【技术实现步骤摘要】
本专利技术属于天地一体化网络,具体涉及一种基于身份标识的天地一体化网络双向认证方法。
技术介绍
1、天地一体化网络等链路波动不稳定,对身份认证提出了新的要求。为解决现有pki认证机制存在证书管理和维护成本较高的问题,需要提出一种天地一体化网络双向认证方案,以克服pki机制中证书管理和维护的困难。
技术实现思路
1、(一)要解决的技术问题
2、本专利技术要解决的技术问题是:为解决现有pki认证机制存在证书管理和维护成本较高的问题,提出了一种天地一体化网络双向认证方案,克服pki机制中证书管理和维护的困难。
3、(二)技术方案
4、为了解决上述技术问题,本专利技术提供了一种一种基于身份标识的天地一体化网络双向认证方法,包括以下五个阶段:
5、阶段1、初始化阶段
6、nac初始化公钥参数,并将这些参数发布给网络中的mn、pac,mn和pac能够基于这些公钥参数计算对方的公钥;同时,pac初始化两个表,包括用于管理在其服务覆盖范围内所有组的组标识符映射表gimt和用于管理第i个组中的组成员的组成员映射表gmmt;gimt的属性信息包括组id、pac的服务覆盖区域,pac的切换顺序,以及活跃和休眠这两种可选状态,而gmmt的属性信息包括mn的接入标识aidmn,mn的组身份标识gidmn和mn的共享组会话密钥sk;基于pac的服务覆盖区域,可以提前划分组数以及切换顺序;在此初始化阶段,每个组都被设置为休眠状态;假设网络中有l个pac
7、阶段2、注册阶段
8、1)身份标识建模提取
9、在此阶段,设计了基于身份的签名机制快速完成mn和nac之间的双向身份认证;用户初次入网时,为了保护移动接入节点的隐私,nac将在注册阶段基于节点的真实身份标识idmn为每个节点生成接入标识aidmn;mn向网络认证中心nac提交个人关键多维属性信息,nac通过建模提取用户的关键多维属性信息并通过统一命名映射机制为用户生成全网唯一标识该用户的接入标识aid,用于用户后续身份认证过程及网络通讯;基于关键多维属性信息,通过统一命名标识映射机制为用户生成接入标识aid;
10、2)密钥生成
11、任何节点入网未经过身份认证之前,均需使用其真实身份向nac注册来获取相应的私钥;nac基于椭圆曲线密码体制为用户计算私钥ptk,通过安全机制由nac在安全通信信道中发送给mn;获取到私钥后,pac和mn用各自的私钥对发送的认证请求进行消息签名;同时,pac将自己的ipv6链路本地地址lidpac作为接口单播地址;不同的pac将保持相同的接口单播地址lidpac;
12、阶段3、广播认证阶段
13、在双向认证过程开始时,pac使用其私钥签名定期广播认证请求消息,包括随机数和时间戳;mn收到广播认证请求消息后,根据初始化阶段公布的公钥参数计算出pac的公钥,并验证pac的签名来验证pac的身份;
14、阶段4、单播认证阶段
15、通过广播认证请求消息验证通过pac身份之后,mn开始向pac请求认证;与广播认证阶段不同,mn通过单播使用其私钥签名发送认证请求消息,包括随机数,时间戳和地理位置;同理,当pac从mn接收到认证请求消息之后,它通过计算mn的公钥验证mn签名的身份,如果验证通过,则证明mn是合法节点;随后,pac生成与mn的共享组会话密钥sk,并根据mn的地理位置将mn的aidmn添加到相应的gidmn标识的组中;最后,pac使用其私钥加密发送包括sk和gidmn的认证响应消息;mn接收到该认证响应消息后通过之前计算出的pac的公钥解密消息,获得sk和gidmn。mn基于组标识gidmn生成将在下一阶段使用的组播地址;
16、阶段5、组播认证阶段
17、当一个组中的一个mn检测到链路切换时,会立即发送组播重新认证消息,一旦同组中的其他成员接收到该消息,它们将抑制其重新认证消息并等待认证回复;当一个新的pac移动到gidmn所在的地理区域时,它将自动加入gidmn所属的组播组,以便新的pac接收组播认证消息并通过公共密钥参数计算出mn的公钥对重新认证消息进行验证;如果验证通过,则激活与gidmn相对应的状态并生成新的组会话密钥sk;之后,pac回复重认证请求到对应的组播地址;同一组播组中的mn将接收到认证回复消息,之后将启用新的sk进行网络通信。
18、本专利技术还提供了一种用于实现所述方法的系统。
19、(三)有益效果
20、本专利技术通过引入基于身份的密码体制代替传统基于证书的公钥基础设施体制,提出了一套安全且轻量化的双向身份认证机制,解决了现有身份认证方案存在证书管理和维护成本较高的问题,特别是针对天地一体化网络等链路波动不稳定并涉及到接入节点需要移动切换的应用场景引入组播的概念实现多节点在移动切换时的快速重新认证,使得同一个组内的节点仅需要一条切换认证请求即可完成重新认证,避免了重新认证消息风暴问题和认证方的性能瓶颈。
本文档来自技高网...【技术保护点】
1.一种基于身份标识的天地一体化网络双向认证方法,其特征在于,包括以下五个阶段:
2.如权利要求1所述的方法,其特征在于,提取用户关键多维属性信息时考虑统一性、专业性和广泛适用性原则。
3.如权利要求2所述的方法,其特征在于,提取的关键多维属性信息如下表:
4.如权利要求1所述的方法,其特征在于,统一命名标识映射机制定义如下表:
5.如权利要求1所述的方法,其特征在于,NAC负责天地一体化网络中的单播认证和组播认证,包括通信密钥分发,节点注册,认证策略建立和组播地址分配这些内容。
6.如权利要求1所述的方法,其特征在于,NAC作为私钥生成器,用于移动节点私钥的生成及更新、公钥参数的生成和会话密钥协商,当MN想要接入认证访问网络时,NAC为MN生成认证服务所需的身份标识。
7.如权利要求1所述的方法,其特征在于,PAC由网络边缘的接入服务器充当,当MN再次访问网络进行身份验证时,PAC为MN提供代理认证服务。
8.如权利要求1所述的方法,其特征在于,PAC覆盖的组信息如下表:
9.一种用
...【技术特征摘要】
1.一种基于身份标识的天地一体化网络双向认证方法,其特征在于,包括以下五个阶段:
2.如权利要求1所述的方法,其特征在于,提取用户关键多维属性信息时考虑统一性、专业性和广泛适用性原则。
3.如权利要求2所述的方法,其特征在于,提取的关键多维属性信息如下表:
4.如权利要求1所述的方法,其特征在于,统一命名标识映射机制定义如下表:
5.如权利要求1所述的方法,其特征在于,nac负责天地一体化网络中的单播认证和组播认证,包括通信密钥分发,节点注册,认证策略建立和组播地址分...
【专利技术属性】
技术研发人员:曾颖明,王斌,任益辰,汪美琴,刘金鹏,贾琼,方永强,孔凯薇,吴桐,
申请(专利权)人:北京计算机技术及应用研究所,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。