申请/专利权人：清华大学深圳研究生院

申请日：2014-07-03

公开（公告）日：2015-12-30

公开（公告）号：CN105207778A

主分类号：H04L9/32(2006.01)I

分类号：H04L9/32(2006.01)I;H04L12/66(2006.01)I;H04L29/06(2006.01)I

优先权：

专利状态码：失效-未缴年费专利权终止

法律状态：2024.06.28#未缴年费专利权终止;2019.04.16#授权;2016.01.27#实质审查的生效;2015.12.30#公开

摘要：本发明公开了一种在接入网关设备上实现包身份标识及数字签名的方法，包括以下步骤：扩展接入网关设备的地址解析表以存储用户身份标识及用户私钥；用户主机发起身份认证，认证成功后认证服务器向接入网关设备下发用户身份标识及用户私钥；接入网关设备对用户主机发来的数据包在符合设定条件的情况下进行身份标识及数字签名添加，再转发该数据包。该方法在建立用户身份验证机制的同时，不影响现有网络协议，开销代价小，有利于增量部署。

主权项：一种在接入网关设备上实现包身份标识及数字签名的方法，其特征在于，包括以下步骤：A1、扩展接入网关设备的地址解析表ARP表以存储用户身份标识及用户私钥；A2、用户主机发起身份认证，认证成功后认证服务器向接入网关设备下发用户身份标识及用户私钥；A3、接入网关设备对用户主机发来的数据包在符合设定条件的情况下进行身份标识及数字签名添加，再转发该数据包。

全文数据：一种在接入网关设备上实现包身份标识及数字签名的方法技术领域本发明涉及IP通信技术领域，特别是涉及一种在接入网关设备上实现包身份标识及数字签名的方法。背景技术由于互联网仅按目的地址进行寻址转发，而互联网体系结构本身又缺乏对数据包IP源地址的认证机制，这就导致了数据包IP源地址欺骗、以及由源地址欺骗所引发的大量攻击行为的存在，而事后仅以源地址为依据却难以追查攻击源。同时，尽管IP地址同时具有位置和身份的双重语义，但由于互联网的开放性又缺少用户身份验证机制，进而造成了IP地址与用户之间的弱关联性，因此难以达到根据追溯攻击源来识别用户身份的目的。这也就造成了互联网数据包的不可信性、匿名性和伪装性。事实上，已有一些方案通过保证IP源地址的可信性，部分或间接地达到了在域内进行身份认证的目的，这些方案主要分为源地址加密方案、协议重设计方案、协议栈修改方案以及包过滤方案等。源地址加密方案主要通过对称加密算法对源地址进行加密，并通过共享加密密钥的方式，在接收端进行验证发送者的真实性，但密钥传播的安全性限制了此种方案的适应范围；协议重设计方案是利用IP头中较少使用的字段，从而插入自定义特定的标记，在接收端识别这些标记从而判断源地址的真伪，但这种机制可能会影响到QoS在内的其他协议或服务，同时恶意用户仍可以通过仿照标记达到冒充的目的；协议栈修改方案是在指在IP层和传输层之间建立一个“主机身份”的中间层，通过加密和映射机制，保证主机身份标识与IP地址映射的关联性及可靠性，但这种机制的缺点是需要修改终端主机的协议栈，因此实现及部署代价较大；最后的包过滤方案，主要在用户接入路由器上利用数据源地址反向查找路由表，从而判别该IP地址的数据包是否可以从入接口进入，进而达到防止本子网发出不属于该子网IP地址范围数据包的目的，但由于路由的非对称性的存，使得机制存在着误差或漏判的可能性。发明内容本发明的主要目的在于提出一种在接入设备上实现对用户数据包身份标识及数字签名的添加方法，建立用户身份验证机制的同时，不影响现有网络协议，开销代价小，有利于增量部署。一种在接入网关设备上实现包身份标识及数字签名的方法，包括以下步骤：A1、扩展接入网关设备的地址解析表ARP表以存储用户身份标识及用户私钥；A2、用户主机发起身份认证，认证成功后认证服务器向接入网关设备下发用户身份标识及用户私钥；A3、接入网关设备对用户主机发来的数据包在符合设定条件的情况下进行身份标识及数字签名添加，再转发该数据包。优选地，所述扩展包括增加和存储自治域号、用户身份标识、签名私钥以及认证绑定状态四个字段。优选地，步骤A2包括：用户主机向认证服务器发送用户名、加密密码、主机的IP地址、MAC地址以及网关的IP地址；若用户身份认证成功，认证服务器在用户接入网关设备上根据MAC地址反向查找其接入的端口号，形成主机完整属性映射关系并登记；认证服务器向用户接入网关设备下发用户主机所属的自治域号、用户身份标识以及签名私钥，同时用户接入网关设备更新主机记录的状态字段为“认证成功”。优选地，步骤A3包括：接入网关设备首先判断用户主机当前发出的数据包类型是否适合添加身份标识，否则按一般数据包进行处理；判断ARP表中该用户主机的记录绑定状态是否为“认证成功”，否则直接丢弃；判断自身设定规则是否允许该数据包被转发，否则直接丢弃；若上述判断均成功，对数据包添加目标选项包头，并填充ASN和UID，同时，采用数字签名算法，并利用用户私钥，对数据包的上层协议单元以及当前的目标选项包头除数字签名内容本身外的内容进行签名，将签名的结果更新至目标选项包头的签名字段中；对数据包的原始包头的相关字段进行更新。优选地，步骤A3中，上述判断是依次判断的。优选地，所述设定规则包括是否具有转发权限。优选地，步骤A3中，判断数据包类型是否适合添加身份标识包括：判断数据包是否属于特定协议数据包，是则认为不适合添加，所述特定协议例如DNS、DHCP。优选地，所述数据包是IPv6数据包，所述接入网关设备为交换机或路由器。优选地，接收端设备在接收到数据包时利用身份标识及数字签名对发送者身份进行验证。优选地，中间转发设备对目标选项包头不予理会。本发明的有益效果：本发明可在不修改主机协议栈及主要协议的前提下，实现数据分组的身份实名化，且能够支撑跨域身份标识识别及验证。本发明可对数据包发送者的身份标识化，能有效地防止身份标识、数据包内容的篡改和抵赖，同时还能阻止身份标识的逆向推导从而保护用户身份的隐私，总整机制能够达到减少互联网攻击、构建安全可信互联网的目的。与其他源地址验证或身份标识添加方案相比，本发明具有实现开销代价小，安全可靠性高，以及利于增量部署的特点。附图说明图1是本发明实施例中的接入网关设备的ARP表扩展示意图；图2是本发明实施例中的包含身份标识及数字签名的目标选项包头设计图；图3是本发明实施例中的接入网关设备对数据包的处理流程示意图。具体实施方式下面结合具体实施方式并对照附图对本发明作进一步详细说明。应该强调的是，下述说明仅仅是示例性的，而不是为了限制本发明的范围及其应用。本发明认为，可信的源地址是域内数据包身份归属识别的必要条件，而可信的用户身份标识是域间数据包身份归属识别的必要条件。因此，使数据包携带真实有效的发送者身份标识，让接收方能够验证发送方身份的真伪性，是有效减少互联网攻击行为、增强互联网安全可信的重要手段。根据本发明的实施例，可在IPv6环境下，利用用户三层接入网关设备接入网关交换机或接入网关路由器对用户数据包添加用户身份标识以及数字签名的机制，包括步骤：扩展接入网关交换机或路由器的地址解析表ARP表以存储用户身份标识及用户私钥；用户发起身份认证，认证成功后认证服务器向接入网关设备下发用户身份标识及私钥；接入网关设备对用户非特定协议数据包进行身份标识及数字签名添加，再进行数据包转发。相比已有方案，这一方法具有更好的安全性和可实现性，且部署代价较小，并不破坏现有任何协议、客户主机协议栈以及路由设备架构，同时还具有很好的可渐进部署性。进一步地，本发明的实施例可包括以下步骤：1.扩展接入网关设备的地址解析表ARP表：1.1在现有交换机ARP表的基础上，本方法增加了自治域号、用户身份标识、签名私钥以及认证状态四个字段，如图1所示，后四个字段为新添加字段；2.用户身份认证：2.1用户通过客户端软件向认证服务器进行认证，发送用户名、加密密码、主机的IP地址、MAC地址以及网关的IP地址；2.2若用户身份认证成功，认证服务器将根据SNMP等协议，在用户接入网关设备上，根据MAC地址反向查找其接入的端口号，形成主机完整属性映射关系并登记；2.3认证服务器通过OpenFlow、SSL或SNMP协议向用户接入交换机下发用户所属的自治域号、身份标识UID以及私钥，同时接入网关设备更新主机记录的状态字段为“认证成功AuthSucc”；3.接入网关设备对数据包添加身份标识及数字签名，如图3所示：3.1接入网关首先判断用户发出当前发出的数据包是否适合添加身份标识，否则按一般数据包进行处理；3.2若上一步成功，还应判断用户记录绑定状态是否成功，否则直接丢弃；3.3若上一步成功，还应判断自身规则是否允许该数据包被转发，否则直接丢弃；3.4对IPv6数据包添加目标选项包头，并填充ASN和UID，如图2所示。同时，采用数字签名算法，如RSA-SHA-256,RSA-SHA-512,ECDSA-SHA-256,ECDSA-SHA-512等、并利用用户的私钥对数据包的上层协议单元、以及当前的目标选项包头内容不含数字签名内容本身进行签名，将签名的结果256bit,或512bit更新至目标选项包头的签名字段中；3.5对IPv6的原始包头的相关字段，如下一包头、包头长度等相关字段进行更新。4.接入网关设备发送数据包。根据一种实施例，接入网关设备转发此数据包后，中间转发设备可对目标选项包头不予理会，而接收端据此可以对数据包的完整性及发送者身份进行验证。图1示出了接入网关设备扩展ARP表的一种设计，在用户认证成功后用于存储用户的私钥、身份标识，自治域号以及认证绑定的状态。图2示出了利用IPv6目标选项包头而创建的一种自定义包头格式。接入网关设备对用户发送数据包的处理过程如图3所示，即首先排除不适用于本方法的数据包，其次判断用户是否已认证，再判断该数据包是否具有转发权限，最后按以上选项包头格式添加和更新，最后进行转发。本发明的整体方案不修改任何协议、主机客户端协议栈，也不影响网络现有功能，对于包头的更新效率问题，现有的商用交换机均能做到线速。对于用户的认证及密钥下发过程，可以通过多种方法实现，如802.1x,SNMP等。至于添加的选项包头开销问题取决于与签名算法联合使用的哈希算法，数字签名的长度对于以下具体的签名算法情况分别为：RSA-MD5:128bit,RSA-SHA-1:160bit,RSA-SHA-256:256bit,RSA-SHA-512:512bit，因此添加的目标选项包头分别仅占MTU的1500byte1.87％,2.13％,2.93％,和5.07％，故包头开销并不大。以上内容是结合具体的优选的实施方式对本发明所作的进一步详细说明，不能认定本发明的具体实施只局限于这些说明。对于本发明所属技术领域的普通技术人员来说，在不脱离本发明构思的前提下，其还可以对这些已描述的实施例做出若干替代或变型，而这些替代或变型方式都应当视为属于本发明的保护范围。

权利要求：1.一种在接入网关设备上实现包身份标识及数字签名的方法，其特征在于，包括以下步骤：A1、扩展接入网关设备的地址解析表ARP表以存储用户身份标识及用户私钥；A2、用户主机发起身份认证，认证成功后认证服务器向接入网关设备下发用户身份标识及用户私钥；A3、接入网关设备对用户主机发来的数据包在符合设定条件的情况下进行身份标识及数字签名添加，再转发该数据包；所述扩展包括增加和存储自治域号、用户身份标识、签名私钥以及认证绑定状态四个字段；步骤A3包括：接入网关设备首先判断用户主机当前发出的数据包类型是否适合添加身份标识，否则按一般数据包进行处理；判断ARP表中该用户主机的认证绑定状态是否为“认证成功”，否则直接丢弃；判断自身设定规则是否允许该数据包被转发，否则直接丢弃；若上述判断均成功，对数据包添加目标选项包头，并填充自治域号和用户身份标识，同时，采用数字签名算法，并利用用户私钥，对数据包的上层协议单元以及当前的目标选项包头除数字签名内容本身外的内容进行签名，将签名的结果更新至目标选项包头的签名字段中；对数据包的原始包头的相关字段进行更新。2.如权利要求1所述的方法，其特征在于，步骤A2包括：用户主机向认证服务器发送用户名、加密密码、主机的IP地址、MAC地址以及网关的IP地址；若用户身份认证成功，认证服务器在用户接入网关设备上根据MAC地址反向查找其接入的端口号，形成主机完整属性映射关系并登记；认证服务器向用户接入网关设备下发用户主机所属的自治域号、用户身份标识以及签名私钥，同时用户接入网关设备更新主机记录的状态字段为“认证成功”。3.如权利要求1所述的方法，其特征在于，步骤A3中，上述判断是依次判断的。4.如权利要求1所述的方法，其特征在于，所述设定规则包括是否具有转发权限。5.如权利要求1所述的方法，其特征在于，步骤A3中，判断数据包类型是否适合添加身份标识包括：判断数据包是否属于特定协议数据包，是则认为不适合添加。6.如权利要求1所述的方法，其特征在于，所述数据包是IPv6数据包，所述接入网关设备为交换机或路由器。7.如权利要求1至6任一项所述的方法，其特征在于，接收端在接收到数据包时利用身份标识及数字签名对发送者身份进行验证。8.如权利要求1至6任一项所述的方法，其特征在于，中间转发设备对目标选项包头不予理会。

百度查询： 清华大学深圳研究生院 一种在接入网关设备上实现包身份标识及数字签名的方法

免责声明
1、本报告根据公开、合法渠道获得相关数据和信息，力求客观、公正，但并不保证数据的最终完整性和准确性。
2、报告中的分析和结论仅反映本公司于发布本报告当日的职业理解，仅供参考使用，不能作为本公司承担任何法律责任的依据或者凭证。

阅读全文 双屏查看 官方信息 专利公告 收藏专利 下载PDF 下载WORD