[发明专利]一种身份与位置分离体系下的安全移动性管理方法

权利要求书

1.一种身份与位置分离体系下的安全移动性管理方法，其特征是：在身份与位置分离映射体系中，引入接入隧道路由器(ATR,Access Tunnel Router)作为移动节点的移动接入网关(MAG,Mobile Access Gateway)，其地址为本地路由标识(LLOC,Local Locator)；一个接入网(AN,Access Network)作为一个移动管理区域(MD,Mobile Domain)，一个接入隧道路由器控制一个子网，每个接入网由若干个子网组成；

隧道路由器(TR)作为区域内移动节点(MN)的移动锚点，存储区域内移动节点的位置信息(EID-LLOC)；区域内移动节点的安全移动切换的数据通过隧道传输，采用本地路由标识寻路转发；

每个接入网内至少有一个AAA服务器；

接入网内AAA服务器与隧道路由器和接入隧道路由器预先建立了安全联盟(Security Association),该安全联盟规定了保护AAA服务器与隧道路由器和接入隧道路由器安全通信的协议类型，加密算法，认证方式，共享密钥，密钥生存周期等参数；；

接入网内接入隧道路由器与AAA服务器预共享了组密钥(Group Key)；

移动节点与家乡AAA服务器(HAAA,Home AAA)预先协商了共享密钥；移动节点在不同网络中漫游之前，须首先在家乡域完成移动节点的初始安全接入；

HAAA与访问AAA服务器(VAAA,Visited AAA)之间预共享了密钥和移动节点的标识信息等，否则移动节点不能在该访问域漫游；

移动节点移动时，移动节点与通信对端(CN,Corresponding Node)的连接不会中断。

2.根据权利要求1所述的一种身份与位置分离体系下的安全移动性管理方法，其特征是：移动节点在家乡域的初始安全接入过程步骤如下：

步骤1、MN附着在ATR₁；

步骤2、ATR₁向MN发送身份请求和挑战值CV(Challenge Value)；

步骤3、MN生成随机数R₁，使用MN与HAAA预共享的密钥P加密CV和R₁，计算E_P(CV||R₁)，计算消息哈希值H(EID₂||CV||E_P(CV||R₁))，然后向ATR₁发送接入认证请求，消息包括：MN的终端标识EID₂，挑战值CV，加密信息E_P(CV||R₁)和哈希值H(EID₂||CV||E_P(CV||R₁))，其中E_k(m)表示使用密钥k加密信息m，H()是哈希函数，“||”是字符串连接符；

步骤4、ATR₁将接入认证请求消息发送到HAAA；

步骤5、HAAA首先检查哈希值H(EID₂||CV||E_P(CV||R₁))，确认消息的完整性；然后使用MN与HAAA预共享的密钥P解密得到CV，并与消息中未加密的CV比较，若哈希值或CV匹配错误，则拒绝MN接入，终止初始接入过程，若两个值匹配成功，则可以确认MN身份，然后，HAAA使用哈希函数计算域间切换密钥值GK=H(S||EID₂)和域内切换密钥值LK=H(G||EID₂)，其中S是HAAA与其他VAAA的预共享密钥，G是HAAA与区域内ATR共享的组密钥，然后HAAA使用预共享密钥P加密GK，LK和R₁，计算E_P(GK||LK||R₁)和哈希值H(Au||EID₂||E_P(GK||LK||R₁))，其中Au是MN的认证成功标志；

步骤6、HAAA将接入确认消息发送给ATR₁，内容包括认证成功标志Au，MN的终端标识EID₂，加密信息E_P(GK||LK||R₁)和哈希值H(Au||EID₂||E_P(GK||LK||R₁))；

步骤7、ATR₁根据认证成功标志Au，确认MN认证成功，允许MN接入；

步骤8、ATR₁向TR₂发送位置注册(Location-Register)消息,注册MN的位置信息EID₂-LLOC₁；

步骤9、TR₂向映射服务器MS发送映射注册消息(Map-Register)，注册MN的映射信息EID₂-to-LOC₂；

步骤10、MS返回映射通知(Map-Notify)消息，确认MN映射信息注册完成；

步骤11、TR₂向ATR₁返回位置确认(Location-Acknowledgement)消息，确认MN的位置信息注册完成；

步骤12、ATR₁将接入确认消息发送给MN，内容包括认证成功标志Au，MN的终端标识EID₂，加密信息E_P(GK||LK||R₁)和哈希值H(Au||EID₂||E_P(GK||LK||R₁))；

步骤13、MN检查哈希值H(Au||EID₂||E_P(GK||LK||R₁))，检查解密得到的R₁与先前发出的R₁是否相同，确认网络的真实性，解密得到GK和LK并存储，完成双向认证；

步骤14、CN向TR₁发送普通数据包，数据包源和目的地址分别为EID₁和EID₂；

步骤15、TR₁向MS发送映射查询（Map-Request）消息，查询MN的映射信息；

步骤16、MS向TR₁返回映射应答（Map-Reply）消息，包含MN的映射信息EID₂-to-LOC₂；

步骤17、TR₁根据MN的映射信息封装数据包，为原始数据包加入新的外部包头，该包头源和目的地址分别为LOC₁和LOC₂，核心网根据隧道数据包的路由标识对其进行寻路转发；

步骤18、TR₂解封装隧道数据包，去掉TR₁封装的外部包头；然后，TR₂根据MN的位置信息EID₂-LLOC₁将数据包通过隧道发送给ATR1,具体操作是为原始数据包增加新的外部包头，该包头目的地址为LLOC₁；

步骤19、ATR₁收到隧道数据包后，去掉外部包头，将原始数据包转发给MN。