專(zhuān)利名稱(chēng)：保護(hù)移動(dòng)ip路由優(yōu)化信令的方法、系統(tǒng)、節(jié)點(diǎn)和家鄉(xiāng)代理的制作方法
技術(shù)領(lǐng)域：
本發(fā)明涉及網(wǎng)絡(luò)通信領(lǐng)域，特別涉及一種保護(hù)移動(dòng)IP路由優(yōu)化信令的方法、系統(tǒng)、節(jié)點(diǎn) 和家鄉(xiāng)代理。
背景技術(shù)：
移動(dòng)IPv6系統(tǒng)中涉及三種基本的網(wǎng)絡(luò)實(shí)體移動(dòng)節(jié)點(diǎn)(Mobile Node， MN)、通信節(jié) 點(diǎn)(CorrespondentNode， CN)以及家鄉(xiāng)代理(HomeAgent, HA) 。 MN漫游到外地網(wǎng)絡(luò)時(shí)， 會(huì)通過(guò)一定方式生成轉(zhuǎn)交地址，并通過(guò)綁定更新(BindingUpdate, BU)消息將轉(zhuǎn)交地址通 知家鄉(xiāng)代理。當(dāng)CN向離開(kāi)家鄉(xiāng)的MN發(fā)送報(bào)文時(shí)，家鄉(xiāng)代理會(huì)截獲發(fā)送到移動(dòng)節(jié)點(diǎn)家鄉(xiāng)網(wǎng)絡(luò) 和移動(dòng)節(jié)點(diǎn)的報(bào)文，再將報(bào)文通過(guò)隧道模式轉(zhuǎn)發(fā)給移動(dòng)節(jié)點(diǎn)；當(dāng)MN向CN發(fā)送報(bào)文時(shí)，報(bào)文 通過(guò)隧道模式發(fā)送到家鄉(xiāng)代理，家鄉(xiāng)代理對(duì)報(bào)文進(jìn)行解封裝后轉(zhuǎn)發(fā)給CN。以上通信模式稱(chēng)為 雙向隧道通信模式。
如果將MN當(dāng)前的轉(zhuǎn)交地址通知CN， MN和CN移動(dòng)節(jié)點(diǎn)之間的通信可以不必經(jīng)過(guò)其家鄉(xiāng) 代理中轉(zhuǎn)，這種MN和CN之間直接通信的方法稱(chēng)為路由優(yōu)化模式。為了使MN和CN之間直接 進(jìn)行通信，MN需要將其轉(zhuǎn)交地址通過(guò)BU消息通知CN。但如果不對(duì)BU消息進(jìn)行保護(hù)，可以 通過(guò)偽造的BU消息，使得MN和CN間的通信受到攻擊。

發(fā)明內(nèi)容
為了使移動(dòng)節(jié)點(diǎn)和家鄉(xiāng)代理之間的通信安全得到保證，本發(fā)明實(shí)施例提供了一種保護(hù)移
動(dòng)IP路由優(yōu)化信令的方法、系統(tǒng)、節(jié)點(diǎn)和家鄉(xiāng)代理。所述技術(shù)方案如下 一種保護(hù)移動(dòng)IP路由優(yōu)化信令的方法，所述方法包括
家鄉(xiāng)代理對(duì)家鄉(xiāng)秘密生成令牌進(jìn)行加密，并將加密的家鄉(xiāng)秘密生成令牌包含在發(fā)送給移 動(dòng)節(jié)點(diǎn)的家鄉(xiāng)測(cè)試消息中；
所述移動(dòng)節(jié)點(diǎn)從接收的所述家鄉(xiāng)測(cè)試消息解密出所述家鄉(xiāng)秘密生成令牌。 一種保護(hù)移動(dòng)IP路由優(yōu)化信令的系統(tǒng)，所述系統(tǒng)包括令牌加密模塊和令牌解密模塊 所述令牌加密模塊，用于對(duì)家鄉(xiāng)秘密生成令牌進(jìn)行加密，并將加密的家鄉(xiāng)秘密生成令牌發(fā)送給所述令牌解密模塊；
所述令牌解密模塊，用于對(duì)加密的所述家鄉(xiāng)秘密生成令牌進(jìn)行解密，得到所述家鄉(xiāng)秘密 生成令牌。
一種家鄉(xiāng)代理，所述家鄉(xiāng)代理包括
令牌加密模塊，用于對(duì)家鄉(xiāng)秘密生成令牌進(jìn)行加密，并將加密的家鄉(xiāng)秘密生成令牌放在 發(fā)送給移動(dòng)節(jié)點(diǎn)的家鄉(xiāng)測(cè)試消息中。
一種移動(dòng)節(jié)點(diǎn)，所述移動(dòng)節(jié)點(diǎn)包括
家鄉(xiāng)測(cè)試消息接收模塊，用于接收所述家鄉(xiāng)代理發(fā)送的家鄉(xiāng)測(cè)試消息，所述家鄉(xiāng)測(cè)試消 息包含加密的家鄉(xiāng)秘密生成令牌；
令牌解密模塊，用于從接收的家鄉(xiāng)測(cè)試消息中解密出所述家鄉(xiāng)秘密生成令牌。
本發(fā)明實(shí)施例所述技術(shù)方案通過(guò)保護(hù)家鄉(xiāng)秘密生成令牌的機(jī)密性，可以使移動(dòng)節(jié)點(diǎn)與家 鄉(xiāng)代理間在不支持IPSec功能時(shí)，移動(dòng)節(jié)點(diǎn)與家鄉(xiāng)代理間路由優(yōu)化信令的安全得到保證，進(jìn)而 可以使移動(dòng)節(jié)點(diǎn)路由優(yōu)化通信安全得到保護(hù)，并且該技術(shù)方案簡(jiǎn)單，易于實(shí)現(xiàn)。此外，還可 以根據(jù)報(bào)文頭對(duì)報(bào)文進(jìn)行分類(lèi)。


圖1是現(xiàn)有技術(shù)提供的返回路由可達(dá)過(guò)程方法的示意圖； 圖2是現(xiàn)有技術(shù)提供的HoTI消息格式示意圖； 圖3是現(xiàn)有技術(shù)提供的HoT消息格式示意圖4是本發(fā)明實(shí)施例1提供的一種保護(hù)移動(dòng)IP路由優(yōu)化信令的方法的流程圖； 圖5是本發(fā)明實(shí)施例2提供的一種保護(hù)移動(dòng)IP路由優(yōu)化信令的方法的流程圖； 圖6是本發(fā)明實(shí)施例3提供的一種保護(hù)移動(dòng)IP路由優(yōu)化信令的系統(tǒng)的示意圖。
具體實(shí)施例方式
RFC (Request for Comments,請(qǐng)求注釋)3775規(guī)定了為了保護(hù)從MN至CN的綁定更新消 息，需要在MN與CN間建立一個(gè)綁定管理密鑰(Binding Management Key, Kbm)。綁定管理 密鑰利用使用返回路由可達(dá)過(guò)程(ReturnRoutabilityProcedure, RRP)方法，保護(hù)MN和CN之 間BU消息，該方法如圖l所示。當(dāng)MN試圖使用路由優(yōu)化模式和CN進(jìn)行通信時(shí)，會(huì)向CN發(fā)送 HoTI (Home Test Init，家鄉(xiāng)測(cè)試發(fā)起)消息和CoTI (Care-of Test Init，轉(zhuǎn)交測(cè)試發(fā)起)消 息，HoTI消息格式如圖2所示。CN如果支持并允許使用路由優(yōu)化模式和MN通信，則在收到 HoTI消息后，按如下的方法計(jì)算家鄉(xiāng)秘密生成令牌(Home Keygen Token):
6家鄉(xiāng)秘密生成令牌二First(64, HMAC-SHAl(Kcn， HoA | Nonce | 0)) 其中，Kcn是CN的私有秘密，Nonce是由CN生成的隨機(jī)數(shù)。
CN把生成的家鄉(xiāng)秘密生成令牌放在HoT (HomeTest，家鄉(xiāng)測(cè)試)消息中通過(guò)HA發(fā)送給
MN， HoT消息格式如圖3所示。
當(dāng)CN收到CoTI消息后，按如下方法計(jì)算轉(zhuǎn)交秘密生成令牌，并發(fā)送給MN: 轉(zhuǎn)交秘密生成令牌二First(64, HMAC-SHAl(Kcn, CoA | Nonce | 1)) MN接收CN發(fā)來(lái)的HoT消息和CoT消息，并通過(guò)Cookies (小甜餅)檢查后，取出其中的
家鄉(xiāng)秘密生成令牌和轉(zhuǎn)交秘密生成令牌，便可計(jì)算出Kbm二SHAl(家鄉(xiāng)秘密生成令牌I轉(zhuǎn)交
秘密生成令牌)。
路由優(yōu)化安全的設(shè)計(jì)目標(biāo)是希望能夠提供當(dāng)MN離開(kāi)家鄉(xiāng)網(wǎng)絡(luò)進(jìn)行通信與在家鄉(xiāng)網(wǎng)絡(luò)進(jìn) 行通信具有同等的安全性，其前提是攻擊者無(wú)法竊聽(tīng)到CN與MN的家鄉(xiāng)網(wǎng)絡(luò)的通信，所以可
以通過(guò)保護(hù)移動(dòng)節(jié)點(diǎn)與家鄉(xiāng)代理間的通信安全，以保護(hù)路由優(yōu)化信令的安全。
當(dāng)MN離開(kāi)家鄉(xiāng)網(wǎng)絡(luò)時(shí)，為了保護(hù)MN與HA間路由優(yōu)化信令的安全，現(xiàn)有技術(shù)提供了IPSec ESP (IPSec Encapsulating Security Payload， IPSec封裝安全載荷)隧道模式保護(hù)MN與家鄉(xiāng)網(wǎng) 絡(luò)上的HoT消息的方法。該方法通過(guò)加密封裝HoT消息，可以保護(hù)MN與HA間路由優(yōu)化信令 的安全，但該方法要求MN和HA均支持IPSec (IP Security, IP安全)功能，由于IPSec功能結(jié) 合密碼保護(hù)服務(wù)、安全協(xié)議組和動(dòng)態(tài)密鑰管理來(lái)實(shí)現(xiàn)，但實(shí)現(xiàn)比較復(fù)雜，如果某些MN(例如， 微波存取全球互通(WIMAX， Worldwide Interoperability for Microwave Access)終端)無(wú)法支 持IPSec功能，則MN與HA間的安全通信會(huì)受到很大威脅。此外，由于該方法是對(duì)HoT消息進(jìn) 行加密封裝，無(wú)法根據(jù)報(bào)文頭對(duì)報(bào)文進(jìn)行分類(lèi)。
為使本發(fā)明的目的、技術(shù)方案和優(yōu)點(diǎn)更加清楚，下面將結(jié)合附圖對(duì)本發(fā)明實(shí)施方式作進(jìn) 一步地詳細(xì)描述。
本發(fā)明實(shí)施例通過(guò)家鄉(xiāng)代理對(duì)家鄉(xiāng)秘密生成令牌進(jìn)行加密，并將加密的家鄉(xiāng)秘密生成令 牌包含在發(fā)送給移動(dòng)節(jié)點(diǎn)的家鄉(xiāng)測(cè)試消息中，移動(dòng)節(jié)點(diǎn)從接收的所述家鄉(xiāng)測(cè)試消息解密出家 鄉(xiāng)秘密生成令牌來(lái)保護(hù)家鄉(xiāng)秘密生成令牌的機(jī)密性，并使移動(dòng)節(jié)點(diǎn)與家鄉(xiāng)代理間路由優(yōu)化信 令的安全得到保證。
實(shí)施例l
本發(fā)明實(shí)施例提供了一種保護(hù)移動(dòng)IP路由優(yōu)化信令的方法，該方法通過(guò)保護(hù)HoT消息 中家鄉(xiāng)秘密生成令牌的機(jī)密性，可以使移動(dòng)節(jié)點(diǎn)與家鄉(xiāng)代理間在不支持IPSec時(shí)，移動(dòng)節(jié)點(diǎn) 與家鄉(xiāng)代理間路由優(yōu)化信令的安全得到保證，進(jìn)而可以使移動(dòng)節(jié)點(diǎn)路由優(yōu)化通信安全得到保
7護(hù)。參見(jiàn)圖4，本發(fā)明實(shí)施例的具體步驟如下
步驟101: MN執(zhí)行家鄉(xiāng)注冊(cè)，并與HA之間建立共享密鑰K。
其中，MN與HA間的共享密鑰可以是一個(gè)，也可以是多個(gè)，在本實(shí)施例中，以多個(gè)共享 密鑰為例。
步驟102: MN向HA發(fā)送HoTI消息，該消息中包含加密的家鄉(xiāng)初始Cookie和移動(dòng)SPI (Security Parameter Index, 安全參數(shù)索弓l)。
MN在向發(fā)送HoTI消息時(shí)，會(huì)在家鄉(xiāng)初始Cookie位置放一個(gè)隨機(jī)值IVl (IV1大小為
64bit)，并使用共享密鑰K或派生密鑰Ks加密家鄉(xiāng)初始Cookie與IVl經(jīng)過(guò)異或運(yùn)算(也可以是
其它運(yùn)算方式，例如連接運(yùn)算)生成的中間值MV1，將加密后中間值MV1放在移動(dòng)加密選項(xiàng)
中。其中，派生密鑰Ks的方法如下
Ks = KDF(K, HoA I HAA I Label)，其中Label是字符串，比如"Home Test"。 根據(jù)共享密鑰K在計(jì)算派生密鑰Ks時(shí)，可以生成移動(dòng)SPI,并將其放在移動(dòng)加密選項(xiàng)中。 需要說(shuō)明的是，移動(dòng)SPI是用來(lái)對(duì)共享密鑰K或派生密鑰Ks進(jìn)行索引。移動(dòng)SPI也不是必
須的，如果MN與HA間的共享密鑰只有一個(gè)，則移動(dòng)SPI可以不要；如果MN與HA間存在多個(gè)
共享密鑰，需要生成SPI。由于在步驟101中，共享密鑰K為多個(gè)，因此，需要移動(dòng)SPI對(duì)共享
密鑰K或共享密鑰的派生密鑰Ks進(jìn)行索引。
作為另一種優(yōu)選的方案，如果MV1是將家鄉(xiāng)秘密初始Cookie與隨機(jī)值IV 1通過(guò)連接運(yùn)算生
成的，則將加密的中間值MV1的一部分放在移動(dòng)加密選項(xiàng)中， 一部分放在放在家鄉(xiāng)初始Cookie中。
步驟103: HA接收HoTI消息，根據(jù)移動(dòng)加密選項(xiàng)中SPI使用共享密鑰K解密出家鄉(xiāng)初始 Cookie，用解密出的家鄉(xiāng)初始Cookie代替家鄉(xiāng)初始Cookie位置上隨機(jī)值IVl，并向CN發(fā)送HoTI消息。
需要說(shuō)明的是，如果在步驟102中，加密的中間值MV1的一部分放在移動(dòng)加密選項(xiàng)中，一 部分放在放在家鄉(xiāng)初始Cookie，則在本步驟中，需要將移動(dòng)加密選項(xiàng)和家鄉(xiāng)初始Cookie的內(nèi) 容連在一起，再對(duì)中間值MV1進(jìn)行解密，進(jìn)而得到家鄉(xiāng)初始Cookie。
步驟104: CN接收HoTI消息后，向HA發(fā)送HoT消息，該消息中包含家鄉(xiāng)秘密生成令牌。
CN接收到HoTI消息后，按如下的方法計(jì)算家鄉(xiāng)秘密生成令牌
家鄉(xiāng)秘密生成令牌二First(64， HMAC-SHAl(Kcn, HoA | Nonce | 0))
其中，Kcn是CN的私有秘密，Nonce是由CN生成的隨機(jī)數(shù)。
CN把生成的家鄉(xiāng)秘密生成令牌放在HoT (HomeTest，家鄉(xiāng)測(cè)試)消息中發(fā)送給HA。步驟105: HA接收HoT消息,，使用共享密鑰K或派生密鑰Ks加密家鄉(xiāng)秘密生成令牌，并 將加密的家鄉(xiāng)秘密生成令牌放在HoT消息中發(fā)送給MN，該消息中包含移動(dòng)SPI。
HA向MN發(fā)送HoT消息時(shí)，在家鄉(xiāng)初始Cookie位置和家鄉(xiāng)秘密生成令牌位置放一個(gè)隨機(jī) 值IV2 (IV2大小為128bit)，使用共享密鑰K或派生密鑰Ks加密家鄉(xiāng)秘密生成令牌與IV2經(jīng)過(guò) 異或運(yùn)算(也可以是其它運(yùn)算方式，例如連接運(yùn)算)生成的中間值MV2，將加密的中間值MV2 放在移動(dòng)加密選項(xiàng)中，移動(dòng)加密選項(xiàng)還包含移動(dòng)SPI。
本步驟中的移動(dòng)SPI與步驟102中的移動(dòng)SPI可以相同，也可以不同。
作為另一種的方案，HA可以使用共享密鑰K或派生密鑰Ks直接對(duì)家鄉(xiāng)秘密生成令牌進(jìn)行 加密，并將加密的家鄉(xiāng)秘密生成令牌放在發(fā)送給MN的HoT消息中的家鄉(xiāng)秘密生成令牌位置。
步驟106: MN收到HoT消息，根據(jù)移動(dòng)加密選項(xiàng)中SPI使用共享密鑰K或派生密鑰Ks解密 出家鄉(xiāng)秘密生成令牌。
在步驟105中，中間值MV2是使用共享密鑰K或派生密鑰Ks加密家鄉(xiāng)秘密生成令牌與IV2 經(jīng)異或運(yùn)算生成的，在本步驟中，將解密出的MV2與IV2經(jīng)異或運(yùn)算便可以得出家鄉(xiāng)秘密生 成令牌。
需要說(shuō)明的是，本實(shí)施例中的步驟102和步驟103是對(duì)家鄉(xiāng)初始Cookie進(jìn)行加密和解密， 但這兩個(gè)步驟并不是必須的。實(shí)際應(yīng)用當(dāng)中，可以不對(duì)家鄉(xiāng)初始Cookie進(jìn)行加密和解密，之 所以在本實(shí)施例中對(duì)家鄉(xiāng)初始Cookie進(jìn)行加密和解密，主要是為了進(jìn)一步增強(qiáng)HA和MN之間 信令的安全性。
實(shí)施例2
實(shí)施例1中是對(duì)HoT消息中家鄉(xiāng)秘密生成令牌進(jìn)行加密和解密，從而保證HA和MN之 間信令的安全。本實(shí)施例是對(duì)HoT消息中家鄉(xiāng)秘密生成令牌、家鄉(xiāng)初始Cookie和隨機(jī)值生 成的中間值進(jìn)行加密和解密。參見(jiàn)圖5，本實(shí)施例的具體步驟如下
步驟201: MN執(zhí)行完家鄉(xiāng)注冊(cè)，并與HA之間建立共享密鑰K。
具體步驟與實(shí)施例1中的步驟101相同，不再贅述。
步驟202: MN向HA發(fā)送HoTI消息，該消息中包含加密的家鄉(xiāng)初始Cookie以及移動(dòng)SPI。 具體步驟與實(shí)施例1中步驟102相同，不再贅述。
步驟203: HA接收HoTI消息，根據(jù)移動(dòng)加密選項(xiàng)中SPI使用共享密鑰K解密出家鄉(xiāng)初始 Cookie，用解密出的家鄉(xiāng)初始Cookie代替家鄉(xiāng)初始Cookie位置上隨機(jī)值IVl，并向CN發(fā)送HoTI消息。
具體步驟與實(shí)施例1中步驟103相同，不再贅述。步驟204: CN接收HoTI消息后，向HA發(fā)送HoT消息，該消息中包含家鄉(xiāng)秘密生成令牌。 具體步驟與實(shí)施例1中的步驟104相同，不再贅述。
步驟205: HA接收HoT消息,，使用共享密鑰K或派生密鑰Ks加密家鄉(xiāng)秘密生成令牌和家 鄉(xiāng)初始Cookie，并將加密的家鄉(xiāng)秘密生成令牌和家鄉(xiāng)初始Cookie放在發(fā)送給MN的HoT消息 中，該消息中還包含移動(dòng)SPI。
HA向MN發(fā)送HoT消息時(shí)，在家鄉(xiāng)初始Cookie位置和家鄉(xiāng)秘密生成令牌位置放一個(gè)隨機(jī) 值IV2 (IV2大小為128bit),對(duì)家鄉(xiāng)初始Cookie和家鄉(xiāng)秘密生成令牌進(jìn)行連接運(yùn)算(也可以是 其它運(yùn)算方式)生成一個(gè)臨時(shí)值，使用共享密鑰K或派生密鑰Ks加密該臨時(shí)值與IV2經(jīng)異或運(yùn) 算(也可以是其它運(yùn)算方式，例如連接運(yùn)算)生成的中間值MV2，將加密的中間值MV2放在 移動(dòng)加密選項(xiàng)中，移動(dòng)加密選項(xiàng)還包含移動(dòng)SPI。得到中間值MV2的具體運(yùn)算公式如下
MV2-(家鄉(xiāng)初始Cookiel家鄉(xiāng)秘密生成令牌) IV2 ， @表示異或運(yùn)算。
家鄉(xiāng)秘密生成令牌二First(64， HMAC-SHAl(Kcn, HoA 1 Nonce 1 0)) 其中，Kcn是CN的私有秘密，Nonce是由CN生成的隨機(jī)數(shù)。
本步驟中的移動(dòng)SPI與步驟202中的移動(dòng)SPI可以相同，也可以不同。
作為另一種的方案，HA可以使用共享密鑰K或派生密鑰Ks直接對(duì)家鄉(xiāng)秘密生成令牌和家 鄉(xiāng)初始Cookie共同進(jìn)行加密，并將加密的家鄉(xiāng)秘密生成令牌和家鄉(xiāng)初始Cookie放在發(fā)送給MN 的HoT消息中的家鄉(xiāng)秘密生成令牌和家鄉(xiāng)初始Cookie位置上。
步驟206: MN接收HoT消息，根據(jù)移動(dòng)加密選項(xiàng)中的SPI使用共享密鑰K解密出家鄉(xiāng)初始 Cookie及家鄉(xiāng)秘密生成令牌。
在本步驟中，首先解密出中間值MV2，再將解密出的MV2與IV2經(jīng)異或運(yùn)算便可以得出 家鄉(xiāng)初始Cookie及家鄉(xiāng)秘密生成令牌。
需要說(shuō)明的是，本實(shí)施例中的步驟202和步驟203是對(duì)家鄉(xiāng)初始Cookie進(jìn)行加密和解密， 但這兩個(gè)步驟并不是必須的。實(shí)際應(yīng)用當(dāng)中，可以不對(duì)家鄉(xiāng)初始Cookie進(jìn)行加密和解密，之 所以在本實(shí)施例中對(duì)家鄉(xiāng)初始Cookie進(jìn)行加密和解密，主要是為了進(jìn)一步增強(qiáng)HA和MN之間 信令的安全性。
實(shí)施例3
本發(fā)明實(shí)施例提供了一種保護(hù)移動(dòng)IP路由優(yōu)化信令的系統(tǒng)，圖6所示，該系統(tǒng)包括令牌 加密模塊和令牌解密模塊。其中，
令牌加密模塊，用于對(duì)家鄉(xiāng)秘密生成令牌進(jìn)行加密，并將加密的家鄉(xiāng)秘密生成令牌發(fā)送
給令牌解密模塊；令牌解密模塊，用于對(duì)加密的家鄉(xiāng)秘密生成令牌進(jìn)行解密，得到家鄉(xiāng)秘密生成令牌。 進(jìn)一步，該系統(tǒng)還包括Cookie加密模塊和Cookie解密模塊-
Cookie加密模塊，用于根據(jù)共享密鑰或共享密鑰的派生密鑰對(duì)家鄉(xiāng)初始Cookie進(jìn)行加密， 并將加密的家鄉(xiāng)初始Cookie發(fā)送給Cookie解密模塊；
Cookie解密模塊，用于根據(jù)享密鑰或共享密鑰的派生密鑰對(duì)加密的家鄉(xiāng)初始Cookie進(jìn)行 解密，得到家鄉(xiāng)初始Cookie。
實(shí)施例4
本發(fā)明實(shí)施例4提供了一種家鄉(xiāng)代理，該家鄉(xiāng)代理包括
令牌加密模塊，用于對(duì)家鄉(xiāng)秘密生成令牌進(jìn)行加密，并將加密的家鄉(xiāng)秘密生成令牌放在 發(fā)送給移動(dòng)節(jié)點(diǎn)的家鄉(xiāng)測(cè)試消息中。.
進(jìn)一步，該家鄉(xiāng)代理還包括
家鄉(xiāng)測(cè)試發(fā)起消息接收模塊，用于接收移動(dòng)節(jié)點(diǎn)發(fā)送的家鄉(xiāng)測(cè)試發(fā)起消息，家鄉(xiāng)測(cè)試發(fā)
起消息包含加密的家鄉(xiāng)初始Cookie;
Cookie解密模塊，用于從接收的家鄉(xiāng)測(cè)試發(fā)起消息中解密出家鄉(xiāng)初始Cookie。 實(shí)施例5
本發(fā)明實(shí)施例5提供了一種移動(dòng)節(jié)點(diǎn)，該移動(dòng)節(jié)點(diǎn)包括
家鄉(xiāng)測(cè)試消息接收模塊，用于接收家鄉(xiāng)代理發(fā)送的家鄉(xiāng)測(cè)試消息，該家鄉(xiāng)測(cè)試消息包含 加密的家鄉(xiāng)秘密生成令牌；
令牌解密模塊，用于從接收的家鄉(xiāng)測(cè)試消息中解密出家鄉(xiāng)秘密生成令牌。
進(jìn)一步，該移動(dòng)節(jié)點(diǎn)還包括
Cookie加密模塊，用于對(duì)家鄉(xiāng)初始Cookie進(jìn)行加密，并將加密的家鄉(xiāng)初始Cookie放在 發(fā)送給家鄉(xiāng)代理的家鄉(xiāng)測(cè)試發(fā)起消息中。
本發(fā)明實(shí)施例所述技術(shù)方案通過(guò)保護(hù)家鄉(xiāng)秘密生成令牌的機(jī)密性，可以使移動(dòng)節(jié)點(diǎn)與家 鄉(xiāng)代理間在不支持IPSec功能時(shí)，移動(dòng)節(jié)點(diǎn)與家鄉(xiāng)代理間路由優(yōu)化信令的安全得到保證，進(jìn) 而可以使移動(dòng)節(jié)點(diǎn)路由優(yōu)化通信安全得到保護(hù)，并且該技術(shù)方案簡(jiǎn)單，易于實(shí)現(xiàn)。此外，由 于無(wú)須對(duì)報(bào)文頭進(jìn)行加密'因此可以實(shí)現(xiàn)對(duì)報(bào)文的分類(lèi)。
以上實(shí)施例提供的技術(shù)方案可以通過(guò)硬件和軟件實(shí)現(xiàn)，軟件存儲(chǔ)在可讀取的存儲(chǔ)介質(zhì)上， 如計(jì)算機(jī)的軟盤(pán)，硬盤(pán)或光盤(pán)等。
以上所述僅為本發(fā)明的較佳實(shí)施例，并不用以限制本發(fā)明，凡在本發(fā)明的精神和原則之 內(nèi)，所作的任何修改、等同替換、改進(jìn)等，均應(yīng)包含在本發(fā)明的保護(hù)范圍之內(nèi)。
權(quán)利要求
1、一種保護(hù)移動(dòng)IP路由優(yōu)化信令的方法，其特征在于，所述方法包括家鄉(xiāng)代理對(duì)家鄉(xiāng)秘密生成令牌進(jìn)行加密，并將加密的家鄉(xiāng)秘密生成令牌包含在發(fā)送給移動(dòng)節(jié)點(diǎn)的家鄉(xiāng)測(cè)試消息中；所述移動(dòng)節(jié)點(diǎn)從接收的所述家鄉(xiāng)測(cè)試消息解密出所述家鄉(xiāng)秘密生成令牌。
2、 如權(quán)利要求1所述的保護(hù)移動(dòng)IP路由優(yōu)化信令的方法，其特征在于，所述方法具體 包括.-所述家鄉(xiāng)代理使用與所述移動(dòng)節(jié)點(diǎn)間的共享密鑰或所述共享密鑰的派生密鑰直接加密所 述家鄉(xiāng)秘密生成令牌，并將所述加密的家鄉(xiāng)秘密生成令牌放在發(fā)送給所述移動(dòng)節(jié)點(diǎn)的所述家 鄉(xiāng)測(cè)試消息中；所述移動(dòng)節(jié)點(diǎn)接收所述家鄉(xiāng)測(cè)試消息，并使用所述共享密鑰或所述共享密鑰的派生密鑰 解密出所述家鄉(xiāng)秘密生成令牌。
3、 如權(quán)利要求1所述的保護(hù)移動(dòng)IP路由優(yōu)化信令的方法，其特征在于，所述方法具體 包括所述家鄉(xiāng)代理使用與所述移動(dòng)節(jié)點(diǎn)間的共享密鑰或所述共享密鑰的派生密鑰加密所述家 鄉(xiāng)秘密生成令牌與隨機(jī)值生成的中間值，并將所述加密的中間值放在發(fā)送給所述移動(dòng)節(jié)點(diǎn)的 所述家鄉(xiāng)測(cè)試消息中；所述移動(dòng)節(jié)點(diǎn)接收所述家鄉(xiāng)測(cè)試消息，并使用所述共享密鑰或所述共享密鑰的派生密鑰 對(duì)所述中間值進(jìn)行解密，根據(jù)所述中間值解密出所述家鄉(xiāng)秘密生成令牌。
4、 如權(quán)利要求1所述的保護(hù)移動(dòng)IP路由優(yōu)化信令的方法，其特征在于，所述方法具體 包括所述家鄉(xiāng)代理使用與移動(dòng)節(jié)點(diǎn)間的共享密鑰或共享密鑰的派生密鑰加密所述家鄉(xiāng)秘密生成令牌與家鄉(xiāng)初始Cookie，并將加密的家鄉(xiāng)秘密生成令牌與家鄉(xiāng)初始Cookie放在發(fā)送給所述 移動(dòng)節(jié)點(diǎn)的所述家鄉(xiāng)測(cè)試消息中， 所述移動(dòng)節(jié)點(diǎn)接收所述家鄉(xiāng)測(cè)試消息，并使用所述共享密鑰或所述共享密鑰的派生密鑰 從所述家鄉(xiāng)測(cè)試消息中解密出所述家鄉(xiāng)秘密生成令牌與所述家鄉(xiāng)初始Cookie。
5、 如權(quán)利要求1所述的保護(hù)移動(dòng)IP路由優(yōu)化信令的方法，其特征在于，所述方法具體 包括所述家鄉(xiāng)代理使用與所述移動(dòng)節(jié)點(diǎn)間的共享密鑰或所述共享密鑰的派生密鑰加密所述家 鄉(xiāng)秘密生成令牌、家鄉(xiāng)初始Cookie與隨機(jī)值生成的中間值，并將所述加密的中間值放在發(fā)送 給所述移動(dòng)節(jié)點(diǎn)的所述家鄉(xiāng)測(cè)試消息中；所述移動(dòng)節(jié)點(diǎn)接收所述家鄉(xiāng)測(cè)試消息，使用所述共享密鑰或所述共享密鑰的派生密鑰對(duì) 所述中間值進(jìn)行解密，根據(jù)所述中間值解密出所述家鄉(xiāng)秘密生成令牌和所述家鄉(xiāng)初始Cookie。
6、 如權(quán)利要求1-5任意一項(xiàng)權(quán)利要求所述的保護(hù)移動(dòng)IP路由優(yōu)化信令的方法，其特征 在于，所述家鄉(xiāng)測(cè)試信息中還包括移動(dòng)安全索引系數(shù)，所述安全索引系數(shù)用于對(duì)所述共享密 鑰或所述共享密鑰的派生密鑰進(jìn)行索引。
7、 如權(quán)利要求1-5任意一項(xiàng)權(quán)利要求所述的保護(hù)移動(dòng)IP路由優(yōu)化信令的方法，其特征 在于，所述方法還包括所述移動(dòng)節(jié)點(diǎn)向所述家鄉(xiāng)代理發(fā)送家鄉(xiāng)測(cè)試發(fā)起消息，所述消息中包含使用所述共享密 鑰或所述共享密鑰的派生密鑰加密的家鄉(xiāng)初始Cookie;所述家鄉(xiāng)代理接收所述家鄉(xiāng)測(cè)試發(fā)起消息，根據(jù)所述共享密鑰或所述共享密鑰的派生密 鑰解密出所述家鄉(xiāng)初始Cookie。
8、 一種保護(hù)移動(dòng)IP路由優(yōu)化信令的系統(tǒng)，其特征在于，所述系統(tǒng)包括令牌加密模塊和 令牌解密模塊所述令牌加密模塊，用于對(duì)家鄉(xiāng)秘密生成令牌進(jìn)行加密，并將加密的家鄉(xiāng)秘密生成令牌 發(fā)送給所述令牌解密模塊；所述令牌解密模塊，用于對(duì)加密的所述家鄉(xiāng)秘密生成令牌進(jìn)行解密，得到所述家鄉(xiāng)秘密 生成令牌。
9、 如權(quán)利要求8所述保護(hù)移動(dòng)IP路由優(yōu)化信令的系統(tǒng)，其特征在于，所述系統(tǒng)還包括 Cookie加密模塊和Cookie解密模塊所述Cookie加密模塊，用于根據(jù)共享密鑰或所述共享密鑰的派生密鑰對(duì)家鄉(xiāng)初始Cookie進(jìn)行加密，并將加密的所述家鄉(xiāng)初始Cookie發(fā)送給所述Cookie解密模塊；所述Cookie解密模塊，用于根據(jù)所述共享密鑰或所述共享密鑰的派生密鑰對(duì)加密的家鄉(xiāng) 初始Cookie進(jìn)行解密，解密出所述家鄉(xiāng)初始Cookie。
10、 一種家鄉(xiāng)代理，其特征在于，所述家鄉(xiāng)代理包括令牌加密模塊，用于對(duì)家鄉(xiāng)秘密生成令牌進(jìn)行加密，并將加密的家鄉(xiāng)秘密生成令牌放在 發(fā)送給移動(dòng)節(jié)點(diǎn)的家鄉(xiāng)測(cè)試消息中。
11、 如權(quán)利要求10所述的家鄉(xiāng)代理，其特征在于，所述家鄉(xiāng)代理還包括家鄉(xiāng)測(cè)試發(fā)起消息接收模塊，用于接收移動(dòng)節(jié)點(diǎn)發(fā)送的家鄉(xiāng)測(cè)試發(fā)起消息，所述家鄉(xiāng)測(cè)試發(fā)起消息包含加密的家鄉(xiāng)初始Cookie;Cookie解密模塊，用于從接收的所述家鄉(xiāng)測(cè)試發(fā)起消息中解密出所述家鄉(xiāng)初始Cookie。
12、 一種移動(dòng)節(jié)點(diǎn)，其特征在于，所述移動(dòng)節(jié)點(diǎn)包括家鄉(xiāng)測(cè)試消息接收模塊，用于接收家鄉(xiāng)代理發(fā)送的家鄉(xiāng)測(cè)試消息，所述家鄉(xiāng)測(cè)試消息包 含加密的家鄉(xiāng)秘密生成令牌；令牌解密模塊，用于從接收的所述家鄉(xiāng)測(cè)試消息中解密出所述家鄉(xiāng)秘密生成令牌。
13、 如權(quán)利要求12所述的移動(dòng)節(jié)點(diǎn)，其特征在于，所述移動(dòng)節(jié)點(diǎn)還包括Cookie加密模塊，用于對(duì)家鄉(xiāng)初始Cookie進(jìn)行加密，并將加密的家鄉(xiāng)初始Cookie放在 發(fā)送給所述家鄉(xiāng)代理的家鄉(xiāng)測(cè)試發(fā)起消息中。
全文摘要
本發(fā)明公開(kāi)了一種保護(hù)移動(dòng)IP路由優(yōu)化信令的方法、系統(tǒng)、節(jié)點(diǎn)和家鄉(xiāng)代理，屬于網(wǎng)絡(luò)通信領(lǐng)域。所述方法包括家鄉(xiāng)代理對(duì)家鄉(xiāng)秘密生成令牌進(jìn)行加密，并將加密的家鄉(xiāng)秘密生成令牌包含在發(fā)送給移動(dòng)節(jié)點(diǎn)的家鄉(xiāng)測(cè)試消息中；所述移動(dòng)節(jié)點(diǎn)從接收的所述家鄉(xiāng)測(cè)試消息解密出所述家鄉(xiāng)秘密生成令牌。所述系統(tǒng)包括令牌加密模塊和令牌解密模塊。所述節(jié)點(diǎn)包括家鄉(xiāng)測(cè)試消息接收模塊和令牌解密模塊。所述家鄉(xiāng)代理包括令牌加密模塊。本發(fā)明通過(guò)保護(hù)家鄉(xiāng)秘密生成令牌的機(jī)密性，可以使移動(dòng)節(jié)點(diǎn)與家鄉(xiāng)代理間路由優(yōu)化信令的安全得到保證。
文檔編號(hào)H04L29/06GK101494640SQ20081005664
公開(kāi)日2009年7月29日 申請(qǐng)日期2008年1月23日 優(yōu)先權(quán)日2008年1月23日
發(fā)明者李春強(qiáng), 黃志鋼 申請(qǐng)人:華為技術(shù)有限公司