WO2011022915A1 - 一种基于预共享密钥的网络安全访问控制方法及其系统 - Google Patents

一种基于预共享密钥的网络安全访问控制方法及其系统 Download PDF

Info

Publication number
WO2011022915A1
WO2011022915A1 PCT/CN2009/075975 CN2009075975W WO2011022915A1 WO 2011022915 A1 WO2011022915 A1 WO 2011022915A1 CN 2009075975 W CN2009075975 W CN 2009075975W WO 2011022915 A1 WO2011022915 A1 WO 2011022915A1
Authority
WO
WIPO (PCT)
Prior art keywords
key
authentication
unicast
identity authentication
aac
Prior art date
Application number
PCT/CN2009/075975
Other languages
English (en)
French (fr)
Inventor
葛莉
曹军
铁满霞
李琴
黄振海
Original Assignee
西安西电捷通无线网络通信有限公司
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 西安西电捷通无线网络通信有限公司 filed Critical 西安西电捷通无线网络通信有限公司
Priority to US13/391,526 priority Critical patent/US8646055B2/en
Priority to JP2012525847A priority patent/JP5524336B2/ja
Publication of WO2011022915A1 publication Critical patent/WO2011022915A1/zh

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/061Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0869Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Definitions

  • the invention relates to a network security access control method based on pre-shared key and a system thereof, in particular to a secure access control method based on pre-shared key authentication mechanism when a user accesses a network in a LAN (Local Area Network) And its system.
  • LAN Local Area Network
  • Wired LANs are generally broadcast networks. Data sent by one node can be received by other nodes. Each node on the network shares a channel, which brings great insecurity to the network. As long as the hacker accesses the network for monitoring, it can capture all the packets on the network and steal key information.
  • the LAN of the existing national standard GB 15629.3 (corresponding to ISO/IEC 8802.3) does not provide secure access. As long as the user can access the LAN control device (such as LAN Switch), the device or resources in the LAN can be accessed. This does not have obvious security risks in the early enterprise network wired LAN application environment. However, with the large-scale development of the network, the user's privacy requirements for information are continuously improved, and it is necessary to implement user-level security access control and data privacy. .
  • the IEEE currently implements security enhancement of IEEE802.3 to achieve link layer security, using a typical secure access architecture protocol IEEE 802. lx and a key management protocol based on IEEE 802.1 X authentication.
  • the basic authentication method of IEEE802.1x is to add an authentication server in addition to the terminal and the access point device, and the access point device uses the authentication server to authenticate the identity of the terminal, thereby implementing secure access control to the terminal.
  • the access point device directly forwards the authentication information between the terminal and the authentication server, and does not participate in the identity authentication process as an independent entity.
  • This mode can only realize the legality identification of the terminal identity of the network, but it cannot meet the legality identification requirements of the terminal for the access network, and cannot realize the two-way authentication between the terminal and the network. And this identification
  • the method is complicated, and it is impossible to perform rapid identity authentication and key management, and cannot support different security level authentication protocols, which cannot meet the needs of various users. Summary of the invention
  • the present invention provides a network security access control method based on a pre-shared key and a system thereof, which can implement fast two-way authentication between a user and a network.
  • the technical solution of the present invention is:
  • the present invention provides a network security access control method based on a pre-shared key, including:
  • the requester REQ and the authentication access controller AAC perform identity authentication and unicast key negotiation
  • step 1) The specific implementation of the above step 1) is:
  • TIE AAC field indicates the ternary peer-to-peer authentication TePA (Tri-element Peer Authentication) information element supported by the authentication access controller AAC, including the authentication and key management suite and cipher suite supported by the authentication access controller AAC;
  • TePA Tri-element Peer Authentication
  • the requester REQ selects a mutual authentication and key management suite and password jointly with the local policy according to the authentication and key management suite and cipher suite supported by the authentication access controller AAC given by the TIEAAC field in the security policy negotiation request packet.
  • the suite, the constituent security policy negotiation response packet is sent to the authentication access controller AAC; if the requester REQ does not support any authentication and key management suite or cipher suite supported by the authentication access controller AAC in the security policy negotiation request packet, according to the local
  • the policy may discard the packet; the main contents of the security policy negotiation response packet include: TIEREQ; among them:
  • TIE REQ field indicates the TePA information element selected by the requester REQ, including the authentication and key management suite and cipher suite selected by the requester REQ;
  • AAC After receiving the Security Policy Negotiation Response Packet, AAC performs the following processing:
  • the AAC determines whether the authentication and key management suite and cipher suite selected by the requester REQ are supported. If not, the packet is discarded; if supported, 1.3.2);
  • the identity authentication process uses a pre-shared key based authentication protocol SAAP (Shared -key-based lAn Authentication Protocol), the authentication protocol SAAP completes the two-way identity authentication between the requester REQ and the authentication access controller AAC, and completes the negotiation of the unicast session key between the two.
  • SAAP Shared -key-based lAn Authentication Protocol
  • step 2) is:
  • Identity authentication and unicast key negotiation activation When the requester REQ negotiates with the authentication access controller AAC during the security policy negotiation process to select the authentication and key management suite based on the pre-shared key, the authentication access controller The AAC sends the identity authentication and the unicast key negotiation activation packet to the requester REQ, and the activation requester REQ starts the identity authentication and the unicast key negotiation process.
  • the main contents of the identity authentication and the unicast key negotiation activation packet include: N AAC ;
  • N AAC field indicates identity authentication and unicast key negotiation identifier. If it is the first identity authentication and unicast key negotiation process, this field is the random number generated by the authentication access controller AAC; if it is the updated identity authentication and During the broadcast key negotiation process, the value of the field is the value of the identity authentication and the unicast key negotiation identifier calculated in the last identity authentication and unicast key negotiation process;
  • the requester RE Q checks identity authentication and unicast key negotiation activation packet identity authentication and unicast key negotiation identifier NA AC field value and identity authentication and unicast key calculated in the last identity authentication and unicast key negotiation process Whether the value of the negotiation identifier is consistent. If they are inconsistent, discard the packet. If they are consistent, perform 2.2.2). If the authentication process is the first identity authentication and unicast key negotiation process, directly execute 2.2.2).
  • the requester REQ generates the requester REQ to query N REQ , and uses the pre-shared key, identity authentication and unicast key negotiation identifier N AAC and the requester REQ to query N REQ to calculate the unicast session key and the next identity.
  • the identity authentication and unicast key negotiation identifier N AAC in the authentication and unicast key negotiation process, and the unicast session key includes a protocol data key PDK (Protocol Data Key) and a unicast data key UDK (Unicast) Data Key) Two parts.
  • the protocol data key PDK is used to protect the confidentiality of the key data and the integrity of the protocol data in the protocol data between the requester REQ and the authentication access controller AAC.
  • the unicast data key UDK is used to protect the requester REQ and the authentication access. Confidentiality and integrity of user data between controllers AAC;
  • the requester REQ uses the protocol data key PDK to locally calculate the message authentication code MIC1, constructs the identity authentication and unicast key negotiation request packet and sends it to the authentication access controller AAC;
  • the above 2.2.2) and 2.2.3) may be directly performed, wherein the identity authentication and the unicast key negotiation identifier N AAC field value depend on The identity authentication and unicast key negotiation identifier values calculated during one identity authentication and unicast key negotiation process, and the identity authentication and unicast key negotiation request packet are sent to the authentication access controller AAC without waiting for the authentication access controller AAC First send identity authentication and unicast key negotiation activation packet;
  • the main contents of the identity authentication and unicast key negotiation request packet include: N REQ , N AAC , TIE RE Q and MIC 1 ;
  • N REQ field an inquiry indicating the requester REQ, a random number generated for the requester REQ
  • N AAC field indicating identity authentication and unicast key negotiation identifier; if it is the first identity authentication and unicast key negotiation process, then The field value directly depends on the value of the N AAC field in the identity authentication and unicast key negotiation activation packet; if it is the identity authentication and unicast key negotiation update process, the field value is the last identity authentication and unicast key negotiation. ID authentication and unicast key calculated during the process Negotiate the identity value;
  • TIE REQ field an authentication and key management suite and cipher suite indicating the requester's REQ selection; its value is the same as the value of the TIE REQ field in the response packet in the security policy negotiation;
  • MIC1 field indicates the message authentication code, and the hash value calculated by the requester REQ using the generated protocol data key PDK for all the fields except the field in the identity authentication and unicast key negotiation request packet;
  • Identity authentication and unicast key negotiation response Authentication access controller After AAC receives the identity authentication and unicast key negotiation request packet, it performs the following processing:
  • the identity authentication and unicast key negotiation process is an update process, check the N AAC field in the packet and the identity authentication and unicast key calculated in the last identity authentication and unicast key negotiation process. Whether the value of the negotiation identifier is consistent. If they are inconsistent, discard the packet. If they are consistent, perform 2.3.2). If the key negotiation process is the first authentication and unicast key negotiation process, you need to check the packet. N AAC field value and identity authentication and unicast key negotiation activated if N AAC field value in the packet, and if not, then discards the packet, if yes, performing 2.3.2);
  • identity authentication and unicast key negotiation identifier N AAC and requester REQ query N REQ to calculate the identity of the unicast session key and the next identity authentication and unicast key negotiation process
  • the authentication and unicast key negotiation identifier N AAC is saved, wherein the unicast session key includes a protocol data key PDK and a unicast data key UDK;
  • the main contents of the identity authentication and unicast key negotiation response packet include: N REQ , TIE AAC, and MIC2 ;
  • N REQ field an inquiry indicating the requester REQ, a random number generated for the requester REQ; the value of which is the same as the value of the N REQ field in the identity authentication and unicast key negotiation request packet;
  • TIE AAC field indicates the authentication and key management suite and cipher suite supported by the authentication access controller AAC; its value is the same as the value of the TIE AAC field in the security policy negotiation request packet;
  • MIC2 field indicates the message authentication code, which is used by the authentication access controller AAC to use the generated protocol data key PDK for all the fields except the field in the identity authentication and unicast key negotiation response packet and the negotiated next identity authentication and The identity authentication and the unicast key negotiation identifier in the broadcast key negotiation process are calculated by the N AAC ;
  • REQ After receiving the identity authentication and unicast key negotiation response packet, REQ performs the following processing:
  • the main contents of the identity authentication and unicast key negotiation confirmation packet include: NAAC and MIC3;
  • N AAC field indicates an identity authentication and a unicast key negotiation identifier, the value of which is the same as the value of the NA AC field in the identity authentication and unicast key negotiation request packet;
  • MIC3 field indicates the message authentication code, and the generated protocol data is used by the requester REQ.
  • the key PDK calculates the identity authentication and the unicast key negotiation identifier in the identity authentication and unicast key negotiation response packets except for all the fields and the negotiated next identity authentication and unicast key negotiation process. Hash value.
  • AAC Authentication Access Controller After receiving the identity authentication and unicast key negotiation confirmation packet, AAC performs the following processing:
  • N AAC field value check request received packet N AAC field value are the same, if different, the packet is discarded; if yes, execute 2.5.2) ;
  • step 3 is:
  • the main contents of the multicast key advertisement packet include: KN, E MDK, and MIC4;
  • KN field indicates the key advertisement identifier, initialized to an integer, and the field value is incremented by 1 each time the key update notification is issued. If the advertised key does not change, the field value remains unchanged;
  • E MDK field indicates the key encryption data, which is the data encrypted by the access controller AAC using the protocol data key PDK generated during the identity authentication and unicast key negotiation process to encrypt the multicast data key MDK (Multicast Data Key).
  • the multicast data key MDK is a random number generated by the authentication access controller AAC, and is used to secure communication of the multicast data after the secure access;
  • MIC4 field indicates the message authentication code, which is calculated by the authentication access controller AAC using the protocol data key PDK generated during the identity authentication and unicast key negotiation process for all fields except the field in the multicast key advertisement packet.
  • the requester REQ After the requester REQ receives the multicast key advertisement packet, it performs the following processing:
  • 3.2.2 Verify whether the MIC4 field is correct by using the protocol data key PDK generated during the identity authentication and unicast key negotiation process. If not, discard the packet; if correct, execute 3.2.3); 3.2.3) using the protocol data key PDK generated during the identity authentication and unicast key negotiation process to decrypt the E MDK field to obtain the multicast data key MDK;
  • the main contents of the multicast key response packet include: KN and MIC5;
  • KN field indicates the key advertisement identifier whose value is the same as the value of the KN field in the multicast key advertisement packet;
  • MIC5 field Indicates the message authentication code.
  • the requester REQ uses the protocol data key PDK generated during the identity authentication and unicast key negotiation process to calculate all the fields in the multicast key response packet except this field.
  • AAC Authentication Access Controller
  • the comparison KN field is consistent with the value of the KN field in the previously sent multicast key advertisement packet. If not, the packet is discarded; if they are consistent, 3.3.2);
  • a pre-shared key based network security access control system comprising: the pre-shared key based network security access control system comprising a requester REQ and an authentication access controller AAC; the authentication access controller AAC and a requester
  • the REQ is connected and provides a service port for the requester REQ.
  • the pre-shared key based network security access control method and system thereof combine the identity authentication process and the unicast key negotiation process, without third party participation, complete the identity authentication process, complete the unicast secret Key negotiation effectively simplifies the process and calculation of secure access control, enabling fast and secure access.
  • FIG. 1 is a schematic diagram of a security policy negotiation process according to the present invention
  • 2 is a schematic diagram of an identity authentication and unicast key negotiation process of the SAAP according to the present invention
  • FIG. 3 is a schematic diagram of a multicast key advertisement process according to the present invention.
  • FIG. 1 is a schematic diagram of a security policy negotiation process according to the present invention
  • FIG. 2 is a schematic diagram of a SAAP identity authentication and a unicast key negotiation process according to the present invention
  • FIG. 3 is a schematic diagram of a multicast key advertisement process according to the present invention.
  • the present invention provides a method for secure access control of a wired local area network. The method is divided into three parts: a security policy negotiation process, an identity authentication and a unicast key negotiation process, and a multicast key notification process.
  • the specific implementation is as follows:
  • the main contents of the security policy negotiation request group include:
  • TIE AAC field Indicates the TePA (Tri-element Peer Authentication) information element supported by the authentication access controller AAC, including the authentication and key management suite and cipher suite supported by the authentication access controller AAC.
  • TePA Tri-element Peer Authentication
  • the requester REQ selects a mutual authentication and key management suite and password jointly with the local policy according to the authentication and key management suite and cipher suite supported by the authentication access controller AAC given by the TIEAAC field in the security policy negotiation request packet.
  • the suite, the constituent security policy negotiation response packet is sent to the authentication access controller AAC; if the requester REQ does not support any authentication and key management suite or cipher suite supported by the authentication access controller AAC in the security policy negotiation request packet, according to the local The policy can discard the packet.
  • the main contents of the Security Policy Negotiation Response Packet include: I TIE REQ I
  • TIE REQ field Indicates the TePA information element selected by the requester REQ, including the authentication and key management suite and cipher suite selected by the requester REQ.
  • AAC After receiving the Security Policy Negotiation Response Packet, AAC performs the following processing:
  • the AAC determines whether the authentication and key management suite and cipher suite selected by the requester REQ are supported. If not, the packet is discarded; otherwise, 1.3.2);
  • an authentication protocol based on a pre-shared key is given.
  • the pre-shared key-based authentication protocol SAAP process implements unicast key negotiation while completing identity authentication.
  • the specific process is as follows:
  • Identity authentication and unicast key negotiation activation When the requester REQ negotiates with the authentication access controller AAC during the security policy negotiation process to select the authentication and key management suite based on the pre-shared key, the authentication access controller The AAC sends an identity authentication and unicast key negotiation activation packet to the requester REQ, and the activation requester REQ starts the identity authentication and unicast key negotiation process.
  • the main contents of the identity authentication and unicast key negotiation activation packet include:
  • N AAC field Indicates identity authentication and unicast key negotiation identifier. If it is the first identity authentication and unicast key negotiation process, the field is a random number generated by the authentication access controller AAC; if it is an updated identity authentication and unicast key negotiation process, the value of the field is the last time The identity of the identity authentication and the unicast key negotiation identifier calculated during identity authentication and unicast key negotiation;
  • the requester REQ checks the identity authentication and the unicast key association in the identity authentication and unicast key negotiation activation packet. Whether the quotient identifier N AAC field value is consistent with the identity authentication and unicast key negotiation identifier value calculated in the last identity authentication and unicast key negotiation process, if not, discard the packet, otherwise, perform 2.2.2) If the authentication process is the first identity authentication and unicast key negotiation process, directly execute 2.2.2);
  • the requester REQ generates the requester REQ to query N REQ , and uses the pre-shared key, identity authentication and unicast key negotiation identifier N AAC and the requester REQ to query N REQ to calculate the unicast session key and the next identity.
  • the identity authentication and unicast key negotiation identifier N AAC in the authentication and unicast key negotiation process, and the unicast session key agreement data key PDK ( Protocol Data Key) and the unicast data key UDK (Unicast Data) Key) two parts.
  • the protocol data key PDK is used to protect the confidentiality of the key data and the integrity of the protocol data in the protocol data between the requester REQ and the authentication access controller AAC.
  • the unicast data key UDK is used to protect the requester REQ and the authentication access. Confidentiality and integrity of user data between controllers AAC;
  • Requester REQ uses the protocol data key PDK to locally calculate the message authentication code MIC1, constructs an identity authentication and unicast key negotiation request packet and sends it to the authentication access controller AAC.
  • the above 2.2.2) and 2.2.3) can be directly executed, wherein the identity authentication and unicast key negotiation identifier N AAC field value depends on The identity authentication and unicast key negotiation identifier value calculated in the last identity authentication and unicast key negotiation process, constructing the identity authentication and the unicast key negotiation request packet are sent to the authentication access controller AAC without waiting for the authentication access control The AAC first sends an identity authentication and unicast key negotiation activation packet.
  • the main contents of the identity authentication and unicast key negotiation request packet include:
  • N REQ field An inquiry indicating the requester REQ, a random number generated for the requester REQ;
  • N AAC field indicates an identity authentication and a unicast key negotiation identifier. If it is the first identity authentication and unicast key negotiation process, the value of the field directly depends on the value of the N AAC field in the identity authentication and unicast key negotiation activation packet; if the identity authentication and unicast key negotiation update process, The value of the field is the identity authentication and unicast key negotiation identifier value calculated in the last identity authentication and unicast key negotiation process;
  • TIE REQ field Indicates the authentication and key management suite and cipher suite selected by the requester REQ. The value of the TIE REQ field in the response packet is negotiated with the security policy;
  • MIC1 field Indicates the message authentication code.
  • the requester REQ uses the generated protocol data key PDK to calculate the hash value of all the fields except the field in the identity authentication and unicast key negotiation request packet.
  • Identity authentication and unicast key negotiation response Authentication access controller After AAC receives the identity authentication and unicast key negotiation request packet, it performs the following processing:
  • the identity authentication and unicast key negotiation process is an update process, check the N AAC field in the packet and the identity authentication and unicast key calculated in the last identity authentication and unicast key negotiation process. Whether the negotiation identifier values are consistent. If they are inconsistent, discard the packet. Otherwise, perform 2.3.2). If the key negotiation process is the first identity authentication and unicast key negotiation process, you need to check the N AAC in the packet. Whether the field value is consistent with the identity of the N AAC field in the identity authentication and unicast key negotiation activation packet, and if not, discard the packet; otherwise, perform 2.3.2);
  • identity authentication and unicast key negotiation identifier N AAC and requester REQ query N REQ to calculate the identity of the unicast session key and the next identity authentication and unicast key negotiation process
  • the authentication and unicast key negotiation identifier N AAC is saved, wherein the unicast session key includes a protocol data key PDK and a unicast data key UDK;
  • the main contents of the identity authentication and unicast key negotiation response packet include:
  • N REQ TIEAAC MIC2 N REQ field An inquiry indicating the requester REQ, a random number generated for the requester REQ. The value is the same as the value of the N REQ field in the identity authentication and unicast key negotiation request packet;
  • TIE AAC field Indicates the authentication and key management suite and cipher suite supported by the authentication access controller AAC.
  • the value of the TIE AAC field in the request packet is negotiated with the security policy;
  • MIC2 field indicates the message authentication code, which is used by the authentication access controller AAC to use the generated protocol data key PDK for all the fields except the field in the identity authentication and unicast key negotiation response packet and the negotiated next identity authentication and
  • the identity authentication and the unicast key negotiation identifier during the broadcast key negotiation process are the hash values calculated by the N AAC .
  • REQ After receiving the identity authentication and unicast key negotiation response packet, REQ performs the following processing:
  • the identity authentication and unicast key negotiation acknowledgement packet is optional, that is, the requester REQ may send a unicast key negotiation acknowledgement packet to the authentication access controller AAC, or may not send a unicast key negotiation confirmation. Grouping.
  • the main contents of the identity authentication and unicast key negotiation confirmation packet include:
  • N AAC field indicates an identity authentication and a unicast key negotiation identifier, the value of which is the same as the value of the NA AC field in the identity authentication and unicast key negotiation request packet;
  • MIC3 field indicates the message authentication code.
  • the requester REQ uses the generated protocol data key PDK to identify all the fields except the field and the negotiated next identity authentication and unicast secret in the identity authentication and unicast key negotiation response packets.
  • the hash value obtained by the identity authentication and the unicast key negotiation identifier during the key negotiation process.
  • AAC Authentication Access Controller After receiving the identity authentication and unicast key negotiation confirmation packet, AAC performs the following processing:
  • the authentication access controller AAC confirms the requester REQ A unicast session key has been obtained consistent with it.
  • the main contents of the multicast key advertisement packet include:
  • KN field indicates the key advertisement identifier, initialized to an integer, and the field value is incremented by 1 each time the key update notification is issued. If the advertised key does not change, the field value remains unchanged;
  • E MDK field indicates the key encryption data, which is the data encrypted by the access controller AAC using the protocol data key PDK generated during the identity authentication and unicast key negotiation process to encrypt the multicast data key MDK (Multicast Data Key).
  • the multicast data key MDK is a random number generated by the authentication access controller AAC, and is used to secure communication of the multicast data after the secure access;
  • MIC4 field indicates the message authentication code, which is calculated by the authentication access controller AAC using the protocol data key PDK generated during the identity authentication and unicast key negotiation process for all fields except the field in the multicast key advertisement packet.
  • the requester REQ After the requester REQ receives the multicast key advertisement packet, it performs the following processing:
  • the main contents of the multicast key response packet include:
  • KN field indicates the key advertisement identifier whose value is the same as the value of the KN field in the multicast key advertisement packet;
  • MIC5 field Indicates the message authentication code.
  • the requester REQ uses the protocol data key PDK generated during the identity authentication and unicast key negotiation process to calculate all the fields in the multicast key response packet except this field.
  • AAC Authentication Access Controller
  • the communication data between the authentication access controller AAC and the requester REQ may use the unicast data key and multicast negotiated or advertised above.
  • the data key is used for secure communication.
  • the present invention provides a network security access control method based on a pre-shared key, and provides a network security access control system based on a pre-shared key, the control system including a requester REQ and an authentication access controller AAC. ; authenticates the access controller AAC and the requester REQ connection and provides the service port for the requester REQ.
  • the technical solution of the present invention may be embodied in the form of a software product, which may be stored in a non-volatile storage medium (which may be a CD-ROM, a USB flash drive, a mobile hard disk, etc.), including several The instructions are for causing a computer device (which may be a personal computer, server, or network device, etc.) to perform the methods described in various embodiments of the present invention.
  • a computer device which may be a personal computer, server, or network device, etc.

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Small-Scale Networks (AREA)

Abstract

本发明涉及一种基于预共享密钥的网络安全访问控制方法及其系统,该方法包括以下步骤:1)请求者REQ与鉴别访问控制器AAC进行安全策略协商;2)请求者REQ与鉴别访问控制器AAC进行身份鉴别及单播密钥协商;3)请求者REQ与鉴别访问控制器AAC进行组播密钥通告。本发明提供的一种基于预共享密钥的网络安全访问控制方法及其系统, 可实现用户与网络之间的快速双向鉴别。

Description

一种基于预共享密钥的网络安全访问控制方法及其系统 本申请要求于 2009 年 08 月 25 日提交中国专利局、 申请号为 200910023685.0、 发明名称为"一种基于预共享密钥的网络安全访问控制方法 及其系统"的中国专利申请的优先权, 其全部内容通过引用结合在本申请中。 技术领域
本发明涉及一种基于预共享密钥的网络安全访问控制方法及其系统, 特别涉及一种有线局域网 LAN ( Local Area Network ) 中用户接入网络时 基于预共享密钥鉴别机制的安全访问控制方法及其系统。 背景技术
有线局域网一般为广播型网络, 一个节点发出的数据, 其他节点都能 收到。 网络上的各个节点共享信道, 这给网络带来了极大的不安全性。 黑 客只要接入网络进行监听, 就可以捕获网络上的所有数据包, 从而窃取关 键信息。
现有国家标准 GB 15629.3 (对应 ISO/IEC 8802.3 ) 定义的局域网 LAN 并不提供安全接入, 只要用户能接入局域网控制设备(如 LAN Switch ) , 就可以访问局域网中的设备或资源。 这在早期企业网有线 LAN应用环境下 并不存在明显的安全隐患, 但是随着网络的大规模发展, 用户对信息的私 密性要求不断提高, 有必要实现用户级的安全接入控制与数据保密。
在有线局域网中, 目前 IEEE通过对 IEEE802.3进行安全增强来实现 链路层的安全, 釆用典型的安全接入架构协议 IEEE 802. lx 及基于 IEEE802.1 X认证的密钥管理协议等。 IEEE802.1 x的基本认证方法是在终端 和接入点设备之外增加鉴别服务器, 接入点设备利用鉴别服务器对终端的 身份进行鉴别, 从而实现对终端的安全接入控制。 接入点设备直接转发终 端和鉴别服务器间的鉴别信息, 并不作为独立实体参与身份鉴别过程。 这 种模式仅能实现网络对终端身份的合法性鉴别, 却不能满足终端对接入网 络的合法性鉴别需求, 无法实现终端与网络间的双向鉴别。 并且这种鉴别 方法, 流程比较复杂, 无法进行快速的身份鉴别及密钥管理, 也无法支持 不同安全等级的鉴别协议, 无法满足各类用户的需求。 发明内容
为了解决背景技术中存在的技术问题, 本发明提供了一种基于预共享 密钥的网络安全访问控制方法及其系统,可实现用户与网络之间的快速双向 鉴别。
本发明的技术解决方案是: 本发明提供了一种基于预共享密钥的网络 安全访问控制方法, 包括:
1 )请求者 REQ与鉴别访问控制器 AAC进行安全策略协商;
2 )请求者 REQ与鉴别访问控制器 AAC进行身份鉴别及单播密钥协商;
3 )请求者 REQ与鉴别访问控制器 AAC进行组播密钥通告。
上述步骤 1 ) 的具体实现方式是:
1.1 ) 安全策略协商请求: 当请求者 REQ ( REQuester )接入鉴别访问 控制器 AAC ( Authentication Access Controller ) 时, 鉴别访问控制器 AAC 向请求者 REQ发送安全策略协商请求分组, 该安全策略协商请求分组的主 要内容包括: TIEAAC ;
其中:
TIEAAC字段: 表示鉴别访问控制器 AAC所支持的三元对等鉴别 TePA ( Tri-element Peer Authentication )信息元素, 包含鉴别访问控制器 AAC所 支持的鉴别和密钥管理套件及密码套件;
1.2 )安全策略协商响应: 请求者 REQ收到安全策略协商请求分组后, 进 行如下处理:
请求者 REQ根据安全策略协商请求分组中 TIEAAC字段给出的鉴别访问控 制器 AAC所支持的鉴别和密钥管理套件及密码套件, 结合本地策略选择一种 双方共有的鉴别和密钥管理套件及密码套件, 组成安全策略协商响应分组发 送给鉴别访问控制器 AAC; 若请求者 REQ不支持安全策略协商请求分组中鉴 别访问控制器 AAC所支持的任一鉴别和密钥管理套件或密码套件, 根据本地 策略可丟弃该分组; 该安全策略协商响应分组的主要内容包括: TIEREQ; 其中:
TIEREQ字段: 表示请求者 REQ选择的 TePA信息元素, 包含请求者 REQ 所选择的鉴别和密钥管理套件及密码套件;
1.3 ) 鉴别访问控制器 AAC收到安全策略协商响应分组后, 进行如下 处理:
1.3.1 )鉴别访问控制器 AAC判断是否支持请求者 REQ所选择的鉴别和 密钥管理套件及密码套件, 若不支持, 则丟弃该分组; 若支持, 则执行 1.3.2 ) ;
1.3.2 )根据请求者 REQ选择的鉴别和密钥管理套件开始相应的身份鉴 别过程。
上述步骤 1.3 )中, 当请求者 REQ选择的鉴别和密钥管理套件是基于预 共享密钥的鉴别和密钥管理套件时, 其身份鉴别过程釆用基于预共享密钥 的鉴别协议 SAAP ( Shared-key-based lAn Authentication Protocol ) , 该鉴 别协议 SAAP完成请求者 REQ和鉴别访问控制器 AAC之间的双向身份鉴 别, 且完成两者之间的单播会话密钥的协商。
上述步骤 2 ) 的具体实现方式是:
2.1 )身份鉴别及单播密钥协商激活: 当请求者 REQ与鉴别访问控制器 AAC在安全策略协商过程中协商选择釆用基于预共享密钥的鉴别和密钥 管理套件时,鉴别访问控制器 AAC向请求者 REQ发送身份鉴别及单播密钥 协商激活分组, 激活请求者 REQ开始进行身份鉴别及单播密钥协商过程, 身份鉴别及单播密钥协商激活分组的主要内容包括: NAAC
其中:
NAAC字段: 表示身份鉴别及单播密钥协商标识, 若为首次身份鉴别及 单播密钥协商过程, 则该字段为鉴别访问控制器 AAC产生的随机数; 若为 更新的身份鉴别及单播密钥协商过程, 则该字段的值是上一次身份鉴别及 单播密钥协商过程中计算的身份鉴别及单播密钥协商标识的值;
2.2 )身份鉴别及单播密钥协商请求: 请求者 REQ收到身份鉴别及单播 密钥协商激活分组后, 进行如下处理:
2.2.1 )如果此次身份鉴别及单播密钥协商过程为更新过程, 则请求者 RE Q检查身份鉴别及单播密钥协商激活分组中的身份鉴别及单播密钥协 商标识 N A AC字段值与上一次身份鉴别及单播密钥协商过程中计算的身份 鉴别及单播密钥协商标识值是否一致, 若不一致, 则丟弃该分组; 若一致, 则执行 2.2.2 ) ; 如果此次鉴别过程为首次身份鉴别及单播密钥协商过程, 则直接执行 2.2.2 ) ;
2.2.2 )请求者 REQ生成请求者 REQ询问 NREQ, 利用预共享密钥、 身份 鉴别及单播密钥协商标识 NAAC及请求者 REQ询问 NREQ计算得到单播会话 密钥和下一次身份鉴别及单播密钥协商过程中的身份鉴别及单播密钥协 商标识 NAAC并保存, 其中单播会话密钥包括协议数据密钥 PDK ( Protocol Data Key )和单播数据密钥 UDK ( Unicast Data Key ) 两部分。 协议数据密 钥 PDK用于保护请求者 REQ与鉴别访问控制器 AAC之间协议数据中密钥 数据的机密性及协议数据的完整性, 单播数据密钥 UDK用于保护请求者 REQ与鉴别访问控制器 AAC之间用户数据的机密性和完整性;
2.2.3 )请求者 REQ利用协议数据密钥 PDK本地计算消息鉴别码 MIC1 , 构造身份鉴别及单播密钥协商请求分组发送给鉴别访问控制器 AAC;
如果请求者 REQ需要发起身份鉴别及单播密钥协商的更新过程, 则可 直接执行上述 2.2.2 ) 和 2.2.3 ) , 其中身份鉴别及单播密钥协商标识 NAAC 字段值取决于上一次身份鉴别及单播密钥协商过程中计算的身份鉴别及 单播密钥协商标识值, 构造身份鉴别及单播密钥协商请求分组发送给鉴别 访问控制器 AAC ,无需等待鉴别访问控制器 AAC先发送身份鉴别及单播密 钥协商激活分组;
身份鉴别及单播密钥协商请求分组主要内容包括: NREQ、 NAAC、 TIEREQ 以及 MIC 1 ;
其中:
NREQ字段: 表示请求者 REQ的询问, 为请求者 REQ产生的随机数; NAAC字段: 表示身份鉴别及单播密钥协商标识; 若为首次身份鉴别及 单播密钥协商过程, 则该字段值直接取决于身份鉴别及单播密钥协商激活 分组中 NAAC字段的值; 若为身份鉴别及单播密钥协商更新过程, 则该字段 值为上一次身份鉴别及单播密钥协商过程中计算的身份鉴别及单播密钥 协商标识值;
TIEREQ字段: 表示请求者 REQ选择的鉴别和密钥管理套件及密码套 件; 其值同安全策略协商响应分组中的 TIEREQ字段的值;
MIC1字段: 表示消息鉴别码, 由请求者 REQ利用生成的协议数据密 钥 PDK对身份鉴别及单播密钥协商请求分组中除本字段外所有字段进行 计算得到的杂凑值;
2.3 ) 身份鉴别及单播密钥协商响应: 鉴别访问控制器 AAC收到身份 鉴别及单播密钥协商请求分组后, 进行如下处理:
2.3.1 )如果此次身份鉴别及单播密钥协商过程为更新过程, 则检查分 组中的 NAAC字段与上一次身份鉴别及单播密钥协商过程中计算的身份鉴 别及单播密钥协商标识值是否一致, 若不一致, 则丟弃该分组, 若一致, 则执行 2.3.2 ); 如果此次密钥协商过程为首次身份鉴别及单播密钥协商过 程, 则需要检查分组中的 NAAC字段值与身份鉴别及单播密钥协商激活分组 中的 NAAC字段值是否一致, 如果不一致, 则丟弃该分组, 如果一致, 则执 行 2.3.2 ) ;
2.3.2 )验证 TIEREQ字段值与安全策略协商过程中收到的安全策略协商 响应分组中的 TIEREQ字段值是否一致, 如果不一致, 则丟弃该分组; 如果 一致, 则执行 2.3.3 ) ;
2.3.3 )利用预共享密钥、 身份鉴别及单播密钥协商标识 NAAC及请求者 REQ询问 NREQ计算得到单播会话密钥和下一次身份鉴别及单播密钥协商 过程中的身份鉴别及单播密钥协商标识 NAAC并保存, 其中单播会话密钥包 括协议数据密钥 PDK和单播数据密钥 UDK;
2.3.4 )利用协议数据密钥 PDK验证身份鉴别及单播密钥协商请求分组 中的 MIC1字段的正确性, 如果不正确, 则丟弃该分组; 如果正确, 则鉴 别访问控制器 AAC完成对请求者 REQ的身份鉴别, 并协商出与请求者 REQ 之间的单播会话密钥, 执行 2.3.5 ) ;
2.3.5 ) 用协议数据密钥 PDK本地计算消息鉴别码 MIC2 , 构造身份鉴 别及单播密钥协商响应分组, 发送给请求者 REQ;
身份鉴别及单播密钥协商响应分组主要内容包括: NREQ、 TIEAAC以及 MIC2 ;
其中:
NREQ字段: 表示请求者 REQ的询问, 为请求者 REQ产生的随机数; 其 值同身份鉴别及单播密钥协商请求分组中的 NREQ字段的值;
TIEAAC字段: 表示鉴别访问控制器 AAC所支持的鉴别和密钥管理套件 及密码套件; 其值同安全策略协商请求分组中的 TIEAAC字段的值;
MIC2字段: 表示消息鉴别码, 由鉴别访问控制器 AAC利用生成的协 议数据密钥 PDK对身份鉴别及单播密钥协商响应分组中除本字段外所有 字段及已协商的下一次身份鉴别及单播密钥协商过程中的身份鉴别及单 播密钥协商标识 NAAC进行计算得到的杂凑值;
2.4 )请求者 REQ收到身份鉴别及单播密钥协商响应分组后, 进行如下 处理:
2.4.1 )检查 NREQ字段与之前发送的身份鉴别及单播密钥协商请求分组 中的 NREQ字段是否相同,若不同,则丟弃该分组;若不相同,则执行 2.4.2 ) ;
2.4.2 )验证 TIEAAC字段值与安全策略协商过程中收到的安全策略协商 请求分组中的 TIEAAC字段值是否一致, 如果不一致, 则丟弃该分组; 如果 一致, 则执行 2.4.3 ) ;
2.4.3 )利用协议数据密钥 PDK验证身份鉴别及单播密钥协商响应分组 中的 MIC2字段的正确性, 如果不正确, 则丟弃该分组; 如果正确, 则请 求者 REQ完成对鉴别访问控制器 AAC的身份鉴别,协商出和鉴别访问控制 器 AAC之间一致的单播会话密钥, 执行 2.4.4 ) ;
2.4.4 ) 用协议数据密钥 PDK本地计算消息鉴别码 MIC3 , 构造身份鉴 别及单播密钥协商确认分组, 发送给鉴别访问控制器 AAC; 该身份鉴别及 单播密钥协商确认分组是可选的。
身份鉴别及单播密钥协商确认分组主要内容包括: NAAC以及 MIC3; 其中:
NAAC字段: 表示身份鉴别及单播密钥协商标识, 其值同身份鉴别及单 播密钥协商请求分组中的 N A AC字段的值;
MIC3字段: 表示消息鉴别码, 由请求者 REQ利用生成的协议数据密 钥 PDK对身份鉴别及单播密钥协商响应分组中除本字段外所有字段及已 协商的下一次身份鉴别及单播密钥协商过程中的身份鉴别及单播密钥协 商标识进行计算得到的杂凑值。
2.5 ) 鉴别访问控制器 AAC收到身份鉴别及单播密钥协商确认分组后, 进行如下处理:
2.5.1 )检查 NAAC字段值与收到的身份鉴别及单播密钥协商请求分组中 的 NAAC字段值是否相同, 若不同, 则丟弃该分组; 若相同, 则执行 2.5.2 ) ;
2.5.2 )利用协议数据密钥 PDK验证身份鉴别及单播密钥协商确认分组 中的 MIC3字段的正确性, 如果不正确, 则丟弃该分组; 如果正确, 则鉴 别访问控制器 AAC确认请求者 REQ已获得与其一致的单播会话密钥。
上述步骤 3 ) 的具体实现方式是:
3.1 ) 组播密钥通告:
组播密钥通告分组主要内容包括: KN、 EMDK以及 MIC4;
其中:
KN字段: 表示密钥通告标识, 初始化为一个整数, 在每次密钥更新 通告时该字段值加 1 , 若通告的密钥不变, 则该字段值保持不变;
EMDK字段: 表示密钥加密数据, 是鉴别访问控制器 AAC利用身份鉴别 及单播密钥协商过程中生成的协议数据密钥 PDK对组播数据密钥 MDK ( Multicast Data Key )加密后的数据, 其中组播数据密钥 MDK是由鉴别访 问控制器 AAC产生的随机数, 用于保护安全接入后组播数据的安全通信;
MIC4字段: 表示消息鉴别码, 由鉴别访问控制器 AAC利用身份鉴别 及单播密钥协商过程中生成的协议数据密钥 PDK对组播密钥通告分组中 除本字段外所有字段进行计算得到的。
3.2 ) 组播密钥响应:
请求者 REQ收到组播密钥通告分组后, 进行如下处理:
3.2.1 )检查 KN字段是否单调递增, 如果不是, 则丟弃该分组; 如果 是, 则执行 3.2.2 ) ;
3.2.2 )利用身份鉴别及单播密钥协商过程中生成的协议数据密钥 PDK 验证 MIC4字段是否正确,若不正确,则丟弃该分组;若正确,则执行 3.2.3 ); 3.2.3 )利用身份鉴别及单播密钥协商过程中生成的协议数据密钥 PDK 解密 EMDK字段即可得到组播数据密钥 MDK;
3.2.4 )保存此次的密钥通告标识 KN字段的值, 并生成组播密钥响应 分组, 发送给鉴别访问控制器 AAC。
组播密钥响应分组主要内容包括: KN以及 MIC5;
其中:
KN字段: 表示密钥通告标识, 其值同组播密钥通告分组中的 KN字段 的值;
MIC5字段: 表示消息鉴别码, 由请求者 REQ利用身份鉴别及单播密 钥协商过程中生成的协议数据密钥 PDK对组播密钥响应分组中除本字段 外所有字段进行计算得到的。
3.3 ) 鉴别访问控制器 AAC收到组播密钥响应分组后, 将进行如下处 理:
3.3.1 ) 比较 KN字段与之前发送的组播密钥通告分组中的 KN字段值是 否一致, 如果不一致, 则丟弃该分组; 如果一致, 则执行 3.3.2 ) ;
3.3.2 )利用身份鉴别及单播密钥协商过程中生成的协议数据密钥 PDK 验证 MIC5字段的正确性, 若不正确, 则丟弃该分组; 若正确, 则完成对 请求者 REQ的组播密钥的通告过程。
一种基于预共享密钥的网络安全访问控制系统, 包括: 所述基于预共 享密钥的网络安全访问控制系统包括请求者 REQ和鉴别访问控制器 AAC; 所述鉴别访问控制器 AAC和请求者 REQ连接, 并为请求者 REQ提供服务端 口。
本发明中的基于预共享密钥的网络安全访问控制方法及其系统将身份 鉴别过程与单播密钥协商过程结合在一起, 无需第三方参与, 在完成身份 鉴别过程的同时, 完成单播密钥的协商, 有效简化了安全访问控制的流程 和计算, 可以实现快速的安全接入。 附图说明
图 1为本发明所述安全策略协商过程示意图; 图 2为本发明所述 SAAP的身份鉴别及单播密钥协商过程示意图; 图 3为本发明所述组播密钥通告过程示意图。 具体实施方式
下面通过具体实施例并结合附图对本发明做进一步的详细描述。
图 1为本发明所述安全策略协商过程示意图; 图 2为本发明所述 SAAP的身 份鉴别及单播密钥协商过程示意图; 图 3为本发明所述组播密钥通告过程示意 图。 参见图 1-3 , 本发明提供了一种有线局域网的安全访问控制方法, 该方 法分为三部分: 安全策略协商过程、 身份鉴别及单播密钥协商过程和组播 密钥通告过程。 其具体实施方式如下:
1 ) 安全策略协商过程如图 1所示, 具体过程如下:
1.1 ) 安全策略协商请求: 当请求者 REQ ( REQuester )接入鉴别访问 控制器 AAC ( Authentication Access Controller ) 时, 鉴别访问控制器 AAC 向请求者 REQ发送安全策略协商请求分组。
安全策略协商请求分组的主要内容包括:
TIEAAC
其中:
TIEAAC字段: 表示鉴别访问控制器 AAC所支持的 TePA ( Tri-element Peer Authentication )信息元素, 包含鉴别访问控制器 AAC所支持的鉴别和 密钥管理套件及密码套件。
1.2 )安全策略协商响应: 请求者 REQ收到安全策略协商请求分组后, 进 行如下处理:
请求者 REQ根据安全策略协商请求分组中 TIEAAC字段给出的鉴别访问控 制器 AAC所支持的鉴别和密钥管理套件及密码套件, 结合本地策略选择一种 双方共有的鉴别和密钥管理套件及密码套件, 组成安全策略协商响应分组发 送给鉴别访问控制器 AAC; 若请求者 REQ不支持安全策略协商请求分组中鉴 别访问控制器 AAC所支持的任一鉴别和密钥管理套件或密码套件, 根据本地 策略可丟弃该分组。
安全策略协商响应分组的主要内容包括: I TIEREQ I
其中:
TIEREQ字段: 表示请求者 REQ选择的 TePA信息元素, 包含请求者 REQ 所选择的鉴别和密钥管理套件及密码套件。
1.3 ) 鉴别访问控制器 AAC收到安全策略协商响应分组后, 进行如下 处理:
1.3.1 )鉴别访问控制器 AAC判断是否支持请求者 REQ所选择的鉴别和 密钥管理套件及密码套件, 若不支持, 则丟弃该分组; 否则, 执行 1.3.2 ) ;
1.3.2 )根据请求者 REQ选择的鉴别和密钥管理套件开始相应的身份鉴 别过程。
在本发明中, 给出一种基于预共享密钥的鉴别协议 SAAP
( Shared-key-based ΙΑη Authentication Protocol ) 。
2 )基于预共享密钥的鉴别协议 SAAP过程, 如图 2所示, 在完成身份 鉴别的同时实现了单播密钥协商, 具体过程如下:
2.1 )身份鉴别及单播密钥协商激活: 当请求者 REQ与鉴别访问控制器 AAC在安全策略协商过程中协商选择釆用基于预共享密钥的鉴别和密钥 管理套件时,鉴别访问控制器 AAC向请求者 REQ发送身份鉴别及单播密钥 协商激活分组, 激活请求者 REQ开始进行身份鉴别及单播密钥协商过程。 身份鉴别及单播密钥协商激活分组的主要内容包括:
Figure imgf000011_0001
其中:
NAAC字段: 表示身份鉴别及单播密钥协商标识。 若为首次身份鉴别及 单播密钥协商过程, 则该字段为由鉴别访问控制器 AAC产生的随机数; 若 为更新的身份鉴别及单播密钥协商过程, 则该字段的值是上一次身份鉴别 及单播密钥协商过程中计算的身份鉴别及单播密钥协商标识的值;
2.2 )身份鉴别及单播密钥协商请求: 请求者 REQ收到身份鉴别及单播 密钥协商激活分组后, 进行如下处理:
2.2.1 )如果此次身份鉴别及单播密钥协商过程为更新过程, 则请求者 REQ检查身份鉴别及单播密钥协商激活分组中的身份鉴别及单播密钥协 商标识 NAAC字段值与上一次身份鉴别及单播密钥协商过程中计算的身份 鉴别及单播密钥协商标识值是否一致, 如果不一致, 则丟弃该分组, 否则, 执行 2.2.2 ) ; 如果此次鉴别过程为首次身份鉴别及单播密钥协商过程, 则 直接执行 2.2.2 ) ;
2.2.2 )请求者 REQ生成请求者 REQ询问 NREQ, 利用预共享密钥、 身份 鉴别及单播密钥协商标识 NAAC及请求者 REQ询问 NREQ计算得到单播会话 密钥和下一次身份鉴别及单播密钥协商过程中的身份鉴别及单播密钥协 商标识 NAAC并保存, 其中单播会话密钥协议数据密钥 PDK ( Protocol Data Key )和单播数据密钥 UDK ( Unicast Data Key )两部分。协议数据密钥 PDK 用于保护请求者 REQ与鉴别访问控制器 AAC之间协议数据中密钥数据的 机密性及协议数据的完整性,单播数据密钥 UDK用于保护请求者 REQ与鉴 别访问控制器 AAC之间用户数据的机密性和完整性;
2.2.3 )请求者 REQ利用协议数据密钥 PDK本地计算消息鉴别码 MIC1 , 构造身份鉴别及单播密钥协商请求分组发送给鉴别访问控制器 AAC。
注: 如果请求者 REQ需要发起身份鉴别及单播密钥协商的更新过程, 则可直接执行上述 2.2.2 )和 2.2.3 ) ,其中身份鉴别及单播密钥协商标识 NAAC 字段值取决于上一次身份鉴别及单播密钥协商过程中计算的身份鉴别及 单播密钥协商标识值, 构造身份鉴别及单播密钥协商请求分组发送给鉴别 访问控制器 AAC ,无需等待鉴别访问控制器 AAC先发送身份鉴别及单播密 钥协商激活分组。
身份鉴别及单播密钥协商请求分组主要内容包括:
Figure imgf000012_0001
其中:
NREQ字段: 表示请求者 REQ的询问, 为请求者 REQ产生的随机数; NAAC字段: 表示身份鉴别及单播密钥协商标识。 若为首次身份鉴别及 单播密钥协商过程, 则该字段值直接取决于身份鉴别及单播密钥协商激活 分组中 NAAC字段的值; 若为身份鉴别及单播密钥协商更新过程, 则该字段 值为上一次身份鉴别及单播密钥协商过程中计算的身份鉴别及单播密钥 协商标识值; TIEREQ字段: 表示请求者 REQ选择的鉴别和密钥管理套件及密码套 件。 其值同安全策略协商响应分组中的 TIEREQ字段的值;
MIC1字段: 表示消息鉴别码, 由请求者 REQ利用生成的协议数据密 钥 PDK对身份鉴别及单播密钥协商请求分组中除本字段外所有字段进行 计算得到的杂凑值。
2.3 ) 身份鉴别及单播密钥协商响应: 鉴别访问控制器 AAC收到身份 鉴别及单播密钥协商请求分组后, 进行如下处理:
2.3.1 )如果此次身份鉴别及单播密钥协商过程为更新过程, 则检查分 组中的 NAAC字段与上一次身份鉴别及单播密钥协商过程中计算的身份鉴 别及单播密钥协商标识值是否一致, 若不一致, 则丟弃该分组, 否则, 执 行 2.3.2 ) ; 如果此次密钥协商过程为首次身份鉴别及单播密钥协商过程, 则需要检查分组中的 NAAC字段值与身份鉴别及单播密钥协商激活分组中 的 NAAC字段值是否一致, 如果不一致, 则丟弃该分组, 否则, 执行 2.3.2 ) ;
2.3.2 )验证 TIEREQ字段值与安全策略协商过程中收到的安全策略协商 响应分组中的 TIEREQ字段值是否一致, 如果不一致, 则丟弃该分组; 否则, 执行 2.3.3 ) ;
2.3.3 )利用预共享密钥、 身份鉴别及单播密钥协商标识 NAAC及请求者 REQ询问 NREQ计算得到单播会话密钥和下一次身份鉴别及单播密钥协商 过程中的身份鉴别及单播密钥协商标识 NAAC并保存, 其中单播会话密钥包 括协议数据密钥 PDK和单播数据密钥 UDK;
2.3.4 )利用协议数据密钥 PDK验证身份鉴别及单播密钥协商请求分组 中的 MIC1字段的正确性, 如果不正确, 则丟弃该分组; 否则, 鉴别访问 控制器 AAC完成对请求者 REQ的身份鉴别, 并协商出与请求者 REQ之间的 单播会话密钥, 执行 2.3.5 ) ;
2.3.5 ) 用协议数据密钥 PDK本地计算消息鉴别码 MIC2 , 构造身份鉴 别及单播密钥协商响应分组, 发送给请求者 REQ。
身份鉴别及单播密钥协商响应分组主要内容包括:
NREQ TIEAAC MIC2 NREQ字段: 表示请求者 REQ的询问, 为请求者 REQ产生的随机数。 其 值同身份鉴别及单播密钥协商请求分组中的 NREQ字段的值;
TIEAAC字段: 表示鉴别访问控制器 AAC所支持的鉴别和密钥管理套件 及密码套件。 其值同安全策略协商请求分组中的 TIEAAC字段的值;
MIC2字段: 表示消息鉴别码, 由鉴别访问控制器 AAC利用生成的协 议数据密钥 PDK对身份鉴别及单播密钥协商响应分组中除本字段外所有 字段及已协商的下一次身份鉴别及单播密钥协商过程中的身份鉴别及单 播密钥协商标识 NAAC进行计算得到的杂凑值。
2.4 )请求者 REQ收到身份鉴别及单播密钥协商响应分组后, 进行如下 处理:
2.4.1 )检查 NREQ字段与之前发送的身份鉴别及单播密钥协商请求分组 中的 NREQ字段是否相同, 若不同, 则丟弃该分组; 否则, 执行 2.4.2 ) ;
2.4.2 )验证 TIEAAC字段值与安全策略协商过程中收到的安全策略协商 请求分组中的 TIEAAC字段值是否一致, 如果不一致, 则丟弃该分组; 否则, 执行 2.4.3 ) ;
2.4.3 )利用协议数据密钥 PDK验证身份鉴别及单播密钥协商响应分组 中的 MIC2字段的正确性, 如果不正确, 则丟弃该分组; 否则, 请求者 REQ 完成对鉴别访问控制器 AAC的身份鉴别, 协商出和鉴别访问控制器 AAC 之间一致的单播会话密钥, 执行 2.4.4 ) ;
2.4.4 ) 用协议数据密钥 PDK本地计算消息鉴别码 MIC3 , 构造身份鉴 别及单播密钥协商确认分组, 发送给鉴别访问控制器 AAC。 在实现时, 该 身份鉴别及单播密钥协商确认分组是可选的, 即请求者 REQ向鉴别访问控 制器 AAC既可发送单播密钥协商确认分组,也可不发送单播密钥协商确认 分组。
身份鉴别及单播密钥协商确认分组主要内容包括:
N AAC MIC3
其中:
NAAC字段: 表示身份鉴别及单播密钥协商标识, 其值同身份鉴别及单 播密钥协商请求分组中的 N A AC字段的值; MIC3字段: 表示消息鉴别码, 由请求者 REQ利用生成的协议数据密 钥 PDK对身份鉴别及单播密钥协商响应分组中除本字段外所有字段及已 协商的下一次身份鉴别及单播密钥协商过程中的身份鉴别及单播密钥协 商标识进行计算得到的杂凑值。
2.5 ) 鉴别访问控制器 AAC收到身份鉴别及单播密钥协商确认分组后, 进行如下处理:
2.5.1 )检查 NAAC字段值与收到的身份鉴别及单播密钥协商请求分组中 的 NAAC字段值是否相同, 若不同, 则丟弃该分组; 否则, 执行 2.5.2 ) ;
2.5.2 )利用协议数据密钥 PDK验证身份鉴别及单播密钥协商确认分组 中的 MIC3字段的正确性, 如果不正确, 则丟弃该分组; 否则, 鉴别访问 控制器 AAC确认请求者 REQ已获得与其一致的单播会话密钥。
3 ) 组播密钥通告过程如图 3所示, 具体过程如下:
3.1 ) 组播密钥通告:
组播密钥通告分组主要内容包括:
KN E MDK MIC4
其中:
KN字段: 表示密钥通告标识, 初始化为一个整数, 在每次密钥更新 通告时该字段值加 1 , 若通告的密钥不变, 则该字段值保持不变;
EMDK字段: 表示密钥加密数据, 是鉴别访问控制器 AAC利用身份鉴别 及单播密钥协商过程中生成的协议数据密钥 PDK对组播数据密钥 MDK ( Multicast Data Key )加密后的数据, 其中组播数据密钥 MDK是由鉴别访 问控制器 AAC产生的随机数, 用于保护安全接入后组播数据的安全通信;
MIC4字段: 表示消息鉴别码, 由鉴别访问控制器 AAC利用身份鉴别 及单播密钥协商过程中生成的协议数据密钥 PDK对组播密钥通告分组中 除本字段外所有字段进行计算得到的。
3.2 ) 组播密钥响应:
请求者 REQ收到组播密钥通告分组后, 进行如下处理:
3.2.1 )检查 KN字段是否单调递增, 如果不是, 则丟弃该分组; 否则, 执行 3.2.2 ) ; 3.2.2 )利用身份鉴别及单播密钥协商过程中生成的协议数据密钥 PDK 验证 MIC4字段是否正确, 若不正确, 则丟弃该分组; 否则, 执行 3.2.3 ) ;
3.2.3 )利用身份鉴别及单播密钥协商过程中生成的协议数据密钥 PDK 解密 EMDK字段即可得到组播数据密钥 MDK;
3.2.4 )保存此次的密钥通告标识 KN字段的值, 并生成组播密钥响应 分组, 发送给鉴别访问控制器 AAC。
组播密钥响应分组主要内容包括:
KN MIC5
其中:
KN字段: 表示密钥通告标识, 其值同组播密钥通告分组中的 KN字段 的值;
MIC5字段: 表示消息鉴别码, 由请求者 REQ利用身份鉴别及单播密 钥协商过程中生成的协议数据密钥 PDK对组播密钥响应分组中除本字段 外所有字段进行计算得到的。
3.3 ) 鉴别访问控制器 AAC收到组播密钥响应分组后, 将进行如下处 理:
3.3.1 ) 比较 KN字段与之前发送的组播密钥通告分组中的 KN字段值是 否一致, 如果不一致, 则丟弃该分组; 否则, 执行 3.3.2 ) ;
3.3.2 )利用身份鉴别及单播密钥协商过程中生成的协议数据密钥 PDK 验证 MIC5字段的正确性, 若不正确, 则丟弃该分组; 否则, 完成对请求 者 REQ的组播密钥的通告过程。
当鉴别访问控制器 AAC成功完成对请求者 REQ的组播密钥通告后,鉴 别访问控制器 AAC和请求者 REQ之间的通信数据可釆用上述协商或通告 的单播数据密钥和组播数据密钥进行保密通信。
本发明在提供一种基于预共享密钥的网络安全访问控制方法的同时, 还提供了一种基于预共享密钥的网络安全访问控制系统, 该控制系统包括 请求者 REQ和鉴别访问控制器 AAC;鉴别访问控制器 AAC和请求者 REQ 连接, 并为请求者 REQ提供服务端口。
通过以上的实施方式的描述, 本领域的技术人员可以清楚地了解到本发 明可以通过硬件实现, 也可以可借助软件加必要的通用硬件平台的方式来实 现。 基于这样的理解, 本发明的技术方案可以以软件产品的形式体现出来, 该软件产品可以存储在一个非易失性存储介质 (可以是 CD-ROM, U盘, 移 动硬盘等)中, 包括若干指令用以使得一台计算机设备 (可以是个人计算机, 服务器, 或者网络设备等)执行本发明各个实施例所述的方法。
最后应说明的是: 以上实施例仅用以说明本发明的技术方案, 而非对其 限制; 尽管参照前述实施例对本发明进行了详细的说明, 本领域的普通技术 人员应当理解: 其依然可以对前述各实施例所记载的技术方案进行修改, 或 者对其中部分技术特征进行等同替换; 而这些修改或者替换, 并不使相应技 术方案的本质脱离本发明各实施例技术方案的精神和范围。

Claims

权利要求
1、 一种基于预共享密钥的网络安全访问控制方法, 其特征在于: 该 方法包括以下步骤:
1 )请求者 REQ与鉴别访问控制器 AAC进行安全策略协商;
2 )请求者 REQ与鉴别访问控制器 AAC进行身份鉴别及单播密钥协商;
3 )请求者 REQ与鉴别访问控制器 AAC进行组播密钥通告。
2、 根据权利要求 1所述的基于预共享密钥的网络安全访问控制方法, 其特征在于: 所述步骤 1 ) 的具体实现方式是:
1.1 ) 安全策略协商请求: 当请求者 REQ接入鉴别访问控制器 AAC时, 鉴别访问控制器 AAC向请求者 REQ发送安全策略协商请求分组, 该安全策 略协商请求分组的主要内容包括: TIEAAC;
其中:
TIEAAC字段: 表示鉴别访问控制器 AAC所支持的三元对等鉴别 TePA 信息元素, 包含鉴别访问控制器 AAC所支持的鉴别和密钥管理套件及密码 套件;
1.2 )安全策略协商响应: 请求者 REQ收到安全策略协商请求分组后, 进 行如下处理:
请求者 REQ根据安全策略协商请求分组中 TIEAAC字段给出的鉴别访问控 制器 AAC所支持的鉴别和密钥管理套件及密码套件, 结合本地策略选择一种 双方共有的鉴别和密钥管理套件及密码套件, 组成安全策略协商响应分组发 送给鉴别访问控制器 AAC; 若请求者 REQ不支持安全策略协商请求分组中鉴 别访问控制器 AAC所支持的任一鉴别和密钥管理套件或密码套件, 根据本地 策略可丟弃该分组; 该安全策略协商响应分组的主要内容包括: TIEREQ;
其中:
TIEREQ字段: 表示请求者 REQ选择的 TePA信息元素, 包含请求者 REQ 所选择的鉴别和密钥管理套件及密码套件;
1.3 ) 鉴别访问控制器 AAC收到安全策略协商响应分组后, 进行如下 处理:
1.3.1 )鉴别访问控制器 AAC判断是否支持请求者 REQ所选择的鉴别和 密钥管理套件及密码套件,若不支持,则丟弃该分组;若支持则执行 1.3.2 );
1.3.2 )根据请求者 REQ选择的鉴别和密钥管理套件开始相应的身份鉴 别过程。
3、 根据权利要求 2所述的基于预共享密钥的网络安全访问控制方法, 其特征在于: 所述步骤 1.3.2 ) 中, 当请求者 REQ选择的鉴别和密钥管理套 件是基于预共享密钥的鉴别和密钥管理套件时, 其身份鉴别过程釆用基于 预共享密钥的鉴别协议 SAAP, 该鉴别协议 SAAP完成请求者 REQ和鉴别访 问控制器 A A C之间的双向身份鉴别,且完成两者之间的单播会话密钥的协 商。
4、 根据权利要求 3所述的基于预共享密钥的网络安全访问控制方法, 其特征在于: 所述步骤 2 ) 的具体实现方式是:
2.1 )身份鉴别及单播密钥协商激活: 当请求者 REQ与鉴别访问控制器 AAC在安全策略协商过程中协商选择釆用基于预共享密钥的鉴别和密钥 管理套件时,鉴别访问控制器 AAC向请求者 REQ发送身份鉴别及单播密钥 协商激活分组, 激活请求者 REQ开始进行身份鉴别及单播密钥协商过程, 身份鉴别及单播密钥协商激活分组的主要内容包括: NAAC
其中:
NAAC字段: 表示身份鉴别及单播密钥协商标识, 若为首次身份鉴别及 单播密钥协商过程, 则该字段为由鉴别访问控制器 AAC产生的随机数; 若 为更新的身份鉴别及单播密钥协商过程, 则该字段的值是上一次身份鉴别 及单播密钥协商过程中计算的身份鉴别及单播密钥协商标识的值;
2.2 )身份鉴别及单播密钥协商请求: 请求者 REQ收到身份鉴别及单播 密钥协商激活分组后, 进行如下处理:
2.2.1 )如果此次身份鉴别及单播密钥协商过程为更新过程, 则请求者 REQ检查身份鉴别及单播密钥协商激活分组中的身份鉴别及单播密钥协 商标识 NAAC字段值与上一次身份鉴别及单播密钥协商过程中计算的身份 鉴别及单播密钥协商标识值是否一致, 若不一致, 则丟弃该分组, 若一致, 则执行 2.2.2 ) ; 如果此次鉴别过程为首次身份鉴别及单播密钥协商过程, 则直接执行 2.2.2 ) ;
2.2.2 )请求者 REQ生成请求者 REQ询问 NREQ, 利用预共享密钥、 身份 鉴别及单播密钥协商标识 NAAC及请求者 REQ询问 NREQ计算得到单播会话 密钥和下一次身份鉴别及单播密钥协商过程中的身份鉴别及单播密钥协 商标识 NAAC并保存, 其中单播会话密钥包括协议数据密钥 PDK ( Protocol Data Key )和单播数据密钥 UDK ( Unicast Data Key ) 两部分。 协议数据密 钥 PDK用于保护请求者 REQ与鉴别访问控制器 AAC之间协议数据中密钥 数据的机密性及协议数据的完整性, 单播数据密钥 UDK用于保护请求者 REQ与鉴别访问控制器 AAC之间用户数据的机密性和完整性;
2.2.3 )请求者 REQ利用协议数据密钥 PDK本地计算消息鉴别码 MIC1 , 构造身份鉴别及单播密钥协商请求分组发送给鉴别访问控制器 AAC;
如果请求者 REQ需要发起身份鉴别及单播密钥协商的更新过程, 则可 直接执行上述 2.2.2 ) 和 2.2.3 ) , 其中身份鉴别及单播密钥协商标识 NAAC 字段值取决于上一次身份鉴别及单播密钥协商过程中计算的身份鉴别及 单播密钥协商标识值, 构造身份鉴别及单播密钥协商请求分组发送给鉴别 访问控制器 AAC ,无需等待鉴别访问控制器 AAC先发送身份鉴别及单播密 钥协商激活分组;
身份鉴别及单播密钥协商请求分组主要内容包括: NREQ、 NAAC、 TIEREQ 以及 MIC 1 ;
其中:
NREQ字段: 表示请求者 REQ的询问, 为请求者 REQ产生的随机数; NAAC字段: 表示身份鉴别及单播密钥协商标识; 若为首次身份鉴别及 单播密钥协商过程, 则该字段值直接取决于身份鉴别及单播密钥协商激活 分组中 NAAC字段的值; 若为身份鉴别及单播密钥协商更新过程, 则该字段 值为上一次身份鉴别及单播密钥协商过程中计算的身份鉴别及单播密钥 协商标识值;
TIEREQ字段: 表示请求者 REQ选择的鉴别和密钥管理套件及密码套 件; 其值同安全策略协商响应分组中的 TIEREQ字段的值;
MIC1字段: 表示消息鉴别码, 由请求者 REQ利用生成的协议数据密 钥 PDK对身份鉴别及单播密钥协商请求分组中除本字段外所有字段进行 计算得到的杂凑值;
2.3 ) 身份鉴别及单播密钥协商响应: 鉴别访问控制器 AAC收到身份 鉴别及单播密钥协商请求分组后, 进行如下处理:
2.3.1 )如果此次身份鉴别及单播密钥协商过程为更新过程, 则检查分 组中的 NAAC字段与上一次身份鉴别及单播密钥协商过程中计算的身份鉴 别及单播密钥协商标识值是否一致, 若不一致, 则丟弃该分组, 若一致, 则执行 2.3.2 ); 如果此次密钥协商过程为首次身份鉴别及单播密钥协商过 程, 则需要检查分组中的 NAAC字段值与身份鉴别及单播密钥协商激活分组 中的 NAAC字段值是否一致, 如果不一致, 则丟弃该分组, 如果一致, 则执 行 2.3.2 ) ;
2.3.2 )验证 TIEREQ字段值与安全策略协商过程中收到的安全策略协商 响应分组中的 TIEREQ字段值是否一致, 如果不一致, 则丟弃该分组; 如果 一致, 则执行 2.3.3 ) ;
2.3.3 )利用预共享密钥、 身份鉴别及单播密钥协商标识 NAAC及请求者 REQ询问 NREQ计算得到单播会话密钥和下一次身份鉴别及单播密钥协商 过程中的身份鉴别及单播密钥协商标识 NAAC并保存, 其中单播会话密钥包 括协议数据密钥 PDK和单播数据密钥 UDK;
2.3.4 )利用协议数据密钥 PDK验证身份鉴别及单播密钥协商请求分组 中的 MIC1字段的正确性, 如果不正确, 则丟弃该分组; 如果正确, 则鉴 别访问控制器 AAC完成对请求者 REQ的身份鉴别, 并协商出与请求者 REQ 之间的单播会话密钥, 执行 2.3.5 ) ;
2.3.5 ) 用协议数据密钥 PDK本地计算消息鉴别码 MIC2 , 构造身份鉴 别及单播密钥协商响应分组, 发送给请求者 REQ;
身份鉴别及单播密钥协商响应分组主要内容包括: NREQ、 TIEAAC以及 MIC2;
其中:
NREQ字段: 表示请求者 REQ的询问, 为请求者 REQ产生的随机数。 其 值同身份鉴别及单播密钥协商请求分组中的 NREQ字段的值;
TIEAAC字段: 表示鉴别访问控制器 AAC所支持的鉴别和密钥管理套件 及密码套件; 其值同安全策略协商请求分组中的 TIEAAC字段的值;
MIC2字段: 表示消息鉴别码, 由鉴别访问控制器 AAC利用生成的协 议数据密钥 PDK对身份鉴别及单播密钥协商响应分组中除本字段外所有 字段及已协商的下一次身份鉴别及单播密钥协商过程中的身份鉴别及单 播密钥协商标识 NAAC进行计算得到的杂凑值;
2.4 )请求者 REQ收到身份鉴别及单播密钥协商响应分组后, 进行如下 处理:
2.4.1 )检查 NREQ字段与之前发送的身份鉴别及单播密钥协商请求分组 中的 NREQ字段是否相同, 若不同, 则丟弃该分组; 若相同,则执行 2.4.2 ) ;
2.4.2 )验证 TIEAAC字段值与安全策略协商过程中收到的安全策略协商 请求分组中的 TIEAAC字段值是否一致, 如果不一致, 则丟弃该分组; 如果 一致,则执行 2.4.3 ) ;
2.4.3 )利用协议数据密钥 PDK验证身份鉴别及单播密钥协商响应分组 中的 MIC2字段的正确性, 如果不正确, 则丟弃该分组; 如果正确, 则请 求者 REQ完成对鉴别访问控制器 AAC的身份鉴别,协商出和鉴别访问控制 器 AAC之间一致的单播会话密钥。
5、 根据权利要求 4所述的基于预共享密钥的网络安全访问控制方法, 其特征在于: 所述执行完 2.4.3 )后, 还包括:
2.4.4 ) 用协议数据密钥 PDK本地计算消息鉴别码 MIC3 , 构造身份鉴 别及单播密钥协商确认分组, 发送给鉴别访问控制器 AAC; 该身份鉴别及 单播密钥协商确认分组是可选的;
身份鉴别及单播密钥协商确认分组主要内容包括: NAAC以及 MIC3; 其中:
NAAC字段: 表示身份鉴别及单播密钥协商标识, 其值同身份鉴别及单 播密钥协商请求分组中的 N A AC字段的值;
MIC3字段: 表示消息鉴别码, 由请求者 REQ利用生成的协议数据密 钥 PDK对身份鉴别及单播密钥协商响应分组中除本字段外所有字段及已 协商的下一次身份鉴别及单播密钥协商过程中的身份鉴别及单播密钥协 商标识进行计算得到的杂凑值。
6、 根据权利要求 5所述的基于预共享密钥的网络安全访问控制方法, 其特征在于, 还包括:
2.5 ) 鉴别访问控制器 AAC收到身份鉴别及单播密钥协商确认分组 后, 进行如下处理:
2.5.1 )检查 NAAC字段值与收到的身份鉴别及单播密钥协商请求分组中 的 NAAC字段值是否相同, 若不同, 则丟弃该分组; 若相同,则执行 2.5.2 ) ;
2.5.2 )利用协议数据密钥 PDK验证身份鉴别及单播密钥协商确认分组 中的 MIC3字段的正确性, 如果不正确,则丟弃该分组; 如果正确, 则鉴别 访问控制器 AAC确认请求者 REQ已获得与其一致的单播会话密钥。
7、 根据权利要求 1或 2或 3或 4或 5或 6所述的基于预共享密钥的网络安 全访问控制方法, 其特征在于: 所述步骤 3 ) 的具体实现方式是:
3.1 ) 组播密钥通告:
组播密钥通告分组主要内容包括: KN、 EMDK以及 MIC4;
其中:
KN字段: 表示密钥通告标识, 初始化为一个整数, 在每次密钥更新 通告时该字段值加 1 , 若通告的密钥不变, 则该字段值保持不变;
EMDK字段: 表示密钥加密数据, 是鉴别访问控制器 AAC利用身份鉴别 及单播密钥协商过程中生成的协议数据密钥 PDK对组播数据密钥 MDK加 密后的数据, 其中组播数据密钥 MDK是由鉴别访问控制器 AAC产生的随 机数, 用于保护安全接入后组播数据的安全通信;
MIC4字段: 表示消息鉴别码, 由鉴别访问控制器 AAC利用身份鉴别 及单播密钥协商过程中生成的协议数据密钥 PDK对组播密钥通告分组中 除本字段外所有字段进行计算得到的;
3.2 ) 组播密钥响应:
请求者 REQ收到组播密钥通告分组后, 进行如下处理:
3.2.1 )检查 KN字段是否单调递增, 如果不是,则丟弃该分组; 如果是, 则执行 3.2.2 ) ;
3.2.2 )利用身份鉴别及单播密钥协商过程中生成的协议数据密钥 PDK 验证 MIC4字段是否正确,若不正确,则丟弃该分组;若正确,则执行 3.2.3 );
3.2.3 )利用身份鉴别及单播密钥协商过程中生成的协议数据密钥 PDK 解密 EMDK字段即可得到组播数据密钥 MDK;
3.2.4 )保存此次的密钥通告标识 KN字段的值, 并生成组播密钥响应 分组, 发送给鉴别访问控制器 AAC;
组播密钥响应分组主要内容包括: KN以及 MIC5;
其中:
KN字段: 表示密钥通告标识, 其值同组播密钥通告分组中的 KN字段 的值;
MIC5字段: 表示消息鉴别码, 由请求者 REQ利用身份鉴别及单播密 钥协商过程中生成的协议数据密钥 PDK对组播密钥响应分组中除本字段 外所有字段进行计算得到的;
3.3 ) 鉴别访问控制器 AAC收到组播密钥响应分组后, 将进行如下处 理:
3.3.1 ) 比较 KN字段与之前发送的组播密钥通告分组中的 KN字段值是 否一致, 如果不一致, 则丟弃该分组; 如果一致, 则执行 3.3.2 ) ;
3.3.2 )利用身份鉴别及单播密钥协商过程中生成的协议数据密钥 PDK 验证 MIC5字段的正确性, 若不正确, 则丟弃该分组; 若正确, 则完成对 请求者 REQ的组播密钥的通告过程。
8、 一种基于预共享密钥的网络安全访问控制系统, 其特征在于: 所 述基于预共享密钥的网络安全访问控制系统包括请求者 REQ和鉴别访问 控制器 AAC; 所述鉴别访问控制器 AAC和请求者 REQ连接, 并为请求 者 REQ提供服务端口。
PCT/CN2009/075975 2009-08-25 2009-12-24 一种基于预共享密钥的网络安全访问控制方法及其系统 WO2011022915A1 (zh)

Priority Applications (2)

Application Number Priority Date Filing Date Title
US13/391,526 US8646055B2 (en) 2009-08-25 2009-12-24 Method and system for pre-shared-key-based network security access control
JP2012525847A JP5524336B2 (ja) 2009-08-25 2009-12-24 事前共有鍵に基づくネットワークセキュリティアクセス制御方法及びそのシステム

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
CN200910023685.0 2009-08-25
CN2009100236850A CN101635710B (zh) 2009-08-25 2009-08-25 一种基于预共享密钥的网络安全访问控制方法及其系统

Publications (1)

Publication Number Publication Date
WO2011022915A1 true WO2011022915A1 (zh) 2011-03-03

Family

ID=41594771

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/CN2009/075975 WO2011022915A1 (zh) 2009-08-25 2009-12-24 一种基于预共享密钥的网络安全访问控制方法及其系统

Country Status (4)

Country Link
US (1) US8646055B2 (zh)
JP (1) JP5524336B2 (zh)
CN (1) CN101635710B (zh)
WO (1) WO2011022915A1 (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104010303A (zh) * 2014-05-09 2014-08-27 中国人民解放军信息工程大学 基于物理层密钥的终端和核心网的双向认证增强方法

Families Citing this family (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101800943B (zh) * 2010-03-31 2012-03-07 西安西电捷通无线网络通信股份有限公司 一种适合组呼系统的组播密钥协商方法及系统
CN104838681B (zh) * 2012-10-11 2019-03-12 诺基亚通信公司 利用核心网络支持的伪基站检测
US9954839B2 (en) * 2013-06-28 2018-04-24 Telefonaktiebolaget Lm Ericsson (Publ) Systems and methods for providing distributed authentication of service requests by identity management components
JP6278651B2 (ja) * 2013-09-27 2018-02-14 キヤノン株式会社 ネットワークシステム、管理サーバシステム、制御方法及びプログラム
CN106470104B (zh) 2015-08-20 2020-02-07 阿里巴巴集团控股有限公司 用于生成共享密钥的方法、装置、终端设备及系统
CN112512042B (zh) * 2020-10-14 2022-10-14 锐捷网络股份有限公司 通信密钥生成方法、装置、设备和存储介质
CN114760033A (zh) * 2020-12-26 2022-07-15 西安西电捷通无线网络通信股份有限公司 一种身份鉴别方法和装置
CN114760028A (zh) * 2020-12-26 2022-07-15 西安西电捷通无线网络通信股份有限公司 一种身份鉴别方法和装置
CN114760026A (zh) * 2020-12-26 2022-07-15 西安西电捷通无线网络通信股份有限公司 一种身份鉴别方法和装置
CN113114459B (zh) * 2021-05-21 2023-06-02 上海银基信息安全技术股份有限公司 安全认证方法、装置、设备和存储介质
CN114125583B (zh) * 2021-11-15 2023-08-18 浙江中控技术股份有限公司 一种分布式控制网的通信控制方法

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH11215146A (ja) * 1998-01-27 1999-08-06 Nec Corp パッシブ光ネットワークを介したatmセルの伝送方法、atm通信装置、光加入者装置および光ネットワーク装置
CN1953367A (zh) * 2005-10-17 2007-04-25 中兴通讯股份有限公司 一种以太网无源光网络中组播业务加密控制的方法
CN101345765A (zh) * 2008-08-21 2009-01-14 西安西电捷通无线网络通信有限公司 一种基于单播会话密钥的组播密钥分发方法及其更新方法

Family Cites Families (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6691227B1 (en) * 2000-09-08 2004-02-10 Reefedge, Inc. Location-independent packet routing and secure access in a short-range wireless networking environment
US7516485B1 (en) * 2001-05-29 2009-04-07 Nortel Networks Limited Method and apparatus for securely transmitting encrypted data through a firewall and for monitoring user traffic
US7167919B2 (en) * 2001-12-05 2007-01-23 Canon Kabushiki Kaisha Two-pass device access management
US7996888B2 (en) * 2002-01-11 2011-08-09 Nokia Corporation Virtual identity apparatus and method for using same
US7574603B2 (en) * 2003-11-14 2009-08-11 Microsoft Corporation Method of negotiating security parameters and authenticating users interconnected to a network
KR100546778B1 (ko) * 2003-12-17 2006-01-25 한국전자통신연구원 무선 인터넷 가입자 인증 방법 및 그 장치
WO2005086412A1 (en) * 2004-03-05 2005-09-15 Electronics And Telecommunications Research Institute Method for managing traffic encryption key in wireless portable internet system and protocol configuration method thereof, and operation method of traffic encryption key state machine in subscriber station
CN100373843C (zh) * 2004-03-23 2008-03-05 中兴通讯股份有限公司 一种无线局域网中密钥协商方法
JP4694240B2 (ja) * 2005-04-06 2011-06-08 エヌ・ティ・ティ・コミュニケーションズ株式会社 暗号キー配信装置及びそのプログラム
US7975140B2 (en) * 2005-04-08 2011-07-05 Nortel Networks Limited Key negotiation and management for third party access to a secure communication session
US7656795B2 (en) * 2005-04-11 2010-02-02 International Business Machines Corporation Preventing duplicate sources from clients served by a network address port translator
CN100512108C (zh) * 2005-07-15 2009-07-08 陈相宁 入网终端物理唯一性识别方法和终端接入认证系统
CN101155396B (zh) * 2006-09-25 2012-03-28 联想(北京)有限公司 一种终端结点切换方法
US20080227548A1 (en) * 2007-03-13 2008-09-18 Microsoft Corporation Secured cross platform networked multiplayer communication and game play
CN101222328B (zh) * 2007-12-14 2010-11-03 西安西电捷通无线网络通信股份有限公司 一种实体双向鉴别方法

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH11215146A (ja) * 1998-01-27 1999-08-06 Nec Corp パッシブ光ネットワークを介したatmセルの伝送方法、atm通信装置、光加入者装置および光ネットワーク装置
CN1953367A (zh) * 2005-10-17 2007-04-25 中兴通讯股份有限公司 一种以太网无源光网络中组播业务加密控制的方法
CN101345765A (zh) * 2008-08-21 2009-01-14 西安西电捷通无线网络通信有限公司 一种基于单播会话密钥的组播密钥分发方法及其更新方法

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104010303A (zh) * 2014-05-09 2014-08-27 中国人民解放军信息工程大学 基于物理层密钥的终端和核心网的双向认证增强方法
CN104010303B (zh) * 2014-05-09 2016-09-14 中国人民解放军信息工程大学 基于物理层密钥的终端和核心网的双向认证增强方法

Also Published As

Publication number Publication date
JP5524336B2 (ja) 2014-06-18
CN101635710A (zh) 2010-01-27
US8646055B2 (en) 2014-02-04
CN101635710B (zh) 2011-08-17
JP2013503510A (ja) 2013-01-31
US20120159587A1 (en) 2012-06-21

Similar Documents

Publication Publication Date Title
WO2011022915A1 (zh) 一种基于预共享密钥的网络安全访问控制方法及其系统
JP5414898B2 (ja) 有線lanのセキュリティアクセス制御方法及びそのシステム
RU2454832C2 (ru) Способ аутентификации доступа, применяемый к ibss-сети
US8635444B2 (en) System and method for distributing keys in a wireless network
WO2004043006A1 (fr) Procede d'acces d'un terminal mobile au reseau local sans fil et de communication de donnees en toute securite via une liaison sans fil
CN108848111B (zh) 一种基于区块链技术的去中心化虚拟专用网络组建方法
WO2009089738A1 (fr) Système et procédé d'accès pour authentification destinés à un réseau sans fil à sauts multiples
WO2009094941A1 (fr) Procédé, dispositif et système pour un accès d'authentification de réseau à sauts multiples sans fil basé sur id
WO2007085175A1 (fr) Procédé, système d'authentification et centre d'authentification reposant sur des communications de bout en bout dans le réseau mobile
WO2008083628A1 (fr) Serveur d'authentification, procédé, système et dispositif d'authentification mutuelle dans un réseau sans fil maillé
TW200423604A (en) Key generation in a communication system
WO2010003335A1 (zh) IPv6网络中协商SA的方法、系统和设备
WO2013004112A1 (zh) 数据传输的方法及装置
WO2009094942A1 (fr) Procédé et système de réseau de communication pour établir une conjonction de sécurité
WO2010135890A1 (zh) 基于对称加密算法的双向认证方法及系统
WO2007028328A1 (fr) Procede, systeme et dispositif de negociation a propos d'une cle de chiffrement partagee par equipement utilisateur et equipement externe
WO2019001169A1 (zh) 一种基于身份代理群签名的PMIPv6认证系统及方法
WO2011020279A1 (zh) 一种基于公钥证书的身份鉴别方法及其系统
WO2011109960A1 (zh) 基于身份的双向认证方法及系统
WO2010066186A1 (zh) 一种三步握手协议方法
WO2012075825A1 (zh) 无线局域网中端站的安全配置方法、ap、sta、as及系统
WO2013166908A1 (zh) 密钥信息生成方法及系统、终端设备、接入网设备
WO2022143935A1 (zh) 基于区块链的sdp访问控制方法及系统
Prakash et al. Authentication protocols and techniques: a survey
WO2012040949A1 (zh) 一种移动WiMAX网络中EAP认证快速切换方法

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 09848647

Country of ref document: EP

Kind code of ref document: A1

WWE Wipo information: entry into national phase

Ref document number: 13391526

Country of ref document: US

NENP Non-entry into the national phase

Ref country code: DE

WWE Wipo information: entry into national phase

Ref document number: 2012525847

Country of ref document: JP

122 Ep: pct application non-entry in european phase

Ref document number: 09848647

Country of ref document: EP

Kind code of ref document: A1