专利名称:接入认证方法及系统的制作方法
技术领域:
本发明涉及一种通信网络的接入认证方法及系统,具体涉及一种适应于层次网络 架构中根据身份标识层次性分段加解密的接入认证方法及系统。
背景技术:
随着互联网技术及各种应用服务的迅猛发展,现有互联网网络构架的一些原始设 计缺陷逐渐显露出来,IP地址身份与位置双重特性正是其中之一。互联网协议体系中的IP 地址在语义学上的双重属性是引发诸多问题的根本原因之一。在传统互联网协议体系中, 地址既代表节点的身份信息,也代表节点的位置信息。IP地址的双重属性导致了互联网严 重的路由可扩展问题,使得互联网难以支持移动和多家乡等。因此,关于身份标识(ID)和位置地址(Locator)分离,以及层次网络架构的研究 已经成为当今互联网技术的热点。CISCO的LISP协议就是一种在IP地址条件下的层次网 络架构,旨在提出一种切实可行的身份标识(ID)和位置地址(Locator)映射机制,来实现 IP地址身份标识与位置地址标识的分离,为移动IP,多家乡提供有力的技术支持。层次网络架构分层的网络对象如果有面向对象和递归的特征,对于简化网络协议 和技术复杂性很重,是未来网络架构的发展方向,然而目前的密码体系均为平面式结构,从 原理上不能满足层次网络架构的需要,阻碍了以上发展方向。
发明内容
为克服现有技术存在的问题,本发明的目的是提出一种接入认证方法及系统,该 接入认证方法是针对层次网络架构的特性提出的,其适用于层次网络架构。根据本发明的一方面,提供了一种接入认证方法,其特征在于,用一种层次的方式 组织网络中的物理节点,形成一棵节点树,这种节点树称为标识架构树,为了实现接入认证 所述标识架构树中的各个父节点针对其每个子节点分别生成一个密钥对,并将所述密钥对 中的私钥发给相应的子节点,以及把来自所述父节点的祖先节点的私钥也发给所述父节点 的每个子节点;所述标识架构树的各个叶节点把一定临近范围的祖先节点的私钥保留作为 密钥序列,通过利用所述密钥序列加密后的密文来请求接入认证;以及与所述接入认证请 求相关的所述标识架构树中的各个父节点利用与私钥对应的公钥来对所述接入认证请求 密文进行解密,从而得出认证结论。根据本发明的另一方面,提供了一种接入认证系统,其特征在于,用标识架构树把 网络组成一棵层次的树,所述接入认证系统用于实现所述树中的各个叶节点即基本网域的 接入认证,所述接入认证系统包括密钥生成装置,所述密钥生成装置位于所述树中的各个 父节点中,针对其每个子节点分别生成一个密钥对,并将所述密钥对中的私钥发给相应的 子节点,以及把来自所述父节点的祖先节点的私钥发给所述父节点的每个子节点;加密装 置,所述加密装置位于所述树的各个叶节点中,将从祖先节点接收到的所有私钥作为密钥 序列,通过利用所述密钥序列加密后的密文来请求接入认证;以及解密装置,所述解密装置位于与各个父节点中,位于与所述接入认证请求相关的所述树中的父节点中的所述解密装 置利用由其所属的父节点所生成的公钥来对所述接入认证请求进行解密。本发明的有益效果是,使层次网络比以往的网络体系在接入认证方面具有明显的 层次性。具体地讲,有以下有益效果1.由于社会分形特征,所以覆盖社会的新一代网络应该具有分形特征,层次网络 架构是网络具有分形特征的必要条件,而本发明提出的层次分段加解密的接入认证方法又 是层次网络架构的必要条件,所以本发明内容是新一代网络的重要技术。2.依据层次网络中对于身份标识和标识架构树的定义,根据它所具有的分层的特 点,本发明将采用分段的加解密方案,应用于层次网络基本网域的接入认证当中,从而实现 层次化的认证,主要由于层次网络身份标识和标识架构树的以下特性所致(i)身份标识的层次性。身份标识缩写为ID,一个节点拥有一个身份标识。身份 标识主要根据网络对象之间的社会隶属关系赋予。对身份标识的唯一要求是多个层次的组 合的全名称标识在本组织架构中的唯一性。简单标识之间的关系是层次分级的,与社会组 织关系的层次性类似。(ii)密码的层次性。标识架构树形成后,所有拥有子节点的节点都要产生由公钥 和私钥构成的密钥对,密钥对的数量根据子节点的数目而定。私钥颁发给子节点,用于加密 认证请求包。公钥由颁发节点自己保留,用于解密认证请求包。(iii)认证请求包的层次性。认证请求包的设计如下Head Cmd [认证请求节 点 ID][[目标 ID]] [Time, ID 分量 k, CODEl]. . · [Time, ID 分量 2,C0DE2] [Time, ID 分量 1, CODE 1]。从中可以看出具有较强的层次性。3.安全性。主要表现在以下两个方面(i)分布式的认证机制将认证职责分散在网络架构中的多个节点,可以避免由 认证服务器集中处理带来的风险,相对的每个节点需要处理的数据量也会有所降低;(ii)层次化的认证机制ID分层、密码分层、认证请求包分层加密的设计以及认 证的分层实现,可以在一定程度上削减密码长度的影响,提高安全性能,同时,需要网络中 多个层次的合作,才能完成一次认证,加大了安全攻击的难度,也在一定程度上提高了安全 性能。
图1是标识架构树的示意图;图2是公钥密码体制下密钥发放示意图;图3是Alll移动到A12覆盖网域时的认证流程(粗线箭头表示认证请求包的路 径;细线箭头表示认证相应包的返回路径);图4是Alll移动到A21覆盖网域时的认证流程(粗线箭头表示认证请求包的路 径;细线箭头表示认证响应包的返回路径)。
具体实施方案用一种层次的方式组织网络中的物理节点,形成一棵节点树是有效的网络组织方 式,本发明参照ATM论坛的PNNI协议定义一种具体的节点树,这种节点树被称为标识架构树,图1示出一个标识架构树的例子。为了进一步说明什么是标识架构树,首先定义概念基本网域。基本网域是一个物 理节点或一个物理子网,基本网域有一个或多个对外端口,能产生、消耗或转发数据,能独 立移动改变彼此间的连接关系。在层次网络架构中,基本网域是标识、操作、使用和管理的 最小对象,整个网络不需要知道基本网域的内部细节,仅知道外部功能和特征即可。一个或多个基本网域可以按所属关系组成一个个组,称为基本对等组,多个基本 对等组可以组成更大的一个个组,称为一般对等组,多个一般对等组还可以进一步组成更 高层的对等组,最终,整个网络形成一个树状结构,该树状结构就是网络的标识架构树,标 识架构树的树叶节点是基本网域,上层的对应于基本对等组和一般对等组的节点称为逻辑 节点。为标识架构树中的每个节点(节点是基本网域或逻辑节点的统称)赋予一个简单 标识,每个节点的简单标识及其一定临近范围祖先节点的简单标识形成一个有序的类似IP 网域名形式的分层次的标识序列,可以在一定网络范围内唯一标识该节点,该标识序列称 为该节点的身份标识,记为ID,每个简单标识被称为ID分量。另外,进一步定义以下概念网络根节点整个网络对应的标识架构树的根节点,即最顶层的对等组节点。祖先节点将整个标识架构树中一个节点的父节点及更加前辈的节点统称为该节 点的祖先节点。后代节点若节点A是节点B的祖先节点,则节点B就是节点A的后代节点。共同祖先节点指在节点A和节点B所共有的祖先节点中,在整个标识架构树位于 最低层的节点。也就是说,其一,共同祖先节点既是节点A的祖先节点,又是节点B的祖先 节点,其二,在所有既是节点A的祖先节点又是节点B的祖先节点的节点中,共同祖先节点 所处的层最低。顶层祖先节点每个基本网域有一个顶层祖先节点,是该基本网域知道的最高层 的祖先节点,该基本网域ID的最高层ID分量是该基本网域的顶层祖先节点的简单标识。基 本网域根据计划移动的范围大小决定其顶层祖先节点的层次位置,顶层祖先节点选择决定 了该基本网域ID长度,基本网域ID是由其顶层祖先节点的简单标识,顶层祖先节点以下的 祖先节点的简单标识,以及该基本网域的简单标识组成的简单标识序列。基本网域还拥有 一个密钥序列,该密钥序列由基本网域ID分量对应的密钥组成,但不包括顶层祖先节点ID 分量对应的密钥,基本网域的密钥序列中密钥的顺序与ID分量的顺序一致。图1是标识架构树的一个例子,为图示简单分支数较少,为2甚至1,但是下讨论不 是一般性。基本网域Al 11和Al 12组成基本对等组Al 1,逻辑节点Al 1是对等组Al 1对外 的代表,通常逻辑节点All是运行在Alll或A112中的一个软件进程对象;同理,基本网域 A221和A222组成对等组A22,逻辑节点A22是对等组A22对外的代表;逻辑节点A12和逻 辑节点A21也代表相应的对等组。逻辑节点All和逻辑节点A12进一步组成一般对等组Al,逻辑节点Al是一般对等 组Al对外的代表,通常逻辑节点Al是运行在All或A12中,即Alll、A112或A121中的一 个软件进程对象;逻辑节点Al也代表相应对等组。最后,逻辑节点Al和逻辑节点A2进一步组成一般对等组A,通常逻辑节点A是运 行在Al或A2中,即A111、A112、A121、A211、A221或A222中的一个软件进程对象。图1中,标识架构树中的每个节点上所标注的文字是其简单标识,设网络根节点A
5就是所有基本网域的顶层祖先节点,那么基本网域A121的身份标识是A. Al. A12. A121,基 本网域A221的身份标识是A.A2.A22.A221,逻辑节点All的身份标识是A. Al. All。如果 A121移动的范围限制在Al的范围,那么基本网域A121的顶层祖先节点可以选择Al,这时 A121身份标识简化成为A1.A12.A121。在标识架构树中,上级节点存储下级节点的密钥信息,下级节点只信任的上级节 点,具有下级节点的逻辑节点均应有认证服务功能,充当等效的局部的认证服务器角色,负 责密钥的产生和发放、读取认证请求包、解密认证请求包的加密信息、产生认证响应包等工 作。可见,针对层次网络的接入认证使用与针对传统的集中方式的接入认证所使用的认证 方式不同。要求针对层次网络的接入认证使用分布式的认证方式,将认证模块分布在标识 架构树中的不同节点上。认证请求包的格式Head Cmd [认证请求节点ID][认证响应节点ID] [Time, ID分量k, CODEk]. . . [Time, ID 分量 2,C0DE2] [Time, ID 分量 1,C0DE1]其中,各符号意义如下Head:数据包头,主要包括数据包格式的版本号、传输优先级、拥塞控制、检错、数 据包类型等信息的字段。Cmd:命令代码,取一设定值。认证请求节点ID 即认证请求节点的身份标识,用于将认证请求包引导到顶层祖 先节点,进而引导到认证请求节点的父节点。认证响应节点ID 即认证响应节点的身份标识,用于将认证响应包引导到认证响
应节点。Time 时间标签,主要用于防止篡改和重放攻击。ID分量i 认证请求节点的ID分量,i = 1,2,. . .,k,ID分量k是认证请求节点 作为一个基本网域的简单标识,最后的ID分量1是认证请求节点的一个祖先节点的简单标 识,该祖先节点是认证请求节点的顶层祖先节点的直接儿子节点。CODEi 是密钥序列的分量,i = 1,2,· · ·,k,CODEi与ID分量i的相对应。认证请求包的层次性体现在认证请求包是分段加密的。认证请求包中Time和 ID分量1由CODEl加密,Time和ID分量2由C0DE2加密,以此类推,总共有k段。认证响应包格式Head, Cmd,[认证口向应节点 ID],[Return Message]其中各符号意义如下Head:数据包头,主要包括数据包格式的版本号、传输优先级、拥塞控制、检错、数 据包类型等信息的字段。Cmd:命令代码,取一设定值。认证响应节点ID 认证响应节点的身份标识。Return Message 回应消息,应包含认证请求端的身份标识,以及认证通过与否的表不。 1.密钥的发放过程
下面参考图2说明标识架构树的形成过程中的密钥发过程。其中X是私钥,Y是 公钥。(1)根节点A根据其子节点数,确定产生2个密钥对,即为{X1,Y1} {Χ2,Υ2};并将 私钥{XI}和{Χ2}分别发给其子节点Al和Α2。(2)节点Al同样产生两个密钥对{Χ3,Υ3}和{Χ4,Υ4},将私钥Χ3和Χ4分别发给 其子节点All和A12 ;自己保留公钥Y3和Y4,以备解密时使用,并将来自其祖先节点A的私 钥Xl也一同发给其子节点All和A12。同样,A2产生密钥对{X5,Y5}和{X6,Y6},且分别 将私钥X5和X6发给其子节点A21和A22,自己保留公钥Y5和Y6,并将来自其祖先节点A 的私钥X2也发给其子节点A21和A22。(3)节点All产生密钥对{X7,Y7} {Χ8,Υ8},将私钥Χ7和Χ8分别发给Alll和Α112, 自己保留公钥Υ7和Υ8,并将分别来自其祖先节点A和Al的私钥Xl和Χ3也发给其子节点 Alll和Α112。同样,Α12产生密钥对{Χ9,Υ9},并将私钥Χ9发给其子节点Α121,保留公钥 Υ9,并将分别来自其祖先节点A和Al的私钥Xl和Χ4也发给其子节点Α121。(4)节点Α21产生密钥对{ΧΙΟ, Υ10},将XlO发给Α211,自己保留Υ10,并将。Α22 产生密钥对{XII, Yll} {Χ12,Υ12},并将私钥Xll和Χ12分别发给其子节点Α221和Α222,自 己保留公钥Yll和Υ12。节点Alll将其从祖先节点(在此为A、Al和All)接收到的{X7}、{X3}和{XI} 这三个密钥相接连,获得Alll的密钥序列。也就是说,密钥分配过程使每个节点均得到密 钥序列。例如,节点Alll得到由{X7}、{X3}和{XI}这三个密钥相接连而组成的密钥序列 {X7} {X3} {XI}。但是,如果Alll计划仅在不超出Al的范围内移动时,则Alll的密钥序列可以为 {X7} {X3}而不是{X7} {X3} {XI},对应的身份标识也缩短成为Al. All. Alll而不是A. Al. All. Alll。在这种情况下,All在获知Al 11仅在不超出Al的范围内移动时,可以不将Al的 私钥{XI}发给A111,即使发给Alll它也不予保留。2.认证请求包的详细设计不失一般性,以Alll移动到A121附近为例,说明认证请求包的详细设计。根据上 面密钥的分发结果,基本网域Alll共拥有三个私钥分别为X7,X3,X1。那么,当该节点到达 一个新的网络位置时,比如移动到A121附近,与A121建立链路时,若要通过A121获得通信 服务就必须进行身份认证,向A121证明自己的身份,故节点Alll构造认证请求包如下Head, Cmd, [A. Al. All. Alll],[Α. Al. Α12. Α121],[Time, Alll, X7] [Time, All,X3] [Time, Al, XI]该认证请求包中的密文有三个密文段,分别由密钥X7,X3,Xl加密得到,比如 [Time, Al,XI]就是Xl对简单标识Al和Time进行加密形成的密文。3、详细实现流程不失一般性,以Alll移动为例,说明详细实现流程。根据基本网域Alll移动到不同的网络范围可以分成两种情况,分别为域内和域 间认证,具体认证方案主要有以下两种方案一如图1所示的标识架构树中的节点发生移动,当基本网域Alll移动到 A12所覆盖的网络范围形成图3所示的态势,Alll与A121建立通信链路时,就必须经过A121,通过A12向网络发送认证请求包请求认证,否则Alll无法从网络中获得服务。认证 流程如图3所示,步骤如下(I)Alll经过A121、A12和Al向A发送认证请求包(粗箭头路径)Head, Cmd, [A. Al. All. Alll],[Α. Al. Α12. Α121],[Time, Alll, X7] [Time, All,X3] [Time, Al, XI](2)A收到这个认证请求包后,读取包头的Cmd,知道这是一个认证请求包,根据 Alll的身份标识A. Al. All. A111,便可确认自己就是认证请求节点的顶层祖先节点,用Al 的公开密钥解密第一个密文段,如果成功解密,将认证请求包发送到其子节点Al。(3)Al收到这个认证请求包后,用All的公开密钥解密第二个密文段,如果成功解 密,将认证请求包发送到其子节点All。(4)依次类推,直到认证请求节点的父节点All,它收到这个认证请求包后,用 Alll的公开密钥解密最后的密文段,如果成功解密,则整个认证成功,生成认证响应包回应 给A121和A12即可,认证响应包格式如下所示Head, Cmd, [A. Al. A12. A121],[Return Message]该方案如果Alll的顶层祖先节点是Al,这同样可以工作,区别是A到Al的粗箭头 路径不再经过,直接经过Alll,A12,Al,All。方案二如图1所示的标识架构树中的节点发生移动,当基本网域Alll移动到A21所覆盖 的网络范围形成图4所示的态势,Alll与A211建立通信链路时,Alll要从网络中获得服 务,就必须经过A211,通过A21向网络发送认证请求包请求认证(粗箭头路径),该种方案 的认证流程如下(I)Alll通过A211、A21和A2向A发送认证请求包Head, Cmd, [A. Al. All. Alll], [Α. Α2· Α21. Α211],[Time, Alll, X7] [Time, All,X3] [Time, Al, XI](2)A收到这个认证请求包后,读取包头的Cmd,知道这是一个认证请求包,根据 Alll的身份标识A. Al. All. A111,便可确认自己就是请求节点的祖父节点,用Al的公开密 钥解密第一个密文段,如果成功解密,将认证请求包发送到其子节点Al。(3)Al收到这个认证请求包后,用All的公开密钥解密第一个密文段,如果成功解 密,将认证请求包发送到其子节点All。(4)All收到这个认证请求包后,用Alll的公开密钥解密第一个密文段,如果成功 解密,则整个认证成功,生成认证响应包回应给A21和A211即可,包格式如下所示Head, Cmd, [Α. Α2. Α21. Α211],[Return Message]以上实施例中可以采用RSA、EIGamal等公钥算法来产生每个分段的加解密密钥 对。RSA公钥加密算法是1977年由Ron Rivest、Adi Shamirh和LenAdleman在(美国麻 省理工学院)开发的。RSA取名来自开发他们三者的名字。RSA是目前最有影响力的公钥 加密算法,它能够抵抗到目前为止已知的所有密码攻击,已被ISO推荐为公钥数据加密标 准。RSA算法基于一个十分简单的数论事实将两个大素数相乘十分容易,但那时想要对其 乘积进行因式分解却极其困难,因此可以将乘积公开作为加密密钥。EIGamal算法既可用于 数字签名又可用于加密,其安全性依赖于计算有限域上离散对数的难度。另外,认证响应包的传输过程可以用各个层次的加密密钥对进行分段加密,以提高认证响应包的传输过程的
安全性。
权利要求
一种接入认证方法,其特征在于,用一种层次的方式组织网络中的物理节点,形成一棵节点树,这种节点树称为标识架构树,为了实现接入认证所述标识架构树中的各个父节点针对其每个子节点分别生成一个密钥对,并将所述密钥对中的私钥发给相应的子节点,以及把来自所述父节点的祖先节点的私钥也发给所述父节点的每个子节点;所述标识架构树的各个叶节点把一定临近范围的祖先节点的私钥保留作为密钥序列,通过利用所述密钥序列加密后的密文来请求接入认证;以及与所述接入认证请求相关的所述标识架构树中的各个父节点利用与私钥对应的公钥来对所述接入认证请求密文进行解密,从而得出认证结论。
2.根据权利要求1所述的接入认证方法,其特征在于,所述利用所述密钥序列加密后 的密文是分段加密的。
3.根据权利要求2所述的接入认证方法,其特征在于,采用RSA、EIGamal公钥算法来 产生每个所述分段的加解密密钥对。
4.根据权利要求2所述的接入认证方法,其特征在于,对所述密钥序列加密后的密文 的分段与所述密钥序列中的私钥一一顺序对应。
5.根据权利要求1所述的接入认证方法,其特征在于,当一个节点,即认证请求节点, 在建立新的链路时向新链路的对端节点,即认证响应节点,请求认证,方法是所述节点提供 用自己的密钥序列加密的密文给对方,以向所述对方节点证明自己的身份,所述对方节点 将逐级向上传递该密文,直至到达一个祖先节点,它拥有所述密文的第一段解密公钥,用来 解密实现认证的第一步,之后按所述节点的身份标识指示,向下一段一段地解密认证密文 的每个分段,直至到达所述节点在标识架构树的父节点为止,如果以上每步全部认证成功, 则所述节点请求的认证成功,否则失败。
6.一种接入认证系统,其特征在于,用标识架构树把网络组成一棵层次的树,所述接 入认证系统用于实现所述树中的各个叶节点即基本网域的接入认证,所述接入认证系统包 括密钥生成装置,所述密钥生成装置位于所述树中的各个父节点中,针对其每个子节点 分别生成一个密钥对,并将所述密钥对中的私钥发给相应的子节点,以及把来自所述父节 点的祖先节点的私钥发给所述父节点的每个子节点;加密装置,所述加密装置位于所述树的各个叶节点中,将从祖先节点接收到的所有私 钥作为密钥序列,通过利用所述密钥序列加密后的密文来请求接入认证;以及解密装置,所述解密装置位于与各个父节点中,位于与所述接入认证请求相关的所述 树中的父节点中的所述解密装置利用由其所属的父节点所生成的公钥来对所述接入认证 请求进行解密。
全文摘要
一种接入认证方法,用一种层次的方式组织网络中的物理节点,形成一棵节点树,为了实现接入认证所述标识架构树中的各个父节点针对其每个子节点分别生成一个密钥对,并将所述密钥对中的私钥发给相应的子节点,以及把来自所述父节点的祖先节点的私钥也发给所述父节点的每个子节点;所述标识架构树的各个叶节点把一定临近范围的祖先节点的私钥保留作为密钥序列,通过利用所述密钥序列加密后的密文来请求接入认证;以及与所述接入认证请求相关的所述标识架构树中的各个父节点利用与私钥对应的公钥来对所述接入认证请求密文进行解密,从而得出认证结论。本发明的有益效果是,使层次网络比以往的网络体系在接入认证方面具有明显的层次性。
文档编号H04L9/32GK101883115SQ201010219560
公开日2010年11月10日 申请日期2010年6月25日 优先权日2010年6月25日
发明者张熠, 梁满贵, 齐高亮 申请人:北京交通大学