RU2390959C2 - Method and device of host unit identification protocol - Google Patents

Method and device of host unit identification protocol Download PDF

Info

Publication number
RU2390959C2
RU2390959C2 RU2008101790/09A RU2008101790A RU2390959C2 RU 2390959 C2 RU2390959 C2 RU 2390959C2 RU 2008101790/09 A RU2008101790/09 A RU 2008101790/09A RU 2008101790 A RU2008101790 A RU 2008101790A RU 2390959 C2 RU2390959 C2 RU 2390959C2
Authority
RU
Russia
Prior art keywords
hip
network node
cryptographic
initiator
authentication
Prior art date
Application number
RU2008101790/09A
Other languages
Russian (ru)
Other versions
RU2008101790A (en
Inventor
Пекка НИКАНДЕР (FI)
Пекка НИКАНДЕР
Original Assignee
Телефонактиеболагет Лм Эрикссон (Пабл)
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Телефонактиеболагет Лм Эрикссон (Пабл) filed Critical Телефонактиеболагет Лм Эрикссон (Пабл)
Priority to RU2008101790/09A priority Critical patent/RU2390959C2/en
Publication of RU2008101790A publication Critical patent/RU2008101790A/en
Application granted granted Critical
Publication of RU2390959C2 publication Critical patent/RU2390959C2/en

Links

Images

Abstract

FIELD: information technologies.
SUBSTANCE: from the first host-unit (Initiator) to the second host unit (Respondent) message of authentication (I2') is sent (S2), which contains identifier (HIT) of the first host unit (Initiator) and cryptographic element (PF). Message (I2') of authentication is received (S3) in the second host unit (Respondent). After reception identifier and information related to general condition are used (S4) to authenticate cryptographic element (PF). If cryptographic element and remaining part of authentication message are authenticated, then from the second host unit (Respondent) to the first host unit (Initiator) confirmation message (R21) is sent to demonstrate successful authentication. These two messages (I2' and R2') are equivalent to messages I2 and R2 of standard HIP basic exchange protocol, and there is no necessity in messages I1 and R1 from protocol of basic exchange of standard HIP.
EFFECT: reduced traffic in process of unit identification.
46 cl, 5 dwg

Description

Область техники, к которой относится изобретениеFIELD OF THE INVENTION

Изобретение относится к способу и устройству Протокола Идентификации Хост-узла (Host Identity Protocol, HIP).The invention relates to a method and apparatus for a Host Identity Protocol (HIP).

Уровень техникиState of the art

Когда Интернет изначально разрабатывался, хост-узлы были неподвижны, и существовало неявное доверие между пользователями, несмотря на недостаток подлинной безопасности или протоколов идентификации хост-узла, и эта ситуация оставалась неизменной даже после более широкого внедрения и использования технологии. В то время не было необходимости рассматривать способы для решения вопросов, связанных с мобильностью хост-узла, поскольку компьютеры были относительно громоздкие и неподвижные.When the Internet was originally developed, the host nodes were stationary and there was an implicit trust between users, despite the lack of genuine security or host identification protocols, and this situation remained unchanged even after the wider adoption and use of technology. At that time, there was no need to consider ways to solve issues related to host host mobility, since computers were relatively bulky and stationary.

Принимая во внимание проблемы управления мобильностью и безопасности был представлен стандарт Mobile IP (см. C. Perkins, "IP Mobility Support for IPv4", RFC 3220, IETF, 2002) и стандарт Mobile IPv6 (см. D. Johnson, C. Perkins, J. Arkko, "Mobility Support in IPv6", RFC3775, IETF, 2004). Планируется, что вместе эти спецификации предоставят поддержку мобильности для Интернета следующего поколения. Работы в части защищенности находятся в разработке в форме протокола IPsec и связанных мероприятий, таких как различные протоколы обмена ключами с целью обеспечения защищенности в уровне IP. Однако опыт показал, что, используя существующие стандарты, достаточно сложно достигнуть сочетания защищенности и мобильности.Given the challenges of mobility and security management, the Mobile IP standard (see C. Perkins, IP Mobility Support for IPv4, RFC 3220, IETF, 2002) and the Mobile IPv6 standard (see D. Johnson, C. Perkins, J. Arkko, "Mobility Support in IPv6", RFC3775, IETF, 2004). Together, these specifications will provide mobility support for the next generation Internet. Security work is under development in the form of IPsec and related activities, such as various key exchange protocols, to provide security at the IP level. However, experience has shown that, using existing standards, it is difficult to achieve a combination of security and mobility.

IP-адрес описывает топологическое местоположение узла в сети. IP-адрес используется для маршрутизации пакета из узла источника в узел назначения. В то же время IP-адрес используется также для идентификации узла, предоставляя две различные функции в одном объекте. Это похоже на человека, называющего свой домашний адрес в ответ на вопрос, кто он такой. Когда также рассматривается мобильность, ситуация становится еще более сложной: поскольку в этой схеме IP-адреса действуют как идентификаторы хост-узла, они должны оставаться неизменными. Однако, поскольку IP-адреса также описывают топологические местоположения, они должны изменяться, когда хост-узел меняет свое местоположение в сети. Само собой разумеется, что невозможно одновременно обеспечить и стабильность, и динамические изменения.The IP address describes the topological location of the node on the network. The IP address is used to route the packet from the source node to the destination node. At the same time, the IP address is also used to identify the host, providing two different functions in the same entity. It is like a person calling his home address in response to a question of who he is. When mobility is also considered, the situation becomes even more complicated: since in this scheme IP addresses act as host identifiers, they must remain unchanged. However, since IP addresses also describe topological locations, they must change when the host changes its location on the network. It goes without saying that it is impossible to simultaneously ensure stability and dynamic change.

Одним из решений этой проблемы является разделение функций идентификации и местоположения друг от друга, и этот подход лежит в основе предложения Протокола Идентификации Хост-узла (Host Identity Protocol, HIP)(см. R. Moskowitz, P. Nikander, P. Jokela, "Host Identity Protocol", Internet Draft, work in progress, draft-ietf-hip-base-02, IETF, 2005). Протокол HIP разделяет роли местоположения и идентификации IP-адресов путем представления нового пространства имен - Идентификации Хост-узла (Host Identity, HI). В протоколе HIP, HI, по существу, представляют собой общий криптографический ключ из криптографической пары ключей общий-личный, причем этот ключ генерируется из личного ключа и связывается с ним. Общий ключ идентифицирует сторону, которая держит единственную копию личного ключа. Хост-узел, владеющий личным ключом из криптографической пары, может непосредственно доказать, что он "владеет" общим ключом, который используется для его идентификации в сети. Разделение также предоставляет средство для обработки мобильности и множественной адресации защищенным образом.One solution to this problem is to separate the identification and location functions from each other, and this approach underlies the proposal of the Host Identity Protocol (HIP) (see R. Moskowitz, P. Nikander, P. Jokela, " Host Identity Protocol ", Internet Draft, work in progress, draft-ietf-hip-base-02, IETF, 2005). HIP separates the roles of location and identification of IP addresses by introducing a new namespace - Host Identity (HI). In the HIP protocol, HIs essentially represent a common cryptographic key from a shared-personal cryptographic key pair, this key being generated from the private key and associated with it. The shared key identifies the party that holds a single copy of the private key. A host that owns a private key from a cryptographic pair can directly prove that it "owns" a shared key, which is used to identify it in the network. Separation also provides a means for handling mobility and multicast in a secure manner.

HIP более подробно описан ниже, но это не единственное предложение, основанное на идее разделения местоположения и идентификации. Архитектура FARA (см. D. Clark, R. Braden, A. Falk, V. Pingali, "FARA: Reorganizing the Addressing Architecture", ACM SIGCOMM 2003 Workshops, August 25 & 27, 2003) представляет собой общую модель идей, которая предоставляет структуру, из которой может быть получена фактическая архитектура. FARA может использовать HIP, когда идентификации узлов изменяются, и, следовательно, HIP может быть частью определенной реализации FARA. В предложении PeerNet (см. J. Eriksson, M. Faloutsos, S. Krishnamurthy, "PeerNet: Pushing Peer-to-Peer Down the Stack", IPTPS '03, February 20 - 21, 2003) также рассматривается разделение местоположения и идентификации. Инфраструктура Internet Indirection Infrastructure, I3 (см. I. Stoica, et.al., "Internet Indirection Infrastructure", ACM SIGCOMM '02, August 19-23, 2002) также определяет разделение между информацией идентификации и маршрутизации.HIP is described in more detail below, but this is not the only proposal based on the idea of separation of location and identification. The FARA Architecture (see D. Clark, R. Braden, A. Falk, V. Pingali, "FARA: Reorganizing the Addressing Architecture", ACM SIGCOMM 2003 Workshops, August 25 & 27, 2003) is a general idea model that provides the structure from which the actual architecture can be derived. FARA can use HIP when host identifications change, and therefore, HIP can be part of a specific implementation of FARA. The PeerNet proposal (see J. Eriksson, M. Faloutsos, S. Krishnamurthy, "PeerNet: Pushing Peer-to-Peer Down the Stack", IPTPS '03, February 20-21, 2003) also addresses the separation of location and identification. The Internet Indirection Infrastructure, I 3 (see I. Stoica, et.al., "Internet Indirection Infrastructure", ACM SIGCOMM '02, August 19-23, 2002) also defines the separation between identification and routing information.

HIP представляет разделение между информацией местоположения и идентификации на уровне IP. В добавление к разделению протокол согласовывает Защищенные Связи (Security Association, SA) между узлами с функцией HIP.HIP represents the separation between location information and authentication at the IP layer. In addition to separation, the protocol negotiates Security Associations (SAs) between nodes with the HIP function.

С HIP каждый хост-узел имеет одну или более идентификаций, которые могут быть долгосрочными или краткосрочными и которые могут использоваться, чтобы идентифицировать его в сети. С HIP идентификатор представляет собой общий ключ из криптографической пары общий/личный. Когда хост-узел обладает личным ключом, он может доказать, что действительно "владеет" этой идентификацией, представляемой общим ключом; это похоже на то, как показывают идентификационную карточку.With HIP, each host has one or more identifications that can be long-term or short-term, and which can be used to identify it on the network. With HIP, an identifier is a shared key from a cryptographic public / private pair. When a host has a private key, it can prove that it really "owns" this identity, represented by a shared key; this is similar to how the identification card is shown.

Будучи общим ключом, HI может быть достаточно длинной и, следовательно, непрактичной во всех ситуациях. В HIP HI представляется Меткой Идентификации Хост-узла (Host Identity Tag, HIT), которая генерируется из HI путем ее хэширования. Соответственно, существует небольшой риск конфликта, что две HI будут хэшированы в одну и ту же HIT. Таким образом, метка HIT идентифицирует HI. Принимая во внимание, что HIT имеет длину 128 битов, она напрямую может использоваться для приложений IPv6, поскольку она имеет ту же длину, что и адреса IPv6.Being a common key, HI can be quite long and therefore impractical in all situations. In HIP, the HI is represented by the Host Identity Tag (HIT), which is generated from the HI by hashing it. Accordingly, there is a slight risk of conflict that two HIs will be hashed into the same HIT. Thus, the HIT tag identifies the HI. Given that the HIT is 128 bits long, it can be used directly for IPv6 applications since it has the same length as IPv6 addresses.

Еще одним представлением HI является Локальный Идентификатор Области (Local Scope Identifier, LSI), который является 32-битным представлением для HI. Целью LSI является облегчить использование HI в существующих протоколах и Интерфейсах Прикладной Программы (Application Program Interface, API). Например, поскольку LSI имеет ту же длину, что и адреса IPv4, он напрямую может использоваться для приложений IPv4. Несмотря на то, что большая часть этого описания основана на использовании более длинной HIT, совершенно очевидно, что те же или схожие соображения применимы для альтернативного представления LSI.Another HI representation is the Local Scope Identifier (LSI), which is a 32-bit representation for the HI. The purpose of LSI is to facilitate the use of HI in existing protocols and Application Program Interfaces (APIs). For example, since LSI is the same length as IPv4 addresses, it can be used directly for IPv4 applications. Although most of this description is based on the use of a longer HIT, it is clear that the same or similar considerations apply to an alternative representation of LSI.

Когда используется HIP, верхние уровни, включающие в себя приложения, больше не видят IP-адреса. Вместо этого, они видят HIT как "адрес" хост-узла назначения. Информация местоположения скрывается на новом уровне, который описан ниже. IP-адреса больше не идентифицируют узлы, они используются только для маршрутизации пакетов в сети.When HIP is used, the upper layers, which include applications, no longer see IP addresses. Instead, they see the HIT as the "address" of the destination host. Location information is hiding at a new level, which is described below. IP addresses no longer identify hosts; they are used only for routing packets on the network.

Приложения, как правило, не интересует информация местоположения, а им необходимо знать идентификацию их одноранговых узлов. Идентификация представляется посредством HIT. Это означает, что IP-адрес имеет значение только на низших уровнях, где затрагивается маршрутизация. HIT, которые используются приложениями, должны быть сопоставлены соответствующим IP-адресам до того, как какой-либо пакет покинет хост-узел. Это достигается в новом Уровне Идентификации Хост-Узла (Host Identity Layer), как описано ниже.Applications, as a rule, are not interested in location information, and they need to know the identity of their peers. Identification is represented by HIT. This means that an IP address only matters at the lower layers where routing is affected. The HITs that are used by applications must be mapped to the corresponding IP addresses before any packet leaves the host. This is achieved in the new Host Identity Layer, as described below.

Фиг.1 из прилагаемых чертежей иллюстрирует различные уровни в HIP, включая стандартный транспортный уровень 4, сетевой уровень 8 и канальный уровень 10, где приложение или процесс 2 осуществляет связь с транспортным уровнем 4, находящимся под ним. С HIP новый Уровень 6 Идентификации Хост-узла размещается между транспортным уровнем 4 и сетевым уровнем 8.1 of the accompanying drawings illustrates various layers in HIP, including standard transport layer 4, network layer 8, and link layer 10, where the application or process 2 communicates with transport layer 4 below it. With HIP, a new Host Identity Layer 6 is placed between transport layer 4 and network layer 8.

Локально, каждая HI и ее связанная HIT сопоставляются IP-адресам узла. Когда пакеты покидают хост-узел, выбирается корректный маршрут (каким-либо средством), и соответствующие IP-адреса вставляются в пакет как адреса источника и назначения. Каждый пакет, поступающий из верхнего уровня, содержит HIT однорангового узла как адрес назначения. Сопоставление между HIT и информацией местоположения можно найти на Уровне 6 Идентификации Хост-узла. Следовательно, адрес назначения преобразуется в сопоставленный IP-адрес, и HIT источника преобразуется в IP-адрес источника.Locally, each HI and its associated HIT are mapped to the host IP addresses. When packets leave the host, the correct route is selected (by some means), and the corresponding IP addresses are inserted into the packet as source and destination addresses. Each packet coming from the upper layer contains the peer HIT as the destination address. A mapping between HIT and location information can be found at Host Identity Level 6. Therefore, the destination address is mapped to the associated IP address, and the source HIT is mapped to the source IP address.

HIP определяет базовый обмен сообщениями, содержащий четыре сообщения (четырехпроходное рукопожатие), и это используется для создания Защищенных Связей (Security Association, SA) между хост-узлами с функцией HIP. В течение обмена сообщениями используется процедура Диффи-Хеллмана, чтобы создать ключ сеанса и чтобы основать между узлами пару Защищенных Связей (Security Associations) IPsec Инкапсуляции Полезной Нагрузки Безопасности (Encapsulating Security Payload, ESP).HIP defines a basic messaging containing four messages (four-pass handshake), and this is used to create Secure Associations (SAs) between hosts with the HIP feature. During the messaging, the Diffie-Hellman procedure is used to create a session key and to establish a pair of IPsec Encapsulating Security Payload (ESP) Security Associations between nodes.

Фиг.2 из прилагаемых чертежей иллюстрирует работу четырехпроходного рукопожатия. На переговаривающиеся стороны ссылаются как на Инициатора, начинающего соединение, и Ответчика. Инициатор начинает согласование путем передачи пакета I1, который содержит метки HIT узлов, участвующих в согласовании. Назначение HIT может быть обнулено, если Инициатору неизвестна HIT Ответчика.Figure 2 of the accompanying drawings illustrates the operation of a four-pass handshake. Talking parties are referred to as the Initiator initiating the connection and the Respondent. The initiator begins the negotiation by transmitting an I1 packet that contains the HIT labels of the nodes involved in the negotiation. The HIT assignment may be reset if the Initiator is not aware of the Respondent's HIT.

Когда Ответчик получает пакет I1, он передает обратно пакет R1, который содержит головоломку, которую должен решить Инициатор. Протокол устроен так, что Инициатор должен выполнить большую часть вычислений в течение решения головоломки. Это обеспечивает некоторую защиту от атак типа Отказ от Обслуживания (Denial of Service, DoS). Пакет R1 также содержит метки HIT узлов, участвующих в согласовании. В добавление, пакет R1 инициирует процедуру Диффи-Хеллмана, содержащую общий ключ PKR Идентификации Хост-узла Ответчика, вместе с параметрами Диффи-Хеллмана, включающими в себя общий ключ DHR Диффи-Хеллмана Ответчика.When the Respondent receives the I1 packet, he sends back the R1 packet, which contains the puzzle that the Initiator must solve. The protocol is designed so that the Initiator must perform most of the calculations during the solution of the puzzle. This provides some protection against Denial of Service (DoS) attacks. Package R1 also contains the HIT labels of the nodes involved in the negotiation. In addition, the R1 packet initiates a Diffie-Hellman procedure containing the Responder Host Identity PK R shared key, along with Diffie-Hellman parameters including the Diffie-Hellman Responder public key DH R.

При получении пакета R1 Инициатор решает головоломку и передает Ответчику ответ в пакете I2, включающем в себя решение вместе со значением IPsec SPI и его общим ключом PKI Идентификации Хост-узла, зашифрованным с использованием ключа сессии, который был построен с только что полученным общим ключом DHR Диффи-Хеллмана Ответчика (хотя в стандартном протоколе HIP шифрование общего ключа PKI Идентификации Хост-узла становится опциональным). Пакет I2 также содержит метки HIT узлов, принимающих участие в согласовании, а также ключ DHI Диффи-Хеллмана Инициатора. Ответчик верифицирует, что головоломка была решена, аутентифицирует, что отправителем сообщения является Инициатор, путем верификации, что подпись сообщения была создана посредством личного ключа, соответствующего общему ключу PKI Идентификации Хост-узла Инициатора, и создает несколько IPsec ESP SA. Последнее сообщение R2 содержит значение Индекса Параметра Защищенности (Security Parameter Index, SPI) ответчика и метки HIT узлов, участвующих в согласовании. Очевидно, что создание IPsec ESP SA становится опциональным в стандартном базовом обмене HIP.Upon receipt of packet R1, the Initiator solves the puzzle and transmits the Respondent in packet I2, which includes the solution together with the IPsec SPI value and its shared key Host Identification PK I , encrypted using the session key that was built with the newly received shared key Diffie-Hellman Responder DH R (although in the standard HIP protocol, encryption of the shared key PK I of the Host Identification becomes optional). Package I2 also contains the HIT tags of the nodes involved in the negotiation, as well as the DH I Diffie-Hellman Initiator key. Defendant verifies that the puzzle has been solved, authenticates that the sender of the message is the initiator, by verifying that the message signature was created by the private key corresponding to the public key PK I Identification Initiator host, and creates multiple IPsec ESP SA. The last R2 message contains the value of the Respondent Security Parameter Index (SPI) and the HIT label of the nodes involved in the negotiation. Obviously, the creation of IPsec ESP SA is becoming optional in the standard basic HIP exchange.

В добавление к пакетам I1, R1, I2 и R2 спецификация HIP определяет другие пакеты, включая пакет UPDATE. Когда между двумя осуществляющими связь хост-узлами с функцией HIP существует активная связь HIP, пакет UPDATE может использоваться, чтобы обновлять общее состояние. Например, пакет UPDATE используется, чтобы обновлять Защищенные Связи ESP. Существуют расширения базовой спецификации HIP, например, протоколы HIP Mobility и Multi-homing (см. P. Nikander, J. Arkko, P. Jokela, "End-Host Mobility and Multihoming with Host Identity Protocol", Internet Draft, work in progress, draft-ietf-hip-mm-01, IETF, 2005), которые используют пакеты UPDATE для различных целей. Примечательно, что хост-узел HIP игнорирует и отбрасывает пакеты UPDATE, если он не имеет какой-либо активной связи HIP с отправителем пакета UPDATE.In addition to packets I1, R1, I2 and R2, the HIP specification defines other packets, including the UPDATE packet. When there is an active HIP connection between two communicating hosts with the HIP function, the UPDATE packet can be used to update the overall status. For example, the UPDATE package is used to update Secure ESP Links. Extensions to the basic HIP specification exist, such as the HIP Mobility and Multi-homing protocols (see P. Nikander, J. Arkko, P. Jokela, "End-Host Mobility and Multihoming with Host Identity Protocol", Internet Draft, work in progress, draft-ietf-hip-mm-01, IETF, 2005), which use UPDATE packages for various purposes. Notably, the HIP host ignores and discards UPDATE packets if it does not have any active HIP communication with the sender of the UPDATE packet.

Связи SA между хост-узлами привязаны к Идентификациям Хост-узлов, представляемым метками HIT. Тем не менее, пакеты данных, проходящие в сети, не содержат действительной информации HI, а поступающий пакет идентифицируется и сопоставляется корректной SA, используя значение SPI в заголовке IPsec. Фиг.3 из прилагаемых чертежей иллюстрирует логическую и действительную структуры пакета, когда он перемещается в сети.SA communications between host nodes are tied to Host Identities represented by HIT tags. However, the data packets passing through the network do not contain valid HI information, and the incoming packet is identified and matched by the correct SA using the SPI value in the IPsec header. Figure 3 of the accompanying drawings illustrates the logical and actual structure of the packet when it moves on the network.

Из вышеизложенного ясно, что изменение информации местоположения в пакете не создает каких-либо проблем для обработки IPsec. Пакет все также корректно идентифицируется с использованием SPI. Если по какой-либо причине пакет маршрутизируется в неправильное место назначения, то получатель не сможет открыть пакет, поскольку он не имеет правильного ключа.From the foregoing, it is clear that changing location information in a packet does not pose any problems for IPsec processing. The package is also correctly identified using SPI. If for any reason the packet is routed to the wrong destination, the receiver will not be able to open the packet because it does not have the correct key.

Когда исходящий пакет поступает на уровень HI с вышестоящего уровня, то HIT назначения верифицируется из Базы Данных Защищенных Связей (Security Association Database, SADB) IPsec. Если обнаруживается SA, соответствующая HIT назначению, то пакет зашифровывается с использованием ключа сессии, связанного с SA.When an outgoing packet arrives at the HI layer from a higher layer, the destination HIT is verified from the IPsec Security Association Database (SADB). If an SA corresponding to the HIT destination is detected, then the packet is encrypted using the session key associated with the SA.

HIT не может использоваться для маршрутизации пакета. Таким образом, адреса назначения (и источника) должны быть изменены, чтобы соответствовать IP-адресам узлов. Как упоминалось ранее, эти соответствия хранятся в уровне HI. После изменения адресов пакет может быть передан в сеть, где он маршрутизируется в место назначения, используя информацию IP-адреса.HIT cannot be used to route a packet. Thus, the destination (and source) addresses must be changed to match the IP addresses of the nodes. As mentioned earlier, these mappings are stored at the HI level. After changing the addresses, the packet can be transmitted to the network, where it is routed to the destination using the IP address information.

В принимающем хост-узле величина SPI используется, чтобы найти корректную SA из IPsec SADB. Если запись обнаруживается, то IP-адреса могут быть изменены на соответствующие метки HIT, и пакет может быть расшифрован, используя ключ сессии.At the receiving host, the SPI value is used to find the correct SA from the IPsec SADB. If a record is found, then the IP addresses can be changed to the corresponding HIT tags, and the packet can be decrypted using the session key.

При HIP разделение между информацией местоположения и информацией идентификации подразумевает, что идентификация пакета и маршрутизация могут быть четко разделены. Хост-узел, принимающий пакет, идентифицирует отправителя путем получения корректного ключа и последующей расшифровки пакета. Таким образом, IP-адреса, которые входят в пакет, несущественны.In HIP, the separation between location information and identification information implies that packet identification and routing can be clearly separated. The host receiving the packet identifies the sender by receiving the correct key and then decrypting the packet. Thus, the IP addresses that are included in the packet are irrelevant.

Другие технические вопросы возникают при реализации HIP в мобильных сетях связи третьего поколения (3rd Generation, 3G), где не все Пользовательское Оборудование в окружении 3G имеет функцию HIP. В этом контексте Универсальная Система Мобильной Связи (Universal Mobile Telecommunications System, UMTS) является 3G наследником Глобальной Системы Мобильной Связи (Global System for Mobile Communications, GSM). Самым важным эволюционным шагом от GSM к UMTS является Общая Служба Пакетной Передачи Данных (General Packet Radio Service, GPRS). GPRS представляет коммутацию пакетов в базовую сеть GSM и предоставляет возможность прямого доступа к сетям пакетной передачи данных (Packet Data Network, PDN). Это обеспечивает возможность коммутируемой пакетной передачи через базовую сеть GSM на скорости, которая гораздо выше предела сети ISDN в 64 кбит/сек, что необходимо для скоростей передачи в 2 Мбит/сек и более для UMTS. GPRS является необходимым условием для представления UMTS. Схожие принципы в равной степени применимы как к UMTS, так и к GPRS. GPRS разрабатывалась как расширение существующей инфраструктуры сети GSM с целью предоставления службы пакетной передачи данных без необходимости установления соединения. По сравнению с GSM GPRS представляет несколько новых функциональных элементов, которые поддерживают сквозную пакетную передачу данных на основе IP.Other technical issues arise when implementing HIP in third generation mobile communication networks (3 rd Generation, 3G), where not all User Equipment in 3G environment has HIP function. In this context, the Universal Mobile Telecommunications System (UMTS) is the 3G successor to the Global System for Mobile Communications (GSM). The most important evolutionary step from GSM to UMTS is the General Packet Radio Service (GPRS). GPRS represents packet switching to the GSM core network and provides direct access to Packet Data Networks (PDNs). This enables switched packet transmission over the GSM core network at a speed that is much higher than the ISDN limit of 64 kbit / s, which is necessary for transmission speeds of 2 Mbit / s or more for UMTS. GPRS is a prerequisite for the presentation of UMTS. Similar principles apply equally to both UMTS and GPRS. GPRS was developed as an extension of the existing GSM network infrastructure to provide packet data services without the need for a connection. Compared to GSM, GPRS introduces several new functional elements that support end-to-end IP-based packet data transfer.

Как упомянуто выше, полный протокол базового обмена является протоколом с четырьмя сообщениями и двумя циклами туда/обратно. В предложении Hi3 (см. Internet Draft, work in progress, draft-nikander-hiprg-hi3-00.txt) предлагается уменьшить на один количество циклов туда/обратно на конце Ответчика путем сохранения предварительно вычисленного сообщения R1 в промежуточном ящике и путем предоставления возможности промежуточному ящику отвечать на сообщения I1 напрямую, тем самым уменьшая общее количество сообщений, которые видит ответчик до I2 и R2, то есть до двух сообщений и одного цикла туда/обратно. Тем не менее, это решение не изменяет положения на конце Инициатора.As mentioned above, the complete base exchange protocol is a four-message protocol and two round-trip cycles. The Hi3 sentence (see Internet Draft, work in progress, draft-nikander-hiprg-hi3-00.txt) proposes to reduce by one number of round-trips at the end of the Responder by storing the pre-computed message R1 in the intermediate box and by allowing to the intermediate box to respond to I1 messages directly, thereby reducing the total number of messages that the responder sees to I2 and R2, that is, to two messages and one round trip. However, this decision does not change the position at the end of the Initiator.

Рассматривая беспроводной базовый обмен HIP у Инициатора, два цикла туда/обратно в полном протоколе базового обмена HIP могут привести к проблеме производительности. Инициатор должен ожидать завершения двух циклов туда/обратно до того как он сможет осуществлять связь с Ответчиком, что является потенциальным узким местом производительности. Было бы желательным уменьшить количество требуемых сообщений и, таким образом, уменьшить задержку при установлении сессии.When looking at the initiator's wireless HIP core exchange, two round-trip loops in the full HIP core protocol can lead to a performance problem. The Initiator must wait for the completion of two round trips before it can communicate with the Responder, which is a potential performance bottleneck. It would be desirable to reduce the number of messages required, and thus reduce the delay in establishing a session.

Согласно первому аспекту настоящего изобретения предоставлен способ модифицированного базового обмена Протокола Идентификации Хост-узла (Host Identity Protocol, HIP), содержащий один цикл и два сообщения, для использования первым и вторым хост-узлами HIP, имеющими общее состояние из ранее существующей взаимосвязи, содержащий этапы, на которых: передают из первого хост-узла во второй хост-узел сообщение аутентификации, содержащее идентификатор первого хост-узла и криптографический элемент; принимают сообщение аутентификации во втором хост-узле и используют идентификатор и информацию, относящуюся к общему состоянию, чтобы аутентифицировать криптографический элемент; и после успешной аутентификации криптографического элемента передают из второго хост-узла в первый хост-узел сообщение подтверждения, которое указывает успешную аутентификацию. Идентификатор может быть меткой идентификации HIP. Метка идентификации HIP может быть Меткой Идентификации Хост-узла (Host Identity Tag, HIT) или Локальным Идентификатором Области (Local Scope Identifier, LSI).According to a first aspect of the present invention, there is provided a method of a modified basic exchange of a Host Identity Protocol (HIP) comprising one loop and two messages for use by the first and second HIP hosts having a common state from a pre-existing relationship, comprising the steps on which: transmit from the first host to the second host an authentication message containing the identifier of the first host and a cryptographic element; receiving an authentication message at the second host and using the identifier and general state information to authenticate the cryptographic element; and after successful authentication of the cryptographic element, a confirmation message indicating successful authentication is transmitted from the second host to the first host. The identifier may be a HIP identification tag. The HIP identification label may be a Host Identity Tag (HIT) or a Local Scope Identifier (LSI).

Аутентификация криптографического элемента может содержать верификацию источника криптографического элемента.Authentication of a cryptographic element may include verification of the source of the cryptographic element.

Способ может содержать этап, на котором извлекают информацию общего состояния, используя принятый идентификатор.The method may include retrieving general status information using the received identifier.

Способ может содержать этап, на котором генерируют или выбирают криптографический элемент, используя информацию общего состояния.The method may comprise the step of generating or selecting a cryptographic element using general state information.

Криптографический элемент может быть получен из выполнения криптографической функции.A cryptographic element can be obtained from performing a cryptographic function.

Криптографическая функция может иметь в качестве ввода, по меньшей мере, идентификатор.A cryptographic function may have at least an identifier as input.

Криптографическая функция может быть хеш-функцией.The cryptographic function may be a hash function.

Информация общего состояния может содержать, по меньшей мере, последний использованный элемент из цепочки хеширования, сгенерированной из хеш-функции, и способ может содержать этап, на котором выбирают следующий неиспользованный элемент в цепочке хеширования для использования в качестве криптографического элемента.The general state information may contain at least the last used item from the hash chain generated from the hash function, and the method may include selecting the next unused item in the hash chain for use as a cryptographic element.

Криптографический элемент может аутентифицироваться путем вычисления хеш-функции, используя принятый идентификатор и принятый криптографический элемент, и путем сравнения результата с, по меньшей мере, последним использованным элементом.The cryptographic element can be authenticated by computing a hash function using the received identifier and the received cryptographic element, and by comparing the result with at least the last used element.

Цепочка хеширования может быть предварительно сгенерирована, и, по меньшей мере, неиспользованные элементы в цепочке хеширования могут храниться в первом хост-узле или быть доступными для него.The hash chain can be pre-generated, and at least the unused elements in the hash chain can be stored in the first host or be available to him.

Цепочка хеширования может генерироваться в результате ранее существующей взаимосвязи.A hash chain may be generated as a result of a pre-existing relationship.

Цепочка хеширования может быть выделена для взаимодействий между первым и вторым хост-узлами.A hash chain can be allocated for interactions between the first and second host nodes.

Цепочка хеширования может быть выделена для взаимодействий между первыми хост-узлами и множеством таких вторых хост-узлов.A hash chain may be allocated for interactions between the first host nodes and a plurality of such second host nodes.

Информация общего состояния может содержать секретную информацию, обмениваемую между первым и вторым хост-узлами в результате ранее существующей взаимосвязи.The general state information may comprise secret information exchanged between the first and second host nodes as a result of a pre-existing relationship.

Секретная информация может содержать криптографический ключ.Secret information may contain a cryptographic key.

Секретная информация может использоваться в качестве ввода в криптографическую функцию.Secret information can be used as input to a cryptographic function.

Криптографический элемент может аутентифицироваться путем вычисления криптографической функции, используя принятый идентификатор и принятую секретную информацию, и путем сравнения результата с принятым криптографическим элементом.The cryptographic element can be authenticated by calculating the cryptographic function using the received identifier and the received secret information, and by comparing the result with the received cryptographic element.

Временной штамп может использоваться в качестве ввода в криптографическую функцию.A time stamp can be used as an input to a cryptographic function.

Счетчик может использоваться в качестве ввода в криптографическую функцию, и способ может содержать этап, на котором счетчику дают приращение.The counter may be used as input to a cryptographic function, and the method may comprise the step of incrementing the counter.

Сообщение аутентификации может содержать временную метку и/или счетчик, и криптографический элемент аутентифицируется путем вычисления криптографической функции, используя принятый временной штамп и/или счетчик, и путем сравнения результата с принятым криптографическим элементом.The authentication message may include a time stamp and / or counter, and the cryptographic element is authenticated by calculating the cryptographic function using the received time stamp and / or counter, and by comparing the result with the received cryptographic element.

Информация общего состояния может храниться во втором хост-узле.General state information may be stored in a second host.

Способ может содержать этап, на котором извлекают информацию общего состояния из удаленного сервера.The method may include retrieving general state information from a remote server.

Информация общего состояния, хранимая в удаленном сервере, может быть защищена от модификации неавторизованными сторонами.General state information stored on a remote server can be protected from modification by unauthorized parties.

Способ может содержать этап, на котором пересылают, по меньшей мере, часть сообщения аутентификации в удаленный сервер для извлечения информации общего состояния. Сообщение аутентификации может содержать общий ключ Диффи-Хеллмана первого хост-узла.The method may comprise the step of sending at least a portion of the authentication message to a remote server to retrieve general status information. The authentication message may contain the Diffie-Hellman common key of the first host.

Сообщение аутентификации может содержать общий ключ Идентификации Хост-узла первого хост-узла.The authentication message may contain a shared Host Identity key of the first host.

Сообщение подтверждения может содержать общий ключ Диффи-Хеллмана второго хост-узла.The confirmation message may contain a Diffie-Hellman public key of the second host.

Способ может содержать этап, на котором подписывают сообщение подтверждения посредством личного ключа второго хост-узла.The method may include the step of signing a confirmation message using the private key of the second host.

Способ может содержать этап, на котором в первом хост-узле верифицируют подпись, используя общий ключ Идентификации Хост-узла (Host Identity) второго хост-узла.The method may include the step of verifying the signature in the first host using the shared Host Identity key of the second host.

Общий ключ Идентификации Хост-узла второго хост-узла может быть известен первому хост-узлу в результате ранее существующей взаимосвязи или он может быть доступен из удаленного сервера.The shared Host Identity key of the second host can be known to the first host as a result of a pre-existing relationship, or it can be accessed from a remote server.

Способ может содержать этап, на котором после приема сообщения подтверждения в первом хост-узле создают Защищенную Связь (Security Association) HIP между первым и вторым хост-узлами.The method may include the step of creating a HIP Security Association between the first and second host nodes after receiving a confirmation message in the first host.

Ранее существующая взаимосвязь может быть получена из ранее выполненной стандартной процедуры базового обмена HIP между первым и вторым хост-узлами.A previously existing relationship can be derived from a previously performed standard procedure for a basic HIP exchange between the first and second host nodes.

Способ может содержать этап, на котором определяют, является ли сообщение аутентификации сообщением I2 стандартного базового обмена HIP или нет.The method may comprise determining whether the authentication message is a standard basic HIP exchange message I2 or not.

Способ может содержать этап, на котором устанавливают отличие сообщения аутентификации от сообщения I2 стандартного базового обмена HIP путем определения параметра HIP, связанного с криптографическим элементом.The method may include the step of distinguishing the authentication message from the standard basic HIP exchange message I2 by determining the HIP parameter associated with the cryptographic element.

Способ может содержать этап, на котором устанавливают отличие сообщения аутентификации от сообщения I2 стандартного базового обмена HIP на основании одного или более из следующих параметров: тип пакета HIP; поле версии протокола HIP; бит или некоторая комбинация битов из резервного поля заголовка HIP; управление HIP в поле Управления заголовка; разновидность в каком-либо одном или в обоих идентификаторах первого и второго хост-узлов; и используемый IP-протокол.The method may include the step of distinguishing the authentication message from the standard basic HIP exchange message I2 based on one or more of the following parameters: type of HIP packet; HIP protocol version field a bit or some combination of bits from the backup field of the HIP header; HIP management in the header control field; a variety in one or both of the identifiers of the first and second host nodes; and the IP protocol used.

Согласно второму аспекту настоящего изобретения представлена система связи для выполнения способа модифицированного базового обмена HIP, содержащего один цикл и два сообщения, между первым и вторым хост-узлами HIP системы, имеющими общее состояние из ранее существующей взаимосвязи, причем первый хост-узел содержит средство для передачи во второй хост-узел сообщения аутентификации, содержащего идентификатор первого хост-узла и криптографический элемент; и второй хост-узел содержит средство для приема сообщения аутентификации и для использования идентификатора и информации, относящейся к общему состоянию, чтобы аутентифицировать криптографический элемент; и средство для передачи в первый-хост узел сообщения подтверждения, которое указывает успешную аутентификацию, причем упомянутая передача выполняется после успешной аутентификации криптографического элемента.According to a second aspect of the present invention, there is provided a communication system for executing a modified basic HIP exchange method, comprising one cycle and two messages, between the first and second HIP hosts of the system having a common state from a pre-existing relationship, the first host comprising means for transmitting in the second host, an authentication message containing the identifier of the first host and a cryptographic element; and the second host node comprises means for receiving an authentication message and for using the identifier and information related to the general state to authenticate the cryptographic element; and means for transmitting to the first-host node a confirmation message that indicates successful authentication, said transfer being performed after successful authentication of the cryptographic element.

Согласно третьему аспекту настоящего изобретения предоставлен способ модифицированного базового обмена HIP, содержащий один цикл и два сообщения, для использования хост-узлом Инициатора HIP, имеющим общее состояние из ранее существующей взаимосвязи с хост-узлом Ответчика HIP, содержащий этап, на котором передают в хост-узел Ответчика HIP сообщение аутентификации, содержащее идентификатор хост-узла Инициатора HIP и криптографический элемент, причем сообщение аутентификации предназначено для использования в хост-узле Ответчика HIP, чтобы аутентифицировать криптографический элемент, используя идентификатор и информацию, относящуюся к общему состоянию, так чтобы после успешной аутентификации криптографического элемента в хост-узел Инициатора HIP могло быть передано сообщение подтверждения, которое указывает успешную аутентификацию.According to a third aspect of the present invention, there is provided a modified HIP basic exchange method, comprising one cycle and two messages, for use by a HIP Initiator host having a common state from a pre-existing relationship with a HIP Responder host, comprising transmitting to the host a HIP Responder node an authentication message containing an identifier of a HIP Initiator host node and a cryptographic element, wherein the authentication message is intended to be used at a HIP Responder host node to authenticate to authenticate the cryptographic element using the identifier and general state information so that after successful authentication of the cryptographic element, a confirmation message indicating successful authentication can be transmitted to the HIP Initiator host.

Согласно четвертому аспекту настоящего изобретения предоставлено устройство для выполнения, в качестве хост-узла Инициатора HIP, способа модифицированного базового обмена HIP, содержащего один цикл и два сообщения, с хост-узлом Ответчика HIP, с которым хост-узел Инициатора HIP имеет общее состояние из ранее существующей взаимосвязи, содержащее средство для передачи в хост-узел Ответчика HIP сообщения аутентификации, содержащего идентификатор хост-узла Инициатора HIP и криптографический элемент, причем сообщение аутентификации предназначено для использования в хост-узле Ответчика HIP, чтобы аутентифицировать криптографический элемент, используя идентификатор и информацию, относящуюся к общему состоянию, так чтобы после успешной аутентификации криптографического элемента в хост-узел Инициатора HIP могло быть передано сообщение подтверждения, которое указывает успешную аутентификацию.According to a fourth aspect of the present invention, there is provided an apparatus for performing, as a HIP Initiator host, a modified HIP basic exchange method comprising one cycle and two messages with a HIP Responder host with which the HIP Initiator host has a common state from previously an existing relationship, comprising means for transmitting an authentication message containing a HIP Initiator's host ID and a cryptographic element to the HIP Responder's host, and the authentication message is intended to To use the HIP at the Responder's host to authenticate the cryptographic element using identifier and general state information, so that after successful authentication of the cryptographic element, a confirmation message can be sent to the HIP Initiator's host, indicating successful authentication.

Согласно пятому аспекту настоящего изобретения предоставлен способ модифицированного базового обмена HIP, содержащий один цикл и два сообщения, для использования хост-узлом Ответчика HIP, имеющим общее состояние из ранее существующей взаимосвязи с хост-узлом Инициатора HIP, содержащий этапы, на которых принимают из хост-узла Инициатора HIP сообщение аутентификации, содержащее идентификатор хост-узла Инициатора HIP и криптографический элемент, используют идентификатор и информацию, относящуюся к общему состоянию, чтобы аутентифицировать криптографический элемент, и после успешной аутентификации криптографического элемента передают в хост-узел Инициатора HIP сообщение подтверждения, которое указывает успешную аутентификацию.According to a fifth aspect of the present invention, there is provided a modified basic HIP exchange method, comprising one cycle and two messages, for use by a HIP Responder host having a common state from a pre-existing relationship with a HIP Initiator host, comprising the steps of receiving from the host the HIP Initiator node an authentication message containing the identifier of the HIP Initiator host node and the cryptographic element use the identifier and the general state information to authenticate the ptographic element, and after successful authentication of the cryptographic element, a confirmation message indicating successful authentication is transmitted to the HIP Initiator host.

Согласно шестому аспекту настоящего изобретения предоставлено устройство для выполнения, в качестве хост-узла Ответчика HIP, способа модифицированного базового обмена HIP, содержащего один цикл и два сообщения, с хост-узлом Инициатора HIP, с которым хост-узел Ответчика HIP имеет общее состояние из ранее существующей взаимосвязи, содержащее средство для приема из хост-узла Инициатора HIP сообщения аутентификации, содержащего идентификатор хост-узла Инициатора HIP и криптографический элемент, для использования идентификатора и информации, относящейся к общему состоянию, чтобы аутентифицировать криптографический элемент и чтобы после успешной аутентификации криптографического элемента передать в хост-узел Инициатора HIP сообщение подтверждения, которое указывает успешную аутентификацию.According to a sixth aspect of the present invention, there is provided an apparatus for executing, as a HIP Responder host, a modified HIP basic exchange method, comprising one cycle and two messages, with a HIP Initiator host with which the HIP Responder host has a common state from previously an existing relationship, comprising means for receiving an authentication message from the HIP Initiator's host containing the HIP Initiator's host ID and a cryptographic element to use the identifier and information regarding Generalized to authenticate the cryptographic element and to, after successful authentication of the cryptographic element, send a confirmation message to the HIP Initiator host that indicates successful authentication.

Согласно седьмому аспекту настоящего изобретения предоставлена операционная программа, которая при выполнении на устройстве приводит устройство к выполнению способа согласно третьему или пятому аспекту настоящего изобретения.According to a seventh aspect of the present invention, there is provided an operating program which, when executed on a device, causes the device to execute a method according to the third or fifth aspect of the present invention.

Согласно восьмому аспекту настоящего изобретения предоставлена операционная программа, которая при загрузке в устройство приводит к тому, что это устройство становится устройством согласно четвертому или шестому аспекту настоящего изобретения.According to an eighth aspect of the present invention, there is provided an operating program which, when downloaded to a device, causes the device to become a device according to the fourth or sixth aspect of the present invention.

Операционная программа может содержаться на носителе. Носитель может быть средством передачи. Средство носителя может быть запоминающим средством.The operating program may be contained on a medium. The medium may be a transmission medium. The medium may be a storage medium.

Краткое описание чертежейBrief Description of the Drawings

Фиг.1 - иллюстрация различных уровней в Протоколе Идентификации Хост-узла;Figure 1 is an illustration of the various levels in the Host Identification Protocol;

Фиг.2 - иллюстрация работы четырехпроходного рукопожатия в протоколе HIP;Figure 2 - illustration of the four-pass handshake in the HIP protocol;

Фиг.3 - иллюстрация логической и действительной структур пакета в HIP;Figure 3 is an illustration of the logical and valid packet structures in HIP;

Фиг.4 - иллюстрация обзора способа модифицированного базового обмена HIP согласно настоящему изобретению; иFigure 4 is an illustration of a review of a modified basic HIP exchange method according to the present invention; and

Фиг.5 - более подробная иллюстрация способа модифицированного базового обмена HIP согласно настоящему изобретению.5 is a more detailed illustration of a modified basic HIP exchange method according to the present invention.

Как описано выше, была выявлена целесообразность уменьшения количества необходимых сообщений в процедуре базового обмена HIP, где это возможно, и было определено, что существует потенциальная возможность удаления обмена исходными сообщениями, то есть сообщениями I1 и R1, как описано ниже.As described above, it was found advisable to reduce the number of necessary messages in the basic HIP exchange procedure, where possible, and it was determined that there is a potential possibility to delete the exchange of original messages, that is, messages I1 and R1, as described below.

I1, по существу, является триггерным сообщением, которое запрашивает свежее сообщение R1. Само сообщение R1 предоставляет три отдельных функции:I1 is essentially a trigger message that requests a fresh message R1. The R1 message itself provides three separate functions:

Во-первых, оно предоставляет Инициатору общий ключ PKR Идентификации Хост-узла Ответчика.First, it provides the Initiator with the common key PK R Identity of the Responder's Host.

Во-вторых, оно предоставляет Инициатору головоломку, так что Инициатор может показать Ответчику свою "честность" путем решения головоломки.Secondly, it provides the Initiator with a puzzle, so that the Initiator can show the “honesty” to the Respondent by solving the puzzle.

В-третьих, оно предоставляет защиту против атак по принципу предварительного вычисления и повторного воспроизведения путем предоставления Инициатору головоломки, которая может верифицироваться Ответчиком как свежесгенерированная и не созданная давно.Thirdly, it provides protection against attacks on the principle of preliminary calculation and repeated reproduction by providing the Initiator with a puzzle that can be verified by the Respondent as freshly generated and not created long ago.

В случае, когда Инициатор и Ответчик не имеют какой-либо ранее существующей взаимосвязи, улучшение маловероятно; Инициатор должен получить свежее сообщение R1, так чтобы он мог показать Ответчику свою "честность" и свежесть обмена.In the event that the Initiator and the Respondent do not have any pre-existing relationship, improvement is unlikely; The Initiator should receive a fresh message R1 so that he can show the Respondent his “honesty” and the freshness of the exchange.

Тем не менее, если между Инициатором и Ответчиком есть ранее существующая взаимосвязь, то существует потенциальная возможность улучшения, и этот подход принят в варианте осуществления настоящего изобретения.However, if there is a pre-existing relationship between the Initiator and the Respondent, then there is the potential for improvement, and this approach is adopted in an embodiment of the present invention.

Фиг.4 представляет собой обзорную схему, иллюстрирующую способ модифицированного базового обмена HIP согласно варианту осуществления настоящего изобретения. Из сравнения Фиг.2 и 4 можно увидеть, что этот способ, являющийся вариантом осуществления настоящего изобретения, почти соответствует способу стандартного базового обмена HIP, но в этом варианте осуществления настоящего изобретения этапы I1 и R1 способа базового обмена стандартного HIP не выполняются. Кроме того, решение головоломки в сообщении I2 заменяется новым параметром HIP, который называется Парной Свежестью (Paired Freshness, PF), который содержит свежий криптографический элемент. Источник криптографического элемента верифицируется Ответчиком, используя информацию, относящуюся к общему состоянию, являющемуся результатом предварительно существующей взаимосвязи между Инициатором и Ответчиком. Точная форма криптографического элемента и информации общего состояния варьирует, как описано ниже со ссылкой на конкретные варианты осуществления настоящего изобретения. Сверх того, примечательно, что общее состояние может быть ассиметричным в том смысле, что Инициатор и Ответчик могут держать различные части информации, и взаимосвязь между этими частями информации может быть криптографической.FIG. 4 is an overview diagram illustrating a modified HIP core exchange method according to an embodiment of the present invention. From a comparison of FIGS. 2 and 4, it can be seen that this method, an embodiment of the present invention, is almost consistent with the standard HIP basic exchange method, but in this embodiment of the present invention, steps I1 and R1 of the standard HIP basic exchange method are not performed. In addition, the puzzle solution in message I2 is replaced by a new HIP parameter called Paired Freshness (PF), which contains a fresh cryptographic element. The source of the cryptographic element is verified by the Respondent using information related to the general state resulting from a pre-existing relationship between the Initiator and the Respondent. The exact form of the cryptographic element and general state information varies, as described below with reference to specific embodiments of the present invention. Moreover, it is noteworthy that the general state can be asymmetric in the sense that the Initiator and the Respondent can hold different pieces of information, and the relationship between these pieces of information can be cryptographic.

Фиг.5 соответствует Фиг.4, но более подробно иллюстрирует этапы, выполняемые в варианте осуществления настоящего изобретения, и сообщения, обмениваемые между хост-узлами Инициатора и Ответчика. Первый вариант осуществления настоящего изобретения описан со ссылкой на Фиг.5. Каждый из этапов S1-S9 с Фиг.5 выполняется соответствующей частью хост-узла, выполняющего этот этап, и, следовательно, Фиг.5 может также интерпретироваться как иллюстрирующая структуру хост-узлов, однако на практике физический элемент хост-узла может выполнять более одного этапа.5 corresponds to FIG. 4, but illustrates in more detail the steps performed in an embodiment of the present invention and messages exchanged between the initiator and the Responder host nodes. A first embodiment of the present invention is described with reference to FIG. Each of steps S1-S9 of FIG. 5 is performed by a corresponding part of the host performing this step, and therefore, FIG. 5 can also be interpreted as illustrating the structure of the hosts, however, in practice, the physical element of the host can perform more than one stage.

В первом варианте осуществления настоящего изобретения вышеупомянутый криптографический элемент и информация общего состояния относятся к цепочке хеширования, хранимой у Инициатора. Инициатору известно количество неиспользованных величин в цепочке хеширования, а Ответчику известна, по меньшей мере, последняя использованная величина из цепочки хеширования. В первом варианте осуществления изобретения информация общего состояния содержит, по меньшей мере, последнюю использованную величину из цепочки хеширования.In a first embodiment of the present invention, the aforementioned cryptographic element and general state information relate to a hash chain stored by the Initiator. The Initiator knows the number of unused values in the hash chain, and the Respondent knows at least the last used value from the hash chain. In a first embodiment of the invention, the general state information comprises at least the last used value from the hash chain.

Цепочки хеширования основаны на публичной функции, которую относительно легко вычислить, но с вычислительной точки зрения сложно или невозможно инвертировать. Такие функции называют односторонними функциями. Если результат функции является фиксированной длины, то на нее ссылаются как на одностороннюю хеш-функцию. Иначе говоря, функция hash(), которая сопоставляет строки битов (либо произвольной длины, либо предопределенной длины) строкам фиксированной длины, является хеш-функцией, если она имеет следующие три свойства: (a) при заданном x легко вычислить hash(x); (b) при заданном hash(x) сложно вычислить x; и (c) сложно найти два значения x и y, при которых hash(x) = hash(y), где x ≠ y. Больше информации можно найти в следующем документе: T.A. Berson, L. Gong and T.M.A. Lomas, Secure, "Keyed, and Collisionful Hash Functions, Technical Report" SRI-CSL-94-08, SRI International, May 1994.Hash chains are based on a public function that is relatively easy to compute, but from a computational point of view, it is difficult or impossible to invert. Such functions are called one-way functions. If the result of the function is a fixed length, then it is referred to as a one-way hash function. In other words, the hash () function, which maps strings of bits (either of arbitrary length or a predetermined length) to strings of fixed length, is a hash function if it has the following three properties: (a) for a given x, it is easy to calculate hash (x); (b) for a given hash (x), it is difficult to compute x; and (c) it is difficult to find two values x and y for which hash (x) = hash (y), where x ≠ y. More information can be found in the following document: TA Berson, L. Gong and TMA Lomas, Secure, "Keyed, and Collisionful Hash Functions, Technical Report" SRI-CSL-94-08, SRI International, May 1994.

Цепочка хеширования относится к такой, как описана, например, в следующем документе: L. Lamport, "Password Authentication with Insecure Communication", Communications of the ACM 24.11 (November 1981), pp 770-772. Цепочка хеширования длиной N строится путем рекурсивного применения односторонней хеш-функции hash() к исходной величине s: hash N (s) = hash(hash(hash(...hash(s)...))) (N раз). Для цепочки хеширования, генерируемой в обратном порядке, каждый элемент Hi в цепочке хеширования генерируется из ранее сгенерированного элемента Hi+1 путем вычисления Hi = hash(Hi+1).The hash chain refers to that described, for example, in the following document: L. Lamport, "Password Authentication with Insecure Communication", Communications of the ACM 24.11 (November 1981), pp 770-772. A hash chain of length N is constructed by recursively applying the one-way hash function hash () to the original value s: hash N (s) = hash (hash (hash (... hash (s) ...))) (N times). For a hash chain generated in the reverse order, each H i element in the hash chain is generated from a previously generated H i + 1 element by computing H i = hash (H i + 1 ).

Первый элемент H0 цепочки хеширования напоминает общий ключ в криптографии с применением общего ключа. Зная H0, H1 не может быть сгенерирован теми, кому неизвестна величина s, однако при заданном H1 его корректность может быть верифицирована, используя H0. В типичном приложении цепочки хеширования H0 было бы распространено защищенным образом, и тогда элементы цепочки хеширования растрачивались бы (или использовались бы) один за другим, начиная с H1 и продолжая до тех пор, пока не была бы достигнута величина s. В таких случаях говорят, что цепочка хеширования исчерпана, и весь процесс повторяется снова с другим значением s, чтобы повторно инициализировать систему. Другие разновидности цепочек хеширования раскрыты в других документах.The first element H 0 of the hash chain resembles a shared key in cryptography using a shared key. Knowing H 0 , H 1 cannot be generated by those who do not know the value of s , however, given H 1, its correctness can be verified using H 0 . In a typical application, the hash chain H 0 would be distributed in a secure manner, and then the elements of the hash chain would be wasted (or used) one by one, starting from H 1 and continuing until the value s was reached. In such cases, it is said that the hash chain has been exhausted, and the whole process is repeated again with a different s value to reinitialize the system. Other varieties of hash chains are disclosed in other documents.

В первом варианте осуществления изобретения такая цепочка хеширования основывается у Инициатора в результате предварительного взаимодействия между Инициатором и Ответчиком. Цепочка хеширования может быть особой для конкретной пары Инициатор-Ответчик, причем для каждого хост-узла Ответчика основывается другая цепочка хеширования, или она может относиться к взаимодействиям с несколькими различными хост-узлами Ответчика, с которыми Инициатор осуществляет связь.In the first embodiment of the invention, such a hash chain is based on the Initiator as a result of the preliminary interaction between the Initiator and the Respondent. The hash chain may be specific to a particular Initiator-Responder pair, with a different hash chain based on each Responder host, or it may relate to interactions with several different Responder host nodes with which the Initiator communicates.

Предыдущим взаимодействием может быть, но не ограничено этим, например, выполнение стандартного базового обмена HIP между двумя хост-узлами, чтобы установить защищенную сессию связи HIP. Может использоваться любая форма ранее существующей взаимосвязи между Инициатором и Ответчиком, которая основывает общее состояние между двумя хост-узлами. Ранее существующая взаимосвязь и информация общего состояния схематически показаны в верхней части Фиг.5.The previous interaction may be, but is not limited to, for example, performing a standard basic HIP exchange between two hosts to establish a secure HIP communication session. Any form of pre-existing relationship between the Initiator and the Responder can be used, which bases the common state between the two host nodes. The previously existing relationship and general status information are schematically shown at the top of FIG. 5.

Общее состояние между Инициатором и Ответчиком в первом варианте осуществления изобретения содержит некоторые взаимные знания, относящиеся к текущей позиции в цепочке хеширования, основанной у Инициатора. В частности, информация общего состояния содержит информацию, идентифицирующую последний использованный элемент в цепочке хеширования. Информация общего состояния известна как Инициатору, так и Ответчику. Например, информация общего состояния может храниться как в Инициаторе, так и в Ответчике.The general state between the Initiator and the Respondent in the first embodiment of the invention contains some mutual knowledge related to the current position in the hash chain based on the Initiator. In particular, the general state information contains information identifying the last used item in the hash chain. General status information is known to both the Initiator and the Respondent. For example, general status information may be stored in both the Initiator and the Respondent.

В этом варианте осуществления изобретения цепочка хеширования строится, используя хеш-функцию с предшествующим элементом цепочки хеширования и Меткой HITI Идентификации Хост-узла Инициатора в качестве ввода:In this embodiment, the hash chain is constructed using a hash function with the preceding hash chain element and the HIT I Label of the Initiator Host Node as input:

Hi = hash(HITI, Hi+1).H i = hash (HIT I , H i + 1 ).

Примеры таких хеш-функций включают в себя MD5, SHA-1 и SHA-256. В настоящее время HIP использует SHA-1 для других целей, и, следовательно, это будет одним из возможных выборов для использования в первом варианте осуществления настоящего изобретения. Хеш-функция hash() известна как Инициатору, так и Ответчику.Examples of such hash functions include MD5, SHA-1, and SHA-256. Currently, HIP uses SHA-1 for other purposes, and therefore, this will be one of the possible choices for use in the first embodiment of the present invention. The hash () hash function is known to both the Initiator and the Responder.

Предположим, Инициатор хочет установить свежее защищенное соединение HIP между собой и Ответчиком путем выполнения операции базового обмена HIP. Принимая во внимание ранее существующую взаимосвязь, вместо этого в первом варианте осуществления изобретения выполняется способ модифицированного базового обмена HIP, в котором обходятся без сообщений I1 и R1 базового обмена стандартного HIP.Suppose that the Initiator wants to establish a fresh, secure HIP connection between himself and the Responder by performing a basic HIP exchange operation. Taking into account the pre-existing relationship, instead, in the first embodiment of the invention, a modified basic HIP exchange method is performed in which the standard HIP basic exchange messages I1 and R1 are dispensed with.

Вместо этого (Фиг.5), на этапе S1 выбирается предварительно сгенерированный криптографический элемент для включения в поле Спаренной Свежести (Paired Freshness, PF) сообщения I2' аутентификации на основании информации общего состояния. В первом варианте осуществления изобретения этот криптографический элемент представляет собой следующий неиспользованный элемент в цепочке хеширования, а информация общего состояния показывает, какой элемент в цепочке хеширования был использован последним. Следовательно, PF выбирается так, чтобы содержать в себе криптографический элемент Hi, чтобы выполнялось условие
Hi-1 = hash(HITI, Hi), где Hi-1 представляет собой предшествующую взаимно известную величину из цепочки хеширования (информации общего состояния).Instead (FIG. 5), in step S1, a pre-generated cryptographic element is selected for inclusion in the Paired Freshness (PF) field of the authentication message I2 ′ based on the general status information. In a first embodiment of the invention, this cryptographic element is the next unused element in the hash chain, and the general state information indicates which element in the hash chain was last used. Therefore, PF is chosen so as to contain a cryptographic element H i so that the condition
H i-1 = hash (HIT I , H i ), where H i-1 is the previous mutually known value from the hash chain (general state information).

На этапе S2 сообщение I2' аутентификации, содержащее PF, а также Метку HITI Идентификации Хост-узла Инициатора, передается Ответчику, и оно принимается Ответчиком на этапе S3. Сообщение I2' также содержит общий ключ DHI Диффи-Хеллмана Инициатора и общий ключ PKI Идентификации Хост-узла. (Несмотря на то, что протокол стандартного базового обмена HIP требует, чтобы сообщение I2 несло в себе общий ключ PKI Идентификации Хост-узла Инициатора, в других вариантах осуществления настоящего изобретения ключ может быть исключен из сообщения I2' вследствие того, что Ответчику либо известен ключ PKI как часть общего состояния, либо Ответчик в состоянии получить его из общего сервера.)In step S2, the authentication message I2 ′ containing PF, as well as the Identifier HIT I of the Initiator's Host, is transmitted to the Responder, and it is received by the Responder in step S3. Message I2 'also contains the Diffie-Hellman Initiator public key DH I and the Host Identity common key PK I. (Although the standard basic HIP exchange protocol requires that the I2 message carry the Initiator Host Identity PK I shared key, in other embodiments of the present invention, the key may be excluded from the I2 'message because the Respondent is either aware of PK I key as part of the general state, or the Responder is able to receive it from the general server.)

В первом варианте осуществления изобретения сообщение I2' имеет тот же тип пакета, что и сообщение I2 в способе стандартного базового обмена HIP. Соответственно, когда на этапе S3 Ответчик принимает сообщение I2', он, как правило, ожидает найти решение головоломки в сообщении и, впоследствии, верифицировать решение головоломки. Тем не менее, в способе модифицированного базового обмена HIP первого варианта осуществления настоящего изобретения, если Ответчик не находит решения головоломки, а вместо этого находит параметр Парной Свежести, то он может определить, что используется модифицированный базовый обмен HIP, а не стандартный. Примечательно, что в случае стандартного базового обмена HIP Ответчик, как правило, не создает какого-либо состояния при формировании ответа на сообщение I1 сообщением R1, и он, следовательно, обрабатывает все сообщения I2 как будто они поступают без какой-либо недавно предшествующей связи между хост-узлами.In the first embodiment, the I2 ′ message has the same packet type as the I2 message in the standard HIP basic exchange method. Accordingly, when, at step S3, the Respondent receives the message I2 ', he usually expects to find the puzzle solution in the message and, subsequently, verify the puzzle solution. However, in the modified HIP basic exchange method of the first embodiment of the present invention, if the Respondent does not find a solution to the puzzle and instead finds the Pair Freshness parameter, then he can determine that the modified HIP basic exchange is used, and not standard. It is noteworthy that in the case of a standard basic HIP exchange, the Responder, as a rule, does not create any state when generating a response to the I1 message with the R1 message, and therefore, it processes all I2 messages as if they arrived without any recent communication between host nodes.

На этапе S3, следовательно, Ответчик сканирует принятое сообщение, выполняя поиск параметра решения головоломки. Если сообщение является сообщением I2 из стандартного протокола, то Ответчик найдет параметр Решения и продолжит обработку сообщения в соответствии со стандартным протоколом. Однако, если Инициатор использует модифицированный протокол согласно варианту осуществления настоящего изобретения, то Ответчик найдет и извлечет параметр PF Свежести Однорангового Узла. Ответчик также извлекает из заголовка HIP Метку HITI Идентификации Хост-узла Инициатора.At step S3, therefore, the Responder scans the received message by searching for a puzzle solution parameter. If the message is an I2 message from the standard protocol, the Responder will find the Solutions parameter and continue processing the message in accordance with the standard protocol. However, if the Initiator uses a modified protocol according to an embodiment of the present invention, the Responder will find and retrieve the Peer Freshness PF parameter of the Peer. The Responder also retrieves the Initiator Host Identity HIT I from the HIP header.

Используя HITI, Ответчик выполняет в локальной базе данных поиск общего состояния, связанного с HITI. Информацией общего состояния в этом варианте осуществления изобретения является текущее значение Hi-1 цепочки хеширования. Если такого общего состояния не удается найти, то сообщение I2' отбрасывается, и опционально Ответчик может ответить сообщением Ошибки Параметра ICMP. Если удается найти состояние, относящееся к HITI, то Ответчик переходит к этапу S4.Using HIT I , the Responder searches the local database for a general status associated with HIT I. The general state information in this embodiment of the invention is the current value of H i-1 of the hash chain. If such a general condition cannot be found, then the I2 'message is discarded, and optionally the Responder can respond with the ICMP Parameter Error message. If it is possible to find the state related to HIT I , then the Responder proceeds to step S4.

Используя криптографический элемент Hi из параметра Парной Свежести, величину Hi-1 из локального состояния и Метку HITI Идентификации Хост-узла Инициатора, на этапе S4 Ответчик аутентифицирует криптографический элемент путем верификации того, что Hi-1 = hash(HITI, Hi). Если это отношение не удовлетворяется, то сообщение I2' отбрасывается, и может быть передано опциональное сообщение Ошибки Параметра ICMP.Using the cryptographic element H i from the Pair Freshness parameter, the value H i-1 from the local state and the Identifier HIT I of the Initiator's Host, at step S4, the Responder authenticates the cryptographic element by verifying that H i-1 = hash (HIT I , H i ). If this relationship is not satisfied, then the I2 'message is discarded, and the optional ICMP Parameter Error message can be transmitted.

Аутентификация криптографического элемента, по существу, содержит верификацию источника криптографического элемента. Путем верификации источника криптографического элемента верификатор может получить достаточно уверенности (для дальнейшей обработки принятого сообщения), что криптографический элемент был передан источником либо (а) после того, как между источником и верификатором было установлено общее состояние, либо (b) после того, как источник в последний раз успешно передал криптографический элемент верификатору, в зависимости от того, какое из этих событий имело место последним, или в рамках временного штампа, если используются временные штампы (этот случай описан ниже).Authentication of a cryptographic element essentially comprises verification of the source of the cryptographic element. By verifying the source of the cryptographic element, the verifier can obtain enough confidence (for further processing of the received message) that the cryptographic element was transmitted by the source either (a) after the general state was established between the source and the verifier, or (b) after the source for the last time successfully passed the cryptographic element to the verifier, depending on which of these events took place last, or within the time stamp, if time stamps are used (e that case is described below).

Для обеспечения устойчивости в случае, когда Инициатор передает одно или более сообщений I2', которые не достигают Ответчика, если указанная выше верификация завершается неуспешно, то Ответчик может вычислить небольшое количество величин цепочки хеширования, предшествующих Hi-1, путем многократного применения хеш-функции и, таким образом, генерации других кандидатов для установления соответствия ранее использованному локальному состоянию. То есть вместо того, чтобы требовать наличия в локальном состоянии Hi-1, Ответчик может предоставить возможность содержать вместо этого Hi-2,..., Hi-k, для некоторой малой величины k. Несмотря на то, что этот способ также работает для больших величин k, тем самым предоставляя большую устойчивость в части потери пакетов, желание защитить Ответчика от атак DoS, истощающих ЦПУ, требует установления малого предела величины k, тем самым создавая более высокий порог количества циклов ЦПУ, которые Ответчик будет использовать при верификации криптографического элемента в каком-либо одном сообщении I2'. Сверх того, если Инициатору известна нижняя граница для k, то в случае многократной передачи сообщений I2' без получения сообщения R2 Инициатор может посчитать, что Ответчик, очевидно, не принял сообщения I2' и что, следовательно, общее состояние потеряло актуальность. Как результат Инициатор может перейти обратно к использованию стандартного базового обмена HIP.To ensure stability in the event that the Initiator sends one or more I2 'messages that do not reach the Responder, if the above verification fails, the Responder can calculate a small number of hash chain values preceding H i-1 by repeatedly applying the hash function and thus generating other candidates to match the previously used local state. That is, instead of requiring that H i-1 be in the local state, the Respondent may provide the opportunity to instead contain H i-2 , ..., H ik , for some small value of k. Despite the fact that this method also works for large k values, thereby providing greater stability in terms of packet loss, the desire to protect the Respondent from DoS attacks that deplete the CPU requires a small limit of k, thereby creating a higher threshold for the number of CPU cycles which the Respondent will use when verifying the cryptographic element in any one message I2 '. Moreover, if the Initiator knows the lower bound for k, then in the case of repeated transmission of I2 'messages without receiving the R2 message, the Initiator may consider that the Responder obviously did not receive the I2' message and that, therefore, the general state has lost its relevance. As a result, the Initiator can switch back to using the standard basic HIP exchange.

С другой стороны, если аутентификация проходит успешно, то Ответчику становится известно, что сообщение I2' было недавно передано известным и верифицированным Инициатором. В ответ Ответчик обновляет общее состояние путем сохранения недавно использованной величины Hi цепочки хеширования, как последнего использованного элемента цепочки хеширования, и, по большому счету, переходит к обработке сообщения I2' в соответствии с протоколом стандартного базового обмена HIP, учитывая необходимость корректной верификации решения головоломки и аутентификацию сообщения I2' путем верификации цифровой подписи в сообщении.On the other hand, if the authentication is successful, then the Respondent becomes aware that the message I2 'has recently been transmitted by a known and verified Initiator. In response, the Responder updates the general state by storing the recently used value of the hash chain H i as the last used element of the hash chain, and, by and large, proceeds to process the I2 'message in accordance with the standard basic HIP exchange protocol, taking into account the need to correctly verify the puzzle solution and authenticating the I2 ′ message by verifying the digital signature in the message.

После положительной аутентификации на этапе S4 на этапе S5 Инициатору передается сообщение R2' подтверждения. Сообщение R2' содержит общий ключ Диффи-Хеллмана Ответчика, так что Инициатор может создать материал общего ключа. В остальном сообщение R2' может быть таким же, как и для стандартного протокола.After positive authentication in step S4 in step S5, a confirmation message R2 'is transmitted to the Initiator. Message R2 'contains the Diffie-Hellman Responder public key, so that the Initiator can create the public key material. Otherwise, the R2 'message may be the same as for the standard protocol.

Сообщение R2' подтверждения принимается Инициатором на этапе S6, и на этапе S7 Инициатор верифицирует подпись, использованную Ответчиком для сообщения R2'. Для этой цели Инициатор уже будет иметь в памяти общий ключ PKR Идентификации Хост-узла Ответчика из ранее существующей взаимосвязи. Альтернативно, вместо сведений об общем ключе PKR Идентификации Хост-узла Ответчика, Инициатор может получить его из общей памяти. Если Инициатору известна HITR Ответчика, то необязательно, чтобы общие ключи Идентификации Хост-узла в памяти были защищены по целостности (но они могут быть защищены). Либо PKR может быть передан в сообщении R2'.A confirmation message R2 'is received by the Initiator in step S6, and in step S7, the Initiator verifies the signature used by the Responder for message R2'. For this purpose, the Initiator will already have in memory the common key PK R of the Identity of the Responder's Host from a previously existing relationship. Alternatively, instead of responding to the common key PK R Identity of the Responder's Host, the Initiator can retrieve it from the shared memory. If the Responder's HIT R is known to the Initiator, then it is not necessary that the shared Host Identity keys in memory be protected by integrity (but they can be protected). Or PK R can be transmitted in the message R2 '.

После положительной верификации на этапе S7 на этапе S8 устанавливаются Защищенные Связи HIP, и на этапе S9 осуществляется защищенная связь HIP.After positive verification in step S7, in step S8, Secure HIP Communications are established, and in step S9, secure HIP communications are performed.

Хотя вышеописано, что Ответчику известна (например, имеется в памяти) последняя использованная величина цепочки хеширования (информация общего состояния), Ответчик вместо этого может получить эту информацию из общей памяти, которая является защищенной по целостности. Получение информации, относящейся к цепочке хеширования, из общей памяти по такому способу может создать опасность атаки DoS, поскольку оно требует ресурсов и санкционирует временное состояние у Ответчика, то есть Ответчик должен помнить, что он обрабатывает сообщение I2' до тех пор, пока он не получает хеш-величину или индикацию, что хеш-величина, связанная с HITI Инициатора, не существует. Альтернативно, если Ответчик передает сообщение I2' в общую память вместе с запросом и получает его обратно с ответом, то этой проблемы можно частично избежать.Although it is described above that the Respondent knows (for example, has in memory) the last used value of the hash chain (general status information), the Responder can instead retrieve this information from the shared memory, which is integrity protected. Obtaining information related to the hash chain from shared memory in this way can create a danger of a DoS attack, since it requires resources and authorizes the temporary state of the Respondent, that is, the Responder must remember that it processes the I2 'message until it receives a hash value or an indication that the hash value associated with the HIT I of the Initiator does not exist. Alternatively, if the Responder sends message I2 'to the shared memory along with the request and receives it back with the response, then this problem can be partially avoided.

Также необязательно, чтобы цепочка хеширования хранилась и поддерживалась у Инициатора. Она может храниться и поддерживаться в любом месте при условии, что Инициатор имеет доступ к неиспользованным значениям в цепочке хеширования и что неиспользованные значения в цепочке хеширования недоступны открыто.It is also not necessary that the hash chain is stored and maintained by the Initiator. It can be stored and maintained anywhere, provided that the Initiator has access to unused values in the hash chain and that unused values in the hash chain are not accessible openly.

В описанном выше первом варианте осуществления изобретения информация общего состояния и криптографический элемент относились к цепочке хеширования. Информация общего состояния содержала последний использованный элемент из цепочки хеширования, а криптографический элемент содержал следующий неиспользованный элемент из цепочки хеширования.In the first embodiment described above, the general state information and the cryptographic element belonged to a hash chain. The general state information contained the last used item from the hash chain, and the cryptographic element contained the next unused item from the hash chain.

Вместо использования цепочки хеширования, второй и третий варианты осуществления настоящего изобретения основаны на использовании общего секрета между Инициатором и Ответчиком. Второй и третий варианты осуществления изобретения схожи друг с другом, и оба этих варианта тесно связаны с первым вариантом осуществления изобретения. Второй и третий варианты осуществления изобретения следуют тем же этапам, которые проиллюстрированы на Фиг.5, но с криптографическим элементом и информацией общего состояния, которые отличны от таковых по первому варианту осуществления изобретения. Соответственно, нет необходимости в полном описании второго и третьего вариантов осуществления настоящего изобретения. Вместо этого ниже выделены основные отличия от первого варианта осуществления изобретения.Instead of using a hash chain, the second and third embodiments of the present invention are based on the use of a shared secret between the Initiator and the Respondent. The second and third embodiments of the invention are similar to each other, and both of these options are closely related to the first embodiment of the invention. The second and third embodiments of the invention follow the same steps as illustrated in FIG. 5, but with a cryptographic element and general state information that are different from those of the first embodiment. Accordingly, there is no need for a full description of the second and third embodiments of the present invention. Instead, the main differences from the first embodiment of the invention are highlighted below.

Во втором варианте осуществления изобретения параметр PF, создаваемый на этапе S1, основан на общем секрете и значении синхронизированного счетчика согласно следующему выражению:In the second embodiment of the invention, the parameter PF created in step S1 is based on the shared secret and the value of the synchronized counter according to the following expression:

PF = [hash(HITI, KIR, счетчик), счетчик]PF = [ hash (HIT I , K IR , counter), counter]

где KIR - это общий секрет, "счетчик" - это значение переменной счетчика, которой дается приращение после каждого использования, HITI - это Метка Идентификации Хост-узла Инициатора, а hash() - это любая подходящая хеш-функция. Хеш-функция hash() принимает три ввода (HITI, KIR и "счетчик"), чтобы сгенерировать криптографический элемент, имеющий значение hash(HITI, KIR, счетчик), для включения в параметр PF вместе со значением счетчика, использованным для генерации криптографического элемента. Общий секрет KIR известен только Инициатору и Ответчику или группе доверяющих друг другу Ответчиков, и он разделяется между двумя хост-узлами (или Инициатором и группой Ответчиков) в результате ранее существующей взаимосвязи.where K IR is the shared secret, “counter” is the value of the counter variable that is incremented after each use, HIT I is the Identifier Label of the Initiator's host, and hash () is any suitable hash function. The hash function hash () accepts three inputs (HIT I , K IR and "counter") to generate a cryptographic element with a hash value (HIT I , K IR , counter) to be included in the PF parameter along with the counter value used to generate a cryptographic element. The shared secret of K IR is known only to the Initiator and the Responder or a group of trusting Respondents, and it is shared between two host nodes (or the Initiator and the group of Respondents) as a result of a pre-existing relationship.

Параметр PF передается, принимается и извлекается на этапах S2 и S3, как описано выше в связи с первым вариантом осуществления изобретения. Тем не менее, в этом варианте осуществления изобретения, когда используя HITI, Ответчик выполняет поиск в локальной базе данных, чтобы найти общее состояние, связанное с HITI, информацией общего состояния, которая извлекается из общего секрета KR, является последнее использованное значение счетчика. Ответчик также извлекает из параметра PF значение "счетчика", чтобы восстановить из случая, когда одно или более сообщений I2' были переданы Инициатором, но не достигли Ответчика. Как и раньше, если удается найти состояние, относящееся к HITI, то Ответчик переходит к этапу S4. В отличие от первого варианта осуществления изобретения разность между значением счетчика, хранимым у Ответчика, и значением счетчика, используемым Инициатором, может быть значительно больше параметра k из первого варианта осуществления изобретения, поскольку параметр счетчика является прямым вводом в хеш-функцию, и он не вовлекает многократного применения хеш-функции, как в первом варианте осуществления изобретения.The parameter PF is transmitted, received and retrieved in steps S2 and S3, as described above in connection with the first embodiment of the invention. However, in this embodiment, when using HIT I, the Responder searches the local database to find the general status associated with HIT I , the general status information that is extracted from the shared secret K R is the last used counter value . The Responder also retrieves the “counter” value from the PF parameter to recover from the case when one or more I2 'messages were transmitted by the Initiator but did not reach the Responder. As before, if it is possible to find the state related to HIT I , then the Responder proceeds to step S4. Unlike the first embodiment, the difference between the counter value stored by the Respondent and the counter value used by the Initiator can be significantly larger than the parameter k from the first embodiment, since the counter parameter is a direct input to the hash function, and it does not involve reusing hash functions, as in the first embodiment of the invention.

На этапе S4 Ответчик верифицирует источник криптографического элемента из принятого параметра PF путем вычисления хеш-функции, используя в качестве вводов следующие элементы: HITI из заголовка I2', значение "счетчика" - из параметра PF и KIR - из поиска локального состояния. До вычисления хеша Ответчик верифицирует, что значение счетчика, принятое в параметре PF, больше или равно значению, хранимому в общем состоянии. Вычисленной хеш-функцией является hash(HITI, KIR, счетчик), которая эквивалентна функции, вычисленной Инициатором, чтобы сгенерировать криптографический ключ в начальной стадии. Если верификация проходит успешно, то Ответчику становится известно, что общий секрет был использован корректно и недавно, и что сообщение I2' было недавно отправлено известным и верифицированным Инициатором. Ответчик сохраняет значение счетчика в общем состоянии. Обработка далее продолжается, как описано выше в связи с первым вариантом осуществления изобретения.At step S4, the Responder verifies the source of the cryptographic element from the received parameter PF by calculating the hash function using the following elements as inputs: HIT I from the header I2 ', the value of the "counter" from the parameter PF and K IR from the search for the local state. Prior to computing the hash, the Responder verifies that the counter value accepted in the PF parameter is greater than or equal to the value stored in the general state. The calculated hash function is hash (HIT I , K IR , counter), which is equivalent to the function calculated by the Initiator to generate a cryptographic key in the initial stage. If the verification is successful, then the Respondent becomes aware that the shared secret has been used correctly and recently, and that the message I2 'was recently sent by a well-known and verified Initiator. The transponder stores the counter value in a general state. Processing further continues, as described above in connection with the first embodiment of the invention.

Третий вариант осуществления настоящего изобретения очень похож на второй вариант осуществления, и здесь также используется общий секрет. Третий вариант осуществления изобретения отличается от второго варианта осуществления тем, что вместо значения счетчика используется значение текущего времени, причем Инициатор и Ответчик, предпочтительно, имеют, по меньшей мере, грубо синхронизированные часы. Так, параметр PF в третьем варианте осуществления изобретения создается в соответствии со следующим выражением:The third embodiment of the present invention is very similar to the second embodiment, and a common secret is also used here. The third embodiment differs from the second embodiment in that the current time value is used instead of the counter value, wherein the Initiator and the Responder preferably have at least roughly synchronized clocks. So, the parameter PF in the third embodiment of the invention is created in accordance with the following expression:

PF=[hash(HITI, KIR, текущее время), текущее время]PF = [ hash (HIT I , K IR , current time), current time]

В первом, втором и третьем вариантах осуществления изобретения криптографический элемент может быть сгенерирован, используя любые другие входные значения, известные обоим хост-узлам, например, такие как Метка HITR Идентификации Хост-узла Ответчика. Тем не менее, в первом варианте осуществления изобретения он может содержать только фиксированные входные величины, которые известны на момент, когда Инициатором изначально создается цепочка хеширования, тогда как во втором и третьем вариантах осуществления изобретения он может содержать входные величины, которые определяются во время выполнения. Во втором и третьем вариантах осуществления изобретения хеш-функция hash() может быть заменена каким-либо другим типом функции шифрования, где стороны разделяют секрет вместо использования цепочки хеширования. Использование Метки HITI Идентификации Хост-узла Инициатора в качестве ввода криптографической функции, используемой для генерации криптографического элемента, не является существенным.In the first, second and third embodiments, the cryptographic item may be generated using any other input values known to both the host nodes, such as the Identity Tag HIT R Responder host. However, in the first embodiment of the invention, it can contain only fixed input values that are known at the time when the Hash chain is initially created by the Initiator, while in the second and third embodiments of the invention it can contain input values that are determined at run time. In the second and third embodiments, the hash () hash function can be replaced with some other type of encryption function, where the parties share a secret instead of using a hash chain. Using the HIT I Label of the Identifier of the Initiator Host as an input to the cryptographic function used to generate the cryptographic element is not essential.

Несмотря на то, что выше описаны варианты осуществления изобретения, где Инициатор осуществляет связь с одним Ответчиком и присутствует одна цепочка хеширования для такой связи, вместо одного Ответчика может присутствовать группа Ответчиков, все из которых используют общую директорию для хранения последней использованной величины цепочки хеширования. В этом случае вместо использования отдельных цепочек хеширования для всех хост-узлов в данной группе Инициатор может использовать только одну цепочку хеширования для создания связей HIP ко всем хост-узлам в группе.Although the embodiments of the invention have been described above, where the Initiator communicates with one Responder and there is one hash chain for such communication, instead of one Responder there may be a group of Respondents, all of which use a common directory to store the last used value of the hash chain. In this case, instead of using separate hash chains for all hosts in the group, the Initiator can use only one hash chain to create HIP links to all hosts in the group.

Использование цепочки хеширования и общего секрета может быть комбинировано, и упомянутые выше способы могут быть более или менее усложнены посредством различных средств, которые совершенно очевидны специалистам в данной области техники, без существенного эффекта на их свойства защищенности.The use of a hash chain and a shared secret can be combined, and the above methods can be more or less complicated by various means that are quite obvious to those skilled in the art without significant effect on their security properties.

На этапе S3 первого, второго и третьего вариантов осуществления изобретения поиск в базе данных или директории, предпочтительно, не должен потреблять слишком много ресурсов или слишком много времени, или в противном случае Ответчик станет уязвимым к новой атаке DoS. Тем не менее, при условии, что требуемые усилия и время находятся в разумных пределах, например, если требуется, самое большее, в несколько раз больше ресурсов и времени, чем при верификации решения головоломки в протоколе стандартного базового обмена HIP, процедура модифицированного базового обмена может рассматриваться как достаточно защищенная.In step S3 of the first, second and third embodiments of the invention, the search in the database or directory should preferably not consume too many resources or too much time, or otherwise the Responder will become vulnerable to a new DoS attack. Nevertheless, provided that the required effort and time are within reasonable limits, for example, if at most several times more resources and time are required than when verifying the puzzle solution in the standard HIP basic exchange protocol, the modified basic exchange procedure may regarded as sufficiently protected.

Несмотря на то, что тип параметра PF может быть распознан любым подходящим средством, ожидается, что параметр Свежести Однорангового Узла будет определен как отдельный параметр расширения HIP, и что он будет иметь отдельный идентификатор типа параметра. В этом отношении протокол HIP в настоящее время использует в качестве идентификаторов параметра 16-битные целые числа без знаков, и каждому типу параметра задается уникальный идентификатор типа параметра.Although the type of PF parameter can be recognized by any suitable means, it is expected that the Freshness parameter of the Peer will be defined as a separate HIP extension parameter, and that it will have a separate parameter type identifier. In this regard, the HIP protocol currently uses 16-bit unsigned integers as parameter identifiers, and a unique identifier for the type of parameter is specified for each type of parameter.

Другие подходящие альтернативы для определения того, используется ли стандартная или модифицированная версия протокола базового обмена HIP, включают в себя тип пакета HIP (используя тип, отличающийся от стандартного пакета I2), номер версии HIP, резервное поле в заголовке HIP, управляющие биты HIP (Управление), кодирование информации либо в HIT Инициатора, либо в HIT Ответчика, например, с помощью другого префикса, отличающегося от префикса, который используется в стандартном протоколе, и используя другой тип IP-протокола для передачи сообщений модифицированной версии протокола.Other suitable alternatives for determining whether a standard or modified version of the basic HIP protocol is used include the HIP packet type (using a type different from the standard I2 packet), the HIP version number, the backup field in the HIP header, the HIP control bits (Control ), encoding information in either the HIT of the Initiator or the HIT of the Respondent, for example, using a different prefix different from the prefix used in the standard protocol and using a different type of IP protocol for transmitting modifier messages th e version of the protocol.

В варианте осуществления настоящего изобретения общий ключ PKI Идентификации Хост-узла Инициатора в сообщении I2' может передаваться в чистом виде (если Ответчику он неизвестен), может не передаваться вообще (если известно, что Ответчик уже имеет его) или может быть зашифрован посредством общего ключа Ответчика вместо ключа сессии Диффи-Хеллмана, поскольку общий ключ сессии Диффи-Хеллмана будет доступен только позже.In an embodiment of the present invention, the Initiator's Host Identity PK I shared key in message I2 'may be transmitted in its pure form (if it is unknown to the Respondent), may not be transmitted at all (if it is known that the Responder already has it), or may be encrypted using a common Respondent's key instead of the Diffie-Hellman session key, since the Diffie-Hellman session shared key will only be available later.

Перейдем к вопросам защищенности, относящимся к использованию модифицированного базового обмена HIP согласно настоящему изобретению. Если Ответчик рассматривает Инициатора заслуживающим доверия и компетентным, так что Инициатор никогда не посылает сообщения I2, содержащего ложную информацию, никогда не посылает сообщения I2, если он не имеет намерения инициировать связь HIP с Ответчиком, и сохраняет защищенными неиспользованные величины цепочки хеширования и/или общий секрет, то протокол будет таким же безопасным, как и стандартный базовый обмен HIP. Модификации к способу стандартного базового обмена HIP в большей степени затрагивают часть защиты базового обмена от атак DoS и в меньшей степени другие части. Остальная часть протокола в большой степени соответствует стандартному базовому обмену HIP, за исключением двух основных различий:We now turn to security issues related to the use of the modified basic HIP exchange according to the present invention. If the Respondent considers the Initiator to be trustworthy and competent, so that the Initiator never sends I2 messages containing false information, never sends I2 messages unless he intends to initiate HIP communication with the Responder, and keeps unused hash chain values and / or common secret, the protocol will be as secure as the standard basic HIP exchange. Modifications to the standard basic HIP exchange method affect the protection part of the basic exchange against DoS attacks and to a lesser extent other parts. The rest of the protocol conforms to a large extent to the standard basic HIP exchange, with the exception of two main differences:

Во-первых, Инициатору не нужно изучать общий ключ Идентификации Хост-узла Получателя из (в настоящее время не существующего) сообщения R1, поскольку этот ключ уже известен ему или он может получить его откуда-то еще.Firstly, the Initiator does not need to learn the shared Recipient Host Identity key from the (currently non-existent) R1 message, since this key is already known to him or he can get it from somewhere else.

Во-вторых, общий ключ DHR Диффи-Халлмана Ответчика, несомый в сообщении R1 стандартного базового обмена HIP, сейчас передается в сообщении R2', поскольку сообщение R1 недоступно. В результате общий ключ PKI Идентификации Хост-узла Инициатора в сообщении I2' не может быть зашифрован посредством ключа сессии, а шифрование ключа PKI Идентификации Хост-узла Инициатора делается опциональным в протоколе стандартного базового обмена HIP.Secondly, the Response Diffie-Hallman common key DH R carried in the standard basic HIP exchange message R1 is now transmitted in the message R2 ', because the message R1 is not available. As a result, the initiator's Host Identity PK I shared key in message I2 'cannot be encrypted using the session key, and the Encryption of the Initiator Host Node PK I key is made optional in the standard basic HIP exchange protocol.

Рассматривая защиту от атак DoS, можно сделать следующие наблюдения:Considering protection against DoS attacks, the following observations can be made:

В стандартном базовом обмене HIP для верификации решения головоломки требуется одна хеш-функция. В модифицированном базовом обмене HIP согласно настоящему изобретению верификация параметра Парной Свежести требует выполнения поиска предыдущей величины цепочки хеширования или общего секрета и вычисления одной хеш-функции, если ранее пакеты не были потеряны, и в этом случае может потребоваться небольшое количество вычислений. Иначе говоря, требуемая нагрузка ЦПУ примерно одинаковая, тогда как из-за поиска связанного состояния может иметь место немного увеличенная нагрузка доступа к памяти.In the standard basic HIP exchange, one hash function is required to verify the puzzle solution. In the modified basic HIP exchange according to the present invention, verification of the Fresh Freshness parameter requires searching for the previous value of the hash chain or common secret and calculating one hash function if packets were not previously lost, in which case a small amount of calculations may be required. In other words, the required CPU load is approximately the same, while a slightly increased memory access load may occur due to the search for the associated state.

В стандартном базовом обмене HIP верификация головоломки предоставляет Ответчику уверенность в том, что Инициатор находится там и что он потратил некоторое время ЦПУ, решая головоломку. В модифицированном базовом обмене HIP согласно настоящему изобретению верификация параметра Парной Свежести предоставляет Ответчику уверенность в том, что Инициатор послал сообщение I2' через некоторое время после последней связи с Ответчиком. Если используется общий секрет с временным штампом, то Ответчик получает дополнительную уверенность в том, что либо взломщику ранее удалось перевести часы Инициатора вперед, или, альтернативно, Инициатор действительно послал сообщение сравнительно недавно, то есть в пределах дискретизации временного штампа.In the standard HIP core exchange, puzzle verification provides the Respondent with confidence that the Initiator is there and that he spent some time with the CPU to solve the puzzle. In the modified HIP core exchange of the present invention, the verification of the Fresh Freshness parameter provides the Respondent with the assurance that the Initiator has sent the I2 'message some time after the last communication with the Responder. If a common secret with a time stamp is used, then the Respondent receives additional assurance that either the cracker previously managed to move the Initiator's clock forward, or, alternatively, the Initiator actually sent a message relatively recently, that is, within the discretization of the time stamp.

В стандартном базовом обмене HIP этап верификации головоломки полагается на общую информацию. Любой может решить головоломку и послать решение головоломки Ответчику, а не только Инициатор. Тем не менее, решение головоломки требует определенного количества циклов ЦПУ, и, следовательно, делать это неэкономично. В этом заключается сущность защиты HIP от атак DoS - необходимости предварительного выполнения Инициатором некоторой работы. В варианте осуществления настоящего изобретения имеет место аналогичная схема. Теоретически любой может реверсировать цепочку хеширования, то есть найти следующую неиспользованную величину в цепочке хеширования. Однако это потребует даже больше ресурсов ЦПУ, чем в случае головоломки базового обмена HIP. С другой стороны, Инициатору известна следующая величина цепочки хеширования (поскольку он сгенерировал цепочку хеширования), и, следовательно, если Ответчик доверяет (по меньшей мере, в некоторой степени) Инициатору, и если Ответчику известна последняя использованная величина в цепочке хеширования, то Ответчик может с относительно малыми расходами верифицировать, что Инициатор действительно передал сообщение, которое содержит принятую величину цепочки хеширования, после того, как была передана текущая сохраненная последняя использованная величина цепочки хеширования.In the standard HIP core exchange, the puzzle verification phase relies on general information. Anyone can solve the puzzle and send the puzzle to the Respondent, not just the Initiator. However, solving a puzzle requires a certain number of CPU cycles, and therefore it is uneconomical to do so. This is the essence of protecting HIP from DoS attacks - the need for the Initiator to do some work beforehand. In an embodiment of the present invention, a similar pattern takes place. Theoretically, anyone can reverse the hash chain, that is, find the next unused value in the hash chain. However, this will require even more CPU resources than with the basic HIP exchange puzzle. On the other hand, the Initiator knows the following value of the hash chain (since it generated a hash chain), and therefore, if the Respondent trusts (at least to some extent) the Initiator, and if the Responder knows the last used value in the hash chain, then the Responder may with relatively low costs, verify that the Initiator actually transmitted a message that contains the accepted value of the hash chain after the current saved last one was transmitted This is the size of the hash chain.

Комбинируя уверенность, предоставленную посредством модифицированного сообщения I2', с предположением, что Инициатор является честным и компетентным, как показано выше, Ответчик может рассчитывать на, по меньшей мере, равную степень защищенности, как и в случае стандартного базового обмена HIP. Оба протокола, то есть стандартный и модифицированный согласно настоящему изобретению, имеют уязвимость DoS к атакам типа "человек в середине" (man-in-the-middle). Модифицированный базовый обмен HIP согласно настоящему изобретению без временного штампа имеет ограниченную уязвимость к атакам типа повторного воспроизведения: временной штамп помогает защищаться от таких атак. В частности, если Инициатор посылает сообщения I2', которые имеют параметр PF, но не имеют временного штампа, таким образом, что взломщик может принять сообщение, а Получатель не может, то взломщик может повторно один раз воспроизвести сообщение Получателю, тем самым приводя к тому, что Получатель создает ненужную связь HIP, то есть без необходимости растрачивает ресурсы. Однако эта остаточная атака не может рассматриваться как серьезная, поскольку каждое перехваченное сообщение может быть использовано только один раз, и, следовательно, вызванная дополнительная работа на стороне Получателя естественно ограничена.By combining the assurance provided through the modified I2 'message with the assumption that the Initiator is honest and competent, as shown above, the Respondent can expect at least an equal degree of security, as in the case of standard basic HIP exchange. Both protocols, that is, standard and modified according to the present invention, have a DoS vulnerability to man-in-the-middle attacks. The modified HIP core exchange of the present invention without a time stamp has a limited vulnerability to attacks such as replay: a time stamp helps protect against such attacks. In particular, if the Initiator sends messages I2 ', which have the parameter PF, but do not have a time stamp, so that the cracker can receive the message, and the Recipient cannot, then the cracker can replay the message once to the Recipient, thereby leading to that the Recipient creates unnecessary HIP communication, that is, unnecessarily wastes resources. However, this residual attack cannot be considered serious, since each intercepted message can be used only once, and, therefore, the additional work caused on the side of the Recipient is naturally limited.

Как упомянуто выше, ранее существующая взаимосвязь между Инициатором и Ответчиком для создания общего состояния может быть результатом предыдущего выполнения стандартного базового обмена HIP между двумя хост-узлами, чтобы установить безопасную сессию связи HIP. Тем не менее, может использоваться любая форма ранее существующей взаимосвязи между Инициатором и Ответчиком. Например, общее состояние может быть установлено вручную путем ручного ввода общего секрета в оба хост-узла. Другие примеры будут очевидны специалистам в данной области техники.As mentioned above, the pre-existing relationship between the Initiator and the Responder to create a common state may be the result of a previous execution of a standard basic HIP exchange between two hosts to establish a secure HIP communication session. However, any form of a pre-existing relationship between the Initiator and the Respondent may be used. For example, the general status can be set manually by manually entering the shared secret into both hosts. Other examples will be apparent to those skilled in the art.

Также следует отметить, что если хост-узлы ранее выполняли стандартный базовый обмен HIP, то они могут удерживать результирующую связь HIP в течение достаточно длительного времени и просто использовать сообщения HIP UPDATE, чтобы создать новые SA IPsec. Принципиальным различием между использованием HIP UPDATES и способом согласно настоящему изобретению является то, что в случае сообщения UPDATE материал ключа HIP (а именно, KEYMAT) не регенерируется, тогда как в случае варианта осуществления настоящего изобретения он регенерируется.It should also be noted that if hosts previously performed a standard basic HIP exchange, they can hold the resulting HIP communication for quite some time and simply use the HIP UPDATE messages to create new IPsec SAs. The fundamental difference between using HIP UPDATES and the method according to the present invention is that in the case of an UPDATE message, the HIP key material (namely, KEYMAT) is not regenerated, while in the case of an embodiment of the present invention it is regenerated.

Как упомянуто выше, два цикла туда/обратно и четыре сообщения в стандартном протоколе базового обмена HIP часто могут создавать проблему производительности. Вариант осуществления настоящего изобретения предоставляет значительное техническое преимущество путем предоставления альтернативной процедуры базового обмена HIP с только одним циклом туда/обратно и двумя сообщениями.As mentioned above, two round-trip loops and four messages in the standard HIP core protocol can often pose a performance problem. An embodiment of the present invention provides a significant technical advantage by providing an alternative basic HIP exchange procedure with only one round-trip loop and two messages.

Очевидно, что работа одного или более вышеописанных компонентов может управляться посредством программы, работающей на устройстве или аппарате. Такая операционная программа может храниться на машиночитаемом средстве или может, например, быть реализована в виде сигнала, такого как сигнал загружаемых данных, предоставляемый с веб-сайта Интернет. Прилагаемая формула изобретения должна быть интерпретирована как охватывающая операционную программу саму по себе, или как запись на носителе, или как сигнал, или в любой другой форме.Obviously, the operation of one or more of the above components can be controlled by a program running on a device or apparatus. Such an operating program may be stored on a computer-readable medium, or may, for example, be implemented as a signal, such as a download data signal provided from an Internet site. The appended claims should be interpreted as encompassing the operating program per se, or as recording on a medium, or as a signal, or in any other form.

Специалистам в данной области техники будет очевидно, что варианты осуществления настоящего изобретения не ограничены каким-либо конкретным протоколом или схемой адресации для каждого из уровней, например, в транспортном уровне или сетевом уровне, и оно будет функционировать в структуре HIP какой-бы протокол адресации или транспортный протокол не использовался в этой структуре.It will be apparent to those skilled in the art that embodiments of the present invention are not limited to any particular protocol or addressing scheme for each of the layers, for example, in the transport layer or network layer, and it will function in the HIP structure of any addressing protocol or The transport protocol was not used in this structure.

Claims (46)

1. Способ аутентификации, основанный на модифицированном протоколе идентификации сетевых узлов HIP, содержащий единственный цикл из двух сообщений, для использования первым и вторым сетевыми узлами HIP, имеющими состояние совместного использования на основании предварительно установленной взаимосвязи, содержащий этапы, на которых
отправляют от первого сетевого узла на второй сетевой узел сообщение аутентификации, содержащее идентификатор первого сетевого узла и криптографический элемент данных;
принимают сообщение аутентификации вторым сетевым узлом и используют идентификатор и информацию, касающуюся состояния совместного использования, чтобы аутентифицировать криптографический элемент; и
после успешной аутентификации криптографического элемента отправляют от второго сетевого узла в первый сетевой узел сообщение подтверждения, которое указывает на успешную аутентификацию.1. An authentication method based on a modified HIP network node identification protocol containing a single cycle of two messages for use by the first and second HIP network nodes having a sharing state based on a pre-established relationship, comprising the steps of
send from the first network node to the second network node an authentication message containing the identifier of the first network node and a cryptographic data element;
receiving the authentication message by the second network node and using the identifier and information regarding the sharing status to authenticate the cryptographic element; and
after successful authentication of the cryptographic element, a confirmation message is sent from the second network node to the first network node, which indicates successful authentication. 2. Способ по п.1, в котором идентификатор представляет собой метку идентификации HIP.2. The method of claim 1, wherein the identifier is a HIP identification tag. 3. Способ по п.2, в котором метка идентификации HIP представляет собой Метку Идентификации сетевого узла (HIT) или Локальный Идентификатор Области (LSI).3. The method of claim 2, wherein the HIP identification label is a Network Node Identification Label (HIT) or Local Area Identifier (LSI). 4. Способ по п.1, в котором аутентификация криптографического элемента содержит верификацию источника криптографического элемента.4. The method of claim 1, wherein the authentication of the cryptographic element comprises verifying the source of the cryptographic element. 5. Способ по п.1, содержащий этап, на котором извлекают информацию о состоянии совместного использования, используя принятый идентификатор.5. The method according to claim 1, comprising the step of retrieving the sharing status information using the received identifier. 6. Способ по п.1, содержащий этап, на котором генерируют или выбирают криптографический элемент, используя информацию о состоянии совместного использования.6. The method according to claim 1, comprising the step of generating or selecting a cryptographic element using the sharing status information. 7. Способ по п.1, в котором криптографический элемент получают из выполнения криптографической функции.7. The method according to claim 1, in which the cryptographic element is obtained from performing a cryptographic function. 8. Способ по п.7, в котором криптографическая функция имеет в качестве ввода, по меньшей мере, упомянутый идентификатор.8. The method according to claim 7, in which the cryptographic function has, as input, at least said identifier. 9. Способ по п.7 или 8, в котором криптографическая функция представляет собой хеш-функцию.9. The method according to claim 7 or 8, in which the cryptographic function is a hash function. 10. Способ по п.9, в котором информация о состоянии совместного использования содержит, по меньшей мере, последний использованный элемент из цепочки хеширования, сгенерированной из хеш-функции, и который содержит этап, на котором выбирают следующий неиспользованный элемент в цепочке хеширования для использования в качестве криптографического элемента.10. The method according to claim 9, in which the information about the sharing status contains at least the last used item from the hash chain generated from the hash function, and which contains the step of selecting the next unused item in the hash chain for use as a cryptographic element. 11. Способ по п.10, в котором криптографический элемент аутентифицируется путем вычисления хеш-функции, используя принятый идентификатор и принятый криптографический элемент, и путем сравнения результата с, по меньшей мере, последним использованным элементом.11. The method of claim 10, wherein the cryptographic element is authenticated by computing a hash function using the received identifier and the received cryptographic element, and by comparing the result with at least the last used element. 12. Способ по п.10 или 11, в котором цепочка хеширования предварительно генерируется и, по меньшей мере, неиспользованные элементы в цепочке хеширования сохраняются в первом хост-узле или первый хост-узел имеет к ним доступ.12. The method of claim 10 or 11, wherein the hash chain is pre-generated and at least the unused elements in the hash chain are stored in the first host or the first host has access to them. 13. Способ по п.12, в котором цепочка хеширования генерируется в результате предварительно установленной взаимосвязи.13. The method of claim 12, wherein the hash chain is generated as a result of a predefined relationship. 14. Способ по п.10, в котором цепочка хеширования выделена для взаимодействий между первым и вторым сетевыми узлами.14. The method of claim 10, wherein the hash chain is dedicated to interactions between the first and second network nodes. 15. Способ по п.10, в котором цепочка хеширования выделена для взаимодействий между первыми сетевыми узлами и множеством таких вторых сетевых узлов.15. The method of claim 10, wherein the hash chain is dedicated to interactions between the first network nodes and a plurality of such second network nodes. 16. Способ по п.1, в котором информация о состоянии совместного использования содержит секретную информацию, обмениваемую между первым и вторым сетевыми узлами в результате предварительно установленной взаимосвязи.16. The method according to claim 1, wherein the sharing status information comprises secret information exchanged between the first and second network nodes as a result of a predetermined relationship. 17. Способ по п.16, в котором секретная информация содержит криптографический ключ.17. The method according to clause 16, in which the secret information contains a cryptographic key. 18. Способ по п.16, в котором секретная информация используется как ввод в криптографическую функцию.18. The method according to clause 16, in which the secret information is used as input into a cryptographic function. 19. Способ по п.18, в котором криптографический элемент аутентифицируется путем вычисления криптографической функции, используя принятый идентификатор и секретную информацию, и путем сравнения результата с принятым криптографическим элементом.19. The method of claim 18, wherein the cryptographic element is authenticated by computing a cryptographic function using the received identifier and secret information, and by comparing the result with the received cryptographic element. 20. Способ по п.18, в котором временной штамп используется как ввод в криптографическую функцию.20. The method of claim 18, wherein the time stamp is used as input to a cryptographic function. 21. Способ по п.18, в котором счетчик используется как ввод в криптографическую функцию, и который содержит этап, на котором счетчику дают приращение.21. The method according to p. 18, in which the counter is used as input into the cryptographic function, and which contains the stage at which the counter is incremented. 22. Способ по п.20, в котором сообщение аутентификации содержит временную метку и/или счетчик, и криптографический элемент аутентифицируется путем вычисления криптографической функции, используя принятый временной штамп и/или счетчик, и путем сравнения результата с принятым криптографическим элементом.22. The method according to claim 20, in which the authentication message contains a time stamp and / or counter, and the cryptographic element is authenticated by calculating the cryptographic function using the received time stamp and / or counter, and by comparing the result with the received cryptographic element. 23. Способ по п.1, в котором информация общего состояния хранится во втором сетевом узле.23. The method according to claim 1, wherein the general state information is stored in a second network node. 24. Способ по п.1, который содержит этап, на котором извлекают информацию о состоянии совместного использования из удаленного сервера.24. The method according to claim 1, which comprises the step of retrieving information about the status of sharing from a remote server. 25. Способ по п.24, в котором информация о состоянии совместного использования, хранимая в удаленном сервере, защищена от модификации неавторизованными сторонами.25. The method according to paragraph 24, in which information about the sharing status stored in the remote server is protected from modification by unauthorized parties. 26. Способ по п.24, содержащий этап, на котором пересылают, по меньшей мере, часть сообщения аутентификации в удаленный сервер для излечения информации о состоянии совместного использования.26. The method according to paragraph 24, comprising the step of sending at least a portion of the authentication message to a remote server to recover information about the sharing status. 27. Способ по п.1, в котором сообщение аутентификации содержит общий ключ Диффи-Хеллмана первого сетевого узла.27. The method of claim 1, wherein the authentication message comprises a Diffie-Hellman common key of the first network node. 28. Способ по п.1, в котором сообщение аутентификации содержит общий ключ Идентификации сетевого узла (HI) первого сетевого узла.28. The method according to claim 1, in which the authentication message contains a common Identification key of the network node (HI) of the first network node. 29. Способ по п.1, в котором сообщение подтверждения содержит общий ключ Диффи-Хеллмана второго сетевого узла.29. The method according to claim 1, in which the confirmation message contains a common Diffie-Hellman key of the second network node. 30. Способ по любому из предшествующих пунктов, содержащий этап, на котором подписывают сообщение подтверждения посредством личного ключа второго сетевого узла.30. The method according to any one of the preceding paragraphs, comprising the step of signing a confirmation message using the private key of the second network node. 31. Способ по п.30, содержащий этап, на котором в первом сетевом узле верифицируют подпись, используя общий ключ Идентификации сетевого узла второго сетевого узла.31. The method according to claim 30, comprising the step of verifying the signature in the first network node using the shared key of the Network node identification of the second network node. 32. Способ по п.31, в котором общий ключ Идентификации сетевого узла второго сетевого узла известен первому сетевому узлу в результате предварительно установленной взаимосвязи или он доступен из удаленного сервера.32. The method according to p, in which the shared key Identification of the network node of the second network node is known to the first network node as a result of a pre-established relationship or it is accessible from a remote server. 33. Способ по п.1, содержащий этап, на котором после приема сообщения подтверждения в первом сетевом узле создают Защищенную Связь (SA) HIP между первым и вторым сетевыми узлами.33. The method according to claim 1, comprising the step of creating a HIP Secure Communications (SA) between the first and second network nodes after receiving the confirmation message in the first network node. 34. Способ по п.1, в котором предварительно установленная взаимосвязь получается из того, что предварительно была выполнена процедура стандартного базового обмена HIP между первым и вторым сетевыми узлами.34. The method according to claim 1, in which the pre-established relationship is obtained from the fact that the standard basic HIP exchange between the first and second network nodes has been previously performed. 35. Способ по п.1, содержащий этап, на котором определяют, является ли сообщение аутентификации сообщением 12 стандартного базового обмена HIP или нет.35. The method according to claim 1, comprising determining whether the authentication message is HIP standard message 12 or not. 36. Способ по п.35, содержащий этап, на котором устанавливают отличие сообщения аутентификации от сообщения 12 стандартного базового обмена HIP путем определения типа параметра HIP, связанного с криптографическим элементом.36. The method of claim 35, wherein the authentication message is distinguished from the message 12 of the standard basic HIP exchange by determining the type of HIP parameter associated with the cryptographic element. 37. Способ по п.35, содержащий этап, на котором устанавливают отличие сообщения аутентификации от сообщения 12 стандартного базового обмена HIP на основании одного или более из следующих параметров: тип пакета HIP; поле версии протокола HIP; бит или некоторая комбинация битов из резервного поля заголовка HIP; управление HIP в поле Управления заголовка разновидность в каком-либо одном или в обоих идентификаторах первого и второго сетевых узлов и используемый IP-протокол.37. The method of claim 35, wherein the authentication message is distinguished from the standard HIP message 12 based on one or more of the following parameters: type of HIP packet; HIP protocol version field a bit or some combination of bits from the backup field of the HIP header; HIP control in the Control field of the header is a variation in any one or both identifiers of the first and second network nodes and the IP protocol used. 38. Система связи для выполнения способа аутентификации, основанного на модифицированном протоколе идентификации сетевых узлов HIP, содержащего единственный цикл из двух сообщений между первым и вторым сетевыми узлами HIР системы, имеющими состояние совместного использования, основанное на предварительно установленной взаимосвязи, причем первый сетевой узел содержит средство для направления во второй сетевой узел сообщения аутентификации, содержащего идентификатор первого сетевого узла и криптографический элемент; и второй сетевой узел содержит средство для получения сообщения аутентификации и для использования идентификатора и информации, относящейся к состоянию совместного использования, чтобы аутентифицировать криптографический элемент; и средство для направления в первый сетевой узел сообщения подтверждения, которое указывает успешную аутентификацию, причем направление выполняется после успешной аутентификации криптографического элемента.38. A communication system for performing an authentication method based on a modified protocol for identifying HIP network nodes, comprising a single cycle of two messages between the first and second network nodes of the HIP system having a shared state based on a pre-established relationship, the first network node comprising for sending to the second network node an authentication message containing the identifier of the first network node and a cryptographic element; and the second network node comprises means for receiving an authentication message and for using the identifier and information related to the sharing state to authenticate the cryptographic element; and means for sending to the first network node a confirmation message that indicates successful authentication, the direction being executed after the authentication of the cryptographic element is successful. 39. Способ аутентификации, основанный на модифицированном протоколе идентификации сетевых узлов HIP, содержащий единственный цикл из двух сообщений, для использования сетевым узлом Инициатора HIP, имеющим состояние совместного использования, основанное на предварительно установленной взаимосвязи, с сетевым узлом Ответчика HIP, содержащий этап, на котором направляют в сетевой узел Ответчика HIP сообщение аутентификации, содержащее идентификатор сетевого узла Инициатора HIP и криптографический элемент, причем сообщение аутентификации предназначено для использования в сетевом узле Ответчика HIP, чтобы аутентифицировать криптографический элемент, используя идентификатор и информацию, относящуюся к состоянию совместного использования, так, чтобы после успешной аутентификации криптографического элемента в сетевой узел Инициатора HIP могло быть направлено сообщение подтверждения, которое указывает успешную аутентификацию.39. An authentication method based on a modified HIP network nodes identification protocol containing a single cycle of two messages for use by a HIP Initiator network node having a sharing state based on a pre-established relationship with a HIP Responder network node, comprising the step of send to the HIP Responder network node an authentication message containing the identifier of the HIP Initiator network node and a cryptographic element, the authentication message being nacheno for use in HIP Responder network node to authenticate the cryptographic item using the identifier and information relating to the sharing state, so that after a successful authentication of the cryptographic item in a network node HIP Initiator could be sent a confirmation message which indicates successful authentication. 40. Устройство для выполнения в качестве сетевого узла Инициатора HIP, способа аутентификации, основанного на модифицированном протоколе идентификации сетевых узлов HIP, содержащего единственный цикл из двух сообщений, с сетевым узлом Ответчика HIP, с которым сетевой узел Инициатора HIP имеет состояние совместного использования на основании предварительно установленной взаимосвязи, содержащее средство для направления в сетевой узел Ответчика HIP сообщения аутентификации, содержащего идентификатор сетевого узла Инициатора HIP и криптографический элемент, причем сообщение аутентификации предназначено для использования в сетевом узле Ответчика HIP, чтобы аутентифицировать криптографический элемент, используя идентификатор и информацию, относящуюся к состоянию совместного использования, так, чтобы после успешной аутентификации криптографического элемента в сетевой узел Инициатора HIP могло быть направлено сообщение подтверждения, которое указывает успешную аутентификацию.40. Device for performing, as a network node of a HIP Initiator, an authentication method based on a modified HIP network nodes identification protocol containing a single cycle of two messages with a HIP Responder network node with which the HIP Initiator network node has a sharing state based on previously the established relationship, containing means for sending to the network node of the HIP Responder an authentication message containing the identifier of the network node of the HIP Initiator and cryptographic an authentication element, wherein the authentication message is intended to be used at the HIP Responder's network node to authenticate the cryptographic element using the identifier and information regarding the sharing state, so that after successful authentication of the cryptographic element the confirmation message can be sent to the HIP Initiator's network node, which indicates successful authentication. 41. Способ аутентификации, основанный на модифицированном протоколе идентификации сетевых узлов HIP, содержащий единственный цикл из двух сообщений, для использования сетевым узлом Ответчика HIP, имеющим состояние совместного использования, на основании предварительно установленной взаимосвязи, с сетевым узлом Инициатора HIP, содержащий этапы, на которых получают от сетевого узла Инициатора HIP сообщение аутентификации, содержащее идентификатор сетевого узла Инициатора HIP и криптографический элемент, используют идентификатор и информацию о состоянии совместного использования, чтобы аутентифицировать криптографический элемент, и после успешной аутентификации криптографического элемента направляют в сетевой узел Инициатора HIP сообщение подтверждения, которое указывает успешную аутентификацию.41. An authentication method based on a modified protocol for identifying HIP network nodes, containing a single cycle of two messages, for use by a HIP Responder network node in a shared state, based on a predefined relationship, with a HIP Initiator network node, comprising the steps of receive an authentication message from the HIP Initiator's network node containing the HIP Initiator's network node identifier and cryptographic element, use the identifier and information the sharing status to authenticate the cryptographic element, and after successful authentication of the cryptographic element, a confirmation message indicating successful authentication is sent to the HIP Initiator's network node. 42. Устройство для выполнения в качестве сетевого узла Ответчика HIP способа аутентификации, основанного на модифицированном протоколе идентификации сетевых узлов HIP, содержащего единственный цикл из двух сообщений, с сетевым узлом Инициатора HIP, с которым сетевой узел Ответчика HIP имеет состояние совместного использования на основании предварительно установленной взаимосвязи, содержащее средство для получения от сетевого узла Инициатора HIP сообщения аутентификации, содержащего идентификатор сетевого узла Инициатора HIP и криптографический элемент для использования идентификатора и информации о состоянии совместного использования, чтобы аутентифицировать криптографический элемент и чтобы после успешной аутентификации криптографического элемента направить в сетевой узел Инициатора HIP сообщение подтверждения, которое указывает успешную аутентификацию.42. A device for performing as an HIP Responder network node an authentication method based on a modified HIP network nodes identification protocol containing a single cycle of two messages with a HIP Initiator network node with which the HIP Responder network node has a sharing state based on a predefined a relationship, comprising means for receiving an authentication message from the HIP Initiator's network node containing the identifier of the HIP Initiator's network node and cryptographic Every element to use the ID and state information sharing in order to authenticate the cryptographic item, and that after successful authentication of the cryptographic item to send to the network node HIP Initiator confirmation message that indicates successful authentication. 43. Машиночитаемый носитель, хранящий компьютерную программу, которая при выполнении на устройстве побуждает устройство к выполнению способа по п.39 или 41.43. A computer-readable medium storing a computer program that, when executed on a device, causes the device to execute the method of claim 39 or 41. 44. Машиночитаемый носитель, хранящий компьютерную программу, который при загрузке в устройство приводит к тому, что это устройство становится устройством по п.40 или 42.44. A machine-readable medium storing a computer program, which, when downloaded to a device, causes the device to become the device according to claim 40 or 42. 45. Машиночитаемый носитель по п.43 или 44, который является средством передачи.45. The computer-readable medium of claim 43 or 44, which is a transmission medium. 46. Машиночитаемый носитель по п.43 или 44, который является запоминающим средством. 46. The computer-readable medium of claim 43 or 44, which is a storage medium.
RU2008101790/09A 2005-06-17 2005-06-17 Method and device of host unit identification protocol RU2390959C2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
RU2008101790/09A RU2390959C2 (en) 2005-06-17 2005-06-17 Method and device of host unit identification protocol

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
RU2008101790/09A RU2390959C2 (en) 2005-06-17 2005-06-17 Method and device of host unit identification protocol

Publications (2)

Publication Number Publication Date
RU2008101790A RU2008101790A (en) 2009-07-27
RU2390959C2 true RU2390959C2 (en) 2010-05-27

Family

ID=41047896

Family Applications (1)

Application Number Title Priority Date Filing Date
RU2008101790/09A RU2390959C2 (en) 2005-06-17 2005-06-17 Method and device of host unit identification protocol

Country Status (1)

Country Link
RU (1) RU2390959C2 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2679721C2 (en) * 2014-05-05 2019-02-12 МАЙКРОСОФТ ТЕКНОЛОДЖИ ЛАЙСЕНСИНГ, ЭлЭлСи Attestation of host containing trusted execution environment

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
REN YAN ZHANG HONGKE ZHANG SIDONG IP LAB et al. A proposal to replace HIP base exchange with IKE-H method. IETF Standard-Working-Draft. Internet engineering task force, 10.05.2005. *

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2679721C2 (en) * 2014-05-05 2019-02-12 МАЙКРОСОФТ ТЕКНОЛОДЖИ ЛАЙСЕНСИНГ, ЭлЭлСи Attestation of host containing trusted execution environment
US10956321B2 (en) 2014-05-05 2021-03-23 Microsoft Technology Licensing, Llc Secure management of operations on protected virtual machines

Also Published As

Publication number Publication date
RU2008101790A (en) 2009-07-27

Similar Documents

Publication Publication Date Title
US7996675B2 (en) Host identity protocol method and apparatus
US11212294B2 (en) Data packet security with expiring time-based hash message authentication codes (HMACs)
Gurtov Host identity protocol (HIP): towards the secure mobile internet
US7900242B2 (en) Modular authentication and authorization scheme for internet protocol
Forsberg et al. Protocol for carrying authentication for network access (PANA)
JP4707992B2 (en) Encrypted communication system
CN101160924B (en) Method for distributing certificates in a communication system
CN1833403B (en) Communication system, communication device and communication method
JP2020080530A (en) Data processing method, device, terminal, and access point computer
EP1724964A1 (en) Encryption method for SIP message and encrypted SIP communication system
JP2003101570A (en) Communication processing system and method, and its server device and computer program
JP2004104542A (en) Network, ipsec setting server device, ipsec processing device, and ipsec setting method used therefor
CN101965722A (en) Re-establishment of a security association
CN101305541A (en) Technique for maintaining secure network connections
Ellard et al. Rebound: Decoy routing on asymmetric routes via error messages
CN109981820B (en) Message forwarding method and device
JP2011512052A (en) Integrated handover authentication method for next-generation network environment to which radio access technology and mobile IP-based mobility control technology are applied
WO2005002172A1 (en) Security for protocol traversal
JP2004194196A (en) Packet communication authentication system, communication controller and communication terminal
RU2390959C2 (en) Method and device of host unit identification protocol
Forsberg et al. RFC 5191: Protocol for Carrying Authentication for Network Access (PANA)
CN113225298A (en) Message verification method and device
JP2005167608A (en) System and method for ciphered communication computer program, and computer readable recording medium
CN114268499B (en) Data transmission method, device, system, equipment and storage medium
Kong et al. ESCORT: a decentralized and localized access control system for mobile wireless access to secured domains

Legal Events

Date Code Title Description
MM4A The patent is invalid due to non-payment of fees

Effective date: 20190618