技術領域

本發明涉及一種層次化移動IPv6中移動錨點MAP和移動節點MN之間通信安全的防護方法，屬于通信安全防護領域。

背景技術

移動IP的擴展協議主要包括：Ha的負荷分擔技術(haralibility)、層次化移動IP技術(hmip)、移動IP快速切換技術(fmip)、網絡移動性技術(nemo)和流綁定技術(flow?binding)等。

移動IP擴展協議的安全問題，實質就是如何保證移動IP信令的安全。保證移動IP信令安全的關鍵，就是如何為信令的接受方和發送方分配共享密鑰。

分配共享密鑰的關鍵則包括兩部分內容：一是如何為雙方生成密鑰，二是如何安全有效地讓雙方獲得共享密鑰。

以hmip為例，hmip除了正常的mip6信令外，增加了一些新的信令。即MN需要向MAP發送本地綁定，同時還要在鄰居發現中尋找到MAP。另外還有一些其它的信令。

在hmip中，MN要從MAP獲得hmip服務就必須與MAP建立信任關系，并使用這一信任關系來保護本地綁定信令的安全。如同現有的接入認證技術一樣，可以利用AAAH和AAAF為MN和MAP完成認證過程，并生成共享密鑰。然而如果進行完整的接入認證過程，則不但耗時，還會導致移動IP技術產生兩套龐大的密鑰體系，給移動IP的安全管理帶來困難。為解決這一問題，通常做法是：參考EAP密鑰使用說明的RFC及EMSK密鑰使用說明的RFC為hmip協議提供一種服務獲取機制，其基本思路如圖1所示。

但現有基于EAP的技術依賴于多個網絡實體，一旦某個實體被攻破，則整個安全體系將被攻破，且實體間的通信時延較大。

發明內容

本發明針對背景技術中hmip中的密鑰認證技術存在的缺陷，而提出一種在層次化移動IPv6中移動錨點和移動節點通信安全的防護方法。

本發明的保護移動錨點和移動節點通信安全的方法，包括如下內容：

I)IPv6地址生成，步驟如下：

步驟1：MN生成第一公私鑰對<K1pri，K1pub>，然后計算：

seed1＝hash(K1pri|MNID|MAPID|256)

截取seed1的前64位并與網絡前綴構成IP1；

步驟2：MAP生成第二公私鑰對<K2pri，K2pub>，然后計算：

seed2＝hash(K2pri|MNID|MAPID|256)

截取seed2的前64位并與網絡前綴構成IP2；

II)密鑰分發，步驟如下：

步驟1：MN將{K1pub，IP1}構成第一消息，并使用K1pri對該消息簽名；

步驟2：MN將簽名后的第一消息{K1pub，IP1}_K1pri發送給MAP；

步驟3：MAP將{K2pub，IP2}構成第二消息，并使用K2pri對該消息簽名；

步驟4：MAP將簽名后的第二消息{K2pub，IP2}_K2pri發送給MN；

步驟5：MN和MAP分別使用Diffie-Hellman算法計算共享密鑰k；

上述內容中：MN為移動節點；MAP為移動錨點；K1pri為MN的私鑰；K1pub為MN的公鑰；MNID為MN的網絡標識；MAPID為MAP的網絡標識；hash為哈希函數；seed1、seed2均為哈希函數輸出的可變長度的比特串；IP1為MN的IPv6地址；K2pri為MAP的私鑰；K2pub為MAP的公鑰；IP2為MAP的IPv6地址。

技術效果：

1)由于只涉及兩個網絡實體，所以來自實體被攻破的安全性問題很小；

2)由于本方法整個過程只依賴兩個實體MN和MAP，且兩者在同一個網絡域內，所以實體間的通信時延較小。

附圖說明

圖1為hmip協議通常采用的接入認證方法示意圖。

圖2為本發明的基于標識密碼綁定技術的hmip6通信安全模型示意圖。

具體實施方式

如圖1所示為背景技術中提及的hmip協議通常采用的一種接入認證方法示意圖。

本發明提出了一種新的hmip安全體系，如圖2所示，即在hmip中使用標識密碼綁定技術：MN和MAP均生成各自的公私鑰對，然后各自再利用自己的公私鑰對生成相應的IPv6地址，MN先使用自己的IPv6地址向MAP發送第一消息，該消息由MN自己簽名，MAP收到第一消息后將自己的公鑰包含于自己簽名的第二消息并發送給MN，最后MN和MAP使用Diffie-Hellman算法生成共享密鑰。