一種基於身份隱替機制的無線異構網絡統一接入認證方法
2023-05-08 12:11:21 3
專利名稱:一種基於身份隱替機制的無線異構網絡統一接入認證方法
技術領域:
本發明屬於無線異構網絡統一接入領域,特別是一種基於身份隱替機制的無線異構網絡統一接入認證方法。
背景技術:
無線網絡技術的飛速發展,湧現出了大量不同類型的通信網絡。網絡形式種類繁多,各具特點,異構融合網絡作為未來網絡的發展趨勢,融合了各個網絡的優點,但在網絡應用範圍的不斷擴大、接入方式多樣化和提供多種業服務的同時,也帶來了一系列新的安全問題。無線異構網絡中的關鍵安全技術問題包括安全路由協議、接入認證技術、入侵檢測技術、節點間協作通信等。安全性在異構網絡的各個關鍵問題上起著至關重要的作用。在無線網絡認證和通信過程中,用戶的真實身份和位置信息是重要而又敏感的信息,在通信中必須保證這些信息的機密性,尤其在融合網絡的發展中,網絡的信息安全防護能力將是吸引用戶長期附著的決定性因素。然而在當前的網絡中,他們成對出現或綁定存儲、使用及傳輸,不僅造成網絡資源的浪費,還容易造成用戶敏感信息洩露,帶來一系列安全問題。統一標識技術作為提升用戶對網絡和業務的使用效率、提高身份信息的安全性具有重要的意義,其在不同網絡、不同業務間可建立可靠的對用戶身份認證的共享服務,避免由各異構網絡、不同業務的異構認證機制帶來的複雜性。在現有技術中,儘管已有多種身份和地址雙重功能分離的方案,但都存在不足之處。如:太過複雜的名字空間定義、眾多對應關係的維護需求和扁平的名字空間,導致管理開銷和出錯率大大增加、並且查找效率低,可擴展性不好。
發明內容
本發明的目的在於針對異構接入網絡認證信息與認證方式各異的問題而提供一種基於身份隱替機制的無線異構網絡統一接入認證方法。實現本發明目的的技術解決方案為:
一種基於身份隱替機制的無線異構網絡統一接入認證方法,該方法基於用戶、位置、尋址信息進行分離,創建統一的用戶標識,構建完備的統一標識身份隱替機制,將用戶身份認證所需的標識分離存儲在各個實體上,通過標識的隱藏、替換和更新對用戶敏感信息進行防護,其具體步驟如下:
第一步,用戶使用其與家鄉伺服器共享的密鑰K加密UID信息,得到密文E (K,UID),傳送給接入伺服器,接入伺服器再傳送給本地伺服器;
第二步,本地伺服器將密文E(K,UID)傳輸給家鄉伺服器,並且家鄉伺服器使用自己的私鑰Khs解密E (K, UID),得到用戶的真實身份HD ;
第三步,家鄉伺服器秘密選擇一個隨機數r,之後使用與終端共享的密鑰K加密,將密文E(K,r)隨同其它消息一起發送給終端用戶; 第四步,終端將E(K,r)解密,得到r,然後用於與接入伺服器共享的密鑰Kma加密,將密文E(Km,r)發送給接入伺服器;
第五步,接入伺服器將E(Km,r)解密,得到r,然後計算h(r),將h(r)隨同其他消息一起發送給本地伺服器;
第六步,本地伺服器驗證h(r),因為只有合法的接入伺服器才能從E (Kma, r)中得到正確的r,從而認證接入伺服器的合法身份,將會話密鑰PMK加密E (r, PMK)隨同其他消息一起發給接入伺服器;
第七步,接入伺服器解密E(r,PMK),得到會話密鑰。本發明與現有技術相比,其顯著優點:
首先,本發明改變了現有技術中不同網絡對同一用戶同時維護多套標識的狀況,用戶只需使用一套標識就能接入所需的網絡,大大降低了維護用戶多套標識的各種開銷。其次在本發明中,對用戶真實身份WD使用密鑰加密傳輸,可有效防護用戶敏感信息在網絡中的洩露;
另外本發明增加對接入端的身份認證,通過用戶發送的E(KM,r)對接入端進行認證,只有合法的接入端才能正確解密,有效防止本地伺服器和接入伺服器之間的網絡監聽,解決了接入端假冒攻擊和用戶假冒攻擊;最後通過隨機數提高會話密鑰的機密性。
圖1是本發明的統一標識隱替機制模型圖
圖2是本發明的異構無線融合網絡統一認證協議流程圖
具體實施例方式下面結合附圖對本發明作進一步詳細描述。用戶引入身份標識的概念,應用身份隱替機制實現各種網絡終端的統一接入,臨時身份標識作為用戶真實身份的掩護。接入認證過程包括4個認證實體:用戶終端,接入伺服器,本地伺服器和家鄉伺服器,將用戶終端的IP位址作為其地址標識,分別定義用戶在各實體上的身份標識:UID (User Identity), AID (Access Network Identity), LID (LocalRealm Identity) ,HID (Home Identity)。將用戶身份認證所需的標識分離存儲在各個實體上,通過標識的隱藏、替換和更新提高用戶敏感信息的安全防護能力。身份隱替機制包括用戶的註冊、用戶的接入認證、認證成功後標識的分發,映射關係的存儲,如圖1所示。所述的身份隱替機制,其映射模型為:用戶首先發送認證請求,將加密後的UID傳至各實體伺服器進行註冊認證;註冊成功後,各實體伺服器會分配相應的標識,並保留對應的映射關係,最終每個用戶都擁有一套這樣的身份標識。家鄉伺服器存儲WD,分配HID,建立WD和HID的映射關係;本地伺服器存儲HID,分配LID,建立HID和LID的映射關係;接入伺服器存儲LID,分配AID,建立LID和AID的映射關係;用戶終端存儲AID,建立UID和AID的映射關係。在通信過程中,採用身份標識分離替換的策略,實現對用戶真實身份的隱藏。IP位址只擔當尋址的角色,實現了標識的分離使用。針對3G移動通信系統的認證與密鑰協商協議中存在的問題進行改進,建立異構無線融合網絡基於身份隱替機制的協議,統一接入認證方案。融合網絡中改進後的認證協議如圖2所示。基於接入伺服器和用戶之間共享密鑰Kma的假設,r為至少是128 bit的隨機數,K是家鄉伺服器與用戶之間共享的密鑰,Kma是接入網絡和用戶之間共享的密鑰,Khs是家鄉伺服器的私鑰。E (K,r)是以K為密鑰加密隨機數r ;E (Kma, r)是以Kma為密鑰加密隨機數r ;E(K, UID)是以K為密鑰加密UID ;h(r)是隨機數r的散列值,AUTN是完整性令牌。具體協議認證步驟如下:
第一步,用戶使用其與家鄉伺服器共享的密鑰K加密UID信息,得到密文E (K,UID),傳送給接入伺服器,接入伺服器再傳送給本地伺服器;
第二步,本地伺服器將密文E (K,WD)傳輸給家鄉伺服器,並且家鄉伺服器使用自己的私鑰Khs解密E (K, UID),得到用戶的真實身份HD ;
第三步,家鄉伺服器秘密選擇一個隨機數r,之後使用與終端共享的密鑰K加密,將密文E(K,r)隨同其它消息一起發送給終端用戶;
第四步,終端將E(K,r)解密,得到r,然後用於與接入伺服器共享的密鑰1^加密,將密文E(Km,r)發送給接入伺服器;
第五步,接入伺服器將E(Km, r)解密,得到r,然後計算h (r),將h(r)隨同其他消息一起發送給本地伺服器;
第六步,本地伺服器驗證h(r),因為只有合法的接入伺服器才能從E (Kma, r)中得到正確的r,從而認證接入伺服器的合法身份,將會話密鑰PMK加密E (r, PMK)隨同其他消息一起發給接入伺服器;
第七步,接入伺服器解密E(r,PMK),得到會話密鑰。由於因為只有合法的接入端才能得到正確的r,因此可以保證會話密鑰不被竊聽。在該協議中,首先對用戶真實身份WD使用密鑰加密傳輸,避免用戶真實身份信息的洩漏;其次增加對接入端的身份認證。通過用戶發送的E(Km,r)對接入端進行認證,只有合法的接入端才能正確解密,有效防止本地伺服器和接入伺服器之間的網絡監聽,解決了接入端假冒攻擊和用戶假冒攻擊;最後通過隨機數提高會話密鑰的機密性。
權利要求
1.一種基於身份隱替機制的無線異構網絡統一接入認證方法,該方法基於用戶、位置、尋址信息進行分離,創建統一的用戶標識,構建完備的統一標識身份隱替機制,將用戶身份認證所需的標識分離存儲在各個實體上,其特徵在於具體步驟如下: 第一步,用戶使用其與家鄉伺服器共享的密鑰K加密UID信息,得到密文E (K, UID),傳送給接入伺服器,接入伺服器再傳送給本地伺服器; 第二步,本地伺服器將密文E (K,WD)傳輸給家鄉伺服器,並且家鄉伺服器使用自己的私鑰Khs解密E (K, UID),得到用戶的真實身份HD ; 第三步,家鄉伺服器秘密選擇一個隨機數r,之後使用與終端共享的密鑰K加密,將密文E(K,r)隨同其它消息一起發送給終端用戶; 第四步,終端將E(K,r)解密,得到r,然後用於與接入伺服器共享的密鑰1^加密,將密文E(Km,r)發送給接入伺服器; 第五步,接入伺服器將E(Km,r)解密,得到r,然後計算h(r),將h(r)隨同其他消息一起發送給本地伺服器; 第六步,本地伺服器驗證h (r),認證接入伺服器的合法身份,將會話密鑰PMK加密E (r,PMK)隨同其他消息一起發給接入伺服器; 第七步,接入伺服器解密E(r,PMK),得到會話密鑰。
2.根據權利要求1所述的方法,其特徵在於所述的身份隱替機制,其映射模型為:用戶首先發送認證請求,將加密後的UID傳至各實體伺服器進行註冊認證;註冊成功後,各實體伺服器分配相應的標識,並建立對應的映射關係,其中,家鄉伺服器存儲WD,分配HID,建立UID和HID的映射關係;本地伺服器存儲HID,分配LID,建立HID和LID的映射關係;接入伺服器存儲LID,分配AID,建立LID和AID的映射關係;用戶終端存儲AID,建立UID和AID的映射關係。
全文摘要
本發明公開了一種基於身份隱替機制的無線異構網絡統一接入認證方法,屬於無線異構網絡統一接入領域。本發明基於用戶、位置、尋址信息進行分離,創建統一的用戶標識,構建完備的統一標識身份隱替機制,將用戶身份認證所需的標識分離存儲在各個實體上,通過標識的隱藏、替換和更新對用戶敏感信息進行防護。本發明改變了現有技術中不同網絡對同一用戶同時維護多套標識的狀況,用戶只需使用一套標識就能接入所需的網絡,大大降低了維護用戶多套標識的各種開銷;其次對用戶真實身份UID使用密鑰加密傳輸,可有效防護用戶敏感信息在網絡中的洩露。
文檔編號H04W12/06GK103096318SQ20131003936
公開日2013年5月8日 申請日期2013年2月1日 優先權日2013年2月1日
發明者李千目, 茅海雁, 侯君, 戚湧, 劉浩 申請人:無錫南理工科技發展有限公司