专利名称:安全邻居发现方法、网络设备和移动台的利记博彩app
技术领域:
本发明涉及通讯技术领域,具体涉及一种安全邻居发现方法、网络设备和 移动台。
背景技术:
在网络中通常需要考虑安全的ND (邻居发现),ND检测,包括DAD (Duplicate Address Detection,重复地址检测)、邻居不可达检测等等。当网 络中实现IPv6后,由于IP地址是无状态生成的、移动台的IP地址不是集中统一 分配的,所以,DAD等安全的ND就变得十分重要了。现有的重复地址检测等ND实现过程需要网络设备与两端移动台分别的信 息交互,如MS1 (移动台l)与MS2 (移动台2)的IP地址重复时,接入路由器 需要转发MS 1与MS2之间的传输的信息,以通知MS 1地址重复。由于现有的安全ND实现过程中需要网络设备与多个移动台进行信息交互, 因此,现有方法存在过多占用网络传输资源、邻居发现效率低等问题;尤其在 无线网络中,浪费了宝贵的空口资源。发明内容本发明实施方式需要解决的技术问题在于,提供一种安全邻居发现方法、 网络设备和移动台,以保证了邻居发现的安全性。为达到上述目的,本发明实施方式提供的安全邻居发现方法,包括 移动台向其信任的网络设备发送邻居请求消息;所述网络设备根据接收的所述邻居请求消息进行邻居发现,并根据邻居发 现结果代理回复邻居广播消息;移动台根据接收的邻居广播消息获取邻居发现结果信息;在上述消息传输过程中,所述网络设备对其接收的邻居请求消息进行消息 验证通过后,进行邻居发现并根据邻居发送结果代理回复邻居广播消息;和/ 或者移动台对其接收的邻居广播消息进行消息验证,并在验证成功后,从邻居 广播消息中获取邻居发现结果信息。本发明实施方式还提供一致网络设备,该网络设备中设置有消息验证模块 一、邻居发现模块和代理模块;消息验证模块一用于对移动台发送给网络设备的邻居请求消息进行消息 验证,在消息验证通过时,通知邻居发现模块;邻居发现才莫块用于在接收到消息验证模块一的通知时,根据移动台发送 给网络设备的邻居请求消息进行邻居发现处理;代理模块用于根据邻居发现模块的邻居发现处理的结果代理回复邻居广 播消息。本发明实施方式还提供一种移动台,所述移动台中设置有代理权限模块、 发送模块、消息验证模块二和获取模块;代理权限模块用于确定移动台信任的网络侧网络设备,并存储移动台信 任的网络側网络设备的信息;发送模块用于根据代理权限模块存储的信息向移动台信任的网络设备发 送邻居请求消息;消息验证模块二用于对网络设备代理回复给移动台的邻居广播消息进行 消息验证,并在验证成功后,通知获取模块;获取模块在接收到消息验证模块二的通知后,从移动台接收到的邻居广 播消息中获取邻居发现结果信息。通过上述技术方案的描述可知,网络侧的网络设备如接入路由器AR通过代 理回复NA消息,避免了接入路由器AR与多个移动台进行信息交互的过程,也 就是说,接入路由器AR在对某一个移动台进行邻居发现时,不需要与其他移动 台进行信息交互,从而减少了高层信令在空口上的传输,节约了网络中宝贵的 空口资源,提高了邻居发现的效率。
图l是本发明实施方式一的安全的邻居发现方法流程图; 图2是本发明实施方式二的安全的邻居发现方法流程图; 图3是本发明实施方式三的安全的邻居发现方法流程图; 图4是本发明实施方式四的安全的邻居发现方法流程图。
具体实施方式
在本发明的实施方式中,进行基于邻居发现的消息交互的移动台(MS)和 网络侧网络设备之间存在相互信任关系。这里的网络设备可以为接入路由器 (AR)、或者设置有接入路由器AR的接入网网关等等。如果网络中安全邻居 发现由移动台与接入路由器AR或者接入网网关之外的其他网络设备进行,则本 发明实施方式中的网络设备也可以为其他网络设备。不论移动台具体与哪个网 络设备进行安全邻居发现,本发明技术方案的实现过程不会发生改变,发生改 变的仅仅是执行技术方案的主体而已。在本申请下面的实施方式中,以移动台与接入3各由器之间、以及移动台与移动台可以通过对接入路由器进行代理权限检测来确定接入路由器是否 可以信任。如果运营商根据预定策略来配置移动台的接入路由器,则移动台不 进行代理权限检测也可以确定接入路由器始终是可信任的。为确保邻居发现的安全性,移动台可以对接入路由器AR发送来的消息进行消息验证,接入路由器也可以对移动台发送来的消息进行消息验证。这里的消 息验证可以是单向的,也可以是双向的,即仅移动台对其接收的消息进行消息 验证,或者仅接入路由器对其接收的消息进行消息验证,或者移动台和接入路 由器都对其各自接收的消息进行消息验证。在接入路由器需要对移动台发送来的消息进行消息验证的情况下,移动台 可以利用其用于安全邻居发现的密钥来构造邻居请求消息。邻居请求消息中可 以携带移动台用于安全邻居发现的密钥,也可以不携带移动台用于安全邻居发 现的密钥。邻居请求消息中携带的密钥可以为移动台用于安全邻居发现的公钥 等。接入路由器可以利用移动台发送来的用于安全邻居发现的密钥如公钥对邻 居请求消息进行消息验证。接入路由器也可以根据其所在的接入网网关与移动台的EAP过程获取移动台用于安全邻居发现的密钥如共享密钥,然后,接入路 由器在接收到移动台发送来的邻居请求消息时,根据移动台用于安全邻居发现 的密钥对该邻居请求消息进行验证;接入路由器所在的接入网网关可以主动产 生移动台用于安全邻居发现的密钥如共享密钥,然后,将其产生的密钥发送给 移动台,然后,接入路由器利用接入网网关产生的密钥对其接收的邻居请求消 息进行验证。在上述描述中,移动台可以将其用于安全邻居发现的密钥承载于邻居请求 消息中传输至接入路由器,也可以通过其他消息将用于安全邻居发现的密钥传 输至接入路由器。本发明实施方式不限制移动台向接入路由器传输其密钥的时 机,如移动台可以在确定其地址没有沖突时,将其用于安全邻居发现的密钥传 输至接入路由器;再如移动台也可以在确定其地址是否冲突前,将其用于安全 邻居发现的密钥传输至接入路由器。移动台在向接入路由器发送其用于安全邻 居发现的密钥时,可以对该密钥进行加密。同理,接入路由器所在的接入网网 关在向移动台发送所述产生的移动台用于安全邻居发现的密钥时,也可以对该 密钥进行加密。:卩居发现的密钥后,可以 对该密钥信息中用于产生地址的密钥进行检测,检测用于产生地址的密钥是否 与其他移动台的用于产生地址的密钥重复。接入网网关在检测到密钥重复后,通知与其进行EAP过程的移动台。接收到通知的移动台需要更新其用于产生地址的密钥。当移动台将其用于安全邻居发现的密钥通过加密方式发送给接入路由器、 或者接入网网关将产生的移动台用于安全邻居发现的密钥通过加密方式发送给移动台时,移动台和接入网网关可以通过EAP过程来获取对移动台用于安全 邻居发现的密钥进行加密的密钥。在移动台需要对接入路由器发送来的邻居广播消息进行消息验证的情况 下,接入路由器根据移动台发送来的邻居请求消息检测到其他移动台,则接入 路由器可以利用其自身的密钥来构造邻居广播消息。邻居广播消息中可以携带 接入路由器安全代理回复的指示信息。移动台在获得了接入路由器安全代理回 复的指示信息后,利用接入路由器的密钥对邻居广播消息进行验证;移动台也 可以利用接入路由器的密钥和邻居广播消息中与其他移动台相关的参数对邻 居广播消息进行验证。移动台采用邻居广播消息中与其他移动台相关的参数对入路由器安全代理回复的指示信息也可以通过其他消息发送给移动台。接入路 由器也可以不下发上述指示信息,此时,接入路由器可以利用其检测到的其他 移动台的用于安全邻居发现的密钥来设置邻居广播消息,而且,移动台应使用 其他移动台的密钥对邻居广播消息进行消息验证,或者移动台可以利用其他移 动台的密钥和邻居广播消息中与其他移动台相关的参数对邻居广播消息进行 消息^睑i正。在上述描述中,移动台可以从接入路由器传输来的消息中获取其他移动台 用于安全邻居发现的密钥,移动台也可以从接入路由器所在的接入网网关传输来的消息中获取其他移动台用于安全邻居发现的密钥。接入路由器可以通过其 他移动台主动上报用于安全邻居发现密钥的方式获得其他移动台用于安全邻 居发现的密钥;接入路由器也可以从其所在的接入网网关处获得其他移动台用于安全邻居发现的密钥。接入网网关可以通过其他移动台的EAP过程获取其他 移动台用于安全邻居发现的密钥;"l妄入网网关也可以自己产生其他移动台用于 安全邻居发现的密钥。下面结合附图、以四种具体的实施方式为例对本发明的技术方案进行详细 说明。实施方式l、接入路由器AR利用自身的私钥代理回复NA消息,具体实现过 程如附图l所示。在图1中,步骤l、接入路由器AR发送RA (路由器广播)消息,该RA消息 中携带有接入路由器AR安全代理回复NA消息的指示信息。步骤1中的RA消息可以依据RFC (Request For Comments,请求评论)的描 述来构造,当然也可以采用其他协议来构造。在构造RFC描述的RA消息时,需 要对RA消息进行扩展,使RA消息中承载有接入路由器AR安全代理回复NA消 息的指示信息。接入路由器AR发送的RA消息中也可以不携带上述指示信息,AR可以将上 述指示信息携带于后续的其他消息中发送,此时,RA消息可以完全按照RFC 的描述来构造。到步骤2、 MS1在接收到RA消息后,进行ADD ( Authorization Delegation Discovery,授权代理发现)验证,以确认发送RA消息的接入路由器AR是其信 任的接入路由器。该ADD验证过程可以按照RFC的描述进行。MS1也可以采用 其他方式来检测接入路由器是否为其信任的接入路由器。上述步骤2中,MS1对接入路由器AR的ADD过程也可以在MS1接收到RA消 息之前进行,而且,如果根据运营商的配置策略MS1始终认为接入路由器AR是可信任的,则MS1的ADD过程也可以省略。上述ADD过程也可以由其他能够 证明接入路由器可信任的过程取代。到步骤3 、 MS 1在其对接入路由器AR的ADD验证通过后,处理接入路由器 AR发送来的RA消息。MS1根据RA消息中携带的上述指示信息获知该接入路由 器AR支持安全代理回复NA消息功能。MS 1对RA消息中携带的其余信息的处理 过程可以参照RFC中^见定的处理过程。MS1根据需要向接入路由器AR^送NS消息,如MS1在DAD ( D叩licate Address Detection,重复地址;险测)过程或者NUD (邻居不可达^r测)过程中, 向接入路由器ARJ^送承载有MS 1的IPv6地址的NS消息。MS 1根据MS 1的公钥设 置NS消息中的相关参数,该NS消息中承载有MS 1的公钥。该NS消息可以为RFC 描述的NS消息。如果不按照现有RFC的描述来构造NS消息,则需要在NS消息 中增加一个认证扩展,该认证扩展可以是用NS消息本身和MS1的私钥进行计 算出的消息摘要。到步骤4、接入路由器AR在接收到NS消息后,从NS消息中获取MS1的公钥, 接入路由器AR4艮据MS1的公钥确认该NS消息确实来自于NS消息中所声称的那 个IPv6地址,并才艮据NS消息中承载信息进行相应的处理,如根据NS消息中承 栽的DAD信息进行DAD处理,再如根据NS消息中的NUD信息进行NUD处理。接入路由器AR根据DAD处理或者NUD处理等处理结果确定是否需要代理 发送NA消息,如果确定需要代理发送NA消息,则接入路由器构造NA消息。这 里的NA消息可以按照RFC的描述构造,如NA消息的CGA参数中携带的是其他 移动台如MS2的CGA参数。与RFC描述的NA消息的不同之处在于在该实施方 式中,接入路由器AR是用其本身的密钥设置NA消息中的RSA签名,而不是使 用MS2的私钥来设置NA消息中的RSA签名。当步骤l中的RA消息没有携带安全代理回复的指示信息时,接入路由器AR 也可以将该指示信息承载于NA消息中发送给移动台,移动台从NA消息中获得了指示信息后,得知该NA消息是接入路由器代理回复的,移动台将该NA消息 按照安全代理回复的消息进行处理。在上述描述中,当接入路由器AR的邻居发现结果为检测到邻居时,则说明 检测到的邻居已经进行过邻居发现过程了 ,如接入路由器AR检测到MS 1的IPv6 地址和MS2的IPv6地址冲突,说明MS2已经和AR进行了DAD过程,因此,接入 路由器AR可以从MS2发送的NS消息中获取并保留MS2的公钥。这样,接入路 由器AR在向MS1发送NA消息时,就可以利用MS2的公钥设置该NA消息中的 MS2的CGA参数。在步骤4中,如果接入路由器AR没有发现邻居,则可以采用不发送NA消息 等处理方式;如当接入路由器AR的邻居发现过程为DAD处理过程时,当接入 路由器AR检测到MS 1的IPv6地址没有地址冲突,则可以不发送NA消息,再如, 当接入路由器AR的邻居发现过程为检测邻居MS2是否可达时,当接入路由器 AR检测到MS2不在链路上,则可以不发送NA消息。当然在上述没有地址沖突、MS2不在链路上的情况下,接入路由器AR也可 以发送NA消息,并在NA消息中明确给出邻居发现结果,此时,NA的消息构造 方式和前述实施方式中描述的NA消息的构造方式相同。在步骤5、 MS1接收NA消息。MS1可以根据路由器广播RA消息或者NA消 息中的上述指示信息获知该NA消息是接入路由器AR代理回复的,MS 1根据接 入路由器AR的密钥以及NA消息携带的CGA参数对NA消息进行验证,从而完成 安全的邻居检测过程。MS1在对NA消息验证通过后,从NA消息中获得邻居发 现结果信息。实施方式2、接入路由器AR利用其他移动台的公钥和私钥发送NA消息, MS利用NA消息中携带的其他移动台的公钥验证NA消息,具体实现过程如附图 2所示。图2中,在步骤l、 MS1接入网络的时候,需要进行EAP (可扩展认证协议)过程,在EAP过程中,MS 1和接入网网关均可以获得MS 1用于SEND (安全邻居 发现)的公钥和私钥。为了方便描述,将MSl用于SEND的公钥记为SliND-PuK, 将MS1用于SEND的私钥记为SEND-PrK。在步骤1中,MS 1和接入网网关获得上述MS 1的公钥和私钥的方法有多种, 下面简单介绍两种获得MS 1的公钥和私钥的方法。方法l、 MS1通过EAP过程获得其和AAA (鉴权、计费、认证)服务器的 共享密钥MSK或者EMSK, MS1根据MSK或者EMSK通过计算派生出密钥 SEND-RK,然后,MSl依据SEND-RK派生出SEND-PuK和SEND-PrK。 ASN-GW (Access Service Network Gate Way,接入服务网络网关)接收AAA发送来的 SEND-RK, ASN-GW依据SEND-RK派生出SEND-PuK/PrK。方法2、 MSl通过EAP过程获得其和AAA的共享密钥MSK或者EMSK, MSI 根据MSK或者EMSK通过计算派生出密钥SEND-RK,然后,MSl依据SEND-RK 派生出SEND-PuK和SEND-PrK。 AAA服务器根据共享密钥MSK或者EMSK通过 计算派生出密钥SEND-RK,然后,AAA服务器l依据密钥SEND-RK通过计算派 生出密钥SEND-PuK和SEND-PrK, AAA服务器直接将SEND-PuK和SEND-PrK 发送给接入网网关ASN-GW。SEND-PrK后,AR也就可以从接入网网关处获知MSl的SEND-PuK/PrK。当然, 上述接入网网关执行的操作也可以由接入路由器侧的其他网络设备替代,如由 接入路由器替代等。接入路由器AR可以通过比较MS1的密钥和其他移动台密钥是否相同,获知 MSI的IPv6地址是否与其他移动台的IPv6地址冲突,如果接入路由器AR通过密 钥比较确定MS 1的密钥与其他移动台的密钥相同,则可以确定MS 1的IPv6地址 与其他移动台的IPv6地址存在沖突。此时,接入路由器AR可以将MS1的产生地 址的密钥与其他移动台产生地址的密钥相冲突的信息直接通知给MS 1,如接入路由器通过扩展RA消息,将密钥相冲突的信息承载于RA消息中发送。MS1在 接收到接入路由器AR发送的RA消息后,根据RA消息中密钥相沖突的信息更新 其公钥和密钥,ASN-GW也应该同时采用同样的算法更新MS1的公钥和私钥, 并执行步骤3。这里MS1采用的算法和ASN-GW采用的算法可以是双方预先约 定好的,也可以是网络侧分别向ASN-GW和MS 1下发的。如果在步骤1中,接入路由器AR不进行MS 1的密钥与其他移动台的密钥是 否相同的判断,或者接入路由器AR在进行MS 1的密钥与其他移动台的密钥是否 相同的判断时,确定MS1的密钥与其他移动台的密钥不相同,则执行步骤2。在步骤2 、接入路由器AR发送RA消息,该RA消息可以依据RFC的描述来 构造。到步骤3、 MS1在接收到RA消息后,进行ADD (Authorization Delegation Discovery,授权代理发现)验证,该ADD验证过程可以按照现有RFC的描述进 行。上述描述中,MS1进行的ADD过程和MS1接收RA消息在时间上可以没有顺 序的要求,即ADD过程可以在MS1接收到RA消息之前,也可以在MS1接收到 RA消息之后,而且,如果根据运营商的配置策略MS1始终认为接入路由器AR 是可信任的,则MS1的ADD过程也可以省略。上述ADD过程也可以由其他能够 证明接入路由器可信任的过程取代。。到步骤4、 MS1在对接入路由器AR的ADD验证通过后,处理接入路由器AR 发送来的RA消息。MS 1对RA消息中携带的其余信息的处理过程可以参照RFC 中规定的处理过程。MS1根据需要向接入路由器AR发送NS消息,如MS1在DAD ( D叩licate Address Detection,重复地址检测)过程或者NUD (邻居不可达检测)过程中, 向接入路由器AR^送承载有MSl的IPv6地址的NS消息。MS1根据MS1的公钥设 置NS消息中的相关参数,该NS消息中承载有MS 1的公钥。该NS消息可以为现有的RFC描述的NS消息。如果不按照现有RFC的描述来构造NS消息,则需要在 NS消息中增加一个认证扩展,该认证扩展可以是用NS消息本身和MS1的私 钥进行计算出的消息摘要。到步骤5、接入路由器AR在接收到NS消息后,获取MS1的公钥。接入路由 器AR可以从EAP过程中获取MS 1的公钥,也可以从NS消息携带的信息中获取 MS 1的公钥。接入路由器AR根据MS 1的公钥确认该NS消息确实来自于NS消息 中所声称的那个IPv6地址,并根据NS消息中承载的信息进行相应的处理,如进 行DAD处理或者NUD处理等。接入路由器AR根据处理结果在确定需要代理发送NA消息时,接入路由器 构造NA消息,并发送NA消息。在该实施方式中,接入路由器AR是用MS2的私 钥来设置NA消息中的RSA签名的,NA消息中的MS2的CGA参数包含了 MS2的 公钥信息。在步骤6、 MS1接收NA消息。MS1利用NA消息中携带的MS2的公钥对NA 消息进行验证,并在验证通过后,从NA消息中获得邻居发现结果信息。实施方式3、 MS在进行安全邻居发现后,MS将其公钥和私钥发送给接入路 由器AR。接入路由器AR获得各MS的公钥和私钥,在对某个MS进行安全邻居 发现过程中,如果需要发送NA消息,则利用相应的移动台的公钥和私钥发送 NA消息,MS利用其公钥验证NA消息。具体实现过程如附图3所示。图3中,在步骤l、 AR发送RA消息,该RA消息可以依据RFC3971的描述来 构造。到步骤2、 MS1在接收到RA消息后,进行ADD验证,该ADD验证过程可以 按照RFC的描述进行。到步骤3、 MS1在对接入路由器AR的ADD验证通过后,处理接入路由器AR 发送来的RA消息。MS1对RA消息中携带的其余信息的处理过程可以参照RFC 中规定的处理过程。MS1根据需要向接入路由器AR发送NS消息,如MS1在I)AD (Duplicate Address Detection,重复地址检测)过程或者NUD (邻居不可达检测)过程中, 向接入路由器AR发送承载有MSl的IPv6地址的NS消息。MS1根据MS1的公钥设 置NS消息中的CGA参数、并根据MS1的私钥来设置NA消息中的RSA签名。MSI 可以通过现有的方式计算出其公钥和私钥。该NS消息可以为现有的描述安全邻 居发现的RFC描述的NS消息。如果不按照现有RFC的描述来构造NS消息,则需 要在NS消息中增加一个认证扩展,该认证扩展可以是用NS消息本身和MSl 的私钥进行计算出的消息摘要。到步骤4、接入路由器AR在接收到NS消息后,获取MS1的公钥。接入路由 器AR根据MS 1的公钥确认该NS消息确实来自于NS消息中所声称的那个IPv6地 址,并根据NS消息中承载的信息进行相应的处理,如进行DAD处理或者NUD 处理等。接入路由器AR根据处理结果在确定需要代理发送NA消息时,接入路由器 构造NA消息,并发送NA消息。在该实施方式中,接入路由器AR是用MS2的私 钥来设置NA消息中的RSA签名的,NA消息中的MS2的CGA参数包含了 MS2的 公钥信息。接入路由器AR才艮据处理结果在确定不需要代理发送NA消息时,接入路由 器不构造NA消息,如果接入路由器AR进行的是DAD处理,则MSl在确定其Ipv6 地址没有地址沖突后,将其公钥和私钥发送给接入路由器AR,接入路由器AR 记录MS 1的公钥和私钥。MS 1可以采用加密的方式将其公钥和私钥发送给AR。 这里的加密的方式可以是2层(MAC层)加密方式,也可以是3层(IP层)加密 方式。接入路由器AR可以对MS1的公钥和私钥进行解密,并存储解密后的公钥 和私钥;接入路由器AR也可以直接存储未解密的公钥和私钥,在使用时再进行 解密处理。接入路由器AR存储了MS1的公钥和私钥后,在后续邻居发现处理过程中,18如果需要使用MS 1的公钥和私钥来设置NA消息中的参数,则接入路由器AR可 以从其存储的信息中获取MS 1的公钥和私钥。在本实施方式中,MS1和接入路由器AR均需要获得对MS1的公钥和私钥进 行加密的密钥。MS1和接入路由器AR获得该加密密钥的方式有多种,下面简单 介绍两种获得加密密钥的方法。为方便下面的描述,将对MS1的公钥和私钥进 行加密的密钥记为SEND-EK。方法l、 MS1在EAP过程中获得其与AAA服务器之间的共享密钥MSK或 EMSK, MS1根据MSK或EMSK通过计算派生出SEND-EK; AAA服务器根据 MSK或EMSK通过计算派生出密钥SEND-RK, AAA服务器将密钥SEND-RK发 送给接入路由器所在的接入网网关ASN-GW, ASN-GW根据密钥SEND-RK通过 计算派生出密钥SEND-EK,接入路由器AR从接入网网关处获取SEND-EK。方法2 、 MS 1在EAP过程中获得其与AAA服务器之间的共享密钥MSK或 EMSK, MS1根据MSK或EMSK通过计算派生出密钥SEND-EK; AAA服务器根 据MSK或EMSK通过计算派生出密钥SEND-RK,并根据密钥SEND-RK通过计 算派生出密钥SEND-EK, AAA将SEND-EK直接发送给接入路由器AR所在的接 入网网关ASN-GW,接入路由器AR从接入网网关处获取SEND-EK。当接入3各由器AR通过上述步骤获得了 MS2的公钥和私钥后,如果接入路由 器在向MS1发送NA消息需要使用MS2的公钥和私钥时,接入路由器AR可以利 用MS2的公钥和私钥来设置NA消息中的MS2的CGA参数以及RSA签名。到步骤5、 MS1接收NA消息。MS1利用其公钥对NA消息进行验证,并在验 证通过后,从NA消息中获得邻居发现结杲信息。实施方式4 、 ASN-GW将MS的公钥和私钥发送给MS和接入路由器AR。接 入路由器AR获得各MS的^^钥和私钥,在对某个MS进行安全邻居发现过程中, 如果需要发送NA消息,则利用相应的移动台的公钥和私钥发送NA消息,MS 利用其公钥验证NA消息。具体实现过程如附图4所示。对比图3和图4可以知道,实施方式4的实现过程与实施方式3的实现过程基 本相同,即实施方式4的步骤1至步骤5与实施方式3的步骤1到步骤5基本相同, 只是MS用于SEND的公钥和私钥是由ASN-GW下发的,而不是由MS按照已有 的方式计算出来的。ASN-GW向MS下发公钥和私钥的过程可以在MS进行ADD之前,也可以在 MS进行ADD之后。但是不论下发公钥和私钥的过程在什么时间执行,MS只有 在成功通过ADD验证后,才能够使用ASN-GW下发的公钥和私钥。在此不再对 实施方式4进行详细描述。从上述四种实施方式的描述可以看出,在本发明实施方式的邻居发现方法 中,AR通过代理回复NA消息,避免了AR与MS1和MS2都进行信息交互的过程, 也就是说,AR在对MS1进行邻居发现时,不需要与MS2进行信息交互,从而减 少了高层信令在空口上的传输,提高了邻居发现的效率。上述实施方式的邻居 发现方法的技术方案可以适用于W iMax网络中。当上述邻居发现方法的技术方 案适用于WiMax网络中时,填补了WiMax网络中安全ND的空白,而且,节约 了 WiMax网络中宝贵的空口资源。本发明实施方式提供的技术方案适用于multi-hosts多主机场景,也适用于 一个移动台和一个ASN-GW直接相连的场景。下面对本发明实施方式提供的网络设备和移动台进行说明。本发明实施方式提供的网络设备中设置有邻居发现模块和代理模块,当网 络设备需要对移动台发送来的邻居请求消息进行验证时,该网络设备中还设置 有消息验证模块一。这里的网络设备可以为接入路由器,也可以为设置有接入 路由器的接入网网关。本发明实施方式提供的移动台中设置有代理权限模块、 发送模块和获取模块,当移动台需要对网络侧发送来的邻居广播消息进行验证 时,移动台中还设置有消息验证模块二。代理权限模块可以位于接入路由器中。代理权限模块中设置有移动台信任的网络侧网络设备的信息,代理权限模块可以通过对接入路由器进行代理权限检测如ADD过程来确定接入路由器是否可以信任,并在确定接入路由器可以信 任时,存储该接入路由器的信息。如果运营商根据预定策略来配置移动台的接 入路由器,则代理权限模块可以不进行代理权限检测,此时,代理权限模块可 以通过接收网络侧传输来的配置信息等方法来获得并存储移动台信任的接入 路由器信息。发送模块从代理权限模块中获取移动台信任的接入路由器信息,并获取移 动台用于安全邻居发现的密钥,然后,根据移动台用于安全邻居发现的密钥构 造邻居请求消息,将邻居请求消息发送给移动台信任的接入路由器。发送模块 获取并根据代理权限模块存储的信息向移动台信任的网络设备发送所述邻居 请求消息。发送模块获取移动台用于安全邻居发现的密钥的方式可以为根据 现有的方法自己计算产生,或者利用EAP过程获得,或者由接入网网关分配下 发。具体如上述方法实施方式中的描述。发送模块可以将移动台用于安全邻居发现的密钥如公钥携带在邻居请求 消息中发送给接入路由器,当然,发送模块也可以通过其他消息将移动台用于 安全邻居发现的密钥发送给接入路由器。发送模块也可以不将移动台用于安全 邻居发现的密钥发送给接入路由器。发送模块向接入路由器传输其密钥的时机 可以为多种,具体如上述方法中的描述。发送模块在向接入路由器发送其用于 安全邻居发现的密钥时,可以对该密钥进行加密。发送模块获取对移动台用于 安全邻居发现的密钥进行加密的密钥的具体过程如上述方法实施方式中的描 述。接入路由器在接收到发送模块发送来的邻居请求消息后,消息验证模块一 对该邻居请求消息进行消息验证。消息验证模块一可以利用邻居请求消息中携带的移动台用于安全邻居发现的密钥对该邻居请求消息进行验证。当发送模块 没有将移动台用于安全邻居发现的密钥发送给接入路由器时,消息验证模块一块一包括位于接入网网关获取密钥子模块一和位于接入路由器的验证子模块获取密钥子模块一主要用于通过与发送模块进行EAP过程或者协商过程获 取移动台用于安全邻居发现的密钥,并将获取的密钥传输至验证子模块一。获 取密钥子模块一和发送模块之间通过EAP过程获取移动台用于安全邻居发现的 密钥的方式有多种,在上述方法的实施方式二中例举了两种;获取密钥子模块 一和发送模块之间通过协商过程获取移动台用于安全邻居发现的密钥的方式 同样也有多种,如发送模块向获取密钥子模块一上报移动台用于安全邻居发现 的密钥,再如获取密钥子模块产生并向移动台下发移动台用于安全邻居发现的 密钥;这里不在对获取密钥子模块一获得移动台用于安全邻居发现的密钥的过 程进4于详细i兌明。验证子模块一接收获取密钥子模块一传输来的移动台用于安全邻居发现 的密钥,并利用该密钥对发送模块发送来的邻居请求消息进行验证,在消息验 证通过后,通知邻居发现模块。邻居发现模块在接收到消息验证模块一的通知后根据发送模块传输来的 邻居请求消息进行邻居发现处理,这里的邻居发现处理如DAD、 NUD等。代理模块在检测到邻居发现模块的邻居发现结果为检测到其他邻居时,代 理回复邻居广播消息,当然,代理模块也可以在邻居发现结果为没有检测到其 他邻居时,代理回复邻居广播消息,具体如上述方法实施方式中的描述。代理模块在代理回复邻居广播消息时,可以利用接入路由器的密钥来构造 邻居广播消息,在这种情况下,代理模块需要将接入路由器安全代理回复的指 示信息发送给移动台,代理模块可以将该指示信息通过邻居广播消息发送给移 动台,也可以将该指示信息通过其他消息发送给移动台,而且,代理模块可以 在发送邻居广播消息之前将该指示信息发送给移动台。具体如上述方法实施方式中的描述。在邻居发现结果为^r测到其他邻居时,代理模块也可以利用所述其他移动台的用于安全邻居发现的密钥构造代理回复的邻居广播消息,并将所述邻居广 播消息发送给移动台。代理模块可以将其他移动台的密钥如公钥携带于邻居广 播消息中发送给移动台。代理模块使用的其他移动台的用于安全邻居发现的密 钥可以是其他移动台上报的,也可以是接入网网关自己产生的,还可以是获取密钥子模块一通过与其他移动台进行EAP过程获得的。具体过程如上述方法实 施方式中的描述。移动台接收到代理模块发送来的邻居广播消息后,消息验证模块二对该邻 居广播消息进行消息验证。消息验证模块二的消息验证过程由获取密钥子模块 二和验证子模块二实现。在移动台接收到接入路由器安全代理回复的指示信息的情况下,获取密钥 子模块二获取接入路由器的密钥如公钥,并将接入路由器的密钥传输至验证子 模块二。在移动台没有接收到接入路由器安全代理回复的指示信息的情况下, 获取密钥子模块二获取其他移动台的密钥,并将获取的其他移动台的密钥传输 至验证子模块二。获取密钥子模块二可以从接入路由器传输来的消息中获取其他移动台用 于安全邻居发现的密钥,获取密钥子模块二也可以从接入路由器所在的接入网 网关传输来的消息中获取其他移动台用于安全邻居发现的密钥。具体过程如上 述方法实施方式中的描述。验证子模块二在接收到获取密钥子模块二传输来的密钥后,利用该密钥对 接入路由器代理回复的邻居广播消息进行消息验证,或者利用该密钥和邻居广 播消息中与其他移动台相关的参数对接入路由器代理回复的邻居广播消息进 行消息验证。验证子模块在消息验证通过后,通知获取模块。具体的验证过程 如上述方法实施方式中的描述。获取模块在接收到验证子模块二的通知后,从邻居广播消息中获取邻居发 现结果信息,并输出。上述实施方式中的移动台和网络设备可以为WiMax网络中的移动台和网 络设备,也可以为其它网络中的移动台和网络设备。虽然通过实施例描《会了本发明实施方式,本领域普通技术人员知道,本发 明有许多变形和变化而不脱离本发明的精神,本发明的申请文件的权利要求包 括这些变形和变化。
权利要求
1. 一种安全邻居发现方法,其特征在于,包括移动台向其信任的网络设备发送邻居请求消息;所述网络设备根据接收的所述邻居请求消息进行邻居发现,并根据邻居发现结果代理回复邻居广播消息;移动台根据接收的邻居广播消息获取邻居发现结果信息;在上述消息传输过程中,所述网络设备对其接收的邻居请求消息进行消息验证通过后,进行邻居发现并根据邻居发送结果代理回复邻居广播消息;和/或者移动台对其接收的邻居广播消息进行消息验证,并在验证成功后,从邻居广播消息中获取邻居发现结果信息。
2、 如权利要求1所述的方法,其特征在于,所述信任的网络设备是移动 台通过对网络设备进行代理权限检测来确定的。
3、 如权利要求1所述的方法,其特征在于,所述移动台发送邻居请求消 息、所述网络设备对其接收的邻居请求消息进行消息验证的步骤包括移动台利用用于安全邻居发现的密钥构造并且发送邻居请求消息,并在邻 居请求消息中携带所述密钥,所述网络设备从邻居请求消息中获取所述密钥, 并根据该密钥对邻居请求消息进行验证;或者网络设备和移动台分别根据可扩展认证协议EAP过程获取移动台用于安 全邻居发现的密钥,移动台利用所述用于安全邻居发现的密钥发送邻居请求消 息,所述网络设备根据所述移动台用于安全邻居发现的密钥对邻居请求消息进 行验证。
4、 如权利要求3所述的方法,其特征在于,所述网络设备和移动台分别 通过EAP过程获取移动台用于安全邻居发现的密钥的步骤包括移动台通过EAP过程获取其与认证授权计费AAA服务器的共享密钥,根 据所述共享密钥派生出密钥SEND-RK,并根据密钥SEND-RK派生出用于安全邻居发现的共享密钥;AAA服务器根据其与移动台的共享密钥派生出密钥SEND-RK,并将密钥 SEND-RK发送给所述网络设备,所述网络设备根据密钥SEND-RK派生出移动 台用于安全邻居发现的密钥;或者AAA服务器根据其与移动台的共享密钥派生出密钥SEND-RK,根据密钥 SEND-RK派生出移动台用于安全邻居发现的密钥,并将移动台用于安全邻居 发现的密钥发送给所述网络设备;或者所述网络设备和移动台分别通过EAP过程获取移动台用于安全邻居 发现的密钥的步骤包括移动台通过EAP过程获取其与AAA服务器的共享密钥,根据所述共享密 钥派生出密钥SEND-EK;AAA服务器根据其与移动台的共享密钥派生出密钥SEND-RK,并将密钥 SEND-RK发送给所述网络设备,所述网络设备根据密钥SEND-RK派生出密钥 SEND-EK;或者AAA服务器根据其与移动台的共享密钥派生出密钥 SEND-EK,并将密钥SEND-EK发送给所述网络设备;所述网络设备和移动台之间协商移动台用于安全邻居发现的密钥,协商过 程通过密钥SEND-EK加密。
5、 如权利要求4所述的方法,其特征在于,所述网络设备和移动台之间 协商移动台用于安全邻居发现的密钥的步骤包括移动台确定没有与其地址沖突的邻居时,将其用于安全邻居发现的密钥传 输至接入路由器;或者所述网络设备产生移动台用于安全邻居发现的密钥,并且将不会导致地址 冲突的移动台用于安全邻居发现的共享密钥分发至相应的移动台。
6、 如权利要求3所述的方法,其特征在于,所述方法还包括所述网络 设备根据EAP过程获取移动台用于安全邻居发现的密钥信息后,检测该密钥信息中用于产生地址的密钥是否与其他移动台的用于产生地址的密钥重复,在检 测到密钥重复后,通知所述移动台,接收到通知的移动台更新其用于产生地址 的密钥。
7、 如权利要求1至6中任一项所述的方法,其特征在于,所述网络设备根据邻居发现结果代理回复邻居广播消息的步骤包括网络设备利用其自身的密钥设置邻居广播消息;且所述移动台对其接收的邻居广播消息进行消息验证的步骤包括移动台利用所述网络设备的密钥进行邻居广播消息验证,或者移动台利用所述网络设备的密钥和邻居广播消息中与其他移动台相关的参数进行邻居广播消息验证。
8、 如权利要求7所述的方法,其特征在于移动台根据所述网络设备传输来的指示信息获知所述网络设备安全代理 回复邻居广播消息;所述移动台利用所述网络设备的密钥进行邻居广播消息验证,或者移动台 利用所述网络设备的密钥和邻居广播消息中与所述其他移动台相关的参数进 行邻居广播消息验证。
9、 如权利要求1至6中任一项所述的方法,其特征在于,所述网络设备 根据邻居发现结果代理回复邻居广播消息的步骤包括所述网络设备获取所述 其他移动台对应的密钥,并利用所述其他移动台的密钥设置邻居广播消息中与 所述其他移动台相关的参数;且所述移动台对其接收的邻居广播消息进行消息验证的步骤包括移动台从邻居广播消息中获取其他移动台的密钥信息,并根据所述其他移动台的密钥信息进行邻居广播消息验证;或者接收到邻居广播消息的移动台利用其自身的密钥、或者利用所述自身的密钥和邻居广播消息中与所述其他移动台相关的参数进行邻居广播消息验证。
10、 一种网络设备,位于网络侧,其特征在于,所述网络设备中设置有消息验证模块一、邻居发现模块和代理模块;消息验证模块一用于对移动台发送给网络设备的邻居请求消息进行消息 验证,在消息-睑{正通过时,通知邻居发现才莫块;邻居发现模块用于在接收到消息验证模块一的通知时,根据移动台发送 给网络设备的邻居请求消息进行邻居发现处理;代理模块用于根据邻居发现模块的邻居发现处理的结果代理回复邻居广 播消息。
11、 如权利要求10所述的网络设备,其特征在于,所述消息验证模块一包 括获取密钥子模块一和验证子模块一;获取密钥子模块一用于根据EAP过程获取移动台用于安全邻居发现的密 钥,或者通过与移动台的协商过程获取移动台用于安全邻居发现的密钥,并将 获取的密钥传输至验证子模块一;验证子;f莫块一用于根据接收到的移动台用于安全邻居发现的密钥对所述 邻居请求消息进行验证,在消息验证通过后,通知邻居发现模块,邻居发现模 块在接收到消息验证模块一的通知后进行邻居发现处理。
12、 如权利要求10所述的网络设备,其特征在于代理模块向移动台发送安全代理回复的指示信息,代理模块根据邻居发现 模块的邻居发现结果以及其所在网络设备的密钥构造代理回复的邻居广播消 息,并发送给移动台;或者代理模块根据邻居发现模块的邻居发现结果利用其他移动台的用于安全 邻居发现的密钥构造代理回复的邻居广播消息,并发送给移动台。
13、 一种移动台,其特征在于,所述移动台中设置有代理权限模块、发送 模块、消息验证模块二和获取模块;代理权限模块用于确定移动台信任的网络侧网络设备,并存储移动台信任的网络侧网络设备的信息;发送模块用于根据代理权限模块存储的信息向移动台信任的网络设备发 送邻居请求消息;消息验证模块二用于对网络设备代理回复给移动台的邻居广播消息进行 消息验证,并在验证成功后,通知获取模块;获取模块在接收到消息验证模块二的通知后,从移动台接收到的邻居广 播消息中获取邻居发现结果信息。
14、 如权利要求13所述的移动台,其特征在于,发送模块获取移动台用于 安全邻居发现的密钥,根据该密钥构造邻居请求消息,并根据代理权限模块存 储的信息向移动台信任的网络设备发送所述邻居请求消息。
15、 如权利要求13所述的移动台,其特征在于,所述消息验证模块二包括 获取密钥子模块二和验证子模块二;获取密钥子模块二用于在接收到网络设备传输来的安全代理回复的指示 信息情况下,获取网络设备的密钥,并将网络设备的密钥传输至验证子模块二;或者获取密钥子模块二用于获取其他移动台的密钥,并将获取的密钥传 输至验证子模块二;验证子模块二用于根据接收到的密钥对网络设备代理回复的邻居广播消 息进行验证;或者用于根据其接收到的密钥和邻居广播消息中与其他移动台相 关的参数对所述邻居广播消息进行验证。
全文摘要
一种安全邻居发现方法、网络设备和移动台。移动台向其信任的网络设备发送邻居请求消息;网络设备根据接收的邻居请求消息进行邻居发现,并根据邻居发现结果代理回复邻居广播消息;移动台根据接收的邻居广播消息获取邻居发现结果信息;在上述消息传输过程中,网络设备对其接收的邻居请求消息进行消息验证通过后,进行邻居发现并根据邻居发送结果代理回复邻居广播消息;和/或者移动台对其接收的邻居广播消息进行消息验证,并在验证成功后,从邻居广播消息中获取邻居发现结果信息。本发明减少了高层信令在空口上的传输,节约了网络中宝贵的空口资源,提高了安全邻居发现的效率。
文档编号H04L9/00GK101247642SQ20071008016
公开日2008年8月20日 申请日期2007年2月14日 优先权日2007年2月14日
发明者梁文亮, 勇 谢, 亮 顾 申请人:华为技术有限公司