專利名稱:生成轉(zhuǎn)交地址及提高路由優(yōu)化安全性的方法����、裝置和系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及移動通信領(lǐng)域,特別涉及一種生成轉(zhuǎn)交地址的方法和裝置與一種提高路由優(yōu) 化安全性的方法和系統(tǒng)�。
背景技術(shù):
隨著計算機網(wǎng)絡(luò)技術(shù)和移動通信技術(shù)的快速發(fā)展,對網(wǎng)絡(luò)提供移動性提出了需求�,移動 IPV6是一種在網(wǎng)絡(luò)層解決移動性的方案。移動IPv6中有三種基本的網(wǎng)絡(luò)實體MN (Mobile Node,移動節(jié)點)���、CN (CorrespondentNode,通信節(jié)點或通信對端)以及HA (HomeAgent����, 家鄉(xiāng)代理)����。 一個移動節(jié)點可以通過HoA (Home Address,家鄉(xiāng)地址)唯一的識別出,HoA 是分配給移動節(jié)點的一個全局單播可路由地址�。移動IPv6規(guī)范要求,移動節(jié)點從一條鏈路移 動到另一鏈路的過程中�,不中斷使用家鄉(xiāng)地址正在進行的通信�,節(jié)點的移動性對傳輸層和其 它高層協(xié)議都是透明的���。
當移動節(jié)點漫游到外地網(wǎng)絡(luò)時��,會通過一定方式生成CoA (Care of Address,轉(zhuǎn)交地址)�����, 并通過BU (Binding Update,綁定更新消息)通知家鄉(xiāng)代理。家鄉(xiāng)代理會截獲發(fā)送到移動節(jié) 點家鄉(xiāng)網(wǎng)絡(luò)與移動節(jié)點進行通信的報文��,再通過隧道模式轉(zhuǎn)發(fā)給移動節(jié)點���;當移動節(jié)點向通 信節(jié)點發(fā)送報文時�����,對報文進行隧道封裝后發(fā)送到家鄉(xiāng)代理���,家鄉(xiāng)代理對隧道報文進行解封 裝后轉(zhuǎn)發(fā)給通信節(jié)點,通信節(jié)點收到后�����,返回BA (BindingAcknowledge,綁定確認)消息, 對BU消息進行確認�。這種移動節(jié)點和通信節(jié)點經(jīng)過家鄉(xiāng)代理中轉(zhuǎn)的通信方式被稱為三角路 由模式。三角路由模式會增加通信時延��,存在與移動節(jié)點通信的報文頭部開銷大�����,增加了移 動節(jié)點家鄉(xiāng)鏈路的負擔��,以及路由可能不夠優(yōu)化等問題�����。移動節(jié)點和通信節(jié)點的另外一種通 信方式為路由優(yōu)化模式���,即通過BU將移動節(jié)點當前的位置信息(即CoA)告訴通信節(jié)點����, 通信節(jié)點和移動節(jié)點之間不經(jīng)過家鄉(xiāng)代理中轉(zhuǎn)而是直接進行通信��。路由優(yōu)化模式下若BU消 息沒有受到保護���,移動節(jié)點和通信節(jié)點間的通信很容易受到攻擊���。例如����,攻擊者用一個偽造 的CoA代替BU消息中的CoA����,移動節(jié)點就無法收到通信節(jié)點發(fā)送的報文;攻擊者也可以重 放移動節(jié)點先前發(fā)送的BU消息����,通信節(jié)點接受后�����,會按照BU消息中的舊地址發(fā)送數(shù)據(jù)包����, 而不是其當前位置;若不對CoA進行檢查�����,惡意節(jié)點還可以偽造BU消息將一個受害節(jié)點地
址作為CoA����,從而引發(fā)通信節(jié)點發(fā)送大量的數(shù)據(jù)至受害節(jié)點���。
現(xiàn)有技術(shù)中一個移動IPv6節(jié)點生成轉(zhuǎn)交地址時,其中的接口標識可以采用隨意選擇一個 數(shù)據(jù)作為接口標識的方式���,也可以采用根據(jù)移動節(jié)點的MAC地址生成一個接口標識的方式�。 在實現(xiàn)本發(fā)明過程中��,發(fā)明人發(fā)現(xiàn)上述生成轉(zhuǎn)交地址的現(xiàn)有技術(shù)中至少存在如下問題對于 隨意選擇一個數(shù)據(jù)作為接口標識的方式��,通信節(jié)點得不到轉(zhuǎn)交地址的驗證信息�����;對于通過 MAC地址生成接口標識及轉(zhuǎn)交地址的方式��,當通信節(jié)點與移動節(jié)點不在同一子網(wǎng)的情形下�����, 由移動節(jié)點發(fā)送到通信節(jié)點的報文頭部中也沒有攜帶移動節(jié)點的MAC地址���,所以通信節(jié)點 也無法驗證轉(zhuǎn)交地址��;由于無法驗證轉(zhuǎn)交地址���,則移動節(jié)點和通信節(jié)點進行通信時會很不安 全���,如通信節(jié)點將數(shù)據(jù)發(fā)往錯誤的轉(zhuǎn)交地址等等。
為了提高路由優(yōu)化的安全性���,目前存在一種現(xiàn)有技術(shù)�����,通過使用RRP (ReturnRoutability Procedure,返回路由可達過程)的方法生成Kbm (Binding Management Key,綁定管理密鑰)�����, 使用Kbm保護MN和CN之間的BU與BA消息。當MN與CN進行路由優(yōu)化模式通信時����, 先執(zhí)行返回路由可達過程,然后生成Kbm��,在進行對端注冊時��,用Kbm生成綁定授權(quán)數(shù)據(jù) 保護BU和BA的完整性。參見圖l���,返回路由可達過程具體如下
MN向CN發(fā)送HoTI (Home Test Init�����,家鄉(xiāng)測試初始)消息����,該消息的內(nèi)層源IP地址為 HoA (通過隧道方式由家鄉(xiāng)代理轉(zhuǎn)發(fā)給CN)�����,并請求獲得家鄉(xiāng)秘密生成令牌(Home Keygen Token),其中還可以攜帶cookie (MN生成的隨機數(shù)-小甜點)�����。CN收到HoTI消息后����,按下 面的方法計算家鄉(xiāng)秘密生成令牌
Home Keygen Token = First (64, HMAC-SHA1 (Ken, HoA | Nonce | O));
其中Ken是只有CN才知道的秘密,Nonce是由CN生成的隨機數(shù)����。生成家鄉(xiāng)秘密生成 令牌后���,CN把家鄉(xiāng)秘密生成令牌放在HoT (Home Test,家鄉(xiāng)測試)消息(即對HoTI消息 的響應消息)中發(fā)送給MN,同時也會將收到的HoTI消息中的cookie放在HoT消息中�����。
另外��,MN還向CN發(fā)送CoTI (Care of Test Init�,轉(zhuǎn)交測試初始)消息,將MN的CoA 傳給CN���,并請求獲得轉(zhuǎn)交秘密生成令牌(Care-of Keygen Token),其中也可以攜帶cookie���。 CN收到CoTI消息后,按下面的方法計算轉(zhuǎn)交秘密生成令牌
Care-of Keygen Token = First (64, HMAC-SHA1 (Ken, CoA | Nonce | 1));
其中Ken與Nonce的值同上�。生成轉(zhuǎn)交秘密生成令牌后,CN把轉(zhuǎn)交秘密生成令牌放在 CoT (CareofTest�,轉(zhuǎn)交測試)消息(即對CoTI消息的響應消息)中發(fā)送給MN�����,同時也會 將收到的cookie放在CoT消息中發(fā)過去����。
MN收到CN返回的HoT和CoT消息后�,分別進行cookie檢查���,驗證通過后���,從HoT
中取出家鄉(xiāng)秘密生成令牌,從CoT中取出轉(zhuǎn)交秘密生成令牌��,然后按照如下方法計算出Kbm: Kbm = SHA1 (Home Keygen Token | Care-ofKeygen Token)�。
當MN向CN發(fā)起對端注冊時,用上述Kbm生成MAC (Message Authentication Code, 消息鑒別碼)�,作為綁定授權(quán)數(shù)據(jù)放在BU消息中,CN收到BU消息后�,用同樣的方法生成 Kbm,進而生成MAC���,來驗證BU消息中的MAC���,從而判別出收到的BU消息的正確性。
當MN向CN注銷綁定關(guān)系時����,在返回路由可達過程中可以只執(zhí)行HoTI和HoT���,則CN 只生成家鄉(xiāng)秘密生成令牌,且MN與CN按照如下方法計算出Kbm:
Kbm = SHA1 (Home Keygen Token);
然后用生成的Kbm來生成BU消息中的MAC,作為對BU消息的驗證���。 在實現(xiàn)本發(fā)明過程中�,發(fā)明人發(fā)現(xiàn)上述現(xiàn)有技術(shù)中至少存在如下問題 在返回路由可達過程結(jié)束后�����,MN還沒有發(fā)送BU消息將HoA與CoA進行綁定之前��,攻 擊者可以通過非法獲取HoT消息和CoT消息���,并用同樣的方法來計算生成Kbm���,從而偽造 BU消息,導致CN將數(shù)據(jù)發(fā)向錯誤的地址���。例如����,攻擊者竊聽到CN發(fā)給MNa的CoT消息��, 并提取出轉(zhuǎn)交秘密生成令牌�����,竊聽到CN發(fā)給MNb的HoT消息����,并提取出家鄉(xiāng)秘密生成令 牌,然后計算出Kbm����,并將CoAa與HoTb綁定向CN發(fā)送BU消息,該BU可以被CN驗證 通過并接受��,因此CN通過路由優(yōu)化發(fā)送到MNb的流量被重定向到了MNa��,導致數(shù)據(jù)傳輸 的安全性降低���。
發(fā)明內(nèi)容
為了提高生成轉(zhuǎn)交地址的安全性���,本發(fā)明實施例提供了一種生成轉(zhuǎn)交地址的方法和裝置。
所述技術(shù)方案如下
一種生成轉(zhuǎn)交地址的方法�����,所述方法包括
以移動節(jié)點的家鄉(xiāng)地址為輸入通過單向函數(shù)運算生成接口標識; 將所述接口標識與所述移動節(jié)點訪問的外部網(wǎng)絡(luò)的前綴結(jié)合生成轉(zhuǎn)交地址�。 一種生成轉(zhuǎn)交地址的裝置,所述裝置包括
接口標識生成模塊����,用于以移動節(jié)點的家鄉(xiāng)地址為輸入通過單向函數(shù)運算生成接口標識; 轉(zhuǎn)交地址生成模塊����,用于將所述接口標識生成模塊生成的接口標識與所述移動節(jié)點訪問 的外部網(wǎng)絡(luò)的前綴結(jié)合生成轉(zhuǎn)交地址。 上述技術(shù)方案具有如下有益效果
通過以移動節(jié)點MN的家鄉(xiāng)地址HoA為輸入����,并利用單向函數(shù)運算生成接口標識以及轉(zhuǎn)
交地址CoA,使CN可以得到轉(zhuǎn)交地址的驗證信息��,限制了因移動機制誤用而導致的攻擊���, 提高了移動IPv6的CoA的安全性����。
為了提高路由優(yōu)化通信的安全性�,本發(fā)明實施例提供了一種提高路由優(yōu)化安全性的方法 和系統(tǒng)�����。所述技術(shù)方案如下
一方面,本發(fā)明實施例提供了一種提高路由優(yōu)化安全性的方法���,所述方法包括
移動節(jié)點以家鄉(xiāng)地址為輸入通過單向函數(shù)運算生成接口標識�����;
所述移動節(jié)點將所述接口標識與所述移動節(jié)點訪問的外部網(wǎng)絡(luò)的前綴結(jié)合生成轉(zhuǎn)交地
址����;
所述移動節(jié)點和通信節(jié)點使用所述家鄉(xiāng)地址和轉(zhuǎn)交地址執(zhí)行返回路由可達過程�,然后分
別生成相同的綁定管理密鑰;
所述移動節(jié)點和通信節(jié)點分別用自己生成的綁定管理密鑰生成綁定授權(quán)數(shù)據(jù)���; 所述移動節(jié)點發(fā)送包含所述家鄉(xiāng)地址�����、轉(zhuǎn)交地址和自己生成的綁定授權(quán)數(shù)據(jù)的綁定更新
消息給通信節(jié)點��;
所述通信節(jié)點收到所述綁定更新消息后�����,驗證所述綁定更新消息中的綁定授權(quán)數(shù)據(jù)���,如 果與自己生成的綁定授權(quán)數(shù)據(jù)一致�,則允許所述移動節(jié)點與通信節(jié)點進行路由優(yōu)化模式下的 通信�����。
另一方面��,本發(fā)明實施例還提供了一種提高路由優(yōu)化安全性的方法���,所述方法包括 移動節(jié)點以家鄉(xiāng)地址為輸入通過單向函數(shù)運算生成接口標識����,所述家鄉(xiāng)地址通過密碼學 方法生成�;
所述移動節(jié)點將所述接口標識與所述移動節(jié)點訪問的外部網(wǎng)絡(luò)的前綴結(jié)合生成轉(zhuǎn)交地
址;
所述移動節(jié)點和通信節(jié)點使用所述家鄉(xiāng)地址和轉(zhuǎn)交地址執(zhí)行返回路由可達過程�����; 所述移動節(jié)點用自己的私鑰簽名綁定更新消息�����,作為所述綁定更新消息的綁定授權(quán)數(shù)據(jù); 所述移動節(jié)點發(fā)送包含所述家鄉(xiāng)地址��、轉(zhuǎn)交地址和綁定授權(quán)數(shù)據(jù)的所述綁定更新消息給
通信節(jié)點����,并在所述綁定更新消息中攜帶所述移動節(jié)點的公鑰����;
所述通信節(jié)點收到所述綁定更新消息后,提取出所述移動節(jié)點的公鑰���,用所述移動節(jié)點
的公鑰驗證所述綁定更新消息中的綁定授權(quán)數(shù)據(jù)����,如果驗證通過�,則允許所述移動節(jié)點與通
信節(jié)點進行路由優(yōu)化模式下的通信。
一方面���,本發(fā)明實施例提供了一種提高路由優(yōu)化安全性的系統(tǒng)����,所述系統(tǒng)包括移動節(jié)點
和通信節(jié)點,所述移動節(jié)點包括
轉(zhuǎn)交地址生成模塊��,用于以所述移動節(jié)點的家鄉(xiāng)地址為輸入通過單向函數(shù)運算生成接口 標識�;將所述接口標識與所述移動節(jié)點訪問的外部網(wǎng)絡(luò)的前綴結(jié)合生成轉(zhuǎn)交地址;
密鑰生成模塊����,用于與所述通信節(jié)點一起使用所述家鄉(xiāng)地址和所述轉(zhuǎn)交地址生成模塊生 成的轉(zhuǎn)交地址執(zhí)行返回路由可達過程,然后生成綁定管理密鑰���;
授權(quán)數(shù)據(jù)生成模塊���,用于用所述密鑰生成模塊生成的綁定管理密鑰生成綁定授權(quán)數(shù)據(jù);
發(fā)送模塊���,用于發(fā)送包含所述家鄉(xiāng)地址�����、所述轉(zhuǎn)交地址生成模塊生成的轉(zhuǎn)交地址和所述 授權(quán)數(shù)據(jù)生成模塊生成的綁定授權(quán)數(shù)據(jù)的綁定更新消息給所述通信節(jié)點���;
所述通信節(jié)點包括
密鑰生成模塊,用于與所述移動節(jié)點一起使用所述家鄉(xiāng)地址和所述轉(zhuǎn)交地址生成模塊生 成的轉(zhuǎn)交地址執(zhí)行返回路由可達過程,然后生成與所述移動節(jié)點的密鑰生成模塊生成的綁定 管理密鑰相同的綁定管理密鑰�;
授權(quán)數(shù)據(jù)生成模塊,用于用所述通信節(jié)點的密鑰生成模塊生成的綁定管理密鑰生成綁定 授權(quán)數(shù)據(jù)��;
接收模塊��,用于接收所述發(fā)送模塊發(fā)來的綁定更新消息���;
比對模塊����,用于將所述接收模塊收到的綁定更新消息中的綁定授權(quán)數(shù)據(jù)與所述通信節(jié)點 的授權(quán)數(shù)據(jù)生成模塊生成的綁定授權(quán)數(shù)據(jù)進行比對��;
控制模塊����,用于當所述比對模塊比對的結(jié)果一致時����,允許所述移動節(jié)點與通信節(jié)點進行 路由優(yōu)化模式下的通信。
另一方面��,本發(fā)明實施例還提供了一種提高路由優(yōu)化安全性的系統(tǒng)�����,所述系統(tǒng)包括移動 節(jié)點和通信節(jié)點,所述移動節(jié)點包括
轉(zhuǎn)交地址生成模塊��,用于以所述移動節(jié)點的家鄉(xiāng)地址為輸入通過單向函數(shù)運算生成接口 標識�;將所述接口標識與所述移動節(jié)點訪問的外部網(wǎng)絡(luò)的前綴結(jié)合生成轉(zhuǎn)交地址,所述家鄉(xiāng) 地址通過密碼學方法生成���;
返回路由可達執(zhí)行模塊�,用于與所述通信節(jié)點一起使用所述家鄉(xiāng)地址和所述轉(zhuǎn)交地址生 成模塊生成的轉(zhuǎn)交地址執(zhí)行返回路由可達過程���;
授權(quán)數(shù)據(jù)生成模塊��,用于用所述移動節(jié)點的私鑰簽名綁定更新消息����,作為所述綁定更新 消息的綁定授權(quán)數(shù)據(jù)���;
發(fā)送模塊��,用于發(fā)送包含所述家鄉(xiāng)地址���、所述轉(zhuǎn)交地址生成模塊生成的轉(zhuǎn)交地址和所述 授權(quán)數(shù)據(jù)生成模塊生成的綁定授權(quán)數(shù)據(jù)的所述綁定更新消息給所述通信節(jié)點,并在所述綁定 更新消息中攜帶所述移動節(jié)點的公鑰;
所述通信節(jié)點包括
返回路由可達執(zhí)行模塊���,用于與所述移動節(jié)點一起使用所述家鄉(xiāng)地址和所述轉(zhuǎn)交地址生 成模塊生成的轉(zhuǎn)交地址執(zhí)行返回路由可達過程�;
接收模塊���,用于接收所述發(fā)送模塊發(fā)來的綁定更新消息�;
驗證模塊���,用于提取所述接收模塊收到的綁定更新消息中的所述移動節(jié)點的公鑰���,并用 所述移動節(jié)點的公鑰驗證所述綁定更新消息中的綁定授權(quán)數(shù)據(jù);
控制模塊�����,用于當所述驗證模塊驗證通過時��,允許所述移動節(jié)點與通信節(jié)點進行路由優(yōu) 化模式下的通信����。
上述技術(shù)方案具有如下有益效果-
通過在移動節(jié)點MN的家鄉(xiāng)地址HoA的基礎(chǔ)上生成轉(zhuǎn)交地址CoA�,使用該CoA執(zhí)行返 回路由可達過程RRP;然后計算出綁定管理密鑰Kbm,使用Kbm生成綁定授權(quán)數(shù)據(jù),用染 對BU消息進行驗證�����;當HoA用CGA (Cryptographically Generated Addresses,密碼學方法生 成的地址)方式生成時��,通過使用MN的私鑰簽名BU消息作為綁定授權(quán)數(shù)據(jù)����,來驗證BU 消息;驗證通過后����,MN與CN可以進行路由優(yōu)化模式下的通信,限制了因移動機制誤用而 導致的攻擊���,提高了移動IPv6的路由優(yōu)化模式下通信的安全性��。
圖1是現(xiàn)有技術(shù)中返回路由可達過程示意圖2是本發(fā)明實施例1提供的生成轉(zhuǎn)交地址的方法的流程圖3是本發(fā)明實施例2提供的生成轉(zhuǎn)交地址的裝置的結(jié)構(gòu)圖4是本發(fā)明實施例3提供的提高路由優(yōu)化安全性的方法的流程圖5是本發(fā)明實施例4提供的提高路由優(yōu)化安全性的系統(tǒng)的結(jié)構(gòu)圖6是本發(fā)明實施例5提供的另一種提高路由優(yōu)化安全性的方法的流程圖7是本發(fā)明實施例6提供的另一種提高路由優(yōu)化安全性的系統(tǒng)的結(jié)構(gòu)圖�����。
具體實施例方式
為使本發(fā)明的目的���、技術(shù)方案和優(yōu)點更加清楚���,下面將結(jié)合附圖對本發(fā)明實施方式作進 一步地詳細描述。
本發(fā)明實施例在移動節(jié)點MN的家鄉(xiāng)地址HoA的基礎(chǔ)上生成轉(zhuǎn)交地址CoA�,使用該CoA 執(zhí)行返回路由可達過程RRP,然后計算出綁定管理密鑰Kbm���,使用Kbm生成綁定授權(quán)數(shù)據(jù)���,
用來對BU消息迸行驗證;當HoA用CGA方式生成時�����,通過使用MN的私鑰簽名BU消息 作為綁定授權(quán)數(shù)據(jù)����,來驗證BU消息;驗證通過后��,MN與CN可以進行路由優(yōu)化模式下的通信�。
實施例1
參見圖2����,本發(fā)明實施例提供了一種生成轉(zhuǎn)交地址的方法�,具體包括
步驟101:以MN的HoA為輸入通過單向函數(shù)運算生成標識OID���。
其中�,利用單向函數(shù)PRF (Pseudo Random Function,偽隨機函數(shù))進行運算的公式具體
如下 '
OID = PRF (Expression);
其中Expression可以為MN的HoA�����,也可以為MN所訪問的外部網(wǎng)絡(luò)的網(wǎng)絡(luò)前綴(Subnet Prefix)與HoA的組合�����;PRF是單向密碼學函數(shù)��,它可以是MD5����、 SHA-l、 SHA256或 AES-XCBC-PRF等單向函數(shù)�����。因此上述公式可以有多種形式����,例如
OID = SHA-l (HoA);
或OID = MD5 (HoA I Subnet Prefix)等等�。
步驟102:生成OID后����,MN對OID進行處理得到長度為64bit的接口標識(Interface ID)。 如果OID的長度超過64bit����,處理的方式有多種,例如��,可以按如下公式進行處理后作為 CoA的接口標識
Interface ID = Abs (64�����, n, OID);
即從OID中選取從n bit開始的前64bit作為接口標識Interface ID,第一次生成CoA時可 以選取n-0��,當?shù)刂窙_突時�����,可以通過改變n的值來重新生成接口標識以及相應的CoA;其 中����,n為預先設(shè)置的起始位;
還可以按如下方式進行處理將OID按64bit分成多個塊����,如果劃分過程中最后一塊不 足64bit,則從其它塊中任意取相應長度的內(nèi)容補充成64bit��,假設(shè)將OID劃分為N塊�,分別 為Blockl、 Block2���、 ...�����、 BlockN����,則接口標識可以按如下公式計算
Interface ID = Block l Block2UBlockN;
其中運算符④可以是"與(AND)"���、"或(OR)"或"異或(XOR)"等位邏輯運算符����。 步驟103:生成CoA的接口標識后��,MN將訪問的外部網(wǎng)絡(luò)的前綴Subnet Prefix與接口 標識結(jié)合�,生成MN的CoA��。
當MN的HoA是通過CGA方式生成時��,上述步驟101可以具體為
將MN的HoA與MN的公鑰組合后作為輸入��,或者將MN訪問的外部網(wǎng)絡(luò)的前綴與HoA
和公鑰組合后作為輸入����,通過單向函數(shù)運算生成接口標識��,即Expression中還可以包括MN 的公鑰信息�。
進一步地,在上述方法中還可以增加對生成的CoA執(zhí)行重復地址檢測的步驟
判斷生成的CoA與網(wǎng)絡(luò)中已使用的IP地址是否相同�,如果相同,即發(fā)現(xiàn)地址沖突��,則 按下面的步驟重新生成接口標識Interface ID���,進而重新生成一個可用的CoA:
修改起始位n的值�,在原來的基礎(chǔ)上增加增量���,S卩n= n + increment,其中increment為預 先設(shè)置的增量�,可以為l、 2���、 3�、 4�、 5�����、 6��、 7��、 8����、 16、 32等固定值�,然后用如下公式運算
Interface ID = Abs (64,n, OID)。
本實施例通過以MN的HoA為輸入��,利用單向函數(shù)運算生成接口標識以及CoA���,使CN 可以得到轉(zhuǎn)交地址的驗證信息�,限制了因移動機制誤用而導致的攻擊,提高了移動IPv6的 CoA的安全性���;通過對生成的CoA進行地址檢查����,可以避免網(wǎng)絡(luò)中發(fā)生地址沖突�����。
實施例2
參見圖3����,本發(fā)明實施例提供了一種生成轉(zhuǎn)交地址的裝置,具體包括-
(1) 接口標識生成模塊�����,用于以移動節(jié)點的家鄉(xiāng)地址為輸入通過單向函數(shù)運算生成接口
標識�����;
(2) 轉(zhuǎn)交地址生成模塊�,用于將接口標識生成模塊生成的接口標識與移動節(jié)點訪問的外 部網(wǎng)絡(luò)的前綴結(jié)合生成轉(zhuǎn)交地址。
接口標識生成模塊可以具體包括-
1) 組合單元�,用于將移動節(jié)點訪問的外部網(wǎng)絡(luò)的前綴與移動節(jié)點的家鄉(xiāng).地址進行組合���;
2) 生成單元,用于將組合單元組合后得到的數(shù)據(jù)作為輸入�,通過單向函數(shù)運算生成接口 標識。
當移動節(jié)點的家鄉(xiāng)地址通過密碼學方法生成時�����,接口標識生成模塊可以具體包括-
1) 組合單元����,用于將移動節(jié)點的家鄉(xiāng)地址與移動節(jié)點的公鑰進行組合�,或者將移動節(jié)點 訪問的外部網(wǎng)絡(luò)的前綴與家鄉(xiāng)地址和公鑰進行組合;
2) 生成單元���,用于將組合單元組合后得到的數(shù)據(jù)作為輸入��,通過單向函數(shù)運算生成接口 標識�����。
其中�����,上述裝置還可以包括
長度處理模塊�,用于判斷接口標識生成模塊生成的接口標識的長度是否超過64比特位,
如果是��,則設(shè)置一個起始位����,從起始位開始,取64比特位�����,作為新的接口標識發(fā)送給轉(zhuǎn)交地 址生成模塊��。 其中�,上述裝置也可以包括
長度處理模塊,用于判斷接口標識生成模塊生成的接口標識的長度是否超過64比特位�, 如果是,則將接口標識按64比特位劃分成多個塊��,若最后一塊不足64比特位�,則從其它塊 中任意取相應長度的內(nèi)容補充成64比特位,然后對多個塊進行位邏輯運算���,將運算的結(jié)果作 為新的接口標識發(fā)送給轉(zhuǎn)交地址生成模塊�。
為了避免發(fā)生地址沖突,上述裝置還可以包括
地址檢査模塊�����,用于當轉(zhuǎn)交地址生成模塊生成轉(zhuǎn)交地址后�,判斷轉(zhuǎn)交地址與網(wǎng)絡(luò)中已使 用的IP地址是否相同,如果相同���,則設(shè)置增量����,對長度處理模塊設(shè)置的起始位和增量進行求
和運算�����,以運算的結(jié)果為新的起始位���,取64比特位,作為接口標識并生成新的轉(zhuǎn)交地址��。 本實施例通過接口標識生成模塊以MN的HoA為輸入��,利用單向函數(shù)運算生成接口標識��,
以及轉(zhuǎn)交地址生成模塊根據(jù)該接口標識生成CoA,使CN可以得到轉(zhuǎn)交地址的驗證信息���,限
制了因移動機制誤用而導致的攻擊���,提高了移動IPv6的CoA的安全性;通過地址檢査模塊
對生成的CoA進行地址檢査��,可以避免網(wǎng)絡(luò)中發(fā)生地址沖突����。 實施例3
參見圖4,本發(fā)明實施例提供了一種提高路由優(yōu)化安全性的方法��,具體包括以下步驟
步驟201: MN以HoA為輸入通過單向函數(shù)運算生成接口標識�。
步驟202: MN將接口標識與MN訪問的外部網(wǎng)絡(luò)的前綴結(jié)合生成CoA。
進一步地�����,還可以對生成的CoA執(zhí)行重復地址檢測����,即判斷生成的CoA與網(wǎng)絡(luò)中已使
用的IP地址是否相同,如果相同�,即發(fā)現(xiàn)地址沖突��,則按下面的步驟重新生成接口標識
Interface ID�,進而重新生成一個可用的CoA:
修改初次采用的起始位n的值���,在原來的基礎(chǔ)上增加增量��,即n= n + increment,其中增
量increment可以為1��、 2���、 3、 4���、 5���、 6�����、 7��、 8�、 16�����、 32等固定值���,然后用如下公式運算 Interface ID = Abs (64,n, OID)����。
步驟203: MN和CN均使用MN的HoA和生成的CoA執(zhí)行返回路由可達過程。
當MN首次向CN發(fā)起對端注冊時���,在返回路由可達過程中CN分別生成家鄉(xiāng)秘密生成 令牌和轉(zhuǎn)交秘密生成令牌�,并通過HoT和CoT傳送給MN��。
當MN非首次向CN發(fā)起對端注冊時�����,在返回路由可達過程中可以只執(zhí)行CoTI和CoT�����, 則CN只生成轉(zhuǎn)交秘密生成令牌并通過CoT傳給MN�。
當MN向CN注銷綁定關(guān)系時��,在返回路由可達過程中可以只執(zhí)行HoTI和HoT���,則CN 只生成家鄉(xiāng)秘密生成令牌并通過HoT傳給MN。
步驟204: CN根據(jù)在返回路由可達過程中生成的令牌生成Kbm����, MN根據(jù)從收到的測試 響應消息中提取出的令牌生成Kbm; MN生成的Kbm與CN生成的Kbm相同。 步驟205: MN和CN分別用各自生成的Kbm生成綁定授權(quán)數(shù)據(jù)����。
步驟206: MN向CN發(fā)送包含MN的HoA和CoA的BU消息,并且在BU消息中攜帶 MN生成的綁定授權(quán)數(shù)據(jù)���。
為了避免消耗過多的計算資源�,進一步地����,MN還可以設(shè)置執(zhí)行RRP和發(fā)送BU消息的 最小時間間隔,相應地����,CN也可以根據(jù)需要限制單位時間內(nèi)接受BU消息的最大個數(shù)等等��。
步驟207: CN收到BU消息后,對BU消息中的綁定授權(quán)數(shù)據(jù)進行驗證��,即將CN生成 的綁定授權(quán)數(shù)據(jù)與BU消息中的綁定授權(quán)數(shù)據(jù)進行比對���,如果一致�����,則允許CN和MN進行 路由優(yōu)化模式下的通信�����;如果不一致�����,表明此時CN收到的BU消息不正確��,則不允許MN 與CN進行路由優(yōu)化模式下的通信����。
進一步地�,還可以在CN驗證BU消息中的綁定授權(quán)數(shù)據(jù)(步驟207)之前增加驗證BU 消息中的CoA的步驟,具體如下
CN從收到的BU消息中提取出MN的HoA,并根據(jù)該HoA用與步驟201至步驟202相 同的方法生成一個臨時CoA���,然后比對生成的臨時CoA和BU消息中的CoA是否一致��,如 果一致����,則繼續(xù)進行綁定授權(quán)數(shù)據(jù)的驗證�����;如果不一致�,則說明當前的BU消息有誤,可能 是偽造的BU消息����,則不允許MN與CN進行路由優(yōu)化模式下的通信。
本實施例通過在移動節(jié)點MN的家鄉(xiāng)地址HoA的基礎(chǔ)上生成轉(zhuǎn)交地址CoA��,使用該CoA 執(zhí)行返回路由可達過程RRP���,然后計算出綁定管理密鑰Kbm����,使用Kbm生成綁定授權(quán)數(shù)據(jù), 用來對BU消息進行驗證����,驗證通過后����,MN與CN可以進行路由優(yōu)化模式下的通信,限制了 因移動機制誤用而導致的攻擊�����,從而提高了移動IPv6的路由優(yōu)化模式下通信的安全性�����。在驗 證綁定授權(quán)數(shù)據(jù)之前���,還可以進一步對BU消息中的CoA進行驗證�����,可以進一步提高路由優(yōu) 化模式下通信的安全性�。
實施例4
參見圖5���,本發(fā)明實施例還提供了一種提高路由優(yōu)化安全性的系統(tǒng)���,具體包括移動節(jié)點 和通信節(jié)點�;
移動節(jié)點包括
(1) 轉(zhuǎn)交地址生成模塊�,用于以移動節(jié)點的家鄉(xiāng)地址為輸入通過單向函數(shù)運算生成接口 標識;將接口標識與移動節(jié)點訪問的外部網(wǎng)絡(luò)的前綴結(jié)合生成轉(zhuǎn)交地址�;
(2) 密鑰生成模塊,用于與通信節(jié)點一起使用家鄉(xiāng)地址和轉(zhuǎn)交地址生成模塊生成的轉(zhuǎn)交 地址執(zhí)行返回路由可達過程��,然后生成綁定管理密鑰���;
(3) 授權(quán)數(shù)據(jù)生成模塊��,用于用密鑰生成模塊生成的綁定管理密鑰生成綁定授權(quán)數(shù)據(jù)�����;
(4) 發(fā)送模塊���,用于發(fā)送包含家鄉(xiāng)地址、轉(zhuǎn)交地址生成模塊生成的轉(zhuǎn)交地址和授權(quán)數(shù)據(jù) 生成模塊生成的綁定授權(quán)數(shù)據(jù)的綁定更新消息給通信節(jié)點��;
通信節(jié)點包括
(1) 密鑰生成模塊����,用于與移動節(jié)點一起使用家鄉(xiāng)地址和轉(zhuǎn)交地址生成模塊生成的轉(zhuǎn)交 地址執(zhí)行返回路由可達過程���,然后生成與移動節(jié)點的密鑰生成模塊生成的綁定管理密鑰相同 的綁定管理密鑰;
(2) 授權(quán)數(shù)據(jù)生成模塊�����,用于用通信節(jié)點的密鑰生成模塊生成的綁定管理密鑰生成綁定 授權(quán)數(shù)據(jù)��;
(3) 接收模塊�����,用于接收發(fā)送模塊發(fā)來的綁定更新消息���;
(4) 比對模塊,用于將接收模塊收到的綁定更新消息中的綁定授權(quán)數(shù)據(jù)與通信節(jié)點的授 權(quán)數(shù)據(jù)生成模塊生成的綁定授權(quán)數(shù)據(jù)進行比對�����;
(5) 控制模塊�,用于當比對模塊比對的結(jié)果一致時,允許移動節(jié)點與通信節(jié)點進行路由 優(yōu)化模式下的通信�。
其中����,上述通信節(jié)點還可以包括-
轉(zhuǎn)交地址比對模塊���,用于在比對模塊進行比對之前�����,從接收模塊收到的綁定更新消息中 提取移動節(jié)點的家鄉(xiāng)地址��,并根據(jù)該家鄉(xiāng)地址用與轉(zhuǎn)交地址生成模塊生成轉(zhuǎn)交地址相同的方 法生成一個臨時轉(zhuǎn)交地址����,驗證臨時轉(zhuǎn)交地址與綁定更新消息中的轉(zhuǎn)交地址是否一致�,如果 一致,則觸發(fā)比對模塊工作�����。
本實施例通過轉(zhuǎn)交地址生成模塊在移動節(jié)點MN的家鄉(xiāng)地址HoA的基礎(chǔ)上生成轉(zhuǎn)交地址 CoA�����,由密鑰生成模塊使用該CoA執(zhí)行返回路由可達過程RRP����,然后計算出綁定管理密鑰 Kbm���,由授權(quán)數(shù)據(jù)生成模塊使用Kbm生成綁定授權(quán)數(shù)據(jù),用來對BU消息進行驗證��,驗證通 過后����,MN與CN可以進行路由優(yōu)化模式下的通信�����,限制了因移動機制誤用而導致的攻擊�����, 從而提高了移動IPv6的路由優(yōu)化模式下通信的安全性�����。進一步通過轉(zhuǎn)交地址比對模塊對BU 消息中的CoA進行驗證�����,可以進一步提高路由優(yōu)化模式下通信的安全性。
實施例5
參見圖6��,本發(fā)明實施例提供了一種提高路由優(yōu)化安全性的方法�,具體包括以下步驟 步驟301: MN以HoA為輸入通過單向函數(shù)運算生成接口標識,其中HoA是基于CGA 方式生成的�。
另夕卜,MN還可以將MN所訪問的外部網(wǎng)絡(luò)的網(wǎng)絡(luò)前綴(Subnet Prefix)和MN的公鑰與 HoA組合作為輸入��,通過單向函數(shù)運算生成接口標識�����。
步驟302: MN將接口標識與MN訪問的外部網(wǎng)絡(luò)的前綴結(jié)合生成CoA;
進一步地���,還可以對生成的CoA執(zhí)行重復地址檢測����,即判斷生成的CoA與網(wǎng)絡(luò)中已使 用的IP地址是否相同����,如果相同,即發(fā)現(xiàn)地址沖突���,則按下面的步驟重新生成接口標識 Interface ID��,進而重新生成一個可用的CoA:
修改初次采用的起始位n的值�,在原來的基礎(chǔ)上增加增量,即n= n + increment,其中增 量increment可以為1�、 2、 3�、 4、 5�、 6、 7�����、 8�、 16�����、 32等固定值�,然后用如下公式運算
Interface ID = Abs (64,n,OID)�����。
步驟303: MN和CN均使用MN的HoA和生成的CoA執(zhí)行返回路由可達過程�。
當MN首次向CN發(fā)起對端注冊時��,在返回路由可達過程中CN分別生成家鄉(xiāng)秘密生成 令牌和轉(zhuǎn)交秘密生成令牌����,并通過HoT和CoT傳送給MN��。
當MN非首次向CN發(fā)起對端注冊時�,在返回路由可達過程中可以只執(zhí)行CoTI和CoT, 則CN只生成轉(zhuǎn)交秘密生成令牌并通過CoT傳給MN�����。
當MN向CN注銷綁定關(guān)系時�,在返回路由可達過程中可以只執(zhí)行HoTI和HoT,則CN 只生成家鄉(xiāng)秘密生成令牌并通過HoT傳給MN���。
步驟304:返回路由可達過程結(jié)束后�����,MN用MN的私鑰對BU消息進行簽名���,作為BU 消息中的綁定授權(quán)數(shù)據(jù),然后向CN發(fā)送BU消息,并在BU消息中攜帶CGA參數(shù)信息��,其 中包括MN的公鑰����。
步驟305: CN收到MN發(fā)送的BU消息后,在BU消息中的CGA參數(shù)信息中提取MN 的公鑰��,并使用該公鑰驗證BU消息中的綁定授權(quán)數(shù)據(jù)�����,如果驗證通過����,則生成綁定條目, 允許CN和MN進行路由優(yōu)化模式下的通信�;如果驗證失敗,則CN發(fā)送錯誤代碼給MN��, 不允許CN和MN進行路由優(yōu)化模式下的通信��。
為了避免消耗過多的計算資源��,進一步地�����,MN還可以設(shè)置執(zhí)行RRP和發(fā)送BU消息的 最小時間間隔�,相應地,CN也可以根據(jù)需要限制單位時間內(nèi)接受BU消息的最大個數(shù)等等�����。
進一步地��,當驗證通過后�����,CN還可以生成一個隨機數(shù)Ks����,并使用MN的公鑰加密該隨 機數(shù)Ks,然后將加密后的Ks放在BA消息中發(fā)送給MN;而且CN還可以用下面的方法生成 Kbm����,即將Ks與轉(zhuǎn)交秘密生成令牌組合后進行單向函數(shù)運算生成Kbm,并用該Kbm生成綁 定授權(quán)數(shù)據(jù)�,作為驗證BA消息的依據(jù);
Kbm = PRF(Ks��,Care-ofKeygen Token);
MN收到BA消息后,提取BA消息中加密后的隨機數(shù)Ks���,并使用MN的私鑰進行解密 得出Ks����,并使用與CN生成上述Kbm相同的方法生成新的Kbm:
MN可以使用新生成的Kbm生成新的綁定授權(quán)數(shù)據(jù)��,來作為后續(xù)對端注冊過程中驗證 BU消息的依據(jù)����,也可以用該新的綁定授權(quán)數(shù)據(jù)來驗證BA消息,如果與BA消息中的綁定授 權(quán)數(shù)據(jù)一致����,即驗證通過,則允許CN與MN進行路由模式下的通信����;否則,不允許CN與 MN進行路由模式下的通信�。
進一步地,MN還可以在BU消息中攜帶標識信息���,指示MN的CoA是通過單向函數(shù)運 算生成的�,相應地�����,還可以在CN驗證BU消息中的綁定授權(quán)數(shù)據(jù)之前��,增加驗證BU消息 中的CoA的步驟�,具體如下
CN根據(jù)收到的BU消息中的標識信息,發(fā)起對BU消息中的CoA的驗證���,從BU消息 中提取出畫的HoA����,并根據(jù)該HoA用與步驟301至步驟302相同的方法生成一個臨時的 CoA�����,然后比對生成的臨時CoA和BU消息中的CoA是否一致��,如果一致����,則CoA驗證通 過,可以繼續(xù)進行對BU消息中的綁定授權(quán)數(shù)據(jù)的驗證��;如果不一致,則CoA驗證失敗����,說 明當前的BU消息有誤,可能是偽造的BU消息��,則CN發(fā)送錯誤代碼給MN��,不允許CN和 MN進行路由優(yōu)化模式下的通信����。
當希望CN對BU消息中的CoA進行驗證時,MN還可以在BU消息中攜帶步驟302中 生成接口標識時涉及到的參數(shù)n�����。
進一步地��,MN在發(fā)送BU消息時����,可以在BU消息中攜帶用CGA生成HoA時所采用 的參數(shù),例如����,畫的公鑰信息�、沖突計數(shù)和修飾符(即隨機數(shù))等等����;相應地���,在驗證BU 消息中的CoA之前���,還可以增加驗證BU消息中的HoA的步驟,具體如下
CN在收到BU消息后����,提取出上述參數(shù),并用與步驟301中相同的CGA方法計算出一 個臨時的HoA����,然后比對該臨時HoA與BU消息中的HoA是否一致,如果一致��,則HoA驗 證通過���,CN可以繼續(xù)驗證BU消息中的CoA以及綁定授權(quán)數(shù)據(jù)���;否則���,HoA驗證失敗,說 明BU消息不正確�����,則CN發(fā)送錯誤代碼給MN���,不允許MN與CN進行路由優(yōu)化模式下的通 信�����。
上述方法通過在移動節(jié)點MN的家鄉(xiāng)地址HoA的基礎(chǔ)上生成轉(zhuǎn)交地址CoA,使用該CoA 執(zhí)行返回路由可達過程RRP�����,然后用MN的私鑰簽名BU消息���,作為BU消息中的綁定授權(quán) 數(shù)據(jù),用來對BU消息進行驗證����,驗證通過后,MN與CN可以進行路由優(yōu)化模式下的通信, 限制了因移動機制誤用而導致的攻擊�����,提高了移動IPv6的路由優(yōu)化模式下通信的安全性��。通 過增加對BU消息中的HoA和CoA進行驗證以及對BA消息進行驗證的步驟���,.可以進一步提
高路由優(yōu)化模式下通信的安全性。由于基于CGA方式生成HoA����,可以保障在后續(xù)的對端注 冊中不必再發(fā)起HoTI/HoT消息,降低了路由優(yōu)化信令開銷��;減少了路由優(yōu)化對HA的依賴�, 提高了系統(tǒng)的健壯性;降低了鏈路切換時移動節(jié)點與通信節(jié)點綁定更新的延時和復雜程度���。 實施例6
參見圖7�,本發(fā)明實施例還提供了一種提高路由優(yōu)化安全性的系統(tǒng)�����,具體包括移動節(jié)點 和通信節(jié)點;
移動節(jié)點包括-
(1) 轉(zhuǎn)交地址生成模塊�����,用于以移動節(jié)點的家鄉(xiāng)地址為輸入通過單向函數(shù)運算生成接口 標識���;將接口標識與移動節(jié)點訪問的外部網(wǎng)絡(luò)的前綴結(jié)合生成轉(zhuǎn)交地址��,家鄉(xiāng)地址通過密碼 學方法生成���;
(2) 返回路由可達執(zhí)行模塊,用于與通信節(jié)點一起使用家鄉(xiāng)地址和轉(zhuǎn)交地址生成模塊生 成的轉(zhuǎn)交地址執(zhí)行返回路由可達過程��;
(3) 授權(quán)數(shù)據(jù)生成模塊��,用于用移動節(jié)點的私鑰簽名綁定更新消息�����,作為綁定更新消息 的綁定授權(quán)數(shù)據(jù)�;
(4) 發(fā)送模塊,用于發(fā)送包含家鄉(xiāng)地址����、轉(zhuǎn)交地址生成模塊生成的轉(zhuǎn)交地址和授權(quán)數(shù)據(jù) 生成模塊生成的綁定授權(quán)數(shù)據(jù)的綁定更新消息給通信節(jié)點,并在綁定更新消息中攜帶移動節(jié) 點的公鑰;
通信節(jié)點包括
(1) 返回路由可達執(zhí)行模塊�,用于與移動節(jié)點一起使用家鄉(xiāng)地址和轉(zhuǎn)交地址生成模塊生 成的轉(zhuǎn)交地址執(zhí)行返回路由可達過程;
(2) 接收模塊�����,用于接收發(fā)送模塊發(fā)來的綁定更新消息�;
(3) 驗證模塊,用于提取接收模塊收到的綁定更新消息中的移動節(jié)點的公鑰����,并用移動 節(jié)點的公鑰驗證綁定更新消息中的綁定授權(quán)數(shù)據(jù);
(4) 控制模塊�,用于當驗證模塊驗證通過時��,允許移動節(jié)點與通信節(jié)點進行路由優(yōu)化模 式下的通信�����。
為了進一步提高安全性�,通信節(jié)點還可以包括
轉(zhuǎn)交地址驗證模塊,用于在驗證模塊進行驗證之前����,從接收模塊收到的綁定更新消息中 提取移動節(jié)點的家鄉(xiāng)地址,并根據(jù)該家鄉(xiāng)地址用與轉(zhuǎn)交地址生成模塊生成轉(zhuǎn)交地址相同的方 法生成一個臨時轉(zhuǎn)交地址,驗證臨時轉(zhuǎn)交地址與綁定更新消息中的轉(zhuǎn)交地址是否一致�,如果 一致,則觸發(fā)驗證模塊工作�����。
23
進一步地�����,發(fā)送模塊還可以用于在綁定更新消息中攜帶用上述密碼學方法生成家鄉(xiāng)地址 時采用的參數(shù)��,例如�����,移動節(jié)點的公鑰信息�����、沖突計數(shù)和修飾符(即隨機數(shù))等等���; 相應地��,通信節(jié)點還可以包括
家鄉(xiāng)地址驗證模塊��,用于在驗證模塊進行驗證之前��,從接收模塊收到的綁定更新消息中 提取上述參數(shù)��,并根據(jù)提取的參數(shù)用上述密碼學方法生成一個臨時家鄉(xiāng)地址���,驗證臨時家鄉(xiāng) 地址與綁定更新消息中的家鄉(xiāng)地址是否一致��,如果一致��,則觸發(fā)驗證模塊工作�。
進一步地���,控制模塊可以具體包括-
新授權(quán)數(shù)據(jù)生成單元����,用于當驗證模塊驗證通過時�,生成一個隨機數(shù)��,用移動節(jié)點的公 鑰進行加密�;將隨機數(shù)與通信節(jié)點在執(zhí)行返回路由可達過程中生成的轉(zhuǎn)交秘密生成令牌進行 組合后,利用單向函數(shù)進行運算生成新綁定管理密鑰����;然后用新綁定管理密鑰生成新綁定授 權(quán)數(shù)據(jù)����;
綁定確認消息發(fā)送單元����,用于發(fā)送綁定確認消息給移動節(jié)點,綁定確認消息中攜帶新授 權(quán)數(shù)據(jù)生成單元加密后的隨機數(shù)和生成的新綁定授權(quán)數(shù)據(jù)�; 相應地,移動節(jié)點還包括
綁定確認消息接收模塊��,用于接收綁定確認消息發(fā)送單元發(fā)來的綁定確認消息����;
綁定確認消息驗證模塊,用于當綁定確認消息接收模塊收到綁定確認消息后�,提取出加 密后的隨機數(shù),并用移動節(jié)點的私鑰解密后�����,得到隨機數(shù)��;根據(jù)隨機數(shù)用與新授權(quán)數(shù)據(jù)生成 單元生成新綁定管理密鑰相同的方法生成一個臨時綁定管理密鑰�����,并根據(jù)該臨時綁定管理密 鑰用與新授權(quán)數(shù)據(jù)生成單元生成新綁定授權(quán)數(shù)據(jù)相同的方法生成一個臨時綁定授權(quán)數(shù)據(jù),然 后比對臨時綁定授權(quán)數(shù)據(jù)與綁定確認消息中的新綁定授權(quán)數(shù)據(jù)是否一致����;
控制模塊,用于當綁定確認消息驗證模塊比對的結(jié)果一致時�,允許移動節(jié)點與通信節(jié)點 進行路由優(yōu)化模式下的通信。
上述系統(tǒng)通過轉(zhuǎn)交地址生成模塊在移動節(jié)點MN的家鄉(xiāng)地址HoA的基礎(chǔ)上生成轉(zhuǎn)交地址 CoA���,由返回路由可達執(zhí)行模塊使用該CoA執(zhí)行返回路由可達過程RRP��,由授權(quán)數(shù)據(jù)生成模 塊使用MN的私鑰簽名BU消息生成綁定授權(quán)數(shù)據(jù)���,用來對BU消息進行驗證,驗證通過后����, MN與CN可以進行路由優(yōu)化模式下的通信,限制了因移動機制誤用而導致的攻擊�����,提高了 移動IPv6的路由優(yōu)化模式下通信的安全性�。在驗證綁定授權(quán)數(shù)據(jù)的基礎(chǔ)上,還可以進一步由 轉(zhuǎn)交地址驗證模塊對BU消息中的CoA進行驗證����,由家鄉(xiāng)地址驗證模塊對BU消息中的HoA 進行驗證,以及由綁定確認消息驗證模塊對BA消息進行驗證����,從而可以進一步提高路由優(yōu) 化模式下通信的安全性。由于基于CGA方式生成HoA�,可以保障在后續(xù)的對端注冊中不必
再發(fā)起HoTI/HoT消息,降低了路由優(yōu)化信令開銷���;減少了路由優(yōu)化對HA的依賴��,提高了 系統(tǒng)的健壯性���;降低了鏈路切換時移動節(jié)點與通信節(jié)點綁定更新的延時和復雜程度。
本發(fā)明實施例中的技術(shù)方案可以用軟件來實現(xiàn)����,相應的程序可以存儲于可讀取的存儲介 質(zhì)中,如計算機的硬盤或閃存等非易失性存儲器中�����。
以上所述僅為本發(fā)明的較佳實施例,并不用以限制本發(fā)明����,凡在本發(fā)明的精神和原則之 內(nèi),所作的任何修改�、等同替換、改進等���,均應包含在本發(fā)明的保護范圍之內(nèi)�。
權(quán)利要求
1.一種生成轉(zhuǎn)交地址的方法�����,其特征在于���,所述方法包括以移動節(jié)點的家鄉(xiāng)地址為輸入通過單向函數(shù)運算生成接口標識����;將所述接口標識與所述移動節(jié)點訪問的外部網(wǎng)絡(luò)的前綴結(jié)合生成轉(zhuǎn)交地址����。
2. 根據(jù)權(quán)利要求1所述的生成轉(zhuǎn)交地址的方法,其特征在于,以移動節(jié)點的家鄉(xiāng)地址為輸入通過單向函數(shù)運算生成接口標識的步驟具體為將移動節(jié)點訪問的外部網(wǎng)絡(luò)的前綴和所述移動節(jié)點的家鄉(xiāng)地址組合后作為輸入�����,通過單 向函數(shù)運算生成接口標識�。
3. 根據(jù)權(quán)利要求1所述的生成轉(zhuǎn)交地址的方法�����,其特征在于��,當所述移動節(jié)點的家鄉(xiāng)地 址通過密碼學方法生成時���,以移動節(jié)點的家鄉(xiāng)地址為輸入通過單向函數(shù)運算生成接口標識的 步驟具體為-將移動節(jié)點的家鄉(xiāng)地址與所述移動節(jié)點的公鑰組合后作為輸入�,或者將所述移動節(jié)點訪 問的外部網(wǎng)絡(luò)的前綴與所述家鄉(xiāng)地址和公鑰組合后作為輸入��,通過單向函數(shù)運算生成接口標 識��。
4. 根據(jù)權(quán)利要求1所述的生成轉(zhuǎn)交地址的方法�����,其特征在于�,以移動節(jié)點的家鄉(xiāng)地址為輸入通過單向函數(shù)運算生成接口標識的步驟之后還包括判斷所述接口標識的長度是否超過64比特位,如果是,則設(shè)置一個起始位���,從所述起始 位開始���,取64比特位,作為接口標識���。
5. 根據(jù)權(quán)利要求1所述的生成轉(zhuǎn)交地址的方法�����,其特征在于����,以移動節(jié)點的家鄉(xiāng)地址為輸入通過單向函數(shù)運算生成接口標識的步驟之后還包括判斷所述接口標識的長度是否超過64比特位��,如果是����,則將所述接口標識按64比特位 劃分成多個塊,若最后一塊不足64比特位����,則從其它塊中任意取相應長度的內(nèi)容補充成64 比特位��,然后對所述多個塊進行位邏輯運算�����,將運算的結(jié)果作為接口標識。
6. 根據(jù)權(quán)利要求4所述的生成轉(zhuǎn)交地址的方法����,其特征在于,所述方法還包括生成所述轉(zhuǎn)交地址后�,判斷所述轉(zhuǎn)交地址與網(wǎng)絡(luò)中己使用的IP地址是否相同,如果相同����, 則設(shè)置增量,對所述起始位和增量進行求和運算�����,以所述運算的結(jié)果為新的起始位�����,取64比特位����,作為接口標識并生成新的轉(zhuǎn)交地址��。
7. 根據(jù)權(quán)利要求1至6中任一權(quán)利要求所述的生成轉(zhuǎn)交地址的方法�����,其特征在于����,所述 單向函數(shù)為SHA1或MD5���。
8. —種提高路由優(yōu)化安全性的方法�����,其特征在于����,所述方法包括-移動節(jié)點以家鄉(xiāng)地址為輸入通過單向函數(shù)運算生成接口標識��;所述移動節(jié)點將所述接口標識與所述移動節(jié)點訪問的外部網(wǎng)絡(luò)的前綴結(jié)合生成轉(zhuǎn)交地址����;所述移動節(jié)點和通信節(jié)點使用所述家鄉(xiāng)地址和轉(zhuǎn)交地址執(zhí)行返回路由可達過程���,然后分別生成相同的綁定管理密鑰;所述移動節(jié)點和通信節(jié)點分別用自己生成的綁定管理密鑰生成綁定授權(quán)數(shù)據(jù)����; 所述移動節(jié)點發(fā)送包含所述家鄉(xiāng)地址、轉(zhuǎn)交地址和自己生成的綁定授權(quán)數(shù)據(jù)的綁定更新消息給通信節(jié)點���;所述通信節(jié)點收到所述綁定更新消息后,驗證所述綁定更新消息中的綁定授權(quán)數(shù)據(jù)����,如 果與自己生成的綁定授權(quán)數(shù)據(jù)一致,則允許所述移動節(jié)點與通信節(jié)點進行路由優(yōu)化模式下的 通信����。
9. 根據(jù)權(quán)利要求8所述的提高路由優(yōu)化安全性的方法,其特征在于����,驗證所述綁定更新消息中的綁定授權(quán)數(shù)據(jù)的步驟之前還包括所述通信節(jié)點從所述綁定更新消息中提取所述移動節(jié)點的家鄉(xiāng)地址,并根據(jù)所述家鄉(xiāng)地 址用與所述移動節(jié)點生成所述轉(zhuǎn)交地址相同的方法生成一個臨時轉(zhuǎn)交地址�,驗證所述臨時轉(zhuǎn) 交地址與所述綁定更新消息中的轉(zhuǎn)交地址是否一致,如果一致�����,則繼續(xù)執(zhí)行驗證所述綁定更 新消息中的綁定授權(quán)數(shù)據(jù)的步驟。
10. —種提高路由優(yōu)化安全性的方法���,其特征在于�����,所述方法包括移動節(jié)點以家鄉(xiāng)地址為輸入通過單向函數(shù)運算生成接口標識�,所述家鄉(xiāng)地址通過密碼學 方法生成����;所述移動節(jié)點將所述接口標識與所述移動節(jié)點訪問的外部網(wǎng)絡(luò)的前綴結(jié)合生成轉(zhuǎn)交地址;所述移動節(jié)點和通信節(jié)點使用所述家鄉(xiāng)地址和轉(zhuǎn)交地址執(zhí)行返回路由可達過程�����; 所述移動節(jié)點用自己的私鑰簽名綁定更新消息����,作為所述綁定更新消息的綁定授權(quán)數(shù)據(jù); 所述移動節(jié)點發(fā)送包含所述家鄉(xiāng)地址�����、轉(zhuǎn)交地址和綁定授權(quán)數(shù)據(jù)的所述綁定更新消息給通信節(jié)點,并在所述綁定更新消息中攜帶所述移動節(jié)點的公鑰�����;所述通信節(jié)點收到所述綁定更新消息后��,提取出所述移動節(jié)點的公鑰�����,用所述移動節(jié)點的公鑰驗證所述綁定更新消息中的綁定授權(quán)數(shù)據(jù)���,如果驗證通過,則允許所述移動節(jié)點與通信節(jié)點進行路由優(yōu)化模式下的通信���。
11. 根據(jù)權(quán)利要求10所述的提高路由優(yōu)化安全性的方法�,其特征在于���,用所述移動節(jié)點 的公鑰驗證所述綁定更新消息中的綁定授權(quán)數(shù)據(jù)的步驟之前還包括所述通信節(jié)點從所述綁定更新消息中提取所述移動節(jié)點的家鄉(xiāng)地址�,并根據(jù)所述家鄉(xiāng)地 址用與所述移動節(jié)點生成所述轉(zhuǎn)交地址相同的方法生成一個臨時轉(zhuǎn)交地址�,驗證所述臨時轉(zhuǎn) 交地址與所述綁定更新消息中的轉(zhuǎn)交地址是否一致,如果一致�,則繼續(xù)執(zhí)行驗證所述綁定更 新消息中的綁定授權(quán)數(shù)據(jù)的步驟����。
12. 根據(jù)權(quán)利要求10所述的提高路由優(yōu)化安全性的方法�,其特征在于,所述移動節(jié)點發(fā) 送所述綁定更新消息以及所述通信節(jié)點收到后驗證綁定授權(quán)數(shù)據(jù)的步驟進一步包括所述移動節(jié)點在所述綁定更新消息中攜帶用所述密碼學方法生成所述家鄉(xiāng)地址時采用的 參數(shù)���,所述通信節(jié)點在驗證所述綁定更新消息中的綁定授權(quán)數(shù)據(jù)之前�����,從所述綁定更新消息 中提取所述參數(shù)���,并根據(jù)所述參數(shù)用所述密碼學方法生成一個臨時家鄉(xiāng)地址,驗證所述臨時 家鄉(xiāng)地址與所述綁定更新消息中的家鄉(xiāng)地址是否一致���,如果一致���,則繼續(xù)執(zhí)行驗證所述綁定 更新消息中的綁定授權(quán)數(shù)據(jù)的步驟。
13. 根據(jù)權(quán)利要求10所述的提高路由優(yōu)化安全性的方法���,其特征在于�,允許所述移動節(jié) 點和通信節(jié)點進行路由優(yōu)化模式下的通信的步驟之前還包括-所述通信節(jié)點生成一個隨機數(shù),用所述移動節(jié)點的公鑰加密所述隨機數(shù)����; 所述通信節(jié)點將所述隨機數(shù)與所述通信節(jié)點在執(zhí)行返回路由可達過程中生成的轉(zhuǎn)交秘密 生成令牌進行組合后,利用單向函數(shù)進行運算生成新綁定管理密鑰���;然后用所述新綁定管理密鑰生成新綁定授權(quán)數(shù)據(jù)����;所述通信節(jié)點發(fā)送綁定確認消息給所述移動節(jié)點���,所述綁定確認消息中攜帶所述加密后 的隨機數(shù)和所述新綁定授權(quán)數(shù)據(jù)�����;所述移動節(jié)點收到所述綁定確認消息后�,提取出所述加密后的隨機數(shù)�����,并用所述移動節(jié) 點的私鑰解密后���,得到所述隨機數(shù);所述移動節(jié)點根據(jù)所述隨機數(shù)用與所述通信節(jié)點生成所述新綁定管理密鑰相同的方法生 成一個臨時綁定管理密鑰���,并根據(jù)所述臨時綁定管理密鑰用與所述通信節(jié)點生成所述新綁定 授權(quán)數(shù)據(jù)相同的方法生成一個臨時綁定授權(quán)數(shù)據(jù)��;所述移動節(jié)點驗證所述臨時綁定授權(quán)數(shù)據(jù)與所述綁定確認消息中的新綁定授權(quán)數(shù)據(jù)是否 一致���,如果一致�,則允許所述移動節(jié)點與通信節(jié)點進行路由優(yōu)化模式下的通信��。
14. 一種生成轉(zhuǎn)交地址的裝置���,其特征在于�����,所述裝置包括-接口標識生成模塊���,用于以移動節(jié)點的家鄉(xiāng)地址為輸入通過單向函數(shù)運算生成接口標識; 轉(zhuǎn)交地址生成模塊����,用于將所述接口標識生成模塊生成的接口標識與所述移動節(jié)點訪問 的外部網(wǎng)絡(luò)的前綴結(jié)合生成轉(zhuǎn)交地址。
15. 根據(jù)權(quán)利要求14所述的生成轉(zhuǎn)交地址的裝置��,其特征在于,所述接口標識生成模塊 具體包括組合單元����,用于將移動節(jié)點訪問的外部網(wǎng)絡(luò)的前綴與所述移動節(jié)點的家鄉(xiāng)地址進行組合; 生成單元�,用于將所述組合單元組合后得到的數(shù)據(jù)作為輸入,通過單向函數(shù)運算生成接 口標識�。
16. 根據(jù)權(quán)利要求14所述的生成轉(zhuǎn)交地址的裝置,其特征在于�,當所述移動節(jié)點的家鄉(xiāng) 地址通過密碼學方法生成時,所述接口標識生成模塊具體包括組合單元��,用于將移動節(jié)點的家鄉(xiāng)地址與所述移動節(jié)點的公鑰進行組合����,或者將所述移 動節(jié)點訪問的外部網(wǎng)絡(luò)的前綴與所述家鄉(xiāng)地址和公鑰進行組合;生成單元��,用于將所述組合單元組合后得到的數(shù)據(jù)作為輸入���,通過單向函數(shù)運算生成接 口標識����。
17. 根據(jù)權(quán)利要求14所述的生成轉(zhuǎn)交地址的裝置����,其特征在于,所述裝置還包括- 長度處理模塊�����,用于判斷所述接口標識生成模塊生成的接口標識的長度是否超過64比特 位���,如果是�����,則設(shè)置一個起始位��,從所述起始位開始�����,取64比特位����,作為新的接口標識發(fā)送 給所述轉(zhuǎn)交地址生成模塊�。
18. 根據(jù)權(quán)利要求14所述的生成轉(zhuǎn)交地址的裝置,其特征在于�����,所述裝置還包括 長度處理模塊,用于判斷所述接口標識生成模塊生成的接口標識的長度是否超過64比特位�����,如果是����,則將所述接口標識按64比特位劃分成多個塊,若最后一塊不足64比特位�����,則 從其它塊中任意取相應長度的內(nèi)容補充成64比特位�,然后對所述多個塊進行位邏輯運算,將 運算的結(jié)果作為新的接口標識發(fā)送給所述轉(zhuǎn)交地址生成模塊�����。
19. 根據(jù)權(quán)利要求17所述的生成轉(zhuǎn)交地址的裝置���,其特征在于��,所述裝置還包括 地址檢査模塊�����,用于當所述轉(zhuǎn)交地址生成模塊生成所述轉(zhuǎn)交地址后�,判斷所述轉(zhuǎn)交地址與網(wǎng)絡(luò)中已使用的IP地址是否相同��,如果相同�����,則設(shè)置增量�,對所述長度處理模塊設(shè)置的起 始位和所述增量進行求和運算,以所述運算的結(jié)果為新的起始位����,取64比特位,作為接口標 識并生成新的轉(zhuǎn)交地址�����。
20. —種提高路由優(yōu)化安全性的系統(tǒng)����,其特征在于,所述系統(tǒng)包括移動節(jié)點和通信節(jié)點�����, 所述移動節(jié)點包括轉(zhuǎn)交地址生成模塊,用于以所述移動節(jié)點的家鄉(xiāng)地址為輸入通過單向函數(shù)運算生成接口 標識�����;將所述接口標識與所述移動節(jié)點訪問的外部網(wǎng)絡(luò)的前綴結(jié)合生成轉(zhuǎn)交地址���;密鑰生成模塊����,用于與所述通信節(jié)點一起使用所述家鄉(xiāng)地址和所述轉(zhuǎn)交地址生成模塊生 成的轉(zhuǎn)交地址執(zhí)行返回路由可達過程����,然后生成綁定管理密鑰;授權(quán)數(shù)據(jù)生成模塊�,用于用所述密鑰生成模塊生成的綁定管理密鑰生成綁定授權(quán)數(shù)據(jù);發(fā)送模塊���,用于發(fā)送包含所述家鄉(xiāng)地址�、所述轉(zhuǎn)交地址生成模塊生成的轉(zhuǎn)交地址和所述 授權(quán)數(shù)據(jù)生成模塊生成的綁定授權(quán)數(shù)據(jù)的綁定更新消息給所述通信節(jié)點����;所述通信節(jié)點包括密鑰生成模塊�����,用于與所述移動節(jié)點一起使用所述家鄉(xiāng)地址和所述轉(zhuǎn)交地址生成模塊生 成的轉(zhuǎn)交地址執(zhí)行返回路由可達過程��,然后生成與所述移動節(jié)點的密鑰生成模塊生成的綁定 管理密鑰相同的綁定管理密鑰;授權(quán)數(shù)據(jù)生成模塊����,用于用所述通信節(jié)點的密鑰生成模塊生成的綁定管理密鑰生成綁定 授權(quán)數(shù)據(jù);接收模塊��,用于接收所述發(fā)送模塊發(fā)來的綁定更新消息����;比對模塊,用于將所述接收模塊收到的綁定更新消息中的綁定授權(quán)數(shù)據(jù)與所述通信節(jié)點 的授權(quán)數(shù)據(jù)生成模塊生成的綁定授權(quán)數(shù)據(jù)進行比對���;控制模塊��,用于當所述比對模塊比對的結(jié)果一致時�,允許所述移動節(jié)點與通信節(jié)點進行 路由優(yōu)化模式下的通信�����。
21. 根據(jù)權(quán)利要求20所述的提高路由優(yōu)化安全性的系統(tǒng),其特征在于�,所述通信節(jié)點還 包括轉(zhuǎn)交地址比對模塊,用于在所述比對模塊進行比對之前�����,從所述接收模塊收到的綁定更 新消息中提取所述移動節(jié)點的家鄉(xiāng)地址��,并根據(jù)所述家鄉(xiāng)地址用與所述轉(zhuǎn)交地址生成模塊生 成所述轉(zhuǎn)交地址相同的方法生成一個臨時轉(zhuǎn)交地址�,驗證所述臨時轉(zhuǎn)交地址與所述綁定更新 消息中的轉(zhuǎn)交地址是否一致,如果一致����,則觸發(fā)所述比對模塊工作。
22. —種提高路由優(yōu)化安全性的系統(tǒng)��,其特征在于��,所述系統(tǒng)包括移動節(jié)點和通信節(jié)點��, 所述移動節(jié)點包括轉(zhuǎn)交地址生成模塊�����,用于以所述移動節(jié)點的家鄉(xiāng)地址為輸入通過單向函數(shù)運算生成接口 標識;將所述接口標識與所述移動節(jié)點訪問的外部網(wǎng)絡(luò)的前綴結(jié)合生成轉(zhuǎn)交地址���,所述家鄉(xiāng) 地址通過密碼學方法生成���;返回路由可達執(zhí)行模塊,用于與所述通信節(jié)點一起使用所述家鄉(xiāng)地址和所述轉(zhuǎn)交地址生 成模塊生成的轉(zhuǎn)交地址執(zhí)行返回路由可達過程����;授權(quán)數(shù)據(jù)生成模塊,用于用所述移動節(jié)點的私鑰簽名綁定更新消息��,作為所述綁定更新 消息的綁定授權(quán)數(shù)據(jù)��;發(fā)送模塊���,用于發(fā)送包含所述家鄉(xiāng)地址、所述轉(zhuǎn)交地址生成模塊生成的轉(zhuǎn)交地址和所述 授權(quán)數(shù)據(jù)生成模塊生成的綁定授權(quán)數(shù)據(jù)的所述綁定更新消息給所述通信節(jié)點��,并在所述綁定 更新消息中攜帶所述移動節(jié)點的公鑰�����;所述通信節(jié)點包括-返回路由可達執(zhí)行模塊��,用于與所述移動節(jié)點一起使用所述家鄉(xiāng)地址和所述轉(zhuǎn)交地址生 成模塊生成的轉(zhuǎn)交地址執(zhí)行返回路由可達過程;接收模塊�,用于接收所述發(fā)送模塊發(fā)來的綁定更新消息; 驗證模塊�����,用于提取所述接收模塊收到的綁定更新消息中的所述移動節(jié)點的公鑰���,并用 所述移動節(jié)點的公鑰驗證所述綁定更新消息中的綁定授權(quán)數(shù)據(jù)�;控制模塊��,用于當所述驗證模塊驗證通過時��,允許所述移動節(jié)點與通信節(jié)點進行路由優(yōu) 化模式下的通信��。
23. 根據(jù)權(quán)利要求22所述的提高路由優(yōu)化安全性的系統(tǒng)��,其特征在于���,所述通信節(jié)點還包括轉(zhuǎn)交地址驗證模塊��,用于在所述驗證模塊進行驗證之前����,從所述接收模塊收到的綁定更 新消息中提取所述移動節(jié)點的家鄉(xiāng)地址,并根據(jù)所述家鄉(xiāng)地址用與所述轉(zhuǎn)交地址生成模塊生 成所述轉(zhuǎn)交地址相同的方法生成一個臨時轉(zhuǎn)交地址��,驗證所述臨時轉(zhuǎn)交地址與所述綁定更新 消息中的轉(zhuǎn)交地址是否一致����,如果一致,則觸發(fā)所述驗證模塊工作��。
24. 根據(jù)權(quán)利要求22所述的提高路由優(yōu)化安全性的系統(tǒng)����,其特征在于,所述發(fā)送模塊還 用于在所述綁定更新消息中攜帶用所述密碼學方法生成所述家鄉(xiāng)地址時采用的參數(shù)�����;相應地�����,所述通信節(jié)點還包括家鄉(xiāng)地址驗證模塊����,用于在所述驗證模塊進行驗證之前��,從所述接收模塊收到的綁定更 新消息中提取所述參數(shù),并根據(jù)所述參數(shù)用所述密碼學方法生成一個臨時家鄉(xiāng)地址���,驗證所 述臨時家鄉(xiāng)地址與所述綁定更新消息中的家鄉(xiāng)地址是否一致��,如果一致��,則觸發(fā)所述驗證模 塊工作���。
25. 根據(jù)權(quán)利要求22所述的提高路由優(yōu)化安全性的系統(tǒng),其特征在于�����,所述控制模塊具 體包括新授權(quán)數(shù)據(jù)生成單元��,用于當所述驗證模塊驗證通過時��,生成一個隨機數(shù)�,用所述移動 節(jié)點的公鑰加密所述隨機數(shù);將所述隨機數(shù)與所述通信節(jié)點在執(zhí)行返回路由可達過程中生成 的轉(zhuǎn)交秘密生成令牌進行組合后����,利用單向函數(shù)進行運算生成新綁定管理密鑰;然后用所述 新綁定管理密鑰生成新綁定授權(quán)數(shù)據(jù)����;綁定確認消息發(fā)送單元��,用于發(fā)送綁定確認消息給所述移動節(jié)點��,所述綁定確認消息中 攜帶所述新授權(quán)數(shù)據(jù)生成單元加密后的隨機數(shù)和生成的所述新綁定授權(quán)數(shù)據(jù)��;相應地��,所述移動節(jié)點還包括綁定確認消息接收模塊��,用于接收所述綁定確認消息發(fā)送單元發(fā)來的綁定確認消息��; 綁定確認消息驗證模塊�����,用于當所述綁定確認消息接收模塊收到所述綁定確認消息后���, 提取出所述加密后的隨機數(shù)����,并用所述移動節(jié)點的私鑰解密后,得到所述隨機數(shù)�;根據(jù)所述 隨機數(shù)用與所述新授權(quán)數(shù)據(jù)生成單元生成所述新綁定管理密鑰相同的方法生成一個臨時綁定 管理密鑰�,并根據(jù)該臨時綁定管理密鑰用與所述新授權(quán)數(shù)據(jù)生成單元生成所述新綁定授權(quán)數(shù) 據(jù)相同的方法生成一個臨時綁定授權(quán)數(shù)據(jù)��,然后比對所述臨時綁定授權(quán)數(shù)據(jù)與所述綁定確認 消息中的新綁定授權(quán)數(shù)據(jù)是否一致�;控制模塊,用于當所述綁定確認消息驗證模塊比對的結(jié)果一致時����,允許所述移動節(jié)點與 通信節(jié)點進行路由優(yōu)化模式下的通信。
全文摘要
本發(fā)明公開了一種生成轉(zhuǎn)交地址的方法和裝置與提高路由優(yōu)化安全性的方法和系統(tǒng)��,屬于移動通信領(lǐng)域�����。生成轉(zhuǎn)交地址的方法包括以HoA為輸入通過單向函數(shù)生成接口標識�����;將其與MN訪問的外部網(wǎng)絡(luò)的前綴結(jié)合生成CoA�。提高路由優(yōu)化安全性的方法包括用上述方法生成CoA;MN和CN執(zhí)行RRP�;MN用私鑰簽名BU消息得到綁定授權(quán)數(shù)據(jù);MN發(fā)送包含HoA���、CoA和綁定授權(quán)數(shù)據(jù)的BU消息給CN�����,CN用MN的公鑰驗證����,通過則允許MN與CN在路由優(yōu)化模式下通信。裝置包括接口標識生成模塊和轉(zhuǎn)交地址生成模塊����。系統(tǒng)包括MN和CN。本發(fā)明生成的CoA限制了因移動機制誤用而導致的攻擊���,提高了移動IPv6路由優(yōu)化模式下通信的安全性�。
文檔編號H04L12/56GK101106568SQ200710119480
公開日2008年1月16日 申請日期2007年7月25日 優(yōu)先權(quán)日2007年7月25日
發(fā)明者李春強 申請人:華為技術(shù)有限公司