CN101682630B - 用于在无线通信网络中提供pmip密钥分层结构的方法和装置 - Google Patents
用于在无线通信网络中提供pmip密钥分层结构的方法和装置 Download PDFInfo
- Publication number
- CN101682630B CN101682630B CN2008800181404A CN200880018140A CN101682630B CN 101682630 B CN101682630 B CN 101682630B CN 2008800181404 A CN2008800181404 A CN 2008800181404A CN 200880018140 A CN200880018140 A CN 200880018140A CN 101682630 B CN101682630 B CN 101682630B
- Authority
- CN
- China
- Prior art keywords
- key
- node
- pmip
- access
- access node
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W88/00—Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
- H04W88/16—Gateway arrangements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/083—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP]
- H04L9/0833—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP] involving conference or group key
- H04L9/0836—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP] involving conference or group key using tree structure or hierarchical structure
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/041—Key generation or derivation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/043—Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
- H04W12/0431—Key distribution or pre-distribution; Key agreement
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/76—Proxy, i.e. using intermediary entity to perform cryptographic operations
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/80—Wireless
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W80/00—Wireless network protocols or protocol adaptations to wireless operation
- H04W80/04—Network layer protocols, e.g. mobile IP [Internet Protocol]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W88/00—Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
- H04W88/02—Terminal devices
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供了一种用于保护服务网关与接入终端通过其进行通信的新接入节点之间的PMIP隧道的方法。对于每个接入终端唯一的PMIP密钥分层结构由网关来维护。当已执行对接入终端的认证时,网关使用第一节点密钥来保护PMIP隧道。PMIP密钥是基于第一节点密钥生成的,并且PMIP密钥被发送给新接入节点以帮助建立和保护网关与新接入节点之间的PMIP隧道。否则,当对接入终端的认证尚未被执行时,网关生成第二节点密钥并将其发送给中间网络节点,后者在随后生成PMIP密钥并将其发送给新接入节点。此第二密钥在随后被用于保护PMIP隧道。
Description
背景
根据35U.S.C.§119的优先权要求
本专利申请要求2007年5月31日提交且被转让给本申请受让人并由此通过援引明确纳入于此的题为“Methods and Apparatus for Providing Key Hierarchyand Computation in Wireless Communication Networks(用于在无线通信网络中提供密钥分层结构和计算的方法和装置)”的美国临时申请No.60/941,256的优先权。
领域
至少一个特征涉及通信系统,尤其涉及用于助益安全代理移动IP(PMIP)密钥生成以及在无线网络内的分发的方法。
背景
在3GPP2内的各种无线通信网络的演进中,一种类型的网络架构被称为超移动宽带(UMB)网络并旨在针对下一代应用和要求来改善CDMA2000移动电话标准。UMB分组数据网络基于运行在下一代无线电系统上的因特网(TCP/IP)联网技术并旨在变得更有效以及能够比其所取代的诸技术提供更多的服务。UMB旨在成为第四代(4G)技术并使用高带宽、低等待时间、其上建有诸如语音之类的高层服务的底层TCP/IP网络。(与先前几代相比)大得多的带宽量以及低得多的等待时间使得能够使用先前所不可能使用的各种应用类型,同时继续递送高质量(或更高质量)的语音服务。
UMB网络对其被称为演进基站(eBS)的网络接入节点具有较不集中式的管理。接入节点可被耦合至本地或共处一地的会话参考网络控制器(SRNC)。此类接入节点和/或SRNC可以执行许多与常规CDMA网络中的基站(BS)和基站控制器(BSC)相同的功能。结果,由于UMB架构中的接入节点(eBS)和SRNC更靠近无线接口地执行附加操作,在尝试维护接入节点与SRNC的安全性时发生若干问题。一个这样的问题是在接入终端漫游至远离其归属网络的不同网络时支持并保护通信。
移动IP(MIP)规定了供移动节点(接入终端)即使在该移动节点(接入终端)并不在其归属网络中时用于接收以其归属IP地址为目的地的分组的协议。其规定了移动节点(接入终端)与归属代理(HA)之间的注册请求(RRQ)和响应(RRP)消息。HA在随后代表移动节点接收分组并将这些分组隧穿至移动节点(接入终端)的目前位置。RRQ和RRP消息是使用由移动节点(接入终端)及其归属代理共享的密钥来认证的。
在一些情形中,诸如连接至网络的移动节点(接入终端)不具有移动IP栈却要求移动性服务的场合,网络可能必须依赖代理(称为代理移动节点:PMN)来生成注册请求并代表该移动节点(接入终端)处理注册响应。为了确保移动IP兼容行为,来自PMN的控制分组必须经由移动节点(接入终端)的当前子网来发送。因此由PMN生成的MIP控制分组经由驻留在移动节点的当前子网中(比方位于国外代理或接入节点处)的辅助功能来隧穿。因此,PMN(和PMN-HA密钥)可驻留在单个/安全位置上,即使在移动节点(接入终端)从一个子网移至或漫游至另一个时亦如此。
因此,需要一种用以生成和分发用于网络内的PMIP隧道的密钥的方法。
概述
提供在接入网关中操作的第一方法,包括:(a)接收将接入终端的代理移动网际协议(PMIP)隧道绑定从第一接入节点改变至第二接入节点的请求;(b)生成第一节点密钥;(c)将第一节点密钥发送给中间网络节点,该中间网络节点能生成第一PMIP密钥并将其提供给第二接入节点;和/或(d)建立网关与第二接入节点之间由第一PMIP密钥保护的PMIP隧道。该方法还可包括:(e)确定接入终端是否已通过第二接入节点被认证;(f)仅当接入终端尚未被认证时生成并发送第一节点密钥。其中,如果接入终端已被认证,则还包括:(g)生成第二节点密钥;(h)根据第二节点密钥生成第二PMIP密钥;和/或(i)向第二接入节点发送第二PMIP密钥。中间网络节点是会话参考网络控制器(SRNC)。第一节点密钥和第二节点密钥可以是随机选择的并且彼此无关,或者它们可以是基于根密钥的。
该方法还可包括维护与接入终端(AT)相关联并被用于保护至服务接入终端的网络节点的PMIP隧道的PMIP密钥分层结构,其中该密钥分层结构包括第一节点密钥。PMIP密钥分层结构可包括从其推导出第一节点密钥的随机选择的根密钥。PMIP密钥分层结构的根密钥可以不为接入终端所知。PMIP密钥分层结构可与为接入终端所知且被用于认证该接入终端的主密钥分层结构无关。第二接入节点可以是向接入终端提供无线连通性的增强型基站(eBS)。网关在超移动宽带(UMB)兼容网络中操作。
提供在接入网关中操作的第二方法,包括:(a)接收将接入终端的代理移动网际协议(PMIP)隧道绑定从第一接入节点改变至第二接入节点的请求;(b)生成第一节点密钥;(c)根据第一节点密钥生成第一PMIP密钥;(d)向第二接入节点发送第一PMIP密钥;和/或(e)建立网关与第二接入节点之间由第一PMIP密钥保护的PMIP隧道。该方法还可包括:(f)确定接入终端是否已通过第二接入节点被认证;(g)仅当接入节点已被认证时生成并发送第一节点密钥。其中如果接入终端尚未被认证,则该方法还可包括:(h)生成第二节点密钥;和/或(i)将第二节点密钥发送给中间网络节点,该中间网络节点能生成第二PMIP密钥并将其提供给第二接入节点。中间网络节点可以是会话参考网络控制器(SRNC)。第二接入节点可以是增强型基站(eBS)。该方法还可包括维护与接入终端(AT)相关联并被用于保护至服务接入终端的网络节点的PMIP隧道的PMIP密钥分层结构,其中该密钥分层结构包括第一节点密钥。其中PMIP密钥分层结构包括从其推导出第一节点密钥的随机选择的根密钥。
附图简述
在结合附图理解下面阐述的详细描述时,各种特征、本质、和优点会变得明显,在附图中,相像的附图标记贯穿始终作相应标识。
图1是根据一个示例的其中可实现安全PMIP密钥分发的一个或多个特征的UMB网络的框图。
图2是图解根据一个示例可由网关维护的用于验证换手转移请求的辅助(PMIP)密钥分层结构的示图。
图3是图解其中接入终端将通信服务从第一接入节点转移至第二接入节点的通信网络的框图。
图4是在图3中所图解的环境中在接入终端被认证的情形中网关可如何生成并分发PMIP密钥的流程图。
图5是图解在图3中所图解的环境中在接入终端AT经由第一接入节点被认证但在没有进行认证的情况下移至第二接入节点的情形中网关可如何生成并分发PMIP密钥的流程图。
图6是图解在图3中所图解的环境中在接入终端正从与接入节点的未经认证连接转至与第二接入节点的另一未经认证连接而没有进行认证的情形中网关可如何生成并分发PMIP密钥的流程图。
图7图解了在网络网关中操作用于生成用来在通信网络中保护PMIP隧道的密钥的方法。
图8图解了在网络网关中操作用于生成和分发用来保护通信网络中特定接入终端的PMIP隧道的密钥的方法。
图9是图解了网关设备的示例的框图。
图10是图解接入终端的密钥分层结构的示例的示图。
详细描述
在以下说明中,给出了具体细节以提供对诸配置的透彻理解。但是,本领域普通技术人员将可理解,没有这些具体细节也可实践这些配置。例如,电路可能以框图形式示出,以免使这些配置湮没在不必要的细节中。在其他实例中,公知的电路、结构、和技术可能被详细示出以免湮没这些配置。
还注意到,这些配置可能是作为被描绘为流程图、流图、结构图、或框图的过程来描述的。尽管流程图可能会把诸操作描述为顺序过程,但是这些操作中有许多可以并行或并发执行。另外,这些操作的次序可以被重新安排。过程在其操作完成时终止。过程可以对应于方法、函数、规程、子例程、子程序等。当过程对应于函数时,其终止对应于该函数返回到调用方函数或主函数。
在一个或更多个示例和/或配置中,所描述的功能可以在硬件、软件、固件、或其任何组合中实现。如果在软件中实现,则各功能可以作为一条或更多条指令或代码存储在计算机可读介质上或藉其进行传送。计算机可读介质包括计算机存储介质和通信介质两者,后者包括有助于将计算机程序从一地转移到另一地的任何介质。存储介质可以是可被通用或专用计算机访问的任何可用介质。作为示例而非限定,这样的计算机可读介质可包括RAM、ROM、EEPROM、CD-ROM或其他光盘存储、磁盘存储或其他磁存储设备、或可用来携带或存储指令或数据结构形式的合需程序代码手段且能由通用或专用计算机、或者通用或专用处理器访问的任何其他介质。任何连接也被正当地称为计算机可读介质。例如,如果软件是使用同轴电缆、光纤电缆、双绞线、数字订户线(DSL)、或诸如红外、无线电、以及微波之类的无线技术从web网站、服务器、或其它远程源传送而来的,则该同轴电缆、光纤电缆、双绞线、DSL、或诸如红外、无线电、以及微波之类的无线技术就被包括在介质的定义之中。本文中所使用的盘(disk)和碟(disc)包括压缩碟(CD)、激光碟、光碟、数字多用碟(DVD)、软盘和蓝光碟,其中盘通常磁性地再现数据,而碟用激光来光学地再现数据。上述的组合也被包括在计算机可读介质的范围内。
不仅如此,存储介质可以代表用于存储数据的一个或更多个设备,包括只读存储器(ROM)、随机存取存储器(RAM)、磁盘存储介质、光学存储介质、闪存设备、和/或其他用于存储信息的机器可读介质。
此外,诸配置可以由硬件、软件、固件、中间件、微码、或其任何组合来实现。当在软件、固件、中间件、或微码中实现时,用于执行必要任务的程序代码或代码段可以被存储在诸如存储介质或其他存储之类的计算机可读介质中。处理器可以执行这些必要的任务。代码段可表示规程、函数、子程序、程序、例程、子例程、模块、软件包、类,或是指令、数据结构、或程序语句的任何组合。通过传递和/或接收信息、数据、自变量、参数、或存储器内容,一代码段可被耦合到另一代码段或硬件电路。信息、自变量、参数、数据等可以经由包括存储器共享、消息传递、令牌传递、网络传输等任何合适的手段被传递、转发、或传输。
在以下描述中,使用某些术语来描述某些特征。术语“接入终端”和“通信设备”可以被可互换地用来指代移动设备、移动电话、无线终端、和/或能够在无线网络上通信的其他类型的移动或固定通信装置。
一个方面提供了一种用于保护服务网络网关与接入网络节点之间的PMIP隧道的方法。PMIP密钥分层结构由网关来维护。当已执行对接入终端的认证时,网关使用第一节点密钥来保护PMIP隧道。否则,当尚未执行对接入终端的认证时,网关使用第二节点密钥来保护PMIP隧道。
网络环境
图1是根据一个示例的其中可实现安全PMIP密钥分发的一个或多个特征的UMB网络的框图。UMB网络可使用不依赖诸如基站控制器(BSC)之类的集中式实体来协调跨UMB的演进基站(eBS)的连接的平坦架构。eBS可将传统基站、BSC的功能以及分组数据服务节点(PDSN)的一些功能组合到单个节点中,从而使得UMB网络的部署变得更简单。由于组件的数目减少了(与现有技术的网络相比),因此UMB网络可以更可靠、更灵活、更易于部署和/或运营成本更低。例如,在传统网络中,BS、BSC、PDSN和移动IP归属代理(HA)全都协作以服务用户话务。UMB网络重用核心网基础设施中的绝大部分但将诸功能合并到较少的网络组件中。将这些功能组合到较少的节点减少了等待时间,降低了资本和维护成本,并降低了节点之间用以投递端对端QoS的交互的复杂度。
此示例图解了UMB接入网络102和服务网络113可如何例如在重用核心网基础设施(例如,归属网络103)时向多个接入终端AT 106和108提供无线网络接入。服务网络113可以是AT 106和108的“归属”网络,但这些AT也可以漫游或者拜访其他网络105并从这样的其他网络获得无线网络连通性。
在此示例中,接入网络102包括允许一个或更多个接入终端(AT-1)106、108与服务网络113和归属网络103连接的第一eBS 104和第二eBS 107(其被宽泛地称为“网络接入节点”)。第一eBS 104可被耦合至第一会话参考网络控制器(SRNC)114(其被宽泛地称为“网络控制器”)以及服务网络113中的第一接入网关(AGW)112(其被宽泛地称为“网络网关节点”),该服务网络113被耦合至归属网络基础设施103。类似地,第二eBS 107可被耦合至第二SRNC 109和第一AGW 112。服务网络113可包括耦合至本地认证、授权和计帐(LAAA)124的网关AGW-a 112和AGW-b 120以及拜访策略控制和资源功能(vPCRF)132以助益为诸eBS与AT的通信和/或连通性。归属网络103可包括归属代理(HA)126、归属AAA(HAAA)128以及归属PCRF(hPCRF)130。补充地,其他接入网105也可被耦合至HA 126和/或LAAA 124以向诸接入终端提供无线网络连通性。
在各种实现中,UMB接入网102还可包括耦合至SRNC 118的eBS 116和117,该SRNC 118被耦合至可向AT-2108提供无线网络连通性的第二网关AGW 120。网络102、113、105和/或103旨在作为在其中本文中所描述的一个或更多个新颖特征可工作的通信系统的示例。然而,在这些网络中的设备和/或那些设备的功能可位于所示的其他网络中(或不同的网络中),而不脱离本文中所描述的操作和特征。
根据各种示例,AT 106和/或108可以是无线通信设备、移动电话、无线终端、以及支持经由UMB网络的无线电连通性的其他类型的移动和/或无线设备。
eBS 104、107和116支持UMB空中接口。eBS 104、107和/或116可包括UMB物理和/或MAC协议并可执行无线电资源管理、无线电信道管理、第2层加密和/或IP头部压缩(例如,ROHC)。
网关AGW 112和/或120可提供至归属网络103的第3层IP连通性。网关AGW 112和/或120可包括诸如认证、空闲状态缓冲、和/或代理移动IP客户端之类的各种功能。例如,网关AGW 112和/或120可包括IP地址管理、用于MIPv4的区外代理、DHCP中继、代理移动网际协议(PMIP)客户端、网际协议(IP)分组分类/监管、EAP认证器和/或AAA客户端。
SRNC 114、109和118可控制支持无线电资源控制的各种功能,包括会话信息存储、寻呼功能、以及位置管理。SRNC功能可包括例如(a)空中接口会话信息存储、(b)寻呼控制器、(c)位置管理、和/或(d)针对AT的EAP认证器。第一SRNC 114可维护AT 106的无线电接入专用信息,而第二SRNC 118可维护AT 108的无线接入专用信息。SRNC可负责在AT空闲时维护会话参考(例如,经协商的空中接口上下文的会话存储点)、支持空闲状态管理、以及提供寻呼控制功能。SRNC还可负责对AT的接入认证。SRNC功能可由eBS主存或者与eBS同处一地,或者可位于分开的(非无线电)实体中。注意,SRNC既可实现在集中式配置中又可实现在分布式配置中。在集中式配置中,单个SRNC 118与若干eBS 116和117以及AGW 120相连接。在分布式配置中,每个eBS包括SRNC,诸如eBS-a 104和SRNC-a 114的形式。
归属网络103的认证、授权和计帐(AAA)服务可在归属代理126、本地AAA(LAAA)124和归属AAA(HAAA)128之间分担。HAAA 128可负责与AT 106、108、110和/或112对网络资源的使用相关联的认证、授权和计帐。归属代理(HA)126可提供支持例如客户端移动IP(CMIP)和/或代理移动IP(PMIP)的移动性解决方案并且还可帮助实现技术间移动性。
策略控制和资源功能(PCRF)可存储和分发用于AT 106、108、110和/或122的策略。在一种实现中,归属PCRF(hPCRF)130可负责归属网络策略,而拜访PCRF(vPCRF)132可负责拜访网络策略。hPCRF 130和vPCRF 132分别向AGW 112和120提供本地和拜访规则。这些规则可包括例如(a)对属于服务数据流的分组的检测、(b)提供对服务数据流的策略控制、和/或(c)提供对服务数据流适用的收费参数。
在一个示例中,AT-1106可通过经由其服务eBS-a 104发送认证请求——该认证请求通过AGW-a 112至LAAA 124和HAAA 128——而被认证。一旦被认证,话务就去往/来自AT-1106、AGW-a 112和HA 126。
虽然各个示例可能是从UMB网络的观点来例示的,但是本文中所描述的特征可适用于诸如尤其WiMAX和长期演进(LTE)网络之类的其他类型的网络。
使用可扩展认证协议(EAP)的认证
图10是图解接入终端的主密钥分层结构的示例的示图。当可扩展认证协议(EAP)(或某一其他安全认证协议)被网络用来认证接入终端(AT)时,预配置长期凭证1001(例如,唯一性AT标识符或值等)可被用于得到称为主会话密钥(MSK)1002和扩展主会话密钥(EMSK)1004的两个密钥。
MSK 1002可由HAAA计算出,并被发送给SRNC以推导用于保护通过空中的话务的会话密钥。EMSK 1004可被存储在AT和AAA服务器中,并且其可被用于推导用于移动性或稍后的重新验证的其他密钥。当AT执行初始EAP接入认证时,MSK 1002可为AT和SRNC两者所用。AT可便用MSK 1002来推导会话密钥MSK’1006(其中MSK’=f(MSK))以向第一接入网(AN1)认证其自身。接着,AT可设法附连至第二接入网AN2,并且可执行重新认证,其中域专用根密钥(DSRK)1008被递送给可向其执行重新认证过程的本地AAA服务器或AGW。出于重新认证的目的,可在AT和本地AAA服务器/AGW上推导出重新认证根密钥(rRK)1010。rRK层级之下的任何东西可因重新认证使用而异,并且最终提供用于推导用来与其他接入节点联用的会话密钥的密钥素材。例如,重新认证完整性密钥(rIK)1012和重新认证MSK(rMSK)密钥1014。
对于移动IPv4安全性,EMSK 1004可被用来生成专用根密钥(MIP4-MN-RK)1016。MIP4-MN-RK密钥1016可在随后被用来计算MN-AAA密钥1018,后者可被AT用来在移动IPv4使用之时(例如,当接收到至新接入节点eBS的改变请求时)证明拥有有效密钥素材。在向AT指派归属代理(HA)以供MIP4之用后,也可从MIP4-MN-RK 1016推导MN-HA密钥1020。
MIP4-MN-RK密钥1016可以是用在其中EAP没有被用于接入认证的情形中的预配置密钥。例如,对IP移动性使用MIPv4增强的HRPD/1X系统可能就是这种情形。当从HRPD网络转换至UMB网络或相反时,最近可用的MIP4-MN-RK密钥可被用来生成MN-HA密钥。最近可用的密钥可以是(从EMSK 1004)动态推导出的MIP4-MN-RK密钥(在其可用之时),或者在动态推导出的密钥不可用时,可以是预配置MIP4-MN-RK密钥。例如,当AT在HRPD网络中启动时,预配置MIP4-MN-RK将被用于MIP4。如果AT在随后使用相同MIP4会话转变至UMB网络,则当前使用的MIP4-MN-RK密钥将继续被使用直至其期满。如果AT在UMB网络中启动,其可能已执行EAP并且动态MIP4-MN-RK密钥将是可用的。在此情形中,动态MIP4-MN-RK密钥被用于MIP4直至密钥期满,即使AT随后移至HRPD网络亦是如此。如果动态MIP4-MN-RK密钥期满,则AT可在随后在用于生成新MIP4密钥时使用任何可用的预配置或者动态MIP4-MN-RK密钥。
对于代理移动IPv4安全性(例如,保护网络基础设施节点之间的PMIP隧道),可基于可对于AT唯一被并可由本地AAA(LAAA)服务器或接入网关(AGW)在初始接入认证时挑选的随机密钥(PMN-RK)来定义密钥分层结构。
PMIP密钥的生成和分发
当AT从第一eBS漫游或者移至第二eBS时,管理AT的通信的AGW建立去往新服务eBS的代理移动IP(PMIP)隧道。然而,AGW必须防止其他eBS(或入侵者)在它们并不向该AT提供无线连通性时声称向该AT提供无线连通性。例如,在图1中,如果AT-1106将其服务接入节点从eBS-a 104改变为eBS-b 107,则网关AGW-a 112应具有用于验证至eBS-b 107的改变请求是否有效的方法。AGW-a 112可通过对每个隧道绑定使用安全PMIP密钥来防止未授权实体改变PMIP隧道绑定(即,网关AGW-a 112与eBS-a 104/SRNC-a114之间的)。
至少有两种类型的PMIP隧道:eBS与AGW之间的RAN PMIP隧道以及AGW与SRNC之间和第一AGW与第二AGW之间的网络PMIP隧道。当AT从第一接入节点eBS-1移至第二接入节点eBS-2(在接入网内)时,可由AGW与新服务eBS-2建立新RAN PMIP隧道。类似地,当该AT移至或者漫游至新接入或服务网络中时,归属网关AGW可与该新接入或服务网络建立网络PMIP隧道。一旦移至新服务eBS-2,就可用新PMIP密钥建立新PMIP隧道。
因此,一个特征提供代理移动节点归属代理(PMN-HA)密钥(“PMIP密钥”),该密钥可例如被用来绑定或保护接入节点eBS与网关AGW之间和/或SNRC与网关AGW之间的PMIP隧道。即,可从网关AGW向接入节点eBS提供安全密钥,该安全密钥使得它们能够保护它们之间的PMIP隧道中的PMIP信令。
通信系统可实现用于推导供通信系统内的不同用途之用的密钥的密钥分层结构。在一些实例中,“主”密钥被指派给AT,并且可被通信系统和/或AT用来推导其他密钥。可根据主密钥(以及可能的其他参数)用不可发现主密钥的方法来生成推导密钥。类似地,一些推导密钥可被用来安全地推导其他低层密钥。
在一些实例中,诸如EAP密钥分层结构(图10)等主密钥分层结构由HAAA和AT维护。主密钥分层结构可以基于与AT唯一性地相关联的主密钥,并且为HAAA和AT两者所知。主密钥分层结构可被用于推导用来向HAAA认证AT的密钥。
辅助(PMIP)密钥分层结构可由网络网关(AGW)维护,并且被用于验证将会话或服务重新路由/换手至新接入节点的请求。此辅助密钥分层结构可为网关AGW所知但不为AT所知。在一些实例中,辅助密钥可以基于对于AT唯一且仅为网关所知的随机密钥(PMN-RK)。可从辅助密钥分层结构的随机根密钥(PMN-RK)推导出多个PMN-HA密钥。
图2是图解根据一个示例可由网关维护的用于生成和/或分发用以保护PMIP隧道的密钥的辅助(PMIP)密钥分层结构的示图。在此示例中,根密钥PMIP4-RK 202可以是由网关AGW选择的随机密钥。在一种实现中,密钥分层结构200可能与用于例如认证接入终端AT的主密钥分层结构的上层密钥不相关。例如,辅助密钥分层结构200中的根密钥PMIP4-RK 202可以是与用于接入终端AT的主密钥分层结构无关的随机密钥。在另一实现中,可基于用于接入终端AT的主密钥分层结构中的高层密钥推导出PMIP4-RK密钥202。
在一个示例中,网关AGW可生成不同的节点密钥PMN-RK1和PMN-RK2,这取决于在换手或转移至新网络接入节点(eBS)期间是否已认证相关联的接入终端AT。即,由于未经认证接入终端AT会造成被泄露的更大风险,因此网关AGW可利用不同密钥。这样,尚未被认证的AT的PMIP隧道可用第一节点密钥PMN-RK1来保护,而已被认证的AT的PMIP隧道可用第二节点密钥PMN-RK2来保护。这保证在第一节点密钥PMN-RK1被泄露的情况下,当AT移至其中可发生重新认证的其他接入节点时将不会危害该AT。
在第一操作模式中,在没有通过新服务接入节点发生对AT的认证的场合中,可生成并使用第一节点密钥PMN-RK1204。AGW生成第一节点密钥PMN-RK1并将其递送给与新服务接入节点相关联的中间网络节点(SRNC)。中间网络节点SRNC随后可基于第一节点密钥PMN-RK1和诸如计数器或接入节点标识符等可能的其他参数生成PMIP密钥(PMN-HARK1-1)。PMIP密钥(PMN-HARK1-1)被发送给新服务接入节点并且可在随后被用在该新服务接入节点与网关AGW之间用来建立和/或保护PMIP隧道。注意,用其来计算PMIP密钥(PMN-HARK1-1)的其他参数(例如,计数器、接入节点标识符等)可为网关AGW已知或被提供给它,以使得该AGW也生成用其来建立或验证PMIP隧道的相同PMIP密钥(PMN-HARK1-1)。
在第二操作模式中,在已通过新服务接入节点发生对AT的认证的场合中,可生成并使用第二节点密钥PMN-RK1 206。在此实例中,第二节点密钥PMN-RK2206被保持在网关AGW处,并且第二节点密钥(PMN-HARK2-1)被计算出并直接发送给新服务接入节点。在此实例中,对AT的认证可包括执行接入认证请求(例如,使用任一EAP-AK协议)或接入重新认证请求(例如,使用EAP重新认证协议(ERP))。
在各个示例中,当同一接入终端AT从一个接入节点移至或漫游至另一个时,相同的第一节点密钥PMN-RK1204可被用来生成多个不同的PMIP密钥(PMN-HARK1-1、...、PMN-HARK1-N)。类似地,当接入终端AT在不同接入节点之间移动或漫游时,第二节点密钥PMN-RK2206可被用于生成多个不同的PMIP密钥(PMN-HARK2-1、...、PMN-HARK2-N)。
由于接入终端AT不需要知晓PMIP密钥PMN-HAx,因此“推导”此密钥的唯一实体是AGW。因此,无需推导根密钥PMIP4-RK 202,因为简单的强随机数生成是足够的。所生成的随机数(即,根密钥PMIP4-RK)可被用作供AGW生成用于验证新PMIP隧道(例如,PMIPv4隧道)是否应当被建立的辅助密钥分层结构的种子。
替换地,如在认证密钥的情形中那样,可以从主(EAP)密钥分层结构创建PMIP密钥(PMN-HAx)。
在又其他实现中,没有根密钥被用来生成节点密钥PMN-RK1204和PMN-RK2206。替代地,这两个节点密钥可被独立地生成。例如,可随机地选择PMN-RK1204和PMN-RK2206。
图3-6图解了在各种情景中接入网关AGW可如何向接入节点eBS和/或会话参考网络控制器SRNC分发PMIP密钥。
图3是图解其中接入终端AT将通信服务从第一接入节点eBS-a 304转移至第二接入节点eBS-b 308的通信网络的框图。
图4是图解在图3中所图解的环境中在其中接入终端AT被认证的情形下网关可如何生成并分发PMIP密钥的流程图。在此示例中,接入终端AT 312最初由第一接入节点eBS-a 304服务,但是移至或漫游至第二接入节点eBS-b308。
网关AGW 302可维护PMIP密钥分层结构402。在至第一接入节点eBS-a304的初始连接阶段404期间,AT 312可发起接入认证请求408。接入认证请求408(例如,EAP-AK)可由接入终端AT 312经由接入节点AGW 302发送给例如归属网络HAAA以进行认证。作为此过程的部分,接入节点AGW 302可认识到接入终端AT 312正经历认证。因此,接入节点AGW 302可生成第一节点密钥PMN-RK2 410。例如,第一节点密钥PMN-RK2 410可基于根密钥PMIP4-RK生成或者可随机地生成。第一节点密钥PMN-RK2可在随后被用于计算第一PMIP密钥PMN-HARK2-1 412。密钥PMN-RK2和PMN-HARK2-1可作为PMIP密钥分层结构402的部分来维护。第一PMIP密钥PMN-HA RK2-1在随后被发送(414)给第一接入节点eBS-a 304。在一个示例中,第一PMIP密钥PMN-HA RK2-1作为认证响应的部分被发送。接入认证响应416可被第一接入节点eBS-a 304发送给接入终端AT 312。注意,可在接入终端AT 312首次通过通信网络(eBS-a、SRNC-a和AGW是其部分)建立通信服务时或在AT 312漫游或移至eBS-a 304时执行初始连接阶段404的过程。随后可在第一接入节点eBS-a 304与AGW 302之间建立(418)PMIP隧道。
在后继换手阶段406期间,AT 312可发送设法将其服务接入节点改变至第二接入节点eBS-b 308的接入重新认证请求420。由于重新认证请求402是使用诸如EAP-AK或ERP等认证协议执行的,因此网络可验证该请求真正来自于AT 312(而并非来自未授权实体)。由于AGW 302将知晓认证响应正被发送回AT 312,因此可确定其应当使用第一节点密钥PMN-RK2(其仅在AT已被认证时才使用该密钥)。网关AGW 302在随后基于第一节点密钥PMN-RK2计算第二PMIP密钥PMN-HARK2-1(422)。第二PMIP密钥PMN-HARK2-1在随后被发送(424)给第二接入节点eBS-b 308。接入重新认证响应426也可被第二接入节点eBS-b 308发送给接入终端AT 312。第二PMIP密钥PMN-HARK2-1接着可被用来建立第二接入节点eBS-b 308与网关AGW 302之间的PMIP隧道(428)。
图5是图解在图3中所图解的环境中在接入终端AT经由第一接入节点eBS-a 304被认证但在没有进行认证的情况下移至第二接入节点eBS-b 308的情形中网关可如何生成并分发PMIP密钥的流程图。
网关AGW 302可维护PMIP密钥分层结构502。在至第一接入节点eBS-a304的初始连接阶段504期间,接入终端AT 312可发起接入认证请求508。接入认证请求508(例如,EAP-AK)可由接入终端AT 312经由网关AGW 302发送给例如归属网络HAAA以进行认证。作为此过程的部分,网关AGW 302可认识到接入终端AT 312正经历认证。因此,网关AGW 302可生成第一节点密钥PMN-RK2510。例如,第一节点密钥PMN-RK2510可基于根密钥PMIP4-RK生成或者可随机地生成。第一节点密钥PMN-RK2可在随后被用于计算第一PMIP密钥PMN-HARK2-1512。密钥PMN-RK2和PMN-HARK2-1可作为PMIP密钥分层结构502的部分来维护。第一PMIP密钥PMN-HARK2-1在随后被发送(514)给第一接入节点eBS-a 304。在一个示例中,第一PMIP密钥PMN-HARK2-1作为认证响应的部分被发送。接入认证响应516可被第一接入节点eBS-a 304发送给接入终端AT 312。注意,可在接入终端AT 312首次通过通信网络(eBS-a、SRNC-a和AGW是其部分)建立通信服务时或在AT 312漫游或移至eBS-a 304时执行初始连接阶段504的过程。随后可在第一接入节点eBS-a 304与AGW 302之间建立(518)PMIP隧道。
在后继换手阶段506期间,AT 312可发送设法将其服务接入节点改变至第二接入节点eBS-b 308的换手请求520。由于换手请求520是在没有对接入终端AT进行认证或重新认证的情况下执行的,因此网络不能验证该请求真正来自于接入终端AT 312。因此,网关AGW 302将知晓其不应当使用第一节点密钥PMN-RK2(仅在AT已被认证时才使用该密钥)。替代地,网关AGW 302计算仅在AT尚未被认证时才将使用的第二节点密钥PMN-RK1 522。第二节点密钥PMN-RK1被发送(524)给SRNC-b 310(也称为“中间网络节点”)。SRNC-b310随后基于第二节点密钥PMN-RK1以及诸如对应eBS-b的接入节点标识符或计数器等可能的其他参数来计算第二PMIP密钥PMN-HARK1-1 528。第二PMIP密钥PMN-HARK1-1在随后被发送(530)给第二接入节点eBS-b 308。换手响应532也可被第二接入节点eBS-b 308发送给接入终端AT 312。第二PMIP密钥PMN-HARK1-1接着可被用来建立第二接入节点eBS-b 308与网关AGW 302之间的PMIP隧道534。
图6是图解在图3中所图解的环境中在接入终端AT正从与接入节点eBS-a 304的未经认证连接转至与第二接入节点eBS-b 308的另一未经认证连接而没有进行认证的情形中网关可如何生成并分发PMIP密钥的流程图。
网关AGW 302可维护PMIP密钥分层结构602。在至第一接入节点eBS-a304的连接阶段604期间,接入终端AT 312可在没有对接入终端AT 312进行认证的情况下发起换手请求608。作为此过程的部分,网关AGW 302可认识到接入终端AT 312正在没有进行认证的情况下将其连接转移至第一接入节点eBS-a 304。因此,网关AGW 302可生成第一节点密钥PMN-RK1610。例如,第一节点密钥PMN-RK1610可基于根密钥PMIP4-RK生成或者可随机地生成。第一节点密钥PMN-RK1可在随后被发送(611)给与第一接入节点eBS-a 304相关联的SRNC-a 306(“中间网络节点”)。SRNC-a 306使用第一节点密钥PMN-RK1来计算第一PMIP密钥PMN-HARK1-1612。密钥PMN-RK1和PMN-HARK1-1可作为PMIP密钥分层结构602的部分来维护。第一PMIP密钥PMN-HARK1-1在随后被发送(614)给第一接入节点eBS-a 304。换手响应616可在随后被第一接入节点eBS-a 304发送给接入终端AT 312。注意,可在接入终端AT 312首次通过通信网络(eBS-a、SRNC-a和AGW是其部分)建立通信服务时或在AT 312漫游或移至eBS-a 304时执行连接阶段604的过程。随后可在第一接入节点eBS-a 304与网关AGW 302之间建立(618)PMIP隧道。
在后继换手阶段606期间,AT 312可发送设法将其服务接入节点改变至第二接入节点eBS-b 308的换手请求520。由于换手请求620是在没有对接入终端AT 312进行认证或重新认证的情况下执行的,因此网络不能验证该请求真正来自于接入终端AT 312。因此,网关AGW 302将知晓其应当使用第一节点密钥PMN-RK1(仅在AT尚未被认证时才使用该密钥)。网关AGW 302将第一节点密钥PMN-RK1524发送给SRNC-b 310(也称为“中间网络节点”)。SRNC-b 310随后基于第一节点密钥PMN-RK1以及诸如对应eBS-b的接入节点标识符或计数器等可能的其他参数来计算第二PMIP密钥PMN-HARK1-2628。第二PMIP密钥PMN-HARK1-2在随后被发送(630)给第二接入节点eBS-b 308。换手响应632也可被第二接入节点eBS-b 308发送给接入终端AT 312。第二PMIP密钥PMN-HARK1-2接着可被用来建立第二接入节点eBS-b 308与网关AGW 302之间的PMIP隧道634。
注意,当接入终端AT在耦合至同一SRNC的两个接入节点之间移动且针对任一个连接没有执行对接入终端AT的认证时,SRNC将已具有节点密钥PMN-RK1。因此,SRNC可简单地为新接入终端计算新PMIP密钥。当建立PMIP隧道时,新接入终端可简单地向网关AGW发送新PMIP密钥和用于生成其的参数。具有节点密钥PMN-RK1的知识的网关AGW可在随后重新生成新PMIP密钥以进行验证。
图7图解了在网络网关中操作用于生成用来在通信网络中保护PMIP隧道的密钥的方法。在一个示例中,网关可在超移动宽带(UMB)兼容网络中操作。网关可接收将接入终端的代理移动网际协议(PMIP)隧道绑定从第一接入节点改变至第二接入节点的请求(702)。此类请求可以是认证或重新认证过程的部分,或者其可以是换手请求过程的部分。网关可在随后确定接入终端是否已通过第二接入节点被认证(704)。即,网关可确定将通信服务从先前接入节点转移至新接入节点的请求是否已被认证为来自该接入终端。这可例如通过EAP-AK协议或ERP过程来执行。如果接入终端尚未通过新接入节点被认证,则网关生成第一节点密钥(706)并将该第一节点密钥发送给中间网络节点(例如,SRNC),后者可生成第一PMIP密钥并将其提供给第二接入节点(708)。否则,网关生成第二节点密钥(710),根据第二节点密钥生成第二PMIP密钥,并将该第二PMIP密钥发送给第二接入节点(714)。
在各种实现中,第一节点密钥和第二节点密钥可以基于公共根密钥、随机选择的根密钥,或者它们可彼此独立(即,第一和第二节点密钥可各自被随机地选择)。注意,第一节点密钥和第二节点密钥可能不为接入终端所知,因为其仅被用于网络内的PMIP绑定。因此,PMIP密钥分层结构(例如,第一节点密钥、第二节点密钥、PMIP密钥等)可与为接入终端所知且用于认证接入终端的主(EAP)密钥分层结构无关。
网关接着可使用或者第一PMIP密钥或者第二PMIP密钥建立网关与第二接入节点之间的PMIP隧道(716)。即,如果第一节点被发送,则第一PMIP密钥被用于建立和保护PMIP隧道。在此情形中,网关可使用为网关和中间网络节点两者所知的参数生成第一PMIP密钥的本地版本。例如,网关和中间网络节点可使用为两者所知的计数器、第二接入节点的标识符值、或某一其他参数来生成第一节点密钥。在建立PMIP隧道时,第二接入节点可向网关提供第一PMIP密钥的副本连同用于生成其的参数(除第一节点密钥之外)。否则,如果第二PMIP密钥被发送,则网关已知晓此密钥并且也可在接受至第二接入节点的PMIP隧道绑定之前验证第二接入节点也知晓此密钥。
图8图解了在网络网关中操作用于生成和分发用来保护通信网络中特定接入终端的PMIP隧道的密钥的方法。网关可维护与接入终端相关联并被用于保护至服务该接入终端的网络节点的PMIP隧道的PMIP密钥分层结构(802)。网关可接收将接入终端的PMIP隧道绑定改变至新接入节点的通知(804)。其可确定接入终端是否已通过新接入节点被认证(806)。随后生成助益PMIP隧道绑定的第一节点密钥;然而,第一节点密钥仅仅在接入终端已被认证或者尚未被认证时才使用,但不能在这两种情况下都使用(808)。即,在接入终端已被认证的情形中以及在终端尚未被认证的情形中,不同节点密钥被用于隧道绑定。第一节点密钥可被网关或中间网络节点用来生成PMIP密钥。即,第一节点密钥或其衍生物(即,PMIP密钥)被用于创建网关至新接入节点之间的PMIP隧道(810)。
图9是图解了网关设备的示例的框图。网关设备902可包括耦合至网络通信接口906的处理电路904。处理电路904可适于维护辅助(PMIP)密钥分层结构以及执行图2-8中所图解的步骤中的一个或多个以便取决于接入终端是否已经历成功认证而不同地生成并分发PMIP密钥。
根据又一配置,电路可适于接收将接入终端的代理移动网际协议(PMIP)隧道绑定从第一接入节点改变至第二接入节点的请求。相同电路、不同电路、或者该相同或不同电路的第二工段可适于确定接入终端是否已通过第二接入节点被认证。另外,相同电路、不同电路、或者该相同或不同电路的第三工段可适于在接入终端尚未被认证的情况下生成第一节点密钥,并且将该第一节点密钥发送给中间网络节点,后者可生成第一PMIP密钥并将其提供给第二接入节点。类似地,相同电路、不同电路、或者该相同或不同电路的第四工段可适于在接入终端已被认证的情况下生成第二节点密钥,并且根据第二节点密钥生成第二PMIP并将该第二PMIP密钥发送给第二接入节点。相同电路、不同电路、或者该相同或不同电路的第四工段可适于建立网关与第二接入节点之间由第一或第二PMIP密钥保护的PMIP隧道。
本领域的普通技术人员将认识到,一般而言,本公开中描述的处理中绝大多数可以用类似方式实现。(诸)电路或电路工段中的任何电路或工段可单独实现或作为集成电路的一部分与一个或更多个处理器组合实现。这些电路中的一个或更多个可以在集成电路、先进RISC机(ARM)处理器、数字信号处理器(DSP)、通用处理器等上实现。
图1、2、3、4、5、6、7、8、9和/或10中图解的组件、步骤、和/或功能之中的一个或更多个可以被重新编排和/或组合成单个组件、步骤、或功能,或可以实施在数个组件、步骤、或功能中。也可以添加更多的元件、组件、步骤、和/或功能。图1、3、和9中图解的装置、设备、和/或组件可以被配置成或适应性地用于执行图2、4-8和/或10中描述的方法、特征、或步骤中的一个或更多个。本文中描述的算法可以在软件和/或嵌入式硬件中高效率地实现。
本领域技术人员将可进一步领会,结合本文中公开的配置描述的各种说明性逻辑框、模块、电路、和算法步骤可以被实现为电子硬件、计算机软件、或两者的组合。为清楚地解说硬件和软件的这种可互换性,各种解说性组件、块、模块、电路、和步骤在上文中以其功能性的形式进行了一般化描述。这样的功能性是实现为硬件还是软件取决于具体应用和加诸整体系统上的设计约束。
应注意,以上配置仅是示例而不应被理解为限定权利要求。对这些配置的描述旨在说明而非限定所附权利要求的范围。由此,本发明的教导可以现成地应用于其他类型的装置,并且许多替换、修改、和变形对于本领域技术人员将是显而易见的。
Claims (36)
1.一种在接入网关中操作的方法,包括:
接收将接入终端的代理移动网际协议(PMIP)隧道绑定从第一接入节点改变至第二接入节点的请求;
生成第一节点密钥;以及
将所述第一节点密钥发送给中间网络节点,所述中间网络节点能生成第一PMIP密钥并将其提供给所述第二接入节点;
所述方法还包括:
确定所述接入终端是否已通过所述第二接入节点被认证;以及
仅当所述接入终端尚未被认证时生成并发送所述第一节点密钥。
2.如权利要求1所述的方法,其特征在于,还包括:
建立所述网关与所述第二接入节点之间由所述第一PMIP密钥保护的PMIP隧道。
3.如权利要求1所述的方法,其特征在于,如果所述接入终端已被认证,则还包括:
生成第二节点密钥;
根据第二节点密钥生成第二PMIP密钥;以及
向所述第二接入节点发送所述第二PMIP密钥。
4.如权利要求3所述的方法,其特征在于,所述中间网络节点是会话参考网络控制器(SRNC)。
5.如权利要求3所述的方法,其特征在于,所述第一节点密钥和第二节点密钥是随机选择的并且彼此无关。
6.如权利要求3所述的方法,其特征在于,所述第一节点密钥和第二节点密钥是基于根密钥的。
7.如权利要求1所述的方法,其特征在于,如果使用可扩展认证协议(EAP)重新认证协议(ERP),则接入终端被认证。
8.如权利要求1所述的方法,其特征在于,还包括:
维护与所述接入终端(AT)相关联并被用于保护至服务所述接入终端的网络节点的PMIP隧道的PMIP密钥分层结构,其中所述密钥分层结构包括所述第一节点密钥。
9.如权利要求8所述的方法,其特征在于,所述PMIP密钥分层结构包括从其推导出所述第一节点密钥的随机选择的根密钥。
10.如权利要求9所述的方法,其特征在于,所述PMIP密钥分层结构的所述根密钥不为所述接入终端所知。
11.如权利要求8所述的方法,其特征在于,所述PMIP密钥分层结构与为所述接入终端所知并被用于认证所述接入终端的主密钥分层结构无关。
12.如权利要求1所述的方法,其特征在于,所述第一节点密钥是随机选择的。
13.如权利要求1所述的方法,其特征在于,所述第二接入节点是增强型基站(eBS)。
14.如权利要求1所述的方法,其特征在于,所述第二接入节点向所述接入终端提供无线连通性。
15.如权利要求1所述的方法,其特征在于,网关在超移动宽带(UMB)兼容网络中操作。
16.一种网络网关设备,包括:
用于接收将接入终端的代理移动网际协议(PMIP)隧道绑定从第一接入节点改变至第二接入节点的请求的装置;
用于生成第一节点密钥的装置;以及
用于将所述第一节点密钥发送给中间网络节点的装置,所述中间网络节点能生成第一PMIP密钥并将其提供给所述第二接入节点;
所述网络网关设备还包括:
用于确定所述接入终端是否已通过所述第二接入节点被认证的装置;
其中仅当所述接入终端尚未被认证时生成并发送所述第一节点密钥。
17.如权利要求16所述的网络网关设备,其特征在于,还包括:
用于建立所述网关与所述第二接入节点之间由所述第一PMIP密钥保护的PMIP隧道的装置。
18.如权利要求16所述的网络网关设备,其特征在于,还包括:
用于在所述接入终端已被认证的情况下生成第二节点密钥的装置;
用于在所述接入终端已被认证的情况下根据第二节点密钥生成第二PMIP密钥的装置;以及
用于向所述第二接入节点发送所述第二PMIP密钥的装置。
19.如权利要求16所述的网络网关设备,其特征在于,还包括:
用于维护与所述接入终端(AT)相关联并被用于保护至服务所述接入终端的网络节点的PMIP隧道的PMIP密钥分层结构的装置,其中所述密钥分层结构包括所述第一节点密钥。
20.一种在网络网关中操作的系统,其中所述系统包括:
用于接收将接入终端的代理移动网际协议(PMIP)隧道绑定从第一接入节点改变至第二接入节点的请求的装置;
用于生成第一节点密钥的装置;以及
用于将所述第一节点密钥发送给中间网络节点的装置,所述中间网络节点能生成第一PMIP密钥并将其提供给所述第二接入节点;
所述系统还包括:
用于确定所述接入终端是否已通过所述第二接入节点被认证的装置;以及
用于仅当所述接入终端尚未被认证时生成并发送所述第一节点密钥的装置。
21.如权利要求20所述的系统,其特征在于,所述系统还包括:
用于建立所述网关与所述第二接入节点之间由所述第一PMIP密钥保护的PMIP隧道的装置。
22.如权利要求20所述的系统,其特征在于,如果所述接入终端已被认证,则所述系统还包括:
用于生成第二节点密钥的装置;
用于根据第二节点密钥生成第二PMIP密钥的装置;以及
用于向所述第二接入节点发送所述第二PMIP密钥的装置。
23.如权利要求20所述的系统,其特征在于,所述系统还包括:
用于维护与所述接入终端(AT)相关联并被用于保护至服务所述接入终端的网络节点的PMIP隧道的PMIP密钥分层结构的装置,其中所述密钥分层结构包括所述第一节点密钥。
24.一种在接入网关中操作的方法,包括:
接收将接入终端的代理移动网际协议(PMIP)隧道绑定从第一接入节点改变至第二接入节点的请求;
生成第一节点密钥;
根据第一节点密钥生成第一PMIP密钥;以及
向所述第二接入节点发送所述第一PMIP密钥;
所述方法还包括:
确定所述接入终端是否已通过所述第二接入节点被认证;以及
仅当所述接入节点已被认证时生成并发送所述第一节点密钥。
25.如权利要求24所述的方法,其特征在于,还包括:
建立所述网关与所述第二接入节点之间由所述第一PMIP密钥保护的PMIP隧道。
26.如权利要求24所述的方法,其特征在于,如果所述接入终端尚未被认证,则
生成第二节点密钥;以及
将所述第二节点密钥发送给中间网络节点,所述中间网络节点能生成第二PMIP密钥并将其提供给所述第二接入节点。
27.如权利要求26所述的方法,其特征在于,所述中间网络节点是会话参考网络控制器(SRNC)。
28.如权利要求24所述的方法,其特征在于,所述第二接入节点是增强型基站(eBS)。
29.如权利要求24所述的方法,其特征在于,还包括:
维护与所述接入终端(AT)相关联并被用于保护至服务所述接入终端的网络节点的PMIP隧道的PMIP密钥分层结构,其中所述密钥分层结构包括所述第一节点密钥。
30.如权利要求29所述的方法,其特征在于,所述PMIP密钥分层结构包括从其推导出所述第一节点密钥的随机选择的根密钥。
31.如权利要求24所述的方法,其特征在于,所述第一节点密钥是随机选择的。
32.如权利要求26所述的方法,其特征在于,所述第一节点密钥和第二节点密钥是随机选择的并且彼此无关。
33.如权利要求26所述的方法,其特征在于,所述第一节点密钥和第二节点密钥是基于根密钥的。
34.如权利要求29所述的方法,其特征在于,所述PMIP密钥分层结构的所述根密钥不为所述接入终端所知。
35.一种接入网关,包括:
用于接收将接入终端的代理移动网际协议(PMIP)隧道绑定从第一接入节点改变至第二接入节点的请求的装置;
用于生成第一节点密钥的装置;
用于根据第一节点密钥生成第一PMIP密钥的装置;以及
用于向所述第二接入节点发送所述第一PMIP密钥的装置;
所述接入网关还包括:
用于确定所述接入终端是否已通过所述第二接入节点被认证的装置;以及
用于仅当所述接入节点已被认证时生成并发送所述第一节点密钥的装置。
36.一种在网络网关中操作的系统,其中所述系统包括:
用于接收将接入终端的代理移动网际协议(PMIP)隧道绑定从第一接入节点改变至第二接入节点的请求的装置;
用于生成第一节点密钥的装置;
用于根据第一节点密钥生成第一PMIP密钥的装置;以及
用于向所述第二接入节点发送所述第一PMIP密钥的装置;
所述系统还包括:
用于确定所述接入终端是否已通过所述第二接入节点被认证的装置;以及
用于仅当所述接入节点已被认证时生成并发送所述第一节点密钥的装置。
Applications Claiming Priority (5)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US94125607P | 2007-05-31 | 2007-05-31 | |
US60/941,256 | 2007-05-31 | ||
US12/131,039 | 2008-05-31 | ||
US12/131,039 US8769611B2 (en) | 2007-05-31 | 2008-05-31 | Methods and apparatus for providing PMIP key hierarchy in wireless communication networks |
PCT/US2008/065562 WO2009038831A2 (en) | 2007-05-31 | 2008-06-02 | Methods and apparatus for providing pmip key hierarchy in wireless communication networks |
Publications (2)
Publication Number | Publication Date |
---|---|
CN101682630A CN101682630A (zh) | 2010-03-24 |
CN101682630B true CN101682630B (zh) | 2013-04-24 |
Family
ID=40088224
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN2008800181404A Expired - Fee Related CN101682630B (zh) | 2007-05-31 | 2008-06-02 | 用于在无线通信网络中提供pmip密钥分层结构的方法和装置 |
Country Status (10)
Country | Link |
---|---|
US (1) | US8769611B2 (zh) |
EP (1) | EP2174444B1 (zh) |
JP (1) | JP5204219B2 (zh) |
KR (1) | KR101205466B1 (zh) |
CN (1) | CN101682630B (zh) |
BR (1) | BRPI0812554A2 (zh) |
CA (1) | CA2687049C (zh) |
RU (1) | RU2437238C2 (zh) |
TW (1) | TWI394415B (zh) |
WO (1) | WO2009038831A2 (zh) |
Families Citing this family (34)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8098597B2 (en) * | 2007-08-24 | 2012-01-17 | Samsung Electronics Co., Ltd. | IAS-based configuration for UMB Femto devices |
US8780856B2 (en) * | 2007-09-18 | 2014-07-15 | Telefonaktiebolaget Lm Ericsson (Publ) | Inter-system handoffs in multi-access environments |
WO2009143115A1 (en) * | 2008-05-21 | 2009-11-26 | Uniloc Usa, Inc. | Device and method for secured communication |
US20100106971A1 (en) * | 2008-10-27 | 2010-04-29 | Domagoj Premec | Method and communication system for protecting an authentication connection |
US8695082B2 (en) * | 2008-10-27 | 2014-04-08 | Nokia Siemens Networks Oy | Method and communication system for accessing a wireless communication network |
US8495359B2 (en) * | 2009-06-22 | 2013-07-23 | NetAuthority | System and method for securing an electronic communication |
US20100325703A1 (en) * | 2009-06-23 | 2010-12-23 | Craig Stephen Etchegoyen | System and Method for Secured Communications by Embedded Platforms |
US8903653B2 (en) | 2009-06-23 | 2014-12-02 | Uniloc Luxembourg S.A. | System and method for locating network nodes |
US8452960B2 (en) | 2009-06-23 | 2013-05-28 | Netauthority, Inc. | System and method for content delivery |
US8736462B2 (en) * | 2009-06-23 | 2014-05-27 | Uniloc Luxembourg, S.A. | System and method for traffic information delivery |
US20100321207A1 (en) * | 2009-06-23 | 2010-12-23 | Craig Stephen Etchegoyen | System and Method for Communicating with Traffic Signals and Toll Stations |
CN102143491B (zh) * | 2010-01-29 | 2013-10-09 | 华为技术有限公司 | 对mtc设备的认证方法、mtc网关及相关设备 |
US8446834B2 (en) | 2011-02-16 | 2013-05-21 | Netauthority, Inc. | Traceback packet transport protocol |
US8837741B2 (en) | 2011-09-12 | 2014-09-16 | Qualcomm Incorporated | Systems and methods for encoding exchanges with a set of shared ephemeral key data |
US9439067B2 (en) | 2011-09-12 | 2016-09-06 | George Cherian | Systems and methods of performing link setup and authentication |
US9143937B2 (en) * | 2011-09-12 | 2015-09-22 | Qualcomm Incorporated | Wireless communication using concurrent re-authentication and connection setup |
US8949954B2 (en) | 2011-12-08 | 2015-02-03 | Uniloc Luxembourg, S.A. | Customer notification program alerting customer-specified network address of unauthorized access attempts to customer account |
AU2012100460B4 (en) | 2012-01-04 | 2012-11-08 | Uniloc Usa, Inc. | Method and system implementing zone-restricted behavior of a computing device |
AU2012100462B4 (en) | 2012-02-06 | 2012-11-08 | Uniloc Usa, Inc. | Near field authentication through communication of enclosed content sound waves |
AU2012100463B4 (en) | 2012-02-21 | 2012-11-08 | Uniloc Usa, Inc. | Renewable resource distribution management system |
US9883437B2 (en) | 2012-06-19 | 2018-01-30 | Qualcomm Incorporated | Systems and methods for enhanced network handoff to wireless local area networks |
AU2013100355B4 (en) | 2013-02-28 | 2013-10-31 | Netauthority, Inc | Device-specific content delivery |
US9167427B2 (en) * | 2013-03-15 | 2015-10-20 | Alcatel Lucent | Method of providing user equipment with access to a network and a network configured to provide access to the user equipment |
US9392458B2 (en) | 2013-03-15 | 2016-07-12 | Qualcomm Incorporated | Authentication for relay deployment |
KR20140124157A (ko) * | 2013-04-16 | 2014-10-24 | 삼성전자주식회사 | 무선 네트워크에서 키 하이어라키 생성 장치 및 방법 |
FR3007920A1 (fr) * | 2013-06-28 | 2015-01-02 | France Telecom | Procede de changement de cle d'authentification |
EP3157203B1 (en) * | 2014-06-16 | 2018-07-04 | Ricoh Company, Ltd. | Network system, communication control method, and storage medium |
EP3152937B1 (en) | 2014-07-03 | 2021-04-14 | Huawei Technologies Co., Ltd. | System and method for wireless network access protection and security architecture |
CN104284332A (zh) * | 2014-09-26 | 2015-01-14 | 中兴通讯股份有限公司 | 一种鉴权方法及无线路由器 |
US10455414B2 (en) * | 2014-10-29 | 2019-10-22 | Qualcomm Incorporated | User-plane security for next generation cellular networks |
US10298549B2 (en) * | 2015-12-23 | 2019-05-21 | Qualcomm Incorporated | Stateless access stratum security for cellular internet of things |
CN113452515B (zh) * | 2020-03-25 | 2022-11-25 | 阿里巴巴集团控股有限公司 | 通信方法、密钥配置方法及装置 |
JP2022076669A (ja) * | 2020-11-10 | 2022-05-20 | 富士フイルムビジネスイノベーション株式会社 | 情報処理装置、情報処理プログラム、及び通信システム |
CN113536738A (zh) * | 2021-07-05 | 2021-10-22 | 国网山东省电力公司电力科学研究院 | 一种基于神经网络的多协议规约无线转换装置 |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2007011995A1 (en) * | 2005-07-15 | 2007-01-25 | Intel Corporation | Secure proxy mobile ip apparatus, system, and method |
CN1953606A (zh) * | 2005-10-19 | 2007-04-25 | 华为技术有限公司 | 一种移动用户设备实现移动英特网协议去注册的方法 |
Family Cites Families (18)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6760444B1 (en) * | 1999-01-08 | 2004-07-06 | Cisco Technology, Inc. | Mobile IP authentication |
US6785823B1 (en) * | 1999-12-03 | 2004-08-31 | Qualcomm Incorporated | Method and apparatus for authentication in a wireless telecommunications system |
RU2292648C2 (ru) | 2002-05-01 | 2007-01-27 | Телефонактиеболагет Лм Эрикссон (Пабл) | Система, устройство и способ, предназначенные для аутентификации на основе sim и для шифрования при доступе к беспроводной локальной сети |
ATE380424T1 (de) | 2002-05-01 | 2007-12-15 | Ericsson Telefon Ab L M | System, apparat und methode zur sim basierten authentifizierung und verschlüsselung beim zugriff auf ein drahtloses lokales netz |
WO2003101025A2 (en) * | 2002-05-28 | 2003-12-04 | Zte San Diego, Inc. | Interworking mechanism between cdma2000 and wlan |
US8077681B2 (en) | 2002-10-08 | 2011-12-13 | Nokia Corporation | Method and system for establishing a connection via an access network |
US7457289B2 (en) * | 2002-12-16 | 2008-11-25 | Cisco Technology, Inc. | Inter-proxy communication protocol for mobile IP |
US20050243769A1 (en) | 2004-04-28 | 2005-11-03 | Walker Jesse R | Apparatus and method capable of pre-keying associations in a wireless local area network |
JP2006011989A (ja) * | 2004-06-28 | 2006-01-12 | Ntt Docomo Inc | 認証方法、端末装置、中継装置及び認証サーバ |
TWI254546B (en) * | 2004-08-03 | 2006-05-01 | Zyxel Communications Corp | Assignment method and system of home agent in mobile VPN |
US7370362B2 (en) * | 2005-03-03 | 2008-05-06 | Cisco Technology, Inc. | Method and apparatus for locating rogue access point switch ports in a wireless network |
DE102006008745A1 (de) | 2005-11-04 | 2007-05-10 | Siemens Ag | Verfahren und Server zum Bereitstellen eines Mobilitätsschlüssels |
US8042154B2 (en) * | 2005-11-07 | 2011-10-18 | Cisco Technology, Inc. | Allowing network access for proxy mobile IP cases for nodes that do not support CHAP authentication |
DE102006038037A1 (de) * | 2006-08-14 | 2008-02-21 | Siemens Ag | Verfahren und System zum Bereitstellen eines zugangsspezifischen Schlüssels |
US8230212B2 (en) * | 2006-08-29 | 2012-07-24 | Alcatel Lucent | Method of indexing security keys for mobile internet protocol authentication |
WO2008080420A1 (en) | 2006-12-28 | 2008-07-10 | Telefonaktiebolaget Lm Ericsson (Publ) | Mobile ip proxy |
US10171998B2 (en) * | 2007-03-16 | 2019-01-01 | Qualcomm Incorporated | User profile, policy, and PMIP key distribution in a wireless communication network |
US8011740B2 (en) * | 2008-02-11 | 2011-09-06 | Caterpillar Inc. | Idler recoil assembly and machine using same |
-
2008
- 2008-05-31 US US12/131,039 patent/US8769611B2/en not_active Expired - Fee Related
- 2008-06-02 WO PCT/US2008/065562 patent/WO2009038831A2/en active Application Filing
- 2008-06-02 TW TW097120507A patent/TWI394415B/zh not_active IP Right Cessation
- 2008-06-02 CA CA2687049A patent/CA2687049C/en not_active Expired - Fee Related
- 2008-06-02 RU RU2009148765/09A patent/RU2437238C2/ru not_active IP Right Cessation
- 2008-06-02 EP EP08832232.6A patent/EP2174444B1/en not_active Not-in-force
- 2008-06-02 BR BRPI0812554A patent/BRPI0812554A2/pt not_active Application Discontinuation
- 2008-06-02 KR KR1020097027632A patent/KR101205466B1/ko active IP Right Grant
- 2008-06-02 JP JP2010510558A patent/JP5204219B2/ja not_active Expired - Fee Related
- 2008-06-02 CN CN2008800181404A patent/CN101682630B/zh not_active Expired - Fee Related
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2007011995A1 (en) * | 2005-07-15 | 2007-01-25 | Intel Corporation | Secure proxy mobile ip apparatus, system, and method |
CN1953606A (zh) * | 2005-10-19 | 2007-04-25 | 华为技术有限公司 | 一种移动用户设备实现移动英特网协议去注册的方法 |
Non-Patent Citations (1)
Title |
---|
Anand Bedekar等.A Protocol for Network-based Localized Mobility Management.《IETF NETLMM Working Group Internet Draft》.2007,1-26. * |
Also Published As
Publication number | Publication date |
---|---|
BRPI0812554A2 (pt) | 2016-05-10 |
TW200915805A (en) | 2009-04-01 |
JP5204219B2 (ja) | 2013-06-05 |
WO2009038831A3 (en) | 2009-05-14 |
EP2174444B1 (en) | 2017-08-09 |
WO2009038831A2 (en) | 2009-03-26 |
RU2009148765A (ru) | 2011-07-27 |
KR20100028598A (ko) | 2010-03-12 |
CN101682630A (zh) | 2010-03-24 |
CA2687049A1 (en) | 2009-03-26 |
EP2174444A2 (en) | 2010-04-14 |
TWI394415B (zh) | 2013-04-21 |
US8769611B2 (en) | 2014-07-01 |
US20080298595A1 (en) | 2008-12-04 |
CA2687049C (en) | 2013-07-16 |
RU2437238C2 (ru) | 2011-12-20 |
JP2010529755A (ja) | 2010-08-26 |
KR101205466B1 (ko) | 2012-11-29 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN101682630B (zh) | 用于在无线通信网络中提供pmip密钥分层结构的方法和装置 | |
US11463874B2 (en) | User profile, policy, and PMIP key distribution in a wireless communication network | |
US7130286B2 (en) | System and method for resource authorizations during handovers | |
KR20060068529A (ko) | 모바일 IPv 6를 지원하는 다이아미터 AAA프로토콜의 확장 방법 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
CF01 | Termination of patent right due to non-payment of annual fee | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20130424 Termination date: 20190602 |