專利名稱:用于生成移動ip網絡中密碼生成地址的方法和網絡節點的制作方法
技術領域:
本發明一般涉及移動IP網絡。更具體地說,本發明涉及用于以密碼方式生成移動 IP網絡中地址的方法和網絡節點。
背景技術:
在過去幾十年內,電信和因特網經歷了難以置信的增長和擴展。技術已從集中計算更改為個性計算,并且現在通過網絡、裝置和服務的融合而更改為移動計算。移動IP或更具體地說使用因特網協議(IP)的版本6的移動IPv6 (MIPv6)的使用使移動計算成為可能。MIPv6是一種因特網工程任務組(IETF)標準通信協議。它已設計為允許移動用戶從一個網絡移到另一網絡而不會遇到服務的中斷。實際上,MIPv6協議通過保持移動節點(MN)與不同網絡的連接,向麗提供持續的IP服務,移動節點是移動電話、膝上型計算機或PDA等。移動服務通過歸屬代理(HA)來部署,歸屬代理提供歸屬地址(HoA)到向該HA注冊的MA。在MN離開并且將自己附連到不同接入路由器時,它獲得稱為轉交地址(CoA)的新地址。麗隨后將綁定更新(BU)發送到HA以將CoA綁定到HoA,以便引導到HoA的業務轉發到CoA。HA通過綁定確認(BA)來回復麗,并且例如使用雙向隧道將以HoA為目的地地址的每個分組轉發到CoA。通過這樣做,移動節點(MN)能夠移動而不會結束在進行的會話,因為麗的HoA保持不變。此外,MIPv6定義路由優化(RO)過程,在該過程中,MN能夠將綁定更新(BU)直接發送到對應節點(CN)以便使用直接路徑。在發送直接BU前,MN必須執行返回路由性(RR) 測試以便向CN提供能夠在歸屬地址(HoA)和新轉發地址(CoA)達到它的某一級別的保證。 為了執行RR,MN通過HA發送歸屬測試初始化(HoTI)消息到CN。HoTI的源地址是HoA。同時,MN直接向CN發送轉交地址初始化(CoTI)消息,以CoA為源地址。CN通過在HoT消息中包括歸屬令牌和在CoT消息中包括轉交令牌來回復這兩個消息。如果MN接收這兩個消息,則這意味著它可經HoA和CoA到達。在此情況下,具有惡意麗的概率低。隨后,MN組合兩個令牌,即轉交令牌和歸屬令牌,以獲得用于將BU發送到CU的綁定管理密鑰(Kbm)。在接收BU后,CN隨后將能夠評估Kbm是使用這兩個令牌形成的。最近定義了麗代理解決方案以便添加對MIPv6的網絡支持。麗代理通常位于接入路由器中,并且代表麗執行信令。它降低了通過麗與網絡之間的無線電接口的信令和隧道化開銷。MN代理解決方案的一個主要優點是可定義一些擴展而無需任何MN參與,即, 網絡關照這些擴展。路由優化是此類擴展之一。密碼生成地址(CGA)允許證明數據分組的發送方實際上是地址的所有者(所有權證明)。為了生成CGA,節點具有一對非對稱密鑰,包括公共密鑰和私有密鑰,公共密鑰與例如目的地節點等其它節點共享。CGA是為了提高安全性同時降低不同節點之間的業務交換而形成的。CGA的主機ID部分通過使用地址所有者的私有密鑰和接口特定的一些參數以密碼方式生成。要在目的地節點中驗證地址,發送方應向目的地節點發送CGA參數、其公共密鑰,并使用其私有密鑰將數據分組簽名。隨后,目的地節點能夠通過使用接收的參數和公共密鑰重新計算或驗證CGA來獲得所有權證明。使用CGA用于RO的一種解決方案已被定義。它使用基于HoA的CGA的永久歸屬令牌。MN需要執行一次歸屬可達性測試。在切換后,MN向CN發送早期BU(EBU)。EBU包含歸屬令牌和用于CGA驗證的材料。然而,現有解決方案帶來了伸縮性問題,并對最終用戶裝置施加了壓力。因此,需要使用和生成CGA的改進解決方案。
發明內容
更具體地說,根據本發明,提供了一種位于第一節點與第二節點之間的通信路徑上的網絡節點,該網絡節點具有第一節點的獨特信息并且具有私有密鑰和公共密鑰,公共密鑰至少與第二節點共享。該網絡節點包括生成器,用于使用第一節點的獨特信息來生成用于第一節點的密碼生成地址(CGA);輸出模塊,用于將CGA指派到第一節點;輸入模塊,用于從第一節點接收消息,所述消息使用CGA來發出并且尋址到第二節點;以及安全性模塊, 用于代表第一節點,使用網絡節點的私有密鑰將接收的消息簽名。輸出模塊還用于將簽名消息發送到第二節點,由此使得第二節點能夠證明CGA的所有權。根據本發明的第二方面,提供了一種位于第一節點與第二節點之間的通信路徑上的網絡節點,該網絡節點具有第一節點的獨特信息。該網絡節點包括生成器,用于使用第一節點的獨特信息來生成用于第一節點的密碼生成地址(CGA);以及輸出模塊,用于將CGA 指派到第一節點。根據本發明的第三方面,提供了一種位于第一節點與第二節點之間的通信路徑上的網絡節點。該網絡節點包括輸入模塊,用于從第一節點接收消息,所述消息使用CGA來發出并且尋址到第二節點;安全性模塊,用于代表第一節點將接收的消息簽名;以及輸出模塊,用于將簽名消息發送到第二節點,由此使得第二節點能夠證明CGA的所有權。根據本發明的第四方面,提供了一種用于生成密碼生成地址(CGA)的方法。該方法包括以下步驟在位于第一節點與第二節點之間的通信路徑上的網絡節點中使用第一節點的獨特信息來生成用于第一節點的密碼生成地址(CGA),該網絡節點具有第一節點的獨特信息;以及將CGA指派到第一節點。從參照附圖僅作為示例給出的本發明的說明實施例的以下非限制性描述中,本發明的上述和其它目的、優點和特征將變得明白。
在附圖中圖1是根據本發明的一非限制性說明實施例的MIP網絡的示意圖;圖2是根據本發明的一非限制性說明實施例的用于為另一節點生成CGA的移動節點的示意圖;圖3是根據本發明的一非限制性說明實施例的第二網絡節點的示意圖;圖4是根據本發明的一非限制性說明實施例的第三網絡節點的示意圖;圖5是示出根據本發明的一非限制性說明實施例的用于生CGA的方法的流程圖6是根據本發明的一實施例的HoTI消息的報頭的示意圖;以及圖7是示出圖1的MIIP網絡中使用圖5的方法的路由選擇優化的方法的流程圖。
具體實施例方式通常來說,本發明的非限制性說明實施例提供用于位于第一節點與第二節點之間的通信路徑中的網絡節點,該網絡節點生成用于諸如第一節點等另一節點的CGA。因此,本發明的實施例允許分隔生成CGA的節點和為其生成CGA的節點。通過這樣做,一個單節點可生成用于許多不同節點的多個CGA。為區分用于每個不同節點的每個生成的CGA,每個CGA 的生成將每個不同節點的獨特信息考慮在內。CGA的上述生成的一個十分有趣的應用能夠在使用MN代理解決方案的MIPv6中的路由優化中找到。為了如此做,位于麗與CN之間的通信路徑上的HA通過生成作為用于MN 或麗代理的歸屬地址的CGA而涉及路由選擇優化。由于在每個麗具有CGA能力時觀察到伸縮性問題,因此,在HA使用其自己的私有密鑰生成MN的歸屬地址的CGA時,克服了伸縮性問題。在初始路由優化期間,為了歸屬可達性測試,麗代理代表麗將HoTI消息發送到 HA。在HA接收HoTI消息時,它將接收的HoTI消息替代為使用其自己的私有密鑰簽名的簽名HoTI消息。隨后,HA將簽名HoTI消息與其它CGA參數及其公共密鑰一起發送到CN,這些CGA參數在本領域是公知的。在CN接收所有此信息時,它能夠按照要求獲得CGA的所有權證明,即,它能夠知道將接收消息簽名的任何人是為MN生成的CGA的所有者。下面將更詳細描述用于路由優化的此新方法。現在轉到圖1,將先描述用于本發明的實施例的包括MIP網絡10的框架。MIP網絡10例如包括通訊節點(CN) 12,通訊節點(CN) 12連接到因特網14和麗 18最初注冊的HA 16。HA 16能夠是例如通過向MN18指派歸屬地址(HoA)而提供用于MN 18的移動性服務的網絡節點。MIP網絡10還包括至少一個MN代理和本領域公知的其它組件。更具體地說,兩個 MN代理20和22在圖1中作為示例示出。如箭頭19所示,先附連到麗代理20的麗18能夠在MIP網絡10內四處移動,以便將自己附連到麗代理22。為了降低通過麗18與網絡之間無線電接口的信令和隧道化開銷,通常能夠是接入路由器(未示出)的一部分的麗代理20或22代表麗18執行信令。 通過使用MN代理,能夠在網絡中控制和集中信令。圖2示出位于第一節點與第二節點之間的通信路徑上的諸如HA16等網絡節點100 的示意圖;第一節點能夠是麗18或麗代理20,并且第二節點能夠是CN 12。網絡節點100包括CGA的生成器102、輸出模塊104、安全性模塊106、輸入模塊 108、令牌生成器110及包括私有密鑰112和公共密鑰114的一對非對稱密鑰。應注意,該對非對稱密鑰可駐留在網絡節點100的存儲庫116中,該存儲庫例如可包括其它密鑰(私有或公共)。當然,網絡節點100還包括諸如處理器或存儲器等多個其它組件(未示出), 以便執行其普通任務和過程,這些普通任務和過程在本領域是公知的,并且因此不進一步描述。CGA的生成器102允許使用私有密鑰112,生成用于另一節點(例如使用用于MN 18或麗代理20的CGA來生成HoA)的CGA。相信的是,使用一對非對稱密鑰的CGA生成和所有權證明在本領域已經是已知的,因此,CGA生成(使用私有密鑰)和CGA的所有權證明 (使用公共密鑰)將不進一步描述。然而,為了將網絡節點100生成的可能許多的CGA相互區分,生成器102中執行的CGA計算將生成的CGA所用于的節點的獨特信息考慮在內。在麗18的情況中,獨特的信息例如能夠是對每個特定麗獨特的麗標識符或ID。此外,通過在CGA計算中使用每個麗18的獨特信息,例如可能獲得用于CGA的主機ID部分的不同哈希值,以便能夠相互區分每個這樣生成的CGA。應注意,CGA的計算在RFC3972中有明確記錄,RFC3972還指示CGA生成方法允許具有可選的擴展字段。在我們的情況中,MN標識符或 ID用做CGA生成中的擴展字段。一旦CGA由生成器102使用第一節點的獨特信息和網絡節點100的私有密鑰112 來生成,輸出模塊104便允許將CGA指派到第一節點。為了如此做,輸出模塊104以安全方式將CGA發送到第一節點(即,通過IKEv2交換)。諸如IKEv2交換等安全的過程在網絡節點100與第一節點之間提供安全鏈路。在麗18與CN 12的路由選擇優化的上下文中,生成的CGA包括HoA,并且第一節點能夠是麗18或麗代理20。隨后,仍在路由優化的上下文中,可在IKEv2交換中包括指示提供到麗18的HoA是CGA的選項。輸入模塊108允許截取或接收從第一節點(例如,麗18或代理麗20)使用CGA 發出并尋址到第二節點(例如,CN 12)的消息。在接收消息后,網絡節點100的安全性模塊106允許代表第一節點使用私有密鑰 112將接收的消息簽名,因為網絡節點100生成了用于第一節點的CGA,以用于保持CGA驗證或提供CGA支持的目的。或者換而言之,網絡節點100代表第一節點簽名以用于使得接收器(第二節點)能夠獲得CGA的所有權證明的目的。這也能夠由網絡節點100稱為代理簽名,即,將從另一節點接收的消息簽名并且使用為該節點生成的CGA來發出。為了該目的, 應注意,網絡節點100應位于在第一節點與第二節點之間的通信路徑上。在圖1的MIP網絡10的上下文中,網絡節點能夠是HA 12。在該情況下,第一節點能夠是MN 18或MN代理 20。然而,在其它情況下,網絡節點能夠也是麗代理20,因此,麗18將是第一節點。輸入模塊108還允許從第二節點接收消息。這些消息可例如包括令牌。在從第二節點接收令牌后,令牌生成器110允許基于接收的令牌而生成第二令牌。兩個令牌隨后通過輸出模塊104發送到第一節點(例如,麗18或麗代理20)。應注意,包括私有密鑰112和公共密鑰114的該對密鑰為CGA領域的技術人員所公知,因此,它們將不做進一步描述。現在轉到圖3,將描述網絡節點200的第二實施例。網絡節點200包括CGA的生成器202、輸出模塊204和一對非對稱密鑰(即,私有密鑰206和公共密鑰208)。當然,網絡節點200還包括諸如處理器或存儲器等多個其它組件(未示出),以便執行其普通任務和過程,這些普通任務和過程在本領域是公知的,并且因此不進一步描述。CGA的生成器202具有圖2的CGA的生成器102的一些特性。它允許使用第一節點的獨特信息和私有密鑰206來生成用于諸如MN 18等第一節點的CGA。輸出模塊204具有圖2的輸出模塊104的一些特性。它允許以安全方式(例如, 使用IKEv2)將生成的CGA指派到第一節點。當然,其它方式和技術能夠用于將CGA指派到
T^ 點。
在圖4中,示出了網絡節點300的第三實施例。網絡節點300包括輸入模塊302、 安全性模塊304、輸出模塊306及CGA的生成器308。輸入模塊302具有圖2的輸入模塊108的一些特性。它允許從第一節點接收消息, 消息使用事先已經由CGA的生成器308使用私有密鑰(未示出)生成的CGA來發出。在接收此消息后,安全性模塊304代表CGA生成將消息簽名,因為網絡節點300已生成用于發出消息的CGA。實際上,即使消息來自第一節點,網絡節點300能夠通過安全性模塊304及其私有密鑰112將其簽名,以便在第二節點接收簽名的消息時,它能夠檢測到網絡節點300確實是由CGA的生成器308為第一節點生成的CGA的所有者。安全性模塊304 具有圖2的安全性模塊106的一些特性。輸出模塊306允許將簽名的消息發出到第二節點。現在轉到圖5,將描述用于生成CGA的方法400。方法400從步驟402在諸如圖2的網絡節點100等網絡節點中生成用于第一節點的CGA開始,網絡節點100位于第一節點與第二節點之間的通信路徑上。更具體地說,圖2 的生成器102使用第一節點的獨特信息和諸如圖2的112等私有密鑰,生成用于第一節點的 CGA。隨后,在步驟404中,生成的CGA例如通過圖2的輸出模塊104被指派到第一節點。 更具體地說,出于安全性目的,通過使用例如IKEv2將CGA指派到第一節點。當然,也能夠使用其它安全技術。一旦第一節點接收CGA,它便能夠發出使用接收的CGA并尋址到第二節點的消息。 此消息隨后例如發回網絡節點100。網絡節點100通過其輸入模塊108接收消息。在接收此消息后,安全性模塊106代表對于CGA生成的第一節點,用私有密鑰112將接收的消息簽名。接著,網絡節點100的輸出模塊104將簽名消息發送到第二節點,第二節點能夠根據意愿確立CGA的所有權證明。預期第二節點具有圖2的網絡節點100的公共密鑰114的副本。一旦所有權證明已確立為滿足第二節點(例如,通過或不通過實際CGA參數重新計算),第二節點便將消息發送到網絡節點100,該消息包括第一令牌。在接收第一令牌后,網絡節點100的令牌生成器110基于第一令牌而生成第二令牌。隨后,通過網絡節點100的輸出模塊104,將第一和第二令牌發送到第一節點。現在轉到圖7,并參照圖1,將描述MIP網絡10中的路由優化的方法500中本發明的實施例的應用。在此方法中,假設網絡節點100是圖1的HA 16,第一節點是麗代理20, 并且第二節點是CN 12,以及路由優化的該方法例如允許麗18直接與CN 12進行通信。如本文中前面所述,MN代理代表MN 18控制至少一部分信令。此外,HA 16具有包括私有密鑰和公共密鑰的一對非對稱密鑰。公共密鑰與至少第二節點(即CN 12)共享。此外,HA 16 具有表示MN 18的一段獨特信息。首先,在步驟502中,依據某些觸發,例如在MN 18附連到網絡10時,麗代理20代表麗18從麗18附連到的HA 16請求HoA。在步驟504中,HA 16使用其私有密鑰和麗18的獨特信息(如其標識符)生成
8請求的HoA的CGA。此獨特信息在CGA計算期間被考慮在內以便獲得用于HoA的CGA的主機ID部分的不同哈希值。在步驟506中,例如,如在RFC4877中所述,通過IKEv2交換,將生成的HoA指派到麗18。在此情況下,HA 16也可包括IKEv2交換中的選項以便指示提供的HoA是CGA。一旦MN代理20獲得生成的HoA,歸屬可達性測試便能夠為初始RO過程執行。更具體地說,在步驟508中,麗代理20發送以CN 12為目的地地址的HoTI消息, 該HoTI消息使用CGA而發出,并且封裝在具有HA 16為目的地地址的隧道中。在從麗代理20接收HoTI消息后,HA 16在步驟510中將接收的HoTI消息替代為新HoTI消息。新HoTI消息包括HoA作為源地址以及CN 12作為目的地地址。HA 16還包括CGA生成或所有權證明所要求的所有參數。HA 16使用諸如私有密鑰112等其私有密鑰將新HoTI消息簽名。例如,圖6示出能夠與HA 16創建的新HoTI消息一起使用的報頭600的一部分。 在示范新HoTI消息中,應注意,新C比特602設為一(1)以指示消息由HA 16創建,并且使用了 CGA。如本領域技術人員將容易認識到的,其它比特能夠在消息中的報頭600或其它處用于實現相同的指示目的。此外,出于安全性原因,如果HA 16接收C比特602已經被設置的HoTI消息,則它應拒絕此消息。當然,報頭600包括用于不同選項的其它字段。在步驟512中,將簽名HoTI消息發送到CN 12。在接收簽名HoTI消息后,CN 12 能夠在步驟514中使用接收的參數和公共密鑰來驗證或確立CGA的所有權。之后,在步驟516中,CN 12將HoT消息發回HA 16。HoT消息除諸如歸屬初始 Cookie (Home Init Cookie)等RFC3775中定義的字段外,還包括CN 12給出的第一令牌,例如加密的永久歸屬密鑰生成令牌(Home keygen token)。此歸屬令牌能夠如RFC3775中所述的來生成并使用例如HA 16的公共密鑰來加密。在步驟518中,在從CN 12接收HoT消息后,HA 16生成第二令牌。第二令牌基于第一令牌而生成。更具體地說,通過對歸屬令牌和MN 18的CoA的級聯進行哈希,生成第二令牌。例如,也稱為HA_CoA令牌的第二令牌能夠給出為HA_CoA 令牌=SHAl (HA 私有密鑰,(歸屬 Token | CoA))其中,SHAl是公知的哈希函數。在步驟520中,HA 16創建新HoT消息,該消息包括第一和第二令牌以及HA 16的公共密鑰。新HoT消息能夠可選地使用例如IPsec安全性關聯來保護。當然,其它安全性協議或機制也是可能的。在步驟522中,HA 16將新HoT消息發送到麗代理20。在接收該HoT消息后,在步驟524中,麗代理20將BU消息發送到CN12,該BU消息包括如RFC3775中相同的字段、 HA公共密鑰、歸屬令牌及HA_CoA令牌。此外,為了增加的安全性,BU消息能夠通過認證器來保護,其例如使用歸屬令牌作為用于哈希處理的密鑰來計算。在接收BU后,在步驟526中,CN 12通過重新計算歸屬令牌和通過級聯歸屬令牌和麗18的CoA而形成的HA_CoA令牌,驗證兩個接收的令牌。在驗證結果肯定時,CN 12隨后能夠向CoA轉移(switch)數據分組,因為CN 12知道HA_CoA令牌在發送到CoA處的麗 18之前已由HA 16計算。因此,MN 18通過HoA和通過CoA是可到達的。在步驟528中,CN 12將BA消息發送到麗代理20。
9
在RO完成后,在步驟530中,麗代理20具有將消息發送到HA 16以確認RO會話在進行的選項。在此情況下,HA 16將能夠在其綁定高速緩存條目(BCE,未示出)中保持通過MN 18及其相關聯歸屬令牌和HA_CoA令牌而使用RO的CN的列表。應注意,在麗代理20 (或麗18)的切換后,麗代理20能夠再使用如步驟524中定義的相同的BU來刷新在CN 12的綁定。更具體地說,在切換后,新麗代理將BU發送到 HA 16。HA 16通過新CoA來計算新HA_CoA令牌。在BA中,HA 16發送通過麗18及其相關聯歸屬令牌和HA_CoA令牌而使用RO的CN的列表。麗代理20隨后將BU發送到CN 12。BU如方法500的步驟522中般被構建。在接收BU時,CN 12隨后能夠向新CoA直接轉移數據分組,并且將BA發送到麗代理20。上述方法的一些優點包括降低了 MN涉及RO過程的事實。切換后交換的消息數量也保持為低,因為隨后的RO會話能夠僅通過CN 12與麗18之間的一次BU/BA交換便被建立。此外,降低了切換后對返回路由性的需要(如果未被完全消除)。雖然本發明已通過一非限制性說明實施例在上述說明書中來描述,但此說明實施例能夠在本發明的范圍、精神和性質內根據意愿來修改。
權利要求
1.一種位于第一節點與第二節點之間的通信路徑上的網絡節點,所述網絡節點具有所述第一節點的獨特信息并且具有私有密鑰和公共密鑰,所述公共密鑰至少與所述第二節點共享,所述網絡節點包括-生成器,用于使用所述第一節點的所述獨特信息來生成用于所述第一節點的密碼生成地址(CGA);-輸出模塊,用于將所述CGA指派到所述第一節點;-輸入模塊,用于從所述第一節點接收消息,所述消息使用所述CGA來發出并且尋址到所述第二節點;以及-安全性模塊,用于代表所述第一節點使用所述網絡節點的所述私有密鑰將所接收的消息簽名;-其中所述輸出模塊還用于將所簽名的消息發送到所述第二節點,由此使得所述第二節點能夠證明所述CGA的所有權。
2.如權利要求1所述的網絡節點,其中所述私有密鑰和所述公共密鑰形成一對非對稱密鑰。
3.如權利要求1所述的網絡節點,其中所述生成器還使用所述網絡節點的所述私有密鑰來生成用于所述第一節點的所述CGA。
4.一種位于第一節點與第二節點之間的通信路徑上的網絡節點,所述網絡節點具有所述第一節點的獨特信息,所述網絡節點包括-生成器,用于使用所述第一節點的所述獨特信息來生成用于所述第一節點的密碼生成地址(CGA);以及-輸出模塊,用于將所述CGA指派到所述第一節點。
5.如權利要求4所述的網絡節點,還包括一對非對稱密鑰,包括私有密鑰和公共密鑰, 所述公共密鑰至少與所述第二節點共享,并且所述私有密鑰由所述生成器用于生成用于所述第一節點的所述CGA。
6.如權利要求4所述的網絡節點,其中所述輸出模塊將所述CGA指派到所述第一節點, 同時確保所述第一節點與所述網絡節點之間的安全交換。
7.一種位于第一節點與第二節點之間的通信路徑上的網絡節點,所述網絡節點包括-輸入模塊,用于從所述第一節點接收消息,所述消息使用CGA來發出并且尋址到所述第二節點;-安全性模塊,用于代表所述第一節點將所接收的消息簽名;以及-輸出模塊,用于將所簽名的消息發送到所述第二節點,由此使得所述第二節點能夠證明所述CGA的所有權。
8.如權利要求7所述的網絡節點,還包括用于使用所述第一節點的可用于所述網絡節點的獨特信息來生成用于所述第一節點的所述CGA的生成器。
9.如權利要求7所述的網絡節點,還包括形成一對非對稱密鑰的私有密鑰和公共密鑰,所述公共密鑰至少與所述第二節點共享。
10.如權利要求9所述的網絡節點,其中所述生成器還使用所述私有密鑰來生成用于所述第一節點的所述CGA。
11.如權利要求7所述的網絡節點,其中所述輸出模塊還將所述CGA指派到所述第一節點ο
12.如權利要求7所述的網絡節點,其中從所述第一節點接收的所述消息包括HoTI消肩、ο
13.如權利要求9所述的網絡節點,其中所述安全性模塊代表所述第一節點,使用所述私有密鑰將所接收的消息簽名。
14.如權利要求7所述的網絡節點,其中所述輸入模塊還在所簽名的消息已被發送后從所述第二節點接收包括第一令牌的消息。
15.如權利要求14所述的網絡節點,還包括用于生成第二令牌的令牌生成器,所述第二令牌基于所述第一令牌而生成。
16.如權利要求15所述的網絡節點,其中所述輸出模塊還將包括所述第一和第二令牌的又一消息發送到所述第一節點。
17.一種用于生成密碼生成地址(CGA)的方法,包括以下步驟-在位于第一節點與第二節點之間的通信路徑上的網絡節點中,使用所述第一節點的獨特信息來生成用于所述第一節點的密碼生成地址(CGA),所述網絡節點具有所述第一節點的所述獨特信息;以及-將所述CGA指派到所述第一節點。
18.如權利要求17所述的方法,還包括使用所述網絡節點的私有密鑰來生成用于所述第一節點的所述CGA的步驟。
19.如權利要求17所述的方法,其中將所述CGA指派到所述第一節點的步驟包括以安全方式將所生成的CGA發送到所述第一節點的步驟。
20.如權利要求17所述的方法,還包括在指派的步驟后從所述第一節點接收消息的步驟,所述消息使用所述CGA來發出并尋址到所述第二節點。
21.如權利要求20所述的方法,還包括在接收的步驟后,代表所述第一節點用所述私有密鑰將所接收的消息簽名的步驟。
22.如權利要求21所述的方法,還包括將所簽名的消息發送到所述第二節點的步驟, 由此使得所述第二節點能夠證明所述CGA的所有權。
23.如權利要求22所述的方法,還包括在發送所簽名的消息的步驟后,從所述第二節點接收又一消息的步驟,所述又一接收的消息包括第一令牌。
24.如權利要求23所述的方法,還包括在從所述第二節點接收所述又一消息的步驟后,生成第二令牌的步驟,所述第二令牌基于所述第一令牌。
25.如權利要求M所述的方法,還包括將所述第一和第二令牌發送到所述第一節點的隨后步驟。
全文摘要
一種用于生成密碼生成地址(CGA)的方法包括以下步驟在位于第一節點與第二節點之間的通信路徑上的網絡節點中使用第一節點的獨特信息來生成用于第一節點的密碼生成地址(CGA),該網絡節點具有第一節點的獨特信息;以及將CGA指派到第一節點。該網絡節點還包括使用第一節點的獨特信息的用于第一節點的CGA的生成器和用于將CGA指派到第一節點的輸出。
文檔編號H04W80/04GK102484659SQ201080039373
公開日2012年5月30日 申請日期2010年7月30日 優先權日2009年8月27日
發明者D·歐萊 申請人:瑞典愛立信有限公司