CN105681364A - 一种基于增强绑定的IPv6移动终端抗攻击方法 - Google Patents
一种基于增强绑定的IPv6移动终端抗攻击方法 Download PDFInfo
- Publication number
- CN105681364A CN105681364A CN201610221883.8A CN201610221883A CN105681364A CN 105681364 A CN105681364 A CN 105681364A CN 201610221883 A CN201610221883 A CN 201610221883A CN 105681364 A CN105681364 A CN 105681364A
- Authority
- CN
- China
- Prior art keywords
- message
- binding
- access
- mobile terminal
- shared key
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0442—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明公开一种基于增强绑定的IPv6移动终端抗攻击方法。所述方法包括:获取输入的用户信息,并根据所述用户信息发送认证请求;接收根据所述认证请求返回的接入质询报文;根据所述接入质询报文生成响应报文,并发送所述响应报文,以使得服务器根据所述响应报文认证所述用户信息;若认证成功,接收根据所述响应报文返回的接入接受报文;提取所述接入接受报文中所包含的共享密钥,并根据预设的更新规则加密绑定更新消息或绑定确认消息,从而抵抗安全攻击。本发明提供的方法具有以下优点:(1)能够为IPv6移动终端的家乡注册和通信节点注册提供安全保障,提高IPv6移动终端网络的安全性;(2)无需依赖开销大、效率低、配置繁琐的IPSec;(3)计算量和信息量小;(4)高效率。
Description
技术领域
本发明涉及互联网技术领域,具体地,涉及一种基于增强绑定的IPv6移动终端抗攻击方法。
背景技术
随着互联网应用的迅猛发展,现有IPv4地址已近枯竭。以IPv6协议为核心的新一代互联网提供无限地址空间,提供更快、更高、更强的服务。但随着IPv6应用的增多,特别是以智能手机为主的IPv6应用的爆炸式增长过程中,不断产生新的针对IPv6移动终端的安全问题,如IPv6的地址配置、邻居发现、扩展报头问题等,给社会和个人带来巨大损失。
在IPv6移动终端的家乡注册和通信节点注册过程中,攻击者可以通过发送虚假的绑定更新来破坏正常的通信,或者重定向数据流,使移动节点之间的通信遭受数据保密性攻击、DoS攻击、假冒家乡代理攻击、中间人攻击等。目前的解决方案是利用IPSec在移动节点和家乡代理之间提供认证加密机制,但这种机制在实际使用中有诸多问题,如密钥管理问题、配置复杂、地址转换问题等,同时IPSec的引入不可避免地大幅度度增加系统开销,缺乏可操作性。
从另一个角度看,不论是家乡注册,还是通信节点注册过程,都是通过绑定更新/绑定确认消息的交互,针对IPv6移动终端的攻击能够奏效,很大程度上是由于绑定更新缺乏认证机制,如果能对绑定更新提供一种认证机制,就能较好的解决其安全问题。从这个思路出发,有方案提出利用CGA来实现地址和公钥的绑定,同时利用非对称加密算法的可认证性来实现安全绑定更新和绑定确认。但是,RSA算法对移动节点而言可能计算复杂度太高。
发明内容
本发明的目的是提供一种基于增强绑定的IPv6移动终端抗攻击方法。所述方法通过改进AAA认证过程,将AAA认证和家乡注册结合起来,并由家乡网络的AAA服务器在移动节点和家乡代理之间共享密钥,降低重复计算量,构建安全高效的绑定更新消息或绑定确认消息,不仅能够为IPv6移动终端的家乡注册和通信节点注册提供安全保障,提高IPv6网络的安全性,而且无需依赖开销大、效率低、配置繁琐的IPSec。
为了实现上述目的,本发明提供一种基于增强绑定的IPv6移动终端抗攻击方法。所述方法包括:
获取输入的用户信息,并根据所述用户信息发送认证请求;
接收根据所述认证请求返回的接入质询报文;
根据所述接入质询报文生成响应报文,并发送所述响应报文,以使得服务器根据所述响应报文认证所述用户信息;
在认证成功的情况下,接收根据所述响应报文返回的接入接受报文;
提取所述接入接受报文中所包含的共享密钥,并根据预设的更新规则加密绑定更新消息或绑定确认消息,从而抵抗安全攻击。
可选地,所述根据所述接入质询报文生成响应报文,包括:
提取所述接入质询报文中所包含的随机数;
根据所述随机数和预设的口令计算得到消息摘要;
根据所述消息摘要生成所述响应报文。
可选地,所述预设的更新规则包括:
将所述共享密钥添加到绑定更新消息头或绑定确认消息头的保留字段中;
每接收或发送一次所述绑定更新消息或绑定确认消息,更新所述共享密钥。
相应地,本发明还提供一种基于增强绑定的IPv6移动终端抗攻击方法。所述方法包括:
接收移动终端的客户端发送的认证请求;
根据所述认证请求生成接入质询报文,并发送所述接入质询报文;
接收根据所述接入质询报文返回的响应报文,并将所述响应报文与计算得到的消息摘要进行比较,得到比较结果;
在根据所述比较结果判断所述响应报文中所包含的消息摘要与所述计算得到的消息摘要相同的情况下,生成共享密钥;
根据所述共享密钥生成接入接受报文,并发送所述接入接受报文,以使得所述客户端根据预设的更新规则和所述接入接受报文中包含的共享密钥加密绑定更新消息或绑定确认消息,从而抵抗安全攻击。
可选地,所述根据所述认证请求生成接入质询报文,包括:
根据所述认证请求产生一个随机数;
根据所产生的一个随机数生成所述接入质询报文。
可选地,所述响应报文与计算得到的消息摘要进行比较之前,所述方法还包括:
根据所述认证请求在数据库中读取用户口令;
根据所述用户口令和所述接入质询报文中包含的随机数计算得到所述消息摘要。
可选地,所述生成共享密钥,包括:
获取当前时间的哈希值的前16位,得到所述共享密钥。
可选地,所述方法还包括:
将所述共享密钥与所述用户口令进行异或运算,得到密钥信息;
根据所述密钥信息生成所述接入接受报文。
可选地,所述方法还包括:
将生成的所述共享密钥分享给家乡代理,以使得所述家乡代理根据预设的更新规则和所述共享密钥加密绑定更新消息或绑定确认消息,从而抵抗安全攻击,
其中,所述预设的更新规则包括:
将所述共享密钥添加到绑定更新消息头或绑定确认消息头的保留字段中;
每接收或发送一次所述绑定更新消息或绑定确认消息,更新所述共享密钥。
可选地,所述方法还包括:
在根据所述比较结果判断所述响应报文中所包含的消息摘要与所述计算得到的消息摘要不相同的情况下,生成接入拒绝报文,并发送所述接入拒绝报文终止认证。
通过上述技术方案,将AAA认证和家乡注册结合起来,并由家乡网络的AAA服务器在移动节点和家乡代理之间共享密钥,降低重复计算量,构建安全高效的绑定更新消息或绑定确认消息,不仅能够为IPv6移动终端的家乡注册和通信节点注册提供安全保障,提高IPv6网络的安全性,而且无需依赖开销大、效率低、配置繁琐的IPSec。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍。显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些图获得其他的附图。
图1是本发明一实施例提供的基于增强绑定的IPv6移动终端抗攻击系统的示意图;
图2是本发明一实施例提供的基于增强绑定的IPv6移动终端抗攻击方法的流程图;
图3是本发明另一实施例提供的基于增强绑定的IPv6移动终端抗攻击方法的流程图;
图4是本发明一实施例提供的基于增强绑定的IPv6移动终端抗攻击方法的流程图;
图5是本发明另一实施例提供的基于增强绑定的IPv6移动终端抗攻击方法的流程图;
图6是本发明一实施例提供的基于增强绑定的IPv6移动终端抗攻击方法的工作流程图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
图1是本发明一实施例提供的基于增强绑定的IPv6移动终端抗攻击系统的示意图。如图1所示,本发明一实施例提供的基于增强绑定的IPv6移动终端抗攻击系统包括:移动节点(MN),所述移动节点为装备了移动IPv6协议的主机,MN可以为笔记本电脑、智能手机、iPad等移动终端,也可以是IPv6移动接入的客户端;外地网络的交换机(FS),当移动节点漫游到外地网络进行身份认证时,首先将认证请求发送给该网络的Switch/NAS(NetworkAttachedStorage,网络附属存储)设备,由它将移动节点的认证请求进行进一步处理;家乡代理(HA),是在本地链路上的路由器,代替移动节点接收数据分组,并将其路由到移动节点;外地网络的AAA(AuthenticationAuthorizationAccounting,简称AAA)服务器(FA3S),通过与外地网络Switch/NAS设备及家乡网络的AAA服务器配合,完成漫游的移动节点在家乡网络的身份认证与数据访问;家乡网络的AAA服务器(HA3S),通过与外地网络的Switch/NAS设备及外地网络的AAA服务器配合,实际完成漫游的移动节点在家乡网络的身份认证工作与数据访问。
图2是本发明一实施例提供的基于增强绑定的IPv6移动终端抗攻击方法的流程图。如图2所示,本发明一实施例提供的基于增强绑定的IPv6移动终端抗攻击方法包括:
在步骤S101中,获取输入的用户信息,并根据所述用户信息发送认证请求。
其中,用户信息包括用户在移动终端的客户端输入的用户名和密码。具体地,移动终端向外地网络的交换机发起认证请求后,外地网络的交换机接收移动终端发送的认证请求,并从认证请求(认证报文)中取出认证消息,并将认证消息按照Radius协议的格式进行封装,然后向FA3S发出认证请求。FA3S收到认证请求后,根据认证请求中的用户名判断出客户所在的家乡网络,并将认证请求转发给家乡网络的HA3S。
接着,在步骤S102中,接收根据所述认证请求返回的接入质询报文。
紧接着,在步骤S103中,根据所述接入质询报文生成响应报文,并发送所述响应报文,以使得服务器根据所述响应报文认证所述用户信息。
具体地,所述根据所述接入质询报文生成响应报文,包括:提取所述接入质询报文中所包含的随机数;根据所述随机数和预设的口令计算得到消息摘要;根据所述消息摘要生成所述响应报文。其中,所述消息摘要为MD5摘要。
在生成所述响应报文之后,移动终端的客户端将所述响应报文发送至外地网络的交换机,交换机将所述响应报文转发至FA3S,FA3S再将所述响应报文转发给家乡网络的HA3S。
然后,在步骤S104和步骤S105中,在认证成功的情况下,接收根据所述响应报文返回的接入接受报文。
具体地,在没有认证成功的情况下,接收根据所述响应报文返回的接入拒绝报文终止认证,也即是认证失败。
最后,在步骤S106中,提取所述接入接受报文中所包含的共享密钥,并根据预设的更新规则加密绑定更新消息或绑定确认消息,从而抵抗安全攻击。
其中,所述预设的更新规则包括:将所述共享密钥添加到绑定更新消息头或绑定确认消息头的保留字段中;每接收或发送一次所述绑定更新消息或绑定确认消息,更新所述共享密钥。具体地,每接收或发送一次所述绑定更新消息或绑定确认消息,对所述共享密钥执行加1操作。更为具体地,提取所述接入接受报文中所包含的共享密钥,包括:客户端从所述接入接受报文中提取密钥信息,然后,将所述密钥信息与预设的口令进行异或运算,得到共享密钥。
本申请的发明人在构建安全高效的绑定更新消息或绑定确认消息的基础上,也尽量做到了以下两点:一是轻量,计算量小,在提取共享密钥时,进行简单的异或运算便可得到共享密钥,没有给移动终端带来过大的负担;二是信息量小,共享密钥为当前时间的哈希值的前16位,能够很容易放入绑定更新消息或绑定确认消息中,同时又具有唯一性和可靠性。
图3是本发明另一实施例提供的基于增强绑定的IPv6移动终端抗攻击方法的流程图。如图3所示,在具体应用中,移动终端的客户端启动后,获取用户输入的用户信息,并根据用户信息向外地网络的交换机发送EAPoL-start报文,也即是认证报文。然后,监听EAPoL报文。在判断所接收到的报文不为EAPoL报文的情况下,继续监听EAPoL报文。在判断所接收到的报文为EAPoL报文的情况下,解析EAPoL报文的类型。若EAPoL报文为识别报文,按照识别报文的相关信息进行处理操作,发送响应识别报文,操作完之后,继续监听EAPoL报文。若EAPoL报文为MD5-challenge报文(接入质询报文),根据MD5-challenge报文和预设的口令计算得到消息摘要,然后,根据所述消息摘要生成Response-MD5报文(响应报文),并发送Response-MD5报文。发送之后,继续监听EAPoL报文。若EAPoL报文为成功报文(接入接受报文),根据所述成功报文提取共享密钥KSha,提取共享密钥之后,认证便可结束。若EAPoL报文为失败报文(接入拒绝报文),根据所述失败报文执行处理操作,认证便可结束。
图4是本发明一实施例提供的基于增强绑定的IPv6移动终端抗攻击方法的流程图。如图4所示,本发明一实施例提供的基于增强绑定的IPv6移动终端抗攻击方法包括:
在步骤S201中,接收移动终端的客户端发送的认证请求。
接着,在步骤S202中,根据所述认证请求生成接入质询报文,并发送所述接入质询报文。
其中,所述根据所述认证请求生成接入质询报文,包括:根据所述认证请求产生一个随机数;根据所产生的一个随机数生成所述接入质询报文。
HA3S将接入质询报文发送至FA3S之后,FA3S将接入质询报文转发至外地网络的交换机,交换机将所述接入质询报文转换为EAPoL格式,并返回给客户端。
紧接着,在步骤S203中,接收根据所述接入质询报文返回的响应报文,并将所述响应报文与计算得到的消息摘要进行比较,得到比较结果。
具体地,所述响应报文与计算得到的消息摘要进行比较之前,所述方法还包括:根据所述认证请求在数据库中读取用户口令;根据所述用户口令和所述接入质询报文中包含的随机数计算得到所述消息摘要。
然后,在步骤S204和步骤S205中,在根据所述比较结果判断所述响应报文中所包含的消息摘要与所述计算得到的消息摘要相同的情况下,生成共享密钥。
具体地,在根据所述比较结果判断所述响应报文中所包含的消息摘要与所述计算得到的消息摘要不相同的情况下,生成接入拒绝报文,并发送所述接入拒绝报文终止认证。
其中,所述生成共享密钥,包括:获取当前时间的哈希值的前16位,得到所述共享密钥。当前时间为根据比较结果判断响应报文中所包含的消息摘要与计算得到的消息摘要相同时的时间。
最后,在步骤S206中,根据所述共享密钥生成接入接受报文,并发送所述接入接受报文,以使得所述客户端根据预设的更新规则和所述接入接受报文中包含的共享密钥加密绑定更新消息或绑定确认消息,从而抵抗安全攻击。
其中,HA3S将接入接受报文发送至FA3S之后,FA3S将接入接受报文转发至外地网络的交换机,交换机将所述接入接受报文转换为EAPoL格式,并打开相应端口,将报文返回给客户端。
优选地,所述方法还包括:将所述共享密钥与所述用户口令进行异或运算,得到密钥信息;根据所述密钥信息生成所述接入接受报文。藉此,可避免网络窃听共享密钥,进一步提高IPv6网络的安全性。
在具体的应用中,所述方法还包括:将生成的所述共享密钥分享给家乡代理,以使得所述家乡代理根据预设的更新规则和所述共享密钥加密绑定更新消息或绑定确认消息,从而抵抗安全攻击,其中,所述预设的更新规则包括:将所述共享密钥添加到绑定更新消息头或绑定确认消息头的保留字段中;每接收或发送一次所述绑定更新消息或绑定确认消息,更新所述共享密钥。具体地,每接收或发送一次所述绑定更新消息或绑定确认消息,对所述共享密钥执行加1操作。
图5是本发明另一实施例提供的基于增强绑定的IPv6移动终端抗攻击方法的流程图。如图5所示,在具体的应用中,家乡网络的AAA服务器的系统启动后,执行监听操作。在接收到报文的情况下,执行报文的合法性检查。若所述报文为非法报文,丢弃所述报文,认证结束。若所述报文为合法报文,解析所述报文,并判断所述用户名是否合法。若所述用户名不合法,进行日志记录,生成接入拒绝报文,并发送接入拒绝报文,认证结束。若所述用户名合法,执行策略匹配检查,并判断是否合格。若不合格,进行日志记录,,生成接入拒绝报文,并发送接入拒绝报文,认证结束。若合格,发送EAPoL回执信息,组织成功报文,计算加密摘要,分配共享密钥KSha,发送接入接受报文,执行数据库处理操作,认证结束。
图6是本发明一实施例提供的基于增强绑定的IPv6移动终端抗攻击方法的工作流程图。如图6所示,用户在移动节点客户端中输入用户名和密码后,客户端获取用户名信息,向外地网络的交换机发起EAPoL认证请求。交换机收到用户的认证请求后,从EAPoL报文取出认证消息,并将认证消息按照Radius协议的格式进行封装,然后向FA3S发出Access-Request认证请求。FA3S收到认证请求后,根据用户名判断出客户所在的家乡网络,并将Access-Request请求报文转发给家乡网络的HA3S。HA3S判断用户的状态,如果是首次认证请求,则产生一个随机数R,由Access-Challenge报文携带返回给FA3S。FA3S把Access-Challenge报文返回给交换机,后者将其转换为EAPoL格式,并返回给客户端。客户端从Challenge报文提取出随机数R,计算口令P与R的MD5摘要,把摘要放入响应消息中,再发给交换机。交换机进行转换后发给FA3S,后者转发给HA3S。HA3S从本地数据库取出用户口令P’,计算P’与R的MD5摘要,并与所收到的消息进行比较,如果相等则认证成功,接下来HA3S生成共享密钥KSHa=First(16,sha1(time)),将KSha与口令P进行异或,得到(KSha)’,即(KSha)’=KShaxorP。(KSha)’携带在Access-Accept报文里发给FA3S。FA3S将Access-Accept报文返回给交换机,后者打开相应端口,并且把报文返回给客户端。客户端提取出数(KSha)’,通过(KSha)’xorP恢复出共享密钥KSHa并保存起来。客户端根据预设的更新规则加密绑定更新消息或绑定确认消息,从而抵抗安全攻击。此外,还将共享密钥分享给家乡代理,以使得家乡代理根据预设的更新规则和共享密钥加密绑定更新消息或绑定确认消息,从而抵抗安全攻击。
现在分析本发明所提出的基于增强绑定的IPv6移动终端抗攻击方法对抗家乡注册攻击和通信节点注册攻击的效果。
对于家乡注册,显然恶意节点没有正确的KSHa,家乡代理收到绑定更新消息后,通过比较KSHa可以发现消息是伪造的。恶意节点固然可以监听得到KSHa,但是绑定更新消息本身的时间戳和随机数可以对抗重放攻击,而且每一轮更新过后,移动节点和家乡代理对KSHa加1,恶意节点得到KSHa,并不能恢复KSHa的数值,更不能对KSHa加1了。
对于通信节点注册过程,通信节点存在三重验证。首先,通信节点可以对比请求与响应两条消息的KSHa是否一致;其次,通信节点收到绑定更新消息时,首先采用Hash函数对绑定更新进行验证,只有通过才进行后续较为复杂的RRP验证,这在一定程度上控制了DoS攻击。最后,在计算验证码时,需要包含绑定更新消息本身,因为我们在保留字段置入KSHa,相当于KSHa数值加入了验证码的计算。这就等于增加了另一重验证机制,进一步增强了移动IPv6节点通信的安全性。
综上所述,本发明提供的基于增强绑定的IPv6移动终端抗攻击方法具有以下优点:
(1)将AAA的认证和家乡注册结合起来,由家乡网络的AAA服务器在移动节点和家乡代理通过共享密钥建立绑定更新的认证机制,防范各种针对移动IPv6节点的攻击行为,提高了移动IPv6节点间通信的安全性,有效保护了用户的隐私;
(2)无需依赖开销大、效率低、配置繁琐的IPSec,可以对移动IPv6节点的家乡注册和通信节点注册过程提供更好的安全保障;
(3)在保证安全性的基础上,尽量做到以下两点:一是轻量,计算量要小,不能给节点带来过大负担;二是信息量小,能够很容易放入绑定更新/确认消息中,同时又具有唯一性和可靠性;
(4)高效率,在实施过程中采用多种技术,减少不必要的开销,大大提高了系统的工作效率;
(5)能够为未来互联网的应用提供多种有效的匿名通信与加密通信功能,有效保护用户的隐私以及数据传输的保密性,同时具有良好的可扩展性,能够适应未来互联网应用发展所带来的要求。
对于方法实施例,为了简单描述,故将其都表述为一系列的动作组合,但是本领域技术人员应该知悉,本发明实施例并不受所描述的动作顺序的限制,因为依据本发明实施例,某些步骤可以采用其他顺序或者同时进行。其次,本领域技术人员也应该知悉,说明书中所描述的实施例均属于优选实施例,所涉及的动作并不一定是本发明实施例所必须的。
应当注意的是,在本发明的系统的各个部件中,根据其要实现的功能而对其中的部件进行了逻辑划分,但是,本发明不受限于此,可以根据需要对各个部件进行重新划分或者组合,例如,可以将一些部件组合为单个部件,或者可以将一些部件进一步分解为更多的子部件。
本发明的各个部件实施例可以以硬件实现,或者以在一个或者多个处理器上运行的软件模块实现,或者以它们的组合实现。本领域的技术人员应当理解,可以在实践中使用微处理器或者数字信号处理器(DSP)来实现根据本发明实施例的系统中的一些或者全部部件的一些或者全部功能。本发明还可以实现为用于执行这里所描述的方法的一部分或者全部的设备或者装置程序(例如,计算机程序和计算机程序产品)。这样的实现本发明的程序可以存储在计算机可读介质上,或者可以具有一个或者多个信号的形式。这样的信号可以从因特网网站上下载得到,或者在载体信号上提供,或者以任何其他形式提供。
应该注意的是上述实施例对本发明进行说明而不是对本发明进行限制,并且本领域技术人员在不脱离所附权利要求的范围的情况下可设计出替换实施例。在权利要求中,不应将位于括号之间的任何参考符号构造成对权利要求的限制。单词“包含”不排除存在未列在权利要求中的元件或步骤。位于元件之前的单词“一”或“一个”不排除存在多个这样的元件。本发明可以借助于包括有若干不同元件的硬件以及借助于适当编程的计算机来实现。在列举了若干装置的单元权利要求中,这些装置中的若干个可以是通过同一个硬件项来具体体现。单词第一、第二、以及第三等的使用不表示任何顺序。可将这些单词解释为名称。
以上实施方式仅适于说明本发明,而并非对本发明的限制,有关技术领域的普通技术人员,在不脱离本发明的精神和范围的情况下,还可以做出各种变化和变型,因此所有等同的技术方案也属于本发明的范畴,本发明的专利保护范围应由权利要求限定。
Claims (10)
1.一种基于增强绑定的IPv6移动终端抗攻击方法,其特征在于,所述方法包括:
获取输入的用户信息,并根据所述用户信息发送认证请求;
接收根据所述认证请求返回的接入质询报文;
根据所述接入质询报文生成响应报文,并发送所述响应报文,以使得服务器根据所述响应报文认证所述用户信息;
在认证成功的情况下,接收根据所述响应报文返回的接入接受报文;
提取所述接入接受报文中所包含的共享密钥,并根据预设的更新规则加密绑定更新消息或绑定确认消息,从而抵抗安全攻击。
2.根据权利要求1所述的基于增强绑定的IPv6移动终端抗攻击方法,其特征在于,所述根据所述接入质询报文生成响应报文,包括:
提取所述接入质询报文中所包含的随机数;
根据所述随机数和预设的口令计算得到消息摘要;
根据所述消息摘要生成所述响应报文。
3.根据权利要求1所述的基于增强绑定的IPv6移动终端抗攻击方法,其特征在于,所述预设的更新规则包括:
将所述共享密钥添加到绑定更新消息头或绑定确认消息头的保留字段中;
每接收或发送一次所述绑定更新消息或绑定确认消息,更新所述共享密钥。
4.一种基于增强绑定的IPv6移动终端抗攻击方法,其特征在于,所述方法包括:
接收移动终端的客户端发送的认证请求;
根据所述认证请求生成接入质询报文,并发送所述接入质询报文;
接收根据所述接入质询报文返回的响应报文,并将所述响应报文与计算得到的消息摘要进行比较,得到比较结果;
在根据所述比较结果判断所述响应报文中所包含的消息摘要与所述计算得到的消息摘要相同的情况下,生成共享密钥;
根据所述共享密钥生成接入接受报文,并发送所述接入接受报文,以使得所述客户端根据预设的更新规则和所述接入接受报文中包含的共享密钥加密绑定更新消息或绑定确认消息,从而抵抗安全攻击。
5.根据权利要求4所述的基于增强绑定的IPv6移动终端抗攻击方法,其特征在于,所述根据所述认证请求生成接入质询报文,包括:
根据所述认证请求产生一个随机数;
根据所产生的一个随机数生成所述接入质询报文。
6.根据权利要求4所述的基于增强绑定的IPv6移动终端抗攻击方法,其特征在于,所述响应报文与计算得到的消息摘要进行比较之前,所述方法还包括:
根据所述认证请求在数据库中读取用户口令;
根据所述用户口令和所述接入质询报文中包含的随机数计算得到所述消息摘要。
7.根据权利要求4所述的基于增强绑定的IPv6移动终端抗攻击方法,其特征在于,所述生成共享密钥,包括:
获取当前时间的哈希值的前16位,得到所述共享密钥。
8.根据权利要求6所述的基于增强绑定的IPv6移动终端抗攻击方法,其特征在于,所述方法还包括:
将所述共享密钥与所述用户口令进行异或运算,得到密钥信息;
根据所述密钥信息生成所述接入接受报文。
9.根据权利要求4所述的基于增强绑定的IPv6移动终端抗攻击方法,其特征在于,所述方法还包括:
将生成的所述共享密钥分享给家乡代理,以使得所述家乡代理根据预设的更新规则和所述共享密钥加密绑定更新消息或绑定确认消息,从而抵抗安全攻击,
其中,所述预设的更新规则包括:
将所述共享密钥添加到绑定更新消息头或绑定确认消息头的保留字段中;
每接收或发送一次所述绑定更新消息或绑定确认消息,更新所述共享密钥。
10.根据权利要求4所述的基于增强绑定的IPv6移动终端抗攻击方法,其特征在于,所述方法还包括:
在根据所述比较结果判断所述响应报文中所包含的消息摘要与所述计算得到的消息摘要不相同的情况下,生成接入拒绝报文,并发送所述接入拒绝报文终止认证。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610221883.8A CN105681364B (zh) | 2016-04-11 | 2016-04-11 | 一种基于增强绑定的IPv6移动终端抗攻击方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610221883.8A CN105681364B (zh) | 2016-04-11 | 2016-04-11 | 一种基于增强绑定的IPv6移动终端抗攻击方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN105681364A true CN105681364A (zh) | 2016-06-15 |
| CN105681364B CN105681364B (zh) | 2019-02-05 |
Family
ID=56309734
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610221883.8A Active CN105681364B (zh) | 2016-04-11 | 2016-04-11 | 一种基于增强绑定的IPv6移动终端抗攻击方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN105681364B (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113132972A (zh) * | 2019-12-26 | 2021-07-16 | 国网山西省电力公司信息通信分公司 | 基于IPv6跨域漫游的终端管理方法和装置 |
| CN113273160A (zh) * | 2018-11-14 | 2021-08-17 | 三星电子株式会社 | 无线通信网络的seal系统中提供服务间通信的seal系统和方法 |
Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101136906A (zh) * | 2006-08-31 | 2008-03-05 | 华为技术有限公司 | 移动IPv6中的通讯方法和移动IPv6通讯系统 |
| CN101136905A (zh) * | 2006-08-31 | 2008-03-05 | 华为技术有限公司 | 移动IPv6中的绑定更新方法及移动IPv6通讯系统 |
| CN101150846A (zh) * | 2006-09-21 | 2008-03-26 | 华为技术有限公司 | 移动通信接入方法和系统 |
| CN101150572A (zh) * | 2006-09-22 | 2008-03-26 | 华为技术有限公司 | 移动节点和通信对端绑定更新的方法及装置 |
| CN101193130A (zh) * | 2006-11-21 | 2008-06-04 | 中兴通讯股份有限公司 | 移动IPv6中穿越网络地址转换的方法 |
| CN101222319A (zh) * | 2007-01-10 | 2008-07-16 | 华为技术有限公司 | 一种移动通信系统中密钥分发方法和系统 |
| CN101227712A (zh) * | 2007-01-15 | 2008-07-23 | 华为技术有限公司 | 一种实现多类型通信网络融合的系统及方法 |
| WO2010066147A1 (zh) * | 2008-12-08 | 2010-06-17 | 华为技术有限公司 | 一种注册的方法、系统和装置 |
| CN101800988A (zh) * | 2010-03-16 | 2010-08-11 | 东南大学 | 一种基于网络接入设备的移动IPv6服务认证方法 |
| CN102869000A (zh) * | 2012-09-17 | 2013-01-09 | 北京交通大学 | 一种分离机制移动性管理系统的认证授权方法 |
-
2016
- 2016-04-11 CN CN201610221883.8A patent/CN105681364B/zh active Active
Patent Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101136906A (zh) * | 2006-08-31 | 2008-03-05 | 华为技术有限公司 | 移动IPv6中的通讯方法和移动IPv6通讯系统 |
| CN101136905A (zh) * | 2006-08-31 | 2008-03-05 | 华为技术有限公司 | 移动IPv6中的绑定更新方法及移动IPv6通讯系统 |
| CN101150846A (zh) * | 2006-09-21 | 2008-03-26 | 华为技术有限公司 | 移动通信接入方法和系统 |
| CN101150572A (zh) * | 2006-09-22 | 2008-03-26 | 华为技术有限公司 | 移动节点和通信对端绑定更新的方法及装置 |
| CN101193130A (zh) * | 2006-11-21 | 2008-06-04 | 中兴通讯股份有限公司 | 移动IPv6中穿越网络地址转换的方法 |
| CN101222319A (zh) * | 2007-01-10 | 2008-07-16 | 华为技术有限公司 | 一种移动通信系统中密钥分发方法和系统 |
| CN101227712A (zh) * | 2007-01-15 | 2008-07-23 | 华为技术有限公司 | 一种实现多类型通信网络融合的系统及方法 |
| WO2010066147A1 (zh) * | 2008-12-08 | 2010-06-17 | 华为技术有限公司 | 一种注册的方法、系统和装置 |
| CN101800988A (zh) * | 2010-03-16 | 2010-08-11 | 东南大学 | 一种基于网络接入设备的移动IPv6服务认证方法 |
| CN102869000A (zh) * | 2012-09-17 | 2013-01-09 | 北京交通大学 | 一种分离机制移动性管理系统的认证授权方法 |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113273160A (zh) * | 2018-11-14 | 2021-08-17 | 三星电子株式会社 | 无线通信网络的seal系统中提供服务间通信的seal系统和方法 |
| CN113132972A (zh) * | 2019-12-26 | 2021-07-16 | 国网山西省电力公司信息通信分公司 | 基于IPv6跨域漫游的终端管理方法和装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN105681364B (zh) | 2019-02-05 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Adavoudi-Jolfaei et al. | Lightweight and anonymous three-factor authentication and access control scheme for real-time applications in wireless sensor networks | |
| CN110267270B (zh) | 一种变电站内传感器终端接入边缘网关身份认证方法 | |
| CN108243176B (zh) | 数据传输方法和装置 | |
| CN102780698A (zh) | 物联网平台中用户终端安全通信的方法 | |
| CN109359464B (zh) | 一种基于区块链技术的无线安全认证方法 | |
| WO2014195122A1 (en) | System and method for user authentication | |
| CN114567492B (zh) | 基于dht网络的控制器隐藏方法、装置、系统及存储介质 | |
| JPWO2010005071A1 (ja) | パスワード認証方法 | |
| Xie et al. | A Secure and Privacy‐Preserving Three‐Factor Anonymous Authentication Scheme for Wireless Sensor Networks in Internet of Things | |
| CN110519052B (zh) | 基于物联网操作系统的数据交互方法和装置 | |
| CN110020524A (zh) | 一种基于智能卡的双向认证方法 | |
| EP2767029A1 (en) | Secure communication | |
| CN101599967A (zh) | 基于802.1x认证系统的权限控制方法及系统 | |
| Chom Thungon et al. | A lightweight authentication and key exchange mechanism for IPv6 over low‐power wireless personal area networks‐based Internet of things | |
| Singh et al. | Cryptanalysis and improvement in user authentication and key agreement scheme for wireless sensor network | |
| CN114024698A (zh) | 一种基于国密算法的配电物联网业务安全交互方法及系统 | |
| Ouaissa et al. | New security level of authentication and key agreement protocol for the IoT on LTE mobile networks | |
| CN110943992B (zh) | 一种入口认证系统、方法、装置、计算机设备和存储介质 | |
| CN105681364A (zh) | 一种基于增强绑定的IPv6移动终端抗攻击方法 | |
| CN113132083A (zh) | 应用于北斗导航系统的安全认证系统、方法和装置 | |
| CN111641651A (zh) | 一种基于哈希链的访问验证方法及装置 | |
| Dinu et al. | DHCPAuth—a DHCP message authentication module | |
| Kwon et al. | Certificate transparency with enhanced privacy | |
| CN112995140B (zh) | 安全管理系统及方法 | |
| Dreyer et al. | Towards securing public-key storage using hyperledger fabric |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |