CN101300814A - 以用户特定的方式强制代理移动ip(pmip)代替客户端移动ip(cmip) - Google Patents
以用户特定的方式强制代理移动ip(pmip)代替客户端移动ip(cmip) Download PDFInfo
- Publication number
- CN101300814A CN101300814A CNA2006800411479A CN200680041147A CN101300814A CN 101300814 A CN101300814 A CN 101300814A CN A2006800411479 A CNA2006800411479 A CN A2006800411479A CN 200680041147 A CN200680041147 A CN 200680041147A CN 101300814 A CN101300814 A CN 101300814A
- Authority
- CN
- China
- Prior art keywords
- network
- authentication
- pmip
- user
- mobile
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/2803—Home automation networks
- H04L12/2807—Exchanging configuration information on appliance services in a home automation network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/321—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W8/00—Network data management
- H04W8/02—Processing of mobility data, e.g. registration information at HLR [Home Location Register] or VLR [Visitor Location Register]; Transfer of mobility data, e.g. between HLR, VLR or external networks
- H04W8/08—Mobility data transfer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W80/00—Wireless network protocols or protocol adaptations to wireless operation
- H04W80/04—Network layer protocols, e.g. mobile IP [Internet Protocol]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W88/00—Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
- H04W88/18—Service support devices; Network management devices
- H04W88/182—Network node acting on behalf of an other network entity, e.g. proxy
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/76—Proxy, i.e. using intermediary entity to perform cryptographic operations
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/80—Wireless
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0884—Network architectures or network communication protocols for network security for authentication of entities by delegation of authentication, e.g. a proxy authenticates an entity to be authenticated on behalf of this entity vis-à-vis an authentication entity
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Automation & Control Theory (AREA)
- Databases & Information Systems (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明涉及用于以用户特定的方式激活基于网络的移动性管理的方法以及用于以用户特定的方式激活基于网络的移动性管理的鉴权服务器。在本发明的方法中,即使移动终端设备支持基于终端设备的移动性管理(CMIP),也强制进行基于网络的移动性管理(PMIP)。由此网络运营商在其网络中获得对移动性管理的完全控制,并避免在移动终端设备的MIP配置中的配置问题。在本发明的方法中,所述鉴权服务器(11)在成功鉴权用户之后把鉴权确认消息(SUCCESS)发送到在接入网络(4)中的鉴权客户端(6C)。在此,如果所述鉴权服务器不为基于终端设备的移动性管理(CMIP)提供公共移动性密钥,那么所接收的鉴权确认消息(SUCCESS)包含用以激活基于网络的移动性管理(PMIP)的激活属性(PMIP_ONLY)。
Description
本发明涉及用于尤其在WiMax网络中以用户特定的方式激活基于网络的移动性管理的方法和鉴权服务器。
利用TCP/IP协议的因特网为开发移动领域的更高协议而提供平台。因为因特网协议广泛普及,所以可以利用用于移动环境的相应协议扩展来开辟广大的用户圈。但常规的因特网协议最初并非针对移动应用被构思的。在常规因特网的分组交换中,所述分组在固定的计算机之间被交换,所述固定的计算机既不改变其网络地址,又不在不同的子网之间移动。在具有移动计算机的无线电网络中,移动计算机MS经常被内连到不同的网络中。DHCP(动态主机配置协议(Dynamic HostConfiguration Protocol))允许借助相应的服务器将IP地址和其它配置参数动态地分配给网络中的计算机。内连到网络中的计算机通过DHCP协议自动地被分配得到自由的IP地址。如果移动计算机已安装了DHCP,则该移动计算机只须进入通过DHCP协议支持配置的本地网络的有效范围内。在DHCP协议情况下,动态的地址分配是可能的,也就是说,对于确定的时间,自由的IP地址自动地被分配。在经过所述时间之后,必须由移动计算机重新提出询问或者可以以其它方式分配IP地址。
利用DHCP,移动计算机在无需手动配置的情况下可以被内连到网络中。作为前提条件,仅仅DHCP服务器必须可供使用。因此移动计算机可以使用本地网络服务并且例如可使用在中央所存储的文件。但如果移动计算机自身提供服务,则潜在的服务用户不能找到该移动计算机,因为该移动计算机的IP地址在该移动计算机所内连到的每个网络中都发生变化。如果IP地址在已有的TCP连接期间改变,则同样的情况发生。这导致连接中断。因此在移动IP的情况下,移动计算机被分配得到该移动计算机也保留在另一网络中的IP地址。在常规的IP网络转变的情况下,需要相应地匹配IP地址设定。但在终端设备上的IP和路由配置的持续匹配几乎无法手动实现。在常规的自动配置机制情况下,已有的连接在IP地址转变时被中断。MIP协议(RFC 2002、RFC2977、RFC 3344、RFC 3846、RFC 3957、RFC 3775、RFC 3776、RFC4285)支持移动终端设备的移动性。在常规的IP协议的情况下,移动终端设备在每次转变IP子网时必须匹配其IP地址,以便正确地对向移动终端设备寻址的数据分组进行路由。为了维持已有的TCP连接,移动终端设备必须保持其IP地址,因为地址转变导致连接中断。MIP协议通过允许移动终端设备或移动节点(MN)具有两个IP地址而消除这种冲突。MIP协议可以实现在两个地址、即永久归属地址(Home-Adresse)和第二临时转交地址(Care-of-Adresse)之间的透明连接。转交地址是IP地址,其中在该IP地址下,移动终端设备当前是可达的。
只要移动终端设备不停留在最初的归属网络中,则归属代理(Home Agent)是移动终端设备的代理(Stellvertreter)。归属代理持续地被通知关于移动计算机的当前停留位置。归属代理通常是移动终端设备的归属网络中的路由器的组件。如果移动终端设备处于归属网络之外,则归属代理提供一种功能,以便移动终端设备可以登录。于是归属代理将向移动终端设备寻址的数据分组转发至移动终端设备的当前子网中。
外部代理(Foreign Agent)处于子网中,其中所述移动终端设备在所述子网中移动。外部代理将到达的数据分组转发至移动终端设备或移动计算机。外部代理处于所谓的外部网络(受访网络(VisitedNetwork))中。外部代理同样通常是路由器的组件。外部代理在移动终端设备与其归属代理之间路由所有管理性移动数据分组。外部代理对由归属代理以隧道方式(getunnelt)所发送的IP数据分组进行解包,并将其数据转发至移动终端设备。
移动终端设备的归属地址是以下地址,其中所述移动终端设备在该地址下永久可达。归属地址具有与归属代理相同的地址前缀。转交地址是移动终端设备在外部网络中所使用的该IP地址。
归属代理维护所谓的移动性绑定表(MBT:Mobility BindingTable)。所述表中的项用于相互分配移动终端设备的两个地址、即归属地址和转交地址,并相应地转移数据分组。MBT表含有关于归属地址、转交地址的项和关于所述分配有效的时间间隔(寿命)的说明。图1示出根据现有技术的移动性绑定表的实例。
外部代理(FA)含有访客列表(VL:Visitor List),该访客列表含有关于恰好处于外部代理的IP网络中的移动终端设备的信息。图2示出根据现有技术的这种访客列表的实例。
为了可以将移动计算机内连到网络中,所述移动计算机必须首先设法知道:所述移动计算机是处于其归属网络中还是外部网络中。移动终端设备还必须设法知道子网中的哪个计算机是归属代理或外部代理。这些信息通过所谓的代理发现(Agent Discovery)来确定。
通过随后的注册,移动终端设备可以将其当前所在地通知给其归属代理。为此,移动计算机或移动终端设备将当前的转交地址发送给归属代理。为了注册,移动计算机将注册请求(Registration-Request)发送至归属代理。归属代理(HA)将转交地址记录到其列表中,并利用注册应答(Registration Reply)来应答。但在这种情况下产生安全问题。因为原则上每个计算机都可以向归属代理发送注册请求,所以可以以简单的方式给归属代理假象:计算机已移动到另一网络中。因此外部计算机可能会在发送器不知情的情况下接受移动计算机或移动终端设备的所有数据分组。为了防止这一点,移动计算机和归属代理具有公共秘密密钥。如果移动计算机返回到其归属网络中,则该移动计算机在归属代理处注销,因为移动计算机从现在起可以自身接受所有的数据分组。移动无线电网络此外必须具有如下安全性特性。只允许针对所希望的通信方访问信息,也就是说,所不希望的窃听者不允许访问所传输的数据。因此移动无线电网络必须具有机密性(Confidentiality)特性。此外必须存在真实性。真实性(Authenticity)允许通信方毫无疑问地确定,是否实际上建立了与所希望的通信方的通信,或者是否外部方冒充通信方。可以对每个消息或每个连接执行鉴权。如果基于连接被鉴权,则在通信方开始会话(Session)时只被识别一次。于是对于会话的继续过程来说认为,随后的消息继续来自于相应的发送器。即使通信方的标识()确定了,也就是说,通信方被鉴权,也可能出现以下情况:该通信方不允许访问所有的资源或者不允许使用所有关于网络的服务。在这种情况下,相应的授权以先前对通信方的鉴权为前提。
在移动数据网络的情况下,消息必须经由空中接口经过较长的路段,并且因此对于潜在的攻击者来说是轻易可达的。因此在移动的和无线的数据网络的情况下,安全性方面起特殊的作用。用于提高数据网络中的安全性的重要手段是加密技术。通过加密能够经由不安全的通信通路、例如经由空中接口传输数据,而不使未被授权的第三方访问数据。为了加密,数据、即所谓的明码文本(Klartext)借助于加密算法被转换成密码文本。经加密的文本可以经由不安全的数据传输信道传输并且接着被解密或译解。
作为大有希望的无线接入技术,建议WiMax(全球微波接入互操作性)作为新标准,该新标准为无线电传输而使用IEEE 802.16。在WiMax的情况下,利用发送站应该将超过每秒100Mbit的数据速率供应给高达50km的范围。
图3示出WiMax无线电网络的参考模型。移动终端设备MS位于接入网络(ASN:接入服务网络(Access Serving Network))的范围内。接入网络ASN通过至少一个受访网络(受访连接性服务网络VCSN(Visited Connectivity Service Network))或中间网络与归属网络HCSN(归属连接性服务网络(Home Connectivity Service Network))相连接。不同的网络通过接口或参考点R相互连接。移动站MS的归属代理HA位于归属网络HCSN中或者受访网络VCSN之一中。
WiMax支持移动IP的两种实现变型方案:所谓的客户端MIP(CMIP)和代理MIP(PMIP),其中在所述客户端MIP中,移动站自身实现MIP客户端功能,在所述代理MIP中,MIP客户端功能通过WiMax接入网络来实现。为此设置在ASN中的功能性称为代理移动节点(PMN,Proxy Mobile Node)或PMIP客户端。由此还可以利用本身不支持MIP的移动站来使用MIP。
图4示出根据现有技术在归属代理处于受访网络中时在代理MIP(PMIP)情况下的连接建立。
当在移动终端设备和基站之间建立无线电连接之后,首先进行接入鉴权。鉴权、授权和计账的功能借助于所谓的AAA服务器(AAA:鉴权、授权和计费)来实现。在移动终端设备MS和归属网络的AAA服务器(HAAA)之间交换鉴权消息,借助于所述鉴权消息得到归属代理的地址和鉴权密钥。归属网络中的鉴权服务器含有用户的配置文件数据(Profildaten)。AAA服务器获得鉴权询问消息,所述鉴权询问消息含有移动终端设备的用户标识。在接入鉴权成功之后,AAA服务器产生MSK密钥(MSK:主会话密钥(Master Session Key))用于保护移动终端设备MS和接入网络ASN的基站之间的数据传输路段。所述MSK密钥从归属网络的AAA服务器通过中间网络CSN被传输至接入网络ASN。
如在图4中可见,在接入鉴权之后配置接入网络ASN中的DHCP代理服务器。如果IP地址和主机配置已经包含在AAA应答消息中,则将整个信息下载到DHCP代理服务器中。
在成功鉴权和授权之后,移动站或移动终端设备MS发送DHCP发现消息并进行IP地址分配。
如果移动终端设备被内连到网络中,那么该移动终端设备可能能够设法知道该移动终端设备是位于归属网络中还是外部网络中。另外该移动终端设备必须设法知道在相应网络中哪个计算机是归属代理或外部代理。这些信息通过所谓的代理发现(Agent Discovery)来确定。存在两种类型的代理发现、也即所谓的代理通告(Agent Advertisement)和代理征求(Agent Solicitation)。
在所述代理通告的情况下,代理、也即归属或外部代理周期性地向子网的所有计算机或移动终端设备发送广播消息。因此,在某一时间段内侦听所述广播消息的每个计算机都可以对相应子网中的代理进行识别。
如果移动终端设备被新激活,那么该移动终端设备通常实际上不等待下一代理通告。该移动终端设备必须立即知道它正好位于哪个子网中。在所谓的代理征求的情况下,移动终端设备从而向相应子网的所有计算机发送邀请来执行代理通告。该移动终端设备可以通过代理征求来强迫该代理立即知道,使得等待时间大大缩短。即使代理通告比如在分组丢失或网络转变的情况下没有出现,代理征求也被执行。借助所述代理发现,移动终端设备也可以确定:该移动终端设备是否位于其归属网络中或者位于外部网络中。借助在代理通告消息内的分组信息,该移动终端设备来识别其归属代理。如果移动终端设备从外部网络收到消息分组,那么该移动终端设备附加地可以确定其所在地自最后的通告以来是否已经变化了。如果该移动终端设备未接收到通告消息,那么该移动终端设备首先假定:该移动终端设备位于归属网络中并且该归属代理受到干扰。于是该移动终端设备尝试与网络的路由器建立联系,用以确认这种假定。如果该移动终端设备没有位于其归属网络中,那么于是尝试到达DHCP服务器并获得子网的地址。如果这成功了,那么该移动终端设备把该地址用作所谓的共同定位(Colocated)转交地址,并且与该归属代理建立联系。该共同定位转交地址是在外部网络中分配给该移动终端设备的地址,其中该地址也被传输到所述归属代理。
在基于网络的移动性管理(PMIP)与基于终端设备的移动性管理(CMIP)之间进行区分。在基于终端设备的移动性管理CMIP中,该终端设备支持移动IP(MIP)。
图4示出在常规的基于网络的移动性管理(PMIP)情况下的连接建立,而图5示出在常规的基于终端设备的移动性管理(CMIP)情况下的连接建立。
当在移动终端设备与网络之间建立连接时,归属网络的鉴权服务器(H-AAA)在该用户的鉴权成功之后发送鉴权确认消息(SUCCESS)。该鉴权确认消息向鉴权客户端通知:该用户的鉴权已成功结束。在代理MIP或基于网络的移动性管理(PMIP)的情况下,移动终端设备不支持移动IP,或者相应的MIP软件在该移动终端设备中未被激活。与此相反,在客户端MIP(CMIP)或在基于终端设备的移动性管理的情况下,相应的终端设备或移动站MS支持移动IP。在代理MIP的情况下,该移动终端设备仅仅识别由DHCP服务器所分配的地址。该移动终端设备的转交地址对于该移动终端设备是未知的,而对于PMIP客户端、外部代理以及归属代理是已知的。与此相反,在客户端MIP的情况下,移动终端设备识别其两个IP地址,、也即归属地址以及转交地址。
如在图4、5中可看出,在IP地址分配之后进行MIP注册。在MIP注册时,归属代理被通知关于该移动终端设备的当前所在地。为了对其注册,该移动终端设备或相应的PMIP客户端向归属代理发送注册请求,其中所述注册请求包含当前的转交地址。该归属代理把该转交地址记录到由其所管理的列表中,并利用注册应答(RegistrationReply)来应答。因为原则上每个计算机都可以向归属代理发送注册请求,所以可以以简单的方法给归属代理假象:计算机或移动终端设备已经移动到另一网络中。为了避免此点,不仅该移动终端设备、而且归属代理都具有公共秘密密钥、也即所谓的MIP密钥。
在代理MIP(PMIP)的情况下,注册请求MIPRRQ由接入网络中的PMIP客户端经由外部代理被传输到归属代理HA。该归属代理HA可以由所属的鉴权服务器H-AAA为用户被分配密钥,并将所述密钥利用MIP注册应答(MIP Registration Reply)来传输,如在图4中所示。
在基于终端设备的移动性管理(CMIP)的情况下,注册请求消息(MIPRRQ)直接从移动终端设备MS经由外部代理对准归属代理HA,如在图5中所示。
在基于终端设备的移动性管理(CMIP)的情况下,必须经由移动终端设备MS和归属网络的鉴权服务器H-AAA生成公共移动性密钥用以对移动性信令消息进行密码保护,其中所述公共密钥接着对在移动终端设备MS与归属代理之间的通信进行保护。在基于网络的移动性管理PMIP的情况下,必须经由PMIP客户端和归属代理HA通过鉴权服务器生成公共移动性密钥。在常规的系统中,只有当移动终端设备MS不支持基于终端设备的移动性管理CMIP时,才使用基于网络的移动性管理PMIP(代理MIP)。如果现在移动终端设备MS的归属网络与该移动终端设备相反自身不提供对MIP的支持,那么在移动终端设备的MIP配置中产生问题。
因此本发明的任务在于,提供一种方法和一种鉴权服务器,其中网络运营商通过移动性管理在其网络中获得完全的控制,并避免在移动终端设备的MIP配置中的配置问题。
根据本发明,该任务通过具有权利要求1中所说明的特征的方法而得到解决。
本发明提供一种用于以用户特定的方式激活基于网络的移动性管理(PMIP)的方法,其中如果鉴权服务器不为基于终端设备的移动性管理(CMIP)提供公共密钥,则用户的鉴权服务器在成功鉴权该用户之后把鉴权确认消息(SUCCESS)发送到接入网络(ASN)中的鉴权客户端,其中所述鉴权确认消息(SUCCESS)包含用于激活基于网络的移动性管理(PMIP)的激活属性(PMIP_ONLY)。
本发明方法的基本思想在于,即使移动终端设备MS不支持基于终端设备的移动性管理(CMIP),那么就强制进行基于网络的移动性管理(PMIP)。
由此,连接性业务网络(CSN(Connectivity Service Network))的运营商在其网络中获得对宏移动性管理的完全控制。
在本发明方法的一个优选实施形式中,鉴权服务器位于用户的归属网络中。
在本发明方法的另一优选实施形式中,鉴权服务器把鉴权确认消息(SUCCESS)传输到接入网络的网关,其中所述网关包含鉴权客户端。
在本发明方法的一个优选实施形式中,激活属性(PMIP_ONLY)由标志构成,其中通过该鉴权服务器对所述标志设置。
在本发明方法的一个优选实施形式中,鉴权确认消息(SUCCESS)还包含MSK密钥、DHCP服务器地址、归属代理地址和结算标识符(CUI)。
在本发明方法的一个优选实施形式中,所传输的激活属性(PMIP_ONLY)被暂存在接入网络的网关中,其中给相应的激活属性(PMIP_ONLY)分配用户的相应移动终端设备(MS)。
在本发明方法的一个优选实施形式中,如果所属的被暂存的激活属性(PMIP_ONLY)被设置,那么鉴权客户端促使接入网络(ASN)中的外部代理(FA)不向用户的移动终端设备(MS)发送通告消息,用以使对相应用户的基于终端设备的移动性管理(CMIP)去活。
外部代理(FA)优选地也不对征求消息进行应答。
在本发明方法的一个优选实施形式中,如果用户的网络接入标识不是明确的,那么另外通过鉴权服务器设置激活属性(PMIP_ONLY)。
在本发明方法的另一实施形式中,如果用户的网络接入标识(NAI)表明该用户的移动终端设备或该用户的归属网络不支持WiMax特定的移动IP,那么另外通过鉴权服务器设置激活属性(PMIP_ONLY)。
在本发明方法的一个优选实施形式中,归属网络由3GPP网络、3GPP2网络、WLAN网络或WiMax网络构成。
在本发明方法的一个优选实施形式中,接入网络(ASN)由WiMax网络构成。
本发明另外还提供一种用于以用户特定的方式激活基于网络的移动性管理的鉴权服务器,其中如果所述鉴权服务器不为基于终端设备的移动性管理(CMIP)提供公共移动性密钥,那么所述鉴权服务器在成功鉴权用户之后把鉴权确认消息(SUCCESS)发送到接入网络(ASN)中的鉴权客户端,其中鉴权确认消息包含用于激活基于网络的移动性管理(PMIP)的激活属性(PMIP_ONLY)。
在图4中所示的连接建立结束之后,移动终端设备已经获得归属地址,并且在归属代理处注册。
下面参照附图来对本发明方法的优选实施形式和本发明的鉴权代理服务器进行描述用以解释本发明重要的特征。
图1示出按照现有技术的移动性绑定表的例子;
图2示出按照现有技术的访客列表的例子;
图3示出WiMax无线电网络的参照网络结构;
图4示出在按照现有技术的常规网络中的PMIP连接建立;
图5示出在按照现有技术的常规网络中的CMIP连接建立;
图6示出按照本发明方法的优选实施形式的网络构造;
图7示出用以解释本发明方法的可能实施形式的工作方式的流程图;
图8示出表,所述表被存储在网关内以便应用于本发明的方法中;
图9a、9b示出本发明方法的工作方式的简图;
如由图6可见,移动终端设备1通过无线接口2与接入网络4的基站3连接。移动终端设备1是任意的移动终端设备,例如膝上型电脑、PDA、移动电话或者其它移动终端设备。接入网络4的基站3通过数据传输线路5与接入网络网关6连接。在接入网关计算机6中优选地集成有其它功能性,特别是外部代理6A、PMIP客户端6B、AAA客户端服务器6C和DHCP代理服务器6D。外部代理6A是为移动终端设备1提供路由服务的路由器。对准移动终端设备1的数据分组以隧道方式传输且被外部代理6A解包(entpacken)。
接入网络4的网关6通过接口7与中间网络9的计算机8连接。计算机8含有DHCP服务器8A、归属代理8B和AAA代理服务器8C。如果移动终端设备1并未处于其最初的归属网络中,则归属代理8B是该移动终端设备1的代理。持续地将移动终端设备1的当前停留位置通知给归属代理8B。用于移动终端设备1的数据分组首先被传输至该归属代理,且从该归属代理以隧道的方式转发至外部代理6A。相反,由移动终端设备1发出的数据分组可以直接被发送至相应的通信方。在此,移动终端设备1的数据分组含有作为发送方地址的归属地址。归属地址具有与归属代理8B相同的地址前缀、即网络地址和子网地址。发送至移动终端设备1的归属地址的数据分组被归属代理8B截取,并以隧道的方式从归属代理8B被传输至移动终端设备1的转交地址,并且最后在隧道的端点处、即通过外部代理6A或移动终端设备自身接收。
中间网络9的计算机8通过另一接口10与归属网络12的鉴权服务器11连接。归属网络例如是用于UMTS的3GPP网络。在一种替代实施形式中,服务器11是WLAN网络的鉴权服务器。图5中所示的鉴权服务器11不支持MIP注册。
从网络运营商的观点,值得期望的是,总是或者以用户特定的方式实施基于网络的移动性管理(PMIP),并在传输相应的鉴权确认消息(SUCCESS)时传输激活属性,其中所述激活属性表明可以激活基于网络的移动性管理PMIP。该激活属性优选地是标志,其中所述标志通过归属网络12中的鉴权服务器11来设置,并接着由鉴权服务器在鉴权确认消息的范围内被发送到接入网络4处的网关6。从鉴权服务器11传输到网关6的鉴权确认消息(SUCCESS)除了激活属性PMIP_ONLY之外还优选地另外包含MSK密钥、DHCP服务器地址和归属代理地址以及比如结算标识符(Abrechnungsidentifizierer)(CUI)。如果鉴权服务器11不能为相应的用户提供用于基于终端设备的移动性管理CMIP的公共移动性密钥,那么以用户特定的方式通过鉴权服务器11来设置激活属性(PMIP_ONLY)。
在鉴权确认消息的范围内所传输的激活属性(PMIP_ONLY)优选地被暂存在路由器或接入网络4的网关6中。在此,用户的相应移动终端设备MS被分配给相应的激活属性PMIP_ONLY。
图8示意性示出表,其中在不同的移动终端设备或用户中分别分配所传输的激活属性PMIP_ONLY。在图8中所示的表位于路由器6的存储器中。在图8中所示的例子的情况下,比如为移动终端设备MS1设置激活属性PMIP_ONLY(H),而不为另一移动终端设备MS2设置激活属性PMIP_ONLY(L)。
在可替代的实施形式中,如果由鉴权服务器11所接收的、用户的网络接入标识符NAI不是明确的(比如user@vodafone.com),那么该鉴权服务器11另外还设置在鉴权确认消息中所包含的激活属性。这比如可以通过在网络运营商之间的漫游协商来确定。在其他情况下,对于访客网络所已知的是,在一些归属网络的情况下、比如在虽然原则上支持MIP、但在由WiMax所期待的扩展方案中不是确切地支持MIP的归属网络的情况下出现支持MIP方面的问题,使得可能出现互操作性问题。另外可能的是,比如如果所述归属网络距离远或者如果所述归属网络不能为在受访网络与归属网络之间的通信提供足够自由的带宽,那么在与归属网络的通信中出现太长的等候时间或者过载。在所有这些情况下,与确定的归属网络是否支持MIP无关地,网络运营商可以通过本发明的方法强制相应的配置,使得仅使用基于网络的移动性管理PMIP。
在本发明方法的一个实施形式中,如果用户的网络访问标识符NAI表明:该用户的移动终端设备或者该用户的归属网络不支持WiMax特定的MIP,那么另外还通过鉴权服务器11设置激活属性(PMIP_ONLY)。
在图6中所示的归属网络12可以是3GPP网络、3GPP2网络、WLAN网络或者WiMax网络。
图7示出了根据本发明在ASN网关6内运行的过程的流程图。接入网络ASN的网关或路由器6包含有外部代理6A、PMIP客户端6B、鉴权客户端6C以及DHCP代理服务器6D。在网关的存储器中存储有在图8中所示的表。为每个移动终端设备MS1存储标志或激活属性PMIP_ONLY,其表明是否可以为相应的用户进行基于网络的移动性管理PMIP。
在步骤S1中,路由器6检查是否为相应的用户设置激活标志。
如果情况如此,那么在步骤S2中该路由器6不通过所属的基站3发送通告消息。接着该网关6等待:所述网关是否在步骤S3中从所属的终端设备1接收消息。如果该网关6接收到征求消息,那么该网关6不进行反应,并且该过程返回到步骤S1。这意味着,支持移动IP的移动终端设备1没有从接入网络获得应答。由此接入网络4强制使用基于网络的移动性管理PMIP。
如果在步骤S1中确定:没有为相应的用户设置激活属性PMIP_ONLY,那么该网关6通过所扩建的无线电连接或链路向移动终端设备发送通告消息S4。
在步骤S5中,路由器6或者网关6检查:从移动终端设备1接收了哪种消息。如果所接收的消息是DHCP发现消息,那么存在PMIP,并且该过程继续进行步骤S6。如果该消息是PMIP注册请求MIPRRQ,那么存在CMIP,并且该过程继续进行步骤S7。在步骤S6中,PMIP客户端6B把注册请求MIPRRQ传输到外部代理6A。
该外部代理6A在步骤S7中把注册请求转发到用户的归属代理,其中所述归属代理位于中间网络9中或者归属网络12中。
在步骤S8中进行MIP注册,如在图4、5中所示。
图9A、9B示意性示出在本发明方法中的实施方式。
ASN网关6在获得激活属性PMIP_ONLY之后不向相应的移动终端设备1发送通告消息,如在图9A中所示。
如果在图8所示的表中所属的激活属性PMIP_ONLY被设置(H),那么该ASN网关6此外也不对来自移动终端设备1的MIP代理征求消息进行应答。
接入网络4对于移动终端设备1或用户如此行为,使得好像在该接入网络4中不存在外部代理。
网关6的反应是用户特定的。比如阻止或禁止CMIP功能的移动IP支持仅仅不被提供给其归属网络的用户,而CMIP支持被提供给使用相同接入网络4的其他用户。
Claims (16)
1.用于以用户特定的方式激活基于网络的移动性管理的方法,
其中用户的鉴权服务器(11)在成功鉴权用户之后把鉴权确认消息(SUCCESS)发送到在接入网络(4)中的鉴权客户端(6C),其中如果所述鉴权服务器(11)不为基于终端设备的移动性管理(CMIP)提供公共移动性密钥,那么所接收的鉴权确认消息(SUCCESS)包含用以激活基于网络的移动性管理(PMIP)的激活属性(PMIP_ONLY)。
2.根据权利要求1所述的方法,其中所述鉴权服务器(11)位于用户的归属网络(12)中,或者由位于中间网络(12)中的鉴权代理服务器(8C)构成。
3.根据权利要求1所述的方法,其中所述鉴权服务器(11)把鉴权确认消息(SUCCESS)传输到接入网络(4)的网关(6),其中所述网关包含鉴权客户端(6C)。
4.根据权利要求2所述的方法,其中激活属性(PMIP_ONLY)由标志构成,其中所述标志通过鉴权服务器(11)来设置。
5.根据权利要求1所述的方法,其中鉴权确认消息(SUCCESS)另外还具有MSK密钥、DHCP服务器地址、归属代理地址和结算标识符(CUI)。
6.根据权利要求1所述的方法,其中所传输的激活属性(PMIP_ONLY)被暂存在接入网络(4)的网关(6)中,其中用户的相应移动终端设备(1)被分配给相应的激活属性(PMIP_ONLY)。
7.根据权利要求6所述的方法,其中如果所属的被暂存的激活属性(PMIP_ONLY)被设置,用以针对相应的用户使基于终端设备的移动性管理(CMIP)去活,那么鉴权客户端(6C)促使接入网络(4)中的外部代理(6A)不向用户的移动终端设备(1)发送通告消息。
8.根据权利要求6所述的方法,其中如果所属的被暂存的激活属性(PMIP_ONLY)被设置,用以针对相应的用户使基于终端设备的移动性管理(CMIP)去活,那么鉴权客户端(6C)促使接入网络(4)中的外部代理(6A)不对用户的移动终端设备(1)的代理征求消息进行应答。
9.根据权利要求1所述的方法,其中如果用户的网络接入标识符(NAI)不是明确的,那么此外通过鉴权服务器(11)设置激活属性(PMIP_ONLY)。
10.根据权利要求1所述的方法,其中如果用户的网络接入标识符(NAI)表明用户的移动终端设备(1)或用户的归属网络(12)不支持WiMax特定的MIP,那么此外通过鉴权服务器(11)设置激活属性(PMIP_ONLY)。
11.根据权利要求2所述的方法,其中所述归属网络(12)由3GPP网络、3GPP2网络、WLAN网络或WiMax网络构成。
12.根据权利要求1所述的方法,其中所述接入网络(4)由WiMax网络构成。
13.用于以用户特定的方式激活基于网络的移动性管理的鉴权服务器,其中所述鉴权服务器(11)在成功鉴权用户之后把鉴权确认消息(SUCCESS)发送到接入网络(4)中的鉴权客户端(6C),
其中如果鉴权服务器(11)不为基于终端设备的移动性管理(CMIP)提供公共移动性密钥,那么所接收的鉴权确认消息(SUCCESS)包含用于激活基于网络的移动性管理(PMIP)的激活属性(PMIP_ONLY)。
14.根据权利要求13所述的鉴权服务器,其中所述鉴权服务器(11)设置在用户的归属网络(12)中,或者由位于中间网络(12)中的鉴权代理服务器(8C)构成。
15.根据权利要求14所述的鉴权服务器,其中所述归属网络(12)是3GPP网络、3GPP2网络、WLAN网络或WiMax网络。
16.根据权利要求13所述的鉴权服务器,其中所述接入网络(4)是WiMax网络。
Applications Claiming Priority (5)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| DE102005052715.9 | 2005-11-04 | ||
| DE102005052715 | 2005-11-04 | ||
| DE102006014350A DE102006014350A1 (de) | 2005-11-04 | 2006-03-28 | Verfahren und Server zum teilnehmerspezifischen Aktivieren eines netzbasierten Mobilitätsmanagements |
| DE102006014350.7 | 2006-03-28 | ||
| PCT/EP2006/067965 WO2007051793A1 (de) | 2005-11-04 | 2006-10-31 | Teilnehmerspezifisches erzwingen von proxy-mobile-ip (pmip) anstelle von client-mobile-ip (cmip) |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101300814A true CN101300814A (zh) | 2008-11-05 |
| CN101300814B CN101300814B (zh) | 2012-10-10 |
Family
ID=37684962
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2006800411479A Active CN101300814B (zh) | 2005-11-04 | 2006-10-31 | 以用户特定的方式强制代理移动ip(pmip)代替客户端移动ip(cmip) |
Country Status (9)
| Country | Link |
|---|---|
| US (1) | US8769261B2 (zh) |
| EP (1) | EP1943806B1 (zh) |
| JP (1) | JP4681656B2 (zh) |
| KR (1) | KR100945612B1 (zh) |
| CN (1) | CN101300814B (zh) |
| AT (1) | ATE426990T1 (zh) |
| DE (2) | DE102006014350A1 (zh) |
| ES (1) | ES2321878T3 (zh) |
| WO (1) | WO2007051793A1 (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105307168A (zh) * | 2014-07-24 | 2016-02-03 | 香港科技大学 | 不需切换的无线通信网络 |
Families Citing this family (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP4825139B2 (ja) * | 2007-01-05 | 2011-11-30 | 株式会社エヌ・ティ・ティ・ドコモ | 移動制御方法及びネットワーク装置 |
| US9392434B2 (en) * | 2007-01-22 | 2016-07-12 | Qualcomm Incorporated | Message ordering for network based mobility management systems |
| US8170529B1 (en) * | 2007-02-08 | 2012-05-01 | Clearwire Ip Holdings Llc | Supporting multiple authentication technologies of devices connecting to a wireless network |
| KR101088668B1 (ko) | 2007-02-13 | 2011-12-01 | 닛본 덴끼 가부시끼가이샤 | 이동 관리 시스템, 홈 에이전트 및 이들에 사용하는 이동 단말 관리 방법 그리고 그 프로그램을 수록한 컴퓨터 판독가능 매체 |
| WO2008099802A1 (ja) * | 2007-02-13 | 2008-08-21 | Nec Corporation | 移動端末管理システム、ネットワーク機器及びそれらに用いる移動端末動作制御方法 |
| US8929280B2 (en) | 2007-06-04 | 2015-01-06 | Motorola Mobility Llc | Method to switch between network-controlled and mobile-controlled mobile IP functionality |
| KR100924428B1 (ko) | 2007-12-27 | 2009-10-29 | 주식회사 케이티 | 휴대인터넷 망에서 듀얼 스택 지원 방법과 그를 위한 주소할당 및 등록 방법과 패킷 전달 방법 |
| WO2009116246A1 (ja) * | 2008-03-17 | 2009-09-24 | パナソニック株式会社 | 通信方法、通信システム、モバイルノード及びアクセスルータ |
| KR100978973B1 (ko) * | 2008-08-27 | 2010-08-30 | 주식회사 세아네트웍스 | 무선 통신 시스템에서 ip 기반 서비스 제공 시스템 및 방법 |
| US8213459B2 (en) * | 2009-07-24 | 2012-07-03 | Clearwire Ip Holdings Llc | Systems and method for establishing a data-path between a mobile station and a home access service network gateway |
| US8296403B2 (en) * | 2009-10-23 | 2012-10-23 | Novell, Inc. | Network address allocation using a user identity |
| US9630012B2 (en) * | 2015-08-06 | 2017-04-25 | Meagan Medical, Inc. | Spinal cord stimulation with interferential current |
| US10841389B2 (en) * | 2018-02-13 | 2020-11-17 | Oracle International Corporation | Increasing reliability of push notification-based authentication or authorization |
Family Cites Families (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6587882B1 (en) * | 1997-08-01 | 2003-07-01 | Kabushiki Kaisha Toshiba | Mobile IP communication scheme using visited site or nearby network as temporal home network |
| FR2821225B1 (fr) * | 2001-02-20 | 2005-02-04 | Mobileway | Systeme de paiement electronique a distance |
| US7545754B2 (en) * | 2001-11-02 | 2009-06-09 | Ntt Docomo, Inc. | Geographically adjacent access router discovery and caching for mobile nodes |
| US7876704B1 (en) * | 2002-01-11 | 2011-01-25 | Broadcom Corporation | Tunneling protocols for wireless communications |
| JP3885942B2 (ja) * | 2002-04-05 | 2007-02-28 | Kddi株式会社 | 移動端末のデータ通信方法 |
| US7451199B2 (en) * | 2002-05-10 | 2008-11-11 | International Business Machines Corporation | Network attached storage SNMP single system image |
| US7350077B2 (en) * | 2002-11-26 | 2008-03-25 | Cisco Technology, Inc. | 802.11 using a compressed reassociation exchange to facilitate fast handoff |
| ES2264756T3 (es) * | 2003-03-27 | 2007-01-16 | Motorola Inc. | Comunicacion entre una red privada y un terminal movil itinerante. |
| US7505432B2 (en) * | 2003-04-28 | 2009-03-17 | Cisco Technology, Inc. | Methods and apparatus for securing proxy Mobile IP |
| DE10345538A1 (de) * | 2003-09-30 | 2005-05-12 | Siemens Ag | Bestückkopf mit einer Greifereinheit zum Bestücken von Substraten mit elektrischen Bauelementen |
| EP1549011A1 (fr) * | 2003-12-26 | 2005-06-29 | Orange France | Procédé et système de communication entre un terminal et au moins un équipment communicant |
| US20060182061A1 (en) * | 2005-02-17 | 2006-08-17 | Nokia Corporation | Interworking between wireless WAN and other networks |
-
2006
- 2006-03-28 DE DE102006014350A patent/DE102006014350A1/de not_active Withdrawn
- 2006-10-31 JP JP2008539399A patent/JP4681656B2/ja active Active
- 2006-10-31 WO PCT/EP2006/067965 patent/WO2007051793A1/de active Application Filing
- 2006-10-31 ES ES06807684T patent/ES2321878T3/es active Active
- 2006-10-31 US US12/084,557 patent/US8769261B2/en active Active
- 2006-10-31 AT AT06807684T patent/ATE426990T1/de not_active IP Right Cessation
- 2006-10-31 EP EP06807684A patent/EP1943806B1/de active Active
- 2006-10-31 KR KR1020087013489A patent/KR100945612B1/ko active IP Right Grant
- 2006-10-31 CN CN2006800411479A patent/CN101300814B/zh active Active
- 2006-10-31 DE DE502006003289T patent/DE502006003289D1/de active Active
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105307168A (zh) * | 2014-07-24 | 2016-02-03 | 香港科技大学 | 不需切换的无线通信网络 |
| CN105307168B (zh) * | 2014-07-24 | 2019-03-29 | 香港科技大学 | 不需切换的无线通信网络及移动装置和主路由器装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| EP1943806B1 (de) | 2009-03-25 |
| JP2009515451A (ja) | 2009-04-09 |
| WO2007051793A1 (de) | 2007-05-10 |
| JP4681656B2 (ja) | 2011-05-11 |
| CN101300814B (zh) | 2012-10-10 |
| ATE426990T1 (de) | 2009-04-15 |
| DE502006003289D1 (de) | 2009-05-07 |
| US8769261B2 (en) | 2014-07-01 |
| EP1943806A1 (de) | 2008-07-16 |
| KR20080074952A (ko) | 2008-08-13 |
| ES2321878T3 (es) | 2009-06-12 |
| US20100011426A1 (en) | 2010-01-14 |
| DE102006014350A1 (de) | 2007-05-10 |
| KR100945612B1 (ko) | 2010-03-04 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101300814B (zh) | 以用户特定的方式强制代理移动ip(pmip)代替客户端移动ip(cmip) | |
| CN101300889B (zh) | 用于提供移动性密钥的方法和服务器 | |
| CN101300815B (zh) | 用于提供移动性密钥的方法和服务器 | |
| US9197615B2 (en) | Method and system for providing access-specific key | |
| EP1735990B1 (en) | Mobile ipv6 authentication and authorization | |
| CN101375563B (zh) | 作为到接入网的移动终端设备的网关的移动站以及对移动站和移动终端设备进行网络登记的方法 | |
| KR101037844B1 (ko) | 이동성 키를 제공하기 위한 방법 및 서버 | |
| US8611543B2 (en) | Method and system for providing a mobile IP key | |
| JP5044690B2 (ja) | Ipモビリティシステムのための動的な外部エージェント−ホーム・エージェント・セキュリティ・アソシエーション割当て | |
| WO2009155863A1 (zh) | 下一代网络中支持移动性安全的方法与系统 | |
| CN101031133B (zh) | 一种确定移动节点归属的家乡代理的方法及装置 | |
| EP2210434B1 (en) | Method and apparatuses for generating an ip address for use by the mobile host in a proxy mobile ip communications network |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |