CN101106568B - 生成转交地址及提高路由优化安全性的方法、装置和系统 - Google Patents
生成转交地址及提高路由优化安全性的方法、装置和系统 Download PDFInfo
- Publication number
- CN101106568B CN101106568B CN2007101194803A CN200710119480A CN101106568B CN 101106568 B CN101106568 B CN 101106568B CN 2007101194803 A CN2007101194803 A CN 2007101194803A CN 200710119480 A CN200710119480 A CN 200710119480A CN 101106568 B CN101106568 B CN 101106568B
- Authority
- CN
- China
- Prior art keywords
- address
- binding
- care
- mobile node
- interface identifier
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W80/00—Wireless network protocols or protocol adaptations to wireless operation
- H04W80/04—Network layer protocols, e.g. mobile IP [Internet Protocol]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/10—Integrity
- H04W12/106—Packet or message integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W88/00—Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
- H04W88/14—Backbone network devices
Abstract
本发明公开了一种生成转交地址的方法和装置与提高路由优化安全性的方法和系统,属于移动通信领域。生成转交地址的方法包括:以HoA为输入通过单向函数生成接口标识;将其与MN访问的外部网络的前缀结合生成CoA。提高路由优化安全性的方法包括:用上述方法生成CoA;MN和CN执行RRP;MN用私钥签名BU消息得到绑定授权数据;MN发送包含HoA、CoA和绑定授权数据的BU消息给CN,CN用MN的公钥验证,通过则允许MN与CN在路由优化模式下通信。装置包括接口标识生成模块和转交地址生成模块。系统包括MN和CN。本发明生成的CoA限制了因移动机制误用而导致的攻击,提高了移动IPv6路由优化模式下通信的安全性。
Description
技术领域
本发明涉及移动通信领域,特别涉及一种生成转交地址的方法和装置与一种提高路由优化安全性的方法和系统。
背景技术
随着计算机网络技术和移动通信技术的快速发展,对网络提供移动性提出了需求,移动IPV6是一种在网络层解决移动性的方案。移动IPv6中有三种基本的网络实体:MN(MobileNode,移动节点)、CN(CorrespondentNode,通信节点或通信对端)以及HA(HomeAgent,家乡代理)。一个移动节点可以通过HoA(Home Address,家乡地址)唯一的识别出,HoA是分配给移动节点的一个全局单播可路由地址。移动IPv6规范要求,移动节点从一条链路移动到另一链路的过程中,不中断使用家乡地址正在进行的通信,节点的移动性对传输层和其它高层协议都是透明的。
当移动节点漫游到外地网络时,会通过一定方式生成CoA(Care of Address,转交地址),并通过BU(Binding Update,绑定更新消息)通知家乡代理。家乡代理会截获发送到移动节点家乡网络与移动节点进行通信的报文,再通过隧道模式转发给移动节点;当移动节点向通信节点发送报文时,对报文进行隧道封装后发送到家乡代理,家乡代理对隧道报文进行解封装后转发给通信节点,通信节点收到后,返回BA(Binding Acknowledge,绑定确认)消息,对BU消息进行确认。这种移动节点和通信节点经过家乡代理中转的通信方式被称为三角路由模式。三角路由模式会增加通信时延,存在与移动节点通信的报文头部开销大,增加了移动节点家乡链路的负担,以及路由可能不够优化等问题。移动节点和通信节点的另外一种通信方式为路由优化模式,即通过BU将移动节点当前的位置信息(即CoA)告诉通信节点,通信节点和移动节点之间不经过家乡代理中转而是直接进行通信。路由优化模式下若BU消息没有受到保护,移动节点和通信节点间的通信很容易受到攻击。例如,攻击者用一个伪造的CoA代替BU消息中的CoA,移动节点就无法收到通信节点发送的报文;攻击者也可以重放移动节点先前发送的BU消息,通信节点接受后,会按照BU消息中的旧地址发送数据包,而不是其当前位置;若不对CoA进行检查,恶意节点还可以伪造BU消息将一个受害节点地址作为CoA,从而引发通信节点发送大量的数据至受害节点。
现有技术中一个移动IPv6节点生成转交地址时,其中的接口标识可以采用随意选择一个数据作为接口标识的方式,也可以采用根据移动节点的MAC地址生成一个接口标识的方式。在实现本发明过程中,发明人发现上述生成转交地址的现有技术中至少存在如下问题:对于随意选择一个数据作为接口标识的方式,通信节点得不到转交地址的验证信息;对于通过MAC地址生成接口标识及转交地址的方式,当通信节点与移动节点不在同一子网的情形下,由移动节点发送到通信节点的报文头部中也没有携带移动节点的MAC地址,所以通信节点也无法验证转交地址;由于无法验证转交地址,则移动节点和通信节点进行通信时会很不安全,如通信节点将数据发往错误的转交地址等等。
为了提高路由优化的安全性,目前存在一种现有技术,通过使用RRP(Return RoutabilityProcedure,返回路由可达过程)的方法生成Kbm(Binding Management Key,绑定管理密钥),使用Kbm保护MN和CN之间的BU与BA消息。当MN与CN进行路由优化模式通信时,先执行返回路由可达过程,然后生成Kbm,在进行对端注册时,用Kbm生成绑定授权数据保护BU和BA的完整性。参见图1,返回路由可达过程具体如下:
MN向CN发送HoTI(Home Test Init,家乡测试初始)消息,该消息的内层源IP地址为HoA(通过隧道方式由家乡代理转发给CN),并请求获得家乡秘密生成令牌(Home KeygenToken),其中还可以携带cookie(MN生成的随机数-小甜点)。CN收到HoTI消息后,按下面的方法计算家乡秘密生成令牌:
Home Keygen Token=First(64,HMAC-SHA1(Kcn,HoA|Nonce|0));
其中Kcn是只有CN才知道的秘密,Nonce是由CN生成的随机数。生成家乡秘密生成令牌后,CN把家乡秘密生成令牌放在HoT(Home Test,家乡测试)消息(即对HoTI消息的响应消息)中发送给MN,同时也会将收到的HoTI消息中的cookie放在HoT消息中。
另外,MN还向CN发送CoTI(Care of Test Init,转交测试初始)消息,将MN的CoA传给CN,并请求获得转交秘密生成令牌(Care-of Keygen Token),其中也可以携带cookie。CN收到CoTI消息后,按下面的方法计算转交秘密生成令牌:
Care-of Keygen Token=First(64,HMAC-SHA1(Kcn,CoA|Nonce|1));
其中Kcn与Nonce的值同上。生成转交秘密生成令牌后,CN把转交秘密生成令牌放在CoT(Care of Test,转交测试)消息(即对CoTI消息的响应消息)中发送给MN,同时也会将收到的cookie放在CoT消息中发过去。
MN收到CN返回的HoT和CoT消息后,分别进行cookie检查,验证通过后,从HoT中取出家乡秘密生成令牌,从CoT中取出转交秘密生成令牌,然后按照如下方法计算出Kbm:
Kbm=SHA1(Home Keygen Token|Care-of Keygen Token)。
当MN向CN发起对端注册时,用上述Kbm生成MAC(Message Authentication Code,消息鉴别码),作为绑定授权数据放在BU消息中,CN收到BU消息后,用同样的方法生成Kbm,进而生成MAC,来验证BU消息中的MAC,从而判别出收到的BU消息的正确性。
当MN向CN注销绑定关系时,在返回路由可达过程中可以只执行HoTI和HoT,则CN只生成家乡秘密生成令牌,且MN与CN按照如下方法计算出Kbm:
Kbm=SHA1(Home Keygen Token);
然后用生成的Kbm来生成BU消息中的MAC,作为对BU消息的验证。
在实现本发明过程中,发明人发现上述现有技术中至少存在如下问题:
在返回路由可达过程结束后,MN还没有发送BU消息将HoA与CoA进行绑定之前,攻击者可以通过非法获取HoT消息和CoT消息,并用同样的方法来计算生成Kbm,从而伪造BU消息,导致CN将数据发向错误的地址。例如,攻击者窃听到CN发给MNa的CoT消息,并提取出转交秘密生成令牌,窃听到CN发给MNb的HoT消息,并提取出家乡秘密生成令牌,然后计算出Kbm,并将CoAa与HoTb绑定向CN发送BU消息,该BU可以被CN验证通过并接受,因此CN通过路由优化发送到MNb的流量被重定向到了MNa,导致数据传输的安全性降低。
发明内容
为了提高生成转交地址的安全性,本发明实施例提供了一种生成转交地址的方法和装置。所述技术方案如下:
一种生成转交地址的方法,所述方法包括:
以移动节点的家乡地址为输入通过单向函数运算生成接口标识,对所述接口标识进行处理得到长度为64bit的接口标识;
将所述长度为64bit的接口标识与所述移动节点访问的外部网络的前缀结合生成转交地址。
一种生成转交地址的装置,所述装置包括:
接口标识生成模块,用于以移动节点的家乡地址为输入通过单向函数运算生成接口标识,对所述接口标识进行处理得到长度为64bit的接口标识;
转交地址生成模块,用于将所述接口标识生成模块生成的长度为64bit的接口标识与所述移动节点访问的外部网络的前缀结合生成转交地址。
上述技术方案具有如下有益效果:
通过以移动节点MN的家乡地址HoA为输入,并利用单向函数运算生成接口标识以及转交地址CoA,使CN可以得到转交地址的验证信息,限制了因移动机制误用而导致的攻击,提高了移动IPv6的CoA的安全性。
为了提高路由优化通信的安全性,本发明实施例提供了一种提高路由优化安全性的方法和系统。所述技术方案如下:
一方面,本发明实施例提供了一种提高路由优化安全性的方法,所述方法包括:
移动节点以家乡地址为输入通过单向函数运算生成接口标识,对所述接口标识进行处理得到长度为64bit的接口标识;
所述移动节点将所述长度为64bit的接口标识与所述移动节点访问的外部网络的前缀结合生成转交地址;
所述移动节点和通信节点使用所述家乡地址和转交地址执行返回路由可达过程,然后分别生成相同的绑定管理密钥;
所述移动节点和通信节点分别用自己生成的绑定管理密钥生成绑定授权数据;
所述移动节点发送包含所述家乡地址、转交地址和自己生成的绑定授权数据的绑定更新消息给通信节点;
所述通信节点收到所述绑定更新消息后,验证所述绑定更新消息中的绑定授权数据,如果与自己生成的绑定授权数据一致,则允许所述移动节点与通信节点进行路由优化模式下的通信。
另一方面,本发明实施例还提供了一种提高路由优化安全性的方法,所述方法包括:
移动节点以家乡地址为输入通过单向函数运算生成接口标识,对所述接口标识进行处理得到长度为64bit的接口标识,所述家乡地址通过密码学方法生成;
所述移动节点将所述长度为64bit的接口标识与所述移动节点访问的外部网络的前缀结合生成转交地址;
所述移动节点和通信节点使用所述家乡地址和转交地址执行返回路由可达过程;
所述移动节点用自己的私钥签名绑定更新消息,作为所述绑定更新消息的绑定授权数据;
所述移动节点发送包含所述家乡地址、转交地址和绑定授权数据的所述绑定更新消息给通信节点,并在所述绑定更新消息中携带所述移动节点的公钥;
所述通信节点收到所述绑定更新消息后,提取出所述移动节点的公钥,用所述移动节点的公钥验证所述绑定更新消息中的绑定授权数据,如果验证通过,则允许所述移动节点与通信节点进行路由优化模式下的通信。
一方面,本发明实施例提供了一种提高路由优化安全性的系统,所述系统包括移动节点和通信节点,所述移动节点包括:
转交地址生成模块,用于以所述移动节点的家乡地址为输入通过单向函数运算生成接口标识,对所述接口标识进行处理得到长度为64bit的接口标识;将所述长度为64bit的接口标识与所述移动节点访问的外部网络的前缀结合生成转交地址;
密钥生成模块,用于与所述通信节点一起使用所述家乡地址和所述转交地址生成模块生成的转交地址执行返回路由可达过程,然后生成绑定管理密钥;
授权数据生成模块,用于用所述密钥生成模块生成的绑定管理密钥生成绑定授权数据;
发送模块,用于发送包含所述家乡地址、所述转交地址生成模块生成的转交地址和所述授权数据生成模块生成的绑定授权数据的绑定更新消息给所述通信节点;
所述通信节点包括:
密钥生成模块,用于与所述移动节点一起使用所述家乡地址和所述转交地址生成模块生成的转交地址执行返回路由可达过程,然后生成与所述移动节点的密钥生成模块生成的绑定管理密钥相同的绑定管理密钥;
授权数据生成模块,用于用所述通信节点的密钥生成模块生成的绑定管理密钥生成绑定授权数据;
接收模块,用于接收所述发送模块发来的绑定更新消息;
比对模块,用于将所述接收模块收到的绑定更新消息中的绑定授权数据与所述通信节点的授权数据生成模块生成的绑定授权数据进行比对;
控制模块,用于当所述比对模块比对的结果一致时,允许所述移动节点与通信节点进行路由优化模式下的通信。
另一方面,本发明实施例还提供了一种提高路由优化安全性的系统,所述系统包括移动节点和通信节点,所述移动节点包括:
转交地址生成模块,用于以所述移动节点的家乡地址为输入通过单向函数运算生成接口标识,对所述接口标识进行处理得到长度为64bit的接口标识;将所述长度为64bit的接口标识与所述移动节点访问的外部网络的前缀结合生成转交地址,所述家乡地址通过密码学方法生成;
返回路由可达执行模块,用于与所述通信节点一起使用所述家乡地址和所述转交地址生成模块生成的转交地址执行返回路由可达过程;
授权数据生成模块,用于用所述移动节点的私钥签名绑定更新消息,作为所述绑定更新消息的绑定授权数据;
发送模块,用于发送包含所述家乡地址、所述转交地址生成模块生成的转交地址和所述授权数据生成模块生成的绑定授权数据的所述绑定更新消息给所述通信节点,并在所述绑定更新消息中携带所述移动节点的公钥;
所述通信节点包括:
返回路由可达执行模块,用于与所述移动节点一起使用所述家乡地址和所述转交地址生成模块生成的转交地址执行返回路由可达过程;
接收模块,用于接收所述发送模块发来的绑定更新消息;
验证模块,用于提取所述接收模块收到的绑定更新消息中的所述移动节点的公钥,并用所述移动节点的公钥验证所述绑定更新消息中的绑定授权数据;
控制模块,用于当所述验证模块验证通过时,允许所述移动节点与通信节点进行路由优化模式下的通信。
上述技术方案具有如下有益效果:
通过在移动节点MN的家乡地址HoA的基础上生成转交地址CoA,使用该CoA执行返回路由可达过程RRP;然后计算出绑定管理密钥Kbm,使用Kbm生成绑定授权数据,用来对BU消息进行验证;当HoA用CGA(Cryptographically Generated Addresses,密码学方法生成的地址)方式生成时,通过使用MN的私钥签名BU消息作为绑定授权数据,来验证BU消息;验证通过后,MN与CN可以进行路由优化模式下的通信,限制了因移动机制误用而导致的攻击,提高了移动IPv6的路由优化模式下通信的安全性。
附图说明
图1是现有技术中返回路由可达过程示意图;
图2是本发明实施例1提供的生成转交地址的方法的流程图;
图3是本发明实施例2提供的生成转交地址的装置的结构图;
图4是本发明实施例3提供的提高路由优化安全性的方法的流程图;
图5是本发明实施例4提供的提高路由优化安全性的系统的结构图;
图6是本发明实施例5提供的另一种提高路由优化安全性的方法的流程图;
图7是本发明实施例6提供的另一种提高路由优化安全性的系统的结构图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明实施方式作进一步地详细描述。
本发明实施例在移动节点MN的家乡地址HoA的基础上生成转交地址CoA,使用该CoA执行返回路由可达过程RRP,然后计算出绑定管理密钥Kbm,使用Kbm生成绑定授权数据,用来对BU消息进行验证;当HoA用CGA方式生成时,通过使用MN的私钥签名BU消息作为绑定授权数据,来验证BU消息;验证通过后,MN与CN可以进行路由优化模式下的通信。
实施例1
参见图2,本发明实施例提供了一种生成转交地址的方法,具体包括:
步骤101:以MN的HoA为输入通过单向函数运算生成标识OID。
其中,利用单向函数PRF(Pseudo Random Function,伪随机函数)进行运算的公式具体如下:
OID=PRF(Expression);
其中Expression可以为MN的HoA,也可以为MN所访问的外部网络的网络前缀(SubnetPrefix)与HoA的组合;PRF是单向密码学函数,它可以是MD5、SHA-1、SHA256或AES-XCBC-PRF等单向函数。因此上述公式可以有多种形式,例如:
OID=SHA-1(HoA);
或OID=MD5(HoA|Subnet Prefix)等等。
步骤102:生成OID后,MN对OID进行处理得到长度为64bit的接口标识(Interface ID)。
如果OID的长度超过64bit,处理的方式有多种,例如,可以按如下公式进行处理后作为CoA的接口标识:
Interface ID=Abs(64,n,OID);
即从OID中选取从n bit开始的前64bit作为接口标识Interface ID,第一次生成CoA时可以选取n=0,当地址冲突时,可以通过改变n的值来重新生成接口标识以及相应的CoA;其中,n为预先设置的起始位;
还可以按如下方式进行处理:将OID按64bit分成多个块,如果划分过程中最后一块不足64bit,则从其它块中任意取相应长度的内容补充成64bit,假设将OID划分为N块,分别为:Block1、Block2、...、BlockN,则接口标识可以按如下公式计算:
步骤103:生成CoA的接口标识后,MN将访问的外部网络的前缀Subnet Prefix与接口标识结合,生成MN的CoA。
当MN的HoA是通过CGA方式生成时,上述步骤101可以具体为:
将MN的HoA与MN的公钥组合后作为输入,或者将MN访问的外部网络的前缀与HoA和公钥组合后作为输入,通过单向函数运算生成接口标识,即Expression中还可以包括MN的公钥信息。
进一步地,在上述方法中还可以增加对生成的CoA执行重复地址检测的步骤:
判断生成的CoA与网络中已使用的IP地址是否相同,如果相同,即发现地址冲突,则按下面的步骤重新生成接口标识Interface ID,进而重新生成一个可用的CoA:
修改起始位n的值,在原来的基础上增加增量,即n=n+increment,其中increment为预先设置的增量,可以为1、2、3、4、5、6、7、8、16、32等固定值,然后用如下公式运算:
Interface ID=Abs(64,n,OID)。
本实施例通过以MN的HoA为输入,利用单向函数运算生成接口标识以及CoA,使CN可以得到转交地址的验证信息,限制了因移动机制误用而导致的攻击,提高了移动IPv6的CoA的安全性;通过对生成的CoA进行地址检查,可以避免网络中发生地址冲突。
实施例2
参见图3,本发明实施例提供了一种生成转交地址的装置,具体包括:
(1)接口标识生成模块,用于以移动节点的家乡地址为输入通过单向函数运算生成接口标识;
(2)转交地址生成模块,用于将接口标识生成模块生成的接口标识与移动节点访问的外部网络的前缀结合生成转交地址。
接口标识生成模块可以具体包括:
1)组合单元,用于将移动节点访问的外部网络的前缀与移动节点的家乡地址进行组合;
2)生成单元,用于将组合单元组合后得到的数据作为输入,通过单向函数运算生成接口标识。
当移动节点的家乡地址通过密码学方法生成时,接口标识生成模块可以具体包括:
1)组合单元,用于将移动节点的家乡地址与移动节点的公钥进行组合,或者将移动节点访问的外部网络的前缀与家乡地址和公钥进行组合;
2)生成单元,用于将组合单元组合后得到的数据作为输入,通过单向函数运算生成接口标识。
其中,上述装置还可以包括:
长度处理模块,用于判断接口标识生成模块生成的接口标识的长度是否超过64比特位,如果是,则设置一个起始位,从起始位开始,取64比特位,作为新的接口标识发送给转交地址生成模块。
其中,上述装置也可以包括:
长度处理模块,用于判断接口标识生成模块生成的接口标识的长度是否超过64比特位,如果是,则将接口标识按64比特位划分成多个块,若最后一块不足64比特位,则从其它块中任意取相应长度的内容补充成64比特位,然后对多个块进行位逻辑运算,将运算的结果作为新的接口标识发送给转交地址生成模块。
为了避免发生地址冲突,上述装置还可以包括:
地址检查模块,用于当转交地址生成模块生成转交地址后,判断转交地址与网络中已使用的IP地址是否相同,如果相同,则设置增量,对长度处理模块设置的起始位和增量进行求和运算,以运算的结果为新的起始位,取64比特位,作为接口标识并生成新的转交地址。
本实施例通过接口标识生成模块以MN的HoA为输入,利用单向函数运算生成接口标识,以及转交地址生成模块根据该接口标识生成CoA,使CN可以得到转交地址的验证信息,限制了因移动机制误用而导致的攻击,提高了移动IPv6的CoA的安全性;通过地址检查模块对生成的CoA进行地址检查,可以避免网络中发生地址冲突。
实施例3
参见图4,本发明实施例提供了一种提高路由优化安全性的方法,具体包括以下步骤:
步骤201:MN以HoA为输入通过单向函数运算生成接口标识。
步骤202:MN将接口标识与MN访问的外部网络的前缀结合生成CoA。
进一步地,还可以对生成的CoA执行重复地址检测,即判断生成的CoA与网络中已使用的IP地址是否相同,如果相同,即发现地址冲突,则按下面的步骤重新生成接口标识Interface ID,进而重新生成一个可用的CoA:
修改初次采用的起始位n的值,在原来的基础上增加增量,即n=n+increment,其中增量increment可以为1、2、3、4、5、6、7、8、16、32等固定值,然后用如下公式运算:
Interface ID=Abs(64,n,OID)。
步骤203:MN和CN均使用MN的HoA和生成的CoA执行返回路由可达过程。
当MN首次向CN发起对端注册时,在返回路由可达过程中CN分别生成家乡秘密生成令牌和转交秘密生成令牌,并通过HoT和CoT传送给MN。
当MN非首次向CN发起对端注册时,在返回路由可达过程中可以只执行CoTI和CoT,则CN只生成转交秘密生成令牌并通过CoT传给MN。
当MN向CN注销绑定关系时,在返回路由可达过程中可以只执行HoTI和HoT,则CN只生成家乡秘密生成令牌并通过HoT传给MN。
步骤204:CN根据在返回路由可达过程中生成的令牌生成Kbm,MN根据从收到的测试响应消息中提取出的令牌生成Kbm;MN生成的Kbm与CN生成的Kbm相同。
步骤205:MN和CN分别用各自生成的Kbm生成绑定授权数据。
步骤206:MN向CN发送包含MN的HoA和CoA的BU消息,并且在BU消息中携带MN生成的绑定授权数据。
为了避免消耗过多的计算资源,进一步地,MN还可以设置执行RRP和发送BU消息的最小时间间隔,相应地,CN也可以根据需要限制单位时间内接受BU消息的最大个数等等。
步骤207:CN收到BU消息后,对BU消息中的绑定授权数据进行验证,即将CN生成的绑定授权数据与BU消息中的绑定授权数据进行比对,如果一致,则允许CN和MN进行路由优化模式下的通信;如果不一致,表明此时CN收到的BU消息不正确,则不允许MN与CN进行路由优化模式下的通信。
进一步地,还可以在CN验证BU消息中的绑定授权数据(步骤207)之前增加验证BU消息中的CoA的步骤,具体如下:
CN从收到的BU消息中提取出MN的HoA,并根据该HoA用与步骤201至步骤202相同的方法生成一个临时CoA,然后比对生成的临时CoA和BU消息中的CoA是否一致,如果一致,则继续进行绑定授权数据的验证;如果不一致,则说明当前的BU消息有误,可能是伪造的BU消息,则不允许MN与CN进行路由优化模式下的通信。
本实施例通过在移动节点MN的家乡地址HoA的基础上生成转交地址CoA,使用该CoA执行返回路由可达过程RRP,然后计算出绑定管理密钥Kbm,使用Kbm生成绑定授权数据,用来对BU消息进行验证,验证通过后,MN与CN可以进行路由优化模式下的通信,限制了因移动机制误用而导致的攻击,从而提高了移动IPv6的路由优化模式下通信的安全性。在验证绑定授权数据之前,还可以进一步对BU消息中的CoA进行验证,可以进一步提高路由优化模式下通信的安全性。
实施例4
参见图5,本发明实施例还提供了一种提高路由优化安全性的系统,具体包括移动节点和通信节点;
移动节点包括:
(1)转交地址生成模块,用于以移动节点的家乡地址为输入通过单向函数运算生成接口标识;将接口标识与移动节点访问的外部网络的前缀结合生成转交地址;
(2)密钥生成模块,用于与通信节点一起使用家乡地址和转交地址生成模块生成的转交地址执行返回路由可达过程,然后生成绑定管理密钥;
(3)授权数据生成模块,用于用密钥生成模块生成的绑定管理密钥生成绑定授权数据;
(4)发送模块,用于发送包含家乡地址、转交地址生成模块生成的转交地址和授权数据生成模块生成的绑定授权数据的绑定更新消息给通信节点;
通信节点包括:
(1)密钥生成模块,用于与移动节点一起使用家乡地址和转交地址生成模块生成的转交地址执行返回路由可达过程,然后生成与移动节点的密钥生成模块生成的绑定管理密钥相同的绑定管理密钥;
(2)授权数据生成模块,用于用通信节点的密钥生成模块生成的绑定管理密钥生成绑定授权数据;
(3)接收模块,用于接收发送模块发来的绑定更新消息;
(4)比对模块,用于将接收模块收到的绑定更新消息中的绑定授权数据与通信节点的授权数据生成模块生成的绑定授权数据进行比对;
(5)控制模块,用于当比对模块比对的结果一致时,允许移动节点与通信节点进行路由优化模式下的通信。
其中,上述通信节点还可以包括:
转交地址比对模块,用于在比对模块进行比对之前,从接收模块收到的绑定更新消息中提取移动节点的家乡地址,并根据该家乡地址用与转交地址生成模块生成转交地址相同的方法生成一个临时转交地址,验证临时转交地址与绑定更新消息中的转交地址是否一致,如果一致,则触发比对模块工作。
本实施例通过转交地址生成模块在移动节点MN的家乡地址HoA的基础上生成转交地址CoA,由密钥生成模块使用该CoA执行返回路由可达过程RRP,然后计算出绑定管理密钥Kbm,由授权数据生成模块使用Kbm生成绑定授权数据,用来对BU消息进行验证,验证通过后,MN与CN可以进行路由优化模式下的通信,限制了因移动机制误用而导致的攻击,从而提高了移动IPv6的路由优化模式下通信的安全性。进一步通过转交地址比对模块对BU消息中的CoA进行验证,可以进一步提高路由优化模式下通信的安全性。
实施例5
参见图6,本发明实施例提供了一种提高路由优化安全性的方法,具体包括以下步骤:
步骤301:MN以HoA为输入通过单向函数运算生成接口标识,其中HoA是基于CGA方式生成的。
另外,MN还可以将MN所访问的外部网络的网络前缀(Subnet Prefix)和MN的公钥与HoA组合作为输入,通过单向函数运算生成接口标识。
步骤302:MN将接口标识与MN访问的外部网络的前缀结合生成CoA;
进一步地,还可以对生成的CoA执行重复地址检测,即判断生成的CoA与网络中已使用的IP地址是否相同,如果相同,即发现地址冲突,则按下面的步骤重新生成接口标识Interface ID,进而重新生成一个可用的CoA:
修改初次采用的起始位n的值,在原来的基础上增加增量,即n=n+increment,其中增量increment可以为1、2、3、4、5、6、7、8、16、32等固定值,然后用如下公式运算:
Interface ID=Abs(64,n,OID)。
步骤303:MN和CN均使用MN的HoA和生成的CoA执行返回路由可达过程。
当MN首次向CN发起对端注册时,在返回路由可达过程中CN分别生成家乡秘密生成令牌和转交秘密生成令牌,并通过HoT和CoT传送给MN。
当MN非首次向CN发起对端注册时,在返回路由可达过程中可以只执行CoTI和CoT,则CN只生成转交秘密生成令牌并通过CoT传给MN。
当MN向CN注销绑定关系时,在返回路由可达过程中可以只执行HoTI和HoT,则CN只生成家乡秘密生成令牌并通过HoT传给MN。
步骤304:返回路由可达过程结束后,MN用MN的私钥对BU消息进行签名,作为BU消息中的绑定授权数据,然后向CN发送BU消息,并在BU消息中携带CGA参数信息,其中包括MN的公钥。
步骤305:CN收到MN发送的BU消息后,在BU消息中的CGA参数信息中提取MN的公钥,并使用该公钥验证BU消息中的绑定授权数据,如果验证通过,则生成绑定条目,允许CN和MN进行路由优化模式下的通信;如果验证失败,则CN发送错误代码给MN,不允许CN和MN进行路由优化模式下的通信。
为了避免消耗过多的计算资源,进一步地,MN还可以设置执行RRP和发送BU消息的最小时间间隔,相应地,CN也可以根据需要限制单位时间内接受BU消息的最大个数等等。
进一步地,当验证通过后,CN还可以生成一个随机数Ks,并使用MN的公钥加密该随机数Ks,然后将加密后的Ks放在BA消息中发送给MN;而且CN还可以用下面的方法生成Kbm,即将Ks与转交秘密生成令牌组合后进行单向函数运算生成Kbm,并用该Kbm生成绑定授权数据,作为验证BA消息的依据;
Kbm=PRF(Ks,Care-of Keygen Token);
MN收到BA消息后,提取BA消息中加密后的随机数Ks,并使用MN的私钥进行解密得出Ks,并使用与CN生成上述Kbm相同的方法生成新的Kbm:
MN可以使用新生成的Kbm生成新的绑定授权数据,来作为后续对端注册过程中验证BU消息的依据,也可以用该新的绑定授权数据来验证BA消息,如果与BA消息中的绑定授权数据一致,即验证通过,则允许CN与MN进行路由模式下的通信;否则,不允许CN与MN进行路由模式下的通信。
进一步地,MN还可以在BU消息中携带标识信息,指示MN的CoA是通过单向函数运算生成的,相应地,还可以在CN验证BU消息中的绑定授权数据之前,增加验证BU消息中的CoA的步骤,具体如下:
CN根据收到的BU消息中的标识信息,发起对BU消息中的CoA的验证,从BU消息中提取出MN的HoA,并根据该HoA用与步骤301至步骤302相同的方法生成一个临时的CoA,然后比对生成的临时CoA和BU消息中的CoA是否一致,如果一致,则CoA验证通过,可以继续进行对BU消息中的绑定授权数据的验证;如果不一致,则CoA验证失败,说明当前的BU消息有误,可能是伪造的BU消息,则CN发送错误代码给MN,不允许CN和MN进行路由优化模式下的通信。
当希望CN对BU消息中的CoA进行验证时,MN还可以在BU消息中携带步骤302中生成接口标识时涉及到的参数n。
进一步地,MN在发送BU消息时,可以在BU消息中携带用CGA生成HoA时所采用的参数,例如,MN的公钥信息、冲突计数和修饰符(即随机数)等等;相应地,在验证BU消息中的CoA之前,还可以增加验证BU消息中的HoA的步骤,具体如下:
CN在收到BU消息后,提取出上述参数,并用与步骤301中相同的CGA方法计算出一个临时的HoA,然后比对该临时HoA与BU消息中的HoA是否一致,如果一致,则HoA验证通过,CN可以继续验证BU消息中的CoA以及绑定授权数据;否则,HoA验证失败,说明BU消息不正确,则CN发送错误代码给MN,不允许MN与CN进行路由优化模式下的通信。
上述方法通过在移动节点MN的家乡地址HoA的基础上生成转交地址CoA,使用该CoA执行返回路由可达过程RRP,然后用MN的私钥签名BU消息,作为BU消息中的绑定授权数据,用来对BU消息进行验证,验证通过后,MN与CN可以进行路由优化模式下的通信,限制了因移动机制误用而导致的攻击,提高了移动IPv6的路由优化模式下通信的安全性。通过增加对BU消息中的HoA和CoA进行验证以及对BA消息进行验证的步骤,可以进一步提高路由优化模式下通信的安全性。由于基于CGA方式生成HoA,可以保障在后续的对端注册中不必再发起HoTI/HoT消息,降低了路由优化信令开销;减少了路由优化对HA的依赖,提高了系统的健壮性;降低了链路切换时移动节点与通信节点绑定更新的延时和复杂程度。
实施例6
参见图7,本发明实施例还提供了一种提高路由优化安全性的系统,具体包括移动节点和通信节点;
移动节点包括:
(1)转交地址生成模块,用于以移动节点的家乡地址为输入通过单向函数运算生成接口标识;将接口标识与移动节点访问的外部网络的前缀结合生成转交地址,家乡地址通过密码学方法生成;
(2)返回路由可达执行模块,用于与通信节点一起使用家乡地址和转交地址生成模块生成的转交地址执行返回路由可达过程;
(3)授权数据生成模块,用于用移动节点的私钥签名绑定更新消息,作为绑定更新消息的绑定授权数据;
(4)发送模块,用于发送包含家乡地址、转交地址生成模块生成的转交地址和授权数据生成模块生成的绑定授权数据的绑定更新消息给通信节点,并在绑定更新消息中携带移动节点的公钥;
通信节点包括:
(1)返回路由可达执行模块,用于与移动节点一起使用家乡地址和转交地址生成模块生成的转交地址执行返回路由可达过程;
(2)接收模块,用于接收发送模块发来的绑定更新消息;
(3)验证模块,用于提取接收模块收到的绑定更新消息中的移动节点的公钥,并用移动节点的公钥验证绑定更新消息中的绑定授权数据;
(4)控制模块,用于当验证模块验证通过时,允许移动节点与通信节点进行路由优化模式下的通信。
为了进一步提高安全性,通信节点还可以包括:
转交地址验证模块,用于在验证模块进行验证之前,从接收模块收到的绑定更新消息中提取移动节点的家乡地址,并根据该家乡地址用与转交地址生成模块生成转交地址相同的方法生成一个临时转交地址,验证临时转交地址与绑定更新消息中的转交地址是否一致,如果一致,则触发验证模块工作。
进一步地,发送模块还可以用于在绑定更新消息中携带用上述密码学方法生成家乡地址时采用的参数,例如,移动节点的公钥信息、冲突计数和修饰符(即随机数)等等;
相应地,通信节点还可以包括:
家乡地址验证模块,用于在验证模块进行验证之前,从接收模块收到的绑定更新消息中提取上述参数,并根据提取的参数用上述密码学方法生成一个临时家乡地址,验证临时家乡地址与绑定更新消息中的家乡地址是否一致,如果一致,则触发验证模块工作。
进一步地,控制模块可以具体包括:
新授权数据生成单元,用于当验证模块验证通过时,生成一个随机数,用移动节点的公钥进行加密;将随机数与通信节点在执行返回路由可达过程中生成的转交秘密生成令牌进行组合后,利用单向函数进行运算生成新绑定管理密钥;然后用新绑定管理密钥生成新绑定授权数据;
绑定确认消息发送单元,用于发送绑定确认消息给移动节点,绑定确认消息中携带新授权数据生成单元加密后的随机数和生成的新绑定授权数据;
相应地,移动节点还包括:
绑定确认消息接收模块,用于接收绑定确认消息发送单元发来的绑定确认消息;
绑定确认消息验证模块,用于当绑定确认消息接收模块收到绑定确认消息后,提取出加密后的随机数,并用移动节点的私钥解密后,得到随机数;根据随机数用与新授权数据生成单元生成新绑定管理密钥相同的方法生成一个临时绑定管理密钥,并根据该临时绑定管理密钥用与新授权数据生成单元生成新绑定授权数据相同的方法生成一个临时绑定授权数据,然后比对临时绑定授权数据与绑定确认消息中的新绑定授权数据是否一致;
控制模块,用于当绑定确认消息验证模块比对的结果一致时,允许移动节点与通信节点进行路由优化模式下的通信。
上述系统通过转交地址生成模块在移动节点MN的家乡地址HoA的基础上生成转交地址CoA,由返回路由可达执行模块使用该CoA执行返回路由可达过程RRP,由授权数据生成模块使用MN的私钥签名BU消息生成绑定授权数据,用来对BU消息进行验证,验证通过后,MN与CN可以进行路由优化模式下的通信,限制了因移动机制误用而导致的攻击,提高了移动IPv6的路由优化模式下通信的安全性。在验证绑定授权数据的基础上,还可以进一步由转交地址验证模块对BU消息中的CoA进行验证,由家乡地址验证模块对BU消息中的HoA进行验证,以及由绑定确认消息验证模块对BA消息进行验证,从而可以进一步提高路由优化模式下通信的安全性。由于基于CGA方式生成HoA,可以保障在后续的对端注册中不必再发起HoTI/HoT消息,降低了路由优化信令开销;减少了路由优化对HA的依赖,提高了系统的健壮性;降低了链路切换时移动节点与通信节点绑定更新的延时和复杂程度。
本发明实施例中的技术方案可以用软件来实现,相应的程序可以存储于可读取的存储介质中,如计算机的硬盘或闪存等非易失性存储器中。
以上所述仅为本发明的较佳实施例,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (25)
1.一种生成转交地址的方法,其特征在于,所述方法包括:
以移动节点的家乡地址为输入通过单向函数运算生成接口标识,对所述接口标识进行处理得到长度为64bit的接口标识;
将所述长度为64bit的接口标识与所述移动节点访问的外部网络的前缀结合生成转交地址。
2.根据权利要求1所述的生成转交地址的方法,其特征在于,以移动节点的家乡地址为输入通过单向函数运算生成接口标识的步骤具体为:
将移动节点访问的外部网络的前缀和所述移动节点的家乡地址组合后作为输入,通过单向函数运算生成接口标识。
3.根据权利要求1所述的生成转交地址的方法,其特征在于,当所述移动节点的家乡地址通过密码学方法生成时,以移动节点的家乡地址为输入通过单向函数运算生成接口标识的步骤具体为:
将移动节点的家乡地址与所述移动节点的公钥组合后作为输入,或者将所述移动节点访问的外部网络的前缀与所述家乡地址和公钥组合后作为输入,通过单向函数运算生成接口标识。
4.根据权利要求1所述的生成转交地址的方法,其特征在于,对所述接口标识进行处理得到长度为64bit的接口标识的步骤具体包括:
判断所述接口标识的长度是否超过64比特位,如果是,则设置一个起始位,从所述起始位开始,取64比特位,作为接口标识。
5.根据权利要求1所述的生成转交地址的方法,其特征在于,对所述接口标识进行处理得到长度为64bit的接口标识的步骤具体包括:
判断所述接口标识的长度是否超过64比特位,如果是,则将所述接口标识按64比特位划分成多个块,若最后一块不足64比特位,则从其它块中任意取相应长度的内容补充成64比特位,然后对所述多个块进行位逻辑运算,将运算的结果作为接口标识。
6.根据权利要求4所述的生成转交地址的方法,其特征在于,所述方法还包括:
生成所述转交地址后,判断所述转交地址与网络中已使用的IP地址是否相同,如果相同,则设置增量,对所述起始位和增量进行求和运算,以所述运算的结果为新的起始位,取64比特位,作为接口标识并生成新的转交地址。
7.根据权利要求1至6中任一权利要求所述的生成转交地址的方法,其特征在于,所述单向函数为SHA1或MD5。
8.一种提高路由优化安全性的方法,其特征在于,所述方法包括:
移动节点以家乡地址为输入通过单向函数运算生成接口标识,对所述接口标识进行处理得到长度为64bit的接口标识;
所述移动节点将所述长度为64bit的接口标识与所述移动节点访问的外部网络的前缀结合生成转交地址;
所述移动节点和通信节点使用所述家乡地址和转交地址执行返回路由可达过程,然后分别生成相同的绑定管理密钥;
所述移动节点和通信节点分别用自己生成的绑定管理密钥生成绑定授权数据;
所述移动节点发送包含所述家乡地址、转交地址和自己生成的绑定授权数据的绑定更新消息给通信节点;
所述通信节点收到所述绑定更新消息后,验证所述绑定更新消息中的绑定授权数据,如果与自己生成的绑定授权数据一致,则允许所述移动节点与通信节点进行路由优化模式下的通信。
9.根据权利要求8所述的提高路由优化安全性的方法,其特征在于,验证所述绑定更新消息中的绑定授权数据的步骤之前还包括:
所述通信节点从所述绑定更新消息中提取所述移动节点的家乡地址,并根据所述家乡地址用与所述移动节点生成所述转交地址相同的方法生成一个临时转交地址,验证所述临时转交地址与所述绑定更新消息中的转交地址是否一致,如果一致,则继续执行验证所述绑定更新消息中的绑定授权数据的步骤。
10.一种提高路由优化安全性的方法,其特征在于,所述方法包括:
移动节点以家乡地址为输入通过单向函数运算生成接口标识,对所述接口标识进行处理得到长度为64bit的接口标识,所述家乡地址通过密码学方法生成;
所述移动节点将所述长度为64bit的接口标识与所述移动节点访问的外部网络的前缀结合生成转交地址;
所述移动节点和通信节点使用所述家乡地址和转交地址执行返回路由可达过程;
所述移动节点用自己的私钥签名绑定更新消息,作为所述绑定更新消息的绑定授权数据;
所述移动节点发送包含所述家乡地址、转交地址和绑定授权数据的所述绑定更新消息给通信节点,并在所述绑定更新消息中携带所述移动节点的公钥;
所述通信节点收到所述绑定更新消息后,提取出所述移动节点的公钥,用所述移动节点的公钥验证所述绑定更新消息中的绑定授权数据,如果验证通过,则允许所述移动节点与通信节点进行路由优化模式下的通信。
11.根据权利要求10所述的提高路由优化安全性的方法,其特征在于,用所述移动节点的公钥验证所述绑定更新消息中的绑定授权数据的步骤之前还包括:
所述通信节点从所述绑定更新消息中提取所述移动节点的家乡地址,并根据所述家乡地址用与所述移动节点生成所述转交地址相同的方法生成一个临时转交地址,验证所述临时转交地址与所述绑定更新消息中的转交地址是否一致,如果一致,则继续执行验证所述绑定更新消息中的绑定授权数据的步骤。
12.根据权利要求10所述的提高路由优化安全性的方法,其特征在于,所述移动节点发送所述绑定更新消息以及所述通信节点收到后验证绑定授权数据的步骤进一步包括:
所述移动节点在所述绑定更新消息中携带用所述密码学方法生成所述家乡地址时采用的参数,所述通信节点在验证所述绑定更新消息中的绑定授权数据之前,从所述绑定更新消息中提取所述参数,并根据所述参数用所述密码学方法生成一个临时家乡地址,验证所述临时家乡地址与所述绑定更新消息中的家乡地址是否一致,如果一致,则继续执行验证所述绑定更新消息中的绑定授权数据的步骤。
13.根据权利要求10所述的提高路由优化安全性的方法,其特征在于,允许所述移动节点和通信节点进行路由优化模式下的通信的步骤之前还包括:
所述通信节点生成一个随机数,用所述移动节点的公钥加密所述随机数;
所述通信节点将所述随机数与所述通信节点在执行返回路由可达过程中生成的转交秘密生成令牌进行组合后,利用单向函数进行运算生成新绑定管理密钥;然后用所述新绑定管理密钥生成新绑定授权数据;
所述通信节点发送绑定确认消息给所述移动节点,所述绑定确认消息中携带所述加密后的随机数和所述新绑定授权数据;
所述移动节点收到所述绑定确认消息后,提取出所述加密后的随机数,并用所述移动节点的私钥解密后,得到所述随机数;
所述移动节点根据所述随机数用与所述通信节点生成所述新绑定管理密钥相同的方法生成一个临时绑定管理密钥,并根据所述临时绑定管理密钥用与所述通信节点生成所述新绑定授权数据相同的方法生成一个临时绑定授权数据;
所述移动节点验证所述临时绑定授权数据与所述绑定确认消息中的新绑定授权数据是否一致,如果一致,则允许所述移动节点与通信节点进行路由优化模式下的通信。
14.一种生成转交地址的装置,其特征在于,所述装置包括:
接口标识生成模块,用于以移动节点的家乡地址为输入通过单向函数运算生成接口标识,对所述接口标识进行处理得到长度为64bit的接口标识;
转交地址生成模块,用于将所述接口标识生成模块生成的长度为64bit的接口标识与所述移动节点访问的外部网络的前缀结合生成转交地址。
15.根据权利要求14所述的生成转交地址的装置,其特征在于,所述接口标识生成模块具体包括:
组合单元,用于将移动节点访问的外部网络的前缀与所述移动节点的家乡地址进行组合;
生成单元,用于将所述组合单元组合后得到的数据作为输入,通过单向函数运算生成接口标识,对所述接口标识进行处理得到长度为64bit的接口标识。
16.根据权利要求14所述的生成转交地址的装置,其特征在于,当所述移动节点的家乡地址通过密码学方法生成时,所述接口标识生成模块具体包括:
组合单元,用于将移动节点的家乡地址与所述移动节点的公钥进行组合,或者将所述移动节点访问的外部网络的前缀与所述家乡地址和公钥进行组合;
生成单元,用于将所述组合单元组合后得到的数据作为输入,通过单向函数运算生成接口标识,对所述接口标识进行处理得到长度为64bit的接口标识。
17.根据权利要求14所述的生成转交地址的装置,其特征在于,所述接口标识生成模块对所述接口标识进行处理得到长度为64bit的接口标识,具体包括:
判断所述接口标识的长度是否超过64比特位,如果是,则设置一个起始位,从所述起始位开始,取64比特位,作为新的接口标识发送给所述转交地址生成模块。
18.根据权利要求14所述的生成转交地址的装置,其特征在于,所述接口标识生成模块对所述接口标识进行处理得到长度为64bit的接口标识,具体包括:
判断所述接口标识的长度是否超过64比特位,如果是,则将所述接口标识按64比特位划分成多个块,若最后一块不足64比特位,则从其它块中任意取相应长度的内容补充成64比特位,然后对所述多个块进行位逻辑运算,将运算的结果作为新的接口标识发送给所述转交地址生成模块。
19.根据权利要求17所述的生成转交地址的装置,其特征在于,所述装置还包括:
地址检查模块,用于当所述转交地址生成模块生成所述转交地址后,判断所述转交地址与网络中已使用的IP地址是否相同,如果相同,则设置增量,对所述长度处理模块设置的起始位和所述增量进行求和运算,以所述运算的结果为新的起始位,取64比特位,作为接口标识并生成新的转交地址。
20.一种提高路由优化安全性的系统,其特征在于,所述系统包括移动节点和通信节点,所述移动节点包括:
转交地址生成模块,用于以所述移动节点的家乡地址为输入通过单向函数运算生成接口标识,对所述接口标识进行处理得到长度为64bit的接口标识;将所述长度为64bit的接口标识与所述移动节点访问的外部网络的前缀结合生成转交地址;
密钥生成模块,用于与所述通信节点一起使用所述家乡地址和所述转交地址生成模块生成的转交地址执行返回路由可达过程,然后生成绑定管理密钥;
授权数据生成模块,用于用所述密钥生成模块生成的绑定管理密钥生成绑定授权数据;
发送模块,用于发送包含所述家乡地址、所述转交地址生成模块生成的转交地址和所述授权数据生成模块生成的绑定授权数据的绑定更新消息给所述通信节点;
所述通信节点包括:
密钥生成模块,用于与所述移动节点一起使用所述家乡地址和所述转交地址生成模块生成的转交地址执行返回路由可达过程,然后生成与所述移动节点的密钥生成模块生成的绑定管理密钥相同的绑定管理密钥;
授权数据生成模块,用于用所述通信节点的密钥生成模块生成的绑定管理密钥生成绑定授权数据;
接收模块,用于接收所述发送模块发来的绑定更新消息;
比对模块,用于将所述接收模块收到的绑定更新消息中的绑定授权数据与所述通信节点的授权数据生成模块生成的绑定授权数据进行比对;
控制模块,用于当所述比对模块比对的结果一致时,允许所述移动节点与通信节点进行路由优化模式下的通信。
21.根据权利要求20所述的提高路由优化安全性的系统,其特征在于,所述通信节点还包括:
转交地址比对模块,用于在所述比对模块进行比对之前,从所述接收模块收到的绑定更新消息中提取所述移动节点的家乡地址,并根据所述家乡地址用与所述转交地址生成模块生成所述转交地址相同的方法生成一个临时转交地址,验证所述临时转交地址与所述绑定更新消息中的转交地址是否一致,如果一致,则触发所述比对模块工作。
22.一种提高路由优化安全性的系统,其特征在于,所述系统包括移动节点和通信节点,所述移动节点包括:
转交地址生成模块,用于以所述移动节点的家乡地址为输入通过单向函数运算生成接口标识,对所述接口标识进行处理得到长度为64bit的接口标识;将所述长度为64bit的接口标识与所述移动节点访问的外部网络的前缀结合生成转交地址,所述家乡地址通过密码学方法生成;
返回路由可达执行模块,用于与所述通信节点一起使用所述家乡地址和所述转交地址生成模块生成的转交地址执行返回路由可达过程;
授权数据生成模块,用于用所述移动节点的私钥签名绑定更新消息,作为所述绑定更新消息的绑定授权数据;
发送模块,用于发送包含所述家乡地址、所述转交地址生成模块生成的转交地址和所述授权数据生成模块生成的绑定授权数据的所述绑定更新消息给所述通信节点,并在所述绑定更新消息中携带所述移动节点的公钥;
所述通信节点包括:
返回路由可达执行模块,用于与所述移动节点一起使用所述家乡地址和所述转交地址生成模块生成的转交地址执行返回路由可达过程;
接收模块,用于接收所述发送模块发来的绑定更新消息;
验证模块,用于提取所述接收模块收到的绑定更新消息中的所述移动节点的公钥,并用所述移动节点的公钥验证所述绑定更新消息中的绑定授权数据;
控制模块,用于当所述验证模块验证通过时,允许所述移动节点与通信节点进行路由优化模式下的通信。
23.根据权利要求22所述的提高路由优化安全性的系统,其特征在于,所述通信节点还包括:
转交地址验证模块,用于在所述验证模块进行验证之前,从所述接收模块收到的绑定更新消息中提取所述移动节点的家乡地址,并根据所述家乡地址用与所述转交地址生成模块生成所述转交地址相同的方法生成一个临时转交地址,验证所述临时转交地址与所述绑定更新消息中的转交地址是否一致,如果一致,则触发所述验证模块工作。
24.根据权利要求22所述的提高路由优化安全性的系统,其特征在于,所述发送模块还用于在所述绑定更新消息中携带用所述密码学方法生成所述家乡地址时采用的参数;
相应地,所述通信节点还包括:
家乡地址验证模块,用于在所述验证模块进行验证之前,从所述接收模块收到的绑定更新消息中提取所述参数,并根据所述参数用所述密码学方法生成一个临时家乡地址,验证所述临时家乡地址与所述绑定更新消息中的家乡地址是否一致,如果一致,则触发所述验证模块工作。
25.根据权利要求22所述的提高路由优化安全性的系统,其特征在于,所述控制模块具体包括:
新授权数据生成单元,用于当所述验证模块验证通过时,生成一个随机数,用所述移动节点的公钥加密所述随机数;将所述随机数与所述通信节点在执行返回路由可达过程中生成的转交秘密生成令牌进行组合后,利用单向函数进行运算生成新绑定管理密钥;然后用所述新绑定管理密钥生成新绑定授权数据;
绑定确认消息发送单元,用于发送绑定确认消息给所述移动节点,所述绑定确认消息中携带所述新授权数据生成单元加密后的随机数和生成的所述新绑定授权数据;
相应地,所述移动节点还包括:
绑定确认消息接收模块,用于接收所述绑定确认消息发送单元发来的绑定确认消息;
绑定确认消息验证模块,用于当所述绑定确认消息接收模块收到所述绑定确认消息后,提取出所述加密后的随机数,并用所述移动节点的私钥解密后,得到所述随机数;根据所述随机数用与所述新授权数据生成单元生成所述新绑定管理密钥相同的方法生成一个临时绑定管理密钥,并根据该临时绑定管理密钥用与所述新授权数据生成单元生成所述新绑定授权数据相同的方法生成一个临时绑定授权数据,然后比对所述临时绑定授权数据与所述绑定确认消息中的新绑定授权数据是否一致;
控制模块,用于当所述绑定确认消息验证模块比对的结果一致时,允许所述移动节点与通信节点进行路由优化模式下的通信。
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2007101194803A CN101106568B (zh) | 2007-07-25 | 2007-07-25 | 生成转交地址及提高路由优化安全性的方法、装置和系统 |
PCT/CN2008/071269 WO2009012676A1 (fr) | 2007-07-25 | 2008-06-11 | Procédé et équipement pour générer une adresse temporaire, procédé et système pour améliorer la sécurité d'optimisation de route |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2007101194803A CN101106568B (zh) | 2007-07-25 | 2007-07-25 | 生成转交地址及提高路由优化安全性的方法、装置和系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN101106568A CN101106568A (zh) | 2008-01-16 |
CN101106568B true CN101106568B (zh) | 2010-06-02 |
Family
ID=39000242
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN2007101194803A Expired - Fee Related CN101106568B (zh) | 2007-07-25 | 2007-07-25 | 生成转交地址及提高路由优化安全性的方法、装置和系统 |
Country Status (2)
Country | Link |
---|---|
CN (1) | CN101106568B (zh) |
WO (1) | WO2009012676A1 (zh) |
Families Citing this family (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101106568B (zh) * | 2007-07-25 | 2010-06-02 | 华为技术有限公司 | 生成转交地址及提高路由优化安全性的方法、装置和系统 |
CN101299668A (zh) * | 2008-06-30 | 2008-11-05 | 华为技术有限公司 | 一种通信的建立方法、系统和装置 |
CN101404579B (zh) * | 2008-10-31 | 2011-02-09 | 成都市华为赛门铁克科技有限公司 | 一种防止网络攻击的方法及装置 |
US8982815B2 (en) * | 2012-04-24 | 2015-03-17 | Mediatek Inc. | Apparatuses and methods for IPV6 address acquisition |
CN105989477A (zh) * | 2014-11-07 | 2016-10-05 | 天地融科技股份有限公司 | 数据交互方法 |
US11006311B2 (en) * | 2017-05-16 | 2021-05-11 | Qualcomm Incorporated | Ethernet over cellular |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1881935A (zh) * | 2006-04-30 | 2006-12-20 | 国家数字交换系统工程技术研究中心 | 移动互联网协议路由处理方法和系统及路由器 |
CN1972317A (zh) * | 2005-11-24 | 2007-05-30 | 华为技术有限公司 | 转交地址及其转交地址配置信息的获取方法及系统 |
CN101001261A (zh) * | 2006-01-09 | 2007-07-18 | 华为技术有限公司 | 一种MIPv6移动节点的通信方法 |
Family Cites Families (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1262090C (zh) * | 2001-03-13 | 2006-06-28 | 日本电气株式会社 | 移动网络中管理移动节点的系统 |
US7461251B2 (en) * | 2002-05-09 | 2008-12-02 | Canon Kabushiki Kaisha | Public key certification issuing apparatus |
EP3713264A1 (en) * | 2005-03-31 | 2020-09-23 | Sun Patent Trust | Communication control method, communication node, and mobile node |
CN101106568B (zh) * | 2007-07-25 | 2010-06-02 | 华为技术有限公司 | 生成转交地址及提高路由优化安全性的方法、装置和系统 |
-
2007
- 2007-07-25 CN CN2007101194803A patent/CN101106568B/zh not_active Expired - Fee Related
-
2008
- 2008-06-11 WO PCT/CN2008/071269 patent/WO2009012676A1/zh active Application Filing
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1972317A (zh) * | 2005-11-24 | 2007-05-30 | 华为技术有限公司 | 转交地址及其转交地址配置信息的获取方法及系统 |
CN101001261A (zh) * | 2006-01-09 | 2007-07-18 | 华为技术有限公司 | 一种MIPv6移动节点的通信方法 |
CN1881935A (zh) * | 2006-04-30 | 2006-12-20 | 国家数字交换系统工程技术研究中心 | 移动互联网协议路由处理方法和系统及路由器 |
Also Published As
Publication number | Publication date |
---|---|
CN101106568A (zh) | 2008-01-16 |
WO2009012676A1 (fr) | 2009-01-29 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN101150572B (zh) | 移动节点和通信对端绑定更新的方法及装置 | |
CN101965722B (zh) | 安全性关联的重新建立 | |
US10536269B2 (en) | Method and system for authentication and preserving the integrity of communication, secured by secret sharing | |
CN101001261B (zh) | 一种MIPv6移动节点的通信方法 | |
US7881468B2 (en) | Secret authentication key setup in mobile IPv6 | |
CN101160924B (zh) | 在通信系统中分发证书的方法 | |
EP1633107B1 (en) | Authenticating address ownership using care-of-address (COA) binding protocol | |
CN101150849B (zh) | 生成绑定管理密钥的方法、系统、移动节点及通信节点 | |
US7233782B2 (en) | Method of generating an authentication | |
CN101106568B (zh) | 生成转交地址及提高路由优化安全性的方法、装置和系统 | |
CN101176328A (zh) | 用于保护前缀范围绑定更新的安全的系统、关联方法和设备 | |
EP1458163B1 (en) | Return routability method for secure communication | |
CN101136905B (zh) | 移动IPv6中的绑定更新方法及移动IPv6通讯系统 | |
Chuang et al. | SF-PMIPv6: A secure fast handover mechanism for Proxy Mobile IPv6 networks | |
CN101022418A (zh) | Hmip认证方法、设备及系统 | |
JP2002314532A (ja) | 複製端末発見方法 | |
KR101314435B1 (ko) | 이동 노드에 대한 보안 로밍 방법 및 그 방문 에이전트 장치, 그리고 보안 로밍 시스템 | |
Akhtar et al. | A novel security algorithm for universal mobile telecommunication system | |
Yang et al. | Deposit-case attack against secure roaming | |
EP1914953A1 (en) | Care-of address registration and detection of spoofed binding cache entries | |
CN114928503B (zh) | 一种安全通道的实现方法及数据传输方法 | |
Yoon et al. | PAK-based binding update method for mobile IPv6 route optimization | |
Brian et al. | Security scheme for mobility management in the internet of things | |
Feng et al. | A novel authentication mechanism based on CGA for BU message disposal in Mobile IPv6 | |
Mathi et al. | A secure and efficient registration for IP mobility |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20100602 Termination date: 20170725 |
|
CF01 | Termination of patent right due to non-payment of annual fee |