基于互信机制的异构移动网络访问控制方法技术

本发明专利技术公开了基于互信机制的异构移动网络访问控制方法，包括以下步骤：建立网络链路；对待接入区域网络的移动节点进行验证；对通过验证的移动节点提供信任服务并将移动节点接入区域网络；对接入区域网络的移动节点进行监测，若发生异常则终止该移动节点接入区域网络。本发明专利技术采用基于互信体系的异构移动网络系统架构，移动节点访问网络需要先经过安全服务系统的验证，所采用的验证方法为互信验证机制，该机制能够有效识别移动节点的身份及客户端证书，从而为异构移动网络提供安全保障。

Heterogeneous Mobile Network Access Control Method Based on Mutual Trust Mechanism

The invention discloses an access control method for heterogeneous mobile networks based on mutual trust mechanism, which includes the following steps: establishing network links; verifying mobile nodes accessing regional networks; providing trust services to mobile nodes that have been verified and connecting mobile nodes to regional networks; monitoring mobile nodes accessing regional networks; and terminating the mobile nodes in case of anomalies. Point access area network. The invention adopts a heterogeneous mobile network system architecture based on mutual trust system. Mobile nodes need to be verified by security service system before accessing the network. The authentication method adopted is mutual trust authentication mechanism, which can effectively identify the identity of mobile nodes and client certificates, thus providing security for heterogeneous mobile networks.

【技术实现步骤摘要】
基于互信机制的异构移动网络访问控制方法
本专利技术涉及网络安全服务
，具体涉及到基于互信机制的异构移动网络访问控制方法。
技术介绍
近年来随着互联网服务的多元化和通信技术服务的普及，移动设备在通讯设备领域的市场占有率越来越高，移动设备的数量也呈指数型增长，这使得与移动设备关系紧密的异构移动网络服务需求量比以往任何时候都更加旺盛。异构移动无线网络的接入方式、网络类型呈现出多样性，不同网络的实现技术、传输机理、组织方式、控制机制存在巨大差异；并且网络的泛在化和异构性造成用户频繁地变换网络归属和管理域。而针对异构移动无线网络提出的访问控制技术，需要根据目前访问请求用户的网络状态，自适应地采取对应的身份认证方式，对于认证通过的用户，根据用户的位置和业务在不同的接入方式间进行平滑的切换，提供可靠的访问服务支持。安全问题作为异构移动网络发展过程中所必须关注的一个重要问题。随着网络应用范围的不断扩大和接入方式的多样化，各种攻击手段与日俱增，安全性在异构移动网络的各个关键技术问题上起着至关重要的作用，目前异构移动无线网络在对移动设备的访问控制、安全检测方面仍然存在着脆弱性，由于异构网络的极其复杂性，当网络处于异常状态时，异构网络中将出现恶意节点破坏网络安全性。
技术实现思路
本专利技术所要解决的技术问题在于针对上述现有技术中的不足，提供基于互信机制的异构移动网络访问控制方法。本专利技术解决其技术问题所采用的技术方案是：基于互信机制的异构移动网络访问控制方法，包括以下步骤：建立网络链路；对待接入区域网络的移动节点进行验证；对通过验证的移动节点提供信任服务并将移动节点接入区域网络；对接入区域网络的移动节点进行监测，若发生异常则终止该移动节点接入区域网络。进一步的，所述建立网络链路，具体包括：安全服务系统与可信用户节点的客户端之间建立网络连接，客户端设置若干网络接口，移动节点通过网络接口接入待接入区域网络。进一步的，所述对待接入区域网络的移动节点进行验证；具体包括：移动节点进行区域网络接入时，需要由安全服务系统的互信验证机制进行验证。进一步的，所述互信验证机制包括以下步骤：安全服务系统公开系统参数KS作为系统公钥，假设MN的ID为IDMN，随机选取秘密数r，并获取当前时间戳TM，采用对称加密算法，发送信息Enc(rKS||IDMN||TM)至SSS；SSS会对MN的ID进行验证并检查时间戳的准确性；随机选择秘密数rS，得到Y＝rKS+rSKS；计算G＝H(IDMN，Y)；此时SSS保存{IDMN,Y,G}，为MN建立账号信息；SSS保存账号信息并通过安全信道发送信息{IDMN,Y，TS}至MN；MN收到信息后，对SSS的信息来源进行验证，并检查时间戳的准确性，当确认是由真实SSS发送的信息后，MN将其客户端证书信息，假设为{IDMN,IMN}，发送至SSS，SSS对客户端证书的验证；SSS在收到{IDMN,IMN}信息后，解析客户端证书，获取用户信息和相应的证书信息，决定是否授权访问；当SSS验证MN的客户端证书有效时，则开始为MN提供信任服务，即当移动节点选择需要接入的区域网络时，MN产生一个秘密参数rx，计算R0＝H(rx)，h＝H1(IDMN||R0||X)，X为密钥协商参数，将信任服务请求消息Enc{IDMN||hIBMN||TMN}至SSS，IBMN为移动节点请求接入的网络基站标识；SSS收到信息后，验证IDMN以及IBMN的有效性，并检查时间戳的新鲜性；若新鲜，则产生一个秘密数rt，计算R1＝H(rt)，h1＝H2(IDMN||IBMN||R1||X1)，将信任服务信息Enc{ISSS||h1||TMN}发至相应的基站，ISSS为安全服务系统的身份标识，基站收到该信息后，允许MN接入网络并提供相应的网络服务。进一步的，所述对通过验证的移动节点提供信任服务并将移动节点接入区域网络；具体包括：安全服务系统为验证通过的移动节点提供信任服务，并将信任数据发送至移动节点当前区域网络的基站，基站收到数据后，为移动节点提供网络接入服务。进一步的，所述对通过验证的移动节点提供信任服务并将移动节点接入区域网络，还包括：对区域网络的状态进行估计，并为移动节点选择最优网络类型。进一步的，所述对区域网络的状态进行估计具体采用基于机器学习的朴素贝叶斯分类器学习算法，包括以下步骤：首先验统计信息，根据概率估计最可能的网络状态；在采用的朴素贝叶斯分类器中，将网络状态的m项指标作为属性xi(xi∈{x1,x2,…,xm})，网络状态变量采用Y表示，存在n个训练集作为先验信息，用Y＝1表示网络状态适合接入，Y＝0表示网络状态不适合接入，因此网络状态变量Y的概率可以表示为：假设存在n个训练集作为先验信息，网络状态Y＝1的概率为：假设存在n个训练集作为先验信息，网络状态Y＝0的概率为：通过朴素贝叶斯算法训练后的分类模型用公式表达：h是由朴素贝叶斯算法训练出来的一种假设，它的值就是朴素贝叶斯分类器对于给定属性xi的因素下最可能出现的网络状态；通过公式(2)-(4)，为移动节点自动选择满足网络状态指标要求的接入网络。进一步的，所述对接入区域网络的移动节点进行监测，若发生异常则终止该移动节点接入区域网络，具体包括：移动节点使用区域网络的过程中，向安全服务系统发送移动条件下不断变化的网络状态信息；安全服务系统对移动节点进行节点状态的互信监测，了解移动节点的故障或异常状态；如果移动节点不向安全服务系统发送状态数据，则互信规则将被打破，安全服务系统终止为该移动节点提供信任服务，移动节点将无法接入网络。进一步的，所述安全服务系统对移动节点进行节点状态的互信监测，了解移动节点的故障或异常状态，具体为：采用隐马尔科夫模型观察移动节点的状态信息进行自主学习，通过观察结果与异常状态关联，最终评估移动节点是否发生异常，具体包括以下步骤：假设移动节点状态有两种：正常状态和异常状态，建立一个移动节点正常状态切换到异常状态的隐马尔科夫模型HMM(λ)＝(Z,Q,W)；Z表示可疑节点的初始状态概率矩阵，即在上一时间段T内可疑移动节点为正常状态的概率；为可疑移动节点身份状态转移矩阵，是状态从Qi转移至Qj的概率；为可观察的行为表现概率矩阵；表示在状态为Qi的节点，其历史状态表现为可疑异常状态的次数为v次的概率；对于可疑异常状态，设定一个阈值Bth，当节点的网络带宽超过Bth时，判定为可疑异常状态；计算移动节点为异常状态时其历史状态表现为可疑异常状态的次数为v的概率根据隐马尔科夫模型HMM(λ)＝(Z,Q,W)，可以预测下一时间段可疑节点为异常节点的概率；假设所观测的序列为节点MNi的历史可疑异常状态序列，则可以得到下一个时间段T节点MNi为异常状态的概率为：若节点下一个时间段T的异常状态概率超过为当前网络的平均网络带宽，则安全服务系统将该节点确认为异常节点。本专利技术的有益效果：本专利技术提出了一种基于互信机制的异构移动网络访问控制技术，该技术采用基于互信体系的异构移动网络系统架构，在该系统架构下，移动节点访问网络需要先经过安全服务系统的验证，所采用的验证方法为互信验证机制，该机制能够有效识别移动节点的身份及客户端证书，从而为异构移动网络提供安全保障；为了提高网络的服务质量，本专利技术还提本文档来自技高网...

【技术保护点】
1.基于互信机制的异构移动网络访问控制方法，其特征在于，包括以下步骤：建立网络链路；对待接入区域网络的移动节点进行验证；对通过验证的移动节点提供信任服务并将移动节点接入区域网络；对接入区域网络的移动节点进行监测，若发生异常则终止该移动节点接入区域网络。

【技术特征摘要】
1.基于互信机制的异构移动网络访问控制方法，其特征在于，包括以下步骤：建立网络链路；对待接入区域网络的移动节点进行验证；对通过验证的移动节点提供信任服务并将移动节点接入区域网络；对接入区域网络的移动节点进行监测，若发生异常则终止该移动节点接入区域网络。2.根据权利要求1所述的基于互信机制的异构移动网络访问控制方法，其特征在于，所述建立网络链路，具体包括：安全服务系统与可信用户节点的客户端之间建立网络连接，客户端设置若干网络接口，移动节点通过网络接口接入待接入区域网络。3.根据权利要求1所述的基于互信机制的异构移动网络访问控制方法，其特征在于，所述对待接入区域网络的移动节点进行验证；具体包括：移动节点进行区域网络接入时，需要由安全服务系统的互信验证机制进行验证。4.根据权利要求3所述的基于互信机制的异构移动网络访问控制方法，其特征在于，所述互信验证机制包括以下步骤：安全服务系统公开系统参数KS作为系统公钥，假设MN的ID为IDMN，随机选取秘密数r，并获取当前时间戳TM，采用对称加密算法，发送信息Enc(rKS||IDMN||TM)至SSS；SSS会对MN的ID进行验证并检查时间戳的准确性；随机选择秘密数rS，得到Y＝rKS+rSKS；计算G＝H(IDMN，Y)；此时SSS保存{IDMN,Y,G}，为MN建立账号信息；SSS保存账号信息并通过安全信道发送信息{IDMN,Y，TS}至MN；MN收到信息后，对SSS的信息来源进行验证，并检查时间戳的准确性，当确认是由真实SSS发送的信息后，MN将其客户端证书信息，假设为{IDMN,IMN}，发送至SSS，SSS对客户端证书的验证；SSS在收到{IDMN,IMN}信息后，解析客户端证书，获取用户信息和相应的证书信息，决定是否授权访问；当SSS验证MN的客户端证书有效时，则开始为MN提供信任服务，即当移动节点选择需要接入的区域网络时，MN产生一个秘密参数rx，计算R0＝H(rx)，h＝H1(IDMN||R0||X)，X为密钥协商参数，将信任服务请求消息Enc{IDMN||hIBMN||TMN}至SSS，IBMN为移动节点请求接入的网络基站标识；SSS收到信息后，验证IDMN以及IBMN的有效性，并检查时间戳的新鲜性；若新鲜，则产生一个秘密数rt，计算R1＝H(rt)，h1＝H2(IDMN||IBMN||R1||X1)，将信任服务信息Enc{ISSS||h1||TMN}发至相应的基站，ISSS为安全服务系统的身份标识，基站收到该信息后，允许MN接入网络并提供相应的网络服务。5.根据权利要求1所述的基于互信机制的异构移动网络访问控制方法，其特征在于，所述对通过验证的移动节点提供信任服务并将移动节点接入区域网络；具体包括：安全服务系统为验证通过的移动节点提供信任服务，并将信任数据发送至移动节点当前区域网络的基站，基站收到数据后，为移动节点提供网络接入服务。6.根据权利要求1所述的基于互信机制的异构移动网络访问控制方法，其特征...

【专利技术属性】
技术研发人员：王凤，邱泽敏，倪伟传，刘少江，许志明，万智萍，
申请(专利权)人：中山大学新华学院，
类型：发明
国别省市：广东,44