基于IPSec的快速切换与认证融合方法

专利名称：基于IPSec的快速切换与认证融合方法
技术领域：
本发明属于网络安全领域，涉及到移动IPv6网络中移动节点和通信对端在通信过 程中发生链路切换时的一种解决通信和注册安全的认证方法，尤其是基于IPSec的快速 切换与认证的融合方法。
背景技术：
在移动IP技术当中，基于IPv6协议组网在支持移动性，解决安全性问题，实现高服 务质量，以及提供足够的地址空间等方面有着IPv4协议无法比拟的优势。互联网工程 工作组IETF在IPv6的基础上于2004年6月正式提出移动IPv6协议，RFC3775。该协议在 支持移动性，解决安全性问题，实现高服务质量，以及提供足够的地址空间等方面有 着比IPv4协议更大的优势。但由于Internet本身的安全机制较为脆弱，再加上无线网络 传输媒体的开放性、移动终端的大范围移动性、拓扑结构的动态性和移动设备存储资 源和计算资源的有限性，使得移动IP网络比有线网络更容易受到安全威胁；同时由于 移动设备在存储能力、计算能力和电源供电时间方面的局限性，也使得原来在有线环 境下的许多安全方案和安全技术不能直接应用于无线环境。这种在移动设备和传输媒 介方面的特殊性，使得一些攻击更容易实施，对移动网络的安全保护既表现为系统安 全防护的困难性，也表现为网络通信安全实现的困难性。
但在移动IPv6网络中，普遍存在移动节点的切换和漫游问题，如果一个移动节点 MN在本地网络与通信对端节点CN通信时，由于MN的移动性要进行网络切换，即从本 地网络切换到邻接的异地网络，为了提高网络效率，必须进行路由优化。这时移动节 点必须完成如下几个动作才能维持正在进行的通信的连续性
1) 从邻接的网络获得新的转交地址并与新接入网络的代理进行注册和双向认证， 以获得使用异地网络的权限；
2) 在切换完成之前，本地代理要能够缓存CN发来的数据包，以防止由于链路切 换而导致的丢包；
3) 移动节点与邻接网络注册后，要向其家乡网络中的代理和通信对端进行绑定更 新。并且本地代理将缓存数据包通过新网络代理转发给移动节点。
之后，通信对端与移动节点将基于新的转交地址进行通信。
针对以上问题，人们提出了快速切换、层次移动IPv6等技术来提高这一过程的效率，但不能解决这一过程中的相关安全性问题。
目前，还没有公认的适合现有移动IPv6网络的保密和鉴别体系，这是因为目前的 移动网络安全保密标准主要是针对无线局域网的IEEE802.11i和我国的WAPI标准，这种 针对链路层和端口设计的协议不适合大规模分布式的移动IPv6网络。
就IPv6网络而言，IPSec协议是非常优秀的，在IPv6协议中强制实施，能提供非常 好的安全性和可操作性。它是指IETF以RFC形式公布的一组标准安全IP协议集，提供IP 包级安全，其基本目的就是把密码学的安全机制引入IP协议，通过使用现代密码学方 法为IPv4和IPv6提供可互操作、高质量、基于密码学的安全，并能够使用户能有选择地 使用，得到所期望的安全服务。IPSec将几种安全技术结合形成一个完整的安全体系， 最终能提供端到端的安全保护，其安全体系结构如图l所示，包括四个基本模块
① 业务流安全协议模块包括ESP协议和AH协议，用于保护IP数据报的机密性、 完整性、认证性。该模块依据已创建的安全关联，选择适合的协议和算法对数据报进 行保护。
② 安全关联与安全策略管理模块对安全关联和安全策略进行管理，包括安全策
略数据库SPD、安全关联数据库SAD和授权对端数据库PAD。用于阐明IPSec功能是什 么、怎样工作、如何管理及其相关的处理过程。
③ 密钥交换模块自动的或手动的密钥交换。用于实现认证、创建通信实体之间 的安全关联SA。
④ 认证与加密模块用于提供业务流安全协议和密钥交换IKE所使用的各种加密和 认证算法。
通过IP安全协议和密钥管理协议的结合构建起IP层安全体系结构的框架，能保护所 有基于IP的服务或应用，及其上层协议的安全。IPSec的引入为网络安全所要求的机密 性、完整性、认证性、可用性和不可否认性等重要属性的实现提供了适合的服务机制。 在IPv6数据报中，AH及ESP均为扩展报头，既可同时使用，也可单独使用，它们共同 作用，以提供访问控制、数据源认证、无连接数据完整性、抗重播、数据机密性和有 限的通信流量机密性等安全服务、
早期的IPSec由RFC2401等一系列文档组成的协议簇构成，随着研究的深入和应用 的需求，人们针对IPSec的复杂性问题，做了进一步修改，并由RFC4301等一系列的RFCs 文档重新定义了IPSec，其中最为典型的改进是将密钥交换协议IKE升级到了IKEv2版 本。IKEv2协议用于根据安全策略在通信的发起方和响应方之间创建用于保护数据报的 安全关联IPSec/SA。IKEv2协议的四条消息如下
① 发起方I向响应方R发送IKE/SA初始消息(Ni， SAil， KEi};
② 响应方R向发起方I发送IKE/SA响应消息([CERTREQ]， Nr， SArl， KEr};
③ 发起方I向响应方R发送IKE/AUTH初始消息《IDi, [CERT]， [CERTREQ]， AUTH， SAi2};
④ 响应方R向发起方I发送IKE/AUTH响应消息(IDr， [CERT], AUTH， SAr2}。 在以上四条消息中，每一条消息都有一个消息头HDR，该消息头包括安全参数索
引SPI、 IKE协议的版本号、其它各种标志。在后两条消息中包括发起者和响应者的选 择符TSi和TSr。它们不是影响密钥交换的主要载荷，因此为简便起见在消息描述中省 略了这些消息成份。在以上四条消息中，SAil为可供选择的IKE/SA算法提议，SArl为 响应方选择的IKE/SA算法，SAi2为可供选择的IPSec/SA算法提议，SAr2为响应方选择 的IPSec/SA算法，KEi为发起方的Diffie-Hellman密钥交换参数，KEr为响应方的 Diffie-Hellman密钥交换参数。
IKEv2协议的前两条消息通过DH密钥交换创建IKE/SA，用于保护后两条消息。后 两条消息用于创建保护数据报的IPSec/SA。然而就移动IPv6网络而言，IPSec及其密钥 交换模块子协议IKEv2仍然存在以下不足
1. IPSec仅限于固定网络的使用，在移动IP环境中很难应用，移动IPv6仅在移动节 点MN和家乡代理HA之间使用IPSec来保护信令；
2. IPSec不能提供对移动IPv6网络中MN切换过程进行认证的功能；
3. IKEv2协议的前两条消息未受到保护，容易受中间人攻击；
因此，为了使用具有高安全性的IPSec协议保护移动IPv6网络中移动节点切换过程 中的认证问题，必须针对安全、性能和可行性等方面的需求设计新的方法。

发明内容
本发明的目的是提供一种基于IPSec的快速切换与认证融合方法，用于解决移动 IPv6网络中移动节点和通信对端在通信过趕中发生链路切换时的一种解决通信和注册 安全的认证方法。
本发明的目的是这样实现的，基于IPSec的快速切换与认证融合方法，其方法特征 是移动节点与通信对端采用基于家乡地址IPSec协议和快速层次移动IPv6协议进行通 信；移动节点采用固定的家乡地址；网络节点针对家乡地址进行证书授权；移动节点 在向移动锚点接入注册时，与MAP建立IPSec连接；在相邻MAP之间构建IPSec连接；
移动节点在发生链路切换时包括域内切换和域间切换。所述的域内切换包括
1) 当移动节点检测到要切换时，向MAP发送路由请求消息，该消息包括临近的新 接入路由器链路层地址；
2) MAP回应通告消息，该消息包括能够生成MN新的链路转交地址的NAR前缀信
息；
3) 移动节点生成新的链路转交地址，利用移动节点与MAP之间的IPSec发送快速 绑定更新FBU到MAP，将原链路转交地址与新接入路由器的IP地址绑定；
4) MAP收到快速绑定更新FBU后发送切换初始化消息HI到建立双向隧道，新接入 路由器收到消息后为移动节点建立一个主机路由条目，并返回切换初始化确认消息给 MAP， MAP绑定确认消息给移动节点断开链路，然后通过隧道向新的链路转交地址转 发数据包； '
5) 移动节点移动至新接入路由器下收到路由通告，发送FNA消息到新接入路由器 告知自己已到新接入路由器下，新接入路由器将MAP转发来的数据包发送至移动节点；
6) 移动节点发送本地绑定更新到MAP，告知新的链路转交地址，该消息使用移动 节点与MAP之间的安全关联保护；
7) MAP返回绑定确认消息。 所述的域间切换包括-
1) 当移动节点检测到要切换时，选择随机数Ni，向OMAP发送路由请求消息、 IKE/SA安全关联算法提议SAU、移动节点的Di伍e-Hellman密钥交换参数KEi、移动 节点的证书CERT副，随机数Ni，以及MN对SAil 、 KEi、 CERTmn和Ni的签名Sig顧， 该消息用移动节点与OMAP间IPSec/SA保护；
2) 本地锚点收到消息后向新接入锚点发送切换初始化消息HI，并将SAi、 KEi、 CERT刚、Ni和Sig固一起发送到NMAP处，该消息通过OMAP与NMAP之间的 IPSec/SA保护；
3) NMAP对CERTMN验证后，为证书中的IP地址创建绑定缓存列表，将切换通 告信令发送到NMAP域的新接入路由器，然后选择随机数，向OMAP发送切换初始化 确认消息，IKE/SA所使用的安全关联算法SArl， NMAP的Diffie-Hellman密钥交换参 数KEr， NMAP的证书CERT顧ap，随机数Nr，以及NMAP对SArl、 KEr、 CERTNMAP 和Nr的签名SigNMAP，该消息通过OMAP与NMAP之间的IPSec/SA保护；
4) OMAP回应移动节点通告消息PrRtAdv，该消息包括能够生成移动节点新的链 路转交地址的NAR前缀信息，并转发SArl、 KEr、 CERTNMAP、 Nr和SigNMAp给移动
7节点；
5) 移动节点在收到路由通告消息PrRtAdv后，根据前缀信息生成新的链路转交地 址NLCoA和新的区域转交NRCoA，同时在验证CERTnmap后根据KEr计算MN与 NMAP之间的共享密钥SK，创建了IKE/SA;
6) 移动节点发送快速绑定更新到OMAP，将家乡地址与新链路转交地址进行绑定， OMAP收到FBU后开始为移动节点数据包开辟缓存空间，将发往移动节点的数据包进 行缓存，转发FBU及缓存的数据包到NMAP，并返回绑定确认消息FBAck;
7) 移动节点断开与源链路的连接，进入新的网络；
8) 移动节点切换到新的位置后，在切换前建立的IKE/SA的保护下，立即向NMAP 进行绑定注册，将其新的链路转交地址NLCoA与家乡地址HoA进行绑定，发送通信 对端CN的证书CERTcn给NMAP，并创建移动节点与NMAP之间的IPSec/SA;
9) NMAP收到绑定更新消息和CN证书，验证后，发送本地绑定确认消息LBAck 至移动节点，该消息用NMAP和移动节点之间新建立的IPSec/SA保护，并将从OMAP 收到的发网移动节点的缓存数据转发给移动节点；
10) 移动节点向OMAP和HMAP发送绑定更新消息，将新区域转交地址和家乡地 址绑定，OMAP和HMAP收到后返回绑定确认消息，这些消息分别用移动节点与OMAP 和HMAP之间建立的IPSec/SA保护；
11) MN向通信对端CN发送绑定更新消息，该消息用它们之间基于家乡地址建立 的IPSec/SA保护；
12) CN返回绑定确认消息，并以移动节点的新区域转交地址为目的地址将数据报
直接发送给移动节点。
本发明具有如下优点
1. 本发明的切换认证方法采用针对移动节点家乡地址进行授权的证书和数字签名 的方式实现MN对新接入移动锚点NMAP的注册，MN和NMAP之间实现了双向身份 认证，克服了IKEv2协议中前两条协议未受保护的不足，提高了安全性。
2. 本发明的切换认证方法中，MN和CN之间基于家乡地址建立IPSec/SA，使得在 移动切换过程中不需要重新建立IPSec连接，只需要使用该IPSec进行绑定更新，同时 所采用的通信机制是将层次移动IPv6与快速切换相融合的方式，从而减少了切换延时， 具有较高的效率。
3. 本发明的切换认证方法由于通过以OMAP为半可信代理，在相邻MAP之间预 先创建IPSec连接，以及弱化HMAP的功能，很好地实现了将快速切换与认证的融合。
8


下面结合实施例附图对本发明作进一步说明。 图l是本发明实施例说明图； 图2是域内切换说明图； 图3是域间切换说明图。
具体实施例方式
参照图l，本发明给出的基于IPSec的快速切换与认证融合方法中，所采用的通信 机制是将层次移动IPv6与快速切换相融合的方式。采用层次型移动IPv6的特点是移动节 点在切换时可以减少与家乡代理和通信对端绑定更新注册的次数，提高切换效率。在 每一区域内设置一个移动锚点(MAP)，它可以是层次型MIPv6网络中的任何层次的路由 器(包括子网的接入路由器)，在家乡网络时移动锚点称为家乡锚点(HMAP),在本地网 络时称为本地锚点OMAP，移动节点要切换的新的网络的锚点称为新接入锚点(NMAP), 这些锚点具有移动代理的功能，并管理移动节点在锚点所在域和域间的切换操作。每 一个MAP域内包含若干个接入路由器AR，如图 AR1和AR2给出了两个接入路由器， 只是为了说明本发明的思想。
移动节点MN采用固定家乡地址，网络节点是针对家乡地址进行证书授权。移动 节点在家乡网络注册时，与HMAP (家乡代理)建立IPSec连接。在相邻MAP之间构建 IPSec连接，如在OMAP与NMAP之间构建IPSec连接。
快速层次移动IPv6的原理是移动节点MN在MAP域内时釆用域内切换机制，跨 MAP域时采用域间快速切换机制。MN有两个转交地址， 一个是域内链路转交地址 LCoA，仅在MAP域内有效， 一个是区域转交地址RCoA，全网有效，MN与CN的通信 采用RCoA进行路由，域内切换时，仅切换LcoA (关于链路转交地址LcoA和区域转交 地址RCoA具体的定义在HMIPv6协议内都有公开说明，在这不作过多说明)。从而这种 切换对CN透明，域间切换时则需要同时切换两类转交地址。
由于引入层次移动IPv6，因此节点在移动的时候可根据位置来确定节点是否要向 通信对端和HMAP (家乡代理)发送绑定更新消息。如果移动节点在一个代理域内， 移动节点移动到不同的链路上，则无需向家乡代理和通信对端进行绑定更新。若超出 某一代理域范围，则必须向家乡代理和通信对端进行绑定更新。因此，我们把切换注 册分两种情况域内切换和域间切换。
参照图2给出域内切换示意图说明，在本发明所述的域内切换中，移动节点只切换 链路，不离丌其本地网络，对域外属于透明操作。在域内切换可采用快速层次制，提高切换效率。步骤如下
步骤l，当MN (移动节点)检测到要切换时，也就是移动节点处在本地接入路由 器和新接入路由器之间的位置(参见图1中的AR1和AR2)， MN向MAP发送路由请求消 息(RtSolPr)，该消息包括临近的新接入路由器(NAR)链路层地址。
歩骤2， MAP回应路由通告消息(PrRtAdv)，该消息包括能够生成MN新的链路转交 地址(NLCoA)的NAR前缀信息；这里MAP知道NAR的链路地址和网络前缀等信息。
歩骤3， MN (移动节点)生成新的链路转交地址NLCoA，利用(移动节点)MN 与MAP之间的IPSec发送快速绑定更新FBU到MAP,将原链路转交地址(LCoA)与新接入 路由器NAR的IP地址绑定；该绑定更新用于通知MAP将目的地址为LCoA的数据包转发 给NAR。
歩骤4， MAP收到快速绑定更新后发送切换初始化消息HI到NAR建立双向隧道， NAR收到消息后为MN建立一个主机路由条目，并返回切换初始化确认消息HAck给 MAP和绑定确认消息FBAck给MN，断开链路，然后通过隧道向NAR转发数据包；此时， 在MAP与NAR间存在一条隧道用来转发至MN的数据包。转发到MN的数据包在经过此 隧道转发时都要附加一个IP头〈源地址二本地锚点OMAP，目的地址二NAR、
歩骤5， MN移动至NAR下收到路由通告，发送FNA消息至ljNAR告知自己已至ljNAR 下，NAR将MAP转发来的数据包发送至MN。
歩骤6， MN发送本地绑定更新到MAP，告知新的链路转交地址(NLCoA)，该消 息使用MN与MAP之间的安全关联(IPSec/SA)保护，此时MAP已不使用隧道向NAR发送 数据包。
步骤7， MAP返回绑定确认消息。至此，MN (移动节点)从本地接入路由器到新 接入路由器之间的切换过程完成。
由于域内切换操作对外是透明的，所以不需要向通信对端节点发送任何消息来说 明。所有的操作仅为锚点MAP、新接入路由器及移动节点MN的操作。
参照图3给出域间切换示意图说明，本发明所述的域间切换中，基于家乡锚点和本 地锚点的路由优化机制实现快速切换和层次移动相结合的移动IPv6协议，在协议中同 时保证快速切换和平滑切换问题，步骤如下
歩骤1，同样，当移动节点MN检测到要切换时，选择随机数Ni，向OMAP发 送路由请求消息(RtSolPr)、IKE/SA安全关联算法提议SAil、移动节点的Di伍e-Hellman 密钥交换参数KEi、 MN的证书CERT麵，随机数Ni，以及MN对SAil、 KEi、 CERT麵 和Ni的签名SigMN，该消息用MN与OMAP间IPSec/SA保护。在这里MN对SAil、KEi、 CERT國和Ni进行签名Sig固，可以防止IKE/SA安全关联算法提议SAil 、移动 节点的Di伍e-Hellman密钥交换参数KEi、 MN的证书CERT廳和随机数Ni遭受篡改。 MN对SAil 、 KEi、 CERT画和Ni进行签名SigMN可以采用现有的任何安全签名算法。 需要说明的是在歩骤l中，所发送的消息记做M1，该消息包含了 MN要发给NMAP 的创建IKE/SA的初始化消息。
歩骤2，本地代理(OMAP)收到消息后向新代理(NMAP)发送切换初始化消息 HI，并将SAi、 KEi、 CERTmn、 Ni和SigMN—起发送到NMAP处，所发送的这些消息 记做M2。 M2通过OMAP与NMAP之间的IPSec/SA保护，OMAP与NMAP之间的 IPSec/SA是预先建立好的邻接锚点之间的的IPSec/SA。
》骤3, NMAP对CERT画验证后，为证书中的IP地址创建绑定缓存列表，将 NI (切换通告)信令发送到NMAP域内的新接入路由器NAR，然后选择一个随机数 Nr，向OMAP发送切换初始化确认消息(HAck)， IKE/SA所使用的安全关联算法 (SArl)， NMAP的Di伍e-Hellman密钥交换参数(KEr)， NMAP的证书(CERTNMAP)， 随机数(Nr)，以及NMAP对SArl、 KEr、 CERT固ap和Nr的签名(SigNMAP)，该消 息通过OMAP与NMAP之间的IPSec/SA保护；同样步骤3中的签名与歩骤2中的签 名一样可以采用现有的任何安全签名算法。NMAP发给OMAP的消息记做M3， M3 包含了 NMAP发送给MN的创建IKE/SA的响应消息。
步骤4， OMAP回应路由通告消息(PrRtAdv)给MN，并将消息SArl、 KEr、 CERTNMAP、 Nr和Sig丽ap转发给MN; OMAP回应路由通告消息(PrRtAdv)给顧 包括能够生成MN新的链路转交地址(NLCoA)的NAR前缀信息。OMAP回应路由 通告消息(PrRtAdv)给MN和转发给MN的消息SArl、 KEr、 CERTNMAP、 Nr、 SigNMAP 记做M4。
步骤5，移动节点MN在收到路由通告消息PrRtAdv后，根据前缀信息生成链路 转交地址NLCoA和区域转交地址NRCoA，同时在验证CERTnmap后根据KEr计算 MN与NMAP之间的共享密钥(SK),创建了IKE/SA。
歩骤6，移动节点MN发送快速绑定更新(FBU)到OMAP，将家乡地址(HOA) 与新链路转交地址(NLCOA)进行绑定，OMAP收到FBU后开始为MN数据包开辟 缓存空间，将发往MN的数据包进行缓存，转发FBU及缓存的数据包到NMAP，并返 回绑定确认消息FBAck。至此，MN在切换开始之前已经完成了对将要接入的网络认 证和要接入的网络对MN的认证，分别利用OMAP与MN和NMAP之间建立的 IPSec/SA对图3中描述的歩骤1和步骤6的消息进行保护。下面步骤将列出MN切换后的绑定更新过程。根据层次MIPv6， MN切换到NMAP域内，需要向NMAP进行绑 定，再依次向HA和CN进行绑定更新。
歩骤7， MN断开与源链路的连接，进入新的网络；
歩骤8， MN切换到新的位置后，在切换前建立的IKE/SA的保护下，立即向NMAP 进行绑定注册(LBU)，将其新的链路转交地址(NLCoA)与家乡地址(HoA)进行绑 定，发送通信对端(CN)的证书给NMAP，并创建MN与NMAP之间的IPSec/SA。
歩骤9， NMAP收到绑定更新消息和CN证书，验证后，发送本地绑定确认消息 (LBAck)至移动节点(MN)，本地绑定确认消息用NMAP和MN之间新建立的 IPSec/SA保护，并将从OMAP收到的发网MN的缓存数据转发给MN。
歩骤10， 'MN向OMAP和家乡锚点HMAP发送绑定更新消息，将新区域转交地 址和家乡地址绑定，OMAP和HMAP收到后返回绑定确认消息，这些消息分别用MN 与OMAP和HMAP之间建立的IPSec/SA保护。
歩骤11， MN向通信对端发送绑定更新消息，该消息用它们之间基于家乡地址建 立的IPSec/SA保护。
步骤12， CN返回绑定确认消息，并以MN的新区域转交地址(NRCoA)为目的地 址将数据包直接发送给MN。
上述过程中，切换注册是整个移动网络中最重要的一个过程，整个过程关系到网 络整体的性能和通信质量。因此，切换过程的安全和效率必须兼顾。在方案中，切换 信令主要分为移动节点与本地锚点、移动节点与新接入锚点、移动节点与通信对端、 以及本地锚点与新接入锚点之间的信令交互。这些信令交互均由IPsec保护，在移动节 点切换后，其余HMAP、 NMAP、 CN之间的IPSec安全关联依然存在。移动节点在切换 后必须与新接入锚点MAP协商一对安全关联来保护它们间信令。
本发明不仅限于上述歩骤，只要符合移动节点与通信对端采用基于家乡地址IPSec 协议和快速层次移动IPv6协议进行通信；移动节点采用固定的家乡地址，网络节点针 对家乡地址进行证书授权；移动节点在家乡网络注册时，与家乡代理建立IPSec连接； 在相邻MAP之间构建IPSec连接；移动节点在发生链路切换时包括域内切换和域间切换 即可。
1权利要求
1、基于IPSec的快速切换与认证融合方法，其方法特征是移动节点与通信对端采用基于家乡地址IPSec协议和快速层次移动IPv6协议进行通信；移动节点采用固定的家乡地址；网络节点针对家乡地址进行证书授权；移动节点在向移动锚点接入注册时，与MAP建立IPSec连接；在相邻MAP之间构建IPSec连接；移动节点在发生链路切换时包括域内切换和域间切换。
2、 根据权利要求l所述的基于IPSec的快速切换与认证融合方法，其方法特征是所述的域内切换包括1) 当移动节点检测到要切换时，向MAP发送路由请求消息，该消息包括临近的新接入 路ktl器链路层地址；2) MAP回应通告消息，该消息包括能够生成MN新的链路转交地址的NAR前缀信息；3) 移动节点生成新的链路转交地址，利用移动节点与MAP之间的IPSec发送快速绑定更 新FBU到MAP，将原链路转交地址与新接入路由器的IP地址绑定；4) MAP收到快速绑定更新FBU后发送切换初始化消息HI到建立双向隧道，新接入路由 器收到消息后为移动节点建立一个主机路由条目，并返回切换初始化确认消息给MAP， MAP绑定确认消息给移动节点断开链路，然后通过隧道向新的链路转交地址转发数据包；5) 移动节点移动至新接入路由器下收到路由通告，发送FNA消息到新接入路由器告知 自己已到新接入路由器下，新接入路由器将MAP转发来的数据包发送至移动节点；6) 移动节点发送本地绑定更新到MAP，告知新的链路转交地址，该消息使用移动节 点与MAP之间的安全关联保护；7) MAP返回绑定确认消息。
3、 根据权利要求l所述的基于IPSec的快速切换与认证融合方法，其方法特征是所述 的域间切换包括1) 当移动节点检测到要切换时，选择随机数Ni，向OMAP发送路由请求消息、IKE/SA 安全关联算法提议SAil、移动节点的Diffie-Hellman密钥交换参数KEi、移动节点的证书 CERT刚，随机数Ni,以及MN对SAil、 KEi、 CERTmn和Ni的签名Sig画，该消息用移 动节点与OMAP间IPSec/SA保护；2) 本地锚点收到消息后向新接入锚点发送切换初始化消息HI，并将SAi、 KEi、CERT顧、Ni和Sig, —起发送到NMAP处，该消息通过OMAP与NMAP之间的IPSec/SA保护；3) NMAP对CERTMN验证后，为证书中的IP地址创建绑定缓存列表，将切换通告信 令发送到NMAP域的新接入路由器，然后选择随机数，向OMAP发送切换初始化确认消 息，IKE/SA所使用的安全关联算法SArl， NMAP的Diffie-Hellman密钥交换参数KEr， NMAP的证书CERTNMAP,随机数Nr，以及NMAP对SArl 、 KEr、 CERTNMAP和Nr的签 名SigNMAP，该消息通过OMAP与NMAP之间的IPSec/SA保护；4) OMAP回应移动节点通告消息PrRtAdv，该消息包括能够生成移动节点新的链路转 交地址的NAR前缀信息，并转发SArl、 KEr、 CERTNMAP、 Nr和SigNMAP给移动节点；5) 移动节点在收到路由通告消息PrRtAdv后，根据前缀信息生成新的链路转交地址 NLCoA和新的区域转交NRCoA，同时在验证CERT丽AP后根据KEr计算MN与NMAP 之间的共享密钥SK，创建了 IKE/SA;6) 移动节点发送快速绑定更新到OMAP，将家乡地址与新链路转交地址进行绑定， OMAP收到FBU后丌始为移动节点数据包开辟缓存空间，将发往移动节点的数据包进行 缓存，转发FBU及缓存的数据包到NMAP，并返回绑定确认消息FBAck;7) 移动节点断开与源链路的连接，进入新的网络；8) 移动节点切换到新的位置后，在切换前建立的IKE/SA的保护下，立即向NMAP 进行绑定注册，将其新的链路转交地址NLCoA与家乡地址HoA进行绑定，发送通信对端 CN的证书CERTCN给NMAP,并创建移动节点与NMAP之间的IPSec/SA;9) NMAP收到绑定更新消息和CN证书，验证后，发送本地绑定确认消息LBAck至 移动节点，该消息用NMAP和移动节点之间新建立的IPSec/SA保护，并将从OMAP收到 的发网移动节点的缓存数据转发给移动节点；10) 移动节点向OMAP和HMAP发送绑定更新消息，将新区域转交地址和家乡地址 绑定，OMAP和HMAP收到后返回绑定确认消息，这些消息分别用移动节点与OMAP和 HMAP之间建立的IPSec/SA保护；11) MN向通信对端CN发送绑定更新消息，该消息用它们之间基于家乡地址建立的 IPSec/SA保护；12) CN返回绑定确认消息，并以移动节点的新区域转交地址为目的地址将数据报直接 发送给移动节点。
全文摘要
本发明属于网络安全领域，涉及到移动IPv6网络中移动节点和通信对端在通信过程中发生链路切换时的一种解决通信和注册安全的认证方法，尤其是基于IPSec的快速切换与认证的融合方法，其特征是移动节点与通信对端采用基于家乡地址IPSec协议和快速层次移动IPv6协议进行通信；移动节点采用固定的家乡地址；网络节点针对家乡地址进行证书授权；移动节点在向移动锚点接入注册时，与MAP建立IPSec连接；在相邻MAP之间构建IPSec连接；移动节点在发生链路切换时包括域内切换和域间切换。该方法提高了安全性，从而减少了切换延时，具有较高的效率，很好地实现了将快速切换与认证的融合。
文档编号H04W12/00GK101478750SQ200910021029
公开日2009年7月8日 申请日期2009年1月23日 优先权日2009年1月23日
发明者刘彦明, 李小平, 海 王, 白丽娜, 董庆宽 申请人:西安电子科技大学