摘要:互联网技术移动IJPt6认证子系统设计:MlPv6认证子系统为MN提供MIPv6服务,同时对MN是否是合法MIPv6服务的用户进行认证,该子系统动态建立MN与HA的安全关联,保护二者之间的移动信令消息。
5.5.3移动IJPt6认证子系统设计
MlPv6认证子系统为MN提供MIPv6服务,同时对MN是否是合法MIPv6服务的用户进行认证,该子系统动态建立MN与HA的安全关联,保护二者之间的移动信令消息。
1.总体模型与消息流程
MIPv6认证子系统涉及的实体如图5-18所示。NAS同时作为AR,箭头1表示MIPv6协议交互,箭头2表示RADIUS协议交互。具体消息流程如图5-19所示。
①MN移动到外地,收到AR发出的路由通告,采用无状态地址配置生成转交地址。MN也可使用有状态地址配置(DHCPv6)从AR获得转交地址。
②MN从配S文件中得到启动信息,包括家乡地址、家乡代理地址、NAI及与AAA服务器共享密钥。
③MN执行PANA接入认证过程。
④接入认证完成后,若MN允许接入,则向指定的HA发送BU,在BU中,包含MN-ID选项和MN-AAA认证选项。MN-AAA选项的认证数据由BU的HASH值和MN-AAA共享密钥计算而得,使用单向散列算法HMAC_SHA1。MN-AAA认证选项中SP1设置为5。BU同时包含MN的NAI等其他细节#BU的HASH值包含序列号防止重放攻击。
⑤HA从BU提取NAI、认证数据等,用进程间通信将这些信息传给AAA客户端进程,AAA客户端进程按AAA协议封装数据包发到AAAH2,服务器根据NAI查询MySQL数据库中相应密钥,对MN-AAA选项认证。
⑥AAAH2发送认证结果给HA。若认证成功,AAAH2计算会话密钥,采用加密形式发给HA。HA接收会话密钥,建立与MN的SA。
⑦HA执行重传检査,同时为MN执行代理邻居发现。
⑧HA发回BA到MN,BA中的认证数据由会话密钥得到。BA包含MN-ID移动选项,MN-IIA认证选项中设置SPI值为3。
⑨MN用与AAAH2相同算法计算会话密钥,认证BA中的MN-HA选项。认证通过则建立与HA的SA,MN与HA后续信令消总由这个SA保护。
⑩MN下线,解除与HA的SA,结束会话。
注意:如果MN-HA之间的SA建立之后,MN的MlPv6认证不需要在AAAH2执行,MN和HA利用会话密钥完成对二者间的BU/BA消息的认证。
对于在建立与HA的SA以后发送的BU消息,MN在BU中(包括刷新己存绑定缓存条目的BU或不同AR间切换时更新绑定缓存条目的BU)包含MN-HA认证选项。返回的BA消息中也包含该认证选项。选项中的认证数据由初始家乡注册阶段生成的会话密钥计算而得。HA和MN在MIPv6会话期间缓稃这个密钥。
返回目录:
编辑特别推荐:
通信工程师备考资料免费领取
去领取