专利汇可以提供宽带无线IP网络安全体系结构及安全实现方法专利检索,专利查询,专利分析的服务。并且本 发明 公开了一种宽带无线IP网络安全体系结构及安全实现方法,在网络层实现安全体制,该体系结构包括BWIP安全系统、BWIP安全执行系统、BWIP安全管理系统和外部安全 支撑 系统。BWIP网络管理系统对BWIP安全系统进行策略设定、预置共享密钥、收费费率和监测系统资源;BWIP安全执行系统调用BWIP安全系统各组件, 对流 入和流出网络的数据包和连接 请求 进行过滤审查;BWIP安全系统从外部安全支撑系统获取用户公钥证书、信用资料,与外部安全支撑系统配合为BWIP安全执行系统提供决策。基于 密码学 运算,通过对流入和流出网络数据包的控制实现对网络的机密性、完整性、认证授权记账和不可否认性服务。本发明具有功能全、开放性好,透明性好、通用性强特点,适用于未来宽带无线IP技术领域。,下面是宽带无线IP网络安全体系结构及安全实现方法专利的具体信息内容。
1.一种宽带无线IP(BWIP)网络安全体系结构,其特征是在网络层上实现宽带无线 IP网络的整体安全机制,它包括BWIP安全系统、BWIP安全执行系统、BWIP安全管理系 统、外部安全支撑系统;其中,BWIP安全系统在网络中进行加解密、安全计算,认证、 授权、记账及安全数据管理,由加密引擎(CE)、安全环境数据库(SEDB)、安全环境管理 器(SEM)、认证授权和记账引擎(AAAE)、策略数据库(PDB)、策略管理器(PM)、日志数 据库(ADB)、日志管理器(AM)、信用数据库(CDB)、信用管理器(CM)组成;BWIP安全 执行系统是安全体系结构与内外网络之间的安全处理接口,由强制策略控制引擎(PEE)、 认证、验证和完整性检查引擎(AEIV)和资源控制框架(RCF)组成;BWIP安全管理系 统是内部安全管理人机接口,由配置管理、安全管理、容错管理、记账管理和性能管理组 件组成;外部安全支撑系统是公钥基础设施(PKI)的组成部分,由证书机构(CA)、授权 机构(AA)和公共信用数据库(CP)组成;各系统之间的数据调用关系为:BWIP网络管 理系统对BWIP安全系统进行策略设定、预置共享对称密钥、设置收费费率与优惠时段及 用户的信用资讯和对BWIP安全执行系统的资源进行监测;BWIP安全执行系统调用BWIP 安全系统中的各组件,对所有流入和流出BWIP网络的数据包和连接请求进行审查、过滤, 以决定允许或禁止;BWIP安全系统访问外部安全支撑系统,获取移动用户的公钥证书和 信用资料;并与外部安全支撑系统配合为BWIP安全执行系统提供决策依据;上述系统互 相配合,为宽带无线IP网络提供机密性服务、完整性服务、认授、权证、记账(AAA)服 务和不可否认性服务。
2.一种宽带无线IP网络的安全实现方法,BWIP网络安全体系结构运用密码学运算, 对流出和流入数据的处理实现网络机密性服务、完整性服务及认证、授权和记账(以下简 称AAA)服务,所述机密性服务是对流出数据进行加密,对流入数据进行解密;所述完整 性服务是对流出数据在AVIE进行封装,对流入数据由AVIE进行完整性检查;上述两项服 务均通过认证、验证和完整性服务引擎(AVIE)、强制策略控制引擎(PEE)、加密引擎(CE)、 策略数据库(PDB)、信用数据库(ADB)和安全管理组件实现;所述AAA服务是流出和流 入数据包进行双向认证、授权和记账,通过认证、验证和完整性检查引擎(AVIE)、强制 策略控制引擎(PEE)、认证、授权和记账引擎(AAAE)、加密引擎(CE)、安全环境数 据库(SEDB)、信用数据库(CDB)、日志数据库(ADB)、策略数据库(PDB)、外部安 全支撑系统、资源控制框架(RCF)、安全管理、记账管理和性能管理组件实现,其中, 安全管理组件对系统进行预共享密钥、安全策略设定,并分别存放于安全环境数据库 (SEDB)和策略数据库(PDB);性能管理组件进行系统监测、资源开放时间设定和设定允 许访问网络的用户数量;记账管理组件为系统管理人员提供收费费率、优惠时间段的设置 和为用户开放帐单查询。
3.根据权利要求2所述的宽带无线IP网络安全实现方法,其特征在于BWIP网络安 全体系结构对从BWIP网络流出数据包的处理按以下步骤实施:
1)从系统节点的传输层或Intranet网络转交来的数据报文向外网传递,先经过强制 策略控制引擎(PEE)的过滤器过滤,(PEE)过滤器请求策略管理器(PM)根据该数据包 的IP地址和端口查询策略数据库(PDB)的安全处理策略;
2)安全策略处理,若安全策略定义为丢弃,则(PEE)丢弃该数据包,并将处理信息 传给日志管理器(PM),通过(PM)记录到日志数据库(ADB);若安全策略定义为绕行, 则(PEE)将该数据包交IP层进行IP封装,并由IP层进行IP转发操作;若安全策略定 义为封装处理,则(PEE)将该数据包交给认证、验证和完整性检查引擎(AVIE)进行安 全封装处理;
3)认证、验证和完整性检查引擎(AVIE)请求安全环境管理器(SEM)查询安全环境 数据库(SEDB)中该通信实体的安全关联(SA),若有安全关联(SA),直接进入下一程 序;若无(SA)存在或(SA)失效,则通过(SEM)启用密钥协商协议(IKE),协商相应 的SA、加解密密钥、Hash密钥、加密算法、认证算法,协商失败则通知(AVIE)丢弃数 据包,将协商信息记录到日志数据库(ADB);协商成功,就保存协商的数据到(SEDB), 并将处理结果返回给(AVIE);
4)认证、验证和完整性检查引擎(AVIE)请求认证、授权和记账引擎(AAAE)进 行AAA操作,(AAAE)将结果信息返回(AVIE);
5)认证、验证和完整性检查引擎(AVIE)将认证、授权和记账引擎(AAAE)的返 回结果传给日志管理器(PM),由(PM)记录到日志数据库(ADB);
6)(AVIE)对认证、授权和记账引擎(AAAE)的返回结果进行处理;若是AAA操 作失败,则(AVIE)丢弃该数据包,并记录到日志数据库(ADB);
7)若AAA操作成功,认证、验证和完整性检查引擎(AVIE)请求安全环境管理器 (SEM)调用加密引擎(CE)进行安全封装操作;
8)加密引擎(CE)完成数据安全封装,将结果返回给认证、验证和完整性检查引擎 (AVIE),将封装的数据包直接交给IP层,IP层再添加新的IP头,并加入到IP转发队 列之中,或者是直接发送到Internet网络中。
4.根据权利要求2、3所述的宽带无线IP网络安全实现方法,其特征在于BWIP安全 体系结构对允许流出网络的数据包的安全封装按以下步骤进行:
1)认证、验证和完整性检查引擎(AVIE)将需要封装的数据送至安全环境管理器(SEM), 由(SEM)调用加密引擎(CE)对该数据进行安全封装;
2)加密引擎(CE)将数据进行预处理过程,加上初始向量IV和填充字符,形成固定 长度的整数倍,经预处理的消息用M(Message)表示;
3)加密引擎(CE)从安全环境数据库(SEDB)中取出该安全关联(SA)对应的安全 处理参数,包括加密密钥(K1)、哈希密钥(K2)、签名密钥(K3)、序列号(SN)、安全参 数索引(SPI);
4)加密引擎(CE)对消息M加密操作,用f(M,K1)表示加密后的封装负载,并将序 列号(SN)和安全参数索引(SPI)填入封装协议的头部格式中,形成封装头部,实现对 流出数据的机密性服务;
5)加密引擎(CE)用哈希密钥(K2)和(SA)中指定的哈希算法对封装数据进行哈 希的操作,用MAC=h(封装头部,封装负载,K2)表示,实现对流出数据的完整性服务;
6)根据协议要求需对消息进行数字签名者,加密引擎(CE)用签名密钥(K3)对生 成的消息认证码(MAC)值签名,用MAC表示S(MAC,K3);
7)加密引擎(CE)完成以上述安全封装,将生成的封装头部、封装负载和MAC进 行拼接,返回给(AVIE),由(AVIE)交IP层进行相应的IP封装,即加上新的IP头部, 形成IP数据包,再加入到IP转发队列之中,等待数据转发操作
5.根据权利要求2所述的宽带无线IP网络安全实现方法,其特征在于BWIP安全 体系结构对接收方的数据流入处理按以下步骤实施:
1)认证、验证和完整性检查引擎(AVIE)从Internet接收到一个IP包,根据IP 包封装头部中的安全参数索引(SPI),请求安全环境管理器(SEM)查询安全环境数据库 (SEDB),判断该(SPI)的有效性,若该(SPI)不存在或已经超过有效期,则(AVIE) 直接丢弃该数据包,将该处理信息记录到日志数据库(ADB)之中;若(SPI)有效,则(AVIE) 请求(SEM)调用加密引擎(CE)进行完整性检查;
2)加密引擎(CE对)进行完整性检查,若完整性检查失败,(AVIE)自动丢弃该数 据包,并将检查信息记录到日志数据库(ADB);
3)完整性检查成功,(AVIE)请求调用认证、授权和记账引擎(AAAE)进行认证、 授权和记账AAA操作;
4)认证、验证和完整性检查引擎(AVIE)收到认证、授权和记账引擎(AAAE)的 操作结果,将结果记录到日志数据库(ADB);
5)认证、验证和完整性检查引擎(AVIE)对认证、授权和记账引擎(AAAE)的返回 结果进行处理,若是认证、授权和记账操作失败,则(AVIE)丢弃该数据包,并记录到 日志数据库(ADB);若操作成功,表明系统允许该数据包访问网络;
6)(AVIE)请求安全环境数据库(SEM)调用加密引擎(CE),根据(SEDB)中的 安全关联(SA)参数对封装负载进行的解密操作;
7)认证、验证和完整性检查引擎(AVIE)将解密后的消息明文传递给强制策略控制 引擎(PEE),请求查询策略数据库(PDB);
8)强制策略控制引擎(PEE)将查询的安全处理策略与访问方式进行核对,若符合 本地策略,则向内部Intranet网络或向主机协议高层进行转发;否则丢弃该消息明文,并 将处理信息记录到日志数据库(ADB)中。
6.根据权利要求2、3和5所述的宽带无线IP网络安全实现方法,其特征在于BWIP 安全体系结构中认证、授权和记账AAA处理按以下流程实施:
1)认证、验证和完整性检查引擎(AVIE)请求认证、授权和记账引擎(AAAE)进行 AAA操作;
2)认证、授权和记账引擎(AAAE)收到该请求后,认证组件通过加密引擎(CE)对 请求包中包含的安全参数索引(SPI)进行数据包的来源认证、用户身份验证;
①采用共享密钥的认证方法,则(CE)根据安全关联(SA)从安全环境数据库(SEDB) 调用预先协商的密钥和算法进行相应的密码运算,以确定用户身份和消息来源的真实性;
②认证数据采用公钥体制的认证方法,则加密引擎(CE)先查询安全环境数据库 (SEDB),当不存在相关的公钥信息,则通过安全环境管理器(SEM)访问外部安全支 撑系统,从证书机构(CA)、公共信用数据库(CP)和授权机构(AA)处获取移动用户的 公钥证书、移动用户的信用资料及用户的授权信息,(SEM)在保存这些数据到安全环境数 据库SEDB的同时,还请求信用管理器(CM)将移动用户的信用资料保存到信用数据库(CDB) 中;(CE)获取用户的公钥信息后,根据用户的公钥对签名信息进行密码学计算,并将计 算结果返回给认证、授权和记账引擎(AAAE)的认证组件,由认证组件进行数字签名的验 证比较,以实现对用户的认证或数据源的认证;
3)认证失败,则认证组件终止AAA操作,并通过(AAAE)将认证失败返回给认证、 验证和完整性检查引擎(AVIE);
4)认证成功由授权组件进行的授权操作;
5)AAA授权过程根据下面的数据信息进行决定:
授权组件根据移动请求对象的名称,如ID(身份)号及(AVIE)提供的信息来进行 授权判决,并将这些信息分别以“索引码”的形式从策略数据库(PDB)和信用数据库(CDB) 或公共信用数据库(CP)中提取相应的策略和信用量。授权组件同时还请求BWIP安全执行 系统提供包括资源控制框架(RCF)的系统时钟和资源监控组件环境变量;
6)授权组件收集到所有需要的信息,根据内部规则进行授权操作,若授权失败,则 授权组件将“授权拒绝”信息通过(AAAE)返回(AVIE),记录到日志数据库(ADB)之中 并丢弃该数据包;
7)授权成功且要进行记账操作,则AAA记账组件进行记账操作;
8)记账组件根据请求者ID的身份,生成一条带有用户ID、访问时间、访问的目的 地及访问信息量的信息记录,并存入认证、授权和记账引擎(AAAE)的记账数据库,完成 AAA服务中的记账服务;
9)记账组件完成记账后,将认证、授权和记账引擎(AAAE)的处理结果信息返回给 认证、验证和完整性检查引擎(AVIE),(AVIE)同时将此信息也记录到日志数据库(ADB), 采用这种双重记录有利于解决记费纠纷。
本发明涉及通信安全技术领域,具体是一种宽带无线IP(Broadband Wireless Internet Protocol,简称BWIP)网络安全体系结构及安全实现方法,用于实现BWIP网络 的整体安全,对未来移动电子商务、移动电子政务提供安全技术保障。
标题 | 发布/更新时间 | 阅读量 |
---|---|---|
基于动态加权蛋白质相互作用网络的蛋白质复合物挖掘方法 | 2020-05-15 | 591 |
一种空气净化器的空气净化方法 | 2020-05-16 | 959 |
一种同步异构数据库系统中实时数据的方法 | 2020-05-16 | 7 |
一种基于大数据的保险服务售购信息的处理方法 | 2020-05-17 | 23 |
在IMS网络中根据初始过滤规则处理注册消息的方法 | 2020-06-05 | 571 |
一种企业异构数据库智能集成的系统及方法 | 2020-05-23 | 57 |
用于移动环境的动态电子优惠券 | 2020-05-26 | 480 |
一种智能空气净化器 | 2020-05-15 | 557 |
一种智能空气净化器 | 2020-05-27 | 914 |
初始过滤规则下载和处理系统及方法 | 2020-06-08 | 929 |
高效检索全球专利专利汇是专利免费检索,专利查询,专利分析-国家发明专利查询检索分析平台,是提供专利分析,专利查询,专利检索等数据服务功能的知识产权数据服务商。
我们的产品包含105个国家的1.26亿组数据,免费查、免费专利分析。
专利汇分析报告产品可以对行业情报数据进行梳理分析,涉及维度包括行业专利基本状况分析、地域分析、技术分析、发明人分析、申请人分析、专利权人分析、失效分析、核心专利分析、法律分析、研发重点分析、企业专利处境分析、技术处境分析、专利寿命分析、企业定位分析、引证分析等超过60个分析角度,系统通过AI智能系统对图表进行解读,只需1分钟,一键生成行业专利分析报告。