CN102355663A - 基于分离机制网络的可信域间快速认证方法 - Google Patents
基于分离机制网络的可信域间快速认证方法 Download PDFInfo
- Publication number
- CN102355663A CN102355663A CN2011101823411A CN201110182341A CN102355663A CN 102355663 A CN102355663 A CN 102355663A CN 2011101823411 A CN2011101823411 A CN 2011101823411A CN 201110182341 A CN201110182341 A CN 201110182341A CN 102355663 A CN102355663 A CN 102355663A
- Authority
- CN
- China
- Prior art keywords
- tpm
- authentication
- ticket
- asr
- aid
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Landscapes
- Storage Device Security (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明涉及一种基于分离机制网络的可信域间快速认证方法,以解决分离机制网络中终端域间切换时的快速认证问题。该方法提出一种新的协议来实现终端域间切换时的快速认证,对用户身份进行认证的同时,实现终端平台的身份认证和终端平台的完整性校验。在本方法中,终端进行域间切换时不需要家乡域的认证中心再次参与,本域的认证中心通过Ticket就可对移动终端进行认证。本方法能够抵抗反重放攻击,保证平台的可信性,安全性,匿名性和用户身份的匿名性和不可跟踪性。
Description
技术领域
本发明涉及计算机安全领域,具体涉及一种基于分离机制网络的可信域间快速认证方法。
背景技术
分离机制网络中,当终端的位置发生变化,即从一个接入交换路由器切换到另一个接入交换路由器时,为了保证终端和网络的安全,需要对终端及时进行重新认证。这时的重新认证与终端接入网络时的完全认证不同,完全认证一般都有很大的时延,如果采用完全认证的方式,那么对于频繁切换的终端来讲,就会产生更大的难以忍受的时延,不适应于一些实时业务,尤其是音频、视频的实时传输。因此,分离机制网络中需要设计终端移动切换时的域间快速认证方法。
域间快速认证(Inter-Domain Fast Authentication)是对新接入点与旧接入点位于不同管理域间的认证。域间快速认证通常采用的方法有两种:一种是对域内快速认证方法的扩展,即采用预先认证技术;另外一种是采用基于票据等的快速认证技术。上述的域间快速认证方法仅实现了对终端用户身份的认证,没有实现对终端的平台身份与平台可信性的认证。而目前信息安全主要威胁源自内部,如果用户平台被病毒入侵或者恶意修改,就会给网络的安全造成了极大的隐患。
发明内容
为避免以上现有技术的不足,本发明针对分离机制网络的特点,对原有分离机制网络模型进行了扩展,并结合可信计算技术,提出一种基于分离机制网络的可信域间快速认证方法。与传统的快速认证不同,该方法基于可信计算技术,在终端进行切换的时候,不仅验证用户身份的同时,同时验证终端平台身份,能够有效地抵抗反重放攻击,保证平台的可信性,安全性和用户身份的匿名性和不可跟踪性。
本发明的技术方案如下:
(1)当移动节点MN漫游到新的域间接入交换路由器时,先确定接入交换路由器ASR3的标识IDASR3,根据IDASR3可以知道自己将要漫游到外地域,提取用于域间切换的票据TicketMN,提取平台配置信息MNTPM,然后给ASR3发送待验证信息:
其中
Kticket是全局认证服务器GAC与下属的认证中心AC共享的用于签发票据的密钥;EK(M)表示用密钥K对消息M进行加密;AIDMN是MN的接入标识;H(MNTPM-T)是MN平台标准配置信息的哈希值;KMN是为MN的密钥(仅ACH知道);LifetimeMN是给MN签发的证书的有效期,票据的有效期也用这个表示;ACH是家乡认证中心;是ACH的标识,用于表示该票据由哪个认证中心签发;PCR是平台配置信息;是平台MN的AIK私钥;{}k表示用密钥K进行签名运算;SML为度量存储日志;是平台MN的AIK公钥证书;表示异或运算;TMN是时间戳。
(2)ASR3收到MN发送的信息之后,因为ASR3的本地存储列表中没有相应的本地转交地址,由此知道MN是要加入该域的一个新的终端,就直接将MN发送的信息转交给外地认证中心ACF;。
(3)ACF收到ASR3转发的信息,用Kticket对TicketMN进行解密运算,得到:
然后验证用KMN解密所得AIDMN是否与TicketMN中得到的AIDMN一致,若二者一致则身份可信,身份认证完成,否则认证失败;
至此,ACF对MN的认证完成;
(4)ACF给认证通过的MN分配用于MN与ASR3进行会话的主密钥PMK0,将认证结果返回给ASR3:EK3(AIDMN,PMK0,TMN),K3为ACH与ASR3共享的密钥;Prf为伪随机数生成器;RandomMN是MN生成的随机数,是ACH生成的随机数;H表示单向散列函数
(5)ASR3收到认证成功消息,ASR3就更新自己的映射表,允许MN接入,并且将和发送给MN,MN与ASR3在后续的过程中用PMK0协商会话密钥;若认证没有通过,就MN返回“认证失败”信息。
本发明的有益之处在于:
(1)安全性与可信性
TicketMN里的秘密信息是由ACF与ACH共享的主密钥Kticket加密的,该密钥是全局认证服务器GAC签发的用于各个域的认证中心签发票据的密钥,对于其它成员是保密的,除认证中心外的其它成员不可能解密里面的信息,更不可能篡改里面的信息,所以保证了Tokeni里信息的安全性与不可伪造性。
对于MN自己生成的身份和平台配置信息,用了自己的密钥KMN加密,该主密钥只有MN、ACH知道,所以信息对于其它实体也是保密的,在签发票据的时候,ACH将MN的密钥KMN签在了票据里,用于保护MN域间切换时认证信息的安全性;ACF用KMN来解密信息得到MNTPM、AIDMN以及TMN,通过对解密得到的MNTPM进行变换得到(来源于MN自己提交的平台信息),再与TicketMN中的H(MNTPM-T)(ACH给MN签发的标准平台配置信息)进行比较,以此验证MN平台的可信性。
(2)反重放
(3)用户身份匿名性和不可跟踪性
在该方法交互过程中所有的消息都未出现MN的真实身份,都用的是MN的接入标识AIDMN,只有本地认证中心ACH有MN的隐私身份和一些私有信息,ACH是受到安全保护的,所以MN的隐私信息不可能流向外界,也就确保了用户身份的匿名性。
该方法中,消息达到ASR3,然后在核心网传播时,MN的接入标识AIDMN会被替换成交换路由标识,即使非法第三者在核心网截获了信息,它也不可能根据截获的信息得到用户的接入标识、真实身份,更不能确定用户的位置,这是一体化网络身份与位置分离的特性所固有的,确保了信息的不可跟踪性。
附图说明
图1是域间快速认证模型图;
图2是MN在域间进行切换时的快速认证方法图。
具体实施方式
下面对本发明进行详细说明。
域间快速认证的模型框架如图1所示。
本模型中,分为家乡网络,外地网络,Internet,以及other networks。家乡网络和外地网络以有线的方式连接,它们通过广义交换路由器GSR连接到Internet,Internet再与other networks连接。在家乡网络内部部署了广义交换路由器GSR,ASR,ACH,Privacy-CA和MN。在外地网络内部部署了GSR,ASR,ACF,Privacy-CA。在Internet中部署了GAC。
移动节点MN是嵌入了TPM芯片的可信无线终端设备,MN以无线的方式接入网络。在家乡网络中,MN通过ASR接入。MN接入网络时,ACH与Privacy-CA一起对其进行身份认证和平台验证,确认MN身份的合法性与平台的可信性。
GAC负责给各个认证中心AC发送用于签发票据的密钥,对于新加入的域,经过GAC认证后给新加入的可信域发送用于签发票据的密钥。GAC与所有下属的AC共享一个用于签发票据的密钥,该密钥绝对安全。Privacy-CA作为可信第三方,验证并向终端签发AIK证书,AC与Privacy-CA一起对接入的终端进行身份与平台的验证。
MN已经在家乡域进行了注册,并通过了本地ACH与Privacy-CA对于身份和平台的验证,接入了家乡网络。当MN进行域间切换时,给要切换所至域的认证中心ACF发送由ACH签发的票据,票据里包含相应的身份与平台信息,ACF解密票据,然后对MN进行身份和平台的验证。
票据TicketMN的生成方式如下:GAC与下属的认证中心AC共享用于签发票据的密钥Kticket,各个AC用Kticket来为本地注册的用户生成票据Ticket,本地的ACH给MN签发的票据TicketMN按下式生成:
MN的平台配置信息MNTPM按下式计算:
MNTPM-T在MN接入认证完成后,由ACH按下式计算:
其中
基于分离机制网络的可信域间快速认证方法如图2所示,该方法具体步骤如下:
(1)当MN漫游到新的域间接入交换路由器时,先确定接入交换路由器的标识IDASR3,根据IDASR3可以知道自己将要漫游到外地域,提取用于域间切换的票据TicketMN,提取平台配置信息MNTPM,然后给ASR3发送待验证信息:
其中
(2)ASR3收到MN发送的信息之后,因为ASR3的本地存储列表中没有相应的本地转交地址,由此知道MN是要加入该域的一个新的终端,就直接将MN发送的信息转交给ACF;
(3)ACF收到ASR3转发的信息,用Kticket对TicketMN进行解密运算,得到:
首先验证LifetimeMN的有效性,若LifetimeMN无效,则认证失败;验证LifetimeMN有效之后,用KMN解密得到MN自己提交的平台配置信息MNTPM、接入路由标识AIDMN以及时间戳TMN;
然后验证用KMN解密所得AIDMN是否与TicketMN中得到的AIDMN一致,若二者一致则身份可信,身份认证完成,否则认证失败;
至此,ACF对MN的认证完成;
Claims (2)
1.基于分离机制网络的可信域间快速认证方法,其特征在于:该方法的步骤为:
(1)当MN漫游到新的域间接入交换路由器时,先确定接入交换路由器ASR3的标识IDASR3,根据IDASR3可以知道自己将要漫游到外地域,提取用于域间切换的票据TicketMN,提取平台配置信息MNTPM,然后给ASR3发送待验证信息:
其中
(2)ASR3收到MN发送的验证信息之后,因为ASR3的本地存储列表中没有相应的本地转交地址,由此知道MN是要加入该域的一个新的终端,就直接将MN发送的信息转交给ACF;
(3)ACF收到ASR3转发的信息,用Kticket对TicketMN进行解密运算,得到:
首先验证LifetimeMN的有效性,若LifetimeMN无效,则认证失败;验证LifetimeMN有效之后,用KMN解密得到MN自己提交的平台配置信息MNTPM、接入路由标识AIDMN以及时间戳TMN;
然后验证用KMN解密所得AIDMN是否与TicketMN中得到的AIDMN一致,若二者一致则身份可信,身份认证完成,否则认证失败;
至此,ACF对MN的认证完成;
2.根据权利要求1所述的基于分离机制网络的可信域间快速认证方法,其特征在于:所述的提取用于域间切换的票据TicketMN的生成方式如下:
全局认证服务器GAC与下属的认证中心AC共享用于签发票据的密钥Kticket,各个AC用Kticket来为本地注册的用户生成票据Ticket,本地的ACH给MN签发的票据TicketMN按下式生成:
MN的平台配置信息MNTPM按下式计算:
MNTPM-T在MN接入认证完成后,由ACH按下式计算:
其中
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201110182341.1A CN102355663B (zh) | 2011-06-30 | 2011-06-30 | 基于分离机制网络的可信域间快速认证方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201110182341.1A CN102355663B (zh) | 2011-06-30 | 2011-06-30 | 基于分离机制网络的可信域间快速认证方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN102355663A true CN102355663A (zh) | 2012-02-15 |
CN102355663B CN102355663B (zh) | 2014-08-20 |
Family
ID=45579144
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201110182341.1A Expired - Fee Related CN102355663B (zh) | 2011-06-30 | 2011-06-30 | 基于分离机制网络的可信域间快速认证方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN102355663B (zh) |
Cited By (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103051611A (zh) * | 2012-12-11 | 2013-04-17 | 北京交通大学 | 一种身份与位置分离体系下的安全移动性管理方法 |
CN103139218A (zh) * | 2013-02-27 | 2013-06-05 | 石家庄铁道大学 | 分离机制网络中可信域间映射更新认证方法 |
WO2014000195A1 (zh) * | 2012-06-27 | 2014-01-03 | 中兴通讯股份有限公司 | 接入认证方法、装置和系统 |
CN103856478A (zh) * | 2012-12-06 | 2014-06-11 | 阿里巴巴集团控股有限公司 | 一种可信网络的证书签发、认证方法及相应的设备 |
CN104270756A (zh) * | 2014-10-24 | 2015-01-07 | 石家庄铁道大学 | 身份与位置分离网络中的域内映射更新认证方法 |
CN105472609A (zh) * | 2015-11-11 | 2016-04-06 | 北京邮电大学 | 航空通信nemo网络下基于安全互联的切换认证机制 |
CN107454048A (zh) * | 2016-06-01 | 2017-12-08 | 腾讯科技(深圳)有限公司 | 信息的处理方法及装置、信息的认证方法、装置及系统 |
CN110023944A (zh) * | 2017-01-03 | 2019-07-16 | 华为技术有限公司 | 一种数据处理方法及相关设备 |
WO2021136511A1 (zh) * | 2019-12-31 | 2021-07-08 | 华为技术有限公司 | 一种通信方法及装置 |
CN114039739A (zh) * | 2020-11-30 | 2022-02-11 | 北京八分量信息科技有限公司 | 一种通过优化节点通讯来快速查找失败的方法 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2005020619A1 (en) * | 2003-08-26 | 2005-03-03 | Telefonaktiebolaget Lm Ericsson (Publ) | Apparatus and method for authenticating a user when accessing to multimedia services |
CN1790989A (zh) * | 2005-12-26 | 2006-06-21 | 北京航空航天大学 | 信任证鉴别转换系统及鉴别转换方法 |
CN101616407A (zh) * | 2008-06-25 | 2009-12-30 | 华为技术有限公司 | 预认证的方法和认证系统 |
CN101778380A (zh) * | 2009-12-31 | 2010-07-14 | 卓望数码技术(深圳)有限公司 | 一种身份认证方法、设备及系统 |
CN101977379A (zh) * | 2010-10-28 | 2011-02-16 | 中兴通讯股份有限公司 | 移动终端的鉴权方法及装置 |
-
2011
- 2011-06-30 CN CN201110182341.1A patent/CN102355663B/zh not_active Expired - Fee Related
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2005020619A1 (en) * | 2003-08-26 | 2005-03-03 | Telefonaktiebolaget Lm Ericsson (Publ) | Apparatus and method for authenticating a user when accessing to multimedia services |
CN1790989A (zh) * | 2005-12-26 | 2006-06-21 | 北京航空航天大学 | 信任证鉴别转换系统及鉴别转换方法 |
CN101616407A (zh) * | 2008-06-25 | 2009-12-30 | 华为技术有限公司 | 预认证的方法和认证系统 |
CN101778380A (zh) * | 2009-12-31 | 2010-07-14 | 卓望数码技术(深圳)有限公司 | 一种身份认证方法、设备及系统 |
CN101977379A (zh) * | 2010-10-28 | 2011-02-16 | 中兴通讯股份有限公司 | 移动终端的鉴权方法及装置 |
Cited By (14)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2014000195A1 (zh) * | 2012-06-27 | 2014-01-03 | 中兴通讯股份有限公司 | 接入认证方法、装置和系统 |
CN103856478B (zh) * | 2012-12-06 | 2017-11-24 | 阿里巴巴集团控股有限公司 | 一种可信网络的证书签发、认证方法及相应的设备 |
CN103856478A (zh) * | 2012-12-06 | 2014-06-11 | 阿里巴巴集团控股有限公司 | 一种可信网络的证书签发、认证方法及相应的设备 |
CN103051611B (zh) * | 2012-12-11 | 2015-10-28 | 北京交通大学 | 一种身份与位置分离体系下的安全移动性管理方法 |
CN103051611A (zh) * | 2012-12-11 | 2013-04-17 | 北京交通大学 | 一种身份与位置分离体系下的安全移动性管理方法 |
CN103139218A (zh) * | 2013-02-27 | 2013-06-05 | 石家庄铁道大学 | 分离机制网络中可信域间映射更新认证方法 |
CN103139218B (zh) * | 2013-02-27 | 2017-05-10 | 石家庄铁道大学 | 分离机制网络中可信域间映射更新认证方法 |
CN104270756A (zh) * | 2014-10-24 | 2015-01-07 | 石家庄铁道大学 | 身份与位置分离网络中的域内映射更新认证方法 |
CN105472609A (zh) * | 2015-11-11 | 2016-04-06 | 北京邮电大学 | 航空通信nemo网络下基于安全互联的切换认证机制 |
CN107454048A (zh) * | 2016-06-01 | 2017-12-08 | 腾讯科技(深圳)有限公司 | 信息的处理方法及装置、信息的认证方法、装置及系统 |
CN110023944A (zh) * | 2017-01-03 | 2019-07-16 | 华为技术有限公司 | 一种数据处理方法及相关设备 |
WO2021136511A1 (zh) * | 2019-12-31 | 2021-07-08 | 华为技术有限公司 | 一种通信方法及装置 |
CN114039739A (zh) * | 2020-11-30 | 2022-02-11 | 北京八分量信息科技有限公司 | 一种通过优化节点通讯来快速查找失败的方法 |
CN114039739B (zh) * | 2020-11-30 | 2024-04-16 | 北京八分量信息科技有限公司 | 一种通过优化节点通讯来快速失败的方法 |
Also Published As
Publication number | Publication date |
---|---|
CN102355663B (zh) | 2014-08-20 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN102355663B (zh) | 基于分离机制网络的可信域间快速认证方法 | |
CN111372248B (zh) | 一种车联网环境下高效匿名身份认证方法 | |
Cui et al. | HCPA-GKA: A hash function-based conditional privacy-preserving authentication and group-key agreement scheme for VANETs | |
CN108810895B (zh) | 基于区块链的无线Mesh网络身份认证方法 | |
He et al. | A strong user authentication scheme with smart cards for wireless communications | |
CN104735068B (zh) | 基于国密的sip安全认证的方法 | |
CN101212293B (zh) | 一种身份认证方法及系统 | |
CN101090316B (zh) | 离线状态下存储卡与终端设备之间的身份认证方法 | |
CN105141425B (zh) | 一种基于混沌映射的可保护身份的双向认证方法 | |
CN103763356B (zh) | 一种安全套接层连接的建立方法、装置及系统 | |
CN101969638B (zh) | 一种移动通信中对imsi进行保护的方法 | |
CN104754581B (zh) | 一种基于公钥密码体制的lte无线网络的安全认证方法 | |
Tan et al. | Comments on “dual authentication and key management techniques for secure data transmission in vehicular ad hoc networks” | |
CN106357396A (zh) | 数字签名方法和系统以及量子密钥卡 | |
CN103929745B (zh) | 一种基于隐私保护的无线mesh网络接入认证系统及方法 | |
JP2006260538A5 (zh) | ||
CN101136748A (zh) | 一种身份认证方法及系统 | |
CN102547688A (zh) | 一种基于虚拟专用信道的高可信手机安全通信信道的建立方法 | |
CN107493165A (zh) | 一种具有强匿名性的车联网认证及密钥协商方法 | |
Chuang et al. | PPAS: A privacy preservation authentication scheme for vehicle-to-infrastructure communication networks | |
CN107679847A (zh) | 一种基于近场通信双向身份认证的移动交易隐私保护方法 | |
CN108964897A (zh) | 基于群组通信的身份认证系统和方法 | |
Lu et al. | On the security of an efficient mobile authentication scheme for wireless networks | |
US9716707B2 (en) | Mutual authentication with anonymity | |
CN103139218B (zh) | 分离机制网络中可信域间映射更新认证方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
CF01 | Termination of patent right due to non-payment of annual fee | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20140820 Termination date: 20170630 |