CN101119206A - 基于标识的一体化网络终端统一接入控制方法 - Google Patents
基于标识的一体化网络终端统一接入控制方法 Download PDFInfo
- Publication number
- CN101119206A CN101119206A CNA2007101217453A CN200710121745A CN101119206A CN 101119206 A CN101119206 A CN 101119206A CN A2007101217453 A CNA2007101217453 A CN A2007101217453A CN 200710121745 A CN200710121745 A CN 200710121745A CN 101119206 A CN101119206 A CN 101119206A
- Authority
- CN
- China
- Prior art keywords
- terminal
- authentication
- substep
- network
- access
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及一种基于标识的一体化网络终端统一接入控制方法,是一种利用网络的电数字通讯处理方法。包括固定网和移动网组成的互联网、终端、接入路由器、认证中心,其步骤是:终端统一身份标识的定义、终端统一身份标识的注册过程、终端统一接入控制认证过程、终端移动切换快速认证处理过程、终端与接入交换路由器ASR间加密通信。所述的方法统一了异种网络终端的身份标识,为异种网络终端的接入控制提供了良好的前提。行之有效的认证方法有效解决了网络对终端的接入控制,使得非法用户无法使用网络。简单的认证过程给终端的移动带来较少时延,同时又进行了终端的认证确认。终端和接入交换路由器间的通信采用加密方式,克服了遭受克隆的威胁。
Description
技术领域
本发明涉及一种基于标识的一体化网络终端统一接入控制方法,是一种利用网络的电数字通讯处理方法。
背景技术
现有互联网是基于IP协议的无连接网络技术建立的,而这种无连接的传输机制在安全方面存在先天不足。在数据报文从源传送到目的地的过程中,需要经过许多中间网络,其中包括不被发送方或接收方拥有或控制的中间路由器,以及对第三方相对可见的传输信道。有些Sniff类的工具(如netxray,snoop,sniffit,tcpdump,ethereal)能够捕获网上流过的数据包,并将数据包的内容信息分析出来。这些工具从一定意义上使得网络上传输的数据变得可见,能够观察到一些网络用户正在进行的操作和传输的数据。这样,由于数据报文能在中途被截获,威胁其安全性,所以不能信任其内容。例如,当服务器试图使用源地址来鉴别请求是否由合法用户发出时,源地址鉴别要求服务器检查每个传来的数据报文的源IP地址,只接受从授权列表中存在的计算机发出的请求。而当数据报文在中间路由器或者在传输信道上被截获时,通过上述的Sniff类软件工具很容易得到数据报文中的源以及目的IP地址,这样源地址鉴别就很容易受到破坏,所以源地址鉴别并不安全。例如,中间路由器通过观察发送到服务器以及从服务器发出的通信量,可以获取合法用户的IP地址,进而使用该地址伪造一个请求,获取网络服务,使合法用户的权益受到破坏。因此,在不安全的互联网中,使用远程机器的IP地址进行鉴别的授权计划不足以满足需求。控制中间路由器的冒名顶替者或者通过截获合法用户信息而进行伪造数据报文的第三方,通过冒充已被授权的用户,可以获得网络访问权,从而对其它网络节点构成攻击威胁。
针对网络终端源地址伪造的问题,IETF在RFC2827中给出了一种网络入口源地址过滤的方法。入口过滤方法要求互联网业务提供商以及网络的边缘组织使用限制进入网络的源地址和流出到限定的外部网络的过滤器。现有网络中入口过滤典型的实施操作就是在接入网络的交换机或路由器上将终端的IP地址、网卡MAC地址以及物理端口进行绑定。如果按照RFC2827所述,所有的网络入口都进行过滤,互联网将不存在源地址伪造的数据包,而且所有的数据包都是由合法注册的终端产生。但是,入口过滤方法只有在所有或者至少大部分的网络入口节点都启用的情况下才能正常工作。以今天的互联网状况来看,即使只有25%的互联网没有使用入口过滤,那些想进行源地址伪造的分子就能很容易的连接到不安全的连接点,进而对网络或者其他用户构成威胁。其次由于入口过滤方法对终端的网络接入进行严格的绑定,终端的移动将受到极大的限制,不适合现有网络的发展趋势。
针对网络终端源地址伪造的问题,现有的另外一种防范方法,就是单播反向路径转发过滤,即,网络中的路由器如果不能将接收数据包的源地址作为目的地址的数据包沿着接收路径返回,路由器就将丢弃这种数据包,而不进行转发。假设具有源地址伪造和对称路由的数据包产生,具有n条链路和配置了单播反向路径转发过滤功能的路由器将丢弃(n-1)/n的这种数据包,这将大大降低利用伪造源地址进行DOS攻击的可能性。单播反向路径转发过滤不适用于非对称路由发生的情况,这就使得很大一部分互联网不能使用这种方法。
针对互联网通信的安全性问题,IETF设计了一套IPSec(IP security)协议,该协议在IP层提供鉴别和保密功能。IPSec是IPv4的可选功能。在IPv6的制订过程中,IETF对IPv6的完全保密性给予了较多的关注。主要表现在:IPv6规定在该协议中IPSec是属于必备的协议功能,IPSec的安全头已经被作为IPv6自身的扩展头。由于IPSec采用3DES(Triple Data Encryption Standard)算法,进行加密和解密的过程需要耗费一定的时间,因此会降低数据传输的速度,使网络吞吐量下降。IPSec也无法完全解决目前广泛存在的DoS攻击,而且IPSec的安全主要体现在端到端的安全,它无法解决当前存在的终端对网络的攻击行为,它虽然可以改变DoS攻击的基础,对使用了IPSec系统的攻击可能与对其他系统的攻击不同,但它不能消除这种攻击的可能性。
其次,由于用户的数据报文能够在中途被截获,网络用户的隐私性也不能得到保证。一些网络用户在传递数据时,出于各种原因不希望数据接收者之外的其他用户知道数据的发送者。然而,由于用户源IP地址始终包括在数据报文中,而数据报文又可以在中间路由器被截获,用户源地址很容易被分析出来,网络用户的隐私很难得到保障。
IETF于2001年推出RFC3041,对无状态自动配置协议(RFC2462)的保护隐私的功能做了扩展。在协议扩展后,信息发送方的源地址可以使用定时改变的临时IP地址,以使窃听者无法跟踪发信方的活动规律。这种使用临时地址的方法,可以在一定程度上防止窃听者依据源IP地址来判断信息的发送者,但目的地址仍是长期固定不变的,因为如果目的地址也可以随意改变,数据包将难以寻址。因此窃听者仍然可以依据数据报文的目的地址来识别感兴趣的跟踪对象,并通过对数据报文内容的解密得知发送人及通信内容。源地址在通信过程中的变化也为跟踪和定位运行中的问题带来困难,给调试和故障处理带来困难。这种做法将要求节点设备在域名服务器中除了注册域名、正式IP地址外,还必须注册可能使用的全部临时地址,否则在查询时会遇到问题。
发明内容
综上所述不难看出,网络对终端的接入控制无论是对网络本身还是对网络用户都可以带来很重要的现实意义。因此,在未来的一体化网络中,必须实现网络对终端的严格接入控制,而这种控制不是通常意义上的地理位置限制,而是对接入终端接入权限进行有效的灵活的管理。除此,在未来的一体化网络中,为保护终端信息的安全,接入网络同样不应该对终端构成欺骗或威胁,即终端要防止伪造网络诱骗自己的信息,终端和接入网络双方之间的互信,才是要实现的最终目标。
在本发明专利提出之前,我们曾提出了一种实现一体化网络服务的体系结构(专利申请号:200510134579.1),该体系结构允许包括固定用户和移动终端、移动子网、自组网用户等多种移动性接入,但对终端的网络接入控制没有给出具体的实现方法。本发明专利所述的方法是对这种体系结构的技术延续和细化。旨在以一种统一、有效、快速的方法对接入网络的异种网络终端实现进行严格的统一接入控制,达到防止伪造终端接入网络,同时防止伪造网络接入点对终端诱惑,最大限度保护网络及终端用户合法利益的目的。
本发明的目的是这样实现的:基于标识的一体化网络终端统一接入控制方法,包括:固定网和移动网组成的互联网、终端、接入路由器、认证中心,其步骤是:
终端统一身份标识的定义的步骤;
终端统一身份标识的注册过程的步骤;
终端统一接入控制认证过程的步骤;
终端移动切换快速认证处理过程的步骤;
终端与接入交换路由器ASR间加密通信的步骤。
本发明产生的有益效果是:本发明所述的方法统一了异种网络终端的身份标识,为一体化网络结构体系下异种网络终端的接入控制提供了良好的前提。本发明所提出的行之有效的认证方法有效解决了网络对终端的接入控制,使得非法用户无法使用网络,使用源地址冒充的情况不复存在,在很大程度上保障了网络的安全。本发明所述的认证过程相对简单、易于实现,给终端的移动带来较少的时延,不至于影响终端的连接,而同时又进行了终端的认证确认。本发明在终端和接入交换路由器间的通信采用加密方式,而且加密的密钥周期更换,克服了终端可能遭受的克隆威胁。
附图说明
下面结合附图和实施例对本发明作进一步说明。
图1为实施例一中终端隐私身份标识格式;
图2为实施例一中终端公开身份标识格式;
图3为实施例三中终端接入控制注册过程;
图4为实施例三中认证中心存储的终端注册表项;
图5为实施例四中终端统一接入控制认证消息流程;
图6为实施例四中终端主动和被动发起认证网络示意图;
图7为实施例五中终端移动快速认证处理过程消息流程图;
图8为实施例五中终端移动时快速认证网络示意图;
图9为实施例六中终端和接入交换路由器加密过程示意图。
具体实施方式
实施例一:
本实施例提出的完整技术方案包括终端统一身份标识的定义、终端统一身份标识的注册过程、终端统一接入控制认证过程、终端移动切换快速认证处理过程、终端与ASR间加密通信过程五部分组成。
本实施例所涉及的硬件包括:三种网络实体:终端,接入交换路由器,认证中心。
所述终端,泛指各种可以接入网络的电子设备,如电脑、电话、手机、传感器节点等。
所述接入交换路由器,负责各种固定终端和移动终端、WLAN等固定网络以及移动子网和自组网等移动网络的接入,并负责终端或者各种网络的接入认证以及为接入网络的终端用户进行接入标识和交换路由标识的映射转换,同时将用户的数据包进行标识映射后在网络核心层转发。
所述认证中心,负责记录终端的接入标识、终端特定的身份信息,终端的授权状态,用于终端接入网络时,对终端身份的鉴别,同时产生终端和接入交换路由器间加密通信过程中使用到的密钥信息,并将其传递给相应的接入交换路由器。
本实施例提出的技术方案在实施时,终端需要首先向网络中的认证中心完成终端统一身份信息的注册过程,终端才有可能接入网络,否则终端永远不能接入网络;认证中心保存所有终端注册的信息,负责在终端接入网络时的鉴权处理;接入交换路由器负责异种网络终端或子网的接入,转发和维护接入终端或子网的认证信息,为合法终端分配标识映射关系以及负责终端用户标识数据包的标识映射和转发。
本实施例根据异种网络终端存在的共性,将异种网络终端的类别、生产厂商以及终端的序列号抽象出来,形成用户可读的终端隐私身份标识,其格式如图1所示。而将终端隐私身份标识经过加密变换后的不可读的标识用作终端的公开身份标识,其格式如图2所示,终端公开身份标识用于在网络认证过程中传送作为终端统一接入控制的基础。
本实施例可以描述为以下步骤:
终端统一身份标识的定义的步骤;
终端统一身份标识的注册过程的步骤;
终端统一接入控制认证过程的步骤;
终端移动切换快速认证处理过程的步骤;
终端与接入交换路由器ASR间加密通信的步骤。
实施例二:
本实施例是实施例一所述终端统一身份标识的定义步骤的细化。终端统一身份标识的定义根据异种网络终端存在的共性,将异种网络终端的类别、生产厂商以及终端的序列号抽象出来形成用户可读的终端隐私身份标识,而经过加密变换后不可读的标识作为终端公开身份标识,用于网络节点间的认证传输。
以上叙述可以描述为以下步骤:
寻找异种网络终端存在的共性,将异种网络终端的类别、生产厂商以及终端的序列号抽象出来形成用户可读的终端隐私身份标识。
将用户可读的终端隐私身份标识经过加密变换后形成不可读的标识,作为终端公开身份标识,用于网络节点间的认证传输。
实施例三:
本实施例是实施例一所述终端统一身份标识的注册过程步骤的细化。终端在接入网络前必须在认证中心将自己的类型、生产厂商以及产品序列号注册完毕,获取接入网络的合法接入标识,否则终端永远都不能通过网络对终端的统一接入控制的认证过程,而无法享有网络服务。
终端统一身份信息的注册过程是指用户在购买终端后,向网络中的认证中心服务器进行身份注册的过程,其流程如图3所示。认证中心服务器为每一个终端保存身份信息条目,如图4所示,供终端接入网络时进行鉴权查询。具体注册过程如下所述:
终端在申请入网注册请求时,需要提供终端隐私身份,终端认证密钥以及用户信息等。
用户须将步骤一中的信息通过安全的通道传送到认证中心服务器。
认证中心此时需要在未启用的接入标识库中,随机产生终端的接入标识,或者终端的接入标识由用户在未启用的接入标识库中指定。
认证中心以终端的接入标识为索引,并根据单向加密算法,将终端隐私身份、终端认证密钥等信息以密文的形式存储在认证数据库的列表中,并标明该终端接入标识已经启用。至此,终端统一身份标识的注册过程就完成了。
用户向认证中心注册终端统一身份标识过程举例:本举例假设用户A已经取得一个终端T,现需要开通网络服务,则注册过程如下:
步骤一:用户由终端T说明书、终端T标明的信息或存储在终端T中的信息,获取终端T的类型、生产厂商、产品序列号等信息,并准备用户A自身的注册证明信息。
步骤二:用户A持步骤一中准备的信息到网络管理中心进行注册登记。
步骤三:网络管理人员将用户A提供的自身信息以及终端统一身份信息注册到认证中心服务器。
步骤四:用户A指定终端T接入标识的获取类型:随即抽取或用户指定。
步骤五:网管人员根据用户A提供的终端接入标识获取类型,提供给用户A终端T的接入标识AID。
步骤六:用户A提供自己对当前注册终端T统一身份标识的密钥信息,注册到认证中心服务器。
步骤七:认证中心根据上述注册的信息生成如图4所示的表项。
步骤八:网管人员将认证中心生成的表项设置为启用状态,并将认证中心的数据库进行更新。
经过上述操作,用户A完成了对终端T的注册过程,并获取了合法接入网络的接入标识AID。
实施例四:
本实施例是实施例一所述终端统一接入控制认证过程步骤的细化。终端在接入网络时需接受严格的检验,终端只有事先在认证中心进行注册终端统一身份标识信息并且终端、接入交换路由器和认证中心需完成如图5所示的接入认证过程的消息流程,接入交换路由器才会维护和管理其认证的状态,并为其分配映射关系和进行标识数据包的映射和转发。
终端统一接入认证过程是本发明方案的核心部分,通过对终端接入网络时的实时鉴权,真正达到网络对终端统一接入控制的目的。如图5所示,网络对终端的统一接入认证过程可用以下步骤描述:
终端产生随机数RANDT,发送到需要进行接入认证的接入交换路由器。
接入交换路由器接收到用户发送的RANDT(或者终端发送数据包),不作任何计算,添加自己生成的随机数RANDR后,将RANDR和RANDT(或者接收到的终端数据包)一起发回给终端,以此告知终端需要进行认证。
终端复制接入交换路由器发回来的信息后,利用随机数RANDR、认证密钥和终端隐私身份信息进行加密处理后,发送到网络进行认证,同时为保证终端自己的安全,此消息附带一个谜题,需要网络解答。
接入交换路由器将接收到经过加密的终端认证参数信息,加上终端的接入标识后,转发到认证中心服务器进行查询。
认证中心服务器接收到查询消息,首先以消息中的接入标识为索引,从认证数据库中查找出其对应的终端身份信息,将其按照上面所提的算法处理后与接收消息中的终端的身份信息进行比较,然后将比较的结果及对消息中附带谜题的解答发送给接入交换路由器。
接入交换路由器接收到认证中心发来的查询结果消息后,如果认证通过,会在自己维护的认证列表中创建该终端的接入标识的条目,标明其已经通过认证,同时通知终端进行认证加密的协商;否则,如果未通过认证,接入路由器会回应终端认证失败消息。
终端接收到认证通过的消息后,如果谜题的解答正确,则需要向接入交换路由器传送双方通信时的认证加密信息。否则,终端应该放弃认证。
接入交换路由器接收到终端发来的加密模式后,计算与终端通信的加密信息,并回应终端以加密完成的指示消息。
在终端统一接入控制认证过程实际操作中会出现两种情况,即终端主动发起认证过程、终端被动发起认证过程,下面分别举例说明:
终端主动发起认证过程:
如图6所示,假设终端A要通过接入交换路由器ASR1接入网络,并且在此之前终端A已经将自己的身份信息正确注册,终端A主动发起的认证过程如下:
步骤一:终端检测到ASR1的链路可用,向ASR1发送认证请求(AuthenticationRequest)消息,用以请求网络接入;
步骤二:ASR1收到终端A的认证请求消息后,如果ASR1可以提供接入服务,则向终端发送认证响应(Authentication Reply)消息,用以向终端A确认ASR1可以提供接入服务,并要求终端A发送认证所需的终端信息;
步骤三:终端A收到ASR1的认证响应消息后,向ASR1发送认证过程所需的包含标识终端特定身份信息的认证参数(Authentication Parameter)消息,并携带必要的挑战信息,用于确认网络的合法性;
步骤四:ASR1收到终端A的认证参数消息后,添加终端的接入标识后转发到认证中心进行认证查询(Authentication Search)。
步骤五:认证中心收到ASR1发送的认证查询消息后,以终端A的接入标识为索引,在数据库中搜索A的认证注册信息,将搜索到的终端A曾注册的身份信息与认证查询消息中携带的终端身份信息进行计算比较,并计算挑战应答以及终端与接入交换路由器加密通信的加密因子,最后认证中心将鉴别成功的结果以及加密因子,挑战应答组成的查询结果(Search Result)消息发回接入交换路由器。
步骤六:ASR1接收到由认证中心发回的查询结果消息后,提取消息中的终端A的接入标识和加密因子,并为终端A在认证列表中添加表项,标明终端A已经通过认证,并将其使用状态标记为为启用,同时ASR1将包含终端A鉴别的结果和挑战响应的认证结果(Authentication Result)消息发给终端A。
步骤七:终端A接收到ASR1发送的认证结果消息后,选择计算与ASR1通信时的加密信息,并将此信息以认证加密(Authentication Encryption)消息的形势发送给ASR1。
步骤八:ASR1接收到终端A发送的认证加密消息后,根据消息中携带的加密信息以及在步骤六中提取的关于终端A的加密因子,计算终端A通信时采用的加密格式和加密密钥等信息并存储在以终端A接入标识为索引的认证表项中,同时ASR1要给终端A回应一个标识加密完成的加密指示(Encryption Indication)消息。
步骤九:终端A接收到ASR1发送的加密指示消息后,将自己的认证状态标志为完成。此时,终端A就可以利用步骤七中计算好的加密信息开始正常的通信了。
终端被动发起认证过程:
仍以图6为例说明终端B被动发起认证的过程。假设终端B事先已在认证中心进行注册。
步骤一:终端B检测到ASR2链路可用,通过接收ASR2的路由通告,终端B进行配置后,不先发起认证过程,而是直接发送数据包给终端A。
步骤二:ASR2接收到终端B发送的数据包后,通过检查当前的认证列表,找不到终端B的任何信息,此时ASR2会丢弃终端B发送的数据包,进而向终端B发送一个接入标识未认证的通告消息,强迫终端B进行认证。
步骤三:终端B接收到ASR2发送的接入标识未认证的通告消息后,将向ASR2发送认证请求消息,开始一系列如上述终端主动发起认证过程实施例中的过程,最终完成认证过程。
实施例五:
本实施例是实施例一所述终端移动切换快速认证处理过程步骤的细化。接入交换路由器将向周围邻接的接入交换路由器扩散本路由器正在连接使用的终端的认证条目,在终端发生移动时,只向新的接入交换路由器发送认证更新过程所需的认证加密消息,以协商新的加密信息,新的接入交换路由器回应加密指示消息用以确认,从而完成终端移动时的快速处理过程。
本实施例将终端移动切换时的性能和质量考虑在内,为减小终端在移动切换时认证过程产生的时延,设计了终端移动切换时的快速认证处理过程。终端在移动切换时的认证流程如图7所示,具体过程可描述为:
切换前,终端先通过原来的接入交换路由器ASR-Old与网络完成一次完整的认证过程。
ASR-Old将终端的认证状态信息扩散到与其相邻的接入交换路由器ASR-New上。
随着终端位置的移动,终端在通过ASR-Old正常通信的同时,检测到新的接入交换路由器ASR-New信号较好,于是将链路切换到ASR-New上。
终端切换后接收到ASR-New发送的路由通告,将自己的网关改为ASR-New的接入地址。
终端向ASR-New发送用于协商加密信息的认证加密消息。
ASR-New接收到终端的认证加密消息后,检查确认终端的认证状态,并计算好与此终端通信时的加密信息,并向终端发送加密完成的指示消息,此后ASR-New同样会将终端的认证状态信息扩散到邻居接入交换路由器。
终端接收到加密完成指示消息,便可通过ASR-New使用协商好的加密信息进行通信了。
当终端通信完毕意外离开,ASR-New会通过超时检测到终端的不存在,并将此终端不存在的信息在邻居接入交换路由器间扩散。
通过上述快速处理方案,终端可以很容易的在邻居接入交换路由器间进行切换,并达到比较满意的性能和质量。
以下举例说明终端移动过程中的认证处理:
如图8所示,假设终端B已经在认证中心完成注册,而且终端B开始预通过ASR2与终端A通信,此时终端B由ASR2的覆盖范围移动到ASR3的覆盖范围。并假设ASR2和ASR3为相邻的接入交换路由器,且存在覆盖交叠区。
步骤一:终端B开始通过ASR2完成如实施例一的认证过程,ASR2将终端B的认证信息扩散到相邻的ASR3,ASR3会将终端B的认证条目标记为扩散属性。
步骤二:终端B在交叠区检测到ASR3的存在,并根据某种规则,比如信号强弱,切换到ASR3的链路连接上。
步骤三:终端B接收到ASR3发送的路由通告,重新设置网关,将ASR3作为默认的接入接入交换路由器。
步骤四:终端B向ASR3发送认证更新消息,用以确认终端B切换到ASR3,并更新与ASR3通信时的加密信息。
步骤五:ASR3接收到终端B的认证更新(Authentication update)消息后,根据由ASR2扩散来的终端B的认证信息,计算与其通信时的加密密钥等,并回复终端B标志认证完成的加密完成指示消息。
步骤六:终端B接收到ASR3发送的加密完成指示消息后,将自己的认证状态标识未切换完成,此后终端B便能向终端A正常发送数据包了。
实施例六:
本实施例是实施例一所述终端与接入交换路由器ASR间加密通信步骤的细化。在考虑终端隐私安全方面,本实施例采用终端和接入交换路由器间加密通信的模式,即终端在完成与网络间的认证过程后,其它各种应用程序的数据包都采用由认证过程产生的加密信息在标识数据包形成“中间夹层”的形势进行加密通信,其加密过程如图9所示。在终端通过网络的接入认证后,终端只有接收到接入交换路由器发出的包含正确加密信息的数据包才进行处理,同样接入交换路由器也只有接收到包含正确的终端加密信息的数据包才进行转发。
终端和接入路由器间进行数据包的交互时,采用带有加密信息的格式,即在标识数据包头和上层数据间加入经过终端认证过程中终端和网络协商好的加密信息,而且这种加密信息随着认证更新过程的出现而发生变化。接入交换路由器的处理过程是指在由接入端接收到终端正常通信的数据包后,首先进行加密字段的处理,然后转发,对于需要转发给在其接入端接入的终端的数据包,需添加必要的加密字段,再发给终端。
终端和接入交换路由器间加密通信过程:
本实施例假设终端已经完成统一身份注册过程并已通过网络的接入认证过程,终端需要通过接入交换路由器进行应用数据的转发,则终端和接入交换路由器间的加密过程可表述为:
终端生成上层应用数据,等待加密处理。
终端根据与接入交换路由器协商好的加解密算法以及加密密钥、模式等信息对上层应用数据进行加密,产生加密数据字段。
终端将上述步骤产生的加密数据字段添加到标识数据包头和上层应用数据之间,形成可以发送的标识数据包。
终端选取已经通过接入认证的接入标识作为标识数据包的源地址,将标识数据包发送的接入交换路由器。
接入交换路由器收到终端发送的经过加密处理的数据包后,首先检查此终端是否已经通过认证,如果没有通过认证,直接将数据包丢弃,并向终端发送未通过认证的通告消息;否则转到下一步。
接入交换路由器对终端发送的标识数据包的加密字段用与终端同样的算法进行检查处理,如果该字段不正确,接入交换路由器将丢弃数据包,向终端发送加密字段错误的通告消息;否则,接入交换路由器则将此字段删掉,并按照事先分配的路由标识进行映射和转发。
通过上述步骤处理,终端的数据包则经过加密的形式经由接入交换路由器转发。同样,由网络经过接入交换路由器传送给终端的数据包,由接入交换路由器进行加密处理,而由终端检测其正确性。
Claims (6)
1.基于标识的一体化网络终端统一接入控制方法,包括:固定网和移动网组成的互联网、终端、接入路由器、认证中心,其特征在于所述的步骤:
终端统一身份标识的定义的步骤;
终端统一身份标识的注册过程的步骤;
终端统一接入控制认证过程的步骤;
终端移动切换快速认证处理过程的步骤;
终端与接入交换路由器ASR间加密通信的步骤。
2.根据权利要求1所述的基于标识的一体化网络终端统一接入控制方法,其特征在于,所述的终端统一身份标识的定义的步骤中的子步骤:
寻找异种网络终端存在的共性,将异种网络终端的类别、生产厂商以及终端的序列号抽象出来形成用户可读的终端隐私身份标识的子步骤;
将用户可读的终端隐私身份标识经过加密变换后形成不可读的标识,作为终端公开身份标识,用于网络节点间的认证传输的子步骤。
3.根据权利要求1所述的基于标识的一体化网络终端统一接入控制方法,其特征在于,所述的终端统一身份标识的注册过程的步骤中的子步骤:
用户提供终端隐私身份、认证密钥以及用户信息的子步骤;
用户将提供的隐私身份、认证密钥以及用户信息通过安全通道传送到认证中心的子步骤;
认证中心在未启用的接入标识库中,随机产生终端的接入标识,或者终端的接入标识由用户在未启用的接入标识库中指定的子步骤;
认证中心以终端的接入标识为索引,并根据单向加密算法,将终端隐私身份、终端认证密钥等信息以密文的形式存储在认证数据库的列表中,并标明该终端接入标识已经启用的子步骤。
4.根据权利要求1所述的基于标识的一体化网络终端统一接入控制方法,其特征在于,所述的终端统一接入控制认证过程的步骤中的子步骤:
终端产生终端随机数RANDT,发送到需要进行接入认证的接入交换路由器的子步骤;
接入交换路由器接收到用户发送的RANDT或者终端发送数据包,不作任何计算,添加自己生成的网络随机数RANDR后,将RANDR和RANDT或者接收到的终端数据包一起发回给终端,以此告知终端需要进行认证的子步骤;
终端复制接入交换路由器发回来的信息后,利用网络随机数RANDR、认证密钥和终端隐私身份信息进行加密处理后,发送到网络进行认证,同时为保证终端自己的安全,此消息附带一个谜题,需要网络解答的子步骤;
接入交换路由器将接收到经过加密的终端认证参数信息,加上终端的接入标识后,转发到认证中心服务器进行查询的子步骤;
认证中心服务器接收到查询消息,首先以消息中的接入标识为索引,从认证数据库中查找出其对应的终端身份信息,将其按照与终端对身份信息相同的加密过程处理后与接收消息中的终端的身份信息进行比较,然后将比较的结果及对消息中附带谜题的解答发送给接入交换路由器的子步骤;
接入交换路由器接收到认证中心发来的查询结果消息后,如果认证通过,会在自己维护的认证列表中创建该终端的接入标识的条目,标明其已经通过认证,同时通知终端进行认证加密的协商;否则,如果未通过认证,接入路由器会回应终端认证失败消息的子步骤;
终端接收到认证通过的消息后,如果谜题的解答正确,则需要向接入交换路由器传送双方通信时的认证加密信息,否则,终端应该放弃认证的子步骤;
接入交换路由器接收到终端发来的加密模式后,计算与终端通信的加密信息,并回应终端以加密完成的指示消息的子步骤。
5.根据权利要求1所述的基于标识的一体化网络终端统一接入控制方法,其特征在于,所述的终端移动切换快速认证处理过程的步骤中的子步骤:
切换前,终端先通过原来的接入交换路由器ASR-Old与网络完成一次完整的认证过程的子步骤;
ASR-Old将终端的认证状态信息扩散到与其相邻的接入交换路由器ASR-New上的子步骤;
随着终端位置的移动,终端在通过ASR-Old正常通信的同时,检测到新的接入交换路由器ASR-New信号较好,于是将链路切换到ASR-New上的子步骤;
终端切换后接收到ASR-New发送的路由通告,将自己的网关改为ASR-New的接入地址的子步骤;
终端向ASR-New发送用于协商加密信息的认证加密消息的子步骤;
ASR-New接收到终端的认证加密消息后,检查确认终端的认证状态,并计算好与此终端通信时的加密信息,并向终端发送加密完成的指示消息,此后ASR-New同样会将终端的认证状态信息扩散到邻居接入交换路由器的子步骤;
终端接收到加密完成指示消息,便可通过ASR-New使用协商好的加密信息进行通信了的子步骤;
当终端通信完毕意外离开,ASR-New会通过超时检测到终端的不存在,并将此终端不存在的信息在邻居接入交换路由器间扩散的子步骤。
6.根据权利要求1所述的基于标识的一体化网络终端统一接入控制方法,其特征在于,所述的终端与接入交换路由器ASR间加密通信的步骤中的子步骤:
终端生成上层应用数据,等待加密处理的子步骤;
终端根据与接入交换路由器协商好的加解密算法以及加密密钥、模式等信息对上层应用数据进行加密,产生加密数据字段的子步骤;
终端将上述步骤三产生的加密数据字段添加到标识数据包头和上层应用数据之间,形成可以发送的标识数据包的子步骤;
终端选取已经通过接入认证的接入标识作为标识数据包的源地址,将标识数据包发送的接入交换路由器的子步骤;
接入交换路由器收到终端发送的经过加密处理的数据包后,首先检查此终端是否已经通过认证,如果没有通过认证,直接将数据包丢弃,并向终端发送未通过认证的通告消息;否则转到下一子步骤的子步骤;
接入交换路由器对终端发送的标识数据包的加密字段用与终端同样的算法进行检查处理,如果该字段不正确,接入交换路由器将丢弃数据包,向终端发送加密字段错误的通告消息;否则,接入交换路由器则将此字段删掉,并按照事先分配的路由标识进行映射和转发的子步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2007101217453A CN101119206B (zh) | 2007-09-13 | 2007-09-13 | 基于标识的一体化网络终端统一接入控制方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2007101217453A CN101119206B (zh) | 2007-09-13 | 2007-09-13 | 基于标识的一体化网络终端统一接入控制方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101119206A true CN101119206A (zh) | 2008-02-06 |
| CN101119206B CN101119206B (zh) | 2011-03-02 |
Family
ID=39055163
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2007101217453A Expired - Fee Related CN101119206B (zh) | 2007-09-13 | 2007-09-13 | 基于标识的一体化网络终端统一接入控制方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101119206B (zh) |
Cited By (25)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101835230A (zh) * | 2010-03-09 | 2010-09-15 | 北京交通大学 | 一体化网络移动终端自动切换方法 |
| CN102025604A (zh) * | 2009-09-18 | 2011-04-20 | 中兴通讯股份有限公司 | 一种承载网络及数据传输方法 |
| CN102118698A (zh) * | 2011-03-21 | 2011-07-06 | 广州市动景计算机科技有限公司 | 基于移动终端联系人信息建立社区关系网的方法及装置 |
| CN102130887A (zh) * | 2010-01-20 | 2011-07-20 | 中兴通讯股份有限公司 | 一种在公共设备上接入网络的方法及系统 |
| CN102158885A (zh) * | 2011-04-19 | 2011-08-17 | 北京交通大学 | 一体化网络接入子网路由协议移动性支持方法 |
| CN102209066A (zh) * | 2010-03-31 | 2011-10-05 | 中国移动通信集团公司 | 网络认证的方法和设备 |
| CN102238148A (zh) * | 2010-04-22 | 2011-11-09 | 中兴通讯股份有限公司 | 身份管理方法及系统 |
| CN102255916A (zh) * | 2011-07-26 | 2011-11-23 | 中国科学院计算机网络信息中心 | 接入认证方法、设备、服务器及系统 |
| CN101478552B (zh) * | 2009-02-19 | 2012-02-22 | 北京交通大学 | 实现一体化网络中多家乡终端的位置管理方法与系统 |
| CN102571721A (zh) * | 2010-12-31 | 2012-07-11 | 北京大唐高鸿数据网络技术有限公司 | 接入设备鉴别方法 |
| CN101785248B (zh) * | 2008-02-15 | 2012-07-18 | 科乐美数码娱乐株式会社 | 通信系统、通信方法、信息记录介质及程序 |
| CN101729568B (zh) * | 2009-12-11 | 2012-08-08 | 北京交通大学 | 使用令牌机制保障源地址真实性的安全接入系统及方法 |
| CN102843663A (zh) * | 2011-06-24 | 2012-12-26 | 中兴通讯股份有限公司 | 提供wlan用户接入信息的方法及系统 |
| WO2013160905A1 (en) * | 2012-04-27 | 2013-10-31 | Hewlett-Packard Development Company L.P. | Service access control |
| CN103491070A (zh) * | 2013-09-06 | 2014-01-01 | 广东工业大学 | 一种虚拟机实时迁移中的车辆隐私保护方法 |
| WO2014000233A1 (zh) * | 2012-06-28 | 2014-01-03 | 中兴通讯股份有限公司 | 提供wlan用户接入信息的方法及系统 |
| CN103618751A (zh) * | 2013-12-12 | 2014-03-05 | 绵阳芯联芯网络科技有限公司 | 基于分离映射机制的无源光网络业务保护方法 |
| CN104065539A (zh) * | 2014-07-09 | 2014-09-24 | 武汉安问科技发展有限责任公司 | 基于应用行为的非授权网络设备的监测方法 |
| CN108696865A (zh) * | 2018-04-24 | 2018-10-23 | 西南科技大学 | 一种无线传感网络节点安全认证方法 |
| CN111130797A (zh) * | 2019-12-23 | 2020-05-08 | 深圳市永达电子信息股份有限公司 | 一种基于挑战应答的安全防护系统、方法及存储介质 |
| CN111817854A (zh) * | 2020-06-04 | 2020-10-23 | 中国电子科技集团公司第三十研究所 | 一种基于无中心标识映射同步管理的安全认证方法及系统 |
| CN111835691A (zh) * | 2019-04-22 | 2020-10-27 | 中国移动通信有限公司研究院 | 一种认证信息处理方法、终端和网络设备 |
| CN113849815A (zh) * | 2021-08-26 | 2021-12-28 | 兰州大学 | 一种基于零信任和机密计算的统一身份认证平台 |
| CN113938281A (zh) * | 2021-12-17 | 2022-01-14 | 南京大学 | 一种量子安全身份的颁发系统、颁发方法及使用方法 |
| CN113973303A (zh) * | 2021-11-02 | 2022-01-25 | 上海格尔安全科技有限公司 | 基于数据包分析的移动终端设备接入控制网关的实现方法 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN100579012C (zh) * | 2005-03-30 | 2010-01-06 | 中兴通讯股份有限公司 | 一种终端用户安全接入软交换网络的方法 |
| CN100484266C (zh) * | 2005-11-23 | 2009-04-29 | 中国移动通信集团公司 | 移动终端使用广播/组播业务内容的方法 |
-
2007
- 2007-09-13 CN CN2007101217453A patent/CN101119206B/zh not_active Expired - Fee Related
Cited By (41)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101785248B (zh) * | 2008-02-15 | 2012-07-18 | 科乐美数码娱乐株式会社 | 通信系统、通信方法、信息记录介质及程序 |
| CN101478552B (zh) * | 2009-02-19 | 2012-02-22 | 北京交通大学 | 实现一体化网络中多家乡终端的位置管理方法与系统 |
| CN102025604A (zh) * | 2009-09-18 | 2011-04-20 | 中兴通讯股份有限公司 | 一种承载网络及数据传输方法 |
| CN102025604B (zh) * | 2009-09-18 | 2014-11-05 | 中兴通讯股份有限公司 | 一种承载网络及数据传输方法 |
| CN101729568B (zh) * | 2009-12-11 | 2012-08-08 | 北京交通大学 | 使用令牌机制保障源地址真实性的安全接入系统及方法 |
| CN102130887A (zh) * | 2010-01-20 | 2011-07-20 | 中兴通讯股份有限公司 | 一种在公共设备上接入网络的方法及系统 |
| WO2011088695A1 (zh) * | 2010-01-20 | 2011-07-28 | 中兴通讯股份有限公司 | 一种在公共设备上接入网络的方法及系统 |
| CN102130887B (zh) * | 2010-01-20 | 2019-03-12 | 中兴通讯股份有限公司 | 一种在公共设备上接入网络的方法及系统 |
| CN101835230A (zh) * | 2010-03-09 | 2010-09-15 | 北京交通大学 | 一体化网络移动终端自动切换方法 |
| CN101835230B (zh) * | 2010-03-09 | 2013-07-03 | 北京交通大学 | 一体化网络移动终端自动切换方法 |
| CN102209066A (zh) * | 2010-03-31 | 2011-10-05 | 中国移动通信集团公司 | 网络认证的方法和设备 |
| CN102209066B (zh) * | 2010-03-31 | 2015-03-11 | 中国移动通信集团公司 | 网络认证的方法和设备 |
| CN102238148A (zh) * | 2010-04-22 | 2011-11-09 | 中兴通讯股份有限公司 | 身份管理方法及系统 |
| CN102571721A (zh) * | 2010-12-31 | 2012-07-11 | 北京大唐高鸿数据网络技术有限公司 | 接入设备鉴别方法 |
| CN102118698A (zh) * | 2011-03-21 | 2011-07-06 | 广州市动景计算机科技有限公司 | 基于移动终端联系人信息建立社区关系网的方法及装置 |
| CN102118698B (zh) * | 2011-03-21 | 2014-01-15 | 广州市动景计算机科技有限公司 | 基于移动终端联系人信息建立社区关系网的方法及装置 |
| CN102158885A (zh) * | 2011-04-19 | 2011-08-17 | 北京交通大学 | 一体化网络接入子网路由协议移动性支持方法 |
| CN102843663B (zh) * | 2011-06-24 | 2017-04-12 | 中兴通讯股份有限公司 | 提供wlan用户接入信息的方法及系统 |
| CN102843663A (zh) * | 2011-06-24 | 2012-12-26 | 中兴通讯股份有限公司 | 提供wlan用户接入信息的方法及系统 |
| WO2013013481A1 (zh) * | 2011-07-26 | 2013-01-31 | 中国科学院计算机网络信息中心 | 接入认证方法、设备、服务器及系统 |
| CN102255916A (zh) * | 2011-07-26 | 2011-11-23 | 中国科学院计算机网络信息中心 | 接入认证方法、设备、服务器及系统 |
| WO2013160905A1 (en) * | 2012-04-27 | 2013-10-31 | Hewlett-Packard Development Company L.P. | Service access control |
| US9407641B2 (en) | 2012-04-27 | 2016-08-02 | Hewlett-Packard Development Company, L.P. | Service access control |
| WO2014000233A1 (zh) * | 2012-06-28 | 2014-01-03 | 中兴通讯股份有限公司 | 提供wlan用户接入信息的方法及系统 |
| CN103491070A (zh) * | 2013-09-06 | 2014-01-01 | 广东工业大学 | 一种虚拟机实时迁移中的车辆隐私保护方法 |
| CN103491070B (zh) * | 2013-09-06 | 2016-09-21 | 广东工业大学 | 一种虚拟机实时迁移中的车辆隐私保护方法 |
| CN103618751A (zh) * | 2013-12-12 | 2014-03-05 | 绵阳芯联芯网络科技有限公司 | 基于分离映射机制的无源光网络业务保护方法 |
| CN103618751B (zh) * | 2013-12-12 | 2016-08-31 | 绵阳芯联芯网络科技有限公司 | 基于分离映射机制的无源光网络业务保护方法 |
| CN104065539A (zh) * | 2014-07-09 | 2014-09-24 | 武汉安问科技发展有限责任公司 | 基于应用行为的非授权网络设备的监测方法 |
| CN108696865A (zh) * | 2018-04-24 | 2018-10-23 | 西南科技大学 | 一种无线传感网络节点安全认证方法 |
| CN111835691A (zh) * | 2019-04-22 | 2020-10-27 | 中国移动通信有限公司研究院 | 一种认证信息处理方法、终端和网络设备 |
| CN111835691B (zh) * | 2019-04-22 | 2022-09-27 | 中国移动通信有限公司研究院 | 一种认证信息处理方法、终端和网络设备 |
| CN111130797A (zh) * | 2019-12-23 | 2020-05-08 | 深圳市永达电子信息股份有限公司 | 一种基于挑战应答的安全防护系统、方法及存储介质 |
| CN111130797B (zh) * | 2019-12-23 | 2022-09-09 | 深圳市永达电子信息股份有限公司 | 一种基于挑战应答的安全防护系统、方法及存储介质 |
| CN111817854B (zh) * | 2020-06-04 | 2022-03-18 | 中国电子科技集团公司第三十研究所 | 一种基于无中心标识映射同步管理的安全认证方法及系统 |
| CN111817854A (zh) * | 2020-06-04 | 2020-10-23 | 中国电子科技集团公司第三十研究所 | 一种基于无中心标识映射同步管理的安全认证方法及系统 |
| CN113849815A (zh) * | 2021-08-26 | 2021-12-28 | 兰州大学 | 一种基于零信任和机密计算的统一身份认证平台 |
| CN113973303A (zh) * | 2021-11-02 | 2022-01-25 | 上海格尔安全科技有限公司 | 基于数据包分析的移动终端设备接入控制网关的实现方法 |
| CN113973303B (zh) * | 2021-11-02 | 2024-04-02 | 上海格尔安全科技有限公司 | 基于数据包分析的移动终端设备接入控制网关的实现方法 |
| CN113938281B (zh) * | 2021-12-17 | 2022-03-08 | 南京大学 | 一种量子安全身份的颁发系统、颁发方法及使用方法 |
| CN113938281A (zh) * | 2021-12-17 | 2022-01-14 | 南京大学 | 一种量子安全身份的颁发系统、颁发方法及使用方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101119206B (zh) | 2011-03-02 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101119206B (zh) | 基于标识的一体化网络终端统一接入控制方法 | |
| CN101867530B (zh) | 基于虚拟机的物联网网关系统及数据交互方法 | |
| AU2008213766B2 (en) | Method and system for registering and verifying the identity of wireless networks and devices | |
| CN101371550B (zh) | 自动安全地向移动通信终端的用户供给在线服务的服务访问凭证的方法和系统 | |
| Arbaugh et al. | Your 80211 wireless network has no clothes | |
| Hwang et al. | A self-encryption mechanism for authentication of roaming and teleconference services | |
| CN100571125C (zh) | 一种用于用户设备与内部网络间安全通信的方法及装置 | |
| Salgarelli et al. | Efficient authentication and key distribution in wireless IP networks | |
| Sankar | Cisco wireless LAN security | |
| CN101030854B (zh) | 多媒体子系统中网络实体的互认证方法及装置 | |
| US20050021979A1 (en) | Methods and systems of remote authentication for computer networks | |
| CN101160924A (zh) | 在通信系统中分发证书的方法 | |
| CN102202299A (zh) | 一种基于3g/b3g的端到端语音加密系统的实现方法 | |
| CN101379803A (zh) | 用于保证根据移动因特网协议交换的消息的真实性的方法 | |
| CN101272379A (zh) | 基于IEEE802.1x安全认证协议的改进方法 | |
| JP3792648B2 (ja) | 無線lanの高速認証方式及び高速認証方法 | |
| CN101877852A (zh) | 用户接入控制方法和系统 | |
| JP2000244547A (ja) | 認証方法 | |
| CN101765110A (zh) | 一种用户和无线接入点之间的专有加密保护方法 | |
| Jeong et al. | An integrated security framework for open wireless networking architecture | |
| CN103096318A (zh) | 一种基于身份隐替机制的无线异构网络统一接入认证方法 | |
| CN101247443B (zh) | 用于驱动网络电话终端设备的方法和网络电话终端设备 | |
| Racherla et al. | Security and privacy issues in wireless and mobile computing | |
| CN100536471C (zh) | 一种家乡代理信令消息有效保护方法 | |
| Mufti et al. | Design and implementation of a secure mobile IP protocol |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20110302 Termination date: 20180913 |