技術領域

本發明涉及計算機安全領域，具體涉及一種基于分離機制網絡的可信域間快速認證方法。

背景技術

分離機制網絡中，當終端的位置發生變化，即從一個接入交換路由器切換到另一個接入交換路由器時，為了保證終端和網絡的安全，需要對終端及時進行重新認證。這時的重新認證與終端接入網絡時的完全認證不同，完全認證一般都有很大的時延，如果采用完全認證的方式，那么對于頻繁切換的終端來講，就會產生更大的難以忍受的時延，不適應于一些實時業務，尤其是音頻、視頻的實時傳輸。因此，分離機制網絡中需要設計終端移動切換時的域間快速認證方法。

域間快速認證(Inter-Domain?Fast?Authentication)是對新接入點與舊接入點位于不同管理域間的認證。域間快速認證通常采用的方法有兩種：一種是對域內快速認證方法的擴展，即采用預先認證技術；另外一種是采用基于票據等的快速認證技術。上述的域間快速認證方法僅實現了對終端用戶身份的認證，沒有實現對終端的平臺身份與平臺可信性的認證。而目前信息安全主要威脅源自內部，如果用戶平臺被病毒入侵或者惡意修改，就會給網絡的安全造成了極大的隱患。

發明內容

為避免以上現有技術的不足，本發明針對分離機制網絡的特點，對原有分離機制網絡模型進行了擴展，并結合可信計算技術，提出一種基于分離機制網絡的可信域間快速認證方法。與傳統的快速認證不同，該方法基于可信計算技術，在終端進行切換的時候，不僅驗證用戶身份的同時，同時驗證終端平臺身份，能夠有效地抵抗反重放攻擊，保證平臺的可信性，安全性和用戶身份的匿名性和不可跟蹤性。

本發明的技術方案如下：

(1)當移動節點MN漫游到新的域間接入交換路由器時，先確定接入交換路由器ASR₃的標識ID_ASR3，根據ID_ASR3可以知道自己將要漫游到外地域，提取用于域間切換的票據Ticket_MN，提取平臺配置信息MN_TPM，然后給ASR₃發送待驗證信息：

TicketMN,EKMN(MNTPM,AIDMN,TMN)]]>

其中TicketMN=EKticket(AIDMN,H(MNTPM-T),KMN,LifetimeMN,IDACH)]]>