CN101145915B - 一种可信路由器认证系统和方法 - Google Patents
一种可信路由器认证系统和方法 Download PDFInfo
- Publication number
- CN101145915B CN101145915B CN2007101757254A CN200710175725A CN101145915B CN 101145915 B CN101145915 B CN 101145915B CN 2007101757254 A CN2007101757254 A CN 2007101757254A CN 200710175725 A CN200710175725 A CN 200710175725A CN 101145915 B CN101145915 B CN 101145915B
- Authority
- CN
- China
- Prior art keywords
- router
- trusted
- message
- license
- access
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 70
- 238000013475 authorization Methods 0.000 claims abstract description 61
- 108060008646 TRPA Proteins 0.000 claims abstract 6
- 206010051956 Trichorhinophalangeal syndrome Diseases 0.000 claims abstract 3
- 230000008569 process Effects 0.000 claims description 42
- 238000012795 verification Methods 0.000 claims description 20
- 238000012545 processing Methods 0.000 claims description 11
- 230000004044 response Effects 0.000 claims description 9
- 239000000284 extract Substances 0.000 claims description 3
- 230000006854 communication Effects 0.000 description 11
- 238000004891 communication Methods 0.000 description 10
- 230000005540 biological transmission Effects 0.000 description 6
- 238000010586 diagram Methods 0.000 description 3
- 238000005265 energy consumption Methods 0.000 description 2
- 230000003993 interaction Effects 0.000 description 2
- 230000007246 mechanism Effects 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000002452 interceptive effect Effects 0.000 description 1
- 239000000203 mixture Substances 0.000 description 1
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种可信路由器认证系统及方法。该系统包括终端设备,接入路由器,多级中间路由器,信任锚路由器,所述路由器间构成一个分级的路由器层次信任结构;所述终端设备包括终端认证模块,用于在收到一未经认证的RA后,向该接入路由器发起TRPS;在收到TRPA消息后,验证该TRPA中的内容,完成接入路由器的可信身份认证;所述接入路由器包括第一认证模块,用于接收终端设备发出的TRPS消息,并向信任锚路由器发送TR2PS消息;接收信任锚路由器发送的TR2PA消息,并向终端设备发送TRPA消息;所述信任锚路由器包括第三认证模块,用于颁发一路由器授权许可证,并通过TR2PA消息发送给接入路由器。其能够更安全、高效、快速地进行接入路由器的认证。
Description
技术领域
本发明涉及通信安全领域,特别是涉及一种可信路由器认证系统和方法,其提供一种用于通信网络上的终端设备安全的认证接入路由器合法身份的方法。
背景技术
在IPv6(Internet protocol v6,互联网协议版本6)通信网络中,终端设备正常接入通信网络(如国际互联网Internet)的前提是根据收到的路由器宣告(Router Announcement,RA)消息配置自己的IPv6地址,并选择发布该路由器宣告(RA)消息的路由器作为接入路由器(Access Router,AR),通过其完成接入通信网络的功能。(见互联网工程任务组第2461号协议文件,即IETF(Internet Engineering Task Force)[RFC2461])
如何更安全、更高效地认证接入路由器的合法身份,并使用该路由器宣告的地址前缀作为配置自身地址的重要依据,对每一个接入设备而言都具有非常重要的意义,如果接入路由器不可信,则终端设备容易受到恶意路由器的攻击,甚至无法正常接入通信网络。在IETF[RFC3971](互联网工程任务组第3971号协议文件)中,提出了IPv6安全邻居发现协议(SEcure Neighbor Discovery,SEND),采用授权代理发现(Authorization Delegation Discovery,ADD)机制,保障IPv6路由器发现过程能够安全可靠地运行。
授权代理发现过程是在终端设备连接到本地链路时,认证可能成为其默认路由器的合法身份,其通过验证该路由器到主机相信的某个信任锚(TrustAnchor,TA)的证书链,实现路由器身份认证。
但是,这种授权代理发现的机制对于IPv6接入设备而言,要求在其上运行复杂的证书链验证过程,以确定接入路由器的合法身份,终端设备的计算开销大,这对于某些计算能力较弱、能量受限的移动手持终端尤其不适用。另外,在路由器和接入终端之间传输证书链中大量证书,增加了本地网络的传输开 销,尤其在无线通信环境下,消耗了宝贵的无线网络带宽资源。而且,在终端设备和路由器之间传输较长证书链的过程中,也会使网络、路由器及终端更多地暴露于恶意的攻击之下,增加了被恶意攻击的可能性。
发明内容
本发明所要解决的问题在于提供一种可信路由器认证系统及方法。其能够更安全、高效、快速地进行接入路由器的认证。
为实现本发明而提供的一种可信路由器认证系统,包括终端设备,接入路由器,信任锚路由器,还包括多级中间路由器,所述路由器间构成一个分级的路由器层次信任结构,相邻层次的路由器之间具有直接信任关系,低层路由器拥有其上一级节点直接颁发给它的认证证书;
所述终端设备包括终端认证模块,用于在收到一未经认证的接入路由器宣告消息后,向该接入路由器发起可信路由器许可请求;在收到可信路由器许可宣告消息后,验证该可信路由器许可宣告消息中的内容,完成接入路由器的可信身份认证;
所述接入路由器,具有到所述信任锚路由器的证书链,用于完成所述终端设备对接入路由器的身份认证。所述接入路由器包括第一认证模块,用于接收终端设备发出的可信路由器许可请求消息,并向信任锚路由器发送可信路由器间许可请求消息;接收信任锚路由器发送的可信路由器间许可宣告消息,并向终端设备发送可信路由器许可宣告消息;
所述信任锚路由器包括第三认证模块,用于颁发一路由器授权许可证,并通过可信路由器间许可宣告消息发送给接入路由器。
所述的可信路由器认证系统,还包括多级中间路由器;
所述中间路由器包括第二认证模块,用于接收可信路由器间许可请求消息,并验证该消息后,向上一级节点的路由器发送包含自己数字签名的可信路由器间许可请求消息;
其中,所述接入路由器接收终端设备发出的可信路由器许可请求消息,并通过中间路由器向信任锚路由器发送可信路由器间许可请求消息。
所述接入路由器还包括第一加解密模块,用于使用路由器层次信任结构中其上一级节点的路由器的公钥对所述构造的可信路由器间许可请求消息加密; 并在收到由一信任锚路由器回复的加密可信路由器间许可宣告消息后,使用自身的私钥将其解密后得到可信路由器间许可宣告消息中的内容;在构造形成可信路由器许可宣告消息后,采用终端设备的公钥将该可信路由器许可宣告消息加密形成加密可信路由器许可宣告消息;
所述中间路由器还包括第二加解密模块,用于使用自身的私钥解密得到可信路由器间许可请求消息的内容;用层次信任结构中上一级节点的路由器的公钥对自身构造的可信路由器间许可请求消息加密;
所述信任锚路由器还包括第三加解密模块,用于使用自身的私钥解密得到可信路由器间许可请求消息的内容;将可信路由器间许可宣告消息使用接入路由器的公钥进行加密。
所述可信路由器许可请求消息构成为:
TRPS={Nonce;TAs}
其中,TAs字段表示该终端设备上所配置的信任锚路由器列表;
Nonce字段用于匹配一对请求与回复消息;
所述可信路由器许可宣告消息构成为:
TRPA={Nonce;TA;RAP}
其中,RAP字段表示由一信任锚路由器颁发的可信路由器许可证;
TA字段表示颁发该许可证的信任锚路由器;
Nonce字段为来自可信路由器许可请求消息中的Nonce值拷贝。
所述可信路由器间许可请求消息构成为:
TR2PS={Nonce,TA,AddrAR,CertAR,SIG}
其中,Nonce字段为拷贝自可信路由器许可请求消息或下一级节点的路由器的可信路由器间许可请求消息中的Nonce值;
TA字段表示拷贝自可信路由器许可请求消息或下一级节点的路由器的可信路由器间许可请求消息中的信任锚标识;
AddrAR字段表示接入路由器的IP地址;
CertAR字段表示接入路由器的可信上一级节点的路由器颁发给其的认证证书,用于在信任锚路由器给接入路由器颁发路由器授权许可证时提供接入路由器的信息;
SIG字段表示可信路由器间许可请求消息的发送方使用自己的私钥将消 息中所述Nonce、TA、AddrAR、CertAR内容生成数字签名,收到可信路由器间许可请求消息的上一级节点的路由器通过该数字签名验证可信路由器间许可请求消息内容;
所述可信路由器间许可宣告消息构成为:
TR2PA={Nonce,TA,RAP}
其中,Nonce字段为拷贝自可信路由器间许可请求消息中的Nonce值;
TA字段为信任锚路由器自身标识;
RAP字段为信任锚路由器颁发给接入路由器的路由器授权许可证。
为实现本发明目的还提供一种可信路由器认证的互联网络,包括接入路由器和信任锚路由器,用于接入互联网络的终端设备认证接入路由器的可信身份,其特征在于,所述路由器间构成一个分级的路由器层次信任结构,相邻层次的路由器之间具有直接信任关系,低层路由器拥有其上一级节点直接颁发给它的认证证书;
所述接入路由器,具有到所述信任锚路由器的证书链,用于完成所述终端设备对接入路由器的身份认证。所述接入路由器包括第一认证模块,用于接收终端设备发出的可信路由器许可请求消息,并向信任锚路由器发送可信路由器间许可请求消息;接收信任锚路由器发送的可信路由器间许可宣告消息,并向终端设备发送可信路由器许可宣告消息;
所述信任锚路由器包括第三认证模块,用于颁发一路由器授权许可证,并通过可信路由器间许可宣告消息发送给接入路由器。
所述的可信路由器认证的互联网络,还包括多级中间路由器;
所述中间路由器包括第二认证模块,用于接收可信路由器间许可请求消息,并验证该消息后,向上一级节点的路由器发送包含自己数字签名的可信路由器间许可请求消息;
其中,所述接入路由器接收终端设备发出的可信路由器许可请求消息,并通过中间路由器向信任锚路由器发送可信路由器间许可请求消息。
所述接入路由器还包括第一加解密模块,用于使用路由器层次信任结构中其上一级节点的路由器的公钥对所述构造的可信路由器间许可请求消息加密;并在收到由一信任锚路由器回复的加密可信路由器间许可宣告消息后,使用自身的私钥将其解密后得到可信路由器间许可宣告消息中的内容;在构造形成可信路由器许可宣告消息后,采用终端设备的公钥将该可信路由器许可宣告消息 加密形成加密可信路由器许可宣告消息;
所述中间路由器还包括第二加解密模块,用于使用自身的私钥解密得到可信路由器间许可请求消息的内容;用层次信任结构中上一级节点的路由器的公钥对自身构造的可信路由器间许可请求消息加密;
所述信任锚路由器还包括第三加解密模块,用于使用自身的私钥解密得到可信路由器间许可请求消息的内容;将可信路由器间许可宣告消息使用接入路由器的公钥进行加密。
为实现本发明目的更进一步提供一种可信路由器认证办法,包括下列步骤:
步骤A,终端设备收到一未经认证的接入路由器宣告消息后,构造可信路由器许可请求消息并向所述接入路由器发送;
步骤B,所述接入路由器根据信任锚路由器的证书链,逐级向所述终端信任的信任锚路由器发送可信路由器间许可请求消息;所述信任锚路由器验证所述可信路由器间许可请求消息后,为所述接入路由器生成路由器授权许可证,并通过可信路由器间许可宣告消息将所述路由器授权许可证颁发给所述接入路由器;所述接入路由器在收到所述路由器授权许可证后,向所述终端设备回复带有所述路由器授权许可证的可信路由器许可宣告消息;
步骤C,所述终端设备在收到所述可信路由器许可宣告消息后,验证所述可信路由器许可宣告消息中的内容,完成接入路由器的可信身份认证;
其中,所述路由器间构成一个分级的路由器层次信任结构,相邻层次的路由器之间具有直接信任关系,低层路由器拥有其上一级节点直接颁发给它的认证证书;在路由器层次信任结构中,所述接入路由器向其上一级路由器发出可信路由器间许可请求消息;之后各级节点的中间路由器由下至上构造并发送可信路由器间许可请求消息,为所述接入路由器代理请求信任锚路由器为其签发许可证。
所述步骤A中,终端设备构造可信路由器许可请求消息并向接入路由器发送的过程,包括下列步骤:
步骤A1,终端设备收到本地网络上一未经认证路由器的路由器宣告消息后,启动可信路由器认证过程;
步骤A2,终端设备依照可信路由器许可请求消息格式构造可信路由器许可请求消息,发送给待认证的接入路由器;
其中,各字段内容为:
Nonce:由终端生成的一个大随机数,用于匹配一对请求与回复消息;
TAs:终端上配置的信任锚列表,可包含多个信任锚标识;
步骤A3,终端设备进入等待状态,等待接收由接入路由器回复带有信任锚路由器颁发的路由器授权许可证的可信路由器许可宣告消息。
所述步骤A3之后还包括下列步骤:
步骤A4,如果在设定时间内终端没有收到可信路由器许可宣告消息,则表示终端设备没有获得接入路由器授权许可证,该路由器不能作为终端的可信接入路由器。
所述步骤B中接入路由器处理并发送可信路由器间许可请求消息的过程,包括下列步骤:
步骤B1,接入路由器收到终端设备的可信路由器许可请求消息;
步骤B2,接入路由器提取可信路由器许可请求消息中的TAs标识,查看自己是否已经具有其中一个信任锚路由器颁发给它的路由器授权许可证书;如果有则执行步骤B9,否则执行步骤B3;
步骤B3,接入路由器依照可信路由器间许可请求消息格式构造可信路由器间许可请求消息;
其中,各字段内容如下:
Nonce:拷贝自从终端设备收到的可信路由器许可请求消息中包含的Nonce值;
TA:拷贝自从终端设备收到的可信路由器许可请求消息中包含的信任锚标识;
AddrAR:接入路由器的IP地址;
CertAR:路由器层次信任结构中接入路由器的可信上一级节点的路由器颁发给其的证书内容;
SIG:接入路由器使用自己的私钥将可信路由器间许可请求消息中的Nonce、TA、AddrAR、CertAR各字段内容生成数字签名;
步骤B4,接入路由器使用路由器层次信任结构中其上一级节点的路由器的公钥对所述构造的可信路由器间许可请求消息加密后形成加密可信路由器间许可请求消息,发送给上一级节点的路由器;
步骤B5,接入路由器等待接收由一信任锚路由器发送的加密可信路由器间许可宣告消息。
所述接入路由器接收并处理可信路由器间许可宣告消息的过程,包括下列 步骤:
步骤B6,接入路由器收到由一信任锚路由器回复的加密可信路由器间许可宣告消息,使用接入路由器的私钥将其解密后得到可信路由器间许可宣告消息中的内容;
步骤B7,接入路由器比较可信路由器间许可宣告消息中的Nonce和TA字段值,与收到的可信路由器许可请求消息中相应内容进行匹配校验;
步骤B8,接入路由器将路由器授权许可证及其相对应的信任锚路由器进行保存。
所述接入路由器向终端设备回复带有路由器授权许可证的可信路由器许可宣告消息,包括下列步骤:
步骤B9,接入路由器将Nonce、TA和路由器授权许可证RAP字段构造形成可信路由器许可宣告消息;
步骤B10,接入路由器采用终端设备的公钥将可信路由器许可宣告消息加密形成加密可信路由器许可宣告消息,作为相应可信路由器许可请求消息的应答消息发送给终端设备。
所述中间路由器发送可信路由器间许可请求消息的过程,包括下列步骤:
步骤B1′,一中间路由器收到下一级节点的中间路由器发来的加密可信路由器间许可请求消息,解密得到可信路由器间许可请求消息的内容;
步骤B2′,所述中间路由器使用下一级节点的中间路由器的公钥验证可信路由器间许可请求消息中的数字签名,验证成功后接受可信路由器间许可请求消息中的内容;
步骤B3′,所述中间路由器判断自己是否是信任锚路由器角色,如果是则跳到信任锚路由器执行;否则执行步骤B4′;
步骤B4′,所述中间路由器使用自己的私钥对刚得到的可信路由器间许可请求消息中的内容进行数字签名后得到SIG值,继续构造形成可信路由器间许可请求消息;
步骤B5′,中间路由器使用层次信任结构中其上一级节点的中间路由器的公钥对所述构造的可信路由器间许可请求消息加密后形成加密可信路由器间许可请求消息,发送给上一级节点的中间路由器;上一级节点的中间路由器接收到消息后,转入步骤B1′进行处理。
所述步骤B3′中,所述信任锚路由器执行过程,包括下列步骤:
步骤B6′,信任锚路由器为接入路由器生成路由器授权许可证书;
步骤B7′,信任锚路由器将Nonce、TA和路由器授权许可证RAP各字段值构造形成可信路由器间许可宣告消息;
步骤B8′,信任锚路由器采用接入路由器的公钥将可信路由器间许可宣告消息加密,发送出去。
所述路由器授权许可证书包括接入路由器的原始证书内容CertAR以及信任锚路由器签名。
所述步骤C中,终端设备在收到可信路由器许可宣告TRPA消息后,验证可信路由器许可宣告TRPA消息中的内容,完成可信接入路由器认证的过程,包括如下步骤:
步骤C1,终端设备收到由接入路由器回复的加密可信路由器许可宣告消息后,使用接入路由器的公钥对其解密得到可信路由器许可宣告消息;
步骤C2,终端设备验证可信路由器许可宣告消息中各字段的内容;
步骤C3,如果终端设备认证路由器成功,将该路由器接受为可信接入路由器;
步骤C4,如果终端设备没有获得接入路由器授权许可证,该路由器不能作为终端的可信接入路由器。
所述步骤C2中,所述验证过程为:
步骤C21,终端设备比较可信路由器许可宣告消息与初始发送的对应可信路由器许可请求消息中的Nonce字段值是否相等;
步骤C22,终端设备将可信路由器许可宣告消息中的信任锚标识TA字段值与初始发送的对应可信路由器许可请求消息中的信任锚列表TAs进行匹配,判断可信路由器许可宣告中的TA标识是否属于可信路由器许可请求消息中的TAs列表中的一个;
步骤C23,终端设备使用信任锚路由器的公钥对可信路由器许可宣告消息中的路由器授权许可证进行证书验证;
以上三个过程中的任一个失败则该步骤的可信路由器许可宣告消息验证过程失败,进入步骤C4;否则进入步骤C3。
本发明的有益效果是:本发明的可信路由器认证系统和方法,终端设备只需认证一次由信任锚颁发给接入路由器的授权许可证,而无需进行复杂的路由器证书链验证过程,不仅减少了终端设备进行接入路由器认证的计算复杂度,节省了终端的能耗和计算资源,同时也减少了终端设备发现可信接入路由器的时间;终端设备和接入路由器之间只需传输一次认证请求/应答消息以及一个 路由器授权证书,避免了在本地接入网络上传输冗长的证书链内容以及相关的交互信息,从而一方面节省了本地网络的带宽资源,另一方面也减少了终端和接入路由器被恶意攻击者发现跟踪并获取信息量的机会,提高了在进行安全路由器发现过程中本地网络的安全性。
附图说明
图1为本发明可信路由器认证系统示意图一;
图2为本发明可信路由器认证系统示意图二;
图3为本发明可信路由器认证方法流程图;
图4为终端设备处理过程流程图;
图5为接入路由器的处理过程流程图;
图6为除接入路由器外的各级路由器的处理过程流程图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明的一种可信路由器认证系统和方法进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
一般地,在IPv6的通信网络中,终端设备对证书链的组成结构和验证过程并不感兴趣,它关心的是接入路由器是否被它所信任的信任锚正确认证。也就是说,对于终端设备只需要接入路由器的身份认证结果。基于这些考虑,本发明提出终端设备发现可信路由器的一种安全高效快速的新方法。
本发明以国际互联网Internet为例,而对本发明的可信路由器认证系统和方法进行详细的说明,但是,应当说明的是,本发明的可信路由器认证系统和方法,同样适用于其他的通信网络,如3G、4G通信网络等。
本发明提出一种可信路由器认证方法(Trusted Router Discovering Protocol,TRDP)和系统,用于接入互联网络的终端设备,特别是新接入互联网络的终端设备认证接入路由器的可信身份。
本发明的可信路由器认证系统,包括终端设备1,接入路由器,各级中间路由器,信任锚路由器,路由器间构成了一个分级的路由器层次信任结构,即互联网络上的各级路由器构成层次信任结构,接入路由器具有到一信任锚(TA)的证书链,用于完成终端设备1对接入路由器身份认证。
路由器层次信任结构示例图如图1,图2所示。
如图1所示,终端设备(主机)1的信任锚(TA)是路由器4,终端设备1的待认证接入路由器是2,从信任锚路由器4到接入路由器2构成了一条认证路径:D1-C1-B1-A1;接入路由器2具有中间路由器3颁发的证书“B1A1”,中间路由器具有上一级中间路由器颁发的证书“C1B1”,上一级中间路由器具有信任锚路由器4颁发的证书“D1C1”。
证书由颁发者签名,证书内容中包含证书持有者的身份及公钥等信息。B1A1证书的颁发者是中间路由器3,B1A1证书的持有者是接入路由器2;C1B1证书的颁发者是上一级中间路由器,C1B1证书的持有者是下一级中间路由器;D1C1证书的颁发者是信任锚路由器4,D1C1证书的持有者是中间路由器。
如图2所示,终端设备1的信任锚(TA)是路由器4,终端设备1的接入路由器是2,从信任锚路由器4到接入路由器2构成了一条认证路径:D2-C2-B2,接入路由器2具有中间路由器3颁发的证书“C2B2”,中间路由器3具有信任锚路由器4颁发的证书“D2C2”。
在本发明的路由器层次信任结构中,相邻层次的路由器之间已具有直接信任关系,低层路由器拥有其上一级节点直接颁发给它的认证证书,即高层路由器认证了低层路由器的身份及其公钥等信息。
所述终端设备1包括终端认证模块11,用于在收到一未经认证的接入路由器宣告消息(Router Advertisement,RA)后,向该接入路由器2发起可信路由器许可请求(Trusted Router Passport Solicitation,TRPS);在收到可信路由器许可宣告(Trusted Router Passport Advertisement,TRPA)消息后,验证该可信路由器许可宣告消息中的内容,完成接入路由器2的可信身份认证。
所述接入路由器2包括第一认证模块21,用于接收终端设备1发出的可信路由器许可请求消息,并向信任锚路由器4发送可信路由器间许可请求(Trusted Router-to-Router Passport Solicitation,TR2PS)消息;接收信任锚路由器4发送的可信路由器间许可宣告(Trusted Router-to-Router PassportAdvertisement,TR2PA)消息,并向终端设备1发送可信路由器许可宣告消息。
终端设备1与接入路由器2之间的请求/应答消息分别称为可信路由器许可请求(TRPS)消息与可信路由器许可宣告(TRPA)消息,其中:
TRPS消息构成如下:
TRPS={Nonce;IAs} ---------------------------(1)
其中,TAs字段表示该终端设备1上所配置的信任锚路由器4列表;
Nonce字段用于匹配一对请求与回复消息,防止重放攻击,较佳地,为由终端设备1选用的一个大随机数。
TRPA消息构成如下:
TRPA={Nonce;TA;RAP} --------------------(2)
其中,RAP字段表示由一信任锚路由器4颁发的可信路由器许可证;
TA字段表示颁发该许可证的信任锚路由器4;
Nonce字段为来自TRPS消息中的Nonce值拷贝。
所述中间路由器3包括第二认证模块,用于接收可信路由器许可请求消息/可信路由器间许可请求消息,并验证该消息后,向上一级节点的路由器发送包含自己数字签名的可信路由器间许可请求消息;
所述信任锚路由器4包括第三认证模块,用于颁发一路由器授权许可证(Router Authorization Passport,RAP),并通过可信路由器间许可宣告消息发送给接入路由器2。该路由器授权许可证包括终端设备信任的一信任锚对接入路由器身份和公钥信息绑定的证书。
路由器之间的请求/应答消息分别称为可信路由器间许可请求(TR2PS)消息与可信路由器间许可宣告(TR2PA)消息,其中:
TR2PS消息构成如下:
TR2PS={Nonce,TA,AddrAR,CertAR,SIG} ----------(3)
其中,Nonce字段为拷贝自TRPS消息或下一级节点的中间路由器3的TR2PS消息中的Nonce值;
TA字段表示拷贝自TRPS消息或下一级节点的中间路由器3的TR2PS消息中的信任锚标识;
AddrAR字段表示接入路由器2的IP地址,作为最后信任锚路由器4向接入路由器2发送TR2PA消息颁发路由器授权许可证的目的地址;
CertAR字段表示接入路由器2的可信上一级节点的路由器颁发给其的认证证书内容,用于在信任锚路由器4给接入路由器2颁发路由器授权许可证时提供接入路由器2的信息;
此外,TR2PS消息的发送方使用自己的私钥将消息中所述Nonce、TA、 AddrAR、CertAR内容生成数字签名SIG字段,收到TR2PS消息的上一级节点的路由器通过该数字签名SIG验证TR2PS消息内容。
TR2PA消息构成如下:
TR2PA={Nonce,TA,RAP} ----------------(5)
其中,Nonce为拷贝自TR2PS消息中的Nonce值;
TA为信任锚路由器4自身标识;
RAP为信任锚路由器4颁发给接入路由器2的路由器授权许可证。
本发明的一种可信路由器认证系统,将接入路由器2的证书链验证过程部署到路由器层次信任结构中,证书链验证和传输的中间过程都由层次结构中的各级路由器完成。
较佳地,所述接入路由器2还包括第一加解密模块,用于使用路由器层次信任结构中其上一级节点的中间路由器3的公钥对所述构造的TR2PS消息加密形成ETR2PS消息;并在收到由一信任锚路由器4回复的ETR2PA消息后,使用自身的私钥将其解密后得到TR2PA消息中的Nonce、TA和RAP各字段内容;在构造形成TRPA消息后,采用终端设备1的公钥将TRPA消息加密形成ETRPA消息。
所述中间路由器3还包括第二加解密模块,用于使用自身的私钥解密ETR2PS消息后得到TR2PS消息的内容;用层次信任结构中上一级节点的中间路由器3的公钥对自身构造的TR2PS消息加密。
所述信任锚路由器4还包括第三加解密模块,用于使用自身的私钥解密得到TR2PS消息的内容;将TR2PA消息使用接入路由器2的公钥进行加密。
经过一系列验证成功后,信任锚路由器4直接向接入路由器2颁发一路由器授权许可证(RAP),该许可证即是终端设备信任的一信任锚(TA)对接入路由器2身份和公钥信息绑定的证书;
终端设备1只需要向接入路由器2提出身份认证请求并接收验证由信任锚TA颁发的路由器许可证即完成对该接入路由器2的身份认证。
下面详细说明本发明的一种可信路由器认证方法:
在本发明实施例中,可信路由器认证方法(TRDP)中各角色之间的交互 过程是由一系列请求/应答消息实现的。较佳地,通过加密及数字签名等保证这些消息在通信过程中的机密性和可信性。
本发明实例施的可信路由器认证方法,如图3所示,包括下列步骤:
步骤S100,终端设备1收到一未经认证的接入路由器宣告消息(RouterAdvertisement,RA)后,构造TRPS消息并向该接入路由器2发送;
终端设备1或者是新接入网络的终端设备1向待认证的接入路由器2发起TRPS消息,如式(1)所示。
步骤S200,接入路由器2通过各级中间路由器3向信任锚路由器4发送TR2PS消息;信任锚路由器4验证TR2PS消息后,为接入路由器2生成路由器授权许可证,并通过TR2PA消息将该RAP颁发给接入路由器2;接入路由器2在收到信任锚路由器4的RAP后,向终端设备1回复带有RAP的TRPA消息;
在路由器层次信任结构中,首先由待认证的接入路由器2向其上一级路由器发出TR2PS消息。
之后,各级节点的中间路由器3由下至上构造并发送TR2PS消息,均是为接入路由器2代理请求信任锚路由器4为其签发许可证。
收到TR2PS请求消息的一个中间路由器3,验证该TR2PS消息后继续向其上一层节点的中间路由器3发送包含自己数字签名的TR2PS消息,从而将接入路由器2请求信任锚(TA)签发许可证的代理请求上传至上一级路由器。
TR2PS消息发送直至一信任锚路由器4,则信任锚路由器4为接入路由器2生成路由器授权许可证(RAP),并通过TR2PA消息将该路由器授权许可证(RAP)颁发给接入路由器2。
较佳地,为了保证在实际网络环境中消息信息传输的安全性,可以将TR2PS消息使用该消息接收端的公钥进行加密,即低一级节点的路由器向高一级节点的路由器发送消息时,使用高一级节点的路由器的公钥加密消息内容,防止消息信息被恶意截获或篡改。
同样,TR2PA消息内容使用接入路由器2的公钥进行加密,防止信息被恶意截获和篡改。即在实际网络环境中发送的安全TR2PS消息和安全TR2PA消息格式是:
ETR2PS=EncryptPK_upper_router(TR2PS) ----------------(5)
ETR2PA=EncryptPK_AR(TR2PA) ----------------(6)
其中,PK_upper_router是TR2PS消息的接受方即发送该消息的路由器其上一级路由器的公钥,在部署的路由器层次信任结构中上下级相邻节点的路由器之间的公钥是相互已知的;PK_AR是接入路由器2的公钥,可由TR2PS消息中接入路由器2的证书字段CertAR获知。
步骤S300,终端设备1在收到TRPA消息后,验证TRPA消息中的内容,完成可信接入路由器2认证。
接入路由器2向终端设备1回复的TRPA消息,如式(2)所示。
这样,接入路由器2只要拥有终端设备1所信任的信任锚路由器4列表中的任一个信任锚路由器4所颁发的路由器许可证即可通过该终端的认证。
较佳地,为了防止TRPA消息中的信息被恶意截获和篡改,TRPA消息的内容使用终端设备1的公钥进行加密,即由接入路由器2发送给终端设备1的最终应答消息格式如下:
ETRPA=EncryptPK_host(TRPA) ------------------(7)
其中,PK_host是终端设备的公钥;
式(5)、(6)、(7)中,所述公钥可以采用任何一种公私钥算法(或称非对称算法),如RSA算法,ECC算法等。
接入路由器2可以从安全邻居发现过程中终端发送路由器请求(RouterSolicitation,RS)消息时所用的IPv6加密生成地址(Cryptographically GeneratedAddress,CGA)参数中获得该终端设备的公钥,详细内容请参见互联网工程任务组第3972号协议文件,即IETF[RFC3972],是一种现有技术,本发明中不再一一详细描述。
作为一种可实施方式,下面结合附图详细说明步骤S100中,终端设备1构造TRPS消息并向接入路由器2发送的过程,如图4所示,包括如下步骤S1.1~S1.3:
S1.1,终端设备1收到本地网络上一未经认证路由器的路由宣告消息(RA)后,启动本发明的可信路由器认证过程,即TRDP可信路由器发现过程(协议)。
S1.2,终端设备1依照TRPS消息格式构造TRPS消息发送给待认证的接入路由器2;
其中,各字段内容如下:
Nonce:由终端生成的一个大随机数;
TAs:终端上配置的信任锚列表,可包含多个信任锚标识。
S1.3,终端设备1进入等待状态,等待接收由接入路由器2回复带有信任锚路由器4授权许可证的TRPA消息。
较佳地,如果在设定时间内终端没有收到TRPA消息,则进入步骤S3.4;否则进入S3.1步骤。
作为一种可实施方式,下面详细说明接入路由器2处理并发送TR2PS消息,并接收并处理TR2PA消息的过程,如图5所示,包括如下步骤S2.1~S2.10:
S2.1,接入路由器2收到终端设备1的TRPS消息。
S2.2,接入路由器2提取TRPS消息中的TAs标识,查看自己是否已经具有其中一个信任锚路由器4颁发给它的RAP证书;如果有则执行步骤S2.9,否则执行步骤S2.3。
S2.3,接入路由器2依照TRPS消息格式构造TR2PS消息;
其中,各字段内容如下:
Nonce:拷贝自从终端设备1收到的TRPS消息中包含的Nonce值;
TA:拷贝自从终端设备1收到的TRPS消息中包含的的信任锚标识;
AddrAR:接入路由器2的IP地址;
CertAR:路由器层次信任结构中接入路由器2的可信上一级节点的路由器颁发给其的证书内容;
SIG:接入路由器2使用自己的私钥将TR2PS消息中的Nonce、TA、AddrAR、CertAR各字段内容生成数字签名。
S2.4,接入路由器2使用路由器层次信任结构中其上一级节点的中间路由器3的公钥对所述构造的TR2PS消息加密后形成ETR2PS消息,发送给上一级节点的路由器。
S2.5,接入路由器2等待接收由一信任锚路由器4发送的ETR2PA消息。
S2.6,接入路由器2收到由一信任锚路由器4回复的ETR2PA消息,使用 接入路由器2的私钥将其解密后得到TR2PA消息中的Nonce、TA和RAP各字段内容。
S2.7,接入路由器2比较TR2PA消息中的Nonce和TA字段值,与收到的TRPS消息中相应内容进行匹配校验。
S2.8,接入路由器2将路由器授权许可证(RAP)及其相对应的信任锚路由器4(TA)进行保存,以备后续使用。
S2.9,接入路由器2将Nonce、TA和RAP字段构造形成TRPA消息。
S2.10,接入路由器2采用终端设备1的公钥将TRPA消息加密形成ETRPA消息,作为相应TRPS消息的应答消息发送给终端设备1。
如图6所示,为路由器层次信任结构中除接入路由器2以外的各级中间路由器3的执行过程流程图,包括步骤S2.1′~S2.8′:
S2.1′,一中间路由器3收到下一级节点的中间路由器3发来的ETR2PS消息,解密得到TR2PS消息的内容。
S2.2′,中间路由器3使用下一级节点的中间路由器3的公钥验证TR2PS消息中的数字签名,验证成功后得到TR2PS消息中的各字段内容Nonce、TA、AddrAR和CertAR,并进行后续步骤。
S2.3′,中间路由器3判断自己是否是信任锚路由器4(TA)角色,如果是则跳到步骤S3.6′执行,否则执行步骤S3.4′。
S2.4′,中间路由器3使用自己的私钥对刚得到的Nonce、TA、AddrAR和CertAR值进行数字签名后得到SIG值,继续构造形成TR2PS消息。
S2.5′,中间路由器3使用层次信任结构中其上一级节点的中间路由器3的公钥对所述构造的TR2PS消息加密后形成ETR2PS消息,发送给上一级节点的中间路由器3;上一级节点的中间路由器3接收到消息后,转入步骤S2.1′进行处理。
S2.6′,信任锚路由器4(TA)为接入路由器2生成路由器授权许可证书RAP。
其中,RAP证书包括接入路由器2的原始证书内容CertAR以及信任锚路由器4(TA)签名。
S2.7′,信任锚路由器4将Nonce、TA和RAP各字段值构造形成TR2PA 消息。
S2.8′,信任锚路由器4采用接入路由器2的公钥将TR2PA消息加密形成ETR2PA消息,发送给接入路由器2。
作为一种可实施方式,下面结合附图详细说明步骤S300中,终端设备1在收到TRPA消息后,验证TRPA消息中的内容,完成可信接入路由器2认证的过程,如图4所示,包括如下步骤:
S3.1,终端设备1收到由接入路由器2回复的ETRPA加密消息后,使用接入路由器2的公钥对其解密得到TRPA消息。
S3.2,终端设备1验证TRPA消息中各字段的内容。
其具体过程为:
步骤S3.21,终端设备1比较TRPA消息与初始发送的对应TRPS消息中的Nonce字段值是否相等;
步骤S3.22,终端设备1将TRPA消息中的信任锚标识TA字段值与初始发送的对应TRPS消息中的信任锚列表TAs进行匹配,判断TRPA中的TA标识是否属于TRPS消息中的TAs列表中的一个;
步骤S3.23,终端设备1使用信任锚路由器4的公钥对TRPA消息中的路由器授权许可证RAP进行证书验证;
以上三个过程中的任一个失败则该步骤的TRPA消息验证过程失败,进入S3.4步骤,否则进入S3.3步骤。
S3.3,如果终端设备1认证路由器成功,将该路由器接受为可信接入路由器2。
S3.4,如果终端设备1没有获得接入路由器授权许可证,该路由器不能作为终端的可信接入路由器。
本发明的可信路由器认证系统和方法,终端设备只需认证一次由信任锚颁发给接入路由器的授权许可证,而无需进行复杂的路由器证书链验证过程,不仅减少了终端设备进行接入路由器认证的计算复杂度,节省了终端设备的能耗和计算资源,同时也减少了终端设备发现可信接入路由器的时间;终端设备和接入路由器之间只需传输一次认证请求/应答消息以及一个路由器授权证书,避免了在本地接入网络上传输冗长的证书链内容以及相关的交互信息,从而一 方面节省了本地网络的带宽资源,另一方面也减少了终端设备和接入路由器被恶意攻击者发现跟踪并获取信息量的机会,提高了在进行安全路由器发现过程中本地网络的安全性。
通过结合附图对本发明具体实施例的描述,本发明的其它方面及特征对本领域的技术人员而言是显而易见的。
以上对本发明的具体实施例进行了描述和说明,这些实施例应被认为其只是示例性的,并不用于对本发明进行限制,本发明应根据所附的权利要求进行解释。
Claims (15)
1.一种可信路由器认证系统,包括终端设备,接入路由器,信任锚路由器,其特征在于,还包括多级中间路由器,所述路由器间构成一个分级的路由器层次信任结构,相邻层次的路由器之间具有直接信任关系,低层路由器拥有其上一级节点直接颁发给它的认证证书;
所述终端设备包括终端认证模块,用于在收到一未经认证的接入路由器宣告消息后,向该接入路由器发起可信路由器许可请求;在收到可信路由器许可宣告消息后,验证该可信路由器许可宣告消息中由所述信任锚路由器直接颁发给接入路由器的路由器授权许可证,完成接入路由器的可信身份认证;
所述接入路由器,具有到所述信任锚路由器的证书链,用于完成所述终端设备对接入路由器的身份认证,所述接入路由器包括第一认证模块,用于接收终端设备发出的可信路由器许可请求消息,并通过中间路由器向信任锚路由器发送可信路由器间许可请求消息;接收信任锚路由器发送的可信路由器间许可宣告消息,并向终端设备发送可信路由器许可宣告消息;
所述信任锚路由器包括第三认证模块,用于颁发一路由器授权许可证,并通过可信路由器间许可宣告消息发送给接入路由器;
所述中间路由器包括第二认证模块,用于接收可信路由器间许可请求消息,并验证该消息后,向上一级节点的路由器发送包含自己数字签名的可信路由器间许可请求消息。
2.根据权利要求1所述的可信路由器认证系统,其特征在于,所述接入路由器还包括第一加解密模块,用于使用路由器层次信任结构中所述接入路由器上一级节点的路由器的公钥对所述可信路由器间许可请求消息加密;并在收到由一信任锚路由器回复的加密可信路由器间许可宣告消息后,使用自身的私钥将其解密后得到可信路由器间许可宣告消息中的内容;在构造形成可信路由器许可宣告消息后,采用终端设备的公钥将该可信路由器许可宣告消息加密形成加密可信路由器许可宣告消息;
所述中间路由器还包括第二加解密模块,用于使用自身的私钥解密得到可信路由器间许可请求消息的内容;用层次信任结构中上一级节点的路由器的公钥对自身构造的可信路由器间许可请求消息加密;
所述信任锚路由器还包括第三加解密模块,用于使用自身的私钥解密得到可信路由器间许可请求消息的内容;将可信路由器间许可宣告消息使用接入路由器的公钥进行加密。
3.根据权利要求1或2所述的可信路由器认证系统,其特征在于:
所述可信路由器许可请求消息构成为:
TRPS={Nonce;TAs}
其中,TAs字段表示该终端设备上所配置的信任锚路由器列表;
Nonce字段用于匹配一对请求与回复消息;
所述可信路由器许可宣告消息构成为:
TRPA={Nonce;TA;RAP}
其中,RAP字段表示由一信任锚路由器颁发的可信路由器许可证;
TA字段表示颁发该许可证的信任锚路由器;
Nonce字段为来自可信路由器许可请求消息中的Nonce值拷贝。
4.根据权利要求1或2所述的可信路由器认证系统,其特征在于,所述可信路由器间许可请求消息构成为:
TR2PS={Nonc e,TA,AddrAR,CertAR,SIG}
其中,Nonce字段为拷贝自可信路由器许可请求消息或下一级节点的路由器的可信路由器间许可请求消息中的Nonce值;
TA字段表示拷贝自可信路由器许可请求消息或下一级节点的路由器的可信路由器间许可请求消息中的信任锚标识;
AddrAR字段表示接入路由器的IP地址;
CertAR字段表示接入路由器的可信上一级节点的路由器颁发给接入路由器的认证证书,用于在信任锚路由器给接入路由器颁发路由器授权许可证时提供接入路由器的信息;
SIG字段表示可信路由器间许可请求消息的发送方使用自己的私钥将消息中所述Nonce、TA、AddrAR和CertAR内容生成数字签名,收到可信路由器间许可请求消息的上一级节点的路由器通过该数字签名验证可信路由器间许可请求消息内容;
所述可信路由器间许可宣告消息构成为:
TR2PA={Nonce,TA,RAP}
其中,Nonce字段为拷贝自可信路由器间许可请求消息中的Nonce值;
TA字段为信任锚路由器自身标识;
RAP字段为信任锚路由器颁发给接入路由器的路由器授权许可证。
5.一种可信路由器认证的互联网络,用于接入互联网络的终端设备认证接入路由器的可信身份,所述可信路由器认证的互联网络,包括接入路由器和信任锚路由器,还包括多级中间路由器,其特征在于,所述路由器间构成一个分级的路由器层次信任结构,相邻层次的路由器之间具有直接信任关系,低层路由器拥有其上一级节点直接颁发给它的认证证书;
所述接入路由器,具有到所述信任锚路由器的证书链,用于完成所述终端设备对接入路由器的身份认证,所述接入路由器包括第一认证模块,用于接收终端设备发出的可信路由器许可请求消息,并向信任锚路由器发送可信路由器间许可请求消息;接收信任锚路由器发送的包含由所述信任锚路由器直接颁发给接入路由器的路由器授权许可证的可信路由器间许可宣告消息,并向终端设备发送可信路由器许可宣告消息,使得所述终端设备仅通过验证所述路由器许可证来完成对接入路由器的身份认证;
所述信任锚路由器包括第三认证模块,用于颁发一路由器授权许可证,并通过可信路由器间许可宣告消息发送给接入路由器;
所述中间路由器包括第二认证模块,用于接收可信路由器间许可请求消息,并验证该消息后,向上一级节点的路由器发送包含自己数字签名的可信路由器间许可请求消息;
其中,所述接入路由器接收终端设备发出的可信路由器许可请求消息,并通过各级中间路由器向信任锚路由器发送可信路由器间许可请求消息。
6.根据权利要求5所述的可信路由器认证的互联网络,其特征在于,所述接入路由器还包括第一加解密模块,用于使用路由器层次信任结构中所述接入路由器上一级节点的路由器的公钥对所述可信路由器间许可请求消息加密;并在收到由一信任锚路由器回复的加密可信路由器间许可宣告消息后,使用自身的私钥将其解密后得到可信路由器间许可宣告消息中的内容;在构造形成可信路由器许可宣告消息后,采用终端设备的公钥将该可信路由器许可宣告消息加密形成加密可信路由器许可宣告消息;
所述中间路由器还包括第二加解密模块,用于使用自身的私钥解密得到可信路由器间许可请求消息的内容;用层次信任结构中上一级节点的中间路由器的公钥对自身构造的可信路由器间许可请求消息加密;
所述信任锚路由器还包括第三加解密模块,用于使用自身的私钥解密得到可信路由器间许可请求消息的内容;将可信路由器间许可宣告消息使用接入路由器的公钥进行加密。
7.一种可信路由器认证办法,其特征在于,包括下列步骤:
步骤A,终端设备收到一未经认证的接入路由器宣告消息后,构造可信路由器许可请求消息并向所述接入路由器发送;
步骤B,所述接入路由器根据信任锚路由器的证书链,通过各级中间路由器逐级向所述终端信任的信任锚路由器发送可信路由器间许可请求消息;所述信任锚路由器验证所述可信路由器间许可请求消息后,为所述接入路由器生成路由器授权许可证,并通过可信路由器间许可宣告消息将所述路由器授权许可证颁发给所述接入路由器;所述接入路由器在收到所述路由器授权许可证后,向所述终端设备回复带有所述路由器授权许可证的可信路由器许可宣告消息;
步骤C,所述终端设备在收到所述可信路由器许可宣告消息后,验证所述可信路由器许可宣告消息中由所述信任锚路由器直接颁发给接入路由器的路由器授权许可证,完成接入路由器的可信身份认证;
其中,所述路由器间构成一个分级的路由器层次信任结构,相邻层次的路由器之间具有直接信任关系,低层路由器拥有其上一级节点直接颁发给它的认证证书;在路由器层次信任结构中,所述接入路由器向其上一级路由器发出可信路由器间许可请求消息;之后各级节点的中间路由器由下至上构造并发送可信路由器间许可请求消息,为所述接入路由器代理请求信任锚路由器为其签发许可证。
8.根据权利要求7所述的可信路由器认证方法,其特征在于,所述步骤A中,终端设备构造可信路由器许可请求消息并向接入路由器发送的过程,包括下列步骤:
步骤A1,终端设备收到本地网络上一未经认证路由器的路由器宣告消息后,启动可信路由器认证过程;
步骤A2,终端设备依照可信路由器许可请求消息格式构造可信路由器许可请求消息,发送给待认证的接入路由器;
其中,所述可信路由器许可请求消息各字段内容为:
Nonce:由终端生成的一个大随机数,用于匹配一对请求与回复消息;
TAs:终端上配置的信任锚列表,可包含多个信任锚标识;
步骤A3,终端设备进入等待状态,等待接收由接入路由器回复带有信任锚路由器颁发的路由器授权许可证的可信路由器许可宣告消息。
9.根据权利要求8所述的可信路由器认证方法,其特征在于,所述步骤A3之后还包括下列步骤:
步骤A4,如果在设定时间内终端没有收到可信路由器许可宣告消息,则表示终端设备没有获得接入路由器授权许可证,该路由器不能作为终端的可信接入路由器。
10.根据权利要求8所述的可信路由器认证方法,其特征在于,所述步骤B中接入路由器处理并发送可信路由器间许可请求消息的过程,包括下列步骤:
步骤B1,接入路由器收到终端设备的可信路由器许可请求消息;
步骤B2,接入路由器提取可信路由器许可请求消息中的TAs标识,查看自己是否已经具有其中一个信任锚路由器颁发给它的路由器授权许可证书;如果有则执行步骤B9,否则执行步骤B3;
步骤B3,接入路由器依照可信路由器间许可请求消息格式构造可信路由器间许可请求消息;
其中,所述可信路由器间许可请求消息各字段内容如下:
Nonce:拷贝自从终端设备收到的可信路由器许可请求消息中包含的Nonce值;
TA:拷贝自从终端设备收到的可信路由器许可请求消息中包含的信任锚标识;
AddrAR:接入路由器的IP地址;
CertAR:路由器层次信任结构中接入路由器的可信上一级节点的路由器颁发给接入路由器的证书内容;
SIG:接入路由器使用自己的私钥将可信路由器间许可请求消息中的Nonce、TA、AddrAR和CertAR各字段内容生成数字签名;
步骤B4,接入路由器使用路由器层次信任结构中其上一级节点的路由器的公钥对所述构造的可信路由器间许可请求消息加密后形成加密可信路由器间许可请求消息,发送给上一级节点的路由器;
步骤B5,接入路由器等待接收由一信任锚路由器发送的加密可信路由器间许可宣告消息;
步骤B6,接入路由器收到由一信任锚路由器回复的加密可信路由器间许可宣告消息,使用接入路由器的私钥将其解密后得到可信路由器间许可宣告消息中的内容;
步骤B7,接入路由器比较可信路由器间许可宣告消息中的Nonce和TA字段值,与收到的可信路由器许可请求消息中相应内容进行匹配校验;
步骤B8,接入路由器将路由器授权许可证及其相对应的信任锚路由器进行保存;
步骤B9,接入路由器将Nonce、TA和路由器授权许可证RAP字段构造形成可信路由器许可宣告消息;
步骤B10,接入路由器采用终端设备的公钥将可信路由器许可宣告消息加密形成加密可信路由器许可宣告消息,作为相应可信路由器许可请求消息的应答消息发送给终端设备。
11.根据权利要求10所述的可信路由器认证方法,其特征在于,所述中间路由器发送可信路由器间许可请求消息的过程,包括下列步骤:
步骤B1′,一中间路由器收到下一级节点的中间路由器发来的加密可信路由器间许可请求消息,解密得到可信路由器间许可请求消息的内容;
步骤B2′,所述中间路由器使用下一级节点的中间路由器的公钥验证可信路由器间许可请求消息中的数字签名,验证成功后接受可信路由器间许可请求消息中的内容;
步骤B3′,所述中间路由器判断自己是否是信任锚路由器角色,如果是则跳到信任锚路由器执行;否则执行步骤B4′;
步骤B4′,所述中间路由器使用自己的私钥对刚得到的可信路由器间许可请求消息中的内容进行数字签名后得到SIG值,继续构造形成可信路由器间许可请求消息;
步骤B5′,中间路由器使用层次信任结构中其上一级节点的中间路由器的公钥对所述构造的可信路由器间许可请求消息加密后形成加密可信路由器间许可请求消息,发送给上一级节点的中间路由器;上一级节点的中间路由器接收到消息后,转入步骤B1′进行处理。
12.根据权利要求11所述的可信路由器认证方法,其特征在于,所述步骤B3′中,所述信任锚路由器执行过程,包括下列步骤:
步骤B6′,信任锚路由器为接入路由器生成路由器授权许可证书;
步骤B7′,信任锚路由器将Nonce、TA和路由器授权许可证RAP各字段值构造形成可信路由器间许可宣告消息;
步骤B8′,信任锚路由器采用接入路由器的公钥将可信路由器间许可宣告消息加密,发送出去。
13.根据权利要求12所述的可信路由器认证方法,其特征在于,所述路由器授权许可证书包括接入路由器的原始证书内容以及信任锚路由器签名。
14.根据权利要求7至10任一项所述的可信路由器认证方法,其特征在于,所述步骤C中,终端设备在收到可信路由器许可宣告TRPA消息后,验证可信路由器许可宣告TRPA消息中的内容,完成可信接入路由器认证的过程,包括如下步骤:
步骤C1,终端设备收到由接入路由器回复的加密可信路由器许可宣告消息后,使用接入路由器的公钥对其解密得到可信路由器许可宣告消息;
步骤C2,终端设备验证可信路由器许可宣告消息中各字段的内容;
步骤C3,如果终端设备认证路由器成功,将该路由器接受为可信接入路由器;
步骤C4,如果终端设备没有获得接入路由器授权许可证,该路由器不能作为终端的可信接入路由器。
15.根据权利要求14所述的可信路由器认证方法,其特征在于,所述步骤C2中,所述验证过程为:
步骤C21,终端设备比较可信路由器许可宣告消息与初始发送的对应可信路由器许可请求消息中的Nonce字段值是否相等;
步骤C22,终端设备将可信路由器许可宣告消息中的信任锚标识TA字段值与初始发送的对应可信路由器许可请求消息中的信任锚列表TAs进行匹配,判断可信路由器许可宣告中的TA标识是否属于可信路由器许可请求消息中的TAs列表中的一个;
步骤C23,终端设备使用信任锚路由器的公钥对可信路由器许可宣告消息中的路由器授权许可证进行证书验证;
以上三个过程中的任一个失败则该步骤的可信路由器许可宣告消息验证过程失败,进入步骤C4;否则进入步骤C3。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2007101757254A CN101145915B (zh) | 2007-10-10 | 2007-10-10 | 一种可信路由器认证系统和方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2007101757254A CN101145915B (zh) | 2007-10-10 | 2007-10-10 | 一种可信路由器认证系统和方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101145915A CN101145915A (zh) | 2008-03-19 |
| CN101145915B true CN101145915B (zh) | 2011-08-10 |
Family
ID=39208231
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2007101757254A Active CN101145915B (zh) | 2007-10-10 | 2007-10-10 | 一种可信路由器认证系统和方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101145915B (zh) |
Families Citing this family (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102572822A (zh) * | 2010-12-15 | 2012-07-11 | 中国科学技术大学 | 一种实现安全路由的方法和装置 |
| US9009465B2 (en) * | 2013-03-13 | 2015-04-14 | Futurewei Technologies, Inc. | Augmenting name/prefix based routing protocols with trust anchor in information-centric networks |
| US9391781B2 (en) * | 2013-06-04 | 2016-07-12 | Altera Corporation | Systems and methods for intermediate message authentication in a switched-path network |
| US10181949B2 (en) | 2014-10-13 | 2019-01-15 | Futurewei Technologies, Inc. | Data distributing over network to user devices |
| CN104486082B (zh) * | 2014-12-15 | 2018-07-31 | 中电长城网际系统应用有限公司 | 认证方法和路由器 |
| CN105188024B (zh) * | 2015-10-29 | 2019-06-14 | 小米科技有限责任公司 | 接入网络的方法、装置及系统 |
| CN106603512B (zh) * | 2016-11-30 | 2019-07-09 | 中国人民解放军国防科学技术大学 | 一种基于sdn架构的is-is路由协议的可信认证方法 |
| CN106685987B (zh) * | 2017-01-23 | 2020-06-05 | 北京东土军悦科技有限公司 | 一种级联网络的安全认证方法及装置 |
| CN110417758B (zh) * | 2019-07-15 | 2020-05-05 | 中国人民解放军战略支援部队信息工程大学 | 基于证书请求的安全邻居发现运行模式探测方法 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1399490A (zh) * | 2002-08-15 | 2003-02-26 | 西安西电捷通无线网络通信有限公司 | 无线局域网移动终端的安全接入方法 |
| JP2004015725A (ja) * | 2002-06-11 | 2004-01-15 | Canon Inc | 通信システム及び通信システムにおける認証方法及びそのプログラム及びその記録媒体 |
| CN1564516A (zh) * | 2004-03-26 | 2005-01-12 | 中兴通讯股份有限公司 | 一种无线局域网移动终端异地接入认证方法 |
| US7174456B1 (en) * | 2001-05-14 | 2007-02-06 | At&T Corp. | Fast authentication and access control method for mobile networking |
| CN1976338A (zh) * | 2006-12-18 | 2007-06-06 | 西安西电捷通无线网络通信有限公司 | 一种三元结构的对等访问控制系统 |
-
2007
- 2007-10-10 CN CN2007101757254A patent/CN101145915B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7174456B1 (en) * | 2001-05-14 | 2007-02-06 | At&T Corp. | Fast authentication and access control method for mobile networking |
| JP2004015725A (ja) * | 2002-06-11 | 2004-01-15 | Canon Inc | 通信システム及び通信システムにおける認証方法及びそのプログラム及びその記録媒体 |
| CN1399490A (zh) * | 2002-08-15 | 2003-02-26 | 西安西电捷通无线网络通信有限公司 | 无线局域网移动终端的安全接入方法 |
| CN1564516A (zh) * | 2004-03-26 | 2005-01-12 | 中兴通讯股份有限公司 | 一种无线局域网移动终端异地接入认证方法 |
| CN1976338A (zh) * | 2006-12-18 | 2007-06-06 | 西安西电捷通无线网络通信有限公司 | 一种三元结构的对等访问控制系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101145915A (zh) | 2008-03-19 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101145915B (zh) | 一种可信路由器认证系统和方法 | |
| TWI362859B (zh) | ||
| JP6144783B2 (ja) | 情報中心のネットワークにおけるトラストアンカーを用いたプロトコルのルーティングに基づく名前/プレフィックスの増加 | |
| AU2011309758B2 (en) | Mobile handset identification and communication authentication | |
| US8661252B2 (en) | Secure network address provisioning | |
| CN104618396B (zh) | 一种可信网络接入与访问控制方法 | |
| US20080028225A1 (en) | Authorizing physical access-links for secure network connections | |
| EP1411430A2 (en) | Method and system for flexible delegation in a computer system | |
| CN115442147A (zh) | 网络通信业务的安全传送装置 | |
| US10680835B2 (en) | Secure authentication of remote equipment | |
| US8145917B2 (en) | Security bootstrapping for distributed architecture devices | |
| JP2014531163A (ja) | サードパーティーアプリケーションの集中型セキュアマネージメント方法、システム、および対応する通信システム | |
| CN108604985A (zh) | 数据传送方法、控制数据使用的方法以及密码设备 | |
| CN107396350B (zh) | 基于sdn-5g网络架构的sdn组件间安全保护方法 | |
| KR20200080441A (ko) | 사물인터넷 블록체인 환경에서의 디바이스 분산 인증 방법 및 이를 이용한 디바이스 분산 인증 시스템 | |
| CN113411190A (zh) | 密钥部署、数据通信、密钥交换、安全加固方法及系统 | |
| Li et al. | Enhancing the trust of internet routing with lightweight route attestation | |
| US20170339044A1 (en) | Commissioning of devices in a network | |
| WO2025031150A1 (zh) | 分布式零信任微隔离访问控制方法及系统 | |
| CN115883088A (zh) | 基于bgp路由的自治域安全参数更新方法 | |
| CN114553480A (zh) | 跨域单点登录方法及装置 | |
| CN114765551A (zh) | 基于区块链的sdp访问控制方法及装置 | |
| JP2011054182A (ja) | ディジタルバトンを使用するシステムおよび方法、メッセージを認証するためのファイアウォール、装置、および、コンピュータ読み取り可能な媒体 | |
| Modares et al. | Enhancing security in mobile IPv6 | |
| Chen et al. | C-V2X Security Technology |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| ASS | Succession or assignment of patent right |
Owner name: HANGZHOU UNIMAS INFORMATION TECHNOLOGY CO., LTD. Free format text: FORMER OWNER: INSTITUTE OF COMPUTING TECHNOLOGY HINESE ACADEMY OF SCIENCES Effective date: 20130104 |
|
| C41 | Transfer of patent application or patent right or utility model | ||
| COR | Change of bibliographic data |
Free format text: CORRECT: ADDRESS; FROM: 100080 HAIDIAN, BEIJING TO: 310052 HANGZHOU, ZHEJIANG PROVINCE |
|
| TR01 | Transfer of patent right |
Effective date of registration: 20130104 Address after: Hangzhou City, Zhejiang province Binjiang District 310052 shore road 1180 building 3 layer 1-3 Patentee after: Hangzhou Unimas Information Engineering Co., Ltd. Address before: 100080 Haidian District, Zhongguancun Academy of Sciences, South Road, No. 6, No. Patentee before: Institute of Computing Technology, Chinese Academy of Sciences |
|
| C56 | Change in the name or address of the patentee |
Owner name: HANGZHOU UNIMASSYSTEM DATA TECHNOLOGY CO., LTD. Free format text: FORMER NAME: HANGZHOU UNIMAS INFORMATION TECHNOLOGY CO., LTD. |
|
| CP01 | Change in the name or title of a patent holder |
Address after: Hangzhou City, Zhejiang province Binjiang District 310052 shore road 1180 building 3 layer 1-3 Patentee after: HANGZHOU HEZHONG DATA TECHNOLOGY CO., LTD. Address before: Hangzhou City, Zhejiang province Binjiang District 310052 shore road 1180 building 3 layer 1-3 Patentee before: Hangzhou Unimas Information Engineering Co., Ltd. |
|
| CP02 | Change in the address of a patent holder |
Address after: 310052 floors 5-8, building 3, No. 399, Danfeng Road, Xixing street, Binjiang District, Hangzhou City, Zhejiang Province (self declaration) Patentee after: HANGZHOU HEZHONG DATA TECHNOLOGY Co.,Ltd. Address before: 310052 1-3 / F, building 3, 1180 Bin'an Road, Binjiang District, Hangzhou City, Zhejiang Province Patentee before: HANGZHOU HEZHONG DATA TECHNOLOGY Co.,Ltd. |
|
| CP02 | Change in the address of a patent holder |