[发明专利]一种基于身份代理签名的PMIPv6认证系统及方法

摘要

本发明提供一种基于身份代理签名的PMIPv6认证系统及方法，该系统包括：第三方信任中心STR；本地移动锚LMA；移动接入网关MAG。该方法包括STR生成并发布公共参数；当前网络中的所有实体向STR注册并获取实体自身的公私钥对；监测各PMIPv6域内移动节点MN所处的状态：如果MN处于初始状态则执行移动节点MN首次接入PMIPv6域的初始认证；如果MN处于同一PMIPv6域内的移动状态，则执行PMIPv6域内切换认证；如果MN处于不同PMIPv6域内的移动状态，则执行PMIPv6域间切换认证。本发明将基于身份的代理签名方案应用在PMIPv6协议的移动管理过程中，基于本地认证保证双方在不考虑对方身份的情况下独立地完成解密或签名验证，减少STR与LMA的压力，减少MN的等待时间，能够对抗多重攻击。

主权项

1.一种基于身份代理签名的PMIPv6认证的方法，采用一种基于身份代理签名的PMIPv6认证系统，包括：第三方信任中心STR：生成并发布公共参数、对所在PMIPv6域中实体身份进行审查，颁发私钥及证书，并维护其所在网络中的所有诚实实体的公钥，将其签名权授权给代理签名者；本地移动锚LMA：分别与第三方信任中心STR、移动接入网关MAG连接，建立双向隧道来转发数据包，同时作为第三方信任中心STR的代理签名者，为移动接入网关MAG提供注册和认证服务；移动接入网关MAG：监测移动节点MN的移动状态，同时利用本地移动锚LMA颁发的证书与移动节点MN之间进行相互认证，保证本地移动锚LMA与移动节点MN之间进行安全通信，其特征在于，所述方法包括：步骤1：第三方信任中心STR生成并发布公共参数；步骤2：当前网络中的所有实体向第三方信任中心STR注册并获取实体自身的公私钥对；第三方信任中心STR将移动节点的ID_MN及有效期进行签名后作为证书颁发给移动节点MN，本地移动锚LMA从第三方信任中心STR处获得代理签名权，本地移动锚LMA将代理签名的授权证书、第三方信任中心STR的ID_STR、本地移动锚LMA自身的ID_LMA、移动接入网关MAG的ID_MAG进行签名后作为证书颁发给对应的MAG；步骤3：监测各PMIPv6域内移动节点MN所处的状态：如果移动节点MN处于初始状态即移动节点MN首次接入PMIPv6域时的状态，则执行步骤4；如果移动节点MN处于同一PMIPv6域内的移动状态，则执行步骤5；如果移动节点MN处于不同PMIPv6域内的移动状态，则执行步骤6；步骤4：执行移动节点MN首次接入PMIPv6域的初始认证；步骤5：当前正在连接的移动接入网关MAG将自己与移动节点MN之间的共享密钥发送给同一PMIPv6域内待接入的移动接入网关MAG，执行PMIPv6域内切换认证；步骤6：当前正在连接的PMIPv6域内的本地移动锚LMA将自己与移动节点MN之间的共享密钥发送给另一待接入PMIPv6域内的本地移动锚LMA，执行PMIPv6域间切换认证。