全IP网络中基于DIAMETER的MIPv6-的安全漫游解决方案

，寇卫东2，肖玉霞21.西安电子科技大学ISN，西安（710071）2.IBM，北京（100000）E-mail：ljdang@mail.xidian.edu.cn摘要：移动IPv6由于有充足的IP地址和较完善的技术解决方案，已成为未来移动通信网络中的关键技术。同时，专为移动网络设计的AAA的新协议框架Diameter协议必将被未来移动通信所采用。而且，为了提供移动IPv6在商业中的应用，则需要将移动IPv6和Diameter协议整合，在AAA下实现MobileIPv6的认证和注册过程。在这篇论文中，我们采用DiameterMobileIPv6应用协议结合公钥和对称钥体制来实现认证、授权和计费，在实现了跨不同管理区域的漫游功能的同时，提供了相互认证并保证注册过程中数据的完整性和新鲜性。关键词：移动IPv6；AAA；Diameter；未来移动通信1引言未来移动通信网络必将向全IP网络方向发展，同时因特网上也提供移动业务，各种通信网络逐渐向全IP化方向融合已是大势所趋。移动IP协议是目前实现全IP移动通信网的主要方法。当前的移动IPv4[1]由于IP地址严重不足，已不能满足实际需要；而且未来移动通信的发展需要实现多种接入方式的无缝互联，以IPv6大量的地址资源和其它先进的性能做基础，完全可以实现用户从某种接入技术覆盖的区域移动到另外一种接入技术覆盖的区域时保持不间断的连接[2]。移动IPv6将成为未来移动通信网络中的关键技术。然而，移动IP没有提供在跨越不同管理区域时的移动性，也就是说移动IP协议没有提供商业环境中必不可少的AAA(Authentication，Authorization，Accounting）[3]。因此，在各种通信网络向全IP化方向融合的过程中，移动IPv6与AAA的整合就成了当前急需解决的一个重要课题。目前广泛使用的AAA协议Radius和TACACS＋昀初是为拨号用户设计的，无法有效地对新的业务比如移动IP、漫游业务提供AAA服务。新的AAA协议Diameter在设计时克服了现有AAA技术的许多不足，并保持了与广为使用的Radius协议的兼容，而且它被设计得非常灵活，容易进行新应用的扩展，以满足新的需求，所以它必将被用于全IP网络中。因此，本文将结合公钥和对称钥体制采用DiameterMobileIPv6应用协议来实现认证、授权和计费，在实现了跨不同管理区域的漫游功能的同时，提供了相互认证并保证注册过程中数据的完整性和新鲜性。本论文的章节安排如下：首先，在第二节我们先来了解一下移动IPv6的相关理论；然后在第三节我们将对AAA协议及其新的协议版本Diameter有一个清楚的认识；接着在第四节我们将结合公钥和对称钥体制提出一个新的基于Diameter的MobileIPv6的安全漫游解决方案并给出了安全性分析和效率分析；昀后第五节给出结论和未来的工作重点。1本课题得到国家自然科学基金（90304008）和高校博士点专项科研基金（2004071001）的资助。地址是用来标识其位置信息的，发往主机的数据报先被路由到IP地址所指定的网络和子网，然后被主机所接收。当主机移动的时候，给它的分组仍将继续送到其原地LAN，移动主机就收不到了。为了解决这个问题，曾经提出了下面几种方案[4][5]：第一种方案，若根据其新位置给它一个新的IP地址，暂先不去理论使现有的IP地址更为紧张，这种方法对上层协议不能提供移动的透明性，会使主机在移动时无法保持其TCP层及更高层的通信，因此不可取；第二种方案，改变路由协议，让路由器用完整的IP地址作路由选择，很明显这将使路由表巨大无比，不仅降低了路由的速度，而且每增加一个点，相当多路由器都得重新刷新路由表，这是无法容忍的。因此，必须有一种新的解决方案。移动IP应运而生。它使一台主机在不同子网间移动时都能由原地IP地址（HomeAddress）进行寻址，从而保持了网络通信的不间断，而且无需修改路由器的软件和表项。它支持移动主机在不同子网间的无缝漫游，而与链路层介质无关，即可在以太网、802.11无线网和蜂窝网之间自由漫游而对用户透明。2.2移动IPv6的术语(1)移动节点MN(MobileNode)。将接入因特网的位置从一条链路切换到另一条链路上,仍然能保持所有正在进行的通信设备,可以是台式机、笔记本,也可以是其它设备。(2)家乡地址HAddr(HomeAddress)。移动节点在原地子网所获得的IPv6地址,又称正常驻地。(3)家乡代理HA(HomeAgent)。有一个端口与移动节点家乡链路相连的路由器。(4)通信节点CN(CorrespondentNode)。和移动节点进行通信的节点。(5)联合定位关照地址CCOA(Co-locateedcare-of-Address)。移动节点在外地子网自动获得的IPv6地址,其子网前缀是外地子网号,可以通过联合定位关照地址进行寻址。(6)绑定(BINDING)。移动节点的原地址与联合定位关照地址的联合,外带其生存时间。2.3移动IPv6的工作机制图1移动IPv6的工作机制Figure1MobileIPv6operation(1)移动IPv6工作机制,如图1所示。当移动主机(MN)在原地时,用常规方法进行通信,不增加任何开销。(2)当MN离开原地到达外地子网(如子网1)时,一种机制是移动节点向网络广播RouterSolicit以获得外地链路上访问路由器（AR）的响应，而访问路由器发送RouterAdvertisement广播消息给移动节点；另一种机制是访问路由器定期广播发送RouterAdvertisement消息。(3)该RouterAdvertisement消息带有本地链路上的前缀信息，移动节点接收到这个消息后知道自己发生了移动，它会根据新的前缀信息通过地址自动配置得到一个新的联合定位关照地址(CCOA),然后将家乡地址(HAddr)与CCOA的绑定向家乡代理(HA)进行登记。登记过程由MN向HA发出绑定更新申请开始,由MN收到HA绑定确认而结束。(4)当通信节点(CN)意欲与MN通信时,它发出一个目的地址为MN的HAddr的分组。此分组被路由到MN原地子网,并被HA截获(如线路1),然后HA将分组装入新的IPv6分组的有效载荷字段,通过隧道发往MN的CCOA(线路2),MN收到后解包得到原分组。(5)移动节点MN收到HA转发过来的数据包后，通过检查这个数据包的源地址，它知道通信节点CN想与它进行通信，于是它会发送一个响应分组并带上绑定更新信息给CN,并将绑定更新信息加入到由MN维护的绑定更新成员表里。CN收到此数据包后记下MN的新地址CCOA，至此CN就可以直接和MN的CCOA通信(线路3),从而解决了三角路线(线路1+线路2)问题。当存在入口方向的过滤时,移动IPv6可将HAddr放入目的地选项,由MN发出的分组原地址用于反映当前的CCOA，使发出分组可以顺利通过“入口筛选”(IngressFiltering)路由器。(6)当MN移至外地子网(如子网2)时,将自动获得一个新的CCOA,将重新进行登记绑定更新信息,并向绑定更新成员表里发送绑定更新信息,以便它们能够随时跟踪MN。当MN回到原地子网时,用HAddr与HAddr的绑定向HA进行登记,即取消一切地址绑定。至此,一切通信恢复正常。3AAA(AuthenticationAuthorizationAccounting)3.1AAA简介及一般模型认证（Authentication）、授权（Authorization）和记账（Accounting）是网络管理的一个重要内容，也是网络服务提供者通常采用的安全方案。认证（Authentication）是网络运营商在允许用户使用网络资源前对用户身份进行验证的过程。授权（Authorization）定义了在用户通过认证之后可以执行哪些操作和获得哪些服务。记账（Accounting）记录了用户使用资源的详细信息，这些原始信息可以用来生成计费账单或进行审计。典型的记账信息包括用户标识、服务类型、服务起始和结束时间。认证、授权和记账简称为AAA。一般的AAA模型的思路很简单，即当用户发出请求要求使用网络的时候，首先向服务点（Attendant）出示相关的证书，服务点通常不能独立完成相应的认证工作，而会将请求发送给AAA服务器，若是本域的用户，则AAA服务器直接向服务点返回一个授权，服务点根据返回的授权标识为用户提供相应的服务；若该用户不是本域的用户，本域内AAA服务器储存的信息不足，不能认证用户的证书，则本地的AAA服务器将和域外已经和它建立了安全关联的AAA服务器合作，如该用户的家乡AAA服务器或AAA中心服务器，对用户进行认证和授权。同样将结果通知服务点，由服务点根据反馈情况决定授权和计费的进行。AAA的这种分布式结构由服务器来完成认证、授权和计费的工作，大大减轻了网关的压力，能够处理大量的用户请求，在接入网中有着广泛的应用。3.2DiameterRADIUS昀初用来提供拨号PPP和终端服务器接入，曾经广泛地并且成功地为拨号PPP/IP的访问提供了认证、授权和记账服务，然而随着Internet的发展和新的技术包括无线、DSL、移动IP和以太网的引入，RADIUS的固有的缺点使得它无法适应路由器和NAS性能的提高，也无法应付AAA服务器设备的扩展，而Diameter的设计目标就是为了解决这些问题的，可以说它是RADIUS的升级版本，因此使用Diameter并不意味着完全摒弃RADIUS，它们可以很方便的实现过渡和交替。Diameter是由基础协议和应用协议组成，这种方式便于协议的灵活扩展以适应新的访问技术，基础协议提供了可靠传输、消息传送和错误处理的机制，但基础协议不能单独使用，每一应用协议是在基础协议之上构建的某种特殊网络的访问规则，两个主要的应用协议是：MobileIPApplication和NASREQApplication。将Diameter用于互联网和下一代移动通信网是今后的发展趋势。因此，本文中我们提出了一个新的基于Diameter协议的移动IPv6的安全漫游方案。4一种新的基于DiameterMobileIPv6协议的安全漫游解决方案4.1Diameter的移动IPv6扩展下面是基于Diameter的移动IPv6的应用扩展模型（如图2所示）。图2Diameter的移动IPv6应用扩展模型Figure2AAAforMobileIPv6model由于使用了移动IPv6协议，此模型中没有FA，AAA客户端的功能由访问路由器进行AAA扩展后充当。支持动态家乡代理/家乡地址指定，密钥分发和绑定更新优化等功能。其中移动节点运行移动IPv6协议，MN不需要与其它任何移动实体预先共享一个安全关联，只需与AAAH配置一个预先共享的密钥，而AAAH作为一个密钥分发中心，为移动实体产生动态的会话密钥，用于保护移动的注册消息。AAAH与AAAF之间如果没有安全关联，则通过AAAB建立安全关联。AAA实体AAAH、AAAF和AAAB之间运行DiameterMobileIPv6应用协议，为移动节点提供跨管理区域的认证、授权和计费服务。AR与HA必须能够理解Diameter的消息格式，它们要负责与MN之间的移动IPv6消息格式和与AAA服务器之间的Diameter消息格式的转换。4.2一种新的基于Diameter的移动IPv6安全漫游解决方案在本文提出的新的安全漫游解决方案中我们采用了公钥体制和对称钥体制结合的方法[6]来实现基于Diameter的移动IPv6的注册过程。这里假定AAAF与