技術領域

本發明涉及一種分離機制移動性管理系統的認證授權方法。

背景技術

文獻(申請號：201110152731.4)提出了分離機制下移動性管理的網絡模型，該方案充分利用分離機制地址映射和代理移動IPv6（Proxy?MobileIPv6,PMIPv6）中移動節點（Mobile?Node，MN）身份和位置分離的優點，同時也解決了由于PMIPv6的本地移動錨點既是處理移動控制信令的控制網關，又是轉發MN數據的數據網關導致其成為PMIPv6網絡結構中的單故障節點。分離機制移動性管理系統實現了身份與位置分離、數據轉發與控制信令分離、接入網與核心網分離。針對三種分離機制設計了接入網關（Access?Gate?Way,AGW）、控制網關（Control?Gate?Way,CGW）和數據網關（Data?Gate?Way,DGW）。身份與位置分離是在接入網內實現標識主機身份的家鄉地址與可路由的用于標識MN當前位置的接入地址的分離。數據轉發與控制信令分離是通過數據網關實現數據轉發，控制網關實現移動控制信令的管理。接入網與核心網分離是借鑒分離映射思想，將接入網內MN的家鄉地址映射為在核心網全局可路由的核心地址。

分離機制移動性管理只是一種移動性管理方法，對于接入網絡的移動節點提供網絡服務，但是對于移動節點的合法性并沒有進行考慮，也就是所有的移動節點都能通過分離機制移動性管理框架獲得網絡服務。由于無法保證移動節點的合法性和可靠性，因此給網絡的安全性帶來威脅。同時，控制網關CGW存儲了所有移動節點的家鄉網絡前綴信息，缺少第三方實體對家鄉網絡前綴的存儲和分配。

本發明提出了一種分離機制移動性管理系統的認證授權方法，通過增加AAA（Authentication，Authorization?and?Accounting）服務器實體，使用Diameter[2]安全協議，PANA（Protocol?for?Carrying?Authenticationfor?Network?Access）[3]協議，EAP（Extensible?Authentication?Protocol）[4]協議，ERP（EAP?Re-authentication?Protocol）[5]協議和EAP-PSK（APre-Shared?Key?Extensible?Authentication?Protocol?Method）[6]認證機制實現對移動節點進行接入認證和服務授權，保證接入網絡的移動節點的合法性和網絡的安全性。本方案提出了接入認證的四種場景：家鄉域初始認證，家鄉域重認證，外地域初始認證和外地域重認證。

與本發明相關的現有技術一

RFC5779[7]介紹了在PMIPv6域內PMIPv6實體（移動接入網關（MobileAccess?Gateway,MAG）和本地移動錨點（Local?Mobility?Anchor,LMA））和家鄉服務器HAAA（Home?AAA）之間的認證、授權和計費（AAA）的交互。

AAA的交互主要用于在PMIPv6實體和遠程策略存儲之間下載更新移動節點的策略配置文件，以及認證移動節點的合法性。MAG和LMA之間使用代理轉交地址（Proxy?Care?of?Address，PCoA）和LMA地址（LMA?Address，LMAA）建立雙向隧道。

MAG從遠程策略存儲中下載和更新移動節點的策略配置文件可以有效地緩解大規模PMIPv6域的網絡配置和維護，同時通過使用安全協議和安全算法也能檢測移動節點的合法性。同一個遠程策略存儲也可以更新LMA為移動節點提供與移動服務相關的信息，如移動節點家鄉網絡前綴（Home?NetworkPrefix，HNP）。如圖1所示，HAAA實現了遠程策略存儲服務器的功能，消息（1）為MAG和HAAA之間基于Diameter的AAA認證交互，消息（2）為LMA和HAAA之間基于Diameter的AAA授權交互。

現有技術一的缺點

PMIPv6的LMA在移動性管理過程中，既是處理移動控制信令的控制網關，轉發MN數據的數據網關，又是和HAAA進行授權交互的客戶端，這樣的設計極其容易導致LMA成為PMIPv6網絡結構中的單故障節點。

PMIPv6中MAG和HAAA的認證交互只考慮了域內的場景，沒有考慮到MN跨域切換后跨域認證的場景；同時，MN在不同接入網關連續切換時，都需要進行完整的初始認證過程，沒有考慮采用重認證過程來減少信令交互和認證時延。

發明內容