CN101297515B - 充分利用gsm/sim认证基础架构的移动ip eap/sim认证 - Google Patents
充分利用gsm/sim认证基础架构的移动ip eap/sim认证 Download PDFInfo
- Publication number
- CN101297515B CN101297515B CN2006800399015A CN200680039901A CN101297515B CN 101297515 B CN101297515 B CN 101297515B CN 2006800399015 A CN2006800399015 A CN 2006800399015A CN 200680039901 A CN200680039901 A CN 200680039901A CN 101297515 B CN101297515 B CN 101297515B
- Authority
- CN
- China
- Prior art keywords
- mobile
- key
- bootstrapping
- mobile node
- generate
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/162—Implementing security features at a particular protocol layer at the data link layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0853—Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0892—Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/083—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0838—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
- H04L9/0841—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols
- H04L9/0844—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols with user authentication or key authentication, e.g. ElGamal, MTI, MQV-Menezes-Qu-Vanstone protocol or Diffie-Hellman protocols using implicitly-certified keys
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/068—Authentication using credential vaults, e.g. password manager applications or one time password [OTP] applications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/069—Authentication using certificates or pre-shared keys
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W8/00—Network data management
- H04W8/02—Processing of mobility data, e.g. registration information at HLR [Home Location Register] or VLR [Visitor Location Register]; Transfer of mobility data, e.g. between HLR, VLR or external networks
- H04W8/04—Registration at HLR or HSS [Home Subscriber Server]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/80—Wireless
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/061—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying further key derivation, e.g. deriving traffic keys from a pair-wise master key
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W80/00—Wireless network protocols or protocol adaptations to wireless operation
- H04W80/04—Network layer protocols, e.g. mobile IP [Internet Protocol]
Abstract
公开了用于动态生成一组移动IP密钥的方法和装置。这组移动IP密钥是利用现有的HLR/AuC认证基础架构来动态生成的。这是通过获得唯一地标识特定移动节点的国际移动用户标识(IMSI)来部分地完成的。一旦从与该IMSI相关的认证信息生成一组移动IP密钥,移动节点就可利用这组移动IP密钥向其归属代理进行注册。
Description
背景技术
本发明涉及移动IP网络技术。更具体而言,本发明涉及从现有的认证基础架构动态生成一组移动IP密钥。
移动IP是一种允许膝上型计算机或其他移动计算机单元(这里称为“移动节点”)在位于各个位置的各个子网之间漫游——同时维持互联网和/或WAN连通性的协议。没有移动IP或相关协议,移动节点将无法在各个子网中漫游的同时保持连接。这是因为任何节点通过互联网通信所需的IP地址是特定于位置的。每个IP地址具有指定该节点驻留的特定子网的字段。若用户想要携带通常附接到一个节点上的计算机并用它漫游使其通过不同子网,则它不能使用其归属基地(home base)IP地址。结果,穿越全国旅行的商人不能仅用他或她的计算机漫游穿过地理上不同的网段或无线节点同时保持在互联网上的连接。这种情况在便携计算设备时代是不可接受的。
为了解决该问题,开发并实现了移动IP协议。移动IP协议的实现方式描述于2002年8月C.Perkins,Ed.所著网络工作组的RFC 3344“IPMobility Support for IPv4”。移动IP还描述于J.Solomon所著Prentice Hall出版的“Mobile IP Unplugged”,中。这两篇参考文献都通过引用全文结合于此并用于所有目的。
移动IPv4环境中的移动IP过程在图1中示出。如图所示,移动IP环境2包括互联网(或WAN)4,还可包括外地代理10,移动节点6可以经由归属代理8的中介(mediation)进行远程通信。在未实现外地代理的移动IPv6环境或移动IPv4环境中缺少外地代理的情况下,移动节点6可以获得拓扑上正确的IP地址(即配置IP地址(collocated IP address)),并向归属代理注册该IP地址。(在移动IPv6环境中,这是经由接入路由器而不是外地代理来完成的。)一般而言,归属代理和外地代理是执行适当的由软件、硬件和/或固件实现的移动IP功能的路由器或其他网络连接设备。插入到其归属网段中的特定移动节点(例如,膝上型计算机)通过其指定的归属代理与互联网相连。当移动节点漫游时,其通过可用的外地代理经由互联网进行通信。可假定,在地理上不同的位置处有许多可用的外地代理以允许经由移动IP协议的宽范围互联网连接。注意,移动节点也可以直接向其归属代理进行注册。
如图1所示,移动节点6通常驻留在网段12上(或者以网段12为基地),网段12允许其网络实体通过归属代理8(示为R2的适当配置的路由器)在互联网4上进行通信。注意,归属代理8不需要直接连接到互联网。例如,如图1所示,它可以通过另一路由器(在这种情况下为路由器R1)来连接。路由器R1进而可以将一个或多个其他路由器(例如,路由器R3)与互联网相连接。
现在,假定移动节点6被从其归属基地网段12去除,并漫游到远程网段14。网段14可以包括诸如PC 16之类的各种其他节点。网段14上的节点通过兼任外地代理10的路由器与互联网通信。移动节点6可以通过形成移动IP协议的一部分的各种请求和公告来识别外地代理10。当移动节点6参与到网段14中时,外地代理10将注册请求中继到归属代理8(由虚线“注册”指示)。归属和外地代理随后可以协商移动节点附接到外地代理10的条件。例如,附接可以限于一段时间,如两小时。当协商成功完成时,归属代理8更新内部的“移动性绑定表”,该表指定与移动节点6的标识相关联的转交地址(例如,配置转交地址(collocated care-ofaddress)或外地代理的IP地址)。另外,外地代理10更新内部的“访问者表”,该表指定移动节点地址、归属代理地址等。实质上,移动节点的归属基地IP地址(与网段12相关联)已变为外地代理的IP地址(与网段14相关联)。
现在,假定移动节点6想要从其新位置向对方节点18发送消息。在移动IPv4中,来自移动节点的消息随后根据标准互联网协议被分组化并经由外地代理10被转发到互联网4上和转发到对方节点18(由虚线“来自MN的分组”指示)。如果对方节点18想要向移动节点发送消息-无论是对来自移动节点的消息的回复还是由于任何其他原因-其都将该消息寄送到子网12上移动节点6的IP地址。该消息的分组随后被转发到互联网4上和转发到路由器R1,并最终被转发到归属代理8,如虚线(“去往MN(1)的分组”)所示。从其移动性绑定表中,归属代理8认识到移动节点6不再附接到网段12。其随后根据移动IP协议封装来自对方节点18的分组(该分组被寄送到网段12上的移动节点6),并将这些封装后的分组转发到移动节点6的“转交”地址,如虚线(“去往MN(2)的分组”)所示。转交地址例如可以是外地代理10的IP地址。外地代理10随后剥离封装,并将消息转发到子网14上的移动节点6。由归属和外地代理实现的分组转发机制经常被称为“隧道传递”(tunneling)。在缺少外地代理的情况下,分组被直接隧道传递到移动节点6的配置转交地址。
在实现通用分组无线业务(GPRS)的典型全球移动通信系统(GSM)网络202中,移动节点204漫游到服务GPRS业务节点(SGSN)206。GPRS网关服务节点(GGSN)208通过将分组经由GPRS隧道协议隧道传递到SGSN 206来为移动节点204提供移动性。移动节点204由归属位置寄存器(HLR)210来认证。具体而言,HLR 210使用用户标识符模块(SIM)212来认证使用与SIM 212相关的密钥的用户。该密钥是从认证控制器(AuC)214维护的数据库中获得的。
当移动节点204从GPRS网络202移动到无线LAN(WLAN)216时,可扩展认证协议(EAP)-SIM协议允许SIM被EAP有效载荷携带到接入点(AP)218。AP 218将包含SIM的消息转换成诸如RADIUS消息之类的AAA协议,该RADIUS消息被提供给AAA服务器220。接收消息的AAA服务器220或其他网络设备222将该消息转换成移动应用部分(MAP)协议,使得HLR 210能够认证使用SIM的用户。
可实现诸如远程认证拨入用户服务(RADIUS)和TACACS+之类的各种协议来提供AAA服务器。RFC 2865描述了RADIUS协议并通过引用结合于此。类似地,RFC 1492描述了TACACS+,并且可在如下网址http://www.ietf.org/internet-drafts/draft-grant-tacacs-02.txt获得的互联网草案“The TACACS+Protocol Version 1.78”描述了TACACS+。这两篇文档都通过引用结合于此并用于所有目的。
不幸的是,当移动节点204在GSM网络202和WLAN网络216之间漫游时,它必须获得新IP地址。结果,当移动节点204在WLAN 216和GPRS网络202之间漫游时,移动节点204无法保持移动IP会话。
为了使移动节点204能够在漫游时保持移动IP会话,通常使用归属代理224。结果,一般实现两种不同的独立的密钥管理方法。第一种密钥管理方法是如上所述对使用SIM的用户的认证。第二种密钥管理方法包括使移动节点204能够向归属代理224进行注册的移动IP密钥。这样,两组密钥必须在有关实体的每一个上被分开管理和静态地配置。
考虑到上述因素,如果移动节点能够在GPRS网络和另一个网络之间漫游时保持移动IP会话而不需要两组不同密钥的静态配置和管理,那将会是有益的。
发明内容
公开了用于生成一个或多个移动IP密钥的集合的方法和装置。具体而言,该移动IP密钥集合是从诸如归属位置寄存器(HLR)/认证控制器(AuC)认证基础架构之类的现有基础架构中动态生成的。通过这种方式,可动态地生成一组移动IP密钥。
根据本发明的一个方面,生成一组移动IP密钥的方法包括获得国际移动用户标识(IMSI),使得与该IMSI相关的认证信息也可得到。例如,认证信息可以用与IMSI相关的密钥(Ki)来表示。至少一个移动IP密钥是从与IMSI相关的认证信息生成的。例如,从与IMSI相关的密钥(Ki)中获得的SIM认证三元组可以从归属位置寄存器得到,从而使移动IP密钥能够从该认证信息生成。支持移动IP的移动节点随后可利用移动IP密钥向支持移动IP的归属代理进行注册。
根据本发明的一个实施例,移动节点可从针对IMSI返回的SIM认证三元组生成至少一个移动IP密钥,从而使至少一个移动IP密钥从与IMSI相关的认证信息(例如,Ki)生成。例如,移动节点可生成MN-AAA密钥(移动节点和AAA服务器之间共享的密钥)和/或MN-HA密钥(移动节点和归属代理之间共享的密钥)。更具体而言,移动节点可生成随后可以用来生成MN-HA密钥的MN-AAA密钥。
根据本发明的另一个方面,公开了用于向支持移动IP的归属代理注册支持移动IP的移动节点的方法和装置。移动节点向归属代理发送自举请求来发起从与IMSI相关的认证信息生成至少一个移动IP密钥。移动节点接收来自归属代理的包含随机数的自举回复。移动节点随后从与IMSI相关的认证信息和自举回复中接收到的随机数生成移动IP密钥。
根据本发明的又一个方面,归属代理接收来自移动节点的自举请求,所述自举请求发起从与IMSI相关的认证信息生成至少一个移动IP密钥。归属代理向移动节点发送包含随机数的自举回复,从而使移动节点能够从生成与IMSI相关的认证信息和随机数生成所述至少一个移动IP密钥。另外,归属代理获得移动IP密钥,其中所述移动IP密钥已从与IMSI相关的认证信息和随机数得到。
根据本发明的再一个方面,诸如AAA服务器之类的服务器生成至少一个移动IP密钥。具体而言,AAA服务器接收来自归属代理的请求消息,所述请求消息包含IMSI。AAA服务器向归属位置寄存器发送包含IMSI的第二请求消息并接收来自归属位置寄存器的答复消息,其中所述答复消息包括随机数和源自随机数和与IMSI相关的认证信息这两者的信息。AAA服务器随后可从源自随机数和与IMSI相关的认证信息这两者的信息生成移动IP密钥。
根据本发明的另一方面,本发明属于可操作来执行和/或发起归属代理、AAA服务器或移动节点中的任何公开的方法的系统。该系统包括一个或多个处理器以及一个或多个存储器。所述存储器和处理器中的至少一个适合于提供上述方法操作中的至少一些。在更进一步的实施例中,本发明属于用于执行所公开的方法的计算机程序产品。所述计算机程序产品具有至少一个计算机可读介质和存储在至少一个计算机可读产品中的被配置为执行上述方法操作中的至少一些的计算机程序指令。
本发明的这些及其他特征和优点将在通过示例方式示出本发明原理的对本发明的下述说明及附图中被详细展示。
附图说明
图1是移动IP网段和相关环境的图示;
图2是例示了可实施本发明的示例性GSM网络的图示;
图3是例示了根据本发明的一个实施例利用现有的HLR/AuC认证基础架构来生成一组移动IP密钥的方法的业务流程图;
图4是例示了根据本发明的一个实施例利用这组移动IP密钥来执行移动IP注册的方法的业务流程图;
图5是可实施本发明的实施例的路由器的图形化表示。
具体实施方式
现在详细参考本发明的具体实施方式。该实施方式的一个示例在附图中示出。虽然本发明是结合该具体实施方式来描述的,但是应该理解不打算将本发明限制在一个实施方式上。相反,希望涵盖可能包含在所附权利要求定义的本发明的精神和范围内的多个替代、修改和等同物。在下面的描述中,为了提供对本发明的全面理解,提出多个具体细节。本发明的实施可不需要这些具体细节的一些或全部。在其他示例中,公知的过程操作未详细描述以免不必要地模糊本发明。
根据本发明的各种实施例,一组移动IP密钥利用现有的归属位置寄存器(HLR)/AuC认证基础架构动态地生成。这是通过获得唯一地标识特定移动节点(例如,用户)的国际移动用户标识(IMSI)来部分地完成的。一旦一组移动IP密钥从IMSI生成,移动节点就可利用这组移动IP密钥向其归属代理进行注册。
图3是例示了根据本发明的一个实施例利用现有的HLR/AuC认证基础架构来生成一组移动IP密钥的方法的业务流程图。由移动节点、归属代理、AAA服务器、网关和HLR执行的步骤分别用竖线302、304、306、308和310表示。为了发起这组移动IP密钥的生成,移动节点在312中向其归属代理发送自举请求。自举请求可包括标识移动节点的IMSI。另外,自举请求还可包括标识用户的标识符,如1999年1月公布的Aboba等人在RFC 2486“The Network Access Identifier”中提出的网络接入标识符(NAI),该RFC通过引用结合于此并用于所有目的。NAI可包含IMSI,但最好不包括IMSI以确保IMSI不被暴露。若NAI中不提供IMSI,则NAI可以是允许在AAA服务器、网关或HLR上映射到IMSI的匿名。自举请求还可识别用于交换用来生成移动IP密钥的密钥生成(keying)信息的基础证书和密钥生成协议,如使用GSM认证三元组的用户标识符模块(SIM)或使用认证和密钥协商(AKA)协议的通用移动通信系统(UMTS)用户标识符模块(USIM)。若移动节点希望认证网络,则它也可在自举请求中包含质询随机数(challenge nonce)。
当归属代理接收到来自移动节点的自举请求时,它发起移动IP密钥的生成。为了获得移动IP密钥,归属代理在314中向AAA服务器发送包含NAI和/或IMSI的请求消息。该请求消息也可指示密钥生成方法。具体而言,根据一个实施例,请求消息包括充当移动IP指示符来通知AAA服务器生成一组移动IP密钥(例如,在移动节点和AAA服务器之间共享的MN-AAA密钥)的属性值对。该移动IP指示符还可包括或指示密钥生成方法,以及质询随机数(如果由客户提出的话)。请求消息以AAA格式的消息的形式被发送到AAA服务器。例如,请求消息可以RADIUS接入请求消息的形式被发送。或者,可实现诸如TACACS+或Calhoun等人在题为“Diameter Base Protocol”的2003年9月公布的RFC 3588中提出的Diameter之类的其他格式,该文献通过引用结合于此用于一切目的。
当AAA服务器接收来自归属代理的包含IMSI的请求消息时,它可酌情存储来自请求消息中的信息。具体而言,为了将移动节点映射到IMSI,AAA服务器可在316中存储NAI、IMSI、密钥生成方法和/或质询随机数。另外,AAA服务器在318中向归属位置寄存器发送包含IMSI的第二请求消息。该第二请求消息可仅仅包括从归属代理接收的请求消息,或者可包括替代消息(例如,AAA格式的消息)。例如,该第二请求消息可以是包含IMSI的RADIUS Get-Auth三元组接入请求。可以使用的示例性消息在2002年10月7日递交的Taylor等人所著题为“System and Method forNetwork User Authentication”的第10/266,819号美国专利申请中提出,该申请通过引用方式结合于此并用于所有目的。
当网关接收到该第二请求消息时,它在320中将AAA格式的消息转换成MAP格式的消息。网关随后将该MAP格式化的消息在322中发送给HLR。HLR查找IMSI以获得与IMSI相关的密钥(Ki)。HLR生成随机数(RAND),并在与IMSI相关的算法中运行该Ki和随机数以生成可用来生成移动IP密钥集合的认证信息,如324所示。例如,根据2004年12月21日公布的、可从如下网址http://www.ietf.org/internet-drafts/draft-haverinen-pppext-eap-sim-16.txt获得的互联网草案“ExtensibleAuthentication Protocol Method for GSM Subscriber Identity Modules(EAP-SIM)”,该信息可包括一组SIM认证三元组,该草案通过引用结合于此并用于所有目的。另外,1997年8月公布的GSM规范:[GSM 03.20]欧洲电信标准化组织,GSM技术规范GSM 03.20(ETS 300534):“Digitalcellular telecommunication system(Phase 2);Security related networkfunctions”也结合于此并用于所有目的。具体而言,每个SIM三元组通常包括随机质询(RAND)(例如,随机数)和响应(SRES),以及加密密钥(Kc)。通常,这组SIM三元组包括多个三元组。HLR随后在326中将包含SIM三元组的MAP格式的答复消息发送到网关。网关在327中将该MAP格式的答复消息转换成诸如在第10/266,819号美国专利申请中提出的RADIUS Get-Auth三元组接入请求消息之类的AAA格式的消息,并在328中将这一转换的消息发送到AAA服务器。通过这种方式,AAA服务器接收一个或多个随机数以及源自随机数和与IMSI相关的密钥(Ki)二者的信息。
为了生成在移动节点和AAA服务器之间共享的MN-AAA密钥,AAA服务器组合密钥Kc中的两个或多个来形成MN-AAA密钥。具体而言,根据一个实施例,用于SIM三元组的每一个的Kc值在330中被串接以形成MN-AAA密钥。AAA服务器随后可在332中存储MN-AAA密钥。例如,AAA服务器可将MN-AAA密钥缓存为用于用户名(NAI)的口令。这样,MN-AAA密钥可关联NAI、IMSI和密钥方法来存储。或者MN-AAA密钥还可从诸如SRES值之类的附加信息和由移动节点在自举请求中提供的诸如NAI、IMSI密钥生成方法和/或质询随机数之类的附加信息生成。
AAA服务器随后可在334中从MN-AAA密钥导出MN-HA密钥。该密钥获取可涉及以下数据的一些或全部的单向函数:MN-AAA密钥、密钥标签,以及移动节点提供的诸如NAI、IMSI密钥生成方法和/或质询随机数之类的附加信息。该MN-HA密钥可以是移动节点和归属代理在注册过程中使用的密钥。或者,该MN-HA密钥可被称为“一次性口令”(OTP)密钥。该MN-HA密钥可被移动节点用来认证自举过程,如下面将详细描述的那样。
另外,AAA服务器可在336中生成MAC_RAND来向移动节点认证网络以及提供与现有EAP-SIM算法的兼容性。MAC_RAND可利用消息认证代码算法、诸如HMAC-SHA1之类的带密钥的哈希(hash)函数来生成。用于MAC_RAND的密钥可利用密钥导出函数从认证三元组和其他数据生成。该数据可包括来自认证三元组的信息,以及来自自举请求的诸如IMSI、NAI、质询随机数和密钥生成算法之类的信息。AAA服务器在338中向归属代理发送包含MN-HA密钥(例如,MN-HA OTP密钥)的答复消息。该答复消息也可包括来自上述消息认证代码以及先前由HLR生成并在密钥导出中使用的SIM认证三元组的随机质询(RAND),从而使归属代理能向移动节点提供随机质询(RAND),以使移动节点能够生成同一组移动IP密钥(例如,MN-AAA密钥、MN-HA密钥)。例如,答复消息可以是诸如RADIUS接入接受消息之类的AAA格式的消息,包括随机数(RAND)、MN-HA密钥(例如,MN-HA OTP密钥),以及MAC_RAND。
当归属代理接收到答复消息时,它在340中根据2005年3月Perkins等人所著题为“Authentication,Authorization,and Accounting(AAA)Registration Keys for Mobile IPv4”的RFC 3957,从答复消息(接入接受消息)中获得MN-HA OTP密钥、生成注册回复,并从生成MN-HA OTP密钥生成移动归属认证扩展(MHAE),该RFC通过引用结合于此并用于所有目的。一旦生成MHAE,归属代理就可在342中删除MN-HA OTP密钥,其中所述MN-HA OTP密钥仅用于自举认证因此充当“一次性口令”。换言之,一旦MN-AAA密钥被认证,MN-HA密钥就可稍后在注册过程中重新生成。
归属代理随后在344中将包含随机数RAND的自举回复发送到移动节点。自举回复也包括MHAE,使得移动节点能够认证该自举回复。自举回复还可包括MAC_RAND来向移动节点认证网络并提供与现有EAP-SIM算法的兼容性。
当移动节点接收到包含一个或多个随机数RAND的自举回复时,它在346中从自举回复中获得RAND。移动节点随后继续以从与IMSI、Ki和自举回复中接收到的一个或多个随机数(RAND)相关的密钥生成移动IP密钥。具体而言,它执行由HLR和AAA服务器执行的相同过程来生成如上所述的MN-AAA密钥和MN-HA密钥。具体而言,移动节点在348中通过其包含与IMSI相关的密钥Ki的SIM卡运用随机数(RAND)来生成一组SIM三元组(Kc、SRES、RAND)。换言之,SIM卡通常包括密钥Ki和IMSI二者。移动节点在350中利用单向密钥导出函数从SIM三元组中获得密钥Kc并合成(例如,串接)密钥Kc以形成MN-AAA密钥。单向密钥导出函数也可使用来自GSM三元组的诸如(SRES)的附加信息和来自自举请求的诸如NAI、密钥生成算法或质询随机数之类的信息。它随后可在352中存储MN-AAA密钥以使移动节点能够在注册过程中使用该MN-AAA。移动节点在354中从MN-AAA密钥获取MN-HA密钥(例如,MN-HA OTP密钥)来认证自举回复。认证是根据RFC 3344中提出的标准过程来执行的。一旦认证了自举回复,移动节点随后就可在356中删除MN-AAA密钥。例如,在自举回复丢失的情况下,可能希望在注册期间重新生成MN-AAA密钥。在这些情况下,移动节点重新发送自举请求,导致新MN-AAA密钥的生成。
图4是例示了根据本发明的一个实施例利用移动IP密钥集合来执行移动IP注册的方法的业务流程图。移动节点利用MN-AAA密钥在402中生成注册请求并将认证符放入注册请求的MN-AAA扩展中,像2000年11月公布的Perkins等人所著题为“Mobile IPv4 Challenge/ResponseExtensions”的RFC 3012中提出的那样,该RFC通过引用结合于此并用于所有目的。根据一个实施例,移动节点利用MN-AAA密钥生成MAC_RRQ,并根据RFC 3012生成包含MAC_RRQ的移动-AAA认证扩展(MAAE)。移动节点根据RFC 2486将MAAE添加到包含网络地址标识符(NAI)的注册请求上,根据2000年11月公布的Perkins等人所著题为“Mobile IPv4 Challenge/Response Extensions”的RFC 3012添加包含PPP质询的移动-外地质询扩展(MFCE),并将注册请求在404中发送到归属代理,RFC 3012通过引用结合于此并用于所有目的。
当归属代理从移动节点接收到包含MN-AAA[ASP1]认证扩展的注册请求时,它认证移动节点[ASP2]。具体而言,归属代理向AAA服务器发送包含NAI、质询以及包含MN-AAA密钥或MN-AAA密钥的函数的MAC_RRQ的RADIUS接入请求消息。AAA服务器随后利用请求消息的MN-AAA认证请求消息。
当AAA服务器接收AAA格式的请求消息时,AAA利用与移动节点相关的MN-AAA密钥来认证该移动节点。具体而言,AAA服务器从请求消息中获取NAI,在408中查找由NAI索引的MN-AAA密钥,并利用MN-AAA密钥来认证MAC_RRQ。若认证成功,则AAA服务器在410中存储MN-AAA密钥。AAA服务器在412中从MN-AAA密钥生成MN-HA密钥,并在414中将MN-HA密钥提供给归属代理。具体而言,AAA服务器向归属代理发送包含MN-HA密钥的RADIUS接入接受。
当归属代理接收到包含MN-HA密钥的接入接受时,它在416中像RFC 3344中提出的那样利用MN-HA生成移动归属认证扩展(MHAE)。归属代理在418中形成包含NAI的注册回复,将MHAE添加到注册回复,并将注册回复发送给移动节点。
当移动节点接收到注册回复时,它在420中从MN-AAA密钥生成MN-HA密钥来认证包含MHAE的注册回复。移动节点随后在422中利用MN-HA密钥认证MHAE。通过这种方式,移动节点认证由归属代理发送的注册回复。相应地,移动节点利用已从现有的HLR/AuC认证基础架构动态生成的密钥来向其归属代理进行注册。
一旦移动节点成功地向其归属代理进行注册,移动节点就可认证该移动节点接收到的消息以确保它们来源于合法网络。例如,移动节点可从该移动节点生成的移动随机数中获得随机数。移动节点随后可从该随机数生成消息认证码,从而使该移动节点能够利用消息认证码来认证来源于合法网络的消息。
本发明还可具体化为计算机可读介质上的计算机可读代码。计算机可读介质是能够存储此后能被计算机系统读取的数据的任何数据存储设备。计算机可读介质的示例包括只读存储器、随机存取存储器、CD-ROM、磁带和光数据存储设备。
本发明的装置(例如,移动节点、归属代理、AAA服务器)可专门为所需目的构建,或者可以是由存储器中存储的计算机程序选择性激活或重新配置的通用可编程机器。此处给出的过程不与任何特定路由器或其他装置内在相关。在优选实施例中,本发明的归属代理的任一个可以是专门配置的路由器,如加州圣何塞的思科系统公司有售的特制路由器型号1700、1800、2500、2600、3200、3600、4000、4500、4700、7200和7500。用于这些机器的某些的通用结构从下面给出的描述中可见。
一般地,本发明的注册和密钥生成技术可在软件和/或硬件上实施。例如,它可以在操作系统内核中、单独的用户过程中、捆绑到网络应用的库程序包中、专门构建的机器上或网络接口卡上实施。在本发明的具体实施例中,本发明的技术在诸如操作系统之类的软件中或在操作系统上运行的应用程序中实施。
本发明的软件或软硬件混合路由优化系统优选地在由存储器中存储的计算机程序选择性激活或重新配置的通用可编程机器上实施。这类可编程机器可以是设计为处理网络流量的网络设备。这类网络设备通常具有多个网络接口,例如包括帧中继、ISDN和无线接口。这类网络设备的具体示例包括路由器和交换机。例如,本发明的漫游系统可以是专门配置的路由器,如加州圣何塞的思科系统公司有售的特制路由器型号350、1100、1200、1400、1600、2500、2600、3200、3600、4500、4700、7200、7500和12000。用于这些机器的某些的通用结构从下面给出的描述中可见。在替代实施例中,注册系统可在诸如个人计算机或工作站之类的通用网络主机上实施。另外,本发明可以至少部分地在用于网络设备或通用计算机设备的卡(例如接口卡)上实施。
现在参考图5,适合实施本发明的路由器1110包括主中央处理单元(CPU)1162、接口1168和总线1115(例如,PCI总线)。当在适当的软件或固件的控制下运行时,CPU 1162负责诸如路由表计算和网络管理之类的路由任务。它还可负责更新移动性绑定和访问者表等。其最好在包含操作系统(例如,思科系统公司的Internetwork操作系统
)和任何适当的应用软件在内的软件的控制下完成所有这些功能。CPU 1162可包括一个或多个处理器1163,如来自摩托罗拉微处理器家族或MIPS微处理器家族的处理器。在替代实施例中,处理器1163是用于控制路由器1110的操作的专门设计的硬件。在具体实施例中,存储器1161(如非易失性RAM和/或ROM)也形成CPU 1162的一部分。但是,存在很多不同的方式可以将存储器耦合到系统上。
接口1168通常被提供为接口卡(有时称为“线卡”)。一般地,它们控制数据分组在网络上的发送和接收,有时支持与路由器1110一起使用的其他外设。可提供的接口有以太网接口、帧中继接口、有线接口、DSL接口、令牌环接口等等。另外,可提供各种甚高速的接口,如快速令牌环接口、无线接口、以太网接口、千兆以太网接口、ATM接口、HSSI接口、POS接口、FDDI接口等等。一般地,这些接口可包括适合于通过适当介质进行通信的端口。在某些情况下,它们还可包括独立处理器,在某些情况下包括非易失性RAM。独立处理器可控制诸如分组交换、介质控制和管理之类的通信密集型任务。通过为通信密集型任务提供单独的处理器,这些接口允许主微处理器1162有效地执行路由计算、网络诊断、安全功能等。
虽然图5所示系统是本发明的一个具体路由器,但它绝不是可以实施本发明的唯一路由器结构。例如,经常使用具有处理通信及路由计算等的单个处理器的结构。另外,还可与路由器一起使用其他类型的接口和介质。
不论网络设备的配置如何,它都可采用被配置为存储用于通用网络操作的程序指令和用于此处描述的漫游、路由优化和路由功能的机制的一个或多个存储器或存储模块(包括存储器1161)。程序指令例如可控制操作系统和/或一个或多个应用程序的操作。一个或多个存储器还可被配置为存储表格,如移动性绑定、注册和关联表等。
因为这类信息和程序指令可用来实施此处描述的系统/方法,所以本发明涉及包含用于执行此处描述的各种操作的程序指令、状态信息等的机器可读介质。机器可读介质的示例包括但不限于诸如硬盘、软盘和磁带之类的磁介质;诸如CD-ROM光盘之类的光介质;诸如可光读的盘之类的磁光介质;以及专门用于存储和执行程序指令的硬件设备,如只读存储设备(ROM)和随机存取存储器(RAM)。本发明还可具体化为计算机可读介质,在该介质中载波通过诸如无线电、光线、电线等之类的适当介质传播。程序指令的示例包括诸如可由编译器生成的机器代码,以及包含可由计算机利用解释器运行的较高层代码的文件。
虽然出于理解清楚的目的在一定细节上描述了前述发明,但是很明显在所附权利要求的范围内可进行某些修改和变更。因此,所述实施例应被视作说明性而非限制性的,且不应将本发明限制在此处给出的细节上,而应由所附权利要求及其等同物的全部范围来限定。
Claims (12)
1.一种在支持移动IP的移动节点中向支持移动IP的归属代理进行注册的方法,包括:
向所述归属代理发送自举请求来发起从与国际移动用户标识相关的认证信息生成至少一个移动IP密钥;
从所述归属代理接收包含一个或多个随机数的自举回复;
从与所述国际移动用户标识相关的认证信息和在所述自举回复中接收的随机数生成所述至少一个移动IP密钥,其中从与所述国际移动用户标识相关的认证信息和在所述自举回复中接收的随机数生成所述至少一个移动IP密钥包括生成在所述移动节点和AAA服务器之间共享的MN-AAA密钥;
生成包含所述MN-AAA密钥的注册请求;
从所述MN-AAA密钥生成MN-HA密钥来认证包含MHAE的注册回复;以及
利用所述MN-HA密钥来认证所述MHAE。
2.一种在支持移动IP的移动节点中向支持移动IP的归属代理进行注册的方法,包括:
向所述归属代理发送自举请求来发起从与国际移动用户标识相关的认证信息生成至少一个移动IP密钥;
从所述归属代理接收包含一个或多个随机数的自举回复;
从与所述国际移动用户标识相关的认证信息和在所述自举回复中接收的随机数生成所述至少一个移动IP密钥,其中从与所述国际移动用户标识相关的认证信息和在所述自举回复中接收的随机数生成所述至少一个移动IP密钥包括生成在所述移动节点和AAA服务器之间共享的MN-AAA密钥;
从所述MN-AAA密钥导出MN-HA密钥来认证所述自举回复,其中所述自举回复包括MHAE;以及
在所述自举回复被认证后删除所述MN-HA密钥。
3.一种在支持移动IP的归属代理中向归属代理注册支持移动IP的移动节点的方法,包括:
从所述移动节点接收自举请求,所述自举请求发起从与国际移动用户标识相关的认证信息生成至少一个移动IP密钥;
向所述移动节点发送包含一个或多个随机数的自举回复,从而使所述移动节点能够从所述随机数和与所述国际移动用户标识相关的认证信息生成所述至少一个移动IP密钥;
获得所述至少一个移动IP密钥,所述至少一个移动IP密钥是从所述随机数和与所述国际移动用户标识相关的认证信息导出的;
从所述移动节点接收包含MN-AAA密钥的注册请求;
利用所述MN-AAA密钥认证所述移动节点;
获得MN-HA密钥,其中所述MN-HA密钥是从所述MN-AAA密钥导出的;
利用所述MN-HA密钥生成MHAE;
将所述MHAE添加到注册回复上;以及
向所述移动节点发送所述注册回复。
4.如权利要求3所述的方法,其中认证是利用AAA服务器执行的,并且其中获得所述MN-HA密钥包括从所述AAA服务器获得所述MN-HA密钥。
5.如权利要求4所述的方法,还包括:
将所述MN-AAA密钥提供给所述AAA服务器,从而使所述AAA服务器能够生成所述MN-HA密钥。
6.一种在支持移动IP的归属代理中向归属代理注册支持移动IP的移动节点的方法,包括:
从所述移动节点接收自举请求,所述自举请求发起从与国际移动用户标识相关的认证信息生成至少一个移动IP密钥;
获得所述至少一个移动IP密钥,所述至少一个移动IP密钥是从所述随机数和与所述国际移动用户标识相关的认证信息导出的,其中所述至少一个移动IP密钥包括MN-HA密钥;从所述MN-HA密钥生成MHAE;
形成自举回复,所述自举回复包括所述MHAE和一个或多个随机数;
向所述移动节点发送所述自举回复,从而使所述移动节点能够从所述随机数和与所述国际移动用户标识相关的认证信息生成所述至少一个移动IP密钥;以及
在所述MHAE生成后删除所述MN-HA密钥。
7.一种在AAA服务器中生成至少一个移动IP密钥的方法,包括:
从归属代理接收请求消息,所述请求消息包括国际移动用户标识;
向归属位置寄存器发送包含国际移动用户标识的第二请求消息;
从所述归属位置寄存器接收答复消息,所述答复消息包括一个或多个随机数以及与所述随机数和与所述国际移动用户标识相关的认证信息二者导出的信息;以及
从下述信息生成所述至少一个移动IP密钥,所述信息是从所述随机数和与所述国际移动用户标识相关的认证信息二者导出的所述信息,
其中所述至少一个移动IP密钥包括MN-AAA密钥,所述至少一个移动IP密钥还包括MN-HA密钥。
8.如权利要求7所述的方法,还包括:
向所述归属代理提供所述MN-HA密钥,从而使所述归属代理能在移动IP注册期间生成MHAE。
9.如权利要求7所述的方法,其中所述MN-HA密钥是从所述MN-AAA密钥生成的。
10.如权利要求9所述的方法,还包括:
向所述归属代理提供所述MN-HA密钥,从而使所述归属代理能在移动IP注册期间生成MHAE。
11.一种在支持移动IP的归属代理中向归属代理注册支持移动IP的移动节点的设备,所述设备包括:
用于从所述移动节点接收自举请求的装置,所述自举请求发起从与国际移动用户标识相关的认证信息生成至少一个移动IP密钥;
用于向所述移动节点发送包含一个或多个随机数的自举回复从而使所述移动节点能够从所述随机数和与所述国际移动用户标识相关的认证信息 生成所述至少一个移动IP密钥的装置;
用于获得所述至少一个移动IP密钥的装置,所述至少一个移动IP密钥是从所述随机数和与所述国际移动用户标识相关的认证信息导出的;
用于从所述移动节点接收包含MN-AAA密钥的注册请求的装置;
用于利用所述MN-AAA密钥认证所述移动节点的装置;
用于获得MN-HA密钥的装置,其中所述MN-HA密钥是从所述MN-AAA密钥导出的;
用于利用所述MN-HA密钥生成MHAE的装置;
用于将所述MHAE添加到注册回复上的装置;以及
用于向所述移动节点发送所述注册回复的装置。
12.一种在支持移动IP的归属代理中向归属代理注册支持移动IP的移动节点的设备,所述设备包括:
用于从所述移动节点接收自举请求的装置,所述自举请求发起从与国际移动用户标识相关的认证信息生成至少一个移动IP密钥;
用于获得所述至少一个移动IP密钥的装置,所述至少一个移动IP密钥是从所述随机数和与所述国际移动用户标识相关的认证信息导出的,其中所述至少一个移动IP密钥包括MN-HA密钥;
用于从所述MN-HA密钥生成MHAE的装置;
用于形成自举回复的装置,所述自举回复包括所述MHAE和一个或多个随机数;
用于向所述移动节点发送所述自举回复从而使所述移动节点能够从所述随机数和与所述国际移动用户标识相关的认证信息生成所述至少一个移动IP密钥的装置;以及
用于在所述MHAE生成后删除所述MN-HA密钥的装置。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US11/258,720 | 2005-10-25 | ||
| US11/258,720 US7626963B2 (en) | 2005-10-25 | 2005-10-25 | EAP/SIM authentication for mobile IP to leverage GSM/SIM authentication infrastructure |
| PCT/US2006/041511 WO2007050623A2 (en) | 2005-10-25 | 2006-10-23 | Eap/sim authentication for mobile ip to leverage gsm/sim authentication infrastructure |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101297515A CN101297515A (zh) | 2008-10-29 |
| CN101297515B true CN101297515B (zh) | 2011-11-16 |
Family
ID=37968492
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2006800399015A Expired - Fee Related CN101297515B (zh) | 2005-10-25 | 2006-10-23 | 充分利用gsm/sim认证基础架构的移动ip eap/sim认证 |
Country Status (6)
| Country | Link |
|---|---|
| US (1) | US7626963B2 (zh) |
| EP (1) | EP1941649B1 (zh) |
| CN (1) | CN101297515B (zh) |
| AT (1) | ATE491279T1 (zh) |
| DE (1) | DE602006018766D1 (zh) |
| WO (1) | WO2007050623A2 (zh) |
Families Citing this family (46)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7475241B2 (en) * | 2002-11-22 | 2009-01-06 | Cisco Technology, Inc. | Methods and apparatus for dynamic session key generation and rekeying in mobile IP |
| US7870389B1 (en) | 2002-12-24 | 2011-01-11 | Cisco Technology, Inc. | Methods and apparatus for authenticating mobility entities using kerberos |
| US7765404B2 (en) * | 2004-06-29 | 2010-07-27 | Nokia Corporation | Providing content in a communication system |
| US7639802B2 (en) * | 2004-09-27 | 2009-12-29 | Cisco Technology, Inc. | Methods and apparatus for bootstrapping Mobile-Foreign and Foreign-Home authentication keys in Mobile IP |
| US7502331B2 (en) * | 2004-11-17 | 2009-03-10 | Cisco Technology, Inc. | Infrastructure-less bootstrapping: trustless bootstrapping to enable mobility for mobile devices |
| DE102006004868B4 (de) * | 2005-11-04 | 2010-06-02 | Siemens Ag | Verfahren und Server zum Bereitstellen eines Mobilitätsschlüssels |
| DE102006009726A1 (de) * | 2005-11-04 | 2007-05-10 | Siemens Ag | Verfahren und Server zum Bereitstellen eines Mobilitätsschlüssels |
| KR20070051233A (ko) * | 2005-11-14 | 2007-05-17 | 삼성전자주식회사 | 이중 확장 가능 인증 프로토콜 방식을 사용하는 광대역무선 접속 통신 시스템에서 재인증 시스템 및 방법 |
| US20070178885A1 (en) * | 2005-11-28 | 2007-08-02 | Starhome Gmbh | Two-phase SIM authentication |
| US8239671B2 (en) * | 2006-04-20 | 2012-08-07 | Toshiba America Research, Inc. | Channel binding mechanism based on parameter binding in key derivation |
| US7551915B1 (en) * | 2006-04-24 | 2009-06-23 | Sprint Spectrum L.P. | Method of establishing route optimized communication in mobile IPv6 by securing messages sent between a mobile node and home agent |
| KR101196100B1 (ko) * | 2006-05-13 | 2012-11-02 | 삼성전자주식회사 | 통신 시스템에서 인증 방법 및 그 장치 |
| DE102006031870B4 (de) * | 2006-06-01 | 2008-07-31 | Siemens Ag | Verfahren und System zum Bereitstellen eines Mobile IP Schlüssels |
| US8619993B2 (en) * | 2006-06-29 | 2013-12-31 | Nokia Corporation | Content protection for OMA broadcast smartcard profiles |
| CN101106452B (zh) * | 2006-07-12 | 2010-12-08 | 华为技术有限公司 | 移动ip密钥的产生及分发方法和系统 |
| KR101377574B1 (ko) * | 2006-07-28 | 2014-03-26 | 삼성전자주식회사 | 프락시 모바일 아이피를 사용하는 이동통신 시스템에서보안 관리 방법 및 그 시스템 |
| US8230212B2 (en) * | 2006-08-29 | 2012-07-24 | Alcatel Lucent | Method of indexing security keys for mobile internet protocol authentication |
| EP2103077B1 (en) * | 2007-01-04 | 2011-03-09 | Telefonaktiebolaget LM Ericsson (publ) | Method and apparatus for determining an authentication procedure |
| US20080220746A1 (en) * | 2007-03-08 | 2008-09-11 | Nokia Corporation | Key establishment utilizing link privacy |
| KR100922978B1 (ko) * | 2007-07-09 | 2009-10-22 | 에스케이 텔레콤주식회사 | Sim 카드 가입자의 가입 처리 시스템 및 방법 |
| CN101304311A (zh) * | 2008-06-12 | 2008-11-12 | 中兴通讯股份有限公司 | 密钥生成方法和系统 |
| JP4371249B1 (ja) * | 2008-08-07 | 2009-11-25 | 日本電気株式会社 | 通信システム、サーバ装置、情報通知方法、プログラム |
| JP4371250B1 (ja) * | 2008-08-07 | 2009-11-25 | 日本電気株式会社 | 通信システム、サーバ装置、情報通知方法、プログラム |
| ES2434696T3 (es) | 2008-11-04 | 2013-12-17 | Huawei Technologies Co., Ltd. | Método, aparato y sistema para determinar índices de recursos |
| KR101655264B1 (ko) * | 2009-03-10 | 2016-09-07 | 삼성전자주식회사 | 통신시스템에서 인증 방법 및 시스템 |
| US9369938B2 (en) * | 2009-03-31 | 2016-06-14 | Microsoft Technology Licensing, Llc | Subscriber identity module (SIM) for mobile stations |
| US8886805B2 (en) * | 2009-11-19 | 2014-11-11 | Flash Networks, Ltd | Method and system for dynamically allocating services for subscribers data traffic |
| US8467532B2 (en) * | 2010-01-04 | 2013-06-18 | Tata Consultancy Services Limited | System and method for secure transaction of data between a wireless communication device and a server |
| US8296836B2 (en) * | 2010-01-06 | 2012-10-23 | Alcatel Lucent | Secure multi-user identity module key exchange |
| WO2011113873A1 (en) * | 2010-03-17 | 2011-09-22 | Telefonaktiebolaget L M Ericsson (Publ) | Enhanced key management for srns relocation |
| CN102055589B (zh) * | 2011-01-27 | 2012-11-21 | 北京傲天动联技术有限公司 | 用户认证的方法和系统 |
| US20120303310A1 (en) | 2011-05-26 | 2012-11-29 | First Data Corporation | Systems and Methods for Providing Test Keys to Mobile Devices |
| US9331993B2 (en) * | 2011-06-16 | 2016-05-03 | Telefonaktiebolaget L M Ericsson (Publ) | Authentication server and communication device |
| US8769626B2 (en) | 2011-11-29 | 2014-07-01 | Cisco Technology, Inc. | Web authentication support for proxy mobile IP |
| CN103139265B (zh) * | 2011-12-01 | 2016-06-08 | 国际商业机器公司 | 大规模并行计算系统中的网络传输自适应优化方法及系统 |
| CN103118358A (zh) * | 2012-11-16 | 2013-05-22 | 佳都新太科技股份有限公司 | 一种唯一识别手机用户注册方法 |
| US10305952B2 (en) * | 2015-11-09 | 2019-05-28 | T-Mobile Usa, Inc. | Preference-aware content streaming |
| US10193943B2 (en) | 2015-11-09 | 2019-01-29 | T-Mobile Usa, Inc. | Data-plan-based quality setting suggestions and use thereof to manage content provider services |
| US10728152B2 (en) | 2016-02-08 | 2020-07-28 | T-Mobile Usa, Inc. | Dynamic network rate control |
| EP3573357A1 (en) * | 2017-01-17 | 2019-11-27 | Nec Corporation | Communication system, communication terminal, amf entity, and communication method |
| JP6934762B2 (ja) * | 2017-07-04 | 2021-09-15 | 株式会社ソラコム | 機器をリモートで管理するための装置、方法及びそのためのプログラム |
| US11343675B2 (en) | 2017-11-21 | 2022-05-24 | Telefonaktiebolaget Lm Ericsson (Publ) | Communication device authentication for multiple communication devices |
| CN111656376B (zh) * | 2017-11-30 | 2023-10-31 | 建筑开发技术公司 | 信息处理装置、信息处理方法、信息处理系统以及程序 |
| AU2019228420A1 (en) * | 2018-03-02 | 2020-09-24 | Nitto Denko Corporation | Device pairing system and method, and device communication control system and method |
| US10791462B2 (en) | 2018-10-15 | 2020-09-29 | Cisco Technology, Inc. | Flexible device onboarding via bootstrap keys |
| CN111866871B (zh) * | 2019-04-29 | 2021-11-26 | 华为技术有限公司 | 通信方法和装置 |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP1139634A2 (en) * | 2000-03-30 | 2001-10-04 | Lucent Technologies Inc. | Transcient tunneling for dynamic home addressing on mobile hosts |
Family Cites Families (67)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US4692918A (en) | 1984-12-17 | 1987-09-08 | At&T Bell Laboratories | Reliable local data network arrangement |
| DE3838945A1 (de) | 1987-11-18 | 1989-06-08 | Hitachi Ltd | Netzwerksystem mit lokalen netzwerken und mit einer hierarchischen wegewahl |
| DE3919962C3 (de) | 1989-06-19 | 1994-07-14 | Hirschmann Richard Gmbh Co | Verfahren und Anordnung zur Sicherung der Datenübertragung in einem linearen Rechnernetz |
| US5016244A (en) | 1989-09-08 | 1991-05-14 | Honeywell Inc. | Method for controlling failover between redundant network interface modules |
| US5371852A (en) | 1992-10-14 | 1994-12-06 | International Business Machines Corporation | Method and apparatus for making a cluster of computers appear as a single host on a network |
| US5793762A (en) | 1994-04-12 | 1998-08-11 | U S West Technologies, Inc. | System and method for providing packet data and voice services to mobile subscribers |
| US5473599A (en) | 1994-04-22 | 1995-12-05 | Cisco Systems, Incorporated | Standby router protocol |
| US6148074A (en) | 1997-02-10 | 2000-11-14 | Genesys Telecommunications Laboratories, Inc. | Personal desktop router |
| US6070243A (en) | 1997-06-13 | 2000-05-30 | Xylan Corporation | Deterministic user authentication service for communication network |
| US6377982B1 (en) | 1997-10-14 | 2002-04-23 | Lucent Technologies Inc. | Accounting system in a network |
| US6148405A (en) | 1997-11-10 | 2000-11-14 | Phone.Com, Inc. | Method and system for secure lightweight transactions in wireless data networks |
| US6535493B1 (en) | 1998-01-15 | 2003-03-18 | Symbol Technologies, Inc. | Mobile internet communication protocol |
| US6195705B1 (en) | 1998-06-30 | 2001-02-27 | Cisco Technology, Inc. | Mobile IP mobility agent standby protocol |
| FI105966B (fi) | 1998-07-07 | 2000-10-31 | Nokia Networks Oy | Autentikointi tietoliikenneverkossa |
| US6230012B1 (en) | 1998-08-07 | 2001-05-08 | Qualcomm Incorporated | IP mobility support using proxy mobile node registration |
| US6119160A (en) | 1998-10-13 | 2000-09-12 | Cisco Technology, Inc. | Multiple-level internet protocol accounting |
| US6760444B1 (en) | 1999-01-08 | 2004-07-06 | Cisco Technology, Inc. | Mobile IP authentication |
| US6560217B1 (en) | 1999-02-25 | 2003-05-06 | 3Com Corporation | Virtual home agent service using software-replicated home agents |
| US6466964B1 (en) | 1999-06-15 | 2002-10-15 | Cisco Technology, Inc. | Methods and apparatus for providing mobility of a node that does not support mobility |
| US7174018B1 (en) | 1999-06-24 | 2007-02-06 | Nortel Networks Limited | Security framework for an IP mobility system using variable-based security associations and broker redirection |
| US6785823B1 (en) | 1999-12-03 | 2004-08-31 | Qualcomm Incorporated | Method and apparatus for authentication in a wireless telecommunications system |
| FI20000760A0 (fi) | 2000-03-31 | 2000-03-31 | Nokia Corp | Autentikointi pakettidataverkossa |
| US6728536B1 (en) * | 2000-05-02 | 2004-04-27 | Telefonaktiebolaget Lm Ericsson | Method and system for combined transmission of access specific access independent and application specific information over public IP networks between visiting and home networks |
| US7107051B1 (en) | 2000-09-28 | 2006-09-12 | Intel Corporation | Technique to establish wireless session keys suitable for roaming |
| KR100520141B1 (ko) | 2000-10-26 | 2005-10-10 | 삼성전자주식회사 | 이동통신 시스템에서 고정 주소를 가지는 이동단말의 핸드오버 방법 |
| US6879690B2 (en) | 2001-02-21 | 2005-04-12 | Nokia Corporation | Method and system for delegation of security procedures to a visited domain |
| US20020120844A1 (en) * | 2001-02-23 | 2002-08-29 | Stefano Faccin | Authentication and distribution of keys in mobile IP network |
| US6907016B2 (en) | 2001-04-03 | 2005-06-14 | Telefonaktiebolaget L M Ericsson (Publ) | Mobile IP registration in selected inter-PDSN dormant hand-off cases in a CDMA2000-based cellular telecommunications network |
| US20020147820A1 (en) | 2001-04-06 | 2002-10-10 | Docomo Communications Laboratories Usa, Inc. | Method for implementing IP security in mobile IP networks |
| US7243370B2 (en) | 2001-06-14 | 2007-07-10 | Microsoft Corporation | Method and system for integrating security mechanisms into session initiation protocol request messages for client-proxy authentication |
| US7900242B2 (en) * | 2001-07-12 | 2011-03-01 | Nokia Corporation | Modular authentication and authorization scheme for internet protocol |
| US7073066B1 (en) | 2001-08-28 | 2006-07-04 | 3Com Corporation | Offloading cryptographic processing from an access point to an access point server using Otway-Rees key distribution |
| US20030069990A1 (en) | 2001-10-05 | 2003-04-10 | D'annunzio Michael A. | Router discovery protocol on a mobile internet protocol based network |
| US7042879B2 (en) | 2001-11-02 | 2006-05-09 | General Instrument Corporation | Method and apparatus for transferring a communication session |
| KR100450973B1 (ko) * | 2001-11-07 | 2004-10-02 | 삼성전자주식회사 | 무선 통신시스템에서 이동 단말기와 홈에이전트간의인증을 위한 방법 |
| US7409549B1 (en) * | 2001-12-11 | 2008-08-05 | Cisco Technology, Inc. | Methods and apparatus for dynamic home agent assignment in mobile IP |
| US7475250B2 (en) | 2001-12-19 | 2009-01-06 | Northrop Grumman Corporation | Assignment of user certificates/private keys in token enabled public key infrastructure system |
| US7320070B2 (en) | 2002-01-08 | 2008-01-15 | Verizon Services Corp. | Methods and apparatus for protecting against IP address assignments based on a false MAC address |
| US7061887B2 (en) | 2002-01-25 | 2006-06-13 | Telefonaktiebolaget Lm Ericsson (Publ) | Multiple mobile IP sessions with dynamically allocated home IP address |
| US7298847B2 (en) * | 2002-02-07 | 2007-11-20 | Nokia Inc. | Secure key distribution protocol in AAA for mobile IP |
| US6947725B2 (en) | 2002-03-04 | 2005-09-20 | Microsoft Corporation | Mobile authentication system with reduced authentication delay |
| US7224673B1 (en) | 2002-05-24 | 2007-05-29 | Cisco Technology, Inc. | Mobile IP registration message compression |
| US7039404B2 (en) | 2002-06-27 | 2006-05-02 | Intel Corporation | Continuous mobility across wireless networks by integrating mobile IP and GPRS mobility agents |
| US6956846B2 (en) * | 2002-08-16 | 2005-10-18 | Utstarcom Incorporated | System and method for foreign agent control node redundancy in a mobile internet protocol network |
| CH694678A5 (de) | 2002-08-16 | 2005-05-31 | Togewa Holding Ag | Verfahren und System für GSM-Authentifizierung bei WLAN Roaming. |
| US7218609B2 (en) * | 2002-08-30 | 2007-05-15 | Utstarcom, Inc. | Method and system of transferring session speed and state information between access and home networks |
| KR100480258B1 (ko) | 2002-10-15 | 2005-04-07 | 삼성전자주식회사 | 무선 근거리 네트워크에서 고속 핸드오버를 위한 인증방법 |
| US7475241B2 (en) | 2002-11-22 | 2009-01-06 | Cisco Technology, Inc. | Methods and apparatus for dynamic session key generation and rekeying in mobile IP |
| US7350077B2 (en) | 2002-11-26 | 2008-03-25 | Cisco Technology, Inc. | 802.11 using a compressed reassociation exchange to facilitate fast handoff |
| JP4028793B2 (ja) | 2002-12-03 | 2007-12-26 | 株式会社日立製作所 | 移動端末装置および端末間パケット通信方法 |
| US6999437B2 (en) | 2002-12-17 | 2006-02-14 | Nokia Corporation | End-to-end location privacy in telecommunications networks |
| US20040162105A1 (en) * | 2003-02-14 | 2004-08-19 | Reddy Ramgopal (Paul) K. | Enhanced general packet radio service (GPRS) mobility management |
| US7181196B2 (en) * | 2003-05-15 | 2007-02-20 | Lucent Technologies Inc. | Performing authentication in a communications system |
| CA2528787A1 (en) | 2003-06-18 | 2004-12-23 | Telefonaktiebolaget Lm Ericsson (Publ) | Method, system and apparatus to support mobile ip version 6 services |
| US20070274266A1 (en) | 2003-06-18 | 2007-11-29 | Johnson Oyama | Method, System And Apparatus To Support Mobile Ip Version 6 Services in Cdma Systems |
| US20050010780A1 (en) | 2003-07-09 | 2005-01-13 | Kane John Richard | Method and apparatus for providing access to personal information |
| JP4057983B2 (ja) | 2003-09-04 | 2008-03-05 | 株式会社エヌ・ティ・ティ・ドコモ | 通信システム及び通信制御方法 |
| JP4397675B2 (ja) | 2003-11-12 | 2010-01-13 | 株式会社日立製作所 | 計算機システム |
| US20050135622A1 (en) * | 2003-12-18 | 2005-06-23 | Fors Chad M. | Upper layer security based on lower layer keying |
| TWI234978B (en) * | 2003-12-19 | 2005-06-21 | Inst Information Industry | System, method and machine-readable storage medium for subscriber identity module (SIM) based pre-authentication across wireless LAN |
| US20050138355A1 (en) * | 2003-12-19 | 2005-06-23 | Lidong Chen | System, method and devices for authentication in a wireless local area network (WLAN) |
| EP1712058A1 (en) | 2004-02-06 | 2006-10-18 | Telecom Italia S.p.A. | Method and system for the secure and transparent provision of mobile ip services in an aaa environment |
| US20050177515A1 (en) * | 2004-02-06 | 2005-08-11 | Tatara Systems, Inc. | Wi-Fi service delivery platform for retail service providers |
| TWI249316B (en) * | 2004-02-10 | 2006-02-11 | Ind Tech Res Inst | SIM-based authentication method for supporting inter-AP fast handover |
| US20060046693A1 (en) * | 2004-08-31 | 2006-03-02 | Hung Tran | Wireless local area network (WLAN) authentication method, WLAN client and WLAN service node (WSN) |
| US7639802B2 (en) | 2004-09-27 | 2009-12-29 | Cisco Technology, Inc. | Methods and apparatus for bootstrapping Mobile-Foreign and Foreign-Home authentication keys in Mobile IP |
| US7502331B2 (en) | 2004-11-17 | 2009-03-10 | Cisco Technology, Inc. | Infrastructure-less bootstrapping: trustless bootstrapping to enable mobility for mobile devices |
-
2005
- 2005-10-25 US US11/258,720 patent/US7626963B2/en not_active Expired - Fee Related
-
2006
- 2006-10-23 EP EP06817346A patent/EP1941649B1/en not_active Not-in-force
- 2006-10-23 AT AT06817346T patent/ATE491279T1/de not_active IP Right Cessation
- 2006-10-23 CN CN2006800399015A patent/CN101297515B/zh not_active Expired - Fee Related
- 2006-10-23 DE DE602006018766T patent/DE602006018766D1/de active Active
- 2006-10-23 WO PCT/US2006/041511 patent/WO2007050623A2/en active Application Filing
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP1139634A2 (en) * | 2000-03-30 | 2001-10-04 | Lucent Technologies Inc. | Transcient tunneling for dynamic home addressing on mobile hosts |
Also Published As
| Publication number | Publication date |
|---|---|
| DE602006018766D1 (de) | 2011-01-20 |
| EP1941649B1 (en) | 2010-12-08 |
| WO2007050623A3 (en) | 2007-07-05 |
| ATE491279T1 (de) | 2010-12-15 |
| EP1941649A2 (en) | 2008-07-09 |
| WO2007050623A2 (en) | 2007-05-03 |
| CN101297515A (zh) | 2008-10-29 |
| US20070091843A1 (en) | 2007-04-26 |
| US7626963B2 (en) | 2009-12-01 |
| EP1941649A4 (en) | 2009-02-04 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101297515B (zh) | 充分利用gsm/sim认证基础架构的移动ip eap/sim认证 | |
| US8165290B2 (en) | Methods and apparatus for bootstrapping mobile-foreign and foreign-home authentication keys in mobile IP | |
| US9197615B2 (en) | Method and system for providing access-specific key | |
| US8584207B2 (en) | Infrastructure-less bootstrapping: trustless bootstrapping to enable mobility for mobile devices | |
| JP4832756B2 (ja) | Wlanローミングの間にgsm認証を行う方法およびシステム | |
| US7496057B2 (en) | Methods and apparatus for optimizations in 3GPP2 networks using mobile IPv6 | |
| CN1714560B (zh) | 移动ip中的动态会话密钥产生及密钥重置的方法和装置 | |
| US8341700B2 (en) | Authentication in heterogeneous IP networks | |
| US9686669B2 (en) | Method of configuring a mobile node | |
| US9043599B2 (en) | Method and server for providing a mobility key | |
| CN1672368B (zh) | 用于通信系统互通功能的方法及装置 | |
| US7489919B2 (en) | Method and system for registering communication systems to wireless terminals | |
| CN101305543B (zh) | 允许不支持chap认证的节点在代理移动ip情况下的网络接入的方法和设备 | |
| US8289929B2 (en) | Method and apparatus for enabling mobility in mobile IP based wireless communication systems | |
| US7870389B1 (en) | Methods and apparatus for authenticating mobility entities using kerberos | |
| JP2004241976A (ja) | 移動通信ネットワークシステムおよび移動端末認証方法 | |
| WO2007004208A1 (en) | Transfer of secure communication sessions between wireless networks access points | |
| EP2361473A1 (en) | Method and communication system for protecting an authentication connection | |
| Haverinen et al. | Authentication and key generation for mobile IP using GSM authentication and roaming |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20111116 Termination date: 20201023 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |