CN101316228B - 外部代理更新与重定向后家乡代理相关的安全参数的方法 - Google Patents
外部代理更新与重定向后家乡代理相关的安全参数的方法 Download PDFInfo
- Publication number
- CN101316228B CN101316228B CN2007101060940A CN200710106094A CN101316228B CN 101316228 B CN101316228 B CN 101316228B CN 2007101060940 A CN2007101060940 A CN 2007101060940A CN 200710106094 A CN200710106094 A CN 200710106094A CN 101316228 B CN101316228 B CN 101316228B
- Authority
- CN
- China
- Prior art keywords
- redirected
- current
- haaa
- terminal
- security parameter
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Mobile Radio Communication Systems (AREA)
Abstract
本发明公开了一种外部代理即FA更新与重定向后家乡代理即HA相关的安全参数的方法,应用于移动IP关于动态家乡代理地址分配过程中,包括:当前HA向归属鉴权授权计费服务器即HAAA发起协商请求,协商是否允许当前HA推荐的重定向HA接纳当前终端的注册请求;若协商成功,则所述HAAA将重定向HA的安全参数发送给所述终端所在的接入业务网络的鉴权器;所述鉴权器将重定向HA的安全参数转发给所述FA,FA更新HA相关安全参数。本发明在HA重定向过程中,增加了与HAAA的协商过程,使HAAA能够发起安全参数的更新,在HA被重定向后,确保终端能够通过重定向HA的安全校验,从而能够让该HA接受终端的MIP注册请求。
Description
技术领域
本发明涉及无线通信领域,更具体是涉及一种移动IP关于动态HA(家乡代理,Home Agent)地址分配过程中,FA(外部代理,Foreign Agent)更新与重定向后HA相关的安全参数的方法。
背景技术
MIP(移动IP协议,简称MIP)是由IETF(因特网工程任务组,简称IETF)提出的一系列基于现有IP网络架构的IP移动性解决方案,其构建了一个开放而灵活的IP业务平台。实现MIP需包含三个逻辑功能单元:MN(终端,Mobile Node),FA,HA。
动态HA分配功能是MN开启MIP功能在不指定HA地址的情况下,动态选择HA的过程;当动态HA分配的MIP注册请求到达FA后,FA根据本地规则选择发起对初次HA的注册过程。如果该初次HA接收注册请求,应返回给MN正确的响应。如果初选的HA不接受该注册请求,可以发起HA的重定向过程;因此重定向HA是动态HA分配的一个可选过程。
动态HA分配功能业务具有以下优点:
(1)减少用户疑惑,使MN使用更人性化;
(2)减少网络维护者的工作量。
图1为WIMAX网络中MIP部署架构图,其中包括以下HAAA(归属鉴权授权计费服务器)、AGW(接入业务网络网关部分)、HA、MN四个功能实体:
其中,HAAA管理WIMAX网络中的用户签约信息;
AGW为WIMAX系统的核心网络设备,FA作为一个功能模块引入AGW系统中来支持IP的外部移动性,FA不直接和HAAA交互;鉴权器(Authenticator)提供FA所需的安全参数;AGW为MIP提供底层承载业务,MN与FA的交互需由AGW提供业务通道;
FA作为一个功能模块引入AGW系统中来支持IP的外部移动性,FA不直接和HAAA交互;
HA提供MIP用户的本地路由支持;HA和HAAA直接交互,HA从HAAA中获取所需的安全参数;
MN和FA,FA与HA之间的安全关联由HAAA主导建立。
图2为现有协议描述的带有HA重定向功能的MIP注册过程,包括以下步骤:
步骤201,MN向FA发起MIP注册请求;
步骤202,FA收到MN的请求后,根据用户的签约信息获取MN与FA之间的安全密钥(MN_FA key)对该报文予以安全校验,如果通过校验则删除MN_FA鉴权扩展,同时添加FA_HA鉴权扩展,并根据签约信息获取FA与当前HA的安全密钥计算FA_HA鉴权扩展中的鉴权摘要参数,根据签约的HA地址向该HA转发MIP注册请求;
步骤203,HA收到MIP注册请求后,向HAAA发起鉴权请求,获取相关的安全密钥;
步骤204,HAAA返回相关的安全密钥给HA;
步骤205,如果当前HA拒绝了MN的注册请求或接受注册请求但由于本地配置/管理策略要求HA为该MN指定别的HA,则当前HA就会在注册应答消息中填入REDIRECT-HA-REQ(HA重定向要求)表明了注册请求被拒绝并给出原因;同时还要在应答消息中可选扩展部分加入一个“theRedirected HA Extension(重定向HA扩展)”,其参数域中携带重定向的HA地址,将这个重定向指示的MIP注册响应发送给FA;
步骤206,FA转发该重定向指示的MIP注册响应;
步骤207,MN收到该重定向指示的MIP注册响应,从扩展字段取出重定向的HA地址,重新构建MIP注册请求报文;
步骤208,FA收到MIP注册请求后,用HA_RK生成FA_HA key,并用该Key值计算FA_HA鉴权扩展,然后向重定向HA转发;
步骤209,重定向HA收到新的MIP注册请求报文,按照Raius协议向HAAA请求相关鉴权参数;
步骤210,HAAA下发给HA相关的鉴权参数;
步骤211,HA按照RFC3344规范执行报文校验及相关业务处理,后生成注册响应向FA发送;
步骤212,FA转发该注册响应报文。
按照以上方法步骤,重定向后,FA的安全参数没有更新,即MN向重定向HA发送MIP注册请求,在FA中转时不能获得正确的安全参数,导致HAAA下发给重定向HA相关的鉴权参数的步骤后,MN向重定向后的HA发起MIP注册请求在HA上都会因鉴权不通过而被拒绝,HA和FA之间的MIP控制消息都无法通过彼此的安全校验。步骤211,212始终为失败的响应过程。
发明内容
本发明的要解决的技术问题就是提供一种移动IP关于动态HA地址分配过程中,FA更新与重定向后HA相关的安全参数的方法,避免重定向后的HA与FA间的安全参数没有更新,使得所有该FA和重定向HA之间的MIP控制消息都无法通过彼此的安全校验。
为了解决上述技术问题,本发明提供一种外部代理即FA更新与重定向后家乡代理即HA相关的安全参数的方法,应用于移动IP关于动态家乡代理地址分配过程中,包括以下步骤:
(1)当前HA向归属鉴权授权计费服务器即HAAA发起协商请求,协商是否允许当前HA推荐的重定向HA接纳当前终端的注册请求;
(2)若协商成功,则所述HAAA将重定向HA的安全参数发送给所述终端所在的接入业务网络的鉴权器;
(3)所述鉴权器将重定向HA的安全参数转发给所述FA,FA更新HA相关安全参数。
进一步地,所述安全参数包括重定向HA根密钥相关属性。
进一步地,所述重定向HA根密钥相关属性包括重定向HA根密钥,重定向HA生存期,重定向HA的IP地址,安全参数索引。
进一步地,所述步骤(1)执行之前,当前HA向选定的重定向HA发起接纳控制协商,确认重定向HA是否愿意接纳当前终端的MIP注册请求。
进一步地,若当前HA与选定用于重定向的HA发起接纳控制协商失败,则当前HA不得下发重定向HA指示给终端。
进一步地,所述步骤(1)执行之前,当前HA根据本地策略决定发起HA重定向过程。
进一步地,所述步骤(1)中,当前HA向HAAA发送协商请求,所带参数包括:当前HA的IP地址,重定向HA的IP地址,FA的地址,终端的身份标识。
进一步地,所述步骤(3)执行之后,还执行:
(A)FA向鉴权器返回安全参数更新成功响应;
(B)鉴权器向HAAA返回安全参数更新成功响应;
(C)HAAA下发本次重定向HA协商的结果给当前HA,允许重定向HA接纳当前终端。
进一步地,所述步骤(3)执行之后,若HAAA没有接收到鉴权器返回的成功更新安全参数的响应,则HAAA需拒绝当前HA的协商过程,当前HA不得下发重定向HA指示给终端。
进一步地,所述步骤(3)执行之后,若HAAA等待协商确认消息超时,则当前HA不得下发重定向HA指示给终端。
进一步地,所述步骤(3)执行之后,还包括如下步骤:
(a)当前HA经FA下发通知给所述终端,让终端在重定向HA上执行MIP注册;
(b)若所述终端向FA发送对重定向HA的MIP注册,则FA根据更新后的HA安全参数,计算相关密钥参数,并向重定向HA转发。
本发明完善重定向HA过程,使得动态HA分配功能更具可用性:由于本发明在MIP家乡代理重定向过程中,增加了与HAAA的协商过程,使得HAAA能够发起FA安全参数的更新,满足了在HA被重定向后,MN重新发起MIP注册请求,FA能够使用正确的安全密钥计算安全扩展,确保能够通过重定向后HA的安全校验,从而能够让新的HA接受MN的MIP注册请求。
附图说明
图1为WIMAX网络中MIP部署架构图;
图2为现有协议描述的带有HA重定向功能的MIP注册过程;
图3为本发明应用实例改进的带有HA重定向功能的MIP注册过程;其中包含重定向HA与FA之间更新安全参数具体实施流程。
具体实施方式
本发明实施例包括以下步骤:
(1)当前HA检查本地策略(如:负荷控制等)决定发起HA重定向过程;
(2)当前HA向选定用于重定向的HA发起接纳控制协商,协商目的:确认该选定用于重定向的HA是否愿意接纳MN的MIP注册请求;若协商成功,则执行步骤(3);
本步为可选步骤,若不执行本步,则执行步骤(1)后,直接执行步骤(3);
如果当前HA与选定用于重定向的HA发起接纳控制协商失败,则当前HA不得下发重定向HA指示给MN;
(3)当前HA向HAAA发起协商请求过程,所带参数为当前HA的IP地址,重定向后的HA的IP地址,FA的地址,MN的身份标识(NAI)等,协商的内容为:是否允许当前HA推荐的重定向后的HA接纳该用户;
(4)如果HAAA认同当前HA的请求,则需要根据协商请求中的参数查找定位MN所在的接入业务网络的鉴权器,向该鉴权器下发新的安全参数,所述安全参数包括HA根密钥相关属性,如包括HA_RK(HA RootKey,HA根密钥),HA_RK Lifetime(HA生存期),HA IP(HA的IP地址),SPI(安全参数索引),并通知鉴权器更新FA安全参数;
(5)HAAA收到鉴权器发送的FA的安全参数更新成功响应后,向当前HA发送协商的结果,允许新的重定向后的HA接纳用户;当前HA可立即下发通知给MN,让MN在重定向HA上执行MIP注册。
若HAAA没有接收到鉴权器发送的FA成功更新安全参数的响应,HAAA需拒绝当前HA的协商过程,那么,当前HA不得下发重定向HA指示给MN。
若HAAA等待协商确认消息超时,当前HA也不得下发重定向HA指示给MN。
图3为本发明实施例的一个MIP注册的应用实例,包括如下步骤;
步骤301,MN向FA发起MIP注册请求;
步骤302,FA收到MN的请求后,根据用户的签约信息获取MN与FA之间的安全密钥对该报文予以安全校验,如果通过校验则删除MN_FA鉴权扩展,同时添加FA_HA鉴权扩展,并根据签约信息获取FA与当前HA的安全密钥计算FA_HA鉴权扩展中的鉴权摘要参数。根据签约的HA地址向该HA转发MIP注册请求;
步骤303,HA收到MIP注册请求后,向HAAA发起鉴权请求,获取相关的安全密钥;
步骤304,HAAA返回相关的安全密钥给HA;
步骤305,HA使用相关的密钥对接收到的MIP注册请求报文安全性予以验证,如果通过验证,则进入业务层面的处理,业务逻辑解析到当前MN要求执行“动态HA分配”过程,同时本地策略(如,负荷控制)决定将当前MN注册请求重定向到其他HA,当前HA向选定用于重定向的HA发起接纳控制协商,协商目的:确认该选定用于重定向的HA是否愿意接纳MN的MIP注册请求,注意:向选定用于重定向的HA发起接纳控制协商是本发明一个可选的过程,如果没有该过程,在当前HA决定重定向后直接接入步骤306;
步骤306,HA通过Raduis协议向HAAA发起协商请求,协商的内容:是否允许当前HA推荐的重定向HA接纳MN;
步骤307,如果HAAA认同当前HA的协商请求,应根据当前HA发起协商请求中的参数定位到MN所在的接入业务网络的鉴权器,同时将当前HA推荐的重定向HA的安全参数如包括HR_RK,HA_RK Lifetime,HAIP,SPI等,下发到鉴权器;
步骤308,鉴权器通知FA相关安全参数的更新,FA向鉴权器返回安全参数更新成功响应;
步骤309,鉴权器返回HAAA已成功的更新相关安全参数响应;
步骤310,HAAA下发本次重定向HA协商的结果给当前HA;
以上步骤305-310的加入,确保在即将到来的MN向重定向HA发送MIP注册请求在FA中转时能获得正确的安全参数;
步骤311,当前HA以Redirect-HA-REQ原因拒绝MIP注册请求,并在注册响应的“the Redirected HA Extension”参数域中携带重定向的HA地址;
步骤312,FA正常转发该重定向指示的MIP注册响应;
步骤313,MN收到该重定向指示的MIP注册响应,从扩展字段取出重定向的HA地址,重新构建MIP注册请求报文,其中HA地址参数字段为重定向的HA地址;
步骤314,FA收到MIP注册请求后,用新的HA_RK生成FA_HA key,并用该Key值计算FA_HA鉴权扩展,然后向重定向HA转发;
步骤315,HA收到新的MIP注册请求报文,按照协议向HAAA请求相关鉴权参数;
步骤316,HAAA下发给HA相关的鉴权参数;
步骤317,HA按照RFC3344规范执行报文校验及相关业务处理,后生成成功的注册响应向FA发送;
步骤318,FA正常处理转发该注册响应报文。
其中,步骤305~310为本发明独创,通过上述消息,最终成功实现HA重定向后MN在新HA上的MIP成功注册。
从上述流程中可以看出,只有采取本发明的方法,才能实现MIP业务过程中申请动态HA地址分配的MN在重定向HA后成功的MIP注册。
Claims (10)
1.一种外部代理即FA更新与重定向后家乡代理即HA相关的安全参数的方法,应用于移动IP关于动态家乡代理地址分配过程中,其特征在于,包括以下步骤:
(1)当前HA向归属鉴权授权计费服务器即HAAA发起协商请求,协商是否允许当前HA推荐的重定向HA接纳当前终端的注册请求;
(2)若协商成功,则所述HAAA将重定向HA的安全参数发送给所述终端所在的接入业务网络的鉴权器;
(3)所述鉴权器将重定向HA的安全参数转发给所述FA,FA更新HA相关安全参数;
(4)FA向鉴权器返回安全参数更新成功响应;
(5)鉴权器向HAAA返回安全参数更新成功响应;
(6)HAAA下发本次重定向HA协商的结果给当前HA,允许重定向HA接纳当前终端。
2.如权利要求1所述的方法,其特征在于,所述安全参数包括重定向HA根密钥相关属性。
3.如权利要求2所述的方法,其特征在于,所述重定向HA根密钥相关属性包括重定向HA根密钥,重定向HA生存期,重定向HA的IP地址,安全参数索引。
4.如权利要求1~3中任意一项所述的方法,其特征在于,所述步骤(1)执行之前,当前HA向选定的重定向HA发起接纳控制协商,确认重定向HA是否愿意接纳当前终端的MIP注册请求。
5.如权利要求4所述的方法,其特征在于,若当前HA与选定用于重定向的HA发起接纳控制协商失败,则当前HA不得下发重定向HA指示给终端。
6.如权利要求1~3中任意一项所述的方法,其特征在于,所述步骤(1)执行之前,当前HA根据本地策略决定发起HA重定向过程。
7.如权利要求1~3中任意一项所述的方法,其特征在于,所述步骤(1)中,当前HA向HAAA发送协商请求,所带参数包括:当前HA的IP地址,重定向HA的IP地址,FA的地址,终端的身份标识。
8.如权利要求1~3中任意一项所述的方法,其特征在于,所述步骤(3)执行之后,若HAAA没有接收到鉴权器返回的成功更新安全参数的响应,则HAAA需拒绝当前HA的协商过程,当前HA不得下发重定向HA指示给终端。
9.如权利要求1~3中任意一项所述的方法,其特征在于,所述步骤(3)执行之后,若HAAA等待协商确认消息超时,则当前HA不得下发重定向HA指示给终端。
10.如权利要求1~3中任意一项所述的方法,其特征在于,所述步骤(6)执行之后,还包括如下步骤:
(7)当前HA经FA下发通知给所述终端,让终端在重定向HA上执行MIP注册;
(8)若所述终端向FA发送对重定向HA的MIP注册,则FA根据更新后的HA安全参数,计算相关密钥参数,并向重定向HA转发。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2007101060940A CN101316228B (zh) | 2007-05-31 | 2007-05-31 | 外部代理更新与重定向后家乡代理相关的安全参数的方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2007101060940A CN101316228B (zh) | 2007-05-31 | 2007-05-31 | 外部代理更新与重定向后家乡代理相关的安全参数的方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN101316228A CN101316228A (zh) | 2008-12-03 |
CN101316228B true CN101316228B (zh) | 2010-12-08 |
Family
ID=40107076
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN2007101060940A Expired - Fee Related CN101316228B (zh) | 2007-05-31 | 2007-05-31 | 外部代理更新与重定向后家乡代理相关的安全参数的方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN101316228B (zh) |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102415114B (zh) * | 2009-02-27 | 2016-06-29 | 诺基亚通信公司 | 基于IPv6任播的负荷平衡和对于PMIPv6的重定向功能 |
CN113157615B (zh) * | 2021-02-02 | 2023-05-23 | 浙江大华技术股份有限公司 | 一种服务总线通信方法、电子设备以及计算机存储介质 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1564508A (zh) * | 2004-03-22 | 2005-01-12 | 西安电子科技大学 | 宽带无线ip网络匿名连接方法 |
CN1691668A (zh) * | 2004-04-30 | 2005-11-02 | 华为技术有限公司 | 一种提供IPv6服务的系统和方法 |
EP1638285B1 (en) * | 2004-09-18 | 2010-06-02 | Zyxel Communications Corporation | Apparatus of dynamically assigning external home agent for mobile virtual private networks and method for the same |
-
2007
- 2007-05-31 CN CN2007101060940A patent/CN101316228B/zh not_active Expired - Fee Related
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1564508A (zh) * | 2004-03-22 | 2005-01-12 | 西安电子科技大学 | 宽带无线ip网络匿名连接方法 |
CN1691668A (zh) * | 2004-04-30 | 2005-11-02 | 华为技术有限公司 | 一种提供IPv6服务的系统和方法 |
EP1638285B1 (en) * | 2004-09-18 | 2010-06-02 | Zyxel Communications Corporation | Apparatus of dynamically assigning external home agent for mobile virtual private networks and method for the same |
Non-Patent Citations (1)
Title |
---|
姚昕.移动IPv4动态家乡代理的研究.中国优秀硕士学位论文全文数据库.2005,第13页第10行-第14页右栏第15行,第19页第12行-第24页第2行. * |
Also Published As
Publication number | Publication date |
---|---|
CN101316228A (zh) | 2008-12-03 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN110800331B (zh) | 网络验证方法、相关设备及系统 | |
JP3776705B2 (ja) | 通信システム、移動端末装置、ゲートウェイ装置及び通信制御方法 | |
CN100417274C (zh) | 用于松散耦合互操作的基于证书的认证授权计费方案 | |
US8880688B2 (en) | Apparatus and method for providing profile of terminal in communication system | |
CN101656668B (zh) | 使用基于核心的节点进行状态传输的方法和装置 | |
CN101006682B (zh) | 快速网络附着 | |
US20160105410A1 (en) | OMA DM Based Terminal Authentication Method, Terminal and Server | |
US8150317B2 (en) | Method and system for managing mobility of an access terminal in a mobile communication system using mobile IP | |
CN102783218B (zh) | 用于重定向数据业务的方法和装置 | |
CN107615799A (zh) | 网络中个体会话的准入 | |
CN104956638A (zh) | 用于在热点网络中未知设备的受限证书注册 | |
CN102369750A (zh) | 用于管理用户的认证的方法和装置 | |
EP1705828A1 (en) | A method of obtaining the user identification for the network application entity | |
CN103329091A (zh) | 交叉接入登录控制器 | |
CN108401273B (zh) | 一种路由方法和装置 | |
CN101971596A (zh) | 在无线网络中的安全关联的动态管理的方法和装置 | |
CN103906055A (zh) | 业务数据分流方法及系统 | |
CN101427541A (zh) | WiMAX网络中在接入认证期间策略函数地址的分配 | |
CN103037369B (zh) | 本地网协接入网络元件与终端设备的认证方法与装置 | |
WO2010139147A1 (zh) | 用户接入方法及系统、闭合用户组用户管理方法及系统 | |
CN101316228B (zh) | 外部代理更新与重定向后家乡代理相关的安全参数的方法 | |
CN1885768B (zh) | 一种环球网认证方法 | |
CN111163063A (zh) | 边缘应用管理方法及相关产品 | |
JP2006121728A (ja) | 通信システム、移動端末装置、ゲートウェイ装置及び通信制御方法 | |
JP4371224B2 (ja) | ネットワーク接続システムおよびネットワーク接続方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20101208 Termination date: 20160531 |