專利名稱：一種基于網(wǎng)絡(luò)接入設(shè)備的移動IPv6服務(wù)認證方法
技術(shù)領(lǐng)域：
本發(fā)明涉及一種移動IPv6服務(wù)認證技術(shù)，尤其涉及一種基于網(wǎng)絡(luò)接入設(shè)備的移 動IPv6服務(wù)認證方法，屬于網(wǎng)絡(luò)通信服務(wù)認證領(lǐng)域。
背景技術(shù)：
在無線網(wǎng)絡(luò)中，MN通常只與家鄉(xiāng)域的認證服務(wù)器存在信任關(guān)系，而與HA不存在信 任關(guān)系，因此雙方首先需要完成認證過程，之后在認證產(chǎn)生的根密鑰的基礎(chǔ)上建立一系列 的子密鑰，并使用子密鑰保護移動 IP信令安全。鑒于3GPP等標準組織把diameter協(xié)議作為無線網(wǎng)絡(luò)的AAA協(xié)議，目前 移動IP相關(guān)的認證技術(shù)都在IETF dime工作組進行。最早的移動IP認證協(xié)議是 dime-mip4(RFC4004)，它對無線網(wǎng)絡(luò)的環(huán)境特點進行了分析，并提出了無線網(wǎng)絡(luò)mip4信任 模型(如圖1所示)。在該信任模型的基礎(chǔ)上，IETF基于diameter、EAP及dime-eap協(xié)議 提出了一種認證模型，該認證模型其實是一種類Kerberos協(xié)議。Mip6認證過程與mip4認證過程類似，都是一種類Kerberos的認證技術(shù)。所不 同的是，IETF dime工作組結(jié)合無線網(wǎng)絡(luò)的特點提出了兩種mip6認證場景split場景和 integrited場景。在integrited場景中，麗在接入網(wǎng)絡(luò)的接入認證和獲取移動IP服務(wù) 是在同一個協(xié)議中進行，這一情況適合于MN啟動時的認證問題，底層協(xié)議可以是802. Ix, pana, ikev2等其他協(xié)議；在split場景中，MN已經(jīng)完成與接入域網(wǎng)絡(luò)的認證過程，是單純 的MN與HA的認證過程，這通常適合于MN啟動后需要獲得移動IP服務(wù)的情況，底層協(xié)議通 常是ikev2或RFC4285 (也就是RFC4877中提到的基于ike生成共享密鑰的方法)?，F(xiàn)有的這些移動IP認證技術(shù)都是類Kerberos技術(shù)，它們都存在如下問題1)易 遭受分布式拒絕服務(wù)攻擊(DDOS) ；2) 一旦某些網(wǎng)絡(luò)域遭受網(wǎng)絡(luò)攻擊，則這一攻擊將被擴散 到HA所在的網(wǎng)絡(luò)域，且受攻擊的網(wǎng)絡(luò)域中任何節(jié)點都可以對HA和diameter服務(wù)器進行攻 擊ο

發(fā)明內(nèi)容
本發(fā)明針對背景技術(shù)中現(xiàn)有移動IP認證技術(shù)存在的缺陷，而提出一種在網(wǎng)絡(luò)接 入認證基礎(chǔ)上進行移動IPv6服務(wù)認證的方法。本發(fā)明的基于網(wǎng)絡(luò)接入設(shè)備的移動IPv6服務(wù)認證方法，包括如下步驟步驟1 MN 產(chǎn)生 nonce 1，MN 使用 kad 將 noncel 和 AID 簽名，并將第一消息{noncel，AID} kad發(fā)送給NAS ；步驟2: NAS使用kbc將第一消息{noncel，AID} kad和BID簽名，并將第二消息{BID， {noncel, AID}kad}kbc 發(fā)送給 AAAF ；
步驟 3:
AAAF 使用 kcd 將第二消息{BID，{noncel, AID}kad}kbc 簽名，并將第三消息{{BID， {nonce 1，AID} kad} kbc} kcd 發(fā)送給 AAAH ；步驟4:AAAH驗證第三消息{{BID，{noncel, AID} kad} kbc} kcd的簽名，當驗證成功時，則允許麗使用移動IPv6服務(wù)，否則拒絕服務(wù)；步驟5:當步驟4驗證成功時，AAAH產(chǎn)生nonce2 ；計算kah = hash (kad | AAAHID HAID | AID | noncel | nonce2)；步驟6 =AAAH將kah發(fā)送給HA ；步驟7 =AAAH將nonce2簽名并發(fā)送給AAAF ；
步驟8 =AAAF將nonce2簽名并發(fā)送給NAS ；步驟9 =NAS將nonce2簽名并發(fā)送給麗；步驟10 :MN 收到 nonce2 后，計算 kah = hash (kad | AAAHID | HAID | AID | noncel | non ce2)，并使用kah驗證NAS發(fā)來的消息，當驗證通過時，則麗與HA建立共享密鑰，即kah ；上述內(nèi)容中麗為移動節(jié)點；NAS為網(wǎng)絡(luò)接入設(shè)備；AAAH為家鄉(xiāng)域認證服務(wù)器； AAAF為外地域認證服務(wù)器；noncel為麗產(chǎn)生的隨機數(shù)；nonCe2為AAAH產(chǎn)生的隨機數(shù)；AID 為MN的網(wǎng)絡(luò)標識；BID為NAS的網(wǎng)絡(luò)標識；kad為MN和AAAH的共享密鑰；kbc為NAS和 AAAF的共享密鑰；kcd為AAAF和AAAH的共享密鑰；HA為家鄉(xiāng)代理；HAID為HA的網(wǎng)絡(luò)標識； AAAHID為AAAH的網(wǎng)絡(luò)標識；hash為哈希函數(shù)。技術(shù)效果(1)由于MN不是直接向HA發(fā)送認證請求消息，因此不會產(chǎn)生任意域的任意節(jié)點都 能攻擊HA的問題。而在MN發(fā)往HA的BU消息中，采用的是基于對稱密鑰的完整性保護機 制，消息頭很短，計算量相對較小，所以針對HA的DDOS攻擊問題可以得到很好的控制，又由 于HA不會主動向AAAH轉(zhuǎn)發(fā)認證請求消息，安全攻擊將不會從HA擴散到AAAH。(2)由于AAAH只接受AAAF的數(shù)據(jù)報，而AAAF只有在對麗完成認證的情況下才 會向AAAH發(fā)送數(shù)據(jù)報，因此針對AAAH的DDOS攻擊問題可以得到很好控制。且即使AAAF 所在域遭到攻擊，AAAH受到的沖擊也只限于來自AAAH的攻擊，而不會導(dǎo)致全網(wǎng)任意節(jié)點對 AAAH的攻擊。


圖1為mip4信任模型示意圖。圖2為本發(fā)明基于網(wǎng)絡(luò)接入設(shè)備的移動IPv6服務(wù)認證技術(shù)消息交互過程示意圖。
具體實施例方式如圖1所示為背景技術(shù)中提及的無線網(wǎng)絡(luò)mip4信任模型示意圖。本發(fā)明方法的實體關(guān)系及消息交互流程如圖2所示。在MN需要獲得移動IP服務(wù)時，不是直接向HA發(fā)送認證請求，而是先向外地域的NAS發(fā)送請求，在通過NAS認證的情況 下，由NAS把認證消息發(fā)往AAAF，再由AAAF交給AAAH，然后AAAH為麗尋找一個HA，并將 HA和MN的共享密鑰分發(fā)給雙方。這樣MN和HA在建立共享密鑰之后直接使用RFC4285的完整性保護技術(shù)進行綁定更新BU、綁定確認BA的交互就可以了。本發(fā)明的具體實現(xiàn)步驟如下步驟1 MN 產(chǎn)生 nonce 1，MN 使用 kad 將 noncel 和 AID 簽名，并將第一消息{noncel，AID} kad發(fā)送給NAS ；步驟2 NAS使用kbc將第一消息{noncel，AID} kad和BID簽名，并將第二消息{BID， {noncel, AID}kad}kbc 發(fā)送給 AAAF ；步驟3 AAAF 使用 kcd 將第二消息{BID，{noncel, AID}kad}kbc 簽名，并將第三消息{{BID， {noncel，AID} kad} kbc} kcd 發(fā)送給 AAAH ；步驟4 AAAH驗證第三消息{{BID，{noncel, AID} kad} kbc} kcd的簽名，當驗證成功時，則允許麗使用移動IPv6服務(wù)，否則拒絕服務(wù)；步驟5:當步驟4驗證成功時，AAAH產(chǎn)生nonce2 ；計算kah = hash (kad | AAAHID HAID | AID | noncel | nonce2)；步驟6 =AAAH將kah發(fā)送給HA ；步驟7 =AAAH將nonce2簽名并發(fā)送給AAAF ；步驟8 =AAAF將nonce2簽名并發(fā)送給NAS ；步驟9 =NAS將nonce2簽名并發(fā)送給麗；步驟10 :MN 收到 nonce2 后，計算 kah = hash (kad | AAAHID | HAID | AID | noncel | non ce2)，并使用kah驗證NAS發(fā)來的消息，當驗證通過時，則麗與HA建立共享密鑰，即kah ；上述內(nèi)容中麗為移動節(jié)點；NAS為網(wǎng)絡(luò)接入設(shè)備；AAAH為家鄉(xiāng)域認證服務(wù)器； AAAF為外地域認證服務(wù)器；noncel為麗產(chǎn)生的隨機數(shù)；nonce2為AAAH產(chǎn)生的隨機數(shù)；AID 為MN的網(wǎng)絡(luò)標識；BID為NAS的網(wǎng)絡(luò)標識；kad為MN和AAAH的共享密鑰；kbc為NAS和 AAAF的共享密鑰；kcd為AAAF和AAAH的共享密鑰；HA為家鄉(xiāng)代理；HAID為HA的網(wǎng)絡(luò)標識； AAAHID為AAAH的網(wǎng)絡(luò)標識；hash為哈希函數(shù)。
權(quán)利要求
一種基于網(wǎng)絡(luò)接入設(shè)備的移動IPv6服務(wù)認證方法，其特征在于包括如下步驟步驟1MN產(chǎn)生nonce1，MN使用kad將nonce1和AID簽名，并將第一消息{nonce1，AID}kad發(fā)送給NAS；步驟2NAS使用kbc將第一消息{nonce1，AID}kad和BID簽名，并將第二消息{BID，{nonce1，AID}kad}kbc發(fā)送給AAAF；步驟3AAAF使用kcd將第二消息{BID，{nonce1，AID}kad}kbc簽名，并將第三消息{{BID，{nonce1，AID}kad}kbc}kcd發(fā)送給AAAH；步驟4AAAH驗證第三消息{{BID，{nonce1，AID}kad}kbc}kcd的簽名，當驗證成功時，則允許MN使用移動IPv6服務(wù)，否則拒絕服務(wù)；步驟5當步驟4驗證成功時，AAAH產(chǎn)生nonce2；計算kah＝hash(kad|AAAHID|HAID|AID|nonce1|nonce2)；步驟6AAAH將kah發(fā)送給HA；步驟7AAAH將nonce2簽名并發(fā)送給AAAF；步驟8AAAF將nonce2簽名并發(fā)送給NAS；步驟9NAS將nonce2簽名并發(fā)送給MN；步驟10MN收到nonce2后，計算kah＝hash(kad|AAAHID|HAID|AID|nonce1|nonce2)，并使用kah驗證NAS發(fā)來的消息，當驗證通過時，則MN與HA建立共享密鑰，即kah；上述內(nèi)容中MN為移動節(jié)點；NAS為網(wǎng)絡(luò)接入設(shè)備；AAAH為家鄉(xiāng)域認證服務(wù)器；AAAF為外地域認證服務(wù)器；nonce1為MN產(chǎn)生的隨機數(shù)；nonce2為AAAH產(chǎn)生的隨機數(shù)；AID為MN的網(wǎng)絡(luò)標識；BID為NAS的網(wǎng)絡(luò)標識；kad為MN和AAAH的共享密鑰；kbc為NAS和AAAF的共享密鑰；kcd為AAAF和AAAH的共享密鑰；HA為家鄉(xiāng)代理；HAID為HA的網(wǎng)絡(luò)標識；AAAHID為AAAH的網(wǎng)絡(luò)標識；hash為哈希函數(shù)。
全文摘要
本發(fā)明公開了一種基于網(wǎng)絡(luò)接入設(shè)備的移動IPv6服務(wù)認證方法，屬于網(wǎng)絡(luò)通信服務(wù)認證領(lǐng)域。該方法涉及的網(wǎng)絡(luò)實體包括家鄉(xiāng)代理HA、移動節(jié)點MN、網(wǎng)絡(luò)接入設(shè)備NAS、外地域認證服務(wù)器AAAF和家鄉(xiāng)域認證服務(wù)器AAAH，在MN需要獲得移動IPv6服務(wù)時，先向外地域的NAS發(fā)送請求，在通過NAS認證的情況下，由NAS把認證消息發(fā)往AAAF，再由AAAF交給AAAH，然后AAAH為MN尋找一個HA，并將HA和MN的共享密鑰分發(fā)給雙方。本發(fā)明方法不會產(chǎn)生任意域的任意節(jié)點都能攻擊HA的問題，且針對HA和AAAH的DDOS攻擊問題可以得到很好的控制。
文檔編號H04W12/06GK101800988SQ201010125630
公開日2010年8月11日 申請日期2010年3月16日 優(yōu)先權(quán)日2010年3月16日
發(fā)明者萬長勝, 胡愛群 申請人:東南大學