CN1836419B - 在cdma系统中支持移动ip第6版业务的方法、系统和设备 - Google Patents
在cdma系统中支持移动ip第6版业务的方法、系统和设备 Download PDFInfo
- Publication number
- CN1836419B CN1836419B CN2004800234013A CN200480023401A CN1836419B CN 1836419 B CN1836419 B CN 1836419B CN 2004800234013 A CN2004800234013 A CN 2004800234013A CN 200480023401 A CN200480023401 A CN 200480023401A CN 1836419 B CN1836419 B CN 1836419B
- Authority
- CN
- China
- Prior art keywords
- mipv6
- authentication
- eap
- ppp
- mobile node
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/50—Address allocation
- H04L61/5007—Internet protocol [IP] addresses
- H04L61/503—Internet protocol [IP] addresses using an authentication, authorisation and accounting [AAA] protocol, e.g. remote authentication dial-in user service [RADIUS] or Diameter
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/162—Implementing security features at a particular protocol layer at the data link layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/062—Pre-authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/069—Authentication using certificates or pre-shared keys
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W80/00—Wireless network protocols or protocol adaptations to wireless operation
- H04W80/04—Network layer protocols, e.g. mobile IP [Internet Protocol]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Business, Economics & Management (AREA)
- Accounting & Taxation (AREA)
- Mobile Radio Communication Systems (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明通过在位于受访网络的移动节点(10)与所述移动节点的归属网络之间通过AAA基础结构在端到端过程中以优选扩展的鉴权协议传送MIPv6相关信息来提供CDMA框架中的MIPv6的鉴权和授权支持。优选地,端到端过程在移动节点和归属网络的AAA服务器(34)之间执行。在受访网络中,较低层建立之后,在移动节点与网络互连接入服务器(22)之间建立点到点通信。接入服务器然后与AAA归属服务器通信,以实施移动节点的MIPv6鉴权和授权。首选实施例使用EAP作为扩展的鉴权协议的基础。然后将EAP扩展用于MIPv6发起和重新鉴权,而CHAP可以对于MIPv6切入是有益的。
Description
技术领域
本发明一般涉及移动通信,并且更具体地涉及在CDMA系统中对移动IP第6版业务的支持。
背景技术
移动IP(MIP)使移动节点可以以极小的服务中断来更改它到因特网的连接点。MIP本身不提供任何对跨不同管理域的移动性的特定支持,这限制了大规模商业部署中MIP的可应用性。
MIP第6版(MIPv6)协议[1]使节点可以在因特网拓扑内移动,同时保持可达性和与通信节点的正进行连接。在此情况中,每个移动节点总是由它的归属地址来标识,而不管它到IPv6因特网的当前连接点。当远离它的归属网络时,移动节点还与转交地址相关联,转交地址提供有关移动节点的当前位置的信息。将寻址到移动节点的归属地址的IPv6分组或多或少透明地路由选择到它的转交地址(CoA)。MIPv6协议使IPv6节点能够高速缓存移动节点的归属地址与它的转交地址的绑定,并然后将发往移动节点的任何分组发送到转交地址。为此,每次移动时,移动节点发送所说的绑定更新到它的归属代理(HA)以及与它正在通信的通信节点。
允许MIPv6的移动节点,如蜂窝电话、膝上型计算机和其他端用户设备,从而可以在属于它们的归属服务提供商以及其他提供商的网络之间漫游。可以在外地网络中漫游是因为营运商之间存在服务级别和漫游协定。MIPv6提供单个管理域内的会话连续性,但是依赖于鉴权、授权和计费(AAA)基础结构的可用性来跨不同的管理域(即当在归属营运商所管理的网络之外漫游时)提供它的业务。
虽然移动IPv6可以被视为完整的移动性协议,但是为了能够大规模部署还需要便于部署MIPv6的更多的和/或改进的机制。具体来说,缺乏便于在CDMA系统(如CDMA2000)中使用MIPv6的解决方案。在目前的3GPP2CDMA2000框架内,规定了移动IPv4操作和简单IPv4/IPv6操作[2]。但是,对于移动IPv6操作没有对应的规范,而且尚未定义3GPP2将如何采用MIPv6。因此非常期望在CDMA2000内允许移动IPv6操作的解决方案。由此,用于与鉴权相关的事宜的适当机制是至关重要的。再者,为了允许平滑的移动IPv6操作,往往期望缩短MN因移动到新域并获取新的授权CoA而变得暂时不可达时的切换时间。
因此,非常需要一种适用于CDMA2000和类似的CDMA框架的MIPv6鉴权机制,并且具体来说需要一种允许比较短的切换/建立时间的机制。
发明内容
本发明的一般目的是支持CDMA系统中的MIPv6业务。本发明的特定目的是允许在诸如CDMA2000和CDMAOne的框架内的MIPv6鉴权和/或授权。另一个目的是实现CDMA系统中MIPv6通信的分组数据会话建立时间的改善。本发明还有一个目的是提供一种用于CDMA框架内MIPv6切入(hand-in)的一般机制。
这些目的根据所附的权利要求来实现。
本发明基本上涉及CDMA框架中MIPv6的鉴权和授权支持,并且是基于通过AAA基础结构在位于受访网络的移动节点与移动节点的归属网络之间在端到端过程中以鉴权协议传送MIPv6相关信息。MIPv6相关信息通常可以包括MIPv6鉴权、授权和/或配置信息。鉴权协议优选地是扩展的鉴权协议,但是还可以使用完全新近定义的协议。
优选地,端到端过程在移动节点和归属网络的AAA服务器之间执行,根据需要和当需要时与归属代理适当地交互。在受访网络中,较低层建立(包括无线链路建立)之后,例如在移动节点与适合的CDMA特定的网络互连接入服务器(如分组数据服务节点(PDSN))之间建立点到点通信。接入服务器/PDSN然后或多或少直接或经由受访网络中的AAA服务器与AAA归属网络服务器通信,以实施移动节点的MIPv6鉴权和授权。
例如,本发明可以使用可扩展协议(EAP)作为扩展的鉴权协议的基础,创建EAP扩展同时通常保持EAP较低层完整。这通常意味着MIPv6相关信息作为附加数据结合在EAP协议栈中。
鉴权协议优选地在移动节点与接入服务器(PDSN)之间由PPP(点到点协议)、CSD-PPP(电路交换数据-PPP)或PANA(承载网络接入鉴权的协议)来承载,以及在接入服务器(PDSN)与AAA归属网络服务器之间在AAA基础结构内由诸如直径和RADIUS的AAA框架协议应用来承载。
优选地通过使用例如PPP或CSD-PPP来实现移动节点与接入服务器(PDSN)之间的点到点通信的初始化和配置,其中CSD-PPP的使用显著地减少了往返的数量以及由此缩短了分组数据会话建立时间。有利地,接入服务器(PDSN)例如通过发出标准的PPP/LCP分组,并紧随PPP/CHAP和/或PPP/EAP分组来向移动节点提供使用CSD-PPP作为PPP的备选的可能性。移动节点然后可以在PPP和CSD-PPP之间选择。如果移动节点选择使用PPP,则它忽略不是PPP/LCP的消息。如果移动节点选择使用CSD-PPP,则可以同时处理LCP(链路控制协议)、网络鉴权和NCP(网络控制协议)阶段。
MIPv6鉴权和/或授权的三种主要场合标识为:MIPv6发起、MIPv6切入和MIPv6重新鉴权。优选地将适合于MIPv6的EAP扩展用于MIPv6发起和重新鉴权,而CHAP(询问握手鉴权协议)的使用已经证明是对含MIPv6鉴权的MIPv6切入有益的。
凭借本发明,首次实现了一种在CDMA框架中的MIPv6鉴权的完整的总解决方案,而在现有技术中仅具有彼此不一致的局部解决方案。通过在此情况中采用CSD-PPP,可以显著缩短分组数据会话建立时间。再者,对诸如EAP扩展的鉴权协议的依赖提供了一种流线式解决方案,它易于管理且一流,向后兼容问题最少。EAP的使用还使受访网络中的AAA组件可以至少在HA位于归属网络时对MIPv6过程不可知(agnostic)(即这去除对受访网络中的MIPv6支持的依赖),并仅充当直通(pass-through)代理。
所提出的解决方案尤其适用于在例如根据3GPP2规范的CDMA2000内的MIPv6鉴权,但是还可以用于其他诸如CDMAOne和将来的CDMA框架的其他框架。
附图简介
通过参考以下说明及附图,可以更好地理解本发明,图中:
图1示出用于移动IP接入的一般3GPP2参考模型;
图2是可以使用本发明的用于移动IP接入的CDMA网络的示意图;
图3是根据本发明示范实施例的一般用于处理MIPv6发起的信号流程图;
图4是根据本发明另一个示范实施例的一般用于处理MIPv6发起的信号流程图;
图5是根据本发明示范实施例的含MIPv6鉴权的MIPv6发起的信号流程图;
图6是根据本发明另一个示范实施例的含MIPv6鉴权的MIPv6发起的信号流程图;
图7是根据本发明再一个示范实施例的含MIPv6鉴权的MIPv6发起的信号流程图;
图8是根据本发明示范实施例的含MIPv6鉴权的MIPv6切入的信号流程图;
图9是根据本发明另一个示范实施例的含MIPv6鉴权的MIPv6切入的信号流程图;
图10是根据本发明示范实施例的MIPv6重新鉴权的信号流程图;
图11是根据本发明另一个示范实施例的MIPv6重新鉴权的信号流程图;
图12是根据本发明示范实施例的网络互连接入服务器的示意框图;
图13是示出根据本发明示范实施例的AAA归属网络服务器的示意框图;以及
图14是根据本发明用于CDMA系统中支持移动节点的MIPv6业务的方法的基本示例的示意流程图。
具体实施方式
在说明书的最后给出本文档中所用的缩略语列表。
图1示出用于移动IP接入的一般3GPP2参考模型。其中图示了移动台从源RN和服务PDSN切换到目标RN和目标PDSN的情况。图1的AAA服务器以RADIUS服务器为例来说明,但是完全可以用其他AAA服务器来替换,包括根据直径协议工作的服务器。
图2是可以使用本发明的用于移动IP接入的CDMA通信系统的示意图。图2的CDMA示意体系结构可以视为图1中的模型的简化和通用化版本。示出在不是移动节点相关联的归属网络的外地网络/受访网络中漫游的移动节点(MN)10,例如蜂窝电话、膝上型计算机或PDA。在受访网络中,MN10通过无线电网络(RN)21与网络互连接入服务器(以分组数据服务节点(PDSN)22为例来说明)通信,网络互连接入服务器管理到MN10的物理层连接。网络互连接入服务器22提供无线电网络和IP网络之间的网络互连,并且在某种意义上与充当外地代理的AAA客户相当。虽然PDSN是用于CDMA2000的特定节点,但是其他CDMA框架中可以有等效物。由此,PDSN通常发起MN10的鉴权、授权和计费。
如图2所示,PDSN22通过包括一个或多个AAA服务器24、34的AAA基础结构连接到MN10的归属网络中的归属代理(HA)36。HA36通常由用户的服务提供商来维护,它管理例如用户登记和将分组重定向到PDSN。AAA服务器总的用途是与PDSN和其他AAA服务器交互以对移动客户授权、鉴权和(任选地)执行计费。这通常涉及提供可以在MN10和HA36之间实现安全关联的机制。
移动IP鉴权和授权经常涉及以下基本步骤。MN10连接到最近的PDSN/外地代理22。PDSN又一般经由AAAv服务器24利用接入请求消息与AAAh服务器34联系,以对用户鉴权并获取适当的隧道传送(tunneling)参数、IP地址等。如果鉴权成功,则AAA服务器授权该用户,并可以建立MN10和HA36之间的安全关联。一般是HA36指定IP地址和对用户通信量路由选择。
据我们知道的,现有技术中尚未提出MIPv6鉴权和/或授权支持的完整解决方案。一些提议针对端到端AAA链的部分(例如[3]针对AAA客户和AAA服务器之间的部分,PANA[4]协议针对MN与AAA客户之间的部分),但是这些局部解决方案彼此不一致,且不能端到端有效。再者,[3]的常规机制要求AAA客户和AAAv理解鉴权方法,并知道MN与AAAh之间MIPv6相关数据交换的内容。利用这样的解决方案,不可能在MN和AAAh之间应用现有的加密,而且系统在窃听、中间人攻击等方面变得非常易受攻击。
具体地,如背景技术部分中提到的,在诸如CDMA2000的框架中没有用于MIPv6鉴权和/或授权的现有技术机制,因此非常需要这样的机制,尤其是与比较短的切换/建立时间相关联的机制。
为了满足该需要,本发明提出通过AAA基础结构在位于受访网络的移动节点与移动节点的归属网络之间在端到端过程中采用鉴权协议,优选地以一种新方式组合诸如上述PPP、CSD-PPP、PANA和直径/RADIUS协议来实现适用于诸如CDMA2000的CDMA系统的鉴权和/或授权过程。MIPv6相关信息优选地包括通过AAA基础结构传送的鉴权、授权和/或配置信息,以在移动节点和归属代理之间建立MIPv6安全关联(即安全关系)或绑定。
优选地,端到端过程根据需要和当需要时通过与归属代理的适当交互在移动节点和归属网络的AAA服务器之间执行。图13是根据本发明的这样的AAA归属网络服务器的首选实施例的示意框图。在此示例中,AAAh服务器34基本上包括归属地址指定模块51、归属代理(HA)指定模块52、安全关联模块53、授权信息管理器54和输入/输出(I/O)接口55。模块51优选地执行归属地址指定(除非归属地址在移动节点配置并被发送到HA),以及模块52可操作用于指定和/或重新指定适合的归属代理(HA)。AAAh服务器34通常还从移动节点接收密钥种子和绑定更新(BU)。备选地,AAAh服务器34本身生成密钥种子并将其发送到移动节点。安全关联模块53优选地生成所需的安全密钥以响应该种子,并将该密钥安全传送到HA。还将绑定更新(BU)转发到归属代理(HA),以便HA可以高速缓存移动节点的归属地址与转交地址的绑定。AAAh服务器还可以从HA接收诸如IPSec信息的信息,以完成安全关联。然后可以将该信息连同其他收集的授权(和/或配置)信息存储在任选的授权信息管理器54中,以随后传送到移动节点。
在受访网络中,通常在移动节点与适合的网络互连接入服务器(如PDSN)之间建立点到点通信,网络互连接入服务器例如提供无线电网络和IP网络之间所需的网络互连。图12是这样的网络互连接入服务器的首选实施例的示意框图。网络互连接入服务器22包括例如经由PPP或CSD-PPP与移动节点通信的模块41以及与AAA服务器和类似的节点通信的模块42。
授权阶段自然地包括显式授权,但是还可以包括所涉及节点的配置。因此MIPv6相关配置(如移动节点的配置和/或HA的配置)通常被视为整个授权过程的一部分。
术语“AAA”应该取其因特网草案、RFC和其他标准化文档中的一般含义。通常,AAA(授权、鉴权、计费)基础结构的鉴权和安全密钥同意基于对称密码学,意味着在移动节点和归属网络营运商或可信方之间存在共享的初始秘密。在一些场合和应用中,例如可以禁用或不实施AAA基础结构的计费特征。AAA基础结构一般在归属网络和/或受访网络中包括一个或多个AAA服务器,而且还可以包括一个或多个AAA客户。任选地,还可以在AAA基础结构中包括一个或多个中间网络。
在下文中,将参考三种主要的MIPv6场合:MIPv6发起、MIPv6切入和MIPv6重新鉴权,来概述CDMA框架中MIPv6鉴权和/或授权的一些基本特征。
对于MIP发起,当没有现有的MIPv6业务可用时,执行包括无线链路建立的较低层配置,并且然后需要发起和配置在移动节点和PDSN或受访网络中的等效节点之间的点到点通信。点到点通信的配置优选地通过使用例如PPP或CSD-PPP来实现。CSD-PPP的使用显著地减少往返的数量,并由此缩短分组数据会话建立时间。
本发明优选地使用扩展的鉴权协议作为传送MIPv6相关数据的鉴权协议的基础,下文将主要以这样的扩展协议为例来说明。例如,本发明可以使用可扩展鉴权协议(EAP)作为扩展的鉴权协议的基础,将用于鉴权、授权和/或配置的MIPv6相关信息作为附加数据结合在EAP协议栈中。尽管如此,应该强调的是,从最初构建的鉴权协议也属于本发明的范围。
一旦配置了移动节点和PDSN或等效节点之间的通信,则在移动节点与PDSN之间可以例如由PPP、CSD-PPP或PANA来承载扩展的鉴权协议,以及在AAA基础结构内由诸如直径和RADIUS的AAA框架协议应用传送到AAA归属网络服务器。
为了IP地址指定,例如将DHCP用于IP地址指定是可能的。备选地,可以将PPP/CSD-PPP的NCP(IPv6CP)阶段用于接口-ID指定,以及将IPv6路由器征询/公告用于获取IPv6地址的全局前缀。有关IPv6中地址配置的一般信息,参考[5]。
对于MIPv6切入,当切换需要重新建立必要的荷载以使正进行MIPv6业务可以继续时,已经证明将CHAP协议用于鉴权是有益的,例如将PPP或CSD-PPP用于配置点到点通信和作为协议载体。
对于MIPv6重新鉴权,例如当移动节点与归属代理之间的信任关系截止时,在移动节点和PDSN之间通常已经有建立的点到点通信。与MIPv6发起的情况相似,移动节点和PDSN之间优选地由PPP或PANA来承载扩展的鉴权协议,以及在AAA基础结构内由诸如直径和RADIUS的AAA框架协议应用传送到AAA归属网络服务器。
如上面提到的,例如,在MN10和PDSN22(或通信节点)之间可以由PANA或PPP来承载扩展的鉴权协议(例如扩展的EAP)。备选地,与令人满意的较低层排序保证相关联的其他载体协议如IEEE802.1X[6]可以用于承载扩展的鉴权协议。对于3GPP2CDMA2000系统,使用PPP数据链路层协议封装是可能的,对于EAP[7],协议字段值设为C227(Hex)。
应该强调的是,虽然本发明对于CDMA2000是非常有利的,但是它还可以用于其他框架,如CDMAOne和基于CDMA技术的其他(目前的或将来的)框架/操作模式。
在下面的段落中,将描述上面提到的将PPP和CSD-PPP协议用于配置点到点通信和/或作为扩展的鉴权协议(例如扩展的EAP)和/或CHAP的载体。
在3GPP2CDMA2000内,PPP[8]可以用于结合移动和简单IP操作建立分组数据会话,因此必要的PPP交换在切换期间落在延迟关键路径内。对于简单IPv4/IPv6操作和移动IPv4操作的情况,如在3GPP2CDMA2000中规定的PPP的使用是不同的。对于简单IPv4/IPv6操作,PPP的鉴权阶段用于CHAP鉴权,而PPP的NCP(IPCP/IPv6CP[9])阶段用于IP地址指定。对于IPv4操作,PPP内不执行鉴权阶段,而在PPP的NCP(IPCP)阶段不请求IP地址。
在现有技术中,没有制定关于在CDMA系统中将PPP用于移动IPv6操作的规范/定义。但是,对将PPP用于移动IPv6操作的解决方案的迫切需要是它们至少向后兼容目前的PPP使用。根据本发明的一些有利实施例满足了该需要,这些实施例引入了在CDMA系统中结合移动IPv6支持的CSD-PPP的使用。除了确保与目前PPP使用的互操作性外,CSD-PPP在可以根据CSD-PPP调整两个对等协议实体的情况中使配置时间大大缩短。
基本上,通过修改PPP实现缩短的配置时间。一般思想是,当2个CSD-PPP对等方通信时,将不再需要严格区分PPP的LCP、鉴权和NCP阶段。即LCP、鉴权和NCP阶段可以同时发生,从而缩短整个PPP配置时间。再者,在一个PPP对等方是根据CSD-PPP修改的而另一方不是的情况中,修改的对等方退回到与PPP相符。这是以既不减少也不增加PPP配置时间的方式执行。有关一般CSD-PPP机制的信息可以参见例如[10]。
为了更好地理解本发明,马上将描述根据本发明首选实施例的示范扩展鉴权协议。这些示范实施例使用EAP作为扩展的鉴权协议的基础,创建EAP扩展同时往往保持EAP较低层完整。但是应该理解,本发明并不局限于此,并且还可以以类似的方式扩展其他一般的鉴权协议。具体对于EAP的情况,将MIPv6相关信息通常作为附加数据结合在EAP协议栈中,通常是凭借一个或多个新的EAP属性。下文在“方法特定的EAP属性”和“通用容器属性”部分中描述用于实施这样的EAP属性的不同解决方案。
方法特定的EAP属性
根据本发明的一个具体实施例,MIPv6相关信息作为EAP协议栈的EAP方法层中的EAP属性来传送。然后定义新的(扩展的)EAP鉴权协议来承载用于MIPv6鉴权的方法。该扩展的EAP协议应该优选地允许协商/增强MIPv6鉴权,并且还可以支持便于例如动态MN归属地址分配、动态HA分配、HA和MN之间分发安全密钥以及在PAC和PAA之间分发安全密钥以实现PANA安全的一些辅助信息。
这些新的EAP属性可以是例如,新的EAP TLV属性,并且马上将提供示范的协议的详细内容以说明整个流程和概念的可行性。
以下的EAP-TLV是可以在本发明的扩展EAP协议下定义的新的EAP TLV的示例:
i)MD5询问EAP-TLV属性
ii)MD5响应EAP-TLV属性
iii)MIPv6归属地址请求EAP-TLV属性
iv)MIPv6归属地址响应EAP-TLV属性
v)MIPv6归属代理地址请求EAP-TLV属性
vi)MIPv6归属代理地址响应EAP-TLV属性
vii)HA-MN预共享密钥生成现用值EAP-TLV属性
viii)IKE KeyID EAP-TLV属性
ix)HA-MN IPSec SPI EAP-TLV属性
x)HA-MN IPSec密钥有效期EAP-TLV属性
xi)PAC-PAA预共享密钥生成现用值EAP-TLV属性
xii)MIPv6归属地址EAP-TLV属性
xiii)HA-MN预共享密钥EAP-TLV属性
xiv)HA-MN IPSec协议EAP-TLV属性
xv)HA-MN IPSec密码EAP-TLV属性
xvi)MIP-绑定-更新EAP-TLV属性
xvii)MIP-绑定-确认EAP-TLV属性
凭借这些属性(的子集或全部),除了主要的IPv6鉴权信息之外,EAP协议还可以承载MIPv6相关的辅助信息,这是非常有利的。MIPv6相关的辅助信息可以包括例如,对动态MN归属地址分配、动态归属代理分配的请求以及创建必要的安全密钥的现用值/种子。
根据本发明的扩展EAP协议的鉴权机制可以例如使用MD5-询问鉴权,但是其他类型的协议也属于本发明的范围。在通过MD5-询问鉴权来实施的情况中,可以定义以下用于MIPv6鉴权的EAP-TLV属性:
i)MD5询问EAP-TLV属性
这表示AAAh随机生成并发送到MN以实现MD5询问的八位位组串。
ii)MD5响应EAP-TLV属性
这表示作为MD5散列函数的结果生成的连同AAAh和MN之间的预共享秘密密钥的八位位组串。
如果要传送便于动态MN归属地址分配的MIPv6相关信息,则可以例如定义以下的EAP-TLV属性:
iii)MIPv6归属地址请求EAP-TLV属性
这表示对鉴权的MN的动态分配的MIPv6归属地址的请求。在MN最初请求被鉴权和被给予MIPv6业务时,由MN向AAAh请求它。当MN已经具有先前指定的归属地址时,例如MIPv6切换期间,该EAP属性通常定义为任选属性。
iv)MIPv6归属地址响应EAP-TLV属性
这表示鉴权的MN的动态分配的MIPv6归属地址。在对已经请求归属地址的MN成功鉴权时,从AAAh将其通知给MN。当MN已经具有先前指定的归属地址时,例如MIPv6切换期间,该属性通常是任选的。
对于动态HA分配,可以使用以下示范的EAP-TLV属性:
v)MIPv6归属代理地址请求EAP-TLV属性
这表示当成功鉴权时对MN的动态分配的HA的地址的请求。在MN最初请求被鉴权和被给予MIPv6业务时,由MN向AAAH请求它。如果HA分配已经是现成的,如当MIPv6协议的动态HA发现方法用于分配HA时或当MN已经具有先前指定的HA时(例如MIPv6切换期间),该属性通常定义为任选的。
vi)MIPv6归属代理地址响应EAP-TLV属性
这表示鉴权的MN的动态分配的HA地址。当MN最初请求被鉴权和被给予MIPv6业务时,从AAAh将其通知给MN。因为对于归属代理分配,MIPv6协议具有动态的归属代理发现方法,所以该属性通常是任选的。当MN已经具有先前指定的HA时,例如MIPv6切换期间,该属性也是任选的。
可以定义以下示范的EAP-TLV属性以在HA和MN之间分发安全密钥:
vii)HA-MN预共享密钥生成现用值EAP-TLV属性
这表示MN随机生成的作为用于生成HA-MN之间预共享密钥的种子的八位位组串。通过对该现用值和MN与AAAh之间的共享密钥的组合使用适当的散列算法,MN可以内部生成HA-MN预共享密钥。当已经存在有效的HA-MN预共享密钥时,例如MIPv6切换期间,该属性通常是任选的。
viii)IKE KeyID EAP-TLV属性
这表示[11]中定义的ID有效负荷。KeyID由AAAh生成,并当成功鉴权时被发送到MN。KeyID包括一些八位位组,它告知HA关于如何从AAAh检索(或生成)HA-MN预共享密钥。该属性通常定义为任选的,以及当MN尚未提交HA-MN预共享密钥生成现用值即已经存在有效的HA-MN预共享密钥时,例如MIPv6切换期间,一般不需要该属性。在HA-MN预共享密钥由AAAh经由[12]中定义的AAAh-HA接口传送到HA时的情况中通常也不需要该属性。
ix)HA-MN IPSec SPI EAP-TLV属性
这表示HA和MN之间的IPSec的安全参数索引。如果HA-MN预共享密钥由AAAh经由[12]中定义的AAAh-HA接口传送到HA,则由HA生成该属性,并将其传递到MN。该属性通常是任选的,以及当MN尚未提交HA-MN预共享密钥生成现用值即已经存在有效的HA-MN预共享密钥时,例如MIPv6切换期间,一般不需要它。当未使用[12]中定义的AAAh-HA接口时,也不需要它。
x)HA-MN IPSec密钥有效期EAP-TLV属性
这表示HA和MN之间的IPSec的密钥有效期。如果HA-MN预共享密钥由AAAh经由[12]中定义的AAAh-HA接口传送到HA,则由HA生成该属性,并将其传递到MN。该属性通常是任选的,以及当MN尚未提交HA-MN预共享密钥生成现用值即已经存在有效的HA-MN预共享密钥时,例如MIPv6切换期间,一般不需要该属性。当不使用[12]中定义的AAAh-HA接口时,通常也不需要它。
如果PANA用于在MN和PDSN/AAA客户之间承载扩展的EAP协议,则可以定义以下示范的EAP-TLV属性以在MN/PAC和PDSN/AAA客户/PAA之间分发安全密钥以实现PANA安全:
xi)PAC-PAA预共享密钥生成现用值EAP-TLV属性
这表示MN/PAC随机生成的作为用于生成MN/PAC和PDSN/AAA客户/PAA之间的预共享密钥的种子的八位位组串。通过对该现用值和MN与AAAh之间的共享密钥的组合使用适当的散列算法,MN/PAC可以内部生成PAC-PAA预共享密钥。凭借该属性,可以实现令人满意的PANA安全。
最后,为特殊的MIPv6,可以定义以下任选的EAP-TLV属性:
xii)MIPv6归属地址EAP-TLV属性
这表示鉴权的MN的动态分配的MIPv6归属地址。在对例如已经请求的MN成功鉴权时从AAAh将其通知给HA,以在HA中指定MIPv6归属地址。
xiii)HA-MN预共享密钥EAP-TLV属性
这表示HA-MN之间的动态生成的预共享密钥。当MN请求被鉴权和被给予MIPv6业务时,从AAAh将其通知给HA。通过对由HA-MN预共享密钥生成现用值EAP-TLV属性给出的现用值和MN与AAAh之间的共享密钥的组合使用适当的散列算法,AAAh可以内部生成HA-MN预共享密钥。当已经存在有效的HA-MN预共享密钥时,该属性是任选的。
xiv)HA-MN IPSec协议EAP-TLV属性
这表示HA-MN之间的IPSec协议(例如ESP或AH)。对于HA-MN预共享密钥由AAAh传送到HA时的情况,这被通知给MN。该属性是任选的,以及当MN未提交HA-MN预共享密钥生成现用值即已经存在有效的HA-MN预共享密钥时,例如MIPv6切换期间,一般不需要该属性。
xv)HA-MN IPSec密码EAP-TLV属性
这表示HA-MN之间的IPSec的密码算法。对于HA-MN预共享密钥由AAAh传送到HA时的情况,这被通知给MN。该属性是任选的,以及当MN未提交HA-MN预共享密钥生成现用值即已经存在有效的HA-MN预共享密钥时,例如MIPv6切换期间,一般不需要该属性。
xvi)MIP-绑定-更新EAP-TLV属性
这表示MN生成的绑定更新分组。这在鉴权和授权交换中经由AAAh从MN转发到HA。该属性是任选的,以及当MN将绑定更新分组直接发送到HA时,一般不需要该属性。
xvii)MIP-绑定-确认EAP-TLV属性
这表示HA生成的绑定确认分组。这在鉴权和授权交换中经由AAAh从HA转发到MN。该属性是任选的,以及当HA将绑定确认分组直接发送到MN时,一般不需要该属性。
下表1中给出所描述的用于传送MIPv6相关信息的示范EAP-TLV的概括矩阵。
表1
| MIPv6相关的EAP类型-长度-值 | 源 | 目的地 | 目的 |
| ·MD5询问EAP-TLV属性·MD5响应EAP-TLV属性·MIPv6归属地址请求EAP-TLV属性·MIPv6归属地址响应EAP-TLV属性·MIPv6归属代理地址请求EAP-TLV属性·MIPv6归属代理地址响应EAP-TLV属性·HA-MN预共享密钥生成现用值EAP-TLV属性 | AAAhMNMNAAAhMNAAAhMN | MNAAAhAAAhMNAAAhMNAAAh | 发布询问提供对询问的响应请求MN归属地址指定MN归属地址请求HA地址指定HA地址HA-MN密钥的种子 |
| MIPv6相关的EAP类型-长度-值 | 源 | 目的地 | 目的 |
| ·IKE KeyID EAP-TLV属性·HA-MN IPSec SPI EAP-TLV属性·HA-MN IPSec密钥有效期EAP-TLV属性·PAC-PAA预共享密钥生成现用值EAP-TLV属性·MIPv6归属地址EAP-TLV属性·HA-MN预共享密钥EAP-TLV属性·HA-MN IPSec协议EAP-TLV属性·HA-MN IPSec密码EAP-TLV属性·MIP-绑定-更新EAP-TLV属性·MIP-绑定-确认EAP-TLV属性 | AAAhHAHAMNAAAhAAAhHAHAMNHA | MNMN经AAAhMN经AAAhAAAhHAHAMN经AAAhMN经AAAhHA经AAAhMN经AAAh | 用于从AAAh获得HA-MN预共享密钥的信息指定SPI指定IPSec密钥有效期PAC-PAA密钥的种子指定MN归属地址指定HA-MN密钥指定IPSec协议指定IPSec密码捎带传输MIP绑定更新捎带传输MIP绑定确认 |
信令流程图即图3和4中提供了根据本发明的用于处理MIPv6发起的示范方案。示出了在MN、接入路由器、AAAh和HA之间利用上述示范EAP TLV属性实施的MIPv6相关信息的传送。接入路由器可以例如包括PDSN功能,在这点上对应于AAA客户功能。术语“EAP/MIPv6”指用于在本发明首选实施例中通过AAA基础结构传送MIPv6相关信息的新的扩展EAP协议。图3和4的具体示例涉及使用PANA与直径的组合作为载体协议的MIPv6AAA,但是本发明并不局限于此,这将稍后通过图5-11的流程图理解。图3中的流程图示出利用根据[12]的AAAh-HA接口来交换HA-MN预共享密钥的MIPv6发起。图4所示的MIPv6发起机制的另一个实施例使用IKEKeyID来交换HA-MN预共享密钥。图4的信令流描述根据本发明示范实施例的MIPv6切换。
通用容器属性
在本发明的另一个实施例中,MIPv6相关信息在通用容器EAP属性中承载,它优选地可以与任何EAP分组中所含的任何EAP方法一起使用。由此EAP以通用容器属性(还称为GCA)来增补,通用容器属性可以用于在MN10和AAAh34之间承载非EAP相关数据,更具体地即MIPv6相关数据。这使MN和AAAh可以以对受访域透明的方式通信,受访域包括接入网、PDSN/AAA客户和AAAv24。由此,正如上面关于方法特定的EAP TLV属性描述的情况一样,利用AAA基础结构来以优选地对受访域透明的方式支持MIPv6相关的特征。该解决方案可以例如支持归属网络中的动态HA指定(包括归属网络前缀);MN-HA证书的分发;MIPv6消息封装;网络接入和MIPv6的单个鉴权实体;和/或有态的(stateful)动态归属地址指定。
当使用通用容器属性时,EAP优选地被用作MIPv6相关数据的载体,而不创建新的EAP方法。但是,另一种变体是在该协议栈的方法层上的一个(或多个)EAP方法中引入通用容器属性。由此定义用于传送MIPv6相关数据的新EAP方法,并仅在该新EAP方法中使用通用容器属性。换言之,以类似于关于EAP TLV属性描述的方式,通用容器属性可以是方法特定的。
如前所述,在PDSN/AAA客户22和AAAh34之间,EAP在AAA框架协议如直径EAP应用[13]或RADIUS[14,15]中承载。但是,还提出使用新的/扩展的直径应用(或以新属性扩展的RADIUS)以在AAAh34和HA36之间交换AAA和MIPv6数据。该直径应用可以是现有直径应用的扩展版本,例如直径EAP应用[13]或新的直径应用。此新的/扩展的新直径应用(或扩展的RADIUS)下文称为“直径MIPv6应用”。应该强调的是,此引用仅为简明而使用,并不排除使用扩展的RADIUS或其他方法来实现AAAh-HA通信。
马上将主要以EAP协议为例并参考图2描述根据本发明使用通用容器属性处理鉴权过程的首选方式,鉴权过程包括归属代理和归属地址的指定。
在鉴权过程期间,MN10通过通用容器属性向AAAh34指示,它希望在归属网络30中指定HA36。现在有三种主要情况要考虑:
A)MN已经具有有效的归属地址。
B)使用有态的动态归属地址指定。
C)使用无态的归属地址自动配置。
如果MN10已经具有归属地址(A),则它将其连同对归属代理地址的请求一起发送到AAAh34。如果AAAh确定该归属地址是有效的,则它选择HA36并生成MN-HA证书,如预共享密钥或可以据以派生预共享密钥的数据。MN的归属地址和生成的MN-HA证书可以例如经由直径MIPv6应用被发送到所选的HA。所选HA的地址和生成的证书(或可以据以派生生成的证书的数据)经由扩展的鉴权协议例如扩展的EAP被发送到MN。例如,如果将预共享密钥发送到MN,则需要由根据AAAh与MN之间的安全关系派生的密钥(例如鉴权过程期间产生的会话密钥)对它进行保护(加密和完整性保护)。否则,不应该显式地发送预共享密钥。替代地,可以发送可基于MN-AAAh安全关系据以派生预共享密钥(或其他证书)的一块数据,例如现用值,(例如在使用EAP AKA[16]或EAP SIM[17]的情况下馈送到AKA或GSM鉴权算法的RAND参数)。如果将密码保护应用于这些证书,可以方便地对HA地址和归属地址使用相同类型的保护。
当完成网络接入鉴权且授权MN接入在接入服务器(例如WLANAP或接入路由器)以外的网络时,MN可以基于所获得的证书经由IKE(例如IKEv1或IKEv2)过程建立至指定HA的IPsec SA。此过程和随后的BU/BA交换使用常规的IKE和MIPv6机制来执行。
如果MN在对归属代理的请求中完全不包含归属地址或包含了不再有效的归属地址(例如因为MIPv6归属网络重新编号),则应该对该MN指定归属地址。对此,本发明提出有态的动态归属地址指定(B)或无态的归属地址自动配置(C)的机制。
本发明允许有态的动态归属地址指定(B),由此AAAh34对MN10指定归属地址。AAAh还生成MN-HA证书,它优选地将其连同指定的归属地址经由直径MIPv6应用发送到所选的HA36。AAAh还将指定的归属地址连同指定的HA的地址和生成的证书(或可以据以派生生成的证书的数据)经由本发明的扩展鉴权协议(以扩展的EAP为例)发送到MN。如在情况(A)中,在通过扩展的鉴权协议发送之前对MN-HA证书进行保护,或者备选地,不发送实际的证书而发送可以据以派生证书的数据,如现用值。在结束网络接入鉴权之后,MN可以使用常规的IKE和MIPv6机制建立IPsec SA并执行至指定HA的BU/BA交换。
如果使用归属地址的无态自动配置(C),则该行为依赖于所选EAP方法的往返数量。响应对HA36的请求,AAAh34将HA地址连同证书(或可据以派生证书的数据)返回到MN10。MN通常使用所接收的HA地址的前缀来构建归属地址。如果EAP过程未完成,即如果HA地址是在EAP请求分组中传送的而非在EAP成功分组中传送,则MN将其归属地址发送到AAAh。AAAh然后将接收到的归属地址连同这些证书发送到指定的HA。然后HA应该在它的子网上执行所接收的归属地址的DAD。如果DAD成功,则MN和HA稍后就可以使用常规的IKE和MIPv6机制建立IPsec SA并交换BU/BA分组。
如果MN改为在EAP过程的最终分组(即EAP成功分组)中接收到HA地址,则它无法将其新构建的归属地址传送到AAAh。解决此问题即EAP往返的数量不足的一种方式是,使AAAh利用用于允许传送通用容器属性的EAP通知请求/响应分组来增加EAP往返的数量。
所述机制的主要优点在于,它们简化了MN10和HA36的配置。MN可以对其网络接入配置参数(NAI和MN-AAAh安全关系)起杠杆作用,而且不需要MIPv6特定的配置。HA将不需要任何MN特定的配置,因为HA-AAAh安全关系足够。AAAh34可以很大程度上构成网络接入和MIPv6的单一鉴权实体(虽然在HA中仍可以基于从AAAh接收到的数据执行IKE鉴权)。
如果有效的MN-HA安全关联(例如IPsec SA)已经存在,则MN10无需向AAAh34请求HA地址。替代地可以通过将BU封装在通用容器属性中来降低整个接入延迟,并经由扩展的鉴权协议将其发送到AAAh。AAAh优选地将BU封装在直径MIPv6应用消息中,并将其发送到由BU的目的地址指示的HA36。HA以BA响应,以及AAAh将该响应中继到MN。封装的BU和BA受到MN-HA IPsecSA的保护。根据首选实施例,AAAh检查该HA地址有效,并检查MIPv6归属网络在将BU发送到HA之前尚未被重新编号。如果HA地址不是有效的,则AAAh通常将此错误指示给MN,并按如上所述指定HA,即AAAh发送HA地址、证书(或可据以派生证书的数据)以及可能还有归属地址到MN等。
直径MIPv6应用有时还可以用于传送HA36中生成的计费数据。例如当采用逆向隧道传送并且归属营运商希望能够验证从AAAv24接收到的计费数据时,这可以是有用的。
那么,将更详细地描述根据本发明的通用容器属性(GCA)的一些示范实施方式。
优选地,GCA属性可供所有方法使用,并可以被包含在任何EAP消息中,包括EAP成功/失败消息。这意味着它应该是EAP层而非EAP方法层的一部分(参见[18])。由此,要考虑的一个重要问题是就MN和EAP鉴权者(通常为网络接入服务器(NAS)中的EAP实体)而言的向后兼容。上述示例中通用容器属性的使用假定,以向后兼容且对EAP鉴权者透明的方式在EAP中引入该新属性。引入含有这些特性的GCA需要一些特殊的考虑,下面的段落将对此进行详细说明。
GCA的格式可以例如是两字节的GCA长度指示符,后跟GCA接受方指示符和GCA有效负荷。GCA接受方指示符然后指示EAP模块应将接收到的GCA的有效负荷发送到什么内部实体(即该指示符对应于IP报头中的协议/下一个报头字段或UDP和TCP报头中的端口号)。GCA有效负荷是不由EAP层解释的通用数据块。没有GCA例如可以通过将GCA长度指示符设为零来指示。
为了实现向后兼容,GCA应该以对直通EAP鉴权者透明的方式被包含在EAP分组中。直通EAP鉴权者是驻留在NAS中的EAP鉴权者,它在MN和后端EAP鉴权服务器(AAA服务器)之间中继EAP分组。EAP鉴权者的直通行为是基于EAP层报头来中继EAP分组,即EAP分组的开始位置中的代码、标识符和长度字段。这意味着可以通过将GCA设置在EAP层报头之后(即在代码、标识符和长度字段之后)来实现所期望的透明性和由此实现向后兼容。
但是,EAP鉴权者一般还需要检查EAP响应分组的类型字段(在EAP层报头之后),以识别EAP身份响应分组,据此可以提取AAA路由选择所需的NAI。当EAP鉴权者识别EAP身份响应分组时,它从类型字段之后的类型-数据字段提取NAI。因此,将GCA置于紧随EAP层报头之后(以对EAP鉴权者透明的方式)仅在EAP请求分组中可能。因此,一般首选是将GCA安排在类型字段之后或甚至(可能空终止)类型-数据字段之后。
将GCA置于紧随类型字段之后允许在除EAP身份响应分组外的所有EAP响应分组中使用GCA。在EAP身份响应分组中使用GCA会被禁止,因为从这些分组中,EAP鉴权者需要从类型-数据字段提取NAI,而遗留EAP鉴权者预期在紧随类型字段之后查找它。考虑到EAP一般具有相当少的往返,这可能限制GCA的使用。可能,GCA可以被置于EAP身份响应分组中的空终止类型-数据字段之后,而在其他EAP分组中保持其在类型字段之后的位置。
但是,会经常希望可以在所有EAP分组中一致使用的GCA的位置。从上述讨论得出结论,可以以向后兼容的方式将GCA置于所有EAP分组中的位置是在分组的末端,或多或少作为尾部。但是,该GCA位置对于没有类型-数据参数的显式长度指示符而依赖于EAP层报头中的长度字段的那些EAP分组可能导致问题。对于这样的分组,一般不可能将GCA与类型-数据字段区分。
为了克服此问题,根据提出的具体的首选GCA实施例,将GCA长度指示符、GCA接受方指示符以及GCA有效负荷的次序反转,使得GCA长度指示符最后出现。通过将GCA置于EAP分组的末端,EAP分组的最后两个八位位组(其长度由EAP层报头中的长度字段指示)始终会是GCA长度指示符。除非GCA长度指示符为零,GCA接受方指示符出现在GCA长度指示符之前而GCA有效负荷(其大小由GCA长度指示符确定)位于GCA接受方指示符之前。这样,识别EAP分组的GCA并将GCA与类型-数据字段区分总是可能,同时GCA的使用仍是对直通EAP鉴权者透明的。
与图6的GCA实施例的向后兼容还假定,EAP鉴权者不尝试从EAP请求/响应分组提取信息(除了EAP层报头和NAI),并且它接受成功/失败分组中的长度字段指示大于4的值。
处理向后兼容问题的备选方式是,使用EAP GCA测试请求/响应分组(即具有类型字段的新定义值的新EAP分组)来判断MN是否支持GCA。在初始的EAP身份请求/响应分组交换前或后,支持GCA的EAP鉴权者然后将EAP GCA测试请求分组(即具有专用类型值的EAP请求分组)发送到MN。([19]中的EAP对等状态机器指示两种备选的发送时间都是可行的)。如果MN支持GCA,则它以EAP GCA测试响应分组响应。否则,MN将EAP GCA测试请求分组解释为使用未知EAP方法的请求,并由此MN以EAP Nak分组响应。基于来自MN的响应,EAP鉴权者判断MN是否支持GCA。
支持GCA的MN可以根据EAP GCA测试请求分组的有无来判断EAP鉴权者是否支持GCA。如果当期望时(即在EAP身份请求/响应交换前或后)接收到EAP GCA测试请求分组,则认为EAP鉴权者支持GCA。否则,MN得出结论,EAP鉴权者不支持GCA。
如果MN和EAP鉴权者都支持GCA,则可以将其置于所有随后的EAP分组中的EAP层报头之后(GCA分量为原始顺序)。否则,GCA可以仍被包含在EAP分组中,这些EAP分组使它可以以如上所述的向后兼容的方式被包含。
所述处理向后兼容问题的备选方式有一些局限。首先,浪费了一个MN-EAP鉴权者往返。再者,如果在初始的EAP身份请求/响应分组交换之后交换EAP GCA测试请求/响应分组,则GCA无法在EAP身份响应分组中使用。该实施例还可以要求EAP鉴权者(例如NAS)使用EAP的修改版本,例如EAPv2。因此,虽然其他备选方式是可能的,但是将GCA安排在EAP分组中的首选方式通常会是在分组末端作为尾部,GCA长度指示符在最后,在GCA有效负荷和GCA接受方指示符之后。
如果对于在GCA中交换的数据,EAP往返的数量不够,则为了传送GCA,AAAh可以通过E A P通知请求/响应交换来增加EAP往返的数量。
如果GCA设为方法特定的,则GCA不会引入任何与向后兼容相关的问题,因为它将然后通常是类型-数据字段的一部分。
专门为CDMA框架定制的示范实施方式
在下文中,将描述根据本发明的MIPv6实施方式的若干示范实施例。一般参考图1和图2的体系结构。为了说明整个流程和概念的可行性,还参考了图5-11中的示范信令流程图。
与图3和4的上述示例比较,图5-11的信令流是更专门地为CDMA框架并具体地是为CDMA2000而定制的。在这些流程图中,为了简明,省略AAAh-HA或MN-HA的交互。假定发生某种形式的HA-MN密钥分发,例如如图3和4所示。
此处术语“EAP/MIPv6”用于表示本发明首选实施例中通过AAA基础结构传送MIPv6相关信息的新的扩展EAP协议。EAP/MIPv6可以例如使用上述新的EAP TLV属性或通用容器属性来承载MIPv6相关数据。
CDMA系统中移动IP第6版(MIPv6)的鉴权和授权支持的示范方案为:
(A)以与3GPP2移动IPv4操作中规定的PPP使用相似的方式使用PPPv6[9]的含MIPv6鉴权的MIPv6发起
(B)如IETF中定义的使用PPPv6的含MIPv6鉴权的MIPv6发起
(C)使用CSD-PPP的含MIPv6鉴权的MIPv6发起
(D)如3GPP2简单IPv6操作中规定的使用PPPv6的含MIPv6鉴权的MIPv6切入
(E)使用CSD-PPP的含MIPv6鉴权的MIPv6切入
(F)使用PANA的MIPv6重新鉴权
(G)使用PPP的MIPv6重新鉴权
MIPv6发起(A,B,C)一般在没有现有的MIPv6业务可用且移动台希望接收MIPv6业务时执行-移动台在发起请求中将希望的MIPv6参数发送到网络。MIPv6切入(D,E)在现有的MIPv6业务正进行且发生切换的情况中使用-需要重新建立必要的荷载以使MIPv6业务可以继续。MIPv6重新鉴权(F,G)通常发生在移动台和归属代理之间的信任关系截止且需要更新以继续MIPv6业务时。
(A)以与3GPP2移动IPv4操作中规定的PPP使用相似的方式使用PPPv6的含MIPv6鉴权的MIPv6发起
-MN、RAN和PDSN根据3GPP2标准建立必要的无线电链路和A10/A11链路。
-PDSN最初向MN提供使用CSD-PPP的可能性。这通过首先发送标准的PPP/LCP分组、其后紧随PPP/CHAP分组并且然后PPP/EAP分组来执行,参见图12。但是,MN选择使用PPP并忽略(无声丢弃)不是PPP/LCP的消息。
-无鉴权阶段在PPPv6内执行。
-无IP地址在PPPv6内的NCP(IPv6CP)阶段被请求。
-遵循PPP,直到NCP(IPv6CP)阶段完成才发送IP分组(例如,PANA,DHCP)。
-在IPv6CP完成之后开始PANA交换。PANA协议用于在MN和PDSN之间承载EAP。同时还发送DHCP以请求全局IP地址(有随后的DHCP答复)。
-EAP/MIPv6用于承载便于MIPv6鉴权、动态MN归属地址分配等的信息。
-PANA协议用于在MN和PDSN之间承载EAP。
-直径[例如13]用于在PDSN和AAAh之间承载EAP(诸如RADIUS的其他协议也是可能的)。
-该序列的其余部分可以例如依照图3和4的MIPv6发起情况的扩展的EAP信令流方案。
-DHCP[20]可以用于有态的IP地址自动配置。(备选方式是使用无态的IP地址自动配置辅以路由器征询/公告+重复地址检测,但是这通常对信令流增加至少再一个RTT。)
-从A10连接的成功建立到MN将MIPv6绑定更新发送到HA之前一般需要约6.5个往返时间(RTT)。
图5的信令流程图中示出以与3GPP2移动IPv4操作中规定的PPP使用相似的方式使用PPPv6的含MIPv6鉴权的MIPv6发起的方案的示范实施例。
(B)如IETF中定义的使用PPPv6的含MIPv6鉴权的MIPv6发起
-MN、RAN和PDSN根据3GPP2标准建立必要的无线电链路和A10/A11链路。
-PDSN最初向MN提供使用CSD-PPP的可能性。这通过首先发送标准的PPP/LCP分组、其后紧随PPP/CHAP分组并且然后PPP/EAP分组来执行(图12)。但是,MN选择使用PPP并忽略(无声丢弃)不是PPP/LCP的消息。
-PPP内的鉴权阶段用于EAP鉴权。
-EAP/MIPv6用于承载便于MIPv6鉴权、动态MN归属地址分配等的信息。
-直径用于在PDSN和AAAh之间承载EAP(诸如RADIUS的其他协议也是可能的)。
-扩展的EAP(即EAP/MIPv6)信令流方案可以是例如关于图3和4的MIPv6发起情况的。
-在PPP鉴权阶段之后,PPP内的NCP(IPv6CP)阶段用于接口-ID指定。
-遵循PPP,直到NCP(IPv6CP)阶段完成才发送IP分组(例如,路由器征询)。
-在IPv6CP完成之后发送IPv6路由器征询。路由器征询/公告用于获得IPv6地址的全局前缀。
-从A10连接的成功建立到MN将MIPv6绑定更新发送到HA之前一般需要约5.5个RTT。
图6的信令流程图中示出使用如IETF中定义的PPPv6的含MIPv6鉴权的MIPv6发起的方案的示范实施例。
(C)使用CSD-PPP的含MIPv6鉴权的MIPv6发起
-MN、RAN和PDSN根据3GPP2标准建立必要的无线电链路和A10/A11链路。
-PDSN最初向MN提供使用CSD-PPP的可能性。这通过首先发送标准的PPP/LCP分组、其后紧随PPP/CHAP分组并且然后PPP/EAP分组来执行(图12)。MN使用PPP/EAP选择CSD-PPP,因为它希望发起MIPv6。同时处理PPP/LCP。PPP/CHAP分组被无声丢弃。
-根据CSD-PPP,可以将PPP/IPv6CP和IP分组(例如,路由器征询)与PPP/EAP分组同时发送。
-EAP/MIPv6用于承载便于MIPv6鉴权、动态MN归属地址分配等的信息。
-直径用于在PDSN和AAAh之间承载EAP(诸如RADIUS的其他协议也是可能的)。
-扩展的EAP(即EAP/MIPv6)信令流方案可以例如对应于图3和4的MIPv6发起情况。
-IPv6CP用于接口-ID指定。
-路由器征询/公告用于获得IPv6地址的全局前缀。
-从A10连接的成功建立到MN将MIPv6绑定更新发送到HA之前一般需要约2.5个RTT。相对于不使用CSD-PPP的上述方案(A)和(B),可获得系数为3-4个RTT的增益。
图7的信令流程图中示出使用CSD-PPP的含MIPv6鉴权的MIPv6发起的方案的示范实施例。
(D)如3GPP2简单IPv6操作中规定的使用PPPv6的含MIPv6鉴权的MIPv6切入
-MN、RAN和PDSN根据3GPP2标准建立必要的无线电链路和A10/A11链路。
-PDSN最初向MN提供使用CSD-PPP的可能性。这通过首先发送标准的PPP/LCP分组、其后紧随PPP/CHAP分组并且然后PPP/EAP分组来执行(图12)。但是,MN选择使用PPP并忽略(无声丢弃)不是PPP/LCP的消息。
-没有需要区分简单IPv6和MIPv6切入的信令流。重用目前在3GPP2[2]中规定的简单IPv6过程。
-PPP中的鉴权阶段用于CHAP鉴权。
-PPP内的NCP(IPv6CP)阶段用于接口-ID指定。
-遵循PPP,直到IPv6CP阶段完成才发送IP分组(例如,路由器征询)。
-在IPv6CP完成之后发送IPv6路由器征询。路由器征询/公告用于获得IPv6地址的全局前缀。
-从A10连接的成功建立到MN将MIPv6绑定更新发送到HA之前一般需要约4.5个RTT。
图8的信令流程图中示出如3GPP2简单IPv6操作中规定的使用PPPv6的含MIPv6鉴权的MIPv6切入的方案的示范实施例。
(E)使用CSD-PPP的含MIPv6鉴权的MIPv6切入
-MN、RAN和PDSN根据3GPP2标准建立必要的无线电链路和A10/A11链路。
-PDSN最初向MN提供使用CSD-PPP的可能性。这通过首先发送标准的PPP/LCP分组、其后紧随PPP/CHAP分组并且然后PPP/EAP分组来执行(图12)。MN利用PPP/CHAP选择CSD-PPP,因为它希望MIPv6切入。同时处理PPP/LCP。PPP/EAP分组被无声丢弃。
-根据CSD-PPP,可以将PPP/IPv6CP和IP分组(例如,路由器征询)与PPP/CHAP分组同时发送。
-IPv6CP用于接口-ID指定。
-路由器征询/公告用于获得IPv6地址的全局前缀。
-从A10连接的成功建立到MN将MIPv6绑定更新发送到HA之前一般需要约1.5个RTT。相对于不使用CSD-PPP的方案(D),可获得系数为3个RTT的增益。
图9的信令流程图中示出使用CSD-PPP的含MIPv6鉴权的MIPv6切入的过程的示范实施例。
(F)使用PANA的MIPv6重新鉴权
-由于例如HA-MN IPSec密钥有效期截止,需要MN发起MIPv6重新鉴权。
-PANA用于承载EAP。
-EAP/MIPv6用于承载便于MIPv6重新鉴权的信息。
-直径用于在PDSN和AAAh之间承载EAP(诸如RADIUS的其他协议也是可能的)。
-扩展的EAP(即EAP/MIPv6)信令流方案可以例如对应于图3和4的MIPv6发起情况。
-从PANA发起到MN将MIPv6绑定更新发送到HA之前一般需要约4个RTT。
图10的信令流程图中示出使用PANA的MIPv6重新鉴权的方案的示范实施例。
(G)使用PPP的MIPv6重新鉴权
-由于例如HA-MN IPSec密钥有效期截止,需要MN发起MIPv6重新鉴权。
-PPP的鉴权阶段用于EAP鉴权。
-EAP/MIPv6用于承载便于MIPv6重新鉴权的信息。
-直径用于在PDSN和AAAh之间承载EAP(诸如RADIUS的其他协议也是可能的)。
-扩展的EAP(即EAP/MIPv6)信令流方案可以例如对应于图3和4的MIPv6发起情况。
-从PPP/LCP配置-Req到MN将MIPv6绑定更新发送到HA之前一般需要约3个RTT。
图11的信令流程图中示出使用PPP的MIPv6重新鉴权的方案的示范实施例。
依据上面的描述得出结论,根据本发明的MIPv6鉴权的方法的首选实施例将诸如扩展EAP的扩展鉴权协议用于MIPv6发起(A,B,C)和MIPv6重新鉴权(F,G)。对于MIPv6切入(D,E),可以有利地使用CHAP,以及路由器征询/公告用于获得IPv6地址的全局前缀。
如上述鉴权方案所示,本发明并不局限于具体的协议。例如方案F(图10)示出在一些方面PANA构成方案G(图11)的PPP的备选方式。使用具有对应于所示示例的功能的协议和协议组合的鉴权过程也属于本发明的范围。
应该注意,MIPv6发起、MIPv6切入和MIPv6重新鉴权的各个方案的所有组合均是可能的。具体实施方式中要选择哪些具体方案一般应该基于若干因素来决定,建立时间可以其中之一。
应该提及的是,本发明还可以结合受访网络中所说的“本地归属代理”来使用。本地HA可以在例如归属网络中没有HA36时使用。替代地,动态将本地HA指定给受访域中的漫游MN。MIPv6AAA信令可以然后遵循路径
本地HA。例如在AAAh和AAAv之间以及AAAv和本地HA之间使用扩展的直径应用是可能的。这样的解决方案一般需要AAAv中的MIPv6支持。
因此,本发明所提供的主要优点是它允许诸如CDMA2000的框架内的MIPv6鉴权和授权。CDMA系统的完整MIPv6AAA解决方案凭借以对受访域透明的方式端到端操作的扩展的鉴权协议来实现,受访域包括例如接入网、PDSN和受访网络中的AAA服务器。这样使得让这些节点的一些或全部仅充当直通代理成为可能,这是非常有利的。还将可能的是,在MN和AAAh之间应用现有的加密,因为这些交换在空中接口上是不可见的。这意味着对于在外地CDMA网络中漫游的移动节点可以保持防窃听、中间人和其他攻击的令人满意的安全性。此外,可能的是,营运商在不依赖其漫游伙伴的网络升级的情况下部署该解决方案。
另一个好处是,可以凭借本发明实现更短的分组数据会话建立时间。通过允许对于MIPv6切入情况和MIPv6发起情况分别使用不同的过程,如EAP/MIPv6用于发起而CHAP用于切入,与MIPv6发起情况相比,对于MIPv6切入情况,缩短分组数据会话建立时间是可能的。这样,通过允许对这两种情况使用不同的过程可以节省至少1个RTT。再者,与PPP相比,使用CSD-PPP显著缩短分组数据会话建立时间。可以获得系数为3-4个RTT的增益。
如果适当的话,可以通过使用PPP而非例如PANA来缩短会话建立时间,因为与只使用PPP的过程相比,涉及PANA的过程一般占用更多的RTT来完成。但是,即使PPP可以在会话建立时间方面较有优势,使用涉及PANA的过程仍可以是适当的,例如如果仅第3层(layer-3-only)的解决方案是首选的。
本发明的另一个有利特征是,可以无需区分例如简单IPv6和MIPv6切入的信令流。二者可以使用公共的鉴权过程。可以重用目前在3GPP2中规定的简单IPv6过程。
通过总结上述一些方面,可以看出图14是用于在CDMA系统中支持移动节点的MIPv6业务的方法的基本示例的示意流程图。在该示例中,步骤S1-S4中所示的信息传送和操作涉及移动节点的鉴权(S1)、MN-HA安全关联的建立(S2)、MIPv6配置(S3)和MIPv6绑定(S4)。步骤S2-S3通称为授权阶段。步骤S1-S4可以或多或少以并行方式执行(如果希望的话),以可以缩短整个建立时间。在步骤S1,通过AAA基础结构传送信息,以在归属网络端对移动节点鉴权。在步骤S2,传送MIPv6相关信息,以立即建立或允许将来建立MN和HA之间的安全关联。在步骤S3中,执行附加的MIPv6配置,例如通过向移动节点和/或归属代理传送配置参数以在其中进行适合的存储。在步骤S4,移动节点发送绑定更新,并在HA中建立MIPv6绑定。
本发明的详述示范实施例主要是参考目前的EAP[7,18]来讨论。但是应该理解,本发明非常适用于其他EAP版本,如EAPv2,以及以所述方式扩展的其他鉴权协议。EAP仅仅是可能的实施方式的示例,并且本发明一般不局限于此,而是可以备选地涉及非EAP方案。
在上述说明性示例中,假定移动节点(MN)和AAAh具有公共共享秘密。例如这可能是移动节点中安装的身份模块与归属网络之间共享的对称密钥。身份模块可以是本领域已知的任何防篡改身份模块,包括GSM移动电话中使用的标准SIM卡、通用SIM(USIM)、还称为WIM的WAP SIM、ISIM以及更普遍的UICC模块。对于MN-HA安全关系,可以由MN向AAAh传送种子或现用值(或从相反方向,即由AAAh始发种子并传送到MN),AAAh据此可以基于共享秘密创建MN-HA安全密钥,例如预共享密钥。移动节点可以独自生成相同的安全密钥,因为它始发种子/现用值(或从AAAh接收种子)并也具有共享秘密。备选地,AAAh可以单独生成MN-HA安全密钥,并将它们传送到MN(受密码保护)和HA。
虽然本发明是参考特定的示范实施例来描述的,但是它还涵盖所述特征的等效特征以及对于本领域技术人员显而易见的修改和变体。
参考文献
“IPv6中的移动性支持(Mobility Support in IPv6)”,D.Johnson,C.Perkins,J.Arkko,2003年5月26日。
3GPP2X.P0011Ver.1.0-9,3GPP2无线IP网络标准,2003年2月。
“直径移动IPv6应用(Diameter Mobile IPv6Application)”,Stefano M.Faccin,Franck Le,Basavaraj Patil,Charles E.Perkins,2003年4月。
“用于承载网络接入鉴权的协议(Protocol for CarryingAuthentication for Network Access)(PANA)”,D.Forsberg,Y.Ohba,B.Patil,H.Tschofenig,A.Yegin,2003年4月。
“IPv6style-IPv6中的地址自动配置(AddressAutoconfiguration in IPv6)”,HEO SeonMeyong Internet ResearchInstitute,2003年1月27。
IEEE标准802.1X,局域网和城域网-基于端口的网络接入控制
“PPP可扩展鉴权协议(PPP Extensible AuthenticationProtocol)(EAP)”,RFC2284,L.Blunk,J.Vollbrecht,1998年3月。
“点到点协议(The Point-to-Point Protocol)(PPP)”,RFC1661,W.Simpson,1994年7月。
“PPP上的IP第6版(IP Version 6 over PPP)”,RFC2472,D.Haskin,E.Allen,1998年12月。
美国专利6487218,“配置链路的方法和装置(Method andDevice for Configuring A Link)”,R.Ludwig,M.Gerdes,2002年11月26日。
“因特网安全关联和密钥管理协议(Internet SecurityAssociation and Key Management Protocol)(ISAKMP)”,RFC2408,D.Maughan,M.Schertler,M.Schneider,J.Turner,1998年11月
“直径移动IPv4应用(Diameter Mobile IPv4Application)”,P.Calhoun,T.Johansson,C.Perkins,2003年4月29日
“直径可扩展鉴权协议(EAP)应用(Diameter ExtensibleAuthentication Protocol(EAP)Application)”,T.Hiller,G.Zorn,2003年3月
“远程鉴权拨号用户服务(Remote Authentication Dial In UserService)(RADIUS)”,RFC2865,C.Rigney,S.Willens,A.Rubens,W.Simpson,2000年6月
“RADIUS扩展(RADIUS Extensions)”,RFC2869,C.Rigney,W.Willats,P.Calhoun,2000年6月
“EAP AKA鉴权(EAP AKA Authentication)”,J.Arkko,H.Haverinen,2003年10月。
“EAP SIM鉴权(EAP SIM Authentication)”,H.Haverinen,J.Salowey,2003年10月。
“可扩展鉴权协议(Extensible Authentication Protocol)(EAP)”,L.Blunk,J.Vollbrecht,B.Aboba,J.Carlson,H.Levkowetz,2003年9月
“EAP对等和鉴权者的状态机器(State Machines for EAPPeer and Authenticator)”,J.Vollbrecht,P.Eronen,N.Petroni,Y.Ohba,2003年10月
“IPv6的动态主机配置协议(Dynamic Host ConfigurationProtocol for IPv6)(DHCPv6)”,R.Droms,J.Bound,B.Voltz,T.Lemon,C.Perkins,M.Carney,2002年11月2日。
缩略语
AAA 鉴权、授权和计费
AAAh 归属AAA服务器
AAAv 受访AAA服务器
AKA 鉴权和密钥同意
AP 接入点
BA 绑定确认
BU 绑定更新
CDMA 码分多址
CHAP 询问握手鉴权协议
CoA 转交地址
CSD-PPP 电路交换的数据点到点协议
DAD 重复地址检测
DHCP 动态主机配置协议
EAP 可扩展鉴权协议
GCA 通用容器属性
GSM 全球移动通信系统
HA 归属代理
IKE 因特网密钥交换
IP 因特网协议
IPCP IP控制协议
IPsec IP安全
IPv6CP IPv6控制协议
ISAKMP 因特网安全关联和密钥管理协议
LCP 链路控制协议
MD5 消息摘要5
MIPv6 移动IP第6版
MN 移动节点
NAI 网络接入标识符
NAS 网络接入服务器
NCP 网络控制协议
PAA PANA鉴权代理
PAC PANA客户
PANA 承载网络接入鉴权的协议
PDA 个人数字助理
PDSN 分组数据服务节点
PPP 点到点协议
PPPv6 点到点协议第6版
RADIUS 远程鉴权拨号用户服务
RAN 无线电接入网
RN 无线电网络
RTT 往返时间
3GPP2 第三代合作伙伴项目2
SPI 安全参数索引
TLV 类型长度值
WLAN 无线局域网
Claims (18)
1.一种在CDMA系统中的移动IP第6版MIPv6的鉴权和授权支持的方法,其特征在于,在位于受访网络的移动节点(10)与所述移动节点的归属网络之间、通过AAA基础结构在对所述受访网络透明的端到端过程中以鉴权协议传送MIPv6相关的鉴权和授权信息,
其中,所述鉴权协议是扩展的可扩展鉴权协议EAP,以及所述MIPv6相关的鉴权和授权信息作为附加数据结合在所述EAP的协议栈中;以及
所述MIPv6相关的鉴权和授权信息在可用于任何EAP方法的通用容器属性中传送。
2.如权利要求1所述的方法,其特征在于,所述端到端过程在所述移动节点(10)和所述归属网络中的AAA服务器(34)之间执行,以及所述受访网络中的节点在所述端到端过程中仅充当直通代理。
3.如权利要求2所述的方法,其特征在于,所述MIPv6相关的鉴权和授权信息经由位于所述受访网络中的网络互连接入服务器(22)在所述移动节点(10)与所述AAA归属网络服务器(34)之间以所述鉴权协议传送。
4.如权利要求3所述的方法,其特征在于,所述移动节点(10)与所述网络互连接入服务器(22)之间的点到点通信基于CSD-PPP协议配置。
5.如权利要求1所述的方法,其特征在于,所述MIPv6相关的鉴权和授权信息在所述EAP的协议栈中的方法层的方法特定的通用容器属性中传送。
6.如权利要求1所述的方法,其特征在于,所述方法还包括为MIPv6切入、执行所述移动节点与所述归属网络之间的CHAP鉴权的步骤。
7.如权利要求1所述的方法,其特征在于,所述MIPv6相关的鉴权和授权信息通过所述AAA基础结构来传送,以分配归属代理(36)、在所述移动节点(10)和所述归属代理(36)之间建立MIPv6安全关联和在所述归属代理(36)中为所述移动节点(10)建立绑定。
8.如权利要求3所述的方法,其特征在于,所述网络互连接入服务器(22)通过发出标准的PPP/LCP分组和至少PPP/EAP分组向所述移动节点提供使用PPP或CSD-PPP的可能性。
9.如权利要求8所述的方法,其特征在于,所述网络互连接入服务器还将PPP/CHAP分组与PPP/LCP和PPP/EAP分组一起发出。
10.一种在CDMA系统中的移动IP第6版MIPv6的鉴权和授权支持的系统,其特征在于,用于在位于受访网络的移动节点(10)与所述移动节点的归属网络之间、通过AAA基础结构在对所述受访网络透明的端到端过程中以鉴权协议传送MIPv6相关的鉴权和授权信息的装置,
其中,所述鉴权协议是扩展的可扩展鉴权协议EAP,以及所述MIPv6相关的鉴权和授权信息作为附加数据结合在所述EAP的协议栈中;以及
所述用于传送MIPv6相关的鉴权和授权信息的装置包括用于在可用于任何EAP方法的通用容器属性中传送所述MIPv6相关的鉴权和授权信息的装置。
11.如权利要求10所述的系统,其特征在于,所述端到端过程是在所述移动节点(10)和所述归属网络中的AAA服务器(34)之间,以及所述受访网络中的节点在所述端到端过程中仅充当直通代理。
12.如权利要求11所述的系统,其特征在于,所述MIPv6相关的鉴权和授权信息经由位于所述受访网络的网络互连接入服务器(22)在所述移动节点(10)与所述AAA归属网络服务器(34)之间以所述鉴权协议传送。
13.如权利要求12所述的系统,还包括用于基于所述CSD-PPP协议配置所述移动节点(10)与所述网络互连接入服务器(22)之间的点到点通信的装置。
14.如权利要求10所述的系统,其特征在于,所述用于传送MIPv6相关的鉴权和授权信息的装置包括用于在所述EAP协议栈中的方法层的方法特定的通用容器属性中传送所述MIPv6相关的鉴权和授权信息的装置。
15.如权利要求10所述的系统,其特征在于,所述系统还包括用于为MIPv6切入、在所述移动节点与所述归属网络之间执行CHAP鉴权的装置。
16.如权利要求10所述的系统,其特征在于,所述用于传送MIPv6相关的鉴权和授权信息的装置可操作用于通过所述AAA基础结构来传送所述MIPv6相关的鉴权和授权信息,以分配归属代理(36)、在所述移动节点(10)和所述归属代理(36)之间建立MIPv6安全关联和在归属代理(36)中为所述移动节点(10)建立绑定。
17.如权利要求12所述的系统,其特征在于,所述网络互连接入服务器(22)可操作用于通过发出标准的PPP/LCP分组和至少PPP/EAP分组向所述移动节点提供使用PPP或CSD-PPP的可能性。
18.如权利要求17所述的系统,其特征在于,所述网络互连接入服务器可操作用于将PPP/CHAP分组与PPP/LCP和PPP/EAP分组一起发出。
Applications Claiming Priority (7)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US47915603P | 2003-06-18 | 2003-06-18 | |
| US60/479,156 | 2003-06-18 | ||
| US48430903P | 2003-07-03 | 2003-07-03 | |
| US60/484,309 | 2003-07-03 | ||
| US55103904P | 2004-03-09 | 2004-03-09 | |
| US60/551,039 | 2004-03-09 | ||
| PCT/SE2004/000950 WO2004112349A1 (en) | 2003-06-18 | 2004-06-15 | Method, system and apparatus to support mobile ip version 6 services in cdma systems |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1836419A CN1836419A (zh) | 2006-09-20 |
| CN1836419B true CN1836419B (zh) | 2010-09-01 |
Family
ID=33556409
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2004800234013A Expired - Fee Related CN1836419B (zh) | 2003-06-18 | 2004-06-15 | 在cdma系统中支持移动ip第6版业务的方法、系统和设备 |
Country Status (6)
| Country | Link |
|---|---|
| US (1) | US20070274266A1 (zh) |
| JP (1) | JP2006527968A (zh) |
| KR (1) | KR20060031813A (zh) |
| CN (1) | CN1836419B (zh) |
| BR (1) | BRPI0411511A (zh) |
| WO (1) | WO2004112349A1 (zh) |
Families Citing this family (42)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7475241B2 (en) * | 2002-11-22 | 2009-01-06 | Cisco Technology, Inc. | Methods and apparatus for dynamic session key generation and rekeying in mobile IP |
| US7870389B1 (en) | 2002-12-24 | 2011-01-11 | Cisco Technology, Inc. | Methods and apparatus for authenticating mobility entities using kerberos |
| JP4270888B2 (ja) * | 2003-01-14 | 2009-06-03 | パナソニック株式会社 | Wlan相互接続におけるサービス及びアドレス管理方法 |
| EP1735990B1 (en) * | 2004-04-14 | 2018-05-30 | Microsoft Technology Licensing, LLC | Mobile ipv6 authentication and authorization |
| JP2006019934A (ja) * | 2004-06-30 | 2006-01-19 | Kddi Corp | パケット交換網の呼設定方法 |
| US20060029014A1 (en) * | 2004-08-04 | 2006-02-09 | Jagadish Maturi | System and method for establishing dynamic home agent addresses and home addresses using the mobile IPv6 protocol |
| US7639802B2 (en) * | 2004-09-27 | 2009-12-29 | Cisco Technology, Inc. | Methods and apparatus for bootstrapping Mobile-Foreign and Foreign-Home authentication keys in Mobile IP |
| KR100651716B1 (ko) * | 2004-10-11 | 2006-12-01 | 한국전자통신연구원 | Diameter 기반 프로토콜에서 모바일 네트워크의부트스트랩핑 방법 및 그 시스템 |
| US7502331B2 (en) * | 2004-11-17 | 2009-03-10 | Cisco Technology, Inc. | Infrastructure-less bootstrapping: trustless bootstrapping to enable mobility for mobile devices |
| US7734051B2 (en) * | 2004-11-30 | 2010-06-08 | Novell, Inc. | Key distribution |
| EP1856925A1 (en) * | 2005-03-10 | 2007-11-21 | Nokia Corporation | Method, mobile station, system, network entity and computer program product for discovery and selection of a home agent |
| US20060240802A1 (en) * | 2005-04-26 | 2006-10-26 | Motorola, Inc. | Method and apparatus for generating session keys |
| FI20050491A0 (fi) * | 2005-05-09 | 2005-05-09 | Nokia Corp | Järjestelmä varmenteiden toimittamiseksi viestintäjärjestelmässä |
| EP1896982B1 (en) * | 2005-05-10 | 2015-01-07 | Network Equipment Technologies, Inc. | Lan-based uma network controller with aggregated transport |
| US8087069B2 (en) | 2005-06-13 | 2011-12-27 | Nokia Corporation | Method, apparatus and computer program product providing bootstrapping mechanism selection in generic bootstrapping architecture (GBA) |
| US8353011B2 (en) * | 2005-06-13 | 2013-01-08 | Nokia Corporation | Apparatus, method and computer program product providing mobile node identities in conjunction with authentication preferences in generic bootstrapping architecture (GBA) |
| WO2006137676A1 (en) * | 2005-06-20 | 2006-12-28 | Sk Telecom Co., Ltd. | Fast data-link connection method for saving connection time in cdma 2000 network |
| US7881262B2 (en) * | 2005-07-07 | 2011-02-01 | Alvarion Ltd. | Method and apparatus for enabling mobility in mobile IP based wireless communication systems |
| WO2007034299A1 (en) * | 2005-09-21 | 2007-03-29 | Nokia Corporation, | Re-keying in a generic bootstrapping architecture following handover of a mobile terminal |
| US7626963B2 (en) * | 2005-10-25 | 2009-12-01 | Cisco Technology, Inc. | EAP/SIM authentication for mobile IP to leverage GSM/SIM authentication infrastructure |
| WO2007101378A1 (fr) * | 2006-03-06 | 2007-09-13 | Huawei Technologies Co., Ltd. | Dispositif, procédé et système pour acquérir une adresse ipv6 |
| KR101377574B1 (ko) * | 2006-07-28 | 2014-03-26 | 삼성전자주식회사 | 프락시 모바일 아이피를 사용하는 이동통신 시스템에서보안 관리 방법 및 그 시스템 |
| WO2008046020A2 (en) * | 2006-10-11 | 2008-04-17 | Albert Lee | System and method of fast channel scanning and ip address acquisition for fast handoff in ip networks |
| US8539559B2 (en) | 2006-11-27 | 2013-09-17 | Futurewei Technologies, Inc. | System for using an authorization token to separate authentication and authorization services |
| JP4869057B2 (ja) * | 2006-12-27 | 2012-02-01 | 富士通株式会社 | ネットワーク接続復旧方法及びaaaサーバ及び無線アクセス網ゲートウェイ装置 |
| US8099597B2 (en) | 2007-01-09 | 2012-01-17 | Futurewei Technologies, Inc. | Service authorization for distributed authentication and authorization servers |
| US8411858B2 (en) * | 2007-03-28 | 2013-04-02 | Apple Inc. | Dynamic foreign agent-home agent security association allocation for IP mobility systems |
| US8285990B2 (en) | 2007-05-14 | 2012-10-09 | Future Wei Technologies, Inc. | Method and system for authentication confirmation using extensible authentication protocol |
| US8533455B2 (en) * | 2007-05-30 | 2013-09-10 | Telefonaktiebolaget L M Ericsson (Publ) | Method and apparatus for combining internet protocol authentication and mobility signaling |
| US8667151B2 (en) * | 2007-08-09 | 2014-03-04 | Alcatel Lucent | Bootstrapping method for setting up a security association |
| US8532614B2 (en) * | 2007-10-25 | 2013-09-10 | Interdigital Patent Holdings, Inc. | Non-access stratum architecture and protocol enhancements for long term evolution mobile units |
| CN101431508B (zh) * | 2007-11-06 | 2012-05-23 | 华为技术有限公司 | 一种网络认证方法、系统及装置 |
| US8166527B2 (en) * | 2007-11-16 | 2012-04-24 | Ericsson Ab | Optimized security association database management on home/foreign agent |
| CN101471936B (zh) * | 2007-12-29 | 2012-08-08 | 华为技术有限公司 | 建立ip会话的方法、装置及系统 |
| EP2091204A1 (en) | 2008-02-18 | 2009-08-19 | Panasonic Corporation | Home agent discovery upon changing the mobility management scheme |
| US8503460B2 (en) * | 2008-03-24 | 2013-08-06 | Qualcomm Incorporated | Dynamic home network assignment |
| KR100978973B1 (ko) * | 2008-08-27 | 2010-08-30 | 주식회사 세아네트웍스 | 무선 통신 시스템에서 ip 기반 서비스 제공 시스템 및 방법 |
| US8676999B2 (en) * | 2008-10-10 | 2014-03-18 | Futurewei Technologies, Inc. | System and method for remote authentication dial in user service (RADIUS) prefix authorization application |
| CN101742502B (zh) * | 2008-11-25 | 2012-10-10 | 杭州华三通信技术有限公司 | 一种实现wapi认证的方法、系统及设备 |
| US8311014B2 (en) * | 2009-11-06 | 2012-11-13 | Telefonaktiebolaget L M Ericsson (Publ) | Virtual care-of address for mobile IP (internet protocol) |
| CN102904888A (zh) * | 2012-09-28 | 2013-01-30 | 华为技术有限公司 | 认证方法及通信设备 |
| US20150024686A1 (en) * | 2013-07-16 | 2015-01-22 | GM Global Technology Operations LLC | Secure simple pairing through embedded vehicle network access device |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1318936A (zh) * | 2001-06-18 | 2001-10-24 | 尹远裕 | 在固定电信网上实现宽带可移动通信的方法 |
| CN1383302A (zh) * | 2002-06-05 | 2002-12-04 | 尹远裕 | 在固定电信网上实现宽带可移动通信的方法 |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR100322578B1 (ko) * | 1998-10-02 | 2002-03-08 | 윤종용 | Wap단말기와 wap 서버와 사이의 데이터 통신장치 및 그방법 |
| KR100450950B1 (ko) * | 2001-11-29 | 2004-10-02 | 삼성전자주식회사 | 구내/공중망 무선 패킷데이터 서비스를 받는 이동단말기의 인증 방법 및 그 사설망 시스템 |
| US7564824B2 (en) * | 2002-02-04 | 2009-07-21 | Qualcomm Incorporated | Methods and apparatus for aggregating MIP and AAA messages |
| US7965693B2 (en) * | 2002-05-28 | 2011-06-21 | Zte (Usa) Inc. | Interworking mechanism between wireless wide area network and wireless local area network |
| US7171555B1 (en) * | 2003-05-29 | 2007-01-30 | Cisco Technology, Inc. | Method and apparatus for communicating credential information within a network device authentication conversation |
-
2004
- 2004-06-15 JP JP2006517038A patent/JP2006527968A/ja active Pending
- 2004-06-15 WO PCT/SE2004/000950 patent/WO2004112349A1/en active Application Filing
- 2004-06-15 KR KR1020057024306A patent/KR20060031813A/ko not_active Application Discontinuation
- 2004-06-15 CN CN2004800234013A patent/CN1836419B/zh not_active Expired - Fee Related
- 2004-06-15 BR BRPI0411511-2A patent/BRPI0411511A/pt not_active IP Right Cessation
- 2004-06-15 US US10/595,014 patent/US20070274266A1/en not_active Abandoned
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1318936A (zh) * | 2001-06-18 | 2001-10-24 | 尹远裕 | 在固定电信网上实现宽带可移动通信的方法 |
| CN1383302A (zh) * | 2002-06-05 | 2002-12-04 | 尹远裕 | 在固定电信网上实现宽带可移动通信的方法 |
Non-Patent Citations (4)
| Title |
|---|
| Agashe.P ET AL.EAP over CDMA2000<draft-panashe-eapcdma2000-00.txt>.IETF,2002,全文. * |
| Faccin.S ET AL.Diameter Mobile IPv6 Application<draft-le-aaa-diameter-mobileipv6-03.txt>.IETF,2003,第4页至第8页,第14页至第15页. * |
| Wirelss IP Network Standard Version 1.0.0.3GPP 2 P.S0001-b,2002,第5.2.1节,第5.4.1节,第6.3.2节,第12.1节. |
| Wirelss IP Network Standard Version 1.0.0.3GPP 2 P.S0001-b,2002,第5.2.1节,第5.4.1节,第6.3.2节,第12.1节. * |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2004112349B1 (en) | 2005-06-16 |
| WO2004112349A1 (en) | 2004-12-23 |
| JP2006527968A (ja) | 2006-12-07 |
| US20070274266A1 (en) | 2007-11-29 |
| BRPI0411511A (pt) | 2006-07-25 |
| KR20060031813A (ko) | 2006-04-13 |
| CN1836419A (zh) | 2006-09-20 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN1836419B (zh) | 在cdma系统中支持移动ip第6版业务的方法、系统和设备 | |
| CN1836417B (zh) | 支持移动ip第6版业务的方法、系统和设备 | |
| KR100935421B1 (ko) | 모바일 인터넷 프로토콜 키 분배를 위한 일반 인증아키텍처의 이용 | |
| KR101268892B1 (ko) | 독립적인 네트워크들에 걸친 공통 인증 및 인가 방법 | |
| US7983418B2 (en) | AAA support for DHCP | |
| US20060185013A1 (en) | Method, system and apparatus to support hierarchical mobile ip services | |
| US20070230453A1 (en) | Method and System for the Secure and Transparent Provision of Mobile Ip Services in an Aaa Environment | |
| US20060002351A1 (en) | IP address assignment in a telecommunications network using the protocol for carrying authentication for network access (PANA) | |
| KR20090018665A (ko) | 보안 결합 수립 방법, 결합 업데이트 유효화 방법 및 목표 액세스 게이트웨이를 위한 방법 | |
| WO2006003631A1 (en) | Domain name system (dns) ip address distribution in a telecommunications network using the protocol for carrying authentication for network access (pana) | |
| CN104982053A (zh) | 用于获得认证无线设备的永久身份的方法和网络节点 | |
| US8908871B2 (en) | Mobile internet protocol system and method for updating home agent root key | |
| CN100539586C (zh) | 支持分级移动ip业务的方法、系统和设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| REG | Reference to a national code |
Ref country code: HK Ref legal event code: DE Ref document number: 1094843 Country of ref document: HK |
|
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| REG | Reference to a national code |
Ref country code: HK Ref legal event code: WD Ref document number: 1094843 Country of ref document: HK |
|
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20100901 Termination date: 20170615 |