国产精品1024永久观看,大尺度欧美暖暖视频在线观看,亚洲宅男精品一区在线观看,欧美日韩一区二区三区视频,2021中文字幕在线观看

  • <option id="fbvk0"></option>
    1. <rt id="fbvk0"><tr id="fbvk0"></tr></rt>
      <center id="fbvk0"><optgroup id="fbvk0"></optgroup></center>
      <center id="fbvk0"></center>

      <li id="fbvk0"><abbr id="fbvk0"><dl id="fbvk0"></dl></abbr></li>

      生成轉(zhuǎn)交地址及提高路由優(yōu)化安全性的方法、裝置和系統(tǒng)的制作方法

      文檔序號:7655497閱讀:152來源:國知局
      專利名稱:生成轉(zhuǎn)交地址及提高路由優(yōu)化安全性的方法、裝置和系統(tǒng)的制作方法
      技術(shù)領(lǐng)域
      本發(fā)明涉及移動通信領(lǐng)域,特別涉及一種生成轉(zhuǎn)交地址的方法和裝置與一種提高路由優(yōu) 化安全性的方法和系統(tǒng)。
      背景技術(shù)
      隨著計算機(jī)網(wǎng)絡(luò)技術(shù)和移動通信技術(shù)的快速發(fā)展,對網(wǎng)絡(luò)提供移動性提出了需求,移動 IPV6是一種在網(wǎng)絡(luò)層解決移動性的方案。移動IPv6中有三種基本的網(wǎng)絡(luò)實(shí)體MN (Mobile Node,移動節(jié)點(diǎn))、CN (CorrespondentNode,通信節(jié)點(diǎn)或通信對端)以及HA (HomeAgent, 家鄉(xiāng)代理)。 一個移動節(jié)點(diǎn)可以通過HoA (Home Address,家鄉(xiāng)地址)唯一的識別出,HoA 是分配給移動節(jié)點(diǎn)的一個全局單播可路由地址。移動IPv6規(guī)范要求,移動節(jié)點(diǎn)從一條鏈路移 動到另一鏈路的過程中,不中斷使用家鄉(xiāng)地址正在進(jìn)行的通信,節(jié)點(diǎn)的移動性對傳輸層和其 它高層協(xié)議都是透明的。
      當(dāng)移動節(jié)點(diǎn)漫游到外地網(wǎng)絡(luò)時,會通過一定方式生成CoA (Care of Address,轉(zhuǎn)交地址), 并通過BU (Binding Update,綁定更新消息)通知家鄉(xiāng)代理。家鄉(xiāng)代理會截獲發(fā)送到移動節(jié) 點(diǎn)家鄉(xiāng)網(wǎng)絡(luò)與移動節(jié)點(diǎn)進(jìn)行通信的報文,再通過隧道模式轉(zhuǎn)發(fā)給移動節(jié)點(diǎn);當(dāng)移動節(jié)點(diǎn)向通 信節(jié)點(diǎn)發(fā)送報文時,對報文進(jìn)行隧道封裝后發(fā)送到家鄉(xiāng)代理,家鄉(xiāng)代理對隧道報文進(jìn)行解封 裝后轉(zhuǎn)發(fā)給通信節(jié)點(diǎn),通信節(jié)點(diǎn)收到后,返回BA (BindingAcknowledge,綁定確認(rèn))消息, 對BU消息進(jìn)行確認(rèn)。這種移動節(jié)點(diǎn)和通信節(jié)點(diǎn)經(jīng)過家鄉(xiāng)代理中轉(zhuǎn)的通信方式被稱為三角路 由模式。三角路由模式會增加通信時延,存在與移動節(jié)點(diǎn)通信的報文頭部開銷大,增加了移 動節(jié)點(diǎn)家鄉(xiāng)鏈路的負(fù)擔(dān),以及路由可能不夠優(yōu)化等問題。移動節(jié)點(diǎn)和通信節(jié)點(diǎn)的另外一種通 信方式為路由優(yōu)化模式,即通過BU將移動節(jié)點(diǎn)當(dāng)前的位置信息(即CoA)告訴通信節(jié)點(diǎn), 通信節(jié)點(diǎn)和移動節(jié)點(diǎn)之間不經(jīng)過家鄉(xiāng)代理中轉(zhuǎn)而是直接進(jìn)行通信。路由優(yōu)化模式下若BU消 息沒有受到保護(hù),移動節(jié)點(diǎn)和通信節(jié)點(diǎn)間的通信很容易受到攻擊。例如,攻擊者用一個偽造 的CoA代替BU消息中的CoA,移動節(jié)點(diǎn)就無法收到通信節(jié)點(diǎn)發(fā)送的報文;攻擊者也可以重 放移動節(jié)點(diǎn)先前發(fā)送的BU消息,通信節(jié)點(diǎn)接受后,會按照BU消息中的舊地址發(fā)送數(shù)據(jù)包, 而不是其當(dāng)前位置;若不對CoA進(jìn)行檢查,惡意節(jié)點(diǎn)還可以偽造BU消息將一個受害節(jié)點(diǎn)地
      址作為CoA,從而引發(fā)通信節(jié)點(diǎn)發(fā)送大量的數(shù)據(jù)至受害節(jié)點(diǎn)。
      現(xiàn)有技術(shù)中一個移動IPv6節(jié)點(diǎn)生成轉(zhuǎn)交地址時,其中的接口標(biāo)識可以采用隨意選擇一個 數(shù)據(jù)作為接口標(biāo)識的方式,也可以采用根據(jù)移動節(jié)點(diǎn)的MAC地址生成一個接口標(biāo)識的方式。 在實(shí)現(xiàn)本發(fā)明過程中,發(fā)明人發(fā)現(xiàn)上述生成轉(zhuǎn)交地址的現(xiàn)有技術(shù)中至少存在如下問題對于 隨意選擇一個數(shù)據(jù)作為接口標(biāo)識的方式,通信節(jié)點(diǎn)得不到轉(zhuǎn)交地址的驗(yàn)證信息;對于通過 MAC地址生成接口標(biāo)識及轉(zhuǎn)交地址的方式,當(dāng)通信節(jié)點(diǎn)與移動節(jié)點(diǎn)不在同一子網(wǎng)的情形下, 由移動節(jié)點(diǎn)發(fā)送到通信節(jié)點(diǎn)的報文頭部中也沒有攜帶移動節(jié)點(diǎn)的MAC地址,所以通信節(jié)點(diǎn) 也無法驗(yàn)證轉(zhuǎn)交地址;由于無法驗(yàn)證轉(zhuǎn)交地址,則移動節(jié)點(diǎn)和通信節(jié)點(diǎn)進(jìn)行通信時會很不安 全,如通信節(jié)點(diǎn)將數(shù)據(jù)發(fā)往錯誤的轉(zhuǎn)交地址等等。
      為了提高路由優(yōu)化的安全性,目前存在一種現(xiàn)有技術(shù),通過使用RRP (ReturnRoutability Procedure,返回路由可達(dá)過程)的方法生成Kbm (Binding Management Key,綁定管理密鑰), 使用Kbm保護(hù)MN和CN之間的BU與BA消息。當(dāng)MN與CN進(jìn)行路由優(yōu)化模式通信時, 先執(zhí)行返回路由可達(dá)過程,然后生成Kbm,在進(jìn)行對端注冊時,用Kbm生成綁定授權(quán)數(shù)據(jù) 保護(hù)BU和BA的完整性。參見圖l,返回路由可達(dá)過程具體如下
      MN向CN發(fā)送HoTI (Home Test Init,家鄉(xiāng)測試初始)消息,該消息的內(nèi)層源IP地址為 HoA (通過隧道方式由家鄉(xiāng)代理轉(zhuǎn)發(fā)給CN),并請求獲得家鄉(xiāng)秘密生成令牌(Home Keygen Token),其中還可以攜帶cookie (MN生成的隨機(jī)數(shù)-小甜點(diǎn))。CN收到HoTI消息后,按下 面的方法計算家鄉(xiāng)秘密生成令牌
      Home Keygen Token = First (64, HMAC-SHA1 (Ken, HoA | Nonce | O));
      其中Ken是只有CN才知道的秘密,Nonce是由CN生成的隨機(jī)數(shù)。生成家鄉(xiāng)秘密生成 令牌后,CN把家鄉(xiāng)秘密生成令牌放在HoT (Home Test,家鄉(xiāng)測試)消息(即對HoTI消息 的響應(yīng)消息)中發(fā)送給MN,同時也會將收到的HoTI消息中的cookie放在HoT消息中。
      另外,MN還向CN發(fā)送CoTI (Care of Test Init,轉(zhuǎn)交測試初始)消息,將MN的CoA 傳給CN,并請求獲得轉(zhuǎn)交秘密生成令牌(Care-of Keygen Token),其中也可以攜帶cookie。 CN收到CoTI消息后,按下面的方法計算轉(zhuǎn)交秘密生成令牌
      Care-of Keygen Token = First (64, HMAC-SHA1 (Ken, CoA | Nonce | 1));
      其中Ken與Nonce的值同上。生成轉(zhuǎn)交秘密生成令牌后,CN把轉(zhuǎn)交秘密生成令牌放在 CoT (CareofTest,轉(zhuǎn)交測試)消息(即對CoTI消息的響應(yīng)消息)中發(fā)送給MN,同時也會 將收到的cookie放在CoT消息中發(fā)過去。
      MN收到CN返回的HoT和CoT消息后,分別進(jìn)行cookie檢查,驗(yàn)證通過后,從HoT
      中取出家鄉(xiāng)秘密生成令牌,從CoT中取出轉(zhuǎn)交秘密生成令牌,然后按照如下方法計算出Kbm: Kbm = SHA1 (Home Keygen Token | Care-ofKeygen Token)。
      當(dāng)MN向CN發(fā)起對端注冊時,用上述Kbm生成MAC (Message Authentication Code, 消息鑒別碼),作為綁定授權(quán)數(shù)據(jù)放在BU消息中,CN收到BU消息后,用同樣的方法生成 Kbm,進(jìn)而生成MAC,來驗(yàn)證BU消息中的MAC,從而判別出收到的BU消息的正確性。
      當(dāng)MN向CN注銷綁定關(guān)系時,在返回路由可達(dá)過程中可以只執(zhí)行HoTI和HoT,則CN 只生成家鄉(xiāng)秘密生成令牌,且MN與CN按照如下方法計算出Kbm:
      Kbm = SHA1 (Home Keygen Token);
      然后用生成的Kbm來生成BU消息中的MAC,作為對BU消息的驗(yàn)證。 在實(shí)現(xiàn)本發(fā)明過程中,發(fā)明人發(fā)現(xiàn)上述現(xiàn)有技術(shù)中至少存在如下問題 在返回路由可達(dá)過程結(jié)束后,MN還沒有發(fā)送BU消息將HoA與CoA進(jìn)行綁定之前,攻 擊者可以通過非法獲取HoT消息和CoT消息,并用同樣的方法來計算生成Kbm,從而偽造 BU消息,導(dǎo)致CN將數(shù)據(jù)發(fā)向錯誤的地址。例如,攻擊者竊聽到CN發(fā)給MNa的CoT消息, 并提取出轉(zhuǎn)交秘密生成令牌,竊聽到CN發(fā)給MNb的HoT消息,并提取出家鄉(xiāng)秘密生成令 牌,然后計算出Kbm,并將CoAa與HoTb綁定向CN發(fā)送BU消息,該BU可以被CN驗(yàn)證 通過并接受,因此CN通過路由優(yōu)化發(fā)送到MNb的流量被重定向到了MNa,導(dǎo)致數(shù)據(jù)傳輸 的安全性降低。

      發(fā)明內(nèi)容
      為了提高生成轉(zhuǎn)交地址的安全性,本發(fā)明實(shí)施例提供了一種生成轉(zhuǎn)交地址的方法和裝置。
      所述技術(shù)方案如下
      一種生成轉(zhuǎn)交地址的方法,所述方法包括
      以移動節(jié)點(diǎn)的家鄉(xiāng)地址為輸入通過單向函數(shù)運(yùn)算生成接口標(biāo)識; 將所述接口標(biāo)識與所述移動節(jié)點(diǎn)訪問的外部網(wǎng)絡(luò)的前綴結(jié)合生成轉(zhuǎn)交地址。 一種生成轉(zhuǎn)交地址的裝置,所述裝置包括
      接口標(biāo)識生成模塊,用于以移動節(jié)點(diǎn)的家鄉(xiāng)地址為輸入通過單向函數(shù)運(yùn)算生成接口標(biāo)識; 轉(zhuǎn)交地址生成模塊,用于將所述接口標(biāo)識生成模塊生成的接口標(biāo)識與所述移動節(jié)點(diǎn)訪問 的外部網(wǎng)絡(luò)的前綴結(jié)合生成轉(zhuǎn)交地址。 上述技術(shù)方案具有如下有益效果
      通過以移動節(jié)點(diǎn)MN的家鄉(xiāng)地址HoA為輸入,并利用單向函數(shù)運(yùn)算生成接口標(biāo)識以及轉(zhuǎn)
      交地址CoA,使CN可以得到轉(zhuǎn)交地址的驗(yàn)證信息,限制了因移動機(jī)制誤用而導(dǎo)致的攻擊, 提高了移動IPv6的CoA的安全性。
      為了提高路由優(yōu)化通信的安全性,本發(fā)明實(shí)施例提供了一種提高路由優(yōu)化安全性的方法 和系統(tǒng)。所述技術(shù)方案如下
      一方面,本發(fā)明實(shí)施例提供了一種提高路由優(yōu)化安全性的方法,所述方法包括
      移動節(jié)點(diǎn)以家鄉(xiāng)地址為輸入通過單向函數(shù)運(yùn)算生成接口標(biāo)識;
      所述移動節(jié)點(diǎn)將所述接口標(biāo)識與所述移動節(jié)點(diǎn)訪問的外部網(wǎng)絡(luò)的前綴結(jié)合生成轉(zhuǎn)交地
      址;
      所述移動節(jié)點(diǎn)和通信節(jié)點(diǎn)使用所述家鄉(xiāng)地址和轉(zhuǎn)交地址執(zhí)行返回路由可達(dá)過程,然后分
      別生成相同的綁定管理密鑰;
      所述移動節(jié)點(diǎn)和通信節(jié)點(diǎn)分別用自己生成的綁定管理密鑰生成綁定授權(quán)數(shù)據(jù); 所述移動節(jié)點(diǎn)發(fā)送包含所述家鄉(xiāng)地址、轉(zhuǎn)交地址和自己生成的綁定授權(quán)數(shù)據(jù)的綁定更新
      消息給通信節(jié)點(diǎn);
      所述通信節(jié)點(diǎn)收到所述綁定更新消息后,驗(yàn)證所述綁定更新消息中的綁定授權(quán)數(shù)據(jù),如 果與自己生成的綁定授權(quán)數(shù)據(jù)一致,則允許所述移動節(jié)點(diǎn)與通信節(jié)點(diǎn)進(jìn)行路由優(yōu)化模式下的 通信。
      另一方面,本發(fā)明實(shí)施例還提供了一種提高路由優(yōu)化安全性的方法,所述方法包括 移動節(jié)點(diǎn)以家鄉(xiāng)地址為輸入通過單向函數(shù)運(yùn)算生成接口標(biāo)識,所述家鄉(xiāng)地址通過密碼學(xué) 方法生成;
      所述移動節(jié)點(diǎn)將所述接口標(biāo)識與所述移動節(jié)點(diǎn)訪問的外部網(wǎng)絡(luò)的前綴結(jié)合生成轉(zhuǎn)交地
      址;
      所述移動節(jié)點(diǎn)和通信節(jié)點(diǎn)使用所述家鄉(xiāng)地址和轉(zhuǎn)交地址執(zhí)行返回路由可達(dá)過程; 所述移動節(jié)點(diǎn)用自己的私鑰簽名綁定更新消息,作為所述綁定更新消息的綁定授權(quán)數(shù)據(jù); 所述移動節(jié)點(diǎn)發(fā)送包含所述家鄉(xiāng)地址、轉(zhuǎn)交地址和綁定授權(quán)數(shù)據(jù)的所述綁定更新消息給
      通信節(jié)點(diǎn),并在所述綁定更新消息中攜帶所述移動節(jié)點(diǎn)的公鑰;
      所述通信節(jié)點(diǎn)收到所述綁定更新消息后,提取出所述移動節(jié)點(diǎn)的公鑰,用所述移動節(jié)點(diǎn)
      的公鑰驗(yàn)證所述綁定更新消息中的綁定授權(quán)數(shù)據(jù),如果驗(yàn)證通過,則允許所述移動節(jié)點(diǎn)與通
      信節(jié)點(diǎn)進(jìn)行路由優(yōu)化模式下的通信。
      一方面,本發(fā)明實(shí)施例提供了一種提高路由優(yōu)化安全性的系統(tǒng),所述系統(tǒng)包括移動節(jié)點(diǎn)
      和通信節(jié)點(diǎn),所述移動節(jié)點(diǎn)包括
      轉(zhuǎn)交地址生成模塊,用于以所述移動節(jié)點(diǎn)的家鄉(xiāng)地址為輸入通過單向函數(shù)運(yùn)算生成接口 標(biāo)識;將所述接口標(biāo)識與所述移動節(jié)點(diǎn)訪問的外部網(wǎng)絡(luò)的前綴結(jié)合生成轉(zhuǎn)交地址;
      密鑰生成模塊,用于與所述通信節(jié)點(diǎn)一起使用所述家鄉(xiāng)地址和所述轉(zhuǎn)交地址生成模塊生 成的轉(zhuǎn)交地址執(zhí)行返回路由可達(dá)過程,然后生成綁定管理密鑰;
      授權(quán)數(shù)據(jù)生成模塊,用于用所述密鑰生成模塊生成的綁定管理密鑰生成綁定授權(quán)數(shù)據(jù);
      發(fā)送模塊,用于發(fā)送包含所述家鄉(xiāng)地址、所述轉(zhuǎn)交地址生成模塊生成的轉(zhuǎn)交地址和所述 授權(quán)數(shù)據(jù)生成模塊生成的綁定授權(quán)數(shù)據(jù)的綁定更新消息給所述通信節(jié)點(diǎn);
      所述通信節(jié)點(diǎn)包括
      密鑰生成模塊,用于與所述移動節(jié)點(diǎn)一起使用所述家鄉(xiāng)地址和所述轉(zhuǎn)交地址生成模塊生 成的轉(zhuǎn)交地址執(zhí)行返回路由可達(dá)過程,然后生成與所述移動節(jié)點(diǎn)的密鑰生成模塊生成的綁定 管理密鑰相同的綁定管理密鑰;
      授權(quán)數(shù)據(jù)生成模塊,用于用所述通信節(jié)點(diǎn)的密鑰生成模塊生成的綁定管理密鑰生成綁定 授權(quán)數(shù)據(jù);
      接收模塊,用于接收所述發(fā)送模塊發(fā)來的綁定更新消息;
      比對模塊,用于將所述接收模塊收到的綁定更新消息中的綁定授權(quán)數(shù)據(jù)與所述通信節(jié)點(diǎn) 的授權(quán)數(shù)據(jù)生成模塊生成的綁定授權(quán)數(shù)據(jù)進(jìn)行比對;
      控制模塊,用于當(dāng)所述比對模塊比對的結(jié)果一致時,允許所述移動節(jié)點(diǎn)與通信節(jié)點(diǎn)進(jìn)行 路由優(yōu)化模式下的通信。
      另一方面,本發(fā)明實(shí)施例還提供了一種提高路由優(yōu)化安全性的系統(tǒng),所述系統(tǒng)包括移動 節(jié)點(diǎn)和通信節(jié)點(diǎn),所述移動節(jié)點(diǎn)包括
      轉(zhuǎn)交地址生成模塊,用于以所述移動節(jié)點(diǎn)的家鄉(xiāng)地址為輸入通過單向函數(shù)運(yùn)算生成接口 標(biāo)識;將所述接口標(biāo)識與所述移動節(jié)點(diǎn)訪問的外部網(wǎng)絡(luò)的前綴結(jié)合生成轉(zhuǎn)交地址,所述家鄉(xiāng) 地址通過密碼學(xué)方法生成;
      返回路由可達(dá)執(zhí)行模塊,用于與所述通信節(jié)點(diǎn)一起使用所述家鄉(xiāng)地址和所述轉(zhuǎn)交地址生 成模塊生成的轉(zhuǎn)交地址執(zhí)行返回路由可達(dá)過程;
      授權(quán)數(shù)據(jù)生成模塊,用于用所述移動節(jié)點(diǎn)的私鑰簽名綁定更新消息,作為所述綁定更新 消息的綁定授權(quán)數(shù)據(jù);
      發(fā)送模塊,用于發(fā)送包含所述家鄉(xiāng)地址、所述轉(zhuǎn)交地址生成模塊生成的轉(zhuǎn)交地址和所述 授權(quán)數(shù)據(jù)生成模塊生成的綁定授權(quán)數(shù)據(jù)的所述綁定更新消息給所述通信節(jié)點(diǎn),并在所述綁定 更新消息中攜帶所述移動節(jié)點(diǎn)的公鑰;
      所述通信節(jié)點(diǎn)包括
      返回路由可達(dá)執(zhí)行模塊,用于與所述移動節(jié)點(diǎn)一起使用所述家鄉(xiāng)地址和所述轉(zhuǎn)交地址生 成模塊生成的轉(zhuǎn)交地址執(zhí)行返回路由可達(dá)過程;
      接收模塊,用于接收所述發(fā)送模塊發(fā)來的綁定更新消息;
      驗(yàn)證模塊,用于提取所述接收模塊收到的綁定更新消息中的所述移動節(jié)點(diǎn)的公鑰,并用 所述移動節(jié)點(diǎn)的公鑰驗(yàn)證所述綁定更新消息中的綁定授權(quán)數(shù)據(jù);
      控制模塊,用于當(dāng)所述驗(yàn)證模塊驗(yàn)證通過時,允許所述移動節(jié)點(diǎn)與通信節(jié)點(diǎn)進(jìn)行路由優(yōu) 化模式下的通信。
      上述技術(shù)方案具有如下有益效果-
      通過在移動節(jié)點(diǎn)MN的家鄉(xiāng)地址HoA的基礎(chǔ)上生成轉(zhuǎn)交地址CoA,使用該CoA執(zhí)行返 回路由可達(dá)過程RRP;然后計算出綁定管理密鑰Kbm,使用Kbm生成綁定授權(quán)數(shù)據(jù),用染 對BU消息進(jìn)行驗(yàn)證;當(dāng)HoA用CGA (Cryptographically Generated Addresses,密碼學(xué)方法生 成的地址)方式生成時,通過使用MN的私鑰簽名BU消息作為綁定授權(quán)數(shù)據(jù),來驗(yàn)證BU 消息;驗(yàn)證通過后,MN與CN可以進(jìn)行路由優(yōu)化模式下的通信,限制了因移動機(jī)制誤用而 導(dǎo)致的攻擊,提高了移動IPv6的路由優(yōu)化模式下通信的安全性。


      圖1是現(xiàn)有技術(shù)中返回路由可達(dá)過程示意圖2是本發(fā)明實(shí)施例1提供的生成轉(zhuǎn)交地址的方法的流程圖3是本發(fā)明實(shí)施例2提供的生成轉(zhuǎn)交地址的裝置的結(jié)構(gòu)圖4是本發(fā)明實(shí)施例3提供的提高路由優(yōu)化安全性的方法的流程圖5是本發(fā)明實(shí)施例4提供的提高路由優(yōu)化安全性的系統(tǒng)的結(jié)構(gòu)圖6是本發(fā)明實(shí)施例5提供的另一種提高路由優(yōu)化安全性的方法的流程圖7是本發(fā)明實(shí)施例6提供的另一種提高路由優(yōu)化安全性的系統(tǒng)的結(jié)構(gòu)圖。
      具體實(shí)施例方式
      為使本發(fā)明的目的、技術(shù)方案和優(yōu)點(diǎn)更加清楚,下面將結(jié)合附圖對本發(fā)明實(shí)施方式作進(jìn) 一步地詳細(xì)描述。
      本發(fā)明實(shí)施例在移動節(jié)點(diǎn)MN的家鄉(xiāng)地址HoA的基礎(chǔ)上生成轉(zhuǎn)交地址CoA,使用該CoA 執(zhí)行返回路由可達(dá)過程RRP,然后計算出綁定管理密鑰Kbm,使用Kbm生成綁定授權(quán)數(shù)據(jù),
      用來對BU消息迸行驗(yàn)證;當(dāng)HoA用CGA方式生成時,通過使用MN的私鑰簽名BU消息 作為綁定授權(quán)數(shù)據(jù),來驗(yàn)證BU消息;驗(yàn)證通過后,MN與CN可以進(jìn)行路由優(yōu)化模式下的通信。
      實(shí)施例1
      參見圖2,本發(fā)明實(shí)施例提供了一種生成轉(zhuǎn)交地址的方法,具體包括
      步驟101:以MN的HoA為輸入通過單向函數(shù)運(yùn)算生成標(biāo)識OID。
      其中,利用單向函數(shù)PRF (Pseudo Random Function,偽隨機(jī)函數(shù))進(jìn)行運(yùn)算的公式具體
      如下 '
      OID = PRF (Expression);
      其中Expression可以為MN的HoA,也可以為MN所訪問的外部網(wǎng)絡(luò)的網(wǎng)絡(luò)前綴(Subnet Prefix)與HoA的組合;PRF是單向密碼學(xué)函數(shù),它可以是MD5、 SHA-l、 SHA256或 AES-XCBC-PRF等單向函數(shù)。因此上述公式可以有多種形式,例如
      OID = SHA-l (HoA);
      或OID = MD5 (HoA I Subnet Prefix)等等。
      步驟102:生成OID后,MN對OID進(jìn)行處理得到長度為64bit的接口標(biāo)識(Interface ID)。 如果OID的長度超過64bit,處理的方式有多種,例如,可以按如下公式進(jìn)行處理后作為 CoA的接口標(biāo)識
      Interface ID = Abs (64, n, OID);
      即從OID中選取從n bit開始的前64bit作為接口標(biāo)識Interface ID,第一次生成CoA時可 以選取n-0,當(dāng)?shù)刂窙_突時,可以通過改變n的值來重新生成接口標(biāo)識以及相應(yīng)的CoA;其 中,n為預(yù)先設(shè)置的起始位;
      還可以按如下方式進(jìn)行處理將OID按64bit分成多個塊,如果劃分過程中最后一塊不 足64bit,則從其它塊中任意取相應(yīng)長度的內(nèi)容補(bǔ)充成64bit,假設(shè)將OID劃分為N塊,分別 為Blockl、 Block2、 ...、 BlockN,則接口標(biāo)識可以按如下公式計算
      Interface ID = Block l Block2UBlockN;
      其中運(yùn)算符④可以是"與(AND)"、"或(OR)"或"異或(XOR)"等位邏輯運(yùn)算符。 步驟103:生成CoA的接口標(biāo)識后,MN將訪問的外部網(wǎng)絡(luò)的前綴Subnet Prefix與接口 標(biāo)識結(jié)合,生成MN的CoA。
      當(dāng)MN的HoA是通過CGA方式生成時,上述步驟101可以具體為
      將MN的HoA與MN的公鑰組合后作為輸入,或者將MN訪問的外部網(wǎng)絡(luò)的前綴與HoA
      和公鑰組合后作為輸入,通過單向函數(shù)運(yùn)算生成接口標(biāo)識,即Expression中還可以包括MN 的公鑰信息。
      進(jìn)一步地,在上述方法中還可以增加對生成的CoA執(zhí)行重復(fù)地址檢測的步驟
      判斷生成的CoA與網(wǎng)絡(luò)中已使用的IP地址是否相同,如果相同,即發(fā)現(xiàn)地址沖突,則 按下面的步驟重新生成接口標(biāo)識Interface ID,進(jìn)而重新生成一個可用的CoA:
      修改起始位n的值,在原來的基礎(chǔ)上增加增量,S卩n= n + increment,其中increment為預(yù) 先設(shè)置的增量,可以為l、 2、 3、 4、 5、 6、 7、 8、 16、 32等固定值,然后用如下公式運(yùn)算
      Interface ID = Abs (64,n, OID)。
      本實(shí)施例通過以MN的HoA為輸入,利用單向函數(shù)運(yùn)算生成接口標(biāo)識以及CoA,使CN 可以得到轉(zhuǎn)交地址的驗(yàn)證信息,限制了因移動機(jī)制誤用而導(dǎo)致的攻擊,提高了移動IPv6的 CoA的安全性;通過對生成的CoA進(jìn)行地址檢查,可以避免網(wǎng)絡(luò)中發(fā)生地址沖突。
      實(shí)施例2
      參見圖3,本發(fā)明實(shí)施例提供了一種生成轉(zhuǎn)交地址的裝置,具體包括-
      (1) 接口標(biāo)識生成模塊,用于以移動節(jié)點(diǎn)的家鄉(xiāng)地址為輸入通過單向函數(shù)運(yùn)算生成接口
      標(biāo)識;
      (2) 轉(zhuǎn)交地址生成模塊,用于將接口標(biāo)識生成模塊生成的接口標(biāo)識與移動節(jié)點(diǎn)訪問的外 部網(wǎng)絡(luò)的前綴結(jié)合生成轉(zhuǎn)交地址。
      接口標(biāo)識生成模塊可以具體包括-
      1) 組合單元,用于將移動節(jié)點(diǎn)訪問的外部網(wǎng)絡(luò)的前綴與移動節(jié)點(diǎn)的家鄉(xiāng).地址進(jìn)行組合;
      2) 生成單元,用于將組合單元組合后得到的數(shù)據(jù)作為輸入,通過單向函數(shù)運(yùn)算生成接口 標(biāo)識。
      當(dāng)移動節(jié)點(diǎn)的家鄉(xiāng)地址通過密碼學(xué)方法生成時,接口標(biāo)識生成模塊可以具體包括-
      1) 組合單元,用于將移動節(jié)點(diǎn)的家鄉(xiāng)地址與移動節(jié)點(diǎn)的公鑰進(jìn)行組合,或者將移動節(jié)點(diǎn) 訪問的外部網(wǎng)絡(luò)的前綴與家鄉(xiāng)地址和公鑰進(jìn)行組合;
      2) 生成單元,用于將組合單元組合后得到的數(shù)據(jù)作為輸入,通過單向函數(shù)運(yùn)算生成接口 標(biāo)識。
      其中,上述裝置還可以包括
      長度處理模塊,用于判斷接口標(biāo)識生成模塊生成的接口標(biāo)識的長度是否超過64比特位,
      如果是,則設(shè)置一個起始位,從起始位開始,取64比特位,作為新的接口標(biāo)識發(fā)送給轉(zhuǎn)交地 址生成模塊。 其中,上述裝置也可以包括
      長度處理模塊,用于判斷接口標(biāo)識生成模塊生成的接口標(biāo)識的長度是否超過64比特位, 如果是,則將接口標(biāo)識按64比特位劃分成多個塊,若最后一塊不足64比特位,則從其它塊 中任意取相應(yīng)長度的內(nèi)容補(bǔ)充成64比特位,然后對多個塊進(jìn)行位邏輯運(yùn)算,將運(yùn)算的結(jié)果作 為新的接口標(biāo)識發(fā)送給轉(zhuǎn)交地址生成模塊。
      為了避免發(fā)生地址沖突,上述裝置還可以包括
      地址檢査模塊,用于當(dāng)轉(zhuǎn)交地址生成模塊生成轉(zhuǎn)交地址后,判斷轉(zhuǎn)交地址與網(wǎng)絡(luò)中已使 用的IP地址是否相同,如果相同,則設(shè)置增量,對長度處理模塊設(shè)置的起始位和增量進(jìn)行求
      和運(yùn)算,以運(yùn)算的結(jié)果為新的起始位,取64比特位,作為接口標(biāo)識并生成新的轉(zhuǎn)交地址。 本實(shí)施例通過接口標(biāo)識生成模塊以MN的HoA為輸入,利用單向函數(shù)運(yùn)算生成接口標(biāo)識,
      以及轉(zhuǎn)交地址生成模塊根據(jù)該接口標(biāo)識生成CoA,使CN可以得到轉(zhuǎn)交地址的驗(yàn)證信息,限
      制了因移動機(jī)制誤用而導(dǎo)致的攻擊,提高了移動IPv6的CoA的安全性;通過地址檢査模塊
      對生成的CoA進(jìn)行地址檢査,可以避免網(wǎng)絡(luò)中發(fā)生地址沖突。 實(shí)施例3
      參見圖4,本發(fā)明實(shí)施例提供了一種提高路由優(yōu)化安全性的方法,具體包括以下步驟
      步驟201: MN以HoA為輸入通過單向函數(shù)運(yùn)算生成接口標(biāo)識。
      步驟202: MN將接口標(biāo)識與MN訪問的外部網(wǎng)絡(luò)的前綴結(jié)合生成CoA。
      進(jìn)一步地,還可以對生成的CoA執(zhí)行重復(fù)地址檢測,即判斷生成的CoA與網(wǎng)絡(luò)中已使
      用的IP地址是否相同,如果相同,即發(fā)現(xiàn)地址沖突,則按下面的步驟重新生成接口標(biāo)識
      Interface ID,進(jìn)而重新生成一個可用的CoA:
      修改初次采用的起始位n的值,在原來的基礎(chǔ)上增加增量,即n= n + increment,其中增
      量increment可以為1、 2、 3、 4、 5、 6、 7、 8、 16、 32等固定值,然后用如下公式運(yùn)算 Interface ID = Abs (64,n, OID)。
      步驟203: MN和CN均使用MN的HoA和生成的CoA執(zhí)行返回路由可達(dá)過程。
      當(dāng)MN首次向CN發(fā)起對端注冊時,在返回路由可達(dá)過程中CN分別生成家鄉(xiāng)秘密生成 令牌和轉(zhuǎn)交秘密生成令牌,并通過HoT和CoT傳送給MN。
      當(dāng)MN非首次向CN發(fā)起對端注冊時,在返回路由可達(dá)過程中可以只執(zhí)行CoTI和CoT, 則CN只生成轉(zhuǎn)交秘密生成令牌并通過CoT傳給MN。
      當(dāng)MN向CN注銷綁定關(guān)系時,在返回路由可達(dá)過程中可以只執(zhí)行HoTI和HoT,則CN 只生成家鄉(xiāng)秘密生成令牌并通過HoT傳給MN。
      步驟204: CN根據(jù)在返回路由可達(dá)過程中生成的令牌生成Kbm, MN根據(jù)從收到的測試 響應(yīng)消息中提取出的令牌生成Kbm; MN生成的Kbm與CN生成的Kbm相同。 步驟205: MN和CN分別用各自生成的Kbm生成綁定授權(quán)數(shù)據(jù)。
      步驟206: MN向CN發(fā)送包含MN的HoA和CoA的BU消息,并且在BU消息中攜帶 MN生成的綁定授權(quán)數(shù)據(jù)。
      為了避免消耗過多的計算資源,進(jìn)一步地,MN還可以設(shè)置執(zhí)行RRP和發(fā)送BU消息的 最小時間間隔,相應(yīng)地,CN也可以根據(jù)需要限制單位時間內(nèi)接受BU消息的最大個數(shù)等等。
      步驟207: CN收到BU消息后,對BU消息中的綁定授權(quán)數(shù)據(jù)進(jìn)行驗(yàn)證,即將CN生成 的綁定授權(quán)數(shù)據(jù)與BU消息中的綁定授權(quán)數(shù)據(jù)進(jìn)行比對,如果一致,則允許CN和MN進(jìn)行 路由優(yōu)化模式下的通信;如果不一致,表明此時CN收到的BU消息不正確,則不允許MN 與CN進(jìn)行路由優(yōu)化模式下的通信。
      進(jìn)一步地,還可以在CN驗(yàn)證BU消息中的綁定授權(quán)數(shù)據(jù)(步驟207)之前增加驗(yàn)證BU 消息中的CoA的步驟,具體如下
      CN從收到的BU消息中提取出MN的HoA,并根據(jù)該HoA用與步驟201至步驟202相 同的方法生成一個臨時CoA,然后比對生成的臨時CoA和BU消息中的CoA是否一致,如 果一致,則繼續(xù)進(jìn)行綁定授權(quán)數(shù)據(jù)的驗(yàn)證;如果不一致,則說明當(dāng)前的BU消息有誤,可能 是偽造的BU消息,則不允許MN與CN進(jìn)行路由優(yōu)化模式下的通信。
      本實(shí)施例通過在移動節(jié)點(diǎn)MN的家鄉(xiāng)地址HoA的基礎(chǔ)上生成轉(zhuǎn)交地址CoA,使用該CoA 執(zhí)行返回路由可達(dá)過程RRP,然后計算出綁定管理密鑰Kbm,使用Kbm生成綁定授權(quán)數(shù)據(jù), 用來對BU消息進(jìn)行驗(yàn)證,驗(yàn)證通過后,MN與CN可以進(jìn)行路由優(yōu)化模式下的通信,限制了 因移動機(jī)制誤用而導(dǎo)致的攻擊,從而提高了移動IPv6的路由優(yōu)化模式下通信的安全性。在驗(yàn) 證綁定授權(quán)數(shù)據(jù)之前,還可以進(jìn)一步對BU消息中的CoA進(jìn)行驗(yàn)證,可以進(jìn)一步提高路由優(yōu) 化模式下通信的安全性。
      實(shí)施例4
      參見圖5,本發(fā)明實(shí)施例還提供了一種提高路由優(yōu)化安全性的系統(tǒng),具體包括移動節(jié)點(diǎn) 和通信節(jié)點(diǎn);
      移動節(jié)點(diǎn)包括
      (1) 轉(zhuǎn)交地址生成模塊,用于以移動節(jié)點(diǎn)的家鄉(xiāng)地址為輸入通過單向函數(shù)運(yùn)算生成接口 標(biāo)識;將接口標(biāo)識與移動節(jié)點(diǎn)訪問的外部網(wǎng)絡(luò)的前綴結(jié)合生成轉(zhuǎn)交地址;
      (2) 密鑰生成模塊,用于與通信節(jié)點(diǎn)一起使用家鄉(xiāng)地址和轉(zhuǎn)交地址生成模塊生成的轉(zhuǎn)交 地址執(zhí)行返回路由可達(dá)過程,然后生成綁定管理密鑰;
      (3) 授權(quán)數(shù)據(jù)生成模塊,用于用密鑰生成模塊生成的綁定管理密鑰生成綁定授權(quán)數(shù)據(jù);
      (4) 發(fā)送模塊,用于發(fā)送包含家鄉(xiāng)地址、轉(zhuǎn)交地址生成模塊生成的轉(zhuǎn)交地址和授權(quán)數(shù)據(jù) 生成模塊生成的綁定授權(quán)數(shù)據(jù)的綁定更新消息給通信節(jié)點(diǎn);
      通信節(jié)點(diǎn)包括
      (1) 密鑰生成模塊,用于與移動節(jié)點(diǎn)一起使用家鄉(xiāng)地址和轉(zhuǎn)交地址生成模塊生成的轉(zhuǎn)交 地址執(zhí)行返回路由可達(dá)過程,然后生成與移動節(jié)點(diǎn)的密鑰生成模塊生成的綁定管理密鑰相同 的綁定管理密鑰;
      (2) 授權(quán)數(shù)據(jù)生成模塊,用于用通信節(jié)點(diǎn)的密鑰生成模塊生成的綁定管理密鑰生成綁定 授權(quán)數(shù)據(jù);
      (3) 接收模塊,用于接收發(fā)送模塊發(fā)來的綁定更新消息;
      (4) 比對模塊,用于將接收模塊收到的綁定更新消息中的綁定授權(quán)數(shù)據(jù)與通信節(jié)點(diǎn)的授 權(quán)數(shù)據(jù)生成模塊生成的綁定授權(quán)數(shù)據(jù)進(jìn)行比對;
      (5) 控制模塊,用于當(dāng)比對模塊比對的結(jié)果一致時,允許移動節(jié)點(diǎn)與通信節(jié)點(diǎn)進(jìn)行路由 優(yōu)化模式下的通信。
      其中,上述通信節(jié)點(diǎn)還可以包括-
      轉(zhuǎn)交地址比對模塊,用于在比對模塊進(jìn)行比對之前,從接收模塊收到的綁定更新消息中 提取移動節(jié)點(diǎn)的家鄉(xiāng)地址,并根據(jù)該家鄉(xiāng)地址用與轉(zhuǎn)交地址生成模塊生成轉(zhuǎn)交地址相同的方 法生成一個臨時轉(zhuǎn)交地址,驗(yàn)證臨時轉(zhuǎn)交地址與綁定更新消息中的轉(zhuǎn)交地址是否一致,如果 一致,則觸發(fā)比對模塊工作。
      本實(shí)施例通過轉(zhuǎn)交地址生成模塊在移動節(jié)點(diǎn)MN的家鄉(xiāng)地址HoA的基礎(chǔ)上生成轉(zhuǎn)交地址 CoA,由密鑰生成模塊使用該CoA執(zhí)行返回路由可達(dá)過程RRP,然后計算出綁定管理密鑰 Kbm,由授權(quán)數(shù)據(jù)生成模塊使用Kbm生成綁定授權(quán)數(shù)據(jù),用來對BU消息進(jìn)行驗(yàn)證,驗(yàn)證通 過后,MN與CN可以進(jìn)行路由優(yōu)化模式下的通信,限制了因移動機(jī)制誤用而導(dǎo)致的攻擊, 從而提高了移動IPv6的路由優(yōu)化模式下通信的安全性。進(jìn)一步通過轉(zhuǎn)交地址比對模塊對BU 消息中的CoA進(jìn)行驗(yàn)證,可以進(jìn)一步提高路由優(yōu)化模式下通信的安全性。
      實(shí)施例5
      參見圖6,本發(fā)明實(shí)施例提供了一種提高路由優(yōu)化安全性的方法,具體包括以下步驟 步驟301: MN以HoA為輸入通過單向函數(shù)運(yùn)算生成接口標(biāo)識,其中HoA是基于CGA 方式生成的。
      另夕卜,MN還可以將MN所訪問的外部網(wǎng)絡(luò)的網(wǎng)絡(luò)前綴(Subnet Prefix)和MN的公鑰與 HoA組合作為輸入,通過單向函數(shù)運(yùn)算生成接口標(biāo)識。
      步驟302: MN將接口標(biāo)識與MN訪問的外部網(wǎng)絡(luò)的前綴結(jié)合生成CoA;
      進(jìn)一步地,還可以對生成的CoA執(zhí)行重復(fù)地址檢測,即判斷生成的CoA與網(wǎng)絡(luò)中已使 用的IP地址是否相同,如果相同,即發(fā)現(xiàn)地址沖突,則按下面的步驟重新生成接口標(biāo)識 Interface ID,進(jìn)而重新生成一個可用的CoA:
      修改初次采用的起始位n的值,在原來的基礎(chǔ)上增加增量,即n= n + increment,其中增 量increment可以為1、 2、 3、 4、 5、 6、 7、 8、 16、 32等固定值,然后用如下公式運(yùn)算
      Interface ID = Abs (64,n,OID)。
      步驟303: MN和CN均使用MN的HoA和生成的CoA執(zhí)行返回路由可達(dá)過程。
      當(dāng)MN首次向CN發(fā)起對端注冊時,在返回路由可達(dá)過程中CN分別生成家鄉(xiāng)秘密生成 令牌和轉(zhuǎn)交秘密生成令牌,并通過HoT和CoT傳送給MN。
      當(dāng)MN非首次向CN發(fā)起對端注冊時,在返回路由可達(dá)過程中可以只執(zhí)行CoTI和CoT, 則CN只生成轉(zhuǎn)交秘密生成令牌并通過CoT傳給MN。
      當(dāng)MN向CN注銷綁定關(guān)系時,在返回路由可達(dá)過程中可以只執(zhí)行HoTI和HoT,則CN 只生成家鄉(xiāng)秘密生成令牌并通過HoT傳給MN。
      步驟304:返回路由可達(dá)過程結(jié)束后,MN用MN的私鑰對BU消息進(jìn)行簽名,作為BU 消息中的綁定授權(quán)數(shù)據(jù),然后向CN發(fā)送BU消息,并在BU消息中攜帶CGA參數(shù)信息,其 中包括MN的公鑰。
      步驟305: CN收到MN發(fā)送的BU消息后,在BU消息中的CGA參數(shù)信息中提取MN 的公鑰,并使用該公鑰驗(yàn)證BU消息中的綁定授權(quán)數(shù)據(jù),如果驗(yàn)證通過,則生成綁定條目, 允許CN和MN進(jìn)行路由優(yōu)化模式下的通信;如果驗(yàn)證失敗,則CN發(fā)送錯誤代碼給MN, 不允許CN和MN進(jìn)行路由優(yōu)化模式下的通信。
      為了避免消耗過多的計算資源,進(jìn)一步地,MN還可以設(shè)置執(zhí)行RRP和發(fā)送BU消息的 最小時間間隔,相應(yīng)地,CN也可以根據(jù)需要限制單位時間內(nèi)接受BU消息的最大個數(shù)等等。
      進(jìn)一步地,當(dāng)驗(yàn)證通過后,CN還可以生成一個隨機(jī)數(shù)Ks,并使用MN的公鑰加密該隨 機(jī)數(shù)Ks,然后將加密后的Ks放在BA消息中發(fā)送給MN;而且CN還可以用下面的方法生成 Kbm,即將Ks與轉(zhuǎn)交秘密生成令牌組合后進(jìn)行單向函數(shù)運(yùn)算生成Kbm,并用該Kbm生成綁 定授權(quán)數(shù)據(jù),作為驗(yàn)證BA消息的依據(jù);
      Kbm = PRF(Ks,Care-ofKeygen Token);
      MN收到BA消息后,提取BA消息中加密后的隨機(jī)數(shù)Ks,并使用MN的私鑰進(jìn)行解密 得出Ks,并使用與CN生成上述Kbm相同的方法生成新的Kbm:
      MN可以使用新生成的Kbm生成新的綁定授權(quán)數(shù)據(jù),來作為后續(xù)對端注冊過程中驗(yàn)證 BU消息的依據(jù),也可以用該新的綁定授權(quán)數(shù)據(jù)來驗(yàn)證BA消息,如果與BA消息中的綁定授 權(quán)數(shù)據(jù)一致,即驗(yàn)證通過,則允許CN與MN進(jìn)行路由模式下的通信;否則,不允許CN與 MN進(jìn)行路由模式下的通信。
      進(jìn)一步地,MN還可以在BU消息中攜帶標(biāo)識信息,指示MN的CoA是通過單向函數(shù)運(yùn) 算生成的,相應(yīng)地,還可以在CN驗(yàn)證BU消息中的綁定授權(quán)數(shù)據(jù)之前,增加驗(yàn)證BU消息 中的CoA的步驟,具體如下
      CN根據(jù)收到的BU消息中的標(biāo)識信息,發(fā)起對BU消息中的CoA的驗(yàn)證,從BU消息 中提取出畫的HoA,并根據(jù)該HoA用與步驟301至步驟302相同的方法生成一個臨時的 CoA,然后比對生成的臨時CoA和BU消息中的CoA是否一致,如果一致,則CoA驗(yàn)證通 過,可以繼續(xù)進(jìn)行對BU消息中的綁定授權(quán)數(shù)據(jù)的驗(yàn)證;如果不一致,則CoA驗(yàn)證失敗,說 明當(dāng)前的BU消息有誤,可能是偽造的BU消息,則CN發(fā)送錯誤代碼給MN,不允許CN和 MN進(jìn)行路由優(yōu)化模式下的通信。
      當(dāng)希望CN對BU消息中的CoA進(jìn)行驗(yàn)證時,MN還可以在BU消息中攜帶步驟302中 生成接口標(biāo)識時涉及到的參數(shù)n。
      進(jìn)一步地,MN在發(fā)送BU消息時,可以在BU消息中攜帶用CGA生成HoA時所采用 的參數(shù),例如,畫的公鑰信息、沖突計數(shù)和修飾符(即隨機(jī)數(shù))等等;相應(yīng)地,在驗(yàn)證BU 消息中的CoA之前,還可以增加驗(yàn)證BU消息中的HoA的步驟,具體如下
      CN在收到BU消息后,提取出上述參數(shù),并用與步驟301中相同的CGA方法計算出一 個臨時的HoA,然后比對該臨時HoA與BU消息中的HoA是否一致,如果一致,則HoA驗(yàn) 證通過,CN可以繼續(xù)驗(yàn)證BU消息中的CoA以及綁定授權(quán)數(shù)據(jù);否則,HoA驗(yàn)證失敗,說 明BU消息不正確,則CN發(fā)送錯誤代碼給MN,不允許MN與CN進(jìn)行路由優(yōu)化模式下的通 信。
      上述方法通過在移動節(jié)點(diǎn)MN的家鄉(xiāng)地址HoA的基礎(chǔ)上生成轉(zhuǎn)交地址CoA,使用該CoA 執(zhí)行返回路由可達(dá)過程RRP,然后用MN的私鑰簽名BU消息,作為BU消息中的綁定授權(quán) 數(shù)據(jù),用來對BU消息進(jìn)行驗(yàn)證,驗(yàn)證通過后,MN與CN可以進(jìn)行路由優(yōu)化模式下的通信, 限制了因移動機(jī)制誤用而導(dǎo)致的攻擊,提高了移動IPv6的路由優(yōu)化模式下通信的安全性。通 過增加對BU消息中的HoA和CoA進(jìn)行驗(yàn)證以及對BA消息進(jìn)行驗(yàn)證的步驟,.可以進(jìn)一步提
      高路由優(yōu)化模式下通信的安全性。由于基于CGA方式生成HoA,可以保障在后續(xù)的對端注 冊中不必再發(fā)起HoTI/HoT消息,降低了路由優(yōu)化信令開銷;減少了路由優(yōu)化對HA的依賴, 提高了系統(tǒng)的健壯性;降低了鏈路切換時移動節(jié)點(diǎn)與通信節(jié)點(diǎn)綁定更新的延時和復(fù)雜程度。 實(shí)施例6
      參見圖7,本發(fā)明實(shí)施例還提供了一種提高路由優(yōu)化安全性的系統(tǒng),具體包括移動節(jié)點(diǎn) 和通信節(jié)點(diǎn);
      移動節(jié)點(diǎn)包括-
      (1) 轉(zhuǎn)交地址生成模塊,用于以移動節(jié)點(diǎn)的家鄉(xiāng)地址為輸入通過單向函數(shù)運(yùn)算生成接口 標(biāo)識;將接口標(biāo)識與移動節(jié)點(diǎn)訪問的外部網(wǎng)絡(luò)的前綴結(jié)合生成轉(zhuǎn)交地址,家鄉(xiāng)地址通過密碼 學(xué)方法生成;
      (2) 返回路由可達(dá)執(zhí)行模塊,用于與通信節(jié)點(diǎn)一起使用家鄉(xiāng)地址和轉(zhuǎn)交地址生成模塊生 成的轉(zhuǎn)交地址執(zhí)行返回路由可達(dá)過程;
      (3) 授權(quán)數(shù)據(jù)生成模塊,用于用移動節(jié)點(diǎn)的私鑰簽名綁定更新消息,作為綁定更新消息 的綁定授權(quán)數(shù)據(jù);
      (4) 發(fā)送模塊,用于發(fā)送包含家鄉(xiāng)地址、轉(zhuǎn)交地址生成模塊生成的轉(zhuǎn)交地址和授權(quán)數(shù)據(jù) 生成模塊生成的綁定授權(quán)數(shù)據(jù)的綁定更新消息給通信節(jié)點(diǎn),并在綁定更新消息中攜帶移動節(jié) 點(diǎn)的公鑰;
      通信節(jié)點(diǎn)包括
      (1) 返回路由可達(dá)執(zhí)行模塊,用于與移動節(jié)點(diǎn)一起使用家鄉(xiāng)地址和轉(zhuǎn)交地址生成模塊生 成的轉(zhuǎn)交地址執(zhí)行返回路由可達(dá)過程;
      (2) 接收模塊,用于接收發(fā)送模塊發(fā)來的綁定更新消息;
      (3) 驗(yàn)證模塊,用于提取接收模塊收到的綁定更新消息中的移動節(jié)點(diǎn)的公鑰,并用移動 節(jié)點(diǎn)的公鑰驗(yàn)證綁定更新消息中的綁定授權(quán)數(shù)據(jù);
      (4) 控制模塊,用于當(dāng)驗(yàn)證模塊驗(yàn)證通過時,允許移動節(jié)點(diǎn)與通信節(jié)點(diǎn)進(jìn)行路由優(yōu)化模 式下的通信。
      為了進(jìn)一步提高安全性,通信節(jié)點(diǎn)還可以包括
      轉(zhuǎn)交地址驗(yàn)證模塊,用于在驗(yàn)證模塊進(jìn)行驗(yàn)證之前,從接收模塊收到的綁定更新消息中 提取移動節(jié)點(diǎn)的家鄉(xiāng)地址,并根據(jù)該家鄉(xiāng)地址用與轉(zhuǎn)交地址生成模塊生成轉(zhuǎn)交地址相同的方 法生成一個臨時轉(zhuǎn)交地址,驗(yàn)證臨時轉(zhuǎn)交地址與綁定更新消息中的轉(zhuǎn)交地址是否一致,如果 一致,則觸發(fā)驗(yàn)證模塊工作。
      23
      進(jìn)一步地,發(fā)送模塊還可以用于在綁定更新消息中攜帶用上述密碼學(xué)方法生成家鄉(xiāng)地址 時采用的參數(shù),例如,移動節(jié)點(diǎn)的公鑰信息、沖突計數(shù)和修飾符(即隨機(jī)數(shù))等等; 相應(yīng)地,通信節(jié)點(diǎn)還可以包括
      家鄉(xiāng)地址驗(yàn)證模塊,用于在驗(yàn)證模塊進(jìn)行驗(yàn)證之前,從接收模塊收到的綁定更新消息中 提取上述參數(shù),并根據(jù)提取的參數(shù)用上述密碼學(xué)方法生成一個臨時家鄉(xiāng)地址,驗(yàn)證臨時家鄉(xiāng) 地址與綁定更新消息中的家鄉(xiāng)地址是否一致,如果一致,則觸發(fā)驗(yàn)證模塊工作。
      進(jìn)一步地,控制模塊可以具體包括-
      新授權(quán)數(shù)據(jù)生成單元,用于當(dāng)驗(yàn)證模塊驗(yàn)證通過時,生成一個隨機(jī)數(shù),用移動節(jié)點(diǎn)的公 鑰進(jìn)行加密;將隨機(jī)數(shù)與通信節(jié)點(diǎn)在執(zhí)行返回路由可達(dá)過程中生成的轉(zhuǎn)交秘密生成令牌進(jìn)行 組合后,利用單向函數(shù)進(jìn)行運(yùn)算生成新綁定管理密鑰;然后用新綁定管理密鑰生成新綁定授 權(quán)數(shù)據(jù);
      綁定確認(rèn)消息發(fā)送單元,用于發(fā)送綁定確認(rèn)消息給移動節(jié)點(diǎn),綁定確認(rèn)消息中攜帶新授 權(quán)數(shù)據(jù)生成單元加密后的隨機(jī)數(shù)和生成的新綁定授權(quán)數(shù)據(jù); 相應(yīng)地,移動節(jié)點(diǎn)還包括
      綁定確認(rèn)消息接收模塊,用于接收綁定確認(rèn)消息發(fā)送單元發(fā)來的綁定確認(rèn)消息;
      綁定確認(rèn)消息驗(yàn)證模塊,用于當(dāng)綁定確認(rèn)消息接收模塊收到綁定確認(rèn)消息后,提取出加 密后的隨機(jī)數(shù),并用移動節(jié)點(diǎn)的私鑰解密后,得到隨機(jī)數(shù);根據(jù)隨機(jī)數(shù)用與新授權(quán)數(shù)據(jù)生成 單元生成新綁定管理密鑰相同的方法生成一個臨時綁定管理密鑰,并根據(jù)該臨時綁定管理密 鑰用與新授權(quán)數(shù)據(jù)生成單元生成新綁定授權(quán)數(shù)據(jù)相同的方法生成一個臨時綁定授權(quán)數(shù)據(jù),然 后比對臨時綁定授權(quán)數(shù)據(jù)與綁定確認(rèn)消息中的新綁定授權(quán)數(shù)據(jù)是否一致;
      控制模塊,用于當(dāng)綁定確認(rèn)消息驗(yàn)證模塊比對的結(jié)果一致時,允許移動節(jié)點(diǎn)與通信節(jié)點(diǎn) 進(jìn)行路由優(yōu)化模式下的通信。
      上述系統(tǒng)通過轉(zhuǎn)交地址生成模塊在移動節(jié)點(diǎn)MN的家鄉(xiāng)地址HoA的基礎(chǔ)上生成轉(zhuǎn)交地址 CoA,由返回路由可達(dá)執(zhí)行模塊使用該CoA執(zhí)行返回路由可達(dá)過程RRP,由授權(quán)數(shù)據(jù)生成模 塊使用MN的私鑰簽名BU消息生成綁定授權(quán)數(shù)據(jù),用來對BU消息進(jìn)行驗(yàn)證,驗(yàn)證通過后, MN與CN可以進(jìn)行路由優(yōu)化模式下的通信,限制了因移動機(jī)制誤用而導(dǎo)致的攻擊,提高了 移動IPv6的路由優(yōu)化模式下通信的安全性。在驗(yàn)證綁定授權(quán)數(shù)據(jù)的基礎(chǔ)上,還可以進(jìn)一步由 轉(zhuǎn)交地址驗(yàn)證模塊對BU消息中的CoA進(jìn)行驗(yàn)證,由家鄉(xiāng)地址驗(yàn)證模塊對BU消息中的HoA 進(jìn)行驗(yàn)證,以及由綁定確認(rèn)消息驗(yàn)證模塊對BA消息進(jìn)行驗(yàn)證,從而可以進(jìn)一步提高路由優(yōu) 化模式下通信的安全性。由于基于CGA方式生成HoA,可以保障在后續(xù)的對端注冊中不必
      再發(fā)起HoTI/HoT消息,降低了路由優(yōu)化信令開銷;減少了路由優(yōu)化對HA的依賴,提高了 系統(tǒng)的健壯性;降低了鏈路切換時移動節(jié)點(diǎn)與通信節(jié)點(diǎn)綁定更新的延時和復(fù)雜程度。
      本發(fā)明實(shí)施例中的技術(shù)方案可以用軟件來實(shí)現(xiàn),相應(yīng)的程序可以存儲于可讀取的存儲介 質(zhì)中,如計算機(jī)的硬盤或閃存等非易失性存儲器中。
      以上所述僅為本發(fā)明的較佳實(shí)施例,并不用以限制本發(fā)明,凡在本發(fā)明的精神和原則之 內(nèi),所作的任何修改、等同替換、改進(jìn)等,均應(yīng)包含在本發(fā)明的保護(hù)范圍之內(nèi)。
      權(quán)利要求
      1.一種生成轉(zhuǎn)交地址的方法,其特征在于,所述方法包括以移動節(jié)點(diǎn)的家鄉(xiāng)地址為輸入通過單向函數(shù)運(yùn)算生成接口標(biāo)識;將所述接口標(biāo)識與所述移動節(jié)點(diǎn)訪問的外部網(wǎng)絡(luò)的前綴結(jié)合生成轉(zhuǎn)交地址。
      2. 根據(jù)權(quán)利要求1所述的生成轉(zhuǎn)交地址的方法,其特征在于,以移動節(jié)點(diǎn)的家鄉(xiāng)地址為輸入通過單向函數(shù)運(yùn)算生成接口標(biāo)識的步驟具體為將移動節(jié)點(diǎn)訪問的外部網(wǎng)絡(luò)的前綴和所述移動節(jié)點(diǎn)的家鄉(xiāng)地址組合后作為輸入,通過單 向函數(shù)運(yùn)算生成接口標(biāo)識。
      3. 根據(jù)權(quán)利要求1所述的生成轉(zhuǎn)交地址的方法,其特征在于,當(dāng)所述移動節(jié)點(diǎn)的家鄉(xiāng)地 址通過密碼學(xué)方法生成時,以移動節(jié)點(diǎn)的家鄉(xiāng)地址為輸入通過單向函數(shù)運(yùn)算生成接口標(biāo)識的 步驟具體為-將移動節(jié)點(diǎn)的家鄉(xiāng)地址與所述移動節(jié)點(diǎn)的公鑰組合后作為輸入,或者將所述移動節(jié)點(diǎn)訪 問的外部網(wǎng)絡(luò)的前綴與所述家鄉(xiāng)地址和公鑰組合后作為輸入,通過單向函數(shù)運(yùn)算生成接口標(biāo) 識。
      4. 根據(jù)權(quán)利要求1所述的生成轉(zhuǎn)交地址的方法,其特征在于,以移動節(jié)點(diǎn)的家鄉(xiāng)地址為輸入通過單向函數(shù)運(yùn)算生成接口標(biāo)識的步驟之后還包括判斷所述接口標(biāo)識的長度是否超過64比特位,如果是,則設(shè)置一個起始位,從所述起始 位開始,取64比特位,作為接口標(biāo)識。
      5. 根據(jù)權(quán)利要求1所述的生成轉(zhuǎn)交地址的方法,其特征在于,以移動節(jié)點(diǎn)的家鄉(xiāng)地址為輸入通過單向函數(shù)運(yùn)算生成接口標(biāo)識的步驟之后還包括判斷所述接口標(biāo)識的長度是否超過64比特位,如果是,則將所述接口標(biāo)識按64比特位 劃分成多個塊,若最后一塊不足64比特位,則從其它塊中任意取相應(yīng)長度的內(nèi)容補(bǔ)充成64 比特位,然后對所述多個塊進(jìn)行位邏輯運(yùn)算,將運(yùn)算的結(jié)果作為接口標(biāo)識。
      6. 根據(jù)權(quán)利要求4所述的生成轉(zhuǎn)交地址的方法,其特征在于,所述方法還包括生成所述轉(zhuǎn)交地址后,判斷所述轉(zhuǎn)交地址與網(wǎng)絡(luò)中己使用的IP地址是否相同,如果相同, 則設(shè)置增量,對所述起始位和增量進(jìn)行求和運(yùn)算,以所述運(yùn)算的結(jié)果為新的起始位,取64比特位,作為接口標(biāo)識并生成新的轉(zhuǎn)交地址。
      7. 根據(jù)權(quán)利要求1至6中任一權(quán)利要求所述的生成轉(zhuǎn)交地址的方法,其特征在于,所述 單向函數(shù)為SHA1或MD5。
      8. —種提高路由優(yōu)化安全性的方法,其特征在于,所述方法包括-移動節(jié)點(diǎn)以家鄉(xiāng)地址為輸入通過單向函數(shù)運(yùn)算生成接口標(biāo)識;所述移動節(jié)點(diǎn)將所述接口標(biāo)識與所述移動節(jié)點(diǎn)訪問的外部網(wǎng)絡(luò)的前綴結(jié)合生成轉(zhuǎn)交地址;所述移動節(jié)點(diǎn)和通信節(jié)點(diǎn)使用所述家鄉(xiāng)地址和轉(zhuǎn)交地址執(zhí)行返回路由可達(dá)過程,然后分別生成相同的綁定管理密鑰;所述移動節(jié)點(diǎn)和通信節(jié)點(diǎn)分別用自己生成的綁定管理密鑰生成綁定授權(quán)數(shù)據(jù); 所述移動節(jié)點(diǎn)發(fā)送包含所述家鄉(xiāng)地址、轉(zhuǎn)交地址和自己生成的綁定授權(quán)數(shù)據(jù)的綁定更新消息給通信節(jié)點(diǎn);所述通信節(jié)點(diǎn)收到所述綁定更新消息后,驗(yàn)證所述綁定更新消息中的綁定授權(quán)數(shù)據(jù),如 果與自己生成的綁定授權(quán)數(shù)據(jù)一致,則允許所述移動節(jié)點(diǎn)與通信節(jié)點(diǎn)進(jìn)行路由優(yōu)化模式下的 通信。
      9. 根據(jù)權(quán)利要求8所述的提高路由優(yōu)化安全性的方法,其特征在于,驗(yàn)證所述綁定更新消息中的綁定授權(quán)數(shù)據(jù)的步驟之前還包括所述通信節(jié)點(diǎn)從所述綁定更新消息中提取所述移動節(jié)點(diǎn)的家鄉(xiāng)地址,并根據(jù)所述家鄉(xiāng)地 址用與所述移動節(jié)點(diǎn)生成所述轉(zhuǎn)交地址相同的方法生成一個臨時轉(zhuǎn)交地址,驗(yàn)證所述臨時轉(zhuǎn) 交地址與所述綁定更新消息中的轉(zhuǎn)交地址是否一致,如果一致,則繼續(xù)執(zhí)行驗(yàn)證所述綁定更 新消息中的綁定授權(quán)數(shù)據(jù)的步驟。
      10. —種提高路由優(yōu)化安全性的方法,其特征在于,所述方法包括移動節(jié)點(diǎn)以家鄉(xiāng)地址為輸入通過單向函數(shù)運(yùn)算生成接口標(biāo)識,所述家鄉(xiāng)地址通過密碼學(xué) 方法生成;所述移動節(jié)點(diǎn)將所述接口標(biāo)識與所述移動節(jié)點(diǎn)訪問的外部網(wǎng)絡(luò)的前綴結(jié)合生成轉(zhuǎn)交地址;所述移動節(jié)點(diǎn)和通信節(jié)點(diǎn)使用所述家鄉(xiāng)地址和轉(zhuǎn)交地址執(zhí)行返回路由可達(dá)過程; 所述移動節(jié)點(diǎn)用自己的私鑰簽名綁定更新消息,作為所述綁定更新消息的綁定授權(quán)數(shù)據(jù); 所述移動節(jié)點(diǎn)發(fā)送包含所述家鄉(xiāng)地址、轉(zhuǎn)交地址和綁定授權(quán)數(shù)據(jù)的所述綁定更新消息給通信節(jié)點(diǎn),并在所述綁定更新消息中攜帶所述移動節(jié)點(diǎn)的公鑰;所述通信節(jié)點(diǎn)收到所述綁定更新消息后,提取出所述移動節(jié)點(diǎn)的公鑰,用所述移動節(jié)點(diǎn)的公鑰驗(yàn)證所述綁定更新消息中的綁定授權(quán)數(shù)據(jù),如果驗(yàn)證通過,則允許所述移動節(jié)點(diǎn)與通信節(jié)點(diǎn)進(jìn)行路由優(yōu)化模式下的通信。
      11. 根據(jù)權(quán)利要求10所述的提高路由優(yōu)化安全性的方法,其特征在于,用所述移動節(jié)點(diǎn) 的公鑰驗(yàn)證所述綁定更新消息中的綁定授權(quán)數(shù)據(jù)的步驟之前還包括所述通信節(jié)點(diǎn)從所述綁定更新消息中提取所述移動節(jié)點(diǎn)的家鄉(xiāng)地址,并根據(jù)所述家鄉(xiāng)地 址用與所述移動節(jié)點(diǎn)生成所述轉(zhuǎn)交地址相同的方法生成一個臨時轉(zhuǎn)交地址,驗(yàn)證所述臨時轉(zhuǎn) 交地址與所述綁定更新消息中的轉(zhuǎn)交地址是否一致,如果一致,則繼續(xù)執(zhí)行驗(yàn)證所述綁定更 新消息中的綁定授權(quán)數(shù)據(jù)的步驟。
      12. 根據(jù)權(quán)利要求10所述的提高路由優(yōu)化安全性的方法,其特征在于,所述移動節(jié)點(diǎn)發(fā) 送所述綁定更新消息以及所述通信節(jié)點(diǎn)收到后驗(yàn)證綁定授權(quán)數(shù)據(jù)的步驟進(jìn)一步包括所述移動節(jié)點(diǎn)在所述綁定更新消息中攜帶用所述密碼學(xué)方法生成所述家鄉(xiāng)地址時采用的 參數(shù),所述通信節(jié)點(diǎn)在驗(yàn)證所述綁定更新消息中的綁定授權(quán)數(shù)據(jù)之前,從所述綁定更新消息 中提取所述參數(shù),并根據(jù)所述參數(shù)用所述密碼學(xué)方法生成一個臨時家鄉(xiāng)地址,驗(yàn)證所述臨時 家鄉(xiāng)地址與所述綁定更新消息中的家鄉(xiāng)地址是否一致,如果一致,則繼續(xù)執(zhí)行驗(yàn)證所述綁定 更新消息中的綁定授權(quán)數(shù)據(jù)的步驟。
      13. 根據(jù)權(quán)利要求10所述的提高路由優(yōu)化安全性的方法,其特征在于,允許所述移動節(jié) 點(diǎn)和通信節(jié)點(diǎn)進(jìn)行路由優(yōu)化模式下的通信的步驟之前還包括-所述通信節(jié)點(diǎn)生成一個隨機(jī)數(shù),用所述移動節(jié)點(diǎn)的公鑰加密所述隨機(jī)數(shù); 所述通信節(jié)點(diǎn)將所述隨機(jī)數(shù)與所述通信節(jié)點(diǎn)在執(zhí)行返回路由可達(dá)過程中生成的轉(zhuǎn)交秘密 生成令牌進(jìn)行組合后,利用單向函數(shù)進(jìn)行運(yùn)算生成新綁定管理密鑰;然后用所述新綁定管理密鑰生成新綁定授權(quán)數(shù)據(jù);所述通信節(jié)點(diǎn)發(fā)送綁定確認(rèn)消息給所述移動節(jié)點(diǎn),所述綁定確認(rèn)消息中攜帶所述加密后 的隨機(jī)數(shù)和所述新綁定授權(quán)數(shù)據(jù);所述移動節(jié)點(diǎn)收到所述綁定確認(rèn)消息后,提取出所述加密后的隨機(jī)數(shù),并用所述移動節(jié) 點(diǎn)的私鑰解密后,得到所述隨機(jī)數(shù);所述移動節(jié)點(diǎn)根據(jù)所述隨機(jī)數(shù)用與所述通信節(jié)點(diǎn)生成所述新綁定管理密鑰相同的方法生 成一個臨時綁定管理密鑰,并根據(jù)所述臨時綁定管理密鑰用與所述通信節(jié)點(diǎn)生成所述新綁定 授權(quán)數(shù)據(jù)相同的方法生成一個臨時綁定授權(quán)數(shù)據(jù);所述移動節(jié)點(diǎn)驗(yàn)證所述臨時綁定授權(quán)數(shù)據(jù)與所述綁定確認(rèn)消息中的新綁定授權(quán)數(shù)據(jù)是否 一致,如果一致,則允許所述移動節(jié)點(diǎn)與通信節(jié)點(diǎn)進(jìn)行路由優(yōu)化模式下的通信。
      14. 一種生成轉(zhuǎn)交地址的裝置,其特征在于,所述裝置包括-接口標(biāo)識生成模塊,用于以移動節(jié)點(diǎn)的家鄉(xiāng)地址為輸入通過單向函數(shù)運(yùn)算生成接口標(biāo)識; 轉(zhuǎn)交地址生成模塊,用于將所述接口標(biāo)識生成模塊生成的接口標(biāo)識與所述移動節(jié)點(diǎn)訪問 的外部網(wǎng)絡(luò)的前綴結(jié)合生成轉(zhuǎn)交地址。
      15. 根據(jù)權(quán)利要求14所述的生成轉(zhuǎn)交地址的裝置,其特征在于,所述接口標(biāo)識生成模塊 具體包括組合單元,用于將移動節(jié)點(diǎn)訪問的外部網(wǎng)絡(luò)的前綴與所述移動節(jié)點(diǎn)的家鄉(xiāng)地址進(jìn)行組合; 生成單元,用于將所述組合單元組合后得到的數(shù)據(jù)作為輸入,通過單向函數(shù)運(yùn)算生成接 口標(biāo)識。
      16. 根據(jù)權(quán)利要求14所述的生成轉(zhuǎn)交地址的裝置,其特征在于,當(dāng)所述移動節(jié)點(diǎn)的家鄉(xiāng) 地址通過密碼學(xué)方法生成時,所述接口標(biāo)識生成模塊具體包括組合單元,用于將移動節(jié)點(diǎn)的家鄉(xiāng)地址與所述移動節(jié)點(diǎn)的公鑰進(jìn)行組合,或者將所述移 動節(jié)點(diǎn)訪問的外部網(wǎng)絡(luò)的前綴與所述家鄉(xiāng)地址和公鑰進(jìn)行組合;生成單元,用于將所述組合單元組合后得到的數(shù)據(jù)作為輸入,通過單向函數(shù)運(yùn)算生成接 口標(biāo)識。
      17. 根據(jù)權(quán)利要求14所述的生成轉(zhuǎn)交地址的裝置,其特征在于,所述裝置還包括- 長度處理模塊,用于判斷所述接口標(biāo)識生成模塊生成的接口標(biāo)識的長度是否超過64比特 位,如果是,則設(shè)置一個起始位,從所述起始位開始,取64比特位,作為新的接口標(biāo)識發(fā)送 給所述轉(zhuǎn)交地址生成模塊。
      18. 根據(jù)權(quán)利要求14所述的生成轉(zhuǎn)交地址的裝置,其特征在于,所述裝置還包括 長度處理模塊,用于判斷所述接口標(biāo)識生成模塊生成的接口標(biāo)識的長度是否超過64比特位,如果是,則將所述接口標(biāo)識按64比特位劃分成多個塊,若最后一塊不足64比特位,則 從其它塊中任意取相應(yīng)長度的內(nèi)容補(bǔ)充成64比特位,然后對所述多個塊進(jìn)行位邏輯運(yùn)算,將 運(yùn)算的結(jié)果作為新的接口標(biāo)識發(fā)送給所述轉(zhuǎn)交地址生成模塊。
      19. 根據(jù)權(quán)利要求17所述的生成轉(zhuǎn)交地址的裝置,其特征在于,所述裝置還包括 地址檢査模塊,用于當(dāng)所述轉(zhuǎn)交地址生成模塊生成所述轉(zhuǎn)交地址后,判斷所述轉(zhuǎn)交地址與網(wǎng)絡(luò)中已使用的IP地址是否相同,如果相同,則設(shè)置增量,對所述長度處理模塊設(shè)置的起 始位和所述增量進(jìn)行求和運(yùn)算,以所述運(yùn)算的結(jié)果為新的起始位,取64比特位,作為接口標(biāo) 識并生成新的轉(zhuǎn)交地址。
      20. —種提高路由優(yōu)化安全性的系統(tǒng),其特征在于,所述系統(tǒng)包括移動節(jié)點(diǎn)和通信節(jié)點(diǎn), 所述移動節(jié)點(diǎn)包括轉(zhuǎn)交地址生成模塊,用于以所述移動節(jié)點(diǎn)的家鄉(xiāng)地址為輸入通過單向函數(shù)運(yùn)算生成接口 標(biāo)識;將所述接口標(biāo)識與所述移動節(jié)點(diǎn)訪問的外部網(wǎng)絡(luò)的前綴結(jié)合生成轉(zhuǎn)交地址;密鑰生成模塊,用于與所述通信節(jié)點(diǎn)一起使用所述家鄉(xiāng)地址和所述轉(zhuǎn)交地址生成模塊生 成的轉(zhuǎn)交地址執(zhí)行返回路由可達(dá)過程,然后生成綁定管理密鑰;授權(quán)數(shù)據(jù)生成模塊,用于用所述密鑰生成模塊生成的綁定管理密鑰生成綁定授權(quán)數(shù)據(jù);發(fā)送模塊,用于發(fā)送包含所述家鄉(xiāng)地址、所述轉(zhuǎn)交地址生成模塊生成的轉(zhuǎn)交地址和所述 授權(quán)數(shù)據(jù)生成模塊生成的綁定授權(quán)數(shù)據(jù)的綁定更新消息給所述通信節(jié)點(diǎn);所述通信節(jié)點(diǎn)包括密鑰生成模塊,用于與所述移動節(jié)點(diǎn)一起使用所述家鄉(xiāng)地址和所述轉(zhuǎn)交地址生成模塊生 成的轉(zhuǎn)交地址執(zhí)行返回路由可達(dá)過程,然后生成與所述移動節(jié)點(diǎn)的密鑰生成模塊生成的綁定 管理密鑰相同的綁定管理密鑰;授權(quán)數(shù)據(jù)生成模塊,用于用所述通信節(jié)點(diǎn)的密鑰生成模塊生成的綁定管理密鑰生成綁定 授權(quán)數(shù)據(jù);接收模塊,用于接收所述發(fā)送模塊發(fā)來的綁定更新消息;比對模塊,用于將所述接收模塊收到的綁定更新消息中的綁定授權(quán)數(shù)據(jù)與所述通信節(jié)點(diǎn) 的授權(quán)數(shù)據(jù)生成模塊生成的綁定授權(quán)數(shù)據(jù)進(jìn)行比對;控制模塊,用于當(dāng)所述比對模塊比對的結(jié)果一致時,允許所述移動節(jié)點(diǎn)與通信節(jié)點(diǎn)進(jìn)行 路由優(yōu)化模式下的通信。
      21. 根據(jù)權(quán)利要求20所述的提高路由優(yōu)化安全性的系統(tǒng),其特征在于,所述通信節(jié)點(diǎn)還 包括轉(zhuǎn)交地址比對模塊,用于在所述比對模塊進(jìn)行比對之前,從所述接收模塊收到的綁定更 新消息中提取所述移動節(jié)點(diǎn)的家鄉(xiāng)地址,并根據(jù)所述家鄉(xiāng)地址用與所述轉(zhuǎn)交地址生成模塊生 成所述轉(zhuǎn)交地址相同的方法生成一個臨時轉(zhuǎn)交地址,驗(yàn)證所述臨時轉(zhuǎn)交地址與所述綁定更新 消息中的轉(zhuǎn)交地址是否一致,如果一致,則觸發(fā)所述比對模塊工作。
      22. —種提高路由優(yōu)化安全性的系統(tǒng),其特征在于,所述系統(tǒng)包括移動節(jié)點(diǎn)和通信節(jié)點(diǎn), 所述移動節(jié)點(diǎn)包括轉(zhuǎn)交地址生成模塊,用于以所述移動節(jié)點(diǎn)的家鄉(xiāng)地址為輸入通過單向函數(shù)運(yùn)算生成接口 標(biāo)識;將所述接口標(biāo)識與所述移動節(jié)點(diǎn)訪問的外部網(wǎng)絡(luò)的前綴結(jié)合生成轉(zhuǎn)交地址,所述家鄉(xiāng) 地址通過密碼學(xué)方法生成;返回路由可達(dá)執(zhí)行模塊,用于與所述通信節(jié)點(diǎn)一起使用所述家鄉(xiāng)地址和所述轉(zhuǎn)交地址生 成模塊生成的轉(zhuǎn)交地址執(zhí)行返回路由可達(dá)過程;授權(quán)數(shù)據(jù)生成模塊,用于用所述移動節(jié)點(diǎn)的私鑰簽名綁定更新消息,作為所述綁定更新 消息的綁定授權(quán)數(shù)據(jù);發(fā)送模塊,用于發(fā)送包含所述家鄉(xiāng)地址、所述轉(zhuǎn)交地址生成模塊生成的轉(zhuǎn)交地址和所述 授權(quán)數(shù)據(jù)生成模塊生成的綁定授權(quán)數(shù)據(jù)的所述綁定更新消息給所述通信節(jié)點(diǎn),并在所述綁定 更新消息中攜帶所述移動節(jié)點(diǎn)的公鑰;所述通信節(jié)點(diǎn)包括-返回路由可達(dá)執(zhí)行模塊,用于與所述移動節(jié)點(diǎn)一起使用所述家鄉(xiāng)地址和所述轉(zhuǎn)交地址生 成模塊生成的轉(zhuǎn)交地址執(zhí)行返回路由可達(dá)過程;接收模塊,用于接收所述發(fā)送模塊發(fā)來的綁定更新消息; 驗(yàn)證模塊,用于提取所述接收模塊收到的綁定更新消息中的所述移動節(jié)點(diǎn)的公鑰,并用 所述移動節(jié)點(diǎn)的公鑰驗(yàn)證所述綁定更新消息中的綁定授權(quán)數(shù)據(jù);控制模塊,用于當(dāng)所述驗(yàn)證模塊驗(yàn)證通過時,允許所述移動節(jié)點(diǎn)與通信節(jié)點(diǎn)進(jìn)行路由優(yōu) 化模式下的通信。
      23. 根據(jù)權(quán)利要求22所述的提高路由優(yōu)化安全性的系統(tǒng),其特征在于,所述通信節(jié)點(diǎn)還包括轉(zhuǎn)交地址驗(yàn)證模塊,用于在所述驗(yàn)證模塊進(jìn)行驗(yàn)證之前,從所述接收模塊收到的綁定更 新消息中提取所述移動節(jié)點(diǎn)的家鄉(xiāng)地址,并根據(jù)所述家鄉(xiāng)地址用與所述轉(zhuǎn)交地址生成模塊生 成所述轉(zhuǎn)交地址相同的方法生成一個臨時轉(zhuǎn)交地址,驗(yàn)證所述臨時轉(zhuǎn)交地址與所述綁定更新 消息中的轉(zhuǎn)交地址是否一致,如果一致,則觸發(fā)所述驗(yàn)證模塊工作。
      24. 根據(jù)權(quán)利要求22所述的提高路由優(yōu)化安全性的系統(tǒng),其特征在于,所述發(fā)送模塊還 用于在所述綁定更新消息中攜帶用所述密碼學(xué)方法生成所述家鄉(xiāng)地址時采用的參數(shù);相應(yīng)地,所述通信節(jié)點(diǎn)還包括家鄉(xiāng)地址驗(yàn)證模塊,用于在所述驗(yàn)證模塊進(jìn)行驗(yàn)證之前,從所述接收模塊收到的綁定更 新消息中提取所述參數(shù),并根據(jù)所述參數(shù)用所述密碼學(xué)方法生成一個臨時家鄉(xiāng)地址,驗(yàn)證所 述臨時家鄉(xiāng)地址與所述綁定更新消息中的家鄉(xiāng)地址是否一致,如果一致,則觸發(fā)所述驗(yàn)證模 塊工作。
      25. 根據(jù)權(quán)利要求22所述的提高路由優(yōu)化安全性的系統(tǒng),其特征在于,所述控制模塊具 體包括新授權(quán)數(shù)據(jù)生成單元,用于當(dāng)所述驗(yàn)證模塊驗(yàn)證通過時,生成一個隨機(jī)數(shù),用所述移動 節(jié)點(diǎn)的公鑰加密所述隨機(jī)數(shù);將所述隨機(jī)數(shù)與所述通信節(jié)點(diǎn)在執(zhí)行返回路由可達(dá)過程中生成 的轉(zhuǎn)交秘密生成令牌進(jìn)行組合后,利用單向函數(shù)進(jìn)行運(yùn)算生成新綁定管理密鑰;然后用所述 新綁定管理密鑰生成新綁定授權(quán)數(shù)據(jù);綁定確認(rèn)消息發(fā)送單元,用于發(fā)送綁定確認(rèn)消息給所述移動節(jié)點(diǎn),所述綁定確認(rèn)消息中 攜帶所述新授權(quán)數(shù)據(jù)生成單元加密后的隨機(jī)數(shù)和生成的所述新綁定授權(quán)數(shù)據(jù);相應(yīng)地,所述移動節(jié)點(diǎn)還包括綁定確認(rèn)消息接收模塊,用于接收所述綁定確認(rèn)消息發(fā)送單元發(fā)來的綁定確認(rèn)消息; 綁定確認(rèn)消息驗(yàn)證模塊,用于當(dāng)所述綁定確認(rèn)消息接收模塊收到所述綁定確認(rèn)消息后, 提取出所述加密后的隨機(jī)數(shù),并用所述移動節(jié)點(diǎn)的私鑰解密后,得到所述隨機(jī)數(shù);根據(jù)所述 隨機(jī)數(shù)用與所述新授權(quán)數(shù)據(jù)生成單元生成所述新綁定管理密鑰相同的方法生成一個臨時綁定 管理密鑰,并根據(jù)該臨時綁定管理密鑰用與所述新授權(quán)數(shù)據(jù)生成單元生成所述新綁定授權(quán)數(shù) 據(jù)相同的方法生成一個臨時綁定授權(quán)數(shù)據(jù),然后比對所述臨時綁定授權(quán)數(shù)據(jù)與所述綁定確認(rèn) 消息中的新綁定授權(quán)數(shù)據(jù)是否一致;控制模塊,用于當(dāng)所述綁定確認(rèn)消息驗(yàn)證模塊比對的結(jié)果一致時,允許所述移動節(jié)點(diǎn)與 通信節(jié)點(diǎn)進(jìn)行路由優(yōu)化模式下的通信。
      全文摘要
      本發(fā)明公開了一種生成轉(zhuǎn)交地址的方法和裝置與提高路由優(yōu)化安全性的方法和系統(tǒng),屬于移動通信領(lǐng)域。生成轉(zhuǎn)交地址的方法包括以HoA為輸入通過單向函數(shù)生成接口標(biāo)識;將其與MN訪問的外部網(wǎng)絡(luò)的前綴結(jié)合生成CoA。提高路由優(yōu)化安全性的方法包括用上述方法生成CoA;MN和CN執(zhí)行RRP;MN用私鑰簽名BU消息得到綁定授權(quán)數(shù)據(jù);MN發(fā)送包含HoA、CoA和綁定授權(quán)數(shù)據(jù)的BU消息給CN,CN用MN的公鑰驗(yàn)證,通過則允許MN與CN在路由優(yōu)化模式下通信。裝置包括接口標(biāo)識生成模塊和轉(zhuǎn)交地址生成模塊。系統(tǒng)包括MN和CN。本發(fā)明生成的CoA限制了因移動機(jī)制誤用而導(dǎo)致的攻擊,提高了移動IPv6路由優(yōu)化模式下通信的安全性。
      文檔編號H04L12/56GK101106568SQ200710119480
      公開日2008年1月16日 申請日期2007年7月25日 優(yōu)先權(quán)日2007年7月25日
      發(fā)明者李春強(qiáng) 申請人:華為技術(shù)有限公司
      網(wǎng)友詢問留言 已有0條留言
      • 還沒有人留言評論。精彩留言會獲得點(diǎn)贊!
      1