專利名稱:一種移動設備與安全接入網關間密鑰交換協(xié)商系統(tǒng)的制作方法
技術領域:
本實用新型屬于計算機通信和數(shù)據(jù)安全領域�,主要涉及安全密鑰協(xié)商技術,遠程 訪問技術��,特別是移動設備與安全接入網關間密鑰交換協(xié)商系統(tǒng)�����。
背景技術:
智能終端和無線網絡通訊的迅速發(fā)展使得人們可以很方便地利用智能移動終端 隨時隨地接入因特網�,但是目前機密性要求較高的業(yè)務在移動終端上的應用卻很少,這是 由于移動網絡是開放的網絡�,它除了需要面對固定網絡所具有的安全威脅之外,還面臨著 帶寬低�、干擾大、穩(wěn)定性差����,容易丟包����,更容易受到竊聽等問題。同時�,智能移動終端還具有 計算能力低、存儲容量小、IP地址不固定的特點��。采用基于IPSec的VPN技術來保障移動 終端安全接入是目前的研究熱點���。IKEdnternet Key Exchange)為IPSec提供自動協(xié)商密鑰交換�����,建立安全聯(lián)盟 的服務����,其具有一套自保護機制�����,可以在不安全的網絡上安全地分發(fā)密鑰�����、驗證身份�����、建立 IPSec安全聯(lián)盟����。然而���,對于遠程接入用戶,除了需要建立安全聯(lián)盟����,還需要獲得安全接入 服務器的內部網絡信息,而這些在標準IKE中均未定義�,針對此問題,現(xiàn)在廣泛應用的解決 方案有IETF提出的基于IKE的IPSec隧道模式下的DHCP配置方法�����,以及微軟提出的基 于L2TP/IPSec的解決方案�,都有廣泛應用。DHCP/IPSec方案是由IPSec遠程接入客戶端 首先生成臨時DHCP SA���,然后在此SA保護下產生DHCP請求消息���,IPSec遠程接入服務器作 為DHCP中繼代理,將消息傳送到內網的DHCP服務器����,為遠程接入客戶端分配內網IP。此 方案的不足之處是需要臨時建立一個DHCP SA����,不僅延長IKE交互時間,同時也給遠程接入 服務器帶來較大負擔�����,而且由于接入服務器難以控制DHCP服務器�,使得不同的用戶身份能 夠選擇不同的地址池分配內部地址,引發(fā)訪問控制困難���。而將L2TP(Layer TwoTunneling Protocol)與IPSec結合的方案雖然可以實現(xiàn)內網地址動態(tài)分配以及用戶名����、密碼擴展認 證����,但此方案需要額外進行L2TP協(xié)商,并且在IPSec數(shù)據(jù)傳輸過程中需要多次封裝����,導致效 率低下。如何設計合理的IKE協(xié)商過程�����,并且不影響系統(tǒng)的安全性以及效率性就顯得非常 重要。
實用新型內容為了克服目前基于標準IKE的遠程接入方案在系統(tǒng)效率和用戶訪問控制方面的 缺陷�����,本實用新型在標準IKE的基礎上��,提供了一種移動設備與安全接入網關間密鑰交換 協(xié)商系統(tǒng)�����,該系統(tǒng)既支持動態(tài)內網IP分配�,又支持擴展用戶身份認證,從而在接入服務器 端可以方便地進行基于內網IP的訪問控制管理���。本實用新型解決其技術問題所采用的技術方案如下這種移動設備與安全接入網關間密鑰交換協(xié)商系統(tǒng)主要涉及三個部分包含IKE 協(xié)商模塊的移動設備���,安全接入網關以及用戶管理服務器。其中移動設備是進行IKE協(xié)商 的客戶端����,其上安裝的IKE協(xié)商模塊具體負責IKE協(xié)商工作;安全接入網關是負責與發(fā)起連
3接請求的移動設備完成IKE協(xié)商的主體;用戶管理服務器主要負責接收安全接入網關發(fā)送 來的用戶身份信息(從IKE主模式第五條消息的用戶身份信息載荷中提取)�����,根據(jù)用戶身份 選擇合適的內網IP地址分配IP��,并將結果返回給安全接入網關����,如果用戶身份認證失敗�����, 則返回空值��。當IKE SA過期或收到IKE終止消息時�����,安全接入網關模塊會向地址管理模塊 發(fā)送地址回收消息����,地址管理模塊回收此地址。上述系統(tǒng)中��,所述的移動設備為智能手機�、便攜式電腦等智能終端�����。上述系統(tǒng)中����,所述的移動設備安裝Windows Mobile 5.0以上操作系統(tǒng)���。上述系統(tǒng)中���,所述的安全接入網關和用戶管理服務器在一臺服務器上。本實用新型的有益效果為通過修改IKE交互流程�����,在保證系統(tǒng)安全及效率的基 礎上���,不僅實現(xiàn)了客戶端的動態(tài)內網IP分配���,而且增加對用戶身份的擴展認證。系統(tǒng)中采 用的基于用戶組的內網IP分配策略���,有利于進一步進行訪問控制��。
圖1為本實用新型所述移動設備與安全接入網關間密鑰交換協(xié)商系統(tǒng)環(huán)境框圖�;圖2為本實用新型所述的移動設備與接入網關之間進行密鑰交換協(xié)商的步驟流 程圖;圖3為本實用新型在具體實施例中IKE協(xié)商第一階段消息交換過程示意圖��;圖4為本實用新型在具體實施例中自定義用戶身份載荷(Userlnfo)格式示意 圖�;圖5為本實用新型在具體實施例中自定義內網地址載荷(IrmerAddr)格式示意 圖�;圖6為本實用新型在具體實施例中標準IKE協(xié)商中第五六條消息更改后的處理流 程示意圖;圖7為本實用新型在具體實施例中IKE協(xié)商第二階段消息交換過程示意圖��。圖中HDR表示ISAKMP頭����,它的交換類型就是采用的交換的模式,HDR*表明 ISAKMP頭后面的是加密載荷���。SA表示帶有一個或多個建議載荷的安全關聯(lián)聯(lián)盟���。KE表示 密鑰交換載荷。IDx表示標識載荷���,其中χ是ii或者ir���,ii代表ISAKMP發(fā)起者��,ir代表 ISAKMP響應者��。HASH表示雜湊載荷����。Cert-R表示證書請求載荷���。CERT表示證書����。AUTH表 示用戶名���、密碼����。IP-Req表示IP地址請求載荷���。IP-R印Iy表示IP地址載荷��。NAT-T表示 NAT穿越����。NAT-D表示本地IP地址及端口的HASH值。
具體實施方式
以下結合附圖和具體實施例來進一步說明本實用新型�,但不用來限制本實用新型 的范圍。如圖1所示�,根據(jù)上述公開的技術方案,本實用新型所述系統(tǒng)在實施過程中���,主要 涉及三個通信模塊客戶端模塊�,安全接入網關模塊以及地址管理模塊����。其中地址管理模塊 主要負責接收安全接入網關發(fā)送來的用戶身份信息(從IKE主模式第五條消息的用戶身份 信息載荷中提取)�����,根據(jù)用戶身份選擇合適的內網IP地址池分配IP��,并將結果返回給安全 接入網關����,如果用戶身份認證失敗,則返回空值�。當IKE SA過期或收到IKE終止消息時�,安
4全接入網關模塊會向地址管理模塊發(fā)送地址回收消息��,地址管理模塊回收此地址�����。當然��,具體實現(xiàn)過程中��,系統(tǒng)中的移動設備為智能手機�、便攜式電腦等智能終端; 移動設備安裝Windows Mobile 5. 0以上操作系統(tǒng)��;安全接入網關和用戶管理服務器在一 臺服務器上���。另外����,如圖2所示��,基于上述系統(tǒng)的運行方法所包括的主要步驟如下IKE協(xié)商的客戶端(移動設備)�����,向接入網關發(fā)送攜帶有用戶身份認證信息的第五 條消息,請求進行用戶身份認證���;所述接入網關接收來自所述客戶端的攜帶有用戶身份認證信息的第五條消息�����,獲 取用戶身份信息���,進行用戶身份認證。如果認證通過�,則為所述客戶端分配內網IP地址,并 向所述客戶端發(fā)送攜帶有內網IP地址信息的第六條消息��;所述客戶端接收來自所述接入網關的攜帶有內網IP地址信息的第六條消息�,獲 取并記錄所述內網IP地址�����。上述方法中�����,所述第五條消息是IKE主模式協(xié)商過程中的第五條消息����,所述第六 條消息是IKE主模式協(xié)商過程中的第六條消息���。上述方法中,所述用戶身份認證信息包含在所述第五條消息中的用戶身份載荷 (UserInfo)中進行發(fā)送��。上述方法中���,所述用戶身份認證信息包括用戶名和用戶密碼��。上述方法中����,在所述接入網關上配置用戶信息��,以保證用戶可進行身份認證�。上述方法中,所述接入網關為通過用戶身份認證的客戶端分配一個內網IP地址�����; 當IKESA過期或收到IKE中止消息時����,回收上述分配的內網IP地址�����。上述方法中����,所述內網IP地址信息攜帶在所述第六條消息中的內網地址載荷 (InnerAddr)中進行發(fā)送����。上述方法中,所述內網IP地址信息為所述接入網關為所述客戶端分配的內網IP 地址��。上述方法中�,所述記錄所述內網IP地址為從所接收的第六條消息中獲取內網IP 地址,將獲取的內網IP地址記錄在客戶端設備的注冊表中����。上述方法中,如果用戶身份認證不通過�����,則所述接入網關將中止與所述客戶端的 后續(xù)IKE協(xié)商���。上述方法中�����,所述第五條消息和第六條消息的內容由IKE主模式協(xié)商第一條至第 四條消息建立的密碼算法和密鑰來保護��。上述系統(tǒng)的具體實施步驟包括IKE第一階段協(xié)商和第二階段協(xié)商1. IKE第一階段協(xié)商(如圖3)步驟一當客戶端需要訪問安全接入網關信息時�,首先輸入用戶名��、密碼�����,激活 IKE協(xié)商���;步驟二 客戶端發(fā)起IKE協(xié)商主模式第一條消息���,生成CKY-I,提出ISAKMP SA屬 性的建議�,向安全接入網關發(fā)送一個封裝有提案載荷的SA載荷,包括加密算法(選擇DES���, AES或3DES等)��、hash算法(選擇MD5或SHA)����、認證方法(選擇證書認證、預置共享密鑰認 證或 Kerberos v5 認證)�����、Diffie-Hellman 組(選擇 1024bit MODP, 1536bit MODP 等)��。步驟三安全接入網關響應IKE協(xié)商主模式第一條消息�,生成CKY-RISAKMPSA屬性中做出選擇,并向客戶端發(fā)送IKE協(xié)商主模式第二條消息����,表明其所接受的 SA建議。步驟四客戶端發(fā)送IKE協(xié)商主模式第三條消息����。包括Diffie-Hellman公開值, nounce 值 Ni���。步驟五安全接入網關接收第三條消息����,并發(fā)送IKE協(xié)商主模式第四條消息����,包括 Diffie-Hellman公開值,nounce值Nr及證書請求載荷����。同時,根據(jù)接收的第三條消息計算 SKEYID, SKEYID_d����、SKEYID_a、SKEYID_e 等密鑰材料�����。步驟六客戶端發(fā)送IKE協(xié)商主模式第五條消息����,包括標識數(shù)據(jù)ID-I、證書載荷����、 以及自定義的用戶身份載荷(Userlnfo)(具體格式定義如圖4所示)。步驟七安全接入網關接收第五條消息����,如果接收到用戶身份載荷(Userlnfo)�����, 則提取用戶身份信息�����,傳遞給地址管理模塊�,地址管理模塊會根據(jù)用戶身份選擇合適的地 址池分配���,并回送帶有內網IP信息的內網地址載荷(IrmerAddr)(具體格式如圖5)����,如果身 份驗證失敗�����,則終止后續(xù)IKE協(xié)商�����。具體流程如圖6�。2. IKE第二階段協(xié)商(如圖7)步驟八開始IKE第二階段協(xié)商��,在IKE SA的保護下建立IPSec SA��,客戶端和安 全接入網關均可作為發(fā)起端����。步驟九完成IKE第二階段協(xié)商�,獲得IPSec傳輸所需要的密鑰材料�����,傳輸模式等 信息����,協(xié)商結束。本實用新型針對目前基于標準IKE的遠程接入方案的缺陷��,通過在IKE第一階段 主模式的第五條消息中增加身份用戶身份載荷�,接入網關根據(jù)用戶身份分配合適的內網IP 添加在IKE第一階段主模式第六條消息中,實現(xiàn)了對用戶遠程安全接入獲得內網信息的支 持�,而且擴展了 IKE認證方式,根據(jù)身份分配內網IP的方式更加有利于訪問控制管理����,而 且�����,由于擴展載荷增加在第五六條消息中����,屬于加密傳輸�,不會降低IKE協(xié)商的安全性。因 此��,本方案不僅滿足遠程客戶的安全接入需求���,而且具有更高的協(xié)商效率��,更強的可控性及 靈活性��。上述的對實施例的描述是為便于該技術領域的普通技術人員能理解和使用本實 用新型��。熟悉本領域技術的人員顯然可以容易地對這些實施例做出各種修改����,并把在此說 明的一般原理應用到其他實施例中而不必經過創(chuàng)造性的勞動�����。因此,本實用新型不限于上 述實施例��,在不脫離本實用新型的范疇的情況下所做出的修改都在本實用新型的保護范圍 之內��。
權利要求一種移動設備與安全接入網關間密鑰交換協(xié)商系統(tǒng)���,由包含IKE協(xié)商模塊的移動設備���,安全接入網關以及用戶管理服務器組成�����;其特征在于所述移動設備作為進行IKE協(xié)商的客戶端���,其上安裝的IKE協(xié)商模塊具體負責IKE協(xié)商工作�;所述安全接入網關是負責與發(fā)起連接請求的移動設備完成IKE協(xié)商的主體�;所述用戶管理服務器主要負責接收安全接入網關發(fā)送來的用戶身份信息,根據(jù)用戶身份選擇合適的內網IP地址分配IP����,并將結果返回給安全接入網關,如果用戶身份認證失敗��,則返回空值;當IKE SA過期或收到IKE終止消息時���,安全接入網關模塊會向地址管理模塊發(fā)送地址回收消息�,地址管理模塊回收此地址�����。
2.根據(jù)權利要求1所述的密鑰交換協(xié)商系統(tǒng)�����,其特征在于所述的移動設備為智能終端��。
3.根據(jù)權利要求2所述的密鑰交換協(xié)商系統(tǒng)�����,其特征在于所述的智能終端包括智能 手機����、便攜式電腦。
4.根據(jù)權利要求1所述的密鑰交換協(xié)商系統(tǒng)���,其特征在于所述的安全接入網關和用 戶管理服務器在一臺服務器上�。
專利摘要本實用新型公開了一種移動設備與安全接入網關間密鑰交換協(xié)商系統(tǒng),所述系統(tǒng)包括一種移動設備與安全接入網關間密鑰交換協(xié)商方法�、移動設備、安全接入網關和用戶管理服務器���。系統(tǒng)支持IPSec協(xié)議����,對傳輸數(shù)據(jù)進行認證�、加密、構成基于移動平臺的安全信道�����。通過所述的移動設備與安全接入網關間密鑰交換協(xié)商方法��,實現(xiàn)對用戶身份的擴展認證和客戶端的動態(tài)內網IP分配��,用以克服現(xiàn)有技術存在的效率低下和可控性差的缺陷�,滿足移動環(huán)境下用戶遠程安全接入并進行實時業(yè)務處理和數(shù)據(jù)安全交換的要求����。
文檔編號H04W12/08GK201657327SQ200920212440
公開日2010年11月24日 申請日期2009年12月4日 優(yōu)先權日2009年12月4日
發(fā)明者汪海航, 舒明磊, 譚博, 譚成翔 申請人:同濟大學