WO2007134552A1

WO2007134552A1 - Procédé, dispositif et système de production de clé ip mobile sur réseau de communication sans fil

Info

Publication number: WO2007134552A1
Application number: PCT/CN2007/070046
Authority: WO
Inventors: Yuankui Zhao
Original assignee: Huawei Technologies Co., Ltd.
Priority date: 2006-05-22
Filing date: 2007-05-22
Publication date: 2007-11-29
Also published as: CN101051899A; CN101051899B

Description

说明书无线通信网络中生成移动 IP密钥的方法、设备及系统

[1] 技术领域

[2] 本发明涉及网络通信技术领域，尤其涉及一种无线通信网络中生成移动 IP 密钥的实现方案。

[3] 发明背景

[4] 随着无线通信技术的发展，各种通信技术不断涌现，包括微波接入全球互通（ WiMAX， Worldwide Interoperability for Microwave Access )通信技术。

[5] WiMAX 网络支持扩展认证协议（ EAP， Extensible Authentication

Protocol )认证方式。如果移动终端要接入该网络，则首先需要进行相应的 EAP

认证处理过程；在认证通过后，才可以进行相应的接入操作，包括生成移动终端开展业务需要的密钥的操作。

[6] 具体的，在认证通过后，分别会在移动终端和鉴权、认证、计费（ AM， Authentication, Authorization, and Accounting

)服务器两侧生成主会话密钥（ MSK， Master Session Key

)和扩展主会话密钥（ EMSK， Extended Master Session Key

) 。之后，在所述的两侧还分别由 EMSK计算出移动 IP密钥（ MIP-RK， Mobile IP - Root Key ) 。该移动 IP

密钥作为移动终端开展业务过程中的移动相关的根密钥，通过 MIP-RK 衍生出移动相关的各种密钥，包括：移动终端与 MA服务器间的密钥（ MN-AAA ，可以就是 MIP-RK ) 、移动终端与家乡代理间的密钥（丽 -HA， Mobile Node - Home Agent Key Extension

) 、移动终端与外部代理间的密钥 ( MN-FA， Mobile Node- Foreign Agent Key Extension )和外部代理与家乡代理间的密钥（ FA- HA， Foreign Agent - Home Agent Key Extension ) ，通过所述密钥可以保证移动 IP

注册的安全性。 [7] 其中，所述的丽 -FA、 FA-HA分别保证了移动终端到 FA和 FA到 HA 之间注册消息的安全性。丽 -FA和 FA-HA分别通过以下公式计算得出：

[8] 丽- FA=H ( MIP-RK ， '丽 FA' | FA- IP ) ；公式 1

[9] FA-HA=H ( MIP-RK ， ' FA HA' | FA- IP | HA- IP | NONCE ) ；公式 2

[10] 可以看出，丽 -FA和 FA-HA是由 MIP-RK和 FA-IP ( FA 的 IP

地址）通过相应的换算处理得到，因此，如果需要计算获得丽 -FA和 FA-HA ，则首先应保证移动终端和 MA服务器两侧可以获得相应的 FA-IP 。

[11] 在 Wimax 网络中， FA 的 IP地址包括 FA 的处于接入网侧的 IP地址和 I 或处于核心网侧的 IP地址。目前， AAA获得 FA 的 IP

地址的方法是通过接入网在初始认证过程中的上报获得。

[12] 在实现本发明过程中，发明人发现上述现有技术至少存在以下问题：

[13] 接入网只上传 FA

的处于核心网侧的地址，即并没有上传其处于接入网侧的地址。而且，由于一个 FA可以有多个核心网的地址，导致无法获知被分配给移动终端的 FA 的 IP 地址，即实际无法确定需要上报的 FA

的处于核心网侧的地址。因此，导致目前移动终端和 MA

服务器还无法得到用于计算移动 IP密钥的 FA 的 IP

地址，因而也就无法利用所述的 IP地址生成相应的移动 IP

密钥，进而使得网络的安全性无法得到有效保证。

[14] 发明内容

[15] 本发明实施例提供了一种无线通信网络中生成移动 IP

密钥的方法、设备及系统，从而可以有效保证无线网络中基于移动 IP 的通信的安全性。

[16] 一种无线通信网络中生成移动 IP密钥的方法，包括：

[17] 在移动终端接入网络的认证处理过程中，网络侧移动 IP

密钥生成实体获取外部代理面向移动终端的接入网侧的地址，并根据所述外部代理的面向移动终端的接入网侧的地址在网络侧生成移动 IP密钥。

[18] 本发明实施例提供了一种无线通信网络中生成移动 IP密钥的方法，包括： [19] 在移动终端接入网络的认证处理过程中，网络侧移动 IP

密钥生成实体获取接入网上报的外部代理的处于核心网侧的地址，并根据所述外部代理的处于核心网侧的地址生成移动 IP密钥。

[20] 一种无线通信网络中生成移动 IP密钥的系统，包括：

[21] 外部代理地址上报单元，用于在移动终端接入网络的认证处理过程中，将外部代理的面向移动终端的接入网侧的地址传递给网络侧移动 IP密钥生成实体； [22] 移动 IP

密钥生成单元，用于根据外部代理的面向移动终端的接入网侧的地址生成移动 IP密钥。

[23] 一种无线通信网络中生成移动 IP密钥的系统，包括：

[24] 移动终端转交地址获取单元，用于获取接入网为移动终端分配的转交地址信息

，并提供给转交地址发送单元；

[25] 转交地址发送单元，用于向网络侧移动 IP

密钥生成实体发送移动终端转交地址获取单元获取的转交地址信息；

[26] 以及，可根据所述转交地址信息生成移动 IP密钥的单元。

[27] 一种移动终端，包括用于获取外部代理的面向移动终端的接入网侧的地址的单元，以及移动 IP密钥生成单元，且所述移动 IP

密钥生成单元用于根据外部代理的面向移动终端的接入网侧的地址生成移动 IP 密钥。

[28] 一种网络设备，包括用于获取外部代理的面向移动终端的接入网侧的地址的单元，以及移动 IP密钥生成单元，且所述移动 IP

[29] 由上述本发明实施例提供的技术方案可以看出，本发明实施例提供了移动 IP 密钥生成的实现方案，从而使得在无线网络中可以根据获得的外部代理的处于接入网侧的地址计算确定相应的移动 IP

密钥信息，进而可以保证移动终端发起 MIP注册过程的安全性。

[30] 因此，本发明实施例的实现可以较为便捷地在网络中生成相应的移动 IP 密钥，从而有效提高网络的安全性能。

[31] 附图简要说明

[32] 图 1 为本发明实施例提供的方法的具体实现流程图一；

[33] 图 2 为本发明实施例提供的方法的具体实现流程图二；

[34] 图 3 为本发明实施例提供的系统的具体实现结构示意图。

[35] 实施本发明的方式

[36] 本发明实施例是解决在 MN-FA和 FA-HA计算中需要应用的 FA

地址问题，从而使得在无线通信网络中可以获得相应的丽 -FA和 FA-HA ，以保证网络通信的安全性能。

[37] 为此，本发明实施例提供了无线通信网络中生成移动 IP

密钥的实现方案，该方案主要包括以下处理过程：

[38] ( 1 )移动终端在初始入网的认证过程中，由鉴权器向如 AAA

服务器等网络侧移动 IP密钥生成实体传递移动终端的移动 IP

的外部代理的地址，相应的 AAA服务器等网络侧移动 IP

密钥生成实体获得所述的外部代理的地址后，便可以计算获得相应的包括 MN-FA和 FA-HA 的移动 IP密钥， AAA服务器计算获得所述的移动 IP 密钥后，还将所述的移动 IP密钥发至接入网；

[39] 在后续描述中，为了便于表达，将均以 AAA服务器作为网络侧移动 IP 密钥生成实体为例进行说明；该网络侧移动 IP密钥生成实体可以包括 MA 服务器、鉴权器或其它合适的实体承担移动 IP密钥生成功能；

[40] 其中，由接入网上传的用于计算移动 IP密钥的外部代

理的地址具体可以包括：该外部代理的处于接入网侧的 IP

地址（即外部代理面向移动终端的接入网侧的地址）和该外部代理处于核心网侧的 IP地址中的至少一项。

[41] ( 2 )移动终端根据 FA 的广播获得 FA

的地址，此时，移动终端便可以根据其获得的外部代理的 IP

地址计算相应的移动 IP密钥；

[42] 移动终端计算获得相应的移动 IP密钥之后，便可以利用所述的移动 IP 密钥发起 MIP注册处理过程。

[43] 本发明实施例中，移动终端和 AAA

服务器均可以根据该外部代理的接入网地址计算其与外部代理之间移动 IP 密钥；对于移动终端的外部代理与归属代理（即 HA )之间的移动 IP 密钥，则具体可以采用该外部代理面向移动终端的接入网络内的 IP

地址（即外部代理面向移动终端的接入网侧的地址）计算确定。

[44] 其中，移动终端具体可以根据该外部代理为其分配的转交地址计算获得移动终端与该外部代理之间的移动 IP密钥；此时，在 MA

服务器中，计算移动终端与外部代理之间的移动 IP密钥的方式为：

[45] 接入网在移动终端初始入网时即指定分配给它的转交地址并上报给 MA

服务器， AAA

服务器根据该转交地址计算该移动终端与外部代理之间和外部代理与归属代理之间的移动 IP 的密钥，并下发给接入网；

[46] 或者，

[47] 接入网可以将所有可能分配给该移动终端的转交地址都上报给 AM服务器， AAA

服务器根据各个转交地址分别计算对应的移动终端与外部代理之间和外部代理与归属代理之间的移动 IP 的密钥，并下发给接入网。

[48] 在上述处理过程中具体可以将移动 IP

的密钥下发给密钥接收单元，该密钥接收单元包括但不限于归属代理和 / 或鉴权器和 I或外部代理和 I或移动终端。

[49] 具体一点讲，本发明实施例的实现方式如下：

[50] 在本发明实施例中， FA 的处于接入网侧的 IP地址用 FA-IP表示， FA 处于核心网侧的 IP地址为分配给移动终端的转交地址，即 CoA

。而当移动终端进行移动 IP注册时需与 FA 的这些 IP

地址进行绑定，而且：

[51] 在计算丽 -FA时，采用丽 -FA=H ( MIP-RK ， ' MNFA' | FA-IP )或丽 -FA=H

( MIP-RK ， ' MNFA' | CoA ) ； [52] 在计算 FA-HA时，采用 FA-HA=H ( MIP-RK ， ' FAHA' | FA-IP | HA-IP | NONCE

)或 FA- HA=H ( MIP-RK ， ' FAHA' | CoA | HA- IP | NONCE ) 。

[53] 在上述公式中， H(，）为散列消息鉴别码（ HMAC ) 函数的缩写（ RFC2104 定义）。其具体可以是 HMAC 0 函数，也可以是 HMAC

和其它加密编码方式结合后的组合函数如 HMAC-SHA256

等。其后的参数列表中的第一个参数 MIP-RK

为生成该密钥所用的根密钥，该密钥可以是 MIP

密钥的根密钥，也可以是其根密钥的某个子密钥。后面的字符串中一般都包含至少一个固定的字符串，代表该生成密钥的含义或名称表示，然后还有表征该密钥信息的特征值这里是相关的 IP

地址，及可选的随机数或表征安全的系数；其中，符号' I '代表链接运算符。

[54] 在具体实现过程中，移动终端可以通过 FA 的广播消息获得 FA-IP和 CoA

，而 AAA服务器可以在认证过程中，由鉴权器上报 FA-IP和 /或 CoA

，具体可以是一个 CoA ，也可以是多个 CoA 的列表。

[55] 其中，所述的鉴权器向 AAA服务器上报 FA-IP和 /或 CoA

的处理过程具体包括以下三种实现方式：

[56] 1 、在移动终端 MS接入认证过程中，鉴权器将 FA-IP和 /或 CoA上报给

AAA服务器，以便于 AAA服务器根据所述的 FA-IP和 /或 CoA计算丽 -FA 和 FA-HA ，具体可以利用 FA-IP进行计算，具体也可以利用 CoA或一组 CoA 来计算相应的移动 IP密钥。

[57] 2 、 FA指定一个 CoA并通过鉴权器发送给 AAA

服务器，并在后面的通知移动终端 MS其转交地址时，将此 CoA

下发给该移动终端 MS 。

[58] 3 、 FA将 CoA列表通过鉴权器发送给 AM服务器，并将需要上报的 CoA 列表中的一个或多个 CoA发给移动终端 MS 。

[59] 之后， AM服务器将采用所有 CoA均计算一次丽 -FA

，并将所有结果发送给鉴权器（即认证器）；

[60] 当 MS选择一个 CoA并生成相应的丽 -FA密钥后，该 MS利用该丽 -FA 密钥向 FA进行移动 IP 的注册，在 FA上，则利用对应的丽 -FA 密钥进行解密操作，同时，在 FA上还将其余多余密钥删除。

[61] 下面结合附图对本发明实施例中 CMIP (客户移动 IP )类型下生成移动 IP 密钥的过程，以及 PMIP (代理移动 IP )类型下生成移动 IP

密钥的过程进行描述。

[62] 如图 1 所述， CMIP类型下生成移动 IP密钥的过程包括：

[63] 步骤 11 ： MS通过鉴权器和 AAA服务器进行 EAP

接入认证，认证通过后，在 MS和 AAA服务器上分别生成 EMSK ；

[64] 在 EAP认证过程中，鉴权器将 FA地址上报给 AM服务器，该 FA 的地址为

FA-IP 、指定的单个 CoA或 CoA

列表三者中的任一参数（在此优选方案为仅选择一个参数作为 FA

的地址，当然也可以选择多个参数作为 FA

的地址），具体需要上报的具体参数信息可以根据一定的策略确定，所述的策略可以由运营商来制定；

[65] 步骤 12 ： MS和 AAA服务器根据生成的 EMSK和获得的 FA

的地址通过预定的计算方式计算出包括丽 -FA和 FA-HA 的 MIP-RK (移动 IP 密钥）；

[66] 具体为，由于 AAA服务器已经获得 FA 的地址，故通过相应的丽 -FA 、

FA-HA 的计算公式便可以得出所述的两个密钥；

[67] 如果鉴权器上报的是 CoA列表，则 AM服务器将会对每个 CoA

生成所述的两个密钥；

[68] 步骤 13 ： AAA服务器生成的所有丽 -FA 、 FA-HA发送给鉴权器；

[69] 步骤 14 ：鉴权器收到所述的丽 -FA 、 FA-HA后，将其发送给 FA ；

[70] 步骤 15 ： FA发送广播消息给 MS ，该消息携带有 FA-IP

，同时包含有和步骤 11 相同的单个 CoA或 CoA列表。

[71] 步骤 16 ：根据预定的策略， MS可以利用 FA-IP 、指定的单个 CoA或者从

CoA列表中选择一个地址计算出丽 -FA ；

[72] 步骤 17 、 18 、 19 、 110 ：实现 MIP 注册过程，具体是通过以上各步骤生成的丽 -FA 、 FA-HA来保护注册消息； [73] 如果移动终端使用的密钥用的是 CoA列表中的某个地址计算得到，则 FA和

HA可以通过注册消息中携带的 CoA

找到所使用的密钥，多余的密钥将会被删除掉。

[74] 可选地， FA可以在收到移动终端的移动 IP注册请求后再向认证器索取移动

IP密钥，这时，认证器（即鉴权器）再将获得的移动 IP密钥发送给 FA 。

[75] 如图 2所示， PMIP类型下生成移动 IP密钥的过程包括：

[76] 步骤 21 ： MS通过鉴权器和 AAA服务器进行 EAP接入认证，认证通过后在

MS和 AAA服务器上分别生成 EMSK ；

[77] 在接入认证过程中，鉴权器将 FA 的地址上报给 AM服务器，该 FA

的地址为 FA-IP 、指定的单个 CoA或 CoA

列表三者中的任一参数，具体选择上报的参数可以根据一定的策略确定，所述的策略可以由运营商等根据需要制定；

[78] 步骤 22 ： MS和 AAA服务器由生成的 EMSK通过某种方式计算出包括

MN-FA和 FA-HA 的 MIP-RK ；

[79] 即由于 AAA服务器已经获得 FA 的地址，通过丽 -FA 、 FA-HA

的计算公式得出所述的两个密钥；

[80] 如果鉴权器上报的是 CoA列表，则 AM服务器将会对每个 CoA

分别生成所述的两个密钥，即丽 -FA和 FA-HA ；

[81] 步骤 23 ： AAA服务器生成的所有丽 -FA 的 FA-HA发送给鉴权器；

[82] 由于鉴权器和 PMIP Client (代理移动 IP

客户端）在一个实体上，因此可以共享所述的密钥丽 -FA和 FA-HA ；

[83] 步骤 24 ：鉴权器收到所述的丽 -FA和 FA-HA后，将其发送给 FA ；

[84] 在该步骤的处理过程中，鉴权器根据 FA

的指定或其它预定的条件选择为移动终端所分配的转交地址及相应的密钥。

[85] 步骤 25 、 26 、 27 、 28 ：执行 MIP

注册过程，在该注册过程中，具体是通过以上各处理步骤生成的丽 -FA和

FA-HA来保护注册消息； [86] 如果 PMIP Client ( PMIP客户端）使用的密钥是由 CoA

列表中的某一个地址计算得到，则 FA和 HA可以通过注册消息中携带的 CoA 找到所使用的密钥，多余的密钥将会被删除。

[87] 可选的， FA可以在收到移动终端的移动 IP

注册请求后再向认证器请求获得移动 IP

密钥，这时，再由认证器将所述的移动 IP密钥发送给 FA 。

[88] 本发明实施例还提供了一种无线通信网络中生成移动 IP密钥的系统。图 3 为所述的系统的具体实现的示意图，包括以下处理单元：

[89] ( 1 )外部代理地址上报单元

[90] 设置于鉴权器中，用于当移动终端接入网络的认证处理过程中，将外部代理的地址上报给网络侧移动 IP密钥生成实体；

[91] 所述的外部代理地址上报单元上报的外部代理的地址包括：外部代理的处于接入网侧的 IP地址，和 /或，外部代理处于核心网侧的 IP地址；

[92] 其中，所述的外部代理处理核心网侧的 IP地址为一个或多个转交地址； [93] 所述的外部代理的地址上报单元具体包括：

[94] 移动终端转交地址获取单元，用于获取接入网为移动终端分配的转换地址信息

，并提供给转交地址发送单元；

[95] 转交地址发送单元，用于向网络侧移动 IP

密钥生成实体发送移动终端转交地址获取单元获取的转交地址信息，如可以将确定的移动终端的转交地址发给 AAA服务器；

[96] 为此，所述的接入网为移动终端分配的转交地址的操作需要在终端初始入网过程中，以及认证器向 AAA服务器上报移动 IP密钥材料前完成；

[97] 而且，所述的外部代理仅将为移动终端分配的转交地址分发给相应的移动终端

，所述的转交地址是由接入网转交地址分配单元分配。

[98] ( 2 )外部代理地址下发单元

[99] 设置于外部代理中，用于将外部代理的地址下发给所述的移动终端，以便于移动终端获取外部代理的地址，具体可以通过广播的方式下发所述的外部代理的地址； [100] ( 3 )移动 IP密钥生成单元

[101] 分别设置于网络侧移动 IP

密钥生成实体和移动终端中，用于根据外部代理的地址生成相应的移动 IP 密钥；

[102] 具体包括根据外部代理的处于接入网侧的 IP地址和 I

或外部代理处于核心网侧的 IP

地址计算确定移动终端与外部代理间以及外部代理与归属代理间的移动 IP 密钥。

[103] 综上所述，本发明实施例的实现，使得在无线通信网络中能够有效解决丽 -FA 、 FA-HA计算中需要使用的 FA 的地址的问题，从而提高了网络的安全性。

[104] 以上所述，仅为本发明较佳的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到的变化或替换，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应该以权利要求的保护范围为准。

Claims

权利要求书

[1] 1、一种无线通信网络中生成移动 IP密钥的方法，其特征在于，包括：在移动终端接入网络的认证处理过程中，网络侧移动 IP

[2] 2、根据权利要求 1 所述的方法，其特征在于，所述的方法还包括：

移动终端根据外部代理的广播消息获得相应的外部代理的面向移动终端的接入网侧的地址，并根据所述外部代理的面向移动终端的接入网侧的地址生成移动 IP密钥。

[3] 3、根据权利要求 1 所述的方法，其特征在于，所述的网络侧移动 IP 密钥生成实体获取外部代理面向移动终端的接入网侧的地址的步骤包括：接入网将外部代理的面向移动终端的接入网侧的地址发送给鉴权器，并通过所述鉴权器传递给所述网络侧移动 IP密钥生成实体。

[4] 4、根据权利要求 1 、 2或 3所述的方法，其特征在于，所述的移动 IP 密钥包括：

移动终端和网路侧移动 IP

密钥生成实体各自计算生成的移动终端与外部代理之间的移动 IP密钥；和 /或，

移动终端和网络侧移动 IP

密钥生成实体各自计算生成的外部代理与归属代理之间的移动 IP密钥。

[5] 5、根据权利要求 4所述的方法，其特征在于，所述方法还包括：

网络侧移动 IP密钥生成实体计算确定所述的移动 IP

密钥后，将所述移动 IP密钥对应的移动终端与外地代理间的移动 IP 密钥和外地代理与归属代理间的移动 IP密钥发送至接入网中。

[6] 6、一种无线通信网络中生成移动 IP密钥的方法，其特征在于，包括：在移动终端接入网络的认证处理过程中，网络侧移动 IP

[7] 7、根据权利要求 6所述的方法，其特征在于，所述的方法具体包括：接入网为移动终端分配转交地址，并传递给网络侧移动 IP

密钥生成实体，由网络侧移动 IP

密钥生成实体根据所述的转交地址计算所述移动终端与外部代理之间，以及外部代理与归属代理之间的移动 IP密钥，并下发给接入网；或者，

接入网将所有可能分配给移动终端的转交地址均传递给网络侧移动 IP 密钥生成实体，并由网络侧移动 IP

密钥生成实体分别计算对应的移动终端与外部代理之间，以及外部代理与归属代理之间的移动 IP密钥，并下发给接入网。

[8] 8、一种无线通信网络中生成移动 IP密钥的系统，其特征在于，包括：外部代理地址上报单元，用于在移动终端接入网络的认证处理过程中，将外部代理的面向移动终端的接入网侧的地址传递给网络侧移动 IP 密钥生成实体；

移动 IP

[9] 9、一种无线通信网络中生成移动 IP密钥的系统，其特征在于，包括：移动终端转交地址获取单元，用于获取接入网为移动终端分配的转交地址信息，并提供给转交地址发送单元；

转交地址发送单元，用于向网络侧移动 IP

密钥生成实体发送移动终端转交地址获取单元获取的转交地址信息；以及，可根据所述转交地址信息生成移动 IP密钥的单元。

[10] 10、根据权利要求 9

所述的系统，其特征在于，所述的接入网转交地址分配单元为移动终端分配的转交地址要在移动终端初始入网过程中，以及认证器向网络侧移动 IP 密钥生成实体传递移动 IP密钥材料前确定。

[11] 11、一种移动终端，其特征在于，包括用于获取外部代理的面向移动终端的接入网侧的地址的单元，以及移动 IP密钥生成单元，且所述移动 IP 密钥生成单元用于根据外部代理的面向移动终端的接入网侧的地址生成移动 IP密钥。

[12] 12、一种网络设备，其特征在于，包括用于获取外部代理的面向移动终端的接入网侧的地址的单元，以及移动 IP密钥生成单元，且所述移动 IP 密钥生成单元用于根据外部代理的面向移动终端的接入网侧的地址生成移动 IP密钥。