CN101166351A - 基于mip实现用户注册的方法、装置及系统 - Google Patents
基于mip实现用户注册的方法、装置及系统 Download PDFInfo
- Publication number
- CN101166351A CN101166351A CNA2006101372416A CN200610137241A CN101166351A CN 101166351 A CN101166351 A CN 101166351A CN A2006101372416 A CNA2006101372416 A CN A2006101372416A CN 200610137241 A CN200610137241 A CN 200610137241A CN 101166351 A CN101166351 A CN 101166351A
- Authority
- CN
- China
- Prior art keywords
- mobile node
- authentication
- network side
- mip
- message
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Mobile Radio Communication Systems (AREA)
Abstract
本发明涉及一种基于MIP实现用户注册的方法、装置及系统。本发明主要包括:网络侧收到移动节点发来的MIP(移动互联网协议)注册消息后,触发执行移动节点与网络侧之间的认证操作,并根据认证操作结果进行移动节点的注册处理,完成基于MIP的用户注册操作。本发明的实现使得基于MIP的移动节点的接入过程不再局限于由移动节点首先发起认证过程,并在认证过程完成后进行MIP注册处理,而可以通过移动节点发起的MIP注册过程触发相应的认证处理过程,从而使得MIP注册的处理过程更为简洁,从而可以有效提高无线通信网络的通信性能。
Description
技术领域
本发明涉及通信技术领域,尤其涉及一种基于移动IP实现用户注册过程的技术。
背景技术
随着通信技术的快速发展,为了增强未来移动网络的竞争能力,3GPP的SAE(系统架构演进)形成了3GPP在下一阶段的主要研究发展方向。
SAE网络是多网络融合的网络架构,基于SAE网络,用户可以通过3GPP接入系统接入3GPP核心网络,也可以通过非3GPP接入网接入3GPP网络,所述的百在3GPP网络包括:WLAN(无线局域网),WiMAX(微波接入全球互通)系统等等。
SAE网络的参考架构如图1所示,S2接口为用户通过非3GPP接入网接入3GPP网络的接口。
当用户通过非3GPP接入网接入SAE网络时,用户和网络设备之间必须通过有效的相互鉴权才能有效的保证通讯安全。
目前,当用户通过非3GPP接入网接入3GPP网络时,MIP(移动IP)接入技术就成为业界认可的发展趋势。在基于MIP接入技术的应用环境下,用户与网络设备之间的相互鉴权处理主要包括采用AKA(Authentication andKey agreement,鉴权和密钥协商)鉴权的处理方式。
基于EAP-AKA(基于扩展认证协议的AKA)的HA注册认证过程包括:首先,基于EAP(扩展认证协议)完成MN与HA(家乡代理)之间的AKA认证流程;之后,通过EAP-AKA认证流程获得SA(安全联盟),之后,MN使用SA完成MN与HA之间的MIP注册流程。
目前,提供的基于MIP的注册的主要实现过程如图2所示,包括:
步骤21:MN收到消息确认HA可以进行AKA认证流程;
例如,MN收到了EAP-Request(EAP请求)消息,便可以执行步骤22,开始进行AKA认证处理;
当然,在此之前MN已经获得了IP地址,完成了接入网接入流程。
步骤22:MN向HA发送AAA(鉴权、认证、计费)认证请求的EAP消息;
例如,所述的EAP消息可以为EAP-Request消息;
所述的EAP消息可以包含有:EAP Identity(EAP标识),以及用户NAI(网络接入标识),如IMSI@reaIm;
HA收到所述的EAP认证请求消息后,则执行步骤23,进行认证向量的获取操作,所述的认证向量具体可以为:
(1)在UMTS(通用移动通信系统)中,为认证五元组,具体包括:RAND(随机数),XRES(期望响应值),AUTN(认证令牌),CK(加密密钥),以及IK(完整性密钥);
(2)在GSM系统中,为认证三元组,具体包括:RAND,SPES,以及Kc(加密密钥);
需要说明的是,如果HA具有预先存储可用的Authentication vector(认证向量),那么不再执行步骤23和步骤24,而直接执行步骤25即可。
步骤23:若HA没有预先存储有可用的认证向量,则MN需要向认证中心认证装置发送鉴权信息请求消息,以请求获得相应的认证向量;
所述的鉴权信息请求消息可以为:发送认证请求消息SendAuthentication Info去获取认证向量;
所述的认证中心认证装置可以为HSS(归属用户服务器)/AAA(鉴权、认证、计费)功能实体;
步骤24:AuC(鉴权认证中心)将认证向量(五元组或三元组)通过发送鉴权信息确认Send Authentication Info Ack消息发给HA;
当HA收到从认证装置返回的Send Authentication Info Ack消息后,便可以从消息中获得相应的认证向量,以获取五元组认证参数信息为例,根据获得五元组,计算AT_RAND(随机数数值),AT_AUTN(鉴权向量),和AT_MAC(消息鉴权向量);
而且,在HA中还需要计算和保存AT_RES(期望响应值)和K(SessionKey,会话密钥)值作为后续认证使用。
步骤25:HA生成EAP-Request/AKA-Challenge(带有AKA挑战码的EAP请求)消息,并将所述的消息发给MN,所述的消息中还携带着所述的AT_RAND、AT_AUTN和AT_MAC参数。
步骤26:当MN收到HA发过来的EAP-Request/AKA-Challenge消息后,对网络侧进行认证处理;
所述的对网络侧进行认证处理的过程包括:MN比较自身保存的AT_AUTN值与EAP-Request/AKA-Challenge消息携带的AT_AUTN参数值是否匹配,如果匹配,确定EAP-Request/AKA-Challenge成功认证,否则,认证失败;
另外,MN还需要根据AKA算法计算出AT_RES和K值,并在成功认证后,MN保存K参数值作为后续与HA的SA(安全联盟),且发送EAP-Response/AKA-Challenge(带有AKA挑战码的EAP响应)消息给HA,所述的消息中还携带AT_RES和AT_MAC参数。
步骤27:HA收到EAP-Response/AKA-Challenge消息后,根据消息中的信息对MN进行认证处理;
具体可以为:将自身保存的AT_RES参数与消息中的AT_RES参数进行比较,如果两参数匹配,则确认认证成功,在HA与MN之间生成有效的SA,并发送认证成功消息给MN,否则,确认认证失败。
步骤28:MN根据新生成的SA向发起MIP注册请求;
所述的MIP注册请求具体可以为:
对于IPV4网络为:MIP Registration Request(MIP注册请求)消息;
对于IPv6网络为:Binding Update(绑定更新)消息。
步骤29:HA收到来自MN的MIP注册请求,根据新生成的SA完成MIP注册过程,将MIP注册响应消息发给MN;
对于IPv4系统,所述的MIP注册响应消息为:MIP Registration Reply(MIP注册响应)消息;
对于IPv6系统,所述的MIP注册响应消息为:Binding Acknowledgement(绑定确认)消息。
在上述处理过程中,用户(即MN)与网络侧鉴权认证处理过程是由用户发起,然后,对于通过认证的用户再进行MIP注册等后续处理流程。因此,上述基于MIP实现用户注册的实现方案的整个处理过程较为复杂,复杂的处理过程必然会对网络的通信性能产生负面影响。
发明内容
本发明的目的是提供一种基于MIP实现用户注册的方法、装置及系统,从而可以使得基于MIP的用户实现注册处理的过程大大简化,从而便于提高无线通信网络的通信性能。
本发明的目的是通过以下技术方案实现的:
本发明提供了一种基于MIP实现用户注册的方法,包括:
网络侧收到移动节点发来的移动互联网协议MIP注册消息后,触发执行移动节点与网络侧之间的认证操作;
完成所述认证操作后,对移动节点进行MIP注册处理,完成针对移动节点的MIP注册操作。
所述的执行移动节点与网络侧之间的认证操作包括:
网络侧收到移动节点发送的MIP注册消息后,将网络侧的认证参数信息发送给移动节点,并由移动节点根据所述的网络侧的认证参数信息对网络侧进行认证;
移动节点完成对网络侧的认证后,向网络侧发送移动节点的认证参数信息,并由网络侧根据所述的移动节点的认证参数信息对移动节点进行认证。
所述的将网络侧的认证参数信息发送给移动节点的处理包括:
网络侧具体通过MIP注册响应消息或绑定更新请求消息或鉴权请求消息将网络侧的认证参数信息发送给移动节点。
所述的网络侧发送移动节点的认证参数信息的处理包括:
网络侧的家乡代理HA收到移动节点的MIP注册消息后,将自身保存的网络侧的认证参数信息发送给移动节点;
或者,
网络侧的HA收到移动节点的MIP注册消息后,利用移动节点的身份信息向网络侧的认证服务器请求获取相应的网络侧的认证参数信息,并发送给移动节点。
所述的网络侧根据所述的移动节点的认证参数信息对移动节点进行认证的处理包括:
网络侧的HA收到移动节点发来的移动节点的认证参数信息后,将所述的认证参数信息发送给认证服务器,并由认证服务器对移动节点进行认证;
或者,
网络侧的家乡代理HA收到移动节点发来的移动节点的认证参数信息后,直接对移动节点进行认证。
所述的对移动节点进行MIP注册处理包括:
移动节点向网络侧发送用于进行注册处理消息,网络侧收到所述消息并完成对该移动节点的MIP注册处理后,向移动节点返回MIP注册响应。
所述的方法还包括网络侧向移动节点发起重认证处理,具体包括:
网络侧的HA向移动节点发起重认证,HA与移动节点之间进行信息交互,实现网络侧与移动节点之间的重认证操作;
或者,
网络侧的认证处理实体通过HA向移动节点发起重认证,且认证处理实体通过HA与移动节点之间进行信息交互,实现网络侧与移动节点之间的重认证操作。
所述的方法还包括移动节点发起重认证处理,具体包括:
网络侧完成对移动节点的认证处理后,将新的网络侧的认证参数发送给所述的移动节点;
移动节点在确定需要进行重认证后,利用所述的新的网络侧的认证参数对网络侧进行认证,并触发执行后续网络侧对移动节点的认证处理。
所述的网络侧包括基于IPv6的网络或基于IPv4的网络的接入网络,以及作为核心网络的第三代合作伙伴3GPP网络。
本发明还提供了一种基于MIP实现用户注册的装置,包括:
MIP注册消息接收单元,用于接收移动节点发来的MIP注册消息,并在收到所述MIP注册消息后,通知认证触发单元;
认证触发单元,用于根据MIP注册消息接收单元的通知,触发移动节点与网络侧之间的认证处理;
网络侧认证处理单元,用于在收到移动节点发送的MIP注册消息后将网络侧的认证参数信息发送给移动节点,并根据收到移动节点的认证参数对移动节点进行认证处理;
MIP注册处理单元,用于在移动节点与网络侧之间完成认证操作后,进行移动节点的MIP注册处理,完成针对移动节点的MIP注册处理。
所述的网络侧认证处理单元设置于网络侧的HA或认证处理实体中,且当设置于认证处理实体中时,由HA中转传递移动节点与认证处理实体之间交互的信息。
本发明所述的装置还包括网络侧重认证处理单元,设置于网络侧的HA或认证处理实体中,用于在网络侧与移动节点之间进行信息交互,实现网络侧与移动节点之间的重认证操作。
本发明还提供了一种移动节点,包括:
MIP注册发起单元,用于直接向网络侧发送MIP注册消息,以发起MIP注册处理过程;
移动节点认证处理单元,用于根据收到的网络侧的认证参数信息对网络侧进行认证,并将认证结果及移动节点的认证参数发送给网络侧。
所述的移动节点还包括移动节点重认证处理单元,用于获取网络侧在完成对移动节点的认证处理后发来的新的网络侧的认证参数,并在确定需要进行重认证后,利用所述的新的网络侧的认证参数对网络侧进行认证,并触发执行网络侧对移动节点的重认证处理。
本发明还提供了一种基于MIP实现用户注册的系统,其特征在于,包括所述的基于MIP实现用户注册的装置和移动节点,当所述的基于MIP实现用户注册的装置接收到移动节点发送的MIP注册消息后,触发所述基于MIP实现用户注册的装置与移动节点之间进行交互,实现移动节点与网络侧之间的认证操作,并在完成认证操作后,继续进行针对移动节点的MIP注册处理,完成对移动节点的MIP注册操作。
所述的基于MIP实现用户注册的装置设置于网络侧,且所述网络侧包括:基于IPv6的网络或基于IPv4的网络的接入网络,以及作为核心网络的3GPP网络。
由上述本发明提供的技术方案可以看出,本发明的实现使得基于MIP的用户注册处理过程不再局限于由移动节点首先发起认证过程,并在认证过程完成后进行MIP注册处理,而是可以通过移动节点发起的MIP注册过程触发所述认证处理过程,从而使得移动节点实现MIP注册处理的实现过程更为简洁,从而可以有效提高MIP注册处理的效率,进而提高无线通信网络的通信性能。
附图说明
图1为SAE网络的结构示意图;
图2为现有技术中基于MIP的实现MN注册的处理过程示意图;
图3为本发明提供的第一方案的具体处理过程示意图一;
图4为本发明提供的第一方案的具体处理过程示意图二;
图5为在第一方案中网络侧发起的用户重认证的处理过程示意图;
图6为本发明提供的第二方案的具体处理过程示意图;
图7为在第二方案中网络则发起的用户重认证的处理过程示意图;
图8为本发明所述的装置及系统的具体实现结构示意图。
具体实施方式
本发明的实现主要是为了实现通信系统灵活简洁高效的实现基于MIP实现用户注册的方案。本发明具体通过提出更加简洁有效的认证机制,即通过MIP注册消息触发实现相应的认证过程,进而实现MN快速接入3GPP网络等采用MIP技术的网络。例如,可以通过MIP注册消息或绑定更新请求消息携带AKA认证参数来完成AKA认证流程。另外,本发明还提出以由网络侧(如HA等)在特定条件下(如网络侧检测到认证参数已经超时等)发起AKA重认证处理机制,以增加处理过程的灵活性。
下面将结合附图对本发明提供的第一方案的具体实现过程进行说明,在该第一方案中,HA中保存认证向量,即可以对MN进行认证处理,因此,MIP注册消息触发相应的认证过程,MN完成对网络侧的认证后,当HA收到MN发来的MN的认证参数时,则HA直接对MN的认证处理。
所述的第一方案具体可以采用如图3所示的实施例一的处理方案或图4所示的实施例二的处理方案。
在该第一方案中,所述的实施例一的具体处理流程如图3所示,主要包括以下步骤:
步骤31:MN向HA发送MIP注册请求,请求中包括MN的NAI(网络接入标识)信息;
对于IPV4网络,所述MIP注册请求为:Registration Request(注册请求)消息;
对于IPv6网络,所述MIP注册请求为:Binding Update(绑定更新)消息;
由于MN还没有MN与HA之间的SA,因此,HA中还没有可用的SA,这就需要HA发起AKA协商流程获得可用的SA,为此,HA首先需要获得可用的Authentication Vector,即后续的执行步骤32和步骤33;
在该步骤中,若HA具有预先存储可用的Authentication vector,则无需执行步骤32和步骤33,而直接执行步骤34即可。
步骤32:由于HA没有预先存储有可用的认向量,故HA需要向认证装置(即认证服务器,例如HSS/AAA)发送认证请求消息Send AuthenticationInfo,以便于获取认证向量,认证装置将认证向量(五元组或三元组)通过Send Authentication Info Ack消息发给HA。
步骤33:当HA收到从认证装置返回的Send Authentication Info Ack消息,从中获得的认证向量时,选取其中一个五元组,其中包括:RAND和AUTN。
步骤34:由于HA收到MN的MIP注册消息没有可用的SA,所以,HA向MN发起Authentication Request消息携带认证参数给MN;
所述的消息中携带的认证参数包括:RAND和AUTN。
步骤35:MN向HA发送鉴权响应Authentication Response消息给,所述的消息中携带着MN的认证参数,所述的认证参数可以为:RES;
具体为:当MN收到HA发过来的Authentication Request消息后,依据消息中携带的认证参数,完成MN对网络的认证,MN保存相关参数值作为后续与HA的SA,并向HA返回响应消息;
步骤36:HA收到带有Authentication Response消息后,执行认证计算,比较对应参数,如果参数匹配,则说明认证成功,否则认证失败。如果认证成功,HA与MN之间生成有效的SA。HA再完成MIP注册处理,发送MIP注册成功消息给MN。
在该第一方案中,所述的实施例二的具体处理流程如图4所示,主要包括以下步骤:
步骤41:MN向HA发送MIP注册请求消息或绑定更新消息,所述的消息中包括MN的NAI;
由于MN还没有MN与HA之间的SA,故HA需要发起AKA协商流程获得可用的SA,为此,HA首先要获得可用的认证向量,即Authentication Vector;
如果HA具有预先存储可用的Authentication vector,则直接应用并执行步骤44即可,否则,需要执行步骤42和步骤43,以获取Authenticationvector;
步骤42:HA向认证装置(例如HSS/AAA)发送认证请求消息SendAuthentication Info,以请求获取相应的认证向量,AuC将认证向量(五元组或三元组)通过Send Authentication Info Ack消息发给HA。
步骤43:当HA收到从认证装置返回的Send Authentication Info Ack消息,获得相应的认证向量;
以获取相应的五元组作为认证向量为例,根据认证向量计算AT_RAND和AT_AUTN,HA还需要计算和保存AT_RES和K值作为后续认证使用;
步骤44:由于HA收到MN的MIP注册消息没有可用的SA,HA生成可以携带AKA参数的消息发送给MN,例如,具体可以通过BRR消息或MIP注册失败响应消息,当然也可以利用其他消息进行AKA参数的承载传送;
所述的消息中携带的AKA参数包括:RAND和AUTN;
下面以BRR消息为例,即通过BRR消息的扩展字携带AKA参数:AT_RAND和AT_AUTN;根据BRR消息格式定义,携带AKA参数的扩展字的BRR消息格式如表1所示:
表1
Information element | Presence(M/Con/O) | Range(octet) | |
Mobility Header | |||
>Payload proto | M | ||
>Header Len | M | ||
>MH Type | M | ||
>Reserved | M | ||
>Mobility Option | O | ||
>>Option Type | O | 1 | |
>>Option Length | O | 1 | |
>>AT_RAND | O | 16 | |
>>AT_AUTN | O | 16 |
步骤45:当MN收到HA发过来的BRR消息后,根据消息中承载的认证参数对MN进行认证处理;
该步骤的具体处理过程可以为:
MN收到HA发来的BRR消息后,根据移动性扩展字Mobility Option的扩展字的类型Option Type,确定该消息是携带AKA参数扩展字的BRR消息;并依据消息中携带的AKA参数:AT_RAND和AT_AUTN,还按照AKA算法计算出AT_RES和K值;
MN比较自身运算确定的AT_AUTN值(具体为根据RAND运算确定)与BRR消息携带的AT_AUTN参数值是否匹配,如果匹配(即相同),确定对HA成功认证,否则,确定认证失败;
若对HA成功认证,则MN保存K参数值作为后续与HA的SA,且再次发起MIP注册请求,即向HA发送MIP Registration Request消息,所述的消息扩展字携带AT_RES;
根据IPv6的MIP注册请求消息或BU的消息格式定义,AKA参数的扩展字的BU消息格式如表2所示:
表2
Information element | Presence(M/Con/O) | Range | |
Mobility Header | |||
>Payload proto | M | ||
>Header Len | M | ||
>MH Type | M | ||
>Sequence# | M | ||
>AHLK | M | ||
>Reserved | M | ||
>Lifetime | M | ||
>Mobility Option | O | ||
>>Option Type | O | 1 | |
>>Option Length | O | 1 | |
>>AT_RES | O | 16 |
步骤46:HA收到MN发来的带有AKA认证参数扩展字的MIP注册请求消息后,对MN进行认证处理,并返回MIP注册响应消息;
该步骤的具体处理方式可以为:
HA收到所述的AKA认证参数后,执行AKA计算,比较对应AT_RES参数,如果参数匹配,则确定认证成功,否则,确定认证失败;
如果认证成功,HA与MN之间生成有效的SA,并向MN发送MIP注册成功消息,完成MIP注册处理过程。
在该第一方案中,同样,还包括网络侧发起重认证处理的过程。具体为由网络侧发起MIP重注册消息携带AKA参数来触发重认证处理流程,通过MIP注册消息的扩展字携带AKA认证参数来完成网络侧发起的用户重认证处理流程,如图5所示,相应的重认证处理流程包括以下步骤:
步骤51:当HA确定需要发起重认证时,则向MN发送触发重认证处理过程的消息,如向MN发送注册更新请求registration refresh request消息或绑定更新请求消息等;
具体为:当HA对于在线MN判定,发现出现认证超时等需要重认证的情况时,则确定MN需要重认证,此时,若没有收到来自MN的认证请求,便需要选择一个认证向量Authentication Vector,通过由HA向MN发送的消息的扩展字携带认证向量中的AKA参数:AT_RAND和AT_AUTN,以将相应的参数发送给MN;
步骤52:当MN收到HA发过来的绑定更新请求消息或注册更新请求消息后,向HA发起MIP注册请求,执行相应的重认证过程;
该步骤的具体处理过程可以为:
当MN收到HA发过来的绑定更新请求消息或BRR消息后,根据移动性扩展字Mobility Option的扩展字类型Option Type,确定该消息是携带AKA参数扩展字的BRR消息,则依据消息中携带的AKA参数:AT_RAND和AT_AUTN,按照AKA算法计算出AT_RES和K值;
比较自身运算确定的AT_AUTN值与BRR消息携带的AT_AUTN参数值是否匹配,如果匹配,确定MN对HA成功认证,否则认证失败;
如果成功认证,MN保存K参数值作为后续与HA的SA;同时,MN还需要再次发起MIP注册请求,即发送Registration Request消息给HA,通过该消息扩展字携带AT_RES参数;
步骤53:HA收到MN发来的带有AKA认证参数扩展字的MIP注册请求消息后,对MN进行认证处理,并向MN返回响应消息;
具体为:HA收到带有AKA认证参数扩展字的MIP注册请求消息后,执行AKA计算,比较对应AT_RES参数,如果参数匹配,则确认对MN的认证成功,否则,确认对MN的认证失败;如果认证成功,HA与MN之间生成有效的SA,HA向MN发送MIP注册成功消息,以完成MIP注册处理过程。
可以看出,经过上述步骤51至步骤53的处理,便可以实现网络侧发起的重认证处理过程。
下面将结合附图对本发明提供的第二方案的具体实现过程进行说明,在该第二方案中,HA不保存认证向量,因此,MIP注册消息触发相应的认证过程,MN完成对网络侧的认证后,当HA收到MN发来的MN的认证参数时,则HA将相应的认证参数发送给认证处理实体,或者称为认证装置,如HSS/AAA,并由相应的认证处理实体实现对MN的认证处理。
该第二方案具体可以采用如图6所示的实施例的处理方案,在该实施例中,具体可以通过MIP注册消息的扩展字携带EAP Payload来完成用户发起的用户与网络之间的认证流程,具体可以包括如下步骤:
步骤61:MN向HA发送MIP注册请求消息或绑定更新消息;
由于MN还没有MN与HA之间的SA,因此,HA收到所述消息后需要发起鉴权协商流程获得可用的SA;
而且,由于HA不保存认证向量,故HA需要通过认证装置(如HSS/AAA)完成网络对用户的鉴权认证;
步骤62:HA向认证装置发送EAP认证请求消息,消息中携带着MN的NAI,认证装置收到所述的EAP认证请求消息后,完成针对该MN的认证初始化处理,确定相应的认证参数信息;
步骤63:认证装置完成认证初始化处理后,通过EAP Ack消息携带所述的认证参数,并发送给HA;
步骤64:HA收到所述的EAP Ack消息后,生成可以携带EAP Payload(EAP有效载荷)的消息,其中,所述的EAP Payload包含所述认证参数;
HA将生成的包含有EAP Payload的消息发送给MN,例如,HA具体可以通过绑定更新请求(即BRR消息)消息或MIP注册失败响应消息承载所述的EAP Payload,并发送给MN;
下面以采用绑定更新请求消息(即BRR消息,Binding RefreshRequest)为例进行具体说明,即通过BRR消息的扩展字携带EAPPayload,EAP Payload中包含着网络对用户的认证参数;根据BRR消息格式定义,携带EAP Payload的扩展字的BRR消息格式如表3所示:
表3
Information element | Presence(M/Con/O) | Range(octet) |
Mobility Header | ||
>Payload proto | M | |
>Header Len | M | |
>MH Type | M | |
>Reserved | M | |
>Mobility Option | O | |
>>Option Type | O | 1 |
>>Option Length | O | 1 |
>>EAP Payload | O | 16 |
步骤65:当MN收到HA发过来的包含有EAP Payload的消息后,根据EAP Payload包含的认证参数对网络进行认证处理;
以表3所示的绑定更新请求消息为例,MN根据移动性扩展字MobilityOption的扩展字的类型Option Type,确定该消息是携带的EAP Payload,并解开EAP Payload获得相应的认证参数;之后,依据消息中携带的认证参数完成用户对网络的鉴权认证处理;
在该步骤中,如果成功认证,MN将保存生成的K参数值作为后续与HA的SA;MN再次发起MIP注册请求,发送MIP Registration Request消息给HA,通过该消息扩展字携带EAP Payload,其中,EAP Payload包含有EAP认证参数;
根据IPv6的MIP注册请求消息(即BU,绑定更新)的消息格式,EAPPayload扩展字的BU消息格式如表4所示:
表4
Information element | Presence(M/Con/O) | Range |
Mobility Header | ||
>Payload proto | M | |
>Header Len | M | |
>MH Type | M | |
>Sequence# | M | |
>AHLK | M | |
>Reserved | M | |
>Lifetime | M | |
>Mobility Option | O | |
>>Option Type | O | 1 |
>>Option Length | O | 1 |
>>EAP Payload | O | 16 |
步骤66:HA收到带有EAP Payload扩展字的MIP注册请求消息后,将消息中携带的包含有认证参数的EAP Payload通过认证请求EAP Request消息发送给认证装置(如HSS/AAA),消息中还携带有MN的NAI;
认证装置(HSS/AAA)收到消息后,根据NAI找到对应的认证向量,执行鉴权认证计算,完成网络对MN的认证;
步骤67:认证装置(HSS/AAA)通过EAP Ack消息将AKA认证结果发送给HA;
步骤68:HA收到来自认证装置(HSS/AAA)的认证结果,如果认证成功,HA与MN之间生成有效的SA,并完成MIP注册处理,向MN发送MIP注册成功消息给MN。
在上述处理过程中,由于EAP鉴权认证处理过程可能存在多次交互过程,因此,所述的步骤63到步骤66可以存在多次交互执行。
本发明提供的第二方案中,还包括网络侧认证装置HSS/AAA发起重认证的处理过程,具体包括:通过MIP注册消息的扩展字携带EAP Payload来完成网络侧发起的用户重认证流程,HA不保存认证向量和也不进行鉴权运算。
由于HA不保存认证向量也不进行鉴权运算,所以认证装置HSS/AAA可以采用PUSH模式进行重认证处理,相应的重认证处理流程如图7所示,具体可以包括如下步骤:
步骤71:认证装置向HA发送重认证请求消息,消息中携带着网络侧的认证参数信息;
具体为:当认证装置HSS/AAA对于在线MN判定,发现由于认证超时等原因导致MN需要执行重认证,但是,还没有收到来自MN的认证请求时,则HSS/AAA选定一组五元组或三元组可用认证向量,计算AT_RAND,以及AT_AUTN和AT_MAC,还计算获得AT_RES和K值并保存,以作为后续认证使用;
HSS/AAA发送EAP_AKA消息给HA,消息中携带认证参数:AT_RAND和AT_AUTN;
步骤72:HA收到来自HSS/AAA的消息中携带的AKA认证参数EAPPayload后,发送给MN;
具体为:HA不解析HSS/AAA发来的消息中携带的EAP Payload中的认证参数,而是直接生成可以携带EAP参数的消息发送给MN,例如,通过BRR消息或MIP注册失败响应消息发送给MN,以利用BRR消息为例进行具体说明,具体通过BRR消息的扩展字EAP Payload携带需要发送给MN的认证参数。
步骤73:当MN收到HA发过来的BRR消息后,对网络侧进行认证处理;
该步骤的具体处理过程为:
MN根据收到的BRR消息中的移动性扩展字Mobility Option的扩展字类型Option Type,确定该消息是携带包含认证参数的EAP Payload扩展字的BRR消息;之后,解开EAP Payload,获得其中所包含的AKA认证参数AT_RAND和AT__AUTN,并按照AKA算法计算出AT_RES和K值;
MN比较AT_AUTN值与BRR消息携带的AT_AUTN参数值是否匹配,如果匹配,确定MN对网络侧成功认证,否则,确认认证失败;
如果成功认证,MN保存K参数值作为后续与HA交互的SA,还将认证结果AT_RES作为MN的认证参数封装于MIP Registration Request消息中的扩展字EAP Payload中,并利用该MIP注册消息再次发起MIP注册请求;
步骤74:HA收到带有EAP Payload扩展字的MIP注册请求消息后,将消息中携带的EAP Payload通过认证请求消息通过EAP-AKA Ack消息送给HSS/AAA;
步骤75:HSS/AAA收到EAP-AKA Ack消息后,利用其中的MN的认证参数对MN进行认证,通过EAP-AKA Ack消息将AKA认证结果发送给HA;
具体的认证过程为:根据其中所携带的NAI找到对应的认证向量,执行AKA计算,比较对应AT_RES参数,如果参数匹配,则说明重认证成功,否则重认证失败;
步骤76:HA收到来自HSS/AAA的AKA认证结果,如果认证成功,HA与MN之间生成有效的SA,向MN发送MIP注册成功消息,完成MIP注册处理。
本发明中,还可以在一次MIP注册过程成功完成时,HA选择一个新的AKA认证参数,如五元组或三元组,并在注册成功消息的扩展字中携带相应的AT_RAND和AT_AUTN,以便于将AKA参数传送给MN。MN收到后,将新的AKA参数(即AT_RAND和AT_AUTN)保存起来;当MN的MIP Iifetime(MIP生存时间)超时,而需要再次发起MIP注册(即执行重认证处理)时,在MIP注册请求消息的扩展字携带AKA认证参数AT_RES给HA,以便于网络侧对MN进行重认证处理,并通过扩展字将认证结果(认证成功)返回给MN。另外,还需要通过扩展字携带新的AKA认证五元组或三元组参数给MN,以便MN执行下一次的AKA认证,依此类推,进行MN与网络侧之间的相应认证处理过程。
本发明还提供了一种基于MIP实现用户注册的系统,其具体实现结构如图8所示,主要包括设置于网络侧的基于MIP实现用户注册的装置和移动节点,当所述的基于MIP实现用户注册的装置接收到移动节点发送的MIP注册消息后,触发所述基于MIP实现用户注册的装置与移动节点之间进行交互,实现移动节点与网络侧之间的认证操作,并在完成认证操作后,继续进行针对移动节点的MIP注册处理,完成对移动节点的MIP注册操作。
下面将分别对所述的基于MIP实现用户注册的装置和移动节点的具体功能结构进行介绍:
(一)所述的基于MIP实现用户注册的装置,通常设置于网络侧,具体包括MIP注册消息接收单元、认证触发单元、网络侧认证处理单元和MIP注册处理单元,其中:
(1)MIP注册消息接收单元,用于接收移动节点发来的MIP注册消息,并在收到所述MIP注册消息后,通知认证触发单元;
(2)认证触发单元,用于根据MIP注册消息接收单元的通知,触发移动节点与网络侧之间的认证处理;
(3)网络侧认证处理单元,用于在收到移动节点发送的MIP注册消息后将网络侧的认证参数信息发送给移动节点,并根据收到移动节点的认证参数对移动节点进行认证处理;
其中,所述的网络侧认证处理单元具体可以设置于网络侧的HA或认证处理实体中,且当设置于认证处理实体中时,还需要由HA中转传递移动节点与认证处理实体之间交互的信息;
(4)MIP注册处理单元,用于在移动节点与网络侧之间完成相应的认证操作后,进行移动节点的MIP注册处理,即执行移动节点到网络侧的注册处理过程,完成相应的MIP注册处理。
所述的网络侧认证处理单元具体采用的认证处理方式在前面各个实施例中已经描述,故在此不再详述。
本发明所述的装置中还可以包括网络侧重认证处理单元,该单元具体可以设置于网络侧的HA或认证处理实体中,用于在网络侧与移动节点之间进行信息交互,实现网络侧与移动节点之间的重认证操作;
(二)所述的移动节点,具体可以包括MIP注册发起单元和移动节点认证处理单元,其中:
所述的MIP注册发起单元,用于直接向网络侧发送MIP注册消息,以发起MIP注册处理过程,即在确定需要发起针对移动节点的MIP注册处理后,直接向网络侧发送MIP注册消息。
所述的移动节点认证处理单元,用于根据收到的网络侧的认证参数信息对网络侧进行认证,并将认证结果及移动节点的认证参数返回网络侧认证处理单元;
所述的移动节点认证处理单元具体采用的认证处理方式在前面各个实施例中已经描述,故在此不再详述。
在本发明提供的移动节点中还可以包括移动节点重认证处理单元,其中,所述的移动节点重认证处理单元设置于移动节点中,用于获取网络侧在完成对移动节点的认证处理后发来的新的网络侧的认证参数,并在确定需要进行重认证后,利用所述的新的网络侧的认证参数对网络侧进行认证,并触发执行网络侧对移动节点的重认证处理。
本发明所述的系统中,相应的网络侧可以但不限于包括:基于IPv6的网络或基于IPv4的网络的接入网络,以及作为核心网络的3GPP网络。以上所述,仅为本发明较佳的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应该以权利要求的保护范围为准。
Claims (16)
1.一种基于MIP实现用户注册的方法,其特征在于,包括:
网络侧收到移动节点发来的移动互联网协议MIP注册消息后,触发执行移动节点与网络侧之间的认证操作;
完成所述认证操作后,对移动节点进行MIP注册处理,完成针对移动节点的MIP注册操作。
2.根据权利要求1所述的方法,其特征在于,所述的执行移动节点与网络侧之间的认证操作包括:
网络侧收到移动节点发送的MIP注册消息后,将网络侧的认证参数信息发送给移动节点,并由移动节点根据所述的网络侧的认证参数信息对网络侧进行认证;
移动节点完成对网络侧的认证后,向网络侧发送移动节点的认证参数信息,并由网络侧根据所述的移动节点的认证参数信息对移动节点进行认证。
3.根据权利要求2所述的方法,其特征在于,所述的将网络侧的认证参数信息发送给移动节点的处理包括:
网络侧具体通过MIP注册响应消息或绑定更新请求消息或鉴权请求消息将网络侧的认证参数信息发送给移动节点。
4.根据权利要求2所述的方法,其特征在于,所述的网络侧发送移动节点的认证参数信息的处理包括:
网络侧的家乡代理HA收到移动节点的MIP注册消息后,将自身保存的网络侧的认证参数信息发送给移动节点;
或者,
网络侧的HA收到移动节点的MIP注册消息后,利用移动节点的身份信息向网络侧的认证服务器请求获取相应的网络侧的认证参数信息,并发送给移动节点。
5.根据权利要求2所述的方法,其特征在于,所述的网络侧根据所述的移动节点的认证参数信息对移动节点进行认证的处理包括:
网络侧的HA收到移动节点发来的移动节点的认证参数信息后,将所述的认证参数信息发送给认证服务器,并由认证服务器对移动节点进行认证;
或者,
网络侧的家乡代理HA收到移动节点发来的移动节点的认证参数信息后,直接对移动节点进行认证。
6.根据权利要求1所述的方法,其特征在于,所述的对移动节点进行MIP注册处理包括:
移动节点向网络侧发送用于进行注册处理消息,网络侧收到所述消息并完成对该移动节点的MIP注册处理后,向移动节点返回MIP注册响应。
7.根据权利要求1至6任一项所述的方法,其特征在于,所述的方法还包括网络侧向移动节点发起重认证处理,具体包括:
网络侧的HA向移动节点发起重认证,HA与移动节点之间进行信息交互,实现网络侧与移动节点之间的重认证操作;
或者,
网络侧的认证处理实体通过HA向移动节点发起重认证,且认证处理实体通过HA与移动节点之间进行信息交互,实现网络侧与移动节点之间的重认证操作。
8.根据权利要求1至6任一项所述的方法,其特征在于,所述的方法还包括移动节点发起重认证处理,具体包括:
网络侧完成对移动节点的认证处理后,将新的网络侧的认证参数发送给所述的移动节点;
移动节点在确定需要进行重认证后,利用所述的新的网络侧的认证参数对网络侧进行认证,并触发执行后续网络侧对移动节点的认证处理。
9.根据权利要求1至6任一项所述的方法,其特征在于,所述的网络侧包括基于IPv6的网络或基于IPv4的网络的接入网络,以及作为核心网络的第三代合作伙伴3GPP网络。
10.一种基于MIP实现用户注册的装置,其特征在于,包括:
MIP注册消息接收单元,用于接收移动节点发来的MIP注册消息,并在收到所述MIP注册消息后,通知认证触发单元;
认证触发单元,用于根据MIP注册消息接收单元的通知,触发移动节点与网络侧之间的认证处理;
网络侧认证处理单元,用于在收到移动节点发送的MIP注册消息后将网络侧的认证参数信息发送给移动节点,并根据收到移动节点的认证参数对移动节点进行认证处理;
MIP注册处理单元,用于在移动节点与网络侧之间完成认证操作后,进行移动节点的MIP注册处理,完成针对移动节点的MIP注册处理。
11.根据权利要求10所述的装置,其特征在于,所述的网络侧认证处理单元设置于网络侧的HA或认证处理实体中,且当设置于认证处理实体中时,由HA中转传递移动节点与认证处理实体之间交互的信息。
12.根据权利要求10或11所述的装置,其特征在于,还包括网络侧重认证处理单元,设置于网络侧的HA或认证处理实体中,用于在网络侧与移动节点之间进行信息交互,实现网络侧与移动节点之间的重认证操作。
13.一种移动节点,其特征在于,包括:
MIP注册发起单元,用于直接向网络侧发送MIP注册消息,以发起MIP注册处理过程;
移动节点认证处理单元,用于根据收到的网络侧的认证参数信息对网络侧进行认证,并将认证结果及移动节点的认证参数发送给网络侧。
14.根据权利要求13所述的移动节点,其特征在于,还包括移动节点重认证处理单元,用于获取网络侧在完成对移动节点的认证处理后发来的新的网络侧的认证参数,并在确定需要进行重认证后,利用所述的新的网络侧的认证参数对网络侧进行认证,并触发执行网络侧对移动节点的重认证处理。
15.一种基于MIP实现用户注册的系统,其特征在于,包括权利要求10至12任一项提供的基于MIP实现用户注册的装置和权利要求13或14提供的移动节点,当所述的基于MIP实现用户注册的装置接收到移动节点发送的MIP注册消息后,触发所述基于MIP实现用户注册的装置与移动节点之间进行交互,实现移动节点与网络侧之间的认证操作,并在完成认证操作后,继续进行针对移动节点的MIP注册处理,完成对移动节点的MIP注册操作。
16.根据权利要求15所述的系统,其特征在于,所述的基于MIP实现用户注册的装置设置于网络侧,且所述网络侧包括:基于IPv6的网络或基于IPv4的网络的接入网络,以及作为核心网络的3GPP网络。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CNA2006101372416A CN101166351A (zh) | 2006-10-21 | 2006-10-21 | 基于mip实现用户注册的方法、装置及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CNA2006101372416A CN101166351A (zh) | 2006-10-21 | 2006-10-21 | 基于mip实现用户注册的方法、装置及系统 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN101166351A true CN101166351A (zh) | 2008-04-23 |
Family
ID=39334762
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CNA2006101372416A Pending CN101166351A (zh) | 2006-10-21 | 2006-10-21 | 基于mip实现用户注册的方法、装置及系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN101166351A (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2010102483A1 (zh) * | 2009-03-13 | 2010-09-16 | 中兴通讯股份有限公司 | 一种用户身份注册的方法和系统 |
CN102447702A (zh) * | 2011-12-28 | 2012-05-09 | 华为技术有限公司 | 基于策略的重认证方法和装置 |
-
2006
- 2006-10-21 CN CNA2006101372416A patent/CN101166351A/zh active Pending
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2010102483A1 (zh) * | 2009-03-13 | 2010-09-16 | 中兴通讯股份有限公司 | 一种用户身份注册的方法和系统 |
CN102447702A (zh) * | 2011-12-28 | 2012-05-09 | 华为技术有限公司 | 基于策略的重认证方法和装置 |
CN102447702B (zh) * | 2011-12-28 | 2016-03-30 | 华为技术有限公司 | 基于策略的重认证方法和装置 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11405780B2 (en) | Method for performing verification by using shared key, method for performing verification by using public key and private key, and apparatus | |
US9270672B2 (en) | Performing a group authentication and key agreement procedure | |
US9445272B2 (en) | Authentication in heterogeneous IP networks | |
US7626963B2 (en) | EAP/SIM authentication for mobile IP to leverage GSM/SIM authentication infrastructure | |
CN101127659B (zh) | 在WiMAX系统中实现用户鉴权控制移动终端上线方法 | |
US7546459B2 (en) | GSM-like and UMTS-like authentication in a CDMA2000 network environment | |
KR100762644B1 (ko) | Wlan-umts 연동망 시스템과 이를 위한 인증 방법 | |
EP1478204B1 (en) | Method and apparatus for performing authentication in a communications system | |
US9686669B2 (en) | Method of configuring a mobile node | |
CN101772020B (zh) | 鉴权处理方法和系统、3gpp认证授权计费服务器及用户设备 | |
US8433286B2 (en) | Mobile communication network and method and apparatus for authenticating mobile node in the mobile communication network | |
US8331287B2 (en) | Method and system for managing mobility in a mobile communication system using mobile internet protocol | |
US20070022476A1 (en) | System and method for optimizing tunnel authentication procedure over a 3G-WLAN interworking system | |
US20170230826A1 (en) | Authentication in a radio access network | |
US20070124587A1 (en) | Re-Keying in a Generic Bootstrapping Architecture Following Handover of a Mobile Terminal | |
WO2008088847A1 (en) | Solving pana bootstrapping timing problem | |
CN101166351A (zh) | 基于mip实现用户注册的方法、装置及系统 | |
CN110226319B (zh) | 用于紧急接入期间的参数交换的方法和设备 | |
US9485652B2 (en) | Method and system for managing mobility of mobile station in a mobile communication system using mobile IP | |
CN102014385A (zh) | 移动终端的认证方法及移动终端 | |
KR101025083B1 (ko) | 확장가능 인증 프로토콜에서의 인증함수 식별 방법 | |
WO2017132906A1 (zh) | 获取、发送用户设备标识的方法及设备 | |
WO2016065847A1 (zh) | WiFi分流的方法、装置及系统 | |
CN1909561B (zh) | 当会话异常终止时实现将ms去注册的方法 | |
Yoo et al. | Authentication mechanism of mobile IPv6 over wireless LAN in diameters |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
WD01 | Invention patent application deemed withdrawn after publication |
Open date: 20080423 |