CN101478388B - 支持多级安全的移动IPSec接入认证方法 - Google Patents

支持多级安全的移动IPSec接入认证方法 Download PDF

Info

Publication number
CN101478388B
CN101478388B CN2009100209478A CN200910020947A CN101478388B CN 101478388 B CN101478388 B CN 101478388B CN 2009100209478 A CN2009100209478 A CN 2009100209478A CN 200910020947 A CN200910020947 A CN 200910020947A CN 101478388 B CN101478388 B CN 101478388B
Authority
CN
China
Prior art keywords
message
mobile node
cert
access authentication
sig
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
CN2009100209478A
Other languages
English (en)
Other versions
CN101478388A (zh
Inventor
董庆宽
李小平
刘彦明
赵蕾
谢楷
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Xidian University
Original Assignee
Xidian University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Xidian University filed Critical Xidian University
Priority to CN2009100209478A priority Critical patent/CN101478388B/zh
Publication of CN101478388A publication Critical patent/CN101478388A/zh
Application granted granted Critical
Publication of CN101478388B publication Critical patent/CN101478388B/zh
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Mobile Radio Communication Systems (AREA)

Abstract

本发明公开了一种支持多级安全的移动IPSec接入认证方法,它属于网络安全技术领域。主要解决具有多级安全特性移动IPv6网络中MN的安全注册问题。该方法包括:MN在家乡网络时的接入认证和MN在异地网络时的接入认证。这两种方法中均采用针对统一标识UID进行多级授权的证书和数字签名的方式实现MN对代理的注册,并在注册的同时创建MN到代理的MIPSec/SA和SAH/SA,其中所创建的SAH/SA用来防止多级安全网络信息泄漏。这两种方法通过修改IKEv2来实现,并将每个接入网关作为MN的移动代理。本发明的接入认证方法,同时实现了注册、基于身份的双向认证和创立MIPSec/SA与SAH/SA,不仅克服了IKEv2协议中前两条协议未受保护的不足,而且可以抵抗无线链路开放性所带来的威胁,具有很高的安全性和有效性。

Description

支持多级安全的移动IPSec接入认证方法
技术领域
本发明属于网络安全技术领域,具体涉及移动IPSec接入认证方法,用于实现具有多级安全特性的移动IPv6网络中MN对代理的安全注册。
技术背景
互联网工程工作组IETF在IPv6的基础上于2004年6月正式提出移动IPv6协议,RFC3775。该协议在支持移动性,解决安全性问题,实现高服务质量,以及提供足够的地址空间等方面有着比IPv4协议更大的优势。但由于Internet本身的安全机制较为脆弱,再加上无线网络传输媒体的开放性、移动终端的大范围移动性、拓扑结构的动态性和移动设备存储资源和计算资源的有限性,使得移动IP网络比有线网络更容易受到安全威胁;同时由于移动设备在存储能力、计算能力和电源供电时间方面的局限性,也使得原来在有线环境下的许多安全方案和安全技术不能直接应用于无线环境。这种在移动设备和传输媒介方面的特殊性,使得一些攻击更容易实施,对移动网络的安全保护既表现为系统安全防护的困难性,也表现为网络通信安全实现的困难性。
多级安全系统是指那些允许存储具有不同敏感等级信息,允许具有不同安全标识和授权的用户按照“按需所知”的原则处理系统信息,并且阻止没有安全标识、没有授权或者没有获取信息需求的用户访问信息的系统。传统的多级安全系统主要在集中式环境下工作,由一个处理多级安全的服务器和若干终端组成。本发明中主要涉及分布式环境下多级安全网络的安全技术问题,该类多级安全网络能够实现任意实体之间的多级安全访问控制。而在移动IPv6网络中实现多级安全访问控制迄今为止还未见公开方案。
目前,还没有公认的适合现有移动IPv6网络的保密和鉴别体系,这是因为目前的移动网络安全保密标准主要是针对无线局域网的IEEE802.11i和我国的WAPI标准,这种针对链路层和端口设计的协议不适合大规模分布式的移动IPv6网络。
就IPv6网络而言,IPSec协议是非常优秀的,在IPv6协议中强制实施,能提供非常好的安全性和可操作性。它是指IETF以RFC形式公布的一组标准安全IP协议集,提供IP包级安全,其基本目的就是把密码学的安全机制引入IP协议,通过使用现代密码学方法为IPv4和IPv6提供可互操作、高质量、基于密码学的安全,并能够使用户能有选择地使用,得到所期望的安全服务。IPSec将几种安全技术结合形成一个完整的安全体系,最终能提供端到端的安全保护,正如RFC4301所述,IPSec安全体系结构包括四个部分:
①业务流安全协议:包括ESP协议和AH协议,用于保护IP数据报的机密性、完整性、认证性。该模块依据已创建的安全关联,选择适合的协议和算法对数据报进行保护。
②安全关联与安全策略管理模块:包括安全策略数据库SPD、安全关联数据库SAD和授权对端数据库PAD。用于阐明IPSec功能是什么、怎样工作、如何管理及其相关的处理过程。安全策略SP指出了主机或安全网关中进出的IP数据报级的处理策略,安全关联IPSec/SA直接规范了IPSec数据报的实际处理方法,即使用的业务流安全协议、所使用的密码算法的参数和会话密钥。
③密钥交换模块:自动的或手动的密钥交换。用于实现认证、创建通信实体之间的安全关联SA。
④认证与加密模块:用于提供业务流安全协议和密钥交换IKE所使用的各种加密和认证算法。
通过IP安全协议和密钥管理协议的结合构建起IP层安全体系结构的框架,能保护所有基于IP的服务或应用,及其上层协议的安全。IPSec能够提供访问控制、数据源认证、无连接数据完整性、抗重播、数据机密性和有限的通信流量机密性等安全服务。
早期的IPSec由RFC2401等一系列文档组成的协议簇构成,随着研究的深入和应用的需求,人们针对IPSec的复杂性问题,做了进一步修改,并由RFC4301等一系列的RFCs文档重新定义了IPSec,其中最为典型的改进是将密钥交换协议IKE升级到了IKEv2版本。IKEv2协议用于根据安全策略在通信的发起方和响应方之间创建用于保护数据报的安全关联IPSec/SA。
参照图1,IKEv2协议的四条消息如下:
①发起方I向响应方R发送IKE/SA初始消息{Ni,SAi1,KEi};
②响应方R向发起方I发送IKE/SA响应消息{[CERTREQ],Nr,SAr1,KEr};
③发起方I向响应方R发送IKE/AUTH初始消息{IDi,[CERT],[CERTREQ],AUTH,SAi2};
④响应方R向发起方I发送IKE/AUTH响应消息{IDr,[CERT],AUTH,SAr2}。
在以上四条消息中,每一条消息都有一个消息头HDR,该消息头包括安全参数索引SPI、IKE协议的版本号、其它各种标志。在后两条消息中包括发起者和响应者的选择符TSi和TSr。它们不是影响密钥交换的主要载荷,因此为简便起见在消息描述中省略了这些消息成份。
IKEv2协议的前两条消息通过DH密钥交换创建IKE/SA,用于保护后两条消息。后两条消息用于创建保护数据报的IPSec/SA。然而就移动IPv6网络而言,IPSec及其密钥交换模块子协议IKEv2仍然存在以下不足:
1.IPSec仅限于固定网络的使用,在移动IP环境中很难应用,移动IPv6仅在移动节点MN和家乡代理HA之间使用IPSec来保护信令;
2.IPSec不能提供移动IPv6网络中MN在接入网络时的注册功能;
3.IKEv2协议的前两条消息未受到保护,容易受中间人攻击;
4.IPSec本身不支持对多级安全网络的保护;
5.在大规模分布式移动IPv6网络的安全保护中需要对用户身份进行认证,然而IPSec协议既没有说明如何定义用户身份,也没有说明对所需要的公钥基础设施的要求。
因此,不论从安全性还是从可行性来说,IPSec都不适合用于保护移动IPv6网络的安全。更加不适合保护具有多级安全特性的移动IPv6网络的接入注册安全。
发明内容:
本发明针对上述已有IPSec协议的不足,通过修改IKEv2协议和增加IPSec支持多级安全的功能,提供一种能够支持多级安全的移动IPSec接入认证方法,以实现具有多级安全特性的移动IPv6网络中移动节点MN对代理的安全注册。
本发明的目的是这样实现的:
本发明将移动IPSec称作MIPSec,其接入认证方法包括:MN在家乡网络时的接入认证方法和MN在异地网络时的接入认证方法。
一、MN在家乡网络时的接入认证方法,包括如下步骤:
(1)MN开机后选择随机数Ni,向HA发送{CERTMN,Ni,SAi1,KEi}SigMN消息;
(2)HA收到消息后,对证书CERTMN和所收到消息消息签名SigMN进行验证,验证后由HA选择随机数Nr,向移动节点MN发送{CERTHA,Ni,Nr,SAr1,KEr}SigHA消息;
(3)MN收到消息后,对证书CERTHA和所收到消息的签名SigHA验证后,根据KEr计算出与HA之间的共享密钥SK,用该共享密钥SK加密消息{UIDMN,AUTH,SAi2,SAis}后,发送给HA;
(4)HA对收到的加密消息用共享密钥SK解密,对AUTH验证后,用SK加密消息{UIDHA,AUTH,SAr2,SArs},发送给MN。
二、MN在异地网络时的接入认证方法,包括如下步骤:
1)MN开机后选择随机数Ni,向LA发送{CERTMN,CoAMN,Ni,SAi1,KEi}SigMN消息;
2)LA收到消息后,对证书CERTMN和所收到消息的签名SigMN进行验证,验证后LA将HoAMN与CoAMN绑定缓存,并选择随机数Nr,向MN发送{CERTLA,Ni,Nr,SAr1,KEr}SigLA消息;
3)MN收到消息后,对证书CERTLA和所收到消息的签名SigLA验证后,根据KEr计算出与LA之间的共享密钥SK,用该共享密钥SK加密消息{UIDMN,AUTH,SAi2,SAis}后,发送给LA;
4)LA对收到的加密消息用共享密钥SK解密,对AUTH,验证后,用SK加密消息{UIDLA,AUTH,SAr2,SArs},发送给MN;
5)MN向HA发送绑定更新消息FBU,该消息使用MIPSec/SAMN-HA保护;
6)HA向MN返回绑定确认消息BAck。
本发明具有如下优点:
1.本发明的接入认证方法采用针对统一标识UID进行多级授权的证书和数字签名的方式实现MN对代理的注册,MN和代理之间实现了双向身份认证,克服了IKEv2协议中前两条协议未受保护的不足,提高了安全性。
2.本发明的MN对代理的注册过程中,同时构建了MN到代理的MIPSec/SA和用来防止多级安全网络信息泄漏的源接入认证安全关联SAH/SA,增强了安全性,并具有较高的效率。
附图说明
图1是现有IKEv2协议过程示意图;
图2是本发明移动节点在家乡网络时的接入认证协议过程示意图;
图3是本发明移动节点在异地网络时的接入认证协议过程示意图。
具体实施方式
参照图2,本发明给出的MN在家乡网络时的支持多级安全的移动IPSec接入认证方法,包括:
步骤1,MN发送向HA注册的IKE/SA初始化消息。
当MN开机后检测到HA时,选择随机数Ni,发送向HA注册的IKE/SA初始化消息{CERTMN,Ni,SAi1,KEi}SigMN
其中{X}SigMN表示X‖SigMN(X),即消息X和MN对X的签名。
SAi1,可供选择的IKE/SA算法提议,表示发起方MN所支持的密码算法列表。
KEi,发起方MN的Diffie-Hellman密钥交换参数。
CERTMN表示MN的证书。在本发明中,实体的证书采用X.509规范的格式,基于该证书将实体的统一标识UID和实体的角色ROLE绑定。这里实体是指网络中的用户、服务器或者程序,UID由实体的IP的地址,实体的标识IDu、实体所使用的设备的标识IDv构成,如果设备具有移动性,则IP是指实体的家乡地址,UID中的IP是其主关键字。实体的安全级和信息类列表唯一对应一个角色ROLE。这样实现了采用证书方式的基于角色的多级授权。
在本发明中采用固定的移动代理技术,每一个接入网关都作为一个代理,MN在家乡网络的接入网关称为家乡代理HA,MN在异地网络的接入网关称为本地代理LA。
在步骤1中,MN对所传递的消息签名,并以MN的家乡地址为源地址将IKE/SA初始化消息发送给HA,即可实现对HA的注册。
步骤2,HA对收到的消息验证后,向MN发送IKE/SA响应消息。
HA收到消息后,对证书CERTMN和所收到消息的签名SigMN进行验证,验证后HA选择随机数Nr,向移动节点MN发送消息{CERTHA,Ni,Nr,SAr1,KEr}SigHA
其中SAr1,响应方HA选择的IKE/SA算法,该算法为最终建立的IKE/SA所使用的算法。
KEr,响应方HA的Diffie-Hellman密钥交换参数。
HA的证书CERTHA与MN的证书格式相同。
在步骤2中,为了验证MN的注册消息,HA除了对证书CERTMN和所收到消息的签名SigMN进行验证,还要对承载该消息数据包的源地址和CERTMN中包含于UIDMN的IP地址进行对比,如果相同则接受注册,否则拒绝注册。
步骤1和步骤2完成后,不仅实现了MN对HA的注册,而且还基于DH密钥交换协议创建了密钥交换安全关联IKE/SA,用于保护之后创建MIPSec/SA的消息。
步骤3,MN对收到的消息验证后,向HA发送IKE/AUTH初始消息。
MN收到消息后,对证书CERTHA和消息签名SigHA验证后,通过KEr计算出与HA之间的共享密钥SK,用该共享密钥SK加密消息{UIDMN,AUTH,SAi2,SAis}后,发送给HA,用于创建IPSec/SAMN-HA和SAH/SAMN-HA
其中UIDMN为MN的统一标识,用于标识MN的身份。
AUTH为认证载荷,由IKE/SA生成的消息认证码。
SAi2为可供选择的MIPSec/SA算法提议,表示发起方MN所支持的密码算法列表。
SAis为可供选择的源接入认证安全关联SAH/SA提议,表示MN支持的可用于源接入认证的密码算法列表。
本发明中给出的源接入认证安全关联SAH/SA的含义、建立和使用方法如下:
SAH/SA仅建立在MN与接入网关之间,MN所发送的每一个数据包,除了目的地址是接入网关地址外,无论该数据包是否使用了MIPSec/SA保护,都要使用SAH/SA来保护。SAH/SA是单向的,由MN到接入网关。接入网关对所收到的每一个数据包,除了目的地址是接入网关地址外,都要使用SAH/SA进行认证,如果认证通过则转发该包,否则丢弃该包。
SAH/SA的建立使得MN无法伪造或重放数据包,防止了多级安全网络中的信息泄漏问题。
SAH/SA的创建很容易,即在MN对接入网关注册并创建MIPSec/SA时创建,在IKE/SA的保护下一次生成两类密钥,一类密钥用于生成MIPSec/SA,用于保护MN与代理之间传送的数据,另一类密钥用于生成SAH/SA,两类SA的规范相同,仅选择符不同。在MN中,SAH/SA的选择符仅包含接入网关的IP和SPI,相应的在接入网关中,SAH/SA的选择符仅包含MN的IP地址。因此该SAH/SA的建立不需要额外的密钥交换,因此几乎不增加系统的复杂度。该SAH/SA所采用的算法使用基于Hash的MAC码,如HMAC-SHA1。
步骤4,HA对收到的消息验证后,向HA发送IKE/AUTH响应消息。
HA对收到的加密消息用共享密钥SK解密,对AUTH验证后,用SK加密消息{UIDHA,AUTH,SAr2,SArs},发送给MN;
其中SAr2,响应方HA选择的MIPSec/SA算法,该算法为最终建立的MIPSec/SA所使用的算法。
SArs,响应方HA选择的SAH/SA算法,该算法为最终建立的SAH/SA所使用的算法。
该消息达到MN并验证通过后,就完成了整个接入认证过程。在该过程中,不但完成了MN向HA的注册,而且同时建立了用于保护MN到HA的消息的MIPSec/SA和源接入认证安全关联SAH/SA。这样,通过一次认证就能实现两类SA的创建。
参照图4,本发明给出的MN在异地网络时的支持多级安全的移动IPSec接入认证方法,包括:
步骤A,MN发送向LA注册的IKE/SA初始化消息。
当MN开机后检测到LA时,选择随机数Ni,发送向LA注册的IKE/SA初始化消息{CERTMN,CoAMN,Ni,SAi1,KEi}SigMN
在步骤A中,MN对所传递的消息签名,并以MN的家乡地址为源地址将IKE/SA初始化消息发送给LA,即可实现对LA的注册。
该消息中,CERTMN包含MN的家乡地址,CoAMN是MN的转交地址。MN对该消息签名后,实现了MN的转交地址CoAMN和家乡地址HoAMN绑定。
步骤B,LA对收到的消息验证后,向MN发送IKE/SA响应消息。
LA收到消息后,对证书CERTMN和所收到消息的签名SigMN进行验证,验证后LA将HoAMN与CoAMN绑定缓存,选择随机数Nr,向移动节点MN发送消息{CERTLA,Ni,Nr,SAr1,KEr}SigLA
在步骤B中,为了验证MN的注册消息,LA除了对证书CERTMN和所收到消息的签名SigMN进行验证,还要对承载该消息数据包的源地址和CERTMN中包含于UIDMN的IP地址进行对比,如果相同则接受注册,否则拒绝注册。
步骤A和步骤B完成后,不仅实现了MN对HA的注册,而且还基于DH密钥交换协议创建了密钥交换安全关联IKE/SA,用于保护之后创建MIPSec/SA的消息。
步骤C,MN对收到的消息验证后,向LA发送IKE/AUTH初始消息。
MN收到消息后,对证书CERTLA和所收到消息的签名SigLA验证后,通过KEr计算出与LA之间的共享密钥SK,用该共享密钥SK加密消息{UIDMN,AUTH,SAi2,SAis}后,发送给LA,用于创建IPSec/SAMN-LA和SAH/SAMN-LA
SAis的含义与MN在家乡网络注册时步骤3中的SAis的说明一致,不再详述。
SAH/SAMN-LA的建立使得MN无法伪造或重放数据包,防止了多级安全网络中的信息泄漏问题。
步骤D,LA对收到的消息验证后,向MN发送IKE/AUTH响应消息。
LA对收到的加密消息用共享密钥SK解密,对AUTH验证后,用SK加密消息{UIDHA,AUTH,SAr2,SArs},发送给MN;
步骤D完成后,不但完成了MN向LA的注册,而且同时建立了用于保护MN到LA的消息的MIPSec/SA和SAH/SA。这样,通过一次认证就能实现两类SA的创建。
步骤E,MN向HA发送快速绑定更新消息FBU。
MN注册完成后向HA发送快速绑定更新消息FBU,FBU用MIPSec/SAMN-HA来保护,实现家乡地址HoAMN与转交地址CoAMN对家乡代理HA的绑定。
步骤F,HA向MN返回绑定确认消息BAck,完成注册过程。
本发明中使用的符号解释如下:
MN:移动节点
HA:家乡代理
LA:本地代理
IKE/SA:密钥交换安全关联
SAi1:可供选择的IKE/SA算法提议
SAr1:响应方选择的IKE/SA算法
SAi2:可供选择的MIPSec/SA算法提议
SAr2:响应方选择的MIPSec/SA算法
KEi:发起方的Diffie-Hellman密钥交换参数
KEr:响应方的Diffie-Hellman密钥交换参数
SK{X}:使用SK对X加密
{x}SigU:表示消息x和用户U对x的签名SigU
CERTU:U的证书
CERTREQ:证书请求消息
HoAU:U的家乡地址
CoAU:U的转交地址
MIPSec/SAX-Y:X与Y之间的MIPSec/SA
SAH/SAX-Y:X与Y之间的SAH/SA
AUTH:认证信息
SAis:可供选择的SAH/SA算法提议
SArs:响应方选择的SAH/SA算法
FBU:快速绑定更新消息
BAck:绑定确认消息
SA:安全关联
AH:认证头协议
ESP:封装安全载荷协议
SAH:源接入认证协议
UID:统一标识
ROLE:角色

Claims (7)

1.一种MN在家乡网络时支持多级安全的移动IPSec接入认证方法,包括:如下步骤:
(1)移动IPv6网络中移动节点MN开机后选择随机数Ni,向家乡代理HA发送{CERTMN,Ni,SAi1,KEi}SigMN消息,其中CERTMN表示MN的证书,KEi表示发起方的Diffie-Hellman密钥交换参数,SAi1表示可供选择的IKE/SA算法提议,SigMN表示移动节点MN对消息{CERTMN,Ni,SAi1,KEi}的签名;基于该证书将实体的统一标识UID和实体的角色ROLE绑定,实体的安全级和信息类列表唯一对应一个角色ROLE;
(2)家乡代理HA收到消息后,对MN的证书CERTMN和所收到消息的签名SigMN进行验证,验证后由家乡代理HA选择随机数Nr,向移动节点MN发送{CERTHA,Ni,Nr,SAr1,KEr}SigHA消息,用于创建MIPSec/SAMN-HA和SAH/SAMN-HA,其中CERTHA表示HA的证书,KEr表示响应方的Diffie-Hellman密钥交换参数,SAr1表示响应方选择的IKE/SA算法,SigHA表示家乡代理HA对消息{CERTHA,Ni,Nr,SAr1,KEr}的签名,MIPSec/SAMN-HA表示移动节点MN和家乡代理HA之间的MIPSec安全关联,SAH/SAMN-HA表示移动节点MN和家乡代理HA之间的源接入认证安全关联;
(3)移动节点MN收到消息后,对家乡代理的证书CERTHA和所收到消息的签名SigHA验证后,根据KEr计算出与家乡代理HA之间的共享密钥SK,用该共享密钥SK加密消息{UIDMN,AUTH,SAi2,SAis}后,发送给家乡代理HA,其中UIDMN表示移动节点MN的统一标识,AUTH表示认证信息,SAi2表示可供选择的MIPSec/SA算法提议,SAis表示可供选择的源接入认证安全关联SAH/SA算法提议;
(4)家乡代理HA对收到的加密消息用共享密钥SK解密,对认证消息AUTH验证后,用共享密钥SK加密消息{UIDHA,AUTH,SAr2,SArs},发送给移动节点MN,其中UIDHA表示家乡代理HA的统一标识,AUTH表示认证信息,SAr2表示响应方选择的MIPSec/SA算法,SArs表示响应方选择的源接入认证安全关联SAH/SA算法。
2.根据权利要求1所述的接入认证方法,其中步骤2所述的“家乡代理HA收到消息后,对移动节点的证书CERTMN和所收到消息的签名SigMN进行验证”,除了对移 动节点的证书CERTMN和所收到消息的签名SigMN进行验证,家乡代理HA还要对承载所收到消息数据包的源地址和CERTMN中包含于移动节点统一标识UIDMN的IP地址进行对比,如果相同则接受注册,否则拒绝注册。
3.根据权利要求1所述的接入认证方法,其中步骤3所述的SAis和步骤4中所述的SArs消息用于创建从移动节点MN到家乡代理HA的源接入认证安全关联SAH/SA,该源接入认证安全关联SAH/SA用于防止多级安全网络的信息泄漏。
4.一种MN在异地网络时支持多级安全的移动IPSec接入认证方法,包括如下步骤:
1)移动IPv6网络中移动节点MN开机后选择随机数Ni,向本地代理LA发送{CERTMN,CoAMN,Ni,SAi1,KEi}SigMN消息,其中CERTMN表示MN的证书,基于该证书将实体的统一标识UID和实体的角色ROLE绑定,实体的安全级和信息类列表唯一对应一个角色ROLE,KEi表示发起方的Diffie-Hellman密钥交换参数,SAi1表示可供选择的IKE/SA算法提议,SigMN表示移动节点MN对消息{CERTMN,CoAMN,Ni,SAi1,KEi}的签名;
2)本地代理LA收到消息后,对移动节点的证书CERTMN和所收到消息的签名SigMN进行验证,验证后本地代理LA将移动节点MN的家乡地址HoAMN与移动节点MN的转交地址CoAMN绑定缓存,并选择随机数Nr,向移动节点MN发送{CERTLA,Ni,Nr,SAr1,KEr}SigLA消息,用于创建MIPSec/SAMN-LA和SAH/SAMN-LA,其中CERTLA表示本地代理LA的证书,KEr表示响应方的Diffie-Hellman密钥交换参数,SAr1表示响应方选择的IKE/SA算法,SigLA表示本地代理LA对消息{CERTLA,Ni,Nr,SAr1,KEr}的签名,MIPSec/SAMN-LA表示移动节点MN和本地代理LA之间的MIPSec安全关联,SAH/SAMN-LA表示移动节点MN和本地代理LA之间的源接入认证安全关联;
3)移动节点MN收到消息后,对本地代理LA的证书CERTLA和所收到消息的签名SigLA验证后,根据KEr计算出与本地代理LA之间的共享密钥SK,用该共享密钥SK加密消息{UIDMN,AUTH,SAi2,SAis}后,发送给LA,其中UIDMN表示移动节点MN的统一标识,AUTH表示认证信息,SAi2表示可供选择的MIPSec/SA算法提议,SAis表示可供选择的源接入认证安全关联SAH/SA算法提议;
4)本地代理LA对收到的加密消息用共享密钥SK解密,对认证消息AUTH,验 证后,用SK加密消息{UIDLA,AUTH,SAr2,SArs},发送给移动节点MN,其中UIDLA表示本地代理LA的统一标识,AUTH表示认证信息,SAr2表示响应方选择的MIPSec/SA算法,SArs表示响应方选择的源接入认证安全关联SAH/SA算法;
5)移动节点MN向家乡代理HA发送绑定更新消息FBU,该消息使用MIPSec/SAMN-HA保护;
6)家乡代理HA向移动节点MN返回绑定确认消息BAck。
5.根据权利要求4所述的接入认证方法,其中步骤2)所述的“本地代理LA收到消息后,对移动节点MN的证书CERTMN和所收到消息的签名SigMN进行验证”,除了对证书CERTMN和所收到消息的签名SigMN进行验证,本地代理LA还要对承载所收到消息数据包的源地址和移动节点MN的证书CERTMN中包含于移动节点MN统一标识UIDMN的IP地址进行对比,如果相同则接受注册,否则拒绝注册。
6.根据权利要求4所述的接入认证方法,其中步骤3)所述的SAis和步骤4)中所述的SArs消息,用于创建从移动节点MN到家乡代理HA的源接入认证安全关联SAH/SA,该SAH/SA用于防止多级安全网络的信息泄漏。
7.根据权利要求4所述的接入认证方法,其中步骤2)所述的“验证后本地代理LA将移动节点MN的家乡地址HoAMN与移动节点MN的转交地址CoAMN绑定缓存”,是将移动节点MN的证书CERTMN中所包含的家乡地址HoAMN和所收到消息中的转交地址CoAMN通过验证签名SigMN后,储存在接入网关的路由表中。 
CN2009100209478A 2009-01-16 2009-01-16 支持多级安全的移动IPSec接入认证方法 Expired - Fee Related CN101478388B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN2009100209478A CN101478388B (zh) 2009-01-16 2009-01-16 支持多级安全的移动IPSec接入认证方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN2009100209478A CN101478388B (zh) 2009-01-16 2009-01-16 支持多级安全的移动IPSec接入认证方法

Publications (2)

Publication Number Publication Date
CN101478388A CN101478388A (zh) 2009-07-08
CN101478388B true CN101478388B (zh) 2011-04-06

Family

ID=40839023

Family Applications (1)

Application Number Title Priority Date Filing Date
CN2009100209478A Expired - Fee Related CN101478388B (zh) 2009-01-16 2009-01-16 支持多级安全的移动IPSec接入认证方法

Country Status (1)

Country Link
CN (1) CN101478388B (zh)

Families Citing this family (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101778387B (zh) * 2010-01-08 2012-06-27 西安电子科技大学 抵抗无线局域网接入认证拒绝服务攻击的方法
CN101860846B (zh) * 2010-05-14 2012-09-05 西安电子科技大学 基于位置预判的预认证快速切换方法
CN101867928A (zh) * 2010-05-21 2010-10-20 西安电子科技大学 移动用户通过家庭基站接入核心网的认证方法
CN105119832B (zh) * 2015-09-29 2018-01-02 东北大学 基于身份密码学的MIPv6安全移动管理系统及移动认证方法
CN106789023B (zh) * 2016-12-29 2020-03-06 杭州迪普科技股份有限公司 一种基于IKEv2的DH算法协商方法及装置
CN107612929A (zh) * 2017-10-18 2018-01-19 南京航空航天大学 一种基于信息流的多级安全访问控制模型
CN110035037B (zh) * 2018-01-11 2021-09-17 华为技术有限公司 安全认证方法、相关设备及系统
CN110430063B (zh) * 2019-07-26 2020-05-19 绍兴文理学院 基于雾计算架构异质传感网节点匿名身份认证方法

Also Published As

Publication number Publication date
CN101478388A (zh) 2009-07-08

Similar Documents

Publication Publication Date Title
Chen et al. Wireless LAN security and IEEE 802.11 i
CN101478388B (zh) 支持多级安全的移动IPSec接入认证方法
US7181012B2 (en) Secured map messages for telecommunications networks
CN101371491B (zh) 提供无线网状网络的方法和装置
JP4663011B2 (ja) 通信コネクションを保護するために少なくとも1つの第1の通信加入者と少なくとも1つの第2の通信加入者との間で秘密鍵を一致させるための方法
US20090217043A1 (en) Method and system for mutual authentication of nodes in a wireless communication network
He et al. Handauth: Efficient handover authentication with conditional privacy for wireless networks
CN101150572B (zh) 移动节点和通信对端绑定更新的方法及装置
CN101478389B (zh) 支持多级安全的移动IPSec传输认证方法
Taha et al. A link-layer authentication and key agreement scheme for mobile public hotspots in NEMO based VANET
CN101119368A (zh) 一种无线网络安全通信的实现方法
KR20080100746A (ko) 이동 통신 시스템에서 보안키 생성 방법 및 장치
Lei et al. Comparative studies on authentication and key exchange methods for 802.11 wireless LAN
Yang et al. Link-layer protection in 802.11 i WLANS with dummy authentication
Shiyang Compare of new security strategy with several others in WLAN
Pervaiz et al. Security in wireless local area networks
Jiang et al. Network Security in RWNs
Buttyán et al. WiFi Security–WEP and 802.11 i
Jiang et al. A mutual authentication and privacy mechanism for WLAN security
Pagliusi Internet Authentication for Remote Access
Youm Extensible authentication protocol overview and its applications
Wu et al. A Study on High Security Authentication Mechanism for 3G/WLAN Networks
Raman Security in wireless networks
Shih et al. Design and Implementation of IEEE 802.11 i in WIRE1x
Kholaif et al. DRKH: A power efficient encryption protocol for wireless devices

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant
CF01 Termination of patent right due to non-payment of annual fee

Granted publication date: 20110406

Termination date: 20150116

EXPY Termination of patent right or utility model