CN100512108C - 入网终端物理唯一性识别方法和终端接入认证系统 - Google Patents
入网终端物理唯一性识别方法和终端接入认证系统 Download PDFInfo
- Publication number
- CN100512108C CN100512108C CNB2005100410416A CN200510041041A CN100512108C CN 100512108 C CN100512108 C CN 100512108C CN B2005100410416 A CNB2005100410416 A CN B2005100410416A CN 200510041041 A CN200510041041 A CN 200510041041A CN 100512108 C CN100512108 C CN 100512108C
- Authority
- CN
- China
- Prior art keywords
- terminal
- user
- network access
- network
- networking
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Small-Scale Networks (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种入网终端物理唯一性识别方法和终端接入认证系统,它属于用户终端访问通信服务网络的方法及其实现系统,其特征在于该方法将确认用户入网终端合法身份的双向信息交换分成:网络接入终端广播竞争入网时间窗口,用户入网终端在指定时间窗口发起入网请求,网络接入终端以密文方式广播终端登录令牌,用户入网终端向网络接入终端回传终端登录令牌信息,以及网络接入终端验证终端登录令牌信息五个步骤。
Description
技术领域
本发明属于一种用户终端访问通信服务网络的方法及其实现系统,尤其是一种用于确保网络通信安全的入网终端物理唯一性识别方法和终端接入认证实现系统。
背景技术
伴随着网络技术的发展和通信网络的快速扩张,网络安全已经日益成为人们关注的焦点。当前网络面临的安全威胁主要来自于黑客攻击、网络缺陷、软件漏洞以及管理欠缺等。由网络黑客或计算机病毒发起的拒绝服务攻击是其中较难防范的一种。
拒绝服务攻击是这样一种网络攻击:当通信网络在受到这种形式的攻击以后,部分或全部丧失了正常服务响应能力,不再继续向“合法授权用户提供承诺的网络服务”。目前拒绝服务攻击的主要形式包括:TCP同步风暴攻击、ICMP广播风暴攻击、UDP服务攻击、入侵检测攻击等。
在TCP同步风暴攻击中,攻击者发送大量的半连接,且连接的源地址是伪造的,这样服务器在将确认消息返回给用户时将不会收到伪造源地址用户的确认,这时服务器只能等待并不断重发确认消息,直到这种半连接超时。攻击者持续发送伪造了源地址的半连接,必然使服务器过载而不能提供服务。
在ICMP广播攻击中,攻击者发送大量目的地址指向高速局域网广播地址,源地址指向受害主机的ICMP反射请求广播包,从而引发目的局域网大量广播包反射到受害主机,造成受害主机网络阻塞。
在UDP服务攻击中,攻击者通过多个服务器向受害主机海量发送不限速的UDP包,将受害主机淹没在不断涌入的垃圾数据中。
在入侵检测攻击中,攻击者故意发送含有特殊字符串的数据包,使得受害主机的入侵检测系统误认为发现入侵而产生大量警告,最终使入侵检测系统超过纪录能力而过载或崩溃,从而掩盖真正的网络入侵行为。
总结拒绝服务攻击的种种形式不难发现,拒绝服务攻击的原理就是利用网络协议的缺陷,使受害主机过载而失去服务响应能力。为了保证通信网络的“授权用户能够获得网络服务”,通信网络系统必须能够在一定程度上抵抗拒绝服务攻击。
通信网络接入终端被设计为向多个用户终端提供服务。作为一个合理的假设,其配置应该满足最大设计数量用户同时申请入网的峰值业务量需求。在此前提下如果网络接入终端仍然发生了过载,必然是同时到达了大量虚假用户入网申请,处理这些虚假用户终端入网申请所需要的运算量超出了网络接入终端配置的处理能力。因此为了抵抗拒绝服务攻击,不能允许单个终端假冒多个物理终端身份。
目前的系统多采用序列号和口令保护的方式来进行身份认证,确保终端的物理唯一性。这种方式要求用户和网络终端共享相同的口令数据,并且序列号和口令数据需要在网络中以明文方式传输,极易被截获和假冒。如果事先建立加密信道,将序列号和口令数据在加密信道中传输,固然可以防范敏感数据被非法截获,但是建立加密信道的过程本身计算量很大,足以被非法用户用于发起拒绝服务攻击。
另一些系统采用密码学身份认证来确保用户身份的唯一合法性。比如基于智能卡的身份认证系统,智能卡中存储了用户私钥和网络公钥。用户使用自己的私钥对认证数据签名,再用网络公钥对数字签名加密;网络端必须使用自己的私钥解密数据,再用用户的公钥验证签名。然而这种密码学身份认证运算量很大,例如产生或验证一个1024位的RSA公开密钥算法加密的数字签名,奔腾IV-2G的台式机需要1~2秒的时间。因此身份认证过程本身常成为拒绝服务攻击的目标。
例如用户以随机产生的数据作为自己的身份数据要求进行身份认证,网络接入终端需要花费大量处理能力才能证实该身份数据是非法的。如果用户用不断变化的随机数据来作为自己的身份标志,持续要求网络接入终端进行大运算量的密码学验证。这样攻击者只需要很少的开销,就可以迫使网络接入终端不得不执行大规模的运算,最终导致接入终端过载,达到拒绝服务攻击的目的。
在基于IP的路由器网络中,如果用户终端与服务器不在同一个网段,那么只有目标地址与用户终端地址相同的分组包才能被路由器正确转发到用户终端。这样服务器可以通过给要求服务的用户终端发送一个“甜饼”,并要求用户终端回发给服务器来验证用户终端的唯一性。该小甜饼与用户终端的网络地址相关联。如果用户提供了虚假的网络地址,那么它将不能收到服务器生成的小甜饼,从而避免了后继的网络应答操作。
但是这种方法不适用于广播网络,或处于同一个广播域中的网络。因为此时用户总能收到服务器生成的小甜饼,使得入网过程能够继续进行。随着局域网规模的扩大和向城域网的转变,需要向越来越大的广播网络或网络广播域中的各种不同身份用户提供网络服务,基于小甜饼交换的终端唯一性验证方法已经不再有效。
发明内容
本发明的目的就是提供一种同时适用于路由网络和广播网络、性能稳定可靠并且简单易于实施的基于计算量的入网终端物理唯一性识别方法和终端接入认证实现系统。
本发明的入网终端物理唯一性保证方法是:网络接入终端通过与用户入网终端多次交换信息,确保同一个用户物理终端只能以唯一身份访问网络资源,其特征在于,该方法将网络接入终端和用户入网终端之间的信息交换分成五个步骤,第一步网络接入终端以明文方式广播竞争入网时间窗口,第二步用户入网终端在指定的竞争入网时间窗口以明文方式发送包括自己的终端地址片段的入网请求报文,第三步网络接入终端收到用户入网终端发来的入网请求报文后,为用户入网终端分配终端登录令牌,以密文方式广播包括用户入网请求报文摘要和终端登录令牌的入网应答报文,所述密文加密密钥包含用户入网终端地址片段信息,第四步用户入网终端根据其地址片段信息生成解密密钥,解密收到的每一个入网应答报文,通过比较解密后明文信息中的用户入网请求报文摘要,识别出针对自己的入网应答报文,发现分配给自己的终端登录令牌,第五步用户入网终端向网络接入终端发送包括终端登录令牌信息的登录报文,网络接入终端收到登录报文后,通过验证登录报文中包含自己分配给预期用户的终端登录令牌信息,确认用户入网终端合法。
本发明改进的方法是:网络接入终端通过与用户入网终端多次交换信息,确保同一个用户物理终端只能以唯一身份访问网络资源,其特征在于,该方法将网络接入终端和用户入网终端之间的信息交换分成五个步骤,第一步由网络接入终端以明文方式广播竞争入网时间窗口和网络密钥初值,用户入网终端接收并记录所述竞争入网时间窗口和网络密钥初值,第二步用户入网终端在指定的竞争入网时间窗口以明文方式发送包括自己的终端地址片段的入网请求报文,第三步网络接入终端收到用户入网终端发来的入网请求报文后,为用户入网终端分配终端登录令牌,以密文方式广播包括用户入网请求报文摘要和终端登录令牌的入网应答报文,所述密文加密密钥包含用户入网终端地址片段信息和网络密钥初值信息,第四步用户入网终端根据其地址片段信息和网络密钥初值生成解密密钥,并解密收到的每一个入网应答报文,通过比较解密后明文信息中的用户入网请求报文摘要,识别出针对自己的入网应答报文,发现指配给自己的终端登录令牌,第五步用户入网终端向网络接入终端发送包括终端登录令牌信息的登录报文,网络接入终端收到登录报文后,验证登录报文中包含自己分配给预期用户的终端登录令牌信息,确认用户入网终端合法。
本发明进一步改进的方法是:网络接入终端通过与用户入网终端多次交换信息,确保同一个用户物理终端只能以唯一身份访问网络资源,其特征在于,该方法将网络接入终端和用户入网终端之间的信息交换分成五个步骤,第一步网络接入终端以明文方式广播竞争入网时间窗口和网络密钥初值,用户入网终端接收并记录所述竞争入网时间窗口和网络密钥初值,第二步用户入网终端生成用户密钥初值,并在指定的竞争入网时间窗口内以明文方式发送包括自己的终端地址片段和用户密钥初值的入网请求报文,第三步网络接入终端收到用户入网终端发来的入网请求报文后,为用户入网终端分配终端登录令牌,以密文方式广播包括用户入网请求报文摘要和终端登录令牌的入网应答报文,所述密文加密密钥包含用户入网终端地址片段信息、网络密钥初值信息和用户密钥初值信息,第四步用户入网终端根据其地址片段信息、用户密钥初值和网络密钥初值生成解密密钥,并解密收到的每一个入网应答报文,通过比较解密后明文信息中的用户入网请求报文摘要,识别出针对自己的入网应答报文,发现指配给自己的终端登录令牌,第五步用户入网终端向网络接入终端发送包括终端登录令牌信息的登录报文,网络接入终端收到登录报文后,验证登录报文中包含自己分配给预期用户的终端登录令牌信息,确认用户入网终端合法。
本发明进一步改进的方法的特征在于:在所述方法的第三步骤中,网络接入终端除了给用户入网终端分配终端登录令牌之外,还分配用户入网信道和入网时间,并将其包括在入网应答报文内,第五步骤中用户入网终端在发现分配给自己的终端登录令牌之后,在指定的入网信道和入网时间内向网络接入终端发送包括该终端登录令牌信息的登录报文。
本发明再进一步改进的方法的特征在于:在所述方法的第一步骤中,网络接入终端除了以明文方式广播竞争入网时间窗口之外,还广播定时信息,用户入网终端根据接收到的定时信息调整系统时钟。
本发明改进的方法的特征还在于:所述网络密钥初值是由网络接入终端随机生成的,所述用户密钥初值是由用户入网终端随机生成的。
本发明还提出了一种通信系统,包括用户入网终端和网络接入终端,其中网络接入终端通过与用户入网终端交换信息,确保同一个用户物理终端只能以唯一身份访问网络资源。所述网络接入终端包括:数据收发装置(131),用于以明文方式广播竞争入网时间窗口,接收用户入网终端发送的入网请求报文,其中包括用户入网终端地址片段信息,广播加密的入网应答报文,和接收用户入网终端发送的登录报文;微处理器模块(132),用于在接收到用户入网终端发送的入网请求报文之后,为用户入网终端分配终端登录令牌;和在接收到用户入网终端发送的登录报文之后,验证登录报文中包含自己分配给预期用户的终端登录令牌信息,确认用户入网终端合法;和密码运算协处理器模块(136),用于在接收到用户入网终端发送的入网请求报文之后,使用密文加密密钥加密包括用户入网请求报文摘要、终端登录令牌的入网应答报文,所述密文加密密钥包括所述入网请求报文中包含的用户入网终端地址片段信息。所述用户入网终端包括:数据收发装置(113),用于接收由网络接入终端广播的竞争入网时间窗口,在网络入网终端指定的竞争入网时间窗口内以明文方式发送包括自己的终端地址片段的入网请求报文,接收网络接入终端发送的每一个入网应答报文,并向网络接入终端发送包括终端登录令牌信息的登录报文;密码运算协处理器(115),用于根据所述地址片段信息生成解密密钥,并解密从网络接入终端接收到的每一个入网应答报文;和微处理器模块(112),根据上述解密结果,识别出针对自己的入网应答报文,发现分配给自己的终端登录令牌信息,并将所述终端登录令牌信息包括在所述登录报文中。
本发明的改进的通信系统包括用户入网终端和网络接入终端,其中网络接入终端通过与用户入网终端交换信息,确保同一个用户物理终端只能以唯一身份访问网络资源。所述网络接入终端包括:数据收发装置(131),用于以明文方式广播竞争入网时间窗口和网络密钥初值,接收用户入网终端发送的入网请求报文,其中包括用户入网终端地址片段信息,广播加密的入网应答报文,和接收用户入网终端发送的登录报文;微处理器模块(132),用于在接收到用户入网终端发送的入网请求报文之后,为用户入网终端分配终端登录令牌;和在接收到用户入网终端发送的登录报文之后,验证登录报文中包含自己分配给预期用户的终端登录令牌信息,确认用户入网终端合法;和密码运算协处理器模块(136),用于在接收到用户入网终端发送的入网请求报文之后,使用密文加密密钥加密包括用户入网请求报文摘要、终端登录令牌的入网应答报文,所述密文加密密钥包括所述入网请求报文中包含的用户入网终端地址片段信息和网络密钥初值信息。所述用户入网终端包括:数据收发装置(113),用于接收由网络接入终端广播的竞争入网时间窗口和网络密钥初值,在网络入网终端指定的竞争入网时间窗口内以明文方式发送包括自己的终端地址片段的入网请求报文,接收网络接入终端发送的每一个入网应答报文,并向网络接入终端发送包括终端登录令牌信息的登录报文;随机数据存储器(114),用于存储所述网络密钥初值;密码运算协处理器(115),用于根据所述地址片段信息和所述网络密钥初值生成解密密钥,并解密从网络接入终端接收到的每一个入网应答报文;和微处理器模块(112),根据上述解密结果,识别出针对自己的入网应答报文,发现分配给自己的终端登录令牌信息,并将所述终端登录令牌信息包括在所述登录报文中。
本发明的进一步改进的通信系统包括用户入网终端和网络接入终端,其中网络接入终端通过与用户入网终端交换信息,确保同一个用户物理终端只能以唯一身份访问网络资源。所述网络接入终端包括:数据收发装置(131),用于以明文方式广播竞争入网时间窗口和网络密钥初值,接收用户入网终端发送的入网请求报文,其中包括用户入网终端地址片段信息和用户密钥初值信息,广播加密的入网应答报文,和接收用户入网终端发送的登录报文;微处理器模块(132),用于在接收到用户入网终端发送的入网请求报文之后,为用户入网终端分配终端登录令牌;和在接收到用户入网终端发送的登录报文之后,验证登录报文中包含自己分配给预期用户的终端登录令牌信息,确认用户入网终端合法;和密码运算协处理器模块(136),用于在接收到用户入网终端发送的入网请求报文之后,使用密文加密密钥加密包括用户入网请求报文摘要、终端登录令牌的入网应答报文,所述密文加密密钥包括用户入网终端地址片段信息、用户密钥初值信息以及网络密钥初值信息。所述用户入网终端包括:数据收发装置(113),用于接收由网络接入终端广播的竞争入网时间窗口和网络密钥初值,在网络入网终端指定的竞争入网时间窗口内以明文方式发送包括自己的终端地址片段和用户密钥初值的入网请求报文,接收网络接入终端发送的每一个入网应答报文,并向网络接入终端发送包括终端登录令牌信息的登录报文;随机数据存储器(114),用于存储所述网络密钥初值;密码运算协处理器(115),用于根据所述地址片段信息、用户密钥初值信息以及网络密钥初值信息生成解密密钥,并解密从网络接入终端接收到的每一个入网应答报文;和微处理器模块(112),根据上述解密结果,识别出针对自己的入网应答报文,发现分配给自己的终端登录令牌信息,并将所述终端登录令牌信息包括在所述登录报文中。
本发明的优点在于:
1.能够抵抗拒绝服务攻击:
本发明中提供网络服务的网络接入终端只接收用户端发未的明文报文,分析和处理报文的计算量小,接收处理工作可以实时完成,即使到达大量申请报文也不会过载。
网络接入终端只需要保留用户终端地址片段、终端登录令牌、用户密钥初值、预定用户登录时间等极少的用户状态信息,并且这些信息只需要保留从收到用户申请报文到预定用户登录时间之间的很短时间,超过时间的用户状态信息可以立即清除,因此不会出现缓存溢出现象。
加密运算只需要针对需要实际发出的申请应答报文数据进行,并且只需要采用计算速度很快的对称加密算法,即使不是用硬件加速也能够实现实时运算,不会因为执行了密码运算而造成处理量过载。
2.用户假冒多个终端身份代价极高:
本发明第三步中网络接入终端使用密文方式发送入网应答报文。用户必须使用与自己终端地址识别号相对应的解密密钥,实时解密收到的每一个入网应答报文,才能获得用户终端登录令牌、入网信道和入网时间等信息,继续进行以后的信息交换步骤。对于假冒了多个物理终端身份的用户,它必须同时使用与多个终端地址识别号对应的多个解密密钥,同时实时并行解密收到的每一个入网应答报文。假冒的物理终端个数增加时,计算量和数据存储量将超线性增大,对实时运算能力的要求也以接近平方关系的比例相应提高。例如对于一个假冒了100个虚假终端的用户终端来说,它的影响只是使设计同时服务于1000个入网登录用户的网络接入终端增加了10%的工作负荷,至多瞬间进入比较饱满的工作状态,却对非法用户终端自己产生了近万倍的计算量和数据存储量要求。
3.适用范围广泛:
本发明五个步骤所进行的信息交换都假定在不安全的广播环境下进行。如果是在路由器网络环境下,网络接入终端的广播信息可以通过路由器的广播路由,顺利送达终端用户所在的路由器,被广播给申请认证的用户终端。因此无论是广播型的无线通信网络环境还是共享总线的有线网络环境都可以正常工作,可以用于采用了多种网络技术的异构混合网络,有效地起到杜绝单个用户终端假冒多个虚假终端的目的,无需假定网络结构类型为特定的路由网络。与传统的基于“甜饼交换”的认证方法相比,“甜饼交换”认证协议只有当用户终端与认证服务器不在同一个路由广播域时,假冒地址的用户终端才收不到认证服务器发出的“甜饼”,认证方法才有效。本发明方案并未假定提供假冒物理终端地址的用户终端不能收到网络接入终端的应答,因此没有“甜饼交换”协议对路由广播域的限制。
4.易于与其他身份认证技术相结合:
大多数身份认证技术都需要使用计算量极大的非对称密码算法,或者使用复杂的密钥分发技术。如果不能事先确保认证过程是一对一实时进行,很容易招致拒绝服务攻击。本发明的网络接入终端无需事先知道任何用户入网终端的知识,就可以杜绝单个终端假冒多个物理终端身份,不需要其他普通身份认证技术做任何改变,就可以弥补易于遭到拒绝服务攻击的不足。
5.易于实施:
采用本发明的方法,只需要在用户入网终端和网络接入终端之间分5个步骤、进行2次往返报文交换,就可以完成终端唯一性识别工作。所有工作只需要一个普通的嵌入式微处理器系统就可以胜任。如果采用个人计算机系统或其他高性能计算机系统来实现则更加方便。
附图说明
图1是本发明的一个实施方案系统结构和数据信息传递示意图。
图2是本发明的方法步骤和各步骤所传递数据信息示意图。
图3是本发明改进的方法步骤和各步骤所传递数据信息示意图。
图4是本发明进一步改进的方法步骤和各步骤所传递数据信息示意图。
图5是用于本发明的网络接入终端定时信息广播帧内容构成示意图。
图6是用于本发明的网络接入终端改进的定时信息广播帧内容构成示意图。
图7是用于本发明的用户入网终端入网请求报文内容示意图。
图8是用于本发明的用户入网终端改进的入网请求报文内容示意图。
图9是用于本发明的网络接入终端的网络登录应答报文内容示意图。
图10是用于本发明的用户入网终端的登录认证报文内容示意图。
图11是本发明一个改进的实施方案系统结构和数据信息传递示意图。
图12是本发明进一步改进的实施方案系统结构和数据信息传递示意图。
具体实施方式
本发明的实施方案如下:
本发明的一个实施方案系统如图1所示,其中包括用户入网终端11、网络接入终端13、以及位于用户入网终端11和网络接入终端13之间的传输链路12,所述的用户入网终端11内部又包括用户终端配置存储器111、微处理器模块112、数据收发装置113和随机数据存储器114,所述的网络接入终端13又包括数据收发装置131、微处理器模块132、网间接口收发模块133、网络接入终端配置存储器134和登录用户数据库模块135。
本发明的一个改进的实施方案系统如图11所示,其中包括用户入网终端11A、网络接入终端13A、以及用户入网终端与网络接入终端之间的传输链路12,所述的用户入网终端11A内部又包括用户终端配置存储器111、微处理器模块112、数据收发装置113、随机数据存储器114和密码运算协处理器115,所述的网络接入终端13A又包括数据收发装置131、微处理器模块132、网间数据收发模块133、网络接入终端配置存储器134、登录用户数据库模块135和密码运算协处理器模块136。
本发明进一步改进的实施方案系统如图12所示,其中包括用户入网终端11B、网络接入终端13B、以及用户入网终端与网络接入终端之间的传输链路12,所述的用户入网终端11B内部又包括数据收发装置113、系统广播接收装置11B2、入网请求装置11B3、解密搜索装置11B4、登录认证发送装置11B5和随机数据存储器114,所述的网络接入终端13B又包括数据收发装置131、定时广播装置13B2、入网应答装置13B3、报文加密装置13B4、登录认证装置13B5和登录用户数据库模块135。
第一实施例
用户入网终端11与网络接入终端13之间的连接登录过程包括如图2所示的步骤S11-S15。
用户入网终端为了登录网络使用网络服务,第一步(S11)是收听网络接入终端的定时广播。网络接入终端13中的微处理器模块132从配置存储器134中取出广播时间间隔和当前系统时间等配置参数,根据当前网络业务量确定一段时间作为竞争入网时间窗口,然后通过数据收发装置131以明文方式地广播。广播的报文21内容包括所确定的竞争入网时间窗口213、根据系统时间确定的定时信息211和其他广播参数214。用户入网终端11从数据收发装置113收到广播报文21后,在微处理器模块112的控制下,根据定时信息211初步调整自己的系统时钟,同时在随机数据存储器114中记录当前收到的竞争入网时间窗口213。
第二步骤(S12),用户入网终端11在微处理器模块112的控制下,在随机数据存储器114中记录的竞争入网时间窗口213内,通过数据收发装置113以明文方式向网络接入终端13发送入网请求报文22。所述的入网请求报文22中包括用户入网终端地址片段221和其它信息223。随后微处理器模块112计算入网请求报文22的摘要224并存入随机数据存储器114中。
第三步骤(S13),网络接入终端13从数据收发装置131收到入网请求报文22后,根据网络接入终端配置存储器134中的系统信道配置和登录用户数据库模块135中记载的信道资源占用情况,为用户入网终端11分配终端登录令牌232、用户入网信道233和入网时间234,并记录在登录用户数据库模块135内,微处理器模块132还计算用户入网请求报文22的摘要231,并形成网络登录应答报文23。所述的网络登录应答报文23中包括用户入网请求报文摘要231、终端登录令牌232、用户入网信道233、用户入网时间234和其它信息235。然后以密文的形式广播包括用户入网请求报文摘要231、终端登录令牌232、用户入网信道233和用户入网时间234的入网应答报文230,所使用的密文加密密钥为用户入网终端地址的片段信息221。
第四步骤(S14),用户入网终端11每收到一个网络登录应答报文密文230,都尝试使用用户入网终端自己的解密密钥(即用户入网终端地址的片段信息221)对网络登录应答报文密文230解密,得到网络登录应答报文明文23。用户入网终端11中的微处理器模块112,通过比较随机数据存储器114中保存的入网请求报文摘要224与解密得到的网络登录应答报文明文23中的用户入网请求报文摘要231相符合,识别出针对自己入网应答报文,得到网络接入终端13指配给自己的终端登录令牌232、用户入网信道233、用户入网时间234,存入随机数据存储器114。
第五步骤(S15),微处理器模块112控制数据收发装置113在指定的入网信道233和入网时间234,向网络接入终端13发送登录认证报文24。所述的登录认证报文24包括网络接入终端13颁发的终端登录令牌232和其它信息242,登录认证报文24中的该终端登录令牌232被表示为241。网络接入终端13在预定的入网信道233和入网时间234,从数据收发装置131收到用户入网终端11发回的登录认证报文24以后,微处理器模块132通过比较保存在登录用户数据库模块135中的终端登录令牌232信息与登录认证报文24中包含的终端登录令牌241信息相符合,确认用户入网终端合法。
经过上述步骤S1-S5,网络接入终端13完成了对用户入网终端11的物理唯一性认证,可以为用户入网终端11提供所需要的其他网络服务,如通过网间数据收发模块133向其它网络节点转发数据,或将从网间数据收发模块133收到的其他网络节点的数据转发给用户入网终端11。
第二实施例
为了提高用户入网终端的物理唯一性认证的安全性,可以对用户入网终端11与网络接入终端13之间的连接登录过程作如下改进,如图3所示的步骤S21-S25。
用户入网终端为了登录网络使用网络服务,第一步(S21)是收听网络接入终端的定时广播。网络接入终端13中的微处理器模块132从配置存储器134中取出广播时间间隔和当前系统时间等配置参数,随机计算出一个网络密钥初值,根据当前网络业务量确定一段时间作为竞争入网时间窗口,随后通过数据收发装置131以明文方式广播。广播的报文21内容包括本次定时广播所确定的网络密钥初值212和竞争入网时间窗口213、根据系统时间确定的定时信息211和其他广播参数214。用户入网终端11每从数据收发装置113收到一个广播报文21后,都在微处理器模块112的控制下,根据定时信息211初步调整自己的系统时钟,同时在随机数据存储器114中记录当前收到的网络密钥初值212和竞争入网时间窗口213。
第二步骤(S22),用户入网终端11在随机数据存储器114所记录的竞争入网时间窗口213内,通过数据收发装置113以明文方式向网络接入终端13发送入网请求报文22。所述的入网请求报文22中包括用户入网终端地址片段221和其它信息223。随后微处理器模块112计算入网请求报文22的摘要224并存入随机数据存储器114中。
第三步骤(S23),网络接入终端13从数据收发装置131收到入网请求报文22后,根据网络接入终端配置存储器134中的系统信道配置和登录用户数据库模块135中记载的信道资源占用情况,为用户入网终端11分配终端登录令牌232、用户入网信道233和入网时间234,并记录到登录用户数据库模块135内,微处理器模块132还计算用户入网请求报文22的摘要231,并形成网络登录应答报文23。所述的网络登录应答报文23中包括用户入网请求报文摘要231、终端登录令牌232、用户入网信道233、用户入网时间234和其它信息235。然后微处理器模块132选择合适的定时广播周期,记录该定时广播周期的网络密钥初值212、使用用户入网终端地址片段221和网络密钥初值212信息共同产生一个对称加解密密钥K,并使用该对称密钥K对网络登录应答报文23进行加密,所生成的密文230通过数据收发装置131广播给用户入网终端11。
第四步骤(S24),用户入网终端11使用用户入网终端地址片段221、随机数据存储器114中的网络密钥初值212信息和与网络接入终端13对应的算法,产生一个对称加解密密钥K,然后用该对称密钥K解密收到的每一个网络登录应答报文密文230,得到网络登录应答报文明文23。用户入网终端11中的微处理器模块112,通过比较随机数据存储器114中保存的入网请求报文摘要224与解密得到的网络登录应答报文明文23中的用户入网请求报文摘要231相符合,识别出针对自己的入网应答报文,得到网络接入终端13指配给自己的终端登录令牌232、用户入网信道233、用户入网时间234,并存入随机数据存储器114。
第五步骤(S25)微处理器模块112控制数据收发装置113在指定的入网信道233和入网时间234,向网络接入终端13发送登录认证报文24。所述的登录认证报文24包括网络接入终端13颁发的终端登录令牌232和其它信息242,登录认证报文24中的该终端登录令牌232被表示为241。网络接入终端13在预定的入网信道233和入网时间234,从数据收发装置131收到用户入网终端11发回的登录认证报文24以后,微处理器模块132通过比较保存在登录用户数据库模块135中的终端登录令牌232信息与登录认证报文24中包含的终端登录令牌241信息相符合,确认用户入网终端合法。
经过上述步骤S21-S25,网络接入终端13完成了对用户入网终端11的物理唯一性认证。
第三实施例
为了进一步提高用户入网终端的物理唯一性认证的安全性,还可以对用户入网终端11与网络接入终端13之间的连接登录过程作如下改进,如图3所示的步骤S31-S35。
用户入网终端为了登录网络使用网络服务,第一步(S31)是收听网络接入终端的定时广播。网络接入终端13中的微处理器模块132从配置存储器134中取出广播时间间隔和当前系统时间等配置参数,随机计算出一个网络密钥初值,根据当前网络业务量确定一段时间作为竞争入网时间窗口,随后通过数据收发装置131以明文方式广播。广播的报文21内容包括本次定时广播所确定的网络密钥初值212和竞争入网时间窗口213、根据系统时间确定的定时信息211和其他广播参数214。用户入网终端11每从数据收发装置113收到一个广播报文21后,都在微处理器模块112的控制下,根据定时信息211初步调整自己的系统时钟,同时在随机数据存储器114中记录当前收到的网络密钥初值212和竞争入网时间窗口213。
第二步骤(S32),用户入网终端11从用户终端配置存储器111中取出终端地址,截取其中的部分片段221,再随机产生一个用户密钥初值222。接着在随机数据存储器114中记录的竞争入网时间窗口213内,通过数据收发装置113以明文方式向网络接入终端13发送入网请求报文22。所述的入网请求报文22中包括用户入网终端地址片段221、用户密钥初值222和其它信息223。随后微处理器模块112计算入网请求报文22的摘要224并存入随机数据存储器114中。
第三步骤(S33),网络接入终端13从数据收发装置131收到入网请求报文22后,根据网络接入终端配置存储器134中的系统信道配置和登录用户数据库模块135中记载的信道资源占用情况,为用户入网终端11分配终端登录令牌232、用户入网信道233和入网时间234,并记录到登录用户数据库模块135内,微处理器模块132还计算用户入网请求报文22的摘要231,并形成网络登录应答报文23。所述的网络登录应答报文23中包括用户入网请求报文摘要231、终端登录令牌232、用户入网信道233、用户入网时间234和其它信息235。然后微处理器模块132选择合适的定时广播周期,记录该定时广播周期的网络密钥初值212,使用用户入网终端地址片段221、用户密钥初值222和网络密钥初值212信息共同产生一个对称加解密密钥K,并使用该对称密钥K对网络登录应答报文23进行加密,所生成的密文230通过数据收发装置131广播给用户入网终端11。
第四步骤(S34),用户入网终端11使用用户入网终端地址片段221、用户密钥初值222、随机数据存储器114中的网络密钥初值212信息和与网络接入终端13对应的算法,产生一个对称加解密密钥K,然后用该对称密钥K解密收到的每一个网络登录应答报文密文230,得到网络登录应答报文明文23。用户入网终端11中的微处理器模块112,通过比较随机数据存储器114中保存的入网请求报文摘要224与解密得到的网络登录应答报文明文23中的用户入网请求报文摘要231相符合,识别出针对自己的入网应答报文,得到网络接入终端13指配给自己的终端登录令牌232、用户入网信道233、用户入网时间234,并存入随机数据存储器114。
第五步骤(S35)微处理器模块112控制数据收发装置113在指定的入网信道233和入网时间234,向网络接入终端13发送登录认证报文24。所述的登录认证报文24包括网络接入终端13颁发的终端登录令牌232和其它信息242,登录认证报文24中的该终端登录令牌232被表示为241。网络接入终端13在预定的入网信道233和入网时间234,从数据收发装置131收到用户入网终端11发回的登录认证报文24以后,微处理器模块132通过比较保存在登录用户数据库模块135中的终端登录令牌232信息与登录认证报文24中包含的终端登录令牌241信息相符合,确认用户入网终端合法。
经过上述步骤S31-S35,网络接入终端13完成了对用户入网终端11的物理唯一性认证。
在上述五个步骤的第二和第三步(S12和S13、S22和S23、S32和S33)中,用户入网终端11和网络接入终端13必须以相同的方法计算入网请求报文摘要224和231。具体计算方法可以有多种选择,并将这种选择作为其他信息223的一部分包含在入网请求报文22中。例如可以节选入网请求报文的部分片段,典型地可以选取用户入网终端物理地址片段221,或者用户入网终端物理地址片段221加上用户密钥初值222,或者用户入网终端物理地址片段221的前(或后)几个字节再加上用户密钥初值;也可以是对入网请求报文内容的任何一种运算,比如入网请求报文的循环冗余校验,或者用户入网终端物理地址片段221的MD5散列值,或者以用户密钥初值222为加密密钥,对用户入网终端物理地址片段的加密运算结果。通常可以只规定一种计算摘要的简单方法,从而减少入网请求报文22中必须包含的数据量,达到简化实现复杂度的目的。
在上述五个步骤的第三和第四步(S13和S14、S23和S24、S33和S34)中,网络接入终端13和用户入网终端11必须采用相同的对称密钥加解密算法。具体的对称密钥加解密密码运算算法可以有多种选择,并将这种选择作为其他广播信息214的一部分包括在步骤S1的定时广播报文21中。例如可以选择非常经典的国际标准加密算法RC4、DES、3DES、IDEA、AES、等,也可以是新设计的某种未公开密码算法。
当采用的强度较高的加密算法时,微处理器模块112和132的运算能力可能难以满足要求,此时可以采用图7所示的系统实现方案。其中用户入网终端11A中增加了密码运算协处理器模块115,在网络接入终端13A中增加了密码运算协处理器模块136。在以上所述五个步骤中,所有需要进行密码运算的工作都可以由微处理器模块控制转交给密码运算协处理器模块执行。
第四实施例
用户入网终端11与网络接入终端13之间的连接登录过程包括如图2所示的步骤S11-S15。
用户入网终端为了登录网络使用网络服务,第一步(S11)是收听网络接入终端的定时广播。网络接入终端13B中的定时广播装置13B2根据当前网络业务量确定一段时间作为竞争入网时间窗口,随后通过数据收发装置131,以明文方式广播“系统定时广播报文”。广播的报文21内容包括所确定的竞争入网时间窗口213、根据系统时间确定的定时信息211和其他广播参数214。系统广播接收装置11B2每从数据收发装置113收到一个广播报文21,均根据定时信息211初步调整自己的系统时钟,并将当前收到的竞争入网时间窗口213信息送到随机数据存储器114保存。
第二步骤(S12),用户入网终端入网请求装置11B3在随机数据存储器114所记录的竞争入网时间窗口213内,通过数据收发装置113以明文方式向网络接入终端13发送入网请求报文22,同时计算入网请求报文22的摘要224并存入随机数据存储器114中。所述的入网请求报文22中包括用户入网终端地址片段221和其它信息223。
第三步骤(S13),网络接入终端13B从数据收发装置131收到入网请求报文22后,入网应答装置13B3根据登录用户数据库模块135中记载的信道资源占用情况,为用户入网终端11B分配终端登录令牌232、用户入网信道233和入网时间234,并记录在登录用户数据库模块135内;计算用户入网请求报文22的摘要231,并形成网络登录应答报文23。所述的网络登录应答报文23中包括用户入网请求报文摘要231、终端登录令牌232、用户入网信道233、用户入网时间234和其它信息235。然后报文加密装置13B4以用户入网终端地址的片段信息221为加密密钥,对网络登录应答报文23加密,生成的密文230通过数据收发装置131向用户入网终端11B广播。
第四步骤(S14),用户入网终端11B每收到一个网络登录应答报文密文230,解密搜索装置11B4都尝试使用用户入网终端自己的解密密钥(即用户入网终端地址的片段信息221)对网络登录应答报文密文230解密,得到网络登录应答报文明文23。如果解密得到的网络登录应答报文明文23中的用户入网请求报文摘要231,与随机数据存储器114中保存的入网请求报文摘要224相符合,则解密搜索装置11B4判定收到了发给用户入网终端11B自己的入网应答报文,从而得到网络接入终端13指配给自己的终端登录令牌232、用户入网信道233、用户入网时间234,存入随机数据存储器114。
第五步骤(S15),登录认证发送装置11B5通过数据收发装置113,在指定的入网信道233和入网时间234,向网络接入终端13B发送登录认证报文24。所述的登录认证报文24包括网络接入终端13颁发的终端登录令牌232和其它信息242,登录认证报文24中的该终端登录令牌232被表示为241。网络接入终端13B在预定的入网信道233和入网时间234,从数据收发装置131收到用户入网终端11B发回的登录认证报文24以后,登录认证装置13B5通过比较保存在登录用户数据库模块135中的终端登录令牌232信息与登录认证报文24中包含的终端登录令牌241信息相符合,确认用户入网终端合法。
经过上述步骤S1-S5,网络接入终端完成了对用户入网终端的物理唯一性认证,可以为用户入网终端提供所需要的其他网络服务,如通过网间数据收发模块133向其它网络节点转发数据,或将从网间数据收发模块133收到的其他网络节点的数据转发给用户入网终端。
第五实施例
为了提高用户入网终端的物理唯一性认证的安全性,可以对用户入网终端11与网络接入终端13之间的连接登录过程作如下改进,如图3所示的步骤S21-S25。
用户入网终端为了登录网络使用网络服务,第一步(S21)是收听网络接入终端的定时广播。网络接入终端13B中的定时广播装置13B2随机计算出一个网络密钥初值,根据当前网络业务量确定一段时间作为竞争入网时间窗口,随后通过数据收发装置131以明文方式广播。广播的报文21内容包括本次定时广播所确定的网络密钥初值212和竞争入网时间窗口213、根据系统时间确定的定时信息211和其他广播参数214。系统广播接收装置11B2每从数据收发装置113收到一个广播报文21,都根据定时信息211初步调整自己的系统时钟,同时在随机数据存储器114中记录当前收到的网络密钥初值212和竞争入网时间窗口213。
第二步骤(S22),用户入网终端中的入网请求装置11B3在随机数据存储器114所记录的竞争入网时间窗口213内,通过数据收发装置113以明文方式向网络接入终端13发送入网请求报文22,并将入网请求报文22的摘要224存入随机数据存储器114中。所述的入网请求报文22中包括用户入网终端地址片段221和其它信息223。
第三步骤(S23),网络接入终端13B从数据收发装置131收到入网请求报文22后,入网应答装置13B3根据登录用户数据库模块135中记载的信道资源占用情况,为用户入网终端11B分配终端登录令牌232、用户入网信道233和入网时间234,并记录到登录用户数据库模块135内;计算用户入网请求报文22的摘要231,并形成网络登录应答报文23。所述的网络登录应答报文23中包括用户入网请求报文摘要231、终端登录令牌232、用户入网信道233、用户入网时间234和其它信息235。然后报文加密装置13B4选择合适的定时广播周期,记录该定时广播周期的网络密钥初值212,使用用户入网终端地址片段221和网络密钥初值212信息共同产生一个对称加解密密钥K,并使用该对称密钥K对网络登录应答报文23进行加密,所生成的密文230通过数据收发装置131广播给用户入网终端11B。
第四步骤(S24),用户入网终端11B每收到一个网络登录应答报文密文230,解密搜索装置11B4都使用用户入网终端地址片段221、随机数据存储器114中的网络密钥初值212信息和与网络接入终端13对应的算法,产生一个对称加解密密钥K,然后用该对称密钥K解密收到的网络登录应答报文密文230,得到网络登录应答报文明文23。解密搜索装置11B4通过比较随机数据存储器114中保存的入网请求报文摘要224与解密得到的网络登录应答报文明文23中的用户入网请求报文摘要231相符合,识别出针对用户入网终端11B自己的入网应答报文,得到网络接入终端13指配给自己的终端登录令牌232、用户入网信道233、用户入网时间234,并存入随机数据存储器114。
第五步骤(S25),登录认证发送装置11B5通过数据收发装置113,在指定的入网信道233和入网时间234,向网络接入终端13B发送登录认证报文24。所述的登录认证报文24包括网络接入终端13B颁发的终端登录令牌232和其它信息242,登录认证报文24中的该终端登录令牌232被表示为241。网络接入终端13B在预定的入网信道233和入网时间234,从数据收发装置131收到用户入网终端11B发回的登录认证报文24以后,登录认证装置13B5通过比较保存在登录用户数据库模块135中的终端登录令牌232信息与登录认证报文24中包含的终端登录令牌241信息相符合,确认用户入网终端合法。
经过上述步骤S21-S25,网络接入终端13完成了对用户入网终端11的物理唯一性认证。
第六实施例
为了进一步提高用户入网终端的物理唯一性认证的安全性,还可以对用户入网终端11与网络接入终端13之间的连接登录过程作如下改进,如图3所示的步骤S31-S35。
用户入网终端为了登录网络使用网络服务,第一步(S31)是收听网络接入终端的定时广播。网络接入终端13B中的定时广播装置13B2随机计算出一个网络密钥初值,根据当前网络业务量确定一段时间作为竞争入网时间窗口,随后通过数据收发装置131以明文方式广播。广播的报文21内容包括本次定时广播所确定的网络密钥初值212和竞争入网时间窗口213、根据系统时间确定的定时信息211和其他广播参数214。系统广播接收装置11B2每从数据收发装置113收到一个广播报文21,都根据定时信息211初步调整自己的系统时钟,同时在随机数据存储器114中记录当前收到的网络密钥初值212和竞争入网时间窗口213。
第二步骤(S32),用户入网终端11B中的入网请求装置11B3先随机产生一个用户密钥初值222,接着在随机数据存储器114所记录的竞争入网时间窗口213内,通过数据收发装置113以明文方式向网络接入终端13B发送入网请求报文22,同时计算入网请求报文22的摘要224并存入随机数据存储器114中。所述的入网请求报文22中包括用户入网终端地址片段221、用户密钥初值222和其它信息223。
第三步骤(S33),网络接入终端13B从数据收发装置131收到入网请求报文22后,入网应答装置13B3根据登录用户数据库模块135中记载的信道资源占用情况,为用户入网终端11B分配终端登录令牌232、用户入网信道233和入网时间234,并记录到登录用户数据库模块135内;计算用户入网请求报文22的摘要231,并形成网络登录应答报文23。所述的网络登录应答报文23中包括用户入网请求报文摘要231、终端登录令牌232、用户入网信道233、用户入网时间234和其它信息235。然后报文加密装置13B4选择合适的定时广播周期,记录该定时广播周期的网络密钥初值212,使用用户入网终端地址片段221、用户密钥初值222和网络密钥初值212信息共同产生一个对称加解密密钥K,并使用该对称密钥K对网络登录应答报文23进行加密,所生成的密文230通过数据收发装置131广播给用户入网终端11B。
第四步骤(S34),用户入网终端11B每收到一个网络登录应答报文密文230,解密搜索装置11B4都使用用户入网终端地址片段221、用户密钥初值222、随机数据存储器114中的网络密钥初值212信息和与网络接入终端13对应的算法,产生一个对称加解密密钥K,然后用该对称密钥K解密收到的网络登录应答报文密文230,得到网络登录应答报文明文23。解密搜索装置11B4通过比较随机数据存储器114中保存的入网请求报文摘要224与解密得到的网络登录应答报文明文23中的用户入网请求报文摘要231相符合,识别出针对用户入网终端11B自己的入网应答报文,得到网络接入终端13B指配给自己的终端登录令牌232、用户入网信道233、用户入网时间234,并存入随机数据存储器114。
第五步骤(S35),登录认证发送装置11B5通过数据收发装置113,在指定的入网信道233和入网时间234,向网络接入终端13B发送登录认证报文24。所述的登录认证报文24包括网络接入终端13B颁发的终端登录令牌232和其它信息242,登录认证报文24中的该终端登录令牌232被表示为241。网络接入终端13B在预定的入网信道233和入网时间234,从数据收发装置131收到用户入网终端11B发回的登录认证报文24以后,登录认证装置13B5通过比较保存在登录用户数据库模块135中的终端登录令牌232信息与登录认证报文24中包含的终端登录令牌241信息相符合,确认用户入网终端合法。
经过上述步骤S31-S35,网络接入终端13完成了对用户入网终端11的物理唯一性认证。
在上述五个步骤的第二和第三步(S12和S13、S22和S23、S32和S33)中,用户入网终端11和网络接入终端13必须以相同的方法计算入网请求报文摘要224和231。具体计算方法可以有多种选择,并将这种选择作为其他信息223的一部分包含在入网请求报文22中。例如可以节选入网请求报文的部分片段,典型地可以选取用户入网终端物理地址片段221,或者用户入网终端物理地址片段221加上用户密钥初值222,或者用户入网终端物理地址片段221的前(或后)几个字节再加上用户密钥初值;也可以是对入网请求报文内容的任何一种运算,比如入网请求报文的循环冗余校验,或者用户入网终端物理地址片段221的MD5散列值,或者以用户密钥初值222为加密密钥,对用户入网终端物理地址片段的加密运算结果。通常可以只规定一种计算摘要的简单方法,从而减少入网请求报文22中必须包含的数据量,达到简化实现复杂度的目的。
在上述五个步骤的第三和第四步(S13和S14、S23和S24、S33和S34)中,网络接入终端13和用户入网终端11必须采用相同的对称密钥加解密算法。具体的对称密钥加解密密码运算算法可以有多种选择,并将这种选择作为其他广播信息214的一部分包括在步骤S1的定时广播报文21中。例如可以选择非常经典的国际标准加密算法RC4、DES、3DES、IDEA、AES、等,也可以是新设计的某种未公开密码算法。
下面描述网络接入终端中的数据收发装置、微处理器模块、密码运算协处理器模块和用户入网终端中的数据收发装置、微处理器模块、密码运算协处理器模块的具体功能,以有助于本领域的技术人员理解本发明。
网络接入终端中的数据收发装置131,用于以明文方式广播竞争入网时间窗口,接收用户入网终端发送的入网请求报文,其中包括用户入网终端地址片段信息,广播加密的入网应答报文,和接收用户入网终端发送的登录报文。网络接入终端中的微处理器模块132,用于在接收到用户入网终端发送的入网请求报文之后,为用户入网终端分配终端登录令牌;和在接收到用户入网终端发送的登录报文之后,验证登录报文中包含自己分配给预期用户的终端登录令牌信息,确认用户入网终端合法。网络接入终端中的密码运算协处理器模块136,用于在接收到用户入网终端发送的入网请求报文之后,使用密文加密密钥加密包括用户入网请求报文摘要、终端登录令牌的入网应答报文,所述密文加密密钥包括所述入网请求报文中包含的用户入网终端地址片段信息。
用户入网终端中的数据收发装置113,用于接收由网络接入终端广播的竞争入网时间窗口,在网络入网终端指定的竞争入网时间窗口内以明文方式发送包括自己的终端地址片段的入网请求报文,接收网络接入终端发送的每一个入网应答报文,并向网络接入终端发送包括终端登录令牌信息的登录报文。密码运算协处理器115,用于根据所述地址片段信息生成解密密钥,并解密从网络接入终端接收到的每一个入网应答报文。微处理器模块112,根据上述解密结果,识别出针对自己的入网应答报文,发现分配给自己的终端登录令牌信息,并将所述终端登录令牌信息包括在所述登录报文中。
作为改进,网络接入终端中的数据收发装置131,用于以明文方式广播竞争入网时间窗口和网络密钥初值,接收用户入网终端发送的入网请求报文,其中包括用户入网终端地址片段信息,广播加密的入网应答报文,和接收用户入网终端发送的登录报文。微处理器模块132,用于在接收到用户入网终端发送的入网请求报文之后,为用户入网终端分配终端登录令牌;和在接收到用户入网终端发送的登录报文之后,验证登录报文中包含自己分配给预期用户的终端登录令牌信息,确认用户入网终端合法。密码运算协处理器模块136,用于在接收到用户入网终端发送的入网请求报文之后,使用密文加密密钥加密包括用户入网请求报文摘要、终端登录令牌的入网应答报文,所述密文加密密钥包括所述入网请求报文中包含的用户入网终端地址片段信息和网络密钥初值信息。
用户入网终端中的数据收发装置113,用于接收由网络接入终端广播的竞争入网时间窗口和网络密钥初值,在网络入网终端指定的竞争入网时间窗口内以明文方式发送包括自己的终端地址片段的入网请求报文,接收网络接入终端发送的每一个入网应答报文,并向网络接入终端发送包括终端登录令牌信息的登录报文。随机数据存储器114,用于存储所述网络密钥初值。密码运算协处理器115,用于根据所述地址片段信息和所述网络密钥初值生成解密密钥,并解密从网络接入终端接收到的每一个入网应答报文。微处理器模块112,根据上述解密结果,识别出针对自己的入网应答报文,发现分配给自己的终端登录令牌信息,并将所述终端登录令牌信息包括在所述登录报文中。
作为进一步的改进,网络接入终端中的数据收发装置131,用于以明文方式广播竞争入网时间窗口和网络密钥初值,接收用户入网终端发送的入网请求报文,其中包括用户入网终端地址片段信息和用户密钥初值信息,广播加密的入网应答报文,和接收用户入网终端发送的登录报文。微处理器模块132,用于在接收到用户入网终端发送的入网请求报文之后,为用户入网终端分配终端登录令牌,和在接收到用户入网终端发送的登录报文之后,验证登录报文中包含自己分配给预期用户的终端登录令牌信息,确认用户入网终端合法。密码运算协处理器模块136,用于在接收到用户入网终端发送的入网请求报文之后,使用密文加密密钥加密包括用户入网请求报文摘要、终端登录令牌的入网应答报文,所述密文加密密钥包括用户入网终端地址片段信息、用户密钥初值信息以及网络密钥初值信息。
用户入网终端中的数据收发装置113,用于接收由网络接入终端广播的竞争入网时间窗口和网络密钥初值,在网络入网终端指定的竞争入网时间窗口内以明文方式发送包括自己的终端地址片段和用户密钥初值的入网请求报文,接收网络接入终端发送的每一个入网应答报文,并向网络接入终端发送包括终端登录令牌信息的登录报文。随机数据存储器114,用于存储所述网络密钥初值。密码运算协处理器115,用于根据所述地址片段信息、用户密钥初值信息以及网络密钥初值信息生成解密密钥,并解密从网络接入终端接收到的每一个入网应答报文。微处理器模块112,根据上述解密结果,识别出针对自己的入网应答报文,发现分配给自己的终端登录令牌信息,并将所述终端登录令牌信息包括在所述登录报文中。
需要指出,正如对于本领域的技术人员来说显而易见的,网络接入终端或用户接入终端中的微处理器模块也可以实现密码协处理器的功能。根据上述描述,本领域的技术人员将理解在不脱离本发明的精神的情况下,可以对本发明的各种实施例中进行修改和改变。也就是,本说明书中的描述仅用于说明性的目的,而不应当理解为对本发明的限制。本发明的保护范围仅取决于权利要求书的保护范围。
Claims (10)
1.一种入网终端物理唯一性的识别方法,其中网络接入终端通过与用户入网终端交换信息,确保同一个用户物理终端只能以唯一身份访问网络资源,其特征在于,该方法包含步骤:
网络接入终端以明文方式广播竞争入网时间窗口,
用户入网终端在指定的竞争入网时间窗口内以明文方式发送包括自己的终端地址片段的入网请求报文,
网络接入终端收到用户入网终端发来的入网请求报文后,为用户入网终端分配终端登录令牌,以密文方式广播包括用户入网请求报文摘要、终端登录令牌的入网应答报文,所述密文加密密钥包含用户入网终端地址片段信息,
用户入网终端解密收到的每一个入网应答报文,通过比较解密后明文信息中的用户入网请求报文摘要,识别出针对自己的入网应答报文,发现分配给自己的终端登录令牌,向网络接入终端发送包括终端登录令牌信息的登录报文,和
网络接入终端收到登录报文后,验证登录报文中包含自己分配给预期用户的终端登录令牌信息,确认用户入网终端合法。
2.一种入网终端物理唯一性的识别方法,其中网络接入终端通过与用户入网终端交换信息,确保同一个用户物理终端只能以唯一身份访问网络资源,其特征在于,该方法包含步骤:
网络接入终端以明文方式广播竞争入网时间窗口和网络密钥初值,用户入网终端接收并记录所述竞争入网时间窗口和网络密钥初值,
用户入网终端在指定的竞争入网时间窗口内以明文方式发送包括自己的终端地址片段的入网请求报文,
网络接入终端收到用户入网终端发来的入网请求报文后,为用户入网终端分配终端登录令牌,以密文方式广播包括用户入网请求报文摘要、终端登录令牌的入网应答报文,所述密文加密密钥包含用户入网终端地址片段信息和网络密钥初值信息,
用户入网终端根据其地址片段信息和网络密钥初值生成解密密钥,并解密收到的每一个入网应答报文,通过比较解密后明文信息中的用户入网请求报文摘要,识别出针对自己的入网应答报文,发现指配给自己的终端登录令牌,向网络接入终端发送包括终端登录令牌信息的登录报文,和
网络接入终端收到登录报文后,验证登录报文中包含自己分配给预期用户的终端登录令牌信息,确认用户入网终端合法。
3.如权利要求2所述的入网终端物理唯一性的识别方法,其特征还在于所述网络密钥初值是由网络接入终端随机生成的。
4.一种入网终端物理唯一性的识别方法,其中网络接入终端通过与用户入网终端交换信息,确保同一个用户物理终端只能以唯一身份访问网络资源,其特征在于,该方法包含步骤:
网络接入终端以明文方式广播竞争入网时间窗口和网络密钥初值,用户入网终端接收并记录所述竞争入网时间窗口和网络密钥初值,
用户入网终端生成用户密钥初值,并在指定的竞争入网时间窗口内以明文方式发送包括自己的终端地址片段和用户密钥初值的入网请求报文,
网络接入终端收到用户入网终端发来的入网请求报文后,为用户入网终端分配终端登录令牌,以密文方式广播包括用户入网请求报文摘要、终端登录令牌的入网应答报文,所述密文加密密钥包含用户入网终端地址片段信息、网络密钥初值信息和用户密钥初值信息,
用户入网终端根据其地址片段信息、用户密钥初值和网络密钥初值生成解密密钥,并解密收到的每一个入网应答报文,通过比较解密后明文信息中的用户入网请求报文摘要,识别出针对自己的入网应答报文,发现指配给自己的终端登录令牌,向网络接入终端发送包括终端登录令牌信息的登录报文,和
网络接入终端收到登录报文后,验证登录报文中包含自己分配给预期用户的终端登录令牌信息,确认用户入网终端合法。
5.如权利要求1-2,4中任一权利要求所述的入网终端物理唯一性的识别方法,其特征还在于,网络接入终端除了给用户入网终端分配终端登录令牌之外,还分配用户入网信道和入网时间,并将其包括在入网应答报文内,用户入网终端在发现分配给自己的终端登录令牌之后,在指定的入网信道和入网时间内向网络接入终端发送包括该终端登录令牌信息的登录报文。
6.如权利要求1-2,4中任一权利要求所述的入网终端物理唯一性的识别方法,其特征还在于网络接入终端除了以明文方式广播竞争入网时间窗口之外,还广播定时信息,用户入网终端根据接收到的定时信息调整系统时钟。
7.如权利要求4所述的入网终端物理唯一性的识别方法,其特征还在于所述网络密钥初值是由网络接入终端随机生成的,所述用户密钥初值是由用户入网终端随机生成的。
8.一种通信系统,包括用户入网终端和网络接入终端,其中网络接入终端通过与用户入网终端交换信息,确保同一个用户物理终端只能以唯一身份访问网络资源,其特征在于,
所述网络接入终端包括:
数据收发装置(131),用于以明文方式广播竞争入网时间窗口,接收用户入网终端发送的入网请求报文,其中包括用户入网终端地址片段信息,广播加密的入网应答报文,和接收用户入网终端发送的登录报文;
微处理器模块(132),用于在接收到用户入网终端发送的入网请求报文之后,为用户入网终端分配终端登录令牌;和在接收到用户入网终端发送的登录报文之后,验证登录报文中包含自己分配给预期用户的终端登录令牌信息,确认用户入网终端合法;和
密码运算协处理器模块(136),用于在接收到用户入网终端发送的入网请求报文之后,使用密文加密密钥加密包括用户入网请求报文摘要、终端登录令牌的入网应答报文,所述密文加密密钥包括所述入网请求报文中包含的用户入网终端地址片段信息;
所述用户入网终端包括:
数据收发装置(113),用于接收由网络接入终端广播的竞争入网时间窗口,在网络接入终端指定的竞争入网时间窗口内以明文方式发送包括自己的终端地址片段的入网请求报文,接收网络接入终端发送的每一个入网应答报文,并向网络接入终端发送包括终端登录令牌信息的登录报文;
密码运算协处理器(115),用于根据所述地址片段信息生成解密密钥,并解密从网络接入终端接收到的每一个入网应答报文;和
微处理器模块(112),根据上述解密结果,识别出针对自己的入网应答报文,发现分配给自己的终端登录令牌信息,并将所述终端登录令牌信息包括在所述登录报文中。
9.一种通信系统,包括用户入网终端和网络接入终端,其中网络接入终端通过与用户入网终端交换信息,确保同一个用户物理终端只能以唯一身份访问网络资源,其特征在于,
所述网络接入终端包括:
数据收发装置(131),用于以明文方式广播竞争入网时间窗口和网络密钥初值,接收用户入网终端发送的入网请求报文,其中包括用户入网终端地址片段信息,广播加密的入网应答报文,和接收用户入网终端发送的登录报文;
微处理器模块(132),用于在接收到用户入网终端发送的入网请求报文之后,为用户入网终端分配终端登录令牌;和在接收到用户入网终端发送的登录报文之后,验证登录报文中包含自己分配给预期用户的终端登录令牌信息,确认用户入网终端合法;和
密码运算协处理器模块(136),用于在接收到用户入网终端发送的入网请求报文之后,使用密文加密密钥加密包括用户入网请求报文摘要、终端登录令牌的入网应答报文,所述密文加密密钥包括所述入网请求报文中包含的用户入网终端地址片段信息和网络密钥初值信息;
所述用户入网终端包括:
数据收发装置(113),用于接收由网络接入终端广播的竞争入网时间窗口和网络密钥初值,在网络接入终端指定的竞争入网时间窗口内以明文方式发送包括自己的终端地址片段的入网请求报文,接收网络接入终端发送的每一个入网应答报文,并向网络接入终端发送包括终端登录令牌信息的登录报文;
随机数据存储器(114),用于存储所述网络密钥初值;
密码运算协处理器(115),用于根据所述地址片段信息和所述网络密钥初值生成解密密钥,并解密从网络接入终端接收到的每一个入网应答报文;和
微处理器模块(112),根据上述解密结果,识别出针对自己的入网应答报文,发现分配给自己的终端登录令牌信息,并将所述终端登录令牌信息包括在所述登录报文中。
10.一种通信系统,包括用户入网终端和网络接入终端,其中网络接入终端通过与用户入网终端交换信息,确保同一个用户物理终端只能以唯一身份访问网络资源,其特征在于,
所述网络接入终端包括:
数据收发装置(131),用于以明文方式广播竞争入网时间窗口和网络密钥初值,接收用户入网终端发送的入网请求报文,其中包括用户入网终端地址片段信息和用户密钥初值信息,广播加密的入网应答报文,和接收用户入网终端发送的登录报文;
微处理器模块(132),用于在接收到用户入网终端发送的入网请求报文之后,为用户入网终端分配终端登录令牌;和在接收到用户入网终端发送的登录报文之后,验证登录报文中包含自己分配给预期用户的终端登录令牌信息,确认用户入网终端合法;和
密码运算协处理器模块(136),用于在接收到用户入网终端发送的入网请求报文之后,使用密文加密密钥加密包括用户入网请求报文摘要、终端登录令牌的入网应答报文,所述密文加密密钥包括用户入网终端地址片段信息、用户密钥初值信息以及网络密钥初值信息;
所述用户入网终端包括:
数据收发装置(113),用于接收由网络接入终端广播的竞争入网时间窗口和网络密钥初值,在网络接入终端指定的竞争入网时间窗口内以明文方式发送包括自己的终端地址片段和用户密钥初值的入网请求报文,接收网络接入终端发送的每一个入网应答报文,并向网络接入终端发送包括终端登录令牌信息的登录报文;
随机数据存储器(114),用于存储所述网络密钥初值;
密码运算协处理器(115),用于根据所述地址片段信息、用户密钥初值信息以及网络密钥初值信息生成解密密钥,并解密从网络接入终端接收到的每一个入网应答报文;和
微处理器模块(112),根据上述解密结果,识别出针对自己的入网应答报文,发现分配给自己的终端登录令牌信息,并将所述终端登录令牌信息包括在所述登录报文中。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB2005100410416A CN100512108C (zh) | 2005-07-15 | 2005-07-15 | 入网终端物理唯一性识别方法和终端接入认证系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB2005100410416A CN100512108C (zh) | 2005-07-15 | 2005-07-15 | 入网终端物理唯一性识别方法和终端接入认证系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1728637A CN1728637A (zh) | 2006-02-01 |
| CN100512108C true CN100512108C (zh) | 2009-07-08 |
Family
ID=35927669
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNB2005100410416A Expired - Fee Related CN100512108C (zh) | 2005-07-15 | 2005-07-15 | 入网终端物理唯一性识别方法和终端接入认证系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN100512108C (zh) |
Families Citing this family (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1925394A (zh) * | 2006-09-25 | 2007-03-07 | 华为技术有限公司 | 一种接入终端与运营商绑定的方法 |
| CN101179460A (zh) * | 2006-11-10 | 2008-05-14 | 华为技术有限公司 | 信标设备竞争方法、系统及设备 |
| CN101772025B (zh) * | 2008-12-29 | 2012-06-06 | 中国移动通信集团公司 | 一种用户身份确定方法及装置和系统 |
| CN101635710B (zh) * | 2009-08-25 | 2011-08-17 | 西安西电捷通无线网络通信股份有限公司 | 一种基于预共享密钥的网络安全访问控制方法及其系统 |
| CN101867473B (zh) * | 2010-01-27 | 2012-01-04 | 南京大学 | 抗阻塞攻击的共享媒体终端连接建立方法和接入认证系统 |
| CN105635084B (zh) * | 2014-11-17 | 2018-12-14 | 华为技术有限公司 | 终端认证装置及方法 |
| CN106921663B (zh) * | 2017-03-03 | 2020-04-10 | 浙江智贝信息科技有限公司 | 基于智能终端软件/智能终端的身份持续认证系统及方法 |
-
2005
- 2005-07-15 CN CNB2005100410416A patent/CN100512108C/zh not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| CN1728637A (zh) | 2006-02-01 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101682656B (zh) | 用于保护数据分组的路由选择的方法和设备 | |
| CN101867473B (zh) | 抗阻塞攻击的共享媒体终端连接建立方法和接入认证系统 | |
| CN111245862A (zh) | 一种物联网终端数据安全接收、发送的系统 | |
| CN100512108C (zh) | 入网终端物理唯一性识别方法和终端接入认证系统 | |
| Jose et al. | Implementation of data security in cloud computing | |
| Sani et al. | Xyreum: A high-performance and scalable blockchain for iiot security and privacy | |
| CN101808142B (zh) | 通过路由器或交换机实现可信网络连接的方法和装置 | |
| CN106209883A (zh) | 基于链路选择和破碎重组的多链路传输方法及系统 | |
| Aura et al. | Reducing reauthentication delay in wireless networks | |
| Astorga et al. | Ladon: end-to-end authorisation support for resource-deprived environments | |
| WO2013172743A1 (ru) | Способ защищенного взаимодействия устройства клиента с сервером по сети интернет | |
| Huang et al. | Key-free authentication protocol against subverted indoor smart devices for smart home | |
| CN109067774B (zh) | 一种基于信任令牌的安全接入系统及其安全接入方法 | |
| Lagutin | Redesigning internet-the packet level authentication architecture | |
| Swati et al. | Design and analysis of DDoS mitigating network architecture | |
| CN101827079A (zh) | 抗阻塞攻击的终端连接建立方法和终端访问认证系统 | |
| Wang et al. | T-IP: A self-trustworthy and secure Internet protocol | |
| Joshi | Network security: know it all | |
| Kumar et al. | NextGenV2V: Authenticated V2V communication for next generation vehicular network using (2, n)-threshold scheme | |
| Eren | Wimax security architecture-analysis and assessment | |
| CN105681364B (zh) | 一种基于增强绑定的IPv6移动终端抗攻击方法 | |
| CN210839642U (zh) | 一种物联网终端数据安全接收、发送的装置 | |
| Ahmad et al. | BHQRSM: binary hex quadratic residue security model to enhance the trust in MANETs | |
| Krishnamoorthy et al. | Proposal of HMAC based Protocol for Message Authenication in Kerberos Authentication Protocol | |
| Reid | Plugging the holes in host-based authentication |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20090708 Termination date: 20150715 |
|
| EXPY | Termination of patent right or utility model |