專利名稱:移動IPv6快速切換的保護(hù)方法和設(shè)備的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及通信技術(shù)領(lǐng)域�,尤其涉及一種移動IPv6快速切換的保護(hù)方法 和設(shè)備����。
背景技術(shù):
移動IPv6( Internet Protocol version 6,因特網(wǎng)協(xié)議版本6 M吏得MN( Mobile Node,移動節(jié)點(diǎn))在從一個AR ( Access Router,沖妻入路由器)移動至另一個 AR時保持其連通性��,這一過程稱為切換����,切換場景如圖l所示����。
在切換過程中��,由于鏈^各轉(zhuǎn)換時延和IPv6協(xié)議操作��,MN在一,爻時間內(nèi) 無法發(fā)送或接收數(shù)據(jù)包���。這種由于標(biāo)準(zhǔn)的移動IPv6程序(即移動纟t測�����、新轉(zhuǎn) 交地址配置和綁定更新等)引起的切換時延對于實(shí)時流量�,例如VoIP (Voice over IP���,基于語音的IP)等來說是不可接受的�。而對于非實(shí)時而關(guān)注吞吐量 的應(yīng)用來說�����,減少切換時延也能帶來很大的好處。
為了減小切換時延�����,F(xiàn)MIPv6 (Fast handover for Mobile IPv6,快速切4灸移 動Ipv6 )對移動IPv6進(jìn)行了擴(kuò)展���。移動IPv6快速切換使得移動節(jié)點(diǎn)能夠快速 檢測其是否已經(jīng)移動到了 一個新的子網(wǎng)���,這是通過移動節(jié)點(diǎn)依然連接至當(dāng)前 子網(wǎng)時就提供新的接入點(diǎn)和相關(guān)子網(wǎng)前綴信息而完成的。該快速切換流程具 體過程如圖2所示
當(dāng)顧在移動過程中切換到一個nAR (New Access Router,新接入路由 器)時����,為了獲取新接入鏈路的信息(比如子網(wǎng)前綴等),移動節(jié)點(diǎn)向當(dāng)前的 才妻入^各由器pAR( Previous Access Router,前4姿入^各由器)發(fā)送RtSolPr( Router Solicitation for Proxy Advertisement,路由請求代理通告)消息��;收到該消息后�, 當(dāng)前的接入-各由器pAR向移動節(jié)點(diǎn)發(fā)送PrRtAdv( Proxy Router Advertisement, 代理路由器通告)消息,在該消息中通知新接入鏈路的信息�����。這樣移動節(jié)點(diǎn) 在依然位于前接入路由器鏈路時就可以了解新的子網(wǎng)前綴���,并且獲耳又新的轉(zhuǎn)
5交地址nCoA (new Care of Address,新轉(zhuǎn)交地址),可以消除由于切換之后的 新前綴發(fā)現(xiàn)而引起的時延。為了減小綁定更新延時��,移動IPv6快速切換在前 轉(zhuǎn)交地址和新轉(zhuǎn)交地址間建立一條隧道���,MN向pAR發(fā)送一個FBU (Fast Binding Update,快速綁定更新)消息��。pAR收到FBU后��,通過與nAR間的 交互確認(rèn)MN的nCoA的有效性后�����,向MN發(fā)送FBAck (Fast Binding Acknowledgement,快速綁定確iU肖息)�,并在pAR上建立PCoA( Previous Care of Address,前轉(zhuǎn)交地址)和nCoA建立綁定����,使發(fā)送到pAR鏈路PCoA的流 量重定向到新接入鏈路的nCoA上。
該方法的問題在于����,如果沒有驗證FBU消息的機(jī)制,攻擊者可以發(fā)送一 個偽造的FBU消息�,偷竊MN的流量或重定向到一個其他的地址。針對該問 題���,現(xiàn)有技術(shù)中給出了 一種通過SeND ( Secure Neighbor Discovery,安全鄰居 發(fā)現(xiàn)協(xié)議)分發(fā)pAR和MN間共享密鑰���,并使用這一共享密鑰保護(hù)FBU的 方法�。具體原理如下
使用SeND保護(hù)代理路由器請求�����、代理路由器通告消息���,在這兩條消息 交互過程中MN和AR傳輸一個加密的����,共享的切換密鑰����。MN生成公私鑰對, 用于加解密共享切換密鑰的交換�,這一公鑰與SeND所使用的共享密鑰相同。 MN發(fā)送RtSolPr消息��,在這一消息中攜帶切換密鑰請求選項��,該選項包括用 于加密切換密鑰的公鑰�����。RtSolPr消息的源地址是MN基于CGA (Cryptographically Generated Address,密碼學(xué)生成地址)生成的Co A ( Care of Address,轉(zhuǎn)交地址),該消息需要使用MN CGA密鑰進(jìn)行簽名��,包含CGA參 數(shù)選項�。AIM吏用SeND—瞼證這一消息�����,驗證通過后使用公鑰加密一個共享切 換密鑰���,該加密的切換密鑰祐:放在PrRtAdv消息中的切換密鑰應(yīng)答選項中����, 并發(fā)送給MN, MN解密得出共享的切換密鑰���,當(dāng)MN向AR發(fā)送FBU時可 以使用該切換密鑰生成其授權(quán)的MAC�����。
發(fā)明人在實(shí)現(xiàn)本發(fā)明的過程中�����,發(fā)現(xiàn)現(xiàn)有技術(shù)至少存在以下問題
該方案需要支持SeND,其中CoA是基于CGA方式生成的����,所以不適用 于通過其他方式生成的CoA。另外�����,由于CGA是基于公鑰密碼學(xué)�,計算復(fù)雜。 因此對那些計算能力不強(qiáng)��、存儲資源比較寶貴的移動終端��,該機(jī)制的資源開銷較大���。最后�,在SeND協(xié)議中���,MN也需要對AR發(fā)送的消息進(jìn)行驗證����,所 以AR要使用其公鑰密碼學(xué)機(jī)制對其發(fā)送的消息進(jìn)行簽名�����,這也需要較多的計 算開銷及公鑰證書機(jī)制的支持。
發(fā)明內(nèi)容
本發(fā)明的實(shí)施例提供一種移動IPv6快速切換的保護(hù)方法和設(shè)備�����,用于實(shí) 現(xiàn)對移動IPv6快速切換場景下移動節(jié)點(diǎn)與網(wǎng)絡(luò)側(cè)間交互的快速切換信令的保護(hù)����。
本發(fā)明的實(shí)施例提供一種移動IPv6快速切換的保護(hù)方法���,包括以下步驟 使用與網(wǎng)絡(luò)側(cè)共享的密鑰生成快速切換信令保護(hù)密鑰�; 根據(jù)所述保護(hù)密鑰生成驗證碼����;
將所述驗證碼添加在快速切換信令中并向路由設(shè)備發(fā)送。 本發(fā)明的實(shí)施例還提供一種移動IPv6快速切換的保護(hù)方法�����,包括以下步
驟
接收移動節(jié)點(diǎn)發(fā)送的攜帶驗證碼的快速切換信令�;
獲取所述移動節(jié)點(diǎn)生成所述驗證碼所使用的保護(hù)密鑰,所述保護(hù)密鑰由 所述移動節(jié)點(diǎn)-使用與網(wǎng)絡(luò)側(cè)共享的密鑰生成��;
根據(jù)所述保護(hù)密鑰對所述快速切換信令的驗i正碼進(jìn)行驗證,驗證通過時 向所述移動節(jié)點(diǎn)發(fā)送響應(yīng)���。
本發(fā)明的實(shí)施例還提供一種移動節(jié)點(diǎn)�,包括
保護(hù)密鑰生成單元�����,用于使用與網(wǎng)絡(luò)側(cè)共享的密鑰生成快速切換信令保 護(hù)密鑰���;
驗證碼生成單元�����,用于根據(jù)所述保護(hù)密鑰生成單元生成的保護(hù)密鑰生成 驗證碼�����;
-驗證碼添加單元�����,用于將所述-瞼證碼生成單元生成的-瞼證碼添加在快速 切換信令中并向路由器發(fā)送��。
本發(fā)明的實(shí)施例還提供一種路由設(shè)備���,包括
驗證碼獲取單元���,用于獲取來自移動節(jié)點(diǎn)的快速切換信令中所攜帶的驗證碼;
保護(hù)密鑰獲取單元����,用于從本地或網(wǎng)絡(luò)側(cè)設(shè)備獲取所述移動節(jié)點(diǎn)生成所 述驗證碼所使用的保護(hù)密鑰,所述保護(hù)密鑰由所述移動節(jié)點(diǎn)使用與網(wǎng)絡(luò)側(cè)共
享的密鑰生成�����;
驗證單元�����,用于根據(jù)所述保護(hù)密鑰獲取單元獲取的保護(hù)密鑰對所述驗證 碼獲取單元獲取的驗證碼進(jìn)行驗證��,驗證通過時向所述移動節(jié)點(diǎn)發(fā)送響應(yīng)�����。
與現(xiàn)有技術(shù)相比���,本發(fā)明的實(shí)施例具有以下優(yōu)點(diǎn)
通過使用移動節(jié)點(diǎn)與網(wǎng)絡(luò)側(cè)共享的密鑰派生出快速切換信令的保護(hù)密鑰 用于快速切換信令的保護(hù)���,解決了移動IPv6快速切換場景下快速切換消息的 安全問題,對移動節(jié)點(diǎn)而言存儲和計算過程開銷比較小��,且可以用于移動節(jié) 點(diǎn)不支持SeND協(xié)議的下快速切換信令的保護(hù)����。
圖l是現(xiàn)有技術(shù)中移動節(jié)點(diǎn)的切換場景示意圖2是現(xiàn)有技術(shù)中移動節(jié)點(diǎn)的快速切換流程示意圖3是本發(fā)明的實(shí)施例一中一種移動IPv6快速切換的保護(hù)方法流程圖4是本發(fā)明的實(shí)施例二中一種移動IPv6快速切換的保護(hù)方法流程圖5是本發(fā)明的實(shí)施例三中 一種移動IPv6快速切換的保護(hù)方法流程圖6是本發(fā)明的實(shí)施例四中一種移動IPv6快速切換的保護(hù)方法流程圖7是本發(fā)明的實(shí)施例五中一種移動IPv6快速切換的保護(hù)系統(tǒng)示意圖。
具體實(shí)施例方式
以下結(jié)合附圖和實(shí)施例���,對本發(fā)明的實(shí)施方式4故進(jìn)一步說明�����。 本發(fā)明一種移動IPv6快速切換的保護(hù)方法如圖3所示��,包括以下步驟 步驟s301���、移動節(jié)點(diǎn)使用與網(wǎng)絡(luò)側(cè)共享的密鑰生成快速切換信令保護(hù)密鑰。
具體的��,該共享密鑰可以為在移動節(jié)點(diǎn)的接入認(rèn)證過程中生成的���、由 移動節(jié)點(diǎn)與網(wǎng)絡(luò)側(cè)共享的主會話密鑰MSK��。也可以使用其他移動節(jié)點(diǎn)與網(wǎng)絡(luò)側(cè)間已經(jīng)共享的密鑰��。
步驟s302�����、移動節(jié)點(diǎn)根據(jù)該保護(hù)密鑰生成驗證碼���。
具體的��,生成保護(hù)密鑰的過程中還可能涉及到其他參數(shù)�����,該參數(shù)包括 移動節(jié)點(diǎn)設(shè)備標(biāo)識、前路由器標(biāo)識��、后路由器標(biāo)識���、預(yù)設(shè)字符串����、前轉(zhuǎn)交地 址、新轉(zhuǎn)交地址���、保護(hù)密鑰長度以及隨機(jī)數(shù)中的一種或多種�����。
步驟s303����、移動節(jié)點(diǎn)將該驗證碼添加在快速切換信令中并向路由器發(fā)送����。
具體的,該快速切換信令可以為快速切換信令為路由請求代理通告 RtSolPr消息����、或快速綁定更新FBU消息。
步驟s304����、路由器對該快速切換信令中的驗證碼進(jìn)行驗證,驗證通過后 返回響應(yīng)消息�����。
具體的,路由器需要首先獲取保護(hù)密鑰����,并使用該保護(hù)密鑰對驗證碼進(jìn) 行驗證。該保護(hù)密鑰的獲取可以通過路由器上的保護(hù)密鑰驗證功能實(shí)體或網(wǎng) 絡(luò)中的保護(hù)密鑰驗證功能實(shí)體進(jìn)行獲取���。該響應(yīng)消息可以為代理路由器通告 消息PrRtAdv��、或快速綁定更新確i人FBack消息��。
以下結(jié)合具體的應(yīng)用場景�����,對本發(fā)明實(shí)施例一中一種移動IPv6快速切換 的保護(hù)方法的實(shí)施方式作進(jìn)一步說明����。
本發(fā)明的實(shí)施例二中�����,以當(dāng)前接入路由器具有對移動節(jié)點(diǎn)接入認(rèn)證進(jìn)行 驗證的功能為例��,其中該對移動節(jié)點(diǎn)接入認(rèn)證進(jìn)行驗證的為路由器上的驗證 功能實(shí)體Authenticates此時����,本實(shí)施例中一種移動IPv6快速切換的保護(hù)方 法如圖4所示,包括以下步驟
步驟s401 �、 MN向pAR發(fā)送FBU消息時,在該FBU消息中攜帶MN的 標(biāo)識���、以及由〗吏用主會話密鑰MSK派生的Kf生成的-瞼i正碼�����。
具體的�,MN在網(wǎng)絡(luò)側(cè)執(zhí)行接入認(rèn)證完成后��,得到與網(wǎng)絡(luò)側(cè)驗證功能實(shí)體 共享的MSK,并4吏用MSK派生密鑰Kf�。 Kf的派生方法具體可以為
Kf = KDF (MSK, Label | pAR一ID |廳—ID | nAR-ID | nCoA | pCoA | Key—length)
其中,KDF (Key Derivation Function)為密鑰派生函數(shù)算法�����,Label為一 字符串�,在此處可以設(shè)Label = "FMIPv6"。 pAR—ID為前路由器標(biāo)識���,nAR-ID 為新路由器標(biāo)識�,nCoA為新轉(zhuǎn)交地址標(biāo)識,pCoA為前轉(zhuǎn)交地址標(biāo)識���,Key—length為密鑰長度�。
MN根據(jù)該Kf�,可以進(jìn)一步生成-驗證碼,將該-驗i正碼以及MN的標(biāo)識添 加在FBU消息中����。另外,在網(wǎng)絡(luò)側(cè)未獲得上述^f吏用MSK派生Kf的算法時����, 還需要在FBU消息中攜帶上述派生Kf所使用的KDF算法。另外�����,為了防止 重放攻擊還可以在FBU消息中攜帶時間戳選項����。
最后,MN將該FBU消息向pAR發(fā)送��。
步驟s402��、 pAR對FBU消息中的驗證碼進(jìn)行驗證���,驗證通過后向MN發(fā) 送FBack消息�。
具體的�����,pAR接收到來自MN的FBU消息�����,其內(nèi)部的移動IPv6快速切 4奐功能實(shí)體向-驗證功能實(shí)體Authenticator發(fā)送密鑰請求�����,騶4正功能實(shí)體 Authenticator根據(jù)MN的標(biāo)識確定出與MN共享的MSK,并根據(jù)FBU消息攜 帶的KDF算法���、使用與MN相同的方法生成Kf����,并將該密鑰Kf分發(fā)給移動 IPv6快速切換功能實(shí)體�,移動IPv6快速切換實(shí)體使用Kf驗證FBU消息中的 驗i正碼?��!?瞼證通過時�,pAR生成FBack消息并發(fā)送給MN。
本發(fā)明的實(shí)施例三中�,以當(dāng)前接入路由器不具有對移動節(jié)點(diǎn)接入認(rèn)證進(jìn) 行驗證的功能為例,此時對移動節(jié)點(diǎn)接入認(rèn)證進(jìn)行驗證的為路由器外的驗證 功能實(shí)體Authenticates該請況下��,本實(shí)施例中一種移動IPv6快速切換的保 護(hù)方法如圖5所示���,包括以下步驟
步驟s501 �、 MN向pAR發(fā)送FBU消息時�,在該FBU消息中攜帶MN的 標(biāo)識、以及由使用主會話密鑰MSK派生的Kf生成的驗證碼���,以及對接入認(rèn) i正進(jìn)行驗ii所需的信息���。
具體的,MN在網(wǎng)絡(luò)側(cè)執(zhí)行接入認(rèn)證完成后��,得到與網(wǎng)絡(luò)側(cè)聰r證功能實(shí)體 共享的MSK,并使用MSK派生密鑰Kf��。該Kf的派生方法可以參考上述步 驟s401�����。
MN使用Kf生成FBU消息的驗證碼,將該驗證碼以及MN的標(biāo)識添加 在FBU消息中���。另夕卜,還需要在FBU消息中攜帶派生Kf的算法���、以及pAR-ID�、 Authenticator-ID等對接入認(rèn)證進(jìn)行驗證所需的信息����。
最后,MN將該FBU消息向pAR發(fā)送�。步驟s502、 pAR向驗證功能實(shí)體Authenticator發(fā)送密鑰獲取請求�����。
當(dāng)pAR接收到來自MN的FBU消息時���,提取消息中所包括的內(nèi)容�,并 向Authenticator發(fā)送密鑰獲取/清求���。在該密鑰獲取請求消息中包含MN-ID���、 pAR-ID����、 Kf的長度以及派生算法等信息�����。該密鑰請求獲取消息可以使用密碼 學(xué)保護(hù)����,所使用的保護(hù)方式可以為IPSec( IP Security, IP安全)、TLS( Transport Layer Security,傳輸層保護(hù))等���。
步驟s503�����、驗證功能實(shí)體Authenticator向pAR發(fā)送密鑰獲取應(yīng)答�����,該應(yīng) 答消息中攜帶密鑰Kf���。
驗證功能實(shí)體Authenticator接收到來自pAR的密鑰獲取請求后��,根據(jù) MN-ID確定出與MN共享的MSK����,使用步驟s501中與MN相同的方法生成 Kf,并向pAR發(fā)送密鑰獲取應(yīng)答消息�����,將密鑰Kf分發(fā)給pAR�。另外�����,該密 鑰應(yīng)答消息也需要密碼學(xué)保護(hù)�。
步驟s504、 pAR對FBU消息中的驗證碼進(jìn)行驗證�����,驗證通過后向MN發(fā) 送FBack消息�����。
pAR收到Authenticator分發(fā)的Kf后,使用Kf驗證FBU消息中的驗證碼��。 -瞼證通過后���,生成FBack消息并發(fā)送給MN���。
除了使用上述實(shí)施例二和實(shí)施例三所提供的對FBU消息進(jìn)行驗證的方 法,還可以通過在FBU消息之前的路由請求代理通告RtSolPr��、和代理路由器 通告PrRtAdv消息中建立保護(hù)移動IPv6快速切換的密鑰����。
本發(fā)明的實(shí)施例四中,以對移動節(jié)點(diǎn)接入認(rèn)證進(jìn)行驗證的為路由器外的 驗證功能實(shí)體Authenticator為例�����,描述通過RtSolPr/PrRtAdv消息對移動IPv6 快速切換進(jìn)行保護(hù)的方法����。
本實(shí)施例中, 一種移動IPv6快速切換的保護(hù)方法如圖6所示���,包括以下 步驟
步驟s601 ��、 MN向pAR發(fā)送RtSolPr消息�����,在該RtSolPr消息中攜帶MN 的標(biāo)識���、以及由使用主會話密鑰MSK派生的Kf生成的驗證碼���,以及對接入 認(rèn)證進(jìn)行驗證所需的信息。具體的����,MN在發(fā)送RtSolPr消息時��,才艮據(jù)使用MSK派生出所1吏用的密
鑰Kf��,派生的可選方法之一如下所示
Kf = KDF (MSK, Label | pAR—ID |畫—ID | nAR畫ID | Nc | Key—length) 與上面實(shí)施例不同的是����,本實(shí)施例中生成Kf時使用了 MN生成的一個臨
時值Nc。
MN使用Kf生成RtSolPr消息的驗證碼��,并在RtSolPr消息中攜帶派生 Kf的算法�、以及Nc����、 pAR-ID��、 nAR_ID�����、 Authenticator-ID等信息��,并向前接 入路由器發(fā)送RtSolPr消息�。
步驟s602、 pAR向驗證功能實(shí)體Authenticator發(fā)送密鑰獲取請求�。
當(dāng)pAR接收到來自MN的RtSolPr消息時,提取消息中所包括的內(nèi)容���, 并向Authenticator-ID對應(yīng)的Authenticator發(fā)送密鑰獲取請求�。在該密鑰獲取 請求消息中包含MN-ID����、 pAR-ID、 Nc�、 nAR—ID、 Kf的長度以及派生算法等 信息�����,還可以攜帶一個pAR生成的臨時值Na,用于防止重放攻擊。該密鑰請 求獲取消息可以使用密碼學(xué)保護(hù)����,所使用的保護(hù)方式可以為IPSec( IP Security, IP安全)、TLS ( Transport Layer Security,傳輸層保護(hù))等��。
步驟s603 ��、驗證功能實(shí)體Authenticator向pAR發(fā)送密鑰獲取應(yīng)答����,該應(yīng) 答消息中攜帶密鑰Kf。
-瞼證功能實(shí)體Authenticator接收到來自pAR的密鑰獲取請求后��,根據(jù) MN-ID確定出與MN共享的MSK�����,使用步驟s601中與MN相同的方法生成 Kf,并向pAR發(fā)送密鑰獲取應(yīng)答消息���,將密鑰Kf分發(fā)給pAR。該消息中還 包括上一步驟中接收到的Na,用于防止重放攻擊���。另外���,該密鑰應(yīng)答消息也 需要密碼學(xué)保護(hù)���。
步驟s604、 pAR對RtSolPr消息中的驗證碼進(jìn)行驗證��,驗證通過后向MN 發(fā)送PrRtAdv消息���。
pAR收到-瞼證功能實(shí)體Authenticator的密鑰應(yīng)答消息后�,首先通過Na 進(jìn)行驗證后�,取出Kf,并使用Kf驗證RtSolPr消息中的驗證碼。驗證通過時����, 生成PrRtAdv消息及其驗證碼并發(fā)送給MN;
步驟s605 、 MN向pAR發(fā)送FBU消息��。MN收到pAR發(fā)送的PrRtAdv消息后�,使用Kf進(jìn)行驗證該消息中攜帶的 驗證碼,驗證通過時��,生成FBU消息���,并使用Kf生成FBU消息的驗證碼�����, 將攜帶該新生成的驗證碼的FBU消息發(fā)送給pAR�����。由于pAR上已經(jīng)保存有 MN所使用的Kf,因此可以按照現(xiàn)有技術(shù)中的方法繼續(xù)以下的快速切換流程����, 區(qū)別在于之后的信令交互均使用Kf進(jìn)行保護(hù)。
進(jìn)一步的�,為了提高安全性,在上述各個實(shí)施例中���,可以根據(jù)Authenticator 與MN間的共享密鑰為MN生成隱私性標(biāo)識符MN-PID�,使用隱私性標(biāo)識替 代所有消息中的MN-ID����,并在消息中標(biāo)識出使用的是隱私性標(biāo)識符�����。
畫-PID = PRF ( Kp,麗-IDI Authenticator-ID )
其中Kp是MN與Authenticator間的共享密鑰,可以為Kf���, MSK或其派 生密鑰�����,PRF (Pseudo Random Function,偽隨機(jī)函數(shù)功能)為獲取MN-PID 所使用的算法�����。在Authenticator生成Kf的過程中���,可以利用該MN-PID獲取 到原始的MN-ID。
進(jìn)一步的���,為了限制MN選擇其他節(jié)點(diǎn)的地址作為nCoA進(jìn)行攻擊�,在 上述各個實(shí)施例中����,可以使用如下方式生成nCoA的接口標(biāo)識nCoA_IID,以 代替所有消息中的nCoA:
nCoA —IID= PRF (Knr, nCoA_prefix | pCoA | nAR | pAR)
其中,Knr是MN與pAR間的共享密鑰���,將PrRtAdv中nCoA的新接入 鏈路的前綴nCoA_prefix及接口標(biāo)識連接在一起生成nCoA—IID����。
生成nCoA —IID后,pAR需要在PrRtAdv消息中通告MN需要使用該 nCoA一IID;
通過^f吏用本發(fā)明的上述實(shí)施例提供的方法��,通過^f吏用移動節(jié)點(diǎn)與網(wǎng)絡(luò)側(cè) 共享的密鑰派生出快速切換信令的保護(hù)密鑰用于快速切換信令的保護(hù)����,解決 了移動IPv6快速切換場景下快速切換消息的安全問題,對移動節(jié)點(diǎn)而言存儲 和計算過程開銷比較小���,且可以用于移動節(jié)點(diǎn)不支持SeND協(xié)議的下快速切 換信令的保護(hù)���。
本發(fā)明的實(shí)施例五中,還4是供一種移動IPv6快速切換的保護(hù)系統(tǒng)�����,其結(jié)構(gòu)如圖7所示�����,包括移動節(jié)點(diǎn)10和路由設(shè)備20, 二者之間通過使用移動節(jié) 點(diǎn)與網(wǎng)絡(luò)側(cè)共享的密鑰派生出快速切換信令的保護(hù)密鑰用于快速切換信令的 保護(hù)�。
具體的,移動節(jié)點(diǎn)10進(jìn)一步包括
保護(hù)密鑰生成單元11,用于使用與網(wǎng)絡(luò)側(cè)共享的密鑰生成快速切換信令 保護(hù)密鑰。該共享密鑰可以為在移動節(jié)點(diǎn)的接入認(rèn)證過程中生成的���、由移 動節(jié)點(diǎn)與網(wǎng)絡(luò)側(cè)共享的主會話密鑰MSK。
-險證碼生成單元12����,用于才艮據(jù)保護(hù)密鑰生成單元11生成的保護(hù)密鑰生成 驗證碼。生成保護(hù)密鑰的過程中還可能涉及到其他參數(shù)���,該參數(shù)包括移動 節(jié)點(diǎn)設(shè)備標(biāo)識�、前路由器標(biāo)識����、后路由器標(biāo)識、預(yù)設(shè)字符串�、前轉(zhuǎn)交地址、 新轉(zhuǎn)交地址�、保護(hù)密鑰長度以及隨機(jī)數(shù)中的一種或多種。
驗證碼添加單元13,用于將驗證碼生成單元12生成的驗證碼添加在快速 切換信令中并向路由器發(fā)送���。該快速切換信令可以為快速切換信令為路由請 求代理通告RtSolPr消息����、或快速綁定更新FBU消息。
另外����,移動節(jié)點(diǎn)IO還包括
共享密鑰存儲單元14,用于存儲與網(wǎng)絡(luò)側(cè)共享的密鑰并提供給保護(hù)密鑰 生成單元11用于保護(hù)密鑰的生成����。該共享密鑰可以為在移動節(jié)點(diǎn)的接入認(rèn) 證過程中生成的、由移動節(jié)點(diǎn)與網(wǎng)絡(luò)側(cè)共享的主會話密鑰MSK�。
具體的,路由設(shè)備20進(jìn)一步包括
驗證碼獲取單元21,用于獲取來自移動節(jié)點(diǎn)10的快速切換信令中所攜帶 的驗證碼�����。
保護(hù)密鑰獲耳又單元22,用于從本地或網(wǎng)絡(luò)側(cè)設(shè)備獲取移動節(jié)點(diǎn)IO生成的 驗證碼所使用的保護(hù)密鑰���,該保護(hù)密鑰由移動節(jié)點(diǎn)IO使用與網(wǎng)絡(luò)側(cè)共享的密 鑰生成�����。
驗證單元23�,用于根據(jù)保護(hù)密鑰獲取單元22獲取的保護(hù)密鑰對驗證碼獲 取單元21獲取的驗證碼進(jìn)行驗證�,驗證通過時向移動節(jié)點(diǎn)IO發(fā)送響應(yīng)。 另外�����,路由i殳備20還包括
保護(hù)密鑰驗證功能單元24,用于根據(jù)與移動節(jié)點(diǎn)IO共享的密鑰����,以及生
14成該保護(hù)密鑰所需的參數(shù)�,獲取保護(hù)密鑰并提供給保護(hù)密鑰獲取單元22。在 具體的網(wǎng)絡(luò)環(huán)境中��,該保護(hù)密鑰驗證功能單元24也可能作為單獨(dú)的功能實(shí)體 位于路由i殳備20之外����。
通過使用本發(fā)明的上述實(shí)施例提供的系統(tǒng)和設(shè)備,通過使用移動節(jié)點(diǎn)與 網(wǎng)絡(luò)側(cè)共享的密鑰派生出快速切換信令的保護(hù)密鑰用于快速切換信令的保 護(hù)���,解決了移動IPv6快速切換場景下快速切換消息的安全問題���,對移動節(jié)點(diǎn) 而言存儲和計算過程開銷比較小,且可以用于移動節(jié)點(diǎn)不支持SeND協(xié)議的 下快速切換信令的保護(hù)�����。
通過以上的實(shí)施方式的描述��,本領(lǐng)域的技術(shù)人員可以清楚地了解到本發(fā) 明可借助軟件加必需的通用硬件平臺的方式來實(shí)現(xiàn),當(dāng)然也可以通過石更件�, 但很多情況下前者是更佳的實(shí)施方式?���;谶@樣的理解,本發(fā)明的技術(shù)方案 本質(zhì)上或者說對現(xiàn)有技術(shù)做出貢獻(xiàn)的部分可以以軟件產(chǎn)品的形式體現(xiàn)出來����, 該計算機(jī)軟件產(chǎn)品存儲在一個存儲介質(zhì)中,包括若干指令用以使得一臺設(shè)備
才丸行本發(fā)明各個實(shí)施例所述的方法���。
以上公開的僅為本發(fā)明的幾個具體實(shí)施例�,但是�����,本發(fā)明并非局限于此���, 任何本領(lǐng)域的技術(shù)人員能思之的變化都應(yīng)落入本發(fā)明的保護(hù)范圍�。
權(quán)利要求
1�、一種移動IPv6快速切換的保護(hù)方法,其特征在于��,包括以下步驟使用與網(wǎng)絡(luò)側(cè)共享的密鑰生成快速切換信令保護(hù)密鑰;根據(jù)所述保護(hù)密鑰生成驗證碼��;將所述驗證碼添加在快速切換信令中并向路由設(shè)備發(fā)送�����。
2����、 如權(quán)利要求1所述移動IPv6快速切換的保護(hù)方法��,其特征在于��,所述 使用與網(wǎng)絡(luò)側(cè)共享的密鑰生成快速切換信令保護(hù)密鑰具體為使用所述與網(wǎng)絡(luò)側(cè)共享的密鑰����,以及以下參數(shù)中的一種或多種,生成快 速切換信令保護(hù)密鑰�����;所述參數(shù)包括本節(jié)點(diǎn)設(shè)備標(biāo)識�、前路由器標(biāo)識、后路由器標(biāo)識���、預(yù)設(shè) 字符串�、前轉(zhuǎn)交地址、新轉(zhuǎn)交地址����、保護(hù)密鑰長度以及隨機(jī)數(shù)。
3�、 如權(quán)利要求1或2所述移動IPv6快速切換的保護(hù)方法,其特征在于����, 所述與網(wǎng)絡(luò)側(cè)共享的密鑰為接入認(rèn)證過程中生成的主會話密鑰MSK。
4���、 如權(quán)利要求2所述移動IPv6快速切換的保護(hù)方法���,其特征在于,所述 本節(jié)點(diǎn)設(shè)備標(biāo)識為本節(jié)點(diǎn)設(shè)備的真實(shí)標(biāo)識�、或網(wǎng)絡(luò)側(cè)為本節(jié)點(diǎn)設(shè)備預(yù)先生成 的隱私性標(biāo)識。
5�、 如權(quán)利要求1所述移動IPv6快速切換的保護(hù)方法,其特征在于�,所述 快速切換信令為路由請求代理通告RtSolPr消息、或快速綁定更新FBU消息�。
6����、 一種移動IPv6快速切換的保護(hù)方法�,其特征在于,包括以下步驟 接收移動節(jié)點(diǎn)發(fā)送的攜帶驗證碼的快速切換信令��;獲取所述移動節(jié)點(diǎn)生成所述驗證碼所使用的保護(hù)密鑰����,所述保護(hù)密鑰由 所述移動節(jié)點(diǎn)使用與網(wǎng)絡(luò)側(cè)共享的密鑰生成;根據(jù)所述保護(hù)密鑰對所述快速切換信令的驗證碼進(jìn)行驗證��,驗證通過時 向所述移動節(jié)點(diǎn)發(fā)送響應(yīng)����。
7���、 如權(quán)利要求6所述移動IPv6快速切換的保護(hù)方法��,其特征在于�,所述 獲取移動節(jié)點(diǎn)生成所述驗證碼所使用的保護(hù)密鑰具體為本地驗證功能實(shí)體根據(jù)與所述移動節(jié)點(diǎn)共享的密鑰��,以及所述快速切換 信令中攜帶的生成所述保護(hù)密鑰所需的參數(shù)�,獲取所述保護(hù)密鑰���。
8、 如權(quán)利要求6所述移動IPv6快速切換的保護(hù)方法����,其特征在于,所述獲取所述接收節(jié)點(diǎn)生成所述驗證碼所使用的保護(hù)密鑰具體為向網(wǎng)絡(luò)側(cè)對應(yīng)的驗證功能實(shí)體發(fā)送密鑰獲取請求消息�����,所述密鑰獲取請求消息中攜帶生成所述保護(hù)密鑰所需的參數(shù)����;接收所述驗證功能實(shí)體發(fā)送的根據(jù)與所述移動節(jié)點(diǎn)共享的密鑰、以及所述參數(shù)生成的保護(hù)密鑰����。
9、 如權(quán)利要求6至8中任一項所述移動IPv6快速切換的保護(hù)方法���,其特 征在于����,所迷與移動節(jié)點(diǎn)共享的密鑰為所述移動節(jié)點(diǎn)的4妻入認(rèn)證過程中生 成的主會話密鑰MSK。
10����、 如權(quán)利要求7或8所述移動IPv6快速切換的保護(hù)方法,其特征在于����, 所述生成保護(hù)密鑰所需的參數(shù)包括本節(jié)點(diǎn)設(shè)備標(biāo)識、前路由器標(biāo)識�、后路 由器標(biāo)識、預(yù)設(shè)字符串����、前轉(zhuǎn)交地址、新轉(zhuǎn)交地址���、保護(hù)密鑰長度以及隨機(jī) ^L中的一種或多種�����。
11、 一種移動節(jié)點(diǎn)�,其特征在于,包括保護(hù)密鑰生成單元�,用于使用與網(wǎng)絡(luò)側(cè)共享的密鑰生成快速切換信令保 護(hù)密鑰;驗證碼生成單元,用于根據(jù)所述保護(hù)密鑰生成單元生成的保護(hù)密鑰生成 驗證碼����;驗證碼添加單元,用于將所述驗證碼生成單元生成的驗證碼添加在快速 切換信令中并向路由器發(fā)送���。
12�����、 如權(quán)利要求1所述移動節(jié)點(diǎn)�,其特征在于��,還包括 共享密鑰存儲單元�����,用于存儲與網(wǎng)絡(luò)側(cè)共享的密鑰并"R供給所述保護(hù)密鑰生成單元用于所迷保護(hù)密鑰的生成��。
13���、 一種路由i殳備���,其特征在于,包括驗證碼獲取單元,用于獲取來自移動節(jié)點(diǎn)的快速切換信令中所攜帶的驗 證碼����;保護(hù)密鑰獲取單元,用于從本地或網(wǎng)絡(luò)側(cè)設(shè)備獲取所述移動節(jié)點(diǎn)生成所 述驗證碼所使用的保護(hù)密鑰�,所述保護(hù)密鑰由所述移動節(jié)點(diǎn)使用與網(wǎng)絡(luò)側(cè)共 享的密鑰生成;驗證單元����,用于根據(jù)所述保護(hù)密鑰獲取單元獲取的保護(hù)密鑰對所述驗證 碼獲取單元獲取的驗證碼進(jìn)行驗證,驗證通過時向所述移動節(jié)點(diǎn)發(fā)送響應(yīng)�。
14、如權(quán)利要求13所述路由設(shè)備����,其特征在于,還包括 保護(hù)密鑰驗證功能單元���,用于根據(jù)與所述移動節(jié)點(diǎn)共享的密鑰����,以及生成所述保護(hù)密鑰所需的參數(shù)���,獲取所述保護(hù)密鑰并提供給所述保護(hù)密鑰獲取單元。
全文摘要
本發(fā)明公開了一種移動IPv6快速切換的保護(hù)方法,包括以下步驟使用與網(wǎng)絡(luò)側(cè)共享的密鑰生成快速切換信令保護(hù)密鑰����;根據(jù)所述保護(hù)密鑰生成驗證碼;將所述驗證碼添加在快速切換信令中并向路由設(shè)備發(fā)送���。本發(fā)明還公開了一種用于移動IPv6快速切換保護(hù)的設(shè)備�����。通過本發(fā)明提供的方法����,使用移動節(jié)點(diǎn)與網(wǎng)絡(luò)側(cè)共享的密鑰派生出快速切換信令的保護(hù)密鑰用于快速切換信令的保護(hù)�����,解決了移動IPv6快速切換場景下快速切換消息的安全問題�,對移動節(jié)點(diǎn)而言存儲和計算過程開銷比較小,且可以用于移動節(jié)點(diǎn)不支持SeND協(xié)議的下快速切換信令的保護(hù)�。
文檔編號H04W36/12GK101431753SQ20071018810
公開日2009年5月13日 申請日期2007年11月9日 優(yōu)先權(quán)日2007年11月9日
發(fā)明者李春強(qiáng) 申請人:華為技術(shù)有限公司