CN101741851B

CN101741851B - 一种增强源地址真实性保障的令牌更新方法

Info

Publication number: CN101741851B
Application number: CN2009102437055A
Authority: CN
Inventors: 张宏科; 王凯; 周华春; 刘颖; 秦雅娟
Original assignee: Beijing Jiaotong University
Current assignee: Beijing Jiaotong University
Priority date: 2009-12-23
Filing date: 2009-12-23
Publication date: 2012-06-20
Anticipated expiration: 2029-12-23
Also published as: CN101741851A

Abstract

一种增强源地址真实性保障的令牌更新方法，该方法通过接入路由器定期对<终端接入地址，令牌>表进行更新，从而向准入服务器请求按照<终端接入地址，令牌>表中接入地址依次分配新令牌，其中，接入路由器是令牌更新的发起者，准入服务器是新令牌的生成者，终端是新令牌的接受者。根据本发明方法，接入路由器每隔一段时间从<终端接入地址，令牌>表得到终端接入地址，并由该接入路由器向准入服务器发送请求，要求准入服务器按照<终端接入地址，令牌>表中终端接入地址依次分配对应的新令牌，然后接入路由器将令牌更新指令发送到终端，通知终端定期更新令牌，从而使得恶意终端对令牌的破解过程变得毫无意义。

Description

一种增强源地址真实性保障的令牌更新方法

技术领域

本发明涉及地址分离映射网络中一种增强源地址真实性保障的令牌更新方法，属于网络安全技术领域。

背景技术

在互联网体系结构中，IP地址双重身份的问题一直制约着网络安全性能的改进，于是出现了将身份与位置分离的思想，如Farinacci等人的LISP协议(参看D.Farinacci，V.Fuller，D.Meyer and D.Lewis.Locator/ID SeparationProtocol(LISP)，draft-farinacci-lisp-12，March 2，2009)。

地址分离映射机制基于身份与位置分离的思想而产生，其引入两种地址：接入地址和路由地址，其中，接入地址代表终端的公开身份信息，路由地址代表终端的位置信息。地址分离映射机制中，用户在入网时得到一个表示自己身份的接入地址，而在用户与对端通信时，需要从接入路由器获得一个可用的路由地址，用以在核心网内对数据包进行选路和转发，如图1所示。结合图1对一次通信流程的介绍如下：

步骤1：接入网1中的终端A向接入网2中的终端D发送数据，数据包的源地址为终端A的接入地址，数据包的目的地址为终端D的接入地址。

步骤2：接入路由器AR1将数据包中的源接入地址和目的接入地址映射为相对应的路由地址。

步骤3：接入路由器AR1把映射后的数据包转发到核心网中，核心网中的核心路由器E、F和G等根据数据包中的路由地址将该数据包转发给接入路由器AR2。

步骤4：接入路由器AR2将数据包的源地址路由和目的地址由路由地址映射回接入地址。

步骤5：地址映射后，接入路由器AR2向终端D进行转发，最后终端D收到终端A发送的数据包。

地址分离映射机制下的源地址真实性的含义是指，一个合法终端的接入地址不能被其他终端所伪造。地址分离映射机制增强了网络的安全性，可以有效地保护用户的身份隐私和位置隐私。但是，地址分离映射机制仍然存在一定的安全问题，比如其不能避免攻击者伪造接入地址对其他终端或者网络进行攻击的行为，即源地址真实性得不到保障。

因此，为了加强源地址真实性保障技术，需要对源地址进行认证。张宏科、王凯、周华春等人在申请号为“200910242626.2”的发明专利“使用令牌机制保障源地址真实性的安全接入系统及方法”中，对地址分离映射网络的源地址真实性保障提出了一种新的安全接入方案，其通过在地址分离映射网络的接入网中部署准入服务器，并在所述准入服务器中安装准入协商控制模块和令牌分配模块；在接入路由器上安装接入协商模块和数据包验证模块；在终端安装接入客户端软件模块，以负责用户接入时发送请求消息，从而达到保障地址分离映射网络中源地址真实性的目的。该安全接入方法发明专利的流程图如图2所示，其具体步骤如下：

步骤1：终端向所述准入服务器发送数据包X，请求接入；其中，数据包X中：源地址为终端的接入地址，目的地址为所述准入服务器的地址，用于激发安全接入过程；

步骤2：所述准入服务器从预先生成的挑战中随机选择一个挑战SHA1(N_q|K)，将SHA1(N_q|K)和签名函数sig_s{N_q|SHA1(N_q|K)}插入到数据包Y中，将数据包Y发给终端；其中，数据包Y中包含：N_q是准入服务器预先生成的随机数之一；SHA1(N_q|K)为160bit，是准入服务器预先生成的挑战，用于发给终端要求其应答；所述签名函数sig_s{N_q|SHA1(N_q|K)}是使用准入服务器私钥对N_q和挑战SHA1(Nq|K)的数字签名；

步骤3：终端使用所述准入服务器的公钥验证所述签名函数sig_s{N_q|SHA1(Nq|K)}成功后，根据Y中的所述挑战SHA1(N_q|K)，穷举法得出应答K，然后发送数据包A到所述准入服务器；其中，数据包A中包含：K是终端对Y中挑战的应答；N_q是数据包Y中的随机数；N_a是终端在本次会话中生成的随机数；sig_e(IPca_e|K|N_q|N_a)代表使用终端私钥对终端接入地址IPca_e、应答K、随机数N_q和随机数N_a的数字签名；Pub_e是终端公钥；

步骤4：准入服务器检查数据包A中应答K是否正确，若正确则提取A中接入地址和公钥，按照接入地址结构中归属前缀查找该终端归属域准入服务器的<终端接入地址，终端公钥>表：

若终端归属域为本准入服务器所在域，A中携带的接入地址和公钥在表中均不存在即终端还未注册或者都存在且对应关系一致，则本准入服务器使用步骤3数据包A中携带的公钥Pub_e验证sig_e(IPca_e|K|N_q|N_a)，验证成功则为终端生成令牌(Token)，并且将终端接入地址和公钥保存到<终端接入地址，终端公钥>表，如果该表原先已存在，则覆盖原记录；否则接入失败；

若终端归属域不是本准入服务器所在域，则通过本准入服务器查询其归属域准入服务器，若A中携带的接入地址和公钥在其归属域准入服务器的表中都存在且对应关系与表中一致，则本准入服务器使用步骤3数据包A中携带的公钥Pub_e验证sig_e(IPca_e|K|N_q|N_a)，验证成功后为终端生成令牌(Token)；若A中携带的接入地址或公钥在表中不存在，或者存在但对应关系与表中不一致则不进行验证，接入失败；

验证成功并生成令牌后，本准入服务器回复数据包B至终端；其中，数据包B中包含：N_a是A中的随机数；N_b是准入服务器在本次会话中生成的随机数；ect_e{sig_s(IPca_e|N_a|N_b)|Token}代表先使用准入服务器私钥对A中的IPca_e、N_a和随机数N_b进行数字签名，后用终端公钥对数字签名和Token加密生成的密文，其中Token是准入服务器为终端生成的令牌；

步骤5：终端使用自身私钥和准入服务器公钥验证B中密文部分即ect_e{sig_s(IPca_e|N_a|N_b)|Token}，若验证成功则将令牌Token保存，然后终端回复数据包C至准入服务器；否则不予理睬；其中，数据包C中包含：N_b是B中的随机数；SHA1{IPca_e|Token|N_b)}是对终端接入地址、令牌Token和N_b的哈希值；

步骤6：准入服务器验证数据包C中哈希值SHA1{IPca_e|Token|N_b)}，验证成功则发送数据包D至接入路由器，通知接入地址IPca_e和令牌的对应关系，所述准入服务器和所述接入路由器采用单独高速安全的连接；其中，数据包D中包含：IPca_e是A中的终端接入地址；Token是B中分配给终端的令牌；

步骤7：接入路由器将数据包D中接入地址IPca_e和令牌的对应关系保存在<终端接入地址，令牌>表中，若表中已存在该接入地址对应令牌，则使用新令牌覆盖原令牌，并将该接入地址添加到本地用户映射表LMT中，接着向终端分配路由地址，并通知映射服务器更新该终端的地址映射信息，然后，接入路由器向准入服务器发送数据包E，通告准入服务器接入地址IPca_e的<终端接入地址，令牌>表成功建立在了接入路由器上；其中，数据包E中包含：IPca_e是A中的终端接入地址；

步骤8：所述准入服务器收到所述接入路由器发来的数据包E后，发送数据包F至终端，通知终端启用令牌，终端验证F中哈希值SHA1{IPca_e|Token|N_c)}，验证成功则启用步骤5中保存的令牌，否则继续等待数据包F；其中，数据包F中包含：N_c是准入服务器在本次会话中生成的随机数；SHA1{IPca_e|Token|N_c)}是对终端接入地址、令牌和N_c的哈希值；

步骤9：终端以接入地址、令牌和一个随机生成的序号N_e为输入生成哈希值SHA1{IPca_e|Token|N_e)}，将所述SHA1{IPca_e|Token|N_e)}插入到通信数据包M中，发送M至接入路由器；其中，数据包M中包含：N_e是终端为每个数据包随机生成的序号；SHA1{IPca_e|Token|N_e)}是对终端接入地址、令牌和N_e的哈希值，data是需要发送的数据；

步骤10：所述接入路由器查找数据包M的接入地址IPca_e的<终端接入地址，令牌>表，从表中查到IPca_e对应的令牌L，然后使用M中接入地址、N_e以及表中查到的令牌L进行哈希运算得到哈希值Y：若Y和数据包M中携带的SHA1{IPca_e|Token|N_e)}相等，则证明源地址是真实的，此后将哈希值SHA1{IPca_e|Token|N_e)}和随机数N_e从数据包中去除后还原为普通数据包V，然后接入路由器查找V中接入地址的本地用户映射表LMT进行地址映射变为数据包P，将P转发到核心网中进行路由；否则，证明源地址是伪造的，直接丢弃不予转发；其中，数据包P中使用的地址为路由地址，data为数据包M中的数据。

终端在每个接入网内只需要进行一次从步骤1到步骤8的安全接入过程，如果终端关机或者移动到外网后又回到本网，则使用终端上一次从本网得到的令牌直接从步骤9开始执行即可，不需要重新协商令牌。这种方式大大减少了准入服务器的负担，同时也方便了终端用户。另外，终端为提高安全性还可以重新申请新令牌通信，将原先令牌弃用，见步骤7。

通过以上步骤，终端安全地得到了唯一绑定到接入地址的令牌，使得接入地址和令牌存在一一对应的关系；接入路由器建立了<终端接入地址，令牌>表，用于验证终端接入地址和令牌的绑定关系；准入服务器中保存了<终端接入地址，终端公钥>表，终端请求接入时准入服务器发送挑战要求终端穷举法找出应答以及先验证该表中两元素的对应关系而不是直接验证数字签名，都从很大程度上抵御了对准入服务器的DoS攻击。

上述保障源地址真实性的安全接入方法的发明专利存在缺陷：接入路由器上的<终端接入地址，令牌>表中的令牌为通信时检验终端接入地址真实性的依据，并且该令牌一旦生成即被保存在接入路由器上不再更改，除非终端用户重新运行安全接入过程来更换令牌，而这需要用户有很强的安全意识来反复运行安全接入过程。但是，在一般情况下，由于终端断电或者离开网络后都不需要重新运行安全接入过程便可直接接入网络，终端用户一般不会重复运行安全接入过程，因此会造成很大的安全隐患。因为令牌如果长时间不更换，很容易被恶意终端在一定的时间内破解，如果用户长期没有更换令牌，则令牌将很有可能被恶意终端所得到，此时恶意终端可以伪造该令牌并且使用相应的接入地址接入网络，将恶意行为嫁祸于拥有该令牌的合法终端用户。

发明内容

为了克服现有技术的上述不足，本发明提供一种增强源地址真实性保障的令牌更新方法，该方法通过设计令牌更新方案来实现令牌自动定期更换，作为原方案即“使用令牌机制保障源地址真实性的安全接入系统及方法”中安全接入方案的增强方案，其通过增强地址分离映射网络源地址真实性的保障力度，以解决原方案不能自动定期更换令牌的安全隐患问题。

本发明解决其技术问题所采用的技术方案是：

增强源地址真实性保障的令牌更新方法，该方法通过接入路由器每隔一段时间即对<终端接入地址，令牌>表进行更新，即向准入服务器请求按照<终端接入地址，令牌>表中接入地址依次分配新令牌，其中，接入路由器是令牌更新的发起者，准入服务器是新令牌的生成者，终端是新令牌的接受者。具体地，接入路由器每隔一段时间从<终端接入地址，令牌>表得到终端接入地址，并由所述接入路由器向准入服务器发送请求，要求其按照所述<终端接入地址，令牌>表中终端接入地址依次分配对应的新令牌，然后所述接入路由器将令牌更新指令发送到终端，通知终端定期更新令牌，从而使得恶意终端对令牌的破解过程变得毫无意义，该令牌更新过程步骤如下：

步骤1：接入路由器发送数据包A至与其在同一接入网的准入服务器，数据包A中包含需要进行令牌更新的接入地址IPca_e，接入路由器和准入服务器之间通过专用信道相连，所述发起令牌更新的接入路由器为所有自身<终端接入地址，令牌>表中含有接入地址IPca_e的接入路由器；

步骤2：步骤1中所述与每台发起令牌更新的接入路由器对应的同一接入网的准入服务器通过查询接入地址归属域的准入服务器的<终端接入地址，终端公钥>表，得到数据包A中IPca_e对应的公钥Pub_e；然后所述接入地址归属域的准入服务器为接入地址是IPca_e的终端分配新令牌Token2，Token2泛指分配的新令牌，由于不同接入网的准入服务器对应的发起令牌更新的接入路由器不同，因此分配的Token2无相关性；最后再由所述接入地址归属域的准入服务器将所述IPca_e、所述Pub_e和所述Token2插入到数据包B中回复步骤1中所述的接入路由器；所述数据包B中包含：IPca_e，其为需要进行令牌更新的终端接入地址；Pub_e，其是使用所述IPca_e为接入地址的终端对应的公钥；Token2，其为所述接入地址归属域的准入服务器为终端生成的新令牌；

步骤3：所述各台发起令牌更新的接入路由器收到所述数据包B后，为所述IPca_e建立新<终端接入地址，令牌>表，记为<IPca_e，Token2>，并且暂时不删除IPca_e原先的<终端接入地址，令牌>表，记为<IPca_e，Token1>，表中Token1泛指旧令牌，不同接入路由器中的Token1无相关性，此处新表设置有缓存时间TIMEOUT，超过该缓存时间所述新表将被自动删除；然后发送数据包C至终端，通知其更换令牌；所述数据包C中包括：接入路由器为本次会话生成的随机数N1；哈希值SHA1(IPca_e|N1|Token1)，所述哈希值SHA1(IPca_e|N1|Token1)为所述接入地址IPca_e、所述随机数N1和所述旧令牌Token1的哈希值；密文ect_e{sig_r(Token2)，Token2}，所述密文ect_e{sig_r(Token2)，Token2}是先使用接入路由器私钥对新令牌Token2进行数字签名，后使用终端公钥对数字签名和新令牌Token2进行加密的密文；接入路由器的公钥Pub_r；

若进行令牌更新过程的终端在与其他终端通信，则所述接入路由器对通信数据包进行身份验证的验证规则：查询通信数据包的接入地址IPca_e对应的新<终端接入地址，令牌>表和旧<终端接入地址，令牌>表，分别得到新令牌和旧令牌；使用所述IPca_e、所述新令牌和数据包序号N_e做哈希得到哈希值M1，使用所述IPca_e、所述旧令牌和数据包序号N_e做哈希得到哈希值M2，若通信数据包中携带的哈希值和M1和M2其中之一相同时，接入路由器即对通信数据包进行地址映射后转发，从而使得终端在更新令牌时通信不中断。

步骤4：因为终端只在当前正在通信的接入网中接入，因此终端仅能收到当前接入网接入路由器发来的数据包C；终端收到当前接入网接入路由器发来的数据包C后，使用自身在当前接入网与接入路由器通信用的旧令牌Token1以及所述接入地址IPca_e和数据包C中的随机数N1验证数据包C中哈希值SHA1(IPca_e|N1|Token1)正确后，使用自身私钥以及所述数据包C携带来的当前接入网接入路由器公钥验证密文ect_e{sig_r(Token2)，Token2}，若验证成功则使用所述密文ect_e{sig_r(Token2)，Token2}中的新令牌Token2替换所述旧令牌Token1；然后终端发送数据包D至当前接入网接入路由器；所述数据包D中包括：随机数N1，其是数据包C中的随机数；随机数N2，其是终端为本次会话对所述数据包D生成的随机数；哈希值SHA1(IPea_e|N1|N2|Token2)，其是终端对自身接入地址IPca_e、所述随机数N1、所述随机数N2和新令牌Token2的哈希值；

当前接入网接入路由器在所述TIMEOUT内收到所述数据包D后验证其中的哈希值SHA1(IPca_e|N1|N2|Token2)，验证成功后则删除IPca_e对应的原<终端接入地址，令牌>表即<IPca_e，Token1>，只保留新表<IPca_e，Token2>。

非当前接入网中发起令牌更新的接入路由器则由于在所述TIMEOUT不能收到所述数据包D，故新表会被自动删除，而仍然采用旧表。

若此时终端处于关机状态或者离网状态则不会更新令牌，从而接入路由器在所述TIMEOUT内未收到所述数据包D，此时接入路由器将自动删除新表<IPca_e，Token2>，即该终端未进行令牌更新，从而保证终端关机或者离网时接入路由器中旧令牌不被错误覆盖，而且在终端开机后仍然可以直接使用旧令牌通信而不需要重新运行安全接入的全过程。

步骤4中使用验证特定哈希值SHA1(IPca_e|N1|N2|Token2)的方法，有效地减少验证的开销，在一定程度上防止了对接入路由器的DoS攻击。

通过以上步骤，终端的令牌可以在安全的期限内及时得到自动的更新，而且更新的过程不会影响正常通信的过程，即令牌更新的过程中终端用户的通信不会中断，很好地解决了终端令牌易被破解而造成的安全隐患，并且在保障安全性的同时又不会影响终端用户的体验。

本发明的有益效果

1)本发明通过在合适的时间内自动更新终端的令牌和接入路由器的<终端接入地址，令牌>表，使得恶意终端破解令牌的工作变得毫无意义，从而充分保障了地址分离映射网络的源地址的真实性，进一步了提高网络的安全性能。

2)本发明在令牌更新的过程中终端用户的通信不会中断，即令牌更新过程对于终端用户来说是透明的，在保障安全性的同时又不会影响终端用户的体验。

3)本发明提供了终端令牌自动安全更换的方案，使得地址分离映射网络中“使用令牌机制保障源地址真实性的安全接入系统及方法”中安全接入方案更加完整，通过对令牌的及时更新，进一步增强了源地址真实性的保障力度。

4)本发明令牌更新过程中广泛采用哈希值作为验证信息，大大减少了验证过程中对于终端和接入路由器造成的消耗，从很大程度上防止了对终端和接入路由器的DoS攻击。

附图说明

图1为现有技术中地址分离映射网络拓扑示意图；

图2为现有技术中“使用令牌机制保障源地址真实性的安全接入系统及方法”发明专利的终端安全接入方案示意图；

图3为根据本发明的增强源地址真实性保障的令牌更新方法的网络拓扑结构部署示意图；

图4为根据本发明的增强源地址真实性保障的令牌更新方法的网络终端令牌更新过程示意图

具体实施方式

下面结合附图和具体实施方式对本发明作进一步详细描述：

实施例1：本发明通过在地址分离映射网络中，设计一种令牌更新方案来增强源地址真实性保障力度，通过令牌更新功能，可以进一步防止终端接入地址的欺骗行为，更好地保障了源地址的真实性。

如图3所示，本发明通过在接入网准入服务器的令牌分配模块中添加实现令牌更新功能的代码、在接入网的接入路由器接入协商模块中添加代码、在终端上接入客户端软件中添加代码来实现增强张宏科、王凯、周华春等人在申请号为“200910242626.2”的发明专利“使用令牌机制保障源地址真实性的安全接入系统及方法”的安全性。

在本实施例中，如图3所示，终端A的第一次安全接入过程是在接入网1中即终端A在接入网1为终端A的本地接入网，而且终端A在本地接入网进行令牌更新。结合图3和图4所示，本实施例的终端A的令牌更新过程步骤如下：

步骤1：接入路由器1发送包含终端A接入地址的数据包A至准入服务器1，请求对其进行令牌更新，数据包A中包含需要进行令牌更新的接入地址。接入路由器和准入服务器之间通过专用信道相连。此时终端A未移动并接入过其他接入网，因此其他接入网接入路由器<终端接入地址，令牌>表中无终端A的接入地址，从而其他接入网的接入路由器不会激发对终端A接入地址的令牌更新过程。

步骤2：准入服务器1通过查自身<终端接入地址，终端公钥>表得到终端A中IPca_e对应的公钥Pub_e，然后为终端A分配新令牌Token2，最后再由准入服务器1将所述IPca_e、所述Pub_e和所述Token2插入到数据包B中回复接入路由器1。

其中，所述IPca_e是需要进行令牌更新的终端接入地址，所述Pub_e是使用所述IPca_e为接入地址的终端对应的公钥；所述Token2为准入服务器为终端生成的新令牌。

步骤3：接入路由器1收到所述数据包B后，为终端A建立<A接入地址，Token2>表，并且暂时不删除原先的<A接入地址，Token1>表，此处新表设置有缓存时间TIMEOUT，超过该缓存时间所述新表将被自动删除；然后发送数据包C至终端，通知其更换令牌；所述数据包C中包含：随机数N1、哈希值SHA1(IPca_e|N1|Token1)、密文ect_e{sig_r(Token2)，Token2}和公钥Pub_r。

其中，所述随机数N1是接入路由器为本次会话对数据包C生成的随机数；所述哈希值SHA1(IPca_e|N1|Token1)是接入路由器对更新令牌终端的接入地址IPca_e、随机数N1和终端<终端接入地址，令牌>表中旧令牌Token1的哈希值；所述密文ect_e{sig_r(Token2)，Token2}是先使用接入路由器私钥对为终端生成的新令牌Token2进行数字签名，后使用终端公钥对数字签名和新令牌Token2进行加密的密文；所述公钥Pub_r是接入路由器的公钥。

若此时终端A正在与其他终端进行通信，则接入路由器1对通信数据包验证规则做相应改进：即使用A接入地址、<A接入地址，Token2>表中的Token2和数据包A的序号N_e做哈希运算得到M1；使用A接入地址、<A接入地址，Token1>表的Token1和数据包A的序号N_e做哈希运算得到M2，若通信数据包中携带的哈希值和M1和M2其中之一相等时，接入路由器1即对通信数据包进行地址映射并转发，从而使得终端在更新令牌时通信不中断。

步骤4：终端A收到数据包C后，使用自身令牌Token1以及接入地址和数据包C中的随机数N1验证数据包C中哈希值SHA1(IPca_e|N1|Token1)正确后，使用自身私钥以及所述数据包C携带来的接入路由器公钥验证密文，若验证成功则使用密文ect_e{sig_r(Token2)，Token2}中的新令牌Token2替换自身原先旧令牌Token1；然后终端A发送所述数据包D至接入路由器1，接入路由器1在所述TIMEOUT内收到所述数据包D后验证哈希值SHA1(IPca_e|N1|N2|Token2)，验证成功后则删除IPca_e对应的原<A接入地址，Token 1>表即<IPca_e，Token1>，只保留新表<A接入地址，Token2>即<IPca_e，Token2>。

其中，数据包D中包含：N1是数据包C中的随机数；N2是终端为本次会话对所述数据包D生成的随机数；SHA1(IPca_e|N1|N2|Token2)是终端对自身接入地址IPca_e、所述随机数N1、所述随机数N2和新令牌Token2的哈希值。

实施例2：如图3所示，终端A的第一次安全接入过程是在接入网1中即终端A在接入网1为终端A的本地接入网，而且终端A从本地接入网移动到了外地接入网，如图3中接入网2，并且终端A在接入网2中完成令牌更新。结合图3和图4，本实施例中终端A的令牌更新过程的步骤如下：

步骤1：接入路由器1和接入路由器2将包含终端A接入地址的数据包A分别发送至准入服务器1和准入服务器2，请求对其进行令牌更新。接入路由器和准入服务器之间通过专用信道相连。

步骤2：准入服务器1通过查自身<终端接入地址，终端公钥>表得到终端A对应的公钥Pub_e，然后为终端A分配新令牌Token21，最后将终端A的新令牌和公钥插入到数据包中生成数据包B1回复接入路由器1；而准入服务器2则通过查询准入服务器1中的<终端接入地址，终端公钥>表得到终端A对应的公钥，然后为终端A分配新令牌Token22，最后将终端A的新令牌和公钥插入到数据包B2中回复接入路由器2。

其中，数据包B1中包含：IPca_e是终端A的接入地址，Pub_e是终端A对应的公钥；Token21为准入服务器1为终端A生成的新令牌。

数据包B2中包含：IPca_e是终端A的接入地址，Pub_e是终端A对应的公钥；Token22为准入服务器2为终端A生成的新令牌。

步骤3：(1)接入路由器1收到所述数据包B1后，为终端A建立<A接入地址，Token21>表，并且暂时不删除原先的<A接入地址，Token1>表，此处新表设置有缓存时间TIMEOUT，超过该缓存时间所述新表将被自动删除；然后发送数据包C至终端，通知其更换令牌；但由于此时终端A不处于本接入路由器所在网内，故终端A无法收到接入路由器1发送的数据包C；所述数据包C中包含：随机数N1、哈希值SHA1(IPca_e|N1|Token1)、密文ect_e{sig_r(Token21)，Token21}和公钥Pub_r。

其中，随机数N1是接入路由器1为本次会话对数据包C生成的随机数；哈希值SHA1(IPca_e|N1|Token1)是接入路由器1对终端A的接入地址IPca_e、随机数N1和终端A的<终端接入地址，令牌>表中旧令牌Token1的哈希值；密文ect_e{sig_r(Token21)，Token21}是先使用接入路由器1的私钥对终端A的新令牌Token21进行数字签名，后使用终端公钥对数字签名和新令牌Token21进行加密的密文；所述公钥Pub_r是接入路由器1的公钥。

(2)接入路由器2收到所述数据包B2后，为终端A建立<A接入地址，Token22>表，并且暂时不删除原先的<A接入地址，Token1>表，此处新表设置有缓存时间TIMEOUT，超过该缓存时间所述新表将被自动删除；然后发送数据包C至终端，通知其更换令牌；所述数据包C中包含：随机数N1、哈希值SHA1(IPca_e|N1|Token1)、密文ect_e{sig_r(Token22)，Token22}和公钥Pub_r。

其中，随机数N1是接入路由器2为本次会话对数据包C生成的随机数；哈希值SHA1(IPca_e|N1|Token1)是接入路由器2对终端A的接入地址IPca_e、随机数N1和终端A的<终端接入地址，令牌>表中旧令牌Token1的哈希值；密文ect_e{sig_r(Token22)，Token 22}是先使用接入路由器2的私钥对终端A的新令牌Token22进行数字签名，后使用终端公钥对数字签名和新令牌Token22进行加密的密文；所述公钥Pub_r是接入路由器2的公钥。

若此时终端A正在与其他终端进行通信，则接入路由器2对通信数据包验证规则做相应改进：即使用A接入地址、<A接入地址，Token22>表中的Token22和数据包A的序号N_e做哈希运算得到M1；使用A接入地址、<A接入地址，Token1>表的Token1和数据包A的序号N_e做哈希运算得到M2，若通信数据包中携带的哈希值和M1和M2其中之一相等时，接入路由器2即对通信数据包进行地址映射并转发，从而使得终端在更新令牌时通信不中断。

步骤4：终端A收到接入路由器2发送的数据包C后，使用自身令牌Token1以及接入地址和数据包C中的随机数N1验证数据包C中哈希值SHA1(IPca_e|N1|Token1)正确后，使用自身私钥以及所述数据包C携带来的接入路由器2公钥验证密文，若验证成功则使用密文ect_e{sig_r(Token22)，Token22}中的新令牌Token22替换自身原先旧令牌Token1；然后终端A发送所述数据包D至接入路由器2，接入路由器2在所述TIMEOUT内收到所述数据包D后验证哈希值SHA1(IPca_e|N1|N2|Token22)，验证成功后则删除IPca_e对应的原<A接入地址，Token 1>表即<IPca_e，Token1>，只保留新表<A接入地址，Token22>即<IPca_e，Token22>。而接入路由器1在TIMEOUT内未收到终端A的回复，因此不进行令牌更新，仍然保留原表<IPca_e，Token1>。

至此，终端A的令牌更新过程完成。

Claims

1.一种增强源地址真实性保障的令牌更新方法，其特征是，接入路由器定期对<终端接入地址，令牌>表进行更新，从而向准入服务器请求按照<终端接入地址，令牌>表中接入地址，依次对终端分配新令牌，其中，接入路由器是令牌更新的发起者，准入服务器是新令牌的生成者，终端是新令牌的接受者，该令牌更新过程步骤如下：

步骤2：步骤1中所述的与每台发起令牌更新的接入路由器对应的同一接入网的准入服务器通过查询接入地址归属域的准入服务器的<终端接入地址，终端公钥>表，得到数据包A中IPca_e对应的公钥Pub_e；然后接入地址归属域的准入服务器为接入地址是IPca_e的终端分配新令牌Token2，Token2泛指分配的新令牌，由于不同接入网的准入服务器对应的发起令牌更新的接入路由器不同，因此分配的Token2无相关性；最后再由所述接入地址归属域的准入服务器将所述IPca_e、所述Pub_e和所述Token2插入到数据包B中回复步骤1中所述的接入路由器；所述数据包B中包含：IPca_e，其为需要进行令牌更新的终端接入地址；Pub_e，其是使用所述IPca_e为接入地址的终端对应的公钥；Token2，其为所述接入地址归属域的准入服务器为终端生成的新令牌；

步骤4：因为终端只在当前正在通信的接入网中接入，因此终端仅能收到当前接入网接入路由器发来的数据包C；终端收到当前接入网接入路由器发来的数据包C后，使用自身在当前接入网与接入路由器通信用的旧令牌Token1以及所述接入地址IPca_e和数据包C中的随机数N1验证数据包C中哈希值SHA1(IPca_e|N1|Token1)正确后，使用自身私钥以及所述数据包C携带的当前接入网接入路由器公钥验证密文ect_e{sig_r(Token2)，Token2}，若验证成功则使用所述密文ect_e{sig_r(Token2)，Token2}中的新令牌Token2替换所述旧令牌Token1；然后终端发送数据包D至当前接入网接入路由器，所述数据包D中包括：随机数N1，其是数据包C中的随机数；随机数N2，其是终端为本次会话对所述数据包D生成的随机数；哈希值SHA1(IPca_e|N1|N2|Token2)，其是终端对自身接入地址IPca_e、所述随机数N1、所述随机数N2和新令牌Token2的哈希值；

当前接入网接入路由器在所述TIMEOUT内收到所述数据包D后验证其中的哈希值SHA1(IPca_e|N1|N2|Token2)，验证成功后则删除IPca_e对应的原<终端接入地址，令牌>表即<IPca_e，Token1>，只保留新表<IPca_e，Token2>；非当前接入网中发起令牌更新的接入路由器则由于在所述TIMEOUT不能收到所述数据包D，故新表会被自动删除，而仍然采用旧表。

2.根据权利要求1所述的增强源地址真实性保障的令牌更新方法，其特征是，进一步包括：所述接入路由器每隔一段时间从<终端接入地址，令牌>表得到终端接入地址，并向所述与每台发起令牌更新的接入路由器对应的同一接入网的准入服务器发送令牌更新请求消息，然后，所述与每台发起令牌更新的接入路由器对应的同一接入网的准入服务器通过发送令牌更新请求消息到所述接入地址归属域的准入服务器，要求其按照所述<终端接入地址，令牌>表中的终端接入地址依次分配对应的新令牌，然后所述接入路由器将令牌更新指令发送到终端，通知终端定期更新令牌。

3.根据权利要求1所述的增强源地址真实性保障的令牌更新方法，其特征是，步骤4中验证成功后，若所述终端处于关机状态或者离网状态，则所述接入路由器在所述TIMEOUT内收不到所述数据包D，接入路由器自动删除新表<IPca_e，Token2>，该终端未进行令牌更新，从而保证所述终端关机或者离网时所述接入路由器中旧令牌不被错误覆盖，而且在终端开机后仍然可以直接使用旧令牌通信而不需要重新运行安全接入的全过程。

4.根据权利要求1所述的增强源地址真实性保障的令牌更新方法，其特征是，步骤3中，若进行令牌更新过程的终端在与其他终端通信，则所述接入路由器对通信数据包进行身份验证的验证规则：查询通信数据包的接入地址IPca_e对应的新<终端接入地址，令牌>表和旧<终端接入地址，令牌>表，分别得到新令牌和旧令牌；使用所述IPca_e、所述新令牌和数据包序号N_e做哈希得到哈希值M1，使用所述IPca_e、所述旧令牌和数据包序号N_e做哈希得到哈希值M2，若通信数据包中携带的哈希值和M1和M2其中之一相同时，接入路由器即对通信数据包进行地址映射后转发，从而使得终端在更新令牌时通信不中断。