CN101136905B - 移动IPv6中的绑定更新方法及移动IPv6通讯系统 - Google Patents
移动IPv6中的绑定更新方法及移动IPv6通讯系统 Download PDFInfo
- Publication number
- CN101136905B CN101136905B CN2006101118769A CN200610111876A CN101136905B CN 101136905 B CN101136905 B CN 101136905B CN 2006101118769 A CN2006101118769 A CN 2006101118769A CN 200610111876 A CN200610111876 A CN 200610111876A CN 101136905 B CN101136905 B CN 101136905B
- Authority
- CN
- China
- Prior art keywords
- home address
- address
- home
- message
- binding update
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 75
- 230000006854 communication Effects 0.000 title claims abstract description 74
- 238000004891 communication Methods 0.000 title claims abstract description 72
- 238000012360 testing method Methods 0.000 claims description 48
- 230000005540 biological transmission Effects 0.000 claims description 16
- 230000006870 function Effects 0.000 claims description 13
- 238000006467 substitution reaction Methods 0.000 abstract 1
- 230000000694 effects Effects 0.000 description 3
- 230000002457 bidirectional effect Effects 0.000 description 2
- 238000000205 computational method Methods 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 238000013475 authorization Methods 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 125000004122 cyclic group Chemical group 0.000 description 1
- 230000002950 deficient Effects 0.000 description 1
- 238000005538 encapsulation Methods 0.000 description 1
- 238000013507 mapping Methods 0.000 description 1
- 238000004321 preservation Methods 0.000 description 1
- 230000011664 signaling Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0407—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the identity of one or more communicating identities is hidden
- H04L63/0414—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the identity of one or more communicating identities is hidden during transmission, i.e. party's identity is protected against eavesdropping, e.g. by using temporary identifiers, but is known to the other party or parties involved in the communication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/061—Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W36/00—Hand-off or reselection arrangements
- H04W36/0005—Control or signalling for completing the hand-off
- H04W36/0011—Control or signalling for completing the hand-off for data sessions of end-to-end connection
- H04W36/0019—Control or signalling for completing the hand-off for data sessions of end-to-end connection adapted for mobile IP [MIP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W80/00—Wireless network protocols or protocol adaptations to wireless operation
- H04W80/04—Network layer protocols, e.g. mobile IP [Internet Protocol]
- H04W80/045—Network layer protocols, e.g. mobile IP [Internet Protocol] involving different protocol versions, e.g. MIPv4 and MIPv6
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/02—Protecting privacy or anonymity, e.g. protecting personally identifiable information [PII]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/60—Context-dependent security
- H04W12/69—Identity-dependent
- H04W12/75—Temporary identity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W36/00—Hand-off or reselection arrangements
- H04W36/0005—Control or signalling for completing the hand-off
- H04W36/0011—Control or signalling for completing the hand-off for data sessions of end-to-end connection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W36/00—Hand-off or reselection arrangements
- H04W36/0005—Control or signalling for completing the hand-off
- H04W36/0011—Control or signalling for completing the hand-off for data sessions of end-to-end connection
- H04W36/0033—Control or signalling for completing the hand-off for data sessions of end-to-end connection with transfer of context information
- H04W36/0038—Control or signalling for completing the hand-off for data sessions of end-to-end connection with transfer of context information of security context information
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W60/00—Affiliation to network, e.g. registration; Terminating affiliation with the network, e.g. de-registration
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W8/00—Network data management
- H04W8/02—Processing of mobility data, e.g. registration information at HLR [Home Location Register] or VLR [Visitor Location Register]; Transfer of mobility data, e.g. between HLR, VLR or external networks
- H04W8/04—Registration at HLR or HSS [Home Subscriber Server]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W8/00—Network data management
- H04W8/26—Network addressing or numbering for mobility support
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W80/00—Wireless network protocols or protocol adaptations to wireless operation
- H04W80/04—Network layer protocols, e.g. mobile IP [Internet Protocol]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明公开了一种移动IPv6中的绑定更新方法,其核心思想是,利用家乡地址替代符代替家乡地址执行返回路由可达过程,在获得绑定管理密钥后将BU报文中的家乡地址以加密选项的形式发送。在执行绑定更新的过程中,还可将家乡地址索引一同进行绑定。本发明并提供相应的移动IPv6通讯系统。本发明使得在执行绑定更新过程时传送到通信节点的报文中,家乡地址仅以加密形式出现一次,增强了家乡地址在绑定更新过程中的安全性。
Description
技术领域
本发明涉及网络通讯技术领域,尤其涉及移动互联网协议第6版中的通讯技术。
背景技术
移动互联网协议第6版(IPv6:Internet Protocol version 6)是一种在网络层解决移动性的方案。移动IPv6中有三种基本的网络实体:移动节点(MN:Mobile Node)、通信节点(CN:Correspondent Node)以及家乡代理(HA:Home Agent)。
一个移动节点可以通过家乡地址(HoA:Home Address)唯一的识别出,移动节点漫游到外地网络时,会通过一定方式生成转交地址(CoA:Care ofAddress)。移动IPv6规范要求,移动节点从一条链路移动到另一链路的过程中,不中断使用家乡地址正在进行的通信,节点的移动性对传输层和其它高层协议都是透明的。移动IPv6定义了两种不同的模式来解决移动性问题:双向隧道模式与路由优化模式:
在双向隧道模式下,移动节点将转交地址通过绑定更新(BU:BindingUpdate)消息通知家乡代理。家乡代理会截获发送到移动节点家乡网络与移动节点通信的报文,再通过隧道模式转发给移动节点;当移动节点向通信节点发送报文时,需要将报文通过隧道模式发送到家乡代理,家乡代理对隧道报文进行解封装后转发给通信节点;
在路由优化模式下,移动节点需要向通信节点进行注册,首先是执行一个返回路由可达过程(RRP:Return Routability Procedure),该过程包括在移动节点和通信节点之间交换两对消息:家乡测试初始消息(HoTI:Home Test Init)和家乡测试消息(HoT:Home Test),转交测试初始消息(CoTI:Care-of TestInit)和转交测试消息(CoT:Care-of Test)。HoTI和HoT通过家乡代理转发,CoTI和CoT直接在移动节点和通信节点之间交换。在成功执行RRP后,移动节点就能够通过BU消息将转交地址和家乡地址绑定更新到通信节点的绑定缓存表中,并在后续的通讯过程中直接与通信节点进行报文传递,而无须通过家乡代理转发。
在使用移动IPv6通信时,位置的隐私性非常重要,在没有隐藏的情况下,用户的敏感数据可能会被收集和分析,用户的活动会被检测和跟踪,因而可能会对移动用户产生严重的安全威胁。当移动节点位于外地链路时,其与家乡代理之间通过隧道发送的报文的内层报头会携带其家乡地址;其通过路由优化模式与通信节点进行通讯时,由移动节点发往通信节点的报文中的家乡地址选项包含有移动节点的家乡地址,由通信节点发往移动节点的报文中的第二类路由头中也包含有移动节点的家乡地址。
为避免将位于外地链路的移动节点的家乡地址暴露给窃听者,目前主要采用的方法是使用家乡地址的替代符来代替真实的家乡地址。此种方法的实现有赖于在绑定更新过程中除了完成移动节点家乡地址与转交地址的绑定更新外,还要同时进行所使用替代符与家乡地址的绑定更新。
一种执行方法是:从128位的IPv6地址空间中划出16位作为临时移动标识符(TMI)的前缀,使用此前缀的地址都看成是TMI,TMI被规定为不可路由的。每个移动节点分配一个128位的TMI,TMI以某种算法作周期性改变。在进行到通信节点的绑定更新过程中,将TMI放置在家乡地址选项里,真正的家乡地址则放置在新定义的绑定更新子选项中。通信节点将TMI、家乡地址和转交地址绑定在一起。然后在后续的通讯过程中,移动节点和通信节点使用TMI来代替家乡地址选项和第二类路由头中的当前家乡地址。
上述方法的缺陷在于:1、没有对RRP过程中的家乡地址进行保护,在绑定更新报文中仍然需要直接携带家乡地址;2、产生对IPv6地址空间的固定占用;3、若TMI的周期性变化与转交地址的改变不同步则会带来额外的RRP执行,消耗网络资源;4、如果移动节点有多个家乡地址绑定到同一个转交地址会出现混淆。
此外,移动节点在执行绑定更新的过程中,BU报文所包含的序列号也可能泄露移动用户的踪迹。如果绑定更新报文的序列号增量是固定的,或是容易被获得变化规律的,窃听者仍然可以通过检测一系列绑定更新消息而猜测出移动节点的运动。
发明内容
本发明的目的在于提供一种移动IPv6中的绑定更新方法及相应的移动IPv6通讯系统,能够增强家乡地址在绑定更新过程中的安全性。
本发明进一步的目的在于提供一种移动IPv6中的绑定更新方法,能够避免对BU报文序列号的追踪。
为达到本发明的目的,所采取的技术方案是:一种移动IPv6中的绑定更新方法,包括:以家乡地址替代符代替家乡地址执行家乡代理与通信节点间的返回路由可达过程;移动节点根据通信节点返回的家乡密钥令牌和转交密钥令牌生成绑定管理密钥;移动节点以家乡地址替代符代替家乡地址向通信节点发送绑定更新消息,所述绑定更新消息中包括加密家乡地址选项,携带以所述绑定管理密钥加密的家乡地址;通信节点按照所述绑定更新消息进行家乡地址替代符、家乡地址和转交地址的绑定。
所述返回路由可达过程可包括:移动节点向通信节点发送转交测试初始消息,获得通信节点返回的包含转交密钥令牌的转交测试消息;移动节点通过隧道模式向家乡代理发送家乡测试初始消息,家乡代理将所述家乡测试初始消息转发给通信节点,并在发送报文中携带目的选项扩展头,所述目的选项扩展头包括家乡地址替代符选项,携带家乡地址替代符,通信节点向家乡代理返回包含家乡密钥令牌的家乡测试消息,所述家乡密钥令牌以所述目的选项扩展头中携带的家乡地址替代符代替家乡地址计算得到,并在发送报文中携带第二类路由头,所述第二类路由头携带所述家乡地址替代符;家乡代理根据所述第二类路由头中的家乡地址替代符查找对应的家乡地址,通过隧道模式将所述家乡测试消息转发给移动节点。
优选的是,在发送绑定更新消息时,所述绑定更新消息中还包括家乡地址索引,所述移动节点将家乡地址与家乡地址索引值一一对应;通信节点按照所述绑定更新消息进行绑定更新时,将家乡地址替代符、家乡地址、家乡地址索引和转交地址绑定。
上述家乡地址索引值优选为移动节点存储的家乡地址列表中各个家乡地址的存储位置标记。例如,家乡地址列表以数组方式存储,所述家乡地址索引值为家乡地址列表中各个家乡地址的数组下标。
本发明绑定更新方法中,家乡地址替代符优选由下式获得:
SHoA=First(128,PRF(Kmh,Message1))
其中SHoA为家乡地址替代符;Kmh为移动节点和家乡代理之间的共享密钥;Message1为包括转交地址、家乡地址、通信节点地址或家乡代理地址的消息;PRF为伪随机函数,优选为哈希消息鉴别码算法函数;First为截断函数。
优选的是,所述绑定更新消息中还包括序列号,所述序列号为上一序列号与序列号增量之和,所述序列号增量由下式获得:
seq_increment=First(N,PRF(Kbm,Message2))
其中seq_increment为序列号增量;Kbm为所述绑定管理密钥;Message2为包括上一序列号或上一序列号增量的消息,其中还可包括移动节点的家乡地址、和/或转交地址、和/或通信节点地址等;PRF为伪随机函数;First为截断函数,N表示截取的位数。
进一步的,若上述序列号增量为0,则取所述序列号增量为:
seq_increment=First(N,Kbm XOR HoA)
其中HoA为家乡地址;XOR为异或函数。
本发明还提供一种移动IPv6通讯系统,包括移动节点、通信节点和家乡代理;所述移动节点,用于向通信节点发送转交测试初始消息;向家乡代理发送家乡测试初始消息;接收通信节点返回的包含转交密钥令牌的转交测试消息;接收家乡代理转发的包含家乡密钥令牌的家乡测试消息;根据家乡密钥令牌和转交密钥令牌生成绑定管理密钥;在绑定更新消息中置入加密家乡地址选项,携带以所述绑定管理密钥加密的家乡地址,再以家乡地址替代符代替家乡地址发送绑定更新消息;所述家乡代理,用于将所述家乡测试初始消息转发给通信节点,并在发送报文中携带目的选项扩展头,所述目的选项扩展头包括家乡地址替代符选项,携带家乡地址替代符;接收通信节点发送的家乡测试消息,根据报文中第二类路由头中的家乡地址替代符查找对应的家乡地址,通过隧道模式将所述家乡测试消息转发给移动节点;所述通信节点,用于接收家乡代理转发的家乡测试初始消息,以家乡地址替代符代替家乡地址生成家乡密钥令牌;向家乡代理返回包含家乡密钥令牌的家乡测试消息,并在发送报文中携带第二类路由头,所述第二类路由头携带所述家乡地址替代符;按照所述绑定更新消息进行家乡地址替代符、家乡地址和转交地址的绑定。
采用上述技术方案,本发明有益的技术效果在于:
1)本发明采用利用家乡地址替代符代替家乡地址执行返回路由可达过程的方法,在获得绑定管理密钥后将BU报文中的家乡地址以加密选项的形式发送,使得在执行绑定更新过程时传送到通信节点的报文中,家乡地址仅以加密形式出现一次,增强了家乡地址在绑定更新过程中的安全性;
2)本发明进一步将家乡地址索引同家乡地址、转交地址等一同进行绑定,使得在后续报文的发送过程中可进一步使用包含家乡地址索引的新扩展头来代替原本携带家乡地址的家乡地址选项或第二类路由头,不仅大大节省了报头空间,同时也使得移动用户具有更好的安全性,并且,若移动节点有多个家乡地址绑定到同一转交地址也不会产生混淆;
3)本发明还提供BU报文序列号的计算方法,使得序列号具有可为移动节点和通信节点共同获知的随机增量,避免对BU报文序列号的追踪。
下面通过具体实施方式并结合附图对本发明作进一步的详细说明。
附图说明
图1是本发明实施例一移动IPv6中的绑定更新方法流程示意图;
图2是本发明实施例二移动IPv6中的绑定更新方法流程示意图;
图3是本发明实施例三移动IPv6中的绑定更新方法流程示意图;
图4是本发明实施例四移动IPv6传输系统结构示意图。
具体实施方式
本发明提供移动IPv6中的绑定更新方法,其核心思想是,利用家乡地址替代符代替家乡地址执行返回路由可达过程,在获得绑定管理密钥后将BU报文中的家乡地址以加密选项的形式发送。在执行绑定更新的过程中,还可将家乡地址索引一同进行绑定。本发明中提供优选的家乡地址替代符以及BU报文序列号的计算方法。本发明并提供相应的移动IPv6传输系统。以下分别对本发明方法和系统进行详细说明。
实施例一、一种移动IPv6中的绑定更新方法,流程如图1所示,包括步骤:
A1、以家乡地址替代符(SHoA:Substitute of Home Address)代替家乡地址执行家乡代理与通信节点间的RRP过程;
RRP是主要用来保证MN与CN通信时的安全的过程,其原理是通过对MN与CN之间交换的信令进行加密来对它们之间的登记进行认证。通过RRP,CN知道是否能够使用优化路由和三角路由模式访问MN;如果RRP测试失败,CN将既不能接收MN的绑定更新,也不能直接发送分组到MN的转交地址。其测试过程主要包括两个消息对的传送:HoTI和HoT,CoTI和CoT。其中CoTI和CoT分别由MN和CN直接发送给对方,HoTI和HoT则由HA在MN和CN之间转发,对于MN而言,HoTI和CoTI的发送可以是同时的,对于CN而言,HoT和CoT的发送也可以是同时的。
由于CoTI和CoT交互的报文中不涉及MN的HoA,因此在本发明中可按照现有过程执行;HoTI和HoT的交互分为MN与HA之间的部分和HA与CN之间的部分;由于MN与HA的报文传送采用隧道模式,内层报文受隧道模式ESP头保护,安全性较高。因此本发明主要考虑的是RRP过程中,在HA与CN之间交互的部分。
本实施例中的RRP具体过程包括:
A11、CoTI和CoT交互,包括:
A111、MN向CN发送CoTI,报文IPv6报头中的源地址为CoA,目的地址为CN,移动头为CoTI消息;
A112、CN收到CoTI消息后,根据CoA计算生成转交密钥令牌(Care-ofKeygen Token),然后将包含转交密钥令牌的CoT发送给MN,报文IPv6报头中的源地址为CN,目的地址为CoA,移动头为CoT消息;
A12、HoTI和HoT交互,包括:
A121、MN通过隧道模式向HA发送HoTI,报文外层IPv6报头中的源地址为CoA,目的地址为HA,隧道模式安全封装净荷(ESP:Encapsulating SecurityPayload)头保护下的内层IPv6报头中的源地址为HoA,目的地址为CN,移动头为HoTI消息;
A122、HA收到MN以隧道模式发送的HoTI报文后,执行IP协议安全(IPSec)处理,得到内层IPv6报文;将内层报文中的源地址以HA代替,在IPv6报头和移动头之间添加目的选项扩展头,以进行HoTI消息到CN的转发。通常,在目的选项扩展头中需要放置家乡地址选项以携带HoA,本发明中,为隐藏MN的HoA,HA以相应的SHoA来代替,在目的选项扩展头中以一种新的选项,即家乡地址替代符选项来携带SHoA;
为保证SHoA的隐私性,并且能够由HA和MN各自通过计算得到,本实施例中采用的SHoA的计算方式如下:
SHoA=First(128,PRF(Kmh,Message1))
其中Kmh为MN和HA之间的共享密钥;Message1由可为MN和HA共享的信息构成,包括CoA、HoA、CN地址、HA地址等,本例中采用Message1=(CoA|HoA|CN),即,由CoA、HoA和CN连接而成,在生成SHoA的运算式中加入CoA可以使SHoA随CoA的改变而变化,加入HoA可以使绑定到同一CoA的不同HoA生成的SHoA不相同,加入CN可以使和不同CN通信所使用的SHoA是不同的;PRF为伪随机函数,表示在Kmh的作用下对消息Message1进行处理生成伪随机输出,可以采用哈希消息鉴别码算法函数,例如HMAC_SHA1等;First为截断函数,表示截取PRF输出散列的前若干位,由于SHoA是用来代替HoA的,其长度需要与HoA一致,因此式中取128位。HA计算出SHoA后,保存SHoA与HoA的关联。
A123、CN收到HoTI消息后,根据目的选项扩展头中的选项类型即可获知所使用的是SHoA,因此在计算家乡密钥令牌(Home Keygen Token)时使用SHoA进行计算;然后进行包含家乡密钥令牌的HoT消息的发送,通常,在发送报文中需要设置第二类路由头来携带MN的HoA,本发明中,CN以相应的SHoA来代替;所发送报文IPv6报头中的源地址为CN,目的地址为HA,第二类路由头携带SHoA,移动头为HoT消息;
A124、HA收到CN发来的HoT消息,需要通过隧道模式进行到MN的转发;先根据第二类路由头中的SHoA查找对应的HoA,然后将HoT报文IPv6报头中的目的地址替换为HoA,再进行隧道封装和发送;发送报文外层IPv6报头中的源地址为HA,目的地址为CoA;隧道模式ESP头保护下的内层IPv6报头中的源地址为CN,目的地址为HoA,移动头为HoT消息;
上述过程A11和A12可并行执行;
A2、MN收到CN直接发送的CoT消息和HA转发的HoT消息后,RRP过程结束,MN根据CN返回的家乡密钥令牌和转交密钥令牌生成绑定管理密钥(Kbm:binding management Key);Kbm可采用通常的计算方式:
Kbm=HMAC_SHA1(Home Keygen Token|Care-of Keygen Token)即对由家乡密钥令牌和转交密钥令牌组成的序列进行哈希算法HMAC_SHA1计算获得Kbm;
A3、MN向CN发送BU消息,进行绑定更新;通常BU消息的报文中需要携带目的选项扩展头,其中包括家乡地址选项,用于携带HoA;本发明中,为隐藏HoA,MN以相应的SHoA放置在家乡地址选项中代替HoA,同时为了把HoA与SHoA的关联关系发送到CN,MN在BU消息中使用加密家乡地址选项,将用Kbm加密后的HoA放置在加密家乡地址选项中;BU报文IPv6报头中的源地址为CoA,目的地址为CN;目的选项扩展头携带家乡地址选项,放置SHoA,移动头为BU消息,其选项中包括序列号、加密家乡地址选项、家乡临时随机数索引、转交临时随机数索引、消息授权码等,其中加密家乡地址选项为本发明中新增的选项;
A4、CN收到MN的BU消息后,通过Kbm从加密家乡地址选项中恢复出HoA,然后将SHoA、HoA、CoA绑定更新到绑定缓存表项中;通常CN还会向MN返回一个绑定确认(BA:Binding Acknowledge)消息,表示绑定更新过程完成,此后,MN与CN即可通过路由优化的方式直接进行报文的传输。
为了在后续报文传输过程中,避免MN的HoA被窃听者获取,在MN发送到CN的报文中,以SHoA作为目的选项扩展头中家乡地址选项携带的内容;在CN发送到MN的报文中,以SHoA作为第二类路由头携带的内容,这样窃听者就无法通过报文拦截来获取移动用户的HoA。
实施例二、一种移动IPv6中的绑定更新方法,流程如图2所示,步骤与实施例一基本相同,区别之处在于,本实施例中使用具有随机性的BU报文序列号生成方法,具体步骤包括:
B1、以SHoA代替HoA执行HA与CN间的RRP过程;具体方法可参考实施例一中步骤A1;
B2、MN收到CN直接发送的CoT消息和HA转发的HoT消息后,RRP过程结束,MN根据CN返回的家乡密钥令牌和转交密钥令牌生成Kbm;
B3、MN向CN发送BU消息,进行绑定更新;包括:
B31、在发送BU的报文中,MN以相应的SHoA放置在目的选项扩展头的家乡地址选项中代替HoA;
B32、在BU消息中使用加密家乡地址选项,将用Kbm加密后的HoA放置在加密家乡地址选项中;
B33、计算随机的序列号增量(seq_increment),将获得的序列号增量与上一序列号相加得到BU消息的序列号,放置在BU消息的选项中;本实施例中所采用的序列号增量计算式为:
seq_increment=First(8,PRF(Kbm,Message2))
其中Message2为包括上一序列号(Seq#)或上一序列号增量(seq_increment#)的消息,可表示为
Message2=(Seq#|Expression),或
Message2=(seq_increment#|Expression);
Expression可由与MN和CN相关且共享的信息组合成,比如MN的CoA、HoA,CN的地址等,当然Expression也可为空;本实施例中伪随机函数PRF采用HMAC_SHA1,First截断函数取前8位;
特别的,为增强序列号的不可跟踪性,若采用上述方法计算得到的序列号增量为0,则重新取序列号增量为:
seq_increment=First(8,Kbm XOR HoA)
其中XOR为异或函数,表示对Kbm和HoA进行异或运算;
上述步骤B31~B33可并行执行;
B34、发送BU报文;BU报文IPv6报头中的源地址为CoA,目的地址为CN;目的选项扩展头携带家乡地址选项,放置SHoA,移动头为BU消息,其选项中包括序列号、加密家乡地址选项等;
B4、CN收到MN的BU消息后,通过Kbm从加密家乡地址选项中恢复出HoA,然后将SHoA、HoA、CoA绑定更新到绑定缓存表项中。
实施例三、一种移动IPv6中的绑定更新方法,流程如图3所示,步骤与实施例一基本相同,区别之处在于,本实施例中MN在发送BU报文执行绑定更新时,还携带与HoA一一对应的家乡地址索引(HoA Index),实现HoA、CoA、SoA、HoAIndex的绑定,具体步骤包括:
C1、以SHoA代替HoA执行HA与CN间的RRP过程;具体方法可参考实施例一中步骤A1;
C2、MN收到CN直接发送的CoT消息和HA转发的HoT消息后,RRP过程结束,MN根据CN返回的家乡密钥令牌和转交密钥令牌生成Kbm;
C3、MN向CN发送BU消息,进行绑定更新;包括:
C31、在发送BU的报文中,MN以相应的SHoA放置在家乡地址选项中代替HoA;
C32、在BU消息中使用加密家乡地址选项,将用Kbm加密后的HoA放置在加密家乡地址选项中;
C33、在BU消息中携带家乡地址索引;
家乡地址索引是MN提供的与其HoA一一对应的值。当一个MN具有一个或一个以上家乡地址时,在其缓存中存储着其家乡地址的列表,该列表可以以数组、链表或其它方式进行存放。MN的n(n>=1)个家乡地址,每个都可以和0~n-1(或1~n)的数集合建立单一映射关系,例如0~n-1(1~n)可以是以数组方式存储的家乡地址列表的数组下标,或家乡地址的存储位置标记。所以MN的家乡地址列表的数组下标便可以作为家乡地址索引,通过家乡地址索引便可直接对应获得MN的家乡地址。
上述步骤C31~C33可并行执行;
C34、发送BU报文;BU报文IPv6报头中的源地址为CoA,目的地址为CN;目的选项扩展头携带家乡地址选项,放置SHoA,移动头为BU消息,其选项中包括序列号、加密家乡地址选项、家乡地址索引等;
C4、CN收到MN的BU消息后,通过Kbm从加密家乡地址选项中恢复出HoA,然后将SHoA、HoA、CoA和家乡地址索引绑定更新到绑定缓存表项中;
当然,由于需要存储家乡地址索引,因此在HA或CN的绑定缓存条目(Binding Cache Entry)中都需要增加一个存储家乡地址索引的字段。
完成本实施例绑定更新后,在后续的报文发送过程中,即可用一个新的携带家乡地址索引的“绑定索引扩展头”来代替家乡地址选项或第二类路由头。由于家乡地址索引仅仅是一个很短的指针值,而家乡地址选项或第二类路由头中无论携带的是HoA还是SHoA均为128位的长度,因此这样不仅可以大大减小报头长度,而且由于报文中与HoA对应的参数仅出现家乡地址索引,进一步提高了安全性。当然也可以不使用“绑定索引扩展头”,而采用在移动头中增加“绑定索引选项”来携带家乡地址索引的方式。
实施例四、一种移动IPv6通讯系统,如图4所示,包括移动节点1、通信节点2和家乡代理3;
移动节点1,用于向通信节点2发送转交测试初始消息;向家乡代理3发送家乡测试初始消息;接收通信节点2返回的包含转交密钥令牌的转交测试消息;接收家乡代理3转发的包含家乡密钥令牌的家乡测试消息;根据家乡密钥令牌和转交密钥令牌生成绑定管理密钥;在绑定更新消息中置入加密家乡地址选项,携带以所述绑定管理密钥加密的家乡地址,再以家乡地址替代符代替家乡地址发送绑定更新消息给通信节点2;
家乡代理3,用于将所述家乡测试初始消息转发给通信节点2,并在发送报文中携带目的选项扩展头,所述目的选项扩展头包括家乡地址替代符选项,携带家乡地址替代符;接收通信节点2发送的家乡测试消息,根据报文中第二类路由头中的家乡地址替代符查找对应的家乡地址,通过隧道模式将所述家乡测试消息转发给移动节点1;
通信节点2,用于接收家乡代理3转发的家乡测试初始消息,以家乡地址替代符代替家乡地址生成家乡密钥令牌;向家乡代理3返回包含家乡密钥令牌的家乡测试消息,并在发送报文中携带第二类路由头,所述第二类路由头携带所述家乡地址替代符;按照所述绑定更新消息进行家乡地址替代符、家乡地址和转交地址的绑定。
本实施例系统可应用实施例一~三中所描述的绑定更新方法。
以上对本发明所提供的移动IPv6中的绑定更新方法及移动IPv6通讯系统进行了详细介绍,本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本发明的限制。
Claims (10)
1.一种移动IPv6中的绑定更新方法,其特征在于,包括:
以家乡地址替代符代替家乡地址执行家乡代理与通信节点间的返回路由可达过程;所述返回路由可达过程包括:
移动节点向通信节点发送转交测试初始消息,获得通信节点返回的包含转交密钥令牌的转交测试消息,
移动节点通过隧道模式向家乡代理发送家乡测试初始消息,
家乡代理将所述家乡测试初始消息转发给通信节点,并在发送报文中携带目的选项扩展头,所述目的选项扩展头包括家乡地址替代符选项,携带家乡地址替代符,
通信节点向家乡代理返回包含家乡密钥令牌的家乡测试消息,所述家乡密钥令牌以所述目的选项扩展头中携带的家乡地址替代符代替家乡地址计算得到,并在发送报文中携带第二类路由头,所述第二类路由头携带所述家乡地址替代符,
家乡代理根据所述第二类路由头中的家乡地址替代符查找对应的家乡地址,通过隧道模式将所述家乡测试消息转发给移动节点;
移动节点根据通信节点返回的家乡密钥令牌和转交密钥令牌生成绑定管理密钥;
移动节点以家乡地址替代符代替家乡地址向通信节点发送绑定更新消息,所述绑定更新消息中包括加密家乡地址选项,携带以所述绑定管理密钥加密的家乡地址;
通信节点按照所述绑定更新消息进行家乡地址替代符、家乡地址和转交地址的绑定。
2.根据权利要求1所述的移动IPv6中的绑定更新方法,其特征在于:在发送绑定更新消息时,所述绑定更新消息中还包括家乡地址索引,所述移动节点将家乡地址与家乡地址索引值一一对应;
通信节点按照所述绑定更新消息进行绑定更新时,将家乡地址替代符、家乡地址、家乡地址索引和转交地址绑定。
3.根据权利要求2所述的移动IPv6中的绑定更新方法,其特征在于:所述家乡地址索引值为移动节点存储的家乡地址列表中各个家乡地址的存储位置标记。
4.根据权利要求3所述的移动IPv6中的绑定更新方法,其特征在于:所述家乡地址列表以数组方式存储,所述家乡地址索引值为家乡地址列表中各个家乡地址的数组下标。
5.根据权利要求1所述的移动IPv6中的绑定更新方法,其特征在于,所述家乡地址替代符由下式获得:
SHoA=First(128,PRF(Kmh,Message1))
其中SHoA为家乡地址替代符;Kmh为移动节点和家乡代理之间的共享密钥;Message1为包括转交地址、家乡地址、通信节点地址或家乡代理地址的消息;PRF为伪随机函数;First为截断函数。
6.根据权利要求5所述的移动IPv6中的绑定更新方法,其特征在于:所述伪随机函数为哈希消息鉴别码算法函数。
7.根据权利要求1~6任意一项所述的移动IPv6中的绑定更新方法,其特征在于:所述绑定更新消息中还包括序列号,所述序列号为上一序列号与序列号增量之和,所述序列号增量由下式获得:
seq_increment=First(N,PRF(Kbm,Message2))
其中seq_increment为序列号增量;Kbm为所述绑定管理密钥;Message2为包括上一序列号或上一序列号增量的消息;PRF为伪随机函数;First为截断函数,N表示截取的位数。
8.根据权利要求7所述的移动IPv6中的绑定更新方法,其特征在于:所述Message2中还包括移动节点的家乡地址、和/或转交地址、和/或通信节点地址。
9.根据权利要求7所述的移动IPv6中的绑定更新方法,其特征在于,若所述序列号增量为0,则取所述序列号增量为:
seq_increment=First(N,Kbm XOR HoA)
其中HoA为家乡地址;XOR为异或函数。
10.一种移动IPv6通讯系统,其特征在于:包括移动节点、通信节点和家乡代理;
所述移动节点,用于向通信节点发送转交测试初始消息;向家乡代理发送家乡测试初始消息;接收通信节点返回的包含转交密钥令牌的转交测试消息;接收家乡代理转发的包含家乡密钥令牌的家乡测试消息;根据家乡密钥令牌和转交密钥令牌生成绑定管理密钥;在绑定更新消息中置入加密家乡地址选项,携带以所述绑定管理密钥加密的家乡地址,再以家乡地址替代符代替家乡地址发送绑定更新消息;
所述家乡代理,用于将所述家乡测试初始消息转发给通信节点,并在发送报文中携带目的选项扩展头,所述目的选项扩展头包括家乡地址替代符选项,携带家乡地址替代符;接收通信节点发送的家乡测试消息,根据报文中第二类路由头中的家乡地址替代符查找对应的家乡地址,通过隧道模式将所述家乡测试消息转发给移动节点;
所述通信节点,用于接收家乡代理转发的家乡测试初始消息,以家乡地址替代符代替家乡地址生成家乡密钥令牌;向家乡代理返回包含家乡密钥令牌的家乡测试消息,并在发送报文中携带第二类路由头,所述第二类路由头携带所述家乡地址替代符;按照所述绑定更新消息进行家乡地址替代符、家乡地址和转交地址的绑定。
Priority Applications (7)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2006101118769A CN101136905B (zh) | 2006-08-31 | 2006-08-31 | 移动IPv6中的绑定更新方法及移动IPv6通讯系统 |
| AT07764283T ATE533252T1 (de) | 2006-08-31 | 2007-07-26 | Verfahren zur verbindungsaktualisierung in einem mobilsystem nach ipv6 und mobilkommunikationssystem nach ipv6 |
| PCT/CN2007/070361 WO2008025270A1 (fr) | 2006-08-31 | 2007-07-26 | Procédé pour une mise à jour de liaison dans le système mobile ipv6 et système de communication mobile ipv6 |
| PL07764283T PL2056520T3 (pl) | 2006-08-31 | 2007-07-26 | Sposób aktualizacji wiązania w ruchomym IPV6 i system telekomunikacji ruchomej IPV6 |
| ES07764283T ES2374317T3 (es) | 2006-08-31 | 2007-07-26 | MÉTODO PARA UNA ACTUALIZACIÓN DE ENLACE EN EL SISTEMA MÓVIL IPv6 Y SISTEMA DE COMUNICACIÓN MÓVIL IPv6. |
| EP07764283A EP2056520B9 (en) | 2006-08-31 | 2007-07-26 | A method for binding update in the mobile ipv6 and a mobile ipv6 communication system |
| US12/395,178 US20090213797A1 (en) | 2006-08-31 | 2009-02-27 | Method for binding update in mobile ipv6 and mobile ipv6 communication system |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2006101118769A CN101136905B (zh) | 2006-08-31 | 2006-08-31 | 移动IPv6中的绑定更新方法及移动IPv6通讯系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101136905A CN101136905A (zh) | 2008-03-05 |
| CN101136905B true CN101136905B (zh) | 2010-09-08 |
Family
ID=39135503
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2006101118769A Active CN101136905B (zh) | 2006-08-31 | 2006-08-31 | 移动IPv6中的绑定更新方法及移动IPv6通讯系统 |
Country Status (7)
| Country | Link |
|---|---|
| US (1) | US20090213797A1 (zh) |
| EP (1) | EP2056520B9 (zh) |
| CN (1) | CN101136905B (zh) |
| AT (1) | ATE533252T1 (zh) |
| ES (1) | ES2374317T3 (zh) |
| PL (1) | PL2056520T3 (zh) |
| WO (1) | WO2008025270A1 (zh) |
Families Citing this family (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8514777B1 (en) * | 2008-10-28 | 2013-08-20 | Marvell International Ltd. | Method and apparatus for protecting location privacy of a mobile device in a wireless communications network |
| US8385332B2 (en) * | 2009-01-12 | 2013-02-26 | Juniper Networks, Inc. | Network-based macro mobility in cellular networks using an extended routing protocol |
| US20100177752A1 (en) * | 2009-01-12 | 2010-07-15 | Juniper Networks, Inc. | Network-based micro mobility in cellular networks using extended virtual private lan service |
| US8699433B2 (en) * | 2010-07-21 | 2014-04-15 | Telefonaktiebolaget L M Ericsson (Publ) | System and method for providing mobility with a split home agent architecture |
| US8428024B2 (en) | 2010-07-21 | 2013-04-23 | Telefonaktiebolaget L M Ericsson (Publ) | System and method for mobility with a split home agent architecture using MPTCP |
| EP2824661A1 (en) * | 2013-07-11 | 2015-01-14 | Thomson Licensing | Method and Apparatus for generating from a coefficient domain representation of HOA signals a mixed spatial/coefficient domain representation of said HOA signals |
| CN103701825A (zh) * | 2013-12-31 | 2014-04-02 | 工业和信息化部电子第五研究所 | 面向移动智能终端IPv6协议及其应用的安全测试系统 |
| CN105207978B (zh) * | 2014-06-24 | 2018-12-07 | 华为技术有限公司 | 一种消息鉴别方法及电子设备 |
| CN105681364B (zh) * | 2016-04-11 | 2019-02-05 | 清华大学 | 一种基于增强绑定的IPv6移动终端抗攻击方法 |
| US11336683B2 (en) * | 2019-10-16 | 2022-05-17 | Citrix Systems, Inc. | Systems and methods for preventing replay attacks |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP1158742A1 (en) * | 2000-05-24 | 2001-11-28 | Motorola, Inc. | Communication system and method therefor |
| CN1697548A (zh) * | 2004-05-14 | 2005-11-16 | 华为技术有限公司 | 一种移动IPv6节点远程动态配置家乡地址的方法 |
| CN1745558A (zh) * | 2003-02-11 | 2006-03-08 | 思科技术公司 | 在移动路由器和对端节点之间建立双向隧道的布置 |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20030211842A1 (en) * | 2002-02-19 | 2003-11-13 | James Kempf | Securing binding update using address based keys |
| US7793098B2 (en) * | 2003-05-20 | 2010-09-07 | Nokia Corporation | Providing privacy to nodes using mobile IPv6 with route optimization |
| KR100918440B1 (ko) * | 2004-11-12 | 2009-09-24 | 삼성전자주식회사 | 가상 사설망에서 게이트웨이의 ip 주소를 이용한 이동 단말의 통신 방법 및 장치 |
| CN101001261B (zh) * | 2006-01-09 | 2010-09-29 | 华为技术有限公司 | 一种MIPv6移动节点的通信方法 |
-
2006
- 2006-08-31 CN CN2006101118769A patent/CN101136905B/zh active Active
-
2007
- 2007-07-26 ES ES07764283T patent/ES2374317T3/es active Active
- 2007-07-26 AT AT07764283T patent/ATE533252T1/de active
- 2007-07-26 EP EP07764283A patent/EP2056520B9/en not_active Not-in-force
- 2007-07-26 PL PL07764283T patent/PL2056520T3/pl unknown
- 2007-07-26 WO PCT/CN2007/070361 patent/WO2008025270A1/zh active Application Filing
-
2009
- 2009-02-27 US US12/395,178 patent/US20090213797A1/en not_active Abandoned
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP1158742A1 (en) * | 2000-05-24 | 2001-11-28 | Motorola, Inc. | Communication system and method therefor |
| CN1745558A (zh) * | 2003-02-11 | 2006-03-08 | 思科技术公司 | 在移动路由器和对端节点之间建立双向隧道的布置 |
| CN1697548A (zh) * | 2004-05-14 | 2005-11-16 | 华为技术有限公司 | 一种移动IPv6节点远程动态配置家乡地址的方法 |
Non-Patent Citations (2)
| Title |
|---|
| Claude Castelluccia等.A Simple Privacy Extension for Mobile IPv6.SpringerLink丛书IFIP International Federation for Information Processing162/2005.2006,162/2005239-249. * |
| 文俊浩等.移动IPv6路由关键技术及其优化.电子技术应用31 11.2005,31(11),15-17. * |
Also Published As
| Publication number | Publication date |
|---|---|
| PL2056520T3 (pl) | 2012-03-30 |
| ATE533252T1 (de) | 2011-11-15 |
| WO2008025270A1 (fr) | 2008-03-06 |
| CN101136905A (zh) | 2008-03-05 |
| EP2056520B9 (en) | 2012-03-21 |
| EP2056520A4 (en) | 2010-06-02 |
| EP2056520B1 (en) | 2011-11-09 |
| ES2374317T3 (es) | 2012-02-15 |
| EP2056520A1 (en) | 2009-05-06 |
| US20090213797A1 (en) | 2009-08-27 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101136905B (zh) | 移动IPv6中的绑定更新方法及移动IPv6通讯系统 | |
| CN101001261B (zh) | 一种MIPv6移动节点的通信方法 | |
| CN101150572B (zh) | 移动节点和通信对端绑定更新的方法及装置 | |
| CN101965722B (zh) | 安全性关联的重新建立 | |
| CN100512182C (zh) | 无线局域网中的快速切换方法及系统 | |
| CN101150849B (zh) | 生成绑定管理密钥的方法、系统、移动节点及通信节点 | |
| CN100380859C (zh) | 用于安全通信的返回路径可选择的方法 | |
| EP2151114A2 (en) | Method and apparatus for combining internet protocol authentication and mobility signaling | |
| Praptodiyono et al. | Mobile IPv6 vertical handover specifications, threats, and mitigation methods: A survey | |
| CN101106568B (zh) | 生成转交地址及提高路由优化安全性的方法、装置和系统 | |
| JP4778565B2 (ja) | 通信方法、通信システム、モバイルノード及び通信ノード | |
| WO2008007233A2 (en) | Mobility signaling delegation | |
| Park et al. | Securing 6LoWPAN neighbor discovery | |
| CN102484659A (zh) | 用于生成移动ip网络中密码生成地址的方法和网络节点 | |
| Mayuri et al. | A novel secure handover mechanism in PMIPV6 networks | |
| CN100536471C (zh) | 一种家乡代理信令消息有效保护方法 | |
| Qiu et al. | A pmipv6-based secured mobility scheme for 6lowpan | |
| Xie et al. | Secured macro/micro-mobility protocol for multi-hop cellular IP | |
| CN101494640A (zh) | 保护移动ip路由优化信令的方法、系统、节点和家乡代理 | |
| Matos et al. | Toward dependable networking: secure location and privacy at the link layer | |
| Brian et al. | Security scheme for mobility management in the internet of things | |
| Beyah et al. | Security in Ad-hoc and Sensor Networks | |
| Tan et al. | Fast and simple NEMO authentication via random number | |
| Jara et al. | Secure mobility management scheme for 6lowpan id/locator split architecture | |
| Rathi et al. | A Secure and Fault tolerant framework for Mobile IPv6 based networks |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |