专利名称:分离机制网络中可信域间映射更新认证方法
技术领域:
本发明涉及计算机安全技术领域,具体涉及ー种分离机制网络中可信的域间映射更新认证方法。
背景技术:
分离机制网络中,終端接入网络,首先要进行接入认证过程,只有通过认证的终端,才可以分配路由标识,进而建立起接入标识与路由标识之间的映射关系。当終端在域间进行切换时,新的接入交换路由器会为丽(Mobile Node)分配新的映射关系<AIDm,nRIDw>,为了避免三角路由,需要发送映射更新消息,即把这个新的映射关系通知通信对端CN (Corresponding Node)所接入的接入交换路由器。映射更新消息需要由MN移动后所在域的映射服务器发送给通信对端所在域的映射服务器,再由通信对端所在域的映射服务器通知通信对端的接入交换路由器。在映射更新过程中,映射服务器和接入交换路由器扮演着极其重要的角色。它们的安全可信直接关系到整个映射更新过程是否可信。传统的映射服务器和接入交换路由器可能面临着各种各样的威胁,这些威胁不仅包括来自网络外部的攻击,还包括网络内部的各种安全漏洞。内部人员在实现内部网络和外部网络通信的过程中可能会有意无意的引入一些恶意代码或者进行ー些非法操作,这也对信息安全构成一定威胁。如果在映射更新的过程中不采取任何安全措施,就有可能遭受拒绝服务攻击、重放攻击等,因此映射更新过程的安全直接关系到終端移动时的通信安全。针对移动IPv6设计的绑定更新安全认证方法包括以下几种:(1)强认证机制如IPsec, IKE或PKI等。这类认证协议对低端移动设备和网络层信号协议来说计算量和通信载荷过高。(2)加密生成地址协议通过对主机的公开签名密钥进行哈希生成IP地址的64bit接ロ标识。地址更新接下来用这个公开签名密钥进行签名。该方案的缺点是攻击者可以发起蛮力攻击,通过反复试验可以找到一个匹配的签名密钥。(3)返回路由测试机制实际上并没有提供身份认证,只提供了所谓的可达性,而且其提供的防止消息伪造的服务也是比较脆弱的。上述方案虽然提供了一定程度的安全性,但是不能够解决来自网络内部的威胁,如平台篡改、病毒感染等,安全性存在一定缺陷。
发明内容
本发明要解决的技术问题是提供一种分离机制网络中可信域间映射更新认证方法,该方法不仅可以验证映射服务器的身份,还保证了映射服务器平台的完整性和平台身份的可信性,有效的保证了映射更新过程的安全。为解决上述技术问题,本发明所采取的技术方案是:—种分离机制网络中可信域间映射更新认证方法,其具体步骤如下:(I)注册过程对映射服务器MS进行注册:由认证中心AC和Privacy-CA验证MS身份和平台的可信性,验证通过后,由AC以安全方式存储IMS的AIK公钥证书和度量存储日志SMLims,AC为映射服务器MSi和頂も分配共享密钥ろ(I く/,/ <n /关J )
然后AC通过安全方式把上述共享密钥传送给映射服务器MSi和頂も;对接入交换路由器ASR进行注册:ASR把相应的注册信息通过安全渠道提交给AC,AC验证ASR的身份,验证通过后,计算ASR与本域内MS两者之间的共享密钥Kims_ask,最后通过安全方式将共享密钥传送给相应的ASR和MS ;AC把其公钥PKa。分发给各个ASR和MS ;(2) passport 的生成认证中心AC为每个映射服务器MS生成ー个paSSportIMS ;当映射服务器頂S3对IMS2进行平台认证时,不需要AC參与,頂S3就可实现对頂S2的平台认证;同样,当接入交换路由器ASR3对映射服务器頂S3进行平台认证时,也不需要AC參与,ASR3自己就能实现对IMS3的平台认证;(3)分离机制网络中可信的域间映射更新认证过程①映射服务器頂S2提取平台配置信息PCR,用頂S2所在平台的AIK私钥舰は签名生成{PuRhc生成时间戳Jms最后用映射服务器頂S2和頂S3的共享密钥
Kims 来加密实体頂S2的身份标识JZ)/MS2 ^PCRhm^2 <AIDm,nRIDm>和时间戳 I M S 2 提取 passport!MS最后把 passportIMS 和み—(ID^,{PC 《2, < AIDmn,HRIDmn >,TimJ 发送给
IMS3 ;②頂S3收到上述消息后,根据pcmport1MSi中的ID腫:得知是頂S2发送过来的;接下来頂S3首先使用AC的公钥PKac解密passport IMSi中的{IDIMS2,SML紙,Cert(AIKf^), validity—I Jskac 得到仍/MS
权利要求
1.一种分离机制网络中可信域间映射更新认证方法,其特征在于,其方法步骤如下: (1)注册过程 对映射服务器IMS进行注册:由认证中心AC和Privacy-CA验证IMS身份和平台的可信性,验证 通过后,由AC以安全方式存储MS的AIK公钥证书和度量存储日志SMLims,AC为映射服务器MSi和MSj分配共享密钥I/ms,.-^ 关_/ ),然后AC通过安全方式把上述共享密钥传送给映射服务器MSi和MSj ; 对接入交换路由器ASR进行注册:ASR把相应的注册信息通过安全渠道提交给AC,AC验证ASR的身份,验证通过后,计算ASR与本域内MS两者之间的共享密钥KIMS_ASK,最后通过安全方式将共享密钥传送给相应的ASR和MS ;AC把其公钥PKA。分发给各个ASR和MS ; (2)passport 的生成 认证中心AC为每个映射服务器MS生成一个passport^ ;当映射服务器MS3对MS2进行平台认证时,不需要AC参与,IMS3就可实现对IMS2的平台认证;同样,当接入交换路由器ASR3对映射服务器MS3进行平台认证时,也不需要AC参与,ASR3自己就能实现对MS3的平台认证; (3)分离机制网络中可信的域间映射更新认证过程 ①映射服务器MS2提取平台配置信息PCR,用MS2所在平台的AIK私钥签 iPCR }名生成M ^iv/aik^2生成时间戳7;%最后用映射服务器頂S2和頂S3的共享密钥, / Pf1D IKt…n#e来加密实体頂S2的身份标识/Dnis 1<AIDm,nRIDm>和时间戳ΙΑ ο^ 一IAiiS^2 2、_ 、T1IMS2.9 I M S 2 提取 passportmSi ,最后把 passport 1MSi 和Εκ— (IDimsJPCRIak^, < AID丽,nRIDMN >,Tmh)发送给IMS3 ; ②MS3收到上述消息后,根据passport廳2中的IDims:得知是ms2发送过来的;接下来MS3首先使用AC的公钥pka。解密passportIMSi中的{IDIMS2,SMLims , Cert (AIK), validity passportim^ }skac 得到 ^ims2SMLimj Cert (Aid) ^Validity pa—ort 勝2 并判断所得到的/D 与Λ9 Μ^2中的ZD/M52是否相同,当判断结果相同时,可以确定网是由AC生成的;接下来根据Hditypassp0rtim,f職passportIMS是否在有效期内,当判断结果在有效期内时,丢弃消息,不做任何处理;IMS3用密钥JMS3解密^^/ms2-/,w.s, ^1dIMS2AIK^2 5 < AID—,TlRID_ >,TlMS1 ) 得到/Dfl^2 {PCR}Ch <AIDm,nRIDwHP时间戳r/MS2 接下来 MS3 首先 、、9检查^}ms*2是否在有效期内,当不在有效期内时,丢弃上述消息;当^ms,在有效期内时,判断解密得到的DiMS2与中的/Djm^是否相同,当判断结果相同时,则说明MS2的身份可信;使用MS2的平台公钥证书&)解密fPCR}AIK1;:比较解密之后的结果与571</Ι/Μ^是否相同,当比较结果相同时,说明MS2的平台是可信的;当比较结果不同时,说明MS2的平台不可信,验证失败; ③映射服务器MS3提取平台配置信息PCR,用平台私钥签名生成(PCR)aik^ 生成时间戳Tims最后用ms3和Asr3的共享密钥f加密 馳3 ,,ivZMS3 - ASKrn fPCR ■T^JMS3 1 fjl^MS3 <AIDW,IiRIDwUP时间戳 Jjms3.MS3 提取-、N9f把夕仍冲0打Λ叫和人 w, (jdIMSj ,(PCR)aik^,< AIDmn,禮Jhm >,7ZMV3 )发送给ASR3 ; ④ASR3收到上述消息后,根据passport1MS'中的IDmh得知是頂民发送过来的,接下来ASR3首先使用AC的公钥Pk解密passport^中的{IDIMS3,SMLims', Cert(AIK^s3), VoMdity}张此
2.根据权利要求1所述的分离机制网络中可信域间映射更新认证方法,其特征在干,所述步骤(I)中共享密钥的计算方法如下,
3.根据权利要求1所述的分离机制网络中可信域间映射更新认证方法,其特征在干,所述步骤(2)中passportIMS的生成如下式: passportfm = IDim,(IDims, SMLim,Cert{ AlK11^s) ,validityf[SK!c 其中,va!Mtypus_ms 是AC给MS签发的pas sportIMS的有效期,AC生成passportIMS后 ,发送给IMS, IMS将其进行安全存储。
全文摘要
本发明公开了一种分离机制网络中可信域间映射更新认证方法,属于计算机安全技术领域。本发明通过使用可信计算技术,不仅可以验证映射服务器的身份,还保证了映射服务器平台的完整性和平台身份的可信性,有效的保证了映射更新过程的安全;本发明综合运用可信计算、加密、签名等信息安全技术,保证了映射服务器平台的完整性、映射服务器平台身份的可信性、映射关系的保密性,并能有效地抵抗重放攻击、伪造攻击和假冒攻击。
文档编号H04L9/32GK103139218SQ20131006288
公开日2013年6月5日 申请日期2013年2月27日 优先权日2013年2月27日
发明者郑丽娟, 祁建刚, 胡迎新, 赵永斌, 张庆海, 钟谦 申请人:石家庄铁道大学