CN101330438A - 一种节点间安全通信的方法及系统 - Google Patents
一种节点间安全通信的方法及系统 Download PDFInfo
- Publication number
- CN101330438A CN101330438A CNA2007100761110A CN200710076111A CN101330438A CN 101330438 A CN101330438 A CN 101330438A CN A2007100761110 A CNA2007100761110 A CN A2007100761110A CN 200710076111 A CN200710076111 A CN 200710076111A CN 101330438 A CN101330438 A CN 101330438A
- Authority
- CN
- China
- Prior art keywords
- home agent
- mobile node
- node
- address
- binding
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Mobile Radio Communication Systems (AREA)
Abstract
本发明实施例公开了一种节点间安全通信的方法和系统,包括:移动节点发送绑定请求给家乡代理,所述绑定请求中包含当前转交地址和所需更新的对端节点;所述家乡代理发送代理绑定消息给所述对端节点,所述代理绑定消息中包含所述移动节点的身份及所述当前转交地址和验证信息;所述对端节点对所述移动节点的身份和所述当前转交地址进行验证,验证通过后,根据所述当前转交地址更新本地数据库;所述对端节点返回绑定确认消息给所述移动节点;所述移动节点通过所述当前转交地址与所述对端节点进行通信。本发明实施例通过用密码学保护家乡代理与对端节点之间的通信,能够对节点的身份进行验证,为节点间的通信提供了更好的安全保障。
Description
技术领域
本发明涉及通信技术,尤其涉及一种节点间安全通信的方法及系统。
背景技术
移动IPv6所要解决的核心问题之一就是当移动节点(MN:Mobile Node)移动至外地链路时,如何使用家乡链路中的IP地址与对端节点(CN:Correspondent Node)保持通信。通常移动节点通过向家乡代理(家乡代理:Home Agent)注册当前的转交地址(CoA:Care of Address),家乡代理截取所有发往该移动节点的家乡地址(HoA:Home of Address)的报文,然后以隧道的形式发往移动节点当前的CoA。在对端节点支持路由优化的前提下,通过向对端节点注册绑定,由对端节点把要发往移动节点的HoA的报文直接发往移动节点的CoA。
为了实现上述方案,家乡代理和对端节点需要将移动节点的绑定关系存储在本地数据库。由于移动节点的移动可能会导致CoA的经常变化,因此移动节点需要不断更新存储在家乡代理和对端节点的本地数据库中的相应条目。
为了保证绑定数据的安全,目前一般采用密码学方法对绑定注册及绑定更新进行保护。现有技术中使用返回路由可达过程(RRP,Return RoutabilityProcedure)在移动节点与对端节点之间生成一个对称密钥(Kbm:BindingManagement Key),通过Kbm来确保移动节点和对端节点之间的绑定更新(BU:Binding Update)和绑定确认(BA:Binding Acknowledge)消息的真实性。参考图1,图1是现有技术返回路由可达过程示意图。所述Kbm的生成方法如下:当移动节点试图和对端节点使用路由优化模式通信时,便会向对端节点发送家乡测试初始消息(HoTI)和转交测试初始消息(CoTI),其中,HoTI消息由家乡代理转发。如果对端节点可以支持并允许使用路由优化模式和移动节点通信,则在收到HoTI消息后,对端节点按照下面的方法计算家乡秘密生成令牌:家乡秘密生成令牌=First(64,HMAC-S家乡代理1(K对端节点,HoA|Nonce|0)),其中K对端节点是只有对端节点才知道的秘密,Nonce是由对端节点生成的随机数。对端节点将生成的家乡秘密生成令牌放在家乡测试(HoT)报文中,通过家乡代理利用反向隧道发送给移动节点。当对端节点收到移动节点发送的CoTI消息后,按照下面的方法计算转交秘密生成令牌发送给M N:转交秘密生成令牌=First(64,HMAC-SHA1(KCN,CoA|Nonce|1))。当移动节点在收到对端节点发送的HoT和CoT消息后,先分别检查所述消息中的cookies,然后分别取出其中的家乡秘密生成令牌和转交秘密生成令牌,便可计算出Kbm=SHAI(家乡秘密生成令牌|转交秘密生成令牌)。当移动节点向对端节点发送绑定更新消息时,使用Authenticator=First(96,HMAC_SHA1(Kbm,Mobility Data))来对消息内容进行认证。
上述的RRP方法假定攻击者无法同时在家乡代理和对端节点,以及移动节点和对端节点两条链路上窃听到CoT和HoT两个报文。事实上,这种假设是欠妥的,参考图2,图2是移动节点与对端节点通信拓扑示意图。攻击者位于C链路上的任何一位置都可以窃听到CoT和HoT两个报文;此外,攻击者可以通过“共谋”的方式在两条链路上分别获得CoT和HoT两个报文,然后计算出Kbm。此外,在上述的RRP方法中,由于缺乏必要的身份验证信息,对端节点没有办法确认HoTI和CoTI消息发送者的身份,也就无法辨别出这是否是来自一个假冒的移动节点发送的消息。
发明内容
有鉴于此,本发明实施例的主要目的是提供一种节点间安全通信的方法及系统。
本发明实施例的目的是通过以下技术方案实现的:
本发明实施例提供一种节点间安全通信的方法,包括:移动节点发送绑定请求给家乡代理,所述绑定请求中包含当前转交地址和所需更新的对端节点;所述家乡代理发送代理绑定消息给所述对端节点,所述代理绑定消息中包含所述移动节点的身份及所述当前转交地址和验证信息;所述对端节点对所述移动节点的身份和所述当前转交地址进行验证,验证通过后,根据所述当前转交地址更新本地数据库;所述对端节点返回绑定确认消息给所述移动节点;所述移动节点通过所述当前转交地址与所述对端节点进行通信。
此外,本发明实施例还提供一种节点间安全通信的系统,包括:移动节点,用于发送绑定请求,所述绑定请求中包含当前转交地址和所需更新的对端节点;家乡代理,用于接收所述绑定请求,并发送代理绑定消息,所述代理绑定消息中包含所述移动节点的身份及所述当前转交地址和验证信息;
对端节点,用于对所述移动节点的身份和所述当前转交地址进行验证,验证通过后,根据所述当前转交地址更新本地数据库。
由上述本发明实施例提供的技术方案可以看出,本发明实施例通过用密码学保护家乡代理与对端节点之间的通信,能够对节点的身份进行验证,为节点间的通信提供了更好的安全保障。
附图说明
图1是现有技术返回路由可达过程示意图;
图2是移动节点与对端节点通信拓扑示意图;
图3是本发明实施例的节点间安全通信的方法流程图;
图4是本发明实施例的节点间安全通信的系统示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚明白,以下举实施例,并参照附图,对本发明进一步详细说明。
参考图3,图3是本发明实施例的路由优化的方法流程图。
步骤301、移动节点发送绑定请求给家乡代理,所述绑定请求中包含当前转交地址和所需更新的对端节点;
当移动节点的CoA发生变化时,所述绑定请求为绑定更新请求;或者当移动节点希望发起一个对端注册时,所述绑定请求为绑定注册请求。所以,当移动节点的CoA发生变化时或者当移动节点希望发起一个对端注册时,移动节点以隧道的方式向家乡代理发送一个绑定请求消息(BU Request),所述消息中包含当前CoA和所需更新的对端节点。移动节点发往家乡代理的绑定更新请求消息还可以包括有以下内容:移动节点的身份信息,移动节点的HoA、或对端注册的对端节点的地址;
步骤302、所述家乡代理发送代理绑定消息给所述对端节点,所述代理绑定消息中包含所述移动节点的身份及其当前转交地址和验证信息;
在本发明实施例的具体实现时,家乡代理将所述当前CoA与自身所维护的本地数据库中的绑定关系条目作比较,如果所述当前CoA与所述条目中的CoA不一致,则对所述条目进行更新。
家乡代理发送代理绑定消息给所述对端节点,所述代理绑定消息中包含:需要绑定更新的移动节点的身份及其当前CoA和验证信息。家乡代理发往对端节点的代理绑定更新请求消息还可以包括:移动节点的HoA、家乡代理的公钥信息在DNS中的位置(如果双方无共享密钥),以及根据上述信息生成的验证信息。
相应地,当移动节点的CoA发生变化时,所述代理绑定请求为代理绑定更新请求;或者当移动节点希望发起一个对端注册时,所述代理绑定请求为代理绑定注册请求。
所述需要绑定更新的移动节点的身份可以用HoA来标识。当所述家乡代理与所述对端节点不存在共享密钥时,所述代理绑定消息中含有所述家乡代理的公钥在DNS的具体资源记录名和类型;所述验证信息为所述家乡代理通过私钥对所述移动节点的身份和所述当前转交地址进行签名。例如,所述验证信息可以为:Authentication Data=SIG(Mobility Data,Other Parameter),其中,SIG为家乡代理利用自己的私钥对数据进行签名,公私钥对的产生方式可以有多种,例如:可以由可信的第三方生成,然后由该第三方把公私钥对交给节点;也可以由节点根据公私钥对的产生规则,自己选择参数生成;Mobility Data包括需要更新绑定的移动节点的身份信息及其当前CoA,还可以包括家乡代理的公钥在DNS中的具体资源记录名与类型,以便对端节点获取。Other Parameter可以由时间戳、随机数等构成,以区别不同的验证信息,可以起到防重放攻击的作用。这样,本发明实施例引入域名解析服务器(DNS:Domain Name System)来保证绑定数据的安全。DNS是一个大型的分布式数据库系统,它所执行的基本功能是网络资源与IP地址之间的翻译。所述网络资源例如域名、邮件地址等。由于DNS是一个被广泛应用的网络基础设施,所以本实施例引入DNS来分发与绑定更新相关的公钥信息。家乡代理将自身的公钥信息可以以资源记录的形式存储在DNS中,所存储的资源记录包括:公钥算法及公钥内容,该资源记录需要能标识出家乡代理的身份、家乡代理所代理的地址范围及所存储的公钥的用途。此外,家乡代理存储在DNS中的可以不是公钥,而是公钥指纹(Fingerprint),所述代理绑定消息中含有所述家乡代理的公钥以及所述家乡代理的公钥指纹在DNS的具体资源记录名和类型;所述验证信息为所述家乡代理通过私钥对所述移动节点的身份和所述当前转交地址进行签名。
当所述家乡代理与所述对端节点存在共享密钥时,所述验证信息可以根据所述共享密钥以及所述移动节点的身份和所述当前转交地址的内容生成消息鉴别码(MAC,Message Authentication Code),例如,所述验证信息可以为,Authentication Data=PRF(Kbm,Mobility Data,Other Parameter),其中PRF可以为HMAC函数;Kbm可以是预共享秘密(pre-master-secret),也可以是双方根据pre-master-secret衍生出的共享密钥;Mobility Data应包括需要更新绑定的移动节点的身份信息及其当前CoA;Other Parameter可以由时间戳、随机数等构成,以区别不同的验证信息,可以起到防重放攻击的作用。或者所述验证信息可以根据所述共享密钥对所述移动节点的身份和所述当前转交地址进行加密。
步骤303、所述对端节点对所述移动节点的身份和所述当前转交地址进行验证,验证通过后,根据所述当前转交地址更新本地数据库;
当所述家乡代理与所述对端节点不存在共享密钥时,所述移动节点可以根据所述代理绑定消息从DNS获取所述家乡代理的公钥,通过所述公钥来验证所述签名的正确性。例如:当对端节点所收到验证信息为:AuthenticationData=SIG(Mobility Data,Other Parameter),对端节点从所述代理绑定消息中获取家乡代理的签名,并根据家乡代理的公钥在DNS中的具体资源记录名与类型到DNS中获取家乡代理的公钥,通过公钥来验证家乡代理签名的正确性。验证通过后,利用该公钥验证Authentication Data。此外,当家乡代理存储在DNS中的可以不是公钥,而是公钥指纹(Fingerprint)时,这样,所述对端节点根据所述代理绑定消息从所述DNS获取所述家乡代理的公钥指纹,通过所述公钥指纹对所述公钥进行验证,验证通过后,通过所述公钥来验证所述签名的正确性。
当所述家乡代理与所述对端节点存在共享密钥时,所述对端节点根据本地存储的共享密钥对所述代理绑定消息的验证信息进行验证。例如,当对端节点所收到的验证信息为:Authentication Data=PRF(Kbm,Mobility Data,Other Parameter),对端节点对所述代理绑定消息中的Kbm进行验证。如果Kbm是预共享秘密,则对端节点根据本地存储的预共享秘密对所述代理绑定消息中的Kbm进行验证;如果Kbm是共享密钥,则对端节点根据本地存储的共享密钥对所述绑定更新消息中的Kbm进行验证。
当验证通过后,对端节点根据所述代理绑定消息中的Mobility Data对本地数据库进行更新。
步骤304、所述对端节点返回绑定确认消息给所述移动节点;
在本发明实施例的具体实现时,对端节点可以直接将BA消息反馈给移动节点,相应地,为了家乡代理确保对端节点收到所述代理绑定消息,对端节点可以收到所述代理绑定消息后,回复响应消息给家乡代理,以便告知家乡代理已收到所述代理绑定消息。此外,所述对端节点也可以发送绑定确认消息给所述家乡代理;所述家乡代理反馈所述绑定确认消息发送给所述移动节点。
此外,当对端节点通过家乡代理将所述绑定确认消息给移动节点时,如果对端节点与家乡代理之间不存在共享密钥,对端节点希望与该代理家乡代理之间建立共享密钥时,则BA消息中可以包含由对端节点建立的共享密钥(SK;Shared-key)生成选项,例如:该选项中可以包含由对端节点随机产生的以加密方式存在的pre-master-secret,加密密钥为家乡代理的公钥。此外,对端节点也可以在BA消息中包含预共享秘密,这样,以后对端节点与家乡代理可以通过预共享秘密来对所述移动节点的身份和所述当前转交地址进行验证。
此外,对端节点通过家乡代理将所述绑定确认消息给移动节点,家乡代理收到所述绑定确认消息后,家乡代理可以将所述BA消息内容直接发给移动节点,也可以提取所述BA消息中的部分内容,构造新的BA来发给移动节点,例如:当所述BA中含有共享密钥生成选项时,家乡代理可以将所述预共享密钥生成选项存储到本地数据库,然后将其余内容发送给移动节点,具体发送给移动节点的内容可以根据实际的需要灵活配置,本发明实施例不做限定。
步骤305、所述移动节点通过所述当前转交地址与所述对端节点进行通信。
当移动节点收到家乡代理反馈的所述BA消息后,移动节点与对端节点之间的路由优化建立,移动节点通过所述当前CoA与对端节点进行通信。这样,移动节点发给对端节点的消息中,源地址是所述当前CoA,目的地址是对端节点;当对端节点发给移动节点的消息中,源地址是对端节点,目的地址是所述当前CoA。
需要说明的是,本发明实施例中提到的域名解析服务器DNS也可以通过域名解析服务器安全扩展(DNSSEC:Domain Name System Security)来实现,由于DNSSEC是DNS的安全扩展,它是通过区签名的方式来对资源记录进行数据源认证及完整性保护。采用DNS还是DNSSEC可以由BU的安全需求来决定,如果采用DNSSEC,家乡代理所在区域的权威服务器需要利用该区域的私钥对资源记录进行签名,生成签名记录。此外,此处的DNS或DNSSEC也可以由能起到相同作用的存储单元来完成。
此外,本发明实施例还提供一种节点间安全通信的系统,包括:移动节点,用于发送绑定请求,所述绑定请求中包含当前转交地址和所需更新的对端节点;家乡代理,用于接收所述绑定请求,并发送代理绑定消息;对端节点,用于对所述移动节点的身份和所述当前转交地址进行验证,验证通过后,根据所述当前转交地址更新本地数据库。所述对端节点还包括:绑定确认模块,用于返回绑定确认消息给移动节点。所述代理绑定消息中包含所述移动节点的身份及所述当前转交地址和验证信息,所述验证信息为所述家乡代理通过私钥对所述移动节点的身份和所述当前转交地址进行签名;还包括:安全存储单元,用于存储所述家乡代理的公钥;相应地,所述对端节点具体包括:公钥获取模块,用于根据所述代理绑定消息从所述安全存储单元中获取所述家乡代理的公钥;验证模块,用于通过所述公钥来验证所述签名的正确性。需要说明的是,公钥获取模块也可以内嵌于验证模块。具体的模块实现方式本发明不做限定。所述的安全存储单元为域名解析服务器或域名解析服务器安全扩展。
此外,本发明实施例提供另一种节点间安全通信的系统,包括:移动节点,用于发送绑定请求,所述绑定请求中包含当前转交地址和所需更新的对端节点;家乡代理,用于接收所述绑定请求,并发送代理绑定消息;对端节点,用于对所述移动节点的身份和所述当前转交地址进行验证,验证通过后,根据所述当前转交地址更新本地数据库。所述对端节点还包括:绑定确认模块,用于返回绑定确认消息给移动节点。所述代理绑定消息中包含所述移动节点的身份、所述当前转交地址、所述家乡代理的公钥和验证信息,所述验证信息为所述家乡代理通过私钥对所述移动节点的身份和所述当前转交地址进行签名;相应地,所属系统中还包括安全存储单元,用于存储所述家乡代理的公钥;所述对端节点具体包括:公钥指纹获取模块,用于根据所述代理绑定消息从所述安全存储单元中获取所述家乡代理的公钥指纹;验证模块,用于通过所述公钥指纹来验证所述公钥的正确性,通过验证过的所述公钥来验证所述签名的正确性。所述的安全存储单元为域名解析服务器或域名解析服务器安全扩展。需要说明的是,公钥指纹获取模块也可以内嵌于验证模块。具体的模块实现方式本发明不做限定。
当所述家乡代理与所述对端节点存在共享密钥时,所述代理绑定消息包含所述移动节点的身份及所述当前转交地址和验证信息,所述验证信息为所述家乡代理通过所述共享密钥对所述移动节点的身份和所述当前转交地址进行加密;或者所述验证信息为所述家乡代理通过所述共享密钥以及所述移动节点的身份和所述当前转交地址生成消息鉴别码。所述对所述移动节点的身份和所述当前转交地址进行验证具体包括:根据述对端节点的本地存储的共享密钥对所述移动节点的身份和所述当前转交地址进行验证。
由上述本发明实施例提供的技术方案可以看出,本发明实施例通过用密码学保护家乡代理与对端节点之间的通信,能够对节点的身份进行验证,为节点间的通信提供了更好的安全保障。
本领域普通技术人员可以理解上述实施例方法中的全部或部分步骤是可以通过程序来指令相关的硬件来完成,所述的程序可以存储于一计算机可读取存储介质中,所述的存储介质,如ROM/RAM、磁碟,光盘等。
以上所述,仅为本发明较佳的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉该技术的人在本发明所揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。
Claims (20)
1、一种节点间安全通信的方法,其特征在于,包括:
移动节点发送绑定请求给家乡代理,所述绑定请求中包含当前转交地址和所需更新的对端节点;
所述家乡代理发送代理绑定消息给所述对端节点,所述代理绑定消息中包含所述移动节点的身份及所述当前转交地址和验证信息;
所述对端节点对所述移动节点的身份和所述当前转交地址进行验证,验证通过后,根据所述当前转交地址更新本地数据库;
所述对端节点返回绑定确认消息给所述移动节点;
所述移动节点通过所述当前转交地址与所述对端节点进行通信。
2、根据权利要求1所述的方法,其特征在于,所述绑定请求包括:绑定更新请求或绑定注册请求;
相应地,所述代理绑定消息包括:代理绑定更新请求或代理绑定注册请求。
3、根据权利要求1或2所述的方法,其特征在于,当所述家乡代理与所述对端节点不存在共享密钥时,所述代理绑定消息中含有所述家乡代理的公钥在安全存储单元的具体资源记录名和类型;所述验证信息为所述家乡代理通过私钥对所述移动节点的身份和所述当前转交地址进行签名。
4、根据权利要求3所述的方法,其特征在于,所述所述对端节点对所述移动节点的身份和所述当前转交地址进行验证具体包括:所述对端节点根据所述代理绑定消息从所述安全存储单元获取所述家乡代理的公钥,通过所述公钥来验证所述签名的正确性。
5、根据权利要求1或2所述的方法,其特征在于,当所述家乡代理与所述对端节点不存在共享密钥时,所述代理绑定消息中含有所述家乡代理的公钥以及所述家乡代理的公钥指纹在安全存储单元的具体资源记录名和类型;所述验证信息为所述家乡代理通过所述私钥对所述移动节点的身份和所述当前转交地址进行签名。
6、根据权利要求5所述的方法,其特征在于,所述所述对端节点对所述移动节点的身份和所述当前转交地址进行验证具体包括:所述对端节点根据所述代理绑定消息从所述安全存储单元获取所述家乡代理的公钥指纹,通过所述公钥指纹对所述公钥进行验证,验证通过后,通过所述公钥来验证所述签名的正确性。
7、根据权利要求3所述的方法,其特征在于,所述安全存储单元为域名解析服务器或域名解析服务器安全扩展。
8、根据权利要求5所述的方法,其特征在于,所述安全存储单元为域名解析服务器或域名解析服务器安全扩展。
9、根据权利要求1或2所述的方法,其特征在于,当所述家乡代理与所述对端节点存在共享密钥时,所述验证信息为所述家乡代理通过所述共享密钥对所述移动节点的身份和所述当前转交地址进行加密;或者所述验证信息为所述家乡代理通过所述共享密钥以及所述移动节点的身份和所述当前转交地址生成的消息鉴别码。
10、根据权利要求9所述的方法,其特征在于,所述所述对端节点对所述移动节点的身份和所述当前转交地址进行验证具体包括:所述对端节点根据本地存储的共享密钥对所述移动节点的身份和所述当前转交地址进行验证。
11、根据权利要求1所述的方法,其特征在于,所述所述对端节点返回绑定确认消息给所述移动节点具体包括:所述对端节点发送绑定确认消息给所述家乡代理;所述家乡代理反馈所述绑定确认消息发送给所述移动节点。
12、根据权利要求1或11所述的方法,其特征在于,所述绑定确认消息包括由所述对端节点建立的共享密钥信息。
13、根据权利要求12所述的方法,其特征在于,所述所述家乡代理反馈所述绑定确认消息给所述移动节点具体包括:所述家乡代理将所述绑定确认消息发送给所述移动节点;或所述家乡代理提取所述共享密钥信息存储在本地数据库,根据所述绑定确认的其余部分构造代理绑定确认消息发送所述移动节点。
14、一种节点间安全通信的系统,其特征在于,包括:
移动节点,用于发送绑定请求,所述绑定请求中包含当前转交地址和所需更新的对端节点;
家乡代理,用于接收所述绑定请求,并发送代理绑定消息,所述代理绑定消息中包含所述移动节点的身份及所述当前转交地址和验证信息;
对端节点,用于对所述移动节点的身份和所述当前转交地址进行验证,验证通过后,根据所述当前转交地址更新本地数据库。
15、根据权利要求14所述的系统,其特征在于,所述对端节点还包括:
绑定确认模块,用于返回绑定确认消息给移动节点。
16、根据权利要求15所述的系统,其特征在于,所述验证信息为所述家乡代理通过私钥对所述移动节点的身份和所述当前转交地址进行签名;还包括:
安全存储单元,用于存储所述家乡代理的公钥;
相应地,所述对端节点具体包括:
公钥获取模块,用于根据所述代理绑定消息从所述安全存储单元中获取所述家乡代理的公钥;
第一验证模块,用于通过所述公钥来验证所述签名的正确性。
17、根据权利要求14所述的系统,其特征在于,所述代理绑定消息中还包含所述家乡代理的公钥;所述验证信息为所述家乡代理通过私钥对所述移动节点的身份和所述当前转交地址进行签名;还包括:
安全存储单元,用于存储所述家乡代理的公钥;
所述对端节点具体包括:
公钥指纹获取模块,用于根据所述代理绑定消息从所述安全存储单元中获取所述家乡代理的公钥指纹;
第二验证模块,用于通过所述公钥指纹来验证所述公钥的正确性,通过验证过的所述公钥来验证所述签名的正确性。
18、根据权利要求16或17所述的系统,其特征在于,所述的安全存储单元为域名解析服务器或域名解析服务器安全扩展。
19、根据权利要求14所述的系统,其特征在于,当所述家乡代理与所述对端节点存在共享密钥时,所述验证信息为所述家乡代理通过所述共享密钥对所述移动节点的身份和所述当前转交地址进行加密;或者所述验证信息为所述家乡代理通过所述共享密钥以及所述移动节点的身份和所述当前转交地址生成消息鉴别码。
20、根据权利要求19所述的系统,其特征在于,所述对端节点具体包括:第三验证模块,根据所述对端节点的本地存储的共享密钥对所述移动节点的身份和所述当前转交地址进行验证。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2007100761110A CN101330438B (zh) | 2007-06-21 | 2007-06-21 | 一种节点间安全通信的方法及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2007100761110A CN101330438B (zh) | 2007-06-21 | 2007-06-21 | 一种节点间安全通信的方法及系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN101330438A true CN101330438A (zh) | 2008-12-24 |
CN101330438B CN101330438B (zh) | 2011-06-08 |
Family
ID=40206039
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN2007100761110A Expired - Fee Related CN101330438B (zh) | 2007-06-21 | 2007-06-21 | 一种节点间安全通信的方法及系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN101330438B (zh) |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101841521A (zh) * | 2010-01-22 | 2010-09-22 | 中国科学院计算机网络信息中心 | 对dns报文中的身份信息进行认证的方法、服务器和系统 |
CN103108325A (zh) * | 2011-11-10 | 2013-05-15 | 中兴通讯股份有限公司 | 一种信息安全传输方法及系统及接入服务节点 |
CN103957152A (zh) * | 2014-04-22 | 2014-07-30 | 广州杰赛科技股份有限公司 | IPv4与IPv6网络通信方法及NAT-PT网关 |
CN103973703A (zh) * | 2014-05-23 | 2014-08-06 | 杭州智屏科技有限公司 | 一种用于应用程序和服务器之间交换数据安全的请求方法 |
CN107872421A (zh) * | 2016-09-23 | 2018-04-03 | 中国电信股份有限公司 | 节点认证方法和系统以及相关设备 |
US10686612B2 (en) | 2015-07-30 | 2020-06-16 | Hewlett Packard Enterprise Development Lp | Cryptographic data |
Family Cites Families (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN100426916C (zh) * | 2004-05-10 | 2008-10-15 | 华为技术有限公司 | 移动通信系统中实现切换计费的方法 |
KR100636318B1 (ko) * | 2004-09-07 | 2006-10-18 | 삼성전자주식회사 | CoA 바인딩 프로토콜을 이용한 어드레스 오너쉽인증방법 및 그 시스템 |
-
2007
- 2007-06-21 CN CN2007100761110A patent/CN101330438B/zh not_active Expired - Fee Related
Cited By (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101841521A (zh) * | 2010-01-22 | 2010-09-22 | 中国科学院计算机网络信息中心 | 对dns报文中的身份信息进行认证的方法、服务器和系统 |
CN103108325A (zh) * | 2011-11-10 | 2013-05-15 | 中兴通讯股份有限公司 | 一种信息安全传输方法及系统及接入服务节点 |
CN103108325B (zh) * | 2011-11-10 | 2018-05-18 | 中兴通讯股份有限公司 | 一种信息安全传输方法及系统及接入服务节点 |
CN103957152A (zh) * | 2014-04-22 | 2014-07-30 | 广州杰赛科技股份有限公司 | IPv4与IPv6网络通信方法及NAT-PT网关 |
CN103973703A (zh) * | 2014-05-23 | 2014-08-06 | 杭州智屏科技有限公司 | 一种用于应用程序和服务器之间交换数据安全的请求方法 |
US10686612B2 (en) | 2015-07-30 | 2020-06-16 | Hewlett Packard Enterprise Development Lp | Cryptographic data |
CN107872421A (zh) * | 2016-09-23 | 2018-04-03 | 中国电信股份有限公司 | 节点认证方法和系统以及相关设备 |
CN107872421B (zh) * | 2016-09-23 | 2021-04-20 | 中国电信股份有限公司 | 节点认证方法和系统以及相关设备 |
Also Published As
Publication number | Publication date |
---|---|
CN101330438B (zh) | 2011-06-08 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN100388852C (zh) | 用于询问-应答用户鉴权的方法和系统 | |
EP1744484B1 (en) | Method and apparatus for providing authentification in a mobile communication system | |
ES2349292T3 (es) | Procedimiento y servidor para proporcionar una clave de movilidad. | |
CN101160924B (zh) | 在通信系统中分发证书的方法 | |
EP1775905B1 (en) | Method and apparatus for storing and distributing encryption keys | |
CN101106452B (zh) | 移动ip密钥的产生及分发方法和系统 | |
US20050198506A1 (en) | Dynamic key generation and exchange for mobile devices | |
CN101150572B (zh) | 移动节点和通信对端绑定更新的方法及装置 | |
US20060227971A1 (en) | Secret authentication key setup in mobile IPv6 | |
WO2002068418A2 (en) | Authentication and distribution of keys in mobile ip network | |
CN101502078A (zh) | 提供接入待定的密钥的方法和系统 | |
CN101176328A (zh) | 用于保护前缀范围绑定更新的安全的系统、关联方法和设备 | |
CN101330438B (zh) | 一种节点间安全通信的方法及系统 | |
US9628454B2 (en) | Signalling delegation in a moving network | |
CN101079705B (zh) | 移动ip密钥在重新鉴权认证后的产生及分发方法与系统 | |
CN101075870B (zh) | 一种移动ip密钥的产生及分发方法 | |
Mathi et al. | A secure and decentralized registration scheme for IPv6 network-based mobility | |
Xie et al. | Secured macro/micro-mobility protocol for multi-hop cellular IP | |
CN101222319A (zh) | 一种移动通信系统中密钥分发方法和系统 | |
CN100536471C (zh) | 一种家乡代理信令消息有效保护方法 | |
KR100972743B1 (ko) | 마니모의 이동 애드 혹 네트워크에 속한 이동 라우터 간에인증 토큰을 이용한 상호 인증 방법 | |
Jiang et al. | Security enhancement on an authentication method for Proxy Mobile IPv6 | |
CN101707775B (zh) | 移动ip用户认证方法、系统和代理服务器 | |
JP5780648B2 (ja) | ホスト装置 | |
Yoon et al. | PAK-based binding update method for mobile IPv6 route optimization |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20110608 Termination date: 20160621 |
|
CF01 | Termination of patent right due to non-payment of annual fee |