支持多级安全的移动IPSec传输认证方法

摘要

本发明公开了一种支持多级安全的移动IPSec传输认证方法，主要解决具有多级安全特性移动IPv6网络中的对端注册与安全传输问题。该方法包括：CN是单安全级节点、单安全级服务器和多安全级服务器三种情况下的传输认证。这三种情况的传输认证方法中均采用针对统一标识UID进行多级授权的证书和数字签名的方式实现MN对代理的注册，在注册的同时创建MN到代理的MIPSec/SA，并在接入网关和部署强制访问控制机制的服务器中完成强制访问控制判决。这三种情况的传输认证方法通过修改IKEv2来实现，并将每个接入网关作为MN的移动代理。本发明所给传输认证方法，不仅克服了IKEv2协议中前两条协议未受保护的不足，而且支持移动IPv6网络多级安全特性的实现，具有很高的安全性和有效性。

主权项

1. 一种通信对端CN是单安全级节点时支持多级安全的移动IPSec传输认证方法，包括如下步骤：1)MN选择随机数Ni，向CN发送{CERTMN，CoAMN，Ni，SAi1，KEi}SigMN；2)MN的接入网关收到消息{CERTMN，CoAMN，Ni，SAi1，KEi}SigMN后，使用源接入认证安全关联SAH/SA验证该消息，并转发给CN的接入网关；3)CN的接入网关收到消息{CERTMN，CoAMN，Ni，SAi1，KEi}SigMN后，验证CERTMN，根据消息中的目的IP地址查找CERTCN，并基于CERTMN和CERTCN中的角色ROLE对MN和CN进行强制访问控制判决，如果判决通过，则记录HoAMN与CoAMN及其对应的HoACN与CoACN，并将消息{CERTMN，CoAMN，Ni，SAi1，KEi}SigMN发送给CN，否则丢弃该消息；4)CN对收到消息的签名SigMN验证后，选择随机数Nr，向MN发送{CERTCN，Ni，Nr，SAr1，KEr}SigCN；5)CN的接入网关收到消息{CERTCN，CoACN，Ni，Nr，SAr1，KEr}SigCN时，使用源接入认证安全关联SAH/SA验证该消息，并转发给MN的接入网关；6)MN的接入网关收到消息{CERTCN，CoACN，Ni，Nr，SAr1，KEr}SigCN时，验证CERTCN，并基于CERTMN和CERTCN中的角色ROLE对MN和CN进行强制访问控制判决，如果判决通过，则记录HoACN与CoACN及其对应的HoAMN与CoAMN，并将消息{CERTCN，CoACN，Ni，Nr，SAr1，KEr}SigCN发送给MN，否则丢弃该消息；7)MN对收到消息的签名SigCN和证书CERTCN验证后，根据KEr计算出与HA之间的共享密钥SK，用该共享密钥SK加密消息{UIDMN，AUTH，SAi2}后，发送给CN；8)CN对收到的加密消息用共享密钥SK解密，对AUTH验证后，用SK加密消息{UIDCN，AUTH，SAr2}，发送给MN。