CN101540999A - 一种建立安全数据隧道的方法及设备 - Google Patents
一种建立安全数据隧道的方法及设备 Download PDFInfo
- Publication number
- CN101540999A CN101540999A CN200810026883A CN200810026883A CN101540999A CN 101540999 A CN101540999 A CN 101540999A CN 200810026883 A CN200810026883 A CN 200810026883A CN 200810026883 A CN200810026883 A CN 200810026883A CN 101540999 A CN101540999 A CN 101540999A
- Authority
- CN
- China
- Prior art keywords
- key
- parameter
- security
- mobile
- equipment
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Abstract
本发明公开了一种保护IP网络中数据隧道的方法,包括:接收第一设备通过移动IP信令消息发送的安全参数;根据所述安全参数,选择本设备和所述第一设备都支持的协商安全参数,并生成用于保护数据隧道的第一密钥;通过移动IP信令消息将所述协商安全参数发送给所述第一设备,用于所述第一设备根据所述协商安全参数生成第二密钥,所述第二密钥与所述第一密钥相同。本发明还公开了一种移动通讯设备和家乡代理通讯设备。采用本发明,可在MIP和PMIP中采用简单的方式建立安全的数据隧道。
Description
技术领域
本发明涉及移动通讯领域,尤其涉及一种建立安全数据隧道的方法、移动通讯设备以及家乡代理通讯设备。
背景技术
移动因特网协议(Internet Protocol,IP)是一种在全球因特网上提供移动功能的方案,使得移动用户节点在切换链路时仍可以保持正在进行的通信。目前移动IP(Mobile IP,MIP)包括MIPv4和MIPv6两种不同协议的通讯方式。图1是现有的MIPv4在FA CoA通讯模式下的一种网络架构的示意图;如图1所示,当采用MIPv4时,移动节点(Mobile Node,MN)从家乡网络中移动到外地网络后,需要将外地网络分配给该MN的新的转交地址(Care-of Address,CoA)在家乡代理(Home Agent,HA)上做绑定,这样HA才能将其他实体(图中为通信伙伴)发送给MN的报文最终发至MN,当采用FA CoA模式(Foreign AgentCare-of Address,外地代理转交地址)时,MN采用FA的地址作为CoA,因此需要利用FA与HA间的数据隧道将报文转发给MN,以及将MN发送给其他实体的报文通过FA到HA的数据隧道转发给其他实体,当采用配置转交地址CCoA(Co-located CoA)模式时,也可以直接在MN和HA之间建立数据隧道。
图2是现有的MIPv6的一种网络架构的示意图;如图2所示,数据隧道直接在MN和HA间建立,即当MN的新的CoA在HA绑定后,直接将其他实体发送给MN的报文通过HA和MN之间的数据隧道发送至MN,或是MN将报文通过该数据隧道发送至HA,再由HA发送至其他实体。
代理移动IP(Proxy Mobile IP,PMIP)技术则是在MIP技术的基础上提出的,为不支持移动IP的终端提供移动性管理服务,其网络结构如图3所示。其主要的实体有两个:移动IP代理和本地移动性锚点(local Mobility Anchor,LMA)/HA,其中LMA是PMIPv6中的实体,HA是PMIPv4中的实体。移动IP代理是功能实体,它通常位于移动终端(MS,mobile Station)所在无线网络的接入实体上,代替移动终端执行移动IP信令。移动IP代理也被称为移动性代理(Mobility Proxy Agent,MPA)或者代理移动实体(Proxy Mobile Agent,PMA)。LMA/HA与传统移动IP中的HA功能相同。当移动台(Mobile Station,MS)(是移动节点的一种)移动到某个移动IP代理的管理范围内,移动IP代理会代替MS向HA发送移动IP信令,在移动IP代理和HA间建立数据隧道,HA会将发送给MS的数据首先通过隧道发给移动IP代理,进而由移动IP代理转发给MS。当MS移动到其他移动IP代理后,目标移动IP代理也会发送移动IP信令,建立新的数据隧道。因此MS可以在HA的范围内移动,而不需要更改IP地址。
发明人在实现本发明的过程中发现:对于如何保护移动IP的数据隧道,MIPv4和PMIP中没有定义相关的机制,致使数据MIPv4的数据隧道不安全。而MIPv6定义可以使用IPsec SA来保护用户数据,但IPsec的缺点是利用IKE建立SA的过程比较复杂,效率较低。
发明内容
本发明所要解决的技术问题在于,提供一种建立安全数据隧道的方法及设备。可在MIP和PMIP中采用简单的方式建立安全的数据隧道。
为了解决上述技术问题,本发明的实施例提供了一种建立安全数据隧道的方法,包括:
接收第一设备通过移动IP信令消息发送的安全参数;
根据所述安全参数,选择本设备和所述第一设备都支持的协商安全参数,并生成用于保护数据隧道的第一密钥;
通过移动IP信令消息将所述协商安全参数发送给所述第一设备,用于所述第一设备使用所述协商安全参数生成第二密钥,所述第二密钥与所述第一密钥相同。
相应的,本发明的实施例提供了一种移动通讯设备,该设备包括:
获取单元,用于获取安全参数;
发送单元,用于通过移动IP信令消息将所述安全参数发送至家乡代理通讯设备;
接收单元,用于接收所述家乡代理通讯设备通过移动IP信令消息发送的协商安全参数,所述协商安全参数为所述家乡代理通讯设备从所述移动通讯设备发送的安全参数中选择的,所述移动通讯设备和所述家乡代理通讯设备都支持的安全参数;
生成单元,用于根据所述协商安全参数生成用于保护数据隧道的第一密钥。
相应的,本发明的实施例提供了一种家乡代理通讯设备,该设备包括:
接收模块,用于接收移动通讯设备发送的安全参数;
选择模块,用于根据所述安全参数,选择所述家乡代理通讯设备和所述移动通讯设备都支持的协商安全参数;
生成单元,用于根据所述选择出的协商安全参数生成用于保护数据隧道的第一密钥;
发送模块,用于将所述协商安全参数发送至所述移动通讯设备。
本发明实施例,通过移动IP信令消息携带和协商网络中的双方建立安全数据隧道所需要的安全参数,根据所述协商的安全参数生成用于保护数据隧道的密钥,并最终使用所述协商的安全参数和密钥保护数据隧道中传输的数据,实现了通过简单的方式建立安全数据隧道的目的。
附图说明
图1是现有的MIPv4在FACoA通讯模式下的一种网络架构的示意图;
图2是现有的MIPv6的一种网络架构的示意图;
图3是现有的PMIP的一种网络结构的示意图;
图4是本发明中的一种保护IP网络中数据隧道的方法的一个实施例的流程示意图;
图5是本发明中的外地代理设备的一个实施例结构组成示意图;
图6是图5中的获取单元的一个实施例的结构组成示意图;
图7是本发明的家乡代理设备的一个实施例的结构组成示意图;
图8是本发明在MIPv4 FA CoA通讯模式下建立安全的数据隧道的一个方法实施例流程示意图;
图9是本发明在MIPv4 CCoA通讯模式下建立安全的数据隧道的一个方法实施例流程示意图;
图10是本发明在MIPv6通讯模式下建立安全的数据隧道的一个方法实施例流程示意图;
图11是本发明在码分多址(Code Division Multiple Access,CDMA)演进网络中建立安全的数据隧道的一个方法实施例流程示意图;
图12是本发明PMIPv4中通过AGW作为移动IP代理时,建立安全的数据隧道的一个方法实施例流程示意图;
图13是本发明PMIPv6中通过AGW作为移动IP代理时,建立安全的数据隧道的一个方法实施例流程示意图。
具体实施方式
下面参考附图对本发明的实施例进行描述。参见图4,为本发明中建立安全数据隧道的方法的一个实施例的流程示意图,其中,所述IP网络为移动IP网络或代理移动IP网络,所述方法包括:
401、第一设备通过移动IP信令请求消息将安全参数发送给第二设备,所述安全参数包括安全算法、安全机制以及计算密钥的参数中至少一种。
具体的,所述安全算法可以是完整性算法和加密算法,所述安全算法可以只包括完整性算法,或者只包括加密算法,或者包括所述两种算法。如果第一设备和第二设备已经事先约定了需要使用的安全算法,则所述安全参数中可以不包括安全算法。
所述安全机制是指用于保护数据隧道中通讯的IP数据所使用的保护协议和安全措施中至少一种。如果所述数据隧道的封装类型采用IP封装IP(IP in IP),所述安全机制为基于IP的安全协议,如IPsec认证头协议(Authenticaiton Header)或IPsec封装安全负载(Encapsulating Security Payload,ESP)协议。如果所述数据隧道的封装类型是通用路由封装(Generic Routing Encapsulation,GRE)
所述安全机制为先将所述数据隧道中传输的IP数据进行保护,然后将所述保护的数据封装在GRE中的安全措施。
所述计算密钥的参数可用于生成密钥,所述计算密钥的参数包括随机数和/或DH(diffie-Hellman,迪菲赫尔曼)交换所需参数,具体实现中,经双方协商后,生成用于保护数据隧道的第一密钥的步骤包括:
以保护所述第一设备和第二设备间传输的移动IP信令消息密钥作为根密钥,再通过所述随机数和/或DH交换所需参数来计算保护数据隧道的密钥;所述移动IP信令消息可为进行CoA绑定时发送的MIPv4或PMIP v4的注册请求(Registration Request,RRQ)消息或在MIPv6或PMIPv6中发送的绑定更新(Binding Update,BU)消息。
或,以所述第一设备和第二设备共享的密钥作为根密钥,再通过所述随机数和/或DH交换所需参数计算保护数据隧道的密钥;或,
直接通过DH交换所需参数计算保护数据隧道的密钥。
另外,具体实现中,所述安全参数还包括:数据的源端点指示参数及目的端点指示参数,分别用于指示数据隧道中传递的数据的源端点和目的端点。所述数据的源及目的端点指示参数可用选择符表示。比如,当采用多个隧道传输数据时,可用选择符参数携带各数据隧道中传输的数据的源端点和目的端点,可包括数据的源地址、目的地址、源端口号、目的端口号、协议等。
具体实现中,移动IP信令消息本身也需进行保护,为了保证所传递的安全参数的安全性,这些安全参数也需要由保护上述移动IP信令消息的密钥进行保护。
402、所述第二设备接收所述安全参数,并根据自身设置与所述第一设备的安全参数做比较,得到所述第一设备和第二设备都支持的协商安全参数。并根据所述协商安全参数生成用于保护所述数据隧道的第一密钥。具体实现中,第二设备可将收到的安全参数与自己的设置进行比较,选择出自身也能够支持的安全参数,称之为协商安全参数,然后在移动IP信令应答消息中携带所述协商安全参数,移动IP信令应答消息包括注册应答(Registration Reply,RRP)消息或绑定确认(Binding Acknowledgement,BA)消息。
403、所述第二设备通过移动IP信令应答消息将所述协商安全参数发送至所述第一设备。。
404、所述第一设备根据所述协商安全参数生成用于保护所述数据隧道的第二密钥,所述第二密钥与所述第一密钥相同。
至此,所述第一设备与所述第二设备间建立起安全的数据隧道。
本发明实施例,通过移动IP信令消息携带网络中的双方建立安全数据隧道所需要的安全参数,根据所述安全参数生成用于保护数据隧道的密钥,并最终使用所述协的安全参数保护数据隧道中传输的数据,实现了通过简单的方式建立安全数据隧道的目的。具体实现中,所述第一设备可为外地代理、移动节点或移动IP代理中任一个。所述第二设备可为家乡代理或本地移动性锚点中任一个。,比如,当第一设备是外地代理时,第二设备可以是家乡代理,当第一设备是移动IP代理是,所述第二设备可以是家乡代理或本地移动性锚点。具体实现中,所述移动IP代理可以为演进基站(evolved Base,eBS)或接入网关(AccessGateway,AGW)。下面分别以外地代理和家乡代理设备为例说明本发明实施例的设备的具体实施例。
下面分别以第一设备为外地代理设备以及第二设备为家乡代理设备对本发明实施例的设备结构进行说明。
图5是本发明的外地代理设备的一个实施例结构组成示意图,如图5所示,外地代理设备1包括:
获取单元10,用于获取安全参数,所述安全参数包括安全算法、安全机制以及计算密钥的参数中至少一种;发送单元12,用于通过移动IP信令消息将所述安全参数发送给第二设备;接收单元14,用于接收所述第二设备通过移动IP信令消息发送的协商安全参数,所述协商安全参数为所述第二设备从所述外地代理设备发送的安全参数中选择的,所述外地代理设备和所述第二设备都支持的安全参数;生成单元16,用于根据所述协商安全参数生成用于保护数据隧道的第二密钥。
其中,如图6所示,获取单元10可进一步包括第一获取子单元100,用于获取安全算法,所述安全算法包括完整性算法和/或加密算法;第二获取子单元102,用于获取安全机制,所述安全机制包括所述数据隧道中传递的IP数据所使用的保护协议和安全措施中至少一种;第三获取子单元104,用于获取计算密钥的参数,所述计算密钥的参数包括随机数和DH交换所需参数中至少一种。其中,所述的各参数、协议和算法详细描述与上述方法中的一致,在此不再赘述。
当移动IP代理设备或移动节点作为第一设备时,移动IP代理设备或移动节点包括:获取单元、发送单元、接收单元以及生成单元,各功能单元与上述外地代理设备1中的对应单元相同,在此不做赘述。
图7是本发明的家乡代理设备的一个实施例的结构组成示意图,如图7所示,家乡代理设备3包括:接收模块30,用于接收第一设备发送的安全参数,所述安全参数包括安全算法、安全机制以及计算密钥的参数中至少一种;选择模块32,用于根据所述安全参数,选择所述家乡代理设备和所述第一设备都支持的协商安全参数;生成模块34,用于根据所述协商安全参数生成用于保护所述数据隧道的第一密钥,所述第一密钥和所述第二密钥相同;发送模块36,用于将所述协商安全参数发送至所述外地代理设备,其中,所述的各参数、协议和算法详细描述与上述方法中的一致,在此不再赘述。
相应的,当本地移动性锚点设备作为第二设备时,所述本地移动性锚点设备也包括接收模块、选择模块、生成模块以及发送模块,各功能模块与家乡代理设备的对应功能模块功能相同,在此不赘述。
下面结合实例进一步描述本发明实施例保护IP网络中数据隧道的方法。
图8是本发明在MIPv4 FA CoA通讯模式下建立安全的数据隧道的一个方法实施例流程示意图。本实施例中用于保护数据隧道的密钥通过FA和HA间的共享密钥以及随机数生成,数据隧道的封装采用GRE方式。本实施例的流程包括:
801、移动节点(MN)获得了FA CoA地址后将注册请求(RRQ)消息发送到外地代理(FA)。该RRQ消息中包含了家乡地址(Home Address,HoA)和CoA,以及利用MN和HA间共享密钥计算的消息摘要MN-HA认证扩展(MH-HA Authentication Extension,MN-HA AE)。
802、FA将收到的注册请求(RRQ)转发给家乡代理(HA)。为了建立安全的数据隧道,FA在转发的RRQ消息中增加了用于协商与隧道安全有关的安全参数,该安全参数包括用于计算密钥的随机数FA-nonce、加密算法列表(encrypt-alg list)、完整性算法列表。在RRQ消息中还指示了封装方式采用GRE。该安全算法为以FA和HA共享的密钥作为根密钥,再通过传递随机数计算保护所述数据隧道的密钥。
803、HA收到RRQ后,首先用与FA和MN分别共享的密钥对消息的合法性进行校验,如果校验成功,则执行移动IP的绑定操作,即将MN的HoA与CoA绑定。HA获得协商的安全参数:HA将收到的安全参数中的FA的算法列表,与自身支持的算法进行比较,选择出相同的算法,并且也生成一个随机数HA-nonce;HA根据与FA共享的密钥(或者MN-HA共享的密钥)以及FA-nonce、HA-nonce生成用于保护数据隧道的密钥,即该密钥为FA共享的密钥(或者MN-HA共享的密钥)、FA-nonce以及HA-nonce的函数,通常该函数为HMAC-MD5、HMAC-SHA1或者HMAC-SHA-256,可表示为:Key=F(FA-HAkey or MN-HA key,FA-nonce,HA-nonce)。
804、HA发送注册应答(RRP)消息,该消息中携带了根据所述FA发送的安全参数中选择出的协商安全参数。所述协商安全参数包括所生成的随机数HA-nonce,所选择的安全算法。同时RRP消息中还包括了生成的GRE key,用于标识GRE隧道。消息发送时仍使用与MN和HA间,FA和HA间的共享密钥进行保护。
805、FA收到RRP后,根据消息中携带的协商安全参数,与HA执行密钥生成算法,生成密钥。
806、FA转发注册应答(RRP)消息给MN,移动IP注册过程完成。
此时,FA和HA间已经建立了安全的GRE数据隧道,当FA发送数据包给HA时,将使用所协商的算法和密钥对传输的数据进行保护,然后再进行GRE封装。反之亦然。
本实施例通过移动IP信令消息(RRQ和RRP)携带并协商网络中的FA和HA间建立安全数据隧道所需要的安全参数,根据所述协商的安全参数生成用于保护数据隧道的密钥,并最终使用所述协商的安全参数和密钥保护数据隧道中传输的数据,实现了通过简单的方式建立安全数据隧道的目的。
图9是本发明在MIPv4 CCoA通讯模式下建立安全的数据隧道的一个方法实施例流程示意图;本实施例中用于保护数据隧道的密钥通过MN和HA间的共享密钥以及DH交换所需参数生成,数据隧道封装采用IP in IP的MIP注册的过程。其中,CCoA模式是指给每个MN分配一个独立的CoA,数据隧道在MN和HA之间建立。本实施例的流程包括:
901、移动节点(MN)获得了CoA地址后,发送注册请求(RRQ)消息到家乡代理(HA)。RRQ消息中包含了HoA和CoA,用于协商安全隧道的安全参数,安全参数包括加密算法(encryption algorithms),安全参数索引(SecurityParameter Index,SPI),DH交换参数,安全协议设置为IPsec ESP。消息利用MN和HA间共享密钥进行保护,所生成的消息摘要位于MN-HAAE中。
902、HA收到RRQ后,首先用与MN共享的密钥对消息的合法性进行校验,如果成功,则执行移动IP的绑定操作,即将MN的HoA与CoA绑定。同时,HA将收到的MN的算法列表与自身支持的进行比较,选择出相同的算法,并且也生成一个DH交换参数。HA根据与MN共享的密钥以及两个DH交互参数,即DH公开值生成用于保护数据隧道的密钥,Key=F(MN-HA key,DH交换参数1,DH交换参数2);或者直接使用DH交换参数生成,Key=F(DH交换参数1,DH交换参数2)。
903、HA发送注册应答(RRP)消息到MN,消息携带了所生成的DH交换参数,所选择的加密算法,SPI。RRP消息仍使用与MN和HA间的共享密钥保护。
904、MN收到RRP后,保存HA所选择的加密算法,SPI,并采用与HA相同的过程计算用于保护所述数据隧道的密钥。
此时,MN和HA间已经建立了安全的IPsec隧道,当MN发送数据包给HA时,将使用所协商的算法和密钥进行保护,过程与通常的IPsec过程相同。反之亦然。
本实施例通过移动IP信令消息(RRQ和RRP)携带并协商网络中的MN和HA间建立安全数据隧道所需要的安全参数,根据所述协商的安全参数生成用于保护数据隧道的密钥,并最终使用所述协商的安全参数和密钥保护数据隧道中传输的数据,实现了通过简单的方式建立安全数据隧道的目的。
图10是本发明在MIPv6通讯模式下建立安全的数据隧道的一个方法实施例流程示意图;本实施例中用于保护数据隧道的密钥通过MN和HA间的共享密钥以及DH交换所需参数生成,数据隧道封装采用IP in IP方式。本实施例的流程包括:
1001、移动节点(MN)获得了CoA地址和HoA地址后发送绑定更新(BU)消息到家乡代理(HA),BU消息中包含了HoA和CoA,用于协商安全隧道的参数,加密算法(encryption algorithms),SPI,DH交换参数,安全协议设置为IPsec ESP。BU消息利用MN和HA间共享密钥进行保护,所生成的消息摘要位于MN-HA认证选项(MN-HA Authentication Option,MN-HA AO)中;如果MN与HA间没有共享密钥,也可以使用与认证、授权、计费(Authentication,Authorization,Accounting,AAA)间的密钥保护,此时将使用MN-AAA认证选项(MN-AAA Authentication Option,MN-AAA AO)。
1002、HA收到BU后,首先用与MN共享的密钥对消息的合法性进行校验,如果成功,则执行移动IP的绑定操作,即将MN的HoA与CoA绑定。如果HA与MN间没有共享密钥,则利用AAA对消息进行校验。HA将收到的MN的算法列表,与自身支持的算法列表进行比较,选择出相同的算法,并且也生成一个DH交换参数。HA根据与MN共享的密钥以及两个DH交互参数,即DH公开值生成用于保护数据隧道的密钥:Key=F(MN-HA key,DH交换参数1,DH交换参数2)。
1003、HA发送绑定应答(BA)消息,消息携带了所生成的DH交换参数、所选择的加密算法、生成的SPI。消息使用MN和HA间的共享密钥保护,如果之前HA与MN间没有共享密钥,可从AAA获得。
1004、MN收到BA后,保存HA所选择的加密算法、SPI,并采用与HA相同的过程计算密钥。这样MN和HA间就建立起了安全的IPsec隧道,当MN发送数据包给HA时,将使用所协商的算法和密钥进行保护,过程与通常的IPsec过程相同。反之亦然。
本实施例通过移动IP信令消息(BU和BA)携带并协商网络中的MN和HA间建立安全数据隧道所需要的安全参数,根据所述协商的安全参数生成用于保护数据隧道的密钥,并最终使用所述协商的安全参数和密钥保护数据隧道中传输的数据,实现了通过简单的方式建立安全数据隧道的目的。
图11是本发明在码分多址(Code Division Multiple Access,CDMA)演进网络中建立安全的数据隧道的一个方法实施例流程示意图;本实施例中用于保护数据隧道的密钥通过演进基站(evolved Base,eBS)和接入网关(AccessGateway,AGW)间的共享密钥以及随机数生成,数据隧道封装采用GRE方式。本实施例的流程包括:
1101、接入终端(Access Terminal,AT)与演进基站eBS建立连接,并选择该eBS做为数据附着点(Data Attachment Point,DAP);
1102、eBS做为DAP,需要与接入网关AGW建立数据承载,因此发送代理移动IP注册请求(PMIP RRQ)消息给AGW,在消息中除了PMIP必要的参数,还包含了用于协商与数据安全有关的安全参数,包括用于计算密钥的随机数FA-nonce、加密算法列表、完整性算法列表。由于封装方式采用GRE,因此没有携带协商安全协议的参数。消息还使用eBS与AGW间的密钥进行完整性保护。
1103、AGW收到PMIP RRQ后,首先用与eBS共享的密钥对消息的合法性进行校验,如果成功,则执行代理移动IP的绑定操作。AGW将收到的eBS的算法列表,与自身支持的算法进行比较,选择出相同的算法,并且也生成一个随机数HA-nonce。HA根据与eBS共享的密钥以及FA-nonce、HA-nonce生成用于保护数据隧道的密钥:Key=F(eBS-AGW key,FA-nonce、HA-nonce)。
1104、AGW发送代理移动IP注册应答(PMIP RRP)消息给eBS,消息携带了所生成的随机数HA-nonce、所选择的安全算法、生成的GRE key。消息仍使用eBS和AGW间的共享密钥保护。
1105、eBS收到PMIP RRP后,保存AGW所选择的安全算法,与HA执行相同的操作,生成密钥。这时eBS和AGW间已经建立了安全的GRE隧道,当eBS发送数据包给AGW时,将使用所协商的算法和密钥进行保护,然后再进行GRE封装。反之亦然。
本实施例通过移动IP信令消息(PMIP RRQ和PMIP RRP)携带并协商网络中的eBS和AGW间建立安全数据隧道所需要的安全参数,根据所述协商的安全参数生成用于保护数据隧道的密钥,并最终使用所述协商的安全参数和密钥保护数据隧道中传输的数据,实现了通过简单的方式建立安全数据隧道的目的。
图12是本发明PMIPv4中通过AGW作为移动IP代理时,建立安全的数据隧道的一个方法实施例流程示意图;本实施例中用于保护数据隧道的密钥通过AGW和HA间的共享密钥以及随机数生成,数据隧道封装采用IP in IP方式。本实施例的流程包括:
1201、AT向AGW请求IP地址,发送动态主机配置协议(Dynamic HostConfiguration Protocol,DHCP)Discover消息。
1202、AGW收到DHCP消息后,判断该AT可以使用基于PMIP的移动性,因此发送代理移动IP注册请求(PMIP RRQ)到HA,消息中包含了CoA,用于协商保护隧道安全的安全参数(如完整性算法,SPI,随机数AGW-nonce,安全协议设置为IPsec AH,以及用于指示数据隧道中传输的数据的源端点和目的端点的选择符等)。RRQ消息利用AGW和HA间共享密钥进行保护,所生成的消息摘要位于MN-HAAE中。
1203、HA收到PMIP RRQ后,首先用与AGW共享的密钥对消息的合法性进行校验,如果成功,则执行移动IP的绑定操作。如果HA当前没有与AGW的共享密钥,可通过AAA获得。HA将收到的AGW的算法列表,与自身支持的算法进行比较,选择出相同的算法,并且也生成一个随机数HA-nonce。HA根据与AGW共享的密钥以及两个随机数生成用于保护数据隧道的密钥:Key=F(AGW-HA key,AGW-nonce,HA-nonce)。
1204、HA发送代理移动IP注册应答(PMIP RRP)消息至AGW,消息携带了所生成的随机数,选择的完整性保护算法,生成的SPI,以及分配的HoA,选择符。RRP消息仍使用与AGW和HA间的共享密钥保护。
1205、AGW收到PMIP RRP后,保存HA发送的参数,并使用与HA相同的方法计算密钥。
1206、AGW发送DHCP应答(DHCP ACK)消息到AT,所分配的地址为从HA得到的HoA。
这样AGW和HA间就建立起了安全的IPsec隧道,该隧道是针对当前AT的,当AGW转发用户数据包给HA时,将使用所协商的算法和密钥进行保护,过程与通常的IPsec过程相同。反之亦然。
本实施例通过移动IP信令消息(PMIP RRQ和PMIP RRP)携带并协商网络中的AGW和HA间建立安全数据隧道所需要的安全参数,根据所述协商的安全参数生成用于保护数据隧道的密钥,并最终使用所述协商的安全参数和密钥保护数据隧道中传输的数据,实现了通过简单的方式建立安全数据隧道的目的。
图13是本发明PMIPv6中通过AGW作为移动IP代理时,建立安全的数据隧道的一个方法实施例流程示意图;本实施例中用于保护数据隧道的密钥通过AGW和LMA间的共享密钥以及DH交换所需参数生成,数据隧道封装采用IP inIP方式。本实施例的流程包括:
1301、AT支持简单IPv6,因此向AGW请求IP地址,发送路由请求(RouterSolicitation)消息。
1302、AGW收到Router Solicitation消息后,判断该AT可以使用基于PMIP的移动性,因此发送代理移动IP绑定更新(PMIP BU)到LMA,消息中包含了CoA,用于协商安全隧道的参数(包括加密算法,SPI,DH交换参数1,安全协议设置为IPsec ESP,以及用于指示相应数据隧道中传输的数据的源端点和目的端点的选择符)。消息利用AGW和HA间共享密钥进行保护,所生成的消息摘要位于MN-HA AE中;
1303、LMA收到PMIP BU后,首先用与AGW共享的密钥对消息的合法性进行校验,如果成功,则执行移动IP的绑定操作。如果LMA当前没有与AGW的共享密钥,可通过AAA获得。LMA将收到的AGW的算法列表,与自身支持的进行比较,选择出相同的算法,并且也生成一个DH交换参数2。HA根据与AGW共享的密钥以及两个随机数生成用于保护数据隧道的密钥。Key=F(AGW-HA key,DH交换参数1,DH交换参数2)。
1304、LMA发送包含相关参数的代理移动IP绑定应答(PMIP BA)消息至AGW,BA消息中携带了LMA所生成的DH交换参数2,选择的加密算法,生成的SPI,分配的家乡地址前缀(HoA prefix)以及选择符。消息仍使用与AGW和HA间的共享密钥保护。
1305、AGW收到PMIP BA后,保存LMA发送的参数,并使用与LMA相同的方法计算密钥。
1306、AGW发送路由通告(Router Advertisement)消息到AT,所分配的地址前缀为从HA得到的HoAprefix。
这样,AGW和LMA间就建立起了安全的IPsec隧道,该隧道是针对当前AT的,当AGW转发用户数据包给LMA时,将使用所协商的算法和密钥进行保护,过程与通常的IPsec过程相同。反之亦然。
本实施例通过移动IP信令消息(PMIP BU和PMIP BA)携带并协商网络中的AGW和LMA间建立安全数据隧道所需要的安全参数,根据所述协商的安全参数生成用于保护数据隧道的密钥,并最终使用所述协商的安全参数和密钥保护数据隧道中传输的数据,实现了通过简单的方式建立安全数据隧道的目的。
本发明实施例,通过移动IP信令消息携带并协商网络中的双方建立安全数据隧道所需要的安全参数,根据所述协商的安全参数生成用于保护数据隧道的密钥,并最终使用所述协商的安全参数和密钥保护数据隧道中传输的数据,实现了通过简单的方式建立安全数据隧道的目的。
以上所揭露的仅为本发明的实施例而已,当然不能以此来限定本发明之权利范围,因此依本发明权利要求所作的等同变化,仍属本发明所涵盖的范围。
Claims (11)
1、一种建立安全数据隧道的方法,其特征在于,所述方法包括:
接收第一设备通过移动IP信令消息发送的安全参数;
根据所述安全参数,选择本设备和所述第一设备都支持的协商安全参数,并生成用于保护数据隧道的第一密钥;
通过移动IP信令消息将所述协商安全参数发送给所述第一设备,用于所述第一设备根据所述协商安全参数生成第二密钥,所述第二密钥与所述第一密钥相同。
2、如权利要求1所述的方法,其特征在于,所述安全参数包括安全算法、安全机制以及计算密钥的参数中至少一种;
所述安全算法包括完整性算法和加密算法中至少一种;
所述安全机制包括所述数据隧道中传递的IP数据所使用的保护协议和安全措施中至少一种;
所述计算密钥的参数包括随机数和迪菲赫尔曼DH交换所需参数中至少一种。
3、如权利要求2所述的方法,其特征在于,
如果所述数据隧道的封装类型采用IP封装IP,所述安全机制为基于IP的安全协议;
如果所述数据隧道的封装类型采用通用路由封装GRE,所述安全机制为先将所述隧道中传递的IP数据进行保护,然后将所述保护后的数据封装在GRE中的安全措施。
4、如权利要求2所述的方法,其特征在于,所述第一密钥的生成或所述第二密钥的生成步骤包括:
以保护所述移动IP信令消息的密钥作为根密钥,再通过所述随机数和/或DH交换所需参数计算保护数据隧道的密钥;或,
以本设备与所述第一设备间的共享密钥作为根密钥,再通过所述随机数和/或DH交换所需参数计算保护数据隧道的密钥;或,
直接通过DH交换所需参数计算保护数据隧道的密钥。
5、如权利要求2所述的方法,其特征在于,所述安全参数还包括:
数据的源端点指示参数及目的端点指示参数,分别用于指示数据隧道中传递的数据的源端点和目的端点。
6、一种移动通讯设备,其特征在于,包括:
获取单元,用于获取安全参数;
发送单元,用于通过移动IP信令消息将所述安全参数发送给家乡代理通讯设备;
接收单元,用于接收所述家乡代理通讯设备通过移动IP信令消息发送的协商安全参数,所述协商安全参数为所述家乡代理通讯设备从所述移动通讯设备发送的安全参数中选择的,所述移动通讯设备和所述家乡代理通讯设备都支持的安全参数;
生成单元,用于根据所述协商安全参数生成用于保护数据隧道的第一密钥。
7、如权利要求6所述的移动通讯设备,其特征在于,所述获取单元获取的安全参数包括安全算法、安全机制以及计算密钥的参数中至少一种;
所述获取单元包括下述第一获取子单元、第二获取子单元以及第三获取子单元中至少一个单元;
第一获取子单元,用于获取安全算法,所述安全算法包括完整性算法和加密算法中至少一种;
第二获取子单元,用于获取安全机制,所述安全机制包括所述数据隧道中传递的IP数据所使用的保护协议和安全措施中至少一种;
第三获取子单元,用于获取计算密钥的参数,所述计算密钥的参数包括随机数和迪菲赫尔曼DH交换所需参数中至少一种。
8、如权利要求6所述的移动通讯设备,其特征在于,为外地代理、移动节点或移动IP代理中任一个;
所述家乡代理通讯设备为家乡代理或本地移动性锚点中任一个。
9、一种家乡代理通讯设备,其特征在于,包括:
接收模块,用于接收移动通讯设备发送的安全参数;
选择模块,用于根据所述安全参数,选择所述家乡代理通讯设备和所述移动通讯设备都支持的协商安全参数;
生成单元,用于根据所述选择出的协商安全参数生成用于保护数据隧道的第一密钥;
发送模块,用于将所述协商安全参数发送至所述移动通讯设备。
10、如权利要求9所述的家乡代理通讯设备,其特征在于,所述接收模块接收的所述安全参数包括安全算法、安全机制以及计算密钥的参数中至少一种。
11、如权利要求9所述的家乡代理通讯设备,其特征在于,为家乡代理或本地移动性锚点中任一个;
所述移动通讯设备为外地代理、移动节点或移动IP代理中任一个。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2008100268838A CN101540999B (zh) | 2008-03-19 | 2008-03-19 | 一种建立安全数据隧道的方法及设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2008100268838A CN101540999B (zh) | 2008-03-19 | 2008-03-19 | 一种建立安全数据隧道的方法及设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101540999A true CN101540999A (zh) | 2009-09-23 |
| CN101540999B CN101540999B (zh) | 2012-04-25 |
Family
ID=41123922
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2008100268838A Expired - Fee Related CN101540999B (zh) | 2008-03-19 | 2008-03-19 | 一种建立安全数据隧道的方法及设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101540999B (zh) |
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102056155A (zh) * | 2009-10-28 | 2011-05-11 | 中兴通讯股份有限公司 | 移动回程网络 |
| WO2012116599A1 (zh) * | 2011-03-01 | 2012-09-07 | 华为技术有限公司 | 安全隧道建立方法和基站 |
| CN103190129A (zh) * | 2009-11-25 | 2013-07-03 | 安全第一公司 | 对移动中数据进行保护的系统和方法 |
| CN104993995A (zh) * | 2015-07-15 | 2015-10-21 | 上海地面通信息网络有限公司 | 基于gre路由封装的城市之间虚拟专线控制装置 |
| CN105407095A (zh) * | 2015-11-26 | 2016-03-16 | 深圳市风云实业有限公司 | 不同网络间安全通信装置及其通信方法 |
| CN103190129B (zh) * | 2009-11-25 | 2016-11-30 | 安全第一公司 | 对移动中数据进行保护的系统和方法 |
| CN106789023A (zh) * | 2016-12-29 | 2017-05-31 | 杭州迪普科技股份有限公司 | 一种基于IKEv2的DH算法协商方法及装置 |
| CN107743122A (zh) * | 2017-09-29 | 2018-02-27 | 北京知道创宇信息技术有限公司 | 一种数据发送方法、数据接收方法及数据通信系统 |
| CN109361684A (zh) * | 2018-11-14 | 2019-02-19 | 盛科网络(苏州)有限公司 | 一种vxlan隧道的动态加密方法和系统 |
| CN114499913A (zh) * | 2020-10-26 | 2022-05-13 | 华为技术有限公司 | 加密报文的检测方法及防护设备 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN100407868C (zh) * | 2005-06-17 | 2008-07-30 | 中兴通讯股份有限公司 | 一种在移动用户和应用服务器之间建立安全信道的方法 |
| CN100594690C (zh) * | 2007-05-22 | 2010-03-17 | 网御神州科技(北京)有限公司 | 一种安全网关中进行安全策略统一处理的方法及装置 |
-
2008
- 2008-03-19 CN CN2008100268838A patent/CN101540999B/zh not_active Expired - Fee Related
Cited By (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102056155B (zh) * | 2009-10-28 | 2014-07-02 | 中兴通讯股份有限公司 | 移动回程网络 |
| CN102056155A (zh) * | 2009-10-28 | 2011-05-11 | 中兴通讯股份有限公司 | 移动回程网络 |
| CN103190129B (zh) * | 2009-11-25 | 2016-11-30 | 安全第一公司 | 对移动中数据进行保护的系统和方法 |
| CN103190129A (zh) * | 2009-11-25 | 2013-07-03 | 安全第一公司 | 对移动中数据进行保护的系统和方法 |
| WO2012116599A1 (zh) * | 2011-03-01 | 2012-09-07 | 华为技术有限公司 | 安全隧道建立方法和基站 |
| CN104993995A (zh) * | 2015-07-15 | 2015-10-21 | 上海地面通信息网络有限公司 | 基于gre路由封装的城市之间虚拟专线控制装置 |
| CN105407095A (zh) * | 2015-11-26 | 2016-03-16 | 深圳市风云实业有限公司 | 不同网络间安全通信装置及其通信方法 |
| CN105407095B (zh) * | 2015-11-26 | 2019-03-05 | 深圳市风云实业有限公司 | 不同网络间安全通信装置及其通信方法 |
| CN106789023A (zh) * | 2016-12-29 | 2017-05-31 | 杭州迪普科技股份有限公司 | 一种基于IKEv2的DH算法协商方法及装置 |
| CN106789023B (zh) * | 2016-12-29 | 2020-03-06 | 杭州迪普科技股份有限公司 | 一种基于IKEv2的DH算法协商方法及装置 |
| CN107743122A (zh) * | 2017-09-29 | 2018-02-27 | 北京知道创宇信息技术有限公司 | 一种数据发送方法、数据接收方法及数据通信系统 |
| CN109361684A (zh) * | 2018-11-14 | 2019-02-19 | 盛科网络(苏州)有限公司 | 一种vxlan隧道的动态加密方法和系统 |
| CN109361684B (zh) * | 2018-11-14 | 2021-05-25 | 盛科网络(苏州)有限公司 | 一种vxlan隧道的动态加密方法和系统 |
| CN114499913A (zh) * | 2020-10-26 | 2022-05-13 | 华为技术有限公司 | 加密报文的检测方法及防护设备 |
| CN114499913B (zh) * | 2020-10-26 | 2022-12-06 | 华为技术有限公司 | 加密报文的检测方法及防护设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101540999B (zh) | 2012-04-25 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101540999B (zh) | 一种建立安全数据隧道的方法及设备 | |
| KR101030645B1 (ko) | 보안 결합 수립 방법, 결합 업데이트 검증 방법 및 결합 업데이트 실행 방법 | |
| EP1974554B1 (en) | System and method for mobility management on wireless networks | |
| JP4291272B2 (ja) | ホームエージェントと共に移動ノードのホームアドレスを登録する方法 | |
| EP2090064B1 (en) | Methods and apparatus for implementing proxy mobile ip in foreign agent care-of address mode | |
| US8259649B2 (en) | Route optimization with location privacy support | |
| CN101803413B (zh) | 用于在通信网络之间漫游的方法和设备 | |
| US20100046434A1 (en) | Network-based and host-based mobility management in packet-based communication networks | |
| US20100097993A1 (en) | System for Effective Position Management Signaling Associated with Mobile Node Moving in Mobile Network, Router, Mobile Node, and Mobile Router | |
| CN101785270A (zh) | 用于检测用户设备驻留在信赖的还是非信赖的接入网的方法和设备 | |
| CA2714280A1 (en) | Method and apparatus for use in a communications network | |
| EP2151114A2 (en) | Method and apparatus for combining internet protocol authentication and mobility signaling | |
| KR101007005B1 (ko) | 원격 통신 | |
| US20080316974A1 (en) | Vertical handoff | |
| AU2010267639B2 (en) | Methods and systems for mobile IP route optimization | |
| EP2361473A1 (en) | Method and communication system for protecting an authentication connection | |
| Yeh et al. | A secure and efficient batch binding update scheme for route optimization of nested NEtwork MObility (NEMO) in VANETs | |
| Laurent-Maknavicius et al. | Inter-domain security for mobile Ipv6 | |
| CN101860846B (zh) | 基于位置预判的预认证快速切换方法 | |
| Kim et al. | Secure and low latency handoff scheme for proxy mobile ipv6 | |
| Chai et al. | On security-effective and global mobility management for FPMIPv6 networks | |
| KR101053769B1 (ko) | 휴대인터넷과 모바일 아이피브이식스를 연동하여 중복 연산을 제거하는 암호화 바인딩 프로토콜 제어방법 | |
| Damic | Introducing L3 network-based mobility management for mobility-unaware IP hosts | |
| Kim et al. | Design of authentication mechanism using PANA CTP in FMIPv6 environment | |
| Jeong et al. | Performance analysis of route optimization scheme in proxy mobile IPv6 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20120425 Termination date: 20180319 |