国产精品1024永久观看,大尺度欧美暖暖视频在线观看,亚洲宅男精品一区在线观看,欧美日韩一区二区三区视频,2021中文字幕在线观看

  • <option id="fbvk0"></option>
    1. <rt id="fbvk0"><tr id="fbvk0"></tr></rt>
      <center id="fbvk0"><optgroup id="fbvk0"></optgroup></center>
      <center id="fbvk0"></center>

      <li id="fbvk0"><abbr id="fbvk0"><dl id="fbvk0"></dl></abbr></li>

      基于位置預(yù)判的預(yù)認證快速切換方法

      文檔序號:7748795閱讀:231來源:國知局
      專利名稱:基于位置預(yù)判的預(yù)認證快速切換方法
      技術(shù)領(lǐng)域
      本發(fā)明屬于網(wǎng)絡(luò)安全技術(shù)領(lǐng)域,具體涉及移動IPsec快速切換方法,用于保護具 有多級安全特性的移動IPv6網(wǎng)絡(luò)的切換過程安全。
      背景技術(shù)
      互聯(lián)網(wǎng)工程工作組IETF在IPv6的基礎(chǔ)上于2004年6月正式提出移動IPv6協(xié)議, RFC3775。該協(xié)議在支持移動性,解決安全性問題,實現(xiàn)高服務(wù)質(zhì)量,以及提供足夠的地址空 間等方面有著比IPv4協(xié)議更大的優(yōu)勢。但由于Internet本身的安全機制較為脆弱,再加 上無線網(wǎng)絡(luò)傳輸媒體的開放性、移動終端的大范圍移動性、拓撲結(jié)構(gòu)的動態(tài)性和移動設(shè)備 存儲資源和計算資源的有限性,使得移動IP網(wǎng)絡(luò)比有線網(wǎng)絡(luò)更容易受到安全威脅;同時由 于移動設(shè)備在存儲能力、計算能力和電源供電時間方面的局限性,也使得原來在有線環(huán)境 下的許多安全方案和安全技術(shù)不能直接應(yīng)用于無線環(huán)境。這種在移動設(shè)備和傳輸媒介方面 的特殊性,使得一些攻擊更容易實施,對移動網(wǎng)絡(luò)的安全保護既表現(xiàn)為系統(tǒng)安全防護的困 難性,也表現(xiàn)為網(wǎng)絡(luò)通信安全實現(xiàn)的困難性。多級安全系統(tǒng)是指那些允許存儲具有不同敏感等級信息,允許具有不同安全標(biāo)識 和授權(quán)的用戶按照“按需所知”的原則處理系統(tǒng)信息,并且阻止沒有安全標(biāo)識、沒有授權(quán)或 者沒有獲取信息需求的用戶訪問信息的系統(tǒng)。傳統(tǒng)的多級安全系統(tǒng)主要在集中式環(huán)境下工 作,由一個處理多級安全的服務(wù)器和若干終端組成。RFC5368定義的預(yù)先切換方法中,移動節(jié)點在第2層鏈接保持的情況下,通過發(fā) 送到舊代理的鄰居代理通告消息來得到新代理的轉(zhuǎn)交地址前綴,當(dāng)存在切換需求時,移動 節(jié)點獲得新的轉(zhuǎn)交地址發(fā)起到新代理的接入注冊過程,然后移動節(jié)點發(fā)起家鄉(xiāng)代理和通信 對端的綁定更新,完成快速切換。在這個過程中,移動節(jié)點到新代理處的切換是被動的,移 動節(jié)點無法預(yù)知可能切換的網(wǎng)絡(luò)狀況,一旦切換過去的網(wǎng)絡(luò)資源嚴重不足,移動節(jié)點就會 出現(xiàn)連接中斷,不得不發(fā)起三次切換,存在嚴重的效率問題。在安全性方面,雖然RFC引入 IPsec來提供安全保障,但其僅僅只給出了移動節(jié)點到家鄉(xiāng)代理間安全保護,移動節(jié)點到通 信對端間、以及切換過程中并未給出安全性方面的說明。移動節(jié)點到新代理的切換過程存 在嚴重的安全隱患,此切換過程中的信令消息皆為明文傳輸,惡意節(jié)點可以隨意冒充移動 節(jié)點發(fā)起到新代理的接入過程,導(dǎo)致合法移動節(jié)點通信中斷以及新代理遭受欺騙攻擊。與 此同時,移動環(huán)境中手持一類終端的普遍使用,其計算能力低下的特點導(dǎo)致無法應(yīng)用于高 安全、高計算需求的軍用網(wǎng)絡(luò)。

      發(fā)明內(nèi)容
      本發(fā)明的目的在于針對上述切換過程的不足,提供一種基于位置預(yù)判的預(yù)認證快 速切換方法,通過修改IKEv2協(xié)議和增加IPsec支持多級安全的功能,以實現(xiàn)具有多級安全 特性的移動IPv6網(wǎng)絡(luò)中移動節(jié)點MN對代理的安全快速切換,在引入高安全保護的同時,提 供切換過程中對QoS的支持,以及計算能力方面對手持終端的支持,保障整個通信網(wǎng)絡(luò)的效率、健壯性和安全性。為實現(xiàn)上述目的,本發(fā)明提供的基于位置預(yù)判的預(yù)認證快速切換方法,包括如下 步驟1. 一種基于位置預(yù)判的預(yù)認證快速切換方法,包括如下步驟(1)本地代理LA通過GPS位置預(yù)判方法判定出移動節(jié)點MN將要切換的鄰居新代 理NLAs,由LA向NLAs發(fā)送整條消息,該整條消息包括切換發(fā)起請求HI、移動節(jié)點的數(shù)字 證書CERTM、通信對端的數(shù)字證書CERTeN、移動節(jié)點的家鄉(xiāng)地址HoAm、通信對端的家鄉(xiāng)地址 HoA^、通信對端的轉(zhuǎn)交地址CoAeN和預(yù)先認證密鑰PAK,這一整條消息通過本地代理與鄰居 新代理之間的IPsec/SA
      LA-NLAs 保護;(2)鄰居新代理NLAs收到LA發(fā)來的消息,記錄移動節(jié)點和通信對端的數(shù)字證書, 由NLAs向LA發(fā)送返回確認消息HACK、地址網(wǎng)絡(luò)前綴和網(wǎng)絡(luò)資源配置狀況,并通過鄰居新代 理與本地代理之間的IPsec/SANUs_u對這些信息進行保護;(3) LA收到NLAs發(fā)送來的HACK消息后,通告返回給麗,告知麗新的轉(zhuǎn)交地址前 綴以及鄰居新代理資源信息; (4) MN選擇新代理,配置新代理NLA的新轉(zhuǎn)交地址NCoAM,并向LA發(fā)送快速綁定更 新消息FBU ;(5) LA收到麗發(fā)送過來的FBU后,緩存發(fā)往麗的數(shù)據(jù)包給新代理NLA ;(6) LA分別通過本地網(wǎng)絡(luò)和新代理NLA路徑發(fā)送快速返回消息FBACK給移動節(jié)點 MN ;(7)麗切換到NLA網(wǎng)絡(luò),選擇D-H交換參數(shù)KEi,向NLA發(fā)送加密簽名消息,用于建 立麗到新代理的接入注冊和IPsec ;(8)NLA解密麗發(fā)來的消息,完成對麗的證書和簽名的驗證,選擇D-H交換參數(shù) KEr和IPsec提議響應(yīng),完成與麗的接入認證和IPsec建立;(9)麗發(fā)送綁定更新消息給家鄉(xiāng)代理HA ;(10)MN接收到緩存在NLA的數(shù)據(jù)包后,發(fā)送綁定更新消息給通信對端CN ;(11) CN將綁定更新消息發(fā)送給CN的接入網(wǎng)關(guān),并發(fā)送綁定確認消息給MN ;(12) HA接收到MN的綁定更新消息后,再返回綁定確認消息給MN,完成切換。本發(fā) 明具有如下優(yōu)點1.本發(fā)明由于在切換過程中,引入了數(shù)字證書和數(shù)字簽名技術(shù)進行雙向身份認 證,全程使用IPsec提供安全保護,因而具有較高的安全性。2.本發(fā)明由于在雙向身份驗證過程中,把麗對NLA的身份驗證過程轉(zhuǎn)由LA計 算完成,通過減少公鑰運算來降低MN的計算量,從而在滿足高安全需求的同時支持受限節(jié)
      點o3.本發(fā)明的切換認證方法以LA為可信代理,利用LA為中介,完成信任關(guān)系建立, 通過相鄰LA間預(yù)先創(chuàng)建IPsec連接,很好地實現(xiàn)了將快速切換與注冊認證的融合,并保持 了移動IPv6網(wǎng)絡(luò)的多級安全特性。4.本發(fā)明利用原代理間的隧道傳輸MN的緩存數(shù)據(jù)包,不存在數(shù)據(jù)包的丟失,且通 過預(yù)先把緩存數(shù)據(jù)發(fā)送到新代理NLA,MN 一旦切換到新網(wǎng)絡(luò)能第一時間收到緩存的數(shù)據(jù)。5.本發(fā)明切換過程中,通過位置預(yù)判方法NLAs提前給出網(wǎng)絡(luò)資源狀況,MN在切換過程支持QoS功能。



      圖1是本發(fā)明預(yù)認證快速切換過程示意圖。
      具體實施例方式本發(fā)明采取固定代理的網(wǎng)絡(luò)結(jié)構(gòu),網(wǎng)絡(luò)配置初期鄰居代理間以及麗與家鄉(xiāng)代理 HA間分別配置好相應(yīng)的IPsec保護,每一個MN都有一個獨立的家鄉(xiāng)地址作為其唯一標(biāo)識。 代理為域內(nèi)節(jié)點提供接入認證、對端身份驗證和強制訪問控制功能。參照圖1,本發(fā)明給出的基于位置預(yù)判的預(yù)認證快速切換方法,包括步驟1,本地代理LA向鄰居新代理NLAs發(fā)送PAK,獲取NLAs的地址前綴和網(wǎng)絡(luò)資 源數(shù)據(jù)。本地代理LA通過GPS位置預(yù)判方法判定出移動節(jié)點麗將要切換的鄰居新代理 NLAs,由LA向NLAs發(fā)送整條消息,該整條消息包括切換發(fā)起請求HI、移動節(jié)點的數(shù)字證書 CERTmn、通信對端的數(shù)字證書CERTcm、移動節(jié)點的家鄉(xiāng)地址HoAmn、通信對端的家鄉(xiāng)地址HoACN、 通信對端的轉(zhuǎn)交地址CoAcm和預(yù)先認證密鑰PAK,這一整條消息通過本地代理與鄰居新代理 之間的IPsec/SAUiAs保護;該預(yù)認證密鑰PAK,由本地代理LA將會話密鑰、鄰居新代理的 網(wǎng)卡地址和MN的網(wǎng)卡地址通過偽隨即函數(shù)計算生成。PAK = Prf(SK|NLAi_mac|MN_mac), 其中SK為翻與LA的IPsec共享會話密鑰,NLAi_mac表示不同鄰居新代理的網(wǎng)卡地址,i
      =1,2,3.....,MN_mac為移動節(jié)點的網(wǎng)卡地址,Prf為偽隨即函數(shù);該處滿足多級安全特性
      需求,通過傳遞移動節(jié)點MN和通信對端CN的數(shù)字證書到鄰居新代理,確保MN切換到NLAs 所在網(wǎng)絡(luò)后,NLAs能夠?qū)惻cCN的通信進行強制訪問控制。步驟2,鄰居新代理NLAs收到PAK消息,記錄MN與CN數(shù)字證書,發(fā)送返回確認消 息,附帶地址網(wǎng)絡(luò)前綴和資源配置情況。鄰居新代理NLAs收到LA發(fā)來的消息,記錄移動節(jié)點和通信對端的數(shù)字證書,由 NLAs向LA發(fā)送返回確認消息HACK、地址網(wǎng)絡(luò)前綴和網(wǎng)絡(luò)資源配置狀況,并通過鄰居新代理 與本地代理之間的IPsec/SANUs_u對這些信息進行保護。步驟3,本地代理將NLAs的HACK消息通告返回給移動節(jié)點麗。本地代理LA收到鄰居新代理NLAs發(fā)送來的HACK消息后,利用麗與LA間IPsec 隧道加密返回給MN,告知MN新的轉(zhuǎn)交地址前綴以及鄰居新代理資源信息。步驟4,移動節(jié)點麗選擇新代理NLA,配置新代理處NLA的新轉(zhuǎn)交地址NCoAmn,并 向LA發(fā)送快速綁定更新消息FBlLMN根據(jù)收到的資源配置信息,結(jié)合鏈路層信息選擇新切換代理,采取無狀態(tài)地址 配置方式,配置新代理處轉(zhuǎn)交地址,發(fā)送快速綁定更新消息FBU到LA,綁定MN的家鄉(xiāng)地址與 新轉(zhuǎn)交地址。步驟5,本地代理LA收到麗發(fā)送過來的FBU后,緩存發(fā)往麗的數(shù)據(jù)包給新代理 NLA。步驟6,本地代理LA分別通過本地網(wǎng)絡(luò)和新代理NLA路徑發(fā)送快速返回消息 FBACK給移動節(jié)點麗。
      步驟7,移動節(jié)點麗切換到新代理NLA網(wǎng)絡(luò),選擇D-H交換參數(shù)KEi,向NLA發(fā)送 加密簽名消息。移動節(jié)點麗切換到新代理NLA網(wǎng)絡(luò),選擇D-H交換參數(shù)KEi,選擇IPsec安全提 議,傳遞PAK {(NCoAm,CERTmn, SAi, KEi) SigmI到NLA,建立接入注冊和IPsec ;該預(yù)認證密 鑰PAK,由移動節(jié)點MN將會話密鑰、新代理的網(wǎng)卡地址和MN的網(wǎng)卡地址通過偽隨即函數(shù)計 算生成。PAK = Prf (SKI NLA_mac | MN_mac),SK 為 MN-LA 間 IPsec 共享密鑰,該處切換到 NLA 網(wǎng)絡(luò),NLA_mac為新代理NLA的網(wǎng)卡地址,MN_mac為移動節(jié)點的網(wǎng)卡地址,Prf為偽隨即函 數(shù)。該IPsec/SA建立過程所有消息均采取加密保護。步驟8,新代理NLA解密移動節(jié)點麗發(fā)來的消息,完成對麗的證書和簽名的驗證, 選擇D-H交換參數(shù)KEr和IPsec提議響應(yīng),利用PAK加密傳遞到麗,完成與麗的接入認證 和IPsec建立。NLA 一旦建立完成與麗的IPsec,就將緩存的麗數(shù)據(jù)包轉(zhuǎn)發(fā)到麗。步驟9,移動節(jié)點MN發(fā)送綁定更新消息給家鄉(xiāng)代理HA。
      移動節(jié)點MN在完成到新代理的注冊過程后,向家鄉(xiāng)代理HA發(fā)送綁定更新消息,該 消息使用IPsec/SAm_HA保護。步驟10,移動節(jié)點MN接收到緩存在新代理NLA的數(shù)據(jù)包后,發(fā)送綁定更新消息給 通信對端CN。經(jīng)過綁定注冊的移動節(jié)點MN從新代理NLA接收到本地代理LA轉(zhuǎn)發(fā)來的消息后, 發(fā)送綁定更新FBU給通信對端CN,該消息使用MIPSec/SAm_eN來保護;這里MIPSec/SA.^是 基于移動節(jié)點MN和通信對端CN的家鄉(xiāng)地址建立的,因此切換過程不影響該安全關(guān)聯(lián)。步驟11,通信對端CN將綁定更新發(fā)送給CN的接入網(wǎng)關(guān),并發(fā)送綁定確認消息給移 動節(jié)點MN。通信對端CN的接入網(wǎng)關(guān)只有知道新的綁定更新FBU,才允許CN將數(shù)據(jù)發(fā)送到以新 轉(zhuǎn)交地址NCoAmn為目的地址的MN,保持了多級安全特性。步驟12,家鄉(xiāng)代理HA接收到移動節(jié)點MN的綁定更新消息,返回綁定確認消息到 麗,完成切換。家鄉(xiāng)代理HA接收到移動節(jié)點MN的綁定更新消息后,綁定移動節(jié)點的家鄉(xiāng)地址與 新轉(zhuǎn)交地址,返回綁定確認消息FBACK給MN,若MN 一直未收到綁定確認,移動節(jié)點MN將再 發(fā)送綁定更新消息FBU給家鄉(xiāng)代理HA,MN收到HA的綁定確認后整個切換過程就完成了。本發(fā)明中使用的符號解釋如下麗移動節(jié)點CN 通信對端HA 家鄉(xiāng)代理LA 本地代理NLAs 鄰居新代理NLA 新代理HI 切換發(fā)起請求RtSolPr 路由通告消息PrRtAdv 路由通告返回
      SAi 可供選擇的MIPsec/SA算法提議SAr 響應(yīng)方選擇的MIPsec/SA算法KEi 發(fā)起方的Diffie-Hellman密鑰交換參數(shù)KEr 響應(yīng)方的Diffie-HelIman密鑰交換參數(shù)SK {X}使用SK對X加密{x} Sigu 表示消息χ和用戶U對χ的簽名SiguCERTu 用戶U的證書 HoAu 用戶U的家鄉(xiāng)地址CoAu =U用戶的轉(zhuǎn)交地址MIPsec/SAx_Y :X 與 Y 之間的 MIPsec/SAHAcku 來自用戶U的返回確認消息FBU:快速綁定更新消息BACK 綁定確認消息PAK:預(yù)先認證密鑰。
      權(quán)利要求
      一種基于位置預(yù)判的預(yù)認證快速切換方法,包括如下步驟(1)本地代理LA通過GPS位置預(yù)判方法判定出移動節(jié)點MN將要切換的鄰居新代理NLAs,由LA向NLAs發(fā)送整條消息,該整條消息包括切換發(fā)起請求HI、移動節(jié)點的數(shù)字證書CERTMN、通信對端的數(shù)字證書CERTCN、移動節(jié)點的家鄉(xiāng)地址HoAMN、通信對端的家鄉(xiāng)地址HoACN、通信對端的轉(zhuǎn)交地址CoACN和預(yù)先認證密鑰PAK,這一整條消息通過本地代理與鄰居新代理之間的IPsec/SALA-NLAs保護;(2)鄰居新代理NLAs收到LA發(fā)來的消息,記錄移動節(jié)點和通信對端的數(shù)字證書,由NLAs向LA發(fā)送返回確認消息HACK、地址網(wǎng)絡(luò)前綴和網(wǎng)絡(luò)資源配置狀況,并通過鄰居新代理與本地代理之間的IPsec/SANLAs-LA對這些信息進行保護;(3)LA收到NLAs發(fā)送來的HACK消息后,通告返回給MN,告知MN新的轉(zhuǎn)交地址前綴以及鄰居新代理資源信息;(4)MN選擇新代理,配置新代理NLA的新轉(zhuǎn)交地址NCoAMN,并向LA發(fā)送快速綁定更新消息FBU;(5)LA收到MN發(fā)送過來的FBU后,緩存發(fā)往MN的數(shù)據(jù)包給新代理NLA;(6)LA分別通過本地網(wǎng)絡(luò)和新代理NLA路徑發(fā)送快速返回消息FBACK給移動節(jié)點MN;(7)MN切換到NLA網(wǎng)絡(luò),選擇D-H交換參數(shù)KEi,向NLA發(fā)送加密簽名消息,用于建立MN到新代理的接入注冊和IPsec;(8)NLA解密MN發(fā)來的消息,完成對MN的證書和簽名的驗證,選擇D-H交換參數(shù)KEr和IPsec提議響應(yīng),完成與MN的接入認證和IPsec建立;(9)MN發(fā)送綁定更新消息給家鄉(xiāng)代理HA;(10)MN接收到緩存在NLA的數(shù)據(jù)包后,發(fā)送綁定更新消息給通信對端CN;(11)CN將綁定更新消息發(fā)送給CN的接入網(wǎng)關(guān),并發(fā)送綁定確認消息給MN;(12)HA接收到MN的綁定更新消息后,再返回綁定確認消息給MN,完成切換。
      2.根據(jù)權(quán)利要求1所述的快速切換預(yù)認證方法,其中步驟(7)所述的加密簽名消息, 是由麗先通過將新轉(zhuǎn)交地址NCoAm、數(shù)字證書CERTm,MlPsec提議SAi、和D-H交換參 數(shù)KEi做數(shù)字簽名運算,再用PAK對該數(shù)字簽名消息進行加密,加密簽名消息的格式為 PAK{ (NCoA麗,CERT麗,SAi, KEi) Sigm}。
      全文摘要
      本發(fā)明公開了一種基于位置預(yù)判的預(yù)認證快速切換方法,主要解決移動IPv6網(wǎng)絡(luò)的切換過程安全保密問題。其切換過程是采取本地代理LA經(jīng)GPS位置預(yù)判的方式判定出MN切換區(qū)域,本地代理LA事先發(fā)送預(yù)認證密鑰PAK給鄰居新代理NLAs;本地代理LA收集好NLAs的網(wǎng)絡(luò)地址前綴和網(wǎng)絡(luò)資源信息傳遞給MN;MN根據(jù)鏈路層信息和收到的新代理網(wǎng)絡(luò)資源狀況,選擇新代理;當(dāng)移動節(jié)點MN切換到新的網(wǎng)絡(luò),向新代理發(fā)送加密簽名消息,直接發(fā)起與新代理的雙向身份認證和IPsec的建立,此切換認證通信過程均有IPsec提高安全保護,在高安全性保護需求的基礎(chǔ)上,盡可能做到可用和高效。本發(fā)明能夠很好地實現(xiàn)對具有多級安全特性的大規(guī)模分布式移動IPv6網(wǎng)絡(luò)的切換過程進行安全保護,可用于軍用移動IPv6網(wǎng)絡(luò)。
      文檔編號H04L29/12GK101860846SQ20101017332
      公開日2010年10月13日 申請日期2010年5月14日 優(yōu)先權(quán)日2010年5月14日
      發(fā)明者任飛, 馮選, 劉彥明, 唐佳, 安紅章, 李小平, 祝世雄, 董慶寬 申請人:西安電子科技大學(xué);中國電子科技集團公司第三十研究所
      網(wǎng)友詢問留言 已有0條留言
      • 還沒有人留言評論。精彩留言會獲得點贊!
      1