CN102484659A - 用于生成移动ip网络中密码生成地址的方法和网络节点 - Google Patents
用于生成移动ip网络中密码生成地址的方法和网络节点 Download PDFInfo
- Publication number
- CN102484659A CN102484659A CN201080039373XA CN201080039373A CN102484659A CN 102484659 A CN102484659 A CN 102484659A CN 201080039373X A CN201080039373X A CN 201080039373XA CN 201080039373 A CN201080039373 A CN 201080039373A CN 102484659 A CN102484659 A CN 102484659A
- Authority
- CN
- China
- Prior art keywords
- node
- cga
- network node
- message
- section point
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/50—Address allocation
- H04L61/5007—Internet protocol [IP] addresses
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2101/00—Indexing scheme associated with group H04L61/00
- H04L2101/60—Types of network addresses
- H04L2101/618—Details of network addresses
- H04L2101/659—Internet protocol version 6 [IPv6] addresses
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W8/00—Network data management
- H04W8/02—Processing of mobility data, e.g. registration information at HLR [Home Location Register] or VLR [Visitor Location Register]; Transfer of mobility data, e.g. between HLR, VLR or external networks
- H04W8/08—Mobility data transfer
- H04W8/082—Mobility data transfer for traffic bypassing of mobility servers, e.g. location registers, home PLMNs or home agents
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W80/00—Wireless network protocols or protocol adaptations to wireless operation
- H04W80/04—Network layer protocols, e.g. mobile IP [Internet Protocol]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
一种用于生成密码生成地址(CGA)的方法包括以下步骤:在位于第一节点与第二节点之间的通信路径上的网络节点中使用第一节点的独特信息来生成用于第一节点的密码生成地址(CGA),该网络节点具有第一节点的独特信息;以及将CGA指派到第一节点。该网络节点还包括使用第一节点的独特信息的用于第一节点的CGA的生成器和用于将CGA指派到第一节点的输出。
Description
技术领域
本发明一般涉及移动IP网络。更具体地说,本发明涉及用于以密码方式生成移动IP网络中地址的方法和网络节点。
背景技术
在过去几十年内,电信和因特网经历了难以置信的增长和扩展。技术已从集中计算更改为个性计算,并且现在通过网络、装置和服务的融合而更改为移动计算。
移动IP或更具体地说使用因特网协议(IP)的版本6的移动IPv6(MIPv6)的使用使移动计算成为可能。MIPv6是一种因特网工程任务组(IETF)标准通信协议。它已设计为允许移动用户从一个网络移到另一网络而不会遇到服务的中断。实际上,MIPv6协议通过保持移动节点(MN)与不同网络的连接,向MN提供持续的IP服务,移动节点是移动电话、膝上型计算机或PDA等。
移动服务通过归属代理(HA)来部署,归属代理提供归属地址(HoA)到向该HA注册的MA。在MN离开并且将自己附连到不同接入路由器时,它获得称为转交地址(CoA)的新地址。MN随后将绑定更新(BU)发送到HA以将CoA绑定到HoA,以便引导到HoA的业务转发到CoA。HA通过绑定确认(BA)来回复MN,并且例如使用双向隧道将以HoA为目的地地址的每个分组转发到CoA。通过这样做,移动节点(MN)能够移动而不会结束在进行的会话,因为MN的HoA保持不变。
此外,MIPv6定义路由优化(RO)过程,在该过程中,MN能够将绑定更新(BU)直接发送到对应节点(CN)以便使用直接路径。在发送直接BU前,MN必须执行返回路由性(RR)测试以便向CN提供能够在归属地址(HoA)和新转发地址(CoA)达到它的某一级别的保证。为了执行RR,MN通过HA发送归属测试初始化(HoTI)消息到CN。HoTI的源地址是HoA。同时,MN直接向CN发送转交地址初始化(CoTI)消息,以CoA为源地址。CN通过在HoT消息中包括归属令牌和在CoT消息中包括转交令牌来回复这两个消息。如果MN接收这两个消息,则这意味着它可经HoA和CoA到达。在此情况下,具有恶意MN的概率低。随后,MN组合两个令牌,即转交令牌和归属令牌,以获得用于将BU发送到CU的绑定管理密钥(Kbm)。在接收BU后,CN随后将能够评估Kbm是使用这两个令牌形成的。
最近定义了MN代理解决方案以便添加对MIPv6的网络支持。MN代理通常位于接入路由器中,并且代表MN执行信令。它降低了通过MN与网络之间的无线电接口的信令和隧道化开销。MN代理解决方案的一个主要优点是可定义一些扩展而无需任何MN参与,即,网络关照这些扩展。路由优化是此类扩展之一。
密码生成地址(CGA)允许证明数据分组的发送方实际上是地址的所有者(所有权证明)。为了生成CGA,节点具有一对非对称密钥,包括公共密钥和私有密钥,公共密钥与例如目的地节点等其它节点共享。CGA是为了提高安全性同时降低不同节点之间的业务交换而形成的。CGA的主机ID部分通过使用地址所有者的私有密钥和接口特定的一些参数以密码方式生成。要在目的地节点中验证地址,发送方应向目的地节点发送CGA参数、其公共密钥,并使用其私有密钥将数据分组签名。随后,目的地节点能够通过使用接收的参数和公共密钥重新计算或验证CGA来获得所有权证明。
使用CGA用于RO的一种解决方案已被定义。它使用基于HoA的CGA的永久归属令牌。MN需要执行一次归属可达性测试。在切换后,MN向CN发送早期BU(EBU)。EBU包含归属令牌和用于CGA验证的材料。
然而,现有解决方案带来了伸缩性问题,并对最终用户装置施加了压力。因此,需要使用和生成CGA的改进解决方案。
发明内容
更具体地说,根据本发明,提供了一种位于第一节点与第二节点之间的通信路径上的网络节点,该网络节点具有第一节点的独特信息并且具有私有密钥和公共密钥,公共密钥至少与第二节点共享。该网络节点包括:生成器,用于使用第一节点的独特信息来生成用于第一节点的密码生成地址(CGA);输出模块,用于将CGA指派到第一节点;输入模块,用于从第一节点接收消息,所述消息使用CGA来发出并且寻址到第二节点;以及安全性模块,用于代表第一节点,使用网络节点的私有密钥将接收的消息签名。输出模块还用于将签名消息发送到第二节点,由此使得第二节点能够证明CGA的所有权。
根据本发明的第二方面,提供了一种位于第一节点与第二节点之间的通信路径上的网络节点,该网络节点具有第一节点的独特信息。该网络节点包括:生成器,用于使用第一节点的独特信息来生成用于第一节点的密码生成地址(CGA);以及输出模块,用于将CGA指派到第一节点。
根据本发明的第三方面,提供了一种位于第一节点与第二节点之间的通信路径上的网络节点。该网络节点包括:输入模块,用于从第一节点接收消息,所述消息使用CGA来发出并且寻址到第二节点;安全性模块,用于代表第一节点将接收的消息签名;以及输出模块,用于将签名消息发送到第二节点,由此使得第二节点能够证明CGA的所有权。
根据本发明的第四方面,提供了一种用于生成密码生成地址(CGA)的方法。该方法包括以下步骤:在位于第一节点与第二节点之间的通信路径上的网络节点中使用第一节点的独特信息来生成用于第一节点的密码生成地址(CGA),该网络节点具有第一节点的独特信息;以及将CGA指派到第一节点。
从参照附图仅作为示例给出的本发明的说明实施例的以下非限制性描述中,本发明的上述和其它目的、优点和特征将变得明白。
附图说明
在附图中:
图1是根据本发明的一非限制性说明实施例的MIP网络的示意图;
图2是根据本发明的一非限制性说明实施例的用于为另一节点生成CGA的移动节点的示意图;
图3是根据本发明的一非限制性说明实施例的第二网络节点的示意图;
图4是根据本发明的一非限制性说明实施例的第三网络节点的示意图;
图5是示出根据本发明的一非限制性说明实施例的用于生CGA的方法的流程图;
图6是根据本发明的一实施例的HoTI消息的报头的示意图;以及
图7是示出图1的MIIP网络中使用图5的方法的路由选择优化的方法的流程图。
具体实施方式
通常来说,本发明的非限制性说明实施例提供用于位于第一节点与第二节点之间的通信路径中的网络节点,该网络节点生成用于诸如第一节点等另一节点的CGA。因此,本发明的实施例允许分隔生成CGA的节点和为其生成CGA的节点。通过这样做,一个单节点可生成用于许多不同节点的多个CGA。为区分用于每个不同节点的每个生成的CGA,每个CGA的生成将每个不同节点的独特信息考虑在内。
CGA的上述生成的一个十分有趣的应用能够在使用MN代理解决方案的MIPv6中的路由优化中找到。为了如此做,位于MN与CN之间的通信路径上的HA通过生成作为用于MN或MN代理的归属地址的CGA而涉及路由选择优化。由于在每个MN具有CGA能力时观察到伸缩性问题,因此,在HA使用其自己的私有密钥生成MN的归属地址的CGA时,克服了伸缩性问题。在初始路由优化期间,为了归属可达性测试,MN代理代表MN将HoTI消息发送到HA。在HA接收HoTI消息时,它将接收的HoTI消息替代为使用其自己的私有密钥签名的签名HoTI消息。随后,HA将签名HoTI消息与其它CGA参数及其公共密钥一起发送到CN,这些CGA参数在本领域是公知的。在CN接收所有此信息时,它能够按照要求获得CGA的所有权证明,即,它能够知道将接收消息签名的任何人是为MN生成的CGA的所有者。下面将更详细描述用于路由优化的此新方法。
现在转到图1,将先描述用于本发明的实施例的包括MIP网络10的框架。
MIP网络10例如包括通讯节点(CN)12,通讯节点(CN)12连接到因特网14和MN 18最初注册的HA 16。HA 16能够是例如通过向MN18指派归属地址(HoA)而提供用于MN 18的移动性服务的网络节点。
MIP网络10还包括至少一个MN代理和本领域公知的其它组件。更具体地说,两个MN代理20和22在图1中作为示例示出。
如箭头19所示,先附连到MN代理20的MN 18能够在MIP网络10内四处移动,以便将自己附连到MN代理22。为了降低通过MN 18与网络之间无线电接口的信令和隧道化开销,通常能够是接入路由器(未示出)的一部分的MN代理20或22代表MN 18执行信令。通过使用MN代理,能够在网络中控制和集中信令。
图2示出位于第一节点与第二节点之间的通信路径上的诸如HA16等网络节点100的示意图;第一节点能够是MN 18或MN代理20,并且第二节点能够是CN 12。
网络节点100包括CGA的生成器102、输出模块104、安全性模块106、输入模块108、令牌生成器110及包括私有密钥112和公共密钥114的一对非对称密钥。应注意,该对非对称密钥可驻留在网络节点100的存储库116中,该存储库例如可包括其它密钥(私有或公共)。当然,网络节点100还包括诸如处理器或存储器等多个其它组件(未示出),以便执行其普通任务和过程,这些普通任务和过程在本领域是公知的,并且因此不进一步描述。
CGA的生成器102允许使用私有密钥112,生成用于另一节点(例如使用用于MN 18或MN代理20的CGA来生成HoA)的CGA。相信的是,使用一对非对称密钥的CGA生成和所有权证明在本领域已经是已知的,因此,CGA生成(使用私有密钥)和CGA的所有权证明(使用公共密钥)将不进一步描述。然而,为了将网络节点100生成的可能许多的CGA相互区分,生成器102中执行的CGA计算将生成的CGA所用于的节点的独特信息考虑在内。在MN 18的情况中,独特的信息例如能够是对每个特定MN独特的MN标识符或ID。此外,通过在CGA计算中使用每个MN 18的独特信息,例如可能获得用于CGA的主机ID部分的不同哈希值,以便能够相互区分每个这样生成的CGA。应注意,CGA的计算在RFC3972中有明确记录,RFC3972还指示CGA生成方法允许具有可选的扩展字段。在我们的情况中,MN标识符或ID用做CGA生成中的扩展字段。
一旦CGA由生成器102使用第一节点的独特信息和网络节点100的私有密钥112来生成,输出模块104便允许将CGA指派到第一节点。为了如此做,输出模块104以安全方式将CGA发送到第一节点(即,通过IKEv2交换)。诸如IKEv2交换等安全的过程在网络节点100与第一节点之间提供安全链路。在MN 18与CN 12的路由选择优化的上下文中,生成的CGA包括HoA,并且第一节点能够是MN 18或MN代理20。随后,仍在路由优化的上下文中,可在IKEv2交换中包括指示提供到MN 18的HoA是CGA的选项。
输入模块108允许截取或接收从第一节点(例如,MN 18或代理MN 20)使用CGA发出并寻址到第二节点(例如,CN 12)的消息。
在接收消息后,网络节点100的安全性模块106允许代表第一节点使用私有密钥112将接收的消息签名,因为网络节点100生成了用于第一节点的CGA,以用于保持CGA验证或提供CGA支持的目的。或者换而言之,网络节点100代表第一节点签名以用于使得接收器(第二节点)能够获得CGA的所有权证明的目的。这也能够由网络节点100称为代理签名,即,将从另一节点接收的消息签名并且使用为该节点生成的CGA来发出。为了该目的,应注意,网络节点100应位于在第一节点与第二节点之间的通信路径上。在图1的MIP网络10的上下文中,网络节点能够是HA 12。在该情况下,第一节点能够是MN 18或MN代理20。然而,在其它情况下,网络节点能够也是MN代理20,因此,MN 18将是第一节点。
输入模块108还允许从第二节点接收消息。这些消息可例如包括令牌。
在从第二节点接收令牌后,令牌生成器110允许基于接收的令牌而生成第二令牌。两个令牌随后通过输出模块104发送到第一节点(例如,MN 18或MN代理20)。
应注意,包括私有密钥112和公共密钥114的该对密钥为CGA领域的技术人员所公知,因此,它们将不做进一步描述。
现在转到图3,将描述网络节点200的第二实施例。
网络节点200包括CGA的生成器202、输出模块204和一对非对称密钥(即,私有密钥206和公共密钥208)。当然,网络节点200还包括诸如处理器或存储器等多个其它组件(未示出),以便执行其普通任务和过程,这些普通任务和过程在本领域是公知的,并且因此不进一步描述。
CGA的生成器202具有图2的CGA的生成器102的一些特性。它允许使用第一节点的独特信息和私有密钥206来生成用于诸如MN18等第一节点的CGA。
输出模块204具有图2的输出模块104的一些特性。它允许以安全方式(例如,使用IKEv2)将生成的CGA指派到第一节点。当然,其它方式和技术能够用于将CGA指派到第一节点。
在图4中,示出了网络节点300的第三实施例。网络节点300包括输入模块302、安全性模块304、输出模块306及CGA的生成器308。
输入模块302具有图2的输入模块108的一些特性。它允许从第一节点接收消息,消息使用事先已经由CGA的生成器308使用私有密钥(未示出)生成的CGA来发出。
在接收此消息后,安全性模块304代表CGA生成将消息签名,因为网络节点300已生成用于发出消息的CGA。实际上,即使消息来自第一节点,网络节点300能够通过安全性模块304及其私有密钥112将其签名,以便在第二节点接收签名的消息时,它能够检测到网络节点300确实是由CGA的生成器308为第一节点生成的CGA的所有者。安全性模块304具有图2的安全性模块106的一些特性。
输出模块306允许将签名的消息发出到第二节点。
现在转到图5,将描述用于生成CGA的方法400。
方法400从步骤402在诸如图2的网络节点100等网络节点中生成用于第一节点的CGA开始,网络节点100位于第一节点与第二节点之间的通信路径上。更具体地说,图2的生成器102使用第一节点的独特信息和诸如图2的112等私有密钥,生成用于第一节点的CGA。
随后,在步骤404中,生成的CGA例如通过图2的输出模块104被指派到第一节点。更具体地说,出于安全性目的,通过使用例如IKEv2将CGA指派到第一节点。当然,也能够使用其它安全技术。
一旦第一节点接收CGA,它便能够发出使用接收的CGA并寻址到第二节点的消息。此消息随后例如发回网络节点100。网络节点100通过其输入模块108接收消息。在接收此消息后,安全性模块106代表对于CGA生成的第一节点,用私有密钥112将接收的消息签名。
接着,网络节点100的输出模块104将签名消息发送到第二节点,第二节点能够根据意愿确立CGA的所有权证明。预期第二节点具有图2的网络节点100的公共密钥114的副本。
一旦所有权证明已确立为满足第二节点(例如,通过或不通过实际CGA参数重新计算),第二节点便将消息发送到网络节点100,该消息包括第一令牌。
在接收第一令牌后,网络节点100的令牌生成器110基于第一令牌而生成第二令牌。
随后,通过网络节点100的输出模块104,将第一和第二令牌发送到第一节点。
现在转到图7,并参照图1,将描述MIP网络10中的路由优化的方法500中本发明的实施例的应用。在此方法中,假设网络节点100是图1的HA 16,第一节点是MN代理20,并且第二节点是CN 12,以及路由优化的该方法例如允许MN 18直接与CN 12进行通信。如本文中前面所述,MN代理代表MN 18控制至少一部分信令。此外,HA 16具有包括私有密钥和公共密钥的一对非对称密钥。公共密钥与至少第二节点(即CN 12)共享。此外,HA 16具有表示MN 18的一段独特信息。
首先,在步骤502中,依据某些触发,例如在MN 18附连到网络10时,MN代理20代表MN 18从MN 18附连到的HA 16请求HoA。
在步骤504中,HA 16使用其私有密钥和MN 18的独特信息(如其标识符)生成请求的HoA的CGA。此独特信息在CGA计算期间被考虑在内以便获得用于HoA的CGA的主机ID部分的不同哈希值。
在步骤506中,例如,如在RFC4877中所述,通过IKEv2交换,将生成的HoA指派到MN 18。在此情况下,HA 16也可包括IKEv2交换中的选项以便指示提供的HoA是CGA。
一旦MN代理20获得生成的HoA,归属可达性测试便能够为初始RO过程执行。
更具体地说,在步骤508中,MN代理20发送以CN 12为目的地地址的HoTI消息,该HoTI消息使用CGA而发出,并且封装在具有HA 16为目的地地址的隧道中。
在从MN代理20接收HoTI消息后,HA 16在步骤510中将接收的HoTI消息替代为新HoTI消息。新HoTI消息包括HoA作为源地址以及CN 12作为目的地地址。HA 16还包括CGA生成或所有权证明所要求的所有参数。HA 16使用诸如私有密钥112等其私有密钥将新HoTI消息签名。
例如,图6示出能够与HA 16创建的新HoTI消息一起使用的报头600的一部分。在示范新HoTI消息中,应注意,新C比特602设为一(1)以指示消息由HA 16创建,并且使用了CGA。如本领域技术人员将容易认识到的,其它比特能够在消息中的报头600或其它处用于实现相同的指示目的。此外,出于安全性原因,如果HA 16接收C比特602已经被设置的HoTI消息,则它应拒绝此消息。当然,报头600包括用于不同选项的其它字段。
在步骤512中,将签名HoTI消息发送到CN 12。在接收签名HoTI消息后,CN 12能够在步骤514中使用接收的参数和公共密钥来验证或确立CGA的所有权。
之后,在步骤516中,CN 12将HoT消息发回HA 16。HoT消息除诸如归属初始Cookie(Home Init Cookie)等RFC3775中定义的字段外,还包括CN 12给出的第一令牌,例如加密的永久归属密钥生成令牌(Home keygen token)。此归属令牌能够如RFC3775中所述的来生成并使用例如HA 16的公共密钥来加密。
在步骤518中,在从CN 12接收HoT消息后,HA 16生成第二令牌。第二令牌基于第一令牌而生成。更具体地说,通过对归属令牌和MN 18的CoA的级联进行哈希,生成第二令牌。例如,也称为HA_CoA令牌的第二令牌能够给出为:
HA_CoA令牌=SHA1(HA私有密钥,(归属Token|CoA))
其中,SHA1是公知的哈希函数。
在步骤520中,HA 16创建新HoT消息,该消息包括第一和第二令牌以及HA 16的公共密钥。新HoT消息能够可选地使用例如IPsec安全性关联来保护。当然,其它安全性协议或机制也是可能的。
在步骤522中,HA 16将新HoT消息发送到MN代理20。在接收该HoT消息后,在步骤524中,MN代理20将BU消息发送到CN12,该BU消息包括如RFC3775中相同的字段、HA公共密钥、归属令牌及HA_CoA令牌。此外,为了增加的安全性,BU消息能够通过认证器来保护,其例如使用归属令牌作为用于哈希处理的密钥来计算。
在接收BU后,在步骤526中,CN 12通过重新计算归属令牌和通过级联归属令牌和MN 18的CoA而形成的HA_CoA令牌,验证两个接收的令牌。在验证结果肯定时,CN 12随后能够向CoA转移(switch)数据分组,因为CN 12知道HA_CoA令牌在发送到CoA处的MN 18之前已由HA 16计算。因此,MN 18通过HoA和通过CoA是可到达的。
在步骤528中,CN 12将BA消息发送到MN代理20。
在RO完成后,在步骤530中,MN代理20具有将消息发送到HA 16以确认RO会话在进行的选项。在此情况下,HA 16将能够在其绑定高速缓存条目(BCE,未示出)中保持通过MN 18及其相关联归属令牌和HA_CoA令牌而使用RO的CN的列表。
应注意,在MN代理20(或MN 18)的切换后,MN代理20能够再使用如步骤524中定义的相同的BU来刷新在CN 12的绑定。更具体地说,在切换后,新MN代理将BU发送到HA 16。HA 16通过新CoA来计算新HA_CoA令牌。在BA中,HA 16发送通过MN 18及其相关联归属令牌和HA_CoA令牌而使用RO的CN的列表。
MN代理20随后将BU发送到CN 12。BU如方法500的步骤522中般被构建。
在接收BU时,CN 12随后能够向新CoA直接转移数据分组,并且将BA发送到MN代理20。
上述方法的一些优点包括降低了MN涉及RO过程的事实。切换后交换的消息数量也保持为低,因为随后的RO会话能够仅通过CN 12与MN 18之间的一次BU/BA交换便被建立。此外,降低了切换后对返回路由性的需要(如果未被完全消除)。
虽然本发明已通过一非限制性说明实施例在上述说明书中来描述,但此说明实施例能够在本发明的范围、精神和性质内根据意愿来修改。
Claims (25)
1.一种位于第一节点与第二节点之间的通信路径上的网络节点,所述网络节点具有所述第一节点的独特信息并且具有私有密钥和公共密钥,所述公共密钥至少与所述第二节点共享,所述网络节点包括:
-生成器,用于使用所述第一节点的所述独特信息来生成用于所述第一节点的密码生成地址(CGA);
-输出模块,用于将所述CGA指派到所述第一节点;
-输入模块,用于从所述第一节点接收消息,所述消息使用所述CGA来发出并且寻址到所述第二节点;以及
-安全性模块,用于代表所述第一节点使用所述网络节点的所述私有密钥将所接收的消息签名;
-其中所述输出模块还用于将所签名的消息发送到所述第二节点,由此使得所述第二节点能够证明所述CGA的所有权。
2.如权利要求1所述的网络节点,其中所述私有密钥和所述公共密钥形成一对非对称密钥。
3.如权利要求1所述的网络节点,其中所述生成器还使用所述网络节点的所述私有密钥来生成用于所述第一节点的所述CGA。
4.一种位于第一节点与第二节点之间的通信路径上的网络节点,所述网络节点具有所述第一节点的独特信息,所述网络节点包括:
-生成器,用于使用所述第一节点的所述独特信息来生成用于所述第一节点的密码生成地址(CGA);以及
-输出模块,用于将所述CGA指派到所述第一节点。
5.如权利要求4所述的网络节点,还包括一对非对称密钥,包括私有密钥和公共密钥,所述公共密钥至少与所述第二节点共享,并且所述私有密钥由所述生成器用于生成用于所述第一节点的所述CGA。
6.如权利要求4所述的网络节点,其中所述输出模块将所述CGA指派到所述第一节点,同时确保所述第一节点与所述网络节点之间的安全交换。
7.一种位于第一节点与第二节点之间的通信路径上的网络节点,所述网络节点包括:
-输入模块,用于从所述第一节点接收消息,所述消息使用CGA来发出并且寻址到所述第二节点;
-安全性模块,用于代表所述第一节点将所接收的消息签名;以及
-输出模块,用于将所签名的消息发送到所述第二节点,由此使得所述第二节点能够证明所述CGA的所有权。
8.如权利要求7所述的网络节点,还包括用于使用所述第一节点的可用于所述网络节点的独特信息来生成用于所述第一节点的所述CGA的生成器。
9.如权利要求7所述的网络节点,还包括形成一对非对称密钥的私有密钥和公共密钥,所述公共密钥至少与所述第二节点共享。
10.如权利要求9所述的网络节点,其中所述生成器还使用所述私有密钥来生成用于所述第一节点的所述CGA。
11.如权利要求7所述的网络节点,其中所述输出模块还将所述CGA指派到所述第一节点。
12.如权利要求7所述的网络节点,其中从所述第一节点接收的所述消息包括HoTI消息。
13.如权利要求9所述的网络节点,其中所述安全性模块代表所述第一节点,使用所述私有密钥将所接收的消息签名。
14.如权利要求7所述的网络节点,其中所述输入模块还在所签名的消息已被发送后从所述第二节点接收包括第一令牌的消息。
15.如权利要求14所述的网络节点,还包括用于生成第二令牌的令牌生成器,所述第二令牌基于所述第一令牌而生成。
16.如权利要求15所述的网络节点,其中所述输出模块还将包括所述第一和第二令牌的又一消息发送到所述第一节点。
17.一种用于生成密码生成地址(CGA)的方法,包括以下步骤:
-在位于第一节点与第二节点之间的通信路径上的网络节点中,使用所述第一节点的独特信息来生成用于所述第一节点的密码生成地址(CGA),所述网络节点具有所述第一节点的所述独特信息;以及
-将所述CGA指派到所述第一节点。
18.如权利要求17所述的方法,还包括使用所述网络节点的私有密钥来生成用于所述第一节点的所述CGA的步骤。
19.如权利要求17所述的方法,其中将所述CGA指派到所述第一节点的步骤包括以安全方式将所生成的CGA发送到所述第一节点的步骤。
20.如权利要求17所述的方法,还包括在指派的步骤后从所述第一节点接收消息的步骤,所述消息使用所述CGA来发出并寻址到所述第二节点。
21.如权利要求20所述的方法,还包括在接收的步骤后,代表所述第一节点用所述私有密钥将所接收的消息签名的步骤。
22.如权利要求21所述的方法,还包括将所签名的消息发送到所述第二节点的步骤,由此使得所述第二节点能够证明所述CGA的所有权。
23.如权利要求22所述的方法,还包括在发送所签名的消息的步骤后,从所述第二节点接收又一消息的步骤,所述又一接收的消息包括第一令牌。
24.如权利要求23所述的方法,还包括在从所述第二节点接收所述又一消息的步骤后,生成第二令牌的步骤,所述第二令牌基于所述第一令牌。
25.如权利要求24所述的方法,还包括将所述第一和第二令牌发送到所述第一节点的随后步骤。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US12/549130 | 2009-08-27 | ||
| US12/549,130 US20110055551A1 (en) | 2009-08-27 | 2009-08-27 | Method and network nodes for generating cryptographically generated addresses in mobile ip networks |
| PCT/IB2010/053487 WO2011024090A1 (en) | 2009-08-27 | 2010-07-30 | Method and network nodes for generating cryptographically generated addresses in mobile ip networks |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN102484659A true CN102484659A (zh) | 2012-05-30 |
Family
ID=43012757
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201080039373XA Pending CN102484659A (zh) | 2009-08-27 | 2010-07-30 | 用于生成移动ip网络中密码生成地址的方法和网络节点 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US20110055551A1 (zh) |
| EP (1) | EP2471247B8 (zh) |
| CN (1) | CN102484659A (zh) |
| WO (1) | WO2011024090A1 (zh) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CA2714280A1 (en) * | 2008-02-08 | 2009-08-13 | Telefonaktiebolaget L M Ericsson (Publ) | Method and apparatus for use in a communications network |
| US9276944B2 (en) * | 2013-03-13 | 2016-03-01 | International Business Machines Corporation | Generalized certificate use in policy-based secure messaging environments |
| CN114710351A (zh) * | 2014-03-26 | 2022-07-05 | 大陆-特韦斯股份有限公司 | 用于在通信过程中改进数据安全性的方法和系统 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| GB2413462A (en) * | 2004-04-23 | 2005-10-26 | Matsushita Electric Ind Co Ltd | Duplicate Address Detection Optimisation |
| CN1706152A (zh) * | 2002-11-20 | 2005-12-07 | 诺基亚公司 | Ip网络中的路由最优化代理 |
| CN101299668A (zh) * | 2008-06-30 | 2008-11-05 | 华为技术有限公司 | 一种通信的建立方法、系统和装置 |
| CN101335744A (zh) * | 2007-06-29 | 2008-12-31 | 华为技术有限公司 | 一种加密生成地址的配置方法、系统和装置 |
Family Cites Families (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| GB2413461B (en) * | 2004-04-23 | 2006-05-10 | Matsushita Electric Ind Co Ltd | Crytographic optimisation for duplicate address detection |
| CN101006682B (zh) * | 2004-08-20 | 2013-03-06 | 艾利森电话股份有限公司 | 快速网络附着 |
| US20060251044A1 (en) * | 2005-04-22 | 2006-11-09 | Wassim Haddad | Mobility support for multihome nodes |
| US8098823B2 (en) * | 2005-05-03 | 2012-01-17 | Ntt Docomo, Inc. | Multi-key cryptographically generated address |
| EP1739893A1 (en) * | 2005-06-30 | 2007-01-03 | Matsushita Electric Industrial Co., Ltd. | Optimized reverse tunnelling for packet switched mobile communication systems |
| US20070113075A1 (en) * | 2005-11-10 | 2007-05-17 | Ntt Docomo, Inc. | Secure route optimization for mobile network using multi-key crytographically generated addresses |
| US9516495B2 (en) * | 2007-03-01 | 2016-12-06 | Futurewei Technologies, Inc. | Apparatus and methods of PMIPv6 route optimization protocol |
| US8266427B2 (en) * | 2007-06-08 | 2012-09-11 | Cisco Technology, Inc. | Secure mobile IPv6 registration |
| US8228843B2 (en) * | 2007-11-12 | 2012-07-24 | Futurewei Technologies, Inc. | Internet protocol version 4 support for proxy mobile internet protocol version 6 route optimization protocol |
-
2009
- 2009-08-27 US US12/549,130 patent/US20110055551A1/en not_active Abandoned
-
2010
- 2010-07-30 EP EP10751715.3A patent/EP2471247B8/en not_active Not-in-force
- 2010-07-30 WO PCT/IB2010/053487 patent/WO2011024090A1/en active Application Filing
- 2010-07-30 CN CN201080039373XA patent/CN102484659A/zh active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1706152A (zh) * | 2002-11-20 | 2005-12-07 | 诺基亚公司 | Ip网络中的路由最优化代理 |
| GB2413462A (en) * | 2004-04-23 | 2005-10-26 | Matsushita Electric Ind Co Ltd | Duplicate Address Detection Optimisation |
| CN101335744A (zh) * | 2007-06-29 | 2008-12-31 | 华为技术有限公司 | 一种加密生成地址的配置方法、系统和装置 |
| CN101299668A (zh) * | 2008-06-30 | 2008-11-05 | 华为技术有限公司 | 一种通信的建立方法、系统和装置 |
Non-Patent Citations (1)
| Title |
|---|
| KUI REN,WENJINGLOU,KAIZENG,FENG BAO,JIANYING ZHOU,ROBERT H.DENG: "Routing optimization security in mobile IPv6", 《COMPUTER NETWORKS》, vol. 50, no. 13, 15 September 2006 (2006-09-15), pages 2401 - 2419 * |
Also Published As
| Publication number | Publication date |
|---|---|
| EP2471247B1 (en) | 2014-10-15 |
| EP2471247A1 (en) | 2012-07-04 |
| WO2011024090A1 (en) | 2011-03-03 |
| EP2471247B8 (en) | 2014-12-17 |
| US20110055551A1 (en) | 2011-03-03 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101965722B (zh) | 安全性关联的重新建立 | |
| CN101150572B (zh) | 移动节点和通信对端绑定更新的方法及装置 | |
| JP5745626B2 (ja) | ホストベースのモビリティおよびマルチホーミングプロトコルに対する軽量セキュリティソリューションのための方法および装置 | |
| US8724553B2 (en) | Route optimization with location privacy support | |
| US20060227971A1 (en) | Secret authentication key setup in mobile IPv6 | |
| CN101150849B (zh) | 生成绑定管理密钥的方法、系统、移动节点及通信节点 | |
| JP2009509463A (ja) | 状態転送のためにモバイルノードを利用するための方法および装置 | |
| JP2008541566A (ja) | マルチ鍵暗号化生成アドレスを用いたセキュアなアドレスプロキシ | |
| CN101213797A (zh) | 分组交换移动通信系统的优化的反向隧道传送 | |
| JP2011511519A (ja) | モバイルipネットワークにおけるルート最適化 | |
| JP5250634B2 (ja) | 移動通信ネットワークにおいて使用するための方法及び装置 | |
| JP5144685B2 (ja) | 移動ネットワークにおけるシグナリング委任 | |
| JP2008537429A (ja) | 対応ノードとセッション中にある移動ノードへの匿名性の提供 | |
| US20090213797A1 (en) | Method for binding update in mobile ipv6 and mobile ipv6 communication system | |
| TW201236430A (en) | Efficient NEMO security with IBE | |
| CN102474712B (zh) | 用于移动ip路由优化的方法和系统 | |
| CN102484659A (zh) | 用于生成移动ip网络中密码生成地址的方法和网络节点 | |
| JPWO2008053955A1 (ja) | 通信方法、通信システム、モバイルノード及び通信ノード | |
| CN100536471C (zh) | 一种家乡代理信令消息有效保护方法 | |
| Brian et al. | Security scheme for mobility management in the internet of things | |
| Rathi et al. | A Secure and Fault tolerant framework for Mobile IPv6 based networks | |
| Chen et al. | An efficient MIPv6 return routability scheme based on geometric computing | |
| Jara et al. | Secure mobility management scheme for 6lowpan id/locator split architecture | |
| Muslam et al. | HIP based micro-mobility management optimization | |
| KR101266931B1 (ko) | Aaa 프로토콜을 기반으로 하는 통합 보안인증 체계의 구축을 통한 보안인증 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20120530 |