CN101079691A - 无线通信网络中确定移动ip密钥的方法 - Google Patents
无线通信网络中确定移动ip密钥的方法 Download PDFInfo
- Publication number
- CN101079691A CN101079691A CN 200610081361 CN200610081361A CN101079691A CN 101079691 A CN101079691 A CN 101079691A CN 200610081361 CN200610081361 CN 200610081361 CN 200610081361 A CN200610081361 A CN 200610081361A CN 101079691 A CN101079691 A CN 101079691A
- Authority
- CN
- China
- Prior art keywords
- network
- key
- mobile
- mobile terminal
- home
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 42
- 230000006854 communication Effects 0.000 title claims abstract description 14
- 238000004891 communication Methods 0.000 title claims abstract description 13
- 238000005516 engineering process Methods 0.000 description 3
- 238000006243 chemical reaction Methods 0.000 description 1
- 230000000977 initiatory effect Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Images
Landscapes
- Mobile Radio Communication Systems (AREA)
Abstract
本发明涉及一种无线通信网络中确定移动IP密钥的方法。本发明主要包括:AAA服务器和移动终端等用于生成移动IP密钥的实体确定需要生成移动IP密钥的两端实体的唯一确定两端实体间关系的信息材料;之后,其利用所述的信息材料采用预定的策略生成所述的两端实体间的移动IP密钥。本发明的实现使得在移动终端发起初始MIP(移动IP)注册时便可以计算获得相应的MN-HA,从而保证通信的安全性,降低获得MN-HA的复杂程度,同时,本发明还提供了FA-HA的计算确定方式,使得针对FA-HA的计算也大大简化,有效解决了现有技术中需要大量重复计算的问题。
Description
技术领域
本发明涉及网络通信技术领域,尤其涉及一种无线通信网络中确定移动IP密钥的方法。
背景技术
随着无线通信技术的发展,各种通信技术不断涌现,包括WiMAX(微波接入全球互通)通信技术。
WiMAX网络支持EAP(扩展认证协议)认证方式。如果移动终端要接入该网络,则首先需要进行相应的EAP认证处理过程,在认证通过后,才可以进行相应的接入操作,包括生成移动终端开展业务需要的密钥的操作。
即在认证通过后,分别会在移动终端和AAA(鉴权、认证、计费)服务器两侧生成MSK(主会话密钥)和EMSK(扩展主会话密钥)。之后,在所述的两侧还分别由EMSK计算出MIP-RK(移动IP根密钥),该密钥作为移动终端开展业务过程中的移动相关的根密钥,通过MIP-RK衍生出移动相关的各种密钥,包括:MN-AAA(移动终端与AAA服务器间的密钥)、MN-HA(移动终端与家乡代理间的密钥)、MN-FA(移动终端与外部代理间的密钥)和FA-HA(外部代理与家乡代理间的密钥),通过所述密钥可以保证移动IP注册的安全性。
其中,所述的MN-HA、FA-HA分别保证了移动终端到HA,以及FA到HA之间注册消息的安全性。MN-HA和FA-HA分别通过以下公式计算得出:
FA-HA=H(MIP-RK,”FA HA”|FA-IP|HA-IP|NONCE);
MN-HA=H(MIP-RK,”MN HA”|HA_ID);
可以看出,MN-HA和FA-HA是由MIP-RK和FA-IP(FA的IP地址)通过相应的换算处理得到,因此,如果需要计算获得FA-HA、MN-FA和MN-HA,则首先应保证移动终端和AAA服务器两侧可以获得相应的FA-IP。
在Wimax网络中,目前采用FA面向HA的IP地址来计算FA-HA,FA面向HA的IP地址即为移动终端的CoA。对于FA来说其CoA有多个,为此需要为每一个CoA计算一次FA-HA的密钥,这样使得FA-HA的计算过程较为复杂。
同样,对于MN-HA的计算,由于当CMIP(客户移动IP)的终端初始入网时,在发MIP注册请求之前无法获知HA的地址,因此,需要引入MN-AAA(移动终端与AAA服务器间的密钥)或其它不得以的办法来进行安全保护,然后计算得到MN-HA,再使用MN-HA用于安全保护。导致MN-HA的计算过程同样较为繁琐。
发明内容
本发明的目的是提供一种无线通信网络中确定移动IP密钥的方法,从而可以较为简便地通过预定的计算方式计算确定需要的移动IP密钥。
本发明的目的是通过以下技术方案实现的:
本发明提供了一种无线通信网络中确定移动IP密钥的方法,包括:
A、用于生成移动IP密钥的实体确定需要生成移动IP密钥的两端实体的唯一确定两端实体间关系的信息材料;
B、用于生成移动IP密钥的实体利用所述的信息材料采用预定的策略生成所述的两端实体间的移动IP密钥。
所述的唯一确定两端实体间关系的信息材料包括但不限于:
移动终端外部代理的IP地址、移动终端的转交IP地址、移动终端的标识、接入网络的网络前缀、归属代理地址、移动终端的归属地址、核心网络的网络前缀、外部代理的标识和/或归属代理的标识。
所述的步骤A包括:
在鉴权器中确定唯一确定两端实体间关系的信息材料,并将所述的信息材料发送给用于生成移动IP密钥的实体。
所述的用于生成移动IP密钥的实体包括:移动终端和网络侧生成移动IP密钥的实体。
所述的网络侧生成移动IP密钥的实体包括:AAA服务器或鉴权器。
所述的步骤B具体包括:
用于生成移动IP密钥的实体根据所述的信息材料生成所述两端实体间应用的唯一一个移动IP密钥。
所述的移动IP密钥包括:
移动终端与外部代理之间的密钥MN-FA、移动终端与归属代理之间的密钥MN-HA或外部代理与归属代理之间的密钥FA-HA。
本发明中,用于计算所述的MN-HA的信息材料是在终端初始入网时根据移动终端和/或归属网络的标识确定,所述的信息材料包括但不限于:
归属代理的地址、归属网络的前缀、归属网络的域名、移动终端的归属地址和/或移动终端的网络接入标识NAI的全部或部分。
本发明中,用于计算所述的MN-FA的信息材料是在终端初始入网时根据移动终端和/或接入网络的标识确定,所述的信息材料包括但不限于:外部代理的地址、外部网络的前缀和/或外部网络的域名。
本发明中,用于计算所述的FA-HA的信息材料是在终端初始入网时根据接入网络和/或归属网络的标识确定,所述的信息材料包括但不限于:归属代理的地址、归属网络的前缀、归属网络的域名、移动终端的归属地址、移动终端的网络接入标识NAI的全部或部分、外部代理的地址、外部网络的前缀和/或外部网络的域名。
由上述本发明提供的技术方案可以看出,本发明提供了相应的计算确定MN-HA和FA-HA的实现方法。使得在移动终端发起初始MIP(移动IP)注册时便可以计算获得相应的MN-HA,从而保证通信的安全性,降低获得MN-HA的复杂程度,同时,本发明还提供了FA-HA的计算确定方式,使得针对FA-HA的计算也大大简化,有效解决了现有技术中需要大量重复计算的问题。
附图说明
图1为本发明所述的方法的具体实现处理流程图一;
图2为本发明所述的方法的具体实现处理流程图二。
图3为本发明所述的方法的具体实现处理流程图三。
具体实施方式
本发明提供的无线通信网络中计算确定移动IP密钥的实现方案中,主要是采用采用唯一确定使用移动IP密钥的两端实体间关系的信息材料作为密钥参数,以计算获得相应的移动IP密钥,从而保证移动IP密钥的有效性及获得移动IP密钥的便捷性。
其中,所述的用于计算移动IP密钥的唯一确定该密钥所存在的双方的信息材料包括:移动终端的归属/外部代理的IP地址,移动终端的IP地址,移动终端的标识、接入网络的网络前缀和/或核心网络的网络前缀,等等。
针对不同的移动IP密钥的计算需要采用不同的信息材料,例如:
(1)用于计算所述的MN-HA的信息材料为在终端初始入网时根据移动终端和/或归属网络的标识确定,且所述的信息材料包括但不限于以下各项中的至少一项:
归属代理的地址、归属网络的前缀、归属网络的域名、移动终端的归属地址和移动终端的网络接入标识NAI的全部或部分;
(2)用于计算所述的MN-FA的信息材料是在终端初始入网时根据移动终端和/或接入网络的标识确定,且所述的信息材料包括但不限于以下各项中的至少一项:
外部代理的地址、外部网络的前缀和外部网络的域名;
(3)用于计算所述的FA-HA的信息材料是在终端初始入网时根据接入网络和/或归属网络的标识确定,且所述的信息材料包括但不限于以下各项中的至少一项:
归属代理的地址、归属网络的前缀、归属网络的域名、移动终端的归属地址、移动终端的NAI(网络接入标识)的全部或部分、外部代理的地址、外部网络的前缀和外部网络的域名。
本发明中,当采用所述的具有唯一性的信息材料计算移动IP密钥后,FA与HA之间的无需保留多个移动IP密钥,而仅保留一个移动IP密钥即可。
也就是说,AAA服务器,接入网中的认证器,以及移动终端中的认证单元等用于计算移动IP密钥的实体首先需要获取所述的信息材料,之后,便可以根据该唯一对应的一对移动IP密钥涉及的两端实体间的信息材料计算两端实体间的移动IP密钥。
具体一点讲,本发明提供的针对FA-HA和MN-HA的计算确定方式包括:
(1)针对FA与HA之间的密钥FA-HA是利用能代表FA并可以被移动终端获得的唯一的标识进行计算;
(2)针对MN与HA之间的密钥MN-HA采用能唯一代表HA或归属网络的并可被移动终端获得的标识作为参数计算确定;
(3)针对MN与FA之间的密钥MN-FA采用能唯一代表FA或接入网络的参数计算确定。
因此,本发明可以采用如下公式进行相关的移动IP密钥的计算:
MN-FA=H(MIP-RK,”MN FA”|FA_ID);
FA-HA=H(MIP-RK,”FA HA”|FA_ID,HA_ID|NONCE);
MN-HA=H(MIP-RK,”MN HA”|HA_ID);
其中,
用于计算MN-FA和FA-HA的FA_ID可以为:FA在ASN(接入服务网)中的地址、ASN中的网络前缀或者FA的指定分配给终端的转交地址,等等;
用于计算FA-HA和MN-HA的HA_ID可以为:HA的子网前缀或者归属网络的域名等等,其中所述的归属网络的域名可以从移动终端的NAI(网络接入标识)中获得,即多移动终端的“@realm”部分获得。
为便于对本发明的理解,下面将结合附图对本发明的具体实施方式进行详细的说明。
(一)CMIP(客户移动IP,即具有MIP功能的移动终端)类型下生成移动IP密钥的过程,如图1所示,具体包括:
步骤11:MS通过鉴权器和AAA服务器进行EAP接入认证,认证通过后在MS和AAA服务器上分别生成EMSK。
认证过程中,可以由鉴权器将唯一确定一个FA的FA标识作为所述信息材料上报给AAA服务器;
所述的FA标识用于在网络中标识唯一的一个FA,该FA标识可以为:接入网的网络前缀,或者,FA在接入网中的地址,或者,FA指定分配给移动终端的转交地址,等等;
同时,在该步骤中还需要将唯一确定一个HA的HA标识作为所述的信息材料上报给AAA服务器,所述的HA标识可以由HA直接上报给AAA服务器,也可以间接通过其他实体上报给AAA服务器,所述的HA标识可以为:HA的子网前缀或者归属网络的域名等;
步骤12:MS和AAA服务器根据生成的EMSK通过预定的方式计算出MIP-RK;而且,由于AAA服务器已经获得FA标识和HA标识,因此,根据所述的FA标识和HA标识通过MN-FA、FA-HA、MN-HA对应的计算公式便可以确定各个密钥;
在步骤11和步骤12中,MS和AAA服务器分别是根据FA标识作为唯一标识一个FA的信息材料计算相应的MN-FA和FA-HA,同时,还根据所述的HA标识计算相应的MN-HA和FA-HA。
步骤13:AAA服务器将步骤12中生成的所有MN-FA、FA-HA、MN-HA发送给鉴权器;
步骤14:鉴权器收到后,继续将MN-FA、FA-HA发送给FA;
步骤15:FA发送广播消息给MS,该消息携带有FA-IP,同时包含有和步骤11相同的单个CoA或CoA列表;
步骤16:MS收到所述的FA标识(如FA-IP)和HA标识后,根据预定的策略计算出相应的MN-FA和MN-HA;
其中,所述的HA标识是根据在移动终端初始入网过程中获得的可以表征HA特征的参数确定,例如,根据移动终端的NAI或其realm(域)部分及归属网络的域名或在初始入网过程中获得的可以表征HA的参数确定HA标识;
步骤17至步骤110:移动终端发起MIP注册过程,在MIP注册过程中,通过以上步骤生成的MN-FA、MN-HA来保护注册消息,FA通过MN-FA、FA-HA来保护注册消息。
(二)PMIP类型下生成移动IP密钥的过程如图2所示,具体包括:
步骤21:MS通过鉴权器和AAA服务器进行EAP接入认证,认证通过后在MS和AAA服务器上分别生成EMSK;
在认证过程中,可以由鉴权器将FA标识上报给AAA服务器;
步骤22:MS和AAA服务器根据生成的EMSK通过预定的方式计算出MIP-RK。由于AAA服务器已经获得FA的标识,通过MN-FA、FA-HA、MN-HA的计算公式得出这几个密钥。
步骤23:AAA服务器将步骤22中生成的所有MN-FA、FA-HA、MN-HA发送给鉴权器,由于鉴权器和PMIP Client(PMIP客户端)在一个实体上,因此可以共享该密钥;
步骤24:鉴权器将MN-FA、FA-HA发送给FA,也可以由FA在后面的收到移动终端的注册请求后向认证器发起请求过程;
步骤25至步骤28:由PMIP Client代理移动终端发起MIP注册过程,在注册过程中具体是通过所述生成的MN-FA和FA-HA对注册消息进行保护。
(三)CMIPv6类型下生成移动IP密钥的过程如图3所示,具体包括:
IPv6的初始认证过程中,网络侧为移动终端分配其归属网络的前缀、归属地址和归属代理地址三者的任意组合(即为其中一种或多种)。
本发明的实现使得当网络侧分配的信息中不含由归属代理的地址时,可以采用归属网络的前缀来计算相应的MN-HA,同理,归属地址也是移动终端与归属网络的唯一标识,即也可以利用该归属地址计算MN与HA之间的移动IP密钥MN-HA。
因此,本发明的实现使得当移动终端收到任何一个参数(归属网络的前缀、归属地址或归属代理地址)后均可以计算获得其与HA之间的移动IP密钥MN-HA,从而保证了可以及时地计算获得MN-HA值,进而提高网络通信过程的安全性。
以上所述,仅为本发明较佳的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应该以权利要求的保护范围为准。
Claims (10)
1、一种无线通信网络中确定移动IP密钥的方法,其特征在于,包括:
A、用于生成移动IP密钥的实体确定需要生成移动IP密钥的两端实体的唯一确定两端实体间关系的信息材料;
B、用于生成移动IP密钥的实体利用所述的信息材料采用预定的策略生成所述的两端实体间的移动IP密钥。
2、根据权利要求1所述的方法,其特征在于,所述的唯一确定两端实体间关系的信息材料包括但不限于:
移动终端外部代理的IP地址、移动终端的转交IP地址、移动终端的标识、接入网络的网络前缀、归属代理地址、移动终端的归属地址、核心网络的网络前缀、外部代理的标识和/或归属代理的标识。
3、根据权利要求1所述方法,其特征在于,所述的步骤A包括:
在鉴权器中确定唯一确定两端实体间关系的信息材料,并将所述的信息材料发送给用于生成移动IP密钥的实体。
4、根据权利要求1所述的方法,其特征在于,所述的用于生成移动IP密钥的实体包括:移动终端和网络侧生成移动IP密钥的实体。
5、根据权利要求4所述的方法,其特征在于,所述的网络侧生成移动IP密钥的实体包括:AAA服务器或鉴权器。
6、根据权利要求1至5任一项所述的方法,其特征在于,所述的步骤B具体包括:
用于生成移动IP密钥的实体根据所述的信息材料生成所述两端实体间应用的唯一一个移动IP密钥。
7、根据权利要求1至5任一项所述的方法,其特征在于,所述的移动IP密钥包括:
移动终端与外部代理之间的密钥MN-FA、移动终端与归属代理之间的密钥MN-HA或外部代理与归属代理之间的密钥FA-HA。
8、根据权利要求7所述的方法,其特征在于,用于计算所述的MN-HA的信息材料是在终端初始入网时根据移动终端和/或归属网络的标识确定,所述的信息材料包括但不限于:
归属代理的地址、归属网络的前缀、归属网络的域名、移动终端的归属地址和/或移动终端的网络接入标识NAI的全部或部分。
9、根据权利要求7所述的方法,其特征在于,用于计算所述的MN-FA的信息材料是在终端初始入网时根据移动终端和/或接入网络的标识确定,所述的信息材料包括但不限于:外部代理的地址、外部网络的前缀和/或外部网络的域名。
10、根据权利要求7所述的方法,其特征在于,用于计算所述的FA-HA的信息材料是在终端初始入网时根据接入网络和/或归属网络的标识确定,所述的信息材料包括但不限于:归属代理的地址、归属网络的前缀、归属网络的域名、移动终端的归属地址、移动终端的网络接入标识NAI的全部或部分、外部代理的地址、外部网络的前缀和/或外部网络的域名。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 200610081361 CN101079691A (zh) | 2006-05-22 | 2006-05-22 | 无线通信网络中确定移动ip密钥的方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 200610081361 CN101079691A (zh) | 2006-05-22 | 2006-05-22 | 无线通信网络中确定移动ip密钥的方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN101079691A true CN101079691A (zh) | 2007-11-28 |
Family
ID=38906946
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN 200610081361 Pending CN101079691A (zh) | 2006-05-22 | 2006-05-22 | 无线通信网络中确定移动ip密钥的方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101079691A (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2009100665A1 (zh) * | 2008-01-31 | 2009-08-20 | Huawei Technologies Co., Ltd. | 配置密钥的方法、装置及系统 |
| CN102098671A (zh) * | 2009-12-15 | 2011-06-15 | 中兴通讯股份有限公司 | 鉴权方法及系统 |
-
2006
- 2006-05-22 CN CN 200610081361 patent/CN101079691A/zh active Pending
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2009100665A1 (zh) * | 2008-01-31 | 2009-08-20 | Huawei Technologies Co., Ltd. | 配置密钥的方法、装置及系统 |
| US8656171B2 (en) | 2008-01-31 | 2014-02-18 | Huawei Technologies Co., Ltd. | Method, apparatus, and system for configuring key |
| CN102098671A (zh) * | 2009-12-15 | 2011-06-15 | 中兴通讯股份有限公司 | 鉴权方法及系统 |
| CN102098671B (zh) * | 2009-12-15 | 2014-11-05 | 中兴通讯股份有限公司 | 鉴权方法及系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN1265676C (zh) | 一种实现漫游用户使用拜访网络内业务的方法 | |
| CN1203689C (zh) | 处理有关经蜂窝网连接到分组数据网的终端的位置信息的方法 | |
| CN1636378A (zh) | 移动因特网协议中的寻址机制 | |
| CN1315268C (zh) | 一种验证用户合法性的方法 | |
| US8331287B2 (en) | Method and system for managing mobility in a mobile communication system using mobile internet protocol | |
| CN101043328A (zh) | 通用引导框架中密钥更新方法 | |
| US8078872B2 (en) | Method, system and device for determining a mobile IP key, notifying a mobile IP type | |
| CN1835436A (zh) | 一种通用鉴权框架及一种实现鉴权的方法 | |
| CN1714560A (zh) | 移动ip中的动态会话密钥产生及密钥重置的方法和装置 | |
| CN1929371A (zh) | 用户和外围设备协商共享密钥的方法 | |
| CN110771116B (zh) | 一种加密数据流的识别方法、设备、存储介质及系统 | |
| CN1921682A (zh) | 增强通用鉴权框架中的密钥协商方法 | |
| CN1819698A (zh) | 一种目标基站获取鉴权密钥上下文信息的方法 | |
| CN101039181A (zh) | 防止通用鉴权框架中服务功能实体受攻击的方法 | |
| CN1870500A (zh) | 非ims终端应用增强型通用鉴权架构的方法 | |
| CN101039312A (zh) | 防止通用鉴权框架中服务功能实体受攻击的方法及装置 | |
| CN1301034C (zh) | 一种用户设备发起位置信息请求的处理方法 | |
| CN101079691A (zh) | 无线通信网络中确定移动ip密钥的方法 | |
| CN1859772A (zh) | 一种基于通用鉴权框架的安全业务通信方法 | |
| CN101079786A (zh) | 互连系统、互连系统中的认证方法和终端 | |
| CN101030862A (zh) | 非ip多媒体业务ue的鉴权方法、鉴权网络及ue | |
| US9313657B2 (en) | Method and system for creating a mobile internet protocol version 4 connection | |
| WO2016169003A1 (zh) | 接入点名称授权的方法、装置及系统 | |
| WO2012000313A1 (zh) | 一种家庭网关认证方法和系统 | |
| WO2008052470A1 (fr) | Procédé d'établissement de mécanisme de sécurité d'appareil ip mobile, système de sécurité et dispositif correspondant |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
| WD01 | Invention patent application deemed withdrawn after publication |