專利名稱::移動(dòng)互聯(lián)網(wǎng)中接入認(rèn)證的安全模型實(shí)現(xiàn)方法
技術(shù)領(lǐng)域:
:本發(fā)明是一種移動(dòng)互聯(lián)網(wǎng)中的接入認(rèn)證機(jī)制的安全解決方案�����,本發(fā)明針對(duì)的移動(dòng)互聯(lián)網(wǎng)架構(gòu)采用了基于P2P技術(shù)��,主要用于提高移動(dòng)互聯(lián)網(wǎng)中的接入認(rèn)證的安全性����,屬于移動(dòng)互聯(lián)網(wǎng)的安全
技術(shù)領(lǐng)域:
。
背景技術(shù):
:移動(dòng)互聯(lián)網(wǎng)是互聯(lián)網(wǎng)�����、移動(dòng)終端設(shè)備和移動(dòng)通信技術(shù)融合的產(chǎn)物����。根據(jù)CNNIC的調(diào)查,截至2009年6月底�,中國(guó)手機(jī)網(wǎng)民規(guī)模為1.55億人�����。本次調(diào)查顯示�,截至2009年8月底��,中國(guó)手機(jī)網(wǎng)民占到整體手機(jī)使用人數(shù)的34.2%�����,總規(guī)模達(dá)到1.8億���,依然保持穩(wěn)定增長(zhǎng)的趨勢(shì)����,移動(dòng)通信技術(shù)和互聯(lián)網(wǎng)技術(shù)的相互融合�,正在將人們帶入一個(gè)全新的移動(dòng)互聯(lián)網(wǎng)時(shí)代。在全新移動(dòng)互聯(lián)網(wǎng)時(shí)代����,安全問(wèn)題依然一直存在,移動(dòng)互聯(lián)網(wǎng)的基本安全領(lǐng)域����,主要有接入安全、終端安全�、通信安全。(1)接入安全移動(dòng)終端進(jìn)行通信的第一個(gè)步驟便是接入到移動(dòng)互聯(lián)網(wǎng)中����,接入安全主要是防止非法用戶的接入,非法用戶進(jìn)行拒絕服務(wù)攻擊�����、竊取網(wǎng)絡(luò)中的認(rèn)證數(shù)據(jù)從而竊取用戶的私密信息�。同時(shí)也要保證合法用戶得到及時(shí)認(rèn)證。(2)終端安全隨著通信技術(shù)的進(jìn)步���,終端越來(lái)越智能化�����,內(nèi)存和芯片處理能力逐漸增強(qiáng)��,在終端上也出現(xiàn)了操作系統(tǒng)�。智能終端的出現(xiàn)也帶來(lái)了潛在的威脅非法篡改信息����,非法訪問(wèn)�����,通過(guò)操作系統(tǒng)修改終端中的信息�,利用病毒和惡意代碼進(jìn)行破壞�����。(3)網(wǎng)絡(luò)安全網(wǎng)絡(luò)層面的安全威脅��,對(duì)數(shù)據(jù)進(jìn)行機(jī)密性破壞���、完整性破壞��。P2P是當(dāng)前互聯(lián)網(wǎng)上的熱點(diǎn)技術(shù)之一�,近年來(lái)獲得爆炸性的應(yīng)用和發(fā)展����,P2P技術(shù)的本質(zhì)是將集中處理和存儲(chǔ)分布化,將閑散的資源加以充分利用�。通過(guò)P2P技術(shù)來(lái)實(shí)現(xiàn)移動(dòng)互聯(lián)網(wǎng)的核心架構(gòu),運(yùn)營(yíng)商可以建立可擴(kuò)展的����、并且能夠提供多媒體應(yīng)用和內(nèi)容應(yīng)用的電信級(jí)網(wǎng)絡(luò)應(yīng)用平臺(tái)�。P2P技術(shù)的引入����,導(dǎo)致數(shù)據(jù)的傳輸量越來(lái)越大����,數(shù)據(jù)的安全問(wèn)題將越發(fā)顯得重要,由于P2P本來(lái)的特點(diǎn)�,又帶來(lái)了很多安全問(wèn)題。所以采用P2P分布式通信和信息處理架構(gòu)的移動(dòng)互聯(lián)網(wǎng)絡(luò)更加需要建立一套切實(shí)可行的接入認(rèn)證機(jī)制����,來(lái)確保用戶的安全接入,并且保證網(wǎng)絡(luò)及其相關(guān)業(yè)務(wù)的正常運(yùn)��。
發(fā)明內(nèi)容技術(shù)問(wèn)題本發(fā)明的目的是提供一移動(dòng)互聯(lián)網(wǎng)中接入認(rèn)證的安全模型實(shí)現(xiàn)方法�����。提出一種部署在P2P架構(gòu)中的接入認(rèn)證安全模型�����,采用基于AKA機(jī)制的接入認(rèn)證機(jī)制���。來(lái)提高移動(dòng)互聯(lián)網(wǎng)服務(wù)的安全性�����。技術(shù)方案本發(fā)明是通過(guò)使用AKA機(jī)制��,保證移動(dòng)終端安全的接入到合法的網(wǎng)絡(luò)�,并協(xié)商出新的密鑰用于在網(wǎng)絡(luò)中傳輸各種信息,享受各種服務(wù)����。AKA機(jī)制是由因特網(wǎng)工程任務(wù)組制定,廣泛應(yīng)用于3G(第三代移動(dòng)通信技術(shù))無(wú)線網(wǎng)絡(luò)的鑒權(quán)機(jī)制�����。故將AKA認(rèn)證機(jī)制引用到移動(dòng)互聯(lián)網(wǎng)的接入認(rèn)證的安全模型中可以起到保護(hù)整個(gè)系統(tǒng)的安全�����。為了提出認(rèn)證的技術(shù)方案��,首先給出基于P2P技術(shù)的移動(dòng)互聯(lián)網(wǎng)的架構(gòu)和網(wǎng)絡(luò)特性����。移動(dòng)互聯(lián)網(wǎng)業(yè)務(wù)環(huán)境的目標(biāo)就是建立一套面向移動(dòng)互聯(lián)網(wǎng)的端到端的業(yè)務(wù)環(huán)境�����。在該環(huán)境中���,用戶可以更加方便、安全�、可靠地基于不同的移動(dòng)通信技術(shù)訪問(wèn)并使用移動(dòng)互聯(lián)網(wǎng)上的各種業(yè)務(wù)����。采用P2P技術(shù)的移動(dòng)互聯(lián)網(wǎng),由于節(jié)點(diǎn)的動(dòng)態(tài)性的增強(qiáng)�����,移動(dòng)互聯(lián)網(wǎng)的安全問(wèn)題面臨更大的挑戰(zhàn)����。而接入認(rèn)證時(shí)移動(dòng)互聯(lián)網(wǎng)安全的基礎(chǔ),是保證移動(dòng)互聯(lián)網(wǎng)業(yè)務(wù)安全的前提����。本發(fā)明構(gòu)建應(yīng)用于移動(dòng)互聯(lián)網(wǎng)中安全的接入認(rèn)證模型。本認(rèn)證模型采用AKA接入認(rèn)證機(jī)制,認(rèn)證方案的部署如圖1所示���。P2P(Peer-to-Peer對(duì)等)思想�、禾口AKA(AuthenticationandKeyAgreement認(rèn)證與密鑰協(xié)商)認(rèn)證技術(shù)集合到移動(dòng)互聯(lián)網(wǎng)中�����,結(jié)合網(wǎng)絡(luò)安全規(guī)范形成�����,其安全模型的實(shí)現(xiàn)具體如下1.一種移動(dòng)互聯(lián)網(wǎng)中接入認(rèn)證的安全模型實(shí)現(xiàn)方法�,其特征在于其安全模型的實(shí)現(xiàn)具體如下a.將認(rèn)證服務(wù)器部署在對(duì)等P2P(Peer-to-Peer)架構(gòu)的移動(dòng)互聯(lián)網(wǎng)中,認(rèn)證服務(wù)器部署在P2P網(wǎng)絡(luò)的節(jié)點(diǎn)上����;b.將整個(gè)P2P網(wǎng)絡(luò)分成多個(gè)管理域,每個(gè)域管理域設(shè)置一個(gè)管理服務(wù)器�����,掌握其所在域的拓?fù)淝闆r���,掌握所在域認(rèn)證服務(wù)器的負(fù)載情況�����;c.在管理服務(wù)器上���,部署流量清洗中心���,當(dāng)流量異常時(shí)或用戶非法注冊(cè)時(shí)啟動(dòng)進(jìn)行數(shù)據(jù)包丟棄;d.采用認(rèn)證與密鑰協(xié)商AKA(AuthenticationandKeyAgreement認(rèn)證與密鑰協(xié)商)機(jī)制進(jìn)行接入認(rèn)證�,實(shí)現(xiàn)用戶與網(wǎng)絡(luò)的雙向認(rèn)證,認(rèn)證與密鑰協(xié)商機(jī)制在基于P2P架構(gòu)部署的服務(wù)器上的認(rèn)證過(guò)程如下dl.用戶終端向管理節(jié)點(diǎn)發(fā)起認(rèn)證請(qǐng)求���;d2.管理節(jié)點(diǎn)接受到認(rèn)證請(qǐng)求信息,進(jìn)行初步的檢查��;若合法�,則選擇一個(gè)服務(wù)器A,轉(zhuǎn)發(fā)認(rèn)證請(qǐng)求信息到該服務(wù)器A����,同時(shí)在流量異常情況下開(kāi)啟流量清洗中心;若不合法���,釋放連接���,拒絕認(rèn)證請(qǐng)求����;d3.服務(wù)器A收到管理服務(wù)器的信息后�,檢查用戶的請(qǐng)求信息是否是本地的;如果是本地的則發(fā)起認(rèn)證過(guò)程����,如果否,則在P2P網(wǎng)絡(luò)中將該信息轉(zhuǎn)發(fā)給其歸屬地的服務(wù)器B�����;d4.若服務(wù)器B在線�,則生成認(rèn)證向量發(fā)送給服務(wù)器A,若服務(wù)器B不在線���,則由服務(wù)器A轉(zhuǎn)發(fā)至備份服務(wù)器C�,由備份服務(wù)器C生成認(rèn)證信息轉(zhuǎn)發(fā)給服務(wù)器A���;d5.服務(wù)器A發(fā)送認(rèn)證信息和支持的算法版本到用戶終端����;d6.用戶首先驗(yàn)證網(wǎng)絡(luò)的合法性,若合法�����,選擇自己支持的算法本版���,發(fā)送給服務(wù)器A���;若不合法,結(jié)束認(rèn)證過(guò)程�����;d7.服務(wù)器A驗(yàn)證用戶的合法性���,若合法,保存雙方協(xié)商好的算法��,認(rèn)證結(jié)束����;若不合法斷開(kāi)用戶的連接。有益效果本發(fā)明提出了接入認(rèn)證的安全模型��。采用了AKA認(rèn)證機(jī)制。本安全模型有以下優(yōu)勢(shì)1����,較高的安全性AKA認(rèn)證是移動(dòng)終端與網(wǎng)絡(luò)的雙向認(rèn)證。首先用戶向網(wǎng)絡(luò)發(fā)起認(rèn)證請(qǐng)求�����,網(wǎng)絡(luò)發(fā)送數(shù)據(jù)給用戶��,用戶計(jì)算自己的數(shù)據(jù)同接受到網(wǎng)絡(luò)發(fā)來(lái)的數(shù)據(jù)進(jìn)行比較�����,進(jìn)行對(duì)網(wǎng)絡(luò)的認(rèn)證����。若為合法的網(wǎng)絡(luò),發(fā)送認(rèn)證數(shù)據(jù)給網(wǎng)絡(luò)��,同樣�,網(wǎng)絡(luò)進(jìn)行對(duì)用戶的認(rèn)證。其次本系統(tǒng)中添加了管理節(jié)點(diǎn)服務(wù)器�����,來(lái)防止用戶的惡意注冊(cè)。2��,認(rèn)證時(shí)延小通過(guò)引入管理節(jié)點(diǎn)服務(wù)器來(lái)輔助認(rèn)證�����,通過(guò)管理服務(wù)器選擇合適的NODE節(jié)點(diǎn)負(fù)責(zé)用戶的接入認(rèn)證����,可實(shí)現(xiàn)負(fù)載平衡,減小用戶認(rèn)證時(shí)延�。3,系統(tǒng)的健壯性本系統(tǒng)采用了備份節(jié)點(diǎn)�,當(dāng)管理節(jié)點(diǎn)服務(wù)器分配的認(rèn)證服務(wù)器單點(diǎn)失效或認(rèn)證超時(shí)的情況下,由備份節(jié)點(diǎn)完成認(rèn)證過(guò)程��。最大程度保證用戶的合法接入����。同時(shí)在管理節(jié)點(diǎn)服務(wù)器上實(shí)現(xiàn)流量清洗,以防止拒絕服務(wù)攻擊�。圖1是認(rèn)證方案部署圖���。圖2詳細(xì)的描述了UE接入網(wǎng)絡(luò)的認(rèn)證過(guò)程�。圖3詳細(xì)的描述了,AKA認(rèn)證網(wǎng)絡(luò)端認(rèn)證向量生成的過(guò)程����。圖4詳細(xì)的描述了,AKA認(rèn)證移動(dòng)終端產(chǎn)生認(rèn)證數(shù)據(jù)的過(guò)程��,同時(shí)也表現(xiàn)了完成性密鑰和機(jī)密性密鑰的生成過(guò)程����。具體實(shí)施例方式一、體系結(jié)構(gòu)整個(gè)認(rèn)證方案是為了用戶終端能快速地接入到移動(dòng)互聯(lián)網(wǎng)中并實(shí)現(xiàn)用戶和網(wǎng)絡(luò)節(jié)點(diǎn)的雙向認(rèn)證�����。認(rèn)證流程包括用戶接入網(wǎng)絡(luò)���、用戶認(rèn)證網(wǎng)絡(luò)服務(wù)節(jié)點(diǎn)�、服務(wù)節(jié)點(diǎn)認(rèn)證用戶節(jié)點(diǎn)��、會(huì)話密鑰生成等部分�。由于需要實(shí)現(xiàn)兩個(gè)不同平臺(tái)之間的信息交互,所以建立了2組基于TCP的socket傳輸�����。一組socket用于實(shí)現(xiàn)用戶終端與管理節(jié)點(diǎn)之間的信息傳輸,另一組socket用于實(shí)現(xiàn)用戶終端同認(rèn)證服務(wù)器展開(kāi)認(rèn)證服務(wù)��。其他各個(gè)功能模塊是分別在兩個(gè)平臺(tái)單獨(dú)實(shí)現(xiàn)的�。二、方法流程2.1認(rèn)證場(chǎng)景介紹為了方便后面方法流程的描述���,我們假定有如下應(yīng)用實(shí)例�����,所設(shè)定的認(rèn)證場(chǎng)景如圖1所示移動(dòng)終端(稱為UE)要接入到移動(dòng)互聯(lián)網(wǎng)中�����,向管理服務(wù)器注冊(cè)(稱為Tracker)����,管理節(jié)點(diǎn)在P2P(Peer-to-Peer對(duì)等)架構(gòu)的網(wǎng)絡(luò)中選擇合適認(rèn)證服務(wù)器給用戶��。主要涉及NodeA服務(wù)器(管理節(jié)點(diǎn)分配給UE的認(rèn)證節(jié)點(diǎn))�,NodeB服務(wù)器(UE注冊(cè)信息的節(jié)點(diǎn)服務(wù)器),NodeC服務(wù)器(NodeB信息的備份服務(wù)器)�����。移動(dòng)終端(使用UE表示)��,可以是智能手機(jī)����、上網(wǎng)本、PDA等��。Tracker服務(wù)器�����,負(fù)責(zé)移動(dòng)終端的注冊(cè)���,用戶接入網(wǎng)絡(luò)首先要向Tracker服務(wù)器發(fā)送請(qǐng)求�,Tracker首先進(jìn)行過(guò)濾�,過(guò)濾不合法的用戶,同時(shí)在Tracker服務(wù)器端防止對(duì)Node節(jié)點(diǎn)的惡意注冊(cè)攻擊����。給每個(gè)IMPI設(shè)置一個(gè)閾值,如果單位時(shí)間內(nèi)注冊(cè)的次數(shù)超過(guò)這個(gè)閾值���,可以拒絕其接入���。Node服務(wù)器�,Node服務(wù)器是部署在核心網(wǎng)中的認(rèn)證服務(wù)器�����,提供接入認(rèn)證和用戶的各項(xiàng)業(yè)務(wù)����。本部署方案將涉及以下幾個(gè)認(rèn)證服務(wù)器。其一NodeA服務(wù)器����,Tracker節(jié)點(diǎn)選擇的合適的認(rèn)證服務(wù)器��,這個(gè)服務(wù)器是Tracker所管理域中負(fù)載小的服務(wù)器����。其二NodeB服務(wù)器,用戶信息注冊(cè)地的服務(wù)器�����,即和用戶終端保存著對(duì)稱密鑰K,本服務(wù)器可以生成認(rèn)證向量�����,其三NodeC服務(wù)器���,備份服務(wù)器,NodeC備份NodeB服務(wù)器的信息�����,同樣部署在P2P網(wǎng)絡(luò)中����,是NodeB的臨近的服務(wù)器。當(dāng)NodeB長(zhǎng)時(shí)間得不到響應(yīng)時(shí)�,向備份服務(wù)器NodeC發(fā)起認(rèn)證過(guò)程。2.2用戶信息的設(shè)計(jì)用戶信息采用IMPI號(hào)��,在本實(shí)現(xiàn)的過(guò)程中采用手機(jī)號(hào)碼代替��。作為移動(dòng)終端的標(biāo)志號(hào)���,移動(dòng)終端發(fā)送IMPI進(jìn)行接入請(qǐng)求��。2.3對(duì)稱密鑰的存儲(chǔ)用戶和網(wǎng)絡(luò)需要保存一組密鑰K(128bit)��,用戶的密鑰固化在USIM卡或USmcey中�����,網(wǎng)絡(luò)上保存的K存儲(chǔ)在注冊(cè)地的認(rèn)證服務(wù)器中�����。2.4加密算法的選擇本方法中設(shè)計(jì)的密碼算法如下對(duì)稱算法加密和解密使用相同的密鑰��,本方法使用的是128位的密鑰�����,采用AES加密算法���。摘要算法摘要算法是一種單向散列算法����,其特點(diǎn)是一個(gè)明文����,得到一個(gè)唯一對(duì)應(yīng)的定長(zhǎng)的摘要信息����,明文做任何改動(dòng)����,其摘要也隨之改變,由摘要無(wú)法推算到明文��,它是不可逆����。本方法流程中采用的有MD5��。2.5流量清洗中心的部署在整個(gè)認(rèn)證場(chǎng)景之中��,可能遭受非法用戶的惡意注冊(cè)等問(wèn)題��,故引入Tracker服務(wù)器���,將用戶的接入問(wèn)題從認(rèn)證服務(wù)器引出�,通過(guò)Tracker服務(wù)器分配認(rèn)證服務(wù)器給合法的用戶���,以防止對(duì)P2P網(wǎng)絡(luò)中的服務(wù)器發(fā)起拒絕服務(wù)攻擊��,影響用戶正常的服務(wù)��。Tracker服務(wù)器部署流量清洗中心����,為每個(gè)合法IMPI設(shè)置一個(gè)閾值,利用Iptable開(kāi)發(fā)庫(kù)開(kāi)發(fā)個(gè)人防火墻���,當(dāng)超過(guò)這個(gè)閾值��,通過(guò)Iptable動(dòng)態(tài)的向內(nèi)核寫入拒絕的規(guī)則�,在一段時(shí)間內(nèi)拒絕該IMPI發(fā)來(lái)的認(rèn)證請(qǐng)求���。2.6接入認(rèn)證的流程接入認(rèn)證的流程如圖2所示步驟1初始化網(wǎng)絡(luò)環(huán)境����,開(kāi)啟網(wǎng)絡(luò)中Tracker服務(wù)器�����,NodeA,NodeB,NodeC服務(wù)器����,同時(shí)啟動(dòng)UE界面����。步驟2:UE向網(wǎng)絡(luò)中的Tracker服務(wù)器發(fā)起入網(wǎng)注冊(cè)請(qǐng)求����,請(qǐng)求信息包括用戶的IMPI。步驟3=Tracker服務(wù)器接受到IMPI信息���,首先進(jìn)行初步過(guò)濾����,進(jìn)行簡(jiǎn)單的校驗(yàn)����,非法或網(wǎng)絡(luò)流量異常時(shí)則轉(zhuǎn)至步驟12��,合法則查看自己所在域的服務(wù)器負(fù)載情況�,選擇合適的NodeA服務(wù)器為用戶提供接入認(rèn)證服務(wù),將UE的認(rèn)證信息轉(zhuǎn)發(fā)給NodeA服務(wù)器�。步驟4=NodeA服務(wù)器接收到UE的IMPI判斷是否是本地用戶,如果是生成AV向量�,轉(zhuǎn)至步驟7。步驟5若IMPI不是NodeA服務(wù)器的本地用戶���,即NodeA服務(wù)器沒(méi)有該用戶的密鑰K���,無(wú)法發(fā)起認(rèn)證過(guò)程�。NodeA在P2POverlay中查找用戶的歸屬地服務(wù)器NodeB���。若NodeB在線轉(zhuǎn)至步驟8���。步驟6若NodeB不在線,發(fā)送IMPI到NodeB的備份節(jié)點(diǎn)���,備份在NodeB臨近的服務(wù)器上�,發(fā)送IMPI到備份節(jié)點(diǎn)NodeC�����。步驟7備份節(jié)點(diǎn)NodeC接受到用戶的IMPI查找對(duì)應(yīng)的密鑰K�,計(jì)算認(rèn)證向量AV,發(fā)送認(rèn)證向量AV到NodeA����。步驟8節(jié)點(diǎn)NodeB接受到用戶的IMPI查找對(duì)應(yīng)的密鑰K,計(jì)算認(rèn)證向量AV,發(fā)送認(rèn)證向量AV到NodeA�,若NodeA長(zhǎng)時(shí)間沒(méi)有接受到NodeB的數(shù)據(jù),則認(rèn)為NodeB崩潰����,則轉(zhuǎn)至步驟6。步驟9:NodeA從AV向量中提取出信息���,發(fā)送認(rèn)證數(shù)據(jù)AUTN����、RAND和Eck(UIA���,UCK)到UE����。步驟10=UE接受到認(rèn)證數(shù)據(jù)AUTN和RAND�����,進(jìn)行認(rèn)證����,若網(wǎng)絡(luò)非法,結(jié)束認(rèn)證過(guò)程����。認(rèn)證網(wǎng)絡(luò)合法則計(jì)算出認(rèn)證數(shù)據(jù)RES,同時(shí)計(jì)算機(jī)密性密鑰CK和完整性密鑰IK����,使用CK解密出網(wǎng)絡(luò)支持的算法版本,用戶選擇一種自己支持的算法版本MAK和MCK連同RES發(fā)送到網(wǎng)絡(luò)��,若沒(méi)有相同的算法版本�,連接釋放。步驟11=NodeA收到UE的認(rèn)證數(shù)據(jù)RES��,進(jìn)行計(jì)算�,認(rèn)證用戶的合法性,若用戶的身份非法���,結(jié)束認(rèn)證過(guò)程��。若用戶的身份合法��,允許用戶接入�����,接入認(rèn)證完成���,保存協(xié)商后的CK和IK用于用戶下面的網(wǎng)絡(luò)通信�。步驟12=Tracker首先釋放該鏈接����,同時(shí)查看其注冊(cè)的閾值,若單位時(shí)間的注冊(cè)次數(shù)超過(guò)閾值���,開(kāi)啟流量清洗中心��,流量清洗中心向內(nèi)核添加拒絕該IP地址的數(shù)據(jù)包���。AV向量的生成如圖3所示。具體的計(jì)算如下所示計(jì)算消息認(rèn)證碼(MAC)=MAC=Flk(SQN||RAND||AMF)計(jì)算期望的認(rèn)證應(yīng)答碼(XRES)=XRES=F2k(RAND)計(jì)算保密性密鑰(CK)=CK=F3k(RAND)計(jì)算完整性密鑰(IK)=IK=F4k(RAND)匿名密鑰(AK)=AK=F5k(RAND)網(wǎng)絡(luò)認(rèn)證令牌(AUTN)=AUTN=SQNAK||AMF||MAC認(rèn)證向量AVAV=RAND||XRES||CK||IK||AUTN其中RAND為128(bit)的隨機(jī)數(shù)��,AMF為認(rèn)證管理域����,SQN為系列號(hào),k為用戶終端和服務(wù)器共享的密鑰���,F(xiàn)fF5為5個(gè)加密函數(shù),表示異或,II表示連接����。用戶計(jì)算AKA參數(shù)的過(guò)程如圖4所示。至此�����,應(yīng)用于Ρ2Ρ架構(gòu)的移動(dòng)互聯(lián)網(wǎng)的安全認(rèn)證模型構(gòu)建完成���。權(quán)利要求1.一種移動(dòng)互聯(lián)網(wǎng)中接入認(rèn)證的安全模型實(shí)現(xiàn)方法���,其特征在于其安全模型的實(shí)現(xiàn)具體如下a.將認(rèn)證服務(wù)器部署在對(duì)等P2P架構(gòu)的移動(dòng)互聯(lián)網(wǎng)中,認(rèn)證服務(wù)器部署在P2P網(wǎng)絡(luò)的節(jié)點(diǎn)上��;b.將整個(gè)P2P網(wǎng)絡(luò)分成多個(gè)管理域�����,每個(gè)域管理域設(shè)置一個(gè)管理服務(wù)器�,掌握其所在域的拓?fù)淝闆r,掌握所在域認(rèn)證服務(wù)器的負(fù)載情況�;c.在管理服務(wù)器上,部署流量清洗中心����,當(dāng)流量異常時(shí)或用戶非法注冊(cè)時(shí)啟動(dòng)進(jìn)行數(shù)據(jù)包丟棄���;d.采用認(rèn)證與密鑰協(xié)商AKA機(jī)制進(jìn)行接入認(rèn)證,實(shí)現(xiàn)用戶與網(wǎng)絡(luò)的雙向認(rèn)證���,認(rèn)證與密鑰協(xié)商機(jī)制在基于P2P架構(gòu)部署的服務(wù)器上的認(rèn)證過(guò)程如下dl.用戶終端向管理節(jié)點(diǎn)發(fā)起認(rèn)證請(qǐng)求��;d2.管理節(jié)點(diǎn)接受到認(rèn)證請(qǐng)求信息���,進(jìn)行初步的檢查;若合法��,則選擇一個(gè)服務(wù)器A����,轉(zhuǎn)發(fā)認(rèn)證請(qǐng)求信息到該服務(wù)器A,同時(shí)在流量異常情況下開(kāi)啟流量清洗中心�;若不合法,釋放連接����,拒絕認(rèn)證請(qǐng)求;d3.服務(wù)器A收到管理服務(wù)器的信息后��,檢查用戶的請(qǐng)求信息是否是本地的;如果是本地的則發(fā)起認(rèn)證過(guò)程����,如果否���,則在P2P網(wǎng)絡(luò)中將該信息轉(zhuǎn)發(fā)給其歸屬地的服務(wù)器B���;d4.若服務(wù)器B在線,則生成認(rèn)證向量發(fā)送給服務(wù)器A��,若服務(wù)器B不在線��,則由服務(wù)器A轉(zhuǎn)發(fā)至備份服務(wù)器C��,由備份服務(wù)器C生成認(rèn)證信息轉(zhuǎn)發(fā)給服務(wù)器A�;d5.服務(wù)器A發(fā)送認(rèn)證信息和支持的算法版本到用戶終端;d6.用戶首先驗(yàn)證網(wǎng)絡(luò)的合法性���,若合法�,選擇自己支持的算法本版���,發(fā)送給服務(wù)器A����;若不合法,結(jié)束認(rèn)證過(guò)程�;d7.服務(wù)器A驗(yàn)證用戶的合法性,若合法�,保存雙方協(xié)商好的算法,認(rèn)證結(jié)束����;若不合法斷開(kāi)用戶的連接。全文摘要在移動(dòng)互聯(lián)網(wǎng)中部署P2P架構(gòu)的認(rèn)證服務(wù)器���,利用AKA認(rèn)證機(jī)制來(lái)解決移動(dòng)互聯(lián)網(wǎng)的接入認(rèn)證安全����。對(duì)AKA在移動(dòng)互聯(lián)網(wǎng)中的具體流程進(jìn)行描述����,并利用socket,通過(guò)C語(yǔ)言編程實(shí)現(xiàn)整個(gè)認(rèn)證過(guò)程�����。通過(guò)結(jié)合P2P技術(shù)等分布式技術(shù),來(lái)實(shí)現(xiàn)移動(dòng)互聯(lián)網(wǎng)的核心架構(gòu)����,運(yùn)營(yíng)商可以建立可擴(kuò)展的、并且能夠提供多媒體應(yīng)用和內(nèi)容應(yīng)用的電信級(jí)網(wǎng)絡(luò)能力平臺(tái)�。基于P2P技術(shù)的架構(gòu)在單個(gè)節(jié)點(diǎn)實(shí)效的情況下依然能夠?yàn)橛脩籼峁┓?wù)�。通過(guò)P2P技術(shù)��,移動(dòng)互聯(lián)網(wǎng)能夠?yàn)闃I(yè)務(wù)實(shí)現(xiàn)匯聚網(wǎng)絡(luò)帶寬資源�����,從而提高業(yè)務(wù)流量的吞吐能力����。P2P技術(shù)是移動(dòng)互聯(lián)網(wǎng)的發(fā)展方向。故在基于P2P架構(gòu)下對(duì)AKA認(rèn)證機(jī)制的研究實(shí)現(xiàn)非常具有現(xiàn)實(shí)意思�����。文檔編號(hào)H04W12/08GK102256252SQ201110196990公開(kāi)日2011年11月23日申請(qǐng)日期2011年7月14日優(yōu)先權(quán)日2011年7月14日發(fā)明者孫力娟,徐國(guó)興,李鵬,林巧民,王汝傳,肖甫,邵星,韓志杰申請(qǐng)人:南京郵電大學(xué)