專利名稱:認證報文的方法�����、系統(tǒng)�����、設備和服務器的制作方法
技術領域:
本發(fā)明涉及通信領域����,特別涉及認證報文的方法、系統(tǒng)��、設備和服務器���。
背景技術:
P2P (PeertoPeer��,點到點)是一種分布式網(wǎng)絡��,網(wǎng)絡的參與者共享所擁有的一部分硬件 資源����,如處理能力、存儲能力��、網(wǎng)絡連接能力或打印機等�,所共享的資源需要由網(wǎng)絡提供 服務和內容,能被其他對等節(jié)點(Peer)直接訪問�����,并且其它節(jié)點訪問時無需經(jīng)過中間實體��。 P2P網(wǎng)絡中的每個節(jié)點既是資源(服務和內容)的提供者——服務器Server,又是資源(服 務和內容)的獲取者——客戶Client��。 P2P網(wǎng)絡打破了傳統(tǒng)的Client/Server (C/S)模式���, 網(wǎng)絡中的每個節(jié)點的地位都是對等的����。
P2P網(wǎng)絡采用的分布式結構在提供擴展性和靈活性的同時����,也使它面臨著巨大的安全挑 戰(zhàn)它需要在沒有中心節(jié)點的情況下,提供身份驗證���、授權�、數(shù)據(jù)信息的安全傳輸����、數(shù)字簽 名、加密等機制�����。但目前的P2P技術存在一定的安全缺陷�,還不能完全實現(xiàn)這些機制。
現(xiàn)有技術中提供了一種使用證書作為在P2P overlay (P2P疊加網(wǎng))中進行消息驗證的方 法�,該方法的實現(xiàn)過程如下
發(fā)送節(jié)點首先用自己的私鑰對報文進行簽名,然后將該報文和簽名發(fā)送給接收節(jié)點���;
接收節(jié)點收到上述報文和簽名后��,根據(jù)發(fā)送節(jié)點的信息找到發(fā)送節(jié)點的證書���,對用發(fā)送 節(jié)點的公鑰對證書進行驗證;證書驗證通過后����,從發(fā)送節(jié)點的證書中取出節(jié)點的公鑰�;使用 公鑰判斷發(fā)送端的簽名是否正確�,如果正確,則認為所接收的報文是正確的�;否則,所接收 的報文是錯誤的���。
該技術首先需要對發(fā)送端的證書進行驗證�,驗證通過后�����,再用證書中的公鑰對報文的簽 名進行驗證�����,這種方式下��,需要進行多步����、多層驗證,給系統(tǒng)帶來比較大的開銷�����,給信息交 互過程帶來比較大的時延。
同時���,該技術還需要在overlay中部署一個證書中心(CA, certificate agent),當P2P overlay 中的節(jié)點為在線驗證證書時����,則每收到一個簽名就需要與CA交互一次��,獲取相應的證書�����, 當網(wǎng)絡規(guī)模比較大時�,CA處理速度會比較慢��,造成信息交互的時延��;當每個P2P overlay中
的節(jié)點都緩存其它節(jié)點的證書時�,則在每個節(jié)點上都需要占用比較大的存儲空間,因為在P2P 網(wǎng)絡中�, 一個節(jié)點可能和任意的節(jié)點通信。
現(xiàn)有技術中還提供了一種基于CPK (Combined Public Key,組合公鑰)的通信連接安 全認證系統(tǒng)����,該通信系統(tǒng)包括CPK安全認證單元����,用于在通信系統(tǒng)不同終端進行連接的過 i中��,在通信系統(tǒng)不同層次中�,對不同終端的標識及完整性碼,利用CPK算法進行安全認 證����。該技術的實現(xiàn)方法如下
第一終端向第二終端發(fā)起安全認證請求,請求消息中包括第一終端的標識認證碼和標識��; 第二終端對第一終端傳輸來的安全認證數(shù)據(jù)��,利用CPK算法進行解析���,通過第二終端的私 鑰和第一終端的標識對簽名進行解密驗證����。
其中���,CPK算法是依據(jù)離散對數(shù)難題的數(shù)學原理構建公鑰與私鑰矩陣��,采用組合算法與 映射算法��,實現(xiàn)基于標識的超大規(guī)模的密鑰生產�、存儲與分發(fā)。以橢圓曲線離散對數(shù)問題構 建該體制為例�,簡單描述如下-
在給定橢圓曲線密碼的參數(shù)的基礎上,構建公鑰矩陣和私鑰矩陣 -公鑰矩陣為矩陣����,矩陣中的個元素記為<formula>formula see original document page 6</formula>其中 是Xij對于基點G的倍數(shù)值���,即 G-X『(Xijj^) 1《 《(n-1 )����。 則尸SK與SSK兩矩陣中任一對應位置上的元素i ifOcij^j)與 構成一個公私鑰對��。 CPK中的一個實體的公私鑰對的生成是根據(jù)該實體標識的映射值分別在公鑰矩陣與私鑰 矩陣中選取對應位置的元素�����,進行組合�。例如設一個實體的標識映射值的行、列坐標為 (ii��,ji) (i2J2) (i3j'3)…(itjt);
則公鑰為PX=XUJ1+Xi2)j2+…+Xitjt=(Xiiji1yiiji)+(xi2j2!lyi2j2)+'"+(Xitjt yitjt); 私鑰為SX=niji+n2j2+…+ntjt mod n;
因為i^^i ilJl+及i2J2+…+及itJt
所以SK是PK對基點G的倍數(shù)值,倍點PK與倍數(shù)SK的組合構成公私鑰對����。 發(fā)明人在實現(xiàn)本發(fā)明的過程中,發(fā)現(xiàn)這種基于CPK的通信連接安全認證技術只對終端本 身進行了認證��,認為通過認證的終端一直有效����,沒有考慮終端標識的失效問題,例如當用 戶的密碼被盜��,用戶重新設置新密碼���,則原密碼無效���;或者用戶一段時間未交費,按照規(guī)則 該用戶無權使用系統(tǒng)等情況��。而上述技術不能防范失效終端或虛假終端發(fā)送惡意報文對P2P 疊加網(wǎng)的攻擊�����。
發(fā)明內容
為了防范惡意報文對網(wǎng)絡的攻擊�����,并簡化認證報文的過程,本發(fā)明實施例提供了一種認 證報文的方法���、系統(tǒng)��、設備和服務器�。所述技術方案如下 一種認證報文的方法��,所述方法包括
請求節(jié)點在報文中填加預先獲取的節(jié)點標識和有效期�,用私鑰對填加后的報文簽名,發(fā) 送簽名后的報文��;
終端節(jié)點收到報文后��,判斷所述報文中的有效期合法后����,根據(jù)所述節(jié)點標識和有效期計 算所述請求節(jié)點的公鑰�,用所述公鑰驗證簽名是否正確,如果正確����,所述報文通過認證。 本發(fā)明實施例還提供了一種認證報文的系統(tǒng),所述系統(tǒng)包括
請求節(jié)點設備���,用于在報文中填加預先獲取的節(jié)點標識和有效期��,用私鑰對填加后的報 文簽名����,發(fā)送簽名后的報文����;
終端節(jié)點設備,用于收到所述請求節(jié)點設備發(fā)送的報文后����,判斷所述報文中的有效期合 法后,根據(jù)所述節(jié)點標識和有效期計算所述請求節(jié)點設備的公鑰��,用所述公鑰驗證簽名是否 正確,如果正確�����,所述報文通過認證����。
本發(fā)明實施例還提供了另一種設備��,所述設備包括
有效期判斷模塊�����,用于收到報文后�,判斷所述報文中的有效期是否合法�����; 公鑰計算模塊���,用于所述有效期判斷模塊判斷出所述有效期合法后�����,根據(jù)所述報文中的
節(jié)點標識和有效期計算請求節(jié)點的公鑰�����;
簽名驗證模塊,用于用所述公鑰計算模塊計算出的公鑰驗證報文中的簽名是否正確����,如
果正確���,所述報文通過認證。
進一步地����,本發(fā)明實施例提供了一種服務器,所述服務器包括 節(jié)點標識與有效期生成模塊�����,用于收到注冊請求后�,生成節(jié)點標識和有效期; 私鑰獲取模塊����,用于向密鑰中心服務器請求與所述節(jié)點標識匹配的私鑰; 注冊響應信息發(fā)送模塊��,用于向請求節(jié)點發(fā)送注冊響應信息��,所述注冊響應信息包括所 述節(jié)點標識��、與所述節(jié)點標識匹配的私鑰和有效期����。 本發(fā)明實施例提供的技術方案的有益效果是
通過用節(jié)點標識和有效期作為CPK算法的映射名計算公鑰���,計算出的公鑰基于算法,因 li可省去對公鑰的驗證��;同時���,公鑰和有效期密切相關��,通過對有效期的設定可以決定一個 節(jié)點標識是否可以重復使用�,系統(tǒng)不需要對節(jié)點標識進行無效或者重新為用戶分配節(jié)點標識�����, 減少了對節(jié)點標識的管理����,并且,達到了一個用戶使用一個節(jié)點標識�����,防止了因為節(jié)點標識 有限而帶來的使用不便�����;
相比于通過證書的認證機制(需要驗證公鑰)�,本發(fā)明實施例提供的認證報文的技術減少 了消息交互的過程,更容易實現(xiàn)�;
通過對報文進行認證,防止了失效終端或虛假終端發(fā)送惡意報文對網(wǎng)絡的攻擊�。
圖1是本發(fā)明實施例1提供的在P2P疊加網(wǎng)中認證報文的方法流程圖; 圖2是本發(fā)明實施例2提供的認證報文的系統(tǒng)結構示意圖�����; 圖3是本發(fā)明實施例3提供的設備結構示意圖��; 圖4是本發(fā)明實施例4提供的服務器結構示意圖���。
具體實施例方式
為使本發(fā)明的目的���、技術方案和優(yōu)點更加清楚,下面將結合附圖對本發(fā)明實施方式作進 一步地詳細描述�����。
本發(fā)明實施例將節(jié)點標識和有效期填加在報文中���,然后再對報文進行簽名���,接收端通過 ,節(jié)點標識和有效期生成公鑰�����,用此公鑰驗證報文簽名的正確性�����。 實施例1
本實施例提供了一種認證報文的方法���,包括
請求節(jié)點在報文中填加預先獲取的節(jié)點標識和有效期,用私鑰對填加后的報文簽名�����,發(fā) 送填加后的報文�����,該填加后的報文攜帶報文簽名�;
終端節(jié)點收到報文后,判斷報文中的有效期合法后���,根據(jù)節(jié)點標識和有效期計算請求節(jié) 點的公鑰��,用公鑰驗證簽名是否正確��,如果正確����,報文通過認證�����。
有效期指對于每一個節(jié)點標識所對應的密鑰(公鑰和私鑰)的有效使用時間���,例如節(jié) 點標識為123的公鑰和私鑰的使用時間規(guī)定為1年��, 一年后需要重新生成新的公鑰和私鑰�����, 這樣就保證了每個節(jié)點的公鑰和私鑰不是永久有效的���,防止失效節(jié)點或虛假節(jié)點發(fā)送惡意報 文對網(wǎng)絡的攻擊。
'每個節(jié)點在發(fā)送報文前可以到注冊服務器進行注冊��,具體注冊過程如下
1) 請求節(jié)點向注冊服務器發(fā)送注冊請求;
2) 注冊服務器收到注冊請求后���,生成節(jié)點標識和有效期���,用自身的私鑰對有效期進行簽 名,向密鑰中心服務器請求與節(jié)點標識匹配的私鑰�����,然后發(fā)送注冊響應信息給請求節(jié)點�����,該 注冊響應信息包括節(jié)點標識���、節(jié)點標識匹配的私鑰��、注冊服務器的公鑰���、有效期和有效期的 簽名;
3) 請求節(jié)點收到注冊響應信息后���,用注冊服務器的公鑰驗證有效期的簽名是否正確����,如 果是,注冊成功�����。注冊獲得的節(jié)點標識和有效期將用于后續(xù)認證報文過程�����。
注冊服務器可以從密鑰中心服務器獲取CPK的公鑰矩陣���,并可以將節(jié)點標識發(fā)送給密鑰 中心服務器,由密鑰中心服務器根據(jù)節(jié)點標識和CPK的私鑰矩陣生成與該節(jié)點標識匹配的私 鑰��。
為了使接收節(jié)點(中繼節(jié)點或終端節(jié)點)能夠對報文的簽名進行驗證��,注冊服務器會將 矩陣映射算法和公鑰矩陣發(fā)送給接收節(jié)點����,接收節(jié)點將根據(jù)節(jié)點標識、有效期計算對應的請 求節(jié)點的公鑰���,用公鑰驗證報文的簽名是否正確�����。
根據(jù)需要���,可以網(wǎng)絡中配置一個黑名單管理服務器�,用于將失效的節(jié)點標識存儲在黑名 單表中���,并根據(jù)每個節(jié)點的具體情況定期更新黑名單表�,將此黑名單表同步到每個節(jié)點上�, 節(jié)點可以到黑名單管理服務器上對黑名單表進行更新,也可以由黑名單管理服務器將黑名單 表存放在網(wǎng)絡中���,節(jié)點到網(wǎng)絡中査找更新黑名單表�����。此處���,黑名單管理服務器的功能也可以 添加到上述注冊服務器中,由注冊服務器對黑名單表進行維護�����。
參見圖l,以P2P疊加網(wǎng)中的請求節(jié)點向終端節(jié)點發(fā)送報文為例����,在P2P疊加網(wǎng)中認證報文
的方法具體包括以下步驟
步驟101:請求節(jié)點在P2P報文中填加節(jié)點標識和有效期,用私鑰對報文進行簽名���。 步驟102:請求節(jié)點發(fā)送填加了節(jié)點標識和有效期的報文��,并攜帶報文的簽名�。 步驟103:中繼節(jié)點將此報文轉發(fā)給終端節(jié)點�����。步驟104:終端節(jié)點收到報文后�,提取報文中的有效期��,判斷有效期是否合法�����,如果合法���, 執(zhí)行步驟105;否則執(zhí)行步驟108�。
此處判斷有效期是否合法指當前時間是否在有效期內,如果在有效期內�,報文的有效期 合法,否則不合法����。
步驟105:終端節(jié)點用報文中的節(jié)點標識和有效期一起作為CPK的標識映射名,計算出請
求節(jié)點的公鑰�����。
步驟106:終端節(jié)點根據(jù)請求節(jié)點的公鑰判斷報文的簽名是否正確�����,如果正確�,執(zhí)行步驟
107,否則��,執(zhí)行步驟108����。
步驟107:此報文通過認證,響應請求節(jié)點發(fā)送的報文���。 步驟108:認證失敗�����,丟棄該報文�。
在上述方法中,終端節(jié)點收到報文后�����,也可以判斷報文中的節(jié)點標識是否在黑名單表中�����,
如果不在����,則說明該節(jié)點標識是合法的�����,執(zhí)行步驟105;否則�,執(zhí)行步驟108。對判斷節(jié)點標
識是否在黑名單表中與判斷有效期是否合法的先后順序不作限定���,優(yōu)選先判斷有效期���,后判 斷節(jié)點標識����。
上述中繼節(jié)點只作為轉發(fā)設備�����,將收到的報文轉發(fā)給終端節(jié)點���,根據(jù)需要�,中繼節(jié)點也
可以對報文的簽名進行判斷�����,判斷過程類似步驟104至步驟108中終端節(jié)點的判斷過程�����,這里
不再贅述��。
上述方法也可以用在其它網(wǎng)絡中����,如傳感器網(wǎng)絡等�。方法同上���,這里不再詳述�。
如果終端節(jié)點和請求節(jié)點之間需要用會話密鑰對后續(xù)通信的報文進行加密����,可以通過
CPK方法生成加密會話密鑰的對稱密鑰,該對稱密鑰在終端節(jié)點上可以表示為請求節(jié)點的 公鑰X終端節(jié)點的私鑰��;在請求節(jié)點上表示為請求節(jié)點的私鑰X終端節(jié)點的公鑰�,其中,
終端節(jié)點的公鑰也是根據(jù)終端節(jié)點的標識和有效期����,通過公鑰矩陣計算得出的。
本實施例請求節(jié)點通過將節(jié)點標識和有效期綁定在一起填加到報文中�����,再對報文進行簽 名��,終端節(jié)點根據(jù)報文中的節(jié)點標識和有效期計算出請求節(jié)點的公鑰����,用計算出的公鑰驗證
簽名的正確性,進而認證報文�,防止了有效期失效的節(jié)點對網(wǎng)絡的攻擊;并且根據(jù)節(jié)點標識 禾口有效期計算公鑰的方法����,和通過證書認證機制相比,減少了消息交互的次數(shù)����,更容易實現(xiàn)。 同時�����,本發(fā)明實施例提供的公鑰和有效期密切相關���,通過對有效期的設定可以決定一個 節(jié)點標識是否可以重復使用�����,系統(tǒng)不需要對節(jié)點標識進行無效或者重新為用戶分配節(jié)點標識�����, 減少了對節(jié)點標識的管理���,并且�����,達到了一個用戶使用一個節(jié)點標識����,防止了因為節(jié)點標識 有限而帶來的使用不便����。
實施例2
參見圖2,本實施例提供了一種認證報文的系統(tǒng)��,包括
請求節(jié)點設備201�����,用于在報文中填加預先獲取的節(jié)點標識和有效期����,用私鑰對填加后 的報文簽名,發(fā)送簽名后的報文���;
終端節(jié)點設備202�,用于收到請求節(jié)點設備201發(fā)送的報文后�����,判斷報文中的有效期合 法后���,根據(jù)節(jié)點標識和有效期計算請求節(jié)點設備201的公鑰�����,用公鑰驗證簽名是否正確��,如 果正確�,報文通過認證����。
其中,請求節(jié)點設備201還包括
注冊模塊��,用于發(fā)送注冊請求和接收注冊響應信息�;
相應地,該系統(tǒng)還包括
注冊服務器203,用于接收注冊模塊發(fā)送的注冊請求�,生成節(jié)點標識和有效期�,向密鑰 中心服務器請求與節(jié)點標識匹配的私鑰�����,發(fā)送注冊響應信息給請求節(jié)點設備201,注冊響應 信息包括節(jié)點標識�����、與節(jié)點標識匹配的私鑰和有效期���。
該系統(tǒng)還包括
黑名單管理服務器204���,用于將失效的節(jié)點標識存儲在黑名單表中,并將黑名單表下發(fā) 給終端節(jié)點設備202����。
相應地,終端節(jié)點設備202還包括 '節(jié)點標識判斷單元����,用于判斷報文中的節(jié)點標識是否在所述黑名單管理服務器204下發(fā) 的黑名單表中,如果在�,該報文未通過認證,否則����,繼續(xù)認證該報文��。實施例3
參見圖3,本實施例提供了一種設備����,包括
有效期判斷模塊301,用于收到報文后���,判斷報文中的有效期是否合法��;
公鑰計算模塊302����,用于有效期判斷模塊301判斷出有效期合法后�,根據(jù)報文中的節(jié)點 標識和有效期計算請求節(jié)點的公鑰;
簽名驗證模塊303���,用于用公鑰計算模塊302計算出的公鑰驗證報文中的簽名是否正確�, 如果正確�����,報文通過認證。
該設備包括
節(jié)點標識判斷單元��,用于判斷報文中的節(jié)點標識是否在黑名單表中���,如果在���,報文認證 失敗,否則��,通知公鑰計算模塊302計算請求節(jié)點的公鑰���。
實施例4
參見圖4��,本實施例提供了一種服務器�����,包括
節(jié)點標識與有效期生成模塊401���,用于收到注冊請求后,生成節(jié)點標識和有效期��; 私鑰獲取模塊402�,用于向密鑰中心服務器請求與節(jié)點標識匹配的私鑰�����; 注冊響應信息發(fā)送模塊403�,用于向請求節(jié)點發(fā)送注冊響應信息�����,注冊響應信息包括節(jié) 點標識�����、與節(jié)點標識匹配的私鑰和有效期��。
以上實施例通過根據(jù)報文中的節(jié)點標識和有效期計算出請求節(jié)點的公鑰����,用計算出的公 鑰驗證簽名的正確性����,進而認證報文,防止了失效終端或虛假終端發(fā)送惡意報文網(wǎng)絡的攻擊��。 通過維護黑名單表����,進一步增加了系統(tǒng)的安全性�;并且通過根據(jù)節(jié)點標識和有效期計算公鑰
的方法���,和通過證書認證機制(需要驗證公鑰)相比��,減少了消息交互的次數(shù)��,更容易實現(xiàn)����。 同時��,本發(fā)明實施例提供的公鑰和有效期密切相關��,通過對有效期的設定可以決定一個 節(jié)點標識是否可以重復使用�,系統(tǒng)不需要對節(jié)點標識進行無效或者重新為用戶分配節(jié)點標識, 減少了對節(jié)點標識的管理����,并且,達到了一個用戶使用一個節(jié)點標識�,防止了因為節(jié)點標識 有限而帶來的使用不便。
本領域普通技術人員可以理解實現(xiàn)上述實施例方法中的全部或部分步驟是可以通過程序 來指令相關的硬件完成,所述的程序可以存儲于一計算機可讀取存儲介質中�,該程序在執(zhí)行 時,包括上述步驟101中的報文簽名�����、步驟104至步驟108中的報文認證過程等���,所述的存 儲介質����,如ROM/RAM��、磁碟����、光盤等�。
以上所述僅為本發(fā)明的較佳實施例,并不用以限制本發(fā)明�,凡在本發(fā)明的精神和原則之 內,所作的任何修改�、等同替換、改進等�����,均應包含在本發(fā)明的保護范圍之內。
權利要求
1. 一種認證報文的方法�,其特征在于,所述方法包括請求節(jié)點在報文中填加預先獲取的節(jié)點標識和有效期����,用私鑰對填加后的報文簽名,發(fā)送簽名后的報文��;終端節(jié)點收到報文后��,判斷所述報文中的有效期合法后��,根據(jù)所述節(jié)點標識和有效期計算所述請求節(jié)點的公鑰���,用所述公鑰驗證簽名是否正確�,如果正確�,所述報文通過認證。
2. 如權利要求1所述的認證報文的方法��,其特征在于��,所述請求節(jié)點在報文中填加預先獲取的節(jié)點標識和有效期的步驟之前包括請求節(jié)點向注冊服務器發(fā)送注冊請求�;所述注冊服務器收到所述注冊請求后,生成節(jié)點標識和有效期,向密鑰中心服務器請求 與所述節(jié)點標識匹配的私鑰����,發(fā)送注冊響應信息給所述請求節(jié)點,所述注冊響應信息包括所 述節(jié)點標識����、與所述節(jié)點標識匹配的私鑰和有效期。
3. 如權利要求2所述的認證報文的方法�,其特征在于,所述所述注冊服務器收到所述注 冊請求后���,生成節(jié)點標識和有效期的步驟之后還包括-所述注冊服務器用自身的私鑰對所述有效期進行簽名�����; 相應地,所述注冊響應信息還包括所述注冊服務器的公鑰和有效期的簽名����; 所述請求節(jié)點收到所述注冊響應信息后,用注冊服務器的公鑰驗證所述有效期的簽名是 否正確��,如果正確�,注冊成功。
4. 如權利要求1所述的認證報文的方法,其特征在于�,所述方法還包括-.將失效的節(jié)點標識存儲在黑名單表中,并將所述黑名單表下發(fā)給所述終端節(jié)點�; 相應地,所述終端節(jié)點收到報文后還包括檢査所述節(jié)點標識是否在黑名單表中�����,如果在����,所述報文未通過認證;否則繼續(xù)認證所 述報文����。
5. 如權利要求1所述的認證報文的方法,其特征在于�,所述方法還包括 中繼節(jié)點收到報文后,判斷所述報文中的有效期合法后�,根據(jù)所述節(jié)點標識和有效期計算所述請求節(jié)點的公鑰,用所述公鑰驗證簽名是否正確�����,如果正確�,轉發(fā)所述報文�。
6. 如權利要求1所述的認證報文的方法�,其特征在于,所述請求節(jié)點和終端節(jié)點是點對 點疊加網(wǎng)中的節(jié)點��。
7. —種認證報文的系統(tǒng)���,其特征在于�����,所述系統(tǒng)包括請求節(jié)點設備����,用于在報文中填加預先獲取的節(jié)點標識和有效期�,用私鑰對填加后的報 文簽名,發(fā)送簽名后的報文���;終端節(jié)點設備�,用于收到所述請求節(jié)點設備發(fā)送的報文后����,判斷所述報文中的有效期合 法后���,根據(jù)所述節(jié)點標識和有效期計算所述請求節(jié)點設備的公鑰�,用所述公鑰驗證簽名是否 正確,如果正確�����,所述報文通過認證��。
8. 如權利要求7所述的認證報文的系統(tǒng)�,其特征在于,所述請求節(jié)點設備還包括 注冊模塊���,用于發(fā)送注冊請求和接收注冊響應信息����;相應地����,所述系統(tǒng)還包括注冊服務器,用于接收所述注冊模塊發(fā)送的注冊請求�,生成節(jié)點標識和有效期,向密鑰 中心服務器請求與所述節(jié)點標識匹配的私鑰���,發(fā)送注冊響應信息給所述請求節(jié)點設備����,所述 注冊響應信息包括所述節(jié)點標識、與所述節(jié)點標識匹配的私鑰和有效期���。
9. 如權利要求7所述的認證報文的系統(tǒng)����,其特征在于�,所述系統(tǒng)還包括 黑名單管理服務器,用于將失效的節(jié)點標識存儲在黑名單表中���,并將所述黑名單表下發(fā)給所述終端節(jié)點設備����;相應地����,所述終端節(jié)點設備還包括節(jié)點標識判斷單元,用于判斷所述報文中的節(jié)點標識是否在所述黑名單管理服務器下發(fā) 的黑名單表中�����,如果在����,所述報文未通過認證,否則�,繼續(xù)認證所述報文。
10. —種設備�,其特征在于,所述設備包括有效期判斷模塊���,用于收到報文后���,判斷所述報文中的有效期是否合法; 公鑰計算模塊��,用于所述有效期判斷模塊判斷出所述有效期合法后����,根據(jù)所述報文中的 節(jié)點標識和有效期計算請求節(jié)點的公鑰;簽名驗證模塊����,用于用所述公鑰計算模塊計算出的公鑰驗證報文中的簽名是否正確,如 果正確��,所述報文通過認證�����。
11. 如權利要求10所述的設備,其特征在于�,所述設備還包括節(jié)點標識判斷單元,用于判斷所述報文中的節(jié)點標識是否在黑名單表中����,如果在,所述 報文認證失敗����,否則,通知所述公鑰計算模塊計算請求節(jié)點的公鑰��。
12. —種服務器��,其特征在于�����,所述服務器包括節(jié)點標識與有效期生成模塊���,用于收到注冊請求后��,生成節(jié)點標識和有效期�����; 私鑰獲取模塊���,用于向密鑰中心服務器請求與所述節(jié)點標識匹配的私鑰; 注冊響應信息發(fā)送模塊�,用于向請求節(jié)點發(fā)送注冊響應信息,所述注冊響應信息包括所 難節(jié)點標識���、與所述節(jié)點標識匹配的私鑰和有效期�。
全文摘要
本發(fā)明公開了一種認證報文的方法��、系統(tǒng)�、設備和服務器,屬于通信領域�。所述方法包括請求節(jié)點在報文中填加預先獲取的節(jié)點標識和有效期,用私鑰對填加后的報文簽名��,發(fā)送簽名后的報文��;終端節(jié)點收到報文后�,判斷所述報文中的有效期合法后,根據(jù)所述節(jié)點標識和有效期計算所述請求節(jié)點的公鑰,用所述公鑰驗證簽名是否正確����,如果正確,所述報文通過認證���。所述系統(tǒng)包括請求節(jié)點設備和終端節(jié)點設備�����。所述服務器包括節(jié)點標識與有效期生成模塊���、私鑰獲取模塊和注冊響應信息發(fā)送模塊。本發(fā)明通過用節(jié)點標識和有效期計算出的公鑰驗證報文的簽名����,簡化了認證報文的過程,并防止了惡意報文對網(wǎng)絡的攻擊����。
文檔編號H04L9/32GK101378315SQ20071012083
公開日2009年3月4日 申請日期2007年8月27日 優(yōu)先權日2007年8月27日
發(fā)明者峰 李, 江興烽 申請人:華為技術有限公司