CN101626366B - 保护代理邻居发现的方法、系统和相关装置 - Google Patents
保护代理邻居发现的方法、系统和相关装置 Download PDFInfo
- Publication number
- CN101626366B CN101626366B CN200810068502.2A CN200810068502A CN101626366B CN 101626366 B CN101626366 B CN 101626366B CN 200810068502 A CN200810068502 A CN 200810068502A CN 101626366 B CN101626366 B CN 101626366B
- Authority
- CN
- China
- Prior art keywords
- entrust certificate
- certificate
- agency
- entrust
- cga
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/56—Provisioning of proxy services
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/56—Provisioning of proxy services
- H04L67/59—Providing operational support to end devices by off-loading in the network or by emulation, e.g. when they are unavailable
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及通信领域,公开了一种保护代理邻居发现的系统,该系统包括委托方设备、至少一个代理设备以及邻居节点设备。该系统中委托方设备向代理设备提供委托证书,代理设备通过对委托证书进行验证,在确认委托证书是有效时,在邻居发现消息中携带该委托证书。邻居节点设备接收到携带委托证书的消息后,验证委托源的有效性。本发明实施例提供的系统,解决了代理邻居发现的安全问题。本发明还公开了保护代理邻居发现的方法和装置。
Description
技术领域
本发明涉及通信领域,特别涉及保护代理邻居的方法、系统,以及相关装置。
背景技术
NDP(Neighbor Discovery Protocol,邻居发现协议)是IPv6(Internet Protocol version 6,互联网协议版本6)协议的一个基本组成部分,它实现了路由器和前缀的发现、地址解析、下一跳地址确定、重定向、邻居不可达检测、重复地址检测等功能,它解决了连接在同一链路上的节点之间的交互问题。
邻居发现协议需要进行安全保护,否则容易遭受攻击,尤其是伪造IP地址攻击。例如:攻击者伪造被攻击节点的IP地址,发送携带虚假的源链路层地址的邻居请求消息或虚假的目标链路层地址的邻居通告消息,使接收者更新邻居缓存,存储错误的链路层地址,导致发送给被攻击节点的合法报文无法达到。
为了对邻居发现协议进行保护,IETF(Internet Engineering TaskForce,互联网工程任务组)定义了SeND(Secure NeighborDiscovery,安全邻居发现)协议,SeND协议采用CGA(Cryptographically Generated Addresses,密码学生成地址)技术和签名来防止伪造IP地址攻击。
攻击者如果试图用CGA技术来伪造其它节点的CGA时,在CGA的产生过程中,由于该地址已经存在,因此会发生冲突,无法伪造成其它节点的CGA。若拥有该CGA的节点离线,攻击者可以成功伪造该CGA地址而不会产生冲突,但由于攻击者没有对应的私有密钥,在签名验证过程中仍将会失败而无法发起攻击。同样,当攻击者不使用CGA技术,直接伪造成其它节点的CGA以及携带对应的CGA参数,由于攻击者没有该节点的私有密钥,因此在签名验证过程中仍将失败,无法达到攻击的效果。所以,使用CGA技术,SeND协议可以成功地防止攻击者伪造IP地址进行攻击。
MIPv6(Mobile IPv6,移动IPv6)及相关协议中需要使用代理邻居发现功能。代理邻居发现是当节点由于某些原因,无法直接接收和发送邻居发现消息,而允许其它设备代表其执行邻居发现功能的过程。例如:当MN(Mobile Node,移动节点)离开家乡时,MN的家乡地址以及MN和家乡链路邻居节点间已有的会话都需要继续保持,邻居节点也需要继续维护到达MN的邻居缓存条目,但由于MN无法和家乡链路邻居节点直接进行通信,因此,MN需要借助其它设备来完成邻居发现功能,HA(Home Agent,家乡代理)可作为MN的邻居发现代理。当HA收到家乡链路邻居节点对MN的NS(Neighbor Solicitation,邻居请求消息)时,HA响应一个NA(Neighbor Advertisement,邻居通告消息)。NA中的源地址为HA的地址,而通告的目标地址却是已经离开的MN的地址。
和邻居发现一样,代理邻居发现也需要进行安全保护,否则容易遭受攻击。然而,并不能直接将SeND协议引入到代理邻居发现中进行安全保护,因为SeND要求地址的通告者就是地址的拥有者,即:要求NA中通告的目标地址和源地址要一致,而代理NA中却不一致。
一般通过主机和代理之间建立“共生关系”的方式来解决代理邻居发现的安全问题。例如:当AR(Access Router,接入路由器)发送路由器通告消息时,携带具有代理能力的代理公钥,通常代理就是AR本身;当主机接入链路、收到AR发送的路由器通告消息时,主机将代理公钥引入到CGA的计算过程中,主机CGA和代理公钥进行绑定称为“共生关系”。代理在代表主机发送的邻居发现消息中携带“共生关系”相关参数并签名该消息来表明其具有合法的代理功能。接收者在成功验证主机和代理之间的“共生关系”以及代理的签名之后,认为该消息是合法的邻居发现消息,否则认为该消息是不安全的。
由于主机CGA和代理公钥进行绑定,主机CGA依赖于代理公钥,只要代理公钥变化,所有与这个代理建立“共生关系”的主机都需要重新计算CGA,这些主机当前的IP会话也可能会因此中断。
发明内容
本发明实施例提供保护代理邻居发现的方法、系统以及相关装置,解决了代理邻居发现的安全问题。
本发明实施例提供的一种保护代理邻居发现的方法,包括:
代理接收来自委托方的委托证书;当委托证书有效时,代表委托方发送邻居发现消息,邻居发现消息包括所述委托证书。
本发明实施例提供的又一种保护代理邻居发现的方法,包括:
代理接收来自委托方的委托证书;当来自委托方的委托证书有效时,向代理的下一级代理提供新的委托证书,该向所述代理的下一级代理提供的新的委托证书包括来自委托方的委托证书;当最后一级代理接收到的委托证书有效时,最后一级代理代表委托方发送邻居发现消息,该邻居发现消息包括最后一级代理接收到的委托证书。
本发明实施例提供的又一种保护代理邻居发现的方法,包括:
接收来自代理的邻居发现消息,该邻居发现消息包括委托方的委托证书;当委托证书有效时,通过代理与委托方进行通信。
本发明实施例提供的一种委托装置,包括:
证书模块,用于生成委托证书;
委托模块,用于向代理提供证书模块生成的委托证书,委托代理进行邻居发现。
本发明实施例提供的一种代理装置,包括:
第一验证模块,用于验证接收到的委托证书,当委托证书是有效时,触发第一处理模块;
第一处理模块,用于发送邻居发现消息,该消息包含委托证书。
本发明实施例提供的又一种代理装置,包括:
第四验证模块,用于验证接收到的委托证书,当委托证书有效时,触发第四处理模块;
第四处理模块,用于向该代理装置的下一级代理装置提供新的委托证书,该新的委托证书包括经过第四验证模块验证的委托证书。
本发明实施例提供的一种邻居节点装置,包括
接收模块,用于接收邻居发现消息,该消息包含委托证书;
第二验证模块,用于验证接收模块接收到的委托证书的有效性。
本发明实施例提供的一种保护代理邻居发现的系统,包括:
委托方设备,用于生成委托证书,向代理设备提供该委托证书,委托代理设备进行邻居发现;
至少一个代理设备,其中,中间代理设备用于接收来自委托方或者该中间代理设备的上一级代理设备的委托证书,当委托证书有效时,向该中间代理设备的下一级代理设备提供新的委托证书,该新的委托证书包括来自上一级代理设备的委托证书;
最后一级代理,用于接收来自自己的上一级代理设备的委托证书,当委托证书有效时,将委托证书携带在邻居发现消息中;
邻居节点设备,用于接收来自最后一级代理设备的邻居发现消息,对消息中携带的委托证书进行验证。
本发明实施例提供的保护代理邻居发现的方法、系统及相关装置,通过委托证书的方式,避免了伪造IP地址攻击,有效的解决了代理邻居发现的安全问题。
附图说明
图1为本发明实施例一提供的一种保护代理邻居发现的方法;
图2为本发明实施例二提供的一种保护代理邻居发现的方法;
图3为本发明实施例三提供的一种保护代理邻居发现的方法;
图4为本发明实施例四提供的一种委托装置400示意图;
图5为本发明实施例四提供的证书模块402的具体示意图;
图6为本发明实施例四提供的证书模块402的又一具体示意图;
图7为本发明实施例四提供的证书模块402的又一具体示意图;
图8为本发明实施例四提供的证书模块402的又一具体示意图;
图9为本发明实施例四提供的一种委托装置400又一示意图;
图10为本发明实施例五提供的一代理装置500结构示意图;
图11为本发明实施例五提供的第一验证模块502的具体示意图;
图12为本发明实施例五提供的第一验证模块502的又一具体示意图;
图13为本发明实施例五提供的第一处理模块504的具体示意图;
图14为本发明实施例五提供的一种代理装置500又一示意图;
图15为本发明实施例六提供的一种邻居节点装置600示意图;
图16为本发明实施例六提供的第二验证模块604的具体示意图;
图17为本发明实施例六提供的第二验证模块604的又一具体示意图;
图18为本发明实施例六提供的一种邻居节点装置600又一示意图;
图19为本发明实施例六提供的第三验证模块620的具体示意图;
图20为本发明实施例七提供的又一种代理装置700示意图;
图21为本发明实施例七提供的一种保护代理邻居发现的系统800示意图;
图22为本发明实施例的应用场景一示意图;
图23为本发明实施例的应用场景二示意图。
具体实施方式
为使本发明实施例的目的、技术方案及优点更加清楚明白,以下参照附图,对本发明实施例作进一步地详细说明。
如图1所示,本发明实施例一提供了一种保护代理邻居发现的方法,该方法包括:
100、代理接收来自委托方的委托证书;
本实施例中,以最简单的一级代理为例进行说明,委托方为离开家乡网络、处于漫游状态的移动节点MN。
委托证书的内容包括:验证信息、以及委托方的数字签名(以下称为第一数字签名)。其中,验证信息包括:密码学生成地址CGA、以及CGA参数。
密码学生成地址CGA,为委托方连接到链路、获取到链路的子网前缀之后,使用CGA技术配置的IP地址。例如:委托方在每次产生CGA前,产生一对公钥、私钥对,对CGA参数进行两次哈希计算产生IPv6地址的接口标识符,在此接口标识符前面加上本地网络前缀得到的IPv6地址就是CGA。使用此地址发送消息时,需要携带CGA参数,并使用私钥对所发送的消息进行签名。消息接收者需要对发送方的IP地址以及消息中携带的签名进行验证,只有验证成功,才认为消息是由该地址发送出来的、可安全接收的消息;否则认为该消息是不安全的。
CGA参数,包括委托方的公钥(以下称为第一公钥)和修饰符(Modifier)、子网前缀、冲突计数(Collision Count)等辅助参数;其中,第一数字签名,为委托方利用委托方的私钥(以下称为第一私钥)对验证信息生成的数字签名,例如:委托方将验证信息采用散列算法计算得到一个固定位数的消息摘要,然后利用第一私钥对该消息摘要进行加密,得到第一数字签名。
进一步的,验证信息还可以包括:代理的身份标识和扩展选项。其中代理的身份标识,为能够标识代理身份的相关信息,例如:代理的公钥或者代理的域名等;扩展选项,可以根据实际应用的需要,进行灵活的增加或者减少。
当然,验证信息并不限于以上信息,在实际的应用中,验证信息还可以包括:委托有效期限等其他信息。
在实际的应用中,代理通过接收委托方发送的、携带委托证书的消息,来获取委托证书。根据代理的角色不同,携带委托证书的消息也不同。例如,若代理为AR,携带委托证书的消息为RtSol(RouterSolicitation,路由器请求)消息;若代理为HA,携带委托证书的夏普系为BU(Binding Update,绑定更新)消息。当然,代理并不限于以上角色,当代理为其他角色时,携带委托证书的消息还可以是其他相应的消息。
实际应用中,委托方还能够向代理发送委托取消通知,当代理接收到来自委托方的委托取消通知时,代理就知道委托方取消了对其的委托。
110、当接收到的委托证书有效时,代理代表委托方发送邻居发现消息,该邻居发现消息包括该委托证书;
在本实施例中,代理需要对接收到的委托证书进行有效性验证,当确定接收到的委托证书有效时,代表委托方发送邻居发现消息。
若验证信息包括:CGA、以及CGA参数、则代理对委托证书的验证包括:
(1)根据委托证书携带的CGA参数,验证委托证书携带的CGA是否有效;例如:代理根据委托证书携带的CGA参数,计算CGA,比较代理计算得到的CGA与委托证书中携带的CGA,若二者一致,则委托证书携带的CGA是有效的;若二者不一致,则委托证书携带的CGA是无效的。
(2)根据委托证书携带的CGA参数中的第一公钥,验证委托证书携带的第一数字签名是否有效;例如:代理将验证信息采用与委托方相同的散列算法计算得到一个消息摘要;代理利用第一公钥对第一数字签名进行解密;将上述对第一数字签名解密后的结果,与上述代理得到的消息摘要进行比较,若二者相一致,则委托证书携带的第一数字签名是有效的;若二者不一致,则委托证书携带的第一数字签名是无效的。
若上述验证的结果均为有效的,则委托证书是有效的;若有任意一项验证的结果为无效的,则委托证书是无效的,代理将忽略此委托证书,例如:不处理该委托证书。
若验证信息包括:CGA、CGA参数、以及代理的身份标识,则代理对委托证书的验证包括:
(1)验证委托证书携带的代理的身份标识是否有效;例如:比较委托证书携带的代理的身份标识与自己的身份标识,若二者相一致,则委托证书携带的代理的身份标识是有效的;若二者不一致,则委托证书携带的代理的身份标识是无效的。本发明的实施例中,代理的身份标识可以是代理的公钥,也可以是代理的域名,还可以是其他能够标识代理身份的信息。
(2)根据委托证书携带的CGA参数,验证委托证书携带的CGA是否有效。例如:代理根据委托证书携带的CGA参数,计算CGA,比较代理计算得到的CGA与委托证书中携带的CGA,若二者一致,则委托证书携带的CGA是有效的;若二者不一致,则委托证书携带的CGA是无效的。
(3)根据委托证书携带的CGA参数中的委托方第一公钥,验证委托证书携带的第一数字签名是否有效。例如:代理将验证信息采用与委托方相同的散列算法计算得到一个消息摘要;代理利用第一公钥对第一数字签名进行解密;将上述对第一数字签名解密后的结果,与上述代理得到的消息摘要进行比较,若二者相一致,则确定委托证书携带的第一数字签名是有效的;若二者不一致,则确定委托证书携带的第一数字签名是无效的。
若上述验证的结果均为有效的,则委托证书是有效的;若有任意一项验证的结果是无效的,则委托证书是无效的,代理将忽略此委托证书,例如:不处理该委托证书。
在实际的应用中,若委托证书是有效的,代理还可以对该委托证书进行存储。当代理接收到来自委托方的委托取消通知时,可以删除已存储的委托证书。当然,若委托证书携带的验证信息包括委托有效期限,则代理在确定该委托证书过期时,也可以删除已存储的委托证书。
可选的,代理还可以在邻居发现消息中携带自己的数字签名(以下称为第二数字签名)。例如,代理生成一对公、私密钥对(以下称为第二公钥和第二私钥);代理将邻居发现消息,采用散列算法计算得到一个消息摘要,并利用第二私钥对该消息摘要进行加密,生成第二数字签名,并将其携带在邻居发现消息中,以此可以提供消息的完整性验证。
在实际的应用中,还存在多级代理的情况,此时,本发明实施例二提供的又一种保护代理邻居发现的方法流程如图2所示,为便于介绍,本实施例中仅介绍存在三级代理的情况,该方法包括:
200、第一级代理接收来自委托方的委托证书,此处为便于说明,将来自委托方的委托证书称为第一委托证书;
210、当该委托证书有效时,第一级代理向第二级代理提供新的委托证书,此处为便于说明,将该新的委托证书称为第二委托证书,其中,该第二委托证书包括第一委托证书;
220、第二级代理接收来自第一级代理的第二委托证书;
230、当该第二委托证书有效时,第二级代理向第三级代理提供第三委托证书;其中,该第三委托证书包括第二委托证书;
240、第三级代理接收来自第二级代理的第三委托证书;
250、当该第三委托证书有效时,第三代理代表委托方发送邻居发现消息,该邻居发现消息中包括第三委托证书。
在本实施例中,每一级代理都需要对接收到的委托证书进行有效性验证、存储、或者是删除等操作。中间代理,即本实施例中的第一级代理和第二级代理还需要生成新的委托证书;最后一级代理,即本实施例中的第三级代理,也可以在邻居发现消息中携带自己的数字签名。具体的各种操作与实施例一中的描述类似,此处不再赘述。
在本发明本实施例一和实施例二中,代理对来自接收的委托证书进行有效性验证,若攻击者伪造成委托方向代理发送委托证书,则由于攻击者提供的委托证书的信息不正确,代理对委托证书的验证将失败,代理将不会进行代理邻居发现。只有委托证书通过了有效性验证,代理才认为该委托方是有效的、安全的。采用本发明实施例一和实施例二提供的方案,能够有效的对代理邻居发现进行保护。
在实际的应用中,攻击者还可能伪造成代理,通过发送邻居发现消息,欺骗委托方的邻居节点。因此,本发明的实施例三提供了又一种保护代理邻居发现的方法,具体的流程如图3所示,该方法包括:
300、邻居节点接收来自代理的邻居发现消息,该邻居发现消息包括委托方的委托证书;
本实施例中,委托证书的内容与实施例一和实施例二中的类似,此处不再赘述。
310、当所述委托证书有效时,邻居节点通过该代理与该委托方进行通信;
本实施例中,邻居节点需要对邻居发现消息包括的委托证书进行有效性验证。当委托证书有效时,邻居节点通过该代理与该委托方进行通信。
若验证信息包括:CGA、以及CGA参数,则邻居节点对委托证书的验证包括:
(1)验证委托证书中携带的CGA是否为邻居发现消息通告的地址;例如:验证委托证书中携带的CGA是否为邻居发现消息通告的目标地址(Target Address)。
(2)根据委托证书携带的CGA参数,验证委托证书携带的CGA是否有效;例如:邻居节点根据委托证书携带的CGA参数,计算CGA,比较邻居节点计算得到的CGA与委托证书中携带的CGA,若二者一致,则确定委托证书携带的CGA是有效的;若二者不一致,则确定委托证书携带的CGA是无效的。
(3)根据委托证书携带的第一公钥,验证委托证书携带的第一数字签名是否有效;例如:邻居节点将验证信息采用与委托方相同的散列算法计算得到一个消息摘要;邻居节点利用第一公钥对第一数字签名进行解密;将上述对第一数字签名解密后的结果,与上述邻居节点得到的消息摘要进行比较,若二者相一致,则确定委托证书携带的第一数字签名是有效的;若二者不一致,则确定委托证书携带的第一数字签名是无效的。
通过了上述验证,则确定委托证书是有效的;若有任意一项验证没有通过,则认为委托证书是无效的,邻居节点将忽略此委托证书,例如:不处理该委托证书。
若验证信息包括:CGA、CGA参数、以及委托有效期限,则邻居节点对委托证书的验证包括:
(1)验证委托证书中携带的CGA是否为邻居发现消息所通告的地址;例如:验证委托证书中携带的CGA是否为邻居发现消息通告的目标地址(Target Address)。
(2)根据委托证书中携带的委托有效期限,验证接收到的委托证书是否处在委托有效期限内。
(3)根据委托证书携带的CGA参数,验证委托证书携带的CGA是否有效;例如:邻居节点根据委托证书携带的CGA参数,计算CGA,比较邻居节点计算得到的CGA与委托证书中携带的CGA,若二者一致,则确定委托证书携带的CGA是有效的;若二者不一致,则确定委托证书携带的CGA是无效的。
(4)根据委托证书携带的第一公钥,验证委托证书携带的第一数字签名是否有效;例如:邻居节点将验证信息采用与委托方相同的散列算法计算得到一个消息摘要;邻居节点利用第一公钥对第一数字签名进行解密;将上述对第一数字签名解密后的结果,与上述邻居节点得到的消息摘要进行比较,若二者相一致,则确定委托证书携带的第一数字签名是有效的;若二者不一致,则确定委托证书携带的第一数字签名是无效的。
通过了上述验证,则确定委托证书是有效的;若有任意一项验证没有通过,则认为委托证书是无效的,邻居节点将忽略此委托证书,例如:不处理该委托证书。
若通过了全部有效性验证,邻居节点确认该邻居发现消息是安全的、有效的;若有任意一项验证没有通过,则认为该邻居发现消息是不安全的、无效的。
此外,当邻居发现消息包括代理的第二数字签名时,则邻居节点还可以对第二数字签名进行验证,以确保接收到的邻居发现消息是完整的。例如:当委托证书中的验证信息包括代理的身份标识时,邻居节点可以根据该代理的身份标识获得第二公钥,邻居节点利用第二公钥对第二数字签名进行解密;邻居节点将邻居发现消息携带的信息,采用与代理相同的散列算法计算得到一个消息摘要;将上述对第二数字签名解密后的结果,与上述邻居节点得到的消息摘要进行比较,若二者相一致,则确定邻居发现消息是完整的;若二者不一致,则确定邻居发现消息是不完整的。
本实施例中,邻居节点对接收到的邻居发现消息进行验证,若攻击者伪造成代理向邻居节点发送邻居发现消息,则由于攻击者提供的委托证书的信息不正确,邻居节点对委托证书的验证将失败,邻居节点将认为该代理是不安全的,不会通过其与委托方进行通信。采用本发明实施例三提供的方案,能够有效的对代理邻居发现进行保护。
基于上述方法实施例,本发明实施例四提供了一种委托装置400,如图4所示,该装置包括:
证书模块402,用于生成委托证书;
委托模块404,用于向代理提供证书模块402生成的委托证书,委托代理进行邻居发现。
其中,如图5所示,证书模块402包括:
密钥单元406,用于生成第一公钥和第一私钥;
CGA单元408,用于根据密钥单元406生成的第一公钥,生成密码学生成地址CGA和CGA参数,将生成的CGA和CGA参数提供给委托证书单元412;
第一签名单元410,用于根据密钥单元406生成的第一私钥,生成第一数字签名,将生成的第一数字签名提供给委托证书单元412;
委托证书单元412,用于根据接收到的信息,生成委托证书。
进一步的,如图6、图7、图8所示,证书模块402还包括:
第一通信单元414,用于与代理进行通信,获取代理的身份标识,将代理的身份标识提供给委托证书单元412;和/或,
委托期限单元416,用于配置委托证书的委托有效期限,将委托有效期限提供给委托证书单元412。
进一步的,如图9所示,该委托装置400还可以包括:
取消委托模块418,用于向代理发送委托取消通知。
需要指出的是,图4至图9中未明确标示出代理,但是本发明实施例四提供的一种委托装置与代理之间的连接关系可以是直接相连,也可以是通过其他的设备相连。
本发明实施例五还提供了一种代理装置500,如图10所示,该装置包括:
第一验证模块502,用于验证接收到的委托证书,当所述委托证书是有效时,触发第一处理模块504;
第一处理模块504,用于发送邻居发现消息,该邻居发现消息包含通过第一验证模块验证的委托证书。
其中,如图11所示,第一验证模块502包括:
接收单元506,用于接收委托证书;
第一CGA验证单元508,用于验证接收单元506接收到的委托证书包含的CGA是否有效,将验证结果提供给第一处理单元512;
第一签名验证单元510,用于验证接收单元506接收到的委托证书包含的第一数字签名是否有效,将验证结果提供给第一处理单元512;;
第一处理单元512,用于处理接收到的验证结果,判断委托证书的有效性;若所述委托证书是有效的,触发所述第一处理模块504。
进一步的,如图12所示,第一验证模块502还包括:
身份验证单元514,用于验证接收单元506接收到的委托证书携带的代理的身份标识是否有效,将验证结果提供给第一处理单元512。
如图13所示,第一处理模块504还可以包括:
第二签名单元516,用于根据发送给邻居节点的消息中携带的信息,生成第二数字签名,以提供对该邻居发现消息的完整性验证;
发送单元518,用于发送邻居发现消息,该邻居发现消息包含第二签名单元516生成的代理的第二数字签名,以及经过第一验证模块502验证的、有效的委托证书。
进一步的,如图14所示,该代理装置500还包括:
存储模块520,用于当第一验证模块502通过对委托证书的验证,判断委托证书有效时,存储该委托证书。
第二处理模块522,用于当第一验证模块502通过对委托证书的验证,判断委托证书无效时,忽略该委托证书。
第三处理模块524,用于当接收到委托方发送的委托取消通知时,删除存储模块520中存储的委托证书;或者当委托证书的有效期限过期时,删除存储模块520中存储的委托证书。
例如,可以用“1”表示有效,用“0”表示无效。第一处理单元512接收到来自第一CGA验证单元508、第一签名验证单元510、以及身份验证单元514的验证结果后,将验证结果进行逻辑与运算,若运算的结果为“1”时,表明委托证书通过了上述所有验证,是有效的;若运算的结果为“0”时,表明委托证书至少有一项验证没有通过,是无效的。
当确定委托证书是有效时,第一处理单元512触发第一处理模块504和存储模块520;当确定委托证书是无效的,第一处理单元512触发第二处理模块522。
需要指出的是,图10至图14中未明确标示出委托方和邻居节点,但是本发明实施例五提供的代理装置与委托方以及邻居节点之间的连接关系可以是直接相连,也可以是通过其他的设备相连。
本发明实施例六还提供了一种邻居节点装置600,如图15所示,该装置包括:
接收模块602,用于接收邻居发现消息,该消息包含委托证书;
第二验证模块604,用于验证接收模块602接收到的委托证书的有效性。
其中,如图16所示,第二验证模块604包括:
地址验证单元606,用于验证委托证书包含的CGA与该消息通告的目标地址是否一致,将验证结果提供给第二处理单元612;
第二CGA验证单元608,用于验证委托证书包含的CGA是否有效,将验证结果提供给第二处理单元612;
第二签名验证单元610,用于验证委托证书包含的第一数字签名是否有效,将验证结果提供给第二处理单元612;
第二处理单元612,用于处理接收到的验证结果,判断该委托证书的有效性。
进一步的,如图17所示,第二验证模块604还包括:
有效期验证单元614,用于验证委托证书是否已经过期,将验证结果提供给第二处理单元612。
进一步的,如图18该邻居节点装置600还可以包括:
第三验证模块618,用于验证接收模块602接收到的消息的完整性。
具体的,如图19所示,第三验证模块618可以包括:
第二通信单元620,用于与代理进行通信,获取第二公钥;
完整性验证单元622,用于根据第二通信单元620获取的第二公钥,验证接收模块602接收到的消息包含的第二数字签名。
例如,上述地址验证单元606可以用“1”表示委托证书中携带的CGA与消息中所通告的地址是一致的,用“0”表示委托证书中携带的CGA与消息中所通告的地址是不一致的;第二CGA验证单元608、以及第二签名验证单元610可以用“1”表示有效,用“0”表示无效;有效期验证单元614可以用“1”表示委托证书的有效期限没有过,用“0”表示委托证书的有效期限已经过了。
第二处理单元612接收到地址验证单元606、第二CGA验证单元608、第二签名验证单元610、以及有效期验证单元614发送的验证结果后,将验证结果进行逻辑与运算,若运算的结果为“1”时,表明委托证书通过了上述所有验证,是有效的;若运算的结果为“0”时,表明委托证书至少有一项验证没有通过,是无效的。
需要指出的是,图15至图19中未明确标示出代理,但是本发明实施例六提供的邻居节点装置与代理之间的连接关系可以是直接相连,也可以是通过其他的设备相连。
本发明实施例七还提供了一种代理装置700,如图20所示,该装置包括:
第四验证模块702,用于验证接收到的委托证书,当该委托证书有效时,触发第四处理模块704;
第四处理模块704,用于向代理装置700的下一级代理装置提供新的委托证书,该新的委托证书包括经过第四验证模块702验证的委托证书。
需要指出的是,图20中未明确标示出代理装置700的上一级代理装置和下一级代理装置,但是本发明实施例七提供的代理装置与其上一级代理装置和下一级代理装置之间的连接关系可以是直接相连,也可以是通过其他的设备相连。
基于实施例一到实施例七,本发明实施例八提供了一种保护代理邻居发现的系统800,如图21所示,该系统包括:委托方设备802、至少一个代理设备804、以及邻居节点设备806,其中,
当该系统800包括一个代理设备804时,
委托方设备802,用于生成委托证书,向代理设备804提供委托证书,委托代理设备804进行邻居发现;
代理设备804,用于根据委托证书的内容对委托证书进行验证,将有效的委托证书携带在邻居发现消息中;
邻居节点设备806,用于接收来自代理设备804的邻居发现消息,对消息中携带的委托证书进行验证。
当该系统800包括至少二个代理设备804时,为便于介绍,图中仅示出了3个代理设备804。
委托方设备802,用于生成委托证书,向中间代理设备中的第一级代理设备804提供所述委托证书,委托第一级代理设备804进行邻居发现;
中间代理设备804,用于接收来自委托方或者自己的上一级代理设备的委托证书,当所述委托证书有效时,向自己的下一级代理设备提供新的委托证书,直至最后一级代理设备;所述向下一级代理设备提供的新的委托证书包括来自上一级代理设备的委托证书;
最后一级代理804,用于接收来自自己的上一级代理设备的委托证书,当委托证书有效时,将委托证书携带在邻居发现消息中;
邻居节点设备806,用于接收来自最后一级代理设备804的邻居发现消息,对邻居发现消息中包括的委托证书进行验证
其中,当委托方设备802需要取消对代理设备804的委托时,委托方设备802还用于,向代理设备804发送委托取消通知。
当代理设备804通过对委托证书的验证,确认委托证书有效时,代理设备804还用于,存储委托证书;当接收到来自委托方设备802的委托取消通知时,代理设备804还用于,删除已经存储的委托证书。
进一步的,最后一级代理设备804还用于,对发送的邻居发现消息进行数字签名,将该数字签名携带在该消息中。
当来自最后一级代理设备804的消息中携带有代理设备的数字签名时,邻居节点设备806还用于,对该数字签名进行验证。
本实施例中,委托方设备通过向代理设备提供委托证书,委托代理设备进行代理邻居发现,代理设备通过对委托证书进行有效性验证,避免了被虚假的委托方欺骗。并且邻居节点设备也会对接收到的委托证书以及代理的数字签名进行验证,从而还能避免被虚假的代理欺骗,保证了代理邻居发现的安全性和完整性。
下面就以几个具体的应用场景,对本发明实施例提供的技术方案进行介绍。
应用场景一
如图22所示,本应用场景中,主机(即委托方)委托代理进行代理邻居发现。
首先,主机生成委托证书,并将该委托证书发送给代理。委托证书的内容包括:主机利用CGA技术生成的密码学生成地址CGA、主机的CGA参数、代理的身份标识、委托有效期限、扩展选项、以及主机的数字签名。
其中,代理的身份标识为代理的公钥。本场景中,主机可以通过现有技术中的消息获取代理的公钥。例如:当代理为AR时,主机可以通过SeND协议的CPS/CPA(Certification Path Solicitation/Certification Path Advertisement,证书路径请求/证书路径通告)消息的交互,获取AR的公钥。当代理为HA时,主机可以通过家乡代理地址发现请求/家乡代理地址发现应答(Home Agent AddressDiscovery Request/Home Agent Address Discovery Reply)消息的交互,获取HA的公钥。
代理收到委托证书后,验证委托证书的有效性,如:验证委托证书中的代理的身份标识是否为自己、根据主机CGA参数验证主机CGA地址、根据主机CGA参数中的主机公钥验证主机的数字签名。
只有所有验证都通过,才认为委托证书是有效的,否则,忽略此委托证书。委托证书验证通过后,代理存储此委托证书,直到委托证书过期或者收到主机发送的委托取消通知时才删除存储的委托证书。
为了向接收者提供委托源验证,代理在代表主机发送的邻居发现消息中携带上述通过验证的、有效的主机委托证书;并且为了向接收者提供消息的完整性验证,代理对此消息进行数字签名。
邻居节点接收到邻居发现消息后,对委托源的有效性进行验证,如:验证委托方的CGA地址与邻居发现消息通告的目标地址是否一致、验证委托证书是否在有效期限内、验证委托方的CGA地址、根据委托方CGA参数中的公钥选项验证委托方数字签名。
此外,邻居节点还需要对邻居发现消息的完整性进行验证,如:根据委托证书中的代理者身份标识,查找代理的公钥,通过代理的公钥来验证代理的数字签名。由于本应用场景中,代理的身份标识就是代理的公钥,因此邻居节点可以直接使用代理的公钥来验证代理的数字签名。只有通过了所有验证,邻居节点才认为消息是有效的,否则,认为消息是无效的。
当然,代理的身份标识也可以为代理的域名。当代理为AR时,主机可以通过SeND协议的CPS/CPA(Certification Path Solicitation/Certification Path Advertisement,证书路径请求/证书路径通告)消息的交互,获取AR的域名。当代理为HA时,主机可以通过家乡代理地址发现请求/家乡代理地址发现应答(Home Agent AddressDiscovery Request/Home Agent Address Discovery Reply)消息的交互,获取HA的域名。
当邻居节点对对邻居发现消息的完整性进行验证时,邻居节点也可以通过SeND协议的CPS/CPA(Certification Path Solicitation/Certification Path Advertisement,证书路径请求/证书路径通告)消息的交互等方式,来获取代理的域名和代理的公钥,通过代理的公钥来验证代理的数字签名。
应用场景二
如图23所示,本应用场景中,主机(即委托方)委托代理A进行代理邻居发现,代理A委托代理B进行代理邻居发现。
与场景一类似的,主机生成委托证书H,并将委托证书H发送给代理A;代理A对委托证书H进行有效性验证,在确认委托证书H有效后,将其封装在自己的委托证书A中,并向下一级的代理B提供委托证书A;代理B对委托证书A进行有效性验证,在确认委托证书A有效后,在发送给邻居节点的邻居发现消息中携带委托证书A,并签名此消息。邻居节点通过验证代理B的数字签名、委托证书A以及委托证书H,来确认代理是否具有合法的代理能力。
通过以上的实施方式的描述,本领域的普通技术人员可以清楚地了解到本发明实施例可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件来实现。基于这样的理解,本发明实施例的技术方案可以以软件产品的形式体现出来,该计算机软件产品可以存储在存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备、或者服务器、或者其他网络设备执行本发明各个实施例或者实施例的某些部分所述的方法。
以上仅为本发明的较佳实施例,并非用于限定本发明的保护范围。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (16)
1.一种保护代理邻居发现的方法,其特征在于,所述方法包括:
代理接收来自委托方的委托证书;
所述委托证书包括验证信息和第一数字签名,所述验证信息包括:CGA,CGA参数,以及代理的身份标识;
验证所述代理的身份标识是否有效;
根据所述CGA参数,验证所述CGA是否有效,所述CGA参数包括所述第一公钥和辅助参数;
根据第一公钥,验证所述第一数字签名是否有效;
所述代理的身份标识、所述CGA或所述第一数字签名无效时,所述委托证书无效;以及
当所述委托证书有效时,代表所述委托方发送邻居发现消息,所述邻居发现消息包括所述委托证书。
2.如权利要求1所述的方法,其特征在于,所述代理接收来自委托方的委托证书,具体包括:所述代理接收来自委托方的消息,所述来自委托方的消息包括所述委托证书;其中,
当所述代理为接入路由器时,所述来自委托方的消息为路由器请求消息;当所述代理为家乡代理时,所述来自委托方的消息为绑定更新消息。
3.如权利要求1所述的方法,其特征在于,
所述根据所述CGA参数,验证所述CGA是否有效,具体为:
根据所述CGA参数,计算得到CGA,比较所述计算得到的CGA与所述委托证书包括的CGA是否一致;
所述根据第一公钥,验证所述第一数字签名是否有效,具体为:
将所述验证信息采用与委托方相同的算法计算得到一个消息摘要;利用第一公钥对所述第一数字签名进行解密;比较所述对第一数字签名解密后的结果与所述计算得到的消息摘要是否一致;
当所述验证信息包括代理的身份标识时,所述验证所述代理的身份标识是否有效,具体为:
比较所述委托证书包括的代理的身份标识与所述代理的身份标识是否一致。
4.如权利要求1至3中任一项所述的方法,其特征在于,当所述委托证书是有效时,所述邻居发现消息还包括第二数字签名;
其中,所述第二数字签名为所述代理将所述邻居发现消息生成消息摘要,然后利用第二私钥对所述邻居发现消息生成的消息摘要进行加密得到的。
5.一种保护代理邻居发现的方法,其特征在于,所述方法包括:
代理接收来自委托方的委托证书;
当所述来自委托方的委托证书有效时,向所述代理的下一级代理提供新的委托证书,所述向所述代理的下一级代理提供的新的委托证书包括所述来自委托方的委托证书;
当最后一级代理接收到的委托证书有效时,所述最后一级代理代表所述委托方发送邻居发现消息,所述邻居发现消息包括所述最后一级代理接收到的委托证书。
6.一种保护代理邻居发现的方法,其特征在于,所述方法包括:
接收来自代理的邻居发现消息,所述邻居发现消息包括委托方的委托证书;
所述委托证书包括验证信息和第一数字签名,所述验证信息包括:CGA,CGA参数,以及委托有效期限;
验证所述CGA是否为邻居发现消息所通告的地址;
根据所述委托有效期限,验证所述委托证书是否处在所述委托有效期限内;
根据所述CGA参数,验证所述CGA是否有效,所述CGA参数包括所述第一公钥和辅助参数;
根据第一公钥,验证所述第一数字签名是否有效;
所述委托有效期限、所述CGA或所述第一数字签名无效时,所述委托证书无效;以及
当所述委托证书有效时,通过所述代理与所述委托方进行通信。
7.如权利要求6所述的方法,其特征在于,
所述根据所述CGA参数,验证所述CGA是否有效,具体为:
根据所述CGA参数,计算得到CGA,比较所述计算得到的CGA与所述委托证书包括的CGA是否一致;
所述根据第一公钥,验证所述第一数字签名是否有效,具体为:
将所述验证信息通过与委托方相同的算法计算得到一个消息摘要;利用第一公钥对所述第一数字签名进行解密;比较所述对第一数字签名解密后的结果与所述计算得到的消息摘要是否一致。
8.如权利要求7所述的方法,其特征在于,所述邻居发现消息还包括第二数字签名,所述接收来自代理的邻居发现消息之后,还要根据所述第二数字签名验证所述邻居发现消息的完整性;
其中,所述根据所述第二数字签名验证所述邻居发现消息的完整性,具体包括:
当所述验证信息包括代理的身份标识时,根据所述代理的身份标识获取第二公钥;将所述邻居发现消息通过与代理相同的算法计算得到一个消息摘要;利用所述第二公钥对所述第二数字签名进行解密;比较所述对第二数字签名解密后的结果与所述计算得到的消息摘要是否一致。
9.一种委托装置,其特征在于,所述装置包括:
证书模块,用于生成委托证书;
委托模块,用于向代理提供所述证书模块生成的委托证书,委托所述代理进行邻居发现;
所述证书模块包括密钥单元、CGA单元、第一签名单元和委托证书单元,其中:
所述密钥单元,用于生成第一公钥和第一私钥;
所述CGA单元,用于根据所述密钥单元生成的所述第一公钥,生成密码学生成地址CGA和CGA参数,将所述CGA和所述CGA参数提供给所述委托证书单元;
所述第一签名单元,用于根据所述密钥单元生成的所述第一私钥,生成第一数字签名,将所述第一数字签名提供给所述委托证书单元;
所述委托证书单元,用于根据接收到的信息生成所述委托证书;
所述证书模块还包括:第一通信单元,用于与所述代理进行通信,获取所述代理的身份标识,将所述代理的身份标识提供给所述委托证书单元。
10.如权利要求9所述的装置,其特征在于,证书模块还包括:
委托期限单元,用于配置所述委托证书的委托有效期限,将所述委托有效期限提供给所述委托证书单元。
11.一种代理装置,其特征在于,所述装置包括:
第一验证模块,用于验证接收到的委托证书,当所述委托证书有效时,触发第一处理模块;
所述第一验证模块包括第一CGA验证单元、第一签名验证单元、身份验证单元和第一处理单元:
所述第一CGA验证单元用于验证所述委托证书包括的
CGA是否有效,并用于将验证结果提供给第一处理单元;
所述第一签名验证单元用于验证所述委托证书包括的第一数字签名是否有效,并用于将验证结果提供给所述第一处理单元;
所述身份验证单元用于验证所述委托证书包括的代理的身份标识是否有效,将验证结果提供给所述第一处理单元;
所述第一处理单元用于处理接收到的验证结果,并判断所述委托证书的有效性;若所述委托证书是有效的,触发所述第一处理模块;
所述第一处理模块,用于发送邻居发现消息,所述邻居发现消息包括所述委托证书。
12.如权利要求11所述的装置,其特征在于,所述第一处理模块包括:
第二签名单元,用于生成第二数字签名,以提供对所述邻居发现消息的完整性验证;
发送单元,用于发送邻居发现消息,所述邻居发现消息包括所述第二签名单元生成的第二数字签名,以及所述委托证书。
13.一种邻居节点装置,其特征在于,所述装置包括:
接收模块,用于接收邻居发现消息,所述邻居发现消息包括委托证书;
第二验证模块,用于验证所述委托证书的有效性;
所述第二验证模块包括地址验证单元、第二CGA验证单元、第二签名验证单元和第二处理单元;
所述地址验证单元用于验证所述委托证书包括的CGA与所述邻居发现消息通告的目标地址是否一致,并用于将验证结果提供给第二处理单元;
所述第二CGA验证单元用于验证所述委托证书包括的CGA是否有效,并用于将验证结果提供给所述第二处理单元;
所述第二签名验证单元用于验证所述委托证书包括的第一数字签名是否有效,并用于将验证结果提供给所述第二处理单元;
所述第二处理单元用于处理接收到的验证结果,并用于判断所述委托证书的有效性。
14.如权利要求13所述的装置,其特征在于,所述第二验证模块还包括:
有效期验证单元,用于验证委托证书是否已经过期,将验证结果提供给所述第二处理单元。
15.如权利要求13或14所述的装置,其特征在于,所述装置还包括:
第三验证模块,用于验证所述接收模块接收到的所述邻居发现消息的完整性;
其中,所述第三验证模块包括:
第二通信单元,用于与代理进行通信,获取第二公钥;
完整性验证单元,用于根据所述第二通信单元获取的所述第二公钥,验证所述邻居发现消息包括的第二数字签名。
16.一种保护代理邻居发现的系统,其特征在于,所述系统包括:委托方设备,至少一个代理设备,以及邻居节点设备;
当所述系统包括一个代理设备时,
所述委托方设备,用于生成委托证书,向代理设备提供所述委托证书,委托所述代理设备进行邻居发现;
所述代理设备,用于接收来自委托方设备的委托证书,当所述委托证书有效时,将所述委托证书携带在邻居发现消息中;
所述邻居节点设备,用于接收来自所述代理设备的邻居发现消息,对所述邻居发现消息中包括的委托证书进行验证;
当所述系统包括至少二个代理设备时,
所述委托方设备,用于生成委托证书,向第一级代理设备提供所述委托证书,委托所述第一级代理设备进行邻居发现;
中间代理设备,用于接收来自委托方或者所述中间代理设备的上一级代理设备的委托证书,当所述委托证书有效时,向所述中间代理设备的下一级代理设备提供新的委托证书,所述向下一级代理设备提供的新的委托证书包括来自上一级代理设备的委托证书;所述中间代理设备包括所述第一级代理设备;
最后一级代理,用于接收来自自己的上一级代理设备的委托证书,当所述委托证书有效时,将所述委托证书携带在邻居发现消息中;
所述邻居节点设备,用于接收来自所述最后一级代理设备的邻居发现消息,对所述邻居发现消息中包括的委托证书进行验证。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200810068502.2A CN101626366B (zh) | 2008-07-10 | 2008-07-10 | 保护代理邻居发现的方法、系统和相关装置 |
| PCT/CN2009/071054 WO2010003326A1 (zh) | 2008-07-10 | 2009-03-27 | 保护代理邻居发现的方法、系统和相关装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200810068502.2A CN101626366B (zh) | 2008-07-10 | 2008-07-10 | 保护代理邻居发现的方法、系统和相关装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101626366A CN101626366A (zh) | 2010-01-13 |
| CN101626366B true CN101626366B (zh) | 2012-11-07 |
Family
ID=41506678
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN200810068502.2A Expired - Fee Related CN101626366B (zh) | 2008-07-10 | 2008-07-10 | 保护代理邻居发现的方法、系统和相关装置 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN101626366B (zh) |
| WO (1) | WO2010003326A1 (zh) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9681261B2 (en) * | 2012-11-01 | 2017-06-13 | Lg Electronics Inc. | Method and apparatus of providing integrity protection for proximity-based service discovery with extended discovery range |
| CN106060787A (zh) * | 2016-05-16 | 2016-10-26 | 北京奇虎科技有限公司 | 一种信息发送的方法、装置及设备 |
| US10951411B2 (en) * | 2017-08-23 | 2021-03-16 | Semiconductor Components Industries, Llc | Methods and apparatus for a password-protected integrated circuit |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101009629A (zh) * | 2007-01-26 | 2007-08-01 | 成都迈普产业集团有限公司 | 虚拟专用网动态连接方法 |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20040240669A1 (en) * | 2002-02-19 | 2004-12-02 | James Kempf | Securing neighbor discovery using address based keys |
| KR100671334B1 (ko) * | 2004-12-17 | 2007-01-19 | 한국전자통신연구원 | Ip 기반의 무선 접속망을 가지는 이동통신 시스템과그의 패킷 데이터 전달 방법 |
| JP2007281721A (ja) * | 2006-04-04 | 2007-10-25 | Matsushita Electric Ind Co Ltd | 移動通信制御方法、移動通信システム及びルータ |
| KR100886433B1 (ko) * | 2006-08-18 | 2009-03-02 | 한국전자통신연구원 | 확장된 브릿지를 이용한 무선통신 시스템에서의 IPv6지원 방법 |
| KR100856918B1 (ko) * | 2006-11-02 | 2008-09-05 | 한국전자통신연구원 | IPv6 기반 네트워크상에서의 IP 주소 인증 방법 및IPv6 기반 네트워크 시스템 |
-
2008
- 2008-07-10 CN CN200810068502.2A patent/CN101626366B/zh not_active Expired - Fee Related
-
2009
- 2009-03-27 WO PCT/CN2009/071054 patent/WO2010003326A1/zh active Application Filing
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101009629A (zh) * | 2007-01-26 | 2007-08-01 | 成都迈普产业集团有限公司 | 虚拟专用网动态连接方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101626366A (zh) | 2010-01-13 |
| WO2010003326A1 (zh) | 2010-01-14 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US8098823B2 (en) | Multi-key cryptographically generated address | |
| KR100956482B1 (ko) | 알려지지 않은 두 통신 당사자 간의 신뢰성 있는 관계의 확립 방법, 그 관계 확립의 개시와 완성 방법, 통신 장치 및 컴퓨터 판독가능한 기록매체 | |
| Montenegro et al. | Crypto-based identifiers (CBIDs) Concepts and applications | |
| US20070113075A1 (en) | Secure route optimization for mobile network using multi-key crytographically generated addresses | |
| CN101150849B (zh) | 生成绑定管理密钥的方法、系统、移动节点及通信节点 | |
| EP2165506A2 (en) | Secure mobile ipv6 registration | |
| EP2259542B1 (en) | Method, apparatus and system for processing dynamic host configuration protocol message | |
| CN101861742B (zh) | 用于在移动通信网络中建立密码关系的方法和设备 | |
| CN101145915B (zh) | 一种可信路由器认证系统和方法 | |
| CN101637004B (zh) | 用于通信系统中的前缀可达性的方法 | |
| JP2008514077A (ja) | 往復経路確認の最適化 | |
| CN101626366B (zh) | 保护代理邻居发现的方法、系统和相关装置 | |
| CN101022418B (zh) | Hmip认证方法、设备及系统 | |
| CN1980231B (zh) | 一种在移动IPv6中更新防火墙的方法 | |
| Zapata | Key management and delayed verification for ad hoc networks | |
| Bagnulo et al. | Efficient security for IPv6 multihoming | |
| Modares et al. | Enhancing security in mobile IPv6 | |
| Cheneau et al. | Using SEND signature algorithm agility and multiple-key CGA to secure proxy neighbor discovery and anycast addressing | |
| Castelluccia et al. | Hindering eavesdropping via ipv6 opportunistic encryption | |
| Kempf et al. | Ip address authorization for secure address proxying using multi-key cgas and ring signatures | |
| CN100536471C (zh) | 一种家乡代理信令消息有效保护方法 | |
| JP2007166552A (ja) | 通信装置及び暗号通信方法 | |
| Alsa'deh et al. | CGA integration into IPsec/IKEv2 authentication | |
| Jara et al. | Secure mobility management scheme for 6lowpan id/locator split architecture | |
| Modares et al. | Protection of binding update message in Mobile IPv6 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20170821 Address after: 201, room 1, building A, No. 518053, front Bay Road, Qianhai, Shenzhen Shenzhen cooperation zone, Guangdong, China Patentee after: Shenzhen Zhitong World Technology Service Co. Ltd. Address before: 518129 Bantian HUAWEI headquarters office building, Longgang District, Guangdong, Shenzhen Patentee before: Huawei Technologies Co., Ltd. |
|
| EE01 | Entry into force of recordation of patent licensing contract | ||
| EE01 | Entry into force of recordation of patent licensing contract |
Application publication date: 20100113 Assignee: Shenzhen Vimicro Tech Co. Ltd. Assignor: Shenzhen Zhitong World Technology Service Co. Ltd. Contract record no.: 2017440020097 Denomination of invention: Method, system and relative device for protecting proxy neighbor discovery Granted publication date: 20121107 License type: Common License Record date: 20171211 |
|
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20121107 Termination date: 20190710 |