本发明专利技术公开了一种航空通信NEMO(Network Mobility)网络下基于安全互联的切换认证机制。本发明专利技术包括:针对飞机飞行线路的固定性当飞机接入外域网时,向本地发送切换请求;将飞机上移动路由器身份的转接地址和网络前缀分开进行认证,避免了多余的认证步骤;判断飞机在外域网本地的切换状态,本地域间切换则进行宏认证,反之本地域内切换则进行微认证;本发明专利技术通过所提切换认证对于飞机路由身份的认证,保证了移动节点身份的安全性以及传输消息的私密性,减少了切换认证时延,避免了隧道压力,提高了航空通信过程的可靠性。
【技术实现步骤摘要】
本专利技术涉及一种航空通信NEMO网络下的切换认证机制,基于安全互联技术有效解决了切换过程中身份的认证问题,属于航空无线通信
技术介绍
国际民航组织ICAO(InternationCivilAviationOrganization)已经将IPv6作为未来基于IP的航空通信网络ATN基础协议。在分层ATN网络环境下的通信主要是飞机驾驶员与地面控制中心之间的数据报文交换,其对于时效性以及安全性有极高的要求。IETF(InternetEngineeringTaskForce)的NEMO工作组成立于2002年10月,该工作组针对NEMO网络提出了NEMO基本协议,即RFC3963。作为MIPv6(MobileIPv6)协议的扩展协议,NEMO基本协议可支持网络移动性,而MIPv6只用于单个移动主机的移动性管理。NEMO基本协议在保证移动网络漫游过程中会话连续性的同时,也继承了MIPv6的缺点,即所有的数据报文的交换都必须通过家乡代理HA(HomeAgent),这导致了通信对端之间会话时延的增加,特别是在ATN网络中由于航空通信大区域切换的特点导致HA与本地通信网络的距离很远,当HA不可达时就会引起单点失效(SinglePointFailure)问题。除此之外,NEMO基本协议对于节点或者路由器身份的认证、授权和计费没有详细概述,使得其不能直接适用于航空ATN网络。再者,航空通信以及切换过程中,消息报文的发送、传输以及接受过程中,存在各种各样的威胁及安全攻击,如数据窃取、消息伪造和中间人攻击等等,因此NEMO网络下移动节点身份的私密性以及报文数据传输的安全性问题制约着航空通信的发展。在NEMO基本协议中,每一个移动路由器MR(MobileRouter)都有一个具有身份标识的网络前缀MNP并且在通信过程中不会随接入的外域网而改变,进行数据报文交流的通信节点CN(CorrespondentNode)对应有CNP(CorrespondentNodePrefix)。当飞机切换到外域网并接入本地的接入路由器AR(AccessRouter)后,外域网分配给飞机上MR一个转接地址CoA,然后MR与HA进行绑定更新BU(BindingUpdate)和绑定确认BA(BindingAcknowledge)来注册MR的身份信息和更新其实时位置。目前,对于NEMO网络中身份认证的方法,目前主要是通过证书和对称加密算法来对于身份信息进行加密和传输,但是在航空ATN网络下,这种认证方式的实施和部署存在问题:1、航空ATN通信环境具有在地理上大区域切换的特点,造成本地域与家乡域网络距离很大,在进行信令交互过程中,报文数据的传输时延会加大,导致认证时延的增加;2、航空通信过程中,飞机在固定线路上高速行驶,为了保持会话的连续性,切换过程中需要降低丢包率,而传统的切换过程会在PAR和NAR之间建立双向隧道存储切换过程发送的数据报文,由于隧道存储能力有限,会增加数据的丢失;3、航空NEMO网络并没有详细的部署AAA服务器进行节点路由的认证和授权,由于航空通信的带宽和存储能力有限,所以假如直接把传统认证方式应用到ATN网络中,会增加认证过程的开销,导致认证时延的增加。基于以上问题,本专利技术提出了一种航空通信NEMO网络下基于安全互联的切换认证机制,有效的解决了飞机切换过程中身份认证的安全性问题。
技术实现思路
鉴于在上述场景下传统认证方式无法直接应用于航空高速环境下节点身份认证问题,本专利技术提出了一种航空通信NEMO网络下基于安全互联的切换认证机制,根据飞机切换域的不同分为宏认证和微认证:(1)当飞机在不同AR之间进行切换时,进行宏认证,认证步骤如下:飞机发送切换请求之后,飞机上MR发送一个由自身私钥签署的FBU(FastBindingUpdate)消息给PAR,FBU消息中包含MR的安全互联信息SAMR,证书信息CERTMR以及随机数NMR。PAR接收到FBU消息后,不经处理,将其转发给飞机要切换接入的NAR,此时消息定义为HI(handoverinitiate)。NAR收到消息后,同样不经处理,转发LAAA(LocalAAA)服务器进行CoA认证的信令交换CoTI/CoT。LAAA首先根据CoA信息利用预共享安全互联消息中的MR的公钥将收到的消息进行解密,获得NMR,然后利用单向的哈希函数通过公式1计算生成转接密钥kMR:kMR=H(NMR|CoA|SCi)]]>(公式1)其中只有LAAA掌握的具有时效性的转接键。然后LAAA发送由自己私钥签署的CoT消息给NAR,包含NMR、转接密钥kMR以及IS,IS表征了产生转接密钥所对应的i值。NAR收到CoT消息后,首先通过预共享安全互联消息中的LAAA的公钥将其解密,然后自己产生一个随机数NNAR,通过公式2计算生成密钥kSK:kSK=H(NNAR|NMR|RPI)(公式2)抗重放指标RPI(ReplayProtectionIndicator)代表NAR的ID或者进行计算时的时间戳。NAR然后发送Hack消息给PAR,包含NMR、RPI、NNAR以及签名消息SM1,其中SM1是由kSK签署,包含NAR的证书CERTNAR、kMR和SANAR。PAR接收到Hack之后,不做处理并将其定义为FBack转发给MR,MR用公钥解密FBack消息后,通过公式2生成kSK,然后解密签名消息SM1,得到kMR,并证明其地址的正确性。此时,转接地址CoA认证完成。然后MR进行MNP认证,MR发送BU消息给LAAA,其中AMR和ALAAA是由MR和LAAA支持的加密算法,SM2是由MR私钥计算而来的签名消息,S是一系列的随机数。LAAA收到BU之后进行解密,得到NMR和IS,IS可以指出之前步骤中的值,根据BU消息的CoA地址,利用公式1产生kMR来确认BU消息的合法性,然后如果LAAA能通过CERTMR中MR的公钥成功解密签名消息SM2,那么可以证明MNP的合法性。LAAA在证明MNP合法之后,产生一个随机的对称家乡密钥kSH并发送由LAAA私钥签署的BA消息给MR。SM3是由LAAA私钥计算而来的签名消息,用来保证CNP的合法性,kSH由kMR签署。MR收到BA消息之后,通过CERTLAAA中的公钥来解密SM3确认消息合法性,之后永久存贮kSH。宏认证结束。(2)当飞机在同一AR域内进行切换时,进行微认证,认证步骤如下:飞机发送切换请求之后,跟宏认证一样,MR发送FBU消息给NAR,NAR与LAAA之间进行CoTI/CoT交换进行CoA认证,得到kMR,然后NAR和MR3之间进行HI/Hack信息交换,得到NMR3、SAMR3和CERTMR3,然后NAR通过公式3计算产生kSK:kSK=H(NMR3|NMR|RPI)(公式3)然后NAR发送由其私钥签署的FBack消息给MR,包含由kSK签署的签名消息SM1、CERTMR3、SAMR3和kMR,MR解密FBack消息之后,得到kMR,CoA认证结束。由于在域内切换过程中,MNP不发本文档来自技高网...
【技术保护点】
航空通信NEMO网络下基于安全互联的切换认证机制,其特征在于:航空ATN(aeronautical telecommunications network)通信网络中的节点承载ATS(Air Traffic Services)和AOC(Airline Operational Communications)数据业务,并且对于通信过程的安全性要求较高;对于网络前缀MNP(Mobile NetworkPrefix)的认证采用链状的公钥证书结构和对称加密算法,对于转交地址CoA(Care‑of‑Address)的认证采用转交测试初始化CoTI(Care‑of Test Init)和转交测试CoT(Care‑of Test)。切换过程中的所有认证都是本地认证,即进行密钥处理时的身份信息都是本地提取,无需与家乡网络进行信息交流,本地AAA(Authentication,Authorization and Accounting)服务器也无需存储生成的密钥;飞机接入外域网向本地发送切换请求时,第一步,首先确认飞机是否接入新的接入路由器AR(Access Router),进而断定飞机的切换过程是发生在不同的外域网之间还是同一外域网内;第二步,根据切换范围的不同,在进行认证时选择对应的方式,如果从之前的接入路由器PAR(Previous Access Router)到新接入路由器NAR(New Access Router)则采取宏认证,如果是在同一AR下的不同MR之间切换,那么采取微认证。...
【技术特征摘要】
1.航空通信NEMO网络下基于安全互联的切换认证机制,其特
征在于:
航空ATN(aeronauticaltelecommunicationsnetwork)通信网络中
的节点承载ATS(AirTrafficServices)和AOC(AirlineOperational
Communications)数据业务,并且对于通信过程的安全性要求较高;
对于网络前缀MNP(MobileNetworkPrefix)的认证采用链状的
公钥证书结构和对称加密算法,对于转交地址CoA(Care-of-Address)
的认证采用转交测试初始化CoTI(Care-ofTestInit)和转交测试
CoT(Care-ofTest)。
切换过程中的所有认证都是本地认证,即进行密钥处理时的身份
信息都是本地提取,无需与家乡网络进行信息交流,本地AAA
(Authentication,AuthorizationandAccounting)服务器也无需存储生
成的密钥;
飞机接入外域网向本地发送切换请求时,第一步,首先确认飞机
是否接入新的接入路由...
【专利技术属性】
技术研发人员:刘元安,李建龙,高锦春,刘海洋,陈留情,智超,
申请(专利权)人:北京邮电大学,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。