CN101800988A - 一种基于网络接入设备的移动IPv6服务认证方法 - Google Patents
一种基于网络接入设备的移动IPv6服务认证方法 Download PDFInfo
- Publication number
- CN101800988A CN101800988A CN201010125630.3A CN201010125630A CN101800988A CN 101800988 A CN101800988 A CN 101800988A CN 201010125630 A CN201010125630 A CN 201010125630A CN 101800988 A CN101800988 A CN 101800988A
- Authority
- CN
- China
- Prior art keywords
- aaah
- nonce1
- nas
- kad
- aid
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Mobile Radio Communication Systems (AREA)
Abstract
本发明公开了一种基于网络接入设备的移动IPv6服务认证方法,属于网络通信服务认证领域。该方法涉及的网络实体包括家乡代理HA、移动节点MN、网络接入设备NAS、外地域认证服务器AAAF和家乡域认证服务器AAAH,在MN需要获得移动IPv6服务时,先向外地域的NAS发送请求,在通过NAS认证的情况下,由NAS把认证消息发往AAAF,再由AAAF交给AAAH,然后AAAH为MN寻找一个HA,并将HA和MN的共享密钥分发给双方。本发明方法不会产生任意域的任意节点都能攻击HA的问题,且针对HA和AAAH的DDOS攻击问题可以得到很好的控制。
Description
技术领域
本发明涉及一种移动IPv6服务认证技术,尤其涉及一种基于网络接入设备的移动IPv6服务认证方法,属于网络通信服务认证领域。
背景技术
在无线网络中,MN通常只与家乡域的认证服务器存在信任关系,而与HA不存在信任关系,因此双方首先需要完成认证过程,之后在认证产生的根密钥的基础上建立一系列的子密钥,并使用子密钥保护移动IP信令安全。
鉴于3GPP等标准组织把diameter协议作为无线网络的AAA协议,目前移动IP相关的认证技术都在IETF dime工作组进行。最早的移动IP认证协议是dime-mip4(RFC4004),它对无线网络的环境特点进行了分析,并提出了无线网络mip4信任模型(如图1所示)。在该信任模型的基础上,IETF基于diameter、EAP及dime-eap协议提出了一种认证模型,该认证模型其实是一种类Kerberos协议。
Mip6认证过程与mip4认证过程类似,都是一种类Kerberos的认证技术。所不同的是,IETF dime工作组结合无线网络的特点提出了两种mip6认证场景:split场景和integrited场景。在integrited场景中,MN在接入网络的接入认证和获取移动IP服务是在同一个协议中进行,这一情况适合于MN启动时的认证问题,底层协议可以是802.1x,pana,ikev2等其他协议;在split场景中,MN已经完成与接入域网络的认证过程,是单纯的MN与HA的认证过程,这通常适合于MN启动后需要获得移动IP服务的情况,底层协议通常是ikev2或RFC4285(也就是RFC4877中提到的基于ike生成共享密钥的方法)。
现有的这些移动IP认证技术都是类Kerberos技术,它们都存在如下问题:1)易遭受分布式拒绝服务攻击(DDOS);2)一旦某些网络域遭受网络攻击,则这一攻击将被扩散到HA所在的网络域,且受攻击的网络域中任何节点都可以对HA和diameter服务器进行攻击。
发明内容
本发明针对背景技术中现有移动IP认证技术存在的缺陷,而提出一种在网络接入认证基础上进行移动IPv6服务认证的方法。
本发明的基于网络接入设备的移动IPv6服务认证方法,包括如下步骤:
步骤1:
MN产生nonce1,MN使用kad将nonce1和AID签名,并将第一消息{nonce1,AID}kad发送给NAS;
步骤2:
NAS使用kbc将第一消息{nonce1,AID}kad和BID签名,并将第二消息{BID,{nonce1,AID}kad}kbc发送给AAAF;
步骤3:
AAAF使用kcd将第二消息{BID,{nonce1,AID}kad}kbc签名,并将第三消息{{BID,{nonce1,AID}kad}kbc}kcd发送给AAAH;
步骤4:
AAAH验证第三消息{{BID,{nonce1,AID}kad}kbc}kcd的签名,当验证成功时,则允许MN使用移动IPv6服务,否则拒绝服务;
步骤5:
当步骤4验证成功时,AAAH产生nonce2;
计算kah=hash(kad|AAAHID|HAID|AID|nonce1|nonce2);
步骤6:AAAH将kah发送给HA;
步骤7:AAAH将nonce2签名并发送给AAAF;
步骤8:AAAF将nonce2签名并发送给NAS;
步骤9:NAS将nonce2签名并发送给MN;
步骤10:MN收到nonce2后,计算kah=hash(kad|AAAHID|HAID|AID|nonce1|nonce2),并使用kah验证NAS发来的消息,当验证通过时,则MN与HA建立共享密钥,即kah;
上述内容中:MN为移动节点;NAS为网络接入设备;AAAH为家乡域认证服务器;AAAF为外地域认证服务器;nonce1为MN产生的随机数;nonce2为AAAH产生的随机数;AID为MN的网络标识;BID为NAS的网络标识;kad为MN和AAAH的共享密钥;kbc为NAS和AAAF的共享密钥;kcd为AAAF和AAAH的共享密钥;HA为家乡代理;HAID为HA的网络标识;AAAHID为AAAH的网络标识;hash为哈希函数。
技术效果:
(1)由于MN不是直接向HA发送认证请求消息,因此不会产生任意域的任意节点都能攻击HA的问题。而在MN发往HA的BU消息中,采用的是基于对称密钥的完整性保护机制,消息头很短,计算量相对较小,所以针对HA的DDOS攻击问题可以得到很好的控制,又由于HA不会主动向AAAH转发认证请求消息,安全攻击将不会从HA扩散到AAAH。
(2)由于AAAH只接受AAAF的数据报,而AAAF只有在对MN完成认证的情况下才会向AAAH发送数据报,因此针对AAAH的DDOS攻击问题可以得到很好控制。且即使AAAF所在域遭到攻击,AAAH受到的冲击也只限于来自AAAH的攻击,而不会导致全网任意节点对AAAH的攻击。
附图说明
图1为mip4信任模型示意图。
图2为本发明基于网络接入设备的移动IPv6服务认证技术消息交互过程示意图。
具体实施方式
如图1所示为背景技术中提及的无线网络mip4信任模型示意图。
本发明方法的实体关系及消息交互流程如图2所示。在MN需要获得移动IP服务时,不是直接向HA发送认证请求,而是先向外地域的NAS发送请求,在通过NAS认证的情况下,由NAS把认证消息发往AAAF,再由AAAF交给AAAH,然后AAAH为MN寻找一个HA,并将HA和MN的共享密钥分发给双方。这样MN和HA在建立共享密钥之后直接使用RFC4285的完整性保护技术进行绑定更新BU、绑定确认BA的交互就可以了。
本发明的具体实现步骤如下:
步骤1:
MN产生nonce1,MN使用kad将nonce1和AID签名,并将第一消息{nonce1,AID}kad发送给NAS;
步骤2:
NAS使用kbc将第一消息{nonce1,AID}kad和BID签名,并将第二消息{BID,{nonce1,AID}kad}kbc发送给AAAF;
步骤3:
AAAF使用kcd将第二消息{BID,{nonce1,AID}kad}kbc签名,并将第三消息{{BID,{nonce1,AID}kad}kbc}kcd发送给AAAH;
步骤4:
AAAH验证第三消息{{BID,{nonce1,AID}kad}kbc}kcd的签名,当验证成功时,则允许MN使用移动IPv6服务,否则拒绝服务;
步骤5:
当步骤4验证成功时,AAAH产生nonce2;
计算kah=hash(kad|AAAHID|HAID|AID|nonce1|nonce2);
步骤6:AAAH将kah发送给HA;
步骤7:AAAH将nonce2签名并发送给AAAF;
步骤8:AAAF将nonce2签名并发送给NAS;
步骤9:NAS将nonce2签名并发送给MN;
步骤10:MN收到nonce2后,计算kah=hash(kad|AAAHID|HAID|AID|nonce1|nonce2),并使用kah验证NAS发来的消息,当验证通过时,则MN与HA建立共享密钥,即kah;
上述内容中:MN为移动节点;NAS为网络接入设备;AAAH为家乡域认证服务器;AAAF为外地域认证服务器;nonce1为MN产生的随机数;nonce2为AAAH产生的随机数;AID为MN的网络标识;BID为NAS的网络标识;kad为MN和AAAH的共享密钥;kbc为NAS和AAAF的共享密钥;kcd为AAAF和AAAH的共享密钥;HA为家乡代理;HAID为HA的网络标识;AAAHID为AAAH的网络标识;hash为哈希函数。
Claims (1)
1.一种基于网络接入设备的移动IPv6服务认证方法,其特征在于包括如下步骤:步骤1:
MN产生nonce1,MN使用kad将nonce1和AID签名,并将第一消息{nonce1,AID}kad发送给NAS;
步骤2:
NAS使用kbc将第一消息{nonce1,AID}kad和BID签名,并将第二消息{BID,{nonce1,AID}kad}kbc发送给AAAF;
步骤3:
AAAF使用kcd将第二消息{BID,{nonce1,AID}kad}kbc签名,并将第三消息{{BID,{nonce1,AID}kad}kbc}kcd发送给AAAH;
步骤4:
AAAH验证第三消息{{BID,{nonce1,AID}kad}kbc}kcd的签名,当验证成功时,则允许MN使用移动IPv6服务,否则拒绝服务;
步骤5:
当步骤4验证成功时,AAAH产生nonce2;
计算kah=hash(kad|AAAHID|HAID|AID|nonce1|nonce2);
步骤6:AAAH将kah发送给HA;
步骤7:AAAH将nonce2签名并发送给AAAF;
步骤8:AAAF将nonce2签名并发送给NAS;
步骤9:NAS将nonce2签名并发送给MN;
步骤10:MN收到nonce2后,计算kah=hash(kad|AAAHID|HAID|AID|nonce1|nonce2),并使用kah验证NAS发来的消息,当验证通过时,则MN与HA建立共享密钥,即kah;
上述内容中:MN为移动节点;NAS为网络接入设备;AAAH为家乡域认证服务器;AAAF为外地域认证服务器;nonce1为MN产生的随机数;nonce2为AAAH产生的随机数;AID为MN的网络标识;BID为NAS的网络标识;kad为MN和AAAH的共享密钥;kbc为NAS和AAAF的共享密钥;kcd为AAAF和AAAH的共享密钥;HA为家乡代理;HAID为HA的网络标识;AAAHID为AAAH的网络标识;hash为哈希函数。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2010101256303A CN101800988B (zh) | 2010-03-16 | 2010-03-16 | 一种基于网络接入设备的移动IPv6服务认证方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2010101256303A CN101800988B (zh) | 2010-03-16 | 2010-03-16 | 一种基于网络接入设备的移动IPv6服务认证方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101800988A true CN101800988A (zh) | 2010-08-11 |
| CN101800988B CN101800988B (zh) | 2012-08-15 |
Family
ID=42596421
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2010101256303A Expired - Fee Related CN101800988B (zh) | 2010-03-16 | 2010-03-16 | 一种基于网络接入设备的移动IPv6服务认证方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101800988B (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102411747A (zh) * | 2011-04-20 | 2012-04-11 | 李华东 | 认证电子商务交易担保及其预付额的方法 |
| CN102833747A (zh) * | 2012-09-17 | 2012-12-19 | 北京交通大学 | 分离机制移动性管理系统实现接入认证的密钥分发方法 |
| CN105681364A (zh) * | 2016-04-11 | 2016-06-15 | 清华大学 | 一种基于增强绑定的IPv6移动终端抗攻击方法 |
| CN107733934A (zh) * | 2017-11-30 | 2018-02-23 | 成都航天科工大数据研究院有限公司 | 一种工业设备联网安全接入认证方法及实现该方法的设备 |
| US10735924B2 (en) | 2018-10-02 | 2020-08-04 | Cisco Technology, Inc. | Re-broadcasting a message by a road side unit |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101222319A (zh) * | 2007-01-10 | 2008-07-16 | 华为技术有限公司 | 一种移动通信系统中密钥分发方法和系统 |
| US20090186601A1 (en) * | 2008-01-09 | 2009-07-23 | Lg Electronics Inc. | Pre-authentication method for inter-rat handover |
| CN101656956A (zh) * | 2008-08-22 | 2010-02-24 | 华为技术有限公司 | 一种接入3gpp网络的方法、系统和网关 |
-
2010
- 2010-03-16 CN CN2010101256303A patent/CN101800988B/zh not_active Expired - Fee Related
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101222319A (zh) * | 2007-01-10 | 2008-07-16 | 华为技术有限公司 | 一种移动通信系统中密钥分发方法和系统 |
| US20090186601A1 (en) * | 2008-01-09 | 2009-07-23 | Lg Electronics Inc. | Pre-authentication method for inter-rat handover |
| CN101656956A (zh) * | 2008-08-22 | 2010-02-24 | 华为技术有限公司 | 一种接入3gpp网络的方法、系统和网关 |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102411747A (zh) * | 2011-04-20 | 2012-04-11 | 李华东 | 认证电子商务交易担保及其预付额的方法 |
| CN102833747A (zh) * | 2012-09-17 | 2012-12-19 | 北京交通大学 | 分离机制移动性管理系统实现接入认证的密钥分发方法 |
| CN102833747B (zh) * | 2012-09-17 | 2015-02-25 | 北京交通大学 | 分离机制移动性管理系统实现接入认证的密钥分发方法 |
| CN105681364A (zh) * | 2016-04-11 | 2016-06-15 | 清华大学 | 一种基于增强绑定的IPv6移动终端抗攻击方法 |
| CN105681364B (zh) * | 2016-04-11 | 2019-02-05 | 清华大学 | 一种基于增强绑定的IPv6移动终端抗攻击方法 |
| CN107733934A (zh) * | 2017-11-30 | 2018-02-23 | 成都航天科工大数据研究院有限公司 | 一种工业设备联网安全接入认证方法及实现该方法的设备 |
| US10735924B2 (en) | 2018-10-02 | 2020-08-04 | Cisco Technology, Inc. | Re-broadcasting a message by a road side unit |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101800988B (zh) | 2012-08-15 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Tsay et al. | A vulnerability in the umts and lte authentication and key agreement protocols | |
| Mun et al. | 3G-WLAN interworking: security analysis and new authentication and key agreement based on EAP-AKA | |
| Hwang et al. | A study on MITM (Man in the Middle) vulnerability in wireless network using 802.1 X and EAP | |
| Sani et al. | Xyreum: A high-performance and scalable blockchain for iiot security and privacy | |
| O’hanlon et al. | Mobile subscriber wifi privacy | |
| Hu et al. | Smart grid mesh network security using dynamic key distribution with merkle tree 4-way handshaking | |
| Wang et al. | Analysis and improvements over DoS attacks against IEEE 802.11 i standard | |
| Nguyen et al. | Enhanced EAP-based pre-authentication for fast and secure inter-ASN handovers in mobile WiMAX networks | |
| Arkko et al. | A USIM compatible 5G AKA protocol with perfect forward secrecy | |
| CN101800988B (zh) | 一种基于网络接入设备的移动IPv6服务认证方法 | |
| Hwang et al. | Provably secure mutual authentication and key exchange scheme for expeditious mobile communication through synchronously one-time secrets | |
| Leroy et al. | SWISH: secure WiFi sharing | |
| Welch et al. | A survey of 802.11 a wireless security threats and security mechanisms | |
| Haddad et al. | Secure and efficient AKA scheme and uniform handover protocol for 5G network using blockchain | |
| Atheeq et al. | Mutually authenticated key agreement protocol based on chaos theory in integration of internet and MANET | |
| El Idrissi et al. | A new fast re-authentication method for the 3G-WLAN interworking based on EAP-AKA | |
| Kumar et al. | A secure, efficient and lightweight user authentication scheme for wireless LAN | |
| Chengzhe et al. | Simple and low-cost re-authentication protocol for HeNB | |
| Yang et al. | Link-layer protection in 802.11 i WLANS with dummy authentication | |
| Teyou et al. | Solving downgrade and dos attack due to the four ways handshake vulnerabilities (WIFI) | |
| Raju et al. | Modeling and analysis of IEEE 802.11 i wpa-psk authentication protocol | |
| Haq et al. | Towards Robust and Low Latency Security Framework for IEEE 802.11 Wireless Networks | |
| Gupta et al. | LS-AKA: A lightweight and secure authentication and key agreement scheme for enhanced machine type communication devices in 5G smart environment | |
| Abdrabou | Robust pre-authentication protocol for wireless network | |
| Liu et al. | Efficient and trustworthy authentication in 5g networks based on blockchain |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20120815 Termination date: 20150316 |
|
| EXPY | Termination of patent right or utility model |