專利名稱:一種分布式互聯(lián)網(wǎng)接入方法
技術(shù)領(lǐng)域:
本發(fā)明涉及網(wǎng)絡(luò)通信領(lǐng)域技術(shù)���,具體涉及一種基于口令雙向認(rèn)證的分布式互聯(lián) 網(wǎng)接入方法����。
背景技術(shù):
互聯(lián)網(wǎng)技術(shù)的廣泛普及導(dǎo)致公網(wǎng)IP地址出現(xiàn)緊缺,尤其是C類地址的緊缺�����。目 前IP地址的分配主要包含兩種方式一種就是撥號(hào)上網(wǎng)的方式�,家庭終端使用ADSL撥 號(hào)上網(wǎng)時(shí),電信為此類終端動(dòng)態(tài)地分配公網(wǎng)IP地址�����;第二種方式是通過(guò)分配固定的公網(wǎng) IP地址��,這種方式主要運(yùn)行在企業(yè)中��。但是無(wú)論哪種方式�����,有限的C類公網(wǎng)IP地址資源 都無(wú)法滿足終端的需求����。因此,為了解決這個(gè)問(wèn)題�,對(duì)現(xiàn)有的網(wǎng)絡(luò)地址進(jìn)行轉(zhuǎn)換成為必 然����。
網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT�,Network Address Translation)是一種私網(wǎng)內(nèi)的終端與具有公網(wǎng)地址的終端進(jìn)行通信時(shí),當(dāng)IP數(shù)據(jù)包通過(guò)路由器或防火墻時(shí)重新改寫該數(shù)據(jù)包的IP 源地址或目的IP地址的技術(shù)�����。這種技術(shù)被普遍使用于私有網(wǎng)路中的多臺(tái)主機(jī)與具有公網(wǎng) IP地址的通信中���。NAT設(shè)備實(shí)現(xiàn)了公網(wǎng)IP地址和私網(wǎng)IP地址之間的一種映射關(guān)系����。
盡管NAT技術(shù)能夠很好解決公網(wǎng)終端與私網(wǎng)終端之間的通信�,然而,同時(shí)也 阻止了兩個(gè)私網(wǎng)內(nèi)的終端進(jìn)行直接通信����。因?yàn)閮蓚€(gè)私網(wǎng)下的終端無(wú)法知道彼此之間在 NAT上的映射關(guān)系。目前已有用于解決私網(wǎng)下終端之間進(jìn)行通信的技術(shù)����,主要是基于 UDP協(xié)議的NAT穿越技術(shù)��,如名稱為一種將私網(wǎng)用戶接入公網(wǎng)的方法的中國(guó)專利申請(qǐng) 200410006287.5。其解決方案是在公網(wǎng)中架設(shè)一臺(tái)地址映射服務(wù)器���,私網(wǎng)內(nèi)終端注冊(cè)到 該服務(wù)器上并通過(guò)該服務(wù)器訪問(wèn)到其他私網(wǎng)內(nèi)終端的NAT公網(wǎng)出口地址及端口��。
上述現(xiàn)有技術(shù)存在以下缺陷
1集中在一臺(tái)服務(wù)器上查詢會(huì)浪費(fèi)大量帶寬���,增大服務(wù)器負(fù)擔(dān),使得NAT中映 射表項(xiàng)增多�,降低查詢效率;
2如主服務(wù)器遭遇網(wǎng)絡(luò)中斷將導(dǎo)致整個(gè)查詢服務(wù)失效��;
3查詢服務(wù)器容易遭受非法終端的攻擊����。發(fā)明內(nèi)容
本發(fā)明的目的是提出一種基于口令雙向認(rèn)證的分布式互聯(lián)網(wǎng)接入方法。
本發(fā)明提出的技術(shù)方案是使用多臺(tái)服務(wù)器檢測(cè)終端當(dāng)前所處網(wǎng)絡(luò)的NAT(網(wǎng)絡(luò)地 址轉(zhuǎn)換)類型����,然后向代理服務(wù)器請(qǐng)求查詢服務(wù)器列表,最后向查詢服務(wù)器發(fā)送注冊(cè)請(qǐng) 求����,注冊(cè)成功后獲取其他已在當(dāng)前查詢服務(wù)器注冊(cè)了的終端的公網(wǎng)IP及端口,從而完成 接入過(guò)程��。
本發(fā)明提出的分布式互聯(lián)網(wǎng)接入方法包括下列步驟
步驟1 判斷網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)類型,終端向網(wǎng)絡(luò)協(xié)議6TUN)服務(wù)器發(fā)送 請(qǐng)求���,要求得到自身經(jīng)NAT映射后的地址��,如果收不到服務(wù)器回復(fù)��,則認(rèn)為終端NAT類型為阻斷(Blocked)����;如果收到服務(wù)器回復(fù)��,對(duì)比本地地址��,如果相同����,則認(rèn)為無(wú)NAT設(shè) 置,進(jìn)入步驟5���,否則認(rèn)為有NAT設(shè)置��,進(jìn)入步驟2;
步驟2 終端向STUN服務(wù)器發(fā)送請(qǐng)求��,要求服務(wù)器從其他IP和出口向終端回 復(fù)�,如收不到服務(wù)器從其他IP地址的回復(fù)�����,認(rèn)為請(qǐng)求被前置NAT設(shè)置為阻斷����,轉(zhuǎn)入步驟 3,如收到����,則認(rèn)為網(wǎng)絡(luò)的NAT類型為全克隆(Full Cone),轉(zhuǎn)入步驟5 �;
步驟3:終端向STUN服務(wù)器的另外一個(gè)IP地址發(fā)送請(qǐng)求,要求得到自 身經(jīng)NAT映射后的地址�����,并進(jìn)行對(duì)比����,如地址不相同,則網(wǎng)絡(luò)NAT類型為對(duì)稱式 NAT (Symmetric NAT),轉(zhuǎn)入步驟4 �����;如相同,則認(rèn)為是已注冊(cè)類型(Restricted NAT)�,轉(zhuǎn) 入步驟5 ;
步驟4:終端使用端口預(yù)測(cè)算法向STUN服務(wù)器的2個(gè)IP(IP1����,IP2)發(fā)送兩次 STUN請(qǐng)求,并根據(jù)STUN服務(wù)器的響應(yīng)消息來(lái)預(yù)測(cè)NAT后的對(duì)應(yīng)公網(wǎng)地址和端口�,之 后,轉(zhuǎn)入步驟5;
步驟5:終端向代理服務(wù)器發(fā)起獲取服務(wù)器列表的請(qǐng)求�����,所述服務(wù)器列表指分 布于互聯(lián)網(wǎng)中具有公網(wǎng)IP地址的服務(wù)器群����,代理服務(wù)器處理請(qǐng)求后返回該服務(wù)器列表;
步驟6 終端根據(jù)返回的服務(wù)器列表完成與某個(gè)私網(wǎng)內(nèi)的其他終端之間的通
在步驟5和步驟6之間還可以包括口令雙方認(rèn)證的步驟
步驟51:終端查詢服務(wù)器列表并對(duì)目標(biāo)服務(wù)器發(fā)起認(rèn)證請(qǐng)求�,目標(biāo)服務(wù)器根據(jù) 終端提交的口令及ID信息對(duì)終端進(jìn)行驗(yàn)證,并返回身份驗(yàn)證結(jié)果���;
步驟52:如果驗(yàn)證通過(guò)�,目標(biāo)服務(wù)器處理終端查詢其負(fù)責(zé)的區(qū)域私網(wǎng)內(nèi)所有 NAT出口 IP地址與端口的請(qǐng)求���;如果驗(yàn)證失敗�,目標(biāo)服務(wù)器拒絕為終端提供后續(xù)服務(wù)。
所述終端對(duì)目標(biāo)服務(wù)器發(fā)起雙向認(rèn)證的流程包括下列步驟
步驟511:終端向目標(biāo)服務(wù)器發(fā)送注冊(cè)請(qǐng)求����,并攜帶自身終端身份IDc;
步驟512:目標(biāo)服務(wù)器響應(yīng)終端注冊(cè)請(qǐng)求�����,產(chǎn)生一個(gè)隨機(jī)數(shù)Rs�,然后發(fā)送自己 身份IDs和隨機(jī)數(shù)Rs ;
步驟513:終端接收解析檢查并驗(yàn)證反饋信息���,產(chǎn)生一個(gè)隨機(jī)數(shù)Re�����,同時(shí)計(jì)算 終端的哈希值(HMACc)����,然后發(fā)送雙方身份��,隨機(jī)數(shù)對(duì)��,以及認(rèn)證數(shù)據(jù)HMACc到目標(biāo) 服務(wù)器�;
步驟514:目標(biāo)服務(wù)器接收解析檢查并驗(yàn)證反饋信息�����,計(jì)算會(huì)話密鑰KM���,并 衍生加密密鑰EK,最后計(jì)算目標(biāo)服務(wù)器的哈希值(HMACs)��,查找終端權(quán)限���,然后發(fā)送 IDs, IDc��,Rs, Re, HMACs 到終端����;
步驟515終端接收到反饋信息后���,終端接收解析并驗(yàn)證反饋信息����,然后計(jì)算會(huì) 話密鑰材料KM����,利用KM衍生加密密鑰EK�����,整個(gè)認(rèn)證過(guò)程結(jié)束�����。
與現(xiàn)有技術(shù)相比,本發(fā)明具有如下優(yōu)點(diǎn)
1采用分布式查詢方案�����,減小服務(wù)器負(fù)擔(dān)����,提高查詢效率;
2使用多臺(tái)服務(wù)器提供服務(wù)�,提高系統(tǒng)穩(wěn)定性;
3采用基于口令的雙向認(rèn)證方式來(lái)避免查詢服務(wù)器遭受非法終端的攻擊����。
下面結(jié)合附圖和較佳實(shí)施例對(duì)本發(fā)明進(jìn)行詳細(xì)地說(shuō)明,其中
圖1為本發(fā)明提出的分布式互聯(lián)網(wǎng)接入網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)圖2為終端認(rèn)證流程圖3為本發(fā)明提出的分布式互聯(lián)網(wǎng)接入方法的流程圖�����。
具體實(shí)施方式
圖1為本發(fā)明提出的分布式互聯(lián)網(wǎng)接入網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)圖。本發(fā)明中
Proxy Server指代理服務(wù)器���。Server A�����、Server B為目標(biāo)服務(wù)器���。
PG_A、PG_B�����、別指處于私網(wǎng)或者公網(wǎng)上的終端��。
STUN服務(wù)器是指用于防火墻穿透����,使得終端可以了解到他們的公網(wǎng)地址、所處 網(wǎng)絡(luò)的NAT類型以及公網(wǎng)出口的端口���。
NAT指網(wǎng)絡(luò)地址轉(zhuǎn)換���。
檢測(cè)網(wǎng)絡(luò)的NAT類型是指����,通過(guò)向具有公網(wǎng)IP地址的STUN服務(wù)器發(fā)送請(qǐng)求數(shù)據(jù) 包��,終端根據(jù)STUN服務(wù)器返回的消息IP地址及端口來(lái)判斷其所處當(dāng)前私網(wǎng)的NAT類型���。
合法終端是指���,無(wú)論這些終端處于私網(wǎng)內(nèi)部并完成了 NAT穿透還是具有公網(wǎng)IP 地址,他們都需要通過(guò)查詢服務(wù)器的認(rèn)證才能獲得相應(yīng)查詢服務(wù)����。
查詢服務(wù)器是指�����,該服務(wù)器保存了所有經(jīng)過(guò)NAT穿透后的私網(wǎng)終端NAT后的IP 地址和端口以及公網(wǎng)終端的IP地址和端口����。這些服務(wù)器均已注冊(cè)到代理服務(wù)器并時(shí)刻保 持心跳連接。
分布式互聯(lián)網(wǎng)接入方法是指�,在公網(wǎng)上分布了多臺(tái)查詢服務(wù)器����,這些查詢服務(wù) 器為合法終端同時(shí)提供查詢服務(wù)�����。
基于口令的雙向認(rèn)證方法是指�,終端使用自己的口令向查詢服務(wù)器發(fā)起認(rèn)證請(qǐng) 求。如果認(rèn)證通過(guò)����,則終端可查詢其他已注冊(cè)終端的信息;否則��,查詢服務(wù)器拒絕向該 終端提供服務(wù)�����。
雙向認(rèn)證是指���,終端發(fā)起認(rèn)證請(qǐng)求后�����,查詢服務(wù)器需要對(duì)終端所提供的ID信 息�����、口令及認(rèn)證代碼(HMAC)進(jìn)行驗(yàn)證���;終端對(duì)查詢服務(wù)器反饋的認(rèn)證結(jié)果�����,主要包括 服務(wù)器ID信息�����、隨機(jī)數(shù)��、HMAC值進(jìn)行驗(yàn)證�����。雙向驗(yàn)證通過(guò)后,終端最后產(chǎn)生會(huì)話密 鑰KM��。
本發(fā)明提出的基于口令雙向認(rèn)證的分布式互聯(lián)網(wǎng)接入方法主要由三部分組成
一�����、終端使用多臺(tái)服務(wù)器檢測(cè)終端當(dāng)前所處網(wǎng)絡(luò)的NAT (網(wǎng)絡(luò)地址轉(zhuǎn)換)類型;
二�����、終端向代理服務(wù)器請(qǐng)求查詢服務(wù)器列表�����,然后向目標(biāo)服務(wù)器發(fā)送認(rèn)證請(qǐng) 求��,并進(jìn)行雙向認(rèn)證�;
三、認(rèn)證成功后獲取其他已在當(dāng)前查詢服務(wù)器注冊(cè)終端的公網(wǎng)IP及端口�,從而 完成接入過(guò)程。
在本發(fā)明的一個(gè)較佳實(shí)施例中具體包含以下實(shí)施步驟
步驟1:如圖1和圖3所示��,終端A需要與某一公網(wǎng)PG_A進(jìn)行連接時(shí)�����,首先檢 測(cè)自己所處網(wǎng)絡(luò)的NAT類型���。終端向STUN服務(wù)器發(fā)送請(qǐng)求�,要求得到自身經(jīng)NAT映 射后的地址�。如果收不到服務(wù)器回復(fù)�����,則認(rèn)為UDP(網(wǎng)絡(luò)協(xié)議)被防火墻阻斷�,不能通信���,NAT類型為阻斷(Blocked)��;如果收到服務(wù)器回復(fù)�,對(duì)比本地地址�����,如果相同����,則 認(rèn)為無(wú)NAT設(shè)置,進(jìn)入步驟5���,否則認(rèn)為有NAT設(shè)置,進(jìn)入步驟2;
步驟2:終端A向STUN服務(wù)器發(fā)送請(qǐng)求�,要求服務(wù)器從其他IP和出口(PORT) 向終端回復(fù)。如收不到服務(wù)器從其他IP地址的回復(fù)�,認(rèn)為請(qǐng)求被前置NAT設(shè)置阻斷���,轉(zhuǎn) 入步驟3。如收到��,則認(rèn)為NAT類型為全克隆(Full Cone)����,即網(wǎng)絡(luò)的NAT類型為全 克隆(Full Cone NAT),轉(zhuǎn)入步驟5 ��;
步驟3:終端A向STUN服務(wù)器的另外一個(gè)IP地址發(fā)送請(qǐng)求�,要求得到自 身經(jīng)NAT映射后的地址,并進(jìn)行對(duì)比���,如地址不相同����,則網(wǎng)絡(luò)NAT類型為對(duì)稱式 NAT (Symmetric NAT),轉(zhuǎn)入步驟4 ��;如相同�,則認(rèn)為是已注冊(cè)類型(Restricted NAT),轉(zhuǎn) 入步驟5 �����;
步驟4 根據(jù)步驟3所述實(shí)施方式,可以判斷網(wǎng)絡(luò)NAT類型為Symmetric NAT,終端使用端口預(yù)測(cè)算法向STUN服務(wù)器的2個(gè)IP(IP1��,IP2)發(fā)送兩次STUN請(qǐng)求���,并根 據(jù)STUN服務(wù)器的響應(yīng)消息來(lái)預(yù)測(cè)NAT后的對(duì)應(yīng)公網(wǎng)地址和端口�����,之后���,轉(zhuǎn)入步驟5;
步驟5 終端A向代理服務(wù)器(Proxy Server)發(fā)起獲取服務(wù)器列表的請(qǐng)求。所 述服務(wù)器列表就是指分布于互聯(lián)網(wǎng)中具有公網(wǎng)IP地址的服務(wù)器群����。代理服務(wù)器處理請(qǐng)求 后返回該服務(wù)器列表;
步驟51 終端A查詢服務(wù)器列表并對(duì)目標(biāo)服務(wù)器ServerA發(fā)起認(rèn)證請(qǐng)求���。Server A根據(jù)終端提交的口令及ID信息對(duì)終端A進(jìn)行驗(yàn)證���,并返回身份驗(yàn)證結(jié)果;
步驟52 根據(jù)步驟51所述實(shí)施方式����,如果驗(yàn)證通過(guò),ServerA處理終端查詢其 負(fù)責(zé)的區(qū)域私網(wǎng)內(nèi)所有NAT出口 IP地址與端口的請(qǐng)求�����;如果驗(yàn)證失敗�,Server A拒絕為 終端A提供后續(xù)服務(wù);
步驟6 根據(jù)步驟52所述實(shí)施結(jié)果��,終端A可以根據(jù)ServerA反饋的查詢結(jié)果 來(lái)完成與某個(gè)私網(wǎng)內(nèi)的其他終端進(jìn)行通信�����,從而達(dá)到分布式互聯(lián)網(wǎng)接入的目的�����。
參考圖2�����,終端A對(duì)目標(biāo)服務(wù)器Server A發(fā)起雙向認(rèn)證的流程步驟描述如下
步驟511: Client- > Server Register (IDc)���,終端向服務(wù)器發(fā)送注冊(cè)請(qǐng)求�����,并攜帶自身終端身份IDc;
步驟512: Server- > Client IDs, Rs�。Server響應(yīng)終端注冊(cè)請(qǐng)求,產(chǎn)生一個(gè)隨機(jī)數(shù)Rs���,然后發(fā)送自己身份IDs和隨機(jī)數(shù)Rs;
步驟513: Client- > Server IDc, IDs, Re��,Rs, HMACc (終端認(rèn)證數(shù)據(jù))����。終端接收解析檢查步驟512中信息��,產(chǎn)生一個(gè)隨機(jī)數(shù)Re�����,同時(shí)計(jì)算終端的哈希值HMACc�, 然后發(fā)送雙方身份,隨機(jī)數(shù)對(duì)�,以及認(rèn)證數(shù)據(jù)(HMACc)到服務(wù)器;
步驟514: Server- > Client IDs, IDc, Rs, Re��,HMACs (目標(biāo)服務(wù)器的哈希 值)�。Server接收解析檢查并驗(yàn)證步驟513中信息����,計(jì)算會(huì)話密鑰KM����,并衍生加密密 鑰EK�。最后計(jì)算HMACs,查找終端權(quán)限�����,然后發(fā)送IDs�,IDc, Rs, Re,HMACs到終 端�����。
步驟515:終端接收到第步驟514中信息后��,終端接收解析并驗(yàn)證步驟514中信 息(包括HMAC函數(shù)�����,這里指定使用HMAC-SHA1-96��,的驗(yàn)證),然后計(jì)算會(huì)話密鑰材 料KM���,利用KM衍生加密密鑰EK�����,整個(gè)認(rèn)證過(guò)程結(jié)束��。
其中
K = H(PW), PW為口令��,K為口令經(jīng)過(guò)哈希計(jì)算后的值�;
HMACs = HMACK(IDs�����,IDc, Rs, Re)�����;
HMACc = HMACK(IDc�����,IDs, Re, Rs)�����;
KM = H (K, Rs, Re);
EK = H (KM, “ENCRYPTION”)��,其中 EK 為 16 個(gè)字節(jié)����,ENCRYPTION 為鹽值,也可以為空���。
本發(fā)明中的信息驗(yàn)證根據(jù)哈希函數(shù),采用SHAl算法計(jì)算所有反饋信息的認(rèn)證 代碼HMAC值���,以HMAC值是否匹配為準(zhǔn)來(lái)判斷驗(yàn)證是否通過(guò)����。
本發(fā)明在公網(wǎng)中架設(shè)一臺(tái)代理服務(wù)器用于查詢其他服務(wù)器的公網(wǎng)地址�,從而達(dá) 到終端采用分布式方案接入互聯(lián)網(wǎng)的目的。本發(fā)明使用分布式的服務(wù)器群方案避免因大 量終端通過(guò)同一臺(tái)服務(wù)器接入互聯(lián)網(wǎng)而導(dǎo)致服務(wù)器查詢效率低的問(wèn)題���。本發(fā)明在終端向 服務(wù)器發(fā)起查詢請(qǐng)求前使用基于口令的雙向認(rèn)證方式驗(yàn)證終端的權(quán)限�����,這樣既可以保證 所提供的信息合法性���,有可以防止來(lái)自非法終端的攻擊�����。
權(quán)利要求
1.一種分布式互聯(lián)網(wǎng)接入方法�,其特征在于��,該方法包括下列步驟步驟1 判斷網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)類型��,終端向網(wǎng)絡(luò)協(xié)議6TUN)服務(wù)器發(fā)送請(qǐng) 求��,要求得到自身經(jīng)NAT映射后的地址�,如果收不到服務(wù)器回復(fù),則認(rèn)為終端NAT類型 為阻斷�����;如果收到服務(wù)器回復(fù)����,對(duì)比本地地址,如果相同�����,則認(rèn)為無(wú)NAT設(shè)置,進(jìn)入步 驟5��,否則認(rèn)為有NAT設(shè)置����,進(jìn)入步驟2;步驟2:終端向STUN服務(wù)器發(fā)送請(qǐng)求,要求服務(wù)器從其他IP和出口向終端回復(fù)��, 如收不到服務(wù)器從其他IP地址的回復(fù)���,認(rèn)為請(qǐng)求被前置NAT設(shè)置為阻斷,轉(zhuǎn)入步驟3�, 如收到,則認(rèn)為網(wǎng)絡(luò)的NAT類型為全克隆(Full Cone)�����,轉(zhuǎn)入步驟5 �����;步驟3:終端向STUN服務(wù)器的另外一個(gè)IP地址發(fā)送請(qǐng)求���,要求得到自身經(jīng)NAT 映射后的地址���,并進(jìn)行對(duì)比�,如地址不相同��,則網(wǎng)絡(luò)NAT類型為對(duì)稱式NAT Symmetric NAT),轉(zhuǎn)入步驟4;如相同�,則認(rèn)為是已注冊(cè)類型(Restricted NAT),轉(zhuǎn)入步驟5 �����;步驟4:終端使用端口預(yù)測(cè)算法向STUN服務(wù)器的2個(gè)IP(IP1��,IP2)發(fā)送兩次STUN 請(qǐng)求�����,并根據(jù)STUN服務(wù)器的響應(yīng)消息來(lái)預(yù)測(cè)NAT后的對(duì)應(yīng)公網(wǎng)地址和端口�����,之后�,轉(zhuǎn) 入步驟5 ;步驟5:終端向代理服務(wù)器發(fā)起獲取服務(wù)器列表的請(qǐng)求,所述服務(wù)器列表指分布于 互聯(lián)網(wǎng)中具有公網(wǎng)IP地址的服務(wù)器群��,代理服務(wù)器處理請(qǐng)求后返回該服務(wù)器列表�����;步驟6 終端根據(jù)返回的服務(wù)器列表完成與某個(gè)私網(wǎng)內(nèi)的其他終端之間的通信���。
2.根據(jù)權(quán)利要求1所述的方法���,其特征在于,步驟5和步驟6之間還包括口令雙向認(rèn) 證的步驟步驟51:終端查詢服務(wù)器列表并對(duì)目標(biāo)服務(wù)器發(fā)起認(rèn)證請(qǐng)求����,目標(biāo)服務(wù)器根據(jù)終端 提交的口令及ID信息對(duì)終端進(jìn)行驗(yàn)證,并返回身份驗(yàn)證結(jié)果����;步驟52:如果驗(yàn)證通過(guò)��,目標(biāo)服務(wù)器處理終端查詢其負(fù)責(zé)的區(qū)域私網(wǎng)內(nèi)所有NAT出 口 IP地址與端口的請(qǐng)求��;如果驗(yàn)證失敗�,目標(biāo)服務(wù)器拒絕為終端提供后續(xù)服務(wù)。
3.根據(jù)權(quán)利要求2所述的方法,其特征在于所述的口令雙方認(rèn)證根據(jù)哈希函數(shù)����, 采用SHAl算法計(jì)算所有反饋信息的認(rèn)證代碼HMAC值,以HMAC值是否匹配為準(zhǔn)來(lái)判 斷驗(yàn)證是否通過(guò)����。
4.根據(jù)權(quán)利要求3所述的方法,其特征在于�,終端對(duì)目標(biāo)服務(wù)器發(fā)起雙向認(rèn)證的流程 包括下列步驟步驟511:終端向目標(biāo)服務(wù)器發(fā)送注冊(cè)請(qǐng)求,并攜帶自身終端身份IDc;步驟512:目標(biāo)服務(wù)器響應(yīng)終端注冊(cè)請(qǐng)求����,產(chǎn)生一個(gè)隨機(jī)數(shù)Rs,然后發(fā)送自己身份 IDs和隨機(jī)數(shù)Rs ���;步驟513:終端接收解析檢查并驗(yàn)證反饋信息����,產(chǎn)生一個(gè)隨機(jī)數(shù)Re�����,同時(shí)計(jì)算終端 的哈希值(HMACc)����,然后發(fā)送雙方身份�,隨機(jī)數(shù)對(duì)����,以及認(rèn)證數(shù)據(jù)(HMACc)到目標(biāo)服 務(wù)器;步驟514:目標(biāo)服務(wù)器接收解析檢查并驗(yàn)證反饋信息�,計(jì)算會(huì)話密鑰KM,并衍生加 密密鑰EK��,最后計(jì)算目標(biāo)服務(wù)器的哈希值(HMACs)�����,查找終端權(quán)限����,然后發(fā)送IDs, IDc�,Rs, Re, HMACs 到終端;步驟515終端接收到反饋信息后����,終端接收解析并驗(yàn)證反饋信息���,然后計(jì)算會(huì)話密 鑰材料KM�,利用KM衍生加密密鑰EK,整個(gè)認(rèn)證過(guò)程結(jié)束��。
全文摘要
本發(fā)明提出了一種基于口令雙向認(rèn)證的分布式互聯(lián)網(wǎng)接入方法�����。該方法使用多臺(tái)服務(wù)器檢測(cè)終端當(dāng)前所處網(wǎng)絡(luò)的NAT(網(wǎng)絡(luò)地址轉(zhuǎn)換)類型��,然后向代理服務(wù)器請(qǐng)求查詢服務(wù)器列表��,最后向查詢服務(wù)器發(fā)送認(rèn)證請(qǐng)求����,認(rèn)證成功后獲取其他已在當(dāng)前查詢服務(wù)器注冊(cè)了的終端的公網(wǎng)IP及端口,從而完成接入過(guò)程�。本發(fā)明方法采用分布式查詢方案,減小服務(wù)器負(fù)擔(dān)��,提高查詢效率和系統(tǒng)穩(wěn)定性���,此外��,能避免查詢服務(wù)器遭受非法終端的攻擊��。
文檔編號(hào)H04L29/12GK102025769SQ20101028121
公開(kāi)日2011年4月20日 申請(qǐng)日期2010年9月10日 優(yōu)先權(quán)日2010年9月10日
發(fā)明者周磊, 張歷卓, 沈平, 賈維嘉 申請(qǐng)人:香港城市大學(xué)深圳研究院