专利名称:一种可信接入中的网络资源访问控制方法
技术领域:
本发明涉及一种网络资源访问控制方法,尤其涉及一种可信接入中的网络资源访问控制 方法,属于网络通信领域。
背景技术:
近年来,随着各种接入技术的普及,网络用户数量也呈爆炸性趋势增长,根据中国互联 网协会的统计,截至2006年底,我国网民人数已达1.3亿,年增长率达到了30%。网络用户数 的增加,也使得网络遭受安全攻击的可能性大大增加,网络黑客通过计算机网络可以轻易的 传播病毒,盗取信用卡帐号,并利用网络安全漏洞获取商业利益,由此带来了大量的网络犯 罪活动。根据我国公安机关发布的数据,2005年我国共处理网络安全犯罪近3万起,造成的 直接经济损失约IO亿元人民币。2006年底的熊猫烧香病毒,在很短的时间内,席巻了整个 互联网,给我国造成了上亿元的经济损失。
解决网络安全问题的关键是如何有效的控制非法用户的接入,于是,网络运营商采用了 各种接入认证技术来限制终端节点的接入。然而正TF NEA工作组认为仅仅使用传统的接 入认证技术是不够的,恶意软件可能会利用受感染的合法终端攻击阿络。由此出现了几种可 信接入安全技术,这些技术的主要思路是从终端着手,通过管理员指定的安全策略,对接入 网络的主机进行安全性检测,自动拒绝不安全的主机接入网络,直到这些主机符合网络内的 安全策略为止。目前具有代表性的技术包括思科的网络接入控制技术NAC,微软的网络接 入保护技术NAP,及TNC组织的可信网络连接技术。这些可信接入技术的基本思路是对终 端进行完整性检测和评估,并在评估的基础上对终端进行接入控制,限制终端对特定资源的 访问。
可信接入的基本目标是对终端的接入控制。接入控制通常分为两种方法 一种是被访问 的网络资源与终端之间配置共享密钥,双方通过共享密钥进行认证,并根据认证结果对终端 进行访问控制,然而这种方法需要在网络接入设备上配置终端信息,当网络规模较大时,密 钥分配工作量将会非常大,导致密钥的存储空间需求也会很大;另一种是基于数字证书机制, 只有能提供数字证书的终端用户才能访问特定的网络资源,然而这种方法需要对数字证书进 行验证,增加了访问控制的时延,同时数字证书的传输也需要额外的带宽。
发明内容
本发明为解决现有的可信接入控制技术在大规模组网中存在的存储和验证计算开销方面 的问题而提出一种可信接入中的网络资源访问控制方法。
一种可信接入中的网络资源访问控制方法,其特征在于包括如下步骤 第一步可信接入服务器进行系统初始化,初始化过程如下-
(1) 用5£厶算法随机创建椭圆曲线/= +欲+ 61110(1;7,并计算其阶为第一素数";
(2) 在椭圆曲线上选取一点G作为第一基点,选取方法为
a. 随机选择一个第二素数G,,令jc-G,;
b. 求解方程3;2-Jc3+ax + 6mod; ,获得相应的y,则第一棊点G《;c,y > ;
其中p—奇素数,i^为SEA算法中的有限域,系数"、6ei^; 第二步密钥材料分发,包括资源所有者^的密钥分发和终端附,,的密钥分发
(1) 资源所有者S,的密钥分发,包括如下步骤-
a. 对于每一个资源所有者<formula>formula see original document page 5</formula>,可信接入服务器随机选取一个为整数的资源所有者<formula>formula see original document page 5</formula>
b. 计算公钥<formula>formula see original document page 5</formula>
c. 可信接入服务器保持选取的为整数的资源所有者A为私有秘密,并将公钥《,分配给 对应的资源所有者^;
(2) 终端附,的密钥分发,对于每一个终端w,.eM,可信接入服务器根据其可信度确定其
可访问的资源集合S'eS,针对可访问的资源集合S'中的每个资源所有者^,可信接
入服务器执行如下操作 a产生一个随机数w,、eZ",由于"是素数,故<formula>formula see original document page 5</formula>,从而m,.爿—1 modn存在
且可使用扩展的欧几里德算法计算得到。
b. 计算第二基点<formula>formula see original document page 5</formula>c. 计算私钥<formula>formula see original document page 5</formula>
d. 将计算得到的密钥材料化爿,C^J分发给终端m,,;
其中S—总资源集合,Z"—小于"的正整数集合,M—终端集合;
第三步资源访问控制,包括如下步骤
(1) 当终端附,,需要访问资源所有者&时,终端附,.将请求消息包含第二基点G^^和当前计
算机的时间发送给资源所有者s1 ,并使用私钥A.爿对请求消息进行签名;
(2) 资源所有者&收到终端m,,发来的请求消息后,使用公钥和第二基点对终端 进行验证,只有通过验证的终端/w,.才能证明自己拥有私钥t,爿。
本发明是一种可信接入中的网络资源访问控制方法,可信接入服务器为每个资源所有者 分配一个密钥材料,并根据终端的可信度,为终端临时生成访问相应资源的访问令牌。由于
每个资源所有者只需要保存一个密钥材料就可以验证所有终端的令牌,所以在大规模组网通 讯中,本方法可以有效降低资^l所有者为保存终端信息而占用的空间,同时减小验证计算开销。
图l:网络资源访问控制模型其中资源所有者1表示标号为1的资源所有者,。。。。。 者t表示标号为t的资源所有者,终端1表示标号为1的终端 标号为t'的终端。
具体实施例方式
如图1所示的网络资源访问控制模型图,可信接入服务器是整个系统的安全中心,也是 资源所有者和终端都信任的网络实体,负责安全材料的管理和分配。
为实现本方法,可信接入服务器与资源所有者及终端之间都必须建立安全联盟,在安全 联盟的保护下可信接入服务器向资源所有者和终端分发密钥材料。可信接入服务器为每个资 源所有者分配一个密钥材料,并根据终端的可信度为终端临时生成访问相应资源的访问令牌, 只有持有合法令牌的终端才可以访问特定资源。
本发明提出了一种可信接入中的网络资源访问控制方法,其主要步骤包括可信接入服 务器进行系统初始化、密钥材料分发和资源访问控制。其中,可信接入服务器系统初始化又 包括用SEA算法随机创建椭圆曲线和在椭圆曲线上随机选取一点G作为基点两步;密钥材料
分发又包括资源所有者5,的密钥分发和终端m,.的密钥分发两步;资源访问控制又包括当终端
",访问资源所有者&时用私钥&爿对请求消息进行签名和当资源所有者^收到请求消息后
用公钥G,和基点C^对终端/;v进行验证两步。只有通过验证的终端m,.才能证明自己拥有私
钥&爿,成为经过可信接入服务器授权的终端,达到了有效降低资源所有者为保存终端信息 而占用的空间,同时减小验证计算开销的目的。
该方法包括如下详细步骤 第一步可信接入服务器进行系统初始化,初始化过程如下-
(1) 用SEA算法随机创建椭圆曲线/二? + ox + 6mod/7,并计算其阶为第一素数w;
(2) 在椭圆曲线上选取一点G作为第一基点,选取方法为
a. 随机选择一个第二素数《,令jc-G,;
b. 求解方程/- +似+ &1110(^,获得相应的;v,则第一基点G-〈;c,y、 其中户一奇素数,尸p为SEA算法中的有限域,系数fl、
第二步密钥材料分发,包括资源所有者s,的密钥分发和终端附,的密钥分发 (1)资源所有者&的密钥分发,包括如下步骤
a.对于每一个资源所有者^eS,可信接入服务器随tl选取一个为整数的资源所有者^eZ";
,。表示资源所有者,资源所有 ,。。。表示终端,终端t'表示
b. 计算公钥《,-^G,由于椭圆曲线上的乘法的计算是使用加法来计算的,即公钥
<formula>formula see original document page 7</formula>c. 可信接入服务器保持选取的为整数的资源所有者^为私有秘密,并将公钥《,分配给对应的 资源所有者a;
(2)终端^,的密钥分发,对于每一个终端m(,eM,可信接入服务器根据其可信度确定其可
访问的资源集合S'eS,针对可访问的资源集合S'中的每个资源所有者a,可信接入服务器 执行如下操作
a产生一个随机数附"^Z。,由于"是素数,故gcd(w,.^"hl (即第一素数"和随机数附a, 的最大公约数为1),从而m,.爿—1!110€1 存在且可使用扩展的欧几里德算法计算得到。
b. 计算第二基点G<formula>formula see original document page 7</formula>c. 计算禾厶钥&、,=modw ;
d. 将计算得到的密钥材料伐,爿,(^",}分发给终端;
其中S—总资源集合,Z —小于"的正整数集合,M—终端集合;
由于公钥G,, =&G = ,f.^^,—W^附^G^ =& Gm^ ,因此〈、(,G,〉构成了终端m,.访
问资源所有者&时的公私钥对;
第三步资源访问控制,包括如下步骤
(1) 当终端附,,需要访问资源所有者^时,终端%,将请求消息包含第二基点(^"和当前计算
机的时间发送给资源所有者^ ,并使用私钥^爿对请求消息进行签名;
(2) 资源所有者a收到终端m,发来的请求消息后,使用公钥Gs,和第二基点Gm,^对终端《v进 行验证,只有通过验证的终端m,才能证明自己拥有私钥&",。
其中私钥&^是可信接入服务器分配给终端的密钥,其他节点无法获得私钥A,—,,就不能使 用私钥、爿进行签名。故能通过验证的终端都是经过可信接入服务器授权的终端。
权利要求
1、一种可信接入中的网络资源访问控制方法,其特征在于包括如下步骤第一步可信接入服务器进行系统初始化,初始化过程如下(1)用SEA算法随机创建椭圆曲线y2=x3+ax+b mod p,并计算其阶为第一素数n;(2)在椭圆曲线上选取一点G作为第一基点,选取方法为a. 随机选择一个第二素数Gx,令x=Gx;b. 求解方程y2=x3+ax+b mod p,获得相应的y,则第一基点G=<x,y>;其中p—奇素数,Fp为SEA算法中的有限域,系数a、b∈Fp;第二步密钥材料分发,包括资源所有者st的密钥分发和终端mt′的密钥分发(1)资源所有者st的密钥分发,包括如下步骤a. 对于每一个资源所有者st∈S,可信接入服务器随机选取一个为整数的资源所有者st∈Zn;b. 计算公钥c. 可信接入服务器保持选取的为整数的资源所有者st为私有秘密,并将公钥分配给对应的资源所有者st;(2)终端mt′的密钥分发,对于每一个终端mt′∈M,可信接入服务器根据其可信度确定其可访问的资源集合S′∈S,针对可访问的资源集合S′中的每个资源所有者st,可信接入服务器执行如下操作a. 产生一个随机数mt′→t∈Zn,由于n是素数,故gcd(mt′→t,n)=1,从而mt′→t-1mod n存在且可使用扩展的欧几里德算法计算得到。b. 计算第二基点Gmt′→t=(mt′→t-1 mod n)G;c. 计算私钥kt′→t=mt′→t*st modn;d. 将计算得到的密钥材料分发给终端mt′;其中S—总资源集合,Zn—小于n的正整数集合,M—终端集合;第三步资源访问控制,包括如下步骤(1)当终端mt′需要访问资源所有者st时,终端mt′将请求消息包含第二基点和当前计算机的时间发送给资源所有者st,并使用私钥kt′→t对请求消息进行签名;(2)资源所有者st收到终端mt′发来的请求消息后,使用公钥和第二基点对终端mt,进行验证,只有通过验证的终端mt′才能证明自己拥有私钥kt′→t。
全文摘要
一种可信接入中的网络资源访问控制方法,属于网络通讯领域。其主要步骤包括可信接入服务器进行系统初始化、密钥材料分发和资源访问控制。其中,可信接入服务器系统初始化又包括用SEA算法随机创建椭圆曲线和在椭圆曲线上随机选取一点G作为第一基点;密钥材料分发又包括资源所有者s<sub>t</sub>的密钥分发和终端m<sub>t′</sub>的密钥分发;资源访问控制又包括当终端m<sub>t′</sub>访问资源所有者s<sub>t</sub>时用私钥k<sub>t′→t</sub>对请求消息进行签名和当资源所有者s<sub>t</sub>收到请求消息后用公钥G<sub>x#-[t</sub>]和第二基点G<sub>m#-[t′→t</sub>对终端m<sub>t′</sub>进行验证。只有通过验证的终端m<sub>t′</sub>才能证明自己拥有私钥k<sub>t′→t</sub>,成为经过可信接入服务器授权的终端。本发明可以有效降低资源所有者为保存终端信息而占用的空间,同时减小验证计算开销。
文档编号H04L29/06GK101383823SQ200810155728
公开日2009年3月11日 申请日期2008年10月8日 优先权日2008年10月8日
发明者万长胜, 胡爱群 申请人:东南大学