CN1531245B - 服务器、终端控制设备以及终端鉴权方法 - Google Patents
服务器、终端控制设备以及终端鉴权方法 Download PDFInfo
- Publication number
- CN1531245B CN1531245B CN200410007291.3A CN200410007291A CN1531245B CN 1531245 B CN1531245 B CN 1531245B CN 200410007291 A CN200410007291 A CN 200410007291A CN 1531245 B CN1531245 B CN 1531245B
- Authority
- CN
- China
- Prior art keywords
- terminal
- prefix
- information
- server
- authentication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
- 238000004891 communication Methods 0.000 claims abstract description 52
- 238000000034 method Methods 0.000 claims description 77
- 230000006870 function Effects 0.000 claims description 38
- 230000004044 response Effects 0.000 claims description 10
- 238000005516 engineering process Methods 0.000 claims description 9
- 238000007689 inspection Methods 0.000 claims description 7
- 238000012790 confirmation Methods 0.000 claims description 6
- 238000013475 authorization Methods 0.000 claims 11
- GOLXNESZZPUPJE-UHFFFAOYSA-N spiromesifen Chemical compound CC1=CC(C)=CC(C)=C1C(C(O1)=O)=C(OC(=O)CC(C)(C)C)C11CCCC1 GOLXNESZZPUPJE-UHFFFAOYSA-N 0.000 claims 2
- 238000012423 maintenance Methods 0.000 claims 1
- 230000008569 process Effects 0.000 description 21
- 238000010586 diagram Methods 0.000 description 11
- 230000005540 biological transmission Effects 0.000 description 5
- 238000012545 processing Methods 0.000 description 5
- 230000008859 change Effects 0.000 description 3
- 239000000284 extract Substances 0.000 description 3
- 230000008878 coupling Effects 0.000 description 1
- 238000010168 coupling process Methods 0.000 description 1
- 238000005859 coupling reaction Methods 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 238000000605 extraction Methods 0.000 description 1
- 238000003780 insertion Methods 0.000 description 1
- 230000037431 insertion Effects 0.000 description 1
- 238000009434 installation Methods 0.000 description 1
- 238000011835 investigation Methods 0.000 description 1
- 230000004807 localization Effects 0.000 description 1
- 238000011160 research Methods 0.000 description 1
- 230000035807 sensation Effects 0.000 description 1
- 230000001052 transient effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/50—Address allocation
- H04L61/5007—Internet protocol [IP] addresses
- H04L61/5014—Internet protocol [IP] addresses using dynamic host configuration protocol [DHCP] or bootstrap protocol [BOOTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/126—Applying verification of the received information the source of the received data
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/164—Implementing security features at a particular protocol layer at the network layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2101/00—Indexing scheme associated with group H04L61/00
- H04L2101/60—Types of network addresses
- H04L2101/668—Internet protocol [IP] address subnets
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/061—Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W8/00—Network data management
- H04W8/02—Processing of mobility data, e.g. registration information at HLR [Home Location Register] or VLR [Visitor Location Register]; Transfer of mobility data, e.g. between HLR, VLR or external networks
- H04W8/08—Mobility data transfer
- H04W8/085—Mobility data transfer involving hierarchical organized mobility servers, e.g. hierarchical mobile IP [HMIP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W80/00—Wireless network protocols or protocol adaptations to wireless operation
- H04W80/04—Network layer protocols, e.g. mobile IP [Internet Protocol]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种服务器设备,包括:处理器,用于发出并保证公共密钥认证;存储器,用于保存关于终端设备的前缀分配允许/禁止信息的信息;通信接口,用于从所述终端设备接收公共密钥发出认证请求,并重写所述前缀分配允许/禁止信息,以及所述处理器被构造为运行这样一个例行程序,即在所述例行程序中,从所述终端设备接收公共密钥认证发出请求,所述终端设备的公共密钥认证由所述服务器设备发出;由所述服务器设备重写所述前缀分配允许/禁止信息,且所述认证被从所述服务器设备发送到所述终端设备。
Description
技术领域
本发明涉及服务器、移动控制设备以及终端鉴权方法。本发明尤其涉及用于在通信系统内使用移动IP协议保证并发出公共密钥认证的服务器、原籍代理设备与终端鉴权方法。
背景技术
IETF(互联网工程特别任务组)正评价移动IPv6的技术规范(参考正在研发的IPv6内的移动性支持<draft-ietf-mobileip-ipv6-19.txt>)。
包括移动IPv6网络的元件为移动节点(MN)、原籍代理(HA)和对应节点(CN)。
所述MN被指配一个IP地址(原籍地址),即使所述MN移动所述IP地址也不会改变。处理与所述原籍地址相同的前缀的链路被称为原籍链路。所述HA管理非所述原籍链路的位置内的MN位置信息(绑订高速缓存)。
所述MN获取并非所述原籍链路的链路的转交地址(以下称为CoA)。不在所述原籍链路内的MN接收由受访链路内的路由器周期性发送的路由器报告(通知)。MN通过检测不同于所述原籍地址的前缀感觉移动,并生成CoA。MN登记(存储)链接所述CoA和HA内的原籍地址的信息。
所述MN包括原籍代理地址发现功能(用于查找HA地址的功能),并且可积极搜索HA的IP地址。所述MN首先根据所述原籍链路的前缀生成移动IPv6原籍代理任播地址。所述MN将ICMP原籍代理地址发现请求发送到地址目的地。该信号由一个所述原籍链路HA接收。接收到所述信号的HA将ICMP原籍代理地址发现应答发送到MN,所述应答包括关于所述HA的信息。所述MN从所述信号提取HA信息,并获得HA地址。所述MN发送用于该HA地址的绑订更新。
所述HA接收所述绑订更新,并将MN位置信息存储在绑订高速缓存内。
为了发挥MN的代理的功能,所述HA发送寻址到所述原籍链路的所有节点组播地址的相邻通知。接收到所述相邻通知的节点将链接所述MN原籍地址与HA链路层地址的信息存储在相邻高速缓存内。所述HA捕获寻址到MN的原籍地址的分组。
移动IPv6包括向在所述原籍链路之外的MN通知原籍网络前缀信息的功能。例如,如果所述原籍网络的前缀已经改变,则HA参考(搜索)所述绑订高速缓存,并将前缀信息报告(执行移动前缀通知)给已登记位置中的MN。所述MN也可向HA请求前缀信息(移动前缀恳求)。
作为一种用于实现IP网络上的安全性的技术,所述IP安全协议(IPsec)是注意的焦点。所述IPsec是一种用于通过利用加密技术和认证技术来安全传送IP分组的技术。移动IPv6将所述IPsec技术应用于将位置登记信号(绑订更新)从MN发送到HA(参考draft-ietf-mobile-mipv6-ipsec-01.txt,正在研发)。
所述IPsec技术通过在使用IPsec的设备之间生成SA(安全联系)来提供安全功能。利用IPsec的设备包括SPD(安全政策数据库)和SAD(安全联系数据库)。
所述安全政策数据库(SPD)规定用于处理分组的方法。所述安全联系数据库(SAD)是保存在使用IPsec的设备内的SA(安全联系)的列表。所述SA由SPI(安全参数索引)识别。
用于生成SA的方法包括人工设置方法和自动生成方法。IKE(互联网密钥交换)是一种用于自动生成并管理所述SA的协议。所述IKE通过使用建议交换功能、生成密钥的功能以及IKE对应节点的认证功能,自动生成所述SA。
为IKE对应节点指定的认证方法为预共享密钥鉴权方法、公共密钥认证方法、数字签名鉴权方法等。所述数字签名鉴权方法具有高度灵活性,因为其无需与通信另一方(或对应节点)预先共享密钥信息。所述数字签名认证方法由CA(认证授权)用于发出公共密钥认证。公共密钥认证的格式在X.509内规定。
CMP(认证管理协议)是一种用于发出和管理电子认证的协议。所述CMP在IETF RFC2510内规定。所述CMP用于HTTP(超文本传送协议)和TCP(传输控制协议)内的传送协议。
一种为基于移动IPv6的局部化移动管理建议的技术是分级移动IPv6移动管理(HMIPv6)(参考draft-ietf-mobileip-hmipv6-07.txt,正在研发)。所述HMIPv6包括HA与MN之间的MAP(移动锚点)。所述MN从AR(接入路由器)接收包括MAP选项的路由器通告,获得MAP IP地址,并生成RcoA(区域性转交地址)和LcoA(链路上CoA)。与HMIPv6兼容的MN将位置信息登记在MAP和HA内。所述MAP管理MN RcoA和LcoA的绑订信息。所述HA管理MN原籍地址和RcoA的绑订信息。当所述MN移动到MAP内时,所述MN仅重写(更新)MAP位置信息。
所述IETF当前正在评价DHCPv6的IPv6前缀委派选项(以下称为DHCP-PD)(draft-ietf-dhc-dhcpv6-opt-prefix-delegation-01.txt,正在研发)。所述DHCP-PD是这样一种功能,其使用DHCP(动态主机配置协议)将IPv6前缀(组)从地址指配一侧指配给站点。
包括DHCP-PD的元件是授权路由器与请求路由器。所述请求路由器请求所述授权路由器指配IPv6前缀(组)。所述授权路由器选择IPv6前缀(组),并将所述IPv6前缀(组)发送到请求路由器。例如,在将前缀指配给用户时,所述DHCP-PD由ISP(互联网业务提供商)利用。
在相互连接到区域A和区域B的通信系统内,当属于区域A的移动节点(MN)移动到区域B时,该MN将其位置登记在区域A的HA内。所述位置登记信号(绑订更新信号)然后经历IPsec处理。
相关技术的问题在于,在为HA和MN设置SA(安全联系)时无法维持安全性,且关于在加密内使用的密钥的信息已经泄漏。此外,使用移动IPv6前缀报告(通知)功能和HA地址发现功能将会改变MN的原籍地址或HA地址。因此,用于人工设置MN与HA之间的SA的方法在系统操作期间内不再有用。如果MN是本征的,则同样并不存在用于当前证实移动IP的方法。
发明内容
本发明提供了一种使用IP技术的终端鉴权方法。本发明尤其提供了一种进程,其通过将数字签名鉴权方法与移动IP位置登记进程联合起来,并通过为链接到发出公共密钥认证的HA的原籍地址生成并保持SA(安全联系),从而鉴权终端。
本发明还提供了一种系统,其在MN动态获取原籍地址时,通过链接DHCP-PD授权路由器和CA,以及通过链接DHCP-PD授权路由器和HA,从而鉴权本征终端。
本发明尤其具有以下特征,当具有属于区域A的HA的原籍网络的终端x利用区域B内的DHCP-PD部分获得原籍网络前缀时,
1)所述DHCP-PD授权路由器将前缀信息分配给由CA批准的终端。
2)所述HA为具有由所述授权路由器分配的前缀的IP地址生成SA,并批准位置登记,以满足所述SA。
本发明还提供了一种鉴权方法,其用于在属于区域B的通信设备拥有与HMIPv6兼容的MAP,且所述通信设备从MN接收绑订更新并起动DHCP-PD部分时,使DHCP授权路由器将前缀信息分配给CA所批准的终端。
本发明还提供了一种通信方法,其使HA将前缀信息报告给CA所批准的终端。
具体而言:
(1)所述CA包括一种用于与如图2、20和23所示的DHCP-PD授权路由器部分通信的系统。所述CA将公共密钥认证发送到所述终端,并允许报告前缀信息。
(2)所述终端包括移动IPv6功能、IPsec功能以及保存数字签名所需的信息的功能。鉴权数字签名所需的信息可能是从外部存储设备接收的。所述终端不必是移动终端。
(3)所述终端控制设备包括DHCPv6前缀委派选项的授权路由器功能(以下称为DHCP-PD)。所述授权路由器功能包括一种用于与CA通信的系统,以及一种用于将前缀信息报告给CA所批准的终端的系统。
(4)当从所述终端接收到生成SA的请求时,所述终端控制设备向所述DHCP-PD授权路由器功能询问前缀信息。所述终端控制设备包括这样一种系统,如果所述终端使用所述授权路由器功能所分配的前缀,则所述系统在终端之间生成SA。
(5)所述终端控制设备包括一种保存终端的公共密钥认证的存储设备或系统。前缀信息可能被传送到所述CA所批准的终端。
附图说明
图1是示出了本发明通信网络的结构的概念图;
图2是原籍代理HA1的方框图;
图3是包括在HA1内的绑订高速缓存管理表;
图4是包括在HA1内的前缀控制表;
图5是包括在HA1的DHCP-PD部分内的前缀委派处理例行程序的流程图;
图6是包括在HA1的IPsec内的IPsec处理例行程序的流程图;
图7是认证授权CA3的方框图;
图8示出了包括在CA3内的前缀分配控制表;
图9是包括在A3内的公共密钥认证发出例行程序的流程图;
图10示出了IPv6分组的格式;
图11示出了CMP消息的实例;
图12示出了DHCPv6分组的格式;
图13示出了ISAKMP分组的格式;
图14示出了确认IKE阶段1的身份时的ISAKMP分组的格式;
图15是绑订更新消息的实例;
图16是绑订确认消息的实例;
图17是用于本发明的位置登记(绑订更新)与鉴权的顺序图1;
图18是用于本发明的位置登记(绑订更新)与鉴权的顺序图2;
图19是示出了第二实施例的通信网络的结构的概念图;
图20是第二实施例的通信设备2的方框图;
图21是用于第二实施例的位置登记(绑订更新)与鉴权的顺序图;
图22是示出了第三实施例的通信网络的结构的概念图;
图23是第三实施例的通信设备2的方框图;
图24是用于第三实施例的位置登记(绑订更新)与鉴权的顺序图;
图25是用于第四实施例的位置登记(绑订更新)与鉴权的顺序图1;
图26是用于第四实施例的位置登记(绑订更新)与鉴权的顺序图2;以及
图27是用于第四实施例的位置登记(绑订更新)与鉴权的顺序图3。
具体实施方式
(第一实施例)
以下将参照附图描述本发明第一实施例。在此实施例中,HA等同于终端控制设备。
以下将详细描述,当与移动IPv6兼容的移动节点(MN)在非原籍链路(以下称为原籍网络)的网络(以下称为受访网络)内时使用的MN鉴权方法和位置登记方法。
图1示出了本发明的通信网络的结构。所述通信网络包括MN4的原籍网络8,IP网络7和受访网络5(5a、5b)。在此实施例中,所述原籍网络8、IP网络7和受访网络5是IPv6网络。所述MN4是与移动IPv6兼容的移动节点(MN)。信息应用终端9包括与移动IPv6兼容的MN功能。所述受访网络5和IP网络7、所述IP网络7和原籍网络8由路由器或网关设备连接。所述受访网络5和原籍网络8也可能由路由器或网关设备直接连接。
所述原籍网络8包括原籍代理HA1。所述HA1是与移动IPv6兼容的原籍代理(HA)。所述HA1管理非原籍网络8内的MN位置信息。
所述受访网络5(5a、5b)包括通信设备2(2a、2b)和路由器6(6a、6b、6c、6d)。所述通信设备2包括与路由器6的接口,以及与IP网络7的接口。所述路由器6包括设备鉴权功能。
替代所述设备鉴权功能,所述路由器6可能会使用一种用于与拥有设备鉴权功能的服务器通信的系统。
所述IP网络7包括CA3。所述原籍网络8或受访网络5也可能包括CA3。
图2示出了安装在MN4的原籍网络8内的HA1的结构。所述HA1包括服务器部分11(11a、11b)、服务器部分12、包括线路18(18a、18b、18m、18n)的接口部分(IF)19(19a、19b、19m、19n)、交换部分17(17a、17b)。
所述服务器部分11主要包括分组传送-接收处理器13、IPsec处理器14和移动IP处理器15。所述分组传送-接收处理器13包括传送或接收数据分组的功能。所述IPsec处理器14主要包括SPD、SAD和IPsec处理例行程序70。所述IPsec处理器14鉴权分组并执行编码。所述IPsec处理器14从CA3获得服务器部分11公共密钥认证。所述移动IP处理器15包括用于原籍代理(HA)功能的移动IPv6。所述移动IP处理器15包括绑订高速缓存管理表310。
图3示出了绑订高速缓存管理表310的结构。所述绑订高速缓存管理表310至少存储受访网络内的MN所获得的MN原籍地址311的转交地址(CoA)312,以及显示所述绑订高速缓存的有效期间的寿命313。
所述服务器部分12包括分组传送-接收处理器13和DHCP PD部分16。
所述DHCP PD部分16包括DHCP-PD授权路由器功能。所述DHCPPD部分16主要还包括前缀控制表320、前缀委派处理例行程序60以及链接用于识别所述DHCP-PD的IA_PD和MN识别符的表。
图4示出了前缀控制表320的结构。DHCP-PD部分16内的所述前缀控制表320至少存储显示前缀(组)的IAID322、所分配的前缀323以及所述前缀的寿命324,并示出了与DHCP客户识别符321的对应关系。所述服务器12的DHCP-PD部分安装在HA1内,但DHCP-PD部分也可能安装在与HA1分离的服务器内。
图7示出了安装在IP网络7的认证授权(CA)3的结构。所述CA3包括CPU31、存储器32、包括线路34的接口部分(IF)33、连接这些部件的总线35。
所述存储器32至少包括前缀分配控制表330、公共密钥认证发出例行程序80以及认证信息存储表。
图8示出了前缀分配控制表330的结构。所述前缀分配控制表330存储前缀发出OK标志332,其显示是否将对于发出前缀的许可发送到所述终端的识别符(ID)331。
根据图17和图18所示的顺序描述图1所示网络5b内的MN4的位置登记和鉴权的顺序。在此实施例中,所述MN4包括从通常为安全多媒体卡(SMMC)等的存储设备载入识别符、密钥和公共密钥的系统。所述MN4还包括DHCP-PD请求路由器功能。
当开启电源时,所述MN4从属于网络5b的路由器6c接收(101)路由器通告。所述MN4搜索路由器通告的M比特,并判定获取CoA(转交地址)的方法。如果M比特为1,则MN使用IPv6状态地址的自动结构获取CoA。如果尚未设置所述M比特,则所述M比特利用IPv6无状态地址的自动结构生成CoA(102)。
所述MN4然后将设备鉴权请求发送到路由器6c(103)。所述路由器6c使用作为搜索(或检索)密钥的设备ID鉴权所述设备。所述路由器6c将包括鉴权结果的设备鉴权响应发送(104)到MN4。MAC地址例如被用作所述设备ID。
在设备鉴权正确结束时,所述MN4从诸如SMMC的存储设备载入MN4识别符、密钥和公共密钥。所述MN4识别符例如规定FQDN(全限定域名)或X.500的可识别名。
所述MN4将包括MN4公共密钥和识别符的公共密钥发出请求发送到CA3(105)。CMP(认证管理协议)用于发送和接收所述公共密钥认证。
图11示出了包括CMP消息的分组格式S1。
图10示出了IPv6分组的格式。
所述CMP消息S1存储在IPv6分组的有效负荷43内的数据部分43B内。
所述CA3接收请求,并起动公共密钥认证发出例行程序80。
图9示出了公共密钥认证发出例行程序80。所述CA3确认是否可使用MN4识别符将认证发送到MN4(81)。如果可发出认证,则所述CA3发出MN4的公共密钥认证。所述CA3然后在前缀分配控制表330内生成MN4的新条目,并建立前缀发出OK标志(82、106)。所述CA3发送包括MN4的公共密钥认证与CN3的公共密钥的公共密钥发出请求响应,并结束此例行程序(83、107)。
当在步骤81内无法发出所述认证,或在步骤82内无法发出MN4的公共密钥的认证时,所述CA3发送认证发出请求响应(84),以向MN4通知错误,并结束此例行程序。
HA1的服务器部分11保存识别符、HA密钥和HA公共密钥。此进程与具有其自己的MN密钥和MN公共密钥的MN所使用的进程相同。所述服务器部分11从(服务器部分11的)CA3获取公共密钥认证(183)。
在获取MN的公共密钥认证之后,所述MN4起动前缀请求过程,并获取原籍前缀。
为了发现带有可被分配的前缀的DHCP服务器,所述MN4将DHCP恳求消息发送到“所有_DHCP_中继_代理_和_服务器地址”(108)。所述恳求消息包括DHCP客户识别符(客户识别符选项)和IA_PD选项。显示使用所述MN内前缀的组(IA_PD)的IAID被设置在IA_PD选项内。
图12示出了包括DHCPv6消息的S2分组格式。所述DHCPv6是在传送层内使用UDP/IP的应用协议。所述DHCP消息S2被存储在IPv6分组的有效负荷43的数据部分43B内。所述DHCP消息规定消息型字段51内的值。所述DHCP消息的选项参数被设置在选项字段53内。
此时,HA1的服务器部分12接收DHCP恳求消息(108)。HA1的服务器部分12然后开始前缀委派处理例行程序60。
图5示出了前缀委派处理例行程序60。
所述服务器部分12从DHCP恳求消息的IA_PD选项载入IAID,并判定是否可将前缀分配给所述IAID。如果可分配前缀,则所述服务器部分12根据包括所述DHCP恳求消息的IAID指定IA_PD。所述服务器部分12使用作为搜索(检索)密钥的IA_PD搜索链接MN4识别符和IA_PD的表,并判定MN4识别符。所述服务器部分12将包括MN4识别符的请求发送(62、109)到CA3。
在接收询问时,所述CA3使用作为搜索密钥的NN4识别符搜索前缀分配控制表330(110)。
所述CA3搜索在步骤106中生成的MN4条目。所述CA3确认为可用条目设置前缀发出OK标志,并将显示允许前缀分配的响应发送到服务器12(63、111)。
在接收响应时,所述服务器部分12搜索带有包括在DHCP恳求消息内的IAID的DHCP客户识别符,以及前缀控制表320。当可用条目并不存在于所述前缀控制表320内时,所述服务器部分12在所述前缀控制表320内生成新条目,并存储包括在所述DHCP恳求消息内的IAID322和DHCP客户识别符321。所述服务器部分12然后将DHCP通告消息发送到MN4(64、112)。所述通告消息包括在步骤108内接收的服务器部分12的识别符(服务器识别符选项)、MN4的识别符(客户识别符选项)以及IA_PD选项。来自服务器部分12的通告消息可能还包括用于分配的IPv6前缀信息。
当所述服务器12在步骤61中无法将IPv6前缀分配给IAID时,或是当所述CA3在步骤63中不允许所述前缀的分配时,所述服务器12将包括显示无法分配所述前缀的状态码选项的通告消息发送到所述MN4,并结束此例行程序(67)。
当批准所述前缀的分配(或配给)时,所述MN将包括IA_PD选项的DHCP请求消息发送到所述服务器部分12,并请求IPv6前缀信息(113)。
当在步骤112中接收的通告消息包括IPv6前缀消息时,所述请求消息包括MN4必需使用的前缀。
现在返回图5,继续描述前缀委派处理例行程序60。
在接收(65)所述DHCP请求消息时,所述服务器部分12载入1AID,并规定用于分配的IPv6前缀。当所述请求消息包括IPv6前缀信息时,批准MN4必需使用的前缀。
所述服务器部分12然后搜索带有包括在所述DHCP请求消息内的IAID和DHCP客户识别符的前缀控制表320。所述服务器部分12检测在步骤64中生成的条目,并将用于分配的IPv6前缀以及前缀寿命存储在可用条目内。所述服务器部分12将包括所述前缀信息的DHCP应答消息发送到MN4(66、114),并结束此例行程序。
当在步骤65中无法规定用于向MN4分配的前缀时,或是当在步骤66中在所述前缀控制表320内并不存在可用条目时,所述服务器部分12将DHCP应答消息发送(68)发送到MN4,以报告错误,并结束此例行程序。
所述MN4从所述DHCP应答消息提取IPv6前缀信息。所述MN4根据所述前缀信息和MN4接口识别符生成原籍地址。
所述MN4然后使用HA(原籍代理)地址发现功能规定HA地址。所述MN4将原籍代理地址发现请求(116)发送到在步骤114中所接收的原籍网络前缀内设置的移动IPv6原籍代理任播地址。
处理与所述移动IPv6原籍代理任播地址相同的前缀的HA之一可能会接收所述原籍代理地址发现请求。
HA1的服务器部分11a接收所述原籍代理地址发现请求。所述服务器部分11a将原籍代理地址发现应答发送到MN4(117)。
所述MN4接收原籍代理地址发现应答,并获得HA地址(服务器部分11a的地址)(118)。
所述MN4然后使用IKE生成在服务器部分11a与MN4之间使用的IPsec SA。
在IKE阶段1中,在MN4与服务器部分11a之间建立ISAKMP SA。所述ISAKMP SA是IKE的控制信道。所述MN4使用服务器部分11a内的SA有效负荷建议ISAKMP SA参数(121)。
图13示出了ISAMP分组格式S3。IKE所使用的分组格式在ISAKMP协议内规定。所述IKE传送协议是UDP/IP。
所述ISAKMP分组S3存储在IPv6分组的有效负荷43的数据部分43B内。所述ISAKMP分组S3包括ISAKMP标题55和一个或多个有效负荷56。所述有效负荷56例如包括传送所建议SA的SA有效负荷、交换ID信息的识别有效负荷、发送数字签名的签名有效负荷等。
所述服务器部分11a从在步骤121内接收的SA有效负荷中选择可接受建议,并将所述建议返回到MN4(122)。
所述MN4和服务器部分11a然后交换每个随机生成的随机数而得到的Diffe-Hellman公共值和随机数(123、124),并生成密钥。
所述MN4和服务器部分11a然后交换ID信息,以确认个人身份。在此实施例中,在证实所述身份属性是否为实际的人时发送的信号被定义为个人身份检查信号。图14示出了在检查IKE阶段1的个人身份时使用的ISAMP分组格式S4。所述ISAKMP分组S4包括识别有效负荷56A、签名有效负荷56B和认证有效负荷56C。
所述MN4将在所述个人身份检查中使用的ISAKMP分组发送(125)到服务器部分11a。所述ISAKMP分组125的识别有效负荷56A包括MN4在步骤115中生成的原籍地址。所述MN4计算散列值,使用所述散列值内的MN4公共密钥执行数字签名,并将其设置在签名有效负荷56B内。所述认证有效负荷56C包括CA3发出的MN4公共密钥认证。
所述服务器部分11a从分组125的签名有效负荷56B提取MN4数字签名。所述服务器部分11a然后使用MN4公共密钥译码所述数字签名。所述MN4公共密钥是从分组125的认证有效负荷56C中获得的。
所述服务器部分11a通过比较根据所接收分组125计算的散列值与所述数字签名的译码值,证实分组发送者MN4的个人身份。
所述服务器部分11a然后从分组125的识别有效负荷提取MN4原籍地址。所述服务器部分11a将包括原籍前缀的询问发送到服务器部分12(126)。所述服务器部分12使用作为搜索密钥的包括在请求126内的前缀搜索前缀控制表320。如果可用条目存在于前缀控制表320内,则完成所述前缀的指配(127)。所述服务器部分12将通知完成前缀分配的应答发送到服务器部分11a(128)。
如果完成前缀的分配,则服务器部分11a继续IKE阶段1的处理。所述服务器部分11a使用所述散列值内的服务器部分11a的公共密钥执行数字签名。所述服务器部分11a将包括数字签名的ISAKMP分组发送到MN4(129)。服务器部分11a的IP地址被设置在所述ISAKMP分组129的识别有效负荷内。所述ISAKMP分组可能包括在服务器部分11a的公共密钥认证内。在步骤183中发出服务器部分11a的公共密钥认证。作为选择,也可在图29的步骤181和182中发出服务器部分11a的公共密钥认证,在这种情况下步骤183是多余的(图28)。
所述MN4接收分组129,并确认在IKE通信中使用服务器部分11a的公共密钥的另一方是否为本征的。所述MN4从分组129内的公共密钥认证或是CA3获得服务器部分11a公共密钥。
现在已在MN4与服务器部分11a之间建立了所述ISAKMP SA。
然后在IKE阶段2内为MN4和服务器部分11a建立IPsec SA。当在MN4与服务器部分11a之间IPsec处理和转发分组时使用所述IPsecSA。使用在IKE阶段1内建立的ISAKMP SA来编码在IKE阶段2内发送和接收的ISAKMP分组的有效负荷。
所述MN4将ISAKMP分组发送到服务器部分11a。包括IPsec SA建议的SA有效负荷、Nonce有效负荷和散列有效负荷被设置在所述ISAKMP分组内(130)。所述服务器部分11a然后将ISAKMP分组发送到MN4,在所述ISAKMP分组内设置了包括所接受的IPsec建议的IPsec SA有效负荷、Nonce有效负荷和散列有效负荷(131)。
所述MN4将包括散列有效负荷的ISAKMP分组发送到服务器部分11a(132)。所述服务器部分11a接收该分组(132),并确认MN4已接收到所述分组131。上述过程生成两个IPsec SA(从MN4到服务器部分11a的IPsec,以及从服务器部分11a到MN4的IPsec SA)。所述服务器部分11a与MN4将IPsec SA(SPI、MN4原籍地址以及服务器部分11a地址等)存储在对应SAD内。
所述MN4将在IKE阶段2内生成的适合于SA的绑订更新发送到服务器部分11a(133)。所述MN4暂时将服务器部分11a的地址存储在绑订更新列表控制表内(134)。
图15示出了与IPsec兼容的绑订更新消息格式S11。IPv6目的地选项标题401、IPsec标题(AH标题或ESP标题)402和IPv6移动性标题403存储在IPv6分组扩展标题42内。
所述MN4将以下值存储在发送到服务器部分11a的绑订更新内。所述MN4的CoA被设置在IPv6分组标题的源地址41a内。MN4在步骤115中生成的原籍地址被设置在IPv6目的地选项标题401的原籍地址字段内。
所述服务器部分11a接收所述绑订更新133,并起动IPsec处理例行程序。
图6示出了IPsec处理例行程序70。首先处理IPv6目的地选项标题401(171)。具体而言,目的地选项标题值(原籍地址)和源地址值(CoA)相互交换。
所述服务器部分11a然后从SAD搜索IPsec的类型(AH或ESP)、SPI值和目的地地址,并规定IPsec SA。当已将所接收分组编码时,所述服务器部分11a首先译码所接收分组,并检查其匹配于所规定的IPsecSA(72)。所述服务器部分11a然后搜索SPD,并检查是否可接受(当前)重新构造的分组。
如果可接受所述分组,则服务器部分11a的IPsec处理器14将重新构造的分组发送到移动IP处理器15。
所述移动IP处理器15登记MN4位置(执行绑订更新)(74)。
所述移动IP处理器15使用作为搜索(检索)密钥的MN4原籍地址搜索绑订高速缓存管理表310。如果在所述绑订高速缓存管理表310内并不存在MN4条目,则将MN4条目加入所述绑订高速缓存管理表310(135)。所述MN4将在受访网络5b内获得的CoA设置在转交地址312条目内。
如果在步骤72和步骤73内的处理并未正确结束,则服务器部分11a放弃所接收分组,并结束此例行程序(78)。
所述移动IP处理器15将所述分组发送到IPsec处理器14,以将适合于IPsec的绑订确认发送到MN4。所述IPsec处理器14搜索SPD,并调查分组安全政策(75)。当发现所述分组可与IPsec一起使用时,根据SAD检测匹配SA。所述IPsec处理器14将路由标题404加入所述分组并应用IPsec(76)。所述服务器部分11a然后交换路由标题值和目的地地址值。所述服务器部分11将经历IPsec处理的绑订确认发送到MN4(77、136),然后结束此例行程序。
图16示出了经历IPsec的绑订确认消息的格式S12。所述IPv6路由标题404、IPsec标题(AH标题或ESP标题)402以及IPv6移动性标题403存储在IPv6分组扩展标题42内。所述服务器部分11a将以下值存储在发送到MN4的绑订确认内。MN4的CoA存储在IPv6分组标题的目的地地址41b内。所述MN4原籍地址存储在IPv6路由标题404的原籍地址字段内。
在接收所述绑订确认时,所述MN4搜索SAD并规定SA。在已将所接收分组编码时,在译码之后检查所接收分组,以发现其是否匹配于SA。同样搜索SPD,并执行检查以确定是否可接受重新构造的分组。如果可接受,则MN4将在步骤134内暂时存储的条目登记到所述绑订更新列表控制表内(137)。
此时,所述MN4可能会将识别信息(例如FQDN)和匹配于在步骤115内获得的原籍地址的信息登记到原籍网络8、受访网络5或是属于IP网络7的位置信息控制设备(例如DNS服务器设备)内。
信息应用终端9包括移动IPv6功能和DHCP-PD请求路由器功能。如果从CA3获得公共密钥认证,则鉴权方法可与信息应用终端9一起使用。
本发明第一实施例因而提供了一种鉴权方法,其通过将数字签名鉴权方法与移动IP位置登记(绑订更新)进程联系起来,并通过由HA生成并保存用于链接到所述公共密钥认证的原籍地址的SA,从而证实IPv6终端的可靠性。
所述MN4与HA1服务器部分11保存由CA3发出的公共密钥认证。所述HA1服务器部分12和MN4包括DHCP-PD部分。通过链接CA3与HA1服务器部分12,HA1可将前缀通知提供给CA3批准向其分配前缀的MN4。所述HA1服务器部分11还可提供一种鉴权方法,其通过为已由服务器部分12分配的前缀在MN4原籍前缀之间生成IPsec SA,证实MN是本征的。
(第二实施例)
以下将参照附图描述本发明第二实施例。
图19示出了本发明第二实施例的通信网络的结构。第二实施例的特征在于,所述通信设备2包括DHCP-PD请求路由器功能。在第二实施例的实例中,所述IP网络包括鉴权服务器10。所述鉴权服务器10控制授权接入原籍网络所需的信息(ID、密码等)。
图20示出了本发明第二实施例的通信设备2的结构。所述通信设备2包括CPU 21、存储器22、包括线路24(24a、24b)的接口部分(IF)23(23a、23b)、连接这些元件的总线25。
所述存储器22主要包括DHCP-PD部分26和鉴权处理器27,所述DHCP-PD部分包括DHCP-PD请求路由器功能,所述鉴权处理器用于授权接入原籍网8。
图21示出了在本发明第二实施例中MN4的位置登记(绑订更新)和鉴权的顺序。
第一实施例与第二实施例的不同之处在于DHCP-PD请求路由器功能的安装位置。第二实施例的通信设备2(GW2)包括DHCP-PD请求路由器功能,并发送和接收DHCP-PD消息。
从步骤101到107的过程与第一实施例相同。
以下将描述步骤141以后的过程。
在从MN4接收分组时,GW2请求所述MN4发送鉴权信息(141)。所述MN4发送包括ID和密码的鉴权请求(142)。所述GW2b发送包括IAID的DHCP恳求(143)。
所述服务器部分12接收所述DHCP恳求,并根据所述IAID规定IA_PD。所述服务器部分12使用作为搜索(检索)密钥的IA_PD搜索对应MN4识别符和IA_PD的列表,并判定MN4识别符。
从步骤144到146的过程与第一实施例的步骤109到111相同。
当接收应答146时,所述服务器部分12将DHCP通告(通告)发送到GW2b(147)。此后,服务器部分12的步骤148到149的处理与第一实施例中相同。
当接收到包括所述前缀信息的DHCP应答149时,所述GW2b将包括前缀信息的鉴权应答发送到MN4(150)。此后,MN鉴权处理和位置登记(绑订更新)处理与第一实施例的步骤115到137相同。
本发明第二实施例因而提供了一种鉴权方法,其通过即使是在所述通信设备2配备DHCP-PD请求路由器功能的情况下仍将数字签名鉴权方法与移动IP位置登记(绑订更新)进程联合起来,证实并未包括DHCP-PD部分的IPv6终端的可靠性。
第二实施例还可通过提供用于授权从所述通信设备2接入到HA的功能,提供一种高度安全的通信业务。
(第三实施例)
以下将参照附图描述本发明第三实施例。
图22示出了本发明第三实施例的通信网络的结构。除了第二实施例的功能之外,第三实施例的特征在于处理HMIPv6 MAP功能。在第三实施例中,MN4是与HMIPv6兼容的移动终端。
图23示出了第三实施例的通信设备2的结构。除了第二实施例所示的功能之外,通信设备2的存储器22还包括HMIPv6处理器29。所述HMIPv6处理器29提供与MAP功能兼容的HMIPv6。所述HMIPv6处理器29包括用于保存链接RcoA和LcoA的信息的绑订高速缓存管理表。
根据图24所示的顺序描述在图22所示网络5内MN4的位置登记(绑订更新)和授权的顺序。
所述MN4从属于网络5b的路由器6c(AR:接入路由器)接收包括MAP选项的路由器通告(路由器通告)。所述MN4使用路由器通告信息161规定通信设备(以下称为MAP),并生成RcoA和LcoA(162)。
从步骤103到107的过程与第一实施例中相同。
当MN4从CA3接收公共密钥认证时,MN4将绑订更新(位置登记信号)发送到MAP2b(163)。
在第三实施例中,MAP2b利用绑订更新(位置登记信号)的接收来启动鉴权处理。此后从步骤141到150的过程与第二实施例相同。
当直至步骤150的处理正确结束时,MAP2b将链接MN4的RcoA和LcoA的信息存储到HMIPv6处理器29的绑订超高速缓冲管理器管理表内。所述MAP2b将绑订确认发送到MN4(164)。
此后的MN授权过程和位置登记(绑订更新)过程与第一实施例的步骤115到137相同。本发明第三实施例因而提供了一种鉴权方法,其通过即使是在所述通信设备2配备HMIPv6功能的情况下仍将数字签名鉴权方法与移动IP位置登记(绑订更新)进程联合起来,证实并未包括DHCP-PD部分的IPv6终端的可靠性。
通过在接收HMIPv6控制信号时由所述通信设备启动原籍网络的接入鉴权处理,第三实施例还提供了一种具有更高安全性的通信业务。
(第四实施例)
以下参照附图描述本发明第四实施例。第四实施例中的通信网络的结构与第一实施例中相同。
第四实施例的特征在于,HA1的服务器部分11包括一种将前缀分配给CA3所批准的MN的系统,以及包括MN4公共密钥认证控制表。关于包括在IPsec阶段1的ISAKMP分组内的识别有效负荷的信息,以及链接到所述公共密钥认证的信息被存储在所述公共密钥认证控制表内。
在第四实施例中,HA1和MU不必包括DHCP-PD部分。MN4的HA是服务器部分11a。
在图1所示的网络5b内的MN4完成服务器部分11a内的位置登记(绑订更新)之后,以下将根据从图25到图27的顺序描述从HA1服务器部分11a向MN4通知前缀到MN再次完成位置登记(绑订更新)的顺序。
从步骤101到107的顺序与第一实施例相同。
所述MN4然后在服务器部分11a生成IPsec SA。
从步骤121到125的顺序与第一实施例中相同。所述MN4将ISAKMP分组125发送到服务器部分11a,所述ISAKMP分组包括借助M4原籍地址设置的识别有效负荷,以及借助MN4公共密钥认证设置的认证有效负荷。
所述服务器部分11a从分组125载入认证有效负荷和识别有效负荷信息,并将MN4条目加入公共密钥认证控制表(171)。如果MN4条目已经存在,则重写(更新)可用条目。
从步骤129到132的顺序与第一实施例中相同。
所述MN4使用MN4和服务器部分11a生成的IPsec SA执行位置登记(绑订更新)。所述位置登记(绑订更新)与第一实施例(从步骤133到137)相同。
当所述服务器部分11a例如改变其自身前缀时,所述服务器部分11a向当前执行绑订更新的MN4通知前缀。
所述服务器部分11a首先搜索所述绑订高速缓存管理表310,然后检测在步骤135中生成的MN4条目。所述服务器部分11a然后使用作为搜索(检索)密钥的MN4原籍地址搜索公共密钥认证控制表,并载入在步骤171内执行的MN4公共密钥认证。
所述服务器部分11a根据公共密钥认证规定MN4识别符,并将询问与所述MN4识别符一起发送到CA3(172,173)。
在接收所述询问时,CA3使用作为搜索(检索)密钥的MN4识别符搜索前缀分配控制表330。
所述CA3检测在步骤106内生成的MN4条目。所述CA3确认可用条目被设置在前缀发出OK标志内(174)。所述CA3将显示前缀可被分配的应答发送到服务器部分11a(175)。
在接收所述应答时,所述服务器部分11a发送移动前缀通知,以将所述前缀信息报告给MN4(176)。所述服务器部分11a将在步骤130到132内生成的IPsec SA应用于移动前缀通告消息。
所述MN4从移动前缀通知载入所述前缀。所述MN4检测原籍前缀内的改变,并生成原籍地址。从生成所述原籍地址到完成位置登记(绑订更新)的过程(步骤129到137)与第一实施例的步骤115到125相同。
本发明第四实施例因而能够通过在确认MN是本征的之后链接HA1和CA3,将前缀信息通知给MN4。
如以上实施例清晰示出,本发明提供了一种鉴权方法,其用于通过将数字签名鉴权方法与移动IP位置登记(绑订更新)进程联合起来,证实所述IPv6终端是本征的。
尤其提供了一种鉴权方法,其用于在借助终端x执行移动IP绑订更新(位置登记)时证实所述终端x是本征的,属于区域A的HA作为区域B的原籍网络,所述方法包括一种系统,其用于使属于区域A的DHCP-PD授权路由器功能将前缀分配给属于区域B的终端X;所述方法还包括:1)一种用于询问DHCP-PD授权路由器功能是否可将前缀分配给CA的系统,2)一种用于询问所述HA是否包括DHCP-PD授权路由器功能内的前缀信息的系统,3)一种用于在所述HA生成与终端x的IPsec SA时从CA或终端x获取终端x公共密钥的系统,4)一种使HA仅批准经历在3)内生成的IPsec的位置登记(绑订更新)的系统。
如果相互连接到区域A与区域B的通信设备包括DHCP-PD请求路由器功能与授权区域A接入的功能,则可提供以上所述用于证实并未包括DHCP-PD部分的终端x的鉴权方法。此外,提供了一种具有高端安全性的通信业务,因为所述通信设备仅允许鉴权后的终端接入HA。
此外,如果相互连接到区域A和区域B的通信设备包括HMIPv6的MAP功能,则所述通信设备可将HNIPv6控制信号用作启动区域A的接入授权处理的触发。
此外,如果所述HA1包括用于与CA3通信的系统和用于保存MN4公共密钥认证的系统,则可在HA1证实MN4是本征的并将此报告给CA3之后,将前缀信息报告给所述MN4。
Claims (15)
1.一种服务器设备,包括:
处理器(31),用于发出并保证公共密钥认证;
存储器(32),用于保存关于终端设备的前缀分配允许/禁止信息的信息;
通信接口(33),用于从所述终端设备接收公共密钥认证发出请求,并重写所述前缀分配允许/禁止信息,并且
所述处理器被构造为执行:
从所述终端设备接收公共密钥认证发出请求,所述终端设备的公共密钥认证由所述服务器设备发出;由所述服务器设备重写所述前缀分配允许/禁止信息,且所述认证被从所述服务器设备发送到所述终端设备,终端设备的所述前缀分配允许/禁止信息是指示服务器设备是否将该终端设备的前缀信息分配给该终端设备的识别符。
2.根据权利要求1的服务器设备,其中所述通信接口与包括前缀分配部分的信息处理设备通信,并且
其中通过通信接口从所述信息处理设备接收关于允许还是禁止前缀分配的询问,搜索终端设备前缀分配允许/禁止信息,并将所获得的允许/禁止信息从所述服务器设备发送到所述信息处理设备,以授权或拒绝所述前缀分配。
3.根据权利要求1的服务器设备,其中所述通信接口与用于管理所述终端设备及其位置信息的终端控制设备通信,并且
其中从所述终端控制设备接收关于允许还是禁止前缀分配的询问,用所述服务器设备搜索所述前缀分配允许/禁止信息,并将所获得的信息从所述服务器设备发送到所述终端控制设备。
4.一种终端控制设备,包括:
用于与服务器设备通信的连接,所述服务器设备包括发出和保证公共密钥认证以及前缀分配允许/禁止信息的功能;
用于从所述服务器设备获得公共密钥认证的收发信机;以及
用于存储终端设备位置信息以及用于存储通过使用IPsec技术保持安全性的例行程序的存储器,
其中所述终端控制设备从所述终端设备接收确认所述终端设备的身份的信息,并获得终端设备公共密钥认证;
所述终端控制设备还包括:
具有前缀分配功能的信息处理设备;
其中从所述终端设备接收确认所述终端设备的身份的信息,
向所述信息处理设备询问前缀信息,以及
由所述信息处理设备对于所述询问做出指示所述前缀已被分配的应答,
然后将对于确认所述终端设备的身份的信息的信号应答从所述收发信机发送到所述终端设备。
5.根据权利要求4的终端控制设备,其中从所述终端设备接收位置登记请求或绑订更新请求,
并且载入所述终端设备的安全信息,如果所述请求匹配于所述安全信息,则在所述终端控制设备内执行所述终端设备的位置登记或绑订更新。
6.根据权利要求4的终端控制设备,
其中从所述服务器设备载入允许所述终端设备的前缀分配的信息,如果所述服务器设备批准将前缀分配给所述终端设备,则将所述前缀信息报告给所述终端设备。
7.一种通信系统的终端鉴权方法,所述通信系统包括:具有前缀分配功能的信息处理器设备;服务器设备,其包括用以保证与发出公共密钥认证的处理器与存储器;受访网络和能够连接至所述受访网络的终端设备;与所述终端设备相关且与所述受访网络互接的原籍网络;以及经由所述受访网络连接至所述原籍网络的终端控制设备,所述终端鉴权方法包括以下步骤:
所述服务器设备将公共密钥认证发送到所述终端设备,并重写所述终端设备的前缀分配信息;
所述信息处理器设备从所述终端设备接收前缀分配请求,向所述服务器设备询问前缀分配允许/禁止信息,并在所述前缀的分配得到批准时将前缀信息分配给所述终端设备;
所述终端控制设备从所述终端设备接收用以确认所述终端设备的身份的信息,并将所述终端设备的前缀信息发送到所述信息处理器设备;以及
所述信息处理器设备在所述前缀信息被发送到的终端设备与所述终端控制设备之间建立安全联系。
8.根据权利要求7的终端鉴权方法,其中与原籍网络和受访网络相互连接的通信设备将前缀分配请求发送到所述信息处理器设备。
9.根据权利要求8的终端鉴权方法,其中所述终端控制设备从所述终端设备接收位置登记请求,载入所述安全联系,并在所述位置登记请求实现所述安全联系时,批准所述终端设备的位置登记。
10.根据权利要求7的终端鉴权方法,其中
所述终端控制设备包括用于与所述服务器设备通信的通信接口,以及用于存储终端设备的公共密钥认证信息的存储设备;以及
所述信息处理器设备将前缀信息发送到所述服务器设备所批准的终端设备。
11.一种用于鉴权与位置登记位于受访网络中的终端的组合方法,包括:
将终端加电;
将路由器通告从受访网络路由器发送到所述终端;
在所述终端内生成转交地址(CoA);
将设备鉴权请求从所述终端发送到所述受访网络路由器;
将公共密钥认证发出请求、所述终端的公共密钥以及终端ID一起,经由IP协议网络发送到呼叫授权服务器(CA);
从与IPv6协议兼容的所述呼叫授权服务器(CA)发出公共密钥认证发出响应;
将DHCP恳求消息从所述终端发送到与IPv6协议兼容的原籍代理服务器(HA),其中所述原籍代理服务器(HA)链接到所述呼叫授权服务器,并检查所述呼叫授权服务器(CA)以允许前缀分配;
以包含在IPv6协议有效负荷内的DHCP通告消息来响应所述终端;
将DHCP请求从所述终端发送到所述原籍代理服务器;
将DHCP应答从所述原籍代理服务器发送到带有前缀委派的所述终端;
在所述终端内生成原籍地址;
将原籍代理地址发现请求发送到所述原籍代理服务器;
以来自所述原籍代理服务器的原籍代理地址发现应答来响应所述终端;
获得所述终端内的原籍代理服务器原籍地址;
使用阶段I和II IPsec ISAKMP协议,经由互联网密钥交换IKE与安全通信信道,在所述终端与原籍代理服务器之间建立IPsec安全联系(SA)和数字签名,其中所述原籍代理服务器链接到所述呼叫授权服务器(CA),并位于原籍区内;
使用所述IPsec安全联系(SA)在所述终端内执行位置绑订更新;
由此提供了一种鉴权方法,其通过将数字签名方法与位置绑订更新方法结合起来证实终端可靠性。
12.根据权利要求11的方法:
其中所述终端是带有DHCP请求功能的与IPv6兼容的终端。
13.根据权利要求11的方法,其中:
所述IP协议网络内包括设备鉴权服务器,所述设备鉴权服务器用于控制接入所述原籍代理服务器所需的ID信息;
所述IP协议网络内包括通信网关,所述通信网关包括DHCP-PD请求路由器功能,所述DHCP-PD请求路由器功能用于处理从所述原籍代理服务器以及呼叫授权服务器(CA)到所述终端的DHCP通信;
其中所述终端不必具有DHCP功能,从而能够根据本方法来鉴权并不具有DHCP功能的终端,并更新所述终端的位置。
14.根据权利要求11的方法,
其中在所述方法中,在具有HMIPv6处理器的一个通信设备中包括HMIPv6移动锚点(MAP)功能,并且所述终端与HMIPv6兼容;
其中所述HMIPv6处理器包括绑定高速缓存管理表,所述绑定高速缓存管理表用于保存链接区域转交地址(RCoA)与本地转交地址(LCoA)的信息;
其中并不是发送所述DHCP请求的所述终端,而是所述方法中包括的通信设备内的所述HMIPv6移动锚点(MAP)功能执行DHCP通信,从而使得所述终端并不必是与DHCP兼容的终端。
15.一种用于鉴权与位置登记位于受访网络中的终端的组合方法,包括:
将终端加电;
将路由器通告从受访网络路由器发送到所述终端;
在所述终端内生成转交地址(CoA);
将设备鉴权请求从所述终端发送到所述受访网络路由器;
将公共密钥认证发出请求、公共密钥以及终端ID一起,经由IP协议网络发送到呼叫授权服务器;
从与IPv6协议兼容的所述呼叫授权服务器(CA)发出公共密钥认证发出响应;
使用阶段I和II IPsec ISAKMP协议,经由互联网密钥交换IKE与安全通信信道,在所述受访网络内的所述终端与原籍代理服务器之间建立IPsec安全联系(SA)和数字签名,其中所述原籍代理服务器链接到所述呼叫授权服务器(CA),并位于原籍区内;
使用所述IPsec安全联系(SA)在所述终端内执行位置绑定更新;
将检查所述公共密钥认证的请求从所述原籍代理服务器发送到所述呼叫授权服务器(CA);
所述呼叫授权服务器以前缀来响应是否允许前缀分配,并生成所述终端的原籍地址;
使所述终端发现并得到所述原籍代理服务器的原籍地址;
所述终端使用来自所述原籍代理服务器的绑定高速缓存来执行位置绑定更新;
由此提供了一种通过将数字签名方法与位置绑定更新方法结合起来证实终端可靠性的鉴权方法。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2003064329A JP4352728B2 (ja) | 2003-03-11 | 2003-03-11 | サーバ装置、端末制御装置及び端末認証方法 |
| JP064329/2003 | 2003-03-11 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1531245A CN1531245A (zh) | 2004-09-22 |
| CN1531245B true CN1531245B (zh) | 2012-04-25 |
Family
ID=33125643
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN200410007291.3A Expired - Fee Related CN1531245B (zh) | 2003-03-11 | 2004-02-27 | 服务器、终端控制设备以及终端鉴权方法 |
Country Status (3)
| Country | Link |
|---|---|
| US (1) | US7805605B2 (zh) |
| JP (1) | JP4352728B2 (zh) |
| CN (1) | CN1531245B (zh) |
Families Citing this family (52)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR100513863B1 (ko) * | 2003-04-29 | 2005-09-09 | 삼성전자주식회사 | 호스트의 이동성을 지원할 수 있는 무선 근거리 네트워크시스템 및 그의 동작방법 |
| JP4054007B2 (ja) * | 2004-07-15 | 2008-02-27 | 株式会社東芝 | 通信システム、ルータ装置、通信方法、ルーティング方法、通信プログラムおよびルーティングプログラム |
| KR100651716B1 (ko) * | 2004-10-11 | 2006-12-01 | 한국전자통신연구원 | Diameter 기반 프로토콜에서 모바일 네트워크의부트스트랩핑 방법 및 그 시스템 |
| FR2876853A1 (fr) * | 2004-10-20 | 2006-04-21 | France Telecom | Procede d'adressage d'un reseau ip se connectant a un autre reseau ip |
| JP2006154125A (ja) * | 2004-11-26 | 2006-06-15 | Ntt Docomo Inc | ローカル認証システム、ローカル認証装置、ローカル認証方法 |
| US7342925B2 (en) * | 2004-11-30 | 2008-03-11 | At&T Corp. | Technique for automated MAC address cloning |
| KR100669240B1 (ko) | 2004-12-07 | 2007-01-15 | 한국전자통신연구원 | 평가규칙표기언어를 이용한 IPv6 네트워크 계층의보안성 평가 시스템 및 방법 |
| GB0504868D0 (en) * | 2005-03-09 | 2005-04-13 | Nokia Corp | A method of configuring a communication device |
| EP1865668A4 (en) * | 2005-03-31 | 2011-10-05 | Nec Corp | METHOD FOR CONTROLLING MOBILE COMMUNICATIONS, MOBILE COMMUNICATION SYSTEM, ROUTING DEVICE, MANAGEMENT DEVICE, AND PROGRAM |
| WO2006118342A1 (en) * | 2005-04-28 | 2006-11-09 | Matsushita Electric Industrial Co., Ltd. | System, associated methods and apparatus for securing prefix-scoped binding updates |
| US8369329B2 (en) * | 2005-05-16 | 2013-02-05 | Rockstar Consortium Us Lp | Dynamic hierarchical address resource management architecture, method and apparatus |
| US8185935B2 (en) | 2005-06-14 | 2012-05-22 | Qualcomm Incorporated | Method and apparatus for dynamic home address assignment by home agent in multiple network interworking |
| US20060291422A1 (en) * | 2005-06-27 | 2006-12-28 | Nokia Corporation | Mobility management in a communication system of at least two communication networks |
| JP4879524B2 (ja) * | 2005-06-30 | 2012-02-22 | ブラザー工業株式会社 | 通信装置、通信システム及びプログラム |
| JP2007036641A (ja) * | 2005-07-27 | 2007-02-08 | Hitachi Communication Technologies Ltd | ホームエージェント装置、及び通信システム |
| CN101243672B (zh) * | 2005-08-15 | 2012-01-04 | 艾利森电话股份有限公司 | 在快速路由器发现中路由广告认证的方法及移动节点 |
| WO2007034345A2 (en) * | 2005-09-20 | 2007-03-29 | Telefonaktiebolaget L M Ericsson (Publ) | Method and mobility anchor point for authenticating updates from a mobile node |
| EP1777908A1 (en) * | 2005-10-21 | 2007-04-25 | Matsushita Electric Industrial Co., Ltd. | Dynamic discovery of home agent with specific binding |
| KR101221610B1 (ko) * | 2005-11-03 | 2013-01-14 | 삼성전자주식회사 | 무선 통신 시스템에서 링크 id 프리픽스와 함께 고속이동성 ip를 지원하기 위한 방법 및 장치 |
| KR100753820B1 (ko) | 2005-12-10 | 2007-08-31 | 한국전자통신연구원 | 사전공유키(PSK) 기반의 안전한 모바일 IPv6 이동노드 초기구동을 위한 네트워크 시스템 및 통신 방법 |
| KR100755536B1 (ko) * | 2005-12-15 | 2007-09-06 | 주식회사 팬택앤큐리텔 | 복제단말기에 대한 ip 할당 방지시스템 |
| KR100814400B1 (ko) * | 2006-01-12 | 2008-03-18 | 삼성전자주식회사 | IPv4/IPv6 통합 네트워크 시스템의 보안 통신방법 및 그 장치 |
| US8122492B2 (en) * | 2006-04-21 | 2012-02-21 | Microsoft Corporation | Integration of social network information and network firewalls |
| US8079073B2 (en) * | 2006-05-05 | 2011-12-13 | Microsoft Corporation | Distributed firewall implementation and control |
| US8176157B2 (en) * | 2006-05-18 | 2012-05-08 | Microsoft Corporation | Exceptions grouping |
| US8625609B2 (en) * | 2006-05-19 | 2014-01-07 | Futurewei Technologies Inc. | Using DHCPv6 and AAA for mobile station prefix delegation and enhanced neighbor discovery |
| KR100863135B1 (ko) * | 2006-08-30 | 2008-10-15 | 성균관대학교산학협력단 | 이동환경에서의 듀얼 인증 방법 |
| WO2008099857A1 (ja) * | 2007-02-13 | 2008-08-21 | Nec Corporation | 移動管理システム、ホームエージェント及びそれらに用いる移動端末管理方法並びにそのプログラム |
| US8671209B2 (en) * | 2007-02-13 | 2014-03-11 | Nec Corporation | Mobile terminal management system, network device, and mobile terminal operation control method used for them |
| KR101036415B1 (ko) * | 2007-06-15 | 2011-05-23 | 후지쯔 가부시끼가이샤 | 통신 시스템, 통신 시스템에서의 이동 단말기의 위치 검색 방법, 및 기록 매체 |
| US8411866B2 (en) * | 2007-11-14 | 2013-04-02 | Cisco Technology, Inc. | Distribution of group cryptography material in a mobile IP environment |
| US20090129597A1 (en) * | 2007-11-21 | 2009-05-21 | Zimmer Vincent J | Remote provisioning utilizing device identifier |
| US7962584B2 (en) * | 2008-02-13 | 2011-06-14 | Futurewei Technologies, Inc. | Usage of host generating interface identifiers in DHCPv6 |
| US8788826B1 (en) * | 2008-06-06 | 2014-07-22 | Marvell International Ltd. | Method and apparatus for dynamically allocating a mobile network prefix to a mobile terminal |
| KR101622662B1 (ko) * | 2008-08-14 | 2016-05-20 | 삼성전자주식회사 | 동적 호스트 구성 프로토콜 IPv4 어드레스 해제 요청을 처리하기 위한 방법 및 시스템 |
| PL2320604T3 (pl) * | 2008-08-26 | 2017-03-31 | Alcatel Lucent | Sposób oraz urządzenie do przekazywania pakietów w węźle dostępowym ipv6 |
| US7924830B2 (en) | 2008-10-21 | 2011-04-12 | At&T Intellectual Property I, Lp | System and method to route data in an anycast environment |
| US8619995B2 (en) * | 2009-01-28 | 2013-12-31 | Qualcomm Incorporated | Methods and apparatus related to address generation, communication and/or validation |
| CN101924800B (zh) * | 2009-06-11 | 2015-03-25 | 华为技术有限公司 | 获取DHCPv6服务器IP地址的方法、DHCPv6服务器和DHCPv6通信系统 |
| US9912654B2 (en) | 2009-11-12 | 2018-03-06 | Microsoft Technology Licensing, Llc | IP security certificate exchange based on certificate attributes |
| CN103001927B (zh) * | 2011-09-09 | 2018-06-12 | 中兴通讯股份有限公司 | 一种位置信息处理方法和系统 |
| CN102820982B (zh) * | 2011-09-21 | 2016-04-13 | 金蝶软件(中国)有限公司 | 数据传输方法和装置 |
| US9532224B2 (en) * | 2012-11-05 | 2016-12-27 | Electronics And Telecommunications Research Institute | Method of device-to-device discovery and apparatus thereof |
| US9992708B2 (en) * | 2013-05-22 | 2018-06-05 | Google Technology Holdings LLC | Micro to macro IP connection handover |
| US9742798B2 (en) | 2015-03-16 | 2017-08-22 | Cisco Technology, Inc. | Mitigating neighbor discovery-based denial of service attacks |
| CN106341233A (zh) | 2015-07-08 | 2017-01-18 | 阿里巴巴集团控股有限公司 | 客户端登录服务器端的鉴权方法、装置、系统及电子设备 |
| CN105872618A (zh) * | 2015-11-16 | 2016-08-17 | 乐视致新电子科技(天津)有限公司 | 视频资源共享方法、系统及相关设备 |
| CN105323074B (zh) * | 2015-11-17 | 2018-05-25 | 西安电子科技大学 | 终端设备地理位置的可信验证方法 |
| US10097525B2 (en) * | 2016-03-08 | 2018-10-09 | Qualcomm Incorporated | System, apparatus and method for generating dynamic IPV6 addresses for secure authentication |
| CN107566314B (zh) | 2016-06-30 | 2021-05-14 | 斑马智行网络(香港)有限公司 | 一种数据传输系统、方法和设备 |
| US20180019986A1 (en) * | 2016-07-12 | 2018-01-18 | Qualcomm Incorporated | User privacy protected location-based authentication on mobile devices |
| EP3488627B1 (en) * | 2016-07-25 | 2023-09-06 | Telefonaktiebolaget LM Ericsson (PUBL) | Proof-of-presence indicator |
Family Cites Families (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5517618A (en) * | 1992-02-10 | 1996-05-14 | Matsushita Electric Industrial Co., Ltd. | Mobile migration communications control device |
| US6018524A (en) * | 1997-09-09 | 2000-01-25 | Washington University | Scalable high speed IP routing lookups |
| US6769000B1 (en) * | 1999-09-08 | 2004-07-27 | Nortel Networks Limited | Unified directory services architecture for an IP mobility architecture framework |
| JP2002077274A (ja) * | 2000-08-31 | 2002-03-15 | Toshiba Corp | ホームゲートウェイ装置、アクセスサーバ装置及び通信方法 |
| GB2367986B (en) * | 2001-03-16 | 2002-10-09 | Ericsson Telefon Ab L M | Address mechanisms in internet protocol |
| US7493652B2 (en) * | 2003-08-06 | 2009-02-17 | Microsoft Corporation | Verifying location of a mobile node |
-
2003
- 2003-03-11 JP JP2003064329A patent/JP4352728B2/ja not_active Expired - Fee Related
-
2004
- 2004-02-23 US US10/782,837 patent/US7805605B2/en not_active Expired - Fee Related
- 2004-02-27 CN CN200410007291.3A patent/CN1531245B/zh not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| US7805605B2 (en) | 2010-09-28 |
| US20040205211A1 (en) | 2004-10-14 |
| JP2004274521A (ja) | 2004-09-30 |
| CN1531245A (zh) | 2004-09-22 |
| JP4352728B2 (ja) | 2009-10-28 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN1531245B (zh) | 服务器、终端控制设备以及终端鉴权方法 | |
| CN100592746C (zh) | 移动因特网协议中的寻址机制 | |
| JP3557056B2 (ja) | パケット検査装置、移動計算機装置及びパケット転送方法 | |
| US7636569B2 (en) | Method of registering home address of a mobile node with a home agent | |
| CN101176328B (zh) | 用于保护前缀范围绑定更新的安全的系统、关联方法和设备 | |
| US9686669B2 (en) | Method of configuring a mobile node | |
| US20060078119A1 (en) | Bootstrapping method and system in mobile network using diameter-based protocol | |
| Thubert et al. | Registration extensions for IPv6 over low-power wireless personal area network (6LoWPAN) neighbor discovery | |
| US9043599B2 (en) | Method and server for providing a mobility key | |
| CN101502078A (zh) | 提供接入待定的密钥的方法和系统 | |
| US8218484B2 (en) | Methods and apparatus for sending data packets to and from mobile nodes in a data network | |
| JP2008535363A (ja) | モバイルipを用いた移動ノードの仮想私設網接続方法 | |
| WO2004049672A2 (en) | Methods and apparatus for dynamic session key generation and rekeying in mobile ip | |
| CN101507235A (zh) | 用于提供无线网状网的方法和设备 | |
| JP2004241976A (ja) | 移動通信ネットワークシステムおよび移動端末認証方法 | |
| JP5044690B2 (ja) | Ipモビリティシステムのための動的な外部エージェント−ホーム・エージェント・セキュリティ・アソシエーション割当て | |
| Xia et al. | RADIUS support for proxy mobile IPv6 | |
| Korhonen et al. | Local mobility anchor (LMA) discovery for proxy mobile IPv6 | |
| Dominikus et al. | Passive RFID technology for the Internet of Things | |
| EP2127198B1 (en) | Authentication and encryption protocol in wireless communications system | |
| Johansson et al. | Mobile IPv4 extension for carrying network access identifiers | |
| Laurent-Maknavicius et al. | Inter-domain security for mobile Ipv6 | |
| JP2007082079A (ja) | ネットワーク間接続装置、及びそれを用いた簡易認証システムとその認証方法 | |
| CN101132629B (zh) | 发现呼叫控制系统入口的方法和系统 | |
| KR20100084773A (ko) | 무선통신시스템의 인증 방법 및 시스템 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20120425 Termination date: 20150227 |
|
| EXPY | Termination of patent right or utility model |