[发明专利]安全认证方法、相关设备及系统

说明书

本申请公开了安全认证方法、相关设备及通信系统，通信系统包括MN、CN、UAG和GRIDS系统，UAG接收MN发送的BU消息和MN的签名，MN的签名是使用MN的私钥对BU消息进行计算得到的；使用UAG的私钥对BU消息、MN的签名和UAG的标识进行计算得到UAG的签名；向CN发送BU消息、MN的签名和UAG的签名；接收CN发送的BU响应消息和CN的签名，BU响应消息包括对UAG和MN的签名进行验证得到的结果；将所述BU响应消息和所述CN的签名发送至所述MN。实施本申请能够解决网络层增加ID后的安全认证问题，实现基于ID的快速认证和网络切换，简化了认证流程，提高认证效率，降低了切换时延。

技术领域

本申请涉及通信技术领域，尤其涉及安全认证方法、相关设备及系统。

背景技术

在现如今的TCP/IP协议中，传输层和网络层紧密地结合在一起，二者并没有真正地将其各自的功能独立实现。网络层的IP地址既担任寻址功能，又担任着标识通信设备的作用。这种双重功能决定了当IP地址变化时，不仅路由会发生变化，而且通信设备的标识会发生变化。而设备标识的变化就容易导致应用故障和网络连接中断。而随着移动通信需求的大量增加，泛移动场景下，IP地址经常会发生变化，所以IP地址这种具有位置和身份双重属性存在很多弊端，无法满足移动通信的发展需要。

研究人员已经开展下一代通信技术的研究，当前一个主流研究方向是在网络层增加ID，将ID作为通信网络中节点的永久性标识，以便于满足未来网络中普遍性的移动连接需求。然而，网络层增加ID以后，依然存在很多问题有待解决。例如，网络的高安全性和低时延也成为下一代网络设计中普遍关注的问题，而网络层增加ID以后，网络的安全身份认证机制需要重新进行设计，以保证安全性和低时延的需求。所以，研究人员依然面临着严峻的技术挑战。

发明内容

本申请提供了安全认证方法、相关设备及系统，能够解决网络层增加ID后的安全认证问题，实现基于ID的移动网络的切换以及快速认证，简化了认证流程，提高认证效率，降低了切换时延，以满足下一代移动通信的发展需求。

第一方面，本发明实施例提供了一种安全认证方法，该方法应用于通信系统，所述通信系统包括移动节点MN、通信节点CN、统一接入网关UAG和通用弹性标识服务GRIDS系统；该方法从UAG侧进行描述，当所述MN需要与所述CN保持在线通信连接时，包括以下步骤：所述UAG接收所述MN发送的绑定更新BU消息和所述MN的签名；所述MN的签名是使用所述MN的私钥对所述BU消息进行计算得到的；所述UAG使用所述UAG的私钥对所述BU消息、所述MN的签名和所述UAG的标识进行计算，得到所述UAG的签名；所述UAG向所述CN发送所述BU消息、所述MN的签名和所述UAG的签名；所述UAG接收所述CN发送的BU响应消息和所述CN的签名；所述CN的签名是使用所述CN的私钥对所述BU响应消息进行计算得到的，所述BU响应消息包括对所述UAG的签名、所述MN的签名进行验证得到的结果；所述UAG将所述BU响应消息和所述CN的签名发送至所述MN。

基于上述通信系统，为了实现本发明实施例中安全认证的技术方案，本发明实施例还提供了一种面向ID的网络(Identity－Oriented Networking，ION)协议架构。ION协议架构是一种新型的通信协议架构，ION协议架构在传统IPv6协议架构的IP层(3层)和传输层(4层)之间增加了标识层(3.5层)。这样，采用ION协议架构的节点(或终端)都可以采用标识层的标识作为唯一不变的身份标识。而且，标识层位于IP层之上，所以，ION协议架构下的节点(或终端)可以根据标识层的标识通过IP层进行寻址。本申请文件中，ION协议架构下的节点(或终端)的标识都是指标识层的标识(ID)。节点(或终端)的标识可以是固定不变的标识，例如，设备序列号、手机号码、国际移动设备标识。