專利名稱:抗阻塞攻擊的終端連接建立方法和終端訪問認證系統(tǒng)的制作方法
技術領域:
本發(fā)明屬于一種用戶終端訪問通信服務網(wǎng)絡的登錄方法及其實現(xiàn)系統(tǒng)���,尤其是一種用于對抗阻塞攻擊的在入網(wǎng)用戶終端與網(wǎng)絡接入終端之間建立連接的方法和終端訪問 認證實現(xiàn)系統(tǒng)����。
背景技術:
伴隨著網(wǎng)絡技術的發(fā)展和網(wǎng)絡通信的普及,網(wǎng)絡安全已經(jīng)日益成為人們關注的焦 點����。當前網(wǎng)絡面臨的安全威脅主要來自于黑客攻擊、網(wǎng)絡缺陷���、軟件漏洞以及管理欠缺等���。 由網(wǎng)絡黑客或計算機病毒發(fā)起的阻塞攻擊是其中較難防范的一種?����!白枞簟庇址Q“拒絕服務攻擊”��。它是這樣一種網(wǎng)絡攻擊當通信網(wǎng)絡在受到這 種形式的攻擊以后��,部分或全部喪失了正常服務響應能力��,不再繼續(xù)向“合法授權用戶提供 承諾的網(wǎng)絡服務”。由少量攻擊者發(fā)起的阻塞攻擊的主要形式包括TCP同步風暴攻擊��、ICMP 廣播風暴攻擊����、UDP服務攻擊、流量反彈攻擊�、入侵檢測攻擊等。在TCP同步風暴攻擊中�����,攻擊者發(fā)送大量的半連接�����,且連接的源地址是偽造的�����,這 樣服務器在將確認消息返回給用戶時將不會收到偽造源地址用戶的確認����,這時服務器只能 等待并不斷重發(fā)確認消息��,直到這種半連接超時。攻擊者在短時間內(nèi)持續(xù)發(fā)送大量偽造了 源地址的半連接請求�����,必然使服務器過載而不能提供服務�����。在ICMP廣播攻擊中����,攻擊者發(fā)送大量目的地址指向高速局域網(wǎng)廣播地址,源地址 指向受害主機的ICMP反射請求廣播包���,從而引發(fā)目的局域網(wǎng)大量廣播包反射到受害主機��, 造成受害主機網(wǎng)絡阻塞��。在UDP服務攻擊中��,攻擊者通過多個服務器向受害主機海量發(fā)送不限速的UDP包�, 將受害主機淹沒在不斷涌入的垃圾數(shù)據(jù)中���,使得正常的網(wǎng)絡服務被阻塞���。在流量反彈攻擊中�,攻擊者通過多個服務器向海量反彈服務器發(fā)送源地址為偽造 的受害主機的攻擊數(shù)據(jù)�,通過反彈服務器的正常服務,將海量垃圾服務應答數(shù)據(jù)匯聚于受 害主機����,將受害主機淹沒在不斷涌入的垃圾數(shù)據(jù)中,使得正常的網(wǎng)絡服務被阻塞�����。在入侵檢測攻擊中�����,攻擊者故意發(fā)送含有特殊字符串的數(shù)據(jù)包����,使得受害主機的 入侵檢測系統(tǒng)誤認為發(fā)現(xiàn)入侵而產(chǎn)生大量警告,最終使入侵檢測系統(tǒng)超過記錄能力而過載 或崩潰�,從而掩蓋真正的網(wǎng)絡入侵行為?��?偨Y阻塞攻擊的種種形式不難發(fā)現(xiàn)����,造成拒絕服務的原理就是利用網(wǎng)絡協(xié)議的缺 陷���,使受害主機或主機網(wǎng)絡過載而失去服務響應能力�����。而為了保證通信網(wǎng)絡的“授權用戶始 終能夠獲得網(wǎng)絡服務”��,通信網(wǎng)絡系統(tǒng)必須能夠抵抗這種“阻塞攻擊”�。通信網(wǎng)絡系統(tǒng)的網(wǎng)絡業(yè)務服務���,邏輯上是通過網(wǎng)絡接入終端來提供的�。當用戶需 要某種網(wǎng)絡服務時���,其入網(wǎng)用戶終端首先建立起與網(wǎng)絡接入終端的通信連接���,然后進行單 向或雙向的數(shù)據(jù)信息交流,實現(xiàn)網(wǎng)絡業(yè)務服務�,最后當結束服務時關閉通信連接。作為用戶 終端獲得網(wǎng)絡訪問服務的門戶���,網(wǎng)絡接入終端是辨識合法用戶和非法流量的最佳位置�����,同 時也是網(wǎng)絡系統(tǒng)中最容易遭受阻塞攻擊的部位之一���。
通信網(wǎng)絡接入終端被設計為向大量用戶終端提供網(wǎng)絡訪問服務���。作為一個合理的 假設,其配置應該滿足最大設計數(shù)量用戶終端同時申請入網(wǎng)的峰值業(yè)務量需求�。在此前提 下如果網(wǎng)絡接入終端仍然發(fā)生了過載,必然是同時到達了大量虛假用戶終端的網(wǎng)絡訪問�����, 處理這些虛假用戶終端網(wǎng)絡訪問所需要的運算量超出了網(wǎng)絡接入終端配置的處理能力����。因 此為了對抗阻塞攻擊,必須能夠動態(tài)限制用戶終端的網(wǎng)絡訪問負載量�,同時能夠懲罰單個 終端假冒多個終端身份的行為。目前的系統(tǒng)多采用序列號和口令保護的方式來進行用戶身份認證��,確保用戶和終 端的真實性���。這種方式要求用戶和網(wǎng)絡終端共享相同的口令數(shù)據(jù)���,并且序列號和口令數(shù)據(jù) 需要在網(wǎng)絡中以明文方式傳輸�,極易被截獲和假冒��。如果事先建立加密信道��,將序列號和口 令數(shù)據(jù)在加密信道中傳輸��,固然可以防范敏感數(shù)據(jù)被非法截獲���,但是建立加密信道的過程 本身計算量很大,足以被非法用戶 用于發(fā)起阻塞攻擊�。另一些系統(tǒng)采用密碼學身份認證來確保用戶身份的唯一合法性。比如基于智能卡 的身份認證系統(tǒng)�����,智能卡中存儲了用戶私鑰和網(wǎng)絡公鑰�。用戶使用自己的私鑰對認證數(shù)據(jù) 簽名,再用網(wǎng)絡公鑰對數(shù)字簽名加密����;網(wǎng)絡端必須使用自己的私鑰解密數(shù)據(jù)����,再用用戶的公 鑰驗證簽名����。然而這種密碼學身份認證運算量很大,例如產(chǎn)生或驗證一個1024位的RSA公 開密鑰算法加密的數(shù)字簽名��,奔騰IV-2G的臺式機需要1 2秒的時間����。因此身份認證過 程本身常成為阻塞攻擊的目標。例如用戶以隨機產(chǎn)生的數(shù)據(jù)作為自己的身份數(shù)據(jù)要求進行身份認證��,網(wǎng)絡接入終 端需要花費大量處理能力才能證實該身份數(shù)據(jù)是非法的�。如果用戶用不斷變化的隨機數(shù)據(jù) 來作為自己的身份標志,持續(xù)要求網(wǎng)絡接入終端進行大運算量的密碼學驗證���。這樣攻擊者 只需要很少的開銷�����,就可以迫使網(wǎng)絡接入終端不得不執(zhí)行大規(guī)模的運算�����,最終導致網(wǎng)絡接 入終端過載���,達到阻塞系統(tǒng)的目的���。在基于IP的路由器網(wǎng)絡中,如果用戶終端與服務器不在同一個網(wǎng)段����,那么只有目 標地址與用戶終端地址相同的分組包才能被路由器正確轉(zhuǎn)發(fā)到用戶終端���。這樣服務器可以 通過給要求服務的用戶終端發(fā)送一個“甜餅”����,并要求用戶終端回發(fā)給服務器來驗證用戶終 端的唯一性�。該小甜餅與用戶終端的網(wǎng)絡地址相關聯(lián)。如果用戶提供了虛假的網(wǎng)絡地址�����, 那么它將不能收到服務器生成的小甜餅���,從而避免了后繼的網(wǎng)絡應答操作�����。但是這種方法不適用于廣播網(wǎng)絡����,或處于同一個廣播域中的網(wǎng)絡。因為此時用戶 總能收到服務器生成的小甜餅�����,使得入網(wǎng)過程能夠繼續(xù)進行���。隨著局域網(wǎng)規(guī)模的擴大和長 距離無線網(wǎng)絡的規(guī)模應用�����,需要向越來越大的廣播網(wǎng)絡或網(wǎng)絡廣播域中的各種不同身份用 戶提供網(wǎng)絡服務�,基于小甜餅交換的終端身份驗證方法就不再有效�����。
發(fā)明內(nèi)容
本發(fā)明的目的就是提供一種同時適用于路由網(wǎng)絡和廣播網(wǎng)絡����、性能穩(wěn)定可靠并且 簡單易于實施的�、基于計算量的����、在入網(wǎng)用戶終端與網(wǎng)絡接入終端之間建立連接的方法和 終端訪問認證實現(xiàn)系統(tǒng)。本發(fā)明的入網(wǎng)用戶終端與網(wǎng)絡接入終端建立連接的方法是網(wǎng)絡接入終端通過與 入網(wǎng)用戶終端多次交換信息��,建立入網(wǎng)用戶終端和網(wǎng)絡接入終端之間的通信連接��,同時防 范入網(wǎng)用戶終端以虛構的多重身份發(fā)動阻塞攻擊�,其特征在于,該方法將網(wǎng)絡接入終端和入網(wǎng)用戶終端之間的信息交換分成六個步驟第一步入網(wǎng)用戶終端以明文方式發(fā)送包括用戶密鑰種子矢量的入網(wǎng)請求報文�;第二步網(wǎng)絡接入終端以明文方式發(fā)送網(wǎng)絡密鑰種子矢 量;第三步網(wǎng)絡接入終端收到入網(wǎng)用戶終端發(fā)來的入網(wǎng)請求報文后�,為入網(wǎng)用戶終端分配 終端登錄令牌�����,以密文方式發(fā)送包括用戶入網(wǎng)請求報文摘要和終端登錄令牌的入網(wǎng)應答報 文�,所述密文加密密鑰包含用戶密鑰種子矢量、網(wǎng)絡密鑰種子矢量和密鑰調(diào)料的信息��;第四 步入網(wǎng)用戶終端解密收到的每一個入網(wǎng)應答報文���,通過比較解密后明文信息中的用戶入網(wǎng) 請求報文摘要���,識別出針對自己的入網(wǎng)應答報文�,取得網(wǎng)絡終端提供的終端登錄令牌����;第五 步入網(wǎng)用戶終端向網(wǎng)絡接入終端發(fā)送包括終端登錄令牌識別信息的登錄報文;第六步網(wǎng)絡 接入終端收到登錄報文后��,驗證登錄報文中包含正確的終端登錄令牌識別信息���,確認入網(wǎng) 用戶終端合法�����,完成通信連接的建立���,為其分配連接資源。本發(fā)明改進的方法是網(wǎng)絡接入終端通過與入網(wǎng)用戶終端多次交換信息����,建立入 網(wǎng)用戶終端和網(wǎng)絡接入終端之間的通信連接,同時防范入網(wǎng)用戶終端以虛構的多重身份發(fā) 動阻塞攻擊�����,其特征在于,該方法將網(wǎng)絡接入終端和入網(wǎng)用戶終端之間的信息交換分成六 個步驟第一步入網(wǎng)用戶終端以明文方式發(fā)送包括終端用戶證書和用戶密鑰種子矢量的入 網(wǎng)請求報文����;第二步網(wǎng)絡接入終端收到入網(wǎng)用戶終端發(fā)來的入網(wǎng)請求報文后,使用終端用 戶證書中載明的終端用戶公開密鑰加密網(wǎng)絡密鑰種子矢量���,將加密后的網(wǎng)絡密鑰種子矢量 密文發(fā)送給入網(wǎng)用戶終端��;第三步網(wǎng)絡接入終端收到入網(wǎng)用戶終端發(fā)來的入網(wǎng)請求報文 后�����,還為入網(wǎng)用戶終端分配終端登錄令牌����,以密文方式發(fā)送包括用戶入網(wǎng)請求報文摘要和 終端登錄令牌的入網(wǎng)應答報文���,所述密文加密密鑰包含用戶密鑰種子矢量、網(wǎng)絡密鑰種子 矢量和密鑰調(diào)料的信息�;第四步入網(wǎng)用戶終端解密收到的每一個入網(wǎng)應答報文,通過比較 解密后明文信息中的用戶入網(wǎng)請求報文摘要�,識別出針對自己的入網(wǎng)應答報文����,取得網(wǎng)絡 終端提供的登錄令牌��;第五步入網(wǎng)用戶終端向網(wǎng)絡接入終端發(fā)送包括終端登錄令牌識別信 息的登錄報文����;第六步網(wǎng)絡接入終端收到登錄報文后,驗證登錄報文中包含正確的終端登 錄令牌識別信息��,確認入網(wǎng)用戶終端合法���,完成通信連接的建立����,為其分配連接資源�����。本發(fā)明進一步改進的方法的特征在于所述的用戶密鑰種子矢量中包括報文當前 發(fā)送時間����。本發(fā)明再進一步改進的方法的特征在于所述的網(wǎng)絡密鑰種子矢量中包括報文當 前發(fā)送時間。本發(fā)明更進一步改進的方法的特征在于所述的登錄令牌中除了包括登錄令牌識 別號以外還包括用于后續(xù)通信的會話密鑰���。本發(fā)明改進的方法的特征還在于所述的登錄令牌中除了包括登錄令牌識別號以 外還包括指定的登錄時間����。本發(fā)明還提出了一種終端訪問認證實現(xiàn)系統(tǒng),包括入網(wǎng)用戶終端和網(wǎng)絡接入終 端�,其中網(wǎng)絡接入終端通過與入網(wǎng)用戶終端多次交換信息,建立入網(wǎng)用戶終端和網(wǎng)絡接入 終端之間的通信連接����,同時防范入網(wǎng)用戶終端以虛構的多重身份發(fā)動阻塞攻擊。所述網(wǎng) 絡接入終端包括數(shù)據(jù)收發(fā)裝置(131)����,用于接收入網(wǎng)用戶終端發(fā)送的包括用戶密鑰種子 矢量的入網(wǎng)請求報文,以明文方式發(fā)送網(wǎng)絡密鑰種子矢量�����,發(fā)送加密的入網(wǎng)應答報文�,和 接收入網(wǎng)用戶終端發(fā)送的登錄報文;微處理器模塊(132)��,用于在接收到入網(wǎng)用戶終端發(fā) 送的入網(wǎng)請求報文之后�,計算用戶入網(wǎng)請求報文摘要����,為入網(wǎng)用戶終端準備登錄令牌和密鑰調(diào)料����,加密包括用戶入網(wǎng)請求報文摘要和登錄令牌的入網(wǎng)應答報文�,所述的加密密鑰包括用戶密鑰種子矢量、網(wǎng)絡密鑰種子矢量和密鑰調(diào)料的信息����,和在接收到入網(wǎng)用戶終端發(fā) 送的登錄報文之后,驗證登錄報文中包含正確的登錄令牌識別信息�,確認入網(wǎng)用戶終端合 法。所述入網(wǎng)用戶終端包括數(shù)據(jù)收發(fā)裝置(113)���,用于以明文方式發(fā)送包括用戶密鑰種子 矢量的入網(wǎng)請求報文����,接收由網(wǎng)絡接入終端發(fā)送的網(wǎng)絡密鑰種子矢量���,接收網(wǎng)絡接入終端 發(fā)送的入網(wǎng)應答報文���,并向網(wǎng)絡接入終端發(fā)送包括登錄令牌識別信息的登錄報文;隨機數(shù) 據(jù)存儲器(114)�����,用于存儲所述用戶密鑰種子矢量和網(wǎng)絡密鑰種子矢量;和微處理器模塊 (112)���,用于根據(jù)其用戶密鑰種子矢量����、網(wǎng)絡密鑰種子矢量和密鑰調(diào)料信息生成解密密鑰����, 解密收到的入網(wǎng)應答報文密文,獲得入網(wǎng)應答報文明文�����,根據(jù)上述解密結果�,識別出針對自 己的入網(wǎng)應答報文,獲得分配給自己的終端登錄令牌���,并將所述終端登錄令牌識別信息包 括在所述登錄報文中����。本發(fā)明的進一步改進的終端訪問認證實現(xiàn)系統(tǒng)包括入網(wǎng)用戶終端和網(wǎng)絡接入終 端,其中網(wǎng)絡接入終端通過與入網(wǎng)用戶終端多次交換信息���,建立入網(wǎng)用戶終端和網(wǎng)絡接入 終端之間的通信連接,同時防范入網(wǎng)用戶終端以虛構的多重身份發(fā)動阻塞攻擊��。所述網(wǎng)絡 接入終端包括數(shù)據(jù)收發(fā)裝置(131)����,用于接收入網(wǎng)用戶終端發(fā)送的包括用戶密鑰種子矢 量的入網(wǎng)請求報文,發(fā)送以終端用戶公開密鑰加密的網(wǎng)絡密鑰種子矢量密文�����,發(fā)送入網(wǎng)應 答報文��,和接收入網(wǎng)用戶終端發(fā)送的登錄報文�;微處理器模塊(132),用于在接收到入網(wǎng)用 戶終端發(fā)送的入網(wǎng)請求報文之后�����,計算用戶入網(wǎng)請求報文摘要���,為入網(wǎng)用戶終端準備登錄 令牌和密鑰調(diào)料����,和在接收到入網(wǎng)用戶終端發(fā)送的登錄報文之后,驗證登錄報文中包含正 確的登錄令牌識別信息����,確認入網(wǎng)用戶終端合法;和密碼運算協(xié)處理器模塊(136)����,用于在 接收到入網(wǎng)用戶終端發(fā)送的入網(wǎng)請求報文之后,以終端用戶公開密鑰加密網(wǎng)絡密鑰種子矢 量�,根據(jù)用戶密鑰種子矢量、網(wǎng)絡密鑰種子矢量和密鑰調(diào)料信息生成加密密鑰�����,并加密包括 用戶入網(wǎng)請求報文摘要和登錄令牌的入網(wǎng)應答報文����。所述入網(wǎng)用戶終端包括數(shù)據(jù)收發(fā)裝 置(113),用于以明文方式發(fā)送包括用戶密鑰種子矢量的入網(wǎng)請求報文���,接收由網(wǎng)絡接入終 端發(fā)送的網(wǎng)絡密鑰種子矢量密文�����,接收網(wǎng)絡接入終端發(fā)送的入網(wǎng)應答報文����,并向網(wǎng)絡接入 終端發(fā)送包括登錄令牌識別信息的登錄報文;隨機數(shù)據(jù)存儲器(114)�����,用于存儲所述用戶 密鑰種子矢量和網(wǎng)絡密鑰種子矢量����;密碼運算協(xié)處理器(115)����,用于以終端用戶的私鑰來 解密接收到的網(wǎng)絡密鑰種子矢量密文,根據(jù)用戶密鑰種子矢量��、網(wǎng)絡密鑰種子矢量和密鑰 調(diào)料信息生成解密密鑰�����,和解密收到的入網(wǎng)應答報文密文���,獲得入網(wǎng)應答報文明文���;和微處 理器模塊(112)�����,根據(jù)上述解密結果����,識別出針對自己的入網(wǎng)應答報文�����,獲得分配給自己的 終端登錄令牌���,并將所述終端登錄令牌識別信息包括在所述登錄報文中��。本發(fā)明的優(yōu)點在于1.能夠抵抗拒絕服務攻擊本發(fā)明中提供網(wǎng)絡服務的網(wǎng)絡接入終端只接收用戶端發(fā)來的明文報文���,分析和處 理報文的計算量小,接收處理工作可以實時完成��,即使到達大量申請報文也不會過載��。網(wǎng)絡接入終端只需要保留全局性的終端登錄令牌信息���,在完成用戶合法性認證前 完全不保留與特定用戶相關的信息���,因此不會出現(xiàn)緩存溢出現(xiàn)象����。加密運算只需要針對需要實際發(fā)出的入網(wǎng)應答報文數(shù)據(jù)進行��,并且只需要采用計 算速度很快的對稱加密算法��,即使不是用硬件加速也能夠?qū)崿F(xiàn)實時運算���,不會因為執(zhí)行了密碼運算而造成處理量過載。2.用戶假冒多個終端身份代價極高本發(fā)明第三步中網(wǎng)絡接入終端使用密文方式發(fā)送入網(wǎng)應答報文��。用戶必須使用與 自己發(fā)送的用戶密鑰種子矢量和接收到的網(wǎng)絡密鑰種子矢量相對應的解密密鑰�����,實時解密 收到的每一個入網(wǎng)應答報文���,才能獲得用戶終端登錄令牌信息����,繼續(xù)進行以后的信息交換 步驟。如果密鑰調(diào)料不為零�����,用戶還必須進行多次解密嘗試�,才能獲得正確的登錄令牌。而 對于假冒了多個入網(wǎng)用戶終端身份的用戶����,它必須同時使用與多個用戶密鑰種子矢量對應 的多個解密密鑰,同時實時并行嘗試解密收到的每一個入網(wǎng)應答報文��。假冒的用戶數(shù)量增 加時�,計算量和數(shù)據(jù)存儲量將超線性增大,對實時運算能力的要求也以接近平方關系的比 例相應提高����。例如對于一個假冒了 100個虛假終端的用戶終端來說,它的影響只是使 設計 同時服務于1000個入網(wǎng)登錄用戶的網(wǎng)絡接入終端增加了 10%的工作負荷�,至多瞬間進入 比較飽滿的工作狀態(tài),卻對非法用戶終端自己產(chǎn)生了近萬倍的計算量和數(shù)據(jù)存儲量要求��。3.適用范圍廣泛本發(fā)明六個步驟所進行的信息交換都假定在不安全的傳輸環(huán)境下進行�,沒有限定 信息交換與網(wǎng)絡地址是否相關。與傳統(tǒng)的基于“甜餅交換”的認證方法相比����,“甜餅交換”認 證協(xié)議只有當用戶終端與認證服務器不在同一個路由廣播域時��,非法用戶終端才收不到認 證服務器發(fā)出的“甜餅”���,認證方法才有效。本發(fā)明假定非法用戶終端總是能夠收到所有交 互信息�,在此假設下仍然具有良好的針對非法用戶的計算懲罰效果,因此沒有“甜餅交換” 協(xié)議對路由廣播域的限制���。4.易于與其他身份認證技術相結合大多數(shù)身份認證技術都需要使用計算量極大的非對稱密碼算法�����,或者使用復雜的 密鑰分發(fā)技術。如果不能事先確保認證過程是一對一實時進行��,很容易招致拒絕服務攻擊���。 本發(fā)明的網(wǎng)絡接入終端無需事先知道任何入網(wǎng)用戶終端的知識�,就可以杜絕單個用戶終端 假冒多個用戶終端身份�����,不需要其他普通身份認證技術做任何改變,就可以彌補易于遭到 拒絕服務攻擊的不足�����。5.易于實施采用本發(fā)明的方法��,只需要在入網(wǎng)用戶終端和網(wǎng)絡接入終端之間分6個步驟���、進 行2次往返報文交換�,就可以完成終端唯一性識別工作��。所有工作只需要一個普通的嵌入 式微處理器系統(tǒng)就可以勝任����。如果采用個人計算機系統(tǒng)或其他高性能計算機系統(tǒng)來實現(xiàn)則 更加方便。
圖1是本發(fā)明的一個實施方案系統(tǒng)結構和數(shù)據(jù)信息傳遞示意圖����。圖2是本發(fā)明的方法步驟和各步驟所傳遞數(shù)據(jù)信息示意圖。圖3是本發(fā)明改進的方法步驟和各步驟所傳遞數(shù)據(jù)信息示意圖��。圖4是本發(fā)明進一步改進的方法步驟和各步驟所傳遞數(shù)據(jù)信息示意圖��。圖5是本發(fā)明進一步改進的方法步驟和各步驟所傳遞數(shù)據(jù)信息示意圖�。圖6是本發(fā)明進一步改進的方法步驟和各步驟所傳遞數(shù)據(jù)信息示意圖�����。圖7是本發(fā)明進一步改進的方法步驟和各步驟所傳遞數(shù)據(jù)信息示意圖����。
圖8是本發(fā)明進一步改進的方法步驟和各步驟所傳遞數(shù)據(jù)信息示意圖��。圖9是本發(fā)明進一步改進的方法步驟和各步驟所傳遞數(shù)據(jù)信息示意圖����。圖10是本發(fā)明進一步改進的方法步驟和各步驟所傳遞數(shù)據(jù)信息示意圖。圖11是本發(fā)明進一步改進的方法步驟和各步驟所傳遞數(shù)據(jù)信息示意圖����。圖12用于本發(fā)明的入網(wǎng)用戶終端入網(wǎng)請求報文內(nèi)容示意圖。圖13用于本發(fā)明的入網(wǎng)用戶終端改進的入網(wǎng)請求報文內(nèi)容示意圖�。圖14用于本發(fā)明的入網(wǎng)用戶終端進一步改進的入網(wǎng)請求報文內(nèi)容示意圖。圖15用于本發(fā)明的入網(wǎng)用戶終端進一步改進的入網(wǎng)請求報文內(nèi)容示意圖�����。圖16用于本發(fā)明的網(wǎng)絡接入終端的網(wǎng)絡密鑰種子矢量報文內(nèi)容構成示意圖����。圖17用于本發(fā)明的網(wǎng)絡接入終端改進的網(wǎng)絡密鑰種子矢量報文內(nèi)容構成示意 圖。圖18用于本發(fā)明的網(wǎng)絡接入終端進一步改進的網(wǎng)絡密鑰種子矢量報文內(nèi)容構成 示意圖�����。圖19用于本發(fā)明的網(wǎng)絡接入終端進一步改進的網(wǎng)絡密鑰種子矢量報文內(nèi)容構成 示意圖�����。圖20用于本發(fā)明的網(wǎng)絡接入終端的入網(wǎng)應答報文內(nèi)容示意圖���。圖21用于本發(fā)明的網(wǎng)絡接入終端改進的入網(wǎng)應答報文內(nèi)容示意圖��。圖22用于本發(fā)明的網(wǎng)絡接入終端進一步改進的入網(wǎng)應答報文內(nèi)容示意圖�����。圖23用于本發(fā)明的網(wǎng)絡接入終端進一步改進的入網(wǎng)應答報文內(nèi)容示意圖�����。圖24用于本發(fā)明的入網(wǎng)用戶終端的登錄報文內(nèi)容示意圖��。圖25用于本發(fā)明的入網(wǎng)用戶終端改進的登錄報文內(nèi)容示意圖��。圖26用于本發(fā)明的入網(wǎng)用戶終端進一步改進的登錄報文內(nèi)容示意圖�。圖27用于本發(fā)明的入網(wǎng)用戶終端進一步改進的登錄報文內(nèi)容示意圖。圖28用于本發(fā)明的改進的終端登錄令牌的內(nèi)容示意圖���。圖29用于本發(fā)明的改進的終端登錄令牌的內(nèi)容示意圖���。圖30用于本發(fā)明的改進的終端登錄令牌的內(nèi)容示意圖。圖31用于本發(fā)明的改進的終端登錄令牌的內(nèi)容示意圖��。圖32用于本發(fā)明的改進的終端登錄令牌的內(nèi)容示意圖�����。圖33用于本發(fā)明的改進的終端登錄令牌的內(nèi)容示意圖��。圖34用于本發(fā)明的改進的終端登錄令牌的內(nèi)容示意圖��。圖35用于本發(fā)明的改進的終端登錄令牌的內(nèi)容示意圖���。圖36用于本發(fā)明的改進的終端登錄令牌的內(nèi)容示意圖�。圖37是本發(fā)明一個改進的實施方案系統(tǒng)結構和數(shù)據(jù)信息傳遞示意圖�。圖38是本發(fā)明進一步改進的實施方案系統(tǒng)結構和數(shù)據(jù)信息傳遞示意圖。
具體實施例方式本發(fā)明的實施方案如下本發(fā)明的一個實施方案系統(tǒng)如圖1所示���,其中包括入網(wǎng)用戶終端11��、網(wǎng)絡接入終端13����、以及位于入網(wǎng)用戶終端11和網(wǎng)絡接入終端13之間的傳輸鏈路12���,所述的入網(wǎng)用戶終端11內(nèi)部又包括用戶終端配置存儲器111���、微處理器模塊112、數(shù)據(jù)收發(fā)裝置113和隨機 數(shù)據(jù)存儲器114���,所述的網(wǎng)絡接入終端13又包括數(shù)據(jù)收發(fā)裝置131����、微處理器模塊132�、網(wǎng)間 接口收發(fā)模塊133、網(wǎng)絡接入終端配置存儲器134和登錄用戶數(shù)據(jù)庫模塊135��。本發(fā)明的一個改進的實施方案系統(tǒng)如圖37所示���,其中包括入網(wǎng)用戶終端11A�、網(wǎng)絡接入終端13A、以及入網(wǎng)用戶終端與網(wǎng)絡接入終端之間的傳輸鏈路12�����,所述的入網(wǎng)用戶 終端IlA內(nèi)部又包括用戶終端配置存儲器111�、微處理器模塊112、數(shù)據(jù)收發(fā)裝置113���、隨機 數(shù)據(jù)存儲器114和密碼運算協(xié)處理器115����,所述的網(wǎng)絡接入終端13A又包括數(shù)據(jù)收發(fā)裝置 131���、微處理器模塊132�、網(wǎng)間數(shù)據(jù)收發(fā)模塊133�、網(wǎng)絡接入終端配置存儲器134、登錄用戶數(shù) 據(jù)庫模塊135和密碼運算協(xié)處理器模塊136��。本發(fā)明進一步改進的實施方案系統(tǒng)如圖38所示�����,其中包括入網(wǎng)用戶終端11B�、網(wǎng) 絡接入終端13B�、以及入網(wǎng)用戶終端與網(wǎng)絡接入終端之間的傳輸鏈路12���,所述的入網(wǎng)用戶 終端IlB內(nèi)部又包括數(shù)據(jù)收發(fā)裝置113、入網(wǎng)請求裝置11B1��、解密搜索裝置11B2��、登錄認證 發(fā)送裝置11B5和隨機數(shù)據(jù)存儲器114�,所述的網(wǎng)絡接入終端13B又包括數(shù)據(jù)收發(fā)裝置131、 入網(wǎng)應答裝置13B2�����、報文加密裝置13B3�、登錄認證裝置13B4和登錄用戶數(shù)據(jù)庫模塊135。第一實施例入網(wǎng)用戶終端11與網(wǎng)絡接入終端13之間的登錄連接的建立過程包括如圖2所示 的步驟S11-S16�����。入網(wǎng)用戶終端為了與網(wǎng)絡接入終端建立連接��,第一步驟(Sll)是入網(wǎng)用戶終端以 明文方式發(fā)送包括用戶密鑰種子矢量的入網(wǎng)請求報文�����。入網(wǎng)用戶終端11中的微處理器模 塊112根據(jù)用戶終端配置存儲器111中的配置內(nèi)容生成用戶密鑰種子矢量211,然后通過數(shù) 據(jù)收發(fā)裝置113以明文方式向網(wǎng)絡接入終端13發(fā)送入網(wǎng)請求報文21����,所述的入網(wǎng)請求報文 21內(nèi)容包括所確定的用戶密鑰種子矢量211和其他信息213,同時在隨機數(shù)據(jù)存儲器114 中記錄用戶密鑰種子矢量211�,隨后微處理器模塊112計算入網(wǎng)請求報文21的摘要214并 存入隨機數(shù)據(jù)存儲器114中。第二步驟(S12)���,網(wǎng)絡接入終端以明文方式發(fā)送網(wǎng)絡密鑰種子矢量�����。網(wǎng)絡接入終端 13中的微處理器模塊132根據(jù)網(wǎng)絡接入終端配置存儲器134中的配置內(nèi)容生成網(wǎng)絡密鑰 種子矢量221�,然后通過數(shù)據(jù)收發(fā)裝置131以明文方式向入網(wǎng)用戶終端11發(fā)送報文22��,所 述的報文22內(nèi)容包括所確定的網(wǎng)絡密鑰種子矢量221和其他信息222���。入網(wǎng)用戶終端11 從數(shù)據(jù)收發(fā)裝置113接收到由網(wǎng)絡用戶終端13發(fā)送的包括網(wǎng)絡密鑰種子矢量221的報文 22�,然后在隨機數(shù)據(jù)存儲器114中記錄網(wǎng)絡密鑰種子矢量221�����。第三步驟(S13)���,網(wǎng)絡接入終端13從數(shù)據(jù)收發(fā)裝置131收到入網(wǎng)用戶終端11發(fā) 來的入網(wǎng)請求報文21后��,根據(jù)網(wǎng)絡接入終端配置存儲器134中的配置內(nèi)容為入網(wǎng)用戶終端 11分配終端登錄令牌232��,同時準備密鑰調(diào)料234��,微處理器模塊132還計算用戶入網(wǎng)請求 報文21的摘要231�����,并形成入網(wǎng)應答報文明文23�����,所述的入網(wǎng)應答報文明文23中包括用戶 入網(wǎng)請求報文摘要231�、終端登錄令牌232和其他信息233���。然后以密文方式向入網(wǎng)用戶終 端11發(fā)送包括用戶入網(wǎng)請求報文摘要231和終端登錄令牌232的入網(wǎng)應答報文密文230�, 所述密文的加密密鑰包含用戶密鑰種子矢量211���、網(wǎng)絡密鑰種子矢量221和密鑰調(diào)料234的 fn息ο第四步驟(S14)�����,入網(wǎng)用戶終端11從數(shù)據(jù)收發(fā)裝置113每接收到一個入網(wǎng)應答報文密文230后��,解密入網(wǎng)應答報文密文230�����,得到入網(wǎng)應答報文明文23 ����;入網(wǎng)用戶終端11中 的微處理器模塊112,通過比較解密后的入網(wǎng)應答報文明文23信息中用戶入網(wǎng)請求報文摘 要231與隨機數(shù)據(jù)存儲器114中保存的入網(wǎng)請求報文摘要214相符合�����,識別出針對自己入 網(wǎng)應答報文���,取得網(wǎng)絡接入終端13指配給自己的終端登錄令牌232��,存入隨機數(shù)據(jù)存儲器 114�����。第五步驟(S15)���,入網(wǎng)用戶終端11通過數(shù)據(jù)收發(fā)裝置113向網(wǎng)絡接入終端13發(fā)送登錄報文24����,所述的登錄報文24包括網(wǎng)絡接入終端13頒發(fā)的終端登錄令牌232的識別信 息241和其它信息242����。第六步驟(S16),網(wǎng)絡接入終端13從數(shù)據(jù)收發(fā)裝置131收到入網(wǎng)用產(chǎn)終端11發(fā)回 的登錄報文24以后��,微處理器模塊132驗證登錄報文24中包含正確的終端登錄令牌識別 信息241����,確認入網(wǎng)用戶終端11合法��,完成通信連接的建立���,為其分配連接資源�����,并將用戶 信息存入登錄用戶數(shù)據(jù)庫模塊135�。經(jīng)過上述步驟S11-S16�,入網(wǎng)用戶終端11與網(wǎng)絡接入終端13之間建立了通信連 接,網(wǎng)絡接入終端13可以為入網(wǎng)用戶終端11分配帶寬資源�,繼續(xù)后續(xù)網(wǎng)絡服務����,如通過網(wǎng) 間數(shù)據(jù)收發(fā)模塊133向其它網(wǎng)絡節(jié)點轉(zhuǎn)發(fā)數(shù)據(jù)��,或?qū)木W(wǎng)間數(shù)據(jù)收發(fā)模塊133收到的其他 網(wǎng)絡節(jié)點的數(shù)據(jù)轉(zhuǎn)發(fā)給入網(wǎng)用戶終端11���。第二實施例為了提高入網(wǎng)用戶終端11與網(wǎng)絡接入終端13之間登錄連接建立過程的安全性����, 可以對入網(wǎng)用戶終端11與網(wǎng)絡接入終端13之間登錄連接的建立過程作如下改進�����,如圖3 所示的步驟S21-S26�。入網(wǎng)用戶終端為了與網(wǎng)絡接入終端建立連接,第一步驟(S21)是入網(wǎng)用戶終端以 明文方式發(fā)送包括用戶密鑰種子矢量的入網(wǎng)請求報文�。入網(wǎng)用戶終端11中的微處理器模 塊112根據(jù)用戶終端配置存儲器111中配置的碼字長度和隨機數(shù)種子等內(nèi)容生成一個隨 機數(shù)X,然后由χ進一步生成用戶密鑰種子矢量211 (數(shù)學上記為X)��,X = (χ)�,生成函數(shù) f^x)是包括加、減���、乘����、除、模除�����、異或�����、指數(shù)�����、對數(shù)���、微分、積分�、三角函數(shù)、替換�、擴散、取系 統(tǒng)時間���、附加隨機數(shù)或指定常數(shù)等一種或多種數(shù)學運算的多項式����。然后通過數(shù)據(jù)收發(fā)裝置113以明文方式向網(wǎng)絡接入終端13發(fā)送入網(wǎng)請求報文21, 所述的入網(wǎng)請求報文21內(nèi)容包括所述的用戶密鑰種子矢量211和其他信息213��,同時在隨 機數(shù)據(jù)存儲器114中記錄用戶密鑰種子矢量211����,隨后微處理器模塊112計算所述入網(wǎng)請 求報文21的摘要214并存入隨機數(shù)據(jù)存儲器114中,所述摘要的具體計算方法可以有多種 選擇��,并將這種選擇作為其他信息213的一部分包含在入網(wǎng)請求報文21中�。例如可以節(jié)選 入網(wǎng)請求報文的部分片段;也可以是對入網(wǎng)請求報文內(nèi)容的任何一種運算����,比如入網(wǎng)請求 報文的循環(huán)冗余校驗,或者用戶密鑰種子矢量211的MD5散列值��,或者以用戶密鑰種子矢量 211為加密密鑰��,對入網(wǎng)請求報文21的加密運算結果���。通?��?梢灾灰?guī)定一種計算摘要的簡 單方法����,從而減少入網(wǎng)請求報文21中必須包含的數(shù)據(jù)量�,達到簡化實現(xiàn)復雜度的目的。第二步驟(S22)�,網(wǎng)絡接入終端以明文方式發(fā)送網(wǎng)絡密鑰種子矢量。網(wǎng)絡接入終端 13中的微處理器模塊132根據(jù)網(wǎng)絡接入終端配置存儲器134中配置的碼字長度和隨機數(shù)種 子等內(nèi)容生成一個隨機數(shù)y�,然后由y進一步生成網(wǎng)絡密鑰種子矢量221 (數(shù)學上記為Y), Y = &(7)���,生成函數(shù)&(》是包括加����、減���、乘����、除����、模除、異或����、指數(shù)、對數(shù)��、微分�、積分、三角函數(shù)����、替換、擴散��、取系統(tǒng)時間��、附加隨機數(shù)或指定常數(shù)等一種或多種數(shù)學運算的多項式�。然后通過數(shù)據(jù)收發(fā)裝置131以明文方式向入網(wǎng)用戶終端11發(fā)送報文22,所述的報文22內(nèi)容包括所述的網(wǎng)絡密鑰種子矢量221和其他信息222�。入網(wǎng)用戶終端11從數(shù)據(jù)收 發(fā)裝置113接收到由網(wǎng)絡用戶終端13發(fā)送的包括網(wǎng)絡密鑰種子矢量221的報文22后,在 隨機數(shù)據(jù)存儲器114中記錄網(wǎng)絡密鑰種子矢量221�����。第三步驟(S23)�,網(wǎng)絡接入終端13從數(shù)據(jù)收發(fā)裝置131收到入網(wǎng)用戶終端11發(fā)來 的入網(wǎng)請求報文21后�,根據(jù)網(wǎng)絡接入終端配置存儲器134的配置ζ為入網(wǎng)用戶終端11分 配終端登錄令牌232(數(shù)學上記為Z)�,Z = f3(z),生成函數(shù)f3(z)是包括加����、減、乘���、除���、模除、 異或�����、指數(shù)���、對數(shù)�、微分���、積分���、三角函數(shù)�、替換�����、擴散���、取系統(tǒng)時間、附加隨機數(shù)或指定常數(shù)等 一種或多種數(shù)學運算的多項式��,可以在終端登錄令牌中加入后續(xù)通信的會話密鑰�����,也可以 在終端登錄令牌中加入指定的登錄時間��。同時根據(jù)網(wǎng)絡接入終端配置存儲器134中的配置內(nèi)容為入網(wǎng)用戶終端11隨機生 成密鑰調(diào)料234 (數(shù)學上記為R)��,所述密鑰調(diào)料234為一個m比特的隨機數(shù)��。微處理器模 塊132還計算用戶入網(wǎng)請求報文21的摘要231�,所述的摘要231的計算方法以與第一步驟 中所述的方法相同,然后形成入網(wǎng)應答報文明文23�,所述的入網(wǎng)應答報文明文23中包括用 戶入網(wǎng)請求報文摘要231、終端登錄令牌232和其他信息233��。該入網(wǎng)應答報文明文23經(jīng) 對稱密鑰加密算法加密成密文230后,經(jīng)數(shù)據(jù)收發(fā)裝置131向入網(wǎng)用戶終端11發(fā)送�����。所述 密文230的對稱加密密鑰K包含用戶密鑰種子矢量211�����、網(wǎng)絡密鑰種子矢量221和密鑰調(diào)料 234的信息�����,其生成方法為K = &(乂3�����,1 )��,生成函數(shù)&(乂3���,10是包括加����、減、乘�����、除�����、模除�、 異或��、指數(shù)���、對數(shù)���、微分、積分�����、三角函數(shù)��、替換����、擴散�、取系統(tǒng)時間��、附加隨機數(shù)或指定常數(shù)等 一種或多種數(shù)學運算的多項式��。例如���,直接將X���、Y、R相乘后取模����,得到最后的加密密鑰K; 再比如,將[(X2+Y2) R]作為最后的加密密鑰K �;再比如,加密密鑰K還可以分兩步實現(xiàn)首 先采用常規(guī)的Diffie-Hellman方法��,由X和本地已知的y = Iog(Y)生成一個確定的加密 密鑰Kl = Xy�����,然后與密鑰調(diào)料R異或�,得到最后的加密密鑰K=Kl θ R。所述的加密入網(wǎng)應答報文明文23的對稱密鑰加解密密碼運算算法可以有多種選 擇,并將這種選擇作為其他信息222的一部分包括在第二步驟的報文22中�。例如可以選擇 非常經(jīng)典的國際標準加密算法RC4、DES��、3DES���、IDEA����、AES等��,也可以是新設計的某種未公開 密碼算法��。第四步驟(S24)�����,入網(wǎng)用戶終端11從數(shù)據(jù)收發(fā)裝置113每接收到一個入網(wǎng)應答報 文密文230后����,嘗試窮舉可能的對稱解密密鑰K2解密入網(wǎng)應答報文密文230��,得到入網(wǎng)應 答報文明文23��。所述對稱解密密鑰K2包括用戶密鑰種子矢量211、網(wǎng)絡密鑰種子矢量221 和一個被窮舉出的密鑰調(diào)料S的信息����,其生成方法與第三步驟中的對稱加密密鑰K的生成 方法相當,K2 = f5(X����,Y,S)�,生成函數(shù)f5(X,Y��,S)是包括加����、減、乘���、除����、模除��、異或����、指數(shù)�����、對 數(shù)���、微分、積分����、三角函數(shù)、替換���、擴散、取系統(tǒng)時間��、附加隨機數(shù)或指定常數(shù)等一種或多種數(shù) 學運算的多項式�。例如,直接將X���、Y��、S相乘后取模���,得到最后的對稱解密密鑰K2 �����;再比如����, 將[(X2+Y2) S]作為最后的解密密鑰K2 ��;再比如��,解密密鑰K2還可以分兩步實現(xiàn)首先采 用常規(guī)的Diffie-Hellman方法��,由Y和本地已知的χ = Iog(X)生成一個確定的對稱解密 密鑰Κ3 = Υχ����,然后與密鑰調(diào)料S異或,得到最后的解密密鑰Κ2=Κ3 S�����。入網(wǎng)用戶終端11中的微處理器模塊112��,通過比較解密后的入網(wǎng)應答報文明文23信息中用戶入網(wǎng)請求報文摘要231與隨機數(shù)據(jù)存儲器114中保存的入網(wǎng)請求報文摘要214 相符合�����,識別出針對自己入網(wǎng)應答報文明文23,取得網(wǎng)絡接入終端13指配給自己的終端登 錄令牌232���,存入隨機數(shù)據(jù)存儲器114��。第五步驟(S25)���,入網(wǎng)用戶終端11通過數(shù)據(jù)收發(fā)裝置113向網(wǎng)絡接入終端13發(fā)送 登錄報文24,所述的登錄報文24包括網(wǎng)絡接入終端13頒發(fā)的終端登錄令牌232的識別信 息241和其它信息242��。
0102]第六步驟(S26)�����,網(wǎng)絡接入終端13從數(shù)據(jù)收發(fā)裝置131收到入網(wǎng)用戶終端11發(fā)回 的登錄報文24以后���,微處理器模塊132驗證登錄報文24中包含正確的終端登錄令牌識別 信息241,確認入網(wǎng)用戶終端11合法�����,完成通信連接的建立�,為其分配連接資源����,并將用戶 信息存入登錄用戶數(shù)據(jù)庫模塊135��。經(jīng)過上述步驟S21-S26�,入網(wǎng)用戶終端11與網(wǎng)絡接入終端13之間建立了通信連 接,網(wǎng)絡接入終端13可以為入網(wǎng)用戶終端11分配帶寬資源����,繼續(xù)后續(xù)網(wǎng)絡服務,如通過網(wǎng) 間數(shù)據(jù)收發(fā)模塊133向其它網(wǎng)絡節(jié)點轉(zhuǎn)發(fā)數(shù)據(jù)����,或?qū)木W(wǎng)間數(shù)據(jù)收發(fā)模塊133收到的其他 網(wǎng)絡節(jié)點的數(shù)據(jù)轉(zhuǎn)發(fā)給入網(wǎng)用戶終端11。第三實施例為了進一步提高入網(wǎng)用戶終端11與網(wǎng)絡接入終端13之間登錄連接的建立過程的 安全性���,還可以對入網(wǎng)用戶終端11與網(wǎng)絡接入終端13之間的登錄連接的建立過程作如下 改進�����,如圖4所示的步驟S31-S36���。入網(wǎng)用戶終端為了與網(wǎng)絡接入終端建立連接,第一步驟(S31)是入網(wǎng)用戶終端以 明文方式發(fā)送包括終端用戶證書和用戶密鑰種子矢量的入網(wǎng)請求報文�。入網(wǎng)用戶終端11 中的微處理器模塊112根據(jù)用戶終端配置存儲器111中的配置內(nèi)容生成用戶密鑰種子矢 量211和終端用戶證書212���,然后通過數(shù)據(jù)收發(fā)裝置113以明文方式向網(wǎng)絡接入終端13發(fā) 送入網(wǎng)請求報文21A,所述的入網(wǎng)請求報文21A內(nèi)容包括所確定的用戶密鑰種子矢量211�����、 終端用戶證書212和其他信息213���,同時在隨機數(shù)據(jù)存儲器114中記錄用戶密鑰種子矢量 211�,隨后微處理器模塊112計算入網(wǎng)請求報文21A的摘要214并存入隨機數(shù)據(jù)存儲器114 中�����。第二步驟(S32)�����,網(wǎng)絡接入終端13從數(shù)據(jù)收發(fā)裝置131收到入網(wǎng)用戶終端11發(fā)來 的入網(wǎng)請求報文21A后���,網(wǎng)絡接入終端13中的微處理器模塊132根據(jù)網(wǎng)絡接入終端配置存 儲器134中的配置內(nèi)容生成網(wǎng)絡密鑰種子矢量221����,然后使用終端用戶證書212中載明的終 端用戶公開密鑰加密網(wǎng)絡密鑰種子矢量221�����,并形成報文22A���,所述的報文22A中包括網(wǎng)絡 密鑰種子矢量密文223和其他信息222�����,然后通過數(shù)據(jù)收發(fā)裝置131將加密后的網(wǎng)絡密鑰 種子矢量密文223的報文22k發(fā)送給入網(wǎng)用戶終端11�����。入網(wǎng)用戶終端11從數(shù)據(jù)收發(fā)裝置 113接收到由網(wǎng)絡用戶終端13發(fā)送的包括網(wǎng)絡密鑰種子矢量密文223的報文22A后��,根據(jù) 用戶本地的終端用戶私有密鑰解密網(wǎng)絡密鑰種子矢量密文223��,獲得網(wǎng)絡密鑰種子矢量明 文221�,然后在隨機數(shù)據(jù)存儲器114中記錄網(wǎng)絡密鑰種子矢量明文221����。第三步驟(S33),網(wǎng)絡接入終端13從數(shù)據(jù)收發(fā)裝置131收到入網(wǎng)用戶終端11發(fā)來 的入網(wǎng)請求報文21A后����,微處理器模塊132根據(jù)網(wǎng)絡接入終端配置存儲器134中的配置內(nèi) 容為入網(wǎng)用戶終端11分配終端登錄令牌232���,同時準備密鑰調(diào)料234,微處理器模塊132還 計算用戶入網(wǎng)請求報文21A的摘要231��,并形成入網(wǎng)應答報文明文23��,所述的入網(wǎng)應答報文明文23中包括用戶入網(wǎng)請求報文摘要231���、終端登錄令牌232和其他信息233�����。然后以密 文方式向入網(wǎng)用戶終端11發(fā)送包括用戶入網(wǎng)請求報文摘要231和終端登錄令牌232的入 網(wǎng)應答報文密文230���,所述密文的加密密鑰包含用戶密鑰種子矢量211、網(wǎng)絡密鑰種子矢量 221和密鑰調(diào)料234信息�����。第四步驟(S34)�,入網(wǎng)用戶終端11從數(shù)據(jù)收發(fā)裝置113每接收到一個入網(wǎng)應答報文密文230后,解密入網(wǎng)應答報文密文230����,得到入網(wǎng)應答報文明文23 �����;入網(wǎng)用戶終端11中 的微處理器模塊112,通過比較解密后的入網(wǎng)應答報文明文23信息中用戶入網(wǎng)請求報文摘 要231與隨機數(shù)據(jù)存儲器114中保存的入網(wǎng)請求報文摘要214相符合�,識別出針對自己入 網(wǎng)應答報文,取得網(wǎng)絡接入終端13指配給自己的終端登錄令牌232��,存入隨機數(shù)據(jù)存儲器 114�。第五步驟(S35),入網(wǎng)用戶終端11通過數(shù)據(jù)收發(fā)裝置113向網(wǎng)絡接入終端13發(fā)送 登錄報文24��,所述的登錄報文24包括網(wǎng)絡接入終端13頒發(fā)的終端登錄令牌232的識別信 息241和其它信息242���。第六步驟(S36)��,網(wǎng)絡接入終端13從數(shù)據(jù)收發(fā)裝置131收到入網(wǎng)用戶終端11發(fā)回 的登錄報文24以后���,微處理器模塊132驗證登錄報文24中包含正確的終端登錄令牌識別 信息241,確認入網(wǎng)用戶終端11合法�,完成通信連接的建立,為其分配連接資源�����,并將用戶 信息存入登錄用戶數(shù)據(jù)庫模塊135。經(jīng)過上述步驟S31-S36�,入網(wǎng)用戶終端11與網(wǎng)絡接入終端13之間建立了通信連 接,網(wǎng)絡接入終端13可以為入網(wǎng)用戶終端11分配帶寬資源��,繼續(xù)后續(xù)網(wǎng)絡服務���,如通過網(wǎng) 間數(shù)據(jù)收發(fā)模塊133向其它網(wǎng)絡節(jié)點轉(zhuǎn)發(fā)數(shù)據(jù)��,或?qū)木W(wǎng)間數(shù)據(jù)收發(fā)模塊133收到的其他 網(wǎng)絡節(jié)點的數(shù)據(jù)轉(zhuǎn)發(fā)給入網(wǎng)用戶終端11����。第四實施例為了進一步提高入網(wǎng)用戶終端11與網(wǎng)絡接入終端13之間登錄連接的建立過程的 安全性�,還可以對入網(wǎng)用戶終端11與網(wǎng)絡接入終端13之間的登錄連接的建立過程作如下 改進,如圖5所示的步驟S41-S46����。入網(wǎng)用戶終端為了與網(wǎng)絡接入終端建立連接,第一步驟(S41)是入網(wǎng)用戶終端以 明文方式發(fā)送包括終端用戶證書和用戶密鑰種子矢量的入網(wǎng)請求報文����。入網(wǎng)用戶終端11 中的微處理器模塊112首先根據(jù)用戶終端配置存儲器111中的配置內(nèi)容生成終端用戶證書 212,同時微處理器模塊112根據(jù)用戶終端配置存儲器111中的配置內(nèi)容生成一個隨機數(shù)X��, 然后由χ進一步生成用戶密鑰種子矢量211 (數(shù)學上記為X),X = (χ)����,生成函數(shù)(χ)是 包括加、減���、乘、除����、模除、異或��、指數(shù)�、對數(shù)、微分�����、積分��、三角函數(shù)�、替換、擴散���、取系統(tǒng)時間����、 附加隨機數(shù)或指定常數(shù)等一種或多種數(shù)學運算的多項式。然后通過數(shù)據(jù)收發(fā)裝置113以明文方式向網(wǎng)絡接入終端13發(fā)送入網(wǎng)請求報文 21Α��,所述的入網(wǎng)請求報文21Α內(nèi)容包括所述的用戶密鑰種子矢量211���、用戶終端證書212和 其他信息213���,同時在隨機數(shù)據(jù)存儲器114中記錄用戶密鑰種子矢量211,隨后微處理器模 塊112計算入網(wǎng)請求報文21Α的摘要214并存入隨機數(shù)據(jù)存儲器114中�����,所述摘要的具體 計算方法可以有多種選擇����,并將這種選擇作為其他信息213的一部分包含在入網(wǎng)請求報文 21Α中。例如可以節(jié)選入網(wǎng)請求報文的部分片段���;也可以是對入網(wǎng)請求報文內(nèi)容的任何一 種運算����,比如入網(wǎng)請求報文的循環(huán)冗余校驗�,或者用戶密鑰種子矢量211的MD5散列值�,或者以用戶密鑰種子矢量211為加密密鑰,對入網(wǎng)請求報文21A的加密運算結果����。通常可以 只規(guī)定一種計算摘要的簡單方法���,從而減少入網(wǎng)請求報文21A中必須包含的數(shù)據(jù)量���,達到 簡化實現(xiàn)復雜度的目的�。第二步驟(S42),網(wǎng)絡接入終端13從數(shù)據(jù)收發(fā)裝置131收到入網(wǎng)用戶終端11發(fā)來 的入網(wǎng)請求報文21A后�,網(wǎng)絡接入終端13中的微處理器模塊132根據(jù)網(wǎng)絡接入終端配置存 儲器134中的配置內(nèi)容生成一個隨機數(shù)y,然后由y進一步生成網(wǎng)絡密鑰種子矢量221 (數(shù) 學上記為Y)���,Y = f2(y)��,生成函數(shù)f2(y)是包括加���、減、乘�、除����、模除�����、異或�、指數(shù)、對數(shù)����、微分、 積分����、三角函數(shù)、替換�����、擴散�����、取系統(tǒng)時間���、附加隨機數(shù)或指定常數(shù)等一種或多種數(shù)學運算的 多項式����。然后使用終端用戶證書212中載明的終端用戶公開密鑰加密網(wǎng)絡密鑰種子矢量 明文221,并形成報文22A���,所述的報文22A中包括網(wǎng)絡密鑰種子矢量密文223和其他信息 222����。然后通過數(shù)據(jù)收發(fā)裝置131將加密后的網(wǎng)絡密鑰種子矢量密文223的報文22A發(fā)送 給入網(wǎng)用戶終端11�。入網(wǎng)用戶終端11從數(shù)據(jù)收發(fā)裝置113接收到由網(wǎng)絡用戶終端13發(fā)送 的包括網(wǎng)絡密鑰種子矢量密文223的報文22A后,根據(jù)用戶本地的終端用戶私有密鑰解密 網(wǎng)絡密鑰種子矢量密文223�����,獲得網(wǎng)絡密鑰種子矢量明文221��,在隨機數(shù)據(jù)存儲器114中記 錄網(wǎng)絡密鑰種子矢量明文221���。第三步驟(S43),網(wǎng)絡接入終端13從數(shù)據(jù)收發(fā)裝置131收到入網(wǎng)用戶終端11發(fā)來 的入網(wǎng)請求報文21A后���,根據(jù)網(wǎng)絡接入終端配置存儲器134的配置z為入網(wǎng)用戶終端11分 配終端登錄令牌232(數(shù)學上記為Z)��,Z = f3(z)�����,生成函數(shù)f3(z)是包括加����、減、乘�����、除�����、模除�、 異或、指數(shù)����、對數(shù)、微分���、積分���、三角函數(shù)�、替換��、擴散�、取系統(tǒng)時間、附加隨機數(shù)或指定常數(shù)等 一種或多種數(shù)學運算的多項式�,可以在終端登錄令牌中加入指定的登錄時間,也可以在終 端登錄令牌中加入后續(xù)通信的會話密鑰����。同時根據(jù)網(wǎng)絡接入終端配置存儲器134所配置的要求為入網(wǎng)用戶終端11隨機生 成密鑰調(diào)料234 (數(shù)學上記為R),所述密鑰調(diào)料234為一個m比特的隨機數(shù)���。微處理器模塊 132還計算用戶入網(wǎng)請求報文21A的摘要231��,所述的摘要231的計算方法以與第一步驟中 所述的方法相同�����,然后形成入網(wǎng)應答報文明文23,所述的入網(wǎng)應答報文明文23中包括用戶 入網(wǎng)請求報文摘要231����、終端登錄令牌232和其他信息233����。該入網(wǎng)應答報文明文23經(jīng)對 稱密鑰加密算法加密成密文230后���,經(jīng)數(shù)據(jù)收發(fā)裝置131向入網(wǎng)用戶終端11發(fā)送�。所述密 文230的對稱加密密鑰K包含用戶密鑰種子矢量211���、網(wǎng)絡密鑰種子矢量221和密鑰調(diào)料 234的信息���,其生成方法為K = f4(X,Y����,R),生成函數(shù)&(乂��,¥��,1 )是包括加�、減、乘�����、除、模除�、 異或、指數(shù)���、對數(shù)�����、微分�、積分����、三角函數(shù)、替換�、擴散、取系統(tǒng)時間�、附加隨機數(shù)或指定常數(shù)等 一種或多種數(shù)學運算的多項式。例如�,直接將X、Y���、R相乘后取模,得到最后的加密密鑰K; 再比如,將[(X2+Y2) R]作為最后的加密密鑰K ����;再比如,加密密鑰K還可以分兩步實現(xiàn)首 先采用常規(guī)的Diffie-Hellman方法����,由X和本地已知的y = log(Y)生成一個確定的加密 密鑰Kl = V,然后與密鑰調(diào)料R異或,得到最后的加密密鑰K=K1 R���。所述的加密入網(wǎng)應答報文明文23的對稱密鑰加解密密碼運算算法可以有多種選 擇��,并將這種選擇作為其他信息222的一部分包括在第二步驟的報文22A中�。例如可以選 擇非常經(jīng)典的國際標準加密算法RC4��、DES�����、3DES����、IDEA、AES等���,也可以是新設計的某種未公 開密碼算法����。
16
第四步驟(S44),入網(wǎng)用戶終端11從數(shù)據(jù)收發(fā)裝置113每接收到一個入網(wǎng)應答報 文密文230后�,嘗試窮舉可能的對稱加解密密鑰K2解密入網(wǎng)應答報文密文230,得到入網(wǎng) 應答報文明文23�。所述對稱解密密鑰K2包括用戶密鑰種子矢量211、網(wǎng)絡密鑰種子矢量 221和一個被窮舉出的密鑰調(diào)料S的信息�,其生成方法與第三步驟中的對稱加密密鑰K的生 成方法相當,K2 = f5(X��,Y�,S),生成函數(shù)f5(X����,Y,S)是包括加�����、減���、乘��、除�、模除、異或���、指數(shù)、 對數(shù)�����、微分��、積分����、三角函數(shù)、替換���、擴散�、取系統(tǒng)時間��、附加隨機數(shù)或指定常數(shù)等一種或多種 數(shù)學運算的多項式�����。例如,直接將X���、Y�、S相乘后取模����,得到最后的解密密鑰K2;再比如,將 [(X2+Y2) S]作為最后的解密密鑰K2 ����;再比如,解密密鑰K2還可以分兩步實現(xiàn)首先采用常 規(guī)的Diffie-Hellman方法�����,由Y和本地已知的x = log(X)生成一個確定的解密密鑰K3 = Yx����,然后與密鑰調(diào)料S異或,得到最后的解密密鑰K2=K3 So入網(wǎng)用戶終端11中的微處理器模塊112�,通過比較解密后的入網(wǎng)應答報文明文23 信息中用戶入網(wǎng)請求報文摘要231與隨機數(shù)據(jù)存儲器114中保存的入網(wǎng)請求報文摘要214 相符合,識別出針對自己入網(wǎng)應答報文明文23��,取得網(wǎng)絡接入終端13指配給自己的終端登 錄令牌232,存入隨機數(shù)據(jù)存儲器114���。第五步驟(S45)����,入網(wǎng)用戶終端11通過數(shù)據(jù)收發(fā)裝置113向網(wǎng)絡接入終端13發(fā)送 登錄報文24�,所述的登錄報文24包括網(wǎng)絡接入終端13頒發(fā)的終端登錄令牌232的識別信 息241和其它信息242。第六步驟(S46)����,網(wǎng)絡接入終端13從數(shù)據(jù)收發(fā)裝置131收到入網(wǎng)用戶終端11發(fā)回 的登錄報文24以后����,微處理器模塊132驗證登錄報文24中包含正確的終端登錄令牌識別 信息241,確認入網(wǎng)用戶終端11合法���,完成通信連接的建立�����,為其分配連接資源��,并將用戶 信息存入登錄用戶數(shù)據(jù)庫模塊135�����。經(jīng)過上述步驟S41-S46�����,入網(wǎng)用戶終端11與網(wǎng)絡接入終端13之間建立了通信連 接��,網(wǎng)絡接入終端13可以為入網(wǎng)用戶終端11分配帶寬資源��,繼續(xù)后續(xù)網(wǎng)絡服務�,如通過網(wǎng) 間數(shù)據(jù)收發(fā)模塊133向其它網(wǎng)絡節(jié)點轉(zhuǎn)發(fā)數(shù)據(jù),或?qū)木W(wǎng)間數(shù)據(jù)收發(fā)模塊133收到的其他 網(wǎng)絡節(jié)點的數(shù)據(jù)轉(zhuǎn)發(fā)給入網(wǎng)用戶終端11���。第五實施例為了進一步提高入網(wǎng)用戶終端11與網(wǎng)絡接入終端13之間登錄連接的建立過程的 安全性��,還可以對入網(wǎng)用戶終端11與網(wǎng)絡接入終端13之間的登錄連接的建立過程作如下 改進�����,如圖6所示的步驟S51-S56��。入網(wǎng)用戶終端為了與網(wǎng)絡接入終端建立連接�,第一步驟(S51)是入網(wǎng)用戶終端以 明文方式發(fā)送包括用戶密鑰種子矢量的入網(wǎng)請求報文����。入網(wǎng)用戶終端11中的微處理器模 塊112根據(jù)用戶終端配置存儲器111中配置的碼字長度和隨機數(shù)種子等內(nèi)容生成一個隨機 數(shù)x��,然后由x和當前系統(tǒng)時間tx共同生成用戶密鑰種子矢量211A(數(shù)學上記為���,= f6(x,、)����,生成函數(shù)4(1 tx)是包括加、減�、乘、除�����、模除�、異或����、指數(shù)、對數(shù)��、微分����、積分���、三角 函數(shù)、替換�、擴散、取系統(tǒng)時間���、附加隨機數(shù)或指定常數(shù)等一種或多種數(shù)學運算的多項式����。然后通過數(shù)據(jù)收發(fā)裝置113以明文方式向網(wǎng)絡接入終端13發(fā)送入網(wǎng)請求報文 21B���,所述的入網(wǎng)請求報文21B內(nèi)容包括所確定的用戶密鑰種子矢量211A和其他信息213���, 同時在隨機數(shù)據(jù)存儲器114中記錄用戶密鑰種子矢量211A,隨后微處理器模塊112計算入 網(wǎng)請求報文21B的摘要214并存入隨機數(shù)據(jù)存儲器114中��。
17
第二步驟(S52)��,網(wǎng)絡接入終端以明文方式發(fā)送網(wǎng)絡密鑰種子矢量��。網(wǎng)絡接入終端 13中的微處理器模塊132根據(jù)網(wǎng)絡接入終端配置存儲器134中配置的碼字長度和隨機數(shù)種 子等內(nèi)容生成一個隨機數(shù)y���,然后由y進一步生成網(wǎng)絡密鑰種子矢量221 (數(shù)學上記為Y)�, Y = &(7),生成函數(shù)&(》是包括加�����、減�����、乘����、除、模除���、異或����、指數(shù)���、對數(shù)、微分����、積分����、三角函 數(shù)�����、替換�、擴散、取系統(tǒng)時間�、附加隨機數(shù)或指定常數(shù)等一種或多種數(shù)學運算的多項式。然后通過數(shù)據(jù)收發(fā)裝置131以明文方式向入網(wǎng)用戶終端11發(fā)送報文22�,所述的報 文22內(nèi)容包括所確定的網(wǎng)絡密鑰種子矢量221和其他信息222。入網(wǎng)用戶終端11從數(shù)據(jù) 收發(fā)裝置113接收到由網(wǎng)絡用戶終端13發(fā)送的包括網(wǎng)絡密鑰種子矢量221的報文22�����,然后 在隨機數(shù)據(jù)存儲器114中記錄網(wǎng)絡密鑰種子矢量221��。第三步驟(S53)���,網(wǎng)絡接入終端13從數(shù)據(jù)收發(fā)裝置131收到入網(wǎng)用戶終端11發(fā) 來的入網(wǎng)請求報文21B后�,根據(jù)網(wǎng)絡接入終端配置存儲器134中的配置內(nèi)容為入網(wǎng)用戶終 端11分配終端登錄令牌232����,同時準備密鑰調(diào)料234�,微處理器模塊132還計算用戶入網(wǎng)請 求報文21B的摘要231�,并形成入網(wǎng)應答報文明文23,所述的入網(wǎng)應答報文明文23中包括 用戶入網(wǎng)請求報文摘要231��、終端登錄令牌232和其他信息233�����。然后以密文方式向入網(wǎng)用 戶終端11發(fā)送包括用戶入網(wǎng)請求報文摘要231和終端登錄令牌232的入網(wǎng)應答報文密文 230��,所述密文的加密密鑰包含用戶密鑰種子矢量211A�����、網(wǎng)絡密鑰種子矢量221和密鑰調(diào)料 234 fp 肩�、o第四步驟(S54),入網(wǎng)用戶終端11從數(shù)據(jù)收發(fā)裝置113每接收到一個入網(wǎng)應答報 文密文230后�,解密入網(wǎng)應答報文密文230,得到入網(wǎng)應答報文明文23 ��;入網(wǎng)用戶終端11中 的微處理器模塊112��,通過比較解密后的入網(wǎng)應答報文明文23信息中用戶入網(wǎng)請求報文摘 要231與隨機數(shù)據(jù)存儲器114中保存的入網(wǎng)請求報文摘要214相符合��,識別出針對自己入 網(wǎng)應答報文�����,取得網(wǎng)絡接入終端13指配給自己的終端登錄令牌232���,存入隨機數(shù)據(jù)存儲器 114��。第五步驟(S55)�����,入網(wǎng)用戶終端11通過數(shù)據(jù)收發(fā)裝置113向網(wǎng)絡接入終端13發(fā)送 登錄報文24�����,所述的登錄報文24包括網(wǎng)絡接入終端13頒發(fā)的終端登錄令牌232的識別信 息241和其它信息242�。第六步驟(S56)��,網(wǎng)絡接入終端13從數(shù)據(jù)收發(fā)裝置131收到入網(wǎng)用戶終端11發(fā)回 的登錄報文24以后�����,微處理器模塊132驗證登錄報文24中包含正確的終端登錄令牌識別 信息241����,確認入網(wǎng)用戶終端11合法���,完成通信連接的建立,為其分配連接資源�,并將用戶 信息存入登錄用戶數(shù)據(jù)庫模塊135。經(jīng)過上述步驟S51-S56�����,入網(wǎng)用戶終端11與網(wǎng)絡接入終端13之間建立了通信連 接��,網(wǎng)絡接入終端13可以為入網(wǎng)用戶終端11分配帶寬資源��,繼續(xù)后續(xù)網(wǎng)絡服務�����,如通過網(wǎng) 間數(shù)據(jù)收發(fā)模塊133向其它網(wǎng)絡節(jié)點轉(zhuǎn)發(fā)數(shù)據(jù)�,或?qū)木W(wǎng)間數(shù)據(jù)收發(fā)模塊133收到的其他 網(wǎng)絡節(jié)點的數(shù)據(jù)轉(zhuǎn)發(fā)給入網(wǎng)用戶終端11。第六實施例為了進一步提高入網(wǎng)用戶終端11與網(wǎng)絡接入終端13之間登錄連接的建立過程的安全性�����,還可以對入網(wǎng)用戶終端11與網(wǎng)絡接入終端13之間的登錄連接的建立過程作如下 改進,如圖7所示的步驟S61-S66�����。入網(wǎng)用戶終端為了與網(wǎng)絡接入終端建立連接�,第一步驟(S61)入網(wǎng)用戶終端11中的微處理器模塊112根據(jù)用戶終端配置存儲器111中配置的碼字長度和隨機數(shù)種子等內(nèi)容 生成一個隨機數(shù)X���,然后由x進一步生成用戶密鑰種子矢量211 (數(shù)學上記為X)��,X = f工(x)�����, 生成函數(shù)4 00是包括加�、減�����、乘�、除、模除���、異或����、指數(shù)、對數(shù)��、微分����、積分、三角函數(shù)��、替換��、擴 散���、取系統(tǒng)時間�、附加隨機數(shù)或指定常數(shù)等一種或多種數(shù)學運算的多項式����。然后通過數(shù)據(jù)收發(fā)裝置113以明文方式向網(wǎng)絡接入終端13發(fā)送入網(wǎng)請求報文21, 所述的入網(wǎng)請求報文21內(nèi)容包括所確定的用戶密鑰種子矢量211和其他信息213���,同時在 隨機數(shù)據(jù)存儲器114中記錄用戶密鑰種子矢量211��,隨后微處理器模塊112計算入網(wǎng)請求報 文21的摘要214并存入隨機數(shù)據(jù)存儲器114中�����。第二步驟(S62)�����,網(wǎng)絡接入終端以明文方式發(fā)送網(wǎng)絡密鑰種子矢量�����。網(wǎng)絡接入終 端13中的微處理器模塊132根據(jù)網(wǎng)絡接入終端配置存儲器134中配置的碼字長度和隨機 數(shù)種子等內(nèi)容生成一個隨機數(shù)y�����,然后由y和當前系統(tǒng)時間ty進一步生成網(wǎng)絡密鑰種子矢 量221A (數(shù)學上記為Yi)��,Yi = f7(y, ty)���,生成函數(shù)f7 (y,ty)是包括加�����、減����、乘���、除、模除���、異 或���、指數(shù)、對數(shù)��、微分�、積分、三角函數(shù)�����、替換���、擴散�、取系統(tǒng)時間�、附加隨機數(shù)或指定常數(shù)等一 種或多種數(shù)學運算的多項式。然后通過數(shù)據(jù)收發(fā)裝置131以明文方式向入網(wǎng)用戶終端11發(fā)送報文22B�,所述的 報文22B內(nèi)容包括所確定的網(wǎng)絡密鑰種子矢量221A和其他信息222�。入網(wǎng)用戶終端11從 數(shù)據(jù)收發(fā)裝置113接收到由網(wǎng)絡用戶終端13發(fā)送的包括網(wǎng)絡密鑰種子矢量221A的報文 22B��,然后在隨機數(shù)據(jù)存儲器114中記錄網(wǎng)絡密鑰種子矢量221A����。第三步驟(S63),網(wǎng)絡接入終端13從數(shù)據(jù)收發(fā)裝置131收到入網(wǎng)用戶終端11發(fā) 來的入網(wǎng)請求報文21后���,根據(jù)網(wǎng)絡接入終端配置存儲器134中的配置內(nèi)容為入網(wǎng)用戶終端 11分配終端登錄令牌232��,同時準備密鑰調(diào)料234,微處理器模塊132還計算用戶入網(wǎng)請求 報文21的摘要231��,并形成入網(wǎng)應答報文明文23����,所述的入網(wǎng)應答報文明文23中包括用戶 入網(wǎng)請求報文摘要231、終端登錄令牌232和其他信息233�。然后以密文方式向入網(wǎng)用戶終 端11發(fā)送包括用戶入網(wǎng)請求報文摘要231和終端登錄令牌232的入網(wǎng)應答報文密文230, 所述密文的加密密鑰包含用戶密鑰種子矢量211�����、網(wǎng)絡密鑰種子矢量221A和密鑰調(diào)料234信息���。第四步驟(S64)��,入網(wǎng)用戶終端11從數(shù)據(jù)收發(fā)裝置113每接收到一個入網(wǎng)應答報 文密文230后�����,解密入網(wǎng)應答報文密文230��,得到入網(wǎng)應答報文明文23 �;入網(wǎng)用戶終端11中 的微處理器模塊112,通過比較解密后的入網(wǎng)應答報文明文23信息中用戶入網(wǎng)請求報文摘 要231與隨機數(shù)據(jù)存儲器114中保存的入網(wǎng)請求報文摘要214相符合����,識別出針對自己入 網(wǎng)應答報文,取得網(wǎng)絡接入終端13指配給自己的終端登錄令牌232��,存入隨機數(shù)據(jù)存儲器 114����。第五步驟(S65),入網(wǎng)用戶終端11通過數(shù)據(jù)收發(fā)裝置113向網(wǎng)絡接入終端13發(fā)送 登錄報文24����,所述的登錄報文24包括網(wǎng)絡接入終端13頒發(fā)的終端登錄令牌232的識別信 息241和其它信息242。第六步驟(S66)��,網(wǎng)絡接入終端13從數(shù)據(jù)收發(fā)裝置131收到入網(wǎng)用戶終端11發(fā)回 的登錄報文24以后,微處理器模塊132驗證登錄報文24中包含正確的終端登錄令牌識別 信息241���,確認入網(wǎng)用戶終端11合法���,完成通信連接的建立,為其分配連接資源�,并將用戶 信息存入登錄用戶數(shù)據(jù)庫模塊135。
經(jīng)過上述步驟S61-S66���,入網(wǎng)用戶終端11與網(wǎng)絡接入終端13之間建立了通信連 接�,網(wǎng)絡接入終端13可以為入網(wǎng)用戶終端11分配帶寬資源����,繼續(xù)后續(xù)網(wǎng)絡服務��,如通過網(wǎng) 間數(shù)據(jù)收發(fā)模塊133向其它網(wǎng)絡節(jié)點轉(zhuǎn)發(fā)數(shù)據(jù)���,或?qū)木W(wǎng)間數(shù)據(jù)收發(fā)模塊133收到的其他 網(wǎng)絡節(jié)點的數(shù)據(jù)轉(zhuǎn)發(fā)給入網(wǎng)用戶終端11���。第七實施例為了進一步提高入網(wǎng)用戶終端11與網(wǎng)絡接入終端13之間登錄連接的建立過程的 安全性,還可以對入網(wǎng)用戶終端11與網(wǎng)絡接入終端13之間的登錄連接的建立過程作如下 改進�����,如圖8所示的步驟S71-S76。入網(wǎng)用戶終端為了與網(wǎng)絡接入終端建立連接����,第一步驟(S71)是入網(wǎng)用戶終端以 明文方式發(fā)送包括終端用戶證書和用戶密鑰種子矢量的入網(wǎng)請求報文。入網(wǎng)用戶終端11 中的微處理器模塊112首先根據(jù)用戶終端配置存儲器111中的配置內(nèi)容生成終端用戶證書 212����,同時根據(jù)用戶終端配置存儲器111中配置的碼字長度和隨機數(shù)種子等內(nèi)容生成一個 隨機數(shù)x,然后由x和當前系統(tǒng)時間��、共同生成用戶密鑰種子矢量211A(數(shù)學上記為&)��,& =f6(x, tx)�����,生成函數(shù)4(1 tx)是包括力卩�、減、乘��、除�����、模除、異或��、指數(shù)�、對數(shù)、微分�����、積分���、三 角函數(shù)��、替換��、擴散���、取系統(tǒng)時間、附加隨機數(shù)或指定常數(shù)等一種或多種數(shù)學運算的多項式�。然后通過數(shù)據(jù)收發(fā)裝置113以明文方式向網(wǎng)絡接入終端13發(fā)送入網(wǎng)請求報文 21C����,所述的入網(wǎng)請求報文21C內(nèi)容包括所確定的用戶密鑰種子矢量211A、用戶終端證書 212和其他信息213���,同時在隨機數(shù)據(jù)存儲器114中記錄用戶密鑰種子矢量211A���,隨后微處 理器模塊112計算入網(wǎng)請求報文21C的摘要214并存入隨機數(shù)據(jù)存儲器114中��。第二步驟(S72)�����,網(wǎng)絡接入終端13從數(shù)據(jù)收發(fā)裝置131收到入網(wǎng)用戶終端11發(fā)來 的入網(wǎng)請求報文21C后�����,網(wǎng)絡接入終端13中的微處理器模塊132根據(jù)網(wǎng)絡接入終端配置存 儲器134中配置的碼字長度和隨機數(shù)種子等內(nèi)容生成一個隨機數(shù)y��,然后由y和當前系統(tǒng)時 間ty進一步生成網(wǎng)絡密鑰種子矢量221A(數(shù)學上記為A)��,A = f7(y��,ty)�,生成函數(shù)f7(y�, ty)是包括加、減����、乘�、除����、模除、異或����、指數(shù)、對數(shù)�����、微分����、積分、三角函數(shù)����、替換、擴散���、取系統(tǒng) 時間、附加隨機數(shù)或指定常數(shù)等一種或多種數(shù)學運算的多項式。然后使用終端用戶證書212中載明的終端用戶公開密鑰加密網(wǎng)絡密鑰種子矢量 221A���,并形成報文22C�����,所述的報文22C中包括網(wǎng)絡密鑰種子矢量密文223A和其他信息 222��,然后通過數(shù)據(jù)收發(fā)裝置131向入網(wǎng)用戶終端11發(fā)送包括網(wǎng)絡密鑰種子矢量密文223A 的報文22C�����。入網(wǎng)用戶終端11從數(shù)據(jù)收發(fā)裝置113接收到由網(wǎng)絡用戶終端13發(fā)送的包括 網(wǎng)絡密鑰種子矢量密文223A的報文22C后�����,根據(jù)用戶本地的終端用戶私有密鑰解密網(wǎng)絡密 鑰種子矢量密文223A����,獲得網(wǎng)絡密鑰種子矢量明文221A��,然后在隨機數(shù)據(jù)存儲器114中記 錄網(wǎng)絡密鑰種子矢量明文221A�。第三步驟(S73),網(wǎng)絡接入終端13從數(shù)據(jù)收發(fā)裝置131收到入網(wǎng)用戶終端11發(fā) 來的入網(wǎng)請求報文21C后�,根據(jù)網(wǎng)絡接入終端配置存儲器134中的配置內(nèi)容為入網(wǎng)用戶終 端11分配終端登錄令牌232����,同時準備密鑰調(diào)料234����,微處理器模塊132還計算用戶入網(wǎng)請 求報文21C的摘要231,并形成入網(wǎng)應答報文明文23����,所述的入網(wǎng)應答報文明文23中包括 用戶入網(wǎng)請求報文摘要231、終端登錄令牌232和其他信息233��。然后以密文方式向入網(wǎng)用 戶終端11發(fā)送包括用戶入網(wǎng)請求報文摘要231和終端登錄令牌232的入網(wǎng)應答報文密文 230����,所述密文的加密密鑰包含用戶密鑰種子矢量211A、網(wǎng)絡密鑰種子矢量221A和密鑰調(diào)料234信息�。第四步驟(S74),入網(wǎng)用戶終端11從數(shù)據(jù)收發(fā)裝置113每接收到一個入網(wǎng)應答報 文密文230后�����,解密入網(wǎng)應答報文密文230����,得到入網(wǎng)應答報文明文23 �;入網(wǎng)用戶終端11中 的微處理器模塊112�,通過比較解密后的入網(wǎng)應答報文明文23信息中用戶入網(wǎng)請求報文摘 要231與隨機數(shù)據(jù)存儲器114中保存的入網(wǎng)請求報文摘要214相符合���,識別出針對自己入 網(wǎng)應答報文�����,取得網(wǎng)絡接入終端13指配給自己的終端登錄令牌232����,存入隨機數(shù)據(jù)存儲器 114��。第五步驟(S75)���,入網(wǎng)用戶終端11通過數(shù)據(jù)收發(fā)裝置113向網(wǎng)絡接入終端13發(fā)送 登錄報文24�����,所述的登錄報文24包括網(wǎng)絡接入終端13頒發(fā)的終端登錄令牌232的識別信 息241和其它信息242���。第六步驟(S76),網(wǎng)絡接入終端13從數(shù)據(jù)收發(fā)裝置131收到入網(wǎng)用戶終端11發(fā)回 的登錄報文24以后��,微處理器模塊132驗證登錄報文24中包含正確的終端登錄令牌識別 信息241,確認入網(wǎng)用戶終端11合法��,完成通信連接的建立��,為其分配連接資源���,并將用戶 信息存入登錄用戶數(shù)據(jù)庫模塊135�����。經(jīng)過上述步驟S71-S76��,入網(wǎng)用戶終端11與網(wǎng)絡接入終端13之間建立了通信連 接�,網(wǎng)絡接入終端13可以為入網(wǎng)用戶終端11分配帶寬資源����,繼續(xù)后續(xù)網(wǎng)絡服務,如通過網(wǎng) 間數(shù)據(jù)收發(fā)模塊133向其它網(wǎng)絡節(jié)點轉(zhuǎn)發(fā)數(shù)據(jù)�,或?qū)木W(wǎng)間數(shù)據(jù)收發(fā)模塊133收到的其他 網(wǎng)絡節(jié)點的數(shù)據(jù)轉(zhuǎn)發(fā)給入網(wǎng)用戶終端11。第八實施例為了進一步提高入網(wǎng)用戶終端11與網(wǎng)絡接入終端13之間登錄連接的建立過程的 安全性�,還可以對入網(wǎng)用戶終端11與網(wǎng)絡接入終端13之間的登錄連接的建立過程作如下 改進,如圖9所示的步驟S81-S86����。入網(wǎng)用戶終端為了與網(wǎng)絡接入終端建立連接�����,第一步驟(S81)是入網(wǎng)用戶終端以 明文方式發(fā)送包括用戶密鑰種子矢量的入網(wǎng)請求報文�����。入網(wǎng)用戶終端11中的微處理器模 塊112根據(jù)用戶終端配置存儲器111中的配置內(nèi)容生成用戶密鑰種子矢量211,然后通過數(shù) 據(jù)收發(fā)裝置113以明文方式向網(wǎng)絡接入終端13發(fā)送入網(wǎng)請求報文21���,所述的入網(wǎng)請求報文 21內(nèi)容包括所確定的用戶密鑰種子矢量211和其他信息213�����,同時在隨機數(shù)據(jù)存儲器114 中記錄用戶密鑰種子矢量211��,隨后微處理器模塊112計算入網(wǎng)請求報文21的摘要214并 存入隨機數(shù)據(jù)存儲器114中���。第二步驟(S82),網(wǎng)絡接入終端以明文方式發(fā)送網(wǎng)絡密鑰種子矢量���。網(wǎng)絡接入終端 13中的微處理器模塊132根據(jù)網(wǎng)絡接入終端配置存儲器134中的配置內(nèi)容生成網(wǎng)絡密鑰 種子矢量221�,然后通過數(shù)據(jù)收發(fā)裝置131以明文方式向入網(wǎng)用戶終端11發(fā)送報文22����,所 述的報文22內(nèi)容包括所確定的網(wǎng)絡密鑰種子矢量221和其他信息222���。入網(wǎng)用戶終端11 從數(shù)據(jù)收發(fā)裝置113接收到由網(wǎng)絡用戶終端13發(fā)送的包括網(wǎng)絡密鑰種子矢量221的報文 22,然后在隨機數(shù)據(jù)存儲器114中記錄網(wǎng)絡密鑰種子矢量221�。第三步驟(S83),網(wǎng)絡接入終端13從數(shù)據(jù)收發(fā)裝置131收到入網(wǎng)用戶終端11發(fā)來 的入網(wǎng)請求報文21后���,根據(jù)網(wǎng)絡接入終端配置存儲器134的配置z為入網(wǎng)用戶終端11分 配終端登錄令牌232A���,所述的終端登錄令牌232A包括終端登錄令牌初值Z1和后期通信的 會話密鑰K4,所述的終端登錄令牌初值Z1 = &(2)��,生成函數(shù)&(2)是包括加���、減�、乘��、除���、模除��、異或�����、指數(shù)�����、對數(shù)�����、微分�、積分�、三角函數(shù)、替換�����、擴散��、取系統(tǒng)時間���、附加隨機數(shù)或指定常 數(shù)等一種或多種數(shù)學運算的多項式���。例如��,如圖28所示���,直接在后期通信的會話密鑰K4后 附加終端登錄令牌初值Zl,得到最后的終端登錄令牌232A ���;再比如��,如圖29所示���,將后期通 信的會話密鑰K4附加到終端登錄令牌初值Zl后,將所得的整個值作為終端登錄令牌232A ����; 再比如,如圖30所示����,可以將后期通信的會話密鑰K4插入到終端登錄令牌初值Zl的內(nèi)部 指定位置,最后所得的值作為終端登錄令牌232A�����。同時還準備密鑰調(diào)料234,微處理器模塊132還計算用戶入網(wǎng)請求報文21的摘要 231����,并形成入網(wǎng)應答報文明文23A,所述的入網(wǎng)應答報文明文23A中包括用戶入網(wǎng)請求報 文摘要231����、終端登錄令牌232A和其他信息233。然后以密文方式向入網(wǎng)用戶終端11發(fā)送 包括用戶入網(wǎng)請求報文摘要231和終端登錄令牌232A的入網(wǎng)應答報文密文230A���,所述密文 的加密密鑰包含用戶密鑰種子矢量211���、網(wǎng)絡密鑰種子矢量221和密鑰調(diào)料234信息。第四步驟(S84)��,入網(wǎng)用戶終端11從數(shù)據(jù)收發(fā)裝置113每接收到一個入網(wǎng)應答報 文密文230A后�,解密入網(wǎng)應答報文密文230A����,得到入網(wǎng)應答報文明文23A ;入網(wǎng)用戶終端 11中的微處理器模塊112�����,通過比較解密后的入網(wǎng)應答報文明文23A信息中用戶入網(wǎng)請求 報文摘要231與隨機數(shù)據(jù)存儲器114中保存的入網(wǎng)請求報文摘要214相符合,識別出針對 自己入網(wǎng)應答報文���,取得網(wǎng)絡接入終端13指配給自己的終端登錄令牌232A���,存入隨機數(shù)據(jù) 存儲器114。第五步驟(S85)����,入網(wǎng)用戶終端11通過數(shù)據(jù)收發(fā)裝置113向網(wǎng)絡接入終端13發(fā)送 登錄報文24A,所述的登錄報文24A包括網(wǎng)絡接入終端13頒發(fā)的終端登錄令牌232A的識別 信息24IA和其它信息242�。
第六步驟(S86),網(wǎng)絡接入終端13從數(shù)據(jù)收發(fā)裝置131收到入網(wǎng)用戶終端11發(fā)回 的登錄報文24A以后��,微處理器模塊132驗證登錄報文24A中包含正確的終端登錄令牌識 別信息241A����,確認入網(wǎng)用戶終端11合法,完成通信連接的建立�,為其分配連接資源,并將用 戶信息存入登錄用戶數(shù)據(jù)庫模塊135�����。經(jīng)過上述步驟S81-S86�����,入網(wǎng)用戶終端11與網(wǎng)絡接入終端13之間建立了通信連 接,網(wǎng)絡接入終端13可以為入網(wǎng)用戶終端11分配帶寬資源���,繼續(xù)后續(xù)網(wǎng)絡服務�����,如通過網(wǎng) 間數(shù)據(jù)收發(fā)模塊133向其它網(wǎng)絡節(jié)點轉(zhuǎn)發(fā)數(shù)據(jù)�����,或?qū)木W(wǎng)間數(shù)據(jù)收發(fā)模塊133收到的其他 網(wǎng)絡節(jié)點的數(shù)據(jù)轉(zhuǎn)發(fā)給入網(wǎng)用戶終端11���。第九實施例為了進一步提高入網(wǎng)用戶終端11與網(wǎng)絡接入終端13之間登錄連接的建立過程的 安全性,還可以對入網(wǎng)用戶終端11與網(wǎng)絡接入終端13之間的登錄連接的建立過程作如下 改進���,如圖10所示的步驟S91-S96���。入網(wǎng)用戶終端為了與網(wǎng)絡接入終端建立連接�����,第一步驟(S91)是入網(wǎng)用戶終端以 明文方式發(fā)送包括用戶密鑰種子矢量的入網(wǎng)請求報文。入網(wǎng)用戶終端11中的微處理器模 塊112根據(jù)用戶終端配置存儲器111中的配置內(nèi)容生成用戶密鑰種子矢量211����,然后通過數(shù) 據(jù)收發(fā)裝置113以明文方式向網(wǎng)絡接入終端13發(fā)送入網(wǎng)請求報文21,所述的入網(wǎng)請求報文 21內(nèi)容包括所確定的用戶密鑰種子矢量211和其他信息213���,同時在隨機數(shù)據(jù)存儲器114 中記錄用戶密鑰種子矢量211��,隨后微處理器模塊112計算入網(wǎng)請求報文21的摘要214并 存入隨機數(shù)據(jù)存儲器114中�����。
第二步驟(S92)�,網(wǎng)絡接入終端以明文方式發(fā)送網(wǎng)絡密鑰種子矢量��。網(wǎng)絡接入終端 13中的微處理器模塊132根據(jù)網(wǎng)絡接入終端配置存儲器134中的配置內(nèi)容生成網(wǎng)絡密鑰 種子矢量221��,然后通過數(shù)據(jù)收發(fā)裝置131以明文方式向入網(wǎng)用戶終端11發(fā)送報文22����,所 述的報文22內(nèi)容包括所確定的網(wǎng)絡密鑰種子矢量221和其他信息222。入網(wǎng)用戶終端11 從數(shù)據(jù)收發(fā)裝置113接收到由網(wǎng)絡用戶終端13發(fā)送的包括網(wǎng)絡密鑰種子矢量221的報文 22��,然后在隨機數(shù)據(jù)存儲器114中記錄網(wǎng)絡密鑰種子矢量221�����。第三步驟(S93),網(wǎng)絡接入終端13從數(shù)據(jù)收發(fā)裝置131收到入網(wǎng)用戶終端11發(fā)來 的入網(wǎng)請求報文21后���,根據(jù)網(wǎng)絡接入終端配置存儲器134的配置ζ為入網(wǎng)用戶終端11分 配終端登錄令牌232B�����,所述的終端登錄令牌232B包括終端登錄令牌初值Zl和指定的登錄 時間T���,所述的終端登錄令牌初值Zl = f8(ζ),生成函數(shù)f8(ζ)是包括加��、減�����、乘����、除、模除��、異 或�、指數(shù)、對數(shù)����、微分、積分���、三角函數(shù)�����、替換��、擴散�、取系統(tǒng)時間�、附加隨機數(shù)或指定常數(shù)等一 種或多種數(shù)學運算的多項式。例如��,如圖31所示�,直接在指定的登錄時間T后附加終端登 錄令牌初值Z1,得到最后的終端登錄令牌232B ���;再比如�����,如圖32所示�����,將指定的登錄時間T 附加到終端登錄令牌初值Zl后���,將所得的整個值作為終端登錄令牌232B ��;再比如��,如圖33 所示,可以將指定的登錄時間T插入到終端登錄令牌初值Zl的內(nèi)部指定位置�,最后所得的 值作為終端登錄令牌232B。同時還準備密鑰調(diào)料234�,微處理器模塊132還計算用戶入網(wǎng)請求報文21的摘要 231,并形成入網(wǎng)應答報文明文23B�,所述的入網(wǎng)應答報文明文23B中包括用戶入網(wǎng)請求報 文摘要231、終端登錄令牌232B和其他信息233�。然后以密文方式向入網(wǎng)用戶終端11發(fā)送 包括用戶入網(wǎng)請求報文摘要231和終端登錄令牌232B的入網(wǎng)應答報文密文230B,所述密文 的加密密鑰包含用戶密鑰種子矢量211���、網(wǎng)絡密鑰種子矢量221和密鑰調(diào)料234信息。第四步驟(S94),入網(wǎng)用戶終端11從數(shù)據(jù)收發(fā)裝置113每接收到一個入網(wǎng)應答報 文密文230B后�����,解密入網(wǎng)應答報文密文230B�����,得到入網(wǎng)應答報文明文23B ;入網(wǎng)用戶終端 11中的微處理器模塊112���,通過比較解密后的入網(wǎng)應答報文明文23B信息中用戶入網(wǎng)請求 報文摘要231與隨機數(shù)據(jù)存儲器114中保存的入網(wǎng)請求報文摘要214相符合�,識別出針對 自己入網(wǎng)應答報文����,取得網(wǎng)絡接入終端13指配給自己的終端登錄令牌232B,存入隨機數(shù)據(jù) 存儲器114����。第五步驟(S95),入網(wǎng)用戶終端11通過數(shù)據(jù)收發(fā)裝置113向網(wǎng)絡接入終端13發(fā)送 登錄報文24B�,所述的登錄報文24B包括網(wǎng)絡接入終端13頒發(fā)的終端登錄令牌232B的識別 信息24IB和其它信息242。第六步驟(S96)�,網(wǎng)絡接入終端13從數(shù)據(jù)收發(fā)裝置131收到入網(wǎng)用戶終端11發(fā)回 的登錄報文24B以后,微處理器模塊132驗證登錄報文24B中包含正確的終端登錄令牌識 別信息241B���,確認入網(wǎng)用戶終端11合法��,完成通信連接的建立��,為其分配連接資源�,并將用 戶信息存入登錄用戶數(shù)據(jù)庫模塊135�。經(jīng)過上述步驟S91-S96,入網(wǎng)用戶終端11與網(wǎng)絡接入終端13之間建立了通信連 接���,網(wǎng)絡接入終端13可以為入網(wǎng)用戶終端11分配帶寬資源�,繼續(xù)后續(xù)網(wǎng)絡服務��,如通過網(wǎng) 間數(shù)據(jù)收發(fā)模塊133向其它網(wǎng)絡節(jié)點轉(zhuǎn)發(fā)數(shù)據(jù)���,或?qū)木W(wǎng)間數(shù)據(jù)收發(fā)模塊133收到的其他 網(wǎng)絡節(jié)點的數(shù)據(jù)轉(zhuǎn)發(fā)給入網(wǎng)用戶終端11����。第十實施例
為了進一步提高入網(wǎng)用戶終端11與網(wǎng)絡接入終端13之間登錄連接的建立過程的 安全性�����,還可以對入網(wǎng)用戶終端11與網(wǎng)絡接入終端13之間的登錄連接的建立過程作如下 改進,如圖11所示的步驟S101-S106��。入網(wǎng)用戶終端為了與網(wǎng)絡接入終端建立連接��,第一步驟(SlOl)是入網(wǎng)用戶終端 以明文方式發(fā)送包括終端用戶證書和用戶密鑰種子矢量的入網(wǎng)請求報文�����。入網(wǎng)用戶終端11 中的微處理器模塊112根據(jù)用戶終端配置存儲器111中的配置內(nèi)容生成用戶密鑰種子矢 量211和終端用戶證書212��,然后通過數(shù)據(jù)收發(fā)裝置113以明文方式向網(wǎng)絡接入終端13發(fā) 送入網(wǎng)請求報文21A��,所述的入網(wǎng)請求報文21A內(nèi)容包括所確定的用戶密鑰種子矢量211�、 用戶終端證書212和其他信息213��,同時在隨機數(shù)據(jù)存儲器114中記錄用戶密鑰種子矢量 211���,隨后微處理器模塊112計算入網(wǎng)請求報文21A的摘要214并存入隨機數(shù)據(jù)存儲器114 中��。第二步驟(S102)��,網(wǎng)絡接入終端13從數(shù)據(jù)收發(fā)裝置131收到入網(wǎng)用戶終端11發(fā) 來的入網(wǎng)請求報文21A后��,網(wǎng)絡接入終端13中的微處理器模塊132根據(jù)網(wǎng)絡接入終端配置 存儲器134中的配置內(nèi)容生成網(wǎng)絡密鑰種子矢量221��,然后使用終端用戶證書212中載明的 終端用戶公開密鑰加密網(wǎng)絡密鑰種子矢量221����,并形成報文22A,所述的報文22A中包括網(wǎng) 絡密鑰種子矢量密文223和其他信息222��,然后通過數(shù)據(jù)收發(fā)裝置131將加密后的網(wǎng)絡密鑰 種子矢量密文223的報文22A發(fā)送給入網(wǎng)用戶終端11�。入網(wǎng)用戶終端11從數(shù)據(jù)收發(fā)裝置 113接收到由網(wǎng)絡用戶終端13發(fā)送的包括網(wǎng)絡密鑰種子矢量密文223的報文22A后,根據(jù) 用戶本地的終端用戶私有密鑰解密網(wǎng)絡密鑰種子矢量密文223��,獲得網(wǎng)絡密鑰種子矢量明 文221�����,然后在隨機數(shù)據(jù)存儲器114中記錄網(wǎng)絡密鑰種子矢量明文221�。第三步驟(S103),網(wǎng)絡接入終端13從數(shù)據(jù)收發(fā)裝置131收到入網(wǎng)用戶終端11發(fā) 來的入網(wǎng)請求報文21A后�,根據(jù)網(wǎng)絡接入終端配置存儲器134的配置ζ為入網(wǎng)用戶終端11 分配終端登錄令牌232C,所述的終端登錄令牌232C包括終端登錄令牌初值Zl�、后期通信的 會話密鑰K4和指定的登錄時間T,所述的終端登錄令牌初值Zl = f8(z)�,生成函數(shù)&(2)是 包括加、減�����、乘、除���、模除��、異或�����、指數(shù)��、對數(shù)、微分���、積分���、三角函數(shù)、替換���、擴散�����、取系統(tǒng)時間�、 附加隨機數(shù)或指定常數(shù)等一種或多種數(shù)學運算的多項式。例如�����,如圖34所示����,直接在后期 通信的會話密鑰K4后附加指定的登錄時間T,在指定的登錄時間T后附加終端登錄令牌初 值Zl��,得到最后的終端登錄令牌232C ��;再比如�����,如圖35所示將后期通信的會話密鑰K4和指 定的登錄時間T都附加到終端登錄令牌初值Zl的后面�,將所得的整個值作為終端登錄令牌 232C ;再比如����,如圖36所示,可以將后期通信的會話密鑰K4和指定的登錄時間T分別插入 到終端登錄令牌初值Zl的內(nèi)部指定位置����,最后所得的值作為終端登錄令牌232C���。同時還準備密鑰調(diào)料234,微處理器模塊132還計算用戶入網(wǎng)請求報文21A的摘 要231���,并形成入網(wǎng)應答報文明文23C����,所述的入網(wǎng)應答報文明文23C中包括用戶入網(wǎng)請求 報文摘要231�、終端登錄令牌232C和其他信息233。然后以密文方式向入網(wǎng)用戶終端11發(fā) 送包括用戶入網(wǎng)請求報文摘要231和終端登錄令牌232C的入網(wǎng)應答報文密文230C���,所述密 文的加密密鑰包含用戶密鑰種子矢量211�、網(wǎng)絡密鑰種子矢量221和密鑰調(diào)料234信息����。第四步驟(S104)�,入網(wǎng)用戶終端11從數(shù)據(jù)收發(fā)裝置113每接收到一個入網(wǎng)應答報文密文230C后,解密入網(wǎng)應答報文密文230C����,得到入網(wǎng)應答報文明文23C ����;入網(wǎng)用戶終端 11中的微處理器模塊112�,通過比較解密后的入網(wǎng)應答報文明文23C信息中用戶入網(wǎng)請求報文摘要231與隨機數(shù)據(jù)存儲器114中保存的入網(wǎng)請求報文摘要214相符合,識別出針對自己入網(wǎng)應答報文�����,取得網(wǎng)絡接入終端13指配給自己的終端登錄令牌232C�����,存入隨機數(shù)據(jù) 存儲器114��。第五步驟(S105)���,入網(wǎng)用戶終端11通過數(shù)據(jù)收發(fā)裝置113向網(wǎng)絡接入終端13發(fā) 送登錄報文24C�����,所述的登錄報文24C包括網(wǎng)絡接入終端13頒發(fā)的終端登錄令牌232C的識 別信息241C和其它信息242�����。第六步驟(S106)�,網(wǎng)絡接入終端13從數(shù)據(jù)收發(fā)裝置131收到入網(wǎng)用戶終端11發(fā) 回的登錄報文24C以后,微處理器模塊132驗證登錄報文24C中包含正確的終端登錄令牌 識別信息241C�,確認入網(wǎng)用戶終端11合法,完成通信連接的建立��,為其分配連接資源�,并將 用戶信息存入登錄用戶數(shù)據(jù)庫模塊135。經(jīng)過上述步驟S101-S106���,入網(wǎng)用戶終端11與網(wǎng)絡接入終端13之間建立了通信連 接����,網(wǎng)絡接入終端13可以為入網(wǎng)用戶終端11分配帶寬資源����,繼續(xù)后續(xù)網(wǎng)絡服務,如通過網(wǎng) 間數(shù)據(jù)收發(fā)模塊133向其它網(wǎng)絡節(jié)點轉(zhuǎn)發(fā)數(shù)據(jù)��,或?qū)木W(wǎng)間數(shù)據(jù)收發(fā)模塊133收到的其他 網(wǎng)絡節(jié)點的數(shù)據(jù)轉(zhuǎn)發(fā)給入網(wǎng)用戶終端11��。網(wǎng)絡接入終端13為入網(wǎng)用戶終端11分配的終端登錄令牌包含終端登錄令牌初值 信息但是不僅限于終端登錄令牌初值信息���,所述的終端登錄令牌還可以包含后期的會話密 鑰、指定的登錄時間��、指定的登錄信道、指定的發(fā)送頻率等等����。當采用的強度較高的加密算法時,微處理器模塊112和132的運算能力可能難以 滿足要求�����,此時可以采用圖28所示的系統(tǒng)實現(xiàn)方案���。其中入網(wǎng)用戶終端IlA中增加了密碼 運算協(xié)處理器模塊115����,在網(wǎng)絡接入終端13A中增加了密碼運算協(xié)處理器模塊136����。在以上 所述五個步驟中,所有需要進行密碼運算的工作都可以由微處理器模塊控制轉(zhuǎn)交給密碼運 算協(xié)處理器模塊執(zhí)行��。第—^一實施例入網(wǎng)用戶終端IlB與網(wǎng)絡接入終端13B之間的登錄連接的建立過程包括如圖2所 示的步驟S11-S16�����。入網(wǎng)用戶終端為了與網(wǎng)絡接入終端建立連接,第一步驟(Sll)是入網(wǎng)用戶終端以 明文方式發(fā)送包括用戶密鑰種子矢量的入網(wǎng)請求報文�����。入網(wǎng)用戶終端IlB中的入網(wǎng)請求裝 置IlBl產(chǎn)生用戶密鑰種子矢量211�,然后通過數(shù)據(jù)收發(fā)裝置113以明文方式向網(wǎng)絡接入終 端13B發(fā)送入網(wǎng)請求報文21,所述的入網(wǎng)請求報文21內(nèi)容包括所確定的用戶密鑰種子矢 量211和其他信息213�,同時在隨機數(shù)據(jù)存儲器114中記錄用戶密鑰種子矢量211,隨后計 算入網(wǎng)請求報文21的摘要214并存入隨機數(shù)據(jù)存儲器114中���。第二步驟(S12)����,網(wǎng)絡接入終端以明文方式發(fā)送網(wǎng)絡密鑰種子矢量�����。網(wǎng)絡接入終 端13B中的入網(wǎng)應答裝置13B2生成網(wǎng)絡密鑰種子矢量221��,然后通過數(shù)據(jù)收發(fā)裝置131以 明文方式向入網(wǎng)用戶終端IlB發(fā)送報文22����,所述的報文22內(nèi)容包括所確定的網(wǎng)絡密鑰種子 矢量221和其他信息222。入網(wǎng)用戶終端IlB中的入網(wǎng)請求裝置IlBl從數(shù)據(jù)收發(fā)裝置113 接收到由網(wǎng)絡用戶終端13B發(fā)送的包括網(wǎng)絡密鑰種子矢量221的報文22���,然后在隨機數(shù)據(jù) 存儲器114中記錄網(wǎng)絡密鑰種子矢量221�����。第三步驟(S13)�,網(wǎng)絡接入終端13B從數(shù)據(jù)收發(fā)裝置131收到入網(wǎng)用戶終端11發(fā) 來的入網(wǎng)請求報文21后�����,入網(wǎng)應答裝置13B2為入網(wǎng)用戶終端IlB分配終端登錄令牌232�,同時準備密鑰調(diào)料234,計算用戶入網(wǎng)請求報文21的摘要231����,并形成入網(wǎng)應答報文23。 所述的入網(wǎng)應答報文23中包括用戶入網(wǎng)請求報文摘要231����、終端登錄令牌232和其他信息 233。然后報文加密裝置13B3對入網(wǎng)應答報文明文23加密�,通過數(shù)據(jù)收發(fā)裝置131向入 網(wǎng)用戶終端IlB發(fā)送入網(wǎng)應答報文密文230,所述密文的加密密鑰包含用戶密鑰種子矢量 211���、網(wǎng)絡密鑰種子矢量221和密鑰調(diào)料234信息���。第四步驟(S14)����,入網(wǎng)用戶終端IlB從數(shù)據(jù)收發(fā)裝置113每收到一個入網(wǎng)應答報文 密文230后���,解密搜索裝置11B2解密入網(wǎng)應答報文密文230�����,得到入網(wǎng)應答報文明文23�,通 過比較解密后的入網(wǎng)應答報文明文23信息中用戶入網(wǎng)請求報文摘要231與隨機數(shù)據(jù)存儲 器114中保存的入網(wǎng)請求報文摘要214相符合����,識別出針對自己入網(wǎng)應答報文,取得網(wǎng)絡接 入終端13指配給自己的終端登錄令牌232�����,存入隨機數(shù)據(jù)存儲器114�����。第五步驟(S15)�����,入網(wǎng)用戶終端IlB中的登錄認證發(fā)送裝置11B4通過數(shù)據(jù)收發(fā)裝 置113,向網(wǎng)絡接入終端13B發(fā)送登錄報文24���。所述的登錄報文24包括網(wǎng)絡接入終端13B 頒發(fā)的終端登錄令牌232的識別信息241和其它信息242。第六步驟(S16)�,網(wǎng)絡接入終端13B從數(shù)據(jù)收發(fā)裝置131收到入網(wǎng)用戶終端IlB發(fā) 回的登錄報文24以后,登錄認證裝置13B5驗證登錄報文24中包含正確的終端登錄令牌識 別信息241����,確認入網(wǎng)用戶終端11合法,完成通信連接的建立���,為其分配連接資源�����,并將用 戶信息存入登錄用戶數(shù)據(jù)庫模塊135��。經(jīng)過上述步驟S11 -S 16����,入網(wǎng)用戶終端1IB與網(wǎng)絡接入終端13B之間建立了通信連 接�����,網(wǎng)絡接入終端13B可以為入網(wǎng)用戶終端IlB分配帶寬資源,繼續(xù)后續(xù)網(wǎng)絡服務�����。第十二實施例為了提高入網(wǎng)用戶終端IlB與網(wǎng)絡接入終端13B之間登錄連接建立過程的安全 性�����,可以對入網(wǎng)用戶終端IlB與網(wǎng)絡接入終端13B之間的登錄連接的建立過程作如下改進�����, 如圖4所示的步驟S31-S36��。入網(wǎng)用戶終端為了與網(wǎng)絡接入終端建立連接���,第一步驟(S31)是入網(wǎng)用戶終端以 明文方式發(fā)送包括終端用戶證書和用戶密鑰種子矢量的入網(wǎng)請求報文��。入網(wǎng)用戶終端IlB 中的入網(wǎng)請求裝置IlBl產(chǎn)生用戶密鑰種子矢量211和終端用戶證書212��,通過數(shù)據(jù)收發(fā)裝 置113以明文方式向網(wǎng)絡接入終端13B發(fā)送入網(wǎng)請求報文21A�,所述的入網(wǎng)請求報文21A內(nèi) 容包括所確定的用戶密鑰種子矢量211��、終端用戶證書212和其他信息213,同時在隨機數(shù) 據(jù)存儲器114中記錄用戶密鑰種子矢量211�����,隨后計算入網(wǎng)請求報文21A的摘要214并存入 隨機數(shù)據(jù)存儲器114中�����。第二步驟(S32)���,網(wǎng)絡接入終端13B從數(shù)據(jù)收發(fā)裝置131收到入網(wǎng)用戶終端IlB發(fā) 來的入網(wǎng)請求報文21A后,入網(wǎng)應答裝置13B2生成網(wǎng)絡密鑰種子矢量221��,然后報文加密 裝置13B3使用終端用戶證書212中載明的終端用戶公開密鑰加密網(wǎng)絡密鑰種子矢量明文 221��,并生成報文22A���,所述的報文22A內(nèi)容包括所網(wǎng)絡密鑰種子矢量密文223和其他信息 222���。然后通過數(shù)據(jù)收發(fā)裝置131將加密后的網(wǎng)絡密鑰種子矢量密文223的報文22A發(fā)送 給入網(wǎng)用戶終端11B。入網(wǎng)用戶終端IlB中的入網(wǎng)請求裝置IlBl從數(shù)據(jù)收發(fā)裝置113接收 到由網(wǎng)絡用戶終端13B發(fā)送的包括網(wǎng)絡密鑰種子矢量密文223的報文22A����,解密搜索裝置 11B2根據(jù)用戶本地的終端用戶私有密鑰解密網(wǎng)絡密鑰種子矢量密文223�,獲得網(wǎng)絡密鑰種 子矢量221明文���,然后在隨機數(shù)據(jù)存儲器114中記錄網(wǎng)絡密鑰種子矢量221�。
第三步驟(S33)��,網(wǎng)絡接入終端13B從數(shù)據(jù)收發(fā)裝置131收到入網(wǎng)用戶終端IlB發(fā)來的入網(wǎng)請求報文21A后�����,入網(wǎng)應答裝置13B2為入網(wǎng)用戶終端IlB分配終端登錄令牌232��, 同時準備密鑰調(diào)料234����,計算用戶入網(wǎng)請求報文21A的摘要231,并形成入網(wǎng)應答報文明文 23���。所述的入網(wǎng)應答報文明文23中包括用戶入網(wǎng)請求報文摘要231���、終端登錄令牌232和 其他信息233。然后報文加密裝置13B3加密入網(wǎng)應答報文明文23����,通過數(shù)據(jù)收發(fā)裝置131 以密文方式向入網(wǎng)用戶終端11發(fā)送包括用戶入網(wǎng)請求報文摘要231和終端登錄令牌232 的入網(wǎng)應答報文密文230��,所述密文的加密密鑰包含用戶密鑰種子矢量211�、網(wǎng)絡密鑰種子 矢量221和密鑰調(diào)料234信息��。第四步驟(S34)����,入網(wǎng)用戶終端IlB從數(shù)據(jù)收發(fā)裝置113每接收到一個入網(wǎng)應答報 文密文230后,解密搜索裝置11B2解密入網(wǎng)應答報文密文230���,得到入網(wǎng)應答報文明文23���, 然后通過比較后的入網(wǎng)應答報文明文23信息中用戶入網(wǎng)請求報文摘要231與隨機數(shù)據(jù)存 儲器114中保存的入網(wǎng)請求報文摘要214相符合�����,識別出針對自己入網(wǎng)應答報文�����,取得網(wǎng)絡 接入終端13B指配給自己的終端登錄令牌232���,存入隨機數(shù)據(jù)存儲器114���。第五步驟(S35)��,入網(wǎng)用戶終端IlB中的登錄認證發(fā)送裝置11B5通過數(shù)據(jù)收發(fā)裝 置113向網(wǎng)絡接入終端13B發(fā)送登錄報文24�。所述的登錄報文24包括網(wǎng)絡接入終端13B 頒發(fā)的終端登錄令牌232的識別信息241和其它信息242���。第六步驟(S36)����,網(wǎng)絡接入終端13B從數(shù)據(jù)收發(fā)裝置131收到入網(wǎng)用戶終端IlB發(fā) 回的登錄報文24以后�����,登錄認證裝置13B4驗證登錄報文24中包含正確的終端登錄令牌識 別信息241�����,確認入網(wǎng)用戶終端IlB合法�����,完成通信連接的建立�,為其分配連接資源,并將用 戶信息存入登錄用戶數(shù)據(jù)庫模塊135。經(jīng)過上述步驟S31-S36�,入網(wǎng)用戶終端IlB與網(wǎng)絡接入終端13B之間建立了通信連 接,網(wǎng)絡接入終端13B可以為入網(wǎng)用戶終端IlB分配帶寬資源���,繼續(xù)后續(xù)網(wǎng)絡服務��。下面描述網(wǎng)絡接入終端中的數(shù)據(jù)收發(fā)裝置�����、微處理器模塊和入網(wǎng)用戶終端中的數(shù) 據(jù)收發(fā)裝置��、隨機數(shù)據(jù)存儲器���、微處理器模塊的具體功能,以有助于本領域的技術人員理解 本發(fā)明�。網(wǎng)絡接入終端中的數(shù)據(jù)收發(fā)裝置131,用于接收入網(wǎng)用戶終端發(fā)送的包括用戶密 鑰種子矢量的入網(wǎng)請求報文���,以明文方式發(fā)送網(wǎng)絡密鑰種子矢量,發(fā)送加密的入網(wǎng)應答報 文����,和接收入網(wǎng)用戶終端發(fā)送的登錄報文。網(wǎng)絡接入終端中的微處理器模塊132,用于在 接收到入網(wǎng)用戶終端發(fā)送的入網(wǎng)請求報文之后���,計算用戶入網(wǎng)請求報文摘要�����,為入網(wǎng)用戶 終端準備登錄令牌和密鑰調(diào)料���,加密包括用戶入網(wǎng)請求報文摘要和登錄令牌的入網(wǎng)應答報 文,所述的加密密鑰包括用戶密鑰種子矢量��、網(wǎng)絡密鑰種子矢量和密鑰調(diào)料的信息�,和在接 收到入網(wǎng)用戶終端發(fā)送的登錄報文之后,驗證登錄報文中包含正確的登錄令牌識別信息���, 確認入網(wǎng)用戶終端合法��。入網(wǎng)用戶終端中的數(shù)據(jù)收發(fā)裝置113��,用于以明文方式發(fā)送包括用戶密鑰種子矢 量的入網(wǎng)請求報文�����,接收由網(wǎng)絡接入終端發(fā)送的網(wǎng)絡密鑰種子矢量���,接收網(wǎng)絡接入終端發(fā) 送的入網(wǎng)應答報文���,并向網(wǎng)絡接入終端發(fā)送包括登錄令牌識別信息的登錄報文。入網(wǎng)用戶 終端中的隨機數(shù)據(jù)存儲器114���,用于存儲所述用戶密鑰種子矢量和網(wǎng)絡密鑰種子矢量��。入 網(wǎng)用戶終端中的微處理器模塊112���,用于存儲所述用戶密鑰種子矢量和網(wǎng)絡密鑰種子矢量; 和微處理器模塊(112)���,用于根據(jù)其用戶密鑰種子矢量�����、網(wǎng)絡密鑰種子矢量和密鑰調(diào)料信息生成解密密鑰����,解密收到的入網(wǎng)應答報文密文�,獲得入網(wǎng)應答報文明文,根據(jù)上述解密結果�����,識別出針對自己的入網(wǎng)應答報文��,獲得分配給自己的終端登錄令牌���,并將所述終端登錄 令牌識別信息包括在所述登錄報文中�。作為改進�����,網(wǎng)絡接入終端中的數(shù)據(jù)收發(fā)裝置131����,用于接收入網(wǎng)用戶終端發(fā)送的包 括用戶密鑰種子矢量的入網(wǎng)請求報文,發(fā)送以終端用戶公開密鑰加密的網(wǎng)絡密鑰種子矢量 密文���,發(fā)送入網(wǎng)應答報文�����,和接收入網(wǎng)用戶終端發(fā)送的登錄報文����。網(wǎng)絡接入終端中的微處理 器模塊132,用于在接收到入網(wǎng)用戶終端發(fā)送的入網(wǎng)請求報文之后��,計算用戶入網(wǎng)請求報文 摘要����,為入網(wǎng)用戶終端準備登錄令牌和密鑰調(diào)料,和在接收到入網(wǎng)用戶終端發(fā)送的登錄報 文之后��,驗證登錄報文中包含正確的登錄令牌識別信息����,確認入網(wǎng)用戶終端合法。網(wǎng)絡接入 終端中的密碼運算協(xié)處理器模塊136����,用于在接收到入網(wǎng)用戶終端發(fā)送的入網(wǎng)請求報文之 后,以終端用戶公開密鑰加密網(wǎng)絡密鑰種子矢量�����,根據(jù)用戶密鑰種子矢量����、網(wǎng)絡密鑰種子矢 量和密鑰調(diào)料信息生成加密密鑰,并加密包括用戶入網(wǎng)請求報文摘要和登錄令牌的入網(wǎng)應 答報文����。入網(wǎng)用戶終端中的數(shù)據(jù)收發(fā)裝置113��,用于以明文方式發(fā)送包括用戶密鑰種子矢 量的入網(wǎng)請求報文,接收由網(wǎng)絡接入終端發(fā)送的網(wǎng)絡密鑰種子矢量密文���,接收網(wǎng)絡接入終 端發(fā)送的入網(wǎng)應答報文�����,并向網(wǎng)絡接入終端發(fā)送包括登錄令牌識別信息的登錄報文���。入網(wǎng) 用戶終端中的隨機數(shù)據(jù)存儲器114,用于存儲所述用戶密鑰種子矢量和網(wǎng)絡密鑰種子矢量��。 入網(wǎng)用戶終端中的密碼運算協(xié)處理器115���,用于以終端用戶的私鑰來解密接收到的網(wǎng)絡密 鑰種子矢量密文�����,根據(jù)用戶密鑰種子矢量�����、網(wǎng)絡密鑰種子矢量和密鑰調(diào)料信息生成解密密 鑰���,和解密收到的入網(wǎng)應答報文密文�,獲得入網(wǎng)應答報文明文�。入網(wǎng)用戶終端中的微處理器 模塊112,用于根據(jù)上述解密結果���,識別出針對自己的入網(wǎng)應答報文����,獲得分配給自己的終 端登錄令牌��,并將所述終端登錄令牌識別信息包括在所述登錄報文中�。需要指出,正如對于本領域的技術人員來說顯而易見的�����,網(wǎng)絡接入終端或用戶接 入終端中的微處理器模塊也可以實現(xiàn)密碼協(xié)處理器的功能�����。根據(jù)上述描述,本領域的技術 人員將理解在不脫離本發(fā)明的精神的情況下��,可以對本發(fā)明的各種實施例中進行修改和改 變�。也就是,本說明書中的描述僅用于說明性的目的�����,而不應當理解為對本發(fā)明的限制��。本 發(fā)明的保護范圍僅取決于權利要求書的保護范圍���。
權利要求
一種用于對抗阻塞攻擊的在入網(wǎng)用戶終端與網(wǎng)絡接入終端之間建立連接的方法,其中網(wǎng)絡接入終端通過與入網(wǎng)用戶終端多次交換信息��,建立入網(wǎng)用戶終端和網(wǎng)絡接入終端之間的通信連接��,同時防范入網(wǎng)用戶終端以虛構的多重身份發(fā)動阻塞攻擊�,其特征在于,該方法包含步驟入網(wǎng)用戶終端以明文方式發(fā)送包括用戶密鑰種子矢量的入網(wǎng)請求報文�,網(wǎng)絡接入終端以明文方式發(fā)送網(wǎng)絡密鑰種子矢量,網(wǎng)絡接入終端收到入網(wǎng)用戶終端發(fā)來的入網(wǎng)請求報文后����,為入網(wǎng)用戶終端分配終端登錄令牌,以密文方式發(fā)送包括用戶入網(wǎng)請求報文摘要和終端登錄令牌的入網(wǎng)應答報文�,所述密文加密密鑰包含用戶密鑰種子矢量����、網(wǎng)絡密鑰種子矢量和密鑰調(diào)料的信息��,入網(wǎng)用戶終端解密收到的每一個入網(wǎng)應答報文��,通過比較解密后明文信息中的用戶入網(wǎng)請求報文摘要�,識別出針對自己的入網(wǎng)應答報文,取得網(wǎng)絡終端提供的終端登錄令牌�����,入網(wǎng)用戶終端向網(wǎng)絡接入終端發(fā)送包括終端登錄令牌識別信息的登錄報文��,和網(wǎng)絡接入終端收到登錄報文后��,驗證登錄報文中包含正確的終端登錄令牌識別信息�����,確認入網(wǎng)用戶終端合法�,完成通信連接的建立,為其分配連接資源�����。
2.一種用于對抗阻塞攻擊的在入網(wǎng)用戶終端與網(wǎng)絡接入終端之間建立連接的方法,其 中網(wǎng)絡接入終端通過與入網(wǎng)用戶終端多次交換信息����,建立入網(wǎng)用戶終端和網(wǎng)絡接入終端之 間的通信連接,同時防范入網(wǎng)用戶終端以虛構的多重身份發(fā)動阻塞攻擊�����,其特征在于����,該方 法包含步驟入網(wǎng)用戶終端以明文方式發(fā)送包括終端用戶證書和用戶密鑰種子矢量的入網(wǎng)請求報文���,網(wǎng)絡接入終端收到入網(wǎng)用戶終端發(fā)來的入網(wǎng)請求報文后����,使用終端用戶證書中載明的 終端用戶公開密鑰加密網(wǎng)絡密鑰種子矢量��,將加密后的網(wǎng)絡密鑰種子矢量密文發(fā)送給入網(wǎng) 用戶終端����,網(wǎng)絡接入終端收到入網(wǎng)用戶終端發(fā)來的入網(wǎng)請求報文后,還為入網(wǎng)用戶終端分配終端 登錄令牌,以密文方式發(fā)送包括用戶入網(wǎng)請求報文摘要和終端登錄令牌的入網(wǎng)應答報文�����, 所述密文加密密鑰包含用戶密鑰種子矢量����、網(wǎng)絡密鑰種子矢量和密鑰調(diào)料的信息,入網(wǎng)用戶終端解密收到的每一個入網(wǎng)應答報文���,通過比較解密后明文信息中的用戶入 網(wǎng)請求報文摘要�,識別出針對自己的入網(wǎng)應答報文��,取得網(wǎng)絡終端提供的登錄令牌�����, 入網(wǎng)用戶終端向網(wǎng)絡接入終端發(fā)送包括終端登錄令牌識別信息的登錄報文����,和 網(wǎng)絡接入終端收到登錄報文后,驗證登錄報文中包含正確的終端登錄令牌識別信息����, 確認入網(wǎng)用戶終端合法�,完成通信連接的建立�����,為其分配連接資源�。
3.如權利要求1-2中任一權利要求所述的用于對抗阻塞攻擊的在入網(wǎng)用戶終端與網(wǎng) 絡接入終端之間建立連接的方法,其特征還在于���,所述的用戶密鑰種子矢量中包括報文當 前發(fā)送時間��。
4.如權利要求1-2中任一權利要求所述的用于對抗阻塞攻擊的在入網(wǎng)用戶終端與網(wǎng) 絡接入終端之間建立連接的方法���,其特征還在于,所述的網(wǎng)絡密鑰種子矢量中包括報文當 前發(fā)送時間�����。
5.如權利要求1-2中任一權利要求所述的用于對抗阻塞攻擊的在入網(wǎng)用戶終端與網(wǎng) 絡接入終端之間建立連接的方法�,其特征還在于����,所述的登錄令牌中除了包括登錄令牌識別號以外還包括用于后續(xù)通信的會話密鑰。
6.如權利要求1-2中任一權利要求所述的用于對抗阻塞攻擊的在入網(wǎng)用戶終端與網(wǎng) 絡接入終端之間建立連接的方法����,其特征還在于�����,所述的登錄令牌中除了包括登錄令牌識 別號以外還包括指定的登錄時間���。
7.一種通信系統(tǒng),包括用戶入網(wǎng)終端和網(wǎng)絡接入終端�����,其中網(wǎng)絡接入終端通過與入網(wǎng) 用產(chǎn)終端多次交換信息�,建立入網(wǎng)用戶終端和網(wǎng)絡接入終端之間的通信連接,同時防范入 網(wǎng)用戶終端以虛構的多重身份發(fā)動阻塞攻擊�,其特征在于,所述網(wǎng)絡接入終端包括數(shù)據(jù)收發(fā)裝置(131)�,用于接收入網(wǎng)用戶終端發(fā)送的包括用戶密鑰種子矢量的入網(wǎng)請 求報文,以明文方式發(fā)送網(wǎng)絡密鑰種子矢量���,發(fā)送加密的入網(wǎng)應答報文����,和接收入網(wǎng)用戶終 端發(fā)送的登錄報文����;和微處理器模塊(132)��,用于在接收到入網(wǎng)用戶終端發(fā)送的入網(wǎng)請求報文之后���,計算用戶 入網(wǎng)請求報文摘要,為入網(wǎng)用戶終端準備登錄令牌和密鑰調(diào)料�,加密包括用戶入網(wǎng)請求報 文摘要和登錄令牌的入網(wǎng)應答報文,所述的加密密鑰包括用戶密鑰種子矢量����、網(wǎng)絡密鑰種 子矢量和密鑰調(diào)料的信息,和在接收到入網(wǎng)用戶終端發(fā)送的登錄報文之后�����,驗證登錄報文 中包含正確的登錄令牌識別信息����,確認入網(wǎng)用戶終端合法;所述用戶入網(wǎng)終端包括數(shù)據(jù)收發(fā)裝置(113)�,用于以明文方式發(fā)送包括用戶密鑰種子矢量的入網(wǎng)請求報文�,接 收由網(wǎng)絡接入終端發(fā)送的網(wǎng)絡密鑰種子矢量,接收網(wǎng)絡接入終端發(fā)送的入網(wǎng)應答報文��,并 向網(wǎng)絡接入終端發(fā)送包括登錄令牌識別信息的登錄報文;隨機數(shù)據(jù)存儲器(114)�,用于存儲所述用戶密鑰種子矢量和網(wǎng)絡密鑰種子矢量;和微處理器模塊(112)�,用于根據(jù)用戶密鑰種子矢量、網(wǎng)絡密鑰種子矢量和密鑰調(diào)料信 息生成解密密鑰�,解密收到的入網(wǎng)應答報文密文,獲得入網(wǎng)應答報文明文����,根據(jù)上述解密結 果,識別出針對自己的入網(wǎng)應答報文�����,獲得分配給自己的終端登錄令牌����,并將所述終端登錄 令牌識別信息包括在所述登錄報文中。
8.一種通信系統(tǒng)��,包括用戶入網(wǎng)終端和網(wǎng)絡接入終端�����,其中網(wǎng)絡接入終端通過與入網(wǎng) 用戶終端多次交換信息����,建立入網(wǎng)用戶終端和網(wǎng)絡接入終端之間的通信連接���,同時防范入 網(wǎng)用戶終端以虛構的多重身份發(fā)動阻塞攻擊,其特征在于���,所述網(wǎng)絡接入終端包括數(shù)據(jù)收發(fā)裝置(131)���,用于接收入網(wǎng)用戶終端發(fā)送的包括用戶密鑰種子矢量的入網(wǎng)請 求報文,發(fā)送以終端用戶公開密鑰加密的網(wǎng)絡密鑰種子矢量密文�����,發(fā)送入網(wǎng)應答報文�,和接 收入網(wǎng)用戶終端發(fā)送的登錄報文;微處理器模塊(132)���,用于在接收到入網(wǎng)用戶終端發(fā)送的入網(wǎng)請求報文之后��,計算用戶 入網(wǎng)請求報文摘要���,為入網(wǎng)用戶終端準備登錄令牌和密鑰調(diào)料,和在接收到入網(wǎng)用戶終端 發(fā)送的登錄報文之后,驗證登錄報文中包含正確的登錄令牌識別信息����,確認入網(wǎng)用戶終端 合法��;和密碼運算協(xié)處理器模塊(136)����,用于在接收到入網(wǎng)用戶終端發(fā)送的入網(wǎng)請求報文之后, 以終端用戶公開密鑰加密網(wǎng)絡密鑰種子矢量���,根據(jù)用戶密鑰種子矢量����、網(wǎng)絡密鑰種子矢量 和密鑰調(diào)料信息生成加密密鑰����,并加密包括用戶入網(wǎng)請求報文摘要和登錄令牌的入網(wǎng)應答報文;所述用戶入網(wǎng)終端包括數(shù)據(jù)收發(fā)裝置(113)���,用于以明文方式發(fā)送包括用戶密鑰種子矢量的入網(wǎng)請求報文��, 接收由網(wǎng)絡接入終端發(fā)送的網(wǎng)絡密鑰種子矢量密文��,接收網(wǎng)絡接入終端發(fā)送的入網(wǎng)應答報 文�����,并向網(wǎng)絡接入終端發(fā)送包括登錄令牌識別信息的登錄報文�;隨機數(shù)據(jù)存儲器(114),用于存儲所述用戶密鑰種子矢量和網(wǎng)絡密鑰種子矢量���; 密碼運算協(xié)處理器(115)��,用于以終端用戶的私鑰來解密接收到的網(wǎng)絡密鑰種子矢量 密文�����,根據(jù)用戶密鑰種子矢量��、網(wǎng)絡密鑰種子矢量和密鑰調(diào)料信息生成解密密鑰���,和解密收 到的入網(wǎng)應答報文密文,獲得入網(wǎng)應答報文明文��;和微處理器模塊(112)���,根據(jù)上述解密結果����,識別出針對自己的入網(wǎng)應答報文,獲得分配 給自己的終端登錄令牌����,并將所述終端登錄令牌識別信息包括在所述登錄報文中�。
全文摘要
本發(fā)明公開了一種抗阻塞攻擊的終端連接建立方法和終端訪問認證實現(xiàn)系統(tǒng),它屬于用戶終端訪問通信服務網(wǎng)絡的方法及其實現(xiàn)系統(tǒng)��,其特征在于該方法將確認用戶入網(wǎng)終端合法身份的雙向信息交換分成入網(wǎng)用戶終端發(fā)送包括用戶密鑰種子矢量的入網(wǎng)請求報文���,網(wǎng)絡接入終端發(fā)送網(wǎng)絡密鑰種子矢量����,網(wǎng)絡接入終端以密文方式發(fā)送包括用戶入網(wǎng)請求報文摘要和終端登錄令牌的入網(wǎng)應答報文��,入網(wǎng)用戶終端取得終端登錄令牌����,入網(wǎng)用戶終端向網(wǎng)絡接入終端回傳終端登錄令牌信息,以及網(wǎng)絡接入終端驗證終端登錄令牌信息六個步驟��。
文檔編號H04L29/06GK101827079SQ20101010154
公開日2010年9月8日 申請日期2010年1月27日 優(yōu)先權日2010年1月27日
發(fā)明者張鵬, 陳相寧 申請人:南京大學