專利名稱:用于接入網(wǎng)絡多宿主的系統(tǒng)和方法
技術(shù)領(lǐng)域:
本發(fā)明大體上涉及通信網(wǎng)絡,并且特別地涉及利用加密
(cryptogmphically )綁定的IP地址集來進行接入網(wǎng)絡多宿主 (multi-homing )的系統(tǒng)和方法���。
背景技術(shù):
接入網(wǎng)絡多宿主是現(xiàn)有技術(shù)�,其中接入網(wǎng)絡同時連接到多個因特 網(wǎng)服務提供商(ISP)以便增加因特網(wǎng)連通性帶寬并且增加對ISP故障 的魯棒性。傳統(tǒng)上���,已存在兩種主要的用于接入網(wǎng)絡多宿主的方法�����。 一種是在全局路由系統(tǒng)中在獨立于多宿主接入網(wǎng)絡的每個ISP的尋址
空間的情況下通告該多宿主才妾入網(wǎng)絡的尋址空間��,從而為4妾入網(wǎng)絡添
加單獨路由表項目��。另一種方法是通過使主機(host)能夠在來自依賴 于ISP的尋址空間的IP地址之間動態(tài)切換來讓該主機選4奪ISP����。然后 將每個尋址空間作為各ISP的尋址空間的 一部分通告給全局路由系統(tǒng)���。
更新的第三種接入多宿主的方法提供了接入網(wǎng)絡內(nèi)部使用的尋址 空間與用于通過轉(zhuǎn)接(transit)空間承載分組的尋址空間之間的間接級��。 一些間接技術(shù)需要每個接入網(wǎng)絡邊界處的地址空間映射�。其他間接技 術(shù)僅需要多宿主接入網(wǎng)絡在它們的邊界處提供映射���,并且還預訂在轉(zhuǎn) 接空間的某處的間接點處發(fā)生的(反向)映射��。
所有這些方法都缺少下述期望特性中的至少 一個
1. 全局路由表保存��。全局路由表應該相對于ISP的數(shù)目線性增長�����, 而不是相對于接入網(wǎng)絡的數(shù)目線性增長�。
2. 業(yè)務工程。接入網(wǎng)絡應該能夠強制進入和外出業(yè)務經(jīng)由接入網(wǎng)絡 通過其進^f亍多宿主的ISP中的一個特定ISP來傳遞�。
3. 主機偏好。主機應該仍能夠?qū)⑺约哼x擇的它偏好其業(yè)務通過的 ISP建議給4妄入網(wǎng)絡�����。
4. ISP改變�。應該可能經(jīng)由可替換的ISP在兩個方向上快速地對 業(yè)務進行重新^各由�����。
5. 網(wǎng)絡重配置成本�。接入網(wǎng)絡運營商應該能夠在不用昂貴地重配置網(wǎng)絡設(shè)備的情況下改變其ISP集。
6. 路由性能����。諸如分組傳播等待時間���、分組損失概率或抖動之類的
業(yè)務特征應該不改變。
7. 轉(zhuǎn)接(transition)��。應該存在用于增加部署的轉(zhuǎn)接路徑�����,其允許 因特網(wǎng)的升級部與遺留部進行通信�����。
8. 對于部署的激勵�。技術(shù)的部署應該對投資該部署的那些實體帶來 直接的利益。
9. 可結(jié)合性�。在可能的情況下,用于接入網(wǎng)絡多宿主的技術(shù)應該 與移動性技術(shù)能結(jié)合�����,并且從長遠來看還有可能與主機標識技術(shù)結(jié)合���。
在全局路由系統(tǒng)中單獨通告接入網(wǎng)絡的尋址空間的技術(shù)不能保存 全局路由表����,并且沒有使主機能夠表達就其業(yè)務而言對ISP的偏好。 給出主機對將它們的業(yè)務路由通過哪個ISP的最終決定����,又與接入網(wǎng) 絡的業(yè)務工程策略相沖突。在每個接入網(wǎng)絡的邊界處需要映射的間接 技術(shù)具有與轉(zhuǎn)接路徑和部署激勵有關(guān)的劣勢��。間接技術(shù)還面對著關(guān)于 怎樣能夠高效地保持映射����、或者當切換到可替換的ISP時怎樣快速地 更新這些映射來支持接入網(wǎng)絡的無法回答的問題。另一方面�����,在轉(zhuǎn)接 空間中的某處使用間接點的間接技術(shù)招致對路由性能的不利影響���。
發(fā)明內(nèi)容
用于接入多宿主的當前技術(shù)或者需要認證基礎(chǔ)結(jié)構(gòu)或者需要路由 器來改寫完整的IP地址,這是低效的因為它需要路由器中的每主機信 息�����。本發(fā)明提供了 一種通過將IP地址集與不同的子網(wǎng)前綴和公用接口 標識符加密綁定來進行多宿主的系統(tǒng)和方法�。本發(fā)明使主機能夠在不 依賴于認證基礎(chǔ)結(jié)構(gòu)的情況下證實通信主機(correspondent host)對IP 地址集的所有權(quán)(ownership),而且同時使路由器能夠僅通過改寫IP 地址前綴來高效地交換該集合中的IP地址。
為了提供前面提到的所有特性��,主機必須能夠在來自依賴于ISP 的尋址空間的IP地址之間動態(tài)切換,而且還使接入網(wǎng)絡能夠重寫IP地 址��,以使得該地址與將經(jīng)由其轉(zhuǎn)發(fā)分組的ISP的尋址空間相匹配�。
因此,在一個實施例中��,本發(fā)明涉及一種在生成主才幾中針對接入 網(wǎng)絡中的接入多宿主生成多個地址的方法�,其中每個地址包括第 一地 址部和第二地址部。所述生成主機可以從網(wǎng)絡獲得對應于所述多個地址的多個第一地址部���,其中每一個第一地址部標識所述生成主機的網(wǎng) 絡附著點��。然后�,所述生成主機處理所述多個第一地址部以生成第二 地址部���,其中所述第二地址部在所述生成主才幾的網(wǎng)絡附著點處標識所 述生成主才幾����。所述生成主機還將所述多個第一地址部與所述第二地址
部鏈接(concatenate )以生成多個地址���,其中所述第二地址部為所述多 個地址中的每一個所共用��,并且將所述地址加密綁定到一個集合中����。 在一個實施例中,所述接入網(wǎng)絡是因特網(wǎng)接入網(wǎng)絡�,所述多個第一地 址部是多個IPv6子網(wǎng)前綴,并且所述第二地址部是IPv6 4妄口標識符���。
在另 一個實施例中���,本發(fā)明涉及一種在生成主機中針對因特網(wǎng)接 入網(wǎng)絡中的接入多宿主生成多個IP地址的方法。該方法包括下述步驟 從網(wǎng)絡獲得用于多個可用因特網(wǎng)服務提供商ISP的多個IPv6子網(wǎng)前綴���; 以及將所述多個IPv6子網(wǎng)前綴與單個IPv6接口標識符加密綁定�。
在另 一 個實施例中����,本發(fā)明涉及一種在驗證主機中-驗證IP地址集 屬于整體(belong together)的方法。該方法包括下述步驟從生成主 機獲得用于多個可用ISP的多個IPv6子網(wǎng)前綴以及由所述生成主才幾生
的所述多個IPv6子網(wǎng)前綴來生成第二 IPv6接口標識符���;以及將所述第 一 IPv6接口標識符和所述第二 IPv6接口標識符進行比較。如果所述第 一 IPv6接口標識符等于所述第二 IPv6 4妾口標識符��,則確定所述'驗i正是 成功的。如果所述第一 IPv6接口標識符不等于所述第二 IPv6接口標識 符����,則確定所述驗證是失敗的。
在另 一個實施例中��,本發(fā)明涉及一種用于針對接入網(wǎng)絡中的接入 多宿主生成多個地址的生成主機�。所述生成主機包括用于從網(wǎng)絡獲 得對應于所述多個地址的多個第 一地址部的裝置;以及用于將所述多 個第一地址部與單個第二地址部加密綁定的裝置���。在一個實施例中�, 所述接入網(wǎng)絡是因特網(wǎng)接入網(wǎng)絡���,所述多個第 一地址部是多個IPv6子 網(wǎng)前綴�����,并且所述第二地址部是IPv64fe口標識符�。
在另 一個實施例中�,本發(fā)明涉及一種用于驗證IP地址集屬于整體 的驗證主機。該驗證主機包括用于從生成主機獲得用于多個可用ISP 的多個IPv6子網(wǎng)前綴以及由所述生成主機生成的第一 IPv6接口標識符 的裝置���;用于由所述驗證主機利用從所述生成主機接收的所述多個 IPv6子網(wǎng)前綴來生成第二 IPv6接口標識符的裝置����;以及用于將所述第—IPv6接口標識符和所述第二 IPv6接口標識符進行比較的比較單元。如果所述第一 IPv6接口標識符等于所述第二 IPv6接口標識符����,則所述比較單元確定所述驗證是成功的,并且如果所述第一 IPv6接口標識符不等于所述第二 IPv6接口標識符�����,則所述比較單元確定所述驗證失敗���。在另 一個實施例中��,本發(fā)明涉及一種用于因特網(wǎng)接入網(wǎng)絡中的接入網(wǎng)絡多宿主的系統(tǒng)����。該系統(tǒng)包括用于使主機能夠從來自依賴于ISP的尋址空間的多個IP地址中動態(tài)選擇用于ISP的IP地址的裝置���;以及用于使接入網(wǎng)絡能夠重寫由所述主機選擇的IP地址以使得所述地址與接入網(wǎng)絡打算經(jīng)由其轉(zhuǎn)發(fā)分組的ISP的尋址空間相匹配的裝置���。
圖1是圖示出本發(fā)明的方法的示例性實施例的流程圖2A-2B是圖示出根據(jù)本發(fā)明的教導的生成IPv6地址集的過程的
示例性實施例的步驟的流程圖的部分;
圖3是用于生成IPv6地址集的生成主機的示例性實施例的簡化框
圖4是圖示出驗證不同子網(wǎng)前綴和公用接口標識符之間的加密(cryptographic)綁定的過程的示例性實施例的步驟的流程圖�;以及圖5是用于驗證IPv6地址集中的不同子網(wǎng)前綴和公用接口標識符之間的加密綁定的驗證主機的示例性實施例的簡化框圖。
具體實施例方式
當與同位體(peer)進行通信時主機可交換地使用不同IP地址的能力在適當?shù)陌踩胧┻€沒有就緒的情況下將會被惡意主機濫用來代表受害者主機與所述同位體進行通信�����。這樣的"假冒攻擊"需要惡意主機向同位體登記IP地址集����,所述IP地址包括受害者主機的IP地址和可達到惡意主機本身的IP地址。然后惡意主機經(jīng)由其自己的IP地址與同位體交換分組��,而同位體上的傳送協(xié)議和應用看到受害者主機的IP地址并且因此々i定它們正在與受害者主機進行通信����。惡意主才幾的IP地址的4妻口標識符必須與受害者主機的IP地址的接口標識符相同。
為了保護主機免于使受害者受到這樣的假冒攻擊���,同位體必須能夠驗證一個集合中的所有IP地址都屬于相同主機��。本發(fā)明通過在一個
9集合中的IP地址的子網(wǎng)前綴和這些IP地址的公用接口標識符之間的加密綁定來提供這種可驗證性��。在生成IP地址集時主機創(chuàng)建加密綁定���,并且同位體驗證它。這使得惡意主機無法創(chuàng)建包含受害者主機的IP地址和可達到惡意主機的IP地址這二者的IP地址集���。
僅IP地址的子網(wǎng)前綴確定IP地址所屬于的ISP���。因此����,4妾入阿絡
僅替換子網(wǎng)前綴以便重寫該主機選擇的IP地址���,以使得該地址與將經(jīng)
由其來轉(zhuǎn)發(fā)分組的ISP的尋址空間相匹配�����,這就足夠了�����。為了使其工作��,主機必須配置IP地址集��,每一個都具有來自一個可用ISP的子網(wǎng)
前綴�����,其都具有相同的接口標識符�。然而,為了使主機能夠在與遠程同位體進行通信時可交換地使用IP地址集�����,該主機必須能夠向該同位體證實其是該集合中的所有IP地址的合法擁有者���。因此,每個IP地址
必須"不能欺騙地(unspoofably )��,��,綁定到該集合中的其余IP地址����。
當前技術(shù)使得主機能夠通過為這些IPv6地址中的每一個加密地生成接口標識符來將IPv6地址集彼此安全地綁定。這種方案的不足是它為每個IPv6地址產(chǎn)生不同的接口標識符���。
本發(fā)明的實施例使主機能夠?qū)哂泄媒涌跇俗R符的IP地址集進行配置��,每個ISP對應一個子網(wǎng)前綴���。公用接口標識符加密地將IP地址 一 起綁定在該集合中。這種綁定使得主機能夠向同位體提供以下事實該主機是該集合中的所有IP地址的合法擁有者����。假設(shè)主機(及其同位體)能夠可交換地使用這種集合中的IPv6地址��,則接入網(wǎng)絡能夠重寫IPv6地址中的子網(wǎng)前綴��,以便必要時經(jīng)由不同的ISP來路由分組��。因此�����,本發(fā)明使得主機能夠生成具有公用接口標識符的IP地址集�,其被加密綁定到用于IP地址的子網(wǎng)前綴集����。在一個實施例中,接口標識符被生成為在包括不同IP地址的子網(wǎng)前綴的鏈接(concatenation )的串(string)上的加密哈希����。哈希函數(shù)的輸入串還可以包括附加的數(shù)據(jù),例如隨機數(shù)����,所述隨機數(shù)使得主機能夠影響哈希函數(shù)的結(jié)果-如果不這樣做該結(jié)果會等于已在主機的接入鏈路上使用的接口標識符的話。
圖1是圖示本發(fā)明的方法的示例性實施例的步驟的流程圖。在步驟11處��,主機從網(wǎng)絡獲得用于可用ISP的IPv6子網(wǎng)前綴集����。在步驟12處,該主機為IP地址集加密地生成單個公用IPv6^妄口標識符���。在示例性實施例中,主機將接口標識符生成為在包括不同IP地址的子網(wǎng)前綴的鏈接的串上的加密哈希�����。在步驟13處�����,主機將該集合中的IP地址的子網(wǎng)前綴鏈接到公用接口標識符以創(chuàng)建IP地址集���。因此��,所述IP地址被加密綁定到IPv6子網(wǎng)前綴集(并且結(jié)果它們也彼此綁定)���。還應注意,在為該IP地址生成接口標識符的過程中�����,并沒有強調(diào)該集
合中的任何特定IP地址的IPv6子網(wǎng)前綴超過其他子網(wǎng)前綴。這使得有可能為該集合中的所有IP地址生成單個公用接口標識符���。在步驟14處�����,遠程同位體驗證加密綁定�。 一旦加密綁定被驗證����,在步驟15處就可以開始使用任何期望ISP的IP地址。在步驟16處�,接入網(wǎng)絡能夠重寫所選擇的IP地址中的子網(wǎng)前綴以便經(jīng)由不同ISP對分組進行路由。
當主機將接口標識符生成為在包括不同IP地址的子網(wǎng)前綴的鏈接的串上的加密哈希時�,哈希函數(shù)的輸入串還可以包括附加數(shù)據(jù),例如隨機數(shù)��,所述隨機數(shù)使得主機能夠影響哈希函數(shù)的結(jié)果-如果不這樣做
此處^描述的示例性技術(shù)可以用在 一 個實施例中����,'從而創(chuàng)建IPv6地址集的不同子網(wǎng)前綴和公用接口標識符之間的加密綁定。這基于加密生成地址(CGA )(見T. Aura, C,/og"n3/7/n'C(2〃-y Ge"eratoi JcWms薦(T04人RFC 3972)的生成和驗證算法和基于哈希的地址(HBA )(見M.Bagnulo,Z/tw/z 5a化d爿csWr&w"(^/^4」���,draft-ietf-shim6-hba-0.5.txt)���。然而,這兩種算法都產(chǎn)生具有不同接口標識符的IPv6地址��,因為為特定PIv6地址生成接口標識符的程序?qū)⑻貏e強調(diào)來自該IPv6地址的子網(wǎng)前綴��。本發(fā)明的不同點在于它為具有不同子網(wǎng)前綴的IPv6地址生成單個接口標識符����,其最終形成IPv6地址集�。為此,集合中的每個IPv6地址都必須基于相同的參數(shù)集而被創(chuàng)建���,即不得針對特定IPv6地址的子網(wǎng)前綴而定制的參數(shù)集�����。
圖2A-2B是圖示出根據(jù)本發(fā)明的教導的生成IPv6地址集21的過程的示例性實施例的步驟的流程圖的部分�����。圖2A圖示了生成IPv6接口標識符22的過程����,并且圖2B圖示了利用IPv6接口標識符來生成IPv6地址集的過程。
首先參考圖2A��,利用單向哈希函數(shù)25來處理IPv6子網(wǎng)前綴集23和隨機凄t24以產(chǎn)生IPv6 4妾口標識符22���。
現(xiàn)在參考圖2B,在26處鏈接IPv6子網(wǎng)前綴集23和IPv6接口標識符22以產(chǎn)生IPv6地址集21 ���。具體來說,該技術(shù)需要主機以類似于在M.Bagnulo, 5w^/ v4cWmw^f7詔^)��, draft-ietf-shim6-hba-0.5.txt的第6部分中描述的程序的 方式生成IPv6地址集�。下面示出了在本發(fā)明中使用的程序。該程序在 兩個方面上不同于在 M.Bagnulo���, //tw/i 5wec/爿cWre^^(7^S^)��, draft-ietf-shim6-hba-0.5.txt的第6部分中描述的程序:第一�,在步驟6 和7中為所有IP地址生成單個公用IPv6接口標識符���,而不是為每個IP 地址生成單獨的接口標識符��;以及第二����,在步驟9中生成單個CGA參 數(shù)數(shù)據(jù)結(jié)構(gòu),而不是為每個IP地址生成單獨的CGA參數(shù)數(shù)據(jù)結(jié)構(gòu)�。 除了這兩個方面之外,下面示出的程序直接從M.Bagnulo, //aW yWA^m^/Z^i), draft-ietf-shim6-hba-0.5.txt的第6部分取得���。因此�����,它 將Sec安全參數(shù)作為附加的輸入����,并且將CGA參數(shù)數(shù)據(jù)結(jié)構(gòu)作為附加 的輸出��。該Sec安全參數(shù)用于放縮(scale)所生成的IPv6地址集的加 密強度�,并且CGA參數(shù)數(shù)據(jù)結(jié)構(gòu)提供規(guī)范的格式以供同位體交換加密 IP地址一險證所需的組件��。
1. 鏈接將針對其生成IP地址的IPv6子網(wǎng)前綴����。
2. 隨機地或偽隨機地生成兩個修正符(modifier)�, 一個^奮正符為 128位長�����,另一個384位����。(較長的修正符將用作公鑰的替代,當生成 CGA時其被相同的算法使用�����。)
3. 從左到右鏈接128位修正符�����、9個零八位字節(jié)(zero octet) ����、 384 位+務正符、和IPv6子網(wǎng)前綴的鏈接���。對該《連4妻執(zhí)行SHA-1算法�。取 SHA-1 p合希值最左邊的112位�����。讓該結(jié)果成為Hash2。
4. 將Hash2的最左邊16*Sec位與零相比較�����。如果它們都等于零(或 者如果Sec-0),則繼續(xù)步驟(5)����。否則使128位修正符增加1并且 返回到步驟(3 )。
5. 將8位沖突計數(shù)設(shè)置成零�����。
6. 從左到右鏈接最后的128位修正符值�����、8個零八位字節(jié)����、沖突計 數(shù)��、384位修正符���、和IPv6子網(wǎng)前綴的鏈接����。對該鏈接執(zhí)行SHA-1算 法。取SHA-1哈希值最左邊的64位���。讓該結(jié)果成為Hashl����。
7. 通過將Sec的值寫入最左邊的三位并且通過將第6和7位(即"u�����,�����, 和"g"位)這二者都設(shè)置成零來根據(jù)Hashl形成64位接口標識符�����。
8. 對于i=l到n (IPv6子網(wǎng)前綴的數(shù)目)��,執(zhí)行
a.通過鏈接第i個IPv6子網(wǎng)前綴和先前創(chuàng)建的接口標識符來形成128位IPv6地址(其中子網(wǎng)前綴在左邊并且接口標識 符在右邊�,與標準的IPv6地址[6]—樣)以生成IPv6地址 #i����。
b.如果需要�,則執(zhí)行復制地址檢測。如果檢測到地址沖突����, 則將沖突計數(shù)增加1并且返回到步驟(6)。然而��,在三 個沖突之后�,停止并報告錯誤。 9.通過從左到右鏈接最后的128位修正符����、8個零八位字節(jié)、最后 的沖突計數(shù)值�、384位修正符和IPv6子網(wǎng)前綴的鏈接來形成CGA參數(shù) 數(shù)據(jù)結(jié)構(gòu)。
圖3是用于生成IPv6地址集21的生成主機31的示例性實施例的 簡化框圖�。生成主機可以包括隨機數(shù)生成器32、用于處理單向哈希函 數(shù)25的模塊33以及鏈接器(concatenator) 34�。 IPv6子網(wǎng)前綴集23是 所述生成主機的輸入,并且隨機數(shù)生成器生成隨機數(shù)24�。將子網(wǎng)前綴 和隨機數(shù)提供給單向哈希模塊,該單向哈希模塊利用單向哈希函數(shù)25 來對它們進行處理以產(chǎn)生IPv6接口標識符22。將IPv6 4妻口標識符和 該IPv6子網(wǎng)前綴集輸入到鏈接器34�����,該鏈接器對它們進行鏈接以產(chǎn)生 IPv6地址集21���。
根據(jù)上面描述的過程所創(chuàng)建的IPv6地址集可以被稱為"IP (v6) 地址束(address bunch ),���,�����。 一旦創(chuàng)建了地址束�,同位體(驗證主機) 就驗證不同子網(wǎng)前綴和公用接口標識符之間的加密綁定���。
圖4是圖示出驗證不同子網(wǎng)前綴和公用接口標識符之間的加密綁 定的過程的示例性實施例的步驟的流程圖��。除了將步驟2省略之外�, 根據(jù)T. Aura, Cryptographically Generated Addresses (CGA),RFC 3972的 第5部分來執(zhí)行該驗證��,以使得在IPv6地址的驗證中不強調(diào)特定的子 網(wǎng)前綴��。除了這一例外之外,下面示出的程序是直接從T. Aura����, Cryptographically Generated Addresses (CGA),RFC 3972的第5部分取得 的�。因此,其將CGA參數(shù)數(shù)據(jù)結(jié)構(gòu)作為附加的輸入��。
1. 檢查CGA參數(shù)數(shù)據(jù)結(jié)構(gòu)中的沖突計數(shù)是O�����、 l或2���。如果沖突計 數(shù)在該有效范圍之外則CGA驗證失敗��。
2. [該步驟被除去����。對本發(fā)明的目的來說它不是必需的,因為本發(fā) 明在IPv6地址的驗證中不強調(diào)特定IPv6地址的子網(wǎng)前綴。]
3. 對CGA參數(shù)數(shù)據(jù)結(jié)構(gòu)執(zhí)行SHA-1算法。取SHA-1哈希值最左邊
13的64位��。讓該結(jié)果成為Hashl���。
4. 將Hashl與地址的接口標識符(即最右邊的64位)相比較。忽 略最左邊三位中的以及第6和7位(即"u"和"g"位)中的差異�。 如果(除了五個被忽略的位不同之外)64位值不同���,則CGA驗證失敗。
5. 從地址的64位接口標識符的最左邊三位讀取安全參lt Sec。 (Sec是無符號的3位整數(shù))��。
6. 從左到右鏈接128位修正符���、9個零八位字節(jié)、384位纟務正符、 和IPv6子網(wǎng)前綴的鏈接�。對該結(jié)果執(zhí)行SHA-1算法。取SHA-1哈希 值最左邊的112位。讓該結(jié)果成為Hash2�。
7. 將Hash2的最左邊16*Sec位與零相比較���。如果它們中的任何一 個是非零的����,則CGA驗證失敗�����。否則驗證成功。(如果Sec-O,則在 該步驟處CGA驗證決不會失敗。)
注意����,盡管上面的修改有效地消除了在T. Aura, Qyptographically Generated Addresses (CGA)����,RFC 3972中定義的原始CGA參數(shù)數(shù)據(jù)結(jié)構(gòu) 中的子網(wǎng)前綴字段,但是IPv6子網(wǎng)前綴的鏈接(其構(gòu)成CGA參數(shù)數(shù) 據(jù)結(jié)構(gòu)的一部分)仍列出了在IPv6地址集中使用的該子網(wǎng)前綴集����。這 支持該集合中的子網(wǎng)前綴和接口標識符之間的加密綁定�����。
參考圖4���,在步驟41處�����,將隨機數(shù)24和IPv6子網(wǎng)前綴集23輸入 到驗證主機�����。在步驟42處,所述驗證主機利用單向p合希函數(shù)25來處 理所述輸入以產(chǎn)生IPv6接口標識符的新計算43。在步驟44處��,將IPv6 接口標識符的新計算43與由生成主機31所計算的IPv6接口標識符22 相比較���。如果所述比較示出兩個接口標識符不相等�����,則在步驟45處驗 證失敗�����。如果所述比較示出兩個接口標識符相等���,則在步驟46處驗證 成功��。
圖5是用于驗證IPv6地址集中的不同子網(wǎng)前綴和公用接口標識符 之間的加密綁定的驗證主機的示例性實施例的簡化框圖��。單向p合希模 塊52處理IPv6子網(wǎng)前綴集23和隨機數(shù)24以產(chǎn)生IPv6接口標識符43 �。 比較單元53將IPv6接口標識符43與由生成主機31計算的IPv6接口 標識符22相比較�。如果所述比較示出兩個接口標識符不相等�����,則驗證 主機輸出該驗證失敗的指示45�����。如果所述比較示出兩個接口標識符相 等,則所述驗證主機輸出該驗證成功的指示46����。
盡管已在IPv6地址的特定上下文中描述了本發(fā)明,但是本發(fā)明不限于該特定情況�,而是還可以以任何次序應用于其他種類的"地址"��,
其包括
1. 主機不能任意選擇的地址部A;以及
2. 主機能夠任意選擇的地址部B���。
通常����,網(wǎng)絡以如此方式分配地址部A以4吏得其能夠:帔用來尋找該 主機的網(wǎng)絡附著點���。地址部B被用來在該網(wǎng)絡附著點處標識該主機����。 在IPv6地址的特定情況下��,地址部A是子網(wǎng)前綴�����,并且地址部B是接 口標識符���。
在一般情況下,加密綁定的地址集的生成和驗證根據(jù)在IPv6地址 的特定情況中使用的相同生成和驗證算法進行��,不過在那種情況下術(shù) 語"子網(wǎng)前綴����,,指地址部A,而術(shù)語"接口標識符��,����,指地址部B。
針對不同地址部A的加密綁定地址集可以通過形成/^用地址部B (將由該集合中的所有地址使用)以與在加密綁定的IPv6地址集的特 定情況下生成公用接口標識符相同的方式來生成���。然后�,不同地址部A 起著子網(wǎng)前綴在IPv6地址的特定情況下會起的作用。如果地址部A和 B的長度分別與IPv6子網(wǎng)前綴和接口標識符的長度不同��,則可能必須 調(diào)整在地址集的生成中所使用的哈希值的長度�。
類似地,在一般情況下��,能夠以與在IPv6地址的特定情況下相同 的方式來騶�、i正地址集的加密綁定。然后��,不同地址部A起著子網(wǎng)前綴 在IPv6地址的特定情況下會起的作用�,并且公用地址部B起著接口標 識符在IPv6地址的特定情況下會起的作用。同樣���,如果地址部A和B 的長度分別與IPv6子網(wǎng)前綴和接口標識符的長度不同��,則可能必須調(diào) 整在地址集的驗證中所使用的哈希值的長度��。
當然�����,本發(fā)明可以在不偏離本發(fā)明的本質(zhì)特征的情況下���,以不同 于此處所闡述的方式的其他特定方式中實施����。因此�,,人各方面來說����,
求的涵義和等同范圍中的所有改變包含在其中。' ' '
權(quán)利要求
1����、一種在生成主機中針對接入網(wǎng)絡中的接入多宿主生成多個地址的方法,其中每個地址包括第一地址部和第二地址部���,所述方法包括以下步驟從網(wǎng)絡獲得對應于所述多個地址的多個第一地址部���,其中每個第一地址部標識所述生成主機的網(wǎng)絡附著點;處理所述多個第一地址部以生成第二地址部�����,其中所述第二地址部在所述生成主機的網(wǎng)絡附著點處標識所述生成主機����;以及將所述多個第一地址部與所述第二地址部鏈接以生成多個地址����,其中所述第二地址部為所述多個地址中的每一個所共用�����,并且將所述地址加密綁定到一個集合中�����。
2��、 根據(jù)權(quán)利要求1所述的方法����,其中所述處理步驟包括利用單向 哈希函數(shù)來將第 一地址部的集合和隨機數(shù)一起處理以創(chuàng)建加密哈希。
3�����、 根據(jù)權(quán)利要求2所述的方法��,其中所述鏈接步驟包括鏈接在 包括所述多個第一地址部的鏈接的串上的加密哈希���。
4����、 根據(jù)權(quán)利要求1所述的方法,還包括將所述多個第一地址部和 所述第二地址部發(fā)送到驗證主機���,以用于驗證所述地址集屬于所述生 成主才幾。
5�、 根據(jù)權(quán)利要求1所述的方法,其中所述接入網(wǎng)絡是因特網(wǎng)接入 網(wǎng)絡�,所述多個第一地址部是多個IPv6子網(wǎng)前綴,并且所述第二地址 部是IPv6纟妄口標識符���。
6�、 一種在生成主機中針對因特網(wǎng)接入網(wǎng)絡中的接入多宿主生成多 個網(wǎng)際協(xié)議IP地址的方法�,所述方法包括下述步驟從網(wǎng)絡獲得用于多個可用因特網(wǎng)服務提供商ISP的多個IPv6子網(wǎng) 前綴;以及將所述多個IPv6子網(wǎng)前綴與單個IPv6接口標識符加密綁定�。
7、 根據(jù)權(quán)利要求6所述的方法����,其中加密綁定所述多個IPv6子網(wǎng) 前綴的步驟包括下述步驟利用單向哈希函數(shù)將所述多個IPv6子網(wǎng)前綴和隨機數(shù)一起處理以 將IPv6^妻口標識符生成為加密p合希;以及鏈接在包括所述多個IPv6子網(wǎng)前綴的鏈接的串上的加密哈希��。
8、 根據(jù)權(quán)利要求6所述的方法�,還包括將所述多個IPv6子網(wǎng)前綴和所述IPv6接口標識符發(fā)送到-險證主機,以用于-險證所述IP地址集屬于所述生成主機����。
9、 一種在驗證主機中驗證網(wǎng)際協(xié)議IP地址集屬于整體的方法���,所 述方法包括下述步驟���;從生成主機獲得用于多個可用因特網(wǎng)服務提供商ISP的多個IPv6 子網(wǎng)前綴以及由所述生成主機生成的第一 IPv6接口標識符;綴來生成第二 IPv6接口標識符�����;將所述第一 IPv6接口標識符和所述第二 IPv6接口標識符進行比較���;如果所述第一 IPv6接口標識符等于所述第二 IPv6接口標識符����,則 確定所述-驗證成功�����;以及如果所述第一 IPv6接口標識符不等于所述第二 IPv6接口標識符,則確定所述驗證失敗��。
10���、 根據(jù)權(quán)利要求9所述的方法����,其中生成第二 IPv6接口標識符 的步驟包括利用單向哈希函數(shù)將所述多個IPv6子網(wǎng)前綴和隨機數(shù)一起 處理以生成第二 IPv6 4妄口標識符��。
11���、 一種用于針對接入網(wǎng)絡中的接入多宿主生成多個地址的生成 主機,所述生成主4幾包括用于從網(wǎng)絡獲得對應于所述多個地址的多個第一地址部的裝置�;以及用于將所述多個第 一 地址部與單個第二地址部加密綁定的裝置。
12�����、 根據(jù)權(quán)利要求11所述的生成主機����,其中所述接入網(wǎng)絡是因特 網(wǎng)接入網(wǎng)絡,所述多個第一地址部是多個IPv6子網(wǎng)前綴�����,并且所述第 二地址部是IPv6 4妄口標識符。
13�����、 根據(jù)權(quán)利要求12所述的生成主機�����,其中用于加密綁定的裝置 包括單向哈希模塊��,其用于將所述多個IPv6子網(wǎng)前綴和隨機數(shù)一起處 理以將IPv6接口標識符生成為加密哈希��;以及鏈接器���,其用于鏈接在包括所述多個IPv6子網(wǎng)前綴的鏈接的串上的力口密口合希���。
14、 根據(jù)權(quán)利要求12所述的生成主機�,還包括用于將所述多個IPv6子網(wǎng)前綴和所述IPv6 4妄口標識符發(fā)送到驗證主機以用于驗證所述地址 集屬于整體的裝置。
15�、 一種用于驗證網(wǎng)際協(xié)議IP地址集屬于整體的驗證主機,所述 驗證主機包括用于從生成主機獲得用于多個可用因特網(wǎng)服務提供商ISP的多個 IPv6子網(wǎng)前綴以及由所述生成主才幾生成的第一 IPv6 4妄口標識符的裝置;用于由所述驗證主機利用從所述生成主機接收的所述多個IPv6子 網(wǎng)前綴來生成第二 IPv6接口標識符的裝置�;以及用于將所述第一 IPv6接口標識符和所述第二 IPv6接口標識符進行 比較的比較單元,其中如果所述第一 IPv6接口標識符等于所述第二 IPv6接口標識符��,則所述比較單元確定所述驗證成功����,并且如果所述 第一 IPv6接口標識符不等于所述第二 IPv6接口標識符,則所述比較單 元確定所述^S正失敗����。
16、 根據(jù)權(quán)利要求15所述的驗證主機�����,其中用于生成第二 IPv6 接口標識符的裝置包括單向哈希模塊���,其用于將所述多個IP v 6子網(wǎng)前 綴和隨機數(shù) 一起處理以生成第二 IPv6接口標識符。
17��、 一種用于因特網(wǎng)接入網(wǎng)絡中的接入網(wǎng)絡多宿主的系統(tǒng)�,所述 系統(tǒng)包4舌用于使主機能夠從來自依賴于ISP的尋址空間的多個IP地址中動 態(tài)選擇用于因特網(wǎng)服務提供商ISP的IP地址的裝置;以及用于使接入網(wǎng)絡能夠重寫由所述主機所選擇的IP地址以使得所述 地址與所述接入網(wǎng)絡打算經(jīng)由其來轉(zhuǎn)發(fā)分組的ISP的尋址空間相匹配 的裝置�。
18、 根據(jù)權(quán)利要求17所述的系統(tǒng),其中用于使主機能夠動態(tài)選擇 用于ISP的IP地址的裝置包括所述主機內(nèi)用于配置IP地址集的裝置��, 每個IP地址具有來自可用ISP之一的子網(wǎng)前綴���,并且所有的IP地址都 通過相同接口標識符來加密綁定���。
19、 根據(jù)權(quán)利要求18所述的系統(tǒng)�����,其中用于使接入網(wǎng)絡能夠重寫 所選擇的IP地址的裝置包括用于使接入網(wǎng)絡用不同的子網(wǎng)前綴代替所 選擇的IP地址的子網(wǎng)前綴的裝置��。
20��、 根據(jù)權(quán)利要求17所述的系統(tǒng)�,還包括用于將加密綁定的IP地址集發(fā)送到同位體以用于驗證所述地址集中的所有地址屬于整體的茲紫 衣旦。
全文摘要
一種用于針對因特網(wǎng)接入網(wǎng)絡中的接入多宿主生成IP地址集(21)的系統(tǒng)和方法�。生成主機(31)從網(wǎng)絡獲得用于多個可用因特網(wǎng)服務提供商ISP的IPv6子網(wǎng)前綴集(23)。該生成主機根據(jù)所述子網(wǎng)前綴生成單個IPv6接口標識符(22)����,并且將所述子網(wǎng)前綴與所述單個IPv6接口標識符加密綁定。遠程同位體(51)通過根據(jù)相同的子網(wǎng)前綴集獨立地生成IPv6接口標識符并且將該結(jié)果與由所述生成主機生成的IPv6接口標識符進行比較來驗證所有的IP地址屬于整體��。
文檔編號H04L29/12GK101690135SQ200880021351
公開日2010年3月31日 申請日期2008年6月11日 優(yōu)先權(quán)日2007年6月22日
發(fā)明者C·沃格特 申請人:艾利森電話股份有限公司