CN101179845B - 家乡代理与外地代理间的密钥管理方法及系统 - Google Patents

家乡代理与外地代理间的密钥管理方法及系统 Download PDF

Info

Publication number
CN101179845B
CN101179845B CN2006101702524A CN200610170252A CN101179845B CN 101179845 B CN101179845 B CN 101179845B CN 2006101702524 A CN2006101702524 A CN 2006101702524A CN 200610170252 A CN200610170252 A CN 200610170252A CN 101179845 B CN101179845 B CN 101179845B
Authority
CN
China
Prior art keywords
parameter information
key parameter
network
entity
home agent
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
CN2006101702524A
Other languages
English (en)
Other versions
CN101179845A (zh
Inventor
梁文亮
吴建军
何贤会
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Huawei Technologies Co Ltd
Original Assignee
Huawei Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Huawei Technologies Co Ltd filed Critical Huawei Technologies Co Ltd
Priority to CN2006101702524A priority Critical patent/CN101179845B/zh
Priority to PCT/CN2007/071029 priority patent/WO2008055444A1/zh
Publication of CN101179845A publication Critical patent/CN101179845A/zh
Application granted granted Critical
Publication of CN101179845B publication Critical patent/CN101179845B/zh
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/061Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/043Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
    • H04W12/0431Key distribution or pre-distribution; Key agreement
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/043Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
    • H04W12/0433Key management protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W80/00Wireless network protocols or protocol adaptations to wireless operation
    • H04W80/04Network layer protocols, e.g. mobile IP [Internet Protocol]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W84/00Network topologies
    • H04W84/02Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
    • H04W84/10Small scale networks; Flat hierarchical networks
    • H04W84/12WLAN [Wireless Local Area Networks]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

本发明涉及一种家乡代理与外地代理间的密钥管理方法及系统。本发明应用于无线通信网络中,且具体采用的密钥管理方案中包括:对于处于拜访地网络中的家乡代理,由拜访地的密钥分配实体为该家乡代理分配密钥参数信息;对于处于家乡网络的家乡代理,由家乡网络的密钥分配实体为该家乡代理分配所述的密钥参数信息;其中,所述的密钥参数信息用于家乡代理与外地代理之间通信过程中。也就是说,当家乡代理处于拜访网络中时,本发明为其提供了相应的密钥参数信息的具体获得过程,从而使得外地代理与家乡代理间密钥的生成成为可能。因此,本发明的实现可以保证网络中可以家乡代理和外地代理之间信息的安全交互,有效提高了无线通信网络中通信的安全性能。

Description

家乡代理与外地代理间的密钥管理方法及系统 
技术领域
本发明涉及无线通信技术领域,尤其涉及一种无线通信系统中家乡代理与外地代理之间实现通信的方案。 
背景技术
随着无线通信技术的快速发展,为提高无线通信系统的安全性能,以满足移动用户的安全需要,在无线通信网络中采用的技术手段包括: 
1、设备鉴权、用户鉴权和服务授权等等; 
2、无线用户与AP(接入点)或BS(基站)之间的安全通道的建立,保密信息的交换; 
3、BS和Authenticator(鉴权者,或称鉴权器),以及鉴权者和鉴权服务器之间的保密通道的建立,保密信息的交换等等。 
下面将结合具体的网络架构体系对现有的网络的安全架构进行介绍。 
以微波接入全球互通(WiMAX)系统为例,相应的安全网络架构体系包括集中式和分布式两处,分别如图1和图2所示,其中: 
集中式的网络架构体系如图1所示,在图1中,Authenticator与BS位于不同的物理实体中,在Authenticator中实现了Authenticator和Key Distributor(密钥分配者)的功能。在BS中实现了Authentication Relay(鉴权中继)和Key Receiver(密钥接收方)的功能。 
分布式的网络架构体系如图2所示,在图2中,Authenticator与BS位于同一个物理实体中,该物理实体同时实现了Authenticator、Authenticator Relay、Key Distributor和Key Receiver的功能。 
下面将结合图1和图2,对WiMAX系统中涉及的各功能实体的具体功能作用进行解释说明。 
BS,用于提供BS和MS(用户)的安全通道,包括空口数据的压缩与加密,以及提供BS和MS之间的保密信息的交换; 
Authenticator,用于为MS认证、授权和计费功能提供proxy(代理)功能,并与Key Distributor在同一个物理实体里实现; 
Authenticator Relay,用于实现认证过程中认证请求和响应消息的中继; 
Key Distributor,用于与Authenticator在同一个物理实体里实现,根据Authentication服务器(如AAA服务器)提供的与MS之间对等的根密钥信息,产生BS和MS之间共享的空口密钥AK,并且分发到Key Receiver上。 
Key Receiver,用于在BS内实现,用于接收来自Key Distributor产生的空口密钥AK,并派生BS和MS之间的其它密钥。 
AAA Server,即Authentication服务器,用于实现MS认证、授权和计费功能。并且通过和MS之间的达成的密钥生成机制相互交换产生密钥所必需的信息。由于这些信息是在建立安全通道之前交换的,Authentication服务器和MS之间采用的密钥算法等都必须保证信息的泄漏并不对安全机制产生影响。主要功能包括:完成为MSS认证、授权和计费功能,产生并分发根密钥信息到Authenticator上,在用户信息产生变化后及时通知Authenticator和其他网元信息改变所产生的后果。 
MS,即移动用户设备,用于发起认证、授权;与Authentication服务器交换产生根密钥所需要的信息;以及自己产生根密钥;及自己根据根密钥产生空口上保密所需要的AK以及派生出来的其他密钥信息。 
同时,随着IP网络技术的快速发展,基于IP的无线通信技术,即MIP (移动IP)技术逐渐被广泛应用。 
MIP技术在具体实现过程中,涉及的功能实体包括:MN(移动节点,如MS)、FA(外地代理)和HA(家乡代理)。其中,MN经由FA向HA发起MIP注册请求;HA收到MIP注册请求以后,将MN的CoA(转交地址)地址和HoA(家乡地址)地址对应起来,之后,HA收到的所有目的地址是HoA的数据包均将被转发到CoA地址(在MIPv4中,CoA即为FA的地址)。 
为了保证MIP技术实现的安全性,在MIP消息中可以携带AE(认证扩展)信息;例如,携带MN-HA-AE(MN和HA之间的认证扩展)信息,这样,当HA收到一个携带MN-HA-AE的MIP注册请求后,HA便可以根据预先获知的密钥信息计算出一个本地认证值,然后和数据包携带的MN-HA-AE进行比较,若相同,则认证通过,处理MIP注册请求;否则,拒绝处理该MIP注册请求。 
仍以WiMAX系统为例,如图3所示,MIP技术应用于WiMAX系统中具体包括两种形式:CMIP(客户端移动IP)和PMIP(代理移动IP)。两种形式的具体应用为:对于支持MIP协议的终端,其工作于CMIP模式下;对于不支持MIP协议的终端,工作于PMIP模式下,即由网络侧创建一个PMIP-CIient(PMIP客户端)实例来实现MIP的功能。 
目前,为了保证所述的FA和HA之间实现安全信息交互,在该两实体之间需要采用相应的安全联盟素材,即FA与HA进行信息交换过程中需要应用相应的FA-HA-K(FA和HA之间的密钥)。其中,所述的FA-HA-K的密钥具体为根据HA-RK(HA根密钥)及SPI(安全参数索引)生成,所述的HA-RK和SPI具体可以由Authentication服务器生成。 
然而,在现有技术中,并没有解决以下技术问题: 
1、当HA处于不同网络(即拜访地网络或家乡网络)中时,无相应的密钥分配实现方案,例如,当HA处于拜访网络中时,相应的HA-RK及SPI的获得过程未实现; 
2、FA-HA-K的生命周期和PMK(终端相关的密钥)有关,这与FA-HA-K作为设备间密钥的特征相矛盾; 
3、当应用的HA-RK等到期时,未提供更新HA及FA/Authenticator(包括Authenticator的FA)中的HA-RK相关信息的实现方案; 
4、当FA发生迁移时,未提供新的FA获得相关密钥的实现方案。 
因此,目前还无法在无线通信网络中基于MIP技术实现具有安全性保证的通信实现方案。 
发明内容
本发明的实施例提供一种家乡代理与外地代理间的密钥管理方法及系统,从而可以保证即使HA处于拜访地网络中,仍可以保证网络中可以FA和HA之间信息的安全交互,有效提高了无线通信网络中通信的安全性能。 
本发明的实施例提供了一种家乡代理与外地代理间的密钥管理方法,该方法应用于无线通信系统中,该方法包括: 
若家乡代理处于拜访地网络,则由拜访地网络的密钥分配实体为该家乡代理分配家乡代理与外地代理之间通信应用的密钥参数信息; 
若家乡代理处于家乡网络,则由家乡网络的密钥分配实体为该家乡代理分配所述的密钥参数信息。 
本发明的实施例提供了一种家乡代理与外地代理间的密钥管理系统,应用于无线通信网络中,且该系统包括密钥分配实体,用于分配家乡代理与外地代理之间通信应用的密钥参数信息,所述的密钥分配实体具体包括: 
非本地家乡代理密钥分配单元,用于为作为非本地家乡代理的处于拜访地网络中的家乡代理分配所述密钥参数信息; 
本地家乡代理密钥分配单元,用于为作为本地家乡代理的处于家乡网络中的家乡代理分配所述密钥参数信息。 
一种密钥分配实体,应用于无线通信网络中,包括: 
非本地家乡代理密钥分配单元,用于为作为非本地家乡代理的处于拜访地网络中的家乡代理分配家乡代理与外地代理之间通信应用的密钥参数信息; 
本地家乡代理密钥分配单元,用于为作为本地家乡代理的处于家乡网络中的家乡代理分配所述密钥参数信息。 
一种AAA服务器,在该AAA服务器中设置有上述密钥分配实体。 
由上述本发明的实施例提供的技术方案可以看出,本发明的实施例具有以下有益效果: 
1、当HA处于不同网络(即拜访地网络或家乡网络)中时,仍可以实现密钥分配,例如,当HA处于拜访网络中时,仍可以实现相应的HA-RK及SPI的具体获得过程,从而使得相应的FA-HA-K的生成成为可能; 
2、消除了FA-HA-K的生命周期与PMK的相关性,解决了FA-HA-K作为设备间密钥却与终端相关的矛盾问题; 
因此,本发明提供的实施例可以保证网络中可以FA和HA之间信息的安全交互,有效提高了无线通信网络中通信的安全性能。 
附图说明
图1为现有技术中集中式架构体系的结构示意图; 
图2为现有技术中分布式架构体系的结构示意图; 
图3为现有技术中MIP在WiMAX系统中的具体实现结构示意图; 
图4为拜访地网络中HA获取密钥参数信息的实施例实现过程示意图; 
图5为本发明实施例中密钥参数信息更新的具体实现过程示意图一; 
图6为本发明实施例中密钥参数信息更新的具体实现过程示意图二; 
图7为本发明实施例的具体应用处理流程示意图; 
图8为本发明所述的系统的实施例的实现结构示意图; 
图9为本发明实施例中密钥参数信息更新的具体实现过程示意图三。 
具体实施方式
本发明提供了HA处于拜访地网络或家乡网络中时,可以采用的不同的密钥分配的实施例,即当HA处于拜访地网络中时,由拜访地网络中的密钥分配实体进行密钥参数信息的分配,当HA处于家乡网络中时,则由家乡网络中的密钥分配实体进行密钥参数信息的分配操作。 
其中,在HA位于拜访网络中时,具体为通过拜访地网络中的密钥分配实体为HA分配其与FA之间通信采用的密钥参数信息,所述的密钥参数信息包括HA-RK、SPI和生命周期,这样就可以保证分配给HA的密钥参数信息不会出现冲突,即避免由家乡代理网络中的密钥分配实体为HA分配的密钥参数信息,与拜访地网络中密钥分配实体为其他HA分配的密钥参数发生冲突;同时,还可以由密钥分配实体参数信息的有效期限进行统一管理。 
也就是说,对于FA-HA-K的有效性的管理完全由网络侧实现,具体为通过网络侧的密钥分配实体下发FA-HA-K的生命周期,这就使得FA-HA-K成为一个完全的设备间的密钥,即FA-HA-K的是否有效不再与终端相关,从而恢复了其作为网络设备间密钥应有的特性。 
本发明还提供了在用于生成FA-HA-K的HA-RK到期时,HA以及FA或者鉴权器更新HA-RK等密钥参数信息的实施例,从而为基于MIP技术的无线通信网络中提供了完全的密钥参数信息管理方案。具体可以为: 
对于家乡代理处于拜访地网络的情况,则HA、FA或鉴权器等需要进行密钥参数信息更新的实体作为发起方向所述的拜访地网络的密钥分配实体发起针对所述密钥参数信息的更新处理过程,重新触发所述的拜访地网络的密钥分配实体为该家乡代理分配密钥参数信息,以更新发起方实体或所有各相关实体(保存维护着密钥参数信息的各实体)中维护的密钥参数信息; 
对于家乡代理处于家乡网络的情况,则HA、FA或鉴权器等需要进行密钥参数信息更新的实体作为发起方向所述的家乡网络的密钥分配实体发起针对所述密钥参数信息的更新处理过程,重新触发所述家乡网络的密钥分配实 体为该家乡代理分配密钥参数信息,以更新发起方实体或所有各相关实体(保存维护着密钥参数信息的各实体)中维护的密钥参数信息。 
另外,本发明的实施例还提供了在FA迁移时,HA-RK等相关密钥参数信息的转发处理过程,保证了发生R3迁移后的,FA仍然可以获得其需要的HA-RK等密钥参数信息。 
下面将结合附图对本发明的实施例提供的各实现方案进行详细说明。 
(一)处于拜访地网络的HA或处于家乡网络的HA获得密钥参数信息的实现过程。 
由于漫游场景下分配的HA可以为拜访地的HA(处于拜访地网络中的HA),也可以为家乡的HA(处理家乡网络中的HA),因此,为了使得为各个HA分配的HA-RK及SPI等密钥参数信息不会发生冲突,本发明的实施例中设置: 
如果HA位于拜访地网络,则其需要的HA-RK及SPI等密钥参数信息由作为拜访网络中的密钥分配实体的拜访地网络的AAA服务器进行分配; 
如果HA位于家乡网络,则由作为家乡网络中的密钥分配实体的家乡网络中的AAA服务器进行密钥参数信息的分配。 
下面将对HA处于拜访地网络的情况下,相应的密钥参数信息分配的具体处理流程进行说明。如图4所示,相应的两种处理流程分别可以为: 
(1)参照图4所示,第一种处理流程包括: 
步骤41:为终端服务的Authenticator在EAP过程中通过拜访地的AAA服务器(即V-AAA)向家乡网络AAA服务器发起Access-Request请求; 
步骤42,拜访地的AAA服务器向家乡网络的AAA服务器(即HAAA)转发所述的Access-Request消息; 
在所述的Access-Request消息中携带着拜访地的HA(即V-HA)地址以及为其分配的HA-RK、SPI和生命周期等密钥参数信息;
步骤43:家乡网络的AAA服务器收到所述的Access-Request消息后,若由于策略或者其他原因为该终端分配了拜访地网络的HA地址,则向拜访地的AAA服务器发送Access-Accept消息; 
在在所述的Access-Accept消息中包括拜访地网络的HA地址,该HA地址可以为一个或多个HA地址,并在该消息中包括拜访地AAA服务器为相应的HA分配的HA-RK、SPI和生命周期等密钥参数信息; 
步骤44:拜访地AAA服务器收到所述的Access-Accept消息后,则通知Authenticator其为该HA分配的各密钥参数信息。 
至此,为所述终端服务的Authenticator所在的网关以及其上的外部代理可以获得其需要的密钥参数信息,且可以保证相应的密钥参数不会在拜访地网络中发生冲突。 
(2)参照图2所示,第二种处理流程包括: 
步骤45:为终端服务的Authenticator在EAP过程中通过拜访地的AAA服务器(即V-AAA)向家乡网络AAA服务器发起Access-Request请求; 
步骤46:拜访地的AAA服务器将收到的Access-Request消息转发给家乡网络的AAA服务器,消息中可以携带着拜访地的HA地址; 
在该步骤中,所述消息还可以携带一个表示拜访网络分配HA及密钥参数信息的能力的属性以通知家乡网络,或者,拜访网络是否有分配HA及密钥参数信息的能力也可以作为漫游协议的一部分通知家乡网络;这样,家乡网络若确定拜访地网络不具备分配HA及密钥参数信息的能力,则由家乡网络进行HA及密钥参数信息的分配; 
其中,相应的拜访网络是否支持分配拜访网络的HA的信息,具体可以作为一种能力显式地或者隐式地通知家乡AAA服务器; 
步骤47:家乡网络的AAA服务器收到所述的Access-Request消息后,若由于策略或者其他原因已经分配了拜访地网络的HA地址,则向拜访地网络的 AAA服务器发送Access-Accept消息,并在消息中携带着拜访地HA地址,也可以空着由拜访地AAA服务器选择拜访地的HA; 
步骤48:拜访地AAA服务器收到所述的Access-Request消息后,识别出家乡网络的AAA服务器为此MS分配了一个拜访地的HA或者没有分配HA,则为该HA分配相应的HA-RK、SPI和生命周期等密钥参数信息,并通过Access-Accept消息将相应的密钥参数信息通知给HA对应的Authenticator。 
至此,为所述终端服务的Authenticator所在的网关以及其上的外部代理可以获得其需要的密钥参数信息,且可以保证相应的密钥参数不会在拜访地网络中发生冲突。 
在上述两种处理流程中,对于HA处于拜访地网络的情况,当HA以及相关密钥信息选定后,则MS对动态HA及相关密钥信息的分配的要求将不被考虑,而是完全按照网络侧的策略进行。 
为考虑终端动态分配HA的意愿,还可以采用的处理流程如图9所示,包括:家乡AAA服务器和拜访地AAA服务器均将分配的HA以及相应得HA密钥信息都下发到为所述终端服务的Authenticator,以便于终端根据需要选择应用家乡网络的HA及相关密钥信息或者拜访地网络的HA及相关密钥信息。 
在向为所述终端服务的Authenticator下发HA密钥信息的处理过程中,具体包括以下两种情况: 
(1)如果拜访地AAA服务器发送给家乡AAA服务器的Access-Request消息中携带了拜访地HA以及相关密钥信息,则家乡AAA服务器发送的Access-Accept消息中将同时包含家乡及拜访地网络的HA及相关密钥信息; 
(2)如果拜访地AAA服务器发送给家乡AAA服务器的Access-Request消息中未携带拜访地HA以及相关密钥信息,则家乡AAA服务器发送的Access-Accept消息中只包含家乡网络的HA以及相关密钥信息,拜访网络的HA以及相关密钥信息在拜访地AAA服务器的处理转发过程中加入发送给接入 网(即为所述终端服务的Authenticator)的Access-Accept消息中; 
为所述终端服务的Authenticator获得相应的家乡以及拜访地网络的HA以及相关密钥信息后,若MS发起MIP注册,则终端便可以根据自身需求选择相应的家乡网络或拜访地网络的HA及相关密钥信息,具体包括: 
在MIP注册请求消息中携带对HA归属地的要求,所述的要求具体可以是特殊的HA地址,也可以是一个扩展项,这样,FA就可以向为所述终端服务的Authenticator请求满足MS要求的HA以及相关密钥信息,从而使得可以基于终端的需求选择家乡网络或拜访地网络的HA及相关密钥信息。 
终端在确定了选择的HA及相关密钥信息后,相应的密钥管理方式包括: 
(1)如果家乡网络的HA被选择为该MS服务,则当FA接收到MS的MIP注册请求后,需要向家乡网络AAA服务器请求HA相关密钥信息,此时家乡网络AAA服务器便可以获知自己分配的家乡网络HA将向该MS提供服务,并会对相应的HA的相关密钥信息进行维护;对于拜访网络AAA服务器则会因未收到相应的请求而会在一段时间后不再为该MS维护HA-RK信息; 
(2)如果拜访网络的HA被选择为该MS服务,则当FA接收到MS的MIP注册请求时,需要向拜访网络AAA服务器请求HA相关密钥信息,此时拜访网络AAA服务器便可以获知自己分配的拜访网络HA将向该MS提供服务,并会对相应的HA的相关密钥信息进行维护;对于家乡网络AAA服务器则会因未收到相应的请求而会在一段时间后不再为该MS维护HA-RK信息。 
当然,若MS对于选择采用家乡网络或拜访地网络的HA及相关密钥信息没有特殊要求,则可以由FA或者Authenticator按照本地的策略选择HA以及相关密钥信息,或者,进行随机挑选。 
在本发明实施例中,对于处于家乡网络的HA获得密钥参数信息的实现过程,则具体可以包括: 
首先,在家乡网络中为终端服务的Authenticator在EAP过程中向家乡网 络AAA服务器发起Access-Request请求; 
之后,家乡网络的AAA服务器收到所述的Access-Request消息后,若由于策略或者其他原因为该终端分配了HA地址,则向Authenticator发送Access-Accept消息;其中,在所述的Access-Accept消息中包括家乡网络的一个或多个HA地址,以及家乡网络的AAA服务器为相应的HA分配的HA-RK、SPI和生命周期等密钥参数信息; 
至此,为所述终端服务的Authenticator所在的网关以及其上的外部代理可以获得其需要的密钥参数信息。 
上述为所述终端服务的Authenticator发送Access-Request消息的时候,还可以根据需要携带本地网关或者FA的标识(可以是IP地址),然后由拜访地网络的AAA服务器或者家乡AAA服务器来决定是否下发所分配HA的HA-RK以及SPI,生命周期等信息。如果为所述终端服务的Authenticator知道所分配HA对应的HA-RK,则可以直接在Access-Request消息中指出是否要求下发HA-RK以及SPI,生命周期等信息。 
上述处理过程中,具体是由Authenticator发起的请求分配密钥参数信息的处理过程,而对于由处于拜访地网络的HA发起的单纯的请求分配密钥参数信息的处理过程(即不伴随其他需要家乡AAA服务器参与的过程),则由于无需家乡网络的AAA服务器进行策略决策,故对于第一种处理流程,可以选择省略上述处理过程中的步骤42和步骤43,对于第二种处理流程,可以省略上述处理过程中的步骤46和步骤47,即由拜访地网络中的AAA服务器直接为该处于拜访地网络的HA分配相应的密钥参数信息。 
在上述密钥参数信息的分配处理过程中,由于相应的生命周期参数等均由网络侧分配,故相应的FA-HA-K的有效期便不再与终端相关,从而使得FA-HA-K密钥具备了网络设备间密钥应具备的特性。 
(二)HA-RK等密钥参数信息需要进行更新的处理过程
密钥参数信息需要更新的触发条件具体可以包括四种情况:第一种是MS或者网络发起了重新鉴权认证的处理过程,第二种是密钥参数信息的生命周期到期,第三种是确定相应的密钥参数信息已经更新,第四种情况为密钥分配实体确定需要更新密钥。 
下面将分别对本发明实施例提供的针对各种情况的具体处理方式进行说明。 
(1)MS或者网络发起了重新鉴权认证的处理过程 
当由于某种原因MS发起了重新鉴权认证的处理过程,而且,相应的新的Authenticator迁移到了另外一个ASN-GW(接入服务网网关)上,此时,将采用的处理包括: 
1、若HA-RK等密钥参数信息是由Authenticator为每一个用户维护,则需要通知相应的原Authenticator删除其中保存的相关HA-RK等密钥参数信息;且新的Authenticator需要重新向相应的密钥分配实体获得其需要的HA-RK等密钥参数信息; 
2、若HA-RK等密钥参数信息由ASN-GW上专用功能实体(即密钥参数维护实体)维护,则新鉴权器在发送Access-Request(包括请求新的密钥参数信息)之前,可以查询本地ASN-GW上是否已经拥有有效的HA-RK,并且在Access-Request消息中给出指示信息,AAA服务器接收所述的指示信息后便可以根据预定的策略决定是否需要下发HA-RK及上下文信息等密钥参数信息; 
其中,所述的指示信息可以为一个指示位,用于指示本ASN-GW上是否已经存在有效的HA-RK;或者,也可以是Authenticator或ASN-GW或FA的标识,并由AAA服务器根据所述标识决策其是否存在有效的HA-RK。 
上述处理过程中,若处于拜访地网络的HA对应的密钥参数信息需要进行重新下发,则需要拜访地网络的密钥分配实体实现,若处于家乡网络的HA对 应的密钥参数信息需要进行重新下,则需要家乡网络的密钥分配实体实现。 
(2)密钥参数信息的生命周期到期 
当HA的Authenticator或ASN-GW上专用于维护HA-RK等密钥参数信息的功能实体发现相应的HA-RK等密钥参数信息的生命周期到期或者还剩余Grace-Time(优雅时间),即确定需要更新相应的密钥参数信息;则主动发起HA-RK等密钥参数信息的更新处理过程; 
具体的更新处理过程包括:若为处于拜访地网络的HA对应的密钥参数信息需要更新,则需要通过拜访地网络的密钥分配实体实现,若处于家乡网络的HA对应的密钥参数信息,则需要通过家乡网络的密钥分配实体实现。 
其中,若ASN-GW上的功能实体用于专门维护HA-RK等密钥参数信息,且ASN-GW与负责分配密钥参数信息的AAA服务器之间没有独立的接口,则可以通过相应的Authenticator完成相应的更新处理过程。 
(3)确定相应的密钥参数信息已经更新 
一种是由HA触发HA-RK等密钥参数信息的更新,具体为:HA发现FA发送来的移动IP注册请求中FA和HA之间的认证扩展的SPI已经更新; 
另一种是由Authenticator或ASN-GW上专用于维护HA-RK等密钥参数信息的功能实体触发密钥参数信息的更新,具体为:FA发现HA发送来的移动IP-Revocation(移动IP撤回)请求中FA和HA之间的认证扩展的SPI已经更新。 
此时,需要主动向密钥分配实体发起相应的密钥参数信息的更新处理过程,以更新相应的密钥参数信息。具体为:若为处于拜访地网络的HA,则需要通过拜访地网络的密钥分配实体进行密钥参数信息的更新;若为处于家乡网络的HA,则需要通过家乡网络的密钥分配实体进行密钥参数信息的更新。 
(4)密钥分配实体确定需要更新密钥 
即相应的密钥更新过程也可以是由作为密钥分配实体的AAA服务器发 起,具体为:AAA服务器发现HA-RK的生命周期到期或者还剩余Gracetime时间或者出现其他需要更新密钥参数信息的情况,则主动更新HA的Authenticator或ASN-GW中维护的密钥参数信息; 
相应的更新处理过程如图6所示,若为处于拜访地网络的HA对应的密钥参数信息需要进行更新,则需要通过拜访地网络的密钥分配实体实现,若处于家乡网络的HA对应的密钥参数信息需要进行更新,则需要通过家乡网络的密钥分配实体实现; 
其中,对于同一个ASN-GW上包含多个Authenticator的情况下,仅向ASN-GW发送一条消息,在该条消息中携带相关Authenticator的ID或者MS的标识,以便于由ASN-GW继续对相应的Authenticator维护的密钥参数信息进行更新处理。 
其中,所述的密钥分配实体在每次下发其为家乡代理分配的密钥参数信息后,记录本次密钥参数信息分配操作关联的家乡代理或鉴权器或接入服务网络网关或外地代理的标识信息。此时,所述的密钥分配实体根据这个记录进行密钥的主动更新。 
(三)FA发生迁移后的密钥参数信息的处理过程 
当发生了R3迁移,即MS迁移到新的FA上,此时,相应的密钥参数信息的处理方式包括: 
若HA-RK等密钥参数信息是由Authenticator为每一个用户维护,则需要向当前为用户服务的Authenticator请求对应HA-RK、SPI等密钥参数信息,或者直接请求FA-HA-K; 
若HA-RK等密钥参数信息是由ASN-GW上专用功能实体维护(即密钥参数维护实体),则可以首先查询本地ASN-GW上该实体是否有对应HA的密钥,若有,则无需进行密钥参数信息的获取操作,若没有,则可以向当前为用户服务的Authenticator所在的ASN-GW请求,此时,相应的当前为用户服 务的Authenticator所在ASN-GW将会向当前的本地ASN-GW提供其维护的相应密钥参数信息。查询本地ASN-GW上该密钥管理实体是可选步骤,可以每次都直接向当前为用户服务的Authenticator请求HA-RK或者FA-HA-K相关密钥信息。如果HA-RK在ASN-GW之间传递,那么FA迁移之前的FA所在的ASN-GW上也维护有HA-RK相关的信息,此时,FA迁移之后的新FA可以向其请求相关密钥(HA-RK或者FA-HA)信息。 
另外,当发生R3迁移后,Authenticator或ASN-GW上专用功能实体还可以从密钥分配实体获取新的密钥参数信息。 
相应的密钥参数信息的获取过程可以和R3迁移过程结合进行,也可以是在R3迁移过程之前或之后独立进行。 
为便于对本发明提供的实施例的理解,下面将结合附图对本发明实施例提供的各实现处理过程的具体应用进行说明。 
步骤71,在MS初始接入认证,即EAP(扩展认证协议)过程中,AAA服务器将HA-RK、SPI和生命周期下发到为MS服务的Authenticator,即锚鉴权器中,MS当前的FA可以从该Authenticator中获得相应的HA-RK、SPI和生命周期信息; 
相应的HA-RK、SPI和生命周期信息具体可以在锚鉴权器中维护,也可以由ASN-GW中的功能实体维护; 
具体可以在RADIUS(远程拨号认证协议)消息Access-Accept(接入接受)消息中下发;而且,所述AAA服务器下发所述HA-RK、SPI和生命周期信息,具体包括两种情况: 
(1)所述的AAA服务器无条件主动下发所述的密钥参数信息; 
(2)所述的锚鉴权器在向AAA服务器发送的Access-Request(接入请求)消息上携带和自身同位于一个ASN-GW(接入服务网网关)上的FA的标 识或锚鉴权器的标识或ASN-GW的标识信息,之后,由AAA服务器根据所述的标识信息进行信息的下发,其中包括:若AAA服务器发现已经为分配的HA和该FA或锚鉴权器或ASN-GW下发过HA-RK等信息,则AAA服务器可以选择不进行HA-RK以及上下文信息的下发。 
在该步骤中,所述的SPI可以是一个随机数,但需要保证连续两次产生的SPI不一致;也可以是根据HA-RK的每次更新顺序递增的,例如,初始为O,后续每次更新HA-RK,就顺序加1,若到达上限,则可以循环。 
步骤72:FA对应的MS的锚鉴权器(即FA/Auth)或ASN-GW的专用功能实体或独立于ASN-GW设置的专用功能实体获得并保存相应的HA-RK、SPI和生命周期信息; 
具体为:锚鉴权器得到HA-RK等信息后,可以为每一个用户维护一个备份,即由鉴权器维护所述的密钥参数信息;或者,也可以保存在HA所在的ASN-GW的一个专用功能实体中,并为每一个HA维护相应的信息,即由所述专用功能实体维护所述的密钥参数信息,以节省存储空间,而且,相应的专用功能实体与锚鉴权器位于同一个ASN-GW,因此,可以随时请求获取相应的HA-RK以及相关信息,且可以保证密钥参数信息传递的安全性; 
需要说明的是:若由专用功能实体维护所述的密钥参数信息,并且已知所分配的HA,则当需要为新的FA获取对应的密钥参数信息,首先需要查询在专用功能实体中是否已经存在相应的密钥参数信息,并仅在确定不存在时,才向密钥分配实体请求分配相应的密钥参数信息;这是因为,在专用功能实体上,可能因之前的其他用户的接入已经获得了相应的HA的密钥参数信息,而同一HA通常采用相同的密钥参数信息,因此,若之前已经获得相应的密钥参数信息,则在此无需重新请求密钥分配实体再次下发所述密钥参数信息; 
另外,若用于为外地代理维护密钥参数信息的密钥参数维护实体(如 ASN-GW中的专用功能实体)中维护的密钥参数信息在预定时间内未被应用,则停止维护所述密钥参数信息; 
步骤73:MS或/PMIP-Client向FA发送MIP-RRQ(MIP注册请求)消息,发起MIP注册处理过程; 
步骤74:FA向保存着密钥参数信息的锚鉴权器或ASN-GW的HA-RK维护实体请求FA-HA-K、SPI信息和生命周期,其中,所述的生命周期设置为HA-RK的生命周期的剩余时间; 
所述的锚鉴权器或ASN-GW的HA-RK维护实体具体根据保存维护的HA-RK、SPI和生命周期生成FA与HA之间通信应用的FA-HA-K信息; 
步骤75:FA利用所述的FA-HA-K信息向HA发送MIP-RRQ消息; 
具体为:在发送给HA的移动IP注册请求附加上FA和HA之间的认证扩展FA-HA-AE参数信息,其中包含SPI。 
HA收到所述的消息后,若其根据其获得的HA-RK、SPI和生命周期等信息对收到的消息进行认证; 
其中,HA获得的HA-RK、SPI和生命周期信息可以之前已经获得,或者,也可以在收到所述消息后执行步骤76和步骤77获得;而且,由于HA-RK仅仅由和HA本身同一个网络(拜访地网络或者家乡网络)的AAA服务器分配,因此可以只向HA所属网络的AAA服务器请求即可; 
步骤76、步骤77:HA向为其分配HA-RK信息的AAA服务器发送接入请求Access-Request,并通过AAA服务器返回的接入接受Access-Accept消息获得相应的HA-RK、SPI和生命周期信息; 
需要说明的是,由于漫游场景下分配的HA可以为拜访地的HA,也可以为家乡的HA,因此,本发明实施例中设置:对于位于拜访地的HA,则HA-RK、SPI及生命周期等信息由拜访地的AAA服务器分配;对于位于家乡网络的HA,则由家乡网络的AAA服务器负责HA-RK、SPI和生命周期信息的分 配。具体的分配处理方式前面已经描述,故在此不再赘述。 
另外,为了以后密钥更新的需要,AAA服务器响应每一个请求,即每进行一次密钥参数信息的下发操作,都记录下本次密钥参数信息的下发所关联的HA或者Authenticator或者ASN-GW或者FA的标识;如果一个ASN-GW或者FA上,若在预定的一段时间内,一直没有终端应用某一HA的HA-RK信息,则在该ASN-GW或者FA上,可以不再维护所述HA-RK信息。 
步骤78、步骤79:HA向FA返回MIP注册响应MIP-RRP消息,且FA继续将所述消息发送给MS,以完成相应的MIP注册的处理过程; 
之后,所述FA和HA继续使用上述步骤中各自获得的FA-HA-K进行MIP注册消息的处理。 
在MS开展MIP业务的处理过程中,MS可能会发起重新鉴权认证处理过程,此时,仍如图7所示,相应的处理过程包括: 
步骤710,由于某种原因发生了MS的重新鉴权认证,并且新的锚鉴权器迁移到了另外一个ASN-GW上; 
步骤711:若HA-RK由锚鉴权器为每一个用户维护,则新的锚鉴权器需要通知原锚鉴权器删除其维护的HA-RK等相关信息; 
步骤712:若HA-RK由ASN-GW上专用功能实体维护,则新锚鉴权器需要获得相应的HA-RK等密钥参数信息; 
具体为,新锚鉴权器在发送Access-Request以请求获取相应的密钥参数信息之前,可以查询本地ASN-GW上已经存在有效的HA-RK等密钥参数信息,并且在Access-Request消息中给出指示信息,以指示本ASN-GW上是否存在有效的HA-RK;或者,也可以在该消息中携带所在ASN-GW或者FA的标识;这样,AAA服务器就可以根据携带的信息决定是否需要下发HA-RK以及上下文信息等密钥参数信息。 
在MS开展MIP业务的处理过程中,还可能出现其他需要更新密钥参数信 息的情况。此时,如果HA-RK由Authenticator为每一个用户维护,后续的移动IP注册,密钥更新可以在FA和MS的新锚鉴权器之间进行;如果HA-RK由ASN-GW上专用功能实体维护,则密钥更新可以仍然在FA和该专用功能实体之间进行。相应的具体实现过程前面已经描述,故在此不再详述。 
在MS开展MIP业务的处理过程中,还可能出现FA迁移的情况,仍如图1所示,相应的处理过程包括: 
步骤713:系统中发生了R3迁移,FA迁移到新的FA上; 
步骤714:新的FA请求获取相应的密钥参数信息; 
若HA-RK等密钥参数信息由锚鉴权器为每一个用户分别维护,则向用户的原锚鉴权器请求对应HA的密钥以及SPI; 
若HA-RK等密钥参数信息由ASN-GW上专用功能实体维护,则需要首先查询本地ASN-GW上该实体是否存在对应的密钥参数信息,若没有,则可以向用户的原锚鉴权器所在的ASN-GW请求,即所述原锚鉴权器所在ASN-GW的该功能实体上必然保存该密钥参数信息;如果HA-RK在ASN-GW之间传递,那么FA迁移之前的FA所在的ASN-GW上也维护有对应HA的HA-RK相关信息,此时,FA迁移之后的新FA可以向其请求相关密钥(HA-RK或者FA-HA)信息。 
步骤715:新的FA获得HA-RK或者FA-HA密钥,以及SPI及生命周期等密钥参数信息,至此,完成了相应的R3迁移的密钥参数信息的更新处理。 
本发明还提供了一种家乡代理与外地代理间的密钥管理系统的实施例,该系统应用于无线通信网络中,且包括密钥分配实体,用于分配家乡代理与外地代理之间通信应用的密钥参数信息,其具体实现结构如图8所示,其中,所述的密钥分配实体中除包含其原有的处理功能单元外,还包括: 
(1)非本地HA密钥分配单元,用于为作为非本地HA,即处于拜访地网络中的HA分配对应的所述密钥参数信息,例如,为HA分配相应的HA-RK、 SPI及生命周期等信息; 
而且,所述的非本地家乡代理密钥分配单元执行的处理具体包括: 
非本地家乡代理密钥分配单元根据家乡代理的请求直接为相应的家乡代理分配对应的密钥参数信息并下发; 
或者, 
非本地家乡代理密钥分配单元根据鉴权器的请求与所述家乡代理对应的家乡网络的密钥分配实体通信,在家乡网络的密钥分配实体为本次请求确定相应的家乡代理后,由该拜访地网络的密钥分配实体将其为所述家乡代理分配的密钥参数信息下发; 
该单元的具体处理功能前面已经描述,在此不再详述。 
(2)本地家乡代理密钥分配单元,即本地HA密钥分配单元,用于为作为本地家乡代理,即处于家乡网络中的家乡代理分配对应的密钥参数信息。 
可以看出,在图8中,具体是以AAA服务器作为所述的密钥分配实体,在实际应用过程中还可能采用其他功能实体作为所述密钥分配实体,关键在于,需要由处于拜访地的密钥分配实体为处于拜访地的HA分配相应的密钥参数信息。 
本发明实施例所述的系统还包括密钥参数维护实体,其用于维护家乡代理与外地代理之间通信应用的密钥参数信息,所述的密钥参数维护实体从密钥分配实体获取所述的密钥参数信息;而且,所述的密钥参数维护实体具体包括以下几种情况中的任一种: 
(1)其功能由鉴权器实现,此时,一个MS对应一个鉴权器,即各个用户使用的外地代理对应的密钥参数信息分别维护; 
(2)独立设置于ASN-GW内部,此时,同一密钥参数维护上可能会维护一个或多个外地代理对应的密钥参数信息; 
(3)独立设置于ASN-GW外部,此时,同一密钥参数维护实体上会维 护一个或多个外地代理对应的密钥参数信息。 
若所述的密钥参数维护实体独立设置,则本发明的实施例提供的系统还包括查询处理单元,用于在确定需要获取新的密钥参数信息时,首先查询密钥参数维护实体中是否存在家乡代理对应的密钥参数信息,并仅在确定不存在时,才向密钥分配实体请求为其分配所述密钥参数信息,以避免在之前密钥参数维护实体已经获取到相应的HA的密钥参数信息的情况,再次向密钥分配实体发起相应的密钥参数信息的请求操作,从而可以减少系统中交互的消息数量。 
在本发明的实施例中,可选地还包括密钥参数更新单元,用于向所述的拜访地网络的密钥分配实体或家乡网络的密钥分配实体发起针对所述密钥参数信息的更新处理过程,重新触发所述的拜访地网络的密钥分配实体或家乡网络的密钥分配实体为该家乡代理分配相应的密钥参数信息,并更新各相关实体中的密钥参数信息;或者,该单元还可以设置于密钥分配实体中,用于主动发起密钥参数信息的更新处理过程,以进行密钥参数信息的更新操作,并更新各相关实体中的密钥参数信息,如密钥参数维护实体等;相应的具体处理过程前面已经描述,故在此不再详述。 
以上所述,仅为本发明较佳的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应该以权利要求的保护范围为准。

Claims (29)

1.一种家乡代理与外地代理间的密钥管理方法,该方法应用于无线通信系统中,其特征在于,包括:
若家乡代理处于拜访地网络,则由拜访地网络的密钥分配实体为该家乡代理分配家乡代理与外地代理之间通信应用的密钥参数信息;
若家乡代理处于家乡网络,则由家乡网络的密钥分配实体为该家乡代理分配所述的密钥参数信息。
2.根据权利要求1所述的方法,其特征在于,所述的密钥分配实体包括:鉴权、认证、计费AAA服务器。
3.根据权利要求1所述的方法,其特征在于,所述的密钥参数信息包括:家乡代理根密钥、安全参数索引和生命周期。
4.根据权利要求1所述的方法,其特征在于,所述的方法还包括:
将所述的密钥参数信息下发到密钥参数维护实体中,并由密钥参数维护实体对为该家乡代理分配的所述的密钥参数信息进行维护;且所述的密钥参数维护实体为采用鉴权器实现,或者,独立设置于接入服务网络网关内部,或者,独立设置于接入服务网络网关外部。
5.根据权利要求4所述的方法,其特征在于,所述的方法还包括:
若外地代理发生迁移,则迁移后的密钥参数维护实体从原密钥参数维护实体获取所述的密钥参数信息。
6.根据权利要求4所述的方法,其特征在于,若密钥参数维护实体独立设置于接入服务网络网关内或独立于接入服务网络网关设置,且外地代理发生迁移,则所述方法还包括:
查询发生迁移后和外部代理同处于一个网关上的密钥参数维护实体是否存在所述家乡代理对应的密钥参数信息,若不存在,当前的密钥参数维护实体从原密钥参数维护实体获取所述的密钥参数信息,或者,从密钥分配实体获取所述密钥参数信息。
7.根据权利要求4所述的方法,其特征在于,若所述的密钥参数维护实体独立设置,则所述的方法还包括:
在向密钥分配实体请求分配密钥参数信息之前,查询密钥参数维护实体中是否存在家乡代理对应的密钥参数信息,若不存在,向密钥分配实体请求分配所述密钥参数信息。
8.根据权利要求1所述的方法,其特征在于,所述的密钥参数信息由密钥分配实体主动下发给保存维护着密钥参数信息的实体,或者,由密钥分配实体根据收到的请求信息下发给保存维护着密钥参数信息的实体;其中,所述的请求信息中包含请求信息发送方实体的标识信息,或者是否请求密钥的指示信息,用于作为密钥分配实体是否下发密钥参数信息的决策依据。
9.根据权利要求1至8任一项所述的方法,其特征在于,所述的拜访地网络的密钥分配实体为该家乡代理分配相应的密钥参数信息的过程包括:
家乡代理向拜访地网络的密钥分配实体请求为其分配密钥参数信息,所述密钥分配实体为该家乡代理分配对应的密钥参数信息并下发;
或者,
鉴权器通过拜访地网络的密钥分配实体向家乡网络的密钥分配实体发送接入请求消息,拜访地的密钥分配实体接收请求后,向家乡网络的密钥分配实体转发所述请求,并在请求中携带着拜访地家乡代理的地址及为其分配的密钥参数信息;家乡网络的密钥分配实体为本次请求确定相应的家乡代理后,返回响应消息,消息中包含确定的家乡代理的地址及为其分配的密钥参数信息;由该拜访地网络的密钥分配实体将所述响应信息转发给鉴权器;
或者,
鉴权器通过拜访地网络的密钥分配实体向家乡网络的密钥分配实体发送接入请求消息,拜访地的密钥分配实体接收请求后,向家乡网络的密钥分配实体转发所述请求;家乡网络的密钥分配实体为本次请求确定相应的家乡代理后通知拜访地网络分配相应的密钥参数信息,该拜访地的密钥分配实体为该家乡代理分配所述的密钥参数信息并下发给鉴权器。
10.根据权利要求9所述的方法,其特征在于,若所述的密钥参数信息生命周期到期或到达预定的更新时刻,或者,用户或网络发起了重新鉴权认证过程,或者,所述的密钥参数信息已经更新,则所述的方法还包括:
对于家乡代理处于拜访地网络的情况,需要更新密钥参数信息的实体向所述的拜访地网络的密钥分配实体发起密钥参数信息的更新过程,重新触发所述的拜访地网络的密钥分配实体为该家乡代理分配密钥参数信息,以更新发起密钥参数信息更新过程的实体或各保存维护着密钥参数信息的实体中维护的密钥参数信息;
或者,
对于家乡代理处于家乡网络的情况,需要更新密钥参数信息的实体向所述家乡网络的密钥分配实体发起密钥参数信息的更新过程,重新触发所述家乡网络的密钥分配实体为该家乡代理分配密钥参数信息,以更新发起密钥参数信息更新过程的实体或各保存维护着密钥参数信息的实体中维护的密钥参数信息;
或者,
在密钥分配实体确定密钥参数信息生命周期到期或到达预定的更新时刻,由所述密钥分配实体主动触发针对家乡代理的密钥参数信息的更新过程,以更新各个保存维护着密钥参数信息的实体中维护的密钥参数信息。
11.根据权利要求10所述的方法,其特征在于,若用户发起了重新鉴权认证过程,则所述的更新处理过程包括:
若用于维护密钥参数信息的密钥参数维护实体独立设置,则查询本地用于该密钥参数维护实体中是否存在有效的密钥参数信息并通知密钥分配实体,所述的密钥分配实体根据是否存在有效的密钥参数信息的情况按照预定的策略确定是否下发新的密钥参数信息。
12.根据权利要求9所述的方法,其特征在于,所述的方法还包括:
若用于为外地代理维护密钥参数信息的密钥参数维护实体中维护的密钥参数信息在规定时间内未被应用,则停止维护所述密钥参数信息。
13.根据权利要求9所述的方法,其特征在于,所述的方法还包括:
所述的密钥分配实体在下发其为家乡代理分配的密钥参数信息后,记录本次密钥参数信息分配操作关联的家乡代理或鉴权器或接入服务网络网关或外地代理的标识信息。
14.根据权利要求1至8任一所述的方法,其特征在于,若家乡代理处于拜访地网络中,所述的方法还包括:
家乡网络也为该家乡代理分配密钥参数信息,且家乡网络及拜访地网络分别将各自分配的密钥参数信息下发给接入网,所述家乡网络将其分配的密钥参数信息下发给接入网为通过拜访地网络下发给接入网;
在接入网,根据用户终端的需求选择应用家乡网络或者拜访网络分配的密钥参数信息;或者,在接入网中根据预定的策略选择应用家乡网络或者拜访网络分配的密钥参数信息。
15.根据权利要求14所述的方法,其特征在于,所述的方法还包括:
在用户终端选择应用家乡网络或者拜访网络分配的密钥参数信息后,通知对应的家乡网络或者拜访网络,另一网络则不再为该用户终端维护该网络分配的所述密钥参数信息。
16.根据权利要求14所述的方法,其特征在于,所述的方法还包括:
若为所述用户终端服务的家乡代理已经由网络侧选择确定,则接入网将忽略所述用户终端的需求。
17.根据权利要求1至8任一项所述的方法,其特征在于,若家乡代理处于拜访地网络中,所述的方法还包括:
拜访地网络将其是否具备为家乡代理分配密钥参数信息的能力通知家乡网络,若家乡网络确定拜访地网络不具备所述能力,则由家乡网络进行所述密钥参数信息的分配。
18.一种家乡代理与外地代理间的密钥管理系统,应用于无线通信网络中,且该系统包括密钥分配实体,用于分配家乡代理与外地代理之间通信应用的密钥参数信息,其特征在于,所述的密钥分配实体具体包括:
非本地家乡代理密钥分配单元,用于为作为非本地家乡代理的处于拜访地网络中的家乡代理分配所述密钥参数信息;
本地家乡代理密钥分配单元,用于为作为本地家乡代理的处于家乡网络中的家乡代理分配所述密钥参数信息。
19.根据权利要求18所述的系统,其特征在于,所述的密钥分配实体包括:AAA服务器。
20.根据权利要求18所述的系统,其特征在于,所述的密钥参数信息包括:家乡代理根密钥、安全参数索引和生命周期。
21.根据权利要求18所述的系统,其特征在于,所述的系统还包括密钥参数维护实体,用于维护家乡代理与外地代理之间通信应用的密钥参数信息,所述的密钥参数维护实体从密钥分配实体获取所述的密钥参数信息。
22.根据权利要求21所述的系统,其特征在于,所述的密钥参数维护实体为鉴权器,或者,所述的密钥参数维护实体独立设置于接入服务网络网关内部或外部。
23.根据权利要求21所述的系统,其特征在于,若所述的密钥参数维护实体独立设置,则所述的系统还包括:
查询处理单元,用于查询密钥参数维护实体中是否存在家乡代理对应的密钥参数信息,若不存在,则向密钥分配实体请求为其分配所述密钥参数信息。
24.根据权利要求18所述的系统,其特征在于,所述的系统还包括:
密钥参数更新单元,用于向所述的拜访地网络的密钥分配实体或家乡网络的密钥分配实体发起针对所述密钥参数信息的更新处理过程,重新触发所述的拜访地网络的密钥分配实体或家乡网络的密钥分配实体为该家乡代理分配相应的密钥参数信息,并更新各相关实体中的密钥参数信息;或者,用于主动发起密钥参数信息的更新过程,以进行密钥参数信息的更新操作,并更新各相关实体中的密钥参数信息。
25.根据权利要求18至24任一项所述的系统,其特征在于,所述的非本地家乡代理密钥分配单元具体包括:
非本地家乡代理密钥分配单元根据家乡代理的请求直接为相应的家乡代理分配对应的密钥参数信息并下发;
或者,
非本地家乡代理密钥分配单元根据鉴权器的请求与所述家乡代理对应的家乡网络的密钥分配实体通信,在家乡网络的密钥分配实体为本次请求确定相应的家乡代理后,由该拜访地网络的密钥分配实体将其为所述家乡代理分配的密钥参数信息下发。
26.一种密钥分配实体,应用于无线通信网络中,其特征在于,包括:
非本地家乡代理密钥分配单元,用于为作为非本地家乡代理的处于拜访地网络中的家乡代理分配家乡代理与外地代理之间通信应用的密钥参数信息;
本地家乡代理密钥分配单元,用于为作为本地家乡代理的处于家乡网络中的家乡代理分配所述密钥参数信息。
27.根据权利要求26所述的密钥分配实体,其特征在于,所述的密钥参数信息包括:家乡代理根密钥、安全参数索引和生命周期。
28.根据权利要求26或27所述的密钥分配实体,其特征在于,所述的非本地家乡代理密钥分配单元具体包括:
非本地家乡代理密钥分配单元根据家乡代理的请求直接为相应的家乡代理分配对应的密钥参数信息并下发;
或者,
非本地家乡代理密钥分配单元根据鉴权器的请求与所述家乡代理对应的家乡网络的密钥分配实体通信,在家乡网络的密钥分配实体为本次请求确定相应的家乡代理后,由该拜访地网络的密钥分配实体将其为所述家乡代理分配的密钥参数信息下发。
29.一种AAA服务器,其特征在于,在该AAA服务器中设置有权利要求26至28任一项所述的密钥分配实体。
CN2006101702524A 2006-11-08 2006-12-21 家乡代理与外地代理间的密钥管理方法及系统 Expired - Fee Related CN101179845B (zh)

Priority Applications (2)

Application Number Priority Date Filing Date Title
CN2006101702524A CN101179845B (zh) 2006-11-08 2006-12-21 家乡代理与外地代理间的密钥管理方法及系统
PCT/CN2007/071029 WO2008055444A1 (fr) 2006-11-08 2007-11-07 Procédé et système de gestion de clé entre un agent local et un agent externe

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
CN200610146123.1 2006-11-08
CN200610146123 2006-11-08
CN2006101702524A CN101179845B (zh) 2006-11-08 2006-12-21 家乡代理与外地代理间的密钥管理方法及系统

Publications (2)

Publication Number Publication Date
CN101179845A CN101179845A (zh) 2008-05-14
CN101179845B true CN101179845B (zh) 2011-02-02

Family

ID=39364190

Family Applications (1)

Application Number Title Priority Date Filing Date
CN2006101702524A Expired - Fee Related CN101179845B (zh) 2006-11-08 2006-12-21 家乡代理与外地代理间的密钥管理方法及系统

Country Status (2)

Country Link
CN (1) CN101179845B (zh)
WO (1) WO2008055444A1 (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6699671B1 (en) 1998-09-24 2004-03-02 Pharmacia & Upjohn Company Alzheimer's disease secretase, APP substrates therefor, and uses therefor

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1359574A (zh) * 1999-07-06 2002-07-17 松下电器产业株式会社 用于可伸缩的安全组通信的双重加密协议
EP1424804A2 (en) * 2002-11-29 2004-06-02 Fujitsu Limited Symmetric key update for encryption communication system
CN1716853A (zh) * 2004-06-30 2006-01-04 中国科学技术大学 基于物理层次的组播密钥管理方法

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1359574A (zh) * 1999-07-06 2002-07-17 松下电器产业株式会社 用于可伸缩的安全组通信的双重加密协议
EP1424804A2 (en) * 2002-11-29 2004-06-02 Fujitsu Limited Symmetric key update for encryption communication system
CN1716853A (zh) * 2004-06-30 2006-01-04 中国科学技术大学 基于物理层次的组播密钥管理方法

Also Published As

Publication number Publication date
WO2008055444A1 (fr) 2008-05-15
CN101179845A (zh) 2008-05-14

Similar Documents

Publication Publication Date Title
US7065067B2 (en) Authentication method between mobile node and home agent in a wireless communication system
CN101300815B (zh) 用于提供移动性密钥的方法和服务器
CN101300889B (zh) 用于提供移动性密钥的方法和服务器
CN101106452B (zh) 移动ip密钥的产生及分发方法和系统
KR101401605B1 (ko) 접속에 특화된 키를 제공하기 위한 방법 및 시스템
CN101268669B (zh) 用于认证来自移动节点的更新的方法和移动锚点
US8611543B2 (en) Method and system for providing a mobile IP key
CN101300814A (zh) 以用户特定的方式强制代理移动ip(pmip)代替客户端移动ip(cmip)
WO2007133023A1 (en) System and method for authentication in a communication system
CN101990202A (zh) 更新用户策略的方法及应用服务器
CN101079705B (zh) 移动ip密钥在重新鉴权认证后的产生及分发方法与系统
CN101330719B (zh) 一种无线网络中选择移动管理模式的方法
CN101075870B (zh) 一种移动ip密钥的产生及分发方法
CN114946153A (zh) 与服务应用进行加密通信的通信网络中的应用密钥生成与管理的方法、设备及系统
CN102638782A (zh) 一种分配家乡代理的方法及系统
CN101179845B (zh) 家乡代理与外地代理间的密钥管理方法及系统
CN101569160B (zh) 用于传输dhcp消息的方法
CN101114958A (zh) WiMAX系统中实现移动IP密钥更新的方法
CN101447978B (zh) 在WiMAX网络中拜访AAA服务器获取正确的HA-RK Context的方法
Imran et al. A secure and efficient cluster-based authentication scheme for Internet of Things (IoTs)
KR20030026436A (ko) 이동 아이피 통신망에서의 도메인내 핸드오프 방법
CN101227458B (zh) 移动ip系统及更新家乡代理根密钥的方法
CN101119594B (zh) 实现归属代理和外地代理间归属代理根密钥同步的方法
CN101656959A (zh) PMIP中HA获取MN-HA key的方法、设备及系统
CN101917715B (zh) 移动ip密钥的产生及分发方法和系统

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant
CF01 Termination of patent right due to non-payment of annual fee

Granted publication date: 20110202

Termination date: 20171221

CF01 Termination of patent right due to non-payment of annual fee