CN101827079A - 抗阻塞攻击的终端连接建立方法和终端访问认证系统 - Google Patents
抗阻塞攻击的终端连接建立方法和终端访问认证系统 Download PDFInfo
- Publication number
- CN101827079A CN101827079A CN201010101547A CN201010101547A CN101827079A CN 101827079 A CN101827079 A CN 101827079A CN 201010101547 A CN201010101547 A CN 201010101547A CN 201010101547 A CN201010101547 A CN 201010101547A CN 101827079 A CN101827079 A CN 101827079A
- Authority
- CN
- China
- Prior art keywords
- terminal
- user
- networking
- vector
- message
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 79
- 230000000903 blocking effect Effects 0.000 title abstract description 3
- 239000013598 vector Substances 0.000 claims abstract description 253
- 230000004044 response Effects 0.000 claims abstract description 159
- 238000004891 communication Methods 0.000 claims abstract description 25
- 230000006855 networking Effects 0.000 claims description 624
- 238000003780 insertion Methods 0.000 claims description 287
- 230000037431 insertion Effects 0.000 claims description 287
- 235000013409 condiments Nutrition 0.000 claims description 55
- 230000005540 biological transmission Effects 0.000 claims description 26
- 238000012360 testing method Methods 0.000 claims description 14
- 230000006870 function Effects 0.000 description 40
- 238000010586 diagram Methods 0.000 description 38
- 230000008569 process Effects 0.000 description 26
- 230000010354 integration Effects 0.000 description 19
- 238000012546 transfer Methods 0.000 description 13
- 230000006872 improvement Effects 0.000 description 12
- 238000004321 preservation Methods 0.000 description 12
- 238000004364 calculation method Methods 0.000 description 9
- 238000005516 engineering process Methods 0.000 description 6
- 235000009508 confectionery Nutrition 0.000 description 5
- 238000000205 computational method Methods 0.000 description 4
- 235000014510 cooky Nutrition 0.000 description 4
- 238000001514 detection method Methods 0.000 description 4
- 230000015572 biosynthetic process Effects 0.000 description 3
- 238000012795 verification Methods 0.000 description 3
- 238000013475 authorization Methods 0.000 description 2
- 230000006399 behavior Effects 0.000 description 2
- 125000004122 cyclic group Chemical group 0.000 description 2
- 230000002950 deficient Effects 0.000 description 2
- 238000013461 design Methods 0.000 description 2
- 239000012634 fragment Substances 0.000 description 2
- 230000000977 initiatory effect Effects 0.000 description 2
- 230000001360 synchronised effect Effects 0.000 description 2
- 241000700605 Viruses Species 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 230000005574 cross-species transmission Effects 0.000 description 1
- 230000007812 deficiency Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000002452 interceptive effect Effects 0.000 description 1
- 230000009545 invasion Effects 0.000 description 1
- 238000007726 management method Methods 0.000 description 1
- 230000011514 reflex Effects 0.000 description 1
- 238000010200 validation analysis Methods 0.000 description 1
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种抗阻塞攻击的终端连接建立方法和终端访问认证实现系统,它属于用户终端访问通信服务网络的方法及其实现系统,其特征在于该方法将确认用户入网终端合法身份的双向信息交换分成:入网用户终端发送包括用户密钥种子矢量的入网请求报文,网络接入终端发送网络密钥种子矢量,网络接入终端以密文方式发送包括用户入网请求报文摘要和终端登录令牌的入网应答报文,入网用户终端取得终端登录令牌,入网用户终端向网络接入终端回传终端登录令牌信息,以及网络接入终端验证终端登录令牌信息六个步骤。
Description
技术领域
本发明属于一种用户终端访问通信服务网络的登录方法及其实现系统,尤其是一种用于对抗阻塞攻击的在入网用户终端与网络接入终端之间建立连接的方法和终端访问认证实现系统。
背景技术
伴随着网络技术的发展和网络通信的普及,网络安全已经日益成为人们关注的焦点。当前网络面临的安全威胁主要来自于黑客攻击、网络缺陷、软件漏洞以及管理欠缺等。由网络黑客或计算机病毒发起的阻塞攻击是其中较难防范的一种。
“阻塞攻击”又称“拒绝服务攻击”。它是这样一种网络攻击:当通信网络在受到这种形式的攻击以后,部分或全部丧失了正常服务响应能力,不再继续向“合法授权用户提供承诺的网络服务”。由少量攻击者发起的阻塞攻击的主要形式包括:TCP同步风暴攻击、ICMP广播风暴攻击、UDP服务攻击、流量反弹攻击、入侵检测攻击等。
在TCP同步风暴攻击中,攻击者发送大量的半连接,且连接的源地址是伪造的,这样服务器在将确认消息返回给用户时将不会收到伪造源地址用户的确认,这时服务器只能等待并不断重发确认消息,直到这种半连接超时。攻击者在短时间内持续发送大量伪造了源地址的半连接请求,必然使服务器过载而不能提供服务。
在ICMP广播攻击中,攻击者发送大量目的地址指向高速局域网广播地址,源地址指向受害主机的ICMP反射请求广播包,从而引发目的局域网大量广播包反射到受害主机,造成受害主机网络阻塞。
在UDP服务攻击中,攻击者通过多个服务器向受害主机海量发送不限速的UDP包,将受害主机淹没在不断涌入的垃圾数据中,使得正常的网络服务被阻塞。
在流量反弹攻击中,攻击者通过多个服务器向海量反弹服务器发送源地址为伪造的受害主机的攻击数据,通过反弹服务器的正常服务,将海量垃圾服务应答数据汇聚于受害主机,将受害主机淹没在不断涌入的垃圾数据中,使得正常的网络服务被阻塞。
在入侵检测攻击中,攻击者故意发送含有特殊字符串的数据包,使得受害主机的入侵检测系统误认为发现入侵而产生大量警告,最终使入侵检测系统超过记录能力而过载或崩溃,从而掩盖真正的网络入侵行为。
总结阻塞攻击的种种形式不难发现,造成拒绝服务的原理就是利用网络协议的缺陷,使受害主机或主机网络过载而失去服务响应能力。而为了保证通信网络的“授权用户始终能够获得网络服务”,通信网络系统必须能够抵抗这种“阻塞攻击”。
通信网络系统的网络业务服务,逻辑上是通过网络接入终端来提供的。当用户需要某种网络服务时,其入网用户终端首先建立起与网络接入终端的通信连接,然后进行单向或双向的数据信息交流,实现网络业务服务,最后当结束服务时关闭通信连接。作为用户终端获得网络访问服务的门户,网络接入终端是辨识合法用户和非法流量的最佳位置,同时也是网络系统中最容易遭受阻塞攻击的部位之一。
通信网络接入终端被设计为向大量用户终端提供网络访问服务。作为一个合理的假设,其配置应该满足最大设计数量用户终端同时申请入网的峰值业务量需求。在此前提下如果网络接入终端仍然发生了过载,必然是同时到达了大量虚假用户终端的网络访问,处理这些虚假用户终端网络访问所需要的运算量超出了网络接入终端配置的处理能力。因此为了对抗阻塞攻击,必须能够动态限制用户终端的网络访问负载量,同时能够惩罚单个终端假冒多个终端身份的行为。
目前的系统多采用序列号和口令保护的方式来进行用户身份认证,确保用户和终端的真实性。这种方式要求用户和网络终端共享相同的口令数据,并且序列号和口令数据需要在网络中以明文方式传输,极易被截获和假冒。如果事先建立加密信道,将序列号和口令数据在加密信道中传输,固然可以防范敏感数据被非法截获,但是建立加密信道的过程本身计算量很大,足以被非法用户用于发起阻塞攻击。
另一些系统采用密码学身份认证来确保用户身份的唯一合法性。比如基于智能卡的身份认证系统,智能卡中存储了用户私钥和网络公钥。用户使用自己的私钥对认证数据签名,再用网络公钥对数字签名加密;网络端必须使用自己的私钥解密数据,再用用户的公钥验证签名。然而这种密码学身份认证运算量很大,例如产生或验证一个1024位的RSA公开密钥算法加密的数字签名,奔腾IV-2G的台式机需要1~2秒的时间。因此身份认证过程本身常成为阻塞攻击的目标。
例如用户以随机产生的数据作为自己的身份数据要求进行身份认证,网络接入终端需要花费大量处理能力才能证实该身份数据是非法的。如果用户用不断变化的随机数据来作为自己的身份标志,持续要求网络接入终端进行大运算量的密码学验证。这样攻击者只需要很少的开销,就可以迫使网络接入终端不得不执行大规模的运算,最终导致网络接入终端过载,达到阻塞系统的目的。
在基于IP的路由器网络中,如果用户终端与服务器不在同一个网段,那么只有目标地址与用户终端地址相同的分组包才能被路由器正确转发到用户终端。这样服务器可以通过给要求服务的用户终端发送一个“甜饼”,并要求用户终端回发给服务器来验证用户终端的唯一性。该小甜饼与用户终端的网络地址相关联。如果用户提供了虚假的网络地址,那么它将不能收到服务器生成的小甜饼,从而避免了后继的网络应答操作。
但是这种方法不适用于广播网络,或处于同一个广播域中的网络。因为此时用户总能收到服务器生成的小甜饼,使得入网过程能够继续进行。随着局域网规模的扩大和长距离无线网络的规模应用,需要向越来越大的广播网络或网络广播域中的各种不同身份用户提供网络服务,基于小甜饼交换的终端身份验证方法就不再有效。
发明内容
本发明的目的就是提供一种同时适用于路由网络和广播网络、性能稳定可靠并且简单易于实施的、基于计算量的、在入网用户终端与网络接入终端之间建立连接的方法和终端访问认证实现系统。
本发明的入网用户终端与网络接入终端建立连接的方法是:网络接入终端通过与入网用户终端多次交换信息,建立入网用户终端和网络接入终端之间的通信连接,同时防范入网用户终端以虚构的多重身份发动阻塞攻击,其特征在于,该方法将网络接入终端和入网用户终端之间的信息交换分成六个步骤:第一步入网用户终端以明文方式发送包括用户密钥种子矢量的入网请求报文;第二步网络接入终端以明文方式发送网络密钥种子矢量;第三步网络接入终端收到入网用户终端发来的入网请求报文后,为入网用户终端分配终端登录令牌,以密文方式发送包括用户入网请求报文摘要和终端登录令牌的入网应答报文,所述密文加密密钥包含用户密钥种子矢量、网络密钥种子矢量和密钥调料的信息;第四步入网用户终端解密收到的每一个入网应答报文,通过比较解密后明文信息中的用户入网请求报文摘要,识别出针对自己的入网应答报文,取得网络终端提供的终端登录令牌;第五步入网用户终端向网络接入终端发送包括终端登录令牌识别信息的登录报文;第六步网络接入终端收到登录报文后,验证登录报文中包含正确的终端登录令牌识别信息,确认入网用户终端合法,完成通信连接的建立,为其分配连接资源。
本发明改进的方法是:网络接入终端通过与入网用户终端多次交换信息,建立入网用户终端和网络接入终端之间的通信连接,同时防范入网用户终端以虚构的多重身份发动阻塞攻击,其特征在于,该方法将网络接入终端和入网用户终端之间的信息交换分成六个步骤:第一步入网用户终端以明文方式发送包括终端用户证书和用户密钥种子矢量的入网请求报文;第二步网络接入终端收到入网用户终端发来的入网请求报文后,使用终端用户证书中载明的终端用户公开密钥加密网络密钥种子矢量,将加密后的网络密钥种子矢量密文发送给入网用户终端;第三步网络接入终端收到入网用户终端发来的入网请求报文后,还为入网用户终端分配终端登录令牌,以密文方式发送包括用户入网请求报文摘要和终端登录令牌的入网应答报文,所述密文加密密钥包含用户密钥种子矢量、网络密钥种子矢量和密钥调料的信息;第四步入网用户终端解密收到的每一个入网应答报文,通过比较解密后明文信息中的用户入网请求报文摘要,识别出针对自己的入网应答报文,取得网络终端提供的登录令牌;第五步入网用户终端向网络接入终端发送包括终端登录令牌识别信息的登录报文;第六步网络接入终端收到登录报文后,验证登录报文中包含正确的终端登录令牌识别信息,确认入网用户终端合法,完成通信连接的建立,为其分配连接资源。
本发明进一步改进的方法的特征在于:所述的用户密钥种子矢量中包括报文当前发送时间。
本发明再进一步改进的方法的特征在于:所述的网络密钥种子矢量中包括报文当前发送时间。
本发明更进一步改进的方法的特征在于:所述的登录令牌中除了包括登录令牌识别号以外还包括用于后续通信的会话密钥。
本发明改进的方法的特征还在于:所述的登录令牌中除了包括登录令牌识别号以外还包括指定的登录时间。
本发明还提出了一种终端访问认证实现系统,包括入网用户终端和网络接入终端,其中网络接入终端通过与入网用户终端多次交换信息,建立入网用户终端和网络接入终端之间的通信连接,同时防范入网用户终端以虚构的多重身份发动阻塞攻击。所述网络接入终端包括:数据收发装置(131),用于接收入网用户终端发送的包括用户密钥种子矢量的入网请求报文,以明文方式发送网络密钥种子矢量,发送加密的入网应答报文,和接收入网用户终端发送的登录报文;微处理器模块(132),用于在接收到入网用户终端发送的入网请求报文之后,计算用户入网请求报文摘要,为入网用户终端准备登录令牌和密钥调料,加密包括用户入网请求报文摘要和登录令牌的入网应答报文,所述的加密密钥包括用户密钥种子矢量、网络密钥种子矢量和密钥调料的信息,和在接收到入网用户终端发送的登录报文之后,验证登录报文中包含正确的登录令牌识别信息,确认入网用户终端合法。所述入网用户终端包括:数据收发装置(113),用于以明文方式发送包括用户密钥种子矢量的入网请求报文,接收由网络接入终端发送的网络密钥种子矢量,接收网络接入终端发送的入网应答报文,并向网络接入终端发送包括登录令牌识别信息的登录报文;随机数据存储器(114),用于存储所述用户密钥种子矢量和网络密钥种子矢量;和微处理器模块(112),用于根据其用户密钥种子矢量、网络密钥种子矢量和密钥调料信息生成解密密钥,解密收到的入网应答报文密文,获得入网应答报文明文,根据上述解密结果,识别出针对自己的入网应答报文,获得分配给自己的终端登录令牌,并将所述终端登录令牌识别信息包括在所述登录报文中。
本发明的进一步改进的终端访问认证实现系统包括入网用户终端和网络接入终端,其中网络接入终端通过与入网用户终端多次交换信息,建立入网用户终端和网络接入终端之间的通信连接,同时防范入网用户终端以虚构的多重身份发动阻塞攻击。所述网络接入终端包括:数据收发装置(131),用于接收入网用户终端发送的包括用户密钥种子矢量的入网请求报文,发送以终端用户公开密钥加密的网络密钥种子矢量密文,发送入网应答报文,和接收入网用户终端发送的登录报文;微处理器模块(132),用于在接收到入网用户终端发送的入网请求报文之后,计算用户入网请求报文摘要,为入网用户终端准备登录令牌和密钥调料,和在接收到入网用户终端发送的登录报文之后,验证登录报文中包含正确的登录令牌识别信息,确认入网用户终端合法;和密码运算协处理器模块(136),用于在接收到入网用户终端发送的入网请求报文之后,以终端用户公开密钥加密网络密钥种子矢量,根据用户密钥种子矢量、网络密钥种子矢量和密钥调料信息生成加密密钥,并加密包括用户入网请求报文摘要和登录令牌的入网应答报文。所述入网用户终端包括:数据收发装置(113),用于以明文方式发送包括用户密钥种子矢量的入网请求报文,接收由网络接入终端发送的网络密钥种子矢量密文,接收网络接入终端发送的入网应答报文,并向网络接入终端发送包括登录令牌识别信息的登录报文;随机数据存储器(114),用于存储所述用户密钥种子矢量和网络密钥种子矢量;密码运算协处理器(115),用于以终端用户的私钥来解密接收到的网络密钥种子矢量密文,根据用户密钥种子矢量、网络密钥种子矢量和密钥调料信息生成解密密钥,和解密收到的入网应答报文密文,获得入网应答报文明文;和微处理器模块(112),根据上述解密结果,识别出针对自己的入网应答报文,获得分配给自己的终端登录令牌,并将所述终端登录令牌识别信息包括在所述登录报文中。
本发明的优点在于:
1.能够抵抗拒绝服务攻击:
本发明中提供网络服务的网络接入终端只接收用户端发来的明文报文,分析和处理报文的计算量小,接收处理工作可以实时完成,即使到达大量申请报文也不会过载。
网络接入终端只需要保留全局性的终端登录令牌信息,在完成用户合法性认证前完全不保留与特定用户相关的信息,因此不会出现缓存溢出现象。
加密运算只需要针对需要实际发出的入网应答报文数据进行,并且只需要采用计算速度很快的对称加密算法,即使不是用硬件加速也能够实现实时运算,不会因为执行了密码运算而造成处理量过载。
2.用户假冒多个终端身份代价极高:
本发明第三步中网络接入终端使用密文方式发送入网应答报文。用户必须使用与自己发送的用户密钥种子矢量和接收到的网络密钥种子矢量相对应的解密密钥,实时解密收到的每一个入网应答报文,才能获得用户终端登录令牌信息,继续进行以后的信息交换步骤。如果密钥调料不为零,用户还必须进行多次解密尝试,才能获得正确的登录令牌。而对于假冒了多个入网用户终端身份的用户,它必须同时使用与多个用户密钥种子矢量对应的多个解密密钥,同时实时并行尝试解密收到的每一个入网应答报文。假冒的用户数量增加时,计算量和数据存储量将超线性增大,对实时运算能力的要求也以接近平方关系的比例相应提高。例如对于一个假冒了100个虚假终端的用户终端来说,它的影响只是使设计同时服务于1000个入网登录用户的网络接入终端增加了10%的工作负荷,至多瞬间进入比较饱满的工作状态,却对非法用户终端自己产生了近万倍的计算量和数据存储量要求。
3.适用范围广泛:
本发明六个步骤所进行的信息交换都假定在不安全的传输环境下进行,没有限定信息交换与网络地址是否相关。与传统的基于“甜饼交换”的认证方法相比,“甜饼交换”认证协议只有当用户终端与认证服务器不在同一个路由广播域时,非法用户终端才收不到认证服务器发出的“甜饼”,认证方法才有效。本发明假定非法用户终端总是能够收到所有交互信息,在此假设下仍然具有良好的针对非法用户的计算惩罚效果,因此没有“甜饼交换”协议对路由广播域的限制。
4.易于与其他身份认证技术相结合:
大多数身份认证技术都需要使用计算量极大的非对称密码算法,或者使用复杂的密钥分发技术。如果不能事先确保认证过程是一对一实时进行,很容易招致拒绝服务攻击。本发明的网络接入终端无需事先知道任何入网用户终端的知识,就可以杜绝单个用户终端假冒多个用户终端身份,不需要其他普通身份认证技术做任何改变,就可以弥补易于遭到拒绝服务攻击的不足。
5.易于实施:
采用本发明的方法,只需要在入网用户终端和网络接入终端之间分6个步骤、进行2次往返报文交换,就可以完成终端唯一性识别工作。所有工作只需要一个普通的嵌入式微处理器系统就可以胜任。如果采用个人计算机系统或其他高性能计算机系统来实现则更加方便。
附图说明
图1是本发明的一个实施方案系统结构和数据信息传递示意图。
图2是本发明的方法步骤和各步骤所传递数据信息示意图。
图3是本发明改进的方法步骤和各步骤所传递数据信息示意图。
图4是本发明进一步改进的方法步骤和各步骤所传递数据信息示意图。
图5是本发明进一步改进的方法步骤和各步骤所传递数据信息示意图。
图6是本发明进一步改进的方法步骤和各步骤所传递数据信息示意图。
图7是本发明进一步改进的方法步骤和各步骤所传递数据信息示意图。
图8是本发明进一步改进的方法步骤和各步骤所传递数据信息示意图。
图9是本发明进一步改进的方法步骤和各步骤所传递数据信息示意图。
图10是本发明进一步改进的方法步骤和各步骤所传递数据信息示意图。
图11是本发明进一步改进的方法步骤和各步骤所传递数据信息示意图。
图12用于本发明的入网用户终端入网请求报文内容示意图。
图13用于本发明的入网用户终端改进的入网请求报文内容示意图。
图14用于本发明的入网用户终端进一步改进的入网请求报文内容示意图。
图15用于本发明的入网用户终端进一步改进的入网请求报文内容示意图。
图16用于本发明的网络接入终端的网络密钥种子矢量报文内容构成示意图。
图17用于本发明的网络接入终端改进的网络密钥种子矢量报文内容构成示意图。
图18用于本发明的网络接入终端进一步改进的网络密钥种子矢量报文内容构成示意图。
图19用于本发明的网络接入终端进一步改进的网络密钥种子矢量报文内容构成示意图。
图20用于本发明的网络接入终端的入网应答报文内容示意图。
图21用于本发明的网络接入终端改进的入网应答报文内容示意图。
图22用于本发明的网络接入终端进一步改进的入网应答报文内容示意图。
图23用于本发明的网络接入终端进一步改进的入网应答报文内容示意图。
图24用于本发明的入网用户终端的登录报文内容示意图。
图25用于本发明的入网用户终端改进的登录报文内容示意图。
图26用于本发明的入网用户终端进一步改进的登录报文内容示意图。
图27用于本发明的入网用户终端进一步改进的登录报文内容示意图。
图28用于本发明的改进的终端登录令牌的内容示意图。
图29用于本发明的改进的终端登录令牌的内容示意图。
图30用于本发明的改进的终端登录令牌的内容示意图。
图31用于本发明的改进的终端登录令牌的内容示意图。
图32用于本发明的改进的终端登录令牌的内容示意图。
图33用于本发明的改进的终端登录令牌的内容示意图。
图34用于本发明的改进的终端登录令牌的内容示意图。
图35用于本发明的改进的终端登录令牌的内容示意图。
图36用于本发明的改进的终端登录令牌的内容示意图。
图37是本发明一个改进的实施方案系统结构和数据信息传递示意图。
图38是本发明进一步改进的实施方案系统结构和数据信息传递示意图。
具体实施方式
本发明的实施方案如下:
本发明的一个实施方案系统如图1所示,其中包括入网用户终端11、网络接入终端13、以及位于入网用户终端11和网络接入终端13之间的传输链路12,所述的入网用户终端11内部又包括用户终端配置存储器111、微处理器模块112、数据收发装置113和随机数据存储器114,所述的网络接入终端13又包括数据收发装置131、微处理器模块132、网间接口收发模块133、网络接入终端配置存储器134和登录用户数据库模块135。
本发明的一个改进的实施方案系统如图37所示,其中包括入网用户终端11A、网络接入终端13A、以及入网用户终端与网络接入终端之间的传输链路12,所述的入网用户终端11A内部又包括用户终端配置存储器111、微处理器模块112、数据收发装置113、随机数据存储器114和密码运算协处理器115,所述的网络接入终端13A又包括数据收发装置131、微处理器模块132、网间数据收发模块133、网络接入终端配置存储器134、登录用户数据库模块135和密码运算协处理器模块136。
本发明进一步改进的实施方案系统如图38所示,其中包括入网用户终端11B、网络接入终端13B、以及入网用户终端与网络接入终端之间的传输链路12,所述的入网用户终端11B内部又包括数据收发装置113、入网请求装置11B1、解密搜索装置11B2、登录认证发送装置11B5和随机数据存储器114,所述的网络接入终端13B又包括数据收发装置131、入网应答装置13B2、报文加密装置13B3、登录认证装置13B4和登录用户数据库模块135。
第一实施例
入网用户终端11与网络接入终端13之间的登录连接的建立过程包括如图2所示的步骤S11-S16。
入网用户终端为了与网络接入终端建立连接,第一步骤(S11)是入网用户终端以明文方式发送包括用户密钥种子矢量的入网请求报文。入网用户终端11中的微处理器模块112根据用户终端配置存储器111中的配置内容生成用户密钥种子矢量211,然后通过数据收发装置113以明文方式向网络接入终端13发送入网请求报文21,所述的入网请求报文21内容包括所确定的用户密钥种子矢量211和其他信息213,同时在随机数据存储器114中记录用户密钥种子矢量211,随后微处理器模块112计算入网请求报文21的摘要214并存入随机数据存储器114中。
第二步骤(S12),网络接入终端以明文方式发送网络密钥种子矢量。网络接入终端13中的微处理器模块132根据网络接入终端配置存储器134中的配置内容生成网络密钥种子矢量221,然后通过数据收发装置131以明文方式向入网用户终端11发送报文22,所述的报文22内容包括所确定的网络密钥种子矢量221和其他信息222。入网用户终端11从数据收发装置113接收到由网络用户终端13发送的包括网络密钥种子矢量221的报文22,然后在随机数据存储器114中记录网络密钥种子矢量221。
第三步骤(S13),网络接入终端13从数据收发装置131收到入网用户终端11发来的入网请求报文21后,根据网络接入终端配置存储器134中的配置内容为入网用户终端11分配终端登录令牌232,同时准备密钥调料234,微处理器模块132还计算用户入网请求报文21的摘要231,并形成入网应答报文明文23,所述的入网应答报文明文23中包括用户入网请求报文摘要231、终端登录令牌232和其他信息233。然后以密文方式向入网用户终端11发送包括用户入网请求报文摘要231和终端登录令牌232的入网应答报文密文230,所述密文的加密密钥包含用户密钥种子矢量211、网络密钥种子矢量221和密钥调料234的信息。
第四步骤(S14),入网用户终端11从数据收发装置113每接收到一个入网应答报文密文230后,解密入网应答报文密文230,得到入网应答报文明文23;入网用户终端11中的微处理器模块112,通过比较解密后的入网应答报文明文23信息中用户入网请求报文摘要231与随机数据存储器114中保存的入网请求报文摘要214相符合,识别出针对自己入网应答报文,取得网络接入终端13指配给自己的终端登录令牌232,存入随机数据存储器114。
第五步骤(S15),入网用户终端11通过数据收发装置113向网络接入终端13发送登录报文24,所述的登录报文24包括网络接入终端13颁发的终端登录令牌232的识别信息241和其它信息242。
第六步骤(S16),网络接入终端13从数据收发装置131收到入网用产终端11发回的登录报文24以后,微处理器模块132验证登录报文24中包含正确的终端登录令牌识别信息241,确认入网用户终端11合法,完成通信连接的建立,为其分配连接资源,并将用户信息存入登录用户数据库模块135。
经过上述步骤S11-S16,入网用户终端11与网络接入终端13之间建立了通信连接,网络接入终端13可以为入网用户终端11分配带宽资源,继续后续网络服务,如通过网间数据收发模块133向其它网络节点转发数据,或将从网间数据收发模块133收到的其他网络节点的数据转发给入网用户终端11。
第二实施例
为了提高入网用户终端11与网络接入终端13之间登录连接建立过程的安全性,可以对入网用户终端11与网络接入终端13之间登录连接的建立过程作如下改进,如图3所示的步骤S21-S26。
入网用户终端为了与网络接入终端建立连接,第一步骤(S21)是入网用户终端以明文方式发送包括用户密钥种子矢量的入网请求报文。入网用户终端11中的微处理器模块112根据用户终端配置存储器111中配置的码字长度和随机数种子等内容生成一个随机数x,然后由x进一步生成用户密钥种子矢量211(数学上记为X),X=f1(x),生成函数f1(x)是包括加、减、乘、除、模除、异或、指数、对数、微分、积分、三角函数、替换、扩散、取系统时间、附加随机数或指定常数等一种或多种数学运算的多项式。
然后通过数据收发装置113以明文方式向网络接入终端13发送入网请求报文21,所述的入网请求报文21内容包括所述的用户密钥种子矢量211和其他信息213,同时在随机数据存储器114中记录用户密钥种子矢量211,随后微处理器模块112计算所述入网请求报文21的摘要214并存入随机数据存储器114中,所述摘要的具体计算方法可以有多种选择,并将这种选择作为其他信息213的一部分包含在入网请求报文21中。例如可以节选入网请求报文的部分片段;也可以是对入网请求报文内容的任何一种运算,比如入网请求报文的循环冗余校验,或者用户密钥种子矢量211的MD5散列值,或者以用户密钥种子矢量211为加密密钥,对入网请求报文21的加密运算结果。通常可以只规定一种计算摘要的简单方法,从而减少入网请求报文21中必须包含的数据量,达到简化实现复杂度的目的。
第二步骤(S22),网络接入终端以明文方式发送网络密钥种子矢量。网络接入终端13中的微处理器模块132根据网络接入终端配置存储器134中配置的码字长度和随机数种子等内容生成一个随机数y,然后由y进一步生成网络密钥种子矢量221(数学上记为Y),Y=f2(y),生成函数f2(y)是包括加、减、乘、除、模除、异或、指数、对数、微分、积分、三角函数、替换、扩散、取系统时间、附加随机数或指定常数等一种或多种数学运算的多项式。
然后通过数据收发装置131以明文方式向入网用户终端11发送报文22,所述的报文22内容包括所述的网络密钥种子矢量221和其他信息222。入网用户终端11从数据收发装置113接收到由网络用户终端13发送的包括网络密钥种子矢量221的报文22后,在随机数据存储器114中记录网络密钥种子矢量221。
第三步骤(S23),网络接入终端13从数据收发装置131收到入网用户终端11发来的入网请求报文21后,根据网络接入终端配置存储器134的配置z为入网用户终端11分配终端登录令牌232(数学上记为Z),Z=f3(z),生成函数f3(z)是包括加、减、乘、除、模除、异或、指数、对数、微分、积分、三角函数、替换、扩散、取系统时间、附加随机数或指定常数等一种或多种数学运算的多项式,可以在终端登录令牌中加入后续通信的会话密钥,也可以在终端登录令牌中加入指定的登录时间。
同时根据网络接入终端配置存储器134中的配置内容为入网用户终端11随机生成密钥调料234(数学上记为R),所述密钥调料234为一个m比特的随机数。微处理器模块132还计算用户入网请求报文21的摘要231,所述的摘要231的计算方法以与第一步骤中所述的方法相同,然后形成入网应答报文明文23,所述的入网应答报文明文23中包括用户入网请求报文摘要231、终端登录令牌232和其他信息233。该入网应答报文明文23经对称密钥加密算法加密成密文230后,经数据收发装置131向入网用户终端11发送。所述密文230的对称加密密钥K包含用户密钥种子矢量211、网络密钥种子矢量221和密钥调料234的信息,其生成方法为K=f4(X,Y,R),生成函数f4(X,Y,R)是包括加、减、乘、除、模除、异或、指数、对数、微分、积分、三角函数、替换、扩散、取系统时间、附加随机数或指定常数等一种或多种数学运算的多项式。例如,直接将X、Y、R相乘后取模,得到最后的加密密钥K;再比如,将
作为最后的加密密钥K;再比如,加密密钥K还可以分两步实现:首先采用常规的Diffie-Hellman方法,由X和本地已知的y=log(Y)生成一个确定的加密密钥K1=Xy,然后与密钥调料R异或,得到最后的加密密钥
所述的加密入网应答报文明文23的对称密钥加解密密码运算算法可以有多种选择,并将这种选择作为其他信息222的一部分包括在第二步骤的报文22中。例如可以选择非常经典的国际标准加密算法RC4、DES、3DES、IDEA、AES等,也可以是新设计的某种未公开密码算法。
第四步骤(S24),入网用户终端11从数据收发装置113每接收到一个入网应答报文密文230后,尝试穷举可能的对称解密密钥K2解密入网应答报文密文230,得到入网应答报文明文23。所述对称解密密钥K2包括用户密钥种子矢量211、网络密钥种子矢量221和一个被穷举出的密钥调料S的信息,其生成方法与第三步骤中的对称加密密钥K的生成方法相当,K2=f5(X,Y,S),生成函数f5(X,Y,S)是包括加、减、乘、除、模除、异或、指数、对数、微分、积分、三角函数、替换、扩散、取系统时间、附加随机数或指定常数等一种或多种数学运算的多项式。例如,直接将X、Y、S相乘后取模,得到最后的对称解密密钥K2;再比如,将
作为最后的解密密钥K2;再比如,解密密钥K2还可以分两步实现:首先采用常规的Diffie-Hellman方法,由Y和本地已知的x=log(X)生成一个确定的对称解密密钥K3=Yx,然后与密钥调料S异或,得到最后的解密密钥
入网用户终端11中的微处理器模块112,通过比较解密后的入网应答报文明文23信息中用户入网请求报文摘要231与随机数据存储器114中保存的入网请求报文摘要214相符合,识别出针对自己入网应答报文明文23,取得网络接入终端13指配给自己的终端登录令牌232,存入随机数据存储器114。
第五步骤(S25),入网用户终端11通过数据收发装置113向网络接入终端13发送登录报文24,所述的登录报文24包括网络接入终端13颁发的终端登录令牌232的识别信息241和其它信息242。
第六步骤(S26),网络接入终端13从数据收发装置131收到入网用户终端11发回的登录报文24以后,微处理器模块132验证登录报文24中包含正确的终端登录令牌识别信息241,确认入网用户终端11合法,完成通信连接的建立,为其分配连接资源,并将用户信息存入登录用户数据库模块135。
经过上述步骤S21-S26,入网用户终端11与网络接入终端13之间建立了通信连接,网络接入终端13可以为入网用户终端11分配带宽资源,继续后续网络服务,如通过网间数据收发模块133向其它网络节点转发数据,或将从网间数据收发模块133收到的其他网络节点的数据转发给入网用户终端11。
第三实施例
为了进一步提高入网用户终端11与网络接入终端13之间登录连接的建立过程的安全性,还可以对入网用户终端11与网络接入终端13之间的登录连接的建立过程作如下改进,如图4所示的步骤S31-S36。
入网用户终端为了与网络接入终端建立连接,第一步骤(S31)是入网用户终端以明文方式发送包括终端用户证书和用户密钥种子矢量的入网请求报文。入网用户终端11中的微处理器模块112根据用户终端配置存储器111中的配置内容生成用户密钥种子矢量211和终端用户证书212,然后通过数据收发装置113以明文方式向网络接入终端13发送入网请求报文21A,所述的入网请求报文21A内容包括所确定的用户密钥种子矢量211、终端用户证书212和其他信息213,同时在随机数据存储器114中记录用户密钥种子矢量211,随后微处理器模块112计算入网请求报文21A的摘要214并存入随机数据存储器114中。
第二步骤(S32),网络接入终端13从数据收发装置131收到入网用户终端11发来的入网请求报文21A后,网络接入终端13中的微处理器模块132根据网络接入终端配置存储器134中的配置内容生成网络密钥种子矢量221,然后使用终端用户证书212中载明的终端用户公开密钥加密网络密钥种子矢量221,并形成报文22A,所述的报文22A中包括网络密钥种子矢量密文223和其他信息222,然后通过数据收发装置131将加密后的网络密钥种子矢量密文223的报文22A发送给入网用户终端11。入网用户终端11从数据收发装置113接收到由网络用户终端13发送的包括网络密钥种子矢量密文223的报文22A后,根据用户本地的终端用户私有密钥解密网络密钥种子矢量密文223,获得网络密钥种子矢量明文221,然后在随机数据存储器114中记录网络密钥种子矢量明文221。
第三步骤(S33),网络接入终端13从数据收发装置131收到入网用户终端11发来的入网请求报文21A后,微处理器模块132根据网络接入终端配置存储器134中的配置内容为入网用户终端11分配终端登录令牌232,同时准备密钥调料234,微处理器模块132还计算用户入网请求报文21A的摘要231,并形成入网应答报文明文23,所述的入网应答报文明文23中包括用户入网请求报文摘要231、终端登录令牌232和其他信息233。然后以密文方式向入网用户终端11发送包括用户入网请求报文摘要231和终端登录令牌232的入网应答报文密文230,所述密文的加密密钥包含用户密钥种子矢量211、网络密钥种子矢量221和密钥调料234信息。
第四步骤(S34),入网用户终端11从数据收发装置113每接收到一个入网应答报文密文230后,解密入网应答报文密文230,得到入网应答报文明文23;入网用户终端11中的微处理器模块112,通过比较解密后的入网应答报文明文23信息中用户入网请求报文摘要231与随机数据存储器114中保存的入网请求报文摘要214相符合,识别出针对自己入网应答报文,取得网络接入终端13指配给自己的终端登录令牌232,存入随机数据存储器114。
第五步骤(S35),入网用户终端11通过数据收发装置113向网络接入终端13发送登录报文24,所述的登录报文24包括网络接入终端13颁发的终端登录令牌232的识别信息241和其它信息242。
第六步骤(S36),网络接入终端13从数据收发装置131收到入网用户终端11发回的登录报文24以后,微处理器模块132验证登录报文24中包含正确的终端登录令牌识别信息241,确认入网用户终端11合法,完成通信连接的建立,为其分配连接资源,并将用户信息存入登录用户数据库模块135。
经过上述步骤S31-S36,入网用户终端11与网络接入终端13之间建立了通信连接,网络接入终端13可以为入网用户终端11分配带宽资源,继续后续网络服务,如通过网间数据收发模块133向其它网络节点转发数据,或将从网间数据收发模块133收到的其他网络节点的数据转发给入网用户终端11。
第四实施例
为了进一步提高入网用户终端11与网络接入终端13之间登录连接的建立过程的安全性,还可以对入网用户终端11与网络接入终端13之间的登录连接的建立过程作如下改进,如图5所示的步骤S41-S46。
入网用户终端为了与网络接入终端建立连接,第一步骤(S41)是入网用户终端以明文方式发送包括终端用户证书和用户密钥种子矢量的入网请求报文。入网用户终端11中的微处理器模块112首先根据用户终端配置存储器111中的配置内容生成终端用户证书212,同时微处理器模块112根据用户终端配置存储器111中的配置内容生成一个随机数x,然后由x进一步生成用户密钥种子矢量211(数学上记为X),X=f1(x),生成函数f1(x)是包括加、减、乘、除、模除、异或、指数、对数、微分、积分、三角函数、替换、扩散、取系统时间、附加随机数或指定常数等一种或多种数学运算的多项式。
然后通过数据收发装置113以明文方式向网络接入终端13发送入网请求报文21A,所述的入网请求报文21A内容包括所述的用户密钥种子矢量211、用户终端证书212和其他信息213,同时在随机数据存储器114中记录用户密钥种子矢量211,随后微处理器模块112计算入网请求报文21A的摘要214并存入随机数据存储器114中,所述摘要的具体计算方法可以有多种选择,并将这种选择作为其他信息213的一部分包含在入网请求报文21A中。例如可以节选入网请求报文的部分片段;也可以是对入网请求报文内容的任何一种运算,比如入网请求报文的循环冗余校验,或者用户密钥种子矢量211的MD5散列值,或者以用户密钥种子矢量211为加密密钥,对入网请求报文21A的加密运算结果。通常可以只规定一种计算摘要的简单方法,从而减少入网请求报文21A中必须包含的数据量,达到简化实现复杂度的目的。
第二步骤(S42),网络接入终端13从数据收发装置131收到入网用户终端11发来的入网请求报文21A后,网络接入终端13中的微处理器模块132根据网络接入终端配置存储器134中的配置内容生成一个随机数y,然后由y进一步生成网络密钥种子矢量221(数学上记为Y),Y=f2(y),生成函数f2(y)是包括加、减、乘、除、模除、异或、指数、对数、微分、积分、三角函数、替换、扩散、取系统时间、附加随机数或指定常数等一种或多种数学运算的多项式。
然后使用终端用户证书212中载明的终端用户公开密钥加密网络密钥种子矢量明文221,并形成报文22A,所述的报文22A中包括网络密钥种子矢量密文223和其他信息222。然后通过数据收发装置131将加密后的网络密钥种子矢量密文223的报文22A发送给入网用户终端11。入网用户终端11从数据收发装置113接收到由网络用户终端13发送的包括网络密钥种子矢量密文223的报文22A后,根据用户本地的终端用户私有密钥解密网络密钥种子矢量密文223,获得网络密钥种子矢量明文221,在随机数据存储器114中记录网络密钥种子矢量明文221。
第三步骤(S43),网络接入终端13从数据收发装置131收到入网用户终端11发来的入网请求报文21A后,根据网络接入终端配置存储器134的配置z为入网用户终端11分配终端登录令牌232(数学上记为Z),Z=f3(z),生成函数f3(z)是包括加、减、乘、除、模除、异或、指数、对数、微分、积分、三角函数、替换、扩散、取系统时间、附加随机数或指定常数等一种或多种数学运算的多项式,可以在终端登录令牌中加入指定的登录时间,也可以在终端登录令牌中加入后续通信的会话密钥。
同时根据网络接入终端配置存储器134所配置的要求为入网用户终端11随机生成密钥调料234(数学上记为R),所述密钥调料234为一个m比特的随机数。微处理器模块132还计算用户入网请求报文21A的摘要231,所述的摘要231的计算方法以与第一步骤中所述的方法相同,然后形成入网应答报文明文23,所述的入网应答报文明文23中包括用户入网请求报文摘要231、终端登录令牌232和其他信息233。该入网应答报文明文23经对称密钥加密算法加密成密文230后,经数据收发装置131向入网用户终端11发送。所述密文230的对称加密密钥K包含用户密钥种子矢量211、网络密钥种子矢量221和密钥调料234的信息,其生成方法为K=f4(X,Y,R),生成函数f4(X,Y,R)是包括加、减、乘、除、模除、异或、指数、对数、微分、积分、三角函数、替换、扩散、取系统时间、附加随机数或指定常数等一种或多种数学运算的多项式。例如,直接将X、Y、R相乘后取模,得到最后的加密密钥K;再比如,将
作为最后的加密密钥K;再比如,加密密钥K还可以分两步实现:首先采用常规的Diffie-Hellman方法,由X和本地已知的y=log(Y)生成一个确定的加密密钥K1=Xy,然后与密钥调料R异或,得到最后的加密密钥
所述的加密入网应答报文明文23的对称密钥加解密密码运算算法可以有多种选择,并将这种选择作为其他信息222的一部分包括在第二步骤的报文22A中。例如可以选择非常经典的国际标准加密算法RC4、DES、3DES、IDEA、AES等,也可以是新设计的某种未公开密码算法。
第四步骤(S44),入网用户终端11从数据收发装置113每接收到一个入网应答报文密文230后,尝试穷举可能的对称加解密密钥K2解密入网应答报文密文230,得到入网应答报文明文23。所述对称解密密钥K2包括用户密钥种子矢量211、网络密钥种子矢量221和一个被穷举出的密钥调料S的信息,其生成方法与第三步骤中的对称加密密钥K的生成方法相当,K2=f5(X,Y,S),生成函数f5(X,Y,S)是包括加、减、乘、除、模除、异或、指数、对数、微分、积分、三角函数、替换、扩散、取系统时间、附加随机数或指定常数等一种或多种数学运算的多项式。例如,直接将X、Y、S相乘后取模,得到最后的解密密钥K2;再比如,将
作为最后的解密密钥K2;再比如,解密密钥K2还可以分两步实现:首先采用常规的Diffie-Hellman方法,由Y和本地已知的x=log(X)生成一个确定的解密密钥K3=Yx,然后与密钥调料S异或,得到最后的解密密钥
入网用户终端11中的微处理器模块112,通过比较解密后的入网应答报文明文23信息中用户入网请求报文摘要231与随机数据存储器114中保存的入网请求报文摘要214相符合,识别出针对自己入网应答报文明文23,取得网络接入终端13指配给自己的终端登录令牌232,存入随机数据存储器114。
第五步骤(S45),入网用户终端11通过数据收发装置113向网络接入终端13发送登录报文24,所述的登录报文24包括网络接入终端13颁发的终端登录令牌232的识别信息241和其它信息242。
第六步骤(S46),网络接入终端13从数据收发装置131收到入网用户终端11发回的登录报文24以后,微处理器模块132验证登录报文24中包含正确的终端登录令牌识别信息241,确认入网用户终端11合法,完成通信连接的建立,为其分配连接资源,并将用户信息存入登录用户数据库模块135。
经过上述步骤S41-S46,入网用户终端11与网络接入终端13之间建立了通信连接,网络接入终端13可以为入网用户终端11分配带宽资源,继续后续网络服务,如通过网间数据收发模块133向其它网络节点转发数据,或将从网间数据收发模块133收到的其他网络节点的数据转发给入网用户终端11。
第五实施例
为了进一步提高入网用户终端11与网络接入终端13之间登录连接的建立过程的安全性,还可以对入网用户终端11与网络接入终端13之间的登录连接的建立过程作如下改进,如图6所示的步骤S51-S56。
入网用户终端为了与网络接入终端建立连接,第一步骤(S51)是入网用户终端以明文方式发送包括用户密钥种子矢量的入网请求报文。入网用户终端11中的微处理器模块112根据用户终端配置存储器111中配置的码字长度和随机数种子等内容生成一个随机数x,然后由x和当前系统时间tx共同生成用户密钥种子矢量211A(数学上记为X1),X1=f6(x,tx),生成函数f6(x,tx)是包括加、减、乘、除、模除、异或、指数、对数、微分、积分、三角函数、替换、扩散、取系统时间、附加随机数或指定常数等一种或多种数学运算的多项式。
然后通过数据收发装置113以明文方式向网络接入终端13发送入网请求报文21B,所述的入网请求报文21B内容包括所确定的用户密钥种子矢量211A和其他信息213,同时在随机数据存储器114中记录用户密钥种子矢量211A,随后微处理器模块112计算入网请求报文21B的摘要214并存入随机数据存储器114中。
第二步骤(S52),网络接入终端以明文方式发送网络密钥种子矢量。网络接入终端13中的微处理器模块132根据网络接入终端配置存储器134中配置的码字长度和随机数种子等内容生成一个随机数y,然后由y进一步生成网络密钥种子矢量221(数学上记为Y),Y=f2(y),生成函数f2(y)是包括加、减、乘、除、模除、异或、指数、对数、微分、积分、三角函数、替换、扩散、取系统时间、附加随机数或指定常数等一种或多种数学运算的多项式。
然后通过数据收发装置131以明文方式向入网用户终端11发送报文22,所述的报文22内容包括所确定的网络密钥种子矢量221和其他信息222。入网用户终端11从数据收发装置113接收到由网络用户终端13发送的包括网络密钥种子矢量221的报文22,然后在随机数据存储器114中记录网络密钥种子矢量221。
第三步骤(S53),网络接入终端13从数据收发装置131收到入网用户终端11发来的入网请求报文21B后,根据网络接入终端配置存储器134中的配置内容为入网用户终端11分配终端登录令牌232,同时准备密钥调料234,微处理器模块132还计算用户入网请求报文21B的摘要231,并形成入网应答报文明文23,所述的入网应答报文明文23中包括用户入网请求报文摘要231、终端登录令牌232和其他信息233。然后以密文方式向入网用户终端11发送包括用户入网请求报文摘要231和终端登录令牌232的入网应答报文密文230,所述密文的加密密钥包含用户密钥种子矢量211A、网络密钥种子矢量221和密钥调料234信息。
第四步骤(S54),入网用户终端11从数据收发装置113每接收到一个入网应答报文密文230后,解密入网应答报文密文230,得到入网应答报文明文23;入网用户终端11中的微处理器模块112,通过比较解密后的入网应答报文明文23信息中用户入网请求报文摘要231与随机数据存储器114中保存的入网请求报文摘要214相符合,识别出针对自己入网应答报文,取得网络接入终端13指配给自己的终端登录令牌232,存入随机数据存储器114。
第五步骤(S55),入网用户终端11通过数据收发装置113向网络接入终端13发送登录报文24,所述的登录报文24包括网络接入终端13颁发的终端登录令牌232的识别信息241和其它信息242。
第六步骤(S56),网络接入终端13从数据收发装置131收到入网用户终端11发回的登录报文24以后,微处理器模块132验证登录报文24中包含正确的终端登录令牌识别信息241,确认入网用户终端11合法,完成通信连接的建立,为其分配连接资源,并将用户信息存入登录用户数据库模块135。
经过上述步骤S51-S56,入网用户终端11与网络接入终端13之间建立了通信连接,网络接入终端13可以为入网用户终端11分配带宽资源,继续后续网络服务,如通过网间数据收发模块133向其它网络节点转发数据,或将从网间数据收发模块133收到的其他网络节点的数据转发给入网用户终端11。
第六实施例
为了进一步提高入网用户终端11与网络接入终端13之间登录连接的建立过程的安全性,还可以对入网用户终端11与网络接入终端13之间的登录连接的建立过程作如下改进,如图7所示的步骤S61-S66。
入网用户终端为了与网络接入终端建立连接,第一步骤(S61)入网用户终端11中的微处理器模块112根据用户终端配置存储器111中配置的码字长度和随机数种子等内容生成一个随机数x,然后由x进一步生成用户密钥种子矢量211(数学上记为X),X=f1(x),生成函数f1(x)是包括加、减、乘、除、模除、异或、指数、对数、微分、积分、三角函数、替换、扩散、取系统时间、附加随机数或指定常数等一种或多种数学运算的多项式。
然后通过数据收发装置113以明文方式向网络接入终端13发送入网请求报文21,所述的入网请求报文21内容包括所确定的用户密钥种子矢量211和其他信息213,同时在随机数据存储器114中记录用户密钥种子矢量211,随后微处理器模块112计算入网请求报文21的摘要214并存入随机数据存储器114中。
第二步骤(S62),网络接入终端以明文方式发送网络密钥种子矢量。网络接入终端13中的微处理器模块132根据网络接入终端配置存储器134中配置的码字长度和随机数种子等内容生成一个随机数y,然后由y和当前系统时间ty进一步生成网络密钥种子矢量221A(数学上记为Y1),Y1=f7(y,ty),生成函数f7(y,ty)是包括加、减、乘、除、模除、异或、指数、对数、微分、积分、三角函数、替换、扩散、取系统时间、附加随机数或指定常数等一种或多种数学运算的多项式。
然后通过数据收发装置131以明文方式向入网用户终端11发送报文22B,所述的报文22B内容包括所确定的网络密钥种子矢量221A和其他信息222。入网用户终端11从数据收发装置113接收到由网络用户终端13发送的包括网络密钥种子矢量221A的报文22B,然后在随机数据存储器114中记录网络密钥种子矢量221A。
第三步骤(S63),网络接入终端13从数据收发装置131收到入网用户终端11发来的入网请求报文21后,根据网络接入终端配置存储器134中的配置内容为入网用户终端11分配终端登录令牌232,同时准备密钥调料234,微处理器模块132还计算用户入网请求报文21的摘要231,并形成入网应答报文明文23,所述的入网应答报文明文23中包括用户入网请求报文摘要231、终端登录令牌232和其他信息233。然后以密文方式向入网用户终端11发送包括用户入网请求报文摘要231和终端登录令牌232的入网应答报文密文230,所述密文的加密密钥包含用户密钥种子矢量211、网络密钥种子矢量221A和密钥调料234信息。
第四步骤(S64),入网用户终端11从数据收发装置113每接收到一个入网应答报文密文230后,解密入网应答报文密文230,得到入网应答报文明文23;入网用户终端11中的微处理器模块112,通过比较解密后的入网应答报文明文23信息中用户入网请求报文摘要231与随机数据存储器114中保存的入网请求报文摘要214相符合,识别出针对自己入网应答报文,取得网络接入终端13指配给自己的终端登录令牌232,存入随机数据存储器114。
第五步骤(S65),入网用户终端11通过数据收发装置113向网络接入终端13发送登录报文24,所述的登录报文24包括网络接入终端13颁发的终端登录令牌232的识别信息241和其它信息242。
第六步骤(S66),网络接入终端13从数据收发装置131收到入网用户终端11发回的登录报文24以后,微处理器模块132验证登录报文24中包含正确的终端登录令牌识别信息241,确认入网用户终端11合法,完成通信连接的建立,为其分配连接资源,并将用户信息存入登录用户数据库模块135。
经过上述步骤S61-S66,入网用户终端11与网络接入终端13之间建立了通信连接,网络接入终端13可以为入网用户终端11分配带宽资源,继续后续网络服务,如通过网间数据收发模块133向其它网络节点转发数据,或将从网间数据收发模块133收到的其他网络节点的数据转发给入网用户终端11。
第七实施例
为了进一步提高入网用户终端11与网络接入终端13之间登录连接的建立过程的安全性,还可以对入网用户终端11与网络接入终端13之间的登录连接的建立过程作如下改进,如图8所示的步骤S71-S76。
入网用户终端为了与网络接入终端建立连接,第一步骤(S71)是入网用户终端以明文方式发送包括终端用户证书和用户密钥种子矢量的入网请求报文。入网用户终端11中的微处理器模块112首先根据用户终端配置存储器111中的配置内容生成终端用户证书212,同时根据用户终端配置存储器111中配置的码字长度和随机数种子等内容生成一个随机数x,然后由x和当前系统时间tx共同生成用户密钥种子矢量211A(数学上记为X1),X1=f6(x,tx),生成函数f6(x,tx)是包括加、减、乘、除、模除、异或、指数、对数、微分、积分、三角函数、替换、扩散、取系统时间、附加随机数或指定常数等一种或多种数学运算的多项式。
然后通过数据收发装置113以明文方式向网络接入终端13发送入网请求报文21C,所述的入网请求报文21C内容包括所确定的用户密钥种子矢量211A、用户终端证书212和其他信息213,同时在随机数据存储器114中记录用户密钥种子矢量211A,随后微处理器模块112计算入网请求报文21C的摘要214并存入随机数据存储器114中。
第二步骤(S72),网络接入终端13从数据收发装置131收到入网用户终端11发来的入网请求报文21C后,网络接入终端13中的微处理器模块132根据网络接入终端配置存储器134中配置的码字长度和随机数种子等内容生成一个随机数y,然后由y和当前系统时间ty进一步生成网络密钥种子矢量221A(数学上记为Y1),Y1=f7(y,ty),生成函数f7(y,ty)是包括加、减、乘、除、模除、异或、指数、对数、微分、积分、三角函数、替换、扩散、取系统时间、附加随机数或指定常数等一种或多种数学运算的多项式。
然后使用终端用户证书212中载明的终端用户公开密钥加密网络密钥种子矢量221A,并形成报文22C,所述的报文22C中包括网络密钥种子矢量密文223A和其他信息222,然后通过数据收发装置131向入网用户终端11发送包括网络密钥种子矢量密文223A的报文22C。入网用户终端11从数据收发装置113接收到由网络用户终端13发送的包括网络密钥种子矢量密文223A的报文22C后,根据用户本地的终端用户私有密钥解密网络密钥种子矢量密文223A,获得网络密钥种子矢量明文221A,然后在随机数据存储器114中记录网络密钥种子矢量明文221A。
第三步骤(S73),网络接入终端13从数据收发装置131收到入网用户终端11发来的入网请求报文21C后,根据网络接入终端配置存储器134中的配置内容为入网用户终端11分配终端登录令牌232,同时准备密钥调料234,微处理器模块132还计算用户入网请求报文21C的摘要231,并形成入网应答报文明文23,所述的入网应答报文明文23中包括用户入网请求报文摘要231、终端登录令牌232和其他信息233。然后以密文方式向入网用户终端11发送包括用户入网请求报文摘要231和终端登录令牌232的入网应答报文密文230,所述密文的加密密钥包含用户密钥种子矢量211A、网络密钥种子矢量221A和密钥调料234信息。
第四步骤(S74),入网用户终端11从数据收发装置113每接收到一个入网应答报文密文230后,解密入网应答报文密文230,得到入网应答报文明文23;入网用户终端11中的微处理器模块112,通过比较解密后的入网应答报文明文23信息中用户入网请求报文摘要231与随机数据存储器114中保存的入网请求报文摘要214相符合,识别出针对自己入网应答报文,取得网络接入终端13指配给自己的终端登录令牌232,存入随机数据存储器114。
第五步骤(S75),入网用户终端11通过数据收发装置113向网络接入终端13发送登录报文24,所述的登录报文24包括网络接入终端13颁发的终端登录令牌232的识别信息241和其它信息242。
第六步骤(S76),网络接入终端13从数据收发装置131收到入网用户终端11发回的登录报文24以后,微处理器模块132验证登录报文24中包含正确的终端登录令牌识别信息241,确认入网用户终端11合法,完成通信连接的建立,为其分配连接资源,并将用户信息存入登录用户数据库模块135。
经过上述步骤S71-S76,入网用户终端11与网络接入终端13之间建立了通信连接,网络接入终端13可以为入网用户终端11分配带宽资源,继续后续网络服务,如通过网间数据收发模块133向其它网络节点转发数据,或将从网间数据收发模块133收到的其他网络节点的数据转发给入网用户终端11。
第八实施例
为了进一步提高入网用户终端11与网络接入终端13之间登录连接的建立过程的安全性,还可以对入网用户终端11与网络接入终端13之间的登录连接的建立过程作如下改进,如图9所示的步骤S81-S86。
入网用户终端为了与网络接入终端建立连接,第一步骤(S81)是入网用户终端以明文方式发送包括用户密钥种子矢量的入网请求报文。入网用户终端11中的微处理器模块112根据用户终端配置存储器111中的配置内容生成用户密钥种子矢量211,然后通过数据收发装置113以明文方式向网络接入终端13发送入网请求报文21,所述的入网请求报文21内容包括所确定的用户密钥种子矢量211和其他信息213,同时在随机数据存储器114中记录用户密钥种子矢量211,随后微处理器模块112计算入网请求报文21的摘要214并存入随机数据存储器114中。
第二步骤(S82),网络接入终端以明文方式发送网络密钥种子矢量。网络接入终端13中的微处理器模块132根据网络接入终端配置存储器134中的配置内容生成网络密钥种子矢量221,然后通过数据收发装置131以明文方式向入网用户终端11发送报文22,所述的报文22内容包括所确定的网络密钥种子矢量221和其他信息222。入网用户终端11从数据收发装置113接收到由网络用户终端13发送的包括网络密钥种子矢量221的报文22,然后在随机数据存储器114中记录网络密钥种子矢量221。
第三步骤(S83),网络接入终端13从数据收发装置131收到入网用户终端11发来的入网请求报文21后,根据网络接入终端配置存储器134的配置z为入网用户终端11分配终端登录令牌232A,所述的终端登录令牌232A包括终端登录令牌初值Z1和后期通信的会话密钥K4,所述的终端登录令牌初值Z1=f8(z),生成函数f8(z)是包括加、减、乘、除、模除、异或、指数、对数、微分、积分、三角函数、替换、扩散、取系统时间、附加随机数或指定常数等一种或多种数学运算的多项式。例如,如图28所示,直接在后期通信的会话密钥K4后附加终端登录令牌初值Z1,得到最后的终端登录令牌232A;再比如,如图29所示,将后期通信的会话密钥K4附加到终端登录令牌初值Z1后,将所得的整个值作为终端登录令牌232A;再比如,如图30所示,可以将后期通信的会话密钥K4插入到终端登录令牌初值Z1的内部指定位置,最后所得的值作为终端登录令牌232A。
同时还准备密钥调料234,微处理器模块132还计算用户入网请求报文21的摘要231,并形成入网应答报文明文23A,所述的入网应答报文明文23A中包括用户入网请求报文摘要231、终端登录令牌232A和其他信息233。然后以密文方式向入网用户终端11发送包括用户入网请求报文摘要231和终端登录令牌232A的入网应答报文密文230A,所述密文的加密密钥包含用户密钥种子矢量211、网络密钥种子矢量221和密钥调料234信息。
第四步骤(S84),入网用户终端11从数据收发装置113每接收到一个入网应答报文密文230A后,解密入网应答报文密文230A,得到入网应答报文明文23A;入网用户终端11中的微处理器模块112,通过比较解密后的入网应答报文明文23A信息中用户入网请求报文摘要231与随机数据存储器114中保存的入网请求报文摘要214相符合,识别出针对自己入网应答报文,取得网络接入终端13指配给自己的终端登录令牌232A,存入随机数据存储器114。
第五步骤(S85),入网用户终端11通过数据收发装置113向网络接入终端13发送登录报文24A,所述的登录报文24A包括网络接入终端13颁发的终端登录令牌232A的识别信息241A和其它信息242。
第六步骤(S86),网络接入终端13从数据收发装置131收到入网用户终端11发回的登录报文24A以后,微处理器模块132验证登录报文24A中包含正确的终端登录令牌识别信息241A,确认入网用户终端11合法,完成通信连接的建立,为其分配连接资源,并将用户信息存入登录用户数据库模块135。
经过上述步骤S81-S86,入网用户终端11与网络接入终端13之间建立了通信连接,网络接入终端13可以为入网用户终端11分配带宽资源,继续后续网络服务,如通过网间数据收发模块133向其它网络节点转发数据,或将从网间数据收发模块133收到的其他网络节点的数据转发给入网用户终端11。
第九实施例
为了进一步提高入网用户终端11与网络接入终端13之间登录连接的建立过程的安全性,还可以对入网用户终端11与网络接入终端13之间的登录连接的建立过程作如下改进,如图10所示的步骤S91-S96。
入网用户终端为了与网络接入终端建立连接,第一步骤(S91)是入网用户终端以明文方式发送包括用户密钥种子矢量的入网请求报文。入网用户终端11中的微处理器模块112根据用户终端配置存储器111中的配置内容生成用户密钥种子矢量211,然后通过数据收发装置113以明文方式向网络接入终端13发送入网请求报文21,所述的入网请求报文21内容包括所确定的用户密钥种子矢量211和其他信息213,同时在随机数据存储器114中记录用户密钥种子矢量211,随后微处理器模块112计算入网请求报文21的摘要214并存入随机数据存储器114中。
第二步骤(S92),网络接入终端以明文方式发送网络密钥种子矢量。网络接入终端13中的微处理器模块132根据网络接入终端配置存储器134中的配置内容生成网络密钥种子矢量221,然后通过数据收发装置131以明文方式向入网用户终端11发送报文22,所述的报文22内容包括所确定的网络密钥种子矢量221和其他信息222。入网用户终端11从数据收发装置113接收到由网络用户终端13发送的包括网络密钥种子矢量221的报文22,然后在随机数据存储器114中记录网络密钥种子矢量221。
第三步骤(S93),网络接入终端13从数据收发装置131收到入网用户终端11发来的入网请求报文21后,根据网络接入终端配置存储器134的配置z为入网用户终端11分配终端登录令牌232B,所述的终端登录令牌232B包括终端登录令牌初值Z1和指定的登录时间T,所述的终端登录令牌初值Z1=f8(z),生成函数f8(z)是包括加、减、乘、除、模除、异或、指数、对数、微分、积分、三角函数、替换、扩散、取系统时间、附加随机数或指定常数等一种或多种数学运算的多项式。例如,如图31所示,直接在指定的登录时间T后附加终端登录令牌初值Z1,得到最后的终端登录令牌232B;再比如,如图32所示,将指定的登录时间T附加到终端登录令牌初值Z1后,将所得的整个值作为终端登录令牌232B;再比如,如图33所示,可以将指定的登录时间T插入到终端登录令牌初值Z1的内部指定位置,最后所得的值作为终端登录令牌232B。
同时还准备密钥调料234,微处理器模块132还计算用户入网请求报文21的摘要231,并形成入网应答报文明文23B,所述的入网应答报文明文23B中包括用户入网请求报文摘要231、终端登录令牌232B和其他信息233。然后以密文方式向入网用户终端11发送包括用户入网请求报文摘要231和终端登录令牌232B的入网应答报文密文230B,所述密文的加密密钥包含用户密钥种子矢量211、网络密钥种子矢量221和密钥调料234信息。
第四步骤(S94),入网用户终端11从数据收发装置113每接收到一个入网应答报文密文230B后,解密入网应答报文密文230B,得到入网应答报文明文23B;入网用户终端11中的微处理器模块112,通过比较解密后的入网应答报文明文23B信息中用户入网请求报文摘要231与随机数据存储器114中保存的入网请求报文摘要214相符合,识别出针对自己入网应答报文,取得网络接入终端13指配给自己的终端登录令牌232B,存入随机数据存储器114。
第五步骤(S95),入网用户终端11通过数据收发装置113向网络接入终端13发送登录报文24B,所述的登录报文24B包括网络接入终端13颁发的终端登录令牌232B的识别信息241B和其它信息242。
第六步骤(S96),网络接入终端13从数据收发装置131收到入网用户终端11发回的登录报文24B以后,微处理器模块132验证登录报文24B中包含正确的终端登录令牌识别信息241B,确认入网用户终端11合法,完成通信连接的建立,为其分配连接资源,并将用户信息存入登录用户数据库模块135。
经过上述步骤S91-S96,入网用户终端11与网络接入终端13之间建立了通信连接,网络接入终端13可以为入网用户终端11分配带宽资源,继续后续网络服务,如通过网间数据收发模块133向其它网络节点转发数据,或将从网间数据收发模块133收到的其他网络节点的数据转发给入网用户终端11。
第十实施例
为了进一步提高入网用户终端11与网络接入终端13之间登录连接的建立过程的安全性,还可以对入网用户终端11与网络接入终端13之间的登录连接的建立过程作如下改进,如图11所示的步骤S101-S106。
入网用户终端为了与网络接入终端建立连接,第一步骤(S101)是入网用户终端以明文方式发送包括终端用户证书和用户密钥种子矢量的入网请求报文。入网用户终端11中的微处理器模块112根据用户终端配置存储器111中的配置内容生成用户密钥种子矢量211和终端用户证书212,然后通过数据收发装置113以明文方式向网络接入终端13发送入网请求报文21A,所述的入网请求报文21A内容包括所确定的用户密钥种子矢量211、用户终端证书212和其他信息213,同时在随机数据存储器114中记录用户密钥种子矢量211,随后微处理器模块112计算入网请求报文21A的摘要214并存入随机数据存储器114中。
第二步骤(S102),网络接入终端13从数据收发装置131收到入网用户终端11发来的入网请求报文21A后,网络接入终端13中的微处理器模块132根据网络接入终端配置存储器134中的配置内容生成网络密钥种子矢量221,然后使用终端用户证书212中载明的终端用户公开密钥加密网络密钥种子矢量221,并形成报文22A,所述的报文22A中包括网络密钥种子矢量密文223和其他信息222,然后通过数据收发装置131将加密后的网络密钥种子矢量密文223的报文22A发送给入网用户终端11。入网用户终端11从数据收发装置113接收到由网络用户终端13发送的包括网络密钥种子矢量密文223的报文22A后,根据用户本地的终端用户私有密钥解密网络密钥种子矢量密文223,获得网络密钥种子矢量明文221,然后在随机数据存储器114中记录网络密钥种子矢量明文221。
第三步骤(S103),网络接入终端13从数据收发装置131收到入网用户终端11发来的入网请求报文21A后,根据网络接入终端配置存储器134的配置z为入网用户终端11分配终端登录令牌232C,所述的终端登录令牌232C包括终端登录令牌初值Z1、后期通信的会话密钥K4和指定的登录时间T,所述的终端登录令牌初值Z1=f8(z),生成函数f8(z)是包括加、减、乘、除、模除、异或、指数、对数、微分、积分、三角函数、替换、扩散、取系统时间、附加随机数或指定常数等一种或多种数学运算的多项式。例如,如图34所示,直接在后期通信的会话密钥K4后附加指定的登录时间T,在指定的登录时间T后附加终端登录令牌初值Z1,得到最后的终端登录令牌232C;再比如,如图35所示将后期通信的会话密钥K4和指定的登录时间T都附加到终端登录令牌初值Z1的后面,将所得的整个值作为终端登录令牌232C;再比如,如图36所示,可以将后期通信的会话密钥K4和指定的登录时间T分别插入到终端登录令牌初值Z1的内部指定位置,最后所得的值作为终端登录令牌232C。
同时还准备密钥调料234,微处理器模块132还计算用户入网请求报文21A的摘要231,并形成入网应答报文明文23C,所述的入网应答报文明文23C中包括用户入网请求报文摘要231、终端登录令牌232C和其他信息233。然后以密文方式向入网用户终端11发送包括用户入网请求报文摘要231和终端登录令牌232C的入网应答报文密文230C,所述密文的加密密钥包含用户密钥种子矢量211、网络密钥种子矢量221和密钥调料234信息。
第四步骤(S104),入网用户终端11从数据收发装置113每接收到一个入网应答报文密文230C后,解密入网应答报文密文230C,得到入网应答报文明文23C;入网用户终端11中的微处理器模块112,通过比较解密后的入网应答报文明文23C信息中用户入网请求报文摘要231与随机数据存储器114中保存的入网请求报文摘要214相符合,识别出针对自己入网应答报文,取得网络接入终端13指配给自己的终端登录令牌232C,存入随机数据存储器114。
第五步骤(S105),入网用户终端11通过数据收发装置113向网络接入终端13发送登录报文24C,所述的登录报文24C包括网络接入终端13颁发的终端登录令牌232C的识别信息241C和其它信息242。
第六步骤(S106),网络接入终端13从数据收发装置131收到入网用户终端11发回的登录报文24C以后,微处理器模块132验证登录报文24C中包含正确的终端登录令牌识别信息241C,确认入网用户终端11合法,完成通信连接的建立,为其分配连接资源,并将用户信息存入登录用户数据库模块135。
经过上述步骤S101-S106,入网用户终端11与网络接入终端13之间建立了通信连接,网络接入终端13可以为入网用户终端11分配带宽资源,继续后续网络服务,如通过网间数据收发模块133向其它网络节点转发数据,或将从网间数据收发模块133收到的其他网络节点的数据转发给入网用户终端11。
网络接入终端13为入网用户终端11分配的终端登录令牌包含终端登录令牌初值信息但是不仅限于终端登录令牌初值信息,所述的终端登录令牌还可以包含后期的会话密钥、指定的登录时间、指定的登录信道、指定的发送频率等等。
当采用的强度较高的加密算法时,微处理器模块112和132的运算能力可能难以满足要求,此时可以采用图28所示的系统实现方案。其中入网用户终端11A中增加了密码运算协处理器模块115,在网络接入终端13A中增加了密码运算协处理器模块136。在以上所述五个步骤中,所有需要进行密码运算的工作都可以由微处理器模块控制转交给密码运算协处理器模块执行。
第十一实施例
入网用户终端11B与网络接入终端13B之间的登录连接的建立过程包括如图2所示的步骤S11-S16。
入网用户终端为了与网络接入终端建立连接,第一步骤(S11)是入网用户终端以明文方式发送包括用户密钥种子矢量的入网请求报文。入网用户终端11B中的入网请求装置11B1产生用户密钥种子矢量211,然后通过数据收发装置113以明文方式向网络接入终端13B发送入网请求报文21,所述的入网请求报文21内容包括所确定的用户密钥种子矢量211和其他信息213,同时在随机数据存储器114中记录用户密钥种子矢量211,随后计算入网请求报文21的摘要214并存入随机数据存储器114中。
第二步骤(S12),网络接入终端以明文方式发送网络密钥种子矢量。网络接入终端13B中的入网应答装置13B2生成网络密钥种子矢量221,然后通过数据收发装置131以明文方式向入网用户终端11B发送报文22,所述的报文22内容包括所确定的网络密钥种子矢量221和其他信息222。入网用户终端11B中的入网请求装置11B1从数据收发装置113接收到由网络用户终端13B发送的包括网络密钥种子矢量221的报文22,然后在随机数据存储器114中记录网络密钥种子矢量221。
第三步骤(S13),网络接入终端13B从数据收发装置131收到入网用户终端11发来的入网请求报文21后,入网应答装置13B2为入网用户终端11B分配终端登录令牌232,同时准备密钥调料234,计算用户入网请求报文21的摘要231,并形成入网应答报文23。所述的入网应答报文23中包括用户入网请求报文摘要231、终端登录令牌232和其他信息233。然后报文加密装置13B3对入网应答报文明文23加密,通过数据收发装置131向入网用户终端11B发送入网应答报文密文230,所述密文的加密密钥包含用户密钥种子矢量211、网络密钥种子矢量221和密钥调料234信息。
第四步骤(S14),入网用户终端11B从数据收发装置113每收到一个入网应答报文密文230后,解密搜索装置11B2解密入网应答报文密文230,得到入网应答报文明文23,通过比较解密后的入网应答报文明文23信息中用户入网请求报文摘要231与随机数据存储器114中保存的入网请求报文摘要214相符合,识别出针对自己入网应答报文,取得网络接入终端13指配给自己的终端登录令牌232,存入随机数据存储器114。
第五步骤(S15),入网用户终端11B中的登录认证发送装置11B4通过数据收发装置113,向网络接入终端13B发送登录报文24。所述的登录报文24包括网络接入终端13B颁发的终端登录令牌232的识别信息241和其它信息242。
第六步骤(S16),网络接入终端13B从数据收发装置131收到入网用户终端11B发回的登录报文24以后,登录认证装置13B5验证登录报文24中包含正确的终端登录令牌识别信息241,确认入网用户终端11合法,完成通信连接的建立,为其分配连接资源,并将用户信息存入登录用户数据库模块135。
经过上述步骤S11-S16,入网用户终端11B与网络接入终端13B之间建立了通信连接,网络接入终端13B可以为入网用户终端11B分配带宽资源,继续后续网络服务。
第十二实施例
为了提高入网用户终端11B与网络接入终端13B之间登录连接建立过程的安全性,可以对入网用户终端11B与网络接入终端13B之间的登录连接的建立过程作如下改进,如图4所示的步骤S31-S36。
入网用户终端为了与网络接入终端建立连接,第一步骤(S31)是入网用户终端以明文方式发送包括终端用户证书和用户密钥种子矢量的入网请求报文。入网用户终端11B中的入网请求装置11B1产生用户密钥种子矢量211和终端用户证书212,通过数据收发装置113以明文方式向网络接入终端13B发送入网请求报文21A,所述的入网请求报文21A内容包括所确定的用户密钥种子矢量211、终端用户证书212和其他信息213,同时在随机数据存储器114中记录用户密钥种子矢量211,随后计算入网请求报文21A的摘要214并存入随机数据存储器114中。
第二步骤(S32),网络接入终端13B从数据收发装置131收到入网用户终端11B发来的入网请求报文21A后,入网应答装置13B2生成网络密钥种子矢量221,然后报文加密装置13B3使用终端用户证书212中载明的终端用户公开密钥加密网络密钥种子矢量明文221,并生成报文22A,所述的报文22A内容包括所网络密钥种子矢量密文223和其他信息222。然后通过数据收发装置131将加密后的网络密钥种子矢量密文223的报文22A发送给入网用户终端11B。入网用户终端11B中的入网请求装置11B1从数据收发装置113接收到由网络用户终端13B发送的包括网络密钥种子矢量密文223的报文22A,解密搜索装置11B2根据用户本地的终端用户私有密钥解密网络密钥种子矢量密文223,获得网络密钥种子矢量221明文,然后在随机数据存储器114中记录网络密钥种子矢量221。
第三步骤(S33),网络接入终端13B从数据收发装置131收到入网用户终端11B发来的入网请求报文21A后,入网应答装置13B2为入网用户终端11B分配终端登录令牌232,同时准备密钥调料234,计算用户入网请求报文21A的摘要231,并形成入网应答报文明文23。所述的入网应答报文明文23中包括用户入网请求报文摘要231、终端登录令牌232和其他信息233。然后报文加密装置13B3加密入网应答报文明文23,通过数据收发装置131以密文方式向入网用户终端11发送包括用户入网请求报文摘要231和终端登录令牌232的入网应答报文密文230,所述密文的加密密钥包含用户密钥种子矢量211、网络密钥种子矢量221和密钥调料234信息。
第四步骤(S34),入网用户终端11B从数据收发装置113每接收到一个入网应答报文密文230后,解密搜索装置11B2解密入网应答报文密文230,得到入网应答报文明文23,然后通过比较后的入网应答报文明文23信息中用户入网请求报文摘要231与随机数据存储器114中保存的入网请求报文摘要214相符合,识别出针对自己入网应答报文,取得网络接入终端13B指配给自己的终端登录令牌232,存入随机数据存储器114。
第五步骤(S35),入网用户终端11B中的登录认证发送装置11B5通过数据收发装置113向网络接入终端13B发送登录报文24。所述的登录报文24包括网络接入终端13B颁发的终端登录令牌232的识别信息241和其它信息242。
第六步骤(S36),网络接入终端13B从数据收发装置131收到入网用户终端11B发回的登录报文24以后,登录认证装置13B4验证登录报文24中包含正确的终端登录令牌识别信息241,确认入网用户终端11B合法,完成通信连接的建立,为其分配连接资源,并将用户信息存入登录用户数据库模块135。
经过上述步骤S31-S36,入网用户终端11B与网络接入终端13B之间建立了通信连接,网络接入终端13B可以为入网用户终端11B分配带宽资源,继续后续网络服务。
下面描述网络接入终端中的数据收发装置、微处理器模块和入网用户终端中的数据收发装置、随机数据存储器、微处理器模块的具体功能,以有助于本领域的技术人员理解本发明。
网络接入终端中的数据收发装置131,用于接收入网用户终端发送的包括用户密钥种子矢量的入网请求报文,以明文方式发送网络密钥种子矢量,发送加密的入网应答报文,和接收入网用户终端发送的登录报文。网络接入终端中的微处理器模块132,用于在接收到入网用户终端发送的入网请求报文之后,计算用户入网请求报文摘要,为入网用户终端准备登录令牌和密钥调料,加密包括用户入网请求报文摘要和登录令牌的入网应答报文,所述的加密密钥包括用户密钥种子矢量、网络密钥种子矢量和密钥调料的信息,和在接收到入网用户终端发送的登录报文之后,验证登录报文中包含正确的登录令牌识别信息,确认入网用户终端合法。
入网用户终端中的数据收发装置113,用于以明文方式发送包括用户密钥种子矢量的入网请求报文,接收由网络接入终端发送的网络密钥种子矢量,接收网络接入终端发送的入网应答报文,并向网络接入终端发送包括登录令牌识别信息的登录报文。入网用户终端中的随机数据存储器114,用于存储所述用户密钥种子矢量和网络密钥种子矢量。入网用户终端中的微处理器模块112,用于存储所述用户密钥种子矢量和网络密钥种子矢量;和微处理器模块(112),用于根据其用户密钥种子矢量、网络密钥种子矢量和密钥调料信息生成解密密钥,解密收到的入网应答报文密文,获得入网应答报文明文,根据上述解密结果,识别出针对自己的入网应答报文,获得分配给自己的终端登录令牌,并将所述终端登录令牌识别信息包括在所述登录报文中。
作为改进,网络接入终端中的数据收发装置131,用于接收入网用户终端发送的包括用户密钥种子矢量的入网请求报文,发送以终端用户公开密钥加密的网络密钥种子矢量密文,发送入网应答报文,和接收入网用户终端发送的登录报文。网络接入终端中的微处理器模块132,用于在接收到入网用户终端发送的入网请求报文之后,计算用户入网请求报文摘要,为入网用户终端准备登录令牌和密钥调料,和在接收到入网用户终端发送的登录报文之后,验证登录报文中包含正确的登录令牌识别信息,确认入网用户终端合法。网络接入终端中的密码运算协处理器模块136,用于在接收到入网用户终端发送的入网请求报文之后,以终端用户公开密钥加密网络密钥种子矢量,根据用户密钥种子矢量、网络密钥种子矢量和密钥调料信息生成加密密钥,并加密包括用户入网请求报文摘要和登录令牌的入网应答报文。
入网用户终端中的数据收发装置113,用于以明文方式发送包括用户密钥种子矢量的入网请求报文,接收由网络接入终端发送的网络密钥种子矢量密文,接收网络接入终端发送的入网应答报文,并向网络接入终端发送包括登录令牌识别信息的登录报文。入网用户终端中的随机数据存储器114,用于存储所述用户密钥种子矢量和网络密钥种子矢量。入网用户终端中的密码运算协处理器115,用于以终端用户的私钥来解密接收到的网络密钥种子矢量密文,根据用户密钥种子矢量、网络密钥种子矢量和密钥调料信息生成解密密钥,和解密收到的入网应答报文密文,获得入网应答报文明文。入网用户终端中的微处理器模块112,用于根据上述解密结果,识别出针对自己的入网应答报文,获得分配给自己的终端登录令牌,并将所述终端登录令牌识别信息包括在所述登录报文中。
需要指出,正如对于本领域的技术人员来说显而易见的,网络接入终端或用户接入终端中的微处理器模块也可以实现密码协处理器的功能。根据上述描述,本领域的技术人员将理解在不脱离本发明的精神的情况下,可以对本发明的各种实施例中进行修改和改变。也就是,本说明书中的描述仅用于说明性的目的,而不应当理解为对本发明的限制。本发明的保护范围仅取决于权利要求书的保护范围。
Claims (8)
1.一种用于对抗阻塞攻击的在入网用户终端与网络接入终端之间建立连接的方法,其中网络接入终端通过与入网用户终端多次交换信息,建立入网用户终端和网络接入终端之间的通信连接,同时防范入网用户终端以虚构的多重身份发动阻塞攻击,其特征在于,该方法包含步骤:
入网用户终端以明文方式发送包括用户密钥种子矢量的入网请求报文,
网络接入终端以明文方式发送网络密钥种子矢量,
网络接入终端收到入网用户终端发来的入网请求报文后,为入网用户终端分配终端登录令牌,以密文方式发送包括用户入网请求报文摘要和终端登录令牌的入网应答报文,所述密文加密密钥包含用户密钥种子矢量、网络密钥种子矢量和密钥调料的信息,
入网用户终端解密收到的每一个入网应答报文,通过比较解密后明文信息中的用户入网请求报文摘要,识别出针对自己的入网应答报文,取得网络终端提供的终端登录令牌,
入网用户终端向网络接入终端发送包括终端登录令牌识别信息的登录报文,和
网络接入终端收到登录报文后,验证登录报文中包含正确的终端登录令牌识别信息,确认入网用户终端合法,完成通信连接的建立,为其分配连接资源。
2.一种用于对抗阻塞攻击的在入网用户终端与网络接入终端之间建立连接的方法,其中网络接入终端通过与入网用户终端多次交换信息,建立入网用户终端和网络接入终端之间的通信连接,同时防范入网用户终端以虚构的多重身份发动阻塞攻击,其特征在于,该方法包含步骤:
入网用户终端以明文方式发送包括终端用户证书和用户密钥种子矢量的入网请求报文,
网络接入终端收到入网用户终端发来的入网请求报文后,使用终端用户证书中载明的终端用户公开密钥加密网络密钥种子矢量,将加密后的网络密钥种子矢量密文发送给入网用户终端,
网络接入终端收到入网用户终端发来的入网请求报文后,还为入网用户终端分配终端登录令牌,以密文方式发送包括用户入网请求报文摘要和终端登录令牌的入网应答报文,所述密文加密密钥包含用户密钥种子矢量、网络密钥种子矢量和密钥调料的信息,
入网用户终端解密收到的每一个入网应答报文,通过比较解密后明文信息中的用户入网请求报文摘要,识别出针对自己的入网应答报文,取得网络终端提供的登录令牌,
入网用户终端向网络接入终端发送包括终端登录令牌识别信息的登录报文,和
网络接入终端收到登录报文后,验证登录报文中包含正确的终端登录令牌识别信息,确认入网用户终端合法,完成通信连接的建立,为其分配连接资源。
3.如权利要求1-2中任一权利要求所述的用于对抗阻塞攻击的在入网用户终端与网络接入终端之间建立连接的方法,其特征还在于,所述的用户密钥种子矢量中包括报文当前发送时间。
4.如权利要求1-2中任一权利要求所述的用于对抗阻塞攻击的在入网用户终端与网络接入终端之间建立连接的方法,其特征还在于,所述的网络密钥种子矢量中包括报文当前发送时间。
5.如权利要求1-2中任一权利要求所述的用于对抗阻塞攻击的在入网用户终端与网络接入终端之间建立连接的方法,其特征还在于,所述的登录令牌中除了包括登录令牌识别号以外还包括用于后续通信的会话密钥。
6.如权利要求1-2中任一权利要求所述的用于对抗阻塞攻击的在入网用户终端与网络接入终端之间建立连接的方法,其特征还在于,所述的登录令牌中除了包括登录令牌识别号以外还包括指定的登录时间。
7.一种通信系统,包括用户入网终端和网络接入终端,其中网络接入终端通过与入网用产终端多次交换信息,建立入网用户终端和网络接入终端之间的通信连接,同时防范入网用户终端以虚构的多重身份发动阻塞攻击,其特征在于,
所述网络接入终端包括:
数据收发装置(131),用于接收入网用户终端发送的包括用户密钥种子矢量的入网请求报文,以明文方式发送网络密钥种子矢量,发送加密的入网应答报文,和接收入网用户终端发送的登录报文;和
微处理器模块(132),用于在接收到入网用户终端发送的入网请求报文之后,计算用户入网请求报文摘要,为入网用户终端准备登录令牌和密钥调料,加密包括用户入网请求报文摘要和登录令牌的入网应答报文,所述的加密密钥包括用户密钥种子矢量、网络密钥种子矢量和密钥调料的信息,和在接收到入网用户终端发送的登录报文之后,验证登录报文中包含正确的登录令牌识别信息,确认入网用户终端合法;
所述用户入网终端包括:
数据收发装置(113),用于以明文方式发送包括用户密钥种子矢量的入网请求报文,接收由网络接入终端发送的网络密钥种子矢量,接收网络接入终端发送的入网应答报文,并向网络接入终端发送包括登录令牌识别信息的登录报文;
随机数据存储器(114),用于存储所述用户密钥种子矢量和网络密钥种子矢量;和
微处理器模块(112),用于根据用户密钥种子矢量、网络密钥种子矢量和密钥调料信息生成解密密钥,解密收到的入网应答报文密文,获得入网应答报文明文,根据上述解密结果,识别出针对自己的入网应答报文,获得分配给自己的终端登录令牌,并将所述终端登录令牌识别信息包括在所述登录报文中。
8.一种通信系统,包括用户入网终端和网络接入终端,其中网络接入终端通过与入网用户终端多次交换信息,建立入网用户终端和网络接入终端之间的通信连接,同时防范入网用户终端以虚构的多重身份发动阻塞攻击,其特征在于,
所述网络接入终端包括:
数据收发装置(131),用于接收入网用户终端发送的包括用户密钥种子矢量的入网请求报文,发送以终端用户公开密钥加密的网络密钥种子矢量密文,发送入网应答报文,和接收入网用户终端发送的登录报文;
微处理器模块(132),用于在接收到入网用户终端发送的入网请求报文之后,计算用户入网请求报文摘要,为入网用户终端准备登录令牌和密钥调料,和在接收到入网用户终端发送的登录报文之后,验证登录报文中包含正确的登录令牌识别信息,确认入网用户终端合法;和
密码运算协处理器模块(136),用于在接收到入网用户终端发送的入网请求报文之后,以终端用户公开密钥加密网络密钥种子矢量,根据用户密钥种子矢量、网络密钥种子矢量和密钥调料信息生成加密密钥,并加密包括用户入网请求报文摘要和登录令牌的入网应答报文;
所述用户入网终端包括:
数据收发装置(113),用于以明文方式发送包括用户密钥种子矢量的入网请求报文,接收由网络接入终端发送的网络密钥种子矢量密文,接收网络接入终端发送的入网应答报文,并向网络接入终端发送包括登录令牌识别信息的登录报文;
随机数据存储器(114),用于存储所述用户密钥种子矢量和网络密钥种子矢量;
密码运算协处理器(115),用于以终端用户的私钥来解密接收到的网络密钥种子矢量密文,根据用户密钥种子矢量、网络密钥种子矢量和密钥调料信息生成解密密钥,和解密收到的入网应答报文密文,获得入网应答报文明文;和
微处理器模块(112),根据上述解密结果,识别出针对自己的入网应答报文,获得分配给自己的终端登录令牌,并将所述终端登录令牌识别信息包括在所述登录报文中。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201010101547A CN101827079A (zh) | 2010-01-27 | 2010-01-27 | 抗阻塞攻击的终端连接建立方法和终端访问认证系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201010101547A CN101827079A (zh) | 2010-01-27 | 2010-01-27 | 抗阻塞攻击的终端连接建立方法和终端访问认证系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN101827079A true CN101827079A (zh) | 2010-09-08 |
Family
ID=42690785
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201010101547A Pending CN101827079A (zh) | 2010-01-27 | 2010-01-27 | 抗阻塞攻击的终端连接建立方法和终端访问认证系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101827079A (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107371216A (zh) * | 2017-09-13 | 2017-11-21 | 湖南基石通信技术有限公司 | 一种令牌子网站点接入方法及装置 |
| CN107634942A (zh) * | 2017-09-08 | 2018-01-26 | 北京京东尚科信息技术有限公司 | 识别恶意请求的方法和装置 |
| WO2018090967A1 (zh) * | 2016-11-17 | 2018-05-24 | 深圳创维数字技术有限公司 | 基于eoc网络的数据安全传输方法及系统 |
| CN108337219A (zh) * | 2017-11-27 | 2018-07-27 | 中国电子科技集团公司电子科学研究院 | 一种物联网防入侵的方法和存储介质 |
-
2010
- 2010-01-27 CN CN201010101547A patent/CN101827079A/zh active Pending
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2018090967A1 (zh) * | 2016-11-17 | 2018-05-24 | 深圳创维数字技术有限公司 | 基于eoc网络的数据安全传输方法及系统 |
| CN107634942A (zh) * | 2017-09-08 | 2018-01-26 | 北京京东尚科信息技术有限公司 | 识别恶意请求的方法和装置 |
| CN107634942B (zh) * | 2017-09-08 | 2020-07-31 | 北京京东尚科信息技术有限公司 | 识别恶意请求的方法和装置 |
| CN107371216A (zh) * | 2017-09-13 | 2017-11-21 | 湖南基石通信技术有限公司 | 一种令牌子网站点接入方法及装置 |
| CN107371216B (zh) * | 2017-09-13 | 2020-03-27 | 湖南基石通信技术有限公司 | 一种令牌子网站点接入方法及装置 |
| CN108337219A (zh) * | 2017-11-27 | 2018-07-27 | 中国电子科技集团公司电子科学研究院 | 一种物联网防入侵的方法和存储介质 |
| CN108337219B (zh) * | 2017-11-27 | 2021-12-28 | 中国电子科技集团公司电子科学研究院 | 一种物联网防入侵的方法和存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101867473B (zh) | 抗阻塞攻击的共享媒体终端连接建立方法和接入认证系统 | |
| Zhao et al. | A novel mutual authentication scheme for Internet of Things | |
| Jose et al. | Implementation of data security in cloud computing | |
| Sani et al. | Xyreum: A high-performance and scalable blockchain for iiot security and privacy | |
| Shaikh et al. | LSec: Lightweight security protocol for distributed wireless sensor network | |
| Naoui et al. | Trusted third party based key management for enhancing LoRaWAN security | |
| Aura et al. | Reducing reauthentication delay in wireless networks | |
| Shukla et al. | A bit commitment signcryption protocol for wireless transport layer security (wtls) | |
| CN100512108C (zh) | 入网终端物理唯一性识别方法和终端接入认证系统 | |
| CN107210915A (zh) | 相互认证 | |
| Madhusudhan | Mobile user authentication protocol with privacy preserving for roaming service in GLOMONET | |
| Tao et al. | Anonymous identity authentication mechanism for hybrid architecture in mobile crowd sensing networks | |
| Di Pietro et al. | A two-factor mobile authentication scheme for secure financial transactions | |
| Alkatheiri et al. | Physical unclonable function (PUF)-based security in Internet of Things (IoT): Key challenges and solutions | |
| CN106230840B (zh) | 一种高安全性的口令认证方法 | |
| CN101827079A (zh) | 抗阻塞攻击的终端连接建立方法和终端访问认证系统 | |
| Lagutin | Redesigning internet-the packet level authentication architecture | |
| Wang et al. | T-IP: A self-trustworthy and secure Internet protocol | |
| Joshi | Network security: know it all | |
| Swati et al. | Design and analysis of DDoS mitigating network architecture | |
| Sahoo et al. | Design of An Authentication Scheme for Cloud-Based IoT Applications | |
| Ahmad et al. | BHQRSM: binary hex quadratic residue security model to enhance the trust in MANETs | |
| Sachan et al. | Light Weighted Mutual Authentication and Dynamic Key Encryption for IoT Devices Applications | |
| Burmester et al. | Towards a secure electricity grid | |
| Lu et al. | A novel smart card based user authentication and key agreement scheme for heterogeneous wireless sensor networks |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20100908 |