增强源地址真实性保障的密钥申诉方法

摘要

本发明提供一种增强源地址真实性保障的密钥申诉方法，该方法在终端安全接入网络后，使用刚刚得到的令牌在准入服务器中建立申诉表<终端接入地址，申诉信息ID>表；准入服务器建立申诉表后，接受本地终端的申诉请求优先处理申诉消息，即收到申诉消息时验证申诉信息正确即可更新<终端接入地址，终端公钥>表。根据本发明方法，终端可以在丢失密钥或者密钥被非法终端获知后能够及时更换密钥，从而解决终端接入地址和密钥对应关系不可更改的问题，使得终端密钥丢失后不能使用原接入地址接入网络的问题得到了彻底解决。

主权项

一种增强源地址真实性保障的密钥申诉方法，其特征是：终端安全接入网络后，使用刚刚得到的令牌在准入服务器中建立申诉表<终端接入地址，申诉信息ID>表，准入服务器建立所述申诉表后，优先处理申诉消息，即收到申诉消息时验证申诉信息正确即可更新<终端接入地址，终端公钥>表，从而增强终端的安全保障，该方法的密钥申诉过程步骤如下：步骤1：终端完成安全接入得到令牌后，立即发送数据包X至接入路由器，请求建立终端申诉表，即<终端接入地址，申诉信息ID>表，所述数据包X中包括：SHA1(IPcae|N1|Token)和申诉信息ID的密文ects{sige[N1|SHA1(IPcae|Nq|Token)]，ID}；所述SHA1(IPcae|N1|Token)是IPcae、N1和Token的160bit哈希值，其中，IPcae是终端接入地址，N1是终端为本次会话生成的随机数，Token是终端令牌；所述密文ects{sige[N1|SHA1(IPcae|Nq|Token)]，ID}是先使用终端私钥对随机数N1、哈希值SHA1(IPcae|N1|Token)进行数字签名，后使用准入服务器公钥对数字签名和申诉信息ID进行加密的密文；步骤2：所述接入路由器根据所述数据包X中的终端接入地址，查找<终端接入地址，令牌>表，使用所述数据包X中终端接入地址IPcae和随机数N1以及查表得到的令牌Token作SHA1运算，若得到的结果和所述数据包X中携带的哈希值SHA1(IPcae|N1|Token)相等，则验证成功，此时复制所述数据包X中的N1和ects{sige[N1|SHA1 (IPcae|Nq|Token)]，ID}，并将其插入到数据包Y中，然后发送所述数据包Y至准入服务器；若验证失败则不响应申诉请求；步骤3：所述准入服务器使用自身私钥解密密文ects{sige[N1|SHA1(IPcae|Nq|Token)]，ID}，并使用终端公钥验证密文中签名sige[N1|SHA1(IPcae|Nq|Token)]成功后，完成该终端申诉表的建立，即完成<终端接入地址，申诉信息ID>表的建立，并发送数据包Z通知终端其申诉表已经成功建立，所述数据包Z中：N1是Y中的随机数；N2是准入服务器生成的随机数，sigs(IPcae|N1|N2)是准入服务器使用自身私钥对终端接入地址IPcae、随机数N1和N2的数字签名；步骤4：当终端发觉自身私钥被其他用户非法使用而需要更新密钥时，自选新的公钥‑私钥对；然后发送数据包A至准入服务器请求更换密钥，即更新准入服务器中的<终端接入地址，终端公钥>表，数据包A中：N3是终端为本次会话生成的随机数，且数据包A中仅包含一个随机数N3；步骤5：所述准入服务器使用数据包B回复终端，数据包B中包含准入服务器预先生成的对申诉终端的挑战SHA1(N4|K)和预先生成的数字签名sigs{N4|SHA1(N4|K)}，数据包B中：N4是准入服务器预先生成的随机数之一；SHA1(N4|K)是160bit的准入服务器预先生成的挑战，用于发给终端要求其应答；sigs{N4|SHA1(N4|K)}是预先生成的、使用准入服务器私钥对随机数N4和挑战的数字签名；步骤6：终端使用穷举法得到挑战的应答K，发送数据包C回复 准入服务器，所述数据包C中：所述应答K是终端对所述数据包B中挑战的应答；N4是数据包B中的随机数；sige1(IPcae|K|N4|ID)代表使用终端新私钥对终端接入地址IPcae、应答K、随机数N4和申诉信息ID的数字签名；Pube1是终端新公钥；步骤7：所述准入服务器验证数据包C中的应答K正确后，使用数据包C中携带的终端新公钥Pube1验证数字签名sige1(IPcae|K|N4|ID)，其中，验证过程中所使用的申诉信息ID的获得来自于步骤3已经建立的申诉表；验证成功则使用新公钥Pube1替换该接入地址对应的<终端接入地址，终端公钥>表中的旧公钥，完成了该终端接入地址和公钥绑定关系的更新；然后受理申诉的本地准入服务器通知其他准入服务器，通过发送数据包D告知各个接入路由器删除该终端对应的<终端接入地址，令牌>表，从而在自身密钥泄露的情况下使用新密钥完成更换密钥的过程，所述数据包D中仅包含：IPcae是进行密钥更新的终端的接入地址。