CN201657327U - 一种移动设备与安全接入网关间密钥交换协商系统 - Google Patents
一种移动设备与安全接入网关间密钥交换协商系统 Download PDFInfo
- Publication number
- CN201657327U CN201657327U CN2009202124408U CN200920212440U CN201657327U CN 201657327 U CN201657327 U CN 201657327U CN 2009202124408 U CN2009202124408 U CN 2009202124408U CN 200920212440 U CN200920212440 U CN 200920212440U CN 201657327 U CN201657327 U CN 201657327U
- Authority
- CN
- China
- Prior art keywords
- access gateway
- mobile device
- ike
- address
- safe access
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本实用新型公开了一种移动设备与安全接入网关间密钥交换协商系统,所述系统包括一种移动设备与安全接入网关间密钥交换协商方法、移动设备、安全接入网关和用户管理服务器。系统支持IPSec协议,对传输数据进行认证、加密、构成基于移动平台的安全信道。通过所述的移动设备与安全接入网关间密钥交换协商方法,实现对用户身份的扩展认证和客户端的动态内网IP分配,用以克服现有技术存在的效率低下和可控性差的缺陷,满足移动环境下用户远程安全接入并进行实时业务处理和数据安全交换的要求。
Description
技术领域
本实用新型属于计算机通信和数据安全领域,主要涉及安全密钥协商技术,远程访问技术,特别是移动设备与安全接入网关间密钥交换协商系统。
背景技术
智能终端和无线网络通讯的迅速发展使得人们可以很方便地利用智能移动终端随时随地接入因特网,但是目前机密性要求较高的业务在移动终端上的应用却很少,这是由于移动网络是开放的网络,它除了需要面对固定网络所具有的安全威胁之外,还面临着带宽低、干扰大、稳定性差,容易丢包,更容易受到窃听等问题。同时,智能移动终端还具有计算能力低、存储容量小、IP地址不固定的特点。采用基于IPSec的VPN技术来保障移动终端安全接入是目前的研究热点。
IKE(Internet Key Exchange)为IPSec提供自动协商密钥交换,建立安全联盟的服务,其具有一套自保护机制,可以在不安全的网络上安全地分发密钥、验证身份、建立IPSec安全联盟。然而,对于远程接入用户,除了需要建立安全联盟,还需要获得安全接入服务器的内部网络信息,而这些在标准IKE中均未定义,针对此问题,现在广泛应用的解决方案有IETF提出的基于IKE的IPSec隧道模式下的DHCP配置方法,以及微软提出的基于L2TP/IPSec的解决方案,都有广泛应用。DHCP/IPSec方案是由IPSec远程接入客户端首先生成临时DHCP SA,然后在此SA保护下产生DHCP请求消息,IPSec远程接入服务器作为DHCP中继代理,将消息传送到内网的DHCP服务器,为远程接入客户端分配内网IP。此方案的不足之处是需要临时建立一个DHCP SA,不仅延长IKE交互时间,同时也给远程接入服务器带来较大负担,而且由于接入服务器难以控制DHCP服务器,使得不同的用户身份能够选择不同的地址池分配内部地址,引发访问控制困难。而将L2TP(Layer TwoTunneling Protocol)与IPSec结合的方案虽然可以实现内网地址动态分配以及用户名、密码扩展认证,但此方案需要额外进行L2TP协商,并且在IPSec数据传输过程中需要多次封装,导致效率低下。如何设计合理的IKE协商过程,并且不影响系统的安全性以及效率性就显得非常重要。
实用新型内容
为了克服目前基于标准IKE的远程接入方案在系统效率和用户访问控制方面的缺陷,本实用新型在标准IKE的基础上,提供了一种移动设备与安全接入网关间密钥交换协商系统,该系统既支持动态内网IP分配,又支持扩展用户身份认证,从而在接入服务器端可以方便地进行基于内网IP的访问控制管理。
本实用新型解决其技术问题所采用的技术方案如下:
这种移动设备与安全接入网关间密钥交换协商系统主要涉及三个部分:包含IKE协商模块的移动设备,安全接入网关以及用户管理服务器。其中移动设备是进行IKE协商的客户端,其上安装的IKE协商模块具体负责IKE协商工作;安全接入网关是负责与发起连接请求的移动设备完成IKE协商的主体;用户管理服务器主要负责接收安全接入网关发送来的用户身份信息(从IKE主模式第五条消息的用户身份信息载荷中提取),根据用户身份选择合适的内网IP地址分配IP,并将结果返回给安全接入网关,如果用户身份认证失败,则返回空值。当IKE SA过期或收到IKE终止消息时,安全接入网关模块会向地址管理模块发送地址回收消息,地址管理模块回收此地址。
上述系统中,所述的移动设备为智能手机、便携式电脑等智能终端。
上述系统中,所述的移动设备安装Windows Mobile 5.0以上操作系统。
上述系统中,所述的安全接入网关和用户管理服务器在一台服务器上。
本实用新型的有益效果为:通过修改IKE交互流程,在保证系统安全及效率的基础上,不仅实现了客户端的动态内网IP分配,而且增加对用户身份的扩展认证。系统中采用的基于用户组的内网IP分配策略,有利于进一步进行访问控制。
附图说明
图1为本实用新型所述移动设备与安全接入网关间密钥交换协商系统环境框图;
图2为本实用新型所述的移动设备与接入网关之间进行密钥交换协商的步骤流程图;
图3为本实用新型在具体实施例中IKE协商第一阶段消息交换过程示意图;
图4为本实用新型在具体实施例中自定义用户身份载荷(UserInfo)格式示意图;
图5为本实用新型在具体实施例中自定义内网地址载荷(InnerAddr)格式示意图;
图6为本实用新型在具体实施例中标准IKE协商中第五六条消息更改后的处理流程示意图;
图7为本实用新型在具体实施例中IKE协商第二阶段消息交换过程示意图。
图中:HDR表示ISAKMP头,它的交换类型就是采用的交换的模式,HDR*表明ISAKMP头后面的是加密载荷。SA表示带有一个或多个建议载荷的安全关联联盟。KE表示密钥交换载荷。IDx表示标识载荷,其中x是ii或者ir,ii代表ISAKMP发起者,ir代表ISAKMP响应者。HASH表示杂凑载荷。Cert-R表示证书请求载荷。CERT表示证书。AUTH表示用户名、密码。IP-Req表示IP地址请求载荷。IP-Reply表示IP地址载荷。NAT-T表示NAT穿越。NAT-D表示本地IP地址及端口的HASH值。
具体实施方式
以下结合附图和具体实施例来进一步说明本实用新型,但不用来限制本实用新型的范围。
如图1所示,根据上述公开的技术方案,本实用新型所述系统在实施过程中,主要涉及三个通信模块:客户端模块,安全接入网关模块以及地址管理模块。其中地址管理模块主要负责接收安全接入网关发送来的用户身份信息(从IKE主模式第五条消息的用户身份信息载荷中提取),根据用户身份选择合适的内网IP地址池分配IP,并将结果返回给安全接入网关,如果用户身份认证失败,则返回空值。当IKE SA过期或收到IKE终止消息时,安全接入网关模块会向地址管理模块发送地址回收消息,地址管理模块回收此地址。
当然,具体实现过程中,系统中的移动设备为智能手机、便携式电脑等智能终端;移动设备安装Windows Mobile 5.0以上操作系统;安全接入网关和用户管理服务器在一台服务器上。
另外,如图2所示,基于上述系统的运行方法所包括的主要步骤如下:
IKE协商的客户端(移动设备),向接入网关发送携带有用户身份认证信息的第五条消息,请求进行用户身份认证;
所述接入网关接收来自所述客户端的携带有用户身份认证信息的第五条消息,获取用户身份信息,进行用户身份认证。如果认证通过,则为所述客户端分配内网IP地址,并向所述客户端发送携带有内网IP地址信息的第六条消息;
所述客户端接收来自所述接入网关的携带有内网IP地址信息的第六条消息,获取并记录所述内网IP地址。
上述方法中,所述第五条消息是IKE主模式协商过程中的第五条消息,所述第六条消息是IKE主模式协商过程中的第六条消息。
上述方法中,所述用户身份认证信息包含在所述第五条消息中的用户身份载荷(UserInfo)中进行发送。
上述方法中,所述用户身份认证信息包括用户名和用户密码。
上述方法中,在所述接入网关上配置用户信息,以保证用户可进行身份认证。
上述方法中,所述接入网关为通过用户身份认证的客户端分配一个内网IP地址;当IKESA过期或收到IKE中止消息时,回收上述分配的内网IP地址。
上述方法中,所述内网IP地址信息携带在所述第六条消息中的内网地址载荷(InnerAddr)中进行发送。
上述方法中,所述内网IP地址信息为所述接入网关为所述客户端分配的内网IP地址。
上述方法中,所述记录所述内网IP地址为:从所接收的第六条消息中获取内网IP地址,将获取的内网IP地址记录在客户端设备的注册表中。
上述方法中,如果用户身份认证不通过,则所述接入网关将中止与所述客户端的后续IKE协商。
上述方法中,所述第五条消息和第六条消息的内容由IKE主模式协商第一条至第四条消息建立的密码算法和密钥来保护。
上述系统的具体实施步骤包括IKE第一阶段协商和第二阶段协商:
1.IKE第一阶段协商(如图3):
步骤一:当客户端需要访问安全接入网关信息时,首先输入用户名、密码,激活IKE协商;
步骤二:客户端发起IKE协商主模式第一条消息,生成CKY-I,提出ISAKMP SA属性的建议,向安全接入网关发送一个封装有提案载荷的SA载荷,包括加密算法(选择DES,AES或3DES等)、hash算法(选择MD5或SHA)、认证方法(选择证书认证、预置共享密钥认证或Kerberos v5认证)、Diffie-Hellman组(选择1024bit MODP,1536bit MODP等)。
步骤三:安全接入网关响应IKE协商主模式第一条消息,生成CKY-R,从建议的ISAKMPSA属性中做出选择,并向客户端发送IKE协商主模式第二条消息,表明其所接受的SA建议。
步骤四:客户端发送IKE协商主模式第三条消息。包括Diffie-Hellman公开值,nounce值Ni。
步骤五:安全接入网关接收第三条消息,并发送IKE协商主模式第四条消息,包括Diffie-Hellman公开值,nounce值Nr及证书请求载荷。同时,根据接收的第三条消息计算SKEYID、SKEYID_d、SKEYID_a、SKEYID_e等密钥材料。
步骤六:客户端发送IKE协商主模式第五条消息,包括标识数据ID-I、证书载荷、以及自定义的用户身份载荷(UserInfo)(具体格式定义如图4所示)。
步骤七:安全接入网关接收第五条消息,如果接收到用户身份载荷(UserInfo),则提取用户身份信息,传递给地址管理模块,地址管理模块会根据用户身份选择合适的地址池分配,并回送带有内网IP信息的内网地址载荷(InnerAddr)(具体格式如图5),如果身份验证失败,则终止后续IKE协商。具体流程如图6。
2.IKE第二阶段协商(如图7):
步骤八:开始IKE第二阶段协商,在IKE SA的保护下建立IPSec SA,客户端和安全接入网关均可作为发起端。
步骤九:完成IKE第二阶段协商,获得IPSec传输所需要的密钥材料,传输模式等信息,协商结束。
本实用新型针对目前基于标准IKE的远程接入方案的缺陷,通过在IKE第一阶段主模式的第五条消息中增加身份用户身份载荷,接入网关根据用户身份分配合适的内网IP添加在IKE第一阶段主模式第六条消息中,实现了对用户远程安全接入获得内网信息的支持,而且扩展了IKE认证方式,根据身份分配内网IP的方式更加有利于访问控制管理,而且,由于扩展载荷增加在第五六条消息中,属于加密传输,不会降低IKE协商的安全性。因此,本方案不仅满足远程客户的安全接入需求,而且具有更高的协商效率,更强的可控性及灵活性。
上述的对实施例的描述是为便于该技术领域的普通技术人员能理解和使用本实用新型。熟悉本领域技术的人员显然可以容易地对这些实施例做出各种修改,并把在此说明的一般原理应用到其他实施例中而不必经过创造性的劳动。因此,本实用新型不限于上述实施例,在不脱离本实用新型的范畴的情况下所做出的修改都在本实用新型的保护范围之内。
Claims (4)
1.一种移动设备与安全接入网关间密钥交换协商系统,由包含IKE协商模块的移动设备,安全接入网关以及用户管理服务器组成;其特征在于:
所述移动设备作为进行IKE协商的客户端,其上安装的IKE协商模块具体负责IKE协商工作;
所述安全接入网关是负责与发起连接请求的移动设备完成IKE协商的主体;
所述用户管理服务器主要负责接收安全接入网关发送来的用户身份信息,根据用户身份选择合适的内网IP地址分配IP,并将结果返回给安全接入网关,如果用户身份认证失败,则返回空值;当IKE SA过期或收到IKE终止消息时,安全接入网关模块会向地址管理模块发送地址回收消息,地址管理模块回收此地址。
2.根据权利要求1所述的密钥交换协商系统,其特征在于:所述的移动设备为智能终端。
3.根据权利要求2所述的密钥交换协商系统,其特征在于:所述的智能终端包括智能手机、便携式电脑。
4.根据权利要求1所述的密钥交换协商系统,其特征在于:所述的安全接入网关和用户管理服务器在一台服务器上。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2009202124408U CN201657327U (zh) | 2009-12-04 | 2009-12-04 | 一种移动设备与安全接入网关间密钥交换协商系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2009202124408U CN201657327U (zh) | 2009-12-04 | 2009-12-04 | 一种移动设备与安全接入网关间密钥交换协商系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN201657327U true CN201657327U (zh) | 2010-11-24 |
Family
ID=43122556
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2009202124408U Expired - Fee Related CN201657327U (zh) | 2009-12-04 | 2009-12-04 | 一种移动设备与安全接入网关间密钥交换协商系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN201657327U (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102694808A (zh) * | 2012-05-31 | 2012-09-26 | 汉柏科技有限公司 | Ike远程接入的处理系统及方法 |
| CN102752308A (zh) * | 2012-07-10 | 2012-10-24 | 河北省电子认证有限公司 | 通过网络提供数字证书综合业务系统及其实现方法 |
| CN109872787A (zh) * | 2019-02-02 | 2019-06-11 | 上海龙健信息技术科技有限公司 | 一种分布式数据发布与订阅方法 |
| CN110034984A (zh) * | 2016-03-29 | 2019-07-19 | 华为技术有限公司 | 一种接入方法、设备及系统 |
-
2009
- 2009-12-04 CN CN2009202124408U patent/CN201657327U/zh not_active Expired - Fee Related
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102694808A (zh) * | 2012-05-31 | 2012-09-26 | 汉柏科技有限公司 | Ike远程接入的处理系统及方法 |
| CN102752308A (zh) * | 2012-07-10 | 2012-10-24 | 河北省电子认证有限公司 | 通过网络提供数字证书综合业务系统及其实现方法 |
| CN110034984A (zh) * | 2016-03-29 | 2019-07-19 | 华为技术有限公司 | 一种接入方法、设备及系统 |
| US10911918B2 (en) | 2016-03-29 | 2021-02-02 | Huawei Technologies Co., Ltd. | Access method, device, and system |
| CN110034984B (zh) * | 2016-03-29 | 2021-09-07 | 华为技术有限公司 | 一种接入方法、设备及系统 |
| US12010598B2 (en) | 2016-03-29 | 2024-06-11 | Huawei Technologies Co., Ltd. | Access method, device, and system |
| CN109872787A (zh) * | 2019-02-02 | 2019-06-11 | 上海龙健信息技术科技有限公司 | 一种分布式数据发布与订阅方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101150594B (zh) | 一种移动蜂窝网络和无线局域网的统一接入方法及系统 | |
| CN101616410B (zh) | 一种蜂窝移动通信网络的接入方法和系统 | |
| CN101127600B (zh) | 一种用户接入认证的方法 | |
| KR101438243B1 (ko) | Sim 기반 인증방법 | |
| CN101296086B (zh) | 接入认证的方法、系统和设备 | |
| CN101772024B (zh) | 一种用户身份确定方法及装置和系统 | |
| CN102111766B (zh) | 网络接入方法、装置及系统 | |
| CN101640607B (zh) | 基于因特网安全协议的虚拟专用网的配置方法及系统 | |
| CN109923830A (zh) | 用于配置无线网络接入设备的系统和方法 | |
| CN102255918A (zh) | 一种基于DHCP Option 82的用户接入权限控制方法 | |
| CN101335621B (zh) | 一种802.11i密钥管理方法 | |
| CN101742491A (zh) | 一种移动设备与安全接入网关间密钥交换协商方法 | |
| CN101986598B (zh) | 认证方法、服务器及系统 | |
| CN106789476B (zh) | 一种网关通讯方法及系统 | |
| CN108288004A (zh) | 一种加密芯片在ree和tee环境共存系统及方法 | |
| WO2014107974A1 (zh) | 一种无线局域网络用户接入固定宽带网络的方法和系统 | |
| CN1567868A (zh) | 基于以太网认证系统的认证方法 | |
| US20150249639A1 (en) | Method and devices for registering a client to a server | |
| KR101227873B1 (ko) | 무선 개인 영역 네트워크에 적용되는 접속 방법 | |
| CN105050086A (zh) | 一种终端登录Wifi热点的方法 | |
| CN201657327U (zh) | 一种移动设备与安全接入网关间密钥交换协商系统 | |
| WO2013149426A1 (zh) | 应用接入智能卡的认证方法、装置和系统 | |
| CN101145907B (zh) | 基于dhcp实现用户认证的方法及系统 | |
| WO2013044766A1 (zh) | 无卡终端的业务访问方法及设备 | |
| WO2010124569A1 (zh) | 用户接入控制方法和系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| C17 | Cessation of patent right | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20101124 Termination date: 20131204 |