EA013704B1 - Способ и сервер для предоставления кода мобильности - Google Patents

Способ и сервер для предоставления кода мобильности Download PDF

Info

Publication number
EA013704B1
EA013704B1 EA200801262A EA200801262A EA013704B1 EA 013704 B1 EA013704 B1 EA 013704B1 EA 200801262 A EA200801262 A EA 200801262A EA 200801262 A EA200801262 A EA 200801262A EA 013704 B1 EA013704 B1 EA 013704B1
Authority
EA
Eurasian Patent Office
Prior art keywords
subscriber
identification
mobility
network
authentication server
Prior art date
Application number
EA200801262A
Other languages
English (en)
Other versions
EA200801262A1 (ru
Inventor
Райнер Фальк
Кристиан Гюнтер
Дирк Кресельберг
Original Assignee
Сименс Акциенгезелльшафт
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Сименс Акциенгезелльшафт filed Critical Сименс Акциенгезелльшафт
Publication of EA200801262A1 publication Critical patent/EA200801262A1/ru
Publication of EA013704B1 publication Critical patent/EA013704B1/ru

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/062Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0892Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/043Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
    • H04W12/0431Key distribution or pre-distribution; Key agreement
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W80/00Wireless network protocols or protocol adaptations to wireless operation
    • H04W80/04Network layer protocols, e.g. mobile IP [Internet Protocol]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • Accounting & Taxation (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Computer And Data Communications (AREA)
  • Saccharide Compounds (AREA)

Abstract

Способ и сервер аутентификации для предоставления кода мобильности, причем сервер аутентификации (11В) при приеме сообщения об аутентификации (access authentication), переданного абонентом при обращении в сеть, выделяет включенную в него идентичность абонента (T-ID) и генерирует соответствующий код мобильности (MIP_KEY), который записывается вместе с соответствующей выделенной идентичностью абонента (T_ID), причем сервер аутентификации (11В) в дальнейшем при приеме сообщения с запросом кода (Key-Request), переданного при регистрации абонента, выделяет включенную в него идентичность абонента (T_ID) и генерирует соответствующий код мобильности (MIP_KEY), который записывается вместе с соответствующей выделенной идентичностью абонента (T_ID), причем сервер аутентификации (11В) в дальнейшем при приеме сообщения с запросом кода (Key-Request), переданного при регистрации абонента, выделяет включенную в него идентичность мобильности (MIP-ID) абонента и отыскивает идентичность мобильности (MIP-ID'), определяемую по одной из идентичностей (T_ID') абонента, хранящихся в сервере аутентификации (11В), в соответствии с конфигурируемой производной функцией (AF), и причем сервер аутентификации (11В) при обнаружении определенной идентичности мобильности (MIP-ID'), совпадающей с выделенной идентичностью мобильности (MIP-ID) или однозначно придаваемой ей, предоставляет для криптографической защиты сигнальных сообщений о мобильности зарегистрированного абонента соответствующий записанный сформированный код мобильности (MIP_KEY).

Description

Изобретение относится к способу и серверу идентификации для предоставления однозначно присваиваемого кода мобильности для защиты сигнальных сообщений о мобильности для собственного агента мобильной телефонной сети, в частности для анонимных абонентов.
Интернет с протоколом управления передачей/межсетевым протоколом (ТСР/1Р) предлагает платформу для создания протоколов более высокого уровня для мобильной сферы. Поскольку протоколы интернета имеют широкое распространение, с помощью соответствующих расширений протокола для мобильной среды может быть охвачен большой круг пользователей. Однако обычные протоколы интернета в соответствии с первоначальным замыслом не рассчитаны на мобильное использование. При коммутации пакетов в обычном интернете пакетами обмениваются стационарные компьютеры, которые не только не меняют своих адресов в сети, но и не перемещаются между различными подсетями. В радиосетях с мобильными компьютерами мобильные компьютеры М§ часто включены в различные сети. Протокол ИНСР (Пупаппс НоЧ СоиДдигайои Рто!осо1) с помощью соответствующего сервера обеспечивает компьютеру динамичное присвоение адреса в протоколе 1Р, а также прочие параметры конфигурации сети. Компьютеру, включенному в сеть, с помощью протокола ИНСР автоматически присваивается свободный адрес в протоколе 1Р. После установки в компьютере протокола ИНСР, ему достаточно только оказаться в радиусе действия локальной сети, поддерживающей конфигурацию с помощью протокола ИНСР. В соответствии с протоколом ИНСР возможно динамичное распределение адресов, т.е. адрес в протоколе 1Р автоматически присваивается на определенное время. По истечении этого времени необходимо снова сделать запрос через мобильный компьютер, иначе адрес в протоколе 1Р будет передан комулибо другому.
С помощью протокола ИНСР мобильный компьютер может быть включен в сеть без ручной конфигурации. Обязательным условием является лишь наличие в распоряжении сервера протокола ИНСР. Таким образом, мобильный компьютер может пользоваться услугами местной сети и, например, использовать файлы, записанные в централизованном порядке. Однако если мобильный компьютер предлагает услуги сам, то потециальный пользователь услуг не сможет найти мобильный компьютер, поскольку его адрес в протоколе 1Р изменяется в каждой сети, в которую включается мобильный компьютер. То же самое происходит, если адрес протокола 1Р изменяется во время действия связи протокола ТСР. Это приводит к прекращению связи. Поэтому при мобильном протоколе 1Р мобильному компьютеру присваивается адрес в протоколе 1Р, который он сохраняет и в чужой сети. При обычном изменении сети протокола 1Р необходимо соответственно изменять регулировки адресов в протоколе 1Р. Однако постоянная ручная подстройка конфигураций протокола 1Р и маршрутизации на терминале почти невозможна. При обычных автоматических механизмах конфигурации существующая связь при изменении адреса в протоколе 1Р прерывается. Протокол (М1Р) (РРС 2002, РРС 2977, РРС 3344, РРС 3846, РРС 3957, РРС 3775, РРС 2977, РРС 3776, РРС 4285) поддерживает мобильность мобильных терминалов. В обычных протоколах 1Р мобильному терминалу при изменении подсети протокола 1Р для правильной маршрутизации пакетов данных, адресованных мобильному терминалу, каждый раз приходится изменять свой адрес в протоколе 1Р. Для поддержания постоянной связи в протоколе ТСР мобильный терминал должен сохранять свой адрес в протоколе 1Р, поскольку изменение адреса влечет за собой прекращение связи. Протокол М1Р ликвидирует этот конфликт за счет того, что он дает возможность мобильному терминалу или мобильному узлу сети (МоЫ1е №обе (ΜΝ) иметь два адреса. Протокол М1Р обеспечивает транспарентную связь между обоими адресами, а именно между постоянным домашним адресом и вторым, временным адресом Саге-оГ. Адрес Саге-оГ - это адрес протокола 1Р, по которому с мобильным терминалом можно связаться в данный момент.
Собственный агент (Ноте АдеиГ) - это заместитель мобильного терминала, пока тот отсутствует в исходной собственной сети. Собственный агент постоянно информируется о текущем местонахождении мобильного компьютера. Собственный агент обычно представляет собой компонент маршрутизатора в собственной сети мобильного терминала. Когда мобильный терминал находится вне собственной сети, собственный агент следит за тем, чтобы мобильный терминал мог отозваться. Затем собственный агент переводит пакеты данных, адресованные мобильному терминалу, дальше в соответствующую подсеть мобильного терминала. Чужой агент (Гогещп АдеиГ) находится в подсети, в которой перемещается мобильный терминал. Чужой агент передает входящие пакеты данных дальше на мобильный терминал, или на мобильный компьютер. Чужой агент находится в чужой, так называемой гостевой сети (УЕйеб №1теогк). Чужой агент рассылает все административные мобильные пакеты данных между мобильным терминалом и другим его агентом. Другой агент распаковывает пакеты данных в протоколе 1Р, рассортированные и разосланные собственным агентом, и отправляет их данные дальше на мобильный терминал.
Собственным адресом мобильного терминала является адрес, по которому мобильный терминал доступен постоянно. Собственный адрес имеет тот же адресный префикс, что и собственный агент. Адрес Саге-оГ - это тот адрес в протоколе 1Р, который использует мобильный терминал в чужой сети.
Чужой агент пользуется так называемой таблицей привязки мобильности (МВТ: МоЫ1йу Βίπάίπ§ ТаЫе). Записи в этой таблице служат для того, чтобы увязать оба адреса, т.е. собственный адрес и адрес Саге-оГ друг с другом и, соответственно, переслать пакеты. Таблица МВТ содержит записи относительно собственного адреса, адреса Саге-оГ, а также данные относительно периода времени, в течение которого
- 1 013704 эта привязка действует (Ъйе Т1те). На фиг. 1 показан пример таблицы привязки мобильности в соответствии с уровнем техники.
Чужой агент (ЕЛ) имеет список гостей или визитеров (УЬ: νίκίΐοτ Ык1), содержащий информацию о мобильных терминалах, как раз находящихся в сети протокола ΙΡ. На фиг. 2 показан пример такого списка в соответствии с уровнем техники.
Для включения мобильного компьютера в сеть он должен сначала определиться, в какой сети он находится - в своей собственной или в чужой. Кроме того, он должен узнать, какой компьютер находится в подсети - собственный агент или чужой. Эта информация определяется с помощью так называемого агента открытия (ЛдеШ Ищсоуегу).
Путем последующей регистрации мобильный терминал может уведомить своего агента о своем текущем местонахождении. Для этого мобильный компьютер или мобильный терминал посылают собственному агенту адрес Сате-οί. Для регистрации мобильный компьютер отправляет собственному агенту запрос о регистрации или требование регистрации. Собственный агент (НА) заносит адрес Сате-οί в свой список и дает ответ (Вер1у) относительно регистрации. Однако при этом существует проблема защиты. Поскольку требование регистрации в принципе может послать собственному агенту любой компьютер, собственного агента можно было бы ввести в заблуждение относительно перемещения того или иного компьютера в другую сеть. В результате чужой компьютер мог бы перехватить все пакеты данных мобильного компьютера или мобильного терминала, без ведома отправителя. Чтобы помешать этому, мобильный компьютер и собственный агент имеют общие секретные коды. Как только мобильный компьютер возвращается в свою родную сеть, он отменяет регистрацию у собственного агента, так как с этого момента мобильный компьютер все пакеты данных может принимать сам. Между прочим, мобильная радиосеть должна обладать следующими свойствами защиты. Информация должна быть доступна только желательным партнерам по связи, т.е., нежелательные прослушиватели не должны получать доступа к передаваемым данным. Следовательно, мобильная радиосеть должна обладать свойством конфиденциальности (сопДбеиДа1йу) . К тому же должна иметь место аутентичность. Подлинность (аи1Пеп11С11у) позволяет партнеру по связи безошибочно определять, действительно ли связь установлена с нужным партнером по связи, или за него себя выдает кто-то другой. Аутентификации могут проводиться по каждому сообщению или по каждому сеансу связи.
Если аутентификация осуществляется на основе установления связи, то идентификация проводится только один раз в начале сеанса (кеккюп). При этом исходят из того, что в ходе продолжения сеанса сообщения будут поступать от соответствующего отправителя. Даже если идентичность партнера по связи установлена, т.е. если партнер по связи аутентифицирован, может случиться, что этот партнер по связи не имеет права обращаться ко всем ресурсам, т.е. пользоваться всеми услугами сети. Соответствующее разрешение в этом случае предполагает предшествующую аутентификацию партнера по связи.
В случае мобильных информационных сетей сообщениям приходится преодолевать большие расстояния через беспроводные интерфейсы, и поэтому они легко доступны потенциальным злоумышленникам. Поэтому в мобильных и беспроводных информационных сетях аспекты защиты играют особую роль. Существенным средством повышения защиты в информационных сетях являются технологии кодирования. Благодаря кодированию данные можно передавать по обычным каналам связи, например, с помощью беспроводных интерфейсов, не опасаясь несанкционированного доступа к данным со стороны третьих лиц. Для кодирования данные, т.е. так называемый обычный текст, с помощью алгоритмов кодирования переводят в зашифрованный текст. Зашифрованный текст по небезопасному каналу для передачи данных передается, а затем раскодируется, т.е. дешифрируется.
В качестве многообещающей беспроводной технологии в качестве нового стандарта предлагается возможность глобального доступа в микроволновом диапазоне \νίΜ;·ιχ (\Уог1б\с|бе 1и1еторетаЫ1йу ίοτ т1стотауе ассек), используемая для радиопередачи (ΙΕΕΕ 802.16). Благодаря возможности доступа νίΜηχ через передающие радиостанции должна покрываться зона до 50 км со скоростью передачи более 100 мегабит в секунду.
На фиг. 3 изображена эталонная модель радиосети с возможностью доступа νίΜηχ. Мобильный терминал М8 находится в зоне сети доступа (Α8Ν: Ассекк 8етушд №1\\όγ1<). Сеть доступа Α8Ν по меньшей мере через одну посещаемую сеть (νίκίΚά сопиесйуйу кетуке пеЕтотк УС8Ц) или через промежуточную сеть соединена с собственной сетью ΗС8N (Ноте Соппессйуйу 8ету1се №1тотк). Разные сети соединены друг с другом с помощью интерфейсов или опорных точек В. Собственный агент НА мобильной станции М8 находится в собственной сети НС8N или в одной из посещаемых сетей νΟδΝ.
Возможность доступа νίΜηχ обеспечивает два варианта реализации протокола МоЫ1е ΙΡ, так называемого протокола общей управляющей информации СБеШ ΜΙΡ (СМ1Р), в котором мобильная станция осуществляет функцию протокола М1Р-С11еЩ сама, и протокола Ргоху М1Р-(РМ1Р), в котором функция МГР-СНеШ реализуется сетью доступа с возможностью доступа V^Μаx. Функции, предусмотренные для этого в сети Α8Ν, обозначаются как Ргоху МоЫ1е №бе (РМЦ) или как РМ1Р-С11еп1. Благодаря этому протокол М1Р может также использоваться с мобильными станциями, которые сами протокол М1Р не поддерживают.
На фиг. 4 изображена структура связи в Ргоху М1Р, когда собственный агент находится в посещае
- 2 013704 мой сети в соответствии с уровнем техники.
Согласно структуре радиосвязи между мобильным терминалом и базовой станцией сначала производится аутентификация доступа. Функция аутентификации, разрешения и расчета выполняется с помощью так называемых серверов ААА (ААА: ЛШспНсаНоп. Λιιΐΐιοπδαΐίοη апб Аесоипйпд). Между мобильным терминалом М8 и сервером ААА собственной сети (НААА) происходит обмен сообщениями относительно аутентификации. благодаря которым становятся известными адрес собственного агента и код аутентификации. Сервер аутентификации в собственной сети содержит данные относительно профиля абонента. Сервер ААА получает сообщение с запросом аутентификации. определяющее идентичность пользователя мобильного терминала. После успешной аутентификации доступа сервер ААА генерирует код М8К (М8К: Ма81ег Зехмоп Кеу) для защиты канала передачи данных между мобильным терминалом М8 и базовой станцией сети доступа Α8Ν. Этот код М8К с помощью сервера ААА собственной сети через промежуточную сеть С8N передается в сеть доступа Α8Ν.
После аутентификации доступа. как показано на фиг. 4. сервер ЭНСР-Ртоху конфигурируется в сети доступа Α8Ν. Если адрес протокола 1Р и конфигурация коммуникационного сервера Но§1 уже содержатся в ответном сообщении ААА. то вся информация перегружается в сервер ЭНСР-Ртоху.
После успешной аутентификации и получения разрешения мобильная станция или мобильный терминал М8 посылают сообщение об открытии ЭНСР. и происходит присвоение адреса протокола 1Р.
Если сеть доступа Α8Ν поддерживает мобильность протоколов как РМ1Р. так и СМ1Р. чужой агент. посылая сообщение с контекстом мобильности КЗ. информирует функцию передачи сети Α8Ν. В сетях. поддерживающих только протокол РМ1Р. от этого можно отказаться. После считывания собственного адреса последний пересылается в протокол РМ1Р.
Затем осуществляется регистрация протокола М1Р. При регистрации собственный агент информируется о текущем местонахождении мобильного терминала. Для регистрации мобильный компьютер отправляет собственному агенту требование о регистрации. содержащее текущий адрес Саге-оГ Собственный агент заносит адрес Саге-оГ в составляемый им список и дает ответ на регистрацию (КедМгаНоп Кер1у). Поскольку требования о регистрации собственному агенту в принципе может посылать любой компьютер. собственного агента можно было бы очень просто ввести в заблуждение относительно перемещения компьютера в другую сеть. Для того чтобы помешать этому. как мобильный компьютер. так и собственный агент пользуются общим секретным кодом. а именно кодом протокола М1Р. Если собственный агент (НА) не знает кода протокола М1Р. он устанавливает его. для чего он связывается с собственным сервером ААА.
После установления связей. показанных на фиг. 4. мобильный терминал получает собственный адрес и регистрацию у собственного агента.
Обычная структура связи реализуется. в основном. в три этапа. а именно аутентификации доступа абонента. последующего присвоения адреса протокола 1Р и. наконец. регистрации протокола М1Р. При аутентификации доступа абонент связывается с мобильной сетью. Для этого при обычном обращении в сеть сначала устанавливается радиосвязь между мобильным терминалом М8 и сетью доступа Α8Ν. причем сервер аутентификации Н-ААА с помощью клиента аутентификации сети доступа принимает с терминала абонента по меньшей мере одно сообщение об аутентификации. Это сообщение об аутентификации ^ссе^х Αиίйеηί^саΐ^оη). среди прочего. включает внешнюю идентификацию абонента или идентификатор доступа к сети (Nеΐ^о^к-Αссе88-Iάеηΐ^Г^е^ ΝΑΙ). Благодаря этому внешнему идентификатору ΝΑΙ определяется сервер аутентификации Н-ААА абонента. В случае успешной аутентификации сервер аутентификации Н-ААА сообщает об этом клиенту аутентификации сети доступа. так что благодаря этому устанавливается надежная радиосвязь с терминалом абонента.
Наконец. после присвоения адреса протокола 1Р производится мобильная регистрация протокола 1Р. Для этого собственный агент НА принимает сообщение о регистрации. включающее идентификацию абонента. и направляет в сервер аутентификации запрос кода. После получения сервером аутентификации сообщения о запросе кода мобильности (кеу тесциеМ) сервер аутентификации предоставляет мобильный код собственному агенту абонента. если для идентификации абонента. включенной в сообщение о запросе кода. в сервере аутентификации хранится соответствующий код.
В обычной мобильной сети (Лапбагб шоЫ1е 1Р) код мобильности. служащий для криптографической защиты сигнальных сообщений о мобильности. предварительно конфигурируется в сервере аутентификации Н-ААА собственной сети. т.е. для каждого абонента в целях подтверждения его идентификации в сервере аутентификации Н-ААА собственной сети хранится соответствующий код мобильности.
Однако в новых мобильных радиосетях. как. например. с возможностью доступа У1Мах. при обращении в сеть код мобильности формируется и записывается в сервере аутентификации Н-ААА. т. е. код мобильности заранее не конфигурируется. Если в такой мобильной радиосети собственный агент абонента отправляет в сервер аутентификации собственной сети сообщение с запросом кода вместе с включенной в него идентификацией абонента. сервер аутентификации может не согласиться с идентификацией абонента. включенной в сообщение с запросом кода. и. таким образом. не предоставить соответствующего кода мобильности.
Поэтому задачей данного изобретения является создание способа и сервера аутентификации. кото рые выдавали бы регистрирующемуся абоненту код мобильности постоянно.
Эта задача согласно изобретению решается с помощью способа в соответствии с признаками, указанными в п.1 формулы изобретения, а также с помощью сервера аутентификации согласно признакам, приведенным в п.24 формулы изобретения.
Изобретение реализует способ предоставления по меньшей мере одного кода мобильности для криптографической защиты сигнальных сообщений о мобильности, причем при обращении абонента в сеть генерируется код мобильности, и причем в дальнейшем регистрация абонента с помощью собственного агента производится на основании идентификации мобильности абонента, однозначно присваиваемой сформированному коду мобильности в сервере аутентификации.
В одном из предпочтительных вариантов осуществления способа согласно изобретению при обращении в сеть сервером аутентификации принимается по меньшей мере одно сообщение об аутентификации, включающее внешнюю идентификацию абонента.
В одном из предпочтительных вариантов осуществления способа согласно изобретению сервер аутентификации находится в собственной сети абонента.
В одном из предпочтительных вариантов осуществления способа согласно изобретению сервер аутентификации собственной сети после получения сообщения об аутентификации генерирует по меньшей мере один код мобильности для абонента и записывает его вместе с внешней идентификацией абонента, включенной в сообщение об идентификации.
В одном из предпочтительных вариантов осуществления способа согласно изобретению сервер аутентификации собственной сети в дополнение к сформированному коду мобильности и к внешней идентификации абонента записывает идентификацию сеанса абонента.
В одном из предпочтительных вариантов осуществления способа согласно изобретению абонент при регистрации у собственного агента отправляет ему сообщение с запросом о регистрации (ΜΙΡ ККЦ), включающее идентификацию абонента.
В одном из предпочтительных вариантов осуществления способа согласно изобретению идентификация мобильности определяется по идентификации абонента, включенной в сообщение с запросом регистрации, в соответствии с любой конфигурируемой производной функцией.
В одном из предпочтительных вариантов осуществления способа согласно изобретению идентификация мобильности определяется по идентификации абонента, включенной в сообщение с запросом регистрации, а также по идентификации сеанса (кеккюп ΙΌ) абонента в соответствии с конфигурируемой производной функцией.
В одном из предпочтительных вариантов осуществления способа согласно изобретению идентификация сеанса формируется с помощью расчетной идентификации (СИ1: сйатдеаЫе икег ΙΌ) абонента.
В одном из предпочтительных вариантов осуществления способа согласно изобретению внешняя идентификация абонента формируется с помощью идентификатора доступа к сети ΝΑΙ (№1\тогк Ассекк Шепййег).
В одном из предпочтительных вариантов осуществления способа согласно изобретению внешняя идентификация абонента формируется с помощью анонимного идентификатора доступа к сети ΝΑΙ.
В одном из предпочтительных вариантов осуществления способа согласно изобретению внешняя идентификация абонента формируется с помощью псевдонимного идентификатора доступа к сети ΝΑΙ, выбранного в соответствии со спецификой сеанса.
В одном из предпочтительных вариантов осуществления способа согласно изобретению внешняя идентификация абонента формируется с помощью значения хэш-функции идентификации мобильности.
В одном из предпочтительных вариантов осуществления способа согласно изобретению идентификация мобильности (ΜΙΡ_ΙΌ) формируется с помощью значения хэш-функции внешней идентификации абонента.
В одном из предпочтительных вариантов осуществления способа согласно изобретению сервер аутентификации предоставляет собственному агенту при приеме сообщения с запросом кода (кеу гес.|иек1). включающего идентификацию мобильности, тот сформированный код мобильности, который хранится для той внешней идентификации абонента, по которой совпадающая идентификация мобильности определяется в соответствии с заданной конфигурируемой производной функцией.
В одном из предпочтительных вариантов осуществления способа согласно изобретению сервер аутентификации предоставляет собственному агенту при приеме сообщения с запросом кода (кеу тециек!), включающего идентификацию мобильности, тот сформированный код мобильности, который хранится для той внешней идентификации абонента, по которой идентификация определяется в соответствии с первой заданной конфигурируемой производной функцией, совпадающей с идентификацией, определенной по идентификации мобильности в соответствии со второй заданной конфигурируемой производной функцией.
В одном из предпочтительных вариантов осуществления способа согласно изобретению сервер аутентификации предоставляет собственному агенту при приеме сообщения с запросом кода (кеу тециек!), включающего идентификацию мобильности, тот сформированный код мобильности, который хранится для той внешней идентификации абонента, которая определяется по идентификации мобильности в со
- 4 013704 ответствии с заданной конфигурируемой производной функцией.
В одном из предпочтительных вариантов осуществления способа согласно изобретению идентификация абонента формируется с помощью мобильного терминала абонента или протокола РМГР-Сйеп! сети доступа.
В одном из предпочтительных вариантов осуществления способа согласно изобретению сформированная идентификация абонента модифицируется с помощью клиента аутентификации или чужого агента РА сети доступа (Α8Ν).
В одном из предпочтительных вариантов осуществления способа согласно изобретению сообщения об аутентификации формируются пакетом данных, управленческие данные которого включают внешнюю идентификацию абонента. Пакет данных с сообщением об аутентификации предпочтительно содержит полезные данные, включающие внутреннюю идентификацию абонента с его спецификой.
При этом внутренняя идентификация абонента предпочтительно формируется с помощью однозначного имени абонента.
В одном из альтернативных вариантов осуществления внутренняя идентификация абонента формируется с помощью номера телефона.
В одном из предпочтительных вариантов осуществления способа согласно изобретению внешняя идентификация абонента включает адрес для прокладки маршрута пакета данных в сервер аутентификации собственной сети.
В одном из предпочтительных вариантов осуществления способа согласно изобретению сообщение с запросом регистрации формируется пакетом данных, который, в числе прочего, включает внешнюю идентификацию абонента и присвоенный ему текущий адрес Саге-о£.
В одном из предпочтительных вариантов осуществления способа согласно изобретению сообщение с запросом кода (кеу гесщеМ) формируется пакетом данных, управленческие данные которого включают идентификацию мобильности (М1Р_Ш), которая, предпочтительно, определяется собственным агентом по переданной идентификации абонента в соответствии с заданной производной функцией (АР) .
В одном из предпочтительных вариантов осуществления способа согласно изобретению сеть доступа образована сетью с возможностью доступа ^1Мах.
В одном из предпочтительных вариантов осуществления способа согласно изобретению сообщения об аутентификации передаются в соответствии с протоколом передачи данных (Вайшз).
В одном из предпочтительных вариантов осуществления способа согласно изобретению сообщения об аутентификации передаются в соответствии с протоколом передачи данных (Б|ате1ег).
В одном из предпочтительных вариантов осуществления способа согласно изобретению промежуточная сеть создается с помощью промежуточной сети с возможностью доступа ^1Мах С8К
В одном из предпочтительных вариантов осуществления способа согласно изобретению собственной сетью является сеть 3СРР.
В одном из альтернативных вариантов осуществления способа согласно изобретению собственная сеть образована сетью, предоставляющей абонентам сети νΕΑΝ инфраструктуру сервера ААА.
Кроме того, изобретение включает создание сервера аутентификации для предоставления кода мобильности, причем сервер аутентификации (11В) при приеме сообщения об аутентификации (ассезз аиТйепйсаТюп), переданного абонентом при обращении в сеть, выделяет включенную в него идентификацию абонента (Т_ГО) и генерирует соответствующий код мобильности (М1Р_КЕУ), который записывается вместе с соответствующей выделенной идентификацией абонента (Т_Ш), причем сервер аутентификации (11В) в дальнейшем при приеме сообщения с запросом кода (1<еу-Яес.|ие51). переданного при регистрации абонента, выделяет включенную в него идентификацию абонента (Т_ГО) и генерирует соответствующий код мобильности (М1Р_КЕУ), который записывается вместе с соответствующей выделенной идентификацией абонента (Т_Ш), причем сервер аутентификации (11В) в дальнейшем при приеме сообщения с запросом кода (Кеу-Ведиез!), переданного при регистрации абонента, выделяет включенную в него идентификацию мобильности (М1Р-Ш) абонента и отыскивает идентификацию мобильности (М1Р10'), совпадающую с ней или однозначно придаваемую ей и определяемую по одной из идентификаций (Т_Ш') абонента, хранящихся в сервере аутентификации (11В), в соответствии с конфигурируемой производной функцией (АР), и причем сервер аутентификации (11В) при обнаружении определенной идентификации мобильности (М1Р-Ш'), совпадающей с выделенной идентификацией мобильности (М1Р-Ш) или однозначно придаваемой ей, предоставляет для криптографической защиты сигнальных сообщений о мобильности зарегистрированного абонента соответствующий записанный сформированный код мобильности (М1Р_КЕУ).
В одной из предпочтительных форм выполнения сервера аутентификации согласно изобретению идентификация абонента формируется с помощью внешней идентификации абонента с идентификатором ΝΑΙ, включенной в управленческие данные сообщения об аутентификации и служащей для прокладки маршрута сообщения об аутентификации в сервер аутентификации.
В одной из предпочтительных форм выполнения сервера аутентификации согласно изобретению последний находится в собственной сети абонента.
В одном из предпочтительных вариантов осуществления способа согласно изобретению код мо
- 5 013704 бильности предоставляется в протокол РМ1Р-С11еп1 сети обращения (Α8Ν) дополнительно.
Ниже со ссылкой на приложенные фигуры для пояснения существенных признаков изобретения описываются предпочтительные варианты осуществления способа согласно изобретению и формы выполнения сервера аутентификации согласно изобретению.
Фиг. 1 изображает пример таблицы привязки мобильности в соответствии с уровнем техники;
фиг. 2 - пример списка гостей в соответствии с уровнем техники;
фиг. 3 - структуру опорной сети радиосети с возможностью доступа У1тах;
фиг. 4 - структуру связи в обычной сети с возможностью доступа Унтах в соответствии с уровнем техники;
фиг. 5 - структуру сети в соответствии с предпочтительным вариантом осуществления способа согласно изобретению;
фиг. 6 - блок-схему для пояснения принципа действия способа согласно изобретению;
фиг. 7 - другую блок-схему для пояснения принципа действия способа согласно изобретению;
фиг. 8 - таблицу для пояснения принципа действия способа согласно изобретению;
фиг. 9 - структуры данных различных пакетов данных, используемых при способе согласно изобретению;
фиг. 10 - диаграмма для пояснения способа согласно изобретению.
Как видно на фиг. 5, мобильный терминал 1 с помощью беспроводного интерфейса 2 соединен с базовой станцией 3 сети доступа 4. В случае мобильного терминала 1 речь идет о любом мобильном терминале, например о портативном компьютере, ΡΌΑ, мобильном телефоне или каком-либо еще мобильном терминале. Базовая станция 3 сети 4 доступа каналом 5 передачи данных соединена с вычислительной машиной-шлюзом 6 для доступа к сети. В вычислительную машину-шлюз 6 для доступа предпочтительно интегрированы дополнительные функции, в частности чужой агент 6 А, протокол РМ1Р-С11еп1 6В, серверы ΑΑΑ-СйеШ 6с и ОНСР-Ртоху 6Ό.
Чужой агент 6А является маршрутизатором, предоставляющим мобильному терминалу 1 услуги в части маршрутизации. Пакеты данных, направляемые на мобильный терминал 1, туннелируются и распаковываются чужим агентом 6А.
Машина-шлюз 6 сети 4 доступа с помощью интерфейса 7 соединена с компьютером 8 промежуточной сети 9. Компьютер 8 содержит предпочтительно сервер ААА-Ргоху. Собственный агент 11А находится в собственной сети 12 внутри компьютера 11 и является заместителем мобильного терминала 1. Собственный агент 11А постоянно информируется о текущем местонахождении мобильного компьютера
1. Пакеты данных для мобильного терминала 1 сначала передаются собственному агенту 11А, а от него туннелируются дальше к чужому агенту 6А. И, наоборот, пакеты данных, рассылаемые мобильным терминалом 1, отправляются непосредственно соответствующему партнеру по связи. При этом пакеты данных мобильного терминала 1 содержат в качестве адреса отправителя собственный адрес. Собственный адрес имеет тот же адресный префикс, т.е. адрес сети или подсети, как и собственный агент 11А. Пакеты данных, отправляемые на собственный адрес мобильного терминала 1, перехватываются собственным агентом НА и туннелируются им в адрес Сате-о£ мобильного терминала 1, оказываясь, наконец, в конечной точке туннеля, т.е. принятыми чужим агентом 6А или самим мобильным терминалом 1.
Компьютер 8 промежуточной сети 9 через следующий интерфейс соединен с сервером 11В аутентификации собственной сети 12. В случае собственной сети 12 речь идет, например, о сети 3СРР для ИМТ8. В альтернативной форме выполнения речь идет в случае сервера 11В о сервере аутентификации сети ΧνίΑΝ.
На фиг. 6 изображена блок-схема, поясняющая предпочтительный вариант осуществления способа согласно изобретению. Сервер 11А аутентификации, находящийся предпочтительно в собственной сети 12 абонента, на этапе 81 постоянно, т.е. через регулярные промежутки времени, контролирует получение сообщения с запросом аутентификации (ассевв аиШепйеайоп).
Структура данных такого сообщения об аутентификации представлена на фиг. 9А. В предпочтительной форме выполнения сообщения об аутентификации сформированы в пакеты данных, причем управленческие данные включают, соответственно, внешнюю идентификацию абонента с идентификатором ΝΑΙ и полезные данные, предпочтительно внутреннюю идентификацию абонента. Внешняя идентификация абонента с идентификатором ΝΑΙ используется для прокладки маршрута пакета данных в сервер 11В аутентификации собственной сети 12. В случае внешней идентификации абонента с идентификатором ΝΑΙ речь идет предпочтительно о так называемом идентификаторе доступа к сети ΝΑΙ (пе1\тогк ассе88 Иепййет). В случае идентификатора доступа к сети ΝΑΙ речь может идти, например, об анонимной идентификации абонента (например, СпеЧ) или о псевдонимной идентификации абонента (например, 8ирегтап или 127403Б), выбранной абонентом. Специфичное имя пользователя (цвет пате) также может содержаться в сообщении об аутентификации в качестве внешней идентификации абонента. В одной из возможных форм выполнения внешняя идентификация абонента формируется значением криптографической хэш-функции Навй Н(г), причем г является, например, случайным числом или случайно выбранной последовательностью знаков.
Внутренняя идентификация, включенная в полезные данные сообщения об аутентификации, как
- 6 013704 она изображена на фиг. 9А, формируется, например, с помощью однозначного имени абонента (икег пате) или с помощью номера телефона (ΟΜ8Ι, 1п!етпа11опа1 МоЫ1е 8иЬкспЬег ИеиШу; или Μ8Ι8ΌΝ Мокке δίαΐίοη т!егпа1юпа1 Ρ8ΤΝ/Ι8ΌΝ питкет).
После получения сервером 11В аутентификации сообщения об аутентификации, как показано на фиг. 9А, он на этапе 82 выделяет внешнюю идентификацию абонента с идентификатором ΝΑΙ, включенную в сообщение.
Затем сервер 11В аутентификации на этапе 83 генерирует код мобильности (ΜΙΡ кеу). Формирование кода мобильности может осуществляться любым образом. Например, код мобильности формируется как случайное число.
В одной из альтернативных форм выполнения код мобильности создается в рамках аутентификации доступа к сети с использованием криптографического описательного протокола кода. Известными криптографическими описательными протоколами кода являются, например, ΕΑΡ-8ΙΜ, ΕΑΡ-ΑΚΑ и ΕΑΡТЬ8.
В одной из альтернативных форм выполнения код мобильности определяется по внешней идентификации абонента, выделенной в соответствии с любой производной функцией ΑΡ.
На этапе 84 сервер аутентификации 11В записывает выделенную идентификацию абонента с идентификатором ΝΑΙ вместе с соответствующим сформированным кодом мобильности (ΜΙΡ кеу). Блоксхема, изображенная на фиг. 6, реализуется при обращении в сеть, т.е. при аутентификации абонента.
На фиг. 8 схематически изображена информация, записанная в сервере аутентификации 11В после завершения процесса согласно фиг. 6. Сервер аутентификации 11В записывает у себя выделенную внешнюю идентификацию абонента с идентификатором ΝΑΙ и соответствующий ей сформированный код мобильности ΜΙΡ кеу.
В одной из предпочтительных форм выполнения в порядке дополнения к внешней идентификации абонента с идентификатором ΝΑΙ записывается идентификацию сеанса (кеккюп ΙΌ) абонента, причем, например, речь может идти о расчетной идентификации для расчета затрат СЫ (скатдеаЫе икег ΙΌ) абонента. Этот расчет скагдеак1е икег ΙΌ передается в протокол РаФик-СНеШ (пе1\уогк ассекк кетует) с сервера аутентификации в рамках обращения в сеть. Расчет скатдеаЫе икег ΙΌ СШ, или идентификация расчета, используемая предпочтительно в качестве идентификации абонента со спецификой сеанса, в протоколе токйе ΙΡ гес|иек1 или в радиальном протоколе РаФик ассекк гес|иек1 чужим агентом 6А заносится в сервер аутентификации 11В. Занесение производится чужим агентом 6А или в соответствии с протоколом ΡΜΝ (ΡΜΙΡ скеп!), а не с помощью сервера протокола Скеп! мобильной станции Μοк^1е 81а1юп Μ8, поскольку расчета скатдеаЫе икег ΙΌ тот не знает. В соответствии с протоколом ΡΜΙΡ это возможно, так как тед1к1таИоп гес.|иек1. или сообщение с запросом регистрации, в случае ΡΜΙΡ исходит не от сервера протокола Скеп1. Сервер аутентификации 11В управляет набором данных состояния для расчета скагдеаЫе икег ΙΌ и для соответствующего кода протокола ΜΙΡ с тем, чтобы по запросу собственного агента 11А предоставить подходящий код мобильности. Наличие идентификаторов ΙΌ или СШ сеанса в соответствии со способом согласно изобретению предусматривается по выбору.
После аутентификации доступа и последующего присвоения адреса ΙΡ по истечении некоторого времени производится регистрация абонента в протоколе ΜΙΡ. Для этого абонент при своей регистрации у собственного агента 11А посылает сообщение с запросом регистрации (ΜΙΡ КРО), которое включает идентификацию абонента. Структура такого сообщения с запросом регистрации показана на фиг. 9. При этом сообщение с запросом регистрации, предпочтительно, состоит из пакета данных, который, в числе прочего, включает идентификацию абонента с идентификатором ΝΑΙ и текущий адрес Сате-о£ абонента. Собственный агент 11А принимает сообщение с запросом регистрации и определяет по идентификации абонента в соответствии с конфигурируемой производной функцией ΑΡ идентификацию мобильности регистрируемого абонента.
В одной из альтернативных форм выполнения идентификация мобильности абонента определяется по идентификации абонента с идентификатором ΝΑΙ, включенной в сообщение с запросом регистрации, и по идентификации сеанса абонента в соответствии с другой конфигурируемой производной функцией ΑΡ. В случае производной функции ΑΡ имеются в виду любые функции.
Собственный агент 11А отправляет в сервер 11В аутентификации сообщение с запросом кода (Кеу гес.|иек1). Сервер аутентификации 11В, как видно на фиг. 7, постоянно контролирует поступление сообщений с запросом кода. Структура данных такого сообщения с запросом кода, представлена, например, на фиг. 9С. Сообщение с запросом кода предпочтительно формируется как пакет данных, включающий в качестве внешней идентификации абонента с идентификатором ΝΑΙ идентификацию мобильности, выделенную собственным агентом 11А из сообщения с запросом регистрации. Пакет данных отмечен как сообщение с запросом кода (Кеу гес.|иек1).
Сервер аутентификации 11В на этапе 86 выделяет идентификацию мобильности (ΜΙΡ_ΙΌ), включенную в сообщение с запросом кода.
Затем сервер аутентификации 11В на этапе 87 отыскивает абонента, имеющего идентичную или однозначно присваиваемую идентификацию мобильности, которая в соответствии с заданной производной функцией ΑΡ определяется по идентификации абонента, записанной в сервере аутентификации 11В
- 7 013704 на этапе 84. С этой целью сервер аутентификации 11В для каждой хранящейся в нем идентификации абонента определяет в соответствии с заданной производной функцией соответствующую идентификацию мобильности М1Р_Ш и сравнивает ее с выделенной идентификацией мобильности М1Р_Ш. Как только сервер аутентификации 11В отыщет абонента, найденная идентификация мобильности М1Р_Ш которого совпадает с выделенной идентификацией мобильности М1Р_Ш или однозначно придается ей, он предоставляет собственному агенту 11А хранящийся для этой цели код мобильности (М1Р кеу) для криптографической защиты сигнальных сообщений о мобильности зарегистрированного абонента.
Блок-схемы, изображенные на фиг. 6, 7, складываются в общую картину следующим образом. Вопервых, при обращении абонента в сеть сформированный код мобильности М1Р_КЕУ записывается сервером аутентификации 11В вместе с внешней идентификацией с идентификатором ΝΑΙ.
ЕхГгасГ ΝΑΙ Ргош Ассекк Аи1йеп11са1юи Меккаде
ОеиегаГе М1Р_КЕУ
81оге (ΝΑΙ, М1Р_КЕУ)
Затем во время регистрации абонента сервером аутентификации 11В в протоколе М1Р выдается однозначно присвоенный код мобильности (М1Р_КЕУ).
Ех1гас1 М1Р_1О Ргош Кеу ВедиекГ Меккаде
Рог а11 ΝΑΙ М1Р_ГО' = ГипсИоп ΝΑΙ
ΙΡ М1Р_ГО' = М1Р_ГО ΤΗΕΝ ОИТРИТ М1Р_КЕУ
В одной из альтернативных форм выполнения сервер аутентификации 11В вместо этапа 87, изображенного на фиг. 7, по хранящейся идентификации абонента, используя первую производную функцию, и по идентификации мобильности, используя вторую производную функции, определяет, соответственно, идентификацию и организует ее сравнение. Как только сервер аутентификации 11В отыщет абонента, идентификация которого, найденная по идентификации мобильности М1Р_Ш, совпадает с идентификацией, определенной по выделенной идентификации мобильности М1Р_Ш, он для криптографической защиты сигнальных сообщений о мобильности зарегистрированного абонента предоставляет собственному агенту НА код мобильности (М1Р кеу), хранящийся для этой цели.
Ех1гас1 М1Р_1О Ггот Кеу ВедиекГ Меккаде
Рог а11 ΝΑΙ М1Р_ГО' = ГипсИоп ΝΑΙ
ΙΡ М1Р_ГО' = ГипсИоп 2 (М1Р_ГО) Τ№Ν ОИТРИТ М1Р_КЕУ
В одной из последующих альтернативных форм выполнения сервер аутентификации 11В вместо этапа 87, изображенного на фиг. 7, предоставляет тот код мобильности, который хранится для той внешней идентификации абонента, которая определяется по идентификации мобильности в соответствии с заданной конфигурируемой производной функцией.
ЕхГгасГ М1Р__ΙΌ Ггот Кеу ВедиекГ Меккаде
Рог а11 ΝΑΙ М1Р_ГО' = ΝΑΙ
ΙΡ М1Р_ГО' = ГипсИоп (М1Р_ГО), ТНШ ОИТРИТ М1Р_КЕУ
Способ согласно изобретению особенно хорошо походит для мобильных радиосетей.
На фиг. 10 изображена диаграмма, поясняющая структуру связи для протокола СйеиГ-МГР в способе согласно изобретению.
Идентификация абонента формируется в одном из вариантов осуществления способа согласно изобретению с помощью мобильного терминала 1 абонента или протокола РМГР-СНеиГ сети доступа 4. Сформированная идентификация абонента может быть модифицирована с помощью клиента 6С аутентификации или чужого агента сети доступа 4.

Claims (24)

1. Способ криптографической защиты сигнальных сообщений о мобильности, в котором при регистрации абонента в сети генерируют код мобильности (М1Р_КЕУ), затем производят регистрацию абонента у собственного агента (11 А) с помощью идентификации мобильности (МГР_Ш) абонента, однозначно присваиваемой сформированному коду мобильности (М1Р_КЕУ) в сервере аутентификации (11В), при регистрации в сети сервер аутентификации принимает по меньшей мере одно сообщение об аутентификации Ассекк ΑиΓйеиΓ^саΓ^ои), включающее внешнюю идентификацию абонента, и при получении сообщения с запросом кода (кеу гедиекГ), включающего идентификацию мобильности МГР_Ш, сервер аутентификации (11В) предоставляет собственному агенту (11А) тот сформированный код мобильности (М1Р_КЕУ), который хранится для той внешней идентификации абонента (ΝΑΙ), по которому идентичная идентификация мобильности (МГР_Ш') определяется в соответствии с заданной конфигурируемой производной функцией (ΑΡ).
2. Способ по п.1, в котором после получения сообщения об аутентификации ^ссекк ΑиΓйеиΓ^саΓ^ои) сервер аутентификации (11В) генерирует по меньшей мере один код мобильности (М1Р_КЕУ) для абонента и хранит его вместе с внешней идентификацией абонента, содержащейся в сообщении об идентификации.
3. Способ по п.2, в котором сервер аутентификации (11В) дополнительно хранит идентификацию
- 8 013704 сеанса (СИ1) абонента для сформированного кода мобильности (ΜΙΡ_ΚΕΥ) и внешней идентификации абонента.
4. Способ по п.1, в котором при регистрации у собственного агента (11 А) абонент отправляет ему сообщение с запросом о регистрации (ΜΙΡ РКф), включающее идентификацию абонента.
5. Способ по п.4, в котором идентификацию мобильности определяют по идентификации абонента, включенной в сообщение с запросом регистрации (ΜΙΡ ΚΚφ), в соответствии с конфигурируемой производной функцией (АР).
6. Способ по п.4, в котором идентификацию мобильности определяют по идентификации абонента, включенной в сообщение с запросом регистрации (ΜΙΡ КК.ф), и по идентификации сеанса (ееееюп ΙΌ) абонента в соответствии с конфигурируемой производной функцией (АР).
7. Способ по п.3, в котором идентификацию сеанса формируют с помощью расчетной идентификации абонента (ΟΌΙ).
8. Способ по п.1, в котором внешнюю идентификацию абонента формируют с помощью идентификатора доступа к сети ΝΑΙ (№1теогк Асееве ИеийДег).
9. Способ по п.1, в котором внешнюю идентификацию абонента формируют с помощью анонимного идентификатора доступа к сети ΝΑΙ.
10. Способ по п.1, в котором внешнюю идентификацию абонента формируют с помощью специфического для сеанса псевдонимного идентификатора доступа к сети ΝΑΙ.
11. Способ по п.1, в котором внешнюю идентификацию абонента формируют с помощью значения хэш-функции идентификации мобильности.
12. Способ по п.1, в котором идентификацию мобильности (ΜΙΡ_ΙΌ) формируют с помощью значения хэш-функции внешней идентификации абонента.
13. Способ по п.1, в котором идентификацию абонента формируют с помощью мобильного терминала (1) абонента или протокола ΡΜΙΡ<^ηΐ (6В) сети доступа (4).
14. Способ по п.1, в котором сформированную идентификацию абонента модифицируют с помощью клиента (6С) аутентификации или чужого агента (6А) сети доступа (4).
15. Способ по п.1, в котором сообщение об аутентификации (Асееве АиШепИсаДоп) формируется пакетом данных, управленческие данные которого включают внешнюю идентификацию абонента, а его полезные данные - специфическую для абонента внутреннюю идентификацию абонента.
16. Способ по п.14, в котором внутреннюю идентификацию абонента предпочтительно формируют с помощью однозначного имени абонента.
17. Способ по п.14, в котором внутреннюю идентификацию абонента формируют с помощью заранее определенного номера телефона.
18. Способ по п.14, в котором внешняя идентификация абонента формирует адрес для прокладки маршрута пакета данных в сервер аутентификации (11В).
19. Способ по п.4, в котором сообщение с запросом регистрации (ΜΙΡ_ΚΚ.φ) представляет собой пакет данных, который содержит внешнюю идентификацию абонента и присвоенный абоненту текущий адрес Саге-оГ.
20. Способ по п.12, в котором сообщение с запросом кода (кеу гес.|ие81) формируют пакетом данных, управленческие данные которого содержат идентификацию мобильности (ΜΙΡ_ΙΌ).
21. Способ по п.1 или 14, в котором сеть доступа (4) образована сетью с возможностью доступа \νίΜ;·ιχ.
22. Сервер аутентификации для предоставления кода мобильности, причем сервер аутентификации (11В) при приеме сообщения об аутентификации (ассевв аиШепйсайоп), переданного абонентом при регистрации в сети, выделяет включенную в него идентификацию абонента (Т-ΙΌ) и генерирует соответствующий код мобильности (ΜΙΡ_ΚΕΥ), который хранится вместе с соответствующей выделенной идентификацией абонента (Т_Ш), причем сервер аутентификации (11В) при последующем приеме сообщения с запросом кода (Кеу-Ведиее!), переданного при регистрации абонента, выделяет включенную в него идентификацию мобильности (ΜΙΡ-Ш) абонента и отыскивает идентификацию мобильности (ΜΙΡ-ΙΌ'), которая может быть определена по одной из идентификаций (Т_Ш') абонента, хранящихся в сервере аутентификации (11В), в соответствии с конфигурируемой производной функцией (АР), и причем сервер аутентификации (11В) при обнаружении определенной идентификации мобильности (ΜΙΡ-ΙΌ'), которая может быть присвоена выделенной идентификации мобильности (ΜΙΡ-ΙΌ), предоставляет для криптографической защиты сигнальных сообщений о мобильности зарегистрированного абонента соответствующий сохраненный сформированный код мобильности (ΜΙΡ_ΚΕΥ).
23. Сервер аутентификации по п.22, в котором идентификация абонента (Т_Ш) представляет собой внешнюю идентификацию абонента ЩА^, включенную в управленческие данные сообщения об аутентификации и служащую для прокладки маршрута сообщения об аутентификации в сервер аутентификации.
24. Сервер аутентификации по п.22, в котором он предусмотрен в собственной сети абонента.
EA200801262A 2005-11-04 2006-10-31 Способ и сервер для предоставления кода мобильности EA013704B1 (ru)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
DE102005052717 2005-11-04
DE102006009726A DE102006009726A1 (de) 2005-11-04 2006-03-02 Verfahren und Server zum Bereitstellen eines Mobilitätsschlüssels
PCT/EP2006/067955 WO2007051787A1 (de) 2005-11-04 2006-10-31 Verfahren und server zum bereitstellen eines mobilitätsschlüssels

Publications (2)

Publication Number Publication Date
EA200801262A1 EA200801262A1 (ru) 2008-08-29
EA013704B1 true EA013704B1 (ru) 2010-06-30

Family

ID=37734920

Family Applications (1)

Application Number Title Priority Date Filing Date
EA200801262A EA013704B1 (ru) 2005-11-04 2006-10-31 Способ и сервер для предоставления кода мобильности

Country Status (8)

Country Link
US (1) US9043599B2 (ru)
EP (1) EP1943856B1 (ru)
KR (1) KR101037844B1 (ru)
AT (1) ATE463136T1 (ru)
DE (2) DE102006009726A1 (ru)
EA (1) EA013704B1 (ru)
PL (1) PL1943856T3 (ru)
WO (1) WO2007051787A1 (ru)

Families Citing this family (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1914960B1 (en) 2006-10-16 2013-01-09 Nokia Siemens Networks GmbH & Co. KG Method for transmission of DHCP messages
KR101341720B1 (ko) 2007-05-21 2013-12-16 삼성전자주식회사 이동통신 시스템에서 프록시 이동 인터넷 프로토콜을 이용한 단말의 이동성 관리 방법 및 시스템과 이를 위한 단말의 홈 주소 할당 방법
KR101466889B1 (ko) * 2008-04-03 2014-12-01 삼성전자주식회사 모바일 아이피 방식의 무선통신시스템에서 세션 식별자를검색하기 위한 시스템 및 방법
EP2401835A4 (en) * 2009-02-27 2014-04-23 Certicom Corp SYSTEM AND METHOD FOR SECURE COMMUNICATION WITH ELECTRONIC COUNTERS
CN101925042B (zh) * 2009-06-10 2013-01-02 华为技术有限公司 控制隧道标识分配的方法、装置和系统
KR101622174B1 (ko) * 2010-05-20 2016-06-02 삼성전자주식회사 컨텐츠 공유를 위한 가상 그룹에서의 단말, 홈 허브 및 방문 허브의 제어 방법
DE102011087834A1 (de) 2011-12-06 2013-06-06 Henkel Ag & Co. Kgaa Reaktive 2K-Schmelzklebstoffzusammensetzung
CN102595398B (zh) * 2012-03-05 2015-04-29 黄东 一种减小系统开销的无线网络匿名认证方法
EP2997767A4 (en) * 2013-05-13 2016-05-04 Ericsson Telefon Ab L M MOBILITY IN A MOBILE COMMUNICATION NETWORK
CN106936570B (zh) * 2015-12-31 2021-08-20 华为技术有限公司 一种密钥配置方法及密钥管理中心、网元
US20190058767A1 (en) * 2016-01-22 2019-02-21 Nokia Solutions And Networks Oy Application relocation between clouds
WO2017179499A1 (ja) 2016-04-12 2017-10-19 株式会社ヴァレオジャパン 送風機
US11115418B2 (en) 2016-12-23 2021-09-07 Cloudminds (Shanghai) Robotics Co., Ltd. Registration and authorization method device and system

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2002068418A2 (en) * 2001-02-23 2002-09-06 Nokia Corporation Authentication and distribution of keys in mobile ip network

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FI114675B (fi) * 2001-04-05 2004-11-30 Teliasonera Finland Oyj Menetelmä laskutustiedon muodostamiseksi tietoverkkojärjestelmässä ja tietoverkkojärjestelmä
KR100450973B1 (ko) * 2001-11-07 2004-10-02 삼성전자주식회사 무선 통신시스템에서 이동 단말기와 홈에이전트간의인증을 위한 방법
FI20020733A0 (fi) * 2002-04-16 2002-04-16 Nokia Corp Menetelmä ja järjestelmä tiedonsiirtolaitteen käyttäjän autentikointiin
GB2394143B (en) * 2002-10-08 2006-04-05 Ipwireless Inc System and method for use of internet authentication technology to provide umts authentication
US7475241B2 (en) 2002-11-22 2009-01-06 Cisco Technology, Inc. Methods and apparatus for dynamic session key generation and rekeying in mobile IP
US20050198506A1 (en) * 2003-12-30 2005-09-08 Qi Emily H. Dynamic key generation and exchange for mobile devices
US20050251403A1 (en) * 2004-05-10 2005-11-10 Elster Electricity, Llc. Mesh AMR network interconnecting to TCP/IP wireless mesh network
US7626963B2 (en) * 2005-10-25 2009-12-01 Cisco Technology, Inc. EAP/SIM authentication for mobile IP to leverage GSM/SIM authentication infrastructure

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2002068418A2 (en) * 2001-02-23 2002-09-06 Nokia Corporation Authentication and distribution of keys in mobile ip network

Non-Patent Citations (3)

* Cited by examiner, † Cited by third party
Title
"3rd Generation Partnership Project; Technical specification Group Services and System Aspects; 3GPP system to Wireless Local Area Network (WLAN) interworking; System description (Release 6)" 3GPP TS 23.234 V6.6.0 (2005-09) TECHNICAL SPECIFICATION, [Online] 1 September 2005 (2005-09-01), pages 1-80, XP002421430 Retrieved from the Internet: URL:http://3gpp.org> [retrieved on 2007-02-21] page 8, line 1 - line 13 page 9, line 25 - page 10, line 30 page 11, line 50 - page 12, line 16 page 15, line 26 - page 16, line 8 page 20, line 14 - line 32 page 25, line 1 - line 21 page 29, line 11 - page 30, line 30 page 39, line 1 - page 41, line 27 *
ADRANGI INTEL A LIOR BRIDGEWATER SYSTEMS J KORHONEN TELIASONERA J LOUGHNEY NOKIA F: "Chargeable User Identity" IETF STANDARD-WORKING-DRAFT, INTERNET ENGINEERING TASK FORCE, IETF, CH, vol. radext, no. 6, 12 October 2005 (2005-10-12), XP015042642 ISSN: 0000-0004 page 1, line 24 - page 2, line 1 page 3, line 1 - line 29 page 5, line 30 - page 6, line 9 *
MADJID NAKHJIRI NARAYANAN VENKITARAMAN MOTOROLA LABS: "EAP based Proxy Mobile IP key bootstrapping for WiMAX" IETF STANDARD-WORKING-DRAFT, INTERNET ENGINEERING TASK FORCE, IETF, CH, January 2005 (2005-01), XP015044434 ISSN: 0000-0004 the whole document *

Also Published As

Publication number Publication date
WO2007051787A1 (de) 2007-05-10
PL1943856T3 (pl) 2010-09-30
ATE463136T1 (de) 2010-04-15
EP1943856B1 (de) 2010-03-31
KR20080068733A (ko) 2008-07-23
US9043599B2 (en) 2015-05-26
KR101037844B1 (ko) 2011-05-31
EP1943856A1 (de) 2008-07-16
EA200801262A1 (ru) 2008-08-29
US20100017601A1 (en) 2010-01-21
DE102006009726A1 (de) 2007-05-10
DE502006006602D1 (de) 2010-05-12

Similar Documents

Publication Publication Date Title
EA013704B1 (ru) Способ и сервер для предоставления кода мобильности
JP4832756B2 (ja) Wlanローミングの間にgsm認証を行う方法およびシステム
KR100442594B1 (ko) 무선통신 시스템의 패킷 데이터 서비스 방법 및 장치
US9553875B2 (en) Managing user access in a communications network
JP3984993B2 (ja) アクセスネットワークを通じて接続を確立するための方法及びシステム
FI105966B (fi) Autentikointi tietoliikenneverkossa
US7748028B2 (en) Authentication method, terminal device, relay device and authentication server
KR101377186B1 (ko) 이동성 키를 제공하기 위한 방법 및 서버
US7542455B2 (en) Unlicensed mobile access (UMA) communications using decentralized security gateway
US20110010538A1 (en) Method and system for providing an access specific key
WO2019017835A1 (zh) 网络验证方法、相关设备及系统
JP2001103574A (ja) 無線通信システムのための動的ホーム・エージェント・システム
JP4426580B2 (ja) 2つのネットワークを含む電気通信システム
IL150608A (en) System and method for using PI address as a wireless identification unit
KR20000047921A (ko) 무선 이동 서버 및 동적 디엔에스 갱신을 갖는피어-투-피어 서비스를 제공하기 위한 방법 및 시스템
US8615658B2 (en) Dynamic foreign agent—home agent security association allocation for IP mobility systems
WO2007088638A1 (en) Method for personal network management across multiple operators
EA014148B1 (ru) Способ и система для предоставления ключа протокола mobile ip
CN114070597B (zh) 一种专网跨网认证方法及装置
RU2295200C2 (ru) Способ и система для gsm-аутентификации при роуминге в беспроводных локальных сетях
CN1795656B (zh) 一种安全初始化用户和保密数据的方法
EP4033794A1 (fr) Procédé d&#39;attribution dynamique d&#39;identifiants à une carte de circuit intégré universelle embarquée - euicc d&#39;un équipement utilisateur et système associé
JP2007081884A (ja) 交換機及び通信システム

Legal Events

Date Code Title Description
MM4A Lapse of a eurasian patent due to non-payment of renewal fees within the time limit in the following designated state(s)

Designated state(s): AM AZ KZ KG MD TJ TM