CN1636378A - 移动因特网协议中的寻址机制 - Google Patents

移动因特网协议中的寻址机制 Download PDF

Info

Publication number
CN1636378A
CN1636378A CNA028213424A CN02821342A CN1636378A CN 1636378 A CN1636378 A CN 1636378A CN A028213424 A CNA028213424 A CN A028213424A CN 02821342 A CN02821342 A CN 02821342A CN 1636378 A CN1636378 A CN 1636378A
Authority
CN
China
Prior art keywords
node
internet protocol
pki
client terminal
certificate
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CNA028213424A
Other languages
English (en)
Other versions
CN100592746C (zh
Inventor
J·伊利塔罗
P·尼坎德
J·阿科
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Telefonaktiebolaget LM Ericsson AB
Original Assignee
Telefonaktiebolaget LM Ericsson AB
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Telefonaktiebolaget LM Ericsson AB filed Critical Telefonaktiebolaget LM Ericsson AB
Publication of CN1636378A publication Critical patent/CN1636378A/zh
Application granted granted Critical
Publication of CN100592746C publication Critical patent/CN100592746C/zh
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0442Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

一种将第一IP网络节点的IP地址的职责委托给第二IP网络节点的方法,至少该IP地址的一部分可由属于第一节点的公钥/私钥对推导出。该方法包括将属于第二节点的公钥/私钥对中的公钥通知第一节点,在第一节点用第一节点的私钥对第二节点的公钥签名以提供授权证书以及从第一节点将该授权证书发送到第二节点,其中,授权证书随后包含在涉及所述IP地址并用第二节点的私钥签名的消息中,从第二节点发送到接收节点,并由接收节点用于验证第二节点对所述IP地址的使用权。

Description

移动因特网协议中的寻址机制
发明领域
本发明涉及移动IP(因特网协议)中的寻址机制,更具体地说涉及使IP网络节点能够证明它们被授权改动或更新有关另一网络节点所拥有的IP地址的信息的寻址机制。
发明背景
因特网使用率的大幅增长暴露了目前称为IPv4的因特网协议的缺点和局限性。作为感兴趣各方的松散组织的因特网工程任务组(IETF)因此开发了称之为IPv6的增强型因特网协议。IPv6包含了改进很多的安全机制IPSec(它允许两方或两方以上通过因特网安全地进行通信并提供移动因特网接入(移动IP))。移动IP允许用户在移动中访问因特网,从一个IP地址节点漫游到另一个。使用移动IP的用户具体说是那些通过(连接到例如无线局域网和蜂窝电话网的)无线移动设备访问因特网的用户。
IPv6提供大得多的IP地址空间,提供长度为128比特的IP地址。一个地址的前64比特形成唯一地识别IP终端或主机所用的因特网接入节点(或所谓的“本地链路”)的路由前缀,而后64比特形成唯一地识别到接入节点(或在本地链路内)的移动终端的主机后缀。主机后缀被称为“接口标识符”,因为它在接入接口上唯一地识别主机。通常,当主机向接入节点注册时,主机从该接入节点发送的通告消息中得知该接入节点的路由前缀。根据RFC 3041(IETF),主机然后利用主机生成的随机数生成其接口标识符。主机还可以使用链路层地址来生成接口标识符,链路层地址是例如接入网所用的MAC层址址。
如前所述,移动IP允许主机在接入节点、甚至接入网之间漫游,这是一种要求允许主机更改确定其物理位置的IP地址的功能。通常,在归属网络中为移动主机分配“固定的”归属IP地址。当主机在归属地时,它可以将其归属地址用作其物理地址。但是,当主机将其本身与“外部”的接入节点相关联时,为该主机分配一个临时的“转交地址”。与移动主机通信的主机维护包含归属地址和转交地址之间的映射关系的绑定高速缓冲存储器。对于输入的分组,该对应主机上的移动IP层以转交地址交换目的字段中的归属地址,而对于输出分组,该对应主机上的移动IP层以归属地址交换目的地址字段中的转交地址。当移动主机获得新的转交地址时,它必须向所有对应的主机发送绑定更新消息,以便更新其绑定高速缓冲存储器(从而确保将后续的数据包送到正确的转交地址)。移动IP方案如图1所示。
这种机制的可能风险在于,有恶意的第三方可以向对应主机发送欺诈性绑定更新消息,以使发往移动主机的数据分组路由到该有恶意的一方。如果分组随后(在由有恶意的一方打开并阅读之后)由该方转发到移动主机,则移动主机可能甚至不知道它的分组已重新路由并被读过。此问题不限于移动IP,而且存在于IPv6体系结构内的其他信令功能中。2001年二月提交的IETF文献“draft-nikander-ipng-address-ownership-00.txt”中更详细地介绍了移动IP有关的问题和一些其他问题。
对此问题的解决方案已于2001年二月提交的IETF文献“draft-bradner-pbk-frame-00.txt”中提出。这涉及在移动主机上生成包括公钥和私钥的定制(purpose built)密钥(PBK)对。在移动主机上通过对公钥应用哈希算法而生成端点ID(EID)。在一发起IP连接之后就将EID发送到对应的主机。随后,移动主机向对应主机发送公钥。对应主机可以通过对该密钥应用单向编码函数并将结果与以前接收的EID作比较而验证该公钥“属于”所述连接,随后发送的任何绑定更新消息在移动主机上用该主机的私钥签名。对应主机利用以前接收的公钥验证附加到绑定更新消息中的签名。提供增强安全性的改进方案在以下文献中介绍:Ericsson Nomadiclab的P.Nikander于2001年3月提交的题为“IPv6地址所有权的可伸缩体系结构”的草案<draft-nikander-ipng-pbk-addresses-00.txt>;G.Montenegro、C.Castelluccia于2001年7月20日提交的题为“SUCV标识符和地址”的因特网草案(工作进展);以及M.Roe.Microsoft于2001年8月提交的题为“对移动IPv6绑定更新和确认的认证”的因特网草案(工作进展):http://www.ietf org/internet-drafts/draft-roe-Mobile IP-updateauth-00.txt。
本发明概述
上文中提出的解决方案只能处理地址拥有者发送绑定更新消息的情况。但是,存在这样几种情形,其中,其他节点有必要代表真实的拥有者发送这些通知。例如,管理地址池的DHCP(动态主机配置协议)服务器拥有地址但仍然想让那些地址的用户受益于可移动性(参见图2)。而且,节点可能在移动路由器背后,因此即便该节点本身拥有实际地址,它也会需要将绑定更新消息发送委托给该路由器(见图3,其中移动节点MN已从第一接入路由器AR#1移动到第二接入路由器AR#2)。
所述这两种情形的共同点在于,IP地址职责的委托是有限且有条件的。在节点已移动到路由器控制的网络外之后,不允许路由器发送绑定更新消息。DHCP服务器不允许节点在释放给定地址并将其让给一些其他节点后发送有关该地址的绑定更新消息。
根据本发明的第一方面,提供一种将第一IP网络节点所拥有的IP地址的职责委托给第二IP网络节点的方法,该IP地址的至少一部分可从属于第一节点的公钥/私钥对中的公钥推导出,该方法包括:
将属于第二节点的公钥/私钥对中的公钥通知第一节点;
在第一节点用第一节点的私钥对第二节点的公钥签名以提供授权证书;以及
从第一节点将授权证书发送到第二节点,
其中,授权证书随后包含在涉及所述IP地址并用第二节点的私钥签名的消息中,从第二节点发送到接收节点,并由该接收节点用于验证第二节点对所述IP地址的使用权。
在本发明的一个实施例中,所述第一IP网络节点是DHCP服务器,并且所述第二IP网络节点是客户节点如移动终端(例如移动电话、PDA、通信装置、掌上型计算机或膝上型计算机)或个人计算机。客户节点可以通过固定线路或无线链路连接到IP网络。在本发明的第二实施例中,所述第一IP网络节点是客户节点而所述第二IP网络节点是移动路由器。
所述IP地址的接口标识符部分最好可从属于第一节点的公钥/私钥对中的公钥推导出,例如通过对该公钥应用单向函数。
本发明的方法更有助于第二节点根据移动IP协议发送有关所述IP地址的绑定更新消息。这种绑定更新消息包括授权证书、所述IP地址和新的转交地址。该证书可包括第一节点的公钥,此公钥是对证书进行认证所需的。
所述证书可以用第一(或所有者)节点的私钥对第二(或源)节点的公钥和时间戳的组合签名而推导出,其中所述时间戳是使用所述IP地址的授权到期的时间。
根据本发明的第二方面,提供一种对IP网络的接收节点上接收的来自源节点的消息进行认证的方法,该消息涉及IP地址并包括:
所述IP地址,
属于拥有所述IP地址的节点的公钥/私钥对中的公钥,以及
由所有者节点发放给源节点的证书,此证书是用所有者节点的私钥对属于源节点的公钥/私钥对中的公钥签名而推导出的,
用源节点的私钥签名的消息,所述方法包括:
确认所述IP地址的至少一部分可从所有者节点的公钥推导出;
确认所述证书已用所有者节点的私钥签名;以及
确认所述消息已用源节点的私钥签名。
如果所述证书是通过对属于源节点的公钥/私钥对中的公钥和时间戳都加以签名而推导出的,则接收节点可在按照所述消息动作之前确认该时间戳尚未到期。
根据本发明的第三方面,提供一种用于租用另一IP网络节点的IP地址的IP客户终端,该IP地址的至少一部分可从属于所有者节点的公钥/私钥对中的公钥推导出,该客户终端包括:
将属于该客户终端的公钥/私钥对中的公钥通知给所有者节点的装置;
从所有者节点接收授权证书的装置,所述授权证书包括用所有者节点的私钥签名的该客户终端的公钥;
其中,所述授权证书随后包括在涉及所述IP地址并用该客户终端的私钥签名的消息中,由该客户终端发送到接收节点,并由该接收节点用于验证该客户终端对所述IP地址的使用权。
根据本发明的第四方面,提供一种IP客户终端,这种IP客户终端用于授权受托的IP网络节点使用它所拥有的IP地址,此IP地址的至少一部分可从属于所述客户终端的公钥/私钥对中的公钥推导出,所述客户终端包括:
用于从所述受托节点接收属于该受托节点的公钥/私钥对中的公钥的装置;
用于生成包括用所述客户终端的私钥签名的所述受托节点的公钥的授权证书并将该证书传送到受托节点的装置;
其中,该授权证书随后包括在涉及所述IP地址并用所述受托节点的私钥签名的消息中从所述受托节点发送到接收节点,并由该接收节点用于验证所述受托节点对所述IP地址的使用权。
根据本发明的第五方面,提供一种IP服务器,用于授权客户IP节点使用该服务器所拥有的IP地址,该IP地址的至少一部分可从属于该服务器的公钥/私钥对中的公钥推导出,该服务器包括:
用于从所述客户终端接收属于该客户终端的公钥/私钥对中的公钥的装置;
用于生成包括用该服务器的私钥签名的该客户终端的公钥的授权证书并将该授权证书发送到所述客户终端的装置;
其中,该授权证书随后包括在涉及所述IP地址并用该客户终端的私钥签名的消息中从该客户终端发送到接收终端,并由该接收终端用于认证该客户终端对所述IP地址的使用权。
根据本发明的第六方面,提供一种用于承担客户终端所拥有的IP地址的职责的IP服务器,该IP地址的至少一部分可从属于该客户终端的公钥/私钥对中的公钥推导出,该服务器包括:
用于向所述客户终端发送属于该服务器的公钥/私钥对中的公钥的装置;
用于从所述客户终端接收包含用该客户终端的私钥签名的该服务器的公钥的授权证书的装置;
其中,该授权证书随后包括在涉及所述IP地址并用该服务器的私钥签名的消息中从该服务器发送到接收节点,并由该接收节点用于验证该服务器对所述IP地址的使用权。
附图简述
图1示意性地说明移动IP路由的原理;
图2示意性地说明移动IP路由的原理,其中,IP地址由DHCP服务器所拥有并分配;以及
图3示意性地说明移动IP路由的原理,其中,移动节点位于移动路由器背后;
图4是说明移动节点、DHCP服务器和对应节点之间信令的信令图;以及
图5是说明移动节点、移动路由器和对应节点之间的信令的信令图。
具体实施例说明
对于下列示例,假定拥有IP地址的IP网络节点拥有公钥-私钥对,其中,P表示公钥而S表示私钥。节点利用算法A=R:(P)生成IP地址,其中R是一些可能属于节点本身或者可能是该节点从其他一些节点(例如接入节点)接收的路由前缀。函数h是某种单向函数,例如加密哈希函数。当(拥有IP地址的)节点根据移动IP协议向对应节点发送绑定更新消息时,它在该消息中包括其公钥P。该发送节点还通过将一些可逆加密函数和私钥S应用到该消息的内容上而生成签名,并将该签名添加到该消息中。
当对应节点接收到绑定更新消息时,它首先通过对该签名应用可逆加密函数和该消息中所包含的公钥P,以验证该签名是正确的。假定其结果与该消息的内容一致,并且对应节点因此验证了发送节点拥有所声明的公钥S,则对应节点对该公钥应用单向函数h以确认源IP地址的主机部分已由该密钥对(P,S)的所有者生成。尽管攻击者有可能通过所有可能的密钥对(P,S)试图发现会得到相同h(P)值的密钥对,但在假定IPv6中用于保存h(P)的位字段非常大(62比特)的情况下,为此将不得不进行巨大量的工作。
DHCP服务器管理它们所拥有的IP地址池,并将这些地址临时“租借”给客户节点,例如连接到特定网络的个人计算机。将上述考虑应用于这种情形(如图2所示),则拥有用于生成各IP地址的公钥-密钥对(P,S)将是DHCP服务器。
为了允许DHCP服务器背后的客户节点使用移动性和绑定更新,采用以下过程:
1.客户端和DHCP服务器达成协议,由该客户端租用特定地址一段时间。地址A包含与DHCP服务器所拥有的密钥对(P,S)相关联的接口标识符部分,即A=R:h(P)。
2.在此过程中可选地对客户端进行认证。
3.在此过程中,客户端拥有公钥-私钥对(Pcl,Scl)并将其公钥Pcl提供给DHCP服务器。公钥-私钥对可能正是为此目的而生成,或者可以被永久分配给该客户端。
4.DHCP服务器创建Pcl的证书以管理与P有关的地址。即,该服务器用其私钥S对二元组[Pcl,end-time(结束时间)]签名,其中,end-time识别分配的IP地址到期的时间。然后将包含P和该签名的证书发送到客户端。
5.当客户节点希望向某个对应节点发送绑定更新消息时,它就用其私钥Scl对该请求签名并将所述证书(步骤4中所创建的)附加到消息中。
6.接收绑定更新消息的节点首先对公钥P应用对应节点已知的单向函数h,从而验证发送方的IP地址的接口标识符部分的值与公钥P有关。接收节点然后利用DHCP的公钥P验证所述证书已正确地用相应的私钥S加以签名并恢复发送方的公钥Pcl和有效end-time。假定end-time尚未到期,则接收节点验证绑定更新消息中的签名是用与所述证书所含公钥Pcl对应的私钥Scl产生的,从而证明发送节点拥有公钥Pcl。接收节点然后用新的转交地址更新其绑定高速缓冲存储器。
所述过程可以用图4所述的如下信令流来说明:
1.客户-服务器:请求:持续时间=T,客户公钥=Pcl
2.服务器-客户:响应:地址=A,证书=P,{用S签名的[Pcl,end-time]}
3.客户-其他节点:绑定更新消息:转交地址、地址=A、证书、用Scl对整个消息的签名。
如图2所示,节点有时可能位于移动路由器(MR)背后,并且因为路由器负责管理通向因特网的连接,它可能必须代表这些节点发送绑定更新消息。节点还可能从移动路由器背后移开,在此情况下,该路由器应该不再希望提供此服务。允许移动路由器临时代表节点发送绑定消息的过程如下:
1.节点和路由器就在由路由器管理一段时间的特定地址以及有关路由器所执行的移动性管理达成协议。该地址与节点所拥有的密钥对(P,S)相关联。
2.在此过程中节点和路由器可选择对彼此进行认证;
3.在此过程中路由器将其自己的公钥Pr提供给节点。通常将此公钥永久地分配给路由器。路由器还知道私钥Sr。
4.节点创建Pr的证书,以管理与P相关的地址。也即,节点用S对二元组[Pr,end-time]签名。该证书包括:P和签名
5.当路由器希望通过因特网向一些对应节点发送绑定更新消息时,它就用Sr对请求签名并将步骤4中创建的证书附加到该消息中。
6.接收绑定更新消息的对应节点首先对公钥P应用对应节点已知的单向函数h,从而验证(包含在绑定更新消息中的)节点IP地址的接口标识符部分的值与公钥P相关。接收节点利用公钥P验证所述证书已正确地用对应的私钥S加以签名并恢复发送路由器的公钥Pr和有效的end-time。它然后验证绑定更新消息中的签名是用与包含在所述证书中的公钥Pr对应的私钥Sr制作的,从而证明发送路由器拥有公钥Pr。假定end-time尚未到期,则接收节点用新的转交地址更新其绑定高速缓冲存储器。
该过程可以用图5所示的如下信令流来说明:
1.路由器-节点:提供服务:持续时间=T,路由器公钥=Pr
2.节点-服务器:开始:地址=A,证书=P,{用S签名的[Pcl,end-time]}
3.路由器-其他节点:绑定更新消息:转交地址、地址=A、用Sr对整个消息的签名。
本专业的技术人员应理解,可以对上述实施例作各种修改而又不背离本发明的范围。

Claims (12)

1.一种将第一因特网协议网络节点的因特网协议地址的职责委托给第二因特网协议网络节点的方法,至少所述因特网协议地址的一部分可由属于所述第一节点的公钥/私钥对推导出,所述方法包括:
将属于所述第二节点的公钥/私钥对中的公钥通知给所述第一节点;
在所述第一节点用所述第一节点的私钥对所述第二节点的公钥签名以提供授权证书;以及
从所述第一节点将所述授权证书发送到所述第二节点,
其中,所述授权证书随后包含在涉及所述因特网协议地址并用所述第二节点的私钥签名的消息中,从所述第二节点发送到接收节点,并由该接收节点用于验证所述第二节点对所述因特网协议地址的使用权。
2.如权利要求1所述的方法,其特征在于,所述第一因特网协议网络节点是动态主机配置协议服务器,以及所述第二因特网协议网络节点是客户节点。
3.如权利要求1所述的方法,其特征在于,所述第一因特网协议网络节点是客户节点以及所述第二因特网协议网络节点是移动路由器。
4.如前述任意一项权利要求所述的方法,其特征在于,所述因特网协议地址的接口标识符部分可从属于所述第一节点的公钥/私钥对中的公钥推导出。
5.如前述任意一项权利要求所述的方法,其特征在于,所述消息是根据移动因特网协议协议的绑定更新消息,它包括所述授权证书、所述因特网协议地址和新的转交地址。
6.如前述任意一项权利要求所述的方法,其特征在于,所述证书是用所述第一节点的私钥对所述第二节点的公钥和时间戳的组合签名而推导出的,所述时间戳是使用所述因特网协议地址的授权到期时的时间。
7.一种对因特网协议网络的接收节点上接收的来自源节点的消息进行认证的方法,所述消息涉及因特网协议地址并包括:
所述因特网协议地址,
属于拥有所述因特网协议地址的节点的公钥/私钥对中的公钥,以及
由所述所有者节点发放给所述源节点的证书,此证书是用所述所有者节点的私钥对属于所述源节点的公钥/私钥对中的公钥签名而推导出的,
用所述源节点的私钥签名的消息,所述方法包括:
确认所述因特网协议的至少一部分可从所述所有者节点的公钥推导出;
确认所述证书已用所述所有者节点的私钥签名;以及
确认所述消息已用所述源节点的私钥签名。
8.如权利要求7所述的方法,其中所述证书是通过对属于所述源节点的公钥/私钥对中的公钥和时间戳签名而推导出的,所述接收节点在按所述消息操作之前确认所述时间戳尚未到期。
9.一种用于从另一因特网协议网络节点租用因特网协议地址的因特网协议客户终端,其中所述因特网协议地址的至少一部分可从属于所有者节点的公钥/私钥对中的公钥推导出,所述客户终端包括:
将属于所述客户终端的公钥/私钥对中的公钥通知给所述所有者节点的装置;
从所述所有者节点接收授权证书的装置,所述授权证书包括用所述所有者节点的私钥签名的所述客户终端的公钥;
其中,所述授权证书随后包括在涉及所述因特网协议地址并用所述客户终端的私钥签名的消息中,由所述客户终端发送到接收节点,并由该接收节点用于验证所述客户终端对所述因特网协议地址的使用权。
10.一种因特网协议客户终端,用于授权受托的因特网协议网络节点使用所述客户终端所拥有的因特网协议地址,所述因特网协议地址的至少一部分可从属于所述客户终端的公钥/私钥对中的公钥推导出,所述客户终端包括:
用于从所述受托节点接收属于所述受托节点的公钥/私钥对中的公钥的装置;
用于生成包括用所述客户终端的私钥签名的所述受托节点的公钥的授权证书;
其中,所述授权证书随后包括在涉及所述因特网协议地址并用所述受托节点的私钥签名的消息中从所述受托节点发送到接收节点,并由该接收节点用于验证所述受托节点对所述因特网协议地址的使用权。
11.一种因特网协议服务器,用于授权客户因特网协议节点使用所述服务器所拥有的因特网协议地址,所述因特网协议地址的至少一部分可从属于所述服务器的公钥/私钥对中的公钥推导出,所述服务器包括:
从所述客户终端接收属于所述客户终端的公钥/私钥对中的公钥的装置;
用于生成包括用所述服务器的私钥签名的所述客户终端的公钥的授权证书并将该授权证书发送到所述客户终端的装置;
其中,所述授权证书随后包括在涉及所述因特网协议地址并用所述客户终端的私钥签名的消息中从所述客户终端发送到接收终端,并由所述接收终端用于认证所述消息。
12.一种用于承担客户终端所拥有的因特网协议地址的职责的因特网协议服务器,所述因特网协议地址的至少一部分可从属于所述客户终端的公钥/私钥对中的公钥推导出,所述服务器包括:
用于向所述客户终端发送属于所述服务器的公钥/私钥对中的公钥的装置;
用于从所述客户终端接收包括用所述客户终端的私钥签名的所述服务器的公钥的授权证书的装置;
其中,所述授权证书随后包括在涉及所述因特网协议地址并用所述服务器的私钥签名的消息中,从所述服务器发送到接收节点,并由该接收节点用于验证所述服务器对所述因特网协议地址的使用权。
CN02821342A 2001-10-26 2002-10-18 移动因特网协议中的寻址机制 Expired - Fee Related CN100592746C (zh)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
GB0125715.3 2001-10-26
GB0125715A GB2381423B (en) 2001-10-26 2001-10-26 Addressing mechanisms in mobile IP

Publications (2)

Publication Number Publication Date
CN1636378A true CN1636378A (zh) 2005-07-06
CN100592746C CN100592746C (zh) 2010-02-24

Family

ID=9924573

Family Applications (1)

Application Number Title Priority Date Filing Date
CN02821342A Expired - Fee Related CN100592746C (zh) 2001-10-26 2002-10-18 移动因特网协议中的寻址机制

Country Status (6)

Country Link
US (1) US7401216B2 (zh)
CN (1) CN100592746C (zh)
DE (1) DE10297253T5 (zh)
ES (1) ES2277495B1 (zh)
GB (1) GB2381423B (zh)
WO (1) WO2003036916A2 (zh)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101022418B (zh) * 2007-03-14 2010-05-26 华为技术有限公司 Hmip认证方法、设备及系统
CN101242269B (zh) * 2007-02-09 2011-12-07 西门子(中国)有限公司 预订电信服务的移动通信终端、服务提供商终端、系统及方法
CN102368740A (zh) * 2011-12-01 2012-03-07 北京交通大学 一种网络寻址方法
CN101026456B (zh) * 2006-01-17 2012-11-21 佳能株式会社 信息处理设备和控制方法

Families Citing this family (40)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7561553B2 (en) * 2002-02-27 2009-07-14 Motorola, Inc. Method and apparatus for providing IP mobility for mobile networks and detachable mobile network nodes
GB2410660B (en) * 2002-10-14 2005-10-19 Toshiba Res Europ Ltd Methods and systems for flexible delegation
JP2004242019A (ja) * 2003-02-05 2004-08-26 Ntt Docomo Inc 移動通信制御システム、ネットワーク管理サーバ、モバイルノード、アクセスノード及びアンカーノード
KR100513863B1 (ko) * 2003-04-29 2005-09-09 삼성전자주식회사 호스트의 이동성을 지원할 수 있는 무선 근거리 네트워크시스템 및 그의 동작방법
CN1701561B (zh) * 2003-07-11 2010-05-05 日本电信电话株式会社 基于地址的验证系统及其装置和程序
US7873036B2 (en) * 2004-02-03 2011-01-18 Nokia Siemens Networks Oy Method and apparatus to provide group management of multiple link identifiers for collective mobility
US7991854B2 (en) * 2004-03-19 2011-08-02 Microsoft Corporation Dynamic session maintenance for mobile computing devices
US7549048B2 (en) * 2004-03-19 2009-06-16 Microsoft Corporation Efficient and secure authentication of computing systems
WO2005104487A1 (en) * 2004-04-14 2005-11-03 Nortel Networks Limited Mobile ipv6 authentication and authorization baseline
ATE516640T1 (de) * 2004-08-20 2011-07-15 Ericsson Telefon Ab L M Schneller netzwerkanschluss
KR100636318B1 (ko) * 2004-09-07 2006-10-18 삼성전자주식회사 CoA 바인딩 프로토콜을 이용한 어드레스 오너쉽인증방법 및 그 시스템
GB2423448B (en) * 2005-02-18 2007-01-10 Ericsson Telefon Ab L M Host identity protocol method and apparatus
US7881468B2 (en) * 2005-04-08 2011-02-01 Telefonaktiebolaget L M Ericsson (Publ) Secret authentication key setup in mobile IPv6
US7907948B2 (en) * 2005-04-22 2011-03-15 Telefonaktiebolaget L M Ericsson (Publ) Providing anonymity to a mobile node in a session with a correspondent node
US7925027B2 (en) * 2005-05-02 2011-04-12 Ntt Docomo, Inc. Secure address proxying using multi-key cryptographically generated addresses
US8098823B2 (en) * 2005-05-03 2012-01-17 Ntt Docomo, Inc. Multi-key cryptographically generated address
JP4856654B2 (ja) 2005-07-08 2012-01-18 パナソニック株式会社 モバイルノード及び通信制御方法
JP2007189620A (ja) * 2006-01-16 2007-07-26 Kddi Corp Ipアドレス管理サーバ、利用者端末、およびプログラム
GB0601913D0 (en) * 2006-01-31 2006-03-08 Ericsson Telefon Ab L M Packet re-direction in a communication network
US7814311B2 (en) * 2006-03-10 2010-10-12 Cisco Technology, Inc. Role aware network security enforcement
US9179318B2 (en) 2006-05-24 2015-11-03 Telefonaktiebolaget Lm Ericsson (Publ) Delegation based mobility management
EP2022229B1 (en) * 2006-05-24 2009-11-04 OY LM Ericsson AB Delegation based mobility management
US7958368B2 (en) * 2006-07-14 2011-06-07 Microsoft Corporation Password-authenticated groups
US8041942B2 (en) * 2006-09-05 2011-10-18 Panasonic Corporation Robust peer-to-peer networks and methods of use thereof
EP1906615A1 (en) * 2006-09-29 2008-04-02 Nokia Siemens Networks Gmbh & Co. Kg Method and devices for delegating the control of protected connections
US8307411B2 (en) * 2007-02-09 2012-11-06 Microsoft Corporation Generic framework for EAP
ES2378783T3 (es) * 2007-02-12 2012-04-17 Telefonaktiebolaget Lm Ericsson (Publ) Delegación de señalización en una red en movimiento
US8266427B2 (en) * 2007-06-08 2012-09-11 Cisco Technology, Inc. Secure mobile IPv6 registration
CN101335744B (zh) * 2007-06-29 2013-06-05 华为技术有限公司 一种加密生成地址的配置方法、系统和装置
US9177313B1 (en) * 2007-10-18 2015-11-03 Jpmorgan Chase Bank, N.A. System and method for issuing, circulating and trading financial instruments with smart features
GB2454897A (en) * 2007-11-22 2009-05-27 Ericsson Telefon Ab L M Cryptographically generated IP addresses
WO2009068115A1 (en) * 2007-11-30 2009-06-04 Telefonaktiebolaget Lm Ericsson (Publ) Methods for secure sip signalling to a destination ip address being a cryptographi cally generated address (cga)
US8893242B2 (en) * 2008-04-29 2014-11-18 Ebay Inc. System and method for pool-based identity generation and use for service access
CN101616006A (zh) * 2009-07-31 2009-12-30 中兴通讯股份有限公司 证书管理方法、装置及系统
CN101631024A (zh) * 2009-08-11 2010-01-20 中兴通讯股份有限公司 一种增强的证书管理方法和系统
US8498414B2 (en) * 2010-10-29 2013-07-30 Telefonaktiebolaget L M Ericsson (Publ) Secure route optimization in mobile internet protocol using trusted domain name servers
US10333696B2 (en) 2015-01-12 2019-06-25 X-Prime, Inc. Systems and methods for implementing an efficient, scalable homomorphic transformation of encrypted data with minimal data expansion and improved processing efficiency
JP7437722B2 (ja) * 2019-01-31 2024-02-26 コネクトフリー株式会社 データ送信方法、通信処理方法、装置、および通信処理プログラム
US10721193B1 (en) * 2019-04-15 2020-07-21 Microsoft Technology Licensing, Llc Reducing avoidable transmission of an attachment to a message by comparing the fingerprint of the attachment to be sent to that of an attachment that was previously sent or received by the user and indicating to the user when a match occurs that the attachment is redundant
US10721198B1 (en) * 2019-04-15 2020-07-21 Microsoft Technology Licensing, Llc Reducing avoidable transmission of an attachment to a message by comparing the fingerprint of a received attachment to that of a previously received attachment and indicating to the transmitting user when a match occurs that the attachment does not need to be transmitted

Family Cites Families (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4759063A (en) * 1983-08-22 1988-07-19 Chaum David L Blind signature systems
US6035402A (en) * 1996-12-20 2000-03-07 Gte Cybertrust Solutions Incorporated Virtual certificate authority
US6513116B1 (en) * 1997-05-16 2003-01-28 Liberate Technologies Security information acquisition
US6292897B1 (en) * 1997-11-03 2001-09-18 International Business Machines Corporation Undeniable certificates for digital signature verification
US7032242B1 (en) * 1998-03-05 2006-04-18 3Com Corporation Method and system for distributed network address translation with network security features
WO2001031472A1 (en) * 1999-10-22 2001-05-03 Telcordia Technologies, Inc. Method and system for host mobility management protocol
US6826690B1 (en) * 1999-11-08 2004-11-30 International Business Machines Corporation Using device certificates for automated authentication of communicating devices
FR2802666B1 (fr) * 1999-12-17 2002-04-05 Activcard Systeme informatique pour application a acces par accreditation
US6978364B1 (en) * 2000-04-12 2005-12-20 Microsoft Corporation VPN enrollment protocol gateway
US6925075B2 (en) * 2000-07-31 2005-08-02 Telefonaktiebolaget Lm Ericsson Method and system for inter-operability between mobile IP and RSVP during route optimization
KR100520141B1 (ko) * 2000-10-26 2005-10-10 삼성전자주식회사 이동통신 시스템에서 고정 주소를 가지는 이동단말의 핸드오버 방법
US20020106085A1 (en) * 2001-01-05 2002-08-08 Sandeep Jain Security breach management
GB2367986B (en) * 2001-03-16 2002-10-09 Ericsson Telefon Ab L M Address mechanisms in internet protocol
US7203966B2 (en) * 2001-06-27 2007-04-10 Microsoft Corporation Enforcement architecture and method for digital rights management system for roaming a license to a plurality of user devices
US20030018964A1 (en) * 2001-07-19 2003-01-23 International Business Machines Corporation Object model and framework for installation of software packages using a distributed directory

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101026456B (zh) * 2006-01-17 2012-11-21 佳能株式会社 信息处理设备和控制方法
CN101242269B (zh) * 2007-02-09 2011-12-07 西门子(中国)有限公司 预订电信服务的移动通信终端、服务提供商终端、系统及方法
CN101022418B (zh) * 2007-03-14 2010-05-26 华为技术有限公司 Hmip认证方法、设备及系统
CN102368740A (zh) * 2011-12-01 2012-03-07 北京交通大学 一种网络寻址方法

Also Published As

Publication number Publication date
ES2277495B1 (es) 2008-07-01
DE10297253T5 (de) 2005-02-17
US20030084293A1 (en) 2003-05-01
WO2003036916A2 (en) 2003-05-01
GB2381423A (en) 2003-04-30
GB2381423B (en) 2004-09-15
ES2277495A1 (es) 2007-07-01
WO2003036916A3 (en) 2003-11-13
GB0125715D0 (en) 2001-12-19
US7401216B2 (en) 2008-07-15
CN100592746C (zh) 2010-02-24

Similar Documents

Publication Publication Date Title
CN1636378A (zh) 移动因特网协议中的寻址机制
US7155500B2 (en) IP address ownership verification mechanism
KR100759489B1 (ko) 이동통신망에서 공개키 기반구조를 이용한 아이피보안터널의 보안 방법 및 장치
CN1203689C (zh) 处理有关经蜂窝网连接到分组数据网的终端的位置信息的方法
US8549294B2 (en) Securing home agent to mobile node communication with HA-MN key
CN1265676C (zh) 一种实现漫游用户使用拜访网络内业务的方法
US8514851B2 (en) Mobile IPv6 authentication and authorization baseline
CN1656771A (zh) 移动无线系统中的密钥更新
US20060078119A1 (en) Bootstrapping method and system in mobile network using diameter-based protocol
US20060291422A1 (en) Mobility management in a communication system of at least two communication networks
CN101185311A (zh) 为移动互联网协议密钥分发使用通用认证架构
CN1415148A (zh) 在一个通信网中的方法和装置
JP2004274521A (ja) サーバ装置、端末制御装置及び端末認証方法
KR20030038915A (ko) 무선 통신시스템에서 이동 단말기와 홈에이전트간의인증을 위한 방법
CN1910877A (zh) 移动无线通信系统、移动无线终端装置、虚拟专用网中继装置以及连接认证服务器
CN1574738A (zh) 在移动特设网络中分配加密密钥的方法及其网络设备
CN1929371A (zh) 用户和外围设备协商共享密钥的方法
EP2025120A2 (de) Verfahren und system zum bereitstellen eines mobile ip schlüssels
CN1921682A (zh) 增强通用鉴权框架中的密钥协商方法
CN101039181A (zh) 防止通用鉴权框架中服务功能实体受攻击的方法
CN1795656A (zh) 移动通信系统中的安全通信改向
CN1658552A (zh) 媒体流安全传输的实现方法
CN101449540B (zh) 基于委托的移动性管理
CN101079786A (zh) 互连系统、互连系统中的认证方法和终端
CN101031133A (zh) 一种确定移动节点归属的家乡代理的方法及装置

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant
CF01 Termination of patent right due to non-payment of annual fee

Granted publication date: 20100224

Termination date: 20161018

CF01 Termination of patent right due to non-payment of annual fee