支持多級安全的移動IPSec傳輸認證方法技術

本發明專利技術公開了一種支持多級安全的移動IPSec傳輸認證方法，主要解決具有 多級安全特性移動IPv6網絡中的對端注冊與安全傳輸問題。該方法包括：CN是單 安全級節點、單安全級服務器和多安全級服務器三種情況下的傳輸認證。這三種 情況的傳輸認證方法中均采用針對統一標識UID進行多級授權的證書和數字簽 名的方式實現MN對代理的注冊，在注冊的同時創建MN到代理的MIPSec/SA，并 在接入網關和部署強制訪問控制機制的服務器中完成強制訪問控制判決。這三種 情況的傳輸認證方法通過修改IKEv2來實現，并將每個接入網關作為MN的移動代 理。本發明專利技術所給傳輸認證方法，不僅克服了IKEv2協議中前兩條協議未受保護的 不足，而且支持移動IPv6網絡多級安全特性的實現，具有很高的安全性和有效性。

【技術實現步驟摘要】

本專利技術屬于網絡安全
，具體涉及移動IPSec傳輸認證方法，用于實現具有多級安全特性的移動IPv6網絡的對端注冊與安全傳輸。
技術介紹
互聯網工程工作組IETF在IPv6的基礎上于2004年6月正式提出移動IPv6協議，RFC 3775。該協議在支持移動性，解決安全性問題，實現高服務質量，以及提供足夠的地址空間等方面有著比IPv4協議更大的優勢。但由于Intemet本身的安全機制較為脆弱，再加上無線網絡傳輸媒體的開放性、移動終端的大范圍移動性、拓撲結構的動態性和移動設備存儲資源和計算資源的有限性，使得移動IP網絡比有線網絡更容易受到安全威脅；同時由于移動設備在存儲能力、計算能力和電源供電時間方面的局限性，也使得原來在有線環境下的許多安全方案和安全技術不能直接應用于無線環境。這種在移動設備和傳輸媒介方面的特殊性，使得一些攻擊更容易實施，對移動網絡的安全保護既表現為系統安全防護的困難性，也表現為網絡通信安全實現的困難性。多級安全系統是指那些允許存儲具有不同敏感等級信息，允許具有不同安全標識和授權的用戶按照按需所知的原則處理系統信息，并且阻止沒有安全標識、沒有授權或者沒有獲取信息需求的用戶訪問信息的系統。傳統的多級安全系統主要在集中式環境下工作，由一個處理多級安全的服務器和若干終端組成。本專利技術中主要涉及分布式環境下多級安全網絡的安全技術問題，該類多級安全網絡能夠實現任意實體之間的多級安全訪問控制。而在移動IPv6網絡中實現多級安全訪問控制迄今為止還未見公開方案。目前，還沒有公認的適合現有移動IPv6網絡的保密和鑒別體系，這是因為目前的移動網絡安全保密標準主要是針對無線局域網的正EE802.11i和我國的WAPI標準，這種針對鏈路層和端口設計的協議不適合大規模分布式的移動IPv6網絡。就IPv6網絡而言，IPSec協議是非常優秀的，在IPv6協議中強制實施，能提供非常好的安全性和可操作性。它是指IETF以RFC形式公布的一組標準安全IP協議集，提供IP包級安全，其基本目的就是把密碼學的安全機制引入IP協議，通過使用現代 密碼學方法為IPv4和IPv6提供可互操作、高質量、基于密碼學的安全，并能夠使用 戶能有選擇地使用，得到所期望的安全服務。IPSec將幾種安全技術結合形成一個完 整的安全體系，最終能提供端到端的安全保護，正如RFC4301所述，IPSec安全體系 結構包括四個部分① 業務流安全協議包括ESP協議和AH協議，用于保護IP數據報的機密性、完 整性、認證性。該模塊依據已創建的安全關聯，選擇適合的協議和算法對數據報進 行保護。② 安全關聯與安全策略管理模塊包括安全策略數據庫SPD、安全關聯數據庫SAD和授權對端數據庫PAD。用于闡明IPSec功能是什么、怎樣工作、如何管理及其 相關的處理過程。安全策略SP指出了主機或安全網關中進出的IP數據報級的處理策 略，安全關聯IPSec/SA直接規范了IPSec數據報的實際處理方法，即使用的業務流安 全協議、所使用的密碼算法的參數和會話密鑰。③ 密鑰交換模塊自動的或手動的密鑰交換。用于實現認證、創建通信實體之 間的安全關聯SA。④ 認證與加密模塊用于提供業務流安全協議和密鑰交換IKE所使用的各種加 密和認證算法。通過IP安全協議和密鑰管理協議的結合構建起IP層安全體系結構的框架，能保 護所有基于IP的服務或應用，及其上層協議的安全。IPSec能夠提供訪問控制、數據 源認證、無連接數據完整性、抗重播、數據機密性和有限的通信流量機密性等安全 服務。早期的IPSec由RFC2401等一系列文檔組成的協議簇構成，隨著研究的深入和應 用的需求，人們針對IPSec的復雜性問題，做了進一步修改，并由RFC4301等一系列 的RFCs文檔重新定義了IPSec，其中最為典型的改進是將密鑰交換協議IKE升級到了 IKEv2版本。IKEv2協議用于根據安全策略在通信的發起方和響應方之間創建用于保 護數據報的安全關聯IPSec/SA。參照圖l， IKEv2協議的四條消息如下① 發起方I向響應方R發送IKE/SA初始消息(Ni， SAil， KEi};② 響應方R向發起方I發送IKE/SA響應消息([CERTREQ]， Nr， SArl， KEr};③ 發起方I向響應方R發送IKE/AUTH初始消息(IDi， [CERT] ， [CERTREQ]， AUTH， SAi2};④ 響應方R向發起方I發送IKE/AUTH響應消息(IDr， [CERT]， AUTH， SAr2}。 在以上四條消息中，每一條消息都有一個消息頭HDR，該消息頭包括安全參數索弓ISPI、 IKE協議的版本號、其它各種標志。在后兩條消息中包括發起者和響應者的 選擇符TSi和TSr。它們不是影響密鑰交換的主要載荷，因此為簡便起見在消息描述 中省略了這些消息成份。IKEv2協議的前兩條消息通過DH密鑰交換創建IKE/SA，用于保護后兩條消息。 后兩條消息用于創建保護數據報的IPSec/SA。然而就移動IPv6網絡而言，IPSec及其 密鑰交換模塊子協議IKEv2仍然存在以下不足1. IPSec僅限于固定網絡的使用，在移動IP環境中很難應用，移動IPv6僅在移 動節點和家鄉代理之間使用IPSec來保護信令，不能提供MN向CN的注冊功能；2. 現有移動IPv6網絡的傳輸安全都不是基于IPSec來實現的，并且都未給出對 多級安全的支持方案；3. IKEv2協議的前兩條消息未受到保護，容易受中間人攻擊；4. IPSec本身不支持對多級安全網絡的保護；5. 在大規模分布式移動IPv6網絡的安全保護中需要對用戶身份進行認證，然而 IPSec協議既沒有說明如何定義用戶身份，也沒有說明對所需要的公鑰基礎設施的要 求。因此，不論從安全性還是從可行性來說，IPSec都不適合用于保護移動IPv6網絡 的安全，更加不適合保護具有多級安全特性的移動IPv6網絡的對端注冊和數據傳輸 的安全。
技術實現思路
本專利技術針對上述己有IPSec協議的不足，通過修改IKEv2協議和增加IPSec支持多 級安全的功能，提供一種能夠，以實現具有 多級安全特性的移動IPv6網絡中移動節點MN向通信對端CN注冊以及數據傳輸的安 全。本專利技術的目的是這樣實現的本專利技術將移動IPSec稱作MIPSec，其傳輸認證方法包括通信對端CN是單安全級節點、單安全級服務器和多安全級服務器三種情況的傳輸認證。一、 通信對端CN是單安全級節點時的傳輸認證方法，包括如下步驟(1) 函選擇隨機數Ni，向CN發送(CERT剛，CoAmn， Ni， SAil, KEi}SigMN;(2) 畫的接入網關收到消息(CERT,， CoA,， Ni， SAil， KEi》Sig隨后，使 用源接入認證安全關聯SAH/SA驗證該消息，并轉發給CN的接入網關；(3) CN的接入網關收到消息(CERTMN， CoA畫，Ni， SAil, KEUSig,后，驗 征CERTmn，根據消息中的目的IP地址查找CERTcN，并基于CERTmn和CERTcn中的 角色ROLE對MN和CN進行強制訪問控制判決，如果判決通過，則記錄HoAwN與 CoAMN及其對應的HoAcN與CoAcN，并將消息(CERTmn本文檔來自技高網...

【技術保護點】
一種通信對端ＣＮ是單安全級節點時支持多級安全的移動ＩＰＳｅｃ傳輸認證方法，包括如下步驟：　１）ＭＮ選擇隨機數Ｎｉ，向ＣＮ發送｛ＣＥＲＴ↓［ＭＮ］，ＣｏＡ↓［ＭＮ］，Ｎｉ，ＳＡｉ１，ＫＥｉ｝Ｓｉｇ↓［ＭＮ］；　２）ＭＮ的接入網關收到消息｛ＣＥＲＴ↓［ＭＮ］，ＣｏＡ↓［ＭＮ］，Ｎｉ，ＳＡｉ１，ＫＥｉ｝Ｓｉｇ↓［ＭＮ］后，使用源接入認證安全關聯ＳＡＨ／ＳＡ驗證該消息，并轉發給ＣＮ的接入網關；　３）ＣＮ的接入網關收到消息｛ＣＥＲＴ↓［ＭＮ］，ＣｏＡ↓［ＭＮ］，Ｎｉ，ＳＡｉ１，ＫＥｉ｝Ｓｉｇ↓［ＭＮ］后，驗證ＣＥＲＴ↓［ＭＮ］，根據消息中的目的ＩＰ地址查找ＣＥＲＴ↓［ＣＮ］，并基于ＣＥＲＴ↓［ＭＮ］和ＣＥＲＴ↓［ＣＮ］中的角色ＲＯＬＥ對ＭＮ和ＣＮ進行強制訪問控制判決，如果判決通過，則記錄ＨｏＡ↓［ＭＮ］與ＣｏＡ↓［ＭＮ］及其對應的ＨｏＡ↓［ＣＮ］與ＣｏＡ↓［ＣＮ］，并將消息｛ＣＥＲＴ↓［ＭＮ］，ＣｏＡ↓［ＭＮ］，Ｎｉ，ＳＡｉ１，ＫＥｉ｝Ｓｉｇ↓［ＭＮ］發送給ＣＮ，否則丟棄該消息；　４）ＣＮ對收到消息的簽名Ｓｉｇ↓［ＭＮ］驗證后，選擇隨機數Ｎｒ，向ＭＮ發送｛ＣＥＲＴ↓［ＣＮ］，Ｎｉ，Ｎｒ，ＳＡｒ１，ＫＥｒ｝Ｓｉｇ↓［ＣＮ］；　５）ＣＮ的接入網關收到消息｛ＣＥＲＴ↓［ＣＮ］，ＣｏＡ↓［ＣＮ］，Ｎｉ，Ｎｒ，ＳＡｒ１，ＫＥｒ｝Ｓｉｇ↓［ＣＮ］時，使用源接入認證安全關聯ＳＡＨ／ＳＡ驗證該消息，并轉發給ＭＮ的接入網關；　６）ＭＮ的接入網關收到消息｛ＣＥＲＴ↓［ＣＮ］，ＣｏＡ↓［ＣＮ］，Ｎｉ，Ｎｒ，ＳＡｒ１，ＫＥｒ｝Ｓｉｇ↓［ＣＮ］時，驗證ＣＥＲＴ↓［ＣＮ］，并基于ＣＥＲＴ↓［ＭＮ］和ＣＥＲＴ↓［ＣＮ］中的角色ＲＯＬＥ對ＭＮ和ＣＮ進行強制訪問控制判決，如果判決通過，則記錄ＨｏＡ↓［ＣＮ］與ＣｏＡ↓［ＣＮ］及其對應的ＨｏＡ↓［ＭＮ］與ＣｏＡ↓［ＭＮ］，并將消息｛ＣＥＲＴ↓［ＣＮ］，ＣｏＡ↓［ＣＮ］，Ｎｉ，Ｎｒ，ＳＡｒ１，ＫＥｒ｝Ｓｉｇ↓［ＣＮ］發送給ＭＮ，否則丟棄該消息；　７）ＭＮ對收到消息的簽名Ｓｉｇ↓［ＣＮ］和證書ＣＥＲＴ↓［ＣＮ］驗證后，根據ＫＥｒ計算出與ＨＡ之間的共享密鑰ＳＫ，用該共享密鑰ＳＫ加密消息｛ＵＩＤ↓［ＭＮ］，ＡＵＴＨ，ＳＡｉ２｝后，發送給ＣＮ；８）ＣＮ對收到的加密消息用共享密鑰ＳＫ解密，對ＡＵＴＨ驗證后，用ＳＫ加密消息｛ＵＩＤ↓［ＣＮ］，ＡＵＴＨ，ＳＡｒ２｝，發送給ＭＮ。...

【技術特征摘要】
1. 一種通信對端CN是單安全級節點時支持多級安全的移動IPSec傳輸認證方法，包括如下步驟1)MN選擇隨機數Ni，向CN發送{CERTMN，CoAMN，Ni，SAi1，KEi}SigMN；2)MN的接入網關收到消息{CERTMN，CoAMN，Ni，SAi1，KEi}SigMN后，使用源接入認證安全關聯SAH/SA驗證該消息，并轉發給CN的接入網關；3)CN的接入網關收到消息{CERTMN，CoAMN，Ni，SAi1，KEi}SigMN后，驗證CERTMN，根據消息中的目的IP地址查找CERTCN，并基于CERTMN和CERTCN中的角色ROLE對MN和CN進行強制訪問控制判決，如果判決通過，則記錄HoAMN與CoAMN及其對應的HoACN與CoACN，并將消息{CERTMN，CoAMN，Ni，SAi1，KEi}SigMN發送給CN，否則丟棄該消息；4)CN對收到消息的簽名SigMN驗證后，選擇隨機數Nr，向MN發送{CERTCN，Ni，Nr，SAr1，KEr}SigCN；5)CN的接入網關收到消息{CERTCN，CoACN，Ni，Nr，SAr1，KEr}SigCN時，使用源接入認證安全關聯SAH/SA驗證該消息，并轉發給MN的接入網關；6)MN的接入網關收到消息{CERTCN，CoACN，Ni，Nr，SAr1，KEr}SigCN時，驗證CERTCN，并基于CERTMN和CERTCN中的角色ROLE對MN和CN進行強制訪問控制判決，如果判決通過，則記錄HoACN與CoACN及其對應的HoAMN與CoAMN，并將消息{CERTCN，CoACN，Ni，Nr，SAr1，KEr}SigCN發送給MN，否則丟棄該消息；7)MN對收到消息的簽名SigCN和證書CERTCN驗證后，根據KEr計算出與HA之間的共享密鑰SK，用該共享密鑰SK加密消息{UIDMN，AUTH，SAi2}后，發送給CN；8)CN對收到的加密消息用共享密鑰SK解密，對AUTH驗證后，用SK加密消息{UIDCN，AUTH，SAr2}，發送給MN。2. —種通信對端CN是單安全級服務器時支持多級安全的移動IPSec傳輸認證方法，包括如下步驟(1) MN選擇隨機數Ni，向CN發送(CERTMN， CoA,, Ni, SAil， KEi}Sigmn;(2) MN的接入網關收到消息(CERTMN， CoAmn， Ni， SAil， KEi)Sig畫后，使用源接入認證安全關聯SAH/SA驗證該消息，并轉發給CN的接入網關；(3) CN的接入網關收至[j消息(CERTMN， CoA顧，Ni， SAil， KEi》Sig固后，驗證 CERTmn，根據消息中的目的IP地址査找CERTcn，并基于CERTmn和CERTcn中的角 色ROLE對MN和CN進行強制訪問控制判決，在該判決中，如果MN的信息類集合包 含于CN的信息類集合，則判決為雙向通信，如果判決通過，則記錄HoAMN與CoA畫 及其對應的，HoAcn與CoAcn，并將消息(CERTmn， CoAmn， Ni， SAil, KEi)Sig顧 發送給CN，否則丟棄該消息；(4) CN對收到消息的簽名SigMN驗證后，將MN的角色添加到PAD中，并選擇隨 機數Nr，向MN發送(CERTcN， CoACN， Ni， Nr， SArl, KEr}SigCN;(5) CN的接入網關收到消息(CERTcN， CoAcn， Ni， Nr， SArl...

【專利技術屬性】
技術研發人員：劉彥明，董慶寬，李小平，王海，黎劍兵，
申請(專利權)人：劉彥明，董慶寬，李小平，王海，黎劍兵，
類型：發明
國別省市：87