CN101815295A - 一种pmip6中LMA和MAG之间的密钥分发方法 - Google Patents

一种pmip6中LMA和MAG之间的密钥分发方法 Download PDF

Info

Publication number
CN101815295A
CN101815295A CN201010125627A CN201010125627A CN101815295A CN 101815295 A CN101815295 A CN 101815295A CN 201010125627 A CN201010125627 A CN 201010125627A CN 201010125627 A CN201010125627 A CN 201010125627A CN 101815295 A CN101815295 A CN 101815295A
Authority
CN
China
Prior art keywords
lma
mag
aaaf
aaah
key
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201010125627A
Other languages
English (en)
Other versions
CN101815295B (zh
Inventor
万长胜
胡爱群
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Southeast University
Original Assignee
Southeast University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Southeast University filed Critical Southeast University
Priority to CN201010125627.1A priority Critical patent/CN101815295B/zh
Publication of CN101815295A publication Critical patent/CN101815295A/zh
Application granted granted Critical
Publication of CN101815295B publication Critical patent/CN101815295B/zh
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Mobile Radio Communication Systems (AREA)

Abstract

本发明公开了一种pmip6中LMA和MAG之间的密钥分发方法,属于网络通信认证领域。本方法涉及的网络实体包括本地移动锚点LMA、移动接入网关MAG、外地域认证服务器AAAF和家乡域认证服务器AAAH,该方法是在pmip6中继续保留安全域的概念,引入AAAF功能,并让AAAF代理AAAH的功能对LMA和MAG进行密钥生成和分发工作。由于AAAF和AAAH存在信任关系,因此双方可以利用这一信任关系交互,AAAH将MN的pmip策略交给AAAF,并由AAAF将这些策略分发给LMA和MAG。

Description

一种pmip6中LMA和MAG之间的密钥分发方法
技术领域
本发明涉及一种代理移动IPv6(pmip6)中本地移动锚点(LMA)和移动接入网关(MAG)之间的共享密钥分发方法,属于网络通信认证领域。
背景技术
Mip6协议的大多数消息都涉及到跨域通信,其性能通常很差,不能满足实时通信的需要。为解决这一问题,IETF netlmm制订了pmip6协议(见图1)。最早的时候,IETF netlmm工作组采用的是一种Docomo实验室James Kempf的基于网络的本地移动管理方案,该方案实质是一种在外地网络添加移动代理的方案,其中在外地网络的移动代理功能有点类似mip4中的FA功能。Pmip6的基本做法是,在外地域引入两个功能实体:LMA和MAG。其中LMA具有接受MN家乡网段数据的功能,MAG则与LMA建立隧道,负责在LMA和MAG之间传输MN的IP数据包。MN在进入LMA域时,获得一个家乡地址(可以是ipv4地址,外地网段地址或通过DNS获得的家乡域地址或手动配置的地址),之后MN在MAG之间移动时,只需要使用这一地址收发数据包就行了。而MAG则负责将MN的数据包交给LMA或从LMA获得数据包并转交给MN。LMA充当MN的HA功能,为MN接受CN的数据包,并将MN的数据包发往CN。在Pmip6中,MN不需要参与移动管理过程,也不存在跨域通信的问题,因此其性能很好。
pmip6技术的安全性是建立在LMA和MAG之间的共享密钥基础上的。目前IETF dime工作组正在制定Pmip的安全协议。draft-ietf-dime-pmip6草案目前已改版两次,其基本思路是定义一种diameter应用,来保护RFC5213中涉及的LMA和MAG之间的信道安全。另外还提供了MN启动时的接入认证过程(见图2)。
但pmip的机制还存在很多问题。首先,通常LMA和MAG是外地域的网络设备,与AAAH并不存在直接的信任关系,要让大量的外地域设备与AAAH交互,并让AAAH管理大量外地域设备,需要运营商之间的协作,而通常情况下,一个运营商是难以接受让其它运营商来管理自己的设备的,因为这可能存在大量安全问题;其次,让一个AAAH与大量的外地域MAG和LMA建立信任关系,也是不符合网络需要的,这会导致安全威胁在网络间扩散;第三,这种方案同时要求LMA和MAG与AAAH交互,这种跨域通信的时延是很大的,存在优化的余地;第四,让大量的外地域设备直接与AAAH交互同样会导致DDOS攻击问题;第五,这种安全模式打破了传统的安全域划分概念,让任意域的路由器与任意域的认证服务器直接交互,将会让安全管理变得异常混乱,而最终不可行。
发明内容
本发明针对现有pmip技术缺少安全域概念的问题,而提出一种pmip6中LMA和MAG之间的密钥分发方法。
本发明的pmip6中LMA和MAG之间的密钥分发方法,包括如下内容:
I.密钥生成,步骤如下:
步骤1:AAAH基于EMSK生成域密钥:
DSRK=hash(EMSK|MNID|AAAHID|AAAFID|nonce1);
步骤2:当LMA或MAG请求密钥时,AAAF基于DSRK生成LMA和MAG的共享密钥:
klm=hash(DSRK|LMAID|MAGID|AAAFID|AAAHID|nonce2);
II.密钥分发:
当LMA请求共享密钥时,AAAF将klm先发送给LMA,再发送给MAG;
当MAG请求共享密钥时,AAAF将klm先发送给MAG,再发送给LMA;
上述内容中:AAAH为家乡域认证服务器;AAAF为外地域认证服务器;LMA为本地移动锚点;MAG为移动接入网关;EMSK为MN接入认证后与AAAH之间产生的共享密钥;MN为移动节点;hash为哈希函数;MNID为MN的网络标识;AAAHID为家乡域认证服务器的网络标识;AAAFID为外地域认证服务器的网络标识;nocne1为AAAH产生的随机数;LMAID为LMA的网络标识;MAGID为MAG的网络标识;nonce2为AAAF产生的随机数。
技术效果:
本发明方法在pmip6中保留了安全域的概念,引入了AAAF功能,并让AAAF代理AAAH的功能对LMA和MAG进行配置。该方法中,在AAAH向AAAF分发MN的安全材料时,不是把MN的根密钥EMSK交给AAAF(EAP规定EMSK是不能传输的),而是使用EMSK派生一个DSRK,在MN进入AAAF安全域时,AAAH将DSRK分发给AAAF,AAAF就使用得到的DSRK来管理LMA和MAG之间的隧道安全。本发明克服了pmip机制存在问题,更符合网络的需要,可行性好。
附图说明
图1为pmip6协议示意图。
图2为MN启动时的接入认证过程示意图。
图3为本发明方法的网络实体关系示意图。
具体实施方式
图1为pmip6协议示意图,相关描述参见背景技术;图2为背景技术中提及的MN启动时的接入认证过程示意图。
图3为本发明方法的网络实体关系示意图,即引入AAAF之后的pmip6密钥管理技术的实体关系。由于AAAF和AAAH存在信任关系,因此双方可以利用这一信任关系进行交互,AAAH将MN的pmip策略交给AAAF,并由AAAF将这些策略分发给LMA和MAG,具体内容如下:
I.密钥生成,步骤如下:
步骤1:AAAH基于EMSK生成域密钥:
DSRK=hash(EMSK|MNID|AAAHID|AAAFID|nonce1);
步骤2:当LMA或MAG请求密钥时,AAAF基于DSRK生成LMA和MAG的共享密钥:
klm=hash(DSRK|LMAID|MAGID|AAAFID|AAAHID|nonce2);
II.密钥分发:
当LMA请求共享密钥时,AAAF将klm先发送给LMA,再发送给MAG;
当MAG请求共享密钥时,AAAF将klm先发送给MAG,再发送给LMA;
上述内容中:AAAH为家乡域认证服务器;AAAF为外地域认证服务器;LMA为本地移动锚点;MAG为移动接入网关;EMSK为MN接入认证后与AAAH之间产生的共享密钥;MN为移动节点;hash为哈希函数;MNID为MN的网络标识;AAAHID为家乡域认证服务器的网络标识;AAAFID为外地域认证服务器的网络标识;nocne1为AAAH产生的随机数;LMAID为LMA的网络标识;MAGID为MAG的网络标识;nonce2为AAAF产生的随机数。

Claims (1)

1.一种pmip6中LMA和MAG之间的密钥分发方法,其特征在于包括如下内容:
I.密钥生成,步骤如下:
步骤1:AAAH基于EMSK生成域密钥:
DSRK=hash(EMSK|MNID|AAAHID|AAAFID|nonce1);
步骤2:当LMA或MAG请求密钥时,AAAF基于DSRK生成LMA和MAG的共享密钥:
klm=hash(DSRK|LMAID|MAGID|AAAFID|AAAHID|nonce2);
II.密钥分发:
当LMA请求共享密钥时,AAAF将klm先发送给LMA,再发送给MAG;
当MAG请求共享密钥时,AAAF将klm先发送给MAG,再发送给LMA;
上述内容中:AAAH为家乡域认证服务器;AAAF为外地域认证服务器;LMA为本地移动锚点;MAG为移动接入网关;EMSK为MN接入认证后与AAAH之间产生的共享密钥;MN为移动节点;hash为哈希函数;MNID为MN的网络标识;AAAHID为家乡域认证服务器的网络标识;AAAFID为外地域认证服务器的网络标识;nocne1为AAAH产生的随机数;LMAID为LMA的网络标识;MAGID为MAG的网络标识;nonce2为AAAF产生的随机数。
CN201010125627.1A 2010-03-16 2010-03-16 一种pmip6中LMA和MAG之间的密钥分发方法 Expired - Fee Related CN101815295B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201010125627.1A CN101815295B (zh) 2010-03-16 2010-03-16 一种pmip6中LMA和MAG之间的密钥分发方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201010125627.1A CN101815295B (zh) 2010-03-16 2010-03-16 一种pmip6中LMA和MAG之间的密钥分发方法

Publications (2)

Publication Number Publication Date
CN101815295A true CN101815295A (zh) 2010-08-25
CN101815295B CN101815295B (zh) 2013-02-27

Family

ID=42622382

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201010125627.1A Expired - Fee Related CN101815295B (zh) 2010-03-16 2010-03-16 一种pmip6中LMA和MAG之间的密钥分发方法

Country Status (1)

Country Link
CN (1) CN101815295B (zh)

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20030147537A1 (en) * 2002-02-07 2003-08-07 Dongfeng Jing Secure key distribution protocol in AAA for mobile IP
CN101355578A (zh) * 2008-09-02 2009-01-28 中国科学院计算技术研究所 基于radius和diameter协议的移动ip应用的兼容方法及系统
CN101499959A (zh) * 2008-01-31 2009-08-05 华为技术有限公司 配置密钥的方法、装置及系统
CN101627644A (zh) * 2007-03-14 2010-01-13 华为技术有限公司 用于漫游环境的基于令牌的动态密钥分配方法
CN101656961A (zh) * 2009-09-01 2010-02-24 中兴通讯股份有限公司 一种cdma2000系统移动ip业务的接入方法和系统

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20030147537A1 (en) * 2002-02-07 2003-08-07 Dongfeng Jing Secure key distribution protocol in AAA for mobile IP
CN101627644A (zh) * 2007-03-14 2010-01-13 华为技术有限公司 用于漫游环境的基于令牌的动态密钥分配方法
CN101499959A (zh) * 2008-01-31 2009-08-05 华为技术有限公司 配置密钥的方法、装置及系统
CN101355578A (zh) * 2008-09-02 2009-01-28 中国科学院计算技术研究所 基于radius和diameter协议的移动ip应用的兼容方法及系统
CN101656961A (zh) * 2009-09-01 2010-02-24 中兴通讯股份有限公司 一种cdma2000系统移动ip业务的接入方法和系统

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
《中国科技论文在线》 20090428 王磊,王莉,宋梅 基于扩展EAP 协议的异构网络切换协同认证机制 第2卷, 第18期 *
C.WAN SOUTHEAST UNIVERSITY,C.YE W.YAN Y.PAN HUAWEI TECHNOLOGIES: "《IETF》", 20 July 2007, article "The bootstrapping for Proxy mobile IPv6 draft-wan-netlmm-pmip-bootstrapping-00" *

Also Published As

Publication number Publication date
CN101815295B (zh) 2013-02-27

Similar Documents

Publication Publication Date Title
CN101371491B (zh) 提供无线网状网络的方法和装置
CN101375545B (zh) 用于提供无线网状网的方法和设备
CN101478388B (zh) 支持多级安全的移动IPSec接入认证方法
CN107493570A (zh) 一种基于身份群签的pmipv6匿名接入认证系统及方法
Leroy et al. SWISH: secure WiFi sharing
CN102026192A (zh) 一种移动回程网证书分发方法及系统
Maccari et al. Security analysis of IEEE 802.16
CN105848140B (zh) 一种5g网络中能够实现通信监管的端到端安全建立方法
Taha et al. A link-layer authentication and key agreement scheme for mobile public hotspots in NEMO based VANET
KR101289133B1 (ko) 이동 통신 시스템에서 보안키 생성 방법 및 장치
CN101800988A (zh) 一种基于网络接入设备的移动IPv6服务认证方法
Sbeiti et al. PASER: Position aware secure and efficient route discovery protocol for wireless mesh networks
CN101569160B (zh) 用于传输dhcp消息的方法
Gharavi et al. Dynamic key refreshment for smart grid mesh network security
CN101815295B (zh) 一种pmip6中LMA和MAG之间的密钥分发方法
CN101883358A (zh) 保障单收发机时间插槽式分布cr mac协议安全的方法
Yang et al. A new wireless mesh network authentication scheme based on threshold method
CN1996838A (zh) 一种多主机WiMAX系统中的AAA认证优化方法
Al Hawi et al. Secure framework for the return routability procedure in MIPv6
Liu et al. Design of security neighbor discovery protocol
Lee et al. An enhanced Trust Center based authentication in ZigBee networks
Mufti et al. Design and implementation of a secure mobile IP protocol
Chuang et al. Lmam: A lightweight mutual authentication mechanism for network mobility in vehicular networks
Lee A novel design and implementation of DoS-resistant authentication and seamless handoff scheme for enterprise WLANs
Wadhwa et al. Security holes in contrast to the new features emerging in the next generation protocol

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant
CF01 Termination of patent right due to non-payment of annual fee

Granted publication date: 20130227

Termination date: 20160316

CF01 Termination of patent right due to non-payment of annual fee