[发明专利]基于分离机制网络的可信域间快速认证方法

说明书

技术领域

本发明涉及计算机安全领域，具体涉及一种基于分离机制网络的可信域间快速认证方法。

背景技术

分离机制网络中，当终端的位置发生变化，即从一个接入交换路由器切换到另一个接入交换路由器时，为了保证终端和网络的安全，需要对终端及时进行重新认证。这时的重新认证与终端接入网络时的完全认证不同，完全认证一般都有很大的时延，如果采用完全认证的方式，那么对于频繁切换的终端来讲，就会产生更大的难以忍受的时延，不适应于一些实时业务，尤其是音频、视频的实时传输。因此，分离机制网络中需要设计终端移动切换时的域间快速认证方法。

域间快速认证(Inter-Domain Fast Authentication)是对新接入点与旧接入点位于不同管理域间的认证。域间快速认证通常采用的方法有两种：一种是对域内快速认证方法的扩展，即采用预先认证技术；另外一种是采用基于票据等的快速认证技术。上述的域间快速认证方法仅实现了对终端用户身份的认证，没有实现对终端的平台身份与平台可信性的认证。而目前信息安全主要威胁源自内部，如果用户平台被病毒入侵或者恶意修改，就会给网络的安全造成了极大的隐患。

发明内容

为避免以上现有技术的不足，本发明针对分离机制网络的特点，对原有分离机制网络模型进行了扩展，并结合可信计算技术，提出一种基于分离机制网络的可信域间快速认证方法。与传统的快速认证不同，该方法基于可信计算技术，在终端进行切换的时候，不仅验证用户身份的同时，同时验证终端平台身份，能够有效地抵抗反重放攻击，保证平台的可信性，安全性和用户身份的匿名性和不可跟踪性。

本发明的技术方案如下：

(1)当移动节点MN漫游到新的域间接入交换路由器时，先确定接入交换路由器ASR₃的标识ID_ASR3，根据ID_ASR3可以知道自己将要漫游到外地域，提取用于域间切换的票据Ticket_MN，提取平台配置信息MN_TPM，然后给ASR₃发送待验证信息：

TicketMN,EKMN(MNTPM,AIDMN,TMN)]]>

其中TicketMN=EKticket(AIDMN,H(MNTPM-T),KMN,LifetimeMN,IDACH)]]>