[发明专利]分离机制移动性管理系统实现接入认证的密钥分发方法

说明书

技术领域

本发明涉及分离机制移动性管理系统实现接入认证的密钥分发方法。

背景技术

分离机制移动性管理系统改变了以主机为中心和以网络为中心的部署，融合了身份与位置分离、接入网与核心网分离、数据转发与控制信令分离的机制，解决了IP地址双重属性带来的移动互联网的移动性管理、安全性和可靠性等问题。

随着移动互联网的发展，各种移动设备如手机、平板电脑等可以方便迅速并且随时随地接入网络享受网络服务，大量设备的接入对于网络安全造成了严重的威胁，如中间人攻击、抗重播保护、AP节点欺骗、数据的非法窃听和修改等网络中的不安全行为。网络接入认证对于控制用户接入网络服务是一个关键过程，网络接入安全确保了网络操作者仅允许被认证用户的接入。

文献（专利申请：201110152731.4）中对分离机制移动性管理系统做了详细介绍，具体阐述了系统的主要功能划分以及信令格式的定义。三种分离机制的部署使得主机无需参与移动性管理，减轻了主机的负担，易于实现多家乡、流移动性等功能；控制网关根据接入网流量负荷等情况选择不同数据网关，消除数据网关性能瓶颈问题，达到分布式移动管理目的；使用不同地址在接入网和核心网对用户进行路由，保证了边缘网络用户行为不影响核心网络，使得核心网络的伸缩性得到加强。但是目前分离机制移动性管理系统还没有部署具体的接入安全机制，不能保证接入网的移动终端的合法性，使得网络面临着被非法用户攻击，以及传输的数据流被窃取欺骗等威胁。

与本发明相关的现有技术一

PANA(Protocol for Carrying Authentication for Network Access)网络接入认证协议，对于扩展认证协议（EAP）的网络层传输来确保在客户端和接入网络之间的网络接入认证。在EAP格式中，PANA是基于UDP的EAP底层，运行在EAP客户端和EAP认证端之间。

提供安全的网络接入服务需要以客户端和接入网络的认证和授权为基础的接入控制，用户和网络之间提供认证参数并通过指定的认证算法执行认证过程。RFC 3748（Extensible Authentication Protocol(EAP)）定义了扩展认证协议，EAP协议直接运行在数据链路层之上如PPP协议或IEEE 802规范，无需IP连接。EAP协议的一个特点是承载灵活性，EAP用于选择一种指定的认证机制，主要在认证端请求更多的信息来决定使用具体的认证算法，而无需认证端更新以支持一种新的认证算法，EAP协议提供一种认证框架支持多种认证算法。

PANA协议是通过承载在EAP协议中的EAP-PSK算法实现终端和认证服务器之间的认证，RFC 4764（The EAP-PSK Protocol：A Pre-Shared Key Extensible Authentication Protocol(EAP)Method）对EAP-PSK算法进行了规范，由终端和认证服务器共享一对唯一的预共享密钥PSK，在算法执行过程中由PSK派生认证过程所需密钥携带在信令中传输，认证的双方通过密钥来验证对方的身份合法性。

现有技术一的缺点

现有技术一仅提供了终端和认证服务器之间的双向认证功能，定义了MSK和EMSK密钥，MSK作为主会话密钥用于成功认证结束后在移动终端和认证端间建立安全关联，EMSK作为扩展主会话密钥用作未来扩展使用。但是对于移动终端在切换时执行域内域间的重认证过程没有相应的部署机制。PANA协议只是一种架设在移动性框架下的认证技术，不涉及具体的移动性管理规程。

与本发明相关的现有技术二

IETF成立的Hokey工作组主要研究移动终端在网络中切换过程的密钥分发以及重认证部署，RFC 5296（EAP Extensions for EAP Re-authentication Protocol(ERP)）规范解决了域内域间切换的重认证问题，通过减少完整认证过程的信令条目从而减少了网络时延，保障了快速切换的进行。

Hokey机制定义了两种场景，一是初始接入家乡域网络的认证和重认证过程，二是初始接入外地域网络的认证和重认证过程。在家乡域网络由移动终端和家乡认证服务器间交互信令执行认证过程，在外地域网络认证时外地认证服务器需要向家乡认证服务器申请所在域的授权，经过授权后的外地服务器可直接同移动终端进行外地域内的重认证过程，避免了重复向家乡认证服务器请求授权的过程，简化了信令流程，减小了网络时延^[7]。

现有技术二的缺点