[发明专利]一种基于分级身份签名的PMIPv6网络双向接入认证系统及方法

说明书

技术领域

本发明属于无线移动网络安全领域，特别涉及一种基于分级身份签名的PMIPv6网络双向接入认证系统及方法。

背景技术

代理移动IPv6(Proxy Mobile IPv6，PMIPv6)协议通过扩展移动IPv6协议中移动节点(Mobile Node，MN)和家乡代理间的信令消息以支持IPv6节点的移动性，网络中的代理移动实体处理移动节点与家乡代理间的信令交互并且代替移动节点参与移动管理。由于代理移动IPv6不需要对移动节点进行额外配置使该协议易于部署，将成为下一代网络重要的移动性支撑协议。但代理移动IPv6缺乏安全性方面的考虑，其开放性增加了潜在的安全威胁。当移动节点接入外地网络时，需要同外地网络的代理移动实体相互认证身份，其中双向接入认证是代理移动IPv6安全的基本需求。另外，移动节点的切换和认证往往同时发生，为保障移动节点的实时应用，认证操作应与切换过程同步进行，尽可能保证切换效率。

在现有针对代理移动IPv6接入认证方面的研究中：文献“一种代理移动IPv6认证协议”提出了一种基于Diameter协议的代理移动IPv6认证方法，该方法通过AAA(Authentication验证，Authorization授权，Accounting记账)服务器与移动节点和代理移动实体之间的预先共享密钥实现接入认证，但增加了AAA服务器与代理移动实体间的消息交互，降低了移动节点的接入效率。文献“基于无证书签密的代理移动IPv6认证方案”将无证书签密机制用于代理移动IPv6的认证过程，解决了无线环境中密钥管理安全问题，但密钥协商过程仍然存在与AAA服务器的交互，从而加重AAA服务器的负担。并且该方案没有讨论如何进行切换认证，因此很难应用到实际的网络环境中。文献“One-time Key Authentication Protocol for PMIPv6”较完善地给出了对代理移动实体进行优化的接入认证方案，但是代理移动实体之间的通信距离通常很远，通信延时大，降低了切换认证的效率，而且需要相关实体频繁地更换密钥，增加了通信开销。可见在现有的代理移动IPv6接入认证方案中，存在着系统开销大、认证效率低及切换认证差等问题。

可见上述的认证机制中，MN的认证信息都存放在家乡网络或者远端的AAA服务器，对移动节点的接入认证必须通过与家乡网络交互来实现，因而认证延时将随着本地网络与外地网络之间距离的增加而显著增大，进一步降低了接入认证效率。

发明内容

针对现有技术存在的不足，本发明提供一种基于分级身份签名的PMIPv6网络双向接入认证系统及方法。

本发明的技术方案如下：

一种基于分级身份签名的PMIPv6网络双向接入认证系统，包括多个移动接入网关、多个本地移动锚、可信第三方服务器和多个移动节点，多个移动接入网关、多个本地移动锚、可信第三方服务器与多个移动节点形成PMIPv6网络；

所述移动接入网关是用于代替移动节点执行移动管理的实体，负责检测移动节点的连接和离开接入链路的移动以及向移动节点的本地移动锚的双向接入认证，验证接入的移动节点的合法性，并基于分级身份签名机制进行签名、验证签名和HMAC操作；

所述本地移动锚是PMIPv6网络内移动节点的家乡代理，用于管理移动节点的网络连接状态，本地移动锚具有PKG的功能；

所述可信第三方服务器是系统的根服务器，用于根据选择的安全参数生成系统公共参数并发布系统公共参数，并且为本地移动锚分配私钥；

所述移动节点是可以移动的电脑终端实体或者是可以使用网络地址的可移动的网络终端实体，移动节点不参与和移动相关的信令流程。

采用所述的基于分级身份签名的PMIPv6网络双向接入认证系统进行基于分级身份签名的PMIPv6网络双向接入认证的方法，包括以下步骤：

步骤1：各移动接入网关与其对应的本地移动锚建立可信信道，各移动接入网关、各本地移动锚、可信第三方服务器与各移动节点形成PMIPv6网络，PMIPv6网络内所有实体均支持基于分级身份签名机制；

所述可信信道为IPSec保护的移动接入网关与本地移动锚之间的通信；

步骤2：可信第三方服务器根据选择的安全参数生成系统公共参数并发布系统公共参数；