CN101861712A - 基于移动因特网协议的服务器的安全方法 - Google Patents
基于移动因特网协议的服务器的安全方法 Download PDFInfo
- Publication number
- CN101861712A CN101861712A CN200880116655A CN200880116655A CN101861712A CN 101861712 A CN101861712 A CN 101861712A CN 200880116655 A CN200880116655 A CN 200880116655A CN 200880116655 A CN200880116655 A CN 200880116655A CN 101861712 A CN101861712 A CN 101861712A
- Authority
- CN
- China
- Prior art keywords
- server
- security
- mobile
- mobile node
- password
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0869—Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/061—Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
- H04L63/205—Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/047—Key management, e.g. using generic bootstrapping architecture [GBA] without using a trusted network node as an anchor
- H04W12/0471—Key exchange
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/068—Authentication using credential vaults, e.g. password manager applications or one time password [OTP] applications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0281—Proxies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
提供了一种在基于服务器的移动IP系统中的安全方法。具体地,在所述安全方法中,除了在移动节点和服务器之间或者在移动节点之间交换的控制消息之外,还安全地交换普通数据。具体地,提供了一种通过使用移动节点来安全地交换数据的方法,所述移动节点包括:mPAK执行模块,通过与服务器交换密钥信息来生成所需的密钥,同时执行相互验证处理并协商安全策略;以及安全模块,设置与对应节点协商的安全策略,并且当传送数据时,根据所设置的安全策略来向数据施加安全策略。
Description
技术领域
本发明涉及一种在基于服务器的因特网协议(IP)系统中的安全方法,并更具体地,涉及一种除了在移动节点和服务器之间或在移动节点之间交换的控制消息之外、还安全地交换普通数据的安全方法。
本发明得到MIC/IITA的IT R&D计划[2007-S-013-01,R&D on all IPv6based Fixed-Mobile convergence networking technology(关于所有基于IPv6的固定移动聚合联网技术的研发)]支持。
背景技术
用于保护在两个节点之间交换的数据的普通方法是IP安全协议(IPSEC)方法和传输层安全(TLS)方法。在由因特网工程任务组(IETF)提出的移动IP中,IPSEC方法对于控制消息的安全是必不可少的。IPSEC由用于在用户区执行密钥交换功能的因特网密钥交换(IKE)、用于保护内核区中的数据的验证报头(AH)、和封装安全有效载荷(ESP)构成。由于保护消息免于IP报头,所以不可能保护用于每一服务应用的数据或施加服务质量(QoS)。相反,在TLS方法中,可能保护用于每一应用的数据,但是,不可能对IP报头执行安全功能。
为了保护数据,两个节点必须共享相同的密钥信息。为了在两个节点之间共享相同的密钥,IPSEC使用IKE,并且TLS使用它自己的密钥交换功能。两个节点之间的相互验证处理对于执行密钥交换功能是必不可少的。证书(certificate)主要用于这个相互验证处理。也就是说,密钥对于数据的安全是必要的。需要该证书以便交换密钥。需要诸如公共密钥基础设施的安全基础设施,以便管理该证书。此外,由于密钥交换协议具有相当复杂的结构,所以难以将密钥交换协议施加到无线环境。
发明内容
技术问题
本发明提供了一种在基于服务器的移动IP系统中在没有证书的情况下通过使用简单协议、利用适合于无线环境的密钥交换方法来保护要在节点之间交换的各种消息的方法。
本发明还通过支持5元组(tulpe)查找处理而提供除了消息安全功能之外的过滤功能,以便保护消息。
技术解决方案
根据本发明的一方面,提供了一种在基于服务器的移动IP系统中的移动节点的安全方法,所述安全方法包括:通过使用通过与服务器执行基于移动密码的验证密钥交换(mPAK)处理而交换的第一安全组件,来生成与服务器的隧道;通过所生成的隧道来向服务器传送伪密码查询消息(PPQ);通过使用响应于PPQ而从服务器接收的伪密码确认消息(PPA)来执行与目的节点的mPAK处理,而交换第二安全组件;以及通过使用第二安全组件,来为了向目的节点传送和从目的节点接收的数据和控制消息的安全而生成隧道。
根据本发明的又一方面,提供了一种在基于服务器的移动IP系统中的移动节点的安全方法,所述安全方法包括:通过使用通过与多个移动节点执行mPAK处理而交换的安全组件,来生成隧道;通过所生成的隧道从至少一个移动节点接收PPQ;以及当接收到PPQ时,向移动节点传送当生成随机数时所生成的伪密码。
根据本发明的又一方面,提供了一种在基于服务器的移动IP系统中的移动节点装置,所述移动节点装置包括:mPAK执行模块,通过与服务器交换密钥信息来生成必要密钥,同时执行相互验证处理并协商安全策略;以及安全模块,设置与对应的节点协商的安全策略,并且当传送数据时,根据所设置的安全策略来向数据施加该安全策略。
有利效果
如上所述,在基于服务器的移动IP系统中,通过在没有使用诸如验证中心的基础设施的情况下使用简单协议来交换密钥,可能减少大量的操作和交换消息的处理的数目,并且可能在具有低功率和计算能力的移动节点中执行安全通信处理。
此外,可能通过利用5元组查找处理确定安全策略来为每一应用施加安全策略,并且可能通过施加分组过滤技术来执行简单防火墙的功能。
附图说明
图1图示了根据本发明实施例在基于服务器的移动IP系统中在节点和服务器之间以及在节点之间的安全过程。
图2详细地图示了图1的安全过程。
图3图示了根据本发明实施例的执行数据的安全处理的详细方法。
图4图示了根据本发明实施例的根据安全策略传送和接收的数据的格式。
图5图示了根据本发明实施例的对数据加密的过程。
图6图示了根据本发明实施例的对数据解密的过程。
具体实施方式
现在,将参考其中示出了本发明的示范实施例的附图,来更完全地描述本发明。在本发明的描述中,如果确定与本发明有关的通常使用的技术或结构的详细描述可能不必要地模糊本发明的主题,将省略所述详细描述。
在本发明的实施例中,使用基于移动密码的验证密钥交换(下文中,称为mPAK)处理。mPAK处理指明通过使用密码来交换密钥的处理。在mPAK处理中,可能在没有诸如公共密钥基础设施(PKI)的安全基础设施的情况下安全地交换密钥。也就是说,当接通移动节点时,或者当要使用移动服务时,在基于服务器的移动IP系统中,通过允许用户输入ID和密码来在移动节点和服务器之间交换密钥。这样,通过使用交换的密钥来保护消息。这里,交换的密钥一直可用,直到关断移动节点或者直到停止移动服务为止。
将参考附图来描述在基于服务器的移动IP系统中的用于保护控制消息的安全方法。首先,将描述在基于服务器的移动IP系统中通过使用mPAK处理来交换密钥的过程。
图1图示了根据本发明实施例的在基于服务器的移动IP系统中在移动节点和服务器之间以及在移动节点之间的安全过程。
参考图1,在基于服务器的移动IP系统中,移动节点10a和10b通过与服务器20执行mPAK处理来交换安全组件,并通过使用所交换的安全组件来生成安全隧道(操作101)。当生成安全隧道时,移动节点10a和10b以及服务器20根据消息安全方法来传送和接收控制消息同时共享信息(操作102)。
如上所述,在移动节点10a和10b以及服务器20之间执行安全过程之后,可执行在移动节点之间传递数据的过程。期望传递数据的本地节点10a向服务器20传送伪密码查询(PPQ)消息,以便设置与作为数据通信的目的节点的远程节点10b的安全隧道(操作103)。
服务器20根据本地节点10a的PPQ来生成伪密码,并将该伪密码传送到本地节点10a和远程节点10b(操作103和104)。
当从服务器20接收到伪密码时,通过使用所接收的伪密码来执行mPAK处理,而生成本地节点10a和远程节点10b之间的安全隧道(操作105)。当生成本地节点10a和远程节点10b之间的安全隧道时,通过这两个节点之间生成的隧道来交换数据和控制消息(操作106和107)。
图2详细地图示了图1的安全过程。将参考图2来详细描述前述的安全过程。
在接通移动节点10a和10b的每一个的情况下、或者在存在期望接收移动服务的用户的情况下,用户输入标识(ID)和密码(PW)。当用户输入ID和PW时,第一移动节点10a和第二移动节点10b分别通过与服务器20执行mPAK处理,来交换用于设置在第一移动节点10a和服务器20之间的安全隧道的信息、和用于设置在第二移动节点10b和服务器20之间的安全隧道的信息(操作201)。具体地,移动节点10a和10b通过与服务器20执行mPAK处理,来协商为了交换密钥、彼此相互验证、和设置安全隧道所需要的安全策略和组件。
关于要通过mPAK处理交换的密钥的信息成为该密钥的种子。可使用该密钥种子来生成各种密钥。然而,可通过各种已知的方法来生成各种密钥。
此外,可根据消息安全方法以各种方式来施加移动节点10a和10b以及服务器20通过协商而共享的信息。例如,在使用IP安全协议(IPSEC)的验证报头(AH)和封装安全有效载荷(ESP)的情况下,必须协商用于根据安全策略设置安全关联(association)信息。根据安全策略设置安全关联指示设置用于安全隧道的安全策略数据库(SPD)和安全关联数据库(SAD)。
这里,为了设置安全关联,安全参数索引(下文中,称为SPI)、源的地址和端口号、目的地的地址和端口号、关于是否使用AH和ESP的信息、关于模式是传输模式还是隧道模式的信息、加密/解密算法和密钥、验证算法和密钥是必需的。
当通过在移动节点10a和10b与服务器20之间执行mPAK处理来完成用于生成安全隧道的信息交换时,在移动节点10a和10b与服务器20之间设置安全隧道(操作202)。
当生成在移动节点10a和10b与服务器20之间的安全隧道时,通过安全隧道来传送要在移动节点10a和10b与服务器20之间交换的随后控制消息(操作203)。可根据控制消息的类型来单独地生成安全隧道。替换地,可以仅生成安全隧道,而不管控制消息的类型。
当要保护的信息存在于要通过所生成的安全隧道在移动节点10a和10b与服务器20之间交换的控制消息的IP报头中时,通过使用IPSEC的AH和ESP来执行安全功能。替换地,当要保护的信息不存在于IP报头中时,如果必要可施加各种类型的安全方法。例如,如果仅要交换的控制消息的验证是必需的,则可通过带有密钥的散列(Keyed Hash)方法来设置隧道。此外,如果必要,可设置隧道以便执行验证功能、加密功能和解密功能。然而,如果必要可确定要交换的控制消息的类型。这里,不另外描述控制消息的类型。
在生成安全隧道之后、第一移动节点10a期望与第二移动节点10b传递数据的情况下,第一移动节点10a通过所生成的安全隧道来向服务器20传送伪密码查询(PPQ)消息(操作204)。此时,PPQ消息包括要与其传递数据的目的节点的地址。这里,目的节点指示第二移动节点10b。
当服务器从第一移动节点10a接收到PPQ消息时,服务器生成使用的伪密码,代替作为mPAK处理的输入参数的密码(操作205)。具体地,服务器根据第一移动节点10a的请求来生成随机数,并通过使用所生成的随机数来生成伪密码。这里,生成随机数的方法可以是一般随机数生成方法。此外,所请求的伪密码包括伪ID和伪密码。
服务器20在生成伪密码之后、通过所生成的安全隧道向第一移动节点10a传送包括所生成的伪密码的伪密码确认消息(PPA)(操作206),并向作为目的节点的第二移动节点10b传送包括所生成的伪密码的PPA(操作207)。
此时,从服务器20向第一移动节点10a和第二移动节点10b传送的PPA包括关于所生成的伪ID和伪密码的信息。
第一移动节点10a和第二移动节点10b通过使用从服务器传送的伪密码来执行mPAK处理以用于安全通信(操作208)。这里,mPAK处理与通过使用在前述移动节点和服务器之间的密码而执行的mPAK处理相同。
在执行mPAK处理之后,在第一移动节点10a和第二移动节点10b之间生成用于安全地交换数据和控制消息的安全隧道(操作209)。
相应地,第一移动节点10a和第二移动节点10b通过安全隧道来交换控制消息(操作210),并且交换要在应用之间交换的数据(操作211)。
通过表1中所示的mPAK协议来执行mPAK处理。下文中,将详细描述表1。
关于表1中所示的符号的简要描述
-H[]:散列函数
-LA||RA||ID||PW:本地地址||远程地址||ID||密码(||指示级联)。
-PRF[]:伪随机数生成函数
-KH[]k:使用密钥K的带有密钥的散列
可根据消息安全方法来定义为每个节点交换的消息。例如,在消息安全方法是IPSEC的情况下,在消息MSGR、MSGL和MSGN中包括诸如各种可用安全算法、用于区分ESP/AH的类型、用于区分传输/隧道模式的模式等的项目,并协商。
表1
将详细描述根据mPAK协议交换密钥的过程。
最初期望交换密钥的本地节点选择随机数x,并通过使用所选择的随机数来计算X。此时,随机数x用于生成密钥作为秘密信息。
接收信息的远程节点通过使用所接收的ID来搜索密码。假设,本地节点通过先前的过程而预先知道关于ID和密码的信息。远程节点选择随机数y,进行计算,并使用所计算的信息来计算用于生成密钥的种子Kseed。计算用于将带有密钥的散列施加到消息MSGR的密钥KA,并且使用所计算的信息来计算AUTHR。这里,消息MSGR根据安全方法而可包括各类信息。
如果所施加的安全方法是IPSEC,则MSGR包括如下的信息。
MSGR=[cipher_alg_num,cipher_alg_list,mac_alg_num,mac_alg_list,类型,模式,proto,dhGroup,SPI,local_addr_v4,local_addr_v6]
MSGR包括远程节点可支持的各种安全算法的列表。这里,cipher_alg_num指示可用加密算法的数目,cipher_alg_list指示可用加密算法的列表,mac_alg_num指示可用验证算法的数目,以及mac_alg_list指示可用验证算法的列表。MSGR包括关于项目的信息,诸如用于区分ESP/AH的类型、用于区分传输/隧道模式的模式、用于指示协议的proto、用于指示Diffie-Hallman组的dhGroup、用于区分SA的SPI等。此外,local_addr_v4和local_addr_v6分别指示远程节点的IPv4地址和IPv6地址。
此外,可以施加其中MSGR包括如下信息的安全方法。
MSGR=[cipher_alg_num,cipher_alg_list,mac_alg_num,mac_alg_list,local_addr_v4,local_addr_v6]
从远程节点接收消息的本地节点通过使用秘密信息x进行计算,计算密钥种子Kseed和用于验证的密钥KA,并核实所接收的AUTHR。如果核实成功,则生成消息MSGL,并通过使用验证密钥KA来计算AUTHL。
这里,可根据安全方法来不同地施加所生成的消息MSGL。
例如,在安全方法是IPSEC的情况下,消息MSGL表示如下。
MSGL=[cipher_alg,mac_alg,类型,模式,SPI]
具有高优先级的算法通过比较从接收自远程节点的MSGR获得的安全算法的列表和MSGR能够支持的算法的列表来确定,并将其传送到远程节点。
此外,根据另一安全方法,MSGL可包括如下的信息。
MSGL=[cipher_alg_num,cipher_alg_list,mac_alg_num,mac_alg_list,sp_num,sp_info[动作,proto,dport,sport,cipher_alg,mac_alg]]
此时,消息MSGL包括关于各种可用安全算法的信息和关于安全策略的信息。这里,cipher_alg_num、cipher_alg_lit、mac_alg_num和mac_alg_list的含义与MSGR中的含义相同。这里,sp_num指示安全策略的数目。安全策略包括如下项目,诸如用于指示添加/删除的动作、用于指示协议的proto、用于指示目的端口数目的dport、用于指示源端口数目的sport、用于指示加密算法的cipher_alg、用于指示验证算法的mac_alg等。通过比较远程节点可支持的算法和本地节点可支持的算法,根据两个节点都可支持的安全算法之中的优先级,来确定加密算法和验证算法。
远程节点核实所接收的AUTHL。当核实成功时,通过消息MSGN向本地节点传送关于核实是否成功的信息。
接下来,在安全方法是IPSEC的情况中,消息MSGN表示如下。
MSGN=[结果]
此外,在使用另一安全方法的情况中,消息MSGN可包括如下信息。
MSGN=[sp_num,sp_info[动作,proto,dport,sport,cipher_alg,mac_alg]]。
这里,每个字段的含义与MSGL的含义相同。
根据在安全模块中的施加到消息的安全方法,消息MSGR、MSGL和MSGN可包括各类信息。
在执行表1所示的过程之后,两个节点可共享密钥种子Kseed,并通过使用密钥种子来生成各类密钥。由于使用密钥种子来生成各类密钥的方法是已知的,所以在这个说明书中不描述所述方法。
图3图示了根据本发明实施例的执行数据的安全的详细方法。
每个节点通过mPAK协议30a来共享密钥,以便通过两个节点之间的安全隧道来传送数据和控制消息,并且每个节点包括安全模块30c,其将安全策略施加到所传送和接收的数据。
在图3中,mPAK协议30a指示用于执行密钥交换的协议,并且App(3b)指示各种类型的应用。
如图3中所示,实际上向数据施加安全策略的安全模块30c可单独工作。替换地,安全模块30c可包括在第2层网络装置驱动器中。向数据施加安全策略的安全模块30c可通过5元组查找处理确定是否接受所接收的数据。这个数据过滤功能与简单防火墙功能相同。
为了根据安全策略在两个节点之间传送和接收数据以及控制消息,通过使用输入密码执行mPAK 30a来交换密钥信息,并且与安全策略相关的信息被传送到安全模块30c。
传送到安全模块30c的信息可包括关于加密/解密和验证算法、密钥、用于防止重放攻击的序列号、信息生成时间、使用期限等的信息。用于搜索这个信息的索引包括目的地的地址和端口号、源的地址和端口号、和协议号。可从先前报告的方法中选择在安全模块30c中执行5元组查找处理的方法。在这个说明书中不详细描述执行5元组查找处理的方法。
在通过执行mPAK 301生成的安全隧道而在存在于两个节点中的应用之间交换数据的情况下,所交换的数据在通过TCP/UDP层302和IP层303之后通过安全模块302,并且向对应的数据施加从mPAK 30a接收的安全策略。通过公共网络向目的节点传送安全策略所施加到的数据304。
当接收到通过公共网络传送的数据时,目的节点按照传送所述数据的节点中的处理的逆顺序来处理所述数据。
图4图示了根据本发明实施例的基于安全策略传送和接收的数据的格式。
具体地,版本401指示版本,以及长度402指示从序列号403到填充长度408的长度。序列号403指示用于防止重放攻击的序列号(8个字节),并且初始化向量(IV)404指示用于块加密算法的IV。消息405指示实际上传送的数据,MAC 406指示通过施加带有密钥的散列而获得的结果,填充407指示块加密算法所需要的填充处理,以及填充长度408指示填充长度。诸如版本401到消息405的字段通过使用带有密钥的散列409来执行验证处理,并且将数据加密处理410施加到诸如消息405到填充长度408的字段。所使用的算法可使用先前报告的各种算法。
图5图示了根据本发明实施例的对数据加密的过程。
首先,执行5元组查找处理(操作S501),除了作为5元组查找处理的结果的信息(诸如,版本、长度、序列号、和IV)之外,搜索实际上保护数据所需要的密钥信息和算法信息(操作S502)。
通过使用带有密钥的散列来生成验证信息(MAC)(操作S503),并且在生成MAC之后执行用于对数据进行加密的填充(操作S504)。执行数据的加密(操作S505),并传送所加密的数据(操作S506)。
图6图示了根据本发明实施例的对数据解密的过程。
当接收到数据时,执行5元组查找处理,并基于5元组查找结果确定是否接收数据(操作602)。当拒绝数据的接收时,在返回错误消息之后终止当前处理,并且当确定数据的接收时,核实版本(操作603)。当作为版本核实的结果该版本有效时,核实序列号(操作604)。当序列号有效时,检查用于对数据进行解密的填充(操作605)。当填充有效时,对数据进行解密(操作606)。替换地,当版本、序列号和填充无效时,在返回错误消息之后终止当前处理。
在对数据解密之后,通过检查MAC来执行验证处理(操作S607)。当验证处理成功时,在返回解密的数据之后终止当前处理。替换地,当验证处理不成功时,在返回错误消息之后终止当前处理。
尽管已经结合本发明的示范实施例而具体示出和描述了本发明,但是本领域的技术人员将理解,可在其中进行形式和细节上的各种改变,而不脱离由所附权利要求限定的本发明的精神和范围。
Claims (20)
1.一种在基于服务器的移动IP系统中的移动节点的安全方法,所述安全方法包括:
通过使用通过与服务器执行基于移动密码的验证密钥交换(mPAK)处理而交换的第一安全组件,来生成与服务器的安全隧道;
通过所生成的安全隧道来向服务器传送伪密码查询消息(PPQ);
通过使用响应于PPQ从服务器接收的伪密码确认消息(PPA)来执行与目的节点的mPAK处理,而交换该第二安全组件;以及
通过使用该第二安全组件,来为了向目的节点传送和/或从目的节点接收的数据和控制消息的安全而生成安全隧道。
2.如权利要求1所述的安全方法,其中所述与服务器的mPAK处理是通过输入标识(ID)和密码来执行的。
3.如权利要求1所述的安全方法,其中所述第一和第二安全组件包括为了交换密钥、彼此相互验证和设置安全隧道所需要的安全策略。
4.如权利要求1所述的安全方法,其中所述生成与服务器的隧道的步骤包括:
通过使用通过与服务器执行mPAK处理而交换的第一安全组件,来建立安全策略;以及
根据所建立的安全策略来生成与服务器的隧道。
5.如权利要求1所述的安全方法,其中所述生成与移动节点的隧道的步骤包括:
通过使用通过与服务器执行mPAK处理而交换的第二安全组件,来建立安全策略;以及
根据所建立的安全策略来生成与移动节点的隧道。
6.如权利要求4或5所述的安全方法,其中所述建立安全策略的步骤包括设置用于隧道的安全策略数据库和设置安全关联数据库。
7.如权利要求6所述的安全方法,其中所建立的安全策略使用5元组查找处理。
8.如权利要求7所述的安全方法,其中通过使用源的地址和端口号、目的地的地址和端口号、以及协议号作为索引,来搜索密钥信息、算法信息、序列号、使用期限和生成时间作为查找处理的结果。
9.如权利要求1所述的安全方法,其中要传送到服务器的PPQ还包括要与其传递数据的目的节点的地址。
10.如权利要求1所述的安全方法,其中所述建立与服务器的隧道的步骤包括:
通过使用输入的ID和密码来与服务器交换密钥信息同时执行相互验证处理,并协商安全策略;
通过使用所交换的密钥信息来生成必要密钥;以及
通过使用所交换的密钥信息和所协商的安全策略,来生成与服务器的隧道。
11.如权利要求1所述的安全方法,其中该PPA包括伪ID和伪密码。
12.一种在基于服务器的移动IP系统中的移动节点的安全方法,所述安全方法包括:
通过使用通过与多个移动节点执行基于移动密码的验证密钥交换(mPAK)处理而交换的安全组件,来生成隧道;
通过所生成的隧道从至少一个移动节点接收伪密码查询消息(PPQ);以及
当收到PPQ时,向移动节点传送当生成随机数时生成的伪密码。
13.如权利要求12所述的安全方法,其中与移动节点的mPAK处理是通过输入ID和密码来执行的。
14.如权利要求12所述的安全方法,其中该PPQ包括移动节点期望与其通信的目的节点的地址。
15.如权利要求14所述的安全方法,还包括将所生成的伪密码传送到目的节点的地址。
16.如权利要求12所述的安全方法,其中所生成的伪密码包括伪ID。
17.一种在基于服务器的移动IP系统中的移动节点装置,所述移动节点装置包括:
基于移动密码的验证密钥交换(mPAK)执行模块,通过与服务器交换密钥信息来生成所需的密钥,同时执行相互验证处理,并协商安全策略;以及
安全模块,设置与对应节点协商的安全策略,并且当传送数据时,根据所设置的安全策略来向数据施加安全策略。
18.如权利要求17所述的移动节点装置,其中所述安全模块包括在第2层网络装置驱动器中。
19.如权利要求17所述的移动节点装置,其中所述安全模块通过向所接收的数据施加5元组查找处理来过滤所接收的数据。
20.如权利要求17所述的移动节点装置,其中所述安全模块包括安全策略数据库和安全关联数据库。
Applications Claiming Priority (5)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020070094721A KR100934223B1 (ko) | 2006-12-01 | 2007-09-18 | 서버 기반 이동 인터넷 프로토콜 버전 6 시스템에서의 보안방법 |
| KR10-2007-0094721 | 2007-09-18 | ||
| KR1020080027271A KR100948604B1 (ko) | 2008-03-25 | 2008-03-25 | 서버 기반 이동 인터넷 프로토콜 시스템에 있어서 보안방법 |
| KR10-2008-0027271 | 2008-03-25 | ||
| PCT/KR2008/001685 WO2009038260A1 (en) | 2007-09-18 | 2008-03-26 | Security method of mobile internet protocol based server |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN101861712A true CN101861712A (zh) | 2010-10-13 |
Family
ID=40468053
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN200880116655A Pending CN101861712A (zh) | 2007-09-18 | 2008-03-26 | 基于移动因特网协议的服务器的安全方法 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US8925048B2 (zh) |
| JP (1) | JP2010539839A (zh) |
| KR (1) | KR100948604B1 (zh) |
| CN (1) | CN101861712A (zh) |
| WO (1) | WO2009038260A1 (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107087312A (zh) * | 2017-05-23 | 2017-08-22 | 迈普通信技术股份有限公司 | 全连通网络建立方法及装置 |
Families Citing this family (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101997679A (zh) | 2009-08-21 | 2011-03-30 | 华为终端有限公司 | 加密信息协商方法、设备及网络系统 |
| DE102010013202A1 (de) * | 2010-03-29 | 2011-09-29 | Giesecke & Devrient Gmbh | Verfahren zum sicheren Übertragen einer Anwendung von einem Server in eine Lesegeräteinheit |
| KR101293374B1 (ko) * | 2012-06-25 | 2013-08-05 | 에스케이씨앤씨 주식회사 | 모바일 환경에서 안전한 관리 권한 획득 방법 및 이를 적용한 시스템 |
| CN104580483A (zh) * | 2015-01-19 | 2015-04-29 | 浪潮电子信息产业股份有限公司 | 一种基于tpm2.0芯片的可信移动模块实现方法 |
| US10129131B2 (en) | 2015-06-30 | 2018-11-13 | Dell Products, Lp | System and method for device optimization in a network of devices with embedded electronics |
| US10601912B2 (en) | 2015-06-30 | 2020-03-24 | Dell Products, L.P. | System and method for device policy exchange in a network of devices with embedded electronics |
| CN107566115B (zh) | 2016-07-01 | 2022-01-14 | 华为技术有限公司 | 密钥配置及安全策略确定方法、装置 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20040030659A1 (en) * | 2000-05-25 | 2004-02-12 | Gueh Wilson How Kiap | Transaction system and method |
| US20070058632A1 (en) * | 2005-09-12 | 2007-03-15 | Jonathan Back | Packet flow bifurcation and analysis |
| US20070133803A1 (en) * | 2000-02-04 | 2007-06-14 | Makoto Saito | Method, apparatus and program for establishing encrypted communication channel between apparatuses |
| US20070186100A1 (en) * | 2006-02-03 | 2007-08-09 | Fujitsu Limited | Packet communication system |
Family Cites Families (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20010027902A (ko) | 1999-09-16 | 2001-04-06 | 박진우 | 사용자가 기억할 수 있는 패스워드를 이용한 안전한 사용자 인증과 키 일치 방법 |
| US7076656B2 (en) | 2001-04-05 | 2006-07-11 | Lucent Technologies Inc. | Methods and apparatus for providing efficient password-authenticated key exchange |
| DE10222757B4 (de) * | 2002-05-23 | 2004-05-06 | Daimlerchrysler Ag | Zylinderkurbelgehäuse einer Brennkraftmaschine |
| KR20040009002A (ko) * | 2002-07-20 | 2004-01-31 | 삼성전자주식회사 | 광정보 저장매체 및 그 기록 방법 |
| KR100545628B1 (ko) | 2002-12-09 | 2006-01-24 | 한국전자통신연구원 | 보안연계 협상과 키교환 시스템 및 방법 |
| JP4029396B2 (ja) | 2003-02-25 | 2008-01-09 | 日本電信電話株式会社 | 通信制御システムと通信制御方法およびプログラム |
| KR100505139B1 (ko) | 2003-04-16 | 2005-08-04 | 아이피원(주) | 동적 이동 ip 환경에서 이동노드의 이동성 및 데이터전송을 보장하는 방법 |
| KR100803590B1 (ko) * | 2003-10-31 | 2008-02-19 | 삼성전자주식회사 | 이종망간에 데이터 통신이 가능한 터널 서비스를 제공하는시스템 |
| US7549048B2 (en) | 2004-03-19 | 2009-06-16 | Microsoft Corporation | Efficient and secure authentication of computing systems |
| ATE357805T1 (de) * | 2004-09-30 | 2007-04-15 | Cit Alcatel | Mobile authentifizierung für den netzwerkzugang |
| US7764795B2 (en) | 2004-10-20 | 2010-07-27 | Oracle International Corporation | Key-exchange protocol using a password-derived prime |
| WO2007000772A1 (en) * | 2005-06-28 | 2007-01-04 | Hewlett - Packard Development Company L.P. | Access control method and apparatus |
| KR100799575B1 (ko) * | 2005-12-07 | 2008-01-30 | 한국전자통신연구원 | IPv6 네트워크에서 이동노드에게 VPN 서비스를제공하는 방법 및 이를 위한 게이트웨이 |
| US20070177550A1 (en) * | 2005-07-12 | 2007-08-02 | Hyeok Chan Kwon | Method for providing virtual private network services to mobile node in IPv6 network and gateway using the same |
-
2008
- 2008-03-25 KR KR1020080027271A patent/KR100948604B1/ko active IP Right Grant
- 2008-03-26 CN CN200880116655A patent/CN101861712A/zh active Pending
- 2008-03-26 WO PCT/KR2008/001685 patent/WO2009038260A1/en active Application Filing
- 2008-03-26 US US12/678,812 patent/US8925048B2/en not_active Expired - Fee Related
- 2008-03-26 JP JP2010525736A patent/JP2010539839A/ja active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20070133803A1 (en) * | 2000-02-04 | 2007-06-14 | Makoto Saito | Method, apparatus and program for establishing encrypted communication channel between apparatuses |
| US20040030659A1 (en) * | 2000-05-25 | 2004-02-12 | Gueh Wilson How Kiap | Transaction system and method |
| US20070058632A1 (en) * | 2005-09-12 | 2007-03-15 | Jonathan Back | Packet flow bifurcation and analysis |
| US20070186100A1 (en) * | 2006-02-03 | 2007-08-09 | Fujitsu Limited | Packet communication system |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107087312A (zh) * | 2017-05-23 | 2017-08-22 | 迈普通信技术股份有限公司 | 全连通网络建立方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| JP2010539839A (ja) | 2010-12-16 |
| KR100948604B1 (ko) | 2010-03-24 |
| US8925048B2 (en) | 2014-12-30 |
| US20100262825A1 (en) | 2010-10-14 |
| WO2009038260A1 (en) | 2009-03-26 |
| KR20090102050A (ko) | 2009-09-30 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10079813B2 (en) | Method and apparatus for secure network enclaves | |
| US8392716B2 (en) | Communication apparatus, digital signature issuance method and apparatus, and digital signature transmission method | |
| US8837729B2 (en) | Method and apparatus for ensuring privacy in communications between parties | |
| CN104219217B (zh) | 安全关联协商方法、设备和系统 | |
| CN102882789B (zh) | 一种数据报文处理方法、系统及设备 | |
| US8327129B2 (en) | Method, apparatus and system for internet key exchange negotiation | |
| AU2007261003B2 (en) | Method and apparatus for encrypted communications using IPsec keys | |
| CN101861712A (zh) | 基于移动因特网协议的服务器的安全方法 | |
| AU2005226659B2 (en) | Methods and apparatus for confidentiality protection for fibre channel common transport | |
| US20050160269A1 (en) | Common security key generation apparatus | |
| US11637699B2 (en) | Rollover of encryption keys in a packet-compatible network | |
| CN116886288A (zh) | 一种量子会话密钥分发方法及装置 | |
| EP3635909B1 (en) | Id-based data plane security for identity-oriented networks | |
| CN101360096B (zh) | 一种应用于数字医疗的系统安全规划方法 | |
| CN110995564B (zh) | 一种报文传输方法、装置及安全网络系统 | |
| US20220321545A1 (en) | Cryptographic Micro-Segmentation Using IKEv2 | |
| Niemi | Communication security protocols | |
| IT202100017405A1 (it) | “metodo e sistema per la decifratura di messaggi cifrati end-to-end per intercettazione legale” | |
| CN117134933A (zh) | 加密通信方法、装置、电子设备和存储介质 | |
| CN115766172A (zh) | 基于dpu和国密的报文转发方法、装置、设备及介质 | |
| Balitanas et al. | IPV6 Mobile Network Protocol Weaknesses and a Cryptosystem Approach | |
| Mueller | Automotive Group Key Agreement and Client Authentication with DANCE | |
| Golen | IPSec–A Network Layer Security Protocol |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20101013 |