本发明涉及信息安全技术领域,尤其涉及一种基于无中心标识映射同步管理的安全认证方法及系统。
背景技术:
标识网是一种身份、位置分离的新型网络,具有用户群体相对封闭、机动性和对抗性强、以及网络可用性要求高等特点,其最初目的是为解决国产网络对标准tcp/ip协议栈的根本依赖和限制。在标识网中应用部署常采用集中式的标识映射服务器管理模式,且安全认证和标地分离管控没有建立有机耦合关系,由此带来以下问题:
1)集中式的标识映射服务器在抗毁性上存在短板,为应对网络规模化建设时的分布式、层次化部署又存在多级管理、效率不高等问题;
2)安全认证与标地管理没有建立有机结合,没有提供一套精简、统一的安全认证体制,叠加式的安全设计存在安全隐患;
3)常见的安全认证机制主要瞄准控制层的身份认证,未考虑转发层可能存在的数据包源身份伪造、细粒度管控等问题,故而认证机制与转发层的数据包身份真实性保护机制缺乏联动。
军事、金融、政府办公及企业重要内网等典型网络基础设施,对网络安全性、智能管控、专有协议等具有突出要求。标识网作为目前一个较前沿的网络技术,其本意是为用户提供基于真实身份、用户网络空间隔离的通信体制,但在实际组网部署时却面临叠加式安全漏洞、管控开销大等方面的实际组网部署、建设问题。
技术实现要素:
为了解决上述问题,本发明提出一种基于无中心标识映射同步管理的安全认证方法及系统,终端一次接入即可触发完成分布式的安全可信标识映射同步和转发层对业务报文源身份的合法校验,实现标识网对高安全、智能化管理等方面的需求。本发明利用ibe(identitybasedencryption,基于身份的加密)身份标识即公钥的特性,设计具有自主知识产权的高安全接入控制、转发层身份鉴别和分布式的标识映射同步管理技术。本发明以可编程功能组件的形式部署于终端、接入路由器和认证服务器上,易于在现有标识网系统设备上部署,工程可实施性强。
本发明的一种基于无中心标识映射同步管理的安全认证方法,包括:
ibe安全基础设施部署:将ibe安全基础设施以公共库的形式部署于标识网设备上,提供ibe密钥注入、数字签名和验签、摘要计算以及加解密接口;
安全标识认证:基于安全接入协议和所述ibe安全基础设施提供的应用程序接口,完成终端安全标识认证流程;
报文安全防护:接入路由器基于所述安全标识认证的结果对终端业务报文做准入控制,基于ip选项嵌入签名,以确保终端业务报文的源身份合法性;
标识映射同步管理:基于所述安全标识认证的结果,完成终端hid(hostidentity,主机标识)与接入路由器rid(routeridentity,路由器标识)的安全自绑定,通过时间戳嵌入和数字签名保护,支持接入路由器间分布式标识映射自动同步。
进一步的,所述安全标识认证的主体流程包括:
安全认证:终端接入网络后,基于离线分配的ibe安全密钥对发起安全标识认证,经接入路由器和认证服务器协议交互处理,完成认证入网;
认证维护:终端完成安全接入后,定时发送维护请求以维护安全认证全链的有效性,确保设备中途下线或宕机时网络能及时发现及处理;
认证状态变更:基于三方安全设备检测结果,主动修改终端的接入权限;所述三方安全设备包括基于终端业务行为的入侵检测系统和防火墙。
进一步的,所述安全认证包括以下步骤:
s1.接入路由器上配置认证服务器ip,定期在用户口发送路由器宣告,并使用路由器标识私钥对报文签名;
s2.终端收到接入路由器宣告,先验签确认路由器身份,随后产生认证请求报文并附加本次认证序号,采用终端标识私钥签名后发给接入路由器;
s3.接入路由器收到认证请求后,先验签和时间戳时效性判决,对合法报文在尾部附加接入路由器标识后二次签名,转发给认证服务器;
s4.认证服务器收到认证请求后,基于双重签名验证接入路由器和终端身份合法性,根据时间戳做时效性判决;基于终端标识匹配认证信息库来获取终端准入权限,对准入终端,生成随机数rs、构造认证质询报文发送给接入路由器,使用认证服务器标识私钥对报文签名;
s5.接入路由器收到认证质询后,通过终端标识取出终端mac,在尾部附加接入路由器标识后二次签名,转发给终端;
s6.终端收到认证质询后,基于双重签名验证路由器和服务器身份合法性,做时间戳失效判决及序号匹配,鉴别通过后,封装认证质询确认报文并附加上随机数rs,使用终端标识私钥签名后发送给接入路由器;
s7.接入路由器收到认证质询确认后,先验签和时间戳时效性判决,对合法报文在尾部附加接入路由器标识后二次签名,发送给认证服务器;
s8.认证服务器收到接入路由器发送的质询确认后,基于双重签名验证接入路由器和终端身份合法性,根据时间戳做时效性判决,鉴别随机数rs后,构造认证应答报文并使用服务器标识私钥签名发给接入路由器;
s9.接入路由器收到认证应答后,先验签和时间戳时效性判决,将准入结果通知具有所述报文安全防护功能的报文安全防护模块,使用路由器标识二次签名后转发给终端;
s10.终端收到认证应答报文后,基于服务器、路由器双层签名验签、时间戳和序号判决报文合法性后,将准入结果通知所述报文安全防护模块,同时发送安全标识绑定消息给接入路由器;所述安全标识绑定消息包括终端标识、时间戳、有效时长和路由器标识,并使用终端身份标识签名;
s11.接入路由器收到安全标识绑定后,通知具有所述安全标识同步管理功能的安全标识同步管理模块。
进一步的,所述认证维护包括以下步骤:
s21.终端认证通过后,认证服务器开启针对终端的维护定时器,若在维护定时器内收到有效的终端维护请求,则复位该终端对应维护定时器;否则认证服务器认为终端下线,发送认证状态变更消息给该终端本次接入的接入路由器,路由器将此终端移出准入列表;
s22.接入路由器在认证维护过程中依然做中间转发节点和双重签名节点;
s23.终端认证通过后,开启维护请求定时器和安全绑定更新定时器;维护请求定时器超时则发送维护请求给接入路由器;终端对维护应答中路由器身份验签鉴别,安全绑定更新定时器超时后,重发标识绑定消息。
进一步的,所述报文安全防护在ipv4协议基础上,将用户源ip作为身份标识,基于源ip能够直接生成ibe公钥;在ip选项字段中,填入源端用自身私钥对数据包的签名,目的端和接入路由器能够根据源ip和签名值验证源端标识是否可信。
进一步的,接入路由器根据当前网络中路由器可达性信息,以标识映射安全同步协议完成hid和rid绑定关系到全网路由器的实时同步,所述标识映射安全同步协议包括:从终端收到安全标识绑定报文、从路由器收到安全标识同步请求报文和新邻居路由器上线。
进一步的,所述从终端收到安全标识绑定报文包括:
终端安全标识认证完成发送终端安全标识绑定报文给接入路由器;接入路由器在完成验签和时效性判决后,如果是有效报文,则根据当前路由表中可达的路由器列表,以单播或组播发给所有的在线路由器节点,目的ip为每台路由的rid,同时启动应答确认定时器,确保标识映射安全同步消息的可靠传输。
进一步的,所述从路由器收到安全标识同步请求报文包括:
路由器收到安全标识绑定报文后,对非送到本地的报文做传统的路由转发,对目的为本地的报文直接遍历其中的标识映射绑定单元列表,对其中每个绑定单元根据终端签名验证合法性,根据时间戳与本地存储该终端曾发送的最新绑定单元时间戳对比,对合法的更新时间戳绑定单元进行存储,并将hid到rid的绑定关系更新到本地标地分离转发表中。
进一步的,所述新邻居路由器上线包括:
针对网络建设部署新路由器情况,当路由器发现有直连新路由器上线时,会将本地现有的所有标识映射绑定单元一次性发给新上线邻居路由器,以对网络影响最小化的设计来实现中间路由器上线所必须的标识映射关系同步;其中新上线邻居路由器收到标识映射绑定同步请求消息的流程与路由器收到安全标识同步请求一致。
本发明的一种基于无中心标识映射同步管理的安全认证系统,包括:
ibe安全基础设施,所述ibe安全基础设施以公共库的形式部署于标识网设备上,提供ibe密钥注入、数字签名和验签、摘要计算以及加解密接口;
安全标识认证模块,所述安全标识认证模块基于安全接入协议和所述ibe安全基础设施提供的应用程序接口,完成终端安全标识认证流程;
报文安全防护模块,所述报文安全防护模块通过接入路由器实现,接入路由器基于所述安全标识认证模块的认证结果对终端业务报文做准入控制,基于ip选项嵌入签名,以确保终端业务报文的源身份合法性;
标识映射同步管理模块,所述标识映射同步管理模块基于所述安全标识认证模块的认证结果,完成终端hid与接入路由器rid的安全自绑定,通过时间戳嵌入和数字签名保护,支持接入路由器间分布式标识映射自动同步。
本发明的有益效果在于:
本发明创新性提出一种基于无中心标识映射同步管理的安全认证方法及系统,基于ibe的高安全认证、转控融合和标识映射分布式同步实现方法,不仅解决了现有标识网叠加式安全、集中式标识映射管理和转发层缺乏报文源身份鉴别等种种问题,其模块化程度高、可编程功能组件实施的机制可快速实现对现有标识网设备的升级改造,工程可实施程度很高,适用于军队、政企标识网对安全、智能化网络等要求高的网络场景。
本发明较现有标识网中的标识映射管理和安全认证具有以下优点:
1)基于ibe的安全标识认证方法无缝关联设备身份标识,避免了pki存在的管理成本、难度等缺点,采用双重标识签名设计实现终端、路由器标识映射绑定的内生安全鉴别,同时将控制层的认证结果延伸到转发层,一次认证即可完成标识映射绑定、转控融合报文鉴别;
2)分布式的标识映射同步设计,流程精简,无需标识映射服务器部署即可高效、高安全完成标识网最核心的标识映射同步管理,极大增强了网络的冗余抗毁能力,其内生融入的安全设计也避免了传统叠加式安全设计可能引入的各种安全漏洞。
附图说明
图1安全认证系统总体框图;
图2安全标识认证协议帧封装示意图;
图3安全标识认证报文格式示意图;
图4安全标识认证协议主流程示意图;
图5ipv4报文头ip选项签名附加;
图6安全标识绑定报文格式示意图;
图7标识映射安全同步协议帧格式;
图8收终端安全标识绑定报文处理流程;
图9收路由器安全标识同步请求处理流程;
图10新邻居路由器上线安全标识同步流程;
图11主要设备新增功能模块接口示意图;
图12典型网络应用示意图。
具体实施方式
为了对本发明的技术特征、目的和效果有更加清楚的理解,现说明本发明的具体实施方式。应当理解,此处所描述的具体实施例仅用以解释本发明,并不用于限定本发明,即所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明的实施例,本领域技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本发明保护的范围。
本实施例提供了一种基于无中心标识映射同步管理的安全认证方法及系统,利用ibe(identitybasedencryption,基于身份的加密)身份标识即公钥的特性,设计具有自主知识产权的高安全接入控制、转发层身份鉴别和分布式的标识映射同步管理技术,以可编程功能组件的形式部署于终端、接入路由器和认证服务器上,易于在现有标识网系统设备上部署,工程可实施性强。
本实施例的一种基于无中心标识映射同步管理的安全认证系统,如图1所示,包括ibe安全基础设施、安全标识认证模块、报文安全防护模块和标识映射同步管理模块,其中:
ibe安全基础设施以公共库的形式部署于标识网设备上,提供ibe密钥注入、数字签名和验签、摘要计算以及加解密接口;
安全标识认证模块基于安全接入协议和ibe安全基础设施提供的应用程序接口,完成终端安全标识认证流程;
报文安全防护模块通过接入路由器实现,接入路由器基于安全标识认证模块的认证结果对终端业务报文做准入控制,基于ip选项嵌入签名,以确保终端业务报文的源身份合法性;
入路由器rid的安全自绑定,通过时间戳嵌入和数字签名保护,支持接入路由器间分布式标识映射自动同步。
本实施例的一种基于无中心标识映射同步管理的安全认证方法,包括:
ibe安全基础设施部署:将ibe安全基础设施以公共库的形式部署于标识网设备上,提供ibe密钥注入、数字签名和验签、摘要计算以及加解密接口;
安全标识认证:基于安全接入协议和ibe安全基础设施提供的应用程序接口,完成终端安全标识认证流程;
报文安全防护:接入路由器基于安全标识认证的结果对终端业务报文做准入控制,基于ip选项嵌入签名,以确保终端业务报文的源身份合法性;
标识映射同步管理:基于安全标识认证的结果,完成终端hid与接入路由器rid的安全自绑定,通过时间戳嵌入和数字签名保护,支持接入路由器间分布式标识映射自动同步。
在本发明的一个优选实施例中,安全标识认证报文帧封装如图2所示,根据协议实体对等关系分别基于链路层和传输层传输。终端与接入路由器间协议基于以太网传输,etype采用保留值0xa001;接入路由器与认证服务器间协议基于udp传输,udp端口采用保留值7000。
安全标识认证报文格式定义如图3所示,其中:
版本号:1字节,取值0x1;
消息类型:1字节,包括路由器宣告、认证请求、认证应答、安全绑定、认证质询、质询确认、维护请求、维护应答、认证状态变更、认证状态变更应答;
序号:4字节,认证发起时作为唯一标识,认证完成后以认证初始值递增;
时间戳:4字节,自1970年1月1日午夜开始的秒数;
长度:2字节,表示协议头后面的净荷长度。
在本发明的一个优选实施例中,如图4所示,安全标识认证的主体流程包括:
安全认证:终端接入网络后,基于离线分配的ibe安全密钥对发起安全标识认证,经接入路由器和认证服务器协议交互处理,完成认证入网;
认证维护:终端完成安全接入后,定时发送维护请求以维护安全认证全链的有效性,确保设备中途下线或宕机时网络能及时发现及处理;
认证状态变更:基于三方安全设备检测结果,主动修改终端的接入权限;三方安全设备包括基于终端业务行为的入侵检测系统和防火墙。
在本发明的一个优选实施例中,安全认证包括以下步骤:
s1.接入路由器上配置认证服务器ip,定期在用户口发送路由器宣告,并使用路由器标识私钥对报文签名;
s2.终端收到接入路由器宣告,先验签确认路由器身份,随后产生认证请求报文并附加本次认证序号,采用终端标识私钥签名后发给接入路由器;
s3.接入路由器收到认证请求后,先验签和时间戳时效性判决,对合法报文在尾部附加接入路由器标识后二次签名,转发给认证服务器;
s4.认证服务器收到认证请求后,基于双重签名验证接入路由器和终端身份合法性,根据时间戳做时效性判决;基于终端标识匹配认证信息库来获取终端准入权限,对准入终端,生成随机数rs、构造认证质询报文发送给接入路由器,使用认证服务器标识私钥对报文签名;
s5.接入路由器收到认证质询后,通过终端标识取出终端mac,在尾部附加接入路由器标识后二次签名,转发给终端;
s6.终端收到认证质询后,基于双重签名验证路由器和服务器身份合法性,做时间戳失效判决及序号匹配,鉴别通过后,封装认证质询确认报文并附加上随机数rs,使用终端标识私钥签名后发送给接入路由器;
s7.接入路由器收到认证质询确认后,先验签和时间戳时效性判决,对合法报文在尾部附加接入路由器标识后二次签名,发送给认证服务器;
s8.认证服务器收到接入路由器发送的质询确认后,基于双重签名验证接入路由器和终端身份合法性,根据时间戳做时效性判决,鉴别随机数rs后,构造认证应答报文并使用服务器标识私钥签名发给接入路由器;
s9.接入路由器收到认证应答后,先验签和时间戳时效性判决,将准入结果通知具有报文安全防护功能的报文安全防护模块,使用路由器标识二次签名后转发给终端;
s10.终端收到认证应答报文后,基于服务器、路由器双层签名验签、时间戳和序号判决报文合法性后,将准入结果通知报文安全防护模块,同时发送安全标识绑定消息给接入路由器;安全标识绑定消息包括终端标识、时间戳、有效时长和路由器标识,并使用终端身份标识签名;
s11.接入路由器收到安全标识绑定后,通知具有安全标识同步管理功能的安全标识同步管理模块。
在本发明的一个优选实施例中,认证维护包括以下步骤:
s21.终端认证通过后,认证服务器开启针对终端的维护定时器,若在维护定时器内收到有效的终端维护请求,则复位该终端对应维护定时器;否则认证服务器认为终端下线,发送认证状态变更消息给该终端本次接入的接入路由器,路由器将此终端移出准入列表;
s22.接入路由器在认证维护过程中依然做中间转发节点和双重签名节点;
s23.终端认证通过后,开启维护请求定时器和安全绑定更新定时器;维护请求定时器超时则发送维护请求给接入路由器;终端对维护应答中路由器身份验签鉴别,安全绑定更新定时器超时后,重发标识绑定消息。
在本发明的一个优选实施例中,报文安全防护在ipv4协议基础上,将用户源ip作为身份标识,基于源ip能够直接生成ibe公钥。如图5所示,在ip选项字段中,填入源端用自身私钥对数据包的签名,目的端和接入路由器能够根据源ip和签名值验证源端标识是否可信。
在本发明的一个优选实施例中,报文安全身份验证工作在转发层,基于设备体系架构,可采用硬件fpga或软件(linux系统可基于netfilter模块在pre_routing和local_out上注册收发钩子函数来做报文签名和验签、防护处理)实施,在此不作赘述。
在本发明的一个优选实施例中,终端安全标识认证完成后,发送安全标识绑定报文给接入路由器,如图6所示是该报文的示意图。
接入路由器收到该报文后,即可使用这段数据来自证明该接入路由器标识rid与终端标识hid的绑定关系。接入路由器根据当前网络中路由器可达性信息,以一种自主定义、流程精简的同步机制完成hid与rid绑定关系到全网路由器的实时同步,为便于说明,下面将此机制定义为标识映射安全同步协议。
标识映射安全同步协议承载与udp的私有端口7001上,如图7所示,协议定义如下:
消息类型:1、标识映射同步请求;2、标识映射同步应答;
序号:4字节,作为每次同步请求与应答的一一对应;
时间戳:4字节,自1970年1月1日午夜开始的秒数;
长度:2字节,表示协议头后面的净荷长度。
在本发明的一个优选实施例中,标识映射安全同步主要分为以下三个阶段:
(1)从终端收到安全标识绑定报文
终端安全标识认证完成发送终端安全标识绑定报文给接入路由器;接入路由器在完成验签和时效性判决后,如果是有效报文,则根据当前路由表中可达的路由器列表,以单播或组播发给所有的在线路由器节点,目的ip为每台路由的rid,同时启动应答确认定时器,确保标识映射安全同步消息的可靠传输。
具体工作机理如图8所示的流程图述。
(2)从路由器收到安全标识同步请求报文
路由器收到安全标识绑定报文后,对非送到本地的报文做传统的路由转发,对目的为本地的报文直接遍历其中的标识映射绑定单元列表,对其中每个绑定单元根据终端签名验证合法性,根据时间戳与本地存储该终端曾发送的最新绑定单元时间戳对比,对合法的更新时间戳绑定单元进行存储,并将hid到rid的绑定关系更新到本地标地分离转发表中。
具体工作机理如图9所示的流程图描述。
(3)新邻居路由器上线
针对网络建设部署新路由器情况,当路由器发现有直连新路由器上线时,会将本地现有的所有标识映射绑定单元一次性发给新上线邻居路由器,以对网络影响最小化的设计来实现中间路由器上线所必须的标识映射关系同步;其中新上线邻居路由器收到标识映射绑定同步请求消息的流程与路由器收到安全标识同步请求一致。
发现有新上线邻居路由器的具体工作机理如图10所示的流程图描述。
此外,本实施例现提供本发明在典型网络中的应用示意:
如图11所示是基于本发明工作机制的设备功能模块接口分布。
下面以一个典型示意网络来说明安全标识绑定、报文防护过滤和标识映射分布式自动同步全过程,如图12所示:
(1)h1终端基于ibe标识密码能力完成与认证服务器的安全标识认证后,最终发送安全标识绑定报文给路由器r1,在绑定报文中申明h1-r1绑定关系、时间戳和存活时间,并以h1标识私钥进行签名;
(2)r1收到该安全标识绑定报文后,产生标识映射安全同步报文发送给网络中所有路由器;r1收到服务器的认证应答后,更新报文身份安全验证模块最终h1的准入状态;
(3)r1对收到h1的业务报文,基于报文身份安全模块确定该终端准入,并根据源ip(身份标识)来对ip选项签名进行验签,并根据验签结果确认报文源身份合法;
(4)r2~r5收到安全标识绑定报文后,提取其中的标识映射绑定单元,通过单元中中终端标识直接对h1签名进行验证,验证通过后根据时间戳比对本地h1标识绑定信息(不存在直接存储、存在且消息时间戳更新也覆盖记录),并根据有效时长设置老化定时器;
(5)图例中r5收到h2到h1的消息后,根据标识映射转发表提取h1绑定的rid,添加路由器侧ip头后,发送给r1。
以上所述仅是本发明的优选实施方式,应当理解本发明并非局限于本文所披露的形式,不应看作是对其他实施例的排除,而可用于各种其他组合、修改和环境,并能够在本文所述构想范围内,通过上述教导或相关领域的技术或知识进行改动。而本领域人员所进行的改动和变化不脱离本发明的精神和范围,则都应在本发明所附权利要求的保护范围内。