基于三元對等鑒別的一體化網(wǎng)絡(luò)接入機(jī)制研究

王海清，蘇 偉，董 平

(北京交通大學(xué) 電子信息工程學(xué)院，北京 100044)

基于三元對等鑒別的一體化網(wǎng)絡(luò)接入機(jī)制研究

王海清，蘇 偉，董 平

(北京交通大學(xué) 電子信息工程學(xué)院，北京 100044)

網(wǎng)絡(luò)安全接入機(jī)制在一體化網(wǎng)絡(luò)完善過程中具有舉足輕重的地位，目前通用的二元鑒別機(jī)制缺乏對執(zhí)行端的驗(yàn)證，在某種程度上影響了網(wǎng)絡(luò)安全性。為了保證網(wǎng)絡(luò)安全，實(shí)現(xiàn)終端安全可信地接入核心網(wǎng)絡(luò)，文中提出了一種基于三元對等鑒別的一體化網(wǎng)絡(luò)安全接入機(jī)制。該鑒別認(rèn)證機(jī)制能實(shí)現(xiàn)接入終端與接入交換路由器的雙向身份鑒別，可以有效防止非授權(quán)終端接入網(wǎng)絡(luò)，同時防止惡意接入交換路由器對終端的欺騙，即實(shí)現(xiàn)了終端、交換路由器和認(rèn)證中心三個認(rèn)證實(shí)體間的相互鑒別認(rèn)證，并從性能和安全性等方面分析了此機(jī)制的優(yōu)越性。文中提出的方法增強(qiáng)了一體化網(wǎng)絡(luò)中對終端接入訪問的安全控制，推動了三元對等鑒別技術(shù)的應(yīng)用，促進(jìn)了一體化網(wǎng)絡(luò)的完善。

三元對等鑒別；一體化網(wǎng)絡(luò)；雙向身份鑒別；RSA

0 引 言

一體化網(wǎng)絡(luò)是一種新型互聯(lián)網(wǎng)體系結(jié)構(gòu)，其核心思想是通過引入接入標(biāo)識、交換路由標(biāo)識以及接入標(biāo)識與交換路由標(biāo)識之間的分離映射機(jī)制來支持身份與位置分離[1]。一體化網(wǎng)絡(luò)的身份與位置分離理念為當(dāng)前盛行的基于TCP/IP網(wǎng)絡(luò)在移動性、安全性和路由可擴(kuò)展性上的問題提供了良好的解決思路。一體化網(wǎng)絡(luò)將IP地址的雙重屬性分離，使節(jié)點(diǎn)的位置信息更為隱蔽，保護(hù)了用戶的隱私性[2]。用戶不能了解到網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)，因此可以緩解當(dāng)前互聯(lián)網(wǎng)中常見的中間人攻擊(MITM)[3]、分布式拒絕服務(wù)攻擊(DDOS)[4]以及權(quán)限提升攻擊等。同傳統(tǒng)互聯(lián)網(wǎng)一樣，網(wǎng)絡(luò)安全對于一體化網(wǎng)絡(luò)十分重要，必須設(shè)置安全認(rèn)證機(jī)制保障外部終端在接入網(wǎng)絡(luò)、切換接入域過程中的安全。

目前，關(guān)于一體化網(wǎng)絡(luò)的研究資料越來越豐富，針對一體化網(wǎng)絡(luò)的安全接入認(rèn)證協(xié)議也取得了一些研究成果，例如：文獻(xiàn)[5]中的身份標(biāo)識和挑戰(zhàn)應(yīng)答組合的認(rèn)證機(jī)制，文獻(xiàn)[6]中身份標(biāo)簽和離散對數(shù)謎題組合的認(rèn)證機(jī)制，文獻(xiàn)[7]中利用隨機(jī)數(shù)來驗(yàn)證身份的機(jī)制。如何建立更安全、可靠的新型網(wǎng)絡(luò)體系成為一體化網(wǎng)絡(luò)研究的重點(diǎn)。

文中在一體化網(wǎng)絡(luò)體系結(jié)構(gòu)的基礎(chǔ)上，著重分析了一體化網(wǎng)絡(luò)中的終端安全接入，同時結(jié)合我國自主知識產(chǎn)權(quán)的三元對等鑒別架構(gòu)，推出了一種一體化網(wǎng)絡(luò)終端的安全接入機(jī)制，并采用對稱加密算法的數(shù)字簽名方案來確保數(shù)據(jù)的機(jī)密性與完整性。

1 一體化網(wǎng)絡(luò)的體系結(jié)構(gòu)

一體化標(biāo)識網(wǎng)絡(luò)[1]將網(wǎng)絡(luò)劃分為接入網(wǎng)與骨干網(wǎng)兩部分。接入網(wǎng)由接入交換路由器和終端設(shè)備構(gòu)成，主要作用是實(shí)現(xiàn)各類終端的安全接入；骨干網(wǎng)由接入交換路由器、核心路由器以及各種服務(wù)器(認(rèn)證服務(wù)器、映射服務(wù)器等)，通過接入交換路由器連接各個接入網(wǎng)。

一體化標(biāo)識網(wǎng)絡(luò)的創(chuàng)新點(diǎn)在于身份信息和位置信息的分離。接入網(wǎng)中使用身份標(biāo)識來表示接入終端的身份信息；核心網(wǎng)中使用路由標(biāo)識來表示路由信息。在接入網(wǎng)與核心網(wǎng)之間的接入交換路由器上實(shí)現(xiàn)接入標(biāo)識和路由標(biāo)識的替換。身份、位置信息分離的優(yōu)勢在于[2]：

(1)用戶的隱私性和安全性：克服了IP地址的雙重屬性，在身份與位置分離網(wǎng)絡(luò)中，節(jié)點(diǎn)的身份標(biāo)識與路由標(biāo)識不能直接通信，即表示節(jié)點(diǎn)身份的身份標(biāo)識不能在核心網(wǎng)中使用，核心網(wǎng)中的攻擊者不能通過截獲的數(shù)據(jù)包來分析身份信息，表示節(jié)點(diǎn)位置的路由標(biāo)識不能在接入網(wǎng)中使用，在接入網(wǎng)中不能獲取節(jié)點(diǎn)位置信息。

(2)路由可擴(kuò)展性：在IPv4、IPv6發(fā)展過程中，由于IP地址分配不合理增加了路由表的聚合難度，導(dǎo)致路由表?xiàng)l目增長迅速。同時由于移動IP的發(fā)展，更加劇了核心路由的壓力。身份與位置分離網(wǎng)絡(luò)中，接入網(wǎng)中的移動IP等動態(tài)行為不會影響核心路由，從而避免了上述路由條目增加的壓力，提高了核心路由的轉(zhuǎn)發(fā)速度。

(3)移動性：移動IPv4[8]、IPv6[9]解決了傳統(tǒng)互聯(lián)網(wǎng)中的節(jié)點(diǎn)移動問題，但是存在顯著的三角路由、移動切換時延長等問題。在身份與位置分離網(wǎng)絡(luò)中，當(dāng)節(jié)點(diǎn)移動到其他的管理域中，由于節(jié)點(diǎn)的身份標(biāo)識不會發(fā)生改變，只需要重新發(fā)布身份標(biāo)識和路由標(biāo)識的映射關(guān)系，簡潔且高效。

一體化標(biāo)識網(wǎng)絡(luò)擁有良好的發(fā)展前景，但是網(wǎng)絡(luò)安全威脅時刻存在，尤其是針對接入網(wǎng)中中斷節(jié)點(diǎn)接入的安全認(rèn)證。

因此探索更優(yōu)質(zhì)的安全認(rèn)證機(jī)制，對于實(shí)現(xiàn)可靠通信、保障網(wǎng)絡(luò)安全至關(guān)重要。

2 三元對等鑒別原理

2.1 二元身份認(rèn)證

在現(xiàn)有的終端實(shí)體的可信入網(wǎng)與控制中，最典型的方案有思科的網(wǎng)絡(luò)準(zhǔn)入控制技術(shù)(Network Admission Control，NAC)，微軟的網(wǎng)絡(luò)訪問保護(hù)技術(shù)(Network Access Protection，NAP)，華為的端點(diǎn)準(zhǔn)入防御技術(shù)(Endpoint Admission Defense，EAD)等。這些技術(shù)本質(zhì)上都是采用一個通用的終端節(jié)點(diǎn)接入控制模型，如圖1所示。

圖1 二元身份認(rèn)證模型

圖1的認(rèn)證模型包括三個元素：終端、執(zhí)行端和認(rèn)證服務(wù)器。執(zhí)行端通常是與終端直連的網(wǎng)絡(luò)設(shè)備，如路由器、交換機(jī)等。認(rèn)證服務(wù)器扮演認(rèn)證者的角色，在未通過認(rèn)證服務(wù)器認(rèn)證之前，終端與網(wǎng)絡(luò)只能交互底層報文，在通過認(rèn)證服務(wù)器的驗(yàn)證之后，終端才能與網(wǎng)絡(luò)中其他設(shè)備交互上層報文。而執(zhí)行端只是完成認(rèn)證報文在終端和認(rèn)證服務(wù)器之間的解封裝、轉(zhuǎn)發(fā)與封裝以及根據(jù)端口是否處于認(rèn)證狀態(tài)對報文進(jìn)行訪問控制。在圖1的認(rèn)證模型中，真正參與認(rèn)證的只有終端和認(rèn)證服務(wù)器，因此被稱為“二元身份認(rèn)證模型”。

在二元身份認(rèn)證模型中，由于沒有驗(yàn)證執(zhí)行端的可信性，攻擊者很容易偽裝成執(zhí)行端對網(wǎng)絡(luò)進(jìn)行攻擊，威脅網(wǎng)絡(luò)安全；同時所有的認(rèn)證報文都要經(jīng)過認(rèn)證服務(wù)器的處理，認(rèn)證服務(wù)器負(fù)載隨著網(wǎng)絡(luò)規(guī)模的擴(kuò)大而增加，這導(dǎo)致認(rèn)證服務(wù)器很容易成為系統(tǒng)的瓶頸。因此，引入新型認(rèn)證模型很有必要。

2.2 三元對等鑒別認(rèn)證

三元對等鑒別(TePA)是西電捷通自主提出的一種信息安全領(lǐng)域普適性實(shí)體鑒別方案。此方案中提出的五次傳遞和調(diào)用可信第三方的機(jī)制，適用于實(shí)體間的雙向身份鑒別[10]，能夠滿足“合法終端設(shè)備訪問合法網(wǎng)絡(luò)”的網(wǎng)絡(luò)安全需求。

在TePA鑒別機(jī)制中，包括三個實(shí)體元素(A,B,C)，實(shí)體C對于實(shí)體A、B來講是完全可信的，A和B對于C來說是對等鑒別實(shí)體。此鑒別機(jī)制要求A和B通過同時擁有A、B公鑰的可信第三方C來驗(yàn)證對方的公鑰[11]。

鑒別機(jī)制依賴在三個實(shí)體之間進(jìn)行的五次認(rèn)證信息交互，達(dá)成鑒別目的。圖2為由B發(fā)起的鑒別機(jī)制，由A發(fā)起的鑒別機(jī)制原理相同[12]。

圖2 鑒別機(jī)制結(jié)構(gòu)

鑒別過程如下：

(1)A->B：A發(fā)送隨機(jī)數(shù)和身份信息、可選文本到B；

(2)B->A：B發(fā)送隨機(jī)數(shù)和身份信息、可選文本到A；

(3)A->C：A發(fā)送A、B的身份信息及其他信息給C，請求驗(yàn)證；

(4)C->A：C將對A和B的驗(yàn)證結(jié)果發(fā)送給A；

(5)A->B：A將C對A的驗(yàn)證結(jié)果發(fā)送給B。

2.3 基于三元對等鑒別的一體化網(wǎng)絡(luò)接入機(jī)制

一體化網(wǎng)絡(luò)結(jié)構(gòu)的劃分不同于傳統(tǒng)互聯(lián)網(wǎng)，從概念上講，可以分為服務(wù)層和網(wǎng)通層。服務(wù)層主要負(fù)責(zé)業(yè)務(wù)的回話、控制和管理[1]，對應(yīng)于傳統(tǒng)互聯(lián)網(wǎng)IOS的傳輸層；網(wǎng)通層主要負(fù)責(zé)下層通信，相當(dāng)于IOS的網(wǎng)絡(luò)層及以下的部分。

目前流行的認(rèn)證方式包括：Web認(rèn)證、PPPoE認(rèn)證和802.1x認(rèn)證。其中：Web認(rèn)證是利用HTTP協(xié)議傳遞認(rèn)證消息，屬于應(yīng)用層認(rèn)證；PPPoE利用PPP鏈路協(xié)議在以太網(wǎng)上傳遞認(rèn)證消息，屬于鏈路層認(rèn)證；802.1x是利用EAPOL幀封裝EAP認(rèn)證協(xié)議，也屬于鏈路層認(rèn)證。不同認(rèn)證方式優(yōu)劣對比如圖3所示。其中，鏈路層以802.1x為例，應(yīng)用層以Web認(rèn)證為例。

圖3 不同認(rèn)證方式對比

從圖3的對比分析中可以看出：Web認(rèn)證開銷小但是連接不穩(wěn)定，同時不適合移動用戶；鏈路層認(rèn)證由于是直接承接在鏈路層數(shù)據(jù)幀上，二層接入技術(shù)的差異使這種直接面向二層的接入認(rèn)證方式不能適用于不同的接入網(wǎng)絡(luò)以及相互之間的切換[13]。

基于以上分析，文中綜合考慮一體化標(biāo)識網(wǎng)絡(luò)中的安全和移動性問題，提出利用三元對等鑒別在網(wǎng)絡(luò)層的安全接入機(jī)制。

在該機(jī)制中，認(rèn)證中心AS是認(rèn)證服務(wù)的關(guān)鍵，因?yàn)锳S是整個認(rèn)證系統(tǒng)中都信任的一個實(shí)體，是終端Node和接入交換路由器ASR交互信任信息的基礎(chǔ)。作為網(wǎng)關(guān)，ASR將接入網(wǎng)與核心網(wǎng)隔離開來，因此，為了保障核心網(wǎng)絡(luò)的安全，ASR身份可信性必須保證。在單向鑒別Node可信性之外，利用三元對等鑒別方法，也核實(shí)了ASR的可信性，保障了一體化標(biāo)識網(wǎng)絡(luò)的安全接入。

作為三元對等鑒別認(rèn)證應(yīng)用在通信領(lǐng)域的一個實(shí)例，WAPI協(xié)議采用了基于數(shù)字證書的安全接入機(jī)制。數(shù)字證書是一種數(shù)字身份證，是經(jīng)過證書授權(quán)中心數(shù)字簽名的，包含公共密鑰擁有者信息以及公開密鑰的可信文件。采用數(shù)字證書的鑒別機(jī)制安全性比較高，但是，利用數(shù)字證書的認(rèn)證機(jī)制對系統(tǒng)資源要求較高，因此，文中采用基于身份標(biāo)識的安全接入認(rèn)證機(jī)制。

3 安全接入機(jī)制

3.1 認(rèn)證中的加密算法

根據(jù)密鑰算法的不同，可以將加密算法分為兩種：

(1)對稱加密算法。

通信雙方使用相同的密鑰進(jìn)行加、解密。此密鑰在通信開始之前由安全部門分配或者通信雙方協(xié)商得到。常見的對稱加密算法有DES、3DES、AES等塊加密算法以及RC4、SEAL等流加密算法。

(2)非對稱加密算法。

通信雙方使用不同的密鑰進(jìn)行加、解密。每個通信實(shí)體有一對密鑰，一個稱為公鑰，是公開的，一個稱為私鑰，是只有自己知道的。當(dāng)發(fā)送者A發(fā)送一條加密信息給接收者B，為了保證只有B能破解此信息，使用A的公鑰加密信息，當(dāng)B收到加密信息后使用自己的私鑰解密信息。這樣就保證了信息的秘密性。除了加密信息之外，發(fā)送者A還可以利用自己的私鑰對信息進(jìn)行簽名，當(dāng)接收者B收到簽名信息后，利用A的公鑰解密，根據(jù)解密結(jié)果就能判斷該信息是否來自發(fā)送者A。常見的非對稱加密算法有RSA和ECC。

通過以上對比，顯然非對稱加密算法的安全性更好。由于RSA加密算法技術(shù)成熟，是企業(yè)級加密標(biāo)準(zhǔn)，因此，文中采用RSA算法的數(shù)字簽名方案對數(shù)據(jù)進(jìn)行簽名。簽名與驗(yàn)證過程如下：

首先，要明確一些定義。

假設(shè)n是兩個不同的奇素數(shù)p和q的乘積，即n=pq，φ(n)=(p-1)(q-1)。

定義密鑰空間：

k={(n,p,q,d,e)|n=pq,p和q是素數(shù)，de≡1modφ(n),e為隨機(jī)數(shù)}

對每一個k=(n,p,q,d,e)，定義加密變換為Ek(y)=ybmodn,y∈Zn，解密變換為Dk(x)=xemodn,x∈Zn，其中Zn為整數(shù)集合。公開n和b，保密p，q和e。

在上述定義的基礎(chǔ)上，RSA數(shù)字簽名算法的過程為：

對明文m用解密變換作運(yùn)算：S≡Dk(m)=memodn。其中d，n為發(fā)送者A的私鑰。接收者B收到簽名后利用A的公鑰和加密變換算法得到明文：Ek(S)=Ek(Dk(m))=(md)emodn，又de≡1modφ(n)，即de=1φ(n)+1，根據(jù)歐拉定理mφ(n)=1modn，所以有Ek(S)=meφ(n)+e=[mφ(n)]em=mmodn。接收者利用接收到的明文m和簽名S來驗(yàn)證此消息是否由A發(fā)送。

由于除了A之外，沒有用戶擁有e，所以其他人不能產(chǎn)生S，因此RSA數(shù)字簽名方案是可行的。

3.2 安全接入機(jī)制的實(shí)現(xiàn)

在認(rèn)證過程開始之前，必須有注冊過程和密鑰分配過程。注冊步驟如圖4所示，注冊完成之后，采用密鑰預(yù)分配機(jī)制完成每個節(jié)點(diǎn)的密鑰對分配。

圖4 注冊過程

認(rèn)證過程的通信流程如圖5所示。

圖5 安全接入機(jī)制

該控制機(jī)制作用于網(wǎng)絡(luò)層，所定義的安全協(xié)議報文傳遞時，使用數(shù)據(jù)報文。為了能夠接入網(wǎng)絡(luò)，完成終端和接入交換路由器之間的相互鑒定，三個認(rèn)證實(shí)體之間需要完成以下認(rèn)證過程：

(1)AR收到來自Node的接入鑒別請求分組后，向Node發(fā)送接入鑒別激活分組以激活整個鑒別過程，發(fā)送的鑒別分組中包括AR產(chǎn)生的隨機(jī)數(shù)Rar和AR的身份標(biāo)識Iar。

(2)終端構(gòu)造接入鑒別請求分組發(fā)送給接入交換路由器，其中包括Node產(chǎn)生的隨機(jī)數(shù)Rnode，Node的身份標(biāo)識Inode以及PNAc。其中，PNAc是Node使用自己的私鑰對Rnode、Inode以及Rar的簽名。

(6)AR發(fā)送接入響應(yīng)分組到終端Node，接入響應(yīng)分組數(shù)據(jù)中包括AR公鑰PuKar、PArN和PAN。PArN為AR的私有密鑰對Rar、Rnode、Inode的簽名。

(7)終端Node對來自AR的接入響應(yīng)做如下處理：先校驗(yàn)步驟(2)中發(fā)送的Rnode與AS私鑰簽名PAN中的Rnode是否一致，通過此結(jié)果驗(yàn)證簽名；然后通過PuKar驗(yàn)證PuKAN，驗(yàn)證方法是檢查簽名中的Inode與Node的身份標(biāo)識Inode相一致，校驗(yàn)步驟(2)中發(fā)送的隨機(jī)數(shù)Rnode與包含在AR簽名中的隨機(jī)數(shù)相一致，若以上驗(yàn)證都順利，則成功獲得PuKar。

完成以上校驗(yàn)步驟后，AR和Node通過AS實(shí)現(xiàn)了雙向身份鑒別，獲得了對方的公鑰。Node可以安全接入AR，在驗(yàn)證AR的安全性之后，也防止Node登錄到不安全的AR。

4 性能及安全分析

4.1 性能分析

在該安全接入機(jī)制中，每個終端都要存儲兩部分信息：身份標(biāo)識及其公私鑰對、AS及AR的公鑰。對于終端來講這樣的內(nèi)存開銷是可以接受的。

RSA算法在能耗方面很有優(yōu)勢。在整個認(rèn)證過程中，Node和AR所需的加密時間很短，基本可以忽略不計。這體現(xiàn)了RSA加密算法的優(yōu)越性。

4.2 安全性分析

基于三元對等鑒別的一體化標(biāo)識網(wǎng)絡(luò)安全接入機(jī)制，滿足了接入網(wǎng)中終端安全接入的需求，也滿足了以下常見的安全性要求：

(1)防DOS攻擊。

DOS攻擊即拒絕服務(wù)攻擊，是一種非常普遍的網(wǎng)絡(luò)攻擊手段。攻擊者利用網(wǎng)絡(luò)設(shè)備的缺陷，持續(xù)向接入設(shè)備發(fā)送大量無用消息，接入設(shè)備由于忙于處理這些非法消息而不能處理其他合法的請求消息。該機(jī)制在認(rèn)證過程中，加入實(shí)體產(chǎn)生的隨機(jī)數(shù)，通過隨機(jī)數(shù)驗(yàn)證之后才會對此消息進(jìn)行處理。這一措施可以有效預(yù)防DOS攻擊。

(2)防重放攻擊。

重放攻擊是指惡意終端通過重復(fù)發(fā)送合法終端或接入交換路由器發(fā)送過的消息來騙取對方的信任。在本方案中，可以通過設(shè)置隨機(jī)數(shù)的生存時間來達(dá)到防重放攻擊的目的，即只有在有效的生存時間內(nèi)發(fā)送的消息才能被接收方認(rèn)可。

(3)防中間人攻擊。

中間人攻擊即攻擊者通過篡改截收到的對認(rèn)證過程十分重要的合法信息，轉(zhuǎn)發(fā)給接收方，并導(dǎo)致認(rèn)證失敗的攻擊方式。在本機(jī)制中，由于使用RSA簽名算法，接收方對收到的信息都會進(jìn)行簽名驗(yàn)證，通過驗(yàn)證簽名算法中的隨機(jī)數(shù)，能有效地防止中間人攻擊。

5 結(jié)束語

由于一體化標(biāo)識網(wǎng)絡(luò)對網(wǎng)絡(luò)安全的高要求，同時接入網(wǎng)的開放性和終端多樣性使得其面臨巨大的安全挑戰(zhàn)，因此提升終端接入機(jī)制的安全性很有必要。文中借鑒三元對等鑒別機(jī)制，提出了一體化網(wǎng)絡(luò)中的安全接入機(jī)制，采用了目前接受度最高的RSA簽名算法，保證了其可行性。從DOS攻擊、重放攻擊、中間人攻擊方面分析了該接入機(jī)制的安全性。研究一體化標(biāo)識網(wǎng)絡(luò)的通信安全機(jī)制將是下一步工作方向。

[1] 王 上.一體化網(wǎng)絡(luò)接入交換路由器分離映射的設(shè)計與實(shí)現(xiàn)[D].北京:北京交通大學(xué),2008.

[2] 鄭麗娟.身份與位置分離網(wǎng)絡(luò)中認(rèn)證協(xié)議的研究與設(shè)計[D].北京:北京交通大學(xué),2013.

[3] Callegati F,Cerroni W,Ramilli M.Man-in-the-middle attack to the HTTPS protocol[J].IEEE Security & Privacy,2009,7(1):78-81.

[4] Sung M,Xu J.IP traceback-based intelligent packet filtering:a novel technique for defending against internet DDoS attacks[J].IEEE Transactions on Parallel and Distributed Systems,2003,14(9):861-872.

[5] 羅洪斌，王洪超，張宏科,等.基于標(biāo)識的一體化網(wǎng)絡(luò)終端統(tǒng)一接入控制方法：中國,2007101217453[P].2008-02-06.

[6] 萬 明，周華春，劉 穎,等.基于身份標(biāo)簽的一體化網(wǎng)絡(luò)接入認(rèn)證方案[J].鐵道學(xué)報,2012,34(8):70-81.

[7] 唐建強(qiáng)，劉 穎，周華春,等.一種身份與位置分離環(huán)境下基于網(wǎng)絡(luò)的安全移動性管理協(xié)議[J].電子與信息學(xué)報,2013,35(1):151-158.

[8] Postel J.IP internet protocol version 4[S].[s.l.]:IETF,1981.

[9] Deering S E,Hinden R M.Internet Protocol,Version 6 (IPv6) specification[S].[s.l.]:IETF,1998.

[10] 西安西電捷通無線網(wǎng)絡(luò)通信有限公司.一種基于三元對等鑒別(TePA)的可信平臺驗(yàn)證方法:中國,200810232093[P].2010-01-13.

[11] 黃振海,賴曉龍,鐵滿霞,等.三元對等鑒別及訪問控制方法國際提案進(jìn)展[J].信息技術(shù)與標(biāo)準(zhǔn)化,2009(6):21-23.

[12] 楊年鵬，龍昭華，蔣貴全,等.基于虎符TePA的物聯(lián)網(wǎng)安全接入機(jī)制研究[J].計算機(jī)工程與設(shè)計，2012,33(4):1305-1309.

[13] 唐 鼎,趙海濱,侯自強(qiáng),等.獨(dú)立于二層鏈路的接入認(rèn)證[J].計算機(jī)工程,2006,32(4):184-186.

Research on Identity Authentication Scheme in Universal Network Based on Tri-element Peer Authentication Method

WANG Hai-qing,SU Wei,DONG Ping

(School of Electronics and Information Engineering,Beijing Jiaotong University, Beijing 100044,China)

Identity authentication scheme in universal network is extremely important.General two-element peer authenticate has shortcomings that it doesn’t authenticate the router,which is a potential security problem.In order to guarantee the network security and realize terminal access to core network safely and credibly,a kind of integrated network security access mechanism based on tri-element peer authentication is put forward.In the new mechanism,terminal and router can authenticate each other by this way and effectively prevent unauthorized terminal access to networks,at the same time prevention of malicious access to exchange router for cheating terminal,which implements mutual identification authentication for terminal,exchange routers and certification center.The superiority of this mechanism is analyzed from performance and security and other aspects.The proposed method enhances the network security control of terminal access,promoting the application for ternary peer identification technology,raising the improvement of the integration of network.

tri-element peer authentication;universal network;two-way authentication;RSA

2015-07-22

2015-10-26

時間：2016-03-22

中央高校基本科研業(yè)務(wù)費(fèi)專項(xiàng)資金(2014JBM004)；北京高等學(xué)校青年英才計劃項(xiàng)目(YETP0534)

王海清(1990-)，女，碩士研究生，研究方向?yàn)橄乱淮ヂ?lián)網(wǎng)；蘇 偉，副教授，研究方向?yàn)樾畔⒕W(wǎng)絡(luò)、網(wǎng)絡(luò)安全；董 平，副教授，研究方向?yàn)樾畔⒕W(wǎng)絡(luò)、網(wǎng)絡(luò)安全。

http://www.cnki.net/kcms/detail/61.1450.TP.20160322.1522.094.html

TP31

A

1673-629X(2016)04-0096-05

10.3969/j.issn.1673-629X.2016.04.021