CN103096318A - 一种基于身份隐替机制的无线异构网络统一接入认证方法 - Google Patents
一种基于身份隐替机制的无线异构网络统一接入认证方法 Download PDFInfo
- Publication number
- CN103096318A CN103096318A CN201310039363.1A CN201310039363A CN103096318A CN 103096318 A CN103096318 A CN 103096318A CN 201310039363 A CN201310039363 A CN 201310039363A CN 103096318 A CN103096318 A CN 103096318A
- Authority
- CN
- China
- Prior art keywords
- user
- uid
- server
- access
- home server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Mobile Radio Communication Systems (AREA)
Abstract
本发明公开了一种基于身份隐替机制的无线异构网络统一接入认证方法,属于无线异构网络统一接入领域。本发明基于用户、位置、寻址信息进行分离,创建统一的用户标识,构建完备的统一标识身份隐替机制,将用户身份认证所需的标识分离存储在各个实体上,通过标识的隐藏、替换和更新对用户敏感信息进行防护。本发明改变了现有技术中不同网络对同一用户同时维护多套标识的状况,用户只需使用一套标识就能接入所需的网络,大大降低了维护用户多套标识的各种开销;其次对用户真实身份UID使用密钥加密传输,可有效防护用户敏感信息在网络中的泄露。
Description
技术领域
本发明属于无线异构网络统一接入领域,特别是一种基于身份隐替机制的无线异构网络统一接入认证方法。
背景技术
无线网络技术的飞速发展,涌现出了大量不同类型的通信网络。网络形式种类繁多,各具特点,异构融合网络作为未来网络的发展趋势,融合了各个网络的优点,但在网络应用范围的不断扩大、接入方式多样化和提供多种业服务的同时,也带来了一系列新的安全问题。无线异构网络中的关键安全技术问题包括安全路由协议、接入认证技术、入侵检测技术、节点间协作通信等。安全性在异构网络的各个关键问题上起着至关重要的作用。
在无线网络认证和通信过程中,用户的真实身份和位置信息是重要而又敏感的信息,在通信中必须保证这些信息的机密性,尤其在融合网络的发展中,网络的信息安全防护能力将是吸引用户长期附着的决定性因素。然而在当前的网络中,他们成对出现或绑定存储、使用及传输,不仅造成网络资源的浪费,还容易造成用户敏感信息泄露,带来一系列安全问题。
统一标识技术作为提升用户对网络和业务的使用效率、提高身份信息的安全性具有重要的意义,其在不同网络、不同业务间可建立可靠的对用户身份认证的共享服务,避免由各异构网络、不同业务的异构认证机制带来的复杂性。
在现有技术中,尽管已有多种身份和地址双重功能分离的方案,但都存在不足之处。如:太过复杂的名字空间定义、众多对应关系的维护需求和扁平的名字空间,导致管理开销和出错率大大增加、并且查找效率低,可扩展性不好。
发明内容
本发明的目的在于针对异构接入网络认证信息与认证方式各异的问题而提供一种基于身份隐替机制的无线异构网络统一接入认证方法。
实现本发明目的的技术解决方案为:
一种基于身份隐替机制的无线异构网络统一接入认证方法,该方法基于用户、位置、寻址信息进行分离,创建统一的用户标识,构建完备的统一标识身份隐替机制,将用户身份认证所需的标识分离存储在各个实体上,通过标识的隐藏、替换和更新对用户敏感信息进行防护,其具体步骤如下:
第一步,用户使用其与家乡服务器共享的密钥K加密UID信息,得到密文E(K, UID),传送给接入服务器,接入服务器再传送给本地服务器;
第二步,本地服务器将密文E(K, UID)传输给家乡服务器,并且家乡服务器使用自己的私钥Khs解密E(K, UID),得到用户的真实身份UID;
第三步,家乡服务器秘密选择一个随机数r,之后使用与终端共享的密钥K加密,将密文E(K, r)随同其它消息一起发送给终端用户;
第四步,终端将E(K, r)解密,得到r,然后用于与接入服务器共享的密钥KMA加密,将密文E(KMA, r)发送给接入服务器;
第五步,接入服务器将E(KMA, r)解密,得到r,然后计算h(r),将h(r)随同其他消息一起发送给本地服务器;
第六步,本地服务器验证h(r),因为只有合法的接入服务器才能从E (KMA, r)中得到正确的r,从而认证接入服务器的合法身份,将会话密钥PMK加密E(r, PMK)随同其他消息一起发给接入服务器;
第七步,接入服务器解密E(r, PMK),得到会话密钥。
本发明与现有技术相比,其显著优点:
首先,本发明改变了现有技术中不同网络对同一用户同时维护多套标识的状况,用户只需使用一套标识就能接入所需的网络,大大降低了维护用户多套标识的各种开销。
其次在本发明中,对用户真实身份UID使用密钥加密传输,可有效防护用户敏感信息在网络中的泄露;
另外本发明增加对接入端的身份认证,通过用户发送的E(KMA,r)对接入端进行认证,只有合法的接入端才能正确解密,有效防止本地服务器和接入服务器之间的网络监听,解决了接入端假冒攻击和用户假冒攻击;最后通过随机数提高会话密钥的机密性。
附图说明
图1是本发明的统一标识隐替机制模型图
图2是本发明的异构无线融合网络统一认证协议流程图
具体实施方式
下面结合附图对本发明作进一步详细描述。
用户引入身份标识的概念,应用身份隐替机制实现各种网络终端的统一接入,临时身份标识作为用户真实身份的掩护。接入认证过程包括4个认证实体:用户终端,接入服务器,本地服务器和家乡服务器,将用户终端的IP地址作为其地址标识,分别定义用户在各实体上的身份标识:UID(User Identity),AID(Access Network Identity),LID(Local Realm Identity),HID(Home Identity)。将用户身份认证所需的标识分离存储在各个实体上,通过标识的隐藏、替换和更新提高用户敏感信息的安全防护能力。
身份隐替机制包括用户的注册、用户的接入认证、认证成功后标识的分发,映射关系的存储,如图1所示。
所述的身份隐替机制,其映射模型为:用户首先发送认证请求,将加密后的UID传至各实体服务器进行注册认证;注册成功后,各实体服务器会分配相应的标识,并保留对应的映射关系,最终每个用户都拥有一套这样的身份标识。家乡服务器存储UID,分配HID,建立UID和HID的映射关系;本地服务器存储HID,分配LID,建立HID和LID的映射关系;接入服务器存储LID,分配AID,建立LID和AID的映射关系;用户终端存储AID,建立UID和AID的映射关系。在通信过程中,采用身份标识分离替换的策略,实现对用户真实身份的隐藏。IP地址只担当寻址的角色,实现了标识的分离使用。
针对3G移动通信系统的认证与密钥协商协议中存在的问题进行改进,建立异构无线融合网络基于身份隐替机制的协议,统一接入认证方案。融合网络中改进后的认证协议如图2所示。
基于接入服务器和用户之间共享密钥KMA的假设,r为至少是l28 bit的随机数,K是家乡服务器与用户之间共享的密钥,KMA是接入网络和用户之间共享的密钥,Khs是家乡服务器的私钥。E(K, r)是以K为密钥加密随机数r;E(KMA, r)是以KMA为密钥加密随机数r;E(K, UID)是以K为密钥加密UID;h(r)是随机数r的散列值,AUTN是完整性令牌。
具体协议认证步骤如下:
第一步,用户使用其与家乡服务器共享的密钥K加密UID信息,得到密文E(K, UID),传送给接入服务器,接入服务器再传送给本地服务器;
第二步,本地服务器将密文E(K, UID)传输给家乡服务器,并且家乡服务器使用自己的私钥Khs解密E(K, UID),得到用户的真实身份UID;
第三步,家乡服务器秘密选择一个随机数r,之后使用与终端共享的密钥K加密,将密文E(K, r)随同其它消息一起发送给终端用户;
第四步,终端将E(K, r)解密,得到r,然后用于与接入服务器共享的密钥KMA加密,将密文E(KMA, r)发送给接入服务器;
第五步,接入服务器将E(KMA, r)解密,得到r,然后计算h (r),将h(r)随同其他消息一起发送给本地服务器;
第六步,本地服务器验证h(r),因为只有合法的接入服务器才能从E (KMA, r)中得到正确的r,从而认证接入服务器的合法身份,将会话密钥PMK加密E(r, PMK)随同其他消息一起发给接入服务器;
第七步,接入服务器解密E(r, PMK),得到会话密钥。由于因为只有合法的接入端才能得到正确的r,因此可以保证会话密钥不被窃听。
在该协议中,首先对用户真实身份UID使用密钥加密传输,避免用户真实身份信息的泄漏;其次增加对接入端的身份认证。通过用户发送的E(KMA, r)对接入端进行认证,只有合法的接入端才能正确解密,有效防止本地服务器和接入服务器之间的网络监听,解决了接入端假冒攻击和用户假冒攻击;最后通过随机数提高会话密钥的机密性。
Claims (2)
1.一种基于身份隐替机制的无线异构网络统一接入认证方法,该方法基于用户、位置、寻址信息进行分离,创建统一的用户标识,构建完备的统一标识身份隐替机制,将用户身份认证所需的标识分离存储在各个实体上,其特征在于具体步骤如下:
第一步,用户使用其与家乡服务器共享的密钥K加密UID信息,得到密文E(K, UID),传送给接入服务器,接入服务器再传送给本地服务器;
第二步,本地服务器将密文E(K, UID)传输给家乡服务器,并且家乡服务器使用自己的私钥Khs解密E(K, UID),得到用户的真实身份UID;
第三步,家乡服务器秘密选择一个随机数r,之后使用与终端共享的密钥K加密,将密文E(K, r)随同其它消息一起发送给终端用户;
第四步,终端将E(K, r)解密,得到r,然后用于与接入服务器共享的密钥KMA加密,将密文E(KMA, r)发送给接入服务器;
第五步,接入服务器将E(KMA, r)解密,得到r,然后计算h(r),将h(r)随同其他消息一起发送给本地服务器;
第六步,本地服务器验证h(r),认证接入服务器的合法身份,将会话密钥PMK加密E(r, PMK)随同其他消息一起发给接入服务器;
第七步,接入服务器解密E(r, PMK),得到会话密钥。
2.根据权利要求1所述的方法,其特征在于所述的身份隐替机制,其映射模型为:用户首先发送认证请求,将加密后的UID传至各实体服务器进行注册认证;注册成功后,各实体服务器分配相应的标识,并建立对应的映射关系,其中,家乡服务器存储UID,分配HID,建立UID和HID的映射关系;本地服务器存储HID,分配LID,建立HID和LID的映射关系;接入服务器存储LID,分配AID,建立LID和AID的映射关系;用户终端存储AID,建立UID和AID的映射关系。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310039363.1A CN103096318A (zh) | 2013-02-01 | 2013-02-01 | 一种基于身份隐替机制的无线异构网络统一接入认证方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310039363.1A CN103096318A (zh) | 2013-02-01 | 2013-02-01 | 一种基于身份隐替机制的无线异构网络统一接入认证方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN103096318A true CN103096318A (zh) | 2013-05-08 |
Family
ID=48208333
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201310039363.1A Pending CN103096318A (zh) | 2013-02-01 | 2013-02-01 | 一种基于身份隐替机制的无线异构网络统一接入认证方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103096318A (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2016086490A1 (zh) * | 2014-12-01 | 2016-06-09 | 公安部第三研究所 | 基于密钥分散运算实现网络电子身份标识信息保护的方法 |
| WO2018046017A1 (zh) * | 2016-09-12 | 2018-03-15 | 中国移动通信有限公司研究院 | 信息处理方法、装置、电子设备及计算机存储介质 |
| CN113543119A (zh) * | 2021-06-07 | 2021-10-22 | 中国联合网络通信集团有限公司 | 标识符的获取方法和统一数据管理实体、终端 |
-
2013
- 2013-02-01 CN CN201310039363.1A patent/CN103096318A/zh active Pending
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2016086490A1 (zh) * | 2014-12-01 | 2016-06-09 | 公安部第三研究所 | 基于密钥分散运算实现网络电子身份标识信息保护的方法 |
| US10700858B2 (en) | 2014-12-01 | 2020-06-30 | The Third Institute Of The Ministry Of Public Security | Method for realizing network electronic identity identification information protection based on key dispersion calculation |
| US10972264B2 (en) | 2014-12-01 | 2021-04-06 | The Third Institute Of The Ministry Of Public Security | Method for realizing network electronic identity identification information protection based on key dispersion calculation |
| WO2018046017A1 (zh) * | 2016-09-12 | 2018-03-15 | 中国移动通信有限公司研究院 | 信息处理方法、装置、电子设备及计算机存储介质 |
| CN113543119A (zh) * | 2021-06-07 | 2021-10-22 | 中国联合网络通信集团有限公司 | 标识符的获取方法和统一数据管理实体、终端 |
| CN113543119B (zh) * | 2021-06-07 | 2023-10-24 | 中国联合网络通信集团有限公司 | 标识符的获取方法和统一数据管理实体、终端 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109918878B (zh) | 一种基于区块链的工业物联网设备身份认证及安全交互方法 | |
| CN101867530B (zh) | 基于虚拟机的物联网网关系统及数据交互方法 | |
| CN101119206B (zh) | 基于标识的一体化网络终端统一接入控制方法 | |
| CN105100112B (zh) | 基于云存储的rfid群组标签所有权转移方法 | |
| CN101406021B (zh) | 基于sim的认证 | |
| CN101969638B (zh) | 一种移动通信中对imsi进行保护的方法 | |
| CN102647394B (zh) | 路由设备身份认证方法及装置 | |
| CN105610706A (zh) | 一种面向物联网控制系统的智能网关平台 | |
| CN103699920A (zh) | 基于椭圆曲线的射频识别双向认证方法 | |
| CN102202299A (zh) | 一种基于3g/b3g的端到端语音加密系统的实现方法 | |
| CN104065485A (zh) | 电网调度移动平台安全保障管控方法 | |
| CN101641935A (zh) | 配电系统安全接入通信系统和方法 | |
| WO2018161862A1 (zh) | 私钥生成方法、设备以及系统 | |
| CN109617875A (zh) | 一种终端通信网的安全接入平台及其实现方法 | |
| CN104883372A (zh) | 一种基于无线自组织网的防欺骗和抗攻击的数据传输方法 | |
| Goswami et al. | Security of IoT in 5G cellular networks: A review of current status, challenges and future directions | |
| CN108833113A (zh) | 一种基于雾计算的增强通讯安全的认证方法及系统 | |
| CN101296107B (zh) | 通信网络中基于身份标识加密技术的安全通信方法及装置 | |
| CN106789845A (zh) | 一种网络数据安全传输的方法 | |
| CN103460669B (zh) | 用于现场设备数据通信的密码保护的方法和通信装置 | |
| CN103096318A (zh) | 一种基于身份隐替机制的无线异构网络统一接入认证方法 | |
| CN100544247C (zh) | 安全能力协商方法 | |
| CN103188228A (zh) | 一种实现端到端安全防护的方法、安全网关及系统 | |
| CN103354637A (zh) | 一种物联网终端m2m通信加密方法 | |
| CN102833747A (zh) | 分离机制移动性管理系统实现接入认证的密钥分发方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20130508 |