��、用戶身份標(biāo)識(shí)����、簽名私鑰以及認(rèn)證狀態(tài)四個(gè)字段���,如圖1所示��,后四個(gè)字段為新添加字段����;
[0036]2.用戶身份認(rèn)證:
[0037]2.1用戶通過(guò)客戶端軟件向認(rèn)證服務(wù)器進(jìn)行認(rèn)證�����,發(fā)送用戶名����、加密密碼、主機(jī)的IP地址���、MAC地址以及網(wǎng)關(guān)的IP地址�;
[0038]2.2若用戶身份認(rèn)證成功����,認(rèn)證服務(wù)器將根據(jù)SNMP等協(xié)議���,在用戶接入網(wǎng)關(guān)設(shè)備上,根據(jù)MAC地址反向查找其接入的端口號(hào)���,形成主機(jī)完整屬性映射關(guān)系并登記����;
[0039]2.3認(rèn)證服務(wù)器通過(guò)OpenFlow����、SSL或SNMP協(xié)議向用戶接入交換機(jī)下發(fā)用戶所屬的自治域號(hào)、身份標(biāo)識(shí)UID以及私鑰�����,同時(shí)接入網(wǎng)關(guān)設(shè)備更新主機(jī)記錄的狀態(tài)字段為“認(rèn)證成功(AuthSucc) ” ��;
[0040]3.接入網(wǎng)關(guān)設(shè)備對(duì)數(shù)據(jù)包添加身份標(biāo)識(shí)及數(shù)字簽名�,如圖3所示:
[0041]3.1接入網(wǎng)關(guān)首先判斷用戶發(fā)出當(dāng)前發(fā)出的數(shù)據(jù)包是否適合添加身份標(biāo)識(shí)�,否則按一般數(shù)據(jù)包進(jìn)行處理;
[0042]3.2若上一步成功��,還應(yīng)判斷用戶記錄綁定狀態(tài)是否成功�����,否則直接丟棄;
[0043]3.3若上一步成功��,還應(yīng)判斷自身規(guī)則是否允許該數(shù)據(jù)包被轉(zhuǎn)發(fā)��,否則直接丟棄��;
[0044]3.4對(duì)IPv6數(shù)據(jù)包添加目標(biāo)選項(xiàng)包頭���,并填充ASN和UID,如圖2所示�����。同時(shí)����,采用數(shù)字簽名算法,如 RSA-SHA-256, RSA-SHA-512, ECDSA-SHA-256���,ECDSA-SHA-512 等����、并利用用戶的私鑰對(duì)數(shù)據(jù)包的上層協(xié)議單元、以及當(dāng)前的目標(biāo)選項(xiàng)包頭內(nèi)容(不含數(shù)字簽名內(nèi)容本身)進(jìn)行簽名���,將簽名的結(jié)果(256bit�����,或512bit)更新至目標(biāo)選項(xiàng)包頭的簽名字段中����;
[0045]3.5對(duì)IPv6的原始包頭的相關(guān)字段�,如下一包頭、包頭長(zhǎng)度等相關(guān)字段進(jìn)行更新����。
[0046]4.接入網(wǎng)關(guān)設(shè)備發(fā)送數(shù)據(jù)包。
[0047]根據(jù)一種實(shí)施例�,接入網(wǎng)關(guān)設(shè)備轉(zhuǎn)發(fā)此數(shù)據(jù)包后,中間轉(zhuǎn)發(fā)設(shè)備可對(duì)目標(biāo)選項(xiàng)包頭不予理會(huì)���,而接收端據(jù)此可以對(duì)數(shù)據(jù)包的完整性及發(fā)送者身份進(jìn)行驗(yàn)證���。
[0048]圖1示出了接入網(wǎng)關(guān)設(shè)備擴(kuò)展ARP表的一種設(shè)計(jì),在用戶認(rèn)證成功后用于存儲(chǔ)用戶的私鑰����、身份標(biāo)識(shí)�����,自治域號(hào)以及認(rèn)證綁定的狀態(tài)��。
[0049]圖2示出了利用IPv6目標(biāo)選項(xiàng)包頭而創(chuàng)建的一種自定義包頭格式。
[0050]接入網(wǎng)關(guān)設(shè)備對(duì)用戶發(fā)送數(shù)據(jù)包的處理過(guò)程如圖3所示�����,即首先排除不適用于本方法的數(shù)據(jù)包�,其次判斷用戶是否已認(rèn)證,再判斷該數(shù)據(jù)包是否具有轉(zhuǎn)發(fā)權(quán)限�����,最后按以上選項(xiàng)包頭格式添加和更新���,最后進(jìn)行轉(zhuǎn)發(fā)��。
[0051]本發(fā)明的整體方案不修改任何協(xié)議�、主機(jī)客戶端協(xié)議棧���,也不影響網(wǎng)絡(luò)現(xiàn)有功能���,對(duì)于包頭的更新效率問(wèn)題�,現(xiàn)有的商用交換機(jī)均能做到線速����。對(duì)于用戶的認(rèn)證及密鑰下發(fā)過(guò)程,可以通過(guò)多種方法實(shí)現(xiàn)����,如802.lx, SNMP等。至于添加的選項(xiàng)包頭開銷問(wèn)題取決于與簽名算法聯(lián)合使用的哈希算法�,數(shù)字簽名的長(zhǎng)度對(duì)于以下具體的簽名算法情況分別為:RSA-MD5:128bit, RSA-SHA-l: 160bit, RSA-SHA-256:256bit, RSA-SHA-512:512bit,因此添加的目標(biāo)選項(xiàng)包頭分別僅占MTU的(1500byte)1.87% , 2.13% , 2.93% ,和5.07%,故包頭開銷并不大�����。
[0052]以上內(nèi)容是結(jié)合具體的/優(yōu)選的實(shí)施方式對(duì)本發(fā)明所作的進(jìn)一步詳細(xì)說(shuō)明���,不能認(rèn)定本發(fā)明的具體實(shí)施只局限于這些說(shuō)明�。對(duì)于本發(fā)明所屬技術(shù)領(lǐng)域的普通技術(shù)人員來(lái)說(shuō)���,在不脫離本發(fā)明構(gòu)思的前提下����,其還可以對(duì)這些已描述的實(shí)施例做出若干替代或變型,而這些替代或變型方式都應(yīng)當(dāng)視為屬于本發(fā)明的保護(hù)范圍�����。
【主權(quán)項(xiàng)】
1.一種在接入網(wǎng)關(guān)設(shè)備上實(shí)現(xiàn)包身份標(biāo)識(shí)及數(shù)字簽名的方法�,其特征在于,包括以下步驟: Al����、擴(kuò)展接入網(wǎng)關(guān)設(shè)備的地址解析表(ARP表)以存儲(chǔ)用戶身份標(biāo)識(shí)及用戶私鑰�; A2、用戶主機(jī)發(fā)起身份認(rèn)證���,認(rèn)證成功后認(rèn)證服務(wù)器向接入網(wǎng)關(guān)設(shè)備下發(fā)用戶身份標(biāo)識(shí)及用戶私鑰�; A3��、接入網(wǎng)關(guān)設(shè)備對(duì)用戶主機(jī)發(fā)來(lái)的數(shù)據(jù)包在符合設(shè)定條件的情況下進(jìn)行身份標(biāo)識(shí)及數(shù)字簽名添加����,再轉(zhuǎn)發(fā)該數(shù)據(jù)包。2.如權(quán)利要求1所述的方法,其特征在于�����,所述擴(kuò)展包括增加和存儲(chǔ)自治域號(hào)��、用戶身份標(biāo)識(shí)���、簽名私鑰以及認(rèn)證綁定狀態(tài)四個(gè)字段����。3.如權(quán)利要求2所述的方法����,其特征在于,步驟A2包括: 用戶主機(jī)向認(rèn)證服務(wù)器發(fā)送用戶名��、加密密碼�、主機(jī)的IP地址、MAC地址以及網(wǎng)關(guān)的IP地址�����; 若用戶身份認(rèn)證成功�����,認(rèn)證服務(wù)器在用戶接入網(wǎng)關(guān)設(shè)備上根據(jù)MAC地址反向查找其接入的端口號(hào),形成主機(jī)完整屬性映射關(guān)系并登記�; 認(rèn)證服務(wù)器向用戶接入網(wǎng)關(guān)設(shè)備下發(fā)用戶主機(jī)所屬的自治域號(hào)、用戶身份標(biāo)識(shí)以及簽名私鑰�,同時(shí)用戶接入網(wǎng)關(guān)設(shè)備更新主機(jī)記錄的狀態(tài)字段為“認(rèn)證成功”。4.如權(quán)利要求2所述的方法��,其特征在于�����,步驟A3包括: 接入網(wǎng)關(guān)設(shè)備首先判斷用戶主機(jī)當(dāng)前發(fā)出的數(shù)據(jù)包類型是否適合添加身份標(biāo)識(shí)�,否則按一般數(shù)據(jù)包進(jìn)行處理; 判斷ARP表中該用戶主機(jī)的記錄綁定狀態(tài)是否為“認(rèn)證成功”����,否則直接丟棄���; 判斷自身設(shè)定規(guī)則是否允許該數(shù)據(jù)包被轉(zhuǎn)發(fā)��,否則直接丟棄���; 若上述判斷均成功,對(duì)數(shù)據(jù)包添加目標(biāo)選項(xiàng)包頭,并填充ASN和UID���,同時(shí)���,采用數(shù)字簽名算法,并利用用戶私鑰�����,對(duì)數(shù)據(jù)包的上層協(xié)議單元以及當(dāng)前的目標(biāo)選項(xiàng)包頭除數(shù)字簽名內(nèi)容本身外的內(nèi)容進(jìn)行簽名����,將簽名的結(jié)果更新至目標(biāo)選項(xiàng)包頭的簽名字段中; 對(duì)數(shù)據(jù)包的原始包頭的相關(guān)字段進(jìn)行更新����。5.如權(quán)利要求4所述的方法,其特征在于��,步驟A3中�����,上述判斷是依次判斷的�����。6.如權(quán)利要求4所述的方法,其特征在于�����,所述設(shè)定規(guī)則包括是否具有轉(zhuǎn)發(fā)權(quán)限�����。7.如權(quán)利要求4所述的方法�,其特征在于,步驟A3中���,判斷數(shù)據(jù)包類型是否適合添加身份標(biāo)識(shí)包括:判斷數(shù)據(jù)包是否屬于特定協(xié)議數(shù)據(jù)包��,是則認(rèn)為不適合添加����,所述特定協(xié)議例如 DNS��、DHCP08.如權(quán)利要求4所述的方法�,其特征在于�,所述數(shù)據(jù)包是IPv6數(shù)據(jù)包�,所述接入網(wǎng)關(guān)設(shè)備為交換機(jī)或路由器�����。9.如權(quán)利要求1至8任一項(xiàng)所述的方法��,其特征在于���,接收端在接收到數(shù)據(jù)包時(shí)利用身份標(biāo)識(shí)及數(shù)字簽名對(duì)發(fā)送者身份進(jìn)行驗(yàn)證�����。10.如權(quán)利要求1至9任一項(xiàng)所述的方法�,其特征在于��,中間轉(zhuǎn)發(fā)設(shè)備對(duì)目標(biāo)選項(xiàng)包頭不予理會(huì)���。
【專利摘要】本發(fā)明公開了一種在接入網(wǎng)關(guān)設(shè)備上實(shí)現(xiàn)包身份標(biāo)識(shí)及數(shù)字簽名的方法�����,包括以下步驟:擴(kuò)展接入網(wǎng)關(guān)設(shè)備的地址解析表以存儲(chǔ)用戶身份標(biāo)識(shí)及用戶私鑰���;用戶主機(jī)發(fā)起身份認(rèn)證����,認(rèn)證成功后認(rèn)證服務(wù)器向接入網(wǎng)關(guān)設(shè)備下發(fā)用戶身份標(biāo)識(shí)及用戶私鑰�;接入網(wǎng)關(guān)設(shè)備對(duì)用戶主機(jī)發(fā)來(lái)的數(shù)據(jù)包在符合設(shè)定條件的情況下進(jìn)行身份標(biāo)識(shí)及數(shù)字簽名添加,再轉(zhuǎn)發(fā)該數(shù)據(jù)包�。該方法在建立用戶身份驗(yàn)證機(jī)制的同時(shí),不影響現(xiàn)有網(wǎng)絡(luò)協(xié)議���,開銷代價(jià)小�����,有利于增量部署�����。
【IPC分類】H04L29/06, H04L12/66, H04L9/32
【公開號(hào)】CN105207778
【申請(qǐng)?zhí)枴緾N201410317345
【發(fā)明人】胡光武, 江勇, 徐恪, 吳建平
【申請(qǐng)人】清華大學(xué)深圳研究生院
【公開日】2015年12月30日
【申請(qǐng)日】2014年7月3日