技術領域

本發(fā)明屬于網(wǎng)絡安全技術領域，具體涉及移動IPSec接入認證方法，用于實現(xiàn)具有多級安全特性的移動IPv6網(wǎng)絡中MN對代理的安全注冊。

技術背景

互聯(lián)網(wǎng)工程工作組IETF在IPv6的基礎上于2004年6月正式提出移動IPv6協(xié)議，RFC3775。該協(xié)議在支持移動性，解決安全性問題，實現(xiàn)高服務質(zhì)量，以及提供足夠的地址空間等方面有著比IPv4協(xié)議更大的優(yōu)勢。但由于Internet本身的安全機制較為脆弱，再加上無線網(wǎng)絡傳輸媒體的開放性、移動終端的大范圍移動性、拓撲結(jié)構(gòu)的動態(tài)性和移動設備存儲資源和計算資源的有限性，使得移動IP網(wǎng)絡比有線網(wǎng)絡更容易受到安全威脅；同時由于移動設備在存儲能力、計算能力和電源供電時間方面的局限性，也使得原來在有線環(huán)境下的許多安全方案和安全技術不能直接應用于無線環(huán)境。這種在移動設備和傳輸媒介方面的特殊性，使得一些攻擊更容易實施，對移動網(wǎng)絡的安全保護既表現(xiàn)為系統(tǒng)安全防護的困難性，也表現(xiàn)為網(wǎng)絡通信安全實現(xiàn)的困難性。

多級安全系統(tǒng)是指那些允許存儲具有不同敏感等級信息，允許具有不同安全標識和授權的用戶按照“按需所知”的原則處理系統(tǒng)信息，并且阻止沒有安全標識、沒有授權或者沒有獲取信息需求的用戶訪問信息的系統(tǒng)。傳統(tǒng)的多級安全系統(tǒng)主要在集中式環(huán)境下工作，由一個處理多級安全的服務器和若干終端組成。本發(fā)明中主要涉及分布式環(huán)境下多級安全網(wǎng)絡的安全技術問題，該類多級安全網(wǎng)絡能夠?qū)崿F(xiàn)任意實體之間的多級安全訪問控制。而在移動IPv6網(wǎng)絡中實現(xiàn)多級安全訪問控制迄今為止還未見公開方案。

目前，還沒有公認的適合現(xiàn)有移動IPv6網(wǎng)絡的保密和鑒別體系，這是因為目前的移動網(wǎng)絡安全保密標準主要是針對無線局域網(wǎng)的IEEE802.11i和我國的WAPI標準，這種針對鏈路層和端口設計的協(xié)議不適合大規(guī)模分布式的移動IPv6網(wǎng)絡。

就IPv6網(wǎng)絡而言，IPSec協(xié)議是非常優(yōu)秀的，在IPv6協(xié)議中強制實施，能提供非常好的安全性和可操作性。它是指IETF以RFC形式公布的一組標準安全IP協(xié)議集，提供IP包級安全，其基本目的就是把密碼學的安全機制引入IP協(xié)議，通過使用現(xiàn)代密碼學方法為IPv4和IPv6提供可互操作、高質(zhì)量、基于密碼學的安全，并能夠使用戶能有選擇地使用，得到所期望的安全服務。IPSec將幾種安全技術結(jié)合形成一個完整的安全體系，最終能提供端到端的安全保護，正如RFC4301所述，IPSec安全體系結(jié)構(gòu)包括四個部分：

①業(yè)務流安全協(xié)議：包括ESP協(xié)議和AH協(xié)議，用于保護IP數(shù)據(jù)報的機密性、完整性、認證性。該模塊依據(jù)已創(chuàng)建的安全關聯(lián)，選擇適合的協(xié)議和算法對數(shù)據(jù)報進行保護。

②安全關聯(lián)與安全策略管理模塊：包括安全策略數(shù)據(jù)庫SPD、安全關聯(lián)數(shù)據(jù)庫SAD和授權對端數(shù)據(jù)庫PAD。用于闡明IPSec功能是什么、怎樣工作、如何管理及其相關的處理過程。安全策略SP指出了主機或安全網(wǎng)關中進出的IP數(shù)據(jù)報級的處理策略，安全關聯(lián)IPSec/SA直接規(guī)范了IPSec數(shù)據(jù)報的實際處理方法，即使用的業(yè)務流安全協(xié)議、所使用的密碼算法的參數(shù)和會話密鑰。

③密鑰交換模塊：自動的或手動的密鑰交換。用于實現(xiàn)認證、創(chuàng)建通信實體之間的安全關聯(lián)SA。

④認證與加密模塊：用于提供業(yè)務流安全協(xié)議和密鑰交換IKE所使用的各種加密和認證算法。

通過IP安全協(xié)議和密鑰管理協(xié)議的結(jié)合構(gòu)建起IP層安全體系結(jié)構(gòu)的框架，能保護所有基于IP的服務或應用，及其上層協(xié)議的安全。IPSec能夠提供訪問控制、數(shù)據(jù)源認證、無連接數(shù)據(jù)完整性、抗重播、數(shù)據(jù)機密性和有限的通信流量機密性等安全服務。

早期的IPSec由RFC2401等一系列文檔組成的協(xié)議簇構(gòu)成，隨著研究的深入和應用的需求，人們針對IPSec的復雜性問題，做了進一步修改，并由RFC4301等一系列的RFCs文檔重新定義了IPSec，其中最為典型的改進是將密鑰交換協(xié)議IKE升級到了IKEv2版本。IKEv2協(xié)議用于根據(jù)安全策略在通信的發(fā)起方和響應方之間創(chuàng)建用于保護數(shù)據(jù)報的安全關聯(lián)IPSec/SA。

參照圖1，IKEv2協(xié)議的四條消息如下：

①發(fā)起方I向響應方R發(fā)送IKE/SA初始消息{Ni，SAi1，KEi}；

②響應方R向發(fā)起方I發(fā)送IKE/SA響應消息{[CERTREQ]，Nr，SAr1，KEr}；

③發(fā)起方I向響應方R發(fā)送IKE/AUTH初始消息{IDi，[CERT]，[CERTREQ]，AUTH，SAi2}；

④響應方R向發(fā)起方I發(fā)送IKE/AUTH響應消息{IDr，[CERT]，AUTH，SAr2}。