SWIM(System Wide Information Management,即广域信息管理)采用的是面向服务的体系结构SOA(Service Oriented Architecture)为民航领域提供信息交互和数据共享的功能。SWIM在提供数据高速交互和信息共享的同时,面临越来越多的安全威胁,其中,数据安全和隐私保护是SWIM核心服务必须解决的问题。本发明专利技术在SOA架构的模拟SWIM平台下实现基本的用户身份Diameter/EAP-TLS认证,分析了标准Diameter/EAP-TLS认证所存在的缺陷,提出基于改进Diameter/EAP-TLS协议的SWIM用户身份认证方法。在模拟的SWIM环境中对改进方法进行仿真实验和安全性分析。实验结果表明:改进的Diameter/EAP-TLS认证方法可在性能相当的前提下提高认证系统的安全性,为SWIM安全服务框架的构建提供保障。
【技术实现步骤摘要】
本专利技术是一种基于SOA架构下的SWIM用户的安全认证技术,属于信息安全领域。
技术介绍
SWIM(SystemWideInformationManagement,即广域信息管理)米用的是面向服 务的体系结构SOA(ServiceOrientedArchitecture)为民航领域提供信息交互和数据共 享的功能。目前,包括很多航空业务关键数据和保密信息在内,越来越多的业务数据在SWIM 网络中传输和交换,因此,SWIM面临的安全威胁也越来越突出,数据安全和隐私保护成为 SWM发展必然要面临的课题,只有对SWM用户身份做出可靠地确认才能有效地保证合法 用户接入SWIM网络并对其使用的相应资源进行保护,同时阻止非法航空用户对SWIM网络 进行恶意访问和破坏。 对用户进行身份认证(Authentication)、访问授权(Authorization)和资源计费 (Accounting)的管理统称为AAA服务,其主要目标是对合法用户的网络访问进行实时控 制,并对其资源使用情况进行相应记录,从而有效地保障系统的安全运行。伴随着互联网 本身进化过程中网络的融合,AAA服务协议也经历了从传统的RADIUS协议向下一代AAA协 议--基于IP的Diameter协议进化的历程。 可提供AAA服务的现行RADIUS协议因其本身固有的缺陷,例如:C/S模式、基 于UDP面向非连接的传输、无失败恢复机制、认证与授权必须成对出现等,限制了它的进 一步发展。而新一代AAA协议-Diameter协议克服了RADIUS协议的诸多缺陷,如采用 Peer-to-Peer模式、基于TCP/SCTP面向连接的传输协议、提供可靠地失败恢复机制、认证 与授权分离等,拥有优良的兼容性、标准的规范化、极强的可扩展性和更高的安全性,更容 易进行新应用的扩展以满足新需求。目前,许多国际和区域性的标准组织都已逐步承认和 接受Diameter协议,在有线电视、GSM/UMTS、LTE、CDMA等网络中采用Diameter协议来作为 AAA接口。 SWM环境安全可靠的运行需要AAA服务提供基本的保障,而身份认证作为AAA服 务的首要构成要素理应引起普遍重视,综合考虑SWIM系统的发展现状以及AAA协议的进 化趋势,将构建基于SOA的SWIM平台,并为民航用户对SWIM环境的访问提供安全、可靠、 有效的基于Diameter协议的身份认证对下一代民航空管信息系统的建设具有重要意义。 Diameter协议及其EAP应用子协议并不是专为SW頂架构设计的,如前文所述,很多国际和 地区的标准化组织已经普遍接受Diameter协议,现有的各种网络也已逐步开始采用和部 署Diameter协议来做AAA接口,其安全性和可用性已经在实际应用中得到了验证。 就安全性而言,SWIM虚拟信息池存储实时的飞行数据、监视数据、气象信息等,必 须保证数据的可用性、完整性和机密性,Diameter协议要求必须支持Ipsec安全协议以保 证数据的机密性和完整性,另提供可选的TLS安全协议对数据进行保护,而在应用层提供 基于EAP协议的多重身份认证方法。 就软硬件部署而言,我国民航SWIM网络的研宄和部署处于发展初期,面向的是由 国家民航总局、地区空管分局以及空管分局站三层管理体制组成的空管组织及其下属的 各级用户,使用Diameter协议为SWIM提供用户身份认证可以更好地解决分布式应用和 跨域认证的问题。对我国民航SWIM服务架构的搭建而言,考虑到我国的民航业发展和客 体分布的实际情况,用户多以区域为界进行区分,使用Diameter/EAP进行认证时可采用 NAI(NetworkAccessIdentify),即"userOrealm"的结构,支持非本域用户的信息路由,其 中user是用户名,realm是管理域名,恰好可与用户所在区域相对应,由NAI的realm可以 得知用户的注册网络。在对非本域用户的认证过程中,用户提供NAI信息,Diameter服务 器就可以根据NAI识别用户的注册Diameter服务器,转发用户的请求。 EAP-TLS是IETF的一个开放标准,TLS被认为是SSL的继承者,它能够提供很好的 安全保证。 EAP-TLS使用PKI为保护认证服务器提供通信保护,虽然配置起来比较复杂,但它 仍被公认是EAP认证方法中最安全的方法之一。EAP-TLS要求用户端提供有效的证书,该方 法虽然不太普及,但这种使用数字证书进行认证的方法即方便又安全。 标准的Diameter/EAP-TLS认证流程如下: ①NAS向用户发送EAP_Resp消息,要求用户返回其身份信息,标志认证过程的开 始; ②用户将其身份信息嵌入EAP_Req消息返回给NAS; ③NAS收到用户的身份信息之后,抽取其中的用户ID打包发给Diameter认证服 务器,该消息包含此次用户身份认证会话所需维护的会话ID; ④Diameter认证服务器发起EAP-TLS认证; ⑤由NAS向用户转发上述EAP-TLS认证开始消息; ⑥用户响应EAP-TLS认证请求,向Diameter认证服务器发送ClientHello消息, 其中包含客户端支持的加解密算法及压缩算法列表、TLS版本号以及终端生成的随机数RC 等; ⑦NAS向Diameter认证服务器转发ClientHello消息; ⑧Diameter认证服务器收到来自用户的ClientHello消息后以ServerHello 消息回应,其中包含服务器从客户端提供的加解密算法及压缩算法列表中挑选的算法、认 证服务器端生成的随机数RS以及服务器证书、对客户端的证书请求和服务器就绪等信息。 ⑨NAS向用户认证客户端转发Diameter认证服务器响应消息; ⑩用户认证客户端根据Diameter认证服务器提供的证书对其身份进行认证,随 后发送客户端证书消息,其中包含的内容与Diameter认证服务器证书基本一致,另外,由 于已经对Diameter认证服务器的数字证书进行了鉴别,则生成预主密钥; (Jj)NAS向Diameter认证服务器转发客户端消息; Diameter认证服务器认证用户身份,解密预主密钥,并使用它以及RC和RS生 成主密钥,然后向用户认证客户端发送密钥切换消息和结束消息; NAS向用户认证客户端转发Diameter认证服务器的消息; 由于EAP协议要求必须对每一个请求消息作出响应,则在认证整个过程正常 的情况下,此时用户向NAS返回一个不包含任何TLS信息的空ACK消息; (JJ)NAS向Diameter认证服务器转发空的EAP消息; ?Diameter认证服务器向NAS发出允许用户接入网络的确认信息; ?允许接入的消息到达用户认证客户端。 Diameter/EAP-TLS标准认证完成了用户客户端与Diameter认证服务器的双向认 证、认证完成之后的消息使用共享密钥加以保护等。但该方法在SWIM安全服务架构的具体 实现中依然存在安全隐患,主要有以下几点: (1)在用户客户端与Diameter认证服务器相互认证之前,用户ID始终明文传输, 无法对用户身份提供保护。EAP-TLS认证基于公钥数字证书,需要认证机构、证书管理机构 等各方的参与,本文档来自技高网...
【技术保护点】
一种基于改进Diameter/EAP‑TLS协议的民航SWIM用户认证方法,在分析标准Diameter/EAP‑TLS认证及其自身所存在的缺陷的基础上,新增Diameter/EAP‑TLS认证方法的用户ID加密传输及针对其双向认证中存在的缺陷加以改善,其特征在于:(1)首先通过安全方式在用户认证客户端和NAS之间共享一个对称密钥,当NAS向用户要求其身份信息时,使用该共享密钥对消息进行加密,若用户使用相同的共享密钥可以解密消息,则可对NAS进行身份确认;(2)改进之后的Diameter/EAP‑TLS认证采用一次一密的思想,在用户认证客户端和Diameter认证服务器之间事先通过安全方式共享一张口令表,当Diameter认证服务器发起EAP‑TLS认证时,随机生成与该口令表相对应的一组坐标并将其发送给用户认证客户端,而对端在收到该坐标后查询本地口令表,选取与坐标相对应的口令发送给Diameter认证服务器,Diameter认证服务器可以通过核对口令一致性来确认用户身份的合法性,从而进一步为后续数字证书的鉴别分配资源。如此在一定程度上可以抵御拒绝服务攻击。
【技术特征摘要】
【专利技术属性】
技术研发人员:吴志军,牛方超,王彩云,雷缙,岳猛,
申请(专利权)人:中国民航大学,
类型:发明
国别省市:天津;12
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。