互聯(lián)網(wǎng)技術(shù)考試移動IPv6中的認證

　在線輔導　面授招生　考試大綱　指定教材　報名時間

　　5.4.3 移動IPv6中的認證
移動IPv6(MIPv6)中的認證主要指網(wǎng)絡(luò)中各實體利用相互間的信任關(guān)系，對實體的合法性的檢查以及對移動信令消息的保護。現(xiàn)有方案可以分為以MlPv6為中心的解決方案和MlPv6結(jié)合AAA的方案。以MIPv6為中心的解決方案實際上就是使用IPSec來認證。本節(jié)重點介紹MIPv6結(jié)合AAA的方案。
MIPv6中AAA在認證方面的主要作用是利用AAA網(wǎng)絡(luò)己有的安全關(guān)聯(lián)（SA,這里借用了IPSec中SA的概念，怛不特指IPSec中的SA。這里的SA是寬泛的概念，M兩個通倍實體經(jīng)協(xié)商建立起來的一種安全協(xié)定，決定用來保護數(shù)據(jù)包安全的算法、密鑰及密鑰生存期等)，以移動節(jié)點和它的家鄉(xiāng)AAA服務(wù)器之間的SA為基礎(chǔ)，動態(tài)建立MN-AR/HA間的移動安全關(guān)聯(lián)（MSA),用戶的身份認證一般通過與家鄉(xiāng)AAA服務(wù)器的SA實現(xiàn)，移動消息認證通過建立的MSA實現(xiàn)。MIPv6結(jié)合AAA方案中各種SA如閣5-11所示。

下面對各種SA的不同內(nèi)涵進行闡述。
1）預配置SA(Pre-establishedSAs,PSA)
為支持MIP-AAA交互，這些SA用來保證AAA架構(gòu)的操作安全。這些SA在MIP注冊過程發(fā)生前就已經(jīng)存在。為了區(qū)別預配置SA和其他SA,圖5-11中用實線表示預配置SA。
這些PSA保證AAAF和AAAH能確保來自對方的消息的完整性，并可進行敏感的密鑰材料的交互。
　　2）AR/HA--AAAPSA
AR-AAAF或HA-AAAH連接承栽AAA消息，這些消息可能包含分配給AR/HA的真正的密鑰。在這種情況下，AAA消息應(yīng)該由一種強的端到端的加密機制來保護，如IPSecESP或TLS。
移動SA(MobilitySAs,MSA)：MSA指MN和移動代理之間的安全關(guān)聯(lián)。這個MSA定義了MN與代理之間使用什么密鑰和何種算法保證安全的通信-這些MSA-旦建立，MN與移動代理就能認證移動IP的控制消息（如注冊請求和應(yīng)答)。
與PSA相反，這些MSA在移動IP注冊前是不存在的，并且逛由MIP-AAA倌令輔助生成的。這些SA的建立涉及密鑰材料的產(chǎn)生及分發(fā)。值得注意的是，這些MSA的R標不是為MN接入Internet提供安全連接。本文中的MSA只是用來認證移動IP注冊請求并返回應(yīng)答。由于注冊消息數(shù)據(jù)S較小且交互不頻繁，MSA的密鑰被破解的可能性較小。MSA并不提供MN與移動代理間大流里的保護。
3）AAASA
AAASA是MN與它的AAAH間預先配置的SA。盡管它就是一種特殊的PSA，因為它是MIP-AAA信令的基礎(chǔ)，在這里我們對它單獨描述。AAASA可使移動代理在沒有與移動節(jié)點的信任關(guān)系前詢問AAA服務(wù)器以建立MSA。若移動節(jié)點與AAA服務(wù)器共享一個SA,AAA服務(wù)器就能認證移動節(jié)點，幫助移動節(jié)點和代理建立倌任關(guān)系。
移動IPv6結(jié)合AAA的認證機制典型方案的實體間消息流程如圖5-12所示。

這種方案沒有規(guī)定MN與AAA客戶端之間使用的具體協(xié)議，所以這兩者之間的消息沒有特定的名稱。MN接入新的網(wǎng)絡(luò)時，通過AAAF與AAAH進行交互（ARR/ARA)，實現(xiàn)認證，認證算法默認采用挑戰(zhàn)/應(yīng)答機制。在這種方案中，MN在AAAH認證通過后，AAAH可以代替MN發(fā)送BU消息到指定的HA,實現(xiàn)了認證與家鄉(xiāng)注冊的同步，提高了切換效率。MN與HA的一次交互結(jié)束后，家鄉(xiāng)注冊隨即完成。

返回目錄： 通信工程師考試移動互聯(lián)網(wǎng)安全技術(shù)匯總

編輯特別推薦：

中級通信專業(yè)實務(wù) 互聯(lián)網(wǎng)技術(shù)教程匯總

中級通信專業(yè)實務(wù)傳輸與接入教程匯總

通信專業(yè)實務(wù)考試設(shè)備與環(huán)境教程匯總

通信專業(yè)實務(wù)考試交換技術(shù)教程匯總