CN101815295A - 一种pmip6中LMA和MAG之间的密钥分发方法 - Google Patents
一种pmip6中LMA和MAG之间的密钥分发方法 Download PDFInfo
- Publication number
- CN101815295A CN101815295A CN201010125627A CN201010125627A CN101815295A CN 101815295 A CN101815295 A CN 101815295A CN 201010125627 A CN201010125627 A CN 201010125627A CN 201010125627 A CN201010125627 A CN 201010125627A CN 101815295 A CN101815295 A CN 101815295A
- Authority
- CN
- China
- Prior art keywords
- lma
- mag
- aaaf
- aaah
- key
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Mobile Radio Communication Systems (AREA)
Abstract
本发明公开了一种pmip6中LMA和MAG之间的密钥分发方法,属于网络通信认证领域。本方法涉及的网络实体包括本地移动锚点LMA、移动接入网关MAG、外地域认证服务器AAAF和家乡域认证服务器AAAH,该方法是在pmip6中继续保留安全域的概念,引入AAAF功能,并让AAAF代理AAAH的功能对LMA和MAG进行密钥生成和分发工作。由于AAAF和AAAH存在信任关系,因此双方可以利用这一信任关系交互,AAAH将MN的pmip策略交给AAAF,并由AAAF将这些策略分发给LMA和MAG。
Description
技术领域
本发明涉及一种代理移动IPv6(pmip6)中本地移动锚点(LMA)和移动接入网关(MAG)之间的共享密钥分发方法,属于网络通信认证领域。
背景技术
Mip6协议的大多数消息都涉及到跨域通信,其性能通常很差,不能满足实时通信的需要。为解决这一问题,IETF netlmm制订了pmip6协议(见图1)。最早的时候,IETF netlmm工作组采用的是一种Docomo实验室James Kempf的基于网络的本地移动管理方案,该方案实质是一种在外地网络添加移动代理的方案,其中在外地网络的移动代理功能有点类似mip4中的FA功能。Pmip6的基本做法是,在外地域引入两个功能实体:LMA和MAG。其中LMA具有接受MN家乡网段数据的功能,MAG则与LMA建立隧道,负责在LMA和MAG之间传输MN的IP数据包。MN在进入LMA域时,获得一个家乡地址(可以是ipv4地址,外地网段地址或通过DNS获得的家乡域地址或手动配置的地址),之后MN在MAG之间移动时,只需要使用这一地址收发数据包就行了。而MAG则负责将MN的数据包交给LMA或从LMA获得数据包并转交给MN。LMA充当MN的HA功能,为MN接受CN的数据包,并将MN的数据包发往CN。在Pmip6中,MN不需要参与移动管理过程,也不存在跨域通信的问题,因此其性能很好。
pmip6技术的安全性是建立在LMA和MAG之间的共享密钥基础上的。目前IETF dime工作组正在制定Pmip的安全协议。draft-ietf-dime-pmip6草案目前已改版两次,其基本思路是定义一种diameter应用,来保护RFC5213中涉及的LMA和MAG之间的信道安全。另外还提供了MN启动时的接入认证过程(见图2)。
但pmip的机制还存在很多问题。首先,通常LMA和MAG是外地域的网络设备,与AAAH并不存在直接的信任关系,要让大量的外地域设备与AAAH交互,并让AAAH管理大量外地域设备,需要运营商之间的协作,而通常情况下,一个运营商是难以接受让其它运营商来管理自己的设备的,因为这可能存在大量安全问题;其次,让一个AAAH与大量的外地域MAG和LMA建立信任关系,也是不符合网络需要的,这会导致安全威胁在网络间扩散;第三,这种方案同时要求LMA和MAG与AAAH交互,这种跨域通信的时延是很大的,存在优化的余地;第四,让大量的外地域设备直接与AAAH交互同样会导致DDOS攻击问题;第五,这种安全模式打破了传统的安全域划分概念,让任意域的路由器与任意域的认证服务器直接交互,将会让安全管理变得异常混乱,而最终不可行。
发明内容
本发明针对现有pmip技术缺少安全域概念的问题,而提出一种pmip6中LMA和MAG之间的密钥分发方法。
本发明的pmip6中LMA和MAG之间的密钥分发方法,包括如下内容:
I.密钥生成,步骤如下:
步骤1:AAAH基于EMSK生成域密钥:
DSRK=hash(EMSK|MNID|AAAHID|AAAFID|nonce1);
步骤2:当LMA或MAG请求密钥时,AAAF基于DSRK生成LMA和MAG的共享密钥:
klm=hash(DSRK|LMAID|MAGID|AAAFID|AAAHID|nonce2);
II.密钥分发:
当LMA请求共享密钥时,AAAF将klm先发送给LMA,再发送给MAG;
当MAG请求共享密钥时,AAAF将klm先发送给MAG,再发送给LMA;
上述内容中:AAAH为家乡域认证服务器;AAAF为外地域认证服务器;LMA为本地移动锚点;MAG为移动接入网关;EMSK为MN接入认证后与AAAH之间产生的共享密钥;MN为移动节点;hash为哈希函数;MNID为MN的网络标识;AAAHID为家乡域认证服务器的网络标识;AAAFID为外地域认证服务器的网络标识;nocne1为AAAH产生的随机数;LMAID为LMA的网络标识;MAGID为MAG的网络标识;nonce2为AAAF产生的随机数。
技术效果:
本发明方法在pmip6中保留了安全域的概念,引入了AAAF功能,并让AAAF代理AAAH的功能对LMA和MAG进行配置。该方法中,在AAAH向AAAF分发MN的安全材料时,不是把MN的根密钥EMSK交给AAAF(EAP规定EMSK是不能传输的),而是使用EMSK派生一个DSRK,在MN进入AAAF安全域时,AAAH将DSRK分发给AAAF,AAAF就使用得到的DSRK来管理LMA和MAG之间的隧道安全。本发明克服了pmip机制存在问题,更符合网络的需要,可行性好。
附图说明
图1为pmip6协议示意图。
图2为MN启动时的接入认证过程示意图。
图3为本发明方法的网络实体关系示意图。
具体实施方式
图1为pmip6协议示意图,相关描述参见背景技术;图2为背景技术中提及的MN启动时的接入认证过程示意图。
图3为本发明方法的网络实体关系示意图,即引入AAAF之后的pmip6密钥管理技术的实体关系。由于AAAF和AAAH存在信任关系,因此双方可以利用这一信任关系进行交互,AAAH将MN的pmip策略交给AAAF,并由AAAF将这些策略分发给LMA和MAG,具体内容如下:
I.密钥生成,步骤如下:
步骤1:AAAH基于EMSK生成域密钥:
DSRK=hash(EMSK|MNID|AAAHID|AAAFID|nonce1);
步骤2:当LMA或MAG请求密钥时,AAAF基于DSRK生成LMA和MAG的共享密钥:
klm=hash(DSRK|LMAID|MAGID|AAAFID|AAAHID|nonce2);
II.密钥分发:
当LMA请求共享密钥时,AAAF将klm先发送给LMA,再发送给MAG;
当MAG请求共享密钥时,AAAF将klm先发送给MAG,再发送给LMA;
上述内容中:AAAH为家乡域认证服务器;AAAF为外地域认证服务器;LMA为本地移动锚点;MAG为移动接入网关;EMSK为MN接入认证后与AAAH之间产生的共享密钥;MN为移动节点;hash为哈希函数;MNID为MN的网络标识;AAAHID为家乡域认证服务器的网络标识;AAAFID为外地域认证服务器的网络标识;nocne1为AAAH产生的随机数;LMAID为LMA的网络标识;MAGID为MAG的网络标识;nonce2为AAAF产生的随机数。
Claims (1)
1.一种pmip6中LMA和MAG之间的密钥分发方法,其特征在于包括如下内容:
I.密钥生成,步骤如下:
步骤1:AAAH基于EMSK生成域密钥:
DSRK=hash(EMSK|MNID|AAAHID|AAAFID|nonce1);
步骤2:当LMA或MAG请求密钥时,AAAF基于DSRK生成LMA和MAG的共享密钥:
klm=hash(DSRK|LMAID|MAGID|AAAFID|AAAHID|nonce2);
II.密钥分发:
当LMA请求共享密钥时,AAAF将klm先发送给LMA,再发送给MAG;
当MAG请求共享密钥时,AAAF将klm先发送给MAG,再发送给LMA;
上述内容中:AAAH为家乡域认证服务器;AAAF为外地域认证服务器;LMA为本地移动锚点;MAG为移动接入网关;EMSK为MN接入认证后与AAAH之间产生的共享密钥;MN为移动节点;hash为哈希函数;MNID为MN的网络标识;AAAHID为家乡域认证服务器的网络标识;AAAFID为外地域认证服务器的网络标识;nocne1为AAAH产生的随机数;LMAID为LMA的网络标识;MAGID为MAG的网络标识;nonce2为AAAF产生的随机数。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201010125627.1A CN101815295B (zh) | 2010-03-16 | 2010-03-16 | 一种pmip6中LMA和MAG之间的密钥分发方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201010125627.1A CN101815295B (zh) | 2010-03-16 | 2010-03-16 | 一种pmip6中LMA和MAG之间的密钥分发方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN101815295A true CN101815295A (zh) | 2010-08-25 |
CN101815295B CN101815295B (zh) | 2013-02-27 |
Family
ID=42622382
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201010125627.1A Expired - Fee Related CN101815295B (zh) | 2010-03-16 | 2010-03-16 | 一种pmip6中LMA和MAG之间的密钥分发方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN101815295B (zh) |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20030147537A1 (en) * | 2002-02-07 | 2003-08-07 | Dongfeng Jing | Secure key distribution protocol in AAA for mobile IP |
CN101355578A (zh) * | 2008-09-02 | 2009-01-28 | 中国科学院计算技术研究所 | 基于radius和diameter协议的移动ip应用的兼容方法及系统 |
CN101499959A (zh) * | 2008-01-31 | 2009-08-05 | 华为技术有限公司 | 配置密钥的方法、装置及系统 |
CN101627644A (zh) * | 2007-03-14 | 2010-01-13 | 华为技术有限公司 | 用于漫游环境的基于令牌的动态密钥分配方法 |
CN101656961A (zh) * | 2009-09-01 | 2010-02-24 | 中兴通讯股份有限公司 | 一种cdma2000系统移动ip业务的接入方法和系统 |
-
2010
- 2010-03-16 CN CN201010125627.1A patent/CN101815295B/zh not_active Expired - Fee Related
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20030147537A1 (en) * | 2002-02-07 | 2003-08-07 | Dongfeng Jing | Secure key distribution protocol in AAA for mobile IP |
CN101627644A (zh) * | 2007-03-14 | 2010-01-13 | 华为技术有限公司 | 用于漫游环境的基于令牌的动态密钥分配方法 |
CN101499959A (zh) * | 2008-01-31 | 2009-08-05 | 华为技术有限公司 | 配置密钥的方法、装置及系统 |
CN101355578A (zh) * | 2008-09-02 | 2009-01-28 | 中国科学院计算技术研究所 | 基于radius和diameter协议的移动ip应用的兼容方法及系统 |
CN101656961A (zh) * | 2009-09-01 | 2010-02-24 | 中兴通讯股份有限公司 | 一种cdma2000系统移动ip业务的接入方法和系统 |
Non-Patent Citations (2)
Title |
---|
《中国科技论文在线》 20090428 王磊,王莉,宋梅 基于扩展EAP 协议的异构网络切换协同认证机制 第2卷, 第18期 * |
C.WAN SOUTHEAST UNIVERSITY,C.YE W.YAN Y.PAN HUAWEI TECHNOLOGIES: "《IETF》", 20 July 2007, article "The bootstrapping for Proxy mobile IPv6 draft-wan-netlmm-pmip-bootstrapping-00" * |
Also Published As
Publication number | Publication date |
---|---|
CN101815295B (zh) | 2013-02-27 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN101371491B (zh) | 提供无线网状网络的方法和装置 | |
CN101375545B (zh) | 用于提供无线网状网的方法和设备 | |
CN101478388B (zh) | 支持多级安全的移动IPSec接入认证方法 | |
CN107493570A (zh) | 一种基于身份群签的pmipv6匿名接入认证系统及方法 | |
Leroy et al. | SWISH: secure WiFi sharing | |
CN102026192A (zh) | 一种移动回程网证书分发方法及系统 | |
Maccari et al. | Security analysis of IEEE 802.16 | |
CN105848140B (zh) | 一种5g网络中能够实现通信监管的端到端安全建立方法 | |
Taha et al. | A link-layer authentication and key agreement scheme for mobile public hotspots in NEMO based VANET | |
KR101289133B1 (ko) | 이동 통신 시스템에서 보안키 생성 방법 및 장치 | |
CN101800988A (zh) | 一种基于网络接入设备的移动IPv6服务认证方法 | |
Sbeiti et al. | PASER: Position aware secure and efficient route discovery protocol for wireless mesh networks | |
CN101569160B (zh) | 用于传输dhcp消息的方法 | |
Gharavi et al. | Dynamic key refreshment for smart grid mesh network security | |
CN101815295B (zh) | 一种pmip6中LMA和MAG之间的密钥分发方法 | |
CN101883358A (zh) | 保障单收发机时间插槽式分布cr mac协议安全的方法 | |
Yang et al. | A new wireless mesh network authentication scheme based on threshold method | |
CN1996838A (zh) | 一种多主机WiMAX系统中的AAA认证优化方法 | |
Al Hawi et al. | Secure framework for the return routability procedure in MIPv6 | |
Liu et al. | Design of security neighbor discovery protocol | |
Lee et al. | An enhanced Trust Center based authentication in ZigBee networks | |
Mufti et al. | Design and implementation of a secure mobile IP protocol | |
Chuang et al. | Lmam: A lightweight mutual authentication mechanism for network mobility in vehicular networks | |
Lee | A novel design and implementation of DoS-resistant authentication and seamless handoff scheme for enterprise WLANs | |
Wadhwa et al. | Security holes in contrast to the new features emerging in the next generation protocol |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20130227 Termination date: 20160316 |
|
CF01 | Termination of patent right due to non-payment of annual fee |