專(zhuān)利名稱(chēng):在快速路由器發(fā)現(xiàn)中路由廣告認(rèn)證的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及用于支持對(duì)從接入點(diǎn)直接接收的路由廣播消息進(jìn)行認(rèn)證 的方法和移動(dòng)節(jié)點(diǎn)。
背景技術(shù):
當(dāng)移動(dòng)節(jié)點(diǎn)(MN)進(jìn)入新的接入點(diǎn)(AP)的域時(shí)��,其必須配置新的網(wǎng) 際協(xié)議(IP)地址以便通過(guò)該AP與因特網(wǎng)通信�����,該新的IP地址通常包 括網(wǎng)際協(xié)議版本6 (IPv6)地址�����。為達(dá)此目的�,MN需要從鏈接到該AP 的接入路由器(AR)接收路由廣告(RtAdv)消息,該消息包括網(wǎng)絡(luò)前 綴��,MN使用該網(wǎng)絡(luò)前綴來(lái)配置新的IP地址��。只有當(dāng)新的IP地址已經(jīng)被 完全地配置時(shí)����,MN可以開(kāi)始與因特網(wǎng)進(jìn)行分組數(shù)據(jù)通信。對(duì)IP地址的配置是長(zhǎng)久的過(guò)程����。首先,盡管AR通常以多播形式發(fā)送 周期RtAdv消息�,但是以比每三(3)秒一次的更高速率發(fā)送這樣的消 息是不^皮批準(zhǔn)的(RFC2461, 'Neighbor Discovery for IP Version 6 (IPv6)', T. Narten, E. Nordmark, W. Simpson, IETF���, December 1998 )���。 其次��,為了防止不同的移動(dòng)節(jié)點(diǎn)或其他客戶(hù)機(jī)獲得同一 IP地址和中斷 彼此的通信���,作為IP配置過(guò)程的一部分,M化必須發(fā)起重復(fù)地址檢測(cè) (DAD)程序�����。DAD程序在IP地址獲取過(guò)程中引入大約一 (1)秒的大的 時(shí)延����。由低周期的路由廣告消息以及由DAD程序引入的時(shí)延在切換期間 變得嚴(yán)重,因?yàn)樗鼈兲砑恿瞬缓闲枰牡却龝r(shí)間(latency)����。當(dāng)移動(dòng) 節(jié)點(diǎn)(MN)正在運(yùn)行時(shí)間敏感的應(yīng)用時(shí),該等待時(shí)間尤其有害��??焖俾酚善靼l(fā)現(xiàn)(FRD )提議('Fast Router Discovery with RA Caching', draft-jinchoi-dna-frd-OO. txt, JinHyeock. Choi, DongYun. Shin, IETF��, July 12, 2004 )目的在于最小化強(qiáng)制時(shí)延��,如 RFC2461所述���,其防止MN在移動(dòng)到新的鏈路之后立即從新的AR接收 RtAdv。為此目的���,快速路由器發(fā)現(xiàn)(FRD)包括在AP中高速緩存一個(gè) 或多個(gè)RtAdv消息的內(nèi)容�。當(dāng)MN進(jìn)入給定AP的域時(shí)�,其向AP發(fā)送相 關(guān)請(qǐng)求消息。因?yàn)锳P已經(jīng)高速緩存RtAdv消息的內(nèi)容����,其然后在發(fā)送 相關(guān)響應(yīng)消息到MN的同時(shí)將該內(nèi)容轉(zhuǎn)發(fā)到MN。這使得MN不需要等待周期的RtAdv便能夠開(kāi)始配置其IP地址的過(guò)程��。上述情形的主要威脅在于在惡意AP中高速緩存假的RtAdv消息�,其 允許對(duì)MN發(fā)起輕易的拒絕服務(wù)(DoS)攻擊。在快速路由器發(fā)現(xiàn)技術(shù)中�,具有允許對(duì)從接入點(diǎn)直接接收的路由廣告 消息的有效性進(jìn)行驗(yàn)證的方法和移動(dòng)節(jié)點(diǎn),是明顯有利的�����。發(fā)明內(nèi)容因此,本發(fā)明的較寬目的是提供一種方法和移動(dòng)節(jié)點(diǎn)(MN)以允許為 MN提供特定級(jí)別的信任����,即高速緩存在接入點(diǎn)(AP)中的路由廣告 (RtAdv)消息屬于合法接入路由器(AR)。本發(fā)明的笫一方面涉及在MN中認(rèn)證從AP接收到的第一廣告的方法���, 該廣告代表從AR接收的并且高速緩存在AP中的數(shù)據(jù)���。該廣告包括網(wǎng)絡(luò) 前綴,MN需要該網(wǎng)絡(luò)前綴以用于建立網(wǎng)際協(xié)議(IP)地址�����。該廣告還包 括Nonce索引和已散列Nonce值(Hashed Nonce Value)���。在從AP接 收到第一廣告后���,MN立即開(kāi)始建立IP地址的過(guò)程。與此同時(shí)�����,其向接 入路由器發(fā)送包含Nonce索引的懇請(qǐng)(solicitation)。在建立IP地 址的過(guò)程進(jìn)行中時(shí)�����,MN接收包括Nonce值的第二廣告��。MN對(duì)Nonce值 進(jìn)行散列并且將散列結(jié)果與已散列Nonce值進(jìn)行比較�。如果比較是成功 的,則MN保持IP地址���。本發(fā)明的第二方面涉及在MN中認(rèn)證從AP接收到的第 一廣告的方法, 其中當(dāng)在MN上已散列Nonce值與對(duì)Nonce值進(jìn)行散列的結(jié)果的比較不 成功時(shí)��,MN丟掉IP地址并且通過(guò)使用在第二廣告中接收的網(wǎng)絡(luò)前綴發(fā) 起建立新的IP地址�����。本發(fā)明的第三方面涉及在MN中認(rèn)證從AP接收到的第一廣告的方法�����, 其中MN和AR使用加密生成地址(CGA)密鑰來(lái)進(jìn)一步認(rèn)證廣告和懇請(qǐng)�。本發(fā)明的第四方面涉及用于認(rèn)證從AP接收到的第一廣告的MN,該廣 告代表從AR接收的并且高速緩存在AP中的數(shù)據(jù)。移動(dòng)節(jié)點(diǎn)包括接收器 用于接收廣告���、臨時(shí)存儲(chǔ)器���,用于存儲(chǔ)在廣告中接收的信息元素并且用 于存儲(chǔ)IP地址��、發(fā)射器����,用于發(fā)射懇請(qǐng)���、處理器��,用于配置IP地址并 且用于對(duì)在廣告中所接收的Nonce值進(jìn)行散列��,和判定邏輯�。處理器基 于在第一廣告中所接收的網(wǎng)絡(luò)前綴配置IP地址���。同時(shí)�,發(fā)射器發(fā)送包 括在第一廣告中所接收的Nonce索引的懇請(qǐng)�����。接收器接收包括Nonce值的第二廣告�。處理器對(duì)Nonce值進(jìn)行散列。判定邏輯將散列結(jié)果與在第 一廣告中所接收的已散列Nonce值進(jìn)行比較。如果比較是正的�,則判定 邏輯判定要保持IP地址。
為了更詳細(xì)理解本發(fā)明��、為了其進(jìn)一步目的和優(yōu)點(diǎn)��,現(xiàn)在結(jié)合附圖參 照以下描述���,其中圖1是部分移動(dòng)IPv6網(wǎng)絡(luò)的表示���;圖2a和2b示出在移動(dòng)節(jié)點(diǎn)上對(duì)從接入點(diǎn)接收的廣告進(jìn)行認(rèn)證的方法 的示意性表示;以及圖3示出根據(jù)本發(fā)明所建立的示意性移動(dòng)節(jié)點(diǎn)�����。
具體實(shí)施方式
將特別參照優(yōu)選實(shí)施例的各種示意性使用和方面對(duì)本發(fā)明的創(chuàng)新教 導(dǎo)進(jìn)行描述���。然而,應(yīng)當(dāng)理解����,該實(shí)施例僅提供本發(fā)明的創(chuàng)新教導(dǎo)的許 多有利使用的一些示例。通常���,本申請(qǐng)的說(shuō)明書(shū)中所作的陳述不是必要 地限制本發(fā)明所要求保護(hù)的各個(gè)方面�。另外, 一些陳迷可以適用于一些 創(chuàng)造性特征而不是其他的創(chuàng)造性特征��。在所迷附圖的描述中����,相同的附 圖標(biāo)記代表本發(fā)明的相同元件。本發(fā)明提供了支持快速路由器發(fā)現(xiàn)(FRD)方法的方法和移動(dòng)節(jié)點(diǎn) (MN),在該快速路由器發(fā)現(xiàn)(FRD)方法中從接入路由器(AR)發(fā)送 的周期廣告(例如周期路由廣告(RtAdv))的內(nèi)容被高速緩存在接入 點(diǎn)(AP)中�。當(dāng)MN進(jìn)入給定AP的域或覆蓋區(qū)域時(shí),其向AP發(fā)送相關(guān) 請(qǐng)求(AssReq)消息����。根據(jù)FRD方法,AP通過(guò)發(fā)送相關(guān)響應(yīng)(AssResp) 以及信息元素�����、形成之前高速緩存在AP中的RtAdv內(nèi)容來(lái)響應(yīng)于 AssReq�。由AP提供給MN的RtAdv可以作為AssResp的一部分4皮發(fā)送或 者也可以和AssResp —起^f皮發(fā)送。為了向MN提供一種手段以認(rèn)證由AP 提供的RtAdv是合法的�,根據(jù)本發(fā)明,由AR發(fā)送的并且高速緩存在AP 中的周期RtAdv包括認(rèn)證值�。認(rèn)證值優(yōu)選地由Nonce索引(Nonce Index) 和已散列Nonce值構(gòu)成;已經(jīng)在AR中生成的已散列Nonce值是通過(guò)對(duì) 4吏用Nonce索引尋址于AR表格中的Nonce值進(jìn)4亍散列得來(lái)的����。Nonce在 此被限定為只能被使用一次的數(shù)目�。 一旦其接收到RtAdv��, MN根據(jù)FRD方法發(fā)起配置IP地址的程序��。與該配置過(guò)程一起并且為了驗(yàn)證從AP接 收到的RtAdv是合法的�,MN向AR發(fā)送懇請(qǐng)。在該懇請(qǐng)中�,根據(jù)本發(fā)明, MN包含Nonce索引�。AR接收Nonce索引并且取回相應(yīng)Nonce ^f直。AR在 新的RtAdv中向MN發(fā)送Nonce值����。當(dāng)MN接收到該新的RtAdv時(shí),其對(duì) Nonce值進(jìn)行散列并且將該散列結(jié)杲與其已經(jīng)和較早的RtAdv —起接收 的已散列Nonce值進(jìn)行比較�����。如果兩個(gè)散列值是相等的�,這意味著其已 經(jīng)接收的較早的RtAdv是來(lái)自該AR的��,并且不是由AP發(fā)送的惡意信息 的結(jié)果�����。不管此時(shí)配置IP地址的過(guò)程是否完成,MN認(rèn)為由此引起的IP 地址是有效的����。在本發(fā)明的上下文中,MN可以包含移動(dòng)蜂窩電話�、個(gè)人數(shù)字助理、膝 上型計(jì)算機(jī)等等����。AP可以包括IEEE 802.11接入點(diǎn)、IEEE S02.16接入 點(diǎn)等等�。AP和AR可以被實(shí)現(xiàn)在單個(gè)裝置中或者被實(shí)現(xiàn)為由通信鏈路連 接的不同元件。為了給對(duì)本發(fā)明的優(yōu)選實(shí)施例的描述提供基礎(chǔ)�����,現(xiàn)在參考附圖�����,其中 圖1示出部分移動(dòng)IPv6 (MIPv6)網(wǎng)絡(luò)100的表示�。MIPv6網(wǎng)絡(luò)100包 括移動(dòng)節(jié)點(diǎn)(MN) 110、接入點(diǎn)(AP) 120���、 130和140以及接入路由器 (AR) 150和160����。 一個(gè)AR可以連接到一個(gè)或許多AP。那些本領(lǐng)域普通 技術(shù)人員將認(rèn)識(shí)到MIPv6網(wǎng)絡(luò)100 —般地將包括大量MN 110���。 MN 110 只通過(guò)AP 120��、 130或140通信���,^旦是由MN IIO發(fā)送的消息可以預(yù)定 到達(dá)AP120、 130或140,或者到達(dá)AR 150或160�����。 AR150和160周期 地發(fā)送RtAdv消息以佳:得4壬何MN 110能夠配置IP地址���。RtAdv消息通 過(guò)AP 120���、 130和140 4皮發(fā)送到MN 110。才艮據(jù)FRD方法���,AP120����、 130 和140能夠在它們的高速緩沖存儲(chǔ)器中保持RtAdv內(nèi)容的副本�。當(dāng)MN IOO進(jìn)入AP 120、 130或140的一些的域或覆蓋區(qū)域時(shí)��,其在 路徑180上將AssReq發(fā)送到AP 120����、 130或140所選擇的其中一個(gè)中, _清求建立會(huì)話����。如果AP 120、 130或140是有FRD能力(FRD-capable ) 的����,則其在發(fā)送到MN 110的AssResp中包括最近高速緩存的RtAdv的 內(nèi)容。該RtAdv的內(nèi)容經(jīng)由路徑180在MN 110中#:接收�,通常快于由 AR 150或160直接發(fā)送的最終的周期RtAdv����。這使得MN 110能夠立即 開(kāi)始對(duì)IP地址進(jìn)行配置以用于與AR 150或160通信。當(dāng)這太頻繁地發(fā)生�,惡意AP 170可能存在于圖1的MIPv6網(wǎng)絡(luò)100 中�����。如果MN IIO接入到惡意AP 170而不是接入到合法AP 120�����、 130或140中的一個(gè)����,其在路徑190上發(fā)送AssReq�。惡意AP170使用包括欺 騙性RtAdv信息的AssResp進(jìn)行響應(yīng)。MN 110然后基于欺騙性信息配置 無(wú)效的IP地址����。基于該會(huì)話是合法的信任�����,MN 110可以然后嘗試與無(wú) 效的IP地址建立會(huì)話���。惡意AP 170可以使用該會(huì)話通過(guò)例如向MN 110 發(fā)送病毒或者從MN IIO檢索機(jī)密信息來(lái)引起對(duì)MN IIO或?qū)ζ溆脩?hù)的損 害?����,F(xiàn)在上文已經(jīng)描迷了支持FRD方法的MIPv6網(wǎng)絡(luò)的環(huán)境���,現(xiàn)在將參照 圖2a和2b描述本發(fā)明的優(yōu)選實(shí)施例的方面,圖2a和2b示出在移動(dòng)節(jié) 點(diǎn)上對(duì)從接入點(diǎn)接收的廣告進(jìn)行認(rèn)證的方法的示意性表示���。圖2a和2b 的MN 110����、 AP 120以及AR 150都是根據(jù)本發(fā)明的教導(dǎo)被建立的�����。在步驟205���, AR 150以不超過(guò)每三(3)秒一次的速率通過(guò)AP 120周 期地發(fā)送廣告(例如路由廣告(RtAdv)消息)��。RtAdv消息被多播并且 預(yù)定到在AP 120覆蓋范圍中的所有終端�,例如用戶(hù)便攜式設(shè)備���。RtAdv 包括以AR 150的網(wǎng)絡(luò)前綴�����、Nonce索引(NI)����、已散列Nonce值(HNV )、 AR 150的地址以及可選地AR的公鑰(ARK+)形式的信息�����。在本發(fā)明的 優(yōu)選實(shí)施例中���,ARK+是加密生成地址 (CGA)密鑰���。如果在步驟205給 定MN 110已經(jīng)在AP 120的覆蓋范圍內(nèi),則其接收周期RtAdv��??蛇x地, 在步驟207, AR 150也可以以更高的速率發(fā)送另外的NI-HNV對(duì)到AP UO����。 在步驟210, AP 120在其內(nèi)部存儲(chǔ)器中高速緩存來(lái)自周期RtAdv 205以 及可選的另外NI-HNV對(duì)207的信息。在步驟215,沒(méi)有較早地接收周期RtAdv消息的另一個(gè)MN 110進(jìn)入 AP 120的覆蓋范圍或域�。為了建立會(huì)話�����,其在步驟220向AP 120發(fā)送 相關(guān)請(qǐng)求(AssReq)消息來(lái)請(qǐng)求建立連接����。在步驟225, AP 120使用相 關(guān)響應(yīng)(AssResp)進(jìn)行答復(fù)���。AssResp包括其最近已經(jīng)高速緩存的針對(duì) RtAdv的所有信息,包含給定NI-HNV對(duì)���,該給定NI-HNV對(duì)優(yōu)選地是當(dāng) 前高速緩存在AP 120中的許多NI-HNV對(duì)之一���。可替換地�,AP 120可以 在非常簡(jiǎn)短的周期內(nèi)以?xún)蓚€(gè)不同的消息順序地發(fā)送AssResp和RtAdv。 可選地���,AP 120可以代表MN 110在步驟227發(fā)送懇請(qǐng)(例如路線懇請(qǐng) (RtSol)消息)到AR 150���。如在下文所述,該RtSol消息如果在該步 驟被發(fā)送將會(huì)觸發(fā)由AR 150發(fā)送另一個(gè)RtAdv消息到MN 110���。如果AP 120 :故配置用于發(fā)送RtSol消息��,則它在步驟225中所發(fā)送的AssResp 中包含一個(gè)參數(shù)用于向MN110通知這個(gè)事實(shí)�。回到步驟225��,已經(jīng)接收了笫一 RtAdv內(nèi)容的MN 110存儲(chǔ)HNV(該HNV 是用于該會(huì)話的HNV) ����、 NI、網(wǎng)絡(luò)前綴����、AR 150的地址,以及如杲提供 ARK+的話還存儲(chǔ)ARK + �。在步驟230, MN 110使用AR 150的網(wǎng)絡(luò)前綴開(kāi) 始配置IP地址(例如IPv6地址)。因?yàn)榕渲肐P地址的過(guò)程可能包含 重復(fù)地址檢測(cè)(DAD)程序����,其一般占用多于一秒的時(shí)間,并且因?yàn)閺?AR 150直接獲得的最終周期RtAdv可能不被接收直到三秒的時(shí)延之后或 者更晚��,所以已經(jīng)在步驟230發(fā)起IP地址配置過(guò)程大大地節(jié)省了時(shí)間 并且有助于MN110快速建立時(shí)延敏感的應(yīng)用���。然而��,在這一點(diǎn)上MNllO 不具有RtAdv內(nèi)容合法性的任何證據(jù)�����。為了在IP地址配置過(guò)程進(jìn)行中認(rèn)證RtAdv內(nèi)容���,MN IIO可以在步驟 235向AR 150發(fā)送懇請(qǐng)���,例如路線懇請(qǐng)(RtSol )消息。在替換實(shí)施例 中��,如上文所描述的���,AP 120可以已經(jīng)在步驟227代表MN UO發(fā)送RtSol 消息。在任何情況下�,無(wú)論是在步驟227被AP 120還是在步驟235被 MN IIO發(fā)送的RtSol消息包括在步驟205由AR 150在周期RtAdv中提 供的NI。通過(guò)使用AR 150的地址���,RtSol消息;故優(yōu)選地以單播形式發(fā) 送�。RtSol消息可選地以MN的私鑰(MNK-)被簽名���。在本發(fā)明的優(yōu)選實(shí) 施例中��,MNK-是加密生成地址 (CGA)密鑰��。在步驟240, AR 150優(yōu)選地從內(nèi)部表格中移除NI和相應(yīng)的Nonce值����, 以便迫使將來(lái)的RUdv使用不同的NI-HNV對(duì)。在步驟245��, AR l50使 用另一個(gè)RtAdv來(lái)響應(yīng)MN 110����,該另一個(gè)RtA4v是到達(dá)MN 110的第二 RtAdv。這個(gè)第二 RtAdv也包括AR 150的網(wǎng)絡(luò)箭綴�。其還包括對(duì)應(yīng)于NI 的Nonce值。其還優(yōu)選地包括AR 15 0的ARK+��。在本發(fā)明的最佳方式中����, 笫二 RtAdv ;故單播并且通過(guò)使用AR 150的私鑰(ARK-);故簽名?��?蛇x地�,在步驟250���, MN110通過(guò)使用ARK+對(duì)第二 RtAdv的有效性進(jìn) 行第一驗(yàn)證���。如果在步驟255中所述驗(yàn)證失敗�,則在步驟280中MN 110 以多播方式發(fā)送新的RtSol消息����。然后MN 110在步驟285等待下一個(gè) 周期RtAdv。 MN UO最終將接收包括AR 150的網(wǎng)絡(luò)前綴的周期RtAdv, 并且相應(yīng)地配置新的IP地址����。如果在步驟255中所述驗(yàn)證成功,則MN 110已經(jīng)認(rèn)證了第二 RtAdv�。 在步驟260中MN 110對(duì)Nonce值進(jìn)行散列以獲得第二 HNV。在步驟265����, MN 110比較第一和第二 HNV��。如果這些相等�����,貝'j MN 110現(xiàn)在已經(jīng)認(rèn)證 了第一RtAdv�����。當(dāng)與認(rèn)證過(guò)程同時(shí)進(jìn)行的IP地址配置過(guò)程完成時(shí),其可以在步驟270開(kāi)始使用IP地址用于立即地或者其后不久地發(fā)送和接收 數(shù)據(jù)分組��。然而如果在步驟265中第一和第二HP的值不相等�,則MN 110 還沒(méi)有認(rèn)證第一 RtAdv。其在步驟290丟掉之前為第一 RtAdv存儲(chǔ)的所 有內(nèi)容�。在步驟295,其通過(guò)使用從AR150接收的第二RtAdv中的網(wǎng)絡(luò) 前綴來(lái)開(kāi)始配置新的IP地址�。在步驟295的過(guò)程的結(jié)束時(shí),MN110將能 夠使用新的IP地址用于發(fā)送和接收數(shù)據(jù)分組����。那些本領(lǐng)域的技術(shù)人員將從以上描述容易地看出,本發(fā)明的方法為MN IIO提供了以相比單獨(dú)FRD方法更安全的方式�����、相比在傳統(tǒng)MIPv6網(wǎng)絡(luò) 中更快地獲得有效IP地址的手段?��,F(xiàn)在將參考圖3描述前面描述中所使用的移動(dòng)節(jié)點(diǎn)的示意性構(gòu)造���,圖 3示出示意性MN 110。該MN IIO包括發(fā)射器(TX) 310����、接收器(RX) 320���、處理器330、分組數(shù)據(jù)處理機(jī)(handler ) 340�、永久性存儲(chǔ)器350、 臨時(shí)存儲(chǔ)器360和判定邏輯370�����。 MN IIO還可以包括更多元件�����,例如本 領(lǐng)域公知的顯示器�、天線、鍵區(qū)�、電池等。永久性存儲(chǔ)器350存儲(chǔ)移動(dòng)節(jié)點(diǎn)的公鑰(MM+)和移動(dòng)節(jié)點(diǎn)的私鑰 (MNK-)���。如本領(lǐng)域所公知的,永久性存儲(chǔ)器350還存儲(chǔ)例如MN 110 的永久身份的其他數(shù)椐��。TX 310直接地向接入點(diǎn)����、并且通過(guò)接入點(diǎn)向接入路由器發(fā)送消息�。這 些消息包括AssReq��、 RtSol以及分組數(shù)據(jù)��。具體地����,由TX 310發(fā)送的 RtSol消息可以是發(fā)送到具體地址的單播RtSol消息或多播RtSol消息。RX 32 0接收直接來(lái)自接入點(diǎn)以及通過(guò)接入點(diǎn)來(lái)自接入路由器的消息�。 這些消息包括AssResp、 RtAdv以及分組數(shù)據(jù)�����。具體地����,由RX 320接收 的RtAdv可以是單播RtAdv消息或多播周期RtAdv。臨時(shí)存儲(chǔ)器360存儲(chǔ)與正在進(jìn)行的與AP和AR的會(huì)話相關(guān)的信息��。這 樣的信息包括NI����、第一HNV�����、 Nonce值��、網(wǎng)絡(luò)前綴���、AR地址、ARK+����、 IP 地址和進(jìn)行會(huì)話所需的其他數(shù)據(jù)。永久性存儲(chǔ)器350可以根據(jù)來(lái)自判定 邏輯370或處理器330的請(qǐng)求使用其他相似的信息來(lái)重寫(xiě)信息�。處理器330通過(guò)使用網(wǎng)絡(luò)前綴來(lái)執(zhí)行建立IP地址(例如IPv6地址) 的過(guò)程,以用于與AP和AR的會(huì)話��。建立IP地址的過(guò)程優(yōu)選地包括DAD 程序����。處理器330可以執(zhí)行IP建立過(guò)程次數(shù)與在同一會(huì)話中判定370 所要求的次數(shù)相同。當(dāng)處理器330由于RX 320接收到AssResp執(zhí)行IP 建立過(guò)程時(shí)���,其優(yōu)選地同時(shí)發(fā)起該IP建立過(guò)程以及用于認(rèn)證第一廣告的過(guò)程。處理器330還具有散列能力用于對(duì)Nonce值進(jìn)行散列,并且用 于將作為該Nonce值的散列結(jié)果的第二 HNV提供給判定邏輯370�����。處理 器330還具有驗(yàn)證能力����,用于利用ARK+驗(yàn)證RtAdv消息的簽名,和簽名 能力�����,用于利用MNK-對(duì)RtSol消息進(jìn)行簽名�。驗(yàn)證和簽名能力優(yōu)選地是 CGA類(lèi)型。判定邏輯370基于由RX 320接收的在AssResp中的信息來(lái)判定是否 應(yīng)當(dāng)由TX 310發(fā)送懇請(qǐng)�。可替換地���,可以不在判定邏輯370中實(shí)現(xiàn)該 特征并且總是由TX 310發(fā)送懇請(qǐng)�����。判定邏輯370將從RtAdv消息中獲 取的第一HNV與從處理器330獲取的第二 HNV進(jìn)行比較����。判定邏輯3"70 基于該比較來(lái)判定第一廣告是否被認(rèn)證,因此判定是保持IP地址��,還 是釋放IP地址并且命令處理器330來(lái)建立新的IP地址�����。判定邏輯370 還能基于對(duì)RtAdv消息的成功的或失敗的簽名驗(yàn)證來(lái)判定保持或釋放 IP地址�����。當(dāng)判定邏輯370已經(jīng)判定要保持IP地址時(shí)�����,分組數(shù)據(jù)處理機(jī)340從 RX 320接收分組數(shù)椐并且將其轉(zhuǎn)發(fā)到MN 110中的應(yīng)用����。分組數(shù)據(jù)處理 機(jī)340然后還從應(yīng)用接收分組數(shù)據(jù)并且將其轉(zhuǎn)發(fā)到TX 310。盡管已經(jīng)在附圖中示出了�、在前面的詳細(xì)描迷中描述了本發(fā)明的方法 和移動(dòng)節(jié)點(diǎn)的優(yōu)選實(shí)施例的一些方面,應(yīng)當(dāng)理解�����,本發(fā)明不限于所公布 的實(shí)施例��,而是在不背離由所附的權(quán)利要求限定和陳述的本發(fā)明的精神 的前提下,能夠有許多重新排列���、修改和代替。
權(quán)利要求
1.一種在移動(dòng)節(jié)點(diǎn)中認(rèn)證從接入點(diǎn)接收的第一廣告的方法�,該方法包括以下步驟在所述移動(dòng)節(jié)點(diǎn)從所述接入點(diǎn)接收所述第一廣告,所述第一廣告包括第一網(wǎng)絡(luò)前綴�����、Nonce索引和第一已散列Nonce值��;在所述移動(dòng)節(jié)點(diǎn)通過(guò)使用所述第一網(wǎng)絡(luò)前綴配置第一IP地址�,并且同時(shí)通過(guò)如下步驟認(rèn)證所述第一廣告在所述移動(dòng)節(jié)點(diǎn)從接入路由器接收第二廣告,所述第二廣告包括對(duì)應(yīng)于所述Nonce索引的Nonce值和第二網(wǎng)絡(luò)前綴�����;在所述移動(dòng)節(jié)點(diǎn)對(duì)所述Nonce值進(jìn)行散列來(lái)計(jì)算第二已散列Nonce值�����;以及在所述移動(dòng)節(jié)點(diǎn)比較所述第一已散列Nonce值和所述第二已散列Nonce值�;以及如果所述第一已散列Nonce值等于所述第二已散列Nonce值,在所述移動(dòng)節(jié)點(diǎn)保持所述第一IP地址��。
2. 如權(quán)利要求l所述的方法,還包括以下步驟 如杲所述第一已散列Nonce值不等于所述第二已散列Nonce值�,則在所述移動(dòng)節(jié)點(diǎn)丟掉所述第一廣告的內(nèi)容;以及在所述移動(dòng)節(jié)點(diǎn)通過(guò)使用包含在所述第二廣告中的第二網(wǎng)絡(luò)前綴來(lái) 配置第二IP地址�����。
3. 如權(quán)利要求l所述的方法�,其中所述第一廣告和第二廣告的至少一個(gè)還包括所迷接入路由器的公鑰。
4. 如權(quán)利要求3所述的方法�����,還包括以下步驟 在所述移動(dòng)節(jié)點(diǎn)通過(guò)使用所述接入路由器的公鑰來(lái)驗(yàn)證所述第二廣告�����;以及如果對(duì)所述第二廣告的驗(yàn)證失敗從所述移動(dòng)節(jié)點(diǎn)向所述接入路由器發(fā)送懇請(qǐng)�����;以及 在所述移動(dòng)節(jié)點(diǎn)等待周期廣告����。
5. 如權(quán)利要求l所述的方法,其中所述第二廣告是單播��。
6. 如權(quán)利要求l所述的方法,還包括以下步驟 在所迷移動(dòng)節(jié)點(diǎn)接收周期廣告��。
7. 如權(quán)利要求l所述的方法�����,其中認(rèn)證所述第一廣告還包括以下步驟���,響應(yīng)于在所述移動(dòng)節(jié)點(diǎn)接收到所述第一廣告,從所述移動(dòng)節(jié)點(diǎn)向所述接入路由器發(fā)送包括所述Nonce索引的懇請(qǐng)���。
8. 如權(quán)利要求7所迷的方法�,其中 所述懇請(qǐng)使用所述移動(dòng)節(jié)點(diǎn)的私鑰被簽名�����。
9. 如權(quán)利要求l所述的方法�����,其中在由所述接入點(diǎn)發(fā)送相關(guān)響應(yīng)的同時(shí)發(fā)送所述第 一廣告�����。
10. 如權(quán)利要求9所述的方法,其中響應(yīng)于由所述移動(dòng)節(jié)點(diǎn)向所述接入點(diǎn)發(fā)送的相關(guān)請(qǐng)求���,所述相關(guān)響應(yīng) 被發(fā)送�。
11. 如權(quán)利要求l所述的方法��,還包括以下步驟 在所述移動(dòng)節(jié)點(diǎn)上保持所述第一 IP地址的步驟之后�,在所述移動(dòng)節(jié)點(diǎn)開(kāi)始進(jìn)行數(shù)據(jù)分組交換。
12. 如權(quán)利要求l所述的方法��,其中在所述移動(dòng)節(jié)點(diǎn)通過(guò)使用第一網(wǎng)絡(luò)前綴配置第一 IP地址包括重復(fù)地 址檢測(cè)程序�。
13. —種移動(dòng)節(jié)點(diǎn),包括接收器�����,用于接收第一廣告和第二廣告����;臨時(shí)存儲(chǔ)器,用于存儲(chǔ)在所述第一廣告中接收的網(wǎng)絡(luò)前綴�����、Nonce索 引和已散列Nonce值,用于存儲(chǔ)在所述第二廣告中接收的Nonce值���,并且用于存儲(chǔ)第一 IP地址��,處理器����,用于基于所述網(wǎng)絡(luò)前綴配置所述第一 IP地址�,并且用于對(duì) 所述Nonce值進(jìn)行散列,其中在發(fā)起所述配置的同時(shí)認(rèn)證所述第 一廣告���; 以及判定邏輯,用于通過(guò)將散列結(jié)果和所述已散列Nonce值進(jìn)行比較來(lái)認(rèn) 證所述第一廣告以及用于基于所述比較的結(jié)果來(lái)判定保持所述第一IP 地址��。
14. 如權(quán)利要求13所述的移動(dòng)節(jié)點(diǎn)�,其中所述判定邏輯還用于如果所述比較結(jié)果為負(fù)時(shí)釋放所述第一 IP地址; 所述處理器還用于如杲所述判定邏輯釋放所述第一 IP地址時(shí)基于所 述第二廣告配置第二 IP地址����;以及所述臨時(shí)存儲(chǔ)器還用于使用所述第二 IP地址重寫(xiě)所述第一 IP地址。
15. 如權(quán)利要求13所迷的移動(dòng)節(jié)點(diǎn)�,其中所述臨時(shí)存儲(chǔ)器還用于存儲(chǔ)在所述第一廣告或所迷第二廣告的其中 一個(gè)中所接收的接入路由器的公鑰;所述處理器還用于通過(guò)使用所述接入路由器的公鑰來(lái)驗(yàn)證所述第二 廣告的簽名�����;以及所述判定邏輯還用于基于所述驗(yàn)證的結(jié)果來(lái)判定保持所述第一 IP地 址。
16. 如權(quán)利要求15所述的移動(dòng)節(jié)點(diǎn)��,其中所述判定邏輯還用于如果所述驗(yàn)證結(jié)果為負(fù)時(shí)釋放所述第一 IP地址����; 以及所述移動(dòng)節(jié)點(diǎn)還包括發(fā)射器,用于當(dāng)所述判定邏輯判定所述驗(yàn)證結(jié)果 為負(fù)時(shí)發(fā)送懇請(qǐng)�。
17. 如權(quán)利要求13所述的移動(dòng)節(jié)點(diǎn),還包括 永久性存儲(chǔ)器��,用于存儲(chǔ)所述移動(dòng)節(jié)點(diǎn)的私鑰����。
18. 如權(quán)利要求17所述的移動(dòng)節(jié)點(diǎn),其中 所述處理器還用于使用所述移動(dòng)節(jié)點(diǎn)的私鑰簽名所述懇請(qǐng)�。
19. 如權(quán)利要求13所述的移動(dòng)節(jié)點(diǎn),還包括 發(fā)射器�����,用于發(fā)送包括所述Nonce索引的懇請(qǐng)��。
20. 如權(quán)利要求19所述的移動(dòng)節(jié)點(diǎn)���,還包括分組數(shù)據(jù)處理機(jī)�,用于當(dāng)所述判定邏輯判定保持所述第一 IP地址時(shí) 處理對(duì)分組數(shù)據(jù)的發(fā)送和接收。
21. 如權(quán)利要求20所述的移動(dòng)節(jié)點(diǎn)�,其中 所述發(fā)射器還用于發(fā)送分組數(shù)據(jù);以及 所述接收器還用于接收分組數(shù)據(jù)���。
22. 如權(quán)利要求13所述的移動(dòng)節(jié)點(diǎn)���,其中所迷處理器還用于使用重復(fù)地址檢測(cè)程序作為配置所述第一 IP地址 的一部分。
23. 如權(quán)利要求13所述的移動(dòng)節(jié)點(diǎn)���,其中 所述接收器還用于接收單播廣告和周期廣告���;以及 所述第二廣告是單播廣告。
全文摘要
提供一種方法和移動(dòng)節(jié)點(diǎn)�,以用于對(duì)通過(guò)接入點(diǎn)從接入路由器所接收的廣告消息進(jìn)行認(rèn)證�����。該廣告消息包括保持在接入路由器中的已散列Nonce值和對(duì)應(yīng)于Nonce值的Nonce索引���。當(dāng)接收到來(lái)自接入點(diǎn)的廣告消息時(shí)����,移動(dòng)節(jié)點(diǎn)通過(guò)使用在該廣告中所接收的信息來(lái)發(fā)起配置IP地址的過(guò)程,用于與接入點(diǎn)和接入路由器的會(huì)話�。與此同時(shí),接入點(diǎn)或移動(dòng)節(jié)點(diǎn)向接入路由器直接地發(fā)送Nonce索引��。接入路由器使用發(fā)送到移動(dòng)節(jié)點(diǎn)的Nonce值進(jìn)行答復(fù)����。移動(dòng)節(jié)點(diǎn)對(duì)從接入路由器接收的Nonce值進(jìn)行散列并且將散列結(jié)果與已散列Nonce值進(jìn)行比較。如果結(jié)果與已散列Nonce值匹配�,則認(rèn)為廣告是被認(rèn)證的并且根據(jù)該廣告配置的IP地址被保持在移動(dòng)節(jié)點(diǎn)中。
文檔編號(hào)H04L29/06GK101243672SQ200680029949
公開(kāi)日2008年8月13日 申請(qǐng)日期2006年8月1日 優(yōu)先權(quán)日2005年8月15日
發(fā)明者S·克里什南, W·哈達(dá) 申請(qǐng)人:艾利森電話股份有限公司