阅读说明：本技术 一种安全接入网关及身份鉴别方法 (Safety access gateway and identity authentication method ) 是由 屠一凡 纪晨熹 渠海龙 焦雄飞 申鹏 蔡蓬勃 荆鑫 于 2019-09-29 设计创作，主要内容包括：本发明属于网关技术领域,具体涉及一种安全接入网关及身份鉴别方法。所述网关包括：外部主机、密钥主机、隔离主机和内部主机；所述外部主机包括：第一身份认证单元、访问控制单元、协议解析单元、数据安全检查单元和数据摆渡单元；所述隔离主机包括：第二身份认证单元和数据隔离单元；所述内部主机包括：第三身份认证单元和数据传输单元。具有安全性高、效率更高和更为便捷的优点。(The invention belongs to the technical field of gateways, and particularly relates to a security access gateway and an identity authentication method. The gateway includes: the system comprises an external host, a key host, an isolation host and an internal host; the external host includes: the system comprises a first identity authentication unit, an access control unit, a protocol analysis unit, a data security check unit and a data ferrying unit; the isolated host includes: the second identity authentication unit and the data isolation unit; the internal host includes: a third identity authentication unit and a data transmission unit. Has the advantages of high safety, higher efficiency and more convenience.)

一种安全接入网关及身份鉴别方法

技术领域

本发明属于网关技术领域，具体涉及一种安全接入网关及身份鉴别方法。

背景技术

安全问题往往成为阻碍移动银行业务的广泛采用和发展的绊脚石。大多数移动设备缺少安全地发送端对端加密通信的能力。结果，可能以明码文本的形式发送诸如个人标识号码(PIN)和主账户号码(PAN)等的敏感信息，这产生了这样的敏感信息可能被恶意人员截获并用于欺诈目的的弱点。尽管可以由移动网络运营商提供一些安全措施，例如，在基站处提供加密能力，但由这样的解决方案提供的保护仍然受到限制，这是因为在传送期间的某一时刻仍以明码文本形式发送通信。其他解决方案要求重新配置用户的移动设备，例如，通过空中(0TA)配置，且这样的解决方案在部署和运行成本两个方面可能都是昂贵的。因此，移动运营商必须把这种成本转嫁给他们的客户或者自己消化这种成本。因而，总拥有成本(TC0)往往也是阻碍移动银行业务的上升和发展的绊脚石。如果没有一种具有成本效益和有效的方式来安全地发送和接收与移动设备的通信，移动银行业务运营商都注定要产生亏损，或未能完全推出自己的移动银行服务。

虽然移动网络运营商努力寻找一个符合成本效益和高效率的解决方案，使移动设备能够安全地发送加密的通讯，但移动银行业务的安全弱点并不仅仅局限于空中通信的潜在截取。在移动网络和支付处理网络之间的接口也容易受到恶意人员的入侵的攻击，这是因为这两个网络中使用的安全协议通常是不同的，并且其中一个网络上的设备的身份对另一网络上的设备来说并不总是已知。结果，恶意人士可以尝试通过伪装成另一网络的一部分在接口处连接到一个网络。

例如，可以建立与彼此的连接的单向网络设备使用同步和确认消息的三方握手。网络设备可以通过把同步消息发送给目标设备发起连接。响应于接收到同步消息，目标设备回送同步确认消息。然后，发起设备把确认消息发送给目标设备。一旦接收到确认消息，就在两个网络设备之间建立连接。为了入侵系统，恶意人员不必知道将接受连接的目标设备的身份或目标设备的端口。恶意人员可以通过发送出随机同步消息并等待同步确认消息应答来执行端口扫描，以判断网络上有什么设备以及设备的哪些端口可以接受连接。当恶意人员接收到同步确认消息时，恶意人员可以从同步确认消息得知目标设备的身份并获得目标设备的网络参数。然后，恶意人员可以通过对目标设备发起攻击来入侵目标设备的网络。

发明内容

有鉴于此，本发明的主要目的在于提供一种安全接入网关及身份鉴别方法，具有安全性高、效率更高和更为便捷的优点。

为达到上述目的，本发明的技术方案是这样实现的：

一种安全接入网关，所述网关包括：外部主机、密钥主机、隔离主机和内部主机；所述密钥主机包括：随机数选择子单元、基底数生成子单元、配对对数算出子单元以及参数设定子单元；所述随机数选择子单元，用于从循环群S的多个要素中选择要素来作为随机数O；所述基底数生成子单元，用于根据所述随机数选择子单元，用于根据所选择的随机数O利用多个映射对所述随机数O进行映射，算出多个基底数O；所述配对对数算出子单元，用于算出群S中的所述多个基底数O间的配对值的对数来作为多个配对对数系数H；所述参数设定子单元，用于将所述基底数生成部所算出的多个基底数O和所述配对对数算出部所算出的多个配对对数系数H设为用于密码运算的密钥；所述基底数生成子单元使根据所述随机数选择子单元所选择的随机数O使高斯和算子Sj作用于所述随机数O算出所述扩张域K上的任意一点的多个数的多个基底数O＝Sj(O)，其中，j是大于等于O且小于等于2O-l的整数。

进一步的，所述外部主机包括：第一身份认证单元、访问控制单元、协议解析单元、数据安全检查单元和数据摆渡单元；所述密钥主机在每一运行中，将生成三个密钥，分别将三个密钥发送至外部主机、隔离主机和内部主机；所述第一身份认证子单元根据接收的密钥生成一个密码，所述第二身份认证子单元根据接收到的密钥生成一个密码；所述第三身份认证子单元根据接收到的密钥生成一个密码；经过网关的数据，首先到达外部主机，经过第一身份认证子单元的认证后，即验证通过密码后，访问控制单元，将该数据发送到协议解析单元，协议解析单元，对数据进行协议解析；所述隔离主机包括：第二身份认证单元和数据隔离单元；所述内部主机包括：第三身份认证单元和数据传输单元；所述第一身份认证单元信号连接于访问控制单元；所述访问控制单元信号连接于数据安全检查单元；所述数据安全检查单元信号连接于数据摆渡单元；所述数据摆渡单元信号连接于第二身份认证单元；所述第二身份认证单元信号连接于第三身份认证单元；所述第三身份认证单元信号连接于数据解析单元；所述数据安全检查单元对数据进行数据安全检查；经过数据安全检查的数据将通过数据摆渡单元发送到隔离主机；隔离主机接收到数据后，进行第二次身份认证，若没有通过第二身份认证子单元的认证，则将该数据发送到数据隔离单元进行隔离；若通过第二身份认证子单元的认证，则发送数据到内部主机；所述内部主机对接收到的数据进行第三次身份认证，第三身份认证单元将数据发送到数据传输单元，数据传输单元将该数据进行发送。

进一步的，所述多个映射的映射系统方程为：x_n+1＝μx_n(1-x_n)，其中，μ为控制参数，取值范围为0<μ≤4，x_n为映射前的随机数，x_n+1为映射后的随机数。

进一步的，所述随机数选择子单元使用所述处理装置，从有限域Fp上的超椭圆曲线C：Y＝Xw+1的任意一点的多个数中选择随机数O其中，w是素数，w＝2O+l，将所述阶数p除以所述素数w得到的余数a是阶数为w的有限域Fw的乘法群F的生成元。

进一步的，所述Sj通过如下公式得到：其中，所述，P是与上述扩张域K上的超椭圆曲线C上的算子对应的上述任意一点的多个数上的算子，是I的w次方根。

一种身份鉴别方法，所述方法执行以下步骤：经过网关的数据，首先到达外部主机，经过第一身份认真子单元的认证后，即验证通过密码后，访问控制单元，将该数据发送到协议解析单元，协议解析单元，对数据进行协议解析；数据安全检查单元对数据进行数据安全检查；经过数据安全检查的数据将通过数据摆渡单元发送到隔离主机；隔离主机接收到数据后，进行第二次身份认证，若没有通过第二身份认证子单元的认证，则将该数据发送到数据隔离单元进行隔离；若通过第二身份认证子单元的认证，则发送数据到内部主机；所述内部主机对接收到的数据进行第三次身份认证，第三身份认证单元将数据发送到数据传输单元，数据传输单元将该数据进行发送。

进一步的，所述扩张域K是将所述有限域Fp扩张2O阶得到的代数扩张域，所述离散对数算出子单元使用所述处理装置，根据所述余数a；根据如下公式，计算出多个离散对数l_κ，其中，K是大于等于I且小于等于2O-l的整数，所述多个离散对数l_κ是大于等于O且小于等于2O-l的整数，所述配对对数算出子单元使用所述处理装置，根据所述离散对数算出子单元所算出的多个离散对数l_κ。

进一步的，根据如下公式，计算出多个配对对数系数H，其中， i是大于等于O且小于等于2O-1的整数，所述多个配对对数系数H是大于等于O且小于等于r-1的整数，r是所述随机数O的阶数。

进一步的，所述将数据发送到数据隔离单元进行隔离的方法为：设定一个可调用的存储空间，将数据存储到该存储空间中。

进一步的，所述第一身份认证子单元根据接收的密钥生成一个密码，所述第二身份认证子单元根据接收到的密钥生成一个密码的方法为：将密钥和一个伪随机数进行对称加密，加密得到的结果作为密码。

本发明的一种安全接入网关及身份鉴别方法，具有如下有益效果：本发明通过三次身份验证，最大程度提升了安全性，且在密钥生成上，采用完全不同于现有技术的密钥生成方法，使用代替合数阶数的配对运算的其它运算来构成与使用合数阶数的配对运算而构成的密码系统同等或其以上的高功能的密码系统，同时，在隔离主机中，对出现安全问题的数据，进行临时隔离，再安全验证通过后，直接提取隔离数据，不再需要再次进行传输，提升了系统运行的效率。

附图说明

图1为本发明的实施例提供的一种安全接入网关的结构示意图；

图2为本发明的一种安全接入身份鉴别方法的方法实流程示意图；

图3为本发明的一种安全接入网关及身份鉴别方法及现有技术随着攻击次数，网关数据安全率的实验效果示意图。

其中，1-现有技术实验曲线图，2-本发明技术实验曲线图。

具体实施方式

下面结合附图及本发明的实施例对本发明的方法作进一步详细的说明。

实施例1

如图1所示，一种安全接入网关，所述网关包括：外部主机、密钥主机、隔离主机和内部主机；所述密钥主机包括：随机数选择子单元、基底数生成子单元、配对对数算出子单元以及参数设定子单元；所述随机数选择子单元，用于从循环群S的多个要素中选择要素来作为随机数O；所述基底数生成子单元，用于根据所述随机数选择子单元，用于根据所选择的随机数O利用多个映射对所述随机数O进行映射，算出多个基底数O；所述配对对数算出子单元，用于算出群S中的所述多个基底数O间的配对值的对数来作为多个配对对数系数H；所述参数设定子单元，用于将所述基底数生成部所算出的多个基底数O和所述配对对数算出部所算出的多个配对对数系数H设为用于密码运算的密钥；所述基底数生成子单元使根据所述随机数选择子单元所选择的随机数O使高斯和算子Sj作用于所述随机数O算出所述扩张域K上的任意一点的多个数的多个基底数O＝Sj(O)，其中，j是大于等于O且小于等于2O-l的整数。

具体的，网关(Gateway)又称网间连接器、协议转换器。网关在网络层以上实现网络互连，是最复杂的网络互连设备，仅用于两个高层协议不同的网络互连。网关既可以用于广域网互连，也可以用于局域网互连。网关是一种充当转换重任的计算机系统或设备。使用在不同的通信协议、数据格式或语言，甚至体系结构完全不同的两种系统之间，网关是一个翻译器。与网桥只是简单地传达信息不同，网关对收到的信息要重新打包，以适应目的系统的需求。

同时，所谓“摆渡”，现实中的摆渡就是在一条船从江河这一边到另一边，再从另一边到这一边。数据摆渡的过程也类似。为了防范网络攻击，通过物理隔离的思路，将两台完全不相连的计算机，通过软盘从一台计算机向另一台计算机拷贝数据，有时候大家形象地称为“数据摆渡”。传统的跨网数据交换方式有光盘摆渡机。光盘摆渡机简单来讲，先用光盘刻录需要传输信息，然后用机械臂换到需要交换的另一端网络，然后读取存储，这样就完成了一次单向传输。这种方式速度慢，且丢包率高，安全性难以保障，万一丢失重要数据信息，会严重影响业务的正常开展。同时，由于数据拷贝是人工完成的，很难对其所拷贝的内容范围进行监管，难以保证数据的合规性，不能保证数据是否被篡改，对拷贝的数据及使用流程无法追溯，出现问题时无法追踪到责任人。

实施例2

进一步的，所述外部主机包括：第一身份认证单元、访问控制单元、协议解析单元、数据安全检查单元和数据摆渡单元；所述密钥主机在每一运行中，将生成三个密钥，分别将三个密钥发送至外部主机、隔离主机和内部主机；所述第一身份认证子单元根据接收的密钥生成一个密码，所述第二身份认证子单元根据接收到的密钥生成一个密码；所述第三身份认证子单元根据接收到的密钥生成一个密码；经过网关的数据，首先到达外部主机，经过第一身份认证子单元的认证后，即验证通过密码后，访问控制单元，将该数据发送到协议解析单元，协议解析单元，对数据进行协议解析；所述隔离主机包括：第二身份认证单元和数据隔离单元；所述内部主机包括：第三身份认证单元和数据传输单元；所述第一身份认证单元信号连接于访问控制单元；所述访问控制单元信号连接于数据安全检查单元；所述数据安全检查单元信号连接于数据摆渡单元；所述数据摆渡单元信号连接于第二身份认证单元；所述第二身份认证单元信号连接于第三身份认证单元；所述第三身份认证单元信号连接于数据解析单元；所述数据安全检查单元对数据进行数据安全检查；经过数据安全检查的数据将通过数据摆渡单元发送到隔离主机；隔离主机接收到数据后，进行第二次身份认证，若没有通过第二身份认证子单元的认证，则将该数据发送到数据隔离单元进行隔离；若通过第二身份认证子单元的认证，则发送数据到内部主机；所述内部主机对接收到的数据进行第三次身份认证，第三身份认证单元将数据发送到数据传输单元，数据传输单元将该数据进行发送。

具体的，核心网关为了正确和高效地路由报文需要知道Internet其他部分发生的情况，包括路由信息和子网特性。

当一个网关处理重负载而使速度特别慢，并且这个网关是访问子网的惟一途径时，通常使用这种类型的信息，网络中的其他网关能剪裁交通流量以减轻网关的负载。

GGP是协议的简称，主要用于交换路由信息，不要混淆路由信息(包括地址、拓扑和路由延迟细节)和作出路由决定的算法。路由算法在网关内通常是固定的且不被GGP改变。核心网关之间通过发送GGP信息，并等待应答来通信，之后如果收到含特定信息的应答就更新路由表。

注意GGP的最新改进SPREAD已经用于Internet，但它还不如GGP普及。GGP被称为向量-距离协议。要想有效工作，网关必须含有互联网络上有关所有网关的完整信息。否则，计算到一个目的地的有效路由将是不可能的。因为这个原因，所有的核心网关维护一张Internet上所有核心网关的列表。这是一个相当小的表，网关能容易地对其进行处理。

实施例3

进一步的，所述多个映射的映射系统方程为：x_n+1＝μx_n(1-x_n)，其中，μ为控制参数，取值范围为0<μ≤4，x_n为映射前的随机数，x_n+1为映射后的随机数。

实施例4

进一步的，所述随机数选择子单元使用所述处理装置，从有限域Fp上的超椭圆曲线C：Y＝Xw+1的任意一点的多个数中选择随机数O其中，w是素数，w＝2O+l，将所述阶数p除以所述素数w得到的余数a是阶数为w的有限域Fw的乘法群F的生成元。

实施例5

进一步的，所述Sj通过如下公式得到：其中，所述，P是与上述扩张域K上的超椭圆曲线C上的算子对应的上述任意一点的多个数上的算子，是I的w次方根。

具体的，本发明采用上述方法，实现了双线性对的密钥计算，双线性对最早是由Weil在1946年提出的定义在代数曲线上的一个可有效计算的双线性映射(即Weil对)。它是代数几何，特别是代数曲线理论研究中一个非常重要的概念和工具。双线性对在密码中的最早应用是1993年Menezes、Okamoto和Vanstone给出的归约超奇异椭圆曲线上离散对数问题到有限域的离散对数问题的MOV攻击。2000年，Sakai等人、Joux、Boneh等人发现了双线性对在密码中的正面的应用——能够用来构造基于身份的密码体制(IBE)、三方一轮密钥协商等。之后，双线性对引起了密码学家们的极大兴趣并被发现了更多各种各样的应用，如短签名、一些带有特殊性质的签名(聚合签名、可验证加密的签名、部分盲签名等)等。再之后，由于发现双线性对可以实现基于属性的加密(ABE)、断言(或谓词)加密(PE)、函数(或功能)加密(FE)、可搜索的加密等，使得基于双线性对密码体制被应用在云计算等领域。双线性对密码的研究一度成为一个热点，并持续了十多年。

所取得的研究成果在密码学研究领域创造了一个不小的奇迹。不过随着对双线性对的深入挖掘和研究，发现双线性对的功能有限，在设计一些新的密码协议时功能上欠完善。例如我们可以利用双线性对设计函数加密，但这样的函数只能是一些简单函数，对复杂的函数或者任意函数它做不到。另外，双线性对密码被研究了近15年了，新颖的或有意义的结果较难出现了(能想到的有趣的方案都基本被设计出来了)。同时，由于最近几年对小特征有限域上离散对数的计算的研究，影响了双线性对密码的安全性，所以双线性对密码的研究热度已经降下来了。双线性对可以推广到多线性映射，但在2012年之前，多线性映射只是一个空想。

2012年，Garg、Gentry和Halevi利用理想格实现了第一个密码多线性映射，之后Coron等人给出了整数环上的实现。2015年Gentry、Gorbunov和Halevi构造了基于一般格的多线性映射GGH15方案。由于多线性映射的提出，多数研究人员把目光投到了这上面。多线性映射不仅可以实现双线性对所实现的所有体制，同时提供了更强大的功能。多线性映射不仅可以实现多方一轮密钥协商、广播加密等，它所体现出来的更强大的应用是实现电路。布尔电路是计算机的构建模块，是一切计算函数的底层构架。利用多线性映射可以构造任意布尔电路的基于属性的加密和断言加密。最近，多线性映射被用来设计任意多项式电路的不可区分的混淆，利用不可区分的混淆，可以设计出各种各样非常有趣和创意的协议，如充当随机预言函数、任意函数加密、多方非交互式密钥协商、可否认加密等。很多应用甚至是解决了密码学领域的一些多年的公开难题。

实施例6

一种身份鉴别方法，所述方法执行以下步骤：经过网关的数据，首先到达外部主机，经过第一身份认真子单元的认证后，即验证通过密码后，访问控制单元，将该数据发送到协议解析单元，协议解析单元，对数据进行协议解析；数据安全检查单元对数据进行数据安全检查；经过数据安全检查的数据将通过数据摆渡单元发送到隔离主机；隔离主机接收到数据后，进行第二次身份认证，若没有通过第二身份认证子单元的认证，则将该数据发送到数据隔离单元进行隔离；若通过第二身份认证子单元的认证，则发送数据到内部主机；所述内部主机对接收到的数据进行第三次身份认证，第三身份认证单元将数据发送到数据传输单元，数据传输单元将该数据进行发送。

实施例7

进一步的，所述扩张域K是将所述有限域Fp扩张2O阶得到的代数扩张域，所述离散对数算出子单元使用所述处理装置，根据所述余数a；根据如下公式，计算出多个离散对数l_κ，其中，K是大于等于I且小于等于2O-l的整数，所述多个离散对数l_κ是大于等于O且小于等于2O-l的整数，所述配对对数算出子单元使用所述处理装置，根据所述离散对数算出子单元所算出的多个离散对数l_κ。

具体的，通过上述方法计算出的离散对数将作为密钥生成中的一个元素。

实施例8

进一步的，根据如下公式，计算出多个配对对数系数H，其中， i是大于等于O且小于等于2O-1的整数，所述多个配对对数系数H是大于等于O且小于等于r-1的整数，r是所述随机数O的阶数。

实施例9

进一步的，所述将数据发送到数据隔离单元进行隔离的方法为：设定一个可调用的存储空间，将数据存储到该存储空间中。

实施例10

进一步的，所述第一身份认证子单元根据接收的密钥生成一个密码，所述第二身份认证子单元根据接收到的密钥生成一个密码的方法为：将密钥和一个伪随机数进行对称加密，加密得到的结果作为密码。

以上所述仅为本发明的一个实施例子，但不能以此限制本发明的范围，凡依据本发明所做的结构上的变化，只要不失本发明的要义所在，都应视为落入本发明保护范围之内受到制约。

所属技术领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的系统的具体工作过程及有关说明，可以参考前述方法实施例中的对应过程，在此不再赘述。

需要说明的是，上述实施例提供的系统，仅以上述各功能模块的划分进行举例说明，在实际应用中，可以根据需要而将上述功能分配由不同的功能模块来完成，即将本发明实施例中的模块或者步骤再分解或者组合，例如，上述实施例的模块可以合并为一个模块，也可以进一步拆分成多个子模块，以完成以上描述的全部或者部分功能。对于本发明实施例中涉及的模块、步骤的名称，仅仅是为了区分各个模块或者步骤，不视为对本发明的不当限定。

所属技术领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的存储装置、处理装置的具体工作过程及有关说明，可以参考前述方法实施例中的对应过程，在此不再赘述。

本领域技术人员应该能够意识到，结合本文中所公开的实施例描述的各示例的模块、方法步骤，能够以电子硬件、计算机软件或者二者的结合来实现，软件模块、方法步骤对应的程序可以置于随机存储器(RAM)、内存、只读存储器(ROM)、电可编程ROM、电可擦除可编程ROM、寄存器、硬盘、可移动磁盘、CD-ROM、或技术领域内所公知的任意其它形式的存储介质中。为了清楚地说明电子硬件和软件的可互换性，在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以电子硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。本领域技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本发明的范围。

术语“第一”、“第二”等是用于区别类似的对象，而不是用于描述或表示特定的顺序或先后次序。

术语“包括”或者任何其它类似用语旨在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备/装置不仅包括那些要素，而且还包括没有明确列出的其它要素，或者还包括这些过程、方法、物品或者设备/装置所固有的要素。

至此，已经结合附图所示的优选实施方式描述了本发明的技术方案，但是，本领域技术人员容易理解的是，本发明的保护范围显然不局限于这些具体实施方式。在不偏离本发明的原理的前提下，本领域技术人员可以对相关技术特征作出等同的更改或替换，这些更改或替换之后的技术方案都将落入本发明的保护范围之内。

以上所述，仅为本发明的较佳实施例而已，并非用于限定本发明的保护范围。