宽带无线IP网络安全体系结构及安全实现方法

摘要

本发明公开了一种宽带无线IP网络安全体系结构及安全实现方法，在网络层实现安全体制，该体系结构包括BWIP安全系统、BWIP安全执行系统、BWIP安全管理系统和外部安全支撑系统。BWIP网络管理系统对BWIP安全系统进行策略设定、预置共享密钥、收费费率和监测系统资源；BWIP安全执行系统调用BWIP安全系统各组件，对流入和流出网络的数据包和连接请求进行过滤审查；BWIP安全系统从外部安全支撑系统获取用户公钥证书、信用资料，与外部安全支撑系统配合为BWIP安全执行系统提供决策。基于密码学运算，通过对流入和流出网络数据包的控制实现对网络的机密性、完整性、认证授权记账和不可否认性服务。本发明具有功能全、开放性好，透明性好、通用性强特点，适用于未来宽带无线IP技术领域。

说明书

技术领域

本发明涉及通信安全技术领域，具体是一种宽带无线IP(Broadband WirelessInternet Protocol，简称BWIP)网络安全体系结构及安全实现方法，用于实现BWIP网络的整体安全，对未来移动电子商务、移动电子政务提供安全技术保障。

背景技术

现有安全体系结构方案有：OSI(开放系统互连)安全体系结构标准(ISO/IEC7498-2)；IETF(Internet工程任务组)在1998年11月提出的IPsec(IP secureity，安全IP)安全体系结构(RFC2401，第2401号请求评论)；WAP(Wireless Application Protocol，无线应用协议)论坛于1998年4月提出的WAP体系结构规范(文档编号为WAP-100-WAPArch-19980430-a)；3GPP(第3代移动通信项目伙伴计划)于2002年12月提出的安全体系结构(3GSecurity，Security architecture，Release 5)。这些安全体系普遍存在的问题如下：

1.OSI安全体系结构标准(ISO/IEC7498-2)是1989年ISO(国际标准化组织)提供的一个通用安全体系结构框架，称为“信息处理系统开放互连基本参考模型第2部分——安全体系结构”，该标准提供了安全服务与有关安全机制的一般描述，确定了在参考模型内部可以提供这些服务与机制的位置。该标准根据网络中可能存在的安全威胁将安全分为四级，即链路级安全、网络级安全、端到端级安全和应用级安全，具体实现时用户可以根据自己的安全需求任选一个或多个级别实现安全功能。该安全框架具有指导意义，但并未给出具体的实现方法，因此是不能直接采用的。

2.IPsec安全体系结构是针对固定网络中对称应用环境下的安全体系结构方案，主要考虑的是有线网络中的保密和认证功能，没有无线网络中的记帐功能，不能直接用于移动环境下的低功耗、小内存、处理能力弱、带宽相对低和差错率高的特殊应用。

3.WAP无线应用协议是建立在新的体系结构上，其安全机制是通过WAP1.X协议栈的WTLS(无线传输层安全)层来实现，由于WTLS是非标准，存在与现有的TCP/IP(传输控制协议/网际互连协议)协议栈的兼容性问题，且WTLS存在许多安全漏洞。WAP2.X将WAP的安全机制改用SSL/TLS(安全套接层/传输层安全)方式，并提出配合PKI(Public KeyInfrastructure，公钥基础设施)的方式来提供WAP协议的安全保障。这种解决方案主要是在传输层解决WAP的安全问题，是由手机等厂商倡议的一种无线移动IP协议，存在着与IEEE802.11(无线局域网标准)等其它主流无线IP技术的兼容性问题，因此不是一个通用的宽带无线IP安全体系结构。

4.3GPP安全体系结构是建立在第三代移动通信的基础上，其安全性主要集中在移动电话设备的认证、授权和记帐(Authentication Authorization Accounting，简称AAA)功能上，安全技术是建立在接入级上，通用性差，不能满足未来移动IP的全部安全需求和IEEE802.11等无线移动PC(Personal Computer，个人计算机)下的AAA等问题。

由此可见，上述安全体系结构都不能满足未来BWIP网络的安全需求，需要设计新的安全体系结构和安全实现方法，该结构不仅能满足BWIP网络安全性能的需要，而且还应有很好的认证、授权和记账功能，并且在实现这些功能方面能很好地兼顾BWIP网络中移动设备处理能力相对弱的特点。

发明内容

本发明的目的在于克服现有技术之不足，根据宽带无线IP网络安全需要，结合网络管理、密码学计算、公钥基础设施、移动IP、认证、授权和记账等安全实现技术，采用软件工程中的组件重用思想，将安全体系中的各个功能有机地结合在一起，提供一种宽带无线IP网络安全体系结构及安全实现方法，可以从整体上解决未来BWIP网络安全问题，以满足宽带无线IP网络通信的需要。

本发明的技术方案是在网络层上实现宽带无线IP网络整体安全机制，宽带无线IP网络安全体系结构包括BWIP安全系统、BWIP安全执行系统、BWIP安全管理系统、外部安全支撑系统；其中，BWIP安全系统是安全体系结构的核心系统，在网络中承担加解密、安全计算，认证、授权、记账及安全数据管理，BWIP安全系统由加密引擎CE、安全环境数据库SEDB、安全环境管理器SEM、认证、授权和记账引擎AAAE、策略数据库PDB、策略管理器PM、日志数据库ADB、日志管理器AM、信用数据库CDB、信用管理器CM组成；BWIP安全执行系统是安全体系结构的主控系统，是内外网络之间的安全处理接口，由强制策略控制引擎PEE、认证验证和完整性检查引擎AEIV和资源控制框架RCF组成；BWIP安全管理系统是内部安全管理的人机接口，由配置管理、安全管理、容错管理、记账管理和性能管理组件组成；外部安全支撑系统是公钥基础设施PKI的组成部分，由证书机构CA、授权机构AA和公共信用数据库CP组成。各系统之间的数据调用关系为：BWIP网络管理系统对BWIP安全系统进行策略设定、预置共享对称密钥、设置收费费率、优惠时段、用户信用资讯和对BWIP安全执行系统的资源控制框架进行监测；BWIP安全执行系统调用BWIP安全系统中的各组件，对所有流入和流出BWIP网络的数据包和连接请求进行审查、过滤，以决定允许或禁止；BWIP安全系统访问外部安全支撑系统，获取移动用户的公钥证书和信用资料，并将数据临时存放到安全环境数据库SEDB和信用数据库CDB备用，以提高系统的运行效率；BWIP安全系统和外部安全支撑系统共同为BWIP安全执行系统提供决策依据；

宽带无线IP网络的安全实现方法，是通过BWIP网络安全体系结构运用密码学运算，对流出和流入数据进行处理，以实现网络机密性服务、完整性服务及认证、授权和记账(以下简称AAA)服务；所述机密性服务是对流出数据进行加密，对流入数据进行解密；所述完整性服务是对流出数据进行封装，对流入数据进行完整性检查；上述两项服务均通过认证、验证和完整性服务引擎AVIE、强制策略控制引擎PEE、加密引擎CE、策略数据库PDB、信用数据库ADB和安全管理组件实现；所述AAA服务是流出和流入数据包进行双向认证、授权和记账，通过认证、验证和完整性检查引擎AVIE、强制策略控制引擎PEE、认证、授权和记账引擎AAAE、加密引擎CE、安全环境数据库SEDB、信用数据库CDB、日志数据库ADB、策略数据库PDB、外部安全支撑系统、资源控制框架RCF、安全管理、记账管理和性能管理组件实现，其中，安全管理组件对系统进行预共享密钥、安全策略设定，并分别存放于安全环境数据库SEDB和策略数据库PDB；性能管理组件进行系统监测、资源开放时间设定和调整系统允许访问的用户数量；记账管理组件为系统管理人员提供收费费率、优惠时间段的设置和为用户提供帐单查询。

上述安全实现方法包括对流出网络数据的安全处理、安全封装流程，对流入网络数据的安全处理流程及对流出和流入数据的认证、授权和记账AAA处理流程，通过上述安全处理流程，实现对宽带无线IP网络的机密性服务，完整性服务，AAA(认证、授权、记账)服务。

本发明与现有的技术相比，具有以下特点：

1.通用性强，本发明充分考虑到宽带无线IP网络的安全需求与安全功能，实现网络级的安全解决方案，在保持目前所有无线Internet技术的前提下，将它们都纳入本安全体系结构中，提高了宽带无线IP网络的安全性和实用性；

2.功能全，目前的安全体系结构都是从不同的方面实现安全技术和安全需要，本发明着眼于未来宽带无线IP网络安全体系的发展，对其所应具备的功能进行了有机集成，并详细分析和提供了各个主要功能的实现过程；

3.开放性好，采用模块化设计思想，方便了各系统组件之间的软件重用，系统灵活性好，便于未来扩充新技术和新算法；

4.透明性好，本发明在网络层面实现宽带无线IP网络的安全，按网络基础设施进行设计，由网络供应商提供相应的安全服务，安全体系结构对用户是透明的；对应用层和传输层的安全机制直接应用，对上层是透明的；

5.本发明能达到安全体系结构标准的要求，能对宽带无线IP网络提供机密性服务、完整性服务、认证、授权和记账的AAA服务和不可否认性服务；

本发明集成了AAA、PKI功能，兼顾移动用户、移动运营商、Internet供应商的要求，一旦投入使用，将会对未来的BWIP网络产生很好的经济效益。

附图说明

图1是BWIP安全体系结构的实现位置；

图2是BWIP网络安全体系结构模型；

图3是BWIP安全体系结构的流出处理流程图；

图4是BWIP安全体系结构流出数据封装处理流程；

图5是BWIP安全体系结构的流入处理流程图；

图6是BWIP安全体系结构中的AAA处理流程；

具体实施方式

参见图1，传输控制协议/网络互连协议栈(TCP/IP)包括应用层、传输层、网络层、链路至主机层。宽带无线IP网络安全体系结构在TCP/IP协议栈所处的位置在图1中的网络层，即网络级安全实现技术。最上两层是TCP/IP协议栈的应用层和传输层，本安全体系结构对这两层的安全机制直接应用，即对上层透明的。图1的底层对应于TCP/IP协议中的链路至主机层，支持现有的或未来的宽带无线接入技术，其代表技术有：无线个人网(WPAN)、无线局域网(WLAN)、无线城域网(WMAN)无线广域网(WWAN)，本发明将宽带无线接入链路的安全技术进行透明处理，并将其纳入到本安全体系结构中，保持各自接入技术的特色。采用标准的IPsec协议，不仅适用于IPv4(第4版IP地址方案)，也适用未来IPv6(第6版IP地址方案)环境，使本发明具有良好的扩展性和兼容性。

参见图2，本发明的BWIP网络安全体系结构及其实现方法由BWIP安全系统、BWIP安全执行系统、BWIP网络管理系统和外部安全支撑系统组成。其中BWIP安全系统是BWIP安全体系结构的核心系统，承担宽带无线IP网络中的加解密、MAC(消息认证码)安全计算、认证、授权、记账操作，也是加密密钥、信任关系、安全策略管理响应系统。BWIP安全系统是由加密引擎CE、安全环境数据库SEDB、安全环境管理器SEM、认证、授权和记账引擎AAAE、策略数据库PDB、策略管理器PM、日志数据库ADB、日志管理器AM、信用数据库CDB、信用管理器CM组成；各组件的功能为：

加密引擎CE(Crypto Engine，)提供不同的密码算法，如对称加/解密、非对称加/解密、哈希运算等，为系统中的其它组件提供加/解密运算、MAC计算服务；

安全环境数据库SEDB(Security Environment Database，)存贮各种加密密钥，如移动节点MN的公私钥对、MN与所有通信实体间通过密钥交换协议IKE协商的密钥(MN-FA、MN-HA等)以及不同节点协商的安全关联SA供CE使用；

安全环境管理器SEM(Security Environment Manager，)管理SEDB中的密钥，提供手工配置加密密钥和自动管理密钥的功能，启用IKE协商密钥和SA，并保存在SEDB中；

认证、授权和记账引擎AAAE(Authentication，Authorization，and AccountingEngine，)对移动用户进行身份认证，根据不同的角色进行授权访问及进行记账操作，AAAE依赖于CE和SEDB进行必要的密码运算。根据目前AAA(认证、授权和记账)将作为无线网络基础设施的趋势，BWIP安全体系结构将AAAE作为一个引擎的形式实现，它相当一个代理部件，可以定期与网络中其它AAA进行交互，形成层次状的AAA管理体系，而非在线进行记账，这样有利于减经BWIP网络负载，提高网络效率。将认证和授权放到BWIP安全体系结构中，便于进行认证和访问的细粒度控制，提高了BWIP安全管理的灵活性；

策略数据库PDB(Policy Database，)存放数据，用来控制不同角色对BWIP网络的操作的行为；

策略管理器PM(Policy Manager，)管理PDB，向授权用户提供手工方式或自动方式对策略数据库的编辑功能，如通过中心策略服务器下载策略数据；

信用数据库CDB(Credential Database，)存放用户的信用数据，如公钥证书、属性证书；

信用管理器CM(Credential Manager，)管理CDB，向授权用户提供对信用数据库的手工方式、自动方式编辑功能，如从外部信用库中查找或下载信用数据；

日志数据库ADB(Audit Database，)存放与安全相关活动的日志记录；

日志管理器AM(Audit Manager，)处理安全功能组件的日志，为分析问题和决策提供依据。

BWIP安全执行系统是主系统，是安全体系结构与内外网络间的安全处理接口，由强制策略控制引擎PEE、认证、验证和完整性检查引擎AVIE和资源控制框架RCF组成；各组件的功能为：

强制安全策略控制引擎PEE(Policy Enforcement Engine，)是安全执行系统的主要部件，其作用是对所有来自Internet的流入请求进行控制，作出接收或拦截的决定；对从主机或Intranet(企业内部网)流出到Internet的数据包经PEE过滤器进行过滤，作出丢弃、绕行或封装处理；

认证、验证和完整性检查引擎AVIE(Authentication Verification IntegrityEngine，)对从Internet流入的数据包进行数字签名的检查、数据来源认证、完整性检查，对流出的数据包进行安全封装；

资源控制框架RFC(Resource Control Frame，RCF)对系统资源进行控制、管理和监测，提供各种环境变量，如系统时钟，为日志数据库ADB提供时间依据；

BWIP网络管理系统是内部安全管理人员的人机接口，由配置管理、安全管理、容错管理、记账管理和性能管理组件组成；本发明对安全管理、记帐管理和性能管理组件进行了扩充，上述五个管理组件相当于用户界面接口，通过这些管理接口，用户采用可视化的方法，容易对网络实施有效地管理。这种管理模式使得网络管理系统与安全系统层分离，便于模块化实现，也使得BWIP安全体系结构的实现变得更加灵活，便于更新算法。

外部安全支撑系统是公钥基础设施PKI的组成部分，由证书机构CA、授权机构AA和公共信用数据库CP组成；其中：

证书颁发机构CA(Certification Authority，)是PKI系统中的核心部件，接受在线证书请求，证书的签发、审核和制作，证书发布，证书的归档及撤销，证书的更新，密钥的备份与恢复，交叉认证，为AAAE中的认证组件提供用户的真实性证明，CA独立于安全体系结构之外，是公认的安全可信机构；

授权机构AA(Authorization Authority)对合法用户授予使用系统资源的权力，通常是以属性证书的形式进行授权；

公共信用数据库CP(Credential rePository，)存放证明用户真实使用资源权利的相关信息，可以存放公钥证书、属性证书、证书撤消列表CRL。

图2中各个虚线框之间表示各系统通过接口进行数据调用服务关系，其中BWIP安全执行系统是整个安全体系结构对外服务的窗口，负责对所有流入和流出BWIP网络的数据包和连接请求进行审查过滤，以决定是否允许或禁止；BWIP安全执行系统调用BWIP安全系统中的各个部件，使之为BWIP安全执行系统提供安全服务；在BWIP安全系统提供服务的过程中，当数据包采用公钥密码体系提供保密和认证等服务时，则BWIP安全系统还需要访问外部安全支撑系统，由其提供移动用户的公钥证书和信用资料，并将这资料提供给AAAE、同时将这些数据临时存放到安全环境数据库SEDB和信用数据库CDB中，其目的是BWIP安全体系结构在有效时间内再次为移动用户提供服务时，无需再次访问外部安全支撑系统，以提高系统的运行效率；通过BWIP安全系统和外部安全支撑系统的配合，为BWIP安全执行系统提供了可靠的决策依据。

BWIP网络管理系统是为提高BWIP安全体系结构的灵活性而设置的人机接口，通过BWIP网络管理系统，安全管理人员可以方便地为安全系统设定策略、预置共享的对称密钥、设置收费费率与优惠方式、设定用户的信用资讯和对系统的资源进行监测。

本发明通过BWIP网络管理系统、BWIP安全系统、BWIP安全执行系统和外部安全支撑系统的互相配合，实现宽带无线IP网络的机密性服务，完整性服务，AAA(认证、授权、记账)服务包括不可否认性服务等各项安全服务。

BWIP网络的安全服务是通过对网络系统中流入和流出数据包的处理实现的，安全体系结构中的各组件也是根据安全功能的需要合理地组织到一起，下面结合附图对BWIP网络安全体系结构的安全实现方法进行说明。在图3至图6的各附图中，用实线表示BWIP安全体系结构中的控制流程，虚线表示不同的系统组件间进行的数据调用和数据交互关系。

参见图3，当系统节点的传输层或Intranet网络转交来的数据报文需要向外网传递时，BWIP网络安全体系结构对从网络流出的数据包处理流程如下：

1.强制策略控制引擎PEE中的过滤器对数据包进行过滤，其操作过程是过滤器请求策略管理器PM根据该数据包的IP地址和端口查询策略数据库PDB，得到处理策略；

2.进行策略处理：若安全策略为丢弃，则强制策略控制引擎PEE只需简单的丢弃该数据包，并将处理信息传给日志管理器PM，通过PM记录到日志数据库ADB中；若安全策略为绕行，则表明这种类型的数据包是不需要进行安全处理，如部分BWIP网络中的管理信令等，则PEE只需要将该数据包直接交给IP层进行IP封装，并由IP层进行IP转发操作；若安全策略为封装处理，则PEE就将该数据包交给认证、验证和完整性检查引擎AVIE；

3.AVIE进行安全封装处理，AVIE先请求安全环境管理器SEM，查询安全环境数据库SEDB，判断该通信实体是否存在相应的安全关联SA，若无SA存在或SA失效，则通过SEM启用密钥协商协议IKE进行相应的SA、加解密密钥、Hash密钥、加密算法、认证算法等协商；若安全协商失败则丢弃数据包，并将协商结果信息传给日志管理器PM，通过PM记录到日志数据库ADB中；当协商成功时，就先保存该协商的数据到安全环境数据库SEDB，并将处理结果返回给认证、验证和完整性检查引擎AVIE；

4.AVIE请求认证、授权和记账引擎AAAE进行相应的认证、授权和记账AAA操作，AAAE将操作结果信息返回给AVIE。由于AAA操作是一个复杂的过程，在图3中用底纹表示，详细过程见图6。AVIE在收到认证、授权和记账引擎AAAE操作返回结果后，先将AAAE的返回结果传给日志管理器PM，通过PM记录到日志数据库ADB中，以供系统安全管理人员查看日志，改进安全策略；

5.认证、验证和完整性检查引擎AVIE对认证、授权和记账引擎AAAE的返回结果进行处理：若是AAA操作失败，则AVIE只需丢弃该数据包，并记录到日志数据库ADB中；若AAA操作成功，表明系统允许该数据包流出网络；

6.AVIE请求安全环境管理器SEM调用加密引擎CE，CE根据安全环境数据库SEDB中的安全关联SA参数进行相应的安全封装处理操作。CE操作也是一个复杂的过程，图3中用底纹表示，详细过程见图4。CE完成数据封装后，将结果返回给认证、验证和完整性检查引擎AVIE；

7.AVIE将封装后的数据包直接交给IP层，由IP层再添加新的IP头，并加入到IP转发队列之中，或者是直接发送到Internet网络中。

参见图4，对图3中允许流出网络或安全系统的数据包进行安全封装过程如下：认证、验证和完整性检查引擎AVIE将所需封装的传输层数据包送给安全环境管理器SEM，SEM调用加密引擎CE对该数据包进行安全封装；

1.加密引擎CE先对数据进行预处理，这是因为加密技术以分组进行之故，需加上初始向量IV和填充字符，以形成固定大小的整数倍，经预处理的消息用M(Message)表示；

2.CE从安全环境数据库SEDB中取出该安全关联SA对应的安全处理参数，包括加密密钥K1、哈希密钥K2、签名密钥K3、序列号SN、安全参数索引SPI；

3.CE对消息M进行加密操作，用f(M，K1)表示加密后的封装负载，并将序列号SN和安全参数索引SPI填入封装协议的头部格式中，形成封装头部。封装头部和封装负载操作实现了BWIP安全体系结构的机密性服务；

4.在图4中加密引擎CE继续用哈希密钥K2和安全关联SA中指定的哈希算法对封装数据进行哈希的操作，以实现完整性服务，用MAC＝h(封装头部，封装负载，K2)表示；

5.鉴于有些协议还要对消息进行数字签名，加密引擎CE还需要用签名密钥K3对生成的消息认证码MAC值进行签名；由于签名服务是可选的，仍用MAC表示S(MAC，K3)；

6.加密引擎CE完成上述安全封装后，将封装头部、封装负载和MAC拼接到一起返回给AVIE，由AVIE交给IP层进行相应的IP封装，即加上新的IP头部，形成IP数据包，再加入到IP转发队列之中，等待数据转发操作。

至此，BWIP安全体系结构完成了数据包的流出的安全处理过程。

BWIP网络安全体系结构中消息的发送方在对数据库包进行安全处理后，则接收方也需要进行相应的安全操作。

参见图5，BWIP网络安全体系结构在接收方的数据流入处理步骤如下：

1.认证、验证和完整性检查引擎AVIE从Internet接收到一个IP包，根据IP包封装头部中的安全参数索引SPI，请求安全环境管理器SEM查询安全环境数据库SEDB；

2.判断该SPI是否有效：若该安全参数索引SPI不存在或已经超过有效期，则AVIE将直接丢弃该数据包，并记录该处理信息到日志数据库ADB之中；

3.若该SPI有效，则AVIE就请求SEM调用加密引擎CE先进行完整性检查，判断该数据包在传输过程中是否受到过主动攻击。AVIE对数据包进行完整性检查由三步构成：

第一步是请求加密引擎CE进行密码计算，解密出用于消息认证码MAC保护的标记，为了完成这一操作，CE需要从安全环境数据库SEDB中获取解密密钥，解密结果返回一个发送方发送的HASH值；若协议中规定MAC是进行了数字签名，则安全环境管理器SEM还需要调用外部安全支撑系统，从证书机构CA中获取移动用户的有效证书，利用证书中的公钥对消息认证码MAC进行签名验证，若验证失败则通知认证、验证和完整性检查引擎AVIE，并给出失败原因；若验证成功，则将解密后的MAC返回给AVIE；

第二步是AVIE请求CE根据协商的HASH函数计算该数据包的HASH值，并返回给AVIE；

第三步是AVIE对解密得到的HASH值与重新计算出的HASH值比较，如果相等，表明数据包的完整性检查成功，反之是失败。

若完整性检查失败，认证、验证和完整性检查AVIE将自动丢弃该流入的数据包，并将相应的完整性检查信息记录到日志数据库ADB之中；

4.若完整性检查成功，则AVIE将请求调用认证、授权和记账引擎AAAE，进行相应的AAA操作，AVIE收到认证、授权和记账引擎AAAE操作返回结果；

5.将AAAE的返回结果传给日志管理器PM，通过PM记录到日志数据库ADB中，以供系统安全管理人员查看日志，改进安全策略；

6.AVIE对认证、授权和记账引擎AAAE的返回结果进行处理，若是AAA操作失败，则AVIE只需丢弃该数据包；若AAA操作成功，表明系统允许该数据包访问网络，AVIE才请求安全环境管理器SEM调用加密引擎CE解密该数据包；

7.CE根据安全环境数据库SEDB中的安全关联SA参数对封装负载进行相应的解密操作(将解密放到流程后面，这是因为解密消息比较大，占用时间多，目的是提高系统的处理效率)，AVIE将解密后的消息明文传递给强制策略控制引擎PEE；

8.PEE请求调用策略管理器PM查询策略数据库PDB，PEE将所查询的安全处理策略与访问方式进行核对；

9.若符合本地策略，则向内部Intranet网络或向网络协议高层进行转发，否则就丢弃该消息明文，并对处理信息记录到日志数据库ADB中。至此，也实现了对流入数据的机密性、完整性服务。

本发明的强制策略控制引擎PEE对消息明文进行策略核对，有利于对数据包进行内容过滤并提高BWIP网络系统的安全性。

本发明对流入和流出的数据包都进行AAA操作，目的是针对BWIP网络中双向流量统计的需要，同时也可以更好地实现访问控制，有利于提高BWIP安全体系结构的可用性。

参见图6，BWIP安全体系结构的认证、授权和记账的AAA处理按以下步骤实施：

一.认证

1.认证、验证和完整性检查引擎AVIE请求认证、授权和记账引擎AAAE进行认证、授权和记账操作；

2.当AAAE收到该请求后，认证组件通过加密引擎CE对请求包中包含的安全参数索引SPI进行数据包的来源认证、用户身份验证操作，认证可采用以下实施方式：

认证实施方式一.采用共享密钥的认证方法

加密引擎CE根据安全关联SA从安全环境数据库SEDB中取出预先协商的密钥和算法，进行相应的密码运算，从而确定用户身份和消息来源的真实性；

认证实施方式二.采用公钥体制的认证方法

加密引擎CE先查询安全环境数据库SEDB，当不存在相关的公钥信息时，CE通过安全环境管理器SEM访问外部安全支撑系统，从外部安全支撑系统中的证书机构CA、公共信用数据库CP和授权机构AA处获取移动用户的公钥证书、移动用户的信用资料和用户的授权信息，安全环境管理器SEM在保存这些数据到安全环境数据库SEDB的同时，还请求信用管理器CM将移动用户的信用资料保存到信用数据库CDB中，目的是加快后续的授权过程或加快BWIP安全体系结构在有效时间内再次为移动用户提供AAA服务的过程。加密引擎CE获取用户的公钥信息后，根据用户的公钥对签名信息进行密码学计算，并将计算结果返回给认证、授权和记账引擎AAAE的认证组件，由认证组件进行数字签名的验证比较，实现了对用户的认证或数据源的认证。

3.若认证失败，则认证组件终止AAA操作过程，并通过认证、授权和记账引擎AAAE，将认证失败信息返回认证、验证和完整性检查引擎AVIE；

4.若认证成功且需要继续授权操作，则由授权组件进行授权操作。授权服务的目的是为了防止对资源的非授权使用，包括网络实体未经许可，不能将保密信息发送给其它网络实体；以及未经授权的用户不能获取网络内部的保密信息和网络资源。

二.授权

1.授权组件根据认证、验证和完整性检查引擎AVIE提供的信息来进行授权判决，并将这些信息分别以“索引码”的形式从策略数据库CDB和公共信用数据库CP提取相应的策略和信用量，移动请求对象的名称，如ID(身份)号，授权组件还请求安全执行系统提供环境变量，包括资源控制框架RCF内的系统时钟和资源监控组件；

2.在收集所有需要的信息之后，授权组件根据内部规则处理数据的授权操作，并以“请求授权成功”或者“授权拒绝”这种简洁形式作为授权结果；

3.若授权拒绝，则授权组件将“授权拒绝”信息通过认证、授权和记账引擎AAAE返回给认证、验证和完整性检查引擎AVIE，AVIE将“授权拒绝”信息记录到ADB之中并丢弃该数据包；

4.若授权成功且要进行记账操作，则将系统的控制权交给记账组件，继续进行相应的记账过程。

三.记账

1.记账操作根据请求者ID的身份，生成一条带有用户ID、访问时间、访问的目的地、访问信息量等信息的记录，并存入认证、授权和记账引擎AAAE的记账数据库中，完成了AAA服务中的记账服务；

2.认证、授权和记账引擎AAAE在记账组件完成对用户的记账任务后，将处理结果信息返回给认证、验证和完整性检查引擎AVIE，AVIE将操作信息同时也记录到日志数据库ADB中，这种采用双份记录的长处是有利于解决记费的纠纷。

经过上述的流入和流出安全处理方法，BWIP网络安全体系结构可以很好地实现目前BWIP网络所需要的各种不同安全服务目的。