一種在接入網關設備上實現(xiàn)包身份標識及數字簽名的方法
【技術領域】
[0001]本發(fā)明涉及IP通信技術領域����,特別是涉及一種在接入網關設備上實現(xiàn)包身份標識及數字簽名的方法����。
【背景技術】
[0002]由于互聯(lián)網僅按目的地址進行尋址轉發(fā),而互聯(lián)網體系結構本身又缺乏對數據包IP源地址的認證機制�,這就導致了數據包IP源地址欺騙、以及由源地址欺騙所引發(fā)的大量攻擊行為的存在,而事后僅以源地址為依據卻難以追查攻擊源��。同時�,盡管IP地址同時具有位置和身份的雙重語義,但由于互聯(lián)網的開放性又缺少用戶身份驗證機制�����,進而造成了IP地址與用戶之間的弱關聯(lián)性����,因此難以達到根據追溯攻擊源來識別用戶身份的目的。這也就造成了互聯(lián)網數據包的不可信性���、匿名性和偽裝性�����。
[0003]事實上����,已有一些方案通過保證IP源地址的可信性����,部分或間接地達到了在域內進行身份認證的目的����,這些方案主要分為源地址加密方案��、協(xié)議重設計方案�����、協(xié)議棧修改方案以及包過濾方案等�。源地址加密方案主要通過對稱加密算法對源地址進行加密,并通過共享加密密鑰的方式�,在接收端進行驗證發(fā)送者的真實性,但密鑰傳播的安全性限制了此種方案的適應范圍��;協(xié)議重設計方案是利用IP頭中較少使用的字段��,從而插入自定義特定的標記����,在接收端識別這些標記從而判斷源地址的真?zhèn)?����,但這種機制可能會影響到Q0S在內的其他協(xié)議或服務����,同時惡意用戶仍可以通過仿照標記達到冒充的目的���;協(xié)議棧修改方案是在指在IP層和傳輸層之間建立一個“主機身份”的中間層,通過加密和映射機制�����,保證主機身份標識與IP地址映射的關聯(lián)性及可靠性��,但這種機制的缺點是需要修改終端主機的協(xié)議棧���,因此實現(xiàn)及部署代價較大��;最后的包過濾方案���,主要在用戶接入路由器上利用數據源地址反向查找路由表,從而判別該IP地址的數據包是否可以從入接口進入����,進而達到防止本子網發(fā)出不屬于該子網IP地址范圍數據包的目的,但由于路由的非對稱性的存����,使得機制存在著誤差或漏判的可能性�。
【發(fā)明內容】
[0004]本發(fā)明的主要目的在于提出一種在接入設備上實現(xiàn)對用戶數據包身份標識及數字簽名的添加方法�,建立用戶身份驗證機制的同時,不影響現(xiàn)有網絡協(xié)議���,開銷代價小���,有利于增量部署。
[0005]一種在接入網關設備上實現(xiàn)包身份標識及數字簽名的方法��,包括以下步驟:
[0006]Al���、擴展接入網關設備的地址解析表(ARP表)以存儲用戶身份標識及用戶私鑰�����;
[0007]A2����、用戶主機發(fā)起身份認證���,認證成功后認證服務器向接入網關設備下發(fā)用戶身份標識及用戶私鑰;
[0008]A3��、接入網關設備對用戶主機發(fā)來的數據包在符合設定條件的情況下進行身份標識及數字簽名添加,再轉發(fā)該數據包���。
[0009]優(yōu)選地�����,所述擴展包括增加和存儲自治域號���、用戶身份標識、簽名私鑰以及認證綁定狀態(tài)四個字段���。
[0010]優(yōu)選地����,步驟A2包括:
[0011]用戶主機向認證服務器發(fā)送用戶名���、加密密碼���、主機的IP地址、MAC地址以及網關的IP地址�����;
[0012]若用戶身份認證成功,認證服務器在用戶接入網關設備上根據MAC地址反向查找其接入的端口號���,形成主機完整屬性映射關系并登記����;
[0013]認證服務器向用戶接入網關設備下發(fā)用戶主機所屬的自治域號����、用戶身份標識以及簽名私鑰,同時用戶接入網關設備更新主機記錄的狀態(tài)字段為“認證成功”���。
[0014]優(yōu)選地�,步驟A3包括:
[0015]接入網關設備首先判斷用戶主機當前發(fā)出的數據包類型是否適合添加身份標識���,否則按一般數據包進行處理��;
[0016]判斷ARP表中該用戶主機的記錄綁定狀態(tài)是否為“認證成功”��,否則直接丟棄�;
[0017]判斷自身設定規(guī)則是否允許該數據包被轉發(fā)���,否則直接丟棄�;
[0018]若上述判斷均成功�,對數據包添加目標選項包頭,并填充ASN和UID��,同時���,采用數字簽名算法����,并利用用戶私鑰�����,對數據包的上層協(xié)議單元以及當前的目標選項包頭除數字簽名內容本身外的內容進行簽名����,將簽名的結果更新至目標選項包頭的簽名字段中;
[0019]對數據包的原始包頭的相關字段進行更新����。
[0020]優(yōu)選地,步驟A3中����,上述判斷是依次判斷的����。
[0021]優(yōu)選地�,所述設定規(guī)則包括是否具有轉發(fā)權限。
[0022]優(yōu)選地�,步驟A3中,判斷數據包類型是否適合添加身份標識包括:判斷數據包是否屬于特定協(xié)議數據包�����,是則認為不適合添加���,所述特定協(xié)議例如DNS�、DHCP�����。
[0023]優(yōu)選地�,所述數據包是IPv6數據包,所述接入網關設備為交換機或路由器��。
[0024]優(yōu)選地�,接收端設備在接收到數據包時利用身份標識及數字簽名對發(fā)送者身份進行驗證�。
[0025]優(yōu)選地���,中間轉發(fā)設備對目標選項包頭不予理會�。
[0026]本發(fā)明的有益效果:
[0027]本發(fā)明可在不修改主機協(xié)議棧及主要協(xié)議的前提下�����,實現(xiàn)數據分組的身份實名化��,且能夠支撐跨域身份標識識別及驗證�����。本發(fā)明可對數據包發(fā)送者的身份標識化��,能有效地防止身份標識�����、數據包內容的篡改和抵賴����,同時還能阻止身份標識的逆向推導從而保護用戶身份的隱私���,總整機制能夠達到減少互聯(lián)網攻擊���、構建安全可信互聯(lián)網的目的�。與其他源地址驗證或身份標識添加方案相比�����,本發(fā)明具有實現(xiàn)開銷代價小�,安全可靠性高,以及利于增量部署的特點����。
【附圖說明】
[0028]圖1是本發(fā)明實施例中的接入網關設備的ARP表擴展示意圖;
[0029]圖2是本發(fā)明實施例中的包含身份標識及數字簽名的目標選項包頭設計圖��;
[0030]圖3是本發(fā)明實施例中的接入網關設備對數據包的處理流程示意圖���。
【具體實施方式】
[0031]下面結合【具體實施方式】并對照附圖對本發(fā)明作進一步詳細說明���。應該強調的是,下述說明僅僅是示例性的�,而不是為了限制本發(fā)明的范圍及其應用。
[0032]本發(fā)明認為����,可信的源地址是域內數據包身份歸屬識別的必要條件���,而可信的用戶身份標識是域間數據包身份歸屬識別的必要條件。因此��,使數據包攜帶真實有效的發(fā)送者身份標識����,讓接收方能夠驗證發(fā)送方身份的真?zhèn)涡裕怯行p少互聯(lián)網攻擊行為�����、增強互聯(lián)網安全可信的重要手段��。根據本發(fā)明的實施例�����,可在IPv6環(huán)境下�,利用用戶三層接入網關設備(接入網關交換機或接入網關路由器)對用戶數據包添加用戶身份標識以及數字簽名的機制��,包括步驟:擴展接入網關交換機或路由器的地址解析表(ARP表)以存儲用戶身份標識及用戶私鑰���;用戶發(fā)起身份認證��,認證成功后認證服務器向接入網關設備下發(fā)用戶身份標識及私鑰��;接入網關設備對用戶非特定協(xié)議數據包進行身份標識及數字簽名添加�,再進行數據包轉發(fā)。相比已有方案�,這一方法具有更好的安全性和可實現(xiàn)性,且部署代價較小����,并不破壞現(xiàn)有任何協(xié)議、客戶主機協(xié)議棧以及路由設備架構�,同時還具有很好的可漸進部署性。
[0033]進一步地��,本發(fā)明的實施例可包括以下步驟:
[0034]1.擴展接入網關設備的地址解析表(ARP表):
[0035]1.1在現(xiàn)有交換機ARP表的基礎上�,本方法增加了自治域號