專利名稱:一種基于公鑰基礎(chǔ)設(shè)施的移動(dòng)互聯(lián)網(wǎng)接入認(rèn)證方法
技術(shù)領(lǐng)域:
本發(fā)明是一種移動(dòng)互聯(lián)網(wǎng)接入認(rèn)證機(jī)制的安全解決方案���。本發(fā)明針對(duì)的移動(dòng)互聯(lián)網(wǎng)架構(gòu)采用了基于P2P (對(duì)等技術(shù))的分布式通信和信息處理架構(gòu)����,主要用于解決用戶接入到該網(wǎng)絡(luò)的安全問題�,屬于分布式計(jì)算軟件安全技術(shù)領(lǐng)域。
背景技術(shù):
隨著通信技術(shù)的不斷發(fā)展�����,全球移動(dòng)通信用戶數(shù)量正以驚人的數(shù)量增長。在“2009 (第三屆)移動(dòng)互聯(lián)網(wǎng)研討會(huì)”��,工業(yè)和信息化部副部長宣布中國已經(jīng)擁有了 1. 92億移動(dòng)互聯(lián)網(wǎng)用戶���,說明我們已經(jīng)進(jìn)入了移動(dòng)互聯(lián)網(wǎng)時(shí)代�����。P2P技術(shù)在互聯(lián)網(wǎng)中已被廣泛應(yīng)用���,通常用于文件下載、流媒體等互聯(lián)網(wǎng)業(yè)務(wù)�,將其引入到電信網(wǎng)絡(luò)中可以提高核心網(wǎng)絡(luò)的自組織能力、容災(zāi)能力��、負(fù)載均衡能力等����。然而在 P2P架構(gòu)中,節(jié)點(diǎn)(尤其是用戶節(jié)點(diǎn))的動(dòng)態(tài)性非常強(qiáng)�����,這給移動(dòng)互聯(lián)網(wǎng)的安全機(jī)制帶來了更大的挑戰(zhàn)�。在安全通信中�����,接入認(rèn)證是用戶使用移動(dòng)互聯(lián)網(wǎng)業(yè)務(wù)的前提����,3GPP (第三代合作伙伴計(jì)劃)制定的WCDMA (寬帶碼分多址)標(biāo)準(zhǔn)使用的認(rèn)證算法是AKA (認(rèn)證與密鑰協(xié)商) 協(xié)議���。AKA機(jī)制是由因特網(wǎng)工程任務(wù)組制定�,廣泛應(yīng)用于3G (第三代移動(dòng)通信技術(shù))無線網(wǎng)絡(luò)的鑒權(quán)機(jī)制���。很多文獻(xiàn)中都對(duì)該協(xié)議進(jìn)行了改進(jìn)以更好地應(yīng)用在移動(dòng)互聯(lián)網(wǎng)中��。但是, AKA機(jī)制本身就有一定的局限性�����,其在接入認(rèn)證之前需要進(jìn)行密鑰的共享等�����,這具有很大的安全隱患��。隨著用戶終端存儲(chǔ)能力以及計(jì)算能力的提高,使得將HiI (公鑰基礎(chǔ)設(shè)施)應(yīng)用到移動(dòng)互聯(lián)網(wǎng)中成為了可能����。PKI就是利用公鑰理論和技術(shù)建立的提供安全服務(wù)的基礎(chǔ)設(shè)施,一個(gè)完整的PKI系統(tǒng)必須具有權(quán)威認(rèn)證機(jī)構(gòu)�、數(shù)字證書庫、密鑰備份及恢復(fù)系統(tǒng)���、證書作廢系統(tǒng)�����、應(yīng)用接口等
基本構(gòu)成部分�����。認(rèn)證是移動(dòng)互聯(lián)網(wǎng)絡(luò)及其各項(xiàng)業(yè)務(wù)安全運(yùn)行的一個(gè)重要方面�,認(rèn)證機(jī)制限制非法訪問網(wǎng)絡(luò)資源��,是其他安全機(jī)制的基礎(chǔ)��。認(rèn)證可以針對(duì)解決欺騙與偽造中的身份欺騙���。同時(shí)��,它對(duì)信任危機(jī)也有一定的積極作用�,因?yàn)楣?jié)點(diǎn)在交互之前首先進(jìn)行身份的認(rèn)證和權(quán)限的審查,可以提高雙方相互信任的程度����。所以采用P2P分布式通信和信息處理架構(gòu)的移動(dòng)互聯(lián)網(wǎng)絡(luò)更加需要建立一套切實(shí)可行的接入認(rèn)證機(jī)制,來確保用戶的安全接入�,并且保證網(wǎng)絡(luò)及其相關(guān)業(yè)務(wù)的正常運(yùn)行。
發(fā)明內(nèi)容
技術(shù)問題本發(fā)明的目的是提供一種基于公鑰基礎(chǔ)設(shè)施的移動(dòng)互聯(lián)網(wǎng)接入認(rèn)證方法�,能讓用戶安全地接入到移動(dòng)互聯(lián)網(wǎng)的整個(gè)方法流程。技術(shù)方案本發(fā)明針對(duì)的移動(dòng)互聯(lián)網(wǎng)網(wǎng)絡(luò)環(huán)境采用了 P2P技術(shù)����,P2P的引入給網(wǎng)絡(luò)的安全性帶來了很大的問題。為了增強(qiáng)用戶接入到網(wǎng)絡(luò)的安全性�����,認(rèn)證方法中采用了 PKI 技術(shù)���,實(shí)現(xiàn)基于數(shù)字證書的用戶和網(wǎng)絡(luò)的雙向認(rèn)證。PKI是基于公開密鑰理論和第三方認(rèn)證技術(shù)建立起來的安全體系����,為網(wǎng)絡(luò)應(yīng)用提供實(shí)體鑒別�����、數(shù)據(jù)的保密性�、數(shù)據(jù)的完整性和交易的抗抵賴等安全服務(wù)���。PKI的應(yīng)用保證了用戶接入移動(dòng)互聯(lián)網(wǎng)的安全性�����。本發(fā)明的方法通過采用PKI技術(shù)����,來保證用戶安全地接入到移動(dòng)互聯(lián)網(wǎng)絡(luò)當(dāng)中使用移動(dòng)互聯(lián)網(wǎng)絡(luò)中的各項(xiàng)業(yè)務(wù)�。PKI作為一種安全技術(shù),憑借其強(qiáng)大的技術(shù)優(yōu)勢(shì)已深入到網(wǎng)絡(luò)的各個(gè)層面���,所以將PKI技術(shù)應(yīng)用到移動(dòng)互聯(lián)網(wǎng)中能很好地保障整個(gè)系統(tǒng)的安全性��。為了提出認(rèn)證機(jī)制的技術(shù)方案��,首先要給出基于P2P技術(shù)的移動(dòng)互聯(lián)網(wǎng)的網(wǎng)絡(luò)架構(gòu)和網(wǎng)絡(luò)特性�。移動(dòng)互聯(lián)網(wǎng)是移動(dòng)通信和互聯(lián)網(wǎng)的結(jié)合體,是一個(gè)全國性的�����、以寬帶IP(因特網(wǎng)互聯(lián)協(xié)議)為技術(shù)核心的�,可同時(shí)提供話音、傳真����、數(shù)據(jù)、圖像�、多媒體等高品質(zhì)電信服務(wù)的新一代開放的電信基礎(chǔ)網(wǎng)絡(luò)。移動(dòng)互聯(lián)網(wǎng)業(yè)務(wù)環(huán)境的目標(biāo)就是建立一套面向移動(dòng)互聯(lián)網(wǎng)的端到端的業(yè)務(wù)環(huán)境����。在該環(huán)境中,用戶可以更加方便��、安全��、可靠地基于不同的移動(dòng)通信技術(shù)訪問并使用移動(dòng)互聯(lián)網(wǎng)上的各種業(yè)務(wù)��?;赑2P的分布式通信和信息處理架構(gòu)的移動(dòng)互聯(lián)網(wǎng)核心網(wǎng)絡(luò)是建立在已存在的一個(gè)或多個(gè)網(wǎng)絡(luò)之上的一個(gè)間接的或者是可視化的抽象網(wǎng)絡(luò)。它處于互聯(lián)網(wǎng)和業(yè)務(wù)之間��,P2P對(duì)電信運(yùn)營商帶來了很大沖擊��,但將P2P架構(gòu)引入到移動(dòng)通信網(wǎng)絡(luò)之中����,可以使其成為新的利潤增長點(diǎn)。此外�,它基于互聯(lián)網(wǎng)提供基本業(yè)務(wù)及更多業(yè)務(wù)的支持,實(shí)現(xiàn)組網(wǎng)�、計(jì)費(fèi)、QoS (服務(wù)質(zhì)量)���、安全等機(jī)制���。利用該網(wǎng)絡(luò),可以在不修改已經(jīng)存在的軟件協(xié)議和網(wǎng)絡(luò)的底層結(jié)構(gòu)的情況下��,快速地添加新的網(wǎng)絡(luò)功能���。該網(wǎng)絡(luò)基本上可以分成四層���,自下向上依次為網(wǎng)絡(luò)連接層、中間層���、服務(wù)層和應(yīng)用層����。
各層的功能如下 (1)網(wǎng)絡(luò)連接層
網(wǎng)絡(luò)連接層為中間層提供可靠的網(wǎng)絡(luò)連接,可以是TCP/IP (傳輸控制協(xié)議/因特網(wǎng)互聯(lián)協(xié)議)的傳輸層�,或其它任何能夠提供可靠數(shù)據(jù)傳輸?shù)木W(wǎng)絡(luò)結(jié)構(gòu),如無線網(wǎng)絡(luò)��、藍(lán)牙等����。(2)中間層
中間層是系統(tǒng)的核心層,因?yàn)檫@一層包括了系統(tǒng)中最根本東西����,如對(duì)等點(diǎn),對(duì)等組���,以及對(duì)等點(diǎn)發(fā)現(xiàn)����、定位和路由的算法等�����。此外,穿透防火墻和NAT (網(wǎng)絡(luò)地址轉(zhuǎn)換)的機(jī)制也處在該層��。(3)服務(wù)層
服務(wù)層包括對(duì)于網(wǎng)絡(luò)很通用的一些功能����,如安全���、內(nèi)容管理�����、資源整合和可靠性等���。這些服務(wù)將對(duì)具體的應(yīng)用提供支持,如內(nèi)容管理服務(wù)�,可能會(huì)包括網(wǎng)絡(luò)中內(nèi)容的標(biāo)識(shí)、索引�、 查找以及緩存等。該層中的安全服務(wù)是至關(guān)重要的�,它必須對(duì)上層提供核心安全服務(wù)。(4)應(yīng)用層
應(yīng)用層是在服務(wù)層的基礎(chǔ)上的各種具體的應(yīng)用系統(tǒng)���,可以是應(yīng)用開發(fā)工具����、具體應(yīng)用程序,或者向用戶提供的具體服務(wù)�����。圖1是移動(dòng)互聯(lián)網(wǎng)的安全模型結(jié)構(gòu)����,指出了移動(dòng)互聯(lián)網(wǎng)絡(luò)所面臨的安全問題以及需要采用的安全機(jī)制。由于核心網(wǎng)絡(luò)架構(gòu)引入了 P2P技術(shù)�����,所以網(wǎng)絡(luò)中節(jié)點(diǎn)(尤其是用戶節(jié)點(diǎn))的動(dòng)態(tài)性增強(qiáng)�����,網(wǎng)絡(luò)的安全性也面臨著更大的挑戰(zhàn)�����。認(rèn)證機(jī)制是其他安全機(jī)制的基礎(chǔ)�, 是保障移動(dòng)互聯(lián)網(wǎng)絡(luò)及其各項(xiàng)業(yè)務(wù)安全運(yùn)行的一個(gè)重要方面。為了保證整個(gè)系統(tǒng)的安全性�,我們最終選擇PKI技術(shù)為依托�,采用了基于數(shù)字證書的雙向認(rèn)證方案����,即用戶與網(wǎng)絡(luò)服務(wù)節(jié)點(diǎn)通過驗(yàn)證數(shù)字證書的方式來確認(rèn)對(duì)方的身份。 整個(gè)技術(shù)方案實(shí)施的具體步驟如下步驟1).用戶到認(rèn)證中心錄入自己的信息���,包括用戶名、所在部門���、單位���、城市、省份�、 國家、密鑰長度��、證書有效期����、私鑰密碼,認(rèn)證中心這些信息生成用戶證書�,并將認(rèn)證碼和授權(quán)碼返回給用戶;
步驟2).用戶根據(jù)步驟1)的認(rèn)證碼和授權(quán)碼生成證書申請(qǐng)書���,并提交給注冊(cè)機(jī)構(gòu)�,注冊(cè)機(jī)構(gòu)收到證書申請(qǐng)書后將其轉(zhuǎn)發(fā)給認(rèn)證中心,認(rèn)證中心根據(jù)認(rèn)證碼和授權(quán)碼選出匹配的證書��,并通過注冊(cè)機(jī)構(gòu)轉(zhuǎn)發(fā)給用戶��,這樣用戶成功下載了自己的數(shù)字證書��;網(wǎng)絡(luò)服務(wù)節(jié)點(diǎn)預(yù)置自己的數(shù)字證書���;
步驟幻.用戶向接入節(jié)點(diǎn)發(fā)送入網(wǎng)注冊(cè)請(qǐng)求��,請(qǐng)求信息包括用戶的私有身份標(biāo)識(shí)��;
步驟4).接入節(jié)點(diǎn)收到用戶注冊(cè)信息后���,選擇合適的網(wǎng)絡(luò)服務(wù)節(jié)點(diǎn)為用戶提供接入認(rèn)證服務(wù);
步驟幻.網(wǎng)絡(luò)服務(wù)節(jié)點(diǎn)收到用戶的私有身份標(biāo)識(shí)后����,根據(jù)私有身份標(biāo)識(shí)判斷該用戶是不是本地用戶,如果是本地用戶則直接發(fā)起雙向認(rèn)證過程�,執(zhí)行步驟7),如果不是����,網(wǎng)絡(luò)服務(wù)節(jié)點(diǎn)則查找備份服務(wù)節(jié)點(diǎn)發(fā)起認(rèn)證過程�;
步驟6).如果網(wǎng)絡(luò)服務(wù)節(jié)點(diǎn)找到備份服務(wù)節(jié)點(diǎn)���,則由備份服務(wù)節(jié)點(diǎn)發(fā)起雙向認(rèn)證過程���,執(zhí)行步驟7),如果沒有找到備份服務(wù)節(jié)點(diǎn)�,則接入過程失敗�;
步驟7).用戶向網(wǎng)絡(luò)服務(wù)節(jié)點(diǎn)發(fā)起入網(wǎng)登記請(qǐng)求�����;
步驟8).網(wǎng)絡(luò)服務(wù)節(jié)點(diǎn)收到請(qǐng)求后���,產(chǎn)生一個(gè)隨機(jī)數(shù)����,并將該隨機(jī)數(shù)與自己的數(shù)字證書一起發(fā)送給用戶
步驟9).用戶收到網(wǎng)絡(luò)服務(wù)節(jié)點(diǎn)的數(shù)字證書后�����,首先向認(rèn)證中心申請(qǐng)最新的證書撤銷列表,然后利用認(rèn)證中心的公鑰來驗(yàn)證該網(wǎng)絡(luò)服務(wù)節(jié)點(diǎn)的數(shù)字證書是否由認(rèn)證中心簽發(fā)以及是否被撤銷�,如果驗(yàn)證網(wǎng)絡(luò)服務(wù)節(jié)點(diǎn)的數(shù)字證書失敗,則接入認(rèn)證失敗����,用戶與該網(wǎng)絡(luò)服務(wù)節(jié)點(diǎn)斷開連接;如果驗(yàn)證通過�����,則���,
a)首先用戶用自己的私有密鑰對(duì)接收到的網(wǎng)絡(luò)服務(wù)節(jié)點(diǎn)生成的隨機(jī)數(shù)作數(shù)字簽名�����;
b)其次生成一個(gè)隨機(jī)數(shù)���,然后用網(wǎng)絡(luò)服務(wù)節(jié)點(diǎn)的公開密鑰對(duì)該隨機(jī)數(shù)進(jìn)行加密,最后采用對(duì)稱性加密算法����,用該隨機(jī)數(shù)對(duì)用戶私有身份標(biāo)識(shí)、用戶證書、a)生成的數(shù)字簽名進(jìn)行加密�,生成加密信息;
c)將加密信息發(fā)送到網(wǎng)絡(luò)服務(wù)節(jié)點(diǎn)�����,同時(shí)用戶存儲(chǔ)網(wǎng)絡(luò)服務(wù)節(jié)點(diǎn)生成的隨機(jī)數(shù)�、網(wǎng)絡(luò)節(jié)點(diǎn)的數(shù)字證書以及自己生成的隨機(jī)數(shù);
步驟10).網(wǎng)絡(luò)服務(wù)節(jié)點(diǎn)收到用戶發(fā)送過來的加密信息后��,用自己的私鑰解密得到用戶生成的隨機(jī)數(shù)�,然后用該隨機(jī)數(shù)解密收到的加密信息,得到用戶的私有身份標(biāo)識(shí)和數(shù)字證書����,
(a)首先驗(yàn)證用戶私有身份標(biāo)識(shí)的合法性,如果用戶身份不合法�,則拒絕該用戶的接入�����,如果合法則繼續(xù)以下步驟�;
(b)其次網(wǎng)絡(luò)服務(wù)節(jié)點(diǎn)向認(rèn)證中心申請(qǐng)最新的證書撤銷列表,利用認(rèn)證中心的公鑰驗(yàn)證用戶數(shù)字證書的真實(shí)性���,驗(yàn)證方法與之前用戶驗(yàn)證網(wǎng)絡(luò)服務(wù)節(jié)點(diǎn)的方法相同�;
(c)然后使用用戶的公鑰來解密消息獲得隨機(jī)數(shù),如果該隨機(jī)數(shù)跟步驟(8)中生成的隨機(jī)數(shù)是一致的���,則再生成一個(gè)新的隨機(jī)數(shù)�,使用用戶的公鑰對(duì)該隨機(jī)數(shù)進(jìn)行加密�����,把該加密信息發(fā)送給用戶�,并存儲(chǔ)該隨機(jī)數(shù);
(d)至此網(wǎng)絡(luò)服務(wù)節(jié)點(diǎn)確認(rèn)了用戶的身份�����。
步驟11).用戶收到網(wǎng)絡(luò)服務(wù)節(jié)點(diǎn)發(fā)送過來的加密信息后�����,
(a)用自己的私鑰解密信息獲得隨機(jī)數(shù)��;
(b)發(fā)送確認(rèn)消息給網(wǎng)絡(luò)服務(wù)節(jié)點(diǎn)���;
(c)存儲(chǔ)該隨機(jī)數(shù)�����,并把該隨機(jī)數(shù)作為會(huì)話密鑰�����;
(d)用戶認(rèn)證完成��。步驟12).當(dāng)網(wǎng)絡(luò)服務(wù)節(jié)點(diǎn)收到確認(rèn)消息后��,利用步驟(10)中存儲(chǔ)的隨機(jī)數(shù)作為會(huì)話密鑰�,網(wǎng)絡(luò)服務(wù)節(jié)點(diǎn)認(rèn)證完成。有益效果本發(fā)明方法針對(duì)基于P2P的移動(dòng)互聯(lián)網(wǎng)架構(gòu)而提出了一種新型的接入認(rèn)證方案�����,使用該方法具有如下優(yōu)點(diǎn)
1��、良好的及時(shí)性技術(shù)方案中引入了 Access Node節(jié)點(diǎn)(連接節(jié)點(diǎn))�����,當(dāng)收到用戶的注冊(cè)請(qǐng)求時(shí)會(huì)選擇合適的SN服務(wù)節(jié)點(diǎn)為用戶服務(wù)�����,而且對(duì)認(rèn)證信息進(jìn)行了備份��,當(dāng)SN單點(diǎn)失效時(shí)�����,會(huì)通過P2P路由到備份的SN節(jié)點(diǎn)為用戶服務(wù)���,盡最大的努力保證用戶及時(shí)地接入到網(wǎng)絡(luò)當(dāng)中��。2���、高度的安全性因?yàn)檎J(rèn)證方案采用了雙向認(rèn)證,當(dāng)用戶接入到網(wǎng)絡(luò)中時(shí)����,網(wǎng)絡(luò)中的服務(wù)節(jié)點(diǎn)不僅要驗(yàn)證用戶的身份,而且用戶也會(huì)認(rèn)證服務(wù)節(jié)點(diǎn)的身份�,
這樣就避免了身份欺騙等網(wǎng)絡(luò)安全問題,而且認(rèn)證流程中使用了一些隨機(jī)數(shù)���,這樣可以避免在認(rèn)證過程中遭到重放攻擊���,使整個(gè)系統(tǒng)具有很高的安全性�。3�、良好的系統(tǒng)擴(kuò)展性由于系統(tǒng)模塊之間采用的是獨(dú)立模塊化,功能并行層次化設(shè)計(jì)�,系統(tǒng)模塊之間的通信機(jī)制完全采用層次化的結(jié)構(gòu),因此可以方便的添加新的功能�����,也可以很容易的升級(jí)現(xiàn)有的功能��。4��、美觀易操作的人機(jī)界面該系統(tǒng)采用了人性化設(shè)計(jì)��,并且對(duì)界面進(jìn)行了美化����。用戶端的界面美觀、操作簡單而且功能強(qiáng)大���。
圖1是移動(dòng)互聯(lián)網(wǎng)的安全模型架構(gòu)�����,圖中所示移動(dòng)互聯(lián)網(wǎng)安全模型針對(duì)包括中斷����、截取��、篡改�、偽造等在內(nèi)的安全問題,主要解決服務(wù)和應(yīng)用兩個(gè)層次安全部分�����,采用包括訪問控制��、認(rèn)證�、不可否認(rèn)性、數(shù)據(jù)的機(jī)密性與完整性��、可用性����、隱私保護(hù)等在內(nèi)的安全模型。圖2是認(rèn)證方案部署圖��。圖中her是用戶節(jié)點(diǎn)���,可以是手機(jī)終端或者軟終端�。SN 是由運(yùn)營商配置部署的用來提供服務(wù)的節(jié)點(diǎn)。接入節(jié)點(diǎn)Access Node是負(fù)責(zé)處理節(jié)點(diǎn)加入與退出的功能控制節(jié)點(diǎn)����。Relay Node是中繼節(jié)點(diǎn),當(dāng)某些節(jié)點(diǎn)作為P2P網(wǎng)絡(luò)節(jié)點(diǎn)提供服務(wù)的時(shí)候�,它將會(huì)充當(dāng)Relay Node的功能,對(duì)用戶面數(shù)據(jù)進(jìn)行轉(zhuǎn)發(fā)傳遞�����。SN節(jié)點(diǎn)之間是通過 P2P方式互連的����。網(wǎng)絡(luò)中部署了 CA等PKI服務(wù)器。圖3是用戶申請(qǐng)下載證書的流程圖�,用戶her將簽發(fā)的證書申請(qǐng)書發(fā)給RA,RA對(duì)其簽名后轉(zhuǎn)發(fā)給Ck, CA生成證書后再通過RA將證書轉(zhuǎn)發(fā)給用戶����。圖4詳細(xì)描述了 her和SN之間的雙向認(rèn)證流程。
具體實(shí)施例方式一��、體系結(jié)構(gòu)整個(gè)認(rèn)證方案是為了用戶^er能快速地接入到移動(dòng)互聯(lián)網(wǎng)中并實(shí)現(xiàn)用戶與網(wǎng)絡(luò)節(jié)點(diǎn)的雙向認(rèn)證�。認(rèn)證流程包括信息傳輸、用戶接入網(wǎng)絡(luò)、用戶認(rèn)證網(wǎng)絡(luò)服務(wù)節(jié)點(diǎn)����、服務(wù)節(jié)點(diǎn)認(rèn)證用戶節(jié)點(diǎn)、會(huì)話密鑰生成等部分���。由于需要實(shí)現(xiàn)兩個(gè)不同平臺(tái)之間的信息交互,所以建立了 2組基于TCP的socket傳輸���。一組socket用
于實(shí)現(xiàn)her與SN之間的信息傳輸�����,另一組socket用于實(shí)現(xiàn)her (以及SN)向CA申請(qǐng)最新的證書撤銷列表���。其他各個(gè)功能模塊是分別在兩個(gè)平臺(tái)單獨(dú)實(shí)現(xiàn)的。二���、方法流程
為了方便后面方法流程的描述�,我們假定有如下應(yīng)用實(shí)例�,所設(shè)定的認(rèn)證場景如圖2所示
一個(gè)用戶(下面用^er表示)與接入節(jié)點(diǎn)(下面用Access Node表示)為其選擇的服務(wù)節(jié)點(diǎn)(Service Node,下面用SN表示)進(jìn)行雙向認(rèn)證接入到移動(dòng)互聯(lián)網(wǎng)中�。2. 1證書格式的選擇
在PKI系統(tǒng)中,數(shù)字證書是實(shí)體身份的象征�����。本方法中的數(shù)字證書采用了 X. 509證書格式。X. 509是一種非常通用的證書格式�,所有的證書都符合ITU-T X. 509國際標(biāo)準(zhǔn)。X. 509 證書的結(jié)構(gòu)如下
(1)版本號(hào)(version):定義了證書的版本號(hào)����,證書中如果不包含任何擴(kuò)展,則版本應(yīng)該設(shè)為1 (缺省值)�����。(2)證書擴(kuò)展(extension)對(duì)證書標(biāo)準(zhǔn)部分里沒有涉及到的部分進(jìn)行說明����。(3)頒發(fā)者名稱(issuer)證書應(yīng)用程序必須要能夠識(shí)別χ. 509ν3中列出的所有特定名字屬性。(4)序列號(hào)(serial number)移動(dòng)用戶證書的序列號(hào)長度小于八個(gè)字節(jié)����,服務(wù)器證書的序列號(hào)小于二十個(gè)字節(jié)。(5)簽名算法(signature):定義的簽名算法有兩種shal with rsaencryption簽名算法和ecdsa with shal簽名算法�,首選后者。(6)主體姓名(subject):和頒發(fā)者字段一樣�,證書應(yīng)用程序必須能夠識(shí)別χ. 509ν3 中列出的所有特定名字屬性。(7)主體公鑰信息(subject public key info):這里定義的公鑰類型為兩種rsa (公鑰加密算法)和ecc (錯(cuò)誤檢查和糾正)。
2. 2用戶ID (身份標(biāo)識(shí))的設(shè)計(jì)
用戶ID可以用IMPI (私有身份標(biāo)識(shí))號(hào)或者用戶的身份證號(hào)�����,本方法流程中采用了用戶IMPI作為用戶的ID����。2.3用戶私鑰的存儲(chǔ)方式
私鑰的存儲(chǔ)根據(jù)用戶的選擇,分為以下三種方式進(jìn)行存儲(chǔ)
(1)存儲(chǔ)在手機(jī)上���,如內(nèi)存、SD卡(安全數(shù)碼卡)等手機(jī)存儲(chǔ)設(shè)備���;
(2)存儲(chǔ)在USIM卡(全球用戶識(shí)別卡)上�;
(3)存儲(chǔ)在上網(wǎng)卡或者USm^ey(硬件數(shù)字證書載體)中����,這種方式適用于軟終端。2.4用戶證書的下載
證書可以有PKI可信第三方生成����,由移動(dòng)網(wǎng)絡(luò)運(yùn)營商負(fù)責(zé)具體發(fā)放,為了適應(yīng)移動(dòng)終端和軟終端較弱的處理能力�����,數(shù)字證書的下載有兩種方案可行,一種是在軟終端上實(shí)現(xiàn)移動(dòng)終端的加密模塊����,另一種方案是用定制軟件方式實(shí)現(xiàn)加密模塊。(1)硬件實(shí)現(xiàn)
將用戶證書及私鑰存放在軟終端中���,申請(qǐng)下載用戶證書的方式有兩種���。離線申請(qǐng)離線下載離線申請(qǐng)就是用戶到RA受理點(diǎn)錄入用戶信息,申請(qǐng)證書���。一般用戶在第一次開通服務(wù)的時(shí)候����,可以由運(yùn)營商采用這種離線方式���,將用戶證書集成在 USIM卡或者USBKey�,然后再放到用戶手機(jī)上使用����。離線申請(qǐng)?jiān)诰€下載用戶到RA受理點(diǎn)錄入用戶信息����,申請(qǐng)證書�。但是證書下載是調(diào)用軟終端的相關(guān)接口,簽發(fā)證書申請(qǐng)書���,然后連同用戶申請(qǐng)證書獲得的識(shí)別碼和授權(quán)碼一并提交�。(2)軟件實(shí)現(xiàn)
基于定制軟件證書申請(qǐng)和下載����,即由運(yùn)營商發(fā)布專用的證書申請(qǐng)軟件,通過在服務(wù)器和客戶端之間預(yù)存密鑰�,對(duì)傳輸數(shù)據(jù)進(jìn)行加密和完整性驗(yàn)證�����,保證申請(qǐng)過程的安全性�����。傳統(tǒng)申請(qǐng)證書傳統(tǒng)的證書申請(qǐng)����,通過對(duì)RA提交證書申請(qǐng)���,獲得證書的識(shí)別碼和授權(quán)碼。然后在無線終端輸入識(shí)別碼和授權(quán)碼�,通過連接證書下載門戶,進(jìn)行證書下載���。通過這種方式下載證書�,可以通過RA系統(tǒng)對(duì)證書進(jìn)行掛起��、恢復(fù)��、注銷�、更新等操作。通過手機(jī)直接申請(qǐng)直接通過無線終端向證書下載門戶提交證書申請(qǐng)�,證書下載門戶為用戶申請(qǐng)證書,然后下載證書�����,最終將證書返回到無線終端�����,這種方
式簡化了用戶的操作����,但是增加了 CA的負(fù)擔(dān)����。另外�,采用這種方式,用戶不能在RA系統(tǒng)進(jìn)行證書的注銷等操作����。2. 5密碼算法的選擇
本方法中涉及到的密碼算法如下
(1)對(duì)稱算法加密和解密采用相同的密鑰,其特點(diǎn)是加密速度很快�����,加密強(qiáng)度則在于密鑰的長度���。本方法流程中采用的是1 位的密鑰�,涉及到的算法有AES (高級(jí)加密算法)��、 RC4算法等���。(2)非對(duì)稱算法加密和解密采用一對(duì)算法,私鑰個(gè)人擁有����,公鑰可以對(duì)外發(fā)布�,其特點(diǎn)是用一個(gè)密鑰加密則用另外一個(gè)密鑰解密����。本方法流程中是用自己的證書私鑰對(duì)信息加密,對(duì)方收到信息后用相應(yīng)的公鑰進(jìn)行解密�。證書中采用的是RSA算法,由于運(yùn)算速度比較慢��,所以只用其加解密隨機(jī)數(shù)����。(3)摘要算法摘要算法是一種單向散列算法,其特點(diǎn)是由一個(gè)明文得到一個(gè)唯一對(duì)應(yīng)的定長的摘要信息�,明文做任何改動(dòng),其摘要也隨之改變�����,由摘要無法推算到明文����,它是不可逆。本方法流程中采用的有MD5 (消息摘要算法)和SHAl (安全哈希算法)��。(4)簽名算法摘要算法+非對(duì)稱算法。認(rèn)證流程中對(duì)信息首先生成摘要�����,再用私鑰對(duì)摘要加密形成的密文就是該信息的簽名����。2.6認(rèn)證過程中使用的縮略語
以下認(rèn)證的方法流程中用到的縮略語及其所對(duì)應(yīng)的含義如下
(1)Cert_User 用戶證書
(2)SK_User 用戶私有密鑰
(3)PK_User用戶公鑰
(4)Cert_SN 網(wǎng)絡(luò)服務(wù)節(jié)點(diǎn)的證書(5 ) SK_SN 網(wǎng)絡(luò)服務(wù)節(jié)點(diǎn)的私鑰
(6)PK_SN 網(wǎng)絡(luò)服務(wù)節(jié)點(diǎn)的公鑰
(7)(*)PK_User 使用用戶公開密鑰對(duì)括號(hào)內(nèi)信息加密
(8)(*)SK_User 使用用戶私有密鑰對(duì)括號(hào)內(nèi)信息加密
(9)(*) PK_SN:使用網(wǎng)絡(luò)服務(wù)節(jié)點(diǎn)的公開密鑰對(duì)括號(hào)內(nèi)信息加密
(10)(*)SK_SN 使用網(wǎng)絡(luò)服務(wù)節(jié)點(diǎn)的私有密鑰對(duì)括號(hào)內(nèi)信息加密
(11)WKs 使用Ks對(duì)括號(hào)內(nèi)信息加密 2.7接入認(rèn)證流程
其具體方法流程如下
預(yù)置條件是用戶在接入認(rèn)證到移動(dòng)互聯(lián)網(wǎng)絡(luò)之前,已經(jīng)從認(rèn)證中心下載好了自己的證書Cert_User��,證書申請(qǐng)的流程如圖3所示���。SN節(jié)點(diǎn)由運(yùn)營商部署����,所以可以預(yù)置根證書和自己的證書Cert_SN����。網(wǎng)絡(luò)選擇合適的SN為her服務(wù)的流程如下
UUser向Access Node發(fā)送入網(wǎng)注冊(cè)請(qǐng)求,請(qǐng)求信息包括用戶IMPI號(hào)����。2, Access Node節(jié)點(diǎn)收到用戶注冊(cè)信息后���,Access Node選擇合適的SN節(jié)點(diǎn)為用戶提供接入認(rèn)證服務(wù)�����。3,SN收到用戶IMPI判斷該her是不是本地用戶�����,如果是本地用戶則直接發(fā)起雙向認(rèn)證過程���,如果不是�,SN則查找備份節(jié)點(diǎn)發(fā)起認(rèn)證過程���。User與SN進(jìn)行雙向認(rèn)證的方法流程如下��,圖3是整個(gè)認(rèn)證過程的流程圖 1�、用戶節(jié)點(diǎn)^er向DSN網(wǎng)絡(luò)SN發(fā)起入網(wǎng)登記請(qǐng)求���。2�����、SN發(fā)送自己的證書和隨機(jī)數(shù)Rl給用戶節(jié)點(diǎn)UE
3����、用戶收到網(wǎng)絡(luò)服務(wù)節(jié)點(diǎn)的證書Cert_SN后���,首先向CA申請(qǐng)最新的證書撤銷列表����,然后利用CA的公鑰來驗(yàn)證SN的證書是否由該CA簽發(fā)以及是否被撤銷�����,如果通過驗(yàn)證��,則���,
(1)首先生成一個(gè)隨機(jī)數(shù)Ks����,利用用戶的私有密鑰對(duì)(Rl)作簽名成為 (Rl)SK_User �;
(2)其次用SN的公開密鑰PK_SN對(duì)Ks作加密得到(Ks)PK_SN,最后利用對(duì)稱性加密算法如 AES 對(duì) IMPI��,Cert_User 及(Rl) SK_User 以 Ks 進(jìn)行加密;
(3)然后將加密信息發(fā)送到SN��,同時(shí)UE存儲(chǔ)Rl��,Ks以及Cert_SN�����。4,SN收到響應(yīng)后��,用自己的私鑰SK_SN解密消息(Ks) PK_SN得到Ks��,再用Ks解密 (IMPI Il Cert_User Il (Rl)SK_User) Ks����,得到用戶的 IMPI 和 CertUser��,
(1)首先驗(yàn)證IMPI的合法性��;
(2)然后SN向CA申請(qǐng)最新的證書撤銷列表�,然后利用CA的公鑰驗(yàn)證 User證書的真實(shí)性,驗(yàn)證方法與之前her驗(yàn)證SN的方法相同�����;
(3)然后使用用戶的公鑰PK_User來解密(Rl)SK_User,獲得R1,如果Rl確實(shí)正確���,生成R2���,然后用PK_User對(duì)R2加密,并把PK_User (R2)發(fā)送給her �����;
(4)存儲(chǔ)R2���;
(5)至此SN確認(rèn)her的身份�����。5��、User 收到 PK_User (R2)后
(1)用私鑰 SK_User 解密 PK_User (R2)得到 R2 ��;(2)發(fā)送確認(rèn)消息給SN;
(3)存儲(chǔ)R2�����,并把R2作為會(huì)話密鑰����;
(4)her認(rèn)證完成。6����、當(dāng)SN收到確認(rèn)消息后�,
(1)最后利用R2作為會(huì)話密鑰,并且將Ks刪除�����。(2) SN認(rèn)證完成����。雙向認(rèn)證結(jié)束后^er就已經(jīng)安全地接入到了移動(dòng)互聯(lián)網(wǎng)中,并且享用移動(dòng)互聯(lián)網(wǎng)提供的各項(xiàng)業(yè)務(wù)�����,而最終生成的會(huì)話密鑰也是保證其安全使用的業(yè)務(wù)的前提和基礎(chǔ)����。
權(quán)利要求
1. 一種基于公鑰基礎(chǔ)設(shè)施的移動(dòng)互聯(lián)網(wǎng)接入認(rèn)證方法,其特征在于該方法的具體流程為步驟1).用戶到認(rèn)證中心錄入自己的信息���,包括用戶名����、所在部門、單位�����、城市��、省份���、 國家���、密鑰長度、證書有效期�����、私鑰密碼�����,認(rèn)證中心這些信息生成用戶證書��,并將認(rèn)證碼和授權(quán)碼返回給用戶;步驟2).用戶根據(jù)步驟1)的認(rèn)證碼和授權(quán)碼生成證書申請(qǐng)書���,并提交給注冊(cè)機(jī)構(gòu)���,注冊(cè)機(jī)構(gòu)收到證書申請(qǐng)書后將其轉(zhuǎn)發(fā)給認(rèn)證中心,認(rèn)證中心根據(jù)認(rèn)證碼和授權(quán)碼選出匹配的證書�,并通過注冊(cè)機(jī)構(gòu)轉(zhuǎn)發(fā)給用戶,這樣用戶成功下載了自己的數(shù)字證書����;網(wǎng)絡(luò)服務(wù)節(jié)點(diǎn)預(yù)置自己的數(shù)字證書��;步驟幻.用戶向接入節(jié)點(diǎn)發(fā)送入網(wǎng)注冊(cè)請(qǐng)求��,請(qǐng)求信息包括用戶的私有身份標(biāo)識(shí)�����;步驟4).接入節(jié)點(diǎn)收到用戶注冊(cè)信息后�����,選擇合適的網(wǎng)絡(luò)服務(wù)節(jié)點(diǎn)為用戶提供接入認(rèn)證服務(wù)��;步驟幻.網(wǎng)絡(luò)服務(wù)節(jié)點(diǎn)收到用戶的私有身份標(biāo)識(shí)后,根據(jù)私有身份標(biāo)識(shí)判斷該用戶是不是本地用戶���,如果是本地用戶則直接發(fā)起雙向認(rèn)證過程���,執(zhí)行步驟7),如果不是�����,網(wǎng)絡(luò)服務(wù)節(jié)點(diǎn)則查找備份服務(wù)節(jié)點(diǎn)發(fā)起認(rèn)證過程�����;步驟6).如果網(wǎng)絡(luò)服務(wù)節(jié)點(diǎn)找到備份服務(wù)節(jié)點(diǎn)��,則由備份服務(wù)節(jié)點(diǎn)發(fā)起雙向認(rèn)證過程�����,執(zhí)行步驟7)���,如果沒有找到備份服務(wù)節(jié)點(diǎn)�����,則接入過程失?�?�;步驟7).用戶向網(wǎng)絡(luò)服務(wù)節(jié)點(diǎn)發(fā)起入網(wǎng)登記請(qǐng)求�����;步驟8).網(wǎng)絡(luò)服務(wù)節(jié)點(diǎn)收到請(qǐng)求后���,產(chǎn)生一個(gè)隨機(jī)數(shù)��,并將該隨機(jī)數(shù)與自己的數(shù)字證書一起發(fā)送給用戶步驟9).用戶收到網(wǎng)絡(luò)服務(wù)節(jié)點(diǎn)的數(shù)字證書后�,首先向認(rèn)證中心申請(qǐng)最新的證書撤銷列表��,然后利用認(rèn)證中心的公鑰來驗(yàn)證該網(wǎng)絡(luò)服務(wù)節(jié)點(diǎn)的數(shù)字證書是否由認(rèn)證中心簽發(fā)以及是否被撤銷���,如果驗(yàn)證網(wǎng)絡(luò)服務(wù)節(jié)點(diǎn)的數(shù)字證書失敗,則接入認(rèn)證失敗���,用戶與該網(wǎng)絡(luò)服務(wù)節(jié)點(diǎn)斷開連接�;如果驗(yàn)證通過����,則����,a)首先用戶用自己的私有密鑰對(duì)接收到的網(wǎng)絡(luò)服務(wù)節(jié)點(diǎn)生成的隨機(jī)數(shù)作數(shù)字簽名�����;b)其次生成一個(gè)隨機(jī)數(shù)�,然后用網(wǎng)絡(luò)服務(wù)節(jié)點(diǎn)的公開密鑰對(duì)該隨機(jī)數(shù)進(jìn)行加密,最后采用對(duì)稱性加密算法�����,用該隨機(jī)數(shù)對(duì)用戶私有身份標(biāo)識(shí)���、用戶證書���、a)生成的數(shù)字簽名進(jìn)行加密,生成加密信息�;c)將加密信息發(fā)送到網(wǎng)絡(luò)服務(wù)節(jié)點(diǎn),同時(shí)用戶存儲(chǔ)網(wǎng)絡(luò)服務(wù)節(jié)點(diǎn)生成的隨機(jī)數(shù)��、網(wǎng)絡(luò)節(jié)點(diǎn)的數(shù)字證書以及自己生成的隨機(jī)數(shù);步驟10).網(wǎng)絡(luò)服務(wù)節(jié)點(diǎn)收到用戶發(fā)送過來的加密信息后�����,用自己的私鑰解密得到用戶生成的隨機(jī)數(shù)���,然后用該隨機(jī)數(shù)解密收到的加密信息����,得到用戶的私有身份標(biāo)識(shí)和數(shù)字證書��,(a)首先驗(yàn)證用戶私有身份標(biāo)識(shí)的合法性���,如果用戶身份不合法�����,則拒絕該用戶的接入���,如果合法則繼續(xù)以下步驟����;(b)其次網(wǎng)絡(luò)服務(wù)節(jié)點(diǎn)向認(rèn)證中心申請(qǐng)最新的證書撤銷列表,利用認(rèn)證中心的公鑰驗(yàn)證用戶數(shù)字證書的真實(shí)性,驗(yàn)證方法與之前用戶驗(yàn)證網(wǎng)絡(luò)服務(wù)節(jié)點(diǎn)的方法相同�;(c)然后使用用戶的公鑰來解密消息獲得隨機(jī)數(shù),如果該隨機(jī)數(shù)跟步驟(8)中生成的隨機(jī)數(shù)是一致的�,則再生成一個(gè)新的隨機(jī)數(shù),使用用戶的公鑰對(duì)該隨機(jī)數(shù)進(jìn)行加密�����,把該加密信息發(fā)送給用戶�����,并存儲(chǔ)該隨機(jī)數(shù)��;(d)至此網(wǎng)絡(luò)服務(wù)節(jié)點(diǎn)確認(rèn)了用戶的身份���;步驟11).用戶收到網(wǎng)絡(luò)服務(wù)節(jié)點(diǎn)發(fā)送過來的加密信息后��,(a)用自己的私鑰解密信息獲得隨機(jī)數(shù)��;(b)發(fā)送確認(rèn)消息給網(wǎng)絡(luò)服務(wù)節(jié)點(diǎn)����;(c)存儲(chǔ)該隨機(jī)數(shù)���,并把該隨機(jī)數(shù)作為會(huì)話密鑰�;(d)用戶認(rèn)證完成;步驟12).當(dāng)網(wǎng)絡(luò)服務(wù)節(jié)點(diǎn)收到確認(rèn)消息后��,利用步驟(10)中存儲(chǔ)的隨機(jī)數(shù)作為會(huì)話密鑰����,網(wǎng)絡(luò)服務(wù)節(jié)點(diǎn)認(rèn)證完成。
全文摘要
一種基于公鑰基礎(chǔ)設(shè)施的移動(dòng)互聯(lián)網(wǎng)接入認(rèn)證方法是針對(duì)引入了P2P架構(gòu)的移動(dòng)互聯(lián)網(wǎng)絡(luò)而提出的安全認(rèn)證解決方案�。移動(dòng)互聯(lián)網(wǎng)的核心網(wǎng)引入P2P技術(shù)可以提高網(wǎng)絡(luò)的自組織、負(fù)載均衡等能力����,但同時(shí)也給其安全性帶來了很大的問題。認(rèn)證是移動(dòng)互聯(lián)網(wǎng)絡(luò)及其各項(xiàng)業(yè)務(wù)安全運(yùn)行的基礎(chǔ)����,本方法中的認(rèn)證流程采用了PKI技術(shù),實(shí)現(xiàn)了基于數(shù)字證書的用戶和網(wǎng)絡(luò)的雙向認(rèn)證�,增強(qiáng)用戶接入到網(wǎng)絡(luò)的安全性,在方法的實(shí)現(xiàn)上采用了OpenSSL開源軟件包�。跟目前已有的認(rèn)證方案相比,本方法針對(duì)的網(wǎng)絡(luò)架構(gòu)不同��,此外����,在移動(dòng)互聯(lián)網(wǎng)絡(luò)環(huán)境中應(yīng)用PKI技術(shù)是未來的發(fā)展趨勢(shì)����,因此本方法具有新穎、易擴(kuò)展���、通用等特點(diǎn)���,而且具有很好的市場前景。
文檔編號(hào)H04L29/06GK102404347SQ20111044755
公開日2012年4月4日 申請(qǐng)日期2011年12月28日 優(yōu)先權(quán)日2011年12月28日
發(fā)明者孫力娟, 李致遠(yuǎn), 林巧民, 王汝傳, 肖甫, 趙玉雪, 邵星, 韓志杰, 顧翔, 黃海平 申請(qǐng)人:南京郵電大學(xué)