互聯(lián)網技術移動IJPt6認證子系統(tǒng)設計

　在線輔導　面授招生　考試大綱　指定教材　報名時間

　　5.5.3移動IJPt6認證子系統(tǒng)設計
MlPv6認證子系統(tǒng)為MN提供MIPv6服務，同時對MN是否是合法MIPv6服務的用戶進行認證，該子系統(tǒng)動態(tài)建立MN與HA的安全關聯(lián)，保護二者之間的移動信令消息。
1.總體模型與消息流程
MIPv6認證子系統(tǒng)涉及的實體如圖5-18所示。NAS同時作為AR,箭頭1表示MIPv6協(xié)議交互，箭頭2表示RADIUS協(xié)議交互。具體消息流程如圖5-19所示。

①MN移動到外地，收到AR發(fā)出的路由通告，采用無狀態(tài)地址配置生成轉交地址。MN也可使用有狀態(tài)地址配置（DHCPv6)從AR獲得轉交地址。
②MN從配S文件中得到啟動信息，包括家鄉(xiāng)地址、家鄉(xiāng)代理地址、NAI及與AAA服務器共享密鑰。
③MN執(zhí)行PANA接入認證過程。
④接入認證完成后，若MN允許接入，則向指定的HA發(fā)送BU，在BU中，包含MN-ID選項和MN-AAA認證選項。MN-AAA選項的認證數(shù)據(jù)由BU的HASH值和MN-AAA共享密鑰計算而得，使用單向散列算法HMAC_SHA1。MN-AAA認證選項中SP1設置為5。BU同時包含MN的NAI等其他細節(jié)#BU的HASH值包含序列號防止重放攻擊。
⑤HA從BU提取NAI、認證數(shù)據(jù)等，用進程間通信將這些信息傳給AAA客戶端進程，AAA客戶端進程按AAA協(xié)議封裝數(shù)據(jù)包發(fā)到AAAH2,服務器根據(jù)NAI查詢MySQL數(shù)據(jù)庫中相應密鑰，對MN-AAA選項認證。
⑥AAAH2發(fā)送認證結果給HA。若認證成功，AAAH2計算會話密鑰，采用加密形式發(fā)給HA。HA接收會話密鑰，建立與MN的SA。
⑦HA執(zhí)行重傳檢査，同時為MN執(zhí)行代理鄰居發(fā)現(xiàn)。
⑧HA發(fā)回BA到MN,BA中的認證數(shù)據(jù)由會話密鑰得到。BA包含MN-ID移動選項，MN-IIA認證選項中設置SPI值為3。
⑨MN用與AAAH2相同算法計算會話密鑰，認證BA中的MN-HA選項。認證通過則建立與HA的SA,MN與HA后續(xù)信令消總由這個SA保護。
⑩MN下線，解除與HA的SA，結束會話。
注意：如果MN-HA之間的SA建立之后，MN的MlPv6認證不需要在AAAH2執(zhí)行，MN和HA利用會話密鑰完成對二者間的BU/BA消息的認證。
對于在建立與HA的SA以后發(fā)送的BU消息，MN在BU中（包括刷新己存綁定緩存條目的BU或不同AR間切換時更新綁定緩存條目的BU)包含MN-HA認證選項。返回的BA消息中也包含該認證選項。選項中的認證數(shù)據(jù)由初始家鄉(xiāng)注冊階段生成的會話密鑰計算而得。HA和MN在MIPv6會話期間緩稃這個密鑰。

返回目錄： 通信工程師考試移動互聯(lián)網安全技術匯總

編輯特別推薦：

中級通信專業(yè)實務 互聯(lián)網技術教程匯總

中級通信專業(yè)實務傳輸與接入教程匯總

通信專業(yè)實務考試設備與環(huán)境教程匯總

通信專業(yè)實務考試交換技術教程匯總