CN101300889A - 用于提供移动性密钥的方法和服务器 - Google Patents
用于提供移动性密钥的方法和服务器 Download PDFInfo
- Publication number
- CN101300889A CN101300889A CNA2006800412058A CN200680041205A CN101300889A CN 101300889 A CN101300889 A CN 101300889A CN A2006800412058 A CNA2006800412058 A CN A2006800412058A CN 200680041205 A CN200680041205 A CN 200680041205A CN 101300889 A CN101300889 A CN 101300889A
- Authority
- CN
- China
- Prior art keywords
- authentication
- key
- network
- server
- home
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/2803—Home automation networks
- H04L12/2807—Exchanging configuration information on appliance services in a home automation network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0281—Proxies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/03—Protecting confidentiality, e.g. by encryption
- H04W12/037—Protecting confidentiality, e.g. by encryption of the control plane, e.g. signalling traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W80/00—Wireless network protocols or protocol adaptations to wireless operation
- H04W80/04—Network layer protocols, e.g. mobile IP [Internet Protocol]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W84/00—Network topologies
- H04W84/02—Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
- H04W84/10—Small scale networks; Flat hierarchical networks
- H04W84/12—WLAN [Wireless Local Area Networks]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/061—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying further key derivation, e.g. deriving traffic keys from a pair-wise master key
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0892—Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Automation & Control Theory (AREA)
- Business, Economics & Management (AREA)
- Accounting & Taxation (AREA)
- Mobile Radio Communication Systems (AREA)
- Saccharide Compounds (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明涉及用于为归属代理提供至少一个用以对移动性信令消息进行密码保护的移动性密钥的方法,所述方法具有如下步骤:在移动用户终端设备(1)和接入网络(4)之间建立无线电连接,其中中间网络(9)的用于对用户进行鉴权的鉴权代理服务器(8C)在所述接入网络(4)和用户的归属网络(12)之间转发至少一个含有用户标识的鉴权消息,且在鉴权成功时通过所述归属网络(12)的鉴权服务器(11)分别存储所述用户标识;通过归属代理(8B)接收来自于用户终端设备(1)的含有用户标识的注册询问消息;将用于移动性密钥的密钥询问消息由所述归属代理(8B)发送至所属的鉴权代理服务器(8C),其中所述密钥询问消息含有在所述注册询问消息中所含有的用户标识;和如果在所述密钥询问消息中所含有的用户标识与通过所述鉴权代理服务器(8C)存储的用户标识之一一致,则通过所述鉴权代理服务器(8C)为所述归属代理(8B)提供移动性密钥。
Description
本发明涉及用于为移动无线电网络的归属代理提供用以对移动性信令消息进行密码保护的移动性密钥的方法和代理服务器。
利用TCP/IP协议的因特网为开发移动领域的更高协议而提供平台。因为因特网协议广泛普及,所以可以利用用于移动环境的相应协议扩展来开辟广大的用户圈。但常规的因特网协议最初并非针对移动应用被构思的。在常规因特网的分组交换中,所述分组在固定的计算机之间被交换,所述固定的计算机既不改变其网络地址,又不在不同的子网之间移动。在具有移动计算机的无线电网络中,移动计算机MS经常被内连到不同的网络中。DHCP(动态主机配置协议(Dynamic HostConfiguration Protocol))允许借助相应的服务器将IP地址和其它配置参数动态地分配给网络中的计算机。内连到网络中的计算机通过DHCP协议自动地被分配得到自由的IP地址。如果移动计算机已安装了DHCP,则该移动计算机只须进入通过DHCP协议支持配置的本地网络的有效范围内。在DHCP协议情况下,动态的地址分配是可能的,也就是说,对于确定的时间,自由的IP地址自动地被分配。在经过所述时间之后,必须由移动计算机重新提出询问或者可以以其它方式分配IP地址。
利用DHCP,移动计算机在无需手动配置的情况下可以被内连到网络中。作为前提条件,仅仅DHCP服务器必须可供使用。因此移动计算机可以使用本地网络服务并且例如可使用在中央所存储的文件。但如果移动计算机自身提供服务,则潜在的服务用户不能找到该移动计算机,因为该移动计算机的IP地址在该移动计算机所内连到的每个网络中都发生变化。如果IP地址在已有的TCP连接期间改变,则同样的情况发生。这导致连接中断。因此在移动IP的情况下,移动计算机被分配得到该移动计算机也保留在另一网络中的IP地址。在常规的IP网络转变的情况下,需要相应地匹配IP地址设定。但在终端设备上的IP和路由配置的持续匹配几乎无法手动实现。在常规的自动配置机制情况下,已有的连接在IP地址转变时被中断。MIP协议(RFC 2002、RFC2977、RFC 3344、RFC 3846、RFC 3957、RFC 3775、RFC 3776、RFC4285)支持移动终端设备的移动性。在常规的IP协议的情况下,移动终端设备在每次转变IP子网时必须匹配其IP地址,以便正确地对向移动终端设备寻址的数据分组进行路由。为了维持已有的TCP连接,移动终端设备必须保持其IP地址,因为地址转变导致连接中断。MIP协议通过允许移动终端设备或移动节点(MN)具有两个IP地址而消除这种冲突。MIP协议可以实现在两个地址、即永久归属地址(Home-Adresse)和第二临时转交地址(Care-of-Adresse)之间的透明连接。转交地址是IP地址,其中在该IP地址下,移动终端设备当前是可达的。
只要移动终端设备不停留在最初的归属网络中,则归属代理(Home Agent)是移动终端设备的代理(Stellvertreter)。归属代理持续地被通知关于移动计算机的当前停留位置。归属代理通常是移动终端设备的归属网络中的路由器的组件。如果移动终端设备处于归属网络之外,则归属代理提供一种功能,以便移动终端设备可以登录。于是归属代理将向移动终端设备寻址的数据分组转发至移动终端设备的当前子网中。
外部代理(Foreign Agent)处于子网中,其中所述移动终端设备在所述子网中移动。外部代理将到达的数据分组转发至移动终端设备或移动计算机。外部代理处于所谓的外部网络(受访网络(VisitedNetwork))中。外部代理同样通常是路由器的组件。外部代理在移动终端设备与其归属代理之间路由所有管理性移动数据分组。外部代理对由归属代理以隧道方式(getunnelt)所发送的IP数据分组进行解包,并将其数据转发至移动终端设备。
移动终端设备的归属地址是以下地址,其中所述移动终端设备在该地址下永久可达。归属地址具有与归属代理相同的地址前缀。转交地址是移动终端设备在外部网络中所使用的该IP地址。
归属代理维护所谓的移动性绑定表(MBT:Mobility BindingTable)。所述表中的项用于相互分配移动终端设备的两个地址、即归属地址和转交地址,并相应地转移数据分组。MBT表含有关于归属地址、转交地址的项和关于所述分配有效的时间间隔(寿命)的说明。图1示出根据现有技术的移动性绑定表的实例。
外部代理(FA)含有访客列表(VL:Visitor List),该访客列表含有关于恰好处于外部代理的IP网络中的移动终端设备的信息。图2示出根据现有技术的这种访客列表的实例。
为了可以将移动计算机内连到网络中,所述移动计算机必须首先设法知道:所述移动计算机是处于其归属网络中还是外部网络中。移动终端设备还必须设法知道子网中的哪个计算机是归属代理或外部代理。这些信息通过所谓的代理发现(Agent Discovery)来确定。
通过随后的注册,移动终端设备可以将其当前所在地通知给其归属代理。为此,移动计算机或移动终端设备将当前的转交地址发送给归属代理。为了注册,移动计算机将注册请求(Registration-Request)发送至归属代理。归属代理(HA)将转交地址记录到其列表中,并利用注册应答(Registration Reply)来应答。但在这种情况下产生安全问题。因为原则上每个计算机都可以向归属代理发送注册请求,所以可以以简单的方式给归属代理假象:计算机已移动到另一网络中。因此外部计算机可能会在发送器不知情的情况下接受移动计算机或移动终端设备的所有数据分组。为了防止这一点,移动计算机和归属代理具有公共秘密密钥。如果移动计算机返回到其归属网络中,则该移动计算机在归属代理处注销,因为移动计算机从现在起可以自身接受所有的数据分组。移动无线电网络此外必须具有如下安全性特性。只允许针对所希望的通信方访问信息,也就是说,所不希望的窃听者不允许访问所传输的数据。因此移动无线电网络必须具有机密性(Confidentiality)特性。此外必须存在真实性。真实性(Authenticity)允许通信方毫无疑问地确定,是否实际上建立了与所希望的通信方的通信,或者是否外部方冒充通信方。可以对每个消息或每个连接执行鉴权。如果基于连接被鉴权,则在通信方开始会话(Session)时只被识别一次。于是对于会话的继续过程来说认为,随后的消息继续来自于相应的发送器。即使通信方的标识(
)确定了,也就是说,通信方被鉴权,也可能出现以下情况:该通信方不允许访问所有的资源或者不允许使用所有关于网络的服务。在这种情况下,相应的授权以先前对通信方的鉴权为前提。
在移动数据网络的情况下,消息必须经由空中接口经过较长的路段,并且因此对于潜在的攻击者来说是轻易可达的。因此在移动的和无线的数据网络的情况下,安全性方面起特殊的作用。用于提高数据网络中的安全性的重要手段是加密技术。通过加密能够经由不安全的通信通路、例如经由空中接口传输数据,而不使未被授权的第三方访问数据。为了加密,数据、即所谓的明码文本(Klartext)借助于加密算法被转换成密码文本。经加密的文本可以经由不安全的数据传输信道传输并且接着被解密或译解。
作为大有希望的无线接入技术,建议WiMax(全球微波接入互操作性)作为新标准,该新标准为无线电传输而使用IEEE 802.16。在WiMax的情况下,利用发送站应该将超过每秒100Mbit的数据速率供应给高达50km的范围。
图3示出WiMax无线电网络的参考模型。移动终端设备MS位于接入网络(ASN:接入服务网络(Access Serving Network))的范围内。接入网络ASN通过至少一个受访网络(受访连接性服务网络VCSN(Visited Connectivity Service Network))或中间网络与归属网络HCSN(归属连接性服务网络(Home Connectivity Service Network))相连接。不同的网络通过接口或参考点R相互连接。移动站MS的归属代理HA位于归属网络HCSN中或者受访网络VCSN之一中。
WiMax支持移动IP的两种实现变型方案:所谓的客户端MIP(CMIP)和代理MIP(PMIP),其中在所述客户端MIP中,移动站自身实现MIP客户端功能,在所述代理MIP中,MIP客户端功能通过WiMax接入网络来实现。为此设置在ASN中的功能性称为代理移动节点(PMN,Proxy Mobile Node)或PMIP客户端。由此还可以利用本身不支持MIP的移动站来使用MIP。
图4示出根据现有技术在归属代理处于受访网络中时在代理MIP情况下的连接建立。
当在移动终端设备和基站之间建立无线电连接之后,首先进行接入鉴权。鉴权、授权和计账的功能借助于所谓的AAA服务器(AAA:鉴权、授权和计费)来实现。在移动终端设备MS和归属网络的AAA服务器(HAAA)之间交换鉴权消息,借助于所述鉴权消息得到归属代理的地址和鉴权密钥。归属网络中的鉴权服务器含有用户的配置文件数据(Profildaten)。AAA服务器获得鉴权询问消息,所述鉴权询问消息含有移动终端设备的用户标识。在接入鉴权成功之后,AAA服务器产生MSK密钥(MSK:主会话密钥(Master Session Key))用于保护移动终端设备MS和接入网络ASN的基站之间的数据传输路段。所述MSK密钥从归属网络的AAA服务器通过中间网络CSN被传输至接入网络ASN。
如在图4中可见,在接入鉴权之后配置接入网络ASN中的DHCP代理服务器。如果IP地址和主机配置已经包含在AAA应答消息中,则将整个信息下载到DHCP代理服务器中。
在成功鉴权和授权之后,移动站或移动终端设备MS发送DHCP发现消息并进行IP地址分配。
如果接入网络ASN既支持PMIP、又支持CMIP移动性,则外部代理通知ASN切换(Handover)功能,其方式是,所述接入网络ASN发送R3移动性上下文消息。在只支持PMIP的网络的情况下,可以省去此点。在读出归属地址之后,该归属地址被转发至PMIP客户端。
接下来进行MIP注册。在注册时,将移动终端设备的当前所在地通知给归属代理。为了注册,移动计算机将含有当前的转交地址的注册请求发送至归属代理。归属代理将转交地址记录到由其所管理的列表中,并利用注册应答(Registration Repley)来应答。因为原则上每个计算机都可以向归属代理发送注册请求,所以可以以简单的方式给归属代理假象:计算机已移动到另一网络中。为了防止这一点,不仅移动计算机而且归属代理都具有公共秘密密钥、即MIP密钥。如果归属代理(HA)不认识MIP密钥,则所述归属代理设立所述MIP密钥,为此所述归属代理与归属AAA服务器通信。
在图4中所示的连接建立结束之后,移动终端设备已获得归属地址并在归属代理处注册。
但如果归属AAA服务器不提供由WiMax协议所期望的属性或数据,则图4中所示的连接建立是不可能的。如果归属AAA服务器例如是3GPP服务器或者不支持WiMax交互工作的其它AAA服务器,则该归属AAA服务器不能够提供对于MIP注册所必需的数据属性、特别是归属地址和密码密钥。因此归属代理HA不获得MIP密钥(MSK:主会话密钥)并拒绝用户。
因此本发明的任务在于,提出一种用于为移动无线电网络提供移动性密钥的方法,其中归属网络的鉴权服务器不支持MIP注册。
根据本发明,所述任务通过具有在权利要求1中所说明的特征的方法得以解决。
本发明提出一种用于为归属代理提供至少一个用以对移动性信令消息进行密码保护的移动性密钥的方法,该方法具有如下步骤,即:
-在移动用户终端设备和接入网络之间建立无线电连接,其中中间网络的用于对用户进行鉴权的鉴权代理服务器在所述接入网络和用户的归属网络之间转发含有用户标识的至少一个鉴权消息,且在鉴权成功时通过所述归属网络的鉴权服务器分别存储用户标识;
-通过所述归属代理接收来自于用户终端设备的含有用户标识的注册询问消息;
-将移动性密钥的密钥询问消息从所述归属代理发送至所属的鉴权代理服务器,其中所述密钥询问消息含有在所述注册询问消息中所包含的用户标识;和
-如果在所述密钥询问消息中所含有的用户标识与通过所述鉴权代理服务器所存储的用户标识之一一致,则通过所述鉴权代理服务器为所述归属代理提供移动性密钥。
在本发明方法的一种优选实施形式中,通过所述鉴权代理服务器以随机的方式产生所述移动性密钥。
在本发明方法的一种优选实施形式中,在鉴权成功时,所述归属网络的鉴权服务器经由所述鉴权代理服务器将在鉴权消息中所含有的MSK密钥传输至所述接入网络的鉴权客户端。
在本发明方法的一种替代实施形式中,所述移动性密钥不是通过所述鉴权代理服务器随机产生,而是通过所述鉴权代理服务器从所传输的MSK密钥中导出。
在本发明方法的一种实施形式中,所述移动性密钥形成所传输的MSK密钥的一部分。
在本发明方法的一种替代实施形式中,所述移动性密钥与所传输的MSK密钥相同。
在本发明方法的一种实施形式中,根据半径数据传输协议来传输所述鉴权消息。
在本发明方法的一种替代实施形式中,根据直径数据传输协议来传输所述鉴权消息。
在本发明方法的一种优选实施形式中,所述接入网络由WiMax接入网络ASN构成。
在本发明方法的一种优选实施形式中,所述中间网络由WiMax中间网络CSN构成。
在本发明方法的第一实施形式中,所述归属网络是3GPP网络。
在本发明方法的一种替代实施形式中,所述归属网络由为WLAN用户提供AAA基础设施的网络(WLAN网络)构成。
在本发明方法的一种优选实施形式中,所述用户标识由网络接入标识符NAI(网络接入标识符(Network Access Identifier))构成。
在本发明方法的一种替代实施形式中,所述用户标识由用户的归属地址构成。
在本发明方法的一种优选实施形式中,所述移动性密钥还被提供给所述接入网络的PMIP客户端。
在本发明方法的一种优选实施形式中,多个中间网络位于所述接入网络和所述归属网络之间。
在本发明方法的第一实施形式中,所述归属代理位于所述归属网络中。
在本发明方法的一种替代实施形式中,所述归属代理位于所述中间网络之一中。
在本发明方法的第一实施形式中,所述鉴权代理服务器设置在所述归属网络中。
在本发明方法的一种替代实施形式中,所述鉴权代理服务器设置在所述中间网络之一中。
本发明还提出一种用于提供移动性密钥用以对移动性信令消息进行密码保护的鉴权代理服务器,其中在对用户成功鉴权之后,所述鉴权代理服务器分别存储其用户标识且如果在所述密钥询问消息中所含有的用户标识与所存储的用户标识之一一致,则在从归属代理接收到移动性密钥的密钥询问消息之后提供移动性密钥。
为了阐述本发明主要特征,下面参照附图说明本发明方法和本发明鉴权代理服务器的优选实施形式。
图1示出根据现有技术的移动性绑定表的实例;
图2示出根据现有技术的访客列表的实例;
图3示出WiMax无线电网络的参考网络结构;
图4示出在根据现有技术的常规WiMax网络中的连接建立;
图5示出根据本发明方法的优选实施形式的网络结构;
图6示出用于说明本发明方法的工作方式的流程图;
图7示出用于说明本发明方法的工作方式的另一流程图;
图8示出用于说明本发明方法的工作方式的图。
如由图5可见,移动终端设备1通过无线接口2与接入网络4的基站3连接。移动终端设备1是任意的移动终端设备,例如膝上型电脑、PDA、移动电话或者其它移动终端设备。接入网络4的基站3通过数据传输线路5与接入网络网关6连接。在接入网关计算机6中优选地集成有其它功能性,特别是外部代理6A、PMIP客户端6B、AAA客户端服务器6C和DHCP代理服务器6D。外部代理6A是为移动终端设备1提供路由服务的路由器。对准移动终端设备1的数据分组以隧道方式传输且被外部代理6A解包(entpacken)。
接入网络4的网关6通过接口7与中间网络9的计算机8连接。计算机8含有DHCP服务器8A、归属代理8B和AAA代理服务器8C。如果移动终端设备1并未处于其最初的归属网络中,则归属代理8B是该移动终端设备1的代理。持续地将移动终端设备1的当前停留位置通知给归属代理8B。用于移动终端设备1的数据分组首先被传输至该归属代理,且从该归属代理以隧道的方式转发至外部代理6A。相反,由移动终端设备1发出的数据分组可以直接被发送至相应的通信方。在此,移动终端设备1的数据分组含有作为发送方地址的归属地址。归属地址具有与归属代理8B相同的地址前缀、即网络地址和子网地址。发送至移动终端设备1的归属地址的数据分组被归属代理8B截取,并以隧道的方式从归属代理8B被传输至移动终端设备1的转交地址,并且最后在隧道的端点处、即通过外部代理6A或移动终端设备自身接收。
中间网络9的计算机8通过另一接口10与归属网络12的鉴权服务器11连接。归属网络例如是用于UMTS的3GPP网络。在一种替代实施形式中,服务器11是WLAN网络的鉴权服务器。图5中所示的鉴权服务器11不支持MIP注册。
一旦计算机8的AAA代理服务器8C识别出归属网络12的AAA服务器11不支持MIP(CMIP/PMIP),则根据本发明方法为归属代理8B提供用于对移动性信令消息进行密码保护的移动性密钥。例如从归属网络12的服务器11根据AAA代理服务器8B的询问不提供MIP属性中,该AAA代理服务器8B识别出:缺乏CMIP/PMIP支持。为了对移动性信令消息进行密码保护,需要用于归属代理8B的公共移动性密钥(MIP密钥)和用于PMIP情况的移动终端设别1或者用于归属代理8B的公共移动性密钥和用于PMIP情况的PMIP客户端6B。如果归属网络12有WiMax交互工作能力,则归属代理8B从归属网络12的AAA服务器获得所述MIP密钥。但如果如图5中所示,AAA服务器11不能根据归属代理8B的相应询问提供所需要的MIP属性,则激活本发明方法。如图5中所示的3GPP-AAA服务器11不能提供用于保护移动性信令消息的相应密码密钥,因为该3GPP-AAA服务器不能解译归属代理8B的询问。在本发明方法中,使归属网络12的无WiMax能力的鉴权服务器11保持不变,并且通过AAA代理服务器8C将移动性密钥提供给归属代理8B。在已识别出归属网络12的鉴权服务器11不提供移动性密钥之后,激活所谓的代理归属MIP功能性并且为所述AAA会话,由鉴权代理服务器8C施加本地数据组。因此根据本发明,对于PMIP/CMIP所必需的功能性并非由归属网络12的鉴权服务器11提供,而是通过中间网络9的位于3GPP网络的鉴权服务器11和接入网络4的网关6之间的通信路径中的AAA代理服务器提供。
图6示出在本发明方法的实施形式中用于对移动终端设备1进行鉴权的流程图。
在开始步骤S0之后,首先在步骤S1中建立移动终端设备1和接入网络4的基站3之间的无线电连接。接下来,在步骤S2中通过中间网络9的鉴权代理服务器8C在接入网络4和归属网络12之间转发鉴权消息。所述鉴权消息含有用于识别相应移动终端设备1的用户标识。用户标识例如是网络接入标识符NAI。作为替代方案,用户标识例如由移动终端设备1的归属地址构成。由AAA代理服务器8C转发的鉴权消息到达归属网络12的鉴权服务器11。于是归属网络12的鉴权服务器11执行对用户的鉴权。如果鉴权成功,则鉴权服务器11经由中间网络9的鉴权代理服务器8C将相应的消息发送至接入网络4。在步骤S3中,中间网络9的鉴权代理服务器8C检查:通过归属网络12的鉴权服务器11的鉴权是否成功地结束。所述鉴权代理服务器8C例如从鉴权服务器11的相应成功报告(Success-Meldung)来识别出此点。如果鉴权代理服务器8C借助由归属网络12传输至接入网络4的消息识别出用户的鉴权已成功结束,则在步骤S4中通过鉴权代理服务器8C来提取并缓存相应的用户标识。
过程在步骤S5中结束。AAA代理服务器8C因此存储其鉴权已成功结束的用户或移动终端设备1的所有用户标识。
如从图7可见,如果在开始步骤S6之后归属代理8B在稍后时刻得到注册询问消息,则归属代理8B在步骤S8中将相应的密钥询问消息发送给其鉴权代理服务器8C。在所得到的注册询问消息中含有移动终端设备1的用户标识。向鉴权代理服务器8C的、归属代理8B的随后产生的相应密钥询问消息同样含有所述用户标识。鉴权代理服务器8C在步骤S9中检查:在密钥询问消息中所含有的用户标识与由所述鉴权代理服务器8C在步骤S4中所存储的用户标识之一是否一致。只要情况如此,则鉴权代理服务器8C在步骤S10中提供用于对移动性安全消息进行密码保护的移动性密钥。鉴权代理服务器8C将所提供的移动性密钥传输至归属代理8B。优选地,移动密钥还被传输至接入网络4的鉴权客户端服务器6D。过程在步骤S11中结束。
在本发明方法的第一实施形式中,在步骤S10中所提供的移动性密钥由鉴权代理服务器8C随机产生。
在一种替代实施形式中,移动性密钥(MIP密钥)通过鉴权代理服务器8C从MSK(主会话密钥)密钥中导出,其中鉴权代理服务器8C已将所述MSK密钥从鉴权服务器11转发至接入网络4。在这种情况下,MIP密钥可以从MSK密钥中按照任一密钥导出函数、例如借助于散列(Hash)函数被导出。散列函数将任意大小的数据减小成所谓的指纹。这种散列函数的实例是SHA-1。在这种情况下,最大264比特的数据被映射成160比特。一种替代的散列函数是MD5。MD5如同SHA-1一样将输入划分成大小为500比特的块,并产生大小为128比特的散列值。
在一种替代实施形式中,所提供的移动性密钥通过由鉴权代理服务器8C所接收的MSK密钥12的一部分构成。
在另一替代实施形式中,所提供的移动性密钥与所传输的MSK密钥相同。
在优选实施形式中,鉴权消息按照半径或直径协议传输。
在本发明方法中,如果归属MIP功能性不被归属网络12支持,则中间网络9提供该归属MIP功能性。由此可能的是,在不支持MIP的归属网络中、例如在3GPP网络中也能够基于MIP实现宏移动性(
)。在接入网络4和中间网络9内使用MIP,用以实现在不同接入网络4之间的切换。在外部代理6A的MIP注册时,中间网络9的归属代理8B询问所属的鉴权代理服务器8C的移动性密钥。在这种情况下,归属代理8B使用相应的用户标识、即例如网络接入标识符NAI(Network Access Identifier)或移动终端设备1的归属地址。如果施加相应的数据组,则该密钥询问消息通过鉴权代理服务器8C在本地被应答。为了鉴权代理服务器8C能够提供相应的密钥,对所述鉴权代理服务器8C如此设计,使得该鉴权代理服务器解译在归属网络12的鉴权服务器11和接入网络4中的认证者(Authentikator)之间在移动终端设备1的鉴权期间所交换的消息。
如图5中所示,归属代理8B优选地位于中间网络9中。在一种替代实施形式中,归属代理8B位于归属网络12中。
在本发明方法的一种替代实施形式中,作为移动IP功能性使用移动IPV6[RFC3775]。
在本发明方法的一种优选实施形式中,通过归属代理8B借助密钥询问消息仅一次从鉴权代理服务器8C询问移动性密钥。
利用本发明方法可以实现对遗留(Legacy)AAA服务器、例如用于WiMax网络的WLAN或3GPP服务器的使用,尽管这些服务器不提供由WiMax网络所期望的CMIP/PMIP功能性。利用本发明方法,尽管在归属网络12中使用遗留AAA服务器,但基于PMIP的宏移动性是可能的。WLAN或3GPP网络的网络运营商因此通常不必自身支持PMIP,但可以使其客户仍能够实现与WiMax无线电网络的漫游/交互工作。利用本发明方法尤其可能的是,利用PMIP支持也允许终端设备不具有移动IP WiMax交互工作的支持。本发明方法尤其能够实现类似于当前指定的WLAN直接IP接入的WiMax-3GPP交互工作。
图8示出本发明方法的优选实施形式的消息流图。如果在接入鉴权期间,归属网络(例如3GPP网络)的鉴权服务器不提供归属代理地址,则受访网络的鉴权服务器使用中间网络的归属代理的归属地址,并施加状态,用于稍后通过中间网络的归属代理8B询问移动性密钥。状态数据含有用户标识。在本发明方法中取消了图4中所示的步骤16b、17a,即取消通过归属代理8B向归属网络12的鉴权服务器11对移动性密钥的询问和所属的应答。在本发明方法中,含有用户标识的密钥询问消息通过中间网络9的鉴权代理服务器8C来应答。因此本发明的方法能够实现在无归属网络支持的情况下在WiMax网络中的宏移动性管理。
Claims (26)
1.用于为归属代理提供至少一个用以对移动性信令消息进行密码保护的移动性密钥的方法,所述方法具有如下步骤:
(a)在移动用户终端设备(1)和接入网络(4)之间建立无线电连接,其中中间网络(9)的用于对用户进行鉴权的鉴权代理服务器(8C)在所述接入网络(4)和用户的归属网络(12)之间转发至少一个含有用户标识的鉴权消息,且在鉴权成功时通过所述归属网络(12)的鉴权服务器(11)分别存储所述用户标识;
(b)通过归属代理(8B)接收来自于用户终端设备(1)的含有用户标识的注册询问消息;
(c)将用于移动性密钥的密钥询问消息由所述归属代理(8B)发送至所属的鉴权代理服务器(8C),其中所述密钥询问消息含有在所述注册询问消息中所含有的用户标识;和
(d)如果在所述密钥询问消息中所含有的用户标识与通过所述鉴权代理服务器(8C)存储的用户标识之一一致,则通过所述鉴权代理服务器(8C)为所述归属代理(8B)提供移动性密钥。
2.如权利要求1所述的方法,其中通过所述鉴权代理服务器(8C)随机产生所述移动性密钥。
3.如权利要求1所述的方法,其中在鉴权成功时,所述归属网络(12)的鉴权服务器(11)经由所述鉴权代理服务器(8C)将在鉴权消息中所含有的MSK密钥传输至所述接入网络(4)的鉴权客户端(6C)。
4.如权利要求3所述的方法,其中所述移动性密钥通过所述鉴权代理服务器(8C)从所传输的MSK密钥中导出。
5.如权利要求4所述的方法,其中所述移动性密钥形成所传输的MSK密钥的一部分。
6.如权利要求4所述的方法,其中所述移动性密钥与所传输的MSK密钥相同。
7.如权利要求4所述的方法,其中所述移动性密钥通过密码密钥导出函数或者通过密码散列函数导出。
8.如权利要求1所述的方法,其中根据半径数据传输协议来传输所述鉴权消息。
9.如权利要求1所述的方法,其中根据直径数据传输协议来传输所述鉴权消息。
10.如权利要求1所述的方法,其中所述接入网络(4)由WIMAX接入网络(ASN)构成。
11.如权利要求1所述的方法,其中所述中间网络(9)由WIMAX中间网络(CSN)构成。
12.如权利要求1所述的方法,其中所述归属网络(12)由3GPP网络构成。
13.如权利要求1所述的方法,其中所述归属网络由WLAN网络构成。
14.如权利要求1所述的方法,其中所述用户标识由网络接入标识符NAI构成。
15.如权利要求1所述的方法,其中所述用户标识由所述用户的归属地址构成。
16.如权利要求1所述的方法,其中所述移动性密钥还被提供给所述接入网络(4)的PMIP客户端(6B)。
17.如权利要求1所述的方法,其中多个中间网络(9)位于所述接入网络(4)和所述归属网络(12)之间。
18.如权利要求17所述的方法,其中所述归属代理(8B)设置在所述归属网络(12)中或中间网络(9)之一中。
19.如权利要求17所述的方法,其中所述鉴权代理服务器(8C)设置在所述归属网络(12)中或中间网络(9)之一中。
20.用于提供用以对移动性信令消息进行密码保护的移动性密钥的鉴权代理服务器(8C),其中在成功地对用户鉴权之后,所述鉴权代理服务器(8C)分别存储所述用户的用户标识且如果在密钥询问消息中所含有的用户标识与所存储的用户标识之一一致,则在从归属代理(8B)接收到移动性密钥用的密钥询问消息之后提供移动性密钥。
21.如权利要求20所述的鉴权代理服务器,其中所述鉴权代理服务器(8C)随机产生所述移动性密钥。
22.如权利要求20所述的鉴权代理服务器,其中所述鉴权代理服务器(8C)与归属网络(12)的鉴权服务器(11)连接。
23.如权利要求20所述的鉴权代理服务器,其中所述鉴权代理服务器(8C)从通过所述归属网络(12)的鉴权服务器(11)发出的MSK密钥中导出所述移动性密钥。
24.如权利要求20所述的鉴权代理服务器,其中所述归属网络(12)是3GPP网络。
25.如权利要求20所述的鉴权代理服务器,其中所述归属网络(12)是WLAN网络。
26.如权利要求20所述的鉴权代理服务器,其中所述鉴权代理服务器(8C)是WIMAX鉴权代理服务器。
Applications Claiming Priority (5)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| DE102005052718 | 2005-11-04 | ||
| DE102005052718.3 | 2005-11-04 | ||
| DE102006004868.7 | 2006-02-02 | ||
| DE102006004868A DE102006004868B4 (de) | 2005-11-04 | 2006-02-02 | Verfahren und Server zum Bereitstellen eines Mobilitätsschlüssels |
| PCT/EP2006/067895 WO2007051768A1 (de) | 2005-11-04 | 2006-10-27 | Verfahren und server zum bereitstellen eines mobilitätsschlüssels |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101300889A true CN101300889A (zh) | 2008-11-05 |
| CN101300889B CN101300889B (zh) | 2012-07-04 |
Family
ID=37722717
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2006800412058A Active CN101300889B (zh) | 2005-11-04 | 2006-10-27 | 用于提供移动性密钥的方法和服务器 |
Country Status (10)
| Country | Link |
|---|---|
| US (1) | US8533471B2 (zh) |
| EP (1) | EP1943855B1 (zh) |
| JP (1) | JP4806028B2 (zh) |
| KR (1) | KR100960747B1 (zh) |
| CN (1) | CN101300889B (zh) |
| AT (1) | ATE475279T1 (zh) |
| DE (2) | DE102006004868B4 (zh) |
| ES (1) | ES2349292T3 (zh) |
| PL (1) | PL1943855T3 (zh) |
| WO (1) | WO2007051768A1 (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106097167A (zh) * | 2016-06-07 | 2016-11-09 | 深圳心驰技术有限公司 | 一种金融押运信息服务系统 |
Families Citing this family (20)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP1914960B1 (en) * | 2006-10-16 | 2013-01-09 | Nokia Siemens Networks GmbH & Co. KG | Method for transmission of DHCP messages |
| ES2362444T3 (es) * | 2007-01-04 | 2011-07-05 | Telefonaktiebolaget Lm Ericsson (Publ) | Método y aparato para determinar un procedimiento de autentificación. |
| KR101341720B1 (ko) | 2007-05-21 | 2013-12-16 | 삼성전자주식회사 | 이동통신 시스템에서 프록시 이동 인터넷 프로토콜을 이용한 단말의 이동성 관리 방법 및 시스템과 이를 위한 단말의 홈 주소 할당 방법 |
| ES2379059B1 (es) * | 2007-12-03 | 2013-01-29 | Zte U.S.A., Inc. | Método y sistemas para negociar y autorizar uno o más servicios del protocolo internet (ip) entre una pluralidad de entidades de red en un sistema de comunicación inalámbrico, el correspondiente sistema de comunicación inalámbrico y estación móvil asociada a dicho sistema. |
| CN101557590A (zh) * | 2008-04-07 | 2009-10-14 | 华为技术有限公司 | 一种移动终端接入网络的安全验证方法、系统和装置 |
| WO2009147468A2 (en) * | 2008-05-27 | 2009-12-10 | Telefonaktiebolaget L M Ericsson (Publ) | System and method for backwards compatible multi-access with proxy mobile internet protocol |
| US8432922B2 (en) * | 2008-06-03 | 2013-04-30 | Xtera Communications, Inc. | Method for managing IP tunnels |
| KR101556906B1 (ko) * | 2008-12-29 | 2015-10-06 | 삼성전자주식회사 | 선인증을 통한 이종 무선 통신망 간의 핸드오버 방법 |
| US9775027B2 (en) * | 2009-12-31 | 2017-09-26 | Alcatel Lucent | Method for interworking among wireless technologies |
| US9167427B2 (en) * | 2013-03-15 | 2015-10-20 | Alcatel Lucent | Method of providing user equipment with access to a network and a network configured to provide access to the user equipment |
| CN105900375B (zh) | 2014-01-13 | 2020-02-07 | 维萨国际服务协会 | 用于在认证交易中保护身份的设备、系统和方法 |
| WO2015169552A1 (en) | 2014-05-05 | 2015-11-12 | Telefonaktiebolaget L M Ericsson (Publ) | Protecting wlcp message exchange between twag and ue |
| EP3860041B1 (en) | 2014-06-18 | 2023-03-15 | Visa International Service Association | Efficient methods for authenticated communication |
| US9813245B2 (en) | 2014-08-29 | 2017-11-07 | Visa International Service Association | Methods for secure cryptogram generation |
| US10461933B2 (en) | 2015-01-27 | 2019-10-29 | Visa International Service Association | Methods for secure credential provisioning |
| CN106304064A (zh) * | 2015-05-28 | 2017-01-04 | 中兴通讯股份有限公司 | 漫游方法、漫游服务器、移动终端及系统 |
| AU2016369606A1 (en) | 2015-12-16 | 2018-05-31 | Visa International Service Association | Systems and methods for secure multi-party communications using a proxy |
| US10972257B2 (en) | 2016-06-07 | 2021-04-06 | Visa International Service Association | Multi-level communication encryption |
| US10098043B2 (en) * | 2017-02-24 | 2018-10-09 | Verizon Patent And Licensing Inc. | System and method for handover management for wireless device |
| GB201809887D0 (en) * | 2018-06-15 | 2018-08-01 | Iothic Ltd | Decentralised authentication |
Family Cites Families (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| FI102235B1 (fi) * | 1996-01-24 | 1998-10-30 | Nokia Telecommunications Oy | Autentikointiavainten hallinta matkaviestinjärjestelmässä |
| EP0939571B1 (en) * | 1998-02-27 | 2007-05-09 | Telefonaktiebolaget LM Ericsson (publ) | Authentication method and authentication device for secured communications between an ATM mobile terminal and an ATM access node of a wireless ATM radio communication network |
| KR100420265B1 (ko) | 2001-11-15 | 2004-03-02 | 한국전자통신연구원 | 무선 인터넷 망간 접속 방법 |
| US7475241B2 (en) * | 2002-11-22 | 2009-01-06 | Cisco Technology, Inc. | Methods and apparatus for dynamic session key generation and rekeying in mobile IP |
| US6978317B2 (en) * | 2003-12-24 | 2005-12-20 | Motorola, Inc. | Method and apparatus for a mobile device to address a private home agent having a public address and a private address |
| JP3955025B2 (ja) * | 2004-01-15 | 2007-08-08 | 松下電器産業株式会社 | 移動無線端末装置、仮想私設網中継装置及び接続認証サーバ |
| US20060182061A1 (en) * | 2005-02-17 | 2006-08-17 | Nokia Corporation | Interworking between wireless WAN and other networks |
| US7313394B2 (en) * | 2005-07-15 | 2007-12-25 | Intel Corporation | Secure proxy mobile apparatus, systems, and methods |
| US7626963B2 (en) * | 2005-10-25 | 2009-12-01 | Cisco Technology, Inc. | EAP/SIM authentication for mobile IP to leverage GSM/SIM authentication infrastructure |
-
2006
- 2006-02-02 DE DE102006004868A patent/DE102006004868B4/de not_active Expired - Fee Related
- 2006-10-27 ES ES06807632T patent/ES2349292T3/es active Active
- 2006-10-27 US US12/092,690 patent/US8533471B2/en active Active
- 2006-10-27 PL PL06807632T patent/PL1943855T3/pl unknown
- 2006-10-27 AT AT06807632T patent/ATE475279T1/de active
- 2006-10-27 DE DE502006007501T patent/DE502006007501D1/de active Active
- 2006-10-27 CN CN2006800412058A patent/CN101300889B/zh active Active
- 2006-10-27 WO PCT/EP2006/067895 patent/WO2007051768A1/de active Application Filing
- 2006-10-27 EP EP06807632A patent/EP1943855B1/de active Active
- 2006-10-27 JP JP2008539393A patent/JP4806028B2/ja active Active
- 2006-10-27 KR KR1020087013534A patent/KR100960747B1/ko active IP Right Grant
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106097167A (zh) * | 2016-06-07 | 2016-11-09 | 深圳心驰技术有限公司 | 一种金融押运信息服务系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| EP1943855B1 (de) | 2010-07-21 |
| US8533471B2 (en) | 2013-09-10 |
| JP4806028B2 (ja) | 2011-11-02 |
| ES2349292T3 (es) | 2010-12-29 |
| ATE475279T1 (de) | 2010-08-15 |
| WO2007051768A1 (de) | 2007-05-10 |
| JP2009515448A (ja) | 2009-04-09 |
| PL1943855T3 (pl) | 2010-12-31 |
| US20080270794A1 (en) | 2008-10-30 |
| EP1943855A1 (de) | 2008-07-16 |
| CN101300889B (zh) | 2012-07-04 |
| KR20080074956A (ko) | 2008-08-13 |
| DE502006007501D1 (de) | 2010-09-02 |
| KR100960747B1 (ko) | 2010-06-01 |
| DE102006004868B4 (de) | 2010-06-02 |
| DE102006004868A1 (de) | 2007-05-10 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101300889B (zh) | 用于提供移动性密钥的方法和服务器 | |
| CN101300815B (zh) | 用于提供移动性密钥的方法和服务器 | |
| US9197615B2 (en) | Method and system for providing access-specific key | |
| US9043599B2 (en) | Method and server for providing a mobility key | |
| EP1735990B1 (en) | Mobile ipv6 authentication and authorization | |
| CN101300814B (zh) | 以用户特定的方式强制代理移动ip(pmip)代替客户端移动ip(cmip) | |
| US8126148B2 (en) | Securing home agent to mobile node communication with HA-MN key | |
| US8611543B2 (en) | Method and system for providing a mobile IP key | |
| CN101268669B (zh) | 用于认证来自移动节点的更新的方法和移动锚点 | |
| JP5044690B2 (ja) | Ipモビリティシステムのための動的な外部エージェント−ホーム・エージェント・セキュリティ・アソシエーション割当て |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |