互聯(lián)網(wǎng)技術(shù)移動IJPt6認(rèn)證子系統(tǒng)設(shè)計

　在線輔導(dǎo)　面授招生　考試大綱　指定教材　報名時間

　　5.5.3移動IJPt6認(rèn)證子系統(tǒng)設(shè)計
MlPv6認(rèn)證子系統(tǒng)為MN提供MIPv6服務(wù)，同時對MN是否是合法MIPv6服務(wù)的用戶進(jìn)行認(rèn)證，該子系統(tǒng)動態(tài)建立MN與HA的安全關(guān)聯(lián)，保護(hù)二者之間的移動信令消息。
1.總體模型與消息流程
MIPv6認(rèn)證子系統(tǒng)涉及的實體如圖5-18所示。NAS同時作為AR,箭頭1表示MIPv6協(xié)議交互，箭頭2表示RADIUS協(xié)議交互。具體消息流程如圖5-19所示。

①MN移動到外地，收到AR發(fā)出的路由通告，采用無狀態(tài)地址配置生成轉(zhuǎn)交地址。MN也可使用有狀態(tài)地址配置（DHCPv6)從AR獲得轉(zhuǎn)交地址。
②MN從配S文件中得到啟動信息，包括家鄉(xiāng)地址、家鄉(xiāng)代理地址、NAI及與AAA服務(wù)器共享密鑰。
③MN執(zhí)行PANA接入認(rèn)證過程。
④接入認(rèn)證完成后，若MN允許接入，則向指定的HA發(fā)送BU，在BU中，包含MN-ID選項和MN-AAA認(rèn)證選項。MN-AAA選項的認(rèn)證數(shù)據(jù)由BU的HASH值和MN-AAA共享密鑰計算而得，使用單向散列算法HMAC_SHA1。MN-AAA認(rèn)證選項中SP1設(shè)置為5。BU同時包含MN的NAI等其他細(xì)節(jié)#BU的HASH值包含序列號防止重放攻擊。
⑤HA從BU提取NAI、認(rèn)證數(shù)據(jù)等，用進(jìn)程間通信將這些信息傳給AAA客戶端進(jìn)程，AAA客戶端進(jìn)程按AAA協(xié)議封裝數(shù)據(jù)包發(fā)到AAAH2,服務(wù)器根據(jù)NAI查詢MySQL數(shù)據(jù)庫中相應(yīng)密鑰，對MN-AAA選項認(rèn)證。
⑥AAAH2發(fā)送認(rèn)證結(jié)果給HA。若認(rèn)證成功，AAAH2計算會話密鑰，采用加密形式發(fā)給HA。HA接收會話密鑰，建立與MN的SA。
⑦HA執(zhí)行重傳檢査，同時為MN執(zhí)行代理鄰居發(fā)現(xiàn)。
⑧HA發(fā)回BA到MN,BA中的認(rèn)證數(shù)據(jù)由會話密鑰得到。BA包含MN-ID移動選項，MN-IIA認(rèn)證選項中設(shè)置SPI值為3。
⑨MN用與AAAH2相同算法計算會話密鑰，認(rèn)證BA中的MN-HA選項。認(rèn)證通過則建立與HA的SA,MN與HA后續(xù)信令消總由這個SA保護(hù)。
⑩MN下線，解除與HA的SA，結(jié)束會話。
注意：如果MN-HA之間的SA建立之后，MN的MlPv6認(rèn)證不需要在AAAH2執(zhí)行，MN和HA利用會話密鑰完成對二者間的BU/BA消息的認(rèn)證。
對于在建立與HA的SA以后發(fā)送的BU消息，MN在BU中（包括刷新己存綁定緩存條目的BU或不同AR間切換時更新綁定緩存條目的BU)包含MN-HA認(rèn)證選項。返回的BA消息中也包含該認(rèn)證選項。選項中的認(rèn)證數(shù)據(jù)由初始家鄉(xiāng)注冊階段生成的會話密鑰計算而得。HA和MN在MIPv6會話期間緩稃這個密鑰。

返回目錄： 通信工程師考試移動互聯(lián)網(wǎng)安全技術(shù)匯總

編輯特別推薦：

中級通信專業(yè)實務(wù) 互聯(lián)網(wǎng)技術(shù)教程匯總

中級通信專業(yè)實務(wù)傳輸與接入教程匯總

通信專業(yè)實務(wù)考試設(shè)備與環(huán)境教程匯總

通信專業(yè)實務(wù)考試交換技術(shù)教程匯總