一種身份認(rèn)證識(shí)別方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及網(wǎng)絡(luò)安全,特別涉及一種身份認(rèn)證識(shí)別方法�����。
【背景技術(shù)】
[0002]目前網(wǎng)絡(luò)中不斷出現(xiàn)病毒����、木馬和各種惡意入侵等行為,嚴(yán)重影響了網(wǎng)絡(luò)的正常運(yùn)行��,使網(wǎng)絡(luò)處于不可控狀態(tài)���。一個(gè)可信的網(wǎng)絡(luò)首先要保證終端結(jié)點(diǎn)和網(wǎng)絡(luò)都應(yīng)該被保護(hù)��,防止欺騙或者非法訪問的發(fā)生��。網(wǎng)絡(luò)訪問認(rèn)證是保證網(wǎng)絡(luò)安全的最基本的安全機(jī)制��,它是保護(hù)網(wǎng)絡(luò)安全的第一道屏障?���,F(xiàn)有技術(shù)在網(wǎng)絡(luò)訪問控制方面具有良好的靈活性和可擴(kuò)展性���,但是這些方法主要是單向認(rèn)證��,并且需要更多的存儲(chǔ)空間���。沒有保證認(rèn)證的持續(xù)性�����。
【發(fā)明內(nèi)容】
[0003]為解決上述現(xiàn)有技術(shù)所存在的問題����,本發(fā)明提出了一種身份認(rèn)證識(shí)別方法�,包括:
[0004]通過用戶和主機(jī)的屬性生成網(wǎng)絡(luò)訪問ID,移動(dòng)設(shè)備與網(wǎng)關(guān)設(shè)備進(jìn)行雙向認(rèn)證���,并且采用定時(shí)認(rèn)證的機(jī)制以及切換訪問,實(shí)現(xiàn)移動(dòng)設(shè)備跨子網(wǎng)認(rèn)證����。
[0005]優(yōu)選地,所述通過用戶和主機(jī)的屬性生成網(wǎng)絡(luò)訪問ID之前��,還包括:
[0006]將網(wǎng)絡(luò)劃分為多個(gè)子網(wǎng)�,每個(gè)子網(wǎng)包含網(wǎng)關(guān)設(shè)備和認(rèn)證服務(wù)器���,根據(jù)移動(dòng)設(shè)備和用戶屬性來生成的移動(dòng)設(shè)備ID,所述移動(dòng)設(shè)備的屬性包含設(shè)備類型�、設(shè)備制作商和設(shè)備序列號(hào);用戶屬性主要有身份信息�;將移動(dòng)設(shè)備的屬性和用戶身份屬性連接起來,采用散列算法生成移動(dòng)設(shè)備設(shè)備ID�,即移動(dòng)設(shè)備用戶ID = H (Al IIA2I1...1l An Il UID),其中Al���,A2��,…��,An為移動(dòng)設(shè)備的屬性����,UID為用戶的身份信息����,H為單向散列函數(shù);網(wǎng)絡(luò)根據(jù)移動(dòng)設(shè)備ID�����,分配一個(gè)唯一的移動(dòng)設(shè)備訪問ID,移動(dòng)設(shè)備訪問ID并包含所在子網(wǎng)信息����;
[0007]在訪問網(wǎng)絡(luò)之前,移動(dòng)設(shè)備用戶將需要認(rèn)證的信息通過安全信道傳送給認(rèn)證服務(wù)器�,或直接到認(rèn)證服務(wù)器注冊(cè),注冊(cè)過程包括:
[0008](I)移動(dòng)設(shè)備用戶向認(rèn)證服務(wù)器提供移動(dòng)設(shè)備的屬性和用戶的身份信息��;
[0009](2)認(rèn)證服務(wù)器根據(jù)移動(dòng)設(shè)備的屬性和用戶的身份信息��,用散列算法生成唯一的移動(dòng)設(shè)備用戶ID���,認(rèn)證服務(wù)器隨機(jī)產(chǎn)生唯一的移動(dòng)設(shè)備訪問ID和雙方共有主密鑰���;移動(dòng)設(shè)備訪問ID含有所在子網(wǎng)的標(biāo)識(shí)信息,與移動(dòng)設(shè)備用戶ID—一對(duì)應(yīng)����;認(rèn)證服務(wù)器和網(wǎng)關(guān)設(shè)備保存移動(dòng)設(shè)備訪問ID的散列值���;
[0010](3)認(rèn)證服務(wù)器將移動(dòng)設(shè)備訪問ID和共有主密鑰傳送給移動(dòng)設(shè)備用戶�。
[0011]優(yōu)選地,所述移動(dòng)設(shè)備與網(wǎng)關(guān)設(shè)備進(jìn)行雙向認(rèn)證���,進(jìn)一步包括如下過程:
[0012](I)移動(dòng)設(shè)備向網(wǎng)關(guān)設(shè)備發(fā)出請(qǐng)求���,移動(dòng)設(shè)備生成一個(gè)握手隨機(jī)數(shù)NI,并通過異或計(jì)算S = H(UID) ? NI�,將S和NI傳送給網(wǎng)關(guān)設(shè)備;
[0013](2)網(wǎng)關(guān)設(shè)備接到認(rèn)證請(qǐng)求后�����,首先查找H(UID)��,并計(jì)算H(UID) ? NI檢驗(yàn)是否等于接收到的S�,如果沒有找到,并且該移動(dòng)設(shè)備并未從其他子網(wǎng)移動(dòng)到該子網(wǎng)�,則去頂用戶沒有注冊(cè)或者是非法用戶,認(rèn)證失敗����,如果找到,網(wǎng)關(guān)設(shè)備向移動(dòng)設(shè)備發(fā)送消息H(UID) ? NI Il N2�,其中N2是網(wǎng)關(guān)設(shè)備生成的握手隨機(jī)數(shù);
[0014](3)移動(dòng)設(shè)備向網(wǎng)關(guān)設(shè)備階段返回{H(UID) ? NI Il N2 II EKM(H(移動(dòng)設(shè)備用戶ID) Il N4))}���,所述EKMO是用共有密碼加密移動(dòng)設(shè)備用戶ID的散列函數(shù)和握手隨機(jī)數(shù)N4 ;
[0015](4)網(wǎng)關(guān)設(shè)備向認(rèn)證服務(wù)器返回{H(UID) ? NI Il N2 Il EKM(H(移動(dòng)設(shè)備用戶ID) Il N4))}����,網(wǎng)關(guān)設(shè)備將移動(dòng)設(shè)備的認(rèn)證信息轉(zhuǎn)發(fā)到認(rèn)證服務(wù)器查詢用戶信息;
[0016](5)認(rèn)證服務(wù)器向網(wǎng)關(guān)設(shè)備返回{H(UID) ? NI Il N2 Il EKM(H(移動(dòng)設(shè)備用戶ID) Il N4+1 Il KS))}���,即認(rèn)證服務(wù)器根據(jù)接收到的消息��,根據(jù)移動(dòng)設(shè)備訪問ID從認(rèn)證數(shù)據(jù)庫的列表中查找出其對(duì)應(yīng)的移動(dòng)設(shè)備用戶標(biāo)識(shí)身份�����,認(rèn)證通過后將握手隨機(jī)數(shù)N4加1���,并隨機(jī)產(chǎn)生一個(gè)臨時(shí)會(huì)話密鑰KS ;
[0017](6)網(wǎng)關(guān)設(shè)備向移動(dòng)設(shè)備階段返回{H(UID) ? NI II N2 Il EKM(N4+1 II N5 II KS)},即網(wǎng)關(guān)設(shè)備從認(rèn)證服務(wù)器得到認(rèn)證通過后�,將部分消息內(nèi)容加上一個(gè)握手隨機(jī)數(shù)N5傳給移動(dòng)設(shè)備,完成了移動(dòng)設(shè)備對(duì)網(wǎng)關(guān)設(shè)備的認(rèn)證����,網(wǎng)關(guān)設(shè)備同時(shí)也加上握手隨機(jī)數(shù)N5,等待移動(dòng)設(shè)備應(yīng)答��,以便對(duì)移動(dòng)設(shè)備進(jìn)行認(rèn)證���;
[0018](7)移動(dòng)設(shè)備向網(wǎng)關(guān)設(shè)備返回H(UID) Il EKS(N5+1)����,即移動(dòng)設(shè)備采用會(huì)話密鑰KS加密N5+1傳給網(wǎng)關(guān)設(shè)備�,完成雙方的相互認(rèn)證;
[0019]在訪問認(rèn)證已經(jīng)完成的隨后通信過程中��,移動(dòng)設(shè)備采用會(huì)話密鑰加密數(shù)據(jù)�。
[0020]優(yōu)選地,所述采用定時(shí)認(rèn)證的機(jī)制以及切換訪問����,實(shí)現(xiàn)移動(dòng)設(shè)備跨子網(wǎng)認(rèn)證,進(jìn)一步包括:
[0021]網(wǎng)關(guān)設(shè)備定時(shí)發(fā)起認(rèn)證會(huì)話�,移動(dòng)設(shè)備對(duì)會(huì)話進(jìn)行正確應(yīng)答;
[0022]網(wǎng)關(guān)設(shè)備向移動(dòng)設(shè)備返回H(UID) Il EKS (N6)��,即網(wǎng)關(guān)設(shè)備用EKS會(huì)話密鑰加密N6進(jìn)行詢問�����;
[0023]移動(dòng)設(shè)備向網(wǎng)關(guān)設(shè)備返回H(UID) Il EKS(N6+1)��,即移動(dòng)設(shè)備解密N6后����,再進(jìn)行一個(gè)變換即N6+1���,用會(huì)話密鑰加密后進(jìn)行應(yīng)答,如果應(yīng)答不正確��,網(wǎng)關(guān)設(shè)備將切斷網(wǎng)絡(luò)連接�����;
[0024]并且�,若網(wǎng)關(guān)設(shè)備不能查詢到該移動(dòng)設(shè)備的訪問ID,則確定該移動(dòng)設(shè)備來自另外一個(gè)子網(wǎng)���,根據(jù)訪問ID命名格式獲取移動(dòng)設(shè)備的注冊(cè)子網(wǎng)��,這時(shí)���,網(wǎng)關(guān)設(shè)備向移動(dòng)設(shè)備注冊(cè)子網(wǎng)的認(rèn)證服務(wù)器發(fā)送認(rèn)證消息。
[0025]本發(fā)明相比現(xiàn)有技術(shù)�,具有以下優(yōu)點(diǎn):
[0026]本發(fā)明提出的方法,保證移動(dòng)設(shè)備和網(wǎng)絡(luò)之間存在一個(gè)互信的環(huán)境����。支持移動(dòng)設(shè)備跨子網(wǎng)認(rèn)證��,從而能夠支持主機(jī)的可移動(dòng)性�����。
【附圖說明】
[0027]圖1是根據(jù)本發(fā)明實(shí)施例的身份認(rèn)證識(shí)別方法的流程圖。
【具體實(shí)施方式】
[0028]下文與圖示本發(fā)明原理的附圖一起提供對(duì)本發(fā)明一個(gè)或者多個(gè)實(shí)施例的詳細(xì)描述����。結(jié)合這樣的實(shí)施例描述本發(fā)明,但是本發(fā)明不限于任何實(shí)施例�。本發(fā)明的范圍僅由權(quán)利要求書限定,并且本發(fā)明涵蓋諸多替代�����、修改和等同物�����。在下文描述中闡述諸多具體細(xì)節(jié)以便提供對(duì)本發(fā)明的透徹理解��。出于示例的目的而提供這些細(xì)節(jié)����,并且無這些具體細(xì)節(jié)中的一些或者所有細(xì)節(jié)也可以根據(jù)權(quán)利要求書實(shí)現(xiàn)本發(fā)明�����。
[0029]本發(fā)明的一方面提供了一種身份認(rèn)證識(shí)別方法����。圖1是根據(jù)本發(fā)明實(shí)施例的身份認(rèn)證識(shí)別方法流程圖��。本發(fā)明的移動(dòng)設(shè)備安全訪問認(rèn)證方法���,通過關(guān)聯(lián)主機(jī)的屬性和用戶屬性生成網(wǎng)絡(luò)訪問ID�,移動(dòng)設(shè)備使用訪問ID與網(wǎng)關(guān)設(shè)備進(jìn)行雙向認(rèn)證�����,阻止惡意用戶訪問和使用網(wǎng)絡(luò)�,在訪問之后,網(wǎng)絡(luò)采用定時(shí)認(rèn)證的機(jī)制來保證認(rèn)證的連續(xù)性�����。該方法保證移動(dòng)設(shè)備和網(wǎng)絡(luò)之間存在一個(gè)互信的環(huán)境�。另外該協(xié)議采用切換訪問的方法,支持移動(dòng)設(shè)備跨子網(wǎng)認(rèn)證,從而能夠支持主機(jī)的移動(dòng)性��。
[0030]本發(fā)明涉及三個(gè)實(shí)體���,它們分別是移動(dòng)設(shè)備����、網(wǎng)關(guān)設(shè)備和認(rèn)證服務(wù)器����。為了支持終端的移動(dòng)快速訪問����,網(wǎng)絡(luò)將劃分為多個(gè)子網(wǎng),每個(gè)子網(wǎng)包含網(wǎng)關(guān)設(shè)備和認(rèn)證服務(wù)器����。認(rèn)證方法由三個(gè)部分組成,即注冊(cè)過程�����、認(rèn)證過程和移動(dòng)設(shè)備跨子網(wǎng)切換過程���。
[0031]移動(dòng)設(shè)備ID是根據(jù)移動(dòng)設(shè)備和用戶屬性來生成的�,這樣關(guān)聯(lián)的目的是保證對(duì)設(shè)備和用戶具有可控性。移動(dòng)設(shè)備的屬性如設(shè)備類型�����、設(shè)備制作商和設(shè)備序列號(hào)等�。用戶屬性主要有身份信息,如身份證號(hào)���。將移動(dòng)設(shè)備的屬性和用戶身份屬性連接起來�����,采用散列算法生成移動(dòng)設(shè)備設(shè)備ID����。假設(shè)移動(dòng)設(shè)備的屬性為Al����,A2��,…,An��,用戶的身份信息為UID,那么移動(dòng)設(shè)備ID的生成方法如下:
[0032]移動(dòng)設(shè)備用戶ID = H (Al Il A2 II …II An II UID)
[0033]其中H為單向散列函數(shù)��。網(wǎng)絡(luò)將根據(jù)移動(dòng)設(shè)備ID�����,分配一個(gè)唯一的移動(dòng)設(shè)備訪問ID��,移動(dòng)設(shè)備訪問ID并包含所在子網(wǎng)信息��。
[0034]移動(dòng)設(shè)備要訪問這個(gè)網(wǎng)絡(luò)��,事先必須到認(rèn)證服務(wù)器進(jìn)行注冊(cè)�����,移動(dòng)設(shè)備用戶將需要認(rèn)證的信息通過安全信道傳送給認(rèn)證服務(wù)器��,也可以直接到認(rèn)證服務(wù)器注冊(cè)�����。注冊(cè)過程需要生成移動(dòng)設(shè)備訪問ID和雙方共有主密鑰�����。
[0035](I)移動(dòng)設(shè)備至認(rèn)證服務(wù)器階段:移動(dòng)設(shè)備用戶向認(rèn)證服務(wù)器提供移動(dòng)設(shè)備的屬性和用戶的身份信息����,設(shè)備的屬性包括設(shè)備類型、生產(chǎn)制造商�、產(chǎn)品序列號(hào)等。
[0036](2)認(rèn)證服務(wù)器處理階段:認(rèn)證服務(wù)器根據(jù)移動(dòng)設(shè)備的一些屬性和用戶的身份信息����,用散列算法生成唯一的移動(dòng)設(shè)備用戶ID,認(rèn)證服務(wù)器隨機(jī)產(chǎn)生唯一的移動(dòng)設(shè)備訪問ID和雙方共有主密鑰�。移動(dòng)設(shè)備訪問ID含有所在子網(wǎng)的標(biāo)識(shí)信息,與移動(dòng)設(shè)備用戶ID—一對(duì)應(yīng)����。認(rèn)證服務(wù)器和網(wǎng)關(guān)設(shè)備保存移動(dòng)設(shè)備訪問ID的散列值。
[0037](3)認(rèn)證服務(wù)器至移動(dòng)設(shè)備階段:認(rèn)證服務(wù)器將移動(dòng)設(shè)備訪問ID和共有主密鑰傳送給移動(dòng)設(shè)備用戶����。
[0038]認(rèn)證過程是在移動(dòng)設(shè)備、網(wǎng)關(guān)設(shè)備和認(rèn)證服務(wù)器之間進(jìn)行消息的傳遞過程:
[0039](I)移動(dòng)設(shè)備至網(wǎng)關(guān)設(shè)備階段:移動(dòng)設(shè)備向網(wǎng)關(guān)設(shè)備發(fā)出請(qǐng)求�����,移動(dòng)設(shè)備生成一個(gè)握手隨機(jī)數(shù)NI���,并通過異或計(jì)算S = H(UID) ? NI���,將S和NI傳送給網(wǎng)關(guān)設(shè)備���。
[0040](2)網(wǎng)關(guān)設(shè)備至移動(dòng)設(shè)備階段:網(wǎng)關(guān)設(shè)備接到認(rèn)證請(qǐng)求后,首先查找H(U