CN103957524B - 一种基于分级身份签名的PMIPv6网络双向接入认证系统及方法 - Google Patents
一种基于分级身份签名的PMIPv6网络双向接入认证系统及方法 Download PDFInfo
- Publication number
- CN103957524B CN103957524B CN201410163719.7A CN201410163719A CN103957524B CN 103957524 B CN103957524 B CN 103957524B CN 201410163719 A CN201410163719 A CN 201410163719A CN 103957524 B CN103957524 B CN 103957524B
- Authority
- CN
- China
- Prior art keywords
- mobile node
- mobile
- access gateway
- network
- local mobility
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
- 238000000034 method Methods 0.000 title claims abstract description 26
- 230000002146 bilateral effect Effects 0.000 claims abstract description 22
- 238000010276 construction Methods 0.000 claims abstract description 22
- 239000003795 chemical substances by application Substances 0.000 claims description 25
- 125000004122 cyclic group Chemical group 0.000 claims description 14
- 230000005540 biological transmission Effects 0.000 claims description 9
- 238000004891 communication Methods 0.000 claims description 9
- 238000007726 management method Methods 0.000 claims description 8
- 238000012790 confirmation Methods 0.000 claims description 6
- 230000011664 signaling Effects 0.000 claims description 5
- 239000000284 extract Substances 0.000 claims description 4
- 238000001514 detection method Methods 0.000 claims description 3
- 238000012360 testing method Methods 0.000 claims description 2
- 241000208340 Araliaceae Species 0.000 claims 3
- 235000005035 Panax pseudoginseng ssp. pseudoginseng Nutrition 0.000 claims 3
- 235000003140 Panax quinquefolius Nutrition 0.000 claims 3
- 235000008434 ginseng Nutrition 0.000 claims 3
- 235000013399 edible fruits Nutrition 0.000 claims 1
- 238000012795 verification Methods 0.000 description 7
- 238000010586 diagram Methods 0.000 description 5
- 230000003993 interaction Effects 0.000 description 3
- 230000002457 bidirectional effect Effects 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 230000004807 localization Effects 0.000 description 2
- 238000013475 authorization Methods 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- JQAACYUZYRBHGG-QHTZZOMLSA-L magnesium;(2s)-5-oxopyrrolidine-2-carboxylate Chemical compound [Mg+2].[O-]C(=O)[C@@H]1CCC(=O)N1.[O-]C(=O)[C@@H]1CCC(=O)N1 JQAACYUZYRBHGG-QHTZZOMLSA-L 0.000 description 1
- 238000005457 optimization Methods 0.000 description 1
- 238000011160 research Methods 0.000 description 1
Landscapes
- Mobile Radio Communication Systems (AREA)
Abstract
本发明提供一种基于分级身份签名的PMIPv6网络双向接入认证系统及方法,包括多个移动接入网关、多个本地移动锚、可信第三方服务器和多个移动节点;该方法包括:各移动接入网关与其对应的本地移动锚建立可信信道;可信第三方服务器生成系统公共参数并发布;各移动节点在家乡网络时,可信第三方服务器为本地移动锚分配私钥,本地移动锚为移动节点或移动接入网关分配私钥;某移动节点离开家乡网络并首次接入到外地网络中某个移动接入网关时双向接入认证;移动节点在当前接入外地网络中,由当前移动接入网关切换到另一个移动接入网关时切换认证;本发明可以消除移动节点接入外地网络与家乡网络间的消息交互,并实现移动节点与移动接入网关的双向接入认证。
Description
技术领域
本发明属于无线移动网络安全领域,特别涉及一种基于分级身份签名的PMIPv6网络双向接入认证系统及方法。
背景技术
代理移动IPv6(Proxy Mobile IPv6,PMIPv6)协议通过扩展移动IPv6协议中移动节点(Mobile Node,MN)和家乡代理间的信令消息以支持IPv6节点的移动性,网络中的代理移动实体处理移动节点与家乡代理间的信令交互并且代替移动节点参与移动管理。由于代理移动IPv6不需要对移动节点进行额外配置使该协议易于部署,将成为下一代网络重要的移动性支撑协议。但代理移动IPv6缺乏安全性方面的考虑,其开放性增加了潜在的安全威胁。当移动节点接入外地网络时,需要同外地网络的代理移动实体相互认证身份,其中双向接入认证是代理移动IPv6安全的基本需求。另外,移动节点的切换和认证往往同时发生,为保障移动节点的实时应用,认证操作应与切换过程同步进行,尽可能保证切换效率。
在现有针对代理移动IPv6接入认证方面的研究中:文献“一种代理移动IPv6认证协议”提出了一种基于Diameter协议的代理移动IPv6认证方法,该方法通过AAA(Authentication验证,Authorization授权,Accounting记账)服务器与移动节点和代理移动实体之间的预先共享密钥实现接入认证,但增加了AAA服务器与代理移动实体间的消息交互,降低了移动节点的接入效率。文献“基于无证书签密的代理移动IPv6认证方案”将无证书签密机制用于代理移动IPv6的认证过程,解决了无线环境中密钥管理安全问题,但密钥协商过程仍然存在与AAA服务器的交互,从而加重AAA服务器的负担。并且该方案没有讨论如何进行切换认证,因此很难应用到实际的网络环境中。文献“One-time KeyAuthentication Protocol for PMIPv6”较完善地给出了对代理移动实体进行优化的接入认证方案,但是代理移动实体之间的通信距离通常很远,通信延时大,降低了切换认证的效率,而且需要相关实体频繁地更换密钥,增加了通信开销。可见在现有的代理移动IPv6接入认证方案中,存在着系统开销大、认证效率低及切换认证差等问题。
可见上述的认证机制中,MN的认证信息都存放在家乡网络或者远端的AAA服务器,对移动节点的接入认证必须通过与家乡网络交互来实现,因而认证延时将随着本地网络与外地网络之间距离的增加而显著增大,进一步降低了接入认证效率。
发明内容
针对现有技术存在的不足,本发明提供一种基于分级身份签名的PMIPv6网络双向接入认证系统及方法。
本发明的技术方案如下:
一种基于分级身份签名的PMIPv6网络双向接入认证系统,包括多个移动接入网关、多个本地移动锚、可信第三方服务器和多个移动节点,多个移动接入网关、多个本地移动锚、可信第三方服务器与多个移动节点形成PMIPv6网络;
所述移动接入网关是用于代替移动节点执行移动管理的实体,负责检测移动节点的连接和离开接入链路的移动以及向移动节点的本地移动锚的双向接入认证,验证接入的移动节点的合法性,并基于分级身份签名机制进行签名、验证签名和HMAC操作;
所述本地移动锚是PMIPv6网络内移动节点的家乡代理,用于管理移动节点的网络连接状态,本地移动锚具有PKG的功能;
所述可信第三方服务器是系统的根服务器,用于根据选择的安全参数生成系统公共参数并发布系统公共参数,并且为本地移动锚分配私钥;
所述移动节点是可以移动的电脑终端实体或者是可以使用网络地址的可移动的网络终端实体,移动节点不参与和移动相关的信令流程。
采用所述的基于分级身份签名的PMIPv6网络双向接入认证系统进行基于分级身份签名的PMIPv6网络双向接入认证的方法,包括以下步骤:
步骤1:各移动接入网关与其对应的本地移动锚建立可信信道,各移动接入网关、各本地移动锚、可信第三方服务器与各移动节点形成PMIPv6网络,PMIPv6网络内所有实体均支持基于分级身份签名机制;
所述可信信道为IPSec保护的移动接入网关与本地移动锚之间的通信;
步骤2:可信第三方服务器根据选择的安全参数生成系统公共参数并发布系统公共参数;
系统公共参数包括循环群G和循环群GT、双线性对、循环群G上的基点g、基点g的α次幂g1、α是随机选取的属于Zq *、Zq *为1到q-1范围的正整数,q为可信第三方服务器TTP选择的安全参数、属于循环群的g2和g3、向量U=(u1,u2),其中u1,u2属于循环群G、H1是字符集至Zq *的单向哈希函数;
步骤3:各移动节点在家乡网络时,可信第三方服务器根据本地移动锚的身份信息为本地移动锚分配私钥,本地移动锚根据移动节点的身份信息或移动接入网关的身份信息为移动节点或移动接入网关分配私钥;
本地移动锚的身份信息为网络地址标识符;
移动节点MN在家乡网络时,TTP根据一级PKG的身份信息为其分配私钥,一级PKG根据二级用户的身份信息为其分配私钥;
步骤4:当某移动节点离开家乡网络并首次接入到外地网络中的某个移动接入网关时,进行双向接入认证;
步骤4.1:移动节点生成密钥协商参数、地址配置信息和当前时间戳;
步骤4.2:移动节点利用自己的私钥对生成的密钥协商参数、地址配置信息和当前时间戳进行签名;
步骤4.3:移动节点发送接入认证请求消息至外地网络中的移动接入网关;
所述接入认证请求信息包括密钥协商参数、地址配置信息和当前时间戳及密钥协商参数、地址配置信息和当前时间戳的签名值;
步骤4.4:外地网络的移动接入网关收到移动节点发送的认证请求消息后,验证时间戳的新鲜性以防止重放攻击,如果时间戳新鲜,则从地址配置信息中提取移动节点的身份信息,执行步骤4.5,如果时间戳不新鲜,则发送接入失败信息至移动节点;
步骤4.5:根据系统公共参数和移动节点的身份信息,采用基于分级身份签名机制来验证密钥协商参数、地址配置信息和当前时间戳的签名值:如果验证成功,则确认移动节点为合法接入用户,执行步骤4.6,否则,发送接入失败信息至移动节点;
步骤4.6:外地网络的移动接入网关发送代理绑定更新消息至外地网络的本地移动锚;
所述代理绑定更新消息包括从地址配置信息中提取出的移动节点的家乡网络前缀;
步骤4.7:外地网络的本地移动锚收到外地网络的移动接入网关发送的代理绑定更新消息后提取出移动节点的家乡网络前缀;
步骤4.8:在外地网络的本地移动锚的绑定缓存中检查是否已存在此家乡网络前缀的相关信息,如果绑定缓存中已存在此家乡网络前缀并且其所对应的移动节点与此次请求接入的移动节点不同,则向移动接入网关发送代理绑定确认消息,拒绝该移动节点接入;如果绑定缓存中不存在该家乡网络前缀则执行步骤4.9;
步骤4.9:选取一个随机数,计算密钥协商参数和共享密钥,并把共享密钥保存至绑定缓存中,为移动节点分配网络前缀,将网络前缀和地址配置信息保存到地址配置策略文件中;
步骤4.10:外地的本地移动锚将地址配置策略文件与密钥协商参数由代理绑定确认消息携带发送回外地网络的移动接入网关;
步骤4.11:外地网络的移动接入网络收到代理绑定确认消息后,提取出地址配置策略文件和密钥协商参数,计算共享密钥并保存;
步骤4.12:采用基于分级身份签名机制对地址配置策略文件、移动接入网关的身份信息、外地网络的本地移动锚生成的密钥协商参数和当前时间戳进行签名;
步骤4.13:将地址配置策略文件、移动接入网关的身份信息、外地的本地移动锚生成的密钥协商参数、当前时间戳和它们的签名值一起由路由通告消息携带发送至移动节点;
步骤4.14:移动节点收到路由通告消息后,验证时间戳的新鲜性,如果时间戳新鲜,执行步骤4.15,如果时间戳不新鲜,则双向接入认证失败;
步骤4.15:根据移动接入网关的身份信息和系统公共参数采用基于分级身份签名机制验证移动接入网关的签名:如果验证正确,执行步骤4.16,如果验证不正确,则双向接入认证失败;
步骤4.16:根据地址配置策略文件进行IPv6地址配置,同时根据外地网络的本地移动锚生成的密钥协商参数计算共享密钥并保存,完成双向接入认证;
步骤5:当移动节点在当前接入的外地网络中,由当前的移动接入网关切换到另一个移动接入网关时,进行切换认证;
步骤5.1:移动节点利用共享密钥对移动节点的地址配置信息和时间戳进行HMAC操作,生成一个计算值,将移动节点的地址配置信息、时间戳和该计算值一起由认证请求消息携带发送至待接入的移动接入网关;
步骤5.2:待接入的移动接入网关收到移动节点发送的认证请求消息后,验证时间戳的新鲜性,如果时间戳新鲜,则从移动节点的配置信息中提取出移动节点的家乡网络前缀,如果时间戳不新鲜,则发送接入失败信息至移动节点;
步骤5.3:移动接入网关将移动节点的家乡网络前缀由代理绑定更新消息携带发送至外地的本地移动锚,并请求保存在绑定缓存中的移动节点与外地的本地移动锚间的共享密钥;
步骤5.4:外地网络的本地移动锚在收到待接入的移动接入网关发送的代理绑定更新消息后,提取出移动节点的家乡网络前缀,从绑定缓存中取出与移动节点对应的共享密钥,将移动节点的地址配置策略文件和共享密钥一起由代理绑定确认消息携带发送至待接入的移动接入网关,同时更新绑定缓存中移动节点的移动接入网关,将与移动节点绑定的移动接入网关由当前的移动接入网关切换到待接入的移动接入网关;
步骤5.5:待接入的移动接入网关收到外地网络的本地移动锚发送的代理绑定确认消息后,利用从代理绑定确认消息中提取出的共享密钥和对进行HMAC操作生成的计算值进行移动节点的身份合法性验证,如果验证成功,则确认移动节点为合法接入用户,执行步骤5.6,否则,发送接入失败信息至移动节点;
步骤5.6:待接入的移动接入网关利用共享密钥,对移动节点的地址配置策略文件和时间戳进行HMAC操作,得出计算值,并将移动节点的地址配置策略文件、时间戳和计算值一起由路由通告消息携带发送到移动节点,同时保存共享密钥;
步骤5.7:移动节点收到待接入的移动接入网关发送的路由通告消息后,验证时间戳的新鲜性,如果时间戳新鲜,则执行步骤5.8,如果时间戳不新鲜,则切换认证失败;
步骤5.8:通过共享密钥验证待接入的移动接入网关生成的计算值,如果验证正确,执行步骤5.9,如果验证不正确,则切换认证失败;
步骤5.9:接入合法的待接入的移动接入网关,根据移动节点的地址配置策略文件进行IPv6地址配置,完成切换认证。
有益效果:
本发明在PMIPv6网络中,可以消除移动节点接入的外地网络与家乡网络间的消息交互,并实现移动节点与移动接入网关的双向接入认证,而且本发明增强了原有的本地移动锚实体的功能,使得本地移动锚可以通过复用历史认证消息来对PMIPv6协议中的认证进行优化,从而降低了通信代价,提高了认证的安全性,本发明有效地解决了无线环境中密钥管理的问题,并且减少了实体之间的交互次数,实现了本地化认证,从而大大提高了认证效率,减少了认证时间。
附图说明
图1为本发明具体实施方式的PMIPv6的网络结构示意图;
图2为本发明具体实施方式的基于分级身份签名的PMIPv6网络双向接入认证系统的网络架构图;
图3为本发明具体实施方式的移动节点双向接入认证过程示意图;
图4为本发明具体实施方式的移动节点切换认证过程示意图;
图5为本发明具体实施方式的基于分级身份签名的PMIPv6网络双向接入认证方法的流程图;
图6为本发明具体实施方式的移动节点双向接入认证流程图;
图7为本发明具体实施方式的移动节点切换认证流程图。
具体实施方式
下面结合附图对本发明的具体实施方式做详细说明。
本实施方式是将基于分级身份签名的PMIPv6网络双向接入认证系统及方法应用于某无线局域网接入认证环节。实施过程中采用分级的基于身份的签名技术对通信的相关消息进行签名并在切换认证时用事先协商好的密钥对消息进行HMAC操作。
如图1所示,在PMIPv6网络中引入了两个新的功能实体——本地移动锚(LocalMobility Anchor,LMA)和移动接入网关(Mobile Access Gateway,MAG)。
本地移动锚是PMIPv6网络内移动节点的家乡代理,用于管理移动节点的网络连接状态,本地移动锚具有PKG的功能;LMA扩展了家乡代理的功能,是移动节点家乡网络前缀的拓扑锚节点,负责管理移动节点的绑定状态。
移动接入网关是用于代替移动节点执行移动管理的实体,负责检测移动节点的连接和离开接入链路的移动以及向移动节点的本地移动锚的双向接入认证,验证接入的移动节点的合法性,并基于分级身份签名机制进行签名、验证签名和HMAC操作;移动接入网关实现于接入路由器上,代替移动节点参与移动管理,使得移动节点无需配置任何移动性管理协议即可获得移动性支持,从而降低了移动节点协议栈的复杂度。
移动节点(Mobile Node,MN)是可以移动的电脑终端实体或者是可以使用网络地址的可移动的网络终端实体,移动节点不参与和移动相关的信令流程。
当移动节点初始进入PMIPv6网络时,MAG首先获取移动节点的配置文件,该文件包含用户的身份标识、提供服务的LMA地址及支持的地址配置类型等;然后MAG代替移动节点发送代理绑定更新(Proxy Binding Update,PBU)消息至指定的LMA,LMA接收到PBU后,回送包含有移动节点家乡网络前缀(Home Network Prefix,HNP)的代理绑定确认(ProxyBinding Acknowledge,PBA)消息。同时,LMA会生成一个绑定缓存(BCE)用于存储该接入移动节点的相关注册信息。MAG接收到PBA后,会建立与LMA的双向隧道,同时向接入链路上的移动节点发送路由公告消息以公告移动节点的家乡网络前缀。移动节点可以根据此前缀配置全局IPv6地址。随后,移动节点通过MAG与LMA间的双向隧道与通信节点(CN)建立通信。
如图2所示,构建面向PMIPv6的层次化网络架构,本实施方式中,基于分级身份签名的PMIPv6网络双向接入认证系统,包括多个移动接入网关、多个本地移动锚、可信第三方服务器和多个移动节点,多个移动接入网关、多个本地移动锚、可信第三方服务器与多个移动节点形成PMIPv6网络。该架构的一层为可信第三方服务器(Trust Third Party,TTP)即root PKG。TTP是系统默认的根服务器,用于根据选择的安全参数生成系统公共参数并发布系统公共参数,并且为本地移动锚分配私钥,即为一层PKG颁发私钥,PKG,private keygeneration center,即私钥生成中心。根据移动节点(MobileNode,MN)隶属关系将PMIPv6网络进一步划分为家乡网络(Home Domain)和外地网络(Foreign Domain)。HLMA为家乡网络内的认证服务器,FLMA为外地网络内的认证服务器;架构二层为FLMA和HLMA,即一级PKG;架构三层为MAG和MN,即二级用户;当MN移动并接入某外地网络时,将产生两类认证过程:一类是双向接入认证,指MN首次进入某外地网络并接入某移动接入网关(MAG)的认证过程;另一类是切换认证,即MN在外地网络内移动并改变移动接入网关的认证过程。本实施方式利用现有的分级的基于身份的签名(hierarchical identity-based signature,HIBS)机制实现对MN的本地化认证,从而大大提高接入认证效率。此外修改了LMA实体中的绑定缓存(binding cache entity,BCE),使其可以存储MN与接入MAG协商的共享密钥,从而使用共享秘钥完成切换认证,进一步缩短切换认证时间。
为便于后续描述,给出如表1所示的标识及说明。
表1 标识及说明
采用所述的基于分级身份签名的PMIPv6网络双向接入认证系统进行基于分级身份签名的PMIPv6网络双向接入认证的方法,如图5所示,包括以下步骤:
步骤1:各移动接入网关与其对应的本地移动锚建立可信信道,各移动接入网关MAG、各本地移动锚LMA、可信第三方服务器TTP与各移动节点MN形成PMIPv6网络,PMIPv6网络内所有实体均支持基于分级身份签名机制;
可信信道为IPSec保护的移动接入网关与本地移动锚之间的通信;
移动节点的配置信息为(HNPMN,IHLMA,IMN);
步骤2:可信第三方服务器根据选择的安全参数生成系统公共参数并发布系统公共参数;
系统公共参数{G,GT,,g,g1,g2,g3,U,H1},包括循环群G和循环群GT、双线性对、循环群G上的基点g、基点g的α次幂g1、α是随机选取的属于Zq *、Zq *为1到q-1范围的正整数,q为可信第三方服务器选择的安全参数、属于循环群的g2和g3、向量U=(u1,u2),其中u1,u2属于循环群G、H1是字符集至Zq *的单向哈希函数;
步骤3:各移动节点在家乡网络时,可信第三方服务器根据本地移动锚的身份信息为本地移动锚分配私钥,本地移动锚根据移动节点的身份信息或移动接入网关的身份信息为移动节点或移动接入网关分配私钥;
本地移动锚的身份信息为网络地址标识符;
步骤4:当某移动节点离开家乡网络并首次接入到外地网络中的某个移动接入网关时,进行双向接入认证;双向接入认证示意图如图3所示,具体流程如图6所示;
步骤4.1:移动节点MN生成密钥协商参数、地址配置信息和当前时间戳;
移动节点选取随机数a∈Zq *,生成密钥协商参数ga;
步骤4.2:移动节点MN利用自己的私钥对生成的密钥协商参数、地址配置信息和当前时间戳进行签名;
使用基于分级身份签名机制获取的私钥计算签名
步骤4.3:移动节点MN发送接入认证请求消息至外地网络中的移动接入网关MAG1;
接入认证请求信息包括密钥协商参数ga、地址配置信息MNInfo和当前时间戳TS1及密钥协商参数、地址配置信息和当前时间戳的签名值σ1,即ga、MNInfo、TS1和σ1一起由认证请求消息(request,REQ)携带发送至MAG1;
步骤4.4:外地网络的移动接入网关MAG1收到移动节点MN发送的认证请求消息REQ后,验证时间戳TS1的新鲜性以防止重放攻击,如果时间戳TS1新鲜,则从地址配置信息MNInfo中提取移动节点MN的身份信息IDMN=(IHLMA,IMN),执行步骤4.5,如果时间戳TS1不新鲜,则发送接入失败信息至移动节点MN;
步骤4.5:根据系统公共参数和移动节点MN的身份信息,采用基于分级身份签名机制来验证密钥协商参数、地址配置信息和当前时间戳的签名值如果验证成功,则确认移动节点MN为合法接入用户,执行步骤4.6,否则,发送接入失败信息至移动节点MN;
步骤4.6:外地网络的移动接入网关发送代理绑定更新消息(Proxy BindingUpdate,PBU)至外地网络的本地移动锚;
代理绑定更新消息包括从地址配置信息MNInfo中提取出的移动节点的家乡网络前缀HNPMN;
步骤4.7:外地网络的本地移动锚FLMA收到外地网络的移动接入网关发送的代理绑定更新消息PBU后提取出移动节点MN的家乡网络前缀HNPMN;
步骤4.8:在外地网络的本地移动锚FLMA的绑定缓存(binding cache entity,BCE)中检查是否已存在此家乡网络前缀的相关信息,如果绑定缓存中已存在此家乡网络前缀HNPMN并且其所对应的移动节点与此次请求接入的移动节点MN不同,则向移动接入网关MAG1发送代理绑定确认消息(Proxy Binding Acknowledge,PBA),拒绝该移动节点MN接入;如果绑定缓存中不存在该家乡网络前缀HNPMN则;
步骤4.9:选取一个随机数b∈Zq *,计算密钥协商参数gb和共享密钥KFLMA-MN=gab,并把共享密钥KFLMA-MN=gab保存至绑定缓存中,为移动节点分配网络前缀,将网络前缀和地址配置信息保存到地址配置策略文件PFMN中;
步骤4.10:外地的本地移动锚将地址配置策略文件PFMN与密钥协商参数gb由代理绑定确认消息携带发送回外地网络的移动接入网关MAG1;
步骤4.11:外地网络的移动接入网络MAG1收到代理绑定确认消息后,提取出地址配置策略文件PFMN和密钥协商参数gb,计算共享密钥KMN-FLMA=gab并保存;
步骤4.12:采用基于分级身份签名机制对地址配置策略文件、移动接入网关的身份信息、外地网络的本地移动锚生成的密钥协商参数和当前时间戳进行签名;
签名值
步骤4.13:将地址配置策略文件PFMN、移动接入网关的身份信息外地网络的本地移动锚生成的密钥协商参数gb、当前时间戳TS2和它们的签名值σ2一起由路由通告消息(router advertisement,RA)携带发送至移动节点MN;
步骤4.14:移动节点MN收到路由通告消息后,验证时间戳TS2的新鲜性,如果时间戳TS2新鲜,执行步骤4.15,如果时间戳TS2不新鲜,则双向接入认证失败;
步骤4.15:根据移动接入网关的身份信息和系统公共参数采用基于分级身份签名机制验证移动接入网关的签名σ2:如果验证正确,执行步骤4.16,如果验证不正确,则双向接入认证失败;
步骤4.16:根据地址配置策略文件PFMN进行IPv6地址配置,同时根据外地网络的本地移动锚生成的密钥协商参数gb计算共享密钥KMN-FLMA=gab并保存,完成双向接入认证;
步骤5:当移动节点在当前接入的外地网络中,由当前的移动接入网关切换到另一个移动接入网关时,进行切换认证;切换认证的示意图如图4所示,具体流程如图7所示;
步骤5.1:移动节点MN利用共享密钥KMN-FLMA对移动节点的地址配置信息MNInfo和时间戳TS3进行HMAC操作,生成一个计算值将移动节点的地址配置信息MNInfo、时间戳TS3和该计算值σ3一起由认证请求消息REQ携带发送至待接入的移动接入网关MAG2;
步骤5.2:待接入的移动接入网关MAG2收到移动节点MN发送的认证请求消息后,验证时间戳TS3的新鲜性,如果时间戳TS3新鲜,则从移动节点的配置信息MNInfo中提取出移动节点的家乡网络前缀HNPMN,如果时间戳TS3不新鲜,则发送接入失败信息至移动节点MN;
步骤5.3:移动接入网关将移动节点的家乡网络前缀由代理绑定更新消息(ProxyBinding Update,PBU)携带发送至外地的本地移动锚FLMA,并请求保存在绑定缓存中的移动节点MN与外地的本地移动锚FLMA间的共享密钥;
步骤5.4:外地网络的本地移动锚FLMA在收到待接入的移动接入网关发送的代理绑定更新消息后,提取出移动节点的家乡网络前缀HNPMN,从绑定缓存BCE中取出与移动节点MN对应的共享密钥KFLMA-MN,将移动节点的地址配置策略文件PFMN和共享密钥KFLMA-MN一起由代理绑定确认消息PBA携带发送至待接入的移动接入网关MAG2,同时更新绑定缓存BCE中移动节点MN的移动接入网关,将与移动节点绑定的移动接入网关由当前的移动接入网关MAG1切换到待接入的移动接入网关MAG2;
步骤5.5:待接入的移动接入网关MAG2收到外地网络的本地移动锚发送的代理绑定确认消息PBA后,利用从代理绑定确认消息中提取出的共享密钥KFLMA-MN和对进行HMAC操作生成的计算值σ3进行移动节点的身份合法性验证,即如果验证成功,则确认移动节点MN为合法接入用户,执行步骤5.6,否则,发送接入失败信息至移动节点MN;
步骤5.6:待接入的移动接入网关MAG2利用共享密钥,对移动节点的地址配置策略文件和时间戳进行HMAC操作,得出计算值并将移动节点的地址配置策略文件PFMN、时间戳TS4和计算值σ4一起由路由通告消息RA携带发送到移动节点MN,同时保存共享密钥KFLMA-MN;
步骤5.7:移动节点MN收到待接入的移动接入网关发送的路由通告消息后,验证时间戳TS4的新鲜性,如果时间戳TS4新鲜,则执行步骤5.8,如果时间戳TS4不新鲜,则切换认证失败;
步骤5.8:通过共享密钥KMN-FLMA验证待接入的移动接入网关生成的计算值σ4,即如果验证正确,则接入合法MAG2,执行步骤5.9,如果验证不正确,则切换认证失败;
步骤5.9:根据移动节点的地址配置策略文件PFMN进行IPv6地址配置,完成切换认证。
Claims (1)
1.一种基于分级身份签名的PMIPv6网络双向接入认证的方法,采用一种基于分级身份签名的PMIPv6网络双向接入认证系统,其特征在于:包括多个移动接入网关、多个本地移动锚、可信第三方服务器和多个移动节点,多个移动接入网关、多个本地移动锚、可信第三方服务器与多个移动节点形成PMIPv6网络;
所述移动接入网关是用于代替移动节点执行移动管理的实体,负责检测移动节点的连接和离开接入链路的移动以及向移动节点的本地移动锚的双向接入认证,验证接入的移动节点的合法性,并基于分级身份签名机制进行签名、验证签名和HMAC操作;
所述本地移动锚是PMIPv6网络内移动节点的家乡代理,用于管理移动节点的网络连接状态,本地移动锚具有PKG的功能;
所述可信第三方服务器是系统的根服务器,用于根据选择的安全参数生成系统公共参数并发布系统公共参数,并且为本地移动锚分配私钥;
所述移动节点是可以移动的电脑终端实体或者是可以使用网络地址的可移动的网络终端实体,移动节点不参与和移动相关的信令流程;
其特征在于:该方法包括以下步骤:
步骤1:各移动接入网关与其对应的本地移动锚建立可信信道,各移动接入网关、各本地移动锚、可信第三方服务器与各移动节点形成PMIPv6网络,PMIPv6网络内所有实体均支持基于分级身份签名机制;
所述可信信道为IPSec保护的移动接入网关与本地移动锚之间的通信;
步骤2:可信第三方服务器根据选择的安全参数生成系统公共参数并发布系统公共参数;
所述系统公共参数包括循环群G和循环群GT、双线性对循环群G上的基点g、基点g的α次幂g1、α是随机选取的属于Zq *、Zq *为1到q-1范围的正整数,q为可信第三方服务器选择的安全参数、属于循环群的g2和g3、向量U=(u1,u2),其中u1,u2属于循环群G、H1是字符集至Zq *的单向哈希函数;
步骤3:各移动节点在家乡网络时,可信第三方服务器根据本地移动锚的身份信息为本地移动锚分配私钥,本地移动锚根据移动节点的身份信息或移动接入网关的身份信息为移动节点或移动接入网关分配私钥;
所述本地移动锚的身份信息为网络地址标识符;
步骤4:当某移动节点离开家乡网络并首次接入到外地网络中的某个移动接入网关时,进行双向接入认证;
步骤4.1:移动节点生成密钥协商参数、地址配置信息和当前时间戳;
步骤4.2:移动节点利用自己的私钥对生成的密钥协商参数、地址配置信息和当前时间戳进行签名;
步骤4.3:移动节点发送接入认证请求消息至外地网络中的移动接入网关;
所述接入认证请求信息包括密钥协商参数、地址配置信息和当前时间戳及密钥协商参数、地址配置信息和当前时间戳的签名值;
步骤4.4:外地网络的移动接入网关收到移动节点发送的认证请求消息后,验证时间戳的新鲜性以防止重放攻击,如果时间戳新鲜,则从地址配置信息中提取移动节点的身份信息,执行
步骤4.5,如果时间戳不新鲜,则发送接入失败信息至移动节点;
步骤4.5:根据系统公共参数和移动节点的身份信息,采用基于分级身份签名机制来验证密钥协商参数、地址配置信息和当前时间戳的签名值:如果验证成功,则确认移动节点为合法接入用户,执行步骤4.6,否则,发送接入失败信息至移动节点;
步骤4.6:外地网络的移动接入网关发送代理绑定更新消息至外地网络的本地移动锚;
所述代理绑定更新消息包括从地址配置信息中提取出的移动节点的家乡网络前缀;
步骤4.7:外地网络的本地移动锚收到外地网络的移动接入网关发送的代理绑定更新消息后提取出移动节点的家乡网络前缀;
步骤4.8:在外地网络的本地移动锚的绑定缓存中检查是否已存在此家乡网络前缀的相关信息,如果绑定缓存中已存在此家乡网络前缀并且其所对应的移动节点与此次请求接入的移动节点不同,则向移动接入网关发送代理绑定确认消息,拒绝该移动节点接入;如果绑定缓存中不存在该家乡网络前缀则执行步骤4.9;
步骤4.9:选取一个随机数,计算密钥协商参数和共享密钥,并把共享密钥保存至绑定缓存中,为移动节点分配网络前缀,将网络前缀和地址配置信息保存到地址配置策略文件中;
步骤4.10:外地的本地移动锚将地址配置策略文件与密钥协商参数由代理绑定确认消息携带发送回外地网络的移动接入网关;
步骤4.11:外地网络的移动接入网络收到代理绑定确认消息后,提取出地址配置策略文件和密钥协商参数,计算共享密钥并保存;
步骤4.12:采用基于分级身份签名机制对地址配置策略文件、移动接入网关的身份信息、外地网络的本地移动锚生成的密钥协商参数和当前时间戳进行签名;
步骤4.13:将地址配置策略文件、移动接入网关的身份信息、外地的本地移动锚生成的密钥协商参数、当前时间戳和它们的签名值一起由路由通告消息携带发送至移动节点;
步骤4.14:移动节点收到路由通告消息后,验证时间戳的新鲜性,如果时间戳新鲜,执行步骤4.15,如果时间戳不新鲜,则双向接入认证失败;
步骤4.15:根据移动接入网关的身份信息和系统公共参数采用基于分级身份签名机制验证移动接入网关的签名:如果验证正确,执行步骤4.16,如果验证不正确,则双向接入认证失败;
步骤4.16:根据地址配置策略文件进行IPv6地址配置,同时根据外地网络的本地移动锚生成的密钥协商参数计算共享密钥并保存,完成双向接入认证;
步骤5:当移动节点在当前接入的外地网络中,由当前的移动接入网关切换到另一个移动接入网关时,进行切换认证;
步骤5.1:移动节点利用共享密钥对移动节点的地址配置信息和时间戳进行HMAC操作,生成一个计算值,将移动节点的地址配置信息、时间戳和该计算值一起由认证请求消息携带发送至待接入的移动接入网关;
步骤5.2:待接入的移动接入网关收到移动节点发送的认证请求消息后,验证时间戳的新鲜性,如果时间戳新鲜,则从移动节点的配置信息中提取出移动节点的家乡网络前缀,如果时间戳不新鲜,则发送接入失败信息至移动节点;
步骤5.3:移动接入网关将移动节点的家乡网络前缀由代理绑定更新消息携带发送至外地的本地移动锚,并请求保存在绑定缓存中的移动节点与外地的本地移动锚间的共享密钥;
步骤5.4:外地网络的本地移动锚在收到待接入的移动接入网关发送的代理绑定更新消息后,提取出移动节点的家乡网络前缀,从绑定缓存中取出与移动节点对应的共享密钥,将移动节点的地址配置策略文件和共享密钥一起由代理绑定确认消息携带发送至待接入的移动接入网关,同时更新绑定缓存中移动节点的移动接入网关,将与移动节点绑定的移动接入网关由当前的移动接入网关切换到待接入的移动接入网关;
步骤5.5:待接入的移动接入网关收到外地网络的本地移动锚发送的代理绑定确认消息后,利用从代理绑定确认消息中提取出的共享密钥和对进行HMAC操作生成的计算值进行移动节点的身份合法性验证,如果验证成功,则确认移动节点为合法接入用户,执行步骤5.6,否则,发送接入失败信息至移动节点;
步骤5.6:待接入的移动接入网关利用共享密钥,对移动节点的地址配置策略文件和时间戳进行HMAC操作,得出计算值,并将移动节点的地址配置策略文件、时间戳和计算值一起由路由通告消息携带发送到移动节点,同时保存共享密钥;
步骤5.7:移动节点收到待接入的移动接入网关发送的路由通告消息后,验证时间戳的新鲜性,如果时间戳新鲜,则执行步骤5.8,如果时间戳不新鲜,则切换认证失败;
步骤5.8:通过共享密钥验证待接入的移动接入网关生成的计算值,如果验证正确,则接入合法的待接入的移动接入网关,执行步骤5.9,如果验证不正确,则切换认证失败;
步骤5.9:根据移动节点的地址配置策略文件进行IPv6地址配置,完成切换认证。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201410163719.7A CN103957524B (zh) | 2014-04-23 | 2014-04-23 | 一种基于分级身份签名的PMIPv6网络双向接入认证系统及方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201410163719.7A CN103957524B (zh) | 2014-04-23 | 2014-04-23 | 一种基于分级身份签名的PMIPv6网络双向接入认证系统及方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN103957524A CN103957524A (zh) | 2014-07-30 |
CN103957524B true CN103957524B (zh) | 2017-03-29 |
Family
ID=51334727
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201410163719.7A Expired - Fee Related CN103957524B (zh) | 2014-04-23 | 2014-04-23 | 一种基于分级身份签名的PMIPv6网络双向接入认证系统及方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN103957524B (zh) |
Families Citing this family (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104883372B (zh) * | 2015-06-19 | 2018-11-16 | 中国电子科技集团公司第五十四研究所 | 一种基于无线自组织网的防欺骗和抗攻击的数据传输方法 |
CN105187398B (zh) * | 2015-08-12 | 2018-01-30 | 四川神琥科技有限公司 | 一种身份认证识别方法 |
CN105306466A (zh) * | 2015-10-29 | 2016-02-03 | 东莞酷派软件技术有限公司 | 服务业务的执行方法、服务业务的执行系统和移动终端 |
CN105376230B (zh) * | 2015-11-16 | 2018-05-04 | 东北大学 | 一种面向多层MAP的HMIPv6网络双向接入认证方法 |
CN106507355B (zh) * | 2016-12-07 | 2019-05-21 | 东北大学 | 一种基于身份代理签名的PMIPv6认证系统及方法 |
CN107181597B (zh) * | 2017-06-30 | 2020-02-07 | 东北大学 | 一种基于身份代理群签名的PMIPv6认证系统及方法 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101772000A (zh) * | 2008-12-31 | 2010-07-07 | 华为技术有限公司 | PMIPv6网络的激活跟踪控制的方法、系统和装置 |
CN102256236A (zh) * | 2011-06-08 | 2011-11-23 | 北京交通大学 | 一种分离映射机制下的移动性管理系统及方法 |
CN102547890A (zh) * | 2012-01-11 | 2012-07-04 | 中山大学 | 一种基于AAA服务器的代理移动IPv6的域内切换方法 |
CN103249025A (zh) * | 2013-05-23 | 2013-08-14 | 中国科学院计算机网络信息中心 | 一种PMIPv6环境中LMA动态发现方法 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8279807B2 (en) * | 2007-10-05 | 2012-10-02 | Panasonic Corporation | Communication control method, network node, and mobile terminal |
-
2014
- 2014-04-23 CN CN201410163719.7A patent/CN103957524B/zh not_active Expired - Fee Related
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101772000A (zh) * | 2008-12-31 | 2010-07-07 | 华为技术有限公司 | PMIPv6网络的激活跟踪控制的方法、系统和装置 |
CN102256236A (zh) * | 2011-06-08 | 2011-11-23 | 北京交通大学 | 一种分离映射机制下的移动性管理系统及方法 |
CN102547890A (zh) * | 2012-01-11 | 2012-07-04 | 中山大学 | 一种基于AAA服务器的代理移动IPv6的域内切换方法 |
CN103249025A (zh) * | 2013-05-23 | 2013-08-14 | 中国科学院计算机网络信息中心 | 一种PMIPv6环境中LMA动态发现方法 |
Non-Patent Citations (1)
Title |
---|
一种代理移动IPv6认证协议;周华春,张宏科,秦雅娟;《电子学报》;20081015;第36卷(第10期);1783-1880 * |
Also Published As
Publication number | Publication date |
---|---|
CN103957524A (zh) | 2014-07-30 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN103957524B (zh) | 一种基于分级身份签名的PMIPv6网络双向接入认证系统及方法 | |
CN101106452B (zh) | 移动ip密钥的产生及分发方法和系统 | |
CN100579304C (zh) | 利用密钥重定认证漫游移动节点的方法和装置 | |
Chuang et al. | SPAM: A secure password authentication mechanism for seamless handover in proxy mobile IPv6 networks | |
CN107071774A (zh) | 一种基于身份短群签名的vanet接入认证方法 | |
CN107493570B (zh) | 一种基于身份群签的pmipv6匿名接入认证系统及方法 | |
CN106961682B (zh) | 一种基于移动中继的群到路径移动切换认证方法 | |
CN110149214A (zh) | 无证书聚合签名的lte-r网络群组认证密钥协商方法 | |
CN108809637A (zh) | 基于混合密码的lte-r车-地通信非接入层认证密钥协商方法 | |
Cao et al. | G2RHA: Group-to-route handover authentication scheme for mobile relays in LTE-A high-speed rail networks | |
CN107181597A (zh) | 一种基于身份代理群签名的PMIPv6认证系统及方法 | |
CN110035037A (zh) | 安全认证方法、相关设备及系统 | |
CN101754219B (zh) | 标识分配和分离存储方法、标识替换传输方法及系统 | |
US20100106972A1 (en) | Signalling delegation in a moving network | |
Lai et al. | A secure blockchain-based group mobility management scheme in VANETs | |
CN107396350A (zh) | 基于sdn‑5g网络架构的sdn组件间安全保护方法 | |
CN106936833A (zh) | 一种基于混合加密和匿名群的内容中心网络隐私保护方法 | |
CN107204847A (zh) | 空天车地轨道专用网络接入认证与密钥协商协议和方法 | |
CN101895388B (zh) | 分布式动态密钥管理方法及装置 | |
CN105376230B (zh) | 一种面向多层MAP的HMIPv6网络双向接入认证方法 | |
CN106507355B (zh) | 一种基于身份代理签名的PMIPv6认证系统及方法 | |
CN102546523B (zh) | 一种互联网接入的安全认证方法、系统和设备 | |
CN102026190B (zh) | 异构无线网络快速安全切换方法 | |
CN102833747B (zh) | 分离机制移动性管理系统实现接入认证的密钥分发方法 | |
CN101198148B (zh) | 一种对移动终端进行信息分发的方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20170329 |
|
CF01 | Termination of patent right due to non-payment of annual fee |