CN100536471C - 一种家乡代理信令消息有效保护方法 - Google Patents
一种家乡代理信令消息有效保护方法 Download PDFInfo
- Publication number
- CN100536471C CN100536471C CNB2006100761154A CN200610076115A CN100536471C CN 100536471 C CN100536471 C CN 100536471C CN B2006100761154 A CNB2006100761154 A CN B2006100761154A CN 200610076115 A CN200610076115 A CN 200610076115A CN 100536471 C CN100536471 C CN 100536471C
- Authority
- CN
- China
- Prior art keywords
- mobile
- home agent
- nemo
- option
- timestamp
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 230000011664 signaling Effects 0.000 title claims abstract description 22
- 238000000034 method Methods 0.000 title claims abstract description 20
- 238000013459 approach Methods 0.000 claims description 3
- 230000005540 biological transmission Effects 0.000 claims description 3
- 230000008878 coupling Effects 0.000 claims description 3
- 238000010168 coupling process Methods 0.000 claims description 3
- 238000005859 coupling reaction Methods 0.000 claims description 3
- 230000008569 process Effects 0.000 abstract description 7
- 230000007246 mechanism Effects 0.000 description 5
- 230000008859 change Effects 0.000 description 4
- 238000004891 communication Methods 0.000 description 4
- 238000012545 processing Methods 0.000 description 4
- 238000013461 design Methods 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 3
- 239000000284 extract Substances 0.000 description 3
- 230000008901 benefit Effects 0.000 description 2
- 238000001514 detection method Methods 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 238000012360 testing method Methods 0.000 description 2
- 206010033307 Overweight Diseases 0.000 description 1
- 230000006978 adaptation Effects 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 230000007812 deficiency Effects 0.000 description 1
- 230000000977 initiatory effect Effects 0.000 description 1
- 238000007689 inspection Methods 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 238000005457 optimization Methods 0.000 description 1
- 235000020825 overweight Nutrition 0.000 description 1
- 238000011160 research Methods 0.000 description 1
- 238000012552 review Methods 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 230000001360 synchronised effect Effects 0.000 description 1
Images
Landscapes
- Mobile Radio Communication Systems (AREA)
Abstract
一种家乡代理信令消息有效保护方法,通过设计一个新的移动选项,移动网络移动消息认证选项来保护移动路由器和家乡代理间的信令消息,绑定更新BU和绑定回复BA。相对于已有的方案如IPSec,该发明大大减小了MR和HA的处理负荷,加快了二者处理信令消息的速度,也加快了子网在不同网络间的切换。同时对于存在子网嵌套的NEMO结构,子网利用直连的父MR先对新进来的子MR信令消息进行认证,通过则转发,否则拒绝为该子网服务。相对于RFC3963中的处理方法,该方案能够更快的检测出非法MR,同时亦加快了合法节点的注册绑定。整个发明方案对于商业部署NEMO提供了便利,降低了对节点硬件要求,进而降低了成本。
Description
技术领域
本发明涉及一种家乡代理信令消息有效保护方法,属于移动IP安全领域。
背景技术
目前移动IP(RFC3775移动IPv6基本支持)、移动网络、移动/无线路由器等移动互联技术的研究与应用成为热点。人们不再满足于使用固定终端或单个移动终端连接到网络,而是希望能将某个属性范围内的终端有机组合起来,以一个相对稳定的集合在Internet上运动地获取信息。例如火车、汽车、航天器、轮船等移动目标上携带多种信息设备借助有线或无线的连接形成一个网络,并随着移动目标位置的变化而动态地改变到Internet的连接。
NEMO工作组于2005年1月发布该组织的第一篇RFC“移动网络基本支持”(RFC3963移动网络基本支持),解决的问题是:如何对整个网络的移动性进行管理,使得整个网络在改变因特网的接入点时,能够保持其在因特网拓扑中的可达性。如果不通过某种明确机制来保证网络的移动性,现存的通信将中断,与全球因特网的连通性将丧失。虽然现有移动IP技术不能完全提供网络移动的支持,但理想的网络移动支持方案应尽可能基于移动IP,目的是保持与节点移动的最大互操作性(RFC4068快速移动IPv6协议),同时满足网络移动应用的各种新要求。
在NEMO的部署过程中,最为重要的问题之一就是安全问题。因为在移动环境中,包括移动路由器在内的移动终端将通过无线链路接入到网络,这种链路相对于有线链路更容易受到重放攻击和其他主动攻击,数据包也非常容易被其他节点截取。在这样的环境下,MR作为发起注册的主动方,其发送给HA的BU很容易被第三方截取并修改,从而欺骗HA为一个伪造的节点进行注册。这里有潜在的安全问题。
与本发明相关的现有技术;
目前针对于NEMO中潜在的安全问题主要有两种解决方案,一是利用IPSec(RFC2401:因特网安全架构和RFC3776使用IPsec协议保护移动IPv6中MN和HA间的信令消息)对MR与HA之间传递的信令消息进行保护,二是通过定制密钥PBK(Purpose-built Keys)协议对信令消息保护。下面分别介绍这两种方案以及其缺点。
NEMO中的IPsec协议;
设计IPSec是为了防止IP地址欺骗,防止任何形式的IP数据报篡改和重放,并为IP数据报提供保证保密性和其他的安全服务,IPSec在网络层提供这些服务,该层是TCP/IP协议栈中包含IP协议的层。IPSec所提供的安全服务是通过使用密码协议和安全机制联合实现的。IPSec能够让系统选择所需的安全协议和算法,同时生成为提供这些服务所必需的密钥以及密钥存放的位置。
IPSec提供的安全服务包括对网络单元的访问控制,数据源认证,提供用于无链接服务协议(如UDP协议)的数据完整性,对重放数据报的监测和拒绝,利用对数据的加密来提供数据流的保密性。IPSec实现是基于IP层的,从而可以为各种上层协议提供服务。在IPv6中使用IPSec将为数据报提供高质量的、可互操作的安全服务。IPSec通过使用两种通信安全协议来达到这些目标:认证头(AH)和封装安全载荷(ESP),同时利用像Internet密钥交换(IKE)协议这样的密钥管理协议来生成及管理共享密钥。
IPsec安全体系结构主要有三个部分组成:
安全协议:认证头(AH)和封装安全载荷(ESP);(RFC2402 IP认证头协议)安全联盟和安全策略;
密钥管理:手工管理和自动管理(IKE);(RFC2409密钥交换协议)
在NEMO中,MR既可以作为一台移动主机(MN),也可以作为一个子网的默认网关。不管MR在网络中以什么样的功能实体出现,只要MR与HA之间启用IPSec进行保护,那么MR与HA之间传送的信令消息(包括BU和BA)可以认为是安全。在这样的环境下,第三方也很难获取截取他们之间的数据并进行解密。当使用IPSec来保护NEMO中的信令消息时,NEMO本身并不需要进行任何扩展,同时NEMO中各实体可以使用IPSec提供的各种加密方式。至于MR与HA如何建立SA、如何进行密钥交换以及如何对数据进行加解密,完全属于IPSec体系结构本身所应该解决的问题。
使用IPSec对MR与HA之间传送的信令消息进行保护主要有以下缺点:
IPSec需要依靠公钥基础设施(PKI)来运作,但该系统目前尚未很好的实施;
IPSec的密钥管理部分需要支持该协议的设备具有很强的处理能力;
对于运算能力较强的移动设备,如笔记本电脑,完全可以承受IPSec所带来的较大计算量和功耗,但是对于NEMO环境中,移动终端很大一部分是手机、PDA等设备,计算能力低,能够承受的功耗有限。同时由于MR也是在运动中,减少功耗也是很重要的,所以相对于IPSec这种对处理器运算能力要求较高,功率消耗较大的体系来讲,并不太适合在NEMO系统中使用。
NEMO中的定制密钥协议;
PBK协议,即定制密钥(Purpose-built Keys)(draft-bradner-pbk-frame目的构造密钥架构)协议。相对于IPSec,PBK是一个轻量级的协议,只能提供有限的安全机制。在PBK协议中,假定:在确保一些操作是安全的基础上,可以认为后续的操作是安全的。在每个NEMO会话前,通信双方产生一对新的公钥、私钥,这对密钥是临时的,只有参与的通信双方(MR和HA)可以使用,无需向第三方注册。当会话结束时,该密钥不再有效。这一对密钥只会由参与的通信设备使用,不会为第三方获得。由于密钥经常变化,从而保护了MR与HA间的信令消息。与IPSec不同,PBK应用于传输层和应用层,而IPSec协议工作于网络层。
PBK在NEMO中的实现步骤如下:
移动路由器创建公钥、私钥对Kpub,Kpri;
移动路由器生成PBID,PBID=hash(Kpub),这里PBID作为移动节点的鉴别标识符;
MR在发往通信对端的第一个包中加入PBID信息,对NEMO来说,PBID可以放在选项头中(如果PBK用在像HTTP等这样的应用服务中,则PBID的位置就应该在应用层了)。也可以在这时把公钥Kpub一起传送(或在任何需要进行认证之前传送);
通信对端接收移动节点发来的PBID,并验证Hash(Kpub),如果匹配则将PBID保存;
当漫游到一个新的地区时,MR用私钥Kpri签名绑定更新消息,并且在其中包含PBID。如果需要抵抗重放攻击,则可以在其中放置临时随机数(nonce)或时间戳(timestamp);
移动路由器将签名后的消息发送给通信对端;
通信对端用所存储的公钥Kpub对接收到的签名进行验证,并向MR所在网段的IP地址发送一个挑战分组(Challenge Packet),该分组包含一个由HA产生的随机数测试值;
当MR接收到挑战分组(challenge packet)后,它用它的私钥Kpri对随机数测试值进行加密,再把结果发送给HA。
HA用接收到的公钥及PBID解密,如果结果与原数据匹配,则HA可以确认MR就是已经向其注册过的MR连接结束后,公钥Kpub、私钥Kpri对被丢弃。下次连接初始化时,又会随机产生新的密钥对。
PBK方案主要缺点:
首先,PBK比起IPSec来说,安全性要差。同时PBK协议侧重于在通信中,它能保证持续的信息均来自于同一个连接源,但是,无法抵御中间人攻击。中间人攻击问题,从本质上看还是因为缺乏对恶意节点的有效的认证,以至于HA或通信对端接受了恶意MR所伪造的绑定更新消息。如果能够明确绑定更新消息来自虚假身份的节点,则可以对该绑定更新消息不予处理或者是报警,从而达到解除中间人攻击的目的。而我们提出的发明方案能够在IPSec与PBK找到一个平衡点,既解决了由于IPSec引入所带来的巨大的计算量和主机功率的消耗,同时又解决了PBK中中间人攻击问题。
发明内容
为了克服现有技术结构的不足,本发明提供一种家乡代理信令消息有效保护方法,通过在BU中加入新的移动选项,NEMO移动消息认证选项来保护BU。
本发明解决其技术问题所采用的技术方案是:在NEMO的基本协议中规定,MR与HA之间的信令消息(BU和BA)通过IPSec来保护。一种家乡代理信令消息有效保护方法,在NEMO环境中,利用一个认证选项作为IPSec的一个替代安全方案。
该方案通过增加一个新的认证选项来保护MR和HA之间的BU和BA,同时该认证选项既可以和IPSec一起使用(一般来说没有必要同时使用二者),也可以单独使用。相对于IPSec而言,该方案是一种轻量级的机制,它基于MR与HA共享密钥移动性安全联盟,共享密钥移动性SA可以静态配置或动态建立。移动性SA(Mobility Security Association)可以理解为基于共享密钥的NEMO认证SA。对于安全性要求不是很高,同时系统资源比较有限的环境下,该方案的优势就比较明显。
一种家乡代理信令消息有效保护方法,分成两个部分,
1、有新的移动选项格式;
2、MR和HA对含有新选项的消息进行处理。
新的移动选项格式:
NEMO作为移动IPv6协议的扩展协议,首先支持移动IPv6基本协议,同时为了能够实现NEMO中最为重要的功能实体移动路由器(MR),NEMO对移动IPv6协议中向家乡代理发送的绑定更新BU和绑定确认BA消息进行了扩展。
与移动IPv6中绑定更新相比,此格式增加了R标志位,当R置位时表示给HA发送绑定更新的是移动路由器,而R清零时则表示是移动节点发送的BU。
同样相对于移动IPv6中BA的格式,此格式中增加了R标志位,当R置位时表示HA支持MR注册,而当R位清零则通知MR家乡代理不支持MR的注册。
有新的移动选项,NEMO移动消息认证选项。该选项基于RFC4285中对于单机移动性认证基础上,对MIPv6认证选项进行扩展,使其能够支持移动网络的认证。
NEMO对绑定更新和绑定确认的扩展分别如表1和表2所示:
表1NEMO中绑定更新BU格式
与移动IPv6中绑定更新相比,此格式增加了R标志位,当R置位时表示给HA发送绑定更新的是移动路由器,而R清零时则表示是移动节点发送的BU。
同样相对于移动IPv6中BA的格式,此格式中增加了R标志位,如表2所示,当R置位时表示HA支持MR注册,而当R位清零则通知MR家乡代理不支持MR的注册。
表2NEMO中绑定确认BA的格式
在NEMO中如果不对这两条消息进行保护的话,将导致严重的安全问题,一些攻击者能够很容易的欺骗HA为自己进行绑定,从而窃取数据。在背景技术一节,介绍现有的两种保护MR和BU间的信令消息方案,但是这两种方案都有其各自的缺点。
在本发明中,为了更好的解决NEMO中的安全问题,设计了一个新的移动选项,NEMO移动消息认证选项。该选项基于RFC4285(RFC4285移动IPv6认证协议)中对于单机移动性认证基础上,对MIPv6认证选项进行扩展,使其能够支持移动网络的认证。对新选项的基本格式设计如表3所示:
表3NEMO移动消息认证选项
NEMO认证选项中各字段的含义如下:
类型:用于标识此移动选项的类型,所占空间为8比特,根据现有的移动IPv6和NEMO中已有的选项类型及值,暂且将该值定义为10。
长度:8比特无符号整型数字,用于标识除了类型和长度本身所占长度之外整个移动选项的长度。
移动安全参数索引SPI:用于标识移动路由器(MR)和家乡代理(HA)间的安全联盟。
时间戳:占64比特的长度,其格式由网络时间协议(RFC1305)指定,用于抵抗重放攻击。
认证数据:这段包含认证相关移动实体的信息,占64比特长度。保护从移动头到(包括)时间戳段的消息。NEMO移动消息认证选项的构造:
该选项中移动类型和长度都是固定值。而基于共享密钥SA由移动性SPI,密钥,认证算法和使用的重传防护机制组成。该选项中SPI是[0-4294967296]内的一个数,其中[0-255]保留。密钥为16字节长的任意值。认证算法是HMAC_SHA1[](RFC2104消息认证算法HMAC)。如果这是消息中唯一的认证选项,则必须是移动头最后一个选项。认证数据的计算从移动头到这个选项中的时间戳,具体算法如下:
认证数据=First(96,HMAC_SHA1(MR-HA共享密钥,移动数据)
移动数据=转交地址|家乡地址|移动头数据(|表示数据按位进行或运算)
移动头数据是移动头内容到这个选项的时间戳字段。计算移动数据时需将移动头的校验和字段设置为0。MAC结果的头96比特用做认证数据字段。
该选项中的时间戳用来抵抗重传攻击。该时间戳可以让家乡代理核查绑定更新是否是MR的最新的绑定更新而不是攻击者重传先前的绑定更新。这对与如下情况特别有用:家乡代理在清除绑定入口后没有保留MR的状态信息。家乡代理在绑定更新被认证后实施重传防护检查。MR则用NEMO移动认证选项中的时间戳来匹配自己发出的绑定更新对应的绑定确认。该时间戳可以作为可选,并不强制MR在发送BU时必须实施该时间戳的填充和处理。如果MR在构造BU的时候,将该时间戳初始化为0时,则HA可以不对该字段进行处理,同时对应该BU的BA中该字段同样填充0。但是当MR准备在BU中使用该字段来抵抗重放攻击时,那么该字段将作为基于共享密钥的移动性SA的一部分。
时间戳重传防护基本原理是节点生成消息,在其中插入当前时间,接收节点检查时间戳是否非常接近自己的当前时间。除非节点间的基于共享密钥的移动性SA定义有区别,默认值7秒可能用来限制这个时间差。数值应该大于3秒。两节点必须有充分同步的工作日时钟。
消息处理流程:
步骤1、MR和HA之间建立一个基于共享密钥的SA;
步骤2、创建NEMO移动消息认证选项,包括时间戳和认证数据;
步骤3、当移动节点和家乡代理收到带有该选项的数据包时,必须核查选项的认证数据,如果认证失败,家乡代理必须发送绑定确认状态编码为NEMO-AUTH-FAIL(表示NEMO认证失败),如果家乡代理没有一个基于共享密钥的SA,家乡代理必须丢弃绑定更新,家乡代理可能记录这些事件,在MR给HA发送的BU中必须包含该新移动选项,如果该选项是BU中唯一的认证选项,那么该选项必须是最后一个移动选项;
步骤4、对时间戳选项进行处理,如果时间戳是合法的,家乡代理在返回给MR的绑定确认中拷贝整个时间戳字段,如果不合法,家乡代理只在绑定确认中拷贝低32比特,高32比特来自自己工作日时间,如果时间戳字段不合法,但绑定更新认证成功,家乡代理必须返回带有状态代码为NEMO-ID-MISMATCH(表示NEMO时间戳选项不匹配)的绑定确认,如果时间戳核查失败,家乡代理比创建绑定缓存入口,收到一个不包含NEMO-ID-MISMATCH的绑定确认,MR必须比较绑定确认中时间戳的值和它发送的绑定更新中时间戳的值,如果匹配,移动节点进一步处理绑定确认中移动节点-家乡代理认证数据,如果不匹配,MR丢弃BA。
本发明技术方案带来的有益效果如下:
在NEMO环境中,利用一个认证选项作为IPSec的一个替代安全方案,该方案相对于IPSec需要处理的数据大大减少,从而有效的降低了各个处理端的负载。
在NEMO环境中,子网的嵌套比较常见,此时数据都是靠建立隧道来传输,导致MR的注册认证绑定过程变得很复杂,在深度嵌套时问题更加突出。此时发明中利用新嵌套的MR的父MR替代HA对该MR发送的BU进行认证,认证成功则转发BU,否则拒绝为该MR服务。这样就能够在更短的时间内发现不合法的MR,同时也减少了网络中不必要的数据传输。
新的选项设计简洁,容易处理,对现有的NEMO协议改动很小,易于实现。
附图说明
下面结合附图和实施例对发明进一步说明。
图1NEMO不存在子网嵌套时的基本拓扑图;
图2NEMO中不存在子网嵌套时MR注册绑定过程;
图3NEMO中存在子网嵌套时基本拓扑图;
图4NEMO中存在子网嵌套时MR绑定注册过程。
具体实施方式
实施例1:
如图1所示,不存在子网嵌套的情况;
当子网不存在嵌套时,整个处理流程和MIPv6中对于MN的处理比较类似,不同的在于二者需要处理不同格式的认证选项。NEMO可以允许子网的嵌套,这一规定让NEMO更加健壮,也使它能够适应无线环境中不断变化的网络拓扑,具有较强的自适应。RFC3963中规定,对于嵌套NEMO中的数据包的处理主要是通过隧道方式,虽然这一方式能够基本处理子网嵌套时的情景,但同时它也带来了众多的问题,尤其是在深度嵌套时,像路由冗余、绑定耗时长等问题就尤其明显。在这样的拓扑结构中,像IPSec这样比较庞大的安全体系,会给这些嵌套的MR带来更大的负荷。所以在不需要非常高的安全环境下,使用上文发明的新的NEMO认证选项来保证安全性,将大大减轻这些MR的负担。
步骤1:MR在家乡网络启动后,通过HA获取自己的家乡地址,并协商他们之间的SA;
步骤2:MR及其所带的子网移动到新的接入路由器AR;
步骤3:MR收到AR上的二层链路触发消息路由器公告(RA)报文,此时MR通过RA中含有的AR前缀生成自己的转交地址COA;
步骤4:AR对MR生成的COA进行重复地址检测;
步骤5:MR构造BU消息,其中MR利用CoA作为自己的源地址,在家乡地址选项中包含自己的家乡地址,同时利用步骤一中协商好的SA生成NEMO移动消息认证选项并填充BU的其他字段,包括时间戳等,完成之后,MR向HA发送BU消息;
步骤6:HA接收到BU消息后,提取其中NEMO移动消息认证选项,利用开始与MR协商好的SA对BU消息中NEMO移动消息认证选项进行认证,成功接收BU并在HA上创建绑定缓存表项。如果成功转到步骤8;
步骤7:HA向MR发送绑定确认BA。完成切换;
步骤8:HA拒绝绑定更新,并给MR发送绑定回复,包含NEMO-AUTH-FAIL,表示认证失败。
实施例2:存在子网嵌套的情况;
为了使得本发明能够以最优的方式处理NEMO的认证,发明在基于上面不存在嵌套的拓扑时的方案基础上,提出了一种新的用于处理存在子网嵌套的方案,该方案完全基于上面我们发明的新的NEMO认证选项,仅仅不同是在存在子网嵌套时,新进来的MR先让上一级MR代替HA来认证该MR发送的BU,如果通过就继续转发给HA,如果不通过,则拒绝为该MR提供服务。通过这样的优化可以更快的发现不合法的MR,同时也更快的为新进来的合法的MR提供服务,而不用每次都等到MR向HA进行注册完(成功或者失败)才接受或者拒绝该新的MR,这在深度嵌套的NEMO拓扑结构这种方案的优势中尤其明显。之所以它的父MR可以提供这样的一种认证,主要是由于两个原因,一是该MR已经向HA注册过,很多关于HA信息它已经知道,而且由于我们方案中仅仅是增加一个认证头部,与IPSec不同的是,该头部的数据也没有加密,上一级MR作为BU的转发路由器(或者说是新加入MR的默认网关),可以很容易的对该BU中的认证选项提取,从而代替HA先对该节点进行认证。具体流程如图4所示:
步骤1:MR在家乡网络启动后,通过HA获取自己的家乡地址,并协商他们之间的SA;
步骤2:MR及其所带的子网移动到新的MR上,形成一个嵌套形式的拓扑,此时新进入的MR作为子MR,而它接入的MR则为它的父MR;
步骤3:子MR收到父MR上的二层链路触发消息路由器公告(RA)报文,此时子MR通过RA中含有的父MR前缀生成自己的转交地址COA;
步骤4:父MR对子MR生成的COA进行重复地址检测;
步骤5:子MR构造BU消息,其中MR利用CoA作为自己的源地址,在家乡地址选项中包含自己的家乡地址,同时利用步骤一中协商好的SA生成NEMO移动消息认证选项并填充BU的其他字段,包括时间戳等,完成之后,MR向HA发送BU消息;
步骤6:父MR截取子MR发送过来的BU消息,并对该BU进行认证,如果通过则转发该BU至HA,否则拒绝为该MR提供;
步骤7:HA接收到父MR发送过来的BU,HA提取BU的信息;
步骤8:利用原来与MR之间协商的SA,对BU消息中NEMO移动消息认证选项进行认证,成功则创建绑定缓存列表,否则拒绝接收;
步骤9:发送BA,同时包含BU中copy来的NEMO移动认证选项;
步骤10:绑定成功。
缩略语中英文对照:
NEMO(Network Mobility)移动网络
HoA(Home Address)家乡地址
CoA(Care of Address)转交地址
MN(Mobile Node)移动节点
MR(Mobile Router)移动路由器
HA(Home Agent)家乡代理
AR(Access Router)接入路由器
CN(Corresponding Node)通信对端
MNP(Mobile Network Prefix)移动子网前缀
BU(Binding Update)绑定更新
BA(Binding Acknowledgement)绑定确认
SPI(Security Parameter Index)安全参数索引
SA(Security Association)安全联盟
Claims (3)
1.一种家乡代理信令消息有效保护方法,其特征是;在移动网络NEMO环境中,利用一个认证选项作为IPSec的一个替代安全方案,认证选项保护移动路由器MR和家乡代理HA之间的绑定更新BU和绑定确认BA,具体包括:
一、在移动IPv6中绑定更新BU消息中新增标志位R,当标志位R置位时表示给家乡代理HA发送绑定更新的是移动路由器MR,而标志位R清零时则表示发送绑定更新的是移动节点MN;
二、在移动IPv6中绑定确认BA消息中增加标志位R,当标志位R置位时表示家乡代理HA支持移动路由器MR注册,而当标志位R位清零则通知家乡代理HA不支持移动路由器MR的注册;
三、新增移动网络NEMO移动消息认证选项,该移动消息认证选项基于RFC4285中对于单机移动性认证基础上,对移动IPv6认证选项进行扩展,支持移动网络的认证,
具体含有以下步骤;
步骤1、移动路由器MR和家乡代理HA之间建立一个基于共享密钥的安全联盟SA;
步骤2、创建移动网络NEMO移动消息认证选项,至少包括时间戳和认证数据;
步骤3、当移动路由器MR和家乡代理HA收到带有移动网络NEMO移动消息认证选项的绑定更新BU消息时,核查该移动消息认证选项的认证数据;如果认证失败,家乡代理HA发送绑定确认状态编码为NEMO-AUTH-FAIL的绑定确认消息;如果家乡代理没有一个基于共享密钥的安全联盟SA,家乡代理HA丢弃绑定更新BU消息,家乡代理HA记录上述事件;在MR给HA发送的BU中包含该移动消息认证选项,如果该移动消息认证选项是BU中是唯一的,那么该移动消息认证选项是最后一个移动消息认证选项;
步骤4、对时间戳进行处理,如果时间戳是合法的,家乡代理HA在返回给移动路由器MR的绑定确认BA中拷贝整个时间戳字段,如果时间戳不合法,家乡代理HA只在绑定确认BA中拷贝低32比特,高32比特来自自己工作日时间;如果时间戳不合法,但绑定更新认证成功,家乡代理HA返回带有状态代码为NEMO-ID-MISMATCH的绑定确认BA消息,如果时间戳核查失败,家乡代理HA不创建绑定缓存入口,并发送一个不包含NEMO-ID-MISMATCH的绑定确认BA;MR比较绑定确认BA中时间戳的值和它发送的绑定更新BU中时间戳的值,如果匹配,移动路由器MR进一步处理绑定确认BA中移动路由器MR和家乡代理HA认证数据,如果不匹配,MR丢弃绑定确认BA。
2.根据权利要求1所述的一种家乡代理信令消息有效保护方法,其特征是:移动网络NEMO移动消息认证选项包含:用于标识所述选项的类型,所占空间为8比特,用于标识除了类型和长度本身所占长度之外整个选项的长度,为8比特无符号整型数字;用于标识移动路由器和家乡代理间的安全联盟的移动安全参数索引SPI;用于抵抗重放攻击的时间戳,占64比特,其格式由网络时间协议指定;包含认证相关移动实体信息的认证数据,占64比特。
3.根据权利要求2所述的一种家乡代理信令消息有效保护方法,特征是:在移动网络NEMO环境中,当存在子网的嵌套时,数据靠建立隧道来传输,利用嵌套移动路由器MR的父移动路由器MR替代家乡代理HA对该嵌套的MR进行认证,认证成功则转发绑定更新BU,否则拒绝为该嵌套的MR提供服务。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB2006100761154A CN100536471C (zh) | 2006-04-27 | 2006-04-27 | 一种家乡代理信令消息有效保护方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB2006100761154A CN100536471C (zh) | 2006-04-27 | 2006-04-27 | 一种家乡代理信令消息有效保护方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1832484A CN1832484A (zh) | 2006-09-13 |
| CN100536471C true CN100536471C (zh) | 2009-09-02 |
Family
ID=36994481
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNB2006100761154A Active CN100536471C (zh) | 2006-04-27 | 2006-04-27 | 一种家乡代理信令消息有效保护方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN100536471C (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101399752B (zh) * | 2007-09-28 | 2011-07-06 | 华为技术有限公司 | 一种移动路由器的识别方法、系统和装置 |
| CN102347831B (zh) * | 2010-07-26 | 2014-12-03 | 华为技术有限公司 | 时间消息处理方法、装置及系统 |
-
2006
- 2006-04-27 CN CNB2006100761154A patent/CN100536471C/zh active Active
Non-Patent Citations (4)
| Title |
|---|
| Authentication Protocol for Mobile IPv6. A.Patel,K.Leung,M.khalil,H.Akhtar,K.Chowdhury.Network Working Group RFC 4285. 2006 |
| Authentication Protocol for Mobile IPv6. A.Patel,K.Leung,M.khalil,H.Akhtar,K.Chowdhury.Network Working Group RFC 4285. 2006 * |
| Mobility Support in IPv6. D.Johnson,C.Perkins,J.Arkko.Network Working Group RFC 3775. 2004 |
| Mobility Support in IPv6. D.Johnson,C.Perkins,J.Arkko.Network Working Group RFC 3775. 2004 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN1832484A (zh) | 2006-09-13 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101965722B (zh) | 安全性关联的重新建立 | |
| JP5745626B2 (ja) | ホストベースのモビリティおよびマルチホーミングプロトコルに対する軽量セキュリティソリューションのための方法および装置 | |
| US8175037B2 (en) | Method for updating a routing entry | |
| CN101150572B (zh) | 移动节点和通信对端绑定更新的方法及装置 | |
| Qiu et al. | Secure group mobility support for 6lowpan networks | |
| Deng et al. | Defending against redirect attacks in mobile IP | |
| US20050246769A1 (en) | Method of generating an authentication | |
| CN112332901B (zh) | 一种天地一体化移动接入认证方法及装置 | |
| CN101861742B (zh) | 用于在移动通信网络中建立密码关系的方法和设备 | |
| Praptodiyono et al. | Mobile IPv6 vertical handover specifications, threats, and mitigation methods: A survey | |
| Shah et al. | A TOTP‐Based Enhanced Route Optimization Procedure for Mobile IPv6 to Reduce Handover Delay and Signalling Overhead | |
| CN1980231B (zh) | 一种在移动IPv6中更新防火墙的方法 | |
| CN100536471C (zh) | 一种家乡代理信令消息有效保护方法 | |
| Modares et al. | Enhancing security in mobile IPv6 | |
| Jara et al. | Mobility modeling and security validation of a mobility management scheme based on ecc for ip-based wireless sensor networks (6lowpan) | |
| You et al. | ESS-FH: Enhanced security scheme for fast handover in hierarchical mobile IPv6 | |
| Haitao et al. | The security issues and countermeasures in Mobile IP | |
| Al Hawi et al. | Secure framework for the return routability procedure in MIPv6 | |
| Barbudhe et al. | Comparative analysis of security mechanism of mobile IPv6 threats against binding update, Route Optimization and Tunneling | |
| Qiu et al. | A pmipv6-based secured mobility scheme for 6lowpan | |
| Xie et al. | Secured macro/micro-mobility protocol for multi-hop cellular IP | |
| Oryema et al. | Secure mobility management using CoAP in the Internet of Things | |
| Mufti et al. | Design and implementation of a secure mobile IP protocol | |
| Jara et al. | Secure mobility management scheme for 6lowpan id/locator split architecture | |
| Qiu et al. | A secure pmipv6-based group mobility scheme for 6l0wpan networks |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| C41 | Transfer of patent application or patent right or utility model | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20160510 Address after: 100044, Beijing, Haidian District sorghum Bridge oblique Street No. 59, No. 1, building 16, 1606 Patentee after: CHINA HIGH-SPEED RAILWAY TECHNOLOGY CO.,LTD. Address before: 100044 Beijing Xizhimen Shangyuan Village No. 3 Patentee before: Beijing Jiaotong University |
|
| TR01 | Transfer of patent right |
Effective date of registration: 20211207 Address after: 100083 2-305-18-7, 3 / F, building 2, yard 59, gaoliangqiaoxie street, Haidian District, Beijing Patentee after: BEIJING DPSHEEN ORBITAL TECHNOLOGY CO.,LTD. Address before: 100044 1606, 16th floor, building 1, yard 59, gaoliangqiaoxie street, Haidian District, Beijing Patentee before: CHINA HIGH-SPEED RAILWAY TECHNOLOGY CO.,LTD. |
|
| TR01 | Transfer of patent right | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20240328 Address after: 100044 1606, 16 / F, Zhongkun building, No.59 courtyard, gaoliangqiaoxie street, Haidian District, Beijing Patentee after: CHINA HIGH-SPEED RAILWAY TECHNOLOGY CO.,LTD. Country or region after: China Address before: 100083 2-305-18-7, 3 / F, building 2, yard 59, gaoliangqiaoxie street, Haidian District, Beijing Patentee before: BEIJING DPSHEEN ORBITAL TECHNOLOGY CO.,LTD. Country or region before: China |
|
| TR01 | Transfer of patent right |