[发明专利]一种pmip6中LMA和MAG之间的密钥分发方法

说明书

技术领域

本发明涉及一种代理移动IPv6(pmip6)中本地移动锚点(LMA)和移动接入网关(MAG) 之间的共享密钥分发方法，属于网络通信认证领域。

背景技术

Mip6协议的大多数消息都涉及到跨域通信，其性能通常很差，不能满足实时通信的需要。 为解决这一问题，IETF netlmm制订了pmip6协议(见图1)。最早的时候，IETF netlmm工作 组采用的是一种Docomo实验室James Kempf的基于网络的本地移动管理方案，该方案实质 是一种在外地网络添加移动代理的方案，其中在外地网络的移动代理功能有点类似mip4中的 FA功能。Pmip6的基本做法是，在外地域引入两个功能实体：LMA和MAG。其中LMA具 有接受MN家乡网段数据的功能，MAG则与LMA建立隧道，负责在LMA和MAG之间传 输MN的IP数据包。MN在进入LMA域时，获得一个家乡地址(可以是ipv4地址，外地网 段地址或通过DNS获得的家乡域地址或手动配置的地址)，之后MN在MAG之间移动时， 只需要使用这一地址收发数据包就行了。而MAG则负责将MN的数据包交给LMA或从LMA 获得数据包并转交给MN。LMA充当MN的HA功能，为MN接受CN的数据包，并将MN 的数据包发往CN。在Pmip6中，MN不需要参与移动管理过程，也不存在跨域通信的问题， 因此其性能很好。

pmip6技术的安全性是建立在LMA和MAG之间的共享密钥基础上的。目前IETF dime 工作组正在制定Pmip的安全协议。draft-ietf-dime-pmip6草案目前已改版两次，其基本思路是 定义一种diameter应用，来保护RFC5213中涉及的LMA和MAG之间的信道安全。另外还 提供了MN启动时的接入认证过程(见图2)。

但pmip的机制还存在很多问题。首先，通常LMA和MAG是外地域的网络设备，与AAAH 并不存在直接的信任关系，要让大量的外地域设备与AAAH交互，并让AAAH管理大量外 地域设备，需要运营商之间的协作，而通常情况下，一个运营商是难以接受让其它运营商来 管理自己的设备的，因为这可能存在大量安全问题；其次，让一个AAAH与大量的外地域 MAG和LMA建立信任关系，也是不符合网络需要的，这会导致安全威胁在网络间扩散；第 三，这种方案同时要求LMA和MAG与AAAH交互，这种跨域通信的时延是很大的，存在 优化的余地；第四，让大量的外地域设备直接与AAAH交互同样会导致DDOS攻击问题；第 五，这种安全模式打破了传统的安全域划分概念，让任意域的路由器与任意域的认证服务器 直接交互，将会让安全管理变得异常混乱，而最终不可行。

发明内容

本发明针对现有pmip技术缺少安全域概念的问题，而提出一种pmip6中LMA和MAG 之间的密钥分发方法。

本发明的pmip6中LMA和MAG之间的密钥分发方法，包括如下内容：

I.密钥生成，步骤如下：

步骤1：AAAH基于EMSK生成域密钥：

DSRK＝hash(EMSK|MNID|AAAHID|AAAFID|nonce1)；

步骤2：当LMA或MAG请求密钥时，AAAF基于DSRK生成LMA和MAG的共享密钥：

klm＝hash(DSRK|LMAID|MAGID|AAAFID|AAAHID|nonce2)；

II.密钥分发：

当LMA请求共享密钥时，AAAF将klm先发送给LMA，再发送给MAG；

当MAG请求共享密钥时，AAAF将klm先发送给MAG，再发送给LMA；

上述内容中：AAAH为家乡域认证服务器；AAAF为外地域认证服务器；LMA为本地移 动锚点；MAG为移动接入网关；EMSK为MN接入认证后与AAAH之间产生的共享密钥； MN为移动节点；hash为哈希函数；MNID为MN的网络标识；AAAHID为家乡域认证服务 器的网络标识；AAAFID为外地域认证服务器的网络标识；nocne1为AAAH产生的随机数； LMAID为LMA的网络标识；MAGID为MAG的网络标识；nonce2为AAAF产生的随机数。

技术效果：