專利名稱:移動(dòng)因特網(wǎng)協(xié)議中的尋址機(jī)制的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及移動(dòng)IP(因特網(wǎng)協(xié)議)中的尋址機(jī)制��,更具體地說涉及使IP網(wǎng)絡(luò)節(jié)點(diǎn)能夠證明它們被授權(quán)改動(dòng)或更新有關(guān)另一網(wǎng)絡(luò)節(jié)點(diǎn)所擁有的IP地址的信息的尋址機(jī)制���。
背景技術(shù):
因特網(wǎng)使用率的大幅增長暴露了目前稱為IPv4的因特網(wǎng)協(xié)議的缺點(diǎn)和局限性。作為感興趣各方的松散組織的因特網(wǎng)工程任務(wù)組(IETF)因此開發(fā)了稱之為IPv6的增強(qiáng)型因特網(wǎng)協(xié)議�。IPv6包含了改進(jìn)很多的安全機(jī)制IPSec(它允許兩方或兩方以上通過因特網(wǎng)安全地進(jìn)行通信并提供移動(dòng)因特網(wǎng)接入(移動(dòng)IP))。移動(dòng)IP允許用戶在移動(dòng)中訪問因特網(wǎng)�,從一個(gè)IP地址節(jié)點(diǎn)漫游到另一個(gè)。使用移動(dòng)IP的用戶具體說是那些通過(連接到例如無線局域網(wǎng)和蜂窩電話網(wǎng)的)無線移動(dòng)設(shè)備訪問因特網(wǎng)的用戶�。
IPv6提供大得多的IP地址空間,提供長度為128比特的IP地址�����。一個(gè)地址的前64比特形成唯一地識(shí)別IP終端或主機(jī)所用的因特網(wǎng)接入節(jié)點(diǎn)(或所謂的“本地鏈路”)的路由前綴�����,而后64比特形成唯一地識(shí)別到接入節(jié)點(diǎn)(或在本地鏈路內(nèi))的移動(dòng)終端的主機(jī)后綴。主機(jī)后綴被稱為“接口標(biāo)識(shí)符”��,因?yàn)樗诮尤虢涌谏衔ㄒ坏刈R(shí)別主機(jī)�����。通常�,當(dāng)主機(jī)向接入節(jié)點(diǎn)注冊時(shí),主機(jī)從該接入節(jié)點(diǎn)發(fā)送的通告消息中得知該接入節(jié)點(diǎn)的路由前綴���。根據(jù)RFC 3041(IETF)���,主機(jī)然后利用主機(jī)生成的隨機(jī)數(shù)生成其接口標(biāo)識(shí)符。主機(jī)還可以使用鏈路層地址來生成接口標(biāo)識(shí)符���,鏈路層地址是例如接入網(wǎng)所用的MAC層址址�。
如前所述����,移動(dòng)IP允許主機(jī)在接入節(jié)點(diǎn)、甚至接入網(wǎng)之間漫游�,這是一種要求允許主機(jī)更改確定其物理位置的IP地址的功能��。通常���,在歸屬網(wǎng)絡(luò)中為移動(dòng)主機(jī)分配“固定的”歸屬IP地址�����。當(dāng)主機(jī)在歸屬地時(shí)��,它可以將其歸屬地址用作其物理地址�。但是,當(dāng)主機(jī)將其本身與“外部”的接入節(jié)點(diǎn)相關(guān)聯(lián)時(shí)����,為該主機(jī)分配一個(gè)臨時(shí)的“轉(zhuǎn)交地址”。與移動(dòng)主機(jī)通信的主機(jī)維護(hù)包含歸屬地址和轉(zhuǎn)交地址之間的映射關(guān)系的綁定高速緩沖存儲(chǔ)器�。對于輸入的分組,該對應(yīng)主機(jī)上的移動(dòng)IP層以轉(zhuǎn)交地址交換目的字段中的歸屬地址�����,而對于輸出分組�����,該對應(yīng)主機(jī)上的移動(dòng)IP層以歸屬地址交換目的地址字段中的轉(zhuǎn)交地址。當(dāng)移動(dòng)主機(jī)獲得新的轉(zhuǎn)交地址時(shí)���,它必須向所有對應(yīng)的主機(jī)發(fā)送綁定更新消息�����,以便更新其綁定高速緩沖存儲(chǔ)器(從而確保將后續(xù)的數(shù)據(jù)包送到正確的轉(zhuǎn)交地址)����。移動(dòng)IP方案如
圖1所示���。
這種機(jī)制的可能風(fēng)險(xiǎn)在于�����,有惡意的第三方可以向?qū)?yīng)主機(jī)發(fā)送欺詐性綁定更新消息���,以使發(fā)往移動(dòng)主機(jī)的數(shù)據(jù)分組路由到該有惡意的一方。如果分組隨后(在由有惡意的一方打開并閱讀之后)由該方轉(zhuǎn)發(fā)到移動(dòng)主機(jī)�����,則移動(dòng)主機(jī)可能甚至不知道它的分組已重新路由并被讀過。此問題不限于移動(dòng)IP����,而且存在于IPv6體系結(jié)構(gòu)內(nèi)的其他信令功能中。2001年二月提交的IETF文獻(xiàn)“draft-nikander-ipng-address-ownership-00.txt”中更詳細(xì)地介紹了移動(dòng)IP有關(guān)的問題和一些其他問題�。
對此問題的解決方案已于2001年二月提交的IETF文獻(xiàn)“draft-bradner-pbk-frame-00.txt”中提出。這涉及在移動(dòng)主機(jī)上生成包括公鑰和私鑰的定制(purpose built)密鑰(PBK)對�����。在移動(dòng)主機(jī)上通過對公鑰應(yīng)用哈希算法而生成端點(diǎn)ID(EID)�。在一發(fā)起IP連接之后就將EID發(fā)送到對應(yīng)的主機(jī)�����。隨后����,移動(dòng)主機(jī)向?qū)?yīng)主機(jī)發(fā)送公鑰。對應(yīng)主機(jī)可以通過對該密鑰應(yīng)用單向編碼函數(shù)并將結(jié)果與以前接收的EID作比較而驗(yàn)證該公鑰“屬于”所述連接����,隨后發(fā)送的任何綁定更新消息在移動(dòng)主機(jī)上用該主機(jī)的私鑰簽名。對應(yīng)主機(jī)利用以前接收的公鑰驗(yàn)證附加到綁定更新消息中的簽名��。提供增強(qiáng)安全性的改進(jìn)方案在以下文獻(xiàn)中介紹Ericsson Nomadiclab的P.Nikander于2001年3月提交的題為“IPv6地址所有權(quán)的可伸縮體系結(jié)構(gòu)”的草案<draft-nikander-ipng-pbk-addresses-00.txt>��;G.Montenegro、C.Castelluccia于2001年7月20日提交的題為“SUCV標(biāo)識(shí)符和地址”的因特網(wǎng)草案(工作進(jìn)展)�����;以及M.Roe.Microsoft于2001年8月提交的題為“對移動(dòng)IPv6綁定更新和確認(rèn)的認(rèn)證”的因特網(wǎng)草案(工作進(jìn)展)http//www.ietf org/internet-drafts/draft-roe-Mobile IP-updateauth-00.txt�����。
本發(fā)明概述上文中提出的解決方案只能處理地址擁有者發(fā)送綁定更新消息的情況�����。但是���,存在這樣幾種情形����,其中����,其他節(jié)點(diǎn)有必要代表真實(shí)的擁有者發(fā)送這些通知。例如��,管理地址池的DHCP(動(dòng)態(tài)主機(jī)配置協(xié)議)服務(wù)器擁有地址但仍然想讓那些地址的用戶受益于可移動(dòng)性(參見圖2)。而且�����,節(jié)點(diǎn)可能在移動(dòng)路由器背后�����,因此即便該節(jié)點(diǎn)本身擁有實(shí)際地址��,它也會(huì)需要將綁定更新消息發(fā)送委托給該路由器(見圖3����,其中移動(dòng)節(jié)點(diǎn)MN已從第一接入路由器AR#1移動(dòng)到第二接入路由器AR#2)。
所述這兩種情形的共同點(diǎn)在于���,IP地址職責(zé)的委托是有限且有條件的。在節(jié)點(diǎn)已移動(dòng)到路由器控制的網(wǎng)絡(luò)外之后���,不允許路由器發(fā)送綁定更新消息�。DHCP服務(wù)器不允許節(jié)點(diǎn)在釋放給定地址并將其讓給一些其他節(jié)點(diǎn)后發(fā)送有關(guān)該地址的綁定更新消息��。
根據(jù)本發(fā)明的第一方面�,提供一種將第一IP網(wǎng)絡(luò)節(jié)點(diǎn)所擁有的IP地址的職責(zé)委托給第二IP網(wǎng)絡(luò)節(jié)點(diǎn)的方法,該IP地址的至少一部分可從屬于第一節(jié)點(diǎn)的公鑰/私鑰對中的公鑰推導(dǎo)出,該方法包括將屬于第二節(jié)點(diǎn)的公鑰/私鑰對中的公鑰通知第一節(jié)點(diǎn)�;
在第一節(jié)點(diǎn)用第一節(jié)點(diǎn)的私鑰對第二節(jié)點(diǎn)的公鑰簽名以提供授權(quán)證書;以及從第一節(jié)點(diǎn)將授權(quán)證書發(fā)送到第二節(jié)點(diǎn)�,其中,授權(quán)證書隨后包含在涉及所述IP地址并用第二節(jié)點(diǎn)的私鑰簽名的消息中���,從第二節(jié)點(diǎn)發(fā)送到接收節(jié)點(diǎn)���,并由該接收節(jié)點(diǎn)用于驗(yàn)證第二節(jié)點(diǎn)對所述IP地址的使用權(quán)。
在本發(fā)明的一個(gè)實(shí)施例中�����,所述第一IP網(wǎng)絡(luò)節(jié)點(diǎn)是DHCP服務(wù)器�����,并且所述第二IP網(wǎng)絡(luò)節(jié)點(diǎn)是客戶節(jié)點(diǎn)如移動(dòng)終端(例如移動(dòng)電話��、PDA�����、通信裝置�����、掌上型計(jì)算機(jī)或膝上型計(jì)算機(jī))或個(gè)人計(jì)算機(jī)?���?蛻艄?jié)點(diǎn)可以通過固定線路或無線鏈路連接到IP網(wǎng)絡(luò)。在本發(fā)明的第二實(shí)施例中���,所述第一IP網(wǎng)絡(luò)節(jié)點(diǎn)是客戶節(jié)點(diǎn)而所述第二IP網(wǎng)絡(luò)節(jié)點(diǎn)是移動(dòng)路由器��。
所述IP地址的接口標(biāo)識(shí)符部分最好可從屬于第一節(jié)點(diǎn)的公鑰/私鑰對中的公鑰推導(dǎo)出���,例如通過對該公鑰應(yīng)用單向函數(shù)。
本發(fā)明的方法更有助于第二節(jié)點(diǎn)根據(jù)移動(dòng)IP協(xié)議發(fā)送有關(guān)所述IP地址的綁定更新消息����。這種綁定更新消息包括授權(quán)證書、所述IP地址和新的轉(zhuǎn)交地址�����。該證書可包括第一節(jié)點(diǎn)的公鑰���,此公鑰是對證書進(jìn)行認(rèn)證所需的����。
所述證書可以用第一(或所有者)節(jié)點(diǎn)的私鑰對第二(或源)節(jié)點(diǎn)的公鑰和時(shí)間戳的組合簽名而推導(dǎo)出����,其中所述時(shí)間戳是使用所述IP地址的授權(quán)到期的時(shí)間。
根據(jù)本發(fā)明的第二方面����,提供一種對IP網(wǎng)絡(luò)的接收節(jié)點(diǎn)上接收的來自源節(jié)點(diǎn)的消息進(jìn)行認(rèn)證的方法,該消息涉及IP地址并包括所述IP地址�����,屬于擁有所述IP地址的節(jié)點(diǎn)的公鑰/私鑰對中的公鑰����,以及由所有者節(jié)點(diǎn)發(fā)放給源節(jié)點(diǎn)的證書,此證書是用所有者節(jié)點(diǎn)的私鑰對屬于源節(jié)點(diǎn)的公鑰/私鑰對中的公鑰簽名而推導(dǎo)出的���,用源節(jié)點(diǎn)的私鑰簽名的消息�����,所述方法包括
確認(rèn)所述IP地址的至少一部分可從所有者節(jié)點(diǎn)的公鑰推導(dǎo)出����;確認(rèn)所述證書已用所有者節(jié)點(diǎn)的私鑰簽名;以及確認(rèn)所述消息已用源節(jié)點(diǎn)的私鑰簽名�����。
如果所述證書是通過對屬于源節(jié)點(diǎn)的公鑰/私鑰對中的公鑰和時(shí)間戳都加以簽名而推導(dǎo)出的��,則接收節(jié)點(diǎn)可在按照所述消息動(dòng)作之前確認(rèn)該時(shí)間戳尚未到期��。
根據(jù)本發(fā)明的第三方面��,提供一種用于租用另一IP網(wǎng)絡(luò)節(jié)點(diǎn)的IP地址的IP客戶終端��,該IP地址的至少一部分可從屬于所有者節(jié)點(diǎn)的公鑰/私鑰對中的公鑰推導(dǎo)出�,該客戶終端包括將屬于該客戶終端的公鑰/私鑰對中的公鑰通知給所有者節(jié)點(diǎn)的裝置;從所有者節(jié)點(diǎn)接收授權(quán)證書的裝置���,所述授權(quán)證書包括用所有者節(jié)點(diǎn)的私鑰簽名的該客戶終端的公鑰�����;其中,所述授權(quán)證書隨后包括在涉及所述IP地址并用該客戶終端的私鑰簽名的消息中��,由該客戶終端發(fā)送到接收節(jié)點(diǎn),并由該接收節(jié)點(diǎn)用于驗(yàn)證該客戶終端對所述IP地址的使用權(quán)�。
根據(jù)本發(fā)明的第四方面,提供一種IP客戶終端�,這種IP客戶終端用于授權(quán)受托的IP網(wǎng)絡(luò)節(jié)點(diǎn)使用它所擁有的IP地址,此IP地址的至少一部分可從屬于所述客戶終端的公鑰/私鑰對中的公鑰推導(dǎo)出���,所述客戶終端包括用于從所述受托節(jié)點(diǎn)接收屬于該受托節(jié)點(diǎn)的公鑰/私鑰對中的公鑰的裝置����;用于生成包括用所述客戶終端的私鑰簽名的所述受托節(jié)點(diǎn)的公鑰的授權(quán)證書并將該證書傳送到受托節(jié)點(diǎn)的裝置�;其中,該授權(quán)證書隨后包括在涉及所述IP地址并用所述受托節(jié)點(diǎn)的私鑰簽名的消息中從所述受托節(jié)點(diǎn)發(fā)送到接收節(jié)點(diǎn)�,并由該接收節(jié)點(diǎn)用于驗(yàn)證所述受托節(jié)點(diǎn)對所述IP地址的使用權(quán)。
根據(jù)本發(fā)明的第五方面����,提供一種IP服務(wù)器,用于授權(quán)客戶IP節(jié)點(diǎn)使用該服務(wù)器所擁有的IP地址���,該IP地址的至少一部分可從屬于該服務(wù)器的公鑰/私鑰對中的公鑰推導(dǎo)出�,該服務(wù)器包括用于從所述客戶終端接收屬于該客戶終端的公鑰/私鑰對中的公鑰的裝置�;用于生成包括用該服務(wù)器的私鑰簽名的該客戶終端的公鑰的授權(quán)證書并將該授權(quán)證書發(fā)送到所述客戶終端的裝置;其中�,該授權(quán)證書隨后包括在涉及所述IP地址并用該客戶終端的私鑰簽名的消息中從該客戶終端發(fā)送到接收終端�,并由該接收終端用于認(rèn)證該客戶終端對所述IP地址的使用權(quán)�����。
根據(jù)本發(fā)明的第六方面��,提供一種用于承擔(dān)客戶終端所擁有的IP地址的職責(zé)的IP服務(wù)器�,該IP地址的至少一部分可從屬于該客戶終端的公鑰/私鑰對中的公鑰推導(dǎo)出,該服務(wù)器包括用于向所述客戶終端發(fā)送屬于該服務(wù)器的公鑰/私鑰對中的公鑰的裝置��;用于從所述客戶終端接收包含用該客戶終端的私鑰簽名的該服務(wù)器的公鑰的授權(quán)證書的裝置�;其中,該授權(quán)證書隨后包括在涉及所述IP地址并用該服務(wù)器的私鑰簽名的消息中從該服務(wù)器發(fā)送到接收節(jié)點(diǎn)���,并由該接收節(jié)點(diǎn)用于驗(yàn)證該服務(wù)器對所述IP地址的使用權(quán)�����。
附圖簡述圖1示意性地說明移動(dòng)IP路由的原理�;圖2示意性地說明移動(dòng)IP路由的原理�,其中,IP地址由DHCP服務(wù)器所擁有并分配�����;以及圖3示意性地說明移動(dòng)IP路由的原理,其中����,移動(dòng)節(jié)點(diǎn)位于移動(dòng)路由器背后���;圖4是說明移動(dòng)節(jié)點(diǎn)�����、DHCP服務(wù)器和對應(yīng)節(jié)點(diǎn)之間信令的信令圖����;以及圖5是說明移動(dòng)節(jié)點(diǎn)��、移動(dòng)路由器和對應(yīng)節(jié)點(diǎn)之間的信令的信令圖���。
具體實(shí)施例說明對于下列示例�����,假定擁有IP地址的IP網(wǎng)絡(luò)節(jié)點(diǎn)擁有公鑰-私鑰對��,其中��,P表示公鑰而S表示私鑰�。節(jié)點(diǎn)利用算法A=R:(P)生成IP地址,其中R是一些可能屬于節(jié)點(diǎn)本身或者可能是該節(jié)點(diǎn)從其他一些節(jié)點(diǎn)(例如接入節(jié)點(diǎn))接收的路由前綴�����。函數(shù)h是某種單向函數(shù)��,例如加密哈希函數(shù)���。當(dāng)(擁有IP地址的)節(jié)點(diǎn)根據(jù)移動(dòng)IP協(xié)議向?qū)?yīng)節(jié)點(diǎn)發(fā)送綁定更新消息時(shí)��,它在該消息中包括其公鑰P�����。該發(fā)送節(jié)點(diǎn)還通過將一些可逆加密函數(shù)和私鑰S應(yīng)用到該消息的內(nèi)容上而生成簽名����,并將該簽名添加到該消息中���。
當(dāng)對應(yīng)節(jié)點(diǎn)接收到綁定更新消息時(shí)��,它首先通過對該簽名應(yīng)用可逆加密函數(shù)和該消息中所包含的公鑰P�����,以驗(yàn)證該簽名是正確的���。假定其結(jié)果與該消息的內(nèi)容一致,并且對應(yīng)節(jié)點(diǎn)因此驗(yàn)證了發(fā)送節(jié)點(diǎn)擁有所聲明的公鑰S���,則對應(yīng)節(jié)點(diǎn)對該公鑰應(yīng)用單向函數(shù)h以確認(rèn)源IP地址的主機(jī)部分已由該密鑰對(P�����,S)的所有者生成���。盡管攻擊者有可能通過所有可能的密鑰對(P,S)試圖發(fā)現(xiàn)會(huì)得到相同h(P)值的密鑰對���,但在假定IPv6中用于保存h(P)的位字段非常大(62比特)的情況下�,為此將不得不進(jìn)行巨大量的工作�。
DHCP服務(wù)器管理它們所擁有的IP地址池,并將這些地址臨時(shí)“租借”給客戶節(jié)點(diǎn)���,例如連接到特定網(wǎng)絡(luò)的個(gè)人計(jì)算機(jī)��。將上述考慮應(yīng)用于這種情形(如圖2所示)����,則擁有用于生成各IP地址的公鑰-密鑰對(P,S)將是DHCP服務(wù)器�����。
為了允許DHCP服務(wù)器背后的客戶節(jié)點(diǎn)使用移動(dòng)性和綁定更新�,采用以下過程1.客戶端和DHCP服務(wù)器達(dá)成協(xié)議,由該客戶端租用特定地址一段時(shí)間��。地址A包含與DHCP服務(wù)器所擁有的密鑰對(P��,S)相關(guān)聯(lián)的接口標(biāo)識(shí)符部分��,即A=R:h(P)��。
2.在此過程中可選地對客戶端進(jìn)行認(rèn)證�����。
3.在此過程中����,客戶端擁有公鑰-私鑰對(Pcl���,Scl)并將其公鑰Pcl提供給DHCP服務(wù)器。公鑰-私鑰對可能正是為此目的而生成��,或者可以被永久分配給該客戶端���。
4.DHCP服務(wù)器創(chuàng)建Pcl的證書以管理與P有關(guān)的地址��。即,該服務(wù)器用其私鑰S對二元組[Pcl����,end-time(結(jié)束時(shí)間)]簽名,其中��,end-time識(shí)別分配的IP地址到期的時(shí)間��。然后將包含P和該簽名的證書發(fā)送到客戶端���。
5.當(dāng)客戶節(jié)點(diǎn)希望向某個(gè)對應(yīng)節(jié)點(diǎn)發(fā)送綁定更新消息時(shí)���,它就用其私鑰Scl對該請求簽名并將所述證書(步驟4中所創(chuàng)建的)附加到消息中�����。
6.接收綁定更新消息的節(jié)點(diǎn)首先對公鑰P應(yīng)用對應(yīng)節(jié)點(diǎn)已知的單向函數(shù)h���,從而驗(yàn)證發(fā)送方的IP地址的接口標(biāo)識(shí)符部分的值與公鑰P有關(guān)。接收節(jié)點(diǎn)然后利用DHCP的公鑰P驗(yàn)證所述證書已正確地用相應(yīng)的私鑰S加以簽名并恢復(fù)發(fā)送方的公鑰Pcl和有效end-time���。假定end-time尚未到期����,則接收節(jié)點(diǎn)驗(yàn)證綁定更新消息中的簽名是用與所述證書所含公鑰Pcl對應(yīng)的私鑰Scl產(chǎn)生的���,從而證明發(fā)送節(jié)點(diǎn)擁有公鑰Pcl���。接收節(jié)點(diǎn)然后用新的轉(zhuǎn)交地址更新其綁定高速緩沖存儲(chǔ)器。
所述過程可以用圖4所述的如下信令流來說明1.客戶-服務(wù)器請求持續(xù)時(shí)間=T���,客戶公鑰=Pcl2.服務(wù)器-客戶響應(yīng)地址=A�,證書=P��,{用S簽名的[Pcl��,end-time]}3.客戶-其他節(jié)點(diǎn)綁定更新消息轉(zhuǎn)交地址、地址=A����、證書、用Scl對整個(gè)消息的簽名��。
如圖2所示�����,節(jié)點(diǎn)有時(shí)可能位于移動(dòng)路由器(MR)背后����,并且因?yàn)槁酚善髫?fù)責(zé)管理通向因特網(wǎng)的連接,它可能必須代表這些節(jié)點(diǎn)發(fā)送綁定更新消息��。節(jié)點(diǎn)還可能從移動(dòng)路由器背后移開��,在此情況下��,該路由器應(yīng)該不再希望提供此服務(wù)�����。允許移動(dòng)路由器臨時(shí)代表節(jié)點(diǎn)發(fā)送綁定消息的過程如下1.節(jié)點(diǎn)和路由器就在由路由器管理一段時(shí)間的特定地址以及有關(guān)路由器所執(zhí)行的移動(dòng)性管理達(dá)成協(xié)議��。該地址與節(jié)點(diǎn)所擁有的密鑰對(P����,S)相關(guān)聯(lián)。
2.在此過程中節(jié)點(diǎn)和路由器可選擇對彼此進(jìn)行認(rèn)證���;3.在此過程中路由器將其自己的公鑰Pr提供給節(jié)點(diǎn)�。通常將此公鑰永久地分配給路由器���。路由器還知道私鑰Sr���。
4.節(jié)點(diǎn)創(chuàng)建Pr的證書,以管理與P相關(guān)的地址�。也即,節(jié)點(diǎn)用S對二元組[Pr���,end-time]簽名�。該證書包括P和簽名5.當(dāng)路由器希望通過因特網(wǎng)向一些對應(yīng)節(jié)點(diǎn)發(fā)送綁定更新消息時(shí)�,它就用Sr對請求簽名并將步驟4中創(chuàng)建的證書附加到該消息中。
6.接收綁定更新消息的對應(yīng)節(jié)點(diǎn)首先對公鑰P應(yīng)用對應(yīng)節(jié)點(diǎn)已知的單向函數(shù)h�,從而驗(yàn)證(包含在綁定更新消息中的)節(jié)點(diǎn)IP地址的接口標(biāo)識(shí)符部分的值與公鑰P相關(guān)。接收節(jié)點(diǎn)利用公鑰P驗(yàn)證所述證書已正確地用對應(yīng)的私鑰S加以簽名并恢復(fù)發(fā)送路由器的公鑰Pr和有效的end-time���。它然后驗(yàn)證綁定更新消息中的簽名是用與包含在所述證書中的公鑰Pr對應(yīng)的私鑰Sr制作的��,從而證明發(fā)送路由器擁有公鑰Pr�����。假定end-time尚未到期���,則接收節(jié)點(diǎn)用新的轉(zhuǎn)交地址更新其綁定高速緩沖存儲(chǔ)器�����。
該過程可以用圖5所示的如下信令流來說明1.路由器-節(jié)點(diǎn)提供服務(wù)持續(xù)時(shí)間=T���,路由器公鑰=Pr2.節(jié)點(diǎn)-服務(wù)器開始地址=A,證書=P��,{用S簽名的[Pcl��,end-time]}3.路由器-其他節(jié)點(diǎn)綁定更新消息轉(zhuǎn)交地址��、地址=A���、用Sr對整個(gè)消息的簽名��。
本專業(yè)的技術(shù)人員應(yīng)理解����,可以對上述實(shí)施例作各種修改而又不背離本發(fā)明的范圍��。
權(quán)利要求
1.一種將第一因特網(wǎng)協(xié)議網(wǎng)絡(luò)節(jié)點(diǎn)的因特網(wǎng)協(xié)議地址的職責(zé)委托給第二因特網(wǎng)協(xié)議網(wǎng)絡(luò)節(jié)點(diǎn)的方法�����,至少所述因特網(wǎng)協(xié)議地址的一部分可由屬于所述第一節(jié)點(diǎn)的公鑰/私鑰對推導(dǎo)出�,所述方法包括將屬于所述第二節(jié)點(diǎn)的公鑰/私鑰對中的公鑰通知給所述第一節(jié)點(diǎn);在所述第一節(jié)點(diǎn)用所述第一節(jié)點(diǎn)的私鑰對所述第二節(jié)點(diǎn)的公鑰簽名以提供授權(quán)證書�;以及從所述第一節(jié)點(diǎn)將所述授權(quán)證書發(fā)送到所述第二節(jié)點(diǎn),其中�����,所述授權(quán)證書隨后包含在涉及所述因特網(wǎng)協(xié)議地址并用所述第二節(jié)點(diǎn)的私鑰簽名的消息中�����,從所述第二節(jié)點(diǎn)發(fā)送到接收節(jié)點(diǎn)��,并由該接收節(jié)點(diǎn)用于驗(yàn)證所述第二節(jié)點(diǎn)對所述因特網(wǎng)協(xié)議地址的使用權(quán)。
2.如權(quán)利要求1所述的方法����,其特征在于,所述第一因特網(wǎng)協(xié)議網(wǎng)絡(luò)節(jié)點(diǎn)是動(dòng)態(tài)主機(jī)配置協(xié)議服務(wù)器����,以及所述第二因特網(wǎng)協(xié)議網(wǎng)絡(luò)節(jié)點(diǎn)是客戶節(jié)點(diǎn)。
3.如權(quán)利要求1所述的方法�����,其特征在于�����,所述第一因特網(wǎng)協(xié)議網(wǎng)絡(luò)節(jié)點(diǎn)是客戶節(jié)點(diǎn)以及所述第二因特網(wǎng)協(xié)議網(wǎng)絡(luò)節(jié)點(diǎn)是移動(dòng)路由器�。
4.如前述任意一項(xiàng)權(quán)利要求所述的方法,其特征在于�,所述因特網(wǎng)協(xié)議地址的接口標(biāo)識(shí)符部分可從屬于所述第一節(jié)點(diǎn)的公鑰/私鑰對中的公鑰推導(dǎo)出。
5.如前述任意一項(xiàng)權(quán)利要求所述的方法����,其特征在于,所述消息是根據(jù)移動(dòng)因特網(wǎng)協(xié)議協(xié)議的綁定更新消息��,它包括所述授權(quán)證書��、所述因特網(wǎng)協(xié)議地址和新的轉(zhuǎn)交地址����。
6.如前述任意一項(xiàng)權(quán)利要求所述的方法,其特征在于���,所述證書是用所述第一節(jié)點(diǎn)的私鑰對所述第二節(jié)點(diǎn)的公鑰和時(shí)間戳的組合簽名而推導(dǎo)出的���,所述時(shí)間戳是使用所述因特網(wǎng)協(xié)議地址的授權(quán)到期時(shí)的時(shí)間。
7.一種對因特網(wǎng)協(xié)議網(wǎng)絡(luò)的接收節(jié)點(diǎn)上接收的來自源節(jié)點(diǎn)的消息進(jìn)行認(rèn)證的方法��,所述消息涉及因特網(wǎng)協(xié)議地址并包括所述因特網(wǎng)協(xié)議地址���,屬于擁有所述因特網(wǎng)協(xié)議地址的節(jié)點(diǎn)的公鑰/私鑰對中的公鑰���,以及由所述所有者節(jié)點(diǎn)發(fā)放給所述源節(jié)點(diǎn)的證書,此證書是用所述所有者節(jié)點(diǎn)的私鑰對屬于所述源節(jié)點(diǎn)的公鑰/私鑰對中的公鑰簽名而推導(dǎo)出的����,用所述源節(jié)點(diǎn)的私鑰簽名的消息,所述方法包括確認(rèn)所述因特網(wǎng)協(xié)議的至少一部分可從所述所有者節(jié)點(diǎn)的公鑰推導(dǎo)出�����;確認(rèn)所述證書已用所述所有者節(jié)點(diǎn)的私鑰簽名;以及確認(rèn)所述消息已用所述源節(jié)點(diǎn)的私鑰簽名�。
8.如權(quán)利要求7所述的方法,其中所述證書是通過對屬于所述源節(jié)點(diǎn)的公鑰/私鑰對中的公鑰和時(shí)間戳簽名而推導(dǎo)出的�����,所述接收節(jié)點(diǎn)在按所述消息操作之前確認(rèn)所述時(shí)間戳尚未到期�。
9.一種用于從另一因特網(wǎng)協(xié)議網(wǎng)絡(luò)節(jié)點(diǎn)租用因特網(wǎng)協(xié)議地址的因特網(wǎng)協(xié)議客戶終端,其中所述因特網(wǎng)協(xié)議地址的至少一部分可從屬于所有者節(jié)點(diǎn)的公鑰/私鑰對中的公鑰推導(dǎo)出���,所述客戶終端包括將屬于所述客戶終端的公鑰/私鑰對中的公鑰通知給所述所有者節(jié)點(diǎn)的裝置����;從所述所有者節(jié)點(diǎn)接收授權(quán)證書的裝置��,所述授權(quán)證書包括用所述所有者節(jié)點(diǎn)的私鑰簽名的所述客戶終端的公鑰�����;其中�����,所述授權(quán)證書隨后包括在涉及所述因特網(wǎng)協(xié)議地址并用所述客戶終端的私鑰簽名的消息中,由所述客戶終端發(fā)送到接收節(jié)點(diǎn)��,并由該接收節(jié)點(diǎn)用于驗(yàn)證所述客戶終端對所述因特網(wǎng)協(xié)議地址的使用權(quán)�����。
10.一種因特網(wǎng)協(xié)議客戶終端���,用于授權(quán)受托的因特網(wǎng)協(xié)議網(wǎng)絡(luò)節(jié)點(diǎn)使用所述客戶終端所擁有的因特網(wǎng)協(xié)議地址,所述因特網(wǎng)協(xié)議地址的至少一部分可從屬于所述客戶終端的公鑰/私鑰對中的公鑰推導(dǎo)出���,所述客戶終端包括用于從所述受托節(jié)點(diǎn)接收屬于所述受托節(jié)點(diǎn)的公鑰/私鑰對中的公鑰的裝置�;用于生成包括用所述客戶終端的私鑰簽名的所述受托節(jié)點(diǎn)的公鑰的授權(quán)證書�;其中,所述授權(quán)證書隨后包括在涉及所述因特網(wǎng)協(xié)議地址并用所述受托節(jié)點(diǎn)的私鑰簽名的消息中從所述受托節(jié)點(diǎn)發(fā)送到接收節(jié)點(diǎn)���,并由該接收節(jié)點(diǎn)用于驗(yàn)證所述受托節(jié)點(diǎn)對所述因特網(wǎng)協(xié)議地址的使用權(quán)����。
11.一種因特網(wǎng)協(xié)議服務(wù)器�,用于授權(quán)客戶因特網(wǎng)協(xié)議節(jié)點(diǎn)使用所述服務(wù)器所擁有的因特網(wǎng)協(xié)議地址,所述因特網(wǎng)協(xié)議地址的至少一部分可從屬于所述服務(wù)器的公鑰/私鑰對中的公鑰推導(dǎo)出�����,所述服務(wù)器包括從所述客戶終端接收屬于所述客戶終端的公鑰/私鑰對中的公鑰的裝置;用于生成包括用所述服務(wù)器的私鑰簽名的所述客戶終端的公鑰的授權(quán)證書并將該授權(quán)證書發(fā)送到所述客戶終端的裝置����;其中,所述授權(quán)證書隨后包括在涉及所述因特網(wǎng)協(xié)議地址并用所述客戶終端的私鑰簽名的消息中從所述客戶終端發(fā)送到接收終端�����,并由所述接收終端用于認(rèn)證所述消息�����。
12.一種用于承擔(dān)客戶終端所擁有的因特網(wǎng)協(xié)議地址的職責(zé)的因特網(wǎng)協(xié)議服務(wù)器����,所述因特網(wǎng)協(xié)議地址的至少一部分可從屬于所述客戶終端的公鑰/私鑰對中的公鑰推導(dǎo)出,所述服務(wù)器包括用于向所述客戶終端發(fā)送屬于所述服務(wù)器的公鑰/私鑰對中的公鑰的裝置��;用于從所述客戶終端接收包括用所述客戶終端的私鑰簽名的所述服務(wù)器的公鑰的授權(quán)證書的裝置�;其中,所述授權(quán)證書隨后包括在涉及所述因特網(wǎng)協(xié)議地址并用所述服務(wù)器的私鑰簽名的消息中�,從所述服務(wù)器發(fā)送到接收節(jié)點(diǎn),并由該接收節(jié)點(diǎn)用于驗(yàn)證所述服務(wù)器對所述因特網(wǎng)協(xié)議地址的使用權(quán)����。
全文摘要
一種將第一IP網(wǎng)絡(luò)節(jié)點(diǎn)的IP地址的職責(zé)委托給第二IP網(wǎng)絡(luò)節(jié)點(diǎn)的方法�����,至少該IP地址的一部分可由屬于第一節(jié)點(diǎn)的公鑰/私鑰對推導(dǎo)出����。該方法包括將屬于第二節(jié)點(diǎn)的公鑰/私鑰對中的公鑰通知第一節(jié)點(diǎn)���,在第一節(jié)點(diǎn)用第一節(jié)點(diǎn)的私鑰對第二節(jié)點(diǎn)的公鑰簽名以提供授權(quán)證書以及從第一節(jié)點(diǎn)將該授權(quán)證書發(fā)送到第二節(jié)點(diǎn),其中���,授權(quán)證書隨后包含在涉及所述IP地址并用第二節(jié)點(diǎn)的私鑰簽名的消息中���,從第二節(jié)點(diǎn)發(fā)送到接收節(jié)點(diǎn),并由接收節(jié)點(diǎn)用于驗(yàn)證第二節(jié)點(diǎn)對所述IP地址的使用權(quán)���。
文檔編號(hào)H04L29/12GK1636378SQ02821342
公開日2005年7月6日 申請日期2002年10月18日 優(yōu)先權(quán)日2001年10月26日
發(fā)明者J·伊利塔羅, P·尼坎德, J·阿科 申請人:艾利森電話股份有限公司