随着动态网络需求的不断发展，动态IP技术的安全性和可靠性变得越来越重要。动态IP技术能够保证计算机在动态过程中实现对网络的不间断访问。但动态IP极易遭到各种攻击，如果认证过程遭到攻击，将导致动态节点MN(Dynamic Node）无法正常使用网络资源，解决办法是通过安全注册协议防止这些攻击。另一方面，当动态主机远离Home网络时，其注册过程会给网络增加新的负担，解决办法是引人外地代理域网络管理技术，减少动态节点远距离Home注册频度田。本文根据网络外地代理管理方案，提出基于代理的动态IP注册协议，有效解决了动态IP安全注册难题

　　I符号定义

　　AA：代理广播；RQ：注册请求；RR：注册回应；FAid：

　　文章编号：1672一7800（2017）005一0161一03

　　FA的网络地址（MAC和IP）作为其身份标识；TFA：动态注册过程中，不同的nFA汇聚上级FA，有可能是GFA;

　　COAS：外地代理公告中包含的可用转交地址列表；A乛B：M：实体A发送消息M给实体B，实体包括MN、FA、nFA、GFA、HA；RA：实体A产生的一次性随机数；

　　KA—B：实体A和B之间共享的对称密钥；GK：网络外地代理域中使用的群密钥；

　　M《N：消息域M和N的组合；EK（M)：利用密钥K对消息域M实施对称加密运算得到的密文；Hi（M）：用单向函数Hi对消息域M实施杂凑预算得到的哈希值。

　　2安全假设

　　更均衡。在4种方案中，多信道Buffer感知机会路由2433一2，137．

　　（SBA一OR）具有最小的端到端延时和最大的吞吐量。SPACHOS P，CHAT'ZIMISIOS P，HATZINAK()S D.Energy an ware opportunistic r〔)uting in wireless sensor networks[C;l.IEEE参考文献：Globecom Workshops，2012：405一409．

　　[5」SONG L,HATZINAK()S D.Cognitive networking of large scale o」AKYILDIZ I F,LEE W Y,VURAN M C,et al.Next generation/wireless systems下」一]．International」(jurnal of Communication dynamic spectrum access/cognitive radio wireless networks：a Networks&l)istributed Sys跹ms，2009，2（2）：45Z一475．vey「Jl.Computer N曰wor一ks，2006，5003）：2127一2巧9·L61]LIN S C,CHEN K C.Spectrum aware opportunistic routing in cog.

　　HSU C 3，LIU H]，SEAH W K().Survey paper：opporlunistic nitive radio networksÜC?J.In IEEE 2010 Global Telecommunication routing a review and the challenges aheadCJl.Computer Networks,Conference，2010彐一6．

　　20凵，5 5 0 5）：3 5 9 2 3 603·[7」OMNET丨《CBE/OLJ.http://www.omnetpp.org.

　　L3」SPACH()S P,CHATZIMISI()S P,HATZINAK()S D.Cognitive（责任编辑：孙娟）networking With OPP(〕rlLlIliStiC routing in wireless sensor nelW()rkS

　　[C]·IEEE International Conference on Communications，2013：

　　作者简介：赵义口9 7 9一），男，湖北武汉人，碩士，湖北幼儿师范高等专科学校基础课部讲师，研究方向为现代教育技术、计算机网络。

　　为将协议的复杂度控制在合理范围内，同时保证足够的安全性，对于注册协议的应用环境作如下安全假设·．GK是安全的，由GFA对GK进行管理，即GFA可以保证GK的安全性；(2)GFA承认HA对MN身份的验证结果其有权威性，MN承认HA对GFA身份的验证结果具

　　有权威性；O协议中采用的对称加密算法EK（m)是安全的，即任何人在不知道密钥K时无法获知明文m，或知道明文m和相应的密文EK（m)，没有比穷举攻击更有效的办法破解密钥K； 作为询问（C扁Ilenge）的一次性随机数选自足够大的空间，攻击者无法预测。

　　3代理方式

　　当动态节点MN离开Home网络到达外地网络时，首先要从外地代理FA(Foreign Agent）获取一个转交地址COA（Change Of Address）湖，然后向Horne代理HA（Home Agent)注册这八COA。当MN不停地改变它的网络连接点时，它可能离HA变得越来越远，这时向HA注册的过程将会极大增加外地网络和Home网络之间的流量负担，网络延迟将增大，解决方法是进行网络动态性管理，例如网络FA管理方案。在网络FA管理方案中（见图1），MN首先将一个网关外地代理GFA（Gate eign Agent)的IP地址向它的HA注册为COA。这里GPA指FA的最高层，即外地代理管理域中的根代理，这个GFA保存当前所有与它注册的访问者列表。HA将GFA的IP地址记录为MN的COA，当MN在同一个访问域中改变接人点时，HA中的记录将不会改变。因此，MN并不需要一直向HA注册。除此之外，FA在区域中是以网络形式排列的，只要MN在同一访问域内，它就不需经过HA同意或重新绑定，就可从一个FA动态到另一个FA，这样极大减少了注册所带来的网络通信负担，提高了网络性能。如果每个被访问的FA都能直接认证MN,则认证过程将大大简化，认证操作也分散到每个FA上。

　　图1网络FA结构

　　协议分为Home注册和动态注册两个部分。当MN动态到一个外地代理管理域，接收代理公告中的转交地址列表与MN存储的COA进行比较，如果GFA的COA不同，MN就知道进人了新的外地代理管理域，需要进行Home注册；否则MN认为是动态注册。在Home注册过程中，MN需要与FA、GFA和HA建立认证链，同时完成与H A的共享密钥K卜]A-MN更新。H A不仅会对MN的动态绑定进行更新，也会借此机会更新GFA的共享密钥KGFA-HAO在动态注册过程中，MN与nFA(next Foreign Agent)进行双向认证，若认证通过，MN将以新的COA获得由nFA提供的网络服务，nFA将向TFA(Target Foreign Agent)更新MN的动态绑定。这里TFA指访问的FA之间的第一个相同祖先。否则,MN和nFA都丢弃本次动态注朋．过程中产生的消息，并重新进行动态注册

　　4 Home注册

　　Home注册过程如图2所示。其中每一步传输的消息格式与意义如下：

　　（1）FA乛MN:AA,COAs,RFA0

　　（2）MN乛FA：RQ，MAC，C()A，IP，RMN，EK H AMN（MAC，IP，RMN)，REA。MN收到FA的代理公告后，选定转交地址COA，然后向FA发出一个注册请求以及认证消息。注册请求包括MN的MAC、永久HomelP地址、RMN和REA；MN的认证消息包括MN的MAC、IP，以及一次性随机数RMN，用MN和H A的共享密钥KY-IA-MN进行加密。

　　（3）FA乛GFA：RQ,MAC,IP,RMN,EKHA-MN

　　（MAC，IP，RMN），RFA，EGK（FAid，RFA）。FA收到MN在第（2）部分中发送的消息后，插人用GK加密自己的身份标识的FAid和REA消息域，然后发送给GFA。

　　（4）GFA乛H A：RQ，RMN，EK H A-M N（MAC，IP，RMN),RGFA,EKGFA-HA(RGFA)。GFA收到FA在第（3）部分中发送的消息后，检查MN是否已经注册。若是，则表明此消息是动态注册的本地绑定更新（GFA恰好为TEA)，否则，GFA将通过MN的HA对MN进行认证。此时，GFA去掉消息中的MAC和IP，加人RGFA和与HA共享密钥KGFANIA加密的RGFA发送给HAO

　　（5）HA乛GPA:RIR,EKGFA-HA(RHA，EKHAMN(RHA))，EK'HA-MN(RMN)，EK'GFA-HA(RG(A)。HA收到GFA在第（4）部分中发送的消息后，首先对MN进行认证。HA利用密钥RHA-MN解密ERHAMN（MAC，IP，RMN），检查MAC、IP和R M N的正确性。如果都正确，则HA认为MN是合法用户。HA接下来对(GPA进行认证，利用密钥KGFA-IIA解密EKGFA-HA（RGFA)。若RGFA一致，则HA认为GFA是合法的。若对M N和GPA的认证有一个不成功，H A都将拒绝此次注册清求。否则，IIA接受MN注册清求。HA会产生

　　．个．次性随机数RHA，并分别进行下列汁算：

　　K'IIA-MN=HI(KHA-MN,HI(RMNI IRHA))K'GFA-HA=HI(KGFA-HA,HI(RGFAI IRHA))

　　（2）这里，K'HA-MN和K'GFA-HA分别是HA-MN、HA-GFA之间新的密钥，此时HA还不会改变相应的安全关联，因为还无法确定MN和GFA是否能正确获得各自的新密钥。然后HA向GFA发送注册回应消息，并且插人3个加密的信息域国。

　　（6）GFA乛FA：RR，ER H A（CR），Z，EK H A一MN(RHA)，EK'HA-MN(RMN)O GFA收到HA在第（5）部分中发送的消息后，首先对HA实施认证。GFA利用密钥KGFA-HA解密EKGFAMA（RHA，EKHA-MN（RHA））获得RHA，计算如下：

　　K"GFA-HA=HI(KGFA-HA,HI(RGFAI IRHA))

　　（3）用K"GFA-HA解密EK/GFAMA(RGFA)，若结果不为RGFA,则GFA认为HA未通过认证，从而拒绝MN的注册请求，否则认为HA通过认证，同时接受MN的认证，为MN建立访问人口，并按如下方法为MN计算证书：

　　CR=H 2（GK，H2（MAC，(P)）（4）然后GFA用RHA将CR加密为ERHA(CR),并按如下方法计算Z：Z=H3(GK,MAC,IP,RFA)最后，GFA将RR、ERHA(CR)、Z、EKHA-MN(RHA)和EK'HA-MN(RMN)—起发送给FAO

　　（7）FA乛MN：RR，ERHA（CR），EK HA一MN（RHA)，EK'HA一MN（RMN）。FA收到GFA在第（6）部分中发送的消息后，首先计算H3（GK，MAC，IP，REA)，若结果与Z相等，FA就认为GFA接受了MN的合法性，因而FA承认MN是合法的，并将注册回应消息及ERHA(CR)、EKHA—MN(RHA)和EK'HA—MN

　　（RMN）一起发送给MN0

　　（8）MN一HA：密钥更新确认，EK"HA一MN（RH A—1）。MN收到FA在第（7）部分中发送的消息，首先对HA进行认证。MN利用密钥EKHA一MN解密EKHA—MN(RHA),获得RHA，计算如下：

　　K"HAAv4N=Hl(KHA—MN,Hl(RMNI iRHA))

　　（6）接着用K"HA—MN解密EK'HA—MN(RMN),若结果不为RMN，则MN认为HA未通过认证，从而丢弃此次注册，否则，MN认为RR是合法的。然后，M N解密获得CR，MN在GFA所在的管理域中用CR完成动态注册。最后MN必须向HA确认已经获得了新的密钥，向HA发送密钥更新确认消息和EK"HA一MN(RHA)O注意此时MN已经能够通过FA接人网络，因此可以直接向HA发送消息。HA收到消息后，更新与MN的安全关联。

　　（9）GFA一H A：密钥更新确认，EK"(G FA一H A

　　（R H A+1）。此操作的目的同样是通知H A对G FA一H A之间的安全关联进行更新。事实上这一步操作可以在第（5）部分完成后任意时刻进行，从图2也可看出这一点。为了叙述方便，这里作为第（9）步。

　　5动态注册

　　注册过程如下：

　　（I)nFA乛MN：AA，COAs，RnFA。

　　（2）MN乛nFA：RQ，0，MAC，IP，COA，RMN。收到nFA的代理公告后，MN首先判断是否已经动态到一个新的FA域，若是，则MN计算认证因子：

　　。=H4(RnFA，CR，COA,MAC,RMN)然后MN将注册请求、。、MAC、IP、COA和RMN—起发送给nFAO

　　（3）nFA—MN：H4(RMN,CR',COA)0收到MN在（2）中发送的消息后，nFA首先对MN进行认证。nFA计算如下：

　　CIR'一H2(GK,H2(MAC,IP))（8）是一H4(RnFA,CR',COA,MAC,RMN)（9）将计算值与收到的。相比较，若不等，则nFA拒绝MN的注册请求，否则，nFA接受MN的注册请求。立即向TFA发送MN的动态绑定更新消息，并向MN发送H4(RMN,CR/,COA)。

　　（4）MN收到nFA在（3）中发送的消息后，在本地计算1--14（RMN，CR，COA)，若与收到消息相吻合，则MN认为注册回应消息可信，否则MN放弃本次动态注册。

　　6结语

　　本文设计的注册协议结合网络外地代理管理方案特点，引人动态注册，提高了注册效率。协议实现了两个重要密钥的动态更新，提高了协议安全性，同时为解决密钥管理问题提供了解决办法。协议避免使用复杂的算法实现认证和密钥更新，适用于动态节点计算能力受限场合，使协议具有良好的适用性。本协议有效解决了动态(1)安全注册难题，提高了动态性网络安全性能，对于动态IP协议分析和设计有一定的参考价值。