EA014148B1 - Способ и система для предоставления ключа протокола mobile ip - Google Patents

Способ и система для предоставления ключа протокола mobile ip Download PDF

Info

Publication number
EA014148B1
EA014148B1 EA200870590A EA200870590A EA014148B1 EA 014148 B1 EA014148 B1 EA 014148B1 EA 200870590 A EA200870590 A EA 200870590A EA 200870590 A EA200870590 A EA 200870590A EA 014148 B1 EA014148 B1 EA 014148B1
Authority
EA
Eurasian Patent Office
Prior art keywords
terminal device
authentication server
key
parameter
encoded
Prior art date
Application number
EA200870590A
Other languages
English (en)
Other versions
EA200870590A1 (ru
Inventor
Райнер Фальк
Дирк Кресельберг
Original Assignee
Сименс Акциенгезелльшафт
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Сименс Акциенгезелльшафт filed Critical Сименс Акциенгезелльшафт
Publication of EA200870590A1 publication Critical patent/EA200870590A1/ru
Publication of EA014148B1 publication Critical patent/EA014148B1/ru

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0892Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/041Key generation or derivation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/062Pre-authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W80/00Wireless network protocols or protocol adaptations to wireless operation
    • H04W80/04Network layer protocols, e.g. mobile IP [Internet Protocol]

Abstract

Способ для предоставления Mobile-IP-ключа, который предусмотрен для шифрования сообщений между пользовательским оконечным устройством MS или PMIP-клиентом и домашним агентом НА, причем сервер аутентификации предоставляет Mobile-IP-ключ только в том случае, если сервер аутентификации на основе соответственно кодированного параметра распознает, что пользовательское оконечное устройство MS само не использует PMIP

Description

Изобретение относится к способу и системе для предоставления ключа протокола МоЫ1е ΙΡ, в частности для Ш1-Мах-сетей.
Интернет с протоколом ТСР/ΙΡ предоставляет платформу для развития более высоких протоколов для мобильной области. Так как Интернет-протоколы широко распространены, с помощью соответствующих расширений протоколов для мобильных сред может быть открыт большой круг пользователей. Однако обычные Интернет-протоколы не предназначались для мобильного использования. При пакетной коммутации обычного Интернета обмен пакетами осуществляется между стационарными компьютерами, которые не изменяют свои сетевые адреса и не перемещаются между различными подсетями. В случае радиосетей с мобильными оконечными приборами или компьютерами, мобильные компьютеры (мобильные станции) М8 часто связываются с различными сетями. БНСР (протокол динамической конфигурации хоста) обеспечивает возможность с помощью соответствующего сервера динамического назначения ΙΡ-адреса и других конфигурационных параметров компьютеру в сети. Компьютер, который связан с сетью, автоматически получает свободный ΙΡ-адрес, назначенный посредством БНСР-протокола. Если мобильный компьютер инсталлирует ΩΗΟΡ. он должен только находиться на дальности действия локальной сети, которая поддерживает конфигурирование посредством ΟΗΟΡ-протокола. В случае БНСТ-протокола возможна динамическая выдача адреса, то есть свободный ΙΡ-адрес автоматически предоставляется на определенное время. По прошествии этого времени должен повторно направлять запрос посредством мобильного компьютера М8, либо ΙΡ-адрес может выдаваться по-другому.
С помощью БНСТ мобильный компьютер М8 может связываться с сетью без ручного конфигурирования. В качестве предпосылки в распоряжение должен только предоставляться БНСТ-сервер.
Мобильный компьютер М8 может таким образом использовать услуги локальной сети и, например, центральным образом сохраненные массивы данных. Однако если мобильный компьютер М8 сам предоставляет услуги, то потенциальный пользователь услуги может не найти мобильный компьютер М8, так как его ΙΡ-адрес изменяется в каждой сети, с которой связывается мобильный компьютер. То же самое происходит, когда ΙΡ-адрес изменяется во время существующего ТСΡ-соединения. Это приводит к прерыванию соединения. Поэтому в случае протокола МоЫе-ΙΡ мобильный компьютер М8 получает назначенный ΙΡ-адрес, который сохраняется и в другой сети. При обычной смене ΙΡ-сети необходимо соответственно согласовать установки ΙΡ-адресов. Постоянное согласование ΙΡ- и обычных автоматических механизмов конфигурирования будет прерывать существующее соединение при смене ΙΡ-адреса. МШ-протокол (КРС2002, КРС2977, ВРС3344, КРС3846, ВРС3957, ВРС3775, КРС3776, ВРС4285) поддерживает мобильность мобильных оконечных устройств М8. При обычных ΙΡ-протоколах мобильное оконечное устройство М8 должно каждый раз согласовывать свой ΙΡ-адрес, когда оно меняет ΙΡ-подсеть, чтобы пакеты данных, адресованные на мобильное оконечное устройство М8, маршрутизировались корректным образом. Чтобы существующее ТСΡ-соединение сохранять действующим, мобильное оконечное устройство М8 должно сохранять свой ΙΡ-адрес, так как смена адреса ведет к прерыванию соединения. МШ-протокол обеспечивает возможность прозрачного соединения между обоими адресами, а именно, между постоянным домашним адресом и вторым временным Саге-О£-адресом (адресом для пересылки). Саге-О£-адрес является таким ΙΡ-адресом, по которому мобильное оконечное устройство М8 достижимо в текущий момент.
Домашний агент НА является представителем мобильного оконечного устройства М8, пока мобильное оконечное устройство М8 не находится в первоначальной домашней сети. Домашняя сеть постоянно информируется о текущем местонахождении мобильного оконечного устройства М8. Домашний агент НА представляет собой обычно компонент маршрутизатора в домашней сети мобильного оконечного устройства. Когда мобильное оконечное устройство М8 находится вне домашней сети, домашний агент НА предоставляет функцию, чтобы мобильное оконечное устройство М8 могло доложить о своем прибытии. Тогда домашний агент НА направляет пакеты данных, адресованные на мобильное оконечное устройство М8 в текущую подсеть мобильного оконечного устройства М8.
Чужой агент РА находится в подсети, в которой перемещается мобильное оконечное устройство М8. Чужой агент РА направляет входящие пакеты данных на мобильное оконечное устройство М8 или на мобильный компьютер М8. Чужой агент РА находится в так называемой чужой сети (посещаемой сети). Чужой агент РА также представляет собой компонент маршрутизатора. Чужой агент РА маршрутизирует все административные пакеты данных мобильной связи между мобильным оконечным устройством М8 и его домашним агентом НА. Чужой агент РА распаковывает посланные от домашнего агента НА туннелированные ΙΡ-пакеты данных и направляет их данные на мобильное оконечное устройство М8.
Домашний адрес мобильного оконечного устройства М8 является адресом, под которым мобильное оконечное устройство М8 является постоянно достижимым. Домашний адрес имеет тот же адресный префикс, что и домашний агент НА. Саге-О£-адрес - это тот ΙΡ-адрес, который мобильное оконечное устройство М8 применяет в чужой сети.
Домашний агент НА поддерживает так называемую таблицу мобильной привязки (МВТ). Записи в этой таблице служат для того, чтобы оба адреса, то есть домашний адрес и адрес для пересылки, мобильного оконечного устройства М8 соотнести друг с другом и соответственно переадресовывать пакеты
- 1 014148 данных.
МВТ-таблица содержит записи о домашнем адресе, адресе пересылки и указание об интервале времени, в котором действительно их соответствие (время жизни).
На фиг. 1 показан пример таблицы мобильной привязки (МВТ) согласно уровню техники.
Чужой агент РА получает список посетителей или список визитеров (УЬ), который содержит информацию о мобильных оконечных устройствах М8, которые находятся непосредственно в ΙΡ-сети чужого агента РА.
Фиг. 2 показывает пример такого списка посетителей согласно уровню техники.
Для того чтобы мобильный компьютер М8 мог быть привязан в сети, он сначала должен получить сведения о том, находится ли он в своей домашней сети или чужой сети. Дополнительно мобильное оконечное устройство М8 должно получить сведения о том, какой компьютер находится в подсети домашнего или чужого агента. Эта информация определяется посредством так называемого агента обнаружения (ЭЬсоусгу).
Посредством последующей регистрации мобильное оконечное устройство М8 может сообщить свое текущее местонахождение своему домашнему агенту НА. Для этого мобильный компьютер или мобильное оконечное устройство М8 посылает домашнему агенту НА текущий адрес для пересылки. Для регистрации мобильный компьютер М8 посылает запрос регистрации или требование регистрации домашнему агенту. Домашний агент НА заносит адрес для пересылки в свой список и отвечает ответом регистрации. При этом, в общем случае, существует проблема безопасности. Так как принципиально каждый компьютер может послать своему домашнему агенту НА требование регистрации, то можно было бы простым образом представить домашнему агенту НА ложным образом, как будто некоторый компьютер перемещается в другую сеть. Так чужой компьютер мог бы получить себе все пакеты данных, предназначавшиеся упомянутому мобильному компьютеру М8 или мобильному оконечному устройству М8, причем отправитель ничего не узнал бы об этом. Чтобы предотвратить это, мобильный компьютер М8 и домашний агент НА имеют общий секретный ключ. Если мобильный компьютер М8 возвращается в свою домашнюю сеть назад, то он отменяет регистрацию в домашнем агенте НА, так как мобильный компьютер М8 теперь может сам принимать все пакеты данных. Мобильная радиосеть должна, в числе прочего, иметь следующие свойства безопасности. Информация может делаться доступной только желательному коммуникационному партнеру, то есть нежелательные подслушивающие стороны не могут получить никакого доступа к передаваемым данным. Мобильная радиосеть также должна иметь характеристику доверительности (конфиденциальности). Наряду с этим должна иметься аутентичность. Аутентичность позволяет коммуникационному партеру несомненным образом установить, была ли действительно связь установлена с желательным коммуникационным партнером, или чужая сторона выдает себя за коммуникационного партнера. Аутентификации могут осуществляться на каждое сообщение или на каждое соединение. Если аутентичность устанавливается на основе соединения, то коммуникационный партнер идентифицируется только однократно в начале сессии. Для последующего хода сессии исходят тогда из того, что последующие сообщения исходят из соответствующего отправителя. Даже если идентичность коммуникационного партнера установлена, то есть коммуникационный партнер аутентифицирован, может возникнуть случай, что этот коммуникационный партнер не может получать доступ ко всем ресурсам или не все услуги может использовать через сеть. Соответствующая авторизация предусматривает в этом случае предшествующую аутентификацию коммуникационного партнера.
В случае мобильных сетей передачи данных сообщения должны проходить длинные участки через радиоинтерфейс и, тем самым, легко доступны для потенциального взломщика. При мобильных и беспроводных сетях данных аспекты безопасности играют особую роль. Существенное средство для повышения безопасности в сетях передачи данных представляют методы шифрования. За счет шифрования можно передавать данные по различным коммуникационным маршрутам, например, через радиоинтерфейс, не позволяя при этом получить доступ к данным несанкционированной третьей стороне. Для осуществления шифрования данные, то есть так называемый открытый текст, преобразуются с помощью алгоритма шифрования в зашифрованный текст. Зашифрованный текст может передаваться по незащищенному каналу и затем расшифровываться или дешифроваться.
В качестве одной многообещающей беспроводной технологии доступа предложен в качестве нового стандарта ^1Мах (глобальная совместимость широкополосного беспроводного доступа), который применяется для радиопередачи согласно ΙΕΕΕ 802.16. С помощью ^1Мах передающими станциями должна обслуживаться область до 50 км со скоростями передачи данных свыше 100 Мбит в секунду.
На фиг. 3 показана опорная модель для радиосети ^1Мах. Мобильное оконечное устройство М8 находится в области сети доступа (Α8Ν - сеть обслуживания доступа). Сеть доступа Α8Ν связана через по меньшей мере одну посещаемую сеть (УС8№посещаемая сеть обслуживания связности) или промежуточную сеть ΗС8N (домашняя сеть обслуживания связности). Соответствующие сети связны через интерфейсы или опорные пункты К друг с другом. Домашний агент НА мобильной станции М8 находится в домашней сети (ΗΟ8Ν) или в одной из посещаемых сетей (УС8Ц).
\У|Мах поддерживает два варианта реализации протокола МоЫ1е ΙΡ, а именно, так называемый С11сп1 М1Р (СМ1Р), при котором мобильная станция М8 сама реализует функцию М1Р-клиента, и Ргоху-М1Р
- 2 014148 (ΡΜΙΡ), при котором функция ΜΙΡ-клиента реализуется через \У|Мах-есть доступа ΑδΝ. Предусмотренная для этого в ΑδΝ функциональность обозначается как мобильный узел-посредник (ΡΜΝ) или как ΡΜΙΡ-ΟΙίοηΙ. Тем самым ΜΙΡ может также применяться с мобильными станциями Μδ, которые сами не поддерживают ΜΙΡ.
На фиг. 4 показано установление соединения при Ριόχυ-ΜΙΡ (ΡΜΙΡ), когда домашний агент НА находится в посещаемой сети νΟδΝ, согласно уровню техники.
После установления радиосоединения между мобильным оконечным устройством Μ8 и базовой станцией В8, сначала проводится аутентификация для доступа. Функция аутентификации, авторизации и учета осуществляется посредством так называемых ААА-серверов (ААА-аутентификация, авторизация и учет). Между мобильным оконечным устройством Μ8 и ААА-сервером домашней сети (НААА) осуществляется обмен сообщениями аутентификации, посредством которого получают адрес домашнего агента НА и ключ аутентификации. Сервер аутентификации в домашней сети получает данные профиля пользователя. ААА-сервер получает сообщение запроса аутентификации, которое содержит идентификатор пользователя мобильного оконечного устройства Μ8. ААА-сервер генерирует после успешной аутентификации для доступа ΜδΚ-ключ (ΜδΚ-эталонный ключ сеанса) для защиты маршрута передачи данных между мобильным оконечным устройством Μ8 и базовой станцией В8 сети доступа Α8Ν. Этот ΜδΚключ передается от ААА-сервера домашней сети через промежуточную сеть С8N на сеть доступа ΑδΝ.
После аутентификации доступа, как показано на фиг. 4, ^ΗСΡ-Ρ^οxу-сервер конфигурируется в сети доступа ΑδΝ. Если ΙΡ-адрес и конфигурация хоста уже содержатся в сообщении ААА-ответа, то вся информация загружается в ^ΗСΡ-Ρ^οxу-сервер.
После успешной аутентификации и авторизации мобильная станция или мобильное оконечное устройство Μδ посылает ΌΗΟΡ-сообщение обнаружения, и осуществляется назначение ΙΡ-адреса.
Если мобильное оконечное устройство Μδ выполняет привязку в сети, мобильное оконечное устройство Μδ должно по возможности быть уведомлено, находится ли оно в домашней сети или в чужой сети. Кроме того, мобильное оконечное устройство Μδ должно быть осведомлено, какой компьютер в соответствующей сети является домашним или чужим агентом. Эта информация определяется посредством упомянутого так называемого агента обнаружения. Имеется два типа агента обнаружения, а именно, так называемые агент оповещения и агент запрашивания.
В случае агента оповещения агенты, то есть домашние или чужие агенты периодически передают широковещательные сообщения на все компьютеры или мобильные оконечные устройства подсети. Каждый компьютер, который в определенном временном интервале прослушивает широковещательные сообщения, может так идентифицировать агентов в соответствующей подсети.
Если мобильное оконечное устройство Μδ активировано вновь, в общем случае не является принятой практикой ожидать следующего агента оповещения. Мобильное оконечное устройство Μδ должно сейчас же знать, в какой подсети оно находится в данный момент. Поэтому в случае так называемого агента запрашивания мобильное оконечное устройство Μδ посылает запрос на все компьютеры соответствующей подсети, чтобы осуществить агента запрашивания. Мобильное оконечное устройство Μδ может посредством агента запрашивания обусловить то, что агенты немедленно дали бы о себе знать, так что время ожидания существенно сокращается. Агент запрашивания также выполняется в том случае, если агент оповещения отсутствует, например, при потере пакета или смене сети. С помощью агента обнаружения мобильное оконечное устройство Μδ также может установить, находится ли оно в домашней сети или в чужой сети. С помощью пакетной информации внутри сообщения агента оповещения мобильное оконечное устройство Μδ распознает своего домашнего агента НА. Если мобильное оконечное устройство Μδ получает пакеты сообщений из чужой сети, то оно может дополнительно установить, изменилось ли его местоположение с момента последнего оповещения. Если мобильное оконечное устройство Μδ не принимает никакого сообщения оповещения, то мобильное оконечное устройство Μδ исходит прежде всего из того, что оно находится в домашней сети и что домашний агент НА испытывает помехи. Мобильное оконечное устройство Μδ пытается тогда установить контакт с маршрутизатором сети, чтобы подтвердить это предположение. Если мобильное оконечное устройство Μδ не находится в своей домашней сети, то оно пытается после этого отыскать ΌΗΟΡ-сервер и получить адрес подсети. Если это успешно выполнено, то мобильное оконечное устройство Μδ использует этот адрес в качестве так называемого адреса пересылки близкого местоположения и устанавливает контакт с домашним агентом НА. Адрес пересылки близкого местоположения является адресом, назначенным мобильному оконечному устройству Μδ в чужой сети, который также передается на домашнего агента НА.
Проводится различие между основанным на сети управлением мобильностью (ΡΜΙΡ) и основанным на оконечном устройстве управлении мобильностью (ΟΜΙΡ). В случае основанного на оконечном устройстве управления мобильностью ΟΜΙΡ оконечное устройство поддерживает Μοόίΐο-ΙΡ (ΜΙΡ).
На фиг. 4 показано установление соединения при обычном основанном на сети управлении мобильностью (ΡΜΙΡ), в то время как на фиг. 5 показано установление соединения при обычном основанном на оконечном устройстве управлении мобильностью (ΟΜΙΡ).
При установлении соединения между мобильным оконечным устройством Μδ и сетью сервер аутентификации домашней сети (Н-ААА) посылает после успешной аутентификации пользователя сооб
- 3 014148 щение подтверждения аутентификации (8ИССЕ88) (успех). Сообщение подтверждения аутентификации уведомляет клиента аутентификации, что аутентификация пользователя успешно завершена.
В случае Ргоху-ΜΙΡ или основанного на сети управления мобильностью (ΡΜΙΡ) мобильное оконечное устройство Μ8 не поддерживает МоЫ1е-1Р, или соответствующее программное обеспечение ΜΙΡ в мобильном оконечном устройстве Μ8 не активировано.
В противоположность этому, при ί'^ηΙ-ΜΙΡ (ί'ΜΙΡ) или при основанном на оконечном устройстве управлении мобильностью ΜοΝΕ-ΙΡ поддерживается соответствующим оконечным устройством или мобильной станцией Μ8.
В случае Ριόχ\·-ΜΙΡ мобильное оконечное устройство Μ8 распознает лишь назначенный ΌΗίΡсервером ΙΡ-адрес. Адрес пересылки мобильного оконечного устройства Μ8 известен не мобильному оконечному устройству, а ΡΜΙΡ-клиенту, чужому агенту ЕА, а также домашнему агенту НА. В противоположность этому, мобильное оконечное устройство Μ8 распознает в случае ί'^ηΙ-ΜΙΡ свои оба адреса, т.е. как домашний адрес, так и адрес пересылки.
Как можно видеть на фиг. 4 и 5, после назначения ΙΡ-адреса, осуществляется ΜΙΡ-регистрация. При ΜΙΡ-регистрации домашний агент НА информируется о текущем местоположении мобильного оконечного устройства Μ8. Для своей регистрации посылает мобильное оконечное устройство Μ8 или соответствующий СΜIΡ-клиент запрос регистрации на домашнего агента НА, который содержит текущий адрес пересылки. Домашний агент НА заносит адрес пересылки в управляемый им список и отвечает ответом регистрации. Так как принципиально любой компьютер может послать на домашнего агента НА запрос регистрации, можно было бы простым способом сымитировать домашнему агенту НА, что некоторый компьютер или мобильное оконечное устройство Μ8 перемещается в другую сеть. Чтобы предотвратить это, как мобильное оконечное устройство Μ8, так и домашний агент располагают общим секретным ключом, а именно, так называемым ΜοЬ^1е-IΡ-κлючом (ΜΙΡ-ΚΕΥ).
В случае Ριόχ\·-ΜΙΡ (ΡΜΙΡ) запрос регистрации (ΜΙΡΡΕΟ) передается от ΡΜΙΡ-клиента внутри сети доступа Α8Ν через чужого агента ЕА на домашнего агента НА. Домашний агент НА поручает соответствующему серверу аутентификации Н-ААА назначить ключ для пользователя и передает его с ответом ΜΙΡ-регистрации, как показано на фиг. 4.
При основанном на оконечном устройстве управлении мобильностью (ί'ΜΙΡ) сообщение регистрации (ΜΙΡΕΕΟ) направляется непосредственно от мобильного оконечного устройства Μ8 через чужого агента ЕА на домашнего агента НА, как показано на фиг. 5.
Как можно видеть на фиг. 4, 5, при ΡΜΙΡ и ίΜΙΡ при аутентификации для доступа тот же самый ΜοΝΚ-ΙΡ-κ.^π (ΜΙΡ-кеу) предоставляется для шифрования ΜοЬ^1е-IΡ-сообщений сигнализации посредством сервера аутентификации. ΜοΝΚ-ΙΡ-κ.^π служит для шифрования ΜοЬ^1е-IΡ-сообщений сигнализации между ΜοЬ^1е-IΡ-клиентом и ΜοЬ^1е-IΡ-домашним агентом НА.
Для представленного на фиг. 5 случая ίΜΙΡ аутентификатор получает поэтому ΜοΝΕ-ΙΡ-κ.^π. который ему совсем не требуется. Аутентификатор находится обычно в шлюзовом узле сети доступа Α8Ν. Так как ΜοΝΕ-ΙΡ-κ.^π должен шифровать сообщения сигнализации между мобильным оконечным устройством Μ8 и домашним агентом НА, то аутентификатору не нужен этот ΜοΝΚ-ΙΡ-κ.^π. Таким образом, в обычной системе сеть доступа Α8Ν получает ключ, который ей совсем не нужен, но который может применяться в целях манипулирования. Например, от шлюзового узла сети доступа Α8Ν с помощью ненужным образом переданного ΜοΝΕ-ΙΡ-κ.^πη могло бы неправомочным образом быть передано ΜοЬНе-Р-сообщение запроса регистрации. Другой недостаток состоит в том, что ненужным образом переданный ΜοΝΕ-ΙΡ-κ.^π в шлюзовом узле Α8Ν без необходимости занимает место в памяти.
Поэтому задачей предложенного изобретения является создание способа и системы, при которых ΜοΜΚ-ΙΡ-κΜ4, во избежание манипулирования с ним, распределяется только тем узлам, которые действительно нуждаются в нем.
Эта задача в соответствии с изобретением решается способом с признаками, приведенными в пункте 1 формулы изобретения и системой с признаками, приведенными в пункте 20 формулы изобретения.
Изобретение создает способ для предоставления ΜοΝΕ-ΙΡ^ν^Η;·!, который предусмотрен для шифрования сообщений между пользовательским оконечным устройством (Μ8) или ΡΜΙΡ-клиентом и домашним агентом (НА), причем сервер аутентификации предоставляет ΜοΝΚ-ΙΡ-κ.^π (ΜΙΡ-ΚΕΥ) только в том случае, если сервер аутентификации на основе соответственно кодированного параметра Р распознает, что пользовательское оконечное устройство (Μ8) само не использует ΜοΝΕ-ΙΡ (ΡΜΙΡ).
В предпочтительной форме выполнения соответствующего изобретению способа кодированный параметр Р образуется посредством кодированного пользовательского идентификатора ΝΑΙ (идентификатор сетевого доступа).
В предпочтительной форме выполнения сервер аутентификации образован ААА-сервером аутентификации.
В другой форме выполнения соответствующего изобретению способа кодированный пользовательский идентификатор передается на сервер аутентификации в сообщении во время аутентификации пользовательского оконечного устройства Μ8.
В альтернативной форме выполнения соответствующего изобретению способа кодированный поль
- 4 014148 зовательский идентификатор ΝΑΙ передается на сервер аутентификации в сообщении во время регистрации пользовательского оконечного устройства М8.
В альтернативной форме выполнения соответствующего изобретению способа кодированный параметр образуется посредством кодированного индекса параметра безопасности (8ΡΙ).
В предпочтительной форме выполнения кодированный индекс параметра безопасности (8ΡΙ) передается на сервер аутентификации во время регистрации пользовательского оконечного устройства М8.
В форме выполнения соответствующего изобретению способа кодирование параметра Р осуществляется посредством мобильного оконечного устройства М8.
В альтернативной форме выполнения соответствующего изобретению способа кодирование параметра Р осуществляется посредством аутентификатора.
В другой альтернативной форме выполнения соответствующего изобретению способа кодирование параметра Р осуществляется посредством ΡΜΙΡ-клиента.
В другой альтернативной форме выполнения соответствующего изобретению способа кодирование параметра Р осуществляется посредством чужого агента ΡΑ.
В предпочтительной форме выполнения соответствующего изобретению способа дополнительно в параметре Р закодировано, о какой ΜΙΡ-версии идет речь.
В другой форме выполнения соответствующего изобретению способа домашний агент НА запрашивает, при указании кодированного параметра, МобИс-Ш-ключ (ΜΙΡ-ΚΕΥ) в сервере аутентификации.
В другой форме выполнения соответствующего изобретению способа сервер аутентификации предоставляет два различных МШ-ключа, причем домашнему агенту НА посредством сервера аутентификации предоставляется первый СМШ-ключ. если мобильное оконечное устройство М8 само использует МоЬПс-ΙΡ. и при этом домашнему агенту НА посредством сервера аутентификации предоставляется второй ΡΜIΡ-ключ, если мобильное оконечное устройство М8 само не использует МоЬйе-ΙΡ.
В предпочтительной форме выполнения соответствующего изобретению способа сервер аутентификации вычисляет в зависимости от МоЬйе-ΙΡ корневого ключа (ΚΚ) и в зависимости от строки символов хеш-значение Н, которое предоставляется как МобИе-Ш-ключ (ΜIΡ-ΚΕΥ).
При этом строка символов предпочтительным образом образована из конкатенированных подстрок символов.
В предпочтительной форме выполнения подстрока символов образована ΙΡ-адресом домашнего агента НА.
В форме выполнения соответствующего изобретению способа пользовательский идентификатор ΝΑΙ имеет следующий формат данных: [Воийид Веа1ш1! Коийпд Веа1ш2!...!]{Аи1й Мобе} ркеибо ИеиШу @геа1т, причем й^еибо ШеиШу - случайное число, сгенерированное при аутентификации мобильного посредством оконечного устройства М8 и причем Аи1й Мобе - символ, который указывает режим аутентификации.
В форме выполнения соответствующего изобретению способа при кодированном пользовательском идентификаторе ΝΑΙ режим аутентификации (Αιιΐΐι Мобе) расширяется по меньшей мере на один символ, который указывает, использует ли МоЬйе-ΙΡ само пользовательское оконечное устройство М8.
Изобретение создает, кроме того, систему для предоставления МоЬйе-ГЙ-ключа, который предусмотрен для шифрования сообщений между пользовательским оконечным устройством М8 или ΡΜIΡклиентом и домашним агентом НА, причем сервер аутентификации предоставляет МоЬйе-ГЙ-ключ (МГЙΚΕΥ) только в том случае, если сервер аутентификации на основе соответственно кодированного параметра Р распознает, что пользовательское оконечное устройство М8 само не использует МоЬйе-ΙΡ (ЙМ^).
Изобретение создает, кроме того, мобильное оконечное устройство М8, которое в сообщении сетевой регистрации, которое направлено на сервер аутентификации, и/или в МГЙ-сообщении запроса регистрации, которое направлено на домашнего агента НА, передает кодированный параметр Р, который указывает, использует ли МоЬйе-ΙΡ само мобильное оконечное устройство М8.
Изобретение создает, кроме того, клиентский компьютер сети доступа Α8Ν, который в МГЙсообщениях запроса регистрации, которые направлены на домашнего агента НА, передает кодированный параметр Р, который указывает, использует ли МоЬйе-ΙΡ соответствующее мобильное оконечное устройство М8.
Далее предпочтительные формы выполнения соответствующего изобретению способа и соответствующей изобретению системы для предоставления МоЬйе-ГЙ-ключа описываются со ссылками на приложенные чертежи для пояснения существенных признаков изобретения. На чертежах показано:
фиг. 1 - пример таблицы мобильной привязки (МВТ) согласно уровню техники;
фиг. 2 - пример списка посетителей согласно уровню техники;
фиг. 3 - опорная модель для радиосети ^1Мах;
фиг. 4 - установление соединения при йго-ху-МШ (ТМШ) согласно уровню техники;
фиг. 5 - установление соединения при СйеиНМШ (ΤΜΙΡ) согласно уровню техники;
фиг. 6 - сеть ^1Мах, в которой может использоваться соответствующий изобретению способ для предоставления МоЬйе-ГЙ-ключа;
- 5 014148 фиг. 7 - регистрация в сети ^1Мах, при которой выполняется соответствующий изобретению способ для предоставления МоЫ1е-1Р-ключа;
фиг. 8 - таблица для пояснения возможностей кодирования передаваемого при регистрации в сети пользовательского идентификатора для пояснения формы выполнения соответствующего изобретению способа;
фиг. 9 - диаграмма сигналов для случая СМ1Р для пояснения соответствующего изобретению способа для предоставления МоЫ1е-1Р-ключа;
фиг. 10 - другая диаграмма сигналов для случая РМ1Р для пояснения соответствующего изобретению способа для предоставления МоЫ1е-1Р-ключа;
фиг. 11 - другая диаграмма сигналов для случая РМ1Р для пояснения альтернативной формы выполнения соответствующего изобретению способа для предоставления МоЫ1е-1Р-ключа;
фиг. 12 - другая диаграмма сигналов для случая СМ1Р для пояснения альтернативной формы выполнения соответствующего изобретению способа для предоставления МоЫ1е-1Р-ключа.
На фиг. 6 показана сеть ^1Мах, в которой может использоваться соответствующий изобретению способ для предоставления МоЫ1е-1Р-ключа. Мобильное оконечное устройство 1 (М8 - мобильная станция) связано через интерфейс К.1 с сетью 2 доступа (ΑδΝ - сеть доступа к услугам). Сеть 2 доступа связана через интерфейс КЗ с посещаемой сетью 3 (VСδN - посещаемая сеть обслуживания связности). Эта посещаемая сеть 3, со своей стороны, связана через интерфейс К5 с домашней сетью 4 (ΗΟ8Ν - домашняя сеть обслуживания связности).
Если мобильное оконечное устройство 1 М8 перемещается от первой сети 2 доступа ко второй сети 2' доступа, то происходит передача обслуживания между первой и второй сетями доступа. Эта передача обслуживания обозначается в спецификации \У|Мах как Управление макро-мобильностью или как КЗ мобильность, или как Интер-ΆδΝ мобильность). Посещаемая сеть 3 и домашняя сеть 4 подключены, соответственно к сети провайдера услуги доступа (А8Р) или к Интернету.
Каждая сеть 2 доступа содержит множество базовых станций Βδ, которые со своей стороны, связаны через интерфейс К6 с ΑδΝ-шлюзовым узлом 5. Представленный на фиг. 6 ΑδΝ-шлюзовой узел 5 включает в себя аутентификатор 5А, М1Р чужой агент 5В и РМ1Р-клиент 5С. В каждой посещаемой сети 3 находится ААА-сервер ЗА, как представлено на фиг. 6. В домашней сети 4 находится также сервер 4А аутентификации, а также домашний агент 4В.
На стороне мобильного оконечного устройства 1 могут различаться два случая. Мобильное оконечное устройство 1 само поддерживает протокол МоЫ1е-1Р и имеет собственный СМ1Р-клиент, или мобильное оконечное устройство 1 не поддерживает протокол МоЫ1е-1Р, и ему требуется СМ1Р-клиент 5 С в шлюзовом узле 5 сети 2 доступа.
На фиг. 7 показана диаграмма сигналов для объяснения соответствующего изобретению способа.
В соответствующем изобретению способе для предоставления МоЫ1е-1Р-ключа, который предусмотрен для шифрования, то есть для криптографической защиты, например, от манипулирования и/или прослушивания, сообщений между пользовательским оконечным устройством 1 или РМ1Р-клиентом 5С и домашним агентом 4В, сервер 4А аутентификации предоставляет МоЫ1е-1Р-ключ только в том случае, если сервер 4А аутентификации в домашней сети 4 на основе соответственно кодированного параметра Р распознает, что пользовательское оконечное устройство 1 само не использует МоЫ1е-1Р, или имеет место случай РМ1Р. С помощью МоЫ1е-1Р-ключа может, в частности, предотвращаться манипулирование (изменение) сообщений посредством криптографического способа защиты (криптографическая контрольная сумма, код аутентификации сообщения). Также сообщения могут зашифровываться для защиты от прослушивания.
В случае этого параметра Р речь идет предпочтительно о кодированном пользовательском идентификаторе или об идентификаторе сети доступа (ΝΑΙ).
В общем случае в соответствующем изобретению способе могут кодироваться также другие параметры, передаваемые при регистрации в сети. Например, может также кодироваться применяемый при регистрации индекс параметра безопасности фР1).
Как можно видеть из фиг. 7, мобильное оконечное устройство 1 передает при своей аутентификации на сервер 4А аутентификации кодированный пользовательский идентификатор ΝΑΙ. С помощью кодированного пользовательского идентификатора ΝΑΙ сервер 4А аутентификации распознает, поддерживает ли мобильное оконечное устройство 1 само протокол МоЫ1е-1Р (СМ1Р), или мобильное оконечное устройство 1 не использует МоЫ1е-1Р (РМ1Р). Только если сервер 4А аутентификации с помощью кодированного параметра Р устанавливает, что мобильное оконечное устройство 1 само не использует МоЫ1е-1Р, то есть если имеет место случай РМ1Р, то МоЫ1е-1Р-ключ (М1Р-Кеу) предоставляется для кодирования сообщений между мобильным оконечным устройством 1 и домашним агентом 4В. В первой возможной форме выполнения сервер 4А аутентификации передает МоЫ1е-1Р-ключ тогда, когда установлено, что пользовательское оконечное устройство 1 само не использует МоЫ1е-1Р (случай РМ1Р). Для этого случая РМ1Р сервер 4 А аутентификации посылает МоЫ1е-1Р-ключ (М1Р-Кеу) в сообщении δυθСΕδδ («успех») на аутентификатор 5А, находящийся на ΑδΝ-шлюзовом узле 5, который его, в свою очередь, предоставляет РМ1Р-клиенту. В первом варианте для противоположного случая (случай СМ1Р), то
- 6 014148 есть, когда мобильное оконечное устройство 1 поддерживает МоЫ1е-1Р, то сервер 4А аутентификации не передает МоЫ1е-1Р-ключ на аутентификатор 5А. В альтернативном варианте сервер 4А аутентификации предоставляет два различных 1Р-ключа, а именно первый СМ1Р-ключ для случая, когда мобильное оконечное устройство 1 само использует МоЫ1е-1Р, и второй РМ1Р-ключ для случая, когда мобильное оконечное устройство 1 само не использует МоЫ1е-1Р. Соответствующий ключ передается посредством сервера 4А аутентификации на аутентификатор 5А и домашнему агенту 4В.
Кодирование параметра Р и, в частности, пользовательского идентификатора ΝΑΙ осуществляется в одной форме выполнения посредством мобильного оконечного устройства 1. В альтернативной форме выполнения кодирование параметра Р осуществляется посредством аутентификатора 5А, РМ1Р-клиента 5 С или посредством чужого агента 5В.
В предпочтительной форме выполнения в упомянутом параметре закодировано, о какой версии М1Р идет речь, М1РУ4 или М1РУ6.
Домашний агент 4В запрашивает, при указании кодированного параметра Р, в частности, при указании пользовательского идентификатора ΝΑΙ, МоЫ1е-1Р-ключ, который необходим для кодирования сообщений между домашним агентом 4В и пользовательским устройством 1 или РМ1Р-клиентом 5 С пользовательского оконечного устройства 1, при М1Р-регистрации на сервере 4А аутентификации.
Кодирование пользовательского идентификатора ΝΑΙ может осуществляться различным образом. Не является обязательно необходимым, чтобы во время аутентификации и во время регистрации применялся один и тот же пользовательский идентификатор ΝΑΙ. Поэтому применяемый во время аутентификации пользовательский идентификатор ΝΑΙΑ и применяемый во время регистрации пользовательский идентификатор ΝΑΙΚ могут быть различными, как показано на фиг. 7.
Пользовательский идентификатор ΝΑΙ предпочтительно имеет следующий формат данных: [Воийпд Веа1ш1! Воийпд К.еа1т2!...!]{АиГй Мобе} ркеибо [беп11(у @геа1т, причем Ркеибо !беп(11у является случайным числом, сгенерированным при аутентификации посредством оконечного устройства и Αιιΐΐι Мобе является символом, который указывает режим аутентификации. Режим аутентификации показывает серверу аутентификации, какой рабочий режим аутентификации запрашивается мобильным оконечным устройством 1.
В возможной форме выполнения соответствующего изобретению способа, содержащийся в пользовательском идентификаторе ΝΑΙ режим аутентификации, который может представлять символ или цифру, расширяется по меньшей мере на один дополнительный символ, который указывает, использует ли пользовательское оконечное устройство 1 само МоЬбе-ГР или нет.
Например, пользовательский идентификатор ΝΑΙ {1}31276453@уобаТопе.еот для случая СМФ кодируется следующим образом:
{1С}31276453@уобаТопе.еот а для случая РМФ кодируется следующим образом:
{1Р}31276453@уобаТопе.еот.
В качестве альтернативы, пользовательский идентификатор ΝΑΙ расширяется, например, только тогда на один символ, когда имеет место случай СМГР, так что для случая СМГР получается следующий кодированный пользовательский идентификатор:
{1С}31276453@уобаТопе.еот, причем для случая РМФ не выполняется никакого расширения строки символов режима аутентификации, так что для случая РМГР имеет место следующее кодирование:
{1}31276453@уобаТопе.еот.
Имеются различные варианты кодирования пользовательского идентификатора ΝΑΙ, причем пользовательские идентификаторы ΝΑΙα, ΝΑΙκ, применяемые во время аутентификации и регистрации, могут кодироваться одинаковым или различным образом.
Возможные варианты кодирования представлены в форме таблицы на фиг. 8.
Например, в варианте V! строка символов в режиме аутентификации для случая РМГР как при пользовательском идентификаторе ΝΑΙΑ во время аутентификации, так и при пользовательском идентификаторе ΝΑΙΚ во время регистрации, расширяется на символ Р, в то время как она для случая СМФ расширяется на символ С.
В варианте ν2 для случая РМФ не осуществляется никакого расширения строки символов режима аутентификации, в то время как для случая СМГР режима аутентификации производится расширение на символ С. Другие варианты ν3-ν6 также представлены в таблице согласно фиг. 8.
Дополнительно факультативным образом в пользовательском идентификаторе ΝΑΙ кодируется, о какой версии МФ. например, МГРV4 или МГРV6, идет речь, при этом дополнительно к символу Р или С добавляется символ 4 или 6.
Разумеется, для кодирования соответствующих случаев могут применяться любые символы Л8СП.
Сервер 4А аутентификации выдает, в зависимости от режима МФ, как он закодирован в пользовательском идентификаторе ΝΑΙ, либо РМФ-ключ, либо СМ^-ключ, на домашнего агента 4В.
В соответствующем изобретению способе домашний агент 4В или сервер 4А аутентификации распознает, на основе кодированного пользовательского идентификатора ΝΑΙ, который применяет мобиль
- 7 014148 ное оконечное устройство 1 при регистрации в сети, применяется ли СМ1Р или ΡΜΙΡ.
Вывод ключа и передача ключа осуществляется в зависимости от того, имеет ли место случай СМ1Р или ΡΜΙΡ.
В первом варианте ΜΙΡ-ключ передается в сеть 5 доступа только в том случае, если в действительности имеет место случай ΡΜΙΡ. При этом иерархия ключей не должна изменяться, и генерируется только ключ для шифрования сообщений между мобильным оконечным устройством 1 и домашним агентом 4В.
В альтернативной форме выполнения для случая ΡΜΙΡ и ί'ΜΙΡ выводятся различные ΜΙΡ-ключи.
Например, сервер аутентификации вычисляет с применением хеш-функции Н в зависимости от ΜοЬйе-ΙΡ корневого ключа (ВК) и строки символов хеш-значение, которое предоставляется как Μοόίΐο-ΙΡ ключ:
ММ-НА-РМ1Р4 = (ΜΙΡ-НК, ΡΜΙΡ4ΜΝΗΑ | ΗΑ-ΙΡ)
МЫ-НА-СМ1Р4 = (ΜΙΡ-ВК, СМ1Р4МИНА | ΗΑ-ΙΡ)
Использованная при вычислении хеш-значения с применением хеш-функции Н строка символов может, например, составляться из конкатенированных подстрок символов. При этом предпочтительно подстрока символов НА-ΙΡ образуется посредством ΙΡ-адреса домашнего агента 4В. Эта подстрока символов присоединяется или конкатенируется к строке символов, которая различается для случая ΡΜΙΡ и для случая СΜIΡ и, например, для случая ΡΜΙΡ соответствует ΡΜΙΡ4ΜΝΗΑ, а для случая СΜIΡ соответствует ί’ΜΙΡ4ΜΝΗΑ. Из составленной строки символов и ΜοΝΒ-ΙΡ корневого ключа (ΜΙΡ-ВК) затем вычисляется хеш-значение с применение хеш-функции Н. Так как составленная строка символов имеет часть, которая различна для случая ΡΜΙΡ и, соответственно, для случая СΜIΡ, оба вычисленных хеш-значения НР (ΜΜ-ΗΑ-ΡΜΙΡ4), НС (ΜΝ-ΗΑ-ί’ΜΙΡ4) являются различными для случая ΡΜΙΡ и для случая СΜIΡ и могут предоставляться как ΜοЬ^1е-IΡ-ключ для соответствующего случая.
В сеть 5 доступа теперь посылается ΡΜΙΡ-ключ (ΜΝ-ΗΑ-ΡΜΙΡ4), но не СΜIΡ-ключ (ΜΝ-ΗΑСΜIΡ4).
Если домашний агент 4В позже при ΜΙΡ-регистрации запрашивает ΜΙΡ-ключ от сервера 4А аутентификации, сервер 4А аутентификации в зависимости от ΜΙΡ-режима (ί'ΜΙΡ или ΡΜΙΡ), закодированного в пользовательском идентификаторе ΝΑΙ, выдает либо ΡΜΙΡ-ключ (Μ8-ΗΑ-ΡΜΙΡ4), либо ίΜΙΡ-ключ (Μ8-ΗΑ-ίΜΙΡ4) на домашнего агента 4В. Хотя здесь сеть доступа Α8Ν (Ργοχυ-ΜΝ) содержит ΜΙΡ-ключ, он не может применяться, если поддерживается Сйеи! ΜΙΡ (случай ίΜΙΡ). А именно, домашний агент 4В принимает только сообщения сигнализации от ΜΙΡ-клиента, которые защищены СΜIΡ-ключом (ΜΝ-ΗΑСΜIΡ4).
В качестве альтернативы, вывод различных для ΡΜΙΡ и СΜIΡ ключей может осуществляться в домашнем агенте 4В непосредственно. Это может быть реализовано таким образом, что сервер 4А аутентификации посылает домашнему агенту 4В ключ, выведенный из ΜΙΡ корневого ключа (ΜΙΡ-ВК). Домашний агент может затем на основе информации о том, применяет ли пользователь ΡΜΙΡ или СΜIΡ, сам предпринять вывод соответствующего ΜΙΡ-ключа (ΜΝ-ΗΑ).
В одной форме выполнения предоставляются соответствующие различные ключи для ΜοΗΒ-ΙΡ версии 4 и ΜοΝΒ-ΙΡ версии 6 для случая ΡΜΙΡ и случая СΜIΡ. Например, сервер аутентификации вычисляет с применением хеш-функции Н в зависимости от ΜοΝΒ-ΙΡ корневого ключа (ΜΙΡ-ВК) и строки символов хеш-значение, которое предоставляется как ΜοΝΒ-ΙΡ-κ.^η:
ΜΜ-ΗΑ-ΡΜΙΡ4 = (ΜΙΡ-ВК,
-ΜΝ-ΗΑ-ΟΜΙΡ4 = (ΜΙΡ-Ρ.Κ,
ΜΜ-ΗΑ-ΡΜΙΡ6 = (ΜΙΡ-ВК,
ΜΝ-ΗΑ-ΟΜΙΡ6 - (ΜΙΡ-ВК,
ΡΜΙΡ4ΜΝΗΑ ι | ΗΑ-ΙΡ)
СМ1Р4ММНА : 1 ΗΑ-ΙΡ)
ΡΜΙΡ6ΜΝΗΑ | ΗΑ-ΙΡ)
СМ1Р6МИНА 1 I ΗΑ-ΙΡ)
Использованная при вычислении хеш-значения с применением хеш-функции Н строка символов может, например, составляться из конкатенированных подстрок символов. При этом предпочтительно подстрока символов ΗΑ-ΙΡ образуется посредством ΙΡ-адреса домашнего агента 4В. Эта подстрока символов присоединяется или конкатенируется к строке символов, которая различается для случаев ΡΜΙΡν4, СΜIΡν4, ΡΜΙΡν6 и СΜIΡν6 и, например, для случая ΡΜΙΡν4 соответствует ΡΜΙΡ4ΜΝΗΑ, для случая СΜIΡν4 соответствует СΜIΡ4ΜNΗΑ, для случая ΡΜΙΡν6 соответствует ΡΜΙΡ6ΜΝΗΑ и для случая СΜIΡν6 соответствует СΜIΡ6ΜNΗΑ. Из составленной строки символов и ΜοΝΒ-ΙΡ корневого ключа (ΜΙΡ-ВК) затем вычисляется хеш-значение с применением хеш-функции Н. Так как составленная строка символов имеет часть, которая различна для случаев ΡΜΙΡν4, СΜIΡν4, ΡΜΙΡν6 и СΜIΡν6, то четыре вычисленных хеш-значения ^(ΜΝ-ΗΑ-ΡΜ^), ΗС4(ΜN-ΗΑ-СΜIΡ4), ΗΡ6(ΜΝ-ΗΑ-ΡΜΙΡ6), Η^^ΜΝ-ΗΑСΜIΡ6) являются различными для случаев ΡΜΙΡν4, СΜIΡν4, ΡΜΙΡν6 и СΜIΡν6 и могут предоставляться как ΜοΝΒ-ΙΡ-κ.^η для соответствующего случая.
В одном варианте в сеть 5 доступа посылаются только два ΡΜΙΡ-ключа (ΜΝ-ΗΑ-ΡΜΙΡ4, ΜΝ-ΗΑΡΜΙΡ6), но не СΜIΡ-ключ (ΜΝ-ΗΑ^ΜΙΡ4, ΜΝ-ΗΑ^ΜΙΡ6).
- 8 014148
Если в другом варианте посредством предаваемого параметра Р также можно провести различие между МоЬПе-ΙΡ версии 4 и МоЫ1е-1Р версии 6, то сервер 4А аутентификации предоставляет либо только МоЫ1е-1Р-ключ для версии 4 (ΜΜ-ΗΑ-ΡΜΙΡ4 или ΜΝ-ΗΑ-ΟΜΙΡ4), если параметр Р указывает, что применяется МоЬПе-ΙΡ версии 4, либо он предоставляет только МоЬПе-Ш-ключ для версии 6 (ΜΜ-ΗΑΡΜΙΡ6 или ΜΝ-Η А-СМ1Р6), если параметр Р указывает, что применяется МоЫ1е-1Р версии 6.
В одном варианте передаваемый при аутентификации параметр Р указывает, применяется ли МоЫ1е-1Р версии 4 или МоЫ1е-1Р версии 6. Сервер аутентификации передает в сеть 5 доступа только соответствующий ΡΜΙΡ-ключ (ΜΝ-ΗΑ-ΡΜΙΡ4 или ΜΝ-ΗΑ-ΡΜΙΡ6), то есть в сеть 5 доступа посылается ΜΝΗΑ-ΡΜΙΡ4, если посредством параметра Р закодировано применение МоЬПе-ΙΡ версии 4, и в сеть 5 доступа посылается ΜΝ-ΗΑ-ΡΜΙΡ6, если посредством параметра Р закодировано применение МоЬПе-ΙΡ версии 6.
Фиг. 9 служит для пояснения соответствующего изобретению способа. В показанной на фиг. 9 диаграмме сигналов рассматривается случай СМГР, при котором мобильное оконечное устройство 1 само поддерживает МоЬПе-ΙΡ. В случае ί’ΜΙΡ сервер 4А аутентификации не передает никакого МоЬПе-ΙΡключа на аутентификатор 5А в пределах сети 5 доступа (т.е. в сообщении 8иссе§8 не содержится никакого МоЬйе-ГР-ключа ΜΙΡ-ΚΕΥ), или для случая ΡΜΙΡ на аутентификатор 5А передается отличающийся ΡΜΙΡ-ключ, как представлено на фиг. 9.
Фиг. 10 показывает диаграмму сигналов для случая ΡΜΙΡ в соответствующем изобретению способе. Для случая ΡΜΙΡ, при котором мобильное оконечное устройство 1 само не поддерживает МоЬПе-ΙΡ, посредством сервера 4А аутентификации ΡΜΙΡ клиенту 5С и аутентификатору 5А в пределах шлюзового узла 5 сети 5 доступа предоставляется МоЬйе-ГР-ключ, который передается в сообщении 8иссе§8. В случае этого МоЬйе-ГР-ключа речь идет или о специально для этого случая вычисленного ΡΜΙΡ-ключа, или об обычным образом выведенном МоЬйе-ГР-ключе, который затем представляется только для случая ΡΜΙΡ, то есть в случае СМГР он не был бы предоставлен аутентификатору и ΡΜΙΡ-клиенту.
В соответствующем изобретению способе сервер 4А аутентификации распознает на основе параметра, поддерживает ли само пользовательское оконечное устройство 1 протокол МоЬПе-ΙΡ (случай ί’ΜΙΡ). или оно само не поддерживает МоЬПе-ΙΡ (случай ΡΜΙΡ) . Этот параметр Р предпочтительно выводится из параметра Р, передаваемого для аутентификации для доступа посредством протокола ЕАР.
Кодирование параметра Р не должно обязательно осуществляться во время регистрации в сети. Кодирование может также осуществляться на основе параметра Р, который в сообщении во время регистрации пользовательского оконечного устройства 1 передается на сервер 4А аутентификации. В частности, когда кодирование осуществляется только в ΜΙΡ-сообщениях сигнализации, но не при регистрации в сети, в одной форме выполнения соответствующего изобретению способа применяется индекс параметра безопасности (8ΡΙ), содержащийся в сообщении сигнализации протокола МоЬПе-ΙΡ.
Фиг. 11 показывает диаграмму сигналов для представления этой формы выполнения. Шлюзовой узел 5 посылает запрос регистрации, который содержит соответственно кодированный индекс параметра безопасности (8ΡΙ), на основе которого сервер 4А аутентификации может установить, использует ли мобильное оконечное устройство 1 протокол МоЬПе-ΙΡ (случай ί,’ΜΙΡ) или не использует (случай ΡΜΙΡ). В случае индекса параметра безопасности 8ΡΙ, речь идет о 32-битовом числовом значении. Индекс параметра безопасности 8ΡΙ определен в документе КРС3344 для ΙΡ №ге11у 8иррой Гог ΙΡν4 или в документе ВВС4285 для Αиίйеηΐ^саΐ^οη РгоГосо1 Гог МоЬПе ΙΡ У6 ΜΙΡν6.
Например, в одной форме выполнения может кодироваться жестко заданное значение 8ΡΙ для случая ΡΜΙΡ и второе предварительно заданное значение 8ΡΙ для случая СМЬР.
В качестве альтернативы, для этой цели может быть определен некоторый бит индекса параметра безопасности 8ΡΙ, например, самый старший бит или самый младший бит 0. Например, значение 8ΡΙ, в котором этот бит имеет значение 0, кодирует случай СМЬР, в то время как если этот бит имеет значение 1, то указывается случай ΡΜΙΡ.
На диаграмме, представленной на фиг. 11, значение 8ΡΙ является нечетным, то есть последний бит установлен на 1, так что указывается случай ΡΜΙΡ.
Если дополнительно должно проводиться различие между МоЬПе-ΙΡ версии 4 и МоЬПе-ΙΡ версии 6, то это может кодироваться соответственно посредством значений 8ΡΙ: например, в одной форме выполнения могут быть заданы четыре значения для случаев СΜIΡν4, ΡΜΙΡν4, СΜIΡν6 и ΡΜΙΡν6.
В качестве альтернативы, для этой цели могут быть определены два определенных бита индекса параметра безопасности 8ΡΙ, например, оба старших бита и оба младших бита. Например, значение 8ΡΙ, в котором эти биты имеют значение 00, кодирует случай СΜIΡν4, значение 01 - случай ΡΜΙΡν4, значение 10 случай СΜIΡν6 и значение 11 - случай ΡΜΙΡν6.
В примере, показанном на фиг. 12, передаваемый от мобильного оконечного устройства 1 запрос регистрации содержит как раз значение 8ΡΙ, которое указывает, что оконечное устройство 1 использует МоЬПе-ΙΡ. Это значение 8ΡΙ передается далее на сервер 4А аутентификации, который на основе значения 8ΡΙ распознает, что имеет место случай ΡΜΙΡ, и передает соответствующий СМЬР-ключ на домашнего агента 4В.
В соответствующем изобретению способе может в принципе каждый параметр, передаваемый во
- 9 014148 время аутентификации для доступа или ΜΙΡ-регистрации, использоваться для кодирования случая СМ1Р или ΡΜΙΡ.
Соответствующий изобретению способ подходит, в частности, для сетей ^1Мах. ^1Мах уже применяет определенные параметры, чтобы сигнализировать определенный режим аутентификации. В частности, при ^1Мах уже используется пользовательский идентификатор ΝΑΙ, который в соответствии с изобретением в одной форме выполнения кодируется, чтобы указать случай ΡΜΙΡ или СМ1Р. Это обеспечивает очень простую реализацию, так как пользовательский идентификатор ΝΑΙ и без того оценивается. Тем самым служебная нагрузка сигнализации для распределения МоБИе-Р-ключей и требования к памяти для хранения МоБПе-Ш-ключей снижаются, так как распределяются только действительно необходимые ключи.

Claims (24)

  1. ФОРМУЛА ИЗОБРЕТЕНИЯ
    1. Способ для предоставления МоБИе-Ш-ключа, который предусмотрен для шифрования сообщений между пользовательским оконечным устройством (1) или ΡΜIΡ-клиентом (5 С) и домашним агентом (4В), причем сервер (4А) аутентификации предоставляет МоБПе-Ш-ключ только в том случае, если сервер (4А) аутентификации на основе соответственно кодированного параметра (Р) распознает, что пользовательское оконечное устройство (1) само не использует МоБПе-ΙΡ ^МШ).
  2. 2. Способ по п.1, причем кодированный параметр (Р) образуется посредством кодированного пользовательского идентификатора ΝΑΙ (идентификатор сетевого доступа).
  3. 3. Способ по п.1, причем сервер (4 А) аутентификации образован ААА-сервером аутентификации.
  4. 4. Способ по п.1, причем кодированный пользовательский идентификатор (ΝΑΙ) передается на сервер (4А) аутентификации в сообщении во время аутентификации пользовательского оконечного устройства (1).
  5. 5. Способ по п.2, причем кодированный пользовательский идентификатор (ΝΑΙ) передается на сервер (4А) аутентификации в сообщении во время регистрации пользовательского оконечного устройства (1) .
  6. 6. Способ по п.1, причем кодированный параметр (Р) образуется посредством кодированного индекса параметра безопасности (8ΡΙ).
  7. 7. Способ по п.6, причем кодированный индекс параметра безопасности передается на сервер (4А) аутентификации во время регистрации пользовательского оконечного устройства (1).
  8. 8. Способ по п.1, причем кодирование параметра (Р) осуществляется посредством мобильного оконечного устройства (1).
  9. 9. Способ по п.1, причем В кодирование параметра (Р) осуществляется посредством аутентификатора (5А).
  10. 10. Способ по п.1, причем кодирование параметра (Р) осуществляется посредством ΡΜIΡ-клиента (5С).
  11. 11. Способ по п.1, причем кодирование параметра (Р) осуществляется посредством чужого агента (5В).
  12. 12. Способ по п.1, причем дополнительно в параметре (Р) закодировано, какая МШ-версия имеется.
  13. 13. Способ по п.1, причем домашний агент (4В) запрашивает, при указании кодированного параметра (Р), МоБПе-Ш-ключ в сервере (4А) аутентификации.
  14. 14. Способ по п.1, причем сервер (4 А) аутентификации предоставляет два различных МШ-ключа, причем домашнему агенту (4В) посредством сервера (4А) аутентификации предоставляется первый СМШ-ключ, если мобильное оконечное устройство (1) само использует МоБПе-ΙΡ, и при этом домашнему агенту (4В) посредством сервера (4А) аутентификации предоставляется второй ΡΜIΡ-ключ, если мобильное оконечное устройство (1) само не использует МоБПе-ΙΡ.
  15. 15. Способ по п.1, причем сервер (4А) аутентификации вычисляет в зависимости от МоБПе-ΙΡ корневого ключа (ВК) и в зависимости от строки символов хеш-значение Н, которое предоставляется как МоБПе-Ш-ключ.
  16. 16. Способ по п.15, причем строка символов образована из конкатенированных подстрок символов.
  17. 17. Способ по п.16, причем подстрока символов образована ΙΡ-адресом домашнего агента (4В).
  18. 18. Способ по п.2, причем пользовательский идентификатор (ΝΑΙ) имеет следующий формат данных:
    [ВоиПпд Веа1т1! ВоиПпд Веа1т2!...!]{Аи1Б Мойе} ркеийо ШеиШу @геа1т, причем Ρ^υ^ ИеиШу - случайное число, сгенерированное при аутентификации посредством оконечного устройства (1) и причем АиФ Мойе - символ, который указывает режим аутентификации.
  19. 19. Способ по п.18, причем кодированный пользовательский идентификатор (ΝΑΙ) расширяет режим аутентификации (Αιιΐΐι Мойе) по меньшей мере на один символ, который указывает, использует ли МоБПе-ΙΡ само пользовательское оконечное устройство (1).
    - 10 014148
  20. 20. Система для предоставления МоЫ1е-1Р-ключа, который предусмотрен для шифрования сообщений между пользовательским оконечным устройством (1) или РМ1Р-клиентом (5 С) и домашним агентом (4В), причем сервер (4А) аутентификации предоставляет МоЫ1е-1Р-ключ только в том случае, если сервер (4 А) аутентификации на основе соответственно кодированного параметра (Р) распознает, что пользовательское оконечное устройство (1) само не использует МоЫ1е-1Р (РМ1Р).
  21. 21. Система по п.20, причем кодированный параметр (Р) является кодированным пользовательским идентификатором (ΝΑΙ).
  22. 22. Система по п.20, причем кодированный параметр (Р) является кодированным индексом параметра безопасности (8Р1).
  23. 23. Мобильное оконечное устройство, которое в сообщениях сетевой регистрации, которые направляются на сервер (4А) аутентификации, и/или в М1Р-сообщениях запроса регистрации, которые направляются на домашнего агента НА (4В), передает кодированный параметр (Р), который указывает, использует ли само мобильное оконечное устройство (1) МоЫ1е-1Р.
  24. 24. Клиентский компьютер сети доступа (Α8Ν), который в М1Р-сообщениях запроса регистрации, которые направляются на домашнего агента (4В), передает кодированный параметр (Р), который указывает, использует ли МоЫ1е-1Р соответствующее мобильное оконечное устройство (1).
EA200870590A 2006-06-01 2007-05-24 Способ и система для предоставления ключа протокола mobile ip EA014148B1 (ru)

Applications Claiming Priority (4)

Application Number Priority Date Filing Date Title
DE102006025690 2006-06-01
DE102006026737 2006-06-08
DE102006031870A DE102006031870B4 (de) 2006-06-01 2006-07-10 Verfahren und System zum Bereitstellen eines Mobile IP Schlüssels
PCT/EP2007/055045 WO2007137987A2 (de) 2006-06-01 2007-05-24 Verfahren und system zum bereitstellen eines mobile ip schlüssels

Publications (2)

Publication Number Publication Date
EA200870590A1 EA200870590A1 (ru) 2009-04-28
EA014148B1 true EA014148B1 (ru) 2010-10-29

Family

ID=38650610

Family Applications (1)

Application Number Title Priority Date Filing Date
EA200870590A EA014148B1 (ru) 2006-06-01 2007-05-24 Способ и система для предоставления ключа протокола mobile ip

Country Status (8)

Country Link
US (1) US8611543B2 (ru)
EP (1) EP2025120B1 (ru)
JP (1) JP5119242B2 (ru)
KR (1) KR101414711B1 (ru)
CN (1) CN101461211B (ru)
DE (1) DE102006031870B4 (ru)
EA (1) EA014148B1 (ru)
WO (1) WO2007137987A2 (ru)

Families Citing this family (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101106452B (zh) * 2006-07-12 2010-12-08 华为技术有限公司 移动ip密钥的产生及分发方法和系统
CN101123498B (zh) * 2006-08-08 2011-12-28 华为技术有限公司 一种实现接入认证的方法、设备及系统
KR101088668B1 (ko) 2007-02-13 2011-12-01 닛본 덴끼 가부시끼가이샤 이동 관리 시스템, 홈 에이전트 및 이들에 사용하는 이동 단말 관리 방법 그리고 그 프로그램을 수록한 컴퓨터 판독가능 매체
CN103686731B (zh) * 2007-08-13 2017-05-17 苹果公司 用于移动ipv4的新diameter信令
JP4371250B1 (ja) * 2008-08-07 2009-11-25 日本電気株式会社 通信システム、サーバ装置、情報通知方法、プログラム
JP4371249B1 (ja) * 2008-08-07 2009-11-25 日本電気株式会社 通信システム、サーバ装置、情報通知方法、プログラム
EP2648469B1 (en) * 2008-11-04 2015-03-11 Huawei Technologies Co., Ltd. Method and apparatus for determining resource indices
CN102045639B (zh) * 2009-10-10 2015-06-10 中兴通讯股份有限公司 订购关系鉴权方法、系统和移动多媒体广播条件接收系统
CN103841592B (zh) * 2012-11-27 2017-12-05 中兴通讯股份有限公司 一种微波设备托管的实现方法及装置
US10430607B2 (en) * 2016-05-05 2019-10-01 Ribbon Communications Operating Company, Inc. Use of AKA methods and procedures for authentication of subscribers without access to SIM credentials
US10833876B2 (en) 2016-10-28 2020-11-10 Apple Inc. Protection of the UE identity during 802.1x carrier hotspot and Wi-Fi calling authentication
US11553561B2 (en) 2016-10-28 2023-01-10 Apple Inc. Protection of the UE identity during 802.1x carrier hotspot and wi-fi calling authentication
TWI644229B (zh) * 2017-05-04 2018-12-11 慧榮科技股份有限公司 採加密技術之數據中心與數據中心操作方法
CN113468544B (zh) * 2020-03-30 2024-04-05 杭州海康威视数字技术股份有限公司 一种应用模型的训练方法及装置

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1657877A1 (en) * 2004-11-12 2006-05-17 Samsung Electronics Co.,Ltd. Methods and apparatus for using VPN gateway acting as Mobile IP Foreign Agent FA for mobile node

Family Cites Families (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7581076B2 (en) * 2001-03-05 2009-08-25 Pact Xpp Technologies Ag Methods and devices for treating and/or processing data
US7861303B2 (en) * 2001-08-01 2010-12-28 Mcafee, Inc. Malware scanning wireless service agent system and method
JP2003110543A (ja) * 2001-09-27 2003-04-11 Toshiba Corp 暗号キー設定システム、無線通信装置および暗号キー設定方法
US7218618B2 (en) * 2002-07-19 2007-05-15 Nokia Corporation Method of providing mobile IP functionality for a non mobile IP capable mobile node and switching device for acting as a mobile IP proxy
JP4000419B2 (ja) 2003-04-09 2007-10-31 日本電信電話株式会社 経路最適化システムと方法およびプログラム
US7549055B2 (en) * 2003-05-19 2009-06-16 Intel Corporation Pre-boot firmware based virus scanner
US7325185B1 (en) * 2003-08-04 2008-01-29 Symantec Corporation Host-based detection and prevention of malicious code propagation
WO2005086462A1 (en) 2004-02-27 2005-09-15 Nortel Networks Limited Nai based aaa extensions
CN100375424C (zh) * 2004-03-22 2008-03-12 国际商业机器公司 多媒体消息收发方法、系统、网关和客户设备
US7502331B2 (en) * 2004-11-17 2009-03-10 Cisco Technology, Inc. Infrastructure-less bootstrapping: trustless bootstrapping to enable mobility for mobile devices
FI20050384A0 (fi) * 2005-04-14 2005-04-14 Nokia Corp Geneerisen todentamisarkkitehtuurin käyttö Internet-käytäntöavainten jakeluun matkaviestimissä
US7881262B2 (en) * 2005-07-07 2011-02-01 Alvarion Ltd. Method and apparatus for enabling mobility in mobile IP based wireless communication systems
US7626963B2 (en) * 2005-10-25 2009-12-01 Cisco Technology, Inc. EAP/SIM authentication for mobile IP to leverage GSM/SIM authentication infrastructure
US7877801B2 (en) * 2006-05-26 2011-01-25 Symantec Corporation Method and system to detect malicious software
US7853999B2 (en) * 2007-05-11 2010-12-14 Microsoft Corporation Trusted operating environment for malware detection

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1657877A1 (en) * 2004-11-12 2006-05-17 Samsung Electronics Co.,Ltd. Methods and apparatus for using VPN gateway acting as Mobile IP Foreign Agent FA for mobile node

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
MADJID NAKHJIRI NARAYANAN VENKITARAMAN MOTOROLA LABS: "EAP based Proxy Mobile IP key bootstrapping: A WiMAX applicability examp'le; draft-nakhjiri-pmip-key-02.txt" IETF STANDARD-WORKING-DRAFT, INTERNET ENGINEERING TASK FORCE, IETF, CH, no. 2, February 2006 (2006-02), XP015044436 ISSN: 0000-0004 abstract Absatz 1 Absatz 2 Absatz 3 Anhang A figures 1,2 *

Also Published As

Publication number Publication date
US8611543B2 (en) 2013-12-17
KR101414711B1 (ko) 2014-07-04
EA200870590A1 (ru) 2009-04-28
WO2007137987A3 (de) 2008-02-07
JP5119242B2 (ja) 2013-01-16
WO2007137987A2 (de) 2007-12-06
DE102006031870A1 (de) 2007-12-06
EP2025120A2 (de) 2009-02-18
US20090185691A1 (en) 2009-07-23
DE102006031870B4 (de) 2008-07-31
EP2025120B1 (de) 2018-06-27
CN101461211B (zh) 2013-05-29
JP2009539289A (ja) 2009-11-12
KR20090024755A (ko) 2009-03-09
CN101461211A (zh) 2009-06-17

Similar Documents

Publication Publication Date Title
EA014148B1 (ru) Способ и система для предоставления ключа протокола mobile ip
US8549294B2 (en) Securing home agent to mobile node communication with HA-MN key
US8514851B2 (en) Mobile IPv6 authentication and authorization baseline
JP4861426B2 (ja) モビリティキーを提供する方法とサーバ
ES2349292T3 (es) Procedimiento y servidor para proporcionar una clave de movilidad.
KR100759727B1 (ko) 승인된 통신 방법
KR101401605B1 (ko) 접속에 특화된 키를 제공하기 위한 방법 및 시스템
US20020147820A1 (en) Method for implementing IP security in mobile IP networks
KR101037844B1 (ko) 이동성 키를 제공하기 위한 방법 및 서버
US20030211842A1 (en) Securing binding update using address based keys
US20050190734A1 (en) NAI based AAA extensions for mobile IPv6
US7502932B2 (en) Return routability method for secure communication
WO2006102565A2 (en) Optimized derivation of handover keys in mobile ipv6

Legal Events

Date Code Title Description
MM4A Lapse of a eurasian patent due to non-payment of renewal fees within the time limit in the following designated state(s)

Designated state(s): AM AZ KG MD TJ TM

MM4A Lapse of a eurasian patent due to non-payment of renewal fees within the time limit in the following designated state(s)

Designated state(s): BY KZ RU