CN101022418B - Hmip认证方法、设备及系统 - Google Patents
Hmip认证方法、设备及系统 Download PDFInfo
- Publication number
- CN101022418B CN101022418B CN200710086834A CN200710086834A CN101022418B CN 101022418 B CN101022418 B CN 101022418B CN 200710086834 A CN200710086834 A CN 200710086834A CN 200710086834 A CN200710086834 A CN 200710086834A CN 101022418 B CN101022418 B CN 101022418B
- Authority
- CN
- China
- Prior art keywords
- local
- anchor point
- address
- option value
- mobile anchor
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Abstract
本发明公开了一种HMIP认证方法;该方法包括:根据与移动锚点唯一对应的认证选项值生成移动节点与所述移动锚点间的共享密钥;根据所述认证选项值进行所述移动锚点与所述移动节点间的本地绑定信令认证,并用所述共享密钥对所述本地绑定信令进行保护。本发明同时公开一种接入路由器、移动节点、移动锚点和HMIP认证系统。采用本发明可以保证HMIP认证的可靠性,加快HMIP认证的处理速度。
Description
技术领域
本发明涉及通信及计算机技术领域,尤其涉及HMIP认证方法、设备及系统。
背景技术
HMIP(Hierarchical Mobile IPv6Mobility Protocol,分级移动IP协议)中,移动节点(Mobile Node,MN)向移动锚点(Mobile Anchors Point,MAP)注册本地绑定,以实现移动节点的本地化管理。执行HMIP协议的系统结构如图1所示,包括:移动节点100、接入路由器(Access Router,AR)101、移动锚点102、家乡代理103、对端节点104。
MN向MAP注册本地绑定的处理流程如图2所示,包括:
步骤200、MN移动到AR1,AR1执行MAP发现流程,获取MAP的前缀及MAP的地址。
步骤201、AR1向MN通告AR1提供的本地前缀、AR1所属MAP的前缀及MAP的地址。这里,MAP提供的前缀可以向邻居AR周期通告。
步骤202、MN根据AR1提供的本地前缀生成LCoA(On Link Care ofAddress,在线转交地址),根据MAP前缀生成RCoA(Regional Care of Address,本地转交地址),并向MAP发送本地绑定请求消息。
步骤203、MAP收到本地绑定请求消息后,在本地建立RCoA与LCoA的关联。这里,MAP可以发布邻居通告,通告本地转交地址。
步骤204、MN向家乡代理注册,以实现MN家乡地址与RCoA的绑定。
在MN向MAP注册本地绑定后,对端节点向MN传送数据报文的处理流程如图3所示,包括:
步骤300、对端节点向MN发送数据报文时,以MN家乡地址为目的地址,该数据报文被家乡代理截获。
步骤301、家乡代理查询绑定列表,获取MAP的地址即RCoA,通过家乡代理与MAP之间的隧道将数据报文发送到MAP。
步骤302、MAP根据RCoA查询到MN的LCoA,通过MN与MAP之间的隧道将数据报文发送到MN。
HMIP协议中MN向MAP注册本地绑定的机制,在一定程度上可以减少通信成本的开销,缩短切换的时延。但是,在分级移动IP域下,MN向MAP注册本地绑定的过程存在一定的安全问题,即MN如何相信一个节点为MAP以及如何保证MN与MAP之间的本地绑定信令的安全。
现有技术提供一种基于SEND(Secure Neighbor Discovery,安全邻居发现)协议的HMIP认证方式,其处理流程如图4所示,包括:
步骤400、MN生成一对公私钥对(Kp,Kv),并向AR发送路由器请求消息(RtSol),请求AR提供本地前缀和AR所属MAP的前缀,该消息用CGA签名,携带CGA选项和公钥Kp选项。
步骤401、AR生成共享密钥Ks,并向MN发送路由器通告消息(RtAdv),通告AR提供的本地前缀和AR所属MAP的前缀,该消息用CGA公钥Kp加密。
步骤402、AR向MAP发送提前绑定更新消息(PBU),通知MAP进行MN与MAP之间的本地绑定信令认证,该消息携带LCoA、RCoA以及共享密钥Ks。这里,AR与MAP之间的安全由安全联盟保证。
步骤403、MN用CGA私钥Kv对路由器通告消息进行解密,提取出共享密钥Ks,根据AR提供的本地前缀生成LCoA,根据AR所属MAP的前缀生成RCoA,向MAP发送本地绑定请求消息(LBU),该消息用共享密钥Ks加密。
步骤404、MAP接收到本地绑定请求消息后,建立LCoA和RCoA的映射关系,并向MN回复绑定应答消息(LBA)。
现有技术提供的HMIP认证方式的不足在于,MN向MAP发送本地绑定请求消息之前,AR需要向MAP发送提前绑定更新消息,通知MAP进行MN与MAP之间的本地绑定信令认证,这就在AR和MAP之间增加了一条信令开销,并且当提前绑定更新消息传送失败时,将导致MN与MAP之间的本地绑定信令认证失败。另外,当MN从一个AR切换到同属于一个MAP的另一个AR时,需要重新进行整个注册本地绑定的处理流程,导致HMIP认证的处理速度较慢。
发明内容
本发明实施例提供HMIP认证方法、设备及系统,用以保证HMIP认证的可靠性,加快HMIP认证的处理速度。
本发明实施例提供一种HMIP认证方法,该方法包括步骤:
接入路由器根据移动节点提供的与移动锚点唯一对应的认证选项值生成移动节点与所述移动锚点间的共享密钥,并将所述共享密钥提供给所述移动节点;
所述移动节点向所述移动锚点请求本地绑定,并在所述本地绑定请求消息中携带所述认证选项值,并用所述共享密钥加密所述本地绑定请求消息中需要保护的内容;
所述移动锚点接收到所述移动节点的本地绑定请求后,从所述本地绑定请求消息中提取信息生成所述共享密钥,解密所述需要保护的内容,并在根据所述认证选项值确定对所述本地绑定请求消息的认证成功时,在本地建立所述在线转交地址与所述本地转交地址对应关系,向所述移动节点返回本地绑定响应消息;
移动节点接收所述移动锚点返回的本地绑定响应消息,根据所述认证选项值确定对所述本地绑定响应消息的认证成功时,在本地建立所述在线转交地址与所述本地转交地址的对应关系。
本发明实施例还提供一种接入路由器,包括:
接收单元,用于接收与移动锚点唯一对应的认证选项值;
生成单元,用于根据所述认证选项值生成移动节点与所述移动锚点间的共享密钥;
发送单元,用于发送所述共享密钥。
本发明实施例还提供一种移动节点,包括:
发送单元,用于提供与移动锚点唯一对应的认证选项值;
接收单元,用于接收根据所述认证选项值生成的移动节点与所述移动锚点间的共享密钥;以及,接收所述移动锚点返回的本地绑定响应消息;
认证单元,用于向所述移动锚点请求本地绑定,并在本地绑定请求消息中携带所述认证选项值,用所述共享密钥加密所述本地绑定请求消息中需要保护的内容;以及,根据所述认证选项值对所述本地绑定响应消息进行认证;
绑定单元,用于在对所述本地绑定响应消息的认证成功后,进行本地绑定。
本发明实施例还提供一种移动锚点,包括:
接收单元,用于接收移动节点的本地绑定请求,其中,本地绑定请求消息中携带有与移动锚点唯一对应的认证选项值,所述本地绑定请求消息中需要保护的内容用根据所述认证选项值生成的所述移动节点与所述移动锚点间的共享密钥加密;
认证单元,用于从所述本地绑定请求消息中提取信息生成所述共享密钥,解密所述需要保护的内容,并根据所述认证选项值对所述本地绑定请求消息进行认证;
绑定单元,用于在对所述本地绑定请求消息的认证成功后,进行本地绑定;
发送单元,用于发送本地绑定响应消息。
本发明实施例还提供一种HMIP认证系统,包括:
接入路由器,用于根据与移动锚点唯一对应的认证选项值生成移动节点与所述移动锚点间的共享密钥,并向所述移动节点提供所述共享密钥;
移动节点,用于向所述接入路由器提供所述认证选项值;向所述移动锚点请求本地绑定,并在本地绑定请求消息中携带所述认证选项值,用所述共享密钥加密所述本地绑定请求消息中需要保护的内容;以及,接收所述移动锚点返回的本地绑定响应消息,根据所述认证选项值对所述本地绑定请求消息进行认证,在认证成功后进行本地绑定;
移动锚点,用于接收所述移动节点的本地绑定请求,从所述本地绑定请求消息中提取信息生成所述共享密钥,解密所述需要保护的内容,并根据所述认证选项值对所述本地绑定请求消息进行认证,在认证成功后进行本地绑定;以及,向所述移动节点返回本地绑定响应消息。
本发明实施例中,根据与移动锚点MAP唯一对应的认证选项值生成移动节点MN与MAP间的共享密钥;根据该认证选项值进行MAP与MN间的本地绑定信令认证,并用生成的共享密钥对本地绑定信令进行保护,可以保证HMIP认证的可靠性,加快HMIP认证的处理速度。
附图说明
图1为背景技术中执行HMIP协议的系统结构示意图;
图2为背景技术中MN向MAP注册本地绑定的处理流程图;
图3为背景技术中对端节点向MN传送数据报文的处理流程图;
图4为背景技术中HMIP认证的处理流程图;
图5为本发明实施例中HMIP认证系统的结构示意图;
图6为本发明实施例中AR的结构示意图;
图7为本发明实施例中MN的结构示意图;
图8为本发明实施例中MAP的结构示意图;
图9为本发明实施例中HMIP认证的处理流程图;
图10为本发明实施例中AR对路由器请求消息中MAP地址选项的处理流程图;
图11本发明实施例中MAP进行本地绑定的处理流程图。
具体实施方式
本发明实施例中,根据与移动锚点MAP唯一对应的认证选项值生成移动节点MN与MAP间的共享密钥;根据该认证选项值进行MAP与MN间的本地绑定信令认证,并用生成的共享密钥对本地绑定信令进行保护,以保证HMIP认证的可靠性,加快HMIP认证的处理速度。
本发明实施例中的一种HMIP认证系统的结构如图5所示,包括接入路由器AR500、MN501、MAP502。
其中,AR500,用于根据与MAP502唯一对应的认证选项值生成MN501与MAP502间的共享密钥,并向MN501提供该共享密钥。
MN501,用于向AR500提供该认证选项值;向MAP502请求本地绑定,并在本地绑定请求消息中携带该认证选项值,用共享密钥加密本地绑定请求消息中需要保护的内容;以及,接收MAP502返回的本地绑定响应消息,根据该认证选项值对本地绑定请求消息进行认证,在认证成功后进行本地绑定。
MAP502,用于接收MN501的本地绑定请求,从本地绑定请求消息中提取信息生成共享密钥,解密本地绑定请求消息中需要保护的内容,并根据该认证选项值对本地绑定请求消息进行认证,在认证成功后进行本地绑定;以及,向MN501返回本地绑定响应消息。
本发明实施例中AR的结构如图6所示,具体包括:接收单元600、生成单元601、发送单元602;其中,接收单元600,用于接收与MAP唯一对应的认证选项值;生成单元601,用于根据所述认证选项值生成MN与所述MAP间的共享密钥;发送单元602,用于发送所述共享密钥。
本发明实施例中MN的结构如图7所示,具体包括:发送单元700、接收单元701、认证单元702、绑定单元703;其中,发送单元700,用于提供与MAP唯一对应的认证选项值;接收单元701,用于接收根据所述认证选项值生成的MN与所述MAP间的共享密钥;以及,接收所述MAP返回的本地绑定响应消息;认证单元702,用于向所述MAP请求本地绑定,并在本地绑定请求消息中携带所述认证选项值,用所述共享密钥加密所述本地绑定请求消息中需要保护的内容;以及,根据所述认证选项值对所述本地绑定响应消息进行认证;绑定单元703,用于在对所述本地绑定响应消息的认证成功后,进行本地绑定。
本发明实施例中MAP的结构如图8所示,具体包括:接收单元800、认证单元801、绑定单元802、发送单元803;接收单元800,用于接收MN的本地绑定请求,其中,本地绑定请求消息中携带有与MAP唯一对应的认证选项值,所述本地绑定请求消息中需要保护的内容用根据所述认证选项值生成的所述MN与所述MAP间的共享密钥加密;认证单元801,用于从所述本地绑定请求消息中提取信息生成所述共享密钥,解密所述需要保护的内容,并根据所述认证选项值对所述本地绑定请求消息进行认证;绑定单元802,用于在对所述本地绑定请求消息的认证成功后,进行本地绑定;发送单元803,用于发送本地绑定响应消息。
这里,与MAP唯一对应的认证选项值可以是由哈希算法获得的哈希值,如单向哈希值,或离散哈希值,也可以是由可执行完整性认证的基于选项的认证算法获得的认证选项值,如由挑战应答式认证算法获得的认证选项值等,本发明实施例中以该认证选项值为单向哈希值为例进行说明。本发明实施例中,由MN提供认证选项值,由AR生成MN与MAP之间的共享密钥,这里也可以由MAP提供认证选项值,由MN与MAP协商两者之间的共享密钥,后续的处理流程类似。
本发明实施例中HMIP认证的处理流程如图9所示,其前提是AR完成对MN的接入认证,包括:
步骤900、MN向AR发送路由器请求消息(RtSol),请求AR提供本地前缀和AR所属MAP的前缀。在此之前,MN生成一组单向哈希链表(V0,V1,V20)和一对公私钥对(Kp,Kv),MN向AR发送的路由器请求消息用CGA(Cryptographically Generated Addresses,加密生成地址)签名,携带CGA选项、公钥Kp选项、Vi(单向哈希值)选项、MAP地址选项。其中,MAP地址选项在进行第一次认证时设为零。
MN在生成单向哈希链表时,不同的MAP具有不同的单向哈希值,即单向哈希值与MAP唯一对应,MN切换到的AR属于不同的MAP时,MAP对应的Vi才发生改变。
步骤901、AR接受MN的路由器请求,向MN返回路由器通告。
具体的,AR接收MN的路由器请求消息,从该消息中提取CGA公钥Kp,并根据本地前缀和MN的接口ID为MN生成在线转交地址LCoA,其中LCoA=AR Prefix+MN IID;以及,根据Vi生成MN与MAP之间的共享密钥Ks’,该共享密钥以组成LCoA和RCoA的材料作为主要输入,如Ks’=SHA1(Ks|Vi|MN IID),其中,Ks是AR与MAP之间的共享密钥。
AR向MN返回路由器通告消息(RtAdv),该消息用CGA公钥Kp加密,携带共享密钥Ks’选项、MAP的SPI索引(Security Parameter Index,安全参数索引)选项和Nonce选项,该消息还携带有AR的本地前缀和AR所属的MAP的前缀。
步骤902、MN接收到AR返回的路由器通告消息后,向MAP请求本地绑定。
具体的,MN接收到AR返回的路由器通告消息后,首先用CGA私钥Kv对该消息进行解密,提取共享密钥材料Ks’、SPI索引、AR的本地前缀、AR所属的MAP的前缀,并根据AR的本地前缀和MN的linklocal地址生成在线转交地址LCoA,发送邻居通告发布MN的地址。同时根据Vi、Ks和MAP前缀生成本地转交地址RCoA:RCoA=Prefix of MAP|First(64,SHA1(Ks|Vi))。
MN向MAP发送本地绑定请求消息(LBU),该消息中携带LCoA地址选项、RCoA地址选项、Vi选项、MAP的SPI索引选项,其中RCoA地址选项用Ks’加密。
步骤903、MAP接受MN的本地绑定请求,向MN返回本地绑定响应。
具体的,MAP收到MN的本地绑定请求消息后,提取出Vi选项、SPI选项、LCoA(即报文源地址)选项,先利用SPI选项查询到对应的Ks,然后利用Ks、Vi生成MAP与MN间的共享密钥Ks’,然后对RCoA选项进行解密,若从本地绑定请求消息中提取出的Vi等于Last(64,RCoA),即该Vi与RCoA相关,则对本地绑定请求消息的认证成功。此时,MAP建立RCoA和LCoA的对应关系,如建立相应的本地绑定列表VCE(SPI,Ks’,RCoA,Vi,,LCoA)。即MAP的绑定列表包含:SPI索引、共享密钥Ks’、RCoA、单向哈希值Vi、LCoA,当然,这里MAP的绑定列表还可以包含MN的接口ID、密钥的生命周期TL。
由于RCoA是根据Vi生成的,若MAP的本地已有RCoA和LCoA的绑定列表,则可以利用本地绑定请求消息中解密出的RCoA计算出Vi,将计算出的Vi与本地绑定列表中的Vi作比较,在两者相同时,可以验证得出来自MN的消息是安全的。
MAP向MN返回本地绑定响应消息,该消息中可以携带令牌Token选项,Token计算如下:
Token=First(128,SHA1(RCoA|MAP address|Vi)
MN接收到MAP的本地绑定响应消息后,根据本地保存的RCoA、Vi和MAP地址计算Token,与消息中Token进行比较,若相等,则对本地绑定响应消息的认证成功,建立本地绑定列表MCE(MAP Address,SPI,Ks’,RCoA)。即MN的绑定列表包含:MN所属MAP的地址、SPI索引、共享密钥Ks’、RCoA。
步骤901中另一种可能的实现方式是,AR接收到来自MN的路由器请求消息后,发现该请求消息中携带MAP地址选项与本设备所述的MAP地址相同,则在向MN返回的路由器通告消息中,无需携带AR的本地前缀和AR所属的MAD的前缀,而是通知MN在向MAP发送的本地绑定请求消息中,携带MN本地已有的LCoA和RCoA。即此时的AR与MN交互的前一个AR同属于一个MAP,无需新生成LCoA和RCoA,从而加快了认证过程。MN可以从本地已有的绑定列表中提取MAP地址,在向AR发送的路由器请求消息中携带MAP地址选项。
在路由器请求消息中携带MAP地址选项与本设备所述的MAP地址不相同或者路由器请求消息中未携带有MAP地址选项时,AR需要向MN提供本地前缀和AR所属的MAP的前缀,MN需要根据该本地前缀和MAP的前缀新生成LCoA和RCoA。
具体的,AR接收到来自MN的路由器请求消息后,对消息中MAP地址选项的处理流程如图10所示,包括:
步骤1000、AR接收来自MN的路由器请求消息。
步骤1001、AR判断路由器请求消息中携带的MAP地址选项是否等于本设备所属的MAP地址,若是,则继续步骤1002,否则进行步骤1004。
步骤1002、AR通过路由器通告消息通知MN,本设备与MN交互的前一个AR属于同一个MAP。
步骤1003、MN向MAP请求本地绑定,并在本地绑定请求消息中携带本地已有的LCoA和RCoA。
步骤1004、MN根据AR提供本地前缀和AR所属的MAP的前缀新生成LCoA和RCoA,后续在向MAP发送的本地绑定请求消息中携带新生成的LCoA和RCoA。
步骤903的另一种实现方式是,当MAP收到来自MN的本地绑定请求消息,并从报文选项中提取LCoA后,可以按LCoA查询本地的绑定列表,若没有该LCoA与RCoA的本地绑定条目,则建立该LCoA与RCoA的本地绑定条目,若有该LCoA与RCoA的本地绑定条目,则可以直接对该本地绑定条目进行更新,从而加快了认证过程。
具体的,此时MAP进行本地绑定的处理流程如图11所示,包括:
步骤1100、MAP接收来自MN的本地绑定请求消息。
步骤1101、MAP从本地绑定请求消息中提取LCoA(即消息源地址),并由该LCoA计算得到MN的接口ID(这里MN的接口ID为LCoA的后64位),根据该接口ID查询MAP的本地绑定列表,如果存在该LCoA与RCoA的本地绑定条目,则继续步骤1102,否则进行步骤1106。
步骤1102、MAP根据Ks’的生成方式验证本地绑定列表中Ks’的完整性,若完整性验证失败,则进行步骤1105,通知认证失败,否则继续步骤1103。
步骤1103、MAP用Ks’对绑定更新消息解密,并验证LCoA和RCoA的合法性,若LCoA和RCoA均为合法,则进行步骤1104,否则进行步骤1105,通知认证失败。
步骤1104、MAP更新相应的MAP绑定列表,转入步骤1109。
步骤1105、MAP向MN返回本地更新响应消息,通知认证失败。
步骤1106、在MAP的本地绑定列表中不存在从本地绑定请求消息提取出的LCoA与RCoA的本地绑定条目时,根据MN的接口ID和Vi生成MN与MAP的共享密钥Ks’。
步骤1107、MAP用生成的Ks’对本地绑定请求消息解密,提取LCoA和RCoA并验证LCoA和RCoA的合法性,若LCoA和RCoA均为合法,则继续步骤1108,否则进行步骤1105,通知认证失败。
步骤1108、MAP建立新的LCoA和RCoA的本地绑定条目。
步骤1109、MAP向MN发送本地绑定响应消息。
本发明实施例中,对于MN获取合法地址后,仿冒外地链路其它地址的情况,可以由MAP根据SPI索引查询AR的前缀,与本地绑定更新中的LCoA前缀相比较,如果不相等,则本地绑定请求消息认证失败。对于MN获取合法地址后,仿冒本地链路其它地址的情况,可以由本地链路路由器DAD检测杜绝。
MN与MAP之间的共享密钥过期时,将导致MAP对MN认证失败,此时MN将重新发起认证过程,不携带MAP地址选项,从而产生MN与MAP之间新的共享密钥。
AR与MAP之间没有安全联盟时,AR与MAP之间传递信令是不安全的,由于MN与MAP之间的共享密钥同AR与MAP之间的共享密钥相关,而AR与MAP之间的共享密钥本身是不安全的,此时AR会在路由器通告消息中通知MN,MN与MAP之间没有安全联盟,因此HMIP无法认证成功。
对于合法MN窃取另一个合法MN的共享密钥Ks’的处理,本发明实施例中,由于共享密钥Ks’是与MN的接口ID以及单向哈希值Vi绑定的,即Ks’=SHA1(Ks|MN IID|Vi),并且,AR限制获得认证的用户使用接口ID与AR提供的前缀生成LCoA,即AR只允许通过认证且用接口ID生成地址的MN通过AR向外发送报文。MN向MAP发送本地绑定请求消息LBU中携带有LCoA,RCoA,Vi,SPI选项,MAP收到MN的报文时,首先根据报文源地址获取MN的接口ID,根据接口ID查询绑定列表是否存在绑定条目,如果存在,则首次验证Ks’的完整性,从而避免Ks’被其它合法用户窃取的问题。另外,MAP从LBU报文提取源地址,检验LCoA地址的合法性。对于RCoA地址的检验,RCoA=MAP Prefix+First(64,SHA1(Ks|Vi)),即LCoA和RCoA的生成方式是确定的,不是随机生成的。
本发明实施例中,根据与移动锚点MAP唯一对应的认证选项值生成移动节点MN与MAP间的共享密钥;根据该认证选项值进行MAP与MN间的本地绑定信令认证,并用生成的共享密钥对本地绑定信令进行保护,可以保证HMIP认证的可靠性,加快HMIP认证的处理速度。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若对本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
Claims (17)
1.一种HMIP认证方法,其特征在于,该方法包括步骤:
接入路由器根据移动节点提供的与移动锚点唯一对应的认证选项值生成移动节点与所述移动锚点间的共享密钥,并将所述共享密钥提供给所述移动节点;
所述移动节点向所述移动锚点请求本地绑定,并在所述本地绑定请求消息中携带所述认证选项值,并用所述共享密钥加密所述本地绑定请求消息中需要保护的内容;
所述移动锚点接收到所述移动节点的本地绑定请求后,从所述本地绑定请求消息中提取信息生成所述共享密钥,解密所述需要保护的内容,并在根据所述认证选项值确定对所述本地绑定请求消息的认证成功时,在本地建立所述在线转交地址与所述本地转交地址对应关系,向所述移动节点返回本地绑定响应消息;
移动节点接收所述移动锚点返回的本地绑定响应消息,根据所述认证选项值确定对所述本地绑定响应消息的认证成功时,在本地建立所述在线转交地址与所述本地转交地址的对应关系。
2.如权利要求1所述的方法,其特征在于,所述移动节点向所述接入路由器提供所述认证选项值时,还提供所述移动锚点的地址,所述接入路由器根据所述移动锚点的地址确定所述移动锚点为本设备所属的移动锚点时,通知所述移动节点在向所述移动锚点请求本地绑定时,在本地绑定请求消息中携带本地原有的在线转交地址和本地转交地址。
3.如权利要求1所述的方法,其特征在于,所述接入路由器还向所述移动节点提供本地前缀和所述移动锚点的前缀,所述移动节点根据所述本地前缀生成在线转交地址,根据所述移动锚点的前缀和所述认证选项值生成本地转交地址,并在向所述移动锚点请求本地绑定时,在本地绑定请求消息中携带生成的在线转交地址和本地转交地址。
4.如权利要求1~3任一项所述的方法,其特征在于,所述本地绑定请求消息中需要保护的内容包括本地转交地址。
5.如权利要求1~3任一项所述的方法,其特征在于,所述移动锚点根据所述认证选项值确定对所述本地绑定请求消息的认证成功是指:所述移动锚点确定所述认证选项值与所述本地转交地址相关;或所述移动锚点确定所述认证选项值与本地保存的认证选项值一致。
6.如权利要求1~3任一项所述的方法,其特征在于,所述移动锚点确定本地已建立有所述在线转交地址与所述本地转交地址的对应关系时,对该对应关系进行更新。
7.如权利要求1~3任一项所述的方法,其特征在于,所述移动节点根据所述认证选项值确定对所述本地绑定响应消息的认证成功是指:所述移动节点根据所述认证选项值在本地生成令牌,确定该令牌与所述本地绑定响应消息中的令牌一致。
8.如权利要求1~3任一项所述的方法,其特征在于,所述在线转交地址与所述本地转交地址的对应关系为所述在线转交地址与所述本地转交地址的绑定列表。
9.如权利要求1所述的方法,其特征在于,所述认证选项值为单向哈希值。
10.一种接入路由器,其特征在于,包括:
接收单元,用于接收与移动锚点唯一对应的认证选项值;
生成单元,用于根据所述认证选项值生成移动节点与所述移动锚点间的共享密钥;
发送单元,用于发送所述共享密钥。
11.一种移动节点,其特征在于,包括:
发送单元,用于提供与移动锚点唯一对应的认证选项值;
接收单元,用于接收根据所述认证选项值生成的移动节点与所述移动锚点间的共享密钥;以及,接收所述移动锚点返回的本地绑定响应消息;
认证单元,用于向所述移动锚点请求本地绑定,并在本地绑定请求消息中携带所述认证选项值,用所述共享密钥加密所述本地绑定请求消息中需要保护的内容;以及,根据所述认证选项值对所述本地绑定响应消息进行认证;
绑定单元,用于在对所述本地绑定响应消息的认证成功后,进行本地绑定。
12.一种移动锚点,其特征在于,包括:
接收单元,用于接收移动节点的本地绑定请求,其中,本地绑定请求消息中携带有与移动锚点唯一对应的认证选项值,所述本地绑定请求消息中需要保护的内容用根据所述认证选项值生成的所述移动节点与所述移动锚点间的共享密钥加密;
认证单元,用于从所述本地绑定请求消息中提取信息生成所述共享密钥,解密所述需要保护的内容,并根据所述认证选项值对所述本地绑定请求消息进行认证;
绑定单元,用于在对所述本地绑定请求消息的认证成功后,进行本地绑定;
发送单元,用于发送本地绑定响应消息。
13.一种HMIP认证系统,其特征在于,包括:
接入路由器,用于根据与移动锚点唯一对应的认证选项值生成移动节点与所述移动锚点间的共享密钥,并向所述移动节点提供所述共享密钥;
移动节点,用于向所述接入路由器提供所述认证选项值;向所述移动锚点请求本地绑定,并在本地绑定请求消息中携带所述认证选项值,用所述共享密钥加密所述本地绑定请求消息中需要保护的内容;以及,接收所述移动锚点返回的本地绑定响应消息,根据所述认证选项值对所述本地绑定请求消息进行认证,在认证成功后进行本地绑定;
移动锚点,用于接收所述移动节点的本地绑定请求,从所述本地绑定请求消息中提取信息生成所述共享密钥,解密所述需要保护的内容,并根据所述认证选项值对所述本地绑定请求消息进行认证,在认证成功后进行本地绑定;以及,向所述移动节点返回本地绑定响应消息。
14.如权利要求13所述的系统,其特征在于,所述移动节点向所述接入路由器提供所述认证选项值时,还提供所述移动锚点的地址,所述接入路由器根据所述移动锚点的地址确定所述移动锚点为本设备所属的移动锚点时,通知所述移动节点在向所述移动锚点请求本地绑定时,在本地绑定请求消息中携带本地原有的在线转交地址和本地转交地址。
15.如权利要求13所述的系统,其特征在于,所述接入路由器还向所述移动节点提供本地前缀和所述移动锚点的前缀,所述移动节点根据所述本地前缀生成在线转交地址,根据所述移动锚点的前缀和所述认证选项值生成本地转交地址,并在向所述移动锚点请求本地绑定时,在本地绑定请求消息中携带生成的在线转交地址和本地转交地址。
16.如权利要求14或15所述的系统,其特征在于,所述本地绑定是指:在本地建立所述在线转交地址与所述本地转交地址的对应关系。
17.如权利要求16所述的系统,其特征在于,所述认证选项值为单向哈希值。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200710086834A CN101022418B (zh) | 2007-03-14 | 2007-03-14 | Hmip认证方法、设备及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200710086834A CN101022418B (zh) | 2007-03-14 | 2007-03-14 | Hmip认证方法、设备及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101022418A CN101022418A (zh) | 2007-08-22 |
| CN101022418B true CN101022418B (zh) | 2010-05-26 |
Family
ID=38710073
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN200710086834A Expired - Fee Related CN101022418B (zh) | 2007-03-14 | 2007-03-14 | Hmip认证方法、设备及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101022418B (zh) |
Families Citing this family (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7779136B2 (en) * | 2007-11-01 | 2010-08-17 | Telefonaktiebolaget L M Ericsson (Publ) | Secure neighbor discovery between hosts connected through a proxy |
| CN102036242B (zh) * | 2009-09-29 | 2014-11-05 | 中兴通讯股份有限公司 | 一种移动通讯网络中的接入认证方法和系统 |
| CN101808319A (zh) * | 2010-03-16 | 2010-08-18 | 东南大学 | 一种保护移动锚点和移动节点通信安全的方法 |
| CN102065430B (zh) * | 2010-12-28 | 2013-07-24 | 上海华御信息技术有限公司 | 实现物联网终端安全接入的方法 |
| CN110401646B (zh) * | 2019-07-15 | 2020-05-05 | 中国人民解放军战略支援部队信息工程大学 | IPv6安全邻居发现过渡环境中CGA参数探测方法及装置 |
| CN117336001A (zh) * | 2022-06-27 | 2024-01-02 | 华为技术有限公司 | 一种加密信息的分发方法及相关装置 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1337134A (zh) * | 1999-01-08 | 2002-02-20 | 艾利森电话股份有限公司 | 重新使用安全关联以改善切换性能 |
| CN1636378A (zh) * | 2001-10-26 | 2005-07-06 | 艾利森电话股份有限公司 | 移动因特网协议中的寻址机制 |
| CN1774138A (zh) * | 2004-11-12 | 2006-05-17 | 艾利森电话股份有限公司 | 移动终端的无缝切换 |
-
2007
- 2007-03-14 CN CN200710086834A patent/CN101022418B/zh not_active Expired - Fee Related
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1337134A (zh) * | 1999-01-08 | 2002-02-20 | 艾利森电话股份有限公司 | 重新使用安全关联以改善切换性能 |
| CN1636378A (zh) * | 2001-10-26 | 2005-07-06 | 艾利森电话股份有限公司 | 移动因特网协议中的寻址机制 |
| CN1774138A (zh) * | 2004-11-12 | 2006-05-17 | 艾利森电话股份有限公司 | 移动终端的无缝切换 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101022418A (zh) | 2007-08-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Lim et al. | A scalable and secure key distribution scheme for group signature based authentication in VANET | |
| Montenegro et al. | Crypto-based identifiers (CBIDs) Concepts and applications | |
| CN108683501B (zh) | 基于量子通信网络的以时间戳为随机数的多次身份认证系统和方法 | |
| US8069470B1 (en) | Identity and authentication in a wireless network | |
| CN101772024B (zh) | 一种用户身份确定方法及装置和系统 | |
| CN104683112A (zh) | 一种基于rsu协助认证的车-车安全通信方法 | |
| CN106304046B (zh) | 对iBeacon广播消息加密、鉴权的方法 | |
| CN101356759A (zh) | 安全密钥材料的基于令牌的分布式生成 | |
| CN101022418B (zh) | Hmip认证方法、设备及系统 | |
| CN101116284A (zh) | 无线电通信网络中的防克隆相互鉴权 | |
| US9628454B2 (en) | Signalling delegation in a moving network | |
| CN108964896B (zh) | 一种基于群组密钥池的Kerberos身份认证系统和方法 | |
| CN101145915B (zh) | 一种可信路由器认证系统和方法 | |
| WO2004021719A1 (en) | A method of generating an authentication | |
| CN107409048A (zh) | 基于公钥的网络 | |
| CN108964895B (zh) | 基于群组密钥池和改进Kerberos的User-to-User身份认证系统和方法 | |
| CN1801705B (zh) | 一种预认证方法 | |
| CN114430552B (zh) | 一种基于消息预认证技术的车联网v2v高效通信方法 | |
| Rathore et al. | Simple, secure, efficient, lightweight and token based protocol for mutual authentication in wireless sensor networks | |
| CN101330438B (zh) | 一种节点间安全通信的方法及系统 | |
| JP5503692B2 (ja) | 無線制御セキュリティシステム | |
| CN100499453C (zh) | 一种客户端认证的方法 | |
| CN101449540B (zh) | 基于委托的移动性管理 | |
| KR20110058067A (ko) | 이동통신망을 이용한 싱크 인증 시스템 및 방법 | |
| Park et al. | Securing 6LoWPAN neighbor discovery |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20100526 Termination date: 20170314 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |