关键字  AAA  移动IP   认证 

 

    个人通信技术的发展最终目标是能够让人们随时随地访问网络，移动IP^[1]技术恰恰将这个目标变成了现实。移动IP技术允许移动节点在移动位置的过程中不中断正在进行的通信，这给用户带来了很大的方便。AAA^[2]技术是认证、授权和记帐三种技术的结合。IETF的移动IP工作组将该技术移植到移动IP中，并提出了模型来实现移动IP 中的认证、授权和记帐。这模型的提出，解决了原有移动IP协议无法解决的问题，完善了移动IP的功能。但是每次移动节点进入一个新的外地网络时，新的外地网络必须要向移动节点的家乡网络进行认证请求，得到家乡网络的认证，移动节点才能进入外地网络。这样移动节点在进行切换时就带来了很大的延迟，对于实时系统来说基本不可行。

在本文中，提出了一种新的网络信任模型。在该模型中，当移动节点进入外地网络中时，不需要向它的家乡网络发出认证请求，而是向移动节点先前所在的外地网络发出认证请求，大大提高了认证效率。

    AAA在移动IP中应用的基本模型图1所示。从图中可以看出，家乡域中包含家乡代理和家乡AAA服务器AAAH。同样，外地域中有外地代理和外地AAA服务器AAAL。模型中实线代表相关实体之间的安全协定SA^[4]。安全协定是两个节点在数据发送前商定的发送者如何对数据进行密码变换的协定。也就是说安全协定包含了告诉接收者如何解密和验证消息中的认证数据的必要信息。与通常的移动IP技术不同的是，在该模型中移动节点只和AAAH间有安全协定，以此来表明移动节点属于家乡域，而和家乡代理之间没有安全协定。基本模型的网络接入服务器是外地代理，由外地代理向AAA服务器发送接入请求。

    现在移动IP下的AAA架构是由IETF工作组制定的。AAAH代表了在家乡网络的服务器，AAAL代表了外地网络的AAA服务器,同时不论在外地网络实时家乡网络都有安全的通道连接AAA服务器和家乡代理或者是外地代理。同时，在AAAL和AAAH之间也假设有一个安全的通道。根据基本的移动IP协议，在HN和MN之间有一个MSA^[1]，根据此MSA产生HA和MN之间的密钥以及FA和MN之间的密钥, 密钥的产生按照IETF 的标准程序所产生具体步骤如下：

    ⑴MN发送一个Nonce Request^[3]给FA来请求一个随机数以产生HA与MN密钥、FA与MN密钥。并且根据MSA，一个MAC值（信息认证码）被 计算 出附在请求消息中.

    ⑵FA将此消息发送给AAAL，因为AAAL没有足够的信息来对认证该移动节点，随后由AAAL发送给AAAH。

    ⑶ AAAH检查MAC，如果合法则产生一个随机数,并且将此随机数通过预先存在的安全通道送给HA，这样家乡代理就可以产生HA与MN之间的密钥。

    ⑷通过AAAH和AAAL之间的安全通道以及AAAL和外地代理FA的安全通道，AAAH发送另一个随机数给AAAL，随后转至FA。这样外地代理也产生了FA与MN之间的密钥。

    ⑸两个随机数通过注册应答消息加密后传送给MN，这样在移动节点处就产生了MN与FA、MN与HA之间的密钥。

    ⑹这些密钥就通过MN和代理所收到的随机数而产生。

    IETF建议使用Broker ^[2]结构。Broker是和通信双方都建立了信任关系的第三方实体，是双方通信的媒介，可以对信息进行转发.Broker和它所连接的所有AAA服务器以及上一级Broker之间都有安全协定。因为一般Broker布置在MN的附近，大大缩短了认证信息的传输路径，这样能够节省大量认证时间。Broker同时还可以安排成一个分层结构，更高层次的Broker可以覆盖更大的地域，它能够为快速移动节点服务。但是，当MN移动出现有的Broker域到一个新的Broker域，它仍然需要同家乡网络联系以获得认证消息。所有的这类模