• / 24
  • 下載費用:30 金幣  

一種互聯網接入的安全認證方法、系統和設備.pdf

摘要
申請專利號:

CN201010579593.3

申請日:

2010.12.08

公開號:

CN102546523B

公開日:

2015.01.07

當前法律狀態:

授權

有效性:

有權

法律詳情: 授權|||實質審查的生效IPC(主分類):H04L 29/06申請日:20101208|||公開
IPC分類號: H04L29/06; H04L9/32 主分類號: H04L29/06
申請人: 中國電信股份有限公司
發明人: 高歆雅; 解沖鋒; 孫瓊; 李凱
地址: 100032 北京市西城區金融大街31號
優先權:
專利代理機構: 中國國際貿易促進委員會專利商標事務所 11038 代理人: 劉劍波
PDF完整版下載: PDF下載
法律狀態
申請(專利)號:

CN201010579593.3

授權公告號:

102546523B||||||

法律狀態公告日:

2015.01.07|||2013.01.23|||2012.07.04

法律狀態類型:

授權|||實質審查的生效|||公開

摘要

本發明公開的應用于高速交通工具互聯網接入的安全認證方法、系統和設備,包括:MNMS為每個HMG生成一個公鑰和私鑰;將公鑰下發給AP;將每個私鑰分發給對應的HMG;MNMS用私鑰和AP對該HMG的關聯信息生成第一簽名,將生成的第一簽名與AP對HMG的關聯信息一起下發給對應的AP;AP使用公鑰對該下發信息中的第一簽名進行認證,若認證通過則提取該信息中的所述關聯信息保存,向其覆蓋范圍發送廣播通知;HMG判斷該AP是否為合法接入AP,若為合法則該HMG利用私鑰和AP對該HMG的關聯信息生成第二簽名,向該廣播AP發送包含有第二簽名和該HMG身份標識的認證請求;AP使用公鑰對認證請求中的第二簽名進行認證。

權利要求書

1: 一種應用于高速交通工具互聯網接入的安全認證方法, 其特征在于, 包括 : 客戶移動 IP 網管理服務器 MNMS 保存網絡接入點 AP 對高速移動網關 HMG 的關聯信息, 為每個 HMG 生成一個公鑰和私鑰 ; 將公鑰下發給與對應的 HMG 存在關聯服務的 AP, AP 對下 發的公鑰進行保存 ; 將每個私鑰分發給對應的 HMG, HMG 對該 HMG 對應的私鑰進行保存 ; MNMS 針對每個 HMG 分別用該 HMG 對應的私鑰和 AP 對該 HMG 的關聯信息生成第一簽名, 將生成的第一簽名與 AP 對 HMG 的關聯信息一起下發給對應的 AP ; AP 接收到 MNMS 的下發信息后, 使用所述 MNMS 下發的公鑰對該下發信息中的第一簽名 進行認證, 若認證通過則提取該信息中的所述關聯信息保存 ; AP 向其覆蓋范圍發送包含有該 AP 身份標識信息的廣播通知 ; HMG 收到所述廣播通知后, 根據廣播通知中的 AP 身份標識信息判斷該 AP 是否為合法接 入 AP, 若為合法則該 HMG 利用自身的私鑰和該廣播 AP 對該 HMG 的關聯信息生成第二簽名, 向該廣播 AP 發送包含有第二簽名和該 HMG 身份標識的認證請求 ; AP 收到來自 HMG 的認證請求后, 使用所述 MNMS 下發的公鑰對認證請求中的第二簽名進 行認證, 若認證通過, 則根據 HMG 身份標識確認該 HMG 的身份, 身份確認后向該 HMG 發送認 證成功的答復。
2: 根據權利要求 1 所述的方法, 其特征在于, 所述用該 HMG 對應的私鑰和 AP 對該 HMG 的關聯信息生成第一簽名的過程包括 : 將 AP 對該 HMG 的關聯信息進行 Hash 運算, 使用對應 HMG 的私鑰對所得到的 Hash 值進行簽名運 算, 得到第一簽名 ; 所述使用 MNMS 下發的公鑰對該下發信息中的第一簽名進行認證的過程包括 : 對下發 信息中的關聯信息進行 Hash 運算得到 Hash 值, 使用 MNMS 下發的公鑰對該下發信息中的 第一簽名進行認證運算, 判斷得到的認證運算結果是否與所述下發信息中的關聯信息進行 Hash 運算得到 Hash 值下發信息中的關聯信息進行 Hash 運算得到 Hash 值相等, 若是, 則認 證通過 ; 所述 HMG 利用自身的私鑰和該廣播 AP 對該 HMG 的關聯信息生成第二簽名的過程包括 : 將該廣播 AP 對該 HMG 的關聯信息進行 Hash 運算, 使用對應 HMG 的私鑰對所得到的 Hash 值 進行簽名運算, 得到第二簽名 ; 所述使用 MNMS 下發的公鑰對認證請求中的第二簽名進行認證的過程包括 : 從本地查 找本 AP 對該 HMG 的關聯信息, 對該關聯信息進行 Hash 運算得到 Hash 值, 從本地查找該 HMG 對應的公鑰對該認證請求中的第二簽名進行認證運算, 判斷得到的認證運算結果是否與該 關聯信息進行 Hash 運算得到 Hash 值相等, 若是, 則認證通過。
3: 根據權利要求 1 所述的方法, 其特征在于, 所述簽名運算為 S = H^d mod n, 其中 H 為該 HMG 的關聯信息 m 進行 Hash 運算的 Hash 值, 私鑰為 (n, d) ; 所述對簽名進行認證的運算為 V = S^e mod n, 其中, S 為簽名, 公鑰為 (n, e)。
4: 根據權利要求 1 所述的方法, 其特征在于, 所述 HMG 為每個 HMG 生成一個公鑰和私鑰 的過程包括 : 通過 PKCS#1 算法為每個 HMG 隨機生成一對非對稱密鑰私鑰和公鑰。
5: 根據權利要求 1 所述的方法, 其特征在于, 所述 MNMS 中還保存 HMG 對 AP 的關聯信 息。
6: 一種應用于高速交通工具互聯網接入的安全認證系統, 其特征在于, 包括 : 2 客戶移動 IP 網管理服務器 MNMS, 用于保存網絡接入點 AP 對高速移動網關 HMG 的關聯 信息, 為每個 HMG 生成一個公鑰和私鑰 ; 以及針對每個 HMG 分別用該 HMG 對應的私鑰和 AP 對該 HMG 的關聯信息生成第一簽名, 將生成的第一簽名與 AP 對 HMG 的關聯信息一起下發給 對應的 AP ; AP, 用于保存 MNMS 生成的與自身存在關聯服務關系的 HMG 對應的公鑰 ; 在接收到 MNMS 下發的所述第一簽名與 AP 對 HMG 的關聯信息后, 使用本地保存的對應該 HMG 的公鑰對該下 發信息中的第一簽名進行認證, 若認證通過則提取該信息中的所述關聯信息保存 ; 向其覆 蓋范圍發送包含有該 AP 身份標識信息的廣播通知 ; 以及在收到來自 HMG 的認證請求后, 使 用本地保存的該 HMG 對應的公鑰對認證請求中的第二簽名進行認證, 若認證通過, 則根據 HMG 身份標識確認該 HMG 的身份, 身份確認后向該 HMG 發送認證成功的答復 ; HMG, 用于保存 MNMS 生成的與自身對應的私鑰 ; 在收到來自 AP 的廣播通知后, 根據該廣 播通知中的 AP 身份標識信息判斷該 AP 是否為合法接入 AP, 若為合法則該 HMG 利用本地保 存的私鑰和該廣播 AP 對該 HMG 的關聯信息生成第二簽名, 向該廣播 AP 發送包含有第二簽 名和該 HMG 身份標識的認證請求。
7: 根據權利要求 6 所述的系統, 其特征在于, 所述 MNMS 用該 HMG 對應的私鑰和 AP 對 該 HMG 的關聯信息生成第一簽名包括 : 將 AP 對該 HMG 的關聯信息進行 Hash 運算, 使用對應 HMG 的私鑰對所得到的 Hash 值進行簽名運算, 得到第一簽名 ; 所述 AP 使用本地保存的對應該 HMG 的公鑰對該下發信息中的第一簽名進行認證包括 : 對下發信息中的關聯信息進行 Hash 運算得到 Hash 值, 使用 MNMS 下發的公鑰對該下發信息 中的第一簽名進行認證運算, 判斷得到的認證運算結果是否與所述下發信息中的關聯信息 進行 Hash 運算得到 Hash 值下發信息中的關聯信息進行 Hash 運算得到 Hash 值相等, 若是, 則認證通過 ; 所述 AP 使用本地保存的該 HMG 對應的公鑰對認證請求中的第二簽名進行認證 包括 : 從本地查找本 AP 對該 HMG 的關聯信息, 對該關聯信息進行 Hash 運算得到 Hash 值, 從 本地查找該 HMG 對應的公鑰對該認證請求中的第二簽名進行認證運算, 判斷得到的認證運 算結果是否與該關聯信息進行 Hash 運算得到 Hash 值相等, 若是, 則認證通過 ; 所述 HMG 該 HMG 利用本地保存的私鑰和該廣播 AP 對該 HMG 的關聯信息生成第二簽名 包括 : 將該廣播 AP 對該 HMG 的關聯信息進行 Hash 運算, 使用本地保存的私鑰對所得到的 Hash 值進行簽名運算, 得到第二簽名。
8: 根據權利要求 6 所述的系統, 其特征在于, 所述簽名運算為 S = H^d mod n, 其中 H 為該 HMG 的關聯信息 m 進行 Hash 運算的 Hash 值, 私鑰為 (n, d) ; 所述對簽名進行認證的運算為 V = S^e mod n, 其中, S 為簽名, 公鑰為 (n, e)。
9: 根據權利要求 6 所述的系統, 其特征在于, 所述 HMG 為每個 HMG 生成一個公鑰和私鑰 包括 : 通過 PKCS#1 算法為每個 HMG 隨機生成一對非對稱密鑰私鑰和公鑰。
10: 根據權利要求 6 所述的系統, 其特征在于, 所述 MNMS 中還保存 HMG 對 AP 的關聯信 息。
11: 一種客戶移動 IP 網管理服務器 MNMS, 其特征在于, 包括 : 高速移動網關 HMG 密鑰生成配置模塊, 用于為每個 HMG 生成一個公鑰和私鑰 ; HMG-AP 管理模塊, 用于管理該 MNMS 下的所有 AP 信息, 向對 HMG 存在關聯服務的 AP 下 發該 HMG 對應的公鑰, 以及針對每個 HMG 分別用該 HMG 對應的私鑰和網絡接入點 AP 對該 3 HMG 的關聯信息生成第一簽名, 將生成的第一簽名與 AP 對 HMG 的關聯信息一起下發給對應 的 AP ; MNMS 管理數據庫模塊, 用于保存生成的所述公鑰, 以及網絡接入點 AP 對高速移動網關 HMG 的關聯信息。
12: 根據權利要求 11 所述的客戶移動 IP 網管理服務器, 其特征在于, 所述 MNMS 用該 HMG 對應的私鑰和 AP 對該 HMG 的關聯信息生成第一簽名包括 : 將 AP 對該 HMG 的關聯信息 進行 Hash 運算, 使用對應 HMG 的私鑰對所得到的 Hash 值進行簽名運算, 得到第一簽名。
13: 根據權利要求 11 所述的客戶移動 IP 網管理服務器, 其特征在于, 所述簽名運算為 S = H^d mod n, 其中 H 為該 HMG 的關聯信息 m 進行 Hash 運算的 Hash 值, 私鑰為 (n, d)。
14: 根據權利要求 11 所述的客戶移動 IP 網管理服務器, 其特征在于, 所述 MNMS 管理數 據庫模塊中還保存 HMG 對 AP 的關聯信息。
15: 一種網絡接入點 AP 設備, 其特征在于, 包括 : AP 數據庫模塊, 用于保存客戶移動 IP 網管理服務器 MNMS 生成的與自身存在關聯服務 關系的高速移動網關 HMG 對應的公鑰, 以及 AP 對 HMG 的關聯信息 ; 認證模塊, 用于在接收到 MNMS 下發的所述第一簽名與 AP 對 HMG 的關聯信息后, 使用 AP 數據庫模塊中保存的對應該 HMG 的公鑰對該下發信息中的第一簽名進行認證, 若認證通過 則提取該信息中的所述關聯信息保存在所述 AP 數據庫模塊 ; 向其覆蓋范圍發送包含有該 AP 身份標識信息的廣播通知 ; 以及在收到來自 HMG 的認證請求后, 使用 AP 數據庫模塊中保 存的該 HMG 對應的公鑰對認證請求中的第二簽名進行認證, 若認證通過, 則根據 HMG 身份標 識確認該 HMG 的身份, 身份確認后向該 HMG 發送認證成功的答復。
16: 根據權利要求 15 所述的網絡接入點設備, 其特征在于, 所述認證模塊使用 AP 數據 庫模塊中保存的對應該 HMG 的公鑰對該下發信息中的第一簽名進行認證包括 : 對下發信息 中的關聯信息進行 Hash 運算得到 Hash 值, 使用 MNMS 下發的公鑰對該下發信息中的第一 簽名進行認證運算, 判斷得到的認證運算結果是否與所述下發信息中的關聯信息進行 Hash 運算得到 Hash 值下發信息中的關聯信息進行 Hash 運算得到 Hash 值相等, 若是, 則認證通 過; 所述認證模塊使用 AP 數據庫模塊中保存的該 HMG 對應的公鑰對認證請求中的第二簽 名進行認證包括 : 從本地查找本 AP 對該 HMG 的關聯信息, 對該關聯信息進行 Hash 運算得到 Hash 值, 從本地查找該 HMG 對應的公鑰對該認證請求中的第二簽名進行認證運算, 判斷得 到的認證運算結果是否與該關聯信息進行 Hash 運算得到 Hash 值相等, 若是, 則認證通過。
17: 根據權利要求 15 所述的網絡接入點設備, 其特征在于, 所述對簽名進行認證的運 算為 V = S^e mod n, 其中, S 為簽名, 公鑰為 (n, e)。
18: 一種高速移動網關 HMG 設備, 其特征在于, 包括 : HMG 數據庫模塊, 用于保存客戶移動 IP 網管理服務器 MNMS 生成的與自身對應的私鑰, 以及網絡接入點 AP 對該 HMG 的關聯信息 ; 認證模塊, 用于在收到來自 AP 的廣播通知后, 根據該廣播通知中的 AP 身份標識信息判 斷該 AP 是否為合法接入 AP ; 密鑰生成模塊, 用于在認證模塊判定為合法后, 利用 HMG 數據庫模塊中保存的私鑰和 該廣播 AP 對該 HMG 的關聯信息生成第二簽名, 向該廣播 AP 發送包含有第二簽名和該 HMG 4 身份標識的認證請求。
19: 根據權利要求 18 所述的高速移動網關設備, 所述生成第二簽名的運算為 S = H^d mod n, 其中 H 為該 HMG 的關聯信息 m 進行 Hash 運算的 Hash 值, 私鑰為 (n, d)。

說明書


一種互聯網接入的安全認證方法、 系統和設備

    技術領域 本發明涉及網絡接入技術, 特別是指一種應用于高速交通工具互聯網接入的安全 認證方法、 系統和設備。
     背景技術 隨著高鐵和飛機等移動高速交通工具的日益普及和發展, 用戶在移動交通工具上 的網絡服務也成為了互聯網研究的熱點。 然而, 單單依靠傳統的移動網絡技術, 無法提供給 用戶足夠的接入帶寬和大量用戶的接入需求, 無法滿足高速移動的交通工具上的網絡接入 需求。
     現有專為高速鐵路制定的新型的移動互聯網協議 (IP) 網方案可以實現路由建立 過程和數據傳輸的同步進行。該方案根據當前的網絡位置選擇和高速交通工具的路徑信 息, 在高速移動過程中, 提前選擇最近或者最佳的 IP 接入點 (AP) 為下一個即將接入的 IP 接入點 AP, 并為客戶網絡建立新路由, 這樣移動 IP 網在切換到新的 IP 接入點時直接進入到 數據流傳輸環節, 減小了切換的時間, 提升了切換質量, 保證了上層業務性能。客戶移動 IP 網接入互聯網, 實現互聯網數據的轉發。
     目前電信運營商的主要接入認證方式為以太網上的點對點協議 (PPPoE) 和以太 網 IP 協議 (IPoE)。然而與有線接入的場景不同, 無線環境下, 認證系統難以基于有線接入 線路的穩定二層 ID 捆綁關聯來保證接入網絡的用戶身份, 非法用戶的網絡侵入到移動核 心網的風險在增加 ; 另外, 由于客戶網絡在和特定 AP 之間也有頻繁的接入退出機制, IP 接 入點 AP 在無線接入環境下判定用戶網絡的合法性難度更大。 而且不論 PPPoE 或者 IPoE, 用 戶都需要經過復雜的認證機制, 而且這些認證對設備處理性能、 內存資源需求較高, 并都需 要一個等待過程來完成認證, 無法適應移動 IP 網絡的快速接入要求。因此, 迫切需要新的 方法來保證系統的安全性。
     移動 IP 網絡的特性是, 在接入到新的接入點時, 上層應用會話還在進行數據通 信, 因此安全認證機制必需保證上層業務的性能。 在高速移動過程中, 用戶網絡在不同的時 候接入到不同的接入點, 也就是會發生接入點 AP 的切換, 因而系統的安全認證必須速度要 快, 不能因為接入認證過程占用太大的時間開銷而導致上層應用的會話發生中斷, 從而嚴 重影響業務的性能。 由于互聯網的高度開放性, 網絡上存在許多惡意用戶, 他們利用網絡或 者系統漏洞非法入侵網絡、 竊取數據或者占用網絡資源。 因此, 接入網絡的實體進行安全認 證和數據完整性的檢查對于網絡的安全和暢通十分重要。
     目前全球正在掀起高速鐵路建設熱潮。俄羅斯、 西班牙等國紛紛投入巨資。鐵路 建設正在進入一個大時代, 中國非常有希望成為全球的領跑者。到 2012 年, 中國將建成高 速鐵路 1.3 萬公里, 成為世界第一。按照 《中長期鐵路網規劃》 , 確定到 2020 年我國高速鐵 路 ( 以下簡稱高鐵 ) 總規模為 1.8 萬公里, 將占世界高速鐵路總里程的一半以上。高速鐵 路具有移動速度快、 路線固定、 乘客眾多等特點。由于眾多乘客, 決定了傳統的移動網絡技 術無法滿足如此多的用戶同時接入的要求 ; 而高鐵的高速移動性, 也導致了傳統的固定網
     絡接入技術在高鐵上無用武之地。如何利用高速鐵路具有的特點, 設計合適高速鐵路的接 入認證體系, 是目前的當務之急。
     與一般的家用互聯網不同, 在高鐵等高速交通工具內部, 需要實現的是在高速移 動過程中接入互聯網, 因此對高速交通工具的上網認證既要保證安全又要保證高效。然而 目前還沒有針對這種新型的在高鐵等高速交通工具中, 提供上網服務場景的, 可靠有效的 接入認證方案。 發明內容
     有鑒于此, 本發明的目的在于提出一種可運營、 可管理的移動 IP 網快速而安全地 接入認證方法和系統, 滿足高速交通工具上互聯網接入的需求。
     基于上述目的本發明提供的一種應用于高速交通工具互聯網接入的安全認證方 法, 包括 :
     客戶移動 IP 網管理服務器 MNMS 保存網絡接入點 AP 對高速移動網關 HMG 的關聯信 息, 為每個 HMG 生成一個公鑰和私鑰 ; 將公鑰下發給與對應的 HMG 存在關聯服務的 AP, AP 對 下發的公鑰進行保存 ; 將每個私鑰分發給對應的 HMG, HMG 對該 HMG 對應的私鑰進行保存 ; MNMS 針對每個 HMG 分別用該 HMG 對應的私鑰和 AP 對該 HMG 的關聯信息生成第一 簽名, 將生成的第一簽名與 AP 對 HMG 的關聯信息一起下發給對應的 AP ;
     AP 接收到 MNMS 的下發信息后, 使用所述 MNMS 下發的公鑰對該下發信息中的第一 簽名進行認證, 若認證通過則提取該信息中的所述關聯信息保存 ;
     AP 向其覆蓋范圍發送包含有該 AP 身份標識信息的廣播通知 ;
     HMG 收到所述廣播通知后, 根據廣播通知中的 AP 身份標識信息判斷該 AP 是否為合 法接入 AP, 若為合法則該 HMG 利用自身的私鑰和該廣播 AP 對該 HMG 的關聯信息生成第二簽 名, 向該廣播 AP 發送包含有第二簽名和該 HMG 身份標識的認證請求 ;
     AP 收到來自 HMG 的認證請求后, 使用所述 MNMS 下發的公鑰對認證請求中的第二簽 名進行認證, 若認證通過, 則根據 HMG 身份標識確認該 HMG 的身份, 身份確認后向該 HMG 發 送認證成功的答復。
     可選的, 該方法所述用該 HMG 對應的私鑰和 AP 對該 HMG 的關聯信息生成第一簽名 的過程包括 : 將 AP 對該 HMG 的關聯信息進行 Hash 運算, 使用對應 HMG 的私鑰對所得到的 Hash 值進行簽名運算, 得到第一簽名 ;
     所述使用 MNMS 下發的公鑰對該下發信息中的第一簽名進行認證的過程包括 : 對 下發信息中的關聯信息進行 Hash 運算得到 Hash 值, 使用 MNMS 下發的公鑰對該下發信息中 的第一簽名進行認證運算, 判斷得到的認證運算結果是否與所述下發信息中的關聯信息進 行 Hash 運算得到 Hash 值下發信息中的關聯信息進行 Hash 運算得到 Hash 值相等, 若是, 則 認證通過 ;
     所述 HMG 利用自身的私鑰和該廣播 AP 對該 HMG 的關聯信息生成第二簽名的過程 包括 : 將該廣播 AP 對該 HMG 的關聯信息進行 Hash 運算, 使用對應 HMG 的私鑰對所得到的 Hash 值進行簽名運算, 得到第二簽名 ;
     所述使用 MNMS 下發的公鑰對認證請求中的第二簽名進行認證的過程包括 : 從本 地查找本 AP 對該 HMG 的關聯信息, 對該關聯信息進行 Hash 運算得到 Hash 值, 從本地查找
     該 HMG 對應的公鑰對該認證請求中的第二簽名進行認證運算, 判斷得到的認證運算結果是 否與該關聯信息進行 Hash 運算得到 Hash 值相等, 若是, 則認證通過。
     可選的, 該方法所述簽名運算為 S = H^d mod n, 其中 H 為該 HMG 的關聯信息 m 進 行 Hash 運算的 Hash 值, 私鑰為 (n, d) ;
     所述對簽名進行認證的運算為 V = S^e mod n, 其中, S 為簽名, 公鑰為 (n, e)。
     可 選 的, 該 方 法 所 述 HMG 為 每 個 HMG 生 成 一 個 公 鑰 和 私 鑰 的 過 程 包 括 : 通過 PKCS#1 算法為每個 HMG 隨機生成一對非對稱密鑰私鑰和公鑰。
     可選的, 該方法所述 MNMS 中還保存 HMG 對 AP 的關聯信息。
     在本發明的另一方面, 還提供了一種應用于高速交通工具互聯網接入的安全認證 系統, 包括 :
     客戶移動 IP 網管理服務器 MNMS, 用于保存網絡接入點 AP 對高速移動網關 HMG 的 關聯信息, 為每個 HMG 生成一個公鑰和私鑰 ; 以及針對每個 HMG 分別用該 HMG 對應的私鑰和 AP 對該 HMG 的關聯信息生成第一簽名, 將生成的第一簽名與 AP 對 HMG 的關聯信息一起下發 給對應的 AP ;
     AP, 用于保存 MNMS 生成的與自身存在關聯服務關系的 HMG 對應的公鑰 ; 在接收到 MNMS 下發的所述第一簽名與 AP 對 HMG 的關聯信息后, 使用本地保存的對應該 HMG 的公鑰 對該下發信息中的第一簽名進行認證, 若認證通過則提取該信息中的所述關聯信息保存 ; 向其覆蓋范圍發送包含有該 AP 身份標識信息的廣播通知 ; 以及在收到來自 HMG 的認證請求 后, 使用本地保存的該 HMG 對應的公鑰對認證請求中的第二簽名進行認證, 若認證通過, 則 根據 HMG 身份標識確認該 HMG 的身份, 身份確認后向該 HMG 發送認證成功的答復 ; HMG, 用于保存 MNMS 生成的與自身對應的私鑰 ; 在收到來自 AP 的廣播通知后, 根據 該廣播通知中的 AP 身份標識信息判斷該 AP 是否為合法接 AP, 若為合法則該 HMG 利用本地 保存的私鑰和該廣播 AP 對該 HMG 的關聯信息生成第二簽名, 向該廣播 AP 發送包含有第二 簽名和該 HMG 身份標識的認證請求。
     可選的, 該系統所述 MNMS 用該 HMG 對應的私鑰和 AP 對該 HMG 的關聯信息生成第 一簽名包括 : 將 AP 對該 HMG 的關聯信息進行 Hash 運算, 使用對應 HMG 的私鑰對所得到的 Hash 值進行簽名運算, 得到第一簽名 ;
     所述 AP 使用本地保存的對應該 HMG 的公鑰對該下發信息中的第一簽名進行認證 包括 : 對下發信息中的關聯信息進行 Hash 運算得到 Hash 值, 使用 MNMS 下發的公鑰對該下 發信息中的第一簽名進行認證運算, 判斷得到的認證運算結果是否與所述下發信息中的關 聯信息進行 Hash 運算得到 Hash 值下發信息中的關聯信息進行 Hash 運算得到 Hash 值相等, 若是, 則認證通過 ; 所述 AP 使用本地保存的該 HMG 對應的公鑰對認證請求中的第二簽名進 行認證包括 : 從本地查找本 AP 對該 HMG 的關聯信息, 對該關聯信息進行 Hash 運算得到 Hash 值, 從本地查找該 HMG 對應的公鑰對該認證請求中的第二簽名進行認證運算, 判斷得到的 認證運算結果是否與該關聯信息進行 Hash 運算得到 Hash 值相等, 若是, 則認證通過 ;
     所述 HMG 該 HMG 利用本地保存的私鑰和該廣播 AP 對該 HMG 的關聯信息生成第二 簽名包括 : 將該廣播 AP 對該 HMG 的關聯信息進行 Hash 運算, 使用本地保存的私鑰對所得到 的 Hash 值進行簽名運算, 得到第二簽名。
     可選的, 該系統所述簽名運算為 S = H^d mod n, 其中 H 為該 HMG 的關聯信息 m 進
     行 Hash 運算的 Hash 值, 私鑰為 (n, d) ;
     所述對簽名進行認證的運算為 V = S^e mod n, 其中, S 為簽名, 公鑰為 (n, e)。
     可選的, 該系統所述 HMG 為每個 HMG 生成一個公鑰和私鑰包括 : 通過 PKCS#1 算法 為每個 HMG 隨機生成一對非對稱密鑰私鑰和公鑰。
     可選的, 該系統所述 MNMS 中還保存 HMG 對 AP 的關聯信息。
     在本發明的另一方面, 還提供了一種客戶移動 IP 網管理服務器 MNMS, 包括 :
     高速移動網關 HMG 密鑰生成配置模塊, 用于為每個 HMG 生成一個公鑰和私鑰 ;
     HMG-AP 管理模塊, 用于管理該 MNMS 下的所有 AP 信息, 向對 HMG 存在關聯服務的 AP 下發該 HMG 對應的公鑰, 以及針對每個 HMG 分別用該 HMG 對應的私鑰和網絡接入點 AP 對該 HMG 的關聯信息生成第一簽名, 將生成的第一簽名與 AP 對 HMG 的關聯信息一起下發給對應 的 AP ;
     MNMS 管理數據庫模塊, 用于保存生成的所述公鑰, 以及網絡接入點 AP 對高速移動 網關 HMG 的關聯信息。
     可選的, 該客戶移動 IP 網管理服務器所述 MNMS 用該 HMG 對應的私鑰和 AP 對該 HMG 的關聯信息生成第一簽名包括 : 將 AP 對該 HMG 的關聯信息進行 Hash 運算, 使用對應 HMG 的 私鑰對所得到的 Hash 值進行簽名運算, 得到第一簽名。 可選的, 該客戶移動 IP 網管理服務器所述簽名運算為 S = H^d modn, 其中 H 為該 HMG 的關聯信息 m 進行 Hash 運算的 Hash 值, 私鑰為 (n, d)。
     可選的, 該客戶移動 IP 網管理服務器所述 MNMS 管理數據庫模塊中還保存 HMG 對 AP 的關聯信息。
     在本發明的另一方面, 本發明還提供了一種網絡接入點 AP 設備, 包括 :
     AP 數據庫模塊, 用于保存客戶移動 IP 網管理服務器 MNMS 生成的與自身存在關聯 服務關系的高速移動網關 HMG 對應的公鑰, 以及 AP 對 HMG 的關聯信息 ;
     認證模塊, 用于在接收到 MNMS 下發的所述第一簽名與 AP 對 HMG 的關聯信息后, 使 用 AP 數據庫模塊中保存的對應該 HMG 的公鑰對該下發信息中的第一簽名進行認證, 若認證 通過則提取該信息中的所述關聯信息保存在所述 AP 數據庫模塊 ; 向其覆蓋范圍發送包含 有該 AP 身份標識信息的廣播通知 ; 以及在收到來自 HMG 的認證請求后, 使用 AP 數據庫模塊 中保存的該 HMG 對應的公鑰對認證請求中的第二簽名進行認證, 若認證通過, 則根據 HMG 身 份標識確認該 HMG 的身份, 身份確認后向該 HMG 發送認證成功的答復。
     可選的, 該網絡接入點設備所述認證模塊使用 AP 數據庫模塊中保存的對應該 HMG 的公鑰對該下發信息中的第一簽名進行認證包括 : 對下發信息中的關聯信息進行 Hash 運 算得到 Hash 值, 使用 MNMS 下發的公鑰對該下發信息中的第一簽名進行認證運算, 判斷得到 的認證運算結果是否與所述下發信息中的關聯信息進行 Hash 運算得到 Hash 值下發信息中 的關聯信息進行 Hash 運算得到 Hash 值相等, 若是, 則認證通過 ;
     所述認證模塊使用 AP 數據庫模塊中保存的該 HMG 對應的公鑰對認證請求中的第 二簽名進行認證包括 : 從本地查找本 AP 對該 HMG 的關聯信息, 對該關聯信息進行 Hash 運算 得到 Hash 值, 從本地查找該 HMG 對應的公鑰對該認證請求中的第二簽名進行認證運算, 判 斷得到的認證運算結果是否與該關聯信息進行 Hash 運算得到 Hash 值相等, 若是, 則認證通 過。
     可選的, 該網絡接入點設備, 所述對簽名進行認證的運算為 V = S^e mod n, 其中, S 為簽名, 公鑰為 (n, e)。
     在本發明的另一方面, 還提供了一種高速移動網關 HMG 設備, 包括 :
     HMG 數據庫模塊, 用于保存客戶移動 IP 網管理服務器 MNMS 生成的與自身對應的私 鑰, 以及網絡接入點 AP 對該 HMG 的關聯信息 ;
     認證模塊, 用于在收到來自 AP 的廣播通知后, 根據該廣播通知中的 AP 身份標識信 息判斷該 AP 是否為合法接入 AP ;
     密鑰生成模塊, 用于在認證模塊判定為合法后, 利用 HMG 數據庫模塊中保存的私 鑰和該廣播 AP 對該 HMG 的關聯信息生成第二簽名, 向該廣播 AP 發送包含有第二簽名和該 HMG 身份標識的認證請求。
     可選的, 該高速移動網關設備, 所述生成第二簽名的運算為 S = H^d mod n, 其中 H 為該 HMG 的關聯信息 m 進行 Hash 運算的 Hash 值, 私鑰為 (n, d)。
     從上面所述可以看出, 本發明提供的應用于高速交通工具互聯網接入的安全認證 方法、 系統和設備, 能夠在高速移動、 設備切換頻繁條件下, 實現移動 IP 網的快速接入和認 證能力, 可靠防范非法接入和入侵。方案不用修改用戶終端以及網絡中的其他設備。并且 具有如下特點和優點 :
     1、 基于數字證書的高速移動 IP 網認證方式
     不同于傳統的基于密碼交換的用戶認證方式, 本發明采用了數字證書作為認證位 于快速交通工具中的移動 IP 網的認證手段。各個 HMG 網關使用由 MNMS 專門為 HMG 設定的 私鑰對申請消息的 HASH 進行加密簽名, 各個 AP 使用 HMG 的公鑰對其進行驗證。這樣既保 證了消息的完整性和不可篡改性, 同時也實現了對 HMG 身份的快速驗證, 保證了用戶體驗。 由于生成數字證的私鑰不需要在無線網絡中傳輸, 黑客難以獲得, 因此該方法中的認證信 息不容易偽造, 極大提高了認證的準確性和安全性。
     2、 AP 中的本地認證機制
     本發明綜合利用交通工具的路徑信息和網絡 AP 節點的位置信息, 在 MNMS 中提前 生成 AP 和 HMG 的服務關聯記錄。為了提高認證速度, MNMS 提前將該 AP 所服務的所有 HMG 信息下發到 AP 的本地數據庫中。AP 在接收到 HMG 的認證求后, 為了驗證 HMG 認證消息的數 據完整性和數據源真實性, HMG 直接在本地數據庫中查詢確認該 HMG 的身份以及公鑰, 不需 要到集中式的大數據庫中去執行查詢。而且 AP 的本地數據庫針對 AP 進行了量身定做, 剔 除了不必要的 HMG 數據, 因此數據量小, 將會大大提高查詢 HMG 身份的速度。本方案的另外 一個好處是, 每個 AP 也不要直接要求 HMG 提交自己的公鑰, 由 AP 直接從 MNMS 中獲取, 降低 了系統的復雜度。
     3、 面向公共 HMG 公鑰的安全下發機制
     本發明方案中, MNMS 負責統一管理 HMG 的信息以及認證公鑰 / 私鑰對的生成。為 了安全地將 HMG 公鑰等信息安全下發到各 AP 中, 需要確保 MNMS-AP 間傳輸數據的完整性和 數據源的真實性, 本發明中采用了數字簽名的方式來達到以上目的。這種方法的好處是 AP 中只要提前配備 HMG 的公鑰, 就可以安全地獲得真正的 HMG 公鑰。 附圖說明圖 1 為本發明實施例移動 IP 網絡的快速接入認證系統組成示意圖 ; 圖 2 為本發明實施例 MNMS 的結構示意圖 ; 圖 3 為本發明實施例 AP 的結構示意圖 ; 圖 4 為本發明實施例 HMG 的結構示意圖 ; 圖 5 為本發明實施例 AP 到 HMG 認證的總體流程示意圖 ; 圖 6 為本發明實施例 MNMS、 AP、 HMG 的配置過程的流程示意圖 ; 圖 7 為本發明實施例 HMG 接入認證流程示意圖 ; 圖 8 為本發明實施例 AP 發出的廣播通知的格式示意圖 ; 圖 9 為本發明實施例 HMG 發出的認證請求數據包的格式示意圖 ; 圖 10 為本發明實施例 AP 向 HMG 回復數據包的格式示意圖。具體實施方式
     為使本發明的目的、 技術方案和優點更加清楚明白, 以下結合具體實施例, 并參照 附圖, 對本發明進一步詳細說明。
     本發明實施例應用于高速交通工具互聯網接入的安全認證系統結構, 參見圖 1 所 示。 在圖 1 中的移動 IP 核心網, 提供移動 IP 網管理和數據轉發服務, 移動 IP 網將通 過移動核心網實現接入互聯網。 安全認證系統組成主要包括高速移動網關 (HMG)、 網絡接入 點 (AP)、 客戶移動 IP 網管理服務器 (MNMS) 三部分, 分別介紹如下 :
     HMG, 位于高速交通工具內的 IP 路由器設備, 是移動 IP 網中終端對外通信的關口 設備, 也是客戶側實施認證功能的關鍵設備。在實施例中其功能主要包括 : 用于保存 MNMS 生成的與自身對應的私鑰 ; 在收到來自 AP 的廣播通知后, 根據該廣播通知中的 AP 身份標識 信息判斷該 AP 是否為合法接入 AP, 若為合法則該 HMG 利用本地保存的私鑰和該廣播 AP 對 該 HMG 的關聯信息生成第二簽名, 向該廣播 AP 發送包含有第二簽名和該 HMG 身份標識的認 證請求。
     此外, HMG 還可以對內負責匯聚接入所有的用戶終端, 向用戶終端分配 IPv4/IPv6 地址, 提供互聯網接入服務 ; 對外通過移動接入鏈路接入到移動核心網中, 向移動核心網的 AP 接入點提供的認證信息以進行注冊請求, 并通告自己的 IPv4/IPv6 地址前綴 ; 通過接入 點接入到移動核心網絡后, HMG 負責轉發用戶終端發送到公網和從公網接收到的流量。HMG 維護所需接入點的名稱及自身加密私鑰及公鑰, 通過與 AP 的密切配合, 實現高速移動型客 戶網絡并代理本移動 IP 網內所有節點的快速認證功能。
     AP, 位于移動 IP 核心網邊緣的 IP 接入點設備, AP 需實現和 HMG 節點間相互發現、 鏈路建立、 身份認證、 路由配置及數據包轉發等相關功能。在實施例中其功能主要包括 : 用 于保存 MNMS 生成的與自身存在關聯服務關系的 HMG 對應的公鑰 ; 在接收到 MNMS 下發的所 述第一簽名與 AP 對 HMG 的關聯信息后, 使用本地保存的對應該 HMG 的公鑰對該下發信息中 的第一簽名進行認證, 若認證通過則提取該信息中的所述關聯信息保存 ; 向其覆蓋范圍發 送包含有該 AP 身份標識信息的廣播通知 ; 以及在收到來自 HMG 的認證請求后, 使用本地保 存的該 HMG 對應的公鑰對認證請求中的第二簽名進行認證, 若認證通過, 則根據 HMG 身份標 識確認該 HMG 的身份, 身份確認后向該 HMG 發送認證成功的答復。
     為了支持本發明提出的認證功能, AP 本地維護的信息包括 : 可能接入其下的所有 HMG 的 ID 和 HMG 的公鑰信息。 此外, AP 中還可保存 : 需接入本 AP 設備的所有移動 IP 網 ( 該 移動 IP 網主要是 HMG) 的認證密碼信息。ID 信息和公鑰信息用來認證 HMG 的可接入性, 通 過認證密碼提供 HMG 認證基礎。作為網絡側的關鍵設備, AP 將和 HMG 配合實現對面向高速 交通工具的移動型客戶網 MN 絡的快速認證功能 ; 還通過與 MNMS 的配合, 共同完成移動客戶 IP 網 MN 的管理功能。
     MNMS, 是結合高速交通工具路徑信息和實時的 MN 信息管理進行認證數據維護的 服務器。在實施例中其功能主要包括 : 用于保存 AP 對 HMG 的關聯信息, 為每個 HMG 生成一 個公鑰和私鑰 ; 以及針對每個 HMG 分別用該 HMG 對應的私鑰和 AP 對該 HMG 的關聯信息生成 第一簽名, 將生成的第一簽名與 AP 對 HMG 的關聯信息一起下發給對應的 AP。
     此外, 該 MNMS 還根據每個移動 IP 網的運行路徑數據, 建立 AP 和移動 IP 網的服務 管理數據庫, 提前生成并存儲每個移動 IP 網的 AP 信息。針對每個特定的移動 IP 網, 建立 服務于該移動 IP 網的 AP 集合 AP_SET(MN), 同時針對每個 AP, 也生成被該 AP 服務的所有的 移動 IP 網集合 MN_SET(AP)。生成這些信息后, MNMS 保存所有移動 IP 網的 HMG 的密鑰和認 證密碼, 配合 AP 進行 HMG 的公鑰及認證密鑰的下發及節點接入的管理功能, 實現 MN/HMG 的 配置和安全信息管理功能。 MNMS 中存放的移動 IP 網 ( 該移動 IP 網主要是 HMG) 的屬性信息主要包括 :
     ——各接入移動 IP 網的 HMG 網絡標識 HMG_ID ;
     ——各接入移動 IP 網的 HMG 的公鑰 HMG__Public_Key ;
     AP 的如下屬性信息 :
     ——各接入移動 IP 網的 AP 網絡標識 AP_ID ;
     ——各接入 AP 位置信息。
     由于每個 AP 只是服務一部分 HMG 提供服務, 公共快速交通工具的路徑固定且重復 的特性, 每個 MNMS 維護可以比較容易地獲知每個 AP 及其服務的 HMG 的關聯關系, 因此 MNMS 也需要維護每個 AP 與其服務的 HMG 的之間的關聯關系, 該關聯關系記錄將是提高對 HMG 認 證速度的關鍵因素之一, 該信息關聯記錄包括 :
     —— {AP_ID, HMG_ID, HMG_Public_Key} :
     ——其他可能信息。
     此外, 與本系統相關的還包括 :
     用戶終端, 高速移動型網絡的用戶終端設備指接入移動客戶 IP 網節點 HMG 下的各 種終端設備。該終端設備可以為筆記本電腦、 平板電腦、 手機或其他任何可以獲取 IP 地址 并通過 Wifi 或其他方式連接至互聯網的終端設備。該用戶終端可以是雙棧 IPv4/IPv6 終 端、 純 IPv4 終端或者純 IPv6 終端設備。
     通過上述 MNMS、 AP 和 HMG 三個設備之間的緊密配合, 實現在 IP 層對于移動 IP 網 的快速認證。下面對該三個設備內部結構進行說明。
     本發明中 MNMS 一個實施例的結構參見圖 2 所示, 主要包括 : HMG 密鑰生成配置模 塊、 MNMS 管理數據庫模塊及 HMG-AP 管理模塊。
     其中, HMG 密鑰生成配置模塊, 用于為每個 HMG 生成一個公鑰和私鑰 ; 以及針對每 個 HMG 分別用該 HMG 對應的私鑰和 AP 對該 HMG 的關聯信息生成第一簽名。
     MNMS 可將 HMG 密鑰生成配置模塊生成的私鑰導出, 并通過人工分發或者其它安全 通道傳送并配置到每個 HMG 上。MNMS 將生成的公鑰和該 HMG 關聯并保存在本地 MNMS 管理 數據庫模塊中。
     HMG-AP 管理模塊, 用于管理該 MNMS 下的所有 AP 信息, 向對 HMG 存在關聯服務的 AP 下發該 HMG 對應的公鑰, 以及針對每個 HMG 分別用該 HMG 對應的私鑰和網絡接入點 AP 對該 HMG 的關聯信息生成第一簽名, 將生成的第一簽名與 AP 對 HMG 的關聯信息一起下發給對應 的 AP。
     其中, 所述 MNMS 用該 HMG 對應的私鑰和 AP 對該 HMG 的關聯信息生成第一簽名的 過程可以包括 : 將 AP 對該 HMG 的關聯信息進行 Hash 運算, 使用對應 HMG 的私鑰對所得到 的 Hash 值進行簽名運算, 得到第一簽名。所述簽名運算可以為 S = H^d mod n, 其中 H 為該 HMG 的關聯信息 m 進行 Hash 運算的 Hash 值, 私鑰為 (n, d)。
     MNMS 管理數據庫模塊, 用于保存生成的所述公鑰, 以及 AP 對 HMG 的關聯信息。另 外, 還可以保存 HMG 的身份標識 (ID) 等相關屬性信息, 并還可以保存每個 HMG 對 AP 的關聯 關系。優選的, 在 MNMS 管理數據庫模塊中, 對同一 HMG 的屬性信息、 公鑰、 AP 對 HMG 的關聯 信息、 HMG 對 AP 的關聯關系等綁定保存。 此外, 為了實現信息發送和接收, 在 MNMS 中還配置有對外接口, 包括 : 系統管理員 接口和 AP 接口。
     系統管理員接口 : 管理整體系統信息。
     AP 接口, 用于對 AP 進行 HMG 公鑰下發和關聯。
     另外, 若需要 MNMS 也可以進一步配置與 HMG 的接口, 用于將 HMG 的私鑰, 以及 AP 對 HMG 的關聯關系等相關信息發送到 HMG。
     本發明中 AP 的一個實施例的結構參見圖 3 所示, 主要包括 :
     AP 數據庫模塊, 用于保存客戶移動 IP 網管理服務器 MNMS 生成的與自身存在關聯 服務關系的高速移動網關 HMG 對應的公鑰, 以及 AP 對 HMG 的關聯信息 ; 另外, 還可以保存與 本 AP 有關聯的 HMG 的 ID 等信息。優選的, 在 AP 數據庫模塊中, 對同一 HMG 的公鑰、 AP 對 HMG 的關聯信息等綁定保存。
     認證模塊, 主要管理 MNMS 和 HMG 的接入, 通過驗證 MNMS 和 HMG 的數字簽名有效性 快速實現對 MNMS 和 HMG 的認證。具體包括 : 用于在接收到 MNMS 下發的所述第一簽名與 AP 對 HMG 的關聯信息后, 使用 AP 數據庫模塊中保存的對應該 HMG 的公鑰對該下發信息中的第 一簽名進行認證, 若認證通過則提取該信息中的所述關聯信息保存在所述 AP 數據庫模塊 ; 向其覆蓋范圍發送包含有該 AP 身份標識信息的廣播通知 ; 以及在收到來自 HMG 的認證請求 后, 使用 AP 數據庫模塊中保存的該 HMG 對應的公鑰對認證請求中的第二簽名進行認證, 若 認證通過, 則根據 HMG 身份標識確認該 HMG 的身份, 身份確認后向該 HMG 發送認證成功的答 復。
     其中, 所述認證模塊使用 AP 數據庫模塊中保存的對應該 HMG 的公鑰對該下發信 息中的第一簽名進行認證的過程可以包括 : 對下發信息中的關聯信息進行 Hash 運算得到 Hash 值, 使用 MNMS 下發的公鑰對該下發信息中的第一簽名進行認證運算, 判斷得到的認證 運算結果是否與所述下發信息中的關聯信息進行 Hash 運算得到 Hash 值下發信息中的關聯 信息進行 Hash 運算得到 Hash 值相等, 若是, 則認證通過。所述對簽名進行認證的運算可以
     為 V = S^e mod n, 其中, S 為簽名, 公鑰為 (n, e)。
     所述認證模塊使用 AP 數據庫模塊中保存的該 HMG 對應的公鑰對認證請求中的第 二簽名進行認證包括 : 從本地查找本 AP 對該 HMG 的關聯信息, 對該關聯信息進行 Hash 運算 得到 Hash 值, 從本地查找該 HMG 對應的公鑰對該認證請求中的第二簽名進行認證運算, 判 斷得到的認證運算結果是否與該關聯信息進行 Hash 運算得到 Hash 值相等, 若是, 則認證通 過。
     AP 對外接口包括和 MNMS 的接口、 和 HMG 接口。
     MNMS 接口 : 主要負責接收 MNMS 的下發信息。 該信息內容主要包括 : AP 對 HMG 的關 聯信息、 HMG 的公鑰信息等。
     HMG 接口 : 主要負責 HMG 的接入認證, 采用 802.1X 協議。
     本發明中 HMS 一個實施例的結構參見圖 4 所示, 主要包括 :
     HMG 數據庫模塊, 用于保存客戶移動 IP 網管理服務器 MNMS 生成的與自身對應的私 鑰, 以及網絡接入點 AP 對該 HMG 的關聯信息 ;
     認證模塊, 用于在收到來自 AP 的廣播通知后, 根據該廣播通知中的 AP 身份標識信 息判斷該 AP 是否為合法接入 AP ;
     密鑰生成模塊, 用于在認證模塊判定為合法后, 利用 HMG 數據庫模塊中保存的私 鑰和該廣播 AP 對該 HMG 的關聯信息生成第二簽名, 向該廣播 AP 發送包含有第二簽名和該 HMG 身份標識的認證請求。所述生成第二簽名的運算可以為 S = H^d mod n, 其中 H 為該 HMG 的關聯信息 m 進行 Hash 運算的 Hash 值, 私鑰為 (n, d)。
     HMG 對外接口包括 : AP 的接口, 主要負責接收 AP 的廣播通知, 向 AP 發送接入認證 請求, 采用 802.1X 協議。
     此外, 若需要 HMG 還可以設置與 MNMS 之間的接口, 主要負責接收 MNMS 的下發信 息, 包括 : AP 對 HMG 的關聯信息、 HMG 的私鑰信息等。
     以上系統和設備, 通過增加 AP 和 HMG 中相應模塊, 實現 AP 對應 HMG 的快速認證, 相較于傳統的 IP 層認證, 極大的降低了認證復雜度, 縮短了認證時間, 符合高速移動 IP 網 絡快速認證的要求, 同時通過 RSA 加密技術, 保證了認證的安全性。
     在本發明的另一方面, 還提供了一種應用于高速交通工具互聯網接入的安全認證 方法, 采用專門設計的雙層數字簽名過程來實現 AP 對于 HMG 的認證。首先, HMG 采用自己 的私鑰對于自己的關鍵認證信息進行簽名。 AP 接收到 HMG 認證請求后, 采用該 HMG 的公鑰, 對該認證請求進行認證, 確認認證請求中數據源的真實性和數據的完整性, 從而將惡意用 戶的非法注冊進行拒絕。由于 AP 認證 HMG 的的前提是 AP 預先獲得正確的 HMG 的公鑰 HMG_ Public_Key, 否則將不能正確認證, 所以為了提前將 MN_SET(AP) 中所有 HMG 的公鑰安全、 準確地下發到該 AP 中, 本系統同時設計了安全的密鑰管理及下發機制, 即雙層數字簽名技 術。系統由統一的 MNMS 來統一生成和管理所有 HMG 的密鑰, 并同樣通過數字簽名技術, 將 HMG 公鑰安全地下發到對應的 AP 中。由于雙層數字簽名的使用, AP 能夠提前獲得 MNMS 的 公鑰, 就可使 AP 判定自己從 MNMS 的 HMG 公鑰數據的真實性, 從而進一步達到達到對于 HMG 身份的的安全認證。
     作為一個實施例該方法主要包括如下步驟 :
     MNMS 保存 AP 對 HMG 的關聯信息, 為每個 HMG 生成一個公鑰和私鑰 ; 將公鑰下發給與對應的 HMG 存在關聯服務的 AP, AP 對下發的公鑰進行保存 ; 將每個私鑰分發給對應的 HMG, HMG 對該 HMG 對應的私鑰進行保存 ;
     MNMS 針對每個 HMG 分別用該 HMG 對應的私鑰和 AP 對該 HMG 的關聯信息生成第一 簽名, 將生成的第一簽名與 AP 對 HMG 的關聯信息一起下發給對應的 AP ;
     AP 接收到 MNMS 的下發信息后, 使用所述 MNMS 下發的公鑰對該下發信息中的第一 簽名進行認證, 若認證通過則提取該信息中的所述關聯信息保存 ;
     AP 向其覆蓋范圍發送包含有該 AP 身份標識信息的廣播通知 ;
     HMG 收到所述廣播通知后, 根據廣播通知中的 AP 身份標識信息判斷該 AP 是否為合 法接入 AP, 若為合法則該 HMG 利用自身的私鑰和該廣播 AP 對該 HMG 的關聯信息生成第二簽 名, 向該廣播 AP 發送包含有第二簽名和該 HMG 身份標識的認證請求 ;
     AP 收到來自 HMG 的認證請求后, 使用所述 MNMS 下發的公鑰對認證請求中的第二簽 名進行認證, 若認證通過, 則根據 HMG 身份標識確認該 HMG 的身份, 身份確認后向該 HMG 發 送認證成功的答復。
     由于高速公共交通工具行駛路線一般都是固定的, 因此可以獲知 AP 的管轄范圍 內會有哪些 HMG 經過, 以及 HMG 會經過哪些 AP, 即可以得到 AP 對 HMG 的關系關系, 以及 HMG 對 AP 的關聯關系, 并可以將這些關聯關系在 MNMS 中保存。
     下面詳細介紹本發明方法實施例的流程。
     本發明中 AP-HMG 相互認證是在由 AP、 HMG 和 MNMS 之間的互動來實現的。如圖 5 所示, 其基本流程包含 4 個 : MNMS 中 HMG 密鑰的生成與配置過程、 AP 配置過程、 HMG 配置過 程、 以及 HMG 接入過程。
     其中, 前三個過程是 HMG 接入認證前的準備過程, 最后一個過程 HMG 的接入認證過 程。下面對于各基本過程做逐個介紹。
     HMG 接入認證前的準備過程, 即上述前三個過程的流程示意圖參見圖 6 所示。
     1)MNMS 中的 HMG 密鑰生成與配置過程 :
     前面提到, MNMS 負責生成與維護每個 HMG 的密鑰和認證密碼, 配合 AP 進行 HMG 的 公鑰及認證密鑰的下發及節點接入 AP 的管理功能。在 MNMS 中保存每個 HMG 的信息, 為每 個 HMG 生成一對公鑰 HMG_Public_Key 和私鑰 HMG_Private_Key, 這個公鑰信息是對外可以 發布的, 而私鑰只能告知給對應的 HMG。
     為了保證下發到 AP 中的信息的真實性和完整性, MNMS 提前將自己的公鑰 MNMS_ Public_Key 信息提供給所有的 AP 來實現 AP 對 MNMS 信息源和數據完整性的認證, 這個過程 保證 AP 從 MNMS 獲得的 HMG 公鑰等信息沒有被偽造, 也確保確實是有 MNMS 發出的。
     具體方法是 :
     步驟 601, MNMS 通過 PKCS#1 算法隨機生成一對非對稱密鑰私鑰 (n, d) 和公鑰 (n, e)。
     其中, 所述私鑰 (n, d) 和公鑰 (n, e) 具體生成方式可以為 :
     MNMS 隨機生成兩個質數 p 和 q。
     生成密鑰的模 n = p * q
     計算歐拉函數 phi = (p-1) * (q-1)
     隨機生成公鑰指數 e, 滿足 1 < e < phi使用生成私鑰指數 d, 滿足 de = 1mod phi
     則: HMG 的公鑰為 (n, e), 私鑰為 (n, d)。
     步驟 602, MNMS 將自己的公鑰 (n, e) 提前下發給各個 AP, 并確保每個 AP 獲得的 MNMS 的公鑰是真實的。可使用傳統的第三方認證或者對稱加密方式來確保 AP 獲得的 MNMS 的公鑰是真實的。
     步驟 603, MNMS 將該 AP 對應的 MN_SET(AP) 中關聯信息 m 進行 Hash 運算, 得到 Hash 值 H。所述關聯信息為 AP 對各個 HMG 的的關聯關系。
     MNMS 使用私鑰 (n, d) 對該值 H 簽名, 具體方式為 : 簽名 S = H^d mod n。
     步驟 604, MNMS 向特定 AP 發送其下 HMG 的關聯信息 m 同時附加簽名信息 S。
     2)AP 配置過程 :
     AP 實現 HMG 節點的鏈路建立、 認證、 地址配置及數據包轉發等相關功能。 在 HMG 的 接入認證時, AP 已經通過 MNMS 提前獲得接入其下的所有 HMG 的名稱、 公鑰及認證密鑰, 通 過和 HMG 配合互動, 實現對面向高速交通工具的移動型客戶網絡的快速認證功能。
     AP 獲得 MNMS 發出的 HMG 的信息格式為 DATA+ 通過 HASH 后的經過 MNMS 私鑰加密 后的數字簽名。AP 接收到數字簽名后, 使用 MNMS 下發的公鑰對該簽名進行認證。 參見圖 6 所示, 具體方法是 :
     步驟 605, 接收到 MNMS 下發的 AP 對 HMG 的關聯信息 m 和簽名 S 后, AP 將 MNMS 下 發的關聯信息 m 進行 Hash 運算, 得到 Hash 值 H’ ;
     AP 使用 MNMS 下發的公鑰 (n, e) 將簽名 S 進行認證運算, 具體方式是 : V = S^e mod n。
     判斷 H’ 和 V 是否相等。
     當 H’ 和 V 相等時, 接受數據。
     步驟 606, AP 將認證通過的數據, 即 AP 對 HMG 的關聯信息 m 寫入 AP 本地的數據庫 模塊。
     3)HMG 配置過程
     步驟 607, HMG 可以通過人工或者由 MNMS 下發的方式, 將 MNMS 生成的該 HMG 對應 的私鑰、 以及 AP 對 HMG 的關聯關系等信息保存在本地的數據庫模塊中。
     其中, 步驟 607, 即 HMG 的配置過程可以在任何時候實現, 既可以在 AP 配置過程之 后, 也可以在 AP 配置過程之前, 還可以與 AP 配置過程同步進行。
     HMG 接入認證的過程, 參見圖 7 所示, 包括 :
     步驟 701, AP 向其覆蓋范圍發送包含有該 AP 的 ID 信息的廣播通知。
     該通知可以是基于 802.1X 的格式。
     步驟 702, HMG 收到所述廣播通知后, 根據廣播通知中 AP 的 ID 信息, 通過在本地數 據庫模塊中查詢已保存有對應合法 ID, 來判斷該 AP 是否為合法接入 AP, 若為合法則該 HMG 利用自身的私鑰和該廣播 AP 對該 HMG 的關聯信息生成簽名 S, 向該廣播 AP 發送包含有簽名 S 和該 HMG 身份標識的認證請求。
     其中, 簽名的生成過程可以為 :
     將該廣播 AP 對該 HMG 的關聯信息 m 進行 Hash 運算, 使用對應 HMG 的私鑰 (n, d) 對所得到的 Hash 值 H 進行如下簽名運算, 得到簽名 S。
     步驟 703, AP 收到來自 HMG 的認證請求后, 使用所述 MNMS 下發的公鑰對認證請求 中的簽名 S 進行認證, 若認證通過, 則根據 HMG 身份標識確認該 HMG 的身份。
     AP 在認證該 HMG 前, 通過現有 802.1X 協議將會濾除除了 802.1X 外其他所有來自 該 HMG 的包。
     其中, 所述簽名進行認證的過程包括 : 從本地查找本 AP 對該 HMG 的關聯信息 m, 對 該關聯信息 m 進行 Hash 運算得到 Hash 值 H’ , 從本地查找該 HMG 對應的公鑰 (n, e) 對該認 證請求中的第二簽名 S 進行認證運算 V = S^e mod n, 判斷得到的 V 是否與 H’ 相等, 若是, 則認證通過。
     步驟 704, 身份確認后向該 HMG 發送認證成功的答復。
     以上認證方式采用了 RSA 非對稱加密的簽名技術實現應用于快速交通工具中的 移動 IP 網的安全認證。認證中的加解密私鑰及公鑰由管理員統一在 MNMS 中生成并集中維 護, 每個 HMG 的私鑰可以手工分發給該 HMG。每個 HMG 公鑰則由 MNMS 統一下給和該 HMG 存 在關聯服務的 AP。 基于以上預先配置, 當移動 IP 網到達特定 AP 覆蓋的地區后, 將會收到該 AP 發出帶有自己 ID 信息的公告信息包。HMG 通過驗證該 AP 的身份信息, 向 AP 發出加入自 己數字簽名的接入請求。AP 則收到認證請求后, 則通過自己內部 AP_ID 數據庫中存儲的該 HMG 的公鑰信息, 對該請求進行快速身份驗證, 使得 AP 能夠很快驗證 HMG 身份, 并保證認證 請求數據的完整性。對于通過身份認證的 HMG, 則可快速接入 AP, 連接互聯網。 作為一個實施例, AP 和 HMG 交互數據格式具體如下 :
     在移動高速客戶網絡中, AP 向其覆蓋范圍下的所有移動 IP 網發出廣播通知, 該廣 播通知中信息內容主要為 AP 的 ID 信息。其信息格式參見圖 8 所示。
     其中
     ● Code 為 1, 代表 Request 通告廣播消息。
     ● Identifier 是發送請求的編號, 對此請求回答的編號必須于發送請求的編號 相同。如果收到和發出的請求不同的編號回答, AP 將該回答丟棄。AP 每次發出新的請求必 須使用不同的編號。該編號建議為一個隨機數。
     ● Length 為 2 字 節 長 度 同 事 包 括 了 Code、 Indentifier、 Length、 Type 以 及 Type-Data 的全部內容的長度。HMG 收到該請求包后先驗證包長度是否符合其列出的長度, 如果不等則丟棄。
     ● Type 類型為一個字節。代表了其內容是請求包或者是答復包, 其中請求和答復 種類包括 Identity、 Notification、 Nak 等。在這里, Type 值為 1Identity。
     ● TypeData 內容為 AP 的 ID 信息。
     HMG 收到該廣播通知的數據包后, 驗證 AP 的 ID 信息是合法 ID, 若合法則向 AP 回 復認證請求, 對該認證請求數據包的格式參見圖 9 所示。
     其中
     ● Code 值為 Response 2, 表示是 HMG 發出的認證請求 .
     ● Identifier 值和發出的請求包值相同。
     ● Type 值按照驗證結果進行反饋。
     ■當驗證該 AP 信息不合法時, 則返回 Nak 包, Type 值為 3.
     ■當驗證結果合法時, 返回 Notification 包, Type 值為 2.
     ●當返回 Nak 包時, 不含 Type Data 內容。當返回 Notification 包時, TypeData 內容為 HMG_ID 及 HMG 的數字簽名。
     AP 收到 HMG 的應答信息后, 如果為 Notification 包, 則提取其中的 TypeData 的內 容, 并通過查詢自身數據庫, 獲得 MNMS 下發的 HMG 的公鑰信息, 對 HMG_ID 和數字簽名進行 驗證, 并將驗證結果回復給 HMG, 該回復數據包的具體幀格式參見圖 10 所示。
     其中, 驗證成功, 則 HMG 應答成功信息, Code 值為 3 ;
     如果驗證未能通過, 回答失敗信息, Code 值為 4。
     本領域普通技術人員可以理解 : 實現上述方法實施例的全部或部分步驟可以通 過程序指令相關的硬件來完成, 也可在軟件或軟硬件的組合中實現, 例如用專用集成電路 (ASIC)、 通用計算機或其他硬件等同物來實現。前述方法對應的程序可以存儲于一計算機 可讀取存儲介質中, 該程序在執行時, 執行包括上述方法實施例的步驟 ; 而前述的存儲介質 包括 : ROM、 RAM、 磁碟或者光盤等各種可以存儲程序代碼的介質。
     本發明在實際應用中, 可在接入 AP 中增加數據庫及 HMG 接入認證相應功能, 也就 是增加擴展的支撐移動 IP 網的快速認證相關功能, 使 AP 能夠及時認證接入的 HMG 信息。 其 次, 本發明交互過程中可以采用 802.1X 作為交互協議, HMG 中只需內置其私鑰作為加密, 就 能完成。設備改動量小。另外, AP 具有和 MNMS 的控制接口, 接受 MNMS 下發的 HMG 管理信 息。針對 HMG 公私鑰信息的生成和分配, 增加 MNMS 的 HMG 生成和配置模塊, 實現統一配置, 這樣對于 HMG 的密鑰更新和 AP 中所屬 HMG 的更新可以由該 MNMS 進行統一管理和下發。在 實際部署時可以集中部署 MNMS 服務器, 實現對于管轄區域內的 AP 的調度和關聯。
     本發明的特點如下 :
     1> 獨特的的雙層數字簽名認證機制實現 HMG 和 MNMS 信息的雙層保護, AP 只需要 提前配置 MNMS 的公鑰, 就可以安全地獲得其服務的所有 HMG 的公鑰, 從而對于 HMG 的認證 請求進行安全認證。
     2>AP 基于本地數據庫對于 HMG 的請求進行認證, 不需要去遠程查詢集中式的認證 數據庫, 取消了網絡上的數據傳輸時間和集中式查詢時間開銷, 總體上減小了數據庫查詢 時間開銷, 會顯著提高認證速度
     3> 其次, MNMS 結合交通工具的路徑信息, 提前生成和下發每個 AP 的 AP-HMG 關聯 信息 HMG_SET(AP), 這樣每個 AP 中存儲的只是它直接提供服務的 HMG 信息, 而不是全部的 HMG 信息, 降低了 AP_DB 中的數據量, 也有利于提高查詢速度。
     4>HMG-AG 中間的空中接口中無 HMG 的密碼傳送, 只傳送數字簽名信息, 提高了 HMG 認證的安全性。
     5>MNMS 集中部署, 方便了對于 MN/HMG 信息的維護關聯。
     6> 由于 HMG 中存儲其經過的所有 AP 的相關 ID 信息, 可以利用該 ID 信息對 AP 實 現認證能力, 實現雙向認證。
     應該注意, 本發明在一個實施例中, 模塊或進程可被加載到存儲器中并由處理器 執行, 以實現上述功能。這樣, 本發明的進程 ( 包括相關聯的數據結構 ) 可被存儲在計算機 可讀介質或載波上, 例如 RAM 存儲器、 磁驅動或光驅動或磁盤等等。
     所屬領域的普通技術人員應當理解 : 以上所述僅為本發明的具體實施例而已, 并 不用于限制本發明, 凡在本發明的精神和原則之內, 所做的任何修改、 等同替換、 改進等, 均應包含在本發明的保護范圍之內。

關 鍵 詞:
一種 互聯網 接入 安全 認證 方法 系統 設備
  專利查詢網所有資源均是用戶自行上傳分享,僅供網友學習交流,未經上傳用戶書面授權,請勿作他用。
關于本文
本文標題:一種互聯網接入的安全認證方法、系統和設備.pdf
鏈接地址:http://www.rgyfuv.icu/p-6420532.html
關于我們 - 網站聲明 - 網站地圖 - 資源地圖 - 友情鏈接 - 網站客服客服 - 聯系我們

[email protected] 2017-2018 zhuanlichaxun.net網站版權所有
經營許可證編號:粵ICP備17046363號-1 
 


收起
展開
山东11选5中奖结果走势图