移动网络安全协议研究.pdfVIP

摘要 在设计之初仅针对有线网络，并未考虑节点和网络的移动性。如果在同一个“通 信会话中某一方IP地址发生改变，原有的IPsec安全关联(SA)将无法继续使 用，通信双方必须重新协商新的SA，这将对IP网络服务质量产生严重影响。因此 支持移动性的IPsec对于移动网络至关重要。 NEMO两大移动网络场景，针对上述安全问题，本文对IPsec提出一种改进方案， 即利用绑定机制维持双方已有的IPsecSA，避免重新协商过程。 对于MIPv6应用场景，本文主要针对两个关键环节提出IPsec改进措施：家 与HA通过“在家乡网络建立的IPsecSA保护绑定消息。接收到绑定更新消息(BU) 之后，HA必须将“匹配的SPD表项中的目的IP地址替换为MN申请注册的转 地址更新为其申请注册的CoA。在CN注册过程中，MN和CN同样通过“在家乡 网络建立的IPsecSA安全传输绑定信令；与HA注册不同的是，双方并不修改原 有的SA，而是以此为模板重构一份新的SPD记录，并将其中的“针对MN的地 址改为申请注册的CoA。 对于NEMO应用场景，本文主要针对两个关键环节提出IPsec改进措施：HA 注册和移动路由器(MR)认证。这里的HA注册主要针对MR的绑定过程，具体 步骤与MIPv6中的HA注册过程一致。MR认证则主要针对嵌套网络移动场景， 即漫游到本地网络中的外地节点或子网首先必须与MR建立IKE会话，相互认证 SA。在该SA的保护下，外地节点或者外 对方的身份，认证通过后最终建立IPsec SA平滑 地网络方可采用MIPv6场景中的HA注册和CN注册过程将各自的IPsec 切换到新的CoA。 通过采用改进的IPsec，节点移动和网络移动并不会导致“重复协商SA，而 且IP网络的服务质量也不会受到严重影响。 IKEv2SAMIPv6NEMO 关键词：IPsee Abstract Witll tothenext IP widelyacceptedsecurity regard generationprotocol(IPv6)，the architectureisIPsee．WllileIPsecfocusesonwirednetworksfromthe only very anddoesnottakenode andnetwork intoconsideration．As beginning mobility mobility theIP of from to in same addressthemobilenodes timetimethe maychange communication IPsecSAscannotbeused andbothends session，the previOtIS anymore must twonewSAs．Butitwouldhave onthe ofIP renegotiate strongimpact QoS networkcommtmication．Forthisreasonthe for seemstobe supportmobility to in fundamentalIPsecmobilenetwork．