专利名称:Hmip认证方法、设备及系统的制作方法
技术领域:
本发明涉及通信及计算机技术领域,尤其涉及HMIP认证方法、设备及系统。
背景技术:
HMIP(Hierarchical Mobile IPv6 Mobility Protocol,分级移动IP协议)中,移动节点(Mobile Node,MN)向移动锚点(Mobile Anchors Point,MAP)注册本地绑定,以实现移动节点的本地化管理。执行HMIP协议的系统结构如图1所示,包括移动节点100、接入路由器(Access Router,AR)101、移动锚点102、家乡代理103、对端节点104。
MN向MAP注册本地绑定的处理流程如图2所示,包括步骤200、MN移动到AR1,AR1执行MAP发现流程,获取MAP的前缀及MAP的地址。
步骤201、AR1向MN通告AR1提供的本地前缀、AR1所属MAP的前缀及MAP的地址。这里,MAP提供的前缀可以向邻居AR周期通告。
步骤202、MN根据AR1提供的本地前缀生成LCoA(On Link Care ofAddress,在线转交地址),根据MAP前缀生成RCoA(Regional Care of Address,本地转交地址),并向MAP发送本地绑定请求消息。
步骤203、MAP收到本地绑定请求消息后,在本地建立RCoA与LCoA的关联。这里,MAP可以发布邻居通告,通告本地转交地址。
步骤204、MN向家乡代理注册,以实现MN家乡地址与RCoA的绑定。
在MN向MAP注册本地绑定后,对端节点向MN传送数据报文的处理流程如图3所示,包括
步骤300、对端节点向MN发送数据报文时,以MN家乡地址为目的地址,该数据报文被家乡代理截获。
步骤301、家乡代理查询绑定列表,获取MAP的地址即RCoA,通过家乡代理与MAP之间的隧道将数据报文发送到MAP。
步骤302、MAP根据RCoA查询到MN的LCoA,通过MN与MAP之间的隧道将数据报文发送到MN。
HMIP协议中MN向MAP注册本地绑定的机制,在一定程度上可以减少通信成本的开销,缩短切换的时延。但是,在分级移动IP域下,MN向MAP注册本地绑定的过程存在一定的安全问题,即MN如何相信一个节点为MAP以及如何保证MN与MAP之间的本地绑定信令的安全。
现有技术提供一种基于SEND(Secure Neighbor Discovery,安全邻居发现)协议的HMIP认证方式,其处理流程如图4所示,包括步骤400、MN生成一对公私钥对(Kp,Kv),并向AR发送路由器请求消息(RtSol),请求AR提供本地前缀和AR所属MAP的前缀,该消息用CGA签名,携带CGA选项和公钥Kp选项。
步骤401、AR生成共享密钥Ks,并向MN发送路由器通告消息(RtAdv),通告AR提供的本地前缀和AR所属MAP的前缀,该消息用CGA公钥Kp加密。
步骤402、AR向MAP发送提前绑定更新消息(PBU),通知MAP进行MN与MAP之间的本地绑定信令认证,该消息携带LCoA、RCoA以及共享密钥Ks。这里,AR与MAP之间的安全由安全联盟保证。
步骤403、MN用CGA私钥Kv对路由器通告消息进行解密,提取出共享密钥Ks,根据AR提供的本地前缀生成LCoA,根据AR所属MAP的前缀生成RCoA,向MAP发送本地绑定请求消息(LBU),该消息用共享密钥Ks加密。
步骤404、MAP接收到本地绑定请求消息后,建立LCoA和RCoA的映射关系,并向MN回复绑定应答消息(LBA)。
现有技术提供的HMIP认证方式的不足在于,MN向MAP发送本地绑定请求消息之前,AR需要向MAP发送提前绑定更新消息,通知MAP进行MN与MAP之间的本地绑定信令认证,这就在AR和MAP之间增加了一条信令开销,并且当提前绑定更新消息传送失败时,将导致MN与MAP之间的本地绑定信令认证失败。另外,当MN从一个AR切换到同属于一个MAP的另一个AR时,需要重新进行整个注册本地绑定的处理流程,导致HMIP认证的处理速度较慢。
发明内容
本发明实施例提供HMIP认证方法、设备及系统,用以保证HMIP认证的可靠性,加快HMIP认证的处理速度。
本发明实施例提供一种HMIP认证方法,该方法包括步骤根据与移动锚点唯一对应的认证选项值生成移动节点与所述移动锚点间的共享密钥;根据所述认证选项值进行所述移动锚点与所述移动节点间的本地绑定信令认证,并用所述共享密钥对所述本地绑定信令进行保护。
本发明实施例还提供一种接入路由器,包括接收单元,用于接收与移动锚点唯一对应的认证选项值;生成单元,用于根据所述认证选项值生成移动节点与所述移动锚点间的共享密钥;发送单元,用于发送所述共享密钥。
本发明实施例还提供一种移动节点,包括发送单元,用于提供与移动锚点唯一对应的认证选项值;接收单元,用于接收根据所述认证选项值生成的移动节点与所述移动锚点间的共享密钥;以及,接收所述移动锚点返回的本地绑定响应消息;
认证单元,用于向所述移动锚点请求本地绑定,并在本地绑定请求消息中携带所述认证选项值,用所述共享密钥加密所述本地绑定请求消息中需要保护的内容;以及,根据所述认证选项值对所述本地绑定响应消息进行认证;绑定单元,用于在对所述本地绑定响应消息的认证成功后,进行本地绑定。
本发明实施例还提供一种移动锚点,包括接收单元,用于接收移动节点的本地绑定请求,其中,本地绑定请求消息中携带有与移动锚点唯一对应的认证选项值,所述本地绑定请求消息中需要保护的内容用根据所述认证选项值生成的所述移动节点与所述移动锚点间的共享密钥加密;认证单元,用于从所述本地绑定请求消息中提取信息生成所述共享密钥,解密所述需要保护的内容,并根据所述认证选项值对所述本地绑定请求消息进行认证;绑定单元,用于在对所述本地绑定请求消息的认证成功后,进行本地绑定;发送单元,用于发送本地绑定响应消息。
本发明实施例还提供一种HMIP认证系统,包括接入路由器,用于根据与移动锚点唯一对应的认证选项值生成移动节点与所述移动锚点间的共享密钥,并向所述移动节点提供所述共享密钥;移动节点,用于向所述接入路由器提供所述认证选项值;向所述移动锚点请求本地绑定,并在本地绑定请求消息中携带所述认证选项值,用所述共享密钥加密所述本地绑定请求消息中需要保护的内容;以及,接收所述移动锚点返回的本地绑定响应消息,根据所述认证选项值对所述本地绑定请求消息进行认证,在认证成功后进行本地绑定;移动锚点,用于接收所述移动节点的本地绑定请求,从所述本地绑定请求消息中提取信息生成所述共享密钥,解密所述需要保护的内容,并根据所述认证选项值对所述本地绑定请求消息进行认证,在认证成功后进行本地绑定;以及,向所述移动节点返回本地绑定响应消息。
本发明实施例中,根据与移动锚点MAP唯一对应的认证选项值生成移动节点MN与MAP间的共享密钥;根据该认证选项值进行MAP与MN间的本地绑定信令认证,并用生成的共享密钥对本地绑定信令进行保护,可以保证HMIP认证的可靠性,加快HMIP认证的处理速度。
图1为背景技术中执行HMIP协议的系统结构示意图;图2为背景技术中MN向MAP注册本地绑定的处理流程图;图3为背景技术中对端节点向MN传送数据报文的处理流程图;图4为背景技术中HMIP认证的处理流程图;图5为本发明实施例中HMIP认证系统的结构示意图;图6为本发明实施例中AR的结构示意图;图7为本发明实施例中MN的结构示意图;图8为本发明实施例中MAP的结构示意图;图9为本发明实施例中HMIP认证的处理流程图;图10为本发明实施例中AR对路由器请求消息中MAP地址选项的处理流程图;图11本发明实施例中MAP进行本地绑定的处理流程图。
具体实施例方式
本发明实施例中,根据与移动锚点MAP唯一对应的认证选项值生成移动节点MN与MAP间的共享密钥;根据该认证选项值进行MAP与MN间的本地绑定信令认证,并用生成的共享密钥对本地绑定信令进行保护,以保证HMIP认证的可靠性,加快HMIP认证的处理速度。
本发明实施例中的一种HMIP认证系统的结构如图5所示,包括接入路由器AR500、MN501、MAP502。
其中,AR500,用于根据与MAP502唯一对应的认证选项值生成MN501与MAP502间的共享密钥,并向MN501提供该共享密钥。
MN501,用于向AR500提供该认证选项值;向MAP502请求本地绑定,并在本地绑定请求消息中携带该认证选项值,用共享密钥加密本地绑定请求消息中需要保护的内容;以及,接收MAP502返回的本地绑定响应消息,根据该认证选项值对本地绑定请求消息进行认证,在认证成功后进行本地绑定。
MAP502,用于接收MN501的本地绑定请求,从本地绑定请求消息中提取信息生成共享密钥,解密本地绑定请求消息中需要保护的内容,并根据该认证选项值对本地绑定请求消息进行认证,在认证成功后进行本地绑定;以及,向MN501返回本地绑定响应消息。
本发明实施例中AR的结构如图6所示,具体包括接收单元600、生成单元601、发送单元602;其中,接收单元600,用于接收与MAP唯一对应的认证选项值;生成单元601,用于根据所述认证选项值生成MN与所述MAP间的共享密钥;发送单元602,用于发送所述共享密钥。
本发明实施例中MN的结构如图7所示,具体包括发送单元700、接收单元701、认证单元702、绑定单元703;其中,发送单元700,用于提供与MAP唯一对应的认证选项值;接收单元701,用于接收根据所述认证选项值生成的MN与所述MAP间的共享密钥;以及,接收所述MAP返回的本地绑定响应消息;认证单元702,用于向所述MAP请求本地绑定,并在本地绑定请求消息中携带所述认证选项值,用所述共享密钥加密所述本地绑定请求消息中需要保护的内容;以及,根据所述认证选项值对所述本地绑定响应消息进行认证;绑定单元703,用于在对所述本地绑定响应消息的认证成功后,进行本地绑定。
本发明实施例中MAP的结构如图8所示,具体包括接收单元800、认证单元801、绑定单元802、发送单元803;接收单元800,用于接收MN的本地绑定请求,其中,本地绑定请求消息中携带有与MAP唯一对应的认证选项值,所述本地绑定请求消息中需要保护的内容用根据所述认证选项值生成的所述MN与所述MAP间的共享密钥加密;认证单元801,用于从所述本地绑定请求消息中提取信息生成所述共享密钥,解密所述需要保护的内容,并根据所述认证选项值对所述本地绑定请求消息进行认证;绑定单元802,用于在对所述本地绑定请求消息的认证成功后,进行本地绑定;发送单元803,用于发送本地绑定响应消息。
这里,与MAP唯一对应的认证选项值可以是由哈希算法获得的哈希值,如单向哈希值,或离散哈希值,也可以是由可执行完整性认证的基于选项的认证算法获得的认证选项值,如由挑战应答式认证算法获得的认证选项值等,本发明实施例中以该认证选项值为单向哈希值为例进行说明。本发明实施例中,由MN提供认证选项值,由AR生成MN与MAP之间的共享密钥,这里也可以由MAP提供认证选项值,由MN与MAP协商两者之间的共享密钥,后续的处理流程类似。
本发明实施例中HMIP认证的处理流程如图9所示,其前提是AR完成对MN的接入认证,包括步骤900、MN向AR发送路由器请求消息(RtSol),请求AR提供本地前缀和AR所属MAP的前缀。在此之前,MN生成一组单向哈希链表(V0,V1,V20)和一对公私钥对(Kp,Kv),MN向AR发送的路由器请求消息用CGA(Cryptographically Generated Addresses,加密生成地址)签名,携带CGA选项、公钥Kp选项、Vi(单向哈希值)选项、MAP地址选项。其中,MAP地址选项在进行第一次认证时设为零。
MN在生成单向哈希链表时,不同的MAP具有不同的单向哈希值,即单向哈希值与MAP唯一对应,MN切换到的AR属于不同的MAP时,MAP对应的Vi才发生改变。
步骤901、AR接受MN的路由器请求,向MN返回路由器通告。
具体的,AR接收MN的路由器请求消息,从该消息中提取CGA公钥Kp,并根据本地前缀和MN的接口ID为MN生成在线转交地址LCoA,其中LCoA=AR Prefix+MN IID;以及,根据Vi生成MN与MAP之间的共享密钥Ks’,该共享密钥以组成LCoA和RCoA的材料作为主要输入,如Ks’=SHA1(Ks|Vi|MN IID),其中,Ks是AR与MAP之间的共享密钥。
AR向MN返回路由器通告消息(RtAdv),该消息用CGA公钥Kp加密,携带共享密钥Ks’选项、MAP的SPI索引(Security Parameter Index,安全参数索引)选项和Nonce选项,该消息还携带有AR的本地前缀和AR所属的MAP的前缀。
步骤902、MN接收到AR返回的路由器通告消息后,向MAP请求本地绑定。
具体的,MN接收到AR返回的路由器通告消息后,首先用CGA私钥Kv对该消息进行解密,提取共享密钥材料Ks’、SPI索引、AR的本地前缀、AR所属的MAP的前缀,并根据AR的本地前缀和MN的linklocal地址生成在线转交地址LCoA,发送邻居通告发布MN的地址。同时根据Vi、Ks和MAP前缀生成本地转交地址RCoARCoA=Prefix ofMAP|First(64,SHA1(Ks|Vi))。
MN向MAP发送本地绑定请求消息(LBU),该消息中携带LCoA地址选项、RCoA地址选项、Vi选项、MAP的SPI索引选项,其中RCoA地址选项用Ks’加密。
步骤903、MAP接受MN的本地绑定请求,向MN返回本地绑定响应。
具体的,MAP收到MN的本地绑定请求消息后,提取出Vi选项、SPI选项、LCoA(即报文源地址)选项,先利用SPI选项查询到对应的Ks,然后利用Ks、Vi生成MAP与MN间的共享密钥Ks’,然后对RCoA选项进行解密,若从本地绑定请求消息中提取出的Vi等于Last(64,RCoA),即该Vi与RCoA相关,则对本地绑定请求消息的认证成功。此时,MAP建立RCoA和LCoA的对应关系,如建立相应的本地绑定列表VCE(SPI,Ks’,RCoA,Vi,,LCoA)。即MAP的绑定列表包含SPI索引、共享密钥Ks’、RCoA、单向哈希值Vi、LCoA,当然,这里MAP的绑定列表还可以包含MN的接口ID、密钥的生命周期TL。
由于RCoA是根据Vi生成的,若MAP的本地已有RCoA和LCoA的绑定列表,则可以利用本地绑定请求消息中解密出的RCoA计算出Vi,将计算出的Vi与本地绑定列表中的Vi作比较,在两者相同时,可以验证得出来自MN的消息是安全的。
MAP向MN返回本地绑定响应消息,该消息中可以携带令牌Token选项,Token计算如下Token=First(128,SHA1(RCoA|MAP address|Vi)MN接收到MAP的本地绑定响应消息后,根据本地保存的RCoA、Vi和MAP地址计算Token,与消息中Token进行比较,若相等,则对本地绑定响应消息的认证成功,建立本地绑定列表MCE(MAP Address,SPI,Ks’,RCoA)。即MN的绑定列表包含MN所属MAP的地址、SPI索引、共享密钥Ks’、RCoA。
步骤901中另一种可能的实现方式是,AR接收到来自MN的路由器请求消息后,发现该请求消息中携带MAP地址选项与本设备所述的MAP地址相同,则在向MN返回的路由器通告消息中,无需携带AR的本地前缀和AR所属的MAP的前缀,而是通知MN在向MAP发送的本地绑定请求消息中,携带MN本地已有的LCoA和RCoA。即此时的AR与MN交互的前一个AR同属于一个MAP,无需新生成LCoA和RCoA,从而加快了认证过程。MN可以从本地已有的绑定列表中提取MAP地址,在向AR发送的路由器请求消息中携带MAP地址选项。
在路由器请求消息中携带MAP地址选项与本设备所述的MAP地址不相同或者路由器请求消息中未携带有MAP地址选项时,AR需要向MN提供本地前缀和AR所属的MAP的前缀,MN需要根据该本地前缀和MAP的前缀新生成LCoA和RCoA。
具体的,AR接收到来自MN的路由器请求消息后,对消息中MAP地址选项的处理流程如图10所示,包括
步骤1000、AR接收来自MN的路由器请求消息。
步骤1001、AR判断路由器请求消息中携带的MAP地址选项是否等于本设备所属的MAP地址,若是,则继续步骤1002,否则进行步骤1004。
步骤1002、AR通过路由器通告消息通知MN,本设备与MN交互的前一个AR属于同一个MAP。
步骤1003、MN向MAP请求本地绑定,并在本地绑定请求消息中携带本地已有的LCoA和RCoA。
步骤1004、MN根据AR提供本地前缀和AR所属的MAP的前缀新生成LCoA和RCoA,后续在向MAP发送的本地绑定请求消息中携带新生成的LCoA和RCoA。
步骤903的另一种实现方式是,当MAP收到来自MN的本地绑定请求消息,并从报文选项中提取LCoA后,可以按LCoA查询本地的绑定列表,若没有该LCoA与RCoA的本地绑定条目,则建立该LCoA与RCoA的本地绑定条目,若有该LCoA与RCoA的本地绑定条目,则可以直接对该本地绑定条目进行更新,从而加快了认证过程。
具体的,此时MAP进行本地绑定的处理流程如图11所示,包括步骤1100、MAP接收来自MN的本地绑定请求消息。
步骤1101、MAP从本地绑定请求消息中提取LCoA(即消息源地址),并由该LCoA计算得到MN的接口ID(这里MN的接口ID为LCoA的后64位),根据该接口ID查询MAP的本地绑定列表,如果存在该LCoA与RCoA的本地绑定条目,则继续步骤1102,否则进行步骤1106。
步骤1102、MAP根据Ks’的生成方式验证本地绑定列表中Ks’的完整性,若完整性验证失败,则进行步骤1105,通知认证失败,否则继续步骤1103。
步骤1103、MAP用Ks’对绑定更新消息解密,并验证LCoA和RCoA的合法性,若LCoA和RCoA均为合法,则进行步骤1104,否则进行步骤1105,通知认证失败。
步骤1104、MAP更新相应的MAP绑定列表,转入步骤1109。
步骤1105、MAP向MN返回本地更新响应消息,通知认证失败。
步骤1106、在MAP的本地绑定列表中不存在从本地绑定请求消息提取出的LCoA与RCoA的本地绑定条目时,根据MN的接口ID和Vi生成MN与MAP的共享密钥Ks’。
步骤1107、MAP用生成的Ks’对本地绑定请求消息解密,提取LCoA和RCoA并验证LCoA和RCoA的合法性,若LCoA和RCoA均为合法,则继续步骤1108,否则进行步骤1105,通知认证失败。
步骤1108、MAP建立新的LCoA和RCoA的本地绑定条目。
步骤1109、MAP向MN发送本地绑定响应消息。
本发明实施例中,对于MN获取合法地址后,仿冒外地链路其它地址的情况,可以由MAP根据SPI索引查询AR的前缀,与本地绑定更新中的LCoA前缀相比较,如果不相等,则本地绑定请求消息认证失败。对于MN获取合法地址后,仿冒本地链路其它地址的情况,可以由本地链路路由器DAD检测杜绝。
MN与MAP之间的共享密钥过期时,将导致MAP对MN认证失败,此时MN将重新发起认证过程,不携带MAP地址选项,从而产生MN与MAP之间新的共享密钥。
AR与MAP之间没有安全联盟时,AR与MAP之间传递信令是不安全的,由于MN与MAP之间的共享密钥同AR与MAP之间的共享密钥相关,而AR与MAP之间的共享密钥本身是不安全的,此时AR会在路由器通告消息中通知MN,MN与MAP之间没有安全联盟,因此HMIP无法认证成功。
对于合法MN窃取另一个合法MN的共享密钥Ks’的处理,本发明实施例中,由于共享密钥Ks’是与MN的接口ID以及单向哈希值Vi绑定的,即Ks’=SHA1(Ks|MN IID|Vi),并且,AR限制获得认证的用户使用接口ID与AR提供的前缀生成LCoA,即AR只允许通过认证且用接口ID生成地址的MN通过AR向外发送报文。MN向MAP发送本地绑定请求消息LBU中携带有LCoA,RCoA,Vi,SPI选项,MAP收到MN的报文时,首先根据报文源地址获取MN的接口ID,根据接口ID查询绑定列表是否存在绑定条目,如果存在,则首次验证Ks’的完整性,从而避免Ks’被其它合法用户窃取的问题。另外,MAP从LBU报文提取源地址,检验LCoA地址的合法性。对于RCoA地址的检验,RCoA=MAP Prefix+First(64,SHA1(Ks|Vi)),即LCoA和RCoA的生成方式是确定的,不是随机生成的。
本发明实施例中,根据与移动锚点MAP唯一对应的认证选项值生成移动节点MN与MAP间的共享密钥;根据该认证选项值进行MAP与MN间的本地绑定信令认证,并用生成的共享密钥对本地绑定信令进行保护,可以保证HMIP认证的可靠性,加快HMIP认证的处理速度。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若对本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
权利要求
1.一种HMIP认证方法,其特征在于,该方法包括步骤根据与移动锚点唯一对应的认证选项值生成移动节点与所述移动锚点间的共享密钥;根据所述认证选项值进行所述移动锚点与所述移动节点间的本地绑定信令认证,并用所述共享密钥对所述本地绑定信令进行保护。
2.如权利要求1所述的方法,其特征在于,由所述移动节点向接入路由器提供所述认证选项值,所述接入路由器根据所述认证选项值生成所述共享密钥并提供给所述移动节点。
3.如权利要求2所述的方法,其特征在于,所述移动节点向所述接入路由器提供所述认证选项值时,还提供所述移动锚点的地址,所述接入路由器根据所述移动锚点的地址确定所述移动锚点为本设备所属的移动锚点时,通知所述移动节点在向所述移动锚点请求本地绑定时,在本地绑定请求消息中携带本地原有的在线转交地址和本地转交地址。
4.如权利要求2所述的方法,其特征在于,所述接入路由器还向所述移动节点提供本地前缀和所述移动锚点的前缀,所述移动节点根据所述本地前缀生成在线转交地址,根据所述移动锚点的前缀和所述认证选项值生成本地转交地址,并在向所述移动锚点请求本地绑定时,在本地绑定请求消息中携带生成的在线转交地址和本地转交地址。
5.如权利要求2所述的方法,其特征在于,所述移动节点在向所述移动锚点请求本地绑定时,在本地绑定请求消息中携带所述认证选项值。
6.如权利要求3、4或5所述的方法,其特征在于,所述移动节点用所述共享密钥加密所述本地绑定请求消息中需要保护的内容。
7.如权利要求6所述的方法,其特征在于,所述本地绑定请求消息中需要保护的内容包括本地转交地址。
8.如权利要求6所述的方法,其特征在于,所述移动锚点接收到所述移动节点的本地绑定请求后,从所述本地绑定请求消息中提取信息生成所述共享密钥,解密所述需要保护的内容,并在根据所述认证选项值确定对所述本地绑定请求消息的认证成功时,在本地建立所述在线转交地址与所述本地转交地址的对应关系。
9.如权利要求8所述的方法,其特征在于,所述移动锚点根据所述认证选项值确定对所述本地绑定请求消息的认证成功是指所述移动锚点确定所述认证选项值与所述本地转交地址相关;或所述移动锚点确定所述认证选项值与本地保存的认证选项值一致。
10.如权利要求8所述的方法,其特征在于,所述移动锚点确定本地已建立有所述在线转交地址与所述本地转交地址的对应关系时,对该对应关系进行更新。
11.如权利要求8所述的方法,其特征在于,所述移动锚点在本地建立所述在线转交地址与所述本地转交地址对应关系后,向所述移动节点返回本地绑定响应消息,所述移动节点根据所述认证选项值确定对所述本地绑定响应消息的认证成功时,在本地建立所述在线转交地址与所述本地转交地址的对应关系。
12.如权利要求11所述的方法,其特征在于,所述移动节点根据所述认证选项值确定对所述本地绑定响应消息的认证成功是指所述移动节点根据所述认证选项值在本地生成令牌,确定该令牌与所述本地绑定响应消息中的令牌一致。
13.如权利要求11所述的方法,其特征在于,所述在线转交地址与所述本地转交地址的对应关系为所述在线转交地址与所述本地转交地址的绑定列表。
14.如权利要求1所述的方法,其特征在于,所述认证选项值为单向哈希值。
15.一种接入路由器,其特征在于,包括接收单元,用于接收与移动锚点唯一对应的认证选项值;生成单元,用于根据所述认证选项值生成移动节点与所述移动锚点间的共享密钥;发送单元,用于发送所述共享密钥。
16.一种移动节点,其特征在于,包括发送单元,用于提供与移动锚点唯一对应的认证选项值;接收单元,用于接收根据所述认证选项值生成的移动节点与所述移动锚点间的共享密钥;以及,接收所述移动锚点返回的本地绑定响应消息;认证单元,用于向所述移动锚点请求本地绑定,并在本地绑定请求消息中携带所述认证选项值,用所述共享密钥加密所述本地绑定请求消息中需要保护的内容;以及,根据所述认证选项值对所述本地绑定响应消息进行认证;绑定单元,用于在对所述本地绑定响应消息的认证成功后,进行本地绑定。
17.一种移动锚点,其特征在于,包括接收单元,用于接收移动节点的本地绑定请求,其中,本地绑定请求消息中携带有与移动锚点唯一对应的认证选项值,所述本地绑定请求消息中需要保护的内容用根据所述认证选项值生成的所述移动节点与所述移动锚点间的共享密钥加密;认证单元,用于从所述本地绑定请求消息中提取信息生成所述共享密钥,解密所述需要保护的内容,并根据所述认证选项值对所述本地绑定请求消息进行认证;绑定单元,用于在对所述本地绑定请求消息的认证成功后,进行本地绑定;发送单元,用于发送本地绑定响应消息。
18.一种HMIP认证系统,其特征在于,包括接入路由器,用于根据与移动锚点唯一对应的认证选项值生成移动节点与所述移动锚点间的共享密钥,并向所述移动节点提供所述共享密钥;移动节点,用于向所述接入路由器提供所述认证选项值;向所述移动锚点请求本地绑定,并在本地绑定请求消息中携带所述认证选项值,用所述共享密钥加密所述本地绑定请求消息中需要保护的内容;以及,接收所述移动锚点返回的本地绑定响应消息,根据所述认证选项值对所述本地绑定请求消息进行认证,在认证成功后进行本地绑定;移动锚点,用于接收所述移动节点的本地绑定请求,从所述本地绑定请求消息中提取信息生成所述共享密钥,解密所述需要保护的内容,并根据所述认证选项值对所述本地绑定请求消息进行认证,在认证成功后进行本地绑定;以及,向所述移动节点返回本地绑定响应消息。
19.如权利要求18所述的系统,其特征在于,所述移动节点向所述接入路由器提供所述认证选项值时,还提供所述移动锚点的地址,所述接入路由器根据所述移动锚点的地址确定所述移动锚点为本设备所属的移动锚点时,通知所述移动节点在向所述移动锚点请求本地绑定时,在本地绑定请求消息中携带本地原有的在线转交地址和本地转交地址。
20.如权利要求18所述的系统,其特征在于,所述接入路由器还向所述移动节点提供本地前缀和所述移动锚点的前缀,所述移动节点根据所述本地前缀生成在线转交地址,根据所述移动锚点的前缀和所述认证选项值生成本地转交地址,并在向所述移动锚点请求本地绑定时,在本地绑定请求消息中携带生成的在线转交地址和本地转交地址。
21.如权利要求19或20所述的系统,其特征在于,所述本地绑定是指在本地建立所述在线转交地址与所述本地转交地址的对应关系。
22.如权利要求21所述的系统,其特征在于,所述认证选项值为单向哈希值。
全文摘要
本发明公开了一种HMIP认证方法;该方法包括根据与移动锚点唯一对应的认证选项值生成移动节点与所述移动锚点间的共享密钥;根据所述认证选项值进行所述移动锚点与所述移动节点间的本地绑定信令认证,并用所述共享密钥对所述本地绑定信令进行保护。本发明同时公开一种接入路由器、移动节点、移动锚点和HMIP认证系统。采用本发明可以保证HMIP认证的可靠性,加快HMIP认证的处理速度。
文档编号H04L9/30GK101022418SQ20071008683
公开日2007年8月22日 申请日期2007年3月14日 优先权日2007年3月14日
发明者吴钦, 欧历云, 叶成平 申请人:华为技术有限公司