專利名稱:一種基于分離映射網(wǎng)絡(luò)使用數(shù)字證書(shū)驗(yàn)證用戶身份的方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種基于分離映射網(wǎng)絡(luò)使用數(shù)字證書(shū)驗(yàn)證用戶身份的方法,屬于網(wǎng)絡(luò)技術(shù)領(lǐng)域���。
背景技術(shù):
在TCP/IP協(xié)議體系中IP地址表示主機(jī)的網(wǎng)絡(luò)拓?fù)涞刂泛椭鳈C(jī)身份�,這種IP地址同時(shí)表示網(wǎng)絡(luò)拓?fù)湮恢煤椭鳈C(jī)身份的雙重功能嚴(yán)重限制了主機(jī)的移動(dòng)性�����。當(dāng)主機(jī)移動(dòng)改變其IP地址時(shí),通信雙方無(wú)法在原始創(chuàng)建的網(wǎng)絡(luò)層通信鏈路上發(fā)送或接收數(shù)據(jù)而通信將中斷�。IP地址同時(shí)作為位置標(biāo)識(shí)符和身份標(biāo)識(shí)符的重要原因之一是互聯(lián)網(wǎng)最初設(shè)計(jì)并未考慮主機(jī)移動(dòng)的情況。隨著互聯(lián)網(wǎng)中移動(dòng)設(shè)備的增多����,IP地址語(yǔ)義過(guò)載的弊端就逐漸顯現(xiàn)出來(lái)。目前互聯(lián)網(wǎng)移動(dòng)性解決主要方案移動(dòng)IP (Mobile IP�����, MIP)�,用主機(jī)的家鄉(xiāng)地址作為主機(jī)的身份標(biāo)識(shí),通過(guò)設(shè)置家鄉(xiāng)代理來(lái)實(shí)現(xiàn)路由的重定向���。雖然移動(dòng)IP使移動(dòng)主機(jī)能夠繼續(xù)使用原有IP地址與對(duì)端進(jìn)行通信�����,但是產(chǎn)生了三角路由�、切換延遲等問(wèn)題��。移動(dòng)IPv6(Mobile IPv6)避免了三角路由問(wèn)題��,但仍存在較大的切換延遲��。為了從本質(zhì)上解決移動(dòng)性、多家鄉(xiāng)問(wèn)題��,需要把主機(jī)的位置標(biāo)識(shí)符和身份標(biāo)識(shí)符進(jìn)行分離��。
IP地址二義性�,不僅不利于移動(dòng)�、多家鄉(xiāng)等業(yè)務(wù)的開(kāi)展,而且對(duì)網(wǎng)絡(luò)安全狀況造成了嚴(yán)重的影響�����。由于IP地址是互聯(lián)網(wǎng)絡(luò)設(shè)備和用戶身份的象征��,因此攻擊者可以通過(guò)偽造受害者的IP地址在網(wǎng)絡(luò)中進(jìn)行一些不法行為�,如搶占帶寬,攻擊某些設(shè)備等���?;ヂ?lián)網(wǎng)中中間路由器根據(jù)目的地址轉(zhuǎn)發(fā)分組�,對(duì)數(shù)據(jù)來(lái)源不審查、不驗(yàn)證����,也給IP地址欺騙等攻擊提供了方便���。
地址分離映射將主機(jī)的位置信息與身份信息進(jìn)行了分離,地址分離映射網(wǎng)絡(luò)通過(guò)接入網(wǎng)和骨干網(wǎng)的拓?fù)鋭澐?����,建立了接入地址和路由地址分離的基礎(chǔ)��,這種地址分離映射網(wǎng)絡(luò)的基本通信過(guò)程如圖l所示�。在分離映射網(wǎng)絡(luò)下,管理部門為終端分配一個(gè)唯一的接入地址�,代表終端的身份信息;接入路由器為接入終端分配路由地址�����,代表終端的位置信息��。 一個(gè)終端可以有多個(gè)網(wǎng)絡(luò)接口卡��,但只能有一個(gè)接入地址�,接入地址是全網(wǎng)唯一的,不隨終端移動(dòng)而改變��;路由地址由接入路由器分配,可以隨終端移動(dòng)而改變��。
骨干網(wǎng)負(fù)責(zé)路由和映射管理�,骨干網(wǎng)上的網(wǎng)絡(luò)接口都配置路由地址,而所有接入網(wǎng)上的網(wǎng)絡(luò)接口都配置接入地址��。接入路由器是接入網(wǎng)和骨干網(wǎng)的分界點(diǎn)�,也是惟一同時(shí)具有接入地址和路由地址的網(wǎng)絡(luò)設(shè)備,但是同一個(gè)網(wǎng)絡(luò)接口不能同時(shí)擁有接入地址和路由地址���。接入路由器擁有一定數(shù)量的路由地址供其自由使用����,骨干網(wǎng)可以不考慮身份問(wèn)題�����,完全按照地址聚合的方式根據(jù)網(wǎng)絡(luò)拓?fù)鋵?duì)接入路由器進(jìn)行路由地址分配����,解決了路由聚合的問(wèn)題�����。
所有的終端都必須通過(guò)接入路由器接入網(wǎng)絡(luò)���,接入路由器會(huì)對(duì)終端身份進(jìn)行驗(yàn)證����,為終端分配一個(gè)空閑的路由地址。這個(gè)路由地址和終端的接入地址在
接入路由器的本地用戶映射表(Local user Mapping Table, LMT)中形成一個(gè)映射關(guān)系�����,同時(shí)接入路由器通知映射服務(wù)器更新終端地址映射關(guān)系���,但是這個(gè)映射關(guān)系并不告知終端�。終端還要定期和接入路由器交互�,表明自己仍處于此接入網(wǎng)中。這樣網(wǎng)絡(luò)通過(guò)映射服務(wù)器保存了所有接入終端接入地址和路由地址的映射關(guān)系�。
接入路由器不僅要完成數(shù)據(jù)包的尋路轉(zhuǎn)發(fā)工作,還要為每個(gè)用戶的數(shù)據(jù)包進(jìn)行地址替換操作��。用戶發(fā)出的數(shù)據(jù)包中源�、目的地址均為接入地址�,接入路由器在査找本地用戶映射表LMT,或者向映射服務(wù)器査詢之后�����,用獲取的路由地址替換數(shù)據(jù)包中源���、目的終端的接入地址,替換之后將其發(fā)往骨干網(wǎng)�����。當(dāng)數(shù)據(jù)包到達(dá)通信對(duì)端所在接入路由器時(shí)��,也需要一個(gè)相反的過(guò)程來(lái)將數(shù)據(jù)包中的路由地址重新替換成雙方的接入地址,并轉(zhuǎn)發(fā)給通信對(duì)端����。
整個(gè)地址分離映射網(wǎng)絡(luò)劃分成若干個(gè)管理域�����,每個(gè)域內(nèi)設(shè)一臺(tái)映射服務(wù)器�����,負(fù)責(zé)存儲(chǔ)、管理本域內(nèi)的節(jié)點(diǎn)信息,可以避免因網(wǎng)絡(luò)規(guī)模太大帶來(lái)的一些問(wèn)題����。當(dāng)網(wǎng)絡(luò)規(guī)模較小時(shí), 一臺(tái)映射服務(wù)器就可保存網(wǎng)絡(luò)中所有節(jié)點(diǎn)的信息���,由它集中管理全網(wǎng)終端的接入/路由地址映射���,但當(dāng)網(wǎng)絡(luò)規(guī)模足夠大的時(shí)候�, 一臺(tái)映射服務(wù)器就不可能保存全局所有的節(jié)點(diǎn)映射信息,這樣造成服務(wù)器存儲(chǔ)量過(guò)于龐
8大��,査詢速度降低����,可靠性差等。這種管理域是按照一臺(tái)映射服務(wù)器的管理范圍來(lái)劃分�,不會(huì)影響數(shù)據(jù)包傳輸中的路由過(guò)程。
如圖1 �,地址分離映射網(wǎng)絡(luò)中同一個(gè)域內(nèi)終端A與終端B的一次完整通信過(guò)程如下
步驟l:終端A進(jìn)入接入路由器AR1的覆蓋范圍,第一次通信時(shí)必須首先向AR1
發(fā)送認(rèn)證請(qǐng)求��。
步驟2: AR1向認(rèn)證機(jī)構(gòu)進(jìn)行認(rèn)證査詢�����。步驟3: AR1將認(rèn)證結(jié)果返回終端A。
步驟4:如果認(rèn)證通過(guò)����,AR1為終端A分配路由地址�,建立接入地址與路由地址之間的映射關(guān)系,并保存到本地用戶映射表LMT中����。
步驟5: AR1將該映射關(guān)系向映射服務(wù)器匯報(bào),映射服務(wù)器記錄下這對(duì)映射關(guān)系�。
步驟6:終端A向終端B發(fā)送數(shù)據(jù)包。數(shù)據(jù)包中源地址是終端A的接入地址�,數(shù)據(jù)包的目的地址是終端B的接入地址。
步驟7: AR1收到終端A發(fā)給B的第一個(gè)數(shù)據(jù)包����,由于它不知道終端B的接入地址與路由地址之間的映射關(guān)系,所以向映射服務(wù)器查詢�。
步驟8:當(dāng)AR1得到從映射服務(wù)器返回的終端B的映射關(guān)系后,將該映射關(guān)系
存儲(chǔ)到對(duì)端用戶映射表中�����。
步驟9: AR1將數(shù)據(jù)包中的源和目的接入地址替換為相對(duì)應(yīng)的路由地址,然后把替換后的數(shù)據(jù)包轉(zhuǎn)發(fā)出去���。網(wǎng)絡(luò)中的核心路由器根據(jù)數(shù)據(jù)包中的路由地址將該數(shù)據(jù)包轉(zhuǎn)發(fā)給AR3��。
步驟10: AR3收到AR1發(fā)送來(lái)的數(shù)據(jù)包后����,由于是第一次通信�����,AR3中的對(duì)端用戶映射表沒(méi)有終端A的映射信息�����,所以到映射服務(wù)器中査詢�����。
步驟ll: AR3收到映射服務(wù)器返回的映射關(guān)系后���,將終端A的接入地址與路由地址之間的映射關(guān)系存儲(chǔ)到對(duì)端用戶映射表中�。
步驟12: AR3獲取映射關(guān)系后����,將源和目的地址由路由地址替換回接入標(biāo)識(shí)���,并向終端B進(jìn)行轉(zhuǎn)發(fā),最后終端B收到終端A發(fā)送的數(shù)據(jù)包�����。目前�����,常用數(shù)字證書(shū)來(lái)表明用戶身份�����。數(shù)字證書(shū)如同我們?nèi)粘I钪惺褂?的身份證��,它是證書(shū)持有者在網(wǎng)絡(luò)上進(jìn)行信息交流等活動(dòng)的身份證明���。數(shù)字證
書(shū)采用公鑰密碼體制,通過(guò)值得信任的第三方認(rèn)證機(jī)構(gòu)CA(Certification Authority)簽發(fā)�,將用戶公鑰與用戶的身份信息綁定在一起形成一份電子文檔。 認(rèn)證機(jī)構(gòu)CA負(fù)責(zé)認(rèn)證用戶的身份并向用戶簽發(fā)數(shù)字證書(shū)����。數(shù)字證書(shū)中除包含用 戶公鑰外�,還包括了用戶的身份信息和發(fā)放該證書(shū)的頒發(fā)者的信息��。認(rèn)證機(jī)構(gòu) CA用它的私鑰對(duì)數(shù)字證書(shū)中的所有信息進(jìn)行數(shù)字簽名���,并將簽名附在證書(shū)的后 面��,形成完整的數(shù)字證書(shū)�,以保證數(shù)字證書(shū)不被非法篡改或偽造����。
數(shù)字證書(shū)遵循很多不同種類的的標(biāo)準(zhǔn),這些證書(shū)具有各自不同的格式����。在 所有格式的證書(shū)中,^ 509證書(shū)應(yīng)用范圍最廣�。X.509目前有三個(gè)版本VI、 V2 和V3����,其中V3是在V2的基礎(chǔ)上加上擴(kuò)展項(xiàng)后的版本,X. 509 V3數(shù)字證書(shū)結(jié)構(gòu)如 圖2�����。
數(shù)字證書(shū)定義好的標(biāo)準(zhǔn)字段包括-
版本號(hào)(Version Number):指出該證書(shū)使用了哪種版本的X. 509標(biāo)準(zhǔn),版 本號(hào)會(huì)影響證書(shū)中的一些特定信息��,目前的版本是3�。
序列號(hào)(Serial Number):認(rèn)證機(jī)構(gòu)CA給每一個(gè)證書(shū)分配的唯一的數(shù)字型 編號(hào)。
簽名算法標(biāo)識(shí)符(Signature Algorithm ID):用來(lái)標(biāo)識(shí)用于證書(shū)簽名的 散列函數(shù)類型和算法類型���。
頒發(fā)者(Issuer):認(rèn)證機(jī)構(gòu)的X.500唯一識(shí)別名�,用來(lái)標(biāo)識(shí)簽發(fā)證書(shū)的認(rèn) 證機(jī)構(gòu)�。
有效期(Validity):證書(shū)起始日期和時(shí)間以及終止日期和時(shí)間,指明證 書(shū)在這兩個(gè)時(shí)間內(nèi)有效�。
主體信息(Subject):證書(shū)持有人的X.500唯一標(biāo)識(shí)符�。根據(jù)此信息可以
確定證書(shū)持有人的身份。
主體公鑰(Subject Public Key Info):包括證書(shū)持有人的公鑰����,同時(shí)標(biāo) 識(shí)了可以使用公鑰的算法。頒發(fā)者唯一標(biāo)識(shí)符(Issuer Unique Identifier):頒發(fā)者的名字存在重 用的可能�,這時(shí)頒發(fā)者唯一標(biāo)識(shí)符使得證書(shū)頒發(fā)者可以被標(biāo)識(shí)出來(lái)。該字段是 可選字段���。
主體唯一標(biāo)識(shí)符(Subject Unique Identifier):主體的名字存在重用可 能��,這時(shí)主體唯一標(biāo)識(shí)符使得證書(shū)主體可以被標(biāo)識(shí)出來(lái)���。該字段是可選字段����。
擴(kuò)展項(xiàng)(Extensions):在不改變證書(shū)格式的前提下��,允許證書(shū)中編碼加 入額外的信息���。
簽名值(Signature Value):認(rèn)證機(jī)構(gòu)CA簽寫(xiě)證書(shū)時(shí)所用的簽名算法和 認(rèn)證機(jī)構(gòu)CA對(duì)證書(shū)的實(shí)際簽名���。認(rèn)證機(jī)構(gòu)CA對(duì)證書(shū)的簽名用來(lái)確保這個(gè)證書(shū)在 發(fā)放之后沒(méi)有被篡改過(guò)。
(1)現(xiàn)有技術(shù)一的技術(shù)方案
主機(jī)標(biāo)識(shí)協(xié)議(Host Identity Protocol, HIP)引入一個(gè)新的命名空間作為主機(jī) 標(biāo)識(shí)符(HostIdentifier, HI)��,使用IP地址作為定位符�,從而實(shí)現(xiàn)主機(jī)身份和位置 的分離。HIP支持移動(dòng)性和多家鄉(xiāng)�����,使用IPSec的封裝安全荷載(Encapsulated Security Payload�, ESP)提供數(shù)據(jù)的機(jī)密性保護(hù)。
HI是主機(jī)標(biāo)識(shí)協(xié)議中引進(jìn)的一個(gè)新的加密命名空間��。每個(gè)主機(jī)可以有多個(gè) HI,用不對(duì)稱加密算法中公/私密鑰對(duì)的公鑰來(lái)表示。由于不同的加密算法所擁 有的密鑰長(zhǎng)度不一樣���,因而在實(shí)際使用時(shí)不太方便���,所以使用128位的主機(jī)標(biāo)識(shí) 符標(biāo)簽(Host Identifier Tag, HIT)。為了和現(xiàn)有的IPv4兼容并能在一個(gè)局 部系統(tǒng)中使用主機(jī)標(biāo)識(shí)符����,協(xié)議定義了區(qū)域范圍標(biāo)識(shí)符(Local Scope Identifier, LSI)。
主機(jī)標(biāo)識(shí)協(xié)議在傳輸層和網(wǎng)絡(luò)層之間插入一個(gè)獨(dú)立的新的協(xié)議層一主機(jī)標(biāo) 識(shí)層(Host Identity Layer, HIL)��。在HIP協(xié)議下��,IP地址只負(fù)責(zé)數(shù)據(jù)包的路 由轉(zhuǎn)發(fā)�,主機(jī)名稱由主機(jī)標(biāo)識(shí)符來(lái)表示。HIP協(xié)議很好地解決了主機(jī)移動(dòng)和多宿 主問(wèn)題����。主機(jī)標(biāo)識(shí)符和IP地址之間通過(guò)封裝安全荷載的串行外圍設(shè)備接口 (Serial Peripheral interface, SPI)參數(shù)進(jìn)行動(dòng)態(tài)綁定����,動(dòng)態(tài)綁定的結(jié)構(gòu)
li使主機(jī)有很好的移動(dòng)性,當(dāng)主機(jī)移動(dòng)改變它的IP地址時(shí)�,正在進(jìn)行的通信不會(huì) 中斷���。
兩臺(tái)主機(jī)在進(jìn)行數(shù)據(jù)通信時(shí),首先要進(jìn)行HIP協(xié)議的基本交換過(guò)程來(lái)創(chuàng)建主
機(jī)之間的安全關(guān)聯(lián)�。HIP協(xié)議的基本交換是一個(gè)加密的四次握手過(guò)程,如圖3����。
由發(fā)起方發(fā)送一個(gè)啟動(dòng)報(bào)文n給應(yīng)答方,在n中包含發(fā)起方的主機(jī)標(biāo)識(shí)符標(biāo)簽
(HIT)��,可能也包含應(yīng)答方的主機(jī)標(biāo)識(shí)符標(biāo)簽(HIT)���。在第二次握手時(shí)�����,通 信應(yīng)答方向通信發(fā)起方發(fā)送一個(gè)預(yù)先計(jì)算好的Rl����。Rl中包含一個(gè)謎題(puzzle)��,
發(fā)起方需要通過(guò)計(jì)算解答這個(gè)謎題�,謎題的難度可由應(yīng)答方調(diào)整。發(fā)起方通過(guò) 這個(gè)謎題(puzzle)占用發(fā)起方的CPU循環(huán)來(lái)考察發(fā)起方的連接誠(chéng)意�����,同時(shí)也是為 了保護(hù)發(fā)起方不受拒絕服務(wù)攻擊。Rl還有初始的Diffie-Hellman參數(shù)和一個(gè)包 含部分消息的簽名����。發(fā)起方收到R1后,計(jì)算Diffie-Hellman會(huì)話密鑰�����,加密自 己的公開(kāi)密鑰�。在I2中,發(fā)起方必須返回所接收謎題的答案(solution)����,也 包含所需信息的Diffie-Hellman參數(shù)和發(fā)起方的簽名。應(yīng)答方通過(guò)I2中的 Diffie-Hellman參數(shù)計(jì)算出Diffie-Hellman會(huì)話密鑰��,解密發(fā)起方的公開(kāi)密鑰��, 使用這個(gè)密鑰驗(yàn)證簽名��。HIP的基本交換由R2結(jié)束���。使用加密的四次握手過(guò)程可 以抵抗拒絕服務(wù)攻擊�����、中間人攻擊和重放攻擊�����,在交換過(guò)程中使用 Diffie-Hellman協(xié)議進(jìn)行密鑰交換����,并在第三�、四次包交換時(shí)進(jìn)行主機(jī)認(rèn)證。 基本交換結(jié)束后���,完成了密鑰交換�,建立了一對(duì)IPSec封裝安全荷載安全關(guān)聯(lián)���。
因?yàn)镠I是由非對(duì)稱加密算法中公私密鑰對(duì)的公鑰�����,所以在HIP協(xié)議中��,由HI 相應(yīng)的私鑰來(lái)對(duì)應(yīng)主機(jī)身份��。然而這種對(duì)應(yīng)關(guān)系并沒(méi)有得到解決�,這里的私鑰 并不能對(duì)應(yīng)主機(jī)身份,協(xié)議中實(shí)現(xiàn)了公私鑰驗(yàn)證��,而沒(méi)有涉及怎樣建立非對(duì)稱 密鑰的HI與主機(jī)身份對(duì)應(yīng)關(guān)系��。
(2)現(xiàn)有技術(shù)一的缺點(diǎn)
HIP協(xié)議提供了 一種基于主機(jī)身份與位置相互分離的機(jī)制��,同時(shí)HIP協(xié)議提供了終端之間不依賴第三方認(rèn)證機(jī)構(gòu)相互認(rèn)證的協(xié)議����。雖然HIP協(xié)議中的基本交 換避免了很多安全問(wèn)題,但是主機(jī)身份與主機(jī)標(biāo)識(shí)符并未形成有效的綁定���,通 信時(shí)仍然不能確認(rèn)對(duì)方的身份信息��,存在很大的安全隱患����。
發(fā)明內(nèi)容
為了克服現(xiàn)有技術(shù)結(jié)構(gòu)的不足��,本發(fā)明提供一種基于分離映射網(wǎng)絡(luò)使用數(shù) 字證書(shū)驗(yàn)證用戶身份的方法���,其采用IP地址作為路由地址�����,用數(shù)字證書(shū)構(gòu)建接 入地址����;用戶在接入網(wǎng)絡(luò)時(shí)�,先從認(rèn)證機(jī)構(gòu)獲得數(shù)字證書(shū),然后用戶使用數(shù)字 證書(shū)證實(shí)自己的真實(shí)身份�,防止非法用戶接入網(wǎng)絡(luò);通信終端相互通信時(shí)����,先 使用數(shù)字證書(shū)證實(shí)各自身份信息。本發(fā)明針對(duì)地址分離映射網(wǎng)絡(luò)�,引入了使用 數(shù)字證書(shū)驗(yàn)證用戶身份的機(jī)制,實(shí)現(xiàn)接入終端的真實(shí)身份的確認(rèn)和通信雙方相 互真實(shí)身份的確認(rèn)�����,防止非法用戶接入網(wǎng)絡(luò)���,規(guī)范用戶的網(wǎng)絡(luò)行為��,為用戶提 供安全的網(wǎng)絡(luò)環(huán)境���。
本發(fā)明解決其技術(shù)問(wèn)題所采用的技術(shù)方案是
一種基于分離映射網(wǎng)絡(luò)使用數(shù)字證書(shū)驗(yàn)證用戶身份的方法��,其包括
(1) 使用數(shù)字證書(shū)摘要構(gòu)建接入地址��,實(shí)現(xiàn)用戶身份與位置的分離��;
(2) 接入路由器對(duì)發(fā)送終端進(jìn)行真實(shí)身份驗(yàn)證��,該驗(yàn)證過(guò)程通過(guò)接入路由
器來(lái)確認(rèn)用戶真實(shí)身份����,從而由接入路由器判斷是否允許該終端接入網(wǎng)絡(luò)�,實(shí)
現(xiàn)網(wǎng)絡(luò)可管理功能,加密傳輸數(shù)字證書(shū)同時(shí)保護(hù)接入終端身份的隱私性���;
(3) 隨時(shí)間更新接入路由器的本地用戶映射表LMT�����,本地用戶映射表LMT
刪除相應(yīng)接入地址與路由地址的映射關(guān)系后�,用戶需要重新通過(guò)接入路由器進(jìn) 行身份驗(yàn)證后才能繼續(xù)通信�;
(4) 接收終端與發(fā)送終端進(jìn)行真實(shí)身份的相互確認(rèn)�,接收終端和發(fā)送終端 經(jīng)雙方身份確認(rèn)后才進(jìn)行正常通信��,并為后續(xù)建立IPSec的封裝安全荷載的安 全關(guān)聯(lián)提供了支撐�;
(5) 終端接口設(shè)置可信緩存,存儲(chǔ)已經(jīng)確認(rèn)身份終端的接入地址���,當(dāng)可信的接入地址沒(méi)有刪除時(shí),對(duì)應(yīng)移動(dòng)后的終端之間可以不用再次執(zhí)行身份驗(yàn)證過(guò) 程就能正常通信��。
優(yōu)選地�,接入路由器的路由地址使用128位的IPv6地址,依據(jù)地址分離映
射網(wǎng)絡(luò)路由地址分配方法��,根據(jù)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)以地址聚合方式對(duì)接入路由器進(jìn) 行路由地址分配����,接入路由器擁有一定數(shù)量的路由地址供接入終端使用,方便 終端定位管理和數(shù)據(jù)包路由轉(zhuǎn)發(fā)���,根據(jù)IP地址可以實(shí)現(xiàn)接入終端當(dāng)前域的定位 管理���,中間路由器可以不考慮身份問(wèn)題直接根據(jù)IP地址實(shí)現(xiàn)路由轉(zhuǎn)發(fā)。
接入路由器的接收地址也是128位�,由認(rèn)證機(jī)構(gòu)CA頒發(fā)的數(shù)字證書(shū)構(gòu)建�����。接 入地址由地址類型�、家鄉(xiāng)域�、數(shù)字證書(shū)摘要和接口標(biāo)識(shí)4個(gè)字段組成,其各個(gè)字 段的定義如下
地址類型是一位的地址類型標(biāo)識(shí)符��,用于區(qū)別接入地址和路由地址��; 家鄉(xiāng)域是一個(gè)32位的終端家鄉(xiāng)域標(biāo)識(shí)符���,其按照管理域的結(jié)構(gòu)組織分配
域標(biāo)識(shí)符�,提高接入地址查找效率���,家鄉(xiāng)域字段方便終端移動(dòng)到新的接入路由 器接入網(wǎng)絡(luò)時(shí)�,接入路由器及時(shí)通知終端家鄉(xiāng)域內(nèi)的映射服務(wù)器更新終端接入
地址與路由地址的映射關(guān)系��;
數(shù)字證書(shū)摘要是用戶數(shù)字證書(shū)的哈希值的低87位�����;
接口標(biāo)識(shí)是一個(gè)8位的標(biāo)識(shí)符�,用于區(qū)別用戶主機(jī)的多個(gè)網(wǎng)絡(luò)接口卡���。 接入路由器對(duì)發(fā)送終端的真實(shí)身份驗(yàn)證步驟如下
步驟l:發(fā)送終端向接入路由器發(fā)送數(shù)據(jù)包P,接入路由器查詢對(duì)應(yīng)本地用
戶映射表LMT���,檢查該數(shù)據(jù)包源接入地址是否已經(jīng)通過(guò)身份驗(yàn)證�,若通過(guò)驗(yàn)證�����, 則轉(zhuǎn)發(fā)數(shù)據(jù)包���;否則啟動(dòng)使用數(shù)字證書(shū)驗(yàn)證身份的機(jī)制;
步驟2:接入路由器向發(fā)送終端發(fā)送驗(yàn)證數(shù)據(jù)包V��。接入路由器發(fā)送數(shù)據(jù)包V 后��,不維持等待數(shù)據(jù)包M的狀態(tài)�,防止受到拒絕服務(wù)攻擊。發(fā)送終端A接收到數(shù) 據(jù)包V后��,計(jì)算Diffie-Hellman會(huì)話密鑰�����,使用來(lái)自會(huì)話密鑰的加密要素產(chǎn)生一 個(gè)安全關(guān)聯(lián),并用它來(lái)加密自己的數(shù)字證書(shū)����,保護(hù)身份的隱私性;
步驟3:發(fā)送終端向接入路由器發(fā)送驗(yàn)證需要的信息數(shù)據(jù)包M�。該接入路由 器接收到數(shù)據(jù)包M后,檢查消息認(rèn)證碼和偽隨機(jī)數(shù)����,解密發(fā)送終端的數(shù)字證書(shū),
14計(jì)算出Diffie-Hellman會(huì)話密鑰��,產(chǎn)生一個(gè)安全關(guān)聯(lián)�����,同時(shí)加密接入路由器的 數(shù)字證書(shū)�����,然后使用該發(fā)送終端的數(shù)字證書(shū)驗(yàn)證發(fā)送終端的接入地址����,使用發(fā) 送終端的公鑰驗(yàn)證發(fā)送終端的簽名,確認(rèn)發(fā)送終端擁有此數(shù)字證書(shū)�;
步驟4:接入路由器向本域的認(rèn)證機(jī)構(gòu)CA發(fā)送數(shù)據(jù)包C1����。認(rèn)證機(jī)構(gòu)CA查詢發(fā)
送終端數(shù)字證書(shū)是否被撤銷�,若發(fā)送終端的數(shù)字證書(shū)是非本域認(rèn)證機(jī)構(gòu)頒發(fā), 認(rèn)證機(jī)構(gòu)CA査詢?cè)撟C書(shū)頒發(fā)者的合法性�����,接入路由器與認(rèn)證機(jī)構(gòu)采用單獨(dú)高速 的連接�����。
步驟5:認(rèn)證機(jī)構(gòu)CA向接入路由器返回認(rèn)證機(jī)構(gòu)查詢結(jié)果數(shù)據(jù)包C2����。接入路 由器接收到C2后確認(rèn)數(shù)字證書(shū)有效性���,使用發(fā)送終端數(shù)字證書(shū)頒發(fā)者的公鑰 (Issuer_pk)驗(yàn)證該數(shù)字證書(shū)的完整性�����,驗(yàn)證成功后����,接入路由器確認(rèn)發(fā)送終 端的身份,將發(fā)送終端的接入地址添加到本地用戶映射表LMT中�����,向終端分配路 由地址�,并通知映射服務(wù)器更新發(fā)送終端的地址映射信息。
步驟6:接入路由器向發(fā)送終端返回驗(yàn)證成功的數(shù)據(jù)包R��,發(fā)送終端收到數(shù) 據(jù)包R后�����,確認(rèn)已被允許接入網(wǎng)絡(luò)�;發(fā)送終端解密接入路由器的數(shù)字證書(shū),使用 接入路由器的公鑰驗(yàn)證接入路由器的簽名�����,確認(rèn)接入路由器AR1的身份����。
通過(guò)以上步驟,發(fā)送終端成功通過(guò)接入路由器接入網(wǎng)絡(luò)�����。
發(fā)送終端和接入路由器AR1最后通過(guò)數(shù)據(jù)包M和數(shù)據(jù)包R交換數(shù)字證書(shū)使雙 方身份都得到確認(rèn),并建立了一對(duì)安全關(guān)聯(lián)�;發(fā)送終端可以使用這個(gè)安全關(guān)聯(lián) 更新終端的接入地址在本地用戶映射表LMT的映射;接入路由器根據(jù)用戶身份信 息判斷是否允許該用戶接入網(wǎng)絡(luò)�����,將其接入地址添加到本地用戶映射表LMT并分 配路由地址�����;為了控制本地用戶映射表LMT的大小����,節(jié)省路由地址資源,添加的 每個(gè)可信的接入地址在本地用戶映射表LMT中都有相應(yīng)的生命期限�����, 一段時(shí)間后 該接入地址的映射自動(dòng)刪除���,對(duì)應(yīng)終端需要通信時(shí)必須重新接受接入路由器的 身份驗(yàn)證,重新分配路由地址��,終端通信不會(huì)因?yàn)槁酚傻刂纷兓袛唷?duì)于 不同的網(wǎng)絡(luò)環(huán)境和信任程度����,可以設(shè)置不同的生命期限。
發(fā)送終端和接收終端的身份驗(yàn)證步驟如下
步驟7:發(fā)送終端通過(guò)接入路由器的身份驗(yàn)證后向接收終端發(fā)送數(shù)據(jù)包P'��,接收終端査詢相應(yīng)接口的可信緩存(Acc印t Cache, AC)�,檢査該數(shù)據(jù)包源接入 地址是否已經(jīng)通過(guò)身份驗(yàn)證,若通過(guò)了驗(yàn)證���,則接收數(shù)據(jù)包����;否則啟動(dòng)使用數(shù) 字證書(shū)驗(yàn)證身份的機(jī)制����;
步驟8:接收終端向發(fā)送終端發(fā)送驗(yàn)證數(shù)據(jù)包V',接收終端發(fā)送數(shù)據(jù)包V' 后�����,不維持等待數(shù)據(jù)包M'的狀態(tài)���,防止受到拒絕服務(wù)攻擊�����;發(fā)送終端收到數(shù)據(jù) 包V����,后,計(jì)算Diffie-Hellman會(huì)話密鑰����,使用來(lái)自會(huì)話密鑰的加密要素產(chǎn)生一 個(gè)安全關(guān)聯(lián),并用它來(lái)加密自己的數(shù)字證書(shū)�;
步驟9:發(fā)送終端向接收終端發(fā)送驗(yàn)證需要的信息數(shù)據(jù)包M',接收終端接 收到M���,后��,檢査消息認(rèn)證碼和偽隨機(jī)數(shù)�����,計(jì)算出Diffie-Hellman會(huì)話密鑰���,產(chǎn) 生一個(gè)安全關(guān)聯(lián)�����,解密發(fā)送終端的數(shù)字證書(shū),同時(shí)加密接收終端的數(shù)字證書(shū)����, 然后使用發(fā)送終端的數(shù)字證書(shū)驗(yàn)證發(fā)送終端的接入地址,使用發(fā)送終端的公鑰 驗(yàn)證發(fā)送終端的簽名���,確認(rèn)發(fā)送終端的身份��;接收終端將發(fā)送終端的接入地址 添加到接收終端相應(yīng)接口的可信緩存AC中�����;接收終端不向認(rèn)證機(jī)構(gòu)CA査詢發(fā)送 終端的數(shù)字證書(shū)是因?yàn)榘l(fā)送終端信任接入路由器AR1在發(fā)送終端接入驗(yàn)證時(shí)已 經(jīng)向認(rèn)證機(jī)構(gòu)CA査詢了它的數(shù)字證書(shū)的有效性和完整性����;
步驟10:接收終端向發(fā)送終端發(fā)送驗(yàn)證成功的數(shù)據(jù)包R'����,發(fā)送終端接收到 R'后,確認(rèn)接收終端驗(yàn)證發(fā)送終端身份成功��,發(fā)送終端解密接收終端的數(shù)字證 書(shū)���,使用接收終端的公鑰驗(yàn)證接收終端的簽名����,確認(rèn)接收終端的身份信息,并 將接收終端的接入地址添加到發(fā)送終端相應(yīng)接口的可信緩存中�����。
通過(guò)以上步驟���,發(fā)送終端和接收終端通過(guò)在數(shù)據(jù)包M'和R'交換數(shù)字證書(shū) 使雙方的身份都得到對(duì)方的確認(rèn)����,并建立了一對(duì)安全關(guān)聯(lián)�。
本發(fā)明的技術(shù)方案還包括
發(fā)送終端和接收終端可以使用這對(duì)安全關(guān)聯(lián),建立一對(duì)IPSec封裝安全荷載 ESP安全關(guān)聯(lián)����,通過(guò)該ESP安全關(guān)聯(lián)進(jìn)行數(shù)據(jù)傳輸,保護(hù)通信數(shù)據(jù)的機(jī)密性��。
包含終端身份信息的數(shù)字證書(shū)都是經(jīng)過(guò)加密后在通信鏈路上傳輸����,保護(hù)了 終端身份信息的隱私性���。發(fā)送終端和接收終端相應(yīng)接口的可信緩存中都添加了對(duì)方的接入地址�,后 來(lái)的數(shù)據(jù)包直接被對(duì)方接收。
為了控制終端接口的可信緩存大小����,每個(gè)終端接口添加的可信的接入地址 在緩存中有一個(gè)生命期限, 一段時(shí)間后自動(dòng)刪除�����,需要通信時(shí)��,對(duì)應(yīng)用戶身份 應(yīng)重新驗(yàn)證��。
本發(fā)明的有益效果
本發(fā)明中接入地址使用認(rèn)證機(jī)構(gòu)頒發(fā)的數(shù)字證書(shū)構(gòu)建�;IP地址作為路由地 址,只作用于路由轉(zhuǎn)發(fā)和定位��。在本發(fā)明方法中����,路由地址與接入地址進(jìn)行一 一映射,而接入地址又與用戶身份相對(duì)應(yīng)��,從而用戶的路由地址、接入地址都 能與用戶身份形成對(duì)應(yīng)關(guān)系����。基于本發(fā)明方法����,發(fā)送終端在接入路由器處被確 認(rèn)身份信息,防止了非法用戶接入網(wǎng)絡(luò)����;發(fā)送終端與接收終端通信雙方在通信 前相互確認(rèn)對(duì)方的身份,以使用戶清楚知道當(dāng)前通信對(duì)端的用戶身份���。各終端 的數(shù)字證書(shū)都是經(jīng)過(guò)加密后在通信鏈路上傳輸�����,保護(hù)了用戶身份的隱私性�����。本 發(fā)明使用戶的網(wǎng)絡(luò)行為與用戶身份對(duì)應(yīng)起來(lái)��,可以更好地管理用戶接入網(wǎng)絡(luò)����, 規(guī)范用戶網(wǎng)絡(luò)行為,為用戶安全網(wǎng)絡(luò)環(huán)境�。
圖1為現(xiàn)有技術(shù)中地址分離映射網(wǎng)絡(luò)發(fā)送終端A與接收終端B的基本通信過(guò)程 示意圖2為認(rèn)證機(jī)構(gòu)向用戶頒發(fā)的X. 509 V3數(shù)字證書(shū)格式定義示意圖3為現(xiàn)有地址分離映射網(wǎng)絡(luò)中主機(jī)標(biāo)識(shí)協(xié)議HIP的基本交換過(guò)程示意圖4為本發(fā)明的地址映射分離網(wǎng)絡(luò)接入地址的結(jié)構(gòu)圖5根據(jù)本發(fā)明的接入路由器和終端B對(duì)終端A進(jìn)行身份驗(yàn)證的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu) 圖;圖6為根據(jù)本發(fā)明的接入路由器AR1對(duì)終端A進(jìn)行身份驗(yàn)證的過(guò)程示意圖7為本發(fā)明中終端A和終端B互相進(jìn)行身份驗(yàn)證的過(guò)程示意圖8為根據(jù)本發(fā)明的實(shí)施例4的終端身份驗(yàn)證的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)示意圖����。
具體實(shí)施例方式
下面結(jié)合附圖和具體實(shí)施方式
對(duì)本發(fā)明作進(jìn)一步詳細(xì)描述 實(shí)施例1:在本實(shí)施例中����,本發(fā)明方法使用數(shù)字證書(shū)摘要構(gòu)建128位的接
入地址,實(shí)現(xiàn)用戶身份與位置的分離�。
其中,接入路由器的路由地址使用128位的IPv6地址�����,依據(jù)地址分離映射
網(wǎng)絡(luò)路由地址分配方法����,本實(shí)施例根據(jù)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)以地址聚合方式對(duì)接入路 由器進(jìn)行路由地址分配,接入路由器擁有一定數(shù)量的路由地址供接入終端使用�,
方便終端定位管理和數(shù)據(jù)包路由轉(zhuǎn)發(fā);根據(jù)IP地址可以實(shí)現(xiàn)接入終端當(dāng)前域的 定位管理,中間路由器可以不考慮身份問(wèn)題直接根據(jù)IP地址實(shí)現(xiàn)路由轉(zhuǎn)發(fā)�����。
接入路由器的接入地址也是128位����,由認(rèn)證機(jī)構(gòu)CA頒發(fā)的數(shù)字證書(shū)構(gòu)建。如 圖4所示��,接入地址的各字段定義如下-
地址類型l位的地址類型標(biāo)識(shí)符�,用于區(qū)別接入地址和路由地址;家鄉(xiāng)域
32位�����,終端的家鄉(xiāng)域標(biāo)識(shí)符����。按照管理域的結(jié)構(gòu)組織分配域標(biāo)識(shí)符,提高接入 地址査找效率����,家鄉(xiāng)域字段方便終端移動(dòng)到新的接入路由器接入網(wǎng)絡(luò)時(shí),接入 路由器及時(shí)通知終端家鄉(xiāng)域內(nèi)的映射服務(wù)器更新終端接入地址與路由地址的映 射關(guān)系��;數(shù)字證書(shū)摘要87位,用戶數(shù)字證書(shū)的哈希值的低87位�����;接口標(biāo)識(shí)8
位��,用于區(qū)別用戶主機(jī)的多個(gè)網(wǎng)絡(luò)接口卡���。
實(shí)施例2:本發(fā)明在地址分離映射網(wǎng)絡(luò)中引入的實(shí)現(xiàn)接入終端真實(shí)身份確認(rèn)
的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖如圖5所示����,圖5中接入路由器AR1對(duì)終端A進(jìn)行身份驗(yàn)證的過(guò) 程示意圖如圖6所示�。
在圖6中��,數(shù)據(jù)包P中���,N1是終端A為本次會(huì)話生成的偽隨機(jī)數(shù)�����;數(shù)據(jù)包V中�����, N1是P中的偽隨機(jī)數(shù)�;N2是接入路由器在本次會(huì)話中生成的偽隨機(jī)數(shù);D-H是Diffie-Hellman密鑰交換的初始參數(shù)���;iface是數(shù)據(jù)包P到達(dá)ARl接口的標(biāo)識(shí)�; HMACrs<N2,D-H, iface〉是N2�����、 D-H��、 iface等域的消息認(rèn)證碼�����;rs是接入路由的密 碼���,每分鐘循環(huán)一次�。
數(shù)據(jù)包M中�����,{Cert—l)表示終端A的數(shù)字證書(shū)的密文���,加密密鑰是通過(guò)計(jì)算數(shù) 據(jù)包V中Diffie-Hellman參數(shù)得到的會(huì)話密鑰���;N2是數(shù)據(jù)包M中的偽隨機(jī)數(shù)�;N3 是終端A為本次會(huì)話生成的隨機(jī)數(shù)�;D-H是Diffie-Hellman密鑰交換的參數(shù); HMACrs<N2����, D-H, if ace〉是收到的數(shù)據(jù)包V中的消息認(rèn)證碼����;sig是終端A對(duì) {Cert—1}、 N3���、 D-H和HMACrs〈N2, D_H���, iface〉等域的數(shù)字簽名�。
數(shù)據(jù)包Cl中����,Cert—sn是終端A數(shù)字證書(shū)的序列號(hào)���;Issuer是終端A數(shù)字證書(shū) 的頒發(fā)者。
數(shù)據(jù)包C2中����,Issuer一pk是終端A數(shù)字證書(shū)頒發(fā)者的公鑰。
數(shù)據(jù)包R中���,{Cert—2)表示接入路由器AR1的數(shù)字證書(shū)的密文�,加密密鑰是從
數(shù)據(jù)包M中Diffie-Hellman參數(shù)計(jì)算得到的會(huì)話密鑰��;sig是接入路由器ARl對(duì)
accpet�����、 (Cert—2)和N3等域的簽名�。
參看圖6所示,接入路由器AR1對(duì)終端A真實(shí)身份驗(yàn)證步驟如下
步驟l:終端A向接入路由器AR1發(fā)送數(shù)據(jù)包P�。接入路由器査詢對(duì)應(yīng)本地用戶
映射表LMT,檢査該數(shù)據(jù)包源接入地址是否已經(jīng)通過(guò)身份驗(yàn)證�����。若通過(guò)驗(yàn)證��,則
轉(zhuǎn)發(fā)數(shù)據(jù)包;否則啟動(dòng)使用數(shù)字證書(shū)驗(yàn)證身份的機(jī)制�����。
步驟2:接入路由器AR1向終端A發(fā)送驗(yàn)證數(shù)據(jù)包V����。接入路由器發(fā)送V后,不
維持等待數(shù)據(jù)包M的狀態(tài)�,防止受到拒絕服務(wù)攻擊。終端A接收到V后�����,計(jì)算
Diffie-Hellman會(huì)話密鑰����,使用來(lái)自會(huì)話密鑰的加密要素產(chǎn)生一個(gè)安全關(guān)聯(lián),
并用它來(lái)加密自己的數(shù)字證書(shū)�,保護(hù)身份的隱私性。
步驟3:終端A向接入路由器AR1發(fā)送驗(yàn)證需要的信息數(shù)據(jù)包M�。 AR1接收到M 后���,檢査消息認(rèn)證碼�,解密終端A的數(shù)字證書(shū),計(jì)算出Diffie-Hellman會(huì)話密鑰���, 產(chǎn)生一個(gè)安全關(guān)聯(lián)��,同時(shí)加密接入路由器AR1的數(shù)字證書(shū)�����。然后使用終端A的數(shù) 字證書(shū)驗(yàn)證終端A的接入地址���,使用終端A的公鑰驗(yàn)證終端A的簽名,確認(rèn)終端A 擁有此數(shù)字證書(shū)����。步驟4:接入路由器AR1向本域的認(rèn)證機(jī)構(gòu)CA發(fā)送數(shù)據(jù)包C1。認(rèn)證機(jī)構(gòu)CA査詢 終端A數(shù)字證書(shū)是否被撤銷�����。若終端A的數(shù)字證書(shū)是非本域認(rèn)證機(jī)構(gòu)頒發(fā)�,認(rèn)證 機(jī)構(gòu)CA查詢?cè)撟C書(shū)頒發(fā)者的合法性。接入路由器與認(rèn)證機(jī)構(gòu)采用單獨(dú)高速的連 接���。步驟5:認(rèn)證機(jī)構(gòu)CA向接入路由器AR1返回認(rèn)證機(jī)構(gòu)査詢結(jié)果數(shù)據(jù)包C2�����。接入 路由器AR1接收到C2后確認(rèn)數(shù)字證書(shū)有效性(valid),使用終端A數(shù)字證書(shū)頒發(fā) 者的公鑰(Issuer一pk)驗(yàn)證該數(shù)字證書(shū)的完整性�����。驗(yàn)證成功后�����,接入路由器確 認(rèn)終端A的身份���,將終端A的接入地址添加到本地用戶映射表LMT中����,向終端分配 路由地址�����,并通知映射服務(wù)器更新終端A的地址映射信息����。步驟6: AR1向終端A返回驗(yàn)證成功的數(shù)據(jù)包R。終端A收到R后��,確認(rèn)已被允許 接入網(wǎng)絡(luò)(acc印t)�。終端A解密接入路由器AR1的數(shù)字證書(shū),使用接入路由器AR1 的公鑰驗(yàn)證AR1的簽名�����,確認(rèn)接入路由器AR1的身份�����。通過(guò)以上步驟�,終端A成功通過(guò)接入路由器AR1接入網(wǎng)絡(luò)。終端A和接入路由 器AR1最后通過(guò)數(shù)據(jù)包M和數(shù)據(jù)包R交換數(shù)字證書(shū)使雙方身份都得到確認(rèn)����,并建立 了一對(duì)安全關(guān)聯(lián)。終端可以使用這個(gè)安全關(guān)聯(lián)更新終端的接入地址在本地用戶 映射表LMT的映射�。接入路由器根據(jù)用戶身份信息判斷是否將其接入地址添加到 本地用戶映射表LMT,分配路由地址���。為了控制本地用戶映射表LMT的大小��,節(jié) 省路由地址資源���,添加的每個(gè)可信的接入地址在本地用戶映射表LMT中都有相應(yīng) 的生命期限��, 一段時(shí)間后該接入地址的映射自動(dòng)刪除�����,對(duì)應(yīng)終端需要通信時(shí)必 須重新接受接入路由器的身份驗(yàn)證���,重新分配路由地址,終端通信不會(huì)因?yàn)槁?由地址變化而中斷�。對(duì)于不同的網(wǎng)絡(luò)環(huán)境和信任程度,可以設(shè)置不同的生命期 限�。實(shí)施例3:本發(fā)明在地址分離映射網(wǎng)絡(luò)中引入的終端A和終端B雙方真實(shí)身份 相互確認(rèn)過(guò)程如圖7所示。在圖7中���,數(shù)據(jù)包P���,中,N4是終端A為本次會(huì)話生成的偽偽隨機(jī)數(shù)���;數(shù)據(jù)包V���, 中�,N4是P���,中的偽隨機(jī)數(shù)����;N5是終端B在本次會(huì)話中生成的偽隨機(jī)數(shù)��;D-H��,是 Diffie-Hellman密鑰交換的初始參數(shù)�;iface�����,是數(shù)據(jù)包P到達(dá)終端B接口的標(biāo)識(shí)����;HMACrs'〈N5, D-H�, , iface����,〉是N5、 D-H,��、 iface���,等域的消息認(rèn)證碼����;rs�����, 是終端B的密碼��,每分鐘循環(huán)一次�����。數(shù)據(jù)包M'中�,(Certj)表示終端A的數(shù)字證書(shū)的密文,加密密鑰是通過(guò)計(jì)算 數(shù)據(jù)包V����,中Diffie-Hellman參數(shù)得到的會(huì)話密鑰;N5是數(shù)據(jù)包V�����,中的偽隨機(jī) 數(shù);N6是終端A為本次會(huì)話生成的偽隨機(jī)數(shù)�����;D-H��,是Diffie-Hellman密鑰交換 參數(shù)����;HMACrs. <N5����,D-H, ��, iface���,〉是收到的數(shù)據(jù)包V中的消息認(rèn)證碼;sig是終 端A對(duì)(Cert—1}��、 N5����、 N6、 D-H�,和HMACrs. 〈N5, D-H�, , iface��,〉等域的數(shù)字簽名�。數(shù)據(jù)包R'中,(Cert一3i表示終端B的數(shù)字證書(shū)的密文���,加密密鑰是從數(shù)據(jù)包 M'中Diffie-Hellman參數(shù)計(jì)算得到的會(huì)話密鑰����;N6是數(shù)據(jù)包M'中的偽隨機(jī)數(shù)�; sig是終端B對(duì)acc印t、 {Cert_3}和N6等域的簽名����。參看圖7,終端A和終端B的身份驗(yàn)證步驟如下步驟7:終端A通過(guò)接入路由器AR1的身份驗(yàn)證后向終端B發(fā)送數(shù)據(jù)包P'����。終 端B查詢相應(yīng)接口的可信緩存(Acc印t Cache, AC),檢查該數(shù)據(jù)包源接入地址 是否已經(jīng)通過(guò)身份驗(yàn)證����。若通過(guò)了驗(yàn)證����,則接收數(shù)據(jù)包�����;否則啟動(dòng)使用數(shù)字證 書(shū)驗(yàn)證身份的機(jī)制�。步驟8:終端B向終端A發(fā)送驗(yàn)證數(shù)據(jù)包V'。終端B發(fā)送V'后�,不維持等待M' 的狀態(tài),防止受到拒絕服務(wù)攻擊�。終端A收到V���,后��,計(jì)算Diffie-Hellman會(huì)話 密鑰��,使用來(lái)自會(huì)話密鑰的加密要素產(chǎn)生一個(gè)安全關(guān)聯(lián)�,并用它來(lái)加密自己的 數(shù)字證書(shū)���。步驟9:終端A向終端B發(fā)送驗(yàn)證需要的信息數(shù)據(jù)包M'�。終端B接收到M'后, 檢査消息認(rèn)證碼和偽隨機(jī)數(shù)�,計(jì)算出Diffie-Hellman會(huì)話密鑰,產(chǎn)生一個(gè)安全 關(guān)聯(lián)���,解密終端A的數(shù)字證書(shū)�,同時(shí)加密終端B的數(shù)字證書(shū)���。然后使用終端A的數(shù) 字證書(shū)驗(yàn)證終端A的接入地址����,使用終端A的公鑰驗(yàn)證終端A的簽名�����,確認(rèn)終端A 的身份��。終端B將終端A的接入地址添加到終端B相應(yīng)接口的可信緩存AC中�����。終端 B不向認(rèn)證機(jī)構(gòu)CA査詢終端A的數(shù)字證書(shū)是因?yàn)榻K端A信任接入路由器AR1在終端 A接入驗(yàn)證時(shí)己經(jīng)向認(rèn)證機(jī)構(gòu)CA査詢了它的數(shù)字證書(shū)的有效性和完整性����。步驟10:終端B向終端A發(fā)送驗(yàn)證成功的數(shù)據(jù)包R'����。終端A接收到R'后�����,確認(rèn)終端B驗(yàn)證終端A身份成功(acc印t)�。終端A解密終端B的數(shù)字證書(shū),使用終端 B的公鑰驗(yàn)證終端B的簽名����,確認(rèn)終端B的身份信息,并將終端B的接入地址添加 到終端A相應(yīng)接口的可信緩存中�����。通過(guò)以上步驟�����,終端A和B通過(guò)在數(shù)據(jù)包M���,和R,交換數(shù)字證書(shū)使雙方 的身份都得到對(duì)方的確認(rèn)��,并建立了一對(duì)安全關(guān)聯(lián)。終端可以使用這對(duì)安全關(guān) 聯(lián)��,建立一對(duì)IPSec封裝安全荷載ESP安全關(guān)聯(lián)����,通過(guò)這個(gè)ESP安全關(guān)聯(lián)進(jìn)行 數(shù)據(jù)傳輸,保護(hù)通信數(shù)據(jù)的機(jī)密性����。包含終端身份信息的數(shù)字證書(shū)都是經(jīng)過(guò)加 密后在通信鏈路上傳輸,保護(hù)了終端身份信息的隱私性���。終端A和B相應(yīng)接口 的可信緩存中都添加了對(duì)方的接入地址�����,后來(lái)的數(shù)據(jù)包直接被對(duì)方接收��。為了 控制終端接口的可信緩存大小���,每個(gè)終端接口添加的可信的接入地址在緩存中 有一個(gè)生命期限, 一段時(shí)間后自動(dòng)刪除�,需要通信時(shí),對(duì)應(yīng)用戶身份應(yīng)重新驗(yàn) 證。實(shí)施例4:如圖8����,終端A通過(guò)無(wú)線接入網(wǎng)絡(luò),終端B����、 C通過(guò)有線接入網(wǎng) 絡(luò)。每個(gè)管理域設(shè)一個(gè)認(rèn)證機(jī)構(gòu)CA和映射服務(wù)器����。各認(rèn)證機(jī)構(gòu)CA負(fù)責(zé)所在域 數(shù)字證書(shū)的頒發(fā),映射服務(wù)器負(fù)責(zé)接入地址與路由地址的映射服務(wù)�����。認(rèn)證機(jī)構(gòu)a����、 b、 c之間互聯(lián)����,相互信任��。接入路由器驗(yàn)證其網(wǎng)絡(luò)范圍內(nèi)的接入終端的身份信 息,為接入終端分配路由地址����。終端A從接入路由器AR1移動(dòng)到AR4前后與終端B通信過(guò)程如下 步驟1:終端A首先向認(rèn)證機(jī)構(gòu)CAa申請(qǐng)數(shù)字證書(shū)。認(rèn)證機(jī)構(gòu)CAa驗(yàn)證終端 A的身份信息后向終端A頒發(fā)數(shù)字證書(shū)�。步驟2:終端A使用數(shù)字證書(shū)構(gòu)建自己的接入地址,通過(guò)無(wú)線接入AR1���。 步驟3: AR1依據(jù)圖6的驗(yàn)證過(guò)程�,對(duì)終端A進(jìn)行身份驗(yàn)證�����。驗(yàn)證成功后將 其接入地址添加到AR1的本地用戶映射表LMT���,向終端A分配路由地址���,并根據(jù) 接入地址的家鄉(xiāng)域標(biāo)識(shí)通知映射服務(wù)器a更新終端A的映射關(guān)系。由于終端A 的數(shù)字證書(shū)是由認(rèn)證機(jī)構(gòu)CAa頒發(fā)�,所以數(shù)字證書(shū)有效性和完整性査詢?cè)谟駻 內(nèi)部完成。步驟4:終端A成功接入網(wǎng)絡(luò)后向終端B發(fā)起通信����。步驟5:終端A和終端B依據(jù)圖7�,確認(rèn)對(duì)方的身份信息���,并將對(duì)方的接入地址添加到相應(yīng)接口的可信緩存中�����。步驟6:終端A從接入路由器AR1移動(dòng)到接入路由器AR4��。 步驟7: AR4依據(jù)圖6的驗(yàn)證過(guò)程�����,對(duì)終端A的身份進(jìn)行驗(yàn)證��。驗(yàn)證成功后 將其接入地址添加到AR4的本地用戶映射表LMT�����,向終端A分配路由地址����,并根 據(jù)接入地址的家鄉(xiāng)域標(biāo)識(shí)通知映射服務(wù)器a更新終端A的映射關(guān)系����。由于終端A 的數(shù)字證書(shū)是由域A的認(rèn)證機(jī)構(gòu)CAa頒發(fā)����,所以證書(shū)有效性和完整性由域C的 認(rèn)證機(jī)構(gòu)CAc向域A的數(shù)字證書(shū)頒發(fā)者CAa查詢��。CAa和CAc互聯(lián)���,相互信任, 因此認(rèn)證機(jī)構(gòu)CAc在數(shù)據(jù)包C2中向CR4返回?cái)?shù)字證書(shū)頒發(fā)者CAa的公鑰��。步驟8:終端A與終端B繼續(xù)通信��。終端A移動(dòng)后接入地址沒(méi)有改變����,終端A與終端B的通信不會(huì)中斷。因?yàn)榻K端A和終端B的可信緩存中仍存有對(duì)方的接入地址����,所以終端A移動(dòng)后終端A和終端B可以不用再執(zhí)行圖7的身份確認(rèn)過(guò)程就能繼續(xù)正常通信。以上僅為本發(fā)明較佳的具體實(shí)施方式
����,但本發(fā)明的保護(hù)范圍并不局限于此,任何熟悉本技術(shù)領(lǐng)域的技術(shù)人員在本發(fā)明揭露的技術(shù)范圍內(nèi)��,可輕易想到的變化或替換,都應(yīng)涵蓋在本發(fā)明的保護(hù)范圍之內(nèi)���。
權(quán)利要求
1.一種基于分離映射網(wǎng)絡(luò)使用數(shù)字證書(shū)驗(yàn)證用戶身份的方法���,其特征是包括以下步驟(1)使用數(shù)字證書(shū)摘要構(gòu)建接入地址,實(shí)現(xiàn)用戶身份與位置的分離��;(2)接入路由器對(duì)發(fā)送終端進(jìn)行真實(shí)身份驗(yàn)證����,該驗(yàn)證過(guò)程通過(guò)接入路由器來(lái)確認(rèn)用戶真實(shí)身份,從而由接入路由器判斷是否允許該終端接入網(wǎng)絡(luò)��,實(shí)現(xiàn)網(wǎng)絡(luò)可管理功能��,加密傳輸數(shù)字證書(shū)同時(shí)保護(hù)接入終端身份的隱私性��;(3)隨時(shí)間更新接入路由器的本地用戶映射表LMT���,本地用戶映射表LMT刪除相應(yīng)接入地址與路由地址映射關(guān)系后用戶需要重新通過(guò)接入路由器進(jìn)行身份驗(yàn)證后才能繼續(xù)通信�;(4)接收終端與發(fā)送終端進(jìn)行真實(shí)身份的相互確認(rèn)��,接收終端和發(fā)送終端經(jīng)雙方身份確認(rèn)后才進(jìn)行正常通信���,并為后續(xù)建立IPSec的封裝安全荷載的安全關(guān)聯(lián)提供了支撐�;(5)終端接口設(shè)置可信緩存,存儲(chǔ)已經(jīng)確認(rèn)身份終端的接入地址�����,當(dāng)可信的接入地址沒(méi)有刪除時(shí)�,對(duì)應(yīng)移動(dòng)后的終端之間可以不用再次執(zhí)行身份驗(yàn)證過(guò)程就能正常通信�����。
2. 根據(jù)權(quán)利要求1所述的一種基于分離映射網(wǎng)絡(luò)使用數(shù)字證書(shū)驗(yàn)證用戶身份的方法���,其特征是步驟(2)中�����,所述接入路由器的路由地址使用128位的IPv6地址�����,依據(jù)地址分離映射網(wǎng)絡(luò)路由地址分配方法���,根據(jù)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)以地址聚合方式對(duì)接入路由器進(jìn)行路由地址分配��;接入路由器擁有一定數(shù)量的路由地址供接入終端使用�,方便終端定位管理和數(shù)據(jù)包路由轉(zhuǎn)發(fā)���,根據(jù)IP地址可以實(shí)現(xiàn)接入終端當(dāng)前域的定位管理�����;中間路由器不需考慮數(shù)據(jù)包源的身份問(wèn)題直接根據(jù)IP地址實(shí)現(xiàn)路由轉(zhuǎn)發(fā)�。
3.根據(jù)權(quán)利要求1或2所述的一種基于分離映射網(wǎng)絡(luò)使用數(shù)字證書(shū)驗(yàn)證用戶身份的方法�����,其特征是所述接入地址是接入路由器的接收地址�,其是由認(rèn)證機(jī)構(gòu)CA頒發(fā)的數(shù)字證書(shū)構(gòu)建的128位地址;所述接入地址由地址類型�����、家鄉(xiāng)域�、數(shù)字證書(shū)摘要和接口標(biāo)識(shí)4個(gè)字段組成,其各個(gè)字段的定義如下-地址類型l位的地址類型標(biāo)識(shí)符�����,用于區(qū)別接入地址和路由地址���;家鄉(xiāng)域 一個(gè)32位的終端的家鄉(xiāng)域標(biāo)識(shí)符��,按照管理域的結(jié)構(gòu)組織分配家鄉(xiāng)域標(biāo)識(shí)符�����,家鄉(xiāng)域字段方便終端移動(dòng)到新的接入路由器接入網(wǎng)絡(luò)時(shí)�,接入路由器及時(shí)通知終端家鄉(xiāng)域內(nèi)的映射服務(wù)器更新終端接入地址與路由地址的映射關(guān)系����;數(shù)字證書(shū)摘要是用戶數(shù)字證書(shū)的哈希值的低87位;接口標(biāo)識(shí)8位���,用于區(qū)別用戶主機(jī)的多個(gè)網(wǎng)絡(luò)接口卡�����。
4.根據(jù)權(quán)利要求l所述的一種基于分離映射網(wǎng)絡(luò)使用數(shù)字證書(shū)驗(yàn)證用戶身份的方法���,其特征是,步驟(2)中所述接入路由器對(duì)發(fā)送終端的真實(shí)身份驗(yàn)證歩驟如下步驟l:發(fā)送終端向接入路由器發(fā)送數(shù)據(jù)包P��,接入路由器查詢對(duì)應(yīng)本地用戶映射表LMT,檢査該數(shù)據(jù)包源接入地址是否已經(jīng)通過(guò)身份驗(yàn)證����,若通過(guò)驗(yàn)證,則轉(zhuǎn)發(fā)數(shù)據(jù)包�����;否則啟動(dòng)使用數(shù)字證書(shū)驗(yàn)證身份的機(jī)制�����;步驟2:接入路由器向發(fā)送終端發(fā)送驗(yàn)證數(shù)據(jù)包V���,接入路由器發(fā)送數(shù)據(jù)包V后�,并不維持等待數(shù)據(jù)包M的狀態(tài)����,防止受到拒絕服務(wù)攻擊;發(fā)送終端接收到數(shù)據(jù)包V后�,計(jì)算Diffie-Hellman會(huì)話密鑰,使用來(lái)自會(huì)話密鑰的加密要素產(chǎn)生一個(gè)安全關(guān)聯(lián)�����,并用所述安全關(guān)聯(lián)來(lái)加密自己的數(shù)字證書(shū),保護(hù)身份的隱私性���;步驟3:發(fā)送終端向接入路由器發(fā)送驗(yàn)證需要的信息數(shù)據(jù)包M����。該接入路由器接收到數(shù)據(jù)包M后���,檢查消息認(rèn)證碼和偽隨機(jī)數(shù)�����,解密發(fā)送終端的數(shù)字證書(shū),計(jì)算出Diffie-Hellman會(huì)話密鑰��,產(chǎn)生一個(gè)安全關(guān)聯(lián)��,同時(shí)加密接入路由器的數(shù)字證書(shū)����,然后使用該發(fā)送終端的數(shù)字證書(shū)驗(yàn)證發(fā)送終端的接入地址,使用發(fā)送終端的公鑰驗(yàn)證發(fā)送終端的簽名����,確認(rèn)發(fā)送終端擁有此數(shù)字證書(shū)����;步驟4:接入路由器向本域的認(rèn)證機(jī)構(gòu)CA發(fā)送數(shù)據(jù)包C1��,認(rèn)證機(jī)構(gòu)CA查詢發(fā)送終端數(shù)字證書(shū)是否被撤銷�,若發(fā)送終端的數(shù)字證書(shū)是非本域認(rèn)證機(jī)構(gòu)頒發(fā),認(rèn)證機(jī)構(gòu)CA查詢?cè)撟C書(shū)頒發(fā)者的合法性��,接入路由器與認(rèn)證機(jī)構(gòu)采用單獨(dú)高速的連接����;步驟5:認(rèn)證機(jī)構(gòu)CA向接入路由器返回認(rèn)證機(jī)構(gòu)査詢結(jié)果數(shù)據(jù)包C2,接入路由器接收到C2后確認(rèn)數(shù)字證書(shū)有效性���,使用發(fā)送終端數(shù)字證書(shū)頒發(fā)者的公鑰驗(yàn)證該數(shù)字證書(shū)的完整性�,驗(yàn)證成功后�����,接入路由器確認(rèn)發(fā)送終端的身份�,將發(fā)送終端的接入地址添加到本地用戶映射表LMT中,向終端分配路由地址�,并通知映射服務(wù)器更新發(fā)送終端的地址映射信息���;步驟6:接入路由器向發(fā)送終端返回驗(yàn)證成功的數(shù)據(jù)包R,發(fā)送終端收到數(shù)據(jù)包R后���,確認(rèn)已被允許接入網(wǎng)絡(luò)�;發(fā)送終端解密接入路由器的數(shù)字證書(shū)���,使用接入路由器的公鑰驗(yàn)證接入路由器的簽名�,確認(rèn)接入路由器AR1的身份�����;通過(guò)以上步驟�,發(fā)送終端成功通過(guò)接入路由器接入網(wǎng)絡(luò)。
5. 根據(jù)權(quán)利要求1所述的一種基于分離映射網(wǎng)絡(luò)使用數(shù)字證書(shū)驗(yàn)證用戶身份的方法�����,其特征是�����,發(fā)送終端和接入路由器最后通過(guò)數(shù)據(jù)包M和數(shù)據(jù)包R交換數(shù)字證書(shū)使雙方身份都得到確認(rèn)����,并建立了一對(duì)安全關(guān)聯(lián);發(fā)送終端可以使用該安全關(guān)聯(lián)更新終端的接入地址在本地用戶映射表LMT的映射�;接入路由器根據(jù)用戶身份信息判斷是否允許該用戶接入網(wǎng)絡(luò),將其接入地址添加到本地用戶映射表LMT并分配路由地址��。
6. 根據(jù)權(quán)利要求l所述的一種基于分離映射網(wǎng)絡(luò)使用數(shù)字證書(shū)驗(yàn)證用戶身份的方法�,其特征是,為了控制本地用戶映射表LMT的大小����,節(jié)省路由地址資源,添加的每個(gè)可信的接入地址在本地用戶映射表LMT中都有相應(yīng)的生命期限���, 一段時(shí)間后自動(dòng)刪除該接入地址的映射�����,對(duì)應(yīng)終端需要通信時(shí)必須重新接受接入路由器的身份驗(yàn)證�,重新分配路由地址,終端通信不會(huì)因?yàn)槁酚傻刂纷兓袛?對(duì)于不同的網(wǎng)絡(luò)環(huán)境和信任程度,設(shè)置不同的生命期限��。
7.根據(jù)權(quán)利要求l所述的一種基于分離映射網(wǎng)絡(luò)使用數(shù)字證書(shū)驗(yàn)證用戶身份的方法�,其特征是����,發(fā)送終端和接收終端的身份驗(yàn)證步驟如下步驟7:發(fā)送終端通過(guò)接入路由器的身份驗(yàn)證后向接收終端發(fā)送數(shù)據(jù)包P'�����,接收終端査詢相應(yīng)接口的可信緩存AC���,檢查該數(shù)據(jù)包源接入地址是否己經(jīng)通過(guò)身份驗(yàn)證���,若通過(guò)了驗(yàn)證�����,則接收數(shù)據(jù)包����;否則啟動(dòng)使用數(shù)字證書(shū)驗(yàn)證身份的機(jī)制�;歩驟8:接收終端向發(fā)送終端發(fā)送驗(yàn)證數(shù)據(jù)包V'�,接收終端發(fā)送數(shù)據(jù)包V'后,不維持等待數(shù)據(jù)包M'的狀態(tài)�,防止受到拒絕服務(wù)攻擊;發(fā)送終端收到數(shù)據(jù)包V��,后����,計(jì)算Diffie-Hellman會(huì)話密鑰,使用來(lái)自會(huì)話密鑰的加密要素產(chǎn)生一個(gè)安全關(guān)聯(lián)����,并用它來(lái)加密自己的數(shù)字證書(shū);步驟9:發(fā)送終端向接收終端發(fā)送驗(yàn)證需要的信息數(shù)據(jù)包M',接收終端接收到M'后�����,檢査消息認(rèn)證碼和偽隨機(jī)數(shù)�����,計(jì)算出Diffie-Hellman會(huì)話密鑰��,產(chǎn)生一個(gè)安全關(guān)聯(lián)�,解密發(fā)送終端的數(shù)字證書(shū),同時(shí)加密接收終端的數(shù)字證書(shū)��,然后使用發(fā)送終端的數(shù)字證書(shū)驗(yàn)證發(fā)送終端的接入地址����,使用發(fā)送終端的公鑰驗(yàn)證發(fā)送終端的簽名,確認(rèn)發(fā)送終端的身份����;接收終端將發(fā)送終端的接入地址添加到接收終端相應(yīng)接口的可信緩存AC中;此時(shí),接收終端不向認(rèn)證機(jī)構(gòu)CA査詢發(fā)送終端的數(shù)字證書(shū)�����;步驟10:接收終端向發(fā)送終端發(fā)送驗(yàn)證成功的數(shù)據(jù)包R'�,發(fā)送終端接收到R'后,確認(rèn)接收終端驗(yàn)證發(fā)送終端身份成功����,發(fā)送終端解密接收終端的數(shù)字證書(shū),使用接收終端的公鑰驗(yàn)證接收終端的簽名�����,確認(rèn)接收終端的身份信息��,并將接收終端的接入地址添加到發(fā)送終端相應(yīng)接口的可信緩存AC中�;通過(guò)以上步驟,發(fā)送終端和接收終端通過(guò)在數(shù)據(jù)包M'和R'交換數(shù)字證書(shū)使雙方的身份都得到對(duì)方的確認(rèn)��,并建立了一對(duì)安全關(guān)聯(lián)��。
8. 根據(jù)權(quán)利要求1或4-7中任意一項(xiàng)權(quán)利要求所述的一種基于分離映射網(wǎng)絡(luò)使用數(shù)字證書(shū)驗(yàn)證用戶身份的方法����,其特征是,發(fā)送終端和接收終端使用所述安全關(guān)聯(lián)建立一對(duì)IPSec封裝安全荷載ESP安全關(guān)聯(lián),通過(guò)該ESP安全關(guān)聯(lián)進(jìn)行數(shù)據(jù)傳輸��,保護(hù)通信數(shù)據(jù)的機(jī)密性�����。
9. 根據(jù)權(quán)利要求l所述的一種基于分離映射網(wǎng)絡(luò)使用數(shù)字證書(shū)驗(yàn)證用戶身份的方法���,其特征是,所述數(shù)字證書(shū)包含有終端身份信息��,所述終端身份信息都是經(jīng)過(guò)加密后在通信鏈路上進(jìn)行傳輸�����,以保護(hù)終端身份信息的隱私性����。
10.根據(jù)權(quán)利要求l所述的一種基于分離映射網(wǎng)絡(luò)使用數(shù)字證書(shū)驗(yàn)證用戶身份的方法,其特征是�����,發(fā)送終端和接收終端相應(yīng)接口的可信緩存中都添加了對(duì)方的接入地址�,后來(lái)的數(shù)據(jù)包直接被對(duì)方接收;為了控制終端接口的可信緩存大小,每個(gè)終端接口添加的可信的接入地址在緩存中有一個(gè)生命期限����, 一段時(shí)間后自動(dòng)刪除,需要通信時(shí)����,對(duì)應(yīng)用戶身份應(yīng)重新驗(yàn)證。
全文摘要
一種基于分離映射網(wǎng)絡(luò)使用數(shù)字證書(shū)驗(yàn)證用戶身份的方法����,其采用IP地址作為路由地址,用數(shù)字證書(shū)構(gòu)建接入地址����;用戶在接入網(wǎng)絡(luò)時(shí),先從認(rèn)證機(jī)構(gòu)獲得數(shù)字證書(shū)�����,然后使用數(shù)字證書(shū)證實(shí)自己的真實(shí)身份��,從而防止非法用戶接入網(wǎng)絡(luò)���;通信終端相互通信時(shí)����,先使用數(shù)字證書(shū)證實(shí)各自的身份信息。本發(fā)明針對(duì)地址分離映射網(wǎng)絡(luò)��,引入了使用數(shù)字證書(shū)驗(yàn)證用戶身份的機(jī)制�����,實(shí)現(xiàn)接入終端的真實(shí)身份的確認(rèn)和通信雙方相互真實(shí)身份的確認(rèn)�,防止非法用戶接入網(wǎng)絡(luò),規(guī)范用戶的網(wǎng)絡(luò)行為���,為用戶提供安全的網(wǎng)絡(luò)環(huán)境。
文檔編號(hào)H04L9/32GK101667916SQ20091009335
公開(kāi)日2010年3月10日 申請(qǐng)日期2009年9月28日 優(yōu)先權(quán)日2009年9月28日
發(fā)明者穎 劉, 周華春, 唐建強(qiáng), 張宏科 申請(qǐng)人:北京交通大學(xué)