[发明专利]一种在接入网关设备上实现包身份标识及数字签名的方法

权利要求书

1.一种在接入网关设备上实现包身份标识及数字签名的方法，其特征在于，包括以下步骤：

A1、扩展接入网关设备的地址解析表(ARP表)以存储用户身份标识及用户私钥；

A2、用户主机发起身份认证，认证成功后认证服务器向接入网关设备下发用户身份标识及用户私钥；

A3、接入网关设备对用户主机发来的数据包在符合设定条件的情况下进行身份标识及数字签名添加，再转发该数据包；

所述扩展包括增加和存储自治域号、用户身份标识、签名私钥以及认证绑定状态四个字段；

步骤A3包括：

接入网关设备首先判断用户主机当前发出的数据包类型是否适合添加身份标识，否则按一般数据包进行处理；

判断ARP表中该用户主机的认证绑定状态是否为“认证成功”，否则直接丢弃；

判断自身设定规则是否允许该数据包被转发，否则直接丢弃；

若上述判断均成功，对数据包添加目标选项包头，并填充自治域号和用户身份标识，同时，采用数字签名算法，并利用用户私钥，对数据包的上层协议单元以及当前的目标选项包头除数字签名内容本身外的内容进行签名，将签名的结果更新至目标选项包头的签名字段中；

对数据包的原始包头的相关字段进行更新。

2.如权利要求1所述的方法，其特征在于，步骤A2包括：

用户主机向认证服务器发送用户名、加密密码、主机的IP地址、MAC地址以及网关的IP地址；

若用户身份认证成功，认证服务器在用户接入网关设备上根据MAC地址反向查找其接入的端口号，形成主机完整属性映射关系并登记；

认证服务器向用户接入网关设备下发用户主机所属的自治域号、用户身份标识以及签名私钥，同时用户接入网关设备更新主机记录的状态字段为“认证成功”。

3.如权利要求1所述的方法，其特征在于，步骤A3中，上述判断是依次判断的。

4.如权利要求1所述的方法，其特征在于，所述设定规则包括是否具有转发权限。

5.如权利要求1所述的方法，其特征在于，步骤A3中，判断数据包类型是否适合添加身份标识包括：判断数据包是否属于特定协议数据包，是则认为不适合添加。

6.如权利要求1所述的方法，其特征在于，所述数据包是IPv6数据包，所述接入网关设备为交换机或路由器。

7.如权利要求1至6任一项所述的方法，其特征在于，接收端在接收到数据包时利用身份标识及数字签名对发送者身份进行验证。

8.如权利要求1至6任一项所述的方法，其特征在于，中间转发设备对目标选项包头不予理会。