CN1649294A - 用于处理ipv6网络上的验证的方法和设备 - Google Patents
用于处理ipv6网络上的验证的方法和设备 Download PDFInfo
- Publication number
- CN1649294A CN1649294A CNA2005100061487A CN200510006148A CN1649294A CN 1649294 A CN1649294 A CN 1649294A CN A2005100061487 A CNA2005100061487 A CN A2005100061487A CN 200510006148 A CN200510006148 A CN 200510006148A CN 1649294 A CN1649294 A CN 1649294A
- Authority
- CN
- China
- Prior art keywords
- node
- information
- message
- checking
- certificate server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0869—Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/16—Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
- H04L69/167—Adaptation for transition between two IP versions, e.g. between IPv4 and IPv6
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0442—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
一种方法和设备处理IPv6网络上的验证,其中,使用从证书授权中心中发射的安全信息来允许IPv6安全网络节点通过相互验证来彼此通信,因此将证书授权中心和每个节点之间交换的信息量最小化。另外,当在IPv6安全网络上的验证的证书授权中心和接入IPv6安全网络的一个节点之间处理初始验证时,通过交换的消息来处理相互的验证,可本质上阻塞节点恶意地接入IPv6安全网络。
Description
技术领域
本发明涉及一种用于处理在互联网协议版本6(IPv6)网络上的验证的方法和设备,并且更具体地说,涉及一种用于处理在IPv6网络上的验证的方法和设备,在IPv6网络中,接入IPv6安全网络的各个节点通过从证书授权中心发射的安全信息来处理各个节点之间的相互验证并同时执行重复地址检测机制。
背景技术
在征求意见资料(RFC)2460(已废1883)标准中已经定义了IPv6。
这种IPv6通过诸如邻点发现(ND)机制、地址自动配置(AAC)机制以及重复地址(duplicate address)检测(DAD)机制机制之类的自函数来直接创建它的全局地址。
在这些IPv6的自我机制之中,首先,邻点发现(ND)机制包括IPv4的地址转换协议(ARP)机制和发现网络阶段中的变化并测量链路状态的机制。
ND保持有关路径的可达信息来激活附近的节点并发现附近的路由器和前缀。
其次,地址自动配置(AAC)机制是IPv6的一个’即插即用’机制,其中,一个设置的任务不需要向节点赋予地址。该机制自动地创建一个可路由地址并自动地设置一个缺省路由器。
此机制可以是使用ND的另外一个机制。为了建立并管理一个网络,它识别前缀、缺省路由器以及地址是否重复。
图1是用于解释常规IPv6地址结构的图表。
参见图1,IPv6地址由128比特组成并包括n个比特网络前缀和(128-n)个比特的接口ID。
图2是用于解释IPv6的地址自动配置机制的图表。将参考图2描述创建全局IPv6地址的过程。
首先,使用一个48比特媒体访问控制(MAC)地址把全局IPv6地址的较低64个比特配置在一个128比特地址中。
在以太网上的IPv6中,接口ID指示一个EUI-64接口标识符(接口ID)。
具体地说,如图2所示,一个2字节中间层地址(intermediate address)’ff:fe’被加在48比特MAC(媒体访问控制)地址’00:90:27:17:fc:0f’的中点中,b2是在MAC地址的最高有效字节’00’中从最高有效比特开始的第7比特,并且b2被设置为1以便获得’02:90:27:ff:fe:17:fc:0f’,’02:90:27:ff:fe:17:fc:0f’是全局IPv6地址的较低的64比特接口ID。正如上面阐明的,作为获得的较低64比特接口ID的’02:90:27:ff:fe:17:fc:0f’如图3所示并且是如图1所示的IPv6地址的接口ID。
第三,重复地址检测(DAD)机制确认已创建的IPv6地址是否正被其它节点使用,其中,邻点请求(NS)和邻点宣告(NA)消息被使用。
即,通过地址自动配置机制已经创建IPv6地址的一个节点把NS消息发送给连接到网络的全部节点,而如果任意一个节点正在使用与发射NS消息的节点所创建的地址相同的IPv6地址时,该任意的节点把NS消息作为响应消息返回。
节点以广播的方式发送NS消息给全部节点。如果它没有接收到NA消息,则该节点使用所述创建的IPv6地址。另一方面,如果节点接收到NA消息,则节点通过地址自动配置机制重置IPv6地址。
为了接入需要验证的IPv6安全网络,使用IPv6地址的此类节点需要被能够验证相关节点的证书授权中心(CA)验证。
即,如果节点A和节点B期望通过IPv6安全网络彼此通信,则节点A和节点B在接入IPv6安全网络的同时被证书授权中心验证。然后,如果用户请求与其它节点通信,则该节点需要被证书授权中心再一次验证以便与相关节点通信。
可是,在此通信***中,随着接入IPv6安全网络的节点数目或者业务量的增加,节点和证书授权中心之间交换的信息量导致了按指数增加的结果。因此,IPv6安全网络的使用效率迅速下降。
另外,通过IPv6安全网络交换的信息量的增加导致处理证书授权中心中各个节点验证的处理器负荷的增加。结果,它引起安全网络中的服务质量下降的问题。
发明内容
因此,构思本发明来解决上述以及其它问题。因此,本发明的一个目的是提供一种用于处理IPv6网络上的验证的方法和设备,其中:当负责IPv6安全网络上的安全的证书授权中心最初验证节点时,它提供安全信息给接入IPv6安全网络的节点,如此以使证书授权中心验证的各个节点通过相互验证而不必经由证书授权中心就能够彼此通信。
本发明的另一目的是管理IPv6安全网络上的安全验证,当在验证IPv6安全网络上的验证的证书授权中心和接入IPv6安全网络的节点之间处理初始验证时,通过交换的消息处理相互的验证来提供本质上阻塞节点恶意接入IPv6安全网络。
本发明还有另一个目的是提供一种有效的、实现简单的并且成本有效的用于处理在互联网协议网络上的验证的方法和设备。
根据本发明用于实现上述以及其它目的的一个方面,这里提供一种验证处理***,它包括:一个证书服务器,用于存储至少一个节点信息和指定给节点的地址信息并且当从接入网络的任何节点中接收到接入消息时,发射一个包含指定给该节点的地址信息和安全信息在内的验证消息;和连接到证书服务器的至少一个节点,用于发射接入消息给证书服务器,使用通过验证消息发射的地址信息来创建一个IP(互联网协议)地址,并通过IP地址和安全信息来处理与其它节点的相互验证。
根据本发明的另一方面,这里提供一种用于处理IPv6网络上的验证的***,它包括:第一节点,用于加密节点信息以便把加密的节点信息作为一个验证请求消息发射,用从证书服务器发射的一个秘密密钥来解密响应于验证请求消息的一个响应消息,以便识别其它节点的安全信息,并且如果各自的信息与从证书服务器中发射的安全信息相同时则发射一个验证确认消息以便验证其它节点;和第二节点,用于用从证书服务器中发射的一个秘密密钥加密安全信息以便当接收到来自第一节点的验证请求消息时把加密的安全信息作为响应消息进行发射,并且当接收到来自第一节点的验证确认消息时验证第一节点。
另外,根据本发明的另一个方面,这里提供IPv6网络中的一个节点,当它请求与其它节点通信时,发射一个包含加密节点信息的验证请求消息,用从证书服务器中发射的一个秘密密钥来解密响应于验证请求消息的一个响应消息以便识别其它节点的安全信息,并且如果识别的安全信息与从证书服务器中发射的安全信息相同时,发射一个验证确认消息用于验证其它节点以便开始与其它节点通信。
另外,根据本发明的另一个方面,这里提供IPv6网络上的一个证书服务器,它包括存储单元,用于存储至少一个节点信息和指定给相关节点的地址信息;和验证处理单元,当通过IP网络接收到从节点发射的一则连接消息时,通过存储单元的检索,用于确认节点是否被授权连接,并且如果节点被授权接入,则发射验证消息给节点,所述验证消息包含通过用秘密密钥加密与节点对应的地址信息而获得的密码信息以及秘密密钥信息。
同时,根据本发明的另一个方面,这里提供一种用于处理验证的方法,包括如下步骤:由证书服务器设置至少一个节点信息和指定给节点的地址信息;由节点中的任意一个节点接入证书服务器以便发射包含节点信息的接入消息;当接收到接入消息时,由证书服务器确定该节点是否被授权接入,并且如果节点被授权接入,则向节点发送包含指定给该节点的地址信息和安全信息的验证消息;和由节点使用地址信息来创建IP地址并通过安全信息处理与其它节点的相互验证。
在根据本发明用于处理验证的方法中,处理相互验证的步骤包括如下子步骤:如果一个用户请求与其它节点通信,则发送验证请求消息给其它节点,并且从响应于验证请求消息的响应消息中识别安全信息;并且把其它节点的安全信息与它自己的安全信息进行比较,如果其它节点的安全信息有效,则验证其它节点。
另外,根据本发明的另一个方面,这里提供一种用于在IP网络中处理节点之间的相互验证的方法,它包括如下步骤:由第一节点发送通过加密节点信息而获得的一则验证请求消息给第二节点;由第二节点用从证书服务器中发射的一个秘密密钥来加密并发送安全信息,所述安全信息是作为响应于验证请求消息的一个响应消息而被发送;当从第二节点中接收到响应消息时,用从证书服务器中发射的秘密密钥解密响应消息以便识别第二节点的安全信息,并且如果各自的信息与从证书服务器中发射的安全信息相同时,则发送一个验证确认消息用于验证第二节点;并且当接收到验证确认消息时,由第二节点验证第一节点。
根据本发明的另一个方面,这里提供一种用于在IPv6网络中处理在节点处的验证的方法,它包括如下步骤:当与其它节点的通信被请求时,发送包含加密节点信息的验证请求消息给其它节点;当与其它节点的通信被请求时,发送包含加密节点信息的验证请求消息给其它节点;用从证书服务器中发射的一个秘密密钥解密从其它节点中接收到的响应消息以便识别其它节点的安全信息;并且确定所识别的安全信息是否与从证书服务器中发射的安全信息相同,如果相同,则发送认证确认消息用于验证其它节点以便开始与其它节点通信。
另外,根据本发明的另一个方面,这里提供一种用于处理IPv6网络上的证书服务器处的验证的方法,该方法包括如下步骤:设置至少一个节点信息和指定给相关节点的地址信息;当接收到从通过IP网络连接的节点中的任意一个节点中发射的连接消息时,基于设置的节点信息来确认该节点是否被授权连接;并且如果该节点被授权连接,则发送验证消息,该验证消息包含通过用秘密密钥加密对应于节点的地址信息而获得的密码信息和秘密密钥信息。
在根据本发明用于处理IPv6网络上证书服务器处的验证的方法中,发射验证消息的步骤包含如下子步骤:从连接消息中识别节点的节点信息并把节点信息包括到验证消息中以便通知证书服务器是验证该节点的证书服务器。
附图说明
当考虑结合附图时,通过参考如下详细说明,本发明更完整的评价以及它所伴随的许多优点将很容易显见,同时变得更好理解,附图中附图标记表示相同的或类似的组件,其中:
图1是用于解释常规IPv6地址结构的图表;
图2是用于解释IPv6的地址自动配置机制的图表;
图3是用于解释地址自动配置机制创建的IPv6地址的接口ID的图表;
图4是用于解释常规IPv6安全网络结构的整体框图;
图5是用于解释根据本发明一个优选实施例的节点结构的内部框图;
图6是用于解释根据本发明一个优选实施例的证书授权中心内部结构的内部框图;
图7是用于解释根据本发明一个优选实施例的每个节点被证书授权中心验证的方法流程图;
图8是用于解释根据本发明一个优选实施例在各个节点之间相互验证的方法流程图;
图9是用于解释根据本发明的一个优选实施例节点通过IPv6安全网络彼此通信的方法流程图。
具体实施方式
下面将参考附图描述本发明的优选实施例。在如下说明中,熟知的功能或结构不被详细描述,因为它们在不必要的细节方面将模糊本发明。
图4是用于解释常规IPv6安全网络结构的整体框图。
如图4所示,一个IPv6安全网络包括:多个节点31到33,和一个用于验证并管理各个节点31到33的证书授权中心(CA)10。
节点31到33是指执行IPv6的设备,CA 10是指一个授权中心,它确定安全是否适当并且发出并管理公钥、私钥和用于加密和解密消息的秘密密钥。
公钥是从指定的CA 10中提供的一个密钥值并且与从此公钥中产生的私钥组合以使它被有效用于加密和解密消息和电子签名。组合公钥和私钥的方式熟知为一种非对称的密码术。具有公钥的***被称作公钥基础结构(PKI)。
私钥是指只有交换加密/解密秘密消息的各方已知的密钥。在用秘密密钥的加密和解密方案中,只允许知道秘密密钥的各方加密和解密各自的消息。
图5是用于解释根据本发明一个优选实施例的节点结构的内部框图。
参见图5,根据本发明的节点31包括网络接口单元31a、加密/解密单元31b和消息处理单元31c,并且消息处理单元31c包含地址处理单元31d。
地址处理单元31d通过地址自动配置机制来确定被节点31使用的IPv6地址,并创建一个试验地址。当从用于创建IPv6地址的CA 10中接收到一个中间层地址(intermediate address)时,地址处理单元31d使用该中间层地址来创建IPv6地址。
消息处理单元31c产生一个随机数,使用随机数信息和口令信息生成NS消息,并把它们发射到CA 10。
另外,消息处理单元从CA 10发射NA消息中识别秘密密钥信息和中间层地址信息。
另外,在节点被CA 10验证之后,当一个用户请求与其它节点32和33通信时,消息处理单元31c产生通信请求消息,把通信请求消息发射给其它节点32和33,并且基于从其它节点32和33发射的响应消息来确定其它节点32和33是否是CA 10验证的节点。
加密/解密单元31b用相关节点31的公钥或者从CA 10中发射的秘密密钥来加密消息处理单元31c产生的信息,并用私钥或者秘密密钥解密从其它节点32和33或者CA 10中发射的消息。
网络接口单元31a接收从CA 10或者其它节点32和33中通过IPv6安全网络20发射的消息,并且通过IPv6安全网络20发射消息处理单元31c产生的消息给CA10或者其它节点32和33。
图6是用于解释根据本发明一个优选实施例的证书授权中心内部结构的内部框图。
参见图6,根据本发明的一个证书授权中心(CA)10包括:验证处理单元11、加密/解密处理单元13、IP接口单元14和数据库12。
IP接口单元14通过IPv6安全网络20接收从节点31到33发射的NS消息,并且通过IPv6安全网络20把CA 10产生的NA消息发射给节点31到33。
加密/解密处理单元13用CA 10的私钥解密从节点31到33中发射的NS消息,并且用每一个节点31到33的公钥加密CA 10产生的NA消息。
另外,加密/解密处理单元13用秘密密钥加密CA 10发送给各个节点31到33的中间层地址信息。
DB(数据库)12以中间层地址表的形式储存将被分配给各个节点31到33的中间层地址信息,各个节点31到33已经被授权接入IPv6安全网络20。
此中间层地址表可以被配置如下表1。
表1
| 节点信息 | 中间层地址信息 |
| 节点A | 1A:1B |
| 节点B | 1B:1A |
| . | . |
正如表1中表示的,中间层地址表包括有关被授权接入IPv6安全网络20的各个节点31到33的信息以及指定给相关节点31给33的中间层地址信息。
当从节点A 31中接收到NS消息时,如果节点A 31被授权接入IPv6安全网络20,则CA 10允许节点A 31使用包含中间层地址信息’1A:1B’的一个IPv6地址并且允许节点B 32使用包含中间层地址’1B:1A’的一个IPv6地址。
在这个时候,优选的,储存在中间层地址表中的每一个中间层地址在一个IPv6安全网络20中是唯一的,如此以使使用同一IPv6地址的多个节点31到33不存于一个IPv6安全网络20中。
当从节点31到33接收到NS消息时,验证处理单元11确定相关节点31到33是否被授权接入IPv6安全网络20。如果是这样的话,则验证处理单元11从DB12中检索要被指定给相关节点31到33的中间层地址信息,并产生包括中间层地址信息在内的NA消息。
另外,认证处理单元11在产生的NA消息中包括安全信息以便允许被授权接入IPv6安全网络20的各个节点31到33彼此通信。
在这个时候,从CA 10发射给各个节点31到33的安全信息可以是秘密密钥信息、中间层地址信息以及被接入IPv6安全网络20的各个节点31到33所使用的之类信息。
图7是用于解释解释根据本发明一个优选实施例每个节点被证书授权中心验证的方法流程的流程图。
参见图7,节点31的地址处理单元31d通过地址自动配置机制创建一个IPv6地址以便接入IPv6安全网络20,并且消息处理单元31c使用地址处理单元31d创建的IPv6地址信息来创建NS消息(S1)。
节点31的加密/解密单元31b用CA 10的公钥加密消息处理单元31c创建的NS消息,并且通过IPv6安全网络20把加密的NS消息发射给CA 10(S2)。
CA 10的IP接口单元14接收从节点31中发射的NS消息,并且加密/解密处理单元13用CA 10的私钥解密NS消息(S3)。
验证处理单元11通过检索储存在DB(数据库)12中的中间层地址表来确定发射NS消息的节点31是否已经被授权接入IPv6安全网络20。如果节点已经被授权接入,则验证处理单元11检索被指定给相关节点31的中间层地址信息(S4)。
证书授权中心10的验证处理单元11创建NA消息,该NA消息包含从中间层地址表中检索的中间层地址信息和被IPv6安全网络20使用的秘密密钥信息(S5)。
加密/解密处理单元13用节点31的公钥加密验证处理单元11创建的NA消息,并且通过IP网络14发射加密消息给节点31(S6)。
节点31的加密/解密单元31b用私钥解密从CA 10中发射的NA消息,并且消息处理单元31c识别包含在NA消息中的秘密密钥信息和中间层地址信息(S7)。
地址处理单元31d使用消息处理单元31c识别的中间层地址信息来创建一个IPv6地址(S8)。
例如,将只描述一种节点A 31被CA 10验证的方法。首先,节点31通过地址自动配置机制创建一个试验地址。
换言之,如果节点A 31的接口MAC(媒体访问控制)地址是’0A:00:2B:3B:70:1E’而网络前缀是’3FFE:2E01:DEC1::/64’,则节点A 31的地址处理单元31d创建’3FFE:2E01:DEC1::OAOO:2BFF:FE3B:701E’作为IPv6地址。
节点A 31的消息处理单元31c创建一个随机数RN(A)并使用创建的随机数信息RN(A)和口令信息PW(A)来创建NS消息。
在这里,PW(A)是指CA 10用来验证节点A 31的信息。此PW(A)可以对应于节点31的ID(标识)信息和口令信息。
RN(A)是指节点A 31创建的随机数信息。此随机数信息是这样一个信息:该信息被CA 10用于拦截来自尝试恶意接入的入侵节点(未示出)的消息。
使用口令信息PW(A)和随机数信息RN(A)由节点A 31创建NS消息是因为节点31以广播的方式发射NS消息给网络,这使得除了CA 10之外接入IPv6安全网络20有恶意目的的任何节点(未示出)都能接收到NS消息,更可能导致这些怀恶意的节点发射错误创建的NA消息给节点A 31。
因此,为了阻止怀恶意的节点创建NA消息,节点A 31用CA 10的公钥加密包含随机数信息RN(A)的NS消息并发射加密的NS消息,这样只有CA 10被允许解密随机数信息RN(A)。CA 10解密从节点A 31中发射的随机数信息RN(A),用节点A 31的公钥加密并发射NA消息,以便确认它是CA 10发射来验证该节点的NA消息。
另外,CA 10的验证处理单元11从中间层地址表中检索’1A:1B’,’1A:1B’是指定给节点A 31的中间层地址信息DA(A),用IPv6安全网络20的秘密密钥加密检索的地址信息,用节点A 31的公钥加密节点A 31的用秘密密钥加密的中间层地址信息DA(A)、秘密密钥信息SS(C)和随机数信息RN(A)以便创建NA消息,并把创建的NA消息发射给节点A 31。
节点A 31的加密/解密单元31b用它自己的私钥解密从CA 10发射的NA消息,并且消息处理单元31c从NA消息中识别随机数信息RN(A)以便确认它是否是消息处理单元31c创建的随机数信息RN(A)。
当发射的NA消息的随机数信息是消息处理单元31b创建的随机数信息RN(A)时,消息处理单元31b识别中间层地址信息DA(A)和秘密密钥信息SS(C),并且把识别的秘密密钥信息SS(C)提供给加密/解密单元31b并且把中间层地址信息DA(A)提供给地址处理单元31d。
地址处理单元31d使用消息处理单元31c提供的中间层地址信息DA(A)来创建一个IPv6地址,并且当建立与其它节点32和33的通信时,加密/解密单元31b用秘密密钥SS(C)加密/解密与其它节点32和33交换的信息。
换言之,地址处理单元31d使用从CA 10发射的中间层地址信息DA(A)——’1A:1B’来创建’3FFE:2E01:DEC1::OAOO:2B1A:1B3B:701E’作为IPv6地址。
图8是用于解释根据本发明一个优选实施例在各个节点之间相互验证的方法流程图。
参见图8,将说明节点A 31请求节点B 32验证节点A 31的情况。
当一个用户请求与节点B 32通信时,节点A 31的消息处理单元31c创建随机数信息RN(A)。加密/解密单元31b用节点B 32的公钥加密随机数信息并通过网络接口单元31a把加密的随机消息发送给节点B 32(S10)。
即,节点A 31用节点B 32的公钥加密验证请求消息并发射加密的验证请求消息。
节点B 32的加密/解密单元32b用节点B 32的私钥解密通过网络接口单元32a接收到的验证请求消息,并且消息处理单元32c创建随机数信息RN(B)。
消息处理单元32c用节点A 31的随机数信息RN(A)、创建的随机数信息RN(B)、节点A 31的中间层地址信息DA(A)以及作为散列函数的变量的消息处理单元32c的中间层地址信息DA(B)来加密散列函数的一半函数值;并且用节点A 31的公钥加密节点A 31的随机数信息RN(A)以及节点B 32的随机数信息RN(B),以便创建一个验证响应消息,并发射创建的验证响应消息给节点A31(S11)。
在这里,可以通过使用从CA 10中发射的秘密密钥信息SS(C)对信息进行解密来识别由节点A 31和节点B 32接收的来自CA 10中的中间层地址信息DA(A)和DA(B)。
即,节点B 32用节点A 31的公钥加密响应于从节点A 31中发射的验证请求消息的验证请求消息,并发射加密消息。
节点A 31的加密/解密单元31b用它自己的私钥解密经由网络接口单元31a接收到的验证响应消息(S12),并且消息处理单元31c把包含在验证响应消息中的散列函数的函数值和一半它自己的散列函数值求和,并确定总数是否变成一个散列函数值(S13)。
即,节点A 31的消息处理单元31c把从节点B 32中发射的一半函数值和它自己的一半散列函数值求和并确定总数是否变成一个正确的散列函数值。如果总数变成正确的散列函数值,则消息处理单元31c确定从节点B 32中发射的散列函数值有效。
在这个时候,如果散列函数值的第一半被包含在从节点B 32发射的验证响应消息中,则节点A 31能够把第二半散列函数值和发射的散列函数值求和。
同时,如果从一个随机部分中提取包含在从节点B 32发射的验证响应消息中的散列函数值,则发射验证请求消息的节点A 31把另一部分的散列函数值增加到包含在验证响应消息中的散列函数值上。
当确定通过把包含在验证响应消息中的散列函数值与它自己的散列函数值进行求和而获得的总散列函数值不正确时,节点A 31的消息处理单元31c确定节点B 32是一个未被授权接入IPv6安全网络20的节点并终止连接(S14)。
另一方面,当确定总散列函数值正确时,节点A 31的消息处理单元31c用节点B 32的公钥加密除了从节点B 32中发射的散列函数值之外的剩余的散列函数值以及节点B 32的随机数信息RN(B),创建验证确认消息,并且把创建的验证确认消息发射给节点B 32(S15)。
节点B 32的加密/解密单元32b用私钥解密验证确认消息。消息处理单元32c确定包含在验证确认消息中的剩余一半散列函数值是否有效,并且如果有效,则确定与节点A 31的相互验证已经完成以便与节点A 31通信(S16)。
例如,将讨论一种方法,通过该方法,通过IPv6安全网络20进行各个节点31和32之间的相互验证。首先,节点A 31创建验证所使用的一个随机数RN(A),用节点B 32的公钥PK(B)加密随机数,并把加密的随机数作为验证请求消息发射给节点B 32。
节点B 32创建一个随机数RN(B)用于与节点A 31的相互验证,并且使用散列函数创建用于相互验证的验证响应消息。
在这个时候,使用散列函数创建验证响应消息意指通过使用难以从散列函数值中导出一个变量值的散列函数特性来在节点31和32之间进行相互验证。
在下文中,将只讨论散列函数。如下等式1表示散列函数。
等式1
h(M)->H
’h’表示一个散列函数,’M’表示散列函数使用的一个变量,而’H’表示从变量’M’导出的一个散列函数值。
对于为了相互验证而使用的散列函数,发送方同时发送散列函数的函数值和它的变量,而接收机使用同一散列函数从变量中导出函数值并把导出函数值与发射的函数值进行比较。
如果导出的函数值和发射的函数值相同,则接收机验证发射机。
即,节点B 32使用在被CA 10验证的同时接收到的秘密密钥SS(C)来识别指定给节点B 32的中间层地址信息DA(B)和指定给节点A 31的中间层地址信息DA(A)。
节点B 32的消息处理单元31c用节点A 31的随机数信息RN(A)、它自己的随机数信息RN(B)、节点A 31的中间层地址信息DA(A)以及作为它的变量的它自己的中间层地址信息DA(B)来加密一半散列函数值;用节点A 31的公钥加密节点A 31的随机数信息RN(A)以及它自己的随机数信息RN(B),并把它作为验证响应消息发射。
在这个时候,在从节点A 31中发射的验证请求消息的IPv6地址被从CA 10中接收到的秘密密钥SS(C)正确加密的条件下,则节点B 32能够确定节点A 31是一个验证节点,因为当节点A 31是CA 10验证的一节点时,IPv6地址较低的64个比特的16个比特是被用从CA 10中接收到的秘密密钥SS(C)加密的。
另外,包含在从节点B 32中发射的验证响应消息中的散列函数使用节点A31的随机数信息RN(A)和节点B 32的随机数信息RN(B)以及节点A 31的中间层地址信息DA(A)和节点B 32的中间层地址信息DA(B)作为它的变量。因此,散列函数值不是固定的,而是每当企图验证时都被改变,从而可确保优良的安全性。
节点A 31的加密/解密单元31b用它自己的私钥解密从节点B 32中发射的验证响应消息,并且由于解密的验证响应消息只包含一半散列函数值,消息处理单元31c把解密的验证响应消息内的散列函数值和它的散列函数值求和,并且确定发射的散列函数值是否有效。
另外,当确定散列函数值有效时,消息处理单元31c发射验证确认消息给节点B 32以便指示与节点B的相互验证已经完成。
在这个时候,节点A 31包括并发射除了从节点B 32中发射的散列函数值之外的剩余散列函数值到发射的验证确认消息中。
节点B 32确定包含在从节点A 31发射的验证确认消息中的一半散列函数值是否有效。如果数值有效,则节点B 32确定与节点A 31的相互验证完成并开始与节点A 31通信。
图9是用于解释根据本发明一个优选实施例节点通过IPv6安全网络彼此通信的方法流程图。
参见图9,首先,节点B 32被CA 10验证。节点B 32然后使用IPv6地址连接到IPv6安全网络20,IPv6地址使用从CA 10发射的中间层地址信息DA(B)(S20)。
在节点A 31重新连接到IPv6安全网络20的情况下,节点A 31的地址处理单元31d通过地址自动配置机制创建一个试验地址。
消息处理单元31c产生一个随机数RN(A),并使用口令信息PW(A)和随机数信息RN(A)来产生NS消息。加密/解密单元31b用CA 10(ENpK(c)))公钥加密创建的NS消息,并经由网络接口单元31a(ENPK(c)(PW(A)、RN(A)))把它发射给CA 10(S21)。
当从节点A 31接收到NS消息时,CA 10用私钥解密NS消息,通过中间层地址表的检索来确定节点A 31是否被授权接入IPv6安全网络20,并且如果是被授权,则检索指定给节点A 31的中间层地址信息DA(A)。
另外,CA 10用秘密密钥加密检索的中间层地址信息DA(A),用节点A31(ENpK(A))的公钥加密秘密密钥信息SS(C)、节点A 31的识别的随机数信息RN(A)以及秘密密钥(ENSS(c)DA(A)加密的中间层地址信息,并把它们作为NA消息(ENPK(A)(RN(A),SS(C)和ENSS(C)DA(A))发射(S22)。
节点A 31的加密/解密单元31b用私钥解密从CA 10中发射的NA消息,并且消息处理单元31c识别从CA 10中发射的秘密密钥信息SS(C)。
另外,如果包含在NA消息中的CA 10自己的随机数信息RN(A)是正确的,则消息处理单元31b确定发射NA消息的CA 10是IPv6安全网络20中的一个正确CA10。即,消息处理单元31b确定CA 10不是一个具有恶意目的接入IPv6安全网络并响应于从节点A 31中发射的NS消息而发射一个错误NA消息的怀恶意节点,而是在IPv6安全网络20中的正确CA 10。
加密/解密单元31b用消息处理单元31c识别的秘密密钥SS(C)解密中间层地址信息DA(A),并且地址处理单元31d使用加密/解密单元31b解密了的中间层地址信息DA(A)来创建IPv6地址。
如果一个用户请求与节点B通信,则节点A 31的消息处理单元31c创建随机数信息RN(A)以便产生一个验证请求消息。
加密/解密单元31b用节点B 32(ENPK(B))的公钥加密产生的验证请求消息,并经由网络接口单元31a(ENpK(B)RN(A)))把加密的验证请求消息发射给节点B32(S23)。
节点B 32的加密/解密单元32b用私钥解密从节点A 31中发射的验证请求消息,并且消息处理单元32c创建一个随机数RN(B)用于与节点A 31的相互验证。
消息处理单元32c用节点A 31的中间层地址信息DA(A)、它自己的中间层地址信息DA(B)、节点A 31的随机数信息RN(A)以及创建的随机数信息RN(B)作为它的变量来加密一半散列函数值;用节点A 31(ENpK(A))的公钥加密节点A 31的随机数信息RN(A)和创建的随机数信息RN(B),并把它们作为验证响应消息(ENpK(A)(RN(A)、RN(B)、h2/1(RN(A)、RN(B)、DA(A)、DA(B)))发射(S24)。
节点A 31的加密/解密单元31b用私钥解密从节点B 32中发射的验证响应消息,并且消息处理单元31c确定通过把它自己的一半散列函数值加到包含在验证响应消息中的一半散列函数值上所获得的一个函数值是否有效。如果有效,则它用节点B 32(ENpK(B))的公钥加密节点B 32它自己的剩余一半散列函数值和随机数信息RN(B),并把它作为验证确认消息(ENpK(B)(RN(B)、h2/2(RN(A)、RN(B)、DA(A)、DA(B))))发射(S25)。
节点B 32的加密/解密单元32b用私钥解密从节点A 31中发射的验证确认消息,并且消息处理单元32c确定包含在验证确认消息中的一半散列函数值是否有效。如果有效,则消息处理单元32c确定用于通过IPv6安全网络20通信的相互验证完成并开始与节点A 31通信。
虽然结合详细示例已经详细描述了本发明,但是可以对本发明进行各种变化和修改而不脱离本发明的技术精神对本领域技术人员来说将是显而易见的,当然,这些变化和修改将落入附加权利要求中。
如上所述,根据本发明,有这样一个优点:即,在执行连接节点的验证的同时,管理IPv6安全网络上的安全验证的证书授权中心通知能够处理各个节点之间相互验证的安全信息,因此处理相互的验证以使接入IPv6安全网络20的节点与其它节点通信而不必另外与证书授权交换信息。
另外,还有一个优点是:当在处理IPv6安全网络上的验证的一个证书授权中心和接入IPv6安全网络的节点之间处理初始验证时,通过处理交换的消息处理相互的验证,则可本质上阻塞节点恶意地接入IPv6安全网络。
Claims (26)
1.一个用于处理多个节点的验证的***,所述***包括:
证书服务器,用于储存至少一个节点信息和被指定给节点的地址信息并且当从接入网络的任何节点中接收消息时,发射验证消息,所述验证消息包含指定到该节点的地址信息和安全信息;和
连接到所述证书服务器的至少一个节点,用于发射消息给所述证书服务器,使用通过验证消息发射的地址信息来创建一个互联网协议地址,并通过互联网协议地址和安全信息处理与其它节点的相互验证。
2.根据权利要求1的***,其中:消息包含识别信息、口令信息和随机创建的节点随机数信息中的至少一个节点信息。
3.根据权利要求1的***,其中:安全信息是用于互联网协议网络中的秘密密钥信息、用秘密密钥加密的地址信息、以及通过用节点信息和安全信息中的至少一个执行作为变量的散列函数处理获得的函数值信息中的至少一个。
4.根据权利要求1的***,其中:所述证书服务器从一消息中识别节点信息并且当从节点接收到连接消息时把节点信息包含到验证消息中。
5.根据权利要求1的***,其中:当节点信息作为验证确认信息未被包含在验证消息中时,节点确定所述证书服务器是一个怀恶意的节点以便终止连接。
6.根据权利要求1的***,其中:证书服务器用相关节点的公钥加密验证信息并且用私钥解密一消息,其中所述验证消息包含用秘密密钥加密的地址信息。
7.根据权利要求1的***,其中:每一个节点都用证书服务器的公用密钥加密一消息并用它自己的私钥解密验证消息。
8.根据权利要求1的***,其中:当用户请求与其它节点通信时,每一个节点都发射一验证请求消息给其它节点,从响应于验证请求消息的一响应消息中识别安全信息,把其它节点的安全信息与它自己的安全信息进行比较,并当其它节点的安全信息有效时验证其它节点以便开始与其它节点的通信。
9.一个用于处理在互联网协议版本6网络上的验证的***,它包括一个证书服务器和至少一个节点,该***包括:
第一节点,用于加密节点信息以便把加密的节点信息作为一个验证请求消息发射给其它节点,用从证书服务器发射的一个秘密密钥来解密响应于验证请求消息的一个响应消息,以便识别其它节点的安全信息,并且当各自的信息与从证书服务器中发射的安全信息相同时,发射一个验证确认消息以便验证其它节点;和
第二节点,用于用从证书服务器中发射的一个秘密密钥加密安全信息以便当接收到来自第一节点的验证请求消息时把加密的安全信息作为响应消息进行发射,并且当接收到来自第一节点的验证确认消息时验证第一节点。
10.根据权利要求9的***,其中:当接收到来自其它节点的验证确认消息时,每一个节点识别其它节点的安全信息,把其它节点的安全信息与从所述证书服务器中发射的安全信息比较,并且当其它节点的安全信息有效时验证其它节点。
11.根据权利要求9的***,其中:安全信息是用于互联网协议网络中的秘密密钥信息、用秘密密钥加密的地址信息、以及通过用节点信息和安全信息中的至少一个执行作为变量的散列函数处理获得的函数值信息中的至少一个。
12.根据权利要求9的***,其中:每一个节点把一半函数值信息包含到响应消息中,并且还把除了包含的函数值信息之外的函数值信息包含到验证确认消息中。
13.一种设备,包括:
一个节点,它连接到包括证书服务器的安全网络,当与其它节点的通信被请求时,互联网协议版本6网络中的所述节点发射一包括加密节点信息在内的验证请求消息,用从所述证书服务器中发射的一个秘密密钥解密响应于验证请求消息的一个响应消息,以便识别其它节点的安全信息,并且当识别的安全信息与从所述证书服务器中发射的安全信息相同时,发射一验证确认消息用于验证其它节点以便开始与其它节点的通信。
14.一个用于处理互联网协议版本6网络中的至少一个节点的验证的证书服务器,所述证书服务器包括:
一个存储单元,用于存储至少一个节点信息和指定给相关节点的地址信息;和
一个验证处理单元,当通过互联网协议网络接收到从节点发射的一消息时,通过所述存储单元的检索,用于确认节点是否被授权连接,并且当节点被授权连接时,则发射一验证消息给节点,所述验证消息包含通过用秘密密钥加密与节点对应的地址信息而获得的密码信息以及秘密密钥信息。
15.根据权利要求14的证书服务器,其中:验证处理单元从连接消息中识别节点的节点信息并把节点信息包含到验证消息中以便通知证书服务器是验证所述节点的一个证书服务器。
16.一种用于处理在包括若干节点和一个证书服务器的互联网协议网络上的验证的方法,所述方法包括如下步骤:
由证书服务器设置至少一个节点信息和指定给节点的地址信息;
由节点中的任意一个节点接入证书服务器以便发射一包含节点信息的消息;
当接收到接入消息时,由证书服务器确定该节点是否被授权接入,并且当节点被授权接入时,则向节点发送一包含指定给该节点的地址信息和安全信息的验证消息;和
由节点使用地址信息来创建一个互联网协议地址并通过安全信息处理与其它节点的相互验证。
17.根据权利要求16的方法,其中:节点信息是节点的识别信息,口令信息和随机创建的随机数信息中的至少一个。
18.根据权利要求16的方法,其中:安全信息是用于互联网协议网络中的秘密密钥信息、用秘密密钥加密的地址信息以及函数值信息中的至少一个,其中在函数值信息上,使用节点信息和安全信息中的至少一个作为变量执行一个散列函数过程。
19.根据权利要求16的方法,其中:当接收到来自节点的一消息时,所述证书服务器识别节点信息并且把节点信息包含到验证消息中。
20.根据权利要求16的方法,其中:当节点信息作为验证确认信息未被包含在验证消息中时,节点确定所述证书服务器是一个怀恶意的节点以便终止连接。
21.根据权利要求16的方法,其中:处理相互验证的步骤包括如下子步骤:
当一个用户请求与其它节点通信时发送一验证请求消息给其它节点,并且从响应于验证请求消息的一响应消息中识别安全信息;并且
把其它节点的安全信息与它自己的安全信息进行比较,当其它节点的安全信息有效,则验证其它节点。
22.一种在包括一个证书服务器和多个节点的互联网协议网络中用于处理若干节点之间的相互验证的方法,所述方法包括如下步骤:
由第一节点发送通过加密节点信息而获得的一验证请求消息给第二节点;
由第二节点用从证书服务器中发射的一个秘密密钥来加密并发送安全信息,所述安全信息是作为响应于验证请求消息的一个响应消息而被发送;
当从第二节点中接收到响应消息时,用从证书服务器中发射的秘密密钥解密响应消息以便识别第二节点的安全信息,并且当各自的信息与从证书服务器中发射的安全信息相同时,则发送一个验证确认消息用于验证第二节点;并且
当接收到验证确认消息时,由第二节点验证第一节点。
23.根据权利要求22的方法,其中:当接收到来自其它节点的验证确认消息时,通过识别其它节点的安全信息来验证其它节点,通过与从所述证书服务器中发射的安全信息比较来确认安全信息是否有效,并且当它有效时验证其它节点。
24.一种用于在包括一个证书服务器的互联网协议版本6网络中处理节点处的验证的方法,所述方法包括如下步骤:
当与其它节点的通信被请求时,发送一则包含加密节点信息的验证请求消息给其它节点;
用从证书服务器中发射的一个秘密密钥解密从其它节点中接收到的一响应消息以便识别其它节点的安全信息;并且
确定所识别的安全信息是否与从证书服务器中发射的安全信息相同,当相同时,则发送一个认证确认消息用于验证其它节点以便开始与其它节点通信。
25.一种在互联网协议版本6网络中的证书服务器处用于处理节点验证的方法,所述方法包括如下步骤:
设置至少一个节点信息和指定给相关节点的地址信息;
当接收到从通过互联网协议网络连接的节点中的任意一个节点中发射的一连接消息时,基于设置的节点信息来确认该节点是否被授权连接;并且
当该节点被授权连接时,则发送一个验证消息,该验证消息包含通过用秘密密钥加密对应于节点的地址信息而获得的密码信息和秘密密钥信息。
26.根据权利要求25的方法,其中:发射验证消息的步骤包括如下子步骤:从连接消息中识别节点的节点信息并把节点信息包括到验证消息中以便通知所述证书服务器是验证所述节点的证书服务器。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR20040005864A KR100803272B1 (ko) | 2004-01-29 | 2004-01-29 | 아이피 브이 식스 네트워크에서 인증을 처리하는 방법 및그 장치 |
| KR20040005864 | 2004-01-29 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN1649294A true CN1649294A (zh) | 2005-08-03 |
Family
ID=34651535
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNA2005100061487A Pending CN1649294A (zh) | 2004-01-29 | 2005-01-31 | 用于处理ipv6网络上的验证的方法和设备 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US20050172333A1 (zh) |
| EP (1) | EP1560396A2 (zh) |
| JP (1) | JP4033868B2 (zh) |
| KR (1) | KR100803272B1 (zh) |
| CN (1) | CN1649294A (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101001245B (zh) * | 2006-01-10 | 2010-04-14 | 华为技术有限公司 | 一种边界网关协议中更新信息的验证方法 |
| CN101193103B (zh) * | 2006-11-24 | 2010-08-25 | 华为技术有限公司 | 一种分配和验证身份标识的方法及*** |
| WO2010118666A1 (zh) * | 2009-04-14 | 2010-10-21 | 华为技术有限公司 | 节点注册方法、路由更新方法、通讯***以及相关设备 |
Families Citing this family (27)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR100669240B1 (ko) * | 2004-12-07 | 2007-01-15 | 한국전자통신연구원 | 평가규칙표기언어를 이용한 IPv6 네트워크 계층의보안성 평가 시스템 및 방법 |
| US7881468B2 (en) * | 2005-04-08 | 2011-02-01 | Telefonaktiebolaget L M Ericsson (Publ) | Secret authentication key setup in mobile IPv6 |
| US7783041B2 (en) * | 2005-10-03 | 2010-08-24 | Nokia Corporation | System, method and computer program product for authenticating a data agreement between network entities |
| US7468952B2 (en) * | 2005-11-29 | 2008-12-23 | Sony Computer Entertainment Inc. | Broadcast messaging in peer to peer overlay network |
| DE102006017940B4 (de) * | 2006-04-18 | 2009-12-17 | Fraunhofer-Gesellschaft zur Förderung der angewandten Forschung e.V. | Verfahren zur Herstellung einer Verbindung |
| US20090150670A1 (en) * | 2006-06-01 | 2009-06-11 | Nec Corporation | Communication node authentication system and method, and communication node authentication program |
| KR100831327B1 (ko) * | 2006-09-28 | 2008-05-22 | 삼성전자주식회사 | 무선 메쉬 네트워크의 인증 처리 방법 및 그 장치 |
| KR100818307B1 (ko) * | 2006-12-04 | 2008-04-01 | 한국전자통신연구원 | IPv6 공격 패킷 탐지장치 및 방법 |
| KR100892616B1 (ko) * | 2007-06-28 | 2009-04-09 | 연세대학교 산학협력단 | 무선 센서 네트워크에서의 새로운 장치 참여 방법 |
| US8515996B2 (en) * | 2008-05-19 | 2013-08-20 | Emulex Design & Manufacturing Corporation | Secure configuration of authentication servers |
| US8862872B2 (en) * | 2008-09-12 | 2014-10-14 | Qualcomm Incorporated | Ticket-based spectrum authorization and access control |
| US8548467B2 (en) | 2008-09-12 | 2013-10-01 | Qualcomm Incorporated | Ticket-based configuration parameters validation |
| WO2010032391A1 (ja) * | 2008-09-19 | 2010-03-25 | 日本電気株式会社 | 完全性検証のための通信システム、通信装置、及びそれらを用いた通信方法及びプログラム |
| US9148335B2 (en) * | 2008-09-30 | 2015-09-29 | Qualcomm Incorporated | Third party validation of internet protocol addresses |
| US20100322420A1 (en) * | 2009-06-18 | 2010-12-23 | Arris Group, Inc. | Duplicate Address Detection Proxy in Edge Devices |
| JP5601251B2 (ja) | 2011-03-10 | 2014-10-08 | 富士通株式会社 | 通信方法および通信システム |
| KR20130001655A (ko) * | 2011-06-27 | 2013-01-04 | 삼성전자주식회사 | 서로 다른 서비스 단말로 서비스를 제공하기 위한 장치 및 방법 |
| CN104145449A (zh) * | 2012-02-29 | 2014-11-12 | 交互数字专利控股公司 | 在不进行定制或预付费协定的情况下进行网络接入和网络服务的提供 |
| US9456344B2 (en) | 2013-03-15 | 2016-09-27 | Ologn Technologies Ag | Systems, methods and apparatuses for ensuring proximity of communication device |
| US10177915B2 (en) | 2013-03-15 | 2019-01-08 | Ologn Technologies Ag | Systems, methods and apparatuses for device attestation based on speed of computation |
| US9698991B2 (en) | 2013-03-15 | 2017-07-04 | Ologn Technologies Ag | Systems, methods and apparatuses for device attestation based on speed of computation |
| WO2014181313A1 (en) | 2013-05-10 | 2014-11-13 | Ologn Technologies Ag | Ensuring proximity of wifi communication devices |
| CN103347102B (zh) * | 2013-06-28 | 2016-08-10 | 华为技术有限公司 | 冲突地址检测报文的识别方法及装置 |
| US9455998B2 (en) | 2013-09-17 | 2016-09-27 | Ologn Technologies Ag | Systems, methods and apparatuses for prevention of relay attacks |
| US10949349B2 (en) | 2015-12-01 | 2021-03-16 | Fastly, Inc. | Anonymized network addressing in content delivery networks |
| US10447665B2 (en) * | 2017-03-31 | 2019-10-15 | Konica Minolta Laboratory U.S.A., Inc. | IPv6 link local secure network with biometric security to secure IOT devices |
| CN116980151A (zh) * | 2022-04-22 | 2023-10-31 | 戴尔产品有限公司 | 用于地址加密的方法、电子设备和计算机程序产品 |
Family Cites Families (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5903651A (en) * | 1996-05-14 | 1999-05-11 | Valicert, Inc. | Apparatus and method for demonstrating and confirming the status of a digital certificates and other data |
| US6513117B2 (en) * | 1998-03-04 | 2003-01-28 | Gemstar Development Corporation | Certificate handling for digital rights management system |
| US6230266B1 (en) * | 1999-02-03 | 2001-05-08 | Sun Microsystems, Inc. | Authentication system and process |
| US6701434B1 (en) * | 1999-05-07 | 2004-03-02 | International Business Machines Corporation | Efficient hybrid public key signature scheme |
| US6353891B1 (en) * | 2000-03-20 | 2002-03-05 | 3Com Corporation | Control channel security for realm specific internet protocol |
| JP2003008622A (ja) | 2001-06-22 | 2003-01-10 | Fujitsu Ltd | サービス制御ネットワーク、及びそのサービス制御ネットワークにおいて使用されるルータ装置 |
| KR100736536B1 (ko) * | 2001-07-07 | 2007-07-06 | 엘지전자 주식회사 | 차세대 인터넷 프로토콜에서의 이동국 식별정보를 이용한인터페이스 식별 방법 |
| JP3987710B2 (ja) * | 2001-10-30 | 2007-10-10 | 株式会社日立製作所 | 認定システムおよび認証方法 |
| US7577425B2 (en) * | 2001-11-09 | 2009-08-18 | Ntt Docomo Inc. | Method for securing access to mobile IP network |
| US20030211842A1 (en) * | 2002-02-19 | 2003-11-13 | James Kempf | Securing binding update using address based keys |
| JP3782788B2 (ja) | 2002-04-17 | 2006-06-07 | キヤノン株式会社 | 公開鍵証明書提供装置、方法、及び、接続装置 |
| JP2003333122A (ja) | 2002-05-16 | 2003-11-21 | Canon Inc | 通信用識別情報に基づき制御を実行する制御装置、方法、プログラム |
| US7046647B2 (en) * | 2004-01-22 | 2006-05-16 | Toshiba America Research, Inc. | Mobility architecture using pre-authentication, pre-configuration and/or virtual soft-handoff |
-
2004
- 2004-01-29 KR KR20040005864A patent/KR100803272B1/ko not_active IP Right Cessation
- 2004-12-14 US US11/010,531 patent/US20050172333A1/en not_active Abandoned
-
2005
- 2005-01-18 JP JP2005009821A patent/JP4033868B2/ja not_active Expired - Fee Related
- 2005-01-28 EP EP20050001831 patent/EP1560396A2/en not_active Withdrawn
- 2005-01-31 CN CNA2005100061487A patent/CN1649294A/zh active Pending
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101001245B (zh) * | 2006-01-10 | 2010-04-14 | 华为技术有限公司 | 一种边界网关协议中更新信息的验证方法 |
| US7826456B2 (en) | 2006-01-10 | 2010-11-02 | Huawei Technologies Co., Ltd. | Method and system for verifying update information in BGP |
| CN101193103B (zh) * | 2006-11-24 | 2010-08-25 | 华为技术有限公司 | 一种分配和验证身份标识的方法及*** |
| WO2010118666A1 (zh) * | 2009-04-14 | 2010-10-21 | 华为技术有限公司 | 节点注册方法、路由更新方法、通讯***以及相关设备 |
| US8910252B2 (en) | 2009-04-14 | 2014-12-09 | Huwei Technologies Co., Ltd. | Peer enrollment method, route updating method, communication system, and relevant devices |
| US9819688B2 (en) | 2009-04-14 | 2017-11-14 | Huawei Technologies Co., Ltd. | Peer enrollment method, route updating method, communication system, and relevant devices |
| US10616243B2 (en) | 2009-04-14 | 2020-04-07 | Huawei Technologies Co., Ltd. | Route updating method, communication system, and relevant devices |
Also Published As
| Publication number | Publication date |
|---|---|
| JP2005218088A (ja) | 2005-08-11 |
| KR100803272B1 (ko) | 2008-02-13 |
| JP4033868B2 (ja) | 2008-01-16 |
| EP1560396A2 (en) | 2005-08-03 |
| US20050172333A1 (en) | 2005-08-04 |
| KR20050078434A (ko) | 2005-08-05 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN1649294A (zh) | 用于处理ipv6网络上的验证的方法和设备 | |
| JP4000111B2 (ja) | 通信装置および通信方法 | |
| CN1879382A (zh) | 在设备间建立加密通信通道的方法、设备和程序 | |
| CN100340084C (zh) | 一种实现设备分组及分组设备间交互的方法 | |
| CN100350774C (zh) | 通信终端和自组网络路径控制方法 | |
| CN1152541C (zh) | 无线家庭网络中的设备注册方法 | |
| CN1574738A (zh) | 在移动特设网络中分配加密密钥的方法及其网络设备 | |
| CN1659922A (zh) | 用于询问-应答用户鉴权的方法和*** | |
| JP4903792B2 (ja) | 無線携帯インターネットシステム用の認証キー識別子の割り当て方法 | |
| CN1268088C (zh) | 基于pki的vpn密钥交换的实现方法 | |
| CN1666190A (zh) | 向归属代理注册移动节点的归属地址的方法 | |
| CN1918887A (zh) | 基于代理的安全端到端tcp/ip通信方法和*** | |
| CN1758651A (zh) | 使用转交地址(coa)绑定协议来认证地址所有权 | |
| CN1992585A (zh) | 一种用于用户设备与内部网络间安全通信的方法及装置 | |
| CN101032142A (zh) | 通过接入网单一登陆访问服务网络的装置和方法 | |
| CN1929371A (zh) | 用户和***设备协商共享密钥的方法 | |
| CN1790937A (zh) | 提供根据蓝牙个人标识码确定的服务的蓝牙装置和方法 | |
| CN1719795A (zh) | 无线局域网关联设备和方法以及相应产品 | |
| CN1756234A (zh) | 服务器、vpn客户机、vpn***及软件 | |
| CN1708001A (zh) | 信息处理设备及方法 | |
| CN1829179A (zh) | 无线接入装置、无线接入方法以及无线网络 | |
| CN1758595A (zh) | 使用广播密码术对装置进行认证的方法 | |
| CN1764107A (zh) | 在建立对等安全上下文时验证移动网络节点的方法 | |
| CN1744491A (zh) | 设备认证装置、服务控制装置、服务请求装置及其方法 | |
| CN1898936A (zh) | 被连接通信终端,连接通信终端,会话管理服务器以及触发服务器 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
| WD01 | Invention patent application deemed withdrawn after publication |