互联网技术移动IJPt6认证子系统设计

　在线辅导　面授招生　考试大纲　指定教材　报名时间

　　5.5.3移动IJPt6认证子系统设计
MlPv6认证子系统为MN提供MIPv6服务，同时对MN是否是合法MIPv6服务的用户进行认证，该子系统动态建立MN与HA的安全关联，保护二者之间的移动信令消息。
1.总体模型与消息流程
MIPv6认证子系统涉及的实体如图5-18所示。NAS同时作为AR,箭头1表示MIPv6协议交互，箭头2表示RADIUS协议交互。具体消息流程如图5-19所示。

①MN移动到外地，收到AR发出的路由通告，采用无状态地址配置生成转交地址。MN也可使用有状态地址配置（DHCPv6)从AR获得转交地址。
②MN从配S文件中得到启动信息，包括家乡地址、家乡代理地址、NAI及与AAA服务器共享密钥。
③MN执行PANA接入认证过程。
④接入认证完成后，若MN允许接入，则向指定的HA发送BU，在BU中，包含MN-ID选项和MN-AAA认证选项。MN-AAA选项的认证数据由BU的HASH值和MN-AAA共享密钥计算而得，使用单向散列算法HMAC_SHA1。MN-AAA认证选项中SP1设置为5。BU同时包含MN的NAI等其他细节#BU的HASH值包含序列号防止重放攻击。
⑤HA从BU提取NAI、认证数据等，用进程间通信将这些信息传给AAA客户端进程，AAA客户端进程按AAA协议封装数据包发到AAAH2,服务器根据NAI查询MySQL数据库中相应密钥，对MN-AAA选项认证。
⑥AAAH2发送认证结果给HA。若认证成功，AAAH2计算会话密钥，采用加密形式发给HA。HA接收会话密钥，建立与MN的SA。
⑦HA执行重传检査，同时为MN执行代理邻居发现。
⑧HA发回BA到MN,BA中的认证数据由会话密钥得到。BA包含MN-ID移动选项，MN-IIA认证选项中设置SPI值为3。
⑨MN用与AAAH2相同算法计算会话密钥，认证BA中的MN-HA选项。认证通过则建立与HA的SA,MN与HA后续信令消总由这个SA保护。
⑩MN下线，解除与HA的SA，结束会话。
注意：如果MN-HA之间的SA建立之后，MN的MlPv6认证不需要在AAAH2执行，MN和HA利用会话密钥完成对二者间的BU/BA消息的认证。
对于在建立与HA的SA以后发送的BU消息，MN在BU中（包括刷新己存绑定缓存条目的BU或不同AR间切换时更新绑定缓存条目的BU)包含MN-HA认证选项。返回的BA消息中也包含该认证选项。选项中的认证数据由初始家乡注册阶段生成的会话密钥计算而得。HA和MN在MIPv6会话期间缓稃这个密钥。

返回目录： 通信工程师考试移动互联网安全技术汇总

编辑特别推荐：

中级通信专业实务 互联网技术教程汇总

中级通信专业实务传输与接入教程汇总

通信专业实务考试设备与环境教程汇总

通信专业实务考试交换技术教程汇总