[发明专利]一种分离机制移动性管理系统的认证授权方法

说明书

技术领域

本发明涉及一种分离机制移动性管理系统的认证授权方法。

背景技术

文献(申请号：201110152731.4)提出了分离机制下移动性管理的网络模型，该方案充分利用分离机制地址映射和代理移动IPv6（Proxy MobileIPv6,PMIPv6）中移动节点（Mobile Node，MN）身份和位置分离的优点，同时也解决了由于PMIPv6的本地移动锚点既是处理移动控制信令的控制网关，又是转发MN数据的数据网关导致其成为PMIPv6网络结构中的单故障节点。分离机制移动性管理系统实现了身份与位置分离、数据转发与控制信令分离、接入网与核心网分离。针对三种分离机制设计了接入网关（Access Gate Way,AGW）、控制网关（Control Gate Way,CGW）和数据网关（Data Gate Way,DGW）。身份与位置分离是在接入网内实现标识主机身份的家乡地址与可路由的用于标识MN当前位置的接入地址的分离。数据转发与控制信令分离是通过数据网关实现数据转发，控制网关实现移动控制信令的管理。接入网与核心网分离是借鉴分离映射思想，将接入网内MN的家乡地址映射为在核心网全局可路由的核心地址。

分离机制移动性管理只是一种移动性管理方法，对于接入网络的移动节点提供网络服务，但是对于移动节点的合法性并没有进行考虑，也就是所有的移动节点都能通过分离机制移动性管理框架获得网络服务。由于无法保证移动节点的合法性和可靠性，因此给网络的安全性带来威胁。同时，控制网关CGW存储了所有移动节点的家乡网络前缀信息，缺少第三方实体对家乡网络前缀的存储和分配。

本发明提出了一种分离机制移动性管理系统的认证授权方法，通过增加AAA（Authentication，Authorization and Accounting）服务器实体，使用Diameter[2]安全协议，PANA（Protocol for Carrying Authenticationfor Network Access）[3]协议，EAP（Extensible Authentication Protocol）[4]协议，ERP（EAP Re-authentication Protocol）[5]协议和EAP-PSK（APre-Shared Key Extensible Authentication Protocol Method）[6]认证机制实现对移动节点进行接入认证和服务授权，保证接入网络的移动节点的合法性和网络的安全性。本方案提出了接入认证的四种场景：家乡域初始认证，家乡域重认证，外地域初始认证和外地域重认证。

与本发明相关的现有技术一

RFC5779[7]介绍了在PMIPv6域内PMIPv6实体（移动接入网关（MobileAccess Gateway,MAG）和本地移动锚点（Local Mobility Anchor,LMA））和家乡服务器HAAA（Home AAA）之间的认证、授权和计费（AAA）的交互。

AAA的交互主要用于在PMIPv6实体和远程策略存储之间下载更新移动节点的策略配置文件，以及认证移动节点的合法性。MAG和LMA之间使用代理转交地址（Proxy Care of Address，PCoA）和LMA地址（LMA Address，LMAA）建立双向隧道。

MAG从远程策略存储中下载和更新移动节点的策略配置文件可以有效地缓解大规模PMIPv6域的网络配置和维护，同时通过使用安全协议和安全算法也能检测移动节点的合法性。同一个远程策略存储也可以更新LMA为移动节点提供与移动服务相关的信息，如移动节点家乡网络前缀（Home NetworkPrefix，HNP）。如图1所示，HAAA实现了远程策略存储服务器的功能，消息（1）为MAG和HAAA之间基于Diameter的AAA认证交互，消息（2）为LMA和HAAA之间基于Diameter的AAA授权交互。

现有技术一的缺点

PMIPv6的LMA在移动性管理过程中，既是处理移动控制信令的控制网关，转发MN数据的数据网关，又是和HAAA进行授权交互的客户端，这样的设计极其容易导致LMA成为PMIPv6网络结构中的单故障节点。

PMIPv6中MAG和HAAA的认证交互只考虑了域内的场景，没有考虑到MN跨域切换后跨域认证的场景；同时，MN在不同接入网关连续切换时，都需要进行完整的初始认证过程，没有考虑采用重认证过程来减少信令交互和认证时延。

发明内容