CN115118489B - 用户、设备、IPv6网络地址绑定的网络接入认证系统及方法 - Google Patents
用户、设备、IPv6网络地址绑定的网络接入认证系统及方法 Download PDFInfo
- Publication number
- CN115118489B CN115118489B CN202210725340.5A CN202210725340A CN115118489B CN 115118489 B CN115118489 B CN 115118489B CN 202210725340 A CN202210725340 A CN 202210725340A CN 115118489 B CN115118489 B CN 115118489B
- Authority
- CN
- China
- Prior art keywords
- address
- user
- hash
- cga
- ipv6 address
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 46
- 230000007246 mechanism Effects 0.000 claims abstract description 52
- 238000012795 verification Methods 0.000 claims abstract description 35
- 230000003068 static effect Effects 0.000 claims description 9
- 238000013507 mapping Methods 0.000 claims description 5
- 230000001172 regenerating effect Effects 0.000 claims description 4
- 238000005516 engineering process Methods 0.000 abstract description 4
- 238000010586 diagram Methods 0.000 description 6
- 102100022142 Achaete-scute homolog 1 Human genes 0.000 description 5
- 101000901099 Homo sapiens Achaete-scute homolog 1 Proteins 0.000 description 5
- 102100022144 Achaete-scute homolog 2 Human genes 0.000 description 3
- 101000901109 Homo sapiens Achaete-scute homolog 2 Proteins 0.000 description 3
- 238000004364 calculation method Methods 0.000 description 3
- 241000700605 Viruses Species 0.000 description 2
- 238000004891 communication Methods 0.000 description 2
- 230000001010 compromised effect Effects 0.000 description 2
- 238000001514 detection method Methods 0.000 description 2
- 238000006467 substitution reaction Methods 0.000 description 2
- 238000013459 approach Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- ZXQYGBMAQZUVMI-GCMPRSNUSA-N gamma-cyhalothrin Chemical compound CC1(C)[C@@H](\C=C(/Cl)C(F)(F)F)[C@H]1C(=O)O[C@H](C#N)C1=CC=CC(OC=2C=CC=CC=2)=C1 ZXQYGBMAQZUVMI-GCMPRSNUSA-N 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 238000005728 strengthening Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
Landscapes
- Engineering & Computer Science (AREA)
- Power Engineering (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Abstract
本发明提供了一种用户、设备、IPv6网络地址绑定的网络接入认证系统及方法,该系统包括注册系统、绑定地址分发配置系统,以及用户认证系统。所述注册系统能够基于用户身份信息和用户设备信息生成该用户的绑定地址;所述绑定地址包括子网前缀和接口标识符,所述接口标识符根据所述用户身份信息和用户设备信息使用CGA机制生成。本发明通过将用户和设备信息映射到IPv6地址中,同时对用户身份及设备进行接入认证,并且通过CGA技术的自身机制实现对IPv6地址的自检,提供了更加安全的验证机制。
Description
技术领域
本发明涉及一种网络接入认证系统及方法,特别是能够同时对用户身份及设备进行接入认证的系统及方法。
背景技术
随着互联网的发展,网络已经渗透到人们生活的方方面面,为了让人们能健康安全的使用网络服务,常采用一些网络安全技术,比如防火墙、VPN、网络加密技术、入侵检测系统等,其中最普遍和实用的手段就是对接入网络的请求进行认证,即对接入网络的用户或设备的身份进行认证。只有具有合法身份的用户和设备才能访问网络资源。
当前对接入网络的认证一般有两种方式:用户身份认证和用户设备认证。用户身份认证是指当用户要接入网络的时候,用户需要输入用户名和密码等信息用于验证用户的身份,当用户身份验证通过后,用户就可以接入网络并正常使用。用户设备认证是指在接入网络的时候需要对设备的信息(如MAC地址)进行验证,只有设备认证通过后,才被允许接入网络。
但是仅使用用户身份认证方式,就相当于不对接入网络的设备进行认证,只验证用户的身份,而这种假设在安全性方面存在很多问题,如由于用户身份信息泄露,导致非法访问的发生。此外,即使用户没有通过认证,它仍然可以访问一定的网络资源,可以用来发动各种攻击。例如,即使攻击者无法对持有关键数据的服务器进行身份验证,他仍然可以使用网络连接对服务器发起拒绝服务攻击。其次,即使非法网络设备不被操纵,将其连接到内部网络仍然是非常危险的。例如,它可以将各种病毒传播到网络中,还可以监视网络以窃取包含关键信息的流量。最后,如果用户的身份信息被泄露了,恶意攻击者就可以使用泄露的用户信息认证通过网络的接入,从而在网络中为所欲为。
仅使用设备地址进行认证,即只认证设备的地址信息,如果之前设备认证通过了,相当于假设网络设备是完全可信的,这种方式在安全性方面也存在很大的危险。这样当设备丢失的时候,捡到设备的其他人就可以使用丢失的设备接入网络,会对网络和设备造成极大的损害。还有一种情况就是用户的设备可能被木马或者病毒等控制,如果不对接入网络的权限进行控制,恶意控制设备的侵入者就会对网络的安全造成很大的隐患。
所以,从上面两点来看,单独的基本用户身份认证的认证方式和单独的使用设备地址进行认证的方式已经不能满足实际网络接入的安全需求。为了保护网络的资源,保证只有合法的网络设备和用户才能访问网络资源,保证向开放的物理网络接口不被非法网络设备窃取,网络上面不存在没有经过授权的设备,网络认证机制必须将用户身份认证机制和设备地址认证机制联动起来,形成增强的认证接入方式。
发明内容
本发明的目的在于提供一种可以同时对用户身份和设备进行认证的网络接入认证系统,提高安全水平和认证效率。本发明的目的还在于提出一种将IPv6分配与用户和设备关联的方法,将用户身份和设备身份结合起来,进行综合的网络接入认证,提供更加安全的验证机制。
本发明的技术方案如下。
本发明第一方面提供了一种网络接入认证系统,包括:
注册系统,用于基于用户身份信息和用户设备信息生成该用户的绑定地址;所述绑定地址包括子网前缀和接口标识符,所述接口标识符根据所述用户身份信息和用户设备信息使用CGA机制生成;
绑定地址分发配置系统,用于接收用户发送的认证信息并进行认证,以及在认证通过后将所述用户的绑定地址分配给所述用户设备;
用户认证系统,用于在用户登入所述注册系统时进行认证,以及在用户接入网络时进行认证。
优选地,所述注册系统能够将用户信息和用户设备信息映射到所述绑定地址;所述用户信息包括用户ID,所述用户设备信息包括MAC地址。
优选地,所述绑定地址为静态IPv6地址;所述静态IPv6地址的前64位为子网前缀,后64位为使用Hash算法对随机序列、子网前缀、冲突数、公共密钥、MAC地址和用户ID连接起来的字符串进行运算,并对获得的字符串截取前64位。
优选地,所述用户认证系统包括认证服务器、地址池和数据库;所述数据库用于将所述注册系统生成的绑定地址与所述用户信息和用户设备信息相关联地存储。
优选地,所述认证服务器在收到用户接入网络请求时,能够从所述数据库中获取到用户的用户ID、MAC地址和绑定地址,并与用户发送过来的请求中携带的信息进行比对。
本发明第二方面提供了一种生成IPv6地址的方法,包括如下步骤:
登记用户身份信息和用户设备信息;
获取子网前缀;
产生一随机序列,并将冲突数设置为0;
产生一对公共/私有密钥对;
使用CGA机制产生接口标识符;所述CGA机制使用的参数数据结构包括随机序列、子网前缀、冲突数、公共密钥、用户身份信息和用户设备信息;
从左到右连接所述子网前缀和所述接口标识符得到IPv6地址。
优选地,所述方法还包括:检测所生成的IPv6地址是否发生地址冲突,若发生地址冲突,则将冲突数的值加1,并重新生成IPv6地址。
本发明第三方面提供了一种验证IPv6地址的方法,用于验证所述IPv6地址是否使用根据本发明第二方面所述的方法生成,包括如下步骤:
检查冲突数,如果冲突数的值超出取值范围,则验证失败;
检查CGA机制使用的参数数据结构的子网前缀是否与所述IPv6地址的子网前缀一致,如果不一致,则验证失败;检查CGA机制使用的参数数据结构的MAC地址是否与链路层选项地址中的MAC地址一致,如果不一致,则验证失败;
对CGA机制使用的参数数据结构执行SHA-1散列算法,取出散列值的最左边的64位,得到Hash1散列;
把Hash1散列和所述IPv6地址的接口标识符进行比较;忽略U/L位、I/G位和安全参数Sec的3位;如果不一致,则验证失败;
从所述IPv6地址的低64位中读取安全参数Sec的值;
将子网前缀、冲突数、类型、长度和MAC地址置为0;
从左到右连接随机序列、子网前缀、冲突数、地址所有者的公钥、类型、长度和MAC地址以及扩充区域,并执行SHA-1散列运算;从散列值的最左边取出112位得到Hash2散列;
将Hash2散列左边的16*Sec位和零做比较,如果不为零,则验证失败;否则验证成功。
本发明第四方面提供了一种网络接入认证方法,包括如下步骤:
客户端登记用户身份信息和用户设备信息;
所述客户端根据获取的用户身份信息和用户设备信息使用CGA机制生成该用户的绑定地址,并写入数据库;
所述客户端通过PPPoE连接到服务器端,向认证服务器请求认证;
如果认证不通过,则不予分配地址;如果认证通过,则DHCP服务器根据用户身份信息和用户设备信息给用户分配该用户的绑定地址。
本发明第五方面提供了一种客户端,包括认证模块、地址生成模块,以及连接请求模块;
所述认证模块用于在用户登入APP应用的认证;
所述地址生成模块用于根据获取的用户身份信息和用户设备信息使用CGA机制生成该用户的绑定地址,并写入数据库;
所述连接请求模块用于向服务器端发送网络接入请求,所述网络接入请求包括用户身份信息和用户设备信息。
通过以上技术方案,本发明通过将用户和设备信息映射到IPv6地址中,同时对用户身份及设备进行接入认证,并且通过CGA技术的自身机制实现对IPv6地址的自检。本发明能取得如下技术效果。
(1)本发明将用户信息被引入用于生成IPv6地址的散列函数中。换句话说,身份验证被纳入地址生成和验证,而不是在外部使用CGA(为了建立通信,并行发送签名以建立安全通道)。这样做的好处是不需要建立专门的通信,来并行发送签名以建立安全通道。
(2)加密生成的IPv6地址是一个自我证明的地址,将公钥绑定到了生成的IPv6地址上,无需CA或PKI。它是一个从公私密钥对以加密方式生成的IPv6地址。
(3)使用本发明技术方案认证可以方便的对接入网络的用户IP地址段进行认证,当用户符合子网前缀要求的时候,就可以放行用户的数据包,否则就拦截用户的数据包,实现对接入网络用户的精准控制。
附图说明
图1是本发明生成的绑定地址结构示意图;
图2是通过CGA机制生成图1中的绑定地址过程示意图;
图3是图2中的CGA机制使用的参数结构示意图;
图4是一种应用本发明的网络结构示意图;
图5是一个应用本发明具体计算的参数结构示意图。
具体实施方式
实施例1
本实施例提供了一种网络接入认证系统,包括:注册系统、绑定地址分发配置系统,以及用户认证系统。
所述注册系统用于基于用户身份信息和用户设备信息生成该用户的绑定地址;所述绑定地址包括子网前缀和接口标识符,所述接口标识符根据所述用户身份信息和用户设备信息使用Cryptographically Generated Addresses(CGA)机制生成。
所述绑定地址分发配置系统用于接收用户发送的认证信息并进行认证,以及在认证通过后将所述用户的绑定地址分配给所述用户设备。
所述用户认证系统用于在用户登入所述注册系统时进行认证,以及在用户接入网络时进行认证。
在一优选的实施方式中,所述注册系统能够将用户信息和用户设备信息映射到所述绑定地址;所述用户信息包括用户ID,所述用户设备信息包括MAC地址。
如图1所示,生成的绑定地址为IPv6的CGA地址。其中前64位为IPv6地址的子网前缀,sec为一个安全参数,占三位,主要用来加强防御暴力攻击。U/L位和I/G位都置为1时表示该地址为一个CGA地址,用来区别没有加密的IPv6地址;其余59位存放的是按照CGA机制产生的Hash散列。
在每次产生CGA地址前,系统会首先产生一对公共/私有密钥对。对公共密钥和辅助参数进行两次Hash加密算法计算产生IPv6地址的低64位。公共密钥和辅助参数构成了一个CGA参数数据结构,如图2-3所示。
随机序列:由计算机随机生成,在每次生成CGA的过程中使用,通过加入此随机数来加强抗攻击能力,并提高地址的保密性,为128位。
子网前缀:本地子网前缀,64位。
冲突数:无符号整数,取值范围只有0、1或2。初始值为0,当重复地址检测过程中发生地址冲突,节点在重新生成地址时该参数的值加1。
公共密钥:存储地址所有者的公共密钥,RSA公钥长度为512位,也可以为1024或者2048位。
MAC地址:用户设备的MAC地址,48位。
用户ID:用户在系统中注册的用户ID,变长。
如图2-3所示,本发明在原CGA参数数据结构的扩充区域增加MAC地址信息和用户信息,采用类型-长度-值格式。由于MAC地址的长度为48位,因此其长度区域值为6。在CGA机制中使用的主要参数包括随机序列、子网前缀、冲突数和公共密钥,如公式(1)。本发明在CGA机制中增加了MAC地址参数和用户ID,如公式(2)。
HostID1=HAsH64(Random+subnetPrefix+Collision+PublicKey) (1)
HostID2=HAsH64(Random+subnetPrefix+Collision+PublicKey+MAC+UserID)(2)。
具体的hash算法如下:
用SHA-1哈希算法从这些参数得到HASH1和HASH2值,HASH1用来生成CGA地址,HASH2用来校验HASH1。
HASH1(64位)=SHA-1160(随机序列+子网前缀+冲突计数+公钥+MAC地址+用户ID)取最左边64位。
HASH2(112位)=SHA-1160(随机序列+zero(64)+zero(8)+Public Key+公钥+MAC地址+用户ID)最左边112位。
通过上面计算后,将获得的HASH1地址放在IPv6地址的后64位,并填充特殊位sec、U/L、I/G。
在一优选的实施方式中,所述用户认证系统包括认证服务器、地址池和数据库;所述数据库用于将所述注册系统生成的绑定地址与所述用户信息和用户设备信息相关联地存储。
在一优选的实施方式中,所述认证服务器在收到用户接入网络请求时,能够从所述数据库中获取到用户的用户ID、MAC地址和绑定地址,并与用户发送过来的请求中携带的信息进行比对。
在一优选的实施方式中,绑定地址生成后,客户端通过PPPoE连接到服务器端,由Radius对用户名进行认证。认证通过后,由DHCP服务器分配由第一步生成的IPv6地址。认证不通过则不给予分配地址。其中Radius服务器通过sql方式连接后端数据库,将用户认证信息存储在数据库中。DHCP服务器根据用户名和MAC地址给用户分配IPv6地址,对应的映射关系也存储在数据库中。如图4所示,客户端首先通过PPP连接到PPPoE的服务器端,服务器端将认证信息交给Radius处理,Radius处理认证通过后再由DHCP服务器分配IPv6地址给客户端。
对用户接入认证部分主要分为两个大的模块,分别是用户接入网络的认证和用户登入APP应用的认证。期望的用户接入网络的认证方式是同时验证用户名和密码、以及用户的设备地址,之后给用户分配系统生成的IPv6地址,并且认证方式可以扩展(如EDUROAM系统等)。现有技术中一般的地址分配系统默认的是只认证用户的动态随机分配IPv4地址,本发明实现的是同时认证用户和设备的静态固定分配IPv6地址。如果使用Radius(认证服务器)+ippool(地址池)+mysql(数据库)的方案,这个方式可以支持用户的认证,但是不支持wpa2-peap(受保护的可扩展认证协议)来分配静态地址。
所以,要实现同时认证用户和设备的静态固定分配IPv6地址,本发明使用Radius(认证服务器)+DHCP(地址池)+数据库的方案来实现,其中Radius实现在用户和设备的认证,DHCP管理静态IPv6地址的自动分配,静态IPv6地址存储在mysql数据库中,由APP应用来管理。
对用户接入网络的地址进行认证如下:
接收节点对一个CGA地址进行验证所需要的参数可以从接收到的消息中提取CGA参数数据结构获得,参数包括:128位的随机序列、64位的子网地址、8位冲突数、地址所有者的公钥、类型、长度和MAC地址。安全参数sec可以从CGA地址中的低64位的最左边三位提取得到。通过验证CGA地址是否正确,系统能够保证对用户ID、MAC地址映射的有效性和安全性。
本领域技术人员能够理解,本发明对CGA地址的验证方式可以使用现有技术中任何验证CGA地址正确生产的方式。
实施例2
本实施例提供了一种生成IPv6地址的方法,包括如下步骤:
登记用户身份信息和用户设备信息。
获取子网前缀。
产生一随机序列,并将冲突数设置为0。
产生一对公共/私有密钥对。
使用CGA机制产生接口标识符;所述CGA机制使用的参数数据结构包括随机序列、子网前缀、冲突数、公共密钥、用户身份信息和用户设备信息;同时在所述接口标识符填充5位特殊位sec、U/L、I/G。
从左到右连接所述子网前缀和所述接口标识符得到IPv6地址。
在一优选的实施方式中,所述方法还包括:检测所生成的IPv6地址是否发生地址冲突,若发生地址冲突,则将冲突数的值加1,并重新生成IPv6地址。
实施例3
本实施例提供了一种验证IPv6地址的方法,用于验证所述IPv6地址是否为使用根据本发明实施例2所述的方法生成的合法地址,包括如下步骤。
检查冲突数,如果冲突数的值超出取值范围,则验证失败。
检查CGA机制使用的参数数据结构的子网前缀是否与所述IPv6地址的子网前缀一致,如果不一致,则验证失败;检查CGA机制使用的参数数据结构的MAC地址是否与链路层选项地址中的MAC地址一致,如果不一致,则验证失败。
对CGA机制使用的参数数据结构执行SHA-1散列算法,取出散列值的最左边的64位,得到Hash1散列。
把Hash1散列和所述IPv6地址的接口标识符进行比较;忽略U/L位、I/G位和安全参数Sec的3位;如果不一致,则验证失败。
从所述IPv6地址的低64位中读取安全参数Sec的值。
将子网前缀、冲突数、类型、长度和MAC地址置为0。
从左到右连接随机序列、子网前缀、冲突数、地址所有者的公钥、类型、长度和MAC地址以及扩充区域,并执行SHA-1散列运算;从散列值的最左边取出112位得到Hash2散列。
将Hash2散列左边的16*Sec位和零做比较,如果不为零,则验证失败;否则验证成功。
实施例4
本实施例提供了一种网络接入认证方法,包括如下步骤。
客户端登记用户身份信息和用户设备信息;
所述客户端根据获取的用户身份信息和用户设备信息使用CGA机制生成该用户的绑定地址,并写入数据库;
所述客户端通过PPPoE连接到服务器端,向认证服务器请求认证;
如果认证不通过,则不予分配地址;如果认证通过,则DHCP服务器根据用户身份信息和用户设备信息给用户分配该用户的绑定地址。
实施例5
本实施例提供了一种客户端,包括认证模块、地址生成模块,以及连接请求模块。
所述认证模块用于在用户登入APP应用的认证。
所述地址生成模块用于根据获取的用户身份信息和用户设备信息使用CGA机制生成该用户的绑定地址,并写入数据库。
所述连接请求模块用于向服务器端发送网络接入请求,所述网络接入请求包括用户身份信息和用户设备信息。
实施例6
本实施例提供一个根据本发明的网络接入认证过程的具体计算过程。
1.用户IPv6地址的生成
用户IPv6地址的生成过程如下:
用户首先在APP注册系统中登记好用户ID、密码和MAC地址等信息。APP注册系统根据获取的用户ID和MAC地址,使用CGA生成地址后64位,即使用Hash算法对随机序列、子网前缀、冲突数、公共密钥、MAC地址和用户ID连接起来的字符串进行运算。获得的字符串截取前64位作为用户IPv6地址的后64位。如下面的示例:
随机序列:a558 39a9 4525c0b1 4b8f ff58 a57d 0f85(128位)
子网前缀:240e:eb:8001:e13
冲突数:0
公共密钥:eb7f612ddb465666086cd4572f01f82d26d30e3281f7d52642ec41811fbfb0eceb7f612ddb465666086cd4572f01f82d26d30e3281f7d52642ec41811fbfb0eceb7f612ddb465666086cd4572f01f82d26d30e3281f7d52642ec41811fbfb0eceb7f612ddb465666086cd4572f01f82d26d30e3281f7d52642ec41811fbfb0ec(512位)
MAC地址:00:50:56:88:c9:ec
用户id:zhangsan_must01
图5是具体计算的示意图。五个红色的框出来的数据分别代表随机序列、子网前缀、冲突数、MAC地址和用户ID,没有框起来的部分代表公钥。
最后获得字符串为:207527110cc8a67c1171f42fe0b86b41ac3828f81938691cd9f1ec24eb5ee402。
取其中前64位作为IPv6的地址组成部分,也就是207527110cc8a67c。
由于IP地址前缀为:240e:eb:8001:e13,所以这个用户的最终分配IPv6地址为240e:eb:8001:e13:2075:2711:0cc8:a67c。
最后,APP应用程序将相关的用户ID,MAC地址和IPv6地址信息写入数据库。
2.IPv6地址的配置
用户在拥有生成的IPv6地址后,还需要将IPv6地址进行配置到设备上才能使用。用户IPv6地址的配置过程如下:
首先用户通过PPPoE协议连接边缘交换机,交换机将用户的认证请求交给Radius服务器,Radius服务器从数据中获取用户ID和密码等信息,与用户提交的信息进行比对,比对通过后将请求发送给DHCP服务器,DHCP服务器从数据库获取到用户已经拥有的IPv6地址,将该地址分配给用户。用户获得接收到DHCP返回的IPv6地址配置到设备中。至此用户的IPv6地址配置完成。
3.IPv6地址的验证
用户在完成IPv6地址的配置过程之后,就不需要每次都进行IPv6地址的配置了,再次登录网络的时候,只需要对用户的ID和MAC信息进行认证就可以了。具体过程如下:
用户发送登录网络请求,边缘交换机在接收到请求后,将该请求转发给Radius认证服务器,Radius认证服务器从数据中获取到用户的用户ID、MAC地址和IPv6地址等信息,通过与用户发送过来的请求中携带的信息进行比对,当比对通过后,用户就可以正常的使用网络了。
4.分配的IPv6地址的真实性校验
通过对报文源地址或目的地址的真实性校验按照数据流向来对接入网络的用户IPv6地址进行真实性校验。对流出安全网关的源地址进行校验和对流入安全网关的目的地址的校验方法是一致的,记录地址为x。校验方法如下:数据网关获取地址x,同时在DHCP数据库中匹配地址x对应的用户,如果找到匹配记录,则地址x为真,如果找不到地址x对应的用户,则地址x为假。
5.分配的IPv6地址的有效性校验
报文源地址和目的地址的有效性校验手段相同,都是通过网关获取地址后,与数据库配置的IP地址段进行比对。如果比对符合,说明地址有效,如果比对不符合,说明地址无效。比对的对象是用户IP地址段。
6.用户数据包拦截/丢弃
数据包拦截/丢弃主要是为了防止非认证接入网络。在网关处对接入网络的IPv6地址进行监测,当接入网络的IPv6地址符合地址段要求的时候,就放行数据包。当接入网络的IPv6地址不符合子网前缀要求的时候,就对数据包进行拦截或者丢弃。
以上所述实施例,仅为本发明的具体实施方式,用以说明本发明的技术方案,而非对其限制,本发明的保护范围并不局限于此,尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,其依然可以对前述实施例所记载的技术方案进行修改或可轻易想到变化,或者对其中部分技术特征进行等同替换;而这些修改、变化或者替换,并不使相应技术方案的本质脱离本发明实施例技术方案的精神和范围,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应所述以权利要求的保护范围为准。
Claims (9)
1.一种网络接入认证系统,其特征在于,包括:
注册系统,用于基于用户身份信息和用户设备信息生成该用户的绑定地址;所述绑定地址包括子网前缀和接口标识符,所述接口标识符根据所述用户身份信息和用户设备信息使用CGA机制生成;
绑定地址分发配置系统,用于接收用户发送的认证信息并进行认证,以及在认证通过后将所述用户的绑定地址分配给所述用户设备;
用户认证系统,用于在用户登入所述注册系统时进行认证,以及在用户接入网络时进行认证;
所述绑定地址使用一种生成IPv6地址的方法生成,所述一种生成IPv6地址的方法包括如下步骤:
登记用户身份信息和用户设备信息;
获取子网前缀;
产生一随机序列,并将冲突数设置为0;
产生一对公共/私有密钥对;
使用CGA机制产生接口标识符;所述CGA机制使用的参数数据结构包括随机序列、子网前缀、冲突数、公共密钥、用户身份信息和用户设备信息;
从左到右连接所述子网前缀和所述接口标识符得到IPv6地址;
所述用户认证系统在用户接入网络时的认证包括验证所述IPv6地址是否使用所述一种生成IPv6地址的方法生成,包括如下步骤:
检查冲突数,如果冲突数的值超出取值范围,则验证失败;
检查CGA机制使用的参数数据结构的子网前缀是否与所述IPv6地址的子网前缀一致,如果不一致,则验证失败;检查CGA机制使用的参数数据结构的MAC地址是否与链路层选项地址中的MAC地址一致,如果不一致,则验证失败;
对CGA机制使用的参数数据结构执行SHA-1散列算法,取出散列值的最左边的64位,得到Hash1散列;
把Hash1散列和所述IPv6地址的接口标识符进行比较;忽略U/L位、I/G位和安全参数Sec的3位;如果不一致,则验证失败;
从所述IPv6地址的低64位中读取安全参数Sec的值;
将子网前缀、冲突数、类型、长度和MAC地址置为0;
从左到右连接随机序列、子网前缀、冲突数、地址所有者的公钥、类型、长度和MAC地址以及扩充区域,并执行SHA-1散列运算;从散列值的最左边取出112位得到Hash2散列;
将Hash2散列左边的16*Sec位和零做比较,如果不为零,则验证失败;否则验证成功。
2.根据权利要求1所述的一种网络接入认证系统,其特征在于,所述注册系统能够将用户信息和用户设备信息映射到所述绑定地址;所述用户信息包括用户ID,所述用户设备信息包括MAC地址。
3.根据权利要求2所述的一种网络接入认证系统,其特征在于,所述绑定地址为静态IPv6地址;所述静态IPv6地址的前64位为子网前缀,后64位为使用Hash算法对随机序列、子网前缀、冲突数、公共密钥、MAC地址和用户ID连接起来的字符串进行运算,并对获得的字符串截取前64位。
4.根据权利要求1所述的一种网络接入认证系统,其特征在于,所述用户认证系统包括认证服务器、地址池和数据库;所述数据库用于将所述注册系统生成的绑定地址与所述用户信息和用户设备信息相关联地存储。
5.根据权利要求4所述的一种网络接入认证系统,其特征在于,所述认证服务器在收到用户接入网络请求时,能够从所述数据库中获取到用户的用户ID、MAC地址和绑定地址,并与用户发送过来的请求中携带的信息进行比对。
6.一种验证IPv6地址的方法,用于验证所述IPv6地址是否使用一种生成IPv6地址的方法生成,其特征在于,包括如下步骤:
检查冲突数,如果冲突数的值超出取值范围,则验证失败;
检查CGA机制使用的参数数据结构的子网前缀是否与所述IPv6地址的子网前缀一致,如果不一致,则验证失败;检查CGA机制使用的参数数据结构的MAC地址是否与链路层选项地址中的MAC地址一致,如果不一致,则验证失败;
对CGA机制使用的参数数据结构执行SHA-1散列算法,取出散列值的最左边的64位,得到Hash1散列;
把Hash1散列和所述IPv6地址的接口标识符进行比较;忽略U/L位、I/G位和安全参数Sec的3位;如果不一致,则验证失败;
从所述IPv6地址的低64位中读取安全参数Sec的值;
将子网前缀、冲突数、类型、长度和MAC地址置为0;
从左到右连接随机序列、子网前缀、冲突数、地址所有者的公钥、类型、长度和MAC地址以及扩充区域,并执行SHA-1散列运算;从散列值的最左边取出112位得到Hash2散列;
将Hash2散列左边的16*Sec位和零做比较,如果不为零,则验证失败;否则验证成功;
所述一种生成IPv6地址的方法包括如下步骤:
登记用户身份信息和用户设备信息;
获取子网前缀;
产生一随机序列,并将冲突数设置为0;
产生一对公共/私有密钥对;
使用CGA机制产生接口标识符;所述CGA机制使用的参数数据结构包括随机序列、子网前缀、冲突数、公共密钥、用户身份信息和用户设备信息;
从左到右连接所述子网前缀和所述接口标识符得到IPv6地址。
7.根据权利要求6所述的一种验证IPv6地址的方法,其特征在于,所述一种生成IPv6地址的方法还包括:检测所生成的IPv6地址是否发生地址冲突,若发生地址冲突,则将冲突数的值加1,并重新生成IPv6地址。
8.一种网络接入认证方法,其特征在于,包括如下步骤:
客户端登记用户身份信息和用户设备信息;
所述客户端根据获取的用户身份信息和用户设备信息使用CGA机制生成该用户的绑定地址,并写入数据库;
所述客户端通过PPPoE连接到服务器端,向认证服务器请求认证;
如果认证不通过,则不予分配地址;如果认证通过,则DHCP服务器根据用户身份信息和用户设备信息给用户分配该用户的绑定地址;
所述绑定地址使用一种生成IPv6地址的方法生成,所述一种生成IPv6地址的方法包括如下步骤:
登记用户身份信息和用户设备信息;
获取子网前缀;
产生一随机序列,并将冲突数设置为0;
产生一对公共/私有密钥对;
使用CGA机制产生接口标识符;所述CGA机制使用的参数数据结构包括随机序列、子网前缀、冲突数、公共密钥、用户身份信息和用户设备信息;
从左到右连接所述子网前缀和所述接口标识符得到IPv6地址;
所述认证服务器的认证包括验证所述IPv6地址是否使用所述一种生成IPv6地址的方法生成,包括如下步骤:
检查冲突数,如果冲突数的值超出取值范围,则验证失败;
检查CGA机制使用的参数数据结构的子网前缀是否与所述IPv6地址的子网前缀一致,如果不一致,则验证失败;检查CGA机制使用的参数数据结构的MAC地址是否与链路层选项地址中的MAC地址一致,如果不一致,则验证失败;
对CGA机制使用的参数数据结构执行SHA-1散列算法,取出散列值的最左边的64位,得到Hash1散列;
把Hash1散列和所述IPv6地址的接口标识符进行比较;忽略U/L位、I/G位和安全参数Sec的3位;如果不一致,则验证失败;
从所述IPv6地址的低64位中读取安全参数Sec的值;
将子网前缀、冲突数、类型、长度和MAC地址置为0;
从左到右连接随机序列、子网前缀、冲突数、地址所有者的公钥、类型、长度和MAC地址以及扩充区域,并执行SHA-1散列运算;从散列值的最左边取出112位得到Hash2散列;
将Hash2散列左边的16*Sec位和零做比较,如果不为零,则验证失败;否则验证成功。
9.一种客户端,其特征在于,包括认证模块、地址生成模块,以及连接请求模块;
所述认证模块用于在用户登入APP应用的认证;
所述地址生成模块用于根据获取的用户身份信息和用户设备信息使用CGA机制生成该用户的绑定地址,并写入数据库;
所述连接请求模块用于向服务器端发送网络接入请求,所述网络接入请求包括用户身份信息和用户设备信息;
所述绑定地址使用一种生成IPv6地址的方法生成,所述一种生成IPv6地址的方法包括如下步骤:
登记用户身份信息和用户设备信息;
获取子网前缀;
产生一随机序列,并将冲突数设置为0;
产生一对公共/私有密钥对;
使用CGA机制产生接口标识符;所述CGA机制使用的参数数据结构包括随机序列、子网前缀、冲突数、公共密钥、用户身份信息和用户设备信息;
从左到右连接所述子网前缀和所述接口标识符得到IPv6地址;
所述认证模块的认证包括验证所述IPv6地址是否使用所述一种生成IPv6地址的方法生成,包括如下步骤:
检查冲突数,如果冲突数的值超出取值范围,则验证失败;
检查CGA机制使用的参数数据结构的子网前缀是否与所述IPv6地址的子网前缀一致,如果不一致,则验证失败;检查CGA机制使用的参数数据结构的MAC地址是否与链路层选项地址中的MAC地址一致,如果不一致,则验证失败;
对CGA机制使用的参数数据结构执行SHA-1散列算法,取出散列值的最左边的64位,得到Hash1散列;
把Hash1散列和所述IPv6地址的接口标识符进行比较;忽略U/L位、I/G位和安全参数Sec的3位;如果不一致,则验证失败;
从所述IPv6地址的低64位中读取安全参数Sec的值;
将子网前缀、冲突数、类型、长度和MAC地址置为0;
从左到右连接随机序列、子网前缀、冲突数、地址所有者的公钥、类型、长度和MAC地址以及扩充区域,并执行SHA-1散列运算;从散列值的最左边取出112位得到Hash2散列;
将Hash2散列左边的16*Sec位和零做比较,如果不为零,则验证失败;否则验证成功。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210725340.5A CN115118489B (zh) | 2022-06-24 | 2022-06-24 | 用户、设备、IPv6网络地址绑定的网络接入认证系统及方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210725340.5A CN115118489B (zh) | 2022-06-24 | 2022-06-24 | 用户、设备、IPv6网络地址绑定的网络接入认证系统及方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN115118489A CN115118489A (zh) | 2022-09-27 |
| CN115118489B true CN115118489B (zh) | 2024-04-30 |
Family
ID=83328644
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210725340.5A Active CN115118489B (zh) | 2022-06-24 | 2022-06-24 | 用户、设备、IPv6网络地址绑定的网络接入认证系统及方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115118489B (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116963050B (zh) * | 2023-09-21 | 2023-11-28 | 明阳时创(北京)科技有限公司 | 一种基于端到端IPv6密码标识的可信通信方法及系统 |
| CN117118765B (zh) * | 2023-10-25 | 2023-12-22 | 易讯科技股份有限公司 | 一种ipv6身份安全认证方法及系统 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102932785A (zh) * | 2011-08-12 | 2013-02-13 | 中国移动通信集团浙江有限公司 | 一种无线局域网的快速认证方法、系统和设备 |
| CN102957752A (zh) * | 2011-08-19 | 2013-03-06 | 中兴通讯股份有限公司 | 一种身份标识和网关地址的分配方法及系统 |
| CN105007579A (zh) * | 2014-04-24 | 2015-10-28 | 中国移动通信集团广东有限公司 | 一种无线局域网接入认证方法及终端 |
| WO2017214795A1 (zh) * | 2016-06-13 | 2017-12-21 | 刘文婷 | 无线网络接入设备的会员通行认证方法及系统 |
| CN110581902A (zh) * | 2019-09-06 | 2019-12-17 | 迈普通信技术股份有限公司 | 一种地址分配方法、系统、dhcp服务器及认证服务器 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| GB201915196D0 (en) * | 2014-12-18 | 2019-12-04 | Sophos Ltd | A method and system for network access control based on traffic monitoring and vulnerability detection using process related information |
-
2022
- 2022-06-24 CN CN202210725340.5A patent/CN115118489B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102932785A (zh) * | 2011-08-12 | 2013-02-13 | 中国移动通信集团浙江有限公司 | 一种无线局域网的快速认证方法、系统和设备 |
| CN102957752A (zh) * | 2011-08-19 | 2013-03-06 | 中兴通讯股份有限公司 | 一种身份标识和网关地址的分配方法及系统 |
| CN105007579A (zh) * | 2014-04-24 | 2015-10-28 | 中国移动通信集团广东有限公司 | 一种无线局域网接入认证方法及终端 |
| WO2017214795A1 (zh) * | 2016-06-13 | 2017-12-21 | 刘文婷 | 无线网络接入设备的会员通行认证方法及系统 |
| CN110581902A (zh) * | 2019-09-06 | 2019-12-17 | 迈普通信技术股份有限公司 | 一种地址分配方法、系统、dhcp服务器及认证服务器 |
Non-Patent Citations (2)
| Title |
|---|
| 《基于区块链的身份认证系统的设计与实现》;常泽天;《信息科技》(第2020年第06期);全文 * |
| Qing Yang ; Cheng Wang ; Changqi Wang ; Hu Teng ; Changjun Jiang.《Fundamental Limits of Data Utility: A Case Study for Data-Driven Identity Authentication》.《 IEEE Transactions on Computational Social Systems ( Volume: 8, Issue: 2, April 2021)》.2020,全文. * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN115118489A (zh) | 2022-09-27 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| AlSa'deh et al. | Secure neighbor discovery: Review, challenges, perspectives, and recommendations | |
| US20170302644A1 (en) | Network user identification and authentication | |
| CN115118489B (zh) | 用户、设备、IPv6网络地址绑定的网络接入认证系统及方法 | |
| US10764264B2 (en) | Technique for authenticating network users | |
| US10454887B2 (en) | Allocation of local MAC addresses to client devices | |
| WO2016180204A1 (zh) | 一种安全通讯方法和装置 | |
| US7937759B2 (en) | System and method for protecting communication devices from denial of service attacks | |
| US20100017597A1 (en) | Secure network address provisioning | |
| CN112671779B (zh) | 基于DoH服务器的域名查询方法、装置、设备及介质 | |
| US20090240936A1 (en) | System and method for storing client-side certificate credentials | |
| Hijazi et al. | Address resolution protocol spoofing attacks and security approaches: A survey | |
| US8966263B2 (en) | System and method of network equipment remote access authentication in a communications network | |
| US7243368B2 (en) | Access control system and method for a networked computer system | |
| Srinath et al. | Detection and Prevention of ARP spoofing using Centralized Server | |
| Dinu et al. | DHCP server authentication using digital certificates | |
| CN113992365A (zh) | 一种密钥分发方法、装置及电子设备 | |
| WO2009043304A1 (fr) | Procédé, système, et dispositif permettant la vérification de la relation d'adresse de couche de lien de données et son correspondant de transmission | |
| KR100856918B1 (ko) | IPv6 기반 네트워크상에서의 IP 주소 인증 방법 및IPv6 기반 네트워크 시스템 | |
| CN117411671A (zh) | 一种基于IPv6的终端身份认证方法及装置 | |
| Al-Zubaidie et al. | User authentication into electronic health record based on reliable lightweight algorithms | |
| WO2006083369A2 (en) | Apparatus and method for traversing gateway device using a plurality of batons | |
| Krishnamoorthy et al. | Proposal of HMAC based Protocol for Message Authenication in Kerberos Authentication Protocol | |
| Jony et al. | A New Technique to Mitigate DHCPv6 Starvation Attack and Authenticate Clients using DUID | |
| CN116170238B (zh) | 一种基于服务身份标识密钥的认证方法 | |
| KR102326977B1 (ko) | 신뢰 도메인간 통신 방법 및 이를 위한 게이트웨이 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |