《服务器、终端控制设备以及终端鉴权方法》由会员分享,可在线阅读,更多相关《服务器、终端控制设备以及终端鉴权方法(10页珍藏版)》请在金锄头文库上搜索。
1、服务器、终端控制设备以及终端鉴权方法专利名称:服务器、终端控制设备以及终端鉴权方法技术领域:本发明涉及服务器、移动控制设备以及终端鉴权方法。本发明尤其涉及用于在通信系统内使用移动IP协议保证并发出公共密钥认证的服务器、原籍代理设备与终端鉴权方法。背景技术: IETF(互联网工程特别任务组)正评价移动IPv6的技术规范(参考正在研发的IPv6内的移动性支持<draft-ietf-mobileip-ipv6-19.txt>)。包括移动IPv6网络的元件为移动节点(MN)、原籍代理(HA)和对应节点(CN)。所述MN被指配一个IP地址(原籍地址),即使所述MN移动所述IP
2、地址也不会改变。处理与所述原籍地址相同的前缀的链路被称为原籍链路。所述HA管理非所述原籍链路的位置内的MN位置信息(绑订高速缓存)。所述MN获取并非所述原籍链路的链路的转交地址(以下称为CoA)。不在所述原籍链路内的MN接收由受访链路内的路由器周期性发送的路由器报告(通知)。MN通过检测不同于所述原籍地址的前缀感觉移动,并生成CoA。MN登记(存储)链接所述CoA和HA内的原籍地址的信息。所述MN包括原籍代理地址发现功能(用于查找HA地址的功能),并且可积极搜索HA的IP地址。所述MN首先根据所述原籍链路的前缀生成移动IPv6原籍代理任播地址。所述MN将ICMP原籍代理地址发现请求发送到地址目
3、的地。该信号由一个所述原籍链路HA接收。接收到所述信号的HA将ICMP原籍代理地址发现应答发送到MN,所述应答包括关于所述HA的信息。所述MN从所述信号提取HA信息,并获得HA地址。所述MN发送用于该HA地址的绑订更新。所述HA接收所述绑订更新,并将MN位置信息存储在绑订高速缓存内。为了发挥MN的代理的功能,所述HA发送寻址到所述原籍链路的所有节点组播地址的相邻通知。接收到所述相邻通知的节点将链接所述MN原籍地址与HA链路层地址的信息存储在相邻高速缓存内。所述HA捕获寻址到MN的原籍地址的分组。移动IPv6包括向在所述原籍链路之外的MN通知原籍网络前缀信息的功能。例如,如果所述原籍网络的前缀已
4、经改变,则HA参考(搜索)所述绑订高速缓存,并将前缀信息报告(执行移动前缀通知)给已登记位置中的MN。所述MN也可向HA请求前缀信息(移动前缀恳求)。作为一种用于实现IP网络上的安全性的技术,所述IP安全协议(IPsec)是注意的焦点。所述IPsec是一种用于通过利用加密技术和认证技术来安全传送IP分组的技术。移动IPv6将所述IPsec技术应用于将位置登记信号(绑订更新)从MN发送到HA(参考draft-ietf-mobile-mipv6-ipsec-01.txt,正在研发)。所述IPsec技术通过在使用IPsec的设备之间生成SA(安全联系)来提供安全功能。利用IPsec的设备包括SPD(
5、安全政策数据库)和SAD(安全联系数据库)。所述安全政策数据库(SPD)规定用于处理分组的方法。所述安全联系数据库(SAD)是保存在使用IPsec的设备内的SA(安全联系)的列表。所述SA由SPI(安全参数索引)识别。用于生成SA的方法包括人工设置方法和自动生成方法。IKE(互联网密钥交换)是一种用于自动生成并管理所述SA的协议。所述IKE通过使用建议交换功能、生成密钥的功能以及IKE对应节点的认证功能,自动生成所述SA。为IKE对应节点指定的认证方法为预共享密钥鉴权方法、公共密钥认证方法、数字签名鉴权方法等。所述数字签名鉴权方法具有高度灵活性,因为其无需与通信另一方(或对应节点)预先共享密钥
6、信息。所述数字签名认证方法由CA(认证授权)用于发出公共密钥认证。公共密钥认证的格式在X.509内规定。CMP(认证管理协议)是一种用于发出和管理电子认证的协议。所述CMP在IETF RFC2510内规定。所述CMP用于HTTP(超文本传送协议)和TCP(传输控制协议)内的传送协议。一种为基于移动IPv6的局部化移动管理建议的技术是分级移动IPv6移动管理(HMIPv6)(参考draft-ietf-mobileip-hmipv6-07.txt,正在研发)。所述HMIPv6包括HA与MN之间的MAP(移动锚点)。所述MN从AR(接入路由器)接收包括MAP选项的路由器通告,获得MAPIP地址,并生
7、成RcoA(区域性转交地址)和LcoA(链路上CoA)。与HMIPv6兼容的MN将位置信息登记在MAP和HA内。所述MAP管理MN RcoA和LcoA的绑订信息。所述HA管理MN原籍地址和RcoA的绑订信息。当所述MN移动到MAP内时,所述MN仅重写(更新)MAP位置信息。所述IETF当前正在评价DHCPv6的IPv6前缀委派选项(以下称为DHCP-PD)(draft-ietf-dhc-dhcpv6-opt-prefix-delegation-01.txt,正在研发)。所述DHCP-PD是这样一种功能,其使用DHCP(动态主机配置协议)将IPv6前缀(组)从地址指配一侧指配给站点。包括DHCP
8、-PD的元件是授权路由器与请求路由器。所述请求路由器请求所述授权路由器指配IPv6前缀(组)。所述授权路由器选择IPv6前缀(组),并将所述IPv6前缀(组)发送到请求路由器。例如,在将前缀指配给用户时,所述DHCP-PD由ISP(互联网业务提供商)利用。在相互连接到区域A和区域B的通信系统内,当属于区域A的移动节点(MN)移动到区域B时,该MN将其位置登记在区域A的HA内。所述位置登记信号(绑订更新信号)然后经历IPsec处理。相关技术的问题在于,在为HA和MN设置SA(安全联系)时无法维持安全性,且关于在加密内使用的密钥的信息已经泄漏。此外,使用移动IPv6前缀报告(通知)功能和HA地址发
9、现功能将会改变MN的原籍地址或HA地址。因此,用于人工设置MN与HA之间的SA的方法在系统操作期间内不再有用。如果MN是本征的,则同样并不存在用于当前证实移动IP的方法。发明内容本发明提供了一种使用IP技术的终端鉴权方法。本发明尤其提供了一种进程,其通过将数字签名鉴权方法与移动IP位置登记进程联合起来,并通过为链接到发出公共密钥认证的HA的原籍地址生成并保持SA(安全联系),从而鉴权终端。本发明还提供了一种系统,其在MN动态获取原籍地址时,通过链接DHCP-PD授权路由器和CA,以及通过链接DHCP-PD授权路由器和HA,从而鉴权本征终端。本发明尤其具有以下特征,当具有属于区域A的HA的原籍网
10、络的终端x利用区域B内的DHCP-PD部分获得原籍网络前缀时,1)所述DHCP-PD授权路由器将前缀信息分配给由CA批准的终端。2)所述HA为具有由所述授权路由器分配的前缀的IP地址生成SA,并批准位置登记,以满足所述SA。本发明还提供了一种鉴权方法,其用于在属于区域B的通信设备拥有与HMIPv6兼容的MAP,且所述通信设备从MN接收绑订更新并起动DHCP-PD部分时,使DHCP授权路由器将前缀信息分配给CA所批准的终端。本发明还提供了一种通信方法,其使HA将前缀信息报告给CA所批准的终端。具体而言(1)所述CA包括一种用于与如图2、20和23所示的DHCP-PD授权路由器部分通信的系统。所述
11、CA将公共密钥认证发送到所述终端,并允许报告前缀信息。(2)所述终端包括移动IPv6功能、IPsec功能以及保存数字签名所需的信息的功能。鉴权数字签名所需的信息可能是从外部存储设备接收的。所述终端不必是移动终端。(3)所述终端控制设备包括DHCPv6前缀委派选项的授权路由器功能(以下称为DHCP-PD)。所述授权路由器功能包括一种用于与CA通信的系统,以及一种用于将前缀信息报告给CA所批准的终端的系统。(4)当从所述终端接收到生成SA的请求时,所述终端控制设备向所述DHCP-PD授权路由器功能询问前缀信息。所述终端控制设备包括这样一种系统,如果所述终端使用所述授权路由器功能所分配的前缀,则所述
12、系统在终端之间生成SA。(5)所述终端控制设备包括一种保存终端的公共密钥认证的存储设备或系统。前缀信息可能被传送到所述CA所批准的终端。图1是示出了本发明通信网络的结构的概念图;图2是原籍代理HA1的方框图;图3是包括在HA1内的绑订高速缓存管理表;图4是包括在HA1内的前缀控制表;图5是包括在HA1的DHCP-PD部分内的前缀委派处理例行程序的流程图;图6是包括在HA1的IPsec内的IPsec处理例行程序的流程图;图7是认证授权CA3的方框图;图8示出了包括在CA3内的前缀分配控制表;图9是包括在A3内的公共密钥认证发出例行程序的流程图;图10示出了IPv6分组的格式;图11示出了CMP消
13、息的实例;图12示出了DHCPv6分组的格式;图13示出了ISAKMP分组的格式;图14示出了确认IKE相位1的身份时的ISAKMP分组的格式;图15是绑订更新消息的实例;图16是绑订确认消息的实例;图17是用于本发明的位置登记(绑订更新)与鉴权的顺序图1;图18是用于本发明的位置登记(绑订更新)与鉴权的顺序图2;图19是示出了第二实施例的通信网络的结构的概念图;图20是第二实施例的通信设备2的方框图;图21是用于第二实施例的位置登记(绑订更新)与鉴权的顺序图;图22是示出了第三实施例的通信网络的结构的概念图;图23是第三实施例的通信设备2的方框图;图24是用于第三实施例的位置登记(绑订更新)
14、与鉴权的顺序图;图25是用于第四实施例的位置登记(绑订更新)与鉴权的顺序图1;图26是用于第四实施例的位置登记(绑订更新)与鉴权的顺序图2;以及图27是用于第四实施例的位置登记(绑订更新)与鉴权的顺序图3。具体实施例方式(第一实施例)以下将参照附图描述本发明第一实施例。在此实施例中,HA等同于终端控制设备。以下将详细描述,当与移动IPv6兼容的移动节点(MN)在非原籍链路(以下称为原籍网络)的网络(以下称为受访网络)内时使用的MN鉴权方法和位置登记方法。图1示出了本发明的通信网络的结构。所述通信网络包括MN4的原籍网络8,IP网络7和受访网络5(5a、5b)。在此实施例中,所述原籍网络8、IP
15、网络7和受访网络5是IPv6网络。所述MN4是与移动IPv6兼容的移动节点(MN)。信息应用终端9包括与移动IPv6兼容的MN功能。所述受访网络5和IP网络7、所述IP网络7和原籍网络8由路由器或网关设备连接。所述受访网络5和原籍网络8也可能由路由器或网关设备直接连接。所述原籍网络8包括原籍代理HA1。所述HA1是与移动IPv6兼容的原籍代理(HA)。所述HA1管理非原籍网络8内的MN位置信息。所述受访网络5(5a、5b)包括通信设备2(2a、2b)和路由器6(6a、6b、6c、6d)。所述通信设备2包括与路由器6的接口,以及与IP网络7的接口。所述路由器6包括设备鉴权功能。替代所述设备鉴权功
16、能,所述路由器6可能会使用一种用于与拥有设备鉴权功能的服务器通信的系统。所述IP网络7包括CA3。所述原籍网络8或受访网络5也可能包括CA3。图2示出了安装在MN4的原籍网络8内的HA1的结构。所述HA1包括服务器部分11(11a、11b)、服务器部分12、包括线路18(18a、18b、18m、18n)的接口部分(IF)19(19a、19b、19m、19n)、交换部分17(17a、17b)。所述服务器部分11主要包括分组传送-接收处理器13、IPsec处理器14和移动IP处理器15。所述分组传送-接收处理器13包括传送或接收数据分组的功能。所述IPsec处理器14主要包括SPD、SAD和IPsec处理例行程序70。所述IPsec处理器14鉴权分组并执行编码。所述IPsec处理器14从CA3获得服务器部分11公共密钥认证。所述移动IP处理器15包括用于原籍代理(HA)功能的移动IPv6。所述移动IP处理
