【技术实现步骤摘要】
本专利技术涉及。
技术介绍
分离机制移动性管理系统改变了以主机为中心和以网络为中心的部署,融合了身份与位置分离、接入网与核心网分离、数据转发与控制信令分离的机制,解决了 IP地址双重属性带来的移动互联网的移动性管理、安全性和可靠性等问题。随着移动互联网的发展,各种移动设备如手机、平板电脑等可以方便迅速并且随时随地接入网络享受网络服务,大量设备的接入对于网络安全造成了严重的威胁,如中间人攻击、抗重播保护、AP节点欺骗、数据的非法窃听和修改等网络中的不安全行为。网络接入认证对于控制用户接入网络服务是ー个关键过程,网络接入安全确保了网络操作者仅允·许被认证用户的接入。文献(专利申请201110152731. 4)中对分离机制移动性管理系统做了详细介绍,具体阐述了系统的主要功能划分以及信令格式的定义。三种分离机制的部署使得主机无需參与移动性管理,减轻了主机的负担,易于实现多家乡、流移动性等功能;控制网关根据接入网流量负荷等情况选择不同数据网关,消除数据网关性能瓶颈问题,达到分布式移动管理目的;使用不同地址在接入网和核心网对用户进行路由,保证了边缘网络用户行为不影响核心网...
【技术保护点】
分离机制移动性管理系统实现接入认证的密钥分发方法,其特征在于,该方法包括:家乡域初始认证:MN初始接入家乡域的AGW1,AGW1发送广播的EAP?Initiate/Re?auth?Start(EAP初始/重认证开始消息)消息通告所在域名,MN根据配置文件判断此时为家乡域的初始过程,执行相应的操作,密钥根据相应场景逐级派生;家乡域重认证:MN从AGW1切换到AGW2时,AGW2发送EAP?Initiate/Re?auth?Start消息通告所在域名,根据配置文件判断已在该域认证过,则MN根据绑定注册列表判断执行家乡域重认证过程;外地域初始认证:当MN从家乡域切换到外地域的AG...
【技术特征摘要】
1.分离机制移动性管理系统实现接入认证的密钥分发方法,其特征在于,该方法包括家乡域初始认证丽初始接入家乡域的AGWl,AGffl发送广播的EAP-Initiate/Re-auth-Start (ΕΑΡ初始/重认证开始消息)消息通告所在域名,MN根据配置文件判断此时为家乡域的初始过程,执行相应的操作,密钥根据相应场景逐级派生;家乡域重认证ΜΝ从AGWl切换到AGW2时,AGW2发送EAP-Initiate/Re-auth_Start消息通告所在域名,根据配置文件判断已在该域认证过,则匪根据绑定注册列表判断执行家乡域重认证过程;外地域初始认证当匪从家乡域切换到外地域的AGW3时,AGW3发送EAP-Initiate/Re-auth-Start消息通告所在域名,MN根据该消息对照配置文件和绑定注册列表判断执行外地域初始认证过程;外地域重认证MN从AGW3切换到AGW4, AGW4发送EAP-Initiate/Re-auth-Start消息通告所在域名,根据配置文件判断已在该域认证过,则匪根据绑定注册列表判断执行外地域重认证过程。2.根据权利要求I所述的分离机制移动性管理系统实现接入认证的密钥分发方法,其特征在于,所述家乡域初始认证具体包括步骤I :MN接入家乡域的AGWl时,发送PANA-Client-Initiation (PCI,PANA客户端初始消息)消息,此消息用来探测网络中可以为其提供PANA认证的实体;步骤2:AGW1收到PCI消息后,若支持PANA协议并提供接入认证服务则发送PANA-Auth-Request (S) (PAR(S),PANA认证请求开始消息)消息,否则将PCI消息丢弃;步骤3 MN收到PAR(S)消息,若继续与AGWl执行PANA认证,则发送PANA-Auth-Answer (S) (PAA (S),PANA认证应答开始消息)以回复PAR (S)消息;步骤4 =AGffl收到PAA(S)消息表明可以继续PANA认证过程,发送广播消息EAP-Initiate/Re-auth-Start通告所在域的域名以提示MN执行该域初始认证或是重认证过程;MN收到该消息,对照自己的配置文件,将消息通告的域名与自己绑定的域名对比,查找是否存有HAAA域的注册列表,若没有则创建HAAA域注册列表,同时删除表中其它域的注册■信息,初始Registration flag标识位置‘0’,表明是在HAAA域内的初始认证,MN无需对EAP-Initiate/Re-auth-Start消息作任何回复;待生存时间到期之后,AGWl在生存时间内没有收到MN的回复执行步骤5 ;步骤5 EAP-Initiate/Re-auth-Start消息在生存时间内没有收到MN的回复,表明执行家乡域初始认证过程,AGffl发送EAP标识符请求消息EAP-Request/Identity消息请求MN的标识符,该消息承载在PANA协议中;步骤6 MN将标识符通过EAP标识符应答消息EAP-Response/Identity消息传给AGWl,该消息承载在PANA协议中,此时将Registration flag标志位置‘I’ ;步骤7 =AGffl收到EAP-Response/Identity消息后将所需的MN身份标识符提取出来承载在 Diameter 协议中通过 AAA (EAP-Response/Identity)消息传给 HAAA ; 步骤8 =HAAA收到丽的标识符后开始完整的EAP-PSK初始认证过程,此时由HAAA端的PSK密钥派生AK和KDK密钥,HAAA发送第一条认证消息DEA+EAP_payload(req_psk#l)AVP(Diameter EAP应答消息),该消息包含如下參数Flags、RAND_S、ID_S, Flags用来标识消息的序列号,RAND_S是HAAA端生成的随机数,ID_S是其HAAA的身份标识;步骤9 =AGffl收到HAAA发来的Flags值为I的认证消息,不对该消息做任何改动,将其承载在PANA协议中传给MN ;步骤10 :丽收到AGWl发来的EAP/req_psk#l消息(ΕΑΡ请求消息),同时由PSK派生AK和KDK密钥,通过获得的HAAA端的RAND_S和ID_S并已知自己的RAND_P、ID_P和AK经过AES-128算法计算得到MAC_P,MN发送Flags为2的认证消息EAP/res_psk#2 (ΕΑΡ应答消息),该消息包含如下參数Flags,RAND_S, RAND_P, MAC_P和ID_P ;步骤11 =HAAA接收到通过AGWl传来的承载在Diameter协议上的DER+EAP_payload (req-psk#2) AVP消息(Diameter EAP请求消息),对消息内容进行解析,获取RAND_P、ID_P 和 MAC_P 值; 步骤12 =HAAA在得知RAND_P和ID_P后,根据自己拥有的AK和RAND_S、ID_S经过与 丽端生成MAC_P同样的过程重新计算MAC_P,若该值与丽端计算的值相等,则表明丽身份合法,此时由KDK派生TEK、MSK和EMSK,并将此认证结果result indication flag R作为PCHANNEL_S_0的ー个属性连同HAAA端计算的MAC_S通过Flags为3的DEA+EAP_payload (req-psk#3)消息传给 AGWl ;步骤13 :丽收到由AGWl解析的承载在PANA上的EAP/req-psk#3消息并获得MAC_S,此时由KDK派生TEK、MSK和EMSK ;步骤14 :由丽端具有的关于HAAA的信息重新计算MAC_S,若与HAAA端计算的相同,则认证HAAA身份合法,将认证结果作为PCHANNEL_P_1的ー个属性通过Flags为4的EAP/req_psk#4消息传给HAAA,该消息包含如下參数Flags,RAND_S, PCHANNEL_P_1, MN端由PCHANNEL_S_0得知自己通过了 HAAA的认证,由MSK派生TSK密钥,用于保护后续的数据交互;步骤15 HAAA收到DER+EAP_payload (req-psk#4) AVP消息,对数据进行解析得到PCHANNEL_P_1,此时MN和HAAA均已相互认证成功;步骤16 =HAAA将生成的MSK通过EAP success消息承载在Diameter协议上传给AGWl端,AGWl解析该消息提取并保留MSK,由MSK派生TSK用于保护后续与匪端交互的数据流,将EAP success承载在PANA协议上传给MN ;步骤 17 :MN 收到携带 EAP success 属性值的 PANA-Auth-Request(C)消息(PAR(C),PANA认证请求结束消息),至此MN和HAAA间的双向认证结束,MN和AGWl通过共享的TSK保护后续数据流;步骤18 =AGffl收到MN回复的PANA-Auth-Answer(C) (PAA(C), PANA认证应答结束消息)...
【专利技术属性】
技术研发人员:周华春,任飞,易李,吕建华,张宏科,丁杰,
申请(专利权)人:北京交通大学,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。