[go: up one dir, main page]

CN103051611A - 一种身份与位置分离体系下的安全移动性管理方法 - Google Patents

一种身份与位置分离体系下的安全移动性管理方法 Download PDF

Info

Publication number
CN103051611A
CN103051611A CN201210530551XA CN201210530551A CN103051611A CN 103051611 A CN103051611 A CN 103051611A CN 201210530551X A CN201210530551X A CN 201210530551XA CN 201210530551 A CN201210530551 A CN 201210530551A CN 103051611 A CN103051611 A CN 103051611A
Authority
CN
China
Prior art keywords
eid
atr
message
packet header
mobile node
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201210530551XA
Other languages
English (en)
Other versions
CN103051611B (zh
Inventor
刘颖
唐建强
周华春
张宏科
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Jiaotong University
Original Assignee
Beijing Jiaotong University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Jiaotong University filed Critical Beijing Jiaotong University
Priority to CN201210530551.XA priority Critical patent/CN103051611B/zh
Publication of CN103051611A publication Critical patent/CN103051611A/zh
Application granted granted Critical
Publication of CN103051611B publication Critical patent/CN103051611B/zh
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Mobile Radio Communication Systems (AREA)

Abstract

一种身份与位置分离体系下的安全移动性管理方法,一个接入网作为一个移动管理区域,一个接入隧道路由器控制一个子网,每个接入网可由多个子网组成;隧道路由器作为区域内移动节点的移动锚点,存储区域内移动节点的位置信息;区域内移动节点的安全移动切换的数据通过隧道传输,采用本地路由标识寻路转发;接入网内AAA服务器与隧道路由器和接入隧道路由器预先建立了安全联盟;接入网内接入隧道路由器与AAA服务器预共享了组密钥;移动节点与HAAA服务器预先协商了共享密钥;移动节点在不同网络中漫游之前,首先在家乡域完成移动节点的初始安全接入;移动节点移动时,移动节点与通信对端的连接不会中断。

Description

一种身份与位置分离体系下的安全移动性管理方法
技术领域
本发明涉及一种身份与位置分离体系下的安全移动性管理方法,属于计算机网络技术领域。 
背景技术
当前互联网面临严重的路由可扩展性问题。近几年来IPv4的BGP路由表条目一直保持快速增长,目前已超过400,000条目,这对核心路由器的处理能力和存储能力都是非常大的挑战。随着IPv6的逐渐推广应用,IPv6巨大的地址空间将会造成更大规模的BGP路由表。为了解决路由可扩展性等问题,各国研究者提出了如ILNP,LISP,GLI-Split,Ivip,一体化标识网络等许多方案。总体而言,这些方案都基于网络的身份与位置分离(Locator/Identifier Separation)体系。 
身份与位置分离体系将传统IP地址分离为终端标识(EID,Endpoint Identifier)和位置标识(LOC,Locator)。终端标识表示终端身份信息,用于传输层和应用层标识终端,具有唯一性,不随终端位置改变而变化;位置标识表示终端连接到网络中的拓扑位置,随终端移动而改变。同时,身份与位置分离体系将核心网(Core Network)与接入网(AN,Access Network)分离,减少接入网路由信息变化对核心网路由表的影响。数据包在核心网中使用位置标识进行寻路转发。接入网内终端间的通信方式与当前网络相同,接入网间两个终端的数据包需要源和目的端的隧道路由器根据映射信息(EID-to-LOC)分别完成数据包隧道封装和解封装处理。隧道路由器询问映射系统得到对应的映射信息,并在映射缓存中缓存最近使用的映射信息。终端的映射信息由映射系统来存储和维护,目前已有一些映射系统方案,例如LISP-ALT,DHT-MAP,FIRM,LISP-TREE。 
随着移动设备的普及和移动用户的迅速增长,人们对移动通信的需求越来越 大。为了在身份与位置分离体系下支持移动性,需要定义安全有效的移动性管理协议。目前的相关研究主要集中于身份与位置分离体系下基本的移动性管理方案设计,集中专注于减少切换时延和丢包率,并未考虑其安全性。 
现有技术之一的LISP-MN技术方案: 
LISP-MN技术方案是基于主机的移动性管理方案,移动节点执行隧道路由器的功能,完成数据包封装和解封装。移动节点使用映射服务器(MS,Map Server)作为其移动锚点,当移动节点移动时,终端标识(EID)不变,网络为其分配新的位置标识(LOC),移动节点直接向映射服务器(MS,Map Server)更新其移动后的新映射信息。同时,移动节点主动通知对端的隧道路由器的更新其映射信息。随着移动节点的增多,映射服务器收到的映射更新消息也就随之增多,这就增加了映射系统的负担。 
现有技术之一LISP-MN技术方案的缺点: 
1.需要修改移动节点的协议栈,使其拥有隧道路由器的功能,并且违背了LISP不修改主机协议的初衷; 
2.存在切换时延、丢包率、信令开销等问题; 
3.随着移动节点增多,映射服务器的负担逐渐加重,影响映射系统的可扩展性; 
4.未考虑移动节点移动切换的安全性。 
现有技术之二的IM技术方案: 
IM技术方案是基于网络的移动性解决方案。IM根据移动范围大小将移动节点分为区域间移动和区域内移动。区域间移动是指移动节点在移动管理区域之间的移动,区域内移动是指移动节点在移动管理区域内部的移动。在IM中,区域内作为汇聚点(Rendezvous Point)的隧道路由器是移动锚点。移动节点在区域内移动时,隧道路由器向汇聚点发送代理绑定更新消息,通告移动节点的位置信息,并建立隧道完成移动节点的数据传输;移动节点在区域间移动时,区域间的汇聚点隧道路由器首先建立隧道传输移动节点数据,然后由汇聚点隧道路由器更新对端 隧道路由器的映射信息,完成路由优化。 
现有技术之二IM技术方案的缺点: 
1.移动节点移动时,相同移动管理区域内的节点发往本区域内移动节点的数据具有较大的丢包率; 
2.未考虑移动节点移动切换的安全性。 
针对现有技术方案存在的上述不足,提出本发明。 
发明内容
本发明提供一种身份与位置分离体系下的安全移动性管理方法。本发明为身份与位置分离体系提供移动性管理方法,保障移动节点的安全移动切换,具有较小的认证时延和切换时延,并且可以防止中间人攻击、重放攻击和消息篡改攻击。 
本发明提出一种身份与位置分离体系下基于网络的安全移动性管理协议。该协议不需要修改移动节点的协议栈,使移动节点可以在网络中漫游而不中断会话连接。该协议给出了移动节点的安全接入过程,移动节点在区域内安全切换过程和移动节点在区域间安全切换过程。该协议支持本地认证和双向认证,可以防止中间人攻击、重放攻击和消息篡改攻击等,具有较小的认证时延、切换时延。 
本发明解决其技术问题所采用的技术方案是:一种身份与位置分离体系下的安全移动性管理方法,在身份与位置分离体系中,引入接入隧道路由器(ATR,Access Tunnel Router)作为移动节点的移动接入网关(MAG,Mobile Access Gateway),其地址为本地路由标识(LLOC,Local Locator); 
一个接入网(AN,Access Network)作为一个移动管理区域(MD,Mobile Domain),一个接入隧道路由器控制一个子网,每个接入网由若干个子网组成; 
隧道路由器(TR)作为区域内移动节点(MN)的移动锚点,存储区域内移动节点的位置信息(EID-LLOC);区域内移动节点的安全移动切换的数据通过隧道传输,采用本地路由标识寻路转发; 
每个接入网内至少有一个AAA服务器; 
接入网内AAA服务器与隧道路由器和接入隧道路由器预先建立了安全联盟 (Security Association),该安全联盟规定了保护AAA服务器与隧道路由器和接入隧道路由器安全通信的协议类型、加密算法、认证方式、共享密钥和密钥生存周期等参数; 
接入网内接入隧道路由器与AAA服务器预共享了组密钥(Group Key); 
移动节点与家乡AAA服务器(HAAA,Home AAA)预先协商了共享密钥;移动节点在不同网络中漫游之前,须首先在家乡域完成移动节点的初始安全接入; 
HAAA与访问AAA服务器(VAAA,Visited AAA)之间预共享了密钥和移动节点的标识信息等,否则移动节点不能在该访问域漫游; 
移动节点移动时,移动节点与通信对端(CN,Corresponding Node)的连接不会中断。 
本发明的有益效果:本发明使身份与位置分离体系可以支持移动性,而不用修改移动节点的协议栈;当移动节点在网络中漫游时,不需要中断移动节点的会话连接;本发明保障了移动节点的初始安全接入,移动节点在区域内的安全移动切换和在区域间的安全移动切换;本发明支持移动节点在不同移动管理区域进行本地认证,降低认证时延和切换时延,支持移动节点与网络的双向认证,并且可以防止中间人攻击、重放攻击和消息篡改攻击等。 
附图说明
下面结合附图和实施例对本发明进一步说明。 
图1为本发明移动节点初始安全接入过程示意图; 
图2移动节点区域内安全移动切换过程图; 
图3移动节点区域间安全移动切换过程图; 
图4实例示意图。 
具体实施方式
实施例1: 
移动节点在家乡域的初始安全接入过程如图1所示,步骤如下: 
步骤1、MN附着在ATR1; 
步骤2、ATR1向MN发送身份请求和挑战值CV(Challenge Value); 
步骤3、MN生成随机数R1,使用MN与HAAA预共享的密钥P加密CV和R1,计算EP(CV||R1),计算消息哈希值H(EID2||CV||EP(CV||R1)),然后向ATR1发送接入认证请求,消息包括:MN的终端标识EID2,挑战值CV,加密信息EP(CV||R1)和哈希值H(EID2||CV||EP(CV||R1))。其中Ek(m)表示使用密钥k加密信息m后的密文,H()是哈希函数,“||”是字符串连接符; 
步骤4、ATR1将接入认证请求消息发送到HAAA; 
步骤5、HAAA首先检查哈希值H(EID2||CV||EP(CV||R1)),确认消息的完整性。然后使用MN与HAAA预共享的密钥P解密得到CV,并与消息中未加密的CV比较。若哈希值或CV匹配错误,则拒绝MN接入,终止初始接入过程。若两个值匹配成功,则可以确认MN身份。然后,HAAA使用哈希函数计算域间切换密钥值GK=H(S||EID2)和域内切换密钥值LK=H(G||EID2),其中S是HAAA与其他VAAA的预共享密钥,G是HAAA与区域内ATR共享的组密钥。然后HAAA使用预共享密钥P加密GK,LK和R1,计算EP(GK||LK||R1)和哈希值H(Au||EID2||EP(GK||LK||R1)),其中Au是MN的认证成功标志; 
步骤6、HAAA将接入确认消息发送给ATR1,内容包括认证成功标志Au,MN的终端标识EID2,加密信息EP(GK||LK||R1)和哈希值H(Au||EID2||EP(GK||LK||R1)); 
步骤7、ATR1根据认证成功标志Au,确认MN认证成功,允许MN接入; 
步骤8、ATR1向TR2发送位置注册(Location-Register)消息,注册MN的位置信息EID2-LLOC1; 
步骤9、TR2向映射服务器MS发送映射注册消息(Map-Register),注册MN的映射信息EID2-to-LOC2; 
步骤10、MS返回映射通知(Map-Notify)消息,确认MN映射信息注册完成; 
步骤11、TR2向ATR1返回位置确认(Location-Acknowledgement)消息,确认MN的位置信息注册完成; 
步骤12、ATR1将接入确认消息发送给MN,内容包括认证成功标志Au,MN的终端标识EID2,加密信息EP(GK||LK||R1)和哈希值H(Au||EID2||EP(GK||LK||R1)); 
步骤13、MN检查哈希值H(Au||EID2||EP(GK||LK||R1)),核对解密得到的R1与先前发出的R1是否相同,检查Au确认网络的真实性,解密得到GK和LK并存储,完成双向认证; 
步骤14、CN向TR1发送普通数据包,数据包源和目的地址分别为EID1和EID2; 
步骤15、TR1向MS发送映射查询(Map-Request)消息,查询MN的映射信息; 
步骤16、MS向TR1返回映射应答(Map-Reply)消息,包含MN的映射信息EID2-to-LOC2; 
步骤17、TR1根据MN的映射信息封装数据包,为原始数据包加入新的外部包头,该包头源和目的地址分别为LOC1和LOC2。核心网根据隧道数据包的路由标识对其进行寻路转发; 
步骤18、TR2解封装隧道数据包,去掉TR1封装的外部包头,然后TR2根据MN的位置信息EID2-LLOC1将数据包通过隧道发送给ATR1,具体操作是TR2为原始数据包增加新的外部包头,该包头目的地址为LLOC1; 
步骤19、ATR1收到隧道数据包后,去掉外部包头,将原始数据包转发给MN。 
实施例2: 
移动节点在区域内切换时,不需要AAA服务器参与,如图2所示。移动节点在域内的安全切换步骤如下: 
步骤1、MN与ATR1断开连接,附着在ATR2; 
步骤2、ATR2向MN发送身份请求和挑战值CV(Challenge Value); 
步骤3、MN生成随机数R1,使用接入时获得的域内切换密钥LK、加密CV和R1,计算ELK(CV||R1),计算哈希值H(EID2||CV||ELK(CV||R1)),然后向ATR2发送切换接入请求消息,内容包括:MN的终端标识EID2,挑战值CV,加密信息ELK(CV||R1)和哈希值H(EID2||CV||ELK(CV||R1)); 
步骤4、ATR2检查H(EID2||CV||ELK(CV||R1)),使用与HAAA预共享的组密钥G 计算MN的域内切换密钥LK=H(G||EID2)。解密ELK(CV||R1)得到CV,并与消息中未加密的CV比较,若匹配成功,则ATR2允许MN接入网络,然后计算H(Au||EID2||R1); 
步骤5、ATR2向ATR1发送隧道建立请求(AR-Tunne1-REQ)消息,更新ATR1中MN的位置信息为EID2-LLOC2; 
步骤6、ATR1向ATR2返回隧道建立应答(AR-Tunne1-Reply)消息,完成与ATR2的隧道建立,此后,ATR1向ATR2通过隧道转发目的地为EID2的数据; 
步骤7、ATR2向MN发送切换确认消息,内容包括:认证成功标志Au,MN的终端标识EID2和哈希值H(Au||EID2||R1); 
步骤8、MN检查哈希值H(Au||EID2||R1),核对解密得到的随机数R1与先前生成的随机数R1是否相同,确认完成切换过程; 
步骤9、CN向TR1发送普通数据包,数据包源和目的地址分别为EID1和EID2; 
步骤10、TR1根据映射信息EID2-to-LOC2为数据包封装外部包头,外部包头源地址和目的地址分别为LOC1和LOC2;核心网根据隧道数据包的路由标识对其进行寻路转发; 
步骤11、TR2解封装隧道数据包,去掉TR1封装的外部包头,然后TR2根据MN的位置信息EID2-LLOC1将数据包通过隧道发送给ATR1,具体操作是TR2为原始数据包增加新的外部包头,该包头目的地址为LLOC1; 
步骤12、ATR1收到隧道数据包后,去掉其外部包头,并通过隧道将目的地为MN的原始数据包转发给ATR2,具体操作是ATR1为原始数据包增加新的外部包头,该包头目的地址为LLOC2; 
步骤13、ATR2收到隧道数据包后,去掉外部包头,将原始数据包转发给MN; 
步骤14、ATR2发送位置更新(Location Update)消息,更新TR2中MN的位置信息EID2-LLOC2; 
步骤15、TR2返回位置确认(Location Acknowledgement)消息,确认MN的位置更新完成; 
步骤16、CN向TR1发送普通数据包,数据包源和目的地址分别为EID1和EID2; 
步骤17、TR1根据映射信息EID2-to-LOC2为数据包封装外部包头,外部包头源 地址和目的地址分别为LOC1和LOC2;核心网根据隧道数据包的路由标识对其进行寻路转发; 
步骤18、TR2解封装隧道数据包,去掉TR1封装的外部包头,然后TR2根据MN的位置信息EID2-LLOC2将数据包通过隧道发送给ATR2,具体操作是TR2为原始数据包增加新的外部包头,该包头目的地址为LLOC2; 
步骤19、发往MN的数据不再经过ATR1,直接到达ATR2,ATR2收到隧道数据包后,去掉其外部包头,将原始数据包转发给MN。 
实施例3: 
移动节点在区域间的安全切换过程中,移动节点身份认证不需要VAAA与HAAA交互,如图3所示。移动节点在区域间的安全切换步骤如下: 
步骤1、MN与ATR2断开,附着在ATR3; 
步骤2、ATR3向MN发送身份请求和挑战值CV(Challenge Value); 
步骤3、MN生成随机数R1,使用接入时获得的域间切换密钥GK、加密CV和R1,计算EGK(CV||R1),计算消息哈希值H(EID2||CV||EGK(CV||R1)),然后向ATR3发送移动切换接入请求消息,内容包括:MN的终端标识EID2,挑战值CV,加密信息EGK(CV||R1)和哈希值H(EID2||CV||EGK(CV||R1)); 
步骤4、ATR3将移动切换接入请求消息转发到VAAA; 
步骤5、VAAA检查哈希值H(EID2||CV||EGK(CV||R1)),确认消息的完整性。使用VAAA与HAAA的预共享密钥S计算GK=H(S||EID2),将解密得到的CV与消息中未加密的CV进行核对,若核对成功,则MN身份得到确认,否则拒绝MN接入网络。VAAA使用与区域内ATR预共享的组密钥G计算MN的域内切换密钥值LK=H(G||EID2),使用GK计算EGK(LK||R1),加密LK和R1,计算哈希值H(Au||EID2||EGK(LK||R1)); 
步骤6、VAAA将切换确认消息发送给ATR3,内容包括:认证成功标志Au,MN的终端标识EID2,加密信息EGK(LK||R1)和哈希值H(Au||EID2||EGK(LK||R1)); 
步骤7、ATR3根据Au确认MN认证成功,允许MN接入网络; 
步骤8、ATR3向TR3发送位置注册(Location Register)消息,注册MN的位置信息EID2-LLOC3; 
步骤9、TR3向TR2发送隧道建立请求(TR-Tunne1-REQ)消息,内容包括MN新的位置信息TR3(LOC3)等,告知其MN新的映射信息EID2-to-LOC3; 
步骤10、TR2向TR3返回隧道建立应答(TR-Tunne1-Reply)消息,完成与TR3的隧道建立,并向TR3传输发往MN的数据; 
步骤11、TR3向ATR3返回位置确认(Location Acknowledgement)消息,确认MN的位置注册完成; 
步骤12、TR3向MN发送切换确认消息,消息内容包括:认证成功标志Au、MN的终端标识EID2、加密信息EGK(LK||R1)和哈希值H(Au||EID2||EGK(LK||R1)); 
步骤13、MN检查哈希值H(Au||EID2||EGK(LK||R1)),核对解密得到的R1与先前生成的随机数R1是否相同,核对确认完成切换过程,并存储域内切换密钥值LK; 
步骤14、CN向TR1发送普通数据包,数据包源和目的地址分别为EID1和EID2; 
步骤15、TR1根据MN的映射信息封装数据包,为原始数据包加入新的外部包头,该包头源和目的地址分别为LOC1和LOC2; 
步骤16、TR2收到隧道包后,去掉其外部包头得到原始数据包。由于通过第九步骤TR2已经知道MN移动到新的区域,因此TR2将原始数据包通过隧道传输到TR3,具体操作是TR2为原始数据包中加入新的外部包头,其源和目的地址分别是LOC2和LOC3; 
步骤17、TR3去掉隧道数据包的外部包头得到原始数据包。TR3根据MN的位置信息将数据包发送到ATR3,具体操作是TR3为原始数据包增加新的数据外部包头,其目的地址为LLOC3; 
步骤18、ATR3去掉隧道数据包的外部包头,将原始数据包转发给MN; 
步骤19、TR3向MS发送MN的映射更新(Map-Update)消息,更新MN的映射信息EID2-to-LOC3; 
步骤20、MS向TR3返回映射通告(Map-Notifiy)消息,确认完成映射信息更新; 
步骤21、TR3向通信对端TR1发送MN的映射更新(MN-Map-Update)消息,向TR1通告MN的映射信息更新为EID2-to-RLOC3; 
步骤22、TR1向TR3返回映射更新答复(MN-Map-Reply)消息,确认完成MN的映射信息更新,完成发往MN数据的传输路径优化; 
步骤23、CN向TR1发送普通数据包,数据包源和目的地址分别为EID1和EID2; 
步骤24、TR1根据映射信息EID2-to-LOC3为数据包封装外部包头,外部包头源地址和目的地址分别为LOC1和LOC3;核心网根据隧道数据包的路由标识对其进行寻路转发; 
步骤25、TR3解封装隧道数据包,去掉TR1封装的外部包头,然后TR3根据MN的位置信息EID2-LLOC3将数据包通过隧道发送给ATR3,具体操作是TR3为原始数据包增加新的外部包头,该包头目的地址为LLOC3; 
步骤26、ATR3收到隧道数据包后,去掉其外部包头,将原始数据包转发给MN。 
实施例4: 
移动节点的区域内切换密钥和区域间切换密钥生成方法。本发明使用移动节点的身份信息和AAA服务器的共享密钥,此外AAA服务器生成移动节点的切换密钥时,还可以增加额外的信息,如接入网编码信息或AAA服务器标识等。 
如图4,接入网内至少有一个AAA服务器,CN在接入网AN1中,MN从接入网AN2移动到AN3。MN在ATR1完成初始接入,然后移动附着到ATR2,再移动到AN3附着在ATR3。MN在ATR1初始接入过程,在AN2中切换到ATR2的过程,和从AN2移动到AN3附着到ATR3的切换过程分别与本发明中的移动节点初始安全接入过程,域内移动安全切换过程和域间移动安全切换过程对应。 
缩略语和关键术语定义 
Internet Engineering Task Force(IETF)       互联网工程任务组 
Locator/Identifier Separation               身份与位置分离 
Proxy Mobile IPv6(PMIPv6)                   代理移动IPv6 
Endpoint Identifier(EID)                    终端标识 
Locator(LOC)                                位置标识 
Local Locator(LLOC)                         本地位置标识 
Mobile Access Gateway(MAG)                  移动接入网关 
Local Mobility Anchor(LMA)                  本地移动代理 
Mobile Node(MN)                             移动节点 
Map Server(MS)                              映射服务器 
Tunnel Router(TR)                           隧道路由器 
Access Tunnel Router(ATR)                   接入隧道路由器 
Authentication,Authorization and Accounting(AAA)    AAA服务器 
Home AAA(HAAA)                              家乡域AAA服务器 
Visited AAA(VAAA)                           访问域AAA服务器 
Security Association(SA)                    安全联盟 
Access Network(AN)                          接入网 
Mobile Domain(MD)                           移动管理区域 。

Claims (5)

1.一种身份与位置分离体系下的安全移动性管理方法,其特征是:在身份与位置分离映射体系中,引入接入隧道路由器(ATR,Access Tunnel Router)作为移动节点的移动接入网关(MAG,Mobile Access Gateway),其地址为本地路由标识(LLOC,Local Locator);一个接入网(AN,Access Network)作为一个移动管理区域(MD,Mobile Domain),一个接入隧道路由器控制一个子网,每个接入网由若干个子网组成;
隧道路由器(TR)作为区域内移动节点(MN)的移动锚点,存储区域内移动节点的位置信息(EID-LLOC);区域内移动节点的安全移动切换的数据通过隧道传输,采用本地路由标识寻路转发;
每个接入网内至少有一个AAA服务器;
接入网内AAA服务器与隧道路由器和接入隧道路由器预先建立了安全联盟(Security Association),该安全联盟规定了保护AAA服务器与隧道路由器和接入隧道路由器安全通信的协议类型,加密算法,认证方式,共享密钥,密钥生存周期等参数;;
接入网内接入隧道路由器与AAA服务器预共享了组密钥(Group Key);
移动节点与家乡AAA服务器(HAAA,Home AAA)预先协商了共享密钥;移动节点在不同网络中漫游之前,须首先在家乡域完成移动节点的初始安全接入;
HAAA与访问AAA服务器(VAAA,Visited AAA)之间预共享了密钥和移动节点的标识信息等,否则移动节点不能在该访问域漫游;
移动节点移动时,移动节点与通信对端(CN,Corresponding Node)的连接不会中断。
2.根据权利要求1所述的一种身份与位置分离体系下的安全移动性管理方法,其特征是:移动节点在家乡域的初始安全接入过程步骤如下:
步骤1、MN附着在ATR1
步骤2、ATR1向MN发送身份请求和挑战值CV(Challenge Value);
步骤3、MN生成随机数R1,使用MN与HAAA预共享的密钥P加密CV和R1,计算EP(CV||R1),计算消息哈希值H(EID2||CV||EP(CV||R1)),然后向ATR1发送接入认证请求,消息包括:MN的终端标识EID2,挑战值CV,加密信息EP(CV||R1)和哈希值H(EID2||CV||EP(CV||R1)),其中Ek(m)表示使用密钥k加密信息m,H()是哈希函数,“||”是字符串连接符;
步骤4、ATR1将接入认证请求消息发送到HAAA;
步骤5、HAAA首先检查哈希值H(EID2||CV||EP(CV||R1)),确认消息的完整性;然后使用MN与HAAA预共享的密钥P解密得到CV,并与消息中未加密的CV比较,若哈希值或CV匹配错误,则拒绝MN接入,终止初始接入过程,若两个值匹配成功,则可以确认MN身份,然后,HAAA使用哈希函数计算域间切换密钥值GK=H(S||EID2)和域内切换密钥值LK=H(G||EID2),其中S是HAAA与其他VAAA的预共享密钥,G是HAAA与区域内ATR共享的组密钥,然后HAAA使用预共享密钥P加密GK,LK和R1,计算EP(GK||LK||R1)和哈希值H(Au||EID2||EP(GK||LK||R1)),其中Au是MN的认证成功标志;
步骤6、HAAA将接入确认消息发送给ATR1,内容包括认证成功标志Au,MN的终端标识EID2,加密信息EP(GK||LK||R1)和哈希值H(Au||EID2||EP(GK||LK||R1));
步骤7、ATR1根据认证成功标志Au,确认MN认证成功,允许MN接入;
步骤8、ATR1向TR2发送位置注册(Location-Register)消息,注册MN的位置信息EID2-LLOC1
步骤9、TR2向映射服务器MS发送映射注册消息(Map-Register),注册MN的映射信息EID2-to-LOC2
步骤10、MS返回映射通知(Map-Notify)消息,确认MN映射信息注册完成;
步骤11、TR2向ATR1返回位置确认(Location-Acknowledgement)消息,确认MN的位置信息注册完成;
步骤12、ATR1将接入确认消息发送给MN,内容包括认证成功标志Au,MN的终端标识EID2,加密信息EP(GK||LK||R1)和哈希值H(Au||EID2||EP(GK||LK||R1));
步骤13、MN检查哈希值H(Au||EID2||EP(GK||LK||R1)),检查解密得到的R1与先前发出的R1是否相同,确认网络的真实性,解密得到GK和LK并存储,完成双向认证;
步骤14、CN向TR1发送普通数据包,数据包源和目的地址分别为EID1和EID2
步骤15、TR1向MS发送映射查询(Map-Request)消息,查询MN的映射信息;
步骤16、MS向TR1返回映射应答(Map-Reply)消息,包含MN的映射信息EID2-to-LOC2
步骤17、TR1根据MN的映射信息封装数据包,为原始数据包加入新的外部包头,该包头源和目的地址分别为LOC1和LOC2,核心网根据隧道数据包的路由标识对其进行寻路转发;
步骤18、TR2解封装隧道数据包,去掉TR1封装的外部包头;然后,TR2根据MN的位置信息EID2-LLOC1将数据包通过隧道发送给ATR1,具体操作是为原始数据包增加新的外部包头,该包头目的地址为LLOC1
步骤19、ATR1收到隧道数据包后,去掉外部包头,将原始数据包转发给MN。
3.根据权利要求1所述的一种身份与位置分离体系下的安全移动性管理方法,其特征是:区域内移动节点的安全移动切换步骤如下:
步骤1、MN与ATR1断开连接,附着在ATR2
步骤2、ATR2向MN发送身份请求和挑战值CV(Challenge Value);
步骤3、MN生成随机数R1,使用接入时获得的域内切换密钥LK加密CV和R1,计算ELK(CV||R1),计算哈希值H(EID2||CV||ELK(CV||R1)),然后向ATR2发送切换接入请求消息,内容包括:MN的终端标识EID2,挑战值CV,加密信息ELK(CV||R1)和哈希值H(EID2||CV||ELK(CV||R1));
步骤4、ATR2检查H(EID2||CV||ELK(CV||R1)),使用与HAAA预共享的组密钥G计算MN的域内切换密钥LK=H(G||EID2),解密ELK(CV||R1)得到CV,并与消息中未加密的CV比较,若匹配成功,则ATR2允许MN接入网络,然后计算H(Au||EID2||R1);
步骤5、ATR2向ATR1发送隧道建立请求(AR-Tunne1-REQ)消息,更新ATR1中MN的位置信息为EID2-LLOC2
步骤6、ATR1向ATR2返回隧道建立应答(AR-Tunne1-Reply)消息,完成与ATR2的隧道建立,此后,ATR1向ATR2转发目的地为EID2的数据;
步骤7、ATR2向MN发送切换确认消息,内容包括:认证成功标志Au,MN的终端标识EID2和哈希值H(Au||EID2||R1)等;
步骤8、MN检查哈希值H(Au||EID2||R1),检查解密得到的随机数R1与先前生成的随机数R1是否相同,确认完成切换过程;
步骤9、CN向TR1发送普通数据包,数据包源和目的地址分别为EID1和EID2
步骤10、TR1根据映射信息EID2-to-LOC2为数据包封装外部包头,外部包头源地址和目的地址分别为LOC1和LOC2;核心网根据隧道数据包的路由标识对其进行寻路转发;
步骤11、TR2解封装隧道数据包,去掉TR1封装的外部包头,然后TR2根据MN的位置信息EID2-LLOC1将数据包通过隧道发送给ATR1,具体操作是TR2为原始数据包增加新的外部包头,该包头目的地址为LLOC1
步骤12、ATR1收到隧道数据包后,去掉其外部包头,并通过隧道将目的地为MN的原始数据包转发给ATR2,具体操作是ATR1为原始数据包增加新的外部包头,该包头目的地址为LLOC2
步骤13、ATR2收到隧道数据包后,去掉外部包头,将原始数据包转发给MN;
步骤14、ATR2发送位置更新(Location Update)消息,更新TR2中MN的位置信息EID2-LLOC2
步骤15、TR2返回位置确认(Location Acknowledgement)消息,确认MN的位置更新完成;
步骤16、CN向TR1发送普通数据包,数据包源和目的地址分别为EID1和EID2
步骤17、TR1根据映射信息EID2-to-LOC2为数据包封装外部包头,外部包头源地址和目的地址分别为LOC1和LOC2;核心网根据隧道数据包的路由标识对其进行寻路转发;
步骤18、TR2解封装隧道数据包,去掉TR1封装的外部包头,然后TR2根据MN的位置信息EID2-LLOC2将数据包通过隧道发送给ATR2,具体操作是TR2为原始数据包增加新的外部包头,该包头目的地址为LLOC2
步骤19、发往MN的数据不再经过ATR1,直接到达ATR2,ATR2收到隧道数据包后,去掉其外部包头,将原始数据包转发给MN。
4.根据权利要求1所述的一种身份与位置分离体系下的安全移动性管理方法,其特征是区域内移动节点的安全移动切换步骤如下:
步骤1、MN与ATR2断开,附着在ATR3
步骤2、ATR3向MN发送身份请求和挑战值CV(Challenge Value);
步骤3、MN生成随机数R1,使用接入时获得的域间切换密钥GK加密CV和R1,计算EGK(CV||R1),计算消息哈希值H(EID2||CV||EGK(CV||R1)),然后向ATR3发送移动切换接入请求消息,内容包括:MN的终端标识EID2,挑战值CV,加密信息EGK(CV||R1)和哈希值H(EID2||CV||EGK(CV||R1))等内容;
步骤4、ATR3将移动切换接入请求消息转发到VAAA;
步骤5、VAAA检查哈希值H(EID2||CV||EGK(CV||R1)),确认消息的完整性,使用VAAA与HAAA的预共享密钥S计算GK=H(S||EID2),将解密得到CV与消息中未加密的CV进行核对,若核对成功,则MN身份得到确认,否则拒绝MN接入网络,VAAA使用与区域内ATR预共享的组密钥G计算MN的域内切换密钥值LK=H(G||EID2),使用GK计算EGK(LK||R1),加密LK和R1,计算哈希值H(Au||EID2||EGK(LK||R1));
步骤6、VAAA将切换确认消息发送给ATR3,内容包括:认证成功标志Au,MN的终端标识EID2,加密信息EGK(LK||R1)和哈希值H(Au||EID2||EGK(LK||R1));
步骤7、ATR3根据Au确认MN认证成功,允许MN接入网络;
步骤8、ATR3向TR3发送位置注册(Location Register)消息,注册MN的位置信息EID2-LLOC3
步骤9、TR3向TR2发送隧道建立请求(TR-Tunne1-REQ)消息,内容包括MN新的位置信息TR3(LOC3)等,告知其MN新的映射信息EID2-to-LOC3
步骤10、TR2向TR2返回隧道建立应答(TR-Tunne1-Reply)消息,完成与TR3的隧道建立,并向TR3传输发往MN的数据;
步骤11、TR3向ATR3返回位置确认(Location Acknowledgement)消息,确认MN的位置注册完成;
步骤12、TR3向MN发送切换确认消息,消息内容包括:认证成功标志Au,MN的终端标识EID2,加密信息EGK(LK||R1)和哈希值H(Au||EID2||EGK(LK||R1));
步骤13、MN检查哈希值H(Au||EID2||EGK(LK||R1)),核对解密得到的R1与先前生成的随机数R1是否相同,确认完成切换过程,并存储域内切换密钥值LK;
步骤14、CN向MN发送普通数据包,数据包源和目的地址分别为EID1和EID2
步骤15、TR1根据MN的映射信息封装数据包,为原始数据包加入新的外部包头,该包头源和目的地址分别为LOC1和LOC2
步骤16、TR2收到隧道包后,去掉其外部包头得到原始数据包,由于通过第九步骤TR2已经知道MN移动到新的区域,因此TR2将原始数据包通过隧道传输到TR3,具体操作是TR2为原始数据包中加入新的外部包头,其源和目的地址分别是LOC2和LOC3
步骤17、TR3去掉隧道数据包的外部包头得到原始数据包,TR3根据MN的位置信息将数据包发送到ATR3,具体操作是TR3为原始数据包增加新的数据外部包头,其目的地址为LLOC3
步骤18、ATR3去掉隧道数据包的外部包头,将原始数据包转发给MN;
步骤19、TR3向MS发送MN的映射更新(Map-Update)消息,更新MN的映射信息EID2-to-LOC3
步骤20、MS向TR3返回映射通告(Map-Notifiy)消息,确认完成映射信息更新;
步骤21、TR3向通信对端TR1发送MN的映射更新(MN-Map-Update)消息,向TR1通告MN的映射信息更新为EID2-to-RLOC3
步骤22、TR1向TR3返回映射更新答复(MN-Map-Reply)消息,确认完成MN的映射信息更新,完成发往MN数据的传输路径优化;
步骤23、CN向TR1发送普通数据包,数据包源和目的地址分别为EID1和EID2
步骤24、TR1根据映射信息EID2-to-LOC3为数据包封装外部包头,外部包头源地址和目的地址分别为LOC1和LOC3;核心网根据隧道数据包的路由标识对其进行寻路转发;
步骤25、TR3解封装隧道数据包,去掉TR1封装的外部包头,然后TR3根据MN的位置信息EID2-LLOC3将数据包通过隧道发送给ATR3,具体操作是TR3为原始数据包增加新的外部包头,该包头目的地址为LLOC3
步骤26、ATR3收到隧道数据包后,去掉其外部包头,将原始数据包转发给MN。
5.根据权利要求1至4任意所述的一种身份与位置分离体系下的安全移动性管理方法,其特征是移动节点的区域内切换密钥和区域间切换密钥生成方法;使用移动节点的身份信息和AAA服务器的共享密钥,此外AAA服务器生成移动节点的切换密钥时,能够增加额外的信息,增加接入网编码信息或AAA服务器标识等。
CN201210530551.XA 2012-12-11 2012-12-11 一种身份与位置分离体系下的安全移动性管理方法 Expired - Fee Related CN103051611B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201210530551.XA CN103051611B (zh) 2012-12-11 2012-12-11 一种身份与位置分离体系下的安全移动性管理方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201210530551.XA CN103051611B (zh) 2012-12-11 2012-12-11 一种身份与位置分离体系下的安全移动性管理方法

Publications (2)

Publication Number Publication Date
CN103051611A true CN103051611A (zh) 2013-04-17
CN103051611B CN103051611B (zh) 2015-10-28

Family

ID=48064110

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201210530551.XA Expired - Fee Related CN103051611B (zh) 2012-12-11 2012-12-11 一种身份与位置分离体系下的安全移动性管理方法

Country Status (1)

Country Link
CN (1) CN103051611B (zh)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103327020A (zh) * 2013-06-19 2013-09-25 国家电网公司 一种基于区域划分的安全接入方法和系统
WO2015180024A1 (zh) * 2014-05-26 2015-12-03 华为技术有限公司 网络移动管理的处理方法和设备
CN107786443A (zh) * 2017-09-19 2018-03-09 新华三技术有限公司 Lisp业务抑制请求状态的解除方法及装置
WO2018046017A1 (zh) * 2016-09-12 2018-03-15 中国移动通信有限公司研究院 信息处理方法、装置、电子设备及计算机存储介质
CN110832904A (zh) * 2017-05-12 2020-02-21 瑞典爱立信有限公司 本地标识符定位符网络协议(ilnp)疏导

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102164149A (zh) * 2011-05-17 2011-08-24 北京交通大学 一种基于标识分离映射网络的映射欺骗防范方法
CN102256236A (zh) * 2011-06-08 2011-11-23 北京交通大学 一种分离映射机制下的移动性管理系统及方法
CN102355663A (zh) * 2011-06-30 2012-02-15 北京交通大学 基于分离机制网络的可信域间快速认证方法

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102164149A (zh) * 2011-05-17 2011-08-24 北京交通大学 一种基于标识分离映射网络的映射欺骗防范方法
CN102256236A (zh) * 2011-06-08 2011-11-23 北京交通大学 一种分离映射机制下的移动性管理系统及方法
CN102355663A (zh) * 2011-06-30 2012-02-15 北京交通大学 基于分离机制网络的可信域间快速认证方法

Cited By (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103327020A (zh) * 2013-06-19 2013-09-25 国家电网公司 一种基于区域划分的安全接入方法和系统
WO2015180024A1 (zh) * 2014-05-26 2015-12-03 华为技术有限公司 网络移动管理的处理方法和设备
CN105308928A (zh) * 2014-05-26 2016-02-03 华为技术有限公司 网络移动管理的处理方法和设备
CN105308928B (zh) * 2014-05-26 2018-11-16 华为技术有限公司 网络移动管理的处理方法和设备
WO2018046017A1 (zh) * 2016-09-12 2018-03-15 中国移动通信有限公司研究院 信息处理方法、装置、电子设备及计算机存储介质
CN110832904A (zh) * 2017-05-12 2020-02-21 瑞典爱立信有限公司 本地标识符定位符网络协议(ilnp)疏导
CN110832904B (zh) * 2017-05-12 2022-02-08 瑞典爱立信有限公司 本地标识符定位符网络协议(ilnp)疏导
CN107786443A (zh) * 2017-09-19 2018-03-09 新华三技术有限公司 Lisp业务抑制请求状态的解除方法及装置
CN107786443B (zh) * 2017-09-19 2020-04-03 新华三技术有限公司 Lisp业务抑制请求状态的解除方法及装置

Also Published As

Publication number Publication date
CN103051611B (zh) 2015-10-28

Similar Documents

Publication Publication Date Title
CN1817013B (zh) 终端和通信系统
JP5054772B2 (ja) アクセス専用キーを提供する方法およびシステム
US8611543B2 (en) Method and system for providing a mobile IP key
JP2003051818A (ja) モバイルipネットワークにおけるipセキュリティ実行方法
US20120151212A1 (en) Securing home agent to mobile node communication with HA-MN key
EP2151142B1 (en) Methods and apparatus for sending data packets to and from mobile nodes
CN102318381A (zh) 移动网络中基于安全网络的路由优化的方法
JP4806028B2 (ja) モビリティキーを提供する方法とサーバ
US20120271965A1 (en) Provisioning mobility services to legacy terminals
WO2007079628A1 (en) A COMMUNICATION METHOD FOR MIPv6 MOBILE NODES
US20110296027A1 (en) Host identity protocol server address configuration
CN103051611A (zh) 一种身份与位置分离体系下的安全移动性管理方法
US8769261B2 (en) Subscriber-specific enforcement of proxy-mobile-IP (PMIP) instead of client-mobile-IP (CMIP)
CN102026190B (zh) 异构无线网络快速安全切换方法
JP4909357B2 (ja) イーサネット伝送プロトコルを基礎とするデータパケットを少なくとも1つのモバイル通信ユニットと通信システムとの間において伝送する方法
CN101478750B (zh) 基于IPSec的快速切换与认证融合方法
KR100395494B1 (ko) 이동 아이피 통신망에서의 도메인내 핸드오프 방법
US9179318B2 (en) Delegation based mobility management
EP2022229B1 (en) Delegation based mobility management
CN102869000B (zh) 一种分离机制移动性管理系统的认证授权方法
JP5298540B2 (ja) ネットワークシステム、データ送受信方法、及びデータ送受信プログラム
JP5132372B2 (ja) 移動体通信システム
CN100536471C (zh) 一种家乡代理信令消息有效保护方法
Shah et al. Delay sensitive low-cost security mechanism for mobile IP
JP2009246531A (ja) モバイル通信システム、モバイルルータ、ホームエージェント、通信端末及びモバイル通信方法

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant
EE01 Entry into force of recordation of patent licensing contract

Application publication date: 20130417

Assignee: China High Speed Rail Technology Limited by Share Ltd

Assignor: Beijing Jiaotong University

Contract record no.: 2016990000184

Denomination of invention: Security mobility management method in identity and location separation system

Granted publication date: 20151028

License type: Common License

Record date: 20160505

LICC Enforcement, change and cancellation of record of contracts on the licence for exploitation of a patent or utility model
CF01 Termination of patent right due to non-payment of annual fee
CF01 Termination of patent right due to non-payment of annual fee

Granted publication date: 20151028

Termination date: 20201211