移動(dòng)IP中AAA體系結(jié)構(gòu)的研究與改進(jìn)

1、挪動(dòng)IP中AAA體系構(gòu)造的研究與改良摘要當(dāng)前挪動(dòng)通信的開展進(jìn)入了一個(gè)新時(shí)代，aaa協(xié)議必將發(fā)揮更大的作用。因特網(wǎng)工程任務(wù)組ietf提出的挪動(dòng)ip下的aaa體系構(gòu)造，但是當(dāng)挪動(dòng)節(jié)點(diǎn)在不同網(wǎng)絡(luò)間切換時(shí)，對(duì)挪動(dòng)節(jié)點(diǎn)的認(rèn)證會(huì)帶來很大延遲問題。鑒于此，提出一種新的網(wǎng)絡(luò)信任模型簡化網(wǎng)絡(luò)中的密鑰管理，并在此根底上提出一種新的認(rèn)證方案來進(jìn)步認(rèn)證效率，減小延遲。關(guān)鍵字aaa挪動(dòng)ip認(rèn)證引言個(gè)人通信技術(shù)的開展最終目的是可以讓人們隨時(shí)隨地訪問網(wǎng)絡(luò)，挪動(dòng)ip1技術(shù)恰恰將這個(gè)目的變成了現(xiàn)實(shí)。挪動(dòng)ip技術(shù)允許挪動(dòng)節(jié)點(diǎn)在挪動(dòng)位置的過程中不中斷正在進(jìn)展的通信，這給用戶帶來了很大的方便。aaa2技術(shù)是認(rèn)證、受權(quán)和記帳三種技術(shù)的

2、結(jié)合。ietf的挪動(dòng)ip工作組將該技術(shù)移植到挪動(dòng)ip中，并提出了模型來實(shí)現(xiàn)挪動(dòng)ip中的認(rèn)證、受權(quán)和記帳。這模型的提出，解決了原有挪動(dòng)ip協(xié)議無法解決的問題，完善了挪動(dòng)ip的功能。但是每次挪動(dòng)節(jié)點(diǎn)進(jìn)入一個(gè)新的外地網(wǎng)絡(luò)時(shí)，新的外地網(wǎng)絡(luò)必需要向挪動(dòng)節(jié)點(diǎn)的家鄉(xiāng)網(wǎng)絡(luò)進(jìn)展認(rèn)證懇求，得到家鄉(xiāng)網(wǎng)絡(luò)的認(rèn)證，挪動(dòng)節(jié)點(diǎn)才能進(jìn)入外地網(wǎng)絡(luò)。這樣挪動(dòng)節(jié)點(diǎn)在進(jìn)展切換時(shí)就帶來了很大的延遲，對(duì)于實(shí)時(shí)系統(tǒng)來說根本不可行。在本文中，提出了一種新的網(wǎng)絡(luò)信任模型。在該模型中，當(dāng)挪動(dòng)節(jié)點(diǎn)進(jìn)入外地網(wǎng)絡(luò)中時(shí)，不需要向它的家鄉(xiāng)網(wǎng)絡(luò)發(fā)出認(rèn)證懇求，而是向挪動(dòng)節(jié)點(diǎn)先前所在的外地網(wǎng)絡(luò)發(fā)出認(rèn)證懇求，大大進(jìn)步了認(rèn)證效率。1挪動(dòng)ip下的aaa體系構(gòu)造圖1a

3、aa在挪動(dòng)ip中應(yīng)用模型aaa在挪動(dòng)ip中應(yīng)用的根本模型圖1所示。從圖中可以看出，家鄉(xiāng)域中包含家鄉(xiāng)代理和家鄉(xiāng)aaa效勞器aaah。同樣，外地域中有外地代理和外地aaa效勞器aaal。模型中實(shí)線代表相關(guān)實(shí)體之間的平安協(xié)定sa4。平安協(xié)定是兩個(gè)節(jié)點(diǎn)在數(shù)據(jù)發(fā)送前商定的發(fā)送者如何對(duì)數(shù)據(jù)進(jìn)展密碼變換的協(xié)定。也就是說平安協(xié)定包含了告訴接收者如何解密和驗(yàn)證消息中的認(rèn)證數(shù)據(jù)的必要信息。與通常的挪動(dòng)ip技術(shù)不同的是，在該模型中挪動(dòng)節(jié)點(diǎn)只和aaah間有平安協(xié)定，以此來說明挪動(dòng)節(jié)點(diǎn)屬于家鄉(xiāng)域，而和家鄉(xiāng)代理之間沒有平安協(xié)定。根本模型的網(wǎng)絡(luò)接入效勞器是外地代理，由外地代理向aaa效勞器發(fā)送接入懇求。2已有的密鑰產(chǎn)活力制

4、如今挪動(dòng)ip下的aaa架構(gòu)是由ietf工作組制定的。aaah代表了在家鄉(xiāng)網(wǎng)絡(luò)的效勞器，aaal代表了外地網(wǎng)絡(luò)的aaa效勞器,同時(shí)不管在外地網(wǎng)絡(luò)實(shí)時(shí)家鄉(xiāng)網(wǎng)絡(luò)都有平安的通道連接aaa效勞器和家鄉(xiāng)代理或者是外地代理。同時(shí)，在aaal和aaah之間也假設(shè)有一個(gè)平安的通道。根據(jù)根本的挪動(dòng)ip協(xié)議，在hn和n之間有一個(gè)sa1，根據(jù)此sa產(chǎn)生ha和n之間的密鑰以及fa和n之間的密鑰,密鑰的產(chǎn)生按照ietf的標(biāo)準(zhǔn)程序所產(chǎn)生詳細(xì)步驟如下：n發(fā)送一個(gè)nnerequest3給fa來懇求一個(gè)隨機(jī)數(shù)以產(chǎn)生ha與n密鑰、fa與n密鑰。并且根據(jù)sa，一個(gè)a值信息認(rèn)證碼被計(jì)算出附在懇求消息中.fa將此消息發(fā)送給aaal，因?yàn)?/p>

5、aaal沒有足夠的信息來對(duì)認(rèn)證該挪動(dòng)節(jié)點(diǎn)，隨后由aaal發(fā)送給aaah。aaah檢查a，假如合法那么產(chǎn)生一個(gè)隨機(jī)數(shù),并且將此隨機(jī)數(shù)通過預(yù)先存在的平安通道送給ha，這樣家鄉(xiāng)代理就可以產(chǎn)生ha與n之間的密鑰。通過aaah和aaal之間的平安通道以及aaal和外地代理fa的平安通道，aaah發(fā)送另一個(gè)隨機(jī)數(shù)給aaal，隨后轉(zhuǎn)至fa。這樣外地代理也產(chǎn)生了fa與n之間的密鑰。兩個(gè)隨機(jī)數(shù)通過注冊(cè)應(yīng)答消息加密后傳送給n，這樣在挪動(dòng)節(jié)點(diǎn)處就產(chǎn)生了n與fa、n與ha之間的密鑰。這些密鑰就通過n和代理所收到的隨機(jī)數(shù)而產(chǎn)生。ietf建議使用brker2構(gòu)造。brker是和通信雙方都建立了信任關(guān)系的第三方實(shí)體，是雙方

6、通信的媒介，可以對(duì)信息進(jìn)展轉(zhuǎn)發(fā).brker和它所連接的所有aaa效勞器以及上一級(jí)brker之間都有平安協(xié)定。因?yàn)橐话鉨rker布置在n的附近，大大縮短了認(rèn)證信息的傳輸途徑，這樣可以節(jié)省大量認(rèn)證時(shí)間。brker同時(shí)還可以安排成一個(gè)分層構(gòu)造，更高層次的brker可以覆蓋更大的地域，它可以為快速挪動(dòng)節(jié)點(diǎn)效勞。但是，當(dāng)n挪動(dòng)出現(xiàn)有的brker域到一個(gè)新的brker域，它仍然需要同家鄉(xiāng)網(wǎng)絡(luò)聯(lián)絡(luò)以獲得認(rèn)證消息。所有的這類模型都需要不連續(xù)的和aaah聯(lián)絡(luò)，因此效率仍然比擬低。3一種新的aaa架構(gòu)3.1新的信任模型原來的aaa架構(gòu)引起很長的認(rèn)證延遲的原因是關(guān)于網(wǎng)絡(luò)信任關(guān)系的假設(shè)。它假設(shè)網(wǎng)絡(luò)中對(duì)挪動(dòng)節(jié)點(diǎn)的認(rèn)證信

7、息的來源只能是家鄉(xiāng)網(wǎng)絡(luò)，如圖2所示。即使是brker的認(rèn)證消息也來至aaah。假如一個(gè)外地網(wǎng)絡(luò)對(duì)挪動(dòng)節(jié)點(diǎn)的認(rèn)證消息來源不是家鄉(xiāng)網(wǎng)絡(luò)，而是挪動(dòng)節(jié)點(diǎn)先前所在的外地網(wǎng)絡(luò)，這樣的認(rèn)證將會(huì)非常的有效率。圖2舊網(wǎng)絡(luò)信任模型圖3新網(wǎng)絡(luò)信任模型圖2、3顯示了兩種網(wǎng)絡(luò)信任模型的不同之處。在圖三的信任模型中，外地網(wǎng)絡(luò)對(duì)挪動(dòng)節(jié)點(diǎn)的認(rèn)證消息來至挪動(dòng)節(jié)點(diǎn)先前所在的外地網(wǎng)絡(luò)。在這里我們假設(shè)每一個(gè)中間的外地網(wǎng)絡(luò)不提供偽造大的認(rèn)證信息。在這個(gè)新的模型中，網(wǎng)絡(luò)的密鑰管理比有brker的分層模型簡單的多，一個(gè)網(wǎng)絡(luò)只需要它周圍相鄰的網(wǎng)絡(luò)列表，密鑰的交換只在它和它的相鄰網(wǎng)路交換。并且可以通過交換鄰居列表來獲得整個(gè)網(wǎng)絡(luò)的分布。這里需要

8、一個(gè)pki5的存在以支持網(wǎng)絡(luò)密鑰的分發(fā)。每一個(gè)外地網(wǎng)絡(luò)通過自己的私鑰對(duì)要傳送的密鑰進(jìn)展加密，以后各個(gè)實(shí)體間再傳送信息就可以使用這個(gè)傳送來的密鑰。3.2密鑰的產(chǎn)生根據(jù)hn和n之間的sa產(chǎn)生了ha-n和fa-n之間的密鑰。一旦ha-n之間的密鑰產(chǎn)生以后，當(dāng)n又挪動(dòng)到一個(gè)新的外地網(wǎng)絡(luò)時(shí)，就不需要產(chǎn)生新的ha-n的密鑰了。唯一需要產(chǎn)生就是外地代理和挪動(dòng)節(jié)點(diǎn)之間的密鑰。因此，在我們新的信任模型的根底上，我們提出了一種新的產(chǎn)生fa-n之間密鑰的方案當(dāng)挪動(dòng)節(jié)點(diǎn)挪動(dòng)出家鄉(xiāng)網(wǎng)絡(luò)進(jìn)入第一個(gè)外地網(wǎng)絡(luò)fn0時(shí)，將會(huì)按照標(biāo)準(zhǔn)的ietf所規(guī)定的程序產(chǎn)生出fa與n,ha與n之間的密鑰。此時(shí)在這個(gè)外地網(wǎng)絡(luò)中的aaal效勞器需

9、要保存fa與n之間的密鑰，在n挪動(dòng)到下一個(gè)外地網(wǎng)絡(luò)時(shí)，需要該信息協(xié)助下一個(gè)外地網(wǎng)絡(luò)對(duì)n的認(rèn)證。n進(jìn)入到下一個(gè)外地網(wǎng)絡(luò)fnn時(shí)發(fā)送nnerequest3給外地代理fan.對(duì)整個(gè)懇求內(nèi)容利用前一個(gè)外地網(wǎng)絡(luò)和挪動(dòng)節(jié)點(diǎn)間的存在的fa與n之間的密鑰，通過ha-d5機(jī)制計(jì)算出一個(gè)認(rèn)證數(shù)據(jù)，連同nnerequest一起發(fā)送給外地代理fan。在懇求包中，還需要附上先前一個(gè)外地網(wǎng)絡(luò)的aaa效勞器aaaln-1的地址。外地代理fan將此懇求轉(zhuǎn)送給aaa效勞器aaaln。aaaln接收到該懇求后，并且獲知了挪動(dòng)節(jié)點(diǎn)先前一個(gè)外地網(wǎng)絡(luò)的aaa效勞器aaaln-1的地址，并且aaaln將隨機(jī)數(shù)懇求nnerequest傳送

10、給aaaln-1。aaaln-1效勞器的通過檢查認(rèn)證數(shù)據(jù)，如通過認(rèn)證，那么產(chǎn)生確認(rèn)的消息，并通過平安渠道發(fā)送給aaaln。該消息中包含一個(gè)加密過的隨機(jī)數(shù)和一個(gè)未加密的，該隨機(jī)數(shù)將來用來產(chǎn)生n和fan之間的密鑰。加密的隨機(jī)數(shù)是用fan-1和n之間的密鑰進(jìn)展加密。在收到確認(rèn)的消息后，aaaln解密后，通過平安渠道傳送給本地的外地代理fan，并且有fan通過注冊(cè)應(yīng)答消息將加密后的隨機(jī)數(shù)傳送給挪動(dòng)節(jié)點(diǎn)。挪動(dòng)節(jié)點(diǎn)解密隨機(jī)數(shù)后，根據(jù)一定的規(guī)那么產(chǎn)生n-fa之間的密鑰。4結(jié)論改良挪動(dòng)ip下的aaa體系構(gòu)造是非常必要的，尤其在當(dāng)今多種網(wǎng)絡(luò)并存的情況下，對(duì)于減小挪動(dòng)節(jié)點(diǎn)在跨網(wǎng)絡(luò)挪動(dòng)時(shí)所產(chǎn)生的延遲起到非常重要的作用。在本文中我們提出了一個(gè)新的網(wǎng)絡(luò)信任模型，并在此根底上提出了一個(gè)新的密鑰管理方案，該方案使得挪動(dòng)ip實(shí)體間更新密鑰更加高效，使得外地網(wǎng)絡(luò)對(duì)挪動(dòng)節(jié)點(diǎn)的認(rèn)證更加高效。參考文獻(xiàn)1.perkins,ed.ipbilitysupprtfripv4.srf3344,august20022glasss.bileipauthentiatin,authrizatin,andauntingrequireents.srf2977,20003.perkins,ed.authentiat