技術領域

本發明涉及分離機制移動性管理系統實現接入認證的密鑰分發方法。

背景技術

分離機制移動性管理系統改變了以主機為中心和以網絡為中心的部署，融合了身份與位置分離、接入網與核心網分離、數據轉發與控制信令分離的機制，解決了IP地址雙重屬性帶來的移動互聯網的移動性管理、安全性和可靠性等問題。

隨著移動互聯網的發展，各種移動設備如手機、平板電腦等可以方便迅速并且隨時隨地接入網絡享受網絡服務，大量設備的接入對于網絡安全造成了嚴重的威脅，如中間人攻擊、抗重播保護、AP節點欺騙、數據的非法竊聽和修改等網絡中的不安全行為。網絡接入認證對于控制用戶接入網絡服務是一個關鍵過程，網絡接入安全確保了網絡操作者僅允許被認證用戶的接入。

文獻（專利申請：201110152731.4）中對分離機制移動性管理系統做了詳細介紹，具體闡述了系統的主要功能劃分以及信令格式的定義。三種分離機制的部署使得主機無需參與移動性管理，減輕了主機的負擔，易于實現多家鄉、流移動性等功能；控制網關根據接入網流量負荷等情況選擇不同數據網關，消除數據網關性能瓶頸問題，達到分布式移動管理目的；使用不同地址在接入網和核心網對用戶進行路由，保證了邊緣網絡用戶行為不影響核心網絡，使得核心網絡的伸縮性得到加強。但是目前分離機制移動性管理系統還沒有部署具體的接入安全機制，不能保證接入網的移動終端的合法性，使得網絡面臨著被非法用戶攻擊，以及傳輸的數據流被竊取欺騙等威脅。

與本發明相關的現有技術一

PANA(Protocol?for?Carrying?Authentication?for?Network?Access)網絡接入認證協議，對于擴展認證協議（EAP）的網絡層傳輸來確保在客戶端和接入網絡之間的網絡接入認證。在EAP格式中，PANA是基于UDP的EAP底層，運行在EAP客戶端和EAP認證端之間。

提供安全的網絡接入服務需要以客戶端和接入網絡的認證和授權為基礎的接入控制，用戶和網絡之間提供認證參數并通過指定的認證算法執行認證過程。RFC?3748（Extensible?Authentication?Protocol(EAP)）定義了擴展認證協議，EAP協議直接運行在數據鏈路層之上如PPP協議或IEEE?802規范，無需IP連接。EAP協議的一個特點是承載靈活性，EAP用于選擇一種指定的認證機制，主要在認證端請求更多的信息來決定使用具體的認證算法，而無需認證端更新以支持一種新的認證算法，EAP協議提供一種認證框架支持多種認證算法。

PANA協議是通過承載在EAP協議中的EAP-PSK算法實現終端和認證服務器之間的認證，RFC?4764（The?EAP-PSK?Protocol：A?Pre-Shared?Key?Extensible?Authentication?Protocol(EAP)Method）對EAP-PSK算法進行了規范，由終端和認證服務器共享一對唯一的預共享密鑰PSK，在算法執行過程中由PSK派生認證過程所需密鑰攜帶在信令中傳輸，認證的雙方通過密鑰來驗證對方的身份合法性。

現有技術一的缺點

現有技術一僅提供了終端和認證服務器之間的雙向認證功能，定義了MSK和EMSK密鑰，MSK作為主會話密鑰用于成功認證結束后在移動終端和認證端間建立安全關聯，EMSK作為擴展主會話密鑰用作未來擴展使用。但是對于移動終端在切換時執行域內域間的重認證過程沒有相應的部署機制。PANA協議只是一種架設在移動性框架下的認證技術，不涉及具體的移動性管理規程。

與本發明相關的現有技術二

IETF成立的Hokey工作組主要研究移動終端在網絡中切換過程的密鑰分發以及重認證部署，RFC?5296（EAP?Extensions?for?EAP?Re-authentication?Protocol(ERP)）規范解決了域內域間切換的重認證問題，通過減少完整認證過程的信令條目從而減少了網絡時延，保障了快速切換的進行。

Hokey機制定義了兩種場景，一是初始接入家鄉域網絡的認證和重認證過程，二是初始接入外地域網絡的認證和重認證過程。在家鄉域網絡由移動終端和家鄉認證服務器間交互信令執行認證過程，在外地域網絡認證時外地認證服務器需要向家鄉認證服務器申請所在域的授權，經過授權后的外地服務器可直接同移動終端進行外地域內的重認證過程，避免了重復向家鄉認證服務器請求授權的過程，簡化了信令流程，減小了網絡時延^[7]。

現有技術二的缺點