專利名稱:在快速路由器發(fā)現(xiàn)中路由廣告認證的制作方法
技術領域:
本發(fā)明涉及用于支持對從接入點直接接收的路由廣播消息進行認證 的方法和移動節(jié)點����。
背景技術:
當移動節(jié)點(MN)進入新的接入點(AP)的域時����,其必須配置新的網(wǎng) 際協(xié)議(IP)地址以便通過該AP與因特網(wǎng)通信,該新的IP地址通常包 括網(wǎng)際協(xié)議版本6 (IPv6)地址�。為達此目的,MN需要從鏈接到該AP 的接入路由器(AR)接收路由廣告(RtAdv)消息����,該消息包括網(wǎng)絡前 綴,MN使用該網(wǎng)絡前綴來配置新的IP地址���。只有當新的IP地址已經(jīng)被 完全地配置時���,MN可以開始與因特網(wǎng)進行分組數(shù)據(jù)通信。對IP地址的配置是長久的過程��。首先����,盡管AR通常以多播形式發(fā)送 周期RtAdv消息,但是以比每三(3)秒一次的更高速率發(fā)送這樣的消 息是不^皮批準的(RFC2461, 'Neighbor Discovery for IP Version 6 (IPv6)', T. Narten, E. Nordmark�����, W. Simpson, IETF���, December 1998 )���。 其次,為了防止不同的移動節(jié)點或其他客戶機獲得同一 IP地址和中斷 彼此的通信�,作為IP配置過程的一部分,M化必須發(fā)起重復地址檢測 (DAD)程序�����。DAD程序在IP地址獲取過程中引入大約一 (1)秒的大的 時延����。由低周期的路由廣告消息以及由DAD程序引入的時延在切換期間 變得嚴重����,因為它們添加了不合需要的等待時間(latency)���。當移動 節(jié)點(MN)正在運行時間敏感的應用時�����,該等待時間尤其有害�����?��?焖俾酚善靼l(fā)現(xiàn)(FRD )提議('Fast Router Discovery with RA Caching', draft-jinchoi-dna-frd-OO. txt, JinHyeock. Choi, DongYun. Shin, IETF����, July 12, 2004 )目的在于最小化強制時延�����,如 RFC2461所述,其防止MN在移動到新的鏈路之后立即從新的AR接收 RtAdv��。為此目的��,快速路由器發(fā)現(xiàn)(FRD)包括在AP中高速緩存一個 或多個RtAdv消息的內(nèi)容�����。當MN進入給定AP的域時�,其向AP發(fā)送相 關請求消息����。因為AP已經(jīng)高速緩存RtAdv消息的內(nèi)容,其然后在發(fā)送 相關響應消息到MN的同時將該內(nèi)容轉(zhuǎn)發(fā)到MN��。這使得MN不需要等待周期的RtAdv便能夠開始配置其IP地址的過程�����。上述情形的主要威脅在于在惡意AP中高速緩存假的RtAdv消息����,其 允許對MN發(fā)起輕易的拒絕服務(DoS)攻擊。在快速路由器發(fā)現(xiàn)技術中,具有允許對從接入點直接接收的路由廣告 消息的有效性進行驗證的方法和移動節(jié)點�����,是明顯有利的��。發(fā)明內(nèi)容因此��,本發(fā)明的較寬目的是提供一種方法和移動節(jié)點(MN)以允許為 MN提供特定級別的信任�����,即高速緩存在接入點(AP)中的路由廣告 (RtAdv)消息屬于合法接入路由器(AR)����。本發(fā)明的笫一方面涉及在MN中認證從AP接收到的第一廣告的方法, 該廣告代表從AR接收的并且高速緩存在AP中的數(shù)據(jù)����。該廣告包括網(wǎng)絡 前綴,MN需要該網(wǎng)絡前綴以用于建立網(wǎng)際協(xié)議(IP)地址����。該廣告還包 括Nonce索引和已散列Nonce值(Hashed Nonce Value)。在從AP接 收到第一廣告后���,MN立即開始建立IP地址的過程���。與此同時����,其向接 入路由器發(fā)送包含Nonce索引的懇請(solicitation)���。在建立IP地 址的過程進行中時,MN接收包括Nonce值的第二廣告�����。MN對Nonce值 進行散列并且將散列結果與已散列Nonce值進行比較��。如果比較是成功 的�,則MN保持IP地址。本發(fā)明的第二方面涉及在MN中認證從AP接收到的第 一廣告的方法���, 其中當在MN上已散列Nonce值與對Nonce值進行散列的結果的比較不 成功時��,MN丟掉IP地址并且通過使用在第二廣告中接收的網(wǎng)絡前綴發(fā) 起建立新的IP地址�。本發(fā)明的第三方面涉及在MN中認證從AP接收到的第一廣告的方法����, 其中MN和AR使用加密生成地址(CGA)密鑰來進一步認證廣告和懇請�。本發(fā)明的第四方面涉及用于認證從AP接收到的第一廣告的MN,該廣 告代表從AR接收的并且高速緩存在AP中的數(shù)據(jù)�。移動節(jié)點包括接收器 用于接收廣告、臨時存儲器��,用于存儲在廣告中接收的信息元素并且用 于存儲IP地址�、發(fā)射器,用于發(fā)射懇請�、處理器,用于配置IP地址并 且用于對在廣告中所接收的Nonce值進行散列�,和判定邏輯。處理器基 于在第一廣告中所接收的網(wǎng)絡前綴配置IP地址�����。同時���,發(fā)射器發(fā)送包 括在第一廣告中所接收的Nonce索引的懇請���。接收器接收包括Nonce值的第二廣告。處理器對Nonce值進行散列���。判定邏輯將散列結果與在第 一廣告中所接收的已散列Nonce值進行比較�。如果比較是正的,則判定 邏輯判定要保持IP地址���。
為了更詳細理解本發(fā)明��、為了其進一步目的和優(yōu)點���,現(xiàn)在結合附圖參 照以下描述,其中圖1是部分移動IPv6網(wǎng)絡的表示��;圖2a和2b示出在移動節(jié)點上對從接入點接收的廣告進行認證的方法 的示意性表示����;以及圖3示出根據(jù)本發(fā)明所建立的示意性移動節(jié)點����。
具體實施方式
將特別參照優(yōu)選實施例的各種示意性使用和方面對本發(fā)明的創(chuàng)新教 導進行描述。然而����,應當理解,該實施例僅提供本發(fā)明的創(chuàng)新教導的許 多有利使用的一些示例��。通常�����,本申請的說明書中所作的陳述不是必要 地限制本發(fā)明所要求保護的各個方面。另外�, 一些陳迷可以適用于一些 創(chuàng)造性特征而不是其他的創(chuàng)造性特征。在所迷附圖的描述中����,相同的附 圖標記代表本發(fā)明的相同元件。本發(fā)明提供了支持快速路由器發(fā)現(xiàn)(FRD)方法的方法和移動節(jié)點 (MN),在該快速路由器發(fā)現(xiàn)(FRD)方法中從接入路由器(AR)發(fā)送 的周期廣告(例如周期路由廣告(RtAdv))的內(nèi)容被高速緩存在接入 點(AP)中��。當MN進入給定AP的域或覆蓋區(qū)域時�����,其向AP發(fā)送相關 請求(AssReq)消息���。根據(jù)FRD方法��,AP通過發(fā)送相關響應(AssResp) 以及信息元素���、形成之前高速緩存在AP中的RtAdv內(nèi)容來響應于 AssReq。由AP提供給MN的RtAdv可以作為AssResp的一部分4皮發(fā)送或 者也可以和AssResp —起^f皮發(fā)送����。為了向MN提供一種手段以認證由AP 提供的RtAdv是合法的����,根據(jù)本發(fā)明��,由AR發(fā)送的并且高速緩存在AP 中的周期RtAdv包括認證值�。認證值優(yōu)選地由Nonce索引(Nonce Index) 和已散列Nonce值構成;已經(jīng)在AR中生成的已散列Nonce值是通過對 4吏用Nonce索引尋址于AR表格中的Nonce值進4亍散列得來的�。Nonce在 此被限定為只能被使用一次的數(shù)目。 一旦其接收到RtAdv��, MN根據(jù)FRD方法發(fā)起配置IP地址的程序����。與該配置過程一起并且為了驗證從AP接 收到的RtAdv是合法的,MN向AR發(fā)送懇請��。在該懇請中�����,根據(jù)本發(fā)明�, MN包含Nonce索引���。AR接收Nonce索引并且取回相應Nonce ^f直��。AR在 新的RtAdv中向MN發(fā)送Nonce值�。當MN接收到該新的RtAdv時,其對 Nonce值進行散列并且將該散列結杲與其已經(jīng)和較早的RtAdv —起接收 的已散列Nonce值進行比較����。如果兩個散列值是相等的,這意味著其已 經(jīng)接收的較早的RtAdv是來自該AR的���,并且不是由AP發(fā)送的惡意信息 的結果����。不管此時配置IP地址的過程是否完成��,MN認為由此引起的IP 地址是有效的��。在本發(fā)明的上下文中�,MN可以包含移動蜂窩電話、個人數(shù)字助理���、膝 上型計算機等等����。AP可以包括IEEE 802.11接入點、IEEE S02.16接入 點等等�。AP和AR可以被實現(xiàn)在單個裝置中或者被實現(xiàn)為由通信鏈路連 接的不同元件。為了給對本發(fā)明的優(yōu)選實施例的描述提供基礎���,現(xiàn)在參考附圖����,其中 圖1示出部分移動IPv6 (MIPv6)網(wǎng)絡100的表示��。MIPv6網(wǎng)絡100包 括移動節(jié)點(MN) 110、接入點(AP) 120、 130和140以及接入路由器 (AR) 150和160�。 一個AR可以連接到一個或許多AP����。那些本領域普通 技術人員將認識到MIPv6網(wǎng)絡100 —般地將包括大量MN 110�����。 MN 110 只通過AP 120�����、 130或140通信���,^旦是由MN IIO發(fā)送的消息可以預定 到達AP120��、 130或140,或者到達AR 150或160����。 AR150和160周期 地發(fā)送RtAdv消息以佳:得4壬何MN 110能夠配置IP地址��。RtAdv消息通 過AP 120�、 130和140 4皮發(fā)送到MN 110。才艮據(jù)FRD方法�,AP120、 130 和140能夠在它們的高速緩沖存儲器中保持RtAdv內(nèi)容的副本����。當MN IOO進入AP 120、 130或140的一些的域或覆蓋區(qū)域時����,其在 路徑180上將AssReq發(fā)送到AP 120、 130或140所選擇的其中一個中���, _清求建立會話���。如果AP 120、 130或140是有FRD能力(FRD-capable ) 的,則其在發(fā)送到MN 110的AssResp中包括最近高速緩存的RtAdv的 內(nèi)容�����。該RtAdv的內(nèi)容經(jīng)由路徑180在MN 110中#:接收�,通常快于由 AR 150或160直接發(fā)送的最終的周期RtAdv�����。這使得MN 110能夠立即 開始對IP地址進行配置以用于與AR 150或160通信����。當這太頻繁地發(fā)生,惡意AP 170可能存在于圖1的MIPv6網(wǎng)絡100 中���。如果MN IIO接入到惡意AP 170而不是接入到合法AP 120����、 130或140中的一個���,其在路徑190上發(fā)送AssReq��。惡意AP170使用包括欺 騙性RtAdv信息的AssResp進行響應����。MN 110然后基于欺騙性信息配置 無效的IP地址�。基于該會話是合法的信任��,MN 110可以然后嘗試與無 效的IP地址建立會話���。惡意AP 170可以使用該會話通過例如向MN 110 發(fā)送病毒或者從MN IIO檢索機密信息來引起對MN IIO或?qū)ζ溆脩舻膿p 害?,F(xiàn)在上文已經(jīng)描迷了支持FRD方法的MIPv6網(wǎng)絡的環(huán)境�,現(xiàn)在將參照 圖2a和2b描述本發(fā)明的優(yōu)選實施例的方面�,圖2a和2b示出在移動節(jié) 點上對從接入點接收的廣告進行認證的方法的示意性表示���。圖2a和2b 的MN 110�、 AP 120以及AR 150都是根據(jù)本發(fā)明的教導被建立的���。在步驟205, AR 150以不超過每三(3)秒一次的速率通過AP 120周 期地發(fā)送廣告(例如路由廣告(RtAdv)消息)����。RtAdv消息被多播并且 預定到在AP 120覆蓋范圍中的所有終端,例如用戶便攜式設備����。RtAdv 包括以AR 150的網(wǎng)絡前綴��、Nonce索引(NI)�����、已散列Nonce值(HNV )、 AR 150的地址以及可選地AR的公鑰(ARK+)形式的信息�。在本發(fā)明的 優(yōu)選實施例中�,ARK+是加密生成地址 (CGA)密鑰����。如果在步驟205給 定MN 110已經(jīng)在AP 120的覆蓋范圍內(nèi)�����,則其接收周期RtAdv����??蛇x地��, 在步驟207, AR 150也可以以更高的速率發(fā)送另外的NI-HNV對到AP UO�����。 在步驟210, AP 120在其內(nèi)部存儲器中高速緩存來自周期RtAdv 205以 及可選的另外NI-HNV對207的信息�。在步驟215,沒有較早地接收周期RtAdv消息的另一個MN 110進入 AP 120的覆蓋范圍或域��。為了建立會話,其在步驟220向AP 120發(fā)送 相關請求(AssReq)消息來請求建立連接��。在步驟225, AP 120使用相 關響應(AssResp)進行答復���。AssResp包括其最近已經(jīng)高速緩存的針對 RtAdv的所有信息�,包含給定NI-HNV對����,該給定NI-HNV對優(yōu)選地是當 前高速緩存在AP 120中的許多NI-HNV對之一��。可替換地��,AP 120可以 在非常簡短的周期內(nèi)以兩個不同的消息順序地發(fā)送AssResp和RtAdv����。 可選地��,AP 120可以代表MN 110在步驟227發(fā)送懇請(例如路線懇請 (RtSol)消息)到AR 150�。如在下文所述���,該RtSol消息如果在該步 驟被發(fā)送將會觸發(fā)由AR 150發(fā)送另一個RtAdv消息到MN 110。如果AP 120 :故配置用于發(fā)送RtSol消息�,則它在步驟225中所發(fā)送的AssResp 中包含一個參數(shù)用于向MN110通知這個事實��?���;氐讲襟E225����,已經(jīng)接收了笫一 RtAdv內(nèi)容的MN 110存儲HNV(該HNV 是用于該會話的HNV) ����、 NI、網(wǎng)絡前綴����、AR 150的地址,以及如杲提供 ARK+的話還存儲ARK + ����。在步驟230, MN 110使用AR 150的網(wǎng)絡前綴開 始配置IP地址(例如IPv6地址)����。因為配置IP地址的過程可能包含 重復地址檢測(DAD)程序��,其一般占用多于一秒的時間�,并且因為從 AR 150直接獲得的最終周期RtAdv可能不被接收直到三秒的時延之后或 者更晚,所以已經(jīng)在步驟230發(fā)起IP地址配置過程大大地節(jié)省了時間 并且有助于MN110快速建立時延敏感的應用���。然而�����,在這一點上MNllO 不具有RtAdv內(nèi)容合法性的任何證據(jù)���。為了在IP地址配置過程進行中認證RtAdv內(nèi)容,MN IIO可以在步驟 235向AR 150發(fā)送懇請��,例如路線懇請(RtSol )消息�。在替換實施例 中,如上文所描述的�,AP 120可以已經(jīng)在步驟227代表MN UO發(fā)送RtSol 消息。在任何情況下���,無論是在步驟227被AP 120還是在步驟235被 MN IIO發(fā)送的RtSol消息包括在步驟205由AR 150在周期RtAdv中提 供的NI����。通過使用AR 150的地址,RtSol消息;故優(yōu)選地以單播形式發(fā) 送�����。RtSol消息可選地以MN的私鑰(MNK-)被簽名����。在本發(fā)明的優(yōu)選實 施例中,MNK-是加密生成地址 (CGA)密鑰�。在步驟240, AR 150優(yōu)選地從內(nèi)部表格中移除NI和相應的Nonce值, 以便迫使將來的RUdv使用不同的NI-HNV對���。在步驟245, AR l50使 用另一個RtAdv來響應MN 110�����,該另一個RtA4v是到達MN 110的第二 RtAdv��。這個第二 RtAdv也包括AR 150的網(wǎng)絡箭綴�����。其還包括對應于NI 的Nonce值。其還優(yōu)選地包括AR 15 0的ARK+���。在本發(fā)明的最佳方式中����, 笫二 RtAdv ;故單播并且通過使用AR 150的私鑰(ARK-);故簽名����。可選地�,在步驟250, MN110通過使用ARK+對第二 RtAdv的有效性進 行第一驗證����。如果在步驟255中所述驗證失敗,則在步驟280中MN 110 以多播方式發(fā)送新的RtSol消息�����。然后MN 110在步驟285等待下一個 周期RtAdv����。 MN UO最終將接收包括AR 150的網(wǎng)絡前綴的周期RtAdv, 并且相應地配置新的IP地址��。如果在步驟255中所述驗證成功���,則MN 110已經(jīng)認證了第二 RtAdv。 在步驟260中MN 110對Nonce值進行散列以獲得第二 HNV���。在步驟265��, MN 110比較第一和第二 HNV����。如果這些相等�����,貝'j MN 110現(xiàn)在已經(jīng)認證 了第一RtAdv����。當與認證過程同時進行的IP地址配置過程完成時�,其可以在步驟270開始使用IP地址用于立即地或者其后不久地發(fā)送和接收 數(shù)據(jù)分組。然而如果在步驟265中第一和第二HP的值不相等���,則MN 110 還沒有認證第一 RtAdv�����。其在步驟290丟掉之前為第一 RtAdv存儲的所 有內(nèi)容�。在步驟295,其通過使用從AR150接收的第二RtAdv中的網(wǎng)絡 前綴來開始配置新的IP地址��。在步驟295的過程的結束時�����,MN110將能 夠使用新的IP地址用于發(fā)送和接收數(shù)據(jù)分組�。那些本領域的技術人員將從以上描述容易地看出,本發(fā)明的方法為MN IIO提供了以相比單獨FRD方法更安全的方式���、相比在傳統(tǒng)MIPv6網(wǎng)絡 中更快地獲得有效IP地址的手段?���,F(xiàn)在將參考圖3描述前面描述中所使用的移動節(jié)點的示意性構造����,圖 3示出示意性MN 110。該MN IIO包括發(fā)射器(TX) 310��、接收器(RX) 320�����、處理器330、分組數(shù)據(jù)處理機(handler ) 340��、永久性存儲器350���、 臨時存儲器360和判定邏輯370����。 MN IIO還可以包括更多元件���,例如本 領域公知的顯示器����、天線���、鍵區(qū)�、電池等�。永久性存儲器350存儲移動節(jié)點的公鑰(MM+)和移動節(jié)點的私鑰 (MNK-)。如本領域所公知的�,永久性存儲器350還存儲例如MN 110 的永久身份的其他數(shù)椐�����。TX 310直接地向接入點、并且通過接入點向接入路由器發(fā)送消息����。這 些消息包括AssReq、 RtSol以及分組數(shù)據(jù)��。具體地�����,由TX 310發(fā)送的 RtSol消息可以是發(fā)送到具體地址的單播RtSol消息或多播RtSol消息���。RX 32 0接收直接來自接入點以及通過接入點來自接入路由器的消息�。 這些消息包括AssResp�����、 RtAdv以及分組數(shù)據(jù)��。具體地���,由RX 320接收 的RtAdv可以是單播RtAdv消息或多播周期RtAdv�。臨時存儲器360存儲與正在進行的與AP和AR的會話相關的信息。這 樣的信息包括NI���、第一HNV�、 Nonce值�����、網(wǎng)絡前綴�、AR地址、ARK+�����、 IP 地址和進行會話所需的其他數(shù)據(jù)�。永久性存儲器350可以根據(jù)來自判定 邏輯370或處理器330的請求使用其他相似的信息來重寫信息。處理器330通過使用網(wǎng)絡前綴來執(zhí)行建立IP地址(例如IPv6地址) 的過程���,以用于與AP和AR的會話����。建立IP地址的過程優(yōu)選地包括DAD 程序��。處理器330可以執(zhí)行IP建立過程次數(shù)與在同一會話中判定370 所要求的次數(shù)相同。當處理器330由于RX 320接收到AssResp執(zhí)行IP 建立過程時����,其優(yōu)選地同時發(fā)起該IP建立過程以及用于認證第一廣告的過程�。處理器330還具有散列能力用于對Nonce值進行散列,并且用 于將作為該Nonce值的散列結果的第二 HNV提供給判定邏輯370�����。處理 器330還具有驗證能力��,用于利用ARK+驗證RtAdv消息的簽名�����,和簽名 能力�,用于利用MNK-對RtSol消息進行簽名。驗證和簽名能力優(yōu)選地是 CGA類型��。判定邏輯370基于由RX 320接收的在AssResp中的信息來判定是否 應當由TX 310發(fā)送懇請�����?���?商鎿Q地�����,可以不在判定邏輯370中實現(xiàn)該 特征并且總是由TX 310發(fā)送懇請�。判定邏輯370將從RtAdv消息中獲 取的第一HNV與從處理器330獲取的第二 HNV進行比較��。判定邏輯3"70 基于該比較來判定第一廣告是否被認證�����,因此判定是保持IP地址�����,還 是釋放IP地址并且命令處理器330來建立新的IP地址���。判定邏輯370 還能基于對RtAdv消息的成功的或失敗的簽名驗證來判定保持或釋放 IP地址����。當判定邏輯370已經(jīng)判定要保持IP地址時�����,分組數(shù)據(jù)處理機340從 RX 320接收分組數(shù)椐并且將其轉(zhuǎn)發(fā)到MN 110中的應用。分組數(shù)據(jù)處理 機340然后還從應用接收分組數(shù)據(jù)并且將其轉(zhuǎn)發(fā)到TX 310����。盡管已經(jīng)在附圖中示出了、在前面的詳細描迷中描述了本發(fā)明的方法 和移動節(jié)點的優(yōu)選實施例的一些方面���,應當理解�,本發(fā)明不限于所公布 的實施例���,而是在不背離由所附的權利要求限定和陳述的本發(fā)明的精神 的前提下,能夠有許多重新排列���、修改和代替���。
權利要求
1.一種在移動節(jié)點中認證從接入點接收的第一廣告的方法,該方法包括以下步驟在所述移動節(jié)點從所述接入點接收所述第一廣告����,所述第一廣告包括第一網(wǎng)絡前綴、Nonce索引和第一已散列Nonce值����;在所述移動節(jié)點通過使用所述第一網(wǎng)絡前綴配置第一IP地址,并且同時通過如下步驟認證所述第一廣告在所述移動節(jié)點從接入路由器接收第二廣告,所述第二廣告包括對應于所述Nonce索引的Nonce值和第二網(wǎng)絡前綴���;在所述移動節(jié)點對所述Nonce值進行散列來計算第二已散列Nonce值�;以及在所述移動節(jié)點比較所述第一已散列Nonce值和所述第二已散列Nonce值�����;以及如果所述第一已散列Nonce值等于所述第二已散列Nonce值�����,在所述移動節(jié)點保持所述第一IP地址��。
2. 如權利要求l所述的方法�,還包括以下步驟 如杲所述第一已散列Nonce值不等于所述第二已散列Nonce值,則在所述移動節(jié)點丟掉所述第一廣告的內(nèi)容�;以及在所述移動節(jié)點通過使用包含在所述第二廣告中的第二網(wǎng)絡前綴來 配置第二IP地址。
3. 如權利要求l所述的方法���,其中所述第一廣告和第二廣告的至少一個還包括所迷接入路由器的公鑰����。
4. 如權利要求3所述的方法�,還包括以下步驟 在所述移動節(jié)點通過使用所述接入路由器的公鑰來驗證所述第二廣告���;以及如果對所述第二廣告的驗證失敗從所述移動節(jié)點向所述接入路由器發(fā)送懇請;以及 在所述移動節(jié)點等待周期廣告���。
5. 如權利要求l所述的方法�����,其中所述第二廣告是單播�����。
6. 如權利要求l所述的方法,還包括以下步驟 在所迷移動節(jié)點接收周期廣告����。
7. 如權利要求l所述的方法,其中認證所述第一廣告還包括以下步驟����,響應于在所述移動節(jié)點接收到所述第一廣告,從所述移動節(jié)點向所述接入路由器發(fā)送包括所述Nonce索引的懇請�����。
8. 如權利要求7所迷的方法,其中 所述懇請使用所述移動節(jié)點的私鑰被簽名�����。
9. 如權利要求l所述的方法�,其中在由所述接入點發(fā)送相關響應的同時發(fā)送所述第 一廣告。
10. 如權利要求9所述的方法�,其中響應于由所述移動節(jié)點向所述接入點發(fā)送的相關請求,所述相關響應 被發(fā)送�。
11. 如權利要求l所述的方法,還包括以下步驟 在所述移動節(jié)點上保持所述第一 IP地址的步驟之后�����,在所述移動節(jié)點開始進行數(shù)據(jù)分組交換���。
12. 如權利要求l所述的方法����,其中在所述移動節(jié)點通過使用第一網(wǎng)絡前綴配置第一 IP地址包括重復地 址檢測程序����。
13. —種移動節(jié)點,包括接收器�,用于接收第一廣告和第二廣告�;臨時存儲器��,用于存儲在所述第一廣告中接收的網(wǎng)絡前綴��、Nonce索 引和已散列Nonce值���,用于存儲在所述第二廣告中接收的Nonce值���,并且用于存儲第一 IP地址,處理器�,用于基于所述網(wǎng)絡前綴配置所述第一 IP地址,并且用于對 所述Nonce值進行散列����,其中在發(fā)起所述配置的同時認證所述第 一廣告�; 以及判定邏輯,用于通過將散列結果和所述已散列Nonce值進行比較來認 證所述第一廣告以及用于基于所述比較的結果來判定保持所述第一IP 地址����。
14. 如權利要求13所述的移動節(jié)點,其中所述判定邏輯還用于如果所述比較結果為負時釋放所述第一 IP地址�; 所述處理器還用于如杲所述判定邏輯釋放所述第一 IP地址時基于所 述第二廣告配置第二 IP地址;以及所述臨時存儲器還用于使用所述第二 IP地址重寫所述第一 IP地址�����。
15. 如權利要求13所迷的移動節(jié)點,其中所述臨時存儲器還用于存儲在所述第一廣告或所迷第二廣告的其中 一個中所接收的接入路由器的公鑰����;所述處理器還用于通過使用所述接入路由器的公鑰來驗證所述第二 廣告的簽名;以及所述判定邏輯還用于基于所述驗證的結果來判定保持所述第一 IP地 址�����。
16. 如權利要求15所述的移動節(jié)點�����,其中所述判定邏輯還用于如果所述驗證結果為負時釋放所述第一 IP地址���; 以及所述移動節(jié)點還包括發(fā)射器�,用于當所述判定邏輯判定所述驗證結果 為負時發(fā)送懇請����。
17. 如權利要求13所述的移動節(jié)點,還包括 永久性存儲器����,用于存儲所述移動節(jié)點的私鑰����。
18. 如權利要求17所述的移動節(jié)點�����,其中 所述處理器還用于使用所述移動節(jié)點的私鑰簽名所述懇請�����。
19. 如權利要求13所述的移動節(jié)點�,還包括 發(fā)射器,用于發(fā)送包括所述Nonce索引的懇請��。
20. 如權利要求19所述的移動節(jié)點��,還包括分組數(shù)據(jù)處理機��,用于當所述判定邏輯判定保持所述第一 IP地址時 處理對分組數(shù)據(jù)的發(fā)送和接收���。
21. 如權利要求20所述的移動節(jié)點,其中 所述發(fā)射器還用于發(fā)送分組數(shù)據(jù)�����;以及 所述接收器還用于接收分組數(shù)據(jù)。
22. 如權利要求13所述的移動節(jié)點��,其中所迷處理器還用于使用重復地址檢測程序作為配置所述第一 IP地址 的一部分��。
23. 如權利要求13所述的移動節(jié)點���,其中 所述接收器還用于接收單播廣告和周期廣告����;以及 所述第二廣告是單播廣告��。
全文摘要
提供一種方法和移動節(jié)點����,以用于對通過接入點從接入路由器所接收的廣告消息進行認證。該廣告消息包括保持在接入路由器中的已散列Nonce值和對應于Nonce值的Nonce索引��。當接收到來自接入點的廣告消息時�����,移動節(jié)點通過使用在該廣告中所接收的信息來發(fā)起配置IP地址的過程����,用于與接入點和接入路由器的會話���。與此同時,接入點或移動節(jié)點向接入路由器直接地發(fā)送Nonce索引����。接入路由器使用發(fā)送到移動節(jié)點的Nonce值進行答復。移動節(jié)點對從接入路由器接收的Nonce值進行散列并且將散列結果與已散列Nonce值進行比較��。如果結果與已散列Nonce值匹配����,則認為廣告是被認證的并且根據(jù)該廣告配置的IP地址被保持在移動節(jié)點中。
文檔編號H04L29/06GK101243672SQ200680029949
公開日2008年8月13日 申請日期2006年8月1日 優(yōu)先權日2005年8月15日
發(fā)明者S·克里什南, W·哈達 申請人:艾利森電話股份有限公司