[发明专利]一种基于身份代理群签名的PMIPv6认证系统及方法

说明书

本发明提供一种基于身份代理群签名的PMIPv6认证系统及方法，第三方信任根TR给本地移动锚LMA颁发授权凭证和私钥，第三方信任根TR给移动节点MN颁发初始接入认证的私钥和证书。本地移动锚LMA作为群主构成基于身份代理群；群成员包括与其相连的移动接入网关MAG；本地移动锚LMA给群内的移动接入网关MAG和与其相连的合法的移动节点MN颁发群签名私钥；移动节点MN初次接入PMIPv6网络的移动接入网关MAG时初始双向接入认证；移动节点MN在同一个本地移动锚LMA下不同的移动接入网关MAG之间切换时群内切换接入认证；移动节点MN切换到不同本地移动锚LMA下的移动接入网关MAG时群间切换接入认证。将基于身份代理群签名方案用在PMIPv6协议的移动节点移动管理通信中，保护了移动节点隐私。

技术领域

本发明属于网络安全技术领域，特别涉及一种基于身份代理群签名的PMIPv6认证系统及方法。

背景技术

随着移动网络技术的发展和移动设备的增多，人们对移动设备接入网络的需求越发迫切。为了让移动节点能够高效安全地接入到移动网络中，2004年IETF提出了移动IPv6(MIPv6)移动管理协议，使得移动节点在移动过程中能够保持服务不中断。但是部署MIPv6协议必须改变移动节点协议栈，该协议不适合内存小且计算能力低的移动节点。MIPv6协议也存在一些问题比如说切换延迟高，数据包的丢失多以及信令开销大等。为此，IETF提出了代理移动IPv6协议(proxy mobile IPv6，PMIPv6)，一个基于网络的区域性移动管理协议，其最大的特点是简化了网络端的控制减少了移动节点参与移动性管理的过程，移动管理全部由网络实体代替移动用户完成。

PMIPv6网络中主要包括两个实体：本地移动锚(Local Mobility Anchor，LMA)和移动接入网关(Mobility Access Gateway，MAG)。其中LMA作为移动节点家乡网络前缀的拓扑锚点，负责管理移动节点的绑定状态。MAG的作用是检测移动节点的移动状态，并且代替移动节点进行移动性管理。PMIPv6简化了网络端的控制并减少了用户参与移动性管理的过程，移动管理全部由MAG代替移动节点MN(mobile node)完成。相对于以往的协议，PMIPv6能够减少切换延迟和信令开销。虽然PMIPv6协议的性能在众多的移动管理协议中脱颖而出。但是PMIPv6网络面临着以下安全问题的挑战：

(1)身份认证：移动节点进入到PMIPv6网络时，要进行和网络进行相互认证。

(2)隐私保护：当移动节点进行切换的时候，如果自己的身份标识泄露，恶意节点可以节点的身份进行跟踪，可能会损害移动用户的利益。

(3)攻击模型：重放攻击、窃听攻击、篡改攻击会话劫持攻击等。

其中的认证和隐私保护越来越受到关注，解决PMIPv6网络中认证和隐私保护问题成为热点。然而，一些国内外的学者主要考虑研究的是节点认证的问题，均做出了一定的贡献和成果。但是一些方案提高了方案的安全性却忽略了认证的效率，或者提高了效率却忽略了用户的隐私保护问题，不能满足PMIPv6安全高效接入认证的需求。

发明内容

针对现有技术存在的不足，本发明提供一种基于身份代理群签名的PMIPv6认证系统及方法。

本发明的技术方案如下：

一种基于身份代理群签名的PMIPv6认证系统，包括第三方信任根TR、本地移动锚LMA及其连接的移动接入网关MAG、移动节点MN；第三方信任根TR通过网络与本地移动锚LMA连接并产生公共参数，移动接入网关MAG与本地移动锚LMA相连。

所述第三方信任根TR给本地移动锚LMA颁发授权凭证和私钥，第三方信任根TR给移动节点MN颁发初始接入认证的私钥和证书。