MPLS网络的可信认证及安全接入控制方法
技术领域
本发明总体上涉及网络通信技术领域,更具体地涉及到各种有线园区网、政务网、校园网、企业网以及无线WLAN、无线Mesh网络中终端节点对MPLS骨干网络的可信接入控制,提高互联网可信性的方法。
背景技术
随着互联网技术的发展,人们对信息网络的应用需求与依赖性不断提升,伴随而来的信息安全威胁也在不断增加。以往那些对单台主机的威胁已经发展为对网络基础设施的攻击,多数网络安全事件都是由脆弱的用户终端和“失控”的网络使用行为引起。病毒的入侵、木马的植入、拒绝服务攻击、地址盗用、DHCP欺骗以及ARP攻击等之所以对网络产生较大的破坏,是因为它们利用了脆弱的终端节点的连接作为入侵网络的通路。“失控”的用户终端一旦接入网络,安全威胁即在更大范围内快速扩散。因此,保证用户终端的安全、阻止威胁入侵网络,对用户的网络访问行为进行有效的控制,是保证网络安全运行的前提。
国内外研究表明网络安全正向着可信方向发展,新一代计算机网络必须提供可信性机制以解决安全问题来消除网络脆弱性。在这种情况下,各种准入控制技术顺势而生。目前业界普遍采用的网络连接认证与控制技术包括PPPoE、网关和802.1x三种方式,建立在对用户帐号的合法性进行验证的基础上,其中用户名一般通过明文传递,绝大多数用户口令设置不够复杂,即使经过一定的算法进行加密,也经不起字典、暴力等破解攻击,因此,三种认证技术都存在一定的安全威胁,主要体现在以下几个方面:
1)802.1x和网关认证基于IP或MAC地址作为合法用户的索引标识,容易遭受影子用户攻击。
2)PPPoE在以太网中采用广播方式发现服务的机制容易遭受假冒服务攻击,恶意用户只需架设一个PPPoE服务器,将加密协议设置成只使用PAP,然后开启Sniffer、等待别人拨号就能轻而易举获取他人帐号信息。
3)认证通过后,PPPoE业务流仍需通过BRAS设备进行拆包识别和封装转发,容易造成网络瓶颈。因此PPPoE不适用于高速企业网。
MPLS网络集成了IP路由技术的灵活性和二层交换的简洁性,能够提供高扩展性和端到端的IP服务。因此,越来越多的服务提供商选择(或将要选择)MPLS网络作为他们的骨干网,MPLS骨干网络的可信访问成为加固互联网安全的关键环节。
发明内容
有鉴于此,本发明的目的是通过MPLS网络的可信认证及安全接入控制方法,阻止不安全终端威胁入侵网络,提高互联网可信性。采用PKG为节点生成身份验证信息,避免LER向PKG请求终端节点的公钥,减少不必要的网络流量和可信第三方的开销,适用于用户数量巨大的CA机构管理;在网络处理器上通过微码设计实现可信网络接入控制,有效地提高了处理速度。该方法作为一种有着广泛应用前景、安全可靠、实用性很强的技术方案。
为了达到上述目的,本发明提供了MPLS网络的可信认证及安全接入控制方法,其特征在于:包括下列几个组成部分:
(1)基于IP地址对的数字短签名:PKG只为符合安全策略的终端节点生成私钥和身份验证信息,避免了LER向PKG请求节点公钥;待签消息并非传统的应用层数据,而是由源目IP地址对串接后再做随机化处理的结果字串。为了加快LER的验证过程,避免不必要的解封延时,签名信息封装在网络层的IP头部字段。
(2)签名验证的微码实现:签名的验证计算复杂,需要较大的存储空间保存程序代码和许多中间状态,因此将该任务分解为5个相对均匀的子任务,其中的哈希运算交付硬件Hash单元加速处理,另外四个子任务采用上下文流水线,每个微引擎的控制存储器只保存相应子任务代码。为避免访问外存引入的较大延迟,各子任务状态只使用微引擎的本地存储器保存。
(3)签名信息表的存储与查找:为了加快查找速度,签名信息表使用TCAM技术,“源目IP地址对”作为查找关键字存储在TCAM存储器,签名信息存储在与之相连的SRAM中,其表项结构包括签名信息、身份验证信息与一个随机值。
所述部分(2)签名验证的微码实现主要包含以下几个步骤:
(21)计算W
(22)计算P0=H1(IPpair)
(23)计算
(24)计算
(25)计算W2W3,并判断是否W1=W2W3成立
本发明是一种MPLS网络的可信认证及安全接入控制方法。具有下列优点:
基于IP地址对的短签名采用椭圆曲线加密系统(ECC),ECC的安全性基于有限域上的椭圆曲线离散对数问题(ECDLP)。近年的研究表明:ECDLP问题属于指数量级困难,而RSA属于亚指数量级。因此,在相同的安全级别下,基于ECDLP的ECC较之RSA能够取得更短的签名,需要更少的计算开销,因而提高了签名和验证效率。
本发明采用基于IP地址的身份验证信息,避免了LER向PKG请求每个终端节点的公钥信息,PKG只需发布一次系统参数,减少了不必要的网络流量和可信第三方的存储与管理开销。
基于IP地址对短签名的MPLS网络可信认证及接入控制方法有效地解决了目前广泛使用的802.1x、网关等认证机制的弊端,通过在网络核心增加认证控制,从信息安全的源头着手,从根本上遏制了网络不安全因素的出现,为用户提供可信任的网络服务。
签名的验证在MPLS LER网络处理器上通过微码设计实现,具有较高的灵活性和处理速度。本发明在有效提高网络可信性前提下,能够稳定工作且具有良好的兼容性,因此应用前景看好。
附图说明
图1是本发明MPLS网络的可信认证及安全接入控制原理图。
图2是本发明IP头部选项字段格式图
图3签名信息封装格式图。
图4是本发明签名信息表查表设计图。
图5是本发明签名信息表项图。
具体实施方式
为使本发明的目的、实现方案和优点更为清晰,下面结合附图对本发明作进一步地详细描述。
参见图1,介绍MPLS网络可信认证及安全接入控制方法,包括以下步骤:
(1)初始化阶段,PKG生成系统参数,包括
、H
1:{0,1}
n→G
1、H
2:{0,1}
n×G
1→Z
q *、主密钥:s∈Z
q *。
(2)PKG为那些完整性符合安全策略的可信终端节点生成私钥SID==H2(ID,Gnode)+s和身份验证信息PID=H2(ID,Gnode)·P。其中Pnode=H1(ID),Gnode=s·Pnode。
(3)可信终端节点将本次通信的源和目的IP地址对进行串接并与一随机值进行与运算得到IPpair,将IPpair作为待签消息执行签名,得到ω=SID·H1(IPpair),将签名和身份验证信息采用一定的格式进行封装并发送。
(4)当报文到达MPLS网络的标签边缘路由器LER时,LER首先执行签名验证,验证通过则IP报文准入,交付报文给标签处理模块进一步处理,否则拒绝报文并向源节点发送错误信息。
(5)LER以报文的IP地址对作为关键字,查找签名信息表并执行签名验证。当LER在签名信息表中找不到相应条目时,计算等式
是否成立,成立则验证通过。
参见图2至图3,介绍本发明方法的签名信息封装。该方法包括以下两个阶段:
(1)传统的签名验证需要由通信的目的节点在应用层执行,因此签名信息通常被封装在应用层。MPLS可信访问设计旨在通过验证访问MPLS网络的数据包是否来自可信终端节点从而执行相应控制。因此,签名的验证过程并不是由消息的接收者执行,而是由MPLS网络的边缘路由器LER负责,为了加快验证操作,减少不必要的拆封处理,本发明基于网络层进行签名验证处理,如图2所示,IP头部的选项字段长度可达40字节,能够容纳不超过32字节的签名信息。因此,签名信息封装在IP头部的选项字段。
(2)在图2所示的8位代码字段中,复制位取“0”,表示选项仅将复制到第一个分片;类位取“01”,表示签名选项;数位取“00010”,则签名选项的代码为00100010,即十进制的34。因此得出图3所示的签名选项格式。
参见图4至图5,介绍本发明方法的签名验证详细过程,包括以下两个阶段:
(1)签名验证微模块负责对IP报文执行签名的验证。根据scratchring的buffer handle和偏移从dram中取出报文信息,考虑签名需要的信息最长不会超过64字节,所以从dram中读取16个LW信息即可。解析出报文的源、目IP地址,并以此地址对作为关键字查找签名信息表。
(2)若在签名信息表中找不到对应条目,则依次执行签名验证微码设计的五个子任务。
(3)若在签名信息表中查找到对应条目,则比较{ω,PID},相同则验证通过;交付标签处理模块进一步处理;验证不通过则通知Xscale_Core对源节点发送错误信息。
以上所述仅为本发明的较佳实施例,并不用以限制本发明,凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明的保护范围之内。