[发明专利]一种面向多层MAP的HMIPv6网络双向接入认证方法

权利要求书

1.一种面向多层MAP的HMIPv6网络双向接入认证方法，其特征在于，包括如下步骤：

步骤1：rootPKG服务器作为可信第三方，与各层PKG服务器、AR路由器之间建立可信信道；

步骤2：rootPKG服务器生成公共参数并生成私钥；

步骤3：rootPKG服务器根据各层PKG服务器的身份信息为其颁发私钥，每层PKG服务器根据该层的AR路由器的身份信息为其分配私钥；

步骤4：当移动终端MN离开家乡网络首次接入到HMIPv6网络中的某个MAP下的AR路由器时，进行初始双向接入认证：当移动终端MN接入HMIPv6网络中时，向rootPKG服务器注册自己的信息并进行双向身份认证；

步骤5：当移动终端MN在当前接入的外地网络中，由当前MAP域中的AR路由器切换到另一个MAP域或AR路由器时，进行切换认证。

2.根据权利要求1所述的面向多层MAP的HMIPv6网络双向接入认证方法，其特征在于，步骤4按如下步骤进行：

步骤4.1：移动终端MN进行移动注册：

步骤4.2：要接入的MAP下的AR路由器向移动终端MN发送证书认证请求消息；

步骤4.3：当rootPKG服务器验证移动终端MN的证书，如果验证成功，rootPKG服务器检查移动终端MN的节点类型：如果为移动节点，则根据域内绑定更新消息LBU临时更新绑定缓存，rootPKG服务器向AR路由器回送证书认证确认消息CVA和域内绑定确认消息LBA；如果不是移动节点，则取消身份认证过程；如果验证不成功，则MN身份认证失败，不能接入到HMIPv6网络中；

步骤4.4：AR路由器收到证书认证确认消息CVA后，从移动终端MN的证书中提取移动终端MN的身份信息对MN进行身份认证：如果身份认证成功，发送认证成功消息VA给当前MAP通知认证结果，同时AR路由器对域内绑定确认消息LBA进行签名并发送给移动终端MN；

步骤4.5：当前要接入的MAP收到认证成功消息VA后正式更新绑定缓存，将认证成功消息VA逐层转发给rootPKG服务器，向rootPKG服务器通知已经对移动终端MN认证成功；

步骤4.6：rootPKG服务器收到认证成功消息VA后更新绑定缓存，对移动终端MN身份消息注册成功；同时发送证书列表更新消息CLU至所有MAP域及MAP域内所有AR路由器，通知对移动终端MN的成功认证，所述证书列表更新消息CLU消息携带移动终端MN的证书；

步骤4.7：AR路由器转发远程绑定确认消息RBA给移动终端MN并更新证书列表CL，将移动终端MN的证书加入证书列表；

步骤4.8：移动终端MN检查TS₂的新鲜性并对RBA进行HMAC认证，同时利用AR路由器的证书对AR路由器进行认证，如果全部认证成功，则完成移动注册，双向接入认证结束。

3.根据权利要求2所述的面向多层MAP的HMIPv6网络双向接入认证方法，其特征在于，步骤4.1按如下步骤进行：

步骤4.1.1：移动终端MN分别对远程绑定更新消息RBU和域内绑定更新消息LBU进行HMAC保护和短签名；

步骤4.1.2：移动终端MN验证要接入的MAP下的AR路由器的证书，即验证该证书中的签名：如果验证成功，则移动终端MN从该AR路由器的证书中提取该AR路由器的身份信息，否则，移动终端MN取消与该AR路由器之间的双向认证。

4.根据权利要求2所述的面向多层MAP的HMIPv6网络双向接入认证方法，其特征在于，步骤4.2按如下步骤进行：

步骤4.2.1：AR路由器检查时间戳TS₁的新鲜性，若新鲜，则执行步骤4.2.2，否则；取消对MN证书的身份认证；

步骤4.2.2：AR路由器检查证书列表，若证书列表不存在当前移动终端MN的证书，则当前移动终端MN为初次接入，AR路由器逐层向rootPKG服务器发送证书认证请求消息，请求对移动终端MN的证书进行认证，然后执行步骤4.3，否则直接执行步骤4.3。

5.根据权利要求1所述的面向多层MAP的HMIPv6网络双向接入认证方法，其特征在于，所述切换认证的过程具体如下：

当前MAP域收到移动终端MN的证书并认证成功时，向HMIPv6网络中所有MAP和AR路由器发送证书列表更新消息CLU更新每一个MAP和AR路由器的证书列表CL；当移动终端MN再次在树状MAP域内移动切换时，接入的AR路由器则直接对该移动终端MN进行认证，无需再对当前MAP进行身份认证请求。