基于网络代理的动态IP注册协议研究摘要摘要：在动态IP应用环境中，无线信道的开放性和节点的动态性会给网络安全带来许多新问题。动态IP注册是安全管理的前提与基础,是动态IP协议能够继续执行的关键。提出了一种基于网络代理的动态IP安全注册协议，以解决动态IP安全注册难题，提高动态网络安全性能，减少认证注册开销。关键词关键词：动态IP;网络代理；安全注册；网络认证DOIDOI：10.11907/ijdk.162655中图分类号：TP393文献标识码：A文章编号文章编号：16727800(2017)0050161030引言随着动态网络需求的不断发展，动态IP技术的安全性和可靠性变得越来越重要。动态IP技术能够保证计算机在动态过程中实现对网络的不间断访问。但动态IP极易遭到各种攻击，如果认证过程遭到攻击，将导致动态节点MN(DynamicNode)无法正常使用网络资源，解决办法是通过安全注册协议防止这些攻击。另一方面，当动态主机远离Home网络时,其注册过程会给网络增加新的负担，解决办法是引入外地代理域网络管理技术,减少动态节点远距离Home注册频度［1］。本文根据网络外地代理管理方案，提出基于代理的动态IP注用单向册协议，有效解决了动态IP安全注册难题。1符号定义AA：代理广播；RQ：注册请求；RR：注册回应；FAid：FA的网络地址(MAC和IP)作为其身份标识；TFA：动态注册过程中，不同的nFA汇聚上级FA,有可能是GFA；COAs：外地代理公告中包含的可用转交地址列表；A-B：M：实体A发送消息M给实体B,实体包括MN、FA、nFA、GFA、HA；RA：实体A产生的一次性随机数；KA-B：实体A和B之间共享的对称密钥；GK：网络外地代理域中使用的群密钥；M|N：消息域M和N的组合；EK(M)：利用密钥K对消息域M实施对称加密运算得到的密文；Hi(M)：函数Hi对消息域M实施杂凑预算得到的哈希值。2安全假设为将协议的复杂度控制在合理范围内，同时保证足够的安全性，对于注册协议的应用环境作如下安全假设［2］：①GK是安全的，由GFA77GK进行管理，即GFA可以保证GK的安全性;②GFA承认HA对MN身份的验证结果具有权威性,MN承认HA对GFA身份的验证结果具有权威性；③协议中采用的对称加密算法EK(m)是安全的，即任何人在不知道密钥K时无法获知明文m,或知道明文m和相应的密文EK(m),没有比穷举攻击更有效的办法破解密钥K；④作为询问(Challenge)的一次性随机数选自足够大的空间，攻击者无法预测。3代理方式当动态节点MN离开Home网络到达外地网络时，首先要从外地代理FA(ForeignAgent)获取一个转交地址COA(ChangeOfAddress)[3],然后向Home代理HA(HomeAgent)注册这个COAo当MN不停地改变它的网络连接点时，它可能离HA变得越来越远，这时向HA注册的过程将会极大增加外地网络和Home网络之间的流量负担，网络延迟将增大，解决方法是进行网络动态性管理，例如网络FA管理方案[12]o在网络FA管理方案中(见图1),MN首先将一个网关外地代理GFA(GateForeignAgent)的IP地址向它的HA注册为COAo这里GFA指FA的最高层，即外地代理管理域中的根代理，这个GFA保存当前所有与它注册的访问者列表。HA将GFA的IP地址记录为MN的COA,当MN在同一个访问域中改变接入点时，HA中的记录将不会改变。因此，MN并不需要一直向HA注册。除此之外，FA在区域中是以网络形式排列的，只要MN在同一访问域内，它就不需经过HA同意或重新绑定，就可从一个FA动态到另一个FA,这样极大减少了注册所带来的网络通信负担，提高了网络性能。如果每个被访问的FA都能直接认证MN,则认证过程将大大简化，认证操作也分散到每个FA上。协议分为Home注册和动态注册［4］两个部分。当MN动态到一个外地代理管理域，接收代理公告中的转交地址列表与MN存储的COA进行比较，如果GFA的COA不同，MN就知道进入了新的外地代理管理域，需要进行Home注册；否则MN认为是动态注册。在Home注册过程中，MN需要与FA、GFA和HA建立认证链，同时完成与HA的共享密钥KHAMN更新。HA不仅会对MN的动态绑定进行更新，也会借此机会更新GFA的共享密钥KGFAHAo在动态注册过程中，MN与nFA(nextForeignAgent)进行双向认证，若认证通过，MN将以新的COA获得由nFA提供的网络服务，nFA将向TFA(TargetForeignAgent)更新MN的动态绑定。这里TFA指访问的FA之...