基于身份密碼學(xué)的MIPv6安全移動管理系統(tǒng)及移動認(rèn)證方法
【技術(shù)領(lǐng)域】
[0001] 本發(fā)明屬于網(wǎng)絡(luò)安全技術(shù)領(lǐng)域����,特別涉及一種基于身份密碼學(xué)的MIPv6安全移動 管理系統(tǒng)及移動認(rèn)證方法。
【背景技術(shù)】
[0002] 隨著IPv6協(xié)議的不斷完善和發(fā)展����,移動IPv6協(xié)議也逐漸受到越來越多的關(guān)注。移 動IPv6 (Mobile IPv6, MIPv6)協(xié)議是為IPv6協(xié)議提供移動性支持的協(xié)議�����,2004年6月由 IETF (Internet Engineering Task Force)進(jìn)行標(biāo)準(zhǔn)化�。MIPv6協(xié)議在設(shè)計(jì)之初就已經(jīng)充 分認(rèn)識到協(xié)議安全的重要性。MIPv6面臨的主要安全威脅來自以下幾個(gè)方面:
[0003] (1)綁定更新消息相關(guān)安全威脅�����。攻擊者通過偽造綁定更新消息等手段冒 充受害者移動節(jié)點(diǎn)(Mobile Node, MN)發(fā)送虛假的轉(zhuǎn)交地址(Care-of Address, CoA) 或者聲稱其具有受害者麗的家鄉(xiāng)地址(Home Address, HoA),從而達(dá)到中間人攻擊 (Man-in-the-Middle)的目的����。
[0004] (2)重放攻擊的安全威脅。移動IPv6協(xié)議中的通信實(shí)體并沒有進(jìn)行身份驗(yàn)證��,攻 擊者可以利用重復(fù)發(fā)送受害者之前發(fā)送過的綁定更新消息誤導(dǎo)正常的通信�。
[0005] (3)路由優(yōu)化的安全威脅。為了避免類似移動IPv4(MIPv4)協(xié)議中產(chǎn)生的三角路 由的風(fēng)險(xiǎn)�����,移動IPv6協(xié)議中使用了路由優(yōu)化機(jī)制��,所以在IPv6協(xié)議中定義了諸如家鄉(xiāng)地址 選項(xiàng)數(shù)據(jù)報(bào)�、路由頭等新的拓展數(shù)據(jù)包頭�����。攻擊者通過偽造家鄉(xiāng)地址選項(xiàng)數(shù)據(jù)報(bào)��,可以對第 三方發(fā)起反射攻擊�;攻擊者通過偽造路由頭可以使第三方具有獲取移動節(jié)點(diǎn)相關(guān)數(shù)據(jù)包的 權(quán)限?�?梢缘玫竭@樣的結(jié)論,MIPv6協(xié)議面臨的威脅主要來自于在消息傳輸過程中���,尤其是 在綁定更新消息傳輸?shù)倪^程中�����,通信實(shí)體之間缺乏有效的認(rèn)證手段�����。
[0006] 文獻(xiàn) "Security in Mobile IPv6:A survey" 中指出��,MIPv6 協(xié)議使用 IPSec (IP Security)協(xié)議和 IKE (Internet Key Exchange)協(xié)議保護(hù) MN 和 HA (Home Agent)之間的 移動管理信令���,使用 RR(Return Routability)協(xié)議保護(hù) MN 和 CN(Correspondent node) 之間的移動管理信令。然而這種方法存在很大的缺陷���,文獻(xiàn)"Designing the Mobile IPv6security protocol"指出IKE協(xié)議協(xié)商的第一階段采用基于預(yù)共享密鑰或證書的方式 并不適合在移動環(huán)境中廣泛使用���,一方面建立一個(gè)這樣完全支持IKE協(xié)議的基礎(chǔ)設(shè)施并不 現(xiàn)實(shí),另一方面��,使用基于IKE的IPSec協(xié)議會超出許多移動終端的負(fù)荷。RR協(xié)議則在協(xié)議 安全和服務(wù)質(zhì)量(QoS)方面都不盡如人意���。文獻(xiàn)"Security in Mobile IPv6:A survey"指 出RR并不能提供真正的身份驗(yàn)證功能�����,文獻(xiàn)中詳細(xì)解釋了 RR中存在攻擊者利用竊取等手 段偽造虛假的綁定更新消息欺騙CN等潛在安全威脅�。針對以上情況�����,許多學(xué)者提出改進(jìn)的 方法�。文獻(xiàn)"Mobile multi-layered IPsec"提出在MIPv6協(xié)議中使用多層次IPSec協(xié)議 保護(hù)移動管理安全;文獻(xiàn)"移動IPv6中MN和HA問建立IPSec SA的一種優(yōu)化方案"提出MN 在家鄉(xiāng)網(wǎng)絡(luò)中預(yù)先建立起保護(hù)MN與HA之間安全關(guān)聯(lián)的思路�。但是這種修改只是對IPSec 和IKE的改進(jìn),并沒有真正消除IKE協(xié)議存在的問題��。
【發(fā)明內(nèi)容】
[0007] 針對現(xiàn)有技術(shù)存在的問題��,本發(fā)明提供一種基于身份密碼學(xué)的MIPv6安全移動管 理系統(tǒng)及移動認(rèn)證方法����。
[0008] 本發(fā)明的技術(shù)方案是:
[0009] -種基于身份密碼學(xué)的MIPv6安全移動管理系統(tǒng)�,包括:
[0010] CA:作為認(rèn)證中心為PKG服務(wù)器頒發(fā)和管理證書,為PKG服務(wù)器之間的跨域通信提 供安全保證;
[0011] PKG服務(wù)器:生成系統(tǒng)公共參數(shù)�����、為MIPV6自治域內(nèi)的實(shí)體頒發(fā)私鑰��、實(shí)時(shí)檢測 MIPv6自治域內(nèi)MN所處的狀態(tài)�、基于身份密碼學(xué)方案為MN和HA協(xié)商共享密鑰、MIPv6自治 域內(nèi)MN發(fā)生移動時(shí)向外地域PKG服務(wù)器證明MN所聲稱身份為其實(shí)際身份���;
[0012] 麗:MIPv6協(xié)議中的實(shí)體移動節(jié)點(diǎn)�;MN發(fā)生移動時(shí)向外地域PKG服務(wù)器進(jìn)行安全 注冊���;
[0013] HA :MIPv6協(xié)議中的實(shí)體家鄉(xiāng)代理�;在麗發(fā)生移動時(shí)向外地域PKG服務(wù)器進(jìn)行安 全注冊時(shí)���,HA向家鄉(xiāng)域PKG服務(wù)器轉(zhuǎn)發(fā)MN發(fā)來的做身份證明的推送消息�����,并將外地域PKG 服務(wù)器發(fā)送給家鄉(xiāng)域PKG服務(wù)器的系統(tǒng)參數(shù)和MN的私鑰轉(zhuǎn)發(fā)給MN ;
[0014] CN :MIPv6協(xié)議中的實(shí)體通信節(jié)點(diǎn)���;在麗發(fā)生移動的過程中與麗之間保持通信��、 在MN發(fā)生移動后與MN進(jìn)行移動消息交互��。
[0015] 利用所述的基于身份密碼學(xué)的MIPv6安全移動管理系統(tǒng)進(jìn)行MIPv6安全移動認(rèn)證 的方法�,包括以下步驟:
[0016] 步驟I :CA為各MIPv6自治域內(nèi)的PKG服務(wù)器頒發(fā)和管理證書����;
[0017] 步驟2 :各MIPv6自治域內(nèi)的PKG服務(wù)器生成系統(tǒng)公共參數(shù):循環(huán)群匕和循環(huán)群 G2、雙線性對e��、循環(huán)群G1I的基點(diǎn)P�、PKG服務(wù)器的私鑰和公鑰,單向哈希函數(shù)H r氏和H 3;
[0018] 步驟3 :各MIPv6自治域內(nèi)的PKG服務(wù)器實(shí)時(shí)檢測麗所處的狀態(tài)���,如果麗處于初 始狀態(tài)�����,則執(zhí)行步驟4 ;如果MN處于移動狀態(tài)���,則執(zhí)行步驟5 ;
[0019] 所述初始狀態(tài)是麗接入家鄉(xiāng)域的PKG服務(wù)器時(shí)的狀態(tài)�����;
[0020] 所述移動狀態(tài)是MN發(fā)生移動,接入外地域PKG服務(wù)器時(shí)的狀態(tài)����;
[0021] 步驟4 :MIPv6自治域內(nèi)安全管理:基于身份密碼學(xué)方案為MN和HA協(xié)商共享密鑰, 如果MN發(fā)生移動則執(zhí)行步驟5,否則��,執(zhí)行步驟7 ;
[0022] 步驟5 :安全移動注冊:MN向外地域PKG服務(wù)器進(jìn)行安全注冊��;
[0023] 步驟6 :安全返回路徑可達(dá):基于身份密碼學(xué)方案在MN和CN之間進(jìn)行共享密鑰協(xié) 商��;
[0024] 步驟7 :將協(xié)商獲得的共享密鑰應(yīng)用于IPSec協(xié)議中����,在雙方之間建立可信信道保 護(hù)數(shù)據(jù)傳輸;
[0025] 所述IPSec協(xié)議是MIPv6協(xié)議中用于保護(hù)MN和HA之間移動管理信令安全的協(xié)議����。
[0026] 所述步驟5具體包括如下步驟:
[0027] 步驟5. I :MN向外地域PKG服務(wù)器發(fā)送Care-〇f ID Push推送消息;
[0028] 所述Care-of ID Push推送消息是由MN生成并發(fā)送到外地域PKG服務(wù)器的身份 推送消息����;
[0029] 步驟5· 2 :MN向HA發(fā)送Home ID Push推送消息;
[0030] 所述Home ID Push推送消息是由MN發(fā)送并請求其實(shí)體家鄉(xiāng)代理HA向外地域PKG 服務(wù)器做身份證明的推送消息����;
[0031] 步驟5. 3 :HA向家鄉(xiāng)域PKG服務(wù)器轉(zhuǎn)發(fā)Home ID Push推送消息����;
[0032] 步驟5. 4 :家鄉(xiāng)域PKG服務(wù)器向外地域PKG服務(wù)器發(fā)送Home ID Push推送消息�����, 證明MN所聲稱身份為其實(shí)際身份�;
[0033] 步驟5. 5 :外地域PKG服務(wù)器向家鄉(xiāng)域PKG服務(wù)器發(fā)送Params Push推送消息,消 息內(nèi)容為外地域PKG服務(wù)器的系統(tǒng)參數(shù)和MN的私鑰���;
[0034] 步驟5. 6 :家鄉(xiāng)域PKG服務(wù)器向HA發(fā)送Params Push推送消息�;
[0035] 步驟5. 7 :HA向MN發(fā)送Params Push推送消息����,完成MN向外地域PKG服務(wù)器注 ΠΠ . 冊。
[0036] 所述步驟6具體包括如下步驟:
[0037] 步驟6. I :MN向外地域PKG服務(wù)器發(fā)送Params Request請求消息����,請求的內(nèi)容為 CN所在域PKG服務(wù)器的系統(tǒng)參數(shù);
[0038] 所述Params Request消息是MN請求CN所在域的PKG服務(wù)器的系統(tǒng)參數(shù)的請求 消息�,由MN發(fā)送給外地域PKG服務(wù)器,并且由外地域PKG服務(wù)器轉(zhuǎn)發(fā)至MN家鄉(xiāng)域PKG服務(wù) 器�;
[0039] 步驟6. 2 :外地域PKG服務(wù)器向CN所在域的PKG服務(wù)器轉(zhuǎn)發(fā)Params Request請