CN111817854A - 一种基于无中心标识映射同步管理的安全认证方法及系统 - Google Patents
一种基于无中心标识映射同步管理的安全认证方法及系统 Download PDFInfo
- Publication number
- CN111817854A CN111817854A CN202010500468.2A CN202010500468A CN111817854A CN 111817854 A CN111817854 A CN 111817854A CN 202010500468 A CN202010500468 A CN 202010500468A CN 111817854 A CN111817854 A CN 111817854A
- Authority
- CN
- China
- Prior art keywords
- authentication
- security
- identification
- message
- terminal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0838—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
- H04L9/0847—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving identity based encryption [IBE] schemes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/30—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
- H04L9/3066—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy involving algebraic varieties, e.g. elliptic or hyper-elliptic curves
- H04L9/3073—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy involving algebraic varieties, e.g. elliptic or hyper-elliptic curves involving pairings, e.g. identity based encryption [IBE], bilinear mappings or bilinear pairings, e.g. Weil or Tate pairing
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Theoretical Computer Science (AREA)
- Mathematical Physics (AREA)
- Physics & Mathematics (AREA)
- Pure & Applied Mathematics (AREA)
- Mathematical Optimization (AREA)
- Computing Systems (AREA)
- Mathematical Analysis (AREA)
- General Physics & Mathematics (AREA)
- Algebra (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及信息安全技术领域,本发明公开了一种基于无中心标识映射同步管理的安全认证方法及系统,该方法包括IBE安全基础设施部署、安全标识认证、报文安全防护和标识映射同步管理,其中IBE安全基础设施部署将IBE安全基础设施以公共库的形式部署于标识网设备上,安全标识认证基于安全接入协议和IBE安全基础设施提供的应用程序接口,完成终端安全标识认证流程,接入路由器基于安全标识认证的结果对终端业务报文做准入控制,标识映射同步管理基于安全标识认证的结果,完成终端HID与接入路由器RID的安全自绑定,支持接入路由器间分布式标识映射自动同步。本发明可解决现有标识网叠加式安全、集中式标识映射管理和转发层缺乏报文源身份鉴别等种种问题。
Description
技术领域
本发明涉及信息安全技术领域,尤其涉及一种基于无中心标识映射同步管理的安全认证方法及系统。
背景技术
标识网是一种身份、位置分离的新型网络,具有用户群体相对封闭、机动性和对抗性强、以及网络可用性要求高等特点,其最初目的是为解决国产网络对标准TCP/IP协议栈的根本依赖和限制。在标识网中应用部署常采用集中式的标识映射服务器管理模式,且安全认证和标地分离管控没有建立有机耦合关系,由此带来以下问题:
1)集中式的标识映射服务器在抗毁性上存在短板,为应对网络规模化建设时的分布式、层次化部署又存在多级管理、效率不高等问题;
2)安全认证与标地管理没有建立有机结合,没有提供一套精简、统一的安全认证体制,叠加式的安全设计存在安全隐患;
3)常见的安全认证机制主要瞄准控制层的身份认证,未考虑转发层可能存在的数据包源身份伪造、细粒度管控等问题,故而认证机制与转发层的数据包身份真实性保护机制缺乏联动。
军事、金融、政府办公及企业重要内网等典型网络基础设施,对网络安全性、智能管控、专有协议等具有突出要求。标识网作为目前一个较前沿的网络技术,其本意是为用户提供基于真实身份、用户网络空间隔离的通信体制,但在实际组网部署时却面临叠加式安全漏洞、管控开销大等方面的实际组网部署、建设问题。
发明内容
为了解决上述问题,本发明提出一种基于无中心标识映射同步管理的安全认证方法及系统,终端一次接入即可触发完成分布式的安全可信标识映射同步和转发层对业务报文源身份的合法校验,实现标识网对高安全、智能化管理等方面的需求。本发明利用IBE(Identity Based Encryption,基于身份的加密)身份标识即公钥的特性,设计具有自主知识产权的高安全接入控制、转发层身份鉴别和分布式的标识映射同步管理技术。本发明以可编程功能组件的形式部署于终端、接入路由器和认证服务器上,易于在现有标识网系统设备上部署,工程可实施性强。
本发明的一种基于无中心标识映射同步管理的安全认证方法,包括:
IBE安全基础设施部署:将IBE安全基础设施以公共库的形式部署于标识网设备上,提供IBE密钥注入、数字签名和验签、摘要计算以及加解密接口;
安全标识认证:基于安全接入协议和所述IBE安全基础设施提供的应用程序接口,完成终端安全标识认证流程;
报文安全防护:接入路由器基于所述安全标识认证的结果对终端业务报文做准入控制,基于IP选项嵌入签名,以确保终端业务报文的源身份合法性;
标识映射同步管理:基于所述安全标识认证的结果,完成终端HID(HostIdentity,主机标识)与接入路由器RID(RouterIdentity,路由器标识)的安全自绑定,通过时间戳嵌入和数字签名保护,支持接入路由器间分布式标识映射自动同步。
进一步的,所述安全标识认证的主体流程包括:
安全认证:终端接入网络后,基于离线分配的IBE安全密钥对发起安全标识认证,经接入路由器和认证服务器协议交互处理,完成认证入网;
认证维护:终端完成安全接入后,定时发送维护请求以维护安全认证全链的有效性,确保设备中途下线或宕机时网络能及时发现及处理;
认证状态变更:基于三方安全设备检测结果,主动修改终端的接入权限;所述三方安全设备包括基于终端业务行为的入侵检测系统和防火墙。
进一步的,所述安全认证包括以下步骤:
S1.接入路由器上配置认证服务器IP,定期在用户口发送路由器宣告,并使用路由器标识私钥对报文签名;
S2.终端收到接入路由器宣告,先验签确认路由器身份,随后产生认证请求报文并附加本次认证序号,采用终端标识私钥签名后发给接入路由器;
S3.接入路由器收到认证请求后,先验签和时间戳时效性判决,对合法报文在尾部附加接入路由器标识后二次签名,转发给认证服务器;
S4.认证服务器收到认证请求后,基于双重签名验证接入路由器和终端身份合法性,根据时间戳做时效性判决;基于终端标识匹配认证信息库来获取终端准入权限,对准入终端,生成随机数rs、构造认证质询报文发送给接入路由器,使用认证服务器标识私钥对报文签名;
S5.接入路由器收到认证质询后,通过终端标识取出终端MAC,在尾部附加接入路由器标识后二次签名,转发给终端;
S6.终端收到认证质询后,基于双重签名验证路由器和服务器身份合法性,做时间戳失效判决及序号匹配,鉴别通过后,封装认证质询确认报文并附加上随机数rs,使用终端标识私钥签名后发送给接入路由器;
S7.接入路由器收到认证质询确认后,先验签和时间戳时效性判决,对合法报文在尾部附加接入路由器标识后二次签名,发送给认证服务器;
S8.认证服务器收到接入路由器发送的质询确认后,基于双重签名验证接入路由器和终端身份合法性,根据时间戳做时效性判决,鉴别随机数rs后,构造认证应答报文并使用服务器标识私钥签名发给接入路由器;
S9.接入路由器收到认证应答后,先验签和时间戳时效性判决,将准入结果通知具有所述报文安全防护功能的报文安全防护模块,使用路由器标识二次签名后转发给终端;
S10.终端收到认证应答报文后,基于服务器、路由器双层签名验签、时间戳和序号判决报文合法性后,将准入结果通知所述报文安全防护模块,同时发送安全标识绑定消息给接入路由器;所述安全标识绑定消息包括终端标识、时间戳、有效时长和路由器标识,并使用终端身份标识签名;
S11.接入路由器收到安全标识绑定后,通知具有所述安全标识同步管理功能的安全标识同步管理模块。
进一步的,所述认证维护包括以下步骤:
S21.终端认证通过后,认证服务器开启针对终端的维护定时器,若在维护定时器内收到有效的终端维护请求,则复位该终端对应维护定时器;否则认证服务器认为终端下线,发送认证状态变更消息给该终端本次接入的接入路由器,路由器将此终端移出准入列表;
S22.接入路由器在认证维护过程中依然做中间转发节点和双重签名节点;
S23.终端认证通过后,开启维护请求定时器和安全绑定更新定时器;维护请求定时器超时则发送维护请求给接入路由器;终端对维护应答中路由器身份验签鉴别,安全绑定更新定时器超时后,重发标识绑定消息。
进一步的,所述报文安全防护在IPv4协议基础上,将用户源IP作为身份标识,基于源IP能够直接生成IBE公钥;在IP选项字段中,填入源端用自身私钥对数据包的签名,目的端和接入路由器能够根据源IP和签名值验证源端标识是否可信。
进一步的,接入路由器根据当前网络中路由器可达性信息,以标识映射安全同步协议完成HID和RID绑定关系到全网路由器的实时同步,所述标识映射安全同步协议包括:从终端收到安全标识绑定报文、从路由器收到安全标识同步请求报文和新邻居路由器上线。
进一步的,所述从终端收到安全标识绑定报文包括:
终端安全标识认证完成发送终端安全标识绑定报文给接入路由器;接入路由器在完成验签和时效性判决后,如果是有效报文,则根据当前路由表中可达的路由器列表,以单播或组播发给所有的在线路由器节点,目的IP为每台路由的RID,同时启动应答确认定时器,确保标识映射安全同步消息的可靠传输。
进一步的,所述从路由器收到安全标识同步请求报文包括:
路由器收到安全标识绑定报文后,对非送到本地的报文做传统的路由转发,对目的为本地的报文直接遍历其中的标识映射绑定单元列表,对其中每个绑定单元根据终端签名验证合法性,根据时间戳与本地存储该终端曾发送的最新绑定单元时间戳对比,对合法的更新时间戳绑定单元进行存储,并将HID到RID的绑定关系更新到本地标地分离转发表中。
进一步的,所述新邻居路由器上线包括:
针对网络建设部署新路由器情况,当路由器发现有直连新路由器上线时,会将本地现有的所有标识映射绑定单元一次性发给新上线邻居路由器,以对网络影响最小化的设计来实现中间路由器上线所必须的标识映射关系同步;其中新上线邻居路由器收到标识映射绑定同步请求消息的流程与路由器收到安全标识同步请求一致。
本发明的一种基于无中心标识映射同步管理的安全认证系统,包括:
IBE安全基础设施,所述IBE安全基础设施以公共库的形式部署于标识网设备上,提供IBE密钥注入、数字签名和验签、摘要计算以及加解密接口;
安全标识认证模块,所述安全标识认证模块基于安全接入协议和所述IBE安全基础设施提供的应用程序接口,完成终端安全标识认证流程;
报文安全防护模块,所述报文安全防护模块通过接入路由器实现,接入路由器基于所述安全标识认证模块的认证结果对终端业务报文做准入控制,基于IP选项嵌入签名,以确保终端业务报文的源身份合法性;
标识映射同步管理模块,所述标识映射同步管理模块基于所述安全标识认证模块的认证结果,完成终端HID与接入路由器RID的安全自绑定,通过时间戳嵌入和数字签名保护,支持接入路由器间分布式标识映射自动同步。
本发明的有益效果在于:
本发明创新性提出一种基于无中心标识映射同步管理的安全认证方法及系统,基于IBE的高安全认证、转控融合和标识映射分布式同步实现方法,不仅解决了现有标识网叠加式安全、集中式标识映射管理和转发层缺乏报文源身份鉴别等种种问题,其模块化程度高、可编程功能组件实施的机制可快速实现对现有标识网设备的升级改造,工程可实施程度很高,适用于军队、政企标识网对安全、智能化网络等要求高的网络场景。
本发明较现有标识网中的标识映射管理和安全认证具有以下优点:
1)基于IBE的安全标识认证方法无缝关联设备身份标识,避免了PKI存在的管理成本、难度等缺点,采用双重标识签名设计实现终端、路由器标识映射绑定的内生安全鉴别,同时将控制层的认证结果延伸到转发层,一次认证即可完成标识映射绑定、转控融合报文鉴别;
2)分布式的标识映射同步设计,流程精简,无需标识映射服务器部署即可高效、高安全完成标识网最核心的标识映射同步管理,极大增强了网络的冗余抗毁能力,其内生融入的安全设计也避免了传统叠加式安全设计可能引入的各种安全漏洞。
附图说明
图1安全认证系统总体框图;
图2安全标识认证协议帧封装示意图;
图3安全标识认证报文格式示意图;
图4安全标识认证协议主流程示意图;
图5IPv4报文头IP选项签名附加;
图6安全标识绑定报文格式示意图;
图7标识映射安全同步协议帧格式;
图8收终端安全标识绑定报文处理流程;
图9收路由器安全标识同步请求处理流程;
图10新邻居路由器上线安全标识同步流程;
图11主要设备新增功能模块接口示意图;
图12典型网络应用示意图。
具体实施方式
为了对本发明的技术特征、目的和效果有更加清楚的理解,现说明本发明的具体实施方式。应当理解,此处所描述的具体实施例仅用以解释本发明,并不用于限定本发明,即所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明的实施例,本领域技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本发明保护的范围。
本实施例提供了一种基于无中心标识映射同步管理的安全认证方法及系统,利用IBE(Identity Based Encryption,基于身份的加密)身份标识即公钥的特性,设计具有自主知识产权的高安全接入控制、转发层身份鉴别和分布式的标识映射同步管理技术,以可编程功能组件的形式部署于终端、接入路由器和认证服务器上,易于在现有标识网系统设备上部署,工程可实施性强。
本实施例的一种基于无中心标识映射同步管理的安全认证系统,如图1所示,包括IBE安全基础设施、安全标识认证模块、报文安全防护模块和标识映射同步管理模块,其中:
IBE安全基础设施以公共库的形式部署于标识网设备上,提供IBE密钥注入、数字签名和验签、摘要计算以及加解密接口;
安全标识认证模块基于安全接入协议和IBE安全基础设施提供的应用程序接口,完成终端安全标识认证流程;
报文安全防护模块通过接入路由器实现,接入路由器基于安全标识认证模块的认证结果对终端业务报文做准入控制,基于IP选项嵌入签名,以确保终端业务报文的源身份合法性;
入路由器RID的安全自绑定,通过时间戳嵌入和数字签名保护,支持接入路由器间分布式标识映射自动同步。
本实施例的一种基于无中心标识映射同步管理的安全认证方法,包括:
IBE安全基础设施部署:将IBE安全基础设施以公共库的形式部署于标识网设备上,提供IBE密钥注入、数字签名和验签、摘要计算以及加解密接口;
安全标识认证:基于安全接入协议和IBE安全基础设施提供的应用程序接口,完成终端安全标识认证流程;
报文安全防护:接入路由器基于安全标识认证的结果对终端业务报文做准入控制,基于IP选项嵌入签名,以确保终端业务报文的源身份合法性;
标识映射同步管理:基于安全标识认证的结果,完成终端HID与接入路由器RID的安全自绑定,通过时间戳嵌入和数字签名保护,支持接入路由器间分布式标识映射自动同步。
在本发明的一个优选实施例中,安全标识认证报文帧封装如图2所示,根据协议实体对等关系分别基于链路层和传输层传输。终端与接入路由器间协议基于以太网传输,Etype采用保留值0xA001;接入路由器与认证服务器间协议基于UDP传输,UDP端口采用保留值7000。
安全标识认证报文格式定义如图3所示,其中:
版本号:1字节,取值0x1;
消息类型:1字节,包括路由器宣告、认证请求、认证应答、安全绑定、认证质询、质询确认、维护请求、维护应答、认证状态变更、认证状态变更应答;
序号:4字节,认证发起时作为唯一标识,认证完成后以认证初始值递增;
时间戳:4字节,自1970年1月1日午夜开始的秒数;
长度:2字节,表示协议头后面的净荷长度。
在本发明的一个优选实施例中,如图4所示,安全标识认证的主体流程包括:
安全认证:终端接入网络后,基于离线分配的IBE安全密钥对发起安全标识认证,经接入路由器和认证服务器协议交互处理,完成认证入网;
认证维护:终端完成安全接入后,定时发送维护请求以维护安全认证全链的有效性,确保设备中途下线或宕机时网络能及时发现及处理;
认证状态变更:基于三方安全设备检测结果,主动修改终端的接入权限;三方安全设备包括基于终端业务行为的入侵检测系统和防火墙。
在本发明的一个优选实施例中,安全认证包括以下步骤:
S1.接入路由器上配置认证服务器IP,定期在用户口发送路由器宣告,并使用路由器标识私钥对报文签名;
S2.终端收到接入路由器宣告,先验签确认路由器身份,随后产生认证请求报文并附加本次认证序号,采用终端标识私钥签名后发给接入路由器;
S3.接入路由器收到认证请求后,先验签和时间戳时效性判决,对合法报文在尾部附加接入路由器标识后二次签名,转发给认证服务器;
S4.认证服务器收到认证请求后,基于双重签名验证接入路由器和终端身份合法性,根据时间戳做时效性判决;基于终端标识匹配认证信息库来获取终端准入权限,对准入终端,生成随机数rs、构造认证质询报文发送给接入路由器,使用认证服务器标识私钥对报文签名;
S5.接入路由器收到认证质询后,通过终端标识取出终端MAC,在尾部附加接入路由器标识后二次签名,转发给终端;
S6.终端收到认证质询后,基于双重签名验证路由器和服务器身份合法性,做时间戳失效判决及序号匹配,鉴别通过后,封装认证质询确认报文并附加上随机数rs,使用终端标识私钥签名后发送给接入路由器;
S7.接入路由器收到认证质询确认后,先验签和时间戳时效性判决,对合法报文在尾部附加接入路由器标识后二次签名,发送给认证服务器;
S8.认证服务器收到接入路由器发送的质询确认后,基于双重签名验证接入路由器和终端身份合法性,根据时间戳做时效性判决,鉴别随机数rs后,构造认证应答报文并使用服务器标识私钥签名发给接入路由器;
S9.接入路由器收到认证应答后,先验签和时间戳时效性判决,将准入结果通知具有报文安全防护功能的报文安全防护模块,使用路由器标识二次签名后转发给终端;
S10.终端收到认证应答报文后,基于服务器、路由器双层签名验签、时间戳和序号判决报文合法性后,将准入结果通知报文安全防护模块,同时发送安全标识绑定消息给接入路由器;安全标识绑定消息包括终端标识、时间戳、有效时长和路由器标识,并使用终端身份标识签名;
S11.接入路由器收到安全标识绑定后,通知具有安全标识同步管理功能的安全标识同步管理模块。
在本发明的一个优选实施例中,认证维护包括以下步骤:
S21.终端认证通过后,认证服务器开启针对终端的维护定时器,若在维护定时器内收到有效的终端维护请求,则复位该终端对应维护定时器;否则认证服务器认为终端下线,发送认证状态变更消息给该终端本次接入的接入路由器,路由器将此终端移出准入列表;
S22.接入路由器在认证维护过程中依然做中间转发节点和双重签名节点;
S23.终端认证通过后,开启维护请求定时器和安全绑定更新定时器;维护请求定时器超时则发送维护请求给接入路由器;终端对维护应答中路由器身份验签鉴别,安全绑定更新定时器超时后,重发标识绑定消息。
在本发明的一个优选实施例中,报文安全防护在IPv4协议基础上,将用户源IP作为身份标识,基于源IP能够直接生成IBE公钥。如图5所示,在IP选项字段中,填入源端用自身私钥对数据包的签名,目的端和接入路由器能够根据源IP和签名值验证源端标识是否可信。
在本发明的一个优选实施例中,报文安全身份验证工作在转发层,基于设备体系架构,可采用硬件FPGA或软件(Linux系统可基于NetFilter模块在PRE_ROUTING和LOCAL_OUT上注册收发钩子函数来做报文签名和验签、防护处理)实施,在此不作赘述。
在本发明的一个优选实施例中,终端安全标识认证完成后,发送安全标识绑定报文给接入路由器,如图6所示是该报文的示意图。
接入路由器收到该报文后,即可使用这段数据来自证明该接入路由器标识RID与终端标识HID的绑定关系。接入路由器根据当前网络中路由器可达性信息,以一种自主定义、流程精简的同步机制完成HID与RID绑定关系到全网路由器的实时同步,为便于说明,下面将此机制定义为标识映射安全同步协议。
标识映射安全同步协议承载与UDP的私有端口7001上,如图7所示,协议定义如下:
消息类型:1、标识映射同步请求;2、标识映射同步应答;
序号:4字节,作为每次同步请求与应答的一一对应;
时间戳:4字节,自1970年1月1日午夜开始的秒数;
长度:2字节,表示协议头后面的净荷长度。
在本发明的一个优选实施例中,标识映射安全同步主要分为以下三个阶段:
(1)从终端收到安全标识绑定报文
终端安全标识认证完成发送终端安全标识绑定报文给接入路由器;接入路由器在完成验签和时效性判决后,如果是有效报文,则根据当前路由表中可达的路由器列表,以单播或组播发给所有的在线路由器节点,目的IP为每台路由的RID,同时启动应答确认定时器,确保标识映射安全同步消息的可靠传输。
具体工作机理如图8所示的流程图述。
(2)从路由器收到安全标识同步请求报文
路由器收到安全标识绑定报文后,对非送到本地的报文做传统的路由转发,对目的为本地的报文直接遍历其中的标识映射绑定单元列表,对其中每个绑定单元根据终端签名验证合法性,根据时间戳与本地存储该终端曾发送的最新绑定单元时间戳对比,对合法的更新时间戳绑定单元进行存储,并将HID到RID的绑定关系更新到本地标地分离转发表中。
具体工作机理如图9所示的流程图描述。
(3)新邻居路由器上线
针对网络建设部署新路由器情况,当路由器发现有直连新路由器上线时,会将本地现有的所有标识映射绑定单元一次性发给新上线邻居路由器,以对网络影响最小化的设计来实现中间路由器上线所必须的标识映射关系同步;其中新上线邻居路由器收到标识映射绑定同步请求消息的流程与路由器收到安全标识同步请求一致。
发现有新上线邻居路由器的具体工作机理如图10所示的流程图描述。
此外,本实施例现提供本发明在典型网络中的应用示意:
如图11所示是基于本发明工作机制的设备功能模块接口分布。
下面以一个典型示意网络来说明安全标识绑定、报文防护过滤和标识映射分布式自动同步全过程,如图12所示:
(1)H1终端基于IBE标识密码能力完成与认证服务器的安全标识认证后,最终发送安全标识绑定报文给路由器R1,在绑定报文中申明H1-R1绑定关系、时间戳和存活时间,并以H1标识私钥进行签名;
(2)R1收到该安全标识绑定报文后,产生标识映射安全同步报文发送给网络中所有路由器;R1收到服务器的认证应答后,更新报文身份安全验证模块最终H1的准入状态;
(3)R1对收到H1的业务报文,基于报文身份安全模块确定该终端准入,并根据源IP(身份标识)来对IP选项签名进行验签,并根据验签结果确认报文源身份合法;
(4)R2~R5收到安全标识绑定报文后,提取其中的标识映射绑定单元,通过单元中中终端标识直接对H1签名进行验证,验证通过后根据时间戳比对本地H1标识绑定信息(不存在直接存储、存在且消息时间戳更新也覆盖记录),并根据有效时长设置老化定时器;
(5)图例中R5收到H2到H1的消息后,根据标识映射转发表提取H1绑定的RID,添加路由器侧IP头后,发送给R1。
以上所述仅是本发明的优选实施方式,应当理解本发明并非局限于本文所披露的形式,不应看作是对其他实施例的排除,而可用于各种其他组合、修改和环境,并能够在本文所述构想范围内,通过上述教导或相关领域的技术或知识进行改动。而本领域人员所进行的改动和变化不脱离本发明的精神和范围,则都应在本发明所附权利要求的保护范围内。
Claims (10)
1.一种基于无中心标识映射同步管理的安全认证方法,其特征在于,包括:
IBE安全基础设施部署:将IBE安全基础设施以公共库的形式部署于标识网设备上,提供IBE密钥注入、数字签名和验签、摘要计算以及加解密接口;
安全标识认证:基于安全接入协议和所述IBE安全基础设施提供的应用程序接口,完成终端安全标识认证流程;
报文安全防护:接入路由器基于所述安全标识认证的结果对终端业务报文做准入控制,基于IP选项嵌入签名,以确保终端业务报文的源身份合法性;
标识映射同步管理:基于所述安全标识认证的结果,完成终端HID与接入路由器RID的安全自绑定,通过时间戳嵌入和数字签名保护,支持接入路由器间分布式标识映射自动同步。
2.根据权利要求1所述的一种基于无中心标识映射同步管理的安全认证方法,其特征在于,所述安全标识认证的主体流程包括:
安全认证:终端接入网络后,基于离线分配的IBE安全密钥对发起安全标识认证,经接入路由器和认证服务器协议交互处理,完成认证入网;
认证维护:终端完成安全接入后,定时发送维护请求以维护安全认证全链的有效性,确保设备中途下线或宕机时网络能及时发现及处理;
认证状态变更:基于三方安全设备检测结果,主动修改终端的接入权限;所述三方安全设备包括基于终端业务行为的入侵检测系统和防火墙。
3.根据权利要求2所述的一种基于无中心标识映射同步管理的安全认证方法,其特征在于,所述安全认证包括以下步骤:
S1.接入路由器上配置认证服务器IP,定期在用户口发送路由器宣告,并使用路由器标识私钥对报文签名;
S2.终端收到接入路由器宣告,先验签确认路由器身份,随后产生认证请求报文并附加本次认证序号,采用终端标识私钥签名后发给接入路由器;
S3.接入路由器收到认证请求后,先验签和时间戳时效性判决,对合法报文在尾部附加接入路由器标识后二次签名,转发给认证服务器;
S4.认证服务器收到认证请求后,基于双重签名验证接入路由器和终端身份合法性,根据时间戳做时效性判决;基于终端标识匹配认证信息库来获取终端准入权限,对准入终端,生成随机数rs、构造认证质询报文发送给接入路由器,使用认证服务器标识私钥对报文签名;
S5.接入路由器收到认证质询后,通过终端标识取出终端MAC,在尾部附加接入路由器标识后二次签名,转发给终端;
S6.终端收到认证质询后,基于双重签名验证路由器和服务器身份合法性,做时间戳失效判决及序号匹配,鉴别通过后,封装认证质询确认报文并附加上随机数rs,使用终端标识私钥签名后发送给接入路由器;
S7.接入路由器收到认证质询确认后,先验签和时间戳时效性判决,对合法报文在尾部附加接入路由器标识后二次签名,发送给认证服务器;
S8.认证服务器收到接入路由器发送的质询确认后,基于双重签名验证接入路由器和终端身份合法性,根据时间戳做时效性判决,鉴别随机数rs后,构造认证应答报文并使用服务器标识私钥签名发给接入路由器;
S9.接入路由器收到认证应答后,先验签和时间戳时效性判决,将准入结果通知具有所述报文安全防护功能的报文安全防护模块,使用路由器标识二次签名后转发给终端;
S10.终端收到认证应答报文后,基于服务器、路由器双层签名验签、时间戳和序号判决报文合法性后,将准入结果通知所述报文安全防护模块,同时发送安全标识绑定消息给接入路由器;所述安全标识绑定消息包括终端标识、时间戳、有效时长和路由器标识,并使用终端身份标识签名;
S11.接入路由器收到安全标识绑定后,通知具有所述安全标识同步管理功能的安全标识同步管理模块。
4.根据权利要求2所述的一种基于无中心标识映射同步管理的安全认证方法,其特征在于,所述认证维护包括以下步骤:
S21.终端认证通过后,认证服务器开启针对终端的维护定时器,若在维护定时器内收到有效的终端维护请求,则复位该终端对应维护定时器;否则认证服务器认为终端下线,发送认证状态变更消息给该终端本次接入的接入路由器,路由器将此终端移出准入列表;
S22.接入路由器在认证维护过程中依然做中间转发节点和双重签名节点;
S23.终端认证通过后,开启维护请求定时器和安全绑定更新定时器;维护请求定时器超时则发送维护请求给接入路由器;终端对维护应答中路由器身份验签鉴别,安全绑定更新定时器超时后,重发标识绑定消息。
5.根据权利要求1所述的一种基于无中心标识映射同步管理的安全认证方法,其特征在于,所述报文安全防护在IPv4协议基础上,将用户源IP作为身份标识,基于源IP能够直接生成IBE公钥;在IP选项字段中,填入源端用自身私钥对数据包的签名,目的端和接入路由器能够根据源IP和签名值验证源端标识是否可信。
6.根据权利要求1所述的一种基于无中心标识映射同步管理的安全认证方法,其特征在于,接入路由器根据当前网络中路由器可达性信息,以标识映射安全同步协议完成HID和RID绑定关系到全网路由器的实时同步,所述标识映射安全同步协议包括:从终端收到安全标识绑定报文、从路由器收到安全标识同步请求报文和新邻居路由器上线。
7.根据权利要求6所述的一种基于无中心标识映射同步管理的安全认证方法,其特征在于,所述从终端收到安全标识绑定报文包括:
终端安全标识认证完成发送终端安全标识绑定报文给接入路由器;接入路由器在完成验签和时效性判决后,如果是有效报文,则根据当前路由表中可达的路由器列表,以单播或组播发给所有的在线路由器节点,目的IP为每台路由的RID,同时启动应答确认定时器,确保标识映射安全同步消息的可靠传输。
8.根据权利要求7所述的一种基于无中心标识映射同步管理的安全认证方法,其特征在于,所述从路由器收到安全标识同步请求报文包括:
路由器收到安全标识绑定报文后,对非送到本地的报文做传统的路由转发,对目的为本地的报文直接遍历其中的标识映射绑定单元列表,对其中每个绑定单元根据终端签名验证合法性,根据时间戳与本地存储该终端曾发送的最新绑定单元时间戳对比,对合法的更新时间戳绑定单元进行存储,并将HID到RID的绑定关系更新到本地标地分离转发表中。
9.根据权利要求8所述的一种基于无中心标识映射同步管理的安全认证方法,其特征在于,所述新邻居路由器上线包括:
针对网络建设部署新路由器情况,当路由器发现有直连新路由器上线时,会将本地现有的所有标识映射绑定单元一次性发给新上线邻居路由器,以对网络影响最小化的设计来实现中间路由器上线所必须的标识映射关系同步;其中新上线邻居路由器收到标识映射绑定同步请求消息的流程与路由器收到安全标识同步请求一致。
10.一种基于无中心标识映射同步管理的安全认证系统,其特征在于,包括:
IBE安全基础设施,所述IBE安全基础设施以公共库的形式部署于标识网设备上,提供IBE密钥注入、数字签名和验签、摘要计算以及加解密接口;
安全标识认证模块,所述安全标识认证模块基于安全接入协议和所述IBE安全基础设施提供的应用程序接口,完成终端安全标识认证流程;
报文安全防护模块,所述报文安全防护模块通过接入路由器实现,接入路由器基于所述安全标识认证模块的认证结果对终端业务报文做准入控制,基于IP选项嵌入签名,以确保终端业务报文的源身份合法性;
标识映射同步管理模块,所述标识映射同步管理模块基于所述安全标识认证模块的认证结果,完成终端HID与接入路由器RID的安全自绑定,通过时间戳嵌入和数字签名保护,支持接入路由器间分布式标识映射自动同步。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010500468.2A CN111817854B (zh) | 2020-06-04 | 2020-06-04 | 一种基于无中心标识映射同步管理的安全认证方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010500468.2A CN111817854B (zh) | 2020-06-04 | 2020-06-04 | 一种基于无中心标识映射同步管理的安全认证方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111817854A true CN111817854A (zh) | 2020-10-23 |
| CN111817854B CN111817854B (zh) | 2022-03-18 |
Family
ID=72848726
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010500468.2A Active CN111817854B (zh) | 2020-06-04 | 2020-06-04 | 一种基于无中心标识映射同步管理的安全认证方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111817854B (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113609518A (zh) * | 2021-06-18 | 2021-11-05 | 天津津航计算技术研究所 | 一种基于关联容器map的报文协议超时重发方法及系统 |
Citations (18)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101119206A (zh) * | 2007-09-13 | 2008-02-06 | 北京交通大学 | 基于标识的一体化网络终端统一接入控制方法 |
| CN101459698A (zh) * | 2007-12-14 | 2009-06-17 | 中国人民解放军信息工程大学 | 域内和域间的网络互连方法及其系统 |
| CN101754219A (zh) * | 2009-12-28 | 2010-06-23 | 中国人民解放军信息工程大学 | 标识分配和分离存储方法、标识替换传输方法及系统 |
| WO2010069617A1 (en) * | 2008-12-15 | 2010-06-24 | Telefonaktiebolaget L M Ericsson (Publ) | A key distribution scheme for networks of information |
| CN101800753A (zh) * | 2010-03-16 | 2010-08-11 | 中国电子科技集团公司第三十研究所 | 基于一体化网络安全服务架构的综合安全防护方法 |
| CN101951603A (zh) * | 2010-10-14 | 2011-01-19 | 中国电子科技集团公司第三十研究所 | 一种无线局域网接入控制方法及系统 |
| CN101959172A (zh) * | 2009-07-17 | 2011-01-26 | 中兴通讯股份有限公司 | Ngn中身份标识和位置分离的附着方法及系统 |
| CN102655475A (zh) * | 2012-04-17 | 2012-09-05 | 中国联合网络通信集团有限公司 | 移动通信切换方法、设备和系统 |
| CN102685712A (zh) * | 2011-03-09 | 2012-09-19 | 中兴通讯股份有限公司 | 一种身份位置分离网络中的映射服务器及其实现方法 |
| EP2533568A1 (en) * | 2010-03-08 | 2012-12-12 | ZTE Corporation | Method and system for terminal handover in wireless communication system |
| CN103139218A (zh) * | 2013-02-27 | 2013-06-05 | 石家庄铁道大学 | 分离机制网络中可信域间映射更新认证方法 |
| CN103167051A (zh) * | 2011-12-15 | 2013-06-19 | 中兴通讯股份有限公司 | 一种身份位置映射关系维护方法及系统 |
| CN104168564A (zh) * | 2014-07-02 | 2014-11-26 | 北京交通大学 | 基于gprs网络和一体化标识网络的认证方法和装置 |
| CN104506971A (zh) * | 2014-12-31 | 2015-04-08 | 绵阳芯联芯网络科技有限公司 | 基于分离映射机制的无源光网络移动漫游的实现方法 |
| CN106685979A (zh) * | 2017-01-09 | 2017-05-17 | 北京信息科技大学 | 基于STiP模型的安全终端标识及认证方法及系统 |
| CN109547470A (zh) * | 2018-12-20 | 2019-03-29 | 北京交通大学 | 保护网络空间安全的电子隔离墙方法、装置及系统 |
| CN109905348A (zh) * | 2017-12-07 | 2019-06-18 | 华为技术有限公司 | 端到端认证及密钥协商方法、装置及系统 |
| CN110876142A (zh) * | 2018-09-02 | 2020-03-10 | 中城智慧科技有限公司 | 一种基于标识的wifi认证方法 |
-
2020
- 2020-06-04 CN CN202010500468.2A patent/CN111817854B/zh active Active
Patent Citations (19)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101119206A (zh) * | 2007-09-13 | 2008-02-06 | 北京交通大学 | 基于标识的一体化网络终端统一接入控制方法 |
| CN101459698A (zh) * | 2007-12-14 | 2009-06-17 | 中国人民解放军信息工程大学 | 域内和域间的网络互连方法及其系统 |
| WO2010069617A1 (en) * | 2008-12-15 | 2010-06-24 | Telefonaktiebolaget L M Ericsson (Publ) | A key distribution scheme for networks of information |
| CN102318257A (zh) * | 2008-12-15 | 2012-01-11 | 瑞典爱立信有限公司 | 用于信息网络的密钥分发方案 |
| CN101959172A (zh) * | 2009-07-17 | 2011-01-26 | 中兴通讯股份有限公司 | Ngn中身份标识和位置分离的附着方法及系统 |
| CN101754219A (zh) * | 2009-12-28 | 2010-06-23 | 中国人民解放军信息工程大学 | 标识分配和分离存储方法、标识替换传输方法及系统 |
| EP2533568A1 (en) * | 2010-03-08 | 2012-12-12 | ZTE Corporation | Method and system for terminal handover in wireless communication system |
| CN101800753A (zh) * | 2010-03-16 | 2010-08-11 | 中国电子科技集团公司第三十研究所 | 基于一体化网络安全服务架构的综合安全防护方法 |
| CN101951603A (zh) * | 2010-10-14 | 2011-01-19 | 中国电子科技集团公司第三十研究所 | 一种无线局域网接入控制方法及系统 |
| CN102685712A (zh) * | 2011-03-09 | 2012-09-19 | 中兴通讯股份有限公司 | 一种身份位置分离网络中的映射服务器及其实现方法 |
| CN103167051A (zh) * | 2011-12-15 | 2013-06-19 | 中兴通讯股份有限公司 | 一种身份位置映射关系维护方法及系统 |
| CN102655475A (zh) * | 2012-04-17 | 2012-09-05 | 中国联合网络通信集团有限公司 | 移动通信切换方法、设备和系统 |
| CN103139218A (zh) * | 2013-02-27 | 2013-06-05 | 石家庄铁道大学 | 分离机制网络中可信域间映射更新认证方法 |
| CN104168564A (zh) * | 2014-07-02 | 2014-11-26 | 北京交通大学 | 基于gprs网络和一体化标识网络的认证方法和装置 |
| CN104506971A (zh) * | 2014-12-31 | 2015-04-08 | 绵阳芯联芯网络科技有限公司 | 基于分离映射机制的无源光网络移动漫游的实现方法 |
| CN106685979A (zh) * | 2017-01-09 | 2017-05-17 | 北京信息科技大学 | 基于STiP模型的安全终端标识及认证方法及系统 |
| CN109905348A (zh) * | 2017-12-07 | 2019-06-18 | 华为技术有限公司 | 端到端认证及密钥协商方法、装置及系统 |
| CN110876142A (zh) * | 2018-09-02 | 2020-03-10 | 中城智慧科技有限公司 | 一种基于标识的wifi认证方法 |
| CN109547470A (zh) * | 2018-12-20 | 2019-03-29 | 北京交通大学 | 保护网络空间安全的电子隔离墙方法、装置及系统 |
Non-Patent Citations (3)
| Title |
|---|
| AYMEN BOUDGUIGA: "An authentication scheme for IEEE 802.11s mesh networks relying on Sakai-Kasahara ID-Based Cryptographic algorithms", 《THIRD INTERNATIONAL CONFERENCE ON COMMUNICATIONS AND NETWORKING》 * |
| 刘会博: "一种身份和位置分离网络的接入认证方法", 《中国优秀硕士学位论文全文数据库》 * |
| 熊兆中: "基于位置与标识分离网络的映射系统的研究与实现", 《中国优秀硕士学位论文全文数据库(电子期刊)》 * |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113609518A (zh) * | 2021-06-18 | 2021-11-05 | 天津津航计算技术研究所 | 一种基于关联容器map的报文协议超时重发方法及系统 |
| CN113609518B (zh) * | 2021-06-18 | 2023-12-12 | 天津津航计算技术研究所 | 一种基于关联容器map的报文协议超时重发方法及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111817854B (zh) | 2022-03-18 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN100594476C (zh) | 用于实现基于端口的网络访问控制的方法和装置 | |
| CN101127600B (zh) | 一种用户接入认证的方法 | |
| CN106209897B (zh) | 一种基于代理的软件定义网络分布式多粒度控制器安全通信方法 | |
| US10298544B2 (en) | Method and system for establishing virtual private networks between local area networks | |
| US20080209071A1 (en) | Network relay method, network relay apparatus, and network relay program | |
| FI125972B (fi) | Laitejärjestely ja menetelmä kiinteistöjen etähallinnassa käytettävän tiedonsiirtoverkon luomiseksi | |
| CN101741851B (zh) | 一种增强源地址真实性保障的令牌更新方法 | |
| US8069235B2 (en) | Method and device for managing a peer relationship in a data communication network | |
| KR20060030995A (ko) | 차세대 인터넷에서 자동으로 주소를 생성하고 수락하는방법 및 이를 위한 데이터 구조 | |
| CN102255918A (zh) | 一种基于DHCP Option 82的用户接入权限控制方法 | |
| CN108243413B (zh) | 一种无线接入铁路信息网络的方法及系统 | |
| CN111865903A (zh) | 报文传输的方法、装置和系统 | |
| CN102231725B (zh) | 一种动态主机配置协议报文的认证方法、设备及系统 | |
| WO2009012670A1 (fr) | Procédé, dispositif et système permettant d'enregistrer un nouveau membre de groupe lors d'une gestion de clé multidiffusion | |
| CN101115062B (zh) | 分布式智能代理系统、注册中心及注册、消息路由方法 | |
| CN101729568A (zh) | 使用令牌机制保障源地址真实性的安全接入系统及方法 | |
| WO2009143721A1 (zh) | 处理动态主机配置协议消息的方法、装置及系统 | |
| CN104023022A (zh) | 一种IPSec SA的获取方法和装置 | |
| CN102404346A (zh) | 一种互联网用户访问权限的控制方法及系统 | |
| CN105207778A (zh) | 一种在接入网关设备上实现包身份标识及数字签名的方法 | |
| JP2006081082A (ja) | メッセージ受信確認方法、通信端末装置及びメッセージ受信確認システム | |
| CN102571811A (zh) | 用户接入权限控制系统和方法 | |
| CN101478485A (zh) | 局域网访问控制的方法以及网关设备 | |
| CN103944716A (zh) | 用户认证的方法和装置 | |
| CN111817854B (zh) | 一种基于无中心标识映射同步管理的安全认证方法及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |