CN1836417A - 支持移动ip第6版业务的方法、系统和设备 - Google Patents
支持移动ip第6版业务的方法、系统和设备 Download PDFInfo
- Publication number
- CN1836417A CN1836417A CNA2004800233218A CN200480023321A CN1836417A CN 1836417 A CN1836417 A CN 1836417A CN A2004800233218 A CNA2004800233218 A CN A2004800233218A CN 200480023321 A CN200480023321 A CN 200480023321A CN 1836417 A CN1836417 A CN 1836417A
- Authority
- CN
- China
- Prior art keywords
- eap
- mipv6
- aaa
- mobile node
- home
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0892—Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/164—Implementing security features at a particular protocol layer at the network layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/062—Pre-authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/069—Authentication using certificates or pre-shared keys
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W8/00—Network data management
- H04W8/02—Processing of mobility data, e.g. registration information at HLR [Home Location Register] or VLR [Visitor Location Register]; Transfer of mobility data, e.g. between HLR, VLR or external networks
- H04W8/04—Registration at HLR or HSS [Home Subscriber Server]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W80/00—Wireless network protocols or protocol adaptations to wireless operation
- H04W80/04—Network layer protocols, e.g. mobile IP [Internet Protocol]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W84/00—Network topologies
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Business, Economics & Management (AREA)
- Accounting & Taxation (AREA)
- Mobile Radio Communication Systems (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
为了在漫游于外地网络(20)中的移动节点(10)与归属代理(36)之间建立MIPv6安全关联以及为了简化MIPv6相关配置,凭借优选扩展的鉴权协议通过AAA基础结构在端到端过程中传送MIPv6相关信息。首选实施例将EAP用作扩展的鉴权协议的基础,通过如下步骤来创建EAP扩展:将MIPv6相关信息作为附加数据结合在EAP协议栈中,例如作为EAP协议栈的EAP方法层中的EAP属性或在EAP层或EAP方法层上的通用容器属性中传送。所提出的MIPv6鉴权/授权机制的主要优点在于,它对受访域(20)是透明的,从而使AAA客户(22)和AAAv(24)可以在该过程中仅充当直通代理。
Description
技术领域
本发明一般涉及移动通信,并且更具体地涉及对移动IP第6版业务的支持。
背景技术
移动IP(MIP)使移动节点可以以极小的服务中断来更改它到因特网的连接点。MIP本身不提供任何对跨不同管理域的移动性的特定支持,这限制了大规模商业部署中MIP的可应用性。
MIP第6版(MIPv6)协议[1]使节点可以在因特网拓扑内移动,同时保持可达性和与通信节点的正进行连接。在此情况中,每个移动节点总是由它的归属地址来标识,而不管它到IPv6因特网的当前连接点。当远离它的归属网络时,移动节点还与转交地址相关联,转交地址提供有关移动节点的当前位置的信息。将寻址到移动节点的归属地址的IPv6分组或多或少透明地路由选择到它的转交地址。MIPv6协议使IPv6节点能够高速缓存移动节点的归属地址与它的转交地址的绑定,并然后将发往移动节点的任何分组发送到转交地址。为此,每次移动时,移动节点发送所说的绑定更新到它的归属代理(HA)以及与它正在通信的通信节点。
允许MIPv6的移动节点,如蜂窝电话、膝上型计算机和其他端用户设备,从而可以在属于它们的归属服务提供商以及其他提供商的网络之间漫游。可以在外地网络中漫游是因为营运商之间存在服务级别和漫游协定。MIPv6提供单个管理域内的会话连续性,但是依赖于鉴权、授权和计费(AAA)基础结构的可用性来跨不同的管理域(即当在归属营运商所管理的网络之外漫游时)提供它的业务。有助于使此类漫游机制成为可能的关键AAA协议之一是直径(Diameter)。
此外,虽然移动IPv6可以被视为完整的移动性协议,但是为了能够大规模部署还需要便于部署MIPv6的更多的和/或改进的机制。虽然这些机制不是实际的MIPv6协议的一部分,但是有效地部署MIPv6业务非常依赖它们。与部署相关的机制处理诸如启用MIPv6的移动节点(MN)的初始配置的问题,包括配置数据,如归属网络前缀或归属地址、归属代理地址以及所需的IPsec SA或动态建立的IPsec SA可以基于的安全参数。一种部署相关机制的方法是对现有的AAA基础结构起杠杆作用。
例如在[2]中,尝试规定一种直径的新应用,便于MIPv6在非归属域的网络中漫游。该文档标识通常需要在MN和网络中的AAA客户之间交换的信息-MIP特征数据、EAP数据、安全密钥数据和嵌入式数据。它还提出,在AAA客户与AAAv(受访AAA服务器)之间、AAAv与AAAh(归属AAA服务器)之间以及HA与AAA基础结构之间交换该信息时使用该新的直径应用。虽然[2]没规定移动节点与AAA客户之间的通信的任何具体的机制,但是提及了使用PANA协议[3]的可能性。然而,PANA WG限定了PANA的范围,以致它无法传输所提到的MIPv6相关信息,这使本解决方案不能令人满意并且是不完整的。
[2]中的解决方案的另一个缺点在于,它要求AAA客户(和AAAv)理解鉴权方法,并知道MN与AAAh之间交换的内容(MIP特征数据、EAP数据、安全密钥数据和嵌入式数据)。利用这样的解决方案,不可能在MN和AAAh之间应用现有的加密,而且这些交换在空中接口上将是可见的。防窃听、中间人和其他攻击的安全性可能是折衷的。
[2]中解决方案的再一个缺点是,它要求在接入网和AAAv中都支持这些机制。这可能妨碍该解决方案的部署,因为希望使用它的营运商依赖漫游伙伴升级它们的网络来支持该解决方案。
因此,常规的移动性解决方案涉及若干缺点,仍需要支持MIPv6的令人满意的机制。
发明内容
本发明的一般目的是提供一种MIPv6的鉴权和授权支持的改进机制。特定的目的是便于利用MIPv6在外地网络中漫游,同时保持高度的安全性。另一个目的是通过简化移动节点和归属代理的配置来便于MIPv6的部署。再另外的目的是提供一种完整的且对受访域透明的MIPv6支持的机制。
这些目的根据所附的权利要求来实现。
简言之,本发明的方法通过在访问外地网络的移动节点与该移动节点的归属网络之间通过AAA基础结构在端到端过程中传送MIPv6相关信息来实现MIPv6的鉴权和授权支持。MIPv6相关信息通常包括通过AAA基础结构传送的鉴权、授权和/或配置信息,以简化移动节点和归属代理的配置或在移动节点与位于归属网络中或受访网络中的归属代理之间建立MIPv6安全关联。该端到端特征凭借通过AAA基础结构承载的鉴权协议来实现。鉴权协议优选地是扩展的鉴权协议,但是还可以使用完全新近定义的协议。
本发明的首选实施例将可扩展鉴权协议(EAP)用作扩展的鉴权协议的基础,创建EAP扩展同时通常保持EAP较低层完整。这通常意味着将MIPv6相关信息作为附加数据结合在EAP协议栈中,例如作为EAP协议栈的EAP方法层中的EAP属性或在EAP层或EAP方法层上的通用容器中传送。
凭借本发明,第一次实现了一种完整的MIPv6 AAA解决方案,而在现有技术中仅有彼此不一致的局部解决方案。再者,对诸如EAP扩展的鉴权协议的依赖,提供一种流线式解决方案,它易于管理且一流,向后兼容问题最少。EAP的使用使AAA客户(和AAAv)可以至少在HA位于归属网络时对MIPv6过程不可知(agnostic)(即这去除对受访网络中的MIPv6支持的依赖),并仅充当直通(pass-through)代理。换言之,所提出的MIPv6鉴权/授权解决方案对受访域是透明的,这是使用诸如EAP的协议的主要优点之一。这使得将现有的加密应用于MN和AAAh之间并由此当利用MIPv6在外地网络中漫游时达到令人满意的安全性变得可能。此外,使营运商在不依赖其漫游伙伴的网络升级的情况下部署该解决方案变得可能。
根据本发明,还可以通过消除或简化移动节点的MIPv6特定的配置和归属代理的移动节点特定的配置来协助部署MIPv6。这样的配置是普通授权的一部分,并且可以包括例如归属网络前缀或归属地址、归属代理地址和所需的IPsec SA或动态建立的安全关系(例如IPsec SA)可以基于的安全参数。
根据本发明的其他方面,提供一种MIPv6支持的系统和AAAh服务器。
附图简介
通过参考如下说明和附图,可以更好地理解本发明及其其他目的和优点,图中:
图1是可以使用本发明的MIPv6 AAA的通信系统的示意图;
图2是根据本发明的第一示范实施例的MIPv6发起的信号流程图;
图3是根据本发明的第二示范实施例的MIPv6发起的信号流程图;
图4是根据本发明的示范实施例的MIPv6切换的信号流程图;
图5示出常规的EAP分组格式;
图6示出根据本发明的示范实施例的GCA属性的位置和格式;
图7是根据本发明的示范实施例的MIPv6 AAA的通信系统的示意图;
图8是示出根据本发明示范实施例的AAA归属网络服务器的示意框图;以及
图9是根据本发明的用于支持移动节点的MIPv6业务的方法的基本示例的示意流程图。
具体实施方式
本部分之后是本文档中所用的缩略语列表。
如背景技术部分所述的,现有技术中尚未提出MIPv6的鉴权和/或授权支持的完整解决方案。再者,[2]的常规机制要求AAA客户和AAAv理解鉴权方法,并知道MN与AAAh之间MIPv6相关数据交换的内容。利用这样的解决方案,不可能在MN和AAAh之间应用现有的加密,而且这些交换在空中接口上是可见的。这使系统在窃听、中间人攻击等方面非常易受攻击。
这些缺点和其他缺点由本发明克服,根据本发明,通过在访问外地网络的移动节点与该移动节点的归属网络之间通过AAA基础结构在端到端过程中传送MIPv6相关信息来实现MIPv6的鉴权和授权支持。MIPv6相关信息优选地包括通过AAA基础结构传送的鉴权、授权和/或配置信息,以用于在移动节点和归属代理之间建立立即的或将来的MIPv6安全关联(即安全关系)或绑定。该端到端特征凭借一种以对受访域透明的方式操作的新的或扩展的鉴权协议来实现。
根据本发明,从而提出一种通过AAA基础结构承载的鉴权协议,用于以非常有利的方式将MIPv6的终端移动性与用户鉴权和授权(通常为AAA)组合。由此,实现一种完整的MIPv6 AAA解决方案。在现有技术中,仅有彼此不一致的局部解决方案。
通过使用MN与归属网络中的AAA服务器之间的端到端协议,本发明创建一种对受访域透明的MIPv6 AAA解决方案,受访域包括接入网、AAA客户和受访网络中的AAA服务器以及其他可能的中间AAA服务器。这样使得让例如AAA客户仅充当直通代理成为可能,这是非常有利的。还将可能的是,在MN和AAAh(例如EAP/TTLS[4])之间应用现有的加密,因为这些交换在空中接口上是不可见的。这意味着对于在外地网络中漫游的移动节点可以保持防窃听、中间人和其他攻击的令人满意的安全性。
图8是根据本发明首选实施例的AAA归属网络服务器的示意框图。在此示例中,AAAh服务器34基本包括归属地址指定模块51、归属代理(HA)指定模块52、安全关联模块53、授权信息管理器54和输入输出(I/O)接口55。模块51优选地执行归属地址指定(除非在移动节点上配置归属地址并发送到HA的情况),以及模块52可操作用于指定和/或重新指定适合的归属代理(HA)。AAAh服务器34通常还从移动节点接收密钥种子和绑定更新(BU)。备选地,AAAh服务器34本身生成密钥种子并将其发送到移动节点。安全关联模块53优选地生成所需的安全密钥以响应该种子,并将该密钥安全地传送到HA。还将绑定更新(BU)转发到归属代理(HA),以便HA可以高速缓存该移动节点的归属地址与转交地址的绑定。AAAh服务器还可以从HA接收诸如IPSec信息的信息,以完成安全关联。然后可以将该信息连同其他收集的授权(和/或配置)信息存储在任选的授权信息管理器54中,以随后传送到移动节点。
授权阶段自然地包括显式授权,但是还可以包括所涉及节点的配置。因此MIPv6相关配置(如移动节点的配置和/或HA的配置)通常被视为整个授权过程的一部分。
术语“AAA”应该取其因特网草案、RFC和其他标准化文档中的一般含义。通常,AAA(授权、鉴权、计费)基础结构的鉴权和安全密钥同意基于对称密码学,意味着在移动节点和归属网络营运商或可信方之间存在共享的初始秘密。在一些场合和应用中,例如可以禁用或不实施AAA基础结构的计费特征。AAA基础结构一般在归属网络和/或受访网络中包括一个或多个AAA服务器,而且还可以包括一个或多个AAA客户。任选地,还可以在AAA基础结构中包括一个或多个中间网络。
本发明优选地将已经定义的鉴权协议的扩展/修改版本用作传送MIPv6相关数据的鉴权协议,下文将主要以这样的扩展协议为例来说明。尽管如此,应该强调的是,从最初构建的鉴权协议也属于本
发明的范围。
本发明的首选实施例使用基于EAP的扩展鉴权协议,创建了EAP扩展同时往往保持EAP较低层完整。这通常意味着MIPv6相关信息被作为附加数据结合在EAP协议栈中,通常凭借一个或多个新的EAP属性。下文将在“方法特定的EAP属性”和“通用容器属性”的部分中描述用于实施这样的EAP属性的不同解决方案。在此之前,将在“载体协议示例”部分中描述用于通过AAA基础结构承载扩展的鉴权协议的一些示范的协议解决方案。一般将参考的是图1所示的MIPv6 AAA参与者和体系结构。
载体协议示例
例如,在MN(PAC)10和AAA客户(PAA)22之间(即图1中的(I))可以由PANA承载扩展的鉴权协议(例如扩展的EAP)。备选地,在MN和AAA客户之间,与令人满意的较低层排序保证相关联的其他载体协议如PPP和IEEE 802.1X[5]可以用于承载扩展的鉴权协议。对于3GPP2 CDMA2000系统,改为使用PPP数据链路层协议封装是可能的,对于EAP[6],协议字段值设为C227(Hex)。
首选实施例将AAA框架协议应用如直径应用用于经由受访网络/域20中的AAAv服务器24在AAA客户22和移动节点10的归属网络/域30中的AAAh服务器34之间的通信(II,III)。在AAA客户以外朝向AAA基础结构和在AAA基础结构内,一个示范实施例据此使用直径EAP应用[7]来将扩展的鉴权协议封装在直径内,通常在AAA客户和AAAh之间。再者,直径协议还可以被AAAh用于经由MIP过滤器规则任选地将MIP分组过滤器指定给PAA/EP和HA,它们对应于过滤器增强点,以及用于为PANA安全将安全密钥分发到PAA以及任选地发送QoS参数信号等。
应该注意,尽管直径是首选,但是有时改为将另一种AAA框架协议如RADIUS[8、9]用于通过II和/或III承载扩展的鉴权协议可以是适当的。
至于归属网络中的HA 36与AAA基础结构之间(IV)用于例如通过安全密钥的交换来建立HA和MN 10之间的安全关联SA的通信,提出两种可能性。首先,可以采用AAA框架协议应用来通过IV传送MIPv6数据。对此,可以使用例如直径MIPv4应用[10]中规定的AAAh-HA接口协议。如下文所解释的,将扩展的或新的直径应用或以新属性扩展的RADIUS用于在AAAh 34和HA 36之间交换AAA和MIPv6数据的实施例也属于本发明的范围。其次,与目前的3GPP2解决方案[11]类似的机制结合IKE框架[12]可以用于在MN 10和HA 36之间分发动态的预共享密钥。然后HA利用KeyID来从AAAh34中检索或生成HA-MN预共享密钥。AAAh生成KeyID,并在鉴权成功时将其发送到MN,又利用IKE将其发送到HA(图1的通信路径V)。
还参考图1,表1中概括了根据本发明用于MIPv6支持的段MN-AAA客户-AAAv-AAAh-HA之间的协议组合的示例。
表1
| 通信路径 | 传送MIPv6数据的协议 |
| (I)MN-AAA客户 | 扩展的鉴权协议(例如由PANA或IEEE 802.1X承载) |
| (II,III)AAA客户-AAAv-AAAh | 扩展的鉴权协议(例如由AAA协议应用承载) |
| (IV)AAAh-HA | AAA协议应用或3GPP/IKE |
假定采用安全措施,如加密和源完整性保护来传送如安全密钥的敏感信息。
方法特定的EAP属性
根据本发明的一个具体实施例,MIPv6相关信息作为EAP协议栈的EAP方法层中的EAP属性来传送。然后定义新的(扩展的)EAP鉴权协议来承载用于MIPv6鉴权的方法。该扩展的EAP协议应该允许协商/增强MIPv6鉴权,并且还可以支持便于例如动态MN归属地址分配、动态HA分配、HA和MN之间分发安全密钥以及在PAC和PAA之间分发安全密钥以实现PANA安全的一些辅助信息。
这些新的EAP属性可以是例如,新的EAP TLV属性,并且马上将提供示范的协议的详细内容以说明整个流程和概念的可行性。
以下的EAP-TLV是可以在本发明的扩展EAP协议下定义的新的EAP TLV的示例:
i)MD5询问EAP-TLV属性
ii)MD5响应EAP-TLV属性
iii)MIPv6归属地址请求EAP-TLV属性
iv)MIPv6归属地址响应EAP-TLV属性
v)MIPv6归属代理地址请求EAP-TLV属性
vi)MIPv6归属代理地址响应EAP-TLV属性
vii)HA-MN预共享密钥生成现用值EAP-TLV属性
viii)IKE KeyID EAP-TLV属性
ix)HA-MN IPSec SPI EAP-TLV属性
x)HA-MN IPSec密钥有效期EAP-TLV属性
xi)PAC-PAA预共享密钥生成现用值EAP-TLV属性
xii)MIPv6归属地址EAP-TLV属性
xiii)HA-MN预共享密钥EAP-TLV属性
xiv)HA-MN IPSec协议EAP-TLV属性
xv)HA-MN IPSec密码EAP-TLV属性
xvi)MIP-绑定-更新EAP-TLV属性
xvii)MIP-绑定-确认EAP-TLV属性
凭借这些属性(的子集或全部),除了主要的IPv6鉴权信息之外,EAP协议还可以承载MIPv6相关的辅助信息,这是非常有利的。MIPv6相关的辅助信息可以包括例如,对动态MN归属地址分配、动态归属代理分配的请求以及创建必要的安全密钥的现用值/种子。
根据本发明的扩展EAP协议的鉴权机制可以例如使用MD5-询问鉴权,但是其他类型的协议也属于本发明的范围。在通过MD5-询问鉴权来实施的情况中,可以定义以下用于MIPv6鉴权的EAP-TLV属性:
i)MD5询问EAP-TLV属性
这表示AAAh随机生成并发送到MN以实现MD5询问的八位位组串。
ii)MD5响应EAP-TLV属性
这表示作为MD5散列函数的结果生成的连同AAAh和MN之间的预共享秘密密钥的八位位组串。
如果要传送便于动态MN归属地址分配的MIPv6相关信息,则可以例如定义以下的EAP-TLV属性:
iii)MIPv6归属地址请求EAP-TLV属性
这表示对鉴权的MN的动态分配的MIPv6归属地址的请求。在MN最初请求被鉴权和被给予MIPv6业务时,由MN向AAAh请求它。当MN已经具有先前指定的归属地址时,例如MIPv6切换期间,该EAP属性通常定义为任选属性。
iv)MIPv6归属地址响应EAP-TLV属性
这表示鉴权的MN的动态分配的MIPv6归属地址。在对已经请求归属地址的MN成功鉴权时,从AAAh将其通知给MN。当MN已经具有先前指定的归属地址时,例如MIPv6切换期间,该属性通常是任选的。
对于动态HA分配,可以使用以下示范的EAP-TLV属性:
v)MIPv6归属代理地址请求EAP-TLV属性
这表示当成功鉴权时对MN的动态分配的HA的地址的请求。在MN最初请求被鉴权和被给予MIPv6业务时,由MN向AAAH请求它。如果HA分配已经是现成的,如当MIPv6协议的动态HA发现方法用于分配HA时或当MN已经具有先前指定的HA时(例如MIPv6切换期间),该属性通常定义为任选的。
vi)MIPv6归属代理地址响应EAP-TLV属性
这表示鉴权的MN的动态分配的HA地址。当MN最初请求被鉴权和被给予MIPv6业务时,从AAAh将其通知给MN。因为对于归属代理分配,MIPv6协议具有动态的归属代理发现方法,所以该属性通常是任选的。当MN已经具有先前指定的HA时,例如MIPv6切换期间,该属性也是任选的。
可以定义以下示范的EAP-TLV属性以在HA和MN之间分发安全密钥:
vii)HA-MN预共享密钥生成现用值EAP-TLV属性
这表示MN随机生成的作为用于生成HA-MN之间预共享密钥的种子的八位位组串。通过对该现用值和MN与AAAh之间的共享密钥的组合使用适当的散列算法,MN可以内部生成HA-MN预共享密钥。当已经存在有效的HA-MN预共享密钥时,例如MIPv6切换期间,该属性通常是任选的。
viii)IKE KeyID EAP-TLV属性
这表示[13]中定义的ID有效负荷。KeyID由AAAh生成,并当成功鉴权时被发送到MN。KeyID包括一些八位位组,它告知HA关于如何从AAAh检索(或生成)HA-MN预共享密钥。该属性通常定义为任选的,以及当MN尚未提交HA-MN预共享密钥生成现用值即已经存在有效的HA-MN预共享密钥时,例如MIPv6切换期间,一般不需要该属性。在HA-MN预共享密钥由AAAh经由[10]中定义的AAAh-HA接口(或利用例如上面在“载体协议示例”下所述的其他协议的任何一种)传送到HA时的情况中通常也不需要该属性。
ix)HA-MN IPSec SPI EAP-TLV属性
这表示HA和MN之间的IPSec的安全参数索引。如果HA-MN预共享密钥由AAAh经由[10]中定义的AAAh-HA接口(或利用例如上面在“载体协议示例”下所述的其他协议的任何一种)传送到HA,则由HA生成该属性,并将其传递到MN。该属性通常是任选的,以及当MN尚未提交HA-MN预共享密钥生成现用值即已经存在有效的HA-MN预共享密钥时,例如MIPv6切换期间,一般不需要它。当未使用AAAh-HA接口时,也不需要它。
x)HA-MN IPSec密钥有效期EAP-TLV属性
这表示HA和MN之间的IPSec的密钥有效期。如果HA-MN预共享密钥由AAAh经由[10]中定义的AAAh-HA接口(或利用例如上面在“载体协议示例”下所述的其他协议的任何一种)传送到HA,则由HA生成该属性,并将其传递到MN。该属性通常是任选的,以及当MN尚未提交HA-MN预共享密钥生成现用值即已经存在有效的HA-MN预共享密钥时,例如MIPv6切换期间,一般不需要该属性。当不使用AAAh-HA接口时,通常也不需要它。
如果PANA用于在MN和AAA客户之间承载扩展的EAP协议,则可以定义以下示范的EAP-TLV属性以在MN/PAC和AAA客户/PAA之间分发安全密钥以实现PANA安全:
xi)PAC-PAA预共享密钥生成现用值EAP-TLV属性
这表示MN/PAC随机生成的作为用于生成MN/PAC和AAA客户/PAA之间的预共享密钥的种子的八位位组串。通过对该现用值和MN与AAAh之间的共享密钥的组合使用适当的散列算法,MN/PAC可以内部生成PAC-PAA预共享密钥。凭借该属性,可以实现令人满意的PANA安全。
最后,为特殊的MIPv6,可以定义以下任选的EAP-TLV属性:
xii)MIPv6归属地址EAP-TLV属性
这表示鉴权的MN的动态分配的MIPv6归属地址。在对例如已经请求的MN成功鉴权时从AAAh将其通知给HA,以在HA中指定MIPv6归属地址。
xiii)HA-MN预共享密钥EAP-TLV属性
这表示HA-MN之间的动态生成的预共享密钥。当MN请求被鉴权和被给予MIPv6业务时,从AAAh将其通知给HA。通过对由HA-MN预共享密钥生成现用值EAP-TLV属性给出的现用值和MN与AAAh之间的共享密钥的组合使用适当的散列算法,AAAh可以内部生成HA--MN预共享密钥。当已经存在有效的HA-MN预共享密钥时,该属性是任选的。
xiv)HA-MN IPSec协议EAP-TLV属性
这表示HA-MN之间的IPSec协议(例如ESP或AH)。对于HA-MN预共享密钥由AAAh传送到HA时的情况,这被通知给MN。该属性是任选的,以及当MN未提交HA-MN预共享密钥生成现用值即已经存在有效的HA-MN预共享密钥时,例如MIPv6切换期间,一般不需要该属性。
xv)HA-MN IPSec密码EAP-TLV属性
这表示HA-MN之间的IPSec的密码算法。对于HA-MN预共享密钥由AAAh传送到HA时的情况,这被通知给MN。该属性是任选的,以及当MN未提交HA-MN预共享密钥生成现用值即已经存在有效的HA-MN预共享密钥时,例如MIPv6切换期间,一般不需要该属性。
xvi)MIP-绑定-更新EAP-TLV属性
这表示MN生成的绑定更新分组。这在鉴权和授权交换中经由AAAh从MN转发到HA。该属性是任选的,以及当MN将绑定更新分组直接发送到HA时,一般不需要该属性。
xvii)MIP-绑定-确认EAP-TLV属性
这表示HA生成的绑定确认分组。这在鉴权和授权交换中经由AAAh从HA转发到MN。该属性是任选的,以及当HA将绑定确认分组直接发送到MN时,一般不需要该属性。
下表2中给出所描述的用于传送MIPv6相关信息的示范EAP-TLV的概括矩阵。
表2
| MIPv6相关的EAP类型-长度-值 | 源 | 目的地 | 目的 |
| ·MD5询问EAP-TLV属性·MD5响应EAP-TLV属性·MIPv6归属地址请求EAP-TLV属性·MIPv6归属地址响应EAP-TLV属性·MIPv6归属代理地址请求EAP-TLV属性·MIPv6归属代理地址响应EAP-TLV属性·HA-MN预共享密钥生成现用值EAP-TLV属性·IKE KeyID EAP-TLV属性·HA-MN IPSec SPI EAP-TLV属性·HA-MN IPsec密钥有效期EAP-TLV属性·PAC-PAA预共享密钥生成现用值EAP-TLV属性·MIPv6归属地址EAP-TLV属性·HA-MN预共享密钥EAP-TLV属性·HA-MN IPSec协议EAP-TLV属性·HA-MN IPSec密码EAP-TLV属性·MIP-绑定-更新EAP-TLV属性·MIP-绑定-确认EAP-TLV属性 | AAAhMNMNAAAhMNAAAhMNAAAhHAHAMNAAAhAAAhHAHAMNHA | MNAAAhAAAhMNAAAhMNAAAhMNMN经AAAhMN经AAAhAAAhHAHAMN经AAAhMN经AAAhHA经AAAhMN经AAAh | 发布询问提供对询问的响应请求MN归属地址指定MN归属地址请求HA地址指定HA地址HA-MN密钥的种子用于从AAAh获得HA-MN预共享密钥的信息指定SPI指定IPSec密钥有效期PAC-PAA密钥的种子指定MN归属地址指定HA-MN密钥指定IPSec协议指定IPSec密码捎带传输MIP绑定更新捎带传输MIP绑定确认 |
信令流程图即图2、3和4中提供了根据本发明的用于处理MIPv6发起和切换的示范方案。示出了在MN、AAA客户、AAAh和HA之间利用上述示范EAP TLV属性实施的MIPv6相关信息的传送。此处术语“EAP/MIPv6”指用于在本发明首选实施例中通过AAA基础结构传送MIPv6相关信息的新的扩展EAP协议。所示的示例涉及使用PANA与直径的组合作为载体协议的MIPv6 AAA。图2中的流程图示出利用根据[10]的AAAh-HA接口来交换HA-MN预共享密钥的MIPv6发起。图3所示的MIPv6发起机制的另一个实施例使用IKEKeyID来交换HA-MN预共享密钥。图4的信令流描述根据本发明示范实施例的MIPv6切换。
通用容器属性
在本发明的另一个实施例中,MIPv6相关信息在通用容器EAP属性中承载,它优选地可以与任何EAP分组中所含的任何EAP方法一起使用。由此EAP以通用容器属性(还称为GCA)来增补,通用容器属性可以用于在MN 10和AAAh 34之间承载非EAP相关数据,更具体地即MIPv6相关数据。这使MN和AAAh可以以对受访域20透明的方式通信,受访域20包括接入网、AAA客户和AAAv 24。由此,正如上面关于方法特定的EAP TLV属性描述的情况一样,利用AAA基础结构来以对受访域透明的方式支持MIPv6相关的特征。该解决方案可以例如支持归属网络中的动态HA指定(包括归属网络前缀);MN-HA证书的分发;MIPv6消息封装;网络接入和MIPv6的单个鉴权实体;和/或有态的(stateful)动态归属地址指定。
当使用通用容器属性时,EAP优选地被用作MIPv6相关数据的载体,而不创建新的EAP方法。但是,另一种变体是在该协议栈的方法层上的一个(或多个)EAP方法中引入通用容器属性。由此定义用于传送MIPv6相关数据的新EAP方法,并仅在该新EAP方法中使用通用容器属性。换言之,以类似于关于EAP TLV属性描述的方式,通用容器属性可以是方法特定的。
如前所述,在AAA客户22和AAAh 34之间,EAP在AAA框架协议如直径EAP应用[7]或RADIUS[8,9]中承载。但是,还提出使用新的/扩展的直径应用(或以新属性扩展的RADIUS)以在AAAh34和HA 36之间交换AAA和MIPv6数据。该直径应用可以是现有直径应用的扩展版本,例如直径EAP应用[7]或新的直径应用。此新的/扩展的新直径应用(或扩展的RADIUS)下文称为“直径MIPv6应用”。应该强调的是,此引用仅为简明而使用,并不排除使用扩展的RADIUS或其他方法来实现AAAh-HA通信,包括上面在“载体协议示例”部分所提到的机制。
马上将主要以EAP协议为例并仍参考图1描述根据本发明使用通用容器属性处理鉴权过程的首选方式,鉴权过程包括归属代理和归属地址的指定。
在鉴权过程期间,MN 10通过通用容器属性向AAAh 34指示,它希望在归属网络30中指定HA 36。现在有三种情况要考虑:
A)MN已经具有有效的归属地址。
B)使用有态的动态归属地址指定。
C)使用无态的归属地址自动配置。
如果MN 10已经具有归属地址(A),则它将其连同对归属代理地址的请求一起发送到AAAh 34。如果AAAh确定该归属地址是有效的,则它选择HA 36并生成MN-HA证书,如预共享密钥或可以据以派生预共享密钥的数据。MN的归属地址和生成的MN-HA证书可以例如经由直径MIPv6应用被发送到所选的HA。所选HA的地址和生成的证书(或可以据以派生生成的证书的数据)经由扩展的鉴权协议例如扩展的EAP被发送到MN。例如,如果将预共享密钥发送到MN,则需要由根据AAAh与MN之间的安全关系派生的密钥(例如鉴权过程期间产生的会话密钥)对它进行保护(加密和完整性保护)。否则,不应该显式地发送预共享密钥。替代地,可以发送可基于MN-AAAh安全关系据以派生预共享密钥(或其他证书)的一块数据,例如现用值,(例如在使用EAP AKA[14]或EAP SIM[15]的情况下馈送到AKA或GSM鉴权算法的RAND参数)。如果将密码保护应用于这些证书,可以方便地对HA地址和归属地址使用相同类型的保护。
当完成网络接入鉴权且授权MN接入在接入服务器(例如WLANAP或接入路由器)以外的网络时,MN可以基于所获得的证书经由IKE(例如IKEv1或IKEv2)过程建立至指定HA的IPsec SA。此过程和随后的绑定更新/绑定确认(BU/BA)交换使用常规的IKE和MIPv6机制来执行。
如果MN在对归属代理的请求中完全不包含归属地址或包含了不再有效的归属地址(例如因为MIPv6归属网络重新编号),则应该对该MN指定归属地址。对此,本发明提出有态的动态归属地址指定(B)或无态的归属地址自动配置(C)的机制。
本发明允许有态的动态归属地址指定(B),由此AAAh 34对MN 10指定归属地址。AAAh还生成MN-HA证书,它优选地将其连同指定的归属地址经由直径MIPv6应用发送到所选的HA 36。AAAh还将指定的归属地址连同指定的HA的地址和生成的证书(或可以据以派生生成的证书的数据)经由本发明的扩展鉴权协议(以扩展的EAP为例)发送到MN。如在情况(A)中,在通过扩展的鉴权协议发送之前对MN-HA证书进行保护,或者备选地,不发送实际的证书而发送可以据以派生证书的数据,如现用值。在结束网络接入鉴权之后,MN可以使用常规的IKE和MIPv6机制建立IPsec SA并执行至指定HA的BU/BA交换。
如果使用归属地址的无态自动配置(C),则该过程依赖于所选EAP方法的往返数量。响应对HA 36的请求,AAAh 34将HA地址连同证书(或可据以派生证书的数据)返回到MN 10。MN通常使用所接收的HA地址的前缀来构建归属地址。如果EAP过程未完成,即如果HA地址是在EAP请求分组中传送的而非在EAP成功分组中传送,则MN将其归属地址发送到AAAh。AAAh然后将接收到的归属地址连同这些证书发送到指定的HA。然后HA应该在它的子网上执行所接收的归属地址的DAD。如果重复地址检测(DAD)成功,则MN和HA稍后就可以使用常规的IKE和MIPv6机制建立IPsec SA并交换BU/BA分组。
如果MN改为在EAP过程的最终分组(即EAP成功分组)中接收到HA地址,则它无法将其新构建的归属地址传送到AAAh。解决此问题即EAP往返的数量不足的一种方式是,使AAAh利用用于允许传送通用容器属性的EAP通知请求/响应分组来增加EAP往返的数量。
所述机制的主要优点在于,它们简化了MN 10和HA 36的配置。MN可以对其网络接入配置参数(NAI和MN-AAAh安全关系)起杠杆作用,而且不需要MIPv6特定的配置。HA将不需要任何MN特定的配置,因为HA-AAAh安全关系足够。AAAh 34可以很大程度上构成网络接入和MIPv6的单一鉴权实体(虽然在HA中仍可以基于从AAAh接收到的数据执行IKE鉴权)。
如果有效的MN-HA安全关联(例如IPsec SA)已经存在,则MN 10无需向AAAh 34请求HA地址。替代地可以通过将BU封装在通用容器属性中来降低整个接入延迟,并经由扩展的鉴权协议将其发送到AAAh。AAAh优选地将BU封装在直径MIPv6应用消息中,并将其发送到由BU的目的地址指示的HA 36。HA以BA响应,以及AAAh将该响应中继到MN。封装的BU和BA受到MN-HA IPsecSA的保护。根据首选实施例,AAAh检查该HA地址有效,并检查MIPv6归属网络在将BU发送到HA之前尚未被重新编号。如果HA地址不是有效的,则AAAh通常将此错误指示给MN,并按如上所述指定HA,即AAAh发送HA地址、证书(或可据以派生证书的数据)以及可能还有归属地址到MN等。
直径MIPv6应用有时还可以用于传送HA 36中生成的计费数据。例如当采用逆向隧道传送(即所有往返于MN的通信量经由HA传送并在MN和HA之间以隧道传送时)并且归属营运商希望能够验证从AAAv 24接收到的计费数据时,这可以是有用的。
那么,将更详细地描述根据本发明的通用容器属性(GCA)的一些示范实施方式。
优选地,GCA属性可供所有方法使用,并可以被包含在任何EAP消息中,包括EAP成功/失败消息。这意味着它应该是EAP层而非EAP方法层的一部分(参见[16])。由此,要考虑的一个重要问题是就MN和EAP鉴权者(通常为网络接入服务器(NAS)中的EAP实体)而言的向后兼容。上述示例中通用容器属性的使用假定,以向后兼容且对EAP鉴权者透明的方式在EAP中引入该新属性。引入含有这些特性的GCA需要一些特殊的考虑,下面的段落将对此进行详细说明。
为了在下面的讨论中参考,图5示出目前的EAP分组格式[6,16]。图5A示出一般的EAP分组格式,具有含代码、标识符和长度字段的EAP层报头以及任选的数据字段。指定的EAP代码定义为:1=请求,2=响应,3=成功以及4=失败。EAP成功/失败分组的(代码=3/4)和EAP请求/响应分组(代码=1/2)的格式分别在图5B中说明。指定的EAP类型:1=身份,2=通知,3=Nak,4-...=鉴权方法。
GCA的格式可以例如是两字节的GCA长度指示符,后跟GCA接受方指示符和GCA有效负荷。GCA接受方指示符然后指示EAP模块应将接收到的GCA的有效负荷发送到什么内部实体(即该指示符对应于IP报头中的协议/下一个报头字段或UDP和TCP报头中的端口号)。GCA有效负荷是不由EAP层解释的通用数据块。没有GCA例如可以通过将GCA长度指示符设为零来指示。
为了实现向后兼容,GCA应该以对直通EAP鉴权者透明的方式被包含在EAP分组中。直通EAP鉴权者是驻留在NAS中的EAP鉴权者,它在MN和后端EAP鉴权服务器(AAA服务器)之间中继EAP分组。EAP鉴权者的直通行为是基于EAP层报头来中继EAP分组,即EAP分组的开始位置中的代码、标识符和长度字段。这意味着可以通过将GCA设置在EAP层报头之后(即在代码、标识符和长度字段之后)来实现所期望的透明性和由此实现向后兼容。
但是,EAP鉴权者一般还需要检查EAP响应分组的类型字段(在EAP层报头之后),以识别EAP身份响应分组,据此可以提取AAA路由选择所需的NAI。当EAP鉴权者识别EAP身份响应分组时,它从类型字段之后的类型-数据字段提取NAI。因此,将GCA置于紧随EAP层报头之后(以对EAP鉴权者透明的方式)仅在EAP请求分组中可能。因此,一般首选是将GCA安排在类型字段之后或甚至(可能空终止)类型-数据字段之后。
将GCA置于紧随类型字段之后允许在除EAP身份响应分组外的所有EAP响应分组中使用GCA。在EAP身份响应分组中使用GCA会被禁止,因为从这些分组中,EAP鉴权者需要从类型-数据字段提取NAI,而遗留EAP鉴权者预期在紧随类型字段之后查找它。考虑到EAP一般具有相当少的往返,这可能限制GCA的使用。可能,GCA可以被置于EAP身份响应分组中的空终止类型-数据字段之后,而在其他EAP分组中保持其在类型字段之后的位置。
但是,会经常希望可以在所有EAP分组中一致使用的GCA的位置。从上述讨论得出结论,可以以向后兼容的方式将GCA置于所有EAP分组中的位置是在分组的末端,或多或少作为尾部。但是,该GCA位置对于没有类型-数据参数的显式长度指示符而依赖于EAP层报头中的长度字段的那些EAP分组可能导致问题。对于这样的分组,一般不可能将GCA与类型-数据字段区分。
为了克服此问题,根据提出的具体的首选GCA实施例,将GCA长度指示符、GCA接受方指示符以及GCA有效负荷的次序反转,使得GCA长度指示符最后出现。通过将GCA置于EAP分组的末端,EAP分组的最后两个八位位组(其长度由EAP层报头中的长度字段指示)始终会是GCA长度指示符。除非GCA长度指示符为零,GCA接受方指示符出现在GCA长度指示符之前而GCA有效负荷(其大小由GCA长度指示符确定)位于GCA接受方指示符之前。这样,识别EAP分组的GCA并将GCA与类型-数据字段区分总是可能,同时GCA的使用仍是对直通EAP鉴权者透明的。图6中示出根据本发明的首选GCA的位置和格式。图6A中示出通用格式的EAP分组中GCA的位置。GCA被作为尾部安排在分组的末端。图6B中示出建议的GCA格式,其中GCA长度指示符安排在最后,即在GCA有效负荷和GCA接受方指示符之后。
与图6的GCA实施例的向后兼容还假定,EAP鉴权者不尝试从EAP请求/响应分组提取信息(除了EAP层报头和NAI),并且它接受成功/失败分组中的长度字段指示大于4的值。
处理向后兼容问题的备选方式是,使用EAP GCA测试请求/响应分组(即具有类型字段的新定义值的新EAP分组)来判断MN是否支持GCA。在初始的EAP身份请求/响应分组交换前或后,支持GCA的EAP鉴权者然后将EAP GCA测试请求分组(即具有专用类型值的EAP请求分组)发送到MN。([17]中的EAP对等状态机器指示两种备选的发送时间都是可行的)。如果MN支持GCA,则它以EAP GCA测试响应分组响应。否则,MN将EAP GCA测试请求分组解释为使用未知EAP方法的请求,并由此MN以EAP Nak分组响应。基于来自MN的响应,EAP鉴权者判断MN是否支持GCA。
支持GCA的MN可以根据EAP GCA测试请求分组的有无来判断EAP鉴权者是否支持GCA。如果当期望时(即在EAP身份请求/响应交换前或后)接收到EAP GCA测试请求分组,则认为EAP鉴权者支持GCA。否则,MN得出结论,EAP鉴权者不支持GCA。
如果MN和EAP鉴权者都支持GCA,则可以将其置于所有随后的EAP分组中的EAP层报头之后(GCA分量为原始顺序)。否则,GCA可以仍被包含在EAP分组中,这些EAP分组使它可以以如上所述的向后兼容的方式被包含。
所述处理向后兼容问题的备选方式有一些局限。首先,浪费了一个MN-EAP鉴权者往返。再者,如果在初始的EAP身份请求/响应分组交换之后交换EAP GCA测试请求/响应分组,则GCA无法在EAP身份响应分组中使用。该实施例还可以要求EAP鉴权者(可能是NAS)使用EAP的修改版本,例如EAPv2。因此,虽然其他备选方式是可能的,但是将GCA安排在EAP分组中的首选方式通常会是如图6所示的,由此可以对所有EAP分组实现与EAP鉴权者的向后兼容。
如果对于在GCA中交换的数据,EAP往返的数量不够,则为了传送GCA,AAAh可以通过EAP通知请求/响应交换来增加EAP往返的数量。
如果GCA设为方法特定的,则GCA不会引入任何与向后兼容相关的问题,因为它将然后通常是类型-数据字段的一部分。
在2004年2月的因特网草案[18]中,建议基于AAA基础结构的移动IPv6授权和配置。归属提供商AAA服务器与MIPv6的移动节点之间的必要交互是利用受保护的EAP来实现的,以将移动IPv6协商的信息与鉴权数据一起传送。但是,鉴于所述的根据本发明的通用容器属性可以集成在EAP过程中,在第二阶段增加了[18]的MIPv6数据。本文所述解决方案的另一个有利特征涉及安全机制。根据本发明,对MN-AAAh安全关系起杠杆作用以确保证书不会被公开是可能的。另一方面,[18]依赖于受保护的EAP来保护这些证书。再者,[18]促使往返数量增加以及整个网络接入延迟增加,而本文提出的机制甚至可能降低整个网络接入延迟。
扩展的解决方案-本地归属代理
图7图示本发明的移动性支持机制的另一个示范实施例,其中所说的“本地归属代理”26安排在受访网络20中。根据下文描述将可知,本地HA 26可以以非常有利的方式用于补充归属网络30中的HA 36。归属网络中的HA和受访网络中的本地HA通常会是一次使用一个,而不是同时使用。
该实施例是参考图1所述的解决方案(下文还称为“基本解决方案”)的扩展,它可以例如使用方法特定的EAP属性或通用容器属性,且它需要AAAv 24中的MIPv6支持。该扩展的解决方案的目标场合是归属网络30中没有HA 36的情况。替代地,动态地将本地HA 26指定给在受访域20中的漫游MN 10。基本解决方案被重用(如果归属网络中没有HA则不使用AAAh-HA通信(IV)的情况除外),并除此之外还扩展直径MIPv6应用,以使它可以在AAAh 34与AAAv24之间(VI)使用来允许在受访域20中指定本地HA 26。直径MIPv6应用还在AAAv 24和本地HA 26之间(VII)使用。
由此,MN 10和本地HA 26之间的路径将是“远程迂回(tromboning)”路径(该路径在两个方向上遍历AAAv-AAAh分支):MNAAA客户AAAvAAAhAAAv本地HA(I、II、III、VI、VII)。但是,未与AAA信令集成的MIPv6信令例如随后的BU/BA交换将沿直接的MN-本地HA路径(VIII)。
因为依据基本解决方案,路径I、II、III、IV的上述功能是重用的(归属网络中没有HA时IV除外),所以只需详细描述本地HA指定的附加功能。
指定本地HA 26实质上意味着基本解决方案中描述的AAAh-HA通信转为AAAh-AAAv-本地HA通信。因此,总的MN-本地HA路径具有以下结构:MN-AAA客户-AAAv-AAAh-AAAv-本地HA。在此路径中,从MN以及至AAAh使用扩展的鉴权协议,如扩展的EAP。在该路径的AAA客户-AAAv-AAAh部分中,EAP在现有的AAA协议中承载,例如直径EAP应用或RADIUS。在该路径的AAAh-AAAv-本地HA部分中,使用直径MIPv6应用。所传送的信息实质上与基本解决方案中的相同。
仍参考图7,表3中概括了根据本发明的用于扩展的MIPv6支持的段MN-AAA客户-AAAv-AAAh-HA和AAAh-AAAv-本地HA之间的协议组合的示例。在关于本地HA 26的情况中,AAAh 34将对HA的请求经由AAA协议应用转发到适当的AAAv 24,优选地经由如直径MIPv6应用的直径应用,(但是还可以是例如RADIUS的扩展版本)。通过路径(II,III)承载新的/扩展的鉴权协议并通过路径(IV,VI,VII)传送MIPv6数据的AAA框架协议应用可以是例如直径应用。
表3
| 通信路径 | 传送MIPv6数据的协议 |
| (I)MN-AAA客户 | 扩展的鉴权协议(例如通过PANA或IEEE 802.1X承载的) |
| (II,III)AAA客户-AAAv-AAAh | 扩展的鉴权协议(例如通过AAA协议应用来承载) |
| (IV)AAAh-HA | AAA协议应用或3GPP2+IKE |
| (VI,VII)AAAh-AAAv-本地HA | AAA协议应用 |
首先假定归属网络30中没有HA 36。在此场合中,对MN 10提供MIPv6支持的唯一方式是,在受访域20中指定本地HA 26。由此,当在AAAh 34中接收到对HA地址的请求时,AAAh将该请求经由直径MIPv6应用转发到AAAv 24。AAAh还生成MN-HA证书,并且如果需要的话为MN生成归属地址。这些证书和归属地址(或没有归属地址的情况下为NAI)与对本地HA地址的请求一起发送到AAAv。
当接收对本地HA地址的请求时,AAAv 24选择本地HA 26并利用直径MIPv6应用将证书和归属地址(或NAI)发送到所选的HA。AAAv然后将本地HA地址返回到AAAh 34。AAAv还可以生成MN-HA IPsec SA的SPI(由此在此扩展的解决方案中它们不由AAAh生成)。在上述情况中,AAAv将SPI之一发送到本地HA,并将另一个SPI连同本地HA地址一起返回到AAAh。如果AAAh随后从MN 10接收到无态配置(即自动配置的)归属地址,则可以利用直径MIPv6应用来将该归属地址传送到AAAv和本地HA。
随后的IKE(IKEv1或IKEv2)过程(如果使用的话)和MIPv6过程与基本解决方案中描述的相同,除了MN 10直接与本地HA 26通信,而不是与归属网络30中的HA 36通信。
现在假定归属网络30中有HA 36。在这样的情况中,只要MN 10在归属网络中的HA中具有有效的绑定,则不应该指定本地HA 26。如果MN在归属网络中HA中不具有有效的绑定且向AAAh 34发送对HA地址的请求,则它可以包括它是首选本地HA还是归属网络中的HA的指示。AAAh可以考虑该指示,但是最终由AAAh决定应该是将本地HA还是归属网络中的HA指定给MN。如果AAAh决定指定本地HA,则该过程与上面关于归属网络中不存在HA的情况描述的相同。
随后的IKE(IKEv1或IKEv2)过程(如果使用的话)和MIPv6过程与基本解决方案中所述的相同,除了MN 10直接与本地HA 26通信,而不是与归属网络30中的HA 36通信。
在备选实施例中,允许MN 10向AAAh 34指示,即使它在归属网络30中的HA 36中具有有效的绑定,它仍首选本地HA 26。在上述情况中,AAAh会通常在指定本地HA前后命令归属网络中的HA删除绑定。如果绑定仍存在且要同时使用本地HA和归属网络中的HA,则需要例如以分级MIPv6形式的附加功能。
假如存在所需的MN-本地HA IPsec SA,在使用本地HA 26的情况中封装BU/BA分组还是可能的。与基本解决方案不同的是,封装的BU/BA分组将然后通过路径(VI+VII)而非(IV)来传送。
通过总结上述一些方面,可以看出图9是用于支持移动节点的MIPv6业务的方法的基本示例的示意流程图。在该示例中,步骤S1-S4中所示的信息传送和操作涉及移动节点的鉴权(S1)、MN-HA安全关联的建立(S2)、MIPv6配置(S3)和MIPv6绑定(S4)。步骤S2-S3通称为授权阶段。步骤S1-S4可以或多或少以并行方式执行(如果希望的话),以可以缩短整个建立时间。在步骤S1,通过AAA基础结构传送信息,以在归属网络端对移动节点鉴权。在步骤S2,传送MIPv6相关信息,以立即建立或允许将来建立MN和HA之间的安全关联。在步骤S3中,执行附加的MIPv6配置,例如通过向移动节点和/或归属代理传送配置参数以在其中进行适合的存储。在步骤S4,移动节点发送绑定更新,并在HA中建立MIPv6绑定。
本发明的详述示范实施例主要是参考目前的EAP[6,16]来讨论。但是应该理解,本发明非常适用于其他EAP版本,如EAPv2,以及以所述方式扩展的其他鉴权协议。EAP仅仅是可能的实施方式的示例,并且本发明一般不局限于此,而是可以备选地涉及非EAP方案。
在上述说明性示例中,假定移动节点(MN)和AAAh具有公共共享秘密。例如这可能是移动节点中安装的身份模块与归属网络之间共享的对称密钥。身份模块可以是本领域已知的任何防篡改身份模块,包括GSM移动电话中使用的标准SIM卡、通用SIM(USIM)、还称为WIM的WAP SIM、ISIM以及更普遍的UICC模块。对于MN-HA安全关系,可以由MN向AAAh传送种子或现用值(或从相反方向,即由AAAh始发种子并传送到MN),AAAh据此可以基于共享秘密创建MN-HA安全密钥,例如预共享密钥。移动节点可以独自生成相同的安全密钥,因为它始发种子/现用值(或从AAAh接收种子)并也具有共享秘密。备选地,AAAh可以单独生成MN-HA安全密钥,并将它们传送到MN(受密码保护)和HA。
虽然本发明是参考所示的特定实施例来描述的,但是应强调的是,它还涵盖所公开特征的等效特征以及对于本领域技术人员显而易见的修改和变体。因此,本发明的范围仅由所附的权利要求限定。
缩略语
AAA 鉴权、授权和计费
AAAh 归属AAA服务器
AAAv 受访AAA服务器
AKA 鉴权和密钥同意
AP 接入点
BA 绑定确认
BU 绑定更新
DAD 重复地址检测
EAP 可扩展鉴权协议
EP 增强点
GCA 通用容器属性
GSM 全球移动通信系统
HA 归属代理
IKE 因特网密钥交换
IP 因特网协议
Ipsec IP安全
ISAKMP 因特网安全关联和密钥管理协议
ISIM IM业务身份模块
MD5 消息摘要5
MIPv6 移动IP第6版
MN 移动节点
NAI 网络接入标识符
NAS 网络接入服务器
PAA PANA鉴权代理
PAC PANA客户
PANA 承载网络接入鉴权的协议
PPP 点到点协议
SA 安全关联
SIM 用户身份模块
SPI 安全参数索引
TLS 传输层安全
TLV 类型长度值
TTLS 隧道式TLS
UICC 通用集成电路卡
WAP 无线应用协议
WLAN 无线局域网
参考文献
[1]“IPv6中的移动性支持(Mobility Support in IPv6)”,D.Johnson,C.Perkins,J.Arkko,2003年6月30日
[2]“直径移动IPv6应用(Diameter Mobile IPv6 Application)”,Stefano M.Faccin,Franck Le,Basavaraj Patil,Charles E.Perkins,2003年4月
[3]“用于承载网络接入鉴权的协议(Protocol for CarryingAuthentication for Network Access)(PANA)”,D.Forsberg,Y.Ohba,B.Patil,H.Tschofenig,A.Yegin,2003年4月
[4]“EAP隧道式TLS鉴权协议(EAP Tunneled TLSAuthentication Protocol)”,Paul Funk,Simon Blake-Wilson,2002年11月
[5]IEEE标准802.1X,局域网和城域网一基于端口的网络接入控制
[6]“PPP可扩展鉴权协议(PPP Extensible AuthenticationProtocol)(EAP)”,RFC2284,L.Blunk,J.Vollbrecht,1998年3月
[7]“直径可扩展鉴权协议(EAP)应用(Diameter ExtensibleAuthentication Protocol(EAP)Application)”,T.Hiller,G.Zorn,2003年3月
[8]“远程鉴权拨号用户业务(Remote Authentication Dial In UserService)(RADIUS)”,RFC2865,C.Rigney,S.Willens,A.Rubens,W.Simpson,2000年6月
[9]“RADIUS扩展(RADIUS Extensions)”,RFC2869,C.Rigney,W.Willats,P.Calhoun,2000年6月
[10]“直径移动IPv4应用(Diameter Mobile IPv4 Application)”,P.Calhoun,T.Johansson,C.Perkins,2003年4月29日
[11]3GPP2 X.P0011 Ver.1.0-9,3GPP2无线IP网络标准,2003年2月
[12]“因特网密钥交换(The Internet Key Exchange)(IKE)”,RFC2409,D.Harkins,D.Carrel,1998年11月
[13]“因特网安全关联和密钥管理协议(Internet SecurityAssociation and Key Management Protocol)(ISAKMP)”,RFC2408,D.Maughan,M.Schertler,M.Schneider,J.Turner,1998年11月
[14]“EAP AKA鉴权(EAP AKA Authentication)”,J.Arkko,H.Haverinen,2003年10月
[15]“EAP SIM鉴权(EAP SIM Authentication)”,H.Haverinen,J.Salowey,2003年10月
[16]“可扩展鉴权协议(Extensible Authentication Protocol)(EAP)”,L.Blunk,J.Vollbrecht,B.Aboba,J.Carlson,H.Levkowetz,2003年9月
[17]“EAP对等和鉴权者的状态机(State Machines for EAP Peerand Authenticator)”,J.Vollbrecht,P.Eronen,N.Petroni,Y.Ohba,2003年10月
[18]“基于EAP的MIPv6授权和配置(MIPv6 Authorization andConfiguration based on EAP)”,G.Giaretta,I.Guardini,E.Demaria,2004年2月
Claims (50)
1.一种移动IP第6版(MIPv6)的鉴权和授权支持的方法,其特征在于,通过AAA基础结构在位于受访网络(20)的移动节点(10)与所述移动节点的归属网络(30)之间在端到端过程中以鉴权协议传送MIPv6相关信息。
2.如权利要求1所述的方法,其特征在于,所述鉴权协议是扩展的鉴权协议。
3.如权利要求1所述的方法,其特征在于,所述端到端过程是在所述移动节点(10)和所述归属网络(30)中的AAA服务器(34)之间。
4.如权利要求3所述的方法,其特征在于,还将MIPv6相关信息从所述归属网络(30)中的AAA服务器(34)传送到归属代理(26;36)。
5.如权利要求1或4所述的方法,其特征在于,所述MIPv6相关信息包括从MIPv6鉴权、授权和配置信息组成的组中选择的信息。
6.如权利要求5所述的方法,其特征在于,所述MIPv6相关信息通过所述AAA基础结构传送,以在所述移动节点(10)和所述归属代理(26;36)之间立即或在将来建立MIPv6安全关联。
7.如权利要求5所述的方法,其特征在于,所述MIPv6相关信息通过所述AAA基础结构传送,以在所述归属代理(26;36)中为所述移动节点(10)建立绑定。
8.如权利要求2所述的方法,其特征在于,所述扩展的鉴权协议是扩展的可扩展鉴权协议(EAP),以及所述MIPv6相关信息作为附加数据结合在所述EAP协议栈中。
9.如权利要求8所述的方法,其特征在于,所述MIPv6相关信息在所述EAP协议栈中至少一个EAP属性中传送。
10.如权利要求9所述的方法,其特征在于,所述MIPv6相关信息作为所述EAP协议栈中的方法层的EAP属性来传送。
11.如权利要求10所述的方法,其特征在于,所述EAP属性是EAP TLV属性。
12.如权利要求9所述的方法,其特征在于,所述MIPv6相关信息在可用于任何EAP方法的通用容器属性中传送。
13.如权利要求9所述的方法,其特征在于,所述MIPv6相关信息在所述EAP协议栈中的方法层的方法特定的通用容器属性中传送。
14.如权利要求1所述的方法,其特征在于,在所述移动节点(10)与所述受访网络(20)中的AAA客户(22)之间,所述鉴权协议由从PANA、IEEE 802.1X和PPP组成的组中选择的协议来承载。
15.如权利要求3所述的方法,其特征在于,在所述受访网络(20)中的AAA客户(22)与所述归属网络(30)中的AAA服务器(34)之间,所述鉴权协议由的AAA框架协议应用来承载。
16.如权利要求4所述的方法,其特征在于,所述MIPv6相关信息在AAA框架协议应用中从所述归属网络(30)中的AAA服务器(34)传送到所述归属代理(26;36)。
17.如权利要求16所述的方法,其特征在于,所述归属代理(26;36)是所述受访网络(20)中的本地归属代理(26),以及所述MIPv6相关信息经由所述受访网络中的AAA服务器(24)从所述AAA归属服务器(34)传送到所述本地归属代理。
18.如权利要求15或16所述的方法,其特征在于,所述AAA框架协议应用是从直径和RADIUS组成的组中选择的协议的应用。
19.如权利要求4所述的方法,其特征在于,
在所述AAA归属网络服务器(34)上将归属代理(26;36)指定给所述移动节点(10);以及
将所述移动节点与所述归属代理之间的安全关联建立的证书相关数据从所述AAA归属网络服务器分别分发到所述移动节点和所述归属代理。
20.如权利要求3所述的方法,其特征在于,在所述AAA归属网络服务器(34)上将归属地址指定给所述移动节点(10)。
21.如权利要求20所述的方法,其特征在于,利用所选EAP过程的往返配置所述移动节点(10)的归属地址。
22.如权利要求19所述的方法,其特征在于,
在所述移动节点(10)上利用它的指定归属代理(26;36)的地址的至少一部分构建所述移动节点的归属地址;以及
利用所选EAP过程的往返将所述移动节点的归属地址从所述移动节点传送到所述AAA归属网络服务器(34)。
23.如权利要求20或22所述的方法,其特征在于,利用AAA框架协议应用将所述移动节点(10)的归属地址从所述AAA归属网络服务器(34)传送到所述归属代理(26;36)。
24.一种MIPv6的鉴权和授权支持的系统,其特征在于,用于通过AAA基础结构在位于受访网络(20)的移动节点(10)与所述移动节点的归属网络(30)之间在端到端过程中以鉴权协议传送MIPv6相关信息的装置。
25.如权利要求24所述的系统,其特征在于,所述鉴权协议是扩展的鉴权协议。
26.如权利要求24所述的系统,其特征在于,所述端到端过程是在所述移动节点(10)和所述归属网络(30)中的AAA服务器(34)之间。
27.如权利要求26所述的系统,其特征在于,用于还将MIPv6相关信息从所述归属网络(30)中的AAA服务器(34)传送到归属代理(26;36)的装置。
28.如权利要求24或27所述的系统,其特征在于,所述MIPv6相关信息包括从MIPv6鉴权、授权和配置信息组成的组中选择的信息。
29.如权利要求28所述的系统,其特征在于,所述用于通过所述AAA基础结构传送MIPv6相关信息的装置包括用于在所述移动节点(10)和所述归属代理(26;36)之间立即或在将来建立MIPv6安全关联的装置。
30.如权利要求28所述的系统,其特征在于,所述用于通过所述AAA基础结构传送MIPv6相关信息的装置包括用于在所述归属代理(26;36)中为所述移动节点(10)建立绑定的装置。
31.如权利要求25所述的系统,其特征在于,所述扩展的鉴权协议是扩展的可扩展鉴权协议(EAP),以及所述MIPv6相关信息作为附加数据结合在所述EAP协议栈中。
32.如权利要求31所述的系统,其特征在于,所述用于传送所述MIPv6相关信息的装置包括在所述EAP协议栈中的至少一个EAP属性。
33.如权利要求32所述的系统,其特征在于,所述用于传送所述MIPv6相关信息的装置包括在所述EAP协议栈中的方法层的EAP属性。
34.如权利要求33所述的系统,其特征在于,所述EAP属性是EAP TLV属性。
35.如权利要求32所述的系统,其特征在于,所述用于传送所述MIPv6相关信息的装置包括可用于任何EAP方法的通用容器属性。
36.如权利要求32所述的系统,其特征在于,用于传送所述MIPv6相关信息的装置包括所述EAP协议栈中的方法层的方法特定的通用容器属性。
37.如权利要求24所述的系统,其特征在于,在所述移动节点(10)与所述受访网络(20)中的AAA客户(22)之间的鉴权协议由从PANA、IEEE 802.1X和PPP组成的组中选择的协议来承载。
38.如权利要求26所述的系统,其特征在于,所述鉴权协议由所述受访网络(20)中的AAA客户(22)与所述归属网络(30)中的AAA服务器(34)之间的AAA框架协议应用来承载。
39.如权利要求27所述的系统,其特征在于,所述MIPv6相关信息在AAA框架协议应用中从所述归属网络(30)中的AAA服务器(34)传送到所述归属代理(26;36)。
40.如权利要求39所述的系统,其特征在于,所述归属代理(26;36)是所述受访网络(20)中的本地归属代理(26),以及所述MIPv6相关信息经由所述受访网络中的AAA服务器(24)从所述AAA归属服务器(34)传送到所述本地归属代理。
41.如权利要求38或39所述的系统,其特征在于,所述AAA框架协议应用是从直径和RADIUS组成的组中选择的协议的应用。
42.如权利要求27所述的系统,其特征在于,
用于在所述AAA归属网络服务器(34)上将归属代理(26;36)指定给所述移动节点(10)的装置;以及
用于将所述移动节点与所述归属代理之间的安全关联建立的证书相关数据从所述AAA归属网络服务器分别分发到所述移动节点和所述归属代理的装置。
43.如权利要求26所述的系统,其特征在于,用于在所述AAA归属网络服务器(34)上将归属地址指定给所述移动节点(10)的装置。
44.如权利要求43所述的系统,其特征在于,用于利用所选EAP过程的往返配置所述移动节点(10)的归属地址的装置。
45.如权利要求42所述的系统,其特征在于,
用于在所述移动节点(10)上利用它的指定归属代理(26;36)的地址的至少一部分构建所述移动节点的归属地址的装置;以及
用于利用所选EAP过程的往返将所述移动节点的归属地址从所述移动节点传送到所述AAA归属网络服务器(34)的装置。
46.如权利要求43或45所述的系统,其特征在于,用于利用AAA框架协议应用将所述移动节点(10)的归属地址从所述AAA归属网络服务器(34)传送到所述归属代理(26;36)的装置。
47.一种移动IP第6版(MIPv6)的鉴权和授权支持的AAA归属网络服务器(34),其特征在于,
用于将归属代理(26;36)指定给移动节点(10)的装置;以及
用于将所述移动节点与所述归属代理之间的安全关联建立的证书相关数据分别分发到所述移动节点和所述归属代理的装置。
48.如权利要求47所述的服务器,其特征在于,用于将归属地址指定给所述移动节点(10)的装置。
49.如权利要求48所述的服务器,其特征在于,用于利用所选EAP过程的往返配置所述移动节点(10)的归属地址的装置。
50.如权利要求48所述的服务器,其特征在于,用于利用AAA框架协议应用将所述移动节点(10)的归属地址传送到所述归属代理(26;36)的装置。
Applications Claiming Priority (5)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US47915603P | 2003-06-18 | 2003-06-18 | |
| US60/479,156 | 2003-06-18 | ||
| US55103904P | 2004-03-09 | 2004-03-09 | |
| US60/551,039 | 2004-03-09 | ||
| PCT/SE2004/000949 WO2004112348A1 (en) | 2003-06-18 | 2004-06-15 | Method, system and apparatus to support mobile ip version 6 services |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1836417A true CN1836417A (zh) | 2006-09-20 |
| CN1836417B CN1836417B (zh) | 2011-03-09 |
Family
ID=33555519
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2004800233218A Expired - Fee Related CN1836417B (zh) | 2003-06-18 | 2004-06-15 | 支持移动ip第6版业务的方法、系统和设备 |
Country Status (7)
| Country | Link |
|---|---|
| US (1) | US7934094B2 (zh) |
| EP (2) | EP1634421A1 (zh) |
| JP (2) | JP2006527966A (zh) |
| CN (1) | CN1836417B (zh) |
| CA (1) | CA2528787A1 (zh) |
| RU (2) | RU2322766C2 (zh) |
| WO (2) | WO2004112348A1 (zh) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2008061424A1 (fr) * | 2006-11-22 | 2008-05-29 | Huawei Technologies Co., Ltd. | Procédé permettant de signaler que le côté réseau soutient la capacité d'amélioration ip mobile |
| CN101808319A (zh) * | 2010-03-16 | 2010-08-18 | 东南大学 | 一种保护移动锚点和移动节点通信安全的方法 |
| CN101536438B (zh) * | 2006-11-27 | 2012-09-05 | 华为技术有限公司 | 使用授权令牌分离认证和授权服务的系统和方法 |
| CN101785241B (zh) * | 2007-08-24 | 2013-03-20 | 三星电子株式会社 | 移动通信系统中使用移动因特网协议管理移动性的方法和系统 |
| CN104618901A (zh) * | 2007-10-25 | 2015-05-13 | 交互数字专利控股公司 | 在wtru中处理nas消息的方法及wtru |
| US9577885B2 (en) | 2006-12-21 | 2017-02-21 | Core Wireless Licensing S.A.R.L. | Method of providing a mobility service |
Families Citing this family (67)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7475241B2 (en) * | 2002-11-22 | 2009-01-06 | Cisco Technology, Inc. | Methods and apparatus for dynamic session key generation and rekeying in mobile IP |
| US7870389B1 (en) | 2002-12-24 | 2011-01-11 | Cisco Technology, Inc. | Methods and apparatus for authenticating mobility entities using kerberos |
| CN1265607C (zh) * | 2003-12-08 | 2006-07-19 | 华为技术有限公司 | 无线局域网中业务隧道建立的方法 |
| EP1712058A1 (en) * | 2004-02-06 | 2006-10-18 | Telecom Italia S.p.A. | Method and system for the secure and transparent provision of mobile ip services in an aaa environment |
| US7539159B2 (en) * | 2004-04-07 | 2009-05-26 | Nokia Corporation | Maintaining reachability of a mobile node |
| US9686669B2 (en) * | 2004-04-08 | 2017-06-20 | Nokia Technologies Oy | Method of configuring a mobile node |
| US8139571B2 (en) * | 2004-04-14 | 2012-03-20 | Rockstar Bidco, LP | Mobile IPv6 authentication and authorization baseline |
| KR101278310B1 (ko) * | 2004-06-21 | 2013-06-25 | 시카 테크놀러지 아게 | 시멘트 분쇄 보조제 |
| US8594323B2 (en) * | 2004-09-21 | 2013-11-26 | Rockstar Consortium Us Lp | Method and apparatus for generating large numbers of encryption keys |
| US7639802B2 (en) * | 2004-09-27 | 2009-12-29 | Cisco Technology, Inc. | Methods and apparatus for bootstrapping Mobile-Foreign and Foreign-Home authentication keys in Mobile IP |
| KR100651716B1 (ko) * | 2004-10-11 | 2006-12-01 | 한국전자통신연구원 | Diameter 기반 프로토콜에서 모바일 네트워크의부트스트랩핑 방법 및 그 시스템 |
| US7502331B2 (en) * | 2004-11-17 | 2009-03-10 | Cisco Technology, Inc. | Infrastructure-less bootstrapping: trustless bootstrapping to enable mobility for mobile devices |
| US7734051B2 (en) * | 2004-11-30 | 2010-06-08 | Novell, Inc. | Key distribution |
| CN100571196C (zh) * | 2005-03-22 | 2009-12-16 | 华为技术有限公司 | 移动IPv6报文穿越防火墙的实现方法 |
| FI20050384A0 (fi) * | 2005-04-14 | 2005-04-14 | Nokia Corp | Geneerisen todentamisarkkitehtuurin käyttö Internet-käytäntöavainten jakeluun matkaviestimissä |
| FI20050491A0 (fi) * | 2005-05-09 | 2005-05-09 | Nokia Corp | Järjestelmä varmenteiden toimittamiseksi viestintäjärjestelmässä |
| US8353011B2 (en) | 2005-06-13 | 2013-01-08 | Nokia Corporation | Apparatus, method and computer program product providing mobile node identities in conjunction with authentication preferences in generic bootstrapping architecture (GBA) |
| WO2007034299A1 (en) * | 2005-09-21 | 2007-03-29 | Nokia Corporation, | Re-keying in a generic bootstrapping architecture following handover of a mobile terminal |
| US20070101122A1 (en) * | 2005-09-23 | 2007-05-03 | Yile Guo | Method and apparatus for securely generating application session keys |
| US7626963B2 (en) * | 2005-10-25 | 2009-12-01 | Cisco Technology, Inc. | EAP/SIM authentication for mobile IP to leverage GSM/SIM authentication infrastructure |
| US7818783B2 (en) * | 2006-03-08 | 2010-10-19 | Davis Russell J | System and method for global access control |
| KR101203470B1 (ko) | 2006-03-10 | 2012-11-27 | 삼성전자주식회사 | 핸드오버하는 이동 단말을 인증하는 방법 |
| US8230212B2 (en) * | 2006-08-29 | 2012-07-24 | Alcatel Lucent | Method of indexing security keys for mobile internet protocol authentication |
| KR100863135B1 (ko) * | 2006-08-30 | 2008-10-15 | 성균관대학교산학협력단 | 이동환경에서의 듀얼 인증 방법 |
| WO2008043319A1 (en) * | 2006-10-11 | 2008-04-17 | Huawei Technologies Co., Ltd. | Mobile ip key bootsrapping system and method |
| US20080095114A1 (en) * | 2006-10-21 | 2008-04-24 | Toshiba America Research, Inc. | Key Caching, QoS and Multicast Extensions to Media-Independent Pre-Authentication |
| WO2008080637A1 (en) * | 2007-01-04 | 2008-07-10 | Telefonaktiebolaget Lm Ericsson (Publ) | Method and apparatus for determining an authentication procedure |
| US8099597B2 (en) | 2007-01-09 | 2012-01-17 | Futurewei Technologies, Inc. | Service authorization for distributed authentication and authorization servers |
| JP2008211446A (ja) * | 2007-02-26 | 2008-09-11 | Nippon Telegr & Teleph Corp <Ntt> | 通信システムおよび通信方法 |
| US8411858B2 (en) * | 2007-03-28 | 2013-04-02 | Apple Inc. | Dynamic foreign agent-home agent security association allocation for IP mobility systems |
| US8285990B2 (en) | 2007-05-14 | 2012-10-09 | Future Wei Technologies, Inc. | Method and system for authentication confirmation using extensible authentication protocol |
| WO2008153456A1 (en) * | 2007-06-11 | 2008-12-18 | Telefonaktiebolaget Lm Ericsson (Publ) | Method and arrangement for certificate handling |
| US8667151B2 (en) * | 2007-08-09 | 2014-03-04 | Alcatel Lucent | Bootstrapping method for setting up a security association |
| JP4970189B2 (ja) * | 2007-08-10 | 2012-07-04 | 株式会社東芝 | 認証装置およびネットワーク認証システム、ならびに端末装置を認証するための方法およびプログラム |
| JP5238029B2 (ja) * | 2007-09-20 | 2013-07-17 | テレフオンアクチーボラゲット エル エム エリクソン(パブル) | 通信ネットワーク間でのローミングの方法および装置 |
| US8914445B2 (en) * | 2007-10-17 | 2014-12-16 | Futurewei Technologies, Inc. | System and method for diameter prefix authorization |
| CN101222494B (zh) * | 2007-12-29 | 2010-10-20 | 北京邮电大学 | 移动互联网中分层aaa的移动性管理系统和方法 |
| US8279872B1 (en) * | 2008-04-25 | 2012-10-02 | Clearwire Ip Holdings Llc | Method for obtaining a mobile internet protocol address |
| US8370503B2 (en) * | 2008-05-02 | 2013-02-05 | Futurewei Technologies, Inc. | Authentication option support for binding revocation in mobile internet protocol version 6 |
| US8788826B1 (en) * | 2008-06-06 | 2014-07-22 | Marvell International Ltd. | Method and apparatus for dynamically allocating a mobile network prefix to a mobile terminal |
| US8625799B2 (en) * | 2008-07-18 | 2014-01-07 | Absolute Software Corporation | Privacy management for tracked devices |
| US9813901B2 (en) * | 2008-10-22 | 2017-11-07 | Panasonic Intellectual Property Corporation Of America | Communication system, communication method, network side communication device and communication terminal |
| WO2010049574A1 (en) * | 2008-10-29 | 2010-05-06 | Nokia Corporation | Connection management |
| KR20170001731A (ko) * | 2009-03-05 | 2017-01-04 | 인터디지탈 패튼 홀딩스, 인크 | 안전한 원격 가입 관리 |
| CA2696037A1 (en) | 2010-03-15 | 2011-09-15 | Research In Motion Limited | Advertisement and dynamic configuration of wlan prioritization states |
| US8340292B1 (en) * | 2010-04-01 | 2012-12-25 | Sprint Communications Company L.P. | Lawful intercept management by an authorization system |
| US8681769B2 (en) | 2010-05-14 | 2014-03-25 | Blackberry Limited | Incorporation of a notification in a network name |
| US8929346B2 (en) | 2010-05-14 | 2015-01-06 | Blackberry Limited | Advertisement and distribution of notifications in a wireless local area network (WLAN) |
| US8458279B2 (en) * | 2010-05-14 | 2013-06-04 | Research In Motion Limited | Advertisement and distribution of notifications using extensible authentication protocol (EAP) methods |
| US8442024B2 (en) | 2010-05-14 | 2013-05-14 | Research In Motion Limited | Advertisement and distribution of notifications in a wireless local area network (WLAN) |
| EP2697992A4 (en) * | 2011-04-15 | 2014-09-24 | Samsung Electronics Co Ltd | METHOD AND APPARATUS FOR PROVIDING MACHINE COMMUNICATION SERVICE |
| US8750180B2 (en) | 2011-09-16 | 2014-06-10 | Blackberry Limited | Discovering network information available via wireless networks |
| US9060263B1 (en) * | 2011-09-21 | 2015-06-16 | Cellco Partnership | Inbound LTE roaming footprint control |
| RU2465638C1 (ru) * | 2011-10-04 | 2012-10-27 | Общество с ограниченной ответственностью "Сетевизор" | Способ распространения мультимедийной информации посредством развертывания децентрализованной сети типа peer-to-peer и децентрализованная сеть для осуществления способа |
| US8942221B2 (en) | 2011-11-10 | 2015-01-27 | Blackberry Limited | Caching network discovery responses in wireless networks |
| US9204299B2 (en) | 2012-05-11 | 2015-12-01 | Blackberry Limited | Extended service set transitions in wireless networks |
| US10812964B2 (en) | 2012-07-12 | 2020-10-20 | Blackberry Limited | Address assignment for initial authentication |
| US9137621B2 (en) | 2012-07-13 | 2015-09-15 | Blackberry Limited | Wireless network service transaction protocol |
| US9301127B2 (en) | 2013-02-06 | 2016-03-29 | Blackberry Limited | Persistent network negotiation for peer to peer devices |
| KR102021213B1 (ko) * | 2014-10-31 | 2019-09-11 | 콘비다 와이어리스, 엘엘씨 | 엔드 투 엔드 서비스 계층 인증 |
| US10110595B2 (en) | 2015-03-16 | 2018-10-23 | Convida Wireless, Llc | End-to-end authentication at the service layer using public keying mechanisms |
| CN106487717B (zh) * | 2015-09-02 | 2020-03-27 | 华为技术有限公司 | 接入控制设备及认证控制方法 |
| JP2017167763A (ja) * | 2016-03-15 | 2017-09-21 | 富士通株式会社 | 情報処理装置、試験実行方法および試験実行プログラム |
| EP3535926B1 (en) * | 2016-11-26 | 2021-04-28 | Huawei Technologies Co., Ltd. | System, method and devices for mka negotiation between the devices |
| US10169023B2 (en) * | 2017-02-06 | 2019-01-01 | International Business Machines Corporation | Virtual container deployment |
| US11240027B2 (en) * | 2019-02-04 | 2022-02-01 | Hewlett Packard Enterprise Development Lp | Synchronizing radius server databases using distributed ledger network |
| JP2023039218A (ja) | 2021-09-08 | 2023-03-20 | キオクシア株式会社 | 計算機および制御方法 |
Family Cites Families (23)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7079499B1 (en) * | 1999-09-08 | 2006-07-18 | Nortel Networks Limited | Internet protocol mobility architecture framework |
| AU2001257347A1 (en) * | 2000-05-17 | 2001-11-26 | Motorola, Inc. | Mobile internet protocol on a signaling channel |
| JP3639208B2 (ja) * | 2000-11-28 | 2005-04-20 | 株式会社東芝 | 移動通信システム、移動端末装置、aaahサーバ装置、認証課金サービス提供方法、認証課金サービス享受方法、移動端末装置情報提供方法及び相手端末確認方法 |
| US6879690B2 (en) * | 2001-02-21 | 2005-04-12 | Nokia Corporation | Method and system for delegation of security procedures to a visited domain |
| US20020120844A1 (en) * | 2001-02-23 | 2002-08-29 | Stefano Faccin | Authentication and distribution of keys in mobile IP network |
| US7444513B2 (en) * | 2001-05-14 | 2008-10-28 | Nokia Corporiation | Authentication in data communication |
| CN1142666C (zh) * | 2001-06-18 | 2004-03-17 | 尹远裕 | 在固定电信网上实现宽带可移动通信的方法及装置 |
| JP2003008622A (ja) | 2001-06-22 | 2003-01-10 | Fujitsu Ltd | サービス制御ネットワーク、及びそのサービス制御ネットワークにおいて使用されるルータ装置 |
| US7213144B2 (en) | 2001-08-08 | 2007-05-01 | Nokia Corporation | Efficient security association establishment negotiation technique |
| US7389412B2 (en) | 2001-08-10 | 2008-06-17 | Interactive Technology Limited Of Hk | System and method for secure network roaming |
| ES2270681B2 (es) | 2001-09-12 | 2007-12-01 | Telefonaktiebolaget Lm Ericsson (Publ.) | Disposicion y metodo de internet de moviles en sistemas de comunicaciones. |
| US7061887B2 (en) * | 2002-01-25 | 2006-06-13 | Telefonaktiebolaget Lm Ericsson (Publ) | Multiple mobile IP sessions with dynamically allocated home IP address |
| US6973086B2 (en) * | 2002-01-28 | 2005-12-06 | Nokia Corporation | Method and system for securing mobile IPv6 home address option using ingress filtering |
| US7564824B2 (en) * | 2002-02-04 | 2009-07-21 | Qualcomm Incorporated | Methods and apparatus for aggregating MIP and AAA messages |
| US7965693B2 (en) * | 2002-05-28 | 2011-06-21 | Zte (Usa) Inc. | Interworking mechanism between wireless wide area network and wireless local area network |
| US7529933B2 (en) * | 2002-05-30 | 2009-05-05 | Microsoft Corporation | TLS tunneling |
| US20030226037A1 (en) * | 2002-05-31 | 2003-12-04 | Mak Wai Kwan | Authorization negotiation in multi-domain environment |
| CN1383302A (zh) * | 2002-06-05 | 2002-12-04 | 尹远裕 | 在固定电信网上实现宽带可移动通信的方法 |
| MXPA05001699A (es) * | 2002-08-16 | 2005-07-22 | Togewa Holding Ag | Metodo y sistema para autentificacion gsm al navegar en wlan. |
| GB0221674D0 (en) * | 2002-09-18 | 2002-10-30 | Nokia Corp | Linked authentication protocols |
| AU2003276588A1 (en) * | 2002-11-18 | 2004-06-15 | Nokia Corporation | Faster authentication with parallel message processing |
| US7587598B2 (en) * | 2002-11-19 | 2009-09-08 | Toshiba America Research, Inc. | Interlayer fast authentication or re-authentication for network communication |
| US7310307B1 (en) * | 2002-12-17 | 2007-12-18 | Cisco Technology, Inc. | System and method for authenticating an element in a network environment |
-
2004
- 2004-06-15 CA CA002528787A patent/CA2528787A1/en not_active Abandoned
- 2004-06-15 US US10/595,019 patent/US7934094B2/en active Active
- 2004-06-15 WO PCT/SE2004/000949 patent/WO2004112348A1/en active Application Filing
- 2004-06-15 CN CN2004800233218A patent/CN1836417B/zh not_active Expired - Fee Related
- 2004-06-15 RU RU2006101329/09A patent/RU2322766C2/ru not_active IP Right Cessation
- 2004-06-15 EP EP04736894A patent/EP1634421A1/en not_active Withdrawn
- 2004-06-15 EP EP04748997.6A patent/EP1634422B1/en not_active Not-in-force
- 2004-06-15 JP JP2006517034A patent/JP2006527966A/ja active Pending
- 2004-06-15 WO PCT/SE2004/000945 patent/WO2004112347A1/en active Application Filing
- 2004-06-15 JP JP2006517037A patent/JP4377409B2/ja not_active Expired - Fee Related
- 2004-06-15 RU RU2006101340/09A patent/RU2368086C2/ru not_active IP Right Cessation
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2008061424A1 (fr) * | 2006-11-22 | 2008-05-29 | Huawei Technologies Co., Ltd. | Procédé permettant de signaler que le côté réseau soutient la capacité d'amélioration ip mobile |
| CN101193039B (zh) * | 2006-11-22 | 2011-04-20 | 华为技术有限公司 | 网络侧支持移动ip增强能力的通知方法 |
| CN101536436B (zh) * | 2006-11-22 | 2011-05-04 | 华为技术有限公司 | 网络侧支持移动ip增强能力的通知方法 |
| CN101536438B (zh) * | 2006-11-27 | 2012-09-05 | 华为技术有限公司 | 使用授权令牌分离认证和授权服务的系统和方法 |
| US8539559B2 (en) | 2006-11-27 | 2013-09-17 | Futurewei Technologies, Inc. | System for using an authorization token to separate authentication and authorization services |
| US9577885B2 (en) | 2006-12-21 | 2017-02-21 | Core Wireless Licensing S.A.R.L. | Method of providing a mobility service |
| CN101785241B (zh) * | 2007-08-24 | 2013-03-20 | 三星电子株式会社 | 移动通信系统中使用移动因特网协议管理移动性的方法和系统 |
| CN104618901A (zh) * | 2007-10-25 | 2015-05-13 | 交互数字专利控股公司 | 在wtru中处理nas消息的方法及wtru |
| CN104618901B (zh) * | 2007-10-25 | 2019-01-04 | 交互数字专利控股公司 | 在wtru中处理nas消息的方法及wtru |
| CN101808319A (zh) * | 2010-03-16 | 2010-08-18 | 东南大学 | 一种保护移动锚点和移动节点通信安全的方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2004112347B1 (en) | 2005-06-16 |
| WO2004112348B1 (en) | 2005-04-14 |
| CN1836417B (zh) | 2011-03-09 |
| EP1634422A1 (en) | 2006-03-15 |
| JP4377409B2 (ja) | 2009-12-02 |
| RU2006101340A (ru) | 2006-06-10 |
| US20070124592A1 (en) | 2007-05-31 |
| JP2006527967A (ja) | 2006-12-07 |
| RU2322766C2 (ru) | 2008-04-20 |
| JP2006527966A (ja) | 2006-12-07 |
| CA2528787A1 (en) | 2004-12-23 |
| US7934094B2 (en) | 2011-04-26 |
| EP1634422B1 (en) | 2016-11-16 |
| EP1634421A1 (en) | 2006-03-15 |
| RU2368086C2 (ru) | 2009-09-20 |
| WO2004112348A1 (en) | 2004-12-23 |
| RU2006101329A (ru) | 2006-07-27 |
| WO2004112347A1 (en) | 2004-12-23 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN1836417A (zh) | 支持移动ip第6版业务的方法、系统和设备 | |
| CN1836419A (zh) | 在cdma系统中支持移动ip第6版业务的方法、系统和设备 | |
| US8584207B2 (en) | Infrastructure-less bootstrapping: trustless bootstrapping to enable mobility for mobile devices | |
| CN1275418C (zh) | 分组数据网中的验证 | |
| CN1875598A (zh) | 用于异构ip网络认证的装置和方法 | |
| CN1762129A (zh) | Wlan相互连接中的服务和地址管理系统及方法 | |
| KR101268892B1 (ko) | 독립적인 네트워크들에 걸친 공통 인증 및 인가 방법 | |
| CN1539106A (zh) | 互联网协议的模块化鉴权和授权方案 | |
| CN1794676A (zh) | 用户接入无线通信网络的方法和无线网络接入控制装置 | |
| CN1689367A (zh) | 安全装置的安全和保密性增强 | |
| CN1714542A (zh) | 无线局域网互连中的识别信息保护方法 | |
| CN101053233A (zh) | 用于控制通信网络中移动性的方法和系统,及其相关网络和计算机程序产品 | |
| US20090193253A1 (en) | Method and server for providing a mobile key | |
| CN1531245A (zh) | 服务器、终端控制设备以及终端鉴权方法 | |
| CN1503595A (zh) | 使用压缩重关联交换辅助快速越区切换的802.11 | |
| US8331287B2 (en) | Method and system for managing mobility in a mobile communication system using mobile internet protocol | |
| TW201325182A (zh) | 在一無線通訊網路中之使用者資料檔,方針及代理行動網際網路協定密鑰之分布 | |
| CN1969568A (zh) | 使用预认证、预配置和/或虚拟软切换的移动体系结构 | |
| US7920865B2 (en) | System and method for managing secure registration of a mobile communications device | |
| CN1751533A (zh) | 在移动无线电系统中形成和分配加密密钥的方法和移动无线电系统 | |
| CN101064648A (zh) | 实现移动IPv6的系统及其用户连接建立方法 | |
| CN101075870A (zh) | 一种移动ip密钥的产生及分发方法 | |
| CN1836420A (zh) | 支持分级移动ip业务的方法、系统和设备 | |
| US8908871B2 (en) | Mobile internet protocol system and method for updating home agent root key | |
| CN101051893A (zh) | 移动密钥的生成和分发方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CI02 | Correction of invention patent application |
Correction item: Priority Correct: 2004.03.09 US 60/551,039 False: Lack of priority second Number: 38 Page: The title page Volume: 22 |
|
| COR | Change of bibliographic data |
Free format text: CORRECT: PRIORITY; FROM: MISSING THE SECOND ARTICLE OF PRIORITY TO: 2004.3.9 US 60/551,039 |
|
| REG | Reference to a national code |
Ref country code: HK Ref legal event code: DE Ref document number: 1094105 Country of ref document: HK |
|
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| REG | Reference to a national code |
Ref country code: HK Ref legal event code: WD Ref document number: 1094105 Country of ref document: HK |
|
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20110309 Termination date: 20170615 |