CN101079692A - 无线通信网络中更新移动ip密钥的方法及系统 - Google Patents

Abstract

本发明涉及一种无线通信网络中更新移动IP密钥的方法。本发明主要包括：首先，确定需要对无线通信网络中的移动IP密钥进行更新；之后，由移动终端的锚定接入网络发起移动IP密钥更新操作；在完成所述的移动IP密钥更新操作后，由锚定接入网络更新移动终端和外地代理的移动IP密钥。因此，本发明的实现使得在无线通信网络中，当出现FA的IP地址发生变化或发起重认证的情况，导致移动IP密钥需要更新时，网络侧及移动终端中均能及时更新相应的移动IP密钥，从而有效提高网络的安全性。

Description

无线通信网络中更新移动IP密钥的方法及系统

技术领域

本发明涉及无线通信技术领域，尤其涉及一种无线通信网络中更新移动IP密钥的实现方案。

背景技术

随着无线通信技术的发展，各种通信技术不断涌现，包括WiMAX(微波接入全球互通)通信技术。

WiMAX(微波接入全球互通)网络支持EAP(扩展认证协议)认证方式。如果移动终端要接入该网络，则首先需要进行相应的EAP认证处理过程，在认证通过后，才可以进行相应的接入操作，包括生成移动终端开展业务需要的密钥的操作。

即在认证通过后，分别在移动终端和AAA(鉴权、认证、计费)服务器两侧生成MSK(主用会话密钥)和EMSK(扩展主用会话密钥)。接着，在所述的两侧还根据所述的EMSK计算出MIP-RK(移动IP根密钥)，所述的MIP-RK作为移动相关的根密钥，通过MIP-RK能够衍生出移动相关的各种移动IP密钥，具体包括：MN-AAA(移动终端与AAA服务器间的密钥)、MN-HA(移动终端与家乡代理间的密钥)、MN-FA(移动终端与外部代理间的密钥)和FA-HA(外部代理与家乡代理间的密钥)，通过所述密钥可以保证移动IP注册的安全性。

其中，所述的MN-FA、FA-HA分别保证了移动终端到FA和FA到HA之间注册消息的安全性。MN-FA和FA-HA分别通过以下公式计算得出：

MN-FA＝H(MIP-RK，”MN FA”|FA-IP)；

FA-HA＝H(MIP-RK，”FA HA”|FA-IP|HA-IP|NONCE)；

可以看出，MN-FA和FA-HA是由MIP-RK和FA-IP(FA的IP地址)通过相应的换算处理得到。

在Wimax网络中，计算获得的MN-FA和FA-HA并不是一成不变的，而是需要根据需要对其进行更新操作，即由于作为密钥材料的FA的IP地址发生变化(即移动终端的外地代理发生变化)时，或者，鉴权器发生迁移时，均可能引起根密钥的变化，进而将引起移动IP密钥的更新，这时，对于各密钥均需要重新计算以更新相应密码。

然而，目前针对MN-FA和FA-HA的更新操作还没有一种可以采用的实现方案，同时，对于MN-HA的更新也没有提供一种具体的实现方案。因此，目前在无线通信网络中，针对移动IP密钥的更新操作尚无法实现，这也使得网络的安全性无法得到可靠保证。

发明内容

本发明的目的是提供一种无线通信网络中更新移动IP密钥的方法及系统，使得在无线通信网络中，当出现FA的IP地址发生变化或发起重认证的情况时，能够及时更新相应的移动IP密钥，从而提高网络的安全性。

本发明的目的是通过以下技术方案实现的：

本发明提供了一种无线通信网络中更新移动IP密钥的方法，包括：

A、确定需要对无线通信网络中的移动IP密钥进行更新；

B、由移动终端的锚定接入网络发起移动IP密钥更新操作；

C、完成所述的移动IP密钥更新操作后，由锚定接入网络将更新后的移动IP密钥发至移动终端的相应功能实体和外地代理。

所述的步骤A包括：

当移动终端的外部代理的发生变化，或者，移动终端进行重认证操作时，或者，当移动IP单元实体的移动导致需要进行移动IP密钥需要更新，或者，当移动终端的根密钥的更新导致移动IP密钥需要更新，或者，由于移动IP密钥的计算参数的变化而导致移动I的密钥需要更新，确定需要对无线通信网络中的移动IP密钥进行更新。

所述的步骤B包括：

B1、移动终端的锚定接入网络获取更新移动IP密钥需要的密钥材料，并发送给网络中用于计算移动IP密钥的实体；

B2、由所述用于计算移动IP密钥的实体根据所述的密钥材料计算获得更新后的移动IP密钥。

所述的用于计算移动IP密钥的实体包括：鉴权认证计费AAA服务器或认证器或具有任证鉴权功能的功能实体上。

所述的步骤B包括：由锚定接入网络中的锚定认证器进行移动IP密钥的更新计算或发起移动IP密钥的更新操作。

在所述的步骤B中，所述的由锚定认证器向AAA服务器上报的密钥材料包括：

移动终端的标识；

和/或，

外部代理的标识：移动终端的外部代理的接入网侧的IP地址和/或移动终端外部代理的核心网侧的IP地址和/或移动终端外部代理的网络前缀；

和/或，

移动终端核心网络的标识：移动终端的归属代理地址。

本发明中，当移动终端进行密钥更新时，其锚定认证器从上下文服务器获得用于计算移动IP密钥的密钥材料。

所述的步骤B1包括：

当移动终端的外部代理发生迁移时，由所述的外部代理向锚定认证器或锚定上下文服务器报告用于计算移动IP密钥的外部代理的IP地址，并由锚定认证器将其发给AAA服务器；

或者，

当移动终端进行重认证时，由其锚定认证器向AAA服务器发出重新计算密钥的请求，请求中包含计算移动IP密钥需要的密钥材料。

所述的步骤B2包括：

所述的AAA服务计算更新后的移动IP密钥后下发给锚定认证器，并由锚定认证器将更新后的移动IP密钥发送给移动终端和/或外部代理，其中，并可选地通过上下文服务器发给外部代理。

所述的步骤C包括：

当移动终端进行密钥更新时，其外部代理主动向锚定认证器发送要求获得移动IP密钥的过程。

所述的步骤C包括：

外部代理在收到移动终端的移动IP注册后再发起要求获得相应的更新后的移动IP密钥的请求。

所述的步骤C包括：

当移动终端因发生重认证而需要进行密钥更新时，锚定认证器可以将更新的移动IP的密钥直接或通过上下文服务器发给外部代理；

或者，

当移动终端因外部代理发生迁移而需要进行密钥更新时，该外部代理所需的更新后的移动IP密钥在迁移过程中传递给目标外部代理。

所述的步骤C还包括：

当外部代理发生迁移时，迁移过程中传递的移动IP密钥包括移动终端与外部代理间的密钥和外部代理与归属代理之间的密钥。

本发明中，当外部代理发生迁移时，所述的步骤C包括：

外部代理向锚定认证器请求获得更新后的移动IP密钥，或者，外部代理在收到迁移请求后向锚定认证器请求获得移动IP密钥，或者，收到移动终端的移动IP注册请求后向锚定认证器发出请求获得移动IP密钥。

所述的方法还包括：

当移动终端进行重认证时，其归属代理与移动终端间的更新后的移动IP密钥是由该归属代理向AAA服务器申请获得。

所述的方法还包括：

当由于重认证而发生移动IP密钥更新时，由用于生成移动IP密钥的实体通知归属代理更新后的移动终端与归属代理间的密钥和/或外部代理与归属代理间的密钥，或者，通过终端的更新移动IP密钥通知而触发HA要求获得更新的移动终端与归属代理间的密钥和/或外部代理与归属代理间的密钥。

由上述本发明提供的技术方案可以看出，本发明的实现使得在无线通信网络中，当出现FA的IP地址发生变化或发起重认证的情况，导致移动IP密钥需要更新时，网络侧及移动终端中均能及时更新相应的移动IP密钥，从而有效提高网络的安全性。

附图说明

图1为本发明所述的方法的具体实现流程示意图；

图2为本发明所述的方法的具体应用实施例示意图一；

图3为本发明所述的方法的具体应用实施例示意图二；

图4为本发明所述的方法的具体应用实施例示意图三；

图5为本发明所述的方法的具体应用实施例示意图四。

具体实施方式

本发明的目的是解决无线通信网络中的移动IP的密钥更新问题。在无线通信网络中，需要进行移动IP的密钥更新的情况主要以下两种情况：

(1)移动终端的FA的IP地址发生变化，导致FA的IP地址变化的原因包括但不限于：移动终端移动到新的区域中，或者，重新选择新的FA作为移动终端的FA，等等；

(2)移动终端进行重认证引起的根密钥的更新，具体包括锚定认证器发生迁移时的情况和根密钥到期而需要进行更新的情况；

当在网络中出现以上两种情况时，则会引起移动IP密钥的更新，此时，相应的移动IP密钥便需要利用本发明提供的实现方案进行重新计算更新。

总之，当移动终端的外部代理发生变化，或者，移动终端进行重认证操作时，或者，当移动IP单元实体的移动导致需要进行移动IP密钥需要更新，或者，当移动终端的根密钥的更新导致移动IP密钥需要更新，或者，由于移动IP密钥的计算参数的变化而导致移动I的密钥需要更新，则确定需要对无线通信网络中的移动IP密钥进行更新。

本发明的核心是，当需要更新移动IP的密钥时，由锚定认证器和AAA服务器交互，进而计算获得被更新后的移动IP密钥，并将相应的密钥信息传递给外部代理和移动终端的对应实体。

具体一点讲，本发明提供的针对移动IP密钥的更新方案主要包括：

步骤1：移动终端的移动IP密钥需要更新时，由锚定接入网络获得或收集其相关密钥材料；

所述的密钥材料包括但不限于移动终端的标识，该移动终端的外部代理的接入网侧的IP地址，和/或该移动终端的核心网侧的IP地址，和/或该移动终端的归属地址；

当移动终端的外部代理发生迁移时，并收到迁移指示或被触发后，则外部代理向锚定认证器或锚定上下文服务器报告其用于计算移动IP密钥的IP地址，使得接入网中的锚定认证器或上下文服务器获得作为密钥材料的外地代理的IP地址；

其中，若上下文服务器获得所述的外地代理的IP地址，则需要其将所述的外地代理的IP地址提供给锚定认证器，即外部代理将其IP地址发送给上下文服务器，并由上下文服务器提供给锚定认证器；

如图1所示，发起移动IP密钥更新的操作包括以下一种或多种方式：

(1)移动终端发起要求网络侧移动IP密钥接收单元更新其移动IP密钥的请求；

(2)网络侧中其它网元发起要求网络侧移动IP密钥接收单元更新其移动IP密钥的请求；

(3)由包括但不限于上述(1)和(2)的触发条件触发要求获得移动IP密钥的条件触发后，网络侧的移动IP密钥接收单元向网络侧移动IP密钥产生单元发出要求获得移动IP密钥的请求；

(4)移动终端向网络侧移动IP密钥生成单元发起要求更新移动IP密钥的请求；

步骤2：接入网中的锚定认证器将其获得的外地代理的IP地址发送给网络侧用于计算移动IP密钥的实体，如AAA服务器或鉴权器(即认证器)等；

该步骤具体包括：

(21)当由于移动IP的外部代理的IP地址发生变化(即外部代理发生迁移)而引起需要更新移动IP密钥时，则由该外部代理向锚定接入网络上报其相应的用于计算移动IP密钥的材料(如外部代理的IP地址等)，之后，由锚定认证器将这些密钥材料上报给AAA服务器；

(22)当由于移动终端进行重认证的原因导致移动IP密钥需要更新时，则由锚定认证服务器向AAA服务器发出重认证请求，其中包括新计算密钥的请求，在所述请求中包含计算移动IP密钥需要的密钥材料；

对于由移动终端发起密钥更新操作，可以由移动终端的锚定认证器从上下文服务器获得相应的用于计算移动IP密钥的密钥材料；

当移动终端进行密钥更新时，其外部代理可以主动向锚定认证器发送要求获得更新后的移动IP密钥的操作，以触发相应的移动IP密钥更新过程。

步骤3：AAA服务器获得由锚定认证器发来的外部代理的IP地址后，根据该外部代理的IP地址计算获得更新后的移动IP密钥；

经AAA服务器计算获得更新后的移动IP密钥后，由AAA服务器将包括移动IP密钥的所有密钥一起发送给该锚定认证器。

步骤4：锚定认证器获得更新的移动IP密钥等各密钥后，将其分发给相应的移动终端和其外部代理及归属代理；

即网络侧的移动IP密钥生成单元生成移动IP密钥后，将所述生成的移动IP密钥发给移动终端及网络侧移动IP密钥接收单元；

具体为，可以由密钥生成单元(如认证器或AAA服务器)将生成的密钥发送给密钥接收单元FA，或者，由密钥生成单元(如AAA服务器)将生成的密钥发送给密钥接收单元HA，当移动终端进行重认证时，其归属代理与移动终端的密钥材料可以由该归属代理向AAA服务器申请获得；

在发送给外部代理和归属代理的过程中，可以由密钥生成单元直接发送给外部代理和归属代理，或者，也可以通过上下文服务器或认证器发给所述的外部代理。

本发明中，所述的移动IP密钥包括但不限于：MN-FA，MN-HA和/或FA-HA等密钥。

为便于对本发明的理解，下面将结合具体的应用实施例对本发明的具体实现进行详细的说明。

由于导致移动IP密钥需要更新的原因通常包括：移动终端的外部代理的IP地址发生变化，或者，移动终端发起重认证过程。因此，下面将分别结合上述两种原因对本发明的具体实现进行描述。

需要说明的是，本发明在具体实现过程中并不局限于上述两种原因引发，对于其他原因引发的移动IP密钥更新过程的实现方式与上述两种原因引发的移动IP密钥更新处理过程类似，故不一一详述。

另外，由于目前存在代理移动IP类型的移动终端和具有移动IP功能的移动终端两种，在后续的实施例中，将分别结合由不同原因导致的针对不同移动终端的移动IP密钥更新过程进行描述。

(一)代理移动IP类型的移动终端在R3迁移时的移动IP密钥的更新

所述的R3迁移是指HA(归属代理)发生变化，相应的代理移动IP的移动终端在R3迁移时移动IP密钥更新的处理流程如图2所示，具体包括：

步骤21：通过初始认证过程(即EAP认证过程)，认证服务器向AAA服务器上报移动IP的密钥材料，之后，移动终端及AAA服务器分别得到所述的移动IP的密钥材料，并计算获得相应的移动IP密钥；

步骤22：AAA服务器通过认证服务器向移动终端发送EAP认证成功消息，通过所述消息向认证服务器发送移动IP的密钥材料；

步骤23：移动终端获得转交地址及归属地址，并完成相应的移动IP的注册过程后，移动终端的IP层入网过程完成，之后，便可以进行相应的正常通信过程的处理。

步骤21至步骤23为移动终端的正常的初始入网过程，获得相关移动IP密钥并进入正常通信；

步骤24：当由于FA需要进行迁移时，锚定接入网与FA交互获得必须的密钥材料，并通知认证器要获得移动IP密钥FA-HA，还将相关的FA的IP地址和目标转交地址告诉移动终端的代理移动IP的功能实体；

具体可以为：首先由上下文服务器触发R3迁移，并向目标外部代理发送R3迁移通知，请求获取目标代理的地址(即转交地址)，当目标外部代理收到所述的请求后向上下文服务器发送R3迁移报告，之后，上下文服务器向代理移动IP的功能实体发送R3迁移请求，以通知其目标转交地址及FA的IP地址及NAI(网络接入标识)或MSID(用户标识)；

步骤25：与代理移动IP的功能实体位于同一物理实体中的锚定认证器根据收到的R3迁移请求向网络侧用于生成移动IP密钥的实体发送请求生成相应的移动IP密钥的消息，并与AAA服务器交互以获得其生成的移动IP密钥，从而完成相应的移动IP密钥更新过程；

在该步骤中，如果所有需要更新的移动IP密钥都已存在于锚定认证器中或可以由锚定认证器自身生成，则无需该与AAA交互的处理过程；

本发明中所述的移动IP密钥包括FA-HA，并可选地包括MN-FA；

步骤26：锚定认证器确定更新后的移动IP密钥后，与目标FA交互，以通知其相应的移动IP密钥，如FA-HA等，并需要向代理移动IP实体返回R3移动确认消息；

在代理移动IP的移动终端的移动IP的密钥更新过程中，FA还可以在收到移动终端的移动IP注册请求后再向锚定认证器请求移动IP的密钥，此时，则无需执行该步骤的向FA发送移动IP密钥的处理；

该步骤中，具体可以通过向上下文服务器发送的R3迁移响应消息，以及上下文服务器向目标外部代理发送的R3迁移确认消息将相应的FA-HA等移动IP密钥通知给目标外部代理；

在步骤26之后，由移动终端的移动IP功能实体向目标FA发起移动IP注册过程，在注册过程中，便可以利用相应的更新后的移动IP密钥对注册消息进行保护；在移动IP注册过程中，如果HA需要向AAA服务器对所接收到的移动IP密钥进行验证，则可以索取对应的密钥以进行比对，以验证收到的移动IP密钥的合法性。

(二)代理移动IP类型的移动终端在进行重认证时的移动IP密钥的更新

在该更新过程中，相关的密钥材料锚定认证器均可以知晓，因此在判定需要进行重认证后，锚定认证器需要上报相关的密钥材料给AAA服务器。AAA服务器收到上报消息后，根据所述的密钥材料计算更新后的移动IP密钥，并发给锚定认证器，之后，再由锚定认证器将更新后的移动IP密钥分发给移动终端的对应功能实体和外部代理。

所述的锚定认证器可以直接将更新后的移动IP密钥发给外部代理，也可以通过上下文服务器将所述的更新后的移动IP密钥发给外部代理。

而且锚定认证器可以主动发送所述的更新后的移动IP密钥，也可以由锚定认证器在收到外部代理的请求后进行相应的更新后的移动IP密钥的发送。

如图3所示，代理移动IP的移动终端进行重认证时移动IP密钥更新的处理过程具体包括：

步骤31：移动终端执行正常的初始入网过程，获得相关移动IP密钥并进入正常通信；

步骤32：由于移动终端需要进行重认证，因而将触发锚定认证器重新要求计算相关移动IP密钥，此时需要执行步骤33；

在该步骤中，锚定接入网需要与FA交互获得必须的计算移动IP密钥需要的密钥材料，并通知锚定认证器要获得移动IP密钥(如FA-HA)，并将相关的FA的IP地址和目标转交地址告诉移动终端的移动IP的功能实体；

步骤33：锚定接入网中的锚定认证器向用于计算移动IP密钥的实体(如AAA服务器)发送请求获得更新后的移动IP密钥；

步骤34：用于计算移动IP密钥的实体(如AAA服务器)收到所述的请求后，便将其计算获得的更新后的移动IP密钥返回给锚定认证器；

通过步骤33和34的处理，锚定认证器获得更新后的移动IP密钥；

在步骤33和34的处理过程，如果所有的移动IP密钥都已存在于锚定认证器中或可以由锚定认证器生成，则无需与AAA服务器交互执行步骤33和34的处理过程，同样，所述的移动IP密钥包括FA-HA，并可选地包括MN-FA；

锚定认证器获得相应的更新后的移动IP密钥后，与其位于同一物理实体中的代理移动IP实体便可以向目标FA发起移动IP注册过程；在移动IP注册过程中，如果HA需要向AAA服务器对所接收到的密钥材料进行验证，并可以向AAA服务器索取对应的密钥以进行比对，验证相应的更新后的移动IP密钥的合法性。其中，锚定认证器与目标FA交互通知如FA-HA等移动IP密钥的处理过程可以由锚定认证器主动的发给目标FA，也可以由FA收到新的移动IP注册请求后向锚定认证器要求获。

(三)具有移动IP功能的移动终端的R3迁移时的移动IP密钥的更新

如图4所示，具有移动IP功能的移动终端R3迁移时移动IP密钥更新的处理过程具体包括：

步骤41：移动终端执行正常的初始入网过程，获得相关移动IP密钥并进入正常通信；

步骤42：上下文服务器触发R3迁移，即FA需要进行迁移，则锚定接入网与FA交互获得更新移动IP密钥所必须的密钥材料，通知锚定认证器要获得移动IP密钥(如FA-HA)，并将相关的FA的IP地址和目标转交地址告诉锚定认证器；

步骤43：锚定认证器收到所述的密钥材料后，与用于计算移动IP密钥的实体，如AAA服务器，交互以获得相应的更新后的移动IP密钥；

如果所有移动IP密钥都已存在于锚定认证器或可以在锚定认中生成，则无需执行该步骤中与AAA服务器交互的处理过程；

所述的移动IP密钥包括FA-HA，可选地包括MN-FA；

步骤44：锚定认证器与目标FA交互将其确定的更新后的移动IP密钥通知目标FA，如FA-HA；

在该步骤中，目标FA还需要向上下文服务器确认R3迁移，即向上下文服务器发送R3迁移响应消息；

步骤45：目标FA向移动终端广播其转交地址，移动终端根据广播获得的转交地址更新本地的移动IP密钥；

经过上述处理后，移动终端的移动IP功能实体便可以向目标FA发起移动IP注册过程；在注册过程中，如果HA需要向AAA服务器对所接收到的移动IP密钥进行验证，则可向AAA服务器索取对应的密钥以进行比对确认所述的更新后的移动IP密钥的合法性。

在图4中，当完成相应的移动IP注册操作后，目标FA向上下文服务器确认R3迁移。

需要说明的是，本发明中，如果是由移动终端触发的移动IP密钥更新过程，则相应的触发列阶段包括：

外部代理发送转交地址广播前，由移动终端在目标接入网络的数据路径建立操作触，或由移动终端的对移动IP的转交地址的主动请求触发；

移动终端收到外部代理广播的转交地址的路由器广播消息后，向外部代理的移动IP的注册时触发。

(四)具有移动IP功能的移动终端重认证时的移动IP密钥的更新

在该更新过程中，相关的用于计算移动IP密钥的密钥材料锚定认证器均可以获得，因此在确定需要进行重认证后，锚定认证器需要上报所述的密钥材料给AAA服务器。收到上报消息后，AAA服务器根据所述的密钥材料进行更新后的移动IP密钥的计算并将计算结果发给锚定认证器，之后，锚定认证器将相应的更新后的移动IP密钥分发给移动终端的对应功能实体和外部代理。锚定认证器可以直接将所述更新的移动IP密钥发给外部代理也可以通过上下文服务器将所述更新的移动IP密钥发给外部代理。而且，相应的发送过程可以由锚定认证器主动发起，也可以由锚定认证器收到外部代理的请求后发起。

如图5所示，代理移动IP的移动终端进行重认证时移动IP密钥更新的处理过程具体包括：

步骤51：移动终端执行正常的初始入网过程，获得相关移动IP密钥并进入正常通信；

步骤52：由于移动终端需要进行重认证而触发锚定认证器重新要求计算相关密钥，锚定接入网与FA交互获得计算更新后的移动IP密钥所必须的密钥材料，通知认证器需要获得移动IP密钥FA-HA，并将相关的FA的IP地址和目标转交地址通知移动终端的移动IP的功能实体；

步骤52：锚定鉴权器将所述的密钥材料发送给用于计算更新后的移动IP密钥的实体(如AAA服务器)，并获得由AAA服务器返回的更新后的移动IP密钥；所述的更新后的移动IP密钥也可以由锚定认证器生成，如果更新后的移动IP密钥都已存在于锚定认证器或可以由锚定认证器生成，则无需与AAA服务器执行该步骤描述的交互过程；

所述的更新后的移动IP密钥包括FA-HA，并可选地包括MN-FA；

经过上述处理过程后，由移动终端向目标FA发起移动IP注册过程，在注册过程中，如果HA需要向AAA服务器对所接收到的更新后的移动IP密钥进行验证，则可以向AAA服务器索取对应的密钥以进行比对，验证更新后的移动IP密钥的合法性；其中，锚定认证器与目标FA交互通知相应的移动IP密钥，如FA-HA，具体可以由锚定认证器主动的发给目标FA，也可以由FA收到新的移动IP注册请求后向锚定认证器要求获得来触发；

以上所述，仅为本发明较佳的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到的变化或替换，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应该以权利要求的保护范围为准。

Claims (16)

1、一种无线通信网络中更新移动IP密钥的方法，其特征在于，包括：

A、确定需要对无线通信网络中的移动IP密钥进行更新；

B、由移动终端的锚定接入网络发起移动IP密钥更新操作；

C、完成所述的移动IP密钥更新操作后，由锚定接入网络将更新后的移动IP密钥发至移动终端的相应功能实体和外地代理。

2、根据权利要求1所述的方法，其特征在于，所述的步骤A包括：

当移动终端的外部代理的发生变化，或者，移动终端进行重认证操作时，或者，当移动IP单元实体的移动导致需要进行移动IP密钥需要更新，或者，当移动终端的根密钥的更新导致移动IP密钥需要更新，或者，由于移动IP密钥的计算参数的变化而导致移动I的密钥需要更新，确定需要对无线通信网络中的移动IP密钥进行更新。

3、根据权利要求1所述的方法，其特征在于，所述的步骤B包括：

B1、移动终端的锚定接入网络获取更新移动IP密钥需要的密钥材料，并发送给网络中用于计算移动IP密钥的实体；

B2、由所述用于计算移动IP密钥的实体根据所述的密钥材料计算获得更新后的移动IP密钥。

4、根据权利要求1所述的方法，其特征在于，所述的用于计算移动IP密钥的实体包括：鉴权认证计费AAA服务器或认证器或具有任证鉴权功能的功能实体上。

5、根据权利要求1、2、3或4所述的方法，其特征在于，所述的步骤B包括：由锚定接入网络中的锚定认证器进行移动IP密钥的更新计算或发起移动IP密钥的更新操作。

6、根据权利要求5所述的方法，其特征在于，在所述的步骤B中所述的由锚定认证器向AAA服务器上报的密钥材料包括：

移动终端的标识；

和/或，

外部代理的标识：移动终端的外部代理的接入网侧的IP地址和/或移动终端外部代理的核心网侧的IP地址和/或移动终端外部代理的网络前缀；

和/或，

移动终端核心网络的标识：移动终端的归属代理地址。

7、根据权利要求6所述方法，其特征在于，当移动终端进行密钥更新时，其锚定认证器从上下文服务器获得用于计算移动IP密钥的密钥材料。

8、根据权利要求5所述的方法，其特征在于，所述的步骤B1包括：

当移动终端的外部代理发生迁移时，由所述的外部代理向锚定认证器或锚定上下文服务器报告用于计算移动IP密钥的外部代理的IP地址，并由锚定认证器将其发给AAA服务器；

或者，

当移动终端进行重认证时，由其锚定认证器向AAA服务器发出重新计算密钥的请求，请求中包含计算移动IP密钥需要的密钥材料。

9、根据权利要求8所述的方法，其特征在于，所述的步骤B2包括：

所述的AAA服务计算更新后的移动IP密钥后下发给锚定认证器，并由锚定认证器将更新后的移动IP密钥发送给移动终端和/或外部代理，其中，并可选地通过上下文服务器发给外部代理。

10、根据权利要求5所述的方法，其特征在于，所述的步骤C包括：

当移动终端进行密钥更新时，其外部代理主动向锚定认证器发送要求获得移动IP密钥的过程。

11、根据权利要求5所述的方法，其特征在于，所述的步骤C包括：

外部代理在收到移动终端的移动IP注册后再发起要求获得相应的更新后的移动IP密钥的请求。

12、根据权利要求5所述的方法，其特征在于，所述的步骤C包括：

当移动终端因发生重认证而需要进行密钥更新时，锚定认证器可以将更新的移动IP的密钥直接或通过上下文服务器发给外部代理；

或者，

当移动终端因外部代理发生迁移而需要进行密钥更新时，该外部代理所需的更新后的移动IP密钥在迁移过程中传递给目标外部代理。

13、根据权利要求12所述的方法，其特征在于，所述的步骤C还包括：

当外部代理发生迁移时，迁移过程中传递的移动IP密钥包括移动终端与外部代理间的密钥和外部代理与归属代理之间的密钥。

14、根据权利要求5所述的方法，其特征在于，当外部代理发生迁移时，所述的步骤C包括：

外部代理向锚定认证器请求获得更新后的移动IP密钥，或者，外部代理在收到迁移请求后向锚定认证器请求获得移动IP密钥，或者，收到移动终端的移动IP注册请求后向锚定认证器发出请求获得移动IP密钥。

15、根据权利要求5所述的方法，其特征在于，所述的方法还包括：

当移动终端进行重认证时，其归属代理与移动终端间的更新后的移动IP密钥是由该归属代理向AAA服务器申请获得。

16、根据权利要求15所述方法，其特征在于，所述的方法还包括：

当由于重认证而发生移动IP密钥更新时，由用于生成移动IP密钥的实体通知归属代理更新后的移动终端与归属代理间的密钥和/或外部代理与归属代理间的密钥，或者，通过终端的更新移动IP密钥通知而触发HA要求获得更新的移动终端与归属代理间的密钥和/或外部代理与归属代理间的密钥。

Images