專利名稱:驗(yàn)證通信方法
技術(shù)領(lǐng)域:
本發(fā)明涉及驗(yàn)證通信方法�����,具體來講�����,它涉及經(jīng)由至少一個(gè)第一移動(dòng)路由器在移動(dòng)網(wǎng)絡(luò)節(jié)點(diǎn)和通信節(jié)點(diǎn)之間的驗(yàn)證通信方法����。
背景技術(shù):
傳統(tǒng)的移動(dòng)性支持的目的是向移動(dòng)主機(jī)(例如���,具有無線連接性的膝上型計(jì)算機(jī))提供連續(xù)的因特網(wǎng)連接性����。對(duì)比而言,網(wǎng)絡(luò)移動(dòng)性支持涉及到如下情況可能包含許多主機(jī)的整個(gè)網(wǎng)絡(luò)改變它與因特網(wǎng)拓?fù)涞母街c(diǎn)���,并從而改變?cè)谕負(fù)渲械竭_(dá)它的路由�����。這樣一種處于移動(dòng)中的網(wǎng)絡(luò)可以被稱作移動(dòng)網(wǎng)絡(luò)��。
存在多種發(fā)生這種移動(dòng)網(wǎng)絡(luò)的情況��。僅僅給出兩個(gè)范例i.個(gè)人區(qū)域網(wǎng)(PAN�����,即附著于個(gè)人的若干個(gè)人設(shè)備的網(wǎng)絡(luò))在用戶繞城市走動(dòng)的同時(shí)將改變它與因特網(wǎng)拓?fù)涞母街c(diǎn)�。
ii.嵌入公共汽車或者飛行器的網(wǎng)絡(luò)為乘客提供機(jī)載的因特網(wǎng)接入��。這些乘客可能正使用單一設(shè)備(例如�����,膝上計(jì)算機(jī))或者還具有自己的移動(dòng)網(wǎng)絡(luò)(比如PAN)����,這隨后舉例說明了移動(dòng)網(wǎng)絡(luò)訪問移動(dòng)網(wǎng)絡(luò)(即嵌套移動(dòng)性)))))的情況。
移動(dòng)網(wǎng)絡(luò)(MONET)可以因此被定義為一組節(jié)點(diǎn)����,附著于移動(dòng)路由器(MR)的一個(gè)或多個(gè)IP子網(wǎng)中的一部分,可作為單元相對(duì)于其余因特網(wǎng)移動(dòng)�。換言之,MR和它的所有附著節(jié)點(diǎn)(所謂的移動(dòng)網(wǎng)絡(luò)節(jié)點(diǎn)或者M(jìn)NN)�����。
MNN本身可以是與給定移動(dòng)網(wǎng)絡(luò)永久關(guān)聯(lián)的本地固定節(jié)點(diǎn)(LFN)���,能夠改變它在當(dāng)前移動(dòng)網(wǎng)絡(luò)內(nèi)的網(wǎng)絡(luò)附著點(diǎn)并能夠離開當(dāng)前移動(dòng)網(wǎng)絡(luò)而附著到別處的本地移動(dòng)節(jié)點(diǎn)(LMN)��,或者是訪問移動(dòng)節(jié)點(diǎn)(VMN)���,所述訪問移動(dòng)節(jié)點(diǎn)(VMN)的本地鏈路不在當(dāng)前移動(dòng)網(wǎng)絡(luò)上,并已經(jīng)將其附著點(diǎn)從該當(dāng)前移動(dòng)網(wǎng)絡(luò)外部的某處改變過來���。如上所述���,MNN可以是簡(jiǎn)單的移動(dòng)主機(jī),或者是另一移動(dòng)路由器(這產(chǎn)生嵌套移動(dòng)性)����。
隨著可由移動(dòng)網(wǎng)絡(luò)使用的附著點(diǎn)的改變�����,由于多種原因���,極其需要用于優(yōu)化由此類網(wǎng)絡(luò)用來發(fā)送和接收的數(shù)據(jù)分組的路徑的方法i.通過減少分組路徑長(zhǎng)度,路由優(yōu)化減少了延遲�����;ii.它增加了系統(tǒng)中的整體可用帶寬�,因?yàn)榉纸M是通過更短路徑來路由的,并且不再鋪設(shè)隧道��;iii.它可以增加通信路徑上的最大傳輸單位尺寸����,減少有效負(fù)載的散碎性。
IPv6中的移動(dòng)性支持(‘移動(dòng)IPv6’或者M(jìn)IPv6)規(guī)范(參見http//www.ietf.org/)建議了用于在MN和通信節(jié)點(diǎn)(CN)之間實(shí)現(xiàn)路由優(yōu)化(使用最短路徑的雙向通信)的手段����,但至今尚未建議在MNN和CN之間實(shí)現(xiàn)路由優(yōu)化的任何機(jī)制。
參見圖1����,用于在MNN和CN之間通信的基本網(wǎng)絡(luò)移動(dòng)性支持(http//www.ietf.org/處的“NEMO基本支持協(xié)議”)依賴于在移動(dòng)路由器(MR)和它的本地代理(HA)之間的雙向隧道開鑿入站分組(從CN至MNN)被發(fā)送給MR的本地鏈路��;MR的HA截取并將它們經(jīng)隧道送到MR。
出站分組(從MNN至CN)是由MR經(jīng)隧道反向送往它的HA�。
然而,這并沒有為MNN提供路由優(yōu)化��。
EP 1 158 742 A1和由T.Ernst��、A.Olivereau�、L.Bellier、C.Castelluccia�、H.-Y.Lach撰寫的相關(guān)論文“Mobile Networks Support inMobile IPv6(Prefix Scope Binding Updates)”(IETF Internet-Draftdraft-ernst-mobileip-v6-network-03.txt,2002年3月)描述了當(dāng)MR漫游至受訪問網(wǎng)絡(luò)的時(shí)候�,如何將MIPv6綁定更新(BU)的改進(jìn)版本(被這些文檔稱作前綴范圍綁定更新(PSBU))發(fā)送至它的本地代理(HA)。
典型的MIPv6 BU僅僅向CN告知被尋址到單一移動(dòng)節(jié)點(diǎn)(例如����,與漫游轉(zhuǎn)交地址(CoA)耦合的移動(dòng)路由器本地地址(HoA))的數(shù)據(jù)將被發(fā)送到何處。所建議的PSBU并不是將MR HoA綁定到MRCoA�,而是將MR前綴綁定到MR CoA,從而向接收PSBU的HA告知將被尋址到附著于該MR的任何MNN的數(shù)據(jù)發(fā)送到該MR CoA�����。
一旦接收到目的地地址與該MR前綴匹配的分組(例如目的地是MNN)),則本地代理(HA)必須將該分組經(jīng)隧道送到將把其遞送至實(shí)際接收者的MR CoA��。
類似地����,MR可以將PSBU發(fā)送到MNN的通信節(jié)點(diǎn),該MNN的通信節(jié)點(diǎn)將實(shí)現(xiàn)CN/MNN路由優(yōu)化����。
然而,這種解決方案僅僅在PSBU可以被其接收者成功驗(yàn)證的情況下才是適用的���。超出了對(duì)等認(rèn)證之外����,則該P(yáng)SBU發(fā)送方必須實(shí)際證明它擁有它為其發(fā)送了PSBU的整個(gè)前綴��。
只要PSBU的接收方是MR本地代理����,這就不是一個(gè)問題,該MR本地代理被預(yù)期具有與屬于該MR的前綴有關(guān)的初始知識(shí)����。然而���,當(dāng)接收方是任一CN的時(shí)候,必須找到一種機(jī)制來允許CN驗(yàn)證PSBU���。至今未曾建議任何機(jī)制��,這極大地減少了這種解決方案的適用范圍���。
人們可以考慮已經(jīng)為典型的MIPv6 BU驗(yàn)證建議的方法的適用范圍
i.加密生成的地址��。
在這種解決方案中�,本地地址(HoA)與公共密鑰綁定,該公共密鑰是一公共/專用密鑰對(duì)的一部分��。這確保惡意節(jié)點(diǎn)無法假想本地地址的表層��,因?yàn)樗磽碛袑?duì)應(yīng)的專用密鑰�����。
然而��,就PSBU而言����,無法將這一方法延伸至前綴擁有權(quán)���,因?yàn)榭赡苡性S許多多的本地地址共享同一前綴。此外���,MIPv6或者任一將來的規(guī)范也不可能允許任一移動(dòng)網(wǎng)絡(luò)分配它自己的地址或者前綴�。為前綴添加附加散列以便使該擁有權(quán)唯一受到網(wǎng)絡(luò)前綴中的可用位數(shù)的限制�。評(píng)估暗示攻擊者將僅僅需要測(cè)試216(大約65,000)個(gè)公用密鑰來獲得50%的丟失唯一性并從而丟失安全性的機(jī)會(huì)。
ii.返回可路由性檢驗(yàn)程序(RRP)���。
RRP現(xiàn)在被包括在MIPv6規(guī)范內(nèi)���,并由通信節(jié)點(diǎn)(CN)作出的檢驗(yàn)構(gòu)成,用于驗(yàn)證在接受綁定更新(BU)之前驗(yàn)證可以在所規(guī)定的轉(zhuǎn)交地址(CoA)處得到的所規(guī)定的本地地址(HoA)�����。該處理主要包括●移動(dòng)節(jié)點(diǎn)(MN)通過將本地測(cè)試發(fā)起(HoTI)和轉(zhuǎn)交測(cè)試發(fā)起(CoTI)消息發(fā)送至CN來發(fā)起該程序����;●CN將本地測(cè)試(HoT)消息發(fā)送至MN的本地地址,并將轉(zhuǎn)交測(cè)試(CoT)消息發(fā)送至MN的轉(zhuǎn)交地址;根據(jù)HoT和CoT兩者的內(nèi)容�,MN生成用于對(duì)其發(fā)送的BU進(jìn)行簽名的密鑰。
因此����,MN需要成功地接收HoT和CoT兩者,以便能生成有效的BU�。這被CN認(rèn)為是足夠的證據(jù)來證明本地和轉(zhuǎn)交地址對(duì)于該MN而言是有效的。
然而�����,就PSBU而言��,無法使用這一機(jī)制來確保在某一轉(zhuǎn)交地址處可得到整個(gè)前綴�����。首字擁有權(quán)遠(yuǎn)遠(yuǎn)超過地址擁有權(quán)為了獲得類似的安全性級(jí)別���,CN有必要使用RRP來檢驗(yàn)可從該網(wǎng)絡(luò)前綴遞送來的所有可能地址。
這顯然是無法接受的����,因?yàn)闃?biāo)準(zhǔn)前綴長(zhǎng)度導(dǎo)致巨大數(shù)量的可能IPv6地址。
因此,人們斷定PSBU無法向移動(dòng)網(wǎng)絡(luò)提供經(jīng)驗(yàn)證的路由優(yōu)化���,即�,它無法向其中附著的任一移動(dòng)網(wǎng)絡(luò)節(jié)點(diǎn)提供經(jīng)驗(yàn)證的路由優(yōu)化����。
因此,仍舊需要一種用于移動(dòng)網(wǎng)絡(luò)節(jié)點(diǎn)的驗(yàn)證路由優(yōu)化方法�。
本發(fā)明的目的是解決上述需求。
發(fā)明內(nèi)容
本發(fā)明提供了一種經(jīng)由至少一個(gè)第一移動(dòng)路由器(MR)在移動(dòng)網(wǎng)絡(luò)節(jié)點(diǎn)(MNN)和通信節(jié)點(diǎn)(CN)之間的驗(yàn)證通信方法�����,正如所附權(quán)利要求書中所述���。
在第一方面中���,本發(fā)明提供了一種驗(yàn)證通信方法,如權(quán)利要求1所述�。
在第二方面中,本發(fā)明提供了一種用于驗(yàn)證通信的設(shè)備�,如權(quán)利要求32所述。
在第三方面中����,本發(fā)明提供了一種可被操作用于執(zhí)行驗(yàn)證通信的移動(dòng)路由器���,如權(quán)利要求33所述。
在第四方面中�,本發(fā)明提供了一種可被操作用于執(zhí)行驗(yàn)證通信的通信節(jié)點(diǎn),如權(quán)利要求34所述���。
本發(fā)明的進(jìn)一步特征如在從屬權(quán)利要求中所定義的��。
現(xiàn)在將參考附圖����,以舉例的方式來說明本發(fā)明的實(shí)施例�����,其中
圖1是通信節(jié)點(diǎn)和移動(dòng)網(wǎng)絡(luò)節(jié)點(diǎn)之間的通信的示意圖�����。
圖2是詳述現(xiàn)有技術(shù)中所公知的返回可路由性檢驗(yàn)程序和根據(jù)本發(fā)明的一個(gè)實(shí)施例的擴(kuò)展返回可路由性檢驗(yàn)程序之間的差別的比較流程圖����。
圖3是用于根據(jù)本發(fā)明的實(shí)施例的擴(kuò)展綁定更新消息的移動(dòng)性選項(xiàng)的方框圖。
圖4是根據(jù)本發(fā)明的實(shí)施例的通信節(jié)點(diǎn)和移動(dòng)網(wǎng)絡(luò)節(jié)點(diǎn)之間的通信的示意圖���。
圖5是詳述根據(jù)本發(fā)明的實(shí)施例的對(duì)數(shù)據(jù)分組進(jìn)行順序分析的方框圖��。
圖6是根據(jù)本發(fā)明的實(shí)施例的通信節(jié)點(diǎn)和移動(dòng)網(wǎng)絡(luò)節(jié)點(diǎn)之間的通信的示意圖���。
具體實(shí)施例方式
公開了一種驗(yàn)證通信方法。在下列說明中��,提供了許多具體細(xì)節(jié)��,以便提供對(duì)于本發(fā)明的徹底理解��。然而�,對(duì)于本領(lǐng)域中的技術(shù)人員顯而易見的是,無需采用這些具體細(xì)節(jié)來實(shí)際應(yīng)用本發(fā)明����。在其他實(shí)例中,未詳細(xì)說明公知方法��、程序和組件�,以免對(duì)本發(fā)明造成不必要的模糊。
參見圖1����,提供了一種經(jīng)由至少一個(gè)第一移動(dòng)路由器(MR)120在移動(dòng)網(wǎng)絡(luò)節(jié)點(diǎn)(MNN)110和通信節(jié)點(diǎn)(CN)150之間的驗(yàn)證通信方法���。
圖1圖示出移動(dòng)路由器(MR)120和它的網(wǎng)絡(luò),該移動(dòng)路由器(MR)120已經(jīng)從它的本地地址132移動(dòng)到受訪問鏈路上的地址142���,從而產(chǎn)生了對(duì)于移動(dòng)網(wǎng)絡(luò)節(jié)點(diǎn)(MNN)(110)的驗(yàn)證路由優(yōu)化方法的需求�。
現(xiàn)在再參看圖2���,在本發(fā)明的一個(gè)實(shí)施例中�����,該方法采用了擴(kuò)展返回可路由性檢驗(yàn)程序(XRRP)200����,其中MR 120發(fā)送236MNN測(cè)試發(fā)起(MNNTI)消息��,并且其中CN 150發(fā)送256MNN測(cè)試(MNNT)消息��。
通過使得能夠基于接收到HoT���、CoT和MNNT三個(gè)測(cè)試消息中的任一個(gè)或所有來產(chǎn)生綁定更新驗(yàn)證密鑰�����,這通過要求本地和轉(zhuǎn)交地址與先前在標(biāo)準(zhǔn)RRP中所注釋的內(nèi)容一致而增加了安全性���。
此外參見圖3,本發(fā)明的本實(shí)施例的該方法還包括從MR 120發(fā)送一個(gè)包含320MNN的地址(MNNA)112的擴(kuò)展綁定更新(XBU)300�。
通過用這樣的方式擴(kuò)展綁定更新以便包括MNNA,可以實(shí)現(xiàn)經(jīng)驗(yàn)證的CN/MNN路由優(yōu)化����。特別是,可以在無需預(yù)先建立的安全性上下文的情況下實(shí)現(xiàn)經(jīng)驗(yàn)證的CN/MNN路由優(yōu)化��。
此外�,它為移動(dòng)網(wǎng)絡(luò)路由優(yōu)化提供了適當(dāng)?shù)陌踩约?jí)別——特別是,惡意節(jié)點(diǎn)將無法假想MNN地址的表層并將數(shù)據(jù)重定向到別處����,或者是假想MR的轉(zhuǎn)交地址的表層并對(duì)其發(fā)起拒絕服務(wù)攻擊。
此外�����,它對(duì)于MNN是透明的�,從而無需改變節(jié)點(diǎn)�,因此當(dāng)前設(shè)備可以享受本發(fā)明的益處�。
如下詳述擴(kuò)展返回可路由性檢驗(yàn)程序每當(dāng)MR 120接收到從它的本地代理為該MNN 110經(jīng)隧道送來的分組的時(shí)候,該MR 120檢測(cè)到?jīng)]有為該MNN 110使用路由優(yōu)化����。
因此,一旦MR 120接收到從MR 120的本地代理HA 130經(jīng)隧道送來的并被尋址到移動(dòng)網(wǎng)絡(luò)節(jié)點(diǎn)MNN 110的分組��,則發(fā)起MR 120和通信節(jié)點(diǎn)CN 150之間的驗(yàn)證過程200����。
然而,這容易受到以下這組條件中的至少一個(gè)的影響��,即i.MNN 110預(yù)訂規(guī)定的業(yè)務(wù)����;ii.CN 150沒有忽略閾值數(shù)目的先前XBU 300;iii.CN 150沒有忽略閾值數(shù)目的驗(yàn)證過程200����;以及iv.MNN 110滿足一種使用策略。
一旦發(fā)起驗(yàn)證過程200��,則MR 120為本地地址測(cè)試發(fā)起(HoTI)消息和轉(zhuǎn)交地址測(cè)試發(fā)起(CoTI)消息生成隨機(jī)值(在下文中被稱作‘cookie’),正如現(xiàn)有技術(shù)中所公知的���。
然而,現(xiàn)在還建議為另外的移動(dòng)網(wǎng)絡(luò)節(jié)點(diǎn)測(cè)試發(fā)起(MNNTI)消息生成進(jìn)一步的cookie��。
本發(fā)明的發(fā)明人已經(jīng)認(rèn)識(shí)到由于當(dāng)前MIPv6規(guī)范的約束而采用另外的消息的必要性����。MR 120被要求證實(shí)綁定MR HoA 132/MR CoA142的正確性,但是除了該證實(shí)之外����,涉及MNN 110的第三校驗(yàn)對(duì)于期望的驗(yàn)證級(jí)別而言也是必要的。因此���,實(shí)質(zhì)上�����,或者M(jìn)NN 110必須能夠表明它信任MR 120路由它的分組����,或者M(jìn)R 120必須能夠證明它有權(quán)路由送往MNN 110的分組�����。
為了保持對(duì)于MNN 110透明這一優(yōu)點(diǎn),本發(fā)明的發(fā)明人選擇第二種機(jī)制按照CN 150的請(qǐng)求����,MR 120需證明它實(shí)際上為MNN 110提供服務(wù)。MIPv6規(guī)定本地地址擁有權(quán)的證實(shí)是經(jīng)由分別從MR HoA132發(fā)送到CN 150和從CN 150發(fā)送到MR HoA 132的HoTI(本地測(cè)試發(fā)起)和HoT(本地測(cè)試)消息來執(zhí)行的�����。同樣地����,轉(zhuǎn)交地址擁有權(quán)的證實(shí)是經(jīng)由分別從MR CoA 142發(fā)送到CN 150和從CN 150發(fā)送到MR CoA 142的CoTI(轉(zhuǎn)交測(cè)試發(fā)起)和CoT(轉(zhuǎn)交測(cè)試)消息來執(zhí)行的。
因此���,驗(yàn)證過程(200)包括步驟(236)MR 120向CN 150發(fā)送包括MR本地地址(HoA)132和HoTI cookie的HoTI����;MR 120向CN 150發(fā)送包括MR轉(zhuǎn)交地址(CoA)142和CoTI cookie的CoTI���,這是現(xiàn)有技術(shù)中已知的����;并且還包含MR 120向CN 150發(fā)送包括MNN地址(MNNA)112和MNNTI cookie的MNNTI。
HoTI是經(jīng)由MR本地地址(HoA)132發(fā)送的���,而CoTI是經(jīng)由MR轉(zhuǎn)交地址(CoA)142發(fā)送的����。
然而與HoTI和CoTI消息不同�����,MNNTI消息包括移動(dòng)性選項(xiàng)(如MIPv6中定義的)���,而該移動(dòng)性選項(xiàng)又包括MNN地址112。
在本發(fā)明的一最佳實(shí)施例中����,MNNTI是經(jīng)由MR HoA 132發(fā)送的�。
在本發(fā)明的一個(gè)替代實(shí)施例中��,MNNTI是經(jīng)由MR轉(zhuǎn)交地址(CoA)142發(fā)送的��。因此�����,MNNTI消息還包括MR本地地址(HoA)132。
在本發(fā)明的一個(gè)實(shí)施例中��,一旦接收到相關(guān)的測(cè)試發(fā)起消息�����,CN150執(zhí)行步驟246根據(jù)從HoTI中提取的HoA 132�,并連同隨機(jī)密鑰(KCN)和現(xiàn)時(shí)(隨時(shí)間變化的值)一起來計(jì)算本地令牌,并根據(jù)從CoTI中提取的CoA 142以及KCN和現(xiàn)時(shí)計(jì)算轉(zhuǎn)交令牌�����,正如現(xiàn)有技術(shù)中公知的����。
此外,一旦接收到MNNTI���,CN 150根據(jù)從MNNTI中提取的MNNA 112����,連同KCN和現(xiàn)時(shí)一起來計(jì)算MNN令牌�����。
已經(jīng)響應(yīng)于各個(gè)初始化測(cè)試而生成令牌之后,CN 150執(zhí)行步驟256將包括HoTI cookie����、本地現(xiàn)時(shí)索引和本地令牌的本地地址測(cè)試(HoT)發(fā)送至MR 120,并將包括CoTI cookie�、轉(zhuǎn)交現(xiàn)時(shí)索引和轉(zhuǎn)交令牌的轉(zhuǎn)交地址測(cè)試(CoT)發(fā)送至MR 120,正如現(xiàn)有技術(shù)中所公知的?��,F(xiàn)時(shí)索引使CN能夠檢索用于生成令牌的現(xiàn)時(shí)���,而不是發(fā)送現(xiàn)時(shí)本身����,因?yàn)槟菍p害安全性。
此外���,CN 150將包括MNNTI cookie��、MNN現(xiàn)時(shí)索引和MNN令牌的移動(dòng)網(wǎng)絡(luò)節(jié)點(diǎn)地址測(cè)試(MNNT)發(fā)送到MNN 110���,該MNNT進(jìn)一步包括移動(dòng)路由器存在性選項(xiàng)(MRPO),其包括MR本地地址(HoA)132����。
HoT被發(fā)送給MR HoA 132��,CoT被發(fā)送給MR CoA 142�。MNNT被發(fā)送給MNN地址(MNNA)112��。
這是為了使HoT和CoT都到達(dá)MR�����,而MNNT到達(dá)MNN��。
注意��,如果MNN令牌保持機(jī)密性的話��,則MNN令牌將在驗(yàn)證過程200內(nèi)提供更強(qiáng)壯的安全性級(jí)別�。為此目的,如果CN 150不對(duì)MNNT加密���,則本地代理(HA)130可在將所述MNNT經(jīng)隧道送到MR 120的時(shí)候?qū)NNT加密��。
移動(dòng)路由器存在性選項(xiàng)(MRPO)是一個(gè)IP逐跳選項(xiàng)�,其指示通往接收方的路徑上的每一路由器對(duì)它進(jìn)行審查��,不過在實(shí)踐中通常僅僅移動(dòng)路由器審查這一選項(xiàng)。
本發(fā)明的發(fā)明人已經(jīng)認(rèn)識(shí)到這是必要的�,因?yàn)镃N 150將MNNT尋址到MNN 110,以確保它被路由到正確的地方�,但是人們期望的是MR 120(如果是在正確的位置上的有效MR)能夠截取MNNT,以便用它來生成驗(yàn)證密鑰�����。這需要MR 120能夠?qū)彶镸NNT的某些特性化部分���,比如MRPO內(nèi)的MR HoA 132���。
因此,MR 120將它自己的本地地址132與從它為路由到MNN 110而接收的MNNT中提取的MR本地地址進(jìn)行比較����。
在一個(gè)替代的實(shí)施例中��,MRPO攜帶MR轉(zhuǎn)交地址(CoA)而不是MR HoA�����,并且MR將它自己的CoA 142與從它為了路由到MNN 110而接收的MNNT中提取出的MR CoA進(jìn)行比較����。
在上述的HoA或者CoA的情況中���,如果地址匹配,則MR 120不將MNNT進(jìn)一步轉(zhuǎn)發(fā)至MNN�。代之以,它驗(yàn)證從MNNT中提取的MNNTI cookie與MR 120在MNNTI中發(fā)送的MNNTI cookie匹配���,并且一旦檢驗(yàn)到匹配���,則從MNNT中提取現(xiàn)時(shí)索引和MNN令牌。
因此���,cookie提供了防止惡意構(gòu)造的MNNT的安全保障�。
MR 120現(xiàn)在能夠生成有效的XBU�����。
參見圖3���,已經(jīng)接收到MNNT���、HoT和CoT的MR 120現(xiàn)在擁有了由CN 150生成的本地令牌�����、轉(zhuǎn)交令牌和MNN令牌�����。然后���,MR能夠根據(jù)本地令牌和轉(zhuǎn)交令牌來生成綁定更新驗(yàn)證密鑰(KBM)314,CN150將把該MR識(shí)別為屬于有效的MR 120�����,正如現(xiàn)有技術(shù)中所公知的���。
此外�����,MR 120還能根據(jù)MNN令牌生成266擴(kuò)展綁定更新(XBU)驗(yàn)證密鑰(KBMNN)324。
在本發(fā)明的一個(gè)實(shí)施例中�,構(gòu)造XBU,以便如果其被無法理解該擴(kuò)展名的CN 150接收到����,則將其解釋為標(biāo)準(zhǔn)BU�����。
因此��,通過為MIPv6 BU添加新的選項(xiàng)來獲得XBU�����。因此���,擴(kuò)展綁定更新包括至少以下兩個(gè)選項(xiàng)i.MNN地址320;和ii.XBU簽名322�。
可選的、然而優(yōu)選的附加選項(xiàng)iii.是MNN現(xiàn)時(shí)索引321�。
MNN地址選擇320包括為其發(fā)送XBU的MNN 112的地址,而XBU簽名選項(xiàng)322優(yōu)選的是基于使用KBMNN密鑰324的消息驗(yàn)證碼(MAC)生成276的����,這是在整個(gè)XBU之上執(zhí)行的。
然后�����,MR將該XBU發(fā)送至它的接收方(通常是CN 150)。
通過在簽名322中合并入根據(jù)來自CN 150的MNN令牌得到的KBMNN密鑰324����,CN 150可以對(duì)基于KBMNN的簽名322進(jìn)行驗(yàn)證,該基于KBMNN的簽名322是從由CN 150從MR 120接收到的XBU300中提取出的����。
在本發(fā)明的一個(gè)實(shí)施例中,一旦CN 150已經(jīng)接收并且成功地驗(yàn)證了XBU 300���,則CN 150將根據(jù)驗(yàn)證后的XBU 300導(dǎo)出的兩個(gè)表目添加到它的綁定高速緩存(BC)中i.MR HoA 132被標(biāo)記為可以經(jīng)由MR CoA 142達(dá)到����,正如現(xiàn)有技術(shù)中所公知的��;并且ii.此外�,MNNA 112被標(biāo)記為可以經(jīng)由MR HoA 132達(dá)到的。
人們可以假定CN對(duì)其綁定高速緩存使用遞歸的分析�,如在EP02291331.3(Motorola)中詳述的。
因此��,當(dāng)CN使用MNN地址112作為入口點(diǎn)分析它的BC時(shí)�,則首先返回MR HoA 132;由于對(duì)BC進(jìn)行遞歸的分析���,所以隨后在BC中搜索MR HoA 132��,返回MR CoA 142����。
在本發(fā)明的一個(gè)替代的實(shí)施例中�,被添加到CN 150的綁定高速緩存的兩個(gè)表目是i.被標(biāo)記為可以經(jīng)由MR CoA 142達(dá)到的MR HoA 132,正如現(xiàn)有技術(shù)中所公知的���;和ii.此外��,被標(biāo)記為可以經(jīng)由MR CoA 142達(dá)到的MNNA 112�����。
因此�����,當(dāng)CN使用MNN地址112作為入口點(diǎn)分析它的BC的時(shí)候��,首先返回MR CoA 142�。
因而,在任一實(shí)施例中�����,CN 150隨后能夠構(gòu)造分組���,該分組具有目的地為第一中間地址(例如MR CoA 142)的單一IP首部�,隨后是包括其他中間地址(例如MR HoA 132和MNNA 112)的路由首部�,隨后最終為有效負(fù)載。
更一般來講�����,在嵌套移動(dòng)路由器的情況中��,CN 150將為MNN 110路由具有最高層移動(dòng)路由器轉(zhuǎn)交地址的IP首部目的地�、至少包括后續(xù)移動(dòng)路由器和MNNA 112的轉(zhuǎn)交地址的路由首部、隨后最終為有效負(fù)載的分組��。
應(yīng)被注意的是�,如果CN 150需要刷新由XBU 300在它的綁定高速緩存(BC)中曾創(chuàng)建的期滿MNN BC表目,則CN 150必須發(fā)送典型MIPv6綁定請(qǐng)求消息的改進(jìn)版本����。該擴(kuò)展后的綁定請(qǐng)求(XBR)被發(fā)送給MR���,并且包括為其發(fā)布該綁定請(qǐng)求的MNN 110的地址112。注意���,為了諸如BC中的數(shù)據(jù)的期滿和刷新之類的目的,人們可以將MNN BC表目(“可在MR HoA處得到MNN地址”)與MR BC表目(“可在MR CoA處得到MR HoA”)區(qū)分開來����,不過兩者都是在CN 150接收到經(jīng)驗(yàn)證的XBU 300的時(shí)候創(chuàng)建的通常,這兩個(gè)表目不應(yīng)該具有相同的壽命(MNN BC表目的壽命長(zhǎng)得多)�。為了使CN 150能夠作出這種區(qū)分,CN BC的結(jié)構(gòu)應(yīng)該稍作修改(例如���,通過為每一表目添加標(biāo)志����,來規(guī)定它是否是一個(gè)MNN表目)�。
在本發(fā)明的一個(gè)實(shí)施例中,對(duì)于移動(dòng)路由器訪問移動(dòng)路由器(嵌套移動(dòng)性)的情形�����,一旦接收到從其本地代理經(jīng)隧道送來的分組��,則移動(dòng)路由器將用于內(nèi)部分組的目的地地址的XBU發(fā)送到內(nèi)部分組的源地址。
參見圖4中的部分4A和4B��,對(duì)于第一移動(dòng)路由器主控第二移動(dòng)路由器的情況第一移動(dòng)路由器(MR1)420的網(wǎng)絡(luò)包括第二移動(dòng)路由器(MR2)460�����,并且MR2 460的網(wǎng)絡(luò)包括MNN 410���。
為了對(duì)CN綁定高速緩存中的將CN 150鏈接至MNN 110的綁定序列進(jìn)行編譯���,兩次發(fā)起驗(yàn)證過程200,第一次是在MR2 460接收到第一分組(由MR2的HA 470經(jīng)隧道送來)(圖4A)的時(shí)候��,第二次是在MR1 420接收到第二分組(直接發(fā)送到MR2 CoA 482�����,并被MR1的HA 430經(jīng)隧道送來)(圖4B)的時(shí)候�。圖4A和4B中的圈起來的數(shù)字表示兩個(gè)分組的各個(gè)路由。
參見圖4A����,一旦接收到第一次經(jīng)隧道送來的分組,則MR1 420為MR2 CoA 482而將XBU 401發(fā)送至MR2的本地代理(HA2)470���,因?yàn)镠A2地址和MR2 CoA分別在內(nèi)部分組的源和目的地字段中���。(內(nèi)部分組被定義為從分組內(nèi)的序列中的下一IP首部開始)�����;參見圖5,分組510從IP首部501開始��,而它的內(nèi)部分組(被單獨(dú)地示為520)從首部502開始��。
HA2 470通常忽略XBU 401���;它的目的是以符合驗(yàn)證過程的方式來對(duì)該內(nèi)部分組進(jìn)行‘解包’��。
MR1 420將內(nèi)部分組轉(zhuǎn)發(fā)到MR2 460�;MR2 460一旦接收到該分組�,則解除(第二)內(nèi)部分組的隧道,并將用于MNNA 412的XBU 402發(fā)送至CN 450�,因?yàn)镃N和MNN地址分別在內(nèi)部分組的源和目的地字段中;MR2 460最終將該內(nèi)部分組轉(zhuǎn)發(fā)至MNN 110����。
結(jié)果是CN更新了它的綁定高速緩存�,以便間接地將MNNA 112與MR2 CoA 482鏈接起來����。
參見圖4B,一旦接收到第二次經(jīng)隧道送來的���、被直接發(fā)送至MR2CoA 482的����、并具有包括MR2 HoA 472和MNNA 412的路由首部的分組�,則HA1 430截取它并將它經(jīng)隧道送到MR1 CoA 442。
一旦接收到�,則MR1420將用于MR2 CoA 482的XBU 403發(fā)送至CN 450,因?yàn)镃N和MR2轉(zhuǎn)交地址分別在該內(nèi)部分組的源和目的地字段中����。
結(jié)果是CN更新了它的綁定高速緩存,以便間接地將MR2 CoA 482與MR1 CoA 442鏈接起來�����。
因此���,當(dāng)被遞歸地分析的時(shí)候��,在CN BC中因此生成的所有四個(gè)表目將為MNN 410路由具有MR1 CoA 442的IP首部目的地���、和具有{MR1 HoA 432�、MR2 CoA 482���、MR2 HoA 472���、MNNA 412}的路由首部的分組。
對(duì)本領(lǐng)域中的技術(shù)人員清楚的是��,上文描述的范例不局限于單層的移動(dòng)網(wǎng)絡(luò)嵌套���。
在本發(fā)明的一個(gè)增強(qiáng)實(shí)施例中,對(duì)于移動(dòng)網(wǎng)絡(luò)訪問移動(dòng)網(wǎng)絡(luò)(嵌套移動(dòng)性)的情形���,有機(jī)會(huì)免除如上所述的第一XBU 401的發(fā)送��。這具有增加的益處當(dāng)嵌套了n層移動(dòng)網(wǎng)絡(luò)的時(shí)候��,不存在一序列的浪費(fèi)XBU�����。它還減少了通過隧道方法發(fā)送的分組數(shù)目����。
在本實(shí)施例中,一旦接收到從它的本地代理經(jīng)隧道送來的分組����,移動(dòng)路由器將用于內(nèi)部分組的目的地地址的XBU發(fā)送到最內(nèi)部分組的源地址。
參見圖5和6��,經(jīng)隧道送來的分組510描述了預(yù)先計(jì)劃的有效負(fù)載以及用于通往MNN的路由中的每一步的IP首部���。為簡(jiǎn)單起見��,分組510中的每一IP首部可被認(rèn)為是包括任何后續(xù)分組并從而還包括有效負(fù)載的分組的首部��。因此���,在該情況下,第一分組501被尋址到MR1CoA 442�����,同時(shí)最內(nèi)部的分組506被尋址到MNNA 112。
一旦接收到第一次經(jīng)隧道送來的分組510����,MR1 420將用于第二(或者‘內(nèi)部’)分組502的目的地514(即MR2 CoA 482)的XBU 516發(fā)送至最內(nèi)部分組的源地址(CN)512。
這具有這樣的效果使CN能夠更新其綁定高速緩存(BC)�,以便將MR1 CoA 442鏈接至MR2 CoA 482。
通過將分組傳送到MR2 460中�����,MR2 460接收到第二分組520����。通過重復(fù)上述過程,MR2 460將用于目的地524(MR3 CoA��,如果它存在的話)的XBU 526發(fā)送至最內(nèi)部的分組的源地址(CN)522����。
該過程重復(fù)直到到達(dá)MNN 410所附著的MRn為止��,并且包括該到達(dá)MRn的步驟�����,這時(shí)MRn將用于MNN 410的XBU 556發(fā)送至最內(nèi)部的分組的源地址CN 552。
因此當(dāng)被遞歸地分析的時(shí)候�,在CN BC中生成的2n個(gè)表目將為MNN 510路由具有MR1 CoA 542的IP首部目的地的分組。注意�,在圖6中,已經(jīng)為了表示的清晰性而對(duì)BC的內(nèi)容進(jìn)行了重新排序�����。
對(duì)于圖6中圖示出的體系結(jié)構(gòu)的情況(它復(fù)制了圖4A和4B中的體系結(jié)構(gòu))�,第一移動(dòng)路由器(MR1)420的網(wǎng)絡(luò)包括第二移動(dòng)路由器(MR2)460,MR2 460的網(wǎng)絡(luò)包括MNN 410��。
一旦接收到第一次經(jīng)隧道送來的分組��,MR1 420將用于MR2 CoA482的XBU 601發(fā)送至最內(nèi)部的分組的源地址(CN)��;MR1將分組傳送至MR2460��。
一旦接收到該分組���,MR2 460將用于MNN的XBU 602發(fā)送至最內(nèi)部的分組的源地址(CN)����,以致當(dāng)被遞歸地分析的時(shí)候���,在CN BC中因此生成的所有四個(gè)表目將為MNN 410路由具有MR1 CoA 442的IP首部目的地���、和具有{MR1 HoA 432�、MR2 CoA 482�、MR2 HoA 472、MNNA 412}的路由首部的分組����。
在本發(fā)明的一個(gè)替代的實(shí)施例中,可以組合本地地址測(cè)試發(fā)起(HoTI)和移動(dòng)網(wǎng)絡(luò)節(jié)點(diǎn)測(cè)試發(fā)起(MNNTI)����,結(jié)果得到的測(cè)試發(fā)起包括本地/MMN TI cookie、MR HoA 132和MNN地址��。對(duì)于本領(lǐng)域中的技術(shù)人員清楚的是��,此處所述的過程可以被容易地適配用于這樣一種組合的測(cè)試發(fā)起���。
在本發(fā)明的進(jìn)一步的替代實(shí)施例中,MNNTI消息是經(jīng)由MR CoA142發(fā)送的�。
在本發(fā)明的一個(gè)替代的實(shí)施例中,可以組合轉(zhuǎn)交地址測(cè)試發(fā)起(CoTI)和移動(dòng)網(wǎng)絡(luò)節(jié)點(diǎn)測(cè)試發(fā)起(MNNTI)�����,結(jié)果得到的測(cè)試發(fā)起包括轉(zhuǎn)交/MMN TI cookie、MR CoA 142和MNN地址��。對(duì)于本領(lǐng)域中的技術(shù)人員清楚的是���,此處所述的過程可以被容易地適配用于這樣一種組合的測(cè)試發(fā)起�。
在本發(fā)明的上述兩個(gè)替代的實(shí)施例中的任何一個(gè)中��,經(jīng)由MRCoA 142發(fā)送的MNNTI消息還可以包括MR HoA 132����。
用作通信節(jié)點(diǎn)150的設(shè)備可以是任何一種可操作用于依據(jù)此處所述的方法使用的IP可聯(lián)網(wǎng)應(yīng)用。
用作移動(dòng)路由器120的設(shè)備可以是能夠與可操作用于依據(jù)此處所述的方法使用的另一IP可聯(lián)網(wǎng)應(yīng)用相連接的的任何IP可聯(lián)網(wǎng)應(yīng)用����。
權(quán)利要求
1.一種經(jīng)由至少一個(gè)第一移動(dòng)路由器(MR)(120)在移動(dòng)網(wǎng)絡(luò)節(jié)點(diǎn)(MNN)(110)和通信節(jié)點(diǎn)(CN)(150)之間的驗(yàn)證通信方法,特征在于以下步驟i.采用擴(kuò)展返回可路由性檢驗(yàn)程序(XRRP)(200)����,其中MNN測(cè)試發(fā)起(MNNTI)消息是由MR(120)發(fā)送的,并且MNN測(cè)試(MNNT)消息是由CN(150)發(fā)送的���;以及ii.從MR(120)發(fā)送包括MNN的地址(MNNA)(112)的擴(kuò)展綁定更新(XBU)�����。
2.一種根據(jù)權(quán)利要求1所述的驗(yàn)證通信方法����,其中一旦接收到從移動(dòng)路由器(MR)(120)的本地代理(HA)(130)經(jīng)隧道送來的并被尋址到移動(dòng)網(wǎng)絡(luò)節(jié)點(diǎn)(MNN)(110)的分組,則MR(120)發(fā)起MR(120)和通信節(jié)點(diǎn)(CN)(150)之間的驗(yàn)證過程(200)�。
3.一種依據(jù)先前權(quán)利要求中的任一權(quán)利要求所述的驗(yàn)證通信方法,其中移動(dòng)路由器(MR)(120)和通信節(jié)點(diǎn)(CN)(150)之間的驗(yàn)證過程(200)包括以下步驟(226)MR(120)為本地地址測(cè)試發(fā)起(HoTI)消息和轉(zhuǎn)交地址測(cè)試發(fā)起(CoTI)消息生成隨機(jī)值(在下文中被稱作‘cookie’)����,并且還特征在于為移動(dòng)網(wǎng)絡(luò)節(jié)點(diǎn)測(cè)試發(fā)起(MNNTI)消息生成cookie。
4.一種依據(jù)先前權(quán)利要求中的任一權(quán)利要求所述的驗(yàn)證通信方法��,其中移動(dòng)路由器(MR)(120)和通信節(jié)點(diǎn)(CN)(150)之間的驗(yàn)證過程(200)包括以下步驟(236)MR(120)向CN(150)發(fā)送包括MR本地地址(HoA)(132)和HoTI cookie的HoTI����;以及MR(120)向CN(150)發(fā)送包括MR轉(zhuǎn)交地址(CoA)(142)和CoTI cookie的CoTI,并且還特征在于MR(120)向CN(150)發(fā)送包括MNN地址(MNNA)(112)和MNNTI cookie的MNNTI�。
5.一種根據(jù)權(quán)利要求4所述的驗(yàn)證通信方法,其中HoTI是經(jīng)由MR本地地址(HoA)(132)發(fā)送的����,CoTI是經(jīng)由MR轉(zhuǎn)交地址(CoA)(142)發(fā)送的,并且MNNTI是經(jīng)由HoA(132)或者CoA(142)發(fā)送的��。
6.一種根據(jù)權(quán)利要求5所述的驗(yàn)證通信方法�����,其中如果MNNTI是經(jīng)由MR轉(zhuǎn)交地址(CoA)(142)發(fā)送的�����,則MNNTI消息還包括MR本地地址(HoA)(132)�。
7.一種依據(jù)先前權(quán)利要求中的任一權(quán)利要求所述的驗(yàn)證通信方法,其中移動(dòng)路由器(MR)(120)和通信節(jié)點(diǎn)(CN)(150)之間的驗(yàn)證過程(200)包括以下步驟(246)CN(150)根據(jù)從HoTI中提取出的HoA(132)并根據(jù)隨機(jī)密鑰(KCN)和現(xiàn)時(shí)計(jì)算本地令牌���;以及CN(150)根據(jù)從CoTI中提取出的CoA(142)并根據(jù)KCN和現(xiàn)時(shí)計(jì)算轉(zhuǎn)交令牌�����,并且還特征在于CN(150)根據(jù)從MNNTI中提取的MNNA(112)并根據(jù)KCN和現(xiàn)時(shí)計(jì)算MNN令牌����。
8.一種依據(jù)先前權(quán)利要求中的任一權(quán)利要求所述的驗(yàn)證通信方法����,其中移動(dòng)路由器(MR)(120)和通信節(jié)點(diǎn)(CN)(150)之間的驗(yàn)證過程(200)包括以下步驟(256)CN(150)向MR(120)發(fā)送包括HoTI cookie、本地現(xiàn)時(shí)索引和本地令牌的本地地址測(cè)試(HoT)�;以及CN(150)向MR(120)發(fā)送包括CoTI cookie��、轉(zhuǎn)交現(xiàn)時(shí)索引和轉(zhuǎn)交令牌的轉(zhuǎn)交地址測(cè)試(CoT)����,并且還特征在于此外���,CN(150)將包括MNNTI cookie��、MNN現(xiàn)時(shí)索引和MNN令牌的移動(dòng)網(wǎng)絡(luò)節(jié)點(diǎn)地址測(cè)試(MNNT)發(fā)送到MNN(110)����,該MNNT進(jìn)一步包括移動(dòng)路由器存在性選項(xiàng)(MRPO)���,其包括MR本地地址(HoA)(132)�����。
9.一種依據(jù)先前權(quán)利要求1至7中的任一權(quán)利要求所述的驗(yàn)證通信方法�,其中移動(dòng)路由器(MR)(120)和通信節(jié)點(diǎn)(CN)(150)之間的驗(yàn)證過程(200)包括以下步驟(256)CN(150)向MR(120)發(fā)送包括HoTI cookie�、本地現(xiàn)時(shí)索引和本地令牌的本地地址測(cè)試(HoT);以及CN(150)向MR(120)發(fā)送包括CoTI cookie�、轉(zhuǎn)交現(xiàn)時(shí)索引和轉(zhuǎn)交令牌的轉(zhuǎn)交地址測(cè)試(CoT),并且還特征在于此外,CN(150)將包括MNNTI cookie�、MNN現(xiàn)時(shí)索引和MNN令牌的移動(dòng)網(wǎng)絡(luò)節(jié)點(diǎn)地址測(cè)試(MNNT)發(fā)送到MNN(110),該MNNT進(jìn)一步包括移動(dòng)路由器存在性選項(xiàng)(MRPO)����,其包括轉(zhuǎn)交地址(CoA)(142)�����。
10.一種依據(jù)先前權(quán)利要求8和9中的任一權(quán)利要求所述的驗(yàn)證通信方法���,其中HoT被發(fā)送給MR本地地址(HoA)(132)����,CoT被發(fā)送給MR轉(zhuǎn)交地址(CoA)(142)��,并且MNNT被發(fā)送給MNN地址(MNNA)(112)�。
11.一種依據(jù)先前權(quán)利要求中的任一權(quán)利要求所述的驗(yàn)證通信方法,其中移動(dòng)路由器(MR)(120)和通信節(jié)點(diǎn)(CN)(150)之間的驗(yàn)證過程(200)特征在于以下步驟本地代理(HA)(130)在將MNNT經(jīng)隧道送往MR(120)的時(shí)候?qū)λ鯩NNT加密��。
12.一種依據(jù)先前權(quán)利要求中的任一權(quán)利要求所述的驗(yàn)證通信方法�����,其中移動(dòng)路由器(MR)(120)和通信節(jié)點(diǎn)(CN)(150)之間的驗(yàn)證過程(200)特征在于以下步驟MR(120)將它自己的本地地址(132)與MR(120)能夠從它為路由至MNN(110)而接收的MNNT中提取出的任一MR本地地址進(jìn)行比較�。
13.一種依據(jù)先前權(quán)利要求中的任一權(quán)利要求所述的驗(yàn)證通信方法��,其中移動(dòng)路由器(MR)(120)和通信節(jié)點(diǎn)(CN)(150)之間的驗(yàn)證過程(200)特征在于以下步驟MR(120)將它自己的轉(zhuǎn)交地址(142)與MR(120)能夠從它為路由至MNN(110)而接收的MNNT中提取出的任一CoA進(jìn)行比較�。
14.一種依據(jù)先前權(quán)利要求12和13中的任一權(quán)利要求所述的驗(yàn)證通信方法�����,其中如果地址匹配�����,MR(120)不再進(jìn)一步轉(zhuǎn)發(fā)該MNNT�;驗(yàn)證從該MNNT中提取出的MNNTI cookie與MR(120)在MNNTI中發(fā)送的MNNTI cookie匹配;以及一旦驗(yàn)證到匹配��,則從MNNT中提取MNN現(xiàn)時(shí)索引和MNN令牌�。
15.一種依據(jù)先前權(quán)利要求中的任一權(quán)利要求所述的驗(yàn)證通信方法,其中移動(dòng)路由器(MR)(120)和通信節(jié)點(diǎn)(CN)(150)之間的驗(yàn)證過程(200)特征在于以下步驟(266)MR(120)根據(jù)MNN令牌生成擴(kuò)展綁定更新(XBU)驗(yàn)證密鑰(KBMNN)(324)�����。
16.一種依據(jù)先前權(quán)利要求中的任一權(quán)利要求所述的驗(yàn)證通信方法��,其中移動(dòng)路由器(MR)(120)和通信節(jié)點(diǎn)(CN)(150)之間的驗(yàn)證過程(200)特征在于以下步驟(276)MR(120)使用KBMNN密鑰(324)生成擴(kuò)展綁定更新(XBU)簽名(322)�。
17.一種根據(jù)權(quán)利要求16所述的驗(yàn)證通信方法,其中該簽名是使用KBMNN密鑰(324)基于消息驗(yàn)證碼獲得的。
18.一種依據(jù)先前權(quán)利要求中的任一權(quán)利要求所述的驗(yàn)證通信方法��,其中擴(kuò)展綁定更新至少包括以下兩個(gè)選項(xiàng)i.MNN地址(320)�;和ii.XBU簽名(322)。
19.一種根據(jù)權(quán)利要求18所述的驗(yàn)證通信方法�,其中擴(kuò)展綁定更新還包括MNN現(xiàn)時(shí)索引選項(xiàng)(321)。
20.一種依據(jù)先前權(quán)利要求中的任一權(quán)利要求所述的驗(yàn)證通信方法��,其中移動(dòng)路由器(MR)(120)和通信節(jié)點(diǎn)(CN)(150)之間的驗(yàn)證過程(200)特征在于以下步驟CN(150)基于從由CN(150)從MR(120)接收的XBU(300)中提取的簽名(322)來驗(yàn)證KBMNN��。
21.一種依據(jù)先前權(quán)利要求中的任一權(quán)利要求所述的驗(yàn)證通信方法����,其中移動(dòng)路由器(MR)(120)和通信節(jié)點(diǎn)(CN)(150)之間的驗(yàn)證過程(200)特征在于以下步驟CN(150)將根據(jù)驗(yàn)證后的XBU(300)導(dǎo)出的兩個(gè)表目添加到它的綁定高速緩存(BC)�����;i.MR HoA(132)被標(biāo)記為可以經(jīng)由MR CoA(142)達(dá)到��,正如現(xiàn)有技術(shù)中所公知的�;以及ii.MNNA(112)被標(biāo)記為可以經(jīng)由MR HoA(132)達(dá)到。
22.一種依據(jù)先前權(quán)利要求中的任一權(quán)利要求所述的驗(yàn)證通信方法�����,其中移動(dòng)路由器(MR)(120)和通信節(jié)點(diǎn)(CN)(150)之間的驗(yàn)證過程(200)特征在于以下步驟CN(150)將根據(jù)驗(yàn)證后的XBU(300)導(dǎo)出的兩個(gè)表目添加到它的綁定高速緩存(BC);i.MR HoA(132)被標(biāo)記為可以經(jīng)由MR CoA(142)達(dá)到��,正如現(xiàn)有技術(shù)中所公知的�����;以及ii.MNNA(112)被標(biāo)記為可以經(jīng)由MR CoA(142)達(dá)到�����。
23.一種依據(jù)先前權(quán)利要求21和22中的任一權(quán)利要求所述的驗(yàn)證通信方法���,其中如果MNN(110)是接收方��,CN(150)遞歸地分析它的BC����,并且使得CN(150)為MNN(110)路由具有MR CoA(142)的IP首部目的地并具有至少包括MNNA(412)的路由首部的分組�����。
24.一種依據(jù)先前權(quán)利要求21和22中的任一權(quán)利要求所述的驗(yàn)證通信方法�,其中如果MNN(110)是在至少兩個(gè)嵌套移動(dòng)路由器之下的接收方,則CN(150)遞歸地分析它的BC�,并且使得CN(150)為MNN 110路由具有最高層移動(dòng)路由器轉(zhuǎn)交地址的IP首部目的地�、至少包括后續(xù)移動(dòng)路由器的轉(zhuǎn)交地址和MNNA(112)的路由首部的分組��。
25.一種依據(jù)先前權(quán)利要求2至23中的任一權(quán)利要求所述的驗(yàn)證通信方法��,其中如果滿足以下這組條件中的至少一個(gè)條件��,則移動(dòng)路由器(MR)(120)僅僅發(fā)起MR(120)和通信節(jié)點(diǎn)(CN)(150)之間的驗(yàn)證過程(200)�;i.MNN(110)預(yù)訂規(guī)定的業(yè)務(wù);ii.CN(150)沒有忽略閾值數(shù)目的先前XBU(300)�;iii.CN(150)沒有忽略閾值數(shù)目的驗(yàn)證過程;以及iv.MNN(110)滿足使用策略����。
26.一種依據(jù)先前權(quán)利要求3至25中的任一權(quán)利要求所述的驗(yàn)證通信方法���,其中本地地址測(cè)試發(fā)起(HoTI)和移動(dòng)網(wǎng)絡(luò)節(jié)點(diǎn)測(cè)試發(fā)起(MNNTI)被組合起來����,結(jié)果得到的測(cè)試發(fā)起包括本地/MMN TIcookie��、MR HoA(132)和MNN地址(112)����。
27.一種依據(jù)先前權(quán)利要求3至25中的任一權(quán)利要求所述的驗(yàn)證通信方法�,其中轉(zhuǎn)交地址測(cè)試發(fā)起(CoTI)和移動(dòng)網(wǎng)絡(luò)節(jié)點(diǎn)測(cè)試發(fā)起(MNNTI)被組合起來����,結(jié)果得到的測(cè)試發(fā)起包括轉(zhuǎn)交/MMN TIcookie、MR CoA(142)和MNN地址(112)���。
28.一種依據(jù)先前權(quán)利要求中的任一權(quán)利要求所述的驗(yàn)證通信方法����,該方法還特征在于以下步驟一旦接收到從它的本地代理(HA)(130)經(jīng)隧道送來的分組����,移動(dòng)路由器(MR)(120)將用于內(nèi)部分組的目的地地址的XBU(300)發(fā)送到內(nèi)部分組的源地址。
29.一種根據(jù)權(quán)利要求28所述的驗(yàn)證通信方法�����,其中�,第一移動(dòng)路由器(MR1)(420)的網(wǎng)絡(luò)包括第二移動(dòng)路由器(MR2)(460),并且MR2(460)的網(wǎng)絡(luò)包括MNN(410)��,該方法包括以下步驟一旦接收到第一次經(jīng)隧道送來的分組�����,MR1(420)將用于MR2CoA(482)的XBU(401)發(fā)送至MR2的本地代理(HA2)(470);MR1(420)將內(nèi)部分組轉(zhuǎn)發(fā)至MR2(460)����;MR2(460)一旦接收到該分組,則將用于MNNA(412)的XBU(402)發(fā)送至CN(450)�;一旦接收到第二次經(jīng)隧道送來的、被直接發(fā)送至MR2 CoA(482)的�����、并具有包括MR2 HoA(472)和MNNA(412)的路由首部的分組���,則HA1(430)截取它并將內(nèi)部分組經(jīng)隧道送到MR1 CoA(442)��;以及MR2(420)一旦接收到該分組�����,則將用于MR2 CoA(482)的XBU(403)發(fā)送至CN(450);以致當(dāng)被遞歸地分析的時(shí)候��,在CN BC中因此生成的所有四個(gè)表目將為MNN(410)路由具有MR1 CoA(442)的IP首部目的地��、并且具有{MR1 HoA(432)���、MR2 CoA(482)��、MR2 HoA(472)��、MNNA(412)}的路由首部的分組���。
30.一種依據(jù)先前權(quán)利要求1至27中的任一權(quán)利要求所述的驗(yàn)證通信方法��,該方法還特征在于以下步驟一旦接收到從它的本地代理(HA)(130)經(jīng)隧道送來的分組�����,移動(dòng)路由器(MR)(120)將用于內(nèi)部分組的目的地地址的XBU(300)發(fā)送到最內(nèi)部的分組的源地址�。
31.一種根據(jù)權(quán)利要求30所述的驗(yàn)證通信方法��,其中���,第一移動(dòng)路由器(MR1)(420)的網(wǎng)絡(luò)包括第二移動(dòng)路由器(MR2)(460)����,并且MR2(460)的網(wǎng)絡(luò)包括MNN(410)�,該方法包括以下步驟一旦接收到第一次經(jīng)隧道送來的分組,MR1(420)將用于MR2CoA(482)的XBU(601)發(fā)送至最內(nèi)部的分組的源地址(CN)���;MR1(520)將該內(nèi)部分組轉(zhuǎn)發(fā)至MR2(460)����,一旦接收到該內(nèi)部分組,MR2(460)將用于MNN的XBU(602)發(fā)送至最內(nèi)部分組的源地址(CN)��,以致當(dāng)被遞歸地分析的時(shí)候�,在CN BC中因此生成的所有四個(gè)表目將為MNN(510)路由具有MR1 CoA(542)的IP首部目的地、并且具有{MR1 HoA(532)����、MR2 CoA(582)、MR2 HoA(572)�、MNNA(512)}的路由首部的分組。
32.在經(jīng)由至少一個(gè)第一移動(dòng)路由器(MR)(120)在移動(dòng)網(wǎng)絡(luò)節(jié)點(diǎn)(MNN)(110)和通信節(jié)點(diǎn)(CN)(150)之間驗(yàn)證通信中使用的設(shè)備���,所述驗(yàn)證通信依據(jù)在如權(quán)利要求1至31中的任一權(quán)利要求中所述的方法��,所述設(shè)備包括i.用于執(zhí)行擴(kuò)展返回可路由性檢驗(yàn)程序(236)的校驗(yàn)裝置�,其中MNN測(cè)試發(fā)起(MNNTI)消息是由MR(120)發(fā)送的��,并且MNN測(cè)試(MNNT)消息是由CN(150)發(fā)送的����;以及ii.擴(kuò)展綁定更新裝置,用于從MR(120)發(fā)送(276)包括MNN的地址(MNNA)(112)的擴(kuò)展綁定更新(XBU)�。
33.用于通過如在權(quán)利要求1至31中的任一權(quán)利要求中所述的方法,在通信中與至少另一個(gè)IP可聯(lián)網(wǎng)應(yīng)用連接的移動(dòng)路由器(MR)(120)�����,該MR(120)包括用于生成和發(fā)送所述MNNTI消息的MNN測(cè)試發(fā)起(MNNTI)消息裝置�����、和用于生成和發(fā)送包括MNN的地址(MNNA)(112)的擴(kuò)展綁定更新(XBU)(300)的綁定更新裝置�。
34.用于通過如在權(quán)利要求1至31中的任一權(quán)利要求中所述的方法,在通信中與至少一個(gè)IP可聯(lián)網(wǎng)應(yīng)用連接的通信節(jié)點(diǎn)(CN)(150)�����,該CN(120)包括用于生成和發(fā)送所述MNNT消息的MNN測(cè)試(MNNT)消息裝置�、和用于驗(yàn)證從XBU(300)中提取出的基于KBMNN的簽名(322)的驗(yàn)證裝置。
全文摘要
本發(fā)明提供了一種經(jīng)由至少一個(gè)第一移動(dòng)路由器(MR)在移動(dòng)網(wǎng)絡(luò)節(jié)點(diǎn)(MNN)和通信節(jié)點(diǎn)(CN)之間的驗(yàn)證通信方法�。該方法特征在于采用擴(kuò)展返回可路由性檢驗(yàn)程序(XRRP),其中MNN測(cè)試發(fā)起(MNNTI)消息是由MR發(fā)送的���,并且MNN測(cè)試(MNNT)消息是由CN發(fā)送的��。通過使得能夠基于接收到HoT���、CoT和MNNT三個(gè)測(cè)試消息中的任一個(gè)或所有來產(chǎn)生綁定更新驗(yàn)證密鑰���,增加了要求本地和轉(zhuǎn)交地址與先前在標(biāo)準(zhǔn)RRP中所注釋的內(nèi)容一致的安全性。該方法還特征在于從MR發(fā)送包括MNN的地址(MNNA)的擴(kuò)展綁定更新(XBU)�����。通過用這樣的方式擴(kuò)展綁定更新以便包括MNNA����,可以實(shí)現(xiàn)驗(yàn)證CN/MNN路由優(yōu)化。
文檔編號(hào)H04L12/24GK1833412SQ200480022537
公開日2006年9月13日 申請(qǐng)日期2004年6月25日 優(yōu)先權(quán)日2003年8月6日
發(fā)明者厄萊克西斯·奧利弗羅, 克里斯托夫·雅內(nèi)托, 亞歷山德魯·彼得雷斯庫 申請(qǐng)人:摩托羅拉公司