CN101977189A - Mpls网络的可信认证及安全接入控制方法 - Google Patents

Mpls网络的可信认证及安全接入控制方法 Download PDF

Info

Publication number
CN101977189A
CN101977189A CN2010105178731A CN201010517873A CN101977189A CN 101977189 A CN101977189 A CN 101977189A CN 2010105178731 A CN2010105178731 A CN 2010105178731A CN 201010517873 A CN201010517873 A CN 201010517873A CN 101977189 A CN101977189 A CN 101977189A
Authority
CN
China
Prior art keywords
signature
network
access control
signing messages
authentication
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN2010105178731A
Other languages
English (en)
Other versions
CN101977189B (zh
Inventor
杜秀娟
金志刚
杜秀菊
黄科军
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Qinghai Normal University
Electric Power Research Institute of State Grid Qinghai Electric Power Co
Original Assignee
Qinghai Normal University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Qinghai Normal University filed Critical Qinghai Normal University
Priority to CN 201010517873 priority Critical patent/CN101977189B/zh
Publication of CN101977189A publication Critical patent/CN101977189A/zh
Application granted granted Critical
Publication of CN101977189B publication Critical patent/CN101977189B/zh
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了MPLS网络的可信认证及安全接入控制方法,实现了MPLS网络的可信认证及安全接入控制,提高了互联网骨干的可信性。本发明方法包括:基于IP地址对的数字短签名、IP头签名选项格式、签名验证的微码实现和签名信息表的TCAM设计四个部分。终端节点对“源目IP地址对”进行签名,并将签名相关信息封装在IP头的选项字段;签名的验证在网络处理器上通过微码设计实现,其中的签名信息表采用TCAM技术进行存储和查找。本发明适用于各种有线园区网、政务网、校园网以及无线Mesh、WLAN等网络终端节点对MPLS骨干网络的接入控制,该方法作为一种有效、实用的技术方案,应用前景看好。

Description

MPLS网络的可信认证及安全接入控制方法
技术领域
本发明总体上涉及网络通信技术领域,更具体地涉及到各种有线园区网、政务网、校园网、企业网以及无线WLAN、无线Mesh网络中终端节点对MPLS骨干网络的可信接入控制,提高互联网可信性的方法。
背景技术
随着互联网技术的发展,人们对信息网络的应用需求与依赖性不断提升,伴随而来的信息安全威胁也在不断增加。以往那些对单台主机的威胁已经发展为对网络基础设施的攻击,多数网络安全事件都是由脆弱的用户终端和“失控”的网络使用行为引起。病毒的入侵、木马的植入、拒绝服务攻击、地址盗用、DHCP欺骗以及ARP攻击等之所以对网络产生较大的破坏,是因为它们利用了脆弱的终端节点的连接作为入侵网络的通路。“失控”的用户终端一旦接入网络,安全威胁即在更大范围内快速扩散。因此,保证用户终端的安全、阻止威胁入侵网络,对用户的网络访问行为进行有效的控制,是保证网络安全运行的前提。
国内外研究表明网络安全正向着可信方向发展,新一代计算机网络必须提供可信性机制以解决安全问题来消除网络脆弱性。在这种情况下,各种准入控制技术顺势而生。目前业界普遍采用的网络连接认证与控制技术包括PPPoE、网关和802.1x三种方式,建立在对用户帐号的合法性进行验证的基础上,其中用户名一般通过明文传递,绝大多数用户口令设置不够复杂,即使经过一定的算法进行加密,也经不起字典、暴力等破解攻击,因此,三种认证技术都存在一定的安全威胁,主要体现在以下几个方面:
1)802.1x和网关认证基于IP或MAC地址作为合法用户的索引标识,容易遭受影子用户攻击。
2)PPPoE在以太网中采用广播方式发现服务的机制容易遭受假冒服务攻击,恶意用户只需架设一个PPPoE服务器,将加密协议设置成只使用PAP,然后开启Sniffer、等待别人拨号就能轻而易举获取他人帐号信息。
3)认证通过后,PPPoE业务流仍需通过BRAS设备进行拆包识别和封装转发,容易造成网络瓶颈。因此PPPoE不适用于高速企业网。
MPLS网络集成了IP路由技术的灵活性和二层交换的简洁性,能够提供高扩展性和端到端的IP服务。因此,越来越多的服务提供商选择(或将要选择)MPLS网络作为他们的骨干网,MPLS骨干网络的可信访问成为加固互联网安全的关键环节。
发明内容
有鉴于此,本发明的目的是通过MPLS网络的可信认证及安全接入控制方法,阻止不安全终端威胁入侵网络,提高互联网可信性。采用PKG为节点生成身份验证信息,避免LER向PKG请求终端节点的公钥,减少不必要的网络流量和可信第三方的开销,适用于用户数量巨大的CA机构管理;在网络处理器上通过微码设计实现可信网络接入控制,有效地提高了处理速度。该方法作为一种有着广泛应用前景、安全可靠、实用性很强的技术方案。
为了达到上述目的,本发明提供了MPLS网络的可信认证及安全接入控制方法,其特征在于:包括下列几个组成部分:
(1)基于IP地址对的数字短签名:PKG只为符合安全策略的终端节点生成私钥和身份验证信息,避免了LER向PKG请求节点公钥;待签消息并非传统的应用层数据,而是由源目IP地址对串接后再做随机化处理的结果字串。为了加快LER的验证过程,避免不必要的解封延时,签名信息封装在网络层的IP头部字段。
(2)签名验证的微码实现:签名的验证计算复杂,需要较大的存储空间保存程序代码和许多中间状态,因此将该任务分解为5个相对均匀的子任务,其中的哈希运算交付硬件Hash单元加速处理,另外四个子任务采用上下文流水线,每个微引擎的控制存储器只保存相应子任务代码。为避免访问外存引入的较大延迟,各子任务状态只使用微引擎的本地存储器保存。
(3)签名信息表的存储与查找:为了加快查找速度,签名信息表使用TCAM技术,“源目IP地址对”作为查找关键字存储在TCAM存储器,签名信息存储在与之相连的SRAM中,其表项结构包括签名信息、身份验证信息与一个随机值。
所述部分(2)签名验证的微码实现主要包含以下几个步骤:
(21)计算W W 1 = e ^ ( ω , P )
(22)计算P0=H1(IPpair)
(23)计算 W 2 = e ^ ( P 0 , P ID )
(24)计算 W 3 = e ^ ( P 0 , P pub )
(25)计算W2W3,并判断是否W1=W2W3成立
本发明是一种MPLS网络的可信认证及安全接入控制方法。具有下列优点:
基于IP地址对的短签名采用椭圆曲线加密系统(ECC),ECC的安全性基于有限域上的椭圆曲线离散对数问题(ECDLP)。近年的研究表明:ECDLP问题属于指数量级困难,而RSA属于亚指数量级。因此,在相同的安全级别下,基于ECDLP的ECC较之RSA能够取得更短的签名,需要更少的计算开销,因而提高了签名和验证效率。
本发明采用基于IP地址的身份验证信息,避免了LER向PKG请求每个终端节点的公钥信息,PKG只需发布一次系统参数,减少了不必要的网络流量和可信第三方的存储与管理开销。
基于IP地址对短签名的MPLS网络可信认证及接入控制方法有效地解决了目前广泛使用的802.1x、网关等认证机制的弊端,通过在网络核心增加认证控制,从信息安全的源头着手,从根本上遏制了网络不安全因素的出现,为用户提供可信任的网络服务。
签名的验证在MPLS LER网络处理器上通过微码设计实现,具有较高的灵活性和处理速度。本发明在有效提高网络可信性前提下,能够稳定工作且具有良好的兼容性,因此应用前景看好。
附图说明
图1是本发明MPLS网络的可信认证及安全接入控制原理图。
图2是本发明IP头部选项字段格式图
图3签名信息封装格式图。
图4是本发明签名信息表查表设计图。
图5是本发明签名信息表项图。
具体实施方式
为使本发明的目的、实现方案和优点更为清晰,下面结合附图对本发明作进一步地详细描述。
参见图1,介绍MPLS网络可信认证及安全接入控制方法,包括以下步骤:
(1)初始化阶段,PKG生成系统参数,包括
Figure BSA00000316451300051
、H1:{0,1}n→G1、H2:{0,1}n×G1→Zq *、主密钥:s∈Zq *
(2)PKG为那些完整性符合安全策略的可信终端节点生成私钥SID==H2(ID,Gnode)+s和身份验证信息PID=H2(ID,Gnode)·P。其中Pnode=H1(ID),Gnode=s·Pnode
(3)可信终端节点将本次通信的源和目的IP地址对进行串接并与一随机值进行与运算得到IPpair,将IPpair作为待签消息执行签名,得到ω=SID·H1(IPpair),将签名和身份验证信息采用一定的格式进行封装并发送。
(4)当报文到达MPLS网络的标签边缘路由器LER时,LER首先执行签名验证,验证通过则IP报文准入,交付报文给标签处理模块进一步处理,否则拒绝报文并向源节点发送错误信息。
(5)LER以报文的IP地址对作为关键字,查找签名信息表并执行签名验证。当LER在签名信息表中找不到相应条目时,计算等式
Figure BSA00000316451300052
是否成立,成立则验证通过。
参见图2至图3,介绍本发明方法的签名信息封装。该方法包括以下两个阶段:
(1)传统的签名验证需要由通信的目的节点在应用层执行,因此签名信息通常被封装在应用层。MPLS可信访问设计旨在通过验证访问MPLS网络的数据包是否来自可信终端节点从而执行相应控制。因此,签名的验证过程并不是由消息的接收者执行,而是由MPLS网络的边缘路由器LER负责,为了加快验证操作,减少不必要的拆封处理,本发明基于网络层进行签名验证处理,如图2所示,IP头部的选项字段长度可达40字节,能够容纳不超过32字节的签名信息。因此,签名信息封装在IP头部的选项字段。
(2)在图2所示的8位代码字段中,复制位取“0”,表示选项仅将复制到第一个分片;类位取“01”,表示签名选项;数位取“00010”,则签名选项的代码为00100010,即十进制的34。因此得出图3所示的签名选项格式。
参见图4至图5,介绍本发明方法的签名验证详细过程,包括以下两个阶段:
(1)签名验证微模块负责对IP报文执行签名的验证。根据scratchring的buffer handle和偏移从dram中取出报文信息,考虑签名需要的信息最长不会超过64字节,所以从dram中读取16个LW信息即可。解析出报文的源、目IP地址,并以此地址对作为关键字查找签名信息表。
(2)若在签名信息表中找不到对应条目,则依次执行签名验证微码设计的五个子任务。
(3)若在签名信息表中查找到对应条目,则比较{ω,PID},相同则验证通过;交付标签处理模块进一步处理;验证不通过则通知Xscale_Core对源节点发送错误信息。
以上所述仅为本发明的较佳实施例,并不用以限制本发明,凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明的保护范围之内。

Claims (4)

1.一种MPLS网络的可信认证及安全接入控制方法,其特征在于所述的方法包括如下步骤:
1)PKG只为那些符合安全策略的终端生成私钥和身份验证信息;
2)终端节点对本次通信的源和目的IP地址进行串接后与一个随机值进行与运算,并对结果字串进行签名,将签名和身份验证信息封装在IP头的选项字段,连同报文一起发送;
3)MPLS网络的标签边缘路由器通过微码实现签名验证,验证通过则IP报文准入,交付报文给标签处理模块进一步处理,否则拒绝报文并对源节点发送错误信息。
2.如权利要求1所述的可信认证及安全接入控制方法,其特征在于:所述的通过微码实现签名验证中,在网络处理器上采用上下文流水线编程机制;并分解为5个相对均匀的子任务。
3.如权利要求1所述的可信认证及安全接入控制方法,其特征在于:所述的通过微码实现签名验证中,在签名信息表中记录近期成功验证的签名信息,签名信息表的存储与查找使用TCAM技术。
4.如权利要求3所述的签名信息表的存储与查找使用TCAM技术,其特征在于:当MPLS的LER收到有签名选项的报文时,首先在报头中提取IP地址对作为关键字查找签名信息表,若找到对应条目且签名选项字段内容与签名信息表中相应条目的签名信息互相匹配,则验证通过;不匹配则验证失败;若找不到相应条目,则依次执行权利要求2中的五个子任务执行验证。
CN 201010517873 2010-10-22 2010-10-22 Mpls网络的可信认证及安全接入控制方法 Expired - Fee Related CN101977189B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN 201010517873 CN101977189B (zh) 2010-10-22 2010-10-22 Mpls网络的可信认证及安全接入控制方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN 201010517873 CN101977189B (zh) 2010-10-22 2010-10-22 Mpls网络的可信认证及安全接入控制方法

Publications (2)

Publication Number Publication Date
CN101977189A true CN101977189A (zh) 2011-02-16
CN101977189B CN101977189B (zh) 2013-06-19

Family

ID=43577034

Family Applications (1)

Application Number Title Priority Date Filing Date
CN 201010517873 Expired - Fee Related CN101977189B (zh) 2010-10-22 2010-10-22 Mpls网络的可信认证及安全接入控制方法

Country Status (1)

Country Link
CN (1) CN101977189B (zh)

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102932354A (zh) * 2012-11-02 2013-02-13 杭州迪普科技有限公司 一种ip地址的验证方法及装置
CN103618603A (zh) * 2013-11-25 2014-03-05 网神信息技术(北京)股份有限公司 多协议标签交换网络的接入方法和装置
CN103812859A (zh) * 2013-12-27 2014-05-21 北京天融信软件有限公司 网络准入方法、终端准入方法、网络准入装置和终端
CN105608021A (zh) * 2015-08-17 2016-05-25 上海磁宇信息科技有限公司 一种利用内容寻址mram存储装置和方法
CN113014567A (zh) * 2021-02-19 2021-06-22 清华大学 互联网ip报文数据验证处理方法、装置及系统
CN113315764A (zh) * 2021-05-25 2021-08-27 深圳壹账通智能科技有限公司 防arp攻击的数据包发送方法、装置、路由器及存储介质

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101414965A (zh) * 2008-12-04 2009-04-22 天津大学 用于容迟网络和间歇连接网络的节省节点能量的方法

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101414965A (zh) * 2008-12-04 2009-04-22 天津大学 用于容迟网络和间歇连接网络的节省节点能量的方法

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
杜秀娟 等: "Ad Hoc路由协议M2 ASR的匿名设计实现", 《青海师范大学学报(自然科学版)》 *
杜秀娟 等: "MPLS VPN功能的微码设计与实现", 《计算机应用研究》 *

Cited By (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102932354A (zh) * 2012-11-02 2013-02-13 杭州迪普科技有限公司 一种ip地址的验证方法及装置
CN103618603A (zh) * 2013-11-25 2014-03-05 网神信息技术(北京)股份有限公司 多协议标签交换网络的接入方法和装置
CN103812859A (zh) * 2013-12-27 2014-05-21 北京天融信软件有限公司 网络准入方法、终端准入方法、网络准入装置和终端
CN103812859B (zh) * 2013-12-27 2017-05-03 北京天融信软件有限公司 网络准入方法、终端准入方法、网络准入装置和终端
CN105608021A (zh) * 2015-08-17 2016-05-25 上海磁宇信息科技有限公司 一种利用内容寻址mram存储装置和方法
CN105608021B (zh) * 2015-08-17 2019-03-19 上海磁宇信息科技有限公司 一种利用内容寻址mram存储装置和方法
CN113014567A (zh) * 2021-02-19 2021-06-22 清华大学 互联网ip报文数据验证处理方法、装置及系统
CN113315764A (zh) * 2021-05-25 2021-08-27 深圳壹账通智能科技有限公司 防arp攻击的数据包发送方法、装置、路由器及存储介质
CN113315764B (zh) * 2021-05-25 2023-03-10 深圳壹账通智能科技有限公司 防arp攻击的数据包发送方法、装置、路由器及存储介质

Also Published As

Publication number Publication date
CN101977189B (zh) 2013-06-19

Similar Documents

Publication Publication Date Title
Goodrich Probabilistic packet marking for large-scale IP traceback
Goodrich Efficient packet marking for large-scale IP traceback
CN101977189B (zh) Mpls网络的可信认证及安全接入控制方法
EP2430814B1 (en) Negotiated secure fast table lookups for protocols with bidirectional identifiers
US8843751B2 (en) IP address delegation
Ghali et al. Secure fragmentation for content-centric networks
CN105207778B (zh) 一种在接入网关设备上实现包身份标识及数字签名的方法
CN105262737B (zh) 一种基于跳通道模式的抵御ddos攻击的方法
CN109274647A (zh) 分布式可信内存交换方法及系统
Gunasekaran et al. TEAP: trust‐enhanced anonymous on‐demand routing protocol for mobile ad hoc networks
US8364949B1 (en) Authentication for TCP-based routing and management protocols
CN101588361B (zh) 一种增强组播安全性的方法
Leshov et al. Content name privacy in tactical named data networking
WO2011035618A1 (zh) 路由地址的安全处理方法和系统
Wolf A credential-based data path architecture for assurable global networking
Yi et al. An improved secure public cloud auditing scheme in edge computing
Zhou et al. Design of embedded secure gateway based on 6LoWPAN
CN111884816A (zh) 一种具备元数据隐私保护和源追责能力的路由方法
Lagutin Securing the Internet with digital signatures
Rui et al. Network access control mechanism based on locator/identifier split
Szymanski A Quantum-Safe Software-Defined Deterministic Internet of Things (IoT) with Hardware-Enforced Cyber-security for Critical Infrastructures
Liu et al. On the security of PPPoE network
Wang et al. A generic homomorphic MAC construction for authentication in network coding
Ansari et al. Middleware based node authentication framework for iot networks
Maddumala et al. A logic-based security framework for mobile perimeter

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant
ASS Succession or assignment of patent right

Owner name: ELECTRIC POWER RESEARCH INSTITUTE, STATE GRID QING

Effective date: 20131009

C41 Transfer of patent application or patent right or utility model
TR01 Transfer of patent right

Effective date of registration: 20131009

Address after: 810008 Qinghai city in Xining Province, 54 West Road No. 38

Patentee after: Qinghai Normal University

Patentee after: Electric Power Research Institute of State Grid Qinghai Electric Power Company

Address before: 810008 Qinghai city in Xining Province, 54 West Road No. 38

Patentee before: Qinghai Normal University

CF01 Termination of patent right due to non-payment of annual fee
CF01 Termination of patent right due to non-payment of annual fee

Granted publication date: 20130619

Termination date: 20171022