專利名稱:一種節(jié)點間安全通信的方法及系統(tǒng)的制作方法
技術領域:
本發(fā)明涉及通信技術,尤其涉及一種節(jié)點間安全通信的方法及系統(tǒng)���。
技術背景移動IPv6所要解決的核心問題之一就是當移動節(jié)點(MN:Mobile Node) 移動至外地鏈路時����,如何使用家鄉(xiāng)鏈路中的IP地址與對端節(jié)點 (CN:Correspondent Node )保持通信�。通常移動節(jié)點通過向家鄉(xiāng)代理(家鄉(xiāng) 代理:Home Agent)注冊當前的轉交地址(CoA: Care of Address ),家鄉(xiāng)代 理截取所有發(fā)往該移動節(jié)點的家鄉(xiāng)地址(HoA:Home of Address )的報文����,然 后以隧道的形式發(fā)往移動節(jié)點當前的CoA。在對端節(jié)點支持路由優(yōu)化的前提 下�����,通過向?qū)Χ斯?jié)點注冊綁定����,由對端節(jié)點把要發(fā)往移動節(jié)點的HoA的報文 直接發(fā)往移動節(jié)點的CoA���。為了實現(xiàn)上述方案���,家鄉(xiāng)代理和對端節(jié)點需要將移動節(jié)點的綁定關系存 儲在本地數(shù)據(jù)庫����。由于移動節(jié)點的移動可能會導致CoA的經(jīng)常變化����,因此移 動節(jié)點需要不斷更新存儲在家鄉(xiāng)代理和對端節(jié)點的本地數(shù)據(jù)庫中的相應條 目。為了保證綁定數(shù)據(jù)的安全�����,目前一般采用密碼學方法對綁定注冊及綁定 更新進4iM呆護?���,F(xiàn)有^支術中使用返回^各由可達過禾呈(RRP, Return RoutabilityProcedure )在移動節(jié)點與對端節(jié)點之間生成 一 個對稱密鑰(Kbm:Binding Management Key ),通過Kbm來確保移動節(jié)點和對端節(jié)點之間的綁定更新(BU:Binding Update)和綁定確認(BA:Binding Acknowledge)消息的真實 性�。參考圖l,圖l是現(xiàn)有技術返回路由可達過程示意圖。所述Kbm的生成 方法如下當移動節(jié)點試圖和對端節(jié)點使用路由優(yōu)化模式通信時�,便會向?qū)?端節(jié)點發(fā)送家鄉(xiāng)測試初始消息(HoTI)和轉交測試初始消息(CoTI),其 中����,HoTI消息由家鄉(xiāng)代理轉發(fā)�。如果對端節(jié)點可以支持并允許使用路由優(yōu)化 模式和移動節(jié)點通信,則在收到HoTI消息后����,對端節(jié)點按照下面的方法計算 家鄉(xiāng)秘密生成令牌家鄉(xiāng)秘密生成令牌-First (64, HMAC-S家鄉(xiāng)代理1 (K對 端節(jié)點���,HoA|Nonce|0))���,其中K對端節(jié)點是只有對端節(jié)點才知道的秘 密,Nonce是由對端節(jié)點生成的隨機數(shù)�。對端節(jié)點將生成的家鄉(xiāng)秘密生成令 牌放在家鄉(xiāng)測試(HoT)報文中�,通過家鄉(xiāng)代理利用反向隧道發(fā)送給移動節(jié) 點。當對端節(jié)點收到移動節(jié)點發(fā)送的CoTI消息后��,按照下面的方法計算轉交 秘密生成令牌發(fā)送給MN:轉交秘密生成令牌=First ( 64, HMAC-SHA1(KCN, CoA|Nonce| 1 ))���。當移動節(jié)點在收到對端節(jié)點發(fā)送的HoT和CoT 消息后��,先分別檢查所述消息中的cookies�,然后分別取出其中的家鄉(xiāng)秘密生 成令牌和轉交秘密生成令牌���,便可計算出Kbn^SHAI (家鄉(xiāng)秘密生成令牌I 轉交秘密生成令牌)�����。當移動節(jié)點向?qū)Χ斯?jié)點發(fā)送綁定更新消息時����,使用Authenticator = First (96�����, HMAC一SHA1 (Kbm����, Mobility Data))來對消息內(nèi)容進 行認證。上述的RRP方法假定攻擊者無法同時在家鄉(xiāng)代理和對端節(jié)點����,以及移動 節(jié)點和對端節(jié)點兩條鏈路上竊聽到CoT和HoT兩個報文。事實上���,這種假設 是欠妥的����,參考圖2�����,圖2是移動節(jié)點與對端節(jié)點通信拓樸示意圖�����。攻擊者 位于C鏈路上的任何一位置都可以竊聽到CoT和HoT兩個才艮文���;此外,攻擊 者可以通過"共謀"的方式在兩條鏈路上分別獲得CoT和HoT兩個報文��,然后計 算出Kbm����。此外��,在上述的RRP方法中����,由于缺乏必要的身份驗證信息,對 端節(jié)點沒有辦法確認HoTI和CoTI消息發(fā)送者的身份����,也就無法辨別出這是否 是來自 一個假冒的移動節(jié)點發(fā)送的消息。 發(fā)明內(nèi)容有鑒于此���,本發(fā)明實施例的主要目的是提供一種節(jié)點間安全通信的方法 及系統(tǒng)。本發(fā)明實施例的目的是通過以下技術方案實現(xiàn)的本發(fā)明實施例提供一種節(jié)點間安全通信的方法��,包括移動節(jié)點發(fā)送綁 定請求給家鄉(xiāng)代理�����,所述綁定請求中包含當前轉交地址和所需更新的對端節(jié)點�����;所述家鄉(xiāng)代理發(fā)送代理綁定消息給所述對端節(jié)點�,所述代理綁定消息中 包含所述移動節(jié)點的身份及所述當前轉交地址和驗證信息;所述對端節(jié)點對 所述移動節(jié)點的身份和所述當前轉交地址進行驗證����,驗證通過后���,根據(jù)所述當前轉交地址更新本地數(shù)據(jù)庫����;所述對端節(jié)點返回綁定確認消息給所述移動 節(jié)點���;所述移動節(jié)點通過所述當前轉交地址與所述對端節(jié)點進行通信�。此外�����,本發(fā)明實施例還提供一種節(jié)點間安全通信的系統(tǒng)����,包括移動節(jié) 點�,用于發(fā)送綁定請求���,所述綁定請求中包含當前轉交地址和所需更新的對 端節(jié)點���;家鄉(xiāng)代理,用于接收所述綁定請求�,并發(fā)送代理綁定消息����,所述代 理綁定消息中包含所述移動節(jié)點的身份及所述當前轉交地址和驗證信息;對端節(jié)點��,用于對所述移動節(jié)點的身份和所述當前轉交地址進行驗證����, 驗證通過后,根據(jù)所述當前轉交地址更新本地數(shù)據(jù)庫����。由上述本發(fā)明實施例提供的技術方案可以看出,本發(fā)明實施例通過用密 碼學保護家鄉(xiāng)代理與對端節(jié)點之間的通信�,能夠?qū)?jié)點的身份進行驗證,為節(jié)點間的通信提供了更好的安全保障。
圖l是現(xiàn)有技術返回路由可達過程示意圖�; 圖2是移動節(jié)點與對端節(jié)點通信拓樸示意圖�����; 圖3是本發(fā)明實施例的節(jié)點間安全通信的方法流程圖����; 圖4是本發(fā)明實施例的節(jié)點間安全通信的系統(tǒng)示意圖����。
具體實施方式
為使本發(fā)明的目的、技術方案和優(yōu)點更加清楚明白�����,以下舉實施例���,并 參照附圖����,對本發(fā)明進一步詳細說明���。參考圖3,圖3是本發(fā)明實施例的路由優(yōu)化的方法流程圖���。步驟301��、移動節(jié)點發(fā)送綁定請求給家鄉(xiāng)代理����,所述綁定請求中包含當前 轉交地址和所需更新的對端節(jié)點;當移動節(jié)點的CoA發(fā)生變化時��,所述綁定請求為綁定更新請求����;或者當 移動節(jié)點希望發(fā)起一個對端注冊時,所述綁定請求為綁定注冊請求����。所以����, 當移動節(jié)點的CoA發(fā)生變化時或者當移動節(jié)點希望發(fā)起一個對端注冊時�����,移 動節(jié)點以隧道的方式向家鄉(xiāng)代理發(fā)送一個綁定請求消息(BU Request)�����,所 述消息中包含當前CoA和所需更新的對端節(jié)點����。移動節(jié)點發(fā)往家鄉(xiāng)代理的綁 定更新請求消息還可以包括有以下內(nèi)容移動節(jié)點的身份信息,移動節(jié)點的 HoA��、或?qū)Χ俗缘膶Χ斯?jié)點的地址�;步驟302���、所述家鄉(xiāng)代理發(fā)送代理綁定消息給所述對端節(jié)點����,所述代理綁 定消息中包含所述移動節(jié)點的身份及其當前轉交地址和驗證信息�;在本發(fā)明實施例的具體實現(xiàn)時,家鄉(xiāng)代理將所述當前CoA與自身所維護 的本地數(shù)據(jù)庫中的綁定關系條目作比較���,如果所述當前CoA與所述條目中的 CoA不一致�����,則對所述條目進行更新。家鄉(xiāng)代理發(fā)送代理綁定消息給所述對端節(jié)點����,所述代理綁定消息中包 含需要綁定更新的移動節(jié)點的身份及其當前CoA和驗證信息。家鄉(xiāng)代理發(fā) 往對端節(jié)點的代理綁定更新請求消息還可以包括移動節(jié)點的HoA��、家鄉(xiāng)代 理的公鑰信息在DNS中的位置(如果雙方無共享密鑰)����,以及根據(jù)上述信息 生成的驗證信息�����。相應地����,當移動節(jié)點的CoA發(fā)生變化時����,所述代理綁定請求為代理綁定更新請求;或者當移動節(jié)點希望發(fā)起一個對端注冊時���,所述代理綁定請求為代理綁定注冊請求��。所述需要綁定更新的移動節(jié)點的身份可以用HoA來標識�����。當所述家鄉(xiāng)代理與所述對端節(jié)點不存在共享密鑰時��,所述代理綁定消息中含有所述家鄉(xiāng)代理的公鑰在DNS的具體資源記錄名和類型����;所述驗證信息為所述家鄉(xiāng)代理通 過私鑰對所述移動節(jié)點的身份和所述當前轉交地址進行簽名。例如�,所述驗 寸正信息可以為Authentication Data二SIG (Mobility Data, Other Parameter), 其中����,SIG為家鄉(xiāng)代理利用自己的私鑰對數(shù)據(jù)進行簽名,公私鑰對的產(chǎn)生方 式可以有多種��,例如可以由可信的第三方生成���,然后由該第三方把公私鑰 對交給節(jié)點��;也可以由節(jié)點根據(jù)公私鑰對的產(chǎn)生規(guī)則�,自己選擇參數(shù)生成���; Mobility Data包括需要更新綁定的移動節(jié)點的身份信息及其當前CoA�����,還可以 包括家鄉(xiāng)代理的公鑰在DNS中的具體資源記錄名與類型,以便對端節(jié)點獲 取���。Other Parameter可以由時間戳��、隨機數(shù)等構成�,以區(qū)別不同的驗證信息, 可以起到防重放攻擊的作用���。這樣�,本發(fā)明實施例引入域名解析服務器 (DNS:Domain Name System)來保證綁定數(shù)據(jù)的安全。DNS是一個大型的分 布式數(shù)據(jù)庫系統(tǒng)�,它所執(zhí)行的基本功能是網(wǎng)絡資源與IP地址之間的翻譯。所 述網(wǎng)絡資源例如域名�、郵件地址等。由于DNS是一個被廣泛應用的網(wǎng)絡基礎 設施�����,所以本實施例引入DNS來分發(fā)與綁定更新相關的公鑰信息�。家鄉(xiāng)代理將自身的公鑰信息可以以資源記錄的形式存儲在DNS中��,所存儲的資源記錄 包括公鑰算法及公鑰內(nèi)容����,該資源記錄需要能標識出家鄉(xiāng)代理的身份、家 鄉(xiāng)代理所代理的地址范圍及所存儲的公鑰的用途����。此外,家鄉(xiāng)代理存儲在 DNS中的可以不是^^鑰��,而是^^鑰指紋(Fingerprint)�,所述代理綁定消息中 含有所述家鄉(xiāng)代理的公鑰以及所述家鄉(xiāng)代理的公鑰指紋在DNS的具體資源記 錄名和類型;所述驗證信息為所述家鄉(xiāng)代理通過私鑰對所述移動節(jié)點的身份 和所述當前轉交地址進行簽名���。當所述家鄉(xiāng)代理與所述對端節(jié)點存在共享密鑰時�,所述驗證信息可以根 據(jù)所述共享密鑰以及所述移動節(jié)點的身份和所述當前轉交地址的內(nèi)容生成消 息鑒別碼(MAC���, Message Authentication Code)�,例如�����,所述驗證信息可以 為�����,Authentication Data=PRF ( Kbm, Mobility Data, Other Parameter),其中 PRF可以為HMAC函數(shù)����;Kbm可以是預共享秘密(pre-master-secret),也可 以是雙方根據(jù)pre-master-secret衍生出的共享密鑰��;Mobility Data應包括需要更 新綁定的移動節(jié)點的身份信息及其當前CoA; Other Parameter可以由時間戳����、 隨機數(shù)等構成,以區(qū)別不同的驗證信息���,可以起到防重放攻擊的作用�����?����;蛘?所述驗證信息可以根據(jù)所述共享密鑰對所述移動節(jié)點的身份和所述當前轉交 ;也址進4于加密���。步驟303��、所述對端節(jié)點對所述移動節(jié)點的身份和所述當前轉交地址進行 驗證����,驗證通過后��,根據(jù)所述當前轉交地址更新本地數(shù)據(jù)庫���;當所述家鄉(xiāng)代理與所述對端節(jié)點不存在共享密鑰時��,所述移動節(jié)點可以 根據(jù)所述代理綁定消息從DNS獲取所述家鄉(xiāng)代理的公鑰�,通過所述公鑰來驗證所述簽名的正確性�����。例如當對端節(jié)點所收到驗證信息為Authentication Data=SIG ( Mobility Data, Other Parameter )�����,對端節(jié)點從所述代理綁定消息 中獲取家鄉(xiāng)代理的簽名,并根據(jù)家鄉(xiāng)代理的公鑰在DNS中的具體資源記錄名 與類型到DNS中獲取家鄉(xiāng)代理的公鑰�����,通過公鑰來驗證家鄉(xiāng)代理簽名的正確 性��。驗證通過后��,利用該公鑰驗證Authentication Data�。此外�,當家鄉(xiāng)代理存 儲在DNS中的可以不是公鑰,而是公鑰指紋(Fingerprint)時���,這樣���,所述對 端節(jié)點根據(jù)所述代理綁定消息從所述DNS獲取所述家鄉(xiāng)代理的公鑰指紋,通 過所述公鑰指紋對所述公鑰進行驗證����,驗證通過后,通過所述公鑰來驗證所 述簽名的正確性����。當所述家鄉(xiāng)代理與所述對端節(jié)點存在共享密鑰時�����,所述對端節(jié)點根據(jù)本 地存儲的共享密鑰對所述代理綁定消息的驗證信息進行驗證��。例如����,當對端 節(jié)點所收到的馬全i正信息為Authentication Data=PRF ( Kbm, Mobility Data, Other Parameter )��,對端節(jié)點對所述代理綁定消息中的Kbm進行驗證����。如果 Kbm是預共享秘密,則對端節(jié)點根據(jù)本地存儲的預共享秘密對所述代理綁定 消息中的Kbm進行驗證�����;如果Kbm是共享密鑰�����,則對端節(jié)點根據(jù)本地存儲的 共享密鑰對所述綁定更新消息中的Kbm進行驗證��。當驗證通過后,對端節(jié)點根據(jù)所述代理綁定消息中的Mobility Data對本 地數(shù)據(jù)庫進行更新�。步驟304、所述對端節(jié)點返回綁定確認消息給所述移動節(jié)點�����; 在本發(fā)明實施例的具體實現(xiàn)時���,對端節(jié)點可以直接將BA消息反饋給移動 節(jié)點,相應地�����,為了家鄉(xiāng)代理確保對端節(jié)點收到所述代理綁定消息��,對端節(jié) 點可以收到所述代理綁定消息后���,回復響應消息給家鄉(xiāng)代理�,以便告知家鄉(xiāng) 代理已收到所述代理綁定消息�����。此外�,所述對端節(jié)點也可以發(fā)送綁定確認消 息給所述家鄉(xiāng)代理���;所述家鄉(xiāng)代理反饋所述綁定確認消息發(fā)送給所述移動節(jié) 點。此外�,當對端節(jié)點通過家鄉(xiāng)代理將所述綁定確認消息給移動節(jié)點時,如 果對端節(jié)點與家鄉(xiāng)代理之間不存在共享密鑰�,對端節(jié)點希望與該代理家鄉(xiāng)代 理之間建立共享密鑰時,則BA消息中可以包含由對端節(jié)點建立的共享密鑰 (SK; Shared-key)生成選項���,例如該選項中可以包含由對端節(jié)點隨^^產(chǎn) 生的以加密方式存在的pre-master-secret,加密密鑰為家鄉(xiāng)fC理的〃^鑰��。此 外���,對端節(jié)點也可以在BA消息中包含預共享秘密,這樣�,以后對端節(jié)點與家 鄉(xiāng)代理可以通過預共享秘密來對所述移動節(jié)點的身份和所述當前轉交地址進 行驗證。動節(jié)點���,也可以提取所述BA消息中的部分內(nèi)容�����,構造新的BA來發(fā)給移動節(jié) 點��,例如當所述BA中含有共享密鑰生成選項時�,家鄉(xiāng)代理可以將所述預共 享密鑰生成選項存儲到本地數(shù)據(jù)庫,然后將其余內(nèi)容發(fā)送給移動節(jié)點���,具體 發(fā)送給移動節(jié)點的內(nèi)容可以根據(jù)實際的需要靈活配置����,本發(fā)明實施例不做限 定���。步驟305 ���、所述移動節(jié)點通過所述當前轉交地址與所述對端節(jié)點進行通信���。當移動節(jié)點收到家鄉(xiāng)代理反饋的所述BA消息后����,移動節(jié)點與對端節(jié)點之 間的路由優(yōu)化建立����,移動節(jié)點通過所述當前CoA與對端節(jié)點進行通信。這 樣�,移動節(jié)點發(fā)給對端節(jié)點的消息中,源地址是所述當前CoA��,目的地址是 對端節(jié)點;當對端節(jié)點發(fā)給移動節(jié)點的消息中�����,源地址是對端節(jié)點��,目的地 址是所述當前CoA�。需要說明的是,本發(fā)明實施例中提到的域名解析服務器DNS也可以通過 域名解析服務器安全擴展(DNSSEC: Domain Name System Security)來實 現(xiàn)���,由于DNSSEC是DNS的安全擴展�,它是通過區(qū)簽名的方式來對資源記錄 進行數(shù)據(jù)源認證及完整性保護���。采用DNS還是DNSSEC可以由BU的安全需求 來決定��,如果采用DNSSEC����,家鄉(xiāng)代理所在區(qū)域的權威服務器需要利用該區(qū) 域的私鑰對資源記錄進行簽名�����,生成簽名記錄����。此外���,此處的DNS或 DNSSEC也可以由能起到相同作用的存儲單元來完成。此外��,本發(fā)明實施例還提供一種節(jié)點間安全通信的系統(tǒng)���,包括移動節(jié) 點���,用于發(fā)送綁定請求,所述綁定請求中包含當前轉交地址和所需更新的對 端節(jié)點�����;家鄉(xiāng)代理�����,用于接收所述綁定請求���,并發(fā)送代理綁定消息;對端節(jié) 點��,用于對所述移動節(jié)點的身份和所述當前轉交地址進行驗證,驗證通過 后�����,根據(jù)所述當前轉交地址更新本地數(shù)據(jù)庫��。所述對端節(jié)點還包括綁定確 認模塊�����,用于返回綁定確認消息給移動節(jié)點����。所述代理綁定消息中包含所述 移動節(jié)點的身份及所述當前轉交地址和驗證信息,所述驗證信息為所述家鄉(xiāng) 代理通過私鑰對所述移動節(jié)點的身份和所述當前轉交地址進行簽名���;還包 括安全存儲單元��,用于存儲所述家鄉(xiāng)代理的公鑰����;相應地����,所述對端節(jié)點 具體包括公鑰獲取模塊����,用于根據(jù)所述代理綁定消息從所述安全存儲單元 中獲取所述家鄉(xiāng)代理的公鑰�;驗證模塊,用于通過所述公鑰來驗證所述簽名 的正確性�。需要說明的是,公鑰獲取模塊也可以內(nèi)嵌于驗證模塊�。具體的模 塊實現(xiàn)方式本發(fā)明不做限定。所述的安全存儲單元為域名解析服務器或域名 解析服務器安全擴展�。此外,本發(fā)明實施例提供另一種節(jié)點間安全通信的系統(tǒng)�,包括移動節(jié) 點,用于發(fā)送綁定請求���,所述綁定請求中包含當前轉交地址和所需更新的對 端節(jié)點��;家鄉(xiāng)代理�,用于接收所述綁定請求����,并發(fā)送代理綁定消息����;對端節(jié) 點���,用于對所述移動節(jié)點的身份和所述當前轉交地址進行^r證,驗證通過 后�����,根據(jù)所述當前轉交地址更新本地數(shù)據(jù)庫�����。所述對端節(jié)點還包括綁定確認模塊��,用于返回綁定確認消息給移動節(jié)點����。所述代理綁定消息中包含所述 移動節(jié)點的身份、所述當前轉交地址���、所述家鄉(xiāng)代理的公鑰和驗證信息��,所 述驗證信息為所述家鄉(xiāng)代理通過私鑰對所述移動節(jié)點的身份和所述當前轉交地址進行簽名���;相應地,所屬系統(tǒng)中還包括安全存儲單元,用于存儲所述家 鄉(xiāng)代理的公鑰�;所述對端節(jié)點具體包括公鑰指紋獲取模塊,用于根據(jù)所述 代理綁定消息從所述安全存儲單元中獲取所述家鄉(xiāng)代理的公鑰指紋����;驗證模 塊,用于通過所述公鑰指紋來驗證所述公鑰的正確性�,通過驗證過的所述公 鑰來驗證所述簽名的正確性。所述的安全存儲單元為域名解析服務器或域名 解析服務器安全擴展����。需要說明的是,公鑰指紋獲取模塊也可以內(nèi)嵌于驗證 模塊��。具體的模塊實現(xiàn)方式本發(fā)明不做限定���。當所述家鄉(xiāng)代理與所述對端節(jié)點存在共享密鑰時�,所述代理綁定消息包 含所述移動節(jié)點的身份及所述當前轉交地址和馬全證信息��,所述驗證信息為所 述家鄉(xiāng)代理通過所述共享密鑰對所述移動節(jié)點的身份和所述當前轉交地址進 行加密�����;或者所述驗證信息為所述家鄉(xiāng)代理通過所述共享密鑰以及所述移動 節(jié)點的身份和所述當前轉交地址生成消息鑒別碼��。所述對所述移動節(jié)點的身 份和所述當前轉交地址進行驗證具體包括根據(jù)述對端節(jié)點的本地存儲的共 享密鑰對所述移動節(jié)點的身份和所述當前轉交地址進行驗證����。由上述本發(fā)明實施例提供的技術方案可以看出,本發(fā)明實施例通過用密 碼學保護家鄉(xiāng)代理與對端節(jié)點之間的通信�,能夠?qū)?jié)點的身份進行驗證,為節(jié)點間的通信提供了更好的安全保障�。本領域普通技術人員可以理解上述實施例方法中的全部或部分步驟是可 以通過程序來指令相關的硬件來完成,所述的程序可以存儲于一計算機可讀取存儲介質(zhì)中�,所述的存儲介質(zhì),如ROM/RAM����、磁碟,光盤等��。以上所述���,僅為本發(fā)明較佳的具體實施方式
�����,但本發(fā)明的保護范圍并不 局限于此����,任何熟悉該技術的人在本發(fā)明所揭露的技術范圍內(nèi),可輕易想到 的變化或替換����,都應涵蓋在本發(fā)明的保護范圍之內(nèi)。
權利要求
1�����、一種節(jié)點間安全通信的方法�����,其特征在于�����,包括移動節(jié)點發(fā)送綁定請求給家鄉(xiāng)代理����,所述綁定請求中包含當前轉交地址和所需更新的對端節(jié)點;所述家鄉(xiāng)代理發(fā)送代理綁定消息給所述對端節(jié)點�����,所述代理綁定消息中包含所述移動節(jié)點的身份及所述當前轉交地址和驗證信息�����;所述對端節(jié)點對所述移動節(jié)點的身份和所述當前轉交地址進行驗證,驗證通過后��,根據(jù)所述當前轉交地址更新本地數(shù)據(jù)庫����;所述對端節(jié)點返回綁定確認消息給所述移動節(jié)點�;所述移動節(jié)點通過所述當前轉交地址與所述對端節(jié)點進行通信。
2�、 根據(jù)權利要求l所述的方法,其特征在于���,所述綁定請求包括綁定 更新請求或綁定注冊請求�����;相應地����,所述代理綁定消息包括代理綁定更新請求或代理綁定注冊請求���。
3����、 根據(jù)權利要求1或2所述的方法,其特征在于���,當所述家鄉(xiāng)代理與所述 對端節(jié)點不存在共享密鑰時��,所述代理綁定消息中含有所述家鄉(xiāng)代理的公鑰 在安全存儲單元的具體資源記錄名和類型���;所述驗證信息為所述家鄉(xiāng)代理通 過私鑰對所述移動節(jié)點的身^^和所述當前轉交地址進行簽名。
4�、 根據(jù)權利要求3所述的方法,其特征在于�,所述所述對端節(jié)點對所述 移動節(jié)點的身份和所述當前轉交地址進行驗證具體包括所述對端節(jié)點根據(jù) 所述代理綁定消息從所述安全存儲單元獲取所述家鄉(xiāng)代理的公鑰,通過所述 公鑰來驗證所述簽名的正確性��。
5��、 根據(jù)權利要求1或2所述的方法�����,其特征在于�����,當所述家鄉(xiāng)代理與所述 對端節(jié)點不存在共享密鑰時,所述代理綁定消息中含有所述家鄉(xiāng)代理的公鑰以及所述家鄉(xiāng)代理的公鑰指紋在安全存儲單元的具體資源記錄名和類型��;所 述驗證信息為所述家鄉(xiāng)代理通過所述私鑰對所述移動節(jié)點的身份和所述當前 轉交地址進行簽名����。
6、 根據(jù)權利要求5所述的方法��,其特征在于����,所述所述對端節(jié)點對所述 移動節(jié)點的身份和所述當前轉交地址進行驗證具體包括所述對端節(jié)點根據(jù) 所述代理綁定消息從所述安全存儲單元獲取所迷家鄉(xiāng)代理的公鑰指紋���,通過 所述公鑰指紋對所述公鑰進行驗證����,驗證通過后�����,通過所述公鑰來驗證所述 簽名的正確性�。
7、 根據(jù)權利要求3所述的方法�����,其特征在于,所述安全存儲單元為域名 解析服務器或域名解析服務器安全擴展����。
8、 根據(jù)權利要求5所述的方法�����,其特征在于���,所述安全存儲單元為域 名解析服務器或域名解析服務器安全擴展��。
9�、 根據(jù)權利要求1或2所述的方法����,其特征在于,當所述家鄉(xiāng)代理與所 述對端節(jié)點存在共享密鑰時����,所述驗證信息為所述家鄉(xiāng)代理通過所述共享密 鑰對所述移動節(jié)點的身份和所述當前轉交地址進行加密;或者所述驗證信息 為所述家鄉(xiāng)代理通過所述共享密鑰以及所述移動節(jié)點的身份和所述當前轉交 地址生成的消息鑒別碼。
10�、 根據(jù)權利要求9所述的方法,其特征在于�,所述所述對端節(jié)點對所 述移動節(jié)點的身份和所述當前轉交地址進行驗證具體包括所述對端節(jié)點根 據(jù)本地存儲的共享密鑰對所述移動節(jié)點的身份和所述當前轉交地址進行驗 證。
11�����、根據(jù)權利要求l所述的方法���,其特征在于�����,所述所述對端節(jié)點返回 綁定確認消息給所述移動節(jié)點具體包括所述對端節(jié)點發(fā)送綁定確認消息給 所述家鄉(xiāng)代理;所述家鄉(xiāng)代理反饋所述綁定確認消息發(fā)送給所述移動節(jié)點��。
12��、根據(jù)權利要求l或l 1所述的方法�����,其特征在于�,所述綁定確認消 息包括由所述對端節(jié)點建立的共享密鑰信息。
13、 根據(jù)權利要求l 2所述的方法����,其特征在于,所述所述家鄉(xiāng)代理反 饋所述綁定確認消息給所述移動節(jié)點具體包括所述家鄉(xiāng)代理將所述綁定確 認消息發(fā)送給所述移動節(jié)點�;或所述家鄉(xiāng)代理提取所述共享密鑰信息存儲在移動節(jié)點。
14��、 一種節(jié)點間安全通信的系統(tǒng)�����,其特征在于�,包括移動節(jié)點,用于發(fā)送綁定請求����,所述綁定請求中包含當前轉交地址和所 需更新的對端節(jié)點;家鄉(xiāng)代理���,用于接收所述綁定請求���,并發(fā)送代理綁定消息,所述代理綁 定消息中包含所述移動節(jié)點的身份及所述當前轉交地址和驗證信息���;對端節(jié)點����,用于對所述移動節(jié)點的身份和所述當前轉交地址進行驗證, 驗證通過后�,根據(jù)所述當前轉交地址更新本地數(shù)據(jù)庫。
15�、 根據(jù)權利要求14所述的系統(tǒng),其特征在于�����,所述對端節(jié)點還包括綁定確認模塊�,用于返回綁定確認消息給移動節(jié)點。
16��、 根據(jù)權利要求l 5所述的系統(tǒng)�,其特征在于,所述驗證信息為所述 家鄉(xiāng)代理通過私鑰對所述移動節(jié)點的身份和所述當前轉交地址進行簽名���; 還包括安全存儲單元,用于存儲所述家鄉(xiāng)代理的公鑰����; 相應地,所述對端節(jié)點具體包括公鑰獲取模塊,用于根據(jù)所述代理綁定消息從所述安全存儲單元中獲取 所述家鄉(xiāng)代理的公鑰�;第一驗證模塊,用于通過所述公鑰來驗證所述簽名的正確性�。
17、根據(jù)權利要求l 4所述的系統(tǒng)�����,其特征在于�,所述代理綁定消息中 還包含所述家鄉(xiāng)代理的公鑰;所述驗證信息為所述家鄉(xiāng)代理通過私鑰對所述 移動節(jié)點的身份和所述當前轉交地址進行簽名�;還包括安全存儲單元,用于存儲所述家鄉(xiāng)代理的公鑰����;所述對端節(jié)點具體包括公鑰指紋獲取模塊,用于根據(jù)所述代理綁定消息從所述安全存儲單元中 獲取所述家鄉(xiāng)代理的公鑰指紋���;第二驗證模塊���,用于通過所述公鑰指紋來驗證所述公鑰的正確性,通過 驗證過的所述公鑰來驗證所述簽名的正確性�����。
18 、根據(jù)權利要求l 6或l 7所述的系統(tǒng)�����,其特征在于�,所述的安全存儲單元為域名解析服務器或域名解析服務器安全擴展。
19 ��、根據(jù)權利要求l 4所述的系統(tǒng)�,其特征在于,當所述家鄉(xiāng)代理與所 述對端節(jié)點存在共享密鑰時��,所述驗證信息為所述家鄉(xiāng)代理通過所述共享密 鑰對所述移動節(jié)點的身份和所述當前轉交地址進行加密����;或者所述驗證信息 為所述家鄉(xiāng)代理通過所述共享密鑰以及所述移動節(jié)點的身^f分和所述當前轉交 地址生成消息鑒別碼。
20���、根據(jù)權利要求l 9所述的系統(tǒng)�����,其特征在于,所述對端節(jié)點具體包 括第三驗證模塊��,根據(jù)所述對端節(jié)點的本地存儲的共享密鑰對所述移動節(jié) 點的身份和所述當前轉交地址進行驗證。
全文摘要
本發(fā)明實施例公開了一種節(jié)點間安全通信的方法和系統(tǒng)��,包括移動節(jié)點發(fā)送綁定請求給家鄉(xiāng)代理��,所述綁定請求中包含當前轉交地址和所需更新的對端節(jié)點�;所述家鄉(xiāng)代理發(fā)送代理綁定消息給所述對端節(jié)點,所述代理綁定消息中包含所述移動節(jié)點的身份及所述當前轉交地址和驗證信息���;所述對端節(jié)點對所述移動節(jié)點的身份和所述當前轉交地址進行驗證�����,驗證通過后�,根據(jù)所述當前轉交地址更新本地數(shù)據(jù)庫����;所述對端節(jié)點返回綁定確認消息給所述移動節(jié)點;所述移動節(jié)點通過所述當前轉交地址與所述對端節(jié)點進行通信���。本發(fā)明實施例通過用密碼學保護家鄉(xiāng)代理與對端節(jié)點之間的通信�,能夠?qū)?jié)點的身份進行驗證�,為節(jié)點間的通信提供了更好的安全保障。
文檔編號H04L9/32GK101330438SQ20071007611
公開日2008年12月24日 申請日期2007年6月21日 優(yōu)先權日2007年6月21日
發(fā)明者潘云波 申請人:華為技術有限公司