CN101742491A - 一种移动设备与安全接入网关间密钥交换协商方法 - Google Patents
一种移动设备与安全接入网关间密钥交换协商方法 Download PDFInfo
- Publication number
- CN101742491A CN101742491A CN200910199910A CN200910199910A CN101742491A CN 101742491 A CN101742491 A CN 101742491A CN 200910199910 A CN200910199910 A CN 200910199910A CN 200910199910 A CN200910199910 A CN 200910199910A CN 101742491 A CN101742491 A CN 101742491A
- Authority
- CN
- China
- Prior art keywords
- message
- intranet
- address
- ike
- user
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Abstract
本发明公开了一种移动设备与安全接入网关间密钥交换协商方法,所述方法在IKE第一阶段主模式协商过程中,移动设备发送携带有用户身份认证信息的第五条消息至接入网关;接入网关根据所述第五条消息对远程设备进行身份认证,若通过,则接入网关向所述移动设备分配内网IP地址,并向所述移动设备发送携带有内网IP地址信息的第六条消息;所述移动设备接收所述第六条消息,并获取所述内网IP地址。本发明所述方法通过修改标准IKE交互流程,在保证系统安全的基础上,实现了对用户身份的扩展认证和客户端的动态内网IP分配,克服了现有技术存在的效率低下和可控性差的缺陷,满足移动环境下用户远程安全接入的要求。
Description
技术领域
本发明属于计算机通信和数据安全领域,主要涉及安全密钥协商技术,远程访问技术,特别是移动设备与安全接入网关间密钥交换协商方法。
背景技术
智能终端和无线网络通讯的迅速发展使得人们可以很方便地利用智能移动终端随时随地接入因特网。但是目前机密性要求较高的业务在移动终端上的应用却很少,这是由于移动网络是开放的网络,它除了需要面对固定网络所具有的安全威胁之外,还面临着带宽低、干扰大、稳定性差,容易丢包,更容易受到窃听等问题。同时,智能移动终端还具有计算能力低、存储容量小、IP地址不固定的特点。采用基于IPSec的VPN技术来保障移动终端安全接入是目前的研究热点。
IKE(Internet Key Exchange)为IPSec提供自动协商密钥交换,建立安全联盟的服务,其具有一套自保护机制,可以在不安全的网络上安全地分发密钥、验证身份、建立IPSec安全联盟。然而,对于远程接入用户,除了需要建立安全联盟,还需要获得安全接入服务器的内部网络信息,而这些在标准IKE中均未定义,针对此问题,现在广泛应用的解决方案有IETF提出的基于IKE的IPSec隧道模式下的DHCP配置方法,以及微软提出的基于L2TP/IPSec的解决方案,都有广泛应用。DHCP/IPSec方案是由IPSec远程接入客户端首先生成临时DHCP SA,然后在此SA保护下产生DHCP请求消息,IPSec远程接入服务器作为DHCP中继代理,将消息传送到内网的DHCP服务器,为远程接入客户端分配内网IP。此方案的不足之处是需要临时建立一个DHCP SA,不仅延长IKE交互时间,同时也给远程接入服务器带来较大负担,而且由于接入服务器难以控制DHCP服务器,使得不同的用户身份能够选择不同的地址池分配内部地址,引发访问控制困难。而将L2TP(Layer TwoTunneling Protocol)与IPSec结合的方案虽然可以实现内网地址动态分配以及用户名、密码扩展认证,但此方案需要额外进行L2TP协商,并且在IPSec数据传输过程中需要多次封装,导致效率低下。如何设计合理的IKE协商过程,并且不影响系统的安全性以及效率性就显得非常重要。
发明内容
本发明针对目前基于标准IKE的远程接入方案的缺陷,在标准IKE的基础上,提供了一种移动设备与安全接入网关间密钥交换协商方法,该方法既支持动态内网IP分配,又支持扩展用户身份认证,具有更高的协商效率,更强的可控性和灵活性。
本发明目的具体通过以下技术手段来实现:
该方法所包括的主要步骤如下:
IKE协商的客户端(移动设备),向接入网关发送携带有用户身份认证信息的第五条消息,请求进行用户身份认证;
所述接入网关接收来自所述客户端的携带有用户身份认证信息的第五条消息,获取用户身份信息,进行用户身份认证。如果认证通过,则为所述客户端分配内网IP地址,并向所述客户端发送携带有内网IP地址信息的第六条消息;
所述客户端接收来自所述接入网关的携带有内网IP地址信息的第六条消息,获取并记录所述内网IP地址。
上述的方法,其中,所述第五条消息是IKE主模式协商过程中的第五条消息,所述第六条消息是IKE主模式协商过程中的第六条消息。
上述的方法,其中,所述用户身份认证信息包含在所述第五条消息中的用户身份载荷(UserInfo)中进行发送。
上述的方法,其中,所述用户身份认证信息包括用户名和用户密码。
上述的方法,其中,在所述接入网关上配置用户信息,以保证用户可进行身份认证。
上述的方法,其中,所述接入网关为通过用户身份认证的客户端分配一个内网IP地址;当IKE SA过期或收到IKE中止消息时,回收上述分配的内网IP地址。
上述的方法,其中,所述内网IP地址信息携带在所述第六条消息中的内网地址载荷(InnerAddr)中进行发送。
上述的方法,其中,所述内网IP地址信息为所述接入网关为所述客户端分配的内网IP地址。
上述的方法,其中,所述记录所述内网IP地址为:从所接收的第六条消息中获取内网IP地址,将获取的内网IP地址记录在客户端设备的注册表中。
上述的方法,其中,如果用户身份认证不通过,则所述接入网关将中止与所述客户端的后续IKE协商。
上述的方法,其中,所述第五条消息和第六条消息的内容由IKE主模式协商第一条至第四条消息建立的密码算法和密钥来保护。
本发明方法的有益效果为:通过修改IKE交互流程,在保证系统安全及效率的基础上,不仅实现了客户端的动态内网IP分配,而且增加对用户身份的扩展认证。系统中采用的基于用户组的内网IP分配策略,有利于进一步进行访问控制。
附图说明
图1为本发明方法所述的移动设备与接入网关之间进行密钥交换协商的步骤流程图;
图2为本发明方法在具体实施例中IKE协商第一阶段消息交换过程示意图;
图3为本发明方法在具体实施例中自定义用户身份载荷(UserInfo)格式示意图;
图4为本发明方法在具体实施例中自定义内网地址载荷(InnerAddr)格式示意图;
图5为本发明方法在具体实施例中标准IKE协商中第五六条消息更改后的处理流程示意图;
图6为本发明方法在具体实施例中IKE协商第二阶段消息交换过程示意图。
图中:HDR表示ISAKMP头,它的交换类型就是采用的交换的模式,HDR*表明ISAKMP头后面的是加密载荷。SA表示带有一个或多个建议载荷的安全关联联盟。KE表示密钥交换载荷。IDx表示标识载荷,其中x是ii或者ir,ii代表ISAKMP发起者,ir代表ISAKMP响应者。HASH表示杂凑载荷。Cert-R表示证书请求载荷。CERT表示证书。AUTH表示用户名、密码。IP-Req表示IP地址请求载荷。IP-Reply表示IP地址载荷。NAT-T表示NAT穿越。NAT-D表示本地IP地址及端口的HASH值。
具体实施方式
以下结合附图和具体实施例以进一步说明本发明,但不用来限制本发明的范围。
如图1所示,本发明的方法所包括的主要步骤如下:
IKE协商的客户端(移动设备),向接入网关发送携带有用户身份认证信息的第五条消息,请求进行用户身份认证;
所述接入网关接收来自所述客户端的携带有用户身份认证信息的第五条消息,获取用户身份信息,进行用户身份认证。如果认证通过,则为所述客户端分配内网IP地址,并向所述客户端发送携带有内网IP地址信息的第六条消息;
所述客户端接收来自所述接入网关的携带有内网IP地址信息的第六条消息,获取并记录所述内网IP地址。
其中,所述第五条消息是IKE主模式协商过程中的第五条消息,所述第六条消息是IKE主模式协商过程中的第六条消息。
其中,所述用户身份认证信息包含在所述第五条消息中的用户身份载荷(UserInfo)中进行发送。
其中,所述用户身份认证信息包括用户名和用户密码。
其中,在所述接入网关上配置用户信息,以保证用户可进行身份认证。
其中,所述接入网关为通过用户身份认证的客户端分配一个内网IP地址;当IKE SA过期或收到IKE中止消息时,回收上述分配的内网IP地址。
其中,所述内网IP地址信息携带在所述第六条消息中的内网地址载荷(InnerAddr)中进行发送。
本发明所述的方法,其中,所述内网IP地址信息为所述接入网关为所述客户端分配的内网IP地址。
其中,所述记录所述内网IP地址为:从所接收的第六条消息中获取内网IP地址,将获取的内网IP地址记录在客户端设备的注册表中。
其中,如果用户身份认证不通过,则所述接入网关将中止与所述客户端的后续IKE协商。
其中,所述第五条消息和第六条消息的内容由IKE主模式协商第一条至第四条消息建立的密码算法和密钥来保护。
根据上述公开的技术方案,本发明在实施过程中,主要涉及三个通信模块:客户端模块,安全接入网关模块以及地址管理模块。其中地址管理模块主要负责接收安全接入网关发送来的用户身份信息(从IKE主模式第五条消息的用户身份信息载荷中提取),根据用户身份选择合适的内网IP地址池分配IP,并将结果返回给安全接入网关,如果用户身份认证失败,则返回空值。当IKE SA过期或收到IKE终止消息时,安全接入网关模块会向地址管理模块发送地址回收消息,地址管理模块回收此地址。
具体实施步骤包括IKE第一阶段协商和第二阶段协商:
1.IKE第一阶段协商(如图2):
步骤一:当客户端需要访问安全接入网关信息时,首先输入用户名、密码,激活IKE协商;
步骤二:客户端发起IKE协商主模式第一条消息,生成CKY-I,提出ISAKMP SA属性的建议,向安全接入网关发送一个封装有提案载荷的SA载荷,包括加密算法(选择DES,AES或3DES等)、hash算法(选择MD5或SHA)、认证方法(选择证书认证、预置共享密钥认证或Kerberos v5认证)、Diffie-Hellman组(选择1024bit MODP,1536bit MODP等)。
步骤三:安全接入网关响应IKE协商主模式第一条消息,生成CKY-R,从建议的ISAKMPSA属性中做出选择,并向客户端发送IKE协商主模式第二条消息,表明其所接受的SA建议。
步骤四:客户端发送IKE协商主模式第三条消息。包括Diffie-Hellman公开值,nounce值Ni。
步骤五:安全接入网关接收第三条消息,并发送IKE协商主模式第四条消息,包括Diffie-Hellman公开值,nounce值Nr及证书请求载荷。同时,根据接收的第三条消息计算SKEYID、SKEYID_d、SKEYID_a、SKEYID_e等密钥材料。
步骤六:客户端发送IKE协商主模式第五条消息,包括标识数据ID-I、证书载荷、以及自定义的用户身份载荷(UserInfo)(具体格式定义如图3所示)。
步骤七:安全接入网关接收第五条消息,如果接收到用户身份载荷(UserInfo),则提取用户身份信息,传递给地址管理模块,地址管理模块会根据用户身份选择合适的地址池分配,并回送带有内网IP信息的内网地址载荷(InnerAddr)(具体格式如图4),如果身份验证失败,则终止后续IKE协商。具体流程如图5。
2.IKE第二阶段协商(如图6):
步骤八:开始IKE第二阶段协商,在IKE SA的保护下建立IPSec SA,客户端和安全接入网关均可作为发起端。
步骤九:完成IKE第二阶段协商,获得IPSec传输所需要的密钥材料,传输模式等信息,协商结束。
本发明针对目前基于标准IKE的远程接入方案的缺陷,通过在IKE第一阶段主模式的第五条消息中增加身份用户身份载荷,接入网关根据用户身份分配合适的内网IP添加在IKE第一阶段主模式第六条消息中,实现了对用户远程安全接入获得内网信息的支持,而且扩展了IKE认证方式,根据身份分配内网IP的方式更加有利于访问控制管理,而且,由于扩展载荷增加在第五六条消息中,属于加密传输,不会降低IKE协商的安全性。因此,本方案不仅满足远程客户的安全接入需求,而且具有更高的协商效率,更强的可控性及灵活性。
上述的对实施例的描述是为便于该技术领域的普通技术人员能理解和使用本发明。熟悉本领域技术的人员显然可以容易地对这些实施例做出各种修改,并把在此说明的一般原理应用到其他实施例中而不必经过创造性的劳动。因此,本发明不限于上述实施例,本领域技术人员根据本发明的揭示,在不脱离本发明的范畴的情况下所做出的修改都在本发明的保护范围之内。
Claims (11)
1.一种移动设备与安全接入网关间密钥交换协商方法,其特征在于:包括以下步骤:
(1)IKE协商的客户端,向接入网关发送携带有用户身份认证信息的第五条消息,请求进行用户身份认证;
(2)所述接入网关接收来自所述客户端的携带有用户身份认证信息的第五条消息,获取用户身份信息,进行用户身份认证;如果认证通过,则为所述客户端分配内网IP地址,并向所述客户端发送携带有内网IP地址信息的第六条消息;
(3)所述客户端接收来自所述接入网关的携带有内网IP地址信息的第六条消息,获取并记录所述内网IP地址。
2.根据权利要求1所述的密钥交换协商方法,其特征在于:所述第五条消息是IKE主模式协商过程中的第五条消息,所述第六条消息是IKE主模式协商过程中的第六条消息。
3.根据权利要求1所述的密钥交换协商方法,其特征在于:所述用户身份认证信息包含在所述第五条消息的用户身份载荷中进行发送。
4.根据权利要求1所述的密钥交换协商方法,其特征在于,所述用户身份认证信息包括用户名和用户密码。
5.根据权利要求1所述的密钥交换协商方法,其特征在于:在所述接入网关上配置用户身份信息,以保证可对用户进行身份认证。
6.根据权利要求1所述的密钥交换协商方法,其特征在于:所述接入网关为通过用户身份认证的客户端分配一个内网IP地址;当IKE SA过期或收到IKE中止消息时,回收上述分配的内网IP地址。
7.根据权利要求1所述的密钥交换协商方法,其特征在于:所述内网IP地址信息包含在所述第六条消息的内网地址载荷中进行发送。
8.根据权利要求1所述的密钥交换协商方法,其特征在于:所述内网IP地址信息为所述接入网关为所述客户端分配的内网IP地址。
9.根据权利要求1所述的密钥交换协商方法,其特征在于:所述记录内网IP地址为:从所接收的第六条消息中获取内网IP地址,将获取的内网IP地址记录在客户端设备的注册表中。
10.根据权利要求1所述的密钥交换协商方法,其特征在于:如果用户身份认证不通过,则所述接入网关将中止与所述客户端的后续IKE协商。
11.根据权利要求1所述的密钥交换协商方法,其特征在于:所述第五条消息和第六条消息的内容由IKE主模式协商第一条至第四条消息建立的加密算法和密钥来保护。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200910199910A CN101742491A (zh) | 2009-12-04 | 2009-12-04 | 一种移动设备与安全接入网关间密钥交换协商方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200910199910A CN101742491A (zh) | 2009-12-04 | 2009-12-04 | 一种移动设备与安全接入网关间密钥交换协商方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN101742491A true CN101742491A (zh) | 2010-06-16 |
Family
ID=42465212
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN200910199910A Pending CN101742491A (zh) | 2009-12-04 | 2009-12-04 | 一种移动设备与安全接入网关间密钥交换协商方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101742491A (zh) |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103188266A (zh) * | 2013-03-26 | 2013-07-03 | 汉柏科技有限公司 | 一种基于ezvpn的地址分配回收动态控制方法和系统 |
| CN105516374A (zh) * | 2014-09-23 | 2016-04-20 | 中兴通讯股份有限公司 | 内部地址分配方法、装置、服务器及系统 |
| CN105591748A (zh) * | 2015-09-21 | 2016-05-18 | 杭州华三通信技术有限公司 | 一种认证方法和装置 |
| CN105991351A (zh) * | 2015-07-21 | 2016-10-05 | 杭州迪普科技有限公司 | 一种IPSec配置方法及装置 |
| CN109120405A (zh) * | 2018-10-29 | 2019-01-01 | 全球能源互联网研究院有限公司 | 一种终端安全接入方法、装置及系统 |
| CN111130775A (zh) * | 2019-12-27 | 2020-05-08 | 广东电网有限责任公司电力科学研究院 | 一种密钥协商方法、装置及设备 |
| CN113473463A (zh) * | 2021-06-30 | 2021-10-01 | 广东纬德信息科技股份有限公司 | 一种移动办公通信方法及系统 |
-
2009
- 2009-12-04 CN CN200910199910A patent/CN101742491A/zh active Pending
Cited By (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103188266A (zh) * | 2013-03-26 | 2013-07-03 | 汉柏科技有限公司 | 一种基于ezvpn的地址分配回收动态控制方法和系统 |
| CN103188266B (zh) * | 2013-03-26 | 2015-12-02 | 汉柏科技有限公司 | 一种基于ezvpn的地址分配回收动态控制方法和系统 |
| CN105516374A (zh) * | 2014-09-23 | 2016-04-20 | 中兴通讯股份有限公司 | 内部地址分配方法、装置、服务器及系统 |
| CN105991351A (zh) * | 2015-07-21 | 2016-10-05 | 杭州迪普科技有限公司 | 一种IPSec配置方法及装置 |
| CN105991351B (zh) * | 2015-07-21 | 2019-06-04 | 杭州迪普科技股份有限公司 | 一种IPSec配置方法及装置 |
| CN105591748A (zh) * | 2015-09-21 | 2016-05-18 | 杭州华三通信技术有限公司 | 一种认证方法和装置 |
| CN105591748B (zh) * | 2015-09-21 | 2019-02-19 | 新华三技术有限公司 | 一种认证方法和装置 |
| CN109120405A (zh) * | 2018-10-29 | 2019-01-01 | 全球能源互联网研究院有限公司 | 一种终端安全接入方法、装置及系统 |
| CN109120405B (zh) * | 2018-10-29 | 2021-11-09 | 全球能源互联网研究院有限公司 | 一种终端安全接入方法、装置及系统 |
| CN111130775A (zh) * | 2019-12-27 | 2020-05-08 | 广东电网有限责任公司电力科学研究院 | 一种密钥协商方法、装置及设备 |
| CN113473463A (zh) * | 2021-06-30 | 2021-10-01 | 广东纬德信息科技股份有限公司 | 一种移动办公通信方法及系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101296086B (zh) | 接入认证的方法、系统和设备 | |
| CN101170409B (zh) | 实现设备访问控制的方法、系统、业务设备和认证服务器 | |
| CN103873487B (zh) | 一种基于智能家居设备安全挂件的家居信任组网的实现方法 | |
| CN101616410B (zh) | 一种蜂窝移动通信网络的接入方法和系统 | |
| CN101640607B (zh) | 基于因特网安全协议的虚拟专用网的配置方法及系统 | |
| CN101742491A (zh) | 一种移动设备与安全接入网关间密钥交换协商方法 | |
| CN101651682B (zh) | 一种安全认证的方法、系统和装置 | |
| CN109923830A (zh) | 用于配置无线网络接入设备的系统和方法 | |
| CN103427998B (zh) | 一种面向互联网数据分发的身份验证和数据加密方法 | |
| EP3065334A1 (en) | Key configuration method, system and apparatus | |
| CN109286932A (zh) | 入网认证方法、装置及系统 | |
| US20140226818A1 (en) | Access point device and system for wireless local area network, and related methods | |
| CN102196422B (zh) | 一种手持通信终端丢失后文件防泄密方法 | |
| CN101605137A (zh) | 安全分布式文件系统 | |
| CN103491531A (zh) | 在电力系统WiMAX无线通信网中使用量子密钥提高电力信息传输安全性的方法 | |
| CN102255918A (zh) | 一种基于DHCP Option 82的用户接入权限控制方法 | |
| CN102195957A (zh) | 一种资源共享方法、装置及系统 | |
| CN103036867A (zh) | 基于相互认证的虚拟专用网络服务设备和方法 | |
| CN101335621B (zh) | 一种802.11i密钥管理方法 | |
| CN105429962B (zh) | 一种通用的面向加密数据的中间网络服务构建方法与体系 | |
| CN101986598B (zh) | 认证方法、服务器及系统 | |
| WO2009074082A1 (fr) | Procédé, système et dispositif de contrôle d'accès | |
| CN106789476B (zh) | 一种网关通讯方法及系统 | |
| CN101772024A (zh) | 一种用户身份确定方法及装置和系统 | |
| CN108288004A (zh) | 一种加密芯片在ree和tee环境共存系统及方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C12 | Rejection of a patent application after its publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20100616 |