專利名稱:用于處理ipv6網(wǎng)絡(luò)上的驗證的方法和設(shè)備的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種用于處理在互聯(lián)網(wǎng)協(xié)議版本6(IPv6)網(wǎng)絡(luò)上的驗證的方法和設(shè)備,并且更具體地說���,涉及一種用于處理在IPv6網(wǎng)絡(luò)上的驗證的方法和設(shè)備���,在IPv6網(wǎng)絡(luò)中����,接入IPv6安全網(wǎng)絡(luò)的各個節(jié)點通過從證書授權(quán)中心發(fā)射的安全信息來處理各個節(jié)點之間的相互驗證并同時執(zhí)行重復(fù)地址檢測機制。
背景技術(shù):
在征求意見資料(RFC)2460(已廢1883)標(biāo)準(zhǔn)中已經(jīng)定義了IPv6����。
這種IPv6通過諸如鄰點發(fā)現(xiàn)(ND)機制、地址自動配置(AAC)機制以及重復(fù)地址(duplicate address)檢測(DAD)機制機制之類的自函數(shù)來直接創(chuàng)建它的全局地址�。
在這些IPv6的自我機制之中,首先����,鄰點發(fā)現(xiàn)(ND)機制包括IPv4的地址轉(zhuǎn)換協(xié)議(ARP)機制和發(fā)現(xiàn)網(wǎng)絡(luò)階段中的變化并測量鏈路狀態(tài)的機制。
ND保持有關(guān)路徑的可達信息來激活附近的節(jié)點并發(fā)現(xiàn)附近的路由器和前綴。
其次�,地址自動配置(AAC)機制是IPv6的一個’即插即用’機制,其中����,一個設(shè)置的任務(wù)不需要向節(jié)點賦予地址。該機制自動地創(chuàng)建一個可路由地址并自動地設(shè)置一個缺省路由器����。
此機制可以是使用ND的另外一個機制。為了建立并管理一個網(wǎng)絡(luò)����,它識別前綴、缺省路由器以及地址是否重復(fù)�。
圖1是用于解釋常規(guī)IPv6地址結(jié)構(gòu)的圖表。
參見圖1��,IPv6地址由128比特組成并包括n個比特網(wǎng)絡(luò)前綴和(128-n)個比特的接口ID����。
圖2是用于解釋IPv6的地址自動配置機制的圖表。將參考圖2描述創(chuàng)建全局IPv6地址的過程���。
首先����,使用一個48比特媒體訪問控制(MAC)地址把全局IPv6地址的較低64個比特配置在一個128比特地址中。
在以太網(wǎng)上的IPv6中��,接口ID指示一個EUI-64接口標(biāo)識符(接口ID)���。
具體地說����,如圖2所示�,一個2字節(jié)中間層地址(intermediate address)’ff:fe’被加在48比特MAC(媒體訪問控制)地址’00:90:27:17:fc:0f’的中點中,b2是在MAC地址的最高有效字節(jié)’00’中從最高有效比特開始的第7比特����,并且b2被設(shè)置為1以便獲得’02:90:27:ff:fe:17:fc:0f’����,’02:90:27:ff:fe:17:fc:0f’是全局IPv6地址的較低的64比特接口ID。正如上面闡明的���,作為獲得的較低64比特接口ID的’02:90:27:ff:fe:17:fc:0f’如圖3所示并且是如圖1所示的IPv6地址的接口ID����。
第三,重復(fù)地址檢測(DAD)機制確認已創(chuàng)建的IPv6地址是否正被其它節(jié)點使用���,其中����,鄰點請求(NS)和鄰點宣告(NA)消息被使用���。
即��,通過地址自動配置機制已經(jīng)創(chuàng)建IPv6地址的一個節(jié)點把NS消息發(fā)送給連接到網(wǎng)絡(luò)的全部節(jié)點��,而如果任意一個節(jié)點正在使用與發(fā)射NS消息的節(jié)點所創(chuàng)建的地址相同的IPv6地址時��,該任意的節(jié)點把NS消息作為響應(yīng)消息返回����。
節(jié)點以廣播的方式發(fā)送NS消息給全部節(jié)點����。如果它沒有接收到NA消息,則該節(jié)點使用所述創(chuàng)建的IPv6地址���。另一方面�,如果節(jié)點接收到NA消息,則節(jié)點通過地址自動配置機制重置IPv6地址���。
為了接入需要驗證的IPv6安全網(wǎng)絡(luò)����,使用IPv6地址的此類節(jié)點需要被能夠驗證相關(guān)節(jié)點的證書授權(quán)中心(CA)驗證��。
即�����,如果節(jié)點A和節(jié)點B期望通過IPv6安全網(wǎng)絡(luò)彼此通信�����,則節(jié)點A和節(jié)點B在接入IPv6安全網(wǎng)絡(luò)的同時被證書授權(quán)中心驗證��。然后���,如果用戶請求與其它節(jié)點通信,則該節(jié)點需要被證書授權(quán)中心再一次驗證以便與相關(guān)節(jié)點通信�����。
可是,在此通信系統(tǒng)中��,隨著接入IPv6安全網(wǎng)絡(luò)的節(jié)點數(shù)目或者業(yè)務(wù)量的增加��,節(jié)點和證書授權(quán)中心之間交換的信息量導(dǎo)致了按指數(shù)增加的結(jié)果�。因此,IPv6安全網(wǎng)絡(luò)的使用效率迅速下降����。
另外,通過IPv6安全網(wǎng)絡(luò)交換的信息量的增加導(dǎo)致處理證書授權(quán)中心中各個節(jié)點驗證的處理器負荷的增加����。結(jié)果,它引起安全網(wǎng)絡(luò)中的服務(wù)質(zhì)量下降的問題�。
發(fā)明內(nèi)容
因此,構(gòu)思本發(fā)明來解決上述以及其它問題�����。因此�����,本發(fā)明的一個目的是提供一種用于處理IPv6網(wǎng)絡(luò)上的驗證的方法和設(shè)備�����,其中當(dāng)負責(zé)IPv6安全網(wǎng)絡(luò)上的安全的證書授權(quán)中心最初驗證節(jié)點時,它提供安全信息給接入IPv6安全網(wǎng)絡(luò)的節(jié)點����,如此以使證書授權(quán)中心驗證的各個節(jié)點通過相互驗證而不必經(jīng)由證書授權(quán)中心就能夠彼此通信。
本發(fā)明的另一目的是管理IPv6安全網(wǎng)絡(luò)上的安全驗證�,當(dāng)在驗證IPv6安全網(wǎng)絡(luò)上的驗證的證書授權(quán)中心和接入IPv6安全網(wǎng)絡(luò)的節(jié)點之間處理初始驗證時,通過交換的消息處理相互的驗證來提供本質(zhì)上阻塞節(jié)點惡意接入IPv6安全網(wǎng)絡(luò)�。
本發(fā)明還有另一個目的是提供一種有效的、實現(xiàn)簡單的并且成本有效的用于處理在互聯(lián)網(wǎng)協(xié)議網(wǎng)絡(luò)上的驗證的方法和設(shè)備����。
根據(jù)本發(fā)明用于實現(xiàn)上述以及其它目的的一個方面,這里提供一種驗證處理系統(tǒng)���,它包括一個證書服務(wù)器�,用于存儲至少一個節(jié)點信息和指定給節(jié)點的地址信息并且當(dāng)從接入網(wǎng)絡(luò)的任何節(jié)點中接收到接入消息時����,發(fā)射一個包含指定給該節(jié)點的地址信息和安全信息在內(nèi)的驗證消息;和連接到證書服務(wù)器的至少一個節(jié)點�,用于發(fā)射接入消息給證書服務(wù)器�����,使用通過驗證消息發(fā)射的地址信息來創(chuàng)建一個IP(互聯(lián)網(wǎng)協(xié)議)地址,并通過IP地址和安全信息來處理與其它節(jié)點的相互驗證����。
根據(jù)本發(fā)明的另一方面,這里提供一種用于處理IPv6網(wǎng)絡(luò)上的驗證的系統(tǒng)��,它包括第一節(jié)點���,用于加密節(jié)點信息以便把加密的節(jié)點信息作為一個驗證請求消息發(fā)射���,用從證書服務(wù)器發(fā)射的一個秘密密鑰來解密響應(yīng)于驗證請求消息的一個響應(yīng)消息,以便識別其它節(jié)點的安全信息�����,并且如果各自的信息與從證書服務(wù)器中發(fā)射的安全信息相同時則發(fā)射一個驗證確認消息以便驗證其它節(jié)點�����;和第二節(jié)點��,用于用從證書服務(wù)器中發(fā)射的一個秘密密鑰加密安全信息以便當(dāng)接收到來自第一節(jié)點的驗證請求消息時把加密的安全信息作為響應(yīng)消息進行發(fā)射���,并且當(dāng)接收到來自第一節(jié)點的驗證確認消息時驗證第一節(jié)點���。
另外�,根據(jù)本發(fā)明的另一個方面�,這里提供IPv6網(wǎng)絡(luò)中的一個節(jié)點,當(dāng)它請求與其它節(jié)點通信時�,發(fā)射一個包含加密節(jié)點信息的驗證請求消息,用從證書服務(wù)器中發(fā)射的一個秘密密鑰來解密響應(yīng)于驗證請求消息的一個響應(yīng)消息以便識別其它節(jié)點的安全信息�����,并且如果識別的安全信息與從證書服務(wù)器中發(fā)射的安全信息相同時��,發(fā)射一個驗證確認消息用于驗證其它節(jié)點以便開始與其它節(jié)點通信��。
另外����,根據(jù)本發(fā)明的另一個方面,這里提供IPv6網(wǎng)絡(luò)上的一個證書服務(wù)器����,它包括存儲單元,用于存儲至少一個節(jié)點信息和指定給相關(guān)節(jié)點的地址信息;和驗證處理單元�����,當(dāng)通過IP網(wǎng)絡(luò)接收到從節(jié)點發(fā)射的一則連接消息時�����,通過存儲單元的檢索���,用于確認節(jié)點是否被授權(quán)連接,并且如果節(jié)點被授權(quán)接入���,則發(fā)射驗證消息給節(jié)點�����,所述驗證消息包含通過用秘密密鑰加密與節(jié)點對應(yīng)的地址信息而獲得的密碼信息以及秘密密鑰信息��。
同時����,根據(jù)本發(fā)明的另一個方面���,這里提供一種用于處理驗證的方法�,包括如下步驟由證書服務(wù)器設(shè)置至少一個節(jié)點信息和指定給節(jié)點的地址信息;由節(jié)點中的任意一個節(jié)點接入證書服務(wù)器以便發(fā)射包含節(jié)點信息的接入消息���;當(dāng)接收到接入消息時����,由證書服務(wù)器確定該節(jié)點是否被授權(quán)接入��,并且如果節(jié)點被授權(quán)接入����,則向節(jié)點發(fā)送包含指定給該節(jié)點的地址信息和安全信息的驗證消息;和由節(jié)點使用地址信息來創(chuàng)建IP地址并通過安全信息處理與其它節(jié)點的相互驗證���。
在根據(jù)本發(fā)明用于處理驗證的方法中���,處理相互驗證的步驟包括如下子步驟如果一個用戶請求與其它節(jié)點通信,則發(fā)送驗證請求消息給其它節(jié)點�����,并且從響應(yīng)于驗證請求消息的響應(yīng)消息中識別安全信息��;并且把其它節(jié)點的安全信息與它自己的安全信息進行比較,如果其它節(jié)點的安全信息有效����,則驗證其它節(jié)點。
另外�,根據(jù)本發(fā)明的另一個方面,這里提供一種用于在IP網(wǎng)絡(luò)中處理節(jié)點之間的相互驗證的方法��,它包括如下步驟由第一節(jié)點發(fā)送通過加密節(jié)點信息而獲得的一則驗證請求消息給第二節(jié)點����;由第二節(jié)點用從證書服務(wù)器中發(fā)射的一個秘密密鑰來加密并發(fā)送安全信息���,所述安全信息是作為響應(yīng)于驗證請求消息的一個響應(yīng)消息而被發(fā)送��;當(dāng)從第二節(jié)點中接收到響應(yīng)消息時�,用從證書服務(wù)器中發(fā)射的秘密密鑰解密響應(yīng)消息以便識別第二節(jié)點的安全信息�,并且如果各自的信息與從證書服務(wù)器中發(fā)射的安全信息相同時,則發(fā)送一個驗證確認消息用于驗證第二節(jié)點�����;并且當(dāng)接收到驗證確認消息時��,由第二節(jié)點驗證第一節(jié)點。
根據(jù)本發(fā)明的另一個方面�����,這里提供一種用于在IPv6網(wǎng)絡(luò)中處理在節(jié)點處的驗證的方法�,它包括如下步驟當(dāng)與其它節(jié)點的通信被請求時,發(fā)送包含加密節(jié)點信息的驗證請求消息給其它節(jié)點���;當(dāng)與其它節(jié)點的通信被請求時�,發(fā)送包含加密節(jié)點信息的驗證請求消息給其它節(jié)點��;用從證書服務(wù)器中發(fā)射的一個秘密密鑰解密從其它節(jié)點中接收到的響應(yīng)消息以便識別其它節(jié)點的安全信息���;并且確定所識別的安全信息是否與從證書服務(wù)器中發(fā)射的安全信息相同��,如果相同���,則發(fā)送認證確認消息用于驗證其它節(jié)點以便開始與其它節(jié)點通信。
另外���,根據(jù)本發(fā)明的另一個方面���,這里提供一種用于處理IPv6網(wǎng)絡(luò)上的證書服務(wù)器處的驗證的方法�,該方法包括如下步驟設(shè)置至少一個節(jié)點信息和指定給相關(guān)節(jié)點的地址信息�����;當(dāng)接收到從通過IP網(wǎng)絡(luò)連接的節(jié)點中的任意一個節(jié)點中發(fā)射的連接消息時�����,基于設(shè)置的節(jié)點信息來確認該節(jié)點是否被授權(quán)連接���;并且如果該節(jié)點被授權(quán)連接��,則發(fā)送驗證消息,該驗證消息包含通過用秘密密鑰加密對應(yīng)于節(jié)點的地址信息而獲得的密碼信息和秘密密鑰信息�。
在根據(jù)本發(fā)明用于處理IPv6網(wǎng)絡(luò)上證書服務(wù)器處的驗證的方法中,發(fā)射驗證消息的步驟包含如下子步驟從連接消息中識別節(jié)點的節(jié)點信息并把節(jié)點信息包括到驗證消息中以便通知證書服務(wù)器是驗證該節(jié)點的證書服務(wù)器��。
當(dāng)考慮結(jié)合附圖時�����,通過參考如下詳細說明��,本發(fā)明更完整的評價以及它所伴隨的許多優(yōu)點將很容易顯見��,同時變得更好理解,附圖中附圖標(biāo)記表示相同的或類似的組件����,其中圖1是用于解釋常規(guī)IPv6地址結(jié)構(gòu)的圖表;圖2是用于解釋IPv6的地址自動配置機制的圖表����;圖3是用于解釋地址自動配置機制創(chuàng)建的IPv6地址的接口ID的圖表;圖4是用于解釋常規(guī)IPv6安全網(wǎng)絡(luò)結(jié)構(gòu)的整體框圖��;圖5是用于解釋根據(jù)本發(fā)明一個優(yōu)選實施例的節(jié)點結(jié)構(gòu)的內(nèi)部框圖�����;圖6是用于解釋根據(jù)本發(fā)明一個優(yōu)選實施例的證書授權(quán)中心內(nèi)部結(jié)構(gòu)的內(nèi)部框圖�����;圖7是用于解釋根據(jù)本發(fā)明一個優(yōu)選實施例的每個節(jié)點被證書授權(quán)中心驗證的方法流程圖�����;圖8是用于解釋根據(jù)本發(fā)明一個優(yōu)選實施例在各個節(jié)點之間相互驗證的方法流程圖��;圖9是用于解釋根據(jù)本發(fā)明的一個優(yōu)選實施例節(jié)點通過IPv6安全網(wǎng)絡(luò)彼此通信的方法流程圖�����。
具體實施例方式
下面將參考附圖描述本發(fā)明的優(yōu)選實施例。在如下說明中�����,熟知的功能或結(jié)構(gòu)不被詳細描述�����,因為它們在不必要的細節(jié)方面將模糊本發(fā)明��。
圖4是用于解釋常規(guī)IPv6安全網(wǎng)絡(luò)結(jié)構(gòu)的整體框圖��。
如圖4所示�,一個IPv6安全網(wǎng)絡(luò)包括多個節(jié)點31到33��,和一個用于驗證并管理各個節(jié)點31到33的證書授權(quán)中心(CA)10�����。
節(jié)點31到33是指執(zhí)行IPv6的設(shè)備��,CA 10是指一個授權(quán)中心�����,它確定安全是否適當(dāng)并且發(fā)出并管理公鑰、私鑰和用于加密和解密消息的秘密密鑰�。
公鑰是從指定的CA 10中提供的一個密鑰值并且與從此公鑰中產(chǎn)生的私鑰組合以使它被有效用于加密和解密消息和電子簽名。組合公鑰和私鑰的方式熟知為一種非對稱的密碼術(shù)���。具有公鑰的系統(tǒng)被稱作公鑰基礎(chǔ)結(jié)構(gòu)(PKI)�。
私鑰是指只有交換加密/解密秘密消息的各方已知的密鑰�����。在用秘密密鑰的加密和解密方案中����,只允許知道秘密密鑰的各方加密和解密各自的消息。
圖5是用于解釋根據(jù)本發(fā)明一個優(yōu)選實施例的節(jié)點結(jié)構(gòu)的內(nèi)部框圖�����。
參見圖5���,根據(jù)本發(fā)明的節(jié)點31包括網(wǎng)絡(luò)接口單元31a��、加密/解密單元31b和消息處理單元31c��,并且消息處理單元31c包含地址處理單元31d�。
地址處理單元31d通過地址自動配置機制來確定被節(jié)點31使用的IPv6地址,并創(chuàng)建一個試驗地址��。當(dāng)從用于創(chuàng)建IPv6地址的CA 10中接收到一個中間層地址(intermediate address)時�,地址處理單元31d使用該中間層地址來創(chuàng)建IPv6地址。
消息處理單元31c產(chǎn)生一個隨機數(shù)���,使用隨機數(shù)信息和口令信息生成NS消息���,并把它們發(fā)射到CA 10。
另外�,消息處理單元從CA 10發(fā)射NA消息中識別秘密密鑰信息和中間層地址信息。
另外���,在節(jié)點被CA 10驗證之后����,當(dāng)一個用戶請求與其它節(jié)點32和33通信時���,消息處理單元31c產(chǎn)生通信請求消息,把通信請求消息發(fā)射給其它節(jié)點32和33�,并且基于從其它節(jié)點32和33發(fā)射的響應(yīng)消息來確定其它節(jié)點32和33是否是CA 10驗證的節(jié)點�����。
加密/解密單元31b用相關(guān)節(jié)點31的公鑰或者從CA 10中發(fā)射的秘密密鑰來加密消息處理單元31c產(chǎn)生的信息�,并用私鑰或者秘密密鑰解密從其它節(jié)點32和33或者CA 10中發(fā)射的消息�����。
網(wǎng)絡(luò)接口單元31a接收從CA 10或者其它節(jié)點32和33中通過IPv6安全網(wǎng)絡(luò)20發(fā)射的消息�,并且通過IPv6安全網(wǎng)絡(luò)20發(fā)射消息處理單元31c產(chǎn)生的消息給CA10或者其它節(jié)點32和33。
圖6是用于解釋根據(jù)本發(fā)明一個優(yōu)選實施例的證書授權(quán)中心內(nèi)部結(jié)構(gòu)的內(nèi)部框圖�。
參見圖6,根據(jù)本發(fā)明的一個證書授權(quán)中心(CA)10包括驗證處理單元11���、加密/解密處理單元13�、IP接口單元14和數(shù)據(jù)庫12��。
IP接口單元14通過IPv6安全網(wǎng)絡(luò)20接收從節(jié)點31到33發(fā)射的NS消息�����,并且通過IPv6安全網(wǎng)絡(luò)20把CA 10產(chǎn)生的NA消息發(fā)射給節(jié)點31到33�。
加密/解密處理單元13用CA 10的私鑰解密從節(jié)點31到33中發(fā)射的NS消息,并且用每一個節(jié)點31到33的公鑰加密CA 10產(chǎn)生的NA消息。
另外��,加密/解密處理單元13用秘密密鑰加密CA 10發(fā)送給各個節(jié)點31到33的中間層地址信息�。
DB(數(shù)據(jù)庫)12以中間層地址表的形式儲存將被分配給各個節(jié)點31到33的中間層地址信息,各個節(jié)點31到33已經(jīng)被授權(quán)接入IPv6安全網(wǎng)絡(luò)20����。
此中間層地址表可以被配置如下表1。
表1
正如表1中表示的�,中間層地址表包括有關(guān)被授權(quán)接入IPv6安全網(wǎng)絡(luò)20的各個節(jié)點31到33的信息以及指定給相關(guān)節(jié)點31給33的中間層地址信息。
當(dāng)從節(jié)點A 31中接收到NS消息時��,如果節(jié)點A 31被授權(quán)接入IPv6安全網(wǎng)絡(luò)20��,則CA 10允許節(jié)點A 31使用包含中間層地址信息’1A:1B’的一個IPv6地址并且允許節(jié)點B 32使用包含中間層地址’1B:1A’的一個IPv6地址��。
在這個時候����,優(yōu)選的,儲存在中間層地址表中的每一個中間層地址在一個IPv6安全網(wǎng)絡(luò)20中是唯一的�,如此以使使用同一IPv6地址的多個節(jié)點31到33不存于一個IPv6安全網(wǎng)絡(luò)20中。
當(dāng)從節(jié)點31到33接收到NS消息時����,驗證處理單元11確定相關(guān)節(jié)點31到33是否被授權(quán)接入IPv6安全網(wǎng)絡(luò)20�。如果是這樣的話����,則驗證處理單元11從DB12中檢索要被指定給相關(guān)節(jié)點31到33的中間層地址信息�,并產(chǎn)生包括中間層地址信息在內(nèi)的NA消息。
另外����,認證處理單元11在產(chǎn)生的NA消息中包括安全信息以便允許被授權(quán)接入IPv6安全網(wǎng)絡(luò)20的各個節(jié)點31到33彼此通信。
在這個時候���,從CA 10發(fā)射給各個節(jié)點31到33的安全信息可以是秘密密鑰信息��、中間層地址信息以及被接入IPv6安全網(wǎng)絡(luò)20的各個節(jié)點31到33所使用的之類信息��。
圖7是用于解釋解釋根據(jù)本發(fā)明一個優(yōu)選實施例每個節(jié)點被證書授權(quán)中心驗證的方法流程的流程圖��。
參見圖7�,節(jié)點31的地址處理單元31d通過地址自動配置機制創(chuàng)建一個IPv6地址以便接入IPv6安全網(wǎng)絡(luò)20�,并且消息處理單元31c使用地址處理單元31d創(chuàng)建的IPv6地址信息來創(chuàng)建NS消息(S1)。
節(jié)點31的加密/解密單元31b用CA 10的公鑰加密消息處理單元31c創(chuàng)建的NS消息��,并且通過IPv6安全網(wǎng)絡(luò)20把加密的NS消息發(fā)射給CA 10(S2)��。
CA 10的IP接口單元14接收從節(jié)點31中發(fā)射的NS消息,并且加密/解密處理單元13用CA 10的私鑰解密NS消息(S3)�����。
驗證處理單元11通過檢索儲存在DB(數(shù)據(jù)庫)12中的中間層地址表來確定發(fā)射NS消息的節(jié)點31是否已經(jīng)被授權(quán)接入IPv6安全網(wǎng)絡(luò)20�����。如果節(jié)點已經(jīng)被授權(quán)接入��,則驗證處理單元11檢索被指定給相關(guān)節(jié)點31的中間層地址信息(S4)����。
證書授權(quán)中心10的驗證處理單元11創(chuàng)建NA消息,該NA消息包含從中間層地址表中檢索的中間層地址信息和被IPv6安全網(wǎng)絡(luò)20使用的秘密密鑰信息(S5)�����。
加密/解密處理單元13用節(jié)點31的公鑰加密驗證處理單元11創(chuàng)建的NA消息��,并且通過IP網(wǎng)絡(luò)14發(fā)射加密消息給節(jié)點31(S6)����。
節(jié)點31的加密/解密單元31b用私鑰解密從CA 10中發(fā)射的NA消息,并且消息處理單元31c識別包含在NA消息中的秘密密鑰信息和中間層地址信息(S7)���。
地址處理單元31d使用消息處理單元31c識別的中間層地址信息來創(chuàng)建一個IPv6地址(S8)��。
例如�����,將只描述一種節(jié)點A 31被CA 10驗證的方法�。首先�����,節(jié)點31通過地址自動配置機制創(chuàng)建一個試驗地址����。
換言之,如果節(jié)點A 31的接口MAC(媒體訪問控制)地址是’0A:00:2B:3B:70:1E’而網(wǎng)絡(luò)前綴是’3FFE:2E01:DEC1::/64’��,則節(jié)點A 31的地址處理單元31d創(chuàng)建’3FFE:2E01:DEC1::OAOO:2BFF:FE3B:701E’作為IPv6地址��。
節(jié)點A 31的消息處理單元31c創(chuàng)建一個隨機數(shù)RN(A)并使用創(chuàng)建的隨機數(shù)信息RN(A)和口令信息PW(A)來創(chuàng)建NS消息����。
在這里,PW(A)是指CA 10用來驗證節(jié)點A 31的信息�����。此PW(A)可以對應(yīng)于節(jié)點31的ID(標(biāo)識)信息和口令信息。
RN(A)是指節(jié)點A 31創(chuàng)建的隨機數(shù)信息����。此隨機數(shù)信息是這樣一個信息該信息被CA 10用于攔截來自嘗試惡意接入的入侵節(jié)點(未示出)的消息。
使用口令信息PW(A)和隨機數(shù)信息RN(A)由節(jié)點A 31創(chuàng)建NS消息是因為節(jié)點31以廣播的方式發(fā)射NS消息給網(wǎng)絡(luò)��,這使得除了CA 10之外接入IPv6安全網(wǎng)絡(luò)20有惡意目的的任何節(jié)點(未示出)都能接收到NS消息�����,更可能導(dǎo)致這些懷惡意的節(jié)點發(fā)射錯誤創(chuàng)建的NA消息給節(jié)點A 31�。
因此,為了阻止懷惡意的節(jié)點創(chuàng)建NA消息�����,節(jié)點A 31用CA 10的公鑰加密包含隨機數(shù)信息RN(A)的NS消息并發(fā)射加密的NS消息����,這樣只有CA 10被允許解密隨機數(shù)信息RN(A)。CA 10解密從節(jié)點A 31中發(fā)射的隨機數(shù)信息RN(A)�,用節(jié)點A 31的公鑰加密并發(fā)射NA消息,以便確認它是CA 10發(fā)射來驗證該節(jié)點的NA消息���。
另外�����,CA 10的驗證處理單元11從中間層地址表中檢索’1A:1B’���,’1A:1B’是指定給節(jié)點A 31的中間層地址信息DA(A)���,用IPv6安全網(wǎng)絡(luò)20的秘密密鑰加密檢索的地址信息�����,用節(jié)點A 31的公鑰加密節(jié)點A 31的用秘密密鑰加密的中間層地址信息DA(A)�����、秘密密鑰信息SS(C)和隨機數(shù)信息RN(A)以便創(chuàng)建NA消息���,并把創(chuàng)建的NA消息發(fā)射給節(jié)點A 31��。
節(jié)點A 31的加密/解密單元31b用它自己的私鑰解密從CA 10發(fā)射的NA消息����,并且消息處理單元31c從NA消息中識別隨機數(shù)信息RN(A)以便確認它是否是消息處理單元31c創(chuàng)建的隨機數(shù)信息RN(A)。
當(dāng)發(fā)射的NA消息的隨機數(shù)信息是消息處理單元31b創(chuàng)建的隨機數(shù)信息RN(A)時�,消息處理單元31b識別中間層地址信息DA(A)和秘密密鑰信息SS(C),并且把識別的秘密密鑰信息SS(C)提供給加密/解密單元31b并且把中間層地址信息DA(A)提供給地址處理單元31d�。
地址處理單元31d使用消息處理單元31c提供的中間層地址信息DA(A)來創(chuàng)建一個IPv6地址,并且當(dāng)建立與其它節(jié)點32和33的通信時����,加密/解密單元31b用秘密密鑰SS(C)加密/解密與其它節(jié)點32和33交換的信息。
換言之�����,地址處理單元31d使用從CA 10發(fā)射的中間層地址信息DA(A)——’1A:1B’來創(chuàng)建’3FFE:2E01:DEC1::OAOO:2B1A:1B3B:701E’作為IPv6地址�。
圖8是用于解釋根據(jù)本發(fā)明一個優(yōu)選實施例在各個節(jié)點之間相互驗證的方法流程圖。
參見圖8�����,將說明節(jié)點A 31請求節(jié)點B 32驗證節(jié)點A 31的情況���。
當(dāng)一個用戶請求與節(jié)點B 32通信時�,節(jié)點A 31的消息處理單元31c創(chuàng)建隨機數(shù)信息RN(A)�����。加密/解密單元31b用節(jié)點B 32的公鑰加密隨機數(shù)信息并通過網(wǎng)絡(luò)接口單元31a把加密的隨機消息發(fā)送給節(jié)點B 32(S10)。
即���,節(jié)點A 31用節(jié)點B 32的公鑰加密驗證請求消息并發(fā)射加密的驗證請求消息����。
節(jié)點B 32的加密/解密單元32b用節(jié)點B 32的私鑰解密通過網(wǎng)絡(luò)接口單元32a接收到的驗證請求消息�,并且消息處理單元32c創(chuàng)建隨機數(shù)信息RN(B)。
消息處理單元32c用節(jié)點A 31的隨機數(shù)信息RN(A)����、創(chuàng)建的隨機數(shù)信息RN(B)、節(jié)點A 31的中間層地址信息DA(A)以及作為散列函數(shù)的變量的消息處理單元32c的中間層地址信息DA(B)來加密散列函數(shù)的一半函數(shù)值�����;并且用節(jié)點A 31的公鑰加密節(jié)點A 31的隨機數(shù)信息RN(A)以及節(jié)點B 32的隨機數(shù)信息RN(B)�,以便創(chuàng)建一個驗證響應(yīng)消息��,并發(fā)射創(chuàng)建的驗證響應(yīng)消息給節(jié)點A31(S11)��。
在這里�,可以通過使用從CA 10中發(fā)射的秘密密鑰信息SS(C)對信息進行解密來識別由節(jié)點A 31和節(jié)點B 32接收的來自CA 10中的中間層地址信息DA(A)和DA(B)。
即���,節(jié)點B 32用節(jié)點A 31的公鑰加密響應(yīng)于從節(jié)點A 31中發(fā)射的驗證請求消息的驗證請求消息��,并發(fā)射加密消息��。
節(jié)點A 31的加密/解密單元31b用它自己的私鑰解密經(jīng)由網(wǎng)絡(luò)接口單元31a接收到的驗證響應(yīng)消息(S12)�����,并且消息處理單元31c把包含在驗證響應(yīng)消息中的散列函數(shù)的函數(shù)值和一半它自己的散列函數(shù)值求和�,并確定總數(shù)是否變成一個散列函數(shù)值(S13)。
即���,節(jié)點A 31的消息處理單元31c把從節(jié)點B 32中發(fā)射的一半函數(shù)值和它自己的一半散列函數(shù)值求和并確定總數(shù)是否變成一個正確的散列函數(shù)值��。如果總數(shù)變成正確的散列函數(shù)值�����,則消息處理單元31c確定從節(jié)點B 32中發(fā)射的散列函數(shù)值有效��。
在這個時候���,如果散列函數(shù)值的第一半被包含在從節(jié)點B 32發(fā)射的驗證響應(yīng)消息中,則節(jié)點A 31能夠把第二半散列函數(shù)值和發(fā)射的散列函數(shù)值求和。
同時�,如果從一個隨機部分中提取包含在從節(jié)點B 32發(fā)射的驗證響應(yīng)消息中的散列函數(shù)值,則發(fā)射驗證請求消息的節(jié)點A 31把另一部分的散列函數(shù)值增加到包含在驗證響應(yīng)消息中的散列函數(shù)值上�。
當(dāng)確定通過把包含在驗證響應(yīng)消息中的散列函數(shù)值與它自己的散列函數(shù)值進行求和而獲得的總散列函數(shù)值不正確時,節(jié)點A 31的消息處理單元31c確定節(jié)點B 32是一個未被授權(quán)接入IPv6安全網(wǎng)絡(luò)20的節(jié)點并終止連接(S14)�。
另一方面,當(dāng)確定總散列函數(shù)值正確時���,節(jié)點A 31的消息處理單元31c用節(jié)點B 32的公鑰加密除了從節(jié)點B 32中發(fā)射的散列函數(shù)值之外的剩余的散列函數(shù)值以及節(jié)點B 32的隨機數(shù)信息RN(B)���,創(chuàng)建驗證確認消息,并且把創(chuàng)建的驗證確認消息發(fā)射給節(jié)點B 32(S15)��。
節(jié)點B 32的加密/解密單元32b用私鑰解密驗證確認消息��。消息處理單元32c確定包含在驗證確認消息中的剩余一半散列函數(shù)值是否有效�,并且如果有效,則確定與節(jié)點A 31的相互驗證已經(jīng)完成以便與節(jié)點A 31通信(S16)��。
例如�,將討論一種方法��,通過該方法�,通過IPv6安全網(wǎng)絡(luò)20進行各個節(jié)點31和32之間的相互驗證。首先,節(jié)點A 31創(chuàng)建驗證所使用的一個隨機數(shù)RN(A)���,用節(jié)點B 32的公鑰PK(B)加密隨機數(shù)�,并把加密的隨機數(shù)作為驗證請求消息發(fā)射給節(jié)點B 32���。
節(jié)點B 32創(chuàng)建一個隨機數(shù)RN(B)用于與節(jié)點A 31的相互驗證�,并且使用散列函數(shù)創(chuàng)建用于相互驗證的驗證響應(yīng)消息���。
在這個時候���,使用散列函數(shù)創(chuàng)建驗證響應(yīng)消息意指通過使用難以從散列函數(shù)值中導(dǎo)出一個變量值的散列函數(shù)特性來在節(jié)點31和32之間進行相互驗證。
在下文中��,將只討論散列函數(shù)�。如下等式1表示散列函數(shù)。
等式1h(M)->H’h’表示一個散列函數(shù)��,’M’表示散列函數(shù)使用的一個變量�,而’H’表示從變量’M’導(dǎo)出的一個散列函數(shù)值。
對于為了相互驗證而使用的散列函數(shù)�,發(fā)送方同時發(fā)送散列函數(shù)的函數(shù)值和它的變量,而接收機使用同一散列函數(shù)從變量中導(dǎo)出函數(shù)值并把導(dǎo)出函數(shù)值與發(fā)射的函數(shù)值進行比較����。
如果導(dǎo)出的函數(shù)值和發(fā)射的函數(shù)值相同��,則接收機驗證發(fā)射機�����。
即�����,節(jié)點B 32使用在被CA 10驗證的同時接收到的秘密密鑰SS(C)來識別指定給節(jié)點B 32的中間層地址信息DA(B)和指定給節(jié)點A 31的中間層地址信息DA(A)���。
節(jié)點B 32的消息處理單元31c用節(jié)點A 31的隨機數(shù)信息RN(A)、它自己的隨機數(shù)信息RN(B)���、節(jié)點A 31的中間層地址信息DA(A)以及作為它的變量的它自己的中間層地址信息DA(B)來加密一半散列函數(shù)值�;用節(jié)點A 31的公鑰加密節(jié)點A 31的隨機數(shù)信息RN(A)以及它自己的隨機數(shù)信息RN(B)�����,并把它作為驗證響應(yīng)消息發(fā)射���。
在這個時候�,在從節(jié)點A 31中發(fā)射的驗證請求消息的IPv6地址被從CA 10中接收到的秘密密鑰SS(C)正確加密的條件下����,則節(jié)點B 32能夠確定節(jié)點A 31是一個驗證節(jié)點,因為當(dāng)節(jié)點A 31是CA 10驗證的一節(jié)點時����,IPv6地址較低的64個比特的16個比特是被用從CA 10中接收到的秘密密鑰SS(C)加密的。
另外����,包含在從節(jié)點B 32中發(fā)射的驗證響應(yīng)消息中的散列函數(shù)使用節(jié)點A31的隨機數(shù)信息RN(A)和節(jié)點B 32的隨機數(shù)信息RN(B)以及節(jié)點A 31的中間層地址信息DA(A)和節(jié)點B 32的中間層地址信息DA(B)作為它的變量。因此�,散列函數(shù)值不是固定的,而是每當(dāng)企圖驗證時都被改變��,從而可確保優(yōu)良的安全性�����。
節(jié)點A 31的加密/解密單元31b用它自己的私鑰解密從節(jié)點B 32中發(fā)射的驗證響應(yīng)消息�����,并且由于解密的驗證響應(yīng)消息只包含一半散列函數(shù)值�����,消息處理單元31c把解密的驗證響應(yīng)消息內(nèi)的散列函數(shù)值和它的散列函數(shù)值求和,并且確定發(fā)射的散列函數(shù)值是否有效���。
另外��,當(dāng)確定散列函數(shù)值有效時����,消息處理單元31c發(fā)射驗證確認消息給節(jié)點B 32以便指示與節(jié)點B的相互驗證已經(jīng)完成��。
在這個時候��,節(jié)點A 31包括并發(fā)射除了從節(jié)點B 32中發(fā)射的散列函數(shù)值之外的剩余散列函數(shù)值到發(fā)射的驗證確認消息中�����。
節(jié)點B 32確定包含在從節(jié)點A 31發(fā)射的驗證確認消息中的一半散列函數(shù)值是否有效���。如果數(shù)值有效��,則節(jié)點B 32確定與節(jié)點A 31的相互驗證完成并開始與節(jié)點A 31通信�。
圖9是用于解釋根據(jù)本發(fā)明一個優(yōu)選實施例節(jié)點通過IPv6安全網(wǎng)絡(luò)彼此通信的方法流程圖�。
參見圖9����,首先�,節(jié)點B 32被CA 10驗證���。節(jié)點B 32然后使用IPv6地址連接到IPv6安全網(wǎng)絡(luò)20��,IPv6地址使用從CA 10發(fā)射的中間層地址信息DA(B)(S20)��。
在節(jié)點A 31重新連接到IPv6安全網(wǎng)絡(luò)20的情況下����,節(jié)點A 31的地址處理單元31d通過地址自動配置機制創(chuàng)建一個試驗地址���。
消息處理單元31c產(chǎn)生一個隨機數(shù)RN(A)�����,并使用口令信息PW(A)和隨機數(shù)信息RN(A)來產(chǎn)生NS消息����。加密/解密單元31b用CA 10(ENpK(c)))公鑰加密創(chuàng)建的NS消息�����,并經(jīng)由網(wǎng)絡(luò)接口單元31a(ENPK(c)(PW(A)、RN(A)))把它發(fā)射給CA 10(S21)����。
當(dāng)從節(jié)點A 31接收到NS消息時,CA 10用私鑰解密NS消息����,通過中間層地址表的檢索來確定節(jié)點A 31是否被授權(quán)接入IPv6安全網(wǎng)絡(luò)20,并且如果是被授權(quán)��,則檢索指定給節(jié)點A 31的中間層地址信息DA(A)���。
另外�,CA 10用秘密密鑰加密檢索的中間層地址信息DA(A)��,用節(jié)點A31(ENpK(A))的公鑰加密秘密密鑰信息SS(C)�����、節(jié)點A 31的識別的隨機數(shù)信息RN(A)以及秘密密鑰(ENSS(c)DA(A)加密的中間層地址信息�,并把它們作為NA消息(ENPK(A)(RN(A),SS(C)和ENSS(C)DA(A))發(fā)射(S22)。
節(jié)點A 31的加密/解密單元31b用私鑰解密從CA 10中發(fā)射的NA消息����,并且消息處理單元31c識別從CA 10中發(fā)射的秘密密鑰信息SS(C)。
另外��,如果包含在NA消息中的CA 10自己的隨機數(shù)信息RN(A)是正確的���,則消息處理單元31b確定發(fā)射NA消息的CA 10是IPv6安全網(wǎng)絡(luò)20中的一個正確CA10。即���,消息處理單元31b確定CA 10不是一個具有惡意目的接入IPv6安全網(wǎng)絡(luò)并響應(yīng)于從節(jié)點A 31中發(fā)射的NS消息而發(fā)射一個錯誤NA消息的懷惡意節(jié)點����,而是在IPv6安全網(wǎng)絡(luò)20中的正確CA 10�����。
加密/解密單元31b用消息處理單元31c識別的秘密密鑰SS(C)解密中間層地址信息DA(A)�����,并且地址處理單元31d使用加密/解密單元31b解密了的中間層地址信息DA(A)來創(chuàng)建IPv6地址�����。
如果一個用戶請求與節(jié)點B通信,則節(jié)點A 31的消息處理單元31c創(chuàng)建隨機數(shù)信息RN(A)以便產(chǎn)生一個驗證請求消息�����。
加密/解密單元31b用節(jié)點B 32(ENPK(B))的公鑰加密產(chǎn)生的驗證請求消息����,并經(jīng)由網(wǎng)絡(luò)接口單元31a(ENpK(B)RN(A)))把加密的驗證請求消息發(fā)射給節(jié)點B32(S23)。
節(jié)點B 32的加密/解密單元32b用私鑰解密從節(jié)點A 31中發(fā)射的驗證請求消息�����,并且消息處理單元32c創(chuàng)建一個隨機數(shù)RN(B)用于與節(jié)點A 31的相互驗證�����。
消息處理單元32c用節(jié)點A 31的中間層地址信息DA(A)��、它自己的中間層地址信息DA(B)�、節(jié)點A 31的隨機數(shù)信息RN(A)以及創(chuàng)建的隨機數(shù)信息RN(B)作為它的變量來加密一半散列函數(shù)值;用節(jié)點A 31(ENpK(A))的公鑰加密節(jié)點A 31的隨機數(shù)信息RN(A)和創(chuàng)建的隨機數(shù)信息RN(B)�,并把它們作為驗證響應(yīng)消息(ENpK(A)(RN(A)、RN(B)�����、h2/1(RN(A)、RN(B)����、DA(A)、DA(B)))發(fā)射(S24)��。
節(jié)點A 31的加密/解密單元31b用私鑰解密從節(jié)點B 32中發(fā)射的驗證響應(yīng)消息��,并且消息處理單元31c確定通過把它自己的一半散列函數(shù)值加到包含在驗證響應(yīng)消息中的一半散列函數(shù)值上所獲得的一個函數(shù)值是否有效�����。如果有效���,則它用節(jié)點B 32(ENpK(B))的公鑰加密節(jié)點B 32它自己的剩余一半散列函數(shù)值和隨機數(shù)信息RN(B),并把它作為驗證確認消息(ENpK(B)(RN(B)�����、h2/2(RN(A)��、RN(B)�����、DA(A)、DA(B))))發(fā)射(S25)�����。
節(jié)點B 32的加密/解密單元32b用私鑰解密從節(jié)點A 31中發(fā)射的驗證確認消息�,并且消息處理單元32c確定包含在驗證確認消息中的一半散列函數(shù)值是否有效。如果有效��,則消息處理單元32c確定用于通過IPv6安全網(wǎng)絡(luò)20通信的相互驗證完成并開始與節(jié)點A 31通信����。
雖然結(jié)合詳細示例已經(jīng)詳細描述了本發(fā)明,但是可以對本發(fā)明進行各種變化和修改而不脫離本發(fā)明的技術(shù)精神對本領(lǐng)域技術(shù)人員來說將是顯而易見的�,當(dāng)然,這些變化和修改將落入附加權(quán)利要求中�����。
如上所述��,根據(jù)本發(fā)明�,有這樣一個優(yōu)點即,在執(zhí)行連接節(jié)點的驗證的同時�,管理IPv6安全網(wǎng)絡(luò)上的安全驗證的證書授權(quán)中心通知能夠處理各個節(jié)點之間相互驗證的安全信息�,因此處理相互的驗證以使接入IPv6安全網(wǎng)絡(luò)20的節(jié)點與其它節(jié)點通信而不必另外與證書授權(quán)交換信息����。
另外,還有一個優(yōu)點是當(dāng)在處理IPv6安全網(wǎng)絡(luò)上的驗證的一個證書授權(quán)中心和接入IPv6安全網(wǎng)絡(luò)的節(jié)點之間處理初始驗證時���,通過處理交換的消息處理相互的驗證����,則可本質(zhì)上阻塞節(jié)點惡意地接入IPv6安全網(wǎng)絡(luò)��。
權(quán)利要求
1.一個用于處理多個節(jié)點的驗證的系統(tǒng)�����,所述系統(tǒng)包括證書服務(wù)器�����,用于儲存至少一個節(jié)點信息和被指定給節(jié)點的地址信息并且當(dāng)從接入網(wǎng)絡(luò)的任何節(jié)點中接收消息時����,發(fā)射驗證消息��,所述驗證消息包含指定到該節(jié)點的地址信息和安全信息;和連接到所述證書服務(wù)器的至少一個節(jié)點�,用于發(fā)射消息給所述證書服務(wù)器,使用通過驗證消息發(fā)射的地址信息來創(chuàng)建一個互聯(lián)網(wǎng)協(xié)議地址���,并通過互聯(lián)網(wǎng)協(xié)議地址和安全信息處理與其它節(jié)點的相互驗證����。
2.根據(jù)權(quán)利要求1的系統(tǒng)��,其中消息包含識別信息�����、口令信息和隨機創(chuàng)建的節(jié)點隨機數(shù)信息中的至少一個節(jié)點信息�。
3.根據(jù)權(quán)利要求1的系統(tǒng),其中安全信息是用于互聯(lián)網(wǎng)協(xié)議網(wǎng)絡(luò)中的秘密密鑰信息���、用秘密密鑰加密的地址信息��、以及通過用節(jié)點信息和安全信息中的至少一個執(zhí)行作為變量的散列函數(shù)處理獲得的函數(shù)值信息中的至少一個���。
4.根據(jù)權(quán)利要求1的系統(tǒng),其中所述證書服務(wù)器從一消息中識別節(jié)點信息并且當(dāng)從節(jié)點接收到連接消息時把節(jié)點信息包含到驗證消息中�。
5.根據(jù)權(quán)利要求1的系統(tǒng)����,其中當(dāng)節(jié)點信息作為驗證確認信息未被包含在驗證消息中時�����,節(jié)點確定所述證書服務(wù)器是一個懷惡意的節(jié)點以便終止連接�。
6.根據(jù)權(quán)利要求1的系統(tǒng),其中證書服務(wù)器用相關(guān)節(jié)點的公鑰加密驗證信息并且用私鑰解密一消息��,其中所述驗證消息包含用秘密密鑰加密的地址信息����。
7.根據(jù)權(quán)利要求1的系統(tǒng),其中每一個節(jié)點都用證書服務(wù)器的公用密鑰加密一消息并用它自己的私鑰解密驗證消息��。
8.根據(jù)權(quán)利要求1的系統(tǒng)�,其中當(dāng)用戶請求與其它節(jié)點通信時,每一個節(jié)點都發(fā)射一驗證請求消息給其它節(jié)點��,從響應(yīng)于驗證請求消息的一響應(yīng)消息中識別安全信息�,把其它節(jié)點的安全信息與它自己的安全信息進行比較��,并當(dāng)其它節(jié)點的安全信息有效時驗證其它節(jié)點以便開始與其它節(jié)點的通信���。
9.一個用于處理在互聯(lián)網(wǎng)協(xié)議版本6網(wǎng)絡(luò)上的驗證的系統(tǒng)�����,它包括一個證書服務(wù)器和至少一個節(jié)點���,該系統(tǒng)包括第一節(jié)點�,用于加密節(jié)點信息以便把加密的節(jié)點信息作為一個驗證請求消息發(fā)射給其它節(jié)點�����,用從證書服務(wù)器發(fā)射的一個秘密密鑰來解密響應(yīng)于驗證請求消息的一個響應(yīng)消息��,以便識別其它節(jié)點的安全信息�����,并且當(dāng)各自的信息與從證書服務(wù)器中發(fā)射的安全信息相同時�,發(fā)射一個驗證確認消息以便驗證其它節(jié)點;和第二節(jié)點����,用于用從證書服務(wù)器中發(fā)射的一個秘密密鑰加密安全信息以便當(dāng)接收到來自第一節(jié)點的驗證請求消息時把加密的安全信息作為響應(yīng)消息進行發(fā)射,并且當(dāng)接收到來自第一節(jié)點的驗證確認消息時驗證第一節(jié)點��。
10.根據(jù)權(quán)利要求9的系統(tǒng),其中當(dāng)接收到來自其它節(jié)點的驗證確認消息時�,每一個節(jié)點識別其它節(jié)點的安全信息,把其它節(jié)點的安全信息與從所述證書服務(wù)器中發(fā)射的安全信息比較����,并且當(dāng)其它節(jié)點的安全信息有效時驗證其它節(jié)點。
11.根據(jù)權(quán)利要求9的系統(tǒng)�����,其中安全信息是用于互聯(lián)網(wǎng)協(xié)議網(wǎng)絡(luò)中的秘密密鑰信息�����、用秘密密鑰加密的地址信息��、以及通過用節(jié)點信息和安全信息中的至少一個執(zhí)行作為變量的散列函數(shù)處理獲得的函數(shù)值信息中的至少一個��。
12.根據(jù)權(quán)利要求9的系統(tǒng)���,其中每一個節(jié)點把一半函數(shù)值信息包含到響應(yīng)消息中�,并且還把除了包含的函數(shù)值信息之外的函數(shù)值信息包含到驗證確認消息中�。
13.一種設(shè)備���,包括一個節(jié)點��,它連接到包括證書服務(wù)器的安全網(wǎng)絡(luò)��,當(dāng)與其它節(jié)點的通信被請求時�����,互聯(lián)網(wǎng)協(xié)議版本6網(wǎng)絡(luò)中的所述節(jié)點發(fā)射一包括加密節(jié)點信息在內(nèi)的驗證請求消息����,用從所述證書服務(wù)器中發(fā)射的一個秘密密鑰解密響應(yīng)于驗證請求消息的一個響應(yīng)消息,以便識別其它節(jié)點的安全信息���,并且當(dāng)識別的安全信息與從所述證書服務(wù)器中發(fā)射的安全信息相同時�����,發(fā)射一驗證確認消息用于驗證其它節(jié)點以便開始與其它節(jié)點的通信�����。
14.一個用于處理互聯(lián)網(wǎng)協(xié)議版本6網(wǎng)絡(luò)中的至少一個節(jié)點的驗證的證書服務(wù)器��,所述證書服務(wù)器包括一個存儲單元�����,用于存儲至少一個節(jié)點信息和指定給相關(guān)節(jié)點的地址信息����;和一個驗證處理單元,當(dāng)通過互聯(lián)網(wǎng)協(xié)議網(wǎng)絡(luò)接收到從節(jié)點發(fā)射的一消息時�����,通過所述存儲單元的檢索�����,用于確認節(jié)點是否被授權(quán)連接�����,并且當(dāng)節(jié)點被授權(quán)連接時�����,則發(fā)射一驗證消息給節(jié)點�,所述驗證消息包含通過用秘密密鑰加密與節(jié)點對應(yīng)的地址信息而獲得的密碼信息以及秘密密鑰信息�����。
15.根據(jù)權(quán)利要求14的證書服務(wù)器,其中驗證處理單元從連接消息中識別節(jié)點的節(jié)點信息并把節(jié)點信息包含到驗證消息中以便通知證書服務(wù)器是驗證所述節(jié)點的一個證書服務(wù)器���。
16.一種用于處理在包括若干節(jié)點和一個證書服務(wù)器的互聯(lián)網(wǎng)協(xié)議網(wǎng)絡(luò)上的驗證的方法���,所述方法包括如下步驟由證書服務(wù)器設(shè)置至少一個節(jié)點信息和指定給節(jié)點的地址信息;由節(jié)點中的任意一個節(jié)點接入證書服務(wù)器以便發(fā)射一包含節(jié)點信息的消息���;當(dāng)接收到接入消息時�����,由證書服務(wù)器確定該節(jié)點是否被授權(quán)接入��,并且當(dāng)節(jié)點被授權(quán)接入時�,則向節(jié)點發(fā)送一包含指定給該節(jié)點的地址信息和安全信息的驗證消息�����;和由節(jié)點使用地址信息來創(chuàng)建一個互聯(lián)網(wǎng)協(xié)議地址并通過安全信息處理與其它節(jié)點的相互驗證�����。
17.根據(jù)權(quán)利要求16的方法,其中節(jié)點信息是節(jié)點的識別信息��,口令信息和隨機創(chuàng)建的隨機數(shù)信息中的至少一個�。
18.根據(jù)權(quán)利要求16的方法,其中安全信息是用于互聯(lián)網(wǎng)協(xié)議網(wǎng)絡(luò)中的秘密密鑰信息���、用秘密密鑰加密的地址信息以及函數(shù)值信息中的至少一個���,其中在函數(shù)值信息上,使用節(jié)點信息和安全信息中的至少一個作為變量執(zhí)行一個散列函數(shù)過程�����。
19.根據(jù)權(quán)利要求16的方法���,其中當(dāng)接收到來自節(jié)點的一消息時�,所述證書服務(wù)器識別節(jié)點信息并且把節(jié)點信息包含到驗證消息中����。
20.根據(jù)權(quán)利要求16的方法,其中當(dāng)節(jié)點信息作為驗證確認信息未被包含在驗證消息中時��,節(jié)點確定所述證書服務(wù)器是一個懷惡意的節(jié)點以便終止連接。
21.根據(jù)權(quán)利要求16的方法�,其中處理相互驗證的步驟包括如下子步驟當(dāng)一個用戶請求與其它節(jié)點通信時發(fā)送一驗證請求消息給其它節(jié)點,并且從響應(yīng)于驗證請求消息的一響應(yīng)消息中識別安全信息�;并且把其它節(jié)點的安全信息與它自己的安全信息進行比較,當(dāng)其它節(jié)點的安全信息有效�����,則驗證其它節(jié)點���。
22.一種在包括一個證書服務(wù)器和多個節(jié)點的互聯(lián)網(wǎng)協(xié)議網(wǎng)絡(luò)中用于處理若干節(jié)點之間的相互驗證的方法,所述方法包括如下步驟由第一節(jié)點發(fā)送通過加密節(jié)點信息而獲得的一驗證請求消息給第二節(jié)點��;由第二節(jié)點用從證書服務(wù)器中發(fā)射的一個秘密密鑰來加密并發(fā)送安全信息��,所述安全信息是作為響應(yīng)于驗證請求消息的一個響應(yīng)消息而被發(fā)送�;當(dāng)從第二節(jié)點中接收到響應(yīng)消息時,用從證書服務(wù)器中發(fā)射的秘密密鑰解密響應(yīng)消息以便識別第二節(jié)點的安全信息���,并且當(dāng)各自的信息與從證書服務(wù)器中發(fā)射的安全信息相同時�����,則發(fā)送一個驗證確認消息用于驗證第二節(jié)點���;并且當(dāng)接收到驗證確認消息時�����,由第二節(jié)點驗證第一節(jié)點��。
23.根據(jù)權(quán)利要求22的方法���,其中當(dāng)接收到來自其它節(jié)點的驗證確認消息時,通過識別其它節(jié)點的安全信息來驗證其它節(jié)點����,通過與從所述證書服務(wù)器中發(fā)射的安全信息比較來確認安全信息是否有效,并且當(dāng)它有效時驗證其它節(jié)點�。
24.一種用于在包括一個證書服務(wù)器的互聯(lián)網(wǎng)協(xié)議版本6網(wǎng)絡(luò)中處理節(jié)點處的驗證的方法,所述方法包括如下步驟當(dāng)與其它節(jié)點的通信被請求時���,發(fā)送一則包含加密節(jié)點信息的驗證請求消息給其它節(jié)點�����;用從證書服務(wù)器中發(fā)射的一個秘密密鑰解密從其它節(jié)點中接收到的一響應(yīng)消息以便識別其它節(jié)點的安全信息����;并且確定所識別的安全信息是否與從證書服務(wù)器中發(fā)射的安全信息相同,當(dāng)相同時�,則發(fā)送一個認證確認消息用于驗證其它節(jié)點以便開始與其它節(jié)點通信。
25.一種在互聯(lián)網(wǎng)協(xié)議版本6網(wǎng)絡(luò)中的證書服務(wù)器處用于處理節(jié)點驗證的方法��,所述方法包括如下步驟設(shè)置至少一個節(jié)點信息和指定給相關(guān)節(jié)點的地址信息���;當(dāng)接收到從通過互聯(lián)網(wǎng)協(xié)議網(wǎng)絡(luò)連接的節(jié)點中的任意一個節(jié)點中發(fā)射的一連接消息時����,基于設(shè)置的節(jié)點信息來確認該節(jié)點是否被授權(quán)連接���;并且當(dāng)該節(jié)點被授權(quán)連接時,則發(fā)送一個驗證消息���,該驗證消息包含通過用秘密密鑰加密對應(yīng)于節(jié)點的地址信息而獲得的密碼信息和秘密密鑰信息����。
26.根據(jù)權(quán)利要求25的方法�,其中發(fā)射驗證消息的步驟包括如下子步驟從連接消息中識別節(jié)點的節(jié)點信息并把節(jié)點信息包括到驗證消息中以便通知所述證書服務(wù)器是驗證所述節(jié)點的證書服務(wù)器。
全文摘要
一種方法和設(shè)備處理IPv6網(wǎng)絡(luò)上的驗證���,其中�,使用從證書授權(quán)中心中發(fā)射的安全信息來允許IPv6安全網(wǎng)絡(luò)節(jié)點通過相互驗證來彼此通信,因此將證書授權(quán)中心和每個節(jié)點之間交換的信息量最小化����。另外,當(dāng)在IPv6安全網(wǎng)絡(luò)上的驗證的證書授權(quán)中心和接入IPv6安全網(wǎng)絡(luò)的一個節(jié)點之間處理初始驗證時��,通過交換的消息來處理相互的驗證�����,可本質(zhì)上阻塞節(jié)點惡意地接入IPv6安全網(wǎng)絡(luò)��。
文檔編號H04L9/32GK1649294SQ200510006148
公開日2005年8月3日 申請日期2005年1月31日 優(yōu)先權(quán)日2004年1月29日
發(fā)明者金柄澈 申請人:三星電子株式會社