通信學論文-移動IP中AAA體系結(jié)構(gòu)的研究與改進.doc

通信學論文-移動IP中AAA體系結(jié)構(gòu)的研究與改進摘要當前移動通信的發(fā)展進入了一個新時代，AAA協(xié)議必將發(fā)揮更大的作用。因特網(wǎng)工程任務組IETF提出的移動IP下的AAA體系結(jié)構(gòu)，但是當移動節(jié)點在不同網(wǎng)絡間切換時，對移動節(jié)點的認證會帶來很大延遲問題。鑒于此，提出一種新的網(wǎng)絡信任模型簡化網(wǎng)絡中的密鑰管理，并在此基礎上提出一種新的認證方案來提高認證效率，減小延遲。關(guān)鍵字AAA移動IP認證引言個人通信技術(shù)的發(fā)展最終目標是能夠讓人們隨時隨地訪問網(wǎng)絡，移動IP1技術(shù)恰恰將這個目標變成了現(xiàn)實。移動IP技術(shù)允許移動節(jié)點在移動位置的過程中不中斷正在進行的通信，這給用戶帶來了很大的方便。AAA2技術(shù)是認證、授權(quán)和記帳三種技術(shù)的結(jié)合。IETF的移動IP工作組將該技術(shù)移植到移動IP中，并提出了模型來實現(xiàn)移動IP中的認證、授權(quán)和記帳。這模型的提出，解決了原有移動IP協(xié)議無法解決的問題，完善了移動IP的功能。但是每次移動節(jié)點進入一個新的外地網(wǎng)絡時，新的外地網(wǎng)絡必須要向移動節(jié)點的家鄉(xiāng)網(wǎng)絡進行認證請求，得到家鄉(xiāng)網(wǎng)絡的認證，移動節(jié)點才能進入外地網(wǎng)絡。這樣移動節(jié)點在進行切換時就帶來了很大的延遲，對于實時系統(tǒng)來說基本不可行。在本文中，提出了一種新的網(wǎng)絡信任模型。在該模型中，當移動節(jié)點進入外地網(wǎng)絡中時，不需要向它的家鄉(xiāng)網(wǎng)絡發(fā)出認證請求，而是向移動節(jié)點先前所在的外地網(wǎng)絡發(fā)出認證請求，大大提高了認證效率。1移動IP下的AAA體系結(jié)構(gòu)圖1AAA在移動IP中應用模型AAA在移動IP中應用的基本模型圖1所示。從圖中可以看出，家鄉(xiāng)域中包含家鄉(xiāng)代理和家鄉(xiāng)AAA服務器AAAH。同樣，外地域中有外地代理和外地AAA服務器AAAL。模型中實線代表相關(guān)實體之間的安全協(xié)定SA4。安全協(xié)定是兩個節(jié)點在數(shù)據(jù)發(fā)送前商定的發(fā)送者如何對數(shù)據(jù)進行密碼變換的協(xié)定。也就是說安全協(xié)定包含了告訴接收者如何解密和驗證消息中的認證數(shù)據(jù)的必要信息。與通常的移動IP技術(shù)不同的是，在該模型中移動節(jié)點只和AAAH間有安全協(xié)定，以此來表明移動節(jié)點屬于家鄉(xiāng)域，而和家鄉(xiāng)代理之間沒有安全協(xié)定?；灸Ｐ偷木W(wǎng)絡接入服務器是外地代理，由外地代理向AAA服務器發(fā)送接入請求。2已有的密鑰產(chǎn)生機制現(xiàn)在移動IP下的AAA架構(gòu)是由IETF工作組制定的。AAAH代表了在家鄉(xiāng)網(wǎng)絡的服務器，AAAL代表了外地網(wǎng)絡的AAA服務器,同時不論在外地網(wǎng)絡實時家鄉(xiāng)網(wǎng)絡都有安全的通道連接AAA服務器和家鄉(xiāng)代理或者是外地代理。同時，在AAAL和AAAH之間也假設有一個安全的通道。根據(jù)基本的移動IP協(xié)議，在HN和MN之間有一個MSA1，根據(jù)此MSA產(chǎn)生HA和MN之間的密鑰以及FA和MN之間的密鑰,密鑰的產(chǎn)生按照IETF的標準程序所產(chǎn)生具體步驟如下：MN發(fā)送一個NonceRequest3給FA來請求一個隨機數(shù)以產(chǎn)生HA與MN密鑰、FA與MN密鑰。并且根據(jù)MSA，一個MAC值（信息認證碼）被計算出附在請求消息中.FA將此消息發(fā)送給AAAL，因為AAAL沒有足夠的信息來對認證該移動節(jié)點，隨后由AAAL發(fā)送給AAAH。AAAH檢查MAC，如果合法則產(chǎn)生一個隨機數(shù),并且將此隨機數(shù)通過預先存在的安全通道送給HA，這樣家鄉(xiāng)代理就可以產(chǎn)生HA與MN之間的密鑰。通過AAAH和AAAL之間的安全通道以及AAAL和外地代理FA的安全通道，AAAH發(fā)送另一個隨機數(shù)給AAAL，隨后轉(zhuǎn)至FA。這樣外地代理也產(chǎn)生了FA與MN之間的密鑰。兩個隨機數(shù)通過注冊應答消息加密后傳送給MN，這樣在移動節(jié)點處就產(chǎn)生了MN與FA、MN與HA之間的密鑰。這些密鑰就通過MN和代理所收到的隨機數(shù)而產(chǎn)生。IETF建議使用Broker2結(jié)構(gòu)。Broker是和通信雙方都建立了信任關(guān)系的第三方實體，是雙方通信的媒介，可以對信息進行轉(zhuǎn)發(fā).Broker和它所連接的所有AAA服務器以及上一級Broker之間都有安全協(xié)定。因為一般Broker布置在MN的附近，大大縮短了認證信息的傳輸路徑，這樣能夠節(jié)省大量認證時間。Broker同時還可以安排成一個分層結(jié)構(gòu)，更高層次的Broker可以覆蓋更大的地域，它能夠為快速移動節(jié)點服務。但是，當MN移動出現(xiàn)有的Broker域到一個新的Broker域，它仍然需要同家鄉(xiāng)網(wǎng)絡聯(lián)系以獲得認證消息。所有的這類模型都需要不間斷的和AAAH聯(lián)系，因此效率仍然比較低。3一種新的AAA架構(gòu)3.1新的信任模型原來的AAA架構(gòu)引起很長的認證延遲的原因是關(guān)于網(wǎng)絡信任關(guān)系的假設。它假設網(wǎng)絡中對移動節(jié)點的認證信息的來源只能是家鄉(xiāng)網(wǎng)絡，如圖2所示。即使是Broker的認證消息也來至AAAH。如果一個外地網(wǎng)絡對移動節(jié)點的認證消息來源不是家鄉(xiāng)網(wǎng)絡，而是移動節(jié)點先前所在的外地網(wǎng)絡，這樣的認證將會非常的有效率。圖2舊網(wǎng)絡信任模型圖3新網(wǎng)絡信任模型圖2、3顯示了兩種網(wǎng)絡信任模型的不同之處。在圖三的信任模型中，外地網(wǎng)絡對移動節(jié)點的認證消息來至移動節(jié)點先前所在的外地網(wǎng)絡。在這里我們假設每一個中間的外地網(wǎng)絡不提供偽造大的認證信息。在這個新的模型中，網(wǎng)絡的密鑰管理比有Broker的分層模型簡單的多，一個網(wǎng)絡只需要它周圍相鄰的網(wǎng)絡列表，密鑰的交換只在它和它的相鄰網(wǎng)路交換。并且可以通過交換鄰居列表來獲得整個網(wǎng)絡的分布。這里需要一個PKI5的存在以支持網(wǎng)絡密鑰的分發(fā)。每一個外地網(wǎng)絡通過自己的私鑰對要傳送的密鑰進行加密，以后各個實體間再傳送信息就可以使用這個傳送來的密鑰。3.2密鑰的產(chǎn)生根據(jù)HN和MN之間的MSA產(chǎn)生了HA-MN和FA-MN之間的密鑰。一旦HA-MN之間的密鑰產(chǎn)生以后，當MN又移動到一個新的外地網(wǎng)絡時，就不需要產(chǎn)生新的HA-