WO2011026341A1 - 一种移动ip业务的接入方法和系统 - Google Patents

Abstract

本发明提供了一种移动IP接入方法，包括，在外地代理FA或分组数据服务节点PDSN与家乡代理HA协商建立Internet协议安全隧道即IPSec隧道的过程中，鉴权授权计费服务器AAA下发协商IPSec参数或协商IPSec参数所对应的属性标识profile ID至所述FA或所述PDSN。本发明还提供一种移动IP接入系统。

Description

一种移动 IP业务的接入方法和系统

技术领域 本发明涉及通信领域， 尤其涉及 CDMA2000 系统中移动网络互连协议 ( Internet Protocol, IP ) 业务接入时方法和系统。

背景技术

移动 IP业务相较简单 IP业务为用户提供了更大范围的不间断业务， 在 CDMA2000 , 全球微波接入互通技术（World Interoperability for Microwave Access , Wimax ) 以及下一代演进网络中都得到了广泛的应用。 移动 IP业务在核心网侧主要网元包括外地代理（ Foreign Agent , FA ) 、 归属代理 （Home Agent , HA ) 和鉴权授权计费服务器 （Authentication Authorization Accounting, AAA ) 。 移动 IP通过 FA和 HA接入网络， 并通 过 FA和 HA与网络进行信令和数据业务的交互， 保证移动 IP业务的安全性 通过保证 FA和 HA之间信令和数据业务的安全性来实现。 在第三代合作伙伴计划 2 (3rd Generation Partnership Project 2 , 3gpp2)协 议中， FA与 HA之间的信令和数据业务的安全性通常釆用两种方法来保证： 第一种方法是釆用 FA与 HA之间的认证扩展，即在 FA上配置 HA列表 及相关参数， 在 HA上配置 FA列表及相关参数。 此方法的缺点是列表及相 关参数需要手工配置， 对于复杂的组网环境， 操作维护工作不够方便。 特别 是移动 IP业务国际漫游的场景， 每次配置 FA时需要了解全球所有互通 HA 的配置并且在全球的 HA上增加新增 FA的配置， 实际可操作性较差。 第二种方法釆用 Internet协议安全 ( Internet Protocol Security, IPSec )隧 道， 即由 AAA下发因特网密钥交换协议（ Internet Key Exchange, IPSec IKE ) 协商需要的预共享密钥。 在某些 CDMA2000 系统中， 分组数据服务节点 （Packet Data Service Node, PDSN)在移动 IP用户接入时具有 FA同样的功能， 在第二种方法中， FA可以用 PDSN替换。

和第一种方法相比， 第二种釆用 IPSec隧道的安全性更高， 现有的釆用 IPSec隧道的移动 IP接入方法包括以下步骤， 如图 1所示： 步骤 101、分组控制功能（ Packet Control Function, PCF )与 FA或 PDSN 建立空口链路； 步骤 102、 访问终端与 FA或 PDSN协商 PPP , FA或 PDSN发送代理 广播至访问终端； 步骤 103、 访问终端通过代理广播获取移动 IP相关信息； 步骤 104、 访问终端向 FA或 PDSN发起移动 IP注册； 步骤 105至 108, FA或 PDSN与 AAA交互， 获取认证信息， 包括预共 享密码和 KeylD , 同时下发 HA地址给 FA或 PDSN; 步骤 109 , FA或 PDSN读取本地配置的其他协商 IPSec参数， 根据 FA 下发的认证信息， 向 HA进行 ISAKMP SA协商， 携带提议的 ISAKMP SA 信息、 密匙材料以及 KeylD; 步骤 110, HA根据 KeylD还原出 FA地址， 向 AAA获取生成 IPSec预 共享密钥的 S Key并保存在本地； 步骤 111 112, HA读取本地预先配置的其他协商 IPSec参数， 与 FA或 PDSN协商建立 ISAKMP SA; 步骤 113 , PDSN/FA, HA协商建立 IPSec SA; 步骤 114~117 , 完成 MIP注册， PDSN/FA与 HA之间信令由 IPSec隧道 承载；

步骤 118, FA通知 AAA计费开始； 步骤 119, 移动 IP接入完成， 访问终端开始数据业务， FA与 HA之间 数据由 IPSec隧道承载。 现有的釆用 IPSec隧道的移动 IP接入方法有以下问题： 问题一， IKE协商两端的 IPSec安全关联， 除了预共享密钥还需要配置 若干协商参数， 如 FA与 HA之间 IPSec的传输模式、 隧道模式下隧道两端 的地址、安全类型、具体的加密认证算法等， 这些参数仍需要手工配置在 FA 和 HA上， 可操作性较差； 问题二， 3gpp2协议对 IKE协商作了若干约束， 如 ISAKMP ( Internet Security Association and Key Management Protocol, 因特网安全协定和密钥管 理协议） 的主版本和副版本、 选择符等， 统一了标准， 但是扩展性不好。 如 目前主流 IKE已经有 VI .0和 V2.0的版本， 而 3gpp2还是停留在 0版本， 不 同的系统、 不同的版本在实际对接存在问题。

发明内容 本发明提供了一种移动 IP业务的接入方法及系统，可以提高系统的可用 性， 同时满足运营商多样化安全策略需求。 为解决上述问题， 本发明提供了一种移动 IP接入方法， 包括， 在外地代 理 FA或分组数据服务节点 PDSN与家乡代理 HA协商建立 Internet协议安全 隧道即 IPSec隧道的过程中，鉴权授权计费服务器 AAA下发协商 IPSec参数 或协商 IPSec参数所对应的属性标识 profilelD至所述 FA或所述 PDSN。 上述方法还包括， 在外地代理 FA或分组数据服务节点 PDSN与家乡代 理 HA协商建立 Internet协议安全隧道即 IPSec隧道的过程中 , 所述 AAA下 发协商 IPSec参数或协商 IPSec参数所对应的属性标识 profilelD至所述 HA。 其中， 所述 FA或 PDSN与所述 HA协商建立所述 IPSec隧道的过程包 含：

A1、 所述 FA或 PDSN向所述 AAA发送认证请求；

含所述协商 IPSec参数或所述协商 IPSec参数所对应的 profilelD;

A3、 所述 FA或 PDSN根据所述 AAA下发的认证应答， 发送协商请求 至所述 HA;

A4、 所述 HA接收所述协商请求， 从本地或者从所述 AAA获取所述协 商 IPSec参数或协商 IPSec参数所对应的 profilelD,所述 FA或所述 PDSN与 所述 HA协商建立 IPSec隧道。 其中， 所述认证应答中还包括预共享密匙和身份信息； 所述协商请求为所述 FA 或 PDSN根据所述协商 IPSec 参数发起的 ISAKMP SA建立的协商请求，所述 ISAKMP SA建立的协商请求中携带提议 建立的 ISAKMP SA信息、 密钥材料以及身份信息； 所述步骤 A4中， 所述 HA收到所述协商请求后， 从本地或从所述 AAA 获取所述协商 IPSec参数， 所述 FA或所述 PDSN与所述 HA协商建立 IPSec 隧道的步骤包括： 所述 HA收到所述 ISAKMP SA建立的协商请求后， 根据其中的所述身 份信息还原所述 FA或 PDSN的地址， 从本地获取 S Key和所述协商 IPSec 参数， 或者， 从所述 AAA获取所述 S Key和所述协商 IPSec参数； 所述 HA根据所述身份信息以及所述 S Key, 生成 IPSec的预共享密匙； 所述 HA与所述 FA或 PDSN交互， 从而建立所述 FA或 PDSN与所述 HA之间的 IPSec隧道。 其中， 所述认证应答中还包括预共享密匙和身份信息； 所述步骤 A3中还包括，所述 FA或 PDSN根据所述协商 IPSec参数所对 应 profilelD在本地获取所述协商 IPSec参数； 所述步骤 A3中： 所述协商请求为所述 FA或 PDSN根据所述本地获取 的协商 IPSec参数发起的 ISAKMP SA建立的协商请求，所述 ISAKMP SA建 立的协商请求中携带提议建立的 ISAKMP SA信息、密钥材料以及身份信息； 所述步骤 A4中 ,所述 HA收到所述协商请求后 ,从本地或者从所述 AAA 获取协商 IPSec参数所对应的 profilelD, 所述 FA或所述 PDSN与所述 HA 协商建立 IPSec隧道的步骤包括： 所述 HA收到所述 ISAKMP SA建立的协商请求后， 根据其中的所述身 份信息还原所述 FA或 PDSN的地址， 从本地获取 S Key和所述协商 IPSec 参数对应的 profilelD,或者，从所述 AAA获取所述 S Key和协商 IPSec参数 对应的 profilelD; 所述 HA根据所述身份信息以及 S Key, 生成 IPSec的预共享密匙； 所述 HA与所述 FA或 PDSN交互， 从而建立所述 FA或 PDSN与所述 HA之间的 IPSec隧道。 其中， 所述协商 IPSec参数或协商 IPSec参数所对应的 profilelD是与访 问终端的安全等级对应的协商 IPSec 参数或协商 IPSec 参数所对应的 profilelD。 其中， 所述访问终端的安全等级由运营商或用户预先设定。

本发明还提供一种支持移动 IP接入的鉴权授权计费服务器，所述鉴权授 权计费服务器设置为， 在外地代理 FA或分组数据服务节点 PDSN和家乡代 理 HA之间协商建立 IPSec隧道的过程中， 下发协商 IPSec参数或协商 IPSec 参数所对应的属性标识 profilelD至所述 FA或者所述 PDSN。 其中， 所述鉴权授权计费服务器还设置为， 在所述 FA或所述 PDSN和 所述 HA之间协商建立 IPSec隧道的过程中， 下发所述协商 IPSec参数或协 商 IPSec参数所对应的 profilelD至所述 HA。 其中， 所述鉴权授权计费服务器是设置为： 根据访问终端的安全等级选 择对应的协商 IPSec参数或协商 IPSec参数所对应的 profilelD后下发所述协 商 IPSec参数或协商 IPSec参数所对应的 profileID。 本发明还提供一种支持移动 IP接入的外地代理 FA或分组数据服务节点 PDSN, 其中： 所述 FA或 PDSN设置为， 在和家乡 HA之间协商建立 IPSec隧道的过 程中，从所述 AAA获取协商 IPSec参数； 或者，从所述 AAA获取协商 IPSec 参数所对应的 profilelD, 根据所述 profilelD得到协商 IPSec参数。 本发明还提供一种支持移动 IP接入的家乡代理 HA, 其中， 所述 HA设置为： 在和外地代理 FA或分组数据服务节点 PDSN之间协 商建立 IPSec隧道的过程中，从鉴权授权计费服务器 AAA获取协商 IPSec参 数或协商 IPSec参数所对应的属性标识 profileID。 本发明还提供一种移动 IP接入系统， 包括： 外地代理 FA或分组数据服 务节点 PDSN、 以及鉴权授权计费服务器 AAA, 其中， 所述 AAA设置为，在外地代理 FA或分组数据服务节点 PDSN和家乡代 理 HA之间协商建立 IPSec隧道的过程中， 下发所述协商 IPSec参数或协商 IPSec参数所对应的属性标识 profilelD至所述 FA或者所述 PDSN; 所述 FA或 PDSN设置为， 在和所述 HA之间协商建立 IPSec隧道的过 程中，从所述 AAA获取协商 IPSec参数； 或者，从所述 AAA获取协商 IPSec 参数所对应的 profilelD, 根据所述 profilelD得到协商 IPSec参数。 其中， 所述系统还包括家乡代理 HA, 所述 AAA还设置为， 在所述 FA 或所述 PDSN和所述 HA之间协商建立 IPSec隧道的过程中，下发协商 IPSec 参数或协商 IPSec参数所对应的属性标识 profilelD至所述 HA; 所述 HA设置为， 在和所述 FA或所述 PDSN之间协商建立 IPSec隧道 的过程中，从所述 AAA获取所述协商 IPSec参数或协商 IPSec参数所对应的 profilelD。 其中， 所述 AAA是设置为： 根据访问终端的安全等级选择对应的协商 IPSec参数或协商 IPSec参数所对应的 profilelD后下发所述协商 IPSec参数或 协商 IPSec参数所对应的 profilelD。 与现有技术相比，本发明的有益效果在于：本发明选择并下发协商 IPSec 参数或协商 IPSec参数所对应的 profilelD至 FA和 HA, 或 PDSN和 HA, 避 免了在上述网元上手工配置协商 IPSec参数， 简化了系统配置， 提高了系统 的可用性， 同时， 由于 FA和 HA, 或 PDSN和 HA上的协商参数统一下发， 协议版本相同， 避免了不同版本造成的对接困难。 而且， 本发明还可由运营 商预先设定访问终端的安全级别， 不同安全级别的访问终端对应不同的认证 应答， 不同的认证应答对应不同级别的安全策略， 满足了运营商安全策略多 样化的需求。

附图概述 图 1示例性地描述了现有的 CDMA2000系统移动 IP接入流程； 图 2示例性地描述了本发明的 CDMA2000系统移动 IP接入流程； 图 3示例性地描述了本发明的 CDMA2000系统移动 IP接入方法多样化 安全策略的一种实施例； 图 4示例性地描述了本发明的系统结构图。

本发明的较佳实施方式

下面对照附图并结合具体实施方式对本发明进行进一步详细说明。 实施例一： 如图 2所示，本例的 CDMA2000系统移动 IP的接入系统，其 CDMA2000 系统移动 IP接入方法， 包括以下处理步骤： 步骤 201 , PCF ( Packet Control Function, 分组控制功能子系统）与 FA 建立空口链路； 步骤 202 , 访问终端与所述 FA协商 PPP ( Point to Point Protocol, 点对 点联机协议） ， FA发送代理广播至所述访问终端； 步骤 203 , 访问终端通过代理广播获取移动 IP相关信息； 步骤 204 , 访问终端向 FA发起移动 IP注册； 步骤 205 , FA向 FAAA发送认证请求， 同时请求预共享密码；

AAA包括 HAAA ( Home Authentication Authorization Accounting归属婆 权 4受权计费月良务器 )和 FAAA( Foreign Authentication Authorization Accounting 外地鉴权授权计费服务器） ， 其中， HAAA为用于选择和下发协商 IPSec参 数； FAAA用于中转 FA与 HAAA之间的认证请求和应答。 步骤 206, FAAA将认证请求转至 HAAA; 步骤 207 , HAAA根据访问终端的安全级别， 选择并下发不同的认证应 答至 FAAA, 认证应答包含协商 IPSec参数、 预共享密匙、 身份信息等； 访问终端的安全级别由用户或运营商预先设定， 不同安全级别的访问终 端可对应不同的认证应答， 不同的认证应答对应不同级别的安全策略。 协商 IPSec参数包括 IKE版本号、 IKE协商的身份类型、 IKE协商的交 换类型、 IPSec模式、 加密算法、 认证算法、 IPSec隧道两端地址、 选择符、 ISAKMP SA的生命期、 DH交换群、 密钥长度、 IPSec协议发展后续引入的 参数。 步骤 208, FAAA将认证应答转发至 FA;

AAA下发协商 IPSec参数等至 FA, 避免了在 FA上手工配置各种参数， 简化了系统配置， 提高了系统的可用性。 步骤 209, FA根据 AAA下发的协商 IPSec参数， 发送 ISAKMP SA建 立的协商请求至 HA , ISAKMP SA 建立的协商请求中携带提议建立的 ISAKMP SA信息、 密钥材料以及身份信息； 步骤 210, HA根据收到 ISAKMP SA建立的协商请求后， 根据其中的 身份信息还原 FA地址，并发送 S Key和协商 IPSec获取请求至 AAA, AAA 下发 S Key和所述协商 IPSec参数至 HA, HA根据身份信息以及 S Key生 成 IPSec的预共享密匙， 并将信息保存在本地； 若本地已保存 S Key和所述 协商 IPSec参数， 则直接读取本地保存的信息， 跳过步骤 210。

HA与 FA上的预共享密码，用来加密在 IPSec隧道内传输的数据和信令。

AAA下发协商 IPSec参数等至 HA,避免了在 HA上手工配置各种参数， 简化了系统配置， 提高了系统的可用性。 协商 IPSec参数在 AAA统一配置， 然后下发到 FA与 HA, 可以保证下发的协商 IPsec参数与 HA、 FA的版本一 致且与 FA、 HA的支持能力相符， 提高了系统的扩展性能。 步骤 211 , HA发送 ISAKMP SA协商请求响应至所述 FA; 步骤 212 , FA收到 ISAKMP SA协商请求响应后， 发送已接收响应至 所述 HA, ISAKMP SA建立； 步骤 213 , ISAKMP SA建立后 , FA与 HA建立 IPSec SA; IPSec SA 建立后 , FA与 HA之间建立 IPSec隧道。 步骤 214〜步骤 217 ,访问终端完成移动 IP注册， FA与 HA之间的信令 由 IPSec隧道承载； 步骤 218, FA通知 AAA计费开始； 步骤 219, 移动 IP接入完成， 访问终端开始数据业务， FA与 HA之间 数据由所述 IPSec隧道承载。 现有技术存在安全策略单一， 无法满足运营商订制安全策略的需求， 运 营商在建设移动 IP网络时可能会提出若干的订制要求， 如区分帐号实施 FA 与 HA之间的 IPSec、 区分运营商内部网络和其他运营商网络实施不同的 IPSec策略等， 目前的架构无法满足运营商的需求。 本发明中， 访问终端的安全级别由运营商预先设定， 不同安全级别的访 问终端对应不同的认证应答， 不同的认证应答对应不同级别的安全策略， 满 足了运营商安全策略多样化的需求。 本实施例选择并下发协商 IPSec参数至 FA和 HA,避免了在上述网元上 手工配置协商 IPSec参数， 简化了系统配置， 提高了系统的可用性； 同时， 由于 FA和 HA上的协商参数统一下发， 协议版本相同， 避免了不同版本造 成的对接困难； 另一方面， 对不同安全等级提供不同的协商 IPSec参数， 即 提供了不同的安全策略， 可以满足运营商多样化安全策略需求。

实施例二： 如图 3所示，本发明的 CDMA2000系统移动 IP接入方法的实施例二中， 多样化安全策略包含以下步骤： 步骤 301 , 访问终端接入 CDMA2000系统， PCF与所述 FA建立空口链 路； 访问终端与所述 FA协商 PPP, FA发送代理广播至访问终端； 访问终 端通过代理广播获取移动 IP相关信息； 访问终端发起移动 IP注册； FA向 AAA发送认证请求， 同时请求预共享密码； 步骤 302, AAA根据访问终端的安全级别，提供不同的协商 IPSec参数， 即提供不同等级的安全策略， 下发至 FA; 安全策略体现在不同的协商 IPSec参数中， 例如， 协商 IPSec参数中有 IPSec隧道两端地址， 高级别安全策略提供特殊 HA地址以及机密级别的其 他协商 IPSec参数， 低级别安全策略则按通用算法， 如轮循算法选择 HA地 址以及仅提供认证服务的其他协商 IPSec参数。 步骤 303 , FA与 HA按照不同的协商 IPSec参数， 建立不同安全级别的 IPSec隧道； 步骤 304 , 访问终端的信令和数据在 FA与 HA之间的 IPSec隧道传输。 高安全级别的访问终端和低安全级别的访问终端， 在不同安全级别的 IPSec隧道上传输信令和数据， 达到不同安全级别的保障。

实施例三： 本实施例中， 为减少 FA/PDSN与 AAA, 以及 HA和 PDSN之间交互的 信息， AAA只下发协商 IPSec参数所对应的属性标识（ rofilelD ) , FA/PDSN, HA根据协商 IPSec参数所对应的 profilelD获取协商 IPSec参数，在 FA/PDSN, HA本地保存 profilelD与协商 IPSec参数的对应关系， 与实施例一的不同之 处主要在于， 步骤 207〜步骤 210有另一种实施方法： 步骤 207a, HAAA根据访问终端安全级别， 选择并下发认证应答至 FAAA, 认证应答中包含协商 IPSec参数所对应的 profilelD, 预共享密匙、 身份信息等； 步骤 208a, FAAA将认证应答转发至 FA; 步骤 209a, FA根据协商 IPSec参数所对应的 profilelD在本地获取协商 IPSec参数， FA根据协商 IPSec参数信息， 发送 ISAKMP SA建立的协商请 求至所述 HA, ISAKMP SA建立的协商请求中携带提议建立的 ISAKMP SA 信息、 密钥材料以及身份信息； 步骤 210a, HA根据收到 ISAKMP SA建立的协商请求后， 根据其中的 身份信息还原 FA地址， 并发送 S Key和协商 IPSec所对应 profilelD获取请 求至 AAA, AAA下发 S Key和协商 IPSec参数的 profilelD至 HA, HA根 据身份信息以及 S Key生成 IPSec的预共享密匙， 并将信息 （包括 S Key和 协商 IPSec参数）保存在本地； 在后续接入时， 可以使用已保存的信息。 若本地已保存所述 S Key和所述协商 IPSec参数所对应的 profilelD, 则 直接读取本地保存的信息， 跳过步骤 210a。

AAA下发 profilelD至 FA和 HA, 由 FA和 HA根据 rofilelD在本地获 取协商 IPSec参数， 避免了在 FA和 HA上手动配置参数， 同时也节约了 HA 和 FA之间的通信量。

实施例四： 如图 4所示， 本发明的一种 CDMA2000系统移动 IP的接入系统地实施 例中， 包括归属代理、 外地代理和鉴权授权计费服务器， 用于协商建立承载 信令和数据的 IPSec隧道， 在归属代理和外地代理之间协商建立 IPSec隧道 的过程中， 鉴权授权计费服务器选择并下发协商 IPSec参数或协商 IPSec参 数所对应的 profilelD至外地代理和归属代理。

本发明提供一种支持移动 IP接入的鉴权授权计费服务器，所述鉴权授权 计费服务器设置为， 在外地代理 FA或分组数据服务节点 PDSN和家乡代理 HA之间协商建立 IPSec隧道的过程中， 下发协商 IPSec参数或协商 IPSec参 数所对应的属性标识 profilelD至所述 FA或者所述 PDSN。 其中， 所述鉴权授权计费服务器还设置为， 在所述 FA或所述 PDSN和 所述 HA之间协商建立 IPSec隧道的过程中， 下发所述协商 IPSec参数或协 商 IPSec参数所对应的属性标识 profilelD至所述 HA。 其中， 所述鉴权授权计费服务器是设置为： 根据访问终端的安全等级选 择对应的协商 IPSec参数或协商 IPSec参数所对应的 profilelD后下发所述协 商 IPSec参数或协商 IPSec参数所对应的 profileID。 本发明还提供一种支持移动 IP接入的外地代理 FA或分组数据服务节点 PDSN, 其中： 所述 FA或 PDSN设置为， 在和家乡 HA之间协商建立 IPSec隧道的过 程中，从所述 AAA获取协商 IPSec参数； 或者，从所述 AAA获取协商 IPSec 参数所对应的 profilelD, 根据所述 profilelD得到协商 IPSec参数。 本发明还提供一种支持移动 IP接入的家乡代理 HA, 其中， 所述 HA设置为： 在和外地代理 FA或分组数据服务节点 PDSN之间协 商建立 IPSec隧道的过程中，从鉴权授权计费服务器 AAA获取协商 IPSec参 数或协商 IPSec参数所对应的属性标识 profileID。 本发明还提供一种移动 IP接入系统， 包括上述提到的外地代理 FA或分 组数据服务节点 PDSN, 鉴权授权计费服务器 AAA, 和家乡代理 HA。 本发明不限于 CDMA2000系统。 以上内容是结合具体的优选实施方式对本发明所作的进一步详细说明， 但这只是为便于理解而举的实例， 不应认为本发明的具体实施只局限于这些 说明。 对于本发明所属技术领域的普通技术人员来说， 在不脱离本发明构思 的前提下， 可以做出各种可能的等同改变或替换， 这些改变或替换都应属于 本发明的保护范围。例如，某些 CDMA2000系统中， PDSN (Packet Data Service Node 分组数据服务节点)在移动 IP用户接入时具有 FA同样的功能， 所以在 上述各实施例中， FA可以用 PDSN替换。

工业实用性 本发明选择并下发协商 IPSec参数或协商 IPSec参数所对应的 profilelD 至 FA和 HA, 或 PDSN和 HA, 避免了在上述网元上手工配置协商 IPSec参 数， 简化了系统配置，提高了系统的可用性， 同时， 由于 FA和 HA,或 PDSN 和 HA上的协商参数统一下发， 协议版本相同， 避免了不同版本造成的对接 困难。

Claims

权 利 要 求 书

1、 一种移动 IP接入方法， 包括， 在外地代理 FA或分组数据服务节点 PDSN与家乡代理 HA协商建立 Internet协议安全隧道即 IPSec隧道的过程中 , 鉴权授权计费服务器 AAA下发协商 IPSec参数或协商 IPSec参数所对应的属 性标识 profilelD至所述 FA或所述 PDSN。

2、 如权利要求 1所述的接入方法， 其特征在于， 所述方法还包括， 在外 地代理 FA或分组数据服务节点 PDSN与家乡代理 HA协商建立 Internet协议 安全隧道即 IPSec隧道的过程中 ,所述 AAA下发协商 IPSec参数或协商 IPSec 参数所对应的属性标识 profilelD至所述 HA。

3、 如权利要求 1所述的接入方法， 其中， 所述 FA或 PDSN与所述 HA 协商建立所述 IPSec隧道的过程包含：

A1、 所述 FA或 PDSN向所述 AAA发送认证请求；

含所述协商 IPSec参数或所述协商 IPSec参数所对应的 profilelD;

A3、 所述 FA或 PDSN根据所述 AAA下发的认证应答， 发送协商请求 至所述 HA;

A4、 所述 HA接收所述协商请求， 从本地或者从所述 AAA获取所述协 商 IPSec参数或协商 IPSec参数所对应的 profilelD,所述 FA或所述 PDSN与 所述 HA协商建立 IPSec隧道。

4、 如权利要求 3所述的接入方法， 其中， 所述认证应答中还包括预共享密匙和身份信息； 所述协商请求为所述 FA 或 PDSN根据所述协商 IPSec 参数发起的 ISAKMP SA建立的协商请求，所述 ISAKMP SA建立的协商请求中携带提议 建立的 ISAKMP SA信息、 密钥材料以及身份信息； 所述步骤 A4中， 所述 HA收到所述协商请求后， 从本地或从所述 AAA 获取所述协商 IPSec参数， 所述 FA或所述 PDSN与所述 HA协商建立 IPSec 隧道的步骤包括： 所述 HA收到所述 ISAKMP SA建立的协商请求后， 根据其中的所述身 份信息还原所述 FA或 PDSN的地址， 从本地获取 S Key和所述协商 IPSec 参数， 或者， 从所述 AAA获取所述 S Key和所述协商 IPSec参数； 所述 HA根据所述身份信息以及所述 S Key, 生成 IPSec的预共享密匙； 所述 HA与所述 FA或 PDSN交互， 从而建立所述 FA或 PDSN与所述 HA之间的 IPSec隧道。

5、 如权利要求 3所述的接入方法， 其中， 所述认证应答中还包括预共享密匙和身份信息； 所述步骤 A3中还包括，所述 FA或 PDSN根据所述协商 IPSec参数所对 应 profilelD在本地获取所述协商 IPSec参数； 所述步骤 A3中： 所述协商请求为所述 FA或 PDSN根据所述本地获取 的协商 IPSec参数发起的 ISAKMP SA建立的协商请求，所述 ISAKMP SA建 立的协商请求中携带提议建立的 ISAKMP SA信息、密钥材料以及身份信息； 所述步骤 A4中 ,所述 HA收到所述协商请求后 ,从本地或者从所述 AAA 获取协商 IPSec参数所对应的 profilelD, 所述 FA或所述 PDSN与所述 HA 协商建立 IPSec隧道的步骤包括： 所述 HA收到所述 ISAKMP SA建立的协商请求后， 根据其中的所述身 份信息还原所述 FA或 PDSN的地址， 从本地获取 S Key和所述协商 IPSec 参数对应的 profilelD,或者，从所述 AAA获取所述 S Key和协商 IPSec参数 对应的 profilelD; 所述 HA根据所述身份信息以及 S Key, 生成 IPSec的预共享密匙； 所述 HA与所述 FA或 PDSN交互， 从而建立所述 FA或 PDSN与所述 HA之间的 IPSec隧道。

6、 如权利要求 1至 5任一所述的接入方法， 其中， 所述协商 IPSec参数 或协商 IPSec参数所对应的 profilelD是与访问终端的安全等级对应的协商 IPSec参数或协商 IPSec参数所对应的 profileID。

7、如权利要求 6所述的接入方法， 其中， 所述访问终端的安全等级由运 营商或用户预先设定。

8、 一种支持移动 IP接入的鉴权授权计费服务器， 所述鉴权授权计费服 务器设置为， 在外地代理 FA或分组数据服务节点 PDSN和家乡代理 HA之 间协商建立 IPSec隧道的过程中，下发协商 IPSec参数或协商 IPSec参数所对 应的属性标识 profilelD至所述 FA或者所述 PDSN。

9、如权利要求 8所述的鉴权授权计费服务器， 其中， 所述鉴权授权计费 服务器还设置为， 在所述 FA或所述 PDSN和所述 HA之间协商建立 IPSec 隧道的过程中，下发所述协商 IPSec参数或协商 IPSec参数所对应的 profilelD 至所述 HA。

10、 如权利要求 8或 9所述的鉴权授权计费服务器， 其中， 所述鉴权授 权计费服务器是设置为： 根据访问终端的安全等级选择对应的协商 IPSec参 数或协商 IPSec参数所对应的 profilelD后下发所述协商 IPSec参数或协商 IPSec参数所对应的 profilelD。

11、 一种支持移动 IP接入的外地代理 FA或分组数据服务节点 PDSN, 其中：

所述 FA或 PDSN设置为， 在和家乡 HA之间协商建立 IPSec隧道的过 程中，从所述 AAA获取协商 IPSec参数； 或者，从所述 AAA获取协商 IPSec 参数所对应的 profilelD, 根据所述 profilelD得到协商 IPSec参数。

12、 一种支持移动 IP接入的家乡代理 HA, 其中， 所述 HA设置为： 在和外地代理 FA或分组数据服务节点 PDSN之间协 商建立 IPSec隧道的过程中，从鉴权授权计费服务器 AAA获取协商 IPSec参 数或协商 IPSec参数所对应的属性标识 profileID。

13、 一种移动 IP接入系统， 包括： 外地代理 FA或分组数据服务节点 PDSN, 以及鉴权授权计费服务器 AAA, 其中， 所述 AAA设置为，在外地代理 FA或分组数据服务节点 PDSN和家乡代 理 HA之间协商建立 IPSec隧道的过程中， 下发所述协商 IPSec参数或协商 IPSec参数所对应的属性标识 profilelD至所述 FA或者所述 PDSN; 所述 FA或 PDSN设置为， 在和所述 HA之间协商建立 IPSec隧道的过 程中，从所述 AAA获取协商 IPSec参数； 或者，从所述 AAA获取协商 IPSec 参数所对应的 profilelD, 根据所述 profilelD得到协商 IPSec参数。

14、 如权利要求 13 所述的接入系统， 其中， 所述系统还包括家乡代理 HA, 其中： 所述 AAA还设置为，在所述 FA或所述 PDSN和所述 HA之间协商建立 IPSec隧道的过程中，下发协商 IPSec参数或协商 IPSec参数所对应的属性标 识 profilelD至所述 HA; 所述 HA设置为， 在和所述 FA或所述 PDSN之间协商建立 IPSec隧道 的过程中，从所述 AAA获取所述协商 IPSec参数或协商 IPSec参数所对应的 profilelD。

15、 如权利要求 13或 14所述的接入系统， 其中， 所述 AAA是设置为： 根据访问终端的安全等级选择对应的协商 IPSec 参数或协商 IPSec参数所对应的 profilelD后下发所述协商 IPSec参数或协商 IPSec参数所对应的 profilelD。