ID)����,并計(jì)算H(UID) ? NI檢驗(yàn)是否等于接收到的S,如果沒有找到����,有兩種可能,一是該移動(dòng)設(shè)備從其他子網(wǎng)移動(dòng)到該子網(wǎng)���,下文將討論���,二是該用戶沒有注冊或者是非法用戶,這時(shí)認(rèn)證失敗����,否則,網(wǎng)關(guān)設(shè)備向移動(dòng)設(shè)備發(fā)送消息:H(UID) ? NI Il N2���,其中N2是網(wǎng)關(guān)設(shè)備生成的握手隨機(jī)數(shù)���。
[0041](3)移動(dòng)設(shè)備至網(wǎng)關(guān)設(shè)備階段:{H (UID) ? NI Il N2 II EKM (H (移動(dòng)設(shè)備用戶ID) Il N4))}�����,該消息前面部分與第二個(gè)消息一致�,表示該消息移動(dòng)設(shè)備應(yīng)答網(wǎng)關(guān)設(shè)備�,后面部分EKMO是用共有密碼加密移動(dòng)設(shè)備用戶ID的散列函數(shù)和握手隨機(jī)數(shù)N4。
[0042](4)網(wǎng)關(guān)設(shè)備至認(rèn)證服務(wù)器階段:{H(UID) ? NI II N2 II EKM(H(移動(dòng)設(shè)備用戶ID) Il N4))}����,網(wǎng)關(guān)設(shè)備將移動(dòng)設(shè)備的認(rèn)證信息轉(zhuǎn)發(fā)到認(rèn)證服務(wù)器查詢用戶信息。
[0043](5)認(rèn)證服務(wù)器至網(wǎng)關(guān)設(shè)備階段:{H(UID) ? NI Il N2 Il EKM(H(移動(dòng)設(shè)備用戶ID) Il N4+1 Il KS))}����,認(rèn)證服務(wù)器根據(jù)接收到消息,根據(jù)移動(dòng)設(shè)備訪問ID從認(rèn)證數(shù)據(jù)庫的列表中查找出其對應(yīng)的移動(dòng)設(shè)備用戶標(biāo)識(shí)身份�。認(rèn)證通過后將握手隨機(jī)數(shù)N4加1,并隨機(jī)產(chǎn)生一個(gè)臨時(shí)會(huì)話密鑰KS����。握手隨機(jī)數(shù)N4加I是應(yīng)答了消息(4)的詢問。
[0044](6)網(wǎng)關(guān)設(shè)備至移動(dòng)設(shè)備階段:{H(UID) ? NI II N2 Il EKM(N4+1 II N5 II KS)}���,網(wǎng)關(guān)設(shè)備從認(rèn)證服務(wù)器得到認(rèn)證通過后����,將部分消息內(nèi)容加上一個(gè)握手隨機(jī)數(shù)N5傳給移動(dòng)設(shè)備�,N4+1是應(yīng)答消息4,完成了移動(dòng)設(shè)備對網(wǎng)關(guān)設(shè)備的認(rèn)證�,網(wǎng)關(guān)設(shè)備同時(shí)也加上握手隨機(jī)數(shù)N5,等待移動(dòng)設(shè)備應(yīng)答��,以便對移動(dòng)設(shè)備進(jìn)行認(rèn)證��。
[0045](7)移動(dòng)設(shè)備至網(wǎng)關(guān)設(shè)備階段:H(UID) Il EKS (N5+1)�����,移動(dòng)設(shè)備采用會(huì)話密鑰KS加密N5+1傳給網(wǎng)關(guān)設(shè)備���,完成了雙方的相互認(rèn)證���。
[0046]到這里為止,對移動(dòng)設(shè)備的訪問認(rèn)證已經(jīng)完成��。在隨后的通信過程中���,移動(dòng)設(shè)備將采用會(huì)話密鑰加密數(shù)據(jù)�����。
[0047]為了保證移動(dòng)設(shè)備的可信性���,網(wǎng)關(guān)設(shè)備定時(shí)發(fā)起認(rèn)證會(huì)話��,移動(dòng)設(shè)備需要對會(huì)話進(jìn)行正確應(yīng)答�。這個(gè)過程如(8)和(9)��,如果應(yīng)答不正確�,網(wǎng)關(guān)設(shè)備將切斷網(wǎng)絡(luò)連接。
[0048](8)網(wǎng)關(guān)設(shè)備至移動(dòng)設(shè)備:H(UID) Il EKS (N6)��,網(wǎng)關(guān)設(shè)備用EKS會(huì)話密鑰加密N6進(jìn)行詢問��。
[0049](9)移動(dòng)設(shè)備至網(wǎng)關(guān)設(shè)備:H(UID) Il EKS (N6+1)���,移動(dòng)設(shè)備解密N6后��,再進(jìn)行一個(gè)變換(如N6+1)��,用會(huì)話密鑰加密后進(jìn)行應(yīng)答����。
[0050]所述切換過程用于支持設(shè)備的移動(dòng)性。移動(dòng)設(shè)備可能從一個(gè)子網(wǎng)跨越另一個(gè)子網(wǎng)����,它注冊所在的子網(wǎng)與訪問所在的子網(wǎng)可能不一致。移動(dòng)設(shè)備跨子網(wǎng)訪問時(shí)����,網(wǎng)關(guān)設(shè)備不能查詢到該移動(dòng)設(shè)備的訪問ID�����,則認(rèn)為該移動(dòng)設(shè)備可能來自另外一個(gè)子網(wǎng)�,根據(jù)訪問ID命名格式,可以知道移動(dòng)設(shè)備的注冊子網(wǎng)�,這時(shí),網(wǎng)關(guān)設(shè)備向移動(dòng)設(shè)備注冊子網(wǎng)的認(rèn)證服務(wù)器發(fā)送認(rèn)證消息�����。
[0051]綜上所述���,本發(fā)明提出的方法�,保證移動(dòng)設(shè)備和網(wǎng)絡(luò)之間存在一個(gè)互信的環(huán)境。支持移動(dòng)設(shè)備跨子網(wǎng)認(rèn)證�����,從而能夠支持主機(jī)的可移動(dòng)性���。
[0052]顯然���,本領(lǐng)域的技術(shù)人員應(yīng)該理解,上述的本發(fā)明的各模塊或各步驟可以用通用的計(jì)算系統(tǒng)來實(shí)現(xiàn)��,它們可以集中在單個(gè)的計(jì)算系統(tǒng)上���,或者分布在多個(gè)計(jì)算系統(tǒng)所組成的網(wǎng)絡(luò)上�����,可選地�����,它們可以用計(jì)算系統(tǒng)可執(zhí)行的程序代碼來實(shí)現(xiàn)�����,從而����,可以將它們存儲(chǔ)在存儲(chǔ)系統(tǒng)中由計(jì)算系統(tǒng)來執(zhí)行。這樣,本發(fā)明不限制于任何特定的硬件和軟件結(jié)合。
[0053]應(yīng)當(dāng)理解的是���,本發(fā)明的上述【具體實(shí)施方式】僅僅用于示例性說明或解釋本發(fā)明的原理�����,而不構(gòu)成對本發(fā)明的限制�。因此��,在不偏離本發(fā)明的精神和范圍的情況下所做的任何修改�����、等同替換����、改進(jìn)等,均應(yīng)包含在本發(fā)明的保護(hù)范圍之內(nèi)。此外�,本發(fā)明所附權(quán)利要求旨在涵蓋落入所附權(quán)利要求范圍和邊界、或者這種范圍和邊界的等同形式內(nèi)的全部變化和修改例���。
【主權(quán)項(xiàng)】
1.一種身份認(rèn)證識(shí)別方法��,其特征在于�����,包括: 通過用戶和主機(jī)的屬性生成網(wǎng)絡(luò)訪問ID�,移動(dòng)設(shè)備與網(wǎng)關(guān)設(shè)備進(jìn)行雙向認(rèn)證��,并且采用定時(shí)認(rèn)證的機(jī)制以及切換訪問���,實(shí)現(xiàn)移動(dòng)設(shè)備跨子網(wǎng)認(rèn)證�。2.根據(jù)權(quán)利要求1所述的方法��,其特征在于��,所述通過用戶和主機(jī)的屬性生成網(wǎng)絡(luò)訪問ID之前��,還包括: 將網(wǎng)絡(luò)劃分為多個(gè)子網(wǎng)����,每個(gè)子網(wǎng)包含網(wǎng)關(guān)設(shè)備和認(rèn)證服務(wù)器���,根據(jù)移動(dòng)設(shè)備和用戶屬性來生成的移動(dòng)設(shè)備ID,所述移動(dòng)設(shè)備的屬性包含設(shè)備類型���、設(shè)備制作商和設(shè)備序列號(hào)��;用戶屬性主要有身份信息�;將移動(dòng)設(shè)備的屬性和用戶身份屬性連接起來�����,采用散列算法生成移動(dòng)設(shè)備設(shè)備ID��,即移動(dòng)設(shè)備用戶ID = H (Al Il A2 Il...1l An Il UID)��,其中Al�,A2�,…,An為移動(dòng)設(shè)備的屬性�����,UID為用戶的身份信息,H為單向散列函數(shù)�����;網(wǎng)絡(luò)根據(jù)移動(dòng)設(shè)備ID����,分配一個(gè)唯一的移動(dòng)設(shè)備訪問ID,移動(dòng)設(shè)備訪問ID并包含所在子網(wǎng)信息����; 在訪問網(wǎng)絡(luò)之前,移動(dòng)設(shè)備用戶將需要認(rèn)證的信息通過安全信道傳送給認(rèn)證服務(wù)器��,或直接到認(rèn)證服務(wù)器注冊����,注冊過程包括: (1)移動(dòng)設(shè)備用戶向認(rèn)證服務(wù)器提供移動(dòng)設(shè)備的屬性和用戶的身份信息; (2)認(rèn)證服務(wù)器根據(jù)移動(dòng)設(shè)備的屬性和用戶的身份信息�,用散列算法生成唯一的移動(dòng)設(shè)備用戶ID,認(rèn)證服務(wù)器隨機(jī)產(chǎn)生唯一的移動(dòng)設(shè)備訪問ID和雙方共有主密鑰�����;移動(dòng)設(shè)備訪問ID含有所在子網(wǎng)的標(biāo)識(shí)信息�����,與移動(dòng)設(shè)備用戶ID—一對應(yīng);認(rèn)證服務(wù)器和網(wǎng)關(guān)設(shè)備保存移動(dòng)設(shè)備訪問ID的散列值��; (3)認(rèn)證服務(wù)器將移動(dòng)設(shè)備訪問ID和共有主密鑰傳送給移動(dòng)設(shè)備用戶�。3.根據(jù)權(quán)利要求2所述的方法,其特征在于����,所述移動(dòng)設(shè)備與網(wǎng)關(guān)設(shè)備進(jìn)行雙向認(rèn)證,進(jìn)一步包括如下過程: (1)移動(dòng)設(shè)備向網(wǎng)關(guān)設(shè)備發(fā)出請求�����,移動(dòng)設(shè)備生成一個(gè)握手隨機(jī)數(shù)NI����,并通過異或計(jì)算S = H(UID) ? NI,將S和NI傳送給網(wǎng)關(guān)設(shè)備��; (2)網(wǎng)關(guān)設(shè)備接到認(rèn)證請求后����,首先查找H(UID)���,并計(jì)算H(UID)? NI檢驗(yàn)是否等于接收到的S��,如果沒有找到�����,并且該移動(dòng)設(shè)備并未從其他子網(wǎng)移動(dòng)到該子網(wǎng)��,則去頂用戶沒有注冊或者是非法用戶���,認(rèn)證失敗���,如果找到,網(wǎng)關(guān)設(shè)備向移動(dòng)設(shè)備發(fā)送消息H(UID) ? NI Il N2����,其中N2是網(wǎng)關(guān)設(shè)備生成的握手隨機(jī)數(shù); (3)移動(dòng)設(shè)備向網(wǎng)關(guān)設(shè)備階段返回{H(UID) ? NI Il N2 Il EKM (H (移動(dòng)設(shè)備用戶ID) Il N4))}�,所述EKMO是用共有密碼加密移動(dòng)設(shè)備用戶ID的散列函數(shù)和握手隨機(jī)數(shù)N4 ; (4)網(wǎng)關(guān)設(shè)備向認(rèn)證服務(wù)器返回{H(UID)? NI Il N2 Il EKM(H(移動(dòng)設(shè)備用戶ID) Il N4))},網(wǎng)關(guān)設(shè)備將移動(dòng)設(shè)備的認(rèn)證信息轉(zhuǎn)發(fā)到認(rèn)證服務(wù)器查詢用戶信息����; (5)認(rèn)證服務(wù)器向網(wǎng)關(guān)設(shè)備返回{H(UID)? NI Il N2 Il EKM(H(移動(dòng)設(shè)備用戶ID) Il N4+1 Il KS))},即認(rèn)證服務(wù)器根據(jù)接收到的消息�,根據(jù)移動(dòng)設(shè)備訪問ID從認(rèn)證數(shù)據(jù)庫的列表中查找出其對應(yīng)的移動(dòng)設(shè)備用戶標(biāo)識(shí)身份�����,認(rèn)證通過后將握手隨機(jī)數(shù)N4加1����,并隨機(jī)產(chǎn)生一個(gè)臨時(shí)會(huì)話密鑰KS ; (6)網(wǎng)關(guān)設(shè)備向移動(dòng)設(shè)備階段返回{H(UID)? NI Il N2 Il EKM(N4+1 Il N5 Il KS)}���,即網(wǎng)關(guān)設(shè)備從認(rèn)證服務(wù)器得到認(rèn)證通過后�����,將部分消息內(nèi)容加上一個(gè)握手隨機(jī)數(shù)N5傳給移動(dòng)設(shè)備��,完成了移動(dòng)設(shè)備對網(wǎng)關(guān)設(shè)備的認(rèn)證��,網(wǎng)關(guān)設(shè)備同時(shí)也加上握手隨機(jī)數(shù)N5�,等待移動(dòng)設(shè)備應(yīng)答��,以便對移動(dòng)設(shè)備進(jìn)行認(rèn)證��; (7)移動(dòng)設(shè)備向網(wǎng)關(guān)設(shè)備返回H(UID) Il EKS(N5+1)�,即移動(dòng)設(shè)備采用會(huì)話密鑰KS加密N5+1傳給網(wǎng)關(guān)設(shè)備,完成雙方的相互認(rèn)證; 在訪問認(rèn)證已經(jīng)完成的隨后通信過程中����,移動(dòng)設(shè)備采用會(huì)話密鑰加密數(shù)據(jù)�。4.根據(jù)權(quán)利要求3所述的方法,其特征在于�,所述采用定時(shí)認(rèn)證的機(jī)制以及切換訪問,實(shí)現(xiàn)移動(dòng)設(shè)備跨子網(wǎng)認(rèn)證�����,進(jìn)一步包括: 網(wǎng)關(guān)設(shè)備定時(shí)發(fā)起認(rèn)證會(huì)話�,移動(dòng)設(shè)備對會(huì)話進(jìn)行正確應(yīng)答; 網(wǎng)關(guān)設(shè)備向移動(dòng)設(shè)備返回H(UID) Il EKS(N6)���,即網(wǎng)關(guān)設(shè)備用EKS會(huì)話密鑰加密N6進(jìn)行詢問�; 移動(dòng)設(shè)備向網(wǎng)關(guān)設(shè)備返回H(UID) Il EKS(N6+1)�,即移動(dòng)設(shè)備解密N6后,再進(jìn)行一個(gè)變換即N6+1����,用會(huì)話密鑰加密后進(jìn)行應(yīng)答,如果應(yīng)答不正確�����,網(wǎng)關(guān)設(shè)備將切斷網(wǎng)絡(luò)連接; 并且�,若網(wǎng)關(guān)設(shè)備不能查詢到該移動(dòng)設(shè)備的訪問ID,則確定該移動(dòng)設(shè)備來自另外一個(gè)子網(wǎng)���,根據(jù)訪問ID命名格式獲取移動(dòng)設(shè)備的注冊子網(wǎng)����,這時(shí)��,網(wǎng)關(guān)設(shè)備向移動(dòng)設(shè)備注冊子網(wǎng)的認(rèn)證服務(wù)器發(fā)送認(rèn)證消息����。
【專利摘要】本發(fā)明提供了一種身份認(rèn)證識(shí)別方法,該方法包括:通過用戶和主機(jī)的屬性生成網(wǎng)絡(luò)訪問ID��,移動(dòng)設(shè)備與網(wǎng)關(guān)設(shè)備進(jìn)行雙向認(rèn)證����,并且采用定時(shí)認(rèn)證的機(jī)制以及切換訪問,實(shí)現(xiàn)移動(dòng)設(shè)備跨子網(wǎng)認(rèn)證���。本發(fā)明提出的方法保證移動(dòng)設(shè)備和網(wǎng)絡(luò)之間存在一個(gè)互信的環(huán)境�����。支持移動(dòng)設(shè)備跨子網(wǎng)認(rèn)證����,從而能夠支持主機(jī)的可移動(dòng)性。
【IPC分類】H04L29/06
【公開號(hào)】CN105187398
【申請?zhí)枴緾N201510491172
【發(fā)明人】陳虹宇, 王峻嶺, 羅陽, 苗寧
【申請人】四川神琥科技有限公司
【公開日】2015年12月23日
【申請日】2015年8月12日