（通信与信息系统专业论文）分离场景的mipv6认证系统的研究与实现.pdf

中文摘要 中文摘要 摘要：基本m i p v 6 协议可以很好地提供单个节点的移动性支持，但没有涉及用户 接入技术，并且采用复杂的i p s e c 保护移动节点和家乡代理之间的移动性信令；根 据实际m i p v 6 网络部署情况的不同，移动节点的接入服务提供商和m i p v 6 服务提 供商可以相对独立，即分离场景。因此需要研究有效的接入认证方式及m i p v 6 认 证方式。本文基于认证、授权、计费( a u t h e n t i c a t i o n ，a u t h o r i z a t i o n ，a c c o u n t i n g ，a a a ) 结构，采用网络接入认证承载协议( p r o t o c o lf o rc a r r y i n ga u t h e n t i c a t i o nf o rn e t w o r k a c c e s s ，p a n a ) 及m i p v 6 移动消息认证选项机制( r f c 4 2 8 5 ) ，设计并实现一个新颖 的分离场景的m i p v 6 认证系统。m i p v 6 的实际使用必然要用到a a a 技术，其中 认证功能是授权和计费的基础，本文是在a a a 结构下解决m i p v 6 用户的接入认 证和m i p v 6 认证的问题。 论文首先综述各种接入认证技术及m i p v 6 认证技术的研究现状，简要描述 m i p v 6 引导的分离场景与集成场景和a a a 协议的发展。 论文然后介绍m i p v 6 协议，a a a 原理，详细阐述m i p v 6 引导的部署场景。 在分析比较典型接入认证技术以及m i p v 6 认证技术的基础上，论文设计出完整的 分离场景的m i p v 6 认证系统的方案。此设计方案有如下特点：1 ) 系统分为相对独 立的移动节点接入认证及m i p v 6 认证两大部分。2 ) 接入认证采用p a n a 协议作为 前端协议，后端a a a 协议采用d i a m e t e r 协议，具体认证功能由二者承载的e a p 协议完成，可以支持多种认证算法，扩展性好。3 ) 移动节点的m i p v 6 认证采用认 证选项的机制，这是一种轻量级的机制，可以在无线环境中代替i p s e c 。4 ) 移动 节点的m i p v 6 认证过程可以为移动节点及其对应的家乡代理动态分配m i p v 6 认证 所需的会话密钥。 论文进而提出该m i p v 6 认证系统的原型实现，针对设计方案基于 o p e n d i a m e t e r 实现接入认证子系统，基于f r e e r a d i u s 实现m i p v 6 认证子系统， 详细阐述各个模块的实现原理和流程，在l i n u x 2 6 8 1 内核完成系统的软件实现。 最后搭建实验环境，重点测试该原型系统中接入认证子系统的用户漫游功能 以及m i p v 6 认证子系统核心协议( r f c 4 2 8 5 ) 的首次实现，并对测试结论进行分 析。 本论文选题来源于国家发展和改革委员会下一代互联网示范工程2 0 0 6 年产业 化及应用试验项目“互联网和移动通信融合的业务试验”( 发改办高技 2 0 0 6 1 2 0 7 5 号) 。 关键词：接入认证；m i p v 6 认证；a a a ；d i a m e t e r ；r a d i u s ；p a n a 分类号：t p 3 9 3 0 8 ；t n 9 1 5 0 4 a bs t r a c t a b s t r a c t ：b a s i cm i p v 6p r o t o c o lp r o v i d e st h em o b i l i t ys u p p o r t f o rm o b i l en o d e s h o w e v e r , t h i sp r o t o c o ld o e sn o tc o n c c l na c c e s st e c h n o l o g i e sa n ds u g g e s tu s i n gc o m p l e x i p s e ct op r o t e c tm i p v 6s i g n a l i n gb e t w e e nm o b i l en o d e s a n dh o m ea g e n t s a c c o r d i n g t od i f f e r e n ts c e n a r i o sd e p l o y e df o rm i p v 6n e t w o r k ，a c c e s ss e r v i c ep r o v i d e r sc o u l db e i n d e p e n d e n to fm i p v 6s e r v i c ep r o v i d e r s ，w h i c hi ss p l i ts c e n a r i o s om o r ee f f e c t i v e a c c e s sa u t h e n t i c a t i o ns c h e m ea n dm i p v 6s c h e m ea r en e e d e d t h i sp a p e rd e s i g n sa n o v e l m i p v 6a u t h e n t i c a t i o ns y s t e mi ns p l i ts c e n a r i ou s i n gp a n ap r o t o c o la n dm o b i l i t y m e s s a g ea u t h e n t i c a t i o no p t i o n m e c h a n i s mb a s e do na a aa r c h i t e c t u r e t h e 丸诅 t e c h n 0 1 0 9 yi sar e q u i r e m e n to fm i p v 6d e p l o y m e n t ，w h i l et h ea u t h e n t i c a t i o nf u n c t i o n i s t h eb a s eo fa u t h o r i z a t i o na n da c c o u n t i n g t h ep a p e rs o l v e sa c c e s sa u t h e n t i c a t i o na n d m i p v 6a u t h e n t i c a i o np r o b l e m so fm i p v 6u s e r sb a s e do na a a a r c h i t e c t u r e a tf i r s t ，t h ep a p e rs u m m a r i z e st h er e s e a r c hs t a t u so fd i f f e r e n ta c c e s sa u t h e n t i c a t i o n t e c h n o l o g i e sa n dm i p v 6a u t h e n t i c a t i o nt e c h n o l o g i e s ，d e s c r i b e s t h es p l i t i n t e g r a t e d s c e n a r i oo fm i p v 6b o o t s t r a p p i n ga n dt h ed e v e l o p m e n to f a a ap r o t o c o l s s e c o n d l 弘t h ep a p e ri n t r o d u c e sm i p v 6p r o t o c o l ，a a at h e o r ya n dd e s c r i b e s m i p v 6 b o o t s t r a p p i n gs c e n a r i o si nd e t a i l b a s e do nt h ea n a l y s i sa n dc o m p a r i s o no ft y p i c a l a c c e s sa u t h e n t i c a t i o nt e c h n o l o g i e sa n dm i p v 6a u t h e n t i c a t i o nt e c h n o l o g i e s ，t h ep a p e r d e s i g n sam i p v 6a u t h e n t i c a t i o ns y s t e ms c h e m e i ns p l i ts c e n a r i o t h et r a i t so ft h es c h m e a r es h o w na sf o l l o w s ：1 ) t h i ss y s t e mi sd e v i d e di n t oa c c e s sa u t h e n t i c a t i o ns u b s y s t e m a 1 1 dm i p v 6a u t h e n t i c a t i o ns u b s y s t e m 2 ) p a n ap r o t o c o li su s e da st h ef r o n tp r o t o c o l w h i l ed i a m e t e rp r o t o c o li su s e da st h eb a c k e n dp r o t o c 0 1 e a pp r o t o c o l ，s u p p o r t i n g m a n ya u t h e n t i c a t i o na l g o r i t h m s a n d e a s y t ob ee x t e n d e d ，a c c o m p l i s h e s t h er e a l a u t l l e n t i c a t i o nf u n c t i o n 3 ) t h em o b i l i t ym e s s a g eo p t i o ns c h e m eu s e db ym i p v 6 a u t h e n t i c a t i o n 仍rm o b i l en o d e si sl i g h tw e i g h t e d ，c o u l dt a k ep l a c eo f i p s e ci nw i r e l e s s e n v i r o n m e n t 4 ) t h em i p v 6a u t h e n t i c a t i o np r o c e s s c o u l dd i s t r i b u t es e s s i o nk e y s b e t 、v e e nm na n dh af o rm i p v 6a u t h e n t i c a t i o nd y n a m i c a l l y t h i r d l y , t h ep a p e rp r e s e n t sam o d e lf o ri m p l e m e n t i n gt h em i p v 6a u t h e n t i c a t i o n s y s t e m ，i m p l e m e n t s a c c e s sa u t h e n t i c a t i o ns u b s y s t e ma n dm i p v 6a u t h e n t i c a t i o n s u b - s y s t e mb a s e do no p e n d i a m e t e ra n df r e e r a d i u ss e p a r a t e l y , t h e nd e s c r i b e sh o w t o r e a l i z ee v e r ym o d u l e ，f i n a l l yf i n i s h e st h es o f t w a r ef o rt h ee n t i r em i p v 6a u t h e n t i c a t i o n s y s t e mo nt h el i n u x 2 6 8 1k e r n e lp l a t f o r m a tl a s t t h et e s te n v i r o n m e n ti ss e tu pf o rt h i ss o f t w a r e t h et e s tf o c u s e so nt h eu s e r r o a mf u n c t i o no fa c c e s sa u t h e n t i c a t i o ns u b s y s t e ma n dt h ef i r s ti m p l e m e n t a t i o nr e s u l to f r f c 4 2 8 5o fm i p v 6a u t h e n t i c a t i o ns u b s y s t e m t h ea n a l y s i so ft e s tr e s u l t si sa l s ob e p r e s e n t e d t h i sp a p e ri ss u p p o r t e db yt h eg r a n tf r o mc h i n an a t i o n a ld e v e l o p m e n ta n d r e f o r mc o m m i s s i o nu n d e rt h ep r o j e c t ”r e s e a r c ho ni n t e g r a t e ds e r v i c e so fi n t e r n e ta n d m o b i l ec o m m u n i c a t i o n s ” k e y w o r d s ：a c c e s sa u t h e n t i c a t i o n ：m i p v 6a u t h e n t i c a t i o n ；a a a ；d i a m e t e r ； r a d i u s ：p a n a c l a s s n o ：t p 3 9 3 0 8 ；t n 9 15 0 4 v 学位论文版权使用授权书 本学位论文作者完全了解北京交通大学有关保留、使用学位论文的规定。特 授权北京交通大学可以将学位论文的全部或部分内容编入有关数据库进行检索， 并采用影印、缩印或扫描等复制手段保存、汇编以供查阅和借阅。同意学校向国 家有关部门或机构送交论文的复印件和磁盘。 ( 保密的学位论文在解密后适用本授权说明) 学位论文作者签名：际壤 签字日期：砷富年f 月j z l e i 导师签名： 签字日期：加孵6 月1 2 - r 独创性声明 独创性声明 本人声明所呈交的学位论文是本人在导师指导下进行的研究工作和取得的研究成果，除 了文中特别加以标注和致谢之处外，论文中不包含其他人已经发表或撰写过的研究成果，也 不包含为获得北京交通人学或其他教育机构的学位或证书而使用过的材料。与我一同工作的 同志对本研究所做的任何贡献均已在论文中作了明确的说明并表示了谢意。 学位论文作者签名：签字日期：加8 年分月i1 日 北京交通人学硕士学位论文 致谢 两年的学习生活即将结束，我也即将走向工作岗位，在此谨向在我攻读硕士 学位期间指导、关心、帮助过我的老师和同学表示真挚的感谢。 本论文的工作是在我的导师张思东教授的悉心指导下完成的。藉此论文完成 之际，谨向教育我的导师表示诚挚的谢意! 感谢周华春老师，周老师孜孜以求的敬业精神给我留下深刻的印象。在学习 和工作中，周老师鞭策我要勇于面对挑战、勤钻研、多思考，对我的影响和教育 将是我一生享受不尽的宝贵财富。 衷心感谢张宏科教授，感谢秦雅娟老师、郜帅老师、刘颖老师在我的科研和 生活中给予我的无私帮助和诚挚的关怀。 感谢在实验室与我共同学习、研究的同学们，感谢他们在平时生活和学习中 对我的帮助和支持。和同学们在一起让我感觉到集体和团队精神的巨大力量。 感谢我的父母和亲朋，他们的鼓励和支持是我在学习成长路上的动力和保证。 感谢所有关心和帮助我的人。 最后，衷心感谢各位评委于百忙之中抽出宝贵的时间审阅本文! 引言 1 引言 本文分析比较了移动i p v 6 部署中涉及到的移动节点接入认证技术和m i p v 6 信 令消息认证技术，分析使用到的各个协议标准，包括m i p v 6 协议、p a n a 协议、 e a p 协议、d i a m e t e r 协议和r a d i u s 协议等。在此基础上，设计实现了一种分离 场景下的m i p v 6 认证方案，提供对移动节点安全接入网络以及对移动信令消息的 保护。 1 1研究背景与意义 w l a n 、w i m a x 、g p r s 、3 g 等无线技术的发展，使人们对互联网的访问从 传统的固定有线方式向移动无线方式转变。无线环境为人们带来便捷的同时对用 户移动性带来新的挑战。如网络中的路由器使用的路由协议一般是基于目的网络 前缀转发，i p 节点若发生移动，目的地是该i p 网络前缀的包仍将发送到原来的网 络，这样已经移动的节点收不到发给它的i p 包，通信就会中断。 i p v 6 的扩展协议移动i p v 6 1 ( m i p v 6 ) 可以很好地提供单个节点的移动性支持。 移动i p v 6 使人们以一种崭新的方式享用网络资源，值得注意的是，节点的移动i p v 6 服务与节点的接入服务是两个独立的概念，虽然获取移动i p v 6 服务的必须先获取 网络的接入服务。接入服务使节点可以在内部网或互联网上收发i p 数据包，这些 节点要能配置i p 地址和转发i p 数据包；而移动i p v 6 服务使i p v 6 节点可以使用不 同的接入方式，在改变网络接入点的时候不需要改变原有的地址配置，仍可保持 持续通信。 接入服务和移动i p v 6 服务的服务提供商分别称为a s p ( a c c e s ss e r v i c e p r o v i d e r ) 和m s p ( m o b i l i t ys e r v i c ep r o v i d e r ) ，两者都要对其用户的合法性进行认 证。典型的方法是使用a a a 结构，a a a 指认证、授权、计费( a u t h e n t i c a t i o n ， a u t h o r i z a t i o n ，a c c o u n t i n g ，a a a ) ，是网络服务提供者和网络用户间联系的基础，只 有安全可靠的a a a 技术才能实现网络系统对特定用户的网络资源使用情况的准确 记录，才能保证双方的利益。在a a a 结构下解决m i p v 6 用户的接入认证和m i p v 6 认证的问题，有利于利用现有a a a 技术和网络设备，有利于授权、计费工作的实 施，实现m i p v 6 用户安全有效地使用网络中的各种资源。 不同于固定节点的认证，移动环境的a s p 和m s p 要对大量的漫游节点进行认 证。移动网络a a a 相比固定网络a a a 在移动性、异构性、安全性方面有很大不 同。同时移动i p v 6 的使用对儿蛆提出新的需求【2 j ，如需要通过a a a 动态配置家 北京交通大学硕士学位论文 乡地址前缀，需要通过a a a 动态授权家乡代理地址，需要引导移动节点与其家乡 代理间的安全关联【3 】( s e c u r i t ya s s o c i a t i o n ，s a ) 等。 因此移动i p v 6 的实施，移动节点的接入认证和移动i p v 6 认证是非常关键的两 个问题，而认证是授权和计费的基础，如何基于a a a 平台解决这两个问题，更好 地结合移动i p v 6 和a a a ，需要考虑多个协议之间的融合，需要一个完整的解决方 案。 本论文选题来源于国家发展和改革委员会下一代互联网示范工程2 0 0 6 年产业 化及应用试验项目“互联网和移动通信融合的业务试验 ( 发改办高技 2 0 0 6 1 2 0 7 5 号) ，该项目主要内容包括：提出适用于移动互联网的组播技术方案；提出解决移 动互联网移动路由器( 主机) 安全鉴别( 即认证) 问题的技术方案；研究建立移动互 联网新型网络管理模型，设计相应的网络管理协议；提出适应移动互联网络特点 的移动路由器硬件技术方案；研究集成移动互联网多种网络资源和服务资源的网 络融合技术方案。本论文研究移动互联网移动路由器( 主机) 安全鉴别问题，是项目 的重要内容之一。 1 2国内外研究现状 i e t f 已经发布了m i p v 6 的正式协议标准r f c 3 7 7 5 ，作为下一代移动互联网 的基础协议，提供单个节点的移动性支持。 基本移动i p v 6 只保证持续通信，不考虑下层的接入技术，现有的接入认证技 术如p p p o e 认证、8 0 2 1 x 认证、w e b 认证存在各自的问题，不适用于移动i p v 6 节点的安全接入，i e t f 目前研究网络接入认证的p a n a 4 j ( p r o t o c o lf o rc a r r y i n g a u t h e n t i c a t i o nf o r n e t w o r k a c c e s s ) 工作组，旨在制定一种i p 层的接入认证方案， 独立于网络拓扑和链路层技术。承载在p a n a 上的e a p l 5 】( e x t e n s i b l e a u t h e n t i c a t i o n p r o t o c 0 1 ) 协议，作为认证框架支持多种认证协议，关于e a p 的研究由e a p 工作 组开展。此外还有n a s r e q 工作组主要研究接入服务器。 接入认证后是复杂的移动i p v 6 注册过程，注册过程的安全保障也是移动i p v 6 可靠运营的关键。移动i p v 6 的认证主要包括移动i p v 6 节点的身份合法性及移动信 令消息的保护。r f c 3 7 7 6 6 】提出使用i p s e c 保护移动节点和家乡代理之间的移动信 令，但i p s e c 过于复杂，不适用于小型终端和无线环境。r f c 4 2 8 5 7 j 是一种轻量级 的移动i p v 6 认证协议，采用类似移动口v 4 认证扩展的方法，对移动消息进行扩展 完成m i p v 6 注册过程的认证。 r f c 4 6 4 0 t 3 j 移动i p v 6 引导过程的问题声明中，根据移动用户接入服务提供商 和m i p v 6 服务提供商不同部署场景，定义了m i p v 6 引导的分离场景和集成场景。 2 引言 若接入认证过程与m i p v 6 认证无关则为分离场景，若接入认证与m i p v 6 认证结合 进行则为集成场景。 另一方面，i e t f 在1 9 9 8 年1 2 月成立属于互联网操作与管理领域的a a a 工 作组，并着手下一代互联网a a a 协议的研究开发以及标准制定，目的是替代现有 包括r a d i u s t 8 1 1 9 1 协议在内的a a a 协议，以提供统一、开放、分布、移动的a a a 服务。1 9 9 9 年d i a m e t e r 协议作为新的a a a 协议首先经s u n 公司提出后，受到了 业界的广泛支持，最终d i a m e t e r 协议脱颖而出成为i e t f 的a a a 工作组确定的新 一代舭协议。2 0 0 3 年9 月，d i a m e t e r 基础协议正式成为i e t f 的r f c 标准 r f c 3 5 8 8 1 0 1 ，其相关的应用也已被陆续提交，其中n a s r e q 1 1 1 ，m o b i l e l p v 4 t 坦】， e a p l l 3 】和c r e d i t - c o n 仃o l 【1 4 】应用协议已于2 0 0 5 年8 月成为r f c 标准。由于移动i p v 6 相比移动i p v 4 取消了外地代理这个实体，d i a m e t e r 的m i p v 6 应用不能直接套用 m o b i l e l p v 4 应用协议【1 5 】。另外还有很多例如3 g 应用、s i p 应用、q o s 应用等诸多 问题需要探讨。d i a m e t e r 已经为3 g p p 所采纳，作为其网络中的a a a 协议。 移动i p v 6 结合a a a 使用是必然趋势，i e t f 各工作组的工作需要进一步紧密 结合，研究基于a a a 平台的移动节点接入认证及移动i p v 6 认证，以同时保障网 络运营商和合法用户的利益，具有重要的意义。 1 3论文主要工作及结构 本论文所实现的是分离场景的移动i p v 6 认证系统，主要包括节点接入网络的 认证和移动i p v 6 注册过程的认证两部分。 论文的主要工作是m i p v 6 协议、p a n a 协议、e a p 协议和a a a 协议进行了 全面地研究分析，并阅读分析了大量的源代码，在此基础上设计并实现了分离场 景的移动i p v 6 认证系统，最后对整个系统进行全面测试。所涉及的内容包括： 1 在理解p a n a 、d i a m e t e r 、e a p 协议的基础上，实现网络接入认证子系统。 2 在深入研究m i p v 6 协议工作原理、协议操作流程的基础上，对基本m i p v 6 协 议进行扩展，修改绑定更新及确认消息，增加移动节点标识选项、随机数选项 和认证选项，并对家乡代理功能进行扩展，集成钆蛆客户端功能。 3 在阅读分析f r e e r a d i u s 1 6 j 源代码的基础上，扩展r a d i u s 服务器认证功能。 4 将接入认证子系统和m i p v 6 子系统相结合，从而实现网络接入及m i p v 6 过程 的安全保障。 5 对系统进行了全面的测试。 6 对论文的主要工作进行总结，分析了论文所实现的认证系统的不足，明确了下 一步工作的方向。 3 北京交通大学硕士学位论文 论文的组织如下： 第一章阐述了本论文的研究背景和意义，列出了论文的主要工作和组织结构。 第二章介绍了m i p v 6 协议、a a a 原理、移动i p v 6 引导、接入认证和移动i p v 6 认证的基本原理。 第三章主要阐述分离场景m i p v 6 认证系统的模型，各功能实体和消息流程。 第四章详细阐述了该m i p v 6 认证系统的原型实现，包括各个模块的功能以及 实现方法。 第五章详细描述了m i p v 6 认证系统的测试结果。 第六章对论文工作进行总结，对该认证系统存在问题及下一步工作进行探讨。 4 相关技术原理 2 相关技术原理 ，- ，、 、，一厂v 一、 i 私人服务提供面i 多动l p 服务提供赢，n t e r n e t 服务提供疏 一一一一一一一一- 。 i ，囊主磊_ 一：蕊磊j i 接入服务提供商lj i 接入服务提供商2 j i + 。n a s ，p i j i ： n a s p 2 、j 、蛩_ 扩一，- - 毒矿 川腿端挝垄熏型。粤兰一一， 2 1 移动i p v 6 移动i p v 6 1 j 是i p v 6 的移动性扩展，是一个在i n t e r n e t 上基于网络层提供移动支 持功能的解决方案。移动i p v 6 在当前i n t e r n e t 基于网络前缀路由前提下，使得移 动节点在不同网络间不断移动的过程中仍能保持通信。 在m i p v 6 体系结构中，含有三种功能实体：移动节点m n ( m o b i l en o d e ) 、 家乡代理h a ( h o m e a g e n t ) 、通信节点c n ( c o r r e s p o n d e n tn o d e ) 。其中m n 为移 动终端；h a 位于家乡子网，负责记录m n 的当前位置，并将发往m n 的数据转发 北京交通人学硕士学位论文 至m n 的当前位置；c n 为与m n 通信的对端节点。 每个m n 都设置有一个固定的家乡地址h o a ，这个地址与其当前接入互联网 的位置无关。当移动节点在家乡链路时，其工作方式如同位置固定的主机，移动 i p v 6 不需要进行任何特别的操作。 当移动节点连接到外地链路后，通过常规的i p v 6 无状态或有状态的地址自动 配置机制，移动节点可能获得一个或多个转交地址。转交地址的子网前缀是移动 节点正访问的外地链路的子网前缀。只要移动节点一直连接到这个外地链路，目 的地址是这个转交地址的分组都会被转发到移动节点。 移动节点在外地网络获得转交地址后，需要向家乡代理申请注册，为移动节 点的家乡地址h o a 和转交地址c o a 在家乡代理上建立绑定，使得家乡代理能够把 只知道其家乡地址的节点发来分组转发到移动节点的当前位置，其中被绑定的转 交地址称为主转交地址。在这个过程中移动节点首先向家乡代理发送绑定更新消 息b u 申请注册，家乡代理则通过一个绑定确认消息b a 对移动节点的请求进行应 答。随后，移动节点的家乡代理使用代理邻居发现机制，在家乡链路上截取目的 地址为移动节点家乡地址的所有i p v 6 分组，并通过隧道将它们转发到移动节点的 主转交地址。在隧道中，家乡代理对数据分组使用i p v 6 封装，把移动节点的主转 交地址放在外层i p v 6 报头的目的地址字段。这就是m i p v 6 的双向隧道工作模式， 如图2 2 所示。 家乡链路 节点 外地链路 滏、 灌撬一 a r 9 _ _ _ _ m n t t o ac o a 图2 2 双向隧道工作模式 f i g 2 2b i d i r e c t i o n a lt u n n e l i n gw o r k i n gm o d e 如果c n 也支持m 口v 6 功能，m i p v 6 可选择路由优化工作模式。m n 向h a 通告c o a 后也会向c n 通告c o a ，这类c n 同样维护绑定缓存用于记录h o a 和 c o a 的对应关系。如果通信对端上存在关于移动节点c o a 和h o a 的绑定，就可 6 相关技术原理 以直接把分组送到移动节点的转交地址，避免从家乡转发而导致的三角路由。 m n 与h a 、c n 通过交互b u 、b a 等移动消息完成h o a 与c o a 的绑定。这 些移动信令消息是m i p v 6 的关键消息，m n 、h a 之间所交互消息的安全性可通过 使用i p s e c 来保i i e t 6 。 2 2a a a 原理 伴随网络的诞生，认证( a u t h e n t i c a t i o n ) 、授权( a u t h o r i z a t i o n ) 以及计费 ( a c c o u n t i n g ) 体制( a a a ) 就成为其运营的基础。网络中各类资源的使用，需要 由认证、授权和计费进行管理。 认证：用户在使用网络系统中的资源时对用户身份的确认。这一过程，通过 与用户交互获得身份信息( 如用户名一密码组合、生物特征等) ，然后提交给认证 服务器；后者对身份信息与存储在数据库里的用户信息进行核对处理，然后根据 处理结果确认用户身份是否合法。广义的认证可分为身份认证和消息认证。身份 认证是对网络实体( 用户) 的身份是否属实进行判别，主要采用口令、密码算法、 证书等认证协议，用于网络接入和使用网络服务等场合。消息认证则是对接收到 的消息来源和真实性进行认证，在各种安全协议中都要涉及，主要采用数字签名、 消息摘要等密码学方法。另外，认证并不是单独的过程，通常还伴随着安全关联 的协商和密钥的分配问题等。 授权：确定允许用户做什么。例如确定用户登录以后哪些资源可以被该用户 访问。授权不仅仅是提供“是 或“否”的答案，它还需要为用户配置服务。举 个简单的例子说明授权和认证的区别，某同学的上网帐号没有余额，他可以通过 网关的认证，是合法用户，但没有得到使用网络的授权而不能上网。 计费：统计用户使用了多少资源。例如计算用户使用了多少时间或发送和接 收了多少数据，有时计费还包含审计的功能。 接入服务和m i p v 6 服务都可使用a a a 平台，同时保障服务提供商和用户的 合法利益。需要指出的是，本文工作属于a a a 中最重要的认证部分。 2 2 1a a a 服务器通用结构及典型a a a 协议 r f c 2 9 0 3 t 1 7 】定义了一个通用的a a a 结构，“通用”意味着a a a 服务器不依赖 某一具体的认证方法。这个结构由如下几部分组成： a s m ：应用特定模块。a a a 应用指网络管理实体借助a a a 结构提供的服务 或功能。a s m 模块可以处理复杂的认证授权请求。它和通用a a a 服务器交互， 7 北京交通大学硕士学位论文 a a a 服务器知道将请求发到哪个a s m 并接收认证结果。定义a s m 这个模块，就 可以定义a a a 服务器和任意类型网络管理实体的通用接口，a a a 服务器不用知 道这种应用的细节。a s m 的一个例子就是移动i p 协议中的移动代理。 s e ：服务设备。为用户提供某种服务，例如i n t e m e t 接入服务。 策略、事件仓库：这个模块存储各个用户对应的认证授权策略和事件。 通用a a a 结构的交互如图，请求可能来自用户或者a a a 服务器，箭头1 和 5 采用a a a 协议，箭头2 、3 、4 采用其它协议。 l 客户端或l l 通用a a a 5 一 a a a j 艮务器 l 服务器i 服务器核心 k fs e 卜一a s m 陲纠 s e ：服务设备 a s m ：应用特定模块 图2 - 3a a a 服务器通用结构 f i g 2 - 3g e n e r a la a as e r v e rs t r u c t u r e r f c 2 9 0 3 是实验性r f c 而非标准，只是为a a a 协议的设计提供指导性的结 构。r a d i u s 协议使用非常广泛，但它并不是基于这个结构设计的。r a d i u s 服 务器采用c s 模式，没有详细定义对代理的支持，不适合大规模用到漫游环境中， 不能很好支持移动性。i e t f 定义的r a d i u s 并不支持移动i p 的功能，有关用户 移动性的工作都以r a d i u s 漫游应用的名义开展，i e t f 中负责这方面工作的小组 为r o a m o p s w e b ，简称r o a m m o p s ( r o a m i n go p e r a t i o n s ) 。这个小组通过在 外地网络接入服务器( n e t w o r k a c c e s ss e r v e r , n a s ) 与家乡a a a 服务器之间定义 一个p r o x y 链来支持用户漫游。p r o x y 既可作为客户端也可作为服务器，p r o x y 通 过用户标识中的服务域是否是本地域来判断用户是否漫游，并将漫游用户的请求 转发到家乡a a a 服务器。 d i a m e t e r 协议在设计时，克服了现有a a a 技术的许多不足，并保持了与广为 使用的r a d i u s 协议的兼容，而且它被设计得非常灵活，容易进行新应用的扩展， 以满足新的需求，所以它不仅被互联网采用，更被下一代移动通信网( 3 g ) 采用。 d i a m e t e r 协议包括基础协议和各种应用协议。d i a m e t e r 基础协议为像网络访 问和m o b i l ei p v 4 这样的应用提供一个a a a 的框架。它可以用于本地和漫游环境 下的a a a 。应用协议则充分利用基础协议提供的消息传送机制，规范相关节点的 功能以及其特有的消息内容，来实现应用业务的丸蛆。 8 相关技术原理 2 2 2 跨域的a a a 模型 在i n t e m e t 里，属于一个管理域( 家乡域) 的用户需要使用另外一个管理域( 外 地域) 提供的资源，这种情况被称为漫游。外地域中的代理接受用户的请求，称 该代理为接入点，一般是网络接入服务器( n a s ，由a a a 客户端和具有接入控制 功能的增强点e p 构成) 。在允许用户使用资源之前，代理通常要求用户提供可以 认证的一些证书。外地域也许能够认证这些证书，但是，多数情况下，证书是由 家乡域颁发的，并且只有家乡域能够进行认证。 图2 - 4 跨域的a a a 模型 f i g 2 - 4m u l t i p l ea a ad o m a i n sm o d e l 图2 4 描述了跨域的a a a 服务器体系结构【2 0 1 。当用户位于一个外地域并且需 要使用该域的资源时，首先需要向接入点出示相关的证书。接入点通常不能独立 完成相应的认证工作，因而会请求本地a a a 服务器( a a a f ) 来完成该认证工作。 本地a a a f 本身可能没有在本地存储足够的信息来验证用户的证书，但是，a a a f 能够和家乡a a a 服务器( a a a h ) 协同来完成验证工作。a a a f 和a a a h 如果建 立了足够的安全关联( s a ) 和存取控制，那么无需其他a a a 代理，就能够互相 协定，对用户进行认证和授权；否则需要在网络中选择一个外地域和家乡域都信 任的第三方充当两个域的a a a 代理服务器( a a a b ) 。在许多典型的案例中，授 权只依赖于用户证书的安全认证。一旦从a a a f 获得授权，并且a a a f 已经将授 权决定通知了接入点，接入点可以向用户提供相应的服务。 2 3 移动i p v 6 引导及其部署场景 移动i p v 6 引导【3 】( b o o t s t r a p p i n g ) 是指m n 获得足够的信息，通过h a 成功地 实现注册的过程。具体地说，是指m n 在不需要进行预先配置的情况下，获得h a 地址、h o a 及安全证书，与h a 进行认证并建立安全信任的过程。引导一般发生 9 北京交通人学硕士学位论文 在m n 不具备建立移动i p v 6 服务所必须的各种信息的情况下，譬如当m n 刚从包 装盒里取出、进行第一次启动或者重启信息丢失的时候。当然，在进行第一次引 导后，随后的引导过程将有部分基础信息可以使用。一般来讲，m n 每次启动、重 启信息丢失、家乡网络地址前缀变化或当有更优的h a 出现( 由于距离或负载的 变化) 时都会进行引导。 在实际的移动i p v 6 服务中，可能有各种各样的网络部署场景。家乡a s p 、服 务a s p 、家乡m s p 和服务m s p 等网络服务实体的不同组合，可以衍生出不同的 移动i p v 6 服务环境。而不同的服务环境直接影响到移动i p v 6 引导中h a 发现、 h o a 配置和h a 与m n 的认证等各方面的问题。所谓的信任关系主要存在于m n 与m s p 之间，但是作为服务接入的a s p 可以直接或间接地通过与m s p 之间的协 议共享该信任关系。不过，无论是何种网络场景，m n 与m s p 具备信任关系是前 提条件。目前最典型的信任关系核实机制是a a a ，移动i p v 6 网络中，又可以将 a a a 划分为网络接入a a a 和移动服务a a a 。网络的不同部署场景一般可以抽象 为以下四种类型。 ( 1 ) 综合a s p - 集成场景 综合a s p ( i a s p ) 网络情景如图所示。在这种情景下，a s p 和m s p 同属一个 i a s p 。m n 可以与接入网络共享安全证书，并实现引导过程。引导过程可以与接入 的认证授权过程同时进行，也可以在接入认证授权之后进行( 引导可以共享接入 认证授权过程中的状态信息) 。 图2 5 综合a s p 的情景 f i g 2 - 5i n t e g r a t e da s p n e t w o r ks c e n a r i o ( 2 ) 移动服务订购分离场景1 在一般的通信商业情景中，用户会向服务提供商订购某一具体的服务，在本 文中即为移动用户向m s p 购买移动i p v 6 j 艮务。在这种情景中，m n 与m s p 之间的信 任关系通过“带外 方式( 如电话、邮件等) 进行手工配置，例如网络接入标识 n a i 和共享密钥。m s p 负责为m n 配置一个h a ，作为其服务的家乡链路。因此，家 乡的m s p 承担了引导过程中的授权和相关控制功能。在这种情景中，当移动用户 进入其他开放网络或是由其他a s p 管理的网络时，如果没有事先建立的信任关系， 服务将出现中断。这种场景是分离场景的其中一种。 l o 相关技术原理 ( 3 ) 第三方m s p 份离场景2 在第三方m s p 情景中，移动服务通过某一实体( 即家乡m s p ，如某个企业网 络，只负责认证和授权) 进行订购，但是实际的移动服务由另一实体( 即服务m s p ) 承担，这两个实体之间具有信任关系，如图所示。m n 与这两个实体之间的连带信 任确保通信过程中的各参与方是值得信任的。这种场景是分离场景的另一种。 图2 6 第三方m s p 的情景 f i g 2 - 6t h i r d - p a r t ym s p s c e n a r i o