用于保护主机配置消息的方法技术
【技术实现步骤摘要】
【国外来华专利技术】用于保护主机配置消息的方法
本专利技术的一些实施例一般性地涉及通信技术,并且更特别地涉及在无线环境中保护主机配置消息。
技术介绍
主机(诸如移动终端)可以被配置为经由互联网协议(IP)版本6(v6)路由器通告(RA)或动态主机配置协议(DHCP)v6消息来接收地址配置信息,然而主机(诸如移动终端)可能不能够验证RA或DHCP消息的合法性。对验证该消息的合法性的这种无能力可能导致攻击,诸如流氓RA攻击。另外,在其中流氓DHCP服务器被使用的实例中,移动终端很可能将不能够确定DHCP服务器是否是为该网络指配IP地址的合法服务器。对验证所指配的IP地址的合法性的无能力可能允许攻击者以他们看来合适的方式错误地配置移动终端,例如,攻击者可能促使移动终端使用错误的源地址或者可能引导被错误配置的路由器/服务器向未检测的移动终端指配不正确的IP地址。在效果上,攻击者可以安排拒绝服务(denial-of-service)攻击和/或用于中间人(man-in-the-middle)攻击的设置主机的两者。备选地或另外地,当路由器或服务器发送RA/DHCP_供应消息(RA/DHCP_offermessage)而这些RA/DHCP_供应消息泄漏到它们本不应该到的网络段中时,移动终端IP地址错误配置还可能在该路由器或DHCP服务器错误配置的情况中发生。另外,服务集标识符(SSID)可信度也是一个问题。例如,对于攻击者而言越来越流行建立起具有如“Sprint”或“ATT”的名称的SSID,并且作为响应,用户可能加入这样的网络,认为它们是受信任的供应商和无线服务。
技术实现思路
因此根据一个示...
【技术保护点】
一种用于无线通信的方法,包括:促使至少一个可用网络被检测;针对所述至少一个所检测的可用网络,确定完全限定域名(FQDN);促使从与所确定的FQDN相对应的注册表下载注册表条目,其中所述注册表条目包括针对至少一个网络实体的至少一个证书;促使与所述至少一个所检测的可用网络的连接;以及验证从所连接的网络所接收的配置信息,其中验证包括确定所接收的配置信息是否用数字证书来签名,所述数字证书与所下载的注册表条目中的所述至少一个证书相对应,其中所述注册表条目从受信任网络注册表被下载,所述受信任网络不同于所检测的可用网络,并且其中所述配置信息从所述至少一个网络实体被接收。
【技术特征摘要】
【国外来华专利技术】1.一种用于无线通信的方法,包括:促使至少一个可用网络被检测;针对所述至少一个所检测的可用网络,确定完全限定域名(FQDN);促使从与所确定的FQDN相对应的注册表下载注册表条目,其中所述注册表条目包括针对至少一个网络实体的至少一个证书;促使与所述至少一个所检测的可用网络的连接;以及验证从所连接的网络所接收的配置信息,其中验证包括确定所接收的配置信息是否用数字证书来签名,所述数字证书与所下载的注册表条目中的所述至少一个证书相对应,其中所述注册表条目从受信任网络注册表被下载,所述受信任网络不同于所检测的可用网络,并且其中所述配置信息从所述至少一个网络实体被接收。2.根据权利要求1所述的方法,其中所述至少一个网络实体包括针对服务提供商的路由器、动态主机配置协议(DHCP)服务器或域名系统(DNS)服务器中的至少一个。3.根据权利要求1所述的方法,进一步包括:接收包括来自路由器、DHCP服务器或DNS服务器中至少一项的签名的消息,其中所述签名进一步包括属于移动终端的标识或随机数中的至少一项。4.根据权利要求1所述的方法,进一步包括:接收包括来自路由器、DHCP服务器或DNS服务器中至少一项的签名的消息,其中所述消息进一步包括被用来签名所述消息的公共密钥的哈希,以依据签名所述消息的服务提供商记录来确定网络实体。5.根据权利要求1所述的方法,进一步包括:接收路由器通告、DHCP或DHCPv6消息,以及确定所接收的路由器通告、DHCP或DHCPv6消息是否来自经验证的合法网络实体,并且在所接收的消息包含网络单元的有效签名的实例中促使与经验证的接入网络的连接,所述网络单元被授权给与所述接入网络相关联的至少一个移动终端的IP供应。6.根据权利要求1所述的方法,其中在网络实体在所述注册表中具有对应的证书、或者网络实体具有由在所述注册表中具有对应的证书的实体所发出的证书的实例中,所述网络实体被授权。7.根据权利要求1所述的方法,其中IPv6头部选项被定义为通过所指配的IP地址以及属于客户端的标识或随机数而在路由器通告中携带签名。8.根据权利要求4所述的方法,其中所述签名包括至少一个字段,其中所述字段中的一个字段包括生成所述数字签名的实体的FQDN。9.根据权利要求1所述的方法,其中路由器请求包含由所述路由器通告所签名的字段中的链路层地址选项或随机数选项中的至少一个。10.根据权利要求1所述的方法,其中DHCPv6消息包含被配置为携带哈希和签名的认证选项。11.根据权利要求1至10中任一项所述的方法,进一步包括:在签名被验证并且存在以下各项之一的实例中接受IP地址配置信息:所述网络实体在所述注册表中具有对应的证书或者所述网络实体具有由在所述注册表中具有对应的证书的实体所发出的证书。12.一种用于无线通信的装置,包括:处理器,以及包括软件的存储器,所述存储器与所述软件被配置为与所述处理器一起促使所述装置至少:促使至少一个可用网络被检测;针对所述至少一个所检测的可用网络,确定完全限定域名(FQDN);促使从与所确定的FQDN相对应的注册表下载注册表条目,其中所述注册表条目包括针对至少一个网络实体的至少一个证书;促使与所述至少一个所检测的可用网络的连接;以及验证从所连接的网络所接收的配置信息,其中验证包括确定所接收的配置信息是否用数字证书来签名,所述数字证书与所下载的注册表条目中的所述至少一个证书相对应,其中所述注册表条目从受信任网络注册表被下载,所述受信任网络不同于所检测的可用网络,并且其中所述配置信息从所述至少一个网络实体被接收。13.根据权利要求12所述的装置,其中所述至少一个网络实体包括针对服务提供商的路由器、动态主机配置协议(DHCP)服务器或域名系统(DNS)服务器中的至少一个。14.根据权利要求12所述的装置,其中包括计算机程序代码的所述至少一个存储器进一步被配置为与所述至少一个处理器一起促使所述装置:接收包括来自路由器、DHCP服务器或DNS服务器中至少一项的签名的消息,其中所述签名进一步包括属于移动终端的标识或随机数中的至少一项。15.根据权利要求12所述的装置,其中包括计算机程序代码的所述至少一个存储器进一步被配置为与所述至少一个处理器一起促使所述装置:接收包括来自路由器、DHCP服务器或DNS服务器中至少一项的签名的消息,其中所述消息进一步包括被用来签名所述消息的公共密钥的哈希,以依据签名所述消息的服务提供商记录来确定网络实体。16.根据权利要求12所述的装置,其中包括计算机程序代码的所述至少一个存储器进一步被配置为与所述至少一个处理器一起促使所述装置:接收路由器通告、DHCP或DHCPv6消息,并且确定所接收的路由器通告、DHCP或DHCPv6消息是否来自经验证的合法网络实体,并且在所接收的消息包含网络单元的有效签名的实例中促使与经验证的接入网络的连接,所述网络单元被授权给与所述接入网络相关联的至少一个移动终端的IP供应。17.根据权利要求12所述的装置,其中在网络实体在所述注册表中具有对应的证书、或者网络实体具有由在所述注册表中具有对应的证书的实体所发出的证书的实例中,所述网络实体被授权。18.根据权利要求12所述的装置,其中IPv6头部选项被定义为通过所指配的IP地址以及属于客户端的标识或随机数而在路由器通告中携带签名。19.根据权利要求18所述的装置,其中签名包括至少一个字段,其中所述字段中的一个字段包括生成所述数字签名的实体的FQDN。20.根据权利要求12所述的装置,其中路由器请求包含由所述路由器通告所签名的字段中的链路层地址选项或随机数选项。21.根据权利要求12所述的装置,其中DHCPv6消息包含被配置为携带哈希和签名的认证选项。22.根据权利要求12至21中任一项所述的装置,其中包括计算机程序代码的所述至少一个存储器进一步被配置为与所述至少一个处理器一起促使所述装置:在签名被验证并且存在以下各项之一的实例中接受IP地址配置信息:所述网络实体在所述注册表中具有对应的证书或者所述网络实体具有由在所述注册表中具有对应的证书的实体所发出的证书。23.一种计算机可读存储器介质,具有存储在其上的程序代码,所述程序代码...
【专利技术属性】
技术研发人员:T·萨沃莱南,B·加伯尔,
申请(专利权)人:诺基亚技术有限公司,
类型:发明
国别省市:芬兰,FI
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。