CN102292962A - 与地址产生、传送和/或验证相关的方法和装置 - Google Patents
与地址产生、传送和/或验证相关的方法和装置 Download PDFInfo
- Publication number
- CN102292962A CN102292962A CN2010800054355A CN201080005435A CN102292962A CN 102292962 A CN102292962 A CN 102292962A CN 2010800054355 A CN2010800054355 A CN 2010800054355A CN 201080005435 A CN201080005435 A CN 201080005435A CN 102292962 A CN102292962 A CN 102292962A
- Authority
- CN
- China
- Prior art keywords
- address
- communication equipment
- communication
- module
- public keys
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/50—Address allocation
- H04L61/5076—Update or notification mechanisms, e.g. DynDNS
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W8/00—Network data management
- H04W8/26—Network addressing or numbering for mobility support
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/50—Address allocation
- H04L61/5092—Address allocation by self-assignment, e.g. picking addresses at random and testing if they are already in use
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Databases & Information Systems (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Mobile Radio Communication Systems (AREA)
- Small-Scale Networks (AREA)
Abstract
描述了用于产生、传送和/或使用对应于通信设备的地址集的方法和装置。第一通信设备根据公共密钥和随机数产生第一地址和第二地址。所产生的地址对与关于地址对的所有权信息的证明一起经由诸如绑定更新消息之类的地址信令消息被传送到第二通信设备。所述第二通信设备处理所接收的地址信令消息,并且确定地址对的有效性和/或地址对的所有权信息。第一地址可以与第一网络(例如,不安全的WAN网络)相关联,而第二地址可以与第二网络(例如,安全的对等网络)相关联。在使用第一地址和使用第二地址之间的切换决策可以基于地址有效性和/或地址所有权的确定。
Description
技术领域
各个实施例涉及通信方法和装置,并且更具体地,涉及与产生、通信和/或使用地址集相关的方法和装置。
背景技术
在通信系统中,可能期望通信设备改变其地址或者同时具有多个地址。例如,同一设备可能期望在不同的区域或者网络中使用不同的地址,并且/或者当使用不同的通信协议(例如,不同的空中链路协议)时使用不同的地址。
可能期望通信设备能够产生一组多个地址来使用。例如,与第二通信设备会话的第一通信设备可能期望从第一地址改变到另一个地址,在这种情况下,将使用不止一个地址。需要以使得通信会话的劫持(hijacking)困难的方式来促成地址信息的通信的方法和装置。考虑到上述情况,应当理解,需要允许设备具有多个地址和/或允许设备以使得难于劫持通信会话的方式来传送一个或多个地址的方法和装置,所述通信会话使用所述多个地址中的一个或多个地址。
发明内容
描述了用于产生、传送和/或使用对应于通信设备的地址集(例如,地址对)的方法和装置。所述方法和装置通过以信号传送地址改变来使得难于劫持通信会话。在一些实施例中,但不必然是在全部实施例中,通信设备根据公共密钥和随机数产生在使用第一通信协议的第一网络中使用的第一地址和在使用第二通信协议的第二网络中使用的第二地址。在一个这样的实施例中,第一网络是广域网(WAN),第二通信网络是对等通信网络,并且第一通信协议与第二通信协议不同。
各个实施例也涉及例如经由诸如绑定更新消息之类的地址信令消息在通信设备之间传送所产生的地址集以及关于所述地址集的所有权信息的证明。在一些这样的实施例中,地址信令消息包括多个地址,例如,多个网际协议版本6(IPv6)地址和对应于所述多个地址的用户证书。可以由接收所述地址信令消息的设备在验证了对应于所述多个地址的证书后确认在所述地址信令消息中传送的所述多个地址的所有权。
在一些实施例中,所述第一通信网络和所述第二通信网络是不安全的网络。但是,在其它实施例中,所述第一通信网络是不安全的,所述第二通信网络是安全的。一些实施例的各个特征支持验证产生了地址信令消息的设备实际上拥有在所述地址信令消息中包括的地址对的能力。一些实施例包括支持用于确认所述地址信令消息完整性的能力的特征,所述地址信令消息完整性例如是在产生所述消息后内容未被改变。这些特征有益于保持安全性,并且防止通信会话的劫持。
根据一些实施例的一种用于操作第一通信设备的示例性方法包括:根据随机数和对应于所述第一通信设备已知的私有密钥的公共密钥产生第一M比特值和第二M比特值,其中,M是正整数;产生包括所述第一M比特值的第一地址;并且,产生包括所述第二M比特值的第二地址。在一些这样的实施例中,所述示例性方法还包括:发送包括所述第一地址的第一信号;并且,发送包括所述第二地址的第二信号。根据一些实施例的第一通信设备包括至少一个处理器,所述至少一个处理器被配置来:根据随机数和对应于所述第一通信设备已知的私有密钥的公共密钥产生第一M比特值和第二M比特值,其中,M是正整数;产生包括所述第一M比特值的第一地址;产生包括所述第二M比特值的第二地址;发送包括所述第一地址的第一信号;并且,发送包括所述第二地址的第二信号。所述示例性第一通信设备还包括耦合到所述至少一个处理器的存储器。
根据一些实施例的一种用于操作第一通信设备的示例性方法包括:从第二通信设备接收地址信令消息,所述地址信令消息包括对应于所述第二通信设备已知的私有密钥的公共密钥、对应于所述第二通信设备的随机数和签名、第一地址和第二地址;并且,使用所述随机数和公共密钥来执行地址验证操作,以确定所述第一地址和第二地址的有效性。在一些这样的实施例中,所述示例性方法还包括:当所述第一地址和第二地址被确定为有效时,使用所述第一或者第二地址中的至少一个来与所述第二通信设备通信。根据一些实施例的第一通信设备包括至少一个处理器,所述至少一个处理器被配置来:从第二通信设备接收地址信令消息,所述地址信令消息包括对应于所述第二通信设备已知的私有密钥的公共密钥、对应于所述第二通信设备的随机数和签名、第一地址和第二地址;并且,使用所述随机数和公共密钥来执行地址验证操作,以确定所述第一地址和第二地址的有效性。在一些这样的实施例中,所述至少一个处理器还被配置来当所述第一地址和第二地址被确定为有效时,使用所述第一或者第二地址中的至少一个来与所述第二通信设备通信。所述示例性第一通信设备还包括耦合到所述至少一个处理器的存储器。
虽然在上面的发明内容中讨论了各个实施例,但是应当理解,所有实施例并非必然包括相同的特征,并且上文描述的一些特征不是必要的,但是在一些实施例中会是期望的。在随后的详细说明中讨论了各个实施例的多种附加特征、实施例和益处。
附图说明
图1是根据各个实施例的示例性通信系统的图。
图2是说明了根据各个实施例的示例性IPv6地址格式信息的图。
图3是说明了根据各个实施例的示例性IPv6地址格式信息的图。
图4是示例性绑定更新消息的图,所述绑定更新消息在一些实施例中用于传送对应于节点的地址对和可以用于验证所述地址对和/或验证所述地址对的所有权的信息。
图5是说明了正在第一协议通信链路(例如,不安全的WAN链路)上通信的一对无线通信设备的图。
图6是说明了图5的示例性的一对无线通信设备和作为切换的一部分传送的示例性绑定更新消息的图。
图7是说明了图5的示例性的一对无线通信设备的图,所述一对无线通信设备正在第二协议通信链路(例如,安全的对等链路)上通信。
图8是说明了图5的示例性的一对无线通信设备的图,所述一对无线通信设备已经预先建立了多个通信链路,所述多个通信链路包括:第一协议通信链路,其例如对应于不安全的WAN网络;以及第二协议通信链路,其例如对应于安全的对等网络,每个链路与不同的地址相关联。
图9是根据示例性实施例的一种用于操作第一通信设备的示例性方法的流程图。
图10是根据示例性实施例的一种示例性第一通信设备的图。
图11是可以用于,并且在一些实施例中确实用于,在图10中说明的第一通信设备中的模块的组合。
图12是根据示例性实施例的一种用于操作第一通信设备的示例性方法的流程图。
图13是根据示例性实施例的一种示例性第一通信设备的图。
图14是可以用于,并且在一些实施例中确实用于,在图13中说明的第一通信设备中的模块的组合。
图15是说明了正在通信的两个设备和劫持所述通信的欺诈节点的图。
图16是说明了根据示例性实施例实现的正在通信的两个设备和未能成功地试图劫持所述通信的欺诈节点的图。
具体实施方式
图1是根据各个实施例的示例性通信系统100的图。示例性通信系统100包括多个无线通信设备(通信设备1102、通信设备2104、通信设备3106、通信设备4108、通信设备5110、...、通信设备N 112)。所述通信设备中的一些,例如通信设备3106和通信设备4108,包括有线接口,所述有线接口将通信设备耦合到其它节点、回程网络和/或因特网。
系统100的通信设备(102、104、106、108、110、112)可以产生地址集和对应的地址所有权信息,产生诸如绑定更新消息之类的地址信令消息,发送所产生的地址信令消息,恢复地址信令消息,并且确定关于在所接收的地址信令消息中传送的信息的有效性和/或所有权信息。
在一些实施例中,诸如通信设备1102之类的通信设备产生一对地址,例如一对IPv6地址,其中第一设备1地址与第一通信协议和/或第一网络相关联,第二设备1地址与第二通信协议和/或第二通信网络相关联。在一些这样的实施例中,所述通信设备通过地址信令消息(例如绑定更新消息)向另一个节点(例如,通信设备2104)传送其产生的一对地址以及地址对所有权信息。接收所述地址信令消息的通信设备确定关于在所接收的地址信令消息中传送的信息的有效性和/或所有权信息。在一些实施例中,基于所述有效性和/或所有权确定的结果来决定是否从第一设备1地址切换到第二设备1地址。
图2是说明了根据各个实施例的示例性IPv6地址格式信息的图。示例性IPv6地址200是128比特的参数,其包括64比特的前缀202和64比特的接口标识符(IID)204。所述64比特的前缀202例如是用于路由的网络的64比特前缀。所述64比特的接口标识符(IID)204例如是诸如随机数的值,其提供了在链路上的唯一标识。
在各个实施例中,对应于特定设备来产生一对IPv6地址。例如,一个示例性IPv6地址对包括第一IPv6地址206和第二IPv6地址212。作为用于其归属网络中的设备地址的第一IPv6地址206包括64比特的归属前缀部分208和对应的64比特的接口标识符IID1 210。作为用于特定外部网络中的设备地址的第二IPv6地址212包括64比特的外部网络前缀214和对应的64比特的接口标识符IID2 216。
图3是说明了根据各个实施例的示例性IPv6地址格式信息的图。示例性IPv6地址300是128比特的参数,其包括64比特的前缀302和64比特的接口标识符(IID)304。所述64比特的前缀302例如是用于路由的网络的64比特前缀。所述64比特接口标识符(IID)304例如是诸如随机数的值,其提供了在链路上的标识。
在各个实施例中,对应于特定设备来产生一对IPv6地址。例如,一个示例性IPv6地址对包括第一IPv6地址306和第二IPv6地址312。作为用于第一网络中的设备地址的第一IPv6地址306包括64比特的第一前缀308和对应的64比特的接口标识符IID1 310。第一网络例如是使用第一通信协议的WAN网络。作为用于第二网络中的设备地址的第二IPv6地址312包括64比特的前缀314和对应的64比特的接口标识符IID2 316。第二网络例如是使用与第一通信协议不同的第二通信协议的对等网络。
图4是在一些实施例中使用的示例性绑定更新消息400的图,所述绑定更新消息用于传送对应于节点的地址对和可以用于验证所述地址对的信息,所述绑定更新消息例如作为从使用第一地址在第一网络上的通信向使用第二地址在第二网络上的通信的切换的一部分。示例性绑定更新消息400包括首标部分402和有效载荷部分404。首标部分402包括源地址406、目的地址408和消息类型指示符(MTI)410。有效载荷部分404包括第一IPv6地址412、第二IPv6地址414、公共密钥416、随机数418和签名420。在一些实施例中,在绑定更新消息中包括另外的信息。
在一些实施例中,公共密钥416和随机数418用于提供对应于地址对(412、414)的所有权信息。在一些这样的实施例中,公共密钥416和随机数418被包括为对应于地址对(412、414)的证书的一部分。在一些实施例中,签名420提供对应于所述地址对(412、414)的所有权信息。在一些这样的实施例中,签名被包括为对应于地址对(412、414)的证书的一部分。
第一IPv6地址412和第二IPv6地址414是用于特定节点的地址对,例如图3的地址对(306,312)。接收绑定更新消息400的设备可以使用公共密钥416、随机数418和签名420来验证被传送的所述地址对。在一些实施例中,绑定更新消息400包括对应于发送所述绑定更新消息的节点的一对IPv6地址(412,414),所述地址已经基于公共密钥和随机数被产生,其中,所述公共密钥和随机数也在同一绑定更新消息中传送。接收所述绑定更新消息的节点应当验证所接收的地址对。这个另外的验证增加了安全措施,当试图将通信从不安全网络切换到安全网络时这会很有益,例如,降低了欺诈节点能够劫持通信会话的可能性。
图5是说明了在第一协议通信链路510(例如,不安全的WAN链路)上通信的一对无线通信设备(设备A 502、设备B 504)的图500。设备A 502使用地址1A 506来作为其在这个网络的地址,例如,所述地址对应于第一通信协议和WAN网络。设备B 504使用地址2A 508来作为其在这个网络的地址,例如,所述地址对应于第一通信协议和WAN网络。设备A 502知道其自身的地址(即,地址1A 506)和设备B的地址(即,地址2A 508)。类似地,设备B 504知道其自身的地址(即,地址2A 508)和设备A的地址(即,地址1A 506)。设备A 502产生数据信号A 512,并且通过链路510将其发送到设备B 504。数据信号A 512包括源地址=地址1A、目的地址=地址2A和数据分组A。设备B 504产生数据信号B 514,并且在链路510上将其发送到设备A 502。数据信号B 514包括源地址=地址2A、目的地址=地址1A和数据分组B。
图6是说明了所述示例性的一对无线通信设备(设备A 502,设备B 504)和作为切换的一部分的传送的示例性绑定更新消息的图。设备A产生地址1B 612,其对应于第二网络和第二通信协议,例如使用对等通信协议的对等通信网络。地址1B 612产生自对应于私有密钥A 602的公共密钥A(PKA)606、随机数1(RN 1)608和散列函数611。地址1A 506已经根据公共密钥A606、随机数1608和散列函数611被产生。产生地址对(地址1A506,地址1B 612)包括根据RN 1 608和对应于私有密钥A 602的PK A 606产生第一M比特值和第二M比特值,其中,M是正整数。在一些实施例中,M是64。
设备A 502产生绑定更新消息A 614,并且将其发送到设备B 504。绑定更新消息614包括源地址=地址1A 506、目的地址=地址2A 508、消息类型指示符=绑定更新、第一IPv6地址=地址1A 506、第二IPv6地址=地址1B 612、公共密钥值=公共密钥A 606、随机数值=随机数1 608和签名=签名1 610。签名(SIG 1)610已经根据私有密钥A 602被产生。
设备B 504接收绑定更新消息A 614,并且恢复被传送的信息。然后,设备B 504使用所传送的随机数RN1 608、所传送的公共密钥PK A 606和散列函数611来执行地址验证操作,以确定第一和第二被传送的IPv6地址(地址1A 506、地址1B 612)的有效性。在一些实施例中,作为地址验证的一部分,设备B 504使用所接收的公共密钥A 606、所接收的RN1 608和散列函数611来产生地址对。然后,将所产生的地址对与在BU消息614中传送的两个IPv6地址相比较。所接收的签名SIG 1 610也与所接收的公共密钥A 606相结合地使用以确认信令消息614的发送方拥有对应于PK A606的私有密钥(即,私有密钥A 602)。在这个示例中,假定地址对验证是成功的,并且设备B 504将地址1B存储为验证的地址1B 616,当设备B504在使用第二通信协议的对等通信网络上进行信号传送时可以使用该验证的地址1B 616。
设备B 504产生地址2B 624,其对应于第二网络和第二通信协议,例如,使用对等通信协议的对等通信网络。根据对应于私有密钥B 604的公共密钥B(PK B)618、随机数2(RN 2)620和散列函数611来产生地址2B 624。地址2A 508已经根据公共密钥B 618、随机数2 620和散列函数611产生。设备B 504产生绑定更新消息B 626,并且将其发送到设备A 502。绑定更新消息B 626包括源地址=地址2A 508、目的地址=地址1A 506、消息类型指示符=绑定更新、第一IPv6地址=地址2A 508、第二IPv6地址=地址2B 624、公共密钥值=公共密钥B 618、随机数值=随机数2 620和签名=签名2(SIG 2)622。签名2 622已经由设备B 504根据私有密钥B 604产生。
设备A 502接收绑定更新消息B 626并且恢复被传送的信息。然后,设备A 502使用所传送的随机数RN2 620、所传送的公共密钥PK B 618和散列函数611来执行地址验证操作,以确定第一和第二被传送的IPv6地址(地址2A 508、地址2B 624)的有效性。在一些实施例中,确定在消息626中的第一、第二传送的IPv6地址的有效性包括:根据所接收的PK B 618、所接收的RN2 620和散列函数611来产生一对IPv6地址,然后,将所产生的地址对与在绑定更新消息626中传送的所接收的地址对相比较。所接收的签名SIG 2 622也用于确认该信令消息的发送方知道对应于所传送的公共密钥PK 2 618的私有密钥(即,私有密钥B 604)。在这个示例中,假定地址对验证是成功的,并且设备A 502将地址2B存储为验证的地址2B 628,当设备A 502在使用第二通信协议的对等通信网络上进行信号传送时可以使用该验证的地址2B 628。
知道自身私有密钥的设备能够产生用于其绑定更新消息的有效签名。因此,所述签名可以用于验证产生该绑定更新消息的设备实际上拥有包括在该绑定更新消息中的地址对,并且也可以用于确认消息完整性,例如,在产生所述消息后内容未改变。这个特征在保持安全性和防止由试图模仿设备A 502和设备B 504之一的第三设备劫持通信会话方面是有益的。
图7是说明了所述示例性的一对无线通信设备(设备A 502、设备B 504)的图700,所述一对无线通信设备在第二协议通信链路702(例如,安全对等链路)上通信。设备A 502使用地址1B 612来作为其在这个网络的地址,例如,所述地址对应于第二通信协议和对等网络。设备B 504使用地址2B624来作为其在这个网络的地址,例如,所述地址对应于第二通信协议和对等网络。设备A 502知道其自身的地址(即,地址1B 612)和其已经预先验证并且存储为地址2B 628的设备B的地址(即,地址2B 624)。类似地,设备B 504知道其自身的地址(即,地址2B 624)和其已经预先验证并且存储为地址1B 616的设备A的地址(即,地址1B 612)。设备A 502产生数据信号C 704并通过链路702向设备B 504发送数据信号C 704。数据信号C 704包括源地址=地址1B、目的地址=地址2B和数据分组C。设备B504产生数据信号D 706并通过链路702向设备A 502发送数据信号D 706。数据信号D 706包括源地址=地址2B、目的地址=地址1B和数据分组D。
图8是说明了已经预先建立了多个通信链路(第一协议通信链路510,其例如对应于不安全的WAN网络;以及第二协议通信链路702,其例如对应于安全对等网络)的示例性的一对无线通信设备(设备A 502、设备B 504)的图800。建立的一部分包括传送和验证对应于单个设备的地址对。当设备A 502通过链路510来通信时使用地址1A 506来作为其地址,并且当通过链路702来通信时使用地址1B 612来作为其地址。当设备B 504通过链路510来通信时使用地址2A 508来作为其地址,并且当通过链路702来通信时使用地址2B 624来作为其地址。所述设备(502、504)可以,并且有时确实,在链路之间来回转换,例如,取决于负载条件和/或干扰电平。
图9是根据示例性实施例的一种用于操作第一通信设备的示例性方法的流程图。操作在步骤902开始,在此,第一通信设备被通电和初始化。操作从开始步骤902进行到步骤904。
在步骤904,第一通信设备根据随机数和对应于所述第一通信设备已知的私有密钥的公共密钥产生第一M比特值和第二M比特值,其中,M是正整数。操作从步骤904进行到步骤906。
在步骤906,第一通信设备产生包括所述第一M比特值的第一地址。操作从步骤906进行到步骤908,在此,第一通信设备产生包括所述第二M比特值的第二地址。在一些实施例中,M是64,并且第一和第二地址是IPv6地址。在一些实施例中,第一地址包括作为所述第一地址的用户部分的所述第一M比特值,并且所述第二地址包括作为所述第二地址的用户部分的所述第二M比特值。操作从步骤908进行到步骤910。
在步骤910,第一通信设备发送包括所述第一地址的第一信号。操作从步骤910进行到步骤911。在步骤911,第一通信设备产生包括所述第一地址、所述第二地址、所述公共密钥、所述随机数和与所述第一通信设备相关联的签名的绑定更新消息。操作从步骤911进行到步骤912。在步骤912,第一通信设备向第二通信设备发送所产生的绑定更新消息,其包括所述公共密钥、所述随机数和与所述第一通信设备相关联的签名。操作从步骤912进行到步骤914。在步骤914,第一通信设备从使用第一地址来与第二设备通信切换到用于与第二设备通信的第二地址。在一些实施例中,所述切换包括从使用第一地址来作为被发送到第二设备的分组的源地址改变到使用第二地址来作为被发送到第二设备的分组的源地址。
操作从步骤914进行到步骤916。在步骤916,第一通信设备发送包括所述第二地址的第二信号。
考虑基于参照图5-8所述的信号传送的、根据图9的流程图的方法的一个示例。考虑到这个示例的目的,第一通信设备是设备A 502,第二通信设备是设备B 504。关于步骤904,随机数是RN 1 608,公共密钥是对应于私有密钥A 602的PK A 606。关于步骤906,所产生的第一地址是地址1A 506。关于步骤908,所产生的第二地址是地址1B 612。关于步骤910,第一信号是数据信号512。关于步骤911和步骤912,所产生/发送的绑定更新消息是绑定更新消息A 614。关于步骤914的切换,图5说明了在切换之前使用第一地址通信,而图7说明了在切换之后使用第二地址通信。关于步骤916,第二信号是数据信号C 704。
图10是根据示例性实施例的示例性第一通信设备1000的图。示例性第一通信设备1000实现根据图9的流程图900的方法。第一通信设备1000例如是下述任何之一:图1的通信设备(102、104、106、108、110、112)、图5-8的通信设备502、图5-8的通信设备504、图16的通信设备1602和图16的通信设备1604。
第一通信设备1000包括处理器1002和存储器1004,它们经由总线1009耦合在一起,在总线1009上,各种元件(1002、1004)可以交换数据和信息。第一通信设备1000还包括输入模块1006和输出模块1008,它们可以如图所示耦合到处理器1002。但是,在一些实施例中,输入模块1006和输出模块1008位于处理器1002内部。输入模块1006可以接收输入信号。输入模块1006可以,并且在一些实施例中确实,包括用于接收输入的无线接收机和/或有线或者光学输入接口。输出模块1008可以,并且在一些实施例中确实,包括用于发送输出的无线发射机和/或有线或者光学输出接口。
处理器1002被配置来:根据随机数和对应于所述第一通信设备已知的私有密钥的公共密钥产生第一M比特值和第二M比特值,其中,M是正整数;产生包括所述第一M比特值的第一地址;产生包括所述第二M比特值的第二地址;发送包括所述第一地址的第一信号;并且发送包括所述第二地址的第二信号。在一些实施例中,M是64,并且所述第一地址和第二地址是IPv6地址。在一些实施例中,所述第一地址包括作为所述第一地址的用户部分的所述第一M比特值;并且所述第二地址包括作为所述第二地址的用户部分的所述第二M比特值。
在一些实施例中,处理器1002还被配置来:向第二通信设备发送包括所述公共密钥、所述随机数和与所述第一通信设备相关联的签名的绑定更新消息。在各个实施例中,处理器1002还被配置来:从使用第一地址来与所述第二设备通信切换到用于与所述第二设备通信的第二地址。在一些这样的实施例中,作为被配置来切换的一部分,处理器1002被配置来从使用第一地址来作为被发送到第二设备的分组的源地址改变到使用第二地址来作为被发送到第二设备的分组的源地址。
图11是可以用于,并且在一些实施例中确实用于图10所示的第一通信设备1000中的模块的组合1100。在组合1100中的模块可以以硬件被实现在图10的处理器1002中,例如,作为单独的电路。或者,所述模块可以以软件被实现并被存储在图10所示的第一通信设备1000的存储器1004中。虽然在图10的实施例中被示出为单个处理器,例如计算机,但应当理解,处理器1002可以被实现为一个或多个处理器,例如多个计算机。当以软件实现时,所述模块包括代码,当其被处理器执行时配置诸如计算机的处理器1002来实现对应于所述模块的功能。在模块的组合1100被存储于存储器1004的实施例中,存储器1004是包括计算机可读介质的计算机程序产品,所述计算机可读介质包括代码,例如,每个模块的单独的代码,用于使得诸如处理器1002的至少一个计算机实现所述模块对应的功能。
可以使用完全基于硬件或者完全基于软件的模块。但是,应当理解,软件和硬件(例如,电路实现的)模块的任何组合可以用于实现所述功能。应当理解,在图11中说明的模块控制和/或配置第一通信设备1000或者其中的元件(例如处理器1002),以执行在图9的方法流程图900中说明的对应步骤的功能。
如图11中所示,模块的组合1100包括:模块1104,用于根据随机数和对应于所述第一通信设备已知的私有密钥的公共密钥来产生第一M比特值和第二M比特值,其中,M是正整数;模块1106,用于产生包括所述第一M比特值的第一地址;模块1108,用于产生包括所述第二M比特值的第二地址;模块1110,用于发送包括所述第一地址的第一信号;以及模块1116,用于发送包括所述第二地址的第二信号。在一些实施例中,M是64,并且所述第一地址和第二地址是IPv6地址。在一些实施例中,所述第一地址包括作为所述第一地址的用户部分的所述第一M比特值;并且所述第二地址包括作为所述第二地址的用户部分的所述第二M比特值。
在一些实施例中,模块的组合1100包括下述模块中的一个或多个:模块1111,用于产生绑定更新消息;模块1112,用于向第二通信设备发送包括所述公共密钥、所述随机数和与所述第一通信设备相关联的签名的绑定更新消息;以及模块1114,用于从使用第一地址来与所述第二设备通信切换到用于与所述第二设备通信的第二地址。在各个实施例中,用于切换的模块1114包括模块1118,用于从使用第一地址来作为被发送到第二设备的分组的源地址改变到使用第二地址来作为被发送到第二设备的分组的源地址。在一些实施例中,由模块1111产生并且由模块1112发送的绑定更新消息包括所述第一地址和所述第二地址。
图12是根据示例性实施例的一种用于操作第一通信设备的示例性方法的流程图1200。操作在步骤1202开始,其中,第一通信设备被通电和初始化。操作从开始步骤1202进行到步骤1204。在步骤1204,第一通信设备从第二通信设备接收地址信令消息,其包括对应于所述第二通信设备已知的私有密钥的公共密钥、随机数、对应于第二通信设备的签名、第一地址和第二地址。操作从步骤1204进行到步骤1206。
在步骤1206,第一通信设备使用随机数和公共密钥来执行地址验证操作,以确定第一和第二地址的有效性。所述地址验证操作还包括使用所述签名。步骤1206可以,并且有时确实,包括子步骤1208、1210和1212中的一个或多个。在子步骤1208,第一通信设备根据所述公共密钥和所述随机数产生第三和第四地址。然后,在子步骤1210,第一通信设备将第三和第四地址分别与第一和第二地址相比较,以确认所述地址匹配。在子步骤1212,第一通信设备使用所述签名来确认地址信令消息的发送方知道对应于所述公共密钥的所述私有密钥。
操作从步骤1206进行到步骤1214。在步骤1214,如果第一和第二地址是有效的,则操作从步骤1214进行到步骤1216;否则,操作从步骤1214进行到在步骤1220处的停止。
返回到步骤1216,在步骤1216,第一通信设备使用所述第一或者第二地址中的至少一个来与第二通信设备通信。在一些实施例中,步骤1216包括子步骤1218。在子步骤1218,第一通信设备从使用第一地址来作为被发送到第二通信设备的分组的目的地址切换到将第二地址用于被发送到第二通信设备的分组。
考虑基于参照图5-8所述的信号传送的、根据图12的流程图1200的方法的一个示例。考虑到本示例的目的,第一通信设备是设备B 504,第二通信设备是设备A 502。关于步骤1204,地址信令消息是绑定更新消息A 614,公共密钥是PK A 606,私有密钥是私有密钥A 602,随机数是RN 1 608,签名是SIG 1 610,第一地址是地址1A 506,第二地址是地址1B 612。关于步骤1206,地址验证操作确定在消息614中传送的第一和第二IPv6地址的有效性,并且确定所述地址是有效的。关于子步骤1208,使用散列函数611根据所接收的公共密钥A 606和所接收的RN 1 608产生第三和第四地址。关于子步骤1210,将所产生的第三和第四地址与在消息614中传送的第一和第二IPv6地址相比较,并且确定为匹配。关于子步骤1212,将所接收的签名SIG 1 610与所接收的公共密钥PK A 606相结合地使用来确认设备A502知道对应于公共密钥PK A 606的私有密钥A 602。关于步骤1216,图7说明了使用第二地址与第二设备通信的第一设备,例如,经由第一设备发送的数据信号D 706和经由第一设备接收的数据信号C 704。关于子步骤1218,图5说明了切换之前的信号传送,其中第一设备使用地址1A 506来作为被发送到第二通信设备的分组的目的地址,而图7说明了切换之后的信号传送,其中第一设备使用地址1B 612来作为被发送到第二通信设备的分组的目的地址。
图13是根据示例性实施例的示例性第一通信设备1300的图。示例性第一通信设备1300实现根据图12的流程图1200的方法。第一通信设备1300例如是下述的任何一个:图1的通信设备(102、104、106、108、110、112)、图5-8的通信设备502、图5-8的通信设备504、图16的通信设备1602和图16的通信设备1604。
第一通信设备1300包括处理器1302和存储器1304,处理器1302和存储器1304经由总线1309耦合在一起,在总线1309上,各个元件(1302,1304)可以交换数据和信息。第一通信设备1300还包括输入模块1306和输出模块1308,它们可以如图所示耦合到处理器1302。但是,在一些实施例中,输入模块1306和输出模块1308位于处理器1302内部。输入模块1306可以,并且在一些实施例中确实,包括用于接收输入的无线接收机和/或有线或者光学输入接口。输出模块1308可以,并且在一些实施例中确实,包括用于发送输出的无线发射机和/或有线或者光学输出接口。
处理器1302被配置来:从第二通信设备接收地址信令消息,所述地址信令消息包括对应于第二通信设备已知的私有密钥的公共密钥、随机数和对应于第二通信设备的签名、第一地址和第二地址。处理器1302还被配置来使用所述随机数和公共密钥来执行地址验证操作,以确定第一和第二地址的有效性。处理器1302还被配置来当所述第一地址和第二地址被确定为有效时使用所述第一或者第二地址中的至少一个来与所述第二通信设备通信。
在一些实施例中,处理器1302还被配置来:使用所述签名来作为被配置来执行地址验证的一部分。在各个实施例中,处理器1302还被配置来:根据所述公共密钥和所述随机数产生第三和第四地址;并且作为被配置来执行地址验证的一部分,将第三和第四地址分别与第一和第二地址相比较,以确认所述地址匹配。在一些实施例中,作为被配置来执行地址验证的一部分,处理器1302还被配置来使用所述签名来确认地址信令消息的发送方知道对应于所述公共密钥的所述私有密钥。在一些实施例中,作为被配置来使用所述第一或者第二地址中的至少一个的一部分,处理器1302还被配置来从使用第一地址来作为被发送到第二通信节点的分组的目的地址切换到使用第二地址来作为被发送到第二通信节点的分组的目的地址。
图14是可以用于,并且在一些实施例中确实用于在图13中说明的第一通信设备1300中的模块的组合1400。在组合1400中的模块可以以硬件被实现在图13的处理器1302中,例如,作为单独的电路。或者,所述模块可以以软件被实现和被存储在图13中所示的第一通信设备1300的存储器1304中。虽然在图13的实施例中被示出为单个处理器(例如,计算机),但应当理解,处理器1302可以被实现为一个或多个处理器(例如,多个计算机)。当以软件被实现时,所述模块包括代码,当其被处理器执行时配置诸如计算机的处理器1302来实现对应于所述模块的功能。在模块的组合1400被存储于存储器1304的实施例中,存储器1304是包括计算机可读介质的计算机程序产品,所述计算机可读介质包括代码,例如每个模块的单独的代码,用于使得诸如处理器1302的至少一个计算机实现所述模块对应的功能。
可以使用完全基于硬件或者完全基于软件的模块。但是,应当理解,软件和硬件(例如,电路实现的)模块的任何组合可以用于实现所述功能。应当理解,在图14中说明的模块控制和/或配置第一通信设备1300或者其中的元件(例如处理器1302),以执行在图12的方法流程图1200中说明的对应步骤的功能。
如图14中所示,模块的组合1400包括:模块1404,用于从第二通信设备接收地址信令消息,所述地址信令消息包括对应于第二通信设备已知的私有密钥的公共密钥、随机数和对应于第二通信设备的签名、第一地址和第二地址;以及模块1406,用于使用所述随机数和公共密钥来执行地址验证操作,以确定第一和第二地址的有效性。模块的组合1400还包括模块1416,用于当所述第一地址和第二地址被确定为有效时使用所述第一或者第二地址中的至少一个来与所述第二通信设备通信。
在一些实施例中,用于执行地址验证操作的模块1406还包括下述模块中的一个或多个:模块1407,用于使用所述签名;模块1408,用于根据所述公共密钥和所述随机数产生第三和第四地址;模块1410,用于将第三和第四地址分别与第一和第二地址相比较,以确认所述地址匹配;以及模块1412,用于使用所述签名来确认地址信令消息的发送方知道对应于所述公共密钥的所述私有密钥。在一些实施例中,模块1412被包括为模块1407的一部分。在一些实施例中,模块1416包括模块1418,模块1418用于从使用第一地址来作为被发送到第二通信设备的分组的目的地址切换到使用第二地址来作为被发送到第二通信设备的分组的目的地址。
各个实施例描述了可以用于得出一组IPv6地址并且提供地址池的所有权证明的机制。在各个实施例中,在用户的证书和随机值之间实现了强的绑定,因此,在验证了对应于多个地址的证书时,可以确认用户对所要求的一个或多个IP地址的所有权。在一些情况下,移动节点操纵一对IPv6地址或者甚至是大量的地址。当移动节点具有一对地址时,例如当移动节点具有归属地址(HoA)和转交地址(CoA)时和/或在其中节点可以具有一组IPv6地址的多归属节点(例如,对应于不同域和/或被配置在不同的接口上的多个归属地址)的情况下,这是特别有益的。
在一些实施例中,通过连接两组比特来获得IPv6地址,所述两组比特分别表示前缀和接口标识符(IID)。通常使用每组有64比特的两组比特,但是其它划分也是可能的并且可以用在一些实施例中。在各个实施例中,产生IID,所述IID要是唯一的并且最好是随机的,例如为了保密的目的。
现在将描述用于产生一对IPv6地址的示例性方法。在一些实施例中,以如下方式产生一对64比特参数。单向散列函数(Hash)使用随机的128比特数(RAN)和公共密钥(PK)来作为输入以产生输出。从结果散列提取从散列函数输出的前128比特(Y),并且将该128比特划分为两个64比特IID(IID2、IID1)。每个IID然后用于配置IPv6地址。然后,所述证书和公共密钥对所有权的验证断定两个IPv6地址的所有权。当然,这假定RAN也已经被发送到对应的节点。上述两个步骤描述如下:
(Y)=First[128,Hash(PK|RAN)]
IID1=First[64,(Y)]
随后立即,IID2是从(Y)提取的后64个比特,即,在提取IID1后的剩余部分。
IID2=Second[64,(Y)]
用于产生一对IPv6地址的另一种示例性方法包含对于上述的方式的简单修改的方案。在这样的方式中,IID1等于来自单向散列函数的输出的前64比特(例如最右的比特)与剩余的(即,最左的)64比特的“异或(XOR)”运算,所述单向散列函数将(Y)作为输入。注意,在这种情况下,散列函数将参数(Y)作为输入。所述步骤描述如下:
(Y)=First[128,Hash(PK|RAN)]
IID 1=(First[64,Hash(Y)])XOR(Second[64,Hash(Y)])
对于IID2,以下述方式来计算:
IID2=First[64,Hash(RAN XOR(Y)]
在一些实施例中,将PK替换为证书本身的散列,并且通过第三方来证明所述证书。在一些实施例中,将不同的散列函数用于在所述方法的步骤中的至少一些不同的散列计算中。
图15是说明了正在通信的两个设备(设备V 1502、设备Z 1504)和劫持所述通信的欺诈节点(1505)的图1500。示例性节点V 1502使用地址V1 1506来与设备Z 1504通信,所述设备Z 1504使用地址Z1 1510来作为其地址。通过双向箭头1512来指示设备V/设备Z的通信。欺诈节点1505监视通信1512,如箭头1514所示。欺诈节点1505检测设备V/设备Z的通信,如框1516所示。欺诈节点1505决定假装设备V,并且试图劫持该通信。欺诈节点1505产生并发送绑定更新消息,以劫持该通信,如框1518所示。绑定更新消息1520包括源地址=地址V1、目的地址=地址Z1、消息类型指示符=绑定更新以及新的地址=RV2。地址RV21522实际上是欺诈节点1505的地址,而不是设备V的实际第二地址,设备V的实际第二地址是地址V2 1508。箭头1524指示所产生的绑定更新劫持消息被从欺诈节点1505发送到设备Z 1504。
在这个示例中,设备Z 1504认为绑定更新消息是从设备V 1502发送的,并且设备V 1502期望将其地址改变为地址RV2 1522。设备Z 1504实现所述改变,并且现在与欺诈节点1505通信,而不是与设备V 1502通信,如虚线表示的双向箭头1526所示。设备Z 1504认为其仍然与设备V 1502通信。设备V 1502丢失通信并且已经被欺诈节点1505欺骗。
图16是说明了正在通信的两个设备(设备X 1602、设备Y 1604)和试图劫持所述通信的欺诈节点1605的图1600。根据示例性实施例来实现所述两个设备(1602、1604),以产生多组地址,提供关于所产生的多组地址的所有权信息,验证被传送的多组地址,产生签名和检查签名。
在这个示例中,设备X 1602包括地址对产生模块1618、散列函数1616、作为随机数的RN 1 1612、作为公共密钥的PK X 1610和作为对应的私有密钥的私有密钥X 1610。地址对产生模块1618使用散列函数1616、RN 11612和PK X 1610来产生地址对(地址X1 1606、地址X2 1608)。另外,设备X1602使用私有密钥1610来产生签名SIG X 1614。
设备X 1602当前使用其地址X1 1606来与设备Y 1604通信,设备Y1604使用其地址Y1 1620。用实线双向箭头1626来指示设备X/设备Y的通信。如果设备X 1602想要将其地址从地址X1 1606改变到地址X2 1608,则设备X将产生绑定更新消息(源地址=地址X1,目的地址=Y1,MTI=绑定更新,第一IPv6地址=地址X1,第二IPv6地址=地址X2,公共密钥=PK X,随机数=RN 1,签名=SIG X),并且将所产生的绑定更新消息发送到设备Y,设备Y将在转换到设备X的新地址X2 1608之前验证该地址对和签名。但是,在这个示例中,设备X 1602希望保持在地址X1 1606上,并且不发送这样的绑定更新消息。
在这个示例中,欺诈节点1605一直在监视设备X/设备Y的通信1626,如箭头1628所示。欺诈节点1605检测设备X/设备Y的通信,如框1630所示,并且决定尝试劫持该通信。欺诈节点1605产生和发送绑定更新消息以试图劫持通信。绑定更新消息1634包括源地址=地址X1、目的地址=Y1、MTI=绑定更新、第一IPv6地址=地址X1、第二IPv6地址=地址RX2、公共密钥=PK RX、随机数=RN 3、签名=SIG RX。箭头1638指示从欺诈节点1605向设备Y 1604发送绑定更新劫持消息。
设备Y包括散列函数1616、地址对有效性检查模块1640和签名检查模块1624。地址对有效性检查模块1622使用散列函数1616、所接收的公共密钥PK RX和所接收的随机数RN 3来产生地址对,然后将所产生的地址对与来自所接收的绑定更新消息的所接收的地址对(X1,RX2)相比较。在这个示例中,地址对有效性检查失败,如失败输出1640所示。另外,签名检查模块1642使用所接收的公共密钥PK RX来检查签名SIGRX的有效性,并且确定签名检查失败,如失败输出1642所示。作为失败(1640,1642)的结果,设备Y 1604不接受从地址X11606到地址RX21636的地址改变,并且由欺诈节点1605进行的通信劫持尝试是失败的。双向虚线箭头1644表明在不成功的劫持尝试后使用地址X1 1606和地址Y1 1620来保持设备X/设备Y的通信。在这个示例中,两个检查均失败;然而,如果一个检查已经通过并且另一个检查已经失败,则设备Y 1604仍然不会切换到欺诈地址RX2 1636。
可以使用软件、硬件和/或软件和硬件的组合来实现各个实施例的技术。各个实施例涉及装置,例如,诸如移动接入终端的移动节点、包括一个或多个附着点的基站、中继站和/或通信系统。各个实施例也涉及方法,例如,用于控制和/或操作中继站、移动节点、基站和/或诸如主机的通信系统的方法。各个实施例也涉及诸如计算机的机器、诸如ROM、RAM、CD、硬盘等的可读介质,所述可读介质包括机器可读指令,所述机器可读指令用于控制诸如计算机的机器来实现方法的一个或多个步骤。各个特征涉及新颖消息和/或新颖消息的使用。所述消息被产生、存储和/或传送。作为通信过程的一部分,一个或多个所述消息在发送之前被存储,并且在接收时被存储。因此,一些特征涉及存储器设备,例如计算机可读介质,其具有存储在其上的在本申请中描述的一个或多个消息。在许多情况下,所述消息相对于其可以使用的其它消息格式提供了在它们的数据结构方面的效率和/或其它益处,例如容易识别和访问在消息中的某个信息的能力。
可以理解,在所公开的过程中的步骤的具体顺序或者层次是示例性方式的示例。根据设计偏好,可以理解,在保持处于本公开的范围中的情况下,可以重新布置在所述过程中的步骤的具体顺序或者层次。所附的方法权利要求以示例顺序呈现了各个步骤的元素,并且不意味着限于所呈现的具体顺序或者层次。
在各个实施例中,使用一个或多个模块来实现本文所述的节点,以执行对应于一个或多个方法的步骤,例如,根据随机数和对应于所述第一通信设备已知的私有密钥的公共密钥来产生第一M比特值和第二M比特值,其中,M是正整数;产生包括所述第一M比特值的第一地址;产生包括所述第二M比特值的第二地址;发送包括所述第一地址的第一信号;并且发送包括所述第二地址的第二信号,等等。因此,在一些实施例中,使用模块来实现各个特征。可以使用软件、硬件或者软件和硬件的组合来实现这样的模块。可以使用在机器可读介质(例如存储器设备,例如,RAM、软盘等)中包括的机器可执行指令(例如软件)来实现许多上述方法或者方法步骤,以控制机器(例如,具有或者不具有另外的硬件的通用计算机)来实现上述方法的全部或者部分,例如,在一个或多个节点中。因此,特别地,各个实施例涉及机器可读介质,其包括机器可执行指令,所述机器可执行指令用于使得诸如处理器和相关硬件的机器执行上述一个或多个方法的一个或多个步骤。一些实施例涉及包括处理器的设备(例如,通信设备),所述处理器被配置来实现本发明的一个或多个方法的一个、多个或者全部步骤。
一些实施例涉及包括计算机可读介质的计算机程序产品,所述计算机可读介质包括用于使得一个或多个计算机来实现各种功能、步骤、动作和/或操作(例如,上述的一个或多个步骤)的代码。根据所述实施例,所述计算机程序产品可以,并且有时确实,包括用于要执行的每个步骤的不同代码。因此,所述计算机程序产品可以,并且有时确实,包括用于方法的每个单独步骤的代码,所述方法例如用于控制通信设备或者节点的方法。所述代码可以是在诸如RAM(随机存取存储器)、ROM(只读存储器)或者其它类型的存储设备的计算机可读介质上存储的机器(例如,计算机)可执行指令的形式。除了涉及计算机程序产品之外,一些实施例还涉及处理器,所述处理器被配置来实现如上所述的一个或多个方法的各个功能、步骤、动作和/或操作中的一个或多个。因此,一些实施例涉及处理器(例如,CPU),其被配置来实现本文描述的方法的一些或者全部步骤。所述处理器可以用于例如在本申请中描述的通信设备或者其它设备中。
在一些实施例中,一个或多个设备的一个或多个处理器(例如,CPU)被配置来执行被描述为由通信设备执行的方法的步骤,所述一个或多个设备例如通信设备,所述通信设备例如无线终端,所述无线终端可以是移动设备、基站和/或中继站。因此,一些但不是全部实施例涉及诸如通信设备的设备,其具有处理器,所述处理器包括对应于由包括所述处理器的设备执行的各个所述方法的每个步骤的模块。在一些但不是全部实施例中,诸如通信设备的设备包括对应于由包括所述处理器的设备执行的各个所述方法的每个步骤的模块。可以使用软件和/或硬件来实现所述模块。
虽然在OFDM系统的环境中进行了描述,但是各个实施例的方法和装置中的至少一些适用于广泛的通信系统,其中包括许多非OFDM和/或非蜂窝系统。所述方法和装置中的至少一些适用于混合系统,例如包括OFDM和CDMA信令技术的系统。
基于上述说明,在如上所述的各个实施例的方法和装置上的多种另外的改变对于本领域内的技术人员将是显而易见的。这样的改变应被认为是在本发明的范围中。所述方法和装置可以,并且在各个实施例中确实,被用于CDMA、正交频分复用(OFDM)和/或各种其它类型的通信技术,所述通信技术可以用于在移动节点之间、在移动节点和中继站之间、在接入节点和移动节点之间、在接入节点和中继站之间和/或在中继站和移动节点之间提供无线通信链路。在一些实施例中,接入节点被实现为基站,所述基站使用OFDM和/或CDMA来建立与移动节点和/或中继站的通信链路。在各个实施例中,移动节点被实现为笔记本计算机、个人数字助理(PDA)或者其它便携设备,所述其它便携设备包括接收机/发射机电路和逻辑和/或例程,用于实现所述方法。
Claims (30)
1.一种用于操作第一通信设备的方法,所述方法包括:
根据随机数和对应于所述第一通信设备已知的私有密钥的公共密钥产生第一M比特值和第二M比特值,其中,M是正整数;
产生包括所述第一M比特值的第一地址;
产生包括所述第二M比特值的第二地址;
发送包括所述第一地址的第一信号;以及
发送包括所述第二地址的第二信号。
2.根据权利要求1所述的方法,其中,M是64,并且其中,所述第一地址和第二地址是IPv6地址。
3.根据权利要求1所述的方法,
其中,所述第一地址包括作为所述第一地址的用户部分的所述第一M比特值;以及
其中,所述第二地址包括作为所述第二地址的用户部分的所述第二M比特值。
4.根据权利要求1所述的方法,还包括:
向第二通信设备发送绑定更新消息,所述绑定更新消息包括所述公共密钥、所述随机数和与所述第一通信设备相关联的签名。
5.根据权利要求4所述的方法,还包括:
从使用所述第一地址来与所述第二设备通信切换到用于与所述第二设备通信的所述第二地址。
6.根据权利要求5所述的方法,其中,所述切换包括:从使用所述第一地址来作为被发送到所述第二设备的分组的源地址改变到使用所述第二地址来作为被发送到所述第二设备的分组的源地址。
7.一种第一通信设备,包括:
至少一个处理器,用于:
根据随机数和对应于所述第一通信设备已知的私有密钥的公共密钥产生第一M比特值和第二M比特值,其中,M是正整数;
产生包括所述第一M比特值的第一地址;
产生包括所述第二M比特值的第二地址;
发送包括所述第一地址的第一信号;以及
发送包括所述第二地址的第二信号;
以及,耦合到所述至少一个处理器的存储器。
8.根据权利要求7所述的第一通信设备,其中,M是64,并且其中,所述第一地址和第二地址是IPv6地址。
9.根据权利要求7所述的第一通信设备,
其中,所述第一地址包括作为所述第一地址的用户部分的所述第一M比特值;以及
其中,所述第二地址包括作为所述第二地址的用户部分的所述第二M比特值。
10.根据权利要求7所述的第一通信设备,其中,所述至少一个处理器还用于:
向第二通信设备发送绑定更新消息,所述绑定更新消息包括所述公共密钥、所述随机数和与所述第一通信设备相关联的签名。
11.一种第一通信设备,包括:
用于根据随机数和对应于所述第一通信设备已知的私有密钥的公共密钥产生第一M比特值和第二M比特值的模块,其中,M是正整数;
用于产生包括所述第一M比特值的第一地址的模块;
用于产生包括所述第二M比特值的第二地址的模块;
用于发送包括所述第一地址的第一信号的模块;以及
用于发送包括所述第二地址的第二信号的模块。
12.根据权利要求11所述的第一通信设备,其中,M是64,并且其中,所述第一地址和第二地址是IPv6地址。
13.根据权利要求11所述的第一通信设备,
其中,所述第一地址包括作为所述第一地址的用户部分的所述第一M比特值;以及
其中,所述第二地址包括作为所述第二地址的用户部分的所述第二M比特值。
14.根据权利要求11所述的第一通信设备,还包括:
用于向第二通信设备发送绑定更新消息的模块,所述绑定更新消息包括所述公共密钥、所述随机数和与所述第一通信设备相关联的签名。
15.一种用于第一通信设备中的计算机程序产品,所述计算机程序产品包括:
计算机可读介质,其包括:
用于使得至少一个计算机根据随机数和对应于所述第一通信设备已知的私有密钥的公共密钥产生第一M比特值和第二M比特值的代码,其中,M是正整数;
用于使得所述至少一个处理器产生包括所述第一M比特值的第一地址的代码;
用于使得所述至少一个处理器产生包括所述第二M比特值的第二地址的代码;
用于使得所述至少一个处理器发送包括所述第一地址的第一信号的代码;以及
用于使得所述至少一个处理器发送包括所述第二地址的第二信号的代码。
16.一种用于操作第一通信设备的方法,包括:
从第二通信设备接收地址信令消息,所述地址信令消息包括对应于所述第二通信设备已知的私有密钥的公共密钥、对应于所述第二通信设备的随机数和签名、第一地址和第二地址;
使用所述随机数和公共密钥来执行地址验证操作,以确定所述第一地址和第二地址的有效性;以及
当所述第一地址和第二地址被确定为有效时,使用所述第一或者第二地址中的至少一个来与所述第二通信设备通信。
17.根据权利要求16所述的方法,其中,所述地址验证操作还包括使用所述签名。
18.根据权利要求17所述的方法,其中,所述地址验证操作包括:
根据所述公共密钥和所述随机数产生第三地址和第四地址;以及
将所述第三地址和第四地址分别与所述第一地址和第二地址相比较,以确认所述地址匹配。
19.根据权利要求16所述的方法,其中,执行地址验证操作还包括:
使用所述签名来确认所述地址信令消息的发送方知道对应于所述公共密钥的所述私有密钥。
20.根据权利要求16所述的方法,其中,所述使用所述第一或第二地址中的至少一个包括:
从使用所述第一地址来作为被发送到所述第二通信节点的分组的目的地址切换到使用所述第二地址来作为被发送到所述第二通信节点的分组的目的地址。
21.一种第一通信设备,包括:
至少一个处理器,用于:
从第二通信设备接收地址信令消息,所述地址信令消息包括对应于所述第二通信设备已知的私有密钥的公共密钥、对应于所述第二通信设备的随机数和签名、第一地址和第二地址;
使用所述随机数和公共密钥来执行地址验证操作,以确定所述第一地址和第二地址的有效性;以及
当所述第一地址和第二地址被确定为有效时,使用所述第一或者第二地址中的至少一个来与所述第二通信设备通信;
以及,耦合到所述至少一个处理器的存储器。
22.根据权利要求21所述的第一通信设备,其中,作为用于执行地址验证的一部分,所述至少一个处理器进一步用于使用所述签名。
23.根据权利要求22所述的第一通信设备,其中,所述至少一个处理器还用于:
根据所述公共密钥和所述随机数产生第三地址和第四地址;以及
作为用于执行地址验证的一部分,将所述第三地址和第四地址分别与所述第一地址和第二地址相比较,以确认所述地址匹配。
24.根据权利要求21所述的第一通信设备,其中,作为用于执行地址验证的一部分,所述至少一个处理器进一步用于使用所述签名来确认所述地址信令消息的发送方知道对应于所述公共密钥的所述私有密钥。
25.一种第一通信设备,包括:
用于从第二通信设备接收地址信令消息的模块,所述地址信令消息包括对应于所述第二通信设备已知的私有密钥的公共密钥、对应于所述第二通信设备的随机数和签名、第一地址和第二地址;
用于使用所述随机数和公共密钥来执行地址验证操作,以确定所述第一地址和第二地址的有效性的模块;以及
用于当所述第一地址和第二地址被确定为有效时,使用所述第一或者第二地址中的至少一个来与所述第二通信设备通信的模块。
26.根据权利要求25所述的第一通信设备,其中,所述用于执行地址验证操作的模块还包括用于使用所述签名的模块。
27.根据权利要求26所述的第一通信设备,其中,所述用于执行地址验证操作的模块包括:
用于根据所述公共密钥和所述随机数产生第三地址和第四地址的模块;以及
用于将所述第三地址和第四地址分别与所述第一地址和第二地址相比较,以确认所述地址匹配的模块。
28.根据权利要求25所述的第一通信设备,其中,所述用于执行地址验证操作的模块还包括:
用于使用所述签名来确认所述地址信令消息的发送方知道对应于所述公共密钥的所述私有密钥的模块。
29.根据权利要求25所述的第一通信设备,其中,所述用于使用所述第一或第二地址中的至少一个的模块包括:
用于从使用所述第一地址来作为被发送到所述第二通信节点的分组的目的地址切换到使用所述第二地址来作为被发送到所述第二通信节点的分组的目的地址的模块。
30.一种用于第一通信设备中的计算机程序产品,所述计算机程序产品包括:
计算机可读介质,其包括:
用于使得至少一个计算机从第二通信设备接收地址信令消息的代码,所述地址信令消息包括对应于所述第二通信设备已知的私有密钥的公共密钥、对应于所述第二通信设备的随机数和签名、第一地址和第二地址;
用于使得所述至少一个处理器使用所述随机数和公共密钥来执行地址验证操作,以确定所述第一地址和第二地址的有效性的代码;以及
用于使得所述至少一个处理器当所述第一地址和第二地址被确定为有效时,使用所述第一或者第二地址中的至少一个来与所述第二通信设备通信的代码。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US12/360,899 | 2009-01-28 | ||
| US12/360,899 US8619995B2 (en) | 2009-01-28 | 2009-01-28 | Methods and apparatus related to address generation, communication and/or validation |
| PCT/US2010/022298 WO2010088316A1 (en) | 2009-01-28 | 2010-01-27 | Methods and apparatus related to address generation, communication and/or validation |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102292962A true CN102292962A (zh) | 2011-12-21 |
| CN102292962B CN102292962B (zh) | 2014-11-05 |
Family
ID=42244456
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201080005435.5A Expired - Fee Related CN102292962B (zh) | 2009-01-28 | 2010-01-27 | 与地址产生、传送和/或验证相关的方法和装置 |
Country Status (7)
| Country | Link |
|---|---|
| US (1) | US8619995B2 (zh) |
| EP (1) | EP2392123B1 (zh) |
| JP (1) | JP5415563B2 (zh) |
| KR (1) | KR101317390B1 (zh) |
| CN (1) | CN102292962B (zh) |
| TW (1) | TW201032551A (zh) |
| WO (1) | WO2010088316A1 (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105450788A (zh) * | 2014-09-19 | 2016-03-30 | 德州仪器公司 | 网络的地址产生 |
| CN110855600A (zh) * | 2018-08-21 | 2020-02-28 | 中国电信股份有限公司 | 用于切换tcp连接的方法、装置和系统 |
Families Citing this family (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9826395B2 (en) | 2014-03-21 | 2017-11-21 | Telefonaktiebolaget Lm Ericsson (Publ) | Methods and devices for addressing device to device communications |
| US10623515B2 (en) * | 2015-12-01 | 2020-04-14 | Fastly, Inc. | Stenographic marking using network addressing |
| US11005809B2 (en) * | 2016-03-29 | 2021-05-11 | Motorola Solutions, Inc. | Methods, devices, and systems for generating a plurality of network addresses for a plurality of communication devices |
| US10855650B2 (en) | 2016-06-17 | 2020-12-01 | Telefonaktiebolaget Lm Ericsson (Publ) | Generating unique random strings as element identifiers |
| JP2020096275A (ja) * | 2018-12-12 | 2020-06-18 | コネクトフリー株式会社 | 情報通信方法及び情報通信システム |
| JP7076849B2 (ja) * | 2019-02-06 | 2022-05-30 | コネクトフリー株式会社 | 通信処理方法、装置、および通信処理プログラム |
| EP4227880A4 (en) | 2020-10-07 | 2024-07-10 | Nippon Telegraph & Telephone | IDENTIFIER MODIFICATION MANAGEMENT DEVICE, IDENTIFIER MODIFICATION MANAGEMENT METHOD, AND IDENTIFIER MODIFICATION MANAGEMENT PROGRAM |
| EP4228200A4 (en) | 2020-10-07 | 2024-07-10 | Nippon Telegraph & Telephone | DEVICE FOR MANAGING IDENTIFIER CHANGES, METHOD FOR MANAGING IDENTIFIER CHANGES AND PROGRAM FOR MANAGING IDENTIFIER CHANGES |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20020152380A1 (en) * | 2001-04-12 | 2002-10-17 | Microsoft Corporation | Methods and systems for unilateral authentication of messages |
| CN1741523A (zh) * | 2004-08-25 | 2006-03-01 | 华为技术有限公司 | 一种实现主机移动性和多家乡功能的密钥交换协议方法 |
| US20060077908A1 (en) * | 2004-10-07 | 2006-04-13 | Park So H | Method for generating and authenticating address automatically in IPv6-based internet and data structure thereof |
Family Cites Families (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2004341563A (ja) | 1993-06-18 | 2004-12-02 | Matsushita Electric Ind Co Ltd | 楕円曲線による署名、認証及び秘密通信方式 |
| US5497423A (en) * | 1993-06-18 | 1996-03-05 | Matsushita Electric Industrial Co., Ltd. | Method of implementing elliptic curve cryptosystems in digital signatures or verification and privacy communication |
| US6108704A (en) * | 1995-09-25 | 2000-08-22 | Netspeak Corporation | Point-to-point internet protocol |
| AU2003240171A1 (en) * | 2002-07-15 | 2004-02-02 | Nokia Corporation | An ipv6 address ownership authentification based on zero-knowledge identification protocols or based on one time password |
| JP4352728B2 (ja) * | 2003-03-11 | 2009-10-28 | 株式会社日立製作所 | サーバ装置、端末制御装置及び端末認証方法 |
| US7925027B2 (en) * | 2005-05-02 | 2011-04-12 | Ntt Docomo, Inc. | Secure address proxying using multi-key cryptographically generated addresses |
| CN101001261B (zh) * | 2006-01-09 | 2010-09-29 | 华为技术有限公司 | 一种MIPv6移动节点的通信方法 |
| CN101626374B (zh) * | 2008-07-11 | 2013-08-28 | 成都市华为赛门铁克科技有限公司 | IPv6网络中协商SA的方法、系统和设备 |
-
2009
- 2009-01-28 US US12/360,899 patent/US8619995B2/en not_active Expired - Fee Related
-
2010
- 2010-01-27 WO PCT/US2010/022298 patent/WO2010088316A1/en active Application Filing
- 2010-01-27 CN CN201080005435.5A patent/CN102292962B/zh not_active Expired - Fee Related
- 2010-01-27 JP JP2011548267A patent/JP5415563B2/ja not_active Expired - Fee Related
- 2010-01-27 KR KR1020117019947A patent/KR101317390B1/ko active IP Right Grant
- 2010-01-27 EP EP10716918.7A patent/EP2392123B1/en not_active Not-in-force
- 2010-01-28 TW TW099102477A patent/TW201032551A/zh unknown
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20020152380A1 (en) * | 2001-04-12 | 2002-10-17 | Microsoft Corporation | Methods and systems for unilateral authentication of messages |
| CN1741523A (zh) * | 2004-08-25 | 2006-03-01 | 华为技术有限公司 | 一种实现主机移动性和多家乡功能的密钥交换协议方法 |
| US20060077908A1 (en) * | 2004-10-07 | 2006-04-13 | Park So H | Method for generating and authenticating address automatically in IPv6-based internet and data structure thereof |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105450788A (zh) * | 2014-09-19 | 2016-03-30 | 德州仪器公司 | 网络的地址产生 |
| CN105450788B (zh) * | 2014-09-19 | 2021-03-19 | 德州仪器公司 | 网络的地址产生 |
| US11206239B2 (en) | 2014-09-19 | 2021-12-21 | Texas Instruments Incorporated | Address generation for networks |
| US11611530B2 (en) | 2014-09-19 | 2023-03-21 | Texas Instruments Incorporated | Address generation for networks |
| US11902244B2 (en) | 2014-09-19 | 2024-02-13 | Texas Instruments Incorporated | Address generation for networks |
| CN110855600A (zh) * | 2018-08-21 | 2020-02-28 | 中国电信股份有限公司 | 用于切换tcp连接的方法、装置和系统 |
| CN110855600B (zh) * | 2018-08-21 | 2021-08-27 | 中国电信股份有限公司 | 用于切换tcp连接的方法、装置和系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| KR20110110844A (ko) | 2011-10-07 |
| JP5415563B2 (ja) | 2014-02-12 |
| TW201032551A (en) | 2010-09-01 |
| US8619995B2 (en) | 2013-12-31 |
| EP2392123A1 (en) | 2011-12-07 |
| CN102292962B (zh) | 2014-11-05 |
| JP2012516654A (ja) | 2012-07-19 |
| KR101317390B1 (ko) | 2013-10-11 |
| EP2392123B1 (en) | 2014-04-23 |
| WO2010088316A1 (en) | 2010-08-05 |
| US20100189264A1 (en) | 2010-07-29 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102292962B (zh) | 与地址产生、传送和/或验证相关的方法和装置 | |
| CN102577462B (zh) | 用于对表达式进行推导、传输和/或验证拥有权的方法和装置 | |
| CN101617513B (zh) | 移动路由器和对端节点之间利用反向可路由性网络前缀选项的路由优化 | |
| JP4665617B2 (ja) | メッセージ認証システム,メッセージ送信装置,メッセージ受信装置,メッセージ送信方法,メッセージ受信方法およびプログラム | |
| EP3324574B1 (en) | Gateway device and control method therefor | |
| US10716048B2 (en) | Detecting critical links in bluetooth mesh networks | |
| JP4329656B2 (ja) | メッセージ受信確認方法、通信端末装置及びメッセージ受信確認システム | |
| JP2018525939A (ja) | セキュリティ認証方法、構成方法、および関連デバイス | |
| KR20110119785A (ko) | 비-암호화 망 동작 해결책 | |
| CN111213398B (zh) | 用于在诸如wlan的无线网络中执行访问控制和/或转发控制的方法和装置 | |
| CN104303583A (zh) | 用于在通信系统中建立安全连接的系统和方法 | |
| TW576056B (en) | Modification of ciphering activation time by RLC reset procedure during ciphering configuration change procedure in a wireless communications protocol | |
| JP2016134861A (ja) | ノード装置、ネットワークシステム及びノード装置の接続方法 | |
| JP2006295741A (ja) | 経路修復方法およびシステム | |
| CN108270613B (zh) | 发送消息方法及网络设备 | |
| JP5664104B2 (ja) | 通信システム、並びに、通信装置及びプログラム | |
| JP2006173735A (ja) | メッセージの認証方法と該認証方法を用いたメッセージ認証装置およびメッセージ認証システム | |
| EP3850891B1 (en) | Detecting critical links in bluetooth mesh networks | |
| JP2018157512A (ja) | デバイス、情報端末、認証管理サーバおよびデバイス認証システム | |
| JP4609938B2 (ja) | データ通信方法およびシステム | |
| CN116132144A (zh) | 一种基于智能合约技术的物联网传输方法和系统 | |
| CN118401947A (zh) | 联合学习过程 | |
| Sumanth et al. | Management of Secure IDS for Mobile Ad-Hoc Network | |
| KR20130010438A (ko) | 단말간 직접 통신을 위한 암호화 방법 및 장치 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20141105 Termination date: 20220127 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |