[发明专利]基于主机的移动性和多宿主协议的轻量级安全方案的方法和设备

说明书

技术领域

概括地说，本发明涉及基于主机的移动性和多宿主协议，更具体地，涉及在以合理成本提供足够安全性的同时有效地和成本有效地更新传输连接中的改变的移动协议。

背景技术

近年来，特别在最新一代的智能电话出现以来，移动因特网业务得到戏剧性增加。电话技术的发展戏剧性地增加了因特网业务，并迫使研究团体重新思考IP移动性和多宿主的现有概念。IP移动性的一种基本租用是对于主机来说能够在进行中的传输会话期间改变L3附着点，即IP地址。需要能够将不同接口的进行中会话选择地例如从3G无线网络切换至WiFi的多宿主主机也必需能够改变IP附着点。

因为例如因特网的公共特征，所以经由公共架构为通信设备设计协议固有地涉及安全性问题的严肃考虑。在公共论坛中，对手可能滥用信息，并为了恶意目的使传输会话重定向。这样的重定向攻击使得对手例如劫持通信会话，并代表会话端点之一来继续会话。

对手也可访问会话以分布拒绝服务（DoS）攻击，其中对手操作高容量业务以朝向受害者主机。DoS攻击还已知为轰炸（flooding）。

重定向和轰炸均带来了具有通常不同方案的不同安全性问题。

例如，防止重定向攻击的可用机制取决于移动性技术。目前的移动性标准（例如W-CDMA、LTE和WiMAX）使用基于网络的移动性。这些技术采用网络端锚接在移动节点（MN）及其对端之间中继所有业务。所有的移动性相关的信令在MN和网络（端锚接？）之间交换，这可通过利用订户和他的服务提供商之间存在的信任关系来确保。

或者，在MN改变其IP地址时，基于主机的移动性允许MN更新通信者节点（CN）。响应地，CN可向MN的新地址直接发送数据分组。结果，基于主机的移动性协议是更加成本有效的、多功能的和可扩展的，因为他们排除了网络端锚接的需求。基于主机的移动性系统的优点触发了大量研究行为，以尝试建立适当的低成本的基于主机的移动性协议。这样协议的实例可包括主机标识符协议（HIP）、路径优化移动IPv6（MIPv6R/O）、TCP-R和EMIPv6，仅列举至今为止的几个公知协议。

一些已知的基于主机的协议支持多宿主情形。具体地，在多宿主情形下，主机可向CN声明多个IP地址，作为备选路由路径。这样协议的实例包括SCTP、HIP、多宿主TCP（MH TCP）和SHIM6。由于移动性和多宿主地址密切涉及问题，典型地，指的是当解决两个现象时的移动性。

只要考虑基于主机的移动性协议中的安全性，基于主机的移动性就被限制在支持业务连接的端节点处。结果，信任关系通常不可用于保护移动性相关的信令消息。在HIP的框架中，例如，提出在全局级别上建立信任关系，即，对于因特网上的所有主机，使用PKI。结果，与建立信任关系相关的努力、以及可扩展和撤回问题大大损害了基于主机移动性的主要优点。因此，一些提议采取需要先前部署的用于连接的信任关系的机制，例如IPsec。

结果，大部分主机移动性协议依赖于弱认证的方法，例如，随机数的开放式交换、经由Diffie-Hellman交换的密钥部署和可路由性测试。这样的方案提供了不足的保护，或者在端节点上附加了不必要的处理负担。

发明内容

公开一种传输连接系统。该系统包括：适于发送和接收消息的第一设备。还提供适于发送和接收消息的第二设备。由第一设备生成的消息i包括在先前消息i-1中从第一设备向第二设备发送的Hash(Ri-1)的私密密钥Ri-1。消息i由随机密钥Ai-1标记，随机密钥是从密钥Ai-2的更新导出，其中消息i-1由密钥Ai-2标记。

附图说明

图1示出根据这里的原理设计的系统的INIT握手的实施例。

图2示出根据这里的原理构建的一个移动性关联（MA）的INIT握手的实施例。

图3示出根据这里的原理构建的绑定更新握手的实施例。

图4示出根据这里的原理构建的绑定更新的实施例。

图5示出根据这里的原理构建的两个MA的INIT握手的实施例。

图6示出根据这里的原理构建的BT握手以及示出根据这里的原理构建的MA对密钥更新的实施例。

图7示出根据这里的原理构建的MA对绑定更新。

图8示出根据这里的原理构建的MA对密钥更新的实施例。

图9示出根据这里的原理构建的用于多路复用的信令和带外信令的业务连接进行链接的实施例。

具体实施方式