互联网技术考试移动IPv6中的认证
摘要:互联网技术考试移动IPv6中的认证:移动IPv6(MIPv6)中的认证主要指网络中各实体利用相互间的信任关系,对实体的合法性的检查以及对移动信令消息的保护。现有方案可以分为以MlPv6为中心的解决方案和MlPv6结合AAA的方案。以MIPv6为中心的解决方案实际上就是使用IPSec来认证。本节重点介绍MIPv6结合AAA的方案。
5.4.3 移动IPv6中的认证
移动IPv6(MIPv6)中的认证主要指网络中各实体利用相互间的信任关系,对实体的合法性的检查以及对移动信令消息的保护。现有方案可以分为以MlPv6为中心的解决方案和MlPv6结合AAA的方案。以MIPv6为中心的解决方案实际上就是使用IPSec来认证。本节重点介绍MIPv6结合AAA的方案。
MIPv6中AAA在认证方面的主要作用是利用AAA网络己有的安全关联(SA,这里借用了IPSec中SA的概念,怛不特指IPSec中的SA。这里的SA是宽泛的概念,M两个通倍实体经协商建立起来的一种安全协定,决定用来保护数据包安全的算法、密钥及密钥生存期等),以移动节点和它的家乡AAA服务器之间的SA为基础,动态建立MN-AR/HA间的移动安全关联(MSA),用户的身份认证一般通过与家乡AAA服务器的SA实现,移动消息认证通过建立的MSA实现。MIPv6结合AAA方案中各种SA如阁5-11所示。
下面对各种SA的不同内涵进行阐述。
1)预配置SA(Pre-establishedSAs,PSA)
为支持MIP-AAA交互,这些SA用来保证AAA架构的操作安全。这些SA在MIP注册过程发生前就已经存在。为了区别预配置SA和其他SA,图5-11中用实线表示预配置SA。
这些PSA保证AAAF和AAAH能确保来自对方的消息的完整性,并可进行敏感的密钥材料的交互。
2)AR/HA--AAAPSA
AR-AAAF或HA-AAAH连接承栽AAA消息,这些消息可能包含分配给AR/HA的真正的密钥。在这种情况下,AAA消息应该由一种强的端到端的加密机制来保护,如IPSecESP或TLS。
移动SA(MobilitySAs,MSA):MSA指MN和移动代理之间的安全关联。这个MSA定义了MN与代理之间使用什么密钥和何种算法保证安全的通信-这些MSA-旦建立,MN与移动代理就能认证移动IP的控制消息(如注册请求和应答)。
与PSA相反,这些MSA在移动IP注册前是不存在的,并且逛由MIP-AAA倌令辅助生成的。这些SA的建立涉及密钥材料的产生及分发。值得注意的是,这些MSA的R标不是为MN接入Internet提供安全连接。本文中的MSA只是用来认证移动IP注册请求并返回应答。由于注册消息数据S较小且交互不频繁,MSA的密钥被破解的可能性较小。MSA并不提供MN与移动代理间大流里的保护。
3)AAASA
AAASA是MN与它的AAAH间预先配置的SA。尽管它就是一种特殊的PSA,因为它是MIP-AAA信令的基础,在这里我们对它单独描述。AAASA可使移动代理在没有与移动节点的信任关系前询问AAA服务器以建立MSA。若移动节点与AAA服务器共享一个SA,AAA服务器就能认证移动节点,帮助移动节点和代理建立倌任关系。
移动IPv6结合AAA的认证机制典型方案的实体间消息流程如图5-12所示。
这种方案没有规定MN与AAA客户端之间使用的具体协议,所以这两者之间的消息没有特定的名称。MN接入新的网络时,通过AAAF与AAAH进行交互(ARR/ARA),实现认证,认证算法默认采用挑战/应答机制。在这种方案中,MN在AAAH认证通过后,AAAH可以代替MN发送BU消息到指定的HA,实现了认证与家乡注册的同步,提高了切换效率。MN与HA的一次交互结束后,家乡注册随即完成。
返回目录:
编辑特别推荐:
延伸阅读
通信工程师微信公众号
通信工程师备考资料免费领取
去领取
距离2025 通信工程师考试
还有- 1
- 3
- 1
专注在线职业教育24年
APP 
微信群 
扫描二维码
扫描二维码
