【技术实现步骤摘要】
本专利技术属于网络安全
,特别涉及一种基于身份代理签名的PMIPv6认证系统及方法。
技术介绍
随着移动终端的不断发展,人们对无线网络服务的需求日益提高,为了满足人们随时随地、方便快捷连接网络的需求,业界对无线网络技术的研究也越发重视起来,而MIPv6无疑是无线网络研究中的一种重要技术。而PMIPv6网络则以其较短的信令延迟,较小的信令开销而成为研究热点。在面对诸如会话劫持攻击、重放攻击、口令猜测、中间人攻击、窃听攻击、伪装、拒绝服务等攻击威胁时,若无法保证其安全性的前提下,PMIPv6被广泛应用到基于网络的区域性移动管理协议是不可能的。近年来,学者们针对PMIPv6接入认证问题进行了大量的研究,并相继推出了自己的安全方案。文献“PMIPv6环境下认证和授权的实现”提出了一种移动IPSec的接入认证方案,该方法采用统一的标识UID进行多级授权的证书和数字签名的方式实现了MN对代理的注册,并在注册的同时创建MN到代理的MIPSec/SA和SAH/SA,其中所创建的SAH/SA是用来防止多级安全网络信息泄露。这两种方法都是通过修改IKEv2来实现的。该协议的优点是可以抵抗无限链路开放性所带来的威胁,具有很高的安全性和有效性但是其效率相对来说比较低;文献“SPAM:AsecurepasswordauthenticationmechanismforseamlesshandoverinproxymobileIPv6networks”提出了一种利用智能卡存储相关信息实现的安全密码的认证机制,该机制在安全性和效率方面比较有优势,但是由于其本身有智能卡的安全性问题 ...
【技术保护点】
一种基于身份代理签名的PMIPv6认证系统,其特征在于,包括:第三方信任中心STR:生成并发布公共参数、对所在PMIPv6域中实体身份进行审查,颁发私钥及证书,并维护其所在网络中的所有诚实实体的公钥,将其签名权授权给代理签名者;本地移动锚LMA:分别与第三方信任中心STR、移动接入网关MAG连接,建立双向隧道来转发数据包,同时作为第三方信任中心STR的代理签名者,为移动接入网关MAG提供注册和认证服务;移动接入网关MAG:监测移动节点MN的移动状态,同时利用本地移动锚LMA颁发的证书与移动节点MN之间进行相互认证,保证本地移动锚LMA与移动节点MN之间进行安全通信。
【技术特征摘要】
1.一种基于身份代理签名的PMIPv6认证系统,其特征在于,包括:第三方信任中心STR:生成并发布公共参数、对所在PMIPv6域中实体身份进行审查,颁发私钥及证书,并维护其所在网络中的所有诚实实体的公钥,将其签名权授权给代理签名者;本地移动锚LMA:分别与第三方信任中心STR、移动接入网关MAG连接,建立双向隧道来转发数据包,同时作为第三方信任中心STR的代理签名者,为移动接入网关MAG提供注册和认证服务;移动接入网关MAG:监测移动节点MN的移动状态,同时利用本地移动锚LMA颁发的证书与移动节点MN之间进行相互认证,保证本地移动锚LMA与移动节点MN之间进行安全通信。2.利用权利要求1所述的系统进行PMIPv6认证的方法,其特征在于,包括:步骤1:第三方信任中心STR生成并发布公共参数;步骤2:当前网络中的所有实体向第三方信任中心STR注册并获取实体自身的公私钥对;第三方信任中心STR将移动节点的IDMN及有效期进行签名后作为证书颁发给移动节点MN,本地移动锚LMA从第三方信任中心STR处获得代理签名权,本地移动锚LMA将代理签名的授权证书、第三方信任中心STR的IDSTR、本地移动锚LMA自身的IDLMA、移动接入网关MAG的IDMAG进行签名后作为证书颁发给对应的MAG;步骤3:监测各PMIPv6域内移动节点MN所处的状态:如果移动节点MN处于初始状态即移动节点MN首次接入PMIPv6域时的状态,则执行步骤4;如果移动节点MN处于同一PMIPv6域内的移动状态,则执行步骤5;如果移动节点MN处于不同PMIPv6域内的移动状态,则执行步骤6;步骤4:执行移动节点MN首次接入PMIPv6域的初始认证;步骤5:当前正在连接的移动接入网关MAG将自己与移动节点MN之间的共享密钥发送给同一PMIPv6域内待接入的移动接入网关MAG,执行PMIPv6域内切换认证;步骤6:当前正在连接的PMIPv6域内的本地移动锚LMA将自己与移动节点MN之间的共享密钥发送给另一待接入PMIPv6域内的本地移动锚LMA,执行PMIPv6域间切换认证。3.根据权利要求2所述的方法,其特征在于,所述步骤4,包括:步骤4.1:移动节点MN利用自己的私钥SKMN,将从第三方信任中心STR获得的证书CertSTR-MN、时间戳TS1以及移动节点MN的IDMN做含有会话密钥协商参数σMN_2的签名SignMN,并将该签名SignMN、证书CertSTR-MN、时间戳TS1以及移动节点MN的IDMN同时发送给准备接入的移动接入网关MAG1;步骤4.2:移动接入网关MAG1验证移动节点MN发送的时间戳TS1:若该时间戳TS1新鲜,则执行步骤4.3,否则移动接入网关MAG1拒绝移动节点MN的接入请求;步骤4.3:移动接入网关MAG1验证移动节点MN发送的签名SignMN及证书CertSTR-MN:如果合法,则执行步骤4.4,否则移动接入网关MAG1拒绝移动节点MN的接入请求;步骤4.4:移动接入网关MAG1运用自身私钥SKMAG1,将从移动接入网关MAG1所连接的本地移动锚LMA1获得的证书CertLMA1-MAG1以及自身的时间戳TS2、移动接入网关MAG1所连接的本地移动锚LMA1的IDLMA1、移动接入网关MAG1自身的IDMAG1做含有会话密钥协商参数σMAG1_2的签名并将该签名证书CertLMA1-MAG、时间戳TS2,以及本地移动锚LMA1的IDLMA1与移动接入网关MAG1的发送回移动节点MN,同时利用移动接入网关MAG1自身私钥SKMAG1及移动节点MN发送的签名SignMN中包含的会话密钥协商参数,计算移动接入网关MAG1与移动节点MN之间的共享密钥KMAG1-MN及会话密钥SEKMAG1-MN;步骤4.5:移动节点MN验证移动接入网关MAG1发送的时间戳TS2:若该时间戳TS2新鲜,则执行步骤4.6,否则移动节点MN停止接入请求;步骤4.6:移动节点MN验证移动接入网关MAG1发送回的签名及证书CertLMA1-MAG:如果合法,则执行步骤4.7,否则移动节点MN停止接入请求;步骤4.7:移动节点MN利用自己的私钥SKMN及移动接入网关MAG1发送的签名中包含的会话密钥协商参数,计算移动节点MN与移动接入网关MAG1之间的共享密钥KMAG1-MN及会话密钥SEKMAG1-MN,完成初始接入认证;步骤4.8:在移动节点MN与移动接入网关MAG1之间完成初始认证后,移动接入网关MAG1将从移动节点MN处得到的会话密钥协商参数σMN_2与绑定更新消息(PBU)一同发送给本地移动锚LMA1,本地移动锚LMA1接收后,运用DH密钥交换算法,本地移动锚LMA利用自己的私钥和该会话密钥协商参数计算的值,运用单向哈希函数H3进行哈希,得到本地移动锚LMA与移动节点MN之间的共享密钥KLMA1-MN,并存储。4.根据权利要求2所述的方法,其特征在于,所述步骤5,包括:步骤5.1:移动节点MN首先根据DH密钥交换算法生成相应的会话密钥协商参数σMN_2,然后利用当前正在连接的移动接入网关MAG1与移动节点MN之间的共享密钥KMAG1-MN,将移动节点MN自身的IDMN、当前正在连接的移动接入网关MAG1的IDMAG1、会话密钥协商参数σMN_2以及时间戳TS3做签名SignMN,同时并将该签名SignMN、时间戳TS3、当前正在连接的移动接入网关MAG1...
【专利技术属性】
技术研发人员:高天寒,邓新洋,耿芳华,郭楠,
申请(专利权)人:东北大学,
类型:发明
国别省市:辽宁;21
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。