[发明专利]一种面向多层MAP的HMIPv6网络双向接入认证方法

说明书

技术领域

本发明属于无线移动网络接入安全领域，特别涉及一种面向多层MAP的HMIPv6网络双向接入认证方法。

背景技术

计算机网络的快速发展极大地改变了人们的生活方式，互联网正向支持大范围移动性方向发展，人们对网络也提出了更高的要求。随着宽带无线接入技术和移动终端技术的飞速发展，移动设备数量和接入网络需求的不断增加，移动IPv6(MIPv6)将成为下一代移动通信的重要支撑协议。为进一步提升MIPv6的适用性以及移动节点在外地网络中的切换效率，IETF对MIPv6进行了扩展，制定了层次型移动IPv6协议(HMIPv6)，在外地网络中引入移动锚点对移动节点实施区域化移动管理，以降低移动节点切换延时，但缺乏安全性方面的考虑。当移动节点接入外地网络时，需要同外地网络相互认证身份，这是安全通信的基本需求。另外，移动节点的切换和认证往往同时发生，为保障实时应用，认证机制应与切换过程同步进行，尽可能保证切换效率。针对HMIPv6的高效双向接入认证机制成为研究热点。

近年来，研究者们将基于身份的密码学应用于移动IPv6接入认证过程，以保证移动网络的接入安全。文献“AsecureIPv6-basedurbanwirelessmeshnetwork”设计了一种新的地址构造方式将移动用户的身份信息添加到IP地址中，同时采用快速分层的网络架构，运用基于身份密码学保证其身份信息的安全性，但更改后的IP地址在生成和管理过程中都比较特殊，不具有普遍适应性。文献“ExperimentalevaluationofproxymobileIPv6:Animplementationperspective”提出了使用代理移动IPv6方案对移动实体进行接入认证，但是代理移动实体之间的通信距离通常很远，通信延时大，降低了切换认证的效率，而且需要相关实体频繁地更换密钥，增加了通信开销。文献“节点证书与身份相结合的HMIPv6网络接入认证机制”提出了层次化的签名方案，并设计了节点证书与身份相结合的认证机制，简化了公钥基础设施的复杂密钥管理过程，实现了用户与接入网络的双向接入认证，消除了接入网络与家乡网络间的消息交互。但是，该签名方案缺乏对HMIPv6扩展协议的研究，在多层MAP的网络环境下，该方案只是支持简单扩展的网络环境，并且移动终端在多层MAP的网络环境下缺乏灵活性。经典的基于身份的签名方案一般随着签名次数的增加，签名长度也随之增加。或者签名长度固定，但是安全性却过度依赖困难假设。

发明内容

针对现有技术存在的问题，本发明提供一种面向多层MAP的HMIPv6网络双向接入认证方法。

本发明的技术方案是：

一种面向多层MAP的HMIPv6网络双向接入认证方法，包括如下步骤：

步骤1：rootPKG服务器作为可信第三方，与各层PKG服务器、AR路由器之间建立可信信道；

步骤2：rootPKG服务器生成公共参数并生成私钥；

步骤3：rootPKG服务器根据各层PKG服务器的身份信息为其颁发私钥，每层PKG服务器根据该层的AR路由器的身份信息为其分配私钥；

步骤4：当移动终端MN离开家乡网络首次接入到HMIPv6网络中的某个MAP下的AR路由器时，进行初始双向接入认证：当移动终端MN接入HMIPv6网络中时，向rootPKG服务器注册自己的信息并进行双向身份认证；

步骤5：当移动终端MN在当前接入的外地网络中，由当前MAP域中的AR路由器切换到另一个MAP域或AR路由器时，进行切换认证。

步骤4按如下步骤进行：

步骤4.1：移动终端MN进行移动注册：

步骤4.2：要接入的MAP下的AR路由器向移动终端MN发送证书认证请求消息；

步骤4.3：当rootPKG服务器验证移动终端MN的证书，如果验证成功，rootPKG服务器检查移动终端MN的节点类型：如果为移动节点，则根据域内绑定更新消息LBU临时更新绑定缓存，rootPKG服务器向AR路由器回送证书认证确认消息CVA和域内绑定确认消息LBA；如果不是移动节点，则取消身份认证过程；如果验证不成功，则MN身份认证失败，不能接入到HMIPv6网络中；

步骤4.4：AR路由器收到证书认证确认消息CVA后，从移动终端MN的证书中提取移动终端MN的身份信息对MN进行身份认证：如果身份认证成功，发送认证成功消息VA给当前MAP通知认证结果，同时AR路由器对域内绑定确认消息LBA进行签名并发送给移动终端MN；