CN105472609A - 航空通信nemo网络下基于安全互联的切换认证机制 - Google Patents
航空通信nemo网络下基于安全互联的切换认证机制 Download PDFInfo
- Publication number
- CN105472609A CN105472609A CN201510765972.4A CN201510765972A CN105472609A CN 105472609 A CN105472609 A CN 105472609A CN 201510765972 A CN201510765972 A CN 201510765972A CN 105472609 A CN105472609 A CN 105472609A
- Authority
- CN
- China
- Prior art keywords
- switching
- certification
- authentication
- nemo
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04B—TRANSMISSION
- H04B7/00—Radio transmission systems, i.e. using radiation field
- H04B7/14—Relay systems
- H04B7/15—Active relay systems
- H04B7/185—Space-based or airborne stations; Stations for satellite systems
- H04B7/18502—Airborne stations
- H04B7/18506—Communications with or from aircraft, i.e. aeronautical mobile service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0892—Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
Abstract
本发明公开了一种航空通信NEMO(Network?Mobility)网络下基于安全互联的切换认证机制。本发明包括:针对飞机飞行线路的固定性当飞机接入外域网时,向本地发送切换请求;将飞机上移动路由器身份的转接地址和网络前缀分开进行认证,避免了多余的认证步骤;判断飞机在外域网本地的切换状态,本地域间切换则进行宏认证,反之本地域内切换则进行微认证;本发明通过所提切换认证对于飞机路由身份的认证,保证了移动节点身份的安全性以及传输消息的私密性,减少了切换认证时延,避免了隧道压力,提高了航空通信过程的可靠性。
Description
技术领域
本发明涉及一种航空通信NEMO网络下的切换认证机制,基于安全互联技术有效解决了切换过程中身份的认证问题,属于航空无线通信技术领域。
背景技术
国际民航组织ICAO(InternationCivilAviationOrganization)已经将IPv6作为未来基于IP的航空通信网络ATN基础协议。在分层ATN网络环境下的通信主要是飞机驾驶员与地面控制中心之间的数据报文交换,其对于时效性以及安全性有极高的要求。IETF(InternetEngineeringTaskForce)的NEMO工作组成立于2002年10月,该工作组针对NEMO网络提出了NEMO基本协议,即RFC3963。作为MIPv6(MobileIPv6)协议的扩展协议,NEMO基本协议可支持网络移动性,而MIPv6只用于单个移动主机的移动性管理。
NEMO基本协议在保证移动网络漫游过程中会话连续性的同时,也继承了MIPv6的缺点,即所有的数据报文的交换都必须通过家乡代理HA(HomeAgent),这导致了通信对端之间会话时延的增加,特别是在ATN网络中由于航空通信大区域切换的特点导致HA与本地通信网络的距离很远,当HA不可达时就会引起单点失效(SinglePointFailure)问题。除此之外,NEMO基本协议对于节点或者路由器身份的认证、授权和计费没有详细概述,使得其不能直接适用于航空ATN网络。再者,航空通信以及切换过程中,消息报文的发送、传输以及接受过程中,存在各种各样的威胁及安全攻击,如数据窃取、消息伪造和中间人攻击等等,因此NEMO网络下移动节点身份的私密性以及报文数据传输的安全性问题制约着航空通信的发展。
在NEMO基本协议中,每一个移动路由器MR(MobileRouter)都有一个具有身份标识的网络前缀MNP并且在通信过程中不会随接入的外域网而改变,进行数据报文交流的通信节点CN(CorrespondentNode)对应有CNP(CorrespondentNodePrefix)。当飞机切换到外域网并接入本地的接入路由器AR(AccessRouter)后,外域网分配给飞机上MR一个转接地址CoA,然后MR与HA进行绑定更新BU(BindingUpdate)和绑定确认BA(BindingAcknowledge)来注册MR的身份信息和更新其实时位置。
目前,对于NEMO网络中身份认证的方法,目前主要是通过证书和对称加密算法来对于身份信息进行加密和传输,但是在航空ATN网络下,这种认证方式的实施和部署存在问题:1、航空ATN通信环境具有在地理上大区域切换的特点,造成本地域与家乡域网络距离很大,在进行信令交互过程中,报文数据的传输时延会加大,导致认证时延的增加;2、航空通信过程中,飞机在固定线路上高速行驶,为了保持会话的连续性,切换过程中需要降低丢包率,而传统的切换过程会在PAR和NAR之间建立双向隧道存储切换过程发送的数据报文,由于隧道存储能力有限,会增加数据的丢失;3、航空NEMO网络并没有详细的部署AAA服务器进行节点路由的认证和授权,由于航空通信的带宽和存储能力有限,所以假如直接把传统认证方式应用到ATN网络中,会增加认证过程的开销,导致认证时延的增加。
基于以上问题,本发明提出了一种航空通信NEMO网络下基于安全互联的切换认证机制,有效的解决了飞机切换过程中身份认证的安全性问题。
发明内容
鉴于在上述场景下传统认证方式无法直接应用于航空高速环境下节点身份认证问题,本发明提出了一种航空通信NEMO网络下基于安全互联的切换认证机制,根据飞机切换域的不同分为宏认证和微认证:
(1)当飞机在不同AR之间进行切换时,进行宏认证,认证步骤如下:
飞机发送切换请求之后,飞机上MR发送一个由自身私钥签署的FBU(FastBindingUpdate)消息给PAR,FBU消息中包含MR的安全互联信息SAMR,证书信息CERTMR以及随机数NMR。PAR接收到FBU消息后,不经处理,将其转发给飞机要切换接入的NAR,此时消息定义为HI(handoverinitiate)。NAR收到消息后,同样不经处理,转发LAAA(LocalAAA)服务器进行CoA认证的信令交换CoTI/CoT。
LAAA首先根据CoA信息利用预共享安全互联消息中的MR的公钥将收到的消息进行解密,获得NMR,然后利用单向的哈希函数通过公式1计算生成转接密钥kMR:
NAR收到CoT消息后,首先通过预共享安全互联消息中的LAAA的公钥将其解密,然后自己产生一个随机数NNAR,通过公式2计算生成密钥kSK:
kSK=H(NNAR|NMR|RPI)(公式2)抗重放指标RPI(ReplayProtectionIndicator)代表NAR的ID或者进行计算时的时间戳。NAR然后发送Hack消息给PAR,包含NMR、RPI、NNAR以及签名消息SM1,其中SM1是由kSK签署,包含NAR的证书CERTNAR、kMR和SANAR。PAR接收到Hack之后,不做处理并将其定义为FBack转发给MR,MR用公钥解密FBack消息后,通过公式2生成kSK,然后解密签名消息SM1,得到kMR,并证明其地址的正确性。此时,转接地址CoA认证完成。
然后MR进行MNP认证,MR发送BU消息给LAAA,其中AMR和ALAAA是由MR和LAAA支持的加密算法,SM2是由MR私钥计算而来的签名消息,S是一系列的随机数。LAAA收到BU之后进行解密,得到NMR和IS,IS可以指出之前步骤中的值,根据BU消息的CoA地址,利用公式1产生kMR来确认BU消息的合法性,然后如果LAAA能通过CERTMR中MR的公钥成功解密签名消息SM2,那么可以证明MNP的合法性。
LAAA在证明MNP合法之后,产生一个随机的对称家乡密钥kSH并发送由LAAA私钥签署的BA消息给MR。SM3是由LAAA私钥计算而来的签名消息,用来保证CNP的合法性,kSH由kMR签署。MR收到BA消息之后,通过CERTLAAA中的公钥来解密SM3确认消息合法性,之后永久存贮kSH。宏认证结束。
(2)当飞机在同一AR域内进行切换时,进行微认证,认证步骤如下:
飞机发送切换请求之后,跟宏认证一样,MR发送FBU消息给NAR,NAR与LAAA之间进行CoTI/CoT交换进行CoA认证,得到kMR,然后NAR和MR3之间进行HI/Hack信息交换,得到NMR3、SAMR3和CERTMR3,然后NAR通过公式3计算产生kSK:
kSK=H(NMR3|NMR|RPI)(公式3)然后NAR发送由其私钥签署的FBack消息给MR,包含由kSK签署的签名消息SM1、CERTMR3、SAMR3和kMR,MR解密FBack消息之后,得到kMR,CoA认证结束。
由于在域内切换过程中,MNP不发生变化,所以此时的MNP认证与之前有所不同,对称的家乡密钥kSH作为会话密钥利用公式4产生密钥kS:
kS=H(kMR|kSH)(公式4)kS用来计算BU中的利用ALAAA生成的签名消息SM2,此时的BU中不包含任何的证书和签名,因为这在之前的宏认证中已经得到认证。假如LAAA能够确认SM2,那么MR的新CoA也被认定合法,LAAA发送BA消息给MR,MNP认证结束,微认证也同样结束。
上述切换认证机制对于NEMO内部的网络拓扑结构没有特殊的限定,同样也适用于嵌套环境下的航空NEMO网络。
本发明提出的一种航空NEMO网络下的切换认证方案,基于安全互联技术,地面实体之间预先共享证书及密钥,根据飞机切换网络的不同相应采取合适的身份认证方式,有效解决了切换过程中身份认证问题。本发明相较现有的身份认证方案主要有以下优点:
(1)有效的避免了三角路由问题,切换认证过程中,报文数据只在本地实体之间传递,不用经过家乡代理,也同样解决了由于家乡代理不可达而造成的单点失效问题;
(2)网络前缀MNP和转交地址CoA采取不同方式分开认证,既保证安全性又减少了域内切换过程不必要的认证步骤,减少了认证开销;
(3)认证过程中,产生密钥所需要的信息都是来自本地,而且服务器在认证过程中并不需要存储密钥;
(4)有效的消除切换过程中隧道的产生以及由于隧道容量有限而造成的存储数据报文的丢失;
(5)本发明方案同样适用于嵌套NEMO的网络拓扑结构。
附图说明
图1是本发明航空网络拓扑图。
图2是本发明切换认证过程的流程图。
图3是本发明切换认证过程宏认证的数据报文交换的流程图
图4是本发明切换认证过程微认证的数据报文交换的流程图
具体实施方式
下面通过附图和实施例,对本发明进行详细阐述。
本实施例结合图1和图2说明本发明方案的具体流程,该方法包括:
步骤201:飞机在固定线路上接入外域网时,向本地发送切换请求;
飞机二层切换触发后,MR发送RtSolPr(RouterSolicitationforProxyAdvertisement)给NAR,然后NAR发送PrRtAdv(ProxyRouterAdvertisement)返回给MR。
步骤202:飞机判断发生的切换是域内切换还是域间切换;
判断飞机发生的切换是在不同AR之间,还是在同一AR的不同MR之间,前者属于域内切换,后者属于域间切换;
步骤203:宏认证;
假如飞机发生的是域间切换,即接入的是不同的AR,则进行宏认证,需要对于MR的CoA和MNP都需要进行认证;
步骤204:微认证;
假如飞机发生的是域内切换,即同一AR域内在不同的路由器之间切换,则进行宏认证,由于之前已经确认MNP合法身份,则此时只需要对于CoA进行认证;
步骤205:宏认证中采用CoTI/CoT对于CoA的验证;
图3中详细说明了宏认证中CoTI/CoT的信令流程图,最终得到通过公式1产生的密钥kMR完成对于CoA的验证;
步骤206:宏认证中采用BU/BA对于MNP的验证;
图3中详细说明了BA/BU的信令流程图,最终得到kSH完成对于MNP的验证,此时宏认证结束;
步骤207:微认证中采用CoTI/CoT对于CoA的验证;
图4中详细说明了微认证中CoTI/CoT的信令流程图,最终得到通过密钥kMR完成对于CoA的验证;
步骤208:微认证中采用BU/BA完成密钥生成;
图4中详细说明了微认证中BU/BA的信令流程图,最终通过公式4生成密钥kS,并完成对于MR身份认证。
Claims (5)
1.航空通信NEMO网络下基于安全互联的切换认证机制,其特征在于:
航空ATN(aeronauticaltelecommunicationsnetwork)通信网络中的节点承载ATS(AirTrafficServices)和AOC(AirlineOperationalCommunications)数据业务,并且对于通信过程的安全性要求较高;
对于网络前缀MNP(MobileNetworkPrefix)的认证采用链状的公钥证书结构和对称加密算法,对于转交地址CoA(Care-of-Address)的认证采用转交测试初始化CoTI(Care-ofTestInit)和转交测试CoT(Care-ofTest)。
切换过程中的所有认证都是本地认证,即进行密钥处理时的身份信息都是本地提取,无需与家乡网络进行信息交流,本地AAA(Authentication,AuthorizationandAccounting)服务器也无需存储生成的密钥;
飞机接入外域网向本地发送切换请求时,第一步,首先确认飞机是否接入新的接入路由器AR(AccessRouter),进而断定飞机的切换过程是发生在不同的外域网之间还是同一外域网内;第二步,根据切换范围的不同,在进行认证时选择对应的方式,如果从之前的接入路由器PAR(PreviousAccessRouter)到新接入路由器NAR(NewAccessRouter)则采取宏认证,如果是在同一AR下的不同MR之间切换,那么采取微认证。
2.根据权利要求1所述的航空NEMO切换认证机制,其特征在于,将CoA和MNP分开进行认证。
3.根据权利要求1所述的航空NEMO切换认证机制,其特征在于,认证过程的信令传输只在本地进行,而不用通过家乡代理,避免三角路由问题。
4.根据权利要求1所述的航空NEMO切换认证机制,其特征在于,家乡代理、接入路由器和AAA服务器等地面实体之间预先建立安全互联SA(SecurityAssociations),共享密钥和证书等安全信息。
5.根据权利要求1所述的航空NEMO切换认证机制,其特征在切换认证的过程避免了隧道的压力,减少了丢包率。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201510765972.4A CN105472609A (zh) | 2015-11-11 | 2015-11-11 | 航空通信nemo网络下基于安全互联的切换认证机制 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201510765972.4A CN105472609A (zh) | 2015-11-11 | 2015-11-11 | 航空通信nemo网络下基于安全互联的切换认证机制 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN105472609A true CN105472609A (zh) | 2016-04-06 |
Family
ID=55609792
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201510765972.4A Pending CN105472609A (zh) | 2015-11-11 | 2015-11-11 | 航空通信nemo网络下基于安全互联的切换认证机制 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN105472609A (zh) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106792518A (zh) * | 2016-12-06 | 2017-05-31 | 北京邮电大学 | 航空通信nemo网络下多播服务的无缝切换机制 |
CN108540978A (zh) * | 2017-03-06 | 2018-09-14 | 波音公司 | 安全的多有效载荷天线操作器操作 |
CN108881285A (zh) * | 2018-07-17 | 2018-11-23 | 湖北理工学院 | 一种基于互联网网络安全的大数据实施控制系统 |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1556662A (zh) * | 2004-01-06 | 2004-12-22 | 北京邮电大学 | 基于移动ip的移动节点实现无缝切换的方法 |
CN1849840A (zh) * | 2003-09-12 | 2006-10-18 | 株式会社Ntt都科摩 | 安全域内和域间切换 |
CN101047560A (zh) * | 2006-06-06 | 2007-10-03 | 华为技术有限公司 | 一种多主机架构下的移动ip管理系统及方法 |
CN102355663A (zh) * | 2011-06-30 | 2012-02-15 | 北京交通大学 | 基于分离机制网络的可信域间快速认证方法 |
CN102448190A (zh) * | 2011-11-23 | 2012-05-09 | 中山大学 | 一种改进的分层移动IPv6的通信方法 |
CN103024720A (zh) * | 2012-12-15 | 2013-04-03 | 天津大学 | 6LoWPAN的网络移动性管理方法 |
-
2015
- 2015-11-11 CN CN201510765972.4A patent/CN105472609A/zh active Pending
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1849840A (zh) * | 2003-09-12 | 2006-10-18 | 株式会社Ntt都科摩 | 安全域内和域间切换 |
CN1556662A (zh) * | 2004-01-06 | 2004-12-22 | 北京邮电大学 | 基于移动ip的移动节点实现无缝切换的方法 |
CN101047560A (zh) * | 2006-06-06 | 2007-10-03 | 华为技术有限公司 | 一种多主机架构下的移动ip管理系统及方法 |
CN102355663A (zh) * | 2011-06-30 | 2012-02-15 | 北京交通大学 | 基于分离机制网络的可信域间快速认证方法 |
CN102448190A (zh) * | 2011-11-23 | 2012-05-09 | 中山大学 | 一种改进的分层移动IPv6的通信方法 |
CN103024720A (zh) * | 2012-12-15 | 2013-04-03 | 天津大学 | 6LoWPAN的网络移动性管理方法 |
Non-Patent Citations (2)
Title |
---|
汤红波等: "PMIPv6中基于安全关联的移动网络本地轻型认证机制", 《上海交通大学学报》 * |
陆丽华: "网络移动性管理关键技术的研究", 《中国优秀硕士学位论文全文数据库信息科技辑I136-54》 * |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106792518A (zh) * | 2016-12-06 | 2017-05-31 | 北京邮电大学 | 航空通信nemo网络下多播服务的无缝切换机制 |
CN108540978A (zh) * | 2017-03-06 | 2018-09-14 | 波音公司 | 安全的多有效载荷天线操作器操作 |
CN108540978B (zh) * | 2017-03-06 | 2023-07-14 | 波音公司 | 安全的多有效载荷天线操作器操作 |
CN108881285A (zh) * | 2018-07-17 | 2018-11-23 | 湖北理工学院 | 一种基于互联网网络安全的大数据实施控制系统 |
CN108881285B (zh) * | 2018-07-17 | 2021-04-02 | 湖北理工学院 | 一种基于互联网网络安全的大数据实施控制系统 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Chuang et al. | SPAM: A secure password authentication mechanism for seamless handover in proxy mobile IPv6 networks | |
CN107181597B (zh) | 一种基于身份代理群签名的PMIPv6认证系统及方法 | |
CN106961682B (zh) | 一种基于移动中继的群到路径移动切换认证方法 | |
CN107920350A (zh) | 一种基于sdn的隐私保护切换认证方法、5g异构网络 | |
Chuang et al. | A lightweight mutual authentication mechanism for network mobility in IEEE 802.16 e wireless networks | |
Fu et al. | Fast and secure handover authentication scheme based on ticket for WiMAX and WiFi heterogeneous networks | |
Kim et al. | DMM-SEP: Secure and efficient protocol for distributed mobility management based on 5G networks | |
KR20080019978A (ko) | 이동환경에서의 듀얼 인증 방법 | |
Haddad et al. | Privacy-preserving intra-MME group handover via MRN in LTE-A networks for repeated trips | |
CN105472609A (zh) | 航空通信nemo网络下基于安全互联的切换认证机制 | |
Chuang et al. | SF-PMIPv6: A secure fast handover mechanism for Proxy Mobile IPv6 networks | |
Singh et al. | A privacy-preserving authentication protocol with secure handovers for the LTE/LTE-A networks | |
CN108495311B (zh) | 基于中继站辅助的高速列车目标基站的安全切换方法 | |
Zmezm et al. | Pre-authentication design for seamless and secure handover in mobile WiMAX | |
Li et al. | A ticket-based re-authentication scheme for fast handover in wireless local area networks | |
Haddar et al. | Securing fast pmipv6 protocol in case of vertical handover in 5g network | |
Zhao et al. | A relay-assisted secure handover mechanism for high-speed trains | |
Syahputri | Fast and secure authentication in IEEE 802.11 i wireless LAN | |
Taha et al. | Formal analysis of the handover schemes in mobile WiMAX networks | |
Mathi et al. | A secure and decentralized registration scheme for IPv6 network-based mobility | |
Mayuri et al. | A novel secure handover mechanism in PMIPV6 networks | |
You et al. | ESS-FH: Enhanced security scheme for fast handover in hierarchical mobile IPv6 | |
Ameur et al. | A lightweight mutual authentication mechanism for improving fast PMIPV6-based network mobility scheme | |
Bauer | A secure correspondent router protocol for NEMO route optimization | |
Qachri et al. | A formally verified protocol for secure vertical handovers in 4G heterogeneous networks |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
WD01 | Invention patent application deemed withdrawn after publication | ||
WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20160406 |