CN105187398B - 一种身份认证识别方法 - Google Patents

Abstract

本发明提供了一种身份认证识别方法，该方法包括：通过用户和主机的属性生成网络访问ID，移动设备与网关设备进行双向认证，并且采用定时认证的机制以及切换访问，实现移动设备跨子网认证。本发明提出的方法保证移动设备和网络之间存在一个互信的环境。支持移动设备跨子网认证，从而能够支持主机的可移动性。

Description

一种身份认证识别方法

技术领域

本发明涉及网络安全，特别涉及一种身份认证识别方法。

背景技术

目前网络中不断出现病毒、木马和各种恶意入侵等行为，严重影响了网络的正常运行，使网络处于不可控状态。一个可信的网络首先要保证终端结点和网络都应该被保护，防止欺骗或者非法访问的发生。网络访问认证是保证网络安全的最基本的安全机制，它是保护网络安全的第一道屏障。现有技术在网络访问控制方面具有良好的灵活性和可扩展性，但是这些方法主要是单向认证，并且需要更多的存储空间。没有保证认证的持续性。

发明内容

为解决上述现有技术所存在的问题，本发明提出了一种身份认证识别方法，包括：

通过用户和主机的属性生成网络访问ID，移动设备与网关设备进行双向认证，并且采用定时认证的机制以及切换访问，实现移动设备跨子网认证。

优选地，所述通过用户和主机的属性生成网络访问ID之前，还包括：

将网络划分为多个子网，每个子网包含网关设备和认证服务器，根据移动设备和用户属性来生成的移动设备ID，所述移动设备的属性包含设备类型、设备制作商和设备序列号；用户属性主要有身份信息；将移动设备的属性和用户身份属性连接起来，采用散列算法生成移动设备设备ID，即移动设备用户ID＝H(A1‖A2‖…‖An‖UID)，其中A1，A2，…，An为移动设备的属性，UID为用户的身份信息，H为单向散列函数；网络根据移动设备ID，分配一个唯一的移动设备访问ID，移动设备访问ID并包含所在子网信息；

在访问网络之前，移动设备用户将需要认证的信息通过安全信道传送给认证服务器，或直接到认证服务器注册，注册过程包括：

(1)移动设备用户向认证服务器提供移动设备的属性和用户的身份信息；

(2)认证服务器根据移动设备的属性和用户的身份信息，用散列算法生成唯一的移动设备用户ID，认证服务器随机产生唯一的移动设备访问ID和双方共有主密钥；移动设备访问ID含有所在子网的标识信息，与移动设备用户ID一一对应；认证服务器和网关设备保存移动设备访问ID的散列值；

(3)认证服务器将移动设备访问ID和共有主密钥传送给移动设备用户。

优选地，所述移动设备与网关设备进行双向认证，进一步包括如下过程：

(1)移动设备向网关设备发出请求，移动设备生成一个握手随机数N1，并通过异或计算S＝H(UID)⊕N1，将S和N1传送给网关设备；

(2)网关设备接到认证请求后，首先查找H(UID)，并计算H(UID)⊕N1检验是否等于接收到的S，如果没有找到，并且该移动设备并未从其他子网移动到该子网，则去顶用户没有注册或者是非法用户，认证失败，如果找到，网关设备向移动设备发送消息H(UID)⊕N1‖N2，其中N2是网关设备生成的握手随机数；

(3)移动设备向网关设备阶段返回{H(UID)⊕N1‖N2‖EKM(H(移动设备用户ID)‖N4))}，所述EKM()是用共有密码加密移动设备用户ID的散列函数和握手随机数N4；

(4)网关设备向认证服务器返回{H(UID)⊕N1‖N2‖EKM(H(移动设备用户ID)‖N4))}，网关设备将移动设备的认证信息转发到认证服务器查询用户信息；

(5)认证服务器向网关设备返回{H(UID)⊕N1‖N2‖EKM(H(移动设备用户ID)‖N4+1‖KS))}，即认证服务器根据接收到的消息，根据移动设备访问ID从认证数据库的列表中查找出其对应的移动设备用户标识身份，认证通过后将握手随机数N4加1，并随机产生一个临时会话密钥KS；

(6)网关设备向移动设备阶段返回{H(UID)⊕N1‖N2‖EKM(N4+1‖N5‖KS)}，即网关设备从认证服务器得到认证通过后，将部分消息内容加上一个握手随机数N5传给移动设备，完成了移动设备对网关设备的认证，网关设备同时也加上握手随机数N5，等待移动设备应答，以便对移动设备进行认证；

(7)移动设备向网关设备返回H(UID)‖EKS(N5+1)，即移动设备采用会话密钥KS加密N5+1传给网关设备，完成双方的相互认证；

在访问认证已经完成的随后通信过程中，移动设备采用会话密钥加密数据。

优选地，所述采用定时认证的机制以及切换访问，实现移动设备跨子网认证，进一步包括：

网关设备定时发起认证会话，移动设备对会话进行正确应答；

网关设备向移动设备返回H(UID)‖EKS(N6)，即网关设备用EKS会话密钥加密N6进行询问；

移动设备向网关设备返回H(UID)‖EKS(N6+1)，即移动设备解密N6后，再进行一个变换即N6+1，用会话密钥加密后进行应答，如果应答不正确，网关设备将切断网络连接；

并且，若网关设备不能查询到该移动设备的访问ID，则确定该移动设备来自另外一个子网，根据访问ID命名格式获取移动设备的注册子网，这时，网关设备向移动设备注册子网的认证服务器发送认证消息。

本发明相比现有技术，具有以下优点：

本发明提出的方法，保证移动设备和网络之间存在一个互信的环境。支持移动设备跨子网认证，从而能够支持主机的可移动性。

附图说明

图1是根据本发明实施例的身份认证识别方法的流程图。

具体实施方式

下文与图示本发明原理的附图一起提供对本发明一个或者多个实施例的详细描述。结合这样的实施例描述本发明，但是本发明不限于任何实施例。本发明的范围仅由权利要求书限定，并且本发明涵盖诸多替代、修改和等同物。在下文描述中阐述诸多具体细节以便提供对本发明的透彻理解。出于示例的目的而提供这些细节，并且无这些具体细节中的一些或者所有细节也可以根据权利要求书实现本发明。

本发明的一方面提供了一种身份认证识别方法。图1是根据本发明实施例的身份认证识别方法流程图。本发明的移动设备安全访问认证方法，通过关联主机的属性和用户属性生成网络访问ID，移动设备使用访问ID与网关设备进行双向认证，阻止恶意用户访问和使用网络，在访问之后，网络采用定时认证的机制来保证认证的连续性。该方法保证移动设备和网络之间存在一个互信的环境。另外该协议采用切换访问的方法，支持移动设备跨子网认证，从而能够支持主机的移动性。

本发明涉及三个实体，它们分别是移动设备、网关设备和认证服务器。为了支持终端的移动快速访问，网络将划分为多个子网，每个子网包含网关设备和认证服务器。认证方法由三个部分组成，即注册过程、认证过程和移动设备跨子网切换过程。

移动设备ID是根据移动设备和用户属性来生成的，这样关联的目的是保证对设备和用户具有可控性。移动设备的属性如设备类型、设备制作商和设备序列号等。用户属性主要有身份信息，如身份证号。将移动设备的属性和用户身份属性连接起来，采用散列算法生成移动设备设备ID。假设移动设备的属性为A1，A2，…，An，用户的身份信息为UID，那么移动设备ID的生成方法如下：

移动设备用户ID＝H(A1‖A2‖…‖An‖UID)

其中H为单向散列函数。网络将根据移动设备ID，分配一个唯一的移动设备访问ID，移动设备访问ID并包含所在子网信息。

移动设备要访问这个网络，事先必须到认证服务器进行注册，移动设备用户将需要认证的信息通过安全信道传送给认证服务器，也可以直接到认证服务器注册。注册过程需要生成移动设备访问ID和双方共有主密钥。

(1)移动设备至认证服务器阶段：移动设备用户向认证服务器提供移动设备的属性和用户的身份信息，设备的属性包括设备类型、生产制造商、产品序列号等。

(2)认证服务器处理阶段：认证服务器根据移动设备的一些属性和用户的身份信息，用散列算法生成唯一的移动设备用户ID，认证服务器随机产生唯一的移动设备访问ID和双方共有主密钥。移动设备访问ID含有所在子网的标识信息，与移动设备用户ID一一对应。认证服务器和网关设备保存移动设备访问ID的散列值。

(3)认证服务器至移动设备阶段：认证服务器将移动设备访问ID和共有主密钥传送给移动设备用户。

认证过程是在移动设备、网关设备和认证服务器之间进行消息的传递过程：

(1)移动设备至网关设备阶段：移动设备向网关设备发出请求，移动设备生成一个握手随机数N1，并通过异或计算S＝H(UID)⊕N1，将S和N1传送给网关设备。

(2)网关设备至移动设备阶段：网关设备接到认证请求后，首先查找H(UID)，并计算H(UID)⊕N1检验是否等于接收到的S，如果没有找到，有两种可能，一是该移动设备从其他子网移动到该子网，下文将讨论，二是该用户没有注册或者是非法用户，这时认证失败，否则，网关设备向移动设备发送消息：H(UID)⊕N1‖N2，其中N2是网关设备生成的握手随机数。

(3)移动设备至网关设备阶段：{H(UID)⊕N1‖N2‖EKM(H(移动设备用户ID)‖N4))}，该消息前面部分与第二个消息一致，表示该消息移动设备应答网关设备，后面部分EKM()是用共有密码加密移动设备用户ID的散列函数和握手随机数N4。

(4)网关设备至认证服务器阶段：{H(UID)⊕N1‖N2‖EKM(H(移动设备用户ID)‖N4))}，网关设备将移动设备的认证信息转发到认证服务器查询用户信息。

(5)认证服务器至网关设备阶段：{H(UID)⊕N1‖N2‖EKM(H(移动设备用户ID)‖N4+1‖KS))}，认证服务器根据接收到消息，根据移动设备访问ID从认证数据库的列表中查找出其对应的移动设备用户标识身份。认证通过后将握手随机数N4加1，并随机产生一个临时会话密钥KS。握手随机数N4加1是应答了消息(4)的询问。

(6)网关设备至移动设备阶段：{H(UID)⊕N1‖N2‖EKM(N4+1‖N5‖KS)}，网关设备从认证服务器得到认证通过后，将部分消息内容加上一个握手随机数N5传给移动设备，N4+1是应答消息4，完成了移动设备对网关设备的认证，网关设备同时也加上握手随机数N5，等待移动设备应答，以便对移动设备进行认证。

(7)移动设备至网关设备阶段：H(UID)‖EKS(N5+1)，移动设备采用会话密钥KS加密N5+1传给网关设备，完成了双方的相互认证。

到这里为止，对移动设备的访问认证已经完成。在随后的通信过程中，移动设备将采用会话密钥加密数据。

为了保证移动设备的可信性，网关设备定时发起认证会话，移动设备需要对会话进行正确应答。这个过程如(8)和(9)，如果应答不正确，网关设备将切断网络连接。

(8)网关设备至移动设备：H(UID)‖EKS(N6)，网关设备用EKS会话密钥加密N6进行询问。

(9)移动设备至网关设备：H(UID)‖EKS(N6+1)，移动设备解密N6后，再进行一个变换(如N6+1)，用会话密钥加密后进行应答。

所述切换过程用于支持设备的移动性。移动设备可能从一个子网跨越另一个子网，它注册所在的子网与访问所在的子网可能不一致。移动设备跨子网访问时，网关设备不能查询到该移动设备的访问ID，则认为该移动设备可能来自另外一个子网，根据访问ID命名格式，可以知道移动设备的注册子网，这时，网关设备向移动设备注册子网的认证服务器发送认证消息。

综上所述，本发明提出的方法，保证移动设备和网络之间存在一个互信的环境。支持移动设备跨子网认证，从而能够支持主机的可移动性。

显然，本领域的技术人员应该理解，上述的本发明的各模块或各步骤可以用通用的计算系统来实现，它们可以集中在单个的计算系统上，或者分布在多个计算系统所组成的网络上，可选地，它们可以用计算系统可执行的程序代码来实现，从而，可以将它们存储在存储系统中由计算系统来执行。这样，本发明不限制于任何特定的硬件和软件结合。

应当理解的是，本发明的上述具体实施方式仅仅用于示例性说明或解释本发明的原理，而不构成对本发明的限制。因此，在不偏离本发明的精神和范围的情况下所做的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。此外，本发明所附权利要求旨在涵盖落入所附权利要求范围和边界、或者这种范围和边界的等同形式内的全部变化和修改例。

Claims (1)

1.一种身份认证识别方法，其特征在于，包括：

通过用户和主机的属性生成网络访问ID，移动设备与网关设备进行双向认证，并且采用定时认证的机制以及切换访问，实现移动设备跨子网认证；

所述通过用户和主机的属性生成网络访问ID之前，还包括：

将网络划分为多个子网，每个子网包含网关设备和认证服务器，根据移动设备和用户属性来生成的移动设备用户ID，所述移动设备的属性包含设备类型、设备制作商和设备序列号；用户属性包括身份信息；将移动设备的属性和用户身份属性连接起来，采用散列算法生成移动设备用户ID，即移动设备用户ID＝H(A1‖A2‖…‖An‖UID)，其中A1，A2，…，An为移动设备的属性，UID为用户的身份信息，H为单向散列函数；网络根据移动设备用户ID，分配一个唯一的移动设备访问ID，移动设备访问ID并包含所在子网信息；

在访问网络之前，移动设备用户将需要认证的信息通过安全信道传送给认证服务器，或直接到认证服务器注册，注册过程包括：

(1)移动设备用户向认证服务器提供移动设备的属性和用户的身份信息；

(2)认证服务器根据移动设备的属性和用户的身份信息，用散列算法生成唯一的移动设备用户ID，认证服务器随机产生唯一的移动设备访问ID和双方共有主密钥；移动设备访问ID含有所在子网的标识信息，与移动设备用户ID一一对应；认证服务器和网关设备保存移动设备访问ID的散列值；

(3)认证服务器将移动设备访问ID和共有主密钥传送给移动设备用户。