[发明专利]基于位置预判的预认证快速切换方法

说明书

技术领域

本发明属于网络安全技术领域，具体涉及移动IPsec快速切换方法，用于保护具有多级安全特性的移动IPv6网络的切换过程安全。

技术背景

互联网工程工作组IETF在IPv6的基础上于2004年6月正式提出移动IPv6协议，RFC3775。该协议在支持移动性，解决安全性问题，实现高服务质量，以及提供足够的地址空间等方面有着比IPv4协议更大的优势。但由于Internet本身的安全机制较为脆弱，再加上无线网络传输媒体的开放性、移动终端的大范围移动性、拓扑结构的动态性和移动设备存储资源和计算资源的有限性，使得移动IP网络比有线网络更容易受到安全威胁；同时由于移动设备在存储能力、计算能力和电源供电时间方面的局限性，也使得原来在有线环境下的许多安全方案和安全技术不能直接应用于无线环境。这种在移动设备和传输媒介方面的特殊性，使得一些攻击更容易实施，对移动网络的安全保护既表现为系统安全防护的困难性，也表现为网络通信安全实现的困难性。

多级安全系统是指那些允许存储具有不同敏感等级信息，允许具有不同安全标识和授权的用户按照“按需所知”的原则处理系统信息，并且阻止没有安全标识、没有授权或者没有获取信息需求的用户访问信息的系统。传统的多级安全系统主要在集中式环境下工作，由一个处理多级安全的服务器和若干终端组成。

RFC5368定义的预先切换方法中，移动节点在第2层链接保持的情况下，通过发送到旧代理的邻居代理通告消息来得到新代理的转交地址前缀，当存在切换需求时，移动节点获得新的转交地址发起到新代理的接入注册过程，然后移动节点发起家乡代理和通信对端的绑定更新，完成快速切换。在这个过程中，移动节点到新代理处的切换是被动的，移动节点无法预知可能切换的网络状况，一旦切换过去的网络资源严重不足，移动节点就会出现连接中断，不得不发起三次切换，存在严重的效率问题。在安全性方面，虽然RFC引入IPsec来提供安全保障，但其仅仅只给出了移动节点到家乡代理间安全保护，移动节点到通信对端间、以及切换过程中并未给出安全性方面的说明。移动节点到新代理的切换过程存在严重的安全隐患，此切换过程中的信令消息皆为明文传输，恶意节点可以随意冒充移动节点发起到新代理的接入过程，导致合法移动节点通信中断以及新代理遭受欺骗攻击。与此同时，移动环境中手持一类终端的普遍使用，其计算能力低下的特点导致无法应用于高安全、高计算需求的军用网络。

发明内容

本发明的目的在于针对上述切换过程的不足，提供一种基于位置预判的预认证快速切换方法，通过修改IKEv2协议和增加IPsec支持多级安全的功能，以实现具有多级安全特性的移动IPv6网络中移动节点MN对代理的安全快速切换，在引入高安全保护的同时，提供切换过程中对QoS的支持，以及计算能力方面对手持终端的支持，保障整个通信网络的效率、健壮性和安全性。

为实现上述目的，本发明提供的基于位置预判的预认证快速切换方法，包括如下步骤：

1.一种基于位置预判的预认证快速切换方法，包括如下步骤：

(1)本地代理LA通过GPS位置预判方法判定出移动节点MN将要切换的邻居新代理NLAs，由LA向NLAs发送整条消息，该整条消息包括切换发起请求HI、移动节点的数字证书CERT_MN、通信对端的数字证书CERT_CN、移动节点的家乡地址HoA_MN、通信对端的家乡地址HoA_CN、通信对端的转交地址CoA_CN和预先认证密钥PAK，这一整条消息通过本地代理与邻居新代理之间的IPsec/SA_LA-NLAs保护；

(2)邻居新代理NLAs收到LA发来的消息，记录移动节点和通信对端的数字证书，由NLAs向LA发送返回确认消息HACK、地址网络前缀和网络资源配置状况，并通过邻居新代理与本地代理之间的IPsec/SA_NLAs-LA对这些信息进行保护；

(3)LA收到NLAs发送来的HACK消息后，通告返回给MN，告知MN新的转交地址前缀以及邻居新代理资源信息；

(4)MN选择新代理，配置新代理NLA的新转交地址NCoA_MN，并向LA发送快速绑定更新消息FBU；

(5)LA收到MN发送过来的FBU后，缓存发往MN的数据包给新代理NLA；

(6)LA分别通过本地网络和新代理NLA路径发送快速返回消息FBACK给移动节点MN；