专利名称:用于在移动通信网络中建立密码关系的方法和设备的制作方法
技术领域:
本发明涉及通信网络领域,具体地,涉及在通信网络中的两个节点之间建立密码 关系。
背景技术:
在D. Johnson,C. Perkins and J. Arkko,“Mobility Support in IPv6",RFC 3775, June 2004中描述的移动IPv6 (MIPv6)允许移动通信设备的用户从一个网络移动至另一网 络,同时保持永久IP地址,不论其处于哪个网络中。这允许用户在移动的同时保持连接。 例如,如果用户正在参加IP电话(VoIP)会话,并且在会话期间用户从一个网络移动至另一 个网络,在没有MIPv6支持的情况下,用户的IP地址可能改变。这将导致VoIP会话出现问 题。向移动节点(MN)分配两个IP地址永久归属地址和转交地址(CoA)。CoA与接入 网络(用户当前正在访问的IP子网)相关联。为了与MN进行通信,将分组发送至MN的归 属地址。MN的归属网络中的归属代理(HA)截获这些分组。HA知道当前CoA。然后,归属代 理使用新IP首部将分组以隧道方式传送给MN的CoA,同时保留原始IP首部。当MN接收到 分组时,MN去除该新IP首部并获得原始IP首部。MN通过将分组(封装在寻址至HA的分 组中)以隧道方式传送给HA来向另一节点发送分组。对于每个分组,HA去除封装的分组, 恢复原始分组,并将其转发至预期的目的地节点。代理移动 IPv6 (ΡΜΙΡνθ),IETFdraft-sgundave-mip6-proxymip6-07,描述了一种 移动接入网关(MAG)功能。该功能模仿归属链路属性以使MN如同处于其归属网络上一样 工作,并允许在原本不支持MIPv6的网络上支持移动性。PMIPv6与MIPv6之间的关键区别 在于使用MIPv6,丽能够控制其自身的移动性信令,而使用PMIPv6,丽不能控制其移动性 信令。图1中示意了 PMIPv6架构的基本组件。MAG 101通常在接入路由器处实现。MAG 101代表MN 102来发送和接收与移动性 相关的信令。当MN 102连接至具有MAG 101的接入路由器时,作为接入认证过程的一部分, MN 102以网络接入标识符(NAI)的形式呈现其身份。一旦MN 102已被认证,MAG就从策略 存储器中获得该用户的简档。知道用户简档和NAI的MAG 101现在可以模仿MN的归属网 络。随后,MN 102从MAG获得其归属地址。MAG 101还使用代理绑定更新消息向MN 102的 本地移动性锚(LMA) 103通知MN 102的当前位置。代理绑定更新消息使用MN 102的ΝΑΙ。 在接收到代理绑定更新消息时,LMA 103建立与MAG 101的隧道并向MAG发送代理绑定肯 定应答。在接收到代理绑定肯定应答时,MAG 101建立与LMA的隧道,从而有效地形成双向 隧道。所有去往和来自MN 102的业务量经由双向隧道而路由通过LMA 103。MAG可以服务 于与相同LMA相关联的许多丽。MAG和LMA不需要针对每个丽具有专用的双向隧道。而 是可以针对与相同LMA相关联且当前被相同MAG所服务的所有MN使用相同的双向隧道。LMA 103截获发送至丽102的任何分组,并通过隧道将截获的分组转发至MAG 101。在接收到分组时,MAG 101去除隧道首部并将分组发送至MN 102。MAG 101充当接入链路上的缺省路由器。从MN发送的任何分组经由MAG 101、通过隧道发送至LMA 103,然后 LMA 103将分组继续发送至其最终目的地。在 J. Arkko, C. Vogt and W. Haddad, "Enhanced Route Optimizationfor Mobile IPv6”,IETF RFC 4866,May 2007中描述的增强型路由优化(ERO)规定了一种对MIPv6路 由优化的修改。ERO通过使用以密码和可验证方式与MN的公开/私有密钥对的公开成分 绑定的接口标识符,保护MN的归属地址不被冒充。ERO允许移动节点和通信节点通过执行 转交地址测试来并行地恢复双向通信。针对丽使用以密码方式产生的地址(CGA)提高了 安全性并减小了信令开销。在 T. Aura,"Cryptographically Generated Address (CGA) ”, IETF, RFC 3972,March2005 中描述了 CGA。然而,ERO不能应用于具有PMIPv6能力的网络,这是由于根据PMIPv6,丽应当处 于“不知晓移动性”状态。在具有PMIPv6能力的网络中代表丽来应用ERO将需要丽与位 于被访问的网络中的节点(如MAG)共享其CGA私有密钥。从安全角度来看,这显然是不合 意的。MN需要共享其私有密钥的事实还意味着MN不能完全不知晓移动性。CGA技术当前用在具有PMIPv6能力的网络中,并减少了冗余移动性信令消息的数 目,这涉及MAG、HA、LMA和CN,因此,使用CGA技术的PMIPv6的路由优化机制将是有利的。
因此,期望设计一种路由优化机制,其使用CGA技术并可以用于被访问的网络中 的MN,但不需要MN与被访问的网络中的其他节点共享其私有密钥。此外,在安全邻居发现 (SeND)场景中,有益地,允许PMIPv6网络中的MN能够将SeND消息的发送委托给代理节点 (如接入路由器)°“A survey of the Secure Neighbour Discovery(SeND)and Multi-Key CryptographicalIy Generated Addresses (MCGAs),,,Parket al, 9th International Conference on Advanced CommunicationTechnology,Vol. 3,12-14 February 2007,pages 2124-2127对SeND消息进行了调查研究。期望MN能够以安全的方式将特定任务委托给代理节点,例如以便减轻MN的计算 /处理负担。这里,“安全的方式”是指第三方应当可以验证代理节点被授权以代表MN来 执行操作并且代理节点已经同意这样做。这样做的一种方式可以是代理节点和MN互相“交叉认证”,例如通过对彼此的公 开密钥进行签名。然而,这有两个主要缺点。首先,由于这种方式的一般性,使得有些不清 楚丽因此同意委托哪些类型的任务。反过来,有些不清楚代理节点已经同意代表MN来执 行什么任务。其次,由于需要执行电子签名,因此这种方式对MN施加了计算负担。
发明内容
发明人已经设计出一种产生第一节点的以密码方式产生的地址的新方式,所述以 密码方式产生的地址允许第一节点与第二节点建立密码关系。这允许第二节点向其他节点 证明其与第一节点有关系。在第一节点是代理移动IP网络中的移动节点并且第二节点是 服务于所述移动节点的归属代理的情况下,使用丽与HA之间的密码关系,以便HA在无需 MN与被访问的网络中的其他节点共享私有密码材料的情况下,针对MN提供路由优化。在第 一节点是移动节点并且第二节点是接入路由器的情况下,所述密码关系允许MN将安全邻 居发现(SeND)协议的责任委托给接入路由器,同时AR可以向其他节点表明其与MN有密码 关系。
根据本发明的第一方面,提供了一种在通信网络中的第一节点与第二节点之间建 立密码关系的方法。所述方法包括在第一节点处,从第二节点接收属于第二节点的至少部 分密码属性。然后,第一节点使用所接收的至少部分密码属性以及属于第一节点的至少部 分密码属性,来产生第一节点的标识符。使用第二节点的密码属性来产生第一节点的标识 符建立了这两个节点之间的信任关系,在需要时,可以向第三方表明所述信任关系。在第一 节点处以特定方式产生标识符的事实可以用于表明第一节点愿意进入与第二节点的信任 关系,并防止第二节点试图在第一节点未同意的情况下表明与第一节点的信任关系。可选地,第一节点的标识符包括以密码方式产生的IP地址,并且密码属性可以是 属于第二节点的公开密钥。可选地,所述方法还包括在第一节点处,将属于第二节点的密 码属性与随机值进行连结;对连结的结果进行散列处理;以及在第一节点处,使用所得到 的散列值的至少一部分作为修改器,来产生所述标识符。在这种 情况下,可选地,所述方法 还包括在第二节点处,向第三节点发送第一节点的标识符和所述随机值;以及在第三节 点处,使用属于第一节点的标识符和所述随机值来验证第二节点与第一节点有信任关系。 这里使用术语“随机值”来指代随机或伪随机产生的值。可选地,所述方法还可以包括在 第二节点处,对包含属于第一节点的标识符和所述随机值在内的消息进行签名。可选地,通信网络包括代理移动IP网络,其中第一节点是移动节点,第二节点是 与所述移动节点相关联的归属代理。这允许归属代理代表所述移动节点来提供路由优化。可选地,第一节点是移动节点,第二节点是代理节点,其中所述移动节点经由所述 代理节点附着至通信网络。例如,这可以分别是移动节点和移动接入网关。可选地,所述代 理节点代表所述移动节点来发送安全邻居发现消息。可选地,所述方法还包括在第二节点处,检测与第一节点相关的洪泛攻击。作为 检测的结果,第二节点向第三节点发送清除请求消息,所述清除请求消息指示第三节点清 除与第一节点相关的所有绑定高速缓存条目。所述清除请求消息包括属于第一节点的标识 符和用于产生所述标识符的其他密码材料。按照这种方式,如果第一节点已发起洪泛攻击 然后离开网络,则代理节点可以向第三节点示出其有权代表第一节点来执行操作,然后,第 三节点可以通过删除与第一节点相关的所有绑定高速缓存条目来停止洪泛攻击。根据本发明的第二方面,提供了一种在通信网络中使用的节点,所述节点包括接 收机,用于从第二节点接收属于第二节点的至少部分密码属性;以及处理器,使用所接收的 属于第二节点的至少部分密码属性和属于所述节点的至少部分密码属性,产生所述节点的 标识符,从而建立所述节点与第二节点之间的密码关系。可选地,所述标识符是以密码方式产生的IP地址,并且密码属性可以是属于第二 节点的公开密钥。可选地,所述节点包括用于将属于第二节点的密码属性与随机值进行连结的装 置;用于对连结的结果进行散列处理的装置;以及使用所得到的散列值的至少一部分作为 修改器来产生所述节点的标识符的装置。根据本发明的第三方面,提供了一种在通信网络中使用的代理节点。所述代理节 点包括存储器,用于存储与所述代理节点相关联的第一节点的标识符,所述标识符是使用 属于所述代理节点的至少部分密码属性和属于第一节点的至少部分密码属性来产生的。所 述代理节点还包括发射机,用于向另一节点发送所述标识符和用于产生所述标识符的密码材料。然后,所述另一节点可以使用所述标识符和所述密码材料来验证所述代理节点有 权代表第一节点来发送消息。可选地,所述标识符是以密码方式产生的IP地址,并且密码属性是属于所述代理 节点的公开密钥。可选地,所述代理节点还包括用于检测与第一节点相关的洪泛攻击的装置;以 及用于向另一节点发送清除请求消息的装置,所述清除请求消息指示所述另一节点清除与 第一节点相关的所有绑定高速缓存条目,所述清除请求消息包括属于第一节点的标识符和 用于产生所述标识符的其他密码材料。按照这种方式,如果第一节点已发起洪泛攻击然后 离开网络,则所述代理节点可以向第三节点示出其有权代表第一节点来执行操作,然后,第 三节点可以通过删除与第一节点相关的所有绑定高速缓存条目来停止洪泛攻击。对于本领域技术人员而言显而易见,第一节点的标识符可以包括其IP地址、节 点名称或与节点相关联的其他类型的地址。例如,可以使用根据R.M0Sk0Witz et al, draft-ietf-hip-base-10, IETF的主机标识标签(HIT),作为标识符。
图1以框图形式示意性示出了代理移动IPv6架构;图2示意性示出了“以密码方式产生的地址”参数;图3是示意了本发明第一实施例的基本步骤的流程图;图4示意性示出了根据本发明实施例的、用于建立归属代理与通信节点之间的绑 定的信令;图5以框图形式示意性示出了根据本发明实施例的网络节点;以及图6以框图形式示意性示出了根据本发明实施例的代理节点。
具体实施例方式以下描述阐述了具体细节,如具体实施例、过程、技术等,用于解释而非限制。在一 些实例中,省略了公知方法、接口、电路和设备的详细描述,以便使不必要的细节不致使该 描述重点不明确。此外,在一些附图中示出了各个块。可以认识到,可以使用各个硬件电 路、使用软件程序和数据,与适当编程的数字微处理器或通用计算机相结合,使用特定用途 集成电路和/或使用一个或多个数字信号处理器,实现这些块的功能。在较高层次上,本发明描述了一种具有以下特征的方法。1.在第一步骤中,丽显示出其将与丽的属性(例如标识符,如其IP地址)相关 联的特定任务委托给代理的意愿。为此,MN依赖于代理的某种属性(例如,代理的公开密 钥)来产生对应属性。这是以密码“绑定”的方式完成的,使得第三方可以(高效地)验证 该委托,并且无疑地,丽已经将特定责任委托给特定代理。例如,MN不能在不改变对应MN 属性的情况下声称已经委托给另一代理。例如,MN属性是由于将密码散列函数应用于(至 少部分)代理属性而产生的。2.在第二(可选)步骤中,代理执行对MN委托的验证,并且如果代理接受所委托 的任务,则代理发布对代理属性与MN属性之间的绑定的公开可验证证明。该证明可以例如 通过MN属性 的电子签名来执行。
如果实现步骤2,则优选地,第三方每次希望验证委托有效性时,优选地通过将由 第三方提供的“随机号(nonce) ”包括在所述证明中来执行该步骤。委托给代理的任务的“范围”也可以被包括在MN属性的产生过程中。优选地,然 后,以机器或人类可读的形式包括该范围,使得可以精确地验证MN/代理已经同意委托哪 些任务。在其他情况下,可以存在对委托哪些任务的“隐式”理解。例如,当属性是MN的IP 地址时,委托的缺省范围可以是代表MN来对信令进行代理。 在本发明的第一实施例中,提供了一种用于产生移动节点(MN)的以密码方式产 生的地址(CGA)的新方式,S卩,丽的属性是CGA。MN具有归属代理(HA),并且在产生丽的 IPv6归属地址的64比特接口标识符(IID)时,丽包括HA的公开密钥(HKp)。将HKp包括 在MN的IPv6归属地址中的方式的示例如下在RFC 3972中描述的CGA方式中,MA导出被称为修改器(MD)的随机128比特参 数。在诸如网络前缀和丽的CGA公开密钥(Kp)之类的其他参数当中,使用MD来产生64 比特ID。图2中示意了 CGA参数。根据本发明的第一实施例,当通过以下操作来产生MD时 使用HKp 将其与随机的128比特值(例如现有技术CGA中的MD的值)进行连结,然后对 结果进行散列处理,来产生MD。所得到的散列值的前128个比特用作新的MD。这可以表示 如下新MD = First [128,Hash (HKp | RAN (128))]其中“RAN(128) ”是随机的128比特参数。尽管可以有许多(HKp,RAN(128))值产生相同的“新MD”;如果使用密码(防冲突) 散列函数,则可以假定找到给出相同MD的另一(HKp,RAN(128))对在计算上不可行(对于 MN或包括代理在内的任何另一方)。RAN参数的长度可以大于或小于128个比特。RAN参 数的主要目的是提供“新鲜性”,使得即使使用相同的HKp也不太可能总是(重新)产生相 同的New MD。此外,MN可以向远程节点公开RAN,以进一步证明其愿意代理节点来代表其 执行操作。注意,在图2中,“修改器”201是包含128比特无符号整数(可以是任何值)的字 段。在CGA产生期间使用修改器来实现散列扩展并通过向地址添加随机性来增强私密性。 然而,注意,由于还需要MN的公开密钥并从而可以使用该公开密钥来“跟踪”MN,因此完全 私密性是不可能的。该机制将丽的IPv6地址“绑定”至其HA的公开密钥,从而创建丽与其HA之间的 “密码”关系。一旦进行了 IPv6地址与HKp之间的这种绑定,其他节点就不能声称与该特定 地址具有类似关系,即使该其他节点可以使用RAN(128)参数并假装可以提供产生该IPv6 地址所需的所有参数。恶意节点将需要出示在产生与该特定地址相关联的MD时所使用的 MN的公开密钥的“所有权”。为了出示所有权,恶意节点将需要知道与该公开密钥相对应的 私有密钥,而这显然是不可行的。注意,这涉及MN的公开密钥。如果第三方要求HA“证明” 这种关系,则HA将通过对RAN(128)参数进行签名(使用其私有/公开密钥)来进行该操 作。在这种情况下,伪造关系将意味着还知道HA私有密钥。此外,通过正确选择密码函数,可以假定恶意节点模仿与现有IPv6地址的密码关 系在计算上是不可行的,这是由于该恶意节点需要找到与其自身的公开密钥匹配在一起的 CGA参数来产生相同的IPv6地址。由此可见,密码关系可以被认为是唯一的。
图3中示意了产生丽的IPv6地址的基本步骤,如下301.丽获得HA的公开密钥Kp ;302.将Kp与随机的128比特值RAN(128)(例如由丽随机选择)进行连结;303.对连结的结果进行散列处理;304.使用散列值的前128个比特,作为修改器MD ;以及 306.使用MD来产生MN的CGA。根据本发明的第二实施例,在PMIPv6环境中充分利用和应用了丽与HA之间的密 码关系,以提供MN的路由优化(RO)。HA丢弃由MN或其通信节点(CN)发送的、承载不是依照在上述第一实施例中描述 的公式而产生的归属地址的任何归属测试发起/归属测试(HoTI/HoT)消息。这需要被HA 所服务的所有MN在产生其自身的CGA归属地址时必须使用HA的公开密钥HKp。丽使其HA能够在将丽的CGA归属地址绑定至RAN (128)及其HKp (即,两个参数 均已用于产生新MD)之前检查MN的CGA归属地址的所有权。一旦证明了地址所有权有效 并且HKp、RAN(128)与丽的归属地址之间的绑定完成,HA就可以证明丽与HKp之间存在关 系,这向CN提供了信任的证明,以鼓励其在不直接与丽进行通信而是直接与服务于丽的 MAG进行通信的情况下向MN提供服务。在本发明的实施例中,提供地址所有权是通过HA对 至少RAN(128)和由CN提供的随机号进行签名来执行的。由于该随机号防止恶意CN使用 已经获得的签名并向其他CN “重播”该签名,因此该随机号是有益的。可选地,如果HA具 有与CN共享的密钥,则可以使用该共享密钥来代替HA的公开/秘密密钥对。图4示意了返回可路由性(RR)过程的信令,在该过程中,HA 401与CN 402建立 长生命期安全关联。CN 402已经正在使用HA 401与当前服务于MN的MAG 403之间的双向 隧道(BT)模式来与MN交换数据分组。使用图4的编号,步骤如下Si.在接收到由MN的当前MAG 403发送的有效代理绑定更新(PBU)之后,MN的HA 401决定向丽提供RO模式服务(例如针对特定业务量/流量)。HA 401向CN 403发送 HoTI消息。该HoTI消息插入有新的选项,称为“双地址(DA) ”,该选项承载由MAG 403发送 给HA 401的新CoA。注意,CoA可以使用不同手段来发送。例如,CoA可以在PBU消息中所 承载的选项中发送给MAG 403,无论HA 401的决定是否针对PBU消息中所承载的特定归属 地址来触发RO模式。在计算归属密钥产生令牌(HoTok)时,在HoTI消息中插入的DA选项 构成了针对CN 402包括CoA的特殊请求。在发送至CN 402的HoTI消息中使用的IPv6源 地址必须属于HA 401,并应当是使用其HKp导出的CGA地址。通过引入DA选项,HA 401能够检测由恶意节点发送的HoTI消息,该恶意节点已 经建立了与HA的“密码”关系,但正在尝试建立与CN的特殊绑定,以对网络或CN 402本身 发起洪泛攻击。HA 401是被允许与特定CN 402建立特殊绑定的唯一实体,这使其能够使用 其与MN的“密码”关系以向丽提供RO模式服务。S2.与同CN 402交换HoTI/HoT消息对并行地,MAG/LMA 403也可以协助丽的HA 401完成RR过程,以触发丽的RO模式。在这种情况下,MAG/LMA 403通过同CN 402交换转 交地址发起/转交地址测试(CoTI/CoT)消息对并反过来接收转交密钥产生令牌(CoTok), 对发送至HA 401的CoA执行地址可达性测试。为了确保HA 401保持对RO模式的完全控 制,HA 401执行CoTI/CoT交换。为此,HA 401将CoTI消息以隧道方式传送至MAG/LMA 403,MAG/LMA 403继而对CoTI消息进行解封装并将其转发至CN 402。CN 402向MAG/LMA 403 作出答复,因此,该答复继而以隧道方式传送回到HA 401。S3.在接收到由HA 401发送的HoTI消息之后,CN 402通过发送承载HoTok的HoT 消息来作出答复。CN保持无状态。S4.在接收到从MAG/LMA 403转发的CoTok时,HA 401将CoTok与从CN 402接收 到的HoTok进行组合,以产生临时的共享秘密(Ks),如RFC 3775中所述。然后,HA 401发 送使用其私有密钥而签名的BU消息(除了使用Ks来对其进行认证之外),并将所有CGA参 数(即,包括HKp)插入BU消息中,以向CN 402提供所有权的证明。HA 401可能需要在BU 消息中设置新的比特,以向CN 402提醒已经使用HA的IPv6地址和CoA产生了 HoTok。该 新比特也用于请求CN 402仅将HA地址的前缀部分绑定至CoA。这意味着该绑定将作用于 64比特前缀与正常IPv6地址之间,因此不会导致两个节点之间的任何数据分组交换,否则 这种交换可能被恶意偷听节点充分利用。 S5.在接收到有效BU消息之后,CN 402产生长生命期秘密(Kbm),使用HKp对其进 行加密,并在绑定肯定应答(BA)消息中将其发送回到HA 401,该BA消息也是使用Ks进行 认证的(并且是可以使用CN的CGA密钥来签名的)。CN 402还设置了新的比特,称为“前 缀绑定(PB)”,以向HA 401指示所请求的、HA地址前缀与CoA之间的绑定已经成功。CN将 HA的公开密钥(即HKp)与Kbm、HA的IP地址前缀、CoA和CN的IP地址一起存储在对应的 绑定高速缓存条目(BCE)中。S6.当HA 401从CN 402接收到有效BA消息时,HA 401向CN 402发送新BU消 息,该新BU消息在称为“链接归属地址(LHA),,选项的选项中包括丽的归属地址。HA 401 包括已被丽使用以从HKp (包括RAN(128)值)导出其IPv6地址的所有CGA参数。HA 401 使用Kbm来认证BU消息。该BU消息用于通过示出HA 401与丽之间的关系,请求CN 402 将MN的归属地址添加至在HA地址前缀(与MN地址前缀相同)与CoA之间创建的绑定。注意,HA 401不需要使用丽的归属地址来与CN 402交换HoTI/HoT消息,这是 由于HA 401已经向CN 402示出其在与丽所使用的前缀相同的前缀处可达。然而,CoTI/ CoT交换可能有助于向CN 402证明与丽具有“密码”关系的HA 401总是能够截获与分配 给MAG接口的CoA相对应的CoTok。在这种情况下,HA在步骤S4的BU消息中发送CoTok。 这可以通过将其插入新的选项中或通过将其与Kbm合并来完成。在后一种情况下,在步骤 S5中,CN 402应当还使用相同的新密钥来认证发送给HA 401的BA消息。只要丽尚未移 动至另一 MAG,就不需要周期性地重复CoTI/CoT交换。作为上述实施例的备选,将第二 BU消息的内容包括在第一 BU消息中。HA 401将 MN的HoA以及其CGA参数(包括RAN(128)值)插入遵循返回可路由性(RR)过程而发送至 CN 402的第一 BU消息中。通过提供与丽的HoA的“密码”关系的证明,HA 401隐式地向 CN 402提示其也能够截获针对可代表MN而运行的任何RR过程的HoTok和CoTok (注意, 在这种RR中,HoTI消息将使用丽的HoA作为源地址,HoT消息将被发送至丽的HoA,并且 CoTI/CoT交换将涉及与HA 401所使用的相同的CoA)。在这种情况下,除了 HA 401所使用 的CoTI/CoT消息之外,不需要交换任何其他CoTI/CoT消息。注意,恶意节点可能配置处于其控制下的其他节点,以与其中的每一个具有“密 码”关系。稍后可以充分利用这种关系来对网络/节点发起攻击。在MIPv6和/或PMIPv6环境中,第一且关键的防御线需要HA 401阻止恶意节点的任何以下可能尝试与CN 402建 立前缀绑定,然后将处于其控制下的所有节点重定向至相同CoA 402。为此,攻击者将需要 发送承载上述新DA选项的HoTI消息。该选项在增强了 RR过程的总体安全性的同时,还允 许HA 401通过简单地查看HoTI消息来在非常早的阶段检测到攻击。通过丢弃分组来阻止 这种攻击。被访问的网络也能够击退洪泛攻击。根据MIPv6协议,对网络洪泛攻击的防御是 周期性地重复返回路由性过程(例如每7分钟)。即使MN没有移动,也周期性地执行上述 HoTI/HoT和CoTI/CoT信令交换。这需要大量信令。恶意节点(MN)可能对网络发起洪泛攻击。一旦已检测到攻击,MAG/LMA 403就显 式地请求HA 401向CN 402发送所认证的信令请求,请求其清除恶意节点的对应BCE。“击 退”类型的防御也可以完全在MAG/LMA 403处实现,在这种情况下,MAG/LMA 403在不经过 HA401的情况下直接向CN 402发送“清除请求”消息。在建立绑定之后HA自身受损的场景 中,这是有用的。在这种情况下,MAG 403执行与CN 402的CoA测试,然后发送特殊的“绑 定清除请求”。该绑定清除请求消息包括MN的CoA以及MAG和MN具有密码关系的证明,并 因此使用MAG的私有密钥而签名。在接收到清除请求时,CN 402首先确保所考虑的CoA存储在CN的绑定缓存条目 (BCE)表中。一旦验证了 MAG有权代表丽来执行操作,CN就从其BCE表中清除丽的CoA 并终止使用该CoA的所有正在进行的会话。CN还向MAG发送清除肯定应答。根据本发明的另一实施例,两个节点之间的密码关系可以用于允许MN将安全邻 居发现(SeND)协议的责任委托给代理节点(如接入路由器(AR))。SeND(见J. Arkko, J. Kempf,B. Sommerfield,B. Zill andP. Nikander,Secure Neighbour Discovery (SeND),,, RFC 3971,March2005)实现了在附着至相同链路的主机之间和/或在主机与其接入路由器 (AR)之间建立关系。SeND在主机侧使用IPv6 CGA,并在接入网络中部署本地公开密钥基础 设施。使用SeND协议,对由AR发送的所有路由器通告(RtAdv)消息以及任何邻居发现 协议(在 T. Narten, E. Nordmark, W. Simpson and H. Soliman, "Neighbor Discovery for IP version 6 (IPv6) RFC 4861,September 2007中描述)消息进行签名。此外,任何主 机可以配置基于CGA的IPv6地址,并在与位于相同链路上的其他主机交换邻居发现协议消 息时使用其属性来提供“所有权证明”。通过使用上述两个节点之间的密码关系,使用CGA IPv6地址的主机可以将SeND 代理的任务委托给其AR。当具有CGA能力的节点附着至其中AR正在使用SeND来对其RtAdv消息进行签名 的链路时,该节点可以安全地获得AR的公开密钥(Kp)的拷贝,并建立节点与AR之间的密 码关系。使用128比特随机参数来重新计算节点的CGA IPv6地址。128比特随机参数需要 修改以使节点能够与AR建立密码关系。利用通过产生随机参数(例如128或256比特) 而创建的另一随机参数来替换该128比特随机参数,然后将该参数与AR的Kp进行连结,之 后对该连结进行散列处理。然后,节点取得所得到的散列的前128比特,并使用其作为新的 随机128比特参数,以产生其CGA IPv6地址的64比特标识符。用于计算新128比特随机参数的规则可以表示如下
新CGA 128 比特随机参数=First [128,Hash (Kp I RAN(128))]其中Firstkize,input)指示了截取“ input”数据以使得仅保留使用前“size” 个比特。RAN (ζ)是ζ比特随机参数,“|”表示连结。一种推荐的散列函数是SHA256。 在计算新128比特参数之后,如CGA规范中定义的,节点继续计算其IPv6地址。然 而,节点必须向其AR发送RAN(128)以使AR知道密码关系。节点可以将RAN(128)插入要 在例如发送至AR的路由器请求(RtSol)消息中承载的新选项(称为SR0)中。为了增加安 全性,节点使用AR的Kp来对SRO进行加密。在接收到承载SRO的RtSol消息时,AR首先检查密码关系的有效性。优选地对SRO 进行解密,并且AR检查CGA IPv6地址是使用AR的Kp来产生的。如果AR确定了 CGA IPv6 地址是使用AR的Kp来产生的,则AR继续检查地址所有权并验证签名。此后,AR将节点的 RAN(128)与其地址和所有关联的CGA参数一起进行存储。在节点决定不向其AR揭示密码关系的情况下,节点可以通过向AR公开仅其新128 比特CGA参数来继续使用SeND协议。当AR需要向第三方证明其被授权以代表MN来执行操作时,AR向第三方公开密码 关系,以提供“所有权证明”。这是通过向第三方通知丽的IPv6地址以及丽已使用以产 生该地址的所有CGA成分来完成的。这些成分包括RAN(128)值而不是128比特随机参数。 此外,AR对发送至第三方的、包含该信息在内的消息进行签名。优选地,AR还将由第三方提 供的随机号包括在该签名中。没有其他节点可以声称代表节点执行操作的相同特权,除非 它可以伪造签名,而这可被假定是不可行的。也可以假定以下情况是不可行的恶意节点产 生另一密钥对并尝试重建得到MN所使用的相同IPv6地址的整个参数链。可能使用与非CGA移动节点的密码关系。丽通过应用前述的相同规则来导出其 IPv6地址,区别在于丽必须取得前64比特并使用其作为用于配置IPv6地址的接口标识 符。根据本场景,主机向AR发送RtSol消息,主机在该消息中包括了 SRO并使用AR的Kp 对该SRO进行加密。注意,在这种情况下,不会对RtSol消息进行签名,但是移动节点使用 IPv6源地址中的64比特接口标识符,以使AR能够检查源地址的有效性。该服务可用于低 处理功率设备,这是由于它允许将邻居发现代理任务委托给其AR。当使用有状态地址配置时,S卩,当丽不是自由选择其自身地址时,可以在丽与其 AR之间自动建立密码关系。这可以通过使DHCP能够产生要分配给附着至链路的MN的IPv6 地址来完成。然后,DHCP与不包含丽的AR共享RAN(128)。在这种场景中,AR可以通过设 置RtAdv消息中的比特来向丽发信号通知其代表丽执行操作的能力。如上所述,可以使用密码关系来实现对移动/静态主机的SeND代理。为此,每个 MN必须与其AR建立密码关系(即,在检查其证书之后),然后向其发送对应的RAN(128)参 数以及其CGA参数。注意,一种将SeND邻居发现协议(NDP)代理任务委托给AR的方式是 在丽可发送的RtSol消息中向AR公开密码关系。在发送了承载SRO的RtSol消息之后, 发送节点(即,已与代理节点建立密码关系的节点)停止答复任何邻居发现协议询问。换 言之,发送节点在其认为合适时决定何时从链路“消失”。
为了私密性目的,MN即使在物理附着至链路时也可以决定将代理任务委托给其AR,以避免在对NDP消息进行签名时公开其自身的CGA公开密钥。事实上,对公开密钥进行 公开可能严重损害可拆解性(unlinkability),尤其是在MN正在使用一个或多个伪IPv6地 址的情况下。当MN正在不同AR之前切换时,MN可能希望保持一定程度的位置私密性,而 如果公开CGA公开密钥则可能破坏这种私密性。当充当代表特定主机的SeND代理时,AR将丽的所有CGA参数以及RAN(128)值 包括在代表MN而发送的每个NDP消息中,以使第三方节点能够在检查NDP消息的有效性之 前使用AR的Kp来导出MN的IPv6地址。如果第三方节点不能根据由AR发送的参数来计 算出所提供的MN的IPv6地址,则第三方节点丢弃该消息。可用于创建密码关系的另一设置是在主机标识协议(HIP)的环境中。这里,(移 动)节点具有主机标识标签(HIT)属性,该属性是通过对节点的公开密钥进行散列处理而 产生的,即HIT = HASHC...,PKn,...)。以与上述实施例类似的方式,在创建HIT时,该节 点还包括某其他实体的公开密钥。一般地,当节点产生临时“标识符”或其他属性时,可以 使用本发明。例如,根据本方法,可以产生EAP(可扩展认证协议,IETF RFC 3748)假名或 GPRS P-TMSI。根据本发明,还可以通过产生(临时)“账号”来委托“金融”交易。根据上述所有实施例,第一节点(例如移动节点)所提供的RAN自身并不构成代 理节点正在代表第一节点执行操作的绝对证明,这是由于代理节点可能表现得不诚实并代 表第一节点来执行不应当执行的操作。在这些实例中,第一节点还必须使用其公开密钥来 产生IP地址,因此第一节点还必须向第三节点提供其公开密钥,以便第三节点验证代理节 点有权代表移动节点来执行操作。现在转至图5,示意了根据本发明实施例的网络节点501’。在本示例中,网络节点 是移动节点501并包括接收机502,用于接收与移动节点相关联的代理节点的公开密钥; 以及处理器503,用于产生丽的以密码方式产生的IP地址。该移动节点还包括发射机 504,用于与代理节点进行通信;以及存储器505,用于存储所产生的IP地址。图6示意了代理节点601,代理节点601具有存储器602,用于存储属于与代理节 点相关联的MN的标识符,该标识符已以如上所述的方式产生。提供了第一发射机603,用于 向另一节点发送该标识符和用于产生该标识符的密码材料以及这些值的签名,该签名允许 该另一节点验证代理节点有权代表第一节点来发送消息。提供了第一处理功能604,用于创 建签名,以及提供了第二发射机605,用于向另一节点发送该签名,以允许该另一节点验证 代理节点有权代表第一节点来发送消息。尽管已经详细示出和描述了各个实施例,但是权利要求不限于任何具体实施例或 示例。以上描述都不应被理解为暗示任何具体元件、步骤或功能是必不可少的而使得其必 须被包括在权利要求的范围内。请求保护的主题的范围由权利要求限定。在本说明书中使用了以下缩略词BA绑定肯定应答BCE绑定高速缓存条目BT双向隧道模式(MIPv6)BU绑定更新CGA以密码方式产生的地址
CN通信节点CoT转交地址测试消息CoTI转交地址发起消息CoTok转交密钥 产生令牌HA归属代理HKp归属代理公开密钥HKr归属代理私有密钥HoT归属测试消息HoTI归属测试发起消息HoTok归属密钥产生令牌IETF因特网工程任务组Kp移动节点CGA公开密钥Ks HA与CN之间的共享密钥LMA本地移动性锚MAG移动接入网关MD修改器MIPv6 移动 IPv6MN移动节点NDP邻居发现协议PMIPv6 代理 MIPv6RO路由优化模式(MIPv6)RR返回可路由性过程PBU代理绑定更新消息SeND安全邻居发现
权利要求
一种在通信网络中的第一节点与第二节点之间建立密码关系的方法,所述方法包括在第一节点处,从第二节点接收第二节点的至少部分密码属性;使用所接收的至少部分密码属性以及第一节点的至少部分密码属性来产生第一节点的标识符。
2.根据权利要求1所述的方法,其中,第一节点的标识符是以密码方式产生的IP地址。
3.根据权利要求1或2所述的方法,其中,密码属性包括属于第二节点的公开密钥。
4.根据权利要求1、2或3所述的方法,还包括在第一节点处,将属于第二节点的密码属性与随机值进行连结; 对连结的结果进行散列处理;以及使用所得到的散列值的至少一部分作为修改器来产生第一节点的标识符。
5.根据权利要求4所述的方法,还包括在第二节点处,向第三节点发送属于第一节点的标识符和所述随机值; 在第三节点处,使用属于第一节点的标识符和所述随机值来验证第二节点与第一节点 具有信任关系。
6.根据权利要求5所述的方法,还包括在第二节点处,对包含属于第一节点的标识符 和所述随机值在内的消息进行签名。
7.根据权利要求1至6中任一项所述的方法,其中,通信网络包括代理移动IP网络,第 一节点是移动节点,第二节点是与所述移动节点相关联的归属代理。
8.根据权利要求7所述的方法,还包括经由所述归属代理来向所述移动节点提供路 由优化。
9.根据权利要求1至6中任一项所述的方法,其中,第一节点是移动节点,第二节点是 代理节点,其中所述移动节点经由所述代理节点附着至通信网络。
10.根据权利要求9所述的方法,还包括从所述代理节点代表所述移动节点来发送安 全邻居发现消息。
11.根据权利要求1至10中任一项所述的方法,还包括 在第二节点处,检测与第一节点相关的洪泛攻击;作为检测的结果,向第三节点发送清除请求消息,所述清除请求消息指示第三节点清 除与第一节点相关的所有绑定高速缓存条目,所述清除请求消息包括属于第一节点的标识 符和用于产生所述标识符的其他密码材料。
12.—种在通信网络中使用的节点,所述节点包括接收机,用于从第二节点接收属于第二节点的至少部分密码属性;以及 处理器,使用属于第二节点的、所接收的至少部分密码属性和属于所述节点的至少部 分密码属性来产生所述节点的标识符。
13.根据权利要求12所述的节点,其中,所述标识符是以密码方式产生的IP地址。
14.根据权利要求12或13所述的节点,其中,密码属性是属于第二节点的公开密钥。
15.根据权利要求12、13或14所述的节点,还包括用于将属于第二节点的密码属性与随机值进行连结的装置; 用于对连结的结果进行散列处理的装置;以及使用所得到的散列值的至少一部分作为修改器来产生所述节点的标识符的装置。
16.一种在通信网络中使用的代理节点,所述代理节点包括存储器,用于存储属于与所述代理节点相关联的第一节点的标识符,所述标识符是 使用属于所述代理节点的至少部分密码属性和属于第一节点的至少部分密码属性来产生 的;发射机,用于向另一节点发送所述标识符和用于产生所述标识符的密码材料,所述另 一节点使用所述标识符和其他密码材料来验证所述代理节点被授权代表第一节点来发送 消息。
17.根据权利要求16或17所述的代理节点,其中,所述标识符是以密码方式产生的IP 地址,并且密码属性是属于所述代理节点的公开密钥。
18.根据权利要求16或17所述的代理节点,还包括用于检测与第一节点相关的洪泛攻击的装置;用于向另一节点发送清除请求消息的装置,所述清除请求消息指示所述另一节点清除 与第一节点相关的所有绑定高速缓存条目,所述清除请求消息包括属于第一节点的标识符 和用于产生所述标识符的其他密码材料。
全文摘要
本发明公开了一种用于在通信网络中的第一节点(102)与第二节点(101)之间建立密码关系的方法和设备。第一节点接收属于第二节点的至少部分密码属性,使用所接收的至少部分密码属性来产生第一节点的标识符。密码属性可以是属于第二节点的公开密钥,标识符可以是以密码方式产生的IP地址。密码关系允许第二节点与有权代表第一节点执行操作的第三节点建立。
文档编号H04W88/02GK101861742SQ200880116542
公开日2010年10月13日 申请日期2008年11月21日 优先权日2007年11月22日
发明者瓦西姆·哈达德, 马茨·内斯隆德 申请人:艾利森电话股份有限公司