互联网技术MN-HA认证移动选项

互联网技术责任编辑：xavierkkk 2013-10-17

摘要：互联网技术MN-HA认证移动选项：这个选项子类型字段值为1。MN和HA用这个选项认证绑定更新和绑定确认消息。

　在线辅导　面授招生　考试大纲　指定教材　报名时间

下面介绍MN-HA和MN-AAA选项。
　　1）MN-HA认证移动选项
格式如图5-21所示。这个选项子类型字段值为1。MN和HA用这个选项认证绑定更新和绑定确认消息。

基于共享密钥SA由移动性SPI,密钥，认证算法和使用的重传防护机制组成。移动性SPI是【0-4294967296】内的一个数，其中[0?255]保留。密钥为16字节长的任意值。认证算法是HMAC__SHA1。重传防护机制可能使用RFC3775定义的序列号，或重传防护选项。
如果这是消息中认证选项，则必须是移动头最后一个选项。
认证数据的计算从移动头到这个选项移动性SPI,采用算法如下：
认证数据=Firet(96,HMAC.SHAl(MN-HA共孪密钥，移动数据）
移动数据=转交地址|家乡地址|移动头数据
移动头数据姑移动头内容到这个选项的移动性SPI字段。移动头的校验和字段设置为
0,计算移动性数据。表示将数据串联起来。First函数的功能是取一段数据的特定长度的内容.以比特为单位。
HMAC.SHA1计算结果的头96比特用作认证数据宇段。
假设移动节点和家乡代理有一个基于共享密钥的SA,则移动节点必须在绑定更新中包含这个认证选项。家乡代理必须在绑定确认中包含这个选项做绑定更新的应答。
收到这个选项的移动节点和家乡代理必须核查选项的认证数据。如果认证失畋，家乡代理必须发送绑定确认状态编码为MIPv6>AUTH-FA丨L。如果家乡代理没有一个基于共享密钥的SA,家乡代理必须丢弃绑定更新。家乡代理可能记录这些事件。
2）MN-AAA认证移动性选项
格式如图5-21所示。这个选项使用字类型数值为2。MN和AAAH基于AAASA用MN-AAA认证选项用来认证绑定更新消息。不能在绑定确认中使用这个选项。应答绑定确认消总必须有MN-HA认证选项认证。
这个选项必须是移动头消息中最后一个选项。回应应答必须包含MN-HA认证选项，必须不包含MN-AAA认证选项。
认证数据计箅从移动头到选项中的移动性SPI值。
认证数据计算如下：
认证数据=hash_fii(MN-AAA共享密钥，移动消息认证码数据）
其中，hashJb()由认证选项中移动性SPI字段决定。
例如移动性SPI值为HMAC_SHA1_SPI,则hash_fiiO为HMAC_SHAK使用HMAC_SHA1_SPI,绑定史新由AAA用HMAC_SHA1算法认证，这样的话，移动消息认证码数据计算如下：
移动消息认证码数据=SHA1(转交地址丨家乡地址|移动头数据）
移动头数据为移动头到（包含）这个选项的移动性SPI字段。
使用这个选项假定家乡的AAA实体与家乡代理通过…个安全通道进行通倌。特别地，带有MN-AAA认证选项的绑定更新由家乡AAA服务器认证。
当家乡代理收到的绑定更新带有MN-AAA认证选项，则由家乡代理之外的实体认证，典型的是AAA服务器。
若移动节点和家乡代理之间存在安全关联，认证失败的话家乡代理必须发送状态代码为MIPV6-AUTH-FAIL的绑定错误消息给移动节点。如果不存在移动性绑定确认，则家乡代理丢弃绑定更新。家乡代理可能记录消息进行管理。
收到状态码为MIPv6-AUTH-FAIL的绑定错误消息，移动节点应该停止发送新的绑定更新给家乡代理。