CN101480018B - 在移动ip网络中创建安全关联的方法 - Google Patents
在移动ip网络中创建安全关联的方法 Download PDFInfo
- Publication number
- CN101480018B CN101480018B CN200780024311XA CN200780024311A CN101480018B CN 101480018 B CN101480018 B CN 101480018B CN 200780024311X A CN200780024311X A CN 200780024311XA CN 200780024311 A CN200780024311 A CN 200780024311A CN 101480018 B CN101480018 B CN 101480018B
- Authority
- CN
- China
- Prior art keywords
- home agent
- key
- mobile
- iad
- binding update
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/062—Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/041—Key generation or derivation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/043—Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
- H04W12/0431—Key distribution or pre-distribution; Key agreement
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W80/00—Wireless network protocols or protocol adaptations to wireless operation
- H04W80/04—Network layer protocols, e.g. mobile IP [Internet Protocol]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/061—Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
Abstract
本发明提供了一种密钥分发方案,其被用于在移动IP网络中建立、分发和维护安全关联。鉴别服务器执行新会话的初始验证,并且产生根密钥,所述鉴别服务器将根密钥递送至初始接入网关和归属代理。初始接入网关和归属代理均独立地计算仅对它们自身可用的派生密钥。担当移动站的代理的初始接入网关使用派生密钥来对移动IP登记或绑定更新事务进行签名,并且将经签名的登记或绑定更新发送到归属代理以供验证。一旦在移动站和归属代理之间建立了会话,接入网关就担当代表移动站的代理,以保持会话移动性。在切换中,新接入网关需要根密钥作为被转移的会话上下文的一部分。担当移动站的代理的新接入网关根据根密钥来计算新派生密钥,并使用它来对绑定更新进行签名。
Description
发明领域
本发明涉及网络中的通信方法和协议,所述网络支持网际协议(IP)数据的无线通信。
背景技术
对下述类型的通信网络已出现了日益增长的兴趣,所述通信网络将允许移动用户参与网际协议(IP)通信会话,甚至当从一个无线接入网络改变到另一个时。在已知的移动IP网络中,将有效会话(active session)从一个接入网络转移到另一个接入网络通常将涉及在移动终端和目标接入网络之间执行的再登记。再登记的一个结果是移动终端通过其归属代理(home agent)来登记转交地址,并且归属代理在移动终端的归属地址与其转交地址之间产生绑定(binding)。(绑定是在会话持续期间在网络节点之间建立的关联)。结果,当发往归属地址的分组到达归属网络时,归属代理能够将它们重定向到当前正为移动终端服务的外部代理(foreign agent)。
如果移动终端被配置用于简单IP,则有效会话转移将经由低层网间信令来实现。不管移动终端被配置用于简单IP还是移动IP,转移都将带来以下形式的开销:空中接口上以及网络回程(backhaul)中的信令,其通常包括指向鉴别服务器等的询问。
在具有分层网络体系结构的移动IP网络中,对于相对多个小区而言典型的是:通过单个分组数据服务节点(PDSN)连接到有线分组交换网络。在这样的条件下,对于切换(handoff)而言,引起上述类型的信令开销是可以容忍的。
然而,设想其他移动IP网络,在其中体系结构是平坦的(flat)。也就是说,接入节点不仅可以包括基站收发机的功能,而且还可以包括无线电网络控制器(RNC)的功能,甚至可以包括分组交换网络的接入网关的功能。对于这样的体系结构,移动用户终端的切换通常将更加频繁,这是由于与分层体系结构相比,每个接入网关(或等同物)的地理覆盖通常更小。因此,与切换相关联的信令开销将相对较高。一个结果是网络执行快速切换的能力可能被削弱。
已经提出这样的建议,其中通过应用代理(proxy)移动IP的原理来解决该问题。代理移动IP是这样的方法,其中移动用户终端向目标接入网络的再登记不直接由移动用户终端来执行,而是通过位于服务接入网络中的代理来执行,所述代理担当终端的代表。这种方法可以减少所需的信令开销。
然而,代理的使用引发了与网络安全相关的担忧。也就是,自称是某个代理的实体可能是入侵者,或者合法的代理可能会为欺诈交易(transaction)打开方便之门。为了消除这种担忧,有利的是在移动终端归属代理和与为移动终端服务的每个接入网络相关联的接入网关之间建立安全关联。所需要的是建立、分发和维护(maintain)这样的安全关联的实际方法。
发明内容
我们已经开发了用于在移动IP网络中建立、分发和维护安全关联的新方法。例如,根据我们已开发的密钥分发方案,移动用户终端联系初始接入网关,并且向归属代理发起新会话登记。鉴别服务器执行新会话的初始验证(validation),并且产生根密钥,所述鉴别服务器将根密钥递送到初始接入网关和归属代理。初始接入网关计算派生密钥。根据包括根密钥以及初始接入网关和归属代理的识别号的输入来计算派生密钥(derivative key)。因此,派生密钥对于包含特点接入网关和特点归属代理的对而言是唯一的。同样拥有输入信息的归属代理也计算派生密钥。初始接入网关使用派生密钥来对登记进行签名(sign),并将经签名的登记发送到归属代理。归属代理确定登记是以有效派生密钥签名的,并作为响应,验证该登记。
当移动终端移动到后续接入网关时,新接入网关向先前接入网关请求会话上下文。先前接入网关提供包括根密钥的会话上下文。新接入网关使用根密钥作为输入,以计算新派生密钥。新接入网关生成绑定更新,并使用新派生密钥来对其进行签名,并且将经签名的绑定更新发送到归属代理。归属代理确定绑定更新是以有效派生密钥签名的,并作为响应,验证该绑定更新。
附图简述
图1是演进高速分组数据(HRPD)网络的简化体系结构图,所述网络是可以支持移动IP通信的网络的一个例子。
图2是用于移动IP网络的基础密钥分发方案的简化流程图,所述移动IP网络使用代理来进行登记和绑定更新。
图3是信令消息的图,所述信令消息被用在下述示例性过程中:当移动站被配置用于简单IP时在代理移动IPv6中的会话的初始建立。
图4是信令消息的图,所述信令消息被用在下述示例性过程中:当移动站被配置用于简单IP时在代理移动IPv4中的会话的初始建立。
图5是信令消息的图,所述信令消息被用在下述示例性过程中:针对客户端移动IPv4的会话的初始建立。
图6是信令消息的图,所述信令消息被用在下述示例性过程中:使用代理移动IPv6进行的快速切换。
图7是信令消息的图,所述信令消息被用在下述示例性过程中:使用代理移动IPv4进行的快速切换。
详细描述
图1示出了移动IP网络的一部分,包括接入节点(AN)10及其相关联的接入网关(AGW)20,以及AN 30及其相关联的AGW 40。通过与代理移动IP(代理MIP)相关的通信协议,AGW 20和AGW 40与归属代理(HA)50进行通信。HA 50是用于移动节点(MN)60的归属代理。每个接入节点通过接口(例如示于AN 30和AGW 40之间的A10/A11接口)来与其相关联的接入网关进行通信。这种接口的A10部分携带数据,A11部分携带控制信号。A10/A11接口也可以被称为R-P接口。AGW经由P-P接口互相通信,如同样在图上所示出的。这种接口的使用是传统的,并且无需在此详细描述。
如在图中可见的,MN 60是移动节点和移动站。如下文中所解释的,代理可以担任代表给定移动站的移动节点的角色,例如当执行移动IP再登记时。为了避免混淆,我们将使用术语“移动站(MS)”来特别表示用户终端,其与担当其代表的代理成对比。
在附图中,MN 60被示为进行从AN 10到AN 30的过渡。AN 10是当前服务接入节点(S-AN),并且AN 30是当前目标接入节点(T-AN),其将成为新的S-AN。相应地,AGW 20在图中被标记为服务接入网关(S-AGW),并且AGW 40被标记为目标接入网关(T-AGW)。
移动IP协议旨在使下述情况成为可能:使移动设备在从一个网络移至另一个网络时保持它们的永久IP地址。在因特网工程任务组(IETF)的RFC 3344中描述了移动IPv4。移动IPv6是所提议的对移动IP的若干增强(用于更高的安全性和效率)之一。
在符合移动IPv4的代理MIP网络中所应用的协议集将在此被称为代理移动IPv4。类似地,在符合移动IPv6的代理MIP网络中所应用的协议集将在此被称为代理移动IPv6。
移动切换过程(例如用于将MN 60从AN 10切换到AN 30)通过第二层的链路层信令来执行,其中第二层是位于移动IP协议层之下的协议层。切换过程可以包括向目标AN 30鉴别MN 60。这种过程是传统的,无需在此详细描述。然而,如将会看到的,MN 60(更具体地说,移动站60)最初向HA 50鉴别其自己,即,当新移动IP会话被发起时。当MS 60过渡到新AN(例如AN 30)时,该新AN将成为移动IP鉴别的客户端,并且将代表MS 60向HA 50进行鉴别。
现在参考图2,其中与图1的元素相对应的那些元素通过相应的附图标记来表示。特别地,MS 60对应于图1的MN 60,并且被标记为“AGW1”的AGW 20和被标记为“AGW2”的AGW 40对应于图1的同样标号的元素。在图2中首次引入的另一个元素是鉴别服务器70。在本发明的特定实施例中,鉴别服务器70是授权、鉴别及计费(AAA)服务器,其在本领域中是公知的。因此,将在下文中使用缩写“AAA”来指代在这点上可用的任何鉴别服务器。
为了使代理MIP过程安全,有利的是在参与的接入网关和归属代理之间分发加密密钥。将在此进一步参考图2来描述一种可能的密钥分发方案的例子。图中每个编号的箭头对应于将在下文中描述的过程中的同样编号的步骤。
简言之,MS 60和AGW1 20登记了新移动IP会话,并且最初向AAA70验证它。作为响应,AAA 70生成并返回特别生成的、表示为PMIP-HA-RK的密钥,其能够在整个会话过程中被用作代理MIP过程的根密钥。HA 50也接收该根密钥,并将其保存直到向HA 50登记了会话。
每个服务AGW继而计算根密钥的派生,以使得所产生的派生密钥对于每个特定AGW-HA对而言是唯一的。无论何时新AGW被带入会话,都通过HA来计算相关的派生。
派生密钥被表示为PMN-HA。使用PMN-HA来对每个代理MIP登记、再登记、或绑定更新(BU)进行签名,并且该签名(signature)被使用以供HA验证。
过程1:用于密钥分发的基本过程
1.MS 60接入AGW1 20。移动站例如可以被配置用于简单IP或用于不具有预定义(pre-provisioned)HA地址的移动IPv4。如果MS 60被配置用于简单IP,则在AGW1 20和MS 60之间执行CHAP。CHAP是在RFC 1994中所定义的质询(challenge)握手鉴别协议,其被点对点协议(PPP)服务器使用以验证远程客户端的标识。
2.AGW1 20格式化RADIUS接入请求(AccREQ)。RADIUS(RemoteAuthentication Dial-In User Service远程用户拨号鉴别服务)是在RFC2865和RFC 2866中定义的鉴别协议,并且被用于网络接入、IP移动性和其他这样的应用。接入请求中包括了(模拟的)MIPv.4登记请求(RRQ),使用CHAP参数(针对被配置用于简单IP的移动站)或RRQ MN-HA-AE(或MN-AAA-AE)。MN-HA-AE是鉴别扩展(AE)。典型地,AE是从使用在发送和接收实体之间共享的密钥或其他秘密(secret)的消息得到的。AE被追加到消息,作为用于向接收实体鉴别发送实体的签名。
3.AAA 70验证该AE,并向AGW1 20返回随机生成的、被表示为PMIP-RK的代理MIP根密钥。AAA 70还返回被表示为HA-ID的HA地址。
4.AGW1 20生成了派生密钥,其被表示为RK1。RK1被称为PMN-HA密钥,这是因为它被特别用于鉴别在代理MIP网络中的代理和HA之间的消息。RK1是根据RK1=prf(PMIP-RK,AGW1-ID,HA-ID)而生成的,其中prf表示伪随机函数,并且AGW1-ID和HA-ID分别是AGW120和HA 50的地址。
然后AGW1生成绑定更新并且将其与使用RK1计算的签名一起发送。更具体地,如果AGW1和HA被配置用于移动IPv4,则AGW1将通过发送登记请求(RRQ)消息(其中通过使用RK1所计算的鉴别扩展(AE)对该消息进行签名)来请求绑定更新。返回消息将会是登记响应(RRP)。另一方面,如果AGW1和HA被配置用于移动IPv6,则AGW1将通过发送绑定更新(BU)消息(其中通过使用RK1所计算的鉴别选项(Authentication Option AO)对该消息进行签名)来请求绑定更新。
在这点上值得注意的是:传统上,移动站将发起绑定更新。因此,与现有技术方法不同的是:AGW(担当代理)发起绑定更新。此外,在此步骤处,将使用对称密钥来计算传统的AE(或其他签名),所述对称密钥是通过移动节点和归属代理之间的预先安排而建立的。因此,使用RK1来计算AE代表了与现有技术方法的另外的不同。
5.HA 50向AAA 70请求根密钥PMIP-RK。
6.AAA 70将PMIP-RK返回到HA 50。
7.HA 50验证被追加到绑定更新(BU)的AE。如果验证成功,则HA向AGW1返回BA消息,指示BU被接受。BA消息象征着诸如移动IPv6之类的协议中的绑定应答(acknowledgement)。
8.被示为包含AGW1 20的接入服务网络(ASN)向MS 60发送地址分配或MIPv.4登记回复(Registration Reply RRP)。在这点上值得注意的是如果移动终端被配置用于简单IP,则经由地址分配消息来分配IP地址。另一方面,如果移动终端被配置用于MIPv.4,则分配与HA相关联的IP地址。在第二种情况下分配的地址被称为MN的归属地址,或HoA。这样做是为了确保所有到移动站的、发往HoA的外出业务将首先到达HA,然后由HA利用转交地址(CoA)对其进行封装并发送至外部代理。然后,外部代理将剥除CoA并基于HoA将话务传递给MS。
9.MS 60移动到AGW2 40。
10.AGW2 40向AGW1 20请求会话上下文。会话上下文通常将包括根密钥和与会话相关的信息,例如移动ID、各种服务流的标识以及每个流的QoS级别、HA地址以及移动站的IP地址。
11.AGW1 20将上下文返回给AGW2 40。当被返回给AGW2 40时,上下文中包含了根密钥PMIP-RK。
12.AGW2 40根据RK2=prf(PMIP-RK,AGW2-ID,HA-ID)而生成另外的被表示为RK2的PMN-HA密钥。AGW2 40生成并发送使用RK2的MIPV.6BU,以计算鉴别扩展。
13.HA 50验证被追加到绑定更新(BU)的AE,并将BA消息返回至AGW2 40。
在下文中,我们将描述在移动站被配置用于简单IP的情况下用于会话的初始建立的代理MIP过程。在这点上值得注意的是,对于简单IP会话,代理移动IP在初始建立时以及在AGW之间快速切换期间被使用以在目标AGW和HA之间建立隧道(tunnel)。另一方面,对于移动IP会话,代理移动IP仅在AGW之间快速切换期间被使用以在目标AGW和HA之间建立隧道。
下文中,我们还将描述用于使用代理移动IPv6的快速切换的代理MIP过程。
在这点上应当注意到的是在代理移动IPv4和代理移动IPv6之间的选择与简单IP或客户端移动IP会话的版本无关,其可以在会话初始化期间运行。
参考图3,我们现在转到使配置用于简单IP的移动站根据代理移动IPv6建立与AGW和HA的会话的方法。在该附图中,HA 50、MS 60、以及AAA 70对应于前述附图中同样编号的元素。图3的AGW 80表示初始服务AGW,即,当新会话将被建立时为移动站服务的AGW。以下所列出的顺序编号的步骤中每一个都对应于图中同样编号的块或箭头。
过程2:用于简单IP移动站的代理移动IPv6初始建立
1.初始服务AGW 80执行与MS 60的链路层建立。例如,如果将使用PPP协议建立链路层,则链路控制协议(LCP)将实现数据链路连接的建立、配置和测试,并且CHAP将被用于验证客户端移动站的标识。如果MS 60被配置用于IPv6,则IPv6CP能够在此点处运行以协商用于MS和AGW的唯一接口标识符。然而,应当注意到的是,如果MS 60被配置用于简单IPv4,则来自AGW的IPCP配置-NAK消息将被延迟到步骤8之后。
2.AGW 80做出RADIUS接入请求以检查CHAP响应。AGW指示其是能够进行代理移动IP操作。
3.RADIUS服务器(在图中以AAA 70表示)返回接入接受消息,所述接入接收消息包含PMN-HA-RK,其中PMN-HA-RK是将被用于移动节点和HA 50之间的基于代理的鉴别(“代理MN-HA鉴别”)的根密钥,并且接入接受消息还包含将被用于会话的HA的地址。
4.AGW 80将代理绑定更新发送到HA地址。使用MN-HA鉴别选项来鉴别BU。所述鉴别使用AGW特定的密钥PMN-HA,该密钥是从在接入接受消息中返回的根密钥PMN-HA-RK得到的。代理BU还包含关于MS是请求简单IPv4地址还是简单IPv6地址的指示。
5.HA 50通过向AAA 70发送RADIUS接入请求来检查鉴别选项扩展。
6.RADIUS服务器(在图中以AAA 70表示)以接入接收消息进行响应,并还返回代理MN-HA根密钥PMN-HA-RK。HA计算AGW特定密钥PMN-HA时将需要该根密钥。所计算的PMN-HA密钥将被HA使用以验证在BU中接收的MN-HA鉴别选项。
7.HA50以代理绑定应答进行响应。对于IPv6会话,代理绑定应答包含所分配的归属地址选项。对于简单IPv4会话,代理绑定应答包含所分配的归属IPv4地址选项。
8.对于IPv6会话,AGW 80根据从HA 50返回的属性生成路由器广播。然后MS使用无界地址自动配置来生成被广播前缀上的地址。对于简单IPv4,地址分配在IPCP期间完成。
9.分组经由AGW 80在MS 60和HA 50之间流动。
参考图4,我们现在转到使配置用于简单IP的移动站根据代理移动IPv4建立与AGW和HA的会话的方法。在该附图中,HA 50、MS 60、以及AAA 70对应于前述附图中同样编号的元素。以下所列出的顺序编号的步骤中每一个都对应于图中同样编号的块或箭头。
过程3:用于简单IP移动站的代理移动IPv4初始建立
1-3.如在过程2中所描述的那样。
4.AGW将代理登记请求(RRQ)发送到HA地址。使用采用AGW-特定密钥PMN-HA的MN-HA鉴别扩展来鉴别RRQ,其中PMN-HA是从在接入接受中返回的PMN-HA-RK密钥得到的。代理RRQ还包含关于MS是请求简单IPv4地址还是简单IPv6地址的指示。
5.HA通过发送RADIUS接入请求来检查鉴别扩展。
6.RADIUS服务器以接入接受进行响应,并且还返回代理MN-HA根密钥。该密钥PMN-HA-RK是HA计算AGW-特定密钥PMN-HA时所需要的。所计算的PMN-HA密钥将被HA使用以验证在RRQ中接收的MN-HA鉴别扩展。
7-9.如在过程2中所描述的那样。
参考图5,我们现在转到使配置用于移动IPv4的移动站建立与AGW和HA的会话的方法。图中所示元素对应于前述附图中同样编号的元素。以下所列出的顺序编号的步骤中每一个都对应于图中同样编号的块或箭头。
移动IPv4会话的初始建立正如在3GPP2 IS-835基础规范中的那样工作。这允许不改变的MIPv4 MS在新网络中起作用。然而,在鉴别阶段期间,AAA子系统返回将被用于后续切换的PMN-HA-RK根密钥。PMN-HA密钥是使用包括AGW和HA的IP地址的伪随机函数而从PMN-HA-RK根密钥得到的。应该注意到,根据移动IPv4来实施初始登记,但后续的绑定更新是根据代理移动IP来实施的。在上下文转移期间,PMN-HA-RK密钥被从服务AGW传到目标AGW。
过程4:用于移动IPv4移动站的代理移动IPv4初始建立
1.LCP和IPCP发展为产生链路。在该步骤中,MS 60从IPCP配置请求中省去了IP地址选项。
2.AGW 80向包含质询(challenge)值的MS 60发送代理广播。
3.MS 60形成具有MN-AAA-AE的登记请求,并将其发送到AGW80.
4.AGW通过AAA基础结构70对登记请求进行鉴别。AGW包括关于AGW允许代理MIP的指示。
5.AAA验证MN-AAA-AE。接入接受被从AAA基础结构返回到AGW 80,并且接入接受包括将被用于后续代理MIP登记请求的PMN-HA-RK根密钥。接入接受还返回归属代理(在本例中,为HA 50)的地址,其允许代理MIP。
6.AGW将RRQ传播到HA 50。
7.HA通过AAA服务器70检查MN-AAA鉴别扩展。
8.接入接受和将被用在后续MIPv4 RRQ消息中的MN-HA密钥、将被用在后续的代理MIP消息中的PMN-HA-RK根密钥被从AAA 70返回到HA 50。
9.HA 50构造登记回复,并将其发送到AGW 80。
10.AGW将登记回复发送到MS 60。
11.分组经由AGW 80在MS 60和HA 50之间流动。
在P-P上下文转移之后,HA和新AGW之间的路由需要被更新。代理移动IP提供了用于执行在快速切换期间实现绑定更新所需的切换信令的过程。
因此,参考图6,我们现在转到使用代理移动IPv6的快速切换方法。图中所示元素对应于前述附图中同样编号的元素。以下所列出的顺序编号的步骤中每一个都对应于图中同样编号的块或箭头。
过程5:使用代理移动IPv6的快速切换
1.目标AGW 40执行来自服务AGW 20的上下文转移。在上下文转移期间提供给目标AGW 40的信息包括HA 50的地址,并且还包括PMN-HA-RK根密钥(在移动性和安全上下文中)以用于构造绑定更新。
2.目标AGW计算PMN-HA会话密钥,其等于prf(PMN-HA-RK,AGW IP,HA IP)。如上文所解释的,“prf”是指伪随机函数。目标AGW将代理绑定更新发送到在步骤1中所接收的HA地址。使用目标AGW和HA之间的PMN-HA安全关联来鉴别BU。应该注意到,目标AGW所使用的PMN-HA密钥是从PMN-HA-RK得到的密钥。
3.HA以代理绑定应答进行响应。
4.分组经由目标AGW 40在MS 60和HA 50之间流动。
参考图7,我们现在转到使用代理移动IPv4的快速切换方法。图中所示元素对应于前述附图中同样编号的元素。以下所述列出的顺序编号的步骤中每一个都对应于图中同样编号的块或箭头。
过程6:使用代理移动IPv4的快速切换
1.目标AGW 40执行来自服务AGW 20的上下文转移。在上下文转移期间提供给目标AGW 40的信息包括HA 50的地址,并且还包括PMN-HA-RK根密钥(在移动性和安全上下文中)以用于构造登记请求。
2.目标AGW计算PMN-HA会话密钥,其等于prf(PMN-HA-RK,AGW IP,HA IP)。如上文所解释的,“prf”是指伪随机函数。目标AGW将代理登记请求(RRQ)发送到步骤1中所接收的HA地址。使用目标AGW和HA之间的PMN-HA安全关联来鉴别RRQ。应该注意到,目标AGW所使用的PMN-HA密钥是从PMN-HA-RK得到的密钥。
3.HA以登记回复(RRP)进行响应。
4.分组经由AGW 40在MS 60和HA 50之间流动。
将被理解的是上述过程仅仅是示例,并且我们的方法能够有多种其他特定实施方式。
例如,转回到图2,由AAA 70返回给AGW1 20的根密钥PMIP-RK能够被制成一次性(one-time)密钥,其仅被用于实现初始绑定。对于接下来的绑定,HA 50可以为每个后续绑定设计新的一次性密钥(被命名为NEXT(下一)PMIP-RK)等。进一步参考图2和上述过程1,HA50可以在初始AGW1-HA绑定已经完成后,将NEXT PMIP-RK作为消息7的一部分返回。然后,NEXT PMIP-RK能够被用于接下来的绑定。在这点处,AGW1 20和HA 50将以NEXT PMIP-RK来代替PMIP-RK。当会话被转移到AGW2 40时,NEXT PMIP-RK将在上下文转移中被发送到AGW2 40,并且AGW2 40将使用它来生成PMN-HA密钥和PMN-HA-AE,其将在消息12中被发送。在消息13中,HA将再次返回新生成的NEXT PMIP-RK,并且将擦除当前使用的PMIP-RK。根据这种过程,所分发的密钥将仅仅对于一个绑定是可用的,并且HA将保持如下控制:在给定时刻哪个AGW拥有PMIP根密钥。如果密钥被发送到为未经授权或可疑的AGW,则NEXT PMIP-RK将不会被返回给它,并且在该情况下移动IP会话将需要在直接包含移动站的过程中被再鉴别。
Claims (3)
1.一种在移动IP网络中在归属代理和代表被服务的移动站的接入网关之间建立安全绑定的方法,包括:
在所述接入网关处从鉴别服务器获得根密钥;
在所述接入网关处计算派生密钥,所述派生密钥被计算为采用所述根密钥、所述接入网关的地址和与所述移动站相关联的归属代理的地址作为输入的伪随机函数;
所述接入网关向所述归属代理请求所述归属代理与代表所述移动站的接入网关之间的绑定,其中所述派生密钥用于对绑定请求进行签名;以及
在所述接入网关处接收来自所述归属代理的确认:绑定请求已经被验证。
2.一种在移动IP网络中为移动站验证绑定更新的方法,所述方法包括:
在与所述移动站相关联的归属代理处从鉴别服务器获得根密钥;
在所述归属代理处从接入网关获得绑定更新和添加到所述绑定更新上的签名,其中所述绑定更新的签名是使用派生密钥而计算的,所述派生密钥被构造为采用所述根密钥、所述接入网关的地址和所述归属代理的地址作为输入的伪随机函数;
在所述归属代理处根据采用所述根密钥、所述接入网关的地址和所述归属代理的地址作为输入的伪随机函数再创建派生密钥;以及
所述归属代理使用再创建的派生密钥来验证所述绑定更新的签名。
3.一种在移动IP网络中使目标接入网关针对移动站实现绑定更新的方法,所述方法包括:
在所述目标接入网关处获得来自在先接入网关的会话上下文的转移,其中被转移的上下文包括根密钥;
在所述目标接入网关处使用所述根密钥来计算派生密钥,所述派生密钥被计算为采用所述根密钥、所述目标接入网关的地址和与所述移动站相关联的归属代理的地址作为输入的伪随机函数;
所述目标接入网关代表所述移动站生成绑定更新,其中,所述派生密钥用于对所述绑定更新签名;
将经签名的绑定更新发送到所述归属代理;以及
响应于所述归属代理对所述绑定更新的验证,所述目标接入网关接受用于在移动站和归属代理之间转发的分组。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US11/474,591 | 2006-06-26 | ||
US11/474,591 US8189544B2 (en) | 2006-06-26 | 2006-06-26 | Method of creating security associations in mobile IP networks |
PCT/US2007/014419 WO2008002439A2 (en) | 2006-06-26 | 2007-06-19 | Method of creating security associations in mobile ip networks |
Publications (2)
Publication Number | Publication Date |
---|---|
CN101480018A CN101480018A (zh) | 2009-07-08 |
CN101480018B true CN101480018B (zh) | 2012-07-18 |
Family
ID=38844991
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN200780024311XA Expired - Fee Related CN101480018B (zh) | 2006-06-26 | 2007-06-19 | 在移动ip网络中创建安全关联的方法 |
Country Status (7)
Country | Link |
---|---|
US (1) | US8189544B2 (zh) |
EP (1) | EP2039116B1 (zh) |
JP (1) | JP5004037B2 (zh) |
KR (1) | KR101030645B1 (zh) |
CN (1) | CN101480018B (zh) |
AT (1) | ATE538609T1 (zh) |
WO (1) | WO2008002439A2 (zh) |
Families Citing this family (36)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8189544B2 (en) | 2006-06-26 | 2012-05-29 | Alcatel Lucent | Method of creating security associations in mobile IP networks |
KR100811893B1 (ko) * | 2006-12-04 | 2008-03-10 | 한국전자통신연구원 | 이동 단말의 핸드 수직적 오버를 위한 이동성 지원 방법 |
US9392434B2 (en) | 2007-01-22 | 2016-07-12 | Qualcomm Incorporated | Message ordering for network based mobility management systems |
US9155118B2 (en) * | 2007-01-22 | 2015-10-06 | Qualcomm Incorporated | Multi-link support for network based mobility management systems |
US8170529B1 (en) * | 2007-02-08 | 2012-05-01 | Clearwire Ip Holdings Llc | Supporting multiple authentication technologies of devices connecting to a wireless network |
JPWO2008099802A1 (ja) * | 2007-02-13 | 2010-05-27 | 日本電気株式会社 | 移動端末管理システム、ネットワーク機器及びそれらに用いる移動端末動作制御方法 |
FI20070157A0 (fi) * | 2007-02-23 | 2007-02-23 | Nokia Corp | Nopea päivityssanomien autentikointi avainderivaatiolla mobiileissa IP-järjestelmissä |
CN101690080A (zh) * | 2007-03-12 | 2010-03-31 | 北方电讯网络有限公司 | 使用流标识密钥的移动ip的隧道支持 |
CN101803413B (zh) | 2007-09-20 | 2015-12-09 | 爱立信电话股份有限公司 | 用于在通信网络之间漫游的方法和设备 |
CN101822005A (zh) * | 2007-10-05 | 2010-09-01 | 松下电器产业株式会社 | 通信控制方法、网络节点和移动终端 |
US20090106831A1 (en) * | 2007-10-18 | 2009-04-23 | Yingzhe Wu | IPsec GRE TUNNEL IN SPLIT ASN-CSN SCENARIO |
JP4924501B2 (ja) * | 2008-03-21 | 2012-04-25 | 富士通株式会社 | ゲートウェイ装置、及びハンドオーバ方法 |
WO2009147468A2 (en) * | 2008-05-27 | 2009-12-10 | Telefonaktiebolaget L M Ericsson (Publ) | System and method for backwards compatible multi-access with proxy mobile internet protocol |
CN101605319B (zh) * | 2008-06-12 | 2013-04-17 | 华为技术有限公司 | 状态切换信息处理方法、移动接入网关和移动终端 |
CN101448252B (zh) * | 2008-06-20 | 2011-03-16 | 中兴通讯股份有限公司 | 网络切换实现方法及系统以及移动节点 |
CN104936307B (zh) | 2008-09-15 | 2019-01-18 | 三星电子株式会社 | 用于连接分组数据网络的方法及装置 |
EP2190252B1 (en) * | 2008-11-25 | 2013-09-18 | Alcatel Lucent | Method for managing mobility of a mobile device within a network using a proxy MIPv6 protocol |
US9258696B2 (en) | 2009-02-11 | 2016-02-09 | Alcatel-Lucent | Method for secure network based route optimization in mobile networks |
CN102014382B (zh) * | 2009-09-04 | 2015-08-12 | 中兴通讯股份有限公司 | 一种会话密钥的更新方法及系统 |
CN102026092B (zh) * | 2009-09-16 | 2014-03-12 | 中兴通讯股份有限公司 | 一种移动多媒体广播业务密钥同步的方法及网络 |
WO2011037197A1 (ja) * | 2009-09-28 | 2011-03-31 | 日本電気株式会社 | 移動通信システム、移動通信方法及びプログラム |
KR101571567B1 (ko) * | 2009-11-27 | 2015-12-04 | 삼성전자주식회사 | 이종 무선 통신 시스템에서 아이들 모드 핸드오버를 지원하는 장치 및 방법 |
US8566926B1 (en) | 2010-03-18 | 2013-10-22 | Sprint Communications Company L.P. | Mobility protocol selection by an authorization system |
US8340292B1 (en) | 2010-04-01 | 2012-12-25 | Sprint Communications Company L.P. | Lawful intercept management by an authorization system |
US8359028B1 (en) | 2010-06-15 | 2013-01-22 | Sprint Spectrum L.P. | Mitigating the impact of handoffs through comparison of historical call lengths |
US8391858B1 (en) | 2010-06-15 | 2013-03-05 | Sprint Spectrum L.P. | Mitigating the impact of handoffs through comparison of non-preferred wireless coverage areas |
US8565129B1 (en) * | 2010-09-01 | 2013-10-22 | Sprint Spectrum L.P. | Supporting simple IP with address translation in a proxy mobile IP gateway |
US8649355B1 (en) | 2010-09-01 | 2014-02-11 | Sprint Spectrum L.P. | Supporting simple IP with address translation in a wireless communication device |
US8892724B1 (en) | 2010-10-08 | 2014-11-18 | Sprint Spectrum L.P. | Assigning a type of address based on expected port utilization |
US8498414B2 (en) * | 2010-10-29 | 2013-07-30 | Telefonaktiebolaget L M Ericsson (Publ) | Secure route optimization in mobile internet protocol using trusted domain name servers |
CN102065428B (zh) * | 2010-12-28 | 2013-06-12 | 广州杰赛科技股份有限公司 | 一种安全的无线城域网的用户终端切换方法 |
US20130305332A1 (en) * | 2012-05-08 | 2013-11-14 | Partha Narasimhan | System and Method for Providing Data Link Layer and Network Layer Mobility Using Leveled Security Keys |
KR101407553B1 (ko) * | 2012-09-27 | 2014-06-27 | 주식회사 엘지유플러스 | 이동 단말기 및 그 제어 방법, 이를 위한 기록 매체 |
US9185606B1 (en) | 2012-10-12 | 2015-11-10 | Sprint Spectrum L.P. | Assignment of wireless network resources |
US9167427B2 (en) * | 2013-03-15 | 2015-10-20 | Alcatel Lucent | Method of providing user equipment with access to a network and a network configured to provide access to the user equipment |
CN112348998B (zh) * | 2020-07-24 | 2024-03-12 | 深圳Tcl新技术有限公司 | 一次性密码的生成方法、装置、智能门锁及存储介质 |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1501746A (zh) * | 2002-10-15 | 2004-06-02 | ���ǵ�����ʽ���� | 无线局域网中用于快速切换的验证方法 |
CN1758651A (zh) * | 2004-09-07 | 2006-04-12 | 三星电子株式会社 | 使用转交地址(coa)绑定协议来认证地址所有权 |
Family Cites Families (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
FR2718312B1 (fr) * | 1994-03-29 | 1996-06-07 | Rola Nevoux | Procédé d'authentification combinée d'un terminal de télécommunication et d'un module d'utilisateur. |
US6351536B1 (en) * | 1997-10-01 | 2002-02-26 | Minoru Sasaki | Encryption network system and method |
US20020133716A1 (en) * | 2000-09-05 | 2002-09-19 | Shlomi Harif | Rule-based operation and service provider authentication for a keyed system |
US7792527B2 (en) * | 2002-11-08 | 2010-09-07 | Ntt Docomo, Inc. | Wireless network handoff key |
US7275157B2 (en) * | 2003-05-27 | 2007-09-25 | Cisco Technology, Inc. | Facilitating 802.11 roaming by pre-establishing session keys |
US7593717B2 (en) * | 2003-09-12 | 2009-09-22 | Alcatel-Lucent Usa Inc. | Authenticating access to a wireless local area network based on security value(s) associated with a cellular system |
US20050079869A1 (en) * | 2003-10-13 | 2005-04-14 | Nortel Networks Limited | Mobile node authentication |
KR100527632B1 (ko) * | 2003-12-26 | 2005-11-09 | 한국전자통신연구원 | Ad-hoc 네트워크의 게이트웨이에서 사용자 인증시스템 및 그 방법 |
KR100582546B1 (ko) * | 2003-12-26 | 2006-05-22 | 한국전자통신연구원 | 암호화/복호화 키를 이용한 메시지 송수신 방법 |
US7715822B2 (en) * | 2005-02-04 | 2010-05-11 | Qualcomm Incorporated | Secure bootstrapping for wireless communications |
KR100625926B1 (ko) | 2005-04-13 | 2006-09-20 | 주식회사 케이티프리텔 | 인증기능이 개선된 ccoa 방식의 이동 ip 제공 방법및 그 시스템 |
US8189544B2 (en) | 2006-06-26 | 2012-05-29 | Alcatel Lucent | Method of creating security associations in mobile IP networks |
-
2006
- 2006-06-26 US US11/474,591 patent/US8189544B2/en active Active
-
2007
- 2007-06-19 WO PCT/US2007/014419 patent/WO2008002439A2/en active Application Filing
- 2007-06-19 CN CN200780024311XA patent/CN101480018B/zh not_active Expired - Fee Related
- 2007-06-19 JP JP2009518164A patent/JP5004037B2/ja not_active Expired - Fee Related
- 2007-06-19 KR KR1020087031529A patent/KR101030645B1/ko not_active IP Right Cessation
- 2007-06-19 EP EP07835844A patent/EP2039116B1/en not_active Not-in-force
- 2007-06-19 AT AT07835844T patent/ATE538609T1/de active
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1501746A (zh) * | 2002-10-15 | 2004-06-02 | ���ǵ�����ʽ���� | 无线局域网中用于快速切换的验证方法 |
CN1758651A (zh) * | 2004-09-07 | 2006-04-12 | 三星电子株式会社 | 使用转交地址(coa)绑定协议来认证地址所有权 |
Non-Patent Citations (1)
Title |
---|
K.Leung等.Mobility Management using Proxy Mobile IPv4,draft-leung-mip4-proxy-mode-00.txt.《IETF STANDARD-WORKING-DRAFT》.2006, * |
Also Published As
Publication number | Publication date |
---|---|
KR101030645B1 (ko) | 2011-04-20 |
US20070297377A1 (en) | 2007-12-27 |
KR20090018665A (ko) | 2009-02-20 |
WO2008002439A2 (en) | 2008-01-03 |
JP5004037B2 (ja) | 2012-08-22 |
US8189544B2 (en) | 2012-05-29 |
CN101480018A (zh) | 2009-07-08 |
EP2039116B1 (en) | 2011-12-21 |
EP2039116A2 (en) | 2009-03-25 |
JP2009542159A (ja) | 2009-11-26 |
WO2008002439A3 (en) | 2008-05-02 |
ATE538609T1 (de) | 2012-01-15 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN101480018B (zh) | 在移动ip网络中创建安全关联的方法 | |
EP1849279B1 (en) | Host identity protocol method and apparatus | |
CN101496387B (zh) | 用于移动无线网络中的接入认证的系统和方法 | |
CN101300889B (zh) | 用于提供移动性密钥的方法和服务器 | |
EP1735963B1 (en) | Identification method and apparatus for establishing host identity protocol (hip) connections between legacy and hip nodes | |
US8289929B2 (en) | Method and apparatus for enabling mobility in mobile IP based wireless communication systems | |
US20100008507A1 (en) | Method for auto-configuration of a network terminal address | |
WO2007004208A1 (en) | Transfer of secure communication sessions between wireless networks access points | |
EP1658712B1 (en) | A method and apparatus for aggregated binding updates and acknowledgments in mobile ipv6 | |
JP5044690B2 (ja) | Ipモビリティシステムのための動的な外部エージェント−ホーム・エージェント・セキュリティ・アソシエーション割当て | |
CN101536562A (zh) | 通信方法、通信系统、移动节点以及通信节点 | |
KR100395494B1 (ko) | 이동 아이피 통신망에서의 도메인내 핸드오프 방법 | |
GB2424154A (en) | Streamlined network logon using Host Identity Protocol (HIP) with broadcast puzzle challenges and home server certificates | |
CN101656959B (zh) | PMIP中HA获取MN-HA key的方法、设备及系统 | |
CN101056307B (zh) | 一种使用代理移动ip节点进行安全注册的方法 | |
KR100687721B1 (ko) | 모바일 IPv 6를 지원하는 다이아미터 AAA프로토콜의 확장 방법 | |
Almus et al. | A Kerberos-based EAP method for re-authentication with integrated support for fast handover and IP mobility in wireless LANs | |
Sun et al. | Survey of authentication in mobile IPv6 network | |
Vatn | A roaming architecture for IP based mobile telephony in WLAN environments | |
CN101779482A (zh) | 用于移动ipv4的新diameter信令 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20120718 Termination date: 20180619 |
|
CF01 | Termination of patent right due to non-payment of annual fee |