CN101461211B - 用于提供移动ip密钥的方法 - Google Patents
用于提供移动ip密钥的方法 Download PDFInfo
- Publication number
- CN101461211B CN101461211B CN2007800202162A CN200780020216A CN101461211B CN 101461211 B CN101461211 B CN 101461211B CN 2007800202162 A CN2007800202162 A CN 2007800202162A CN 200780020216 A CN200780020216 A CN 200780020216A CN 101461211 B CN101461211 B CN 101461211B
- Authority
- CN
- China
- Prior art keywords
- mobile
- key
- authentication server
- accordance
- encoded
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
- 238000000034 method Methods 0.000 title claims abstract description 58
- 238000004891 communication Methods 0.000 description 11
- 230000006870 function Effects 0.000 description 11
- 238000007726 management method Methods 0.000 description 11
- 230000002349 favourable effect Effects 0.000 description 9
- 230000011664 signaling Effects 0.000 description 8
- 230000005540 biological transmission Effects 0.000 description 7
- 230000003044 adaptive effect Effects 0.000 description 3
- 230000008859 change Effects 0.000 description 3
- 238000009795 derivation Methods 0.000 description 3
- 244000061520 Angelica archangelica Species 0.000 description 2
- 235000001287 Guettarda speciosa Nutrition 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 230000007246 mechanism Effects 0.000 description 2
- 238000012546 transfer Methods 0.000 description 2
- 241001124144 Dermaptera Species 0.000 description 1
- 238000013475 authorization Methods 0.000 description 1
- 238000006243 chemical reaction Methods 0.000 description 1
- 239000012141 concentrate Substances 0.000 description 1
- 238000012790 confirmation Methods 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 238000013507 mapping Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000008569 process Effects 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 230000009466 transformation Effects 0.000 description 1
- 230000001052 transient effect Effects 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0892—Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/041—Key generation or derivation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/062—Pre-authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W80/00—Wireless network protocols or protocol adaptations to wireless operation
- H04W80/04—Network layer protocols, e.g. mobile IP [Internet Protocol]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Business, Economics & Management (AREA)
- Accounting & Taxation (AREA)
- Mobile Radio Communication Systems (AREA)
- Computer And Data Communications (AREA)
Abstract
用于提供移动IP密钥的方法,该移动IP密钥用于对在用户终端MS或PMIP客户与归属代理HA之间的消息进行加密,其中当鉴权服务器借助相应地被编码的参数认识到,用户终端本身不使用PMIP移动IP时,所述鉴权服务器才提供移动IP密钥。
Description
本发明涉及一种用于尤其是针对Wi-Max网络提供移动IP密钥的方法和系统。
利用TCP/IP协议的因特网提供了开发用于移动领域的较高级的协议的平台。因为这些因特网协议被广泛传播,因此可以借助相应的、针对移动环境的协议扩展来开发大的应用领域。但是传统的因特网协议起初不是为移动应用而设计。在传统因特网的分组交换(Paketvermittlung)中,一些分组在静止的计算机之间被交换,这些计算机既不改变其网络地址又不在各种不同的子网之间漫游。在具有移动终端或计算机的无线电网中,移动计算机MS(移动站)经常被纳入各种不同的网络中。DHCP(动态主机配置协议)能够借助相应的服务器实现IP地址和其它配置参数至网络中计算机的动态分配。被纳入网络中的计算机通过DHCP协议自动地被分配自由IP地址。如果移动计算机安装了DHCP,它仅仅必须进入支持通过DHCP协议的配置的局域网的有效范围。在DHCP协议中,动态地址分配是可能的,即自由的IP地址被自动指配一段确定时间。在该时间过去之后,或者由移动计算机MS重新提出请求或者可以另外分配IP地址。
借助DHCP可以将移动计算机MS纳入网络中,无需手动配置。作为前提条件,仅仅必须利用DHCP服务器。这样,移动计算机MS能够使用局域网络的服务并且例如能够使用集中保存的文件。但是如果移动计算机MS本身提供服务,则潜在的服务用户不能找到该移动计算机MS,因为在每个纳入移动计算机的网络中其IP地址被改变。当在现有的TCP连接中IP地址改变时,会发生同样的情况。这导致连接中断。因此,在移动IP情况下,移动计算机MS被分配了它在另外的网络中也保持的IP地址。在传统的IP网络交换中需要相应地进行IP地址设置的适配。IP配置机制及传统自动配置机制的不断适配会中断在IP地址交换时现有的连接。MIP协议(RFC2002,RFC2977,RFC3344,RFC3846,RFC3957,RFC3775,RFC3776,RFC4285)支持移动终端MS的移动性。在传统的IP协议中,为了将对移动终端MS寻址的数据分组正确地路由,当变换IP子网时,移动终端MS每次必 须适配其IP地址。为了维持现有的TCP连接,移动终端MS必须保持其IP地址,因为地址变换导致该连接的中断。该MIP协议能够实现这两个地址、即永久的归属地址(Home-Adresse)和第二的暂时的转交地址(Care-Of-Adresse)之间的透明连接。所述转交地址是在其之下移动终端MS实际上可到达的那个IP地址。
只要移动终端MS没有停留在原始的归属网络中,归属代理(HomeAgent)HA就是该移动终端MS的代表。归属代理持续地被通知关于移动计算机MS的当前停留位置。该归属代理HA通常为该移动终端的归属网络中的路由器的组件。当移动终端MS处于归属网络之外时,归属代理HA提供了功能,以便移动终端MS能够登记。然后,归属代理HA将向移动终端MS寻址的数据分组转发到移动终端MS的当前子网中。
外地代理(Foreign Agent)FA处于移动终端MS在其中移动的子网中。外地代理FA将到达的数据分组转发给移动终端MS或转发给移动计算机MS。外地代理FA处于所谓的外地网(访问网Visited Network)中。外地代理FA通常也是路由器的组件。外地代理FA在移动终端MS和其归属代理HA之间路由所有的被管理的移动数据分组。外地代理FA拆开由归属代理HA发送的、遂穿的(getunnelten)IP数据分组并将它们的数据转发给移动终端MS。
移动终端MS的归属地址是在其之下移动终端MS始终可到达的地址。该归属地址具有与归属代理HA相同的地址前缀。转交地址是移动终端MS在外地网络中使用的那个IP地址。
归属代理HA维护所谓的移动性绑定表(MBT:Mobility BindingTable)。该表中的记录用于,使两个地址、即移动终端MS的归属地址和转交地址彼此对应并且相应地使数据分组转向。
MBT表包含关于归属地址、转交地址的记录和关于这种对应关系有效的时间间隔(持续时间life Time)的说明。
图1示出了根据现有技术的移动性绑定表MBT的例子。
外地代理FA包括访问者列表(VL:Visitor List),其包含关于正好处于外地代理FA的IP网中的移动终端MS的信息。
图2示出了根据现有技术的、这种访问者列表的例子。
为了能够将移动计算机MS纳入网络中,它必须首先了解它是处于其归属网络还是处于外地网络中。附加地,该移动终端MS必须了解哪 个计算机在归属代理或外地代理的子网中。这些消息通过所谓的代理搜索(Agent Discovery)来确定。
通过后面的注册,移动终端MS可以将其当前位置通知给其归属代理HA。对此,移动计算机或者移动终端MS将当前的转交地址发送给归属代理。为了注册,移动终端MS将注册请求(Registration Request)发送给归属代理。归属代理HA将转交地址记录到其列表中并且用注册回复(Registration Reply)来回答。然而,这里存在安全性问题。因为原则上每个计算机都可以向归属代理HA发送注册请求,因此可能以简单的方式欺骗归属代理HA,计算机已经移动到其它网络中了。这样,外地的计算机可能截取移动计算机或者移动终端MS的全部数据分组,而发送者对此并不知晓。为了防止这样,移动计算机MS和归属代理HA拥有共同的密钥。如果移动计算机MS返回其归属网络,则它从归属代理HA注销,因为移动计算机MS本身现在能够接受所有数据分组。移动无线电网主要必须具有如下的安全特性。信息仅仅允许被所希望的通信方获得,也就是说,不希望的偷听者不允许获得所传输的数据的访问权。该移动无线电网这样必须具有机密性(Confidentiality)的特性。此外,还必须给定可信性。所述可信性(Authenticity)允许通信方毫无疑问地确定,通信实际上是否被建立到所希望的通信方了或者是否有陌生方冒充通信方。可以每个消息或每个连接地执行鉴权。如果基于连接进行鉴权,则通信方仅仅会话(Session)开始时进行一次识别。对于会话的另外过程则由此出发:接下来的消息继续来自相应的发送者。即使当通信方的身份确定、即所述通信方被证实,也会出现所述通信方不允许通过该网络访问所有资源或不允许通过该网络使用所有服务的情况。在此情况下,相应的授权以所述通信方的先前的鉴权为前提。
在移动数据网中,消息必须经过空中接口经历较长的距离,并且由此对于潜在的入侵者来说是容易地达到的。因此,在移动的和无线的数据网中安全方面是特别重要的。用于提高数据网络中的安全性的基本方式是加密技术。通过加密可实现,通过不确定的通信路径例如通过空中接口传输数据,而未经授权的第三方不会实现对所述数据的访问。为了加密,所述数据即所谓的明文(Klartext)借助加密算法被变换成密码文本。所述被加密的文本能够通过不安全的数据传输信 道被传输并且接着被解密或者译解。
作为许多有希望的无线接入技术,WiMax(全球微波接入互操作性Worldwide Interoperability for Microwave Access)作为用于无线电传输IEEE802.16的新标准被推荐。借助WiMax,应当用发送站以超过每秒100M比特的数据率供给直至50km的范围。
图3示出了用于WiMax无线电网络的参考模型。移动终端MS处于接入网(ASN:接入服务网络)的范围中。接入网ASN通过至少一个访问网(Visited Connectivity Service Network VCSN)或者中间网与归属网HCSN(Home Connectivity Service Network)相连接。这些不同的网络通过接口或参考点R彼此连接。移动站MS的归属代理HA处于归属网(HCSN)中或者所访问的网络(VCSN)之一中。
WiMax支持移动IP的两个实现变型方案,即所谓的客户MIP(CMIP)和代理-MIP(PMIP),在客户MIP中移动站MS本身实现MIP-客户功能,在代理-MIP中MIP-客户功能通过WiMax-接入网ASN来实现。为此而设置在ASN中的功能被称为代理移动节点(PMN)或PMIP-客户。由此,MIP也可与本身不支持MIP的移动站MS一起使用。
图4示出了当归属代理HA处于被访问的网络VCSN中时,根据现有技术的、代理-MIP(PMIP)中的连接建立。
在建立移动站MS和基站BS之间的无线电连接之后,首先进行接入鉴权。鉴权、授权和计费功能借助所谓的AAA服务器(AAA:鉴权、授权和计费(Authentization,Authorization and Accounting))来实现。在移动站MS和归属网(HAAA)的AAA服务器之间鉴权消息被交换,借助所述鉴权消息获得归属代理HA的地址和鉴权密钥。归属网中的鉴权服务器包含用户的特性数据(Profildaten)。AAA服务器获得包含移动终端的用户身份的鉴权询问消息。AAA服务器在成功的接入鉴权之后产生MSK密钥(MSK:主会话密钥(Master Session Key))用于保护移动终端MS和接入网ASN的基站BS之间的数据传输区段。MSK密钥由归属网的AAA服务器经中间网CSN向接入网ASN传输。
如图4中可看到的,在接入鉴权之后,接入网ASN中的DHCP代理服务器被配置。如果IP地址和主机配置已经被包含在AAA应答消息中,总的信息被下载到DHCP代理服务器中。
在成功的鉴权和授权之后,移动站或移动终端MS发送DHCP搜索 消息并且它进行IP地址分配。
如果移动终端MS被纳入网络中,该移动终端MS必须能够可能地知晓,它处于归属网还是外地网中。此外,该移动终端MS还必须知晓,在相应的网中哪个计算机是归属代理或外地代理。这些信息通过所谓的代理搜索来确定。有两种类型的代理搜索,即所谓的代理通告(AgentAdvertisement)和代理请求(Agent Solicitation)。
在代理通告的情况下,所述代理即归属代理或外地代理周期地发送广播消息给子网的所有计算机或移动终端。这样,每个在确定时间段监听广播消息的计算机可以识别在各个子网中的代理。
如果移动终端MS重新被激活,则期待下一个代理通告通常是不实际的。移动终端MS必须立刻知道,它正好处于哪个子网中。在所谓的代理请求的情况中,移动终端MS因此发送请求给各自的子网的所有计算机,以执行代理通告。移动终端MS可以通过代理请求来强制,这些代理立即被认识,使得等待时间明显缩短。当代理通告消失时例如当分组丢失或网络变换时,也执行代理请求。移动终端MS也可借助代理搜索确定,它处于其归属网中还是外地网中。借助在代理通告消息内的分组信息,移动终端MS认识其归属代理HA。如果移动终端MS从外地网得到消息分组,则它可以附加地确定:自从最后的通告起,其位置是否已经改变。如果移动终端MS没有接收到通告消息,则移动终端MS首先由此出发,它处于归属网中并且归属代理HA受到干扰。接着,移动终端MS尝试与该网络的路由器联系,以便确认该假设。如果移动终端MS不处于其归属网中,它接着尝试到达DHCP-服务器并获得子网的地址。如果这个成功了,移动终端MS则使用该地址作为所谓的同位的(Colocated)转交地址并且与该归属代理HA联系。所述同位的转交地址是分配给外地网中的移动终端MS的地址,所述地址也被传送给归属代理HA。
人们区分基于网络的移动性管理(PMIP)和基于终端的移动性管理(CMIP)。在基于终端的移动性管理CMIP中,终端支持移动IP(MIP)。
图4示出了在传统的基于网络的移动性管理(PMIP)中的连接建立,图5示出了在传统的基于终端的移动性管理(CMIP)中的连接建立。
在建立移动终端MS和该网络之间的连接时,归属网的鉴权服务器 (H-AAA)在用户的成功鉴权之后发送鉴权确认消息(SUCCESS)。鉴权确认消息通知鉴权客户,该用户的鉴权被成功地结束。
在代理MIP或基于网络的移动性管理(PMIP)中,移动终端不支持移动IP,或者相应的MIP软件在该移动终端MS中是非激活的(aktiviert)。
相反,在客户MIP(CMIP)中或者在基于终端的移动性管理中,由各自的终端或该移动站MS支持移动IP。
在代理MIP中,移动终端MS仅仅认识一个由DHCP服务器所分配的IP地址。移动终端MS的转交地址不被该移动终端而被PMIP客户、外地代理FA以及归属代理HA所知道。相反,在客户MIP中,移动终端MS知道其两个IP地址、即归属地址和转交地址。
如图4、5可看出的,在IP地址分配之后进行MIP注册。在MIP注册时,归属代理HA被通知关于移动终端MS的当前的位置。为了其注册,移动终端MS或者归属代理HA发送注册请求给归属代理HA,该注册请求包含当前转交地址。归属代理HA将转交地址记录到由其管理的列表中并且用注册回复(Registration Reply)来回答。因为原则上每个计算机可以向归属代理HA发送注册请求,因此可以以简单的方式欺骗归属代理HA,计算机或者移动终端MS已经移动到其它的网络中了。为了避免这个,移动终端MS和归属代理HA都拥有共同的密钥,即所谓的移动IP密钥(MIP-KEY)。
在代理MIP(PMIP)中,注册请求(MIPRRQ)由接入网ASN内的PMIP客户经过外地代理FA被传输给归属代理HA。如图4中所示,归属代理HA被所属的鉴权服务器H-AAA分配了用户的密钥并且将其连同MIP注册回复(MIPRegistration Reply)一起进行传输。
如图5中所示,在基于终端的移动性管理(CMIP)中,注册请求消息(MIPRRQ)直接由移动终端MS通过外地代理FA被定向到归属代理HA。
如可由图4,5看出的,在PMIP和CMIP中,在接入鉴权中,由鉴权服务器提供了相同的、用于加密移动IP信令消息的移动IP密钥(MIPKEY)。所述移动IP密钥用于加密在移动IP客户和移动IP归属代理HA之间的移动IP信令消息。
对于图5中所示的CMIP情况,因此鉴权器得到它根本不需要的移 动IP密钥。鉴权器通常处于接入网ASN的网关节点中。因为移动IP密钥应该加密在移动终端MS和归属代理HA之间的信令消息,因此鉴权器不需要该移动IP密钥。因此,在传统的系统中,接入网ASN获得它根本不需要的密钥,然而该密钥可被用于操纵目的。例如,可能由接入网ASN的网关节点借助不必要地被传输的移动IP密钥来发送未被授权的移动IP注册请求消息(MIPRRQ)。其它的缺点在于,不必要地被转发的移动IP密钥在ASN网关节点中不必要地占据了存储空间。
因此,本发明的任务在于提供一种方法和系统,其中为了避免被操纵,移动IP密钥仅仅被分配到实际上需要它的那些节点上。
按照本发明,该任务通过具有在权利要求1中说明的特征的方法并且通过具有在权利要求20中说明的特征的系统被解决。
本发明实现了用于提供移动IP密钥的方法,该移动IP密钥被设置用于对在用户终端(MS)或PMIP客户与归属代理(HA)之间的消息进行加密,其中当鉴权服务器借助相应地编码的参数P认识到,用户终端(MS)本身不使用移动IP(PMIP)时,所述鉴权服务器才提供所述移动IP密钥(MIP-KEY)。
在本发明的方法的一种有利的实施方式中,所述被编码的参数P由被编码的用户身份NAI(网络访问标识符)构成。
在有利的实施方式中,鉴权服务器由AAA鉴权服务器构成。
在本发明方法的另一有利实施方式中,所述被编码的用户身份在用户终端MS的鉴权期间在消息中被传输给鉴权服务器。
在本发明方法的代替的实施方式中,所述被编码的用户身份NAI在用户终端MS的注册期间在消息中被传输给鉴权服务器。
在本发明方法的代替的实施方式中,所述被编码的参数由被编码的安全参数索引(Security Parameter Index,SPI)构成。
在有利的实施方式中,在用户终端MS的注册期间,所述被编码的安全参数索引(SPI)于此被传输给鉴权服务器。
在本发明方法的一种实施方式中,所述参数P的编码由用户终端MS来进行。
在本发明方法的代替的实施方式中,所述参数P的编码由鉴权器来进行。
在本发明方法的另外的代替实施方式中,所述参数P的编码由 PMIP客户来进行。
在本发明方法的另一代替的实施方式中,所述参数P的编码由外地代理FA来进行。
在本发明方法的有利的实施方式中,涉及MIP版本的信息附加地被编码在该参数P中。
在本发明方法的另一实施方式中,归属代理HA在说明被编码的参数的条件下向鉴权服务器请求移动IP密钥(MIP-KEY)。
在本发明方法的另一实施方式中,所述代理服务器提供了两个不同的MIP密钥,其中当移动终端MS本身使用移动IP时,由鉴权服务器对归属代理HA提供第一CMIP密钥,并且当移动终端MS本身不使用移动IP时,由鉴权服务器对归属代理HA提供第二PMIP密钥。
在本发明方法的有利的实施方式中,所述鉴权器服务器根据移动IP来计算根密钥(RK)并且根据字符链(Zeichenkette)来计算被提供作为移动IP密钥(MIP-KEY)的哈希值H。
在此,字符链优选由链接的子字符链(Unterzeichenketten)构成。
在一个有利的实施方式中,所述子字符链由归属代理HA的IP地址构成。
在本发明方法的一种实施方式中,所述用户身份NAI具有下面的数据格式:[Routing Realml!Routing Realm2!...!]{Auth Mode}pseudo Identitiy realm,其中Pseudo Identitiy是在鉴权中由终端MS产生的随机数,并且其中Auth Mode是说明鉴权模式的字符。
在本发明方法的实施方式中,在所述被编码的用户身份NAI中鉴权模式(Auth Mode)被扩展至少一个字符,该字符说明用户终端MS本身是否使用移动IP。
本发明还实现了一种用于提供移动IP密钥的系统,该系统被设置用于对在用户终端MS或PMIP客户与归属代理HA之间的消息进行加密,其中当鉴权服务器借助相应地编码的参数P认识到,用户终端MS本身不使用移动IP(PMIP)时,所述鉴权服务器才提供所述移动IP密钥(MIP-KEY)。
本发明还实现了一种移动终端MS,该移动终端MS在被定向给鉴权服务器的网络登记消息中、和/或在被定向给归属代理HA的MIP注册 请求消息中,传输被编码的参数P,该被编码的参数P说明所述移动终端MS本身是否使用移动IP。
本发明还实现了一种接入网ASN的客户计算机,该客户计算机在被定向给归属代理HA的MIP注册请求消息中传输被编码的参数P,该被编码的参数P说明所属移动终端MS本身是否使用移动IP。
此外,参考用于阐述本发明实质性特征的附图来描述用于提供移动IP密钥的本发明方法和本发明系统的有利实施方式。
其中示出了:
图1 根据现有技术的移动性绑定表;
图2 根据现有技术的访问者列表;
图3 针对WiMax无线电网络的参考模型;
图4 在根据现有技术的代理MIP(PMIP)中的连接建立;
图5 在根据现有技术的客户MIP(CMIP)中的连接建立;
图6 WiMax网,在其中可使用本发明的方法来提供移动IP密钥;
图7 WiMax网登记,在其中执行本发明的用于提供移动IP密钥的方法;
图8 用于说明在网登记中所传输的用户身份的编码可能性的表格,以说明本发明方法的实施形式;
图9 用于说明本发明的用于提供移动IP密钥的方法的、针对CMIP情况的信号图;
图10 用于说明本发明的用于提供移动IP密钥的方法的、针对PMIP情况的另外的信号图;
图11 用于说明本发明的用于提供移动IP密钥的方法的代替实施形式的、针对PMIP情况的另一信号图;
图12 用于说明本发明的用于提供移动IP密钥的方法的代替实施形式的、针对CMIP情况的另一信号图。
图6 示出了WiMax网络架构,在其中可以使用本发明的用于提供移动IP密钥的方法。移动终端1(MS=移动站)通过接口R1被连接到接入网2(ASN=Access Service Network接入业务网)上。接入网2通过接口R3被连接到访问网3(VCSN=Visited Connectivity ServiceNetwork被访问的连接性业务网)上。该访问网3在其一侧通过接口 R5与归属网4(HCSN=Home Connectivity Service Network归属连接性业务网)相连接。
如果移动终端1从第一接入网2移动到第二接入网2’,进行第一和第二接入网之间的切换(Handover)。该切换(Handover)在WiMax规范中被称为“宏移动性管理(Macro Mobility Management)”或者也被称为“R3移动性”或“内部ASN移动性(Inter ASN Mobility)”。访问网3和归属网4分别被连接到接入业务提供商(ASP)或因特网。
每个接入网2包括多个基站BS,这些基站在其一侧通过接口R6被连接到ASN网关节点5上。在图6中所示的ASN网关节点5包括鉴权器5A、MIP外地代理5B和PMIP客户5C。如图6中所示,AAA服务器3A处于在每个访问网3中。鉴权服务器4A以及归属代理4B同样处于归属网4中。
在移动终端1一方上区分两种情况。移动终端1本身支持移动IP并具有自己的CMIP客户,或者移动终端1不支持移动IP并需要在接入网2的网关节点5中的PMIP客户5C。
图7示出了用于说明本发明方法的信号图。
在本发明的用于提供移动IP密钥的方法中,该移动IP密钥被设置用于加密即用于密码保护,以防例如在用户终端1或PMIP客户5C与归属代理4B之间的消息被操纵和/或监听,当归属网4中的鉴权服务器4A借助相应地被编码的参数P认识到移动终端1本身不使用移动IP或者说存在PMIP情况时,鉴权服务器4A才提供移动IP密钥。借助移动IP密钥,尤其可以通过密码的安全方法(密码的校验和、消息鉴权编码)防止消息被操纵(改变)。
该参数P优选为被编码的用户身份或网络接入标识符(NAI)。
然而,在本发明方法中,在网络登记期间传输的其它参数P也可以被编码。例如也可以编码在注册时使用的安全参数索引(SPI)。
如由图7可看出的,移动终端1在其鉴权中向鉴权服务器4A传输被编码了的用户身份NAI。借助该被编码的用户身份NAI,鉴权服务器4A认识到,移动终端1本身是否支持移动IP(CMIP)或者移动终端1是否不使用移动IP(PMIP)。只有当鉴权服务器4A借助该被编码的参数P确定,移动终端1本身不使用移动IP,即当存在PMIP情况时,才提供移动IP密钥(MIP Key)来加密用户终端1与该移动终端1的归 属代理4B之间的消息。在一个第一可能实施方式中,当确定移动终端1本身不使用移动IP(PMIP情况)时,鉴权服务器4A才传输移动IP密钥。对于该PMIP情况,鉴权服务器4A在SUCCESS消息中传送移动IP密钥(MIP Key)给被包含在ASN网关5中的鉴权器5A,该鉴权器5又将其提供给PMIP客户。在第一变型方案中,针对相反情况(CMIP情况),即当移动终端1支持移动IP时,没有通过鉴权服务器4A传输移动IP密钥给鉴权器5A。在代替的变型方案中,鉴权服务器4A提供两个不同的IP密钥,即针对移动终端1本身使用移动IP的情况的第一CMIP密钥和针对移动终端1本身不使用移动IP的情况的第二PMIP密钥。相应的密钥通过鉴权服务器4A被向鉴权器5A和归属代理4B传输。
在一种实施方式中,参数P的编码并且尤其是用户身份NAI的编码由移动终端1来进行。在代替的实施方式中,参数P的编码由鉴权器5A、PMIP客户5C或由外地代理5B来进行。
在一种有利的实施方式中,关于MIP版本、即MIPV4或MIPV6的信息被附加地编码到该参数中。
在说明被编码的参数P、尤其是在说明被编码的用户身份NAI的条件下,在MIP注册时归属代理4B向鉴权服务器4A请求移动IP密钥,所述移动IP密钥为了加密在归属代理4B与用户终端1或用户终端1的PMIP客户5C之间的消息是必要的。
用户身份NAI的编码可以以不同的方式来进行。不强制地需要,在鉴权期间或在注册期间使用同一用户身份NAI。因此,如图7中所示,在鉴权期间所使用的用户身份NA IA和在注册期间所使用的用户身份NAIR可以是不同的。
所述用户身份NAI优选具有下面的数据格式:
[Routing Realm1!Routing Realm2!...!]{Auth Mode}pseudoIdentitiy realm,其中Pseudo Identitiy是在鉴权中由终端1产生的随机数,并且其中Auth Mode是说明鉴权模式的字符。鉴权模式向鉴权服务器说明了,那种鉴权工作模式被移动终端1所要求。
在本发明方法的可能的实施方式中,被包含在用户身份NAI中的鉴权模式被扩展至少一个附加的字符,所述鉴权模式可能为字符和数 字,所述至少一个附加的字符说明用户终端1本身是否使用移动IP。
例如,用户身份NAI
{1}31276453vodafone.com
针对CMIP情况如下编码:
{1C}31276453vodafone.com
并且针对PMIP情况如下编码:
{1P}31276453vodafone.com。
代替地,当存在CMIP情况时,用户身份NAI例如才扩展一个字符,这样得到针对CMIP情况的如下的被编码的用户身份: {1C}31276453vodafone.com,其中针对PMIP情况不执行鉴权模式字符链的扩展,这样针对PMIP情况得到如下的编码: {1}31276453vodafone.com。
得到用于编码用户身份NAI的各种不同的变型方案,其中鉴权和注册期间所使用的用户身份NAIA、NAIR可以相同或者不同地被编码。
用于编码的可能的变型方案在图8中以表格的形式被示出。
例如,在变型方案V1中,字符链在针对PMIP情况的鉴权模式中不仅对于在鉴权期间的用户身份NAIA而且对于在注册期间的用户身份NAIR被扩展了字符“P”,而它们在针对CMIP的情况下被扩展了字符“C”。
例如,在变型方案V2中,针对PMIP情况不进行鉴权模式字符链的扩展,而针对CMIP情况鉴权模式被扩展了字符“C”。另外的变型方案V3至V6在按照图8的表格中被说明。
附加地,诸如MIPV4或MIPV6的MIP版本信息可选地被编码到(einkodiert)该用户身份NAI中,其方式是,除了字符“P”或“C”外附加上字符“4”或“6”。
自然,可以使用任意的ASCII字符用于各个情况的编码。
取决于MIP模式,鉴权服务器4A如其在用户身份NAI中被编码入一样,它或者提供PMIP密钥或者提供CMIP密钥给归属代理4B。
在本发明方法中,归属代理4B或者鉴权服务器4A借助移动终端1在网络登记时使用的、被编码的用户身份NAI来认识,使用CMIP还是PMIP。
根据存在CMIP情况还是PMIP情况来进行密钥推导和密钥传输。
在第一变型方案中,当实际上存在PMIP情况时,才将MIP密钥传输给接入网5。在这里,不必改变密钥等级并且仅仅产生一个密钥用于加密在移动终端1与归属代理4B之间的消息。
在一个代替的实施方式中,针对PMIP情况和CMIP情况导出不同的MIP密钥。
例如,在使用哈希函数H下根据移动IP根密钥(MIP-RK)和字符链来计算哈希值,该哈希值被提供作为移动IP密钥:
MM-HA-PMIP4=H(MIP-RK,“PMIP4MNHA”|HA-IP)
MM-HA-CMIP4=H(MIP-RK,“CMIP4MNHA”|HA-IP)
在利用哈希函数H计算哈希值时使用的字符链例如可以由被链接的子字符链组成。在此,子字符链HA-IP优选由归属代理4B的IP地址构成。子字符链被附加或者被链接到字符链上,所述字符链对于PMIP情况和对于CMIP情况是不同的,例如对于PMIP情况为“PMIP4MNHA”以及对于CMIP情况为“CMIP4MNHA”。然后,由所组成的字符链和移动IP根密钥(MIP-RK),在使用哈希函数H之下计算哈希值。因为所组成的字符链具有针对PMIP或CMIP情况的不同的部分,因此针对PMIP和CMIP情况被计算出的两个哈希值HP(MM-HA-PMIP4)、HC(MM-HA-CMIP4)是不同的并且可以作为针对各个情况的移动IP密钥被提供。
仅仅将PMIP密钥(MN-HA-PMIP4)而不将CMIP密钥(MN-HA-CMIP4)发送给接入网5。
如果稍后在MIP注册时归属代理4B询问来自鉴权服务器4A的MIP密钥时,鉴权服务器4A根据在用户身份NAI中被编码入的MIP模式(CMIP或PMIP)将PMIP密钥(MS-HA-PMIP4)或者CMIP密钥(MS-HA-CMIP4)交送给归属代理4B。虽然这里接入网ASN(代理-MN)获得MIP密钥,然而当客户支持MIP(CMIP情况)时,该MIP密钥不被使用。归属代理4B即仅仅从MIP客户接受利用CMIP密钥(MN-HA-CMIP4)保护的信令消息。
代替地,在归属代理4B中可直接进行针对PMIP和CMIP的不同密钥的推导。这可以这样地被实现:鉴权服务器4A给归属代理4B发送由MIP根密钥(MIP-RK)所导出的密钥。然后,该归属代理可以基于用户使用PMIP还是CMIP的信息自己进行相应的MIP密钥(MN-HA)的 推导。
在一个实施方式中,针对移动IP版本4和移动IP版本6以及针对PMIP情况和CMIP情况分别提供了不同的密钥。例如鉴权服务器在使用哈希函数H之下根据移动IP根密钥(MIP-RK)和字符链来计算哈希值,该哈希值被提供作为移动IP密钥:
MM-HA-PMIP4=H(MIP-RK,“PMIP4MNHA”|HA-IP)
MM-HA-CMIP4=H(MIP-RK,“CMIP4MNHA”|HA-IP)
MM-HA-PMIP6=H(MIP-RK,“PMIP6MNHA”|HA-IP)
MM-HA-CMIP6=H(MIP-RK,“CMIP6MNHA”|HA-IP)
在利用哈希函数H计算哈希值时使用的字符链例如可以由被链接的子字符链组成。在此,子字符链HA-IP优选由归属代理4B的IP地址构成。子字符链被附加或者被链接到字符链上,所述字符链针对PMIPv4、CMIPv4、MIPv6和CMIPv6的情况是不同的,并且例如对于PMIPv4的情况为“PMIP4MNHA”,对于CMIPv4情况为“CMIP4MNHA”,对于PMIPv6的情况为“PMIP6MNHA”,对于CMIPv6情况为“CMIP6MNHA”。然后,由所组成的字符链和移动IP根密钥(MIP-RK),在使用哈希函数H之下计算哈希值。因为所组成的字符链具有针对PMIPv4、CMIPv4、MIPv6、CMIPv6的情况的不同的部分,因此针对PMIPv4、CMIPv4、MIPv6和CMIPv6的情况计算出的四个哈希值HP4(MM-HA-PMIP4)、HC4(MM-HA-CMIP4)、HP6(MM-HA-PMIP6)、HC6(MM-HA-CMIP6)是不同的并且可以作为针对各个情况的移动IP密钥被提供。
在一个变型方案中,仅仅将这两个PMIP密钥(MN-HA-PMIP4,MN-HA-PMIP6)而不将CMIP密钥(MN-HA-CMIP4,MN-HA-CMIP6)发送给接入网5。
如果在另一个变型方案中通过所传输的参数P也在移动IP版本4和移动IP版本6之间进行区别,则如果该参数P说明移动IP版本4被使用,则鉴权服务器仅仅提供针对版本4的移动IP密钥(MN-HA-PMIP4或者MN-HA-CMIP4),或者如果该参数P说明移动IP版本6被使用,则鉴权服务器仅仅提供针对版本6的移动IP密钥(MN-HA-PMIP6或者MN-HA-CMIP6)。
在一种变型方案中,在所述鉴权中被传输的参数P说明,使用移 动IP版本4还是移动IP版本6。鉴权服务器向接入网5仅仅传输相应的PMIP密钥(MN-HA-PMIP4,MN-HA-PMIP6),即,如果移动IP版本4的使用通过参数P被编码,则MN-HA-PMIP4被发送给接入网5;并且如果移动IP版本6的使用通过参数P被编码,则MN-HA-PMIP6被发送给接入网5。
图9用于说明本发明的方法。在图9所示的信号图中观察CMIP情况,在其中移动终端1本身支持移动IP。在CMIP情况中,鉴权服务器4A或者不向接入网5中的鉴权器5A传输移动IP密钥(即在SUCCESS消息中不包含移动IP密钥MIP-KEY),或者与PMIP情况下不同的PMIP密钥被传输给鉴权器5A,如图9中所示。
图10示出了针对PMIP情况的信号图,在其中使用本发明方法。对于在其中移动终端1本身不支持移动IP的PMIP情况,由鉴权服务器4A给接入网5的网关节点5内的PMIP客户5C和鉴权器5A提供移动IP密钥,该移动IP密钥在SUCCESS消息中被传输。该移动IP密钥或者涉及专门针对该情况算出的PMIP密钥(PMIP密钥)或者涉及传统地被推导出的移动IP密钥,其仅仅针对PMIP情况被提供给PMIP客户,即在CMIP情况中,其不会被提供给鉴权器并且由此不会被提供给PMIP客户。
在本发明方法中,鉴权服务器4A借助参数认识到移动终端1本身支持移动IP(CMIP)还是本身不支持移动IP(PMIP)。该参数P优选从为了接入鉴权借助EAP协议传输的参数P中被推导出。
参数P的编码不必强制地在网络登记期间来进行。所述编码也可以借助参数P进行,该参数P在用户终端1注册期间在消息中被传输给鉴权服务器4A。尤其是,当编码仅仅在MIP信令消息中而不在网络登记中进行时,在本发明方法的一个实施方式中,被包含在移动IP信令消息中的安全参数索引SPI被用于此。
图11示出了用于说明该实施方式的信号图。网关节点5发送注册请求,该注册请求包含被相应地编码的安全参数索引SPI,鉴权服务器4A借助该注册请求确定,移动终端1是使用移动IP(CMIP-请求)还是不使用移动IP(PMIP情况)。安全参数索引SPI涉及32位的数值。安全参数索引SPI在针对MIPV4的RFC3344“IP Novelty Support forIP V4”中被定义或者在MIPV6的RFC4285“Authentification Protocol for Mobile IP V6”中被定义。
在一种实施形式中,固定地预给定的SPI值例如可以编码PMIP情况,并且第二预给定的SPI值编码CMIP情况。
代替地,安全参数索引SPI的确定位可以为此目的被确定,例如最高值位或最低值位0。例如编码SPI值,其中,当该位具有值0时,指示CMIP情况,而当该位具有值1时,指示PMIP情况。
在图11中所示的示图中,SPI值例如为奇数,即最后的位被置为1,由此指示PMIP情况。
如果附加地也应该在移动IP版本4和移动IP版本6之间进行区别时,则这相应地通过SPI值来编码:在一个实施形式中,例如可以针对情况CMIPv4、PMIPv4、MIPv6、CMIPv6预给定四个值。
代替地,为此目的可以定义安全参数索引SPI的两个确定的位,例如两个最高值位和两个最低值位。例如编码SPI值,其中对于CMIPv4情况该位具有00值,对于PMIPv4情况该位具有01值,对于CMIPv6情况该位具有10值,对于MIPv6情况该位具有11值。
在图12中所示的例子中,由移动终端1传输的注册请求包括偶数SPI值,该SPI值指示,终端1使用移动IP。该SPI值进一步被传输给鉴权服务器4A,鉴权服务器4A借助SPI值认识到存在PMIP情况并且将相应的CMIP密钥传输给归属代理4B。
在本发明方法中,原则上每个在接入鉴权中或MIP注册中被传输给鉴权服务器4A的参数P都可以被用于CMIP或PMIP情况的编码。
本发明方法尤其适于WiMax网络。WiMax已经使用了确定的参数来信号化确定的鉴权模式。尤其是,在WiMax中已经使用了按照本发明在一个实施形式中被编码的用户身份NAI,来指示PMIP或CMIP情况。这能够实现极其简单的实施,因为用户身份NAI总归被分析。由此,用于分配移动IP密钥的信令开销和用于存储移动IP密钥的存储空间被减少,因为仅仅是实际上被需要的密钥分配。
Claims (16)
1.用于提供移动IP密钥的方法,该移动IP密钥被设置用于对在用户终端(1)或代理移动IP客户(5C)与归属代理(4B)之间的消息进行加密,
其中当鉴权服务器(4A)借助相应地被编码的参数(P)认识到所述用户终端(1)本身不使用移动I P时,所述鉴权服务器(4A)才提供所述移动IP密钥。
2.按照权利要求1所述的方法,
其中所述被编码的参数(P)由被编码的用户身份、即网络接入标识符NAI构成。
3.按照权利要求1所述的方法,
其中所述鉴权服务器(4A)由AAA鉴权服务器构成。
4.按照权利要求2所述的方法,
其中所述被编码的用户身份在用户终端(1)的鉴权期间在消息中被传输给鉴权服务器(4A)。
5.按照权利要求2所述的方法,
其中所述被编码的用户身份在用户终端(1)的注册期间在消息中被传输给鉴权服务器(4A)。
6.按照权利要求1所述的方法,
其中所述被编码的参数(P)由被编码的安全参数索引(SPI)构成。
7.按照权利要求6所述的方法,
其中在用户终端(1)的注册期间,所述被编码的安全参数索引被传输给鉴权服务器(4A)。
8.按照权利要求1所述的方法,
其中所述参数(P)的编码由用户终端(1)来进行。
9.按照权利要求1所述的方法,
其中所述参数(P)的编码由鉴权器(5A)来进行。
10.按照权利要求1所述的方法,
其中所述参数(P)的编码由代理移动IP客户(5C)来进行。
11.按照权利要求1所述的方法,
其中所述参数(P)的编码由外地代理(5B)来进行。
12.按照权利要求1所述的方法,
其中有关存在何种MIP版本的信息附加地被编码到该参数(P)中。
13.按照权利要求1所述的方法,
其中在说明了所述被编码的参数(P)的情况下,所述归属代理(4B)向所述鉴权服务器(4A)请求所述移动IP密钥。
14.按照权利要求1所述的方法,
其中所述鉴权服务器(4A)提供了两个不同的MIP密钥,其中当所述用户终端(1)本身使用移动IP时,由所述鉴权服务器(4A)对归属代理(4B)提供第一客户移动IP密钥,并且
当所述用户终端(1)本身不使用移动IP时,由所述鉴权服务器(4A)对归属代理(4B)提供第二代理移动IP密钥。
15.按照权利要求1所述的方法,
其中所述鉴权服务器(4A)根据移动IP根密钥并且根据字符链、在使用哈希函数H之下来计算哈希值,该哈希值被提供作为移动IP密钥,
其中所述字符链由被链接的子字符链组成,
其中子字符链由所述归属代理(4B)的IP地址构成。
16.按照权利要求2所述的方法,
其中所述被编码的用户身份将鉴权模式(Auth Mode)扩展至少一个字符,所述字符说明所述用户终端(1)本身是否使用移动IP。
Applications Claiming Priority (7)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE102006025690 | 2006-06-01 | ||
DE102006025690.5 | 2006-06-01 | ||
DE102006026737.0 | 2006-06-08 | ||
DE102006026737 | 2006-06-08 | ||
DE102006031870A DE102006031870B4 (de) | 2006-06-01 | 2006-07-10 | Verfahren und System zum Bereitstellen eines Mobile IP Schlüssels |
DE102006031870.6 | 2006-07-10 | ||
PCT/EP2007/055045 WO2007137987A2 (de) | 2006-06-01 | 2007-05-24 | Verfahren und system zum bereitstellen eines mobile ip schlüssels |
Publications (2)
Publication Number | Publication Date |
---|---|
CN101461211A CN101461211A (zh) | 2009-06-17 |
CN101461211B true CN101461211B (zh) | 2013-05-29 |
Family
ID=38650610
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN2007800202162A Expired - Fee Related CN101461211B (zh) | 2006-06-01 | 2007-05-24 | 用于提供移动ip密钥的方法 |
Country Status (8)
Country | Link |
---|---|
US (1) | US8611543B2 (zh) |
EP (1) | EP2025120B1 (zh) |
JP (1) | JP5119242B2 (zh) |
KR (1) | KR101414711B1 (zh) |
CN (1) | CN101461211B (zh) |
DE (1) | DE102006031870B4 (zh) |
EA (1) | EA014148B1 (zh) |
WO (1) | WO2007137987A2 (zh) |
Families Citing this family (14)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101106452B (zh) * | 2006-07-12 | 2010-12-08 | 华为技术有限公司 | 移动ip密钥的产生及分发方法和系统 |
CN101123498B (zh) * | 2006-08-08 | 2011-12-28 | 华为技术有限公司 | 一种实现接入认证的方法、设备及系统 |
WO2008099857A1 (ja) | 2007-02-13 | 2008-08-21 | Nec Corporation | 移動管理システム、ホームエージェント及びそれらに用いる移動端末管理方法並びにそのプログラム |
CN101779482B (zh) * | 2007-08-13 | 2014-01-22 | 苹果公司 | 用于移动ipv4的新diameter信令 |
JP4371249B1 (ja) * | 2008-08-07 | 2009-11-25 | 日本電気株式会社 | 通信システム、サーバ装置、情報通知方法、プログラム |
JP4371250B1 (ja) | 2008-08-07 | 2009-11-25 | 日本電気株式会社 | 通信システム、サーバ装置、情報通知方法、プログラム |
ES2539267T3 (es) | 2008-11-04 | 2015-06-29 | Huawei Technologies Co., Ltd. | Método y aparato para determinar índices de recursos |
CN102045639B (zh) * | 2009-10-10 | 2015-06-10 | 中兴通讯股份有限公司 | 订购关系鉴权方法、系统和移动多媒体广播条件接收系统 |
CN103841592B (zh) * | 2012-11-27 | 2017-12-05 | 中兴通讯股份有限公司 | 一种微波设备托管的实现方法及装置 |
US10430607B2 (en) * | 2016-05-05 | 2019-10-01 | Ribbon Communications Operating Company, Inc. | Use of AKA methods and procedures for authentication of subscribers without access to SIM credentials |
US11553561B2 (en) | 2016-10-28 | 2023-01-10 | Apple Inc. | Protection of the UE identity during 802.1x carrier hotspot and wi-fi calling authentication |
US10833876B2 (en) | 2016-10-28 | 2020-11-10 | Apple Inc. | Protection of the UE identity during 802.1x carrier hotspot and Wi-Fi calling authentication |
TWI644229B (zh) * | 2017-05-04 | 2018-12-11 | 慧榮科技股份有限公司 | 採加密技術之數據中心與數據中心操作方法 |
CN113468544B (zh) * | 2020-03-30 | 2024-04-05 | 杭州海康威视数字技术股份有限公司 | 一种应用模型的训练方法及装置 |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1411200A (zh) * | 2001-09-27 | 2003-04-16 | 株式会社东芝 | 电子装置、无线通信设备以及加密密钥设置方法 |
EP1657877A1 (en) * | 2004-11-12 | 2006-05-17 | Samsung Electronics Co.,Ltd. | Methods and apparatus for using VPN gateway acting as Mobile IP Foreign Agent FA for mobile node |
Family Cites Families (14)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7581076B2 (en) * | 2001-03-05 | 2009-08-25 | Pact Xpp Technologies Ag | Methods and devices for treating and/or processing data |
US7096368B2 (en) * | 2001-08-01 | 2006-08-22 | Mcafee, Inc. | Platform abstraction layer for a wireless malware scanning engine |
US7218618B2 (en) * | 2002-07-19 | 2007-05-15 | Nokia Corporation | Method of providing mobile IP functionality for a non mobile IP capable mobile node and switching device for acting as a mobile IP proxy |
JP4000419B2 (ja) * | 2003-04-09 | 2007-10-31 | 日本電信電話株式会社 | 経路最適化システムと方法およびプログラム |
US7549055B2 (en) * | 2003-05-19 | 2009-06-16 | Intel Corporation | Pre-boot firmware based virus scanner |
US7325185B1 (en) * | 2003-08-04 | 2008-01-29 | Symantec Corporation | Host-based detection and prevention of malicious code propagation |
WO2005086462A1 (en) | 2004-02-27 | 2005-09-15 | Nortel Networks Limited | Nai based aaa extensions |
CN100375424C (zh) | 2004-03-22 | 2008-03-12 | 国际商业机器公司 | 多媒体消息收发方法、系统、网关和客户设备 |
US7502331B2 (en) * | 2004-11-17 | 2009-03-10 | Cisco Technology, Inc. | Infrastructure-less bootstrapping: trustless bootstrapping to enable mobility for mobile devices |
FI20050384A0 (fi) * | 2005-04-14 | 2005-04-14 | Nokia Corp | Geneerisen todentamisarkkitehtuurin käyttö Internet-käytäntöavainten jakeluun matkaviestimissä |
US7881262B2 (en) * | 2005-07-07 | 2011-02-01 | Alvarion Ltd. | Method and apparatus for enabling mobility in mobile IP based wireless communication systems |
US7626963B2 (en) * | 2005-10-25 | 2009-12-01 | Cisco Technology, Inc. | EAP/SIM authentication for mobile IP to leverage GSM/SIM authentication infrastructure |
US7877801B2 (en) * | 2006-05-26 | 2011-01-25 | Symantec Corporation | Method and system to detect malicious software |
US7853999B2 (en) * | 2007-05-11 | 2010-12-14 | Microsoft Corporation | Trusted operating environment for malware detection |
-
2006
- 2006-07-10 DE DE102006031870A patent/DE102006031870B4/de not_active Expired - Fee Related
-
2007
- 2007-05-24 US US12/303,092 patent/US8611543B2/en active Active
- 2007-05-24 WO PCT/EP2007/055045 patent/WO2007137987A2/de active Application Filing
- 2007-05-24 EP EP07729476.7A patent/EP2025120B1/de not_active Not-in-force
- 2007-05-24 JP JP2009512551A patent/JP5119242B2/ja not_active Expired - Fee Related
- 2007-05-24 CN CN2007800202162A patent/CN101461211B/zh not_active Expired - Fee Related
- 2007-05-24 KR KR1020087032105A patent/KR101414711B1/ko active IP Right Grant
- 2007-05-24 EA EA200870590A patent/EA014148B1/ru not_active IP Right Cessation
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1411200A (zh) * | 2001-09-27 | 2003-04-16 | 株式会社东芝 | 电子装置、无线通信设备以及加密密钥设置方法 |
EP1657877A1 (en) * | 2004-11-12 | 2006-05-17 | Samsung Electronics Co.,Ltd. | Methods and apparatus for using VPN gateway acting as Mobile IP Foreign Agent FA for mobile node |
Non-Patent Citations (1)
Title |
---|
Madjid Nakhjiri ect..EAP based Proxy Mobile IP key bootstrapping: A WIMAX applicability example.《draft-nakhjiri-pmip-key-02.txt》.2006, * |
Also Published As
Publication number | Publication date |
---|---|
WO2007137987A3 (de) | 2008-02-07 |
KR20090024755A (ko) | 2009-03-09 |
EA200870590A1 (ru) | 2009-04-28 |
WO2007137987A2 (de) | 2007-12-06 |
JP5119242B2 (ja) | 2013-01-16 |
CN101461211A (zh) | 2009-06-17 |
JP2009539289A (ja) | 2009-11-12 |
US8611543B2 (en) | 2013-12-17 |
US20090185691A1 (en) | 2009-07-23 |
KR101414711B1 (ko) | 2014-07-04 |
EP2025120B1 (de) | 2018-06-27 |
EA014148B1 (ru) | 2010-10-29 |
EP2025120A2 (de) | 2009-02-18 |
DE102006031870B4 (de) | 2008-07-31 |
DE102006031870A1 (de) | 2007-12-06 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN101461211B (zh) | 用于提供移动ip密钥的方法 | |
ES2609257T3 (es) | Procedimiento y sistema para proporcionar una clave específica de acceso | |
CN101300889B (zh) | 用于提供移动性密钥的方法和服务器 | |
CN101300815B (zh) | 用于提供移动性密钥的方法和服务器 | |
CN101001261B (zh) | 一种MIPv6移动节点的通信方法 | |
Chuang et al. | SPAM: A secure password authentication mechanism for seamless handover in proxy mobile IPv6 networks | |
JP4681656B2 (ja) | クライアントモバイルip(cmip)に代わるプロキシモバイルip(pmp)の加入者固有の強制 | |
CN101150572B (zh) | 移动节点和通信对端绑定更新的方法及装置 | |
CN101300543A (zh) | 用于提供授权材料的方法和装置 | |
WO2007011995B1 (en) | Secure proxy mobile ip apparatus, system, and method | |
CN1918843B (zh) | 用于在无线因特网系统中鉴别用户和网络的方法和装置 | |
CN101031133B (zh) | 一种确定移动节点归属的家乡代理的方法及装置 | |
Laurent-Maknavicius et al. | Inter-domain security for mobile Ipv6 | |
CN101447978B (zh) | 在WiMAX网络中拜访AAA服务器获取正确的HA-RK Context的方法 | |
Taha et al. | Secure IP mobility management for VANET | |
CN101383756B (zh) | 路由优化方法、系统和代理移动ip客户端 | |
Im et al. | Security-Effective local-lighted authentication mechanism in NEMO-based fast proxy mobile IPv6 networks | |
Kang et al. | Authenticated fast handover scheme in the hierarchical mobile IPv6 | |
Tan et al. | Fast and simple NEMO authentication via random number | |
Jeong et al. | Secure forwarding scheme based on session key reuse mechanism in HMIPv6 with AAA | |
Chenait | LMIP/AAA: Local authentication, authorization and accounting (AAA) protocol for mobile IP | |
Iapichino et al. | Mobility, Access Heterogeneity and Security for Next Generation Public Safety Communications | |
Jung et al. | Secure Mobility Management Based on Session Key Agreements | |
Hassan et al. | Integrated Solution Scheme with One-Time Key Diameter Message Authentication Framework for Proxy Mobile IPv6 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20130529 |