专利名称:基于标识的一体化网络终端统一接入控制方法
技术领域:
本发明涉及一种基于标识的一体化网络终端统一接入控制方法,是一种利 用网络的电数字通讯处理方法。
技术背景现有互联网是基于IP协议的无连接网络技术建立的,而这种无连接的传输 机制在安全方面存在先天不足。在数据报文从源传送到目的地的过程中,需要 经过许多中间网络,其中包括不被发送方或接收方拥有或控制的中间路由器,以及对第三方相对可见的传输信道。有些Sniff类的工具(如netxray, snoop, sniffit, tcpdump, ethereal)能够捕获网上流过的数据包,并将数据包的内容信息 分析出来。这些工具从一定意义上使得网络上传输的数据变得可见,能够观察 到一些网络用户正在进行的操作和传输的数据。这样,由于数据报文能在中途 被截获,威胁其安全性,所以不能信任其内容。例如,当服务器试图使用源地 址来鉴别请求是否由合法用户发出时,源地址鉴别要求服务器检查每个传来的 数据报文的源IP地址,只接受从授权列表中存在的计算机发出的请求。而当数 据报文在中间路由器或者在传输信道上被截获时,通过上述的Sniff类软件工具 很容易得到数据报文中的源以及目的IP地址,这样源地址鉴别就很容易受到破 坏,所以源地址鉴别并不安全。例如,中间路由器通过观察发送到服务器以及 从服务器发出的通信量,可以获取合法用户的IP地址,进而使用该地址伪造一 个请求,获取网络服务,使合法用户的权益受到破坏。因此,在不安全的互联 网中,使用远程机器的IP地址进行鉴别的授权计划不足以满足需求。控制中间 路由器的冒名顶替者或者通过截获合法用户信息而进行伪造数据报文的第三
方,通过冒充已被授权的用户,可以获得网络访问权,从而对其它网络节点构 成攻击威胁。针对网络终端源地址伪造的问题,IETF在RFC2827中给出了一种网络入口 源地址过滤的方法。入口过滤方法要求互联网业务提供商以及网络的边缘组织 使用限制进入网络的源地址和流出到限定的外部网络的过滤器。现有网络中入 口过滤典型的实施操作就是在接入网络的交换机或路由器上将终端的IP地址、 网卡MAC地址以及物理端口进行绑定。如果按照RFC2827所述,所有的网络 入口都进行过滤,互联网将不存在源地址伪造的数据包,而且所有的数据包都 是由合法注册的终端产生。但是,入口过滤方法只有在所有或者至少大部分的 网络入口节点都启用的情况下才能正常工作。以今天的互联网状况来看,即使 只有25%的互联网没有使用入口过滤,那些想进行源地址伪造的分子就能很容 易的连接到不安全的连接点,进而对网络或者其他用户构成威胁。其次由于入 口过滤方法对终端的网络接入进行严格的绑定,终端的移动将受到极大的限制, 不适合现有网络的发展趋势。针对网络终端源地址伪造的问题,现有的另外一种防范方法,就是单播反 向路径转发过滤,即,网络中的路由器如果不能将接收数据包的源地址作为目 的地址的数据包沿着接收路径返回,路由器就将丢弃这种数据包,而不进行转 发。假设具有源地址伪造和对称路由的数据包产生,具有n条链路和配置了单 播反向路径转发过滤功能的路由器将丢弃(n-iyn的这种数据包,这将大大降低 利用伪造源地址进行DOS攻击的可能性。单播反向路径转发过滤不适用于非对 称路由发生的情况,这就使得很大一部分互联网不能使用这种方法。针对互联网通信的安全性问题,IETF设计了一套IPSec (IP security)协议, 该协议在IP层提供鉴别和保密功能。IPSec是IPv4的可选功能。在IPv6的制订 过程中,IETF对IPv6的完全保密性给予了较多的关注。主要表现在IPv6规定
在该协议中IPSec是属于必备的协议功能,IPSec的安全头己经被作为IPv6自身 的扩展头。由于IPSec采用3DES (Triple Data Encryption Standard)算法,进行加密和解密的过程需要耗费一定的时间,因此会降低数据传输的速度,使网络 吞吐量下降。IPSec也无法完全解决目前广泛存在的DoS攻击,而且IPSec的安 全主要体现在端到端的安全,它无法解决当前存在的终端对网络的攻击行为, 它虽然可以改变DoS攻击的基础,对使用了 IPSec系统的攻击可能与对其他系 统的攻击不同,但它不能消除这种攻击的可能性。其次,由于用户的数据报文能够在中途被截获,网络用户的隐私性也不能 得到保证。 一些网络用户在传递数据时,出于各种原因不希望数据接收者之外 的其他用户知道数据的发送者。然而,由于用户源IP地址始终包括在数据报文 中,而数据报文又可以在中间路由器被截获,用户源地址很容易被分析出来, 网络用户的隐私很难得到保障。IETF于2001年推出RFC3041,对无状态自动配置协议(RFC2462)的保护隐 私的功能做了扩展。在协议扩展后,信息发送方的源地址可以使用定时改变的 临时IP地址,以使窃听者无法跟踪发信方的活动规律。这种使用临时地址的方 法,可以在一定程度上防止窃听者依据源IP地址来判断信息的发送者,但目的 地址仍是长期固定不变的,因为如果目的地址也可以随意改变,数据包将难以 寻址。因此窃听者仍然可以依据数据报文的目的地址来识别感兴趣的跟踪对象, 并通过对数据报文内容的解密得知发送人及通信内容。源地址在通信过程中的 变化也为跟踪和定位运行中的问题带来困难,给调试和故障处理带来困难。这 种做法将要求节点设备在域名服务器中除了注册域名、正式IP地址外,还必须 注册可能使用的全部临时地址,否则在査询时会遇到问题。发明内容综上所述不难看出,网络对终端的接入控制无论是对网络本身还是对网络
用户都可以带来很重要的现实意义。因此,在未来的一体化网络中,必须实现 网络对终端的严格接入控制,而这种控制不是通常意义上的地理位置限制,而 是对接入终端接入权限进行有效的灵活的管理。除此,在未来的一体化网络中, 为保护终端信息的安全,接入网络同样不应该对终端构成欺骗或威胁,即终端 要防止伪造网络诱骗自己的信息,终端和接入网络双方之间的互信,才是要实 现的最终目标。在本发明专利提出之前,我们曾提出了一种实现一体化网络服务的体系结构(专利申请号200510134579.1),该体系结构允许包括固定用户和移动终端、 移动子网、自组网用户等多种移动性接入,但对终端的网络接入控制没有给出 具体的实现方法。本发明专利所述的方法是对这种体系结构的技术延续和细化。 旨在以一种统一、有效、快速的方法对接入网络的异种网络终端实现进行严格 的统一接入控制,达到防止伪造终端接入网络,同时防止伪造网络接入点对终 端诱惑,最大限度保护网络及终端用户合法利益的目的。本发明的目的是这样实现的基于标识的一体化网络终端统一接入控制方 法,包括固定网和移动网组成的互联网、终端、接入路由器、认证中心,其 步骤是终端统一 身份标识的定义的步骤 , 终端统一身份标识的注册过程的步骤; 终端统一接入控制认证过程的步骤; 终端移动切换快速认证处理过程的步骤; 终端与接入交换路由器ASR间加密通信的步骤。本发明产生的有益效果是本发明所述的方法统一了异种网络终端的身份 标识,为一体化网络结构体系下异种网络终端的接入控制提供了良好的前提。 本发明所提出的行之有效的认证方法有效解决了网络对终端的接入控制,使得非法用户无法使用网络,使用源地址冒充的情况不复存在,在很大程度上保障 了网络的安全。本发明所述的认证过程相对简单、易于实现,给终端的移动带 来较少的时延,不至于影响终端的连接,而同时又进行了终端的认证确认。本 发明在终端和接入交换路由器间的通信采用加密方式,而且加密的密钥周期更 换,克服了终端可能遭受的克隆威胁。
下面结合附图和实施例对本发明作进一步说明。图1为实施例一 中终端隐私身份标识格式;图2为实施例一中终端公开身份标识格式;图3为实施例三中终端接入控制注册过程;图4为实施例三中认证中心存储的终端注册表项;图5为实施例四中终端统一接入控制认证消息流程;图6为实施例四中终端主动和被动发起认证网络示意图;图7为实施例五中终端移动快速认证处理过程消息流程图;图8为实施例五中终端移动时快速认证网络示意图;图9为实施例六中终端和接入交换路由器加密过程示意图。
具体实施方式
实施例一本实施例提出的完整技术方案包括终端统一身份标识的定义、终端统一身 份标识的注册过程、终端统一接入控制认证过程、终端移动切换快速认证处理过程、终端与ASR间加密通信过程五部分组成。本实施例所涉及的硬件包括三种网络实体终端,接入交换路由器,认证中 心。
所述终端,泛指各种可以接入网络的电子设备,如电脑、电话、手机、传感器节点等。所述接入交换路由器,负责各种固定终端和移动终端、WLAN等固定网络 以及移动子网和自组网等移动网络的接入,并负责终端或者各种网络的接入认 证以及为接入网络的终端用户进行接入标识和交换路由标识的映射转换,同时 将用户的数据包进行标识映射后在网络核心层转发。所述认证中心,负责记录终端的接入标识、终端特定的身份信息,终端的 授权状态,用于终端接入网络时,对终端身份的鉴别,同时产生终端和接入交 换路由器间加密通信过程中使用到的密钥信息,并将其传递给相应的接入交换 路由器。本实施例提出的技术方案在实施时,终端需要首先向网络中的认证中心完 成终端统一身份信息的注册过程,终端才有可能接入网络,否则终端永远不能 接入网络;认证中心保存所有终端注册的信息,负责在终端接入网络时的鉴权 处理;接入交换路由器负责异种网络终端或子网的接入,转发和维护接入终端 或子网的认证信息,为合法终端分配标识映射关系以及负责终端用户标识数据 包的标识映射和转发。本实施例根据异种网络终端存在的共性,将异种网络终端的类别、生产厂 商以及终端的序列号抽象出来,形成用户可读的终端隐私身份标识,其格式如 图1所示。而将终端隐私身份标识经过加密变换后的不可读的标识用作终端的公开身份标识,其格式如图2所示,终端公开身份标识用于在网络认证过程中传送作为终端统一接入控制的基础。本实施例可以描述为以下步骤
终端统一身份标识的定义的步骤;终端统一身份标识的注册过程的步骤;终端统一接入控制认证过程的步骤;终端移动切换快速认证处理过程的步骤;终端与接入交换路由器ASR间加密通信的步骤。实施例二本实施例是实施例一所述终端统一身份标识的定义步骤的细化。终端统一 身份标识的定义根据异种网络终端存在的共性,将异种网络终端的类别、生产 厂商以及终端的序列号抽象出来形成用户可读的终端隐私身份标识,而经过加 密变换后不可读的标识作为终端公开身份标识,用于网络节点间的认证传输。以上叙述可以描述为以下步骤寻找异种网络终端存在的共性,将异种网络终端的类别、生产厂商以及终 端的序列号抽象出来形成用户可读的终端隐私身份标识。将用户可读的终端隐私身份标识经过加密变换后形成不可读的标识,作为 终端公开身份标识,用于网络节点间的认证传输。实施例三本实施例是实施例一所述终端统一身份标识的注册过程步骤的细化。终端 在接入网络前必须在认证中心将自己的类型、生产厂商以及产品序列号注册完 毕,获取接入网络的合法接入标识,否则终端永远都不能通过网络对终端的统 一接入控制的认证过程,而无法享有网络服务。终端统一身份信息的注册过程是指用户在购买终端后,向网络中的认证中 心服务器进行身份注册的过程,其流程如图3所示。认证中心服务器为每一个终
端保存身份信息条目,如图4所示,供终端接入网络时进行鉴权査询。具体注册 过程如下所述-终端在申请入网注册请求时,需要提供终端隐私身份,终端认证密钥以及 用户信息等。用户须将步骤一中的信息通过安全的通道传送到认证中心服务器。 认证中心此时需要在未启用的接入标识库中,随机产生终端的接入标识, 或者终端的接入标识由用户在未启用的接入标识库中指定。认证中心以终端的接入标识为索引,并根据单向加密算法,将终端隐私身 份、终端认证密钥等信息以密文的形式存储在认证数据库的列表中,并标明该 终端接入标识已经启用。至此,终端统一身份标识的注册过程就完成了。用户向认证中心注册终端统一身份标识过程举例本举例假设用户A已经取得一个终端T,现需要开通网络服务,则注册过程如下步骤一用户由终端T说明书、终端T标明的信息或存储在终端T中的信息,获取终端T的类型、生产厂商、产品序列号等信息,并准备用户A自身的注册证明信息。步骤二用户A持步骤一中准备的信息到网络管理中心进行注册登记。 步骤三网络管理人员将用户A提供的自身信息以及终端统一身份信息注册到认证中心服务器。步骤四用户A指定终端T接入标识的获取类型随即抽取或用户指定。 步骤五网管人员根据用户A提供的终端接入标识获取类型,提供给用户A终端T的接入标识AID。步骤六用户A提供自己对当前注册终端T统一身份标识的密钥信息,注册到认证中心服务器。 步骤七认证中心根据上述注册的信息生成如图4所示的表项。 步骤八网管人员将认证中心生成的表项设置为启用状态,并将认证中心 的数据库进行更新。经过上述操作,用户A完成了对终端T的注册过程,并获取了合法接入网络 的接入标识AID。实施例四-本实施例是实施例一所述终端统一接入控制认证过程步骤的细化。终端在 接入网络时需接受严格的检验,终端只有事先在认证中心进行注册终端统一身 份标识信息并且终端、接入交换路由器和认证中心需完成如图5所示的接入认 证过程的消息流程,接入交换路由器才会维护和管理其认证的状态,并为其分 配映射关系和进行标识数据包的映射和转发。终端统一接入认证过程是本发明方案的核心部分,通过对终端接入网络时 的实时鉴权,真正达到网络对终端统一接入控制的目的。如图5所示,网络对终 端的统一接入认证过程可用以下步骤描述终端产生随机数RANDT,发送到需要进行接入认证的接入交换路由器。接入交换路由器接收到用户发送的RANDT (或者终端发送数据包),不作 任何计算,添加自己生成的随机数RANDR后,将RANDR和RANDT (或者接收 到的终端数据包)一起发回给终端,以此告知终端需要进行认证。终端复制接入交换路由器发回来的信息后,利用随机数RANDR、认证密钥 和终端隐私身份信息进行加密处理后,发送到网络进行认证,同时为保证终端 自己的安全,此消息附带一个谜题,需要网络解答。接入交换路由器将接收到经过加密的终端认证参数信息,加上终端的接入
标识后,转发到认证中心服务器进行査询。认证中心服务器接收到査询消息,首先以消息中的接入标识为索引,从认 证数据库中査找出其对应的终端身份信息,将其按照上面所提的算法处理后与 接收消息中的终端的身份信息进行比较,然后将比较的结果及对消息中附带谜 题的解答发送给接入交换路由器。接入交换路由器接收到认证中心发来的查询结果消息后,如果认证通过, 会在自己维护的认证列表中创建该终端的接入标识的条目,标明其已经通过认 证,同时通知终端进行认证加密的协商;否则,如果未通过认证,接入路由器 会回应终端认证失败消息。终端接收到认证通过的消息后,如果谜题的解答正确,则需要向接入交换 路由器传送双方通信时的认证加密信息。否则,终端应该放弃认证。接入交换路由器接收到终端发来的加密模式后,计算与终端通信的加密信 息,并回应终端以加密完成的指示消息。在终端统一接入控制认证过程实际操作中会出现两种情况,即终端主动发 起认证过程、终端被动发起认证过程,下面分别举例说明终端主动发起认证过程如图6所示,假设终端A要通过接入交换路由器ASR1接入网络,并且在此之前终端A己经将自己的身份信息正确注册,终端A主动发起的认证过程如下步骤一终端检测到ASR1的链路可用,向ASRl发送认证请求(Authentication Request)消息,用以请求网络接入;步骤二 ASR1收到终端A的认证请求消息后,如果ASR1可以提供接入服务, 则向终端发送认证响应(Authentication Reply)消息,用以向终端A确认ASR1可以
提供接入服务,并要求终端A发送认证所需的终端信息;步骤三终端A收至l」ASRl的认证响应消息后,向ASR1发送认证过程所需的 包含标识终端特定身份信息的认证参数(Authentication Parameter)消息,并携带必 要的挑战信息,用于确认网络的合法性;步骤四ASR1收到终端A的认证参数消息后,添加终端的接入标识后转发 到认证中心进行认证査询(Authentication Search)。步骤五认证中心收到ASR1发送的认证査询消息后,以终端A的接入标识 为索引,在数据库中搜索A的认证注册信息,将搜索到的终端A曾注册的身份信 息与认证査询消息中携带的终端身份信息进行计算比较,并计算挑战应答以及 终端与接入交换路由器加密通信的加密因子,最后认证中心将鉴别成功的结果 以及加密因子,挑战应答组成的查询结果(SearchResult)消息发回接入交换路由 器。步骤六ASR1接收到由认证中心发回的査询结果消息后,提取消息中的终 端A的接入标识和加密因子,并为终端A在认证列表中添加表项,标明终端A已 经通过认证,并将其使用状态标记为为启用,同时ASR1将包含终端A鉴别的结 果和挑战响应的认证结果(AuthenticationResult)消息发给终端A。步骤七终端A接收到ASR1发送的认证结果消息后,选择计算与ASR1通信 时的加密信息,并将此信息以认证加密(AuthenticationEncryption)消息的形势发 送给ASR1 。步骤八ASR1接收到终端A发送的认证加密消息后,根据消息中携带的加 密信息以及在步骤六中提取的关于终端A的加密因子,计算终端A通信时采用的 加密格式和加密密钥等信息并存储在以终端A接入标识为索引的认证表项中,同
时ASRl要给终端A回应一个标识加密完成的加密指示(Encryptionlndication)消>K、 o步骤九终端A接收到ASR1发送的加密指示消息后,将自己的认证状态标 志为完成。此时,终端A就可以利用步骤七中计算好的加密信息开始正常的通信 了。终端被动发起认证过程仍以图6为例说明终端B被动发起认证的过程。假设终端B事先已在认证中心 进行注册。步骤一终端B检测到ASR2链路可用,通过接收ASR2的路由通告,终端B 进行配置后,不先发起认证过程,而是直接发送数据包给终端A。歩骤二 ASR2接收到终端B发送的数据包后,通过检査当前的认证列表, 找不到终端B的任何信息,此时ASR2会丢弃终端B发送的数据包,进而向终端B 发送一个接入标识未认证的通告消息,强迫终端B进行认证。步骤三终端B接收到ASR2发送的接入标识未认证的通告消息后,将向 ASR2发送认证请求消息,开始一系列如上述终端主动发起认证过程实施例中的 过程,最终完成认证过程。实施例五本实施例是实施例一所述终端移动切换快速认证处理过程步骤的细化。接 入交换路由器将向周围邻接的接入交换路由器扩散本路由器正在连接使用的终 端的认证条目,在终端发生移动时,只向新的接入交换路由器发送认证更新过 程所需的认证加密消息,以协商新的加密信息,新的接入交换路由器回应加密 指示消息用以确认,从而完成终端移动时的快速处理过程。
本实施例将终端移动切换时的性能和质量考虑在内,为减小终端在移动切 换时认证过程产生的时延,设计了终端移动切换时的快速认证处理过程。终端 在移动切换时的认证流程如图7所示,具体过程可描述为切换前,终端先通过原来的接入交换路由器ASR-Old与网络完成一次完整的 认证过程。ASR-Old将终端的认证状态信息扩散到与其相邻的接入交换路由器 ASR隱New上。随着终端位置的移动,终端在通过ASR-01d正常通信的同时,检测到新的接 入交换路由器ASR-New信号较好,于是将链路切换到ASR-New上。终端切换后接收到ASR-New发送的路由通告,将自己的网关改为ASR-New的接入地址。终端向ASR-New发送用于协商加密信息的认证加密消息。 ASR-New接收到终端的认证加密消息后,检査确认终端的认证状态,并计 算好与此终端通信时的加密信息,并向终端发送加密完成的指示消息,此后 ASR-New同样会将终端的认证状态信息扩散到邻居接入交换路由器。终端接收到加密完成指示消息,便可通过ASR-New使用协商好的加密信息 进行通信了。当终端通信完毕意外离开,ASR-New会通过超时检测到终端的不存在,并 将此终端不存在的信息在邻居接入交换路由器间扩散。通过上述快速处理方案,终端可以很容易的在邻居接入交换路由器间进行 切换,并达到比较满意的性能和质量。以下举例说明终端移动过程中的认证处理
如图8所示,假设终端B已经在认证中心完成注册,而且终端B开始预通过ASR2与终端A通信,此时终端B由ASR2的覆盖范围移动至UASR3的覆盖范围。并 假设ASR2和ASR3为相邻的接入交换路由器,且存在覆盖交叠区。步骤一终端B开始通过ASR2完成如实施例一的认证过程,ASR2将终端B 的认证信息扩散到相邻的ASR3, ASR3会将终端B的认证条目标记为扩散属性。步骤二终端B在交叠区检测到ASR3的存在,并根据某种规则,比如信号 强弱,切换到ASR3的链路连接上。步骤三终端B接收到ASR3发送的路由通告,重新设置网关,将ASR3作为 默认的接入接入交换路由器。步骤四终端B向ASR3发送认证更新消息,用以确认终端B切换到ASR3, 并更新与ASR3通信时的加密信息。步骤五ASR3接收到终端B的认证更新(Authenticationupdate)消息后,根据 由ASR2扩散来的终端B的认证信息,计算与其通信时的加密密钥等,并回复终 端B标志认证完成的加密完成指示消息。歩骤六终端B接收到ASR3发送的加密完成指示消息后,将自己的认证 状态标识未切换完成,此后终端B便能向终端A正常发送数据包了 。实施例六本实施例是实施例一所述终端与接入交换路由器ASR间加密通信步骤的细 化。在考虑终端隐私安全方面,本实施例采用终端和接入交换路由器间加密通 信的模式,即终端在完成与网络间的认证过程后,其它各种应用程序的数据包 都采用由认证过程产生的加密信息在标识数据包形成"中间夹层"的形势进行 加密通信,其加密过程如图9所示。在终端通过网络的接入认证后,终端只有 接收到接入交换路由器发出的包含正确加密信息的数据包才进行处理,同样接 入交换路由器也只有接收到包含正确的终端加密信息的数据包才进行转发。终端和接入路由器间进行数据包的交互时,采用带有加密信息的格式,即 在标识数据包头和上层数据间加入经过终端认证过程中终端和网络协商好的加 密信息,而且这种加密信息随着认证更新过程的出现而发生变化。接入交换路 由器的处理过程是指在由接入端接收到终端正常通信的数据包后,首先进行加 密字段的处理,然后转发,对于需要转发给在其接入端接入的终端的数据包, 需添加必要的加密字段,再发给终端。终端和接入交换路由器间加密通信过程本实施例假设终端已经完成统一身份注册过程并已通过网络的接入认证过 程,终端需要通过接入交换路由器进行应用数据的转发,则终端和接入交换路 由器间的加密过程可表述为终端生成上层应用数据,等待加密处理。终端根据与接入交换路由器协商好的加解密算法以及加密密钥、模式等信 息对上层应用数据进行加密,产生加密数据字段。终端将上述步骤产生的加密数据字段添加到标识数据包头和上层应用数据 之间,形成可以发送的标识数据包。终端选取己经通过接入认证的接入标识作为标识数据包的源地址,将标识 数据包发送的接入交换路由器。接入交换路由器收到终端发送的经过加密处理的数据包后,首先检查此终 端是否已经通过认证,如果没有通过认证,直接将数据包丢弃,并向终端发送 未通过认证的通告消息;否则转到下一步。接入交换路由器对终端发送的标识数据包的加密字段用与终端同样的算法 进行检査处理,如果该字段不正确,接入交换路由器将丢弃数据包,向终端发
送加密字段错误的通告消息;否则,接入交换路由器则将此字段删掉,并按照 事先分配的路由标识进行映射和转发。通过上述步骤处理,终端的数据包则经过加密的形式经由接入交换路由器 转发。同样,由网络经过接入交换路由器传送给终端的数据包,由接入交换路 由器进行加密处理,而由终端检测其正确性。
权利要求
1.基于标识的一体化网络终端统一接入控制方法,包括固定网和移动网组成的互联网、终端、接入路由器、认证中心,其特征在于所述的步骤终端统一身份标识的定义的步骤;终端统一身份标识的注册过程的步骤;终端统一接入控制认证过程的步骤;终端移动切换快速认证处理过程的步骤;终端与接入交换路由器ASR间加密通信的步骤。
2. 根据权利要求1所述的基于标识的一体化网络终端统一接入控制方法, 其特征在于,所述的终端统一身份标识的定义的步骤中的子步骤寻找异种网络终端存在的共性,将异种网络终端的类别、生产厂商以及终 端的序列号抽象出来形成用户可读的终端隐私身份标识的子步骤;将用户可读的终端隐私身份标识经过加密变换后形成不可读的标识,作为 终端公开身份标识,用于网络节点间的认证传输的子步骤。
3. 根据权利要求1所述的基于标识的一体化网络终端统一接入控制方法, 其特征在于,所述的终端统一身份标识的注册过程的步骤中的子步骤用户提供终端隐私身份、认证密钥以及用户信息的子步骤; 用户将提供的隐私身份、认证密钥以及用户信息通过安全通道传送到认证 中心的子步骤;认证中心在未启用的接入标识库中,随机产生终端的接入标识,或者终端 的接入标识由用户在未启用的接入标识库中指定的子步骤;认证中心以终端的接入标识为索引,并根据单向加密算法,将终端隐私身 份、终端认证密钥等信息以密文的形式存储在认证数据库的列表中,并标明该终端接入标识已经启用的子步骤。
4.根据权利要求1所述的基于标识的一体化网络终端统一接入控制方法, 其特征在于,所述的终端统一接入控制认证过程的步骤中的子步骤终端产生终端随机数RANDT,发送到需要进行接入认证的接入交换路由器 的子步骤;接入交换路由器接收到用户发送的RANDT或者终端发送数据包,不作任何 计算,添加自己生成的网络随机数RANDR后,将RANDR和RANDT或者接收到 的终端数据包一起发回给终端,以此告知终端需要进行认证的子步骤;终端复制接入交换路由器发回来的信息后,禾U用网络随机数RANDR、认证 密钥和终端隐私身份信息进行加密处理后,发送到网络进行认证,同时为保证 终端自己的安全,此消息附带一个谜题,需要网络解答的子步骤;接入交换路由器将接收到经过加密的终端认证参数信息,加上终端的接入 标识后,转发到认证中心服务器进行査询的子步骤;认证中心服务器接收到查询消息,首先以消息中的接入标识为索引,从认 证数据库中査找出其对应的终端身份信息,将其按照与终端对身份信息相同的 加密过程处理后与接收消息中的终端的身份信息进行比较,然后将比较的结果 及对消息中附带谜题的解答发送给接入交换路由器的子歩骤;接入交换路由器接收到认证中心发来的査询结果消息后,如果认证通过, 会在自己维护的认证列表中创建该终端的接入标识的条目,标明其已经通过认 证,同时通知终端进行认证加密的协商;否则,如果未通过认证,接入路由器 会回应终端认证失败消息的子步骤;终端接收到认证通过的消息后,如果谜题的解答正确,则需要向接入交换 路由器传送双方通信时的认证加密信息,否则,终端应该放弃认证的子步骤;接入交换路由器接收到终端发来的加密模式后,计算与终端通信的加密信 息,并回应终端以加密完成的指示消息的子步骤。
5. 根据权利要求1所述的基于标识的一体化网络终端统一接入控制方法, 其特征在于,所述的终端移动切换快速认证处理过程的步骤中的子步骤切换前,终端先通过原来的接入交换路由器ASR-Old与网络完成一次完整的 认证过程的子步骤;ASR-Old将终端的认证状态信息扩散到与其相邻的接入交换路由器 ASR-New上的子步骤;随着终端位置的移动,终端在通过ASR-Old正常通信的同时,检测到新的接 入交换路由器ASR-New信号较好,于是将链路切换到ASR-New上的子步骤;终端切换后接收至1JASR-New发送的路由通告,将自己的网关改为ASR-New 的接入地址的子步骤;终端向ASR-New发送用于协商加密信息的认证加密消息的子步骤;ASR-New接收到终端的认证加密消息后,检查确认终端的认证状态,并计 算好与此终端通信时的加密信息,并向终端发送加密完成的指示消息,此后 ASR-New同样会将终端的认证状态信息扩散到邻居接入交换路由器的子步骤;终端接收到加密完成指示消息,便可通过ASR-New使用协商好的加密信息 进行通信了的子步骤;当终端通信完毕意外离开,ASR-New会通过超时检测到终端的不存在,并 将此终端不存在的信息在邻居接入交换路由器间扩散的子步骤。
6. 根据权利要求1所述的基于标识的一体化网络终端统一接入控制方法,其特征在于,所述的终端与接入交换路由器ASR间加密通信的步骤中的子步骤: 终端生成上层应用数据,等待加密处理的子步骤;终端根据与接入交换路由器协商好的加解密算法以及加密密钥、模式等信 息对上层应用数据进行加密,产生加密数据字段的子步骤;终端将上述步骤三产生的加密数据字段添加到标识数据包头和上层应用数 据之间,形成可以发送的标识数据包的子步骤;终端选取已经通过接入认证的接入标识作为标识数据包的源地址,将标识 数据包发送的接入交换路由器的子步骤;接入交换路由器收到终端发送的经过加密处理的数据包后,首先检査此终 端是否已经通过认证,如果没有通过认证,直接将数据包丢弃,并向终端发送 未通过认证的通告消息;否则转到下一子步骤的子步骤;接入交换路由器对终端发送的标识数据包的加密字段用与终端同样的算法 进行检査处理,如果该字段不正确,接入交换路由器将丢弃数据包,向终端发 送加密字段错误的通告消息;否则,接入交换路由器则将此字段删掉,并按照 事先分配的路由标识进行映射和转发的子步骤。
全文摘要
本发明涉及一种基于标识的一体化网络终端统一接入控制方法,是一种利用网络的电数字通讯处理方法。包括固定网和移动网组成的互联网、终端、接入路由器、认证中心,其步骤是终端统一身份标识的定义、终端统一身份标识的注册过程、终端统一接入控制认证过程、终端移动切换快速认证处理过程、终端与接入交换路由器ASR间加密通信。所述的方法统一了异种网络终端的身份标识,为异种网络终端的接入控制提供了良好的前提。行之有效的认证方法有效解决了网络对终端的接入控制,使得非法用户无法使用网络。简单的认证过程给终端的移动带来较少时延,同时又进行了终端的认证确认。终端和接入交换路由器间的通信采用加密方式,克服了遭受克隆的威胁。
文档编号H04L12/56GK101119206SQ20071012174
公开日2008年2月6日 申请日期2007年9月13日 优先权日2007年9月13日
发明者张宏科, 杨水根, 王洪超, 秦雅娟, 罗洪斌, 伟 苏, 平 董 申请人:北京交通大学