CN101808319A - 一种保护移动锚点和移动节点通信安全的方法 - Google Patents
一种保护移动锚点和移动节点通信安全的方法 Download PDFInfo
- Publication number
- CN101808319A CN101808319A CN201010125625.2A CN201010125625A CN101808319A CN 101808319 A CN101808319 A CN 101808319A CN 201010125625 A CN201010125625 A CN 201010125625A CN 101808319 A CN101808319 A CN 101808319A
- Authority
- CN
- China
- Prior art keywords
- map
- mobile
- message
- k2pri
- k1pri
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Mobile Radio Communication Systems (AREA)
Abstract
本发明公开了一种保护移动锚点和移动节点通信安全的方法,属于通信安全防护领域。本方法涉及的网络实体包括移动锚点MAP和移动节点MN,MN和MAP均生成各自的公私钥对,然后各自再利用自己的公私钥对生成相应的IPv6地址,MN先使用自己的IPv6地址向MAP发送由自己签名的消息,MAP收到消息后将自己的公钥包含于自己签名的消息发送给MN,最后MN和MAP使用Diffie-Hellman算法生成共享密钥k。本发明方法来自实体被攻破的安全性问题很小,由于两个实体在同一网络域内,因此实体间的通信时延也较小。
Description
技术领域
本发明涉及一种层次化移动IPv6中移动锚点MAP和移动节点MN之间通信安全的防护方法,属于通信安全防护领域。
背景技术
移动IP的扩展协议主要包括:Ha的负荷分担技术(haralibility)、层次化移动IP技术(hmip)、移动IP快速切换技术(fmip)、网络移动性技术(nemo)和流绑定技术(flow binding)等。
移动IP扩展协议的安全问题,实质就是如何保证移动IP信令的安全。保证移动IP信令安全的关键,就是如何为信令的接受方和发送方分配共享密钥。
分配共享密钥的关键则包括两部分内容:一是如何为双方生成密钥,二是如何安全有效地让双方获得共享密钥。
以hmip为例,hmip除了正常的mip6信令外,增加了一些新的信令。即MN需要向MAP发送本地绑定,同时还要在邻居发现中寻找到MAP。另外还有一些其它的信令。
在hmip中,MN要从MAP获得hmip服务就必须与MAP建立信任关系,并使用这一信任关系来保护本地绑定信令的安全。如同现有的接入认证技术一样,可以利用AAAH和AAAF为MN和MAP完成认证过程,并生成共享密钥。然而如果进行完整的接入认证过程,则不但耗时,还会导致移动IP技术产生两套庞大的密钥体系,给移动IP的安全管理带来困难。为解决这一问题,通常做法是:参考EAP密钥使用说明的RFC及EMSK密钥使用说明的RFC为hmip协议提供一种服务获取机制,其基本思路如图1所示。
但现有基于EAP的技术依赖于多个网络实体,一旦某个实体被攻破,则整个安全体系将被攻破,且实体间的通信时延较大。
发明内容
本发明针对背景技术中hmip中的密钥认证技术存在的缺陷,而提出一种在层次化移动IPv6中移动锚点和移动节点通信安全的防护方法。
本发明的保护移动锚点和移动节点通信安全的方法,包括如下内容:
I)IPv6地址生成,步骤如下:
步骤1:MN生成第一公私钥对<K1pri,K1pub>,然后计算:
seed1=hash(K1pri|MNID|MAPID|256)
截取seed1的前64位并与网络前缀构成IP1;
步骤2:MAP生成第二公私钥对<K2pri,K2pub>,然后计算:
seed2=hash(K2pri|MNID|MAPID|256)
截取seed2的前64位并与网络前缀构成IP2;
II)密钥分发,步骤如下:
步骤1:MN将{K1pub,IP1}构成第一消息,并使用K1pri对该消息签名;
步骤2:MN将签名后的第一消息{K1pub,IP1}K1pri发送给MAP;
步骤3:MAP将{K2pub,IP2}构成第二消息,并使用K2pri对该消息签名;
步骤4:MAP将签名后的第二消息{K2pub,IP2}K2pri发送给MN;
步骤5:MN和MAP分别使用Diffie-Hellman算法计算共享密钥k;
上述内容中:MN为移动节点;MAP为移动锚点;K1pri为MN的私钥;K1pub为MN的公钥;MNID为MN的网络标识;MAPID为MAP的网络标识;hash为哈希函数;seed1、seed2均为哈希函数输出的可变长度的比特串;IP1为MN的IPv6地址;K2pri为MAP的私钥;K2pub为MAP的公钥;IP2为MAP的IPv6地址。
技术效果:
1)由于只涉及两个网络实体,所以来自实体被攻破的安全性问题很小;
2)由于本方法整个过程只依赖两个实体MN和MAP,且两者在同一个网络域内,所以实体间的通信时延较小。
附图说明
图1为hmip协议通常采用的接入认证方法示意图。
图2为本发明的基于标识密码绑定技术的hmip6通信安全模型示意图。
具体实施方式
如图1所示为背景技术中提及的hmip协议通常采用的一种接入认证方法示意图。
本发明提出了一种新的hmip安全体系,如图2所示,即在hmip中使用标识密码绑定技术:MN和MAP均生成各自的公私钥对,然后各自再利用自己的公私钥对生成相应的IPv6地址,MN先使用自己的IPv6地址向MAP发送第一消息,该消息由MN自己签名,MAP收到第一消息后将自己的公钥包含于自己签名的第二消息并发送给MN,最后MN和MAP使用Diffie-Hellman算法生成共享密钥。
本发明的具体内容如下:
I)IPv6地址生成,步骤如下:
步骤1:MN生成第一公私钥对<K1pri,K1pub>,然后计算:
seed1=hash(K1pri|MNID|MAPID|256)
截取seed1的前64位并与网络前缀构成IP1;
步骤2:MAP生成第二公私钥对<K2pri,K2pub>,然后计算:
seed2=hash(K2pri|MNID|MAPID|256)
截取seed2的前64位并与网络前缀构成IP2;
II)密钥分发,步骤如下:
步骤1:MN将{K1pub,IP1}构成第一消息,并使用K1pri对该消息签名;
步骤2:MN将签名后的第一消息{K1pub,IP1}K1pri发送给MAP;
步骤3:MAP将{K2pub,IP2}构成第二消息,并使用K2pri对该消息签名;
步骤4:MAP将签名后的第二消息{K2pub,IP2}K2pri发送给MN;
步骤5:MN和MAP分别使用Diffie-Hellman算法计算共享密钥k;
上述内容中:MN为移动节点;MAP为移动锚点;K1pri为MN的私钥;K1pub为MN的公钥;MNID为MN的网络标识;MAPID为MAP的网络标识;hash为哈希函数;seed1、seed2均为哈希函数输出的可变长度的比特串;IP1为MN的IPv6地址;K2pri为MAP的私钥;K2pub为MAP的公钥;IP2为MAP的IPv6地址。
Claims (1)
1.一种保护移动锚点和移动节点通信安全的方法,其特征在于包括如下内容:
I)IPv6地址生成,步骤如下:
步骤1:MN生成第一公私钥对<K1pri,K1pub>,然后计算:
seed1=hash(K1pri|MNID|MAPID|256)
截取seed1的前64位并与网络前缀构成IP1;
步骤2:MAP生成第二公私钥对<K2pri,K2pub>,然后计算:
seed2=hash(K2pri|MNID|MAPID|256)
截取seed2的前64位并与网络前缀构成IP2;
II)密钥分发,步骤如下:
步骤1:MN将{K1pub,IP1}构成第一消息,并使用K1pri对该消息签名;
步骤2:MN将签名后的第一消息{K1pub,IP1}K1pri发送给MAP;
步骤3:MAP将{K2pub,IP2}构成第二消息,并使用K2pri对该消息签名;
步骤4:MAP将签名后的第二消息{K2pub,IP2}K2pri发送给MN;
步骤5:MN和MAP分别使用Diffie-Hellman算法计算共享密钥k;
上述内容中:MN为移动节点;MAP为移动锚点;K1pri为MN的私钥;K1pub为MN的公钥;MNID为MN的网络标识;MAPID为MAP的网络标识;hash为哈希函数;seed1、seed2均为哈希函数输出的可变长度的比特串;IP1为MN的IPv6地址;K2pri为MAP的私钥;K2pub为MAP的公钥;IP2为MAP的IPv6地址。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201010125625.2A CN101808319A (zh) | 2010-03-16 | 2010-03-16 | 一种保护移动锚点和移动节点通信安全的方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201010125625.2A CN101808319A (zh) | 2010-03-16 | 2010-03-16 | 一种保护移动锚点和移动节点通信安全的方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN101808319A true CN101808319A (zh) | 2010-08-18 |
Family
ID=42609892
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201010125625.2A Pending CN101808319A (zh) | 2010-03-16 | 2010-03-16 | 一种保护移动锚点和移动节点通信安全的方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN101808319A (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109074759A (zh) * | 2016-05-03 | 2018-12-21 | 塞帝通公司 | 用于Cheon抗性的静态DIFFIE-HELLMAN安全性的方法和系统 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1836417A (zh) * | 2003-06-18 | 2006-09-20 | 艾利森电话股份有限公司 | 支持移动ip第6版业务的方法、系统和设备 |
CN101022418A (zh) * | 2007-03-14 | 2007-08-22 | 华为技术有限公司 | Hmip认证方法、设备及系统 |
CN101162999A (zh) * | 2006-10-15 | 2008-04-16 | 柏建敏 | 基于身份的公钥密码系统与加密地址在网络中的认证方法 |
-
2010
- 2010-03-16 CN CN201010125625.2A patent/CN101808319A/zh active Pending
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1836417A (zh) * | 2003-06-18 | 2006-09-20 | 艾利森电话股份有限公司 | 支持移动ip第6版业务的方法、系统和设备 |
CN101162999A (zh) * | 2006-10-15 | 2008-04-16 | 柏建敏 | 基于身份的公钥密码系统与加密地址在网络中的认证方法 |
CN101022418A (zh) * | 2007-03-14 | 2007-08-22 | 华为技术有限公司 | Hmip认证方法、设备及系统 |
Non-Patent Citations (1)
Title |
---|
《IETF》 20060807 W. Haddad等 Using Cryptographically Generated Addresses (CGA) to secure HMIPv6 Protocol (HMIPv6sec),draft-haddad-mipshop-hmipv6-security-06 , * |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109074759A (zh) * | 2016-05-03 | 2018-12-21 | 塞帝通公司 | 用于Cheon抗性的静态DIFFIE-HELLMAN安全性的方法和系统 |
CN109074759B (zh) * | 2016-05-03 | 2022-04-26 | 黑莓有限公司 | 用于Cheon抗性的静态DIFFIE-HELLMAN安全性的方法和系统 |
US11424924B2 (en) | 2016-05-03 | 2022-08-23 | Blackberry Limited | Method and system for Cheon resistant static Diffie-Hellman security |
US11616648B2 (en) | 2016-05-03 | 2023-03-28 | Blackberry Limited | Method and system for Cheon resistant static Diffie-Hellman security |
US11902440B2 (en) | 2016-05-03 | 2024-02-13 | Malikie Innovations Limited | Method and system for Cheon resistant static Diffie-Hellman security |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Cao et al. | An uniform handover authentication between E-UTRAN and non-3GPP access networks | |
CN107181597B (zh) | 一种基于身份代理群签名的PMIPv6认证系统及方法 | |
CN102355663B (zh) | 基于分离机制网络的可信域间快速认证方法 | |
CN103002442A (zh) | 无线局域网密钥安全分发方法 | |
CN101980558A (zh) | 一种Ad hoc网络传输层协议上的加密认证方法 | |
CN101114957A (zh) | 无线局域网中的快速切换方法及系统 | |
CN101162999A (zh) | 基于身份的公钥密码系统与加密地址在网络中的认证方法 | |
CN101895388B (zh) | 分布式动态密钥管理方法及装置 | |
Liu et al. | Lightweight and practical node clustering authentication protocol for hierarchical wireless sensor networks | |
CN103957524A (zh) | 一种基于分级身份签名的PMIPv6网络双向接入认证系统及方法 | |
Mbarek et al. | Energy efficient security protocols for wireless sensor networks: SPINS vs TinySec | |
CN101800982B (zh) | 无线局域网切换快速认证安全性增强方法 | |
CN104883372A (zh) | 一种基于无线自组织网的防欺骗和抗攻击的数据传输方法 | |
Wang et al. | Security analysis and improvements on WLANs | |
CN106507355A (zh) | 一种基于身份代理签名的PMIPv6认证系统及方法 | |
Haddad et al. | Secure and efficient AKA scheme and uniform handover protocol for 5G network using blockchain | |
Deng et al. | A novel 3GPP SAE authentication and key agreement protocol | |
CN105472609A (zh) | 航空通信nemo网络下基于安全互联的切换认证机制 | |
Xu et al. | A cross-domain group authentication scheme for LTE-A based vehicular network | |
Gharavi et al. | Dynamic key refreshment for smart grid mesh network security | |
CN105119832A (zh) | 基于身份密码学的MIPv6安全移动管理系统及移动认证方法 | |
CN101808319A (zh) | 一种保护移动锚点和移动节点通信安全的方法 | |
Mathi et al. | A secure and decentralized registration scheme for IPv6 network-based mobility | |
Taha et al. | Formal analysis of the handover schemes in mobile WiMAX networks | |
CN100536471C (zh) | 一种家乡代理信令消息有效保护方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C12 | Rejection of a patent application after its publication | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20100818 |