CN112968864A - 一种可信的IPv6网络服务过程机制 - Google Patents
一种可信的IPv6网络服务过程机制 Download PDFInfo
- Publication number
- CN112968864A CN112968864A CN202110104157.9A CN202110104157A CN112968864A CN 112968864 A CN112968864 A CN 112968864A CN 202110104157 A CN202110104157 A CN 202110104157A CN 112968864 A CN112968864 A CN 112968864A
- Authority
- CN
- China
- Prior art keywords
- gateway
- message
- fingerprint
- client
- packet
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 42
- 230000007246 mechanism Effects 0.000 title claims abstract description 34
- 230000008569 process Effects 0.000 title claims abstract description 25
- 230000004044 response Effects 0.000 claims abstract description 45
- 230000005540 biological transmission Effects 0.000 claims abstract description 15
- 238000005516 engineering process Methods 0.000 claims abstract description 5
- 238000012795 verification Methods 0.000 claims description 7
- 230000001815 facial effect Effects 0.000 claims 1
- 238000012790 confirmation Methods 0.000 abstract description 5
- 230000006854 communication Effects 0.000 description 14
- 238000004891 communication Methods 0.000 description 7
- 238000012545 processing Methods 0.000 description 7
- 238000010586 diagram Methods 0.000 description 5
- 238000013475 authorization Methods 0.000 description 2
- 238000010276 construction Methods 0.000 description 2
- 230000008878 coupling Effects 0.000 description 2
- 238000010168 coupling process Methods 0.000 description 2
- 238000005859 coupling reaction Methods 0.000 description 2
- 230000002708 enhancing effect Effects 0.000 description 2
- 238000012856 packing Methods 0.000 description 2
- 230000002159 abnormal effect Effects 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 239000000284 extract Substances 0.000 description 1
- 230000001788 irregular Effects 0.000 description 1
- 230000006855 networking Effects 0.000 description 1
- 238000004806 packaging method and process Methods 0.000 description 1
- 230000006798 recombination Effects 0.000 description 1
- 238000005215 recombination Methods 0.000 description 1
- 230000002787 reinforcement Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0861—Network architectures or network communication protocols for network security for authentication of entities using biometrical features, e.g. fingerprint, retina-scan
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/123—Applying verification of the received information received data contents, e.g. message integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
- H04L9/3268—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Health & Medical Sciences (AREA)
- Biomedical Technology (AREA)
- General Health & Medical Sciences (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供一种可信的IPv6网络服务过程机制,首先,将采集并加密的操作者生物特征信息纳入IPv6扩展报文,然后,利用网关与哈希指针技术分组实现可信报文传输,之后,网关依据报文中生物特征信息对报文进行验证确权,并向所有后端服务发送请求提案,确认相同提案响应数量超过50%的服务为可信服务,再向其转发客户端请求;最后网关将接受到的来自服务端的响应转发至客户端;本发明通过网络客户端和服务端在服务过程中多个环节采取不同的保障措施,增强了报文身份认证及确权机制的有效性、真实性和可追溯性,增强了报文的抗篡改能力,增加了服务端的攻击难度,实现了整个服务过程的安全性和可靠性。
Description
技术领域
本发明属于信息通讯技术领域,涉及用于实现IPv6联网设备在网络通信过程中的一种可信服务过程机制,具体是一种可信的IPv6网络服务过程机制。
背景技术
在传统的IPv6客户端和服务器安全可信服务方面存在的主要问题有:身份认证机制难于实现虚拟网络世界行为与现实真实世界客体之间的追溯和对应;通信过程机制难于兼顾保障数据真实可信和符合网络监管要求;后端服务缺乏可信机制,难于自主发现和处置异常。
传统的身份认证机制主要是基于密码、USB Key等方式其存在身份凭证丢失而导致被冒用的风险。纵然有些系统采用了生物特征识别机制,但其认证信息只存在于少量的应用层数据中,而通讯中的大部分报文数据并不含有身份信息,导致了数据报文在现实世界中的所有权和生产者无法被确认,难于对报文的归属在现实中进行确权和溯源。
在报文传输方面中,保障报文完整性的传统手段是加密和校验码机制。由于校验码可以随意被重新计算,其在对抗人为破坏时是不可靠的,例如CRC校验码;采用加密技术带来问题是报文内容被密文化,会导致监管场景中的监管技术措施失效,很多时候会违反合规性要求,例如VPN隧道。
在后端可信服务方面,传统方式主要依赖于服务器自身个体的安全加固,但服务器一旦遭受成功的攻击和控制,其提供的服务内容便无法被信任。
发明内容
本发明的目的就是提供一种可信的IPv6网络服务过程机制,实现网络客户端和服务端在服务过程中多个环节采取不同的保障措施确保整个服务过程安全可信。
本发明为了实现上述目的采用的技术方案是:
一种可信的IPv6网络服务过程机制,通过基于生物特征IPv6报文验证确权、基于特征链的可信报文传输以及基于提案响应的可信服务选择实现,
具体包括以下步骤:
S1.客户端验证操作者信息,采集操作者的生物特征信息并加密;
S2.客户端将加密后的生物特征信息纳入IPv6扩展报文;
S3.利用网关与哈希指针技术分组实现可信报文传输;
S4.网关依据报文中生物特征信息对报文进行验证和确权;
S5.网关向所有后端服务发送请求提案,确认相同提案响应数量超过50%的服务为可信服务,再向其转发客户端请求;
S6.网关接收来自服务的响应并转发至客户端。
优选的,所述步骤S1包括如下子步骤:
S11:对操作者进行身份验证,生成自身的私钥和公钥证书;
S12:客户端可通过生物采集模块一次性获取操作者(报文权利人)的生物特征信息;
S13:根据所述生物特征信息生成特征向量;
S14:利用自身的私钥对特征向量进行加密处理。
优选的,所述步骤S2包括如下子步骤:
S21:构造生成带有加密生物特征的报文扩展头部;
S22:在每个待发送给网关的IPv6报文添加扩展报头项。
优选的,所述步骤S3包括如下子步骤:
S31:客户端将报文X按照固定长度N进行分组;
S32:每个分组的头部加入一个固定长度P的指纹字段,用于保存前一个分组的指纹,并依次计算每个分组的指纹,所述计算的每个分组的指纹包括指纹字段的值,然后将指纹值放入下一个分组的指纹字段;
S33:依次发送上述每个报文分组(含指纹字段的值)给接收端。
优选的,所述步骤S32包括如下子步骤:
客户端通过散列算法,计算第一个分组(含固定长度P的指纹字段的内容)的指纹,放入第二个分组的头部的固定长度P的指纹字段中,覆盖原有的0值;
客户端通过散列算法计算第二个分组(含固定长度P的指纹字段的内容)的指纹,放入第三个分组的头部的固定长度P的指纹字段中,覆盖原有的0值;
以此类推,重复以上步骤,直到计算并填充完所有分组的指纹信息。
优选的,所述步骤S4包括如下子步骤:
S41:网关接收全部报文后,按N+P长度进行分组;
S42:网关依次校验每个分组报文的指纹值是否变化
S43:网关端从扩展头部取出加密的生物特征信息;
S44:使用公钥对生物特征进行解密并验证其有效性。
优选的,所述步骤S42包括如下子步骤:
网关采用散列算法从第一个分组开始计算其指纹;
网关将第一个分组计算出的指纹与第二个分组头部固定长度P指纹字段存储的指纹相比较;
如果指纹相同,认为上一分组未被更改;如果指纹不同,认为上一分组被篡改过;
以此类推,重复以上步骤,直到计算并校验完所有分组的指纹信息。
优选的,所述步骤S5包括如下子步骤:
S51:网关向所有服务端转发来自客户端请求的提案;
S52:每个服务端收到请求提案后,各自计算请求资源的Hash特征值并返回网关;
S53:网关对收到提案响应进行统计,确认可信的服务端;
S54:网关向可信的服务端转发客户端的请求;
S55:服务端向网关返回所请求的资源;
S56:网关向客户端转发所请求的资源。
优选的,所述步骤S51还包括如下子步骤:
网关接收到客户端的请求后,构造一个请求提案,该提案具有明确的提案标识符和客户端请求内容;
网关向所有服务端发送上述请求提案。
优选的,所述步骤S52还包括如下子步骤:
服务端接收到请求提案后,并不返回请求资源本身,而是通过算法计算请求资源或结果的特征值;
服务端将计算出的特征值作为提案响应结果发送给网关。
所述步骤S53还包括如下子步骤:
网关接收到来自服务端的提案响应;
网关统计所有接收到响应内容的分布情况,将提供相同响应内容且数量超过服务总数50%的服务端作为可信服务。
优选的,所述生物特征信息包括客户端操作员的指纹、虹膜或面容信息。
本发明的有益效果是:所述服务过程机制中,将网络世界中虚拟的IPv6报文与现实世界中实体的操作者相关联,增强了报文身份认证及确权机制的有效性、真实性和可追溯性;将分组传输的报文数据构成内部相互制约影响的特征链条,增强分组数据之间的耦合性,加之在实际网络传输过程中,报文会经过不同的路由设备转发,途径不同的路径到达接收端,想依次篡改所有报文指纹的难度极大,从而达到进一步增强报文的抗篡改能力,快速检测和定位被破坏的内容,保障通信过程完整性和监管符合性的目的;在可信服务的选择过程中,通过共识选举方式找出可信的后端服务,要想影响选举过程,就必须要控制超过50%的服务端,这样大大增加了服务端的攻击难度。
附图说明
图1是本发明服务过程机制的流程图;
图2是本发明服务过程机制的系统框图;
图3是本发明中将生物特征纳入IPv6报文方法的流程图;
图4是本发明中将生物特征纳入IPv6报文方法的系统框图;
图5是本发明中基于特征链的可信报文传输方法的流程图;
图6是本发明中基于特征链的可信报文传输方法的系统框图;
图7是本发明中基于提案响应的可信服务选择机制的流程图;
图8是本发明中基于提案响应的可信服务选择机制的系统框图。
具体实施方式
下面结合附图对本发明做进一步阐述:
一种可信的IPv6网络服务过程机制,通过基于生物特征IPv6报文验证确权、基于特征链的可信报文传输与基于提案响应的可信服务选择来实现,具体流程如图1所示,包括如下步骤:
S1.客户端验证操作者信息,采集操作者的生物特征信息并加密;
S2.客户端将加密后的生物特征信息纳入IPv6扩展报文;
S3.利用网关与哈希指针技术分组实现可信报文传输;
S4.网关依据报文中生物特征信息对报文进行验证和确权;
S5.网关向所有后端服务发送请求提案,确认相同提案响应数量超过50%的服务为可信服务,再向其转发客户端请求;
S6.网关接收来自服务的响应并转发至客户端。
所述基于生物特征IPv6报文验证是通过在IPv6报文扩展报头中嵌入加密后客户端操作者的生物特征信息来实现报文的验证确权,所述生物特征信息包括客户端操作员的指纹、虹膜或面容信息;所述可信报文传输,通过对报文分组及重组后计算和验证分组的特征指针来实现;所述可信服务选择,通过确认某一类提案响应的数量超过总数的50%的为可信提案响应,其提供者为可信服务。
首先,在客户端通过采集操作者的生物特征进行首次身份识别与校验,客户端发起与服务器通讯,与网关建立连接后,客户端将生物特征加密后置入IPv6报文扩展头部构造报文信息,这样在通讯过程中的每个IPv6报文都具有现实世界中的所属权和身份信息,网关收到报文后可根据报文中的生物特征信息进行报文身份确认。
然后,在客户端与网关的通讯过程中,数据发送方将待发送的报文划分分组,每个分组增加一个特征指针头部用于存放上一个分组的特征值,整个报文形成一个由特征指针连成一体的报文链条;接收方收到报文后对报文内容进行重组和划分分组,依次校验每个报文的特征值是否与下一个报文头部存放的特征值相同,如果不相同则认为该报文完整性存在异常,向发送端发出请求重新发送整个报文。
之后,网关接收完完整报文后,依据报文中的客户端服务请求构成一个请求提案发送给所有后端服务,每个服务收到请求提案后计算被请求资源的特征值作为提案响应发送给网关。网关统计每种响应提案的占比,将超过总数50%的提案响应作为可信提案响应,将提供可信提案响应的服务作为可信服务;网关将客户端请求转发给其中一个可信服务,服务将请求响应发送给网关,网关再将其转发给客户端。
上述流程通过如图2所示系统运行完成,该系统包括客户端1、网关2和服务端3,客户端1用于采集操作者的生物特征,利用生物特征构造IPv6报文,利用特征指针链条实现与网关之间的可信报文传输;网关2:主要用于利用报文中的生物特征对报文进行验证和确权;利用特征指针链条实现与客户端之间的可信报文传输;利用选举共识机制对后端服务进行可信验证;接收并转发客户端及后端服务的请求与响应;服务端3:主要用于响应来自网关的请求共识提案和响应来自网关转发的客户端请求。
本发明所述基于生物特征IPv6报文验证,其中将生物特征纳入实现IPv6报文的流程如图3所示,包括如下步骤:
S11:对操作者进行身份验证,生成自身的私钥和公钥证书;
S12:客户端可通过生物采集模块一次性获取操作者(报文权利人)的生物特征信息;
S13:根据所述生物特征信息生成特征向量;
S14:利用自身的私钥对特征向量进行加密处理;
S21:构造生成带有加密生物特征的报文扩展头部项;
S22:在每个待发送给网关的IPv6报文添加扩展报头项。
其中,步骤S11包括:客户端首先检查本地是否已经存在自身的私钥和CA中心颁发的公钥证书,如果存在则使用本地的私钥和公钥证书;如果不存在则向CA中心自动申请和注册公钥证书。
步骤S12包括:客户端可通过指纹采集器、虹膜识别器、人脸识别器等多种采集模块一次性获取操作者的生物特征信息,必要时也在通讯过程中定时或不定时的进行自动采集,防止首次认证成功后的操作人员替换的情况;再对操作者的生物特征进行身份验证。
步骤S13包括: 客户端通过指纹采集器、虹膜识别器、人脸识别器等多种采集模块采集到操作者的生物特征原始阵列数据,将原始阵列数据通过阵列变化以获取生物特征向量。
步骤S14包括:客户端利用自身的私钥对生物特征向量进行加密,加密后的信息只能由客户端的公钥进行解密。
步骤S21包括:为每个待发送给网关的IPv6报文构造扩展报头项。其中该扩展头部内容包括:头部类型,头部长度,加密的生物特征向量等。
步骤S22包括:将待发送的IPv6报文头部整体进行解构,将S21中构造的IPv6报文构造扩展报头项插入其中,然后重新对报文头部及报文进行打包生成。
而所述将生物特征纳入实现IPv6报文的流程可以通过如图4所示系统执行,该系统包括客户端1和网关2,其中客户端1包括:证书密钥单元11:用于通过本地或者CA中心注册申请私钥和公钥证书、密钥验证、存储、访问;生物特征采集与验证单元12:用于采集操作者的生物特征信息并在本地实现身份验证;生物特征加密单元13:用于使用自身私钥信息对采集到的生物特征信息进行加密;IPv6扩展头部构造单元14:构造特定的含有加密后的生物特征信息的扩展头部项;用户数据单元15:用于处理双方通讯报文用户数据的部分;报文打包单元16:用于将构造好的IPv6报文扩展头部和用户数据进行打包生成IPv6报文;报文发送单元17:用于进行报文的发送,可通过有线、无线等多种方式进行。网关2包括:证书密钥单元21:用于通过本地或者CA中心注册申请私钥和公钥证书、密钥验证、存储、访问;报文认证确权单元22:用于通过本地或者远程特征库来验证客户端的生物特征信息的有效性,实现报文的认证确权;生物特征解密单元23:用于使用对方的公钥信息对采集到的生物特征信息进行解密;IPv6扩展头部结构单元24:用于从IPv6报文的特定扩展头部中结构出加密后的生物特征信息;用户数据单元25:用于处理与客户端段的通讯报文用户数据的部分;报文解包单元26:用于IPv6报文解包为扩展头部项和用户数据部分;报文接收单元27:用于进行报文接收,可通过有线、无线等多种方式进行。
所述基于特征链的可信报文传输方法,如图5所示,具体包括如下步骤:
S31:客户端将报文X按照固定长度N进行分组;
S32:每个分组的头部加入一个固定长度P的指纹字段,用于保存前一个分组的指纹,并依次计算每个分组(含指纹字段的值)的指纹,将指纹值放入下一个分组的指纹字段;
S33:依次发送每个报文分组(含指纹字段的值)给接收端;
S41:网关接收全部报文后,按N+P长度进行分组;
S42:网关依次校验每个分组报文的指纹是否变化;
S43:网关端从扩展头部取出加密的生物特征信息;
S44:使用公钥对生物特征进行解密并验证其有效性。
其中,步骤S31包括:客户端将代发送的报文数据(只含用户数据部分)按照固定的长度划分为若干个报文分组,每个分组所包含的报文的长度是相同的(最后一个分组的报文长度会小于等于前面的分组),分组的编号范围为:1,2,3…N。
步骤S32包括:
客户端为每个分组头部扩容一个长度为P的指纹字段,默认填充为0;
客户端通过散列算法,计算第一个分组(含长度为P的指纹字段的内容)的指纹,该指纹的长度等于P;
将计算出的第一个分组的指纹放入第二个分组的头部的长度为P的指纹字段中,覆盖原有的0值;
客户端通过散列算法计算第二个分组(含长度为P的指纹字段的内容)的指纹,放入第三个分组的头部的长度为P的指纹字段中,覆盖原有的0值;
以此类推,直到计算并填充完所有分组的指纹信息。
步骤S33包括:客户端按照报文的编号顺序的依次发送每一个分组报文,直到所有报文发送完毕。
步骤S41包括:
网关采用散列算法从第一个分组开始计算其指纹值;
网关将第一个分组计算出的指纹值与第二个分组头部长度为P的指纹字段存储的指纹相比较;
如果指纹相同,认为上一分组未被更改;如果指纹不同,认为上一分组被篡改过;
以此类推,直到计算并校验完所有分组的指纹信息。
步骤S42包括:
客户端向网关的发起连接,用自身私钥将一段由若干个字节组成的字符串加密后的指纹以及发送端信息(用户ID、终端编号)一并发送给接收端;
网关根据对方发送的用户信息从CA中心下载对方的公钥证书,并用该公钥解密指纹;
若解密成功,网关继续接收后续的IPv6报文;
若解密失败,则主动中断连接。
步骤S43包括:
网关接收到报文后,从扩展头部中提取对方的加密生物特征向量;
若报文中没有该扩展头部项,则认为数据报文被无效,主动中断连接;
若从报文扩展头部项中提取出的加密生物特征向量用客户端的公钥解密失败,则认为数据报文无效,主动中断连接;
若从报文扩展头部项中提取出的加密生物特征向量用客户端的公钥解密成功,则继续后续步骤。
在上述步骤S44完成后,还包括以下步骤:
网关首先检查本地是否有缓存的认证结果,如果有且认证成功,则继续通讯;如果有且认证失败则中断连接;
如果没有本地缓存的认证结果,则连接外部生物特征库进行特征认证并将结果缓存在本地;如果认证成功则继续通讯,否则中断连接;
网关会定期自动清除缓存的认证结果。
所述基于特征链的可信报文传输方法可通过如图6所示系统执行,该系统包括客户端1和网关2,其中,客户端1包括:数据分组单元11:用于将要发送的报文数据按照固定长度进行分组,并在每个分组头部增加固定长度的指纹存储空间;指纹计算单元12:用于依次计算每个分组的指纹值,并将计算出的指纹值填入下一个分组的头部指纹存储空间;报文发送单元13:用于依次发送每个分组的内容,包括每个分组头部的指纹存储空间内容。网关2包括:指纹验证单元21:用于依次计算每个分组的指纹值,并将计算出的指纹值与下一个分组的头部指纹存储空间的指纹值相校验。如果指纹值相同,认为上一分组未被更改;如果指纹值不同,认为上一分组被篡改过;数据分组单元22:用于对接收到的报文数据按照固定长度进行分组,在每个分组应包含头部固定长度指纹存储空间;报文接收单元13:用于客户端发送的每个分组的内容,包括头部的指纹存储空间的内容。
所述基于提案响应的可信服务选择流程如图7所示,具体包括如下步骤:
S51:网关向所有服务端转发来自客户端请求的提案;
S52:每个服务端收到请求提案后,各自计算请求资源的Hash特征值并返回网关;
S53:网关对收到提案响应进行统计,确认可信的服务端;
S54:网关向可信的服务端转发客户端的请求;
S55:服务端向网关返回所请求的资源;
S56:网关向客户端转发所请求的资源。
其中,步骤S51包括以下子步骤:
网关接收到客户端的请求后,构造一个请求提案,所述请求提案具有明确的提案标识符和客户端请求内容;
网关向所有服务端发送所述请求提案。
步骤S52包括以下步骤:
服务端接收到请求提案后,不返回请求资源本身,而是通过哈希算法计算请求资源的特征值;
服务端将计算出的特征值作为提案响应结果发送给网关。
步骤S53包括以下步骤:
网关接收到来自服务端的提案响应;
网关统计所有接收到响应内容的分布情况,将提供相同响应内容且数量超过服务总数50%的服务端作为可信服务。
基于提案响应的可信服务选择流程可通过如图8所述系统完成,该系统包括网关1和服务端2;其中,网关1包括:提案处理单元11:用于生成客户端请求的提案;统计提案响应结果及生成可信服务列表;请求处理单元12:用于处理客户端的请求信息;依照可信服务端列表获取请求资源;报文发送/接收单元13:用于发送/接收报文内容;服务2包括:提案处理单元21:用于计算每个请求提案的特征值形成提案响应;请求处理单元22:用于向网关发送客户端所请求的资源信息;报文发送/接收单元13:用于发送/接收报文内容。
本发明的服务过程机制中将网络世界中虚拟的IPv6报文与现实世界中实体的操作者相关联,增强了报文身份认证及确权机制的有效性、真实性和可追溯性。将分组传输的报文数据构成内部相互制约影响的特征链条,增强分组数据之间的耦合性,加之在实际网络传输过程中,报文会经过不同的路由设备转发,途径不同的路径到达接收端,因此想依次篡改所有报文指纹的难度极大,从而达到进一步增强报文的抗篡改能力,快速检测和定位被破坏的内容,保障通信过程完整性和监管符合性的目的。在可信服务的选择过程中,通过共识选举方式找出可信的后端服务,要想影响选举过程,必须要控制超过50%的服务端,大大增加了服务端的攻击难度。
Claims (10)
1.一种可信的IPv6网络服务过程机制,其特征在于:通过基于生物特征IPv6报文验证确权、基于特征链的可信报文传输与基于提案响应的可信服务选择实现,具体包括以下步骤:
S1.客户端验证操作者信息,采集操作者的生物特征信息并加密;
S2.客户端将加密后的生物特征信息纳入IPv6扩展报文;
S3.客户端利用网关与哈希指针技术组实现将可信报文传输;
S4.网关依据报文中生物特征信息对报文进行验证和确权;
S5.网关向所有后端服务发送请求提案,确认相同提案响应数量超过50%的服务为可信服务,再向其转发客户端请求;
S6.网关接收来自服务的响应并转发至客户端。
2.根据权利要求1所述的一种可信的IPv6网络服务过程机制,其特征在于:所述步骤S1包括:
S11:对操作者进行身份验证,生成自身的私钥和公钥证书;
S12:客户端通过生物采集模块一次性获取操作者的生物特征信息;
S13:根据所述生物特征信息生成特征向量;
S14:利用自身的私钥对特征向量进行加密处理。
3.根据权利要求1所述的一种可信的IPv6网络服务过程机制,其特征在于:所述步骤S2包括:
S21:构造生成带有加密生物特征的报文扩展头部项;
S22:在每个待发送给网关的IPv6报文添加扩展报头。
4.根据权利要求1所述的一种可信的IPv6网络服务过程机制,其特征在于:所述步骤S3包括:
S31:客户端将报文X按照固定长度N进行分组;
S32:每个分组的头部加入一个固定长度P的指纹字段,用于保存前一个分组的指纹,并依次计算每个分组的指纹,所述计算的每个分组的指纹包括指纹字段的值,然后将所述的计算出的指纹放入下一个分组的指纹字段;
S33:依次发送每个报文分组给接收端。
5.根据权利要求4所述的一种可信的IPv6网络服务过程机制,其特征在于:所述步骤S32包括:
客户端通过散列算法计算第一个分组的指纹,放入第二个分组的头部的固定长度P的指纹字段中,覆盖原有的0值;
客户端通过散列算法计算第二个分组的指纹,放入第三个分组的头部的固定长度P的指纹字段中,覆盖原有的0值;
以此类推,重复以上步骤,直到计算并填充完所有分组的指纹信息。
6.根据权利要求1所述的一种可信的IPv6网络服务过程机制,其特征在于:所述步骤S4包括:
S41:网关接收全部报文后,按N+P长度进行分组;
S42:网关依次校验每个分组报文的指纹是否变化;
S43:网关从报文扩展头部项取出加密的生物特征数据;
S44:使用公钥对生物特征数据进行解密并验证其有效性。
7.根据权利要求6所述的一种可信的IPv6网络服务过程机制,其特征在于:所述步骤S42包括:
网关采用散列算法从第一个分组开始计算其指纹;
网关将第一个分组计算出的指纹与第二个分组头部固定长度P的指纹字段存储的指纹相比较;
如果指纹相同,认为上一分组未被更改;如果该值不同,认为上一分组被篡改过;
以此类推,重复上述步骤,直到计算并校验完所有分组的指纹信息。
8.根据权利要求1所述的一种可信的IPv6网络服务过程机制,其特征在于:所述步骤S5包括:
S51:网关向所有服务端转发来自客户端请求的提案;
S52:每个服务端收到请求提案后,各自计算请求资源的Hash特征值并返回网关;
S53:网关对收到的提案响应进行统计,确认可信的服务端;
S54:网关向可信的服务端转发客户端的请求;
S55:服务端向网关返回所请求的资源;
S56:网关向客户端转发所请求的资源。
9.根据权利要求8所述的一种可信的IPv6网络服务过程机制,其特征在于:
所述步骤S51包括:
网关接收到客户端的请求后,构造一个请求提案,所述请求提案具有明确的提案标识符和客户端请求内容;
网关向所有服务端发送所述构造的请求提案。
所述步骤S52包括:
服务端接收到请求提案后,不返回请求资源本身,而是通过Hash算法计算请求资源的特征值;服务端将计算出的特征值作为提案响应结果发送给网关。
所述步骤S53包括:
网关接收到来自服务端的提案响应结果;
网关统计所述提案响应结果的内容的分布情况,将提供相同响应内容且数量超过服务总数50%的服务端作为可信服务端。
10.根据权利要求1所述的一种可信的IPv6网络服务过程机制,其特征在于:所述生物特征信息包括客户端操作员的指纹、虹膜或面容信息。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110104157.9A CN112968864A (zh) | 2021-01-26 | 2021-01-26 | 一种可信的IPv6网络服务过程机制 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110104157.9A CN112968864A (zh) | 2021-01-26 | 2021-01-26 | 一种可信的IPv6网络服务过程机制 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN112968864A true CN112968864A (zh) | 2021-06-15 |
Family
ID=76272895
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202110104157.9A Pending CN112968864A (zh) | 2021-01-26 | 2021-01-26 | 一种可信的IPv6网络服务过程机制 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN112968864A (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2023040653A1 (zh) * | 2021-09-15 | 2023-03-23 | 华为技术有限公司 | 通信方法及装置 |
Citations (14)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6389532B1 (en) * | 1998-04-20 | 2002-05-14 | Sun Microsystems, Inc. | Method and apparatus for using digital signatures to filter packets in a network |
US20040059924A1 (en) * | 2002-07-03 | 2004-03-25 | Aurora Wireless Technologies, Ltd. | Biometric private key infrastructure |
WO2004055738A1 (en) * | 2002-12-18 | 2004-07-01 | Svein Mathiassen | Devices for combined access and input |
US20070101154A1 (en) * | 2005-10-31 | 2007-05-03 | Bardsley Jeffrey S | Methods, systems, and computer program products for associating an originator of a network packet with the network packet using biometric information |
KR20090097418A (ko) * | 2008-03-11 | 2009-09-16 | 인하대학교 산학협력단 | 생체정보가 삽입된 데이터 패킷의 단편화 방법 및생체정보가 삽입된 단편화된 데이터 패킷의 인증 방법 |
US20090323703A1 (en) * | 2005-12-30 | 2009-12-31 | Andrea Bragagnini | Method and System for Secure Communication Between a Public Network and a Local Network |
US20110154488A1 (en) * | 2009-12-23 | 2011-06-23 | Roy Rajan | Systems and methods for generating and managing cookie signatures for prevention of http denial of service in multi-core system |
US20130268444A1 (en) * | 2010-05-28 | 2013-10-10 | Jong Namgoong | Three-factor user authentication method for generating otp using iris information and secure mutual authentication system using otp authentication module of wireless communication terminal |
CN105357186A (zh) * | 2015-10-10 | 2016-02-24 | 苏州通付盾信息技术有限公司 | 一种基于带外验证和增强otp机制的二次认证方法 |
US20180145833A1 (en) * | 2015-07-02 | 2018-05-24 | Alibaba Group Holding Limited | Using biometric features for user authentication |
CN108664223A (zh) * | 2018-05-18 | 2018-10-16 | 百度在线网络技术(北京)有限公司 | 一种分布式存储方法、装置、计算机设备及存储介质 |
CN109922160A (zh) * | 2019-03-28 | 2019-06-21 | 全球能源互联网研究院有限公司 | 一种基于电力物联网的终端安全接入方法、装置及系统 |
CN111614688A (zh) * | 2020-05-26 | 2020-09-01 | 赵华国 | 区块链的通用协议 |
CN112019575A (zh) * | 2020-10-22 | 2020-12-01 | 腾讯科技(深圳)有限公司 | 数据包处理方法、装置、计算机设备以及存储介质 |
-
2021
- 2021-01-26 CN CN202110104157.9A patent/CN112968864A/zh active Pending
Patent Citations (14)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6389532B1 (en) * | 1998-04-20 | 2002-05-14 | Sun Microsystems, Inc. | Method and apparatus for using digital signatures to filter packets in a network |
US20040059924A1 (en) * | 2002-07-03 | 2004-03-25 | Aurora Wireless Technologies, Ltd. | Biometric private key infrastructure |
WO2004055738A1 (en) * | 2002-12-18 | 2004-07-01 | Svein Mathiassen | Devices for combined access and input |
US20070101154A1 (en) * | 2005-10-31 | 2007-05-03 | Bardsley Jeffrey S | Methods, systems, and computer program products for associating an originator of a network packet with the network packet using biometric information |
US20090323703A1 (en) * | 2005-12-30 | 2009-12-31 | Andrea Bragagnini | Method and System for Secure Communication Between a Public Network and a Local Network |
KR20090097418A (ko) * | 2008-03-11 | 2009-09-16 | 인하대학교 산학협력단 | 생체정보가 삽입된 데이터 패킷의 단편화 방법 및생체정보가 삽입된 단편화된 데이터 패킷의 인증 방법 |
US20110154488A1 (en) * | 2009-12-23 | 2011-06-23 | Roy Rajan | Systems and methods for generating and managing cookie signatures for prevention of http denial of service in multi-core system |
US20130268444A1 (en) * | 2010-05-28 | 2013-10-10 | Jong Namgoong | Three-factor user authentication method for generating otp using iris information and secure mutual authentication system using otp authentication module of wireless communication terminal |
US20180145833A1 (en) * | 2015-07-02 | 2018-05-24 | Alibaba Group Holding Limited | Using biometric features for user authentication |
CN105357186A (zh) * | 2015-10-10 | 2016-02-24 | 苏州通付盾信息技术有限公司 | 一种基于带外验证和增强otp机制的二次认证方法 |
CN108664223A (zh) * | 2018-05-18 | 2018-10-16 | 百度在线网络技术(北京)有限公司 | 一种分布式存储方法、装置、计算机设备及存储介质 |
CN109922160A (zh) * | 2019-03-28 | 2019-06-21 | 全球能源互联网研究院有限公司 | 一种基于电力物联网的终端安全接入方法、装置及系统 |
CN111614688A (zh) * | 2020-05-26 | 2020-09-01 | 赵华国 | 区块链的通用协议 |
CN112019575A (zh) * | 2020-10-22 | 2020-12-01 | 腾讯科技(深圳)有限公司 | 数据包处理方法、装置、计算机设备以及存储介质 |
Non-Patent Citations (3)
Title |
---|
GUO TAO: "《Virtual Cluster Automatic Contextualization in Cloud Computation Based on IPv6》", WEB OF SCIENCE, vol. 33, pages 130 - 134 * |
朱建明;丁庆洋;高胜;: "基于许可链的SWIFT系统分布式架构", 软件学报, no. 06, pages 24 - 43 * |
林家钦;夏骄雄;徐钊;: "基于区块链和IPV6的学信链平台", 信息通信, no. 04, pages 157 - 158 * |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2023040653A1 (zh) * | 2021-09-15 | 2023-03-23 | 华为技术有限公司 | 通信方法及装置 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN111083131B (zh) | 一种用于电力物联网感知终端轻量级身份认证的方法 | |
CN113783836B (zh) | 基于区块链和ibe算法的物联网数据访问控制方法及系统 | |
CN109903433B (zh) | 一种基于人脸识别的门禁系统及门禁控制方法 | |
CN108270571A (zh) | 基于区块链的物联网身份认证系统及其方法 | |
CN111147225A (zh) | 基于双密值和混沌加密的可信测控网络认证方法 | |
CN111435913B (zh) | 一种物联网终端的身份认证方法、装置和存储介质 | |
CN107579991B (zh) | 一种对客户端进行云端防护认证的方法、服务器和客户端 | |
CN105530253B (zh) | 基于CA证书的Restful架构下的无线传感器网络接入认证方法 | |
CN100512201C (zh) | 用于处理分组业务的接入-请求消息的方法 | |
CN109714360B (zh) | 一种智能网关及网关通信处理方法 | |
CN111526023A (zh) | 一种基于ipk的区块链上链数据安全认证方法与系统 | |
CN104125230B (zh) | 一种短信认证服务系统以及认证方法 | |
CN111756529A (zh) | 一种量子会话密钥分发方法及系统 | |
Srikanth et al. | An efficient Key Agreement and Authentication Scheme (KAAS) with enhanced security control for IIoT systems | |
CN108632042A (zh) | 一种基于对称密钥池的类aka身份认证系统和方法 | |
CN116418560A (zh) | 一种基于区块链智能合约的线上快速身份认证系统及方法 | |
CN113225330A (zh) | 一种电子信息数据安全传输方法 | |
CN116388995A (zh) | 一种基于puf的轻量级智能电网认证方法 | |
CN112839328B (zh) | 一种密接数据验证方法、客户端、服务器及存储介质 | |
CN112968864A (zh) | 一种可信的IPv6网络服务过程机制 | |
CN117614626A (zh) | 一种基于puf的轻量级身份认证方法 | |
CN110958276B (zh) | 基于智能物联设备数字身份的可信采集存录方法及装置 | |
CN113766452B (zh) | 一种v2x通信系统、通信密钥分发方法与隐式认证方法 | |
CN105681364B (zh) | 一种基于增强绑定的IPv6移动终端抗攻击方法 | |
CN112040481B (zh) | 一种基于5g通信网关的二次认证方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
AD01 | Patent right deemed abandoned |
Effective date of abandoning: 20240426 |
|
AD01 | Patent right deemed abandoned |