CN103023911B - 可信网络设备接入可信网络认证方法 - Google Patents
可信网络设备接入可信网络认证方法 Download PDFInfo
- Publication number
- CN103023911B CN103023911B CN201210573116.5A CN201210573116A CN103023911B CN 103023911 B CN103023911 B CN 103023911B CN 201210573116 A CN201210573116 A CN 201210573116A CN 103023911 B CN103023911 B CN 103023911B
- Authority
- CN
- China
- Prior art keywords
- platform
- authentication
- server
- information
- equipment
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Landscapes
- Mobile Radio Communication Systems (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
可信网络设备接入可信网络认证方法属于计算机安全领域。它利用可信模块提供平台启动的特征值连同其他信息一起在认证服务器端进行平台认证,然后把身份信息与平台信息绑定再进行一轮身份认证确保平台与身份的可信。首先,可信设备接入可信网络时在端口启用过滤器只允许本方法认证的帧通过,可信设备有对认证帧的寻址机制。然后,对平台进行认证,完毕后再通过绑定身份和平台做第二次认证。最后,通过两阶段认证保证网络设备平台与身份认证,从而达到网络设备可信接入网络。现有协议往往分别针对平台认证和身份认证,容易出现中间人攻击从而使不可信的用户在可信平台或可信用户在不可信平台的情况接入网络,本发明解决该问题。
Description
技术领域:
本发明主要致力于可信设备接入可信网络的认证,属于信息安全领域。
背景技术:
随着计算机网络技术的飞速发展和深度应用,计算机越来越多地应用到社会政治、经济、教育和军事等领域中,同时21世纪是信息的时代.信息成为一种重要的战略资源,信息的获取、处理和安全保障能力成为一个国家综合国力的重要组成部分.信息安全事关国家安全、事关社会稳定.因此,必须采取措施确保信息安全.但是,当前的网络体系已经暴露出严重的不足,网络正面临着严峻的安全和服务质量保证等重大挑战。病毒、黑客以及各种各样漏洞的存在, 使得安全任务在网络时代变得无比艰巨。计算机系统受病毒感染和破坏的情况相当严重;电脑黑客活动已形成重要威胁;信息基础设施面临网络安全的挑战;网络政治颠覆活动频繁等,这些网络安全日益突出的问题表明保障网络的可信成为网络进一步发展的迫切需求。
目前,国际上对可信网络的接入认证的探索才刚刚开始,对可信网络的基本概念和相关的科学问题还处于研究的初级阶段。
国内外现有的网络认证方法主要有AAA、RADIUS、802.1x等方法。但是这些方法已经研究了很多年,技术已经基本成熟,但是当前需要一种可以应用于可信网络设备接入可信网络的认证协议,把平台信息与身份信息绑定后进行认证,协议本身需要考虑到网络设备本身带有可信模块,因而能够保证整个认证协议更加可信。所以需要一种新的适用于可信网络设备的认证协议技术。以上提到的几种认证协议虽然已经比较成熟,但是没有考虑到网络设备的可信模块,在可信设备接入可信网络的过程中认证过程是最为重要的一部分,目前协议套用现有终端TPM的远程身份证明协议或者用户的身份认证协议是难以满足可信设备接入网络的要求的,设备的可信接入比终端的可信接入需要提供不同的信息和更高的安全性。为了改善满足这方面的要求,为了使可信设备接入网络有适用于其自身的认证机制拥有更高的安全性。本发明提出并实现了一种专门针对于可信模块的网络设备可信的接入网络方法。TNEA(trusted network equipment access)可信网络设备接入协议,利用可信模块提供平台启动的特征值连同其他信息一起在认证服务器端进行平台认证,然后把身份信息与平台信息绑定再进行一轮身份认证确保平台与身份的可信,这个协议为可信设备接入网络的认证部分提出了一套完善的解决方案。
发明内容:
本发明的目的,就在于可信设备接入可信网络中最重要的部分就是需要一个安全的认证协议,提供一种能够有效检测平台可信和用户身份可信的方法,即本发明提出的可信网络设备接入可信网络认证协议。
本发明的特征在于依次包括以下步骤:
可信网络设备接入可信网络认证方法,其特征在于包括以下步骤:
首先可信设备接入可信网络时在端口启用过滤器只允许本方法认证过得帧通过,每个网络设备添加一个服务器认证端口信息表,记录该设备与服务器第一次认证交互的端口信息,新接入网络设备与服务器之间的网络设备对于认证协议帧只进行传输,构造虚拟点到点环境;
然后新接入网络设备向服务器进行平台身份认证请求,在服务器进行回应后,新接入网络设备与新接入网络设备的设备可信模块交互信息得到所需反映平台启动过程的特征值和对应的度量日志,将平台启动过程的特征值、对应的度量日志与平台的身份证明密钥证书作为认证信息发送给认证服务器进行平台认证,在服务器端对证书进行审核然后把启动过程的特征值与经过哈希运算的度量日志信息比对正确后,认证成功,服务器颁发可信平台身份证书;
最后再通过绑定身份和平台做第二次认证:新接入网络设备向服务器进行绑定平台的用户身份认证请求,服务器做出回应后,新接入网络设备将可信平台身份证书和用户身份信息作为认证信息与服务器交互,在服务器端把可信平台身份证书和用户身份信息与服务器中记录的证书信息和已注册用户信息比较,保证以上信息正确后,认证成功,服务器颁发可信设备身份证书,其证书带有设备接入网络进行通信的会话密钥。
本发明的优势在于,可信设备的可信网络接入认证部分目前没有一个健全的认证协议,现有的认证协议往往分别针对平台认证和身份认证,容易出现中间人攻击从而使不可信的用户在可信平台或可信用户在不可信平台的情况接入网络。另一方面,本发明在认证交互阶段有自己的寻址机制,能够把复杂的网络变成虚拟点到点环境。
附图说明
图1是本发明实现可信网络设备接入可信网络认证协议的交互过程图。
具体实施方式
首先可信设备接入可信网络时在端口启用过滤器只允许认证协议中特殊的帧通过,每个网络设备添加一个服务器认证端口信息表,记录该设备与服务器第一次认证交互的端口信息,目的是作为一种低层次的寻址方式方便与服务器进行交互,使新接入的网络设备能直接与服务器通信,忽略中间的网络结构,构造虚拟点到点环境。
然后新接入网络设备向服务器进行平台身份认证请求,在服务器进行回应后,设备与设备可信模块交互信息得到所需反映平台启动过程的特征值和对应的度量日志,将其与平台的身份证明密钥证书作为认证信息发送给认证服务器进行平台认证,信息比对正确后,认证成功,服务器颁发可信平台身份证书。
最后再通过绑定身份和平台做第二次认证。新接入网络设备向服务器进行绑定平台的用户身份认证请求,服务器做出回应后,新接入网络设备将可信平台身份证书和用户身份信息作为认证信息与服务器交互,信息比对正确后,认证成功,服务器颁发可信设备身份证书,其证书带有设备接入网络进行通信的会话密钥。整个协议过程结束。
通过两阶段认证保证网络设备平台与身份认证,从而达到网络设备可信接入网络。
下面结合附图1具体介绍本发明的实现方法的步骤:
参见附图1,本发明是可信网络设备接入可信网络认证协议。该协议主要包含两个主要部分,即认证协议寻址和平台和用户身份认证。首先,新加入网络设备寻址与服务器建立虚拟的点到点环境。然后,通过可信模块提供的信息进行平台的可信认证。最后,通过平台和用户身份信息的认证,从而达到可信网络设备的可信接入网络认证。
首先在认证寻址部分,可信设备接入可信网络时在端口启用过滤器只允许认证协议的帧通过,每个网络设备添加一个服务器认证端口信息表,记录该设备与服务器第一次认证交互的端口信息,设备发送给服务器的端口记为输出端口,发送由服务器发来的帧给新加入设备的端口记为输入端口,认证协议帧通过设备的认证端口信息表寻路,设备发送给服务器的信息由输出端口发出,服务器发送给设备的信息由输入端口发出,目的是作为一种低层次的寻址方式方便与服务器进行交互,经过的网络设备不对帧进行任何改动。所有经过的网络设备都产生认证端口信息表后,设备与服务器的认证路径确定,服务器给网络设备发送服务器的身份证明密钥公钥部分,设备A得到身份证明密钥公钥,将其作为通信的会话密钥,用其将自己的身份证明密钥公钥和作为ID的背板MAC进行加密,将加密后信息发送给服务器,服务器将得到的信息解密后记录,然后为网络设备颁发身份认证密钥公钥证书。具体交互过程如下:
设备与服务器进行第一次认证交互:
A->CA:TNEA Hello⑶
CA->A:TNEA Response⑷
设备与服务器的认证路径确定后,颁发身份认证密钥公钥证书:
CA->A:CApub⑸
A->CA:CApub(AIKpub, plat_ID) ⑸⑹⑺
CA->A:sigCAprive(Cer(AIKpub)) ⑸⑻⑼
然后新接入网络设备向服务器进行平台身份认证请求,在服务器进行回应后,可信网络设备调用可信模块获取开机启动行为的哈希特征值信息,设备与设备可信模块交互该信息得到所需反映平台整个启动过程的特征值和对应的度量日志,将获得的PCR值与服务器产生的随机数用设备的身份证明密钥私钥进行签名,得到信息n= sigAIKprive(PCR,nonceCA),把n与度量日志、平台的身份证明密钥证书用服务器身份证明秘钥公钥加密后的信息作为认证信息发送给认证服务器进行平台认证。服务器把获得的密文信息解密,得到AIK证书将其与服务器已注册信息对比验证AIK证书,验证通过后用AIKpub验证签名信息n得到PCR和随机数,验证随机数与之前发出的是否一致,如果一致则把可度量日志信息进行哈希运算,得到的值与PCR比对,结果相同则服务器判定上述认证成功,服务器给网络设备发送可信平台身份认证证书。具体交互过程如下:
A->CA:plat_ID request⑽
CA->A:nonceCA⑿
A->CA:CApub(sigAIKprive(PCR,nonceCA),SML,plat_ID,Cer(AIKpub)) ⑸⑹⑼⒀⒁⑻
CA->A:AIKpub(Cer(A))⑹⒂
最后再通过绑定身份和平台做第二次认证。新接入网络设备A向服务器进行绑定平台的用户身份认证请求,服务器产生随机数并用A的身份证明密钥公钥加密会话秘钥EK得到加密信息m=AIKpub(EK),将随机数和密文m返回给A,A利用自己的身份证明密钥私钥解密密文m得到会话密钥,将可信平台身份证书、用户身份信息和随机数用A的身份证明密钥私钥签名得到签名信息l= sigAIKprive(Cer(A),user_ID
,usert_PWD,nonceCA'),由会话秘钥EK加密l得到的密文信息作为认证信息传输给服务器,服务器用EK解密密文信息得到l,并用A的身份证明密钥公钥验证签名信息l获得可信平台身份证书、用户身份信息和随机数,可信平台身份证书与服务器已注册信息对比进行验证,验证正确后,验证随机数与之前发出的是否一致,如果一致则查找用户身份信息是否为服务器中注册的可信用户信息,如果信息已存在则服务器判定上述认证成功,服务器颁发可信设备身份证书,其证书带有设备接入网络进行通信的会话密钥。具体交互过程如下:
A->CA:plat_ID & user_ID request⑽⑾
CA->A:nonceCA',AIKpub(EK)⑿⑹⒃
A->CA:EK(sigAIKprive(Cer(A),user_ID,usert_PWD,nonceCA')) ⒃⑼⑹⒂⒄⑿
CA->A:ayth Success,Cer(plat_ID,user_ID,usert_PWD,AIKpub(EKA)) ⒅
上述过程中的关键词解释:
⑴A:可信网络设备。
⑵CA:可信网络中的认证服务器。
⑶TNEA Hello:TNEA(可信网络设备接入协议)中的目的是建立最初始认证会话的控制帧,边界可信网络设备把得到Hello控制帧的端口记录到服务器认证端口信息表记为输入端口。
⑷TNEA Response:TNEA(可信网络设备接入协议)中的作为回应Hello控制帧的控制帧,新接入网络的可信网络设备得到这个帧之后,对于新接入网络可信网络设备而言TNEA的网络寻址过程结束,并且把得到Response控制帧的端口记录到服务器认证端口信息表记为输出端口。
⑸CAprive和CApub: CAprive表示CA服务器的身份证明私钥,CApub表示CA服务器的身份证明公钥,CApub(XXX)表示用CApub加密信息XXX。
⑹AIKpub和AIKprive: AIKpub可信网络设备的身份证明密钥公钥,AIKprive可信网络设备的身份证明密钥私钥。AIKpub(XXX)表示用AIKpub加密信息XXX。
⑺plat_ID:可信网络设备的背板MAC号、设备型号、系统版本号。
⑻Cer(AIKpub):可信网络设备身份证明密钥证书。
⑼Siga(b):代表用密钥a签名信息b。
⑽plat_ID request:带有设备背板MAC、设备型号、系统版本号的身份证明认证请求。
⑾user_ID request:带有用户名、用户口令的身份证明认证请求。
⑿nonce:随机数。nonceCA服务器产生的第一个随机数,nonceCA'服务器产生的第二个随机数。
⒀PCR:可信网络设备中可信模块存储的设备状态特征值。
⒁SML:可度量的日志信息。
⒂Cer(A):发给认证可信网络设备的平台认证证书。
⒃EK:会话密钥。EK(XXX)表示用EK加密信息XXX。
⒄user_ID,usert_PWD:用户名,用户口令。
⒅Cer(plat_ID,user_ID,usert_PWD,AIKpub(EKA)) :可信设备身份证书,其带有设备背板MAC号、设备型号、系统版本号以及用户名、用户口令和用AIKpub加密的通信会话秘钥EKA信息的密文。
Claims (1)
1.可信网络设备接入可信网络认证方法,其特征在于包括以下步骤:
首先可信设备接入可信网络时在端口启用过滤器只允许本方法认证过的帧通过,每个网络设备添加一个服务器认证端口信息表,记录该设备与服务器第一次认证交互的端口信息,新接入网络设备与服务器之间的网络设备对于认证协议帧只进行传输,构造虚拟点到点环境;
然后新接入网络设备向服务器进行平台身份认证请求,在服务器进行回应后,新接入网络设备与新接入网络设备的设备可信模块交互信息得到所需反映平台启动过程的特征值和对应的度量日志,将平台启动过程的特征值、对应的度量日志与平台的身份证明密钥证书作为认证信息发送给认证服务器进行平台认证,在服务器端对证书进行审核然后把启动过程的特征值与经过哈希运算的度量日志信息比对正确后,认证成功,服务器颁发可信平台身份证书;
最后再通过绑定身份和平台做第二次认证:新接入网络设备向服务器进行绑定平台的用户身份认证请求,服务器做出回应后,新接入网络设备将可信平台身份证书和用户身份信息作为认证信息与服务器交互,在服务器端把可信平台身份证书和用户身份信息与服务器中记录的证书信息和已注册用户信息比较,保证以上信息正确后,认证成功,服务器颁发可信设备身份证书,其证书带有设备接入网络进行通信的会话密钥。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201210573116.5A CN103023911B (zh) | 2012-12-25 | 2012-12-25 | 可信网络设备接入可信网络认证方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201210573116.5A CN103023911B (zh) | 2012-12-25 | 2012-12-25 | 可信网络设备接入可信网络认证方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN103023911A CN103023911A (zh) | 2013-04-03 |
CN103023911B true CN103023911B (zh) | 2015-10-14 |
Family
ID=47972042
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201210573116.5A Active CN103023911B (zh) | 2012-12-25 | 2012-12-25 | 可信网络设备接入可信网络认证方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN103023911B (zh) |
Families Citing this family (13)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103731422A (zh) * | 2013-12-20 | 2014-04-16 | 中电长城网际系统应用有限公司 | 一种网络设备的可信接入方法和装置 |
CN103701792B (zh) * | 2013-12-20 | 2017-06-30 | 中电长城网际系统应用有限公司 | 可信授权方法、系统、可信安全管理中心和服务器 |
CN104735054B (zh) * | 2015-02-06 | 2018-03-02 | 西安电子科技大学 | 数字家庭设备可信接入平台及认证方法 |
CN105933245B (zh) * | 2016-06-23 | 2020-04-28 | 北京工业大学 | 一种软件定义网络中安全的可信接入方法 |
CN106685955B (zh) * | 2016-12-28 | 2020-08-25 | 武汉微创光电股份有限公司 | 一种基于Radius的视频监控平台安全认证方法 |
CN106850207B (zh) * | 2017-02-28 | 2019-06-04 | 南方电网科学研究院有限责任公司 | 无ca的身份认证方法和系统 |
CN109729523B (zh) * | 2017-10-31 | 2021-02-23 | 华为技术有限公司 | 一种终端联网认证的方法和装置 |
CN110417776B (zh) * | 2019-07-29 | 2022-03-25 | 大唐高鸿信安(浙江)信息科技有限公司 | 一种身份认证方法及装置 |
CN112995146B (zh) * | 2021-02-05 | 2022-11-18 | 杭州诺为医疗技术有限公司 | 用于植入式电刺激装置的通信验证方法、装置及外部设备 |
CN113312674B (zh) * | 2021-06-18 | 2022-06-24 | 何小林 | 基于多因子环境感知数字证书的接入安全的方法和系统 |
CN114285591B (zh) * | 2021-10-22 | 2024-03-22 | 杭州贤芯科技有限公司 | 一种基于tcp自定义协议安全通信的设备接入平台方法 |
CN114257382B (zh) * | 2022-01-30 | 2024-06-11 | 支付宝(杭州)信息技术有限公司 | 密钥管理和业务处理方法、装置及系统 |
CN114978544A (zh) * | 2022-05-23 | 2022-08-30 | 中国电信股份有限公司 | 一种访问认证方法、装置、系统、电子设备及介质 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101136928A (zh) * | 2007-10-19 | 2008-03-05 | 北京工业大学 | 一种可信网络接入框架 |
CN101447992A (zh) * | 2008-12-08 | 2009-06-03 | 西安西电捷通无线网络通信有限公司 | 一种基于三元对等鉴别的可信网络连接实现方法 |
CN101795281A (zh) * | 2010-03-11 | 2010-08-04 | 西安西电捷通无线网络通信股份有限公司 | 一种适合可信连接架构的平台鉴别实现方法及系统 |
-
2012
- 2012-12-25 CN CN201210573116.5A patent/CN103023911B/zh active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101136928A (zh) * | 2007-10-19 | 2008-03-05 | 北京工业大学 | 一种可信网络接入框架 |
CN101447992A (zh) * | 2008-12-08 | 2009-06-03 | 西安西电捷通无线网络通信有限公司 | 一种基于三元对等鉴别的可信网络连接实现方法 |
CN101795281A (zh) * | 2010-03-11 | 2010-08-04 | 西安西电捷通无线网络通信股份有限公司 | 一种适合可信连接架构的平台鉴别实现方法及系统 |
Non-Patent Citations (1)
Title |
---|
一种可信网络接入认证模型和改进的OSAP协议设计与研究;肖政等;《计算机科学》;20061125;第33卷(第11期);全文 * |
Also Published As
Publication number | Publication date |
---|---|
CN103023911A (zh) | 2013-04-03 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN103023911B (zh) | 可信网络设备接入可信网络认证方法 | |
Cao et al. | LSAA: A lightweight and secure access authentication scheme for both UE and mMTC devices in 5G networks | |
CN109347635A (zh) | 一种基于国密算法的物联网安全认证系统及认证方法 | |
Gaba et al. | Robust and lightweight mutual authentication scheme in distributed smart environments | |
WO2017201809A1 (zh) | 终端通信方法及系统 | |
CN102685749B (zh) | 面向移动终端的无线安全身份验证方法 | |
CN109618326A (zh) | 用户动态标识符生成方法及服务注册方法、登录验证方法 | |
CN103475666A (zh) | 一种物联网资源的数字签名认证方法 | |
Zhang et al. | Practical anonymous password authentication and TLS with anonymous client authentication | |
CN105553666A (zh) | 一种智能电力终端安全认证系统及方法 | |
CN107094156A (zh) | 一种基于p2p模式的安全通信方法及系统 | |
Zhang et al. | Formal verification of 5G-EAP-TLS authentication protocol | |
CN101192927A (zh) | 基于身份保密的授权与多重认证方法 | |
Meshram et al. | An efficient, robust, and lightweight subtree-based three-factor authentication procedure for large-scale DWSN in random oracle | |
Indushree et al. | Mobile-Chain: Secure blockchain based decentralized authentication system for global roaming in mobility networks | |
Jia et al. | A Redesigned Identity-Based Anonymous Authentication Scheme for Mobile-Edge Computing | |
US9038143B2 (en) | Method and system for network access control | |
CN116582277B (zh) | 一种基于BACnet/IP协议的身份认证方法 | |
Ma et al. | A secure authentication scheme for remote diagnosis and maintenance in internet of vehicles | |
CN103139218B (zh) | 分离机制网络中可信域间映射更新认证方法 | |
Wang et al. | A provable secure and lightweight ECC-based authenticated key agreement scheme for edge computing infrastructure in smart grid | |
CN110289961A (zh) | 远程医疗认证方法 | |
Wu et al. | A Security-Enhanced Authentication and Key Agreement Protocol in Smart Grid | |
Khan et al. | [Retracted] A Provable Secure Cross‐Verification Scheme for IoT Using Public Cloud Computing | |
Abbasinezhad‐Mood et al. | Novel chaotic map‐based privacy‐preserving authenticated key agreement scheme without the electricity service provider involvement |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant |