基于身份密码学的MIPv6安全移动管理系统及移动认证方法

摘要

本发明提供一种基于身份密码学的MIPv6安全移动管理系统及移动认证方法，该系统包括：CA、PKG服务器、MN、HA、CN。该方法包括：CA为各MIPv6自治域内的PKG服务器颁发和管理证书；各MIPv6自治域内的PKG服务器生成系统公共参数；各MIPv6自治域内的PKG服务器实时检测MN所处的状态，如果MN处于初始状态，则执行MIPv6自治域内安全管理；如果MN处于移动状态，则执行安全移动注册；安全返回路径可达；将协商获得的共享密钥应用于IPSec协议中，在双方之间建立可信信道保护数据传输。本发明将基于身份的加密方案和签名方案结合RR协议和IPSec协议，在密钥协商过程中对MN的身份进行验证，使该安全方案在移动环境中有着更加广泛的应用，将所协商的共享密钥应用在IPSec协议中，建立可信信道。

说明书

技术领域

本发明属于网络安全技术领域，特别涉及一种基于身份密码学的MIPv6安全移动管理系 统及移动认证方法。

背景技术

随着IPv6协议的不断完善和发展，移动IPv6协议也逐渐受到越来越多的关注。移动IPv6 (MobileIPv6，MIPv6)协议是为IPv6协议提供移动性支持的协议，2004年6月由IETF (InternetEngineeringTaskForce)进行标准化。MIPv6协议在设计之初就已经充分认识到协 议安全的重要性。MIPv6面临的主要安全威胁来自以下几个方面：

(1)绑定更新消息相关安全威胁。攻击者通过伪造绑定更新消息等手段冒充受害者移动 节点(MobileNode,MN)发送虚假的转交地址(Care-ofAddress,CoA)或者声称其具有受害 者MN的家乡地址(HomeAddress,HoA)，从而达到中间人攻击(Man-in-the-Middle)的目的。

(2)重放攻击的安全威胁。移动IPv6协议中的通信实体并没有进行身份验证，攻击者 可以利用重复发送受害者之前发送过的绑定更新消息误导正常的通信。

(3)路由优化的安全威胁。为了避免类似移动IPv4(MIPv4)协议中产生的三角路由的 风险，移动IPv6协议中使用了路由优化机制，所以在IPv6协议中定义了诸如家乡地址选项 数据报、路由头等新的拓展数据包头。攻击者通过伪造家乡地址选项数据报，可以对第三方 发起反射攻击；攻击者通过伪造路由头可以使第三方具有获取移动节点相关数据包的权限。 可以得到这样的结论，MIPv6协议面临的威胁主要来自于在消息传输过程中，尤其是在绑定 更新消息传输的过程中，通信实体之间缺乏有效的认证手段。

文献“SecurityinMobileIPv6:Asurvey”中指出，MIPv6协议使用IPSec(IPSecurity)协议 和IKE(InternetKeyExchange)协议保护MN和HA(HomeAgent)之间的移动管理信令， 使用RR(ReturnRoutability)协议保护MN和CN(Correspondentnode)之间的移动管理信 令。然而这种方法存在很大的缺陷，文献“DesigningtheMobileIPv6securityprotocol”指出IKE 协议协商的第一阶段采用基于预共享密钥或证书的方式并不适合在移动环境中广泛使用，一 方面建立一个这样完全支持IKE协议的基础设施并不现实，另一方面，使用基于IKE的IPSec 协议会超出许多移动终端的负荷。RR协议则在协议安全和服务质量(QoS)方面都不尽如人 意。文献“SecurityinMobileIPv6:Asurvey”指出RR并不能提供真正的身份验证功能，文献中 详细解释了RR中存在攻击者利用窃取等手段伪造虚假的绑定更新消息欺骗CN等潜在安全 威胁。针对以上情况，许多学者提出改进的方法。文献“Mobilemulti-layeredIPsec”提出在 MIPv6协议中使用多层次IPSec协议保护移动管理安全；文献“移动IPv6中MN和HA问建 立IPSecSA的一种优化方案”提出MN在家乡网络中预先建立起保护MN与HA之间安全关 联的思路。但是这种修改只是对IPSec和IKE的改进，并没有真正消除IKE协议存在的问题。

发明内容

针对现有技术存在的问题，本发明提供一种基于身份密码学的MIPv6安全移动管理系统 及移动认证方法。

本发明的技术方案是：

一种基于身份密码学的MIPv6安全移动管理系统，包括：

CA：作为认证中心为PKG服务器颁发和管理证书，为PKG服务器之间的跨域通信提供 安全保证；

PKG服务器：生成系统公共参数、为MIPv6自治域内的实体颁发私钥、实时检测MIPv6 自治域内MN所处的状态、基于身份密码学方案为MN和HA协商共享密钥、MIPv6自治域 内MN发生移动时向外地域PKG服务器证明MN所声称身份为其实际身份；

MN：MIPv6协议中的实体移动节点；MN发生移动时向外地域PKG服务器进行安全注 册；

HA：MIPv6协议中的实体家乡代理；在MN发生移动时向外地域PKG服务器进行安全 注册时，HA向家乡域PKG服务器转发MN发来的做身份证明的推送消息，并将外地域PKG 服务器发送给家乡域PKG服务器的系统参数和MN的私钥转发给MN；

CN：MIPv6协议中的实体通信节点；在MN发生移动的过程中与MN之间保持通信、在 MN发生移动后与MN进行移动消息交互。

利用所述的基于身份密码学的MIPv6安全移动管理系统进行MIPv6安全移动认证的方 法，包括以下步骤：

步骤1：CA为各MIPv6自治域内的PKG服务器颁发和管理证书；

步骤2：各MIPv6自治域内的PKG服务器生成系统公共参数：循环群G₁和循环群G₂、 双线性对e、循环群G₁上的基点P、PKG服务器的私钥和公钥，单向哈希函数H₁、H₂和H₃；

步骤3：各MIPv6自治域内的PKG服务器实时检测MN所处的状态，如果MN处于初 始状态，则执行步骤4；如果MN处于移动状态，则执行步骤5；

所述初始状态是MN接入家乡域的PKG服务器时的状态；

所述移动状态是MN发生移动，接入外地域PKG服务器时的状态；

步骤4：MIPv6自治域内安全管理：基于身份密码学方案为MN和HA协商共享密钥， 如果MN发生移动则执行步骤5，否则，执行步骤7；

步骤5：安全移动注册：MN向外地域PKG服务器进行安全注册；

步骤6：安全返回路径可达：基于身份密码学方案在MN和CN之间进行共享密钥协商；

步骤7：将协商获得的共享密钥应用于IPSec协议中，在双方之间建立可信信道保护数据 传输；

所述IPSec协议是MIPv6协议中用于保护MN和HA之间移动管理信令安全的协议。

所述步骤5具体包括如下步骤：

步骤5.1：MN向外地域PKG服务器发送Care-ofIDPush推送消息；

所述Care-ofIDPush推送消息是由MN生成并发送到外地域PKG服务器的身份推送消 息；

步骤5.2：MN向HA发送HomeIDPush推送消息；

所述HomeIDPush推送消息是由MN发送并请求其实体家乡代理HA向外地域PKG服 务器做身份证明的推送消息；

步骤5.3：HA向家乡域PKG服务器转发HomeIDPush推送消息；

步骤5.4：家乡域PKG服务器向外地域PKG服务器发送HomeIDPush推送消息，证明 MN所声称身份为其实际身份；

步骤5.5：外地域PKG服务器向家乡域PKG服务器发送ParamsPush推送消息，消息内 容为外地域PKG服务器的系统参数和MN的私钥；

步骤5.6：家乡域PKG服务器向HA发送ParamsPush推送消息；

步骤5.7：HA向MN发送ParamsPush推送消息，完成MN向外地域PKG服务器注册。

所述步骤6具体包括如下步骤：

步骤6.1：MN向外地域PKG服务器发送ParamsRequest请求消息，请求的内容为CN 所在域PKG服务器的系统参数；

所述ParamsRequest消息是MN请求CN所在域的PKG服务器的系统参数的请求消息， 由MN发送给外地域PKG服务器，并且由外地域PKG服务器转发至MN家乡域PKG服务 器；

步骤6.2：外地域PKG服务器向CN所在域的PKG服务器转发ParamsRequest请求消息；

步骤6.3：CN所在域的PKG服务器向外地域PKG服务器发送ParamsReply应答消息；

所述ParamsReply应答消息是由CN所在域的PKG服务器生成发送到外地域PKG服务 器、最终送达MN的消息，其负载包括CN所在域的PKG服务器的系统参数和MN的私钥；

步骤6.4：外地域PKG服务器向MN转发ParamsReply应答消息；

步骤6.5：MN向CN发送RR协议的第一条消息即CoTI消息，消息负载为MN的共享 密钥协商请求；

所述RR协议为MIPv6协议中用于保护MN和CN之间移动管理信令安全的协议；

步骤6.6：MN向HA发送RR协议的第二条消息即HoTI消息，该消息负载为MN的家 乡证明请求消息；

步骤6.7：HA向CN发送RR协议的第三条消息即CoT消息，该消息负载为HA对MN 的家乡证明；

步骤6.8：CN向MN发送RR协议的第四条消息即HoT消息，该消息负载为CN的共享 密钥协商消息。

有益效果：

本发明将基于身份的加密方案和签名方案结合RR协议和IPSec协议，应用在MIPv6协 议的移动管理过程当中，在密钥协商的过程中对MN的身份进行验证，并且没有使用基于与 共享密钥或基于证书的机制，从而使得该安全方案在移动环境中有着更加广泛的应用，最终 将所协商的共享密钥应用在IPSec协议中，建立可信信道。

附图说明

图1为本发明具体实施方式的MIPv6安全移动管理系统架构图；

图2为本发明具体实施方式的域内安全管理过程时序图；

图3为本发明具体实施方式的安全移动注册过程时序图；

图4为本发明具体实施方式的安全返回路由可达过程时序图；

图5为本发明具体实施方式的MIPv6安全移动认证方法流程图。

具体实施方式

下面结合附图对本发明的具体实施方式做详细说明。

本实施方式利用基于身份的签名机制对通信双方进行身份认证，利用基于身份的加密机 制和签名机制进行共享密钥协商，在此过程中借鉴了RR协议的思想，引入了HA对MN身 份的证明，最终将协商所得的共享密钥应用于IPSec协议，建立可信信道。

一种基于身份密码学的MIPv6安全移动管理系统，如图1所示，整个系统按照逻辑关系 被划分为若干自治域，系统内的实体包括：

CA：作为认证中心为PKG服务器颁发和管理证书，为PKG服务器之间的跨域通信提供 安全保证；

PKG服务器：生成系统公共参数、为MIPv6自治域内的实体颁发私钥、实时检测MIPv6 自治域内MN所处的状态、基于身份密码学方案为MN和HA协商共享密钥、MIPv6自治域 内MN发生移动时向外地域PKG服务器证明MN所声称身份为其实际身份；

MN：MIPv6协议中的实体移动节点；MN发生移动时向外地域PKG服务器进行安全注 册；

HA：MIPv6协议中的实体家乡代理；在MN发生移动时向外地域PKG服务器进行安全 注册时，HA向家乡域PKG服务器转发MN发来的做身份证明的推送消息，并将外地域PKG 服务器发送给家乡域PKG服务器的系统参数和MN的私钥转发给MN；

CN：MIPv6协议中的实体通信节点；在MN发生移动的过程中与MN之间保持通信、在 MN发生移动后与MN进行移动消息交互。

整个系统共分为四个域，即一个CA域和三个不同的MIPv6自治域，CA：作为认证中心 为PKG服务器颁发和管理证书；三个MIPv6自治域(AutonomousSystem，AS)AS0、AS1 和AS2，分别由MIPv6自治域内的PKG服务器PKG0、PKG1和PKG2负责管理域内安全。

为方便后续描述，给出如表1所示的标识及说明。

表1标识及说明

利用基于身份密码学的MIPv6安全移动管理系统进行MIPv6安全移动认证的方法，如图 5所示，包括以下步骤：

步骤1：CA为各MIPv6自治域内的PKG服务器颁发和管理证书；

步骤2：各MIPv6自治域内的PKG服务器生成系统公共参数：循环群G₁和循环群G₂、 双线性对e、循环群G₁上的基点P、PKG服务器的私钥和公钥，单向哈希函数H₁、H₂和H₃；

生成一个随机的素数q，选取两个q阶的群G₁、G₂和一个双线性映射e:G₁×G₁→G₂。 选择一个随机数s，并且设置P_pub＝sP。选取哈希函数该哈希函数H₁将一个 比特字符串映射到群G₁上；哈希函数H₂:G₂→{0,1}ⁿ，该哈希函数将群G₂中的元素映射成为 一个长度为n的比特字符串；其中n是规定的明/密文空间的长度，明文空间M＝{0,1}ⁿ，密 文空间通过以上步骤，整个IBE(IdentityBasedEncryption)系统就生成了系 统公共参数Params＝{q,G₁,G₂,e,n,P,P_pub,H₁,H₂}，PKG服务器的主密钥为

步骤3：各MIPv6自治域内的PKG服务器实时检测MN所处的状态，如果MN处于初 始状态，则执行步骤4；如果MN处于移动状态，则执行步骤5；

所述初始状态是MN接入家乡域的PKG服务器时的状态；

所述移动状态是MN发生移动，接入外地域PKG服务器时的状态；

步骤4：MIPv6自治域内安全管理：基于身份密码学方案为MN和HA协商共享密钥， 如果MN发生移动则执行步骤5，否则，执行步骤7；

具体流程如图2所示：

步骤4.1：MN向HA发送密钥共享请求消息；

MN->HA：KeyExchangeRequest

具体消息格式：Code||MN||HA||Enc(Sig(g^mn)S_mn-0)ID_HA||Time。

KeyExchangeRequest消息由MN生成并发送给HA，消息负载部分为Diffie-Hellman密 钥交换的参数g^mn，其中g是域内的系统参数q，mn值是实体移动节点MN拥有的秘密值。

步骤4.2：HA向MN发送密钥共享应答消息；

HA->MN：KeyExchangeReply

具体消息格式：Code||MN||HA||Enc(Sig(g^ha)S_ha-0)ID_MN||Time。

KeyExchangeReply消息是HA对来自MN的Request的应答。消息负载部分是HA拥有 的Diffie-Hellman密钥交换的参数g^ha。

步骤5：安全移动注册：MN向外地域PKG服务器PKG2进行安全注册；

具体流程如图3所示：

步骤5.1：MN向外地域PKG服务器PKG2发送Care-ofIDPush推送消息；

所述Care-ofIDPush推送消息是由MN生成并发送到外地域PKG服务器PKG2的身份 推送消息；

消息格式：Code||MN||PKG2||(ID_MN,CoA)||Time。

Care-ofIDPush消息是由MN生成并发送到PKG2的身份推送消息。该条消息的Code 代表的消息类型表明推送的Payload负载为节点的公钥和其Care-ofaddress，即ID_MN,CoA， 移动节点MN通过这条消息请求PKG2的系统参数和PKG2为MN生成的私钥。

步骤5.2：MN向HA发送HomeIDPush推送消息；

所述HomeIDPush推送消息是由MN发送并请求其实体家乡代理HA向外地域PKG服 务器做身份证明的推送消息；

MN->HA:HomeIDPush

消息格式：Code||MN||PKG2||Enc(ID_MN,CoA)SK_mn-ha||Time。

HomeIDPush消息借鉴了RR协议的HoTI消息的思想，由MN发送向其家乡代理HA， 请求HA向PKG2做身份证明，消息负载的实际内容是MN的身份公钥ID_MN和其当前转交地 址CoA。

步骤5.3：HA向家乡域PKG服务器PKG0转发HomeIDPush推送消息；

HA->PKG0：HomeIDPush

消息格式：Code||MN||PKG2||Enc(ID_MN,CoA)ID_HA||Time。

HomeIDPush消息由HA发送给家乡域中PKG0，请求PKG0将HA对MN身份的证明 转发到PKG2，消息负载的实际数据为MN身份公钥ID_MN与MN当前转交地址CoA的绑定。

步骤5.4：家乡域PKG服务器PKG0向外地域PKG服务器PKG2发送HomeIDPush推 送消息，证明MN所声称身份为其实际身份；

PKG0->PKG2:HomeIDPush

消息格式：Code||MN||PKG2||{ID_MN,CoA}||Time。

HomeIDPush消息由PKG0发送至PKG2，是MN的身份证明请求的转发，消息负载为 MN的身份的证明。CA服务器预先为不同的PKG服务器颁发了证书，PKG服务器之前的安 全由CA服务器保证。

步骤5.5：外地域PKG服务器PKG2向家乡域PKG服务器PKG0发送ParamsPush推送 消息，消息内容为外地域PKG服务器PKG2的系统参数Params和MN的私钥；

PKG2->PKG0：ParamsPush

消息格式：Code||PKG2||MN||{Params-2,S_mn-2}||Time。

ParamsPush消息是PKG2在验证MN的身份之后，发送的参数推送消息。该消息的Source 为PKG2，Destination为MN；Payload负载包括PKG2的系统参数Params-2和PKG2为MN 生成的私钥S_mn-2，该负载部分需要PKG之间的安全系统进行签名和加密，保证其安全。

步骤5.6：家乡域PKG服务器PKG0向HA发送ParamsPush推送消息；

PKG0->HA：ParamsPush

消息格式：Code||PKG2||MN||Enc(Params-2,S_mn-2)ID_HA||Time。

ParamsPush消息为步骤4.5消息的转发，消息负载部分为PKG2的系统参数Params-2和 MN的私S_mn-2钥。

步骤5.7：HA向MN发送ParamsPush推送消息，完成MN向外地域PKG服务器PKG2 注册。

HA->MN：ParamsPush

消息格式：Code||PKG2||MN||Enc(Params-2,S_mn-2)SK_mn-ha||Time

ParamsPush消息由HA发送到MN，本质上是步骤5.5消息的转发，消息Payload负载部 分的实际内容则是PKG2的系统参数Params-2和PKG2根据MN身份公钥ID_MN生成的私钥 S_mn-2。

步骤6：安全返回路径可达：基于身份密码学方案在MN和CN之间进行共享密钥协商；

具体流程如图4所示：

步骤6.1：MN向外地域PKG服务器PKG2发送ParamsRequest请求消息，请求的内容 为CN所在域PKG服务器PKG1的系统参数；

所述ParamsRequest消息是MN请求CN所在域的PKG服务器PKG1的系统参数的请求 消息，由MN发送给外地域PKG服务器PKG2，并且由外地域PKG服务器PKG2转发至MN 家乡域PKG服务器PKG0；

MN->PKG2：ParamsRequest

消息格式：Code||MN||PKG1||Sig(ID_MN)S_mn-2||Time。

ParamsRequest消息由MN生成并且发送至PKG2，本消息是为了向CN所在AS1域的 管理者PKG1请求PKG1的系统参数，消息负载内容为MN的身份公钥ID_MN，表明MN请求 PKG2为MN的身份公钥生成对应的私钥，该负载内容需要被PKG2为MN生成的私钥S_mn-2签名，以防止其他节点冒充MN发起请求。

步骤6.2：外地域PKG服务器PKG2向CN所在域的PKG服务器PKG1转发ParamsRequest 请求消息；

PKG2->PKG1：ParamsRequest

消息格式：Code||MN||PKG1||{ID_MN}||Time。

ParamsRequest消息由PKG2发送到PKG2，本质上是对步骤6.1消息的转发，消息负载 部分为MN的身份公钥ID_MN。

步骤6.3：CN所在域的PKG服务器PKG1向外地域PKG服务器PKG2发送ParamsReply 应答消息；

所述ParamsReply应答消息是由CN所在域的PKG服务器PKG1生成发送到外地域PKG 服务器PKG2最终送达MN的消息，其负载包括CN所在域的PKG服务器PKG1的系统参数 和MN的私钥；

PKG1->PKG2：ParamsReply

消息格式：Code||PKG1||MN||{Params-1,S_mn-1}||Time。

ParamsReply消息是由PKG1生成发送到PKG2，最终送达MN，消息负载为PKG1的系 统参数Params-1和PKG1为MN生成的私钥S_mn-1。

步骤6.4：外地域PKG服务器PKG2向MN转发ParamsReply应答消息；

PKG2->MN：ParamsReply

消息格式：Code||PKG1||MN||Enc(Params-1,S_mn-1)ID_MN||Time。

ParamsReply消息由PKG2发送给MN，其本质上是步骤6.3消息的转发，消息负载部分 即PKG1的系统参数Params-1和PKG1为MN生成的私钥S_mn-1。

步骤6.5：MN向CN发送RR协议的第一条消息即CoTI消息，消息负载为MN的共享 密钥协商请求；

所述RR协议为MIPv6协议中用于保护MN和CN之间移动管理信令安全的协议；

MN->CN:CoTI(KeyExchange)

消息格式：Code||MN||CN||Enc(Sig(g^mn,ID_MN,CoA)S_mn-1)ID_CN||Time。

CoTI(KeyExchange)消息是本实施方式考虑到与RR协议的融合，将KeyExchange包 含在RR消息的CoTI消息中，消息负载由三部分组成：Diffie-Hellman密钥协商参数g^mn、 MN的身份公钥ID_MN以及MN的当前转交地址CoA，其中g为PKG1系统参数之一素数q， mn为MN拥有的秘密值。

步骤6.6：MN向HA发送RR协议的第二条消息即HoTI消息，该消息负载为MN的家 乡证明请求消息；

MN->HA：HoTI(HomeVerifyRequest)

消息格式：Code||MN||CN||Enc(ID_MN,CoA)SK_mn-ha||Time。

HoTI(HomeVerifyRequest)消息即RR协议当中的第二条消息HoTI。消息负载为MN 身份公钥ID_MN和MN当转交地址CoA的绑定。

步骤6.7：HA向CN发送RR协议的第三条消息即CoT消息，该消息负载为HA对MN 的家乡证明；

HA->CN：CoT(HomeVerify)

消息格式：Code||MN||CN||(ID_MN,CoA)||Time。

CoT(HomeVerify)消息是RR协议当中的第三条消息CoT，其作用是为MN的身份提 供家乡证明。该消息负载内容即为MN身份公钥ID_MN和MN当转交地址CoA的绑定。

步骤6.8：CN向MN发送RR协议的第四条消息即HoT消息，该消息负载为CN的共享 密钥协商消息。

CN->MN：HoT(KeyExchange)

消息格式：Code||CN||MN||Enc(Sig(g^cn)S_cn-1)ID_MN||Time。

HoT(KeyExchange)消息是RR协议当中的最后一条消息HoT。消息负载CN的 Diffie-Hellman密钥协商g^cn，其中，g为PKG1系统参数之一素数q，cn为CN拥有的 Diffie-Hellman秘密值。

步骤7：将协商获得的共享密钥应用于IPSec协议中，在双方之间建立可信信道保护数据 传输；

所述IPSec协议是MIPv6协议中用于保护MN和HA之间移动管理信令安全的协议。