一種面向多層MAP的HMIPv6網絡雙向接入認證方法
【技術領域】
[0001] 本發(fā)明屬于無線移動網絡接入安全領域,特別涉及一種面向多層MAP的HMIPV6網 絡雙向接入認證方法�����。
【背景技術】
[0002] 計算機網絡的快速發(fā)展極大地改變了人們的生活方式����,互聯網正向支持大范圍移 動性方向發(fā)展,人們對網絡也提出了更高的要求��。隨著寬帶無線接入技術和移動終端技術 的飛速發(fā)展����,移動設備數量和接入網絡需求的不斷增加�,移動IPv6 (MIPv6)將成為下一代 移動通信的重要支撐協(xié)議����。為進一步提升MIPv6的適用性以及移動節(jié)點在外地網絡中的切 換效率����,IETF對MIPv6進行了擴展,制定了層次型移動IPv6協(xié)議(HMIPv6)����,在外地網絡中 引入移動錨點對移動節(jié)點實施區(qū)域化移動管理,以降低移動節(jié)點切換延時��,但缺乏安全性 方面的考慮���。當移動節(jié)點接入外地網絡時�����,需要同外地網絡相互認證身份����,這是安全通信的 基本需求��。另外,移動節(jié)點的切換和認證往往同時發(fā)生�,為保障實時應用,認證機制應與切 換過程同步進行��,盡可能保證切換效率����。針對HMIPv6的高效雙向接入認證機制成為研究熱 點。
[0003] 近年來����,研究者們將基于身份的密碼學應用于移動IPv6接入認證過程,以保證移 動網絡的接入安全����。文獻"A secure IPv6_based urban wireless mesh network"設計了 一種新的地址構造方式將移動用戶的身份信息添加到IP地址中,同時采用快速分層的網 絡架構��,運用基于身份密碼學保證其身份信息的安全性����,但更改后的IP地址在生成和管理 過程中都比較特殊,不具有普遍適應性����。文獻"Experimental evaluation of proxy mobile IPv6:An implementation perspective"提出了使用代理移動IPv6方案對移動實體進行 接入認證��,但是代理移動實體之間的通信距離通常很遠�,通信延時大��,降低了切換認證的效 率�,而且需要相關實體頻繁地更換密鑰��,增加了通信開銷�����。文獻"節(jié)點證書與身份相結合的 HMIPv6網絡接入認證機制"提出了層次化的簽名方案�,并設計了節(jié)點證書與身份相結合的 認證機制,簡化了公鑰基礎設施的復雜密鑰管理過程���,實現了用戶與接入網絡的雙向接入 認證��,消除了接入網絡與家鄉(xiāng)網絡間的消息交互����。但是�,該簽名方案缺乏對HMIPv6擴展協(xié) 議的研究,在多層MAP的網絡環(huán)境下��,該方案只是支持簡單擴展的網絡環(huán)境,并且移動終端 在多層MAP的網絡環(huán)境下缺乏靈活性���。經典的基于身份的簽名方案一般隨著簽名次數的增 加���,簽名長度也隨之增加?�;蛘吆灻L度固定���,但是安全性卻過度依賴困難假設���。
【發(fā)明內容】
[0004] 針對現有技術存在的問題,本發(fā)明提供一種面向多層MAP的HMIPv6網絡雙向接入 認證方法���。
[0005] 本發(fā)明的技術方案是:
[0006] -種面向多層MAP的HMIPv6網絡雙向接入認證方法�����,包括如下步驟:
[0007] 步驟1 :r〇〇t PKG服務器作為可信第三方����,與各層PKG服務器�、AR路由器之間建立 可信信道����;
[0008] 步驟2 :r〇〇t PKG服務器生成公共參數并生成私鑰��;
[0009] 步驟3 :r〇〇t PKG服務器根據各層PKG服務器的身份信息為其頒發(fā)私鑰���,每層PKG 服務器根據該層的AR路由器的身份信息為其分配私鑰;
[0010] 步驟4 :當移動終端MN離開家鄉(xiāng)網絡首次接入到HMIPv6網絡中的某個MAP下的 AR路由器時�,進行初始雙向接入認證:當移動終端麗接入HMIPv6網絡中時,向root PKG服 務器注冊自己的信息并進行雙向身份認證����;
[0011] 步驟5 :當移動終端麗在當前接入的外地網絡中,由當前MAP域中的AR路由器切 換到另一個MAP域或AR路由器時�����,進行切換認證���。
[0012] 步驟4按如下步驟進行:
[0013] 步驟4. 1 :移動終端麗進行移動注冊:
[0014] 步驟4. 2 :要接入的MAP下的AR路由器向移動終端麗發(fā)送證書認證請求消息���;
[0015] 步驟4. 3 :當root PKG服務器驗證移動終端MN的證書,如果驗證成功��,root PKG 服務器檢查移動終端MN的節(jié)點類型:如果為移動節(jié)點,則根據域內綁定更新消息LBU臨時 更新綁定緩存����,root PKG服務器向AR路由器回送證書認證確認消息CVA和域內綁定確認 消息LBA ;如果不是移動節(jié)點,則取消身份認證過程����;如果驗證不成功,則MN身份認證失敗�����, 不能接入到HMIPv6網絡中���;
[0016] 步驟4. 4 :AR路由器收到證書認證確認消息CVA后�,從移動終端麗的證書中提取 移動終端MN的身份信息對MN進行身份認證:如果身份認證成功����,發(fā)送認證成功消息VA給 當前MAP通知認證結果,同時AR路由器對域內綁定確認消息LBA進行簽名并發(fā)送給移動終 端MN ;
[0017] 步驟4. 5 :當前要接入的MAP收到認證成功消息VA后正式更新綁定緩存�����,將認證 成功消息VA逐層轉發(fā)給root PKG服務器�����,向root PKG服務器通知已經對移動終端MN認 證成功;
[0018] 步驟4. 6 :r〇〇t PKG服務器收到認證成功消息VA后更新綁定緩存�,對移動終端MN 身份消息注冊成功;同時發(fā)送證書列表更新消息CLU至所有MAP域及MAP域內所有AR路由 器���,通知對移動終端MN的成功認證��,所述證書列表更新消息CLU消息攜帶移動終端MN的證 書�����;
[0019] 步驟4. 7 :AR路由器轉發(fā)遠程綁定確認消息RBA給移動終端麗并更新證書列表 CL,將移動終端MN的證書加入證書列表�����;
[0020] 步驟4. 8 :移動終端麗檢查TS2的新鮮性并對RBA進行HMAC認證����,同時利用AR路 由器的證書對AR路由器進行認證,如果全部認證成功�����,則完成移動注冊,雙向接入認證結 束����。
[0021] 步驟4. 1按如下步驟進行:
[0022] 步驟4. 1. 1 :移動終端MN分別對遠程綁定更新消息RBU和域內綁定更新消息LBU 進行HMAC保護和短簽名;
[0023] 步驟4. 1. 2 :移動終端麗驗證要接入的MAP下的AR路由器的證書��,即驗證該證書 中的簽名:如果驗證成功�,則移動終端麗從該AR路由器的證書中提取該AR路由器的身份 信息,否則����,移動終端MN取消與該AR路由器之間的雙向認證。
[0024] 步驟4· 2按如下步驟進行:
[0025] 步驟4. 2. 1 :AR路由器檢查時間戳TS^新鮮性����,若新鮮,則執(zhí)行步驟4. 2. 2,否則���; 取消對MN證書的身份認證���;
[0026] 步驟4. 2. 2 :AR路由器檢查證書列表,若證書列表不存在當前移動終端MN的證書�, 則當前移動終端MN為初次接入,AR路由器逐層向root PKG服務器發(fā)送證書認證請求消息, 請求對移動終端MN的證書進行認證����,然后執(zhí)行步驟4. 3,否則直接執(zhí)行步驟4. 3。
[0027] 所述切換認證的過程具體如下:
[0028] 當前MAP域收到移動終端MN的證書并認證成功時���,向HMIPv6網絡中所有MAP和 AR路由器發(fā)送證書列表更新消息CLU更新每一個MAP和AR路由器的證書列表CL ;當移動 終端MN再次在樹狀MAP域內移動切換時����,接入的AR路由器則直接對該移動終端MN進行認 證�����,無需再對當前MAP進行身份認證請求����。
[0029] 有益效果:
[0030] 本發(fā)明提出了一種基于節(jié)點證書分級身份短簽名方案��,其安全性是基于h-CDH問 題���,而最大的優(yōu)勢在于隨著分級級數的增加�,私鑰長度隨之縮減��,并且,簽名長度不依賴于 分級級數���。不僅如此���,此方案所依賴的安全模型更具有一般性,它是適應性選擇身份的安全 模型假設�����。
[0031] 本發(fā)明的簽名方案是基于身份的層次化短簽名機制�,實現了麗與接入網絡身份 的雙向認證,在簽名方案中���,公共參數與已有的方案相比��,略有增多��,然而由簽名方案可以 看出�,本方案的私鑰長度隨著身份級數的增加而減小�,并且簽名長度為一常數,僅僅含有3 個群元素�。由于雙線性對與約,島)可以預先計算���,所以驗證算法僅需3個雙線性對運算�����,這 一方面是非常有效率的���。另外���,本方案的安全性是基于h-CDH困難假設而不是其他更強的 假設,并且其安全性不依賴于隨機預言機��。
【附圖說明】
[0032] 圖1為本發(fā)明【具體實施方式】的多層MAP嵌套下的雙向接入認證的HMIPv6網絡架 構框架圖�����;
[0033] 圖2為本發(fā)明【具體實施方式】的面向多層MAP的HMIPv6網絡雙向接入認證機制示 意圖�;
[0034] 圖3為本發(fā)明【具體實施方式】的一種面向多層MAP的HMIPv6網絡雙向接入認證方 法流程圖。
【具體實施方式】
[0035] 下面結合附圖對本發(fā)明的【具體實施方式】做詳細說明�����。
[0036] HMIPv6網絡架構如圖1所示���,分為三部分:第一部分為可信第三方即root PKG服 務器,是系統(tǒng)默認的根服務器,負責生成系統(tǒng)參數并為下層PKG服務器頒發(fā)私鑰����;第二部分 為多個PKG服務器并組成多個MAP域;第三部分為AR路由器和移動終端MN����。當移動終端 MN移動并接入某外地域時,將產生初始接入認證過程��;當移動終端MN在外地域內移動并改 變接入點時����,將產生切換認證過程。
[0037] -種面向多層MAP的HMIPv6網絡雙向接入認證方法���,如圖3所示���,包括如下步驟:
[0038] 步驟1 :r〇〇t PKG服務器作為可信第三方,與各層PKG服務器�����、AR路由器之間建立 可信信道�,采用IPSec安全機制保護各層PKG服務器之間和PKG與AR之間的通信���;
[0039] 步驟2 :r〇〇t PKG服務器生成公共參數并生成私鑰;
[0040] 公共參數 params = (g, gi, g2, g3, u��。����,Hi,…Hh, U)����。root PKG 服務器隨機選取 a e zp,選取g2a為主密鑰����;
[0041] 設最大分級級數為h,root PKG服務器隨機選取階為素數p的群G和生成元g以及 一些元素 hvgrgpivUie G����,其中i = 1,…����,h,j = 1�,…,η ;���,1 = 1��,…�����,nM�。另外�,設嘸= 0?)及 U = (ιΟ,root PKG 服務器輸出公共參數 params 為:params = (g�����,g!���,g2, g3, u�����。��,Η!���,… Hh��,U)���。root PKG服務器隨機選取a e Zp,選取域為主密鑰��,并計算沿=ga��。
[0042] j_l層PKG服務器向上一層PKG服務器輸入其身份ID」(Vl�����,v2����,…,Vj J及對應 的私鑰'�,…4),其中V]1代表j_l層PKG服務器的身份信息�,d' h代表j-1 層PKG服務器的私鑰,第j層PKG服務器的身份IDf (Vl�,v2,…����,v])����,v]e Z p����,對應的私鑰 =H�,K+1,…4)�����?���?赏ㄟ^以下方式計算:隨機選取7 e Z"
[0047] 隨機選取y e Zp,計算:
[0050] 其中t = j+1,…����,h,設廣=f + .rf�����,由此可得
[0052] 步驟3 :r〇〇t PKG服務器根據各層PKG服務器的身份信息為其頒發(fā)私鑰,每層PKG 服務器根據該層的AR路由器的身份信息為其分配私鑰�����;
[0053] 步驟4 :當移動