专利名称:基于位置预判的预认证快速切换方法
技术领域:
本发明属于网络安全技术领域,具体涉及移动IPsec快速切换方法,用于保护具 有多级安全特性的移动IPv6网络的切换过程安全。
背景技术:
互联网工程工作组IETF在IPv6的基础上于2004年6月正式提出移动IPv6协议, RFC3775。该协议在支持移动性,解决安全性问题,实现高服务质量,以及提供足够的地址空 间等方面有着比IPv4协议更大的优势。但由于Internet本身的安全机制较为脆弱,再加 上无线网络传输媒体的开放性、移动终端的大范围移动性、拓扑结构的动态性和移动设备 存储资源和计算资源的有限性,使得移动IP网络比有线网络更容易受到安全威胁;同时由 于移动设备在存储能力、计算能力和电源供电时间方面的局限性,也使得原来在有线环境 下的许多安全方案和安全技术不能直接应用于无线环境。这种在移动设备和传输媒介方面 的特殊性,使得一些攻击更容易实施,对移动网络的安全保护既表现为系统安全防护的困 难性,也表现为网络通信安全实现的困难性。多级安全系统是指那些允许存储具有不同敏感等级信息,允许具有不同安全标识 和授权的用户按照“按需所知”的原则处理系统信息,并且阻止没有安全标识、没有授权或 者没有获取信息需求的用户访问信息的系统。传统的多级安全系统主要在集中式环境下工 作,由一个处理多级安全的服务器和若干终端组成。RFC5368定义的预先切换方法中,移动节点在第2层链接保持的情况下,通过发 送到旧代理的邻居代理通告消息来得到新代理的转交地址前缀,当存在切换需求时,移动 节点获得新的转交地址发起到新代理的接入注册过程,然后移动节点发起家乡代理和通信 对端的绑定更新,完成快速切换。在这个过程中,移动节点到新代理处的切换是被动的,移 动节点无法预知可能切换的网络状况,一旦切换过去的网络资源严重不足,移动节点就会 出现连接中断,不得不发起三次切换,存在严重的效率问题。在安全性方面,虽然RFC引入 IPsec来提供安全保障,但其仅仅只给出了移动节点到家乡代理间安全保护,移动节点到通 信对端间、以及切换过程中并未给出安全性方面的说明。移动节点到新代理的切换过程存 在严重的安全隐患,此切换过程中的信令消息皆为明文传输,恶意节点可以随意冒充移动 节点发起到新代理的接入过程,导致合法移动节点通信中断以及新代理遭受欺骗攻击。与 此同时,移动环境中手持一类终端的普遍使用,其计算能力低下的特点导致无法应用于高 安全、高计算需求的军用网络。
发明内容
本发明的目的在于针对上述切换过程的不足,提供一种基于位置预判的预认证快 速切换方法,通过修改IKEv2协议和增加IPsec支持多级安全的功能,以实现具有多级安全 特性的移动IPv6网络中移动节点MN对代理的安全快速切换,在引入高安全保护的同时,提 供切换过程中对QoS的支持,以及计算能力方面对手持终端的支持,保障整个通信网络的效率、健壮性和安全性。为实现上述目的,本发明提供的基于位置预判的预认证快速切换方法,包括如下 步骤1. 一种基于位置预判的预认证快速切换方法,包括如下步骤(1)本地代理LA通过GPS位置预判方法判定出移动节点MN将要切换的邻居新代 理NLAs,由LA向NLAs发送整条消息,该整条消息包括切换发起请求HI、移动节点的数字 证书CERTM、通信对端的数字证书CERTeN、移动节点的家乡地址HoAm、通信对端的家乡地址 HoA^、通信对端的转交地址CoAeN和预先认证密钥PAK,这一整条消息通过本地代理与邻居 新代理之间的IPsec/SA
LA-NLAs 保护;(2)邻居新代理NLAs收到LA发来的消息,记录移动节点和通信对端的数字证书, 由NLAs向LA发送返回确认消息HACK、地址网络前缀和网络资源配置状况,并通过邻居新代 理与本地代理之间的IPsec/SANUs_u对这些信息进行保护;(3) LA收到NLAs发送来的HACK消息后,通告返回给丽,告知丽新的转交地址前 缀以及邻居新代理资源信息; (4) MN选择新代理,配置新代理NLA的新转交地址NCoAM,并向LA发送快速绑定更 新消息FBU ;(5) LA收到丽发送过来的FBU后,缓存发往丽的数据包给新代理NLA ;(6) LA分别通过本地网络和新代理NLA路径发送快速返回消息FBACK给移动节点 MN ;(7)丽切换到NLA网络,选择D-H交换参数KEi,向NLA发送加密签名消息,用于建 立丽到新代理的接入注册和IPsec ;(8)NLA解密丽发来的消息,完成对丽的证书和签名的验证,选择D-H交换参数 KEr和IPsec提议响应,完成与丽的接入认证和IPsec建立;(9)丽发送绑定更新消息给家乡代理HA ;(10)MN接收到缓存在NLA的数据包后,发送绑定更新消息给通信对端CN ;(11) CN将绑定更新消息发送给CN的接入网关,并发送绑定确认消息给MN ;(12) HA接收到MN的绑定更新消息后,再返回绑定确认消息给MN,完成切换。本发 明具有如下优点1.本发明由于在切换过程中,引入了数字证书和数字签名技术进行双向身份认 证,全程使用IPsec提供安全保护,因而具有较高的安全性。2.本发明由于在双向身份验证过程中,把丽对NLA的身份验证过程转由LA计 算完成,通过减少公钥运算来降低MN的计算量,从而在满足高安全需求的同时支持受限节
点o3.本发明的切换认证方法以LA为可信代理,利用LA为中介,完成信任关系建立, 通过相邻LA间预先创建IPsec连接,很好地实现了将快速切换与注册认证的融合,并保持 了移动IPv6网络的多级安全特性。4.本发明利用原代理间的隧道传输MN的缓存数据包,不存在数据包的丢失,且通 过预先把缓存数据发送到新代理NLA,MN 一旦切换到新网络能第一时间收到缓存的数据。5.本发明切换过程中,通过位置预判方法NLAs提前给出网络资源状况,MN在切换过程支持QoS功能。
图1是本发明预认证快速切换过程示意图。
具体实施例方式本发明采取固定代理的网络结构,网络配置初期邻居代理间以及丽与家乡代理 HA间分别配置好相应的IPsec保护,每一个MN都有一个独立的家乡地址作为其唯一标识。 代理为域内节点提供接入认证、对端身份验证和强制访问控制功能。参照图1,本发明给出的基于位置预判的预认证快速切换方法,包括步骤1,本地代理LA向邻居新代理NLAs发送PAK,获取NLAs的地址前缀和网络资 源数据。本地代理LA通过GPS位置预判方法判定出移动节点丽将要切换的邻居新代理 NLAs,由LA向NLAs发送整条消息,该整条消息包括切换发起请求HI、移动节点的数字证书 CERTmn、通信对端的数字证书CERTcm、移动节点的家乡地址HoAmn、通信对端的家乡地址HoACN、 通信对端的转交地址CoAcm和预先认证密钥PAK,这一整条消息通过本地代理与邻居新代理 之间的IPsec/SAUiAs保护;该预认证密钥PAK,由本地代理LA将会话密钥、邻居新代理的 网卡地址和MN的网卡地址通过伪随即函数计算生成。PAK = Prf(SK|NLAi_mac|MN_mac), 其中SK为翻与LA的IPsec共享会话密钥,NLAi_mac表示不同邻居新代理的网卡地址,i
=1,2,3.....,MN_mac为移动节点的网卡地址,Prf为伪随即函数;该处满足多级安全特性
需求,通过传递移动节点MN和通信对端CN的数字证书到邻居新代理,确保MN切换到NLAs 所在网络后,NLAs能够对丽与CN的通信进行强制访问控制。步骤2,邻居新代理NLAs收到PAK消息,记录MN与CN数字证书,发送返回确认消 息,附带地址网络前缀和资源配置情况。邻居新代理NLAs收到LA发来的消息,记录移动节点和通信对端的数字证书,由 NLAs向LA发送返回确认消息HACK、地址网络前缀和网络资源配置状况,并通过邻居新代理 与本地代理之间的IPsec/SANUs_u对这些信息进行保护。步骤3,本地代理将NLAs的HACK消息通告返回给移动节点丽。本地代理LA收到邻居新代理NLAs发送来的HACK消息后,利用丽与LA间IPsec 隧道加密返回给MN,告知MN新的转交地址前缀以及邻居新代理资源信息。步骤4,移动节点丽选择新代理NLA,配置新代理处NLA的新转交地址NCoAmn,并 向LA发送快速绑定更新消息FBlLMN根据收到的资源配置信息,结合链路层信息选择新切换代理,采取无状态地址 配置方式,配置新代理处转交地址,发送快速绑定更新消息FBU到LA,绑定MN的家乡地址与 新转交地址。步骤5,本地代理LA收到丽发送过来的FBU后,缓存发往丽的数据包给新代理 NLA。步骤6,本地代理LA分别通过本地网络和新代理NLA路径发送快速返回消息 FBACK给移动节点丽。
步骤7,移动节点丽切换到新代理NLA网络,选择D-H交换参数KEi,向NLA发送 加密签名消息。移动节点丽切换到新代理NLA网络,选择D-H交换参数KEi,选择IPsec安全提 议,传递PAK {(NCoAm,CERTmn, SAi, KEi) SigmI到NLA,建立接入注册和IPsec ;该预认证密 钥PAK,由移动节点MN将会话密钥、新代理的网卡地址和MN的网卡地址通过伪随即函数计 算生成。PAK = Prf (SKI NLA_mac | MN_mac),SK 为 MN-LA 间 IPsec 共享密钥,该处切换到 NLA 网络,NLA_mac为新代理NLA的网卡地址,MN_mac为移动节点的网卡地址,Prf为伪随即函 数。该IPsec/SA建立过程所有消息均采取加密保护。步骤8,新代理NLA解密移动节点丽发来的消息,完成对丽的证书和签名的验证, 选择D-H交换参数KEr和IPsec提议响应,利用PAK加密传递到丽,完成与丽的接入认证 和IPsec建立。NLA 一旦建立完成与丽的IPsec,就将缓存的丽数据包转发到丽。步骤9,移动节点MN发送绑定更新消息给家乡代理HA。
移动节点MN在完成到新代理的注册过程后,向家乡代理HA发送绑定更新消息,该 消息使用IPsec/SAm_HA保护。步骤10,移动节点MN接收到缓存在新代理NLA的数据包后,发送绑定更新消息给 通信对端CN。经过绑定注册的移动节点MN从新代理NLA接收到本地代理LA转发来的消息后, 发送绑定更新FBU给通信对端CN,该消息使用MIPSec/SAm_eN来保护;这里MIPSec/SA.^是 基于移动节点MN和通信对端CN的家乡地址建立的,因此切换过程不影响该安全关联。步骤11,通信对端CN将绑定更新发送给CN的接入网关,并发送绑定确认消息给移 动节点MN。通信对端CN的接入网关只有知道新的绑定更新FBU,才允许CN将数据发送到以新 转交地址NCoAmn为目的地址的MN,保持了多级安全特性。步骤12,家乡代理HA接收到移动节点MN的绑定更新消息,返回绑定确认消息到 丽,完成切换。家乡代理HA接收到移动节点MN的绑定更新消息后,绑定移动节点的家乡地址与 新转交地址,返回绑定确认消息FBACK给MN,若MN 一直未收到绑定确认,移动节点MN将再 发送绑定更新消息FBU给家乡代理HA,MN收到HA的绑定确认后整个切换过程就完成了。本发明中使用的符号解释如下丽移动节点CN 通信对端HA 家乡代理LA 本地代理NLAs 邻居新代理NLA 新代理HI 切换发起请求RtSolPr 路由通告消息PrRtAdv 路由通告返回
SAi 可供选择的MIPsec/SA算法提议SAr 响应方选择的MIPsec/SA算法KEi 发起方的Diffie-Hellman密钥交换参数KEr 响应方的Diffie-HelIman密钥交换参数SK {X}使用SK对X加密{x} Sigu 表示消息χ和用户U对χ的签名SiguCERTu 用户U的证书 HoAu 用户U的家乡地址CoAu =U用户的转交地址MIPsec/SAx_Y :X 与 Y 之间的 MIPsec/SAHAcku 来自用户U的返回确认消息FBU:快速绑定更新消息BACK 绑定确认消息PAK:预先认证密钥。
权利要求
一种基于位置预判的预认证快速切换方法,包括如下步骤(1)本地代理LA通过GPS位置预判方法判定出移动节点MN将要切换的邻居新代理NLAs,由LA向NLAs发送整条消息,该整条消息包括切换发起请求HI、移动节点的数字证书CERTMN、通信对端的数字证书CERTCN、移动节点的家乡地址HoAMN、通信对端的家乡地址HoACN、通信对端的转交地址CoACN和预先认证密钥PAK,这一整条消息通过本地代理与邻居新代理之间的IPsec/SALA-NLAs保护;(2)邻居新代理NLAs收到LA发来的消息,记录移动节点和通信对端的数字证书,由NLAs向LA发送返回确认消息HACK、地址网络前缀和网络资源配置状况,并通过邻居新代理与本地代理之间的IPsec/SANLAs-LA对这些信息进行保护;(3)LA收到NLAs发送来的HACK消息后,通告返回给MN,告知MN新的转交地址前缀以及邻居新代理资源信息;(4)MN选择新代理,配置新代理NLA的新转交地址NCoAMN,并向LA发送快速绑定更新消息FBU;(5)LA收到MN发送过来的FBU后,缓存发往MN的数据包给新代理NLA;(6)LA分别通过本地网络和新代理NLA路径发送快速返回消息FBACK给移动节点MN;(7)MN切换到NLA网络,选择D-H交换参数KEi,向NLA发送加密签名消息,用于建立MN到新代理的接入注册和IPsec;(8)NLA解密MN发来的消息,完成对MN的证书和签名的验证,选择D-H交换参数KEr和IPsec提议响应,完成与MN的接入认证和IPsec建立;(9)MN发送绑定更新消息给家乡代理HA;(10)MN接收到缓存在NLA的数据包后,发送绑定更新消息给通信对端CN;(11)CN将绑定更新消息发送给CN的接入网关,并发送绑定确认消息给MN;(12)HA接收到MN的绑定更新消息后,再返回绑定确认消息给MN,完成切换。
2.根据权利要求1所述的快速切换预认证方法,其中步骤(7)所述的加密签名消息, 是由丽先通过将新转交地址NCoAm、数字证书CERTm,MlPsec提议SAi、和D-H交换参 数KEi做数字签名运算,再用PAK对该数字签名消息进行加密,加密签名消息的格式为 PAK{ (NCoA丽,CERT丽,SAi, KEi) Sigm}。
全文摘要
本发明公开了一种基于位置预判的预认证快速切换方法,主要解决移动IPv6网络的切换过程安全保密问题。其切换过程是采取本地代理LA经GPS位置预判的方式判定出MN切换区域,本地代理LA事先发送预认证密钥PAK给邻居新代理NLAs;本地代理LA收集好NLAs的网络地址前缀和网络资源信息传递给MN;MN根据链路层信息和收到的新代理网络资源状况,选择新代理;当移动节点MN切换到新的网络,向新代理发送加密签名消息,直接发起与新代理的双向身份认证和IPsec的建立,此切换认证通信过程均有IPsec提高安全保护,在高安全性保护需求的基础上,尽可能做到可用和高效。本发明能够很好地实现对具有多级安全特性的大规模分布式移动IPv6网络的切换过程进行安全保护,可用于军用移动IPv6网络。
文档编号H04L29/12GK101860846SQ20101017332
公开日2010年10月13日 申请日期2010年5月14日 优先权日2010年5月14日
发明者任飞, 冯选, 刘彦明, 唐佳, 安红章, 李小平, 祝世雄, 董庆宽 申请人:西安电子科技大学;中国电子科技集团公司第三十研究所