CN101119368A - 一种无线网络安全通信的实现方法 - Google Patents
一种无线网络安全通信的实现方法 Download PDFInfo
- Publication number
- CN101119368A CN101119368A CNA2007101202388A CN200710120238A CN101119368A CN 101119368 A CN101119368 A CN 101119368A CN A2007101202388 A CNA2007101202388 A CN A2007101202388A CN 200710120238 A CN200710120238 A CN 200710120238A CN 101119368 A CN101119368 A CN 101119368A
- Authority
- CN
- China
- Prior art keywords
- gateway
- message
- encrypt
- encryption
- wireless network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Mobile Radio Communication Systems (AREA)
Abstract
本发明公开了计算机网络安全技术领域的一种无线网络安全通信的实现方法。该方法的实现基于身份认证和对IKEv2协议进行的改进,它是在为无线网桥和有线局域网之间增加加密网关,该方法通信实体拥有两个密钥(公钥、私钥),每个通信实体有一个不公开的私钥,消息的发送方用私钥签名,接收方用发送方的身份(即公钥)进行验证,通信实体不需要认证中心(CA)对证书的签名,从而也节约了通信实体的计算能力。本方法保证了无线网络通信的信息传输安全,解决了数据加密、身份认证、数据完整性的维护和密钥管理等问题,实现了业务数据的安全传输。
Description
技术领域
本发明涉及计算机网络安全技术领域,特别涉及一种无线网络安全通信的实现方法。
背景技术
信息技术的飞速发展,使得人们对网络通信的需求随之不断提高。人们希望不论在何时、何地、与任何人都能够进行包括数据、语音和图像等内容的通信,无线通信及其联网技术就应运而生了。与通过电缆、光缆或双绞线的有线网络相比,用无线电磁波、激光、红外线等来部分甚至全部代替有形电缆,成为网络设备间的主要通信传输媒介,就构成了无线通信网。但是,无线通信很容易受到安全风险和安全问题的困扰,由于在无线网络通信中传输的业务数据都是未经加密的明文,虽然,大部分的通信数据不涉及到机密信息,但是,还是有许多较机密的商业信息经由无线信道传输,这些数据可以被任何人通过监测无线信道获取。
IEEE802.11标准制定了如下3种方法来为WLAN(Wireless Local AreaNetwork,无线局域网)的数据通信提供安全保障:
(1)使用802.11的服务群标识符SSID
通过对多个无线网桥设置不同的SSID标识字符串(最多32个字符),并要求无线工作站出示正确的SSID才能访问无线网桥,这样就可以允许不同群组的用户接入,并对资源访问的权限进行区别限制。但是SSID只是一个简单的字符串,所有使用该无线网络的人都知道该SSID,很容易泄漏,所以,使用SSID只能提供较低级别的安全防护。
(2)使用设备的MAC地址来提供安全防范
由于每个无线工作站的网卡都有唯一的类似于以太网的48位的物理地址,因此可以在无线网桥中手工维护一组允许访问的MAC地址列表,实现基于物理地址的过滤。物理地址过滤的方法要求无线网桥中的MAC地址列表必须及时更新,因此方法维护不便、可扩展性差;而且MAC地址还可以通过工具软件或修改注册表伪造,因此这也是较低级别的访问控制方法。
(3)通过WEP(Wired Equivalent Privacy,有线等价隐私协议)协议来保护进入无线网的身份验证过程
为了保证数据能安全地通过无线网络传输而制定的一个加密标准,使用了共享秘钥RC4加密算法,只有在用户的加密密钥与AP(Access Point,访问节点)的密钥相同时才能获准存取网络的资源,从而防止非授权用户的监听以及非法用户的访问。密钥长度最初为40位,后来增加到128位,有些设备可以支持152位加密。但是,WEP标准在保护网络安全方面也存在固有缺陷,例如一个服务区内的所有用户都共享同一个密钥,一个用户丢失或者泄漏密钥将使整个网络不安全。
发明内容
鉴于现有技术中的不足,本发明的目的在于提供一种无线网络安全通信的实现方法,该方法的实现基于身份认证和对IKEv2协议进行的改进,它是在为无线网桥和有线局域网之间增加加密网关,该方法通信实体拥有两个密钥(公钥,私钥),每个通信实体有一个不公开的私钥,消息的发送方用私钥签名,接收方用发送方的身份(即公钥)进行验证,通信实体不需要认证中心(CA)对证书的签名,实现该方法包括以下步骤:
A.加密网关间的相互验证
1)加密网关1用私钥加密注册请求
2)加密网关1将注册请求消息发送认证中心
3)认证中心对从加密网关1发来的消息进行验证,并生成会话密钥
4)认证中心将加密网关1发来的消息发给加密网关2,加密网关2将用私钥加密后的消息发给认证中心;
5)认证中心对从加密网关2发来的消息进行验证,并转发给加密网关1,并认证加密网关2;
由此,加密网关1和加密网关2都通过验证;
B.对IKEv2协议进行改进
由于步骤A已实现基于身份认证,所以对IKEv2协议进行改进,在协商过程中不必传送证书,节约了网络带宽,不必部署PKI(Public KeyInfrastructure,公钥基础设施),
加密网关1和加密网关2之间开始协商SA的过程:
IKEv2的初始化交换,包含了两组“请求”、“响应”对,共四条消息。第一个“请求”、“响应”对,即前两条消息用于协商加密算法、交换Nonces并且进行一次Diffe-Hellman交换,第二个“请求”、“响应”对,也就是后两条消息是建立CHILD_SA,后两条的消息是利用前两条协商的密钥加密过的;加密网关1可作为发起方再发出创建子SA的请求,加密网关2可作为响应方作出应答,建立子SA。
所述步骤1中的通信双方公钥是一个任意的字符串。
所述字符串采用“NAI‖Time‖Property”形式的字符串作为通信实体的公钥,所述公钥由身份标识NAI、有效期Time和通信实体的属性Property这3个域组成。
所述步骤A中的通信双方私钥由认证中心根据通信实体提交的公钥产生。
所述步骤B中的通信双方进行身份认证。
所述步骤B中的通信双方在IKE协商过程中不必传送证书。
所述SA建立后,加密网关1和加密网关2之间就建立起端到端的加密隧道,所述加密隧道保护有线局域网1和有线局域网2之间的数据传输的机密性和完整性。
本发明的有益效果:
本发明提供的方法通过实现身份认证和对IKEv2协议进行改进,不必在网络中传送证书,节约减少网络开销。***中不必部署PKI,节约了成本。每个通信实体有一个不公开的私钥,消息的发送方用私钥签名,接收方用发送方的身份(即公钥)进行验证,通信实体进行认证计算的负担小。
此外,通信实体不需要验证验证中心(CA)对证书的签名,从而也节约了通信实体的计算能力。
本方法保证了无线网络通信的信息传输安全,解决了数据加密、身份认证、数据完整性的维护和密钥管理等问题,实现了业务数据的安全传输。
附图说明
图1是本发明提供的方法所涉及的结构示意图。
图2是标准IKEv2的初始交换过程的示意图。
图3是标准IKEv2的产生子SA交换过程的示意图。
具体实施方式
本发明鉴于现有技术中的不足而提供一种无线网络安全通信的实现方法。
在图1中,在为无线网桥中增加加密网关1和有线局域网中增加加密网关2,该方法的实现是基于身份认证和对IKEv2协议进行的改进。该方法通信实体拥有两个密钥(公钥,私钥),每个通信实体有一个不公开的私钥,消息的发送方用私钥签名,接收方用发送方的身份(即公钥)进行验证,通信实体不需要认证中心(CA)对证书的签名。
基于身份认证方法的核心是:私钥由认证中心(CA)根据通信实体提交的公钥产生,而公钥是一个任意的字符串。采用“NAI‖Time‖Property”形式的字符串作为通信实体的公钥,用一个身份载荷来承载,其中的“‖”代表字符串的链接,公钥由身份标识NAI、有效期Time,(如年,月)和通信实体的属性Property,(如拥有公钥的部门)这3个域组成。公钥中有效期域和属性域有两个作用:
1)消息接收方根据这两个域判断该公钥的有效性。如是否过期、消息发送方是否可以使用这个公钥等;
2)CA根据公钥的这两个域,限定相应私钥的有效期和使用范围。CA在严格审查公钥的申请后,才签发相应的私钥,从而使得签名者不能在有效期和有效范围之外使用该私钥,也即实现了密钥的撤销。通信实体的(公钥,私钥)过期后,需要向CA申请新的(公钥,私钥)对。
IPSec提供了一种标准的、健壮的以及包容广泛的机制,可以用它为IP及上层协议(如TCP和UDP)提供安全保障。IPSec有三个最主要的部分验证头(Authentication Header,AH)、封装安全载荷(Encapsulating Security Payload,ESP)和密钥交换(Internet Key Exchange,IKE)。
本发明提供一种无线网络安全通信的实现方法,实现该方法包括以下步骤:
(1)SecGW1→CA:IDSecGW1‖NONCESecGW1‖Req‖SIGNSecGW1IDSecaW1是SecGW1的身份标识载荷,可以用[email protected]形式表示,NONCESecGW1是由SecGW1生成的随机数载荷,Req是请求消息载荷,SIGNSecGW1载荷是将该消息用SecGW1的私钥签名(基于身份认证)
(2)CA:对SecGW1发来的消息签名进行验证,并进行认证。产生SecGW1-SecGW2的会话密钥。
(3)CA→SecGW2:IDCA‖NONCESecGW1‖NONCECA‖PKEY‖Req‖SIGNCAIDCA是CA的身份标识载荷,NONCECA是CA产生的随机数,PKEY是SecGW1-SecGW2的会话密钥,SIGNCA载荷是将该消息用CA的私钥签名(基于身份认证)
(4)SecGW2:对CA的签名进行验证,并进行认证,产生应答消息
(5)SecGW2→CA:IDSecGW2‖NONCESecGW2‖Ack‖SIGNSecGW2IDSecGW2是SecGW2的身份标识载荷,NONCESecGW2载荷是SecGW2产生的随机数,Ack是应答消息,SIGNSecGW2载荷是用SecGW2的私钥签名(基于身份认证)
(6)CA→SecGW1:IDCA‖NONCECA‖PKEY‖Ack‖SIGNSecGW2‖SIGNCASecGW1用CA的公钥对SIGNCA验证后,再用SecGW1的公钥对SIGNSecGW2进行验证,这样就可以认证SecGW2了。
(7)SecGW1作为发起方在IKEv2协商SA的过程中进行初始交换中发出的消息:HDR‖SAi1‖KEi‖Ni
(8)SecGW2作为响应方发的消息:HDR‖SAr1‖KEr‖Nr
(9)SecGW1作为发起方发的消息:HDR‖SK{IDi,[IDr],AUTH,SAi2,TSi,TSr}
(10)SecGW2作为响应方发的消息:HDR‖SK{IDr,AUTH,SAr2,TSi,TSr}
同附图1相比,由于在通信实体之间采用基于身份进行认证,所以去除了由图1所示的IKEv2标准消息中的证书载荷和证书请求载荷,消息中的ID载荷采用[email protected]的身份载荷格式。第一条消息与标准的IKEv2相同,第二条消息中响应方删除了CERTREQ载荷,在第三条消息中发送方删除了上述4条消息完成以后,通信实体之间就有了IKE SA和CHILD SA。随后在生成子SA的过程与图2所示的标准的IKEv2过程相同。
以上所述的实施例,只是本发明较优选的具体实施方式,本领域的技术人员在本发明技术方案范围内进行的通常变化和替换都应包含在本发明的保护范围内。
在图2、图3中字符所代表的意义如下:
AUTH Authentication 认证载荷
CERT Certificate 证书载荷
CERTREQ Certificate Request 证书请求载荷
HDR IKE Header IKE头部
IDi Identification-Initiator 发起者身份
IDr Identification-Responder 向应者身份
KE Key Exchange D-H密钥交换
Ni,Nr Nonce 随机数
N Notify 通知载荷
SA Security Association 安全联盟
TSi Traffic Selector Initiator 发起者的流量选择载荷
TSr Traffic Selector Responder 响应者的流量选择载荷
SK{} Encrypted 整个加密载荷
[] --------- []里面是可选载荷
在图2中包含四条消息,前两条消息构成一个初始化交换,用于协商加密算法、交换Nonces并且进行一次Diffie-Hellman交换;紧接着两条消息构成了一个验证交换,一方面验证前面的消息,交换双方的身份证明,后两条消息除去通用头部外其余的部分都是利用前两条消息协商的密钥进行加密过的,从而保证其身份信息无法被第三方获取。
图3中的这两条消息也是经过加密保护的。首先,一方作为新的发起方发送一个创建子SA(CREATE_CHILD_SA)的请求,作为可选项。这条请求消息可以包含一个新的IKE载荷,由此再进行一次Diffie-Hellman交换,从而加强安全性。
Claims (8)
1.一种无线网络安全通信的实现方法,该方法的实现基于身份认证和对IKEv2协议进行的改进,其特征在于,在为无线网桥和有线局域网之间增加加密网关;通信实体拥有公钥和私钥两个密钥,每个通信实体有一个不公开的私钥,消息的发送方用私钥签名,接收方用发送方的身份即公钥进行验证,通信实体不需要认证中心(CA)对证书的签名。
2.根据权利要求1所述的无线网络安全通信的实现方法,其特征在于,
实现该方法包括以下步骤:
A.加密网关间的相互验证
1)加密网关(1)用私钥加密注册请求,
2)加密网关(1)将注册请求消息发送认证中心,
3)认证中心对从加密网关(1)发来的消息进行验证,并生成会话密钥,
4)认证中心将加密网关(1)发来的消息发给加密网关(2),加密网关(2)将用私钥加密后的消息发给认证中心;
5)认证中心对从加密网关(2)发来的消息进行验证,并转发给加密网关(1),并认证加密网关(2);
由此,加密网关(1)和加密网关(2)都通过验证;
B.对IKEv2协议进行改进
由于步骤A已实现基于身份认证,所以对IKEv2协议进行改进,在协商过程中不必传送证书,节约了网络带宽,不必部署公钥基础设施PKI,
加密网关(1)和加密网关(2)之间开始协商SA的过程:
IKEv2的初始化交换,包含了两组“请求”、“响应”对,共四条消息为。第一个“请求”、“响应”对,即前两条消息用于协商加密算法、交换Nonces并且进行一次Diffe-Hellman交换,第二个“请求”、“响应”对,也就是后两条消息是建立CHILD_SA,后两条的消息是利用前两条协商的密钥加密过的;加密网关1可作为发起方再发出创建子SA的请求,加密网关2可作为响应方作出应答,建立子SA。
3.根据权利要求2所述的无线网络安全通信的实现方法,其特征在于,所述步骤1中的通信双方公钥是一个任意的字符串。
4.根据权利要求3所述的无线网络安全通信的实现方法,其特征在于,所述字符串采用“NAI‖Time‖Property”形式的字符串作为通信实体的公钥,所述公钥由身份标识(NAI)、有效期(Time)和通信实体的属性(Property)这3个域组成。
5.根据权利要求3所述的无线网络安全通信的实现方法,其特征在于,所述步骤A中的通信双方私钥由认证中心根据通信实体提交的公钥产生。
6.根据权利要求3所述的无线网络安全通信的实现方法,其特征在于,所述步骤B中的通信双方进行基于身份认证。
7.根据权利要求3所述的无线网络安全通信的实现方法,其特征在于,所述步骤B中的通信双方在IKE协商过程中不必传送证书。
8.根据权利要求2所述的无线网络安全通信的实现方法,其特征在于,所述SA建立后,加密网关(1)和加密网关(2)之间就建立起端到端的加密隧道,所述加密隧道保护有线局域网(1)和有线局域网(2)之间的数据传输的机密性和完整性。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNA2007101202388A CN101119368A (zh) | 2007-08-14 | 2007-08-14 | 一种无线网络安全通信的实现方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNA2007101202388A CN101119368A (zh) | 2007-08-14 | 2007-08-14 | 一种无线网络安全通信的实现方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN101119368A true CN101119368A (zh) | 2008-02-06 |
Family
ID=39055302
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNA2007101202388A Pending CN101119368A (zh) | 2007-08-14 | 2007-08-14 | 一种无线网络安全通信的实现方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101119368A (zh) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103107977A (zh) * | 2011-11-10 | 2013-05-15 | 中兴通讯股份有限公司 | 信息安全传输方法、***及接入服务节点 |
| CN103166951A (zh) * | 2011-12-16 | 2013-06-19 | 国际商业机器公司 | 通过遗失通信发送消息的*** |
| CN103685134A (zh) * | 2012-08-30 | 2014-03-26 | 中兴通讯股份有限公司 | Wlan网络资源访问控制方法及装置 |
| CN105872059A (zh) * | 2016-03-31 | 2016-08-17 | 北京奇艺世纪科技有限公司 | 一种远程执行方法及装置 |
| CN109379345A (zh) * | 2018-09-28 | 2019-02-22 | 阿里巴巴集团控股有限公司 | 敏感信息传输方法及*** |
| CN111556064A (zh) * | 2020-05-06 | 2020-08-18 | 广东纬德信息科技股份有限公司 | 基于电力网关的密钥管理方法、装置、介质及终端设备 |
-
2007
- 2007-08-14 CN CNA2007101202388A patent/CN101119368A/zh active Pending
Cited By (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103107977A (zh) * | 2011-11-10 | 2013-05-15 | 中兴通讯股份有限公司 | 信息安全传输方法、***及接入服务节点 |
| CN103166951A (zh) * | 2011-12-16 | 2013-06-19 | 国际商业机器公司 | 通过遗失通信发送消息的*** |
| CN103166951B (zh) * | 2011-12-16 | 2016-12-21 | 国际商业机器公司 | 通过遗失通信发送消息的*** |
| US9571271B2 (en) | 2011-12-16 | 2017-02-14 | International Business Machines Corporation | Sending messages by oblivious transfer |
| CN103685134A (zh) * | 2012-08-30 | 2014-03-26 | 中兴通讯股份有限公司 | Wlan网络资源访问控制方法及装置 |
| CN105872059A (zh) * | 2016-03-31 | 2016-08-17 | 北京奇艺世纪科技有限公司 | 一种远程执行方法及装置 |
| CN105872059B (zh) * | 2016-03-31 | 2019-08-09 | 北京奇艺世纪科技有限公司 | 一种远程执行方法及装置 |
| CN109379345A (zh) * | 2018-09-28 | 2019-02-22 | 阿里巴巴集团控股有限公司 | 敏感信息传输方法及*** |
| CN109379345B (zh) * | 2018-09-28 | 2021-02-19 | 创新先进技术有限公司 | 敏感信息传输方法及*** |
| CN111556064A (zh) * | 2020-05-06 | 2020-08-18 | 广东纬德信息科技股份有限公司 | 基于电力网关的密钥管理方法、装置、介质及终端设备 |
| CN111556064B (zh) * | 2020-05-06 | 2022-03-11 | 广东纬德信息科技股份有限公司 | 基于电力网关的密钥管理方法、装置、介质及终端设备 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP3816337B2 (ja) | テレコミュニケーションネットワークの送信に対するセキュリティ方法 | |
| CN100558035C (zh) | 一种双向认证方法及*** | |
| EP2518931B1 (en) | Method and system for establishing secure connection between user terminals | |
| CN104754581B (zh) | 一种基于公钥密码体制的lte无线网络的安全认证方法 | |
| CN101478388B (zh) | 支持多级安全的移动IPSec接入认证方法 | |
| CN101119368A (zh) | 一种无线网络安全通信的实现方法 | |
| Maccari et al. | Security analysis of IEEE 802.16 | |
| CN101478389B (zh) | 支持多级安全的移动IPSec传输认证方法 | |
| Ajah | Evaluation of enhanced security solutions in 802.11-based networks | |
| Barka et al. | On the Impact of Security on the Performance of WLANs. | |
| Chowdhury et al. | Security issues in integrated EPON and next-generation WLAN networks | |
| Ma et al. | The improvement of wireless LAN security authentication mechanism based on Kerberos | |
| Yang et al. | Link-layer protection in 802.11 i WLANS with dummy authentication | |
| Lei et al. | Comparative studies on authentication and key exchange methods for 802.11 wireless LAN | |
| CN108306899B (zh) | 一种云服务环境中对敏感数据进行安全传输的方法 | |
| Pervaiz et al. | Security in wireless local area networks | |
| Jiang et al. | Network Security in RWNs | |
| Rai et al. | Strong password based EAP-TLS authentication protocol for WiMAX | |
| Sakib et al. | Key Agreement & Authentication Protocol for IEEE 802.11 | |
| Seo et al. | SMS (Short Message Service) based Secure Authentication and Accounting Mechanism in Wireless Network | |
| Naqash et al. | A novel mutual authentication protocol for H (e) NB and mobile devices using S8 S-box | |
| KR20100034461A (ko) | 통신 네트워크에서 인증 방법 및 시스템 | |
| Jiang et al. | A mutual authentication and privacy mechanism for WLAN security | |
| Aboudagga et al. | Wireless Security Design Overview | |
| Kamat et al. | Evolution of Wireless LAN Security Standards |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C12 | Rejection of a patent application after its publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20080206 |