[发明专利]IP地址委派

说明书

背景领域

本发明涉及IP地址委派(delegation)，并且具体地涉及将用于密码生成的地址的责任从拥有该地址的节点委派到另外的节点。

背景技术

IPv6地址在长度上是128位。地址的首先64位形成唯一地标识由IP终端或节点使用的因特网接入节点(或所谓的“本地链路”)的路由选择前缀，而最后64位形成唯一地标识到接入节点(或在本地链路内)的移动终端的主机后缀。该主机后缀被称为“接口标识符”，因为它唯一地在接入接口上标识主机。通常，当主机向接入节点注册时，主机由从接入节点发送的通告消息来学习接入节点的路由选择前缀。按照IETF RFC3041，主机然后使用由主机生成的随机数来生成它的接口标识符。主机可另外使用链路层地址来生成接口标识符，该链路层地址例如是由接入网络使用的MAC层地址。

WO02/076060描述节点如何能使用单向编码函数(例如散列函数)来生成接口标识符的密码版本，并将此提供到另一个对等用户，该对等用户然后能验证该节点是IP地址的接口标识符部分的所有者。此类密码生成的地址已知为CGA。CGA提供安全级别以帮助防止例如“拒绝服务”攻击，其中攻击者声称是节点希望使用的IP地址的所有者。CGA方法已在IETF RFC3972中标准化，并且除其他以外用于IETF RFC 3971中标准化的安全近邻发现(SeND)协议。

按照RFC 3972，CGA生成如下：

Hash1＝散列(修饰符(modifier)|前缀|公共密钥|扩展)

IPv6地址前缀＝前缀|Hash1(具有按照安全级别和其他要求来设置的某些位)。

其中“前缀”是网络路由选择前缀，“散列”是密码散列函数(SHA-1)，“公共密钥”是生成地址的节点的公共密钥，以及“扩展”是用于执行标准化信息的目前未使用的字段。“修饰符”是由节点生成的128位的值，以增加安全性和增强随机性。更具体地说，取决于要求的安全级别，选择修饰符的值以导致数据(包括修饰符和公共密钥)的某个级联散列到某个值(“Hash2”)，该值在最左边位的位置具有“0”的指定数。

为了证明CGA的所有权，节点必须能提供包含CGA地址的接口标识符(IID)部分、修饰符、公共密钥和任何扩展的证书，其布置为CGA数据结构。该证书包含使用节点的私有密钥跨要发送的消息(与128位CGA类型标签级联)取得的数字签名(SHA-1)。接收该证书的对等节点首先计算Hash2并验证它在最左边位的位置中有正确的“0”的数量。如果情况是这样，它计算Hash1并将此与IID比较，从而验证IID属于公共-私有密钥对，并然后使用经验证的公共密钥通过反转签署过程以验证签名。此第二步骤证明发送者真正拥有公共密钥并且没有仅是盗用它，以及证明消息从声称的发送者发起。

拥有CGA的主机(“委派”节点)可将用于那个地址的责任委派到一些另外的节点(“被委派”节点)，例如允许被委派节点请求引导到委派节点的业务。这是通过向被委派节点提供证书来实现的，该证书包含CGA、CGA数据结构、被委派节点的身份和使用委派节点的私有密钥创建的签名。为了向第三方证明允许使用声称的CGA，被委派节点提供该证书到第三方，第三方能验证IID属于公共密钥，并且该证书由公共密钥的所有者有效地签署。在其中所述身份是被委派节点的公共密钥的情况下，被委派节点可用它的私有密钥来签署与CGA有关的任何请求，因此允许第三方证明被委派节点拥有声称的身份。

这种委派方法的问题是，由委派节点提供到被委派节点的证书束缚于单个CGA。如果委派节点改变它的IPv6地址(例如，由于移动性和它的新的网络路由选择前缀的使用)，则必须提供新的证书到被委派节点。

发明内容

按照本发明的第一方面，提供一种验证关于包括网络路由选择前缀和密码生成的接口标识符的IPv6地址做出的请求的方法。该请求包括委派证书，该证书包含至少所述主机的公共密钥、一个或多个另外的参数或用于生成一个或多个另外的参数的一个或多个公式、IPv6网络路由选择前缀的集合或范围的规范、被委派主机的身份和使用与所述公共密钥关联的私有密钥在至少所述身份和IPv6网络路由选择前缀的集合或范围的所述规范上取得的数字签名。该方法包括验证所述IPv6地址的所述网络路由选择前缀包含在所述规范内、验证所述公共密钥和所述另外的参数能用于生成所述密码生成的接口标识符、以及使用所述公共密钥来验证所述签名。

本发明的实施例允许主机将用于IPv6地址的责任委派到另外的主机，甚至在这些地址还没有生成时。当地址投入使用时，主机之间随后的信令减少或甚至消除。