專利名稱:移動密鑰的生成和分發(fā)方法
技術(shù)領(lǐng)域:
本發(fā)明涉及通信領(lǐng)域��,尤其涉及一種移動密鑰的生成和分發(fā)方法��。
背景技術(shù):
BWA(Broadband wireless access����,寬帶無線接入)設(shè)備可以為用戶提供方便的寬帶接入方式。目前有基于私有協(xié)議的寬帶無線接入設(shè)備�����,也有基于標(biāo)準(zhǔn)協(xié)議的寬帶無線接入設(shè)備�。IEEE(電子電氣工程師協(xié)會)802.16標(biāo)準(zhǔn)定義的寬帶無線接入設(shè)備,是寬帶無線接入技術(shù)的系列標(biāo)準(zhǔn)的一個(gè)子集�����。BWA設(shè)備中包括WIMAX(全球互動微波接入)設(shè)備�。
IEEE(電子電氣工程師協(xié)會)802.16為第一個(gè)寬帶無線接入標(biāo)準(zhǔn)����,主要有兩個(gè)版本802.16標(biāo)準(zhǔn)的寬帶固定無線接入版本“802.16-2004”和802.16標(biāo)準(zhǔn)的寬帶移動無線接入版本“802.16e”。802.16-2004僅定義了兩種網(wǎng)元����,BS(基站)和SS(用戶站);802.16e也僅定義了兩種網(wǎng)元����,BS和MS(移動站)��。
目前�,MMR(802.16 Mobile Multihop Relay SG����,802.16移動多跳中轉(zhuǎn)研究組)提出了RS(WiMAX中轉(zhuǎn)站)的概念,RS的一個(gè)重要的作用是作為BS與SS/MS間的中轉(zhuǎn)��,增加用戶站的吞吐量和傳輸?shù)目煽啃?���。IEEE 802.16僅定義了PHY(物理層)和MAC(數(shù)據(jù)鏈路層),RS尚不支持網(wǎng)關(guān)功能�����。WiMAX(微波接入全球互聯(lián))論壇則在IEEE 802.16e的基礎(chǔ)上����,定義了WiMAX網(wǎng)絡(luò)架構(gòu)。
WiMAX論壇定義的基于G-RS(網(wǎng)關(guān)中轉(zhuǎn)站)/G-MS(網(wǎng)關(guān)移動站)的Multiple Hosts(多主機(jī))架構(gòu)如圖1所示�。G-RS/G-MS提供Multiple Hosts支持,通過第一接口連接到多個(gè)G-Host�,通過第二接口連接到ASN(接入服務(wù)網(wǎng)絡(luò))。其中�,第一接口為G-interface接口���,G-interface采用802.3、802.16或802.11傳送技術(shù)���;第二接口為R1接口�����,R1采用802.16e無線傳送技術(shù)�。ASN和CSN(連接服務(wù)網(wǎng)絡(luò))間通過R3參考點(diǎn)連接����,NAP+V-NSP(網(wǎng)絡(luò)接入提供商和拜訪地網(wǎng)絡(luò)服務(wù)提供商)的CSN與H-NSP(歸屬地網(wǎng)絡(luò)服務(wù)提供商)的CSN間通過R5參考點(diǎn)連接���。G-RS為在RS的基礎(chǔ)上增加網(wǎng)關(guān)功能���。
上述G-RS/G-MS也可以通過二層的網(wǎng)橋移動站或網(wǎng)橋中轉(zhuǎn)站來代替。
目前�,基于G-RS/G-MS的Multiple Hosts技術(shù)尚處于標(biāo)準(zhǔn)化初期,IEEE802.16和WiMAX論壇尚未制訂基于G-RS/G-MS的Multiple Hosts移動密鑰的分發(fā)機(jī)制和方法�����。
發(fā)明內(nèi)容
鑒于上述現(xiàn)有技術(shù)所存在的問題,本發(fā)明的目的是提供一種移動密鑰的生成和分發(fā)方法����,從而可以實(shí)現(xiàn)基于G-RS/G-MS的Multiple Hosts移動密鑰的生成和分發(fā)。
本發(fā)明的目的是通過以下技術(shù)方案實(shí)現(xiàn)的一種移動密鑰生成和分發(fā)方法�����,包括A����、在寬帶無線接入BWA系統(tǒng)的多主機(jī)架構(gòu)中的移動網(wǎng)關(guān)或移動網(wǎng)橋所轄的主機(jī)設(shè)備上保存安全資料;B���、利用認(rèn)證服務(wù)器根據(jù)所述安全資料生成移動密鑰�����,將該移動密鑰分發(fā)給移動設(shè)備�����。
所述的BWA系統(tǒng)包括全球互動微波接入WIMAX系統(tǒng)����,其特征在于,所述WIMAX系統(tǒng)包括網(wǎng)關(guān)主機(jī)設(shè)備��、移動網(wǎng)關(guān)或移動網(wǎng)橋�,以及相互連接的接入服務(wù)網(wǎng)絡(luò)ASN和連接服務(wù)網(wǎng)絡(luò)CSN,移動網(wǎng)關(guān)或移動網(wǎng)橋���,通過第一接口與每一網(wǎng)關(guān)主機(jī)相連����,通過第二接口與ASN相連����。
所述的移動網(wǎng)關(guān)包括網(wǎng)關(guān)移動站G-MS或網(wǎng)關(guān)中轉(zhuǎn)站G-RS,所述的移動網(wǎng)橋包括網(wǎng)橋移動站或網(wǎng)橋中轉(zhuǎn)站��。
所述的步驟A還包括在所述多主機(jī)架構(gòu)中的移動網(wǎng)關(guān)或移動網(wǎng)橋所轄的主機(jī)設(shè)備上保存安全資料和認(rèn)證模式����。
所述的安全資料包括用戶根密鑰RK���、設(shè)備證書和/或設(shè)備預(yù)共享密鑰PSK���;所述的主機(jī)設(shè)備認(rèn)證模式包括用戶認(rèn)證和設(shè)備認(rèn)證。
所述的用戶RK用于主機(jī)設(shè)備的用戶認(rèn)證��,保存在主機(jī)設(shè)備的用戶和歸屬地認(rèn)證��、授權(quán)����、計(jì)費(fèi)服務(wù)器HAAA上;所述的設(shè)備證書用于主機(jī)設(shè)備的設(shè)備認(rèn)證��,保存在主機(jī)設(shè)備上�;所述的設(shè)備PSK用于主機(jī)設(shè)備的設(shè)備認(rèn)證,每個(gè)設(shè)備認(rèn)證域配置一個(gè)PSK�����,或者多個(gè)設(shè)備認(rèn)證域共享一個(gè)PSK����;在可擴(kuò)展認(rèn)證協(xié)議EAP認(rèn)證過程中����,PSK通過網(wǎng)絡(luò)接入標(biāo)識NAI進(jìn)行索引,NAI包含設(shè)備媒體接入控制MAC地址或一個(gè)專門用于定位PSK的偽用戶標(biāo)識。
所述的步驟B具體包括B1���、利用EAP認(rèn)證服務(wù)器根據(jù)所述安全資料和認(rèn)證模式生成擴(kuò)展主連接密鑰EMSK;B2�����、根據(jù)所述EMSK生成移動IP根密鑰MIP-RK�����,根據(jù)該MIP-RK生成各種移動IP密鑰����,將生成的移動IP密鑰分發(fā)給各種移動設(shè)備����。
所述的步驟B1具體包括將EAP認(rèn)證服務(wù)器置于歸屬地連接服務(wù)網(wǎng)絡(luò)HCSN,利用EAP認(rèn)證服務(wù)器進(jìn)行主機(jī)設(shè)備的EAP用戶認(rèn)證����,在主機(jī)設(shè)備的用戶和EAP認(rèn)證服務(wù)器生成EMSK����;
和/或���,將EAP認(rèn)證服務(wù)器置于HCSN�,利用EAP認(rèn)證服務(wù)器進(jìn)行主機(jī)設(shè)備的EAP設(shè)備認(rèn)證,在主機(jī)設(shè)備的用戶和EAP認(rèn)證服務(wù)器生成EMSK����;和/或,將EAP用戶認(rèn)證服務(wù)器置于HCSN�����,將EAP設(shè)備認(rèn)證服務(wù)器置于網(wǎng)絡(luò)接入服務(wù)器NAS或AAA代理����,NAS位于G-MS或G-RS或接入服務(wù)網(wǎng)絡(luò)ASN,AAA代理位于ASN或拜訪地連接服務(wù)網(wǎng)絡(luò)VCSN�����;利用EAP設(shè)備認(rèn)證服務(wù)器進(jìn)行主機(jī)設(shè)備的EAP設(shè)備認(rèn)證生成EMSK���,該EMSK不被使用;利用EAP用戶認(rèn)證服務(wù)器進(jìn)行主機(jī)設(shè)備的EAP用戶認(rèn)證���,在主機(jī)設(shè)備的用戶和EAP用戶認(rèn)證服務(wù)器生成EMSK�����,將該EMSK置于EAP對等方和HCSN�����;和/或,將EAP認(rèn)證服務(wù)器置于HCSN�;利用EAP認(rèn)證服務(wù)器進(jìn)行主機(jī)設(shè)備的EAP設(shè)備和用戶的單次聯(lián)合認(rèn)證,在主機(jī)設(shè)備的用戶和EAP認(rèn)證服務(wù)器生成EMSK�����,EAP方法終結(jié)于HCSN�����;和/或��,將EAP用戶認(rèn)證服務(wù)器置于HCSN�,將EAP設(shè)備認(rèn)證服務(wù)器置于網(wǎng)絡(luò)接入服務(wù)器NAS�,NAS位于G-MS或G-RS���;利用EAP設(shè)備認(rèn)證服務(wù)器進(jìn)行主機(jī)設(shè)備的公鑰算法RSA設(shè)備認(rèn)證;利用EAP用戶認(rèn)證服務(wù)器進(jìn)行主機(jī)設(shè)備的EAP用戶認(rèn)證����,在主機(jī)設(shè)備的用戶和EAP用戶認(rèn)證服務(wù)器生成EMSK,將該EMSK置于EAP對等方和HCSN�����。
所述的步驟B2具體包括B21�、將EAP認(rèn)證服務(wù)器置于HAAA,將EAP對等方置于主機(jī)設(shè)備�,當(dāng)EAP方法終結(jié)于HCSN時(shí),根據(jù)所述EMSK由EAP認(rèn)證服務(wù)器和EAP對等方在主機(jī)設(shè)備的用戶和HCSN的AAA服務(wù)器生成MIP-RK密鑰�;B22、根據(jù)所述MIP-RK密鑰生成客戶移動IPv4 CMIPv4密鑰和/或代理移動IPv4 PMIPv4密鑰和/或客戶移動IPv6 CMIPv6密鑰和/或代理移動IPv6PMIPv6密鑰���,并將生成的移動IP密鑰分布于各種移動設(shè)備�����。
所述的步驟B21具體包括所述MIP-RK密鑰存于密鑰持有者/生成者�����,不傳播出密鑰持有者/生成者�����。在HAAA�,每個(gè)用戶連接都和唯一的一個(gè)MIP-RK密鑰對應(yīng)����。
所述的步驟B22具體包括B221、HAAA密鑰持有者/產(chǎn)生者根據(jù)所述MIP-RK密鑰生成用于PMIPv6客戶和家鄉(xiāng)代理HA間的移動密鑰MN-HA-MIPv6���;HAAA通過歸屬地認(rèn)證��、授權(quán)�、計(jì)費(fèi)服務(wù)器AAA協(xié)議將所述MN-HA-MIPv6移動密鑰發(fā)送到NAS���,并存在NAS的密鑰持有者/產(chǎn)生者����;所述NAS位于網(wǎng)關(guān)中轉(zhuǎn)站或ASN�;B222�、當(dāng)PMIPv6客戶發(fā)起PMIPv6流程時(shí)���,該P(yáng)MIPv6客戶從所述NAS的密鑰持有者/產(chǎn)生者中獲取所述MN-HA-MIPv6移動密鑰���;當(dāng)HA接收到注冊請求時(shí)�����,HA發(fā)起AAA協(xié)議的接入請求消息���,HAAA從所述NAS的密鑰持有者/產(chǎn)生者中獲取相應(yīng)的移動密鑰��,向HA發(fā)送攜帶移動密鑰信息的同意接入消息�����,HA從該同意接入消息中獲取所述MN-HA-MIPv6移動密鑰���。
所述的步驟B22具體包括B223、主機(jī)設(shè)備和HAAA的密鑰持有者/產(chǎn)生者根據(jù)所述MIP-RK密鑰生成用于CMIPv6客戶和HA間的移動密鑰MN-HA-MIPv6�����;B224、當(dāng)CMIPv6客戶發(fā)起CMIPv6流程時(shí)����,該CMIPv6客戶從所述主機(jī)設(shè)備的密鑰持有者/產(chǎn)生者中獲取所述MN-HA-MIPv6移動密鑰;當(dāng)HA接收到綁定更新報(bào)文�,且根據(jù)該報(bào)文查不到安全關(guān)聯(lián)時(shí),HA發(fā)起AAA協(xié)議的接入請求消息�,HAAA從所述密鑰持有者/產(chǎn)生者中獲取相應(yīng)的移動密鑰,向HA發(fā)送攜帶移動密鑰信息的同意接入消息��,HA從該同意接入消息中獲取所述MN-HA-MIPv6移動密鑰����。
所述的步驟B22具體包括B225、主機(jī)設(shè)備的密鑰持有者/產(chǎn)生者根據(jù)所述MIP-RK密鑰生成用于CMIPv4客戶和外地代理FA間的移動密鑰MN-FA-MIPv4和用于CMIPv4客戶和HA間的移動密鑰MN-HA-MIPv4�����;HAAA的密鑰持有者/產(chǎn)生者根據(jù)所述MIP-RK密鑰生成用于CMIPv4客戶和FA間的移動密鑰MN-FA-MIPv4����、用于CMIPv4客戶和HA間的移動密鑰MN-HA-MIPv4和用于FA和HA間的移動密鑰FA-HA-MIPv4;B226��、HAAA通過AAA協(xié)議將所述MN-FA-MIPv4�����、MN-HA-MIPv4和FA-HA-MIPv4密鑰發(fā)送到NAS,并存在NAS的密鑰持有者/產(chǎn)生者�;所述NAS位于G-MS或G-RS或ASN;B227��、CMIPv4客戶從所述主機(jī)設(shè)備密鑰持有者/產(chǎn)生者獲取所述MN-FA-MIPv4和MN-HA-MIPv4密鑰����;當(dāng)CMIPv4客戶發(fā)起CMIPv4流程時(shí)���,外地代理FA從所述NAS的的密鑰持有者/產(chǎn)生者中獲取所述MN-FA-MIPv4����、FA-HA-MIPv4密鑰�����;當(dāng)HA接收到注冊請求報(bào)文時(shí)��,HA發(fā)起AAA協(xié)議的接入請求消息����,HAAA從所述密鑰持有者/產(chǎn)生者中獲取相應(yīng)的移動密鑰信息�����,向HA發(fā)送攜帶移動密鑰信息的同意接入消息����,HA從該同意接入消息中獲取所述MN-HA-MIPv4��、FA-HA-MIPv4密鑰�。
所述的步驟B22具體包括B228、HAAA的密鑰持有者/產(chǎn)生者根據(jù)所述MIP-RK密鑰生成用于PMIPv4客戶和外地代理FA間的移動密鑰MN-FA-MIPv4���、用于PMIPv4客戶和HA間的移動密鑰MN-HA-MIPv4和用于FA和HA間的移動密鑰FA-HA-MIPv4�����;HAAA通過AAA協(xié)議將所述MN-FA-MIPv4����、MN-HA-MIPv4和FA-HA-MIPv4密鑰發(fā)送到NAS�,并存在NAS的密鑰持有者/產(chǎn)生者;所述NAS位于G-MS或G-RS或ASN����;
B229�����、當(dāng)PMIPv4客戶發(fā)起PMIPv4流程時(shí)��,該P(yáng)MIPv4客戶從所述NAS的的密鑰持有者/產(chǎn)生者中獲取所述MN-FA-MIPv4���、FA-HA-MIPv4密鑰;當(dāng)HA接收到注冊請求報(bào)文時(shí)�����,HA發(fā)起AAA協(xié)議的接入請求消息��,HAAA從所述密鑰持有者/產(chǎn)生者中獲取相應(yīng)的移動密鑰信息���,向HA發(fā)送攜帶移動密鑰信息的同意接入消息,HA從該同意接入消息中獲取所述MN-HA-MIPv4���、FA-HA-MIPv4密鑰�。
由上述本發(fā)明提供的技術(shù)方案可以看出��,本發(fā)明通過在G-RS/G-MS下的G-Host上保存安全資料和認(rèn)證模式,利用EAP認(rèn)證服務(wù)器通過各種認(rèn)證模式生成移動密鑰���,從而可以實(shí)現(xiàn)移動密鑰的生成和分發(fā)����,具有如下優(yōu)點(diǎn)1�����、支持基于G-RS/G-MS的Multiple Hosts���;2�����、適用于CMIPv6��、CMIPv4和PMIPv4 G-Host終端�;3���、支持RSA和EAP認(rèn)證方法�����;4����、支持五種認(rèn)證模式僅用戶認(rèn)證、僅設(shè)備認(rèn)證��、基于Double EAP的設(shè)備和用戶認(rèn)證�、基于Single EAP的設(shè)備和用戶認(rèn)證、基于RSA設(shè)備認(rèn)證和EAP用戶認(rèn)證��;5�����、支持NAS(Authenticator認(rèn)證者/AAA客戶)位于G-RS或ASN兩種情況�。
圖1為基于G-RS/G-MS的Multiple Hosts架構(gòu)圖;圖2為本發(fā)明所述方法的實(shí)施例的具體處理流程圖�;圖3為本發(fā)明所述基于G-RS/G-MS的Multihost移動密鑰樹示意圖;圖4為本發(fā)明所述PMIPv6密鑰的分發(fā)方法的原理示意圖����;圖5為本發(fā)明所述CMIPv6密鑰的分發(fā)方法的原理示意圖�����;圖6為本發(fā)明所述CMIPv4密鑰的分發(fā)方法的原理示意圖;
圖7為本發(fā)明所述PMIPv4密鑰分發(fā)方法的原理示意圖���。
具體實(shí)施例方式
本發(fā)明提供了一種移動密鑰的生成和分發(fā)方法��,本發(fā)明的核心為在G-RS/G-MS下的G-Host上保存安全資料和認(rèn)證模式��,利用EAP認(rèn)證服務(wù)器通過各種認(rèn)證模式生成移動密鑰���。
下面結(jié)合附圖來詳細(xì)描述本發(fā)明所述方法,本發(fā)明所述方法的實(shí)施例的具體處理流程如圖2所示�,包括如下步驟步驟2-1、在移動網(wǎng)關(guān)或移動網(wǎng)橋下的主機(jī)設(shè)備上保存安全資料和認(rèn)證模式��。
本發(fā)明首先需要在移動網(wǎng)關(guān)或移動網(wǎng)橋下的主機(jī)設(shè)備上保存安全資料和認(rèn)證模式�,對于WiMAX系統(tǒng),上述移動網(wǎng)關(guān)為G-RS/G-MS�����,主機(jī)設(shè)備為G-Host���;當(dāng)上述移動網(wǎng)橋?yàn)槎拥木W(wǎng)橋移動站或網(wǎng)橋中轉(zhuǎn)站時(shí)��,主機(jī)設(shè)備為網(wǎng)橋主機(jī)���。下面以WiMAX系統(tǒng)為例來說明本發(fā)明所述方法�����。
在G-RS/G-MS下的G-Host上設(shè)置安全資料���,該安全資料主要包括用戶RK(根密鑰)、設(shè)備證書和設(shè)備PSK(預(yù)共享密鑰)等��。
在G-Host上保存了安全資料后��,還需要在G-Host上設(shè)置相應(yīng)的認(rèn)證模式�,該認(rèn)證模式主要包括用戶認(rèn)證和設(shè)備認(rèn)證,其中設(shè)備認(rèn)證包括基于RSA(公鑰算法)的設(shè)備認(rèn)證和基于EAP(可擴(kuò)展認(rèn)證協(xié)議)的設(shè)備認(rèn)證�。
上述安全資料和認(rèn)證模式的相關(guān)要求如下用戶RK用于G-Host用戶認(rèn)證,當(dāng)G-Host僅做設(shè)備認(rèn)證時(shí)����,用戶RK可以不提供。用戶RK僅為G-Host用戶和HAAA(歸屬地認(rèn)證�����、授權(quán)����、計(jì)費(fèi)服務(wù)器)所共有,必須安全保存�����,不能傳播出G-Host用戶和HAAA���。屬于長期密鑰�。
設(shè)備證書用于G-Host設(shè)備認(rèn)證�,基于X.509證書體制。設(shè)備證書配置于G-Host上�����,必須安全保存��,不能傳播出G-Host設(shè)備���。屬于長期證書����。
設(shè)備PSK用于G-Host設(shè)備認(rèn)證���?��?梢詾槊總€(gè)設(shè)備認(rèn)證域配置一個(gè)PSK��,或者多個(gè)設(shè)備認(rèn)證域共享一個(gè)PSK�����;后一種情況安全風(fēng)險(xiǎn)較大����。在EAP(可擴(kuò)展認(rèn)證協(xié)議)認(rèn)證過程中�����,PSK通過一個(gè)NAI(網(wǎng)絡(luò)接入標(biāo)識)進(jìn)行索引���,NAI包含設(shè)備MAC(媒體接入控制)地址或一個(gè)專門用于定位PSK的偽用戶標(biāo)識����,推薦使用偽用戶標(biāo)識�����,可以隱藏用戶標(biāo)識。設(shè)備PSK必須安全保存�����,并經(jīng)常被刷新�。
在實(shí)際應(yīng)用中��,可以在G-Host上設(shè)置上述一種或幾種安全資料����,做基于RSA的設(shè)備認(rèn)證,或基于EAP的設(shè)備認(rèn)證和/或用戶認(rèn)證���。
在實(shí)際應(yīng)用中�,還可以只在G-Host上保存安全資料�,而相應(yīng)的上述認(rèn)證模式由網(wǎng)絡(luò)側(cè)提供。
步驟2-2��、根據(jù)在主機(jī)設(shè)備上保存的安全資料����,利用EAP認(rèn)證服務(wù)器通過各種認(rèn)證模式生成EMSK(擴(kuò)展主連接密鑰),根據(jù)該EMSK進(jìn)一步生成各種移動密鑰�����,并分發(fā)給各種移動設(shè)備。
在G-Host上保存了上述安全資料����、設(shè)置了上述認(rèn)證模式后,便可以設(shè)置相應(yīng)的EAP認(rèn)證服務(wù)器����,將在G-Host上保存的安全資料配置在該EAP認(rèn)證服務(wù)器上,利用該EAP認(rèn)證服務(wù)器通過各種認(rèn)證模式生成EMSK移動密鑰���。
本發(fā)明提供了僅用戶認(rèn)證�����、僅設(shè)備認(rèn)證����、基于Double EAP的設(shè)備和用戶認(rèn)證����、基于Single EAP的設(shè)備和用戶認(rèn)證以及基于RSA設(shè)備認(rèn)證和EAP用戶認(rèn)證5種認(rèn)證模式,這5種認(rèn)證模式都將首先生成EMSK,根據(jù)該EMSK進(jìn)一步生成其它移動密鑰�����。
下面分別介紹上述5種認(rèn)證模式�。
僅用戶認(rèn)證利用EAP認(rèn)證服務(wù)器進(jìn)行EAP G-Host用戶認(rèn)證生成EMSK,該EMSK在G-Host和EAP認(rèn)證服務(wù)器生成�����,用于進(jìn)一步生成其它移動密鑰�。上述EAP認(rèn)證服務(wù)器置于HCSN(歸屬地連接服務(wù)網(wǎng)絡(luò))���。
僅設(shè)備認(rèn)證利用EAP認(rèn)證服務(wù)器進(jìn)行EAP G-Host設(shè)備認(rèn)證生成EMSK�����,該EMSK在G-Host和EAP認(rèn)證服務(wù)器生成�����,用于進(jìn)一步生成其它移動密鑰��。上述EAP認(rèn)證服務(wù)器置于HCSN�����。
基于Double EAP的設(shè)備和用戶認(rèn)證利用EAP設(shè)備認(rèn)證服務(wù)器進(jìn)行EAPG-Host設(shè)備認(rèn)證生成EMSK���,該EMSK不被使用�。利用EAP用戶認(rèn)證服務(wù)器進(jìn)行EAP G-Host用戶認(rèn)證生成EMSK�����,該EMSK在G-Host和EAP用戶認(rèn)證服務(wù)器生成��,置于EAP對等方和HCSN��,用于進(jìn)一步生成其它移動密鑰���。上述EAP用戶認(rèn)證服務(wù)器置于HCSN����;上述EAP設(shè)備認(rèn)證服務(wù)器置于NAS(位于G-RS或ASN)或AAA代理(位于ASN或拜訪地連接服務(wù)網(wǎng)絡(luò)VCSN)���。
基于Single EAP的設(shè)備和用戶認(rèn)證將EAP認(rèn)證服務(wù)器置于HCSN����;利用EAP認(rèn)證服務(wù)器進(jìn)行網(wǎng)關(guān)主機(jī)的EAP設(shè)備和用戶的單次聯(lián)合認(rèn)證,在網(wǎng)關(guān)主機(jī)的用戶和EAP認(rèn)證服務(wù)器生成EMSK����,EAP方法終結(jié)于HCSN。
基于RSA設(shè)備認(rèn)證和EAP用戶認(rèn)證將EAP用戶認(rèn)證服務(wù)器置于HCSN�����,將EAP設(shè)備認(rèn)證服務(wù)器置于NAS(網(wǎng)絡(luò)接入服務(wù)器)���,NAS位于網(wǎng)關(guān)中轉(zhuǎn)站�����;利用EAP設(shè)備認(rèn)證服務(wù)器進(jìn)行網(wǎng)關(guān)主機(jī)的RSA設(shè)備認(rèn)證;利用EAP用戶認(rèn)證服務(wù)器進(jìn)行網(wǎng)關(guān)主機(jī)的EAP用戶認(rèn)證�����,在網(wǎng)關(guān)主機(jī)的用戶和EAP用戶認(rèn)證服務(wù)器生成EMSK�,將該EMSK置于EAP對等方和HCSN。
根據(jù)上述5種認(rèn)證模式形成的基于G-RS/G-MS的Multihost移動密鑰樹如圖3所示�����。
根據(jù)上述5種認(rèn)證模式中生成的EMSK,可以生成G-Host MIP-RK密鑰(移動IP根密鑰)����,該G-Host MIP-RK密鑰可以用于保證移動設(shè)備的安全。MIP-RK密鑰由EAP認(rèn)證服務(wù)器和EAP對等方生成����,EAP認(rèn)證服務(wù)器放置于HAAA,EAP對等方放置于G-Host���。
上述G-Host MIP-RK密鑰的生成方法為當(dāng)EAP方法在HCSN之外(如在NAS�����,或在位于ASN或VCSN的AAA代理)終結(jié)時(shí)����,MIP-RK不應(yīng)該被生成���。
當(dāng)EAP方法終結(jié)于HCSN時(shí)��,一種由EMSK生成MIP-RK的方法如下MIP-RK=HMAC-SHA1(EMSK����,”MOBILE IP ROOT KEY”)。
MIP-RK可以用于生成其它應(yīng)用密鑰���,如一套移動IP密鑰���。在MIP-RK和其它應(yīng)用密鑰生成后,上述EMSK應(yīng)該被刪除�����。
上述MIP-RK存于密鑰持有者/生成者����,MIP-RK不能傳播出密鑰持有者/生成者。在HAAA��,每個(gè)用戶連接都和唯一的一個(gè)MIP-RK對應(yīng)��。
當(dāng)用戶連接重認(rèn)證時(shí)���,針對該用戶連接的新的MIP-RK將被生成,而針對該用戶連接的舊的MIP-RK將被刪除����。
當(dāng)用戶連接中止時(shí)���,該用戶的密鑰持有者/生成者將被刪除。
上述G-Host MIP-RK密鑰的分發(fā)方法為MIP-RK在G-Host和HCSN的AAA服務(wù)器生成�����,不能傳播出這兩個(gè)實(shí)體��。
根據(jù)上述生成的G-Host MIP-RK密鑰可以進(jìn)一步生成MIP(移動IP)密鑰���,MIP密鑰包括客戶移動IPv4_CMIPv4密鑰���、代理移動IPv4 PMIPv4密鑰、客戶移動IPv6 CMIPv6密鑰和代理移動IPv6 PMIPv6密鑰�。MIP密鑰在HAAA和G-Host上生成,在需要的時(shí)候通過AAA協(xié)議傳送到HA(家鄉(xiāng)代理)����、FA(外地代理)和PMIP(IP代理移動IP)客戶。
上述MIP密鑰的生成方法為MIP密鑰由MIP-RK在需要時(shí)生成����。在G-Host EAP重認(rèn)證發(fā)生時(shí),MIP-RK將被刷新���,然而��,MIP密鑰能保留有效直到移動IP注冊的生命周期終結(jié)�。在移動IP注冊的生命周期終結(jié)時(shí),MIP密鑰的刷新由移動IP重注冊流程觸發(fā)�,從新的MIP-RK重新衍生而成。MIP密鑰長度為160位�����。
MIP密鑰衍生過程如下MN-HA-MIPv4=H(MIP-RK��,”MIP4 MN HA”|HA-IP)MN-HA-MIPv6=H(MIP-RK��,”MIP6 MN HA”|HA-IP)注在MN(移動節(jié)點(diǎn))移動到另一個(gè)FA時(shí)�,MN和HA間的安全關(guān)聯(lián)保持不變,因而只與HA的IP地址有關(guān)�����。MIP-RK不為FA所知��,因而FA不可能計(jì)算出MN-HA密鑰��,除非FA和認(rèn)證者因相互信任而被放在一處��。
MN-FA-MIPv4=H(MIP-RK�,”MN FA”|FA-IP)FA-HA-MIPv4=H(MIP-RK,”FA HA”|FA-IP|HA-IP|NONCE)注FA-HA密鑰在G-Host移動到另一個(gè)FA時(shí)刷新�。“NONCE”由AAA服務(wù)器生成��,用于避免G-Host能生成FA-HA密鑰����。“NONCE”不能傳送到HA或FA��。
其中�,MIP密鑰衍生公式參數(shù)如表3所示。
表3MIP密鑰衍生公式參數(shù)
上述MIP密鑰的分發(fā)方法為MIP密鑰的分發(fā)情況如表4所示�。
表4MIP密鑰的分發(fā)情況
G-Host所生成和使用的MIP密鑰不能傳播出MN。HAAA所生成的MIP密鑰通過AAA協(xié)議傳送到HA或NAS(位于G-RS或ASN)�。當(dāng)FA和NAS(位于G-RS或ASN)不放在同一處時(shí),MIP密鑰應(yīng)通過WiMAX內(nèi)部協(xié)議由NAS(位于G-RS或ASN)傳送到FA��。
下面分別介紹PMIPv6密鑰�、CMIPv6密鑰、CMIPv4密鑰和PMIPv4密鑰的生成�����、分發(fā)方法。
上述代理移動IPv6 PMIPv6密鑰的分發(fā)方法為代理移動IPv6 PMIPv6密鑰的分發(fā)方法的原理示意圖如圖4所示����。PMIPv6客戶位于G-RS/G-MS或ASN,HA可以位于HCSN或VCSN�����。當(dāng)HA位于HCSN����,圖4中的HA和HAAA服務(wù)器間的AAA經(jīng)紀(jì)人不存在;當(dāng)HA位于VCSN時(shí)���,圖4中的HA和HAAA服務(wù)器間可能有一個(gè)或多個(gè)AAA經(jīng)紀(jì)人���。
上述代理移動IPv6 PMIPv6密鑰的產(chǎn)生和分發(fā)包括如下步驟步驟41、在進(jìn)行EAP G-Host設(shè)備/用戶認(rèn)證時(shí)�,生成的EMSK密鑰存于HAAA,該EMSK密鑰用于在HAAA的密鑰持有者/產(chǎn)生者產(chǎn)生MIP-RK�����。
步驟42���、HAAA密鑰持有者/產(chǎn)生者從MIP-RK衍生出用于PMIPv6客戶和HA間的移動密鑰MN-HA-MIPv6�����。
步驟43�����、HAAA通過AAA協(xié)議傳送所有的MN-HA-MIPv6移動密鑰到NAS(位于G-RS或ASN)��。
上述MN-HA-MIPv6移動密鑰通過AAA協(xié)議消息傳送�,用RFC-2868定義的方法加密�,AAA協(xié)議消息可能需要經(jīng)過0個(gè)或多個(gè)AAA經(jīng)紀(jì)人或AAA代理。
NAS(位于G-RS或ASN)通過AAA協(xié)議的Access-Accept(同意接入)消息獲得MN-HA-MIPv6移動密鑰����。并存在NAS的密鑰持有者/產(chǎn)生者。
步驟44���、當(dāng)PMIPv6客戶發(fā)起PMIPv6流程時(shí)���,PMIPv6客戶從上述NAS的密鑰持有者/產(chǎn)生者中獲取MN-HA-MIPv6移動密鑰。
步驟45、當(dāng)MIP Registration Request(注冊請求)到達(dá)HA時(shí)��,HA發(fā)起AAA協(xié)議的Access-Request消息以獲取所需的移動密鑰����;HAAA從上述NAS的密鑰持有者/產(chǎn)生者中獲取相應(yīng)的MN-HA-MIPv6移動密鑰,然后�,向HA發(fā)送攜帶MN-HA-MIPv6移動密鑰的Access-Accept消息,HA從接收到的來自HAAA的Access-Accept消息中獲取MN-HA-MIPv6移動密鑰���。
上述MN-HA-MIPv6移動密鑰用RFC-2868定義的方法加密��。如果HA不在HCSN����,則移動密鑰可能需要通過1個(gè)或多個(gè)AAA經(jīng)紀(jì)人/代理人逐跳傳送�����。
上述客戶移動IPv6_CMIPv6密鑰的分發(fā)方法為客戶移動IPv6 CMIPv6密鑰的分發(fā)方法的原理示意圖如圖5所示�����。CMIPv6客戶位于G-Host����,HA可以位于HCSN或VCSN���。當(dāng)HA位于HCSN�����,圖5中的HA和HAAA服務(wù)器間的AAA經(jīng)紀(jì)人不存在��;當(dāng)HA位于VCSN��,圖5中的HA和HAAA服務(wù)器間可能有一個(gè)或多個(gè)AAA經(jīng)紀(jì)人��。
上述客戶移動IPv6 CMIPv6密鑰的產(chǎn)生和分發(fā)包括如下步驟步驟51��、在進(jìn)行EAP G-Host設(shè)備/用戶認(rèn)證時(shí)�,生成的EMSK密鑰存于G-Host和HAAA,該EMSK密鑰用于在G-Host和HAAA的密鑰持有者/產(chǎn)生者產(chǎn)生MIP-RK����。
步驟52、G-Host和HAAA的密鑰持有者/產(chǎn)生者從MIP-RK衍生出用于CMIPv6客戶和HA間的移動密鑰MN-HA-MIPv6���。
步驟53����、當(dāng)CMIPv6客戶發(fā)起CMIPv6流程時(shí),CMIPv6客戶從G-Host密鑰持有者/產(chǎn)生者獲取上述MN-HA-MIPv6密鑰����,并用該密鑰認(rèn)證RFC4285定義的Binding Update(綁定更新)報(bào)文。
步驟54�、當(dāng)HA接收到一個(gè)Binding Update(綁定更新)報(bào)文,而根據(jù)該報(bào)文查不到Security Association(安全關(guān)聯(lián))時(shí)����,HA發(fā)起AAA協(xié)議的Access-Request消息以獲取所需的移動密鑰;HAAA從上述密鑰持有者/產(chǎn)生者中獲取相應(yīng)的移動密鑰�����,然后�,向HA發(fā)送攜帶MN-HA-MIPv6移動密鑰Access-Accept消息,HA從接收到的來自HAAA的Access-Accept消息中獲取MN-HA-MIPv6���。
上述MN-HA-MIPv6用RFC-2868定義的方法加密���。如果HA不在HCSN,則移動密鑰可能需要通過1個(gè)或多個(gè)AAA經(jīng)紀(jì)人/代理人逐跳傳送�。
上述客戶移動IPv4 CMIPv4密鑰的分發(fā)方法為客戶移動IPv4 CMIPv4密鑰的分發(fā)方法的原理示意圖如圖6所示�����。CMIPv4客戶位于G-Host���,F(xiàn)A位于G-RS/G-MS或ASN,HA可以位于HCSN或VCSN�,NAS位于G-RS或ASN。當(dāng)HA位于HCSN��,圖6中的HA和HAAA服務(wù)器間的AAA經(jīng)紀(jì)人不存在����;當(dāng)HA位于VCSN����,圖6中的HA和HAAA服務(wù)器間可能有一個(gè)或多個(gè)AAA經(jīng)紀(jì)人。
步驟61�、在進(jìn)行EAP G-Host設(shè)備/用戶認(rèn)證時(shí),生成的EMSK密鑰存于G-Host和HAAA�����,該EMSK密鑰用于在G-Host和HAAA的密鑰持有者/產(chǎn)生者產(chǎn)生MIP-RK��。
步驟62、G-Host密鑰持有者/產(chǎn)生者從MIP-RK衍生出用于CMIPv4客戶和FA間的移動密鑰MN-FA-MIPv4和用于CMIPv4客戶和HA間的移動密鑰MN-HA-MIPv4����;HAAA的密鑰持有者/產(chǎn)生者根據(jù)所述MIP-RK密鑰生成用于CMIPv4客戶和FA間的移動密鑰MN-FA-MIPv4、用于CMIPv4客戶和HA間的移動密鑰MN-HA-MIPv4和用于FA和HA間的移動密鑰FA-HA-MIPv4�����。
步驟63����、CMIPv4客戶從上述G-Host密鑰持有者/產(chǎn)生者得到MN-FA-MIPv4和MN-HA-MIPv4密鑰。
步驟64���、HAAA通過AAA協(xié)議傳送所有的移動密鑰(MN-FA-MIPv4�、MN-HA-MIPv4和FA-HA-MIPv4)到NAS(位于G-RS或ASN)����。
上述移動密鑰(MN-FA-MIPv4、MN-HA-MIPv4和FA-HA-MIPv4)通過AAA協(xié)議消息傳送�,用RFC-2868定義的方法加密。AAA協(xié)議消息可能需要經(jīng)過0個(gè)或多個(gè)AAA經(jīng)紀(jì)人或AAA代理���。
NAS(位于G-RS或ASN)是通過AAA協(xié)議的Access-Accept消息獲得一組移動密鑰(MN-FA-MIPv4����、MN-HA-MIPv4和FA-HA-MIPv4)和其它密鑰。并存在NAS的密鑰持有者/產(chǎn)生者����。
由于在認(rèn)證時(shí),NAS和HCSN并不知曉是PMIP�、還是CMIP即將發(fā)生,所以傳送往NAS的移動密鑰包括CMIPv4和PMIPv4的密鑰�。CMIPv4和PMIPv4的密鑰可以是同一組移動密鑰,這樣���,HA可以不用分辨CMIPv4和PMIPv4。
步驟65����、當(dāng)CMIPv4客戶發(fā)起CMIPv4流程時(shí),F(xiàn)A從NAS(位于G-RS或ASN)的密鑰持有者/產(chǎn)生者獲取上述MN-FA-MIPv4和FA-HA-MIPv4���。
步驟66���、當(dāng)MIP Registration Request到達(dá)HA時(shí),HA發(fā)起AAA協(xié)議的Access-Request消息以獲取所需的移動密鑰����;HAAA從上述密鑰持有者/產(chǎn)生者中獲取相應(yīng)的移動密鑰��,然后�,向HA發(fā)送攜帶MN-HA-MIPv4移動密鑰和FA-HA-MIPv4移動密鑰的Access-Accept消息��,HA從接收到的來自HAAA的Access-Accept消息中獲取MN-HA-MIPv4移動密鑰和FA-HA-MIPv4移動密鑰��。
上述MN-HA-MIPv4移動密鑰和FA-HA-MIPv4移動密鑰用RFC-2868定義的方法加密��。如果HA不在HCSN���,則移動密鑰可能需要通過1個(gè)或多個(gè)AAA經(jīng)紀(jì)人/代理人逐跳傳送�����。
上述代理移動IPv4_PMIPv4密鑰的分發(fā)方法為代理移動IPv4 PMIPv4密鑰分發(fā)方法的原理示意圖如圖7所示����。PMIPv4客戶位于G-RS/G-MS或ASN�����,F(xiàn)A位于G-RS/G-MS或ASN,HA可以位于HCSN或VCSN��。當(dāng)HA位于HCSN����,圖7中的HA和HAAA服務(wù)器間的AAA經(jīng)紀(jì)人不存在;當(dāng)HA位于VCSN�,圖7中的HA和HAAA服務(wù)器間可能有一個(gè)或多個(gè)AAA經(jīng)紀(jì)人。
步驟71�����、在進(jìn)行EAP G-Host設(shè)備/用戶認(rèn)證時(shí)����,生成的EMSK密鑰存于HAAA,該EMSK密鑰用于在HAAA的密鑰持有者/產(chǎn)生者產(chǎn)生MIP-RK��。
步驟72����、HAAA密鑰持有者/產(chǎn)生者從MIP-RK衍生出用于PMIPv4客戶和FA間的移動密鑰MN-FA-MIPv4��、用于PMIPv4客戶和HA間的移動密鑰MN-HA-MIPv4和用于FA和HA間的移動密鑰FA-HA-MIPv4����。
步驟73���、HAAA通過AAA協(xié)議傳送所有的移動密鑰(MN-FA-MIPv4、MN-HA-MIPv4和FA-HA-MIPv4)到NAS(位于G-RS或ASN)��。
上述移動密鑰(MN-FA-MIPv4����、MN-HA-MIPv4和FA-HA-MIPv4)通過AAA協(xié)議傳送,用RFC-2868定義的方法加密�����。AAA協(xié)議消息可能需要經(jīng)過0個(gè)或多個(gè)AAA經(jīng)紀(jì)人或AAA代理��。
NAS(位于G-RS或ASN)通過AAA協(xié)議的Access-Accept消息獲得一組移動密鑰(MN-FA-MIPv4��、MN-HA-MIPv4和FA-HA-MIPv4)��。并存在NAS的密鑰持有者/產(chǎn)生者���。
步驟74�����、當(dāng)PMIPv4客戶發(fā)起PMIPv4流程時(shí)���,PMIPv4客戶從NAS的密鑰持有者/產(chǎn)生者獲取上述MN-HA-MIPv4和FA-HA-MIPv4���。
當(dāng)FA接收到來自PMIP客戶的Registration Request時(shí),F(xiàn)A從NAS的密鑰持有者/產(chǎn)生者獲得上述MN-FA-MIPv4和FA-HA-MIPv4���。
步驟75���、當(dāng)MIP Registration Request(注冊請求)到達(dá)HA時(shí),HA發(fā)起AAA協(xié)議的Access-Request消息以獲取所需的移動密鑰�;HAAA從上述密鑰持有者/產(chǎn)生者中獲取相應(yīng)的移動密鑰,然后���,向HA發(fā)送攜帶MN-HA-MIPv4移動密鑰和FA-HA-MIPv4移動密鑰的Access-Accept消息�����,HA從接收到的來自HAAA的Access-Accept消息中獲取MN-HA-MIPv4移動密鑰和FA-HA-MIPv4移動密鑰�。
上述MN-HA-MIPv4移動密鑰和FA-HA-MIPv4移動密鑰用RFC-2868定義的方法加密��。如果HA不在HCSN�,則移動密鑰可能需要通過1個(gè)或多個(gè)AAA經(jīng)紀(jì)人/代理人逐跳傳送。
以上所述����,僅為本發(fā)明較佳的具體實(shí)施方式
,但本發(fā)明的保護(hù)范圍并不局限于此��,任何熟悉本技術(shù)領(lǐng)域的技術(shù)人員在本發(fā)明揭露的技術(shù)范圍內(nèi)���,可輕易想到的變化或替換��,都應(yīng)涵蓋在本發(fā)明的保護(hù)范圍之內(nèi)����。因此����,本發(fā)明的保護(hù)范圍應(yīng)該以權(quán)利要求的保護(hù)范圍為準(zhǔn)。
權(quán)利要求
1.一種移動密鑰生成和分發(fā)方法����,其特征在于,包括A�����、在寬帶無線接入BWA系統(tǒng)的多主機(jī)架構(gòu)中的移動網(wǎng)關(guān)或移動網(wǎng)橋所轄的主機(jī)設(shè)備上保存安全資料;B�����、利用認(rèn)證服務(wù)器根據(jù)所述安全資料生成移動密鑰����,將該移動密鑰分發(fā)給移動設(shè)備。
2.根據(jù)權(quán)利要求1所述的方法�����,其特征在于����,所述的BWA系統(tǒng)包括全球互動微波接入WIMAX系統(tǒng),其特征在于����,所述WIMAX系統(tǒng)包括主機(jī)設(shè)備、移動網(wǎng)關(guān)或移動網(wǎng)橋�����,以及相互連接的接入服務(wù)網(wǎng)絡(luò)ASN和連接服務(wù)網(wǎng)絡(luò)CSN����,移動網(wǎng)關(guān)或移動網(wǎng)橋,通過第一接口與每一主機(jī)設(shè)備相連�����,通過第二接口與ASN相連��。
3.根據(jù)權(quán)利要求2所述的方法��,其特征在于��,所述的移動網(wǎng)關(guān)包括網(wǎng)關(guān)移動站G-MS或網(wǎng)關(guān)中轉(zhuǎn)站G-RS�����,所述的移動網(wǎng)橋包括網(wǎng)橋移動站或網(wǎng)橋中轉(zhuǎn)站���。
4.根據(jù)權(quán)利要求3所述的方法����,其特征在于����,所述的步驟A還包括在所述多主機(jī)架構(gòu)中的移動網(wǎng)關(guān)或移動網(wǎng)橋所轄的主機(jī)設(shè)備上保存安全資料和認(rèn)證模式�。
5.根據(jù)權(quán)利要求4所述的方法���,其特征在于�,所述的安全資料包括用戶根密鑰RK���、設(shè)備證書和/或設(shè)備預(yù)共享密鑰PSK���;所述的主機(jī)設(shè)備認(rèn)證模式包括用戶認(rèn)證和設(shè)備認(rèn)證。
6.根據(jù)權(quán)利要求5所述的方法�,其特征在于所述的用戶RK用于主機(jī)設(shè)備的用戶認(rèn)證,保存在主機(jī)設(shè)備的用戶和歸屬地認(rèn)證���、授權(quán)���、計(jì)費(fèi)服務(wù)器HAAA上;所述的設(shè)備證書用于主機(jī)設(shè)備的設(shè)備認(rèn)證�,保存在主機(jī)設(shè)備上;所述的設(shè)備PSK用于主機(jī)設(shè)備的設(shè)備認(rèn)證�,每個(gè)設(shè)備認(rèn)證域配置一個(gè)PSK,或者多個(gè)設(shè)備認(rèn)證域共享一個(gè)PSK�;在可擴(kuò)展認(rèn)證協(xié)議EAP認(rèn)證過程中,PSK通過網(wǎng)絡(luò)接入標(biāo)識NAI進(jìn)行索引,NAI包含設(shè)備媒體接入控制MAC地址或一個(gè)專門用于定位PSK的偽用戶標(biāo)識�。
7.根據(jù)權(quán)利要求4、5或6所述的方法���,其特征在于����,所述的步驟B具體包括B1����、利用EAP認(rèn)證服務(wù)器根據(jù)所述安全資料和認(rèn)證模式生成擴(kuò)展主連接密鑰EMSK�;B2、根據(jù)所述EMSK生成移動IP根密鑰MIP-RK����,根據(jù)該MIP-RK生成各種移動IP密鑰,將生成的移動IP密鑰分發(fā)給各種移動設(shè)備����。
8.根據(jù)權(quán)利要求7所述的方法,其特征在于����,所述的步驟B1具體包括將EAP認(rèn)證服務(wù)器置于歸屬地連接服務(wù)網(wǎng)絡(luò)HCSN,利用EAP認(rèn)證服務(wù)器進(jìn)行主機(jī)設(shè)備的EAP用戶認(rèn)證�,在主機(jī)設(shè)備的用戶和EAP認(rèn)證服務(wù)器生成EMSK���;和/或,將EAP認(rèn)證服務(wù)器置于HCSN��,利用EAP認(rèn)證服務(wù)器進(jìn)行主機(jī)設(shè)備的EAP設(shè)備認(rèn)證�����,在主機(jī)設(shè)備的用戶和EAP認(rèn)證服務(wù)器生成EMSK����;和/或,將EAP用戶認(rèn)證服務(wù)器置于HCSN�����,將EAP設(shè)備認(rèn)證服務(wù)器置于網(wǎng)絡(luò)接入服務(wù)器NAS或AAA代理���,NAS位于G-MS或G-RS或接入服務(wù)網(wǎng)絡(luò)ASN���,AAA代理位于ASN或拜訪地連接服務(wù)網(wǎng)絡(luò)VCSN;利用EAP設(shè)備認(rèn)證服務(wù)器進(jìn)行主機(jī)設(shè)備的EAP設(shè)備認(rèn)證生成EMSK�,該EMSK不被使用;利用EAP用戶認(rèn)證服務(wù)器進(jìn)行主機(jī)設(shè)備的EAP用戶認(rèn)證,在主機(jī)設(shè)備的用戶和EAP用戶認(rèn)證服務(wù)器生成EMSK�,將該EMSK置于EAP對等方和HCSN;和/或���,將EAP認(rèn)證服務(wù)器置于HCSN��;利用EAP認(rèn)證服務(wù)器進(jìn)行主機(jī)設(shè)備的EAP設(shè)備和用戶的單次聯(lián)合認(rèn)證���,在主機(jī)設(shè)備的用戶和EAP認(rèn)證服務(wù)器生成EMSK,EAP方法終結(jié)于HCSN�;和/或���,將EAP用戶認(rèn)證服務(wù)器置于HCSN���,將EAP設(shè)備認(rèn)證服務(wù)器置于網(wǎng)絡(luò)接入服務(wù)器NAS,NAS位于G-MS或G-RS��;利用EAP設(shè)備認(rèn)證服務(wù)器進(jìn)行主機(jī)設(shè)備的公鑰算法RSA設(shè)備認(rèn)證�����;利用EAP用戶認(rèn)證服務(wù)器進(jìn)行主機(jī)設(shè)備的EAP用戶認(rèn)證���,在主機(jī)設(shè)備的用戶和EAP用戶認(rèn)證服務(wù)器生成EMSK����,將該EMSK置于EAP對等方和HCSN。
9.根據(jù)權(quán)利要求7所述的方法����,其特征在于,所述的步驟B2具體包括B21���、將EAP認(rèn)證服務(wù)器置于HAAA��,將EAP對等方置于主機(jī)設(shè)備����,當(dāng)EAP方法終結(jié)于HCSN時(shí)���,根據(jù)所述EMSK由EAP認(rèn)證服務(wù)器和EAP對等方在主機(jī)設(shè)備的用戶和HCSN的AAA服務(wù)器生成MIP-RK密鑰����;B22�����、根據(jù)所述MIP-RK密鑰生成客戶移動IPv4 CMIPv4密鑰和/或代理移動IPv4 PMIPv4密鑰和/或客戶移動IPv6 CMIPv6密鑰和/或代理移動IPv6PMIPv6密鑰,并將生成的移動IP密鑰分布于各種移動設(shè)備���。
10.根據(jù)權(quán)利要求9所述的方法��,其特征在于���,所述的步驟B21具體包括所述MIP-RK密鑰存于密鑰持有者/生成者,不傳播出密鑰持有者/生成者���。在HAAA����,每個(gè)用戶連接都和唯一的一個(gè)MIP-RK密鑰對應(yīng)�����。
11.根據(jù)權(quán)利要求10所述的方法��,其特征在于���,所述的步驟B22具體包括B221、HAAA密鑰持有者/產(chǎn)生者根據(jù)所述MIP-RK密鑰生成用于PMIPv6客戶和家鄉(xiāng)代理HA間的移動密鑰MN-HA-MIPv6��;HAAA通過歸屬地認(rèn)證、授權(quán)����、計(jì)費(fèi)服務(wù)器AAA協(xié)議將所述MN-HA-MIPv6移動密鑰發(fā)送到NAS,并存在NAS的密鑰持有者/產(chǎn)生者�����;所述NAS位于網(wǎng)關(guān)中轉(zhuǎn)站或ASN�����;B222��、當(dāng)PMIPv6客戶發(fā)起PMIPv6流程時(shí)���,該P(yáng)MIPv6客戶從所述NAS的密鑰持有者/產(chǎn)生者中獲取所述MN-HA-MIPv6移動密鑰���;當(dāng)HA接收到注冊請求時(shí),HA發(fā)起AAA協(xié)議的接入請求消息�,HAAA從所述NAS的密鑰持有者/產(chǎn)生者中獲取相應(yīng)的移動密鑰,向HA發(fā)送攜帶移動密鑰信息的同意接入消息���,HA從該同意接入消息中獲取所述MN-HA-MIPv6移動密鑰��。
12.根據(jù)權(quán)利要求9所述的方法����,其特征在于,所述的步驟B22具體包括B223�����、主機(jī)設(shè)備和HAAA的密鑰持有者/產(chǎn)生者根據(jù)所述MIP-RK密鑰生成用于CMIPv6客戶和HA間的移動密鑰MN-HA-MIPv6�;B224、當(dāng)CMIPv6客戶發(fā)起CMIPv6流程時(shí)���,該CMIPv6客戶從所述主機(jī)設(shè)備的密鑰持有者/產(chǎn)生者中獲取所述MN-HA-MIPv6移動密鑰�;當(dāng)HA接收到綁定更新報(bào)文�����,且根據(jù)該報(bào)文查不到安全關(guān)聯(lián)時(shí)���,HA發(fā)起AAA協(xié)議的接入請求消息,HAAA從所述密鑰持有者/產(chǎn)生者中獲取相應(yīng)的移動密鑰����,向HA發(fā)送攜帶移動密鑰信息的同意接入消息�����,HA從該同意接入消息中獲取所述MN-HA-MIPv6移動密鑰��。
13.根據(jù)權(quán)利要求9所述的方法��,其特征在于�,所述的步驟B22具體包括B225、主機(jī)設(shè)備的密鑰持有者/產(chǎn)生者根據(jù)所述MIP-RK密鑰生成用于CMIPv4客戶和外地代理FA間的移動密鑰MN-FA-MIPv4和用于CMIPv4客戶和HA間的移動密鑰MN-HA-MIPv4����;HAAA的密鑰持有者/產(chǎn)生者根據(jù)所述MIP-RK密鑰生成用于CMIPv4客戶和FA間的移動密鑰MN-FA-MIPv4�、用于CMIPv4客戶和HA間的移動密鑰MN-HA-MIPv4和用于FA和HA間的移動密鑰FA-HA-MIPv4;B226��、HAAA通過AAA協(xié)議將所述MN-FA-MIPv4����、MN-HA-MIPv4和FA-HA-MIPv4密鑰發(fā)送到NAS,并存在NAS的密鑰持有者/產(chǎn)生者�����;所述NAS位于G-MS或G-RS或ASN���;B227��、CMIPv4客戶從所述主機(jī)設(shè)備密鑰持有者/產(chǎn)生者獲取所述MN-FA-MIPv4和MN-HA-MIPv4密鑰�����;當(dāng)CMIPv4客戶發(fā)起CMIPv4流程時(shí)��,外地代理FA從所述NAS的的密鑰持有者/產(chǎn)生者中獲取所述MN-FA-MIPv4���、FA-HA-MIPv4密鑰����;當(dāng)HA接收到注冊請求報(bào)文時(shí)���,HA發(fā)起AAA協(xié)議的接入請求消息�,HAAA從所述密鑰持有者/產(chǎn)生者中獲取相應(yīng)的移動密鑰信息�,向HA發(fā)送攜帶移動密鑰信息的同意接入消息,HA從該同意接入消息中獲取所述MN-HA-MIPv4��、FA-HA-MIPv4密鑰����。
14.根據(jù)權(quán)利要求9所述的方法,其特征在于�,所述的步驟B22具體包括B228、HAAA的密鑰持有者/產(chǎn)生者根據(jù)所述MIP-RK密鑰生成用于PMIPv4客戶和外地代理FA間的移動密鑰MN-FA-MIPv4��、用于PMIPv4客戶和HA間的移動密鑰MN-HA-MIPv4和用于FA和HA間的移動密鑰FA-HA-MIPv4�;HAAA通過AAA協(xié)議將所述MN-FA-MIPv4、MN-HA-MIPv4和FA-HA-MIPv4密鑰發(fā)送到NAS�����,并存在NAS的密鑰持有者/產(chǎn)生者�;所述NAS位于G-MS或G-RS或ASN;B229���、當(dāng)PMIPv4客戶發(fā)起PMIPv4流程時(shí)���,該P(yáng)MIPv4客戶從所述NAS的的密鑰持有者/產(chǎn)生者中獲取所述MN-FA-MIPv4、FA-HA-MIPv4密鑰�����;當(dāng)HA接收到注冊請求報(bào)文時(shí)�,HA發(fā)起AAA協(xié)議的接入請求消息,HAAA從所述密鑰持有者/產(chǎn)生者中獲取相應(yīng)的移動密鑰信息,向HA發(fā)送攜帶移動密鑰信息的同意接入消息��,HA從該同意接入消息中獲取所述MN-HA-MIPv4�����、FA-HA-MIPv4密鑰��。
全文摘要
本發(fā)明提供了一種移動密鑰生成和分發(fā)方法��,該方法主要包括在BWA(寬帶無線接入)系統(tǒng)的多主機(jī)架構(gòu)中的移動網(wǎng)關(guān)或移動網(wǎng)橋所轄的主機(jī)設(shè)備上保存安全資料���;利用認(rèn)證服務(wù)器根據(jù)所述安全資料生成移動密鑰��,將該移動密鑰分發(fā)給移動設(shè)備���。利用本發(fā)明所述方法,可以實(shí)現(xiàn)基于G-RS(網(wǎng)關(guān)中轉(zhuǎn)站)/G-MS(網(wǎng)關(guān)移動站)的Multiple Hosts(多主機(jī))移動密鑰的生成和分發(fā)�。
文檔編號H04Q7/38GK101051893SQ20061007664
公開日2007年10月10日 申請日期2006年4月27日 優(yōu)先權(quán)日2006年4月27日
發(fā)明者鄭若濱 申請人:華為技術(shù)有限公司