一种在通信系统中处理与移动性相关的信令的方法,所述通信系统包括移动节点、移动路由器和对等节点。所述方法包括向移动路由器提供由移动节点或代表移动节点而加密签署的委托证书。在移动路由器处,代表移动节点发起与对等节点的与移动性相关的信令交换,所述移动路由器在该交换内向对等节点提供所述委托证书或证书的标识以及与证书相关联的序号。在对等节点处,将所接收的序号与对等节点针对委托证书所保存的序号进行比较,并且根据比较结果对交换进行授权。
【技术实现步骤摘要】
【国外来华专利技术】专利
本专利技术涉及基于委托(delegation)的移动性管理,并且尤其(虽然并非必需)涉及在主机标识协议(Host Identity Protocol)寻址机制背景下的这种管理。专利技术背景用户和终端移动性是当前和未来一代的蜂窝网络成功的关键所在。虽然与传统电路交换呼叫相关联的移动性问题基本上已得到解决,但是在提供基于IP的数据服务方面还存在难题。已经针对IP提出了多种移动性解决方案。这些解决方案包括移动IP,其中移动节点在其归属网络内被分配以永久的IP地址,并且当所述移动节点在漫游时向归属网络登记转交地址(care-of-address)。针对IP移动性问题的另一种解决方案是将标识和定位功能彼此分离,并且这是在主机标识协议(HIP)提案(R.Moskowitz,P.Nikander,P.Jokela,“Host Identity Protocol”,Internet Draft,在编,drft-ietf-hip-base-05,IETF,2006)中采用的方法。HIP通过引入新的命名空间-主机标识(HI)而将IP地址的位置与标识角色分离。在HIP中,主机标识基本上是公私密钥对的公共加密密钥,并且是根据私钥而生成的并且被联接到(link to)私钥。公钥标识持有私钥的唯一拷贝的一方。处理密钥对的私钥的主机能够直接证明其“拥有”用于在网络中对其进行识别的公钥。HIP主机标识(HI)作为公钥可以非常长并且由此并非在所有情况下都是切合实际的。在HIP中,HI可以用通过对HI进行哈希(hash)所生成的128位长的主机标识标签(HIT)来表示。因此,HIT对HI进行标识。由于HIT是128位长,与IPv6地址的长度完全相同,因此其能够直接被用于IPv6应用。当使用HIP时,包括应用的上层不再看到IP地址。作为代替,它们看到作为目的地主机的“地址”的HI(或HIT)。IP地址不再标识节点,它们仅用于在网络中路由分组。应用所使用的HI(或HIT)必须在-->任意分组离开主机之前被映射到相应的IP地址。这在新的主机标识层中实现。附图的图1图示了HIP中的各个层,包括标准传输层4、网络层8和链路层10,其下具有与传输层4通信的过程2。利用HIP,新的主机标识层6被设置在传输层4和网络层8之间。附图的图2图示了HIP的四路握手基础协议的操作。进行协商的各方被称作开启连接的发起方以及响应方。发起方通过发送I1分组来开始协商,所述I1分组包含参与协商的节点的HIT。如果响应方的HIT不为发起方所知,则也可以将目的地HIT归零。当响应方得到I1分组时,其发送回R1分组,所述R1分组包含要由发起方求解的问题(puzzle)。所述协议被设计成使得发起方必须在问题求解期间进行大部分计算,并且需要访问对应于HI的私钥。这提供了抵抗DoS攻击的一些保护。R1还发起迪菲-赫尔曼(Diffie-Hellman)过程,该过程包含响应方的公钥以及迪菲-赫尔曼参数。一旦接收到R1参数,发起方就求解所述问题并且在I2分组中向响应方发送响应cookie以及IPsec SPI值及其加密公钥。响应方验证已被求解的问题,鉴别发起方并且创建IPsec ESP SA。最终的R2消息包含响应方的SPI值。作为HIP基本交换的结果而建立的SA被附于由HIT所表示的主机标识。然而,在网络中传播的分组不包含实际的HI或HIT信息。更确切地,使用IPsec首部中的安全参数索引(SPI)值对到达分组进行识别并将其映射到正确的SA。根据上文能够明确的是,改变分组中的位置信息并不会为IPsec处理带来任何问题。仍然使用SPI来正确地标识分组。如果出于某种原因,分组被路由到错误的目的地,则接收方由于没有正确的密钥而无法打开所述分组。当外出的分组从上部的层到达HI层时,根据IPsec SADB来验证目的地HI或HIT。如果找到与目的地HI或HIT相匹配的SA,则使用与SA相关联的会话密钥对分组进行加密。HI或HIT被映射到正确的目的地IP地址。在接收主机处,SPI值被用来从IPsec SADB寻找正确的SA。如果找到一个条目(entry),则能够将IP地址改变为相应的HIT并且能够使用会话密钥对分组进行解密。在网络中移动的HIP移动节点(HMN)可以相对频繁地改变到因特网的附着点。当连接点被改变时,IP地址也会随之改变。该改变的位置-->信息必须发送到对等节点,即HIP对端节点(correspondent node)(HCN)。相同的地址还能够被发送到HMN的集合点服务器(Rendezvous ServerRVS),以使得还能够经由更为稳定的点到达HMN。HIP移动性和多归属协议(P.Nikander,J.Arkko,P.Jokela,T.Henderson,“End-HostMobility and Multihoming with Host Identity Protocol”,Internet Draft,在编,drft-ietf-hip-mm-03,IETF,2006)定义了携带定位器参数的更新(UPDATE)分组,所述定位器参数包含HMN当前的IP地址。当HMN改变位置和IP地址时,它产生更新分组,利用与所使用的HI相匹配的私钥对分组进行签署(sign),并且将分组发送到HCN和RVS。当HCN接收到更新分组时,它必须启动针对所述更新分组中所包括的IP地址的地址验证过程。需要地址验证来避免从HMN接收到错误更新。其将更新确认(UPDATE-ACK)分组发送到处于更新分组中的地址。当HMN接收到与较早发送的更新相匹配的更新确认时,其可开始使用新的IP地址来向HCN发送数据。在HCN从新地址接收到第一个数据分组之后,所述地址验证完成并且它能够将所述IP地址添加为HMN的位置信息。出于密钥更新(rekeying)的原因,还使用HIP更新交换。密钥更新独立于位置更新,原因在于移动主机可以在不产生新的IPsec安全关联的情况下更新其位置。HIP的更新消息在所签署的内容内包含HIP序号。序号的同步由HMN和HCN在相应的HIP层进行保持(针对每个端对端的HIP会话保存序号)。每当HMN发送更新消息时,序号就会增加。如果更新消息不包含预期的序号,例如如果序号已经被使用,则HCN将会拒绝更新消息。以这种方式使用序号可以保护对等节点免于所谓的重放(replay)攻击(并导致拒绝服务)。HIP可以被用来对附本文档来自技高网...
【技术保护点】
一种在通信系统中处理与移动性相关的信令的方法,所述通信系统包括移动节点、移动路由器和对等节点,所述方法包括: 向移动路由器提供由移动节点或代表移动节点而加密签署的委托证书; 在移动路由器处,代表移动节点发起与对等节点的与移动性相 关的信令交换,移动路由器在该交换内向对等节点提供所述委托证书或证书的标识以及与证书相关联的序号;和 在对等节点处,将所接收的序号与对等节点针对委托证书所保存的序号进行比较,并且根据比较结果对交换进行授权。
【技术特征摘要】
【国外来华专利技术】1.一种在通信系统中处理与移动性相关的信令的方法,所述通信系
统包括移动节点、移动路由器和对等节点,所述方法包括:
向移动路由器提供由移动节点或代表移动节点而加密签署的委托证
书;
在移动路由器处,代表移动节点发起与对等节点的与移动性相关的信
令交换,移动路由器在该交换内向对等节点提供所述委托证书或证书的标
识以及与证书相关联的序号;和
在对等节点处,将所接收的序号与对等节点针对委托证书所保存的序
号进行比较,并且根据比较结果对交换进行授权。
2.如权利要求1所述的方法,其中所述与移动性相关的信令是主机
标识协议信令。
3.如权利要求2所述的方法,其中所述与移动性相关的信令交换是
更新交换,其中所述证书或标识以及序号在更新分组中从移动路由器传递
到对等节点。
4.如之前任一项权利要求所述的方法,所述通信系统包括两个或更
多代表移动节点而动作的链接的移动路由器,用于发起与对等节点的与移
动性相关的信令交换的移动路由器是链中任意一个移动路由器。
5.如之前任一项权利要求所述的方法,其中所述移动路由器在所述
交换内向对等节点提供委托证书的哈希以及指向证书位置的指针,对等节
点保存先前所接收的证书的库,将所接收的哈希与所存储的证书的哈希进
行比较以确定先前是否已经接收到证书,在尚未接收到证书的情况下,从
所标识的位置下载证书。
6.如之前任一项权利要求所述的方法,所述通信系统包括因特网。
7.如权利要求6所述的方法,所述移动路由器实施网络地址转换功
【专利技术属性】
技术研发人员:J伊利塔洛,J梅伦,PM萨尔梅拉,
申请(专利权)人:艾利森电话股份有限公司,
类型:发明
国别省市:SE[瑞典]
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。