本发明专利技术公开了一种基于身份隐替机制的无线异构网络统一接入认证方法,属于无线异构网络统一接入领域。本发明专利技术基于用户、位置、寻址信息进行分离,创建统一的用户标识,构建完备的统一标识身份隐替机制,将用户身份认证所需的标识分离存储在各个实体上,通过标识的隐藏、替换和更新对用户敏感信息进行防护。本发明专利技术改变了现有技术中不同网络对同一用户同时维护多套标识的状况,用户只需使用一套标识就能接入所需的网络,大大降低了维护用户多套标识的各种开销;其次对用户真实身份UID使用密钥加密传输,可有效防护用户敏感信息在网络中的泄露。
【技术实现步骤摘要】
本专利技术属于无线异构网络统一接入领域,特别是。
技术介绍
无线网络技术的飞速发展,涌现出了大量不同类型的通信网络。网络形式种类繁多,各具特点,异构融合网络作为未来网络的发展趋势,融合了各个网络的优点,但在网络应用范围的不断扩大、接入方式多样化和提供多种业服务的同时,也带来了一系列新的安全问题。无线异构网络中的关键安全技术问题包括安全路由协议、接入认证技术、入侵检测技术、节点间协作通信等。安全性在异构网络的各个关键问题上起着至关重要的作用。在无线网络认证和通信过程中,用户的真实身份和位置信息是重要而又敏感的信息,在通信中必须保证这些信息的机密性,尤其在融合网络的发展中,网络的信息安全防护能力将是吸引用户长期附着的决定性因素。然而在当前的网络中,他们成对出现或绑定存储、使用及传输,不仅造成网络资源的浪费,还容易造成用户敏感信息泄露,带来一系列安全问题。统一标识技术作为提升用户对网络和业务的使用效率、提高身份信息的安全性具有重要的意义,其在不同网络、不同业务间可建立可靠的对用户身份认证的共享服务,避免由各异构网络、不同业务的异构认证机制带来的复杂性。在现有技术中,尽管已有多种身份和地址双重功能分离的方案,但都存在不足之处。如:太过复杂的名字空间定义、众多对应关系的维护需求和扁平的名字空间,导致管理开销和出错率大大增加、并且查找效率低,可扩展性不好。
技术实现思路
本专利技术的目的在于针对异构接入网络认证信息与认证方式各异的问题而提供。实现本专利技术目的的技术解决方案为: ,该方法基于用户、位置、寻址信息进行分离,创建统一的用户标识,构建完备的统一标识身份隐替机制,将用户身份认证所需的标识分离存储在各个实体上,通过标识的隐藏、替换和更新对用户敏感信息进行防护,其具体步骤如下: 第一步,用户使用其与家乡服务器共享的密钥K加密UID信息,得到密文E (K,UID),传送给接入服务器,接入服务器再传送给本地服务器; 第二步,本地服务器将密文E(K,UID)传输给家乡服务器,并且家乡服务器使用自己的私钥Khs解密E (K, UID),得到用户的真实身份HD ; 第三步,家乡服务器秘密选择一个随机数r,之后使用与终端共享的密钥K加密,将密文E(K,r)随同其它消息一起发送给终端用户; 第四步,终端将E(K,r)解密,得到r,然后用于与接入服务器共享的密钥Kma加密,将密文E(Km,r)发送给接入服务器; 第五步,接入服务器将E(Km,r)解密,得到r,然后计算h(r),将h(r)随同其他消息一起发送给本地服务器; 第六步,本地服务器验证h(r),因为只有合法的接入服务器才能从E (Kma, r)中得到正确的r,从而认证接入服务器的合法身份,将会话密钥PMK加密E (r, PMK)随同其他消息一起发给接入服务器; 第七步,接入服务器解密E(r,PMK),得到会话密钥。本专利技术与现有技术相比,其显著优点: 首先,本专利技术改变了现有技术中不同网络对同一用户同时维护多套标识的状况,用户只需使用一套标识就能接入所需的网络,大大降低了维护用户多套标识的各种开销。其次在本专利技术中,对用户真实身份WD使用密钥加密传输,可有效防护用户敏感信息在网络中的泄露; 另外本专利技术增加对接入端的身份认证,通过用户发送的E(KM,r)对接入端进行认证,只有合法的接入端才能正确解密,有效防止本地服务器和接入服务器之间的网络监听,解决了接入端假冒攻击和用户假冒攻击;最后通过随机数提高会话密钥的机密性。附图说明图1是本专利技术的统一标识隐替机制模型图 图2是本专利技术的异构无线融合网络统一认证协议流程图具体实施例方式下面结合附图对本专利技术作进一步详细描述。用户引入身份标识的概念,应用身份隐替机制实现各种网络终端的统一接入,临时身份标识作为用户真实身份的掩护。接入认证过程包括4个认证实体:用户终端,接入服务器,本地服务器和家乡服务器,将用户终端的IP地址作为其地址标识,分别定义用户在各实体上的身份标识:UID (User Identity), AID (Access Network Identity), LID (LocalRealm Identity) ,HID (Home Identity)。将用户身份认证所需的标识分离存储在各个实体上,通过标识的隐藏、替换和更新提高用户敏感信息的安全防护能力。身份隐替机制包括用户的注册、用户的接入认证、认证成功后标识的分发,映射关系的存储,如图1所示。所述的身份隐替机制,其映射模型为:用户首先发送认证请求,将加密后的UID传至各实体服务器进行注册认证;注册成功后,各实体服务器会分配相应的标识,并保留对应的映射关系,最终每个用户都拥有一套这样的身份标识。家乡服务器存储WD,分配HID,建立WD和HID的映射关系;本地服务器存储HID,分配LID,建立HID和LID的映射关系;接入服务器存储LID,分配AID,建立LID和AID的映射关系;用户终端存储AID,建立UID和AID的映射关系。在通信过程中,采用身份标识分离替换的策略,实现对用户真实身份的隐藏。IP地址只担当寻址的角色,实现了标识的分离使用。针对3G移动通信系统的认证与密钥协商协议中存在的问题进行改进,建立异构无线融合网络基于身份隐替机制的协议,统一接入认证方案。融合网络中改进后的认证协议如图2所示。基于接入服务器和用户之间共享密钥Kma的假设,r为至少是128 bit的随机数,K是家乡服务器与用户之间共享的密钥,Kma是接入网络和用户之间共享的密钥,Khs是家乡服务器的私钥。E (K,r)是以K为密钥加密随机数r ;E (Kma, r)是以Kma为密钥加密随机数r ;E(K, UID)是以K为密钥加密UID ;h(r)是随机数r的散列值,AUTN是完整性令牌。具体协议认证步骤如下: 第一步,用户使用其与家乡服务器共享的密钥K加密UID信息,得到密文E (K,UID),传送给接入服务器,接入服务器再传送给本地服务器; 第二步,本地服务器将密文E (K,WD)传输给家乡服务器,并且家乡服务器使用自己的私钥Khs解密E (K, UID),得到用户的真实身份HD ; 第三步,家乡服务器秘密选择一个随机数r,之后使用与终端共享的密钥K加密,将密文E(K,r)随同其它消息一起发送给终端用户; 第四步,终端将E(K,r)解密,得到r,然后用于与接入服务器共享的密钥1^加密,将密文E(Km,r)发送给接入服务器; 第五步,接入服务器将E(Km, r)解密,得到r,然后计算h (r),将h(r)随同其他消息一起发送给本地服务器; 第六步,本地服务器验证h(r),因为只有合法的接入服务器才能从E (Kma, r)中得到正确的r,从而认证接入服务器的合法身份,将会话密钥PMK加密E (r, PMK)随同其他消息一起发给接入服务器; 第七步,接入服务器解密E(r,PMK),得到会话密钥。由于因为只有合法的接入端才能得到正确的r,因此可以保证会话密钥不被窃听。在该协议中,首先对用户真实身份WD使用密钥加密传输,避免用户真实身份信息的泄漏;其次增加对接入端的身份认证。通过用户发送的E(Km,r)对接入端进行认证,只有合法的接入端才能正确解密,有效防止本地服务器和接入本文档来自技高网...
【技术保护点】
一种基于身份隐替机制的无线异构网络统一接入认证方法,该方法基于用户、位置、寻址信息进行分离,创建统一的用户标识,构建完备的统一标识身份隐替机制,将用户身份认证所需的标识分离存储在各个实体上,其特征在于具体步骤如下:第一步,用户使用其与家乡服务器共享的密钥K加密UID信息,得到密文E(K,?UID),传送给接入服务器,接入服务器再传送给本地服务器;第二步,本地服务器将密文E(K,?UID)传输给家乡服务器,并且家乡服务器使用自己的私钥Khs解密E(K,?UID),得到用户的真实身份UID;第三步,家乡服务器秘密选择一个随机数r,之后使用与终端共享的密钥K加密,将密文E(K,?r)随同其它消息一起发送给终端用户;第四步,终端将E(K,?r)解密,得到r,然后用于与接入服务器共享的密钥KMA加密,将密文E(KMA,?r)发送给接入服务器;第五步,接入服务器将E(KMA,?r)解密,得到r,然后计算h(r),将h(r)随同其他消息一起发送给本地服务器;第六步,本地服务器验证h(r),认证接入服务器的合法身份,将会话密钥PMK加密E(r,?PMK)随同其他消息一起发给接入服务器;第七步,接入服务器解密E(r,?PMK),得到会话密钥。...
【技术特征摘要】
1.一种基于身份隐替机制的无线异构网络统一接入认证方法,该方法基于用户、位置、寻址信息进行分离,创建统一的用户标识,构建完备的统一标识身份隐替机制,将用户身份认证所需的标识分离存储在各个实体上,其特征在于具体步骤如下: 第一步,用户使用其与家乡服务器共享的密钥K加密UID信息,得到密文E (K, UID),传送给接入服务器,接入服务器再传送给本地服务器; 第二步,本地服务器将密文E (K,WD)传输给家乡服务器,并且家乡服务器使用自己的私钥Khs解密E (K, UID),得到用户的真实身份HD ; 第三步,家乡服务器秘密选择一个随机数r,之后使用与终端共享的密钥K加密,将密文E(K,r)随同其它消息一起发送给终端用户; 第四步,终端将E(K,r)解密,得到r,然后用于与接入服务器共享的密钥1^加密,将密文E(Km,r)发送给接入服务器;...
【专利技术属性】
技术研发人员:李千目,茅海雁,侯君,戚湧,刘浩,
申请(专利权)人:无锡南理工科技发展有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。