首頁(yè) > 通信工程師 > 互聯(lián)網(wǎng)技術(shù) > 互聯(lián)網(wǎng)技術(shù)考試移動(dòng)IPv6中的認(rèn)證

互聯(lián)網(wǎng)技術(shù)考試移動(dòng)IPv6中的認(rèn)證

互聯(lián)網(wǎng)技術(shù) 責(zé)任編輯：ariestopaz 2013-10-17

希賽網(wǎng)公眾號(hào) 點(diǎn)擊領(lǐng)取通信工程師備考資料

摘要：互聯(lián)網(wǎng)技術(shù)考試移動(dòng)IPv6中的認(rèn)證：移動(dòng)IPv6(MIPv6)中的認(rèn)證主要指網(wǎng)絡(luò)中各實(shí)體利用相互間的信任關(guān)系，對(duì)實(shí)體的合法性的檢查以及對(duì)移動(dòng)信令消息的保護(hù)。現(xiàn)有方案可以分為以MlPv6為中心的解決方案和MlPv6結(jié)合AAA的方案。以MIPv6為中心的解決方案實(shí)際上就是使用IPSec來(lái)認(rèn)證。本節(jié)重點(diǎn)介紹MIPv6結(jié)合AAA的方案。

　在線輔導(dǎo)　面授招生　考試大綱　指定教材　報(bào)名時(shí)間

　　5.4.3 移動(dòng)IPv6中的認(rèn)證
移動(dòng)IPv6(MIPv6)中的認(rèn)證主要指網(wǎng)絡(luò)中各實(shí)體利用相互間的信任關(guān)系，對(duì)實(shí)體的合法性的檢查以及對(duì)移動(dòng)信令消息的保護(hù)?，F(xiàn)有方案可以分為以MlPv6為中心的解決方案和MlPv6結(jié)合AAA的方案。以MIPv6為中心的解決方案實(shí)際上就是使用IPSec來(lái)認(rèn)證。本節(jié)重點(diǎn)介紹MIPv6結(jié)合AAA的方案。
MIPv6中AAA在認(rèn)證方面的主要作用是利用AAA網(wǎng)絡(luò)己有的安全關(guān)聯(lián)（SA,這里借用了IPSec中SA的概念，怛不特指IPSec中的SA。這里的SA是寬泛的概念，M兩個(gè)通倍實(shí)體經(jīng)協(xié)商建立起來(lái)的一種安全協(xié)定，決定用來(lái)保護(hù)數(shù)據(jù)包安全的算法、密鑰及密鑰生存期等)，以移動(dòng)節(jié)點(diǎn)和它的家鄉(xiāng)AAA服務(wù)器之間的SA為基礎(chǔ)，動(dòng)態(tài)建立MN-AR/HA間的移動(dòng)安全關(guān)聯(lián)（MSA),用戶的身份認(rèn)證一般通過(guò)與家鄉(xiāng)AAA服務(wù)器的SA實(shí)現(xiàn)，移動(dòng)消息認(rèn)證通過(guò)建立的MSA實(shí)現(xiàn)。MIPv6結(jié)合AAA方案中各種SA如閣5-11所示。

下面對(duì)各種SA的不同內(nèi)涵進(jìn)行闡述。
1）預(yù)配置SA(Pre-establishedSAs,PSA)
為支持MIP-AAA交互，這些SA用來(lái)保證AAA架構(gòu)的操作安全。這些SA在MIP注冊(cè)過(guò)程發(fā)生前就已經(jīng)存在。為了區(qū)別預(yù)配置SA和其他SA,圖5-11中用實(shí)線表示預(yù)配置SA。
這些PSA保證AAAF和AAAH能確保來(lái)自對(duì)方的消息的完整性，并可進(jìn)行敏感的密鑰材料的交互。
　　2）AR/HA--AAAPSA
AR-AAAF或HA-AAAH連接承栽AAA消息，這些消息可能包含分配給AR/HA的真正的密鑰。在這種情況下，AAA消息應(yīng)該由一種強(qiáng)的端到端的加密機(jī)制來(lái)保護(hù)，如IPSecESP或TLS。
移動(dòng)SA(MobilitySAs,MSA)：MSA指MN和移動(dòng)代理之間的安全關(guān)聯(lián)。這個(gè)MSA定義了MN與代理之間使用什么密鑰和何種算法保證安全的通信-這些MSA-旦建立，MN與移動(dòng)代理就能認(rèn)證移動(dòng)IP的控制消息（如注冊(cè)請(qǐng)求和應(yīng)答)。
與PSA相反，這些MSA在移動(dòng)IP注冊(cè)前是不存在的，并且逛由MIP-AAA倌令輔助生成的。這些SA的建立涉及密鑰材料的產(chǎn)生及分發(fā)。值得注意的是，這些MSA的R標(biāo)不是為MN接入Internet提供安全連接。本文中的MSA只是用來(lái)認(rèn)證移動(dòng)IP注冊(cè)請(qǐng)求并返回應(yīng)答。由于注冊(cè)消息數(shù)據(jù)S較小且交互不頻繁，MSA的密鑰被破解的可能性較小。MSA并不提供MN與移動(dòng)代理間大流里的保護(hù)。
3）AAASA
AAASA是MN與它的AAAH間預(yù)先配置的SA。盡管它就是一種特殊的PSA，因?yàn)樗荕IP-AAA信令的基礎(chǔ)，在這里我們對(duì)它單獨(dú)描述。AAASA可使移動(dòng)代理在沒(méi)有與移動(dòng)節(jié)點(diǎn)的信任關(guān)系前詢問(wèn)AAA服務(wù)器以建立MSA。若移動(dòng)節(jié)點(diǎn)與AAA服務(wù)器共享一個(gè)SA,AAA服務(wù)器就能認(rèn)證移動(dòng)節(jié)點(diǎn)，幫助移動(dòng)節(jié)點(diǎn)和代理建立倌任關(guān)系。
移動(dòng)IPv6結(jié)合AAA的認(rèn)證機(jī)制典型方案的實(shí)體間消息流程如圖5-12所示。

這種方案沒(méi)有規(guī)定MN與AAA客戶端之間使用的具體協(xié)議，所以這兩者之間的消息沒(méi)有特定的名稱。MN接入新的網(wǎng)絡(luò)時(shí)，通過(guò)AAAF與AAAH進(jìn)行交互（ARR/ARA)，實(shí)現(xiàn)認(rèn)證，認(rèn)證算法默認(rèn)采用挑戰(zhàn)/應(yīng)答機(jī)制。在這種方案中，MN在AAAH認(rèn)證通過(guò)后，AAAH可以代替MN發(fā)送BU消息到指定的HA,實(shí)現(xiàn)了認(rèn)證與家鄉(xiāng)注冊(cè)的同步，提高了切換效率。MN與HA的一次交互結(jié)束后，家鄉(xiāng)注冊(cè)隨即完成。

返回目錄：通信工程師考試移動(dòng)互聯(lián)網(wǎng)安全技術(shù)匯總

中級(jí)通信專業(yè)實(shí)務(wù)傳輸與接入教程匯總

通信專業(yè)實(shí)務(wù)考試設(shè)備與環(huán)境教程匯總

通信專業(yè)實(shí)務(wù)考試交換技術(shù)教程匯總