本发明专利技术提供一种面向多层MAP的HMIPv6网络双向接入认证方法,包括:root PKG服务器作为可信第三方,与各层PKG服务器、AR路由器之间建立可信信道;root PKG服务器生成公共参数并生成私钥;root PKG服务器根据各层PKG服务器的身份信息为其颁发私钥,每层PKG服务器根据该层的AR路由器的身份信息为其分配私钥;当移动终端MN离开家乡网络首次接入到HMIPv6网络中的某个MAP下的AR路由器时,进行初始双向接入认证;当移动终端MN在当前接入的外地网络中,由当前MAP域中的AR路由器切换到另一个MAP域或AR路由器时,进行切换认证。本发明专利技术提出了一种基于节点证书分级身份短签名方案,其安全性是基于h-CDH问题,优势在于随着分级级数的增加,私钥长度随之缩减,签名长度不依赖于分级级数。
【技术实现步骤摘要】
本专利技术属于无线移动网络接入安全领域,特别涉及一种面向多层MAP的HMIPV6网 络双向接入认证方法。
技术介绍
计算机网络的快速发展极大地改变了人们的生活方式,互联网正向支持大范围移 动性方向发展,人们对网络也提出了更高的要求。随着宽带无线接入技术和移动终端技术 的飞速发展,移动设备数量和接入网络需求的不断增加,移动IPv6 (MIPv6)将成为下一代 移动通信的重要支撑协议。为进一步提升MIPv6的适用性以及移动节点在外地网络中的切 换效率,IETF对MIPv6进行了扩展,制定了层次型移动IPv6协议(HMIPv6),在外地网络中 引入移动锚点对移动节点实施区域化移动管理,以降低移动节点切换延时,但缺乏安全性 方面的考虑。当移动节点接入外地网络时,需要同外地网络相互认证身份,这是安全通信的 基本需求。另外,移动节点的切换和认证往往同时发生,为保障实时应用,认证机制应与切 换过程同步进行,尽可能保证切换效率。针对HMIPv6的高效双向接入认证机制成为研究热 点。 近年来,研究者们将基于身份的密码学应用于移动IPv6接入认证过程,以保证移 动网络的接入安全。文献"A secure IPv6_based urban wireless mesh network"设计了 一种新的地址构造方式将移动用户的身份信息添加到IP地址中,同时采用快速分层的网 络架构,运用基于身份密码学保证其身份信息的安全性,但更改后的IP地址在生成和管理 过程中都比较特殊,不具有普遍适应性。文献"Experimental evaluation of proxy mobile IPv6:An implementation perspective"提出了使用代理移动IPv6方案对移动实体进行 接入认证,但是代理移动实体之间的通信距离通常很远,通信延时大,降低了切换认证的效 率,而且需要相关实体频繁地更换密钥,增加了通信开销。文献"节点证书与身份相结合的 HMIPv6网络接入认证机制"提出了层次化的签名方案,并设计了节点证书与身份相结合的 认证机制,简化了公钥基础设施的复杂密钥管理过程,实现了用户与接入网络的双向接入 认证,消除了接入网络与家乡网络间的消息交互。但是,该签名方案缺乏对HMIPv6扩展协 议的研究,在多层MAP的网络环境下,该方案只是支持简单扩展的网络环境,并且移动终端 在多层MAP的网络环境下缺乏灵活性。经典的基于身份的签名方案一般随着签名次数的增 加,签名长度也随之增加。或者签名长度固定,但是安全性却过度依赖困难假设。
技术实现思路
针对现有技术存在的问题,本专利技术提供一种面向多层MAP的HMIPv6网络双向接入 认证方法。 本专利技术的技术方案是: -种面向多层MAP的HMIPv6网络双向接入认证方法,包括如下步骤: 步骤1 :r〇〇t PKG服务器作为可信第三方,与各层PKG服务器、AR路由器之间建立 可信信道; 步骤2 :r〇〇t PKG服务器生成公共参数并生成私钥; 步骤3 :r〇〇t PKG服务器根据各层PKG服务器的身份信息为其颁发私钥,每层PKG 服务器根据该层的AR路由器的身份信息为其分配私钥; 步骤4 :当移动终端MN离开家乡网络首次接入到HMIPv6网络中的某个MAP下的 AR路由器时,进行初始双向接入认证:当移动终端丽接入HMIPv6网络中时,向root PKG服 务器注册自己的信息并进行双向身份认证; 步骤5 :当移动终端丽在当前接入的外地网络中,由当前MAP域中的AR路由器切 换到另一个MAP域或AR路由器时,进行切换认证。 步骤4按如下步骤进行: 步骤4. 1 :移动终端丽进行移动注册: 步骤4. 2 :要接入的MAP下的AR路由器向移动终端丽发送证书认证请求消息; 步骤4. 3 :当root PKG服务器验证移动终端MN的证书,如果验证成功,root PKG 服务器检查移动终端MN的节点类型:如果为移动节点,则根据域内绑定更新消息LBU临时 更新绑定缓存,root PKG服务器向AR路由器回送证书认证确认消息CVA和域内绑定确认 消息LBA ;如果不是移动节点,则取消身份认证过程;如果验证不成功,则MN身份认证失败, 不能接入到HMIPv6网络中; 步骤4. 4 :AR路由器收到证书认证确认消息CVA后,从移动终端丽的证书中提取 移动终端MN的身份信息对MN进行身份认证:如果身份认证成功,发送认证成功消息VA给 当前MAP通知认证结果,同时AR路由器对域内绑定确认消息LBA进行签名并发送给移动终 端MN ; 步骤4. 5 :当前要接入的MAP收到认证成功消息VA后正式更新绑定缓存,将认证 成功消息VA逐层转发给root PKG服务器,向root PKG服务器通知已经对移动终端MN认 证成功; 步骤4. 6 :r〇〇t PKG服务器收到认证成功消息VA后更新绑定缓存,对移动终端MN 身份消息注册成功;同时发送证书列表更新消息CLU至所有MAP域及MAP域内所有AR路由 器,通知对移动终端MN的成功认证,所述证书列表更新消息CLU消息携带移动终端MN的证 书; 步骤4. 7 :AR路由器转发远程绑定确认消息RBA给移动终端丽并更新证书列表 CL,将移动终端MN的证书加入证书列表; 步骤4. 8 :移动终端丽检查TS2的新鲜性并对RBA进行HMAC认证,同时利用AR路 由器的证书对AR路由器进行认证,如果全部认证成功,则完成移动注册,双向接入认证结 束。 步骤4. 1按如下步骤进行: 步骤4. 1. 1 :移动终端MN分别对远程绑定更新消息RBU和域内绑定更新消息LBU 进行HMAC保护和短签名; 步骤4. 1. 2 :移动终端丽验证要接入的MAP下的AR路由器的证书,即验证该证书 中的签名:如果验证成功,则移动终端丽从该AR路由器的证书中提取该AR路由器的身份 信息,否则,移动终端MN取消与该AR路由器之间的双向认证。 步骤4· 2按如下步骤进行: 步骤4. 2. 1 :AR路由器检查时间戳TS^新鲜性,若新鲜,则执行步骤4. 2. 2,否则; 取消对MN证书的身份认证; 步骤4. 2. 2 :AR路由器检查证书列表,若证书列表不存在当前移动终端MN的证书, 则当前移动终端MN为初次接入,AR路由器逐层向root PKG服务器发送证书认证请求消息, 请求对移动终端MN的证书进行认证,然后执行步骤4. 3,否则直接执行步骤4. 3。 所述切换认证的过程具体如下: 当前MAP域收到移动终端MN的证书并认证成功时,向HMIPv6网络中所有MAP和 AR路由器发送证书列表更新消息CLU更新每一个MAP和AR路由器的证书列表CL ;当移动 终端MN再次在树状MAP域内移动切换时,接入的AR路由器则直接对该移动终端MN进行认 证,无需再对当前MAP进行身份认证请求。 有益效果: 本专利技术提出了一种基于节点证书分级身份短签名方案,其安全性是基于h-CDH问 题,而最大的优势在于随着分级级数的增加,私钥长度随之缩减,并且,签名长度不依赖于 分级级数。不仅如此,此方案所依赖的安全模型更具有一般性,它是适应性选择身份的安全 模型假设。 本专利技术的签名方案是基于身份的层次化短签名机制,实现了丽与接入本文档来自技高网...
【技术保护点】
一种面向多层MAP的HMIPv6网络双向接入认证方法,其特征在于,包括如下步骤:步骤1:root PKG服务器作为可信第三方,与各层PKG服务器、AR路由器之间建立可信信道;步骤2:root PKG服务器生成公共参数并生成私钥;步骤3:root PKG服务器根据各层PKG服务器的身份信息为其颁发私钥,每层PKG服务器根据该层的AR路由器的身份信息为其分配私钥;步骤4:当移动终端MN离开家乡网络首次接入到HMIPv6网络中的某个MAP下的AR路由器时,进行初始双向接入认证:当移动终端MN接入HMIPv6网络中时,向root PKG服务器注册自己的信息并进行双向身份认证;步骤5:当移动终端MN在当前接入的外地网络中,由当前MAP域中的AR路由器切换到另一个MAP域或AR路由器时,进行切换认证。
【技术特征摘要】
【专利技术属性】
技术研发人员:高天寒,索宝仲,王权琦,
申请(专利权)人:东北大学,
类型:发明
国别省市:辽宁;21
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。