技术领域
[0001] 本
发明总体上涉及网络通信技术领域,更具体地涉及到各种有线园区网、政务网、校园网、企业网以及无线WLAN、无线Mesh网络中终端
节点对MPLS骨干网络的可信接入控制,提高互联网可信性的方法。
背景技术
[0002] 随着互联网技术的发展,人们对信息网络的应用需求与依赖性不断提升,伴随而来的信息安全威胁也在不断增加。以往那些对单台主机的威胁已经发展为对网络
基础设施的攻击,多数网络安全事件都是由脆弱的用户终端和“失控”的网络使用行为引起。病毒的入侵、木
马的植入、拒绝服务攻击、地址盗用、DHCP欺骗以及ARP攻击等之所以对网络产生较大的破坏,是因为它们利用了脆弱的终端节点的连接作为入侵网络的通路。“失控”的用户终端一旦接入网络,安全威胁即在更大范围内快速扩散。因此,保证用户终端的安全、阻止威胁入侵网络,对用户的网络
访问行为进行有效的控制,是保证网络安全运行的前提。
[0003] 国内外研究表明网络安全正向着可信方向发展,新一代
计算机网络必须提供可信性机制以解决安全问题来消除网络脆弱性。在这种情况下,各种准入控制技术顺势而生。目前业界普遍采用的网络连接认证与控制技术包括PPPoE、网关和802.1x三种方式,建立在对用户帐号的合法性进行验证的基础上,其中用户名一般通过明文传递,绝大多数用户口令设置不够复杂,即使经过一定的
算法进行加密,也经不起字典、暴
力等破解攻击,因此,三种认证技术都存在一定的安全威胁,主要体现在以下几个方面:
[0004] 1)802.1x和网关认证基于IP或MAC地址作为合法用户的索引标识,容易遭受影子用户攻击。
[0005] 2)PPPoE在以太网中采用广播方式发现服务的机制容易遭受假冒服务攻击,恶意用户只需架设一个PPPoE
服务器,将加密协议设置成只使用PAP,然后开启Sniffer、等待别人拨号就能轻而易举获取他人帐号信息。
[0006] 3)认证通过后,PPPoE业务流仍需通过BRAS设备进行拆包识别和封装转发,容易造成网络
瓶颈。因此PPPoE不适用于高速企业网。
[0007] MPLS网络集成了IP路由技术的灵活性和二层交换的简洁性,能够提供高扩展性和端到端的IP服务。因此,越来越多的服务提供商选择(或将要选择)MPLS网络作为他们的骨干网,MPLS骨干网络的可信访问成为加固互联网安全的关键环节。
发明内容
[0008] 有鉴于此,本发明的目的是通过MPLS网络的可信认证及安全接入控制方法,阻止不安全终端威胁入侵网络,提高互联网可信性。采用PKG(Private KeyGenerator,私钥生成器,简称为PKG)为节点生成身份验证信息,避免LER(MPLS标签边缘路由器)向PKG
请求终端节点的公钥,减少不必要的网络流量和可信第三方的开销,适用于用户数量巨大的CA机构管理;在网络处理器上通过
微码设计实现可信网络接入控制,有效地提高了处理速度。该方法作为一种有着广泛应用前景、安全可靠、实用性很强的技术方案。
[0009] 为了达到上述目的,本发明提供了MPLS网络的可信认证及安全接入控制方法,其特征在于:包括下列几个组成部分:
[0010] (1)基于IP地址对的数字短签名:PKG只为符合安全策略的终端节点生成私钥和身份验证信息,避免了LER向PKG请求节点公钥;待签消息并非传统的应用层数据,而是由源目IP地址对串接后再做随机化处理的结果字串。为了加快LER的验证过程,避免不必要的解封延时,签名信息封装在网络层的IP头部字段。
[0011] (2)签名验证的微码实现算法:签名的微码验证计算复杂,需要较大的存储空间保存程序代码和许多中间状态,因此将微码验证算法分解为5个相对均匀的子任务。
[0012] 微引擎之间的基本工作机制分为两种:上下文流
水线(Context pipeline)和功能流水线(Functional pipeline)。在上下文流水线中,一个微引擎仅负责一个流水线级(Context pipe-stage),一个流水线级对应一个子任务。多个流水线级(子任务)级联起来完成一个包处理任务。微引擎中的每个线程被分配一个不同的包,同一个微引擎上的所有线程对各自分配的包执行相同的处理,数据包严格按顺序分配给各个线程,若一个微引擎上有n个执行线程,则第一个线程必须在第n+1个数据包到来之前完成第一个包的处理,这样它就可以开始处理第n+1个包。
[0013] 在功能流水线中,单个微引擎被分成n个流水线级的执行时间,即一个微引擎就可以实现一个完整的处理功能,数据包同样严格按顺序分配给各个线程。
[0014] 在微码验证的五个子任务中,其中的哈希运算交付
硬件Hash单元
加速处理,另外四个子任务采用上下文流水线,每个微引擎的控制
存储器只保存相应子任务代码。为避免访问外存引入的较大延迟,各子任务状态只使用微引擎的本地存储器保存。
[0015] (3)签名信息表的存储与查找:MPLS的标签边缘路由器维护一张签名信息表,在签名信息表中记录近期成功验证的签名信息,每当路由器通过查表或执行签名验证子任务方式成功验证签名后,都会更新签名信息表。为了加快查找速度,签名信息表使用TCAM高速查表技术(Ternary content addressablememory,三态内容寻址存储器),“源目IP地址对”作为查找关键字存储在TCAM存储器,签名信息存储在与之相连的SRAM中,其表项结构包括签名信息、身份验证信息与一个随机值。
[0016] (4)MPLS网络的边缘标签路由器通过微码实现签名验证的实现方式:当MPLS的标签边缘路由器LER收到附有签名选项的报文时,首先在报头中提取IP地址对作为关键字查找签名信息表,若找到对应条目且签名选项字段内容与签名信息表中相应条目的签名信息互相匹配,则验证通过;不匹配则验证失败;若在签名信息表中找不到与IP地址对对应的条目,则转而执行
权利要求2中所述的的五个子任务执行微码验证算法。
[0017] 所述部分(2)签名验证的微码实现算法主要包含以下五个子任务:
[0018] (21)计算
[0019] (22)计算P0=H1(IPpair)
[0020] (23)计算
[0021] (24)计算
[0022] (25)计算W2W3,并判断是否W1=W2W3成立
[0023] 本发明是一种MPLS网络的可信认证及安全接入控制方法。具有下列优点:
[0024] 基于IP地址对的短签名采用椭圆曲线加密系统(ECC),ECC的安全性基于有限域上的椭圆曲线离散对数问题(ECDLP)。近年的研究表明:ECDLP问题属于指数量级困难,而RSA属于亚指数量级。因此,在相同的安全级别下,基于ECDLP的ECC较之RSA能够取得更短的签名,需要更少的计算开销,因而提高了签名和验证效率。
[0025] 本发明采用基于IP地址的身份验证信息,避免了LER向PKG请求每个终端节点的公钥信息,PKG只需发布一次系统参数,减少了不必要的网络流量和可信第三方的存储与管理开销。
[0026] 基于IP地址对短签名的MPLS网络可信认证及接入控制方法有效地解决了目前广泛使用的802.1x、网关等认证机制的弊端,通过在网络核心增加认证控制,从信息安全的源头着手,从根本上遏制了网络不安全因素的出现,为用户提供可信任的网络服务。
[0027] 签名的验证在MPLS LER网络处理器上通过微码设计实现,具有较高的灵活性和处理速度。本发明在有效提高网络可信性前提下,能够稳定工作且具有良好的兼容性,因此应用前景看好。
附图说明
[0028] 图1是本发明基于IP地址对的短签名技术原理。
[0029] 图2是本发明IP头部选项字段格式图
[0030] 图3签名信息封装格式图。
[0031] 图4是本发明签名信息表查表设计图。
[0032] 图5是本发明签名信息表项图。
具体实施方式
[0033] 为使本发明的目的、实现方案和优点更为清晰,下面结合附图对本发明作进一步地详细描述。
[0034] 参见图1,介绍本发明方法的IP地址对短签名原理。PKG为可信终端节点生成私钥SID和身份验证信息PID。图1中的IPpair为待签消息:本次通信的源和目的IP地址对进行串接后与一随机值进行与运算后的结果字串。身份验证信息发给LER用在签名验证过程中。
[0035] 参见图2至图3,介绍本发明方法的签名信息封装。该方法包括以下两个阶段:
[0036] (1)传统的签名验证需要由通信的目的节点在应用层执行,因此签名信息通常被封装在应用层。MPLS可信访问设计旨在通过验证访问MPLS网络的数据包是否来自可信终端节点从而执行相应控制。因此,签名的验证过程并不是由消息的接收者执行,而是由MPLS网络的边缘路由器LER负责,为了加快验证操作,减少不必要的拆封处理,本发明基于网络层进行签名验证处理,如图2所示,IP头部的选项字段长度可达40字节,能够容纳不超过32字节的签名信息。因此,签名信息封装在IP头部的选项字段。
[0037] (2)在图2所示的8位代码字段中,复制位取“0”,表示选项仅将复制到第一个分片;类位取“01”,表示签名选项;数位取“00010”,则签名选项的代码为00100010,即十进制的34。因此得出图3所示的签名选项格式。
[0038] 参见图4至图5,介绍本发明方法的签名验证实现方法。该方法包括以下两个阶段:
[0039] (1)签名验证微模
块负责对IP报文执行签名的验证。根据scratchring的buffer handle和偏移从dram中取出报文信息,考虑签名需要的信息最长不会超过64字节,所以从dram中读取16个LW信息即可。解析出报文的源、目IP地址,并以此地址对作为关键字查找签名信息表。
[0040] (2)若在签名信息表中找不到对应条目,则依次执行签名验证微码设计的五个子任务。
[0041] (3)若在签名信息表中查找到对应条目,则比较{ω,PID},相同则验证通过;交付标签处理模块进一步处理;验证不通过则通知Xscale_Core对源节点发送错误信息。
[0042] 以上所述仅为本发明的较佳
实施例,并不用以限制本发明,凡在本发明的精神和原则之内所作的任何
修改、等同替换和改进等,均应包含在本发明的保护范围之内。
