一种基于预共享密钥的网络安全访问控制方法及其系统的制作方法

文档序号:7945719阅读:126来源:国知局
导航: X技术> 最新专利>电子通信装置的制造及其应用技术

专利名称::一种基于预共享密钥的网络安全访问控制方法及其系统的制作方法
技术领域
:本发明涉及一种基于预共享密钥的网络安全访问控制方法及其系统,特别涉及一种有线局域网LAN(LocalAreaNetwork)中用户接入网络时基于预共享密钥鉴别机制的安全访问控制方法及其系统。
背景技术
:有线局域网一般为广播型网络,一个节点发出的数据,其他节点都能收到。网络上的各个节点共享信道,这给网络带来了极大的不安全性。黑客只要接入网络进行监听,就可以捕获网络上的所有数据包,从而窃取关键信息。现有国家标准GB15629.3(对应ISO/IEC8802.3)定义的局域网LAN并不提供安全接入,只要用户能接入局域网控制设备(如LANSwitch),就可以访问局域网中的设备或资源。这在早期企业网有线LAN应用环境下并不存在明显的安全隐患,但是随着网络的大规模发展,用户对信息的私密性要求不断提高,有必要实现用户级的安全接入控制与数据保密。在有线局域网中,目前IEEE通过对IEEE802.3进行安全增强来实现链路层的安全,采用典型的安全接入架构协议IEEE802.1x及基于正EE802.1x认证的密钥管理协议等。IEEE802.1x的基本认证方法是在终端和接入点设备之外增加鉴别服务器,接入点设备利用鉴别服务器对终端的身份进行鉴别,从而实现对终端的安全接入控制。接入点设备直接转发终端和鉴别服务器间的鉴别信息,并不作为独立实体参与身份鉴别过程。这种模式仅能实现网络对终端身份的合法性鉴别,却不能满足终端对接入网络的合法性鉴别需求,无法实现终端与网络间的双向鉴别。并且这种鉴别方法,流程比较复杂,无法进行快速的身份鉴别及密钥管理,也无法支持不同安全等级的鉴别协议,无法满足各类用户的需求。
发明内容为了解决
背景技术
中存在的技术问题,本发明提供了一种快速的安全访问控制方法及其系统,可实现用户与网络之间的快速双向鉴别。本发明的技术解决方案是:本发明提供了一种基于预共享密钥的网络安全访问控制方法,其特殊之处在于1)请求者REQ与鉴别访问控制器AAC进行安全策略协商;2)请求者REQ与鉴别访问控制器AAC进行身份鉴别及单播密钥协商;3)请求者REQ与鉴别访问控制器AAC进行组播密钥通告。上述步骤l)的具体实现方式是1.1)安全策略协商请求当请求者REQ(REQuester)接入鉴别访问控制器AAC(AuthenticationAccessController)时,鉴别访问控制器AAC向请求者REQ发送安全策略协商请求分组,该安全策略协商请求分组的主要内容包括:TIEAa:;其中T正acc字段表示鉴别访问控制器AAC所支持的三元对等鉴别TePA(Tri-elementPeerAuthentication)信息元素,包含鉴别访问控制器AAC所支持的鉴别和密钥管理套件及密码套件;1.2)安全策略协商响应请求者REQ收到安全策略协商请求分组后,进行如下处理请求者REQ根据安全策略协商请求分组中TIEAo:字段给出的鉴别访问控制器AAC所支持的鉴别和密钥管理套件及密码套件,结合本地策略选择一种双方共有的鉴别和密钥管理套件及密码套件,组成安全策略协商响应分组发送给鉴别访问控制器AAC;若请求者REQ不支持安全策略协商请求分组中鉴别访问控制器AAC所支持的任一鉴别和密钥管理套件或密码套件,根据本地策略可丢弃该分组;该安全策略协商响应分组的主要内容包括T正req;其中TIEreq字段表示请求者REQ选择的TePA信息元素,包含请求者REQ所选择的鉴别和密钥管理套件及密码套件;1.3)鉴别访问控制器AAC收到安全策略协商响应分组后,进行如下处理1.3.1)鉴别访问控制器AAC判断是否支持请求者REQ所选择的鉴别和密钥管理套件及密码套件,若不支持,则丢弃该分组;若支持则执行1.3,2);1.3.2)根据请求者REQ选择的鉴别和密钥管理套件开始相应的身份鉴别过程。上述步骤1.3)中,当请求者REQ选择的鉴别和密钥管理套件是基于预共享密钥的鉴别和密钥管理套件时,其身份鉴别过程采用基于预共享密钥的鉴别协议SAAP(Shared-key-basedlAnAuthenticationProtocol),该鉴别协议SAAP完成请求者REQ和鉴别访问控制器AAC之间的双向身份鉴别,且完成两者之间的单播会话密钥的协商。上述步骤2)的具体实现方式是2.1)身份鉴别及单播密钥协商激活当请求者REQ与鉴别访问控制器AAC在安全策略协商过程中协商选择采用基于预共享密钥的鉴别和密钥管理套件时,鉴别访问控制器AAC向请求者REQ发送身份鉴别及单播密钥协商激活分组,激活请求者REQ开始进行身份鉴别及单播密钥协商过程,身份鉴别及单播密钥协商激活分组的主要内容包括Naac;其中Na^字段表示身份鉴别及单播密钥协商标识,若为首次身份鉴别及单播密钥协商过程,则该字段为由鉴别访问控制器AAC产生的随机数;若为更新的身份鉴别及单播密钥协商过程,则该字段的值是上一次身份鉴别及单播密钥协商过程中计算的身份鉴别及单播密钥协商标识的值;2.2)身份鉴别及单播密钥协商请求请求者REQ收到身份鉴别及单播密钥协商激活分组后,进行如下处理2.2.1)如果此次身份鉴别及单播密钥协商过程为更新过程,则请求者REQ检査身份鉴别及单播密钥协商激活分组中的身份鉴别及单播密钥协商标识NAAC字段值与上一次身份鉴别及单播密钥协商过程中计算的身份鉴别及单播密钥协商标识值是否一致,若不一致,则丢弃该分组;若一致,则执行2.2.2);如果此次鉴别过程为首次身份鉴别及单播密钥协商过程,则直接执行2.2.2);2.2.2)请求者REQ生成请求者REQ询问NREQ,利用预共享密钥或其导出密钥、身份鉴别及单播密钥协商标识NAAc及请求者REQ询问NRE(3计算得到单播会话密钥和下一次身份鉴别及单播密钥协商过程中的身份鉴别及单播密钥协商标识NAAc并保存,其中单播会话密钥包括单播加密密钥UEK(UnicastEncryptionKey)、单播完整性校验密钥UCK(UnicastCheckKey)、消息鉴别密钥MAK(MessageAuthenticationKey)及密钥加密密钥KEK(KeyEncryptionKey);其中,单播加密密钥UEK和单播完整性校验密钥UCK用于保护安全接入后单播数据的安全通信,消息鉴别密钥MAK及密钥加密密钥KEK分别用于保护此次安全接入过程中交互消息的完整性及密钥数据的私密性;2.2.3)请求者REQ利用消息鉴别密钥MAK本地计算消息鉴别码MIC1,构造身份鉴别及单播密钥协商请求分组发送给鉴别访问控制器AAC;如果请求者REQ需要发起身份鉴别及单播密钥协商的更新过程,则可直接执行上述2.2.2)和2.2.3),其中身份鉴别及单播密钥协商标识NAAc字段值取决于上一次身份鉴别及单播密钥协商过程中计算的身份鉴别及单播密钥协商标识值,构造身份鉴别及单播密钥协商请求分组发送给鉴别访问控制器AAC,无需等待鉴别访问控制器AAC先发送身份鉴别及单播密钥协商激活分组;身份鉴别及单播密钥协商请求分组主要内容包括Nreq、NaaC、TIEreq以及MIC1;其中Nre(3字段表示请求者REQ的询问,是请求者REQ产生的随机数;Naac:字段表示身份鉴别及单播密钥协商标识;若为首次身份鉴别及单播密钥协商过程,则该字段值直接取决于身份鉴别及单播密钥协商激活分组中Naac字段的僮;若为身份鉴别及单播密钥协商更新过程,则该字段值为上一次身份鉴别及单播密钥协商过程中计算的身份鉴别及单播密钥协商标识值;T正re(3字段表示请求者REQ选择的鉴别和密钥管理套件及密码套件;其值同安全策略协商响应分组中的TIEreq字段的僮;MIC1字段表示消息鉴别码,由请求者REQ利用生成的消息鉴别密钥MAK对身份鉴别及单播密钥协商请求分组中除本字段外所有字段进行计算得到的杂凑值;2.3)身份鉴别及单播密钥协商响应鉴别访问控制器AAC收到身份鉴别及单播密钥协商请求分组后,进行如下处理2.3.1)如果此次身份鉴别及单播密钥协商过程为更新过程,则检查分组中的NAAC字段与上一次身份鉴别及单播密钥协商过程中计算的身份鉴别及单播密钥协商标识值是否一致,若不一致,则丢弃该分组;若一致则执行2.3.2);如果此次密钥协商过程不是更新过程,为首次身份鉴别及单播密钥协商过程,则需要检査分组中的NAAC字段值与身份鉴别及单播密钥协商激活分组中的Naac字段值是否一致,如果不一致则丢弃该分组;如果一致则执行2.3.2);2.3.2)验证T正req字段值与安全策略协商过程中收到的安全策略协商响应分组中的T正req字段值是否一致,如果不一致,则丢弃该分组;如果一致则执行2.3.3);2.3.3)利用预共享密钥或其导出密钥、身份鉴别及单播密钥协商标识NAAc及请求者REQ询问NREQ计算得到单播会话密钥和下一次身份鉴别及单播密钥协商过程中的身份鉴别及单播密钥协商标识NAAc并保存,其中单播会话密钥包括单播加密密钥UEK、单播完整性校验密钥UCK、消息鉴别密钥MAK及密钥加密密钥KEK;2.3.4)利用消息鉴别密钥MAK验证身份鉴别及单播密钥协商请求分组中的MIC1字段的正确性,如果不正确,则丢弃该分组;如果正确,则鉴别访问控制器AAC完成对请求者REQ的身份鉴别,并协商出与请求者REQ之间的单播会话密钥,执行2.3.5);2.3.5)用消息鉴别密钥MAK本地计算消息鉴别码MIC2,构造身份鉴别及单播密钥协商响应分组,发送给请求者REQ;身份鉴别及单播密钥协商响应分组主要内容包括Nreq、T正acc以及MIC2;其中Nre(j字段表示请求者REQ的询问,是请求者REQ产生的随机数。其值同身份鉴别及单播密钥协商请求分组中的NR^字段的值;T正aac字段表示鉴别访问控制器AAC所支持的鉴别和密钥管理套件及密码套件;其值同安全策略协商请求分组中的TIEAAc字段的值;MIC2字段表示消息鉴别码,由鉴别访问控制器AAC利用生成的消息鉴别密钥MAK对身份鉴别及单播密钥协商响应分组中除本字段外所有字段及已协商的下一次身份鉴别及单播密钥协商过程中的身份鉴别及单播密钥协商标识NAAC进行计算得到的杂凑值;2.4)请求者REQ收到身份鉴别及单播密钥协商响应分组后,进行如下处理2.4.1)检査NREQ字段与之前发送的身份鉴别及单播密钥协商请求分组中的Nreq字段是否相同,若不同,则丢弃该分组;若不相同则执行2.4.2);2.4.2)验证T正AAc字段值与安全策略协商过程中收到的安全策略协商请求分组中的TffiAAc字段值是否一致,如果不一致,则丢弃该分组;如果一致则执行2.4.3);2.4.3)利用消息鉴别密钥MAK验证身份鉴别及单播密钥协商响应分组中的MIC2字段的正确性,如果不正确则丢弃该分组;如果正确则请求者REQ完成对鉴别访问控制器AAC的身份鉴别,并协商出和鉴别访问控制器AAC之间一致的单播会话密钥,则执行2.4.4);2.4.4)用消息鉴别密钥MAK本地计算消息鉴别码MIC3,构造身份鉴别及单播密钥协商确认分组,发送给鉴别访问控制器AAC;该身份鉴别及单播密钥协商确认分组是可选的。身份鉴别及单播密钥协商确认分组主要内容包括Naac以及MIC3;其中Naac字段表示身份鉴别及单播密钥协商标识,其值同身份鉴别及单播密钥协商请求分组中的NAAc字段的值;MIC3字段表示消息鉴别码,由请求者REQ利用生成的消息鉴别密钥MAK对身份鉴别及单播密钥协商响应分组中除本字段外所有字段及已协商的下一次身份鉴别及单播密钥协商过程中的身份鉴别及单播密钥协商标识进行计算得到的杂凑值。2.5)鉴别访问控制器AAC收到身份鉴别及单播密钥协商确认分组后,进行如下处理2.5.1)检査NAAc字段值与收到的身份鉴别及单播密钥协商请求分组中的Naac字段信是否相同,若不同,则丢弃该分组;若相同则执行2.5.2);2.5.2)利用消息鉴别密钥MAK验证身份鉴别及单播密钥协商确认分组中的MIC3字段的正确性,如果不正确则丢弃该分组;如果正确,则鉴别访问控制器AAC确认请求者REQ己获得与其一致的单播会话密钥。上述步骤3)的具体实现方式是3.1)组播密钥通告-组播密钥通告分组主要内容包括KN、Ewmk以及MIC4;其中-KN字段表示密钥通告标识,初始化为一个整数,在每次密钥更新通告时该字段值加l,若通告的密钥不变,则该字段值保持不变;Enmk字段表示密钥加密数据,是鉴别访问控制器AAC利用身份鉴别及单播密钥协商过程中生成的密钥加密密钥KEK对组播通告主密钥NMK(NotificationMasterKey)加密后的数据,其中组播通告主密钥NMK是由鉴别访问控制器AAC产生的随机数,用于保护安全接入后组播数据的安全通信;MIC4字段表示消息鉴别码,由鉴别访问控制器AAC利用身份鉴别及单播密钥协商过程中生成的消息鉴别密钥MAK对组播密钥通告分组中除本字段外所有字段进行计算得到的。3.2)组播密钥响应请求者REQ收到组播密钥通告分组后,进行如下处理3.2.1)检查KN字段是否单调递增,如果不是则丢弃该分组;如果是,则执行3.2.2);3.2.2)利用身份鉴别及单播密钥协商过程中生成的消息鉴别密钥MAK验证MIC4字段是否正确,若不正确,则丢弃该分组;若正确,则执行3.2.3);3.2.3)利用身份鉴别及单播密钥协商过程中生成的密钥加密密钥KEK解密E,k字段即可得到组播通告主密钥NMK;3.2.4)保存此次的密钥通告标识KN字段的值,并生成组播密钥响应分组,发送给鉴别访问控制器AAC。组播密钥响应分组主要内容包括KN以及MIC5;其中-KN字段表示密钥通告标识,其值同组播密钥通告分组中的KN字段的值;MIC5字段表示消息鉴别码,由请求者REQ利用身份鉴别及单播密钥协商过程中生成的消息鉴别密钥MAK对组播密钥响应分组中除本字段外所有字段进行计算得到的。3.3)鉴别访问控制器AAC收到组播密钥响应分组后,将进行如下处理3.3.1)比较KN字段与之前发送的组播密钥通告分组中的KN字段值是否一致,如果不一致,则丢弃该分组;如果一致,则执行3.3.2);3.3.2)利用身份鉴别及单播密钥协商过程中生成的消息鉴别密钥MAK验证MIC5字段的正确性,若不正确,则丢弃该分组;若正确则完成对请求者REQ的组播密钥的通告过程。一种基于预共享密钥的网络安全访问控制系统,其特殊之处在于所述基于预共享密钥的网络安全访问控制系统包括请求者REQ和鉴别访问控制器AAC;所述鉴别访问控制器AAC和请求者REQ连接,并为请求者REQ提供服务端口。本发明中的安全访问控制方法将身份鉴别过程与单播密钥协商过程结合在一起,无需第三方参与,在完成身份鉴别过程的同时,完成单播密钥的协商,有效简化了安全访问控制的流程和计算,可以实现快速的安全接入。图l为本发明所述安全策略协商过程示意图;图2为本发明所述SAAP的身份鉴别及单播密钥协商过程示意图;图3为本发明所述组播密钥通告过程示意图。具体实施例方式参见图l-3,本发明提供了一种有线局域网的安全访问控制方法,该方法分为三部分安全策略协商过程、身份鉴别及单播密钥协商过程和组播密钥通告过程。其具体实施方式如下1)安全策略协商过程如图l所示,具体过程如下1.1)安全策略协商请求当请求者REQ(REQuester)接入鉴别访问控制器AAC(AuthenticationAccessController)时,鉴别访问控制器AAC向请求者REQ发送安全策略协商请求分组。安全策略协商请求分组的主要^容包括<formula>formulaseeoriginaldocumentpage16</formula>其中T正acc字段表示鉴别访问控制器AAC所支持的TePA(Tri-elementPeerAuthentication)信息元素,包含鉴别访问控制器AAC所支持的鉴别和密钥管理套件及密码套件。1.2)安全策略协商响应请求者REQ收到安全策略协商请求分组后,进行如下处理请求者REQ根据安全策略协商请求分组中TIEAcc字段给出的鉴别访问控制器AAC所支持的鉴别和密钥管理套件及密码套件,结合本地策略选择一种双方共有的鉴别和密钥管理套件及密码套件,组成安全策略协商响应分组发送给鉴别访问控制器AAC;若请求者REQ不支持安全策略协商请求分组中鉴别访问控制器AAC所支持的任一鉴别和密钥管理套件或密码套件,根据本地策略可丢弃该分组。安全策略协商响应分组的主要内容包括<formula>formulaseeoriginaldocumentpage17</formula>其中TIEreq字段表示请求者REQ选择的TePA信息元素,包含请求者REQ所选择的鉴别和密钥管理套件及密码套件。1.3)鉴别访问控制器AAC收到安全策略协商响应分组后,进行如下处理1.3.1)鉴别访问控制器AAC判断是否支持请求者REQ所选择的鉴别和密钥管理套件及密码套件,若不支持,则丢弃该分组;否则执行1.3.2);1.3.2)根据请求者REQ选择的鉴别和密钥管理套件开始相应的身份鉴别过程。在本发明中,给出一种基于预共享密钥的鉴别协议SAAP(Shared-key-based1AnAuthenticationProtocol)。2)基于预共享密钥的鉴别协议SAAP过程,如图2所示,在完成身份鉴别的同时实现了单播密钥协商,具体过程如下2.1)身份鉴别及单播密钥协商激活当请求者REQ与鉴别访问控制器AAC在安全策略协商过程中协商选择采用基于预共享密钥的鉴别和密钥管理套件时,鉴别访问控制器AAC向请求者REQ发送身份鉴别及单播密钥协商激活分组,激活请求者REQ开始进行身份鉴别及单播密钥协商过程。身份鉴别及单播密钥协商激活分组的主要内容包括<formula>formulaseeoriginaldocumentpage17</formula>其中Naac字段表示身份鉴别及单播密钥协商标识。若为首次身份鉴别及单播密钥协商过程,则该字段为由鉴别访问控制器AAC产生的随机数;若为更新的身份鉴别及单播密钥协商过程,则该字段的值是上一次身份鉴别及单播密钥协商过程中计算的身份鉴别及单播密钥协商标识的值;2.2)身份鉴别及单播密钥协商请求请求者REQ收到身份鉴别及单播密钥协商激活分组后,进行如下处理2.2.1)如果此次身份鉴别及单播密钥协商过程为更新过程,则请求者REQ检査身份鉴别及单播密钥协商激活分组中的身份鉴别及单播密钥协商标识NAAC字段值与上一次身份鉴别及单播密钥协商过程中计算的身份鉴别及单播密钥协商标识值是否一致,如果不一致,则丢弃该分组,否则执行2.2.2);如果此次鉴别过程为首次身份鉴别及单播密钥协商过程,则直接执行2.2.2);2.2.2)请求者REQ生成请求者REQ询问NREQ,利用预共享密钥或其导出密钥、身份鉴别及单播密钥协商标识N^c及请求者REQ询问NREQ计算得到单播会话密钥和下一次身份鉴别及单播密钥协商过程中的身份鉴别及单播密钥协商标识NAAc并保存,其中单播会话密钥包括单播加密密钥UEK(UnicastEncryptionKey)、单播完整性校验密钥UCK(UnicastCheckKey)、消息鉴别密钥MAK(MessageAuthenticationKey)及密钥加密密钥KEK(KeyEncryptionKey);其中,单播加密密钥UEK和单播完整性校验密钥UCK用于保护安全接入后单播数据的安全通信,消息鉴别密钥MAK及密钥加密密钥KEK分别用于保护此次安全接入过程中交互消息的完整性及密钥数据的私密性;2.2.3)请求者REQ利用消息鉴别密钥MAK本地计算消息鉴别码MIC1,构造身份鉴别及单播密钥协商请求分组发送给鉴别访问控制器AAC。注如果请求者REQ需要发起身份鉴别及单播密钥协商的更新过程,则可直接执行上述2.2.2)和2.2.3),其中身份鉴别及单播密钥协商标识NAAc字段值取决于上一次身份鉴别及单播密钥协商过程中计算的身份鉴别及单播密钥协商标识值,构造身份鉴别及单播密钥协商请求分组发送给鉴别访问控制器AAC,无需等待鉴别访问控制器AAC先发送身份鉴别及单播密钥协商激活分组。身份鉴别及单播密钥协商请求分组主要内容包括NreqNaacTIEreqMIC1其中Nreq字段表示请求者REQ的询问,是请求者REQ产生的随机数;Naac字段表示身份鉴别及单播密钥协商标识。若为首次身份鉴别及单播密钥协商过程,则该字段值直接取决于身份鉴别及单播密钥协商激活分组中Naac字段的値;若为身份鉴别及单播密钥协商更新过程,则该字段值为上一次身份鉴别及单播密钥协商过程中计算的身份鉴别及单播密钥协商标识值;TIEreq字段表示请求者REQ选择的鉴别和密钥管理套件及密码套件。其值同安全策略协商响应分组中的TIEr^字段的但;MIC1字段表示消息鉴别码,由请求者REQ利用生成的消息鉴别密钥MAK对身份鉴别及单播密钥协商请求分组中除本字段外所有字段进行计算得到的杂凑值。2.3)身份鉴别及单播密钥协商响应鉴别访问控制器AAC收到身份鉴别及单播密钥协商请求分组后,进行如下处理2.3.1)如果此次身份鉴别及单播密钥协商过程为更新过程,则检查分组中的NAAC字段与上一次身份鉴别及单播密钥协商过程中计算的身份鉴别及单播密钥协商标识值是否一致,若不一致,则丢弃该分组,否则执行2.3.2);如果此次密钥协商过程不是更新过程,为首次身份鉴别及单播密钥协商过程,则需要检查分组中的NAAC字段值与身份鉴别及单播密钥协商激活分组中的NAAc:字段值是否一致,如果不一致则丢弃该分组,否则执行2.3.2);2.3.2)验证TIEREQ字段值与安全策略协商过程中收到的安全策略协商响应分组中的T正r^字段值是否一致,如果不一致,则丢弃该分组;否则执行2.3.3);2.3.3)利用预共享密钥或其导出密钥、身份鉴别及单播密钥协商标识NAAc及请求者REQ询问NREQ计算得到单播会话密钥和下一次身份鉴别及单播密钥协商过程中的身份鉴别及单播密钥协商标识NAAC并保存,其中单播会话密钥包括单播加密密钥UEK、单播完整性校验密钥UCK、消息鉴别密钥MAK及密钥加密密钥KEK;2.3.4)利用消息鉴别密钥MAK验证身份鉴别及单播密钥协商请求分组中的MIC1字段的正确性,如果不正确,则丢弃该分组;否则鉴别访问控制器AAC完成对请求者REQ的身份鉴别,并协商出与请求者REQ之间的单播会话密钥,执行2,3.5);2.3.5)用消息鉴别密钥MAK本地计算消息鉴别码MIC2,构造身份鉴别及单播密钥协商响应分组,发送给请求者REQ。身份鉴别及单播密钥协商响应分组主要内容包括:<formula>formulaseeoriginaldocumentpage20</formula>其中-Nreq字段表示请求者REQ的询问,是请求者REQ产生的随机数。其值同身份鉴别及单播密钥协商请求分组中的NR^字段的值;T正aac字段表示鉴别访问控制器AAC所支持的鉴别和密钥管理套件及密码套件。其值同安全策略协商请求分组中的TIEAAc字段的值;MIC2字段表示消息鉴别码,由鉴别访问控制器AAC利用生成的消息鉴别密钥MAK对身份鉴别及单播密钥协商响应分组中除本字段外所有字段及已协商的下一次身份鉴别及单播密钥协商过程中的身份鉴别及单播密钥协商标识naac进行计算得到的杂凑值。2.4)请求者REQ收到身份鉴别及单播密钥协商响应分组后,进行如下处理:2.4.1)检査nreq字段与之前发送的身份鉴别及单播密钥协商请求分组中的Nreq字段是否相同,若不同,则丢弃该分组;否则,执行2.4.2);2.4.2)验证TffiAAc字段值与安全策略协商过程中收到的安全策略协商请求分组中的T正AAc字段值是否一致,如果不一致,则丢弃该分组;否则执行2.4.3);2.4.3)利用消息鉴别密钥MAK验证身份鉴别及单播密钥协商响应分组中的MIC2字段的正确性,如果不正确则丢弃该分组;否则请求者REQ完成对鉴别访问控制器AAC的身份鉴别,并协商出和鉴别访问控制器AAC之间一致的单播会话密钥,则执行2.4.4);2.4.4)用消息鉴别密钥MAK本地计算消息鉴别码MIC3,构造身份鉴别及单播密钥协商确认分组,发送给鉴别访问控制器AAC。该身份鉴别及单播密钥协商确认分组是可选的。身份鉴别及单播密钥协商确认分组主要内容包括<table>tableseeoriginaldocumentpage20</column></row><table>其中-Naac字段表示身份鉴别及单播密钥协商标识,其值同身份鉴别及单播密钥协商请求分组中的NAAc字段的值;MIC3字段表示消息鉴别码,由请求者REQ利用生成的消息鉴别密钥MAK对身份鉴别及单播密钥协商响应分组中除本字段外所有字段及已协商的下一次身份鉴别及单播密钥协商过程中的身份鉴别及单播密钥协商标识进行计算得到的杂凑值。2.5)鉴别访问控制器AAC收到身份鉴别及单播密钥协商确认分组后,进行如下处理2.5.1)检查NAAc字段值与收到的身份鉴别及单播密钥协商请求分组中的Naac字段但是否相同,若不同,则丢弃该分组;否则,执行2.5.2);2.5.2)利用消息鉴别密钥MAK验证身份鉴别及单播密钥协商确认分组中的MIC3字段的正确性,如果不正确则丢弃该分组;否则鉴别访问控制器AAC确认请求者REQ己获得与其一致的单播会话密钥。3)组播密钥通告过程如图3所示,具体过程如下3.1)组播密钥通告组播密钥通告分组主要内容包括KNE'nmkMIC4其中KN字段表示密钥通告标识,初始化为一个整数,在每次密钥更新通告时该字段值加l,若通告的密钥不变,则该字段值保持不变;Ewmk字段表示密钥加密数据,是鉴别访问控制器AAC利用身份鉴别及单播密钥协商过程中生成的密钥加密密钥KEK对组播通告主密钥NMK(NotificationMasterKey)加密后的数据,其中组播通告主密钥NMK是由鉴别访问控制器AAC产生的随机数,用于保护安全接入后组播数据的安全通信;MIC4字段表示消息鉴别码,由鉴别访问控制器AAC利用身份鉴别及单播密钥协商过程中生成的消息鉴别密钥MAK对组播密钥通告分组中除本字段外所有字段进行计算得到的。3.2)组播密钥响应请求者REQ收到组播密钥通告分组后,进行如下处理3.2.1)检查KN字段是否单调递增,如果不是则丢弃该分组;否则执行3.2.2);3.2.2)利用身份鉴别及单播密钥协商过程中生成的消息鉴别密钥MAK验证MIC4字段是否正确,若不正确,则丢弃该分组;否则,执行3.2.3);3.2.3)利用身份鉴别及单播密钥协商过程中生成的密钥加密密钥KEK解密EwMK字段即可得到组播通告主密钥NMK;3.2.4)保存此次的密钥通告标识KN字段的值,并生成组播密钥响应分组,发送给鉴别访问控制器AAC。组播密钥响应分组主要内容包括KNMIC5其中-KN字段表示密钥通告标识,其值同组播密钥通告分组中的KN字段的值;MIC5字段表示消息鉴别码,由请求者REQ利用身份鉴别及单播密钥协商过程中生成的消息鉴别密钥MAK对组播密钥响应分组中除本字段外所有字段进行计算得到的。3.3)鉴别访问控制器AAC收到组播密钥响应分组后,将进行如下处理3.3.1)比较KN字段与之前发送的组播密钥通告分组中的KN字段值是否一致,如果不一致,则丢弃该分组;否则执行3.3.2);3.3.2)利用身份鉴别及单播密钥协商过程中生成的消息鉴别密钥MAK验证MIC5字段的正确性,若不正确,则丢弃该分组;否则,完成对请求者REQ的组播密钥的通告过程。本发明在提供一种基于预共享密钥的网络安全访问控制方法的同时,还提供了一种基于预共享密钥的网络安全访问控制系统,该控制系统包括请求者REQ和鉴别访问控制器AAC;鉴别访问控制器AAC和请求者REQ连接,并为请求者REQ提供服务端口。权利要求1、一种基于预共享密钥的网络安全访问控制方法,其特征在于该方法包括以下步骤1)请求者REQ与鉴别访问控制器AAC进行安全策略协商;2)请求者REQ与鉴别访问控制器AAC进行身份鉴别及单播密钥协商;3)请求者REQ与鉴别访问控制器AAC进行组播密钥通告。2、根据权利要求l所述的基于预共享密钥的网络安全访问控制方法,其特征在于所述步骤l)的具体实现方式是1.1)安全策略协商请求当请求者REQ(REQuester)接入鉴别访问控制器AAC(AuthenticationAccessController)时,鉴别访问控制器AAC向请求者REQ发送安全策略协商请求分组,该安全策略协商请求分组的主要内容包括:TIEAcr;其中-TIEacc字段表示鉴别访问控制器AAC所支持的三元对等鉴别TePA(Tri-elementPeerAuthentication)信息元素,包含鉴别访问控制器AAC所支持的鉴别和密钥管理套件及密码套件;(1.2)安全策略协商响应请求者REQ收到安全策略协商请求分组后,进行如下处理请求者REQ根据安全策略协商请求分组中T正Acc字段给出的鉴别访问控制器AAC所支持的鉴别和密钥管理套件及密码套件,结合本地策略选择一种双方共有的鉴别和密钥管理套件及密码套件,组成安全策略协商响应分组发送给鉴别访问控制器AAC;若请求者REQ不支持安全策略协商请求分组中鉴别访问控制器AAC所支持的任一鉴别和密钥管理套件或密码套件,根据本地策略可丢弃该分组;该安全策略协商响应分组的主要内容包括T正req;其中TIEreq字段表示请求者REQ选择的TePA信息元素,包含请求者REQ所选择的鉴别和密钥管理套件及密码套件;1.3)鉴别访问控制器AAC收到安全策略协商响应分组后,进行如下处理1.3.1)鉴别访问控制器AAC判断是否支持请求者REQ所选择的鉴别和密钥管理套件及密码套件,若不支持,则丢弃该分组;若支持则执行1.3,2);1.3.2)根据请求者REQ选择的鉴别和密钥管理套件开始相应的身份鉴别过程。3、根据权利要求2所述的基于预共享密钥的网络安全访问控制方法,其特征在于所述步骤1.3)中,当请求者REQ选择的鉴别和密钥管理套件是基于预共享密钥的鉴别和密钥管理套件时,其身份鉴别过程采用基于预共享密钥的鉴别协议SAAP(Shared-key-basedlAnAuthenticationProtocol),该鉴别协议SAAP完成请求者REQ和鉴别访问控制器AAC之间的双向身份鉴别,且完成两者之间的单播会话密钥的协商。4、根据权利要求3所述的基于预共享密钥的网络安全访问控制方法,其特征在于所述步骤2)的具体实现方式是2.1)身份鉴别及单播密钥协商激活当请求者REQ与鉴别访问控制器AAC在安全策略协商过程中协商选择采用基于预共享密钥的鉴别和密钥管理套件时,鉴别访问控制器AAC向请求者REQ发送身份鉴别及单播密钥协商激活分组,激活请求者REQ开始进行身份鉴别及单播密钥协商过程,身份鉴别及单播密钥协商激活分组的主要内容包括Naac;其中Naac字段表示身份鉴别及单播密钥协商标识,若为首次身份鉴别及单播密钥协商过程,则该字段为由鉴别访问控制器AAC产生的随机数;若为更新的身份鉴别及单播密钥协商过程,则该字段的值是上一次身份鉴别及单播密钥协商过程中计算的身份鉴别及单播密钥协商标识的值;2.2)身份鉴别及单播密钥协商请求请求者REQ收到身份鉴别及单播密钥协商激活分组后,进行如下处理2.2.1)如果此次身份鉴别及单播密钥协商过程为更新过程,则请求者REQ检查身份鉴别及单播密钥协商激活分组中的身份鉴别及单播密钥协商标识NAAc:字段值与上一次身份鉴别及单播密钥协商过程中计算的身份鉴别及单播密钥协商标识值是否一致,若不一致,则丢弃该分组;若一致,则执行2.2.2);如果此次鉴别过程为首次身份鉴别及单播密钥协商过程,则直接执行2.2.2);2.2.2)请求者REQ生成请求者REQ询问NREQ,利用预共享密钥或其导出密钥、身份鉴别及单播密钥协商标识NAAc及请求者REQ询问NREQ计算得到单播会话密钥和下一次身份鉴别及单播密钥协商过程中的身份鉴别及单播密钥协商标识NAAc并保存,其中单播会话密钥包括单播加密密钥UEK(UnicastEncryptionKey)、单播完整性校验密钥UCK(UnicastCheckKey)、消息鉴别密钥MAK(MessageAuthenticationKey)及密钥加密密钥KEK(KeyEncryptionKey);其中,单播加密密钥UEK和单播完整性校验密钥UCK用于保护安全接入后单播数据的安全通信,消息鉴别密钥MAK及密钥加密密钥KEK分别用于保护此次安全接入过程中交互消息的完整性及密钥数据的私密性;`2.2.3)请求者REQ利用消息鉴别密钥MAK本地计算消息鉴别码MIC1,构造身份鉴别及单播密钥协商请求分组发送给鉴别访问控制器AAC;如果请求者REQ需要发起身份鉴别及单播密钥协商的更新过程,则可直接执行上述2.2.2)和2.2.3),其中身份鉴别及单播密钥协商标识NAAc字段值取决于上一次身份鉴别及单播密钥协商过程中计算的身份鉴别及单播密钥协商标识值,构造身份鉴别及单播密钥协商请求分组发送给鉴别访问控制器AAC,无需等待鉴别访问控制器AAC先发送身份鉴别及单播密钥协商激活分组;身份鉴别及单播密钥协商请求分组主要内容包括Nreq、Naac、T正req以及MIC1;其中Nreq字段表示请求者REQ的询问,是请求者REQ产生的随机数;Naac字段表示身份鉴别及单播密钥协商标识;若为首次身份鉴别及单播密钥协商过程,则该字段值直接取决于身份鉴别及单播密钥协商激活分组中Naac字段的僮;若为身份鉴别及单播密钥协商更新过程,则该字段值为上一次身份鉴别及单播密钥协商过程中计算的身份鉴别及单播密钥协商标识值;T正req字段表示请求者REQ选择的鉴别和密钥管理套件及密码套件;其值同安全策略协商响应分组中的TIEREQ字段的值;MIC1字段表示消息鉴别码,由请求者REQ利用生成的消息鉴别密钥MAK对身份鉴别及单播密钥协商请求分组中除本字段外所有字段进行计算得到的杂凑值;`2.3)身份鉴别及单播密钥协商响应鉴别访问控制器AAC收到身份鉴别及单播密钥协商请求分组后,进行如下处理,2.3.1)如果此次身份鉴别及单播密钥协商过程为更新过程,则检查分组中的NAAC字段与上一次身份鉴别及单播密钥协商过程中计算的身份鉴别及单播密钥协商标识值是否一致,若不一致,则丢弃该分组;若一致则执行2.3.2);如果此次密钥协商过程不是更新过程,为首次身份鉴别及单播密钥协商过程,则需要检查分组中的NAAC字段值与身份鉴别及单播密钥协商激活分组中的NAAC字段值是否一致,如果不一致则丢弃该分组;如果一致则执行2.3.2);2.3.2)验证T正req字段值与安全策略协商过程中收到的安全策略协商响应分组中的T正req字段值是否一致,如果不一致,则丢弃该分组;如果一致则执行2.3.3);2.3.3)利用预共享密钥或其导出密钥、身份鉴别及单播密钥协商标识NAAc及请求者REQ询问NREQ计算得到单播会话密钥和下一次身份鉴别及单播密钥协商过程中的身份鉴别及单播密钥协商标识NAAC并保存,其中单播会话密钥包括单播加密密钥UEK、单播完整性校验密钥UCK、消息鉴别密钥MAK及密钥加密密钥KEK;2.3.4)利用消息鉴别密钥MAK验证身份鉴别及单播密钥协商请求分组中的MIC1字段的正确性,如果不正确,则丢弃该分组;如果正确,则鉴别访问控制器AAC完成对请求者REQ的身份鉴别,并协商出与请求者REQ之间的单播会话密钥,执行2.3.5);2.3.5)用消息鉴别密钥MAK本地计算消息鉴别码MIC2,构造身份鉴别及单播密钥协商响应分组,发送给请求者REQ;身份鉴别及单播密钥协商响应分组主要内容包括Nreq、TIEacc以及MIC2;其中-Nreq字段表示请求者REQ的询问,是请求者REQ产生的随机数。其值同身份鉴别及单播密钥协商请求分组中的NREQ字段的值;TIEaac字段表示鉴别访问控制器AAC所支持的鉴别和密钥管理套件及密码套件;其值同安全策略协商请求分组中的T正AAc字段的值;MIC2字段表示消息鉴别码,由鉴别访问控制器AAC利用生成的消息鉴别密钥MAK对身份鉴别及单播密钥协商响应分组中除本字段外所有字段及己协商的下一次身份鉴别及单播密钥协商过程中的身份鉴别及单播密钥协商标识NAAC进行计算得到的杂凑值;`2.4)请求者REQ收到身份鉴别及单播密钥协商响应分组后,进行如下处理:`2.4.1)检查NREC3字段与之前发送的身份鉴别及单播密钥协商请求分组中的Nreq字段是否相同,若不同,则丢弃该分组;若不相同则执行2.4.2);`2.4.2)验证T正AAc字段值与安全策略协商过程中收到的安全策略协商请求分组中的TIEAAC字段值是否一致,如果不一致,则丢弃该分组;如果一致则执行`2.4.3);`2.4.3)利用消息鉴别密钥MAK验证身份鉴别及单播密钥协商响应分组中的MIC2字段的正确性,如果不正确则丢弃该分组;如果正确则请求者REQ完成对鉴别访问控制器AAC的身份鉴别,并协商出和鉴别访问控制器AAC之间一致的单播会话密钥,则执行2.4.4);`2.4.4)用消息鉴别密钥MAK本地计算消息鉴别码MIC3,构造身份鉴别及单播密钥协商确认分组,发送给鉴别访问控制器AAC;该身份鉴别及单播密钥协商确认分组是可选的;身份鉴别及单播密钥协商确认分组主要内容包括Naac以及MIC3;其中-Naac字段表示身份鉴别及单播密钥协商标识,其值同身份鉴别及单播密钥协商请求分组中的NAAc字段的值;MIC3字段表示消息鉴别码,由请求者REQ利用生成的消息鉴别密钥MAK对身份鉴别及单播密钥协商响应分组中除本字段外所有字段及已协商的下一次身份鉴别及单播密钥协商过程中的身份鉴别及单播密钥协商标识进行计算得到的杂凑值;`2.5)鉴别访问控制器AAC收到身份鉴别及单播密钥协商确认分组后,进行如下处理`2.5.1)检查NAAc字段值与收到的身份鉴别及单播密钥协商请求分组中的Naac字段但是否相同,若不同,则丢弃该分组;若相同则执行2.5.2);`2.5.2)利用消息鉴别密钥MAK验证身份鉴别及单播密钥协商确认分组中的MIC3字段的正确性,如果不正确则丢弃该分组;如果正确,则鉴别访问控制器AAC确认请求者REQ已获得与其一致的单播会话密钥。5.根据权利要求1或2或3或4所述的基于预共享密钥的网络安全访问控制方法,其特征在于所述步骤3)的具体实现方式是3.1)组播密钥通告组播密钥通告分组主要内容包括KN、Ewmk以及MIC4;其中KN字段表示密钥通告标识,初始化为一个整数,在每次密钥更新通告时该字段值加l,若通告的密钥不变,则该字段值保持不变;E,k字段表示密钥加密数据,是鉴别访问控制器AAC利用身份鉴别及单播密钥协商过程中生成的密钥加密密钥KEK对组播通告主密钥NMK(NotificationMasterKey)加密后的数据,其中组播通告主密钥NMK是由鉴别访问控制器AAC产生的随机数,用于保护安全接入后组播数据的安全通信;MIC4字段表示消息鉴别码,由鉴别访问控制器AAC利用身份鉴别及单播密钥协商过程中生成的消息鉴别密钥MAK对组播密钥通告分组中除本字段外所有字段进行计算得到的;3.2)组播密钥响应请求者REQ收到组播密钥通告分组后,进行如下处理3.2.1)检査KN字段是否单调递增,如果不是则丢弃该分组;如果是,则执行3.2.2);3.2.2)利用身份鉴别及单播密钥协商过程中生成的消息鉴别密钥MAK验证MIC4字段是否正确,若不正确,则丢弃该分组;若正确,则执行3.2.3);3.2.3)利用身份鉴别及单播密钥协商过程中生成的密钥加密密钥KEK解密EwMK字段即可得到组播通告主密钥NMK;3.2.4)保存此次的密钥通告标识KN字段的值,并生成组播密钥响应分组,发送给鉴别访问控制器AAC;组播密钥响应分组主要内容包括KN以及MIC5;其中-KN字段表示密钥通告标识,其值同组播密钥通告分组中的KN字段的值;MIC5字段表示消息鉴别码,由请求者REQ利用身份鉴别及单播密钥协商过程中生成的消息鉴别密钥MAK对组播密钥响应分组中除本字段外所有字段进行计算得到的;`3.3)鉴别访问控制器AAC收到组播密钥响应分组后,将进行如下处理`3.3.1)比较KN字段与之前发送的组播密钥通告分组中的KN字段值是否一致,如果不一致,则丢弃该分组;如果一致,则执行3.3.2);`3.3.2)利用身份鉴别及单播密钥协商过程中生成的消息鉴别密钥MAK验证MIC5字段的正确性,若不正确,则丢弃该分组;若正确则完成对请求者REQ的组播密钥的通告过程。6、一种基于预共享密钥的网络安全访问控制系统,其特征在于所述基于预共享密钥的网络安全访问控制系统包括请求者REQ和鉴别访问控制器AAC;所述鉴别访问控制器AAC和请求者REQ连接,并为请求者REQ提供服务端口。全文摘要本发明涉及一种基于预共享密钥的网络安全访问控制方法及其系统,该方法包括以下步骤1)请求者REQ与鉴别访问控制器AAC进行安全策略协商;2)请求者REQ与鉴别访问控制器AAC进行身份鉴别及单播密钥协商;3)请求者REQ与鉴别访问控制器AAC进行组播密钥通告。本发明提供的一种快速的安全访问控制方法及其系统,可实现用户与网络之间的快速双向鉴别。文档编号H04L29/06GK101635710SQ20091002368公开日2010年1月27日申请日期2009年8月25日优先权日2009年8月25日发明者军曹,琴李,莉葛,铁满霞,黄振海申请人:西安西电捷通无线网络通信有限公司
完整全部详细技术资料下载
  • 该技术已申请专利。仅供学习研究,如用于商业用途,请联系技术所有人。
  • 技术研发人员:葛莉;曹军;铁满霞;李琴;黄振海
  • 技术所有人:西安西电捷通无线网络通信有限公司
  • 我是此专利的发明人
相关技术
网友询问留言 已有0条留言
  • 还没有人留言评论。精彩留言会获得点赞!
1
精彩留言,会给你点赞!
网络安全访问控制相关技术
vpn缺少ipsec共享密钥相关技术
共享密钥相关技术
缺少ipsec共享密钥相关技术
预共享密钥相关技术

使用协议| 关于我们| 联系X技术

© 2008-2024 【X技术】 版权所有,并保留所有权利。津ICP备16005673号-2