Mở rộng xác thực được thực hiện giữa hai bên truyền thông (MN-FA, FA- HA, HA-MN). Các mở rộng xác thực được chèn vào trong thông điệp đăng ký giúp cho hai bên kiểm tra tính xác thực.
Có tất cả ba mở rộng xác thực được định nghĩa cho Mobile IP cơ bản, tất cả đều cho phép đưa thêm vào cơ chế xác thực khác trong quá trình đăng ký:
- Mở rộng xác thực MN-HA. - Mở rộng xác thực MN-FA. - Mở rộng xác thực FA-HA.
Mỗi mở rộng bao gồm một SPI chỉ ra liên kết an ninh di động, liên kết an ninh này chứa các thông tin bí mật cần thiết để tính xác thực có trong mở rộng. Ngoài ra cần lưu ý rằng chỉ có duy nhất một trường mở rộng cho hai thực thể bất kỳ trong số MN, HA, FA.
Để xây dựng được các mở rộng xác thực này mỗi đối tượng: MN, FA, HA được yêu cầu có khả năng hỗ trợ một liên kết an ninh di động (mobility security association) đối với các thực thể di động, liên kết này được đánh chỉ số bởi Chỉ số tham số an ninh (security parameters index - viết tắt là SPI) và địa chỉ IP.
Tính toán các giá trị mở rộng xác thực:
Việc tính toán dựa trên SPI thoả thuận giứa hai đối tác cần xác thực. SIP trong bất kỳ các mở rộng xác thực nào cũng định nghĩa cơ chế an ninh được sử dụng để tính toán giá trị xác thực và được sử dụng bởi bên nhận để kiểm tra giá trị này. Cụ thể, SIP sẽ lựa chọn giải thuật, chế độ và khoá xác thực được sử dụng để tính giá trị xác thực. Để đảm bảo sự phối hợp giữa các thể hiện khác nhau của giao thức Mobile IP, mỗi thể hiện được yêu cầu liên kết bất kỳ giá trị SPI nào lớn hơn 255 với các thuật toán và chế độ xác thực sẽ thực hiện.
Thuật toán xác thực mặc định được sử dụng trong Mobile IP là MD5 (Message Digest 5) với chế độ prefix+suffix, nghĩa là “bí mật”được chèn vào trước và sau dữ liệu mà nó xác thực. Kết quả của tính toán mặc định là 128bit MD của thông điệp đăng ký, và kết quả này là việc tính toán dựa theo giải thuật MD5 với đầu vào là các dữ liệu sau:
(1) Thông tin mật được định nghĩa bởi liên kết an ninh di động giữa các node và bởi giá trị SPI được chỉ ra trong mở rộng xác thực.
(2) Các trường header của thông điệp yêu cầu đăng ký và trả lời đăng ký. (3) Các mở rộng đứng trước đó.
(4) Kiểu, độ dài và SPI có trong bản thân các mở rộng. (5) Thông tin bí mật
Chú ý rằng bản thân trường xác thực, UDP header, IP header không được đưa vào tính toán giá trị xác thực. Giá trị xác thực này sẽ được chèn vào mở rộng xác thực, khi nhận được thông điệp, phía nhận sẽ căn cứ vào SPI, tính toán lại giá trị này và so sánh: nếu nhận, ngược lại sẽ loại bỏ.
Khuôn dạng của một trường mở rộng như sau:
Type: 32 Mở rộng xác thực MN-HA 33 Mở rộng xác thực MN-FA 34 Mở rộng xác thực FA-HA
Length: 4 cộng với độ dài của giá trị xác thực (authenticator)
SPI: 4 byte.
Authenticator: Độ dài biến đổi phụ thuộc vào thuật toán SPI quy định.