移动IP中AAA体系结构的研究与改进

1、挪动IP中AAA体系构造的研究与改良摘要当前挪动通信的开展进入了一个新时代，aaa协议必将发挥更大的作用。因特网工程任务组ietf提出的挪动ip下的aaa体系构造，但是当挪动节点在不同网络间切换时，对挪动节点的认证会带来很大延迟问题。鉴于此，提出一种新的网络信任模型简化网络中的密钥管理，并在此根底上提出一种新的认证方案来进步认证效率，减小延迟。关键字aaa挪动ip认证引言个人通信技术的开展最终目的是可以让人们随时随地访问网络，挪动ip1技术恰恰将这个目的变成了现实。挪动ip技术允许挪动节点在挪动位置的过程中不中断正在进展的通信，这给用户带来了很大的方便。aaa2技术是认证、受权和记帐三种技术的

2、结合。ietf的挪动ip工作组将该技术移植到挪动ip中，并提出了模型来实现挪动ip中的认证、受权和记帐。这模型的提出，解决了原有挪动ip协议无法解决的问题，完善了挪动ip的功能。但是每次挪动节点进入一个新的外地网络时，新的外地网络必需要向挪动节点的家乡网络进展认证恳求，得到家乡网络的认证，挪动节点才能进入外地网络。这样挪动节点在进展切换时就带来了很大的延迟，对于实时系统来说根本不可行。在本文中，提出了一种新的网络信任模型。在该模型中，当挪动节点进入外地网络中时，不需要向它的家乡网络发出认证恳求，而是向挪动节点先前所在的外地网络发出认证恳求，大大进步了认证效率。1挪动ip下的aaa体系构造图1a

3、aa在挪动ip中应用模型aaa在挪动ip中应用的根本模型图1所示。从图中可以看出，家乡域中包含家乡代理和家乡aaa效劳器aaah。同样，外地域中有外地代理和外地aaa效劳器aaal。模型中实线代表相关实体之间的平安协定sa4。平安协定是两个节点在数据发送前商定的发送者如何对数据进展密码变换的协定。也就是说平安协定包含了告诉接收者如何解密和验证消息中的认证数据的必要信息。与通常的挪动ip技术不同的是，在该模型中挪动节点只和aaah间有平安协定，以此来说明挪动节点属于家乡域，而和家乡代理之间没有平安协定。根本模型的网络接入效劳器是外地代理，由外地代理向aaa效劳器发送接入恳求。2已有的密钥产活力制

4、如今挪动ip下的aaa架构是由ietf工作组制定的。aaah代表了在家乡网络的效劳器，aaal代表了外地网络的aaa效劳器,同时不管在外地网络实时家乡网络都有平安的通道连接aaa效劳器和家乡代理或者是外地代理。同时，在aaal和aaah之间也假设有一个平安的通道。根据根本的挪动ip协议，在hn和n之间有一个sa1，根据此sa产生ha和n之间的密钥以及fa和n之间的密钥,密钥的产生按照ietf的标准程序所产生详细步骤如下：n发送一个nnerequest3给fa来恳求一个随机数以产生ha与n密钥、fa与n密钥。并且根据sa，一个a值信息认证码被计算出附在恳求消息中.fa将此消息发送给aaal，因为

5、aaal没有足够的信息来对认证该挪动节点，随后由aaal发送给aaah。aaah检查a，假如合法那么产生一个随机数,并且将此随机数通过预先存在的平安通道送给ha，这样家乡代理就可以产生ha与n之间的密钥。通过aaah和aaal之间的平安通道以及aaal和外地代理fa的平安通道，aaah发送另一个随机数给aaal，随后转至fa。这样外地代理也产生了fa与n之间的密钥。两个随机数通过注册应答消息加密后传送给n，这样在挪动节点处就产生了n与fa、n与ha之间的密钥。这些密钥就通过n和代理所收到的随机数而产生。ietf建议使用brker2构造。brker是和通信双方都建立了信任关系的第三方实体，是双方

6、通信的媒介，可以对信息进展转发.brker和它所连接的所有aaa效劳器以及上一级brker之间都有平安协定。因为一般brker布置在n的附近，大大缩短了认证信息的传输途径，这样可以节省大量认证时间。brker同时还可以安排成一个分层构造，更高层次的brker可以覆盖更大的地域，它可以为快速挪动节点效劳。但是，当n挪动出现有的brker域到一个新的brker域，它仍然需要同家乡网络联络以获得认证消息。所有的这类模型都需要不连续的和aaah联络，因此效率仍然比拟低。3一种新的aaa架构3.1新的信任模型原来的aaa架构引起很长的认证延迟的原因是关于网络信任关系的假设。它假设网络中对挪动节点的认证信

7、息的来源只能是家乡网络，如图2所示。即使是brker的认证消息也来至aaah。假如一个外地网络对挪动节点的认证消息来源不是家乡网络，而是挪动节点先前所在的外地网络，这样的认证将会非常的有效率。图2旧网络信任模型图3新网络信任模型图2、3显示了两种网络信任模型的不同之处。在图三的信任模型中，外地网络对挪动节点的认证消息来至挪动节点先前所在的外地网络。在这里我们假设每一个中间的外地网络不提供伪造大的认证信息。在这个新的模型中，网络的密钥管理比有brker的分层模型简单的多，一个网络只需要它周围相邻的网络列表，密钥的交换只在它和它的相邻网路交换。并且可以通过交换邻居列表来获得整个网络的分布。这里需要

8、一个pki5的存在以支持网络密钥的分发。每一个外地网络通过自己的私钥对要传送的密钥进展加密，以后各个实体间再传送信息就可以使用这个传送来的密钥。3.2密钥的产生根据hn和n之间的sa产生了ha-n和fa-n之间的密钥。一旦ha-n之间的密钥产生以后，当n又挪动到一个新的外地网络时，就不需要产生新的ha-n的密钥了。唯一需要产生就是外地代理和挪动节点之间的密钥。因此，在我们新的信任模型的根底上，我们提出了一种新的产生fa-n之间密钥的方案当挪动节点挪动出家乡网络进入第一个外地网络fn0时，将会按照标准的ietf所规定的程序产生出fa与n,ha与n之间的密钥。此时在这个外地网络中的aaal效劳器需

9、要保存fa与n之间的密钥，在n挪动到下一个外地网络时，需要该信息协助下一个外地网络对n的认证。n进入到下一个外地网络fnn时发送nnerequest3给外地代理fan.对整个恳求内容利用前一个外地网络和挪动节点间的存在的fa与n之间的密钥，通过ha-d5机制计算出一个认证数据，连同nnerequest一起发送给外地代理fan。在恳求包中，还需要附上先前一个外地网络的aaa效劳器aaaln-1的地址。外地代理fan将此恳求转送给aaa效劳器aaaln。aaaln接收到该恳求后，并且获知了挪动节点先前一个外地网络的aaa效劳器aaaln-1的地址，并且aaaln将随机数恳求nnerequest传送

10、给aaaln-1。aaaln-1效劳器的通过检查认证数据，如通过认证，那么产生确认的消息，并通过平安渠道发送给aaaln。该消息中包含一个加密过的随机数和一个未加密的，该随机数将来用来产生n和fan之间的密钥。加密的随机数是用fan-1和n之间的密钥进展加密。在收到确认的消息后，aaaln解密后，通过平安渠道传送给本地的外地代理fan，并且有fan通过注册应答消息将加密后的随机数传送给挪动节点。挪动节点解密随机数后，根据一定的规那么产生n-fa之间的密钥。4结论改良挪动ip下的aaa体系构造是非常必要的，尤其在当今多种网络并存的情况下，对于减小挪动节点在跨网络挪动时所产生的延迟起到非常重要的作用。在本文中我们提出了一个新的网络信任模型，并在此根底上提出了一个新的密钥管理方案，该方案使得挪动ip实体间更新密钥更加高效，使得外地网络对挪动节点的认证更加高效。参考文献1.perkins,ed.ipbilitysupprtfripv4.srf3344,august20022glasss.bileipauthentiatin,authrizatin,andauntingrequireents.srf2977,20003.perkins,ed.authentiat