CN101106806B - 无线网络获得移动终端移动ip类型的方法、系统及移动终端 - Google Patents
无线网络获得移动终端移动ip类型的方法、系统及移动终端 Download PDFInfo
- Publication number
- CN101106806B CN101106806B CN2006101008769A CN200610100876A CN101106806B CN 101106806 B CN101106806 B CN 101106806B CN 2006101008769 A CN2006101008769 A CN 2006101008769A CN 200610100876 A CN200610100876 A CN 200610100876A CN 101106806 B CN101106806 B CN 101106806B
- Authority
- CN
- China
- Prior art keywords
- mobile
- portable terminal
- type
- aaa server
- login request
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0838—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
- H04L9/0841—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols
- H04L9/0844—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols with user authentication or key authentication, e.g. ElGamal, MTI, MQV-Menezes-Qu-Vanstone protocol or Diffie-Hellman protocols using implicitly-certified keys
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0891—Revocation or update of secret information, e.g. encryption key update or rekeying
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/041—Key generation or derivation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/043—Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
- H04W12/0431—Key distribution or pre-distribution; Key agreement
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/043—Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
- H04W12/0433—Key management protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/80—Wireless
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0892—Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/162—Implementing security features at a particular protocol layer at the data link layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W60/00—Affiliation to network, e.g. registration; Terminating affiliation with the network, e.g. de-registration
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W80/00—Wireless network protocols or protocol adaptations to wireless operation
- H04W80/04—Network layer protocols, e.g. mobile IP [Internet Protocol]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明提供一种无线网络获得移动终端移动IP类型的方法:移动IP代理根据移动终端的移动IP注册请求消息中移动IP类型标识字段向移动IP类型需求者上报移动IP类型相关信息;一种无线网络获得移动终端移动IP类型的系统:至少包括:移动终端、移动IP代理、移动IP类型需求者;移动终端向移动IP代理发送移动IP注册请求消息进行移动IP注册;移动IP代理根据移动IP注册请求消息中移动IP类型标识字段向移动IP类型需求者上报该移动终端的移动IP类型相关信息;以及一种用于无线网络的移动终端,当移动终端初始入网注册或者移动终端密钥更新时,移动终端向移动IP代理发送移动IP注册请求消息进行移动IP注册,在该移动IP注册请求消息中包含移动IP类型标识字段,该移动IP类型标识字段用于标识该移动终端的移动IP类型。
Description
技术领域
本发明涉及无线通信领域,尤其涉及无线网络中接入网获得移动终端移动IP类型的技术。
背景技术
当移动终端要接入支持EAP认证方式的无线网络,如Wimax(WorldInteroperability for Microwave Access,微波接入全球互操作性认证)网络中,首先要进行EAP认证过程,认证通过后,将分别在移动终端侧和AAA服务器(认证、计费、授权服务器)侧生成MSK(Master Session Key,主会话密钥)和EMSK(extended MSK,扩展主会话密钥)。
分别在移动终端侧和AAA服务器侧由EMSK计算出MIP-RK(移动IP-根密钥),该根密钥通过与HA(Home Agent,归属代理)、FA(Foreign Agent,外部代理)等地址的结合换算,衍生出与移动相关的各种密钥,包括MN-AAA(移动终端与认证、计费、授权服务器之间的移动IP密钥)、MN-HA(移动终端与归属代理之间的移动IP密钥)、MN-FA(移动终端与外部代理之间的移动IP密钥)、FA-HA(外部代理与归属代理之间的移动IP密钥),通过这些密钥的使用,实现移动IP注册的安全性。
移动终端移动IP的类型包括:PMIP(代理移动IP)和CMIP(客户移动IP)。根据移动IP类型的不同,在移动终端初始入网注册发起移动IP注册请求时或者由于移动终端密钥更新而引起的移动IP注册请求时,注册过程中密钥的使用会有不同。
现有技术中,在不区分移动IP类型的情况下,当移动终端初始入网和AAA服务器进行初始认证时,AAA服务器会将其所需的所有密钥下发给鉴权器。这种情况下会有两方面的缺点,一方面是对于CMIP移动终端,其在注册过程中所需的MN-HA会在移动终端侧生成,因此AAA服务器下发给鉴权 器的MH-HA对CMIP移动终端没有实际意义;另一方面是AAA服务器已经将注册过程中所需的密钥下发给接入网功能实体,因此该些密钥就有被捕获得可能性,因此安全性存在潜在问题。
基于上述现有技术的安全性问题,目前该项技术中,对于IPv4中MN-HA的生成,将针对PMIP移动终端和CMIP移动终端分别考虑,其计算公式如下:
MN-HA-CMIP4=H(MIP-RK,”CMIP4 MN HA”|HA-IP)
MN-HA-PMIP4=H(MIP-RK,”PMIP4 MN HA”|HA-IP)
初始认证时,AAA服务器无法获得移动终端的移动IP类型,其只能通过下述三种方式生成MN-HA并下发:
其一是AAA服务器先不生成MN-HA,而是等待接入网功能实体上报移动终端移动IP类型,然后计算并下发相应MN-HA;但是采用该种方式会使移动终端接入无线网络的过程耗时漫长;
其二是AAA服务器假定移动终端的移动IP类型,例如:首先假定移动终端的移动IP类型为PMIP类型,移动终端类型确定后,如果是PMIP类型的终端,当HA索取MN-HA时,则AAA服务器向HA下发MN-HA-PMIP4密钥;如果是CMIP类型的终端,则AAA服务器将MN-HA-PMIP4密钥删除,并向HA下发MN-HA-CMIP4密钥;但是采用该种方式的前提是AAA服务器需要获得移动终端的移动IP类型,这恰恰是现有技术无法提供的;
其三是通过扩展移动终端的NAI(Network Access Identifier,网络接入标识)来标识移动终端的移动IP类型,具体方案表示如下:
[RoutingRealm1!RoutingRealm2!...!]{AuthMode MIPMode}pseudoIdentityrealm
其中的MIPMode(移动IP类型)可定义为:
当MIPMode=C时,为CMIP移动终端;
当MIPMode=P时,为PMIP移动终端;
例如:如果AuthMode{1}被移动终端使用,NAI表示为:
[RoutingRealm1!RoutingRealm2!...!]{1C}pseudoIdentityrealm
当AAA服务器收到HA发送的包含上述NAI的移动IP注册请求时,AAA服务器可以得知该移动终端的移动IP类型为CMIP。
但是采用上述扩展NAI的方式存在如下缺点:
1、NAI参数是传输层的参数,移动终端的移动IP类型是应用层的参数,且NAI做为通用标识不需要、且不应该进行如此扩展;
2、将移动终端NAI参数进行上述扩展存在潜在的技术问题,将可能导致移动终端的NAI参数前后不一致;特别地,如果移动终端仅在其初始移动IP注册请求中携带扩展的NAI参数,则将要求HA有能力区分,并在其后的为此移动终端创建的BCE(Binding Cache Entry,绑定缓存项目)中的NAI表项中,将上述NAI的扩展参数去除。
在当前的Wimax网络中,在ASN(目标接入网络)中可以通过当移动终端初始入网时,由DHCP(Dynamic Host Configuration Protocol,动态主机配置协议)过程被触发,并且由DHCP代理来上报移动终端的移动IP类型为PMIP,或者由FA通过移动IP注册请求来触发上报移动终端的移动IP类型为CMIP;对于上述FA来说,其需要判断移动IP注册请求是来自PMIP移动终端还是CMIP移动终端,目前现有技术中倾向于选择通过该移动IP注册请求的源地址来判断:通过维护预配置的PMIP客户端地址列表,发现如果是从预配置的PMIP客户端所发出,则可以判断该移动终端是PMIP移动终端;否则,可以判断该移动终端是CMIP移动终端。
采用上述方法,由于其依赖于源地址的识别,因此具有一定的局限性和隐患;同时,该方法仅适用于FA,而对于HA,无法通过该方法判断发送移动IP注册请求的移动终端类型。
现有技术中,当初始认证完成后,移动终端会发起移动IP注册过程,即移动终端发送移动IP注册请求消息,该注册请求消息理论上是由MN-AAA来进行安全保护的,当HA收到该移动终端发送的移动IP注册请求消息后,由于没有MN-HA,所以无法对消息进行认证,由于MN-AAA的存在,HA会将该消息的目的地址,即AAA服务器分配给移动终端的HA的地址,发送给AAA服务器,用来请求MN-HA。
对于PMIP移动终端,出于安全性的考虑,AAA服务器不下发MN-AAA密钥,因此PMIP移动终端无法获得MN-AAA并用于移动IP请求消息的安全 保护;而PMIP移动终端在初始认证过程中可以获得MN-HA,获得方式及缺点的描述在前述现有技术中均有介绍,因此,PMIP移动终端采用MN-HA对移动IP注册请求消息进行安全保护;这样的话,则不能以是否采用MN-AAA对移动IP注册请求消息进行安全保护作为标识来判断是否为移动终端的初次移动IP注册请求;同时考虑到MN-HA与MN-AAA处于同一安全等级,因此,采用MN-HA相比采用MN-AAA不存在缺陷,且采用MN-HA能够保持流程的统一性。
基于上述原因,在目前的Wimax网络中,还没有真正采用MN-AAA来对初始移动IP注册请求进行安全保护。
如上所述,Wimax网络中使用MN-HA对初始移动IP注册请求进行安全保护,对于CMIP移动终端来说,移动终端无法获得HA的真实的,有意义的地址,其采用默认的全0(HA地址:0.0.0.0)或者全1(HA地址:255.255.255.255)的值生成MN-HA。对于AAA服务器来说,其无法判断该移动终端究竟是采用全0还是全1的值计算生成的MN-HA,一般处理方法是:AAA服务器将全0或全1的值计算生成的MN-HA下发给HA,由HA根据是否有一个密钥可以匹配来进行判断该移动IP注册请求的合法性;但是采用该方法无疑会增加传输的内容,并且对于HA来说存在判断的盲目性。
综上所述,目前协议中,当HA收到移动终端发送的初始移动IP注册请求后,HA向AAA服务器报告该移动IP注册请求的目的地址做为HA的地址,但是该地址既无法用来区分移动终端的移动IP类型,也无法用来告知AAA服务器MN-HA计算所采用的是全0还是全1的值。
现有技术中,当由于移动终端的根密钥生命周期到期而引起的根密钥发生更新时,相应的移动IP密钥也要发生更新,当MN-HA发生更新后,移动终端在后续的向HA发送的移动IP注册请求中将使用新的MN-HA,当HA收到该移动IP注册请求后,由于存在原始MN-HA,HA发现移动终端所对应的NAI/MSID和HoA地址等记录均有存在,按照现有RFC协议,由于没有其它标识和通知告知HA由于密钥更新引起了MN-HA变化,HA将判断该次移动IP注册请求为错误的移动IP注册请求,其根据策略配置将该次请求丢弃或者回应错误信息。
针对上述问题,需要有一种机制能够告知HA密钥发生更新的情况,其中一种方法为AAA服务器主动向HA发送更新后的密钥,但是该种方法不符合AAA服务器的行为规范,同时存在安全性的潜在问题;另一种方法为当HA收到具有新的MN-HA的移动IP注册请求后,其与AAA服务器进行认证并获取新的密钥,有建议为通过SPI值的变化使HA判断需要向AAA服务器进行认证从而获取新的密钥;但是该种方法的缺点是:首先,RFC定义中并未赋予SPI该种功能;其次,SPI值的变化有可能造成与HA现存的正常SPI值发生冲突,从而无法获得正常的判断。
发明内容
本发明提供一种无线网络获得移动终端移动IP类型的方法、系统及用于无线网络的移动终端,用以解决现有技术中,移动终端接入目标接入网时,接入网侧由于无法判断移动终端移动IP类型,从而无法正确选择对应移动IP类型的密钥对初始及后续的消息进行安全保护的问题。
为实现本发明的目的,本发明提供一种无线网络获得移动终端移动IP类型的方法,包括:
归属代理HA接收移动终端的移动IP注册请求消息,所述移动IP注册请求消息中包括移动IP类型标识字段,所述移动IP类型标识字段包括HA地址字段;
HA根据所述移动IP类型标识字段向认证计费授权AAA服务器发送AAA请求消息上报移动IP类型相关信息。
之后还包括步骤:AAA服务器根据该移动终端的移动IP类型判断并分配给该移动终端对应的移动IP的相关密钥。
所述HA向AAA服务器上报移动IP类型相关信息为:HA判断移动终端 的移动IP类型后,将判断结果上报AAA服务器。
所述HA将判断结果上报AAA服务器是移动IP代理通过至少一个比特的标识位将移动终端的移动IP类型上报AAA服务器。
所述HA向AAA服务器上报移动IP类型相关信息为:
HA将从移动IP注册请求中获得的移动IP类型标识字段作为该移动终端的移动IP类型隐含于相关的上下文信息中上报AAA服务器。
所述移动IP类型标识字段为全0或者全1,则代表CMIP类型的移动终端;所述移动IP类型标识字段为有意义的、实际的IP地址,则代表PMIP类型的移动终端。
所述HA向AAA服务器上报移动IP类型相关信息采用Radius消息或者Diameter消息。
本发明提供一种无线网络获得移动终端移动IP类型的系统,至少包括:移动终端、归属代理HA、认证计费授权AAA服务器;
所述移动终端,用于向所述HA发送移动IP注册请求消息,进行移动IP注册;
所述归属代理HA,用于接收所述移动终端的移动IP注册请求消息,根据所述移动IP注册请求消息中移动IP类型标识字段向所述AAA服务器上报所述移动终端的移动IP类型相关信息,所述移动IP类型标识字段包括HA地址字段。
本发明的一种用于无线网络的移动终端,当所述移动终端初始入网注册或者所述移动终端密钥更新时,所述移动终端向移动IP代理发送移动IP注册请求消息进行移动IP注册,在该移动IP注册请求消息中包含移动IP类型 标识字段,所述移动IP类型标识字段用于标识该移动终端的移动IP类型。
实施本发明,有效地解决了移动终端接入目标接入网时,接入网侧由于无法判断移动终端移动IP类型,从而无法正确选择对应移动IP类型的密钥对初始及后续的消息进行安全保护的问题;同时,本发明解决了当不确定HA地址时,如何计算生成对应MN-HA对移动IP注册请求消息进行安全保护的问题;特别的,本发明中提供的该种方法使得接入网和核心网都可以判断移动终端移动IP的类型,进而为未来的潜在需求的实现铺平道路。
附图说明
图1是本发明无线网络获得移动终端移动IP类型的方法的原理图;
图2是应用本发明的PMIP移动终端初始入网移动IP注册流程图;
图3是应用本发明的CMIP移动终端初始入网移动IP注册流程图;
图4是本发明中通过扩展移动IP注册请求消息标识移动IP类型实施例一的示意图;
图5是本发明中通过扩展移动IP注册请求消息标识移动IP类型实施例二的示意图。
具体实施方式
本发明提供了一种无线网络获得移动终端移动IP类型的方法、系统及用于无线网络的移动终端,本发明的方法基于的原理为:
CMIP移动终端所发起的初次移动IP注册请求中的HA地址字段为全0(0.0.0.0)或者全1(255.255.255.255);而PMIP移动终端所发起的初次移动IP注册请求中的HA地址字段为有意义的、实际的IP地址;当移动IP代理(包括HA或者FA)收到一个此前没有过记录的移动IP注册请求时,如果移动IP注册请求中的HA地址字段为全0或者全1,则移动IP代理可以判断该移动IP注册请求是CMIP类型的移动终端发出的;如果移动IP注册请求中的HA地址字段为全0或者全1以外的其它值时,则移动IP代理可以判断该移动IP注册请求是PMIP类型的移动终端发出的。
如图1所示,移动IP代理可以在获取上述HA地址字段后,判断出移动终端的移动IP类型后并上报给接入网其它功能实体;或者移动IP代理直接将获取的HA地址字段的值上报给接入网其它功能实体;或者移动IP代理在判断出移动终端的移动IP类型后,将该移动IP类型信息上报给接入网中的移动性模式存储单元;该些接入网其它功能实体和移动性模式存储单元统称为移动IP类型需求者。
上述上报的移动IP类型可以是显性的指示信息,即将明确的指示移动终端移动IP的类型的消息上报,可以通过1个比特的标识位上报,如1代表PMIP类型的移动终端,0代表CMIP类型的移动终端,反之亦可;也可以是隐性的指示信息,即将HA地址字段的值隐含于相关的上下文信息中上报:如果为全0或者全1,则代表CMIP类型的移动终端;如果为有意义的、实际的IP地址,则代表PMIP类型的移动终端。
下面结合具体的实施例,对本发明的应用做进一步说明:
对于PMIP移动终端,根据目前的流程,该种类型的终端无法获得MN-AAA,而根据前述的现有技术,其可以获得根据移动IP类型分别生成的MN-HA-PMIPv4,因此,PMIP移动终端在初始移动IP注册请求时采用MN-HA-PMIPv4对初始移动IP注册请求消息进行安全保护,如图2所示,详细流程如下:
步骤(201~202)、移动终端通过鉴权器与AAA服务器进行EAP接入认证,认证通过后,分别在移动终端和AAA服务器侧生成MSK和EMSK;且分别在移动终端侧和AAA服务器侧由EMSK生成MIP-RK;
步骤(203)、AAA服务器将MIP-RK、已经生成的MN-HA-PMIPv4、和/或MN-FA-RK、和/或MN-FA、和/或FA-HA、以及HA的地址等参数信息发送至鉴权器;
步骤(204)、鉴权器根据接收的参数获得MN-HA-PMIPv4、生成或直接获得MN-FA、FA-HA;
步骤(205)、当移动终端的NAI被分配后,在AAA服务器和鉴权器中保存相应记录,FA通过与鉴权器的交互获得移动终端的NAI、以及MN-FA、FA-HA;该FA与鉴权器的交互过程也可以在FA收到移动终端发送的移动IP注册请求消息后进行;
步骤(206)、移动终端发起移动IP注册请求:移动终端向FA发送移动IP注册请求消息,采用MN-HA-PMIPv4和MN-FA对该消息进行安全保护;移动IP注册请求消息中包含NAI、HoA地址、CoA地址、HA地址等参数。其中,如果移动终端没有获得HoA地址则填充0.0.0.0;HA的地址为AAA服务器所分配的IP地址;
步骤(207)、FA收到移动IP注册请求消息后,对MN-FA AE进行验证,验证通过后,去除MN-FA AE,添加FA-HA AE;并将修改后的移动IP注册请求消息发送给HA;
步骤(208)、HA收到移动IP注册请求消息后,因为该移动IP注册请求为该移动终端的初始注册,HA中没有相关信息,无法对该移动IP注册请求消息进行认证,但是HA根据该移动IP注册请求消息中所含的HA地址为有意义的、实际的IP地址,判断该移动终端为PMIP移动终端,则将移动终端的NAI、MN-AAA和表示该移动终端类型的参数等信息通过AAA请求消息发送至AAA服务器,该AAA请求消息包括但不限于采用Radius消息或者Diameter消息;
步骤(209)、AAA服务器收到该AAA请求消息后,根据移动终端的NAI进行验证,如果验证通过,则根据传送的该移动终端的移动IP类型判断并分配给该移动终端对应的移动IP的相关密钥;因为上述步骤是由PMIP移动终端发起的移动IP注册请求,因此,AAA服务器将先前生成的分配给该移动终端的MN-HA-PMIPv4发送给HA,同时发送的还有FA-HA;
步骤(210~211)HA对移动IP注册请求消息认证通过后,通过移动IP注册应答消息将分配给移动终端的HoA地址、HA地址通过FA发送给移动终端,并用MN-HA-PMIPv4对返回的消息进行安全保护。
对于CMIP移动终端,其可以采用MN-AAA对初始移动IP注册请求进 行安全保护,其也可以采用MN-HA对初始移动IP注册请求进行安全保护。如果采用MN-AAA对初始移动IP注册请求进行安全保护,则要求HA根据收到MN-AAA来判断需要向AAA服务器发起认证请求,要求AAA服务器对该移动终端进行认证并获取MN-HA-CMIPv4和FA-HA密钥;由于对于PMIP移动终端而言,其只能采用MN-HA来对其初始和后续的所有移动IP注册消息进行安全保护,因此我们不能要求HA具有多重并列的判断标准,本发明中,仅要求HA根据MN-HA来进行验证即可。
下面仅具体介绍采用MN-HA对初始移动IP注册请求进行保护的步骤,至于是否为初始验证,HA可以根据是否保存有该移动终端的记录和MN-HA中是否包含密钥更新标识来判断。
如图3所示,采用MN-HA进行安全保护的CMIP移动终端的初始移动IP注册请求过程的详细步骤如下:
步骤(301~302)、移动终端通过鉴权器与AAA服务器进行EAP接入认证,认证通过后,分别在移动终端和AAA服务器侧生成MSK和EMSK;且分别在移动终端侧和AAA服务器侧由EMSK生成MIP-RK;
步骤(303)、AAA服务器将MIP-RK、HA的地址等参数信息发送至鉴权器;
步骤(304)、鉴权器根据接收的参数生成或者直接获得MN-FA;
步骤(305)、鉴权器通过移动IP广播消息将CoA地址发送给移动终端;
步骤(306)、移动终端通过MIP-RK和接收到的CoA地址计算出MN-FA,由于此时移动终端还没有获得HA地址,因此初始移动IP注册请求消息中的HA地址字段为默认的全0(0.0.0.0)或者全1(255.255.255.255),并利用该值计算MN-HA-CMIPv4;
步骤(307)、移动终端发起移动IP注册请求:移动终端向FA发送移动IP注册请求消息,采用MN-HA-CMIPv4和MN-FA对该消息进行安全保护;移动IP注册请求消息中包含NAI、HoA地址、CoA地址、HA地址等参数。其中,由于移动终端没有获得HoA地址则填充0.0.0.0;HA的地址为全0(0.0.0.0)或者全1(255.255.255.255);
步骤(308)、FA收到移动IP注册请求消息后,对MN-FAAE进行验证,验证通过后,去除MN-FA AE,添加FA-HA AE;并将修改后的移动IP注册请求消息发送给HA;
步骤(309)、HA收到移动IP注册请求消息后,因为该移动IP注册请求为该移动终端的初始注册,HA中没有相关信息,无法对该移动IP注册请求消息进行认证,但是HA根据该移动IP注册请求消息中所含的HA地址为全0(0.0.0.0)或者全1(255.255.255.255),判断该移动终端为CMIP移动终端,则将移动终端的NAI、MN-HA-CMIPv4和表示该移动终端类型的参数等信息通过AAA请求消息发送至AAA服务器,该AAA请求消息包括但不限于采用Radius消息或者Diameter消息;
上述表示该移动终端类型的参数可以为两种形式:
一种是将全0(0.0.0.0)或者全1(255.255.255.255)的值作为HA的IP地址上报给AAA服务器,AAA服务器据此可以判断该移动终端为CMIP类型的移动终端,同时可以获得其采用的是全0还是全1的值生成MN-HA-CMIPv4这个密钥;
另一种是用一个标识来表示该移动终端为CMIP类型的移动终端,用另一个标识来表示该移动终端的HA地址为全0还是全1,即0-全0、1-全1;或者在上报移动终端类型的同时,将全0(0.0.0.0)或者全1(255.255.255.255)的值作为HA的IP地址上报;
步骤(310)、AAA服务器收到该AAA请求消息后,根据移动终端的NAI进行验证,如果验证通过,则根据传送的该移动终端的移动IP类型判断并分配给该移动终端对应的移动IP的相关密钥;因为上述步骤是由CMIP移动终端发起的移动IP注册请求,因此,AAA服务器要将先前生成的分配给该移动终端的MN-HA-PMIPv4删除,并且如果AAA服务器之前没有生成该MN-HA-CMIPv4,则此时生成该密钥;
步骤(311)、AAA服务器将生成的MN-HA-CMIPv4和FA-HA发送至HA;
步骤(312~313)、HA对移动IP注册请求消息认证通过后,通过移动IP 注册应答消息将分配给移动终端的HoA地址、HA地址通过FA发送给移动终端,并用MN-HA-CMIPv4对返回的消息进行安全保护。
上述步骤描述,均为PMIP移动终端或者CMIP移动终端在初始入网的过程中发送移动IP注册请求进行移动IP注册的过程,通过本发明的方法,AAA服务器获得移动终端的移动IP类型,并下发相应的密钥对往来的消息进行安全保护;而当由于移动终端的根密钥发生更新,进而导致移动终端需要再次进行移动IP注册请求时,移动终端在该移动IP注册请求消息中使用原始MN-HA进行安全保护,而在HA下发或者回复的消息中将采用新的MN-HA对消息进行安全保护。
同时,本发明中还允许由FA来判断并上报移动终端的移动IP类型,详细如下:
当为由PMIP移动终端发起的移动IP注册请求时,FA收到的移动IP注册请求消息中的HA地址字段为有意义的、实际的IP地址,且为该移动终端的HA的IP地址,因此FA可以据此判断该移动终端的移动IP类型为PMIP,并可以进一步的选择不上报该类型至接入网,或者上报该移动终端具有PMIP的移动IP类型至接入网中的移动性模式存储单元,如上下文服务器,外部代理或者鉴权器等功能实体;
当为由CMIP移动终端发起的移动IP注册请求时,FA收到的移动IP注册请求消息中的HA地址字段为全0或者全1的值,因此FA可以据此判断该移动终端的移动IP类型为CMIP,并且可以上报该移动终端具有CMIP的移动IP类型至接入网中的移动性模式存储单元,如上下文服务器,外部代理或者鉴权器等功能实体。
是否采用MN-AAA对初始移动IP注册请求进行安全保护与上述本发明如何判断并上报移动IP类型不冲突,可以采用根据HA的地址字段的内容进行判断,也可以采用根据是用MN-HA或MN-AAA进行保护来判断。如果限定对于CMIP移动终端的初始移动IP注册请求采用MN-AAA进行安全保护,则可以根据是否采用MN-AAA作为初始移动IP注册请求中的移动IP类型的标识进行判断。
本发明中还可以考虑对现有移动IP注册请求消息进行适当的扩展以专用的标识位来表示其移动IP类型,具体方案如下:
1.如图4所示,采用保留比特位,定义移动IP注册请求消息中的保留比特位为移动IP类型标识比特;其中的r比特位为保留比特位,定义其为移动IP类型标识位;
2.如图5所示,扩展现有移动IP注册请求消息,在其后添加移动IP类型标识扩展,可以定义指定的代码表示特定的扩展类型,长度可以设为1,数据区采用标识进行移动IP类型的表征,如0——PMIP,1——CMIP。同样的,可以进行扩展更多比特位来表示更多的信息。
以上所述,仅为本发明较佳的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。
Claims (8)
1.一种无线网络获得移动终端移动IP类型的方法,其特征在于:
归属代理HA接收移动终端的移动IP注册请求消息,所述移动IP注册请求消息中包括移动IP类型标识字段,所述移动IP类型标识字段包括HA地址字段;
HA根据所述移动IP类型标识字段向认证计费授权AAA服务器发送AAA请求消息上报移动IP类型相关信息。
2.根据权利要求1所述的无线网络获得移动终端移动IP类型的方法,其特征在于:所述HA向AAA服务器上报移动IP类型相关信息为:HA判断移动终端的移动IP类型后,将判断结果上报AAA服务器。
3.根据权利要求2所述的无线网络获得移动终端移动IP类型的方法,其特征在于:所述HA将判断结果上报AAA服务器是HA通过至少一个比特的标识位将移动终端的移动IP类型上报AAA服务器。
4.根据权利要求1所述的无线网络获得移动终端移动IP类型的方法,其特征在于:所述HA向AAA服务器上报移动IP类型相关信息为:HA将从移动IP注册请求中获得的移动IP类型标识字段作为该移动终端的移动IP类型隐含于相关的上下文信息中上报AAA服务器。
5.根据权利要求4所述的无线网络获得移动终端移动IP类型的方法,其特征在于:所述移动IP类型标识字段为全0或者全1,则代表客户移动IP CMIP类型的移动终端;所述移动IP类型标识字段为有意义的、实际的IP地址,则代表代理移动IP PMIP类型的移动终端。
6.根据权利要求1所述的无线网络获得移动终端移动IP类型的方法,其特征在于:所述HA向AAA服务器上报移动IP类型相关信息采用Radius消息或者Diameter消息。
7.根据权利要求1所述的无线网络获得移动终端移动IP类型的方法,其 特征在于:特征在于:之后还包括步骤:AAA服务器根据该移动终端的移动IP类型判断并分配给该移动终端对应的移动IP的相关密钥。
8.一种无线网络获得移动终端移动IP类型的系统,其特征在于,至少包括:移动终端、归属代理HA、认证计费授权AAA服务器;
所述移动终端,用于向所述HA发送移动IP注册请求消息,进行移动IP注册;
所述HA,用于接收所述移动终端的移动IP注册请求消息,根据所述移动IP注册请求消息中移动IP类型标识字段向AAA服务器上报所述移动终端的移动IP类型相关信息,所述移动IP类型标识字段包括HA地址字段。
Priority Applications (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2006101008769A CN101106806B (zh) | 2006-07-11 | 2006-07-11 | 无线网络获得移动终端移动ip类型的方法、系统及移动终端 |
PCT/CN2007/070268 WO2008009232A1 (fr) | 2006-07-11 | 2007-07-11 | Procédé, système et dispositif pour déterminer la clé ip mobile et notifier le type ip mobile |
US12/351,228 US8078872B2 (en) | 2006-07-11 | 2009-01-09 | Method, system and device for determining a mobile IP key, notifying a mobile IP type |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2006101008769A CN101106806B (zh) | 2006-07-11 | 2006-07-11 | 无线网络获得移动终端移动ip类型的方法、系统及移动终端 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN101106806A CN101106806A (zh) | 2008-01-16 |
CN101106806B true CN101106806B (zh) | 2012-04-25 |
Family
ID=38956550
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN2006101008769A Active CN101106806B (zh) | 2006-07-11 | 2006-07-11 | 无线网络获得移动终端移动ip类型的方法、系统及移动终端 |
Country Status (3)
Country | Link |
---|---|
US (1) | US8078872B2 (zh) |
CN (1) | CN101106806B (zh) |
WO (1) | WO2008009232A1 (zh) |
Families Citing this family (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101227458B (zh) * | 2007-01-16 | 2011-11-23 | 华为技术有限公司 | 移动ip系统及更新家乡代理根密钥的方法 |
KR101013654B1 (ko) * | 2007-08-09 | 2011-02-10 | 엘지전자 주식회사 | 이동통신 시스템에서의 이동성 프로토콜 선택 및 관리 방법및 장치 |
KR101466889B1 (ko) * | 2008-04-03 | 2014-12-01 | 삼성전자주식회사 | 모바일 아이피 방식의 무선통신시스템에서 세션 식별자를검색하기 위한 시스템 및 방법 |
US8279872B1 (en) | 2008-04-25 | 2012-10-02 | Clearwire Ip Holdings Llc | Method for obtaining a mobile internet protocol address |
US20090290539A1 (en) * | 2008-05-21 | 2009-11-26 | Huawei Technologies, Co., Ltd. | Method and apparatus for home agent address acquisition for IPv4 mobile nodes |
CN101931929B (zh) * | 2009-06-19 | 2015-07-22 | 中兴通讯股份有限公司 | 计费方法及计费系统 |
CN101656959B (zh) * | 2009-09-10 | 2012-02-29 | 中兴通讯股份有限公司 | PMIP中HA获取MN-HA key的方法、设备及系统 |
CN101895959B (zh) * | 2010-07-20 | 2013-02-27 | 华为终端有限公司 | 一种wimax网络下终端ip地址更新方法及装置 |
CN102811441B (zh) * | 2011-06-02 | 2014-12-03 | 华为技术有限公司 | 管理移动ip密钥的方法和装置 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1297662A (zh) * | 1999-03-29 | 2001-05-30 | 诺基亚网络有限公司 | 电信系统中安全通信和密钥分配的配置 |
CN1324549A (zh) * | 1998-09-21 | 2001-11-28 | 诺基亚网络有限公司 | 分组无线网的ip移动性机理 |
CN1471282A (zh) * | 2002-07-24 | 2004-01-28 | 华为技术有限公司 | 一种基于多协议标签交换网络的报文传送方法 |
CN1714560A (zh) * | 2002-11-22 | 2005-12-28 | 思科技术公司 | 移动ip中的动态会话密钥产生及密钥重置的方法和装置 |
Family Cites Families (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7421077B2 (en) * | 1999-01-08 | 2008-09-02 | Cisco Technology, Inc. | Mobile IP authentication |
JP4294829B2 (ja) * | 2000-04-26 | 2009-07-15 | ウォーターフロント・テクノロジーズ エルエルシー | モバイルネットワークシステム |
US20020067831A1 (en) * | 2000-12-05 | 2002-06-06 | Sony Corporation | IP-based architecture for mobile computing networks |
US7277416B1 (en) * | 2003-09-02 | 2007-10-02 | Cellco Partnership | Network based IP address assignment for static IP subscriber |
US20050190734A1 (en) * | 2004-02-27 | 2005-09-01 | Mohamed Khalil | NAI based AAA extensions for mobile IPv6 |
EP2698965A1 (en) * | 2004-04-14 | 2014-02-19 | Microsoft Corporation | Mobile IPV6 authentication and authorization |
KR100602260B1 (ko) * | 2005-01-05 | 2006-07-19 | 삼성전자주식회사 | 고속 핸드오버 방법 |
US7460504B2 (en) * | 2005-10-12 | 2008-12-02 | Qualcomm Incorporated | Base station methods and apparatus for establishing connections |
-
2006
- 2006-07-11 CN CN2006101008769A patent/CN101106806B/zh active Active
-
2007
- 2007-07-11 WO PCT/CN2007/070268 patent/WO2008009232A1/zh active Application Filing
-
2009
- 2009-01-09 US US12/351,228 patent/US8078872B2/en active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1324549A (zh) * | 1998-09-21 | 2001-11-28 | 诺基亚网络有限公司 | 分组无线网的ip移动性机理 |
CN1297662A (zh) * | 1999-03-29 | 2001-05-30 | 诺基亚网络有限公司 | 电信系统中安全通信和密钥分配的配置 |
CN1471282A (zh) * | 2002-07-24 | 2004-01-28 | 华为技术有限公司 | 一种基于多协议标签交换网络的报文传送方法 |
CN1714560A (zh) * | 2002-11-22 | 2005-12-28 | 思科技术公司 | 移动ip中的动态会话密钥产生及密钥重置的方法和装置 |
Also Published As
Publication number | Publication date |
---|---|
CN101106806A (zh) | 2008-01-16 |
US20090132817A1 (en) | 2009-05-21 |
US8078872B2 (en) | 2011-12-13 |
WO2008009232A1 (fr) | 2008-01-24 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN101106806B (zh) | 无线网络获得移动终端移动ip类型的方法、系统及移动终端 | |
CN101682630B (zh) | 用于在无线通信网络中提供pmip密钥分层结构的方法和装置 | |
CN101502078A (zh) | 提供接入待定的密钥的方法和系统 | |
CN101006682B (zh) | 快速网络附着 | |
CN105187376A (zh) | 车联网中汽车内部网络的安全通信方法 | |
CN101461211B (zh) | 用于提供移动ip密钥的方法 | |
CN101300543A (zh) | 用于提供授权材料的方法和装置 | |
US20070136590A1 (en) | Network system and communication methods for securely bootstraping mobile IPv6 mobile node using pre-shared key | |
EP1855442A1 (en) | System and Method for Authentication in a Communication System | |
EP2229018B1 (en) | Method and system for authenticating in a communication system | |
US8447981B2 (en) | Method and system for generating and distributing mobile IP security key after re-authentication | |
CN102265659A (zh) | 通信系统、毫微微小区基站、认证设备、通信方法及记录介质 | |
CN101079705B (zh) | 移动ip密钥在重新鉴权认证后的产生及分发方法与系统 | |
CN101616407B (zh) | 预认证的方法和认证系统 | |
JP4510682B2 (ja) | 移動式vpnのエージェントをダイナミックに割り当てる方法及び装置 | |
CN101730095B (zh) | 一种实现消息完整性保护的方法、装置及系统 | |
EP4184966A1 (en) | Vehicle certificate application method, vehicle-mounted device, and road side unit | |
CN101599878A (zh) | 重认证方法、系统及鉴权装置 | |
CN101123815B (zh) | 微波存取全球互通移动IPv4中归属代理根密钥同步的方法 | |
CN101447978B (zh) | 在WiMAX网络中拜访AAA服务器获取正确的HA-RK Context的方法 | |
CN101119594B (zh) | 实现归属代理和外地代理间归属代理根密钥同步的方法 | |
JP2006352182A (ja) | 移動式vpnのエージェントをダイナミックに割り当てる方法及び装置 | |
CN101754200B (zh) | 一种注册的方法、系统和装置 | |
CN101325804B (zh) | 获取密钥的方法、设备及系统 | |
CN102811441B (zh) | 管理移动ip密钥的方法和装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant |