技術領域

本發明涉及一種代理移動IPv6(pmip6)中本地移動錨點(LMA)和移動接入網關(MAG) 之間的共享密鑰分發方法，屬于網絡通信認證領域。

背景技術

Mip6協議的大多數消息都涉及到跨域通信，其性能通常很差，不能滿足實時通信的需要。 為解決這一問題，IETF?netlmm制訂了pmip6協議(見圖1)。最早的時候，IETF?netlmm工作 組采用的是一種Docomo實驗室James?Kempf的基于網絡的本地移動管理方案，該方案實質 是一種在外地網絡添加移動代理的方案，其中在外地網絡的移動代理功能有點類似mip4中的 FA功能。Pmip6的基本做法是，在外地域引入兩個功能實體：LMA和MAG。其中LMA具 有接受MN家鄉網段數據的功能，MAG則與LMA建立隧道，負責在LMA和MAG之間傳 輸MN的IP數據包。MN在進入LMA域時，獲得一個家鄉地址(可以是ipv4地址，外地網 段地址或通過DNS獲得的家鄉域地址或手動配置的地址)，之后MN在MAG之間移動時， 只需要使用這一地址收發數據包就行了。而MAG則負責將MN的數據包交給LMA或從LMA 獲得數據包并轉交給MN。LMA充當MN的HA功能，為MN接受CN的數據包，并將MN 的數據包發往CN。在Pmip6中，MN不需要參與移動管理過程，也不存在跨域通信的問題， 因此其性能很好。

pmip6技術的安全性是建立在LMA和MAG之間的共享密鑰基礎上的。目前IETF?dime 工作組正在制定Pmip的安全協議。draft-ietf-dime-pmip6草案目前已改版兩次，其基本思路是 定義一種diameter應用，來保護RFC5213中涉及的LMA和MAG之間的信道安全。另外還 提供了MN啟動時的接入認證過程(見圖2)。

但pmip的機制還存在很多問題。首先，通常LMA和MAG是外地域的網絡設備，與AAAH 并不存在直接的信任關系，要讓大量的外地域設備與AAAH交互，并讓AAAH管理大量外 地域設備，需要運營商之間的協作，而通常情況下，一個運營商是難以接受讓其它運營商來 管理自己的設備的，因為這可能存在大量安全問題；其次，讓一個AAAH與大量的外地域 MAG和LMA建立信任關系，也是不符合網絡需要的，這會導致安全威脅在網絡間擴散；第 三，這種方案同時要求LMA和MAG與AAAH交互，這種跨域通信的時延是很大的，存在 優化的余地；第四，讓大量的外地域設備直接與AAAH交互同樣會導致DDOS攻擊問題；第 五，這種安全模式打破了傳統的安全域劃分概念，讓任意域的路由器與任意域的認證服務器 直接交互，將會讓安全管理變得異常混亂，而最終不可行。

發明內容

本發明針對現有pmip技術缺少安全域概念的問題，而提出一種pmip6中LMA和MAG 之間的密鑰分發方法。

本發明的pmip6中LMA和MAG之間的密鑰分發方法，包括如下內容：

I.密鑰生成，步驟如下：

步驟1：AAAH基于EMSK生成域密鑰：

DSRK＝hash(EMSK|MNID|AAAHID|AAAFID|nonce1)；

步驟2：當LMA或MAG請求密鑰時，AAAF基于DSRK生成LMA和MAG的共享密鑰：

klm＝hash(DSRK|LMAID|MAGID|AAAFID|AAAHID|nonce2)；

II.密鑰分發：

當LMA請求共享密鑰時，AAAF將klm先發送給LMA，再發送給MAG；

當MAG請求共享密鑰時，AAAF將klm先發送給MAG，再發送給LMA；

上述內容中：AAAH為家鄉域認證服務器；AAAF為外地域認證服務器；LMA為本地移 動錨點；MAG為移動接入網關；EMSK為MN接入認證后與AAAH之間產生的共享密鑰； MN為移動節點；hash為哈希函數；MNID為MN的網絡標識；AAAHID為家鄉域認證服務 器的網絡標識；AAAFID為外地域認證服務器的網絡標識；nocne1為AAAH產生的隨機數； LMAID為LMA的網絡標識；MAGID為MAG的網絡標識；nonce2為AAAF產生的隨機數。

技術效果：