CN102355663B - 基于分离机制网络的可信域间快速认证方法 - Google Patents
基于分离机制网络的可信域间快速认证方法 Download PDFInfo
- Publication number
- CN102355663B CN102355663B CN201110182341.1A CN201110182341A CN102355663B CN 102355663 B CN102355663 B CN 102355663B CN 201110182341 A CN201110182341 A CN 201110182341A CN 102355663 B CN102355663 B CN 102355663B
- Authority
- CN
- China
- Prior art keywords
- authentication
- tpm
- key
- ticket
- asr
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Abstract
本发明涉及一种基于分离机制网络的可信域间快速认证方法,以解决分离机制网络中终端域间切换时的快速认证问题。该方法提出一种新的协议来实现终端域间切换时的快速认证,对用户身份进行认证的同时,实现终端平台的身份认证和终端平台的完整性校验。在本方法中,终端进行域间切换时不需要家乡域的认证中心再次参与,本域的认证中心通过Ticket就可对移动终端进行认证。本方法能够抵抗反重放攻击,保证平台的可信性,安全性,匿名性和用户身份的匿名性和不可跟踪性。
Description
技术领域
本发明涉及计算机安全领域,具体涉及一种基于分离机制网络的可信域间快速认证方法。
背景技术
分离机制网络中,当终端的位置发生变化,即从一个接入交换路由器切换到另一个接入交换路由器时,为了保证终端和网络的安全,需要对终端及时进行重新认证。这时的重新认证与终端接入网络时的完全认证不同,完全认证一般都有很大的时延,如果采用完全认证的方式,那么对于频繁切换的终端来讲,就会产生更大的难以忍受的时延,不适应于一些实时业务,尤其是音频、视频的实时传输。因此,分离机制网络中需要设计终端移动切换时的域间快速认证方法。
域间快速认证(Inter-Domain Fast Authentication)是对新接入点与旧接入点位于不同管理域间的认证。域间快速认证通常采用的方法有两种:一种是对域内快速认证方法的扩展,即采用预先认证技术;另外一种是采用基于票据等的快速认证技术。上述的域间快速认证方法仅实现了对终端用户身份的认证,没有实现对终端的平台身份与平台可信性的认证。而目前信息安全主要威胁源自内部,如果用户平台被病毒入侵或者恶意修改,就会给网络的安全造成了极大的隐患。
发明内容
为避免以上现有技术的不足,本发明针对分离机制网络的特点,对原有分离机制网络模型进行了扩展,并结合可信计算技术,提出一种基于分离机制网络的可信域间快速认证方法。与传统的快速认证不同,该方法基于可信计算技术,在终端进行切换的时候,不仅验证用户身份的同时,同时验证终端平台身份,能够有效地抵抗反重放攻击,保证平台的可信性,安全性和用户身份的匿名性和不可跟踪性。
本发明的技术方案如下:
(1)当移动节点MN漫游到新的域间接入交换路由器时,先确定接入交换路由器ASR3的标识IDASR3,根据IDASR3可以知道自己将要漫游到外地域,提取用于域间切换的票据TicketMN,提取平台配置信息MNTPM,然后给ASR3发送待验证信息:
其中
Kticket是全局认证服务器GAC与下属的认证中心AC共享的用于签发票据的密钥;EK(M)表示用密钥K对消息M进行加密;AIDMN是MN的接入标识;H(MNTPM-T)是MN平台标准配置信息的哈希值;KMN是为MN的密钥(仅ACH知道);LifetimeMN是给MN签发的证书的有效期,票据的有效期也用这个表示;ACH是家乡认证中心;是ACH的标识,用于表示该票据由哪个认证中心签发;PCR是平台配置信息;是平台MN的AIK私钥;{}k表示用密钥K进行签名运算;SML为度量存储日志;是平台MN的AIK公钥证书;表示异或运算;TMN是时间戳。
(2)ASR3收到MN发送的信息之后,因为ASR3的本地存储列表中没有相应的本地转交地址,由此知道MN是要加入该域的一个新的终端,就直接将MN发送的信息转交给外地认证中心ACF;。
(3)ACF收到ASR3转发的信息,用Kticket对TicketMN进行解密运算,得到:
首先验证LifetimeMN的有效性,若LifetimeMN无效,则认证失败;验证LifetimeMN有效之后,用KMN解密得到MN自己提交的MNTPM、AIDMN以及TMN;
然后验证用KMN解密所得AIDMN是否与TicketMN中得到的AIDMN一致,若二者一致则身份可信,身份认证完成,否则认证失败;
最后验证平台,计算
ACF对进行散列得到与Tokeni中的H(MNTPM-T)进行对比,若二者一致则平台可信,否则认证失败;
至此,ACF对MN的认证完成;
(4)ACF给认证通过的MN分配用于MN与ASR3进行会话的主密钥PMK0,将认证结果返回给ASR3:EK3(AIDMN,PMK0,TMN),K3为ACH与ASR3共享的密钥;Prf为伪随机数生成器;RandomMN是MN生成的随机数,是ACH生成的随机数;H表示单向散列函数
(5)ASR3收到认证成功消息,ASR3就更新自己的映射表,允许MN接入,并且将和发送给MN,MN与ASR3在后续的过程中用PMK0协商会话密钥;若认证没有通过,就MN返回“认证失败”信息。
本发明的有益之处在于:
(1)安全性与可信性
TicketMN里的秘密信息是由ACF与ACH共享的主密钥Kticket加密的,该密钥是全局认证服务器GAC签发的用于各个域的认证中心签发票据的密钥,对于其它成员是保密的,除认证中心外的其它成员不可能解密里面的信息,更不可能篡改里面的信息,所以保证了Tokeni里信息的安全性与不可伪造性。
对于MN自己生成的身份和平台配置信息,用了自己的密钥KMN加密,该主密钥只有MN、ACH知道,所以信息对于其它实体也是保密的,在签发票据的时候,ACH将MN的密钥KMN签在了票据里,用于保护MN域间切换时认证信息的安全性;ACF用KMN来解密信息得到MNTPM、AIDMN以及TMN,通过对解密得到的MNTPM进行变换得到(来源于MN自己提交的平台信息),再与TicketMN中的H(MNTPM-T)(ACH给MN签发的标准平台配置信息)进行比较,以此验证MN平台的可信性。
(2)反重放
TMN嵌在了用KMN加密的信息里,即使有人截获了也不能解密信息,不能更改里面的信息,更不可能更改TMN,要是非法截获者实施重放攻击,ACF根据里面的TMN就可以进行鉴别,证明该方法可以反重放。
(3)用户身份匿名性和不可跟踪性
在该方法交互过程中所有的消息都未出现MN的真实身份,都用的是MN的接入标识AIDMN,只有本地认证中心ACH有MN的隐私身份和一些私有信息,ACH是受到安全保护的,所以MN的隐私信息不可能流向外界,也就确保了用户身份的匿名性。
该方法中,消息达到ASR3,然后在核心网传播时,MN的接入标识AIDMN会被替换成交换路由标识,即使非法第三者在核心网截获了信息,它也不可能根据截获的信息得到用户的接入标识、真实身份,更不能确定用户的位置,这是一体化网络身份与位置分离的特性所固有的,确保了信息的不可跟踪性。
附图说明
图1是域间快速认证模型图;
图2是MN在域间进行切换时的快速认证方法图。
具体实施方式
下面对本发明进行详细说明。
域间快速认证的模型框架如图1所示。
本模型中,分为家乡网络,外地网络,Internet,以及other networks。家乡网络和外地网络以有线的方式连接,它们通过广义交换路由器GSR连接到Internet,Internet再与other networks连接。在家乡网络内部部署了广义交换路由器GSR,ASR,ACH,Privacy-CA和MN。在外地网络内部部署了GSR,ASR,ACF,Privacy-CA。在Internet中部署了GAC。
移动节点MN是嵌入了TPM芯片的可信无线终端设备,MN以无线的方式接入网络。在家乡网络中,MN通过ASR接入。MN接入网络时,ACH与Privacy-CA一起对其进行身份认证和平台验证,确认MN身份的合法性与平台的可信性。
GAC负责给各个认证中心AC发送用于签发票据的密钥,对于新加入的域,经过GAC认证后给新加入的可信域发送用于签发票据的密钥。GAC与所有下属的AC共享一个用于签发票据的密钥,该密钥绝对安全。Privacy-CA作为可信第三方,验证并向终端签发AIK证书,AC与Privacy-CA一起对接入的终端进行身份与平台的验证。
MN已经在家乡域进行了注册,并通过了本地ACH与Privacy-CA对于身份和平台的验证,接入了家乡网络。当MN进行域间切换时,给要切换所至域的认证中心ACF发送由ACH签发的票据,票据里包含相应的身份与平台信息,ACF解密票据,然后对MN进行身份和平台的验证。
票据TicketMN的生成方式如下:GAC与下属的认证中心AC共享用于签发票据的密钥Kticket,各个AC用Kticket来为本地注册的用户生成票据Ticket,本地的ACH给MN签发的票据TicketMN按下式生成:
MN的平台配置信息MNTPM按下式计算:
MNTPM-T在MN接入认证完成后,由ACH按下式计算:
其中
基于分离机制网络的可信域间快速认证方法如图2所示,该方法具体步骤如下:
(1)当MN漫游到新的域间接入交换路由器时,先确定接入交换路由器的标识IDASR3,根据IDASR3可以知道自己将要漫游到外地域,提取用于域间切换的票据TicketMN,提取平台配置信息MNTPM,然后给ASR3发送待验证信息:
其中
(2)ASR3收到MN发送的信息之后,因为ASR3的本地存储列表中没有相应的本地转交地址,由此知道MN是要加入该域的一个新的终端,就直接将MN发送的信息转交给ACF;
(3)ACF收到ASR3转发的信息,用Kticket对TicketMN进行解密运算,得到:
首先验证LifetimeMN的有效性,若LifetimeMN无效,则认证失败;验证LifetimeMN有效之后,用KMN解密得到MN自己提交的平台配置信息MNTPM、接入路由标识AIDMN以及时间戳TMN;
然后验证用KMN解密所得AIDMN是否与TicketMN中得到的AIDMN一致,若二者一致则身份可信,身份认证完成,否则认证失败;
最后验证平台,计算
ACF对进行散列得到与Tokeni中的H(MNTPM-T)进行对比,若二者一致则平台可信,否则认证失败;
至此,ACF对MN的认证完成;
(4)ACF给认证通过的MN分配用于MN与ASR3进行会话的主密钥PMK0,将认证结果返回给ASR3:EK3(AIDMN,PMK0,TMN),
(5)ASR3收到认证成功消息,ASR3就更新自己的映射表,允许MN接入,并且将和发送给MN,MN与ASR3在后续的过程中用PMK0协商会话密钥;若认证没有通过,就MN返回“认证失败”信息。
Claims (1)
1.基于分离机制网络的可信域间快速认证方法,其特征在于:其实施步骤为:
(1)当移动节点MN漫游到新的域间接入路由器时,先确定接入路由器的标识IDASR3,根据IDASR3可以知道自己将要漫游到外地域,提取用于域间切换的票据TicketMN,提取平台配置信息MNTPM,然后给ASR3发送待验证信息:
其中
其中,KMN为MN的密钥,仅由其家乡网络的认证中心ACH知道,MN在家乡域注册的时候,存储在ACH中;表示用密钥KMN对消息进行对称加密;AIDMN表示MN的接入标识,是在MN注册时由认证中心随机产生或者由MN在未启用的接入标识库中指定;TMN表示生成平台消息时MN的时间戳;表示用ACH与MN共享的密钥对消息进行对称加密;表示实体MN所在平台的身份证明密钥AIK的私钥,PCR表示平台配置寄存器,用来存储所在平台的当前完整性度量信息,表示用MN的身份证明密钥的私钥对PCR值签名;SML表示度量存储日志,用来存储所在平台的历史的完整性度量信息;表示实体MN所在平台AIK公钥证书;
(2)ASR3收到MN发送的信息之后,因为ASR3的本地存储列表中没有相应的本地转交地址,由此知道MN是要加入该域的一个新的终端,就直接将MN发送的信息转交给ACF,ACF为MN移动之后所在外地网络的认证中心;
(3)ACF收到ASR3转发的信息,用GAC与下属的AC共享的用于签发票据的密钥Kticket对TicketMN进行解密运算,得到:
其中LifetimeMN是ACH给MN签发的票据的有效期,首先验证LifetimeMN的有效性,若LifetimeMN无效,则认证失败;验证LifetimeMN有效之后,用KMN解密得到MN自己提交的平台配置信息MNTPM、接入路由标识AIDMN以及时间戳TMN;
然后验证用KMN解密所得AIDMN是否与TicketMN中得到的AIDMN一致,若二者一致则身份可信,身份认证完成,否则认证失败;
最后验证平台,计算
ACF对进行散列得到与TicketMN中的MNTPM-T的散列值H(MNTPM-T)进行对比,若二者一致则平台可信,否则认证失败;
至此,ACF对MN的认证完成;
(4)ACF给认证通过的MN分配用于MN与ASR3进行会话的主密钥PMK0,将认证结果返回给ASR3:EK3(AIDMN,PMK0,TMN),AIDMN,PMK0,TMN是用ACF与ASR3共享的密钥K3使用对称密码算法加密得到,PMK0,IDASR3是用MN的密钥使用对称密码算法加密消息得到;
(5)ASR3收到认证成功消息,ASR3就更新自己的映射表,允许MN接入,并且将用密钥PMK0使用对称密码算法加密之后的消息和用密钥KMN使用对称密码算法加密之后的消息发送给MN,MN与ASR3在后续的过程中用PMK0协商会话密钥;若认证没有通过,就MN返回“认证失败”信息;
所述票据TicketMN的生成方式如下:
全局认证服务器GAC与下属的认证中心AC共享用于签发票据的密钥为Kticket,各个AC用Kticket来为本地注册的用户生成票据Ticket,本地的家乡网络的认证中心ACH给MN签发的票据TicketMN按下式生成:
MNTPM-T在MN接入认证完成后,由ACH按下式计算:
其中,代表家乡网络的认证中心ACH的标识符。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201110182341.1A CN102355663B (zh) | 2011-06-30 | 2011-06-30 | 基于分离机制网络的可信域间快速认证方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201110182341.1A CN102355663B (zh) | 2011-06-30 | 2011-06-30 | 基于分离机制网络的可信域间快速认证方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN102355663A CN102355663A (zh) | 2012-02-15 |
CN102355663B true CN102355663B (zh) | 2014-08-20 |
Family
ID=45579144
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201110182341.1A Expired - Fee Related CN102355663B (zh) | 2011-06-30 | 2011-06-30 | 基于分离机制网络的可信域间快速认证方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN102355663B (zh) |
Families Citing this family (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2014000195A1 (zh) * | 2012-06-27 | 2014-01-03 | 中兴通讯股份有限公司 | 接入认证方法、装置和系统 |
CN103856477B (zh) * | 2012-12-06 | 2018-01-02 | 阿里巴巴集团控股有限公司 | 一种可信计算系统及相应的认证方法和设备 |
CN103051611B (zh) * | 2012-12-11 | 2015-10-28 | 北京交通大学 | 一种身份与位置分离体系下的安全移动性管理方法 |
CN103139218B (zh) * | 2013-02-27 | 2017-05-10 | 石家庄铁道大学 | 分离机制网络中可信域间映射更新认证方法 |
CN104270756A (zh) * | 2014-10-24 | 2015-01-07 | 石家庄铁道大学 | 身份与位置分离网络中的域内映射更新认证方法 |
CN105472609A (zh) * | 2015-11-11 | 2016-04-06 | 北京邮电大学 | 航空通信nemo网络下基于安全互联的切换认证机制 |
CN107454048B (zh) * | 2016-06-01 | 2021-03-23 | 腾讯科技(深圳)有限公司 | 信息的处理方法及装置、信息的认证方法、装置及系统 |
CN110023944B (zh) * | 2017-01-03 | 2021-12-28 | 华为技术有限公司 | 通信方法及终端设备、核心网设备 |
CN113132323B (zh) * | 2019-12-31 | 2022-11-18 | 华为技术有限公司 | 一种通信方法及装置 |
CN114039739B (zh) * | 2020-11-30 | 2024-04-16 | 北京八分量信息科技有限公司 | 一种通过优化节点通讯来快速失败的方法 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101616407A (zh) * | 2008-06-25 | 2009-12-30 | 华为技术有限公司 | 预认证的方法和认证系统 |
CN101778380A (zh) * | 2009-12-31 | 2010-07-14 | 卓望数码技术(深圳)有限公司 | 一种身份认证方法、设备及系统 |
CN101977379A (zh) * | 2010-10-28 | 2011-02-16 | 中兴通讯股份有限公司 | 移动终端的鉴权方法及装置 |
Family Cites Families (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP1658746B1 (en) * | 2003-08-26 | 2012-06-06 | TELEFONAKTIEBOLAGET LM ERICSSON (publ) | Apparatus and method for authenticating a user when accessing to multimedia services |
CN1790989A (zh) * | 2005-12-26 | 2006-06-21 | 北京航空航天大学 | 信任证鉴别转换系统及鉴别转换方法 |
-
2011
- 2011-06-30 CN CN201110182341.1A patent/CN102355663B/zh not_active Expired - Fee Related
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101616407A (zh) * | 2008-06-25 | 2009-12-30 | 华为技术有限公司 | 预认证的方法和认证系统 |
CN101778380A (zh) * | 2009-12-31 | 2010-07-14 | 卓望数码技术(深圳)有限公司 | 一种身份认证方法、设备及系统 |
CN101977379A (zh) * | 2010-10-28 | 2011-02-16 | 中兴通讯股份有限公司 | 移动终端的鉴权方法及装置 |
Also Published As
Publication number | Publication date |
---|---|
CN102355663A (zh) | 2012-02-15 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN102355663B (zh) | 基于分离机制网络的可信域间快速认证方法 | |
Lin et al. | HomeChain: A blockchain-based secure mutual authentication system for smart homes | |
Cui et al. | HCPA-GKA: A hash function-based conditional privacy-preserving authentication and group-key agreement scheme for VANETs | |
CN108810895B (zh) | 基于区块链的无线Mesh网络身份认证方法 | |
He et al. | A strong user authentication scheme with smart cards for wireless communications | |
CN107071774B (zh) | 一种基于身份短群签名的vanet接入认证方法 | |
WO2020133655A1 (zh) | 边缘计算场景下支持异构终端匿名接入的轻量级认证方法 | |
CN105141425B (zh) | 一种基于混沌映射的可保护身份的双向认证方法 | |
CN101212293B (zh) | 一种身份认证方法及系统 | |
CN108683501B (zh) | 基于量子通信网络的以时间戳为随机数的多次身份认证系统和方法 | |
CN104735068A (zh) | 基于国密的sip安全认证的方法 | |
CN103780618A (zh) | 一种基于访问授权票据的跨异构域身份认证及会话密钥协商方法 | |
CN103929745B (zh) | 一种基于隐私保护的无线mesh网络接入认证系统及方法 | |
RU2008122778A (ru) | Распределение ключа для защищенного обмена сообщениями | |
CN101969638A (zh) | 一种移动通信中对imsi进行保护的方法 | |
CN114362993B (zh) | 一种区块链辅助的车联网安全认证方法 | |
CN107493165A (zh) | 一种具有强匿名性的车联网认证及密钥协商方法 | |
TWI526871B (zh) | Server, user device, and user device and server interaction method | |
Chuang et al. | PPAS: A privacy preservation authentication scheme for vehicle-to-infrastructure communication networks | |
CN108964897A (zh) | 基于群组通信的身份认证系统和方法 | |
CN108964896A (zh) | 一种基于群组密钥池的Kerberos身份认证系统和方法 | |
Lu et al. | On the security of an efficient mobile authentication scheme for wireless networks | |
CN104270756A (zh) | 身份与位置分离网络中的域内映射更新认证方法 | |
CN113987460A (zh) | 基于联盟链的群智感知场景下分布式假名和匿名认证方法 | |
CN103139218B (zh) | 分离机制网络中可信域间映射更新认证方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20140820 Termination date: 20170630 |
|
CF01 | Termination of patent right due to non-payment of annual fee |