国产精品1024永久观看,大尺度欧美暖暖视频在线观看,亚洲宅男精品一区在线观看,欧美日韩一区二区三区视频,2021中文字幕在线观看

  • <option id="fbvk0"></option>
    1. <rt id="fbvk0"><tr id="fbvk0"></tr></rt>
      <center id="fbvk0"><optgroup id="fbvk0"></optgroup></center>
      <center id="fbvk0"></center>

      <li id="fbvk0"><abbr id="fbvk0"><dl id="fbvk0"></dl></abbr></li>

      一種移動設備與安全接入網(wǎng)關間密鑰交換協(xié)商方法

      文檔序號:7716203閱讀:285來源:國知局
      專利名稱:一種移動設備與安全接入網(wǎng)關間密鑰交換協(xié)商方法
      技術領域
      本發(fā)明屬于計算機通信和數(shù)據(jù)安全領域,主要涉及安全密鑰協(xié)商技術,遠程訪問
      技術,特別是移動設備與安全接入網(wǎng)關間密鑰交換協(xié)商方法。
      背景技術
      智能終端和無線網(wǎng)絡通訊的迅速發(fā)展使得人們可以很方便地利用智能移動終端隨時隨地接入因特網(wǎng)。但是目前機密性要求較高的業(yè)務在移動終端上的應用卻很少,這是由于移動網(wǎng)絡是開放的網(wǎng)絡,它除了需要面對固定網(wǎng)絡所具有的安全威脅之外,還面臨著帶寬低、干擾大、穩(wěn)定性差,容易丟包,更容易受到竊聽等問題。同時,智能移動終端還具有計算能力低、存儲容量小、IP地址不固定的特點。采用基于IPSec的VPN技術來保障移動終端安全接入是目前的研究熱點。 IKE (Internet Key Exchange)為IPSec提供自動協(xié)商密鑰交換,建立安全聯(lián)盟的服務,其具有一套自保護機制,可以在不安全的網(wǎng)絡上安全地分發(fā)密鑰、驗證身份、建立IPSec安全聯(lián)盟。然而,對于遠程接入用戶,除了需要建立安全聯(lián)盟,還需要獲得安全接入服務器的內(nèi)部網(wǎng)絡信息,而這些在標準IKE中均未定義,針對此問題,現(xiàn)在廣泛應用的解決方案有IETF提出的基于IKE的IPSec隧道模式下的DHCP配置方法,以及微軟提出的基于L2TP/IPSec的解決方案,都有廣泛應用。DHCP/IPSec方案是由IPSec遠程接入客戶端首先生成臨時DHCP SA,然后在此SA保護下產(chǎn)生DHCP請求消息,IPSec遠程接入服務器作為DHCP中繼代理,將消息傳送到內(nèi)網(wǎng)的DHCP服務器,為遠程接入客戶端分配內(nèi)網(wǎng)IP。此方案的不足之處是需要臨時建立一個DHCP SA,不僅延長IKE交互時間,同時也給遠程接入服務器帶來較大負擔,而且由于接入服務器難以控制DHCP服務器,使得不同的用戶身份能夠選擇不同的地址池分配內(nèi)部地址,引發(fā)訪問控制困難。而將L2TP(Layer TwoTunnelingProtocol)與IPSec結合的方案雖然可以實現(xiàn)內(nèi)網(wǎng)地址動態(tài)分配以及用戶名、密碼擴展認證,但此方案需要額外進行L2TP協(xié)商,并且在IPSec數(shù)據(jù)傳輸過程中需要多次封裝,導致效率低下。如何設計合理的IKE協(xié)商過程,并且不影響系統(tǒng)的安全性以及效率性就顯得非常重要。

      發(fā)明內(nèi)容
      本發(fā)明針對目前基于標準IKE的遠程接入方案的缺陷,在標準IKE的基礎上,提供了一種移動設備與安全接入網(wǎng)關間密鑰交換協(xié)商方法,該方法既支持動態(tài)內(nèi)網(wǎng)IP分配,又支持擴展用戶身份認證,具有更高的協(xié)商效率,更強的可控性和靈活性。
      本發(fā)明目的具體通過以下技術手段來實現(xiàn)
      該方法所包括的主要步驟如下 IKE協(xié)商的客戶端(移動設備),向接入網(wǎng)關發(fā)送攜帶有用戶身份認證信息的第五條消息,請求進行用戶身份認證; 所述接入網(wǎng)關接收來自所述客戶端的攜帶有用戶身份認證信息的第五條消息,獲取用戶身份信息,進行用戶身份認證。如果認證通過,則為所述客戶端分配內(nèi)網(wǎng)IP地址,并向所述客戶端發(fā)送攜帶有內(nèi)網(wǎng)IP地址信息的第六條消息; 所述客戶端接收來自所述接入網(wǎng)關的攜帶有內(nèi)網(wǎng)IP地址信息的第六條消息,獲取并記錄所述內(nèi)網(wǎng)IP地址。 上述的方法,其中,所述第五條消息是IKE主模式協(xié)商過程中的第五條消息,所述第六條消息是IKE主模式協(xié)商過程中的第六條消息。 上述的方法,其中,所述用戶身份認證信息包含在所述第五條消息中的用戶身份載荷(Userlnfo)中進行發(fā)送。 上述的方法,其中,所述用戶身份認證信息包括用戶名和用戶密碼。 上述的方法,其中,在所述接入網(wǎng)關上配置用戶信息,以保證用戶可進行身份認證。 上述的方法,其中,所述接入網(wǎng)關為通過用戶身份認證的客戶端分配一個內(nèi)網(wǎng)IP地址;當IKE SA過期或收到IKE中止消息時,回收上述分配的內(nèi)網(wǎng)IP地址。
      上述的方法,其中,所述內(nèi)網(wǎng)IP地址信息攜帶在所述第六條消息中的內(nèi)網(wǎng)地址載荷(InnerAddr)中進行發(fā)送。 上述的方法,其中,所述內(nèi)網(wǎng)IP地址信息為所述接入網(wǎng)關為所述客戶端分配的內(nèi)網(wǎng)IP地址。 上述的方法,其中,所述記錄所述內(nèi)網(wǎng)IP地址為從所接收的第六條消息中獲取內(nèi)網(wǎng)IP地址,將獲取的內(nèi)網(wǎng)IP地址記錄在客戶端設備的注冊表中。 上述的方法,其中,如果用戶身份認證不通過,則所述接入網(wǎng)關將中止與所述客戶端的后續(xù)IKE協(xié)商。 上述的方法,其中,所述第五條消息和第六條消息的內(nèi)容由IKE主模式協(xié)商第一條至第四條消息建立的密碼算法和密鑰來保護。 本發(fā)明方法的有益效果為通過修改IKE交互流程,在保證系統(tǒng)安全及效率的基礎上,不僅實現(xiàn)了客戶端的動態(tài)內(nèi)網(wǎng)IP分配,而且增加對用戶身份的擴展認證。系統(tǒng)中采用的基于用戶組的內(nèi)網(wǎng)IP分配策略,有利于進一步進行訪問控制。


      圖1為本發(fā)明方法所述的移動設備與接入網(wǎng)關之間進行密鑰交換協(xié)商的步驟流程圖; 圖2為本發(fā)明方法在具體實施例中IKE協(xié)商第一階段消息交換過程示意 圖3為本發(fā)明方法在具體實施例中自定義用戶身份載荷(Userlnfo)格式示意圖; 圖4為本發(fā)明方法在具體實施例中自定義內(nèi)網(wǎng)地址載荷(InnerAddr)格式示意圖; 圖5為本發(fā)明方法在具體實施例中標準IKE協(xié)商中第五六條消息更改后的處理流程示意圖; 圖6為本發(fā)明方法在具體實施例中IKE協(xié)商第二階段消息交換過程示意圖。
      圖中HDR表示ISAKMP頭,它的交換類型就是采用的交換的模式,HDR*表明ISAKMP頭后面的是加密載荷。SA表示帶有一個或多個建議載荷的安全關聯(lián)聯(lián)盟。KE表示密鑰交換載荷。IDx表示標識載荷,其中x是ii或者ir, ii代表ISAKMP發(fā)起者,ir代表ISAKMP響應者。HASH表示雜湊載荷。Cert-R表示證書請求載荷。CERT表示證書。AUTH表示用戶名、密碼。IP-Req表示IP地址請求載荷。IP-R印ly表示IP地址載荷。NAT-T表示NAT穿越。NAT-D表示本地IP地址及端口的HASH值。
      具體實施例方式
      以下結合附圖和具體實施例以進一步說明本發(fā)明,但不用來限制本發(fā)明的范圍。
      如圖1所示,本發(fā)明的方法所包括的主要步驟如下 IKE協(xié)商的客戶端(移動設備),向接入網(wǎng)關發(fā)送攜帶有用戶身份認證信息的第五條消息,請求進行用戶身份認證; 所述接入網(wǎng)關接收來自所述客戶端的攜帶有用戶身份認證信息的第五條消息,獲取用戶身份信息,進行用戶身份認證。如果認證通過,則為所述客戶端分配內(nèi)網(wǎng)IP地址,并向所述客戶端發(fā)送攜帶有內(nèi)網(wǎng)IP地址信息的第六條消息; 所述客戶端接收來自所述接入網(wǎng)關的攜帶有內(nèi)網(wǎng)IP地址信息的第六條消息,獲取并記錄所述內(nèi)網(wǎng)IP地址。 其中,所述第五條消息是IKE主模式協(xié)商過程中的第五條消息,所述第六條消息是IKE主模式協(xié)商過程中的第六條消息。 其中,所述用戶身份認證信息包含在所述第五條消息中的用戶身份載荷(Userlnfo)中進行發(fā)送。 其中,所述用戶身份認證信息包括用戶名和用戶密碼。 其中,在所述接入網(wǎng)關上配置用戶信息,以保證用戶可進行身份認證。 其中,所述接入網(wǎng)關為通過用戶身份認證的客戶端分配一個內(nèi)網(wǎng)IP地址;當IKE
      SA過期或收到IKE中止消息時,回收上述分配的內(nèi)網(wǎng)IP地址。 其中,所述內(nèi)網(wǎng)IP地址信息攜帶在所述第六條消息中的內(nèi)網(wǎng)地址載荷(I騰rAddr)中進行發(fā)送。 本發(fā)明所述的方法,其中,所述內(nèi)網(wǎng)IP地址信息為所述接入網(wǎng)關為所述客戶端分配的內(nèi)網(wǎng)IP地址。 其中,所述記錄所述內(nèi)網(wǎng)IP地址為從所接收的第六條消息中獲取內(nèi)網(wǎng)IP地址,將獲取的內(nèi)網(wǎng)IP地址記錄在客戶端設備的注冊表中。 其中,如果用戶身份認證不通過,則所述接入網(wǎng)關將中止與所述客戶端的后續(xù)IKE協(xié)商。 其中,所述第五條消息和第六條消息的內(nèi)容由IKE主模式協(xié)商第一條至第四條消息建立的密碼算法和密鑰來保護。 根據(jù)上述公開的技術方案,本發(fā)明在實施過程中,主要涉及三個通信模塊客戶端模塊,安全接入網(wǎng)關模塊以及地址管理模塊。其中地址管理模塊主要負責接收安全接入網(wǎng)關發(fā)送來的用戶身份信息(從IKE主模式第五條消息的用戶身份信息載荷中提取),根據(jù)用戶身份選擇合適的內(nèi)網(wǎng)IP地址池分配IP,并將結果返回給安全接入網(wǎng)關,如果用戶身份認證失敗,則返回空值。當IKE SA過期或收到IKE終止消息時,安全接入網(wǎng)關模塊會向地址管理模塊發(fā)送地址回收消息,地址管理模塊回收此地址。 具體實施步驟包括IKE第一階段協(xié)商和第二階段協(xié)商 1. IKE第一階段協(xié)商(如圖2): 步驟一 當客戶端需要訪問安全接入網(wǎng)關信息時,首先輸入用戶名、密碼,激活IKE協(xié)商; 步驟二 客戶端發(fā)起IKE協(xié)商主模式第一條消息,生成CKY-I,提出ISAKMP SA屬性的建議,向安全接入網(wǎng)關發(fā)送一個封裝有提案載荷的SA載荷,包括加密算法(選擇DES,AES或3DES等)、hash算法(選擇MD5或SHA)、認證方法(選擇證書認證、預置共享密鑰認證或Kerberos v5認證)、Diff ie-Hellman組(選擇1024bit M0DP, 1536bit M0DP等)。
      步驟三安全接入網(wǎng)關響應IKE協(xié)商主模式第一條消息,生成CKY-R,從建議的ISAKMPSA屬性中做出選擇,并向客戶端發(fā)送IKE協(xié)商主模式第二條消息,表明其所接受的SA建議。 步驟四客戶端發(fā)送IKE協(xié)商主模式第三條消息。包括Diffie-Hellman公開值,nounce值Ni 。 步驟五安全接入網(wǎng)關接收第三條消息,并發(fā)送IKE協(xié)商主模式第四條消息,包括Diffie-Hellman公開值,no皿ce值Nr及證書請求載荷。同時,根據(jù)接收的第三條消息計算SKEYID、 SKEYID_d、 SKEYID_a、 SKEYID_e等密鑰材料。 步驟六客戶端發(fā)送IKE協(xié)商主模式第五條消息,包括標識數(shù)據(jù)ID-I、證書載荷、
      以及自定義的用戶身份載荷(Userlnfo)(具體格式定義如圖3所示)。 步驟七安全接入網(wǎng)關接收第五條消息,如果接收到用戶身份載荷(UserInfo),
      則提取用戶身份信息,傳遞給地址管理模塊,地址管理模塊會根據(jù)用戶身份選擇合適的地
      址池分配,并回送帶有內(nèi)網(wǎng)IP信息的內(nèi)網(wǎng)地址載荷(I皿erAddr)(具體格式如圖4),如果身
      份驗證失敗,則終止后續(xù)IKE協(xié)商。具體流程如圖5。 2. IKE第二階段協(xié)商(如圖6): 步驟八開始IKE第二階段協(xié)商,在IKE SA的保護下建立IPSec SA,客戶端和安全接入網(wǎng)關均可作為發(fā)起端。 步驟九完成IKE第二階段協(xié)商,獲得IPSec傳輸所需要的密鑰材料,傳輸模式等信息,協(xié)商結束。 本發(fā)明針對目前基于標準IKE的遠程接入方案的缺陷,通過在IKE第一階段主模式的第五條消息中增加身份用戶身份載荷,接入網(wǎng)關根據(jù)用戶身份分配合適的內(nèi)網(wǎng)IP添加在IKE第一階段主模式第六條消息中,實現(xiàn)了對用戶遠程安全接入獲得內(nèi)網(wǎng)信息的支持,而且擴展了 IKE認證方式,根據(jù)身份分配內(nèi)網(wǎng)IP的方式更加有利于訪問控制管理,而且,由于擴展載荷增加在第五六條消息中,屬于加密傳輸,不會降低IKE協(xié)商的安全性。因此,本方案不僅滿足遠程客戶的安全接入需求,而且具有更高的協(xié)商效率,更強的可控性及靈活性。 上述的對實施例的描述是為便于該技術領域的普通技術人員能理解和使用本發(fā)明。熟悉本領域技術的人員顯然可以容易地對這些實施例做出各種修改,并把在此說明的一般原理應用到其他實施例中而不必經(jīng)過創(chuàng)造性的勞動。因此,本發(fā)明不限于上述實施例,本領域技術人員根據(jù)本發(fā)明的揭示,在不脫離本發(fā)明的范疇的情況下所做出的修改都在本發(fā)明的保護范圍之內(nèi),
      權利要求
      一種移動設備與安全接入網(wǎng)關間密鑰交換協(xié)商方法,其特征在于包括以下步驟(1)IKE協(xié)商的客戶端,向接入網(wǎng)關發(fā)送攜帶有用戶身份認證信息的第五條消息,請求進行用戶身份認證;(2)所述接入網(wǎng)關接收來自所述客戶端的攜帶有用戶身份認證信息的第五條消息,獲取用戶身份信息,進行用戶身份認證;如果認證通過,則為所述客戶端分配內(nèi)網(wǎng)IP地址,并向所述客戶端發(fā)送攜帶有內(nèi)網(wǎng)IP地址信息的第六條消息;(3)所述客戶端接收來自所述接入網(wǎng)關的攜帶有內(nèi)網(wǎng)IP地址信息的第六條消息,獲取并記錄所述內(nèi)網(wǎng)IP地址。
      2. 根據(jù)權利要求1所述的密鑰交換協(xié)商方法,其特征在于所述第五條消息是IKE主 模式協(xié)商過程中的第五條消息,所述第六條消息是IKE主模式協(xié)商過程中的第六條消息。
      3. 根據(jù)權利要求1所述的密鑰交換協(xié)商方法,其特征在于所述用戶身份認證信息包 含在所述第五條消息的用戶身份載荷中進行發(fā)送。
      4. 根據(jù)權利要求1所述的密鑰交換協(xié)商方法,其特征在于,所述用戶身份認證信息包 括用戶名和用戶密碼。
      5. 根據(jù)權利要求1所述的密鑰交換協(xié)商方法,其特征在于在所述接入網(wǎng)關上配置用戶身份信息,以保證可對用戶進行身份認證。
      6. 根據(jù)權利要求1所述的密鑰交換協(xié)商方法,其特征在于所述接入網(wǎng)關為通過用戶 身份認證的客戶端分配一個內(nèi)網(wǎng)IP地址;當IKE SA過期或收到IKE中止消息時,回收上述 分配的內(nèi)網(wǎng)IP地址。
      7. 根據(jù)權利要求1所述的密鑰交換協(xié)商方法,其特征在于所述內(nèi)網(wǎng)IP地址信息包含 在所述第六條消息的內(nèi)網(wǎng)地址載荷中進行發(fā)送。
      8. 根據(jù)權利要求1所述的密鑰交換協(xié)商方法,其特征在于所述內(nèi)網(wǎng)IP地址信息為所 述接入網(wǎng)關為所述客戶端分配的內(nèi)網(wǎng)IP地址。
      9. 根據(jù)權利要求1所述的密鑰交換協(xié)商方法,其特征在于所述記錄內(nèi)網(wǎng)IP地址為 從所接收的第六條消息中獲取內(nèi)網(wǎng)IP地址,將獲取的內(nèi)網(wǎng)IP地址記錄在客戶端設備的注 冊表中。
      10. 根據(jù)權利要求1所述的密鑰交換協(xié)商方法,其特征在于如果用戶身份認證不通 過,則所述接入網(wǎng)關將中止與所述客戶端的后續(xù)IKE協(xié)商。
      11. 根據(jù)權利要求l所述的密鑰交換協(xié)商方法,其特征在于所述第五條消息和第六條 消息的內(nèi)容由IKE主模式協(xié)商第一條至第四條消息建立的加密算法和密鑰來保護。
      全文摘要
      本發(fā)明公開了一種移動設備與安全接入網(wǎng)關間密鑰交換協(xié)商方法,所述方法在IKE第一階段主模式協(xié)商過程中,移動設備發(fā)送攜帶有用戶身份認證信息的第五條消息至接入網(wǎng)關;接入網(wǎng)關根據(jù)所述第五條消息對遠程設備進行身份認證,若通過,則接入網(wǎng)關向所述移動設備分配內(nèi)網(wǎng)IP地址,并向所述移動設備發(fā)送攜帶有內(nèi)網(wǎng)IP地址信息的第六條消息;所述移動設備接收所述第六條消息,并獲取所述內(nèi)網(wǎng)IP地址。本發(fā)明所述方法通過修改標準IKE交互流程,在保證系統(tǒng)安全的基礎上,實現(xiàn)了對用戶身份的擴展認證和客戶端的動態(tài)內(nèi)網(wǎng)IP分配,克服了現(xiàn)有技術存在的效率低下和可控性差的缺陷,滿足移動環(huán)境下用戶遠程安全接入的要求。
      文檔編號H04W12/00GK101742491SQ200910199910
      公開日2010年6月16日 申請日期2009年12月4日 優(yōu)先權日2009年12月4日
      發(fā)明者汪海航, 舒明磊, 譚博, 譚成翔 申請人:同濟大學
      網(wǎng)友詢問留言 已有0條留言
      • 還沒有人留言評論。精彩留言會獲得點贊!
      1