CN103327022A - 用于pana的独立于媒体的预认证支持的框架 - Google Patents
用于pana的独立于媒体的预认证支持的框架 Download PDFInfo
- Publication number
- CN103327022A CN103327022A CN2013102559701A CN201310255970A CN103327022A CN 103327022 A CN103327022 A CN 103327022A CN 2013102559701 A CN2013102559701 A CN 2013102559701A CN 201310255970 A CN201310255970 A CN 201310255970A CN 103327022 A CN103327022 A CN 103327022A
- Authority
- CN
- China
- Prior art keywords
- authentication
- pana
- paa
- network
- mobile node
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- XQVWYOYUZDUNRW-UHFFFAOYSA-N N-Phenyl-1-naphthylamine Chemical compound C=1C=CC2=CC=CC=C2C=1NC1=CC=CC=C1 XQVWYOYUZDUNRW-UHFFFAOYSA-N 0.000 title claims abstract 6
- 238000000034 method Methods 0.000 claims abstract description 84
- 230000006854 communication Effects 0.000 claims abstract description 22
- 238000004891 communication Methods 0.000 claims abstract description 21
- 230000008569 process Effects 0.000 claims description 31
- 238000002360 preparation method Methods 0.000 claims description 24
- 238000013475 authorization Methods 0.000 claims description 15
- 230000008859 change Effects 0.000 claims description 9
- 230000000977 initiatory effect Effects 0.000 abstract description 9
- 238000007726 management method Methods 0.000 description 14
- 230000005540 biological transmission Effects 0.000 description 12
- 230000006870 function Effects 0.000 description 9
- 230000001413 cellular effect Effects 0.000 description 8
- 230000000875 corresponding effect Effects 0.000 description 7
- 230000007246 mechanism Effects 0.000 description 7
- 238000003780 insertion Methods 0.000 description 6
- 230000037431 insertion Effects 0.000 description 6
- 238000012546 transfer Methods 0.000 description 6
- 230000011664 signaling Effects 0.000 description 5
- 230000008901 benefit Effects 0.000 description 4
- 239000003795 chemical substances by application Substances 0.000 description 4
- 238000010586 diagram Methods 0.000 description 4
- 238000005516 engineering process Methods 0.000 description 4
- 238000012217 deletion Methods 0.000 description 3
- 230000037430 deletion Effects 0.000 description 3
- 238000005457 optimization Methods 0.000 description 3
- 238000013500 data storage Methods 0.000 description 2
- 238000013461 design Methods 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 238000001914 filtration Methods 0.000 description 2
- 238000005304 joining Methods 0.000 description 2
- GOLXNESZZPUPJE-UHFFFAOYSA-N spiromesifen Chemical compound CC1=CC(C)=CC(C)=C1C(C(O1)=O)=C(OC(=O)CC(C)(C)C)C11CCCC1 GOLXNESZZPUPJE-UHFFFAOYSA-N 0.000 description 2
- 238000012795 verification Methods 0.000 description 2
- 230000000712 assembly Effects 0.000 description 1
- 238000000429 assembly Methods 0.000 description 1
- 230000006399 behavior Effects 0.000 description 1
- 230000002457 bidirectional effect Effects 0.000 description 1
- 230000002596 correlated effect Effects 0.000 description 1
- 230000002950 deficient Effects 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 230000002045 lasting effect Effects 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 239000003550 marker Substances 0.000 description 1
- 239000000463 material Substances 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
- 230000008450 motivation Effects 0.000 description 1
- 230000006855 networking Effects 0.000 description 1
- 238000012913 prioritisation Methods 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 230000001902 propagating effect Effects 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
- H04L63/205—Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/062—Pre-authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W36/00—Hand-off or reselection arrangements
- H04W36/0005—Control or signalling for completing the hand-off
- H04W36/0011—Control or signalling for completing the hand-off for data sessions of end-to-end connection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W80/00—Wireless network protocols or protocol adaptations to wireless operation
- H04W80/04—Network layer protocols, e.g. mobile IP [Internet Protocol]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
- Small-Scale Networks (AREA)
Abstract
本发明公开了一种用于PANA的独立于媒体的预认证支持的框架。根据一些优选的实施例,一种用于主动地在正访问网络中的移动节点与所述移动节点可以移动到的另一个网络中的认证代理之间建立安全联结的方法包括:利用消息头中的标记来协商预认证,该标记指示该通信是否是用于建立预认证安全联结的;以及所述移动节点和所述认证代理中的一方通过传输其消息头中该标记被置位的消息来发起预认证,并且所述移动节点和所述认证代理中的另一方仅在其支持预认证的情况下才用其消息头中该标志被置位的消息来进行响应。
Description
本申请是申请号200680000405.9、申请日2006年6月13日、名称为“用于PANA的独立于媒体的预认证支持的框架”的分案申请。
技术领域
本申请尤其涉及用于预认证的方法,其中预认证包括例如支持PANA(携带网络接入认证协议)等的预认证。
背景技术
网络和因特网协议:
存在着多种计算机网络,其中因特网最声名远扬。因特网是计算机网络的全球性网络。目前,因特网是对于数百万用户可用的公共的且自维持的网络。因特网使用一组称为TCP/IP(即,传输控制协议/因特网协议)的通信协议来连接主机。因特网具有称为因特网主干的通信基础设施。对因特网主干的接入主要是由因特网服务供应商(ISP)控制的,因特网服务供应商将接入权转售给公司和个人。
关于IP(因特网协议),这是一种通过其可以将数据在网络上从一个设备(例如,电话、PDA(个人数字助理)、计算机等)发送到另一个设备的协议。目前存在各种版本的IP,例如IPv4、IPv6等。网络上的每个主机设备具有至少一个IP地址,这是其自身的唯一的标识符。IP是一种无连接协议。通信期间端点之间的连接不是连续的。当用户发送或者接收数据或消息时,数据和消息被分成称为分组的分量中。每个分组被视为独立的数据单元。
为了标准化因特网或类似网络上的点与点之间的传输,建立了OSI(开放系统互连)模型。OSI模型将网络中的两点之间的通信过程分为堆叠的七层,其中每层增加其自身的一组功能。每个设备处理消息,从而在发送端点处存在通过每层的向下的流,而在接收端点处存在通过这些层的向上的流。提供七层功能的编程和/或硬件通常是设备操作系统、应用软件、TCP/IP和/或其他传送和网络协议、以及其他软件和硬件的组合。
通常,当消息传自用户或者传给用户时,使用上四层,而当消息传递通过设备(例如,IP主机设备)时,使用下三层。IP主机是网络上能够传输和接收IP分组的任何设备,诸如服务器、路由器或工作站。指向某个其他主机的消息不向上传给高层,而是转发给该其他主机。下面列出了OSI模型的各个层。层7(即,应用层)是这样的层,在其上例如识别通信合作方、识别服务质量、考虑用户认证和隐私、识别关于数据语法的限制等。层6(即,表示层)是这样的层,例如将输入和输出数据从一个表示格式转换为另一种格式等。层5(即,会话层)是这样的层,例如设立、协调以及终止应用之间的会话、交换和对话等。层4(即,传送层)是这样的层,例如管理端到端控制和错误检验等。层3(即,网络层)是这样的层,例如处理路由和转发等。层2(即,数据链路层)是这样的层,例如提供用于物理级的同步,进行比特填充以及提供传送协议知识和管理等。电气和电子工程师协会(IEEE)将数据链路层细分为两个进一步的子层,即控制到物理层的数据传送和来自物理层的数据传送的MAC(媒体访问控制)层、以及与网络层接口连接并且解释命令和执行错误恢复的LLC(逻辑链路控制)层。层1(即,物理层)是这样的层,例如在物理级通过网络传输比特流。IEEE将物理层细分为PLCP(物理层汇聚过程)子层和PMD(物理媒体相关)子层。
无线网络:
无线网络可以结合各种类型的移动设备,诸如蜂窝和无线电话、PC(个人计算机)、膝上型计算机、可穿戴计算机、无绳电话、寻呼机、耳机、打印机、PDA等。例如,移动设备可以包括数字系统以保障语音和/或数据的快速无线传送的安全。典型的移动设备包括一些或所有的下述组件:收发器(即,传送器和接收器,包括例如具有集成的传送器、接收器以及如果需要还集成其他功能的单芯片收发器);天线;处理器;一个或多个音频转换器(例如,设备中的用于音频通信的扬声器或麦克风);电磁数据存储装置(例如在诸如提供数据处理的设备中的ROM、RAM、数字数据存储装置等);存储器;闪速存储器;全芯片组或集成电路;接口(诸如USB、COEC、UART、PCM等);以及/或者类似物。
可以利用无线LAN(WLAN)来进行无线通信,在无线LAN(WLAN)中移动用户可以通过无线连接而连接到局域网(LAN)。无线通信可以包括例如经由诸如光、红外、无线电、微波之类的电磁波传播的通信。存在各种WLAN标准,目前存在的诸如蓝牙、IEEE802.11和HomeRF。
作为示例,可以使用蓝牙产品来提供移动计算机、移动电话、便携式手持设备、个人数字助理(PDA)以及其他移动设备之间的链路和到因特网的连接。蓝牙是计算和电讯行业规范,其详述了移动设备怎样能够利用短程无线连接容易地进行彼此间的互连和与非移动设备之间的互连。蓝牙创建数字无线协议以解决由各种移动设备的激增所引起的终端用户的问题,其需要从一个设备到另一个设备保持数据同步和一致,从而允许来自不同厂家的设备无缝地一起工作。蓝牙设备可以根据常用命名原理来命名。例如,蓝牙设备可以拥有蓝牙设备名(BDN)或与唯一的蓝牙设备地址(BDA)相关联的名字。蓝牙设备还可以参与因特网协议(IP)网络。如果蓝牙设备工作在IP网络上,则可以向其提供IP地址和IP(网络)名。因此,配置为参与IP网络的蓝牙设备可以包含例如BDN、BDA、IP地址和IP名。术语“IP名”指相应于接口的IP地址的名字。
IEEE标准(即IEEE802.11)规定了用于无线LAN和设备的技术。利用802.11,可以利用每个都支持若干设备的单个基站来实现无线组网。在某些示例中,设备可以预配置无线硬件,或者用户可以安装诸如卡之类的独立的硬件部件,其可以包括天线。作为示例,无论该设备是否是接入点(AP)、移动站(STA)、桥、PCMCIA卡或另一设备,802.11中利用的设备通常包括三个显著的单元:无线收发器;天线;以及MAC(媒体接入控制)层,其控制网络中点与点之间的分组流。
另外,在某些无线网络中可以利用多接口设备(MID)。MID可以包含两个独立的网络接口,诸如蓝牙接口和802.11接口,因此允许该MID参与两个独立的网络,以及与蓝牙设备接口连接。MID可以具有IP地址和与该IP地址相关联的常用IP(网络)名。
无线网络设备可以包括但是不限于蓝牙设备、多接口设备(MID)、802.11x设备(IEEE802.11设备,包括例如802.11a、802.11b和802.11g设备),HomeRF(家庭射频)设备、Wi-Fi(无线保真)设备、GPRS(通用分组无线服务)设备、3G蜂窝设备、2.5G蜂窝设备、GSM(全球移动通信系统)设备、EDGE(增强型GSM演进数据)设备、TDMA类型(时分多路接入)设备、或包括CDMA2000的CDMA类型(码分多路接入)设备。每个网络设备可以包含不同类型的地址,包括但不限于IP地址、蓝牙设备地址、蓝牙常用名、蓝牙IP地址、蓝牙IP常用名、802.11IP地址、802.11IP常用名、或IEEE MAC地址。
无线网络还可以包括在例如移动IP(因特网协议)系统、PCS系统和其他移动网络系统中找到的方法和协议。关于移动IP,其包括由因特网工程任务组(IETF)创建的标准通信协议。利用移动IP,移动设备用户可以跨网络移动,同时维持其一次性分配的IP地址。参见请求注解(RFC)3344。注:RFC是因特网工程任务组(IETF)的正式文件。移动IP增强了因特网协议(IP),并且增加了当移动设备连接到其本地网络之外的时候将因特网业务量转发给移动设备的措施。移动IP给每个移动节点分配其本地网络上的本地地址和标识设备在网络及其子网中的当前位置的转交地址(CoA)。当设备向不同的网络移动时,其接收新的转交地址。本地网络上的移动性代理可以将每个本地地址与其转交地址相关联。移动节点可以利用例如因特网控制消息协议(ICMP)在其每次改变其转交地址时向本地代理发送绑定更新。
在基本的IP路由(例如,外部移动IP)中,路由机制依赖于以下假设:每个网络节点总是具有持续的连到例如因特网的联接点(attachmentpoint),并且每个节点的IP地址标识了其联接到的网络链路。在该文件中,术语“节点”包括连接点,其可以包括例如用于数据传输的再分配点或端点,并且其可以确认、处理以及/或者转发通信给其他节点。例如,因特网路由器可以查看例如IP地址前缀或用来标识设备的网络的类似标识。接着,在网络级,路由器可以查找例如标识特定子网的一组比特。接着,在子网级,路由器可以查看例如标识特定设备的一组比特。利用典型的移动IP通信,如果用户将移动设备从例如因特网断开,并且试图在新的子网重新连接该设备,则必须重新给该设备配置新的IP地址、正确的掩码和默认路由器。否则,路由协议将不能正确地递送分组。
图4描述了可以在某些说明性的且非限制性的实现中使用的某些说明性的体系结构上的组件,这些实现包括客户设备与之通信的无线接入点。在这点上,图4示出了说明性的有线网络20,其连接到一般地标为21的无线局域网(WLAN)。WLAN21包括接入点(AP)22和许多用户站23、24。例如,有线网络20可以包括因特网或公司数据处理网络。例如,接入点22可以是无线路由器,并且用户站23、24可以是例如便携式计算机、个人台式计算机、PDA、便携式基于IP的语音(voice-over-IP)电话和/或其他设备。接入点22具有链接到有线网络21的网络接口25,以及与用户站23、24通信的无线收发器。例如,无线收发器26可以包括天线27,其用无线或微波频率与用户站23、24通信。接入点22还具有处理器28、程序存储器29、以及随机存取存储器31。用户站23具有无线收发器35,其包括用于与接入点站22通信的天线36。以类似的方式,用户站24具有无线收发器38和用于与接入点22通信的天线39。
PANA:
出于参考目的,此处在本章节中包含进展中的来自P.Jayaraman的“PANA Framework”,Internet-Draft,draft-ietf-pana-framework-01.txt(2004年7月)的与PANA有关的信息。在这点上,PANA是链路层不可知网络接入认证协议,其运行在希望获得网络接入权的节点与网络侧的服务器之间。PANA定义了新的EAP〔参见B.Aboba等人的“ExtensibleAuthentication Protocol(EAP)”,RFC3748,2004年6月,Aboba,B.,Blunk,L.,Vollbrecht,J.,Carlson,J.和H.Levkowetz的ExtensibleAuthentication Protocol(EAP),2004年6月〕,其中较低层在协议端点之间使用IP。
在Yegin,A.和Y.Ohba的Protocol for Carrying Authentication forNetwork Access(PANA)Requirement,draft-ietf-pana-requirements-08(进展中)(2004年6月)中描述了定义这种协议的动机和要求。协议细节记录在Forsberg,D.,Ohba,Y.,Patil,B.,Tschofenig,H.和A.Yegin的Protocolfor Carrying Authentication for Network Access(Forsberg,D.,Ohba,Y.,Patil,B.,Tschofenig,H.和A.Yegin的Protocol for Carrying Authenticationfor Network Access(PANA),draft-ietf-pana-pana-04(进展中)(2004年5月))中。Parthasarathy,M.的PANA Enabling IPsec Based AccessControl,draft-ietf-pana-ipsec-03(进展中)(2004年5月)描述了在基于PANA的认证之后使用IPsec进行接入控制。IPsec可以用于对于每个分组(per-packet)的接入控制,但是其不是获得此功能的唯一方式。替代性的方式包括依靠物理安全和链路层加密。从强制执行接入控制的实体分出PANA服务器已经被设想为一种可选的部署选择。SNMP〔参见Mghazli,Y.,Ohba,Y.和J.Bournelle的SNMP Usage for PAA-2-EP Interface,draft-ietf-pana-snmp-00(进展中),2004年4月〕已被选择作为在单独节点之间携带相关信息的协议。
PANA设计提供对各种类型的部署的支持。接入网可以基于较低层安全的可用性、PANA实体的布置、客户IP配置的选项以及认证方法等而不同。
PANA可以用在任何接入网中而不管下层的安全。例如,网络可能是物理上安全的,或者借助于加密机制在成功的客户-网络认证之后是安全的。
PANA客户、PANA认证代理、认证服务器以及强制执行点(enforcement point)已经是本设计中的功能实体。PANA认证代理和强制执行点可以被放置在接入网中的各种单元(诸如接入点、接入路由器、专用主机)上。
IP地址配置机制也可以变化。静态配置、DHCP、无状态地址自动配置(stateless address autoconfiguration)是可以从中选择的可能机制。如果客户配置IPsec隧道来使能基于每个分组的安全,则在隧道内配置IP地址变成是相关的,对此还存在诸如IKE之类的其他选择。
PANA协议被设计为帮助接入网中对客户的认证和授权。PANA是EAP〔Aboba,B.,Blunk,L.,Vollbrecht,J.,Carlson,J.和H.Levkowetz的Extensible Authentication Protocol(EAP),2004年6月,参见Aboba,B.,Blunk,L.,Vollbrecht,J.,Carlson,J.和H.Levkowetz的ExtensibleAuthentication Protocol(EAP),RFC3748,2004年6月〕,其中较低层在接入网中的客户主机与代理之间携带封装在EAP中的EAP认证方法。尽管PANA使能两个实体之间的认证过程,但其仅是整个AAA和接入控制框架的一部分。使用PANA的AAA和接入控制框架包括四个功能实体,如下面所讨论的并且如在图1(A)至1(C)中示意性描述的那样。
第一功能实体是PANA客户(PaC),其是PANA协议的客户实现。该实体位于正请求网络接入的终端主机上。终端主机可以包括例如膝上型计算机、PAD、蜂窝式电话、台式PC和/或经由有线或无线接口连接到网络的其他类似设备。PaC负责请求网络接入并且参与利用PANA协议的认证过程中。
第二功能实体是PANA认证代理(PAA),其是PANA协议的服务器实现。PAA负责与PaC的接口连接,以便为网络接入服务对这些PaC进行认证和授权。PAA查阅认证服务器以便检验PaC的凭证和权限。如果认证服务器与PAA位于同一主机上,则应用程序接口(API)足以进行这种交互。当认证服务器与PAA是分离的时(其是公共接入网中更普遍的情况),使用一种协议以运行在这两者之间。LDAP〔参见Hodges,J.和R.Morgan的Lightweight Directory Access Protocol(v3):TechnicalSpecification,2002年9月,Hodges,J.和R.Morgan的LightweightDirectory Access Protocol(v3):Technical Specification,RFC3377,2002年9月〕以及AAA协议如RADIUS〔参见Rigney,C.,Willens,S.,Rubens,A.和W.Simpson的Remote Authentication Dial In User Service(RADIUS),2000年6月,Rigney,C.,Willens,S.,Rubens,A.和W.Simpson的Remote Authentication Dial In User Service(RADIUS),RFC2865,2000年6月〕和直径(Diameter)〔参见Calhoun,P.,Loughney,J.,Guttman,E.,Zorn,G.和J,Arkko的Diameter Base Protocol,2003年9月,Calhoun,P.,Loughney,J.,Guttman,E.,Zorn,G.和J,Arkko的Diameter BaseProtocol,RFC3588,2003年9月〕被普遍用于此目的。
PAA还负责基于认证状态的创建和删除来更新接入控制状态(即,过滤器)。PAA向网络中的强制执行点(EP)传递更新过的状态。如果PAA和EP位于同一主机上,则API足以进行此通信。否则,使用一种协议将经认证的客户属性从PAA携带到EP。尽管未禁止其他协议,但当前已经建议将SNMP〔参见Mghazli,Y.,Ohba,Y.和J.Bournelle的SNMP Usagefor PAA-2-EP Interface,draft-ietf-pana-snmp-00(进展中),2004年4月〕用于此任务。
PAA位于局域网中的通常称为网络接入服务器(NAS)的节点上。PAA可以被托管于同一IP子网上的任何使能IP的节点上作为PaC。例如,在DSL网络中的BAS(宽带接入服务器)上,或者在3GPP2网络中的PDSN上。
第三功能实体是认证服务器(AS),其是负责验证正在请求网络接入服务的PaC的凭证的服务器实现。AS仅从作为PaC的代表的PAA接收请求,并且以验证结果以及授权参数(例如,允许的带宽、IP配置等)进行响应。AS可以被托管于与PAA相同的主机上、接入网上的专用主机上、或者因特网某处的中央服务器上。
第四功能实体是强制执行点(EP),其是负责允许接入经授权客户而禁止其他客户接入的接入控制实现。EP从PAA处了解到经授权客户的属性。EP使用非加密的或加密的过滤器来选择性地允许和丢弃数据分组。这些过滤器可以应用在链路层或IP层。当使用加密的接入控制时,需要在PaC与EP之间运行安全联结协议。在安全联结协议建立了必要的安全联结之后使用链路层或网络层保护(例如,TKIP、IPsec ESP)以使能完整性保护、数据来源认证、重演保护以及可选地使能机密性保护。EP应该在战略上位于局域网中,以最小化未授权客户接入网络。例如,EP可以被托管在直接连接到有线网络中的客户的交换机上。那样,EP可以在未授权分组到达任何其他客户主机或者超出局域网之前丢弃这些未授权分组。
取决于部署方案,某些实体可以共处在一处。例如,PAA和EP可以位于DSL网络中的同一节点(BAS)。在该情况下,在PAA与EP之间简单的API就足够了。在小企业的部署中,PAA和AS可以被托管在同一节点(例如,接入路由器)上,其消除了在两者之间运行协议的需求。对这些实体是否会共处以及其在网络拓扑中的精确位置的决策是部署决策。
仅在运行PANA之前缺乏任何较低层安全的情况下,才需要使用IKE或四次握手协议进行安全联结。物理上受到安全保护的网络(诸如DSL)或在PANA运行之前已经在链路层进行加密安全保护的网络(例如cdma2000)不需要额外的安全联结和对每个分组进行加密。这些网络可以将PANA认证和已经可用的较低层安全信道的认证绑定在一起。
接入网上的EP允许来自任何经授权PaC的常规数据业务,然而对于未经授权PaC,其仅允许有限类型的业务(例如,PANA、DHCP、路由发现)。这保证了新附加的客户具有最小的接入服务以便参与PANA并且获得非限制性服务的授权。
在运行PANA之前,PaC需要配置IP地址。在成功的PANA认证之后,取决于部署方案,PaC可能需要重新配置其IP地址或配置另外的IP地址。该另外的地址配置可以作为安全联结协议运行的一部分来执行。
初始未认证的PaC通过发现接入网上的PAA来开始PANA认证,接着在PANA上进行EPA交换。在该过程中,PAA与AS进行交互。一旦从AS接收到认证和授权结果,PAA就通知PaC关于其网络接入请求的结果。
如果PaC被授权获得对网络的接入权,则PAA还通过使用SNMP向EP发送对PaC特定的属性(例如,IP地址、密钥等)。EP使用该信息来改变其过滤器以允许来自该PaC的数据业务和到该PaC的数据业务通过。
在PANA认证之后需要使能加密接入控制的情况下,在PaC与EP之间运行安全联结协议。作为成功的PANA交换的结果,PaC应该已经具有对于该过程的输入参数。类似地,EP应该已经经由SNMP从PAA获得了所述输入参数。安全联结交换产生PaC与EP之间所需的安全联结,以使能加密数据业务保护。对每个分组进行加密数据业务保护引入了附加的针对每个分组的开销,但是该开销仅存在于PaC与EP之间,并且不会影响EP之外的通信。这样,重要的是将EP放置在尽可能靠近网络边缘的地方。
最后,数据业务可以从新授权的PaC开始流传送或者向该新授权的PaC开始流传送。
MPA框架:
独立于媒体的预认证(MPA)是移动端辅助的(mobile-assisted)、安全的交接(handover)优化方案,其在任何链路层上工作,并具备任何移动性管理协议。利用MPA,在移动节点附连到候选目标网络(这时,候选目标网络变成目标网络)之前,移动节点不仅能够安全地从候选目标网络获得IP地址和其他配置参数,而且能够利用所获得的IP地址和其他配置参数发送和接收IP分组。这使得在链路层上执行交接之前,移动节点能够完成任何移动管理协议的绑定更新,并且使用新的转交地址。
通过下述方式来提供该功能:允许移动节点(其具有到当前网络的连接,但是还没有附连到候选目标网络)(i)建立与候选目标网络的安全联结以保护随后的协议执行的安全,接着(ii)安全地执行配置协议以从候选目标网络获取IP地址和其他配置参数,以及执行隧道管理协议以在移动节点与候选目标网络的接入路由器之间建立双向隧道,接着(iii)发送和接收IP分组,其包括用于移动性管理协议的绑定更新的信令消息,以及包括在完成绑定更新之后利用所获得的IP地址作为隧道内部地址在隧道上传输的数据分组,以及最后(iv)在隧道附连到候选目标网络(这时,候选目标网络变成目标网络)之前,立即删除或禁用该隧道,以及接着在移动节点通过其物理接口附连到目标网络之后,立即将所删除的或禁用的隧道的内部地址重新分配给该物理接口。替代于在附连到目标网络之前删除或禁用隧道,可以在隧道附连到目标网络之后立即删除或禁用隧道。
特别地,第三过程使得移动节点能够在开始链路层交接之前完成较高层的交接。这意味着移动节点能够发送和接收在完成绑定更新之后在隧道上所传输的数据分组,同时其还能够发送和接收在完成绑定更新之后在隧道外所传输的数据分组。
在上面的MPA的四个基本过程中,第一过程被称为“预认证”,第二过程被称为“预配置”,第三和第四过程的组合被称为“安全的主动(proactive)交接”。通过预认证建立的安全联结被称为“MPA-SA”。通过预配置建立的隧道被称为“主动交接隧道”。
在MPA框架中,期望下述功能单元驻留于每个候选目标网络中以与移动节点进行通信:认证代理(AA)、配置代理(CA)和接入路由器(AR)。这些单元中的一些或者全部可以被放置在单个网络设备中,或者放置在单独的网络设备中。
认证代理负责预认证。在移动节点与认证代理之间执行认证协议以建立MPA-SA。认证协议必须能够得出移动节点与认证代理之间的密钥,应该能够提供互认证。认证协议应该能够与诸如RADIUS和Diameter之类的AAA协议交互,以将认证凭证携带给AAA基础设施中的合适的认证服务器。所得出的密钥用于进一步得出用于保护消息交换的密钥,该消息交换用于预认证和安全的主动交接。用于引导链路层和/或网络层加密的其他密钥还可以从MPA-SA得出。
配置代理负责预配置的一部分,即,安全地执行配置协议以安全地递送IP地址和其他配置参数给移动节点。必须使用从对应于MPA-SA的密钥得出的密钥来保护配置协议的信令消息。
接入路由器是负责预配置的其他部分的路由器,即,安全地执行隧道管理协议以建立到移动节点的主动交接隧道,并且利用该主动交接隧道保证主动交接的安全。必须使用从对应于MPA-SA的密钥得出的密钥来保护配置协议的信令消息。必须使用从对应于MPA-SA的密钥得出的密钥来保护在主动交接隧道上传输的IP分组。
在此处描述的优选实施例中的某些实施例中,系统和方法被描述为主动建立不同媒体的较高层和较低层上下文。此处,媒体包括例如可接入到移动设备(例如,有线、许可的无线、未许可的无线等等)的可用网络。参见,例如,包括I.E.E.E802.21在内的I.E.E.E802中讨论的媒体。媒体可以包括例如无线LAN(例如,I.E.E.E802.11)、I.E.E.E802.16、I.E.E.E802.20、蓝牙等等。某些说明性的例子包括:1)从蜂窝网络切换到无线或WIFI网络的移动设备,诸如具有蜂窝接口和无线接口的蜂窝式电话,其通过最初在蜂窝网络上获得信息(例如,密钥等)来试图获得WIFI接入,而不是同时建立无线接口;2)当移动设备当前具有无线或WIFI连接,且当无线LAN可能潜在地快速关闭等的情况下,在这种情况下,作为示例,移动设备可以主动地经由蜂窝网络进行预认证(即,以便在需要时使能快速切换)。在某些说明性的例子中,具有单个IEEE802.xx接口的移动节点可以在多个子网和多个管理域间漫游。尽管保持多个接口永远打开(always-on)是可选的,但移动节点在某些情况下可能期望停用不使用的接口(诸如,为了省电等)。另外,MPA还可以提供安全的且无缝的移动性优化,该优化用于子网间移交(handoff)、域间移交、技术间的移交等,以及提供对多个接口的利用。
背景参考
本发明还提供了针对下述参考中描述的系统和方法提供了各种优点和改进,在此通过参考引入各参考公开的全部内容。
1.〔I-D.ietf-pana-pana〕Forsberg,D.,Ohba,Y.,Patil,B.,Tschofenig,H.和A.Yegin的“Protocol for Carrying Authentication for Network Access(PANA)”,draft-ietf-pana-pana-08(进展中),2005年5月。
2.〔I-D.ohba-mobopts-mpa-framework〕A.Dutta,Y.Ohba,K.Taniuchi和H.Schulzrinne的“A Framework of Media-IndependentPre-Authentication(MPA)”,draft-ohba-mobopts-mpa-framework-00(进展中),2005年2月。
3.〔RFC2119〕Bradner,S.的“Key words for use in RFCs to IndicateRequirement Levels”,BCP14,RFC2119,1997年3月。
4.〔I-D.ietf-pana-mobopts〕Forsberg,D.的“PANA MobilityOptimizations”,draft-ietf-pana-mobopts-00(进展中),2005年1月。
5.〔I-D.bournelle-pana-ctp〕Bournelle,J.的“Use of Context TransferProtocol(CxTP)for PANA”,draft-bournelle-pana-ctp-03(进展中),2005年6月。
6.〔I-D.ietf-seamoby-ctp〕Loughney,J.的“Context TransferProtocol”,draft-ietf-seamoby-ctp-11(进展中),2004年8月。
发明内容
本发明对上述的和/或其他背景技术以及/或者其问题进行了改进。
根据一些优选的实施例,一种用于主动地在正访问网络中的移动节点与所述移动节点可以移动到的另一个网络中的认证代理之间建立安全联结的方法包括:利用消息头中的标记来协商预认证,该标记指示该通信是否是用于建立预认证安全联结的;以及所述移动节点和所述认证代理中的一方通过传输其消息头中该标记被置位的消息来发起预认证,并且所述移动节点和所述认证代理中的另一方仅在其支持预认证的情况下才用其消息头中该标志被置位的消息来进行响应。在一些例子中,该方法还包括利用链路层不可知网络接入认证协议在所述移动节点与另一个网络上的服务器上的所述认证代理之间执行所述预认证。在另一些例子中,该方法还包括跨多个管理域执行所述预认证。在另一些例子中,该方法还包括在独立于媒体的预认证框架中执行所述预认证。在另一些例子中,该方法还包括所述正访问网络是是用于第一媒体的,而所述另一个网络是用于不同媒体的,其中,或者所述第一媒体是蜂窝式而所述不同媒体是无线LAN,或者所述第一媒体是无线LAN而所述不同媒体是蜂窝式。在另一些例子中,该方法还包括使得所述移动节点和所述认证代理的另一方在其不支持预认证的情况下用错误消息进行响应。
在另一些例子中,该方法还包括使用PANA作为网络接入认证协议。在优选的实施例中,该方法包括使得所述标记包括PANA头中的P-标记。在一些例子中,该方法涉及使得所述移动节点传输其中P-标记被置位的PANA-PAA-Discover消息以发起预认证,或者使得所述认证代理传输其中P-标记被置位的PANA-Start-Request消息以发起预认证。
根据一些实施例,一种移动节点被配置为从正访问网络主动地建立与该移动节点可以移动到的另一个网络中的认证代理之间的安全联结,该移动节点包括:该移动节点被配置为利用消息头中的标记来协商预认证,该标记指示该通信是否是用于建立预认证安全联结的;以及该移动节点被配置为使得该移动节点和该认证代理中的一方通过传输其消息头中该标记被置位的消息来发起预认证,并且该移动节点和该认证代理中的另一方仅在其支持预认证的情况下才用其消息头中该标志被置位的消息来进行响应。
根据一些实施例,一种认证代理被配置为主动地建立与来自正访问网络的移动节点之间的安全联结,而该认证代理处在该移动节点可以移动到的另一个网络中,该认证代理包括:该认证代理被配置为利用消息头中的标记来协商预认证,该标记指示该通信是否是用于建立预认证安全联结的;以及该认证代理被配置为使得该移动节点和该认证代理中的一方通过传输其消息头中该标记被置位的消息来发起预认证,并且该移动节点和该认证代理中的另一方仅在其支持预认证的情况下才用其消息头中该标志被置位的消息来进行响应。
根据下述结合附图的描述,将进一步了解各个实施例的上述和/或其他方面、特征以及/或者优点。各种实施例在适用的情况下可以包括以及/或者排除不同的方面、特征和/或优点。另外,各种实施例在适用的情况下可以结合其他实施例的一个或多个方面或特征。不应该将对特定实施例的各个方面、特征和/或优点的描述解释为限制了其他实施例或权利要求。
附图说明
图1是根据某些说明性实施例的描述PaC发起的预认证呼叫流的示图;
图2是根据某些说明性实施例的描述PAA发起的预认证呼叫流的示图;
图3是根据某些说明性实施例的描述说明性的P-标记特征的示图;以及
图4是根据本发明的某些说明性实施例的示出说明性的接入点和说明性的客户设备或用户站的示例性子组件的体系结构图。
具体实施方式
在附图中示出的本发明的优选实施例是作为示例而非作为限制。
尽管本发明可以以多种不同的形式来实现,但是对于此处描述的许多说明性的实施例,应该理解将该公开考虑为提供本发明的原理的示例,并且这些例子并非旨在将本发明限制到此处描述的和/或此处说明的优选实施例。
在下面的讨论中,使用了以下术语。
接入网:一种网络,通过该网络PaC可以经由由一个或多个PAA控制的一个或多个EP接入到因特网。接入网可以包括多个IP链路。
本地PAA:一种PAA(PANA认证代理),其驻留于PaC(PANA客户)连接到的正访问网络中。术语“本地”与特定PaC的位置相关。
远程PAA:一种PAA,其驻留于除所述正访问网络之外的网络中。即,一种PAA,其对于PaC来说不是本地PAA。术语“远程”与特定PaC的位置相关。对于一个PaC是远程PAA的PAA可能是另一个PaC的本地PAA。
本地PaC:一种PaC,其驻留于与特定PAA相同的接入网中。
远程PaC:一种PaC,其对于特定PAA不是本地PaC。术语“远程”与特定PAA的位置相关。对于一个PAA是远程PaC的PaC可能是另一个PAA的本地PaC。
活动PAA:一种PAA,对于该PAA,PaC具有PANA会话。
预备PAA:一种远程PAA,其执行与PaC的预认证。用作一个PaC的预备PAA的PAA可以用作另一个PaC的活动PAA。
预认证:在PANA环境中,作为示例,其可以包括在PaC与预备PAA之间执行的认证。
预认证SA:在PANA环境中,作为示例,其是作为成功的预认证的结果而在PaC与预备PAA之间建立的PANA SA(安全联结)。
活动SA:在PANA环境中,作为示例,其是在PaC与活动PAA之间建立的PANA SA。
预授权:在PANA环境中,作为示例,其是作为成功的预认证的结果而由预备PAA为PaC进行的授权。
后授权:在PANA环境中,作为示例,其是由曾经充当预备PAA且已经成为活动PAA的PAA为PaC进行的授权。
1.优选的实施例:
优选的实施例定义了对用于主动地在处于正访问网络中的PaC与该PaC可以移动到的另一个网络中的PAA之间建立PANA SA(安全联结)的PANA协议的扩展〔I-D ietf-pana-pana〕。在优选的实施例中,该机制跨多个管理域上操作。另外,该机制优选地用作MPA(独立于媒体的预认证)的框架中的认证协议〔参见I-D.ohba-mobopts-mpa-framework〕。
1.(多个PANA会话)。支持预认证的PaC除了具有针对本地PAA之一的PANA会话之外还可以具有针对预备PAA的一个或多个PANA会话。
2.(预认证的发起)。PaC和PAA都可以发起预认证。
3.(预认证的协商)。在PANA头中定义了新的标记:P-标记。当执行预认证时,PANA消息包含新标记以指示该PANA运行是否是用于建立预认证SA的。在优选的实施例中,在PANA发现(discovery)和初始握手阶段按如下方式来协商预认证。
当PaC发起预认证时,其发送PANA-PAA-Discover消息,其中P-标记被置位。PAA仅在其支持预认证的时候才用P-标记被置位的PANA-Start-Request(PANA-开始-请求)消息进行响应。否则,其发送带有新结果编码“PANA_HDR_BIT_UNSUPPORTED”的PANA-Error消息。
当PAA发起预认证时,其发送PANA-Start-Request消息,其中P-标记被置位。PaC仅在其支持预认证的时候才用P-标记被置位的PANA-Start-Answer(PANA-开始-应答)消息进行响应。否则,其发送带有新结果编码“PANA_HDR_BIT_UNSUPPORTED”的PANA-Error消息。
一旦PaC和PAA已经在发现和握手阶段同意执行预认证,则随后在它们之间交换的PANA消息必须令P-标记置位。
4.(从预认证SA切换到活动SA)。当由于PaC的移动使得预备PAA变成活动PAA时,PaC利用PANA-Update(PANA-更新)交换来执行IP地址更新过程,以便更新从PAA所驻留的远程网络获得的PaC的新地址的PAA。完成该PANA-Update过程将把预认证SA改变为活动SA。在该PANA-Update消息和随后的PANA消息中,-标记不被置位。
5.(交接,其中改变活动PAA而不改变预备PAA)。当具有与活动PAA的活动SA并且具有与预备PAA的预认证SA的PaC改变其活动PAA而不改变其预备PAA时,PaC利用PANA-Update交换来执行IP地址更新过程,以便更新从新的活动PAA所驻留的远程网络获得的PaC的新地址的PAA。完成该PANA-Update过程不会将预认证SA改变到活动SA。在该PANA-Update消息和随后的PANA消息中,P-标记被置位。
6.(删除预认证SA)。可以通过进入PANA协议的终止阶段和执行该阶段所需过程来删除在PaC与预认证PAA之间的预认证SA和相应的PANA会话。
7.(发现远程PAA)。存在各种各样的方式来发现远程PAA,包括在IEEE802.21中定义的信息服务,本领域的普通技术人员可以实现这些方式。
8.(预备PAA的位置)。应该以与放置不支持预认证的PAA的同样方式来放置预备PAA。例如,可以将其放置在每个接入链路中或者接入链路之外向着网络中心的某处。
9.(授权)。用于PaC的预授权和后授权可以具有不同的授权策略。例如,预授权策略可能不允许PaC在预备PAA控制下通过EP来发送或接收分组,而预授权和后授权策略两者都可以允许向EP安装凭证,在EP中使用该凭证来建立对每个分组进行加密过滤的安全联结。
2.进一步讨论
PANA协议〔参见I-D.ietf-pana-pana〕在接入网中的PaC(PANA客户)与PAA(PANA认证代理)之间携带EAP消息。如果PaC是移动设备,并且能够在运行其应用时从一个接入网移动到另一个接入网,则希望PaC执行无缝交接而且在交接期间不会降低应用的性能。当交接需要PaC与新接入网中的PAA建立PANA会话时,应该尽可能快地完成用来建立PANA会话的信令。
存在一种优化方法,其基于上下文转移协议(CTP)〔参见I-D.ietf-seamoby-ctp〕以减少在交接时与新PAA建立PANA会话的信令延迟〔参见I-D.ietf-pana-mobopts〕〔参见I-D.bournelle-pana-ctp〕。
基于CTP的方法存在许多问题,包括下述缺陷。首先,其不太可能应用于跨多个管理域的交接,因为在不同管理域中的PAA之间具有安全联结是很难实现的。第二,即使在单个管理域中,当先前的接入网和新的接入网具有不同的授权特性(诸如,使用NAP和ISP单独的认证)时,基于CTP的方法也难以生效。第三,基于CTP的方法依赖于从先前的接入网中的PAA与PaC之间使用的AAA密钥得出新的接入网中的PAA与PaC之间使用的PANA_MAC_Key,该方法不提供PAA之间的足够的加密间隔。
为了解决关于基于CTP方法的问题,优选的实施例提供了对PANA协议的扩展〔参见I-D.ietf-pana-pana〕,其用于主动地执行EAP认证并且建立接入网中的PaC与该PaC可以移动到的另一个网络中的PAA之间的PANA SA。在优选的实施例中,该方法跨多个管理域操作。另外,该方法被优选用作在MPA(独立于媒体的预认证)的框架〔参见I-D.ohba-mobopts-mpa-framework〕中的认证协议。
尽管本方法可以适用在也可以由基于CTP的方法适用的情况中(即,在单个管理域中的同类授权特性),然而在某些实施例中,本方法不替代基于CTP的方法。相反,在某些优选实施例中,在基于CTP的方法不能适用的情况下使用本方法,从而对于基于CTP的方法适用的情况下可以使用基于CTP的方法。
预认证过程:
如上所指示的,支持预认证的PaC除了具有针对本地PAA之一的PANA会话之外还可以具有针对预备PAA的一个或多个PANA会话。同样如上面已经表述过的,可存在许多的用来发现远程PAA的方法,然而,远程PAA发现和远程PaC发现超出了本提议书的范围。另外,对于何时执行以及执行哪个远程PAA预认证可能存在许多准则。这些准则取决于环境,并且可以是对于实现特定的。
PaC和预备PAA都可以发起预认证。如上文讨论的,在优选的实施例中,在PANA头中定义了新标记P-标记。当执行预认证时,将PANA消息的P-标记置位,以便指示该PANA运行是否是用于建立预认证SA的。在优选的实施例中,以如下方式在PANA发现和握手阶段中协商预认证。
当PaC发起预认证时,其发送PANA-PAA-Discover消息,其中P-标记被置位。PANA-PAA-Discover消息必须是单播的。PAA仅在其支持预认证的时候才用P-标记被置位的PANA-Start-Request消息进行响应。否则,其必须默默地丢弃该消息。
当预备PAA发起预认证时,其发送PANA-Start-Request消息,其中P-标记被置位。PaC仅在其支持预认证的时候才用P-标记被置位的PANA-Start-Answer消息进行响应。否则,其必须默默地丢弃该消息。
一旦PaC和预备PAA已经在发现和握手阶段同意执行预认证,则随后在它们之间交换的PANA消息必须令P-标记置位。
当由于PaC的移动使得预备PAA变成活动PAA时,PaC利用PANA-Update交换来执行IP地址更新过程,以便用从PAA所驻留的远程网络获得的PaC的新地址来更新PAA。完成该PANA-Update过程将把预认证SA改变为活动SA。在该PANA-Update消息和随后的PANA消息中,P-标记不被置位。
当具有与活动PAA的活动SA并且具有与预备PAA的预认证SA的PaC改变其活动PAA而不改变其预备PAA时,PaC利用PANA-Update交换来执行IP地址更新过程,以便更新从新的活动PAA所驻留的远程网络获得的PaC的新地址的PAA。完成该PANA-Update过程不会将预认证SA改变到活动SA。在该PANA-Update消息和随后的PANA消息中,P-标记被置位。
可以通过进入PANA协议的终止阶段和执行该阶段所需的过程来删除在PaC与预认证PAA之间的预认证SA和相应的PANA会话。
作为参考,在图1中示出了说明性的而非限制性的用于PaC发起的预认证的示例性的呼叫流。在这点上,接入网中的PaC与本地PAA(l-PAA)建立PANA会话。在某点上,PaC接收对另一个接入网中的远程PAA(r-PAA)进行预认证的触发。接着,PaC通过发送P-比特被置位的PANA-PAA-Discover消息而发起预认证过程。在PaC与r-PAA之间交换PANA消息,其中对于所有的消息P-比特都被置位。一旦成功地完成用于预认证和预授权的PANA交换,就将在PaC与l-PAA之间建立预认证SA。另一方面,在PaC与l-PAA之间建立的活动SA保持为活动的。在建立了预认证SA之后的某点上,PaC移动到r-PAA的接入网。接着,PaC发起PANA-Update交换以向PAA通知IP地址的改变。在该PANA-Update交换中,P-比特未被置位。一旦成功地完成PANA-Update交换和后授权过程,预认证SA就变成活动SA。PaC与l-PAA之间的活动SA可以在一段时间内保持活动,以便处理PaC立即切换回到先前的接入网的情况。
作为参考,图2中示出了另一个用于PAA发起的预认证的示例性的呼叫流。在这点上,接入网中的PaC与本地PAA(l-PAA)建立PANA会话。在某点上,另一个接入网中的远程PAA(r-PAA)接收对PaC进行预认证的触发。接着,PAA发起预认证过程,例如传输P-标记被置位的PANA-Start-Request消息(PSR)。接着,PaC仅在其支持预认证的时候才用P-标记被置位的PANA-Start-Answer消息(PSA)进行响应。此后,如图2所示,呼叫流与以上参考图1描述的呼叫流类似。
PANA扩展:
如上文所讨论的,在优选的实施例中,在PANA头的标记字段中定义了新的P-标记。在这一点上,图3示出了P-标记的说明性的实施例。在优选的实施例中,当执行预认证时,PANA消息的P-标记被置位,以便指示该PANA运行是否是用于建立预认证SA的。该标记的用途可以是如上所述的。在优选的实现中,将通过因特网地址分配机构(IANA)分配该标记。因此,在优选的实施例中,PANA头的标记字段中的新标记将被分配(例如,通过IANA),诸如在所说明的例子中新标记是第3比特(P-标记)用于“P”reauthentication(预授权)。
授权和计费考虑:
在某些情况下,用于PaC的预授权和后授权可以具有不同的授权策略。例如,预授权策略可能不允许PaC在预备PAA控制下通过强制执行点(EP)来发送或接收分组,而预授权和后授权策略两者都可以允许向EP安装凭证,在EP中使用该凭证来建立对每个分组进行加密过滤的安全联结。取决于预授权策略,具有针对PaC的预认证SA的PAA可能在建立预认证SA之后立即开始计费,或者可能不开始计费直到预认证SA变成活动SA。
安全考虑:
在优选的实施例中,因为本文件中描述的机制是被设计为跨多个接入网工作的,因此每个EP(强制执行点)应该配置为仅在PaC具有与本地PAA的活动SA的情况下才允许在不同接入网中的预备PAA与PaC之间转发PANA消息,以便避免未授权的PaC发起预认证。当由远程PAA发起预认证时,PaC能够同时与多个正发起预认证的远程PAA进行通信。在优选的实施例中,为了避免可能的由盲目攻击者(blind attacker)通过改变源地址发起的对PaC的预认证所引起的对PaC的资源消耗攻击,PaC应该限制允许进行通信的PAA的最大数目。
本发明的广义范围:
尽管此处描述了本发明的说明性的实施例,但是本发明不限于此处描述的各种优选实施例,而是包括本领域的普通技术人员基于本公开可以理解的具有等价单元、修改、删减、组合(例如跨各种实施例的各方面的组合)、改编和/或变化的任何和所有的实施例。权利要求中的限制(例如,包括以后将加入的)应该基于权利要求中使用的语言进行广义的解释,而不是限于本说明书或在本申请的进行期间描述的例子,其中的例子应该理解为非排他性的。例如,在本公开中,术语“优选地”是非排他性的并且意味着“优选地,但是不限于”。在本公开中以及在本申请的进行期间,方法加功能或者步骤加功能的限制将仅被使用在针对特定权利要求限制的情况下,即所有的以下条件出现在该限制中:a)明确讲述了“方法用于”或“步骤用于”;b)明确讲述了相应的功能;以及c)没有讲述结构、支持该结构的材料或行为。在本公开中以及在本申请的进行期间,术语“本发明”或“发明”可以用作对本公开内的一个或多个方面的引用。语言“本发明”或“发明”不应该被不正确地解释为对关键程度的标识,不应该被不正确地解释为跨所有实施例或所有方面而应用(即,其应该理解为本发明具有许多方面和许多实施例),并且不应该被不正确地解释为限制本申请或权利要求书的范围。在本公开中以及在本申请的进行期间,术语“实施例”可以用来描述任何方面、特征、过程或步骤、它们的任何组合、和/或它们的任何部分等等。在某些例子中,各种实施例可以包括重叠的特征。在本公开中,可能使用了以下简写术语:“例如”表示“举例说明”,以及“注意”表示“还要注意”。
Claims (20)
1.一种用于主动地在正访问网络中的移动节点与所述移动节点可以移动到的另一个网络中的认证代理之间建立安全联结的方法,包括:
利用消息头中的标记来协商预认证,所述标记指示所述通信是否是用于建立预认证安全联结的;以及
所述移动节点通过传输其消息头中所述标记被置位的消息来发起预认证,并且所述认证代理仅在其支持所述预认证的情况下才用其消息头中所述标志被置位来进行响应;
借此在所述移动节点从所述正访问网络移动到所述另一网络之前建立预认证安全联结。
2.根据权利要求1所述的方法,还包括利用链路层不可知网络接入认证协议在所述移动节点与所述另一个网络上的服务器上的所述认证代理之间执行所述预认证。
3.根据权利要求1所述的方法,还包括跨多个管理域执行所述预认证。
4.根据权利要求1所述的方法,还包括在独立于媒体的预认证框架中执行所述预认证。
5.根据权利要求1所述的方法,其中所述正访问网络是用于第一媒体的,而所述另一个网络是用于不同媒体的,其中,或者所述第一媒体是蜂窝式而所述不同媒体是无线局域网,或者所述第一媒体是无线局域网而所述不同媒体是蜂窝式。
6.根据权利要求1所述的方法,还包括使得所述移动节点和所述认证代理的另一方在其不支持预认证的情况下用错误消息进行响应。
7.根据权利要求2所述的方法,还使用PANA作为所述网络的接入认证协议。
8.根据权利要求7所述的方法,还包括使得所述标记包括PANA头中的P-标记。
9.根据权利要求7所述的方法,还包括使得所述移动节点传输其中P-标记被置位的PANA-PAA-Discover消息以发起预认证。
10.根据权利要求7所述的方法,还包括使得所述认证代理传输其中P-标记被置位的PANA-Start-Request消息以发起预认证。
11.根据权利要求7所述的方法,还包括使得所述移动节点作为PaC操作而所述认证代理作为PAA操作。
12.根据权利要求11所述的方法,还包括一旦所述PaC和所述PAA已经同意执行预认证,则随后在它们之间交换的PANA消息令P-标记置位。
13.根据权利要求11所述的方法,还包括当由于所述PaC的移动使得预备PAA变成活动PAA时,所述PaC利用PANA-Update交换来执行因特网协议地址更新过程,以便更新从所述PAA所驻留的远程网络获得的PaC的新地址的PAA。
14.根据权利要求13所述的方法,其中在所述PANA-Update消息和后续的PANA消息中P-标记不被置位。
15.根据权利要求11所述的方法,还包括当具有与活动PAA的活动SA以及具有与预备PAA的预认证SA的PaC改变其活动PAA而不改变预备PAA时,所述PaC利用PANA-Update交换来执行因特网协议地址更新过程,以便更新从所述新的活动PAA所驻留的远程网络获得的PaC的新地址的PAA。
16.根据权利要求15所述的方法,还包括完成所述PANA-Update过程不会将所述预认证SA改变到活动SA。
17.根据权利要求16所述的方法,还包括在所述PANA-Update消息和随后的PANA消息中,所述P-标记被置位。
18.根据权利要求1所述的方法,还包括使得用于所述移动节点的预授权和后授权包括不同的授权策略。
19.一种移动节点,其被配置为从正访问网络主动地建立与所述移动节点可以移动到的另一个网络中的认证代理之间的安全联结,包括:
所述移动节点被配置为利用消息头中的标记来协商预认证,所述标记指示所述通信是否是用于建立预认证安全联结的;以及
所述移动节点被配置为通过传输其消息头中所述标记被置位的消息来发起预认证,以及接收来自所述认证代理的仅在其支持所述预认证的情况下用其消息头中所述标志被置位而进行的响应;
借此在所述移动节点从所述正访问网络移动到所述另一网络之前建立预认证安全联结。
20.一种认证代理,其被配置为主动地建立与来自正访问网络的移动节点之间的安全联结,而所述认证代理处在所述移动节点可以移动到的另一个网络中,包括:
所述认证代理节点被配置为利用消息头中的标记来协商预认证,所述标记指示所述通信是否是用于建立预认证安全联结的;以及
所述认证代理被配置为使得所述移动节点通过传输其消息头中所述标记被置位的由所述认证代理接收的消息来发起预认证时,所述认证代理仅在其支持所述预认证的情况下用其消息头中所述标志被置位来进行响应;
借此在所述移动节点从所述正访问网络移动到所述另一网络之前建立预认证安全联结。
Applications Claiming Priority (4)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US59516905P | 2005-06-13 | 2005-06-13 | |
US60/595,169 | 2005-06-13 | ||
US11/308,175 US8565185B2 (en) | 2005-04-13 | 2006-03-09 | Framework of media-independent pre-authentication support for PANA |
US11/308,175 | 2006-03-09 |
Related Parent Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CNA2006800004059A Division CN1989756A (zh) | 2005-06-13 | 2006-06-13 | 用于pana的独立于媒体的预认证支持的框架 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN103327022A true CN103327022A (zh) | 2013-09-25 |
Family
ID=36998132
Family Applications (2)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CNA2006800004059A Pending CN1989756A (zh) | 2005-06-13 | 2006-06-13 | 用于pana的独立于媒体的预认证支持的框架 |
CN2013102559701A Pending CN103327022A (zh) | 2005-06-13 | 2006-06-13 | 用于pana的独立于媒体的预认证支持的框架 |
Family Applications Before (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CNA2006800004059A Pending CN1989756A (zh) | 2005-06-13 | 2006-06-13 | 用于pana的独立于媒体的预认证支持的框架 |
Country Status (7)
Country | Link |
---|---|
US (1) | US8565185B2 (zh) |
EP (1) | EP1900175A1 (zh) |
JP (1) | JP4592754B2 (zh) |
KR (1) | KR100807652B1 (zh) |
CN (2) | CN1989756A (zh) |
CA (1) | CA2611943C (zh) |
WO (1) | WO2006135082A1 (zh) |
Families Citing this family (23)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7646710B2 (en) | 2003-07-28 | 2010-01-12 | Nortel Networks Limited | Mobility in a multi-access communication network |
US20070082656A1 (en) * | 2005-10-11 | 2007-04-12 | Cisco Technology, Inc. | Method and system for filtered pre-authentication and roaming |
US9723520B1 (en) | 2005-12-20 | 2017-08-01 | Microsoft Technology Licensing, Llc | Location based mode switching for dual mode mobile terminals |
WO2007088451A2 (en) * | 2006-02-03 | 2007-08-09 | Nokia Corporation | Encapsulation techniques for handling media independent handover (mih) information services messages |
US7869438B2 (en) * | 2006-08-31 | 2011-01-11 | Symbol Technologies, Inc. | Pre-authentication across an 802.11 layer-3 IP network |
US20080072047A1 (en) * | 2006-09-20 | 2008-03-20 | Futurewei Technologies, Inc. | Method and system for capwap intra-domain authentication using 802.11r |
JP4216876B2 (ja) | 2006-12-21 | 2009-01-28 | 株式会社東芝 | 通信端末を認証する装置、方法およびプログラム |
WO2008091517A1 (en) * | 2007-01-19 | 2008-07-31 | Kabushiki Kaisha Toshiba | Kerberized handover keying |
US8332923B2 (en) * | 2007-01-19 | 2012-12-11 | Toshiba America Research, Inc. | Kerberized handover keying |
US8036367B2 (en) | 2007-03-19 | 2011-10-11 | Google Inc. | Flexible communication systems and methods |
JP5002337B2 (ja) * | 2007-05-31 | 2012-08-15 | 株式会社東芝 | ネットワークアクセスを認証または中継する通信システム、中継装置、認証装置、および通信方法 |
JP4970189B2 (ja) * | 2007-08-10 | 2012-07-04 | 株式会社東芝 | 認証装置およびネットワーク認証システム、ならびに端末装置を認証するための方法およびプログラム |
KR101467780B1 (ko) * | 2007-10-17 | 2014-12-03 | 엘지전자 주식회사 | 이기종 무선접속망간 핸드오버 방법 |
US8190897B2 (en) * | 2007-12-13 | 2012-05-29 | Motorola Solutions, Inc. | Method and system for secure exchange of data in a network |
US8505076B2 (en) * | 2009-05-03 | 2013-08-06 | Kabushiki Kaisha Toshiba | Proactive authentication |
CN101932057B (zh) | 2009-06-22 | 2013-08-28 | 华为技术有限公司 | 切换处理方法、切换处理的通信装置及通信系统 |
WO2011064858A1 (ja) * | 2009-11-26 | 2011-06-03 | 株式会社 東芝 | 無線認証端末 |
JP5378296B2 (ja) * | 2010-05-10 | 2013-12-25 | 株式会社東芝 | 通信装置および通信方法 |
WO2013033702A1 (en) | 2011-09-01 | 2013-03-07 | Google Inc. | Establishing network connections |
US8750475B1 (en) | 2012-02-01 | 2014-06-10 | Google Inc. | Determining cost effective ways of communicating |
GB201211580D0 (en) | 2012-06-29 | 2012-08-15 | Microsoft Corp | Determining suitablity of an access network |
GB201211568D0 (en) | 2012-06-29 | 2012-08-15 | Microsoft Corp | Determining network availability based on geographical location |
GB201211565D0 (en) | 2012-06-29 | 2012-08-15 | Microsoft Corp | Determining availability of an acess network |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1318962A (zh) * | 2000-04-19 | 2001-10-24 | 杨一兵 | 虚拟无线漫游技术 |
US20040242228A1 (en) * | 2003-01-14 | 2004-12-02 | Samsung Electronics Co., Ltd. | Method for fast roaming in a wireless network |
CN1568031A (zh) * | 2003-06-20 | 2005-01-19 | 华为技术有限公司 | 基于无线局域网的无线蜂窝数据系统及其实现方法 |
CN1606892A (zh) * | 2001-11-05 | 2005-04-13 | 高通股份有限公司 | 用于cdma通信系统中消息整体性的方法和装置 |
Family Cites Families (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE19900436B4 (de) | 1999-01-08 | 2016-12-01 | Ipcom Gmbh & Co. Kg | Verfahren zum Handover, Mobilstation für ein Handover und Basisstation für ein Handover |
US6711408B1 (en) | 2000-02-05 | 2004-03-23 | Ericsson Inc. | Position assisted handoff within a wireless communications network |
FI115098B (fi) * | 2000-12-27 | 2005-02-28 | Nokia Corp | Todentaminen dataviestinnässä |
US7835324B2 (en) * | 2002-04-11 | 2010-11-16 | Nortel Networks Limited | Resource optimization in a wireless IP network |
US6879803B2 (en) * | 2003-04-29 | 2005-04-12 | Lexmark International, Inc. | Belt fuser for a color electrophotographic printer |
US8233450B2 (en) * | 2004-09-10 | 2012-07-31 | Interdigital Technology Corporation | Wireless communication methods and components for facilitating multiple network type compatibility |
US7477747B2 (en) * | 2005-02-04 | 2009-01-13 | Cisco Technology, Inc. | Method and system for inter-subnet pre-authentication |
-
2006
- 2006-03-09 US US11/308,175 patent/US8565185B2/en active Active
- 2006-06-13 CN CNA2006800004059A patent/CN1989756A/zh active Pending
- 2006-06-13 CA CA2611943A patent/CA2611943C/en not_active Expired - Fee Related
- 2006-06-13 KR KR1020067027203A patent/KR100807652B1/ko active IP Right Grant
- 2006-06-13 CN CN2013102559701A patent/CN103327022A/zh active Pending
- 2006-06-13 JP JP2007529462A patent/JP4592754B2/ja not_active Expired - Fee Related
- 2006-06-13 EP EP06766871A patent/EP1900175A1/en not_active Withdrawn
- 2006-06-13 WO PCT/JP2006/312207 patent/WO2006135082A1/en active Application Filing
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1318962A (zh) * | 2000-04-19 | 2001-10-24 | 杨一兵 | 虚拟无线漫游技术 |
CN1606892A (zh) * | 2001-11-05 | 2005-04-13 | 高通股份有限公司 | 用于cdma通信系统中消息整体性的方法和装置 |
US20040242228A1 (en) * | 2003-01-14 | 2004-12-02 | Samsung Electronics Co., Ltd. | Method for fast roaming in a wireless network |
CN1568031A (zh) * | 2003-06-20 | 2005-01-19 | 华为技术有限公司 | 基于无线局域网的无线蜂窝数据系统及其实现方法 |
Non-Patent Citations (1)
Title |
---|
DUTTA ET AL: "《a framework of media-independent pre-authentication(MPA);draft-ohba-mobopts-mpa-framework-00.txt》", 《IETF STANDARD-WORKING-DRAFT IETF STANDARD-WORKING-DRAFT,INTERNET ENGINEERING TASK FORCE,IETF》 * |
Also Published As
Publication number | Publication date |
---|---|
EP1900175A1 (en) | 2008-03-19 |
CA2611943A1 (en) | 2006-12-21 |
US20070008926A1 (en) | 2007-01-11 |
CA2611943C (en) | 2014-09-16 |
KR100807652B1 (ko) | 2008-02-28 |
JP2008512892A (ja) | 2008-04-24 |
WO2006135082A1 (en) | 2006-12-21 |
US8565185B2 (en) | 2013-10-22 |
KR20070090741A (ko) | 2007-09-06 |
JP4592754B2 (ja) | 2010-12-08 |
CN1989756A (zh) | 2007-06-27 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN103327022A (zh) | 用于pana的独立于媒体的预认证支持的框架 | |
JP4763700B2 (ja) | 動的かつ安全なトンネル確立方法 | |
JP5955352B2 (ja) | 事前認証、事前設定及び/又は仮想ソフトハンドオフを使用するモビリティアーキテクチャ | |
US8009626B2 (en) | Dynamic temporary MAC address generation in wireless networks | |
CN101542967B (zh) | Mih预先认证 | |
EP1741232B1 (en) | Wlan handover | |
CN104080084B (zh) | 运行并行pana会话的方法以及系统 | |
CN103906162A (zh) | 独立于介质的预验证改进的框架 | |
CA2661050C (en) | Dynamic temporary mac address generation in wireless networks | |
CA2675837A1 (en) | Solving pana bootstrapping timing problem | |
EP2299748B1 (en) | Method and system for supporting mobility security in the next generation network | |
CN102065507A (zh) | 独立于介质的预验证改进的框架 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20130925 |
|
RJ01 | Rejection of invention patent application after publication |