WO2010066147A1 - 一种注册的方法、系统和装置 - Google Patents

Description

一种注册的方法、 系统和装置 本申请要求于 2008年 12月 8日提交中国专利局、 申请号为 200810182536. 4、 发明名 称为 "一种注册的方法、 系统和装置" 的中国专利申请的优先权， 其全部内容通过引用结 合在本申请中。 说

技术领域

本发明涉及通信领域， 特别涉及一种注册的方法、 系统和装置。 背景技术 书

ΡΜΙΡνό (Proxy Mobile Internet Protocol version 6, 代理移动互联网协议第 6版）提供了 一种基于网络的移动性管理协议， 由网络实体跟踪 MN (Mobile Node, 移动节点;)的移动， 并且初始化移动信令和建立通信所需的路由状态， MN无需参与任何的移动性管理信令。

ΡΜΙΡνό中的核心功能实体包括 LMA (Local Mobility Anchor, 本地移动锚点）， 或称为 HA (Home Agent, 家乡代理）， 以及 MAG (Mobile Access Gateway, 移动接入网关)。 MN通过

MAG接入网络， LMA/HA负责维护 MN的路由可达信息， 并且在拓扑上作为 MN的家乡 网络。 MAG是代表 MN执行移动性管理的实体， 负责在其接入链路上探测 MN的移动。 MAG代替 MN向 LMA/HA进行注册， 并将 MN当前的路由信息通告给 LMA/HA, 如果不 对 MAG向 LMA/HA的注册过程中进行保护， 则很容易通过伪造注册消息中的路由信息， 对 MN的通信或 LMA等网络设备进行攻击， 因此需要对 MAG向 LMA/HA的注册过程进 行保护。

WiMax (World Interoperability for Microwave Access ， 微波接入全球互通）是一项基于 IEEE (Institute of Electrical and Electronics Engineers, 电气电子工程师协会 ) 802.16标准的 宽带无线接入城域网技术， 其基本目标是提供一种在城域网中点对多点的多厂商环境下， 可有效的互操作的宽带无线接入手段。 为了提供会话连续性， WiMax Forum (论坛） 采用 PMIPv6提供基于网络的移动性管理。在 IETF (Internet Engineering Task Force, 因特网工程 任务组）所提供的规范中， 只提及了采用静态配置的 IPsec (Internet Protocol security, 因特 网协议安全）对 MAG向 LMA/HA的注册过程进行保护的方法， 而在 Wimax标准中需要动 态自动配置的方式对 MAG向 LMA/HA的注册过程进行保护。 在实现本发明的过程中， 发明人发现现有技术至少存在以下问题：

无法实现动态自动配置的方式对 MAG 向 LMA/HA 的注册过程进行保护， 无法满足 Wimax标准的要求。 发明内容

为了保护 MAG向 LMA/HA的注册过程， 本发明实施例提供了一种注册的方法、系统和 装置。 所述技术方案如下：

一方面， 本发明实施例提供了一种注册的方法， 所述方法包括：

接收接入服务网络网关发送的第一代理绑定更新消息， 获取认证、 授权和计费服务器 发送的第一密钥；

根据所述第一密钥生成第一消息验证码， 向所述接入服务网络网关返回第一代理绑定 确认消息， 所述第一代理绑定确认消息中携带所述第一消息验证码， 以使所述接入服务网 络网关能根据所述接入服务网络网关获取的第一密钥对所述第一消息验证码进行验证； 在所述接入服务网络网关对所述第一消息验证码验证成功后， 所述接入服务网络网关 完成向本地的注册。

另一方面， 本发明实施例提供了一种注册的系统， 所述系统包括：

认证、 授权和计费服务器， 用于发送第一密钥；

移动锚点， 用于接收接入服务网络网关发送的第一代理绑定更新消息， 获取所述认证、 授权和计费服务器发送的所述第一密钥， 根据所述第一密钥生成第一消息验证码， 向所述 接入服务网络网关返回第一代理绑定确认消息， 所述第一代理绑定确认消息中携带所述第 一消息验证码；

接入服务网络网关， 用于向所述移动锚点发送所述第一代理绑定更新消息， 接收所述 移动锚点返回的所述第一代理绑定确认消息， 根据其获取的第一密钥对所述第一代理绑定 确认消息中携带的所述第一消息验证码进行验证， 当验证成功时， 完成向所述移动锚点的 注册。

另一方面， 本发明实施例还提供了一种注册的装置， 所述装置包括：

第一接收模块， 用于接收接入服务网络网关发送的第一代理绑定更新消息， 获取认证、 授权和计费服务器发送的第一密钥；

生成模块， 用于根据所述第一接收模块获取的所述第一密钥， 生成第一消息验证码； 第一发送模块， 用于向所述接入服务网络网关返回第一代理绑定确认消息， 所述第一 代理绑定确认消息中携带所述生成模块生成的所述第一消息验证码， 以使所述接入服务网 络网关能根据所述接入服务网络网关获取的第一密钥对所述第一消息验证码进行验证。 另一方面， 本发明实施例还提供了一种接入服务网络网关， 所述接入服务网络网关包 括：

确认消息接收模块， 用于接收移动锚点返回的第一代理绑定确认消息， 所述第一代理 绑定确认消息中携带所述第一消息验证码， 所述第一消息验证码是由所述移动锚点根据其 获取的认证、 授权和计费服务器发送的第一密钥生成；

密钥获取模块， 用于获取所述第一密钥；

验证模块， 用于根据所述密钥获取模块获取的所述第一密钥对所述第一代理绑定确认 消息中携带的所述第一消息验证码进行验证； 当验证成功后， 完成向所述移动锚点的注册。

本发明实施例提供的技术方案的有益效果是：

通过动态自动协商生成第一密钥，并使用第一密钥保护 ASN-GW向 LMA/HA的注册过 程， 避免 MN、 LMA/HA受到网络攻击。 附图说明

图 1是本发明实施例 1提供的 种注册的方法流程图；

图 2是本发明实施例 2提供的 种注册的方法流程图；

图 3是本发明实施例 3提供的 种注册的方法流程图；

图 4是本发明实施例 4提供的 种注册的系统结构示意图；

图 5是本发明实施例 5提供的 种注册的装置结构示意图；

图 6是本发明实施例 5提供的 一种注册的装置结构示意图；

图 7是本发明实施例 6提供的 种接入服务网络网关的结构示意图。 具体实施方式

为使本发明的目的、 技术方案和优点更加清楚， 下面将结合附图对本发明实施方式作 进一步地详细描述。

ASN-GW (Access Service Network Gateway, 接入服务网络网关）是实现 WiMAX的一 个关键设备， 它扮演了几个与用户站及网络核心连接时的重要关键角色， 包括： 移动性管 理、 无线寻呼、 接入认证、 鉴权分发及 QoS (Quality of Service, 服务质量） 管理等。

本发明实施例中 ASN-GW主要用于作为 MAG进行移动性管理，也就是 ASN-GW主要 实现的是 MAG的功能。

实施例 1 参见图 1， 本发明实施例提供了一种注册的方法， 可以保护 ASN-GW向 LMA/HA的注 册过程， 具体包括：

101： 移动锚点接收接入服务网络网关发送的第一代理绑定更新消息， 获取认证、 授权 和计费服务器 AAA Server发送的第一密钥；

102： 移动锚点根据第一密钥生成第一消息验证码， 向接入服务网络网关返回第一代理 绑定确认消息， 第一代理绑定确认消息中携带第一消息验证码， 以使接入服务网络网关能 根据接入服务网络网关获取的第一密钥对第一消息验证码进行验证；

103： 在接入服务网络网关对第一消息验证码验证成功后， 接入服务网络网关完成向移 动锚点的注册。

进一步地， 当验证成功后， 接入服务网络网关再次向移动锚点进行注册时， 该方法还 包括：

移动锚点接收接入服务网络网关发送的第二代理绑定更新消息， 该第二代理绑定更新 消息中携带第二消息验证码， 第二消息验证码由接入服务网络网关根据接入服务网络网关 获取的第一密钥生成；

移动锚点根据获取的认证、 授权和计费服务器发送的第一密钥， 验证第二消息验证码， 当验证成功后， 根据第一密钥生成第三消息验证码；

移动锚点向接入服务网络网关返回第二代理绑定确认消息， 第二代理绑定确认消息中 携带第三消息验证码， 以使接入服务网络网关能根据接入服务网络网关获取的第一密钥对 第三消息验证码进行验证；

在接入服务网络网关对第三消息验证码验证成功后， 移动锚点完成向接入服务网络网 关的再次注册。

其中， 认证、 授权和计费服务器发送的第一密钥是认证、 授权和计费服务器根据其与 接入服务网络网关之间的第二密钥， 以及第二密钥和第一密钥关系算法生成的； 接入服务 网络网关获取的第一密钥也是根据第二密钥， 以及第二密钥和第一密钥关系算法生成的； 或者， 认证、 授权和计费服务器发送的第一密钥和接入服务网络网关获取的第一密钥 是认证、 授权和计费服务器指定的。

其中， 接入服务网络网关获取第一密钥时所根据的第二密钥和第一密钥关系算法是认 证、 授权和计费服务器发送的或是在本地预设的。

其中， 上述移动锚点为本地移动锚点或家乡代理。

本实施例所示的方法，通过动态自动协商生成第一密钥，并使用第一密钥保护 ASN-GW 向 LMA/HA的注册过程， 避免 MN、 LMA/HA受到网络攻击。 实施例 2

参见图 2， 本发明实施例提供了一种注册的方法， 可以保护 ASN-GW向 LMA/HA的注 册过程， 具体包括：

201： 在 ASN-GW 与 MN之间的接入认证交互完成后， ASN-GW 向 LMA/HA发送 PBU(Proxy Binding Update, 代理绑定更新;)消息。

其中， PBU消息中包含： 移动接入网关标识 MAG-ID ( Identity ) 消息验证码 MAC1 (Message Authentication Code), MAC1是利用 ASN-GW与 AAA Server (Authentication Authorization Accounting Server, 认证、 授权、 计费服务器） 之间的共享密钥 Km生成的完 整性保护码，该 MAC1用于对整个 PBU消息进行完整性保护； PBU消息中还可以携带安全 参数索引 SPI1 (Security Parameter Index),安全参数索引 SPI1用于索引共享密钥 Km及相关 信息；可选的，为了防止重放攻击在 PBU消息中还可以携带新鲜值，新鲜值可以是 TSl(Time stamp, 时间戳;)或随机数 R1或 SN1 ( Serial Number, 序列号）。

利用共享密钥 Km生成 MAC1 具体可以通过下式实现： MACl =HMAC_SHAl(Km， PBU报文)， 其中 PBU报文为 PBU消息中包含的数据， 并且也可以通过现有技术中的其它 方式生成 MAC1。

并且需要说明的是， 由于 MAC1是利用共享密钥 Km生成的完整性保护码， 该 MAC1 用于对整个 PBU消息进行完整性保护，所以也可以说是利用 Km对该 PBU消息进行完整性 保护。

202： LMA/HA接收到 PBU消息后， 向 AAA Server发送请求消息 AAA-Request。 其中， AAA-Request 消息中包含： PBU 消息、 LMA-ID; 可选的， 为了防止重放攻击

AAA-Request消息中也可以携带新鲜值， 新鲜值可以是 TS2或随机数 R2或 SN2。

203： AAA Sever接收到 AAA-Request消息后， 使用 Km验证 AAA-Request消息中的 PBU消息， 验证通过后， 根据 Km计算 ASN-GW与 LMA/HA之间的共享密钥 Kmh， 计算 出 Kmh后， AAA Server向 LMA/HA发送应答消息 AAA -Accept。

其中， AAA -Accept消息包含： 共享密钥 Kmh和计算 Kmh的算法， 可选的该 AAA

-Accept消息中还可以包含安全参数索引 SPI2, 安全参数索引 SPI2用于索引共享密钥 Kmh 及相关信息。

其中， 使用 Km验证 AAA-Request消息中的 PBU消息具体是， AAA Sever根据 Km、 AAA Sever中预先储存的计算消息验证码的算法及从接收到的 AAA-Request消息中获得的 PBU消息中包含的 PBU报文， 生成消息验证码， 然后将该消息验证码与 MAC1进行对比， 如果该消息验证码与 MAC1相同， 则 PBU消息通过验证， 并且需要说明的是 AAA Sever 中预先储存的计算消息验证码的算法与步骤 201中计算 MAC1的算法相同。

其中， 根据 Km计算 ASN-GW与 LMA/HA间的共享密钥 Kmh可以利用如下公式：

Kmh = HMAC_SHA256( Km, MAG-ID ) ( 1 )

公式 （1 ) 中， HMAC_SHA256 表示输出为 256bit 的哈希消息识别码生成函数， HMAC SHA256中的输入参数除了包含 Km、 MAG-ID和 HMAC_SHA256本身所必需的参 数外， 还可以包含其它的参数。 例如： 当 PBU消息中携带新鲜值， 并且新鲜值是 TS1时， 根据 Kmh = HMAC_SHA256( Km, MAG-ID |TS1；)计算 Kmh; 当 PBU消息中携带新鲜值， 并且新鲜值是随机数 R1时， 根据 Kmh = HMAC SHA256 (Km, MAG-ID |R1 )计算 Kmh; 另 夕卜， 当 PBU消息中携带的新鲜值是 TS1， 并且 AAA-Request消息中携带的新鲜值是随机数 R2时， 根据 Kmh = HMAC SHA256 (Km, MAG-ID |TS 1| R2 )计算 Kmh; 当 PBU消息中携 带的新鲜值是随机数 R1，并且 AAA-Request消息中携带的新鲜值是随机数 R2时，根据 Kmh = HMAC SHA256 (Km, MAG-ID |R1 | R2 )计算 Kmh。

并且需要说明的是， 根据 Km计算 ASN-GW与 LMA/HA间的共享密钥 Kmh除了可以 利用公式 （1 ) 夕卜， 还可以利用现有技术中的其它方法。

204： LMA/HA接收到 AAA -Accept消息后， 向 ASN-GW发送 PBA (Proxy Binding

Acknowledge, 代理绑定确认） 消息。

其中， PBA消息中包含： MAC2和计算 Kmh的算法， MAC 2是利用 Kmh生成的完整 性保护码， 该 MAC2用于对整个 PBA消息进行完整性保护， 计算 Kmh的算法是从接收到 的 AAA -Accept消息中获得的，并且需要说明的是，当在步骤 203中计算 Kmh时在公式（1 ) 中包含其他的参数时， 相应的此步骤中计算 Kmh时也包含其他的参数， 并且与步骤 203中 包含的其他的参数相同， 也就是说步骤 203和步骤 204中计算 Kmh时的参数是一致的； 可 选的 PBA消息中还可以包含 TS1、 SPI2。

利用共享密钥 Kmh生成 MAC2具体可以通过下式实现： MAC2=HMAC_SHAl(Kmh， PBA报文)， 其中 PBA报文为 PBA消息中包含的数据， 并且也可以通过现有技术中的其它 方式生成 MAC2。

另外需要说明的是， 由于 MAC2是利用共享密钥 Kmh生成的完整性保护码， 该 MAC2 用于对整个 PBA消息进行完整性保护， 所以也可以说是利用 Kmh对该 PBA消息进行完整 性保护。

205： ASN-GW接收到 PBA消息后， 根据 Km及接收到的 PBA消息中的计算 Kmh的 算法， 计算出 Kmh， 然后使用 Kmh验证 PBA消息，验证通过后， 完成向 LMA/HA的注册。

需要说明的是， 当验证没有通过时， ASN-GW将重新发起注册过程。 在步骤 205之后， 当 ASN-GW需要再次向 LMA/HA进行注册时， 具体的注册过程为： ASN-GW向 LMA/HA发送 PBU消息； LMA/HA接收到 PBU消息后， 利用共享密钥 Kmh验证 PBU消息， 验证通过后， 向 ASN-GW发送 PB A消息； ASN-GW接收到 PB A消 息后， 利用共享密钥 Kmh验证 PBA消息， 如果验证通过， 则完成向 LMA/HA的再次注册； 否则 ASN-GW重新发起注册。 其中， 此处的 PBU消息与步骤 201中的 PBU消息的区别在 于，此处的 PBU消息中包含的消息验证码与步骤 201中的 PBU消息中包含的消息验证码不 同，此处的 PBA消息与步骤 204中的 PBA消息的区别也在于他们中包含的消息验证码不同。 因为此处的 PBU消息中包含的消息验证码， 是利用共享密钥 Kmh生成的， 并且每次 PBU 消息中包含的 PBU报文也不同， 所以每次 PBU消息中包含的消息验证码不同， 同理， PBA 消息中每次包含的消息验证码也不同。 另外， 需要说明的是， 利用共享密钥 Kmh验证 PBU 消息， 当验证失败时， LMA/HA向 ASN-GW发送 PBA消息， 其中 PBA消息中携带验证失 败的原因。

从上述描述可以看出， ASN-GW与 LMA/HA都得到 Kmh后，直接使用 Kmh对 ASN-GW 向 LMA/HA的注册过程进行保护， 除非要更新 Kmh， 否则后续的 ASN-GW向 LMA/HA之 间的注册过程不必再到 AAA Server验证。

另外需要说明的是， 还可以在 AAA Sever和 ASN-GW中预先设置相同的计算 Kmh的 算法， 这样在步骤 203中 AAA Server向 LMA/HA发送的应答消息 AAA -Accept中就不包 含计算 Kmh的算法，同时在步骤 204中向 ASN-GW发送的 PBA消息中也不再包含计算 Kmh 的算法， 在步骤 205中 ASN-GW根据预先设置的计算 Kmh的算法 （与 AAA Sever中设置 的计算 Kmh的算法相同） 计算出 Kmh。

本实施例所示的方法， 通过在 ASN-GW向 LMA/HA的注册过程中自动生成共享密钥 Kmh, 实现了以动态自动配置的方式对 ASN-GW向 LMA/HA的注册过程进行保护， 避免 MN、： LMA/HA受到网络攻击， 满足了 Wimax标准的要求； 并且由于 ASN-GW与 LMA/HA 之间的共享密钥 Kmh 是在 ASN-GW 向 LMA/HA 的注册过程中自动生成的， 所以使得 ASN-GW可以在获取 LMA/HA列表的情况下， 根据实际情况从 LMA/HA列表中选择任一 LMA/HA进行注册。

实施例 3

参见图 3， 本发明实施例提供了一种注册的方法， 可以保护 ASN-GW向 LMA/HA的注 册过程， 具体包括：

301： 在 ASN-GW 与 MN之间的接入认证交互完成后， AAA Sever 为 ASN-GW 与

LMA/HA指定一个共享密钥 Kmh， 并通过应答消息 AAA -Accept将共享密钥 Kmh发送给 ASN-GW。

本发明实施例中指定共享密钥 Kmh具体为： 根据现有技术中生成密钥的算法中的任何 一种算法生成共享密钥 Kmh，指定该共享密钥 Kmh为 ASN-GW与 LMA/HA之间的共享密 钥； 或根据实施例 1 中的生成共享密钥 Kmh的公式 （1 ) 生成本发明实施例中的共享密钥 Kmh;或是生成一个随机数，将这个随机数指定为 ASN-GW与 LMA/HA之间共享密钥 Kmh。

302： ASN-GW接收到共享密钥 Kmh后， 向 LMA/HA发送 PBU消息。 .

其中， PBU消息中包含： MAG-ID、 消息验证码 MAC 1， MAC 1是利用 Kmh生成的完 整性保护码，该 MAC1用于对整个 PBU消息进行完整性保护； PBU消息中还可以携带 SPI， SPI用于索引 Kmh及相关消息；此外，为了防止重放攻击在 PBU消息中还可以携带新鲜值， 新鲜值可以是 TS1或随机数 R1或 SN1。

其中， 利用 Kmh生成 MAC1的过程与实施例 1中生成 MAC1的过程类似， 此处不再 赘述。

并且需要说明的是， 由于 MAC1是利用共享密钥 Kmh生成的完整性保护码， 该 MAC1 用于对整个 PBU消息进行完整性保护， 所以也可以说是利用 Kmh对该 PBU消息进行完整 性保护。

303： LMA/HA接收到 PBU消息后， 向 AAA Server发送请求消息 AAA-Request。 其中， AAA-Request 消息中包含： PBU 消息、 LMA-ID; 此外， 为了防止重放攻击 AAA-Request消息中也可以携带新鲜值， 新鲜值可以是 TS2或随机数 R2或 SN2。

304： AAA Sever接收到 AAA-Request消息后， 使用 Kmh验证 AAA-Request消息中的 PBU消息， 验证通过后， AAA Server向 LMA/HA发送应答消息 AAA-Accept。

其中， AAA -Accept消息中包含： Kmh; 可选的 AAA -Accept消息还可以包含安全索引 参数 SPI。

其中， 使用 Kmh验证 PBU消息的过程与实施例 2中验证 PBU消息的过程类似， 此处 不再赘述。

305： LMA/HA接收到 AAA -Accept消息后， 获得 AAA -Accept消息中的 Kmh， 然后 向 ASN-GW发送 PBA消息。

其中， PBA消息中包含： MAC 2， MAC 2是利用 Kmh生成的完整性保护码，该 MAC2 用于对整个 PB A消息进行完整性保护； 可选的 PB A消息还可以包含 TS、 SPI2。

其中， 利用 Kmh生成 MAC2的过程与实施例 1中生成 MAC2的过程类似， 此处不再 赘述。

并且需要说明的是， 由于 MAC2是利用共享密钥 Kmh生成的完整性保护码， 该 MAC2 用于对整个 PBA消息进行完整性保护， 所以也可以说是利用 Kmh对该 PBA消息进行完整 性保护。

306： ASN-GW接收到 PBA消息后， 使用 Kmh验证 PBA消息， 验证通过后， 完成向 LMA/HA的注册。

需要说明的是， 当验证没有通过时， ASN-GW将重新发起注册过程。

在步骤 306之后， 当 ASN-GW需要再次向 LMA/HA进行注册时， 具体的注册过程为： ASN-GW向 LMA/HA发送 PBU消息； LMA/HA接收到 PBU消息后， 利用共享密钥 Kmh 验证 PBU消息， 验证通过后， 向 ASN-GW发送 PBA消息； ASN-GW接收到 PB A消息后， 利用共享密钥 Kmh验证 PBA消息， 如果验证通过， 则完成向 LMA/HA的再次注册； 否则 ASN-GW重新发起注册。 其中， 此处的 PBU消息与步骤 302中的 PBU消息的区别在于， 此处的 PBU消息中包含的消息验证码与步骤 302中的 PBU消息中包含的消息验证码不同， 此处的 PBA消息与步骤 305中的 PBA消息的区别也在于他们中包含的消息验证码不同。因 为此处的 PBU消息中包含的消息验证码， 是利用共享密钥 Kmh生成的， 并且每次 PBU消 息中包含的 PBU报文也不同， 所以每次 PBU消息中包含的消息验证码不同， 同理， PBA 消息中每次包含的消息验证码也不同。 另外， 需要说明的是， 利用共享密钥 Kmh验证 PBU 消息， 当验证失败时， LMA/HA向 ASN-GW发送 PBA消息， 其中 PBA消息中携带验证失 败的原因。

从上述描述可以看出， ASN-GW与 LMA/HA都得到 Kmh后，直接使用 Kmh对 ASN-GW 向 LMA/HA的注册过程进行保护， 除非要更新 Kmh， 否则后续的 ASN-GW向 LMA/HA的 注册过程不必再到 AAA Server验证。

本实施例所示的方法， 通过 AAA Sever为 ASN-GW与 LMA/HA指定共享密钥 Kmh， 实现了对 ASN-GW向 LMA/HA的注册过程进行保护， 避免 MN、 LMA/HA受到网络攻击， 满足了 Wimax标准的要求； 另夕卜， 通过 AAA Sever为 ASN-GW与 LMA/HA指定共享密钥 Kmh, 使得 ASN-GW不用计算共享密钥 Kmh， 使得整个注册过程更简单。

实施例 4

参见图 4， 本发明实施例提供了一种注册的系统， 该系统具体包括：

认证、 授权和计费服务器 401， 用于发送第一密钥；

移动锚点 402， 用于接收接入服务网络网关 403发送的第一代理绑定更新消息， 获取认 证、 授权和计费服务器 401 发送的第一密钥， 根据第一密钥生成第一消息验证码， 向接入 服务网络网关 403 返回第一代理绑定确认消息， 第一代理绑定确认消息中携带第一消息验 证码； 接入服务网络网关 403， 用于向移动锚点 402发送第一代理绑定更新消息， 接收移动锚 点 402 返回的第一代理绑定确认消息， 根据其获取的第一密钥对第一代理绑定确认消息中 携带的第一消息验证码进行验证， 当验证成功时， 完成向移动锚点 402的注册。

进一步地，

移动锚点 402， 还用于接收接入服务网络网关 403发送的第二代理绑定更新消息， 第二 代理绑定更新消息中携带第二消息验证码， 第二消息验证码由接入服务网络网关 403 根据 接入服务网络网关 403获取的第一密钥生成； 根据获取的认证、 授权和计费服务器 401发 送的第一密钥， 验证第二消息验证码； 当验证成功后， 根据第一密钥生成第三消息验证码， 向接入服务网络网关 403 返回第二代理绑定确认消息， 第二代理绑定确认消息中携带第三 消息验证码；

接入服务网络网关 403， 还用于接收移动锚点 402返回的第二代理绑定确认消息， 根据 其获取的第一密钥对第二代理绑定确认消息中携带的第三消息验证码进行验证， 当验证成 功时， 完成向移动锚点 402的再次注册。

其中， 认证、 授权和计费服务器发送的第一密钥是其根据其与接入服务网络网关之间 的第二密钥， 以及第二密钥和第一密钥关系算法生成的； 接入服务网络网关获取的第一密 钥也是根据第二密钥， 以及第二密钥和第一密钥关系算法生成的；

或者， 认证、 授权和计费服务器发送的第一密钥和接入服务网络网关获取的第一密钥 是认证、 授权和计费服务器指定的。

其中， 接入服务网络网关获取第一密钥时所根据的第二密钥和第一密钥关系算法是认 证、 授权和计费服务器发送的或是在本地预设的。

本实施例所示的系统， 通过生成第一密钥， 并使用第一密钥保护 ASN-GW向 LMA/HA 的注册过程，避免 MN、 LMA/HA受到网络攻击；并且，第一密钥是在 ASN-GW向 LMA/HA 的注册过程中自动生成， 实现了以动态自动配置的方式对 ASN-GW向 LMA/HA的注册过 程进行保护， 满足了 Wimax标准的要求； 另外， 第一密钥还可以是 AAA Sever为 ASN-GW 与 LMA/HA指定的， 使得 ASN-GW不用计算第一密钥， 使得整个注册过程更简单。

实施例 5

参见图 5， 本发明实施例提供了一种注册的装置， 该装置具体包括：

第一接收模块 501， 用于接收接入服务网络网关发送的第一代理绑定更新消息， 获取认 证、 授权和计费服务器发送的第一密钥；

生成模块 502， 用于根据第一接收模块 501获取的第一密钥， 生成第一消息验证码； 第一发送模块 503， 用于向接入服务网络网关返回第一代理绑定确认消息， 第一代理绑 定确认消息中携带生成模块 502 生成的第一消息验证码， 以使接入服务网络网关能根据接 入服务网络网关获取的第一密钥对第一消息验证码进行验证。

进一步地， 参见图 6， 该装置还包括：

第二接收模块 504， 用于接收接入服务网络网关发送的第二代理绑定更新消息， 第二代 理绑定更新消息中携带第二消息验证码， 第二消息验证码由接入服务网络网关根据接入服 务网络网关获取的第一密钥生成；

处理模块 505， 用于根据第一接收模块 501获取的第一密钥， 验证第二接收模块 504接 收的第二代理绑定更新消息中携带的第二消息验证码， 当验证成功后， 根据第一密钥生成 第三消息验证码；

第二发送模块 506， 用于向接入服务网络网关返回第二代理绑定确认消息， 第二代理绑 定确认消息中携带处理模块 505 生成的第三消息验证码， 以使接入服务网络网关能根据接 入服务网络网关获取的第一密钥对第三消息验证码进行验证。

其中， 该装置为本地移动锚点或家乡代理。

其中， 认证、 授权和计费服务器发送的第一密钥是其根据其与接入服务网络网关之间 的第二密钥， 以及第二密钥和第一密钥关系算法生成的； 则接入服务网络网关获取的第一 密钥也是根据第二密钥， 以及第二密钥和第一密钥关系算法生成的；

或者， 认证、 授权和计费服务器发送的第一密钥和接入服务网络网关获取的第一密钥 是认证、 授权和计费服务器指定的。

其中， 接入服务网络网关获取的第一密钥所根据的第二密钥和第一密钥关系算法是认 证、 授权和计费服务器发送的或是在本地预设的。

本实施例所示的装置， 通过生成第一密钥， 并使用第一密钥保护 ASN-GW向 LMA/HA 的注册过程，避免 MN、 LMA/HA受到网络攻击。并且，第一密钥是在 ASN-GW向 LMA/HA 的注册过程中自动生成， 实现了以动态自动配置的方式对 ASN-GW向 LMA/HA的注册过 程进行保护， 满足了 Wimax标准的要求； 另外， 第一密钥还可以是 AAA Sever为 ASN-GW 与 LMA/HA指定的， 使得 ASN-GW不用计算第一密钥， 使得整个注册过程更简单。

实施例 6

参见图 7，本发明实施例提供了一种接入服务网络网关，该接入服务网络网关具体包括： 确认消息接收模块 601， 用于接收移动锚点返回的第一代理绑定确认消息， 第一代理绑 定确认消息中携带第一消息验证码， 第一消息验证码是由移动锚点根据其获取的认证、 授 权和计费服务器发送的第一密钥生成；

密钥获取模块 602， 用于获取第一密钥； 验证模块 603，用于根据密钥获取模块 602获取的第一密钥对第一代理绑定确认消息中 携带的第一消息验证码进行验证； 当验证成功后， 完成向移动锚点的注册。

其中， 认证、 授权和计费服务器发送的第一密钥是其根据其与接入服务网络网关之间 的第二密钥， 以及第二密钥和第一密钥关系算法生成的； 则接入服务网络网关获取的第一 密钥也是根据第二密钥， 以及第二密钥和第一密钥关系算法生成的；

或者， 认证、 授权和计费服务器发送的第一密钥和接入服务网络网关获取的第一密钥 是认证、 授权和计费服务器指定的。

其中， 接入服务网络网关获取的第一密钥所根据的第二密钥和第一密钥关系算法是认 证、 授权和计费服务器发送的或是在本地预设的。

本实施例所示的接入服务网络网关，通过生成第一密钥，并使用第一密钥保护 ASN-GW 向 LMA/HA的注册过程，避免 MN、 LMA/HA受到网络攻击。并且，第一密钥是在 ASN-GW 向 LMA/HA的注册过程中自动生成，实现了以动态自动配置的方式对 ASN-GW向 LMA/HA 的注册过程进行保护， 满足了 Wimax标准的要求； 另外， 第一密钥还可以是 AAA Sever为 ASN-GW与 LMA/HA指定的， 使得 ASN-GW不用计算第一密钥， 使得整个注册过程更简 单。 以上实施例提供的技术方案中的全部或部分内容可以通过软件编程实现， 其软件程序 存储在可读取的存储介质中， 存储介质例如： 计算机中的硬盘、 光盘或软盘。 以上所述仅为本发明的较佳实施例， 并不用以限制本发明， 凡在本发明的精神和原则 之内， 所作的任何修改、 等同替换、 改进等， 均应包含在本发明的保护范围之内。

Claims

权 利 要 求 书

1、 一种注册的方法， 其特征在于， 所述方法包括：

接收接入服务网络网关发送的第一代理绑定更新消息， 获取认证、 授权和计费服务器 发送的第一密钥；

根据所述第一密钥生成第一消息验证码， 向所述接入服务网络网关返回第一代理绑定 确认消息， 所述第一代理绑定确认消息中携带所述第一消息验证码， 以使所述接入服务网 络网关能根据所述接入服务网络网关获取的第一密钥对所述第一消息验证码进行验证； 在所述接入服务网络网关对所述第一消息验证码验证成功后， 所述接入服务网络网关 完成向本地的注册。

2、 如权利要求 1所述的注册的方法， 其特征在于， 当验证成功后， 所述接入服务网络 网关再次向本地进行注册时， 所述方法还包括：

接收所述接入服务网络网关发送的第二代理绑定更新消息， 所述第二代理绑定更新消 息中携带第二消息验证码， 所述第二消息验证码由所述接入服务网络网关根据所述接入服 务网络网关获取的所述第一密钥生成；

根据获取的所述认证、 授权和计费服务器发送的所述第一密钥， 验证所述第二消息验 证码， 当验证成功后， 根据所述第一密钥生成第三消息验证码；

向所述接入服务网络网关返回第二代理绑定确认消息， 所述第二代理绑定确认消息中 携带所述第三消息验证码， 以使所述接入服务网络网关能根据所述接入服务网络网关获取 的第一密钥对所述第三消息验证码进行验证；

在所述接入服务网络网关对所述第三消息验证码验证成功后， 所述接入服务网络网关 完成向本地的再次注册。

3、 如权利要求 1或 2所述的注册的方法， 其特征在于，

所述认证、 授权和计费服务器发送的所述第一密钥是所述认证、 授权和计费服务器根 据其与所述接入服务网络网关之间的第二密钥， 以及第二密钥和第一密钥关系算法生成的； 所述接入服务网络网关获取的所述第一密钥也是根据所述第二密钥， 以及所述第二密钥和 第一密钥关系算法生成的；

或者， 所述认证、 授权和计费服务器发送的所述第一密钥和所述接入服务网络网关获 取的所述第一密钥是所述认证、 授权和计费服务器指定的。

4、 如权利要求 3所述的注册的方法， 其特征在于， 所述接入服务网络网关获取所述第 一密钥时所根据的第二密钥和第一密钥关系算法是所述认证、 授权和计费服务器发送的或 是在本地预设的。

5、 如权利要求 4所述的注册的方法， 其特征在于，

所述第一密钥为根据所述第二密钥和移动接入网关标识， 利用输出为 256bit 的哈希消 息识别码生成函数计算得到； 或

所述第一密钥为根据所述第二密钥、 移动接入网关标识和新鲜值， 利用输出为 256bit 的哈希消息识别码生成函数计算得到， 所述新鲜值包括时间戳和 /或随机数。

6、 如权利要求 3所述的注册的方法， 其特征在于， 所述第一密钥是所述认证、 授权和 计费服务器指定的， 具体包括：

所述第一密钥为根据所述第二密钥和移动接入网关标识， 利用输出为 256bit 的哈希消 息识别码生成函数计算得到。

7、 一种注册的系统， 其特征在于， 所述系统包括：

认证、 授权和计费服务器， 用于发送第一密钥；

移动锚点， 用于接收接入服务网络网关发送的第一代理绑定更新消息， 获取所述认证、 授权和计费服务器发送的所述第一密钥， 根据所述第一密钥生成第一消息验证码， 向所述 接入服务网络网关返回第一代理绑定确认消息， 所述第一代理绑定确认消息中携带所述第 一消息验证码；

所述接入服务网络网关， 用于向所述移动锚点发送所述第一代理绑定更新消息， 接收 所述移动锚点返回的所述第一代理绑定确认消息， 根据其获取的第一密钥对所述第一代理 绑定确认消息中携带的所述第一消息验证码进行验证， 当验证成功时， 完成向所述移动锚 点的注册。

8、 如权利要求 7所述的注册的系统， 其特征在于，

所述移动锚点， 还用于接收所述接入服务网络网关发送的第二代理绑定更新消息， 所述 第二代理绑定更新消息中携带第二消息验证码， 所述第二消息验证码由所述接入服务网络 网关根据所述接入服务网络网关获取的所述第一密钥生成； 根据获取的所述认证、 授权和 计费服务器发送的所述第一密钥， 验证所述第二消息验证码； 当验证成功后， 根据所述第 一密钥生成第三消息验证码， 向所述接入服务网络网关返回第二代理绑定确认消息， 所述 第二代理绑定确认消息中携带所述第三消息验证码；

所述接入服务网络网关， 还用于接收所述移动锚点返回的所述第二代理绑定确认消息， 根据其获取的第一密钥对所述第二代理绑定确认消息中携带的所述第三消息验证码进行验 证， 当验证成功时， 完成向所述移动锚点的再次注册。

9、 如权利要求 7或 8所述的注册的系统， 其特征在于，

所述认证、 授权和计费服务器发送的所述第一密钥是所述认证、 授权和计费服务器根 据其与所述接入服务网络网关之间的第二密钥， 以及第二密钥和第一密钥关系算法生成的； 则所述接入服务网络网关获取的所述第一密钥也是根据所述第二密钥， 以及所述第二密钥 和第一密钥关系算法生成的；

或者， 所述认证、 授权和计费服务器发送的所述第一密钥和所述接入服务网络网关获 取的所述第一密钥是所述认证、 授权和计费服务器指定的。

10、 一种注册的装置， 其特征在于， 所述装置包括：

第一接收模块， 用于接收接入服务网络网关发送的第一代理绑定更新消息， 获取认证、 授权和计费服务器发送的第一密钥；

生成模块， 用于根据所述第一接收模块获取的所述第一密钥， 生成第一消息验证码； 第一发送模块， 用于向所述接入服务网络网关返回第一代理绑定确认消息， 所述第一 代理绑定确认消息中携带所述生成模块生成的所述第一消息验证码， 以使所述接入服务网 络网关能根据所述接入服务网络网关获取的第一密钥对所述第一消息验证码进行验证。

11、 如权利要求 10所述的注册的装置， 其特征在于， 所述装置还包括：

第二接收模块， 用于接收所述接入服务网络网关发送的第二代理绑定更新消息， 所述 第二代理绑定更新消息中携带第二消息验证码， 所述第二消息验证码由所述接入服务网络 网关根据所述接入服务网络网关获取的所述第一密钥生成；

处理模块， 用于根据所述第一接收模块获取的所述第一密钥， 验证所述第二接收模块 接收的所述第二代理绑定更新消息中携带的所述第二消息验证码， 当验证成功后， 根据所 述第一密钥生成第三消息验证码；

第二发送模块， 用于向所述接入服务网络网关返回第二代理绑定确认消息， 所述第二 代理绑定确认消息中携带所述处理模块生成的所述第三消息验证码， 以使所述接入服务网 络网关能根据所述接入服务网络网关获取的第一密钥对所述第三消息验证码进行验证。

12、 如权利要求 11所述的注册的装置， 其特征在于， 所述装置为本地移动锚点或家乡 代理。

13、 一种接入服务网络网关， 其特征在于， 所述接入服务网络网关包括：

确认消息接收模块， 用于接收移动锚点返回的第一代理绑定确认消息， 所述第一代理 绑定确认消息中携带所述第一消息验证码， 所述第一消息验证码是由所述移动锚点根据其 获取的认证、 授权和计费服务器发送的第一密钥生成；

密钥获取模块， 用于获取所述第一密钥；

验证模块， 用于根据所述密钥获取模块获取的所述第一密钥对所述第一代理绑定确认 消息中携带的所述第一消息验证码进行验证； 当验证成功后， 完成向所述移动锚点的注册。