当前位置: 首页 > 专利查询>东北大学专利>正文

一种基于身份代理签名的PMIPv6认证系统及方法技术方案

技术编号:14849907 阅读:117 留言:0更新日期:2017-03-18 12:20
本发明专利技术提供一种基于身份代理签名的PMIPv6认证系统及方法,该系统包括:第三方信任中心STR;本地移动锚LMA;移动接入网关MAG。该方法包括STR生成并发布公共参数;当前网络中的所有实体向STR注册并获取实体自身的公私钥对;监测各PMIPv6域内移动节点MN所处的状态:如果MN处于初始状态则执行移动节点MN首次接入PMIPv6域的初始认证;如果MN处于同一PMIPv6域内的移动状态,则执行PMIPv6域内切换认证;如果MN处于不同PMIPv6域内的移动状态,则执行PMIPv6域间切换认证。本发明专利技术将基于身份的代理签名方案应用在PMIPv6协议的移动管理过程中,基于本地认证保证双方在不考虑对方身份的情况下独立地完成解密或签名验证,减少STR与LMA的压力,减少MN的等待时间,能够对抗多重攻击。

【技术实现步骤摘要】

本专利技术属于网络安全
,特别涉及一种基于身份代理签名的PMIPv6认证系统及方法
技术介绍
随着移动终端的不断发展,人们对无线网络服务的需求日益提高,为了满足人们随时随地、方便快捷连接网络的需求,业界对无线网络技术的研究也越发重视起来,而MIPv6无疑是无线网络研究中的一种重要技术。而PMIPv6网络则以其较短的信令延迟,较小的信令开销而成为研究热点。在面对诸如会话劫持攻击、重放攻击、口令猜测、中间人攻击、窃听攻击、伪装、拒绝服务等攻击威胁时,若无法保证其安全性的前提下,PMIPv6被广泛应用到基于网络的区域性移动管理协议是不可能的。近年来,学者们针对PMIPv6接入认证问题进行了大量的研究,并相继推出了自己的安全方案。文献“PMIPv6环境下认证和授权的实现”提出了一种移动IPSec的接入认证方案,该方法采用统一的标识UID进行多级授权的证书和数字签名的方式实现了MN对代理的注册,并在注册的同时创建MN到代理的MIPSec/SA和SAH/SA,其中所创建的SAH/SA是用来防止多级安全网络信息泄露。这两种方法都是通过修改IKEv2来实现的。该协议的优点是可以抵抗无限链路开放性所带来的威胁,具有很高的安全性和有效性但是其效率相对来说比较低;文献“SPAM:AsecurepasswordauthenticationmechanismforseamlesshandoverinproxymobileIPv6networks”提出了一种利用智能卡存储相关信息实现的安全密码的认证机制,该机制在安全性和效率方面比较有优势,但是由于其本身有智能卡的安全性问题,因此依然存在着较大的安全漏洞;文献“TheKerberosnetworkauthenticationservice(V5)”提出的是针对于分布式环境的认证服务,通过提供一次性输入ID和密码,就可以从分布式服务器那得到权限去获取多重服务。把Kerberos应用到PMIPv6中的依据就是把MAG当作服务器。这里假设供票服务器和AS是同一个实体。但是,如果没有重组的机制,MAG就是一个独立的服务器。因此,每当MN改变了它的接入点时,MN必须提供网络服务的权限。可见,上述的认证方案之中,在认证延迟和接入过程的安全性等方面存在不同程度的缺陷,均不能很好满足WMN安全高效接入认证的需求。
技术实现思路
针对现有技术存在的不足,本专利技术提供一种基于身份代理签名的PMIPv6认证系统及方法。本专利技术的技术方案如下:一种基于身份代理签名的PMIPv6认证系统,包括:第三方信任中心STR:生成并发布公共参数、对所在PMIPv6域中实体身份进行审查,颁发私钥及证书,并维护其所在网络中的所有诚实实体的公钥,将其签名权授权给代理签名者;本地移动锚LMA:分别与第三方信任中心STR、移动接入网关MAG连接,建立双向隧道来转发数据包,同时作为第三方信任中心STR的代理签名者,为移动接入网关MAG提供注册和认证服务;移动接入网关MAG:监测移动节点MN的移动状态,同时利用本地移动锚LMA颁发的证书与移动节点MN之间进行相互认证,保证本地移动锚LMA与移动节点MN之间进行安全通信。利用所述的系统进行PMIPv6认证的方法,包括:步骤1:第三方信任中心STR生成并发布公共参数;步骤2:当前网络中的所有实体向第三方信任中心STR注册并获取实体自身的公私钥对;第三方信任中心STR将移动节点的IDMN及有效期进行签名后作为证书颁发给移动节点MN,本地移动锚LMA从第三方信任中心STR处获得代理签名权,本地移动锚LMA将代理签名的授权证书、第三方信任中心STR的IDSTR、本地移动锚LMA自身的IDLMA、移动接入网关MAG的IDMAG进行签名后作为证书颁发给对应的MAG;步骤3:监测各PMIPv6域内移动节点MN所处的状态:如果移动节点MN处于初始状态即移动节点MN首次接入PMIPv6域时的状态,则执行步骤4;如果移动节点MN处于同一PMIPv6域内的移动状态,则执行步骤5;如果移动节点MN处于不同PMIPv6域内的移动状态,则执行步骤6;步骤4:执行移动节点MN首次接入PMIPv6域的初始认证;步骤5:当前正在连接的移动接入网关MAG将自己与移动节点MN之间的共享密钥发送给同一PMIPv6域内待接入的移动接入网关MAG,执行PMIPv6域内切换认证;步骤6:当前正在连接的域内的本地移动锚LMA将自己与移动节点MN之间的共享密钥发送给另一待接入PMIPv6域内的本地移动锚LMA,执行PMIPv6域间切换认证。所述步骤4,包括:步骤4.1:移动节点MN利用自己的私钥SKMN,将从第三方信任中心STR获得的证书CertSTR-MN、时间戳TS1以及移动节点MN的IDMN做含有会话密钥协商参数σMN_2的签名SignMN,并将该签名SignMN、证书CertSTR-MN、时间戳TS1以及移动节点MN的IDMN同时发送给准备接入的移动接入网关MAG1;步骤4.2:移动接入网关MAG1验证移动节点MN发送的时间戳TS1:若该时间戳TS1新鲜,则执行步骤4.3,否则移动接入网关MAG1拒绝移动节点MN的接入请求;步骤4.3:移动接入网关MAG1验证移动节点MN发送的签名SignMN及证书CertSTR-MN:如果合法,则执行步骤4.4,否则移动接入网关MAG1拒绝移动节点MN的接入请求;步骤4.4:移动接入网关MAG1运用自身私钥SKMAG1,将从移动接入网关MAG1所连接的本地移动锚LMA1获得的证书CertLMA1-MAG1以及自身的时间戳TS2、移动接入网关MAG1所连接的本地移动锚LMA1的IDLMA1、移动接入网关MAG1自身的做含有会话密钥协商参数σMAG1_2的签名并将该签名证书CertLMA1-MAG、时间戳TS2,以及本地移动锚LMA1的IDLMA1与移动接入网关MAG1的发送回移动节点MN,同时利用移动接入网关MAG1自身私钥SKMAG1及移动节点MN发送的签名SignMN中包含的会话密钥协商参数,计算移动接入网关MAG1与移动节点MN之间的共享密钥KMAG1-MN及会话密钥SEKMAG1-MN;步骤4.5:移动节点MN验证移动接入网关MAG1发送的时间戳TS2:若该时间戳TS2新鲜,则执行步骤4.6,否则移动节点MN停止接入请求;步骤4.6:移动节点MN验证移动接入网关MAG1发送回的签名及证书CertLMA1-MAG:如果合法,则执行步骤4.7,否则移动节点MN停止接入请求;步骤4.7:移动节点MN利用自己的私钥SKMN及移动接入网关MAG1发送的签名中包含的会话密钥协商参数,计算移动节点MN与移动接入网关MAG1之间的共享密钥KMAG1-MN及会话密钥SEKMAG1-MN,完成初始接入认证;步骤4.8:在移动节点MN与移动接入网关MAG1之间完成初始认证后,移动接入网关MAG1将从移动节点MN处得到的会话密钥协商参数σMN_2与绑定更新消息(PBU)一同发送给本地移动锚LMA1,本地移动锚LMA1接收后,运用DH密钥交换算法,本地移动锚LMA利用自己的私钥和该会话密钥协商参数计算的值,运用单向哈希函数H3进行哈希,得到本地移动锚LMA与移动节点MN之间的共享密钥KLM本文档来自技高网
...
一种基于身份代理签名的PMIPv6认证系统及方法

【技术保护点】
一种基于身份代理签名的PMIPv6认证系统,其特征在于,包括:第三方信任中心STR:生成并发布公共参数、对所在PMIPv6域中实体身份进行审查,颁发私钥及证书,并维护其所在网络中的所有诚实实体的公钥,将其签名权授权给代理签名者;本地移动锚LMA:分别与第三方信任中心STR、移动接入网关MAG连接,建立双向隧道来转发数据包,同时作为第三方信任中心STR的代理签名者,为移动接入网关MAG提供注册和认证服务;移动接入网关MAG:监测移动节点MN的移动状态,同时利用本地移动锚LMA颁发的证书与移动节点MN之间进行相互认证,保证本地移动锚LMA与移动节点MN之间进行安全通信。

【技术特征摘要】
1.一种基于身份代理签名的PMIPv6认证系统,其特征在于,包括:第三方信任中心STR:生成并发布公共参数、对所在PMIPv6域中实体身份进行审查,颁发私钥及证书,并维护其所在网络中的所有诚实实体的公钥,将其签名权授权给代理签名者;本地移动锚LMA:分别与第三方信任中心STR、移动接入网关MAG连接,建立双向隧道来转发数据包,同时作为第三方信任中心STR的代理签名者,为移动接入网关MAG提供注册和认证服务;移动接入网关MAG:监测移动节点MN的移动状态,同时利用本地移动锚LMA颁发的证书与移动节点MN之间进行相互认证,保证本地移动锚LMA与移动节点MN之间进行安全通信。2.利用权利要求1所述的系统进行PMIPv6认证的方法,其特征在于,包括:步骤1:第三方信任中心STR生成并发布公共参数;步骤2:当前网络中的所有实体向第三方信任中心STR注册并获取实体自身的公私钥对;第三方信任中心STR将移动节点的IDMN及有效期进行签名后作为证书颁发给移动节点MN,本地移动锚LMA从第三方信任中心STR处获得代理签名权,本地移动锚LMA将代理签名的授权证书、第三方信任中心STR的IDSTR、本地移动锚LMA自身的IDLMA、移动接入网关MAG的IDMAG进行签名后作为证书颁发给对应的MAG;步骤3:监测各PMIPv6域内移动节点MN所处的状态:如果移动节点MN处于初始状态即移动节点MN首次接入PMIPv6域时的状态,则执行步骤4;如果移动节点MN处于同一PMIPv6域内的移动状态,则执行步骤5;如果移动节点MN处于不同PMIPv6域内的移动状态,则执行步骤6;步骤4:执行移动节点MN首次接入PMIPv6域的初始认证;步骤5:当前正在连接的移动接入网关MAG将自己与移动节点MN之间的共享密钥发送给同一PMIPv6域内待接入的移动接入网关MAG,执行PMIPv6域内切换认证;步骤6:当前正在连接的PMIPv6域内的本地移动锚LMA将自己与移动节点MN之间的共享密钥发送给另一待接入PMIPv6域内的本地移动锚LMA,执行PMIPv6域间切换认证。3.根据权利要求2所述的方法,其特征在于,所述步骤4,包括:步骤4.1:移动节点MN利用自己的私钥SKMN,将从第三方信任中心STR获得的证书CertSTR-MN、时间戳TS1以及移动节点MN的IDMN做含有会话密钥协商参数σMN_2的签名SignMN,并将该签名SignMN、证书CertSTR-MN、时间戳TS1以及移动节点MN的IDMN同时发送给准备接入的移动接入网关MAG1;步骤4.2:移动接入网关MAG1验证移动节点MN发送的时间戳TS1:若该时间戳TS1新鲜,则执行步骤4.3,否则移动接入网关MAG1拒绝移动节点MN的接入请求;步骤4.3:移动接入网关MAG1验证移动节点MN发送的签名SignMN及证书CertSTR-MN:如果合法,则执行步骤4.4,否则移动接入网关MAG1拒绝移动节点MN的接入请求;步骤4.4:移动接入网关MAG1运用自身私钥SKMAG1,将从移动接入网关MAG1所连接的本地移动锚LMA1获得的证书CertLMA1-MAG1以及自身的时间戳TS2、移动接入网关MAG1所连接的本地移动锚LMA1的IDLMA1、移动接入网关MAG1自身的IDMAG1做含有会话密钥协商参数σMAG1_2的签名并将该签名证书CertLMA1-MAG、时间戳TS2,以及本地移动锚LMA1的IDLMA1与移动接入网关MAG1的发送回移动节点MN,同时利用移动接入网关MAG1自身私钥SKMAG1及移动节点MN发送的签名SignMN中包含的会话密钥协商参数,计算移动接入网关MAG1与移动节点MN之间的共享密钥KMAG1-MN及会话密钥SEKMAG1-MN;步骤4.5:移动节点MN验证移动接入网关MAG1发送的时间戳TS2:若该时间戳TS2新鲜,则执行步骤4.6,否则移动节点MN停止接入请求;步骤4.6:移动节点MN验证移动接入网关MAG1发送回的签名及证书CertLMA1-MAG:如果合法,则执行步骤4.7,否则移动节点MN停止接入请求;步骤4.7:移动节点MN利用自己的私钥SKMN及移动接入网关MAG1发送的签名中包含的会话密钥协商参数,计算移动节点MN与移动接入网关MAG1之间的共享密钥KMAG1-MN及会话密钥SEKMAG1-MN,完成初始接入认证;步骤4.8:在移动节点MN与移动接入网关MAG1之间完成初始认证后,移动接入网关MAG1将从移动节点MN处得到的会话密钥协商参数σMN_2与绑定更新消息(PBU)一同发送给本地移动锚LMA1,本地移动锚LMA1接收后,运用DH密钥交换算法,本地移动锚LMA利用自己的私钥和该会话密钥协商参数计算的值,运用单向哈希函数H3进行哈希,得到本地移动锚LMA与移动节点MN之间的共享密钥KLMA1-MN,并存储。4.根据权利要求2所述的方法,其特征在于,所述步骤5,包括:步骤5.1:移动节点MN首先根据DH密钥交换算法生成相应的会话密钥协商参数σMN_2,然后利用当前正在连接的移动接入网关MAG1与移动节点MN之间的共享密钥KMAG1-MN,将移动节点MN自身的IDMN、当前正在连接的移动接入网关MAG1的IDMAG1、会话密钥协商参数σMN_2以及时间戳TS3做签名SignMN,同时并将该签名SignMN、时间戳TS3、当前正在连接的移动接入网关MAG1...

【专利技术属性】
技术研发人员:高天寒邓新洋耿芳华郭楠
申请(专利权)人:东北大学
类型:发明
国别省市:辽宁;21

网友询问留言 已有0条评论
  • 还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。

1