CN102075937B - 移动ip注册时实现移动节点身份匿名性的方法 - Google Patents

移动ip注册时实现移动节点身份匿名性的方法 Download PDF

Info

Publication number
CN102075937B
CN102075937B CN201110002035.5A CN201110002035A CN102075937B CN 102075937 B CN102075937 B CN 102075937B CN 201110002035 A CN201110002035 A CN 201110002035A CN 102075937 B CN102075937 B CN 102075937B
Authority
CN
China
Prior art keywords
mobile node
registration
mobile
request message
identity
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
CN201110002035.5A
Other languages
English (en)
Other versions
CN102075937A (zh
Inventor
党岚君
李晖
许捷
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Xidian University
Original Assignee
Xidian University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Xidian University filed Critical Xidian University
Priority to CN201110002035.5A priority Critical patent/CN102075937B/zh
Publication of CN102075937A publication Critical patent/CN102075937A/zh
Application granted granted Critical
Publication of CN102075937B publication Critical patent/CN102075937B/zh
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Mobile Radio Communication Systems (AREA)

Abstract

本发明公开了一种移动IP注册时实现移动节点身份匿名性的方法,主要解决现有技术移动节点在注册过程中身份暴露、安全性差的问题。其技术要点是:在注册请求消息中增加移动节点身份扩展字段,用来存放移动节点的临时身份标识符,使攻击者无法通过窃听得知移动节点的真实身份;通过对移动节点的真实身份和家乡代理的随机数进行哈希运算构造移动节点的临时身份标识符,即H(IDMN||NHA),使攻击者无法根据窃听到的临时身份标识符推导出移动节点的真实身份;利用每次注册时临时身份标识符的随机性,使攻击者无法对移动节点的位置移动进行跟踪,充分保护了移动节点的隐私。本发明可用于下一代移动通信系统中移动用户漫游认证时的身份匿名。

Description

移动IP注册时实现移动节点身份匿名性的方法
技术领域
本发明涉及移动IP网络技术领域,特别涉及一种在移动IP网络中移动节点向家乡代理进行注册时实现移动节点身份匿名性的方法,可用于下一代移动通信系统中移动用户漫游认证时的身份匿名。
背景技术
随着人们对互联网上各种多媒体业务需求的不断增长和手提电脑、掌上电脑PDA等多种移动无线手持设备的广泛使用,人们越来越希望能够随时随地接入互联网,从而更加方便地使用互联网上的各种业务,所以互联网工程任务组IETF最早在1996年通过了RFC 2002,提出了移动IPv4协议,该协议实质上是对IP协议的扩展以支持终端的移动性。随后,在1999年和2002年,IETF通过了RFC 3220和RFC3344,对移动IPv4协议进行了修正。2004年,IETF又通过了RFC 3775,提出了移动IPv6协议。因此,移动IP最初是为了满足人们在移动中随时接入Internet或者保持正在进行的Internet连接而提出的通信技术,能够保证终端在移动过程中,以固定的IP地址保持不间断的网络连接和应用或者随时随地接入Internet。
在Internet上,IP路由技术依赖于网络前缀,发往节点的数据包先被路由到目的IP地址所指定的链路上,然后被节点接收。当节点离开与它具有相同网络前缀的那条链路,移动到具有不同网络前缀的另一条链路上时,给它的分组仍将继续送到其原来的链路上,这时移动IP如果要保证节点仍以其永久的原地IP地址接收到数据包,就需要在合适的节点上设立路由表,将数据包发送到已经不在原地链路即家乡链路上的移动节点。这里所说合适的节点主要在移动节点MN的家乡链路和外地链路上分别引入了家乡代理HA和外地代理FA两大网络部件,通过家乡代理和外地代理来跟踪移动节点,实现移动节点漫游过程中不间断的IP数据通信。家乡代理和外地代理分别是移动节点在家乡链路和正在访问的外地链路上的一个路由器。
移动IP的工作过程由代理搜索、注册和包传送三部分组成。通过代理搜索,移动节点可以判定它的当前位置是连在家乡链路还是外地链路,检测它是否切换了链路,当连在外地链路上时,得到一个转交地址;当移动节点连在家乡链路上时,移动节点就像固定节点一样工作,不使用移动IP的其他功能。
当移动节点发现它的网络接入点从一条链路切换到另一条链路上时,它就要进行注册。通过发起注册请求,移动节点通知家乡代理它在外地的转交地址,家乡代理将移动节点的家乡地址和转交地址绑定起来,然后返回注册应答给移动节点,通知它注册是否成功。注册过程包括两种消息,即注册请求和注册应答。这些消息在移动节点和它的家乡代理之间进行交换,有时也有可能通过外地代理。所有注册消息应该包括认证扩展部分,以防止可能出现的安全攻击,认证扩展的格式如图1所示。每个认证扩展的认证值都必须保护注册消息中的以下字段:
1)UDP载荷,这是注册请求或注册应答数据;
2)所有在该认证扩展之前的扩展;
3)扩展的类型、长度和安全参数索引SPI字段。
这里,认证值本身和UDP报头不包括在认证值的计算之内。其中,移动-家乡认证扩展必须包含在所有的注册请求和注册应答消息中,用来抵御重放攻击和重定向攻击。当移动节点和外地代理之间存在安全关联的情况下,注册请求和注册应答消息中可能包含移动-外地认证扩展。当外地代理和家乡代理之间存在安全关联的情况下,注册请求和注册应答消息中可能包含外地-家乡认证扩展。
移动IP注册消息的扩展部分还包括非认证扩展。为了移动IP注册过程的安全,每个移动实体在注册消息中都可以添加非认证扩展和认证扩展,实现对注册消息的认证。图2给出了由移动节点发送的注册请求消息的一般结构。图3给出了由外地代理转发的注册请求消息的一般结构。图4给出了由家乡代理发送的注册应答消息的一般结构。图5给出了由外地代理转发的注册应答消息的一般结构。
当通信节点与移动节点进行数据通信时,家乡代理将送往移动节点家乡地址的数据包通过隧道送往转交地址,然后在转交地址处原始数据包被拆封出来,由外地链路上的外地代理或者访问路由器AR转交给移动节点。而由移动节点发出的数据分组则被直接选路到通信节点,即采用正常的IP路由,如图6所示。
目前,随着下一代移动通信系统向全IP网络方向发展,移动IP可为各种无线接入网络之间的无缝漫游提供一个标准的全球移动性解决方案。因此,研究移动IP协议具有非常重要的意义和广阔的应用前景。在移动IP环境中,无线信道的开放性和节点的移动性给移动IP的实际应用带来了很多安全问题,而移动IP注册过程中的安全则是移动IP协议能够顺利执行的前提和关键。
在移动IP注册过程中,对于在外地链路的移动节点,基于安全性原因,希望对不可信任的访问域和公共网隐藏其真实身份并防止对其位置移动进行跟踪,保护其用户隐私。一般来说,移动节点的真实身份比具体的通信内容而言更为重要,是攻击者更为感兴趣的。比如当一个移动节点离开家乡域进入到外地域并请求其服务时,在认证过程中泄露了身份,非授权的第三方就可以据此跟踪移动节点的活动及其当前位置,这就严重违背了移动节点保持其活动保密的隐私需要,因此需要为其提供匿名性服务。
在移动IP环境中经常出现的情况是在家乡网络注册的移动节点移动到一个新的外地域,为了获得正在访问域所提供的服务,需要首先向访问域的认证服务器表明自己的真实身份,再通过家乡域进行认证,向访问域返回认证结果。然而这一过程和移动节点的匿名性需求相矛盾,匿名性需要隐藏用户的真实身份,因此需要一种机制调和这一矛盾。
一个直观的解决方法就是为移动节点分配别名,也即临时身份标识符,移动节点在家乡域时事先由家乡认证服务器分配一个临时身份标识符,移动节点真实身份和临时身份标识符之间一一对应,当节点移动到外部网络时,使用临时身份标识符进行认证,这就隐藏了节点的真实身份。
为了确保移动节点在移动过程中的匿名性,移动节点临时身份标识符的产生必须考虑以下设计标准:
1)随机性:为了避免窃听者通过长时间的窃听获取移动节点和家乡域的关系,进而推测出移动节点的真实身份,需要频繁地更新移动节点的临时身份标识符。只有保证了临时身份标识符的随机性,才能抵抗攻击者对用户的位置移动进行跟踪。
2)无关联性:阻止窃听者建立节点真实身份和临时身份标识符之间的关系。
3)域分离性:即使所有的访问域相互合作,也不能推测出移动节点的真实身份。
现有技术中确保随机性的方法主要有两种:一是移动节点回到其家乡域,得到新的临时身份标识符;另一种方法是建立一种基于不安全信道的临时身份标识符更新协议,使得移动节点在正在访问的外地域就能更新临时身份标识符。很显然,第一种方法不具有可行性。第二种方法暗示在移动节点和家乡域之间保持同步,如果失去同步,还需要另外的协议重新同步,在不影响匿名性的前提下有效地达到同步是一个挑战。
考虑到移动计算环境下家乡域和移动节点计算资源之间的不对称性,Asokan等人建议使用移动节点和其家乡域之间的共享密钥加密移动节点真实身份并向其家乡域传送,家乡域查找其密钥数据库逐个进行解密测试,若能得出正确的信息,证明这个密钥的用户就是移动用户。由于在注册请求消息的定长部分之后往往包括认证扩展部分,以防止可能出现的安全攻击,比如拒绝服务攻击、假冒攻击和重放攻击。如果属于此家乡域的移动用户数目较多,逐个测试解密再加上验证认证扩展部分的认证码将极大地浪费家乡域认证服务器的处理机资源且效率低下。因此,该方法并不能很好地解决问题。
另外,还有一些研究机构和人员对移动IP注册过程中的用户匿名性作了一些探讨和研究。但是,大部分都不能完全满足上述的临时身份标识符的特性,有的不能满足随机性,攻击者只需要根据该不变的临时身份标识符就可以对用户进行跟踪。有的存在严重的安全缺陷:同一家乡代理HA的合法用户可以跟踪其他合法用户,非法用户也可以跟踪合法用户,并不能保证只有家乡网络才能获得用户的真实身份。虽然有个别协议临时身份标识符的产生满足上述特性,但协议本身又过于复杂,有的更是把注册请求消息的IP源地址域设为移动用户的家乡地址,由于在网络环境中,身份与IP地址等价,这样就泄露了与移动用户身份有关的信息,所以并不能实现绝对的用户匿名性。
发明内容
本发明的目的在于克服上述已有技术的不足,提供一种移动IP注册时实现移动节点身份匿名性的方法,以保证移动节点在进行注册请求的过程中,既能向访问域的认证服务器表明自己的身份,通过家乡域的认证,又能使移动节点的真实身份自始不暴露在注册过程中,并防止对移动节点位置移动进行跟踪,保护移动节点用户隐私。
为达到上述目的,本发明的技术方案包括如下步骤:
A、移动IP网络中,移动节点在注册请求消息中增加移动节点身份扩展字段,并在该扩展字段存放移动节点的临时身份标识符信息,以构造承载着移动节点的临时身份标识符信息的注册请求消息,并将注册请求消息的家乡地址字段和IP源地址字段设置为0,然后向家乡代理发送注册请求消息;
B、家乡代理收到注册请求消息后,进行搜索和认证:
首先,在家乡代理动态参数数据库里搜索是否有属于移动节点的记录,如果没有,再在初始参数数据库里搜索,如果搜到则使用搜到的记录中的移动节点与家乡代理之间的共享密钥验证注册请求消息的有效性,如果没有搜到则拒绝该注册请求;
其次,若验证注册请求消息有效,则家乡代理采用动态家乡地址分配机制给移动节点分配一个家乡地址,然后执行步骤C,若验证无效则家乡代理向移动节点返回注册应答消息拒绝该注册请求;
C、家乡代理更新动态参数数据库,并向移动节点返回注册应答消息:
首先,家乡代理随机产生一个新的随机数N′HA,并利用如下公式计算出移动节点下一次注册请求时的临时身份标识符TID′,同时更新家乡代理的动态参数数据库中属于该移动节点的记录的值N′HA和TID′:
TID′=H(IDMN||N′HA)
其中,H为Hash函数,IDMN为移动节点的真实身份,N′HA为家乡代理新产生的随机数,||表示级联;
其次,家乡代理把随机数N′HA放在注册应答消息中定长部分的标识字段的高32b,向移动节点返回注册应答消息;
D、移动节点收到所述注册应答消息后,检查Code域并进行认证:
首先,检查注册应答消息的Code域,如果Code域表示拒绝,则根据拒绝原因修正错误,并重新注册;如果Code域表示接受,则验证注册应答消息中移动-家乡认证扩展的值;
其次,如果验证无效,则移动节点重新注册;如果验证有效,则根据注册应答消息中的随机数N′HA,计算出移动节点下一次注册请求时的临时身份标识符信息TID′,即H(IDMN||N′HA),同时中止对注册请求消息的重发。
本发明具有如下优点:
1)本发明由于在注册过程中,移动节点采用临时身份标识符向家乡代理表明自己的身份,而真实身份IDMN自始不在链路上暴露,因而攻击者只能窃听到移动节点的临时身份标识符,即H(IDMN||NHA);同时由于Hash函数的单向性,即使攻击者窃听到了临时身份标识符,也无法由临时身份标识符推算出移动节点的真实身份IDMN,也就不能确认是谁在进行移动IP注册;此外由于移动节点发送的注册请求消息的家乡地址字段和IP源地址字段设置为0,也没有泄露节点的真实身份信息。
2)本发明由于在每次注册过程中,移动节点的临时身份标识符都是不相同的,攻击者窃听某一次注册请求消息中的临时身份标识符并不能对移动节点的移动轨迹和当前位置进行跟踪,也不能获得移动节点所有的历史位置信息,或者把它与它参与的会话联系起来,因而保护了移动节点用户隐私。
3)由于本发明能够抵抗攻击者对节点的位置移动进行跟踪,因此,如果移动节点MN由于某种原因不小心泄露了身份信息IDMN,也只是泄露了当前的位置信息,攻击者并不能从中获得移动节点所有的历史位置信息。
4)本发明由于采用的Hash函数具有单向性,故当同一家乡代理下的某一合法用户MN监听家乡代理接收到的消息,截获另一合法用户MN某一次注册请求过程中的随机数NHA和临时身份标识符TID时,该合法用户MN不能计算出另一合法用户MN的真实身份IDMN,因而在同一家乡代理下的某一合法用户MN不能跟踪另一合法用户MN的位置,某一合法用户身份信息的泄露也就不会导致其它合法用户身份信息的泄露,进一步保护了移动节点的隐私。
附图说明
图1为现有注册消息的认证扩展格式的示意图;
图2为现有由移动节点发送的注册请求消息的示意图;
图3为现有由外地代理转发的注册请求消息的示意图;
图4为现有由家乡代理发送的注册应答消息的示意图;
图5为现有由外地代理转发的注册应答消息的示意图;
图6为现有移动IP的包传送示意图;
图7为本发明的流程图;
图8为本发明中可选择的移动节点身份扩展字段的格式示意图。
具体实施方式
本发明的核心思想是在移动IP网络中,移动节点利用Hash函数对其真实身份和家乡代理的随机数进行哈希运算来构造移动节点不断变化的临时身份标识符,即H(IDMN||NHA),然后在发送的移动IP注册请求消息中承载移动节点的临时身份标识符信息,并把注册请求消息的家乡地址字段和IP源地址字段设置为0,以便于家乡代理可以根据收到的注册请求消息中的移动节点临时身份标识符信息对移动节点进行身份认证;家乡代理随机产生一个新的随机数N′HA,放在注册应答消息中定长部分的标识字段的高32b,然后向移动节点返回注册应答消息,使得移动节点能够根据应答消息中标识字段的高32b的值N′HA计算出移动节点下一次注册请求时的临时身份标识符信息,即H(IDMN||N′HA),以实现在移动IP注册时移动节点的身份匿名性。
本发明通过在移动IP的注册请求消息中增加移动节点身份扩展字段,使得移动节点能够将其本次注册请求过程中采用的临时身份标识符通知给家乡代理,从而家乡代理可按照收到的注册请求消息中的移动节点临时身份标识符在它的数据库中搜索属于移动节点的记录,然后用查到的该记录中的移动节点与家乡代理之间的共享密钥去验证移动节点的身份,以保证利用移动节点的临时身份信息实现移动节点在移动IP注册时的身份匿名性。
参照图7,本发明的具体实现步骤包括如下:
步骤1:移动节点在注册请求消息中增加移动节点身份扩展字段,该字段用来存放移动节点的临时身份标识符信息。
移动IP网络中,移动节点在构造注册请求消息前,首先增加移动节点身份扩展字段,该字段位于注册请求消息定长部分之后的所有扩展的首位,即在移动-家乡认证扩展之前;移动节点身份扩展字段的格式包括如下两种情况:
参照图8(a),移动节点身份扩展字段的格式采用RFC3344定义的类型长度值扩展格式,具体包括以下字段:
扩展类型字段:占用一个字节,定义扩展的类型,大于127,小于255。该值大于127,可以保证无法识别该扩展的设备不必丢弃携带该扩展的注册消息,可以忽略该扩展,处理除该扩展外的注册消息的其他部分;
长度字段:占用一个字节,表示临时身份标识符字段的长度;
临时身份标识符字段:移动节点的临时身份标识符,具体为计算H(IDMN||NHA)得到的数值。该字段占用的字节数取决于所采用的Hash函数,如果采用SHA,则占用20字节;
参照图8(b),移动节点身份扩展字段的格式也可以采用RFC3344定义的短扩展格式,具体包括以下字段:
类型字段:占用一个字节,定义扩展的类型,大于127,小于255。该值大于127,保证了设备无法识别该扩展时可忽略该扩展,而不必丢弃携带该扩展的注册消息;
长度字段:占用一个字节,表示除了类型字段和长度字段之外的扩展字段长度;
子类型字段:占用一个字节,为该扩展的子类型;
临时身份标识符字段:移动节点的临时身份标识符,具体为计算H(IDMN||NHA)得到的数值。该字段占用的字节数取决于所采用的Hash函数,如果采用SHA,则占用20字节。
步骤2:移动节点构造承载着移动节点的临时身份标识符信息的注册请求消息,并将注册请求消息的家乡地址字段和IP源地址字段设置为0,然后向家乡代理发送注册请求消息。
2a)移动节点构造承载着移动节点的临时身份标识符信息的注册请求消息,按如下两种情况进行:
在首次注册请求时,移动节点根据动态参数N′HA确定注册请求消息中标识字段的高32b的值和移动节点的临时身份标识符信息,随机产生注册请求消息中标识字段的低32b的值,然后将临时身份标识符信息存放于注册请求消息中增加的移动节点身份扩展字段中,最后计算移动-家乡认证扩展的值,完成注册请求消息的构造;
在注册请求失败三次之后,移动节点根据初始参数N0 HA确定注册请求消息中标识字段的高32b的值和移动节点的临时身份标识符信息,随机产生注册请求消息中标识字段的低32b的值,然后将临时身份标识符信息存放于注册请求消息中增加的移动节点身份扩展字段中,最后计算移动-家乡认证扩展的值,完成注册请求消息的构造;
2b)移动节点将注册请求消息的家乡地址字段和IP源地址字段设置为0,并发送给外地代理,外地代理收到该注册请求消息后,记录注册请求消息的源数据链路层地址、源IP地址、源UDP端口号、家乡代理地址、标识域和请求的生存时间,然后再把注册请求消息转发给家乡代理。
步骤3:家乡代理收到注册请求消息后,进行搜索和认证。
首先,在家乡代理动态参数数据库里搜索是否有属于移动节点的记录,如果没有,再在初始参数数据库里搜索,如果搜到则使用搜到的记录中的移动节点与家乡代理之间的共享密钥验证注册请求消息的有效性,如果没有搜到则拒绝该注册请求;
其次,若验证注册请求消息有效,则家乡代理采用动态家乡地址分配机制给移动节点分配一个家乡地址,并绑定该家乡地址和收到的转交地址,然后执行步骤4,若验证无效则家乡代理向移动节点返回注册应答消息拒绝该注册请求。
步骤4:家乡代理向移动节点返回注册应答消息。
4a)家乡代理随机产生一个新的随机数N′HA,并根据随机数N′HA计算出移动节点下一次注册请求时的临时身份标识符TID′,即H(IDMN||N′HA);然后更新家乡代理的动态参数数据库中属于该移动节点的记录的值N′HA和TID′;
4b)家乡代理把分配给移动节点的家乡地址放在注册应答消息中定长部分的家乡地址域,然后把随机数N′HA放在注册应答消息中定长部分的标识字段的高32b,最后计算移动-家乡认证扩展的值,完成注册应答消息的构造;
4c)家乡代理向移动节点返回注册应答消息:家乡代理先把注册应答消息发送给外地代理,外地代理收到该注册应答消息后,更新它对来访的移动节点的列表,并采用从原始注册请求消息中记录的源数据链路层地址、源IP地址和源UDP端口号,再把应答消息转发给移动节点。
步骤5:移动节点收到注册应答消息后,检查Code域并进行认证。
首先,检查注册应答消息的Code域,如果Code域表示拒绝,则根据拒绝原因修正错误,并重新注册;如果Code域表示接受,则验证注册应答消息中移动-家乡认证扩展的值;
其次,如果验证有效,则根据应答消息中标识字段的高32b的值N′HA计算出移动节点下一次注册请求时的临时身份标识符信息,即H(IDMN||N′HA),同时中止对注册请求消息的重发,如果验证无效,则移动节点重新注册。
可以看出,上述处理过程中的核心是在注册请求消息中增加了移动节点身份扩展字段,并利用注册应答消息的标识字段的高32b的值更新移动节点下一次注册请求时的临时身份标识符。
以上所述,仅为本发明较佳的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在发明揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内,因此,本发明的保护范围应该以权利要求的保护范围为准。

Claims (9)

1.一种移动IP注册时实现移动节点身份匿名性的方法,其特征在于,包括如下步骤: 
A、移动IP网络中,移动节点在注册请求消息中增加移动节点身份扩展字段,并在该扩展字段存放移动节点的临时身份标识符信息,以构造承载着移动节点的临时身份标识符信息的注册请求消息,并将注册请求消息的家乡地址字段和IP源地址字段设置为0,然后向家乡代理发送注册请求消息,该移动节点的临时身份标识符信息,是利用Hash函数对移动节点的真实身份IDMN和家乡代理的随机数NHA进行哈希运算所得到的函数值,即H(IDMN||NHA); 
B、家乡代理收到注册请求消息后,进行搜索和认证: 
B1)在家乡代理动态参数数据库里搜索是否有属于移动节点的记录,如果没有,再在初始参数数据库里搜索,如果搜到则使用搜到的记录中的移动节点与家乡代理之间的共享密钥验证注册请求消息的有效性,如果没有搜到则拒绝该注册请求; 
B2)若验证注册请求消息有效,则家乡代理采用动态家乡地址分配机制给移动节点分配一个家乡地址,然后执行步骤C,若验证无效则家乡代理向移动节点返回注册应答消息拒绝该注册请求; 
C、家乡代理更新动态参数数据库,并向移动节点返回注册应答消息: 
C1)家乡代理随机产生一个新的随机数N′HA,并利用如下公式计算出移动节点下一次注册请求时的临时身份标识符TID′,同时更新家乡代理的动态参数数据库中属于该移动节点的记录的值N′HA和TID′: 
TID′=H(IDMN||N′HA
其中,H为Hash函数,IDMN为移动节点的真实身份,N′HA为家乡代理新产生的随机数,||表示级联; 
C2)家乡代理把随机数N′HA放在注册应答消息中定长部分的标识字段的高32b,向移动节点返回注册应答消息; 
D、移动节点收到所述注册应答消息后,检查Code域并进行认证: 
D1)检查注册应答消息的Code域,如果Code域表示拒绝,则根据拒绝原因修 正错误,并重新注册;如果Code域表示接受,则验证注册应答消息中移动—家乡认证扩展的值; 
D2)如果验证无效,则移动节点重新注册;如果验证有效,则根据注册应答消息中的随机数N'HA,计算出移动节点下一次注册请求时的临时身份标识符信息TID',即H(IDMN||N'HA),同时中止对注册请求消息的重发。 
2.根据权利要求1所述的移动IP注册时实现移动节点身份匿名性的方法,其中步骤A所述的移动节点构造承载着移动节点的临时身份标识符信息的注册请求消息,按如下两种情况进行: 
在首次注册请求时,移动节点根据动态参数N'HA确定注册请求消息的标识字段的高32b的值和移动节点的临时身份标识符信息; 
在注册请求失败三次之后,移动节点根据初始参数N0 HA确定注册请求消息的标识字段的高32b的值和移动节点的临时身份标识符信息。 
3.根据权利要求1所述的移动IP注册时实现移动节点身份匿名性的方法,其中步骤A所述的移动节点向家乡代理发送注册请求消息,是由移动节点先把注册请求消息发送给外地代理,外地代理收到该注册请求消息后,记录注册请求消息的源数据链路层地址、源IP地址、源UDP端口号、家乡代理地址、标识域和请求的生存时间,然后再把注册请求消息转发给家乡代理。 
4.根据权利要求1所述的移动IP注册时实现移动节点身份匿名性的方法,其中步骤C2)所涉及的家乡代理向移动节点返回注册应答消息,是由家乡代理先把注册应答消息发送给外地代理,外地代理收到该注册应答消息后,更新它对来访的移动节点的列表,并采用从原始注册请求消息中记录的源数据链路层地址、源IP地址和源UDP端口号,把应答消息转发给移动节点。 
5.根据权利要求1或2所述的移动IP注册时实现移动节点身份匿名性的方法,其中所述的注册请求消息或注册应答消息的定长部分的标识字段设置为随机数。 
6.根据权利要求1所述的移动IP注册时实现移动节点身份匿名性的方法,其中所述的移动节点身份扩展字段位于注册请求消息的定长部分之后的可扩展部分的首位。 
7.根据权利要求1或6所述的移动IP注册时实现移动节点身份匿名性的方法,其中所述的移动节点身份扩展字段,包括: 
扩展类型字段:用于表示该扩展的类型; 
长度字段:用于表示扩展中临时身份标识符字段的长度; 
临时身份标识符字段:用于存放移动节点的临时身份标识符信息。 
8.根据权利要求1或6所述的移动IP注册时实现移动节点身份匿名性的方法,其中所述的移动节点身份扩展字段,还包括: 
类型字段:用于表示该扩展的类型; 
长度字段:用于表示除了类型字段和长度字段之外的扩展字段长度; 
子类型字段:用于表示该扩展的子类型; 
临时身份标识符字段:用于存放移动节点的临时身份标识符信息。 
9.根据权利要求1所述的移动IP注册时实现移动节点身份匿名性的方法,其中所述的移动节点身份扩展字段,采用的格式为RFC 3344定义的类型长度值格式或者短扩展格式。 
CN201110002035.5A 2011-01-06 2011-01-06 移动ip注册时实现移动节点身份匿名性的方法 Expired - Fee Related CN102075937B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201110002035.5A CN102075937B (zh) 2011-01-06 2011-01-06 移动ip注册时实现移动节点身份匿名性的方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201110002035.5A CN102075937B (zh) 2011-01-06 2011-01-06 移动ip注册时实现移动节点身份匿名性的方法

Publications (2)

Publication Number Publication Date
CN102075937A CN102075937A (zh) 2011-05-25
CN102075937B true CN102075937B (zh) 2013-04-03

Family

ID=44034250

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201110002035.5A Expired - Fee Related CN102075937B (zh) 2011-01-06 2011-01-06 移动ip注册时实现移动节点身份匿名性的方法

Country Status (1)

Country Link
CN (1) CN102075937B (zh)

Families Citing this family (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
TWI568234B (zh) * 2014-01-28 2017-01-21 國立勤益科技大學 全球移動通訊網路的匿名認證方法
CN103825750A (zh) * 2014-02-10 2014-05-28 小米科技有限责任公司 实现临时会话的方法、装置和系统
WO2016188401A1 (zh) * 2015-05-25 2016-12-01 邵通 一种隐藏用户标识数据的装置、方法和系统
US10372775B2 (en) 2016-04-29 2019-08-06 Futurewei Technologies, Inc. Anonymous identity in identity oriented networks and protocols
US10735316B2 (en) 2017-06-29 2020-08-04 Futurewei Technologies, Inc. Receiver directed anonymization of identifier flows in identity enabled networks
US10530659B2 (en) 2017-06-30 2020-01-07 Futurewei Technologies, Inc. Identifier-based resolution of identities
US10841283B2 (en) 2017-07-17 2020-11-17 Futurewei Technologies, Inc. Smart sender anonymization in identity enabled networks
CN109214159B (zh) * 2018-08-31 2021-11-02 武汉文楚智信科技有限公司 一种用于终端人脸识别云服务的用户信息保护系统和方法
CN110191457A (zh) * 2019-02-28 2019-08-30 天津大学 去同步化的全球移动漫游网络匿名认证和密钥协商方法
CN110691351B (zh) * 2019-09-16 2020-09-25 清华大学 基于隐私保护的5g网络移动性管理方法及装置
CN114218608B (zh) * 2021-12-31 2023-02-14 深圳达实旗云健康科技有限公司 基于api注册式的数据隐私保护方法、存储介质及系统

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101227458A (zh) * 2007-01-16 2008-07-23 华为技术有限公司 移动ip系统及更新家乡代理根密钥的方法

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7793098B2 (en) * 2003-05-20 2010-09-07 Nokia Corporation Providing privacy to nodes using mobile IPv6 with route optimization

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101227458A (zh) * 2007-01-16 2008-07-23 华为技术有限公司 移动ip系统及更新家乡代理根密钥的方法

Non-Patent Citations (4)

* Cited by examiner, † Cited by third party
Title
L.Dang等.mobile IP registration in certificateless public key infrastructure.《Information Security,IET》.2007,
mobile IP registration in certificateless public key infrastructure;L.Dang等;《Information Security,IET》;20071231;167-173页 *
党岚君等.具有用户匿名性的移动IP注册协议.《西安电子科技大学学报(自然科学版)》.2008,
具有用户匿名性的移动IP注册协议;党岚君等;《西安电子科技大学学报(自然科学版)》;20080430;282-287页 *

Also Published As

Publication number Publication date
CN102075937A (zh) 2011-05-25

Similar Documents

Publication Publication Date Title
CN102075937B (zh) 移动ip注册时实现移动节点身份匿名性的方法
Lai et al. GLARM: Group-based lightweight authentication scheme for resource-constrained machine to machine communications
CN101965722B (zh) 安全性关联的重新建立
CN101001261B (zh) 一种MIPv6移动节点的通信方法
Chuang et al. SPAM: A secure password authentication mechanism for seamless handover in proxy mobile IPv6 networks
KR100816560B1 (ko) 모바일 멀티캐스트 방송 보안을 위한 대리인증 방법
Cao et al. G2RHA: Group-to-route handover authentication scheme for mobile relays in LTE-A high-speed rail networks
JP2004241976A (ja) 移動通信ネットワークシステムおよび移動端末認証方法
Yang et al. A trust and privacy preserving handover authentication protocol for wireless networks
CN103957524A (zh) 一种基于分级身份签名的PMIPv6网络双向接入认证系统及方法
Armknecht et al. Who said that? privacy at link layer
Yang et al. FHAP: Fast Handover Authentication Protocol for High-Speed Mobile Terminals in 5G Satellite–Terrestrial-Integrated Networks
Angermeier et al. PAL-privacy augmented LTE: A privacy-preserving scheme for vehicular LTE communication
CN103188228A (zh) 一种实现端到端安全防护的方法、安全网关及系统
Deng et al. A novel 3GPP SAE authentication and key agreement protocol
Saxena et al. SAKA: a secure authentication and key agreement protocol for GSM networks
Lei et al. Protecting location privacy with dynamic mac address exchanging in wireless networks
CN101355578B (zh) 基于radius和diameter协议的移动ip应用的兼容方法及系统
Mapoka et al. Novel rekeying approach for secure multiple multicast groups over wireless mobile networks
Vasudevan et al. An integrated approach for energy efficient handover and key distribution protocol for secure NC-enabled small cells
CN102484659A (zh) 用于生成移动ip网络中密码生成地址的方法和网络节点
CN100536471C (zh) 一种家乡代理信令消息有效保护方法
CN1996838A (zh) 一种多主机WiMAX系统中的AAA认证优化方法
Dittler et al. ANOTEL: Cellular networks with location privacy
Rathi et al. A Secure and Fault tolerant framework for Mobile IPv6 based networks

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant
CF01 Termination of patent right due to non-payment of annual fee

Granted publication date: 20130403

Termination date: 20190106

CF01 Termination of patent right due to non-payment of annual fee