專(zhuān)利名稱(chēng):一種使用代理移動(dòng)ip進(jìn)行安全注冊(cè)的方法
技術(shù)領(lǐng)域:
本發(fā)明涉及基于代理移動(dòng)IP的通信技術(shù),具體地說(shuō)�,是涉及一種使用代理移動(dòng)IP進(jìn)行安全注冊(cè)的方法。
背景技術(shù):
RFC4004是使用Diameter協(xié)議對(duì)移動(dòng)節(jié)點(diǎn)(Mobile Node�,MN)進(jìn)行接入控制和密鑰分配的一個(gè)協(xié)議。該協(xié)議提供了一種安全的注冊(cè)方法����,將移動(dòng)IP中用到的三個(gè)移動(dòng)安全聯(lián)盟(Mobility Security Association),即����,移動(dòng)節(jié)點(diǎn)與歸屬代理����、移動(dòng)節(jié)點(diǎn)與外地代理�����、外地代理與歸屬代理間的移動(dòng)安全聯(lián)盟����,分發(fā)給網(wǎng)絡(luò)中相關(guān)節(jié)點(diǎn)����,從而實(shí)現(xiàn)MIPv4的安全注冊(cè)。
該協(xié)議所述的注冊(cè)方法基于圖1所描述的系統(tǒng)框架����,其中移動(dòng)節(jié)點(diǎn)MN移動(dòng)節(jié)點(diǎn)是經(jīng)常需要在不同拜訪接入網(wǎng)絡(luò)間切換的用戶(hù)終端設(shè)備。
外地代理FA(Foreign Agent�����,F(xiàn)A)外地代理FA是拜訪網(wǎng)絡(luò)中為移動(dòng)節(jié)點(diǎn)提供路由功能的路由器�,并且,外地代理與歸屬代理間建立隧道����,為移動(dòng)節(jié)點(diǎn)傳遞移動(dòng)節(jié)點(diǎn)到外網(wǎng)的數(shù)據(jù)包��。
拜訪網(wǎng)絡(luò)AAA(Authentication��、Authorization�、Accounting�,認(rèn)證、授權(quán)���、記帳)服務(wù)器位于拜訪地網(wǎng)絡(luò)的AAA服務(wù)器�����。該服務(wù)器能為從外地代理發(fā)往歸屬網(wǎng)絡(luò)AAA服務(wù)器的消息提供代理轉(zhuǎn)發(fā)的功能�。
歸屬網(wǎng)絡(luò)AAA服務(wù)器位于移動(dòng)節(jié)點(diǎn)歸屬地的AAA服務(wù)器����,為移動(dòng)節(jié)點(diǎn)提供認(rèn)證、授權(quán)和計(jì)費(fèi)功能�。
歸屬代理HA(Home Agent,HA)歸屬代理HA是儲(chǔ)存移動(dòng)節(jié)點(diǎn)的關(guān)注IP地址(CoA)與歸屬I(mǎi)P地址(HoA)綁定信息的節(jié)點(diǎn)����。歸屬代理還與外地代理間建立隧道��,將發(fā)送到移動(dòng)節(jié)點(diǎn)的數(shù)據(jù)通過(guò)隧道發(fā)送給外地代理���。
該協(xié)議所定義的MIPv4的注冊(cè)方法具體流程如圖2所示,其具體步驟如下步驟201外地代理FA向移動(dòng)節(jié)點(diǎn)發(fā)送路由通告消息��。該路由通告消息可以是定時(shí)廣播的�����,也可以是應(yīng)移動(dòng)節(jié)點(diǎn)的要求而發(fā)送給移動(dòng)節(jié)點(diǎn)的��,該消息中包含用于對(duì)移動(dòng)節(jié)點(diǎn)進(jìn)行認(rèn)證的Challenge向量�����。
步驟202移動(dòng)節(jié)點(diǎn)在收到路由通告后向拜訪網(wǎng)絡(luò)的外地代理FA發(fā)送移動(dòng)IP注冊(cè)請(qǐng)求消息����。移動(dòng)節(jié)點(diǎn)將根據(jù)路由通告消息中的Challenge計(jì)算的認(rèn)證結(jié)果放入移動(dòng)IP注冊(cè)請(qǐng)求消息的MN-AAA擴(kuò)展中����。
步驟203外地代理FA將收到的移動(dòng)IP注冊(cè)消息轉(zhuǎn)換成Diameter消息AAA移動(dòng)節(jié)點(diǎn)請(qǐng)求(AAA Mobile Node Request),并發(fā)送給外地代理FA所在網(wǎng)絡(luò)的AAA服務(wù)器拜訪網(wǎng)絡(luò)AAA服務(wù)器�。AAA移動(dòng)節(jié)點(diǎn)請(qǐng)求消息中既包含了步驟202所述消息中的認(rèn)證結(jié)果(MN-AAA)�,也包含了移動(dòng)節(jié)點(diǎn)在步驟202所述消息中發(fā)來(lái)的移動(dòng)IP注冊(cè)請(qǐng)求消息����。
步驟204拜訪網(wǎng)絡(luò)AAA服務(wù)器查找到移動(dòng)節(jié)點(diǎn)所在家鄉(xiāng)網(wǎng)絡(luò)的歸屬網(wǎng)絡(luò)AAA服務(wù)器的地址(稱(chēng)為歸屬網(wǎng)絡(luò)AAA服務(wù)器),將步驟203收到的消息發(fā)送給歸屬網(wǎng)絡(luò)AAA服務(wù)器�。拜訪網(wǎng)絡(luò)AAA服務(wù)器可以在消息中增加其他屬性,比如�����,當(dāng)拜訪網(wǎng)絡(luò)可以為移動(dòng)節(jié)點(diǎn)提供可選的位于拜訪地網(wǎng)絡(luò)的歸屬代理時(shí)�,拜訪網(wǎng)絡(luò)AAA服務(wù)器可以將該歸屬代理HA的IP地址增加到步驟203所述消息中。
步驟205歸屬網(wǎng)絡(luò)AAA服務(wù)器首先檢查步驟204所述消息中的MN-AAA擴(kuò)展�,驗(yàn)證移動(dòng)節(jié)點(diǎn)的合法性,然后���,歸屬網(wǎng)絡(luò)AAA服務(wù)器根據(jù)移動(dòng)節(jié)點(diǎn)的簽約信息和步驟204所述消息中的其他屬性為移動(dòng)節(jié)點(diǎn)分配歸屬代理���,并計(jì)算移動(dòng)IP所需的移動(dòng)節(jié)點(diǎn)與歸屬代理、移動(dòng)節(jié)點(diǎn)與外地代理���、歸屬代理與外地代理間的安全聯(lián)盟���。當(dāng)歸屬網(wǎng)絡(luò)AAA服務(wù)器處理完一切之后����,歸屬網(wǎng)絡(luò)AAA服務(wù)器向所選定的歸屬代理發(fā)送歸屬代理移動(dòng)IP請(qǐng)求(Home Agent MIP Request)�����。該消息中除了移動(dòng)IP注冊(cè)請(qǐng)求消息外��,還帶有移動(dòng)節(jié)點(diǎn)與歸屬代理���、歸屬代理與外地代理間的安全聯(lián)盟�����。該歸屬代理可能位于拜訪地,也可能位于歸屬地�。
步驟206歸屬代理收到歸屬代理移動(dòng)IP請(qǐng)求消息后根據(jù)需要為移動(dòng)節(jié)點(diǎn)分配歸屬I(mǎi)P地址HoA,處理步驟205所述消息中移動(dòng)IP注冊(cè)請(qǐng)求消息�,為移動(dòng)節(jié)點(diǎn)注冊(cè)歸屬I(mǎi)P地址HoA到關(guān)注IP地址CoA的綁定關(guān)系,保存歸屬網(wǎng)絡(luò)AAA服務(wù)器發(fā)送來(lái)的相關(guān)安全聯(lián)盟���。處理成功后歸屬代理向歸屬網(wǎng)絡(luò)AAA服務(wù)器發(fā)送歸屬代理移動(dòng)IP響應(yīng)消息�。
步驟207歸屬網(wǎng)絡(luò)AAA服務(wù)器收到歸屬代理移動(dòng)IP響應(yīng)(Home AgentMIP Ack)消息后給拜訪網(wǎng)絡(luò)AAA服務(wù)器發(fā)送AAA移動(dòng)節(jié)點(diǎn)響應(yīng)消息(AAAMobile Node Ack)����。該消息中除帶有移動(dòng)IP注冊(cè)響應(yīng)消息外����,還帶有移動(dòng)節(jié)點(diǎn)與外地代理的移動(dòng)安全聯(lián)盟和移動(dòng)節(jié)點(diǎn)計(jì)算移動(dòng)節(jié)點(diǎn)與歸屬代理��、移動(dòng)節(jié)點(diǎn)與外地代理間的移動(dòng)安全聯(lián)盟所需的信息(如隨機(jī)數(shù)Nonce等)����。
步驟208拜訪網(wǎng)絡(luò)AAA服務(wù)器將AAA移動(dòng)節(jié)點(diǎn)響應(yīng)消息(AAAMobile Node Ack)轉(zhuǎn)發(fā)給外地代理。
步驟209外地代理向移動(dòng)節(jié)點(diǎn)發(fā)送移動(dòng)IP注冊(cè)響應(yīng)消息���。移動(dòng)節(jié)點(diǎn)計(jì)算移動(dòng)節(jié)點(diǎn)與外地代理�����、移動(dòng)節(jié)點(diǎn)與歸屬代理間的移動(dòng)安全聯(lián)盟��,使用這些移動(dòng)安全聯(lián)盟認(rèn)證注冊(cè)響應(yīng)消息����。若認(rèn)證成功�,則移動(dòng)IP注冊(cè)成功。
需要說(shuō)明的是,所述步驟202中的challenge向量用來(lái)對(duì)移動(dòng)節(jié)點(diǎn)進(jìn)行認(rèn)證�����。該步驟中移動(dòng)節(jié)點(diǎn)已獲得了關(guān)注IP地址CoA�,移動(dòng)節(jié)點(diǎn)可以利用這個(gè)CoA向FA發(fā)送移動(dòng)IP注冊(cè)請(qǐng)求。MN-AAA擴(kuò)展是移動(dòng)節(jié)點(diǎn)根據(jù)路由通告消息中的Challenge和移動(dòng)節(jié)點(diǎn)與歸屬網(wǎng)絡(luò)間的移動(dòng)安全聯(lián)盟計(jì)算的����。
當(dāng)上述過(guò)程中的移動(dòng)節(jié)點(diǎn)不具備移動(dòng)IP能力時(shí),通常網(wǎng)絡(luò)側(cè)的網(wǎng)絡(luò)節(jié)點(diǎn)可以使用代理移動(dòng)IP�����,作為移動(dòng)節(jié)點(diǎn)的代理移動(dòng)IP客戶(hù)端���,代替移動(dòng)節(jié)點(diǎn)進(jìn)行移動(dòng)IP的注冊(cè)綁定�����,從而使得不具備移動(dòng)IP能力的移動(dòng)節(jié)點(diǎn)可以在接入網(wǎng)絡(luò)變化的時(shí)候?qū)ν獗3忠粋€(gè)不變的歸屬地址�,從而保證業(yè)務(wù)的連續(xù)性��。其系統(tǒng)框圖如圖3所示圖3中的移動(dòng)節(jié)點(diǎn)不具備移動(dòng)IP能力�。移動(dòng)節(jié)點(diǎn)與移動(dòng)IP代理節(jié)點(diǎn)間是簡(jiǎn)單IP接口。移動(dòng)IP代理節(jié)點(diǎn)是代理移動(dòng)節(jié)點(diǎn)進(jìn)行移動(dòng)IP注冊(cè)的節(jié)點(diǎn)�����。
使用代理移動(dòng)IP可以減少終端和網(wǎng)絡(luò)節(jié)點(diǎn)之間的信令交互�,但是移動(dòng)節(jié)點(diǎn)和歸屬代理之間的安全聯(lián)盟如何建立是目前的協(xié)議中所沒(méi)有的。如果不在移動(dòng)節(jié)點(diǎn)和歸屬代理之間建立安全聯(lián)盟�,則移動(dòng)IP注冊(cè)消息可能會(huì)被惡意更改,從而導(dǎo)致移動(dòng)節(jié)點(diǎn)的數(shù)據(jù)流被重定向���,用戶(hù)數(shù)據(jù)被竊取��。網(wǎng)絡(luò)中的惡意攻擊者還可以利用該缺陷進(jìn)行其他攻擊����,如DOS(Denial of service���,拒絕服務(wù)攻擊)�、DDOS(Distributed denial of service�����,分布式拒絕服務(wù)攻擊)等�。
發(fā)明內(nèi)容
本發(fā)明所要解決的技術(shù)問(wèn)題是提供一種使用代理移動(dòng)IP進(jìn)行安全注冊(cè)的方法,使不具備移動(dòng)IP的能力的移動(dòng)節(jié)點(diǎn),也能夠?qū)崿F(xiàn)一種安全的IP注冊(cè)���。
為解決上述技術(shù)問(wèn)題�,本發(fā)明提供方案如下一種使用代理移動(dòng)IP進(jìn)行安全注冊(cè)的方法�,用于不具備移動(dòng)IP能力的移動(dòng)節(jié)點(diǎn)的IP注冊(cè),包括如下步驟步驟一代理移動(dòng)IP節(jié)點(diǎn)向移動(dòng)節(jié)點(diǎn)發(fā)送至少包含一個(gè)隨機(jī)向量的鑒權(quán)請(qǐng)求消息�����;步驟二移動(dòng)節(jié)點(diǎn)根據(jù)收到的鑒權(quán)請(qǐng)求消息中所攜帶的隨機(jī)向量計(jì)算出響應(yīng)向量�,并向代理移動(dòng)IP節(jié)點(diǎn)發(fā)送至少包含所述響應(yīng)向量的鑒權(quán)響應(yīng)消息;步驟三代理移動(dòng)IP節(jié)點(diǎn)收到攜帶響應(yīng)向量的鑒權(quán)響應(yīng)消息后����,向認(rèn)證系統(tǒng)發(fā)送至少包含響應(yīng)向量的移動(dòng)節(jié)點(diǎn)請(qǐng)求消息;步驟四認(rèn)證系統(tǒng)向代理移動(dòng)IP節(jié)點(diǎn)發(fā)送至少包括移動(dòng)節(jié)點(diǎn)與歸屬代理間的移動(dòng)安全聯(lián)盟信息的認(rèn)證響應(yīng)消息����;步驟五代理移動(dòng)IP節(jié)點(diǎn)收到所述認(rèn)證響應(yīng)消息后,向移動(dòng)節(jié)點(diǎn)的歸屬代理發(fā)送移動(dòng)IP注冊(cè)請(qǐng)求消息���;步驟六歸屬代理判斷是否存在有關(guān)移動(dòng)節(jié)點(diǎn)相關(guān)的有效移動(dòng)安全聯(lián)盟信息���,如果存在,則直接執(zhí)行步驟九��;如果不存在�����,則執(zhí)行步驟七����;步驟七歸屬代理向認(rèn)證系統(tǒng)請(qǐng)求有關(guān)移動(dòng)節(jié)點(diǎn)的移動(dòng)安全聯(lián)盟信息;
步驟八認(rèn)證系統(tǒng)將有關(guān)移動(dòng)節(jié)點(diǎn)的安全聯(lián)盟信息發(fā)送至歸屬代理����;步驟九歸屬代理對(duì)移動(dòng)節(jié)點(diǎn)進(jìn)行移動(dòng)IP注冊(cè),并向代理移動(dòng)IP節(jié)點(diǎn)發(fā)送移動(dòng)IP注冊(cè)響應(yīng)消息���。
本發(fā)明所述的方法����,其中�����,所述步驟一中��,代理移動(dòng)IP節(jié)點(diǎn)向移動(dòng)節(jié)點(diǎn)的發(fā)送鑒權(quán)請(qǐng)求消息包括挑戰(zhàn)向量和認(rèn)證向量。
本發(fā)明所述的方法��,其中����,所述步驟二中,所述響應(yīng)向量是根據(jù)鑒權(quán)請(qǐng)求消息中的挑戰(zhàn)向量和移動(dòng)節(jié)點(diǎn)保存的與歸屬網(wǎng)絡(luò)間的共享密碼計(jì)算得出的�。
本發(fā)明所述的方法,其中�����,所述步驟三中��,所述代理移動(dòng)IP節(jié)點(diǎn)向認(rèn)證系統(tǒng)發(fā)送移動(dòng)節(jié)點(diǎn)請(qǐng)求消息是發(fā)送包含挑戰(zhàn)向量的移動(dòng)節(jié)點(diǎn)請(qǐng)求消息����。
本發(fā)明所述的方法,其中�����,所述步驟六�����、步驟七中,所述有關(guān)移動(dòng)節(jié)點(diǎn)相關(guān)的移動(dòng)安全聯(lián)盟信息是移動(dòng)節(jié)點(diǎn)與歸屬代理間的移動(dòng)安全聯(lián)盟信息��。
本發(fā)明所述的方法��,其中��,所述步驟五中����,移動(dòng)IP注冊(cè)消息包括使用移動(dòng)節(jié)點(diǎn)與歸屬代理間的移動(dòng)安全聯(lián)盟信息計(jì)算的認(rèn)證擴(kuò)展���。
本發(fā)明所述的方法��,其中��,所述步驟九歸屬代理對(duì)移動(dòng)節(jié)點(diǎn)進(jìn)行移動(dòng)IP注冊(cè)前����,先根據(jù)從認(rèn)證系統(tǒng)獲得或歸屬代理本地保存的有關(guān)移動(dòng)節(jié)點(diǎn)的移動(dòng)安全聯(lián)盟信息�,對(duì)步驟五中的移動(dòng)IP注冊(cè)請(qǐng)求消息進(jìn)行認(rèn)證。
本發(fā)明所述的方法�,其中,所述歸屬代理對(duì)移動(dòng)節(jié)點(diǎn)進(jìn)行移動(dòng)IP注冊(cè)���,是為移動(dòng)節(jié)點(diǎn)分配歸屬I(mǎi)P地址����,并將移動(dòng)節(jié)點(diǎn)的歸屬I(mǎi)P地址與關(guān)注IP地址綁定。
本發(fā)明所述的方法��,其中�����,所述移動(dòng)安全聯(lián)盟信息至少包括兩個(gè)安全實(shí)體間的一個(gè)會(huì)話(huà)密鑰���。
本發(fā)明所述的方法���,通過(guò)將移動(dòng)節(jié)點(diǎn)與歸屬代理間的移動(dòng)安全聯(lián)盟發(fā)送給移動(dòng)IP代理節(jié)點(diǎn),從而移動(dòng)IP代理節(jié)點(diǎn)可以代理移動(dòng)節(jié)點(diǎn)進(jìn)行安全的移動(dòng)IP注冊(cè)�����,實(shí)現(xiàn)了不具備移動(dòng)IP的能力的移動(dòng)節(jié)點(diǎn)的安全可靠的IP注冊(cè)�����;并且沒(méi)有破壞移動(dòng)IP所要求的安全性��,不影響標(biāo)準(zhǔn)移動(dòng)IP協(xié)議。
本發(fā)明所要解決的技術(shù)問(wèn)題�、技術(shù)方案要點(diǎn)及有益效果,將結(jié)合實(shí)施例�,參照附圖作進(jìn)一步的說(shuō)明。
圖1為現(xiàn)有RFC4004協(xié)議定義的系統(tǒng)結(jié)構(gòu)示意圖��;圖2為具備移動(dòng)IP能力的移動(dòng)節(jié)點(diǎn)的移動(dòng)IP注冊(cè)示意圖���;圖3為不具備移動(dòng)IP能力的移動(dòng)節(jié)點(diǎn)使用代理移動(dòng)IP節(jié)點(diǎn)的系統(tǒng)結(jié)構(gòu)示意圖;圖4為本發(fā)明實(shí)施例所述系統(tǒng)的結(jié)構(gòu)示意圖�;圖5為本發(fā)明實(shí)施例所述方法的流程圖。
具體實(shí)施例方式
本發(fā)明所述方法��,在對(duì)移動(dòng)節(jié)點(diǎn)鑒權(quán)時(shí)�����,通過(guò)采用將移動(dòng)節(jié)點(diǎn)的移動(dòng)IP相關(guān)移動(dòng)安全聯(lián)盟發(fā)給移動(dòng)IP代理節(jié)點(diǎn)的方法����,來(lái)實(shí)現(xiàn)不具備移動(dòng)IP能力的移動(dòng)節(jié)點(diǎn)的安全可靠的IP注冊(cè)的。
本發(fā)明所述的使用代理移動(dòng)IP進(jìn)行安全注冊(cè)的方法�,用于不具備移動(dòng)IP能力的移動(dòng)節(jié)點(diǎn)的IP注冊(cè),首先��,代理移動(dòng)IP節(jié)點(diǎn)向移動(dòng)節(jié)點(diǎn)發(fā)送至少包含一個(gè)隨機(jī)向量的鑒權(quán)請(qǐng)求消息,如可以包括挑戰(zhàn)向量和認(rèn)證向量����;然后,移動(dòng)節(jié)點(diǎn)根據(jù)收到的鑒權(quán)請(qǐng)求消息中所攜帶的挑戰(zhàn)向量計(jì)算出響應(yīng)向量��,并向代理移動(dòng)IP節(jié)點(diǎn)發(fā)送至少包含所述響應(yīng)向量的鑒權(quán)響應(yīng)消息�,這里,響應(yīng)向量是根據(jù)鑒權(quán)請(qǐng)求消息中的挑戰(zhàn)向量和移動(dòng)節(jié)點(diǎn)保存的與歸屬網(wǎng)絡(luò)間的共享密碼計(jì)算得出的����;代理移動(dòng)IP節(jié)點(diǎn)收到攜帶響應(yīng)向量的鑒權(quán)響應(yīng)消息后,向認(rèn)證系統(tǒng)發(fā)送至少包含響應(yīng)向量的移動(dòng)節(jié)點(diǎn)請(qǐng)求消息����,這里發(fā)送的移動(dòng)節(jié)點(diǎn)請(qǐng)求消息包含挑戰(zhàn)向量;然后���,認(rèn)證系統(tǒng)向移動(dòng)IP節(jié)點(diǎn)發(fā)送至少包括移動(dòng)節(jié)點(diǎn)與歸屬代理間的移動(dòng)安全聯(lián)盟信息的認(rèn)證響應(yīng)消息�����;代理移動(dòng)IP節(jié)點(diǎn)收到所述認(rèn)證響應(yīng)消息后����,向移動(dòng)節(jié)點(diǎn)的歸屬代理發(fā)送移動(dòng)IP注冊(cè)請(qǐng)求消息;然后�,歸屬代理判斷是否存在有關(guān)移動(dòng)節(jié)點(diǎn)相關(guān)的有效移動(dòng)安全聯(lián)盟信息,如果存在����,則歸屬代理根據(jù)有關(guān)該移動(dòng)節(jié)點(diǎn)的該移動(dòng)安全聯(lián)盟信息,對(duì)移動(dòng)IP注冊(cè)請(qǐng)求消息進(jìn)行認(rèn)證�����,認(rèn)證成功后��,歸屬代理對(duì)移動(dòng)節(jié)點(diǎn)進(jìn)行移動(dòng)IP注冊(cè)����,并向代理移動(dòng)IP節(jié)點(diǎn)發(fā)送移動(dòng)IP注冊(cè)響應(yīng)消息�。如果不存在,則歸屬代理先向認(rèn)證系統(tǒng)請(qǐng)求有關(guān)移動(dòng)節(jié)點(diǎn)的移動(dòng)安全聯(lián)盟信息���;然后���,認(rèn)證系統(tǒng)將有關(guān)移動(dòng)節(jié)點(diǎn)的安全聯(lián)盟信息發(fā)送至歸屬代理;最后,歸屬代理根據(jù)從認(rèn)證系統(tǒng)獲得的有關(guān)移動(dòng)節(jié)點(diǎn)的移動(dòng)安全聯(lián)盟信息���,對(duì)移動(dòng)IP注冊(cè)請(qǐng)求消息進(jìn)行認(rèn)證����,認(rèn)證成功后�,歸屬代理對(duì)移動(dòng)節(jié)點(diǎn)進(jìn)行移動(dòng)IP注冊(cè),并向代理移動(dòng)IP節(jié)點(diǎn)發(fā)送移動(dòng)IP注冊(cè)響應(yīng)消息����。這里,所述有關(guān)移動(dòng)節(jié)點(diǎn)相關(guān)的移動(dòng)安全聯(lián)盟信息至少包括移動(dòng)節(jié)點(diǎn)與歸屬代理間的移動(dòng)安全聯(lián)盟信息���。
本發(fā)明所述實(shí)施例的系統(tǒng)框圖如圖4所示�����,該系統(tǒng)至少包括用戶(hù)設(shè)備(或者用戶(hù)終端)��,演進(jìn)的無(wú)線(xiàn)接入網(wǎng)��,MME/UPE�����,Inter-AS anchor和認(rèn)證系統(tǒng)�,各網(wǎng)元的主要功能如下所示MME控制面功能實(shí)體,負(fù)責(zé)管理和存儲(chǔ)UE上下文(比如UE/用戶(hù)標(biāo)識(shí)����,移動(dòng)性管理狀態(tài),用戶(hù)安全參數(shù)等)�����,產(chǎn)生臨時(shí)標(biāo)識(shí)并將其分配給UE�����,當(dāng)UE駐扎在該跟蹤區(qū)域或者該網(wǎng)絡(luò)是負(fù)責(zé)對(duì)該用戶(hù)進(jìn)行鑒權(quán)�。
UPE用戶(hù)面功能實(shí)體,用戶(hù)面數(shù)據(jù)路由處理�����,終結(jié)處于閑置狀態(tài)的UE的下行數(shù)據(jù)�����,當(dāng)發(fā)往UE的下行數(shù)據(jù)到達(dá)時(shí)�����,發(fā)起尋呼��。管理和存儲(chǔ)UE的上下文�����,該上下文包括比如IP承載業(yè)務(wù)或者網(wǎng)絡(luò)內(nèi)部路由信息的參數(shù)等��。
Inter-AS anchor多種接入系統(tǒng)間的移動(dòng)性管理錨點(diǎn)����,該錨點(diǎn)是支持3GPP內(nèi)部以及3GPP和非3GPP定義的多種接入系統(tǒng)間的移動(dòng)性的用戶(hù)面錨點(diǎn)功能實(shí)體。本方案中Inter-AS anchor包含HA(歸屬代理)的功能HSS/AAA server歸屬簽約用戶(hù)服務(wù)器/鑒權(quán)授權(quán)計(jì)費(fèi)服務(wù)器�����,構(gòu)成本系統(tǒng)中的認(rèn)證系統(tǒng)���,當(dāng)用戶(hù)設(shè)備處在歸屬網(wǎng)絡(luò)時(shí)�,認(rèn)證系統(tǒng)中只包括歸屬簽約用戶(hù)服務(wù)器����,當(dāng)用戶(hù)設(shè)備處在拜訪網(wǎng)絡(luò)時(shí)�����,認(rèn)證系統(tǒng)包括歸屬簽約用戶(hù)服務(wù)器和鑒權(quán)授權(quán)計(jì)費(fèi)服務(wù)器���。
數(shù)據(jù)網(wǎng)絡(luò)移動(dòng)節(jié)點(diǎn)可能訪問(wèn)的外部網(wǎng)絡(luò)。
上述系統(tǒng)中����,用戶(hù)設(shè)備UE相當(dāng)于不具備移動(dòng)IP能力的移動(dòng)節(jié)點(diǎn);移動(dòng)性管理節(jié)點(diǎn)MME/用戶(hù)面節(jié)點(diǎn)UPE相當(dāng)于代理移動(dòng)IP節(jié)點(diǎn)���;歸屬地用戶(hù)服務(wù)器HSS/拜訪地AAA服務(wù)器相當(dāng)于認(rèn)證系統(tǒng)����;跨接入系統(tǒng)錨點(diǎn)Inter-ASanchor相當(dāng)于歸屬代理��,由移動(dòng)性管理節(jié)點(diǎn)MME/用戶(hù)面節(jié)點(diǎn)UPE代替用戶(hù)設(shè)備UE進(jìn)行安全的移動(dòng)IP注冊(cè)的過(guò)程如圖5所示步驟501移動(dòng)性管理節(jié)點(diǎn)MME/用戶(hù)面節(jié)點(diǎn)UPE收到用戶(hù)設(shè)備UE的附著請(qǐng)求后向用戶(hù)設(shè)備UE發(fā)送認(rèn)證請(qǐng)求消息�����,消息中帶有挑戰(zhàn)向量Challenge和認(rèn)證向量AUTH�����。挑戰(zhàn)向量Challenge被UE用來(lái)計(jì)算認(rèn)證響應(yīng)MN-AAA����。AUTH被用戶(hù)設(shè)備UE用來(lái)認(rèn)證移動(dòng)性管理節(jié)點(diǎn)MME/用戶(hù)面節(jié)點(diǎn)UPE。這里�����,該步驟也可以是通過(guò)用戶(hù)設(shè)備在找到移動(dòng)網(wǎng)絡(luò)后向移動(dòng)性管理節(jié)點(diǎn)MME/用戶(hù)面節(jié)點(diǎn)UPE發(fā)送附著請(qǐng)求觸發(fā)MME/UPE發(fā)送認(rèn)證請(qǐng)求消息步驟502若用戶(hù)設(shè)備UE認(rèn)證移動(dòng)性管理節(jié)點(diǎn)MME/用戶(hù)面節(jié)點(diǎn)UPE成功���,UE使用步驟501所述消息中的Challenge和移動(dòng)設(shè)備UE保存的與歸屬網(wǎng)絡(luò)間的共享密碼計(jì)算認(rèn)證響應(yīng)MN-AAA��。移動(dòng)設(shè)備UE將認(rèn)證響應(yīng)消息(包含MN-AAA)發(fā)送給移動(dòng)性管理節(jié)點(diǎn)MME/用戶(hù)面節(jié)點(diǎn)UPE���。
步驟503移動(dòng)性管理節(jié)點(diǎn)MME/用戶(hù)面節(jié)點(diǎn)UPE到歸屬地用戶(hù)服務(wù)器/拜訪地AAA服務(wù)器認(rèn)證用戶(hù)設(shè)備UE。歸屬地用戶(hù)服務(wù)器/拜訪地AAA服務(wù)器包括FAAA�����、AAA等�����。該消息中帶有步驟501中所述的挑戰(zhàn)向量Challenge和步驟502中所述的認(rèn)證響應(yīng)����。
步驟504歸屬地用戶(hù)服務(wù)器/拜訪地AAA服務(wù)器對(duì)用戶(hù)設(shè)備UE進(jìn)行認(rèn)證�,并且計(jì)算用戶(hù)設(shè)備相關(guān)的移動(dòng)安全聯(lián)盟�。所述移動(dòng)安全聯(lián)盟至少包括兩個(gè)實(shí)體間的一個(gè)會(huì)話(huà)密鑰。歸屬地用戶(hù)服務(wù)器/拜訪地AAA服務(wù)器還可能為用戶(hù)設(shè)備UE選擇跨接入系統(tǒng)錨點(diǎn)Inter AS Anchor���?���?缃尤胂到y(tǒng)錨點(diǎn)InterAS Anchor可能位于家鄉(xiāng)網(wǎng)絡(luò)中�,也可能位于拜訪網(wǎng)絡(luò)中。歸屬地用戶(hù)服務(wù)器/拜訪地AAA服務(wù)器計(jì)算代理移動(dòng)IP所需要的各移動(dòng)安全聯(lián)盟MSA�����。
步驟505歸屬地用戶(hù)服務(wù)器/拜訪地AAA服務(wù)器向移動(dòng)性管理節(jié)點(diǎn)MME/用戶(hù)面節(jié)點(diǎn)UPE發(fā)送AAA移動(dòng)節(jié)點(diǎn)響應(yīng)�。該消息中包括用戶(hù)設(shè)備UE與跨接入系統(tǒng)錨點(diǎn)(歸屬代理)間的安全聯(lián)盟。
步驟506移動(dòng)性管理節(jié)點(diǎn)MME/用戶(hù)面節(jié)點(diǎn)UPE向跨接入系統(tǒng)錨點(diǎn)發(fā)送移動(dòng)IP注冊(cè)消息���,移動(dòng)IP注冊(cè)消息包括使用移動(dòng)節(jié)點(diǎn)與歸屬代理間的移動(dòng)安全聯(lián)盟信息計(jì)算的認(rèn)證擴(kuò)展���。
步驟507若跨接入系統(tǒng)錨點(diǎn)中無(wú)用戶(hù)設(shè)備相關(guān)的安全聯(lián)盟、或者安全聯(lián)盟失效,跨接入系統(tǒng)錨點(diǎn)向歸屬地用戶(hù)服務(wù)器/拜訪地AAA服務(wù)器發(fā)送認(rèn)證請(qǐng)求�。
步驟508用戶(hù)服務(wù)器/拜訪地AAA服務(wù)器將用戶(hù)設(shè)備UE相關(guān)的安全聯(lián)盟發(fā)送給跨接入系統(tǒng)錨點(diǎn)�����,向跨接入系統(tǒng)錨點(diǎn)發(fā)送認(rèn)證響應(yīng)�。用戶(hù)服務(wù)器/拜訪地AAA服務(wù)器還可能將用戶(hù)設(shè)備的歸屬I(mǎi)P地址的分配原則發(fā)送給跨系統(tǒng)接入錨點(diǎn)。
步驟509跨接入系統(tǒng)錨點(diǎn)處理移動(dòng)IP注冊(cè)消息����,為用戶(hù)設(shè)備UE分配歸屬I(mǎi)P地址(Home Address,HoA)��。將用戶(hù)設(shè)備的歸屬I(mǎi)P地址與關(guān)注IP地址(Care of address��,CoA)進(jìn)行綁定�。
步驟510跨接入系統(tǒng)錨點(diǎn)給移動(dòng)性管理節(jié)點(diǎn)MME/用戶(hù)面節(jié)點(diǎn)UPE發(fā)送移動(dòng)IP注冊(cè)響應(yīng)消息。此時(shí)�����,移動(dòng)IP注冊(cè)成功����。
本發(fā)明所述的一種使用代理移動(dòng)IP進(jìn)行安全注冊(cè)的方法,并不僅僅限于說(shuō)明書(shū)和實(shí)施方式中所列運(yùn)用���,它完全可以被適用于各種適合本發(fā)明之領(lǐng)域��,對(duì)于熟悉本領(lǐng)域的人員而言可容易地實(shí)現(xiàn)另外的優(yōu)點(diǎn)和進(jìn)行修改���,因此在不背離權(quán)利要求及等同范圍所限定的一般概念的精神和范圍的情況下�,本發(fā)明并不限于特定的細(xì)節(jié)��、代表性的設(shè)備和這里示出與描述的圖示示例���。
權(quán)利要求
1.一種使用代理移動(dòng)IP進(jìn)行安全注冊(cè)的方法�����,用于不具備移動(dòng)IP能力的移動(dòng)節(jié)點(diǎn)的IP注冊(cè)���,其特征在于包括如下步驟步驟一代理移動(dòng)IP節(jié)點(diǎn)向移動(dòng)節(jié)點(diǎn)發(fā)送至少包含一個(gè)隨機(jī)向量的鑒權(quán)請(qǐng)求消息;步驟二移動(dòng)節(jié)點(diǎn)根據(jù)收到的鑒權(quán)請(qǐng)求消息中所攜帶的隨機(jī)向量計(jì)算出響應(yīng)向量��,并向代理移動(dòng)IP節(jié)點(diǎn)發(fā)送至少包含所述響應(yīng)向量的鑒權(quán)響應(yīng)消息����;步驟三代理移動(dòng)IP節(jié)點(diǎn)收到攜帶響應(yīng)向量的鑒權(quán)響應(yīng)消息后,向認(rèn)證系統(tǒng)發(fā)送至少包含響應(yīng)向量的移動(dòng)節(jié)點(diǎn)請(qǐng)求消息;步驟四認(rèn)證系統(tǒng)向代理移動(dòng)IP節(jié)點(diǎn)發(fā)送至少包括移動(dòng)節(jié)點(diǎn)與歸屬代理間的移動(dòng)安全聯(lián)盟信息的認(rèn)證響應(yīng)消息��;步驟五代理移動(dòng)IP節(jié)點(diǎn)收到所述認(rèn)證響應(yīng)消息后���,向移動(dòng)節(jié)點(diǎn)的歸屬代理發(fā)送移動(dòng)IP注冊(cè)請(qǐng)求消息��;步驟六歸屬代理判斷是否存在有關(guān)移動(dòng)節(jié)點(diǎn)相關(guān)的有效移動(dòng)安全聯(lián)盟信息,如果存在���,則直接執(zhí)行步驟九��;如果不存在���,則執(zhí)行步驟七;步驟七歸屬代理向認(rèn)證系統(tǒng)請(qǐng)求有關(guān)移動(dòng)節(jié)點(diǎn)的移動(dòng)安全聯(lián)盟信息��;步驟八認(rèn)證系統(tǒng)將有關(guān)移動(dòng)節(jié)點(diǎn)的安全聯(lián)盟信息發(fā)送至歸屬代理����;步驟九歸屬代理對(duì)移動(dòng)節(jié)點(diǎn)進(jìn)行移動(dòng)IP注冊(cè),并向代理移動(dòng)IP節(jié)點(diǎn)發(fā)送移動(dòng)IP注冊(cè)響應(yīng)消息����。
2.根據(jù)權(quán)利要求1所述的方法,其特征在于所述步驟一中,代理移動(dòng)IP節(jié)點(diǎn)向移動(dòng)節(jié)點(diǎn)的發(fā)送鑒權(quán)請(qǐng)求消息包括挑戰(zhàn)向量和認(rèn)證向量�����。
3.根據(jù)權(quán)利要求2所述的方法�����,其特征在于所述步驟二中��,所述響應(yīng)向量是根據(jù)鑒權(quán)請(qǐng)求消息中的挑戰(zhàn)向量和移動(dòng)節(jié)點(diǎn)保存的與歸屬網(wǎng)絡(luò)間的共享密碼計(jì)算得出的�����。
4.根據(jù)權(quán)利要求2所述的方法���,其特征在于所述步驟三中���,所述代理移動(dòng)IP節(jié)點(diǎn)向認(rèn)證系統(tǒng)發(fā)送移動(dòng)節(jié)點(diǎn)請(qǐng)求消息是發(fā)送包含挑戰(zhàn)向量的移動(dòng)節(jié)點(diǎn)請(qǐng)求消息。
5.根據(jù)權(quán)利要求1所述的方法�,其特征在于所述步驟六、步驟七中�,所述有關(guān)移動(dòng)節(jié)點(diǎn)相關(guān)的移動(dòng)安全聯(lián)盟信息是移動(dòng)節(jié)點(diǎn)與歸屬代理間的移動(dòng)安全聯(lián)盟信息。
6.根據(jù)權(quán)利要求1所述的方法��,其特征在于所述步驟五中,移動(dòng)IP注冊(cè)消息包括使用移動(dòng)節(jié)點(diǎn)與歸屬代理間的移動(dòng)安全聯(lián)盟信息計(jì)算的認(rèn)證擴(kuò)展����。
7.根據(jù)權(quán)利要求1所述的方法,其特征在于所述步驟九歸屬代理對(duì)移動(dòng)節(jié)點(diǎn)進(jìn)行移動(dòng)IP注冊(cè)前���,先根據(jù)從認(rèn)證系統(tǒng)獲得或歸屬代理本地保存的有關(guān)移動(dòng)節(jié)點(diǎn)的移動(dòng)安全聯(lián)盟信息��,對(duì)步驟五中的移動(dòng)IP注冊(cè)請(qǐng)求消息進(jìn)行認(rèn)證��。
8.根據(jù)權(quán)利要求1所述的方法,其特征在于所述歸屬代理對(duì)移動(dòng)節(jié)點(diǎn)進(jìn)行移動(dòng)IP注冊(cè)����,是為移動(dòng)節(jié)點(diǎn)分配歸屬I(mǎi)P地址,并將移動(dòng)節(jié)點(diǎn)的歸屬I(mǎi)P地址與關(guān)注IP地址綁定����。
9.根據(jù)權(quán)利要求1所述的方法,其特征在于所述移動(dòng)安全聯(lián)盟信息至少包括兩個(gè)安全實(shí)體間的一個(gè)會(huì)話(huà)密鑰��。
全文摘要
本發(fā)明涉及基于代理移動(dòng)IP的通信技術(shù)����,并公開(kāi)了一種使用代理移動(dòng)IP進(jìn)行安全注冊(cè)的方法�,在對(duì)移動(dòng)節(jié)點(diǎn)鑒權(quán)時(shí)通過(guò)采取將移動(dòng)節(jié)點(diǎn)的移動(dòng)IP相關(guān)移動(dòng)安全聯(lián)盟發(fā)給移動(dòng)IP代理節(jié)點(diǎn)的方法�,來(lái)實(shí)現(xiàn)不具備移動(dòng)IP能力的移動(dòng)節(jié)點(diǎn)的安全可靠的IP注冊(cè)的。本發(fā)明所述方法可支持代理移動(dòng)IPv4�,也可以支持代理移動(dòng)Ipv6。
文檔編號(hào)H04Q7/38GK101056307SQ20061007285
公開(kāi)日2007年10月17日 申請(qǐng)日期2006年4月11日 優(yōu)先權(quán)日2006年4月11日
發(fā)明者宗在峰, 朱文若 申請(qǐng)人:中興通訊股份有限公司