CN102123391A - 一种基于hip的注册和认证方法及系统 - Google Patents
一种基于hip的注册和认证方法及系统 Download PDFInfo
- Publication number
- CN102123391A CN102123391A CN2010100340147A CN201010034014A CN102123391A CN 102123391 A CN102123391 A CN 102123391A CN 2010100340147 A CN2010100340147 A CN 2010100340147A CN 201010034014 A CN201010034014 A CN 201010034014A CN 102123391 A CN102123391 A CN 102123391A
- Authority
- CN
- China
- Prior art keywords
- hip
- authentication
- subscriber equipment
- node
- user
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Mobile Radio Communication Systems (AREA)
Abstract
本发明提供了一种基于HIP的注册和认证方法及系统,用户设备通过HIP节点接入基于HIP的分布式电信业务平台,并采用电信网络中的认证方式对用户设备进行认证;在用户设备通过认证后,将用户设备的用户标识与HIP节点的关联信息,以及用户设备的用户标识与用户设备的当前IP地址的关联信息保存在HIP节点中。本发明提供了统一的用户管理、透明的支持移动性和多穴性的业务平台,获得了新的业务收入;而且通过使用通讯网络已有的认证体系,节省了网络和终端的资源,减少了投资,保证了移动设备和网络的合理开销。同时,应用提供商无需进行用户管理、支持移动性和多穴性的投资建设,节省了资本支出,从而达成了应用提供商、网络运营商双赢的局面。
Description
技术领域
本发明涉及主机标识协议(HIP,Host Identity Protocol)技术,尤其涉及一种基于HIP的分布式电信业务平台的注册和认证方法及系统。
背景技术
目前,Internet的名字空间主要有两种,即IP地址和域名系统。由于传输层和网络层紧密地结合在一起,二者并没有真正地将其各自的功能独立实现。IP地址既担任寻址功能,又担任着标识通信设备节点的作用。这种双重功能决定了当IP地址变化时,不仅路由会发生变化,而且通信设备主机的标识会发生变化。其中,设备标识的变化会导致应用和连接中断。
HIP的引入实现了设备标识和地址的绑定,HIP要求任何设备都有全球范围内唯一的主机识别码(HI,Host Identifier)。在传输层协议/网络层协议(TCP/IP)中,TCP和用户数据包协议(UDP)联接是与IP地址联系起来的。由于HIP改变了TCP/IP协议中的网络层和传输层的绑定,在TCP,IP之间引入了HIP层,因此,一旦HIP架构的建立,这些联接就同HI联系在一起,而不是与IP地址。图1 a为现有TCP/IP网络层次的结构示意图,图1b为HIP网络层次的结构示意图,如图1b所示,在HIP架构中,IP地址仍然具有位置标识的作用,但是,HI取代了IP地址的设备标识的功能。这就使得无论一个主机的IP地址如何变换,该主机都拥有唯一不变的HI,从而解决了主机的移动性问题和多穴的问题。
下面对IETF HIP工作组定义的HIP做简单介绍,具体可参见相关协议。
HIP通讯两端的基础交互流程包括四个包的交互,分别命名为I1包,R1包,I2包和R2包,用于交互两个主机通讯的基础信息。其中,在R1包和I2包中交互DH密钥算法所需要的参数,在I2包和R2包中验证交互的双方。
HIP的UPDATE包(HIP协议的控制包)用于一个主机通知对方自身通讯信息的改变,比如自身的IP地址的改变、需要重新建立正在使用的安全联盟等。UPDATE包可以包含一个序列号参数和一个确认参数,如果在UPDATE包中包含有序列号参数,则响应方必须在返回的包中携带确认参数来进行确认;如果在UPDATE包中没有包含序列号参数,则该UPDATE包的发出不需要得到响应方的确认。
对等计算或对等(P2P,Peer to Peer)网络,是一种端到端的网络体系,P2P网络可以简单地定义成通过直接交换来共享计算机资源和服务。在P2P网络环境中,成千上万台彼此连接的计算机都处于对等的地位,整个网络一般来讲不依赖于专用的集中服务器。网络中的每一台计算机既能充当网络服务的请求者,又能对其他计算机的请求做出响应,以提供资源与服务。通常这些资源和服务包括:信息的共享与交换、存储资源(如缓存和磁盘空间的使用)、计算资源(如CPU的共享)等。
RELOAD协议是IETF P2P SIP工作定义的一种P2P协议,RELOAD协议可以完成P2P技术中的叠加网的维护及数据存取功能,可以用来构建一个业务无关的P2P叠加网络。对等技术构成的叠加网可用来存取通信用户数据。
目前,在3GPP接入鉴权过程中,采用鉴权和密钥协商(AKA,Authenticationand Key Agreement)机制,其中,鉴权是由移动终端用户识别卡如USIM卡,与网络侧的用户数据存储认证中心通过共享鉴权密钥来进行相互认证。同时,通过共享鉴权密钥还可以生成一对会话密钥:即完整性密钥IK和加密密钥CK,用于移动终端和网络之间通讯的安全保护。
HIP协议只支持端到端的公私钥认证体系,而在电信网络中,如前所述,已有一些适用于移动设备的认证体系如3GPP AKA等。在引入HIP的电信网络中,如果直接使用HIP协议的公私钥认证体系,显然增加了移动设备和网络的开销。
发明内容
有鉴于此,本发明的主要目的在于提供一种基于HIP的注册和认证方法及系统,使得基于HIP的分布式电信业务平台,能够提供应用无关的统一的用户名及移动性和多穴性管理,同时保证移动设备和网络的合理开销。
为达到上述目的,本发明的技术方案是这样实现的:
一种基于HIP的注册和认证方法,包括:
用户设备通过主机标识协议HIP节点接入基于HIP的分布式电信业务平台,并采用电信网络中的认证方式对用户设备进行认证;
用户设备通过认证后,将用户设备的用户标识与HIP节点的关联信息,以及用户设备的用户标识与用户设备的当前IP地址的关联信息保存在HIP节点中。
当所述用户设备或HIP节点需要重新建立IPSec安全联盟时,该方法还包括:所述用户设备或所述HIP节点通过发送HIP的UPDATE包来实现,在该UPDATE包中携带有相应的建立安全联盟的参数。
该方法还包括:所述用户设备和所述HIP节点所在的网络间,通过发送HIP的UPDATE包表明需要进行对用户设备的重新认证。
所述HIP节点包括HIP接入节点和所述用户设备的用户数据归属及认证节点。
所述认证的方法为:所述用户设备与HIP接入节点间通过利用HIP的I1包、R1包、I2包及R2包实现所述用户设备的接入的认证。
所述用户设备向HIP接入节点发送HIP的I1包,在H1包中携带有用户设备的用户标识ID、HIP接入节点标识HI、表明使用3GPP AKA的认证方式的信息;
所述HIP接入节点向用户设备的用户数据归属及认证节点发送认证请求,所述用户设备的用户数据归属及认证节点根据自身存储的该用户设备的共享鉴权密钥,生成认证挑战信息和用于该用户设备认证网络的信息,并经由所述HIP接入节点携带在HIP的R1包中返回给用户设备;
所述用户设备根据与网络的共享鉴权密钥,以及接收到的用于用户设备认证网络的信息认证网络;并根据与网络的共享鉴权密钥和接收到的认证挑战信息,生成认证挑战应答信息,并携带在HIP的I2包中发送给HIP接入节点;
所述HIP接入节点将接收到的认证挑战应答信息携带在挑战应答消息中发送给用户设备的用户数据归属和认证节点;
所述用户设备的用户数据归属和认证节点根据获得的认证挑战应答信息对UE进行认证,并经由所述HIP接入节点向UE发送携带有UE的认证结果的HIP的R2包。
所述将用户设备的用户标识与HIP节点的关联信息,以及用户设备的用户标识与用户设备的当前IP地址的关联信息保存在HIP节点中包括:
所述用户设备的用户数据归属和认证节点利用获得的认证挑战应答信息对用户设备进行认证并通过后,将所述用户设备的用户标识与HIP接入节点的关联信息存储在所述用户设备的用户数据归属和认证节点的位置服务存储LSS模块中;
所述HIP接入节点接收到显示认证通过的认证结果后,存储所述用户设备的用户标识与用户设备的当前IP地址的关联信息。
在所述用户设备的用户数据归属和认证节点生成认证挑战信息和用于用户设备认证网络的信息时,还进一步生成完整性密钥IK和加密密钥CK,并将生成的完整性密钥IK、加密密钥CK所需的参数经由所述HIP接入节点发送给所述用户设备;
所述用户设备还进一步根据接收到的参数和共享鉴权密钥,生成相同的用于UE与HIP接入节点之间的完整性保护和建立IPSec安全联盟的完整性密钥IK和加密密钥CK。
一种基于HIP的注册和认证系统,包括用户设备,以及包括的一个或一个以上HIP节点的叠加网;每个HIP节点均包括HIP接入模块,位置服务存储LSS模块,用户认证数据存储模块和用户认证模块,其中,
HIP接入模块,其中存储有用户标识和用户设备IP地址的关联信息,用于用户设备接入叠加网;
LSS模块,其中存储有用户标识和HIP接入模块的关联信息,用于实现用户设备在叠加网的用户数据归属和认证;
用户认证数据存储模块,用于存储用户的认证和鉴权数据,实现UE在叠加网的用户数据归属和认证数据的储存;
用户认证模块,用于对用户进行认证和授权。
当所述用户设备或HIP节点需要重新建立IPSec安全联盟时,所述用户设备或所述HIP模块还用于,通过发送HIP的UPDATE包来实现IPSec安全联盟的重新建立。
所述用户设备具体用于,向HIP接入模块发送HIP的I1包;接收来自HIP接入模块的认证挑战消息,根据与网络的共享鉴权密钥,以及接收到的用于UE认证网络的信息认证网络;根据与网络的共享鉴权密钥和认证挑战信息,生成对认证挑战的应答并在携带在HIP的I2包中发送给HIP接入模块;
所述HIP接入模块具体用于,接收来自用户设备的HIP的I1包并向用户认证模块发送认证请求;接收到来自用户认证模块的认证挑战消息,向所述用户设备发送HIP的R1包;将接收到的来自用户设备的认证挑战应答信息携带在挑战应答消息中发送给用户认证模块;根据获得的认证结果,在认证结果显示为认证通过时,HIP接入模块存储用户设备的ID与UE的当前IP地址的关联信息;向所述用户设备发送HIP的R2包,携带有用户设备的注册结果;
所述用户认证模块具体用于,接收来自HIP接入模块的认证请求,根据所述LSS模块中存储的所述用户设备的共享鉴权密钥,生成认证挑战信息和用于该用户设备认证网络的信息,并携带在认证挑战消息中返回给HIP接入模块;接收来自HIP接入模块的挑战应答消息,根据获得的认证挑战应答信息对用户设备进行认证,并在认证通过时,将用户设备的ID和HIP接入模块的关联信息存储在所述LSS模块中;将认证结果发送给HIP接入模块。
所述用户认证模块还用于,生成完整性密钥IK和加密密钥CK,并将生成的完整性密钥IK、加密密钥CK所需的参数发送给所述用户设备;
所述用户设备还用于,根据接收到的参数和共享鉴权密钥,生成相同的用于用户设备与HIP接入模块之间的完整性保护和建立IPSec安全联盟的完整性密钥IK和加密密钥CK。
所述HIP节点包括HIP接入节点和所述用户设备的用户数据归属及认证节点。
从上述本发明提供的技术方案可以看出,用户设备通过HIP节点接入基于HIP的分布式电信业务平台,并采用电信网络中的认证方式对用户设备进行认证;在用户设备通过认证后,将用户设备的用户标识与HIP节点的关联信息,以及用户设备的用户标识与用户设备的当前IP地址的关联信息保存在HIP节点中。本发明方法提供了统一的用户管理、透明的支持移动性和多穴性的业务平台,获得了新的业务收入;而且通过使用通讯网络已有的认证体系,节省了网络和终端的资源,减少了投资,保证了移动设备和网络的合理开销。同时,应用提供商无需进行用户管理、支持移动性和多穴性的投资建设,节省了资本支出,从而达成了应用提供商、网络运营商双赢的局面。
附图说明
图1a为现有TCP/IP网络层次的结构示意图;
图1b为HIP网络层次的结构示意图;
图2为本发明基于HIP的分布式电信业务平台的注册和认证系统的组成示意图;
图3为本发明基于HIP的分布式电信业务平台的注册和认证方法的流程图;
图4为本发明基于HIP的分布式电信业务平台的注册和认证方法的实施例的流程图。
具体实施方式
图2为本发明基于HIP的分布式电信业务平台的注册和认证系统的组成示意图,包括用户设备,以及包括一个或一个以上HIP节点的叠加网;如图2所示,叠加网电信业务平台由一些对等节点,如图2中的HIP节点构成,每个HIP节点都包括HIP接入模块,位置服务存储(LSS,Location Service Storage)模块,用户认证数据存储模块和用户认证模块,其中,
HIP接入模块,用于用户设备(UE,User Equipment)接入叠加网,HIP接入模块中存储有用户标识和用户设备IP地址的关联信息。
LSS模块,用于实现UE在叠加网的用户数据归属和认证,其中存储有用户标识和HIP接入模块的关联信息。
用户认证数据存储模块,用于存储用户的认证和鉴权数据,实现UE在叠加网的用户数据归属和认证数据的储存。
用户认证模块,用于对用户进行认证和授权。用户与网络的双向认证采用现有在3GPP接入鉴权过程中使用的3GPP AKA等认证方式。
在分布式叠加网的架构中,叠加网可以根据叠加网的设置的路由规则找到UE的用户数据归属和认证模块所在的HIP节点。而每个HIP节点根据叠加网的设置的组成规则和路由规则,负责一部分的用户认证数据存储和认证以及用户位置存储的功能。需要说明的是,根据叠加网的组成规则和路由规则,HIP接入模块和用户认证数据存储模块也可以分别在单独的叠加网HIP节点上部署。关于叠加网设置的组成规则和路由规则属于本领域技术人员公知技术,其具体实现无本发明无关,这里不再详述。比如,图2中,假设叠加网的设置的组成规则和路由规则,位于叠加网左侧的HIP节点为UE的HIP接入节点,UE通过该HIP节点接入;而位于叠加网右侧的HIP节点为当前UE的用户数据归属及认证节点等等。
当UE或HIP节点需要重新建立IPSec安全联盟时,用户设备或所述HIP接入模块还用于,通过发送HIP的UPDATE包来实现IPSec安全联盟的重新建立。
上述用户设备具体用于,向HIP接入模块发送HIP的I1包;接收来自HIP接入模块的认证挑战消息,根据与网络的共享鉴权密钥,以及接收到的用于UE认证网络的信息认证网络;根据与网络的共享鉴权密钥和认证挑战信息,生成对认证挑战的应答并在携带在HIP的I2包中发送给HIP接入模块;
上述HIP接入模块具体用于,接收来自用户设备的HIP的I1包并向用户认证模块发送认证请求;接收到来自用户认证模块的认证挑战消息,向所述用户设备发送HIP的R1包;将接收到的来自用户设备的认证挑战应答信息携带在挑战应答消息中发送给用户认证模块;根据获得的认证结果,在认证结果显示为认证通过时,HIP接入模块存储用户设备的ID与UE的当前IP地址的关联信息;向所述用户设备发送HIP的R2包,携带有用户设备的注册结果;
上述用户认证模块具体用于,接收来自HIP接入模块的认证请求,根据所述LSS模块中存储的所述用户设备的共享鉴权密钥,生成认证挑战信息和用于该用户设备认证网络的信息,并携带在认证挑战消息中返回给HIP接入模块;接收来自HIP接入模块的挑战应答消息,根据获得的认证挑战应答信息对用户设备进行认证,并在认证通过时,将用户设备的ID和HIP接入模块的关联信息存储在所述LSS模块中;将认证结果发送给HIP接入模块。
所述用户认证模块还用于,生成完整性密钥IK和加密密钥CK,并将生成的完整性密钥IK、加密密钥CK所需的参数发送给所述用户设备;
所述用户设备还用于,根据接收到的参数和共享鉴权密钥,生成相同的用于用户设备与HIP接入模块之间的完整性保护和建立IPSec安全联盟的完整性密钥IK和加密密钥CK。
图3为本发明基于HIP的分布式电信业务平台的注册和认证方法的流程图,如图3所示,包括:
步骤300:用户设备通过HIP节点接入基于HIP的分布式电信业务平台,并采用电信网络中的认证方式对用户设备进行认证。
本步骤大致包括:用户设备向HIP节点(此时的HIP节点为该用户设备的HIP接入节点)发送HIP的I1包,在H1包中携带有用户设备的用户标识ID、HIP接入节点标识HI、表明使用3GPP AKA的认证方式的信息;HIP节点(此时的HIP节点为用户设备的用户数据归属及认证节点)根据自身存储的该用户设备的共享鉴权密钥,生成认证挑战信息和用于该用户设备认证网络的信息,并携带在HIP的R1包中返回给用户设备;用户设备根据与网络的共享鉴权密钥,以及接收到的用于用户设备认证网络的信息认证网络;并根据与网络的共享鉴权密钥和接收到的认证挑战信息,生成认证挑战应答信息,并携带在HIP的I2包中发送给HIP节点;HIP节点根据获得的认证挑战应答信息对UE进行认证,并向UE发送携带有UE的认证结果的HIP的R2包。
在所述HIP节点生成认证挑战信息和用于UE认证网络的信息时,还进一步生成完整性密钥IK和加密密钥CK,并将生成的完整性密钥IK、加密密钥CK所需的参数发送给所述用户设备,此时,所述用户设备还进一步根据接收到的参数和共享鉴权密钥,生成相同的用于UE与HIP节点之间的完整性保护和建立IPSec安全联盟的完整性密钥IK和加密密钥CK。
本步骤的具体实现在图4中将进行详细描述。
步骤301:用户设备通过认证后,将用户设备的用户标识与HIP节点的关联信息,以及用户设备的用户标识与用户设备的当前IP地址的关联信息保存在HIP节点中。
进一步地,当用户设备或HIP节点想重新建立IPSec安全联盟时,本发明方法还包括:用户设备或HIP节点通过发送HIP的UPDATE包来实现,在UPDATE包中携带有相应的建立安全联盟的参数。
进一步地,用户设备和网络可以通过发送HIP的UPDATE包表明需要进行对用户设备的重新认证。
图4为本发明基于HIP的分布式电信业务平台的注册和认证方法的实施例的流程图,假设用户与网络的双向认证使用3GPP AKA方式,本实施例中HIP接入节点,和用户数据归属及认证节点为两个独立的HIP节点,如图4所示,包括以下步骤:
步骤400:UE向HIP接入节点发送HIP的I1包,在H1包中携带有UE的ID、HI、表明使用3GPP AKA的认证方式等信息。
本步骤中,UE可以根据自身预先存储的叠加网HIP接入节点信息,或者使用其它方式,比如查询引导服务器得到的HIP接入节点信息,并向HIP接入节点信息指示的HIP接入节点发送HIP的I1包。
步骤401:HIP接入节点向UE的用户数据归属及认证节点发送认证请求,在认证请求中携带有UE的ID。这里,认证请求的路由通过叠加网设置的路由规则确定。
步骤402:UE的用户数据归属及认证节点根据LSS模块中存储的UE的共享鉴权密钥,生成认证挑战信息和用于UE认证网络的信息,并携带在认证挑战消息中发送给HIP接入节点。
步骤403:UE的HIP接入节点向UE发送HIP的R1包,在R1包中携带有认证挑战信息和用于UE认证网络的信息。
步骤404:UE根据与网络的共享鉴权密钥,以及接收到的用于UE认证网络的信息认证网络;然后,UE根据与网络的共享鉴权密钥和认证挑战信息,生成对认证挑战的应答并在HIP的I2包中将认证挑战应答信息发送给HIP接入节点。
步骤405:HIP接入节点将接收到的认证挑战应答信息携带在挑战应答消息中发送给UE的用户数据归属和认证节点。
步骤406:用UE的用户数据归属和认证节点根据获得的认证挑战应答信息对UE进行认证。如认证通过,将UE的ID和HIP接入节点的关联信息存储在LSS模块中。
步骤407:UE的用户数据归属和认证节点将认证结果发送给HIP接入节点。
步骤408:HIP接入节点根据获得的认证结果,在认证结果显示为认证通过时,HIP接入节点存储UE的ID与UE的当前IP地址的关联信息。
步骤409:HIP接入节点向UE发送HIP的R2包,携带有UE的注册结果。
进一步地,根据网络和UE的共享鉴权密钥,在步骤402中,UE的用户认证模块还可以进一步生成完整性密钥IK和加密密钥CK,并将生成的完整性密钥IK、加密密钥CK所需的参数发送给HIP接入节点;这样,在步骤403中,HIP接入节点进一步保存完整性密钥IK和加密密钥CK,并将生成的完整性密钥IK和加密密钥CK所需的参数发送给UE;在步骤404中,UE则进一步根据接收到的参数和共享鉴权密钥生成相同的完整性密钥IK和加密密钥CK,该完整性密钥IK和加密密钥CK可用于UE与HIP接入节点之间的完整性保护和建立IPSec安全联盟。
进一步地,当UE或HIP接入节点想重新建立IPSec安全联盟时,UE或HIP接入模块可通过发送HIP的UPDATE包来实现,在UPDATE包中携带有相应的建立安全联盟的参数。
进一步地,UE和网络可以通过发送HIP的UPDATE包表明,进行步骤401~步骤409的重新认证。
进一步地,在步骤408中,UE的ID和UE的当前IP地址的关联信息,也可以在步骤406中通过用户认证模块存储在LSS模块中,此时,HIP的接入模块在步骤408中,可以不存储UE的ID和UE的当前IP地址的关联信息。
进一步地,LSS模块中的数据或用户认证数据,还可以采用集中式的方式进行存储,比如存储在引导服务器中,通过预先配置或访问引导服务器来进行访问。
以上所述,仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围,凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明的保护范围之内。
Claims (13)
1.一种基于HIP的注册和认证方法,其特征在于,包括:
用户设备通过主机标识协议HIP节点接入基于HIP的分布式电信业务平台,并采用电信网络中的认证方式对用户设备进行认证;
用户设备通过认证后,将用户设备的用户标识与HIP节点的关联信息,以及用户设备的用户标识与用户设备的当前IP地址的关联信息保存在HIP节点中。
2.根据权利要求1所述的注册和认证方法,其特征在于,当所述用户设备或HIP节点需要重新建立IPSec安全联盟时,该方法还包括:所述用户设备或所述HIP节点通过发送HIP的UPDATE包来实现,在该UPDATE包中携带有相应的建立安全联盟的参数。
3.根据权利要求1所述的注册和认证方法,其特征在于,该方法还包括:所述用户设备和所述HIP节点所在的网络间,通过发送HIP的UPDATE包表明需要进行对用户设备的重新认证。
4.根据权利要求1~3任一项所述的注册和认证方法,其特征在于,所述HIP节点包括HIP接入节点和所述用户设备的用户数据归属及认证节点。
5.根据权利要求4任一项所述的注册和认证方法,其特征在于,所述认证的方法为:所述用户设备与HIP接入节点间通过利用HIP的I1包、R1包、I2包及R2包实现所述用户设备的接入的认证。
6.根据权利要求5所述的注册和认证方法,其特征在于,
所述用户设备向HIP接入节点发送HIP的I1包,在H1包中携带有用户设备的用户标识ID、HIP接入节点标识HI、表明使用3GPP AKA的认证方式的信息;
所述HIP接入节点向用户设备的用户数据归属及认证节点发送认证请求,所述用户设备的用户数据归属及认证节点根据自身存储的该用户设备的共享鉴权密钥,生成认证挑战信息和用于该用户设备认证网络的信息,并经由所述HIP接入节点携带在HIP的R1包中返回给用户设备;
所述用户设备根据与网络的共享鉴权密钥,以及接收到的用于用户设备认证网络的信息认证网络;并根据与网络的共享鉴权密钥和接收到的认证挑战信息,生成认证挑战应答信息,并携带在HIP的I2包中发送给HIP接入节点;
所述HIP接入节点将接收到的认证挑战应答信息携带在挑战应答消息中发送给用户设备的用户数据归属和认证节点;
所述用户设备的用户数据归属和认证节点根据获得的认证挑战应答信息对UE进行认证,并经由所述HIP接入节点向UE发送携带有UE的认证结果的HIP的R2包。
7.根据权利要求6所述的注册和认证方法,其特征在于,所述将用户设备的用户标识与HIP节点的关联信息,以及用户设备的用户标识与用户设备的当前IP地址的关联信息保存在HIP节点中包括:
所述用户设备的用户数据归属和认证节点利用获得的认证挑战应答信息对用户设备进行认证并通过后,将所述用户设备的用户标识与HIP接入节点的关联信息存储在所述用户设备的用户数据归属和认证节点的位置服务存储LSS模块中;
所述HIP接入节点接收到显示认证通过的认证结果后,存储所述用户设备的用户标识与用户设备的当前IP地址的关联信息。
8.根据权利要求7所述的注册和认证方法,其特征在于,
在所述用户设备的用户数据归属和认证节点生成认证挑战信息和用于用户设备认证网络的信息时,还进一步生成完整性密钥IK和加密密钥CK,并将生成的完整性密钥IK、加密密钥CK所需的参数经由所述HIP接入节点发送给所述用户设备;
所述用户设备还进一步根据接收到的参数和共享鉴权密钥,生成相同的用于UE与HIP接入节点之间的完整性保护和建立IPSec安全联盟的完整性密钥IK和加密密钥CK。
9.一种基于HIP的注册和认证系统,其特征在于,包括用户设备,以及包括的一个或一个以上HIP节点的叠加网;每个HIP节点均包括HIP接入模块,位置服务存储LSS模块,用户认证数据存储模块和用户认证模块,其中,
HIP接入模块,其中存储有用户标识和用户设备IP地址的关联信息,用于用户设备接入叠加网;
LSS模块,其中存储有用户标识和HIP接入模块的关联信息,用于实现用户设备在叠加网的用户数据归属和认证;
用户认证数据存储模块,用于存储用户的认证和鉴权数据,实现UE在叠加网的用户数据归属和认证数据的储存;
用户认证模块,用于对用户进行认证和授权。
10.根据权利要求9所述的注册和认证系统,其特征在于,当所述用户设备或HIP节点需要重新建立IPSec安全联盟时,所述用户设备或所述HIP模块还用于,通过发送HIP的UPDATE包来实现IPSec安全联盟的重新建立。
11.根据权利要求9所述的注册和认证系统,其特征在于,
所述用户设备具体用于,向HIP接入模块发送HIP的I1包;接收来自HIP接入模块的认证挑战消息,根据与网络的共享鉴权密钥,以及接收到的用于UE认证网络的信息认证网络;根据与网络的共享鉴权密钥和认证挑战信息,生成对认证挑战的应答并在携带在HIP的I2包中发送给HIP接入模块;
所述HIP接入模块具体用于,接收来自用户设备的HIP的I1包并向用户认证模块发送认证请求;接收到来自用户认证模块的认证挑战消息,向所述用户设备发送HIP的R1包;将接收到的来自用户设备的认证挑战应答信息携带在挑战应答消息中发送给用户认证模块;根据获得的认证结果,在认证结果显示为认证通过时,HIP接入模块存储用户设备的ID与UE的当前IP地址的关联信息;向所述用户设备发送HIP的R2包,携带有用户设备的注册结果;
所述用户认证模块具体用于,接收来自HIP接入模块的认证请求,根据所述LSS模块中存储的所述用户设备的共享鉴权密钥,生成认证挑战信息和用于该用户设备认证网络的信息,并携带在认证挑战消息中返回给HIP接入模块;接收来自HIP接入模块的挑战应答消息,根据获得的认证挑战应答信息对用户设备进行认证,并在认证通过时,将用户设备的ID和HIP接入模块的关联信息存储在所述LSS模块中;将认证结果发送给HIP接入模块。
12.根据权利要求11所述的注册和认证系统,其特征在于,
所述用户认证模块还用于,生成完整性密钥IK和加密密钥CK,并将生成的完整性密钥IK、加密密钥CK所需的参数发送给所述用户设备;
所述用户设备还用于,根据接收到的参数和共享鉴权密钥,生成相同的用于用户设备与HIP接入模块之间的完整性保护和建立IPSec安全联盟的完整性密钥IK和加密密钥CK。
13.根据权利要求9~12任一项所述的注册和认证系统,其特征在于,所述HIP节点包括HIP接入节点和所述用户设备的用户数据归属及认证节点。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201010034014.7A CN102123391B (zh) | 2010-01-08 | 2010-01-08 | 一种基于hip的注册和认证方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201010034014.7A CN102123391B (zh) | 2010-01-08 | 2010-01-08 | 一种基于hip的注册和认证方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102123391A true CN102123391A (zh) | 2011-07-13 |
| CN102123391B CN102123391B (zh) | 2015-01-28 |
Family
ID=44251805
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201010034014.7A Active CN102123391B (zh) | 2010-01-08 | 2010-01-08 | 一种基于hip的注册和认证方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102123391B (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102256252A (zh) * | 2011-07-14 | 2011-11-23 | 南京邮电大学 | 移动互联网中接入认证的安全模型实现方法 |
| CN110419205A (zh) * | 2017-01-30 | 2019-11-05 | 瑞典爱立信有限公司 | 针对用户平面数据的完整性保护的方法 |
| US11659382B2 (en) | 2017-03-17 | 2023-05-23 | Telefonaktiebolaget Lm Ericsson (Publ) | Security solution for switching on and off security for up data between UE and RAN in 5G |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101459666B (zh) * | 2008-05-22 | 2012-01-11 | 中兴通讯股份有限公司 | 在异构网络中实现用户路由的方法 |
| CN101621785B (zh) * | 2008-07-04 | 2013-03-27 | 华为技术有限公司 | 移动节点的注册、通信、切换方法及装置 |
| CN101369924B (zh) * | 2008-09-26 | 2011-02-02 | 清华大学 | 一种应用于移动ip网络的移动管理方法 |
-
2010
- 2010-01-08 CN CN201010034014.7A patent/CN102123391B/zh active Active
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102256252A (zh) * | 2011-07-14 | 2011-11-23 | 南京邮电大学 | 移动互联网中接入认证的安全模型实现方法 |
| CN110419205A (zh) * | 2017-01-30 | 2019-11-05 | 瑞典爱立信有限公司 | 针对用户平面数据的完整性保护的方法 |
| US11558745B2 (en) | 2017-01-30 | 2023-01-17 | Telefonaktiebolaget Lm Ericsson (Publ) | Methods for integrity protection of user plane data |
| US11659382B2 (en) | 2017-03-17 | 2023-05-23 | Telefonaktiebolaget Lm Ericsson (Publ) | Security solution for switching on and off security for up data between UE and RAN in 5G |
| US11985496B2 (en) | 2017-03-17 | 2024-05-14 | Telefonaktiebolaget Lm Ericsson (Publ) | Security solution for switching on and off security for up data between UE and RAN in 5G |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102123391B (zh) | 2015-01-28 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| RU2719447C1 (ru) | Способ конфигурирования ключа, способ определения политики безопасности и устройство | |
| US9253215B2 (en) | Control plane to manage domain-based security and mobility in an information centric network | |
| CN102448064B (zh) | 通过非3gpp接入网的接入 | |
| EP4024785A1 (en) | Computing power routing method and apparatus | |
| JP4802263B2 (ja) | 暗号化通信システム及びゲートウェイ装置 | |
| CN1835436B (zh) | 一种通用鉴权网络及一种实现鉴权的方法 | |
| US20040179502A1 (en) | Provision of security services for an ad-hoc network | |
| US20070183382A1 (en) | Auto-discovery of a non-advertised public network address | |
| US20090199001A1 (en) | Access to services in a telecommunications network | |
| US20140051391A1 (en) | Wireless roaming and authentication | |
| CN101350759B (zh) | 一种报文处理方法、业务板、接口板及网络通信设备 | |
| KR20160122992A (ko) | 정책 기반으로 네트워크 간에 연결성을 제공하기 위한 네트워크 통합 관리 방법 및 장치 | |
| CN109831548B (zh) | 虚拟内容分发网络vCDN节点建立方法及服务器 | |
| CN105430059A (zh) | 智能客户端路由 | |
| CN104641668A (zh) | 基于网络的按需无线漫游 | |
| WO2009065347A1 (fr) | Procédé, système et appareil de communication de sécurité pour une station de base domestique | |
| CN104662839B (zh) | 多个域的链接标识 | |
| JP2004241976A (ja) | 移動通信ネットワークシステムおよび移動端末認証方法 | |
| CN103716213A (zh) | 在固定接入网中和在用户设备中运行的方法 | |
| CN107835204A (zh) | 配置文件策略规则的安全控制 | |
| US20130191906A1 (en) | Apparatus and method for supporting portable mobile virtual private network service | |
| CA2792599A1 (en) | Method and system for transferring mobile device contact information | |
| CN102123391B (zh) | 一种基于hip的注册和认证方法及系统 | |
| CN102065421B (zh) | 一种更新密钥的方法、装置和系统 | |
| CN103401751B (zh) | 因特网安全协议隧道建立方法和装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |