提供了一种在基于服务器的移动IP系统中的安全方法。具体地,在所述安全方法中,除了在移动节点和服务器之间或者在移动节点之间交换的控制消息之外,还安全地交换普通数据。具体地,提供了一种通过使用移动节点来安全地交换数据的方法,所述移动节点包括:mPAK执行模块,通过与服务器交换密钥信息来生成所需的密钥,同时执行相互验证处理并协商安全策略;以及安全模块,设置与对应节点协商的安全策略,并且当传送数据时,根据所设置的安全策略来向数据施加安全策略。
【技术实现步骤摘要】
【国外来华专利技术】
本专利技术涉及一种在基于服务器的因特网协议(IP)系统中的安全方法,并更具体 地,涉及一种除了在移动节点和服务器之间或在移动节点之间交换的控制消息之外、还安 全地交换普通数据的安全方法。本专利技术得到MIC/IITA 的 IT R&D 计划[2007-S-013-01,R&D on all IPv6based Fixed-Mobile convergence networking technology (关于所有基于 IPv6 的固定移动聚合 联网技术的研发)]支持。
技术介绍
用于保护在两个节点之间交换的数据的普通方法是IP安全协议(IPSEC)方法和 传输层安全(TLS)方法。在由因特网工程任务组(IETF)提出的移动IP中,IPSEC方法对 于控制消息的安全是必不可少的。IPSEC由用于在用户区执行密钥交换功能的因特网密 钥交换(IKE)、用于保护内核区中的数据的验证报头(AH)、和封装安全有效载荷(ESP)构 成。由于保护消息免于IP报头,所以不可能保护用于每一服务应用的数据或施加服务质量 (QoS)。相反,在TLS方法中,可能保护用于每一应用的数据,但是,不可能对IP报头执行安 全功能。为了保护数据,两个节点必须共享相同的密钥信息。为了在两个节点之间共享相 同的密钥,IPSEC使用IKE,并且TLS使用它自己的密钥交换功能。两个节点之间的相互验 证处理对于执行密钥交换功能是必不可少的。证书(certificate)主要用于这个相互验证 处理。也就是说,密钥对于数据的安全是必要的。需要该证书以便交换密钥。需要诸如公 共密钥基础设施的安全基础设施,以便管理该证书。此外,由于密钥交换协议具有相当复杂 的结构,所以难以将密钥交换协议施加到无线环境。
技术实现思路
技术问题本专利技术提供了一种在基于服务器的移动IP系统中在没有证书的情况下通过使用 简单协议、利用适合于无线环境的密钥交换方法来保护要在节点之间交换的各种消息的方法。本专利技术还通过支持5元组(tulpe)查找处理而提供除了消息安全功能之外的过滤 功能,以便保护消息。技术解决方案根据本专利技术的一方面,提供了一种在基于服务器的移动IP系统中的移动节点的 安全方法,所述安全方法包括通过使用通过与服务器执行基于移动密码的验证密钥交换 (mPAK)处理而交换的第一安全组件,来生成与服务器的隧道;通过所生成的隧道来向服务 器传送伪密码查询消息(PPQ);通过使用响应于PPQ而从服务器接收的伪密码确认消息 (PPA)来执行与目的节点的mPAK处理,而交换第二安全组件;以及通过使用第二安全组件,来为了向目的节点传送和从目的节点接收的数据和控制消息的安全而生成隧道。根据本专利技术的又一方面,提供了一种在基于服务器的移动IP系统中的移动节点 的安全方法,所述安全方法包括通过使用通过与多个移动节点执行mPAK处理而交换的安 全组件,来生成隧道;通过所生成的隧道从至少一个移动节点接收PPQ ;以及当接收到PPQ 时,向移动节点传送当生成随机数时所生成的伪密码。根据本专利技术的又一方面,提供了一种在基于服务器的移动IP系统中的移动节点 装置,所述移动节点装置包括mPAK执行模块,通过与服务器交换密钥信息来生成必要密 钥,同时执行相互验证处理并协商安全策略;以及安全模块,设置与对应的节点协商的安全 策略,并且当传送数据时,根据所设置的安全策略来向数据施加该安全策略。有利效果如上所述,在基于服务器的移动IP系统中,通过在没有使用诸如验证中心的基础 设施的情况下使用简单协议来交换密钥,可能减少大量的操作和交换消息的处理的数目, 并且可能在具有低功率和计算能力的移动节点中执行安全通信处理。此外,可能通过利用5元组查找处理确定安全策略来为每一应用施加安全策略, 并且可能通过施加分组过滤技术来执行简单防火墙的功能。附图说明图1图示了根据本专利技术实施例在基于服务器的移动IP系统中在节点和服务器之 间以及在节点之间的安全过程。图2详细地图示了图1的安全过程。图3图示了根据本专利技术实施例的执行数据的安全处理的详细方法。图4图示了根据本专利技术实施例的根据安全策略传送和接收的数据的格式。图5图示了根据本专利技术实施例的对数据加密的过程。图6图示了根据本专利技术实施例的对数据解密的过程。具体实施例方式现在,将参考其中示出了本专利技术的示范实施例的附图,来更完全地描述本专利技术。在 本专利技术的描述中,如果确定与本专利技术有关的通常使用的技术或结构的详细描述可能不必要 地模糊本专利技术的主题,将省略所述详细描述。在本专利技术的实施例中,使用基于移动密码的验证密钥交换(下文中,称为mPAK)处 理。mPAK处理指明通过使用密码来交换密钥的处理。在mPAK处理中,可能在没有诸如公共 密钥基础设施(PKI)的安全基础设施的情况下安全地交换密钥。也就是说,当接通移动节 点时,或者当要使用移动服务时,在基于服务器的移动IP系统中,通过允许用户输入ID和 密码来在移动节点和服务器之间交换密钥。这样,通过使用交换的密钥来保护消息。这里, 交换的密钥一直可用,直到关断移动节点或者直到停止移动服务为止。将参考附图来描述在基于服务器的移动IP系统中的用于保护控制消息的安全方 法。首先,将描述在基于服务器的移动IP系统中通过使用mPAK处理来交换密钥的过程。图1图示了根据本专利技术实施例的在基 服务器的移动IP系统中在移动节点和服 务器之间以及在移动节点之间的安全过程。参考图1,在基于服务器的移动IP系统中,移动节点10a和10b通过与服务器20执 行mPAK处理来交换安全组件,并通过使用所交换的安全组件来生成安全隧道(操作101)。 当生成安全隧道时,移动节点10a和10b以及服务器20根据消息安全方法来传送和接收控 制消息同时共享信息(操作102)。如上所述,在移动节点10a和10b以及服务器20之间执行安全过程之后,可执行 在移动节点之间传递数据的过程。期望传递数据的本地节点10a向服务器20传送伪密码 查询(PPQ)消息,以便设置与作为数据通信的目的节点的远程节点10b的安全隧道(操作 103)。服务器20根据本地节点10a的PPQ来生成伪密码,并将该伪密码传送到本地节点 10a和远程节点10b (操作103和104)。当从服务器20接收到伪密码时,通过使用所接收的伪密码来执行mPAK处理,而生 成本地节点10a和远程节点10b之间的安全隧道(操作105)。当生成本地节点10a和远程 节点10b之间的安全隧道时,通过这两个节点之间生成的隧道来交换数据和控制消息(操 作 106 和 107)。图2详细地图示了图1的安全过程。将参考图2来详细描述前述的安全过程。在接通移动节点10a和10b的每一个的情况下、或者在存在期望接收移动服务的 用户的情况下,用户输入标识(ID)和密码(PW)。当用户输入ID和PW时,第一移动节点10a 和第二移动节点10b分别通过与服务器20执行mPAK处理,来交换用于设置在第一移动节 点10a和服务器20之间的安全隧道的信息、和用于设置在第二移动节点10b和服务器20之 间的安全隧道的信息(操作201)。具体地,移动节点10a和10b通过与服务器20执行mPAK 处理,来协商为了交换密钥、彼此相互验证、和设置安全隧道所本文档来自技高网...
【技术保护点】
一种在基于服务器的移动IP系统中的移动节点的安全方法,所述安全方法包括:通过使用通过与服务器执行基于移动密码的验证密钥交换(mPAK)处理而交换的第一安全组件,来生成与服务器的安全隧道;通过所生成的安全隧道来向服务器传送伪密码查询消息(PPQ);通过使用响应于PPQ从服务器接收的伪密码确认消息(PPA)来执行与目的节点的mPAK处理,而交换该第二安全组件;以及通过使用该第二安全组件,来为了向目的节点传送和/或从目的节点接收的数据和控制消息的安全而生成安全隧道。
【技术特征摘要】
【国外来华专利技术】KR 2007-9-18 10-2007-0094721;KR 2008-3-25 10-2008-一种在基于服务器的移动IP系统中的移动节点的安全方法,所述安全方法包括通过使用通过与服务器执行基于移动密码的验证密钥交换(mPAK)处理而交换的第一安全组件,来生成与服务器的安全隧道;通过所生成的安全隧道来向服务器传送伪密码查询消息(PPQ);通过使用响应于PPQ从服务器接收的伪密码确认消息(PPA)来执行与目的节点的mPAK处理,而交换该第二安全组件;以及通过使用该第二安全组件,来为了向目的节点传送和/或从目的节点接收的数据和控制消息的安全而生成安全隧道。2.如权利要求1所述的安全方法,其中所述与服务器的mPAK处理是通过输入标识 (ID)和密码来执行的。3.如权利要求1所述的安全方法,其中所述第一和第二安全组件包括为了交换密钥、 彼此相互验证和设置安全隧道所需要的安全策略。4.如权利要求1所述的安全方法,其中所述生成与服务器的隧道的步骤包括 通过使用通过与服务器执行mPAK处理而交换的第一安全组件,来建立安全策略;以及 根据所建立的安全策略来生成与服务器的隧道。5.如权利要求1所述的安全方法,其中所述生成与移动节点的隧道的步骤包括 通过使用通过与服务器执行mPAK处理而交换的第二安全组件,来建立安全策略;以及 根据所建立的安全策略来生成与移动节点的隧道。6.如权利要求4或5所述的安全方法,其中所述建立安全策略的步骤包括设置用于隧 道的安全策略数据库和设置安全关联数据库。7.如权利要求6所述的安全方法,其中所建立的安全策略使用5元组查找处理。8.如权利要求7所述的安全方法,其中通过使用源的地址和端口号、目的地的地址和 端口号、以及协议号作为索引,来搜索密钥信息、算法信息、序列号、使用期限和生成时间作 为查找处理的结果。9.如权利要求1...
【专利技术属性】
技术研发人员:尹浩善,柳浩龙,洪性伯,
申请(专利权)人:韩国电子通信研究院,
类型:发明
国别省市:KR[韩国]
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。