SWIM(System Wide Information Management,即广域信息管理)采用的是面向服务的体系结构SOA(Service Oriented Architecture)为民航领域提供信息交互和数据共享的功能。SWIM在提供数据高速交互和信息共享的同时,面临越来越多的安全威胁,其中,数据安全和隐私保护是SWIM核心服务必须解决的问题。本发明专利技术在SOA架构的模拟SWIM平台下实现基本的用户身份Diameter/EAP-MD5认证,分析了标准Diameter/EAP-MD5认证所存在的缺陷,提出基于改进的Diameter/EAP-MD5协议的SWIM用户身份认证方法。在模拟的SWIM环境中对改进方法进行仿真实验和安全性分析。实验结果表明:改进的Diameter/EAP认证方法可在性能相当的前提下提高认证系统的安全性,为SWIM安全服务框架的构建提供保障。
【技术实现步骤摘要】
本专利技术是一种基于SOA架构下的SWIM用户的安全认证技术,属于信息安全领域。
技术介绍
SWIM(System Wide Information Management,即广域信息管理)采用的是面向服务的体系结构SOA(Service Oriented Architecture)为民航领域提供信息交互和数据共享的功能。目前,包括很多航空业务关键数据和保密信息在内,越来越多的业务数据在SWIM网络中传输和交换,因此,SWIM面临的安全威胁也越来越突出,数据安全和隐私保护成为SWIM发展必然要面临的课题,只有对SWIM用户身份做出可靠地确认才能有效地保证合法用户接入SWIM网络并对其使用的相应资源进行保护,同时阻止非法航空用户对SWIM网络进行恶意访问和破坏。对用户进行身份认证(Authentication)、访问授权(Authorization)和资源计费(Accounting)的管理统称为AAA服务,其主要目标是对合法用户的网络访问进行实时控制,并对其资源使用情况进行相应记录,从而有效地保障系统的安全运行。伴随着互联网本身进化过程中网络的融合,AAA服务协议也经历了从传统的RADIUS协议向下一代AAA协议——基于IP的Diameter协议进化的历程。可提供AAA服务的现行RADIUS协议因其本身固有的缺陷,例如:C/S模式、基于UDP面向非连接的传输、无失败恢复机制、认证与授权必须成对出现等,限制了它的进一步发展。而新一代AAA协议-Diameter协议克服了RADIUS协议的诸多缺陷,如采用Peer-to-Peer模式、基于TCP/SCTP面向连接的传输协议、提供可靠地失败恢复机制、认证与授权分离等,拥有优良的兼容性、标准的规范化、极强的可扩展性和更高的安全性,更容易进行新应用的扩展以满足新需求。目前,许多国际和区域性的标准组织都已逐步承认和接受Diameter协议,在有线电视、GSM/UMTS、LTE、CDMA等网络中采用Diameter协议来作为AAA接口。SWIM环境安全可靠的运行需要AAA服务提供基本的保障,而身份认证作为AAA服务的首要构成要素理应引起普遍重视,综合考虑SWIM系统的发展现状以及AAA协议的进化趋势,将构建基于SOA的SWIM平台,并为民航用户对SWIM环境的访问提供安全、可靠、有效的基于Diameter协议的身份认证对下一代民航空管信息系统的建设具有重要意义。Diameter协议及其EAP应用子协议并不是专为SWIM架构设计的,如前文所述,很多国际和地区的标准化组织已经普遍接受Diameter协议,现有的各种网络也已逐步开始采用和部署Diameter协议来做AAA接口,其安全性和可用性已经在实际应用中得到了验证。就安全性而言,SWIM虚拟信息池存储实时的飞行数据、监视数据、气象信息等,必须 保证数据的可用性、完整性和机密性,Diameter协议要求必须支持Ipsec安全协议以保证数据的机密性和完整性,另提供可选的TLS安全协议对数据进行保护,而在应用层提供基于EAP协议的多重身份认证方法;就软硬件部署而言,我国民航SWIM网络的研究和部署处于发展初期,面向的是由国家民航总局、地区空管分局以及空管分局站三层管理体制组成的空管组织及其下属的各级用户,使用Diameter协议为SWIM提供用户身份认证可以更好地解决分布式应用和跨域认证的问题。对我国民航SWIM服务架构的搭建而言,考虑到我国的民航业发展和客体分布的实际情况,用户多以区域为界进行区分,使用Diameter/EAP进行认证时可采用NAI(Network Access Identify),即“userrealm”的结构,支持非本域用户的信息路由,其中user是用户名,realm是管理域名,恰好可与用户所在区域相对应,由NAI的realm可以得知用户的注册网络。在对非本域用户的认证过程中,用户提供NAI信息,Diameter服务器就可以根据NAI识别用户的注册Diameter服务器,转发用户的请求。标准Diameter/EAP-MD5认证流程,其流程如下:①.NAS向Diameter认证服务器发送NULL Message,标志认证过程的开始;②.Diameter认证服务器向NAS发送DER报文,要求用户提供身份信息;③.NAS将DER消息解封后重新封装成EAP-Request消息后转发给用户;④.用户将身份信息以明文形式包含在EAP-Response消息中返回NAS;⑤.NAS提取用户身份信息后将其封装在DEA消息中转发给Diameter认证服务器;⑥.Diameter认证服务器将接收到的用户ID与数据库中存储的信息对比,若不匹配则发布认证失败消息,若匹配则向NAS发送DER消息,其中包含服务器端产生的随机数;⑦.NAS提取其中的随机数并向用户转发EAP-Request消息;⑧.用户对接收到的随机数和密码做hash运算,并将计算值同用户ID一同发往NAS;⑨.NAS将该EAP-Response消息重新封装在DER消息中发往Diameter认证服务器;⑩.Diameter服务器本地计算原随机数与用户名对应密码的hash值,并与接收到的hash值作比较,若相同则返回认证成功消息,若不同则返回认证失败消息;.NAS向用户转发相应的EAP-Success/Failure消息。以下分析以Diameter/EAP-MD5标准认证为重点研究对象,该认证方法类似于CHAP认证,拥有简单易行的特点和最基本的保密性,但它在SWIM安全服务架构的具体实现中仍存在许多安全隐患,主要有以下几点:(1)认证过程中用户ID始终明文传输,机密性的缺失往往是致命的。一旦这些用户的身份信息被攻击者截获,若用来对服务器或数据库进行各种注入式攻击,则会导致更多敏 感甚至是机密数据的泄露。SWIM用户涉及机场、航空公司、空管局及其下属单位等,以管制员为例,若攻击者截获该管制员ID,借此破译其认证密码,则极有可能凭借管制员权限查看到相应保密级别的信息,严重的有可能威胁到飞机航行安全甚至是国家民航机密。(2)NAS/Diameter Client只起到转发作用,其身份未被确认,一旦被攻击者仿冒,则很容易进行中间人攻击,造成用户信息和服务器信息的双重泄露,即使用户和服务器之间传输的消息是经过加密的,若此消息被截获,也可利用猜测攻击获得相关明文甚至是密钥。SWIM信息池包含海量的飞行数据、监视数据、气象信息等,NAS的仿冒者极有可能在服务器返回用户请求的过程中截获这些信息从事非法活动。(3)EAP的相关RFC文档中要求EAP应实现双向认证,而EAP-MD5仅实现了服务器对用户的认证,并没有实现用户对服务器的认证。若用户盲目地向攻击者仿冒的服务器提供个人信息,则会造成不必要的损失。
技术实现思路
本专利技术在SOA架构的模拟SWIM平台下实现基本的用户身份Diameter/EAP-MD5认证,并分析了标准Diameter/EAP-MD5认证本文档来自技高网...
【技术保护点】
一种基于改进Diameter/EAP‑MD5协议的民航SWIM用户认证方法,在分析标准Diameter/EAP‑MD5认证及其自身所存在的缺陷的基础上,新增Diameter/EAP‑MD5认证方法的双向认证、数据加密及增加随机数抵御重放攻击,其特征在于:改进的Diameter/EAP‑MD5认证可分为三个阶段:(1).第一阶段,使用与NAS共享的AES算法对称密钥K1将用户ID和R1(由用户产生)同时加密后封装在EAP‑Response消息中发往NAS,以此来对用户信息加密传输,并对NAS进行身份确认;(2).第二阶段,用户利用本地产生的随机数R1和认证服务器产生的随机数R2实现对服务器的认证;(3).第三阶段,服务器端通过对R1及用户信息进行hash运算,并将结果与收到的客户端的运算结果进行比较来实现服务器对用户的认证;改进后的Diameter/EAP‑MD5认证未增加流程消息数,并在几乎没有增加时间复杂度的基础上对双向认证、抵御重放攻击、机密性等方面都做了部分改善。
【技术特征摘要】
1.一种基于改进Diameter/EAP-MD5协议的民航SWIM用户认证方法,在分析标准
Diameter/EAP-MD5认证及其自身所存在的缺陷的基础上,新增Diameter/EAP-MD5认证方法
的双向认证、数据加密及增加随机数抵御重放攻击,其特征在于:
改进的Diameter/EAP-MD5认证可分为三个阶段:
(1).第一阶段,使用与NAS共享的AES算法对称密钥K1将用户ID和R1(由用户产生)
同时加密后封装在EAP-Response消息中发往NAS,以此来对用户信息加密传输,并对NAS
进行身份确认;
(2).第二阶段,用户利用本地产生的随机数R1和认证服务器产生的随机数R2实现对服
务器的认证;
(3).第三阶段,服务器端通过对R1及用户信息进行hash运算,并将结果与收到的客户端
的运算结果进行比较来实现服务器对用户的认证;
改进后的Diameter/EAP-MD5认证未增加流程消息数,并在几乎没有增加时间复杂度的
基础上对双向认证、抵御重放攻击、机密性等方面都做了部分改善。
2.第一阶段实现SWIM用户与NAS之间的相互认证,其具体过程如下:
(1)NAS向Diameter认证服务器发送NULL Message,标志认证过程的开始;
(2)Diameter认证服务器向NAS发送DER报文,要求用户提供身份信息;
(3)NAS将DER消息解封后重新封装成EAP-Request消息后转发给用户;
(4)用户产生一个随机数R1,使用与NAS共享的AES算法对称密钥K1将用户ID和R1
同时加密后封装在EAP-Response消息中发往NAS,若NAS持有相应的K1,则可实现与用
户的相互认证并提取用户ID,否则认证失败;
用户通过使用与NAS共享的算法对称密钥K1来加密用户信息及用户产生的随机数R1,
解决用户ID明文传输问题,提高了传输信息的机密性,同时实现了SWIM用户与NAS之间
的相互认证。
3.第二阶段实现用户对服务器的认...
【专利技术属性】
技术研发人员:吴志军,牛方超,王彩云,雷缙,岳猛,
申请(专利权)人:中国民航大学,
类型:发明
国别省市:天津;12
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。