移動IP中AAA體系結(jié)構(gòu)的研究與改進

1、挪動IP中AAA體系構(gòu)造的研究與改良摘要當前挪動通信的開展進入了一個新時代，aaa協(xié)議必將發(fā)揮更大的作用。因特網(wǎng)工程任務(wù)組ietf提出的挪動ip下的aaa體系構(gòu)造，但是當挪動節(jié)點在不同網(wǎng)絡(luò)間切換時，對挪動節(jié)點的認證會帶來很大延遲問題。鑒于此，提出一種新的網(wǎng)絡(luò)信任模型簡化網(wǎng)絡(luò)中的密鑰管理，并在此根底上提出一種新的認證方案來進步認證效率，減小延遲。關(guān)鍵字aaa挪動ip認證引言個人通信技術(shù)的開展最終目的是可以讓人們隨時隨地訪問網(wǎng)絡(luò)，挪動ip1技術(shù)恰恰將這個目的變成了現(xiàn)實。挪動ip技術(shù)允許挪動節(jié)點在挪動位置的過程中不中斷正在進展的通信，這給用戶帶來了很大的方便。aaa2技術(shù)是認證、受權(quán)和記帳三種技術(shù)的

2、結(jié)合。ietf的挪動ip工作組將該技術(shù)移植到挪動ip中，并提出了模型來實現(xiàn)挪動ip中的認證、受權(quán)和記帳。這模型的提出，解決了原有挪動ip協(xié)議無法解決的問題，完善了挪動ip的功能。但是每次挪動節(jié)點進入一個新的外地網(wǎng)絡(luò)時，新的外地網(wǎng)絡(luò)必需要向挪動節(jié)點的家鄉(xiāng)網(wǎng)絡(luò)進展認證懇求，得到家鄉(xiāng)網(wǎng)絡(luò)的認證，挪動節(jié)點才能進入外地網(wǎng)絡(luò)。這樣挪動節(jié)點在進展切換時就帶來了很大的延遲，對于實時系統(tǒng)來說根本不可行。在本文中，提出了一種新的網(wǎng)絡(luò)信任模型。在該模型中，當挪動節(jié)點進入外地網(wǎng)絡(luò)中時，不需要向它的家鄉(xiāng)網(wǎng)絡(luò)發(fā)出認證懇求，而是向挪動節(jié)點先前所在的外地網(wǎng)絡(luò)發(fā)出認證懇求，大大進步了認證效率。1挪動ip下的aaa體系構(gòu)造圖1a

3、aa在挪動ip中應(yīng)用模型aaa在挪動ip中應(yīng)用的根本模型圖1所示。從圖中可以看出，家鄉(xiāng)域中包含家鄉(xiāng)代理和家鄉(xiāng)aaa效勞器aaah。同樣，外地域中有外地代理和外地aaa效勞器aaal。模型中實線代表相關(guān)實體之間的平安協(xié)定sa4。平安協(xié)定是兩個節(jié)點在數(shù)據(jù)發(fā)送前商定的發(fā)送者如何對數(shù)據(jù)進展密碼變換的協(xié)定。也就是說平安協(xié)定包含了告訴接收者如何解密和驗證消息中的認證數(shù)據(jù)的必要信息。與通常的挪動ip技術(shù)不同的是，在該模型中挪動節(jié)點只和aaah間有平安協(xié)定，以此來說明挪動節(jié)點屬于家鄉(xiāng)域，而和家鄉(xiāng)代理之間沒有平安協(xié)定。根本模型的網(wǎng)絡(luò)接入效勞器是外地代理，由外地代理向aaa效勞器發(fā)送接入懇求。2已有的密鑰產(chǎn)活力制

4、如今挪動ip下的aaa架構(gòu)是由ietf工作組制定的。aaah代表了在家鄉(xiāng)網(wǎng)絡(luò)的效勞器，aaal代表了外地網(wǎng)絡(luò)的aaa效勞器,同時不管在外地網(wǎng)絡(luò)實時家鄉(xiāng)網(wǎng)絡(luò)都有平安的通道連接aaa效勞器和家鄉(xiāng)代理或者是外地代理。同時，在aaal和aaah之間也假設(shè)有一個平安的通道。根據(jù)根本的挪動ip協(xié)議，在hn和n之間有一個sa1，根據(jù)此sa產(chǎn)生ha和n之間的密鑰以及fa和n之間的密鑰,密鑰的產(chǎn)生按照ietf的標準程序所產(chǎn)生詳細步驟如下：n發(fā)送一個nnerequest3給fa來懇求一個隨機數(shù)以產(chǎn)生ha與n密鑰、fa與n密鑰。并且根據(jù)sa，一個a值信息認證碼被計算出附在懇求消息中.fa將此消息發(fā)送給aaal，因為

5、aaal沒有足夠的信息來對認證該挪動節(jié)點，隨后由aaal發(fā)送給aaah。aaah檢查a，假如合法那么產(chǎn)生一個隨機數(shù),并且將此隨機數(shù)通過預(yù)先存在的平安通道送給ha，這樣家鄉(xiāng)代理就可以產(chǎn)生ha與n之間的密鑰。通過aaah和aaal之間的平安通道以及aaal和外地代理fa的平安通道，aaah發(fā)送另一個隨機數(shù)給aaal，隨后轉(zhuǎn)至fa。這樣外地代理也產(chǎn)生了fa與n之間的密鑰。兩個隨機數(shù)通過注冊應(yīng)答消息加密后傳送給n，這樣在挪動節(jié)點處就產(chǎn)生了n與fa、n與ha之間的密鑰。這些密鑰就通過n和代理所收到的隨機數(shù)而產(chǎn)生。ietf建議使用brker2構(gòu)造。brker是和通信雙方都建立了信任關(guān)系的第三方實體，是雙方

6、通信的媒介，可以對信息進展轉(zhuǎn)發(fā).brker和它所連接的所有aaa效勞器以及上一級brker之間都有平安協(xié)定。因為一般brker布置在n的附近，大大縮短了認證信息的傳輸途徑，這樣可以節(jié)省大量認證時間。brker同時還可以安排成一個分層構(gòu)造，更高層次的brker可以覆蓋更大的地域，它可以為快速挪動節(jié)點效勞。但是，當n挪動出現(xiàn)有的brker域到一個新的brker域，它仍然需要同家鄉(xiāng)網(wǎng)絡(luò)聯(lián)絡(luò)以獲得認證消息。所有的這類模型都需要不連續(xù)的和aaah聯(lián)絡(luò)，因此效率仍然比擬低。3一種新的aaa架構(gòu)3.1新的信任模型原來的aaa架構(gòu)引起很長的認證延遲的原因是關(guān)于網(wǎng)絡(luò)信任關(guān)系的假設(shè)。它假設(shè)網(wǎng)絡(luò)中對挪動節(jié)點的認證信

7、息的來源只能是家鄉(xiāng)網(wǎng)絡(luò)，如圖2所示。即使是brker的認證消息也來至aaah。假如一個外地網(wǎng)絡(luò)對挪動節(jié)點的認證消息來源不是家鄉(xiāng)網(wǎng)絡(luò)，而是挪動節(jié)點先前所在的外地網(wǎng)絡(luò)，這樣的認證將會非常的有效率。圖2舊網(wǎng)絡(luò)信任模型圖3新網(wǎng)絡(luò)信任模型圖2、3顯示了兩種網(wǎng)絡(luò)信任模型的不同之處。在圖三的信任模型中，外地網(wǎng)絡(luò)對挪動節(jié)點的認證消息來至挪動節(jié)點先前所在的外地網(wǎng)絡(luò)。在這里我們假設(shè)每一個中間的外地網(wǎng)絡(luò)不提供偽造大的認證信息。在這個新的模型中，網(wǎng)絡(luò)的密鑰管理比有brker的分層模型簡單的多，一個網(wǎng)絡(luò)只需要它周圍相鄰的網(wǎng)絡(luò)列表，密鑰的交換只在它和它的相鄰網(wǎng)路交換。并且可以通過交換鄰居列表來獲得整個網(wǎng)絡(luò)的分布。這里需要

8、一個pki5的存在以支持網(wǎng)絡(luò)密鑰的分發(fā)。每一個外地網(wǎng)絡(luò)通過自己的私鑰對要傳送的密鑰進展加密，以后各個實體間再傳送信息就可以使用這個傳送來的密鑰。3.2密鑰的產(chǎn)生根據(jù)hn和n之間的sa產(chǎn)生了ha-n和fa-n之間的密鑰。一旦ha-n之間的密鑰產(chǎn)生以后，當n又挪動到一個新的外地網(wǎng)絡(luò)時，就不需要產(chǎn)生新的ha-n的密鑰了。唯一需要產(chǎn)生就是外地代理和挪動節(jié)點之間的密鑰。因此，在我們新的信任模型的根底上，我們提出了一種新的產(chǎn)生fa-n之間密鑰的方案當挪動節(jié)點挪動出家鄉(xiāng)網(wǎng)絡(luò)進入第一個外地網(wǎng)絡(luò)fn0時，將會按照標準的ietf所規(guī)定的程序產(chǎn)生出fa與n,ha與n之間的密鑰。此時在這個外地網(wǎng)絡(luò)中的aaal效勞器需

9、要保存fa與n之間的密鑰，在n挪動到下一個外地網(wǎng)絡(luò)時，需要該信息協(xié)助下一個外地網(wǎng)絡(luò)對n的認證。n進入到下一個外地網(wǎng)絡(luò)fnn時發(fā)送nnerequest3給外地代理fan.對整個懇求內(nèi)容利用前一個外地網(wǎng)絡(luò)和挪動節(jié)點間的存在的fa與n之間的密鑰，通過ha-d5機制計算出一個認證數(shù)據(jù)，連同nnerequest一起發(fā)送給外地代理fan。在懇求包中，還需要附上先前一個外地網(wǎng)絡(luò)的aaa效勞器aaaln-1的地址。外地代理fan將此懇求轉(zhuǎn)送給aaa效勞器aaaln。aaaln接收到該懇求后，并且獲知了挪動節(jié)點先前一個外地網(wǎng)絡(luò)的aaa效勞器aaaln-1的地址，并且aaaln將隨機數(shù)懇求nnerequest傳送

10、給aaaln-1。aaaln-1效勞器的通過檢查認證數(shù)據(jù)，如通過認證，那么產(chǎn)生確認的消息，并通過平安渠道發(fā)送給aaaln。該消息中包含一個加密過的隨機數(shù)和一個未加密的，該隨機數(shù)將來用來產(chǎn)生n和fan之間的密鑰。加密的隨機數(shù)是用fan-1和n之間的密鑰進展加密。在收到確認的消息后，aaaln解密后，通過平安渠道傳送給本地的外地代理fan，并且有fan通過注冊應(yīng)答消息將加密后的隨機數(shù)傳送給挪動節(jié)點。挪動節(jié)點解密隨機數(shù)后，根據(jù)一定的規(guī)那么產(chǎn)生n-fa之間的密鑰。4結(jié)論改良挪動ip下的aaa體系構(gòu)造是非常必要的，尤其在當今多種網(wǎng)絡(luò)并存的情況下，對于減小挪動節(jié)點在跨網(wǎng)絡(luò)挪動時所產(chǎn)生的延遲起到非常重要的作用。在本文中我們提出了一個新的網(wǎng)絡(luò)信任模型，并在此根底上提出了一個新的密鑰管理方案，該方案使得挪動ip實體間更新密鑰更加高效，使得外地網(wǎng)絡(luò)對挪動節(jié)點的認證更加高效。參考文獻1.perkins,ed.ipbilitysupprtfripv4.srf3344,august20022glasss.bileipauthentiatin,authrizatin,andauntingrequireents.srf2977,20003.perkins,ed.authentiat