CN101123815B - 微波存取全球互通移动IPv4中归属代理根密钥同步的方法 - Google Patents
微波存取全球互通移动IPv4中归属代理根密钥同步的方法 Download PDFInfo
- Publication number
- CN101123815B CN101123815B CN2007101299561A CN200710129956A CN101123815B CN 101123815 B CN101123815 B CN 101123815B CN 2007101299561 A CN2007101299561 A CN 2007101299561A CN 200710129956 A CN200710129956 A CN 200710129956A CN 101123815 B CN101123815 B CN 101123815B
- Authority
- CN
- China
- Prior art keywords
- key
- authentication
- home agent
- mobile
- mobile node
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Mobile Radio Communication Systems (AREA)
Abstract
一种微波存取全球互通移动IPv4中归属代理根密钥同步的方法,包括,移动节点通过鉴权器到归属网络的鉴权、授权及计费服务器请求接入,鉴权、授权及计费服务器返回该节点的MN-HA Key、FA-RK和HA-RK及密钥有效期;鉴权器判断HA-RK有效期大于等于MN-HA Key和FA-RK有效期,则使节点接入;节点向外地代理注册,鉴权器判断HA-RK有效期未过期,则外地代理向鉴权器获取FA-HA Key,外地代理验证节点的注册请求通过后,将请求发送到归属代理;归属代理向鉴权、授权及计费服务器进行认证,获取MN-HA Key;归属代理判断本地的HA-RK未过期,则验证MN-HA Key和FA-HA Key,向外地代理发送注册应答消息,允许注册。应用本发明,解决因FA和HA在某些情况下的HA-RK不一致导致FA-HA鉴权扩展不通过而引起移动IP注册失败问题。
Description
技术领域
本发明涉及微波存取全球互通(Worldwide Interoperability for MicrowaveAccess,简称WiMAX)通讯领域中移动IPv4接入时,核心网控制归属代理根密钥(Home Agent Root Key,简称HA-RK)向终端注册的归属代理(HomeAgent,简称HA)和外地代理(Foreign Agent,简称FA)同步的方法。
背景技术
IETF的网络工作组在1996年10月提出了RFC2002标准,其中较为详细地阐述了移动IP的原理、实现以及各种细节问题。2003年,IETF颁布了移动IPv4的新规范RFC3344,取代了RFC2002。简单地讲,移动IP就是能让移动节点在移动的同时不断开连接,并且还能正确收发数据包。
在移动IPv4协议中,每一个移动节点(Mobile Node,简称MN)都有一个唯一的归属地址,当移动节点(MN)移动时它的归属地址是不变的。在归属网络链路上每一个移动节点还必须有一个归属代理(HA)来为它维护当前的位置信息,这就需要引入转交地址。当移动节点(MN)连接到外地网络链路上时,转交地址就用来标识移动节点(MN)现在所处的位置,以便进行路由选择。移动节点(MN)的归属地址与当前转交地址的联合称作移动绑定或简称绑定。当移动节点(MN)得到一个新的转交地址时,通过绑定向归属代理(HA)进行注册,以便让归属代理(HA)及时了解移动节点(MN)的当前位置。
移动节点(MN)的计算环境可能与普通计算环境非常不同。在很多情况下,移动计算机将通过无线链路连接到网络。这样的链路很容易受被动的窃听、主动的重放攻击和其他主动攻击所攻击。移动IPv4中的重要过程就是注册过程,由此注册过程的认证扩展是必须要做的。
移动IPv4的注册提供了一种灵活机制使移动节点把它们当前的可达性 信息传送到其家乡代理。移动节点(MN)使用的方法是:
在访问外地网络时请求转发服务;
把它们当前的转交地址告知家乡代理(HA);
时间到,重新注册,和/或
在回到家乡时解除注册。
RFC中定义,每一个移动节点、外地代理和家乡代理必须能够支持移动实体的移动安全联合,由它们的安全参数索引(Security Parameter Index,简称SPI)和IP地址索引。在移动节点和其家乡代理之间的注册消息必须使用Mobile-Home认证扩展(简称MN-HA AE)进行认证。在移动节点和其外地代理之间的Mobile-Foreign认证扩展(简称MN-FA AE)、外地代理和归属代理之间Foreign-Home认证扩展(简称FA-HA AE)为可选。
WiMAX网络中移动IPv4就是采用RFC3344的架构,并明确要求在移动IPv4中,MN-HA AE和FA-HA AE为必选,MN-FA AE为可选。
MN-HA和MN-FA鉴权扩展密钥(简称MN-HA Key和MN-FA Key)是由扩展鉴权协议(Extensible Authentication Protocol,简称EAP)过程产生的扩展主会话密钥(Extended Master Session Keys,简称EMSK)派生出来的,因此MN-HA Key和MN-FA Key的有效期和EMSK相同,当MN接入WiMAX网络做初始化EAP认证或重认证时,就会在MN侧和归属认证、授权和计费(Home Authentication,Authorization,and Accounting,简称HAAA)服务器侧使用同样的算法和参数分别产生新的EMSK,并用此EMSK产生新的MN-HA Key和外地代理根密钥(Foreign Agent Root Key,简称FA-RK,是产生MN-FA Key根密钥),外地代理根密钥由HAAA在授权消息中分别发送给WiMAX接入服务网络(Access Service Network,简称ASN)中的鉴权器(Authenticator),当MN向FA发起移动IP注册时,FA从鉴权器(Authenticator)获取移动IP的密钥(包括MN-HA Key和MN-FA Key),MN-FA的鉴权扩展验证通过后,FA转发该MN的移动IP注册请求并携带从鉴权器获取的MN-HA Key。HA收到FA转发的MN移动IP注册请求,又会通过RADIUS(扩展拨入用户远端认证消息)的认证请求向HAAA重 新获取MN-HA Key,这样就可以保证MN和FA/HA的鉴权扩展密钥始终是同步的。
FA-HA AE使用的FA-HA鉴权扩展密钥(简称FA-HA Key)是由归属代理根密钥(简称HA-RK)派生出来,而HA-RK是由HAAA产生20字节的随机数,并且HA-RK有生存周期,生存周期结束之前HAAA必须重新产生HA-RK。WiMAX网络工作组相关协议规定,FA通过MN初始化认证或重认证的授权消息中获取HA-RK,HA是在MN移动IP注册时向HAAA发送认证的授权消息中获取,但是因为MN的初始化认证或重认证过程和MN的移动IP注册过程没有必然的关系,也没有定义相关机制来保证HA-RK在FA和HA同步更新,所以在某段时间内可能可能出现FA和HA内部HA-RK存在不一致的情况,这样就可能导致当MN发起移动IP注册时,可能因为FA和HA持有的HA-RK不一致,而导致FA-HA鉴权扩展验证不通过,从而导致MN的移动IP注册失败。
综上所述,当前需要一种解决WiMAX网络工作组协议中HA-RK在FA和HA同步的问题的技术方案。
发明内容
本发明所要解决的技术问题是提供一种微波存取全球互通移动IPv4中归属代理根密钥同步的方法,解决因FA和HA在某些情况下持有的HA-RK不一致导致FA-HA鉴权扩展不通过而引起移动IP注册失败问题。
为了解决上述问题,本发明提供了一种微波存取全球互通移动IPv4中归属代理根密钥同步的方法,包括以下步骤,
a、移动节点通过微波存取全球互通网的鉴权器到归属网络的鉴权、授权及计费服务器请求接入认证或重新认证后,所述鉴权、授权及计费服务器返回该移动节点的MN-HA Key、FA-RK和归属代理根密钥的密钥信息以及密钥有效期;
b、所述鉴权器判断归属代理根密钥的密钥有效期是否大于等于MN-HAKey和FA-RK的密钥有效期,如果是,则所述鉴权器发送认证响应给移动 节点并使移动节点接入网络;
c、移动节点向外地代理进行移动IP注册,如果所述鉴权器判断归属代理根密钥的密钥有效期没有过期,则外地代理向所述鉴权器获取FA-HAKey,外地代理验证移动节点的移动IP注册请求通过后,将移动IP注册请求发送到对应的归属代理;
d、移动节点通过外地代理向归属代理发送移动IP注册请求后,归属代理向归属网络的鉴权、授权及计费服务器进行认证,获取MN-HA Key;如果所述归属代理判断本地的归属代理根密钥相关信息没有过期,则归属代理验证MN-HA Key和FA-HA Key,向外地代理发送移动IP注册应答消息后,外地代理转发移动IP注册应答消息给移动节点;如果所述归属代理判断归属代理根密钥已经过期,则在扩展拨入用户远端认证消息的接入请求中携带获取归属代理根密钥标志参数,向鉴权、授权及计费服务器获取归属代理根密钥相关信息,刷新本地归属代理根密钥,用于进行FA-HA Key的验证。
进一步地,上述方法还可包括,所述步骤a中,所述鉴权、授权及计费服务器还返回所述移动节点的MN-HA Key、FA-RK和归属代理根密钥的密钥对应的安全参数索引。
进一步地,上述方法还可包括,所述步骤b中,如果所述鉴权器判断归属代理根密钥的密钥有效期小于MN-HA Key和FA-RK的的密钥有效期,则鉴权、授权及计费服务器重新产生归属代理根密钥的密钥有效期和对应的安全参数索引,直到新的归属代理根密钥的密钥有效期大于等于MN-HA Key和FA-RK的密钥有效期为止,所述鉴权器发送认证响应给移动节点并使移动节点接入网络。
进一步地,上述方法还可包括,所述步骤b中,所述鉴权器根据所述鉴权、授权及计费服务器返回的响应消息,判断并运行移动节点接入认证或重新认证成功,发送认证响应给移动节点并使移动节点接入网络。
进一步地,上述方法还可包括,所述步骤c中,所述移动节点向外地代理进行移动IP注册,外地代理向所述鉴权器还获取MN-FA Key。
进一步地,上述方法还可包括,所述步骤c中,如果所述鉴权器判断归属代理根密钥的密钥有效期过期,则包括以下步骤,
e、拒绝移动节点的移动IP注册请求,并强制移动节点重新发起到所述归属网 络的鉴权、授权及计费服务器的认证后,所述鉴权、授权及计费服务器在授权信息中返回该移动节点的MN-HA Key、FA-RK和归属代理根密钥的密钥信息以及密钥有效期和对应的安全参数索引;
f、所述鉴权器判断归属代理根密钥的密钥有效期是否大于等于MN-HAKey和FA-RK的的密钥有效期,如果是,则执行步骤g;否则,所述鉴权、授权及计费服务器重新产生归属代理根密钥的密钥有效期和对应的安全参数索引,直到新的归属代理根密钥的密钥有效期大于等于MN-HA Key和FA-RK的密钥有效期为止,执行步骤g;
g、外地代理向所述鉴权器获取MN-FA Key和FA-HA Key,外地代理验证移动节点的移动IP注册请求合法通过后,将移动IP注册请求发送到对应的归属代理;执行步骤d。
进一步地,上述方法还可包括,所述步骤d中,所述移动节点通过外地代理向归属代理发送移动IP注册请求后,归属代理通过扩展拨入用户远端认证消息的接入请求向归属网络的鉴权、授权及计费服务器进行认证,获取MN-HA Key。
进一步地,上述方法还可包括,所述步骤d中,如果所述归属代理判断本地没有归属代理根密钥相关信息,则在扩展拨入用户远端认证消息的接入请求中携带获取归属代理根密钥标志参数,向鉴权、授权及计费服务器获取归属代理根密钥相关信息,刷新本地归属代理根密钥,用于进行FA-HA Key的验证。
进一步地,上述方法还可包括,所述步骤d中,所述移动节点通过外地代理向归属代理发送移动IP注册请求后,所述归属代理每次向归属网络的鉴权、授权及计费服务器认证时都标识获取归属代理根密钥以及相关信息,所述鉴权、授权及计费服务器根据归属代理根密钥的有效期过期与否来决定发送旧的归属代理根密钥还是新的归属代理根密钥。
与现有技术相比,应用本发明,弥补了WiMAX网络工作组协议的不足,清晰的描述了归属代理根密钥的同步机制,提供了有关移动IPv4鉴权扩展中用到的HA-RK在外地代理和归属代理中的同步方案,解决了因外地代理和归属代理在某些情况下持有的HA-RK不一致导致FA-HA鉴权扩展不通过而引起移动IP注册失败问题;同时,移动IPv4鉴权扩展中用到的HA-RK 在外地代理和归属代理中的同步方案,不需要增加额外设备,不修改WiMAX网络工作组协议定义移动IPv4基本流程,应用简单方便;还有,对归属代理如何更新HA-RK提供两种方式,其一是主动维护HA-RK的有效期,如果过期则重新向鉴权、授权及计费服务器获取新的HA-RK;其二是每次移动IP注册时都向鉴权、授权及计费服务器获取HA-RK,由鉴权、授权及计费服务器决定是否发送新的HA-RK;对于外地代理的要求灵活,有利于归属代理的兼容和升级。
附图说明
图1是本发明具体实施方式中WiMAX移动IPv4中归属代理根密钥(HA-RK)同步方法的流程图;
图2是本发明具体实施方式中HA-RK在外地代理和归属代理同步更新方法的流程图;
图3是本发明具体实施方式中移动IPv4功能的系统结构图。
具体实施方式
下面结合附图对本发明具体实施方式作进一步说明。
本发明具体实施方式中WiMAX移动IPv4中归属代理根密钥(HA-RK)同步的方法,包括以下步骤:
步骤110、移动节点通过WiMAX接入服务网的鉴权器到归属网络的鉴权、授权及计费服务器请求接入认证或重新认证后,所述鉴权、授权及计费服务器返回该移动节点的移动IP密钥信息以及密钥有效期和对应的安全参数索引;
移动节点通过WiMAX接入服务网的鉴权器到归属网络的鉴权、授权及计费服务器请求接入认证或重新认证后,所述鉴权、授权及计费服务器按照WiMAX网络工作组协议在授权信息中返回该移动节点的移动IP密钥信息以及密钥有效期和对应的安全参数索引。
移动节点的移动IP密钥信息包括MN-HA Key、FA-RK和HA-RK。
步骤120、所述鉴权器判断HA-RK的密钥有效期是否大于等于MN-HAKey和FA-RK的密钥有效期,如果是,执行步骤135;否则,执行步骤130;
由于MN-HA Key和FA-RK是由EAP鉴权过程中产生的EMSK衍生出的,因此MN-HA Key和FA-RK直接继承了EMSK的密钥有效期。
步骤130、鉴权、授权及计费服务器重新产生HA-RK新的密钥有效期和对应的安全参数索引,执行步骤120;
此时,HA-RK不存在或者当前HA-RK的密钥有效期小于本次鉴权产生的MN-HA Key和FA-RK的密钥有效期。
步骤135、所述鉴权器发送认证响应给移动节点并使移动节点接入网络;
所述鉴权器根据鉴权、授权及计费服务器返回的响应消息,判断并运行移动节点接入认证或重新认证成功,发送认证响应给移动节点并使移动节点接入网络。
步骤140、移动节点向外地代理进行移动IP注册,所述鉴权器判断HA-RK的密钥有效期是否过期,如果是,执行步骤150,否则,执行步骤180;
步骤150、拒绝移动节点的移动IP注册请求,并强制移动节点重新发起到归属网络的鉴权、授权及计费服务器的认证后,所述鉴权、授权及计费服务器在授权信息中返回该移动节点的移动IP密钥信息以及密钥有效期和对应的安全参数索引;
步骤160、所述鉴权器判断HA-RK的密钥有效期是否大于等于MN-HAKey和FA-RK的的密钥有效期,如果是,执行步骤180;否则,执行步骤170;
步骤170、鉴权、授权及计费服务器重新产生HA-RK新的密钥有效期和对应的安全参数索引,执行步骤160;
步骤180、外地代理向所述鉴权器获取MN-FA Key和FA-HA Key,外地代理验证移动节点的移动IP注册请求合法通过后,将移动IP注册请求发送到对应的归属代理;
鉴权器根据FA-RK生成MN-FA key、根据HA-RK生成FA-HA Key。
步骤190、移动节点通过外地代理向归属代理发送移动IP注册请求后,归属代理向归属网络的鉴权、授权及计费服务器进行认证,获取MN-HAKey;如果所述归属代理判断本地的HA-RK相关信息没有过期,则归属代理验证MN-HA Key和FA-HA Key并通过验证,允许移动节点注册,向外地代理发送移动IP注册应答消息后,外地代理转发移动IP注册给移动节点。
移动节点通过外地代理向归属代理发送移动IP注册请求后,归属代理通过RADIUS接入请求向归属网络的鉴权、授权及计费服务器进行认证,获取MN-HA Key,用于验证MN-HA鉴权扩展;如果归属代理判断本地没有HA-RK相关信息或已经过期,则在RADIUS接入请求中携带获取HA-RK标志参数,向鉴权、授权及计费服务器获取HA-RK相关信息,刷新本地HA-RK,用于进行FA-HA Key的验证;归属代理验证MN-HA Key和FA-HAKey并通过,允许移动节点注册,向外地代理发送移动IP注册应答消息后,外地代理转发移动IP注册给移动节点。
移动节点通过外地代理向归属代理发送移动IP注册请求后,归属代理也可以不维护HA-RK的有效期,而每次向归属网络的鉴权、授权及计费服务器认证时都标识获取HA-RK以及相关信息,鉴权、授权及计费服务器根据HA-RK有效期过期与否来决定发送旧的HA-RK还是新的HA-RK。
图2是本发明具体实施方式中HA-RK在外地代理和归属代理同步更新方法的流程图,具体步骤如下:
步骤201:移动节点请求接入认证或者已经接入系统后请求重新认证;
步骤202:接入服务网络鉴权器(以下简称鉴权器)收到移动节点的接入请求后,发送接入请求消息给鉴权、授权及计费服务器;
步骤203:鉴权、授权及计费服务器给鉴权器HAAA返回接入响应消息,包含移动IP密钥参数以及相关密钥的有效期和安全参数索引信息;如果该移动节点注册的HA-RK不存在,则HAAA生成一个随机数用做HA-RK,并必须保证HA-RK的有效期大于EMSK的有效期;如果已经存在,判断原HA-RK的有效期是否大于EMSK有效期,如果是,则执行步骤204;否则,HA-RK有效期小于EMSK,则重新生成一个随机数并保证新的有效期大于EMSK的有效期;
如果本次接入使用的是代理移动IP接入技术的话,还需要携带移动节点和归属代理的鉴权扩展密钥MN-HA Key等信息。
移动IP密钥参数,包括外地代理根密钥FA-RK、归属代理根密钥HA-RK。
FA-RK是由鉴权过程中产生的EMSK衍生出来。
步骤204:鉴权器根据鉴权、授权及计费服务器返回的响应消息,判断并运行移动节点认证或重新认证成功,发送认证响应给移动节点并使移动节点接入网络;
步骤205:移动节点接入WiMAX网络后,收到外地代理广告后,向外地代理发起移动IP注册请求;
步骤206:外地代理向鉴权器获取移动IP鉴权密钥参数,鉴权器判断HA-RK未过期,则根据FA-RK生成MN-FA key、根据HA-RK生成FA-HAKey;外地代理验证移动节点的移动IP注册请求合法通过,外地代理追加FA-HA鉴权扩展参数,将移动IP注册请求发送到对应的归属代理;
外地代理验证移动节点的移动IP注册请求合法通过,包括鉴权扩展认证。
步骤207:归属代理收到外地代理发送的移动IP注册请求后,随即发起向归属鉴权、授权及计费服务器的RADIUS认证请求,要求获取移动IPMN-HA鉴权扩展密钥,归属代理如果需要同时获取归属代理根密钥HA-RK,则携带获取标志;
步骤208:归属鉴权、授权及计费服务器将该移动节点的相关密钥在RADIUS认证相应中发送给归属代理,包括MN-HA Key及相关参数,如果归属代理要求获取HA-RK,则在认证响应中授权HA-RK及相关参数;
步骤209:归属代理验证MN-HA鉴权扩展和FA-HA鉴权扩展通过,并允许移动节点注册成功,则向外地代理发送移动IP注册应答消息;
步骤210:外地代理转发移动IP注册应答给移动节点;
步骤211:移动IP会话建立或继续;
步骤212:当移动IP重注册时间到时,移动节点重新发起移动IP注册 消息给外地代理;
步骤213:外地代理向鉴权器获取移动IP密钥时,鉴权器检查HA-RK已经过期,则外地代理直接向移动节点返回移动IP注册失败应答;
步骤214:接入服务网络发起强制移动节点重认证流程,认证流程与上述描述步骤201~204一致;
步骤215:重认证完成后,移动节点就可以发起继续发起移动IP重注册请求,完成移动IP重注册,注册流程与上述步骤205~210一致。
本发明具体实施方式在对已有WiMAX网络工作组协议改动及影响最小的情况下实现了移动IP中归属代理根密钥在移动IP会话中同步更新的问题,完善了WiMAX网络工作组协议的不足,使得WiMAX的移动IP中的密钥分发的同步得以实现。
图3是本发明具体实施方式中移动IPv4功能的系统结构图,其中:
移动节点MN:具有移动IP或不具有功能的WiMAX终端
接入服务网络ASN:具有外地代理功能FA和鉴权器功能,同时为移动终端提供接入服务,对于不具有移动IP功能的终端,ASN提供代理移动IP功能;
在本发明具体实施方式中,鉴权器向鉴权、授权及计费服务器发送接入认证/重认证请求,并保存鉴权、授权及计费服务器授权的移动IP密钥信息。FA验证和转发移动节点发送移动IP的注册请求,并在终端在线期间维护其移动IP相关的信息和移动IP密钥有效期信息。
鉴权、授权及计费服务器AAA:为用户提供鉴权、授权及计费服务。在收到接入服务器发送的终端接入请求时,将对终端进行鉴权,并进行相应的授权;
在本发明具体实施方式中,AAA在终端鉴权时,进行包括终端移动IP密钥信息的授权和完成HA-RK的更新功能。
归属代理HA:接受接入服务器发送的移动IP注册请求,并进行移动IP注册响应,与接入服务器配合为移动终端提供移动IP的服务。
以上所述,仅为本发明较佳的具体实施方式,但本发明的保护范围并不 局限于此,任何熟悉该技术的人在本发明所揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应该以权利要求的保护范围为准。
Claims (9)
1.一种微波存取全球互通移动IPv4中归属代理根密钥同步的方法,包括以下步骤,
a、移动节点通过微波存取全球互通网的鉴权器到归属网络的鉴权、授权及计费服务器请求接入认证或重新认证后,所述鉴权、授权及计费服务器返回该移动节点的MN-HA Key、FA-RK和归属代理根密钥的密钥信息以及密钥有效期;
b、所述鉴权器判断归属代理根密钥的密钥有效期是否大于等于MN-HAKey和FA-RK的密钥有效期,如果是,则所述鉴权器发送认证响应给移动节点并使移动节点接入网络;
c、移动节点向外地代理进行移动IP注册,如果所述鉴权器判断归属代理根密钥的密钥有效期没有过期,则外地代理向所述鉴权器获取FA-HA Key,外地代理验证移动节点的移动IP注册请求通过后,将移动IP注册请求发送到对应的归属代理;
d、移动节点通过外地代理向归属代理发送移动IP注册请求后,归属代理向归属网络的鉴权、授权及计费服务器进行认证,获取MN-HA Key;如果所述归属代理判断本地的归属代理根密钥相关信息没有过期,则归属代理验证MN-HA Key和FA-HA Key,向外地代理发送移动IP注册应答消息后,外地代理转发移动IP注册应答消息给移动节点;如果所述归属代理判断归属代理根密钥已经过期,则在扩展拨入用户远端认证消息的接入请求中携带获取归属代理根密钥标志参数,向鉴权、授权及计费服务器获取归属代理根密钥相关信息,刷新本地归属代理根密钥,用于进行FA-HA Key的验证。
2.如权利要求1所述的方法,其特征在于,所述步骤a中,所述鉴权、授权及计费服务器还返回所述移动节点的MN-HA Key、FA-RK和归属代理根密钥的密钥对应的安全参数索引。
3.如权利要求2所述的方法,其特征在于,所述步骤b中,如果所述鉴权器判断归属代理根密钥的密钥有效期小于MN-HA Key和FA-RK的密钥有效期,则鉴权、授权及计费服务器重新产生归属代理根密钥的密钥有效期 和对应的安全参数索引,直到新的归属代理根密钥的密钥有效期大于等于MN-HA Key和FA-RK的密钥有效期为止,所述鉴权器发送认证响应给移动节点并使移动节点接入网络。
4.如权利要求3所述的方法,其特征在于,所述步骤b中,所述鉴权器根据所述鉴权、授权及计费服务器返回的响应消息,判断并运行移动节点接入认证或重新认证成功,发送认证响应给移动节点并使移动节点接入网络。
5.如权利要求4所述的方法,其特征在于,所述步骤c中,所述移动节点向外地代理进行移动IP注册,外地代理向所述鉴权器还获取MN-FA Key。
6.如权利要求5所述的方法,其特征在于,所述步骤c中,如果所述鉴权器判断归属代理根密钥的密钥有效期过期,则包括以下步骤,
e、拒绝移动节点的移动IP注册请求,并强制移动节点重新发起到所述归属网络的鉴权、授权及计费服务器的认证后,所述鉴权、授权及计费服务器在授权信息中返回该移动节点的MN-HA Key、FA-RK和归属代理根密钥的密钥信息以及密钥有效期和对应的安全参数索引;
f、所述鉴权器判断归属代理根密钥的密钥有效期是否大于等于MN-HA
Key和FA-RK的密钥有效期,如果是,则执行步骤g;否则,所述鉴权、授权及计费服务器重新产生归属代理根密钥的密钥有效期和对应的安全参数索引,直到新的归属代理根密钥的密钥有效期大于等于MN-HA Key和FA-RK的密钥有效期为止,执行步骤g;
g、外地代理向所述鉴权器获取MN-FA Key和FA-HA Key,外地代理验证移动节点的移动IP注册请求合法通过后,将移动IP注册请求发送到对应的归属代理;执行步骤d。
7.如权利要求6所述的方法,其特征在于,所述步骤d中,所述移动节点通过外地代理向归属代理发送移动IP注册请求后,归属代理通过扩展拨入用户远端认证消息的接入请求向归属网络的鉴权、授权及计费服务器进行认证,获取MN-HA Key。
8.如权利要求7所述的方法,其特征在于,所述步骤d中,如果所述归属代理判断本地没有归属代理根密钥相关信息,则在扩展拨入用户远端认证 消息的接入请求中携带获取归属代理根密钥标志参数,向鉴权、授权及计费服务器获取归属代理根密钥相关信息,刷新本地归属代理根密钥,用于进行FA-HA Key的验证。
9.如权利要求1所述的方法,其特征在于,所述步骤d中,所述移动节点通过外地代理向归属代理发送移动IP注册请求后,所述归属代理每次向归属网络的鉴权、授权及计费服务器认证时都标识获取归属代理根密钥以及相关信息,所述鉴权、授权及计费服务器根据归属代理根密钥的有效期过期与否来决定发送旧的归属代理根密钥还是新的归属代理根密钥。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2007101299561A CN101123815B (zh) | 2007-07-20 | 2007-07-20 | 微波存取全球互通移动IPv4中归属代理根密钥同步的方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2007101299561A CN101123815B (zh) | 2007-07-20 | 2007-07-20 | 微波存取全球互通移动IPv4中归属代理根密钥同步的方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101123815A CN101123815A (zh) | 2008-02-13 |
| CN101123815B true CN101123815B (zh) | 2011-04-20 |
Family
ID=39085935
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2007101299561A Expired - Fee Related CN101123815B (zh) | 2007-07-20 | 2007-07-20 | 微波存取全球互通移动IPv4中归属代理根密钥同步的方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101123815B (zh) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101447978B (zh) * | 2008-02-20 | 2012-09-05 | 中兴通讯股份有限公司 | 在WiMAX网络中拜访AAA服务器获取正确的HA-RK Context的方法 |
| CN102904901B (zh) * | 2012-10-29 | 2015-07-29 | 杭州华三通信技术有限公司 | 同步IPsec SA的方法、组成员及组密钥服务器 |
| CN111385090B (zh) * | 2018-12-29 | 2023-03-10 | 山东量子科学技术研究院有限公司 | 基于多密钥组合量子密钥中继的密钥分发方法及其系统 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1708178A (zh) * | 2004-06-04 | 2005-12-14 | 朗迅科技公司 | 自同步认证和密钥一致协议 |
| CN1826754A (zh) * | 2003-07-29 | 2006-08-30 | 汤姆森特许公司 | 用于无线局域网的密钥同步机制 |
-
2007
- 2007-07-20 CN CN2007101299561A patent/CN101123815B/zh not_active Expired - Fee Related
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1826754A (zh) * | 2003-07-29 | 2006-08-30 | 汤姆森特许公司 | 用于无线局域网的密钥同步机制 |
| CN1708178A (zh) * | 2004-06-04 | 2005-12-14 | 朗迅科技公司 | 自同步认证和密钥一致协议 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101123815A (zh) | 2008-02-13 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP4723158B2 (ja) | パケット・データ・ネットワークにおける認証方法 | |
| CN101682630B (zh) | 用于在无线通信网络中提供pmip密钥分层结构的方法和装置 | |
| US7298847B2 (en) | Secure key distribution protocol in AAA for mobile IP | |
| CN101502078A (zh) | 提供接入待定的密钥的方法和系统 | |
| US8150317B2 (en) | Method and system for managing mobility of an access terminal in a mobile communication system using mobile IP | |
| US20040157585A1 (en) | Mobile communication network system and mobile terminal authentication method | |
| CN101536480A (zh) | 用于网络接入的设备和/或用户认证 | |
| CN101300543A (zh) | 用于提供授权材料的方法和装置 | |
| KR20070061619A (ko) | 사전공유키(PSK) 기반의 안전한 모바일 IPv6 이동노드 초기구동을 위한 네트워크 시스템 및 통신 방법 | |
| WO2009068945A2 (en) | Using gaa to derive and distribute proxy mobile node home agent keys | |
| US8447981B2 (en) | Method and system for generating and distributing mobile IP security key after re-authentication | |
| CN101079705B (zh) | 移动ip密钥在重新鉴权认证后的产生及分发方法与系统 | |
| CN101616407B (zh) | 预认证的方法和认证系统 | |
| JP5535331B2 (ja) | Wimaxシステムのためのオーセンティケータ移転方法 | |
| CN101075870B (zh) | 一种移动ip密钥的产生及分发方法 | |
| CN101123815B (zh) | 微波存取全球互通移动IPv4中归属代理根密钥同步的方法 | |
| CN1885768B (zh) | 一种环球网认证方法 | |
| CN101599878A (zh) | 重认证方法、系统及鉴权装置 | |
| CN101119594B (zh) | 实现归属代理和外地代理间归属代理根密钥同步的方法 | |
| CN101447978B (zh) | 在WiMAX网络中拜访AAA服务器获取正确的HA-RK Context的方法 | |
| CN101569160A (zh) | 用于传输dhcp消息的方法 | |
| CN101227458B (zh) | 移动ip系统及更新家乡代理根密钥的方法 | |
| CN101094066A (zh) | 一种移动ip密钥的产生及分发方法 | |
| Asokan et al. | AAA for IPv6 network access | |
| US20170155649A1 (en) | New Diameter Signaling for Mobile IPv4 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20110420 Termination date: 20160720 |