CN101867473B - 抗阻塞攻击的共享媒体终端连接建立方法和接入认证系统 - Google Patents
抗阻塞攻击的共享媒体终端连接建立方法和接入认证系统 Download PDFInfo
- Publication number
- CN101867473B CN101867473B CN2010101015468A CN201010101546A CN101867473B CN 101867473 B CN101867473 B CN 101867473B CN 2010101015468 A CN2010101015468 A CN 2010101015468A CN 201010101546 A CN201010101546 A CN 201010101546A CN 101867473 B CN101867473 B CN 101867473B
- Authority
- CN
- China
- Prior art keywords
- terminal
- networking
- network
- user
- key
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
- 238000000034 method Methods 0.000 title claims abstract description 79
- 230000004044 response Effects 0.000 claims abstract description 161
- 238000004891 communication Methods 0.000 claims abstract description 37
- 230000006855 networking Effects 0.000 claims description 583
- 238000003780 insertion Methods 0.000 claims description 253
- 230000037431 insertion Effects 0.000 claims description 253
- 239000013598 vector Substances 0.000 claims description 209
- 238000012360 testing method Methods 0.000 claims description 13
- 238000012986 modification Methods 0.000 claims description 7
- 230000004048 modification Effects 0.000 claims description 7
- 230000008569 process Effects 0.000 abstract description 17
- 230000006870 function Effects 0.000 description 63
- 230000010354 integration Effects 0.000 description 32
- 230000005540 biological transmission Effects 0.000 description 13
- 230000006872 improvement Effects 0.000 description 10
- 238000012546 transfer Methods 0.000 description 10
- 238000004364 calculation method Methods 0.000 description 8
- 238000000205 computational method Methods 0.000 description 6
- 238000005516 engineering process Methods 0.000 description 6
- 235000009508 confectionery Nutrition 0.000 description 5
- 238000012795 verification Methods 0.000 description 5
- 235000014510 cooky Nutrition 0.000 description 4
- 238000001514 detection method Methods 0.000 description 4
- 238000009792 diffusion process Methods 0.000 description 4
- 238000000605 extraction Methods 0.000 description 3
- 238000013475 authorization Methods 0.000 description 2
- 230000006399 behavior Effects 0.000 description 2
- 230000002950 deficient Effects 0.000 description 2
- 238000013461 design Methods 0.000 description 2
- 230000000977 initiatory effect Effects 0.000 description 2
- 230000001360 synchronised effect Effects 0.000 description 2
- 241000700605 Viruses Species 0.000 description 1
- 230000015572 biosynthetic process Effects 0.000 description 1
- 230000000903 blocking effect Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 235000013409 condiments Nutrition 0.000 description 1
- 230000005574 cross-species transmission Effects 0.000 description 1
- 230000007812 deficiency Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000006073 displacement reaction Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 239000012634 fragment Substances 0.000 description 1
- 230000002452 interceptive effect Effects 0.000 description 1
- 230000009545 invasion Effects 0.000 description 1
- 238000007726 management method Methods 0.000 description 1
- 230000011514 reflex Effects 0.000 description 1
- 238000010200 validation analysis Methods 0.000 description 1
Images
Landscapes
- Small-Scale Networks (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种对抗阻塞攻击的入网终端物理唯一性识别方法和终端接入认证系统,它属于用户终端访问通信服务网络的方法及其实现系统,其特征在于该方法将确认用户入网终端合法身份的双向信息交换分成:网络接入终端广播密钥扰动强度和有效入网时间窗口,入网用户终端在指定时间窗口发起入网请求,网络接入终端以密文方式发送终端登录令牌,入网用户终端尝试解密应答报文,并向网络接入终端回传终端登录令牌识别信息,以及网络接入终端验证终端登录令牌识别信息六个步骤。
Description
技术领域
本发明属于一种用户终端访问通信服务网络的登录方法及其实现系统,尤其是一种用于对抗阻塞攻击的入网用户终端连接建立方法和终端访问初步认证实现系统。
背景技术
伴随着网络技术的发展和网络通信的普及,网络安全已经日益成为人们关注的焦点。当前网络面临的安全威胁主要来自于黑客攻击、网络缺陷、软件漏洞以及管理欠缺等。由网络黑客或计算机病毒发起的阻塞攻击是其中较难防范的一种。
“阻塞攻击”又称“拒绝服务攻击”。它是这样一种网络攻击:当通信网络在受到这种形式的攻击以后,部分或全部丧失了正常服务响应能力,不再继续向“合法授权用户提供承诺的网络服务”。由少量攻击者发起的阻塞攻击的主要形式包括:TCP同步风暴攻击、ICMP广播风暴攻击、UDP服务攻击、流量反弹攻击、入侵检测攻击等。
在TCP同步风暴攻击中,攻击者发送大量的半连接,且连接的源地址是伪造的,这样服务器在将确认消息返回给用户时将不会收到伪造源地址用户的确认,这时服务器只能等待并不断重发确认消息,直到这种半连接超时。攻击者在短时间内持续发送大量伪造了源地址的半连接请求,必然使服务器过载而不能提供服务。
在ICMP广播攻击中,攻击者发送大量目的地址指向高速局域网广播地址,源地址指向受害主机的ICMP反射请求广播包,从而引发目的局域网大量广播包反射到受害主机,造成受害主机网络阻塞。
在UDP服务攻击中,攻击者通过多个服务器向受害主机海量发送不限速的UDP包,将受害主机淹没在不断涌入的垃圾数据中,使得正常的网络服务被阻塞。
在流量反弹攻击中,攻击者通过多个服务器向海量反弹服务器发送源地址为伪造的受害主机的攻击数据,通过反弹服务器的正常服务,将海量垃圾服务应答数据汇聚于受害主机,将受害主机淹没在不断涌入的垃圾数据中,使得正常的网络服务被阻塞。
在入侵检测攻击中,攻击者故意发送含有特殊字符串的数据包,使得受害主机的入侵检测系统误认为发现入侵而产生大量警告,最终使入侵检测系统超过记录能力而过载或崩溃,从而掩盖真正的网络入侵行为。
总结阻塞攻击的种种形式不难发现,造成拒绝服务的原理就是利用网络协议的缺陷,使受害主机或主机网络过载而失去服务响应能力。而为了保证通信网络的“授权用户始终能够获得网络服务”,通信网络系统必须能够抵抗这种“阻塞攻击”。
通信网络系统的网络业务服务,逻辑上是通过网络接入终端来提供的。当用户需要某种网络服务时,其入网用户终端首先建立起与网络接入终端的通信连接,然后进行单向或双向的数据信息交流,实现网络业务服务,最后当结束服务时关闭通信连接。作为用户终端获得网络访问服务的门户,网络接入终端是辨识合法用户和非法流量的最佳位置,同时也是网络系统中最容易遭受阻塞攻击的部位之一。
通信网络接入终端被设计为向大量用户终端提供网络访问服务。作为一个合理的假设,其配置应该满足最大设计数量用户终端同时申请入网的峰值业务量需求。在此前提下如果网络接入终端仍然发生了过载,必然是同时到达了大量虚假用户终端的网络访问,处理这些虚假用户终端网络访问所需要的运算量超出了网络接入终端配置的处理能力。因此为了对抗阻塞攻击,必须能够动态限制用户终端的网络访问负载量,同时能够惩罚单个终端假冒多个终端身份的行为。
目前的系统多采用序列号和口令保护的方式来进行用户身份认证,确保用户和终端的真实性。这种方式要求用户和网络终端共享相同的口令数据,并且序列号和口令数据需要在网络中以明文方式传输,极易被截获和假冒。如果事先建立加密信道,将序列号和口令数据在加密信道中传输,固然可以防范敏感数据被非法截获,但是建立加密信道的过程本身计算量很大,足以被非法用户用于发起阻塞攻击。
另一些系统采用密码学身份认证来确保用户身份的唯一合法性。比如基于智能卡的身份认证系统,智能卡中存储了用户私钥和网络公钥。用户使用自己的私钥对认证数据签名,再用网络公钥对数字签名加密;网络端必须使用自己的私钥解密数据,再用用户的公钥验证签名。然而这种密码学身份认证运算量很大,例如产生或验证一个1024位的RSA公开密钥算法加密的数字签名,奔腾IV-2G的台式机需要1~2秒的时间。因此身份认证过程本身常成为阻塞攻击的目标。
例如用户以随机产生的数据作为自己的身份数据要求进行身份认证,网络接入终端需要花费大量处理能力才能证实该身份数据是非法的。如果用户用不断变化的随机数据来作为自己的身份标志,持续要求网络接入终端进行大运算量的密码学验证。这样攻击者只需要很少的开销,就可以迫使网络接入终端不得不执行大规模的运算,最终导致接入终端过载,达到阻塞系统的目的。
在基于IP的路由器网络中,如果用户终端与服务器不在同一个网段,那么只有目标地址与用户终端地址相同的分组包才能被路由器正确转发到用户终端。这样服务器可以通过给要求服务的用户终端发送一个“甜饼”,并要求用户终端回发给服务器来验证用户终端的唯一性。该小甜饼与用户终端的网络地址相关联。如果用户提供了虚假的网络地址,那么它将不能收到服务器生成的小甜饼,从而避免了后继的网络应答操作。
但是这种方法不适用于广播网络,或处于同一个广播域中的网络。因为此时用户总能收到服务器生成的小甜饼,使得入网过程能够继续进行。随着局域网规模的扩大和长距离无线网络的规模应用,需要向越来越大的广播网络或网络广播域中的各种不同身份用户提供网络服务,基于小甜饼交换的终端身份验证方法就不再有效。
发明内容
本发明的目的就是提供一种适用于共享媒体网络或广播网络、性能稳定可靠并且简单易于实施的、基于计算量的、在入网用户终端与网络接入终端之间建立连接的方法和终端访问初步认证系统。
本发明的入网用户终端连接建立方法是:网络接入终端通过与入网用户终端多次交换信息,建立入网用户终端和网络接入终端之间的通信连接,同时防范入网用户终端以虚构的多重身份发动阻塞攻击,其特征在于,该方法将网络接入终端和入网用户终端之间的信息交换分成六个步骤:第一步网络接入终端以明文方式广播网络密钥种子矢量、密钥扰动强度和有效入网时间窗口,入网用户终端接收并记录所述网络密钥种子矢量、密钥扰动强度和有效入网时间窗口;第二步入网用户终端在所述有效入网时间窗口内以明文方式发送包括用户密钥种子矢量的入网请求报文;第三步网络接入终端收到入网用户终端发来的入网请求报文后,为入网用户终端分配终端登录令牌,以密文方式发送包括用户入网请求报文摘要和终端登录令牌的入网应答报文,所述入网应答报文的密文加密密钥包含用户密钥种子矢量和网络密钥种子矢量的信息,并且密文加密密钥根据所述密钥扰动强度的要求进行了加扰修改;第四步入网用户终端尝试解密收到的每一个入网应答报文,通过比较解密后明文信息中的用户入网请求报文摘要,识别出针对自己的入网应答报文,取得网络终端提供的终端登录令牌;第五步入网用户终端向网络接入终端发送包括终端登录令牌识别信息的登录报文;第六步网络接入终端收到登录报文后,验证登录报文中是否包含正确的终端登录令牌识别信息,确认入网用户终端连接建链成功,为其实际分配网络资源。
本发明改进的方法是:网络接入终端通过与入网用户终端多次交换信息,建立入网用户终端和网络接入终端之间的通信连接,同时防范入网用户终端以虚构的多重身份发动阻塞攻击,其特征在于,该方法将网络接入终端和入网用户终端之间的信息交换分成七个步骤,第一步网络接入终端以明文方式广播有效入网时间窗口和密钥扰动强度,入网用户终端接收并记录所述有效入网时间窗口和密钥扰动强度;第二步入网用户终端在 所述有效入网时间窗口内以明文方式发送包括终端用户证书和用户密钥种子矢量的入网请求报文;第三步网络接入终端收到入网用户终端发来的入网请求报文后,使用终端用户证书中载明的终端用户公开密钥加密网络密钥种子矢量,将加密后的网络密钥种子矢量密文发送给入网用户终端;第四步网络接入终端收到入网用户终端发来的入网请求报文后,还为入网用户终端分配终端登录令牌,以密文方式发送包括用户入网请求报文摘要和终端登录令牌的入网应答报文,所述入网应答报文的密文加密密钥包含用户密钥种子矢量和网络密钥种子矢量的信息,并且密文加密密钥根据所述密钥扰动强度的要求进行了加扰修改;第五步入网用户终端尝试解密收到的每一个入网应答报文,通过比较解密后明文信息中的用户入网请求报文摘要,识别出针对自己的入网应答报文,取得网络终端提供的终端登录令牌;第六步入网用户终端向网络接入终端发送包括终端登录令牌识别信息的登录报文;第七步网络接入终端收到登录报文后,验证登录报文中是否包含正确的终端登录令牌识别信息,确认入网用户终端连接建链成功,为其实际分配网络资源。
本发明进一步改进的方法的特征在于:所述的用户密钥种子矢量中包括报文当前发送时间。
本发明再进一步改进的方法的特征在于:所述的网络密钥种子矢量中包括报文当前发送时间。
本发明更进一步改进的方法的特征在于:所述的终端登录令牌中除了包括终端登录令牌识别号以外还包括用于后续通信的会话密钥。
本发明改进的方法的特征还在于:所述的终端登录令牌中除了包括终端登录令牌识别号以外还包括指定的登录时间。
本发明还提出了一种终端访问初步认证系统,包括入网用户终端和网络接入终端,其中网络接入终端通过与入网用户终端多次交换信息,建立入网用户终端和网络接入终端之间的通信连接,同时防范入网用户终端以虚构的多重身份发动阻塞攻击。所述网络接入终端包括:数据收发装置(131),用于以明文方式广播网络密钥种子矢量、密钥扰动强度和有效入网时间窗口,接收入网用户终端发送的包括用户密钥种子矢量的入网请求报文,发送加密的入网应答报文,和接收入网用户终端发送的登录报文;微处理器模块(132),用于在接收到入网用户终端发送的入网请求报文之后,为入网用户终端准备终端登录令牌,计算所述用户终端发送的入网请求报文摘要,生成密文加密密钥;使用密文加密密钥加密包括用户入网请求报文摘要和终端登录令牌的入网应答报文;和在接收到入网用户终端发送的登录报文之后,验证登录报文中是否包含正确的终端登录令牌识别信息,确认入网用户终端是否连接建链成功。所述入网用户终端包括:数据收发装置(113),用于接收由网络接入终端广播的密钥扰动强度和有效入网时间窗口, 在网络接入终端指定的有效入网时间窗口内以明文方式发送包括用户密钥种子矢量的入网请求报文,接收网络接入终端发送的入网应答报文密文,并向网络接入终端发送包括终端登录令牌识别信息的登录报文;随机数据存储器(114),用于存储所述网络密钥种子矢量、密钥扰动强度和有效入网时间窗口;和微处理器模块(112),用于穷举可能的解密密钥尝试解密入网应答报文;和根据上述入网应答报文密文的解密结果,识别出针对自己的入网应答报文,发现分配给自己的终端登录令牌信息。
本发明的改进的系统包括入网用户终端和网络接入终端,其中网络接入终端通过与入网用户终端多次交换信息,建立入网用户终端和网络接入终端之间的通信连接,同时防范入网用户终端以虚构的多重身份发动阻塞攻击。所述网络接入终端包括:数据收发装置(131),用于以明文方式广播密钥扰动强度和有效入网时间窗口,接收入网用户终端发送的包括终端用户证书和用户密钥种子矢量的入网请求报文,发送加密的网络密钥种子矢量和入网应答报文,和接收入网用户终端发送的登录报文;微处理器模块(132),用于在接收到入网用户终端发送的入网请求报文之后,计算所述用户终端发送的入网请求报文摘要,为入网用户终端准备终端登录令牌,生成密文加密密钥;和在接收到入网用户终端发送的登录报文之后,验证登录报文中是否包含正确的终端登录令牌识别信息,确认入网用户终端是否合法;和密码运算协处理器模块(136),用于在接收到入网用户终端发送的入网请求报文之后,使用终端用户证书中载明的终端用户公开密钥加密网络密钥种子矢量,使用密文加密密钥加密包括用户入网请求报文摘要和终端登录令牌的入网应答报文,所述密文加密密钥包含用户密钥种子矢量和网络密钥种子矢量的信息,并根据所述密钥扰动强度的要求进行了加扰修改。所述入网用户终端包括:数据收发装置(113),用于接收由网络接入终端广播的密钥扰动强度和有效入网时间窗口,在网络接入终端指定的有效入网时间窗口内以明文方式发送包括终端用户证书和用户密钥种子矢量的入网请求报文,接收由网络接入终端发送的网络密钥种子矢量密文和入网应答报文密文,并向网络接入终端发送包括终端登录令牌识别信息的登录报文;随机数据存储器(114),用于存储所述用户密钥种子矢量、网络密钥种子矢量、密钥扰动强度和有效入网时间窗口;密码运算协处理器(115),用于以终端用户的私钥来解密网络密钥种子矢量密文,根据用户密钥种子矢量、网络密钥种子矢量和密钥扰动强度的信息,按照与网络接入终端对应的方法,尝试穷举可能的密文解密密钥解密入网应答报文密文,获得入网应答报文明文;和微处理器模块(112),根据上述入网应答报文密文的解密结果,识别出针对自己的入网应答报文,获得分配给自己的终端登录令牌,并将所述终端登录令牌识别信息包括在所述登录报文中。
本发明的优点在于:
1.能够抵抗拒绝服务攻击:
本发明中提供网络服务的网络接入终端只接收用户端发来的明文报文,分析和处理报文的计算量小,接收处理工作可以实时完成,即使到达大量申请报文也不会过载。
网络接入终端只需要保留全局性的终端登录令牌信息,在完成用户合法性认证前完全不保留与特定用户相关的信息,因此不会出现缓存溢出现象。
加密运算只需要针对需要实际发出的申请应答报文数据进行,并且只需要采用计算速度很快的对称加密算法,即使不是用硬件加速也能够实现实时运算,不会因为执行了密码运算而造成处理量过载。
2.用户假冒多个终端身份代价极高:
本发明第三步中网络接入终端使用密文方式发送入网应答报文。用户必须使用与自己发送的用户密钥种子矢量和接收到的网络密钥种子矢量相对应的解密密钥,实时解密收到的每一个入网应答报文,才能获得用户终端登录令牌信息,继续进行以后的信息交换步骤。如果密钥调料不为零,用户还必须进行多次解密尝试,才能获得正确的终端登录令牌。而对于假冒了多个物理终端身份的用户,它必须同时使用与多个用户密钥种子矢量对应的多个解密密钥,同时实时并行尝试解密收到的每一个入网应答报文。假冒的用户数量增加时,计算量和数据存储量将超线性增大,对实时运算能力的要求也以接近平方关系的比例相应提高。例如对于一个假冒了100个虚假终端的用户终端来说,它的影响只是使设计同时服务于1000个入网登录用户的网络接入终端增加了10%的工作负荷,至多瞬间进入比较饱满的工作状态,却对非法用户终端自己产生了近万倍的计算量和数据存储量要求。
3.适用范围广泛:
本发明六个步骤所进行的信息交换都假定在不安全的传输环境下进行,没有限定信息交换与网络地址是否相关。与传统的基于“甜饼交换”的认证方法相比,“甜饼交换”认证协议只有当用户终端与认证服务器不在同一个路由广播域时,非法用户终端才收不到认证服务器发出的“甜饼”,认证方法才有效。本发明假定非法用户终端总是能够收到所有交互信息,在此假设下仍然具有良好的针对非法用户的计算惩罚效果,因此没有“甜饼交换”协议对路由广播域的限制。
4.易于与其他身份认证技术相结合:
大多数身份认证技术都需要使用计算量极大的非对称密码算法,或者使用复杂的密钥分发技术。如果不能事先确保认证过程是一对一实时进行,很容易招致拒绝服务攻击。本发明的网络接入终端无需事先知道任何入网用户终端的知识,就可以杜绝单个用户终端假冒多个用户终端身份,不需要其他普通身份认证技术做任何改变,就可以弥补易于遭到拒绝服务攻击的不足。
5.易于实施:
采用本发明的方法,只需要在入网用户终端和网络接入终端之间分5个步骤、进行2次往返报文交换,就可以完成终端唯一性识别工作。所有工作只需要一个普通的嵌入式微处理器系统就可以胜任。如果采用个人计算机系统或其他高性能计算机系统来实现则更加方便。
附图说明
图1是本发明的一个实施方式系统结构和数据信息传递示意图。
图2是本发明的一个方法步骤和各步骤所传递数据信息示意图。
图3是本发明的一个改进的方法步骤和各步骤所传递数据信息示意图。
图4是本发明的一个进一步改进的方法步骤和各步骤所传递数据信息示意图。
图5是本发明的一个再进一步改进的方法步骤和各步骤所传递数据信息示意图。
图6是本发明的一个改进的方法步骤和各步骤所传递数据信息示意图。
图7是本发明的一个再一步改进的方法步骤和各步骤所传递数据信息示意图。
图8是本发明的一个更进一步改进的方法步骤和各步骤所传递数据信息示意图。
图9是本发明的一个网络接入终端广播网络策略帧内容构成示意图。
图10是本发明的一个网络接入终端改进的定时信息广播帧内容构成示意图。
图11是本发明的一个网络接入终端再进一步改进的定时信息广播帧内容构成示意图。
图12是本发明的一个入网用户终端入网请求报文内容示意图。
图13是本发明的一个入网用户终端改进的入网请求报文内容示意图。
图14是本发明的一个入网用户终端进一步改进的入网请求报文内容示意图。
图15是本发明的一个入网用户终端再进一步改进的入网请求报文内容示意图。
图16是本发明的一个网络接入终端的网络登录应答报文内容示意图。
图17是本发明的一个网络接入终端的发送网络密钥种子矢量报文内容示意图。
图18是本发明的一个网络接入终端改进的网络登录应答报文内容示意图。
图19是本发明的一个网络接入终端再一步改进的网络登录应答报文内容示意图。
图20是本发明的一个入网用户终端的登录认证报文内容示意图。
图21是本发明的一个网络接入终端改进的网络登录应答报文内容示意图。
图22是本发明的一个网络接入终端更进一步改进的网络登录应答报文内容示意图。
图23是本发明的一个入网用户终端更进一步改进的登录认证报文内容示意图。
图24是本发明的一个改进的实施方式系统结构和数据信息传递示意图。
图25是本发明的一个进一步改进的实施方式系统结构和数据信息传递示意图。
具体实施方式
本发明的实施方式如下:
本发明的一个实施方式系统如图1所示,其中包括入网用户终端11、网络接入终端13、以及位于入网用户终端11和网络接入终端13之间的传输链路12,所述的入网用户终端11内部又包括用户终端配置存储器111、微处理器模块112、数据收发装置113和随机数据存储器114,所述的网络接入终端13又包括数据收发装置131、微处理器模块132、网间接口收发模块133、配置存储器134和登录用户数据库模块135。
本发明的一个改进的实施方式系统如图24所示,其中包括入网用户终端11A、网络接入终端13A、以及位于入网用户终端11A和网络接入终端13A之间的传输链路12,所述的入网用户终端11A内部又包括用户终端配置存储器111、微处理器模块112、数据收发装置113和随机数据存储器114和密码运算协处理器115,所述的网络接入终端13A又包括数据收发装置131、微处理器模块132、网间接口收发模块133、配置存储器134、登录用户数据库模块135和密码运算协处理器模块136。
本发明进一步改进的实施方式系统如图25所示,其中包括入网用户终端11B、网络接入终端13B、以及入网用户终端与网络接入终端之间的传输链路12,所述的入网用户终端11B内部又包括数据收发装置113、系统广播接收装置11B2、入网请求装置11B3、解密搜索装置11B4、登录认证发送装置11B5和随机数据存储器114,所述的网络接入终端13B又包括数据收发装置131、定时广播装置13B2、入网应答装置13B3、报文加密装置13B4、登录认证装置13B5和登录用户数据库模块135。
第一实施例
入网用户终端11与网络接入终端13之间的连接登录建立过程包括如图2所示的步骤S11-S16。
入网用户终端为了登录网络使用网络服务,进行的终端连接的第一步(S11)是收听网络接入终端的定时广播。网络接入终端13中的微处理器模块132从配置存储器134中取出广播时间间隔、密钥扰动强度212和当前系统时间等配置参数,根据当前网络业务量确定一段时间作为有效入网时间窗口213,然后通过数据收发装置131以明文方式广播定时广播报文。所述定时广播报文21的内容包括当前系统时间信息211、所述的密钥扰动强度212、有效入网时间窗口213、网络密钥种子矢量214和其它广播参数215。入网用户终端11从数据收发装置113收到定时广播报文21后,在微处理器模块112的控制下,根据所述系统时间信息211调整自己的系统时钟,同时在随机数据存储器114中记录当前收到的密钥扰动强度212、有效入网时间窗口213和网络密钥种子矢量214。
第二步骤(S12),入网用户终端11在微处理器模块112的控制下,在随机数据存储器114中记录的有效入网时间窗口213内,通过数据收发装置113以明文方式向网络接入终端13发送入网请求报文22。所述入网请求报文22中包括所述的入网用户密钥种子矢量222和其它信息223,同时在随机数据存储器114中记录用户密钥种子矢量222。随后微处理器模块112计算入网请求报文22的摘要224并存入随机数据存储器114中。
第三步骤(S13),网络接入终端13在有效入网时间窗口213内,从数据收发装置131收到入网请求报文22后,微处理器模块132根据网络接入终端配置存储器134所配置的内容为入网用户终端分配终端登录令牌232,计算所述用户入网请求报文22的摘要231,并形成网络登录应答报文明文23,所述的网络登录应答报文明文23中包括用户入网请求报文摘要231、终端登录令牌232和其它信息233。然后以密文方式向入网用户终端11发送包括用户入网请求报文摘要231和终端登录令牌232的入网应答报文230,所述密文的加密密钥包含用户密钥种子矢量222、网络密钥种子矢量214和密钥扰动强度212的信息。
第四步骤(S14),入网用户终端11从数据收发装置113每收到一个网络登录应答报文密文230后,尝试穷举可能的密文解密密钥解密入网应答报文230,解密密钥包括随机数据存储器114中记录的用户密钥种子矢量222、网络密钥种子矢量214和密钥扰动强度212的信息,得到入网应答报文明文23。入网用户终端11中的微处理器模块112,通过比较随机数据存储器114中保存的报文摘要224和解密得到网络登录应答报文明文中的报文摘要231相符合,识别出网络接入终端13发给自己的应答报文明文23,同时获得网络终端登录令牌232。微处理器模块112将终端登录令牌232存入随机数据存储器114。
第五步骤(S15),入网用户终端微处理器模块112在有效入网时间窗口213内,通过数据收发装置113向网络接入终端13发送登录认证报文24。所述登录认证报文24包括网络接入终端13颁发的终端登录令牌232的识别信息241和其它信息242。
第六步骤(S16),网络接入终端13在预定的有效入网时间窗口213内,从数据收发装置131收到入网用户终端11发回的登录认证报文24以后,微处理器模块132通过验证登录认证报文24中包含正确的终端登录令牌识别信息241,确认入网用户终端合法,完成连接建立,为其分配网络资源,并可将用户信息存入登录用户数据库模块135供后续操作使用。
经过上述步骤S11-S16,网络接入终端13完成了登录连接的终端认证,可以为入网用户终端11分配信道资源,提供所需要的其他网络服务,如通过网间数据收发模块133向其它网络节点转发数据,或将从网间数据收发模块133收到的其他网络节点的数据转发给入网用户终端11。
第二实施例
对入网用户终端11与网络接入终端13之间的连接登录建立过程第一实施例的改进如图2所示的步骤S11-S16。
入网用户终端为了登录网络使用网络服务,进行的终端连接的第一步(S11)是收听网络接入终端的定时广播。网络接入终端13中的微处理器模块132周期性地从配置存储器134中取出广播时间间隔、密钥扰动强度212和当前系统时间等配置参数,根据当前网络业务量确定一段时间作为有效入网时间窗口213,根据网络接入终端配置存储器134的配置(如码字长度)生成一个随机数y,然后根据y进一步生成网络密钥种子矢量214(数学上记为Y),Y=f2(y),生成函数f2(y)是包括加、减、乘、除、模除、异或、指数、对数、微分、积分、三角函数、替换、扩散、取系统时间、附加随机数或指定常数等一种或多种数学运算的多项式。然后通过数据收发装置131以明文方式广播定时广播报文。所述定时广播报文21的内容包括所确定的有效入网时间窗口213、所述定时信息211、密钥扰动强度212、网络密钥种子矢量214和其它广播参数215。入网用户终端11从数据收发装置113收到定时广播报文21后,在微处理器模块112的控制下,根据定时信息211初步调整自己的系统时钟,同时在随机数据存储器114中记录当前收到的密钥扰动强度212、有效入网时间窗口213和网络密钥种子矢量214。
第二步骤(S12),入网用户终端11在随机数据存储器114所记录的有效入网时间窗口213内,以明文方式发送包括用户密钥种子矢量的入网请求报文。入网用户终端11中的微处理器模块112根据用户终端配置存储器111所配置的要求生成一个随机数x,然后由x进一步生成用户密钥种子矢量222(数学上记为X),X=f1(x),生成函数f1(x)是包括加、减、乘、除、模除、异或、指数、对数、微分、积分、三角函数、替换、扩散、取系统时间、附加随机数或指定常数等一种或多种数学运算的多项式。
然后通过数据收发装置113以明文方式向网络接入终端13发送入网请求报文22,所述的入网请求报文22内容包括所述的用户密钥种子矢量222和其他信息223,同时在随机数据存储器114中记录用户密钥种子矢量222。随后微处理器模块112计算所述入网请求报文22的摘要224并存入随机数据存储器114中,所述摘要的具体计算方法可以有多种选择,并可将这种选择作为其他信息223的一部分包含在入网请求报文22中。例如可以节 选入网请求报文的部分片段;也可以是对入网请求报文内容的任何一种运算,比如入网请求报文的循环冗余校验,或者用户密钥种子矢量222的MD5散列值,或者以用户密钥种子矢量222为加密密钥,对入网请求报文22的加密运算结果。通常可以只规定一种计算摘要的简单方法,从而减少入网请求报文22中必须包含的数据量,达到简化实现复杂度的目的。
第三步骤(S13),网络接入终端13在有效入网时间窗口213内,从数据收发装置131收到入网请求报文22后,根据网络接入终端配置存储器134的配置z为入网用户终端11分配终端登录令牌232(数学上记为Z),Z=f3(z),生成函数f3(z)是包括加、减、乘、除、模除、异或、指数、对数、微分、积分、三角函数、替换、扩散、取系统时间、附加随机数或指定常数等一种或多种数学运算的多项式,可以在终端登录令牌中加入后续登录时间、会话密钥等内容。
然后微处理器模块132计算所述用户入网请求报文22的摘要231,所述摘要的生成方法与第二步骤中所述计算报文摘要的方法相同,随后形成包括所述用户入网请求报文摘要231、终端登录令牌232和其它信息233的网络登录应答报文23。该入网应答报文明文23经对称密钥加密算法加密成密文230后,经数据收发装置131向入网用户终端11发送。所述密文230的对称加解密密钥K包含用户密钥种子矢量222、网络密钥种子矢量214和密钥扰动强度212的信息,其生成方法为:首先根据配置存储器134中取出的密钥扰动强度212的数值和对称加解密密钥长度的要求,生成一个码字长度等于加密密钥K的长度、码字汉明重量等于密钥扰动强度的随机数R,然后计算K=f4(X,Y,R),生成函数f4(X,Y,R)是包括加、减、乘、除、模除、异或、指数、对数、微分、积分、三角函数、替换、扩散、取系统时间、附加随机数或指定常数等一种或多种数学运算的多项式。例如,直接将X、Y、R相乘后取模,得到最后的加密密钥K;再比如,将 作为最后的加密密钥K;再比如,加密密钥K还可以分两步实现:首先采用常规的Diffie-Hellman方法,由X和本地已知的y=log(Y)生成一个确定的加密密钥K1=Xy,然后与随机数R异或,得到最后的加密密钥
所述的加密入网应答报文的对称密钥加解密算法可以有多种选择,并可将这种选择作为其他信息223的一部分包括在第二步骤的报文22中。例如可以选择非常经典的国际标准加密算法RC4、DES、3DES、IDEA、AES、等,也可以是新设计的某种未公开密码算法。
第四步骤(S14),入网用户终端11每收到一个网络登录应答报文密文230,尝试穷举可能的对称加解密密钥K2解密入网应答报文230,得到入网应答报文明文23。微处理 器模块112首先从随机数据存储器114取出密钥扰动强度212,穷举所有码字长度等于对称加解密密钥长度、码字汉明重量等于密钥扰动强度212的随机数S,并用与第三步骤中的对称加解密密钥K对应的方法生成解密密钥K2,所述解密密钥K2包括随机数据存储器114中记录的网络密钥种子矢量214、用户密钥种子矢量222和密钥扰动强度212的信息,K2=f5(X,Y,S)是包括加、减、乘、除、模除、异或、指数、对数、微分、积分、三角函数、替换、扩散、取系统时间、附加随机数或指定常数等一种或多种数学运算的多项式。例如,直接将X、Y、S相乘后取模,得到最后的对称加解密密钥K2;再比如,将 作为最后的加密密钥K2;再比如,解密密钥K2还可以分两步实现:首先采用常规的Diffie-Hellman方法,由Y和本地已知的x=log(X)生成一个确定的对称加解密密钥K3=Yx,然后与随机数S异或,得到最后的加密密钥
入网用户终端11中的微处理器模块112通过比较随机数据存储器114中保存的报文摘要224和解密得到网络登录应答报文明文中的报文摘要231相符合,识别出网络接入终端13发给自己的应答报文明文23,同时获得网络终端登录令牌232。微处理器模块112将终端登录令牌232存入随机数据存储器114。
第五步骤(S15),入网用户终端微处理器模块112在有效入网时间窗口213内,通过数据收发装置113向网络接入终端13发送登录认证报文24。所述登录认证报文24包括网络接入终端13颁发的终端登录令牌232的识别信息241和其它信息242。
第六步骤(S16),网络接入终端13在预定的有效入网时间窗口213内,从数据收发装置131收到入网用户终端11发回的登录认证报文24以后,微处理器模块132通过验证登录认证报文24中包含正确的终端登录令牌识别信息241,确认入网用户终端合法,完成连接建立,为其分配网络资源,并可将用户信息存入登录用户数据库模块135供后续操作使用。
经过上述步骤S11-S16,网络接入终端13完成了登录连接的终端认证,可以为入网用户终端11分配信道资源,提供所需要的其他网络服务。
第三实施例
对入网用户终端11与网络接入终端13之间的连接登录建立过程作如下改进,如图3所示的步骤S21-S27。
入网用户终端为了登录网络使用网络服务,进行的终端连接的第一步(S21)是收听网络接入终端的定时广播。网络接入终端13中的微处理器模块132周期性地从配置存储器134中取出广播时间间隔、密钥扰动强度212和当前系统时间等配置参数,根据当前网络业务量确定一段时间作为有效入网时间窗口213,然后通过数据收发装置131以明文 方式广播定时广播报文。所述定时广播报文21A的内容包括当前系统时间信息211、所述的密钥扰动强度212、有效入网时间窗口213和其它广播参数215。入网用户终端11从数据收发装置113收到定时广播报文21A后,在微处理器模块112的控制下,根据所述系统时间信息211调整自己的系统时钟,同时在随机数据存储器114中记录当前收到的密钥扰动强度212和有效入网时间窗口213。
第二步骤(S22),入网用户终端11在随机数据存储器114中记录的有效入网时间窗口213内,在微处理器模块112的控制下,通过数据收发装置113以明文方式向网络接入终端13发送入网请求报文22A。所述的入网请求报文22A中包括所述的入网用户终端用户证书221、用户密钥种子矢量222和其它信息223,同时在随机数据存储器114中记录用户密钥种子矢量222。随后微处理器模块112计算入网请求报文22A的摘要224并存入随机数据存储器114中。
第三步骤(S23),网络接入终端13在有效入网时间窗口213内,从数据收发装置131收到入网请求报文22A后,微处理器模块132使用终端用户证书中载明的终端用户公开密钥加密网络密钥种子矢量,并形成网络密钥种子矢量密文报文23A,经数据收发装置131发送出去,发送报文23A包含加密的网络密钥种子矢量231A0和其它信息232A。入网用户终端11从数据收发装置113收到发送报文23A后,用自己的私钥解密网络密钥种子矢量密文,并将获得的网络密钥种子矢量231A明文存入随机数据存储器114中。
第四步骤(S24),网络接入终端13的微处理器模块132根据网络接入终端配置存储器134所配置的内容为入网用户终端分配终端登录令牌242A,计算所述用户入网请求报文22A的摘要241A,并形成网络登录应答报文明文24A,所述的网络登录应答报文明文24A中包括用户入网请求报文摘要241A、终端登录令牌242A和其它信息243。然后以密文方式向入网用户终端11发送包括用户入网请求报文摘要241A和终端登录令牌242A的入网应答报文24A0,所述密文的加密密钥包含用户密钥种子矢量222、网络密钥种子矢量231A和密钥扰动强度212的信息。
第五步骤(S25),入网用户终端11从数据收发装置113每收到一个网络登录应答报文密文24A0后,尝试穷举可能的密文解密密钥解密入网应答报文24A0,解密密钥包括随机数据存储器114中记录的用户密钥种子矢量222、网络密钥种子矢量231A和密钥扰动强度212的信息,得到入网应答报文明文24A。入网用户终端11中的微处理器模块112,通过比较随机数据存储器114中保存的报文摘要224和解密得到网络登录应答报文明文中的报文摘要241A相符合,识别出网络接入终端13发给自己的应答报文明文24A,同时获得网络终端登录令牌242A。微处理器模块112将终端登录令牌242A存入随机数据存储器114。
第六步骤(S26),入网用户终端微处理器模块112在有效入网时间窗口213内,通 过数据收发装置113向网络接入终端13发送登录认证报文25。所述登录认证报文25包括网络接入终端13颁发的终端登录令牌242A的识别信息251和其它信息252。
第七步骤(S27),网络接入终端13在预定的有效入网时间窗口213内,从数据收发装置131收到入网用户终端11发回的登录认证报文25以后,微处理器模块132通过验证登录认证报文25中包含正确的终端登录令牌识别信息251,确认入网用户终端合法,完成连接建立,为其分配网络资源,并可将用户信息存入登录用户数据库模块135供后续操作使用。
经过上述步骤S21-S27,网络接入终端13完成了登录连接的终端认证,可以为入网用户终端11分配信道资源,提供所需要的其他网络服务。
第四实施例
对入网用户终端11与网络接入终端13之间的连接登录建立过程进一步的改进如图3所示的步骤S21-S27。
入网用户终端为了登录网络使用网络服务,进行的终端连接的第一步(S21)是收听网络接入终端的定时广播。网络接入终端13中的微处理器模块132周期性地从配置存储器134中取出广播时间间隔、密钥扰动强度212和当前系统时间等配置参数,根据当前网络业务量确定一段时间作为有效入网时间窗口213,然后通过数据收发装置131以明文方式广播定时广播报文。所述定时报文21A的内容包括当前系统时间信息211、所述的密钥扰动强度212、有效入网时间窗口213和其它广播参数215。入网用户终端11从数据收发装置113收到定时广播报文21A后,在微处理器模块112的控制下,根据所述系统时间信息211调整自己的系统时钟,同时在随机数据存储器114中记录当前收到的密钥扰动强度212和有效入网时间窗口213。
第二步骤(S22),入网用户终端11在随机数据存储器114中记录的有效入网时间窗口213内,在微处理器模块112的控制下,以明文方式发送包括用户密钥种子矢量的入网请求报文。入网用户终端11中的微处理器模块112根据用户终端配置存储器111所配置的要求生成一个随机数x,然后由x进一步生成用户密钥种子矢量222(数学上记为X),X=f1(x),生成函数f1(x)是包括加、减、乘、除、模除、异或、指数、对数、微分、积分、三角函数、替换、扩散、取系统时间、附加随机数或指定常数等一种或多种数学运算的多项式。然后通过数据收发装置113以明文方式向网络接入终端13发送入网请求报文22A。所述的入网请求报文22A中包括入网用户终端用户证书221、所述的入网用户密钥种子矢量222和其它信息223,同时在随机数据存储器114中记录。
随后微处理器模块112计算入网请求报文22A的摘要224并存入随机数据存储器114 中,所述摘要的具体计算方法可以有多种选择,并可将这种选择作为其他信息223的一部分包含在入网请求报文22A中。
第三步骤(S23),网络接入终端13在有效入网时间窗口213内,从数据收发装置131收到入网请求报文22A后,微处理器模块132根据入网用户证书中的公开信息检验入网用户终端证书的有效性,然后根据网络接入终端配置存储器134的配置(如码字长度)生成一个随机数y,然后根据y进一步生成网络密钥种子矢量231A(数学上记为Y),Y=f2(y),生成函数f2(y)是包括加、减、乘、除、模除、异或、指数、对数、微分、积分、三角函数、替换、扩散、取系统时间、附加随机数或指定常数等一种或多种数学运算的多项式。随后使用终端用户证书中载明的终端用户公开密钥y1加密网络密钥种子矢量231A(数学上记为Y1),Y1=f6(Y,y1),生成函数f6(Y,y1)是包括加、减、乘、除、模除、异或、指数、对数、微分、积分、三角函数、替换、扩散、取系统时间、附加随机数或指定常数等一种或多种数学运算的多项式,具体密码算法在入网用户证书中有列出。随后形成加密的网络密钥种子矢量报文23A,经数据收发装置131发送出去,发送报文23A包含加密的网络密钥种子矢量231A0和其它信息232A。
入网用户终端11从数据收发装置113收到发送报文23A后,用自己的私钥y2解密网络密钥种子矢量(数学上记为Y2)密文,Y2=f7(Y1,y2)=Y,生成函数f7(Y1,y2)是包括加、减、乘、除、模除、异或、指数、对数、微分、积分、三角函数、替换、扩散、取系统时间、附加随机数或指定常数等一种或多种数学运算的多项式,并将获得的网络密钥种子矢量231A明文存入随机数据存储器114中。
所述的入网用户证书的密码算法可以有多种选择,并将网络接入终端具体选择算法作为其它信息232的一部分包括在第三步骤的报文23A中。例如可以选择非常经典的国际标准加密算法常用经典的算法有RSA、ECC、Diffie-Hellman、El Gamal、DSA等,也可以是新设计的某种未公开密码算法。例如网络接入终端采用经典的RSA算法加密解密网络密钥种子矢量,计算加密的网络密钥种子矢量, mod n,n是证书中公开的由一对大的保密的素数乘积的结果,并将密文Y1发送给入网用户终端;入网用户终端接收网络密钥种子矢量密文后,利用 modn,从而解密网络密钥种子矢量密文。
第四步骤(S24),网络接入终端13的微处理器模块132根据网络接入终端配置存储器134的配置z为入网用户终端11分配终端登录令牌242A(数学上记为Z),Z=f3(z), 生成函数f3(z)是包括加、减、乘、除、模除、异或、指数、对数、微分、积分、三角函数、替换、扩散、取系统时间、附加随机数或指定常数等一种或多种数学运算的多项式,可以在终端登录令牌中加入后续登录时间、会话密钥等内容。
然后微处理器模块132计算所述用户入网请求报文22A的摘要241A,所述摘要的生成方法与第二步骤中所述计算报文摘要的方法相同,随后形成包括所述用户入网请求报文摘要241A、终端登录令牌242A和其它信息243的网络登录应答报文明文24A。该入网应答报文明文24A经对称密钥加密算法加密成密文24A0后,经数据收发装置131向入网用户终端11发送。所述密文24A0的对称加解密密钥K包含用户密钥种子矢量222、网络密钥种子矢量231A和密钥扰动强度212的信息,其生成方法为:首先根据配置存储器134中取出的密钥扰动强度212的数值和对称加解密密钥长度的要求,生成一个码字长度等于加密密钥K的长度、码字汉明重量等于密钥扰动强度的随机数R,然后计算K=f4(X,Y,R),生成函数f4(X,Y,R)是包括加、减、乘、除、模除、异或、指数、对数、微分、积分、三角函数、替换、扩散、取系统时间、附加随机数或指定常数等一种或多种数学运算的多项式。
所述的加密入网应答报文的对称密钥加解密密码运算算法可以有多种选择,并可将这种选择作为其他信息223的一部分包括在第二步骤的报文22A中。例如可以选择非常经典的国际标准加密算法RC4、DES、3DES、IDEA、AES等,也可以是新设计的某种未公开密码算法。
第五步骤(S25),入网用户终端11从数据收发装置113每收到一个网络登录应答报文密文24A0后,尝试穷举可能的对称加解密密钥K2解密入网应答报文24A0,得到入网应答报文明文24A。微处理器模块112首先从随机数据存储器114取出密钥扰动强度212,穷举所有码字长度等于对称加解密密钥长度、码字汉明重量等于密钥扰动强度212的随机数S,并用与第三步骤中的对称加解密密钥K对应的方法生成解密密钥K2,所述解密密钥K2包括随机数据存储器114中记录的网络密钥种子矢量231A、用户密钥种子矢量222和密钥扰动强度212的信息,K2=f5(X,Y,S)是包括加、减、乘、除、模除、异或、指数、对数、微分、积分、三角函数、替换、扩散、取系统时间、附加随机数或指定常数等一种或多种数学运算的多项式,其具体实例见第二实施例说明函数f5(X,Y,S)的实例中有论述。
入网用户终端11中的微处理器模块112通过比较随机数据存储器114中保存的报文摘要224和解密得到网络登录应答报文明文中的报文摘要241A相符合,识别出网络接入终端13发给自己的应答报文明文24A,同时获得网络终端登录令牌242A。微处理器模块112 将终端登录令牌242A存入随机数据存储器114。
第六步骤(S26),入网用户终端微处理器模块112在有效入网时间窗口213内,通过数据收发装置113向网络接入终端13发送登录认证报文25。所述登录认证报文25包括网络接入终端13颁发的终端登录令牌242A的识别信息251和其它信息252。
第七步骤(S27),网络接入终端13在预定的有效入网时间窗口213内,从数据收发装置131收到入网用户终端11发回的登录认证报文25以后,微处理器模块132通过验证登录认证报文25中包含正确的终端登录令牌识别信息251,确认入网用户终端合法,完成连接建立,为其分配网络资源,并可将用户信息存入登录用户数据库模块135供后续操作使用。
经过上述步骤S21-S27,网络接入终端13完成了登录连接的终端认证,可以为入网用户终端11分配信道资源,提供所需要的其他网络服务。
第五实施例
对入网用户终端11与网络接入终端13之间的连接登录建立过程作如下进一步改进,如图4所示的步骤S31-S36。
入网用户终端为了登录网络使用网络服务,进行的终端连接的第一步(S31)是收听网络接入终端的定时广播。网络接入终端13中的微处理器模块132从配置存储器134中取出广播时间间隔、密钥扰动强度212和当前系统时间等配置参数,根据当前网络业务量确定一段时间作为有效入网时间窗口213,然后通过数据收发装置131以明文方式广播定时广播报文。所述定时广播报文21的内容包括当前系统时间信息211、所述的密钥扰动强度212、有效入网时间窗口213、网络密钥种子矢量214和其它广播参数215。入网用户终端11从数据收发装置113收到定时广播报文21后,在微处理器模块112的控制下,根据所述系统时间信息211调整自己的系统时钟,同时在随机数据存储器114中记录当前收到的密钥扰动强度212、有效入网时间窗口213和网络密钥种子矢量214。
第二步骤(S32),入网用户终端11在随机数据存储器114所记录的有效入网时间窗口213内,以明文方式发送包括报文当前发送时间的用户密钥种子矢量的入网请求报文。入网用户终端11中的微处理器模块112根据用户终端配置存储器111所配置的要求生成一个随机数x,并取出系统当前时间t,然后由x和t进一步生成用户密钥种子矢量222C(数学上记为XC),XC=f8(x,t),生成函数f8(x,t)是包括加、减、乘、除、模除、异或、指数、对数、微分、积分、三角函数、替换、扩散、附加随机数或指定常数等一种或多种数学运算的多项式。
然后通过数据收发装置113以明文方式向网络接入终端13发送入网请求报文22C,所 述的入网请求报文22C内容包括所述的用户密钥种子矢量222C和其他信息223,同时在随机数据存储器114中记录。随后微处理器模块112计算所述入网请求报文22C的摘要224并存入随机数据存储器114中,所述摘要的具体计算方法可以有多种选择,并可将这种选择作为其他信息223的一部分包含在入网请求报文22C中。
第三步骤(S33),网络接入终端13在有效入网时间窗口213内,从数据收发装置131收到入网请求报文22C后,微处理器模块132根据网络接入终端配置存储器134所配置的内容为入网用户终端分配终端登录令牌232,计算所述用户入网请求报文22C的摘要231,并形成网络登录应答报文明文23,所述的网络登录应答报文明文23中包括用户入网请求报文摘要231、终端登录令牌232和其它信息233。然后以密文方式向入网用户终端11发送包括用户入网请求报文摘要231和终端登录令牌232的入网应答报文230,所述密文的加密密钥包含用户密钥种子矢量222C、网络密钥种子矢量214和密钥扰动强度212的信息。
第四步骤(S34),入网用户终端11从数据收发装置113每收到一个网络登录应答报文密文230后,尝试穷举可能的密文解密密钥解密入网应答报文230,解密密钥包括随机数据存储器114中记录的用户密钥种子矢量222C、网络密钥种子矢量214和密钥扰动强度212的信息,得到入网应答报文明文23。入网用户终端11中的微处理器模块112,通过比较随机数据存储器114中保存的报文摘要224和解密得到网络登录应答报文明文中的报文摘要231相符合,识别出网络接入终端13发给自己的应答报文明文23,同时获得网络终端登录令牌232。微处理器模块112将终端登录令牌232存入随机数据存储器114.
第五步骤(S35),入网用户终端微处理器模块112在有效入网时间窗口213内,通过数据收发装置113向网络接入终端13发送登录认证报文24。所述登录认证报文24包括网络接入终端13颁发的终端登录令牌232的识别信息241和其它信息242。
第六步骤(S36),网络接入终端13在预定的有效入网时间窗口213内,从数据收发装置131收到入网用户终端11发回的登录认证报文24以后,微处理器模块132通过验证登录认证报文24中包含正确的终端登录令牌识别信息241,确认入网用户终端合法,完成连接建立,为其分配网络资源,并可将用户信息存入登录用户数据库模块135供后续操作使用。
经过上述步骤S31-S36,网络接入终端13完成了登录连接的终端认证,可以为入网用户终端11分配信道资源,提供所需要的其他网络服务。
第六实施例
对入网用户终端11与网络接入终端13之间的连接登录建立过程作如下再进一步改进,如图5所示的步骤S41-S46。
入网用户终端为了登录网络使用网络服务,进行的终端连接的第一步(S41)是收听网络接入终端的定时广播。网络接入终端13中的微处理器模块132周期性地从配置存储器134中取出广播时间间隔、密钥扰动强度212和当前系统时间等配置参数,根据当前网络业务量确定一段时间作为有效入网时间窗口213,根据网络接入终端配置存储器134的配置(如码字长度)生成一个随机数y,并取出系统当前时间t1,然后由y和t1进一步生成网络密钥种子矢量214C(数学上记为YC),YC=f9(y,t1),生成函数f9(y,tl)是包括加、减、乘、除、模除、异或、指数、对数、微分、积分、三角函数、替换、扩散、取系统时间、附加随机数或指定常数等一种或多种数学运算的多项式。然后通过数据收发装置131以明文方式广播定时广播报文。所述定时广播报文21C的内容包括所确定的有效入网时间窗口213、所述定时信息21l、密钥扰动强度212、网络密钥种子矢量214C和其它广播参数215。入网用户终端11从数据收发装置113收到定时广播报文21C后,在微处理器模块112的控制下,根据定时信息211初步调整自己的系统时钟,同时在随机数据存储器114中记录当前收到的密钥扰动强度212、有效入网时间窗口213和网络密钥种子矢量214C。
第二步骤(S42),入网用户终端11在微处理器模块112的控制下,在随机数据存储器114中记录的有效入网时间窗口213内,通过数据收发装置113以明文方式向网络接入终端13发送入网请求报文22。所述入网请求报文22中包括所述的入网用户密钥种子矢量222和其它信息223,同时在随机数据存储器114中记录用户密钥种子矢量222。随后微处理器模块112计算入网请求报文22的摘要224并存入随机数据存储器114中。
第三步骤(S43),网络接入终端13在有效入网时间窗口213内,从数据收发装置131收到入网请求报文22后,微处理器模块132根据网络接入终端配置存储器134所配置的内容为入网用户终端分配终端登录令牌232,计算所述用户入网请求报文22的摘要231,并形成网络登录应答报文明文23,所述的网络登录应答报文明文23中包括用户入网请求报文摘要231、终端登录令牌232和其它信息233。然后以密文方式向入网用户终端11发送包括用户入网请求报文摘要231和终端登录令牌232的入网应答报文230,所述密文的加密密钥包含用户密钥种子矢量222、网络密钥种子矢量214C和密钥扰动强度212的信息。
第四步骤(S44),入网用户终端11从数据收发装置113每收到一个网络登录应答报文密文230后,尝试穷举可能的密文解密密钥解密入网应答报文230,解密密钥包括随机数据存储器114中记录的用户密钥种子矢量222、网络密钥种子矢量214C和密钥扰动强度212的信息,得到入网应答报文明文23。入网用户终端11中的微处理器模块112,通过比较随机数据存储器114中保存的报文摘要224和解密得到网络登录应答报文明文中的报文摘要231相符合,识别出网络接入终端13发给自己的应答报文明文23,同时获得网络终端登录令牌232。微处理器模块112将终端登录令牌232存入随机数据存储器114。
第五步骤(S45),入网用户终端微处理器模块112在有效入网时间窗口213内,通过数据收发装置113向网络接入终端13发送登录认证报文24。所述登录认证报文24包括网络接入终端13颁发的终端登录令牌232的识别信息241和其它信息242。
第六步骤(S46),网络接入终端13在预定的有效入网时间窗口213内,从数据收发装置131收到入网用户终端11发回的登录认证报文24以后,微处理器模块132通过验证登录认证报文24中包含正确的终端登录令牌识别信息241,确认入网用户终端合法,完成连接建立,为其分配网络资源,并可将用户信息存入登录用户数据库模块135供后续操作使用。
经过上述步骤S41-S46,网络接入终端13完成了登录连接的终端认证,可以为入网用户终端11分配信道资源,提供所需要的其他网络服务。
第七实施例
对入网用户终端11与网络接入终端13之间的连接登录建立过程作如下更进一步改进,如图2所示的步骤S11-S16。
入网用户终端为了登录网络使用网络服务,进行的终端连接的第一步第一步(S11)是收听网络接入终端的定时广播。网络接入终端13中的微处理器模块132从配置存储器134中取出广播时间间隔、密钥扰动强度212和当前系统时间等配置参数,根据当前网络业务量确定一段时间作为有效入网时间窗口213,然后通过数据收发装置131以明文方式广播定时广播报文。所述定时广播报文21的内容包括当前系统时间信息211、所述的密钥扰动强度212、有效入网时间窗口213、网络密钥种子矢量214和其它广播参数215。入网用户终端11从数据收发装置113收到定时广播报文21后,在微处理器模块112的控制下,根据所述系统时间信息211调整自己的系统时钟,同时在随机数据存储器114中记录当前收到的密钥扰动强度212、有效入网时间窗口213和网络密钥种子矢量214。
第二步骤(S12),入网用户终端11在微处理器模块112的控制下,在随机数据存储器114中记录的有效入网时间窗口213内,通过数据收发装置113以明文方式向网络接入终端13发送入网请求报文22。所述入网请求报文22中包括所述的入网用户密钥种子矢量222和其它信息223,同时在随机数据存储器114中记录用户密钥种子矢量222。随后微处理器模块112计算入网请求报文22的摘要224并存入随机数据存储器114中。
第三步骤(S13),网络接入终端13在有效入网时间窗口213内,从数据收发装置131收到入网请求报文22后,微处理器模块132根据网络接入终端配置存储器134所配置的内容为入网用户终端分配终端登录令牌232,计算所述用户入网请求报文22的摘要231,并形成网络登录应答报文明文23,所述的网络登录应答报文明文23中包括用户入网请求报文摘要231、终端登录令牌232和其它信息233。然后以密文方式向入网用户终端11发送 包括用户入网请求报文摘要231和终端登录令牌232的入网应答报文230,所述密文的加密密钥包含用户密钥种子矢量222、网络密钥种子矢量214和密钥扰动强度212的信息。
第四步骤(S14),入网用户终端11每收到一个网络登录应答报文密文230后,尝试穷举可能的密文解密密钥解密入网应答报文230,解密密钥包括随机数据存储器114中记录的用户密钥种子矢量222、网络密钥种子矢量214和密钥扰动强度212的信息,得到入网应答报文明文23。
入网用户终端11中的微处理器模块112通过比较随机数据存储器114中保存的报文摘要224和解密得到网络登录应答报文明文中的报文摘要231相符合,识别出网络接入终端13发给自己的应答报文明文23,同时获得网络终端登录令牌232。然后微处理器模块112根据网络终端登录令牌232(数学上记为Z)计算用于后续通信的会话密钥(数学上记为SK),SK=f10(Z),生成函数f10(Z)是包括加、减、乘、除、模除、异或、指数、对数、微分、积分、三角函数、替换、扩散、附加随机数或指定常数等一种或多种数学运算的多项式。例如,直接将网络密钥种子矢量(数学上记为Y)与网络终端登录令牌(数学上记为Z)异或, 得到后续通信的会话密钥SK;再比如,采用RC4算法,利用网络密钥种子矢量(数学上记为Y)初始化置换盒(S盒搅乱)产生子密钥序列Ks与Z异或, 得到后续通信的会话密钥SK。随后微处理器模块112将终端登录令牌232和用于后续通信的会话密钥一起存入随机数据存储器114。
第五步骤(S15),入网用户终端微处理器模块112在有效入网时间窗口213内,通过数据收发装置113向网络接入终端13发送登录认证报文24。所述登录认证报文24包括网络接入终端13颁发的终端登录令牌232的识别信息241和其它信息242。
第六步骤(S16),网络接入终端13在预定的有效入网时间窗口213内,从数据收发装置131收到入网用户终端11发回的登录认证报文24以后,微处理器模块132通过验证登录认证报文24中包含正确的终端登录令牌识别信息241,确认入网用户终端合法,完成连接建立,为其分配网络资源;然后微处理器模块132根据终端登录令牌识别信息计算用于后续通信的会话密钥,所述后续通信会话密钥的生成方法与第四步中所述计算用于后续通信的会话密钥的方法相同,并可将用户信息和用于后续通信的会话密钥存入登录用户数据库模块135供后续操作使用。
经过上述步骤S11-S16,网络接入终端13完成了登录连接的终端认证,可以为入网用户终端11分配信道资源,提供所需要的其他网络服务,并且双方对后续通信会话的密钥达成一致。
第八实施例
对入网用户终端11与网络接入终端13之间的登录连接建立过程作如下改进,如图6所示的步骤S51-S56。
入网用户终端为了登录网络使用网络服务,进行的终端连接的第一步第一步(S51)是收听网络接入终端的定时广播。网络接入终端13中的微处理器模块132从配置存储器134中取出广播时间间隔、密钥扰动强度212和当前系统时间等配置参数,根据当前网络业务量确定一段时间作为有效入网时间窗口213,然后通过数据收发装置131以明文方式广播定时广播报文。所述定时广播报文21的内容包括当前系统时间信息211、所述的密钥扰动强度212、有效入网时间窗口213、网络密钥种子矢量214和其它广播参数215。入网用户终端11从数据收发装置113收到定时广播报文21后,在微处理器模块112的控制下,根据所述系统时间信息211调整自己的系统时钟,同时在随机数据存储器114中记录当前收到的密钥扰动强度212、有效入网时间窗口213和网络密钥种子矢量214。
第二步骤(S52),入网用户终端11在微处理器模块112的控制下,在随机数据存储器114中记录的有效入网时间窗口213内,通过数据收发装置113以明文方式向网络接入终端13发送入网请求报文22。所述入网请求报文22中包括所述的入网用户密钥种子矢量222和其它信息223,同时在随机数据存储器114中记录用户密钥种子矢量222。随后微处理器模块112计算入网请求报文22的摘要224并存入随机数据存储器114中。
第三步骤(S53),网络接入终端13在有效入网时间窗口213内,从数据收发装置131收到入网请求报文22后,根据当前网络业务量确定一段时间作为终端令牌登陆时间(数学上记为t2),然后由网络接入终端配置存储器134的配置z和t2为入网用户终端11分配终端登录令牌232C(数学上记为ZC),ZC=f11(z,t2),生成函数f11(z,t2)是包括加、减、乘、除、模除、异或、指数、对数、微分、积分、三角函数、替换、扩散、取系统时间、附加随机数或指定常数等一种或多种数学运算的多项式,可以在终端登录令牌中加入后续登录时间、会话密钥等内容。例如,先将z经hash算法生成散列值hash(z),然后用时间t2码字替换散列值hash(z)码字中的一段等长码字的信息,或者插入散列值hash(z)某一约定码字位置,得到终端登录令牌232C。
然后微处理器模块132计算所述用户入网请求报文22的摘要231,计算所述用户入网请求报文22的摘要231,并形成网络登录应答报文明文23C,所述的网络登录应答报文明文23中包括用户入网请求报文摘要231、终端登录令牌232C和其它信息233。然后以密文方式向入网用户终端11发送包括用户入网请求报文摘要231和终端登录令牌232的入网应答报文23C0,所述密文的加密密钥包含用户密钥种子矢量222、网络密钥种子矢量214和密钥扰动强度212的信息。
第四步骤(S54),入网用户终端11每收到一个网络登录应答报文密文23C0,尝试 穷举可能的对称加解密密钥K2解密入网应答报文23C0,解密密钥包括随机数据存储器114中记录的用户密钥种子矢量222、网络密钥种子矢量214和密钥扰动强度212的信息,得到入网应答报文明文23C。入网用户终端11中的微处理器模块112,通过比较随机数据存储器114中保存的报文摘要224和解密得到网络登录应答报文明文中的报文摘要231相符合,识别出网络接入终端13发给自己的应答报文明文23C,同时获得网络终端登录令牌232C。微处理器模块112将终端登录令牌232C存入随机数据存储器114。
第五步骤(S55),入网用户终端微处理器模块112在有效入网时间窗口213内,通过数据收发装置113向网络接入终端13发送登录认证报文24。所述登录认证报文24包括网络接入终端13颁发的终端登录令牌232的识别信息241和其它信息242。
第六步骤(S56),网络接入终端13在预定的有效入网时间窗口213内,从数据收发装置131收到入网用户终端11发回的登录认证报文24以后,微处理器模块132通过验证登录认证报文24中包含正确的终端登录令牌识别信息241,确认入网用户终端合法,完成连接建立,为其分配网络资源,并可将用户信息存入登录用户数据库模块135供后续操作使用。
经过上述步骤S51-S56,网络接入终端13完成了登录连接终端认证,可以为入网用户终端11分配信道资源,提供所需要的其他网络服务。
第九实施例
对入网用户终端11与网络接入终端13之间的连接登录建立过程作如下进一步改进,如图7所示的步骤S61-S67。
入网用户终端为了登录网络使用网络服务,进行的终端连接的第一步(S61)是收听网络接入终端的定时广播。网络接入终端13中的微处理器模块132周期性地从配置存储器134中取出广播时间间隔、密钥扰动强度212和当前系统时间等配置参数,根据当前网络业务量确定一段时间作为有效入网时间窗口213,然后通过数据收发装置131以明文方式广播定时广播报文。所述定时广播报文21A的内容包括当前系统时间信息211、所述的密钥扰动强度212、有效入网时间窗口213和其它广播参数215。入网用户终端11从数据收发装置113收到定时广播报文21A后,在微处理器模块112的控制下,根据所述系统时间信息211调整自己的系统时钟,同时在随机数据存储器114中记录当前收到的密钥扰动强度212和有效入网时间窗口213。
第二步骤(S62),入网用户终端11在随机数据存储器114所记录的有效入网时间窗口213内,在微处理器模块112的控制下,通过数据收发装置113以明文方式发送包括报文当前发送时间的用户密钥种子矢量的入网请求报文。入网用户终端11中的微处理器模块112根据用户终端配置存储器111所配置的要求生成一个随机数x,并取出系统当前时 间t,然后由x和t进一步生成用户密钥种子矢量222C(数学上记为XC),XC=f8(x,t),生成函数f8(x,t)是包括加、减、乘、除、模除、异或、指数、对数、微分、积分、三角函数、替换、扩散、附加随机数或指定常数等一种或多种数学运算的多项式。然后通过数据收发装置113以明文方式向网络接入终端13发送入网请求报文22D。所述的入网请求报文22D中包括入网用户终端用户证书221、所述的入网用户密钥种子矢量222C和其它信息223,同时在随机数据存储器114中记录。
随后微处理器模块112计算入网请求报文22D的摘要224并存入随机数据存储器114中,所述摘要的具体计算方法可以有多种选择,并可将这种选择作为其他信息223的一部分包含在入网请求报文22D中。
第三步骤(S63),网络接入终端13在有效入网时间窗口213内,从数据收发装置131收到入网请求报文22D后,微处理器模块132根据入网用户证书中的公开信息检验入网用户终端证书的有效性,然后根据网络接入终端配置存储器134的配置(如码字长度)生成一个随机数y,取出当前系统时间t3,然后根据t3进一步生成网络密钥种子矢量231D(数学上记为YC),YC=f9(y,t3),生成函数f9(y,t3)是包括加、减、乘、除、模除、异或、指数、对数、微分、积分、三角函数、替换、扩散、取系统时间、附加随机数或指定常数等一种或多种数学运算的多项式。
然后微处理器模块132使用终端用户证书中载明的终端用户公开密钥加密网络密钥种子矢量,并形成网络密钥种子矢量密文报文23D,经数据收发装置131发送出去,发送报文23D包含加密的网络密钥种子矢量231D0和其它信息232A。入网用户终端11从数据收发装置113收到发送报文23D后,用自己的私钥解密网络密钥种子矢量密文,并将获得的网络密钥种子矢量231D明文存入随机数据存储器114中。
第四步骤(S64),网络接入终端13的微处理器模块132根据网络接入终端配置存储器134所配置的内容为入网用户终端分配终端登录令牌242A,计算所述用户入网请求报文22A的摘要241A,并形成网络登录应答报文明文24A,所述的网络登录应答报文明文24A中包括用户入网请求报文摘要241A、终端登录令牌242A和其它信息243。然后以密文方式向入网用户终端11发送包括用户入网请求报文摘要241A和终端登录令牌242A的入网应答报文24A0,所述密文的加密密钥包含用户密钥种子矢量222D、网络密钥种子矢量231D和密钥扰动强度212的信息。
第五步骤(S65),入网用户终端11从数据收发装置113每收到一个网络登录应答报文密文24A0后,尝试穷举可能的密文解密密钥解密入网应答报文24A0,解密密钥包括随机数据存储器114中记录的用户密钥种子矢量222D、网络密钥种子矢量231D和密钥扰 动强度212的信息,得到入网应答报文明文24A。入网用户终端11中的微处理器模块112,通过比较随机数据存储器114中保存的报文摘要224和解密得到网络登录应答报文明文中的报文摘要241A相符合,识别出网络接入终端13发给自己的应答报文明文24A,同时获得网络终端登录令牌242A。微处理器模块112将终端登录令牌242A存入随机数据存储器114。
第六步骤(S66),入网用户终端微处理器模块112在有效入网时间窗口213内,通过数据收发装置113向网络接入终端13发送登录认证报文25。所述登录认证报文25包括网络接入终端13颁发的终端登录令牌242A的识别信息251和其它信息252。
第七步骤(S67),网络接入终端13在预定的有效入网时间窗口213内,从数据收发装置131收到入网用户终端11发回的登录认证报文25以后,微处理器模块132通过验证登录认证报文25中包含正确的终端登录令牌识别信息251,确认入网用户终端合法,完成连接建立,为其分配网络资源,并可将用户信息存入登录用户数据库模块135供后续操作使用。
经过上述步骤S21-S27,网络接入终端13完成了登录连接的终端认证,可以为入网用户终端11分配信道资源,提供所需要的其他网络服务。
第十实施例
对入网用户终端11与网络接入终端13之间的连接登录建立过程作如下更进一步改进,如图8所示的步骤S71-S77。
入网用户终端为了登录网络使用网络服务,进行的终端连接的第一步(S71)是收听网络接入终端的定时广播。网络接入终端13中的微处理器模块132周期性地从配置存储器134中取出广播时间间隔、密钥扰动强度212和当前系统时间等配置参数,根据当前网络业务量确定一段时间作为有效入网时间窗口213,然后通过数据收发装置131以明文方式广播定时广播报文。所述定时广播报文21A的内容包括当前系统时间信息211、所述的密钥扰动强度212、有效入网时间窗口213和其它广播参数215。入网用户终端11从数据收发装置113收到广播报文21A后,在微处理器模块112的控制下,根据所述系统时间信息211调整自己的系统时钟,同时在随机数据存储器114中记录当前收到的密钥扰动强度212和有效入网时间窗口213。
第二步骤(S72),入网用户终端11在随机数据存储器114中记录的有效入网时间窗口213内,在微处理器模块112的控制下,通过数据收发装置113以明文方式向网络接入终端13发送入网请求报文22A。所述的入网请求报文22A中包括所述的入网用户终端用户证书221、用户密钥种子矢量222和其它信息223,同时在随机数据存储器114中记录用户密钥种子矢量222。随后微处理器模块112计算入网请求报文22A的摘要224并存入随机 数据存储器114中。
第三步骤(S73),网络接入终端13在有效入网时间窗口213内,从数据收发装置131收到入网请求报文22A后,微处理器模块132使用终端用户证书中载明的终端用户公开密钥加密网络密钥种子矢量,并形成网络密钥种子矢量密文报文23A,经数据收发装置131发送出去,发送报文23A包含加密的网络密钥种子矢量231A0和其它信息232A。入网用户终端11从数据收发装置113收到发送报文23A后,用自己的私钥解密网络密钥种子矢量密文,并将获得的网络密钥种子矢量231A明文存入随机数据存储器114中。
第四步骤(S74),网络接入终端13的微处理器模块132根据当前网络业务量确定一段时间作为终端令牌登陆时间(数学上记为t2),然后由网络接入终端配置存储器134的配置z和t2为入网用户终端11分配终端登录令牌242D(数学上记为Z),Z=f11(z,t2),生成函数f11(z,t2)是包括加、减、乘、除、模除、异或、指数、对数、微分、积分、三角函数、替换、扩散、取系统时间、附加随机数或指定常数等一种或多种数学运算的多项式,并可以在终端登录令牌中加入后续登录时间、会话密钥等内容。
然后微处理器模块132计算所述用户入网请求报文22A的摘要241A,并形成网络登录应答报文明文24D,所述的网络登录应答报文明文24A中包括用户入网请求报文摘要241A、终端登录令牌242D和其它信息243。然后以密文方式向入网用户终端11发送包括用户入网请求报文摘要241A和终端登录令牌242D的入网应答报文24D0,所述密文的加密密钥包含用户密钥种子矢量222、网络密钥种子矢量231A和密钥扰动强度212的信息。
第五步骤(S75),入网用户终端11从数据收发装置113每收到一个网络登录应答报文密文24D0后,尝试穷举可能的密文解密密钥解密入网应答报文24D0,解密密钥包括随机数据存储器114中记录的用户密钥种子矢量222、网络密钥种子矢量231A和密钥扰动强度212的信息,得到入网应答报文明文24D。入网用户终端11中的微处理器模块112,通过比较随机数据存储器114中保存的报文摘要224和解密得到网络登录应答报文明文中的报文摘要241A相符合,识别出网络接入终端13发给自己的应答报文明文24D,同时获得网络终端登录令牌242D。微处理器模块112根据网络终端登录令牌242D(数学上记为Z)计算用于后续通信的会话密钥(数学上记为SK),SK=f10(Z),生成函数f10(Z)是包括加、减、乘、除、模除、异或、指数、对数、微分、积分、三角函数、替换、扩散、附加随机数或指定常数等一种或多种数学运算的多项式。然后微处理器模块112将终端登录令牌242D和用于后续通信的会话密钥一起存入随机数据存储器114。
第六步骤(S76),入网用户终端微处理器模块112在有效入网时间窗口213内,通过数据收发装置113向网络接入终端13发送登录认证报文25。所述登录认证报文25包括 网络接入终端13颁发的终端登录令牌242D的识别信息251和其它信息252。
第七步骤(S77),网络接入终端13在预定的有效入网时间窗口213内,从数据收发装置131收到入网用户终端11发回的登录认证报文25以后,微处理器模块132通过验证登录认证报文25中包含正确的终端登录令牌识别信息251,确认入网用户终端合法,完成初步认证,为其分配网络资源;然后微处理器模块132根据终端登录令牌识别信息计算用于后续通信的会话密钥,所述后续通信会话密钥的生成方法与第五步中所述计算用于后续通信的会话密钥的方法相同,并可将用户信息、和用于后续通信的会话密钥存入登录用户数据库模块135供后续操作使用。
经过上述步骤S71-S77,网络接入终端13完成了登录连接终端认证,可以为入网用户终端11分配信道资源,提供所需要的其他网络服务,并且双方对后续通信会话的密钥达成一致。
当采用的强度较高的加密算法时,微处理器模块112和132的运算能力可能难以满足要求,此时可以采用图24所示的系统实现方式。其中入网用户终端11A中增加了密码运算协处理器模块115,在网络接入终端13A中增加了密码运算协处理器模块136。在以上所述五个步骤中,所有需要进行密码运算的工作都可以由微处理器模块控制转交给密码运算协处理器模块执行。
第十一实施例
对入网用户终端11B与网络接入终端13B之间的连接登录建立过程包括如图2所示的步骤S11-S16。
入网用户终端为了登录网络使用网络服务,进行的终端连接的第一步第一步(S11)是收听网络接入终端的定时广播。网络接入终端13B中的定时广播装置13B2周期性从登录用户数据库模块135中取出广播时间间隔、密钥扰动强度212和当前系统时间等配置参数,根据当前网络业务量确定一段时间作为有效入网时间窗口213,根据网络接入终端登录用户数据库模块135的配置(如码字长度)生成一个随机数y,然后根据y进一步生成网络密钥种子矢量214(数学上记为Y),Y=f2(y),生成函数f2(y)是包括加、减、乘、除、模除、异或、指数、对数、微分、积分、三角函数、替换、扩散、取系统时间、附加随机数或指定常数等一种或多种数学运算的多项式。然后通过数据收发装置131以明文方式广播定时广播报文。所述定时广播报文21的内容包括所确定的有效入网时间窗口213、所述定时信息211、密钥扰动强度212、网络密钥种子矢量214和其它广播参数215。入网用户终端11B的系统广播接收装置11B2每从数据收发装置113收到定时广播报文21后,均根据定时信息211初步调整自己的系统时钟,同时在随机数据存储器114中记录当前收到的密钥扰动强度212、有效入网时间窗口213和网络密钥种子矢量214。
第二步骤(S12),入网用户终端11B在随机数据存储器114所记录的有效入网时间窗口213内,以明文方式发送包括用户密钥种子矢量的入网请求报文。入网用户终端11B中的入网请求装置11B3根据登录认证发送装置11B5所配置的要求生成一个随机数x,然后由x进一步生成用户密钥种子矢量222(数学上记为X),X=f1(x),生成函数f1(x)是包括加、减、乘、除、模除、异或、指数、对数、微分、积分、三角函数、替换、扩散、取系统时间、附加随机数或指定常数等一种或多种数学运算的多项式。
然后通过数据收发装置113以明文方式向网络接入终端13B发送入网请求报文22,所述的入网请求报文22内容包括所述的用户密钥种子矢量222和其他信息223,同时在随机数据存储器114中记录用户密钥种子矢量222。随后入网请求装置11B3计算所述入网请求报文22的摘要224并存入随机数据存储器114中,所述摘要具体计算方法可以有多种选择,并可将这种选择作为其他信息223的一部分包含在入网请求报文22中。
第三步骤(S13),网络接入终端13B在有效入网时间窗口213内,从数据收发装置131收到入网请求报文22后,入网应答装置13B3根据登录用户数据库模块135中所配置的内容z为入网用户终端11B分配终端登录令牌232(数学上记为Z),Z=f3(z),生成函数f3(z)是包括加、减、乘、除、模除、异或、指数、对数、微分、积分、三角函数、替换、扩散、取系统时间、附加随机数或指定常数等一种或多种数学运算的多项式,可以在终端登录令牌中加入后续登录时间、会话密钥等内容。
然后入网应答装置13B3计算所述用户入网请求报文22的摘要231,所述摘要的生成方法与第二步骤中所述计算报文摘要的方法相同,随后形成包括所述用户入网请求报文摘要231、终端登录令牌232和其它信息233的网络登录应答报文23。该入网应答报文明文23经对称密钥加密算法加密成密文230后,经数据收发装置131向入网用户终端11B发送。所述密文230的对称加解密密钥K包含用户密钥种子矢量222、网络密钥种子矢量214和密钥扰动强度212的信息,其生成方法为:首先登录用户数据库模块135中取出的密钥扰动强度212的数值和对称加解密密钥长度的要求,生成一个码字长度等于加密密钥K的长度、码字汉明重量等于密钥扰动强度的随机数R,然后计算K=f4(X,Y,R),生成函数f4(X,Y,R)是包括加、减、乘、除、模除、异或、指数、对数、微分、积分、三角函数、替换、扩散、取系统时间、附加随机数或指定常数等一种或多种数学运算的多项式。所述的加密入网应答报文的对称密钥加解密密码运算算法可以有多种选择,并可将这种选择作为其他信息223的一部分包括在第二步骤的报文22中。例如可以选择非常经典的国际标准加密算法RC4、DES、3DES、IDEA、AES等,也可以是新设计的某种未公开 密码算法。
第四步骤(S14),入网用户终端11B每收到一个网络登录应答报文密文230,解密搜索装置11B4尝试穷举可能的对称加解密密钥K2解密入网应答报文230,得到入网应答报文明文23。解密搜索装置11B4首先从随机数据存储器114取出密钥扰动强度212,穷举所有码字长度等于对称加解密密钥长度、码字汉明重量等于密钥扰动强度212的随机数S,并用与第三步骤中的对称加解密密钥K对应的方法生成解密密钥K2,所述解密密钥K2包括随机数据存储器114中记录的网络密钥种子矢量214,用户密钥种子矢量222和密钥扰动强度212信息,K2=f5(X,Y,S)是包括加、减、乘、除、模除、异或、指数、对数、微分、积分、三角函数、替换、扩散、取系统时间、附加随机数或指定常数等一种或多种数学运算的多项式。
入网用户终端11B中的登录认证发送装置11B5通过比较随机数据存储器114中保存的报文摘要224和解密得到网络登录应答报文明文中的报文摘要231相符合,识别出网络接入终端13B发给自己的应答报文明文23,同时获得网络终端登录令牌232。并将终端登录令牌232存入随机数据存储器114。
第五步骤(S15),入网用户终端的登录认证发送装置11B5在有效入网时间窗口213内,通过数据收发装置113向网络接入终端13B发送登录认证报文24。所述登录认证报文24包括网络接入终端13B颁发的终端登录令牌232的识别信息241和其它信息242。
第六步骤(S16),网络接入终端13B在预定的有效入网时间窗口213内,从数据收发装置131收到入网用户终端11B发回的登录认证报文24以后,登录认证装置13B5通过验证登录认证报文24中包含正确的终端登录令牌识别信息241,确认入网用户终端合法,完成连接建立,为其分配网络资源,并可将用户信息存入登录用户数据库模块135供后续操作使用。
经过上述步骤S11-S16,网络接入终端13B完成了登录连接的终端认证,可以为入网用户终端11B分配信道资源,提供所需要的其他网络服务。
第十二实施例
对入网用户终端11B与网络接入终端13B之间的连接登录建立过程作如下改进,如图3所示的步骤S21-S27。
入网用户终端为了登录网络使用网络服务,进行的终端认证的第一步(S21)是收听网络接入终端的定时广播。网络接入终端13B中的定时广播装置13B2周期性从登录用户数据库模块135中取出广播时间间隔、密钥扰动强度212和当前系统时间等配置参数,根据当前网络业务量确定一段时间作为有效入网时间窗口213,然后通过数据收发装置131以明文方式广播定时广播报文。所述定时广播报文21A的内容包括当前系统时间信息211、所述的密钥扰动强度212、有效入网时间窗口213和其它广播参数215。入网用户终端11B的系统广播接收装置11B2每从数据收发装置113收到定时广播报文21A后,均根据所述系统时间信息211调整自己的系统时钟,同时在随机数据存储器114中记录当前收到的密钥扰动强度212和有效入网时间窗口213。
第二步骤(S22),入网用户终端11B在随机数据存储器114中记录的有效入网时间窗口213内,在入网请求装置11B3的控制下,以明文方式发送包括用户密钥种子矢量的入网请求报文。入网用户终端11B中的入网请求装置11B3根据登录认证发送装置11B5所配置的要求生成一个随机数x,然后由x进一步生成用户密钥种子矢量222(数学上记为X),X=f1(x),生成函数f1(x)是包括加、减、乘、除、模除、异或、指数、对数、微分、积分、三角函数、替换、扩散、取系统时间、附加随机数或指定常数等一种或多种数学运算的多项式。然后通过数据收发装置113以明文方式向网络接入终端13B发送入网请求报文22A。所述的入网请求报文22A中包括入网用户终端用户证书221、所述的入网用户密钥种子矢量222和其它信息223,同时在随机数据存储器114中记录。
随后入网请求装置11B3计算入网请求报文22A的摘要224并存入随机数据存储器114中,所述摘要的具体计算方法可以有多种选择,并可将这种选择作为其他信息223的一部分包含在入网请求报文22A中。
第三步骤(S23),网络接入终端13B在有效入网时间窗口213内,从数据收发装置131收到入网请求报文22A后,入网应答装置13B3根据入网用户证书中的公开信息检验入网用户终端证书的有效性,然后报文加密装置13B4根据网络接入终端登录用户数据库模块135的配置(如码字长度)生成一个随机数y,然后根据y进一步生成网络密钥种子矢量231A(数学上记为Y),Y=f2(y),生成函数f2(y)是包括加、减、乘、除、模除、异或、指数、对数、微分、积分、三角函数、替换、扩散、取系统时间、附加随机数或指定常数等一种或多种数学运算的多项式。随后使用终端用户证书中载明的终端用户公开密钥y1加密网络密钥种子矢量231A(数学上记为Y1),Y1=f6(Y,y1),生成函数f6(Y,y1)是包括加、减、乘、除、模除、异或、指数、对数、微分、积分、三角函数、替换、扩散、取系统时间、附加随机数或指定常数等一种或多种数学运算的多项式,具体密码算法在入网用户证书中有列出。随后形成加密的网络密钥种子矢量报文23A,经数据收发 装置131发送出去,发送报文23A包含加密的网络密钥种子矢量231A和其它信息232A。
入网用户终端11B从数据收发装置113收到发送报文23A后,用自己的私钥y2解密网络密钥种子矢量(数学上记为Y2)密文,Y2=f7(Y1,y2),生成函数f7(Y1,y2)是包括加、减、乘、除、模除、异或、指数、对数、微分、积分、三角函数、替换、扩散、取系统时间、附加随机数或指定常数等一种或多种数学运算的多项式,并将获得的网络密钥种子矢量231明文存入随机数据存储器114中。
所述的入网用户证书的密码算法可以有多种选择,并将网络接入终端具体选择算法作为其它信息232A的一部分包括在第三步骤的报文23A中。
第四步骤(S24),网络接入终端13B的入网应答装置13B3根据登录用户数据库模块135中所配置的内容z为入网用户终端11B分配终端登录令牌242A(数学上记为Z),Z=f3(z),生成函数f3(z)是包括加、减、乘、除、模除、异或、指数、对数、微分、积分、三角函数、替换、扩散、取系统时间、附加随机数或指定常数等一种或多种数学运算的多项式,可以在终端登录令牌中加入后续登录时间、会话密钥等内容。
然后入网应答装置13B3计算所述用户入网请求报文22A的摘要241A,所述摘要的生成方法与第二步骤中所述计算报文摘要的方法相同,然后形成包括所述用户入网请求报文摘要241A、终端登录令牌242A和其它信息243的网络登录应答报文明文24A。该入网应答报文明文24A经对称密钥加密算法加密成密文24A0后,经数据收发装置131向入网用户终端11B发送。所述密文24A0的对称加解密密钥K包含用户密钥种子矢量222、网络密钥种子矢量231A和密钥扰动强度212信息,其生成方法为:首先根据登录用户数据库模块135中取出的密钥扰动强度212的数值和对称加解密密钥长度的要求,生成一个码字长度等于加密密钥K的长度、码字汉明重量等于密钥扰动强度的随机数R,然后计算K=f4(X,Y,R),生成函数f4(X,Y,R)是包括加、减、乘、除、模除、异或、指数、对数、微分、积分、三角函数、替换、扩散、取系统时间、附加随机数或指定常数等一种或多种数学运算的多项式。
所述的加密入网应答报文的对称密钥加解密密码运算算法可以有多种选择,并可将这种选择作为其他信息223的一部分包括在第二步骤的报文22A中。
第五步骤(S25),入网用户终端11B从数据收发装置113每收到一个网络登录应答报文密文24A0后,解密搜索装置11B4尝试穷举可能的对称加解密密钥K2解密入网应答报文24A0,得到入网应答报文明文24A。解密搜索装置11B4首先从随机数据存储器114取出密钥扰动强度212,穷举所有码字长度等于对称加解密密钥长度、码字汉明重量等于密钥扰动强度212的随机数S,并用与第三步骤中的对称加解密密钥K对应的方法生成 解密密钥K2,所述解密密钥K2包括随机数据存储器114中记录的网络密钥种子矢量231A,用户密钥种子矢量222和密钥扰动强度212的信息,K2=f5(X,Y,S)是包括加、减、乘、除、模除、异或、指数、对数、微分、积分、三角函数、替换、扩散、取系统时间、附加随机数或指定常数等一种或多种数学运算的多项式。
入网用户终端11B中的登录认证发送装置11B5通过比较随机数据存储器114中保存的报文摘要224和解密得到网络登录应答报文明文中的报文摘要241A相符合,识别出网络接入终端13B发给自己的应答报文明文24A,同时获得网络终端登录令牌242A。并将终端登录令牌242A存入随机数据存储器114。
第六步骤(S26),入网用户终端的登录认证发送装置11B5在有效入网时间窗口213内,通过数据收发装置113向网络接入终端13B发送登录认证报文25。所述登录认证报文25包括网络接入终端13B颁发的终端登录令牌242的识别信息251和其它信息252。
第七步骤(S27),网络接入终端13B在预定的有效入网时间窗口213内,从数据收发装置131收到入网用户终端11B发回的登录认证报文25以后,登录认证装置13B5通过验证登录认证报文25中包含正确的终端登录令牌识别信息251,确认入网用户终端合法,完成初步认证,为其分配网络资源,并将用户信息存入登录用户数据库模块135供后续操作使用。
经过上述步骤S21-S27,网络接入终端13B完成了登录连接的终端认证,可以为入网用户终端11B分配信道资源,提供所需要的其他网络服务。
下面描述网络接入终端中的数据收发装置、微处理器模块、密码运算协处理器模块和入网用户终端中的数据收发装置、微处理器模块、随机数据存储器、密码运算协处理器模块的具体功能,以有助于本领域的技术人员理解本发明。
网络接入终端中的数据收发装置131,用于以明文方式广播网络密钥种子矢量、密钥扰动强度和有效入网时间窗口,接收入网用户终端发送的包括用户密钥种子矢量的入网请求报文,发送加密的入网应答报文,和接收入网用户终端发送的登录报文;微处理器模块132,用于在接收到入网用户终端发送的入网请求报文之后,为入网用户终端准备终端登录令牌,计算所述用户入网请求报文摘要,生成密文加密密钥;使用密文加密密钥加密包括用户入网请求报文摘要和终端登录令牌的入网应答报文;和在接收到入网用户终端发送的登录报文之后,验证登录报文中包含正确的终端登录令牌识别信息,确认入网用户终端连接建链成功。
入网用户终端中的数据收发装置113,用于接收由网络接入终端广播的密钥扰动强度和有效入网时间窗口,在网络接入终端指定的有效入网时间窗口内以明文方式发送包括 用户密钥种子矢量的入网请求报文,接收网络接入终端发送的入网应答报文密文,并向网络接入终端发送包括终端登录令牌识别信息的登录报文;随机数据存储器114,用于存储所述网络密钥种子矢量、密钥扰动强度和有效入网时间窗口;和微处理器模块112,用于穷举可能的解密密钥尝试解密入网应答报文;和根据上述解密结果,识别出针对自己的入网应答报文,发现分配给自己的终端登录令牌信息。
作为改进,网络接入终端中的数据收发装置131,用于以明文方式广播密钥扰动强度和有效入网时间窗口,接收入网用户终端发送的包括终端用户证书和用户密钥种子矢量的入网请求报文,发送加密的网络密钥种子矢量和入网应答报文,和接收入网用户终端发送的登录报文;微处理器模块132,用于在接收到入网用户终端发送的入网请求报文之后,计算所述用户入网请求报文摘要,为入网用户终端准备终端登录令牌,生成密文加密密钥;和在接收到入网用户终端发送的登录报文之后,验证登录报文中包含正确的终端登录令牌识别信息,确认入网用户终端合法;和密码运算协处理器模块136,用于在接收到入网用户终端发送的入网请求报文之后,使用终端用户证书中载明的终端用户公开密钥加密网络密钥种子矢量,使用密文加密密钥加密包括用户入网请求报文摘要和终端登录令牌的入网应答报文,所述密文加密密钥包含用户密钥种子矢量和网络密钥种子矢量的信息,并根据所述密钥扰动强度的要求进行了加扰修改。
入网用户终端中的数据收发装置113,用于接收由网络接入终端广播的密钥扰动强度和有效入网时间窗口,在网络接入终端指定的有效入网时间窗口内以明文方式发送包括终端用户证书和用户密钥种子矢量的入网请求报文,接收由网络接入终端发送的网络密钥种子矢量密文和入网应答报文(密文),并向网络接入终端发送包括终端登录令牌识别信息的登录报文;随机数据存储器114,用于存储所述用户密钥种子矢量、网络密钥种子矢量、密钥扰动强度和有效入网时间窗口;密码运算协处理器115,用于以终端用户的私钥来解密网络密钥种子矢量密文,根据用户密钥种子矢量、网络密钥种子矢量和密钥扰动强度的信息,按照与网络接入终端对应的方法,尝试穷举可能的密文解密密钥解密入网应答报文密文,获得入网应答报文明文;和微处理器模块112,根据上述解密结果,识别出针对自己的入网应答报文,获得分配给自己的终端登录令牌,并将所述终端登录令牌识别信息包括在所述登录报文中。
需要指出,正如对于本领域的技术人员来说显而易见的,网络接入终端或用户接入终端中的微处理器模块也可以实现密码运算协处理器的功能。根据上述描述,本领域的技术人员将理解在不脱离本发明的精神的情况下,可以对本发明的各种实施例中进行修改和改变。也就是,本说明书中的描述仅用于说明性的目的,而不应当理解为对本发明的限制。本发明的保护范围仅取决于权利要求书的保护范围。
Claims (8)
1.一种对抗阻塞攻击的入网终端连接建立方法,网络接入终端通过与入网用户终端多次交换信息,建立入网用户终端和网络接入终端之间的通信连接,同时防范入网用户终端以虚构的多重身份发动阻塞攻击,其特征在于,该方法包含步骤:
网络接入终端以明文方式广播网络密钥种子矢量、密钥扰动强度和有效入网时间窗口,入网用户终端接收并记录所述网络密钥种子矢量、密钥扰动强度和有效入网时间窗口,
入网用户终端在所述有效入网时间窗口内以明文方式发送包括用户密钥种子矢量的入网请求报文,
网络接入终端收到入网用户终端发来的入网请求报文后,为入网用户终端分配终端登录令牌,以密文方式发送包括用户入网请求报文摘要和终端登录令牌的入网应答报文,所述入网应答报文的密文加密密钥包含用户密钥种子矢量和网络密钥种子矢量的信息,并且密文加密密钥根据所述密钥扰动强度的要求进行了加扰修改,
入网用户终端尝试解密收到的每一个入网应答报文,通过比较解密后明文信息中的用户入网请求报文摘要,识别出针对自己的入网应答报文,取得网络终端提供的终端登录令牌,向网络接入终端发送包括终端登录令牌识别信息的登录报文,和
网络接入终端收到登录报文后,验证登录报文中包含正确的终端登录令牌信息,确认入网用户终端连接建链成功,为其实际分配网络资源。
2.一种对抗阻塞攻击的入网终端连接建立方法,网络接入终端通过与入网用户终端多次交换信息,建立入网用户终端和网络接入终端之间的通信连接,同时防范入网用户终端以虚构的多重身份发动阻塞攻击,其特征在于,该方法包含步骤:
网络接入终端以明文方式广播有效入网时间窗口和密钥扰动强度,入网用户终端接收并记录所述有效入网时间窗口,
入网用户终端在所述有效入网时间窗口内以明文方式发送包括终端用户证书和用户密钥种子矢量的入网请求报文,
网络接入终端收到入网用户终端发来的入网请求报文后,使用终端用户证书中载明的终端用户公开密钥加密网络密钥种子矢量,将加密后的网络密钥种子矢量密文发送给入网用户终端,
网络接入终端收到入网用户终端发来的入网请求报文后,还为入网用户终端分配终端登录令牌,以密文方式发送包括用户入网请求报文摘要和终端登录令牌的入网应答报文,所述入网应答报文的密文加密密钥包含用户密钥种子矢量和网络密钥种子的矢量,并且密文加密密钥根据所述密钥扰动强度的要求进行了加扰修改,
入网用户终端尝试解密收到的每一个入网应答报文,通过比较解密后明文信息中的用户入网请求报文摘要,识别出针对自己的入网应答报文,取得网络终端提供的终端登录令牌,向网络接入终端发送包括终端登录令牌识别信息的登录报文,和
网络接入终端收到登录报文后,验证登录报文中包含正确的终端登录令牌识别信息,确认入网用户终端连接建链成功,为其实际分配网络资源。
3.如权利要求1或2所述的一种对抗阻塞攻击的入网终端连接建立方法,其特征还在于,所述用户密钥种子矢量中包括报文当前发送时间。
4.如权利要求1或2所述的一种对抗阻塞攻击的入网终端连接建立方法,其特征还在于,所述网络密钥种子矢量中包括报文当前发送时间。
5.如权利要求1或2所述的一种对抗阻塞攻击的入网终端连接建立方法,其特征还在于,所述的终端登录令牌中除了包括终端登录令牌识别号以外还包括用于后续通信的会话密钥。
6.如权利要求1或2所述的一种对抗阻塞攻击的入网终端连接建立方法,其特征还在于,所述的终端登录令牌中除了包括终端登录令牌识别号以外还包括指定的登录时间。
7.一种通信系统,包括入网用户终端和网络接入终端,其中网络接入终端通过与入网用户终端多次交换信息,建立入网用户终端和网络接入终端之间的通信连接,同时防范入网用户终端以虚构的多重身份发动阻塞攻击,其特征在于,
所述网络接入终端包括:
数据收发装置(131),用于以明文方式广播网络密钥种子矢量、密钥扰动强度和有效入网时间窗口,接收入网用户终端发送的包括用户密钥种子矢量的入网请求报文,发送加密的入网应答报文,和接收入网用户终端发送的登录报文,和
微处理器模块(132),用于在接收到入网用户终端发送的入网请求报文之后,为入网用户终端准备终端登录令牌,计算所述用户终端发送的入网请求报文摘要,生成密文加密密钥,使用密文加密密钥加密包括用户入网请求报文摘要和终端登录令牌的入网应答报文,和在接收到入网用户终端发送的登录报文之后,验证登录报文中是否包含正确的终端登录令牌识别信息,判断入网用户终端是否合法,
所述入网用户终端包括:
数据收发装置(113),用于接收由网络接入终端广播的密钥扰动强度和有效入网时间窗口,在网络接入终端指定的有效入网时间窗口内以明文方式发送包括用户密钥种子矢量的入网请求报文,接收网络接入终端发送的入网应答报文密文,并向网络接入终端发送包括终端登录令牌识别信息的登录报文,
随机数据存储器(114),用于存储所述网络密钥种子矢量、密钥扰动强度和有效入网时间窗口,和
微处理器模块(112),用于穷举可能的解密密钥尝试解密入网应答报文,和根据上述入网应答报文密文的解密结果,识别出针对自己的入网应答报文,发现分配给自己的终端登录令牌信息。
8.一种通信系统,包括入网用户终端和网络接入终端,其中网络接入终端通过与入网用户终端多次交换信息,建立入网用户终端和网络接入终端之间的通信连接,同时防范入网用户终端以虚构的多重身份发动阻塞攻击,其特征在于,
所述网络接入终端包括:
数据收发装置(131),用于以明文方式广播密钥扰动强度和有效入网时间窗口,接收入网用户终端发送的包括终端用户证书和用户密钥种子矢量的入网请求报文,发送加密的网络密钥种子矢量和入网应答报文,和接收入网用户终端发送的登录报文,
微处理器模块(132),用于在接收到入网用户终端发送的入网请求报文之后,计算所述用户终端发送的入网请求报文摘要,为入网用户终端准备终端登录令牌,生成密文加密密钥,和在接收到入网用户终端发送的登录报文之后,验证登录报文中是否包含正确的终端登录令牌识别信息,确认入网用户终端是否合法,和
密码运算协处理器模块(136),用于在接收到入网用户终端发送的入网请求报文之后,使用终端用户证书中载明的终端用户公开密钥加密网络密钥种子矢量,使用密文加密密钥加密包括用户入网请求报文摘要和终端登录令牌的入网应答报文,所述密文加密密钥包含用户密钥种子矢量和网络密钥种子矢量的信息,并根据所述密钥扰动强度的要求进行了加扰修改,
所述入网用户终端包括:
数据收发装置(113),用于接收由网络接入终端广播的密钥扰动强度和有效入网时间窗口,在网络接入终端指定的有效入网时间窗口内以明文方式发送包括终端用户证书和用户密钥种子矢量的入网请求报文,接收由网络接入终端发送的网络密钥种子矢量密文和入网应答报文密文,并向网络接入终端发送包括终端登录令牌识别信息的登录报文,
随机数据存储器(114),用于存储所述用户密钥种子矢量、网络密钥种子矢量、密钥扰动强度和有效入网时间窗口,
密码运算协处理器(115),用于以终端用户的私钥来解密网络密钥种子矢量密文,根据用户密钥种子矢量、网络密钥种子矢量和密钥扰动强度的信息,按照与网络接入终端对应的方法,尝试穷举可能的密文解密密钥解密入网应答报文密文,获得入网应答报文明文,和
微处理器模块(112),根据上述入网应答报文密文的解密结果,识别出针对自己的入网应答报文,获得分配给自己的终端登录令牌信息,并将所述终端登录令牌识别信息包括在所述登录报文中。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2010101015468A CN101867473B (zh) | 2010-01-27 | 2010-01-27 | 抗阻塞攻击的共享媒体终端连接建立方法和接入认证系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2010101015468A CN101867473B (zh) | 2010-01-27 | 2010-01-27 | 抗阻塞攻击的共享媒体终端连接建立方法和接入认证系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN101867473A CN101867473A (zh) | 2010-10-20 |
CN101867473B true CN101867473B (zh) | 2012-01-04 |
Family
ID=42959046
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN2010101015468A Expired - Fee Related CN101867473B (zh) | 2010-01-27 | 2010-01-27 | 抗阻塞攻击的共享媒体终端连接建立方法和接入认证系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN101867473B (zh) |
Families Citing this family (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104079414A (zh) * | 2014-07-18 | 2014-10-01 | 成都卫士通信息产业股份有限公司 | 一种带有身份鉴别机制的加密机认证方法及装置 |
CN106855914A (zh) * | 2015-12-08 | 2017-06-16 | 潘琦 | 连接远程医疗系统的人体医疗信息监测设备的连接方法 |
CN105376259B (zh) * | 2015-12-15 | 2019-06-28 | 上海斐讯数据通信技术有限公司 | 分时控制的多方服务器证书的验证方法及系统 |
CN106712946B (zh) * | 2017-02-07 | 2020-06-26 | 上海瀚银信息技术有限公司 | 一种数据安全传输方法 |
CN108462677B (zh) * | 2017-02-20 | 2022-02-08 | 沪江教育科技(上海)股份有限公司 | 一种文件加密方法及系统 |
CN106998553B (zh) * | 2017-05-25 | 2020-04-28 | 努比亚技术有限公司 | 一种设备身份识别方法、计算机设备及存储介质 |
CN111145484A (zh) * | 2019-12-29 | 2020-05-12 | 杭州拓深科技有限公司 | 一种家电功耗监测预警系统 |
CN111404937B (zh) * | 2020-03-16 | 2021-12-10 | 腾讯科技(深圳)有限公司 | 一种服务器漏洞的检测方法和装置 |
CN116684870B (zh) * | 2023-08-03 | 2023-10-20 | 中国电力科学研究院有限公司 | 电力5g终端的接入认证方法、装置及系统 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1728637A (zh) * | 2005-07-15 | 2006-02-01 | 陈相宁 | 入网终端物理唯一性识别方法和终端接入认证系统 |
CN101018233A (zh) * | 2007-03-20 | 2007-08-15 | 杭州华为三康技术有限公司 | 会话的控制方法及控制装置 |
CN101051903A (zh) * | 2007-03-30 | 2007-10-10 | 中山大学 | 一种符合epc c1g2标准的rfid随机化密钥双向认证方法 |
CN101170564A (zh) * | 2007-11-30 | 2008-04-30 | 清华大学 | 端到端自动同步的防止ip源地址伪造的方法 |
-
2010
- 2010-01-27 CN CN2010101015468A patent/CN101867473B/zh not_active Expired - Fee Related
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1728637A (zh) * | 2005-07-15 | 2006-02-01 | 陈相宁 | 入网终端物理唯一性识别方法和终端接入认证系统 |
CN101018233A (zh) * | 2007-03-20 | 2007-08-15 | 杭州华为三康技术有限公司 | 会话的控制方法及控制装置 |
CN101051903A (zh) * | 2007-03-30 | 2007-10-10 | 中山大学 | 一种符合epc c1g2标准的rfid随机化密钥双向认证方法 |
CN101170564A (zh) * | 2007-11-30 | 2008-04-30 | 清华大学 | 端到端自动同步的防止ip源地址伪造的方法 |
Non-Patent Citations (1)
Title |
---|
魏利明等.基于交叉认证网的证书验证优化设计.《计算机工程》.2006,第32卷(第8期),第173-175页. * |
Also Published As
Publication number | Publication date |
---|---|
CN101867473A (zh) | 2010-10-20 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN101867473B (zh) | 抗阻塞攻击的共享媒体终端连接建立方法和接入认证系统 | |
Aiello et al. | Just fast keying: Key agreement in a hostile internet | |
KR100811419B1 (ko) | 공개키 암호화를 이용하는 인증 프로토콜에서의서비스거부공격에 대한 방어 방법 | |
Aiello et al. | Efficient, DoS-resistant, secure key exchange for internet protocols | |
Jose et al. | Implementation of data security in cloud computing | |
Sani et al. | Xyreum: A high-performance and scalable blockchain for iiot security and privacy | |
EP3673610B1 (en) | Computer-implemented system and method for highly secure, high speed encryption and transmission of data | |
Shaikh et al. | LSec: Lightweight security protocol for distributed wireless sensor network | |
Madhusudhan | Mobile user authentication protocol with privacy preserving for roaming service in GLOMONET | |
CN100512108C (zh) | 入网终端物理唯一性识别方法和终端接入认证系统 | |
US20200235915A1 (en) | Computer-implemented system and method for highly secure, high speed encryption and transmission of data | |
Tao et al. | Anonymous identity authentication mechanism for hybrid architecture in mobile crowd sensing networks | |
CN109067774B (zh) | 一种基于信任令牌的安全接入系统及其安全接入方法 | |
CN106230840B (zh) | 一种高安全性的口令认证方法 | |
CN101827079A (zh) | 抗阻塞攻击的终端连接建立方法和终端访问认证系统 | |
Lagutin | Redesigning internet-the packet level authentication architecture | |
Singh et al. | Analysis of cryptographically replay attacks and its mitigation mechanism | |
ShenTu et al. | Transaction remote release (TRR): A new anonymization technology for bitcoin | |
Sachan et al. | Light Weighted Mutual Authentication and Dynamic Key Encryption for IoT Devices Applications | |
Chatterjee et al. | A novel multi-server authentication scheme for e-commerce applications using smart card | |
Ahmad et al. | BHQRSM: binary hex quadratic residue security model to enhance the trust in MANETs | |
Kumar et al. | NextGenV2V: Authenticated V2V communication for next generation vehicular network using (2, n)-threshold scheme | |
Alhejaili et al. | Lightweight Algorithm for MQTT Protocol to Enhance Power Consumption in Healthcare Environment | |
CN100596066C (zh) | 一种基于h323系统的实体认证方法 | |
You et al. | A light weight authentication protocol for digital home networks |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
CF01 | Termination of patent right due to non-payment of annual fee | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20120104 Termination date: 20130127 |