CN1588854A

CN1588854A - 一种采用第三方附加认证的分层接入认证方法

Info

Publication number: CN1588854A
Application number: CNA2004100731427A
Authority: CN
Inventors: 李金成; 章忠威; 万晓辉
Original assignee: China Iwncomm Co Ltd
Current assignee: China Iwncomm Co Ltd
Priority date: 2004-09-30
Filing date: 2004-09-30
Publication date: 2005-03-02
Anticipated expiration: 2024-09-30
Also published as: CN1248449C

Abstract

本发明涉及柔性IP网络技术领域，是一种采用第三方附加认证的分层接入认证方法：1)接入管理实体提供初始的附加认证；2)通信端点进行强制认证；3)接入管理实体提供初始的附加认证以后只周期性进行随机认证；上述接入管理实体认证中使用认证消息中的单向递增随机数序列。该方法能够保证柔性IP网络技术体系中接入管理实体、基本域管理实体和扩展域管理实体处理的注册信息的完整性和身份真实性，同时又能提高系统工作效率，满足系统在大负荷工作下的要求。

Description

一种采用第三方附加认证的分层接入认证方法

技术领域

本发明属于IP网络技术领域，特别是柔性IP网络技术领域，具体地说是一种采用第三方附加认证的分层接入认证方法。本发明所说的柔性IP网络技术体系，是指由基本域管理实体，扩展域管理实体，接入管理实体，移动节点构成，使局域网中的移动节点能够在全球互联网范围内随意漫游，并且确保移动节点随时能够与其局域网实现交互访问。

背景技术

移动IP技术中，移动节点在外地网络漫游，需要向家乡代理和整个系统提供身份的有力证明，移动代理才会给它提供代理服务，避免假冒身份的节点影响整个系统的安全性；同时，移动节点在保证身份安全的前提下，需要进一步保证发送的注册消息的信息完整性，避免被人篡改。

通常，移动IP系统的身份验证可以使用数字签名和信息摘要技术解决，数据包的完整性保护可以采用信息摘要技术解决，信息摘要技术可以使用对称密钥或者非对称密钥方式进行。但非对称密钥进行信息摘要运算速度慢，很难满足大用户量的移动IP系统应用需要。

在移动IP的消息传递过程中，传统的身份验证方法通常是在信息的传送过程中分阶段层层认证，即A——B消息认证，B——C消息认证，该方法容易受到中间人方式的攻击；为了增加认证的可靠度，可以给A——C增加一个直接认证，但这样一来，每个传送的数据包都需要增加一个认证摘要信息的计算。

移动IP系统相关的RFC文档中给出了基本的认证消息扩展格式和几种基本的认证对，在注册消息中，这些认证对可以有选择的使用，通常移动节点——家乡代理的认证扩展是必须的，其他扩展为可选，最复杂的情况下将形成两两认证的组合情况，这种认证扩展给注册消息增加了大量的附加长度。

实际应用型的移动IP系统中，用户数非常大，很容易达到几万、几十万直至百万数量级的规模，此时为了保证系统的安全性，给中央处理器CPU增加的认证计算工作量和给网络增加的认证消息传送量都将是巨大的，如何有效的在保证安全性前提下提高效率是系统的关键技术。

发明内容：

本发明所要解决的问题是提供一种采用第三方附加认证的分层接入认证方法，该方法能够保证柔性IP网络技术体系中接入管理实体、基本域管理实体和扩展域管理实体处理的注册信息的完整性和身份真实性，同时又能提高系统工作效率，满足系统在大负荷工作下的要求。

解决上述问题的技术方案是：所提供的一种采用第三方附加认证的分层接入认证方法是：

1)接入管理实体提供初始的附加认证；

2)通信端点进行强制认证；

3)接入管理实体提供初始的附加认证以后只周期性进行随机认证；

上述接入管理实体认证中使用认证消息中的单向递增随机数序列，这样可以避免中间不连续认证造成的安全漏洞，防止认证消息的重放攻击和防止认证间断期内来自第三方的身份欺骗和信息欺骗。

上述的通信端点进行强制认证的认证算法可采用共享密钥方式，利用单向递增函数计算信息摘要，共享的密钥对采用配置方式给出：

1)在基本域管理实体上设置基本域管理实体——接入管理实体密钥对，并给每个移动节点设置或者使用动态分配方式设置基本域管理实体——移动节点共享密钥对；

2)在接入管理实体上设置接入管理实体——基本域管理实体、接入管理实体——扩展域管理实体的共享密钥对；

3)在扩展域管理实体上设置接入管理实体——扩展域管理实体共享密钥对。

本发明的认证算法采用共享密钥方式，利用单向函数计算信息摘要，由于对称式算法具有相对较高的速度，保证了摘要计算和验证的实时性。由于本发明保持了严格的基本域管理实体——移动节点的认证要求，因此接入管理实体的周期性认证要求不会影响到整个系统的安全性。接入管理实体的第三方认证的主要作用是在保证原有身份和数据完整性的基础上，确保系统不会由于重放攻击、拒绝服务攻击等造成的系统处理负荷过大。

附图说明：

图1是柔性IP网络技术认证体系结构及认证共享密钥对示意图。

图2是注册请求消息在传送过程中的认证过程示意图。

图3是注册应答消息在传送过程中的认证过程示意图。

具体实施方式：

图1给出了柔性IP网络技术认证体系结构及认证共享密钥对的示意图，它描述了柔性IP网络技术体系的框架结构，以及柔性IP网络技术体系中不同实体间的认证密钥共享情况。认证体系中主要包括：基本域管理实体——接入管理实体密钥对、扩展域管理实体——接入管理实体密钥对、基本域管理实体——移动节点密钥对；图中编号：1——基本域管理实体，2——扩展域管理实体，3——接入管理实体，4——移动节点，5——因特网/广域网。

图2给出了注册请求消息在传送过程中的认证过程，描述了移动节点发出的注册请求在不同节点间认证扩展的添加和验证过程。

图3给出了注册应答消息在传送过程中的认证过程，描述了基本域管理实体发出的注册应答在不同节点间传送的认证消息添加和验证过程。

下面参照图1、图2、图3对本发明的内容作进一步详细描述：

1)接入管理实体提供初始的附加认证。

2)在基本域管理实体上配置自己所属的接入管理实体，采用共享密钥方式设置基本域管理实体——接入管理实体的共享密钥，同时将该共享密钥配置到接入管理实体上，作为两者的认证共享密钥。

3)基本域管理实体上采用随即分配方式设置每个移动节点的用户认证密钥，该密钥由计算机自动随机产生，对用户和管理员都保密，密钥产生时在基本域网络的可信链路上进行保证共享密钥的私密性。

4)接入管理实体和扩展域管理实体上配置接入管理实体——扩展域管理实体认证的共享密钥，用于接入管理实体验证转发注册请求来的扩展域管理实体是否经过授权，并确认身份和保证消息的完整性。

5)移动节点进行注册时，构造并发送消息，为了保证注册消息的完整性，并证明自己的身份，移动节点利用移动节点——基本域管理实体的共享密钥对进行认证。认证方法是对整个注册消息利用单向递增函数计算信息摘要，同时对信息摘要进行加密，作为移动节点的身份签名。

6)签名后的注册消息发送到扩展域管理实体上，扩展域管理实体检查是否有移动节点请求的移动接入管理实体共享密钥，如果没有，直接不做认证，转发消息给接入管理实体；如果扩展域管理实体保存了对应接入管理实体的共享认证密钥，扩展域管理实体针对注册消息的内容部分(不包括移动节点——基本域管理实体部分)进行消息摘要的计算，同时对消息摘要也进行加密，作为身份签名发送。

7)接入管理实体得到注册消息后也检查是否需要验证接入管理实体——扩展域管理实体认证扩展，根据注册消息的扩展部分的要求判断是否需要认证，如果需要，从共享密钥中提取密钥，解密消息摘要，同时根据注册消息的正文(不包括移动节点——基本域管理实体部分)计算出新的摘要，证明数据的完整性；

8)然后接入管理实体利用接入管理实体——基本域管理实体共享密钥进行新的认证，计算的认证信息添加到注册消息后面，到达基本域管理实体进行移动接入管理实体——基本域管理实体认证。

9)基本域管理实体对接入管理实体的认证通过后，再检查基本域管理实体——移动节点的认证信息，判断是否为真实的移动节点发送的注册请求，验证通过后发送注册应答消息。

10)注册应答消息逆向经过柔性IP网络技术体系的各个管理实体，进行认证、转发，到达移动节点，移动节点最后验证基本域管理实体附加的认证信息，确认消息是否完整和身份合法。

11)接入管理实体首次认证基本域管理实体和扩展域管理实体身份后，以后按照设定的周期，只是定期地对注册请求、应答消息进行认证，而不必每次都增加和检验认证消息。在接入管理实体——基本域管理实体、接入管理实体——扩展域管理实体两次认证之间的注册消息，接入管理实体只检查其单向递增的消息序列号是否合法即可，严格的检查等待基本域管理实体进行，以避免接入管理实体进行大量的认证消息运算和增加网络传送的数据量。

12)接入管理实体的首次认证和周期认证保证了它处理的注册消息是合法的扩展域管理实体和基本域管理实体传来的，避免三者之间被其他主机冒充身份造成的泄密问题。同时避免无关节点的大量非法注册消息冲击接入管理实体和基本域管理实体，保证系统的安全性。

13)移动节点切换扩展域网络或者重启后，将重新进行身份验证，另外周期性的身份验证可以在一个周期的时间内减少认证消息造成的负担，同时又能增加对不安全注册消息的检测能力。

本发明利用第三方的接入管理实体，进行附加的认证，同时该认证以一定周期频率进行，既保证了系统的安全性，同时又保持了很好的系统效率，是一种柔性IP网络技术体系实用化的良好方案。

本发明所涉及的其它相关技术术语如下：

1基本域管理实体：有一个端口与移动节点所在的基本网络域相连的网络设备，为发生漫游的移动节点提供权限认证以及身份代理。

2扩展域管理实体：在移动节点的扩展网络域上的网络设备，为移动节点转发身份认证消息以及数据包。

3接入管理实体：具有可在因特网路由的IP地址的网络设备，它位于基本域管理实体与扩展域管理实体之间，对移动节点身份进行认证以及转发移动节点数据包的中继设备。

4基本网络域：移动节点漫游前所在的网络。

5扩展网络域：移动节点漫游后所到达的网络。

6IP隧道：是指基于IP的一个数据包被封装在另一个IP数据包的净负荷中进行传送时经过的路径。

7隧道技术：指包括数据封装，传输和解包在内的全过程。

8移动节点：可以将接入因特网的位置从一条链路切换到另一条链路上，而仍然保持所有正在进行的通信，并且只使用原有固定IP地址的设备。

Claims

1、一种采用第三方附加认证的分层接入认证方法，其特征是：

1)接入管理实体提供初始的附加认证；

2)通信端点进行强制认证；

上述接入管理实体认证中利用认证消息中的单向递增随机数序列。

2、如权利要求1所述的认证方法，其特征是所说的通信端点进行强制认证是采用共享密钥方式，利用单向递增函数计算信息摘要，共享的密钥对采用配置方式给出：

3、如权利要求1所述的认证方法，其特征是所说的通信端点进行强制认证是：

1)在基本域管理实体上配置自己所属的接入管理实体，采用共享密钥方式设置基本域管理实体——接入管理实体的共享密钥，同时将该共享密钥配置到接入管理实体上，作为两者的认证共享密钥；

2)在基本域管理实体上采用随即分配方式设置每个移动节点的用户认证密钥，该密钥由计算机自动随机产生，对用户和管理员都保密，密钥产生时在基本域网络的可信链路上进行保证共享密钥的私密性；

3)在接入管理实体和扩展域管理实体上配置接入管理实体——扩展域管理实体认证的共享密钥，用于接入管理实体验证转发注册请求来的扩展域管理实体是否经过授权，并确认身份和保证消息的完整性；

4)移动节点进行注册时，构造并发送消息，为了保证注册消息的完整性，并证明自己的身份，移动节点利用移动节点——基本域管理实体的共享密钥对进行认证，认证方法是对整个注册消息利用单向递增函数计算信息摘要，同时对信息摘要进行加密，作为移动节点的身份签名；

5)签名后的注册消息发送到扩展域管理实体上，扩展域管理实体检查是否有移动节点请求的移动接入管理实体共享密钥，如果没有，直接不做认证，转发消息给接入管理实体；如果扩展域管理实体保存了对应接入管理实体的共享认证密钥，扩展域管理实体针对注册消息的内容部分进行消息摘要的计算，同时对消息摘要也进行加密，作为身份签名发送；

6)接入管理实体得到注册消息后也检查是否需要验证接入管理实体——扩展域管理实体认证扩展，根据注册消息的扩展部分的要求判断是否需要认证，如果需要，从共享密钥中提取密钥，解密消息摘要，同时根据注册消息的正文计算出新的摘要，证明数据的完整性；

7)然后接入管理实体利用接入管理实体——基本域管理实体共享密钥进行新的认证，计算的认证信息添加到注册消息后面，到达基本域管理实体进行移动接入管理实体——基本域管理实体认证；

8)基本域管理实体对接入管理实体的认证通过后，再检查基本域管理实体——移动节点的认证信息，判断是否为真实的移动节点发送的注册请求，验证通过后发送注册应答消息；

9)注册应答消息逆向经过柔性IP网络技术体系的各个管理实体，进行认证、转发，到达移动节点，移动节点最后验证基本域管理实体附加的认证信息，确认消息是否完整和身份合法。

4、如权利要求1所述的认证方法，其特征是所说的接入管理实体提供初始的附加认证以后只周期性进行随机认证是指：接入管理实体首次认证基本域管理实体和扩展域管理实体身份后，以后按照设定的周期，只是定期地对注册请求、应答消息进行认证，而不必每次都增加和检验认证消息；在接入管理实体——基本域管理实体、接入管理实体——扩展域管理实体两次认证之间的注册消息，接入管理实体只检查其单向递增的消息序列号是否合法。