[发明专利]基于分离机制网络的可信域间快速认证方法

摘要

本发明涉及一种基于分离机制网络的可信域间快速认证方法，以解决分离机制网络中终端域间切换时的快速认证问题。该方法提出一种新的协议来实现终端域间切换时的快速认证，对用户身份进行认证的同时，实现终端平台的身份认证和终端平台的完整性校验。在本方法中，终端进行域间切换时不需要家乡域的认证中心再次参与，本域的认证中心通过Ticket就可对移动终端进行认证。本方法能够抵抗反重放攻击，保证平台的可信性，安全性，匿名性和用户身份的匿名性和不可跟踪性。

主权项

1.基于分离机制网络的可信域间快速认证方法，其特征在于：该方法的步骤为：(1)当MN漫游到新的域间接入交换路由器时，先确定接入交换路由器ASR₃的标识ID_ASR3，根据ID_ASR3可以知道自己将要漫游到外地域，提取用于域间切换的票据Ticket_MN，提取平台配置信息MN_TPM，然后给ASR₃发送待验证信息：TicketMN,EKMN(MNTPM,AIDMN,TMN)]]>其中MNTPM=EKACH-MN(Q,SML,Cert(AIKMNPub))⊕TMN]]>(2)ASR₃收到MN发送的验证信息之后，因为ASR₃的本地存储列表中没有相应的本地转交地址，由此知道MN是要加入该域的一个新的终端，就直接将MN发送的信息转交给AC_F；(3)AC_F收到ASR₃转发的信息，用K_ticket对Ticket_MN进行解密运算，得到：(AIDMN,H(MNTPM-T),KMN,LifetimeMN,IDACH)]]>首先验证Lifetime_MN的有效性，若Lifetime_MN无效，则认证失败；验证Lifetime_MN有效之后，用K_MN解密得到MN自己提交的平台配置信息MN_TPM、接入路由标识AID_MN以及时间戳T_MN；然后验证用K_MN解密所得AID_MN是否与Ticket_MN中得到的AID_MN一致，若二者一致则身份可信，身份认证完成，否则认证失败；最后验证平台，计算MNTPM-T*=MNTPM⊕TMN]]>AC_F对进行散列得到与Token_i中的H(MN_TPM-T)进行对比，若二者一致则平台可信，否则认证失败；至此，AC_F对MN的认证完成；(4)AC_F给认证通过的MN分配用于MN与ASR₃进行会话的主密钥PMK₀，将认证结果返回给ASR₃：E_K3(AID_MN，PMK₀，T_MN)，(5)ASR₃收到认证成功消息，ASR₃就更新自己的映射表，允许MN接入，并且将和发送给MN，MN与ASR₃在后续的过程中用PMK₀协商会话密钥；若认证没有通过，就MN返回“认证失败”信息。