[发明专利]安全性关联的重新建立

权利要求书

1.一种在分别附着至第一和第二IP接入路由器(5、10)的第一和第二IP主机(1、9)之间重新建立会话的方法，所述会话先前是经由所述第一主机所附着至的前一接入路由器进行的，并且其中，已在主机之间建立了包括共享秘密在内的安全性关联，所述方法包括：

从所述第一主机(1)向所述第一接入路由器(5)发送连接请求，所述请求包含所述第二主机所要求的IP地址、第一主机的新的转交地址、和会话标识符；

在所述第一接入路由器(1)处，当接收到所述连接请求时，获取所述第二接入路由器(9)的经验证的IP地址，并向第二接入路由器发送链路上存在请求，该请求至少包含第二主机的所要求的IP地址的接口标识符部分、所述转交地址和所述会话标识符；

在所述第二接入路由器(10)处，确认所述第二主机使用所要求的接口标识符附着至第二接入路由器，包括：向第二主机发送所述转交地址和所述会话标识符，并向所述第一接入路由器报告存在状态；

在所述第二主机处，使用所述会话标识符来识别所述安全性关联，并以新的转交地址更新针对所述第一主机的绑定高速缓存条目。

2.根据权利要求1所述的方法，还包括：在所述第一接入路由器(5)处，连同所述经验证的IP地址一起获取所述第二接入路由器(10)的公开密钥，以及使用所述公开密钥来认证由第二接入路由器发送的存在状态报告。

3.根据前述权利要求中任一项所述的方法，其中，所述第二接入路由器(10)的经验证的IP地址是由第一接入路由器(5)从可信网络服务器(11)检索到的。

4.根据前述权利要求中任一项所述的方法，还包括：在所述第二接入路由器(10)处接收到所述链路上存在请求之后，获取所述第一接入路由器(5)的公开密钥，并利用该密钥来对请求进行认证。

5.根据权利要求4所述的方法，其中，第一接入路由器(5)的所述公开密钥是由第二接入路由器(10)从可信网络服务器(11)检索到的。

6.根据前述权利要求中任一项所述的方法，其中，所述连接请求是在路由器恳求消息中承载的。

7.根据前述权利要求中任一项所述的方法，其中，所述转交地址和所述会话标识符是利用邻点发现消息从第二接入路由器(10)发送到第二主机(9)的。

8.根据权利要求7所述的方法，还包括：在所述连接请求中包括在第一和第二主机之间共享的、且与所述安全性关联相关联的秘密密钥，所述秘密密钥还被包括在从所述第二主机(9)发送至所述第二接入路由器(10)的邻点发现响应中，所述秘密密钥由接入路由器用于对存在状态报告进行认证。

9.根据前述权利要求中任一项所述的方法，其中，所述转交地址是加密生成的IPv6地址，并且使用第一主机的私有密钥来对所述连接请求进行签名，以及在第一接入路由器(5)处使用对应的公开密钥来对所述连接请求进行验证。

10.根据权利要求8所述的方法，其中，第二主机(9)所要求的所述IP地址是加密生成的IPv6地址，并且使用第二主机的私有密钥来对所述邻点发现响应进行签名，以及在第二接入路由器(10)处使用对应的公开密钥来对所述邻点发现响应进行验证。

11.根据前述权利要求中任一项所述的方法，其中，所述第一和第二接入路由器(5、10)共享一对组密钥，路由器随即使用所述一对组密钥来产生匿名化接口标识符，以在第一和第二主机(1、9)的源和目的地IPv6地址中使用。

12.根据权利要求11所述的方法，其中，在第一接入路由器接收到所述连接请求之前，如果接入路由器(5、10)未共享所述组密钥，则在相应的主机(1、9)处产生密钥，并由主机交换密钥。

13.根据权利要求12所述的方法，其中，第一组密钥SGKn是由所述第一接入路由器(5)在从第一主机(1)接收到连接请求时产生的，并被包括在发送至第二接入路由器(10)的链路上存在请求中，并且，第二组密钥DGKn是由第二接入路由器(10)在确认第二主机(9)附着至位于其所要求的IP地址处的第二接入路由器时产生的，并被包括在发送至第一接入路由器的存在状态报告中。