CN101299668A - 一种通信的建立方法、系统和装置 - Google Patents
一种通信的建立方法、系统和装置 Download PDFInfo
- Publication number
- CN101299668A CN101299668A CN 200810129174 CN200810129174A CN101299668A CN 101299668 A CN101299668 A CN 101299668A CN 200810129174 CN200810129174 CN 200810129174 CN 200810129174 A CN200810129174 A CN 200810129174A CN 101299668 A CN101299668 A CN 101299668A
- Authority
- CN
- China
- Prior art keywords
- cga
- communication
- request
- parameter
- signature
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/126—Applying verification of the received information the source of the received data
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0869—Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/20—Manipulating the length of blocks of bits, e.g. padding or block truncation
Abstract
本发明实施例公开了一种通信的建立方法、系统和装置,所述通信的建立方法用于建立至少两个通信方之间的通信,包括第一通信方和第二通信方,包括:发送加密生成地址CGA请求至所述第一通信方;接收所述第一通信方回复的CGA参数和CGA签名;对所述CGA参数和CGA签名进行验证,在验证成功之后,与所述第一通信方建立通信。通过本发明实施例,在建立通信的过程中,通信方通过验证CGA扩展头所包括的CGA参数和CGA签名,确定CGA的真实性,有效防止了IP地址欺骗,防止或减轻了由于IP地址欺骗引起的一些网络安全问题。
Description
技术领域
本发明实施例涉及通信技术领域,特别涉及一种通信的建立方法、系统和装置。
背景技术
在IP(Intemet Protocol,因特网协议)地址、子网段和自动系统中,部分容许IP地址欺骗。因此,大部分的互联网都很容易遇到IP地址欺骗的问题,而且持续频发的这种IP地址欺骗可能成为一个非常严重的问题。例如:
a)伪装源地址的能力会衍生出某种类型的网络攻击,比如回应攻击,中间人攻击;
b)伪装以后的源地址可以实现某些其他形式的攻击,比如DDOS(Distribute Denial of Service,分布式拒绝服务攻击)攻击,而且非常难以被发觉;
c)允许伪装的源地址进入网络将无法通过查看源地址来得知IP数据包的来源。
现有技术中的URPF(Unicast Reverse Path Forwarding,单播反向路径转发)方法可以很好地解决IP地址欺骗的问题。URPF设定了以下数据包转发机制,当路由器接收到一个数据包时,该路由器检查路由表,确定返回数据包的源IP地址的路由是否从接收到该数据包的接口出去,如果是,则正常转发该数据包,否则,就会丢弃该数据包。
在实现本发明的过程中,发明人发现现有技术至少存在以下问题:
采用URPF在网络边界阻断伪造源地址IP的攻击,对于当前的DDoS攻击,并不能奏效,其根本原因就在于URPF的基本原理是路由器判断出口流量的源地址,如果该出口流量的源地址不属于内部子网的地址,则阻断出口流量。但是攻击者完全可以伪造其所在子网的IP地址进行DDoS攻击,这样就完全可以绕过URPF的防护策略。因此,现有技术仍然会使带有虚假源地址的数据包通过。
发明内容
本发明实施例提供一种通信的建立方法、系统和装置,以实现通过CGA参数和CGA签名,验证地址的真实性,防止IP地址欺骗。
本发明实施例一方面提供一种通信的建立方法,用于建立至少两个通信方之间的通信,包括第第一通信方和第二通信方,包括:
发送加密生成地址CGA请求至所述第一通信方;
接收所述第一通信方回复的CGA参数和CGA签名;
对所述CGA参数和CGA签名进行验证,在验证成功之后,与所述第一通信方建立通信。
另一方面,本发明实施例还提供一种通信的建立系统,包括:
第一通信方,用于接收加密生成地址CGA请求,并回复CGA参数和CGA签名;
第二通信方,用于发送所述CGA请求至所述第一通信方,接收所述第一通信方回复的CGA参数和CGA签名,并对所述CGA参数和CGA签名进行验证,在验证成功之后,与所述第一通信方建立通信。
再一方面,本发明实施例还提供一种通信设备,包括:
发送模块,用于发送加密生成地址CGA请求至另一通信设备;
接收模块,用于接收所述另一通信设备回复的CGA参数和CGA签名;
验证模块,用于对所述接收模块接收的CGA参数和CGA签名进行验证;
通信建立模块,用于在所述验证模块验证成功之后,与所述第一通信方建立通信。
再一方面,本发明实施例还提供一种传输帧格式,所述传输帧格式包括加密生成地址CGA请求数据,用于在两个通信方采用通信的建立方法建立通信的过程中,在两个通信方之间传输CGA请求,所述传输帧格式包括类型字段、预留字段和序列号字段,其中,所述序列号字段,包括防止重放攻击的信息。
再一方面,本发明实施例还提供一种传输帧格式,所述传输帧格式包括加密生成地址CGA参数数据,用于在两个通信方采用通信的建立方法建立通信的过程中,在两个通信方之间传输CGA参数,所述传输帧格式包括类型字段、长度字段、填充长度字段、预留域字段、序列号字段、CGA参数字段和填充字段,其中,
所述序列号字段,包括防止重放攻击的信息;
所述CGA参数字段,包括CGA参数信息。
再一方面,本发明实施例还提供一种传输帧格式,所述传输帧格式包括加密生成地址CGA签名数据,用于在两个通信方采用通信的建立方法建立通信的过程中,在两个通信方之间传输CGA签名,所述传输帧格式包括类型字段、长度字段、填充长度字段、预留域字段、CGA签名字段和填充字段,其中,所述CGA签名字段,包括用发送者私钥对数据包内容的签名。
与现有技术相比,本发明实施例具有以下优点:通过本发明实施例,在建立通信的过程中,通信方通过验证CGA扩展头所包括的CGA参数和CGA签名,确定CGA的真实性,有效防止了IP地址欺骗,防止或减轻了由于IP地址欺骗引起的一些网络安全问题。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例通信的建立方法的流程图;
图2为本发明通信的建立方法实施例一的流程图;
图3为本发明通信的建立方法实施例二的流程图;
图4为本发明通信的建立方法实施例三的流程图;
图5为本发明实施例提供的一种传输帧格式的示意图;
图6为本发明实施例提供的另一种传输帧格式的示意图;
图7为本发明实施例提供的再一种传输帧格式的示意图;
图8为本发明实施例通信的建立系统的一种结构图;
图9为本发明实施例通信的建立系统的另一种结构图;
图10为本发明实施例通信设备的一种结构图;
图11为本发明实施例通信设备的另一种结构图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明的一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明实施例提供一种通信的建立方法,解决了IP地址伪造、仿冒等IP地址欺骗问题,解决或者减轻了由于IP地址欺骗引起的一系列网络安全问题。
本发明实施例在IPv6(Intemet Protocol version 6,因特网协议版本6)扩展头中增加CGA(Cryptographically Generated Addresses,加密生成地址)扩展头,该CGA扩展头包括CGA Request(CGA请求)、CGA Params(CGA参数)、CGA Sig(CGA签名)。
如图1所示,为本发明实施例通信的建立方法的流程图,具体包括:
步骤S101,发送CGA请求至第一通信方。具体可以为:
第二通信方接收第一通信方发送的会话请求,并对该会话请求进行检查,当该会话请求中的IPv6扩展头不包括CGA扩展头,或者该会话请求包括内容为空的CGA扩展头时,第二通信方发送CGA请求至第一通信方。
步骤S102,接收第一通信方回复的CGA参数和CGA签名。
在接收到第二通信方发送的CGA请求之后,第一通信方向第二通信方回复CGA参数和CGA签名。本发明实施例在IPv6扩展头中增加CGA扩展头,第一通信方回复的CGA参数和CGA签名携带在IPv6扩展头的CGA扩展头中。
步骤S103,对CGA参数和CGA签名进行验证,在验证成功之后,与第一通信方建立通信。
另外,在第二通信方接收第一通信方回复的CGA参数和CGA签名的同时,该第二通信方还可以接收第一通信方发送的CGA请求,在验证第一通信方回复的CGA参数和CGA签名成功之后,第二通信方向第一通信方回复该第二通信方的CGA参数和CGA签名。在第一通信方验证该第二通信方的CGA参数和CGA签名成功之后,第二通信方与第一通信方建立通信。这时,第一通信方和第二通信方相互验证了对方CGA的真实性。
上述通信的建立方法,在建立通信的过程中,通信方通过验证CGA扩展头所包括的CGA参数和CGA签名,确定CGA的真实性,有效防止了IP地址欺骗,防止或减轻了由于IP地址欺骗引起的一些网络安全问题。
如图2所示,为本发明通信的建立方法实施例一的流程图,在实施例一中,第一通信方为应答方,第二通信方为发起方。具体包括:
步骤S201,发起方向应答方发送CGA请求。
步骤S202,应答方收到CGA请求后,向发起方回复CGA参数、CGA签名。
步骤S203,发起方验证CGA参数及CGA签名,在验证成功之后,开始后续通信。如果验证失败,则停止通信过程。
上述通信的建立方法,发起方向应答方发送CGA请求,在接收到应答方回复的CGA参数及CGA签名之后,发起方验证CGA参数及CGA的签名,确定应答方CGA的真实性,从而防止了IP地址欺骗,防止或减轻了由于IP地址欺骗引起的一些网络安全问题。
如图3所示,为本发明通信的建立方法实施例二的流程图,实施例二中,第一通信方为发起方,第二通信方为应答方。具体包括:
步骤S301,发起方发起会话请求。
步骤S302,应答方收到会话请求后,检查IP扩展头中是否有CGA扩展头,如果有,则进一步判断该CGA扩展头的内容是否为空,当该CGA扩展头的内容不为空时,执行步骤S304;如果IP扩展头中没有CGA扩展头,或者会话请求中的CGA扩展头的内容为空时,应答方发送CGA请求至发起方。
步骤S303,发起方接收CGA请求,如果发起方支持CGA扩展,则回复CGA参数、CGA签名;如果发起方不支持CGA扩展,则该发起方丢弃该CGA请求。
步骤S304,应答方收到发送方回复的CGA参数、CGA签名后,验证该CGA参数及CGA签名,在验证成功之后,开始后续通信。如果验证失败,则应答方丢弃发送方回复的CGA参数和CGA签名。
上述通信的建立方法,在应答方收到发起方的会话请求之后,应答方向发起方发送CGA请求,并验证发起方回复的CGA参数及CGA签名,确定发起方CGA的真实性,从而防止了IP地址欺骗,防止或减轻了由于IP地址欺骗引起的一些网络安全问题。
如图4所示,为本发明通信的建立方法实施例三的流程图,实施例三中,第一通信方为发起方,第二通信方为应答方。具体包括:
步骤S401,发起方发起会话请求,该会话请求包括内容为空的CGA扩展头。
步骤S402,应答方收到会话请求后,发送CGA请求至发起方。
步骤S403,发起方收到CGA请求后,向应答方回复CGA参数、CGA签名,并向应答方发送CGA请求。
步骤S404,应答方收到发起方发送的CGA请求后,应答方先验证发起方回复的CGA参数及CGA签名,在验证成功之后,应答方向发起方回复该应答方的CGA参数及CGA签名;如果验证失败,则应答方丢弃发起方发送的CGA参数、CGA签名和CGA请求。
步骤S405,发起方收到应答方回复的CGA参数,CGA签名后,验证CGA参数及CGA签名,在验证成功之后,开始后续通信。如果验证失败,则发起方丢弃该CGA参数,CGA签名。
上述通信的建立方法,在应答方收到发起方的会话请求之后,应答方向发起方发送CGA请求,并验证发起方回复的CGA参数及CGA签名,同时发起方也向应答方发送CGA请求,验证应答方回复的CGA参数及CGA签名,发起方和应答方相互确定对方CGA的真实性,从而防止了IP地址欺骗,防止或减轻了由于IP地址欺骗引起的一些网络安全问题。
本发明实施例通过增加CGA扩展头,在建立通信的过程中,要求通信方在消息中添加包括CGA参数和CGA签名的扩展头,用于验证CGA的真实性,防止IP地址欺骗,防止或减轻由于IP地址欺骗引起的一些网络安全问题。
以TCP(Transmission Control Protocol,传输控制协议)-SYN(Synchronization,同步)洪水攻击为例,攻击者通过僵尸网络发起大量虚假地址的SYN请求。
应用本发明实施例,服务器收到SYN请求后,不会立即回应SYN-ACK(Acknowledgement,确认)并建立半连接状态,而是先检查SYN请求里面有没有CGA扩展头。1)如果SYN请求没有CGA扩展头,服务器发送CGA请求且不需要为该SYN请求建立状态信息,由于SYN请求中的源地址为虚假地址,所以服务器不会再收到回应;2)如果SYN请求中带有CGA扩展头,服务器会先验证CGA的有效性,如果SYN请求中的源地址为虚假地址,服务器只需做简单的哈希运算,即可判断该SYN请求是非法的,丢弃该SYN请求即可。应用本发明实施例,虽然服务器仍需要为虚假地址的SYN请求耗费一些资源,但相对于回应SYN-ACK并建立半连接状态,资源消耗很小,并且不需要为虚假地址的请求保持半连接状态,很大程度上解决了TCP-SYN洪水攻击问题。
以中间人攻击为例:
“中间人”(主机C,攻击者)处于通信发起方(主机A)与应答方(主机B)之间,同时冒充发起方和应答方的地址,分别与主机A、主机B通信。若主机A知道主机B的地址,那么在应用本发明实施例时,攻击者无法篡改主机B发给主机A的消息,因为通过应用CGA签名,将主机B的身份和CGA进行绑定,攻击者不知道主机B的私钥,无法得出篡改后消息的正确签名。
本发明实施例还提供了一种传输帧格式,该传输帧格式包括CGA请求数据,用于在两个通信方采用本发明实施例提供的通信的建立方法建立通信的过程中,在两个通信方之间传输CGA请求。在通信过程中,通信任意一方均可以通过发送包括了CGA请求选项的IP数据包来向对方请求CGA参数和CGA签名。接收到该IP数据包的通信方需要在回复的数据包中包括CGACGA参数、CGA签名。
本发明实施例提出的CGA请求选项的格式如图5所示,该CGA请求选项包括:
类型(Type)字段,为8比特无符号整数,在本实施例中,当该类型字段的数值为193时,表明该数据包为CGA请求。在其它实施例中,也可用其它数值表明该数据包为CGA请求。
预留域(Reserved)字段,长度为24比特,以备将来扩展使用。该预留域字段必须设为0。
序列号(Sequence Number)字段,为32比特随机数,包括防止重放攻击的信息。
本发明实施例还提供了一种传输帧格式,该传输帧格式包括CGA参数数据,用于在两个通信方采用本发明实施例提供的通信的建立方法建立通信的过程中,在两个通信方之间传输CGA参数,接收到CGA参数的通信方根据该CGA参数对CGA进行验证。
本发明实施例提出的CGA参数选项的格式如图6所示,该CGA参数选项包括:
类型(Type)字段,为8比特无符号整数。在本实施例中,当该类型字段的数值为194时,表明该数据包为CGA参数。在其它实施例中,也可用其它值表明该数据包为CGA参数。
长度(Length)字段,为8比特无符号整数,以字节为单位,表明整个CGA参数的长度,为类型字段、长度字段、填充长度字段、预留域字段、序列号字段、CGA参数字段以及填充字段等各字段长度的总和。
填充长度(Pad Length)字段,为8比特无符号整数,表示填充字段的长度,单位为字节。
预留域(Reserved)字段,长度为8比特字段,以备将来扩展使用。该预留域字段必须设为0。
序列号(Sequence Number)字段,为32比特整数,包括防止重放攻击的信息。如果该CGA参数用于响应CGA请求,该序列号字段的值为CGA请求中的序列号的值加1;否则,将该序列号字段置为0。
参数(Parameters)字段,长度可变,包括CGA参数信息。
填充(Padding)字段,可变长度域,用于使数据包长度为8字节的整数倍。该填充字段的内容必须为0。
本发明实施例还提供一种传输帧格式,该传输帧格式包括CGA签名数据,用于在两个通信方采用本发明实施例提供的通信的建立方法建立通信的过程中,在两个通信方之间传输CGA签名,CGA签名用于发送使用CGA参数中的公钥所对应的私钥对数据包的签名。
本发明实施例提出的CGA签名选项的格式如图7所示,该CGA签名选项包括:
类型(Type)字段,为8比特无符号整数。在本实施例中,若类型字段的数值为195时,表明该数据包为CGA签名。在其它实施例中,也可用其它数值表明该数据包为CGA签名。
长度(Length)字段,为8比特无符号整数,以字节为单位表明整个CGA签名的长度,为类型字段、长度字段、填充长度字段、预留域字段、CGA签名字段和填充字段等各字段长度的总和。
填充长度(Pad Length)字段,为8比特无符号整数,表示填充字段的长度,单位为字节。
预留域(Reserved)字段,长度为8比特,以备将来扩展使用。该预留域字段必须设为0。
签名(Signature)字段,为可变长度字段,包括用发送者私钥对数据包内容的签名。
填充(Padding)字段,为可变长度字段,用于使数据包长度为8字节的整数倍。该填充字段的内容必须为0。
如图8所示,为本发明实施例通信的建立系统的结构图,包括:
第一通信方81,用于接收CGA请求,并回复CGA参数和CGA签名;
第二通信方82,用于发送CGA请求至第一通信方81,接收第一通信方81回复的CGA参数和CGA签名,并对该CGA参数和CGA签名进行验证,在验证成功之后,与第一通信方81建立通信。
在本发明的另一实施例中,如图9所示,第二通信方82可以包括:
发送模块821,用于发送CGA请求至第一通信方81;
接收模块822,用于接收第一通信方81回复的CGA参数和CGA签名;
验证模块823,用于对接收模块822接收的CGA参数和CGA签名进行验证;
通信建立模块824,用于在验证模块823验证成功之后,与第一通信方81建立通信。
该发送模块821可以包括:
会话请求接收子模块8211,用于接收第一通信方81发送的会话请求;
CGA请求发送子模块8212,用于当会话请求接收子模块8211接收的会话请求的IPv6扩展头中不包括CGA扩展头,或者该会话请求包括内容为空的CGA扩展头时,发送CGA请求至第一通信方81。
该第二通信方82还可以包括:
CGA请求接收模块825,用于在接收模块822接收第一通信方81回复的CGA参数和CGA签名的同时,接收第一通信方81发送的CGA请求;
CGA回复模块826,用于在CGA请求接收模块825接收到第一通信方81发送的CGA请求,且验证模块823验证CGA参数和CGA签名成功之后,向第一通信方81回复第二通信方82的CGA参数和CGA签名。
上述通信的建立系统,在建立通信的过程中,第二通信方82通过验证第一通信方81回复的CGA参数和CGA签名,确定第一通信方81CGA的真实性,有效防止了IP地址欺骗,防止或减轻了由于IP地址欺骗引起的一些网络安全问题。
如图10所示,为本发明实施例通信设备10的结构图,包括:
发送模块101,用于发送CGA请求至另一通信设备;
接收模块102,用于接收另一通信设备回复的CGA参数和CGA签名;
验证模块103,用于对接收模块102接收的CGA参数和CGA签名进行验证;
通信建立模块104,用于在验证模块103验证成功之后,与另一通信设备建立通信。
在本发明的另一实施例中,如图11所示,发送模块101可以包括:
会话请求接收子模块1011,用于接收另一通信设备发送的会话请求;
CGA请求发送子模块1012,用于当会话请求接收子模块1011接收的会话请求的IPv7扩展头中不包括CGA扩展头,或者该会话请求包括内容为空的CGA扩展头时,发送该CGA请求至另一通信设备。
该通信设备10还可以包括:
CGA请求接收模块105,用于在接收模块102接收另一通信设备回复的CGA参数和CGA签名的同时,接收所述另一通信设备发送的CGA请求;
CGA回复模块106,用于在CGA请求接收模块105接收到另一通信设备发送的CGA请求,且在验证模块103验证CGA参数和CGA签名成功之后,向另一通信设备回复该通信设备的CGA参数和CGA签名。
上述通信设备,在与另一通信设备建立通信的过程中,发送模块101发送CGA请求至另一通信设备,接收模块102接收另一通信设备回复的CGA参数和CGA签名,验证模块103对接收模块102接收的CGA参数和CGA签名进行验证,确定第一通信方51CGA的真实性,在验证模块103验证成功之后,通信建立模块104与另一通信设备建立通信。使用本发明实施例提供的上述通信设备,可以有效防止IP地址欺骗,防止或减轻由于IP地址欺骗引起的一些网络安全问题。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到本发明可以通过硬件实现,也可以借助软件加必要的通用硬件平台的方式来实现。基于这样的理解,本发明的技术方案可以以软件产品的形式体现出来,该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM,U盘,移动硬盘等)中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述的方法。
本领域技术人员可以理解附图只是一个优选实施例的示意图,附图中的模块或流程并不一定是实施本发明所必须的。
本领域技术人员可以理解实施例中的装置中的模块可以按照实施例描述进行分布于实施例的装置中,也可以进行相应变化位于不同于本实施例的一个或多个装置中。上述实施例的模块可以合并为一个模块,也可以进一步拆分成多个子模块。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
以上公开的仅为本发明的几个具体实施例,但是,本发明并非局限于此,任何本领域的技术人员能思之的变化都应落入本发明的保护范围。
Claims (18)
1、一种通信的建立方法,用于建立至少两个通信方之间的通信,包括第一通信方和第二通信方,其特征在于,包括:
发送加密生成地址CGA请求至所述第一通信方;
接收所述第一通信方回复的CGA参数和CGA签名;
对所述CGA参数和CGA签名进行验证,在验证成功之后,与所述第一通信方建立通信。
2、如权利要求1所述通信的建立方法,其特征在于,在所述发送CGA请求至第一通信方之前,还包括:接收所述第一通信方发送的会话请求,当所述会话请求的IPv6扩展头不包括CGA扩展头时发送CGA请求至所述第一通信方。
3、如权利要求1所述通信的建立方法,其特征在于,在所述发送CGA请求至第一通信方之前,还包括:接收所述第一通信方发送的会话请求,当所述会话请求包括内容为空的CGA扩展头时发送CGA请求至所述第一通信方。
4、如权利要求1所述通信的建立方法,其特征在于,在所述接收第一通信方回复的CGA参数和CGA签名的同时,还接收所述第一通信方发送的CGA请求;
在验证所述CGA参数和CGA签名成功之后,向所述第一通信方回复所述第二通信方的CGA参数和CGA签名;
在所述第一通信方验证所述第二通信方的CGA参数和CGA签名成功之后,建立与所述第一通信方通信。
5、如权利要求1至4任意一项所述通信的建立方法,其特征在于,所述CGA参数和CGA签名携带在因特网协议版本6IPv6扩展头的CGA扩展头中。
6、一种通信的建立系统,其特征在于,包括:
第一通信方,用于接收加密生成地址CGA请求,并回复CGA参数和CGA签名;
第二通信方,用于发送所述CGA请求至所述第一通信方,接收所述第一通信方回复的CGA参数和CGA签名,并对所述CGA参数和CGA签名进行验证,在验证成功之后,与所述第一通信方建立通信。
7、如权利要求6所述通信的建立系统,其特征在于,所述第二通信方包括:
发送模块,用于发送所述CGA请求至所述第一通信方;
接收模块,用于接收所述第一通信方回复的CGA参数和CGA签名;
验证模块,用于对所述接收模块接收的CGA参数和CGA签名进行验证;
通信建立模块,用于在所述验证模块验证成功之后,与所述第一通信方建立通信。
8、如权利要求7所述通信的建立系统,其特征在于,所述发送模块包括:
会话请求接收子模块,用于接收所述第一通信方发送的会话请求;
CGA请求发送子模块,用于当所述会话请求接收子模块接收的会话请求的IPv6扩展头中不包括CGA扩展头,或者所述会话请求包括内容为空的CGA扩展头时,发送所述CGA请求至所述第一通信方。
9、如权利要求7所述通信的建立系统,其特征在于,所述第二通信方还包括:
CGA请求接收模块,用于在所述接收模块接收所述第一通信方回复的CGA参数和CGA签名的同时,接收所述第一通信方发送的CGA请求;
CGA回复模块,用于在所述CGA请求接收模块接收到所述第一通信方发送的CGA请求,且所述验证模块验证所述CGA参数和CGA签名成功之后,向所述第一通信方回复所述第二通信方的CGA参数和CGA签名。
10、一种通信设备,其特征在于,包括:
发送模块,用于发送加密生成地址CGA请求至另一通信设备;
接收模块,用于接收所述另一通信设备回复的CGA参数和CGA签名;
验证模块,用于对所述接收模块接收的CGA参数和CGA签名进行验证;
通信建立模块,用于在所述验证模块验证成功之后,与所述另一通信设备建立通信。
11、如权利要求10所述通信设备,其特征在于,所述发送模块包括:
会话请求接收子模块,用于接收所述另一通信设备发送的会话请求;
CGA请求发送子模块,用于当所述会话请求接收子模块接收的会话请求的IPv6扩展头中不包括CGA扩展头,或者所述会话请求包括内容为空的CGA扩展头时,发送所述CGA请求至所述另一通信设备。
12、如权利要求10所述通信设备,其特征在于,还包括:
CGA请求接收模块,用于在所述接收模块接收所述另一通信设备回复的CGA参数和CGA签名的同时,接收所述另一通信设备发送的CGA请求;
CGA回复模块,用于在所述CGA请求接收模块接收到所述另一通信设备发送的CGA请求,且所述验证模块验证所述CGA参数和CGA签名成功之后,向所述另一通信设备回复所述通信设备的CGA参数和CGA签名。
13、一种传输帧格式,其特征在于,所述传输帧格式包括加密生成地址CGA请求数据,用于在两个通信方采用权利要求1所述的通信的建立方法建立通信的过程中,在两个通信方之间传输CGA请求,所述传输帧格式包括类型字段、预留字段和序列号字段,其中,所述序列号字段,包括防止重放攻击的信息。
14、如权利要求13所述传输帧格式,其特征在于,所述类型字段标识所述传输帧为CGA请求帧。
15、一种传输帧格式,其特征在于,所述传输帧格式包括加密生成地址CGA参数数据,用于在两个通信方采用权利要求1所述的通信的建立方法建立通信的过程中,在两个通信方之间传输CGA参数,所述传输帧格式包括类型字段、长度字段、填充长度字段、预留域字段、序列号字段、参数字段和填充字段,其中,
所述序列号字段,包括防止重放攻击的信息;
所述参数字段,包括CGA参数信息。
16、如权利要求15所述传输帧格式,其特征在于,所述类型字段,标识所述传输帧为CGA参数帧;
所述长度字段,以字节为单位表示整个传输帧的长度。
17、一种传输帧格式,其特征在于,所述传输帧格式包括加密生成地址CGA签名数据,用于在两个通信方采用权利要求1所述的通信的建立方法建立通信的过程中,在两个通信方之间传输CGA签名,所述传输帧格式包括类型字段、长度字段、填充长度字段、预留域字段、签名字段和填充字段,其中,所述签名字段,包括用发送者私钥对数据包内容的签名。
18、如权利要求17所述传输帧格式,其特征在于,所述类型字段,标识所述传输帧为CGA签名帧;
所述长度字段,以字节为单位表示整个传输帧的长度。
Priority Applications (4)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 200810129174 CN101299668A (zh) | 2008-06-30 | 2008-06-30 | 一种通信的建立方法、系统和装置 |
| PCT/CN2009/072156 WO2010000171A1 (zh) | 2008-06-30 | 2009-06-05 | 一种通信的建立方法、系统和装置 |
| EP09771941.3A EP2285041B1 (en) | 2008-06-30 | 2009-06-05 | Communication establishing method, system and device |
| US12/976,701 US8880891B2 (en) | 2008-06-30 | 2010-12-22 | Method, system and apparatus for establishing communication |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 200810129174 CN101299668A (zh) | 2008-06-30 | 2008-06-30 | 一种通信的建立方法、系统和装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN101299668A true CN101299668A (zh) | 2008-11-05 |
Family
ID=40079365
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN 200810129174 Pending CN101299668A (zh) | 2008-06-30 | 2008-06-30 | 一种通信的建立方法、系统和装置 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US8880891B2 (zh) |
| EP (1) | EP2285041B1 (zh) |
| CN (1) | CN101299668A (zh) |
| WO (1) | WO2010000171A1 (zh) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2010000171A1 (zh) * | 2008-06-30 | 2010-01-07 | 成都市华为赛门铁克科技有限公司 | 一种通信的建立方法、系统和装置 |
| CN101741820A (zh) * | 2008-11-13 | 2010-06-16 | 华为技术有限公司 | Cga公钥识别和cga公钥确定的方法、系统及装置 |
| CN102484659A (zh) * | 2009-08-27 | 2012-05-30 | 瑞典爱立信有限公司 | 用于生成移动ip网络中密码生成地址的方法和网络节点 |
| CN101610255B (zh) * | 2009-07-10 | 2012-10-24 | 清华大学 | 基于密码学生成地址的源地址验证装置 |
| CN111079140A (zh) * | 2018-10-18 | 2020-04-28 | 中国人寿保险股份有限公司 | 用于防作弊的方法、设备和系统 |
| CN112767722A (zh) * | 2020-12-31 | 2021-05-07 | 北京北大千方科技有限公司 | 交通信号机的控制方法、装置、计算机设备和存储介质 |
Families Citing this family (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105099952B (zh) * | 2014-05-23 | 2018-12-07 | 华为技术有限公司 | 一种资源分配方法及装置 |
| US10248365B2 (en) | 2016-12-30 | 2019-04-02 | Konica Minolta Laboratory U.S.A., Inc. | Method and system of using OAuth2 to secure neighbor discovery |
| CN110401646B (zh) * | 2019-07-15 | 2020-05-05 | 中国人民解放军战略支援部队信息工程大学 | IPv6安全邻居发现过渡环境中CGA参数探测方法及装置 |
| US11838267B2 (en) * | 2020-07-16 | 2023-12-05 | Twistlock, Ltd. | Distributed identity-based firewall policy evaluation |
| US20230171099A1 (en) * | 2021-11-27 | 2023-06-01 | Oracle International Corporation | Methods, systems, and computer readable media for sharing key identification and public certificate data for access token verification |
Family Cites Families (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7584352B2 (en) * | 2002-12-04 | 2009-09-01 | International Business Machines Corporation | Protection against denial of service attacks |
| FR2889780A1 (fr) * | 2005-08-10 | 2007-02-16 | Alcatel Sa | Controle d'acces d'un equipement mobile a un reseau de communication ip par modification dynamique des politiques d'acces |
| US20070113075A1 (en) * | 2005-11-10 | 2007-05-17 | Ntt Docomo, Inc. | Secure route optimization for mobile network using multi-key crytographically generated addresses |
| CN100452799C (zh) * | 2006-09-19 | 2009-01-14 | 清华大学 | IPv6子网内基于签名认证的防止源地址伪造的方法 |
| US8281383B2 (en) * | 2006-12-11 | 2012-10-02 | Cisco Technology, Inc. | Secured IPv6 traffic preemption |
| US9516495B2 (en) * | 2007-03-01 | 2016-12-06 | Futurewei Technologies, Inc. | Apparatus and methods of PMIPv6 route optimization protocol |
| CN101106568B (zh) * | 2007-07-25 | 2010-06-02 | 华为技术有限公司 | 生成转交地址及提高路由优化安全性的方法、装置和系统 |
| CN101299668A (zh) * | 2008-06-30 | 2008-11-05 | 华为技术有限公司 | 一种通信的建立方法、系统和装置 |
| CN101404579B (zh) * | 2008-10-31 | 2011-02-09 | 成都市华为赛门铁克科技有限公司 | 一种防止网络攻击的方法及装置 |
-
2008
- 2008-06-30 CN CN 200810129174 patent/CN101299668A/zh active Pending
-
2009
- 2009-06-05 WO PCT/CN2009/072156 patent/WO2010000171A1/zh active Application Filing
- 2009-06-05 EP EP09771941.3A patent/EP2285041B1/en active Active
-
2010
- 2010-12-22 US US12/976,701 patent/US8880891B2/en active Active
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2010000171A1 (zh) * | 2008-06-30 | 2010-01-07 | 成都市华为赛门铁克科技有限公司 | 一种通信的建立方法、系统和装置 |
| CN101741820A (zh) * | 2008-11-13 | 2010-06-16 | 华为技术有限公司 | Cga公钥识别和cga公钥确定的方法、系统及装置 |
| CN101741820B (zh) * | 2008-11-13 | 2013-12-18 | 华为技术有限公司 | Cga公钥识别和cga公钥确定的方法、系统及装置 |
| US8737616B2 (en) | 2008-11-13 | 2014-05-27 | Huawei Technologies Co., Ltd. | Method and apparatus for identifying CGA public key, and method, apparatus, and system for determining CGA public key |
| CN101610255B (zh) * | 2009-07-10 | 2012-10-24 | 清华大学 | 基于密码学生成地址的源地址验证装置 |
| CN102484659A (zh) * | 2009-08-27 | 2012-05-30 | 瑞典爱立信有限公司 | 用于生成移动ip网络中密码生成地址的方法和网络节点 |
| CN111079140A (zh) * | 2018-10-18 | 2020-04-28 | 中国人寿保险股份有限公司 | 用于防作弊的方法、设备和系统 |
| CN112767722A (zh) * | 2020-12-31 | 2021-05-07 | 北京北大千方科技有限公司 | 交通信号机的控制方法、装置、计算机设备和存储介质 |
| CN112767722B (zh) * | 2020-12-31 | 2022-05-24 | 北京北大千方科技有限公司 | 交通信号机的控制方法、装置、计算机设备和存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| EP2285041A4 (en) | 2012-03-21 |
| US8880891B2 (en) | 2014-11-04 |
| US20110093716A1 (en) | 2011-04-21 |
| WO2010000171A1 (zh) | 2010-01-07 |
| EP2285041B1 (en) | 2014-01-22 |
| EP2285041A1 (en) | 2011-02-16 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101299668A (zh) | 一种通信的建立方法、系统和装置 | |
| USRE49053E1 (en) | System and method for an adaptive TCP SYN cookie with time validation | |
| EP2290895B1 (en) | Method, system and device for negotiating security association (sa) in ipv6 network | |
| EP2589197B1 (en) | Method and devices for a light-weight security solution for host-based mobility and multihoming protocols | |
| KR100651715B1 (ko) | 차세대 인터넷에서 자동으로 주소를 생성하고 수락하는방법 및 이를 위한 데이터 구조 | |
| EP2329621B1 (en) | Key distribution to a set of routers | |
| CN103701700A (zh) | 一种通信网络中的节点发现方法及系统 | |
| CN113904809B (zh) | 一种通信方法、装置、电子设备及存储介质 | |
| Luo et al. | A keyed-hashing based self-synchronization mechanism for port address hopping communication | |
| CN113904807B (zh) | 一种源地址认证的方法、装置、电子设备及存储介质 | |
| US8688077B2 (en) | Communication system and method for providing a mobile communications service | |
| EP1635537A1 (en) | Cookie-based mechanism providing authentication of layer-2 frames | |
| Wang et al. | T-IP: A self-trustworthy and secure Internet protocol | |
| Castelluccia et al. | Protecting AODV against Impersonation attacks | |
| RU2696330C1 (ru) | Способ защиты вычислительных сетей | |
| CN107579984B (zh) | 一种面向网络层的安全通信链路建立方法 | |
| CN112954679B (zh) | 基于DH算法的LoRa终端安全接入方法 | |
| KR102300487B1 (ko) | Mptcp의 서브플로우 보안 연결 방법 및 이를 위한 클라우드 서버, 호스트 | |
| CN112165503B (zh) | 一种网络连接的建立方法和装置 | |
| EP3907967A1 (en) | Method for preventing sip device from being attacked, calling device, and called device | |
| CN114726958A (zh) | 身份验证方法、装置、电子设备及可读存储介质 | |
| Ginzboorg | Security mechanisms in partially isolated networks | |
| Choudhari et al. | SCTP-Sec: A secure Transmission Control Protocol |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| ASS | Succession or assignment of patent right |
Owner name: CHENGDU CITY HUAWEI SAIMENTEKE SCIENCE CO., LTD. Free format text: FORMER OWNER: HUAWEI TECHNOLOGY CO., LTD. Effective date: 20090424 |
|
| C41 | Transfer of patent application or patent right or utility model | ||
| TA01 | Transfer of patent application right |
Effective date of registration: 20090424 Address after: Qingshui River District, Chengdu high tech Zone, Sichuan Province, China: 611731 Applicant after: Chengdu Huawei Symantec Technologies Co., Ltd. Address before: Bantian HUAWEI headquarters office building, Longgang District, Guangdong, Shenzhen Province, China: 518129 Applicant before: Huawei Technologies Co., Ltd. |
|
| C12 | Rejection of a patent application after its publication | ||
| RJ01 | Rejection of invention patent application after publication |
Open date: 20081105 |