一種身份認證識別方法

一種身份認證識別方法
【技術領域】
[0001]本發明涉及網絡安全，特別涉及一種身份認證識別方法。
【背景技術】
[0002]目前網絡中不斷出現病毒、木馬和各種惡意入侵等行為，嚴重影響了網絡的正常運行，使網絡處于不可控狀態。一個可信的網絡首先要保證終端結點和網絡都應該被保護，防止欺騙或者非法訪問的發生。網絡訪問認證是保證網絡安全的最基本的安全機制，它是保護網絡安全的第一道屏障。現有技術在網絡訪問控制方面具有良好的靈活性和可擴展性，但是這些方法主要是單向認證，并且需要更多的存儲空間。沒有保證認證的持續性。

【發明內容】

[0003]為解決上述現有技術所存在的問題，本發明提出了一種身份認證識別方法，包括:
[0004]通過用戶和主機的屬性生成網絡訪問ID，移動設備與網關設備進行雙向認證，并且采用定時認證的機制以及切換訪問，實現移動設備跨子網認證。
[0005]優選地，所述通過用戶和主機的屬性生成網絡訪問ID之前，還包括:
[0006]將網絡劃分為多個子網，每個子網包含網關設備和認證服務器，根據移動設備和用戶屬性來生成的移動設備ID，所述移動設備的屬性包含設備類型、設備制作商和設備序列號；用戶屬性主要有身份信息；將移動設備的屬性和用戶身份屬性連接起來，采用散列算法生成移動設備設備ID，即移動設備用戶ID = H (Al IIA2I1...1l An Il UID)，其中Al，A2，…，An為移動設備的屬性，UID為用戶的身份信息，H為單向散列函數；網絡根據移動設備ID，分配一個唯一的移動設備訪問ID，移動設備訪問ID并包含所在子網信息；
[0007]在訪問網絡之前，移動設備用戶將需要認證的信息通過安全信道傳送給認證服務器，或直接到認證服務器注冊，注冊過程包括:
[0008](I)移動設備用戶向認證服務器提供移動設備的屬性和用戶的身份信息；
[0009](2)認證服務器根據移動設備的屬性和用戶的身份信息，用散列算法生成唯一的移動設備用戶ID，認證服務器隨機產生唯一的移動設備訪問ID和雙方共有主密鑰；移動設備訪問ID含有所在子網的標識信息，與移動設備用戶ID—一對應；認證服務器和網關設備保存移動設備訪問ID的散列值；
[0010](3)認證服務器將移動設備訪問ID和共有主密鑰傳送給移動設備用戶。
[0011]優選地，所述移動設備與網關設備進行雙向認證，進一步包括如下過程:
[0012](I)移動設備向網關設備發出請求，移動設備生成一個握手隨機數NI，并通過異或計算S = H(UID) ? NI，將S和NI傳送給網關設備；
[0013](2)網關設備接到認證請求后，首先查找H(UID)，并計算H(UID) ? NI檢驗是否等于接收到的S，如果沒有找到，并且該移動設備并未從其他子網移動到該子網，則去頂用戶沒有注冊或者是非法用戶，認證失敗，如果找到，網關設備向移動設備發送消息H(UID) ? NI Il N2，其中N2是網關設備生成的握手隨機數；
[0014](3)移動設備向網關設備階段返回{H(UID) ? NI Il N2 II EKM(H(移動設備用戶ID) Il N4))}，所述EKMO是用共有密碼加密移動設備用戶ID的散列函數和握手隨機數N4 ;
[0015](4)網關設備向認證服務器返回{H(UID) ? NI Il N2 Il EKM(H(移動設備用戶ID) Il N4))}，網關設備將移動設備的認證信息轉發到認證服務器查詢用戶信息；
[0016](5)認證服務器向網關設備返回{H(UID) ? NI Il N2 Il EKM(H(移動設備用戶ID) Il N4+1 Il KS))}，即認證服務器根據接收到的消息，根據移動設備訪問ID從認證數據庫的列表中查找出其對應的移動設備用戶標識身份，認證通過后將握手隨機數N4加1，并隨機產生一個臨時會話密鑰KS ;
[0017](6)網關設備向移動設備階段返回{H(UID) ? NI II N2 Il EKM(N4+1 II N5 II KS)}，即網關設備從認證服務器得到認證通過后，將部分消息內容加上一個握手隨機數N5傳給移動設備，完成了移動設備對網關設備的認證，網關設備同時也加上握手隨機數N5，等待移動設備應答，以便對移動設備進行認證；
[0018](7)移動設備向網關設備返回H(UID) Il EKS(N5+1)，即移動設備采用會話密鑰KS加密N5+1傳給網關設備，完成雙方的相互認證；
[0019]在訪問認證已經完成的隨后通信過程中，移動設備采用會話密鑰加密數據。
[0020]優選地，所述采用定時認證的機制以及切換訪問，實現移動設備跨子網認證，進一步包括:
[0021]網關設備定時發起認證會話，移動設備對會話進行正確應答；
[0022]網關設備向移動設備返回H(UID) Il EKS (N6)，即網關設備用EKS會話密鑰加密N6進行詢問；
[0023]移動設備向網關設備返回H(UID) Il EKS(N6+1)，即移動設備解密N6后，再進行一個變換即N6+1，用會話密鑰加密后進行應答，如果應答不正確，網關設備將切斷網絡連接；
[0024]并且，若網關設備不能查詢到該移動設備的訪問ID，則確定該移動設備來自另外一個子網，根據訪問ID命名格式獲取移動設備的注冊子網，這時，網關設備向移動設備注冊子網的認證服務器發送認證消息。
[0025]本發明相比現有技術，具有以下優點:
[0026]本發明提出的方法，保證移動設備和網絡之間存在一個互信的環境。支持移動設備跨子網認證，從而能夠支持主機的可移動性。
【附圖說明】
[0027]圖1是根據本發明實施例的身份認證識別方法的流程圖。
【具體實施方式】
[0028]下文與圖示本發明原理的附圖一起提供對本發明一個或者多個實施例的詳細描述。結合這樣的實施例描述本發明，但是本發明不限于任何實施例。本發明的范圍僅由權利要求書限定，并且本發明涵蓋諸多替代、修改和等同物。在下文描述中闡述諸多具體細節以便提供對本發明的透徹理解。出于示例的目的而提供這些細節，并且無這些具體細節中的一些或者所有細節也可以根據權利要求書實現本發明。
[0029]本發明的一方面提供了一種身份認證識別方法。圖1是根據本發明實施例的身份認證識別方法流程圖。本發明的移動設備安全訪問認證方法，通過關聯主機的屬性和用戶屬性生成網絡訪問ID，移動設備使用訪問ID與網關設備進行雙向認證，阻止惡意用戶訪問和使用網絡，在訪問之后，網絡采用定時認證的機制來保證認證的連續性。該方法保證移動設備和網絡之間存在一個互信的環境。另外該協議采用切換訪問的方法，支持移動設備跨子網認證，從而能夠支持主機的移動性。
[0030]本發明涉及三個實體，它們分別是移動設備、網關設備和認證服務器。為了支持終端的移動快速訪問，網絡將劃分為多個子網，每個子網包含網關設備和認證服務器。認證方法由三個部分組成，即注冊過程、認證過程和移動設備跨子網切換過程。
[0031]移動設備ID是根據移動設備和用戶屬性來生成的，這樣關聯的目的是保證對設備和用戶具有可控性。移動設備的屬性如設備類型、設備制作商和設備序列號等。用戶屬性主要有身份信息，如身份證號。將移動設備的屬性和用戶身份屬性連接起來，采用散列算法生成移動設備設備ID。假設移動設備的屬性為Al，A2，…，An，用戶的身份信息為UID，那么移動設備ID的生成方法如下:
[0032]移動設備用戶ID = H (Al Il A2 II …II An II UID)
[0033]其中H為單向散列函數。網絡將根據移動設備ID，分配一個唯一的移動設備訪問ID，移動設備訪問ID并包含所在子網信息。
[0034]移動設備要訪問這個網絡，事先必須到認證服務器進行注冊，移動設備用戶將需要認證的信息通過安全信道傳送給認證服務器，也可以直接到認證服務器注冊。注冊過程需要生成移動設備訪問ID和雙方共有主密鑰。
[0035](I)移動設備至認證服務器階段:移動設備用戶向認證服務器提供移動設備的屬性和用戶的身份信息，設備的屬性包括設備類型、生產制造商、產品序列號等。
[0036](2)認證服務器處理階段:認證服務器根據移動設備的一些屬性和用戶的身份信息，用散列算法生成唯一的移動設備用戶ID，認證服務器隨機產生唯一的移動設備訪問ID和雙方共有主密鑰。移動設備訪問ID含有所在子網的標識信息，與移動設備用戶ID—一對應。認證服務器和網關設備保存移動設備訪問ID的散列值。
[0037](3)認證服務器至移動設備階段:認證服務器將移動設備訪問ID和共有主密鑰傳送給移動設備用戶。
[0038]認證過程是在移動設備、網關設備和認證服務器之間進行消息的傳遞過程:
[0039](I)移動設備至網關設備階段:移動設備向網關設備發出請求，移動設備生成一個握手隨機數NI，并通過異或計算S = H(UID) ? NI，將S和NI傳送給網關設備。
[0040](2)網關設備至移動設備階段:網關設備接到認證請求后，首先查找H(U