CN1666190B - 向归属代理注册移动节点的归属地址的方法 - Google Patents
向归属代理注册移动节点的归属地址的方法 Download PDFInfo
- Publication number
- CN1666190B CN1666190B CN03815361.0A CN03815361A CN1666190B CN 1666190 B CN1666190 B CN 1666190B CN 03815361 A CN03815361 A CN 03815361A CN 1666190 B CN1666190 B CN 1666190B
- Authority
- CN
- China
- Prior art keywords
- mobile node
- home agent
- home
- address
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
- 238000000034 method Methods 0.000 title claims abstract description 78
- 230000008569 process Effects 0.000 claims abstract description 32
- 230000004044 response Effects 0.000 claims abstract description 23
- 238000003780 insertion Methods 0.000 claims description 14
- 230000037431 insertion Effects 0.000 claims description 14
- 230000002349 favourable effect Effects 0.000 description 9
- 230000003139 buffering effect Effects 0.000 description 4
- 230000003068 static effect Effects 0.000 description 4
- 230000008859 change Effects 0.000 description 3
- 238000010586 diagram Methods 0.000 description 3
- 238000012850 discrimination method Methods 0.000 description 3
- 230000008901 benefit Effects 0.000 description 2
- 230000002708 enhancing effect Effects 0.000 description 2
- 238000012545 processing Methods 0.000 description 2
- 238000012360 testing method Methods 0.000 description 2
- 241001124144 Dermaptera Species 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 235000014510 cooky Nutrition 0.000 description 1
- 238000012217 deletion Methods 0.000 description 1
- 230000037430 deletion Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000004069 differentiation Effects 0.000 description 1
- 230000007774 longterm Effects 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 238000005457 optimization Methods 0.000 description 1
- 238000013386 optimize process Methods 0.000 description 1
- 230000011664 signaling Effects 0.000 description 1
- 238000011282 treatment Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/164—Implementing security features at a particular protocol layer at the network layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W80/00—Wireless network protocols or protocol adaptations to wireless operation
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Mobile Radio Communication Systems (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Abstract
一种在网络中向归属代理注册移动节点的归属地址的方法。归属代理在鉴别识别节点时不使用移动节点的归属地址作为关键元素,而是使用注册过程中由移动节点发出至归属代理的注册请求所包含的移动节点的网络接入身份作为关键元素。在接收到注册请求时,归属代理就通过选择基于网络接入身份的适当的安全性关联来鉴别移动节点。在响应中,归属代理可以发出鉴别和密钥资料至移动节点,以便允许移动节点进一步将在质询-响应过程中所使用的移动节点鉴别提供给归属代理。
Description
发明领域
本发明涉及移动IPv6和IP安全性。
发明背景
移动IPv6(MIPv6)是一种使IPv6网络的IP对于IPv6主机具有IP移动性而开发的协议。当一个移动节点(MN)从一个子网移动到另一个子网时,该协议允许该移动节点保持有效的TCP(传输控制协议)连接和UDP(用户数据报协议)端口绑定。目前的移动IPv6模型是基于像HoA那样被分配了静态IP地址的MN,例如在预定时间内。当通过外网连接时,MN发出绑定更新(BUs)到它的归属代理(HA)以显示它的当前位置信息,或显示在MN当前连接点分配给MN的转交地址(CoA)。该信息允许HA将MN要使用的分组传送到当前位置。BUs由一个存在于MN和HA之间的IPsec安全性关联(SA:SecurityAssociation)所保护(例如,在预定时间建立的)。该IPsec SA通常与MN的静态HoA(源地址)、归属代理地址、安全参数索引(SPI)值和下一个报头值相联系。HA为每一个到来的分组使用这些参数来识别正确的SA以便利用。MN和HA中的IPsec引擎利用该SA保护BU和绑定确认(即,鉴别发送消息的MN和验证消息的完整性)。
目前,MN把它的归属IP地址提供给HA其以识别它自己。尤其是,这意味着IPsec引擎鉴定了BU的真实性之后,HA才处理BU。因为从MN发出至HA的BU由IPsec保护,所以只有在BU已经被IPsec引擎处理之后,才能在HA中进行BU消息的移动IP处理。移动IP模块仅仅处理经过验证的BU,因为确保BU真实性的责任已经交给了IPsec。
然而,实际的部署模块和保密问题让MN使用例如那些在RFC3041中提出的技术,以产生一个动态的HoA,而不是被分配一个静态的地址。在这些情况下,因为MN使用一个动态的HoA,所以在HA能够开始保护HoA并且将接收到的分组转发给MN之前,MN需要首先向HA注册该动态HoA,然后将BU消息发送到HA从而为CoA建立一个绑定缓冲。为了保护这些消息(以避免HA溢出),MN必须通过一个不是它的IP地址的标识符向HA证明自己的身份,以便让HA接收由MN提出的HoA(即,对于那些成功地通过IPsec引擎处理的消息)。只有当HA已经接受了HoA,由MN发出的BU才被MN处理。
目前,在移动IP中,没有一种方法能够安全地让MN向HA注册由MN动态地建立的归属地址(HoA)。然而,正需要这种缺少的方法来解决CGA(加密地产生的地址)的部署,或者是RFC2977所需的动态归属地址分配过程。
CGA和其他提出的解决方案定义了这样的方案,允许MN证明其拥有所要求的IP地址(归属地址和转交地址)。这些解决方案要求,在一些情况下(例如,当私有密匙被破坏时,依赖于公共密匙的解决方案),MN计算一个新的归属地址并且向它的归属网络注册这个新的归属地址;但是如前所述,该过程还并不存在。可替换的,可以依赖现有的一些基础结构(如AAA服务器)。目前的移动IPv6模型也依赖于分配了静态HoA的MN,对于实际的大范围部署这也许不是最有效的模型,而且它也不允许RFC3041或CGA所需要的动态HoA分配。
发明概述
对于一个认为是对IPv6移动性是有效的并且容易部署的解决方案,不应该依赖于任何现有的基础结构(如AAA-鉴别、授权、计费,参见RFC2977)而应该仅仅基于移动节点(MN)和归属代理(HA)之间的消息交换。
本发明为移动IPv6提供了增强版本,允许一个移动节点动态的配置一个或更多的归属地址(HoA)和以一种安全的方式向归属代理注册所述的HoA,即,通过确保MN被授权这样做。本发明使用MN的NAI(网络接入身份)来识别MN。尤其是,本发明应用在没有AAA基础结构的情况下。
本发明为移动IPv6提供了两种新消息的定义:归属地址注册请求和归属地址注册响应。
这样,根据本发明的第一个方面,一种向网络中的归属代理注册移动节点的归属地址的方法。该方法包括以下步骤:
由移动节点传送一个请求到归属代理,请求注册归属地址;
鉴别该移动节点;和
将该移动节点的归属地址存储在归属代理中。
该方法进一步包括通过移动节点获得归属地址的步骤。
优选的,该请求包括移动节点的网络接入身份和要注册的归属地址,以允许使用基于网络接入身份的安全信息来鉴别移动节点。
有利的,移动节点和归属代理共享一个由网络接入身份识别的安全性关联,并且移动节点基于该安全性关联被鉴别。
有利的,该请求还包括一个在所述鉴别步骤中使用的移动节点鉴别码(authenticatof),该移动节点鉴别码用在所述的鉴别步骤中,并且该移动节点鉴别码是基于所述的安全性关联来计算的。
有利的,该请求还包括一个移动节点的转交地址用来显示移动节点连接至网络的当前连接点。
有利的,该方法进一步包括当所述的鉴别步骤需要质询-响应过程时,发送鉴别和密匙资料至移动节点,以便允许移动节点向归属代理提供基于鉴别和密匙资料的移动节点鉴别的步骤。
当需要时,允许移动节点基于存储在归属代理中的归属地址进行绑定更新消息。
有利的,该方法进一步包括将一个生存期和注册的归属地址相关联的步骤,以便限制移动节点进行绑定更新消息的持续时间,其中生存期可以当移动节点进行绑定更新信息时被刷新,或者用移动节点对归属代理的进一步的请求而刷新。
有利的,要求的方法进一步包括使用哈希函数鉴别请求的步骤。
有利的,该方法进一步包括将代表归属地址的值和一个安全参数索引存储在归属代理中的安全引擎的步骤,以便允许归属代理鉴别一个基于所述的存储的值和安全参数索引的绑定更新消息。
有利的,该方法进一步包括移动节点证明该移动节点拥有并且被授权使用归属地址或者转交地址的步骤。
有利的,归属代理可以在发现过程中被移动节点发现,并且归属地址的注册被传送给所发现的归属代理。
根据本发明第二个方面,提供一种网络系统,该网络系统包括:
至少一个与归属地址结合的移动节点,和
一个归属代理,其中移动节点用来发送一个请求到归属代理,请求注册归属地址,归属代理用来鉴别移动节点并将移动节点的归属地址存储在归属代理中。该请求包括移动节点的网络接入身份和要注册的归属地址,以便允许归属代理使用基于网络接入身份的安全信息来鉴别移动节点。
根据本发明的第三个方面,提供一种网络中的归属代理,该网络至少包括一个移动节点,该移动节点带有通过发送请求至归属代理从而向归属代理注册的归属地址。该归属代理包括:
响应于所述请求,用来鉴别移动节点的装置;和
响应于所述鉴别,用来存储归属地址的装置,其中该请求包括移动节点的网络接入身份和要注册的归属地址,其中鉴别装置基于网络接入身份鉴别移动节点。
根据本发明的第四个方面,提供一种网络中的移动设备,该网络至少包括一个归属代理,该移动设备有一个归属地址和一个网络接入身份。该移动设备的特征在于:
发送一个请求至归属代理,用于注册归属地址,其中该请求包括网络接入身份,以便允许归属代理基于网络接入身份鉴别移动设备。
该归属代理可以在发现过程中被移动设备发现。
当向归属代理注册归属地址时,该移动设备用来发送移动设备拥有并且被授权使用归属地址或转交地址的证明。
通过阅读下面的说明结合附图1-4可以清楚的理解本发明。
附图说明
图1为显示根据本发明的优选HoA注册过程的框图。
图2为显示了优选HoA注册过程的流程图。
图3为显示了根据本发明的改进的HoA注册过程的框图。
图4是显示了根据本发明的另一个改进的HoA注册过程的框图。
本发明最佳实施例
假设安全性关联(SA)是被移动节点(MN)和它的归属网络(尤其是归属代理(HA))所共享。这样的安全性关联由移动IPv6引擎中的一个密匙或一组密匙组成,用来基于由MN提供的MN鉴别码和和MN的NAI鉴别MN。
如上所述,本发明基于这样的思想,MN和归属代理不使用MN的归属地址而使用MN的NAI作为识别MN和重现安全参数的关键元素。
如图1和2所示,本发明基于以下的过程:
-在一个新的归属地址或HoA建立之后(即,MN产生它或者从一个网络元素接收它的情况下),MN可以在归属网络中任选地发现一个归属代理。新HoA的产生或获得如图2的流程图100中的步骤110所示。
-MN然后发送一个HoA注册请求到归属代理,如图1中的步骤1和图2中的步骤120所示。该消息包括
MN的NAI,
MN的HoA,
MN的CoA,以及可能还包括
MN鉴别码,其中,
-MN的NAI用来把用户与归属网络联系在一起;
-MN的HoA是一个由MN获得的新地址,并被提供给HA以允许HA知道要防卫哪一个IP地址,并且允许HA产生Ipsec SPD(安全规则数据库)所需要的入口;
-MN的CoA是在MN当前连接点可以达到的地址;和
-MN鉴别码由MN所包括,使注册请求在包括一个消息鉴别码(MAC)时能够被缺省的鉴别,该MAC通过将一个带有(归属域)(MN)共享密匙的哈希函数应用于整个分组来获得。
-如果HoA注册请求包括MN鉴别码,一旦接收到HoA注册请求,HA中的移动IP引擎就通过基于由MN提供的NAI选择适当的SA以及通过验证MN鉴别码来鉴别MN,如图1中的步骤2和流程图100中的步骤150所示。
-如果HoA注册请求不包括MN鉴别码,如流程图100中的步骤130所判定的那样,那么在完成注册过程之前,HA在HoA注册响应消息中发送鉴别和密匙资料到MN,即流程图100中的步骤140。执行该步骤是为了根据需要质询-响应过程的鉴别机制来鉴别MN,和/或是为了获得动态密匙例如用来鉴别未来绑定更新。
-HA在完成注册程序之前,可以在一个HoA注册响应消息中任选地发送鉴别和密匙资料到MN,即流程图100中的步骤132。该步骤可以用来阻止例如重放攻击,还可以用来根据需要质询-响应过程的鉴别机制来附加地鉴别MN,和/或用来提供密匙资料来建立一个MN和HA之间的动态密匙以鉴别未来绑定更新消息。
-为了响应来自HA的包括一个鉴别和密匙资料的HoA注册响应,MN发送一个附加的HoA注册请求到该HA,即流程图100中的步骤142,其中,该附加的HoA注册请求包括相同的NAI、归属地址和转交地址(care-of address),如图1中的步骤1所示,也包括一个使用与移动IP层的HA共享的Sa以及鉴别和密匙资料计算出的MN鉴别码。
-HA中的移动IP引擎通过基于由MN提供的NAI选择适当的SA和通过验证MN鉴别码来鉴别MN,如流程图100中的160步骤所示。
-在步骤160,HA中的移动IP引擎存储由MN提供的HoA,并且使用由MN提出的HoA生存期值将一个生存期和HoA相关联。
-在流程图100中的步骤162,通过将源地址字段值设置为由MN提供的动态HoA,将SPI值设置为HA和MN已知的预定值或由HA决定并返回至MN的值,HA建立IPsec引擎中的入口。
与入口关联的该密匙可以是由HA和MN共享的SA的一部分或者在MN鉴别期间被计算(例如,通过质询-响应过程)。该过程允许直接在IPsec层鉴别来自MN的未来绑定更新消息。
-在流程图100中的步骤170,HA发送一个HoA注册响应消息到MN,指示注册是成功还是失败。如果由MN提出的值不能被接受,HA也可以发送一个不同的HoA生存期的值。
-如果过程是成功的,那么在HoA生存期结束之前,MN根据需要处理绑定更新消息,如流程图100中的步骤180所示。
-当HA的HoA生存期已经期满时,HA就删除:
与MN关联的HoA,
任何在移动IP绑定缓冲中与该HoA相关的入口,和
与HoA相应的IPsec入口。
然而,MN可以用两种方法刷新HoA的生存期:通过在生存期期满之前发送一个新的HoA注册请求,或者是HA依据每一个由MN发送的绑定更新来刷新HoA的生存期(即,重启定时器)。
在注册过程中,MN可以任选地地提供附加信息,例如MN拥有和被授权使用所要求的HoA和CoA的证据(即,解决IPv6地址归属关系问题)。该附加信息证明了MN拥有该地址。MN计算这种信息的方法是在本发明范围之外的。
HoA注册消息中携带的所有附加信息(包括NAI)可以被加密以阻止任何偷听者进行业务量分析或学习其它任何敏感信息。可以使用MN的NAI来重现
适当的安全密匙以便对消息进行加密。
本发明可以应用在许多不同的场景中,为了演示的目的,以下给出一些场景。
场景1:
HoA注册请求和HoA注册响应消息是新的移动IP消息。一个新的移动报头类型允许该消息不同于其他移动IP消息,如BU,HoTI(归属测试初始化),CoT(转交测试)等等。在这个场景中,HoA注册和绑定更新过程是分离的(即,独立地并且按顺序地执行)。
●该HoA注册请求至少应该包括以下字段:
-源IP地址:CoA
-目的IP地址:HA(或是一个任意播出(anycast)地址-请看下面)
-下一个报头:移动报头
-类型:HoA注册请求
-识别号:使请求和响应匹配
-NAI
-归属地址选项
-MN鉴别码 该字段是可选的,当首先发送请求到HA时, 仅仅当依照由HA和MN共享的SA的鉴别方 法允许MN计算MN鉴别码时,该字段才应该 被包括在内。当MN响应来自HA的包括鉴别 和密匙资料的HoA注册回答消息而发送HoA 注册请求消息到HA时,该字段总是被包括 进去。
-HoA生存期 该字段是可选的,因为在预订时间内可以指 定一个预定值。MN可以请求一个不同的生存 期值。
-SPI: 该字段是可选的,仅当对于将被用来鉴别绑 定更新的IPsec安全性关联,HA和MN没有 预订时间内的SPI预定值,那么该字段就应 该被包括。
并且HoA注册响应应该包括下列字段:
-源IP地址:归属代理
-目的IP地址:CoA
-下一个报头:移动报头
-类型:注册响应
-识别号:
-结果码:成果/失败
-鉴别和密匙资料 该字段是可选的,仅当MN在请求中没有提 供MN鉴别码,或者如果归属代理决定进一 步和/或通过使用专门的鉴别方法来鉴别MN 以避免重放攻击(例如:质询-响应),那 么该字段就应该存在。HA也可以使用该字段 来提供密匙资料从而建立一个在MN和HA之 间的动态的密匙,用来鉴别未来绑定更新消 息。
-HoA生存期 该字段是可选的,仅当HA不接受由MN提 出的值或在预订时预定的值时,该字段就应 该存在。
该HoA注册请求消息可以被寻址到归属代理的地址(例如,如果MN已经被一组代理预配置)或者被寻址到一个任意播出地址:第二个选项允许同时执行归属代理发现和HoA注册,从而优化了过程。
有各种不同的方法在归属代理中实现本发明,一些可能的方法如下所述。但是,本发明也可以使用其他不同的方法来实现。
选项1-改进的归宿代理(图3)
同样地,目前MIP堆栈在将分组转发至IPsec引擎之前进行一些处理(当出现归属地址选项时,该MIP堆栈就取代了源地址的内容和归属地址选项字段),当根据类型号码认识到所接收的分组是注册请求时,移动IP堆栈将直接处理该分组而不将其传给IPsec引擎。该MIP堆栈验证请求的真实性并确定MN被授权,然后为随后从MN发出至HA的MIP消息(例如,绑定更新)在IPsec安全策略数据库中建立一个入口。
本发明的这个实现需要访问一些对MIP HA源码,也可以在即将到来的未来HA中实现。这是一个长期解决方案。
选项2-“堆栈中的块(bump)”(图4)
对于已经部署的HA,一个“堆栈中的块”(BITS)的实现,例如当IPsec已经被部署并且IPv4堆栈已经存在时将发生什么[RFC2401],可以是一个短时解决方案。本发明可以“通过”一个现有的在HA和本地网络驱动器之间的MIP HA/IPsec协议栈实现来实现。这种背景下就不需要访问MIP HA堆栈的源码,但是BITS必须能够访问IPsec SPD。如果BITS也能访问HA绑定缓冲,那么就有可能进行一些优化,尤其是在接收到注册请求消息时,就可以创建相应的绑定缓冲。否则,MN必须在注册请求之后发送绑定更新。
该实现方法适合于传统的系统。
选项3
该选项考虑了一个IPsec协议增强实现/版本的可能性。目前,IPsee能够基于源地址、目的地址、下一个报头和安全参数索引区分分组:该信息允许其重现适当的安全性关联以及对分组进行处理。
然而,随着诸如移动IP之类不同协议的发展,意识到该粒度并不够充分:下一个报头只允许其区分是否是TCP、UDP、逐跳、移动性、路由报头等等,但是能够基于类型区分分组也是有益的:如,绑定更新、HoT、CoT、HoA注册请求。
要么未来的IPsec版本将允许这样,要么归属代理能够带有一个IPsec的增强方案,使得可以选择更高的粒度。
在这种情况下,预订时建立的SPD中每个MN有两个入口。一个用来绑定更新,一个用于HoA注册请求。因为每个分组必须首先通过IPsec引擎,所以这将限制潜在的拒绝服务攻击(如溢出)。
将使用鉴别报头协议保护(鉴别)HoA注册请求,然后基于NAI鉴别HoA注册请求;如果两个验证都通过,那么将在IPsec SPD中建立与绑定更新相应的入口。
场景2:
绑定更新和绑定确认消息被扩展成也执行HoA注册.在这个场景中,MA和HA在IPsec层和MIP层都共享一个SA.IPsec验证消息的真实性,而MIP层验证被MN与其NAI一起包含在BU中的MN鉴别码。
场景3:
场景3是场景1的扩展.在通过鉴别后,作为HoA注册请求处理的一部分,相应的绑定缓冲将被建立。这可以避免HoA注册响应之后的任何绑定更新/绑定确认响应。
本发明的优点如下:
-本解决方案除了需要解决如CGA、RFC3041之类解决方案的部署问题,还要让移动IPv6具有更大的灵活性(例如,处理例如当分配的HA停机的情况);
-该解决方案可以通过在IETF中为移动IPv6简单地定义两个新消息或者通过扩展当前的绑定更新消息来实现;
-当MN变更归属地址时,必须执行本发明所描述的过程,但是这不影响也不会改变所有其他已在移动IP规范中定义的过程;
-本发明并不需要修改IPsec以便能够部署:这在标准的可行性和短媒介的可部署性方面是一个大优点;
-不需要基础结构(AAA,PKI(公共密匙基础结构),等等);
-在动态分配归属代理的情况下,本解决方案可以与归属代理发现整合,从而优化MN和HA之间的信令。这适用于定义新注册消息的情况;
-本过程允许不同的鉴别机制。例如,MN可以在注册请求中发送一个作为消息功能本身而计算的MN鉴别码和属于MN与HA共享的SA的密匙。同样,也可以使用更复杂的鉴别机制。例如,HA可以发送一个鉴别和密匙资料到MN,MN进而使用它们来提供一个要被鉴别的响应。这将允许如基于SIM的质询-响应机制的鉴别机制,它们在GSM或者UMTS AKA(鉴别和密匙协议)中采用。允许在诸如OWLAN(运营商无线局域网)之类产品中采用本发明是有用的,其中通过HA以GSM质询-响应鉴别的方式来鉴别接入WLAN的MN。
-本解决方案允许抵制应答攻击并且可以限制拒绝服务攻击(根据采用的鉴别方法,例如,通过使用cookies)
总的来说,本发明提供了一种增强移动IPv6的方法,其中该方法允许一个移动节点动态地配置一个或多个地址并且以一种确保移动节点被授权的安全方式向归属代理注册该地址。本发明使用移动节点的网络接入身份来识别移动节点。网络接入身份是在一个归属地址注册请求中被提供给归属代理。优选地,移动节点鉴别码被包括在注册请求中以便允许归属代理来基于鉴别码鉴别移动节点。在鉴别过程之后,归属代理将所提供的移动节点的归属地址存储在其IP安全引擎中,以便在IP安全层直接鉴别来自移动节点的未来绑定更新消息。
虽然本发明是根据优选实施例来描述的,但是本领域的普通技术人员可以理解,上述方法和各种其他变化,其形式和细节的省略和偏差,可以在不背离本发明范围的情况下作出。
Claims (30)
1.一种向网络中的归属代理注册移动节点的归属地址的方法,所述方法包括以下步骤:
由移动节点传送一个请求到归属代理,请求注册归属地址;
鉴别该移动节点;和
将该移动节点的归属地址存储在归属代理中;
其中,所述归属地址是由所述移动节点产生或者获得的IP地址。
2.如权利要求1所述的方法,进一步包括通过移动节点获得归属地址的步骤。
3.如权利要求1所述的方法,其中,该请求包括移动节点的网络接入身份和要注册的归属地址。
4.如权利要求3所述的方法,其中,使用基于网络接入身份的安全信息来鉴别移动节点。
5.如权利要求3所述的方法,其中,移动节点和归属代理共享一个由网络接入身份识别的安全性关联,并且移动节点基于该安全性关联被鉴别。
6.如权利要求1所述的方法,其中,该请求还包括一个在所述鉴别步骤中使用的移动节点鉴别码。
7.如权利要求5所述的方法,其中,该请求还包括一个在所述鉴别步骤中使用的移动节点鉴别码,并且该移动节点鉴别码是基于所述安全性关联来计算的。
8.如权利要求1所述的方法,其中,该请求还包括一个移动节点的转交地址,用来指示移动节点连接至网络的当前连接点。
9.如权利要求1所述的方法,进一步包括以下步骤:
当所述鉴别步骤需要质询-响应过程时,发送鉴别和密匙资料至移动节点,以便允许移动节点给归属代理提供基于鉴别和密匙资料的移动节点鉴别。
10.如权利要求1所述的方法,其中,当需要时,允许移动节点基于存储在归属代理中的归属地址进行绑定更新消息。
11.如权利要求10所述的方法,进一步包括步骤:
使一个生存期和注册的归属地址相关联,以便限制允许移动节点进行绑定更新消息的持续时间。
12.如权利要求11所述的方法,其中,当移动节点进行绑定更新信息时,生存期可以被刷新。
13.如权利要求11所述的方法,其中,生存期可以由移动节点发送到归属代理的另一个请求来刷新。
14.如权利要求1所述的方法,进一步包括使用哈希函数鉴别请求的步骤。
15.如权利要求1所述的方法,进一步包括步骤
将一个指示归属地址的值和一个安全参数索引存储在归属代理中的安全引擎中,以便允许归属代理基于所述存储的值和安全参数索引鉴别绑定更新消息。
16.如权利要求1所述的方法,进一步包括步骤:移动节点提供该移动节点拥有并且被授权使用归属地址的证据。
17.如权利要求8所述的方法,进一步包括步骤:移动节点提供该移动节点拥有并且被授权使用转交地址的证据。
18.如权利要求1所述的方法,其中,归属代理可以在发现过程中被移动节点发现,并且归属地址的注册被传送给所发现的归属代理。
19.一种网络系统,包括:
至少一个移动节点,它具有与其相关联的归属地址,和
一个归属代理,其中移动节点适于发送一个请求到归属代理,请求注册归属地址,归属代理适于鉴别移动节点并将移动节点的归属地址存储在归属代理中;
其中,所述归属地址是由所述移动节点产生或者获得的IP地址。
20.如权利要求19所述的网络系统,其中,该请求包括移动节点的网络接入身份和要注册的归属地址。
21.如权利要求20所述的网络系统,其中,归属代理使用基于网络接入身份的安全信息来鉴别移动节点。
22.如权利要求19所述的网络系统,其中,移动节点和归属代理共享一个可由网络接入身份识别的安全性关联,并且归属代理基于该安全性关联鉴别该移动节点。
23.如权利要求19所述的网络系统,其中,该请求还包括移动节点的转交地址,用来指示移动节点连接至网络的当前连接点。
24.一种网络中的归属代理,该网络至少包括一个移动节点,该移动节点具有要通过发送请求至归属代理从而向归属代理注册的归属地址,所述归属代理包括:
响应于所述请求,用来鉴别移动节点的装置;和
响应于所述鉴别,用来存储归属地址的装置;
其中,所述归属地址是由所述移动节点产生或者获得的IP地址。
25.如权利要求24所述的归属代理,其中,该请求包括移动节点的网络接入身份和要注册的归属地址。
26.如权利要求25所述的代理,其中,所述鉴别装置基于网络接入身份鉴别移动节点。
27.一种网络中的移动设备,该网络至少包括一个归属代理,该移动设备具有一个归属地址和一个网络接入身份,所述移动设备其特征在于:
发送一个请求至归属代理,请求注册归属地址,其中该请求包括网络接入身份,以便允许归属代理基于网络接入身份鉴别移动设备;
其中,所述归属地址是由所述移动设备产生或者获得的IP地址。
28.如权利要求27所述的移动设备,其中,该归属代理在发现过程中被移动设备发现。
29.如权利要求27所述的移动设备,其中,当向归属代理注册归属地址时,该移动设备适于发送移动设备拥有并且被授权使用该归属地址的证据。
30.如权利要求27所述的移动设备,其中,该请求进一步包括一个移动设备鉴别码,以便允许归属代理基于该鉴别码鉴别该移动设备。
Applications Claiming Priority (5)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US39280702P | 2002-06-28 | 2002-06-28 | |
US60/392,807 | 2002-06-28 | ||
US39332302P | 2002-07-01 | 2002-07-01 | |
US60/393,323 | 2002-07-01 | ||
PCT/IB2003/002511 WO2004003679A2 (en) | 2002-06-28 | 2003-06-27 | Method of registering home address of a mobile node with a home agent |
Publications (2)
Publication Number | Publication Date |
---|---|
CN1666190A CN1666190A (zh) | 2005-09-07 |
CN1666190B true CN1666190B (zh) | 2010-04-28 |
Family
ID=30003279
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN03815361.0A Expired - Fee Related CN1666190B (zh) | 2002-06-28 | 2003-06-27 | 向归属代理注册移动节点的归属地址的方法 |
Country Status (6)
Country | Link |
---|---|
US (1) | US7636569B2 (zh) |
EP (1) | EP1518183A2 (zh) |
JP (1) | JP4291272B2 (zh) |
CN (1) | CN1666190B (zh) |
AU (1) | AU2003236967A1 (zh) |
WO (1) | WO2004003679A2 (zh) |
Families Citing this family (32)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7409549B1 (en) * | 2001-12-11 | 2008-08-05 | Cisco Technology, Inc. | Methods and apparatus for dynamic home agent assignment in mobile IP |
US7587498B2 (en) * | 2002-05-06 | 2009-09-08 | Cisco Technology, Inc. | Methods and apparatus for mobile IP dynamic home agent allocation |
US7668174B1 (en) * | 2002-10-17 | 2010-02-23 | Cisco Technology, Inc. | Methods and apparatus for home address management at home agent for NAI based mobile nodes |
US20040137905A1 (en) * | 2003-01-09 | 2004-07-15 | Docomo Communications Laboratories Usa, Inc. | System and method for channel scanning in wireless networks |
KR20050007830A (ko) * | 2003-07-11 | 2005-01-21 | 삼성전자주식회사 | 기기간 컨텐츠 교환을 위한 도메인 인증 방법 |
US7548981B1 (en) * | 2004-03-03 | 2009-06-16 | Sprint Spectrum L.P. | Biometric authentication over wireless wide-area networks |
CN1969526B (zh) * | 2004-04-14 | 2010-10-13 | 北方电讯网络有限公司 | 使用ha-mn密钥来保护本地代理与移动节点的通信 |
KR101093961B1 (ko) | 2004-09-20 | 2011-12-15 | 주식회사 케이티 | 인구 비밀집지역에서의 휴대 인터넷 제공 방법 및 시스템 |
KR100636209B1 (ko) * | 2004-11-12 | 2006-10-19 | 삼성전자주식회사 | Mac 주소 보안 방법 및 장치 |
US7502331B2 (en) * | 2004-11-17 | 2009-03-10 | Cisco Technology, Inc. | Infrastructure-less bootstrapping: trustless bootstrapping to enable mobility for mobile devices |
US7843871B2 (en) * | 2004-12-21 | 2010-11-30 | International Business Machines Corporation | Method of reestablishing communication by a mobile node upon recovery from an abrupt shut down |
US7529207B2 (en) | 2004-12-21 | 2009-05-05 | International Business Machines Corporation | Method of reestablishing communication by a mobile node upon recovery from an abrupt shut down |
US7886076B2 (en) * | 2005-01-12 | 2011-02-08 | International Business Machines Corporation | Bypassing routing stacks using mobile internet protocol |
KR100848541B1 (ko) * | 2005-05-13 | 2008-07-25 | 삼성전자주식회사 | 이동 아이피 버전 6에서 재전송 공격을 방지하기 위한 방법 |
US7778229B2 (en) * | 2005-07-29 | 2010-08-17 | Cisco Technology, Inc. | Optimized IP address use in a mobile IP environment |
JP4960359B2 (ja) * | 2005-08-15 | 2012-06-27 | テレフオンアクチーボラゲット エル エム エリクソン(パブル) | 高速ルータ探索におけるルーティングアドバタイズメント認証 |
DE102006006072B3 (de) * | 2006-02-09 | 2007-08-23 | Siemens Ag | Verfahren zum Sichern der Authentizität von Nachrichten, die gemäß einem Mobile Internet Protokoll ausgetauscht werden |
US10171998B2 (en) | 2007-03-16 | 2019-01-01 | Qualcomm Incorporated | User profile, policy, and PMIP key distribution in a wireless communication network |
US7937747B2 (en) * | 2007-03-27 | 2011-05-03 | Panasonic Corporation | Privacy protection for mobile internet protocol sessions |
KR101398908B1 (ko) * | 2007-05-22 | 2014-05-26 | 삼성전자주식회사 | 모바일 아이피를 사용하는 이동 통신 시스템에서 단말의이동성 관리 방법 및 시스템 |
US8266427B2 (en) * | 2007-06-08 | 2012-09-11 | Cisco Technology, Inc. | Secure mobile IPv6 registration |
US8634344B2 (en) * | 2007-08-06 | 2014-01-21 | Marvell World Trade Ltd. | Dynamic internet protocol addressing solutions with network-based mobility |
KR101523090B1 (ko) * | 2007-08-24 | 2015-05-26 | 삼성전자주식회사 | 모바일 아이피를 이용하는 이동통신 시스템에서 단말의 이동성 관리 방법 및 장치 |
US8797951B2 (en) * | 2008-03-10 | 2014-08-05 | Nec Corporation | Communication system, transfer node, mobile node, server apparatus, communication control method, and program |
CN101309273B (zh) * | 2008-07-16 | 2011-06-01 | 杭州华三通信技术有限公司 | 一种生成安全联盟的方法和装置 |
US8189567B2 (en) * | 2009-01-29 | 2012-05-29 | Telefonaktiebolaget L M Ericsson (Publ) | Method and nodes for registering a terminal |
US8509815B1 (en) * | 2009-05-21 | 2013-08-13 | Sprint Communications Company L.P. | Dynamically updating a home agent with location-based information |
US8614976B1 (en) * | 2010-03-29 | 2013-12-24 | Sprint Spectrum L.P. | Method and system for registering a nickname associated with a mobile node |
US8321541B1 (en) * | 2010-07-23 | 2012-11-27 | Sprint Communications Company L.P. | Assigning internet protocol addresses in a network |
US8953798B2 (en) * | 2010-10-29 | 2015-02-10 | Telefonaktiebolaget L M Ericsson (Publ) | Enhanced cryptographically generated addresses for secure route optimization in mobile internet protocol |
US9344452B2 (en) | 2012-07-19 | 2016-05-17 | Sprint Communications Company L.P. | User control over WiFi network access |
US10097525B2 (en) * | 2016-03-08 | 2018-10-09 | Qualcomm Incorporated | System, apparatus and method for generating dynamic IPV6 addresses for secure authentication |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2001076134A1 (en) * | 2000-03-31 | 2001-10-11 | Nokia Corporation | Authentication in a packet data network |
WO2001076286A1 (en) * | 2000-03-31 | 2001-10-11 | Nokia Corporation | Architecture and packet routing in a multi-bearer-type network |
WO2002043281A1 (en) * | 2000-11-21 | 2002-05-30 | Samsung Electronics Co., Ltd. | Regional tunnel management method in a mobile communication system using mobile ip |
Family Cites Families (13)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP3641128B2 (ja) * | 1998-02-20 | 2005-04-20 | 株式会社東芝 | 移動計算機装置、移動計算機管理装置、移動計算機管理方法及び通信制御方法 |
US6571289B1 (en) * | 1998-08-03 | 2003-05-27 | Sun Microsystems, Inc. | Chained registrations for mobile IP |
US7079499B1 (en) * | 1999-09-08 | 2006-07-18 | Nortel Networks Limited | Internet protocol mobility architecture framework |
US6445922B1 (en) * | 1999-12-15 | 2002-09-03 | Lucent Technologies Inc. | Method and system for support of overlapping IP addresses between an interworking function and a mobile IP foreign agent |
US6992995B2 (en) * | 2000-04-17 | 2006-01-31 | Telcordia Technologies, Inc. | Telecommunication enhanced mobile IP architecture for intra-domain mobility |
JP4294829B2 (ja) * | 2000-04-26 | 2009-07-15 | ウォーターフロント・テクノロジーズ エルエルシー | モバイルネットワークシステム |
JP2002033764A (ja) * | 2000-07-14 | 2002-01-31 | Fujitsu Ltd | 通信サービス提供システム、並びに通信サービス提供システムにおいて使用される移動端末装置、アドレスサーバ装置、およびルータ装置 |
US20020120844A1 (en) * | 2001-02-23 | 2002-08-29 | Stefano Faccin | Authentication and distribution of keys in mobile IP network |
EP1379034A4 (en) * | 2001-03-13 | 2009-09-09 | Nec Corp | SYSTEM FOR MANAGING A MOBILE NODE IN A MOBILE NETWORK |
US7577425B2 (en) * | 2001-11-09 | 2009-08-18 | Ntt Docomo Inc. | Method for securing access to mobile IP network |
US7298847B2 (en) * | 2002-02-07 | 2007-11-20 | Nokia Inc. | Secure key distribution protocol in AAA for mobile IP |
US20030224788A1 (en) * | 2002-03-05 | 2003-12-04 | Cisco Technology, Inc. | Mobile IP roaming between internal and external networks |
US7447173B2 (en) * | 2005-08-17 | 2008-11-04 | Motorola, Inc. | Methods for transmitting data packets and supporting apparatus |
-
2003
- 2003-06-27 WO PCT/IB2003/002511 patent/WO2004003679A2/en active Application Filing
- 2003-06-27 CN CN03815361.0A patent/CN1666190B/zh not_active Expired - Fee Related
- 2003-06-27 EP EP03735881A patent/EP1518183A2/en not_active Withdrawn
- 2003-06-27 JP JP2004548896A patent/JP4291272B2/ja not_active Expired - Fee Related
- 2003-06-27 US US10/609,016 patent/US7636569B2/en not_active Expired - Fee Related
- 2003-06-27 AU AU2003236967A patent/AU2003236967A1/en not_active Abandoned
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2001076134A1 (en) * | 2000-03-31 | 2001-10-11 | Nokia Corporation | Authentication in a packet data network |
WO2001076286A1 (en) * | 2000-03-31 | 2001-10-11 | Nokia Corporation | Architecture and packet routing in a multi-bearer-type network |
WO2002043281A1 (en) * | 2000-11-21 | 2002-05-30 | Samsung Electronics Co., Ltd. | Regional tunnel management method in a mobile communication system using mobile ip |
Also Published As
Publication number | Publication date |
---|---|
WO2004003679A2 (en) | 2004-01-08 |
AU2003236967A8 (en) | 2004-01-19 |
US7636569B2 (en) | 2009-12-22 |
AU2003236967A1 (en) | 2004-01-19 |
CN1666190A (zh) | 2005-09-07 |
US20040029584A1 (en) | 2004-02-12 |
EP1518183A2 (en) | 2005-03-30 |
JP2005532012A (ja) | 2005-10-20 |
WO2004003679A3 (en) | 2004-03-25 |
JP4291272B2 (ja) | 2009-07-08 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN1666190B (zh) | 向归属代理注册移动节点的归属地址的方法 | |
US8175037B2 (en) | Method for updating a routing entry | |
ES2349292T3 (es) | Procedimiento y servidor para proporcionar una clave de movilidad. | |
CN1531245B (zh) | 服务器、终端控制设备以及终端鉴权方法 | |
CN102934470B (zh) | 用于在通信系统中将订户认证与设备认证绑定的方法和装置 | |
US8126148B2 (en) | Securing home agent to mobile node communication with HA-MN key | |
US7376101B2 (en) | Secure candidate access router discovery method and system | |
EP1633107B1 (en) | Authenticating address ownership using care-of-address (COA) binding protocol | |
EP1875710B1 (en) | System, associated methods and apparatus for securing prefix-scoped binding updates | |
EP2127249B1 (en) | Route optimization between a mobile router and a correspondent node using reverse routability network prefix option | |
US7881468B2 (en) | Secret authentication key setup in mobile IPv6 | |
EP2061200B1 (en) | Method and device for binding update between mobile node and correspondent node | |
US20040157585A1 (en) | Mobile communication network system and mobile terminal authentication method | |
JP2011193475A (ja) | ネットワーク管理方法及びネットワーク管理装置 | |
CN101861742B (zh) | 用于在移动通信网络中建立密码关系的方法和设备 | |
Laurent-Maknavicius et al. | Inter-domain security for mobile Ipv6 | |
US8036232B2 (en) | Apparatus and method for filtering packet in a network system using mobile IP | |
Park et al. | Securing 6LoWPAN neighbor discovery | |
Xie et al. | Secured macro/micro-mobility protocol for multi-hop cellular IP | |
Elshakankiry | Securing home and correspondent registrations in mobile IPv6 networks | |
Tan et al. | Fast and simple NEMO authentication via random number | |
Alkhliwi | Securing Mobility Location Management in Wireless Mesh Networks | |
Laurent-Maknavicius et al. | Sécurité inter-domaine pour la mobilité IPV6 | |
Coronado et al. | A secure service architecture to support wireless vehicular networks | |
Park et al. | Secure firewall traversal in mobile IP network |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
C17 | Cessation of patent right | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20100428 Termination date: 20100627 |