CN101637004A - 用于通信系统中的前缀可达性的方法 - Google Patents
用于通信系统中的前缀可达性的方法 Download PDFInfo
- Publication number
- CN101637004A CN101637004A CN200880008429A CN200880008429A CN101637004A CN 101637004 A CN101637004 A CN 101637004A CN 200880008429 A CN200880008429 A CN 200880008429A CN 200880008429 A CN200880008429 A CN 200880008429A CN 101637004 A CN101637004 A CN 101637004A
- Authority
- CN
- China
- Prior art keywords
- access device
- router
- couple
- end points
- node
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/061—Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/123—Applying verification of the received information received data contents, e.g. message integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/30—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/24—Key scheduling, i.e. generating round keys or sub-keys for block encryption
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
公开一种方法和一种通信系统以及一种用于实现要求权利的方法的通信节点,用于通过评估通信会话请求节点相对于通过请求节点与被请求节点之间的网络的提议通信路径的拓扑,来尝试增强合法性评估和阻止中间人或类似伪造位置攻击。当接收到该请求时,在秘密密钥交换之后或期间,启动PRD(前缀可达性检测),如果有密钥交换,其如果执行优选地包括ART(地址可达性文本)。通过向通信节点发送消息询问请求设备的位置真实性来执行PRD。通信节点确定请求节点在拓扑上是否位于通信节点之后,其中该通信节点可以是例如请求节点通过其接入网络的接入路由器,然后通信节点将结果报告到被请求的节点。然后被请求的节点可以就是否要允许通信做出决定。如果是这样的话,可以在通信会话进行中重复PRD一次或多次。
Description
对相关申请的交叉引用和优先权声明
本申请涉及2007年3月16日提交的美国临时专利申请序列号60/895,178并要求其申请日的权利,其通过引用结合于本文中。
技术领域
本发明总的来说针对数据通信中的安全性,更确切地来说,针对一种用于验证相关网络拓扑的方面以提供没有正在尝试对通信会话的伪造位置(false-location)(例如中间人)攻击的更高置信度的消息传递方案。
背景技术
通过多种类型的网络进行数据通信以及其它类型的通信,这使得一方在通信会话期间能够向一个或多个其它方传送例如数据、语音和流传送多媒体呈现。标准的电话网是例如通过交换机制所连接的一系列链路建立两个(或更多个)通信方之间的通信电路的交换网络。在此类型的网络中,监视通信电路中每个交换机和链路的状态以获知哪些涉及相应的通信会话是可能的。在缺少某一问题的情况下,常常为会话的持续时间创建电路,当会话终止时释放所涉及的多个链路和交换机。
在以相当不同方式操作的另一种类型的网络中,可以使用分组交换技术。图1是示出包括分组交换网络20的通信系统10的简化框图。通信系统10包括第一节点12和第二节点14。当然,常常有大量的此类节点,而这些仅仅用于说明的目的。这些节点可以是例如,个人计算机、移动电话或可以经由分组交换网络20彼此通信的类似设备。线路13和15表示节点用于发送和接收信息的一个或多个通信信道。这些信道可以是例如,电话线、专用电缆或无线电信道。分组交换网络20可以是因特网或类似网络。在图示中,网络常常表示为云,因为它实际是由无数交换机、路由器或通过其可路由分组的形成巨大网络的其它节点组成。
根据此联网方案,以数字形式表示信息,并将其分成称为分组的许多小信息承载单元。每个分组承载其目的地地址。分组通过组件的网络向其最终目的地发送,但是不是每个分组都将采取相同的路由。它们不一定按次序到达,并且因此还承载标识和序列信息,以便传送的数据可以按其最初的形式进行重新组装。分发查询表,以便每个负责节点能够将接收的分组向其目的地路由。
对于分组交换网络现存的一组规则或标准常常称为协议;因特网使用简称为因特网协议(IP-或IPv6,以指示例如因特网协议的版本6)的协议。网络协议管理如何组装并路由分组、如何校正错误以及各个网络组件应该如何彼此通信以及其它事项。
为保密通信包含一些措施,例如通过加密密钥的使用。当两个(或更多个)节点,例如图1所示的节点12和节点14,建立通信会话时,它们能够按消息的序列交换密钥并生成共享的秘密的加密密钥(Ks)。不拥有Ks的任何节点将不能解密端节点12和14之间的传输。管理此类过程的一个协议称为IKEv2(因特网密钥交换版本2),当然还发布了其它协议。通常结合密钥交换执行ART(地址可达性测试),以便每个端节点获得关于另一个端节点的拓扑位置的某种确信。
输入使用共享的秘密密钥提供了传输安全性的很好解决,但是它使得通信会话易于受到[[a]]一些伪造位置攻击(例如所谓的中间人攻击)。图2是示出此类攻击所引起的问题的简化框图。在此示例中,也许是某种类型的服务器的端节点24接收到客户端希望建立通信会话的通知。客户端声称是经由接入路由器23接入通信网络的端节点22。密钥交换将随即进行,从而可以在两个端节点之间往返地传送加密的信息。但是,端节点(服务器)24无法知道的是它实际上是否是正在与节点26进行密钥交换,节点26沿着端节点24与接入路由器23之间的路径将它自己插入。如果节点26使自己涉及密钥交换过程,则它将能够拦截并解密通信,选择性地向节点22和24传递它希望的任何信息,而节点22和24将不知道此情况正在发生。密钥交换本身以及ART通常将检测不到此类型的攻击。
发明内容
为了解决现有技术的上述缺点,本发明的主要目的在于提出一种方法和系统,用于在通信会话之前或期间对通信系统中端节点或对将它们耦合到网络的接入设备提供没有正在尝试伪造位置攻击的更高置信度。
因此,本领域中需要一种用于增强的网络安全性的方法,以解决例如所谓的中间人攻击的欺诈,并优选地能够认证主机,以及验证其存在于验证者节点与被验证节点之间的路径上,尤其是可以验证特定链路上存在主机的方法。本发明刚好提供这样一种解决方案。
一方面,本发明是一种用于在通信系统中的两个端点之间建立通信会话的方法。系统的端点可操作以在通信会话期间选择性地经由分组交换网络与彼此通信。但是,在建立通信会话之前,启动PRD(前缀可达性检测)协议。PRD优选地在检测到打开会话的请求时启动。该请求可以在第一端点被检测到,或在第一端点通过其接入网络的接入设备被检测到。一旦已启动PRD协议,第一接入设备向声称对请求通信会话的第二端点提供网络接入的第二接入点发送消息。该消息询问请求第二端点的位置。第二接入设备则确定第二端点是否在拓扑上位于第二接入设备之后,并通知第一接入设备确定的结果。在优选实施例中,端点本身或它们相应的接入设备最初执行包括ART(地址可达性测试)的密钥交换。PRD可以在密钥交换之后执行,或者或多或少与之并行地执行。已生成共享秘密密钥Ks的情况中,可以将它或使用Ks的散列算法(hash algorithm)的输出用于提供根据PRD协议交换的一些或所有消息的真实性。
在另一方面,本发明是一种具有第一端节点和第二端节点的通信系统。这些节点可操作以经由网络(例如分组交换网络,例如因特网)与彼此通信。第一端节点通过第一接入路由器接入网络,第二端节点通过第二接入路由器接入网络。根据本发明的此方面,第一端节点设置成接收与第二端节点建立通信会话的请求并启动PRD来确认第二端节点的位置。第一接入路由器设置成,在第一端节点启动PRD时,向第二接入路由器发送位置查询,接收指示第二端节点的位置的响应,以及根据响应中的指示通知第一端节点。还是根据此方面,第二接入路由器设置成从第一接入路由器接收位置查询,确定第二端节点相对于第一接入路由器和第二接入路由器之间的通信路径的拓扑位置,并向第一接入路由器发送指示第二端节点的合法性的响应。
前文非常宽泛地概述了本发明的特征和技术优势,以便本领域技术人员可以更好地理解下文对本发明的详细描述。下文将描述本发明的附加特征和优点,这些附加特征和优点构成本发明的权利要求的主题。本领域技术人员应该认识到他们可以容易地使用所公开的概念和特定实施例作为基础来修改或设计用于实现本发明的相同目的的其它结构。本领域技术人员还应该认识到此类等效构造未偏离本发明在其最广义形式下的精神和范围。
在阅读具体实施方式之前,阐述本专利文献中使用的某些词汇和短语的定义是有益的:术语“包括”和“包含”及其等效表示意味着无限制地包括;术语“或”是包括性的,意味着和/或;以及短语“与...关联”和“与之关联”及其派生语的表示可以意味着包括、包括在其中、与之互连、包含、包含在其中、连接到或与之连接、耦合到或与之耦合、可与之通信、与之协作、交织、并置、近似于、捆绑到或与之捆绑、具有、具有其属性、或诸如此类;以及术语“控制器”意味着控制至少一个操作的任何设备、系统或其部件,此类设备可以采用硬件、固件或软件或它们中至少两个的某种组合来实现。应该注意无论是在本地或远程,与任何特定控制器关联的功能均可以是集中式或分布式的。特别是,控制器可以包括一个或多个数据处理器、和关联的输入/输出设备和存储器,其执行一个或多个应用程序和/或操作系统程序。本专利文献中提供了某些词汇和短语的定义,本领域技术人员应该理解,在许多情况中(即使不是大多数情况),此类定义适用于此类定义的词汇和短语的先前以及将来的使用。
附图说明
为了更全面地理解本发明及其优点,现在结合附图参考下文描述,附图中相似的标号指代相似的对象,其中:
图1是示出包括分组交换网络的通信系统的简化框图;
图2是示出中间人伪造位置攻击所引起的问题的简化框图;
图3是示出根据本发明一个实施例设置用于执行PRD(前缀可达性检测)协议的通信系统的简化框图;
图4是示出根据本发明一个实施例的用于评估通信路径拓扑的方法的流程图;
图5是示出根据本发明的另一个实施例的用于评估通信路径拓扑的方法的流程图;
图6是示出根据本发明的另一个实施例的用于评估通信路径拓扑的方法的流程图;以及
图7是示出根据本发明的一个实施例的用于评估通信路径拓扑的方法中可使用的消息序列的消息流程图。
具体实施方式
下文讨论的图3至图6以及本专利文档中用于描述本发明原理的各种实施例仅通过说明方式给出,并且不应以任何方式视为限定本发明的范围。本领域技术人员应理解本发明原理可以在任何适合设置的通信系统中实施。
本发明针对一种方法以及一种用于实现该方法的系统,用于评估请求通信会话的节点与被请求的节点之间提议的通信路径的拓扑。评估拓扑,以尝试对请求节点合法地是其声称的实体而非尝试伪造位置类型的攻击的入侵主机进行确认或至少给予更大确信。根据评估的结果,可以(或可以不)允许继续该通信会话。
图3是示出根据本发明一个实施例设置用于执行PRD(前缀可达性检测)协议的通信系统100的简化框图。PRD协议(另外称为“位置认证”)可以在建立通信会话时执行,也可以在通信会话正在进行时重复一次或多次。在此实施例中,第一端点120和第二端点(本文中“端点”与“端节点”可互换地使用)设为经由分组交换网络200彼此通信。在此实施例中,分组交换网络200是因特网,通信会话是在IPv6(因特网版本6)下建立并保持的。在其它实施例中,分组交换网络可以是使用类似分组路由选择技术传达信息的任何网络。
在图3的实施例中,第一端点120和第二端点140分别通过接入路由器110和接入路由器130与分组交换网络200通信。这两个端点可以分别是服务器和客户端,或它们可以是对等设备;在任一种情况中,它们可以是固定的或是移动的。术语“端点”(或端节点)将被视为涵盖它们以及可操作来以类似方式经由分组交换网络通信的类似设备。每个接入路由器110和130设为联系DNS(域名系统)服务器以获取地址和路由选择信息。作为一个示例,在图3中,示出DNS服务器150与第一接入路由器110通信(但这不暗示它们直接连接或对于第一端点120只有一个DNS服务器可访问)。
在此实施例中,第一端点120设为接收与第二端节点140建立通信会话的请求,并且还设为启动PRD来确认第二端端点140的合法性。第一接入路由器110设为,在第一端点120启动PRD时,向第二接入路由器130发送位置认证询问。第二接入路由器130可操作以在接收到位置认证询问时做出关于第二端点140的拓扑位置的确定,即它是否确实位于第二接入路由器130之后。当优选地通过与第二端点140交换NDP(邻居发现协议)消息和响应做出了此确定时,向第一端点120发送通知。该通知包含第二端点是否是合法的或是否可能属于尝试中间人或其它类型的伪造位置攻击的指示。可以使用密钥交换期间生成的散列共享秘密密钥和公共密钥来进行消息的认证。
现在将解释根据本发明的方法。图4是示出根据本发明一个实施例的用于评估通信路径拓扑的方法400的流程图。此评估的目的在于对于没有正在尝试中间人或其它伪造位置攻击如果不完全确信,至少提供某种等级的确信。即,无需生成完整的通信路径拓扑。在此实施例中,还通过使用共享秘密密钥Ks来确认节点之间的消息的真实性。注意,当在本文中使用时,“合法性确定”将理解为表示兼评估位置和真实性。
起初,假定执行方法400所需的组件(例如上文参考图3描述的那些组件)是可用的和运转的。该过程则开始于第一端点接收到与第二端点建立通信会话的请求(步骤405)。该请求将指示与第二端点关联的前缀。第二端点可以是例如客户端,而第一端点可以是服务器;其中每个端点经由其相应的接入路由器与网络通信。但是,本发明并不局限于这些示范配置。例如这两个端点的角色可以是相反的,或它们可以是对等设备。换言之,除非特定实施例中明确记载,否则端点的确切性质并不重要。在任一种情况中,端点可以是固定的或移动的,并且可以是电话、计算机、个人数字助理(PDA)或任何数量的其它设备。通过相同的令牌,接入路由器功能可由设置成执行这些功能的任何接入设备来执行。然后执行密钥交换协议(步骤410),包括ART(地址可达性测试)。密钥交换可以根据IKEv2协议或HIP(主机身份协议)或某种其它密钥交换方案来进行。在密钥交换结束时(假定密钥交换成功),每个端节点生成(步骤415)共享秘密密钥Ks。
然后执行PRD协议(步骤420),以便确认声称的第二端点实际上在拓扑上位于第二接入路由器之后。这包括经由第二接入路由器向第二端点发送认证询问,并接收指示第二接入路由器是否已确定第二端点位于第二接入路由器之后的回复。优选地通过接收方对每个消息进行认证,并检查数字签名。
当接收到回复时,第一接入路由器向第一端点通知(步骤425)PRD的结果。如果结果指示第二端点实际位于第二接入路由器之后,则可以按请求继续进行通信会话。在一些实施例中,可以在通信会话期间的一个或多个点处重复PRD(步骤420)以确认最初的拓扑评估并确信它未被更改。以此方式,给予第一端点没有正在尝试伪造位置攻击的更高的确信等级。如果出于任何原因,无法提供此确信,例如如果确定声称的第二端点在拓扑上位于第二接入路由器之前,则可以拒绝所请求的通信会话,或可以尝试某种其它动作(步骤未示出)。一旦通信会话已经开始,如果在任何时间显示与第二端点相关的拓扑现在可疑,则可以终止正在进行的通信会话(步骤未示出)。
在另一个实施例中,接入路由器(或类似设备)设为自行处理通信会话建立。这可以称为代理模式。图5是示出根据本发明一个实施例的评估通信路径拓扑的方法500的流程图。即,图5示出以代理模式操作的一种方式。当然,接入设备在它们分别与其耦合以提供网络接入的端点之间的通信会话之前或期间检查路径拓扑。起初,假定执行根据本发明的方法所需的组件是可用的和运转的。还假定例如某种类型的消息的到达的事件触发了该过程的启动。
图5的方法则开始于步骤505,其中第一接入设备和第二接入设备根据密钥交换协议交换密钥。作为此步骤的一部分,每个设备生成与交换相关的共享秘密密钥。在密钥交换之后或与之并行地,第一接入设备向第二接入设备发送(步骤510)位置认证询问。注意,除非特定实施例中指定具体的格式,否则位置认证询问可以采用对于第二接入设备可识别且促使它(假设它能够)继续该过程的任何形式。在另一个实施例中(未示出),第二接入设备可以在一些情况中自行启动该过程,而无需从第一接入设备接收到位置认证询问,例如在检测到正在进行秘密密钥交换时。第二接入设备响应接收到位置认证询问,确定(步骤515)第二端点相对于第二接入设备和第一接入设备的拓扑位置。当做出此确定时,第二接入设备向第一接入设备发送(步骤520)回复,以向第一接入设备通知第二端点的相对拓扑位置。
注意,此通知无需提供有关第二端点的大量详情。相反,其目的是要指示第二端点是否相对于第一接入设备位于第二接入设备之后。在此意义上来说,“之后”意味着第二接入设备不在第二接入设备与第一接入设备之间的路径上。当第一接入设备从第二接入设备接收到回复时,第一接入设备接着对回复进行认证(步骤525)。该过程然后继续,一般为允许端点之间的数据通信。
注意图5示出的方法是从两个接入设备之一的角度来进行的。正如从本公开应该明白的,第一和第二接入设备可以在过程中颠倒角色,并可以分别向彼此发送位置认证询问。即,PRD协议可以沿着任一个或两个方向依次或大致同时地操作。当然,这种“两个方向的”PRD协议可以在本发明的大多数实施例中执行,而无论这些端点是对等端点还是客户端和服务器,或无论该方法是否以代理模式执行。此外,接入设备(或端点)中任一个或二者可以在建立的通信会话期间的任何时间启动该过程的重复。
图6是示出根据本发明的另一个实施例的用于评估通信路径拓扑的方法600的流程图。此评估先于建立通信会话进行。起初,假定执行该方法所需的网络组件已到位且是运转的。该过程则开始于步骤605,其中第一端点(例如服务器)接收到启动通信会话的请求。该请求声称经由第二接入路由器来自第二端点。自然,第一端点将希望确认该请求确实来自第二端点,而非来自例如参与中间人或其它伪造位置攻击的中间主机。
根据本发明的此实施例,该过程继续,其中第一端点启动ART(地址可达性测试)(步骤610),以便确定与(声称的)第二端点进行通信会话是否可能。如果ART成功,则进行密钥交换(步骤615)以协助测试声称的第二端点的合法性。一种此类密钥交换是例如IKEv2(因特网密钥交换版本2);这是公知的安全性协议,因此将不在这里进行任何详细描述。还可以在步骤615处使用HIP(主机身份协议)测试。
正如现在将解释的,接着执行根据本发明的PRD协议。但是,注意图6所示的序列并非排他性的;作为备选方式,可以与密钥交换或类似过程(步骤615)并行地或部分并行地执行根据本发明的PRD。在其它实施例中,PRD还可以或作为替代方式在稍后执行或在会话期间按一定间隔重复执行。
在PRD中,第一端点将某些安全性功能委托给第一接入路由器、第一端点正在通过其通信的接入路由器。然后在此实施例中,第一接入路由器启动PRD(步骤620)。可以采用多种方式来提示第一接入路由器执行此步骤,但是在本实施例中,第一接入路由器在检测到往来于第一端点的密钥交换消息时自动触发PRD(步骤未具体示出)。在另一个实施例中(也未示出),当第一接入路由器从第一端点接收到显式请求时启动PRD。当然,该显式请求必须包含要验证的节点的标识,例如IP地址。一般,如果采用显式消息的话,该显式消息将还包含第一端点和第二端点共享的已计算秘密密钥的散列。
第一接入路由器然后触发特殊DNSSL(DNSSEC(域名系统安全扩展)查询)(步骤625)。此DNSSL与标准的DNS查询相似,但是通过签名来对其予以保护,如DNSSEC协议套中定义的。在此实施例中,该特殊DNSSL由向DNS(或其它安全数据库)查询有关通告特定前缀的接入路由器的地址组成。DNSSL查询仅包含此前缀。作为响应,第一接入路由器检索(步骤630)第二接入路由器的地址及其对应的公共密钥。在本实施例中,这些地址是具有64位前缀的IPv6(因特网协议版本6)地址,并且公共密钥相应地是CGA(以加密方式生成的地址)密钥。在备选实施例中,还可以使用与本发明的方法相容的其它协议。
同样地,为第二端点提供网络接入的第二接入路由器发送DSSNL查询(步骤635),并检索(步骤640)第一接入路由器的地址和公共密钥。注意,在一些情况中,特定链路可以具有多个路由器;在此事件中,仅通告第二端点的前缀的接入路由器参与PRD过程。
在图6的实施例中,第一接入路由器然后发送(步骤645)往第二接入路由器的前缀请求测试初始化(PRTI)消息。此PRTI消息包含用于第一和第二端点的64位IP接口标识符(IID),并利用共享秘密密钥Ks的散列来对其进行认证以及利用第一接入路由器的私有密钥对其签名。
第二接入路由器接收到(步骤650)PRTI消息,然后对通过连结与第二端点关联(并由第二接入路由器通告)的前缀和第一端点的IID而获得的IP地址启动邻居可达性发现(NRD)。然后将应该例如通过使用SEND(安全邻居发现)协议签名并认证的此NRD消息发送(步骤655)到第二端点。第二端点接收(步骤660)NRD消息(假定它是合法的节点),则通过发送适合的响应来进行响应(步骤665)。在本实施例中,适合的响应应该是经过签名或认证的,并包含共享秘密密钥Ks的散列。
第二接入路由器然后从第二端点接收(步骤670)NRD消息,然后验证(步骤675)先前从第一接入路由器接收的PRTI消息的真实性,并使用第一接入路由器的公共密钥来检查其签名(步骤680)。如果PRTI消息是有效的,则第二接入路由器以前缀可达性测试(PRT)消息向第一接入路由器发送(步骤685)回复。利用共享秘密密钥Ks的散列对PRT消息进行认证,并利用第二接入路由器的私有密钥对其签名。
另一方面,如果第二接入路由器未从第二端点接收到适合的NRD消息,即如果第二端点未显示其存在于指定的链路上,则第二接入路由器在PRT消息中设置位(步骤未示出)以向第一接入路由器通知:声称的第二端点像是非法的节点。第一接入路由器接收(步骤690)PRT消息,并使用第二接入路由器的公共密钥来检查(步骤695)其签名。第一接入路由器然后生成适合的消息并将其发送(步骤700)到第一端点,以向其提供声称的第二端点是否合法的通知。
注意,图6中示出以及上文描述的步骤的序列仅仅是本发明的一个实施例,并且在其它实施例中,可以添加或删除一些附加的步骤。这些步骤本身可以按任何逻辑上相容的顺序来执行。还要注意,虽然特定PRD协议中包括的每个消息优选地包含Ks,或使用Ks导出的散列,以便接收方可以使用共享秘密密钥Ks来检测消息的真实性。但是,在一些实施例中,使用Ks来检查PRD中的少于全部的消息,并且可以完全不使用它。但是,这不是优选的,因为当一起使用时,Ks帮助确信消息的真实性和身份,而PRD协议帮助确信端点(或适用情况下的其它节点)处于它们正确或声称的拓扑位置。最后,要注意,当使用共享秘密密钥Ks时,为了方便起见,将其生成或使用简单地认为是所论述的特定PRD协议的一部分。
在移动通信上下文中,第二端点可以是移动节点。在此情况中,周期性地重复PRD过程是优选的,尤其是在已向第一端点发送了绑定更新消息之后。
在一个实施例中,第一端点是服务器(S),而第二端点是客户端(C)。图7是示出根据本发明的客户端-服务器实施例的拓扑评估的消息流程图。在图7中,客户端(C)使用接入路由器ARC,服务器(S)使用接入路由器ARS。在图7中,客户端(C)是合法的客户端,但是当然最初这对于服务器(S)是未知的。客户端(C)以消息701至704启动联系,客户端(C)和服务器(S)进行IKEv2安全密钥交换。这包括ART,以及正如上文提到的,在IKEv2(或其它适合的)密钥交换完成时,端点(图7中的客户端(C)和服务器(S))就能够生成共享秘密密钥Ks。同样地,此过程是公知的,所以这里将不作进一步详细描述。注意,在另一个实施例(未示出)中,ARS和ARC本身作为用于客户端(C)和服务器(S)的代理来进行安全密钥交换。
参考图7的实施例,消息705启动PRD过程。在消息705中,服务器(S)向接入路由器ARS发送NDP(邻居发现协议)消息,在本实施例中,该消息是路由器外来前缀检测(RFPD)消息。RFPD消息包含客户端(C)的64位网络前缀Pc(在IKEv2交换中获得的)和共享秘密密钥Ks的散列。接入路由器ARS然后执行DNSSL(图7中未示出)并获取接入路由器ARC的IP地址和公共密钥KPC。
注意,虽然图7中将消息705示出为在消息701至704之后,正如上文提到的,PRD还可以与IKEv2交换并行地执行或至少与之并行地启动。但是,在本优选实施例中,PRD在成功完成ART之后启动。
接入路由器ARS然后将消息706发送到ARC。消息706是PRTI,发送该消息用于请求有关客户端(C)的NRD。ARC可以通过使用DNSSL检索其公共密钥KPS以及使用KPS来检查PRTI消息中的签名来确认PRT消息是从ARS发送的。ARC然后将NDP消息,消息707,发送到客户端(C)。消息7实际上被发送到与其中通告客户端(C)前缀Pc的链路附连的所有主机。当接收到NDP消息707时,客户端(C)将其自己的NDP消息708发送到ARC。消息708包含共享秘密密钥Ks的散列。当ARC接收到NDP消息8时,它将PRT消息9发送到接入路由器ARS。PRT消息709向接入路由器ARS通知:客户端(C)是合法的。如果情况并非如此,则接入路由器ARC发送修改的PRT消息(未示出),其指示客户端(C)不合法。
一旦它知道客户端(C)是否合法,则接入路由器ARS发送NDP消息710,在本实施例中,NDP消息710是路由器外来前缀文本(RFPT)消息,并向服务器(S)通知PRD过程的结果。
以上文描述的方式,参考多种优选实施例,本发明提供一种评估通信路径拓扑以避免伪造位置类型的攻击(例如中间人攻击)的方法。如果可以确认每个端点位于其相应的接入设备之后,则它不是中间人或在接入设备的“旁边”。在PRD之前或同时,还可以生成共享秘密密钥KS并使用它来确认消息的真实性,以提供对合法性的某种附加确信。但是,应该注意,如权利要求中记载的本发明的每个实施例的特征不包括一定确保此方面成功的要求,或在一些情况中攻击者可能无法规避所提供的保护的要求。
虽然详细地描述了本发明,但是本领域技术人员应该理解,在不背离本发明在其最广义形式下的精神和范围的前提下,他们可以在其中进行多种更改、替代和变更。
Claims (23)
1.一种用于在通信系统中的两个端点之间建立通信会话的方法,所述端点可操作以经由分组交换网络与彼此通信,所述方法的特征在于以下步骤:
在第一接入设备接收建立所述通信会话的请求,所述第一接入设备为第一端点提供对所述网络的接入;
执行PRD(前缀可达性检测)协议,所述PRD协议包括:
从所述第一接入设备向第二接入设备发送消息,所述消息询问第二端点的位置真实性,所述第二接入设备为所述第二端点提供对所述网络的接入;
由所述第二接入设备确定所述第二端点在拓扑上是否位于所述第二接入设备之后;以及
向所述第一接入设备通知所述确定的结果。
2.如权利要求1所述的方法,其特征还在于在启动所述PRD的步骤之前执行安全密钥交换并生成共享秘密密钥Ks的步骤。
3.如权利要求2所述的方法,其特征还在于在所述第一和第二端点之间执行所述安全密钥交换。
4.如权利要求2所述的方法,其特征还在于在所述第一和第二接入设备之间执行所述安全密钥交换。
5.如权利要求2所述的方法,其中所述密钥交换是IKEv2(因特网密钥交换版本2)密钥交换或HIP(主机身份协议)密钥交换。
6.如权利要求2所述的方法,其中所述密钥交换的特征还在于执行ART(地址可达性测试)。
7.如权利要求2所述的方法,其中来自所述第一接入路由器的消息包含所述共享秘密密钥Ks的散列,以及所述方法的特征还在于在所述第二接入路由器中对来自所述第一接入路由器的消息进行认证的步骤。
8.如权利要求2所述的方法,其中所述第二接入路由器使用NRD(邻居发现请求)与所述第二端节点通信。
9.如权利要求8所述的方法,其特征还在于以下步骤:在所述第二接入路由器中接收包含所述共享秘密密钥Ks的散列的对所述NRD的响应,并使用Ks对所述响应进行认证。
10.如权利要求9所述的方法,其特征还在于以下步骤:在所述第一接入路由器中从所述第二接入路由器接收包含Ks的散列的通知消息,所述通知消息指示所述确定的结果,并使用Ks对所述通知消息进行认证。
11.如权利要求2所述的方法,其中使用Ks来确认所述PRD消息中的至少一些的真实性。
12.如权利要求1所述的方法,其特征还在于以下步骤:在所述第一与第二端点之间通信并重复权利要求1所述的步骤。
13.如权利要求1所述的方法,其特征还在于在无法确定所述第二端点在拓扑上位于所述第二接入设备之后的情况下终止所述通信会话的步骤。
14.如权利要求1所述的方法,其特征还在于以下步骤:
从所述第二接入设备到所述第一接入设备发送消息,所述消息询问所述第一端点的真实性;
由所述第一接入设备确定所述第一端点在拓扑上是否位于所述第一接入设备之后;以及
向所述第二接入设备通知所述确定的结果。
15.一种具有第一端节点(120)和第二端节点(140)的通信系统(100),所述第一端节点(120)和所述第二端节点(140)可操作以经由网络(200)与彼此通信,其中所述第一端节点(140)通过第一接入路由器(110)接入所述网络(200),并且所述第二端节点(140)通过第二接入路由器(130)接入所述网络(200),所述系统的特征在于:
所述第一端点(120)设置成启动PRD以确认所述第二端节点(140)的合法性;
所述第一接入路由器(110)设置成,在由所述第一端节点(120)启动所述PRD时,向所述第二接入路由器(130)发送位置真实性查询,接收指示所述第二端节点(140)的位置的响应,以及根据所述响应中的指示通知所述第一端节点(120);以及
所述第二接入路由器(130)设置成从所述第一接入路由器(110)接收所述位置真实性查询,确定所述第二端节点(140)相对于所述第一接入路由器(110)与所述第二接入路由器(130)之间的通信路径的拓扑位置,并向所述第一接入路由器(110)发送指示所述第二端节点(140)的位置的响应。
16.如权利要求15所述的通信系统(100),其中所述第一节点(120)还设置成接收与所述第二端节点(140)建立通信会话的请求。
17.如权利要求16所述的通信系统(100),其中所述第二接入路由器(130)还设置成与所述第二端设备(140)通信以确定所述第二设备(140)的拓扑位置。
18.如权利要求15所述的通信系统(100),其中所述第一端节点(120)和所述第二端节点(140)均设置成执行它们之间的安全密钥交换并生成共享秘密密钥作为结果,其中所述密钥交换包括ART。
19.一种接入设备(130),设置用于促进经由分组交换网络(200)的通信,其特征在于,所述接入设备(130)设置成:
从询问接入设备(110)接收有关端点(140)的位置认证询问;
如果可能的话,确定所述端点(140)相对于所述接入设备(130)与所述询问接入设备(110)的拓扑位置;以及
向所述询问接入设备(110)发送对所述位置认证询问的回复,所述回复指示所述端点是否在拓扑上位于所述接入端点(130)之后。
20.如权利要求19所述的接入设备(130),其特征还在于设置成在接收所述位置认证询问之前,参与安全密钥交换和ART。
21.如权利要求19所述的接入设备(130),其特征还在于设置成将NDP(邻居发现协议)消息发送到所述端点(140)并接收对所述NDP消息的响应。
22.如权利要求19所述的接入设备(130),其中所述接入设备(130)的特征还在于设置成在涉及所述端点(140)的正在进行的通信会话期间执行至少一次附加的拓扑位置确定。
23.如权利要求19所述的接入设备(130),其中所述接入设备(130)的特征还在于设置成发送与声称关联所述询问接入设备(110)的端点(120)相关的位置认证询问,并设置成接收回复,所述回复指示声称关联所述询问接入设备(110)的端点(120)在拓扑上是否位于所述询问接入设备(110)之后。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US89517807P | 2007-03-16 | 2007-03-16 | |
| US60/895,178 | 2007-03-16 | ||
| PCT/SE2008/050209 WO2008115126A2 (en) | 2007-03-16 | 2008-02-26 | Method for prefix reachability in a communication system |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101637004A true CN101637004A (zh) | 2010-01-27 |
| CN101637004B CN101637004B (zh) | 2015-04-01 |
Family
ID=39766615
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN200880008429.8A Expired - Fee Related CN101637004B (zh) | 2007-03-16 | 2008-02-26 | 用于通信系统中的前缀可达性的方法 |
Country Status (4)
| Country | Link |
|---|---|
| US (2) | US8863236B2 (zh) |
| EP (1) | EP2135426B1 (zh) |
| CN (1) | CN101637004B (zh) |
| WO (1) | WO2008115126A2 (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115242716A (zh) * | 2022-06-15 | 2022-10-25 | 中国电子科技集团公司第三十研究所 | 一种基于bgp前缀树的ip地址路由可达性识别方法 |
Families Citing this family (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20100241690A1 (en) * | 2009-03-20 | 2010-09-23 | Microsoft Corporation | Component and dependency discovery |
| US20120331551A1 (en) * | 2011-06-24 | 2012-12-27 | Koninklijke Kpn N.V. | Detecting Phishing Attempt from Packets Marked by Network Nodes |
| US9088415B2 (en) * | 2011-08-03 | 2015-07-21 | Cisco Technology, Inc. | Authentication of cache DNS server responses |
| KR101240552B1 (ko) * | 2011-09-26 | 2013-03-11 | 삼성에스디에스 주식회사 | 미디어 키 관리 및 상기 미디어 키를 이용한 피어-투-피어 메시지 송수신 시스템 및 방법 |
| US10432730B1 (en) | 2017-01-25 | 2019-10-01 | United States Of America As Represented By The Secretary Of The Air Force | Apparatus and method for bus protection |
| US10296477B2 (en) | 2017-03-30 | 2019-05-21 | United States of America as represented by the Secretary of the AirForce | Data bus logger |
| CN113034329B (zh) * | 2021-04-26 | 2023-06-02 | 上海同济城市规划设计研究院有限公司 | 用于含时刻表交通方式的区域交通可达性的评估方法 |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20060171331A1 (en) * | 2005-02-01 | 2006-08-03 | Stefano Previdi | System and methods for network path detection |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7483437B1 (en) * | 2003-11-20 | 2009-01-27 | Juniper Networks, Inc. | Method of communicating packet multimedia to restricted endpoints |
| BRPI0513181A (pt) * | 2004-07-09 | 2008-04-29 | Matsushita Electric Ind Co Ltd | método e aparelho de gerenciamento de rede |
| EP1739893A1 (en) * | 2005-06-30 | 2007-01-03 | Matsushita Electric Industrial Co., Ltd. | Optimized reverse tunnelling for packet switched mobile communication systems |
| WO2008046655A1 (en) * | 2006-10-20 | 2008-04-24 | Panasonic Corporation | Methods in mixed network- and host-based mobility management |
-
2008
- 2008-02-26 WO PCT/SE2008/050209 patent/WO2008115126A2/en active Application Filing
- 2008-02-26 US US12/531,659 patent/US8863236B2/en not_active Expired - Fee Related
- 2008-02-26 EP EP08712837.7A patent/EP2135426B1/en not_active Not-in-force
- 2008-02-26 CN CN200880008429.8A patent/CN101637004B/zh not_active Expired - Fee Related
-
2014
- 2014-09-04 US US14/477,333 patent/US9300681B2/en not_active Expired - Fee Related
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20060171331A1 (en) * | 2005-02-01 | 2006-08-03 | Stefano Previdi | System and methods for network path detection |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115242716A (zh) * | 2022-06-15 | 2022-10-25 | 中国电子科技集团公司第三十研究所 | 一种基于bgp前缀树的ip地址路由可达性识别方法 |
| CN115242716B (zh) * | 2022-06-15 | 2023-05-09 | 中国电子科技集团公司第三十研究所 | 一种基于bgp前缀树的ip地址路由可达性识别方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| US20100031044A1 (en) | 2010-02-04 |
| US20150047041A1 (en) | 2015-02-12 |
| US9300681B2 (en) | 2016-03-29 |
| EP2135426B1 (en) | 2017-10-04 |
| CN101637004B (zh) | 2015-04-01 |
| EP2135426A4 (en) | 2016-04-27 |
| US8863236B2 (en) | 2014-10-14 |
| WO2008115126A3 (en) | 2008-11-06 |
| WO2008115126A2 (en) | 2008-09-25 |
| EP2135426A2 (en) | 2009-12-23 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| KR101260188B1 (ko) | 피어투피어 네트워크에 대한 분산 해시 테이블에서의 보안 노드 식별자 할당 | |
| CN101965722B (zh) | 安全性关联的重新建立 | |
| CN101637004B (zh) | 用于通信系统中的前缀可达性的方法 | |
| Montenegro et al. | Crypto-based identifiers (CBIDs) Concepts and applications | |
| CN103701700B (zh) | 一种通信网络中的节点发现方法及系统 | |
| TW200307442A (en) | Peer-to-peer name resolution protocol (PNRP) security infrastructure and method | |
| CN101110762A (zh) | 一种Ad hoc网络安全路由方法 | |
| US20180115520A1 (en) | Dark virtual private networks and secure services | |
| CN101960814A (zh) | Ip地址委派 | |
| CN101471878B (zh) | 对等会话起始协议网络的安全路由方法、网络系统及设备 | |
| Cavalli et al. | Secure hosts auto-configuration in mobile ad hoc networks | |
| KR101227620B1 (ko) | 노드의 신분 위조를 방지하는 방법, 디바이스, 시스템, 클라이언트 노드, 피어 노드 및 수렴점 | |
| EP1914960A1 (en) | Method for transmission of DHCP messages | |
| Touceda et al. | Survey of attacks and defenses on P2PSIP communications | |
| Shikfa et al. | Bootstrapping security associations in opportunistic networks | |
| Al-Ani et al. | Ndpsec: neighbor discovery protocol security mechanism | |
| US20040049676A1 (en) | Methods and protocols for intrusion-tolerant management of collaborative network groups | |
| KR20080040256A (ko) | IPv6 기반 네트워크상에서의 IP 주소 인증 방법 및IPv6 기반 네트워크 시스템 | |
| Modares et al. | Enhancing security in mobile IPv6 | |
| WO2010003326A1 (zh) | 保护代理邻居发现的方法、系统和相关装置 | |
| Cheng et al. | Analysis and improvement of the Internet‐Draft IKEv3 protocol | |
| CN110401646A (zh) | IPv6安全邻居发现过渡环境中CGA参数探测方法及装置 | |
| US11399092B2 (en) | Method for preventing sip device from being attacked, calling device, and called device | |
| El Ksimi et al. | A new mechanism to secure IPv6 networks using symmetric cryptography | |
| US20070217376A1 (en) | Authentication of wireless access nodes |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20150401 Termination date: 20210226 |