專利名稱:主機標識協(xié)議方法和設(shè)備的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及使用主機標識協(xié)議(HIP)來至少部分地保護兩個主 機之間的通信的方法,這兩個主機之一是HIP使能的并且另一個不是 HIP使能的.2. 相關(guān)技術(shù)描述當互聯(lián)網(wǎng)最初被設(shè)計的時候�����,主機在位置上是固定的并且在用戶 之間存在絕對的信任����,盡管缺少實際的安全性或主機鑒定協(xié)議���,并且 這種情況持續(xù)下去,甚至體現(xiàn)在更廣泛理解和使用本技術(shù)上.極少需 要考慮用于處理主機移動性的技術(shù)��,因為計算機相對龐大和不能移 動.隨著在20世紀90年代初在電信和計算機行業(yè)的技術(shù)革命�,較小 的通信設(shè)備和計算機變得日益普及并且萬維網(wǎng)的發(fā)明和隨之出現(xiàn)的所 有業(yè)務(wù)最終使得互聯(lián)網(wǎng)對于普通人都具有吸引力。網(wǎng)絡(luò)的不斷使用和 移動通信的結(jié)合產(chǎn)生了互聯(lián)網(wǎng)中對于安全移動性管理的需要,參與方的數(shù)量不斷增加���,并且對于特定業(yè)務(wù)所需的貨幣交易���,也 產(chǎn)生了增加應(yīng)用層安全性的需要.當前��,最廣泛使用的加密協(xié)議����,例 如SSL/TLS,運行在上面的網(wǎng)絡(luò)層����,例如TCP.考慮上面的移動性管理和安全性問題����,介紹了移動IP標準 (C. Perkins, "IP Mobility Support for IPv4" , RFC 3220, IETF, 2002 )和移動IPv6標準(D. Johnson, C.Perkins, J. Arkko, "Mobility Support in IPv6" ���, RFC 3775, IETF, 2004 )�����。這些規(guī)范一起被i殳計 來提供下一代互聯(lián)網(wǎng)的移動性支持.安全性工作以IPsec以及有關(guān)的 活動比如各種密鑰交換協(xié)議的形式來加強�����,目的是在IP層上提供安 全性���。然而����,經(jīng)驗表明����,使用當前標準達到安全性和移動性的結(jié)合還 是相當難的.IP地址描述了在網(wǎng)絡(luò)中的節(jié)點的拓樸位置.IP地址用于從源節(jié) 點到目的地路由分組��。同時�����,IP地址也用于識別節(jié)點��,在一個實體中
提供兩個不同的功能.這類似于當人被問到他們是誰的時候使用他們 的家庭地址來做出應(yīng)答.當移動性也被考慮時,這一情況變得愈加復(fù)雜��;因為IP地址在這個方案中當作主機標識符�,它們必須不被改變; 然而�����,因為IP地址還描述拓樸位置����,當主機改變其在網(wǎng)絡(luò)中的位置 時它們必須必然地改變.顯然�,不可能同時實現(xiàn)穩(wěn)定性和動態(tài)改變.在移動IP的情況中��,該方案將使用為節(jié)點提供"本地地址"的 固定本地位置��,本地地址識別節(jié)點并且當它在本地中時為其提供穩(wěn)定 位置.當前位置信息可使用轉(zhuǎn)交地址的形式,當該節(jié)點遠離本地時, 其用于路由目的��,對于該問題的另一個方案是將標識和位置功能相互分離,并且這 是在主機標識協(xié)議(HIP)建議中采取的方法(R. Moskowitz, P. Nikander�, P. Jokela�����, "Host Identity Protocol (主機標識協(xié)議)"��, 互聯(lián)網(wǎng)草案�,演進工作,draft-ietf-hip-base-Ol, IETF, 2004 )���。 HIP 通過引入新的名字空間��,主機標識(HI),將IP地址的位置和標識 角色分離.在HIP中,主機標識主要是公鑰-私鑰對的公共密鑰�����,并 且從其產(chǎn)生并且被鏈接到私鑰.公鑰識別持有私鑰的僅副本的一方. 處理密鑰對的私鑰的主機可以直接證明它"擁有"用于在網(wǎng)絡(luò)中識別 它的公鑰.該分離還提供一種以安全的方式來處理移動性和多歸屬的 方法.下面將更詳細地討論HIP,但它不是基于位置和標識分離思想的 唯一建議.FARA ( 2003年8月25&27日由D. Clark����、 R. Braden、 A. Falk、 V. Pingali在ACM SIGCOMM 2003 Workshops提出的"FARA: Reorganizing the Addressing Architecture (改組尋址結(jié)構(gòu))")是提供實際結(jié)構(gòu) 可以從其獲得的構(gòu)架的通用思想模型.當節(jié)點標識被驗證的時候�����,F(xiàn)ARA 可以利用HIP,并且因此HIP可以是特定FARA例示的一部分.對等網(wǎng) 絡(luò)建議(2003年2月 20-21日由 J.Eriksson�����、 M. Faloutsos �、 S. Krishnamurthy在IPTPS,03提出的"PeerNet: Pushing Peer-to-Peer Down the Stack (對等網(wǎng)絡(luò)將對等推進堆棧)")也討論了位置和 標識分離���?���;ヂ?lián)網(wǎng)間接基礎(chǔ)結(jié)構(gòu)13 ( 2002年8月19-23日由I. Stoica 等人在ACM SIGC0MM,02提出的"Internet Indirection Infrastructure (互聯(lián)網(wǎng)間接基礎(chǔ)結(jié)構(gòu))")也定義了標識和路由信息之間的分離�。主機標識協(xié)議在IP層上引入位置與標識信息之間的分離.除了
分離之外�����,協(xié)議還被規(guī)定協(xié)商HIP使能節(jié)點之間的安全聯(lián)系(SA���, security association),使用HIP��,每個主機擁有一個或多個標識�,其可以是長期的或短 期的�,可以用于在網(wǎng)絡(luò)中識別它.使用HIP,標識符是公鑰-私鑰對的 公鑰.當主機擁有私鑰時��,可以證明它實際上"擁有"這個公鑰所代 表的標識���;這類似于出示ID卡.每個主機可以產(chǎn)生短期密鑰僅用于短期��。當不需要節(jié)點隨后使用 同一標識進行識別時�����,這是有用的.例如�,從書店買書可以是長期關(guān) 系,而一次性聯(lián)系服務(wù)器來收集用戶簡檔可以被視作短期行為.在后 一種情況下��,短期標識可以被創(chuàng)建以避免長期標識的更廣泛的分發(fā).HIP主機標識(HI)�����,是公鑰�,可以相當長并且因此并非在所有 情況下都實用.在HIP中,HI由128比特長的主機標識標簽(HIT) 來表示��,該標簽通過散列它來從HI中產(chǎn)生.這樣���,HIT識別HI.由 于HIT是128比特長�,它可以直接用于IPv6應(yīng)用�����,因為它嚴格地與IPv6地址的長度相同.主機標識的另一種表示是局域標識符(LSI)�,其是32比特表示 的主機標識.LSI的目的是方便在現(xiàn)有協(xié)議和API中使用主機標識. 例如,由于LSI與IPv4地址長度相同�,所以它可以直接用于IPv4應(yīng) 用.盡管這個說明書的剩余部分多數(shù)是基于使用更長的HIT,但是可 以理解同樣或類似的考慮可以適用到可選的LSI表示.當使用HIP時,上面的層����,包括應(yīng)用層���,不再看見IP地址.相 反,它們將HIT視作目的主機的"地址".位置信息被隱藏在新的層�����, 下面將要描述.IP地址不再識別節(jié)點����;它們僅用于在網(wǎng)絡(luò)中路由分組.應(yīng)用通常對位置信息不感興趣而是確實需要知道它們的對等的標 識。該標識由HIT表示��。這意味著IP地址僅在涉及路由的較低層上 重要���。在任何分組離開主機之前�����,應(yīng)用使用的HIT必須被映射到對應(yīng) 的IP地址.這在下面所描述的新主機標識層上實現(xiàn)。附圖的
圖1示出了 HIP中的不同層����,包括標準的傳輸層4、網(wǎng)絡(luò) 層8和鏈路層10,過程2與其下面的傳輸層4進行通信.使用HIP�, 新的主機標識層6被放置在傳輸層4和網(wǎng)絡(luò)層8之間.本地地,每個HI和其相關(guān)的HIT被映射到節(jié)點的IP地址����。當分 組離開主機時,選擇正確的路由(無論通過何種方法)并且對應(yīng)的IP
地址被放到分組中作為源和目的地地址.從上面的層到達的每個分組包含對等的HIT作為目的地地址.HIT和位置信息之間的映射可以在 HI層6中找到�,因此,目的地地址被轉(zhuǎn)換到所映射的IP地址����,源HIT 被轉(zhuǎn)換成源IP地址。對等HIT和IP地址之間的映射可以幾種方式來重新得到�����,其中 的一種是來自DNS服務(wù)器����。位置信息可以由對等節(jié)點來隨時更新.更 新程序?qū)⒃谝苿有怨芾碜硬糠指唧w地加以討論.HIP定義了包含四個消息的基本消息交換,四次握手�����,并且這被 用于創(chuàng)建HIP使能主機之間的安全聯(lián)系(SA).在消息交換期間����, Diffie-Hell咖n程序被用于創(chuàng)建會話密鑰并且建立節(jié)點之間的封裝安 全性有效負荷(ESP)安全聯(lián)系(SA)的一對IPsec.附圖的圖2示出了四次握手的操作�����。協(xié)商方指的是啟動連接的發(fā) 起方�����,以及響應(yīng)方.發(fā)起方通過發(fā)送包含參與協(xié)商的節(jié)點的HIT的II 分組來開始協(xié)商.如果發(fā)起方不知道響應(yīng)方的HIT的話���,目的HIT也 可以是零.當響應(yīng)方獲得II分組時,它發(fā)送回包含將要由發(fā)起方來解答的 難題的Rl分組.該協(xié)議被設(shè)計使得發(fā)起方必須在難題解答期間做大 多數(shù)的計算.這提供了對付DoS攻擊的一些保護.Rl也發(fā)起Diffie-Hellman程序�����,該程序包含響應(yīng)方的公鑰以及Diff ie-Hellman參數(shù)���。一旦接收到Rl分組�����,發(fā)起方解決該難題并且在12分組中發(fā)送響 應(yīng)cookie以及IPsec SPI值和其加密的公鑰給響應(yīng)方.響應(yīng)方驗證 該難題已經(jīng)被解答��,認證發(fā)起方并且創(chuàng)建IPsec ESP SA��。最后的R2 消息包含響應(yīng)方的SPI值.主機之間的SA —定是主機標識��,由HIT表示.然而��,穿過網(wǎng)絡(luò) 的分組不包含實際的HI信息�����,而到達的分組使用IPsec報頭中的安 全參數(shù)索引(SPI)值被識別并且被映射到正確的SA.附圖的圖3示 出了當一個分組穿過網(wǎng)絡(luò)時邏輯的和實際的分組結(jié)構(gòu)�。從上可以清楚看到�����,改變分組中的位置信息對于IPsec處理不產(chǎn) 生任何問題�。使用SPI,該分組仍舊被正確識別。如果�,由于某些原 因,分組被路由到錯誤的目的地����,則接收機不能夠打開分組,因為它 不擁有正確的密鑰��。當流出的分組從上面的層到達HI層時�,目的HIT從IPsec SADB 被驗證��。如果找到匹配目的HIT的SA����,則分組使用與SA有關(guān)的會話 密鑰被加密.HIT不能用于路由分組�。因此,目的(和源)地址必須被改變以 匹配節(jié)點的IP地址���。這些映射被存儲在HI層�,如前所提到的.在地 址已經(jīng)被改變之后�����,分組可以被發(fā)送到網(wǎng)絡(luò)��,其中它使用IP地址信 息被路由到目的地.在接收主機側(cè)���,SPI值被用于發(fā)現(xiàn)來自IPsec SADB的正確的SA, 如果找到了一項����,則IP地址可以被改變到對應(yīng)的HIT并且分組可以 使用會話密鑰被解密.移動性被定義為在其中主機移動同時保持它的通信上下文有效或 者換言之主機改變由IP地址描述的它的拓樸位置同時保持所有現(xiàn)有 連接有效的情況.在主機上運行的該程序看不到移動性����,除了如果所 經(jīng)歷的服務(wù)質(zhì)量改變的情況才有可能之外.移動主機可以改變在不同接入技術(shù)之間或者甚至在不同的IP地 址域之間例如在IPv4和IPv6網(wǎng)絡(luò)之間的一個接入網(wǎng)絡(luò)內(nèi)部的位置. 在HIP中����,應(yīng)用沒有注意到IP地址版本中的改變.HI層完全隱藏來 自上層的改變.當然����,對等節(jié)點必須能夠應(yīng)付位置更新�����,該更新改變 了 IP版本并且分組必須是使用某些可兼容地址可路由的��,如杲節(jié)點 不具有IPv4和IPv6連通性���,則它可以使用代理節(jié)點�,該代理節(jié)點執(zhí) 行地址版本轉(zhuǎn)換并且代表節(jié)點提供連通性.多歸屬指的是其中端節(jié)點具有它可以使用的若干并行通信路徑的 情況.通常����,多歸屬是主機具有若干網(wǎng)絡(luò)接口 (端主機多歸屬)或者 由于主機和具有冗余路徑的網(wǎng)絡(luò)的其余部分(站點多歸屬)之間的網(wǎng) 絡(luò)的結(jié)果.使用HIP,位置和標識信息之間的分離使得分組識別和路由可以 彼此干凈利索地分離變得清晰.接收分組的主機通過首先獲得正確的 密鑰然后解密分組來識別發(fā)送方.這樣,在分組中IP地址是不相關(guān) 的���。在網(wǎng)絡(luò)中移動的HIP移動節(jié)點(HMN)���,可以經(jīng)常改變與互聯(lián)網(wǎng) 的聯(lián)接點��。當該連接點改變時��,IP地址也改變.這個改變的位置信息 必須被發(fā)送到對等節(jié)點��,即HIP相應(yīng)節(jié)點(HCN)��,并且這示出在附 圖的圖4中����,同樣的地址還可以發(fā)送到HMN的轉(zhuǎn)發(fā)代理(FA)�,這樣
使得HMN可以也通過更穩(wěn)定的節(jié)點到達。DNS系統(tǒng)太慢而不能用于經(jīng) 常改變位置信息����。因此,必須有一個可以用于聯(lián)系HMN的更穩(wěn)定的地 址.這個地址是由FA提供的地址.HIP移動性和多歸屬協(xié)議(由P.Nikander����, J.Arkko,P. Jokela在 2004年互聯(lián)網(wǎng)草案�,演進工作,draft-ietf-hip-咖-OO����, IETF中�,提 出的 "End—Host Mobility and Multihoming with Host Identity Protocol (使用主機標識協(xié)議的端主機移動性和多歸屬)")定義了 攜帶包含HMN的當前IP地址的轉(zhuǎn)寄(REA)參數(shù)的更新(UPDATE)分 組.當HMN改變位置和IP地址時���,它產(chǎn)生一個UPDATE分組�����, >使用匹 配所使用的HI的私鑰簽署分組,并且發(fā)送該分組給對等節(jié)點和FA��。當對等節(jié)點接收到UPDATE分組時�,它必須發(fā)起地址驗證程序用 于被包括在UPDATE分組中的IP地址.需要地址驗證來避免接受來自 HMN的錯誤更新.它發(fā)送更新確認(UPDATE-ACK)分組給在UPDATE分 組中的地址.當HMN接收到匹配先期發(fā)送的UPDATE的UPDATE-ACK時, 它可以開始使用新的IP地址用于發(fā)送數(shù)據(jù)給HCN���。在對等節(jié)點已經(jīng)接 收到來自新地址的第一數(shù)據(jù)分組之后���,完成地址驗證并且它可以增加 IP地址作為HMN的位置信息.因為HMN可以在^f吏用不同的IP地址版本的網(wǎng)絡(luò)之間移動,由HCN 接收的地址還可以來自不同于先前地址的地址族.HCN可以支持僅一個IP地址版本�。在這個例子中,HCN必須使用 某些其他的代理節(jié)點用于路由分組到另一個IP地址版本網(wǎng)絡(luò).多歸屬HIP主機��,具有被配置在連接到不同接入網(wǎng)絡(luò)的不同接口 上的多個IP地址�����,該主機具有更多的可能性來應(yīng)付面向?qū)Φ裙?jié)點的 業(yè)務(wù).因為它具有表示其在網(wǎng)絡(luò)中的當前位置的多個IP地址,它可 以想要將所有這些地址告訴給它的對等節(jié)點.為此�,多歸屬HIP節(jié)點 創(chuàng)建包含能夠面向那個特定節(jié)點使用的所有地址的UPDATE分組.這 組地址可以包含它擁有的所有地址,或者這些地址的一些子組.當對 等節(jié)點接收到具有多個地址的UPDATE分組時�����,它必須為這些地址的 每一個做出地址驗證以避免可能的錯誤更新��。UPDATE分組中的錯誤的或者非可路由的地址可能由于HMN是惡意 節(jié)點而引起��,它在堆棧實現(xiàn)中有錯����,或者HMN可能在網(wǎng)絡(luò)內(nèi)部,該網(wǎng) 絡(luò)使用不能在互聯(lián)網(wǎng)中路由的專用地址.
多歸屬HIP節(jié)點能夠使用所有的可用連接���,但是連接的有效使用 要求了解基本接入網(wǎng)絡(luò)并且可以控制它們的使用的政策系統(tǒng).這樣的 政策系統(tǒng)可以使用不同種類的信息用戶喜好��、運營商喜好����、來自網(wǎng) 絡(luò)連接的輸入���,比如QoS等等.為了開始與移動節(jié)點的HIP交換���,發(fā)起方節(jié)點需要知道如何到達 移動節(jié)點����。盡管動態(tài)DNS可以為非頻繁移動的節(jié)點用于這個功能�����,但 是以這種方式使用DNS的一個選擇是使用上面所介紹的一種固定基礎(chǔ) 結(jié)構(gòu)���,轉(zhuǎn)發(fā)代理(也稱作HIP聚集服務(wù)器).代替向DNS服務(wù)器登記 它的當前動態(tài)地址,移動節(jié)點向它的一個(或多個)轉(zhuǎn)發(fā)代理登記一 個(或多個)地址.移動節(jié)點保持轉(zhuǎn)發(fā)代理使用它的當前IP地址被 不斷更新�����。轉(zhuǎn)發(fā)代理在其當前位置上簡單地轉(zhuǎn)發(fā)來自發(fā)起方的初始HIP 分組給移動節(jié)點��。所有另外的分組在發(fā)起方和移動節(jié)點之間流動.在 轉(zhuǎn)發(fā)代理上通常存在極少的活動��,主要是地址更新和初始的HIP分組 轉(zhuǎn)發(fā).這樣���, 一個轉(zhuǎn)發(fā)代理可以支持大量潛在的移動節(jié)點.移動節(jié)點 必須信任轉(zhuǎn)發(fā)代理適當?shù)鼐S持它們的HIT和IP地址映射.轉(zhuǎn)發(fā)代理 可以甚至被用于位置固定的節(jié)點����,因為通常是這樣的情況,即固定節(jié) 點可以經(jīng)常改變它們的IP地址�����,例如當它每次被分配的時候��, 一個 互聯(lián)網(wǎng)連接由服務(wù)提供商為那個節(jié)點建立.如果兩個節(jié)點都是移動的并且碰巧同時移動�,那么也需要轉(zhuǎn)發(fā)代 理。在那種情況下�,HIP轉(zhuǎn)寄分組將在網(wǎng)絡(luò)中相互穿過并且從不到達 對等節(jié)點.為了解決這種情況,節(jié)點應(yīng)當記住轉(zhuǎn)發(fā)代理地址�,并且如 果沒有收到任何應(yīng)答的話則重新發(fā)送該HIP轉(zhuǎn)寄分組給轉(zhuǎn)發(fā)代理.移動節(jié)點通過建立與轉(zhuǎn)發(fā)代理的HIP聯(lián)系和給它發(fā)送包含轉(zhuǎn)寄的 HIP更新分組來保持其當前在轉(zhuǎn)發(fā)代理上的地址.轉(zhuǎn)發(fā)代理將允許兩 個移動系統(tǒng)使用HIP而無需任何外來的基礎(chǔ)結(jié)構(gòu)(除了轉(zhuǎn)發(fā)代理本身 之外),包括DNS����,如果它們具有除了 DNS查詢以獲得彼此的HI和HIT 之外的方法.在傳統(tǒng)設(shè)備的情況下,主機可能不是HIP使能的����,并且唯一的選 擇是使用IP地址識別主機之間的連接。這是不安全的�����。這種情況可 以通過在HIP使能的主機和不能使用HIP的主機之間安置HIP代理來 改善。典型的情形將是小型公司LAN,其中客戶端不是HIP使能的�����。 業(yè)務(wù)通過HIP代理被路由到對應(yīng)的主機(該主機是HIP使能的).這種安排被示出在附圖的圖5中.在圖5中�����,傳統(tǒng)主機12被顯 示與HIP使能節(jié)點14 (具有域名"hip.foo.com")通過HIP代理16 進行通信.傳統(tǒng)主機12通過接入網(wǎng)絡(luò)18接入HIP代理16��,同時HIP 代理16通過互聯(lián)網(wǎng)20接入HIP節(jié)點14.為了部分地保護傳統(tǒng)主機12 和HIP節(jié)點14之間的連接�,HIP代理16和HIP節(jié)點14之間的所有通 信通過以類似于上面參照圖3描述的方式在HIP代理16和HIP節(jié)點14 之間建立的安全聯(lián)系.然而,甚至在如圖5中所示的安全聯(lián)系22可以被建立以在傳統(tǒng) 主機12和HIP節(jié)點14之間能夠通信之前�����,當傳統(tǒng)主機12試困通過 向DNS服務(wù)器24-l(并且依次是DNS服務(wù)器24-2 )發(fā)送查詢來決定HIP 節(jié)點14的IP地址時出現(xiàn)問題���,此時HIP節(jié)點14位于如上所描述的 轉(zhuǎn)發(fā)代理26之后.DNS服務(wù)器24-1將返回HIP節(jié)點14的HIT以及轉(zhuǎn) 發(fā)代理26的IP地址。因為傳統(tǒng)主機12不是HIP使能的���,它將不管HIT 而開始發(fā)送消息給轉(zhuǎn)發(fā)代理26.沒有HIT,轉(zhuǎn)發(fā)代理26將不能夠決 定這些消息的目的地地址����,因為最有可能的是幾個HIP節(jié)點將使用相 同的轉(zhuǎn)發(fā)代理26.同樣地,因為傳統(tǒng)主機12當發(fā)起連接時丟棄HIT 并且僅使用HIP節(jié)點14的IP地址�����,HIP代理16不能夠發(fā)起在自身和 HIP節(jié)點14之間的HIP協(xié)商�,因為它不知道HIP節(jié)點14的HIT.我們 的PCT申請?zhí)朠CT/EP04/050129解決了這個問趙,當在第三代(3G)移動通信網(wǎng)絡(luò)中實現(xiàn)HIP時引起其他的技術(shù)考 慮���,其中3G環(huán)境中的并非所有的用戶設(shè)備(UE)都是HIP使能的. 在這個上下文中����,通用移動通信系統(tǒng)(UMTS)是全球移動通信系統(tǒng) (GSM)的3G后繼者.GSM向UMTS的最重要演進階段是通用分組無線 業(yè)務(wù)(GPRS) . GPRS引入分組交換到GSM核心網(wǎng)絡(luò)并且允許直接接入 到分組數(shù)據(jù)網(wǎng)絡(luò)(PDN).這使得能夠通過GSM核心網(wǎng)絡(luò)進行恰好超 過ISDN的64kbps限制的高數(shù)據(jù)速率分組交換傳輸�,其是高達2Mbps 的UMTS數(shù)據(jù)傳輸速率所必需的.GPRS是UMTS引入的前提.希望提供上面所描述的主機標識協(xié)議的至少一些好處,用于在一 個網(wǎng)絡(luò)環(huán)境比如UMTS或GPRS中工作的傳統(tǒng)主機和在另一個網(wǎng)絡(luò)環(huán)境 比如互聯(lián)網(wǎng)中工作的HIP使能主機之間的通信�����,根據(jù)本發(fā)明的第一方面��,提供了一種使用主機標識協(xié)議HIP至少
部分地保護第一和第二主機之間的通信的方法��,其中第一主機不是HIP 使能的并且第二主機是HIP使能的��,該方法包括使第一主機和保持 在遠程服務(wù)器上的持久HIP標識關(guān)聯(lián)�����;從遠程服務(wù)器獲得持久HIP標 識的公共部分和授權(quán)第 一和第二主機之間的網(wǎng)關(guān)節(jié)點以便在隨后的協(xié) 商步驟中使用與第一主機關(guān)聯(lián)的臨時HIP標識的證書;并且使用持久 HIP標識��、臨時HIP標識和證書中的每一個的至少一部分協(xié)商在網(wǎng)關(guān) 節(jié)點和第二主機之間的安全HIP連接.
獲得步驟可以包括發(fā)送臨時HIP標識的公共部分給遠程服務(wù)器.獲得步驟可以包括在證書中包括臨時HIP標識的公共部分.獲得步驟可以包括在遠程服務(wù)器上使用持久HIP標識的私鑰部分 簽署證書.獲得步碟可以包括發(fā)送證書給網(wǎng)關(guān)節(jié)點.公共部分可以是持久HIP標識的公鑰部分.協(xié)商步驟可以包括從網(wǎng)關(guān)節(jié)點到笫二主機發(fā)送至少一個分組����,該 至少一個分組使用臨時HIP標識的私鑰部分來簽署.協(xié)商步驟可以包括從網(wǎng)關(guān)節(jié)點到第二主機發(fā)送證書.協(xié)商步驟可以包括從網(wǎng)關(guān)節(jié)點到笫二主機發(fā)送持久HIP標識的公 共部分.持久HIP標識的公共部分可以在與證書相同的分組中發(fā)送.證書可以在第二主機處用于驗證網(wǎng)關(guān)節(jié)點在協(xié)商步驟期間使用臨 時HIP標識的權(quán)利.持久HIP標識和證書的公共部分可以用于驗證權(quán)利.持久HIP標識的HIP^^共標識符部分在網(wǎng)關(guān)和笫二主機之間的HIP 連接的協(xié)商期間可以被包括在HIP報頭中.該方法可以包括在網(wǎng)關(guān)節(jié)點上產(chǎn)生臨時HIP標識.遠程服務(wù)器可以在獲得步驟期間與笫一主機和網(wǎng)關(guān)節(jié)點之間的服 務(wù)節(jié)點進行通信.獲得步驟可以包括從網(wǎng)關(guān)節(jié)點到服務(wù)節(jié)點發(fā)送臨時HIP標識的公 共部分。服務(wù)節(jié)點可以是服務(wù)GPRS支持節(jié)點(SGSN)�����。 該方法可以包括在HIP聚集服務(wù)器中更新與第一主機的位置有關(guān) 的信息.
更新步驟可以由遠程服務(wù)器來響應(yīng)于獲得步?�;蛘咴讷@得步驟期 間執(zhí)行�����。HIP聚集服務(wù)器和遠程服務(wù)器可以作為單個服務(wù)器來提供���。 HIP聚集服務(wù)器可以位于第一主機的歸屬網(wǎng)絡(luò)中. 網(wǎng)關(guān)節(jié)點可以提供HIP代理功能. 網(wǎng)關(guān)節(jié)點可以是網(wǎng)關(guān)GPRS支持節(jié)點(GGSN). 遠程服務(wù)器可以位于第一主機的本地網(wǎng)絡(luò)中. 遠程服務(wù)器可以是認證服務(wù)器.該方法可以包括,當新的網(wǎng)關(guān)節(jié)點在第一和第二主機之間變得有 效時�����,使用笫一主機的同一持久HIP標識作為協(xié)商新網(wǎng)關(guān)節(jié)點和第二 主機之間的新安全HIP連接的基礎(chǔ).該方法可以包括基于包括在從第一主機向第二主機的隨后通信中 的第二主機的HIP公共標識符,在新的網(wǎng)關(guān)節(jié)點處使用查詢程序來安 置第二主機.該方法可以包括丟掉先前的安全HIP連接.根據(jù)本發(fā)明的第二方面���,提供了一種主機標識協(xié)議HIP的方法����, 用于其中非HIP使能主機與HIP使能主機通過多個網(wǎng)關(guān)節(jié)點依次進行 通信的網(wǎng)絡(luò)中���,包括使用保持在遠程服務(wù)器處的用于所使用的每個這 樣網(wǎng)關(guān)節(jié)點的第一主機的持久HIP標識.根據(jù)本發(fā)明的第三方面�����,提供了一種通信系統(tǒng)����,包括第一和第 二主機�����,其中第一主機不是主機標識協(xié)議HIP使能的并且笫二主機是 HIP使能的�;第一和笫二主機之間的網(wǎng)關(guān)節(jié)點;用于保持與第一主機 關(guān)聯(lián)的持久HIP標識的遠程服務(wù)器�����;用于從遠程服務(wù)器獲得持久HIP 標識的公共部分和授權(quán)網(wǎng)關(guān)節(jié)點來使用與笫一主機關(guān)聯(lián)的臨時HIP標 識來協(xié)商安全HIP連接的證書的裝置;以及用于使用持久HIP標識�、 臨時HIP標識和證書的每一個的至少一部分來協(xié)商網(wǎng)關(guān)節(jié)點和第二主 機之間的安全HIP連接由此使用主機標識協(xié)議至少部分地保護第一和 第二主機之間的通信的裝置。根據(jù)本發(fā)明的第四方面��,提供了 一種由網(wǎng)絡(luò)的一個服務(wù)節(jié)點使用 的�����,用于使用主機標識協(xié)議HIP至少部分地保護網(wǎng)絡(luò)的第一和第二主 機之間的通信的方法����,其中第一主機不是HIP使能的并且笫二主機是 HIP使能的,該網(wǎng)絡(luò)包括用于保持與第一主機有關(guān)的持久HIP標識的
遠程服務(wù)器���,并且該方法包括從遠程服務(wù)器獲得持久HIP標識的公 共部分和證書����,該證書授權(quán)第一和第二主機之間的網(wǎng)絡(luò)的網(wǎng)關(guān)節(jié)點以 在隨后的步驟中使用與第一主機關(guān)聯(lián)的臨時HIP標識來使用持久HIP 標識����、臨時HIP標識和證書的每一個的至少一部分協(xié)商網(wǎng)關(guān)節(jié)點和笫 二主機之間的安全HIP連接.根據(jù)本發(fā)明的笫五方面,提供了一種設(shè)備��,用作網(wǎng)絡(luò)的服務(wù)器節(jié) 點���,用于使用主機標識協(xié)議HIP至少部分地保護網(wǎng)絡(luò)的第一和第二主 機之間的通信�,其中第一主機不是HIP使能的并且第二主機是HIP使 能的��,該網(wǎng)絡(luò)包括遠程服務(wù)器��,用于保持與笫一主機關(guān)聯(lián)的持久HIP 標識���,并且該設(shè)備包括用于從遠程服務(wù)器獲得持久HIP標識的公共 部分和證書的裝置����,該證書授權(quán)第一和笫二主機之間的網(wǎng)絡(luò)的網(wǎng)關(guān)節(jié) 點的以便在隨后的過程中使用與笫一主機關(guān)聯(lián)的臨時HIP標識來使用 持久HIP標識�、臨時HIP標識和證書的每一個的至少一部分協(xié)商網(wǎng)關(guān) 節(jié)點和笫二主機之間的安全HIP連接.根據(jù)本發(fā)明的笫六方面,提供了一種由網(wǎng)絡(luò)的第一和笫二主機之 間的一個網(wǎng)關(guān)節(jié)點使用的���,用于使用主機標識協(xié)議HIP至少部分地保 護第一和第二主機之間的通信的方法�����,其中笫一主機不是HIP使能的 并且笫二主機是HIP使能的����,該網(wǎng)絡(luò)包括用于保持與第一主機關(guān)聯(lián) 的持久HIP標識的遠程服務(wù)器,以及用于從遠程服務(wù)器獲得持久HIP 標識的公共部分和授權(quán)網(wǎng)關(guān)節(jié)點來使用與第一主機關(guān)聯(lián)的臨時HIP標 識的證書的裝置�,并且該方法包括使用持久HIP標識、臨時HIP標 識和證書的每一個的至少一部分來協(xié)商網(wǎng)關(guān)節(jié)點和第二主機之間的安 全HIP連接.根據(jù)本發(fā)明的第七方面��,提供了一種設(shè)備�����,用作網(wǎng)絡(luò)的第一和第 二主機之間的網(wǎng)關(guān)節(jié)點��,用于使用主機標識協(xié)議HIP至少部分地保護 第一和第二主機之間的通信����,其中第一主機不是HIP使能的并且第二 主機是HIP使能的,該網(wǎng)絡(luò)包括遠程服務(wù)器����,用于保持與第一主機關(guān) 聯(lián)的持久HIP標識,以及用于從遠程服務(wù)器獲得持久HIP標識的公共 部分和授權(quán)該設(shè)備使用與笫一主機有關(guān)的臨時HIP標識的證書的裝 置���,該設(shè)備包括用于使用持久HIP標識�、臨時HIP標識和證書的每 一個的至少一部分協(xié)商該設(shè)備和笫二主機之間的安全HIP連接的裝 置��。
根據(jù)本發(fā)明的第八方面�,提供了一種操作程序�����,其當在設(shè)備上運 行時引起設(shè)備節(jié)點執(zhí)行根據(jù)本發(fā)明的第四或第六方面的方法.根據(jù)本發(fā)明的第九方面����,提供了一種操作程序�,其當被裝栽到設(shè) 備上時引起設(shè)備成為根據(jù)本發(fā)明的第五或第七方面的設(shè)備.操作程序可以被攜帶在承栽介質(zhì)上.承栽介質(zhì)可以是傳輸介質(zhì). 承載介質(zhì)可以是存儲介質(zhì).在本發(fā)明的上下文中�����,HIP標識包括HIP密鑰對���,本身包括HIP 公鑰和HIP私鑰.與HIP標識中的HIP公鑰關(guān)聯(lián)的是獨立的HIP公共 標識符���,其可以例如是如上所述的主機標識標簽(HIT)或者局域標 識符(LSI, Local Scope Identifier) . HIP標識的公共部分是HIP 公鑰或者HIP公共標識符或者兩者.HIP 乂^共標識符可以按照需要從 HIP公鑰產(chǎn)生.附圖簡述圖1,如上所討論的,示出了主機標識協(xié)議中的不同層�;圖2,也如上所討論的���,示出了在HIP協(xié)議中的四次握手的操作�����;圖3,也如上所討論的���,示出了 HIP中的邏輯和實際分組結(jié)構(gòu)���;圖4,也如上所討論的��,示出了 IPv6和IPv4之間的切換�����;圖5����,也如上所討論的,示出了用于在傳統(tǒng)主機和HIP模式之間通過HIP代理進行通信的一般網(wǎng)絡(luò)設(shè)置的示意圖���;圖6是示出了本發(fā)明的實施例所應(yīng)用的GPRS/UMTS網(wǎng)絡(luò)結(jié)構(gòu)的部件的框圖�����;圖7是示出了 PDP上下文激活程序的一個例子的信令圖�����;圖8是示出了使用主機標識協(xié)議來至少部分地保護傳統(tǒng)的第一主機和HIP使能的笫二主機之間的通信的方法的信令圖����;圖9示出了使用標識符的128比特表示的終端用戶地址信息; 圖IO示出了使用標識符的32比特表示的終端用戶地址信息���; 圖11示出了在所述方法中發(fā)送的特定消息的HIP和IP報頭的內(nèi)容�����;以及圖12是示出了根據(jù)本發(fā)明的一個實施例的方法的信令圖. 本發(fā)明的實施例將在如圖6中所示的GPRS/UMTS網(wǎng)絡(luò)結(jié)構(gòu)的框架
中加以描述.本發(fā)明的實施例的基本原理同等適用于UMTS,因為它們 適用于GPRS —樣'如上所述�,GPRS已經(jīng)設(shè)計為對現(xiàn)有GSM網(wǎng)絡(luò)基礎(chǔ)結(jié)構(gòu)的擴展,目 的是提供非連接的分組數(shù)據(jù)業(yè)務(wù)���。GPRS在GSM上引入多個新的功能部 件�����,支持基于IP的分組數(shù)據(jù)的端到端傳輸��,正像如下將要討論的��。如圖6中所示的通信系統(tǒng)100包括與基站收發(fā)信機站(BTS) 104 通信的移動站(MS) 102���,基站收發(fā)信機站(BTS) 104依次與基站控 制器(BSC) 106進行通信.BTS 104和BSC 106 —起構(gòu)成基站子系統(tǒng) (BSS)�����。在BSC 106處��,分組控制單元(PCU��,未示出)���,區(qū)別于送 往電話網(wǎng)110的電路交換數(shù)據(jù)與送往分組數(shù)據(jù)網(wǎng)120的分組交換數(shù) 據(jù),電話網(wǎng)110可以例如是公共交換電話網(wǎng)絡(luò)(PSTN)或綜合業(yè)務(wù)數(shù) 字網(wǎng)(ISDN)���,而分組數(shù)據(jù)網(wǎng)絡(luò)可以例如是分組交換公共數(shù)據(jù)網(wǎng)���、互 聯(lián)網(wǎng)或者企業(yè)LAN.電路交換數(shù)據(jù)通過結(jié)合了訪問位置寄存器(VLR)的移動交換中 心(MSC)被路由到電話網(wǎng)110.另一方面,分組交換數(shù)據(jù)通過服務(wù)GPRS 支持節(jié)點(SGSN) 112和網(wǎng)關(guān)GPRS支持節(jié)點(GGSN) 114被路由到分 組數(shù)據(jù)網(wǎng)120, MSC 108����、 SGSN112和GGSN 114接入到歸屬位置寄存器 (HLR) 116,其是一個包含訂戶信息的數(shù)據(jù)庫����,訂戶信息是例如是業(yè) 務(wù)��、賬目狀態(tài)信息��、喜好��、和與訂戶有關(guān)的IP地址.在圖6中��,域 名系統(tǒng)(DNS)服務(wù)器118被示作通過分組數(shù)據(jù)網(wǎng)120可接入.還示 出了被連接到分組數(shù)據(jù)網(wǎng)120的主機122.使用了標準GSM網(wǎng)絡(luò)上的GPRS引入了兩個主要的新的核心網(wǎng)絡(luò) 部件SGSN 112和GGSN 114. SGSN 112監(jiān)控移動站102的狀態(tài)并且 跟蹤它在給定地理區(qū)域內(nèi)的移動����。它還負責建立和管理移動用戶和目 的網(wǎng)絡(luò)之間的數(shù)據(jù)連接.如果用戶移動到由不同SGSN管理的網(wǎng)絡(luò)的 一部分��,它將執(zhí)行到新的SGSN的切換.GGSN 114提供GPRS網(wǎng)絡(luò)環(huán)境和外部分組數(shù)據(jù)網(wǎng)絡(luò)環(huán)境120比如 互聯(lián)網(wǎng)和企業(yè)內(nèi)聯(lián)網(wǎng)之間的聯(lián)接點.每個外部網(wǎng)絡(luò)120被給定一個唯 一的接入點名(APN),其由移動用戶使用來建立到所要求的目的網(wǎng) 絡(luò)的連接�。另外的信息可以從GPRS和UMTS的技術(shù)規(guī)范中找到����,所述 4支術(shù)規(guī)范可以從http: 〃www. 3gpp. org中得到。在移動站102能夠使用GPRS業(yè)務(wù)之前���,它必須使用GPRS聯(lián)接程
序(attach procedure)與GPRS網(wǎng)絡(luò)的SGSN 112登記��。在該聯(lián)接程 序期間���,網(wǎng)絡(luò)檢查用戶是否被授權(quán)����,從HLR 116到SGSN 112復(fù)制用 戶簡檔���,并且為用戶指配一個分組臨時移動訂戶標識(P-TMSI).其 中移動站102已經(jīng)連接到SGSN 112��,更新位置消息被發(fā)送到由于新的 SGSN 112而執(zhí)行位置更新程序的適當HLR 116��。關(guān)于GPRS聯(lián)接程序的 更詳細的信息可以在(2003-12 ) GPRS才支術(shù)規(guī)范3GPP TS 23. 060 V6. 3, 0 的章節(jié)6.5中找到.從GPRS網(wǎng)絡(luò)斷開被稱作GPRS分離.它可以由移 動站或者由網(wǎng)絡(luò)(SGSN 112或HLR 116)發(fā)起.一旦完成聯(lián)接程序���,網(wǎng)絡(luò)能夠跟蹤MS102 (通過隨后的位置更新) 并且知道用戶已經(jīng)接入的業(yè)務(wù)和網(wǎng)絡(luò).然而,在這點上���,用戶不能夠 發(fā)送數(shù)據(jù)到分組數(shù)據(jù)網(wǎng)120或從分組數(shù)據(jù)網(wǎng)120接收數(shù)據(jù)�。為了在成 功的GPRS聯(lián)接之后與分組數(shù)據(jù)網(wǎng)120交換數(shù)據(jù)分組���,分組數(shù)據(jù)協(xié)議 (PDP)上下文必須首先被激活.在現(xiàn)有技術(shù)GPRS系統(tǒng)中�����,沒有HIP協(xié)議��,為了在成功的GPRS聯(lián) 接之后與外部分組數(shù)據(jù)網(wǎng)交換數(shù)據(jù)分組�����,移動站必須在分組數(shù)據(jù)網(wǎng)中 申請一個或多個地址���,例如在其中分組數(shù)據(jù)網(wǎng)為IP網(wǎng)的情況下為IP 地址.這個地址被稱作PDP地址.對于每個會話�����,創(chuàng)建一個PDP上下 文����,其描述了會話的特征����。它包含PDP類型(例如,IPv4)���、被指配 給移動站的PDP地址、所請求的服務(wù)質(zhì)量(QoS)�、以及當作到分組 數(shù)據(jù)網(wǎng)的接入點的GGSN 114的地址.這個上下文被存儲在移動站102、 SGSN 112��、以及GGSN114中�,使用有效的PDP上下文����,移動站102 "可 看見"外部分組數(shù)據(jù)網(wǎng)120并且能夠發(fā)送和接收數(shù)據(jù)分組.兩個地址 PDP和IMSI (國際移動系統(tǒng)標識符)之間的映射�,使得GGSN 114能 夠在分組數(shù)據(jù)網(wǎng)120和移動站102之間傳送數(shù)據(jù)分組.圖7示出了這樣的PDP上下文激活程序的一個例子.在步驟SI 中,激活PDP上下文請求從MS 102被發(fā)送到SGSN 112.在步驟S2中����, 執(zhí)行平常的安全功能(例如,用戶認證).如果準予接入����,則SGSN 112 將發(fā)送創(chuàng)建PDP上下文請求消息給所影響的GGSN 114 (步猓S3 ) 。 GGSN 114在它的PDP上下文表格中創(chuàng)建一個新項��,其使得GGSN 114能夠在 SGSN 112和外部分組數(shù)據(jù)網(wǎng)120之間路由數(shù)據(jù)分組�,GGSN 114然后在 步驟S4中返回創(chuàng)建PDP上下文響應(yīng)給SGSN 112,其包含所指配的PDP 地址�����,例如IPv4地址'在步驟S5中���,SGSN 112更新它的PDP上下文 表格并且使用激活PDP上下文接受消息向MS 102確認新PDP上下文 的激活���。GPRS PDP上下文激活程序在上面所述GPRS技術(shù)規(guī)范的章節(jié) 9.2.2中更詳細地加以描述����,并且上面所描述的消息交換(稱作"隧 道管理消息")在UMTS/GPRS技術(shù)規(guī)范ETSI TS 129.060 V5. 8. 0 (2003-12 )的章節(jié)7. 3中更具體地加以描述��。我們的PCT申請?zhí)朠CT/EP04/050533公開了一種系統(tǒng)����,其中上面 所述的PDP上下文激活程序仍舊適用但是被修改以使得在GPRS網(wǎng)絡(luò) 環(huán)境中的移動站102和在分組數(shù)據(jù)網(wǎng)絡(luò)環(huán)境120的主機122之間能夠 通信,以使用HIP至少部分地被保護.如上所述���,為了提供對于網(wǎng)絡(luò) 內(nèi)部的節(jié)點的HIP支持�����,要求HIP代理來至少部分地為在網(wǎng)絡(luò)環(huán)境中 工作的傳統(tǒng)終端提供HIP優(yōu)勢.在GPRS網(wǎng)絡(luò)環(huán)境的上下文中���,PCT申 請?zhí)朠CT/EP04/050533公開了 一種系統(tǒng),其中HIP代理被提供作為GGSN 114的一部分����,這樣使得圖6的GGSN 114是GGSN HIP代理114,接著是在本發(fā)明的一個實施例中的這個基本方法���,盡管在下面進 一步描述了主要實現(xiàn)的差別.然而�����,以前方法的描述將有助于對本發(fā) 明的實施例的理解.現(xiàn)在���,將參照圖8更詳細地描述在PCT申請?zhí)朠CT/EP04/050533 中公開的系統(tǒng)���,其中圖6的主機122是HIP使能的主機122并且移動 站102是傳統(tǒng)的(非HIP使能的)移動站102.圖8是示出了在PCT申請?zhí)朠CT/EP04/050533中公開的使用主機 標識協(xié)議來至少部分地保護工作在第一網(wǎng)絡(luò)環(huán)境(GPRS網(wǎng)絡(luò)環(huán)境)下 的第一主機(傳統(tǒng)的MS 102)和工作在笫二網(wǎng)絡(luò)環(huán)境(分組數(shù)據(jù)交換 網(wǎng)絡(luò)環(huán)境)下的第二主機(HIP主機122)之間的通信的方法的信令 圖.GGSN HIP代理114構(gòu)成這兩個網(wǎng)絡(luò)環(huán)堍之間的網(wǎng)關(guān).在步騍T1中,傳統(tǒng)MS 102發(fā)起PDP上下文激活程序.在根據(jù)這 個例子的PDP上下文激活程序中�,GGSN HIP代理114產(chǎn)生一個密鑰對 (HI和密鑰)并且將它與傳統(tǒng)的MS 102進行關(guān)聯(lián),在GGSN HIP代理 114中存儲該密鑰對.基于公鑰(HI)�����,標識符被產(chǎn)生并且與傳統(tǒng)的 MS 102進行關(guān)聯(lián),并且然后被傳送到傳統(tǒng)MS 102作為用于PDP上下 文的地址�。這不同于上面描述的常規(guī)的PDP上下文激活程序�����,其中IP 地址通常作為PDP地址被返回到移動站102.在其中IPv6用于傳統(tǒng)MS 102的情況下�����,與傳統(tǒng)MS 102關(guān)聯(lián)的標
識符是如上所述的主機標識符標簽(HIT)���,其與IPv6地址的長度相 同��,并且這里被稱作HITMS (GGSN).在其中IPv4用于傳統(tǒng)MS 102 的情況下�,標識符是如上所述的局域標識符(LSI),其與IPv4地址 的長度相同���,并且這里被稱作LSIMS(GGSN).在前一種情況下(IPv6)�����, 創(chuàng)建PDP上下文響應(yīng)中的終端用戶地址如圖9所示�����,而在后一種情況 下(IPv4)����,終端用戶地址如圖10中所示。不管什么形式的標識符���,由傳統(tǒng)MS 102接收在終端用戶地址中����, 并且MS 102存儲該標識符用作如下所述的隨后的會話發(fā)起消息中的 源地址.因此���,重要的是�����,標識符的長度與由傳統(tǒng)MS 102使用的尋 址方案的源地址字段相同.當傳統(tǒng)MS 102隨后希望做出到HIP主機122的連接時,如困8 的步驟T2中所示的�,它發(fā)送一個DNS查詢來獲得HIP主機122的IP 地址����。DNS查詢通過GGSN HIP代理114到達DNS服務(wù)器118. DNS服 務(wù)器118返回HIP主機122的IP地址IP冊,以及HIP主機122的HIT 即HITHH���,并且這個信息被存儲在GGSN HIP代理114. HITHH然后被 發(fā)送到傳統(tǒng)MS 102����,并且將在下面描述的隨后的會話發(fā)起消息中用作 目的地指示符.目的地指示符將被插入到會話發(fā)起消息的目的地地址 字段中����,并且因此重要的是目的地指示符與會話發(fā)起消息的目的地地 址字段長度相同.因此,如果傳統(tǒng)MS 102僅是IPv4使能的����,響應(yīng)它 的DNS查詢被發(fā)送到傳統(tǒng)MS 102的目的地指示符必須與IPv4地址的 長度相同�����。GGSN HIP代理114必須因此分配LSI,或者IPv4地址�,或 者用于HIP主機122的某些其它的32比特的表示,其在移動網(wǎng)絡(luò)環(huán) 境內(nèi)是唯一的.隨后���,在GGSN HIP代理114處要求地址翻譯�,這是 本領(lǐng)域的技術(shù)人員所容易做得到的.在步驟T3中�,會話發(fā)起消息從傳統(tǒng)的MS 102發(fā)送到GGSN HIP代 理114, IP報頭中的源字段被設(shè)置為HITMS (GGSN)標識符并且目的 字段被設(shè)置為HIT冊���,如圖11中所示的.在IPv4尋址的情況下�,目 的地地址被設(shè)置為HIP主機122的LSI即LSIHH(或者LSI被分配給HIP 主機122��,其中IPv6到IPv4的翻譯在操作中).一旦接收到會話發(fā)起消息����,GGSN HIP代理114注意到它已經(jīng)存儲 HIT (或LSI),該HIT(或LSI)匹配跟著如上面步驟T2中所述的DNS 查詢的所接收的分組的目的HIT (或LSI),因此�,GGSN HIP代理114
知道所打算的目的節(jié)點是HIP使能的并且傳統(tǒng)MS 102和HIP主機122 之間的通信可以使用主機標識協(xié)議至少部分地得到保護���。在這個例子 中,GGSN HIP代理114不能找到在它和HIP主機122之間連接的安全 聯(lián)系���,因此它隨后執(zhí)行如上參照圖2的HIP 4次握手以創(chuàng)建GGSN HIP 代理114和HIP主機122之間的安全聯(lián)系��。HIP握手如圖8中的步驟 T4所示.用于4次HIP握手的II和Rl分組報頭如圖11所示.在用于II 和Rl分組的HIP報頭中�,發(fā)起方字段被設(shè)置為HITMS (GGSN)并且響 應(yīng)方字段被設(shè)置為HIT冊����。在IP報頭中,IPGGSN用于II分組的源字 段和Rl分組的目的字段�,而IP冊用于II分組的目的字段和Rl分組 的源字段。當安全聯(lián)系已經(jīng)在GGSN HIP代理114和HIP主機122之間建立時��, 在步驟T5中��,GGSN HIP代理114使用安全聯(lián)系發(fā)送(在步驟T3中從 傳統(tǒng)MS 102接收的)會話發(fā)起消息給HIP主機122.在步稞T6中�����, 會話發(fā)起確認被返回到傳統(tǒng)MS 102.隨后�,在傳統(tǒng)MS 102和HIP主機122之間的通信現(xiàn)在可以繼續(xù), GGSN HIP代理114和HIP主機122之間的通信使用HIP安全聯(lián)系得到 保護。當GGSN HIP代理114接收來自HIP主機122的分組時�����,它處理 該分組并且基于分組的目的HIT作為常規(guī)IP分組發(fā)送數(shù)據(jù)給傳統(tǒng)MS 102���,該HIT與在步驟T1中被指配給傳統(tǒng)MS 102的一樣.如上所述����,在HIP協(xié)商以建立GGSN HIP代理114和HIP主機122 之間的安全聯(lián)系期間��,并且在傳統(tǒng)MS 102和HIP主機122之間通過GGSN HIP代理114的隨后通信期間��,使用了 HITMS (GGSN)和為傳統(tǒng)MS 102 產(chǎn)生的關(guān)聯(lián)的密鑰對��,而不是GGSN HIP代理114自身的HIT和密鑰 對.這就使得獨立的安全聯(lián)系(或者一對安全聯(lián)系)為與HIP主機122 進行通信的每個傳統(tǒng)MS 102而創(chuàng)建.如果使用了 GGSN HIP代理114 的HIT和密鑰對�,并且存在多個與同一 HIP主機122進行通信的移動 站���,則GGSN HIP代理114和HIP主機122之間的通信將使用相同的安 全聯(lián)系并且沒有任何信息被用于GGSN HIP代理114來分離不同移動 站之間的連接�����;來自對等的所有進入的分組將包含同一目的地IP和 SPI.然而�,如果僅有一個MS與特定HIP主機122通話,則將有可能 使用GGSN HIP代理114的HIT和密鑰對�����。
在上面所述的例子中�,在步驟T2/P2中的DNS查詢之后,HIP主 機122的HIPHH將被返回到MS 102作為DNS響應(yīng)的一部分�,隨后,HITHH 被用作會話發(fā)起消息中的目的地IP地址��,在II分組被發(fā)送到HIP代 理122之前在GGSN HIP代理114處從HITHH正確翻譯到IPHH�。應(yīng)當 理解,實際的IP地址����,IPHH,還可以被返回到MS 102作為DNS響應(yīng) 的一部分�,這樣使得IP冊可以被直接用在會話發(fā)起消息的目的地IP 地址字段。在這個例子中�,GGSN HIP代理114將需要確定主機122實 際上是以某種方式HIP使能的,例如通過參考本地存儲的HITHH和IPHH 之間的聯(lián)系.在上面的例子中����,標識符HITMS (GGSN)在HIP協(xié)商期間被使用 并且因此它必須是正確的形式并且與密鑰對有關(guān).然而,甚至在這個 例子中���,標識符HITMS (GGSN)本身不需要被發(fā)送到傳統(tǒng)MS 102;全 部所需在于關(guān)于HITMS (GGSN)的某種標識符被發(fā)送到傳統(tǒng)MS 102并 且隨后被用作會話發(fā)起消息中的源IP地址.這個標識符將然后在GGSN HIP代理114處被鏈接到HITMS (GGSN)用于隨后的HIP協(xié)商.如上所述��,PCT申請?zhí)朠CT/EP04/050533 乂>開了一種系統(tǒng)����,其中 臨時HIP私鑰、公鑰(HI)和HIT在GGSN處為傳統(tǒng)終端而創(chuàng)建以響 應(yīng)于來自傳統(tǒng)終端所聯(lián)接到的SGSN的PDP上下文激活請求���,這個臨 時HIP標識然后被用于協(xié)商GGSN和傳統(tǒng)終端試圖與之進行通信的HIP 主機之間的安全HIP連接.具體地����,臨時HIT被用于協(xié)商分組����,并且 該分組在GGSN處使用臨時HIP私鑰被簽署����。然而,使用如PCT申請?zhí)朠CT/EP04/050533中所陳述的這樣的方 法����,不存在任何與傳統(tǒng)終端關(guān)聯(lián)的永久或持久HIP標識,而是不同的 且臨時的HIP標識為所使用的每個GGSN所創(chuàng)建.對于傳統(tǒng)終端來說 不具有任何可能性以在使用同一 HIP標識的不同網(wǎng)絡(luò)之間漫游.在終 端和單個HIP標識之間存在唯一聯(lián)系方面的HIP的好處因此部分地由 這個方法所否定.在本發(fā)明的一個實施例中采取的方法也提供傳統(tǒng)終端���,具有它自 身的持久HIP標識.由于傳統(tǒng)終端按定義不是HIP使能的���,它不能知 道或理解HIP標識���,因此傳統(tǒng)終端的HIP標識(私鑰、公鑰或HI����、 HIT) 在遠處服務(wù)器處被產(chǎn)生并且存儲.這個方法的一個潛在的問題在于GGSN需要不僅與傳統(tǒng)終端有關(guān)
的公共HIT,而且需要與傳統(tǒng)終端有關(guān)的HIP私鑰。從遠程服務(wù)器到 GGSN傳送HIP私鑰將是不安全的��,并且因此需要一個不同的方法.然而����,在本發(fā)明的一個實施例中,僅傳統(tǒng)終端的公共標識被從遠 程服務(wù)器傳送到GGSN�����,并且新的臨時的HIP標識在GGSN處產(chǎn)生并且 與傳統(tǒng)終端關(guān)聯(lián).遠程服務(wù)器還發(fā)送證書給GGSN����,其授權(quán)GGSN來使 用臨時HIP標識來代表傳統(tǒng)終端協(xié)商安全的HIP連接。當傳統(tǒng)終端聯(lián) 系無線網(wǎng)絡(luò)時��,該證書從遠程服務(wù)器請求.證書請求可以與認證數(shù)據(jù) 請求相結(jié)合(技術(shù)規(guī)范3GPP TS 33.102 V6. 3.0 ( 2004-12 )章節(jié)6.3.2) 或者它可以在認證數(shù)據(jù)請求之后單獨完成.當一個新的傳統(tǒng)終端進入 所訪問的網(wǎng)絡(luò)區(qū)域中時,臨時標識可以被預(yù)產(chǎn)生或者網(wǎng)絡(luò)可以應(yīng)請求 產(chǎn)生它們.在GGSN和第二 (HIP使能的)主機之間的HIP協(xié)商期間���,傳統(tǒng)終 端的持久HIT用于分組報頭中����,但是分組被使用臨時私鑰簽署.這個 不匹配由HIP主機所識別�,但是參照在HIP協(xié)商期間從GGSN發(fā)送到HIP 主機的證書來解決.該證書驗證GGSN被授權(quán)代表由HIT識別的傳統(tǒng) 終端使用協(xié)商HIP連接,并且這允許HIP協(xié)商繼續(xù)�,這樣使得安全的 HIP連接可以在GGSN和HIP主機之間被創(chuàng)建.現(xiàn)在將參照圖12描述遵循上述方法的本發(fā)明的一個特定實施例。 如圖12所示的HLR/認證服務(wù)器(AuC)與上面所提到的"遠程服務(wù)器" 相同���,并且術(shù)語認證服務(wù)器和遠程服務(wù)器在這個上下文中是相當?shù)摹?本地環(huán)境中和被訪問環(huán)境中的節(jié)點基本相同���,并且唯一的差別在于當 傳統(tǒng)設(shè)備在被訪問環(huán)境中時,認證服務(wù)器保持在傳統(tǒng)終端的本地環(huán)境 中并且被訪問環(huán)境將使用傳統(tǒng)終端的本地環(huán)境認證服務(wù)器.體現(xiàn)本發(fā)明的方法中的隨后步驟對應(yīng)于圖12中所示的內(nèi)容.步驟Pl:響應(yīng)于傳統(tǒng)終端����,做出聯(lián)接到無線網(wǎng)絡(luò)(節(jié)點B和RNC或無線網(wǎng) 絡(luò)控制器���,相當于圖6的BTS 104和BSC 106)的請求�,SGSN/VLR請 求認證傳統(tǒng)終端.現(xiàn)在為傳統(tǒng)終端選擇臨時HIP標識�����,包括臨時HIP私鑰和臨時HIP 公鑰。GGSN要求臨時私鑰用于HIP協(xié)商���,目的是能夠簽署HIP分組(這 方面的更多詳情��,見下面)����,并且臨時私鑰必須保持在GGSN用于安 全����。此外,SGSN要求臨時公鑰用于發(fā)送到認證服務(wù)器被認證.HIP私鑰總是HIP公鑰的源�,并且這樣GGSN必須以某種或其他方 式提供臨時公鑰給SGSN.將被認證的臨時公鑰必須匹配GGSN隨后在 HIP協(xié)商中使用的私鑰。為了證明GGSN具有代表傳統(tǒng)終端使用臨時私 鑰簽署分組的權(quán)利�,GGSN還必須具有已經(jīng)使用傳統(tǒng)終端的持久HIP標 識(私鑰)認證的匹配的臨時公鑰.臨時HIP標識可以要么在GGSN中產(chǎn)生以響應(yīng)于在步驟PI中的來 自SGSN的請求,臨時公鑰被提供給SGSN用于發(fā)送到認證服務(wù)器�,或 者臨時標識池的可以被預(yù)產(chǎn)生,預(yù)產(chǎn)生的一個或多個臨時公鑰為SGSN 預(yù)先被提供以如步驟P1中所要求的那樣使用.在任何一種情況下����,GGSN 必須隨后使用在HIP協(xié)商中的匹配的臨時私鑰.步驟P2:認證服務(wù)器使用認證矢量(技術(shù)規(guī)范3GPP TS 33. 102 V6. 3. 0 (2004-12 )章節(jié)6.3.2)、所要求的證書��、以及傳統(tǒng)終端的持久公鑰 進行響應(yīng)。認證服務(wù)器保持與它有關(guān)的傳統(tǒng)終端的持久HIP標識的數(shù) 據(jù)庫.證書包含作為發(fā)行者的傳統(tǒng)終端的持久公鑰��,作為主題的臨時 公鑰���,與有效性時間以及這個證書認證主題的行為類型有關(guān)的信息. 該證書使用傳統(tǒng)終端的持久私鑰進行簽署.步驟P3: SGSN/VLR發(fā)送用戶認證請求給終端(技術(shù)規(guī)范3GPP TS 33.102 V6. 3. 0 ( 2004-12 )章節(jié)6. 3.1),步碟P4:傳統(tǒng)終端使用用戶認證響應(yīng)進行響應(yīng).步驟P5:傳統(tǒng)終端發(fā)送PDP上下文激活請求給SGSN.步騍P6: SGSN發(fā)送PDP上下文激活請求給GGSN�,在請求中包括 證書和傳統(tǒng)終端的持久公鑰.步驟P7: GGSN使用PDP上下文激活響應(yīng)來響應(yīng)SGSN.步驟P8: SGSN轉(zhuǎn)發(fā)PDP上下文激活響應(yīng)給傳統(tǒng)終端.所指配的 地址是HIT或從傳統(tǒng)終端的持久公鑰產(chǎn)生的LSI����。如上所述,HIT或LSI 是與由第一主機所使用的IP尋址方案中的地址相同���。然后向外去的 連接(從傳統(tǒng)終端到HIP CN)按如下被建立.步驟P9:傳統(tǒng)終端發(fā)起面向HIPCN的連接(使用TCPSYN消息)�����。步驟P10: HIP協(xié)商從使用Il分組開始�,在HIP報頭中包含HITCN 和HITLT (其中LT代表傳統(tǒng)終端)���。步驟Pll: HIP CN使用Rl分組做出響應(yīng).
步驟P12: GGSN發(fā)送12分組����,其具有與II分組同樣的HIT.它 在分組中設(shè)置證書比特�����,這樣使得HIPCN知道證書將跟隨�����。然而���,HIP CN還不能夠驗證12分組����,因為它包含"錯誤"的署名HIT從持久 公鑰產(chǎn)生�,但是分組使用在GGSN處產(chǎn)生的臨時私鑰來簽署。步驟P13: GGSN發(fā)送證書給HIPCN��。從證書中HIP CN可以確i人HIP 信令責任被托付給臨時HIP標識.步驟P14: HIP協(xié)商使用R2分組結(jié)束.IPsec安全聯(lián)系現(xiàn)在已經(jīng) 在GGSN和HIP CN之間創(chuàng)建.步驟P15: TCP SYN分組通過IPsec連接被發(fā)送以建立數(shù)據(jù)連接.步驟P16: TCP SYN ACK分組通過IPsec連接被從HIP CN發(fā)送到 GGSN.步驟P17: TCP SYN ACK分組被發(fā)送到傳統(tǒng)終端.步驟P18:可以發(fā)起數(shù)據(jù)傳輸��,至少部分地受到在GGSN和和HIP CN 之間建立的安全HIP連接的保護.上面所述程序關(guān)于從傳統(tǒng)終端向HIP CN的外出連接.現(xiàn)在接著 是描述本發(fā)明的一個實施例可以如何被應(yīng)用到從HIP CN到傳統(tǒng)終端 的進入連接.在主機標識協(xié)議中���,聚集服務(wù)器或轉(zhuǎn)發(fā)代理被定義用作向著實際 目的地主機的當前位置的用于連接發(fā)起分組(II)的轉(zhuǎn)發(fā)點.HIP主 機使用它的當前位置更新聚集服務(wù)器��,其接著可以使用HIT轉(zhuǎn)發(fā)一個 進入的II分組��,來映射HIP主機的當前位置.上面更具體描述了 HIP 聚集服務(wù)器或轉(zhuǎn)發(fā)代理的概念和基本操作.上下文激活如上所述在步驟PI至P8中繼續(xù)進行.其后�����,認證服 務(wù)器為傳統(tǒng)終端保持當前GGSN信息.上面提到的DNS包含關(guān)于傳統(tǒng)終端的信息.在本發(fā)明的一個實施 例的上下文中���,例如它將包含傳統(tǒng)終端的FQDN (完全合格的域名)�����, 由本地網(wǎng)絡(luò)保持的傳統(tǒng)終端的持久主機標識(在認證服務(wù)器或某些其 它的節(jié)點上)�,以及到位于本地網(wǎng)絡(luò)的某處的固定聚集服務(wù)器的IP 地址���。固定聚集服務(wù)器可以例如是認證服務(wù)器(其可能不是理想的����, 因為它將需要被直接連接到互聯(lián)網(wǎng))��,"本地"GGSN或某種單獨的聚 集節(jié)點.當SGSN聯(lián)系認證服務(wù)器時(步驟P1和P2)�,認證服務(wù)器可 以更新傳統(tǒng)終端的當前位置到聚集服務(wù)器。 當HIP CN為來自DNS (或某種其它的查詢服務(wù))的傳統(tǒng)終端解答 主機信息時�����,它將傳統(tǒng)終端的HI和IP地址提供給聚集服務(wù)器,它然 后通過發(fā)送II分組給那個地址開始HIP協(xié)商 聚集服務(wù)器使用分組 中的HIT向正確GGSNI轉(zhuǎn)發(fā)II分組.當II分組到達傳統(tǒng)終端正在通信的GGSN時�,GGSN可以發(fā)現(xiàn)持久 HIT和主機的當前臨時標識之間的映射.現(xiàn)在它可以使用其中設(shè)置了 證書比特的Rl分組響應(yīng)HIP CN.隨后,它發(fā)送包含認證信息的CER 分組用于使用臨時私鑰簽署分組.Rl分組中的公鑰是臨時公鑰�����,即由所訪問網(wǎng)絡(luò)產(chǎn)生的臨時HI. Rl 分組包含臨時公鑰�����,因為那是GGSN將使用用于簽署分組的密鑰.在Rl 分組中的HIP報頭包含LT的持久HIT.當GGSN使用Rl分組響應(yīng)時���, 它還發(fā)送跟著Rl分組的證書分組.在這個證書分組中,持久公鑰被 傳送并且它還驗證GGSN已經(jīng)允許代表傳統(tǒng)終端使用臨時標識.12和R2分組結(jié)束HIP協(xié)商����,并且IPsec SA在HIP CN和當前GGSN 之間建立。連接建立正常地在到GGSN中的HIP代理的IPsec隧道上 完成���,其轉(zhuǎn)發(fā)TCP SYN到所訪問網(wǎng)絡(luò)中的傳統(tǒng)終端.本發(fā)明的一個實施例考慮了一種用于應(yīng)付傳統(tǒng)終端從一個網(wǎng)絡(luò)到 另一個網(wǎng)絡(luò)漫游的直接方法�����,當傳統(tǒng)終端移動并且改變網(wǎng)絡(luò)時�,它還 可以改變GGSN.如果GGSN改變,則PDP上下文必須在新網(wǎng)絡(luò)中被重 新創(chuàng)建����,新PDP上下文如上所述在步驟PI至P8中被激活.當傳統(tǒng)終 端在新網(wǎng)絡(luò)中發(fā)送第一數(shù)據(jù)分組(不必是新連接嘗試,而是任何類型 的分組)時���,新GGSN執(zhí)行用于分組中的目的地HIT的反向查詢程序���。 反向查詢可以使用例如分布式散列表(DHT)服務(wù)器或類似服務(wù)器來 完成.這些技術(shù)在 IRTF HIP研究組(IRTF HIP-RG , http: 〃www. irtf. org/charters/hip. html)中有所研究�����。當反向查詢 已經(jīng)被成功執(zhí)行時�,GGSN能夠發(fā)送新II分組給HIP CN并且如上所述 完成基本交換步驟P10至P13.在已經(jīng)完成基本交換之后,HIP CN將 除去舊的HIP聯(lián)系并且設(shè)置新的聯(lián)系作為傳統(tǒng)終端的新位置.傳統(tǒng)終端應(yīng)用可以繼續(xù)它的任務(wù)不中斷���,因為從它的角度看該端 點不改變�,盡管在新GGSN和HIP CN之間存在新的安全聯(lián)系�。如果在傳統(tǒng)終端已經(jīng)漫游到網(wǎng)絡(luò)之后的第一通信是從HIP CN到 傳統(tǒng)終端(不是如上所述的反之亦然),則HIP CN將發(fā)送分組到傳
統(tǒng)終端的轉(zhuǎn)發(fā)代理(聚集服務(wù)器).如果HLR/AuC已經(jīng)更新傳統(tǒng)終端 的位置到轉(zhuǎn)發(fā)代理���,然后轉(zhuǎn)發(fā)代理將轉(zhuǎn)發(fā)分組到新的GGSN����,其中新的 GGSN將應(yīng)答HIP CN,這是一個未知的聯(lián)系�����,當HIP CN接收到這個應(yīng) 答時��,HIP CN將發(fā)送新的II分組并且開始重新HIP協(xié)商并且協(xié)商如 上所述地繼續(xù)進行�����。傳統(tǒng)終端的持久HIP標識的使用大大有助于考慮漫游.使用臨時 HIP標識���,HIP CN主機不能驗證傳統(tǒng)終端與它以前在以前的網(wǎng)關(guān)節(jié)點 或GGSN下的一樣.使用本發(fā)明的一個實施例,漫游方案使用臨時標 識綁定到永久或持久標識�����,其然后驗證到HIP CN�����,這個傳統(tǒng)終端實際 上與前面的相同�,即使它具有新的網(wǎng)關(guān)節(jié)點或GGSN以及新的臨時標 識,在前面所考慮的方案中,每次傳統(tǒng)終端改變網(wǎng)關(guān)節(jié)點或GGSN時���, 傳統(tǒng)終端將獲得新的臨時標識�,并且如果傳統(tǒng)終端去激活PDP上下文 并且再次激活PDP上下文則新的臨時標識也被產(chǎn)生.使用本發(fā)明的一 個實施例��,傳統(tǒng)終端具有永夂標識并且它能夠在網(wǎng)絡(luò)之間漫游并且可 以仍舊作為同一實體被識別��,如上所述���,這是HIP的核心思想����,就是 那個標識不依賴于節(jié)點的地理位置��,并且無論節(jié)點移動到哪里���,該標 識保持相同并且節(jié)點可以作為在每個地理和拓樸位置上的同一實體被 識別���,應(yīng)當理解, 一個或多個傳統(tǒng)終端����、SGSN��、 GGSN HIP代理和HIP主 機的操作可以由設(shè)備或裝置上操作的程序來控制.這樣的操作程序可 以被存儲在計算機可讀介質(zhì)上�,或者例如可以被包含在信號比如從互 聯(lián)網(wǎng)網(wǎng)站提供的可下栽數(shù)據(jù)信號中.所附權(quán)利要求將被解釋為獨立覆 蓋操作程序����,或者作為在栽體上的記錄,或者作為信號�,或者為任何其他形式.本領(lǐng)域的技術(shù)人員將理解到本發(fā)明的實施例不必限制到用于每一 個層例如在傳輸或網(wǎng)絡(luò)層上的任何特定協(xié)議或?qū)ぶ贩桨福⑶覍⒃贖IP 框架中作用�����,無論什么尋址或傳榆協(xié)議用于那個框架��。
權(quán)利要求
1.一種使用主機標識協(xié)議HIP至少部分地保護第一和第二主機之間的通信的方法����,其中第一主機不是HIP使能的并且第二主機是HIP使能的�,該方法包括使第一主機和保持在遠程服務(wù)器上的持久HIP標識關(guān)聯(lián);從遠程服務(wù)器獲得持久HIP標識的公共部分和授權(quán)第一和第二主機之間的網(wǎng)關(guān)節(jié)點的證書����,以便在隨后的協(xié)商步驟中使用與第一主機關(guān)聯(lián)的臨時HIP標識;并且使用持久HIP標識���、臨時HIP標識和證書中的每一個的至少一部分協(xié)商在網(wǎng)關(guān)節(jié)點和第二主機之間的安全HIP連接�。
2. 根據(jù)以上任一權(quán)利要求所述的方法,其中獲得步驟包括發(fā)送 臨時HIP標識的公共部分給遠程服務(wù)器.
3. 根據(jù)權(quán)利要求2所述的方法�����,其中獲得步驟包括在證書中包 括臨時HIP標識的公共部分.
4. 根據(jù)以上任一權(quán)利要求所述的方法�����,其中獲得步驟包括在遠 程服務(wù)器上使用持久HIP標識的私鑰部分簽署證書.
5. 根據(jù)以上任一權(quán)利要求所述的方法����,其中獲得步驟包括發(fā)送 證書給網(wǎng)關(guān)節(jié)點.
6. 根據(jù)以上任一權(quán)利要求所述的方法,其中公共部分是持久HIP 標識的公鑰部分.
7. 根據(jù)以上任一權(quán)利要求所述的方法���,其中協(xié)商步驟包括從網(wǎng) 關(guān)節(jié)點到第二主機發(fā)送至少一個分組�,該至少一個分組使用臨時HIP 標識的私鑰部分來簽署.
8. 根據(jù)以上任一權(quán)利要求所述的方法�����,其中協(xié)商步跺包括從網(wǎng) 關(guān)節(jié)點到第二主機發(fā)送證書�。
9. 根據(jù)以上任一權(quán)利要求所述的方法,其中協(xié)商步驟包括從網(wǎng) 關(guān)節(jié)點到第二主機發(fā)送持久HIP標識的公共部分.
10. 根據(jù)權(quán)利要求9所述的方法�,當從屬于權(quán)利要求8時���,其中 持久HIP標識的公共部分在與證書相同的分組中發(fā)送。
11. 根據(jù)以上任一權(quán)利要求所述的方法���,包括在第二主機處使用 證書用于驗證網(wǎng)關(guān)節(jié)點在協(xié)商步驟期間使用臨時HIP標識的權(quán)利����。
12. 根據(jù)權(quán)利要求11所述的方法�,其中持久HIP標識的公共部 分和證書用于驗證權(quán)利.
13. 根據(jù)以上任一權(quán)利要求所述的方法,其中持久HIP標識的HIP 公共標識符部分在網(wǎng)關(guān)和第二主機之間的HIP連接的協(xié)商期間可以被 包括在HIP"J艮頭中���。
14. 根據(jù)以上任一權(quán)利要求所述的方法����,包括在網(wǎng)關(guān)節(jié)點上產(chǎn)生 臨時HIP標識.
15. 根據(jù)以上任一權(quán)利要求所述的方法�����,其中遠程服務(wù)器在獲得 步驟期間與第 一主機和網(wǎng)關(guān)節(jié)點之間的服務(wù)節(jié)點進行通信.
16. 根據(jù)權(quán)利要求15所述的方法���,其中獲得步驟包括從網(wǎng)關(guān)節(jié) 點到服務(wù)節(jié)點發(fā)送臨時HIP標識的公共部分.
17. 根據(jù)權(quán)利要求15或16所述的方法,其中服務(wù)節(jié)點是服務(wù)GPRS 支持節(jié)點(SGSN).
18. 根據(jù)以上任一權(quán)利要求所述的方法��,包括在HIP聚集服務(wù)器 中更新與第一主機的位置有關(guān)的信息.
19. 根據(jù)權(quán)利要求18所述的方法,其中更新步稞由遠程服務(wù)器 來響應(yīng)于獲得步驟或者在獲得步驟期間執(zhí)行���。
20. 根據(jù)權(quán)利要求18或19所述的方法��,其中HIP聚集服務(wù)器和 遠程服務(wù)器作為單個服務(wù)器來提供.
21. 根據(jù)權(quán)利要求18���、 19或20所述的方法,其中HIP聚集服務(wù) 器位于第一主機的本地網(wǎng)絡(luò)中��。
22. 根據(jù)以上任一權(quán)利要求所述的方法����,其中網(wǎng)關(guān)節(jié)點提供HIP 代理功能。
23. 根據(jù)以上任一權(quán)利要求所述的方法���,其中網(wǎng)關(guān)節(jié)點是網(wǎng)關(guān)GPRS 支持節(jié)點(GGSN).
24. 根據(jù)以上任一權(quán)利要求所述的方法���,其中遠程服務(wù)器位于第 一主機的本地網(wǎng)絡(luò)中.
25. 根據(jù)以上任一權(quán)利要求所述的方法,其中遠程服務(wù)器是認證 服務(wù)器.
26. 根據(jù)以上任一權(quán)利要求所述的方法�,包括當新的網(wǎng)關(guān)節(jié)點在 第一和第二主機之間變得有效時,使用第一主機的同一持久HIP標識作為協(xié)商新網(wǎng)關(guān)節(jié)點和第二主機之間的新的安全HIP連接的基礎(chǔ).
27. 根據(jù)權(quán)利要求26所述的方法�,包括基于包括在從第一主機 向笫二主機的隨后通信中的笫二主機的HIP公共標識符,在新的網(wǎng)關(guān) 節(jié)點處使用查詢程序來安置第二主機�����。
28. 根據(jù)權(quán)利要求26或27所述的方法,包括丟掉先前的安全HIP 連接�。
29. —種主機標識協(xié)議HIP方法,用于其中非HIP使能主機與HIP 使能主機通過多個網(wǎng)關(guān)節(jié)點依次進行通信的網(wǎng)絡(luò)中���,包括使用保持在 遠程服務(wù)器的用于所使用的每個這樣網(wǎng)關(guān)節(jié)點的笫一主機的持久HIP 標識�。
30. —種通信系統(tǒng)��,包括第一和第二主機����,其中笫一主機不是 主機標識協(xié)議HIP使能的并且第二主機是HIP使能的;第一和第二主 機之間的網(wǎng)關(guān)節(jié)點����;用于保持與笫一主機關(guān)聯(lián)的持久HIP標識的遠程 服務(wù)器;用于從遠程服務(wù)器獲得持久HIP標識的公共部分和授權(quán)網(wǎng)關(guān) 節(jié)點來使用與笫一主機關(guān)聯(lián)的臨時HIP標識來協(xié)商安全HIP連接的證 書的裝置��;以及用于使用持久HIP標識���、臨時HIP標識和證書的每一 個的至少一部分來協(xié)商網(wǎng)關(guān)節(jié)點和第二主機之間的安全HIP連接由此 使用主機標識協(xié)議至少部分地保護第一和第二主機之間的通信的裝 置。
31. —種由網(wǎng)絡(luò)的一個服務(wù)節(jié)點使用的�����,用于使用主機標識協(xié)議 HIP至少部分地保護網(wǎng)絡(luò)的第一和第二主機之間的通信的方法,其中 第一主機不是HIP使能的并且第二主機是HIP使能的��,該網(wǎng)絡(luò)包括用 于保持與第一主機有關(guān)的持久HIP標識的遠程服務(wù)器����,并且該方法包 括從遠程服務(wù)器獲得持久HIP標識的公共部分和證書���,該證書授權(quán) 第 一和第二主機之間的網(wǎng)關(guān)節(jié)點以便在隨后步猓中使用與第 一主機關(guān) 聯(lián)的臨時HIP標識�,以使用持久HIP標識���、臨時HIP標識和證書中的 每一個的至少一部分協(xié)商在網(wǎng)關(guān)節(jié)點和笫二主機之間的安全HIP連 接。
32. —種設(shè)備�����,用作網(wǎng)絡(luò)的服務(wù)器節(jié)點���,用于使用主機標識協(xié)議 HIP至少部分地保護網(wǎng)絡(luò)的第一和第二主機之間的通信���,其中第一主 機不是HIP使能的并且第二主機是HIP使能的,該網(wǎng)絡(luò)包括遠程服務(wù) 器,用于保持與第一主機關(guān)聯(lián)的持久HIP標識�,并且該設(shè)備包括用 于從遠程服務(wù)器獲得持久HIP標識的公共部分和證書的裝置,該證書 授權(quán)第一和笫二主機之間的網(wǎng)絡(luò)的網(wǎng)關(guān)節(jié)點以在隨后的過程中使用與 第一主機關(guān)聯(lián)的臨時HIP標識來使用持久HIP標識�、臨時HIP標識和 證書的每一個的至少一部分協(xié)商網(wǎng)關(guān)節(jié)點和第二主機之間的安全HIP 連接.
33. —種由網(wǎng)絡(luò)的第 一和第二主機之間的一個網(wǎng)關(guān)節(jié)點使用的, 用于使用主機標識協(xié)議HIP至少部分地保護第一和第二主機之間的通 信的方法���,其中第一主機不是HIP使能的并且笫二主機是HIP使能的�����, 該網(wǎng)絡(luò)包括用于保持與笫一主機關(guān)聯(lián)的持久HIP標識的遠程服務(wù)器����, 以及用于從遠程服務(wù)器獲得持久HIP標識的公共部分和授權(quán)網(wǎng)關(guān)節(jié)點 使用與第一主機關(guān)聯(lián)的臨時HIP標識的證書的裝置����,并且該方法包括 使用持久HIP標識、臨時HIP標識和證書的每一個的至少一部分協(xié)商 網(wǎng)關(guān)節(jié)點和第二主機之間的安全HIP連接.
34. —種設(shè)備�,用作網(wǎng)絡(luò)的第一和第二主機之間的網(wǎng)關(guān)節(jié)點,用 于使用主機標識協(xié)議HIP至少部分地保護第一和笫二主機之間的通 信�,其中第一主機不是HIP使能的并且第二主機是HIP使能的,該網(wǎng) 絡(luò)包括遠程服務(wù)器���,用于保持與第一主機關(guān)聯(lián)的持久HIP標識����,以及 用于從遠程服務(wù)器獲得持久HIP標識的公共部分和授權(quán)該設(shè)備使用與 第一主機關(guān)聯(lián)的臨時HIP標識的證書的裝置�,該設(shè)備包括用于使用 持久HIP標識、臨時HIP標識和證書的每一個的至少一部分來協(xié)商該 設(shè)備和笫二主機之間的安全HIP連接的裝置.
35. —種操作程序����,其當在設(shè)備上運行時引起設(shè)備節(jié)點執(zhí)行根據(jù) 權(quán)利要求31或33所述的方法.
36. —種操作程序,其當被裝栽到設(shè)備上時引起設(shè)備成為根據(jù)權(quán) 利要求32或34所述的設(shè)備.
37. 根據(jù)權(quán)利要求35或36所述的操作程序�,其被承栽在承栽介 質(zhì)上。
38. 根據(jù)權(quán)利要求37所述的操作程序����,其中承栽介質(zhì)是傳輸介質(zhì)。
39. 根據(jù)權(quán)利要求37所述的操作程序����,其中承栽介質(zhì)是存儲介質(zhì)。
全文摘要
本發(fā)明提供了一種使用主機標識協(xié)議HIP至少部分地保護第一和第二主機之間的通信的方法�,其中第一主機不是HIP使能的并且第二主機是HIP使能的。持久的HIP標識與第一主機關(guān)聯(lián)并且被保持在遠程服務(wù)器處�����。持久HIP標識的公共部分以及授權(quán)第一和第二主機之間的網(wǎng)關(guān)節(jié)點以在隨后的協(xié)商步驟中使用與第一主機關(guān)聯(lián)的臨時HIP標識的證書從遠程服務(wù)器獲得�。使用持久HIP標識���、臨時HIP標識和證書中的每一個的至少一部分協(xié)商在網(wǎng)關(guān)節(jié)點和第二主機之間的安全HIP連接。提供了一種主機標識協(xié)議HIP方法��,用于其中非HIP使能的主機與HIP使能的主機依次通過多個網(wǎng)關(guān)節(jié)點進行通信的網(wǎng)絡(luò)中��,該方法包括使用保持在遠程服務(wù)器的用于所使用的每個這樣網(wǎng)關(guān)節(jié)點的第一主機的持久HIP標識�����。
文檔編號H04L29/06GK101120572SQ200580048215
公開日2008年2月6日 申請日期2005年11月17日 優(yōu)先權(quán)日2005年2月18日
發(fā)明者J·梅倫, P·喬克拉 申請人:艾利森電話股份有限公司