專利名稱:一種移動ip密鑰的產(chǎn)生及分發(fā)方法
技術(shù)領(lǐng)域:
本發(fā)明涉及網(wǎng)絡(luò)安全領(lǐng)域�,具體的講涉及一種移動IP密鑰的產(chǎn)生及分發(fā)方法。
背景技術(shù):
隨著因特網(wǎng)業(yè)務(wù)的蓬勃發(fā)展和無線網(wǎng)絡(luò)的廣泛應(yīng)用��,移動用戶的安全性已經(jīng)對于無線系統(tǒng)提出了越來越多的要求除了設(shè)備鑒權(quán)�����、用戶鑒權(quán)和服務(wù)授權(quán)等等��,無線用戶與接入點(diǎn)(AP)或基站(BS)之間的安全通道的建立�,保密信息的交換,以及BS和鑒權(quán)者(Authenticator)���,鑒權(quán)者和鑒權(quán)服務(wù)器之間的保密通道�,保密信息的交換等等都是以往在專用網(wǎng)絡(luò)中所不需要考慮而目前需要得到大量關(guān)注的問題了。
不考慮接入網(wǎng)中的其他內(nèi)部設(shè)備���,我們在隨后的技術(shù)描述時將采用圖1�����、圖2所示的WiMAX安全網(wǎng)絡(luò)架構(gòu)體系(但是本發(fā)明所提供的技術(shù)包括但不限于在WiMAX系統(tǒng)中的應(yīng)用)��。
圖1表示的是集中式的網(wǎng)絡(luò)架構(gòu)體系��,在這種架構(gòu)下���,鑒權(quán)者(Authenticator)與BS位于不同的物理實(shí)體中,在鑒權(quán)者中實(shí)現(xiàn)了鑒權(quán)者和密鑰發(fā)行者(Key Distributor)的功能���。在BS中實(shí)現(xiàn)了認(rèn)證中繼(Authentication Relay)和密鑰接收者(Key Receiver)的功能����。
圖2表示的是分布式的網(wǎng)絡(luò)架構(gòu)體系����,在這種結(jié)構(gòu)下,鑒權(quán)者與BS位于同一個物理實(shí)體中��,該實(shí)體同時實(shí)現(xiàn)了鑒權(quán)者�����、認(rèn)證中繼���、密鑰發(fā)行者(Key Distributor)和密鑰接收者(Key Receiver)的功能�����。
圖中各個網(wǎng)元(包括邏輯網(wǎng)元)的功能解釋如下BS-提供BS和終端(MS)的安全通道�,包括空口數(shù)據(jù)的壓縮與加密��;
-提供BS和MS之間的保密信息的交換�����。
鑒權(quán)者-為MS認(rèn)證���、授權(quán)和計(jì)費(fèi)功能提供代理功能-與密鑰發(fā)行者(Key Distributor)在同-個物理實(shí)體里實(shí)現(xiàn)鑒權(quán)者中繼-實(shí)現(xiàn)認(rèn)證過程中認(rèn)證請求和響應(yīng)消息的中繼密鑰發(fā)行者-與鑒權(quán)者在同一個物理實(shí)體里實(shí)現(xiàn)�����,根據(jù)認(rèn)證服務(wù)器提供的與MSS之間對等的根密鑰信息���,產(chǎn)生BS和MSS之間共享的空口密鑰AK���,并且分發(fā)到密鑰接收者(Key Receiver)上。
密鑰接收者-在BS內(nèi)實(shí)現(xiàn)����,用于接收來自密鑰發(fā)行者產(chǎn)生的空口密鑰AK,并派生BS和MSS之間的其它密鑰�����。
此外��,作為一個完整的安全網(wǎng)絡(luò)架構(gòu)體系��,還應(yīng)該包括后端網(wǎng)絡(luò)的認(rèn)證服務(wù)器和移動終端MS�。
認(rèn)證授權(quán)計(jì)費(fèi)(AAA)服務(wù)器-認(rèn)證服務(wù)器主要是完成為MSS認(rèn)證、授權(quán)和計(jì)費(fèi)功能�����。并且通過和MSS之間的達(dá)成的密鑰生成機(jī)制相互交換產(chǎn)生密鑰所必需的信息��。由于這些信息是在建立安全通道之前交換的,認(rèn)證服務(wù)器和MSS之間采用的密鑰算法等都必須保證信息的泄漏并不對安全機(jī)制產(chǎn)生影響����。主要功能包括-完成為MSS認(rèn)證、授權(quán)和計(jì)費(fèi)功能�。
-產(chǎn)生并分發(fā)根密鑰信息到鑒權(quán)者上�。
-在用戶信息產(chǎn)生變化,及時通知鑒權(quán)者和其他網(wǎng)元信息改變所產(chǎn)生的后果�。
MS-MS為移動用戶設(shè)備,在安全架構(gòu)中主要是發(fā)起認(rèn)證��、授權(quán)�;與認(rèn)證服務(wù)器交換產(chǎn)生根密鑰所需要的信息;自己產(chǎn)生根密鑰�;自己根據(jù)根密鑰產(chǎn)生空口上保密所需要的AK以及派生出來的其他密鑰信息。
MIP有如下功能實(shí)體移動節(jié)點(diǎn)(MN)����,外部代理(FA)和家鄉(xiāng)代理(HA)。MN經(jīng)由FA向HA發(fā)起移動IP(MIP)注冊請求�����。HA收到MIP注冊請求以后�,把MN的轉(zhuǎn)交地址(CoA)地址和家鄉(xiāng)地址(HoA)地址對應(yīng)起來,以后HA收到的所有目的地址是HoA的數(shù)據(jù)包都轉(zhuǎn)發(fā)到CoA地址,MIPv4中即FA的地址�����。為了保證安全性��,MIP消息中一般會帶有認(rèn)證擴(kuò)展(AE)�。例如MN和HA之間的認(rèn)證擴(kuò)展MN-HA-AE,當(dāng)HA收到一個攜帶MN-HA-AE的MIP注冊請求�����,HA就需要根據(jù)事先知道的密鑰信息計(jì)算出一個本地認(rèn)證值�,然后和數(shù)據(jù)包攜帶的MN-HA-AE進(jìn)行比較。如果相同則認(rèn)證通過�����,并且處理MIP注冊請求���;否則拒絕處理這個MIP注冊請求���。
在MN和HA之間沒有預(yù)先的密鑰信息時,MN可以利用MN和AAA之間的密鑰信息���,來認(rèn)證這一次的MIP注冊請求�。
現(xiàn)有WiMAX技術(shù)中計(jì)算MIP注冊密鑰的公式如下MN-HA-KH(MIP-RK,”MIP4 MN HA”��,HA-IP)���;MN-FA-KH(MIP-RK��,”MN FA”���,F(xiàn)A-IP)���;FA-HA-KH(MIP-RK��,”FA HA”���,F(xiàn)A-IP,HA-IP����,nonce);對于RFC3957中�,規(guī)定了如下算法���,可由隨機(jī)數(shù),移動節(jié)點(diǎn)標(biāo)識以及移動節(jié)點(diǎn)和AAA之間的共享密鑰計(jì)算key=HMAC-SHA1(AAA-key���,{Nonce‖MN-ID})MIP在WiMAX中有兩種形式客戶端移動IP(CMIP)和代理移動IP(PMIP)�。對于支持MIP協(xié)議的終端�,工作于CMIP模式下,此時移動節(jié)點(diǎn)就是移動終端��;相反����,對于不支持MIP協(xié)議的終端,由網(wǎng)絡(luò)側(cè)創(chuàng)建一個PMIP-終端(PMIP-client)實(shí)體來作為移動節(jié)點(diǎn)MN實(shí)現(xiàn)MIP的功能�。
(1)PMIPv4的密鑰產(chǎn)生和分發(fā)在接入認(rèn)證過程中,AAA產(chǎn)生EMSK(可擴(kuò)展的主會話密鑰Extended Master Session Key)�����,然后計(jì)算移動IP根密鑰(MIP-RK)��,并由此派生出MN-HA��,MN-FA以及FA-HA之間的密鑰(分別為MN-HA-K�����,MN-FA-K以及FA-HA-K)。然后�,按照RFC2868第3.5節(jié)的方法把MN-HA,MN-FA以及FA-HA之間的密鑰加密發(fā)送到網(wǎng)絡(luò)接入服務(wù)器(NAS)�����。
同時現(xiàn)有技術(shù)定義了以上MN-HA-K(在MIPv4中可代稱為MN-HA-MIP4-K)�,MN-FA-K,F(xiàn)A-HA-K的產(chǎn)生公式與以下因素有關(guān)在MS的接入驗(yàn)證過程中���,MS和AAA之間會產(chǎn)生一個密鑰EMSK�����。MS和AAA可以由EMSK通過定義好的函數(shù)計(jì)算出MIP-RK。MN和HA之間的密鑰(MN-HA-K)也可以由MIP-RK以及家鄉(xiāng)代理的IP地址(HA-IP)通過定義好的函數(shù)計(jì)算出來�����;MN和FA之間的密鑰(MN-FA-K)也可以由MIP-RK以及外部代理的IP(FA-IP)通過定義好的函數(shù)計(jì)算出來���;FA和HA之間的密鑰(FA-HA-K)也可以由MIP-RK�,F(xiàn)A-IP,HA-IP以及一個隨機(jī)數(shù)通過定義好的函數(shù)計(jì)算出來����。公式如下MN-HA-MIP4=H(MIP-RK,”MIP4 MN HA”|HA-IP)MN-FA=H(MIP-RK�,”MN FA”|FA-IP)FA-HA=H(MIP-RK,”FA HA”|FA-IP|HA-IP|NONCE)(2)CMIPv4的密鑰產(chǎn)生和分發(fā)在接入認(rèn)證過程中�����,AAA產(chǎn)生EMSK����,然后計(jì)算MIP-RK,并由此派生出MN-HA���,MN-FA以及FA-HA之間的密鑰��。MN根據(jù)FA-IP和HA-IP可以計(jì)算出MN-FA以及MN-HA之間的密鑰��;NAS則獲得MN-FA��,MN-HA和FA-HA之間的密鑰��。HA相關(guān)的密鑰在第一次MIP注冊請求過程中向AAA請求獲得�����。
但現(xiàn)有技術(shù)的缺點(diǎn)在于1)當(dāng)前已有技術(shù)只是描述了MIP密鑰的產(chǎn)生公式�,但具體的密鑰產(chǎn)生過程沒有描述,如AAA過程或者M(jìn)IP過程中���;同時密鑰產(chǎn)生時��,不同過程中獲得密鑰產(chǎn)生所需要的輸入?yún)?shù)的機(jī)制和流程沒有定義����;2)過程描述不夠準(zhǔn)確�,且不能保證每一步驟的前提條件都能滿足,例如計(jì)算MN-HA���,MN-FA以及FA-HA之間的密鑰時�����,需要定義相關(guān)實(shí)體如何得到相應(yīng)參數(shù)的過程。
3)在FA遷移情況下����,目標(biāo)FA無法獲得MN-FA以及FA-HA密鑰信息���,HA無法更新FA-HA密鑰。
4)并且���,當(dāng)前已有技術(shù)只是描述了MIP密鑰的產(chǎn)生公式�,并沒有規(guī)定在重驗(yàn)證的情況下�����,F(xiàn)A以及HA對原有密鑰以及安全聯(lián)盟的處理��,因此有可能導(dǎo)致移動節(jié)點(diǎn)的移動IP注冊請求一直被拒絕����。
發(fā)明內(nèi)容
有鑒于此,本發(fā)明的目的在于提供一種移動IP密鑰的產(chǎn)生及分發(fā)方法�,以給出具體的密鑰產(chǎn)生和分發(fā)過程。
為了實(shí)現(xiàn)上述目的��,本發(fā)明的技術(shù)方案為一種移動IP密鑰的產(chǎn)生及分發(fā)方法���,其特征在于在鑒權(quán)認(rèn)證過程中�,認(rèn)證授權(quán)計(jì)費(fèi)AAA服務(wù)器下發(fā)包括根密鑰及外部代理FA與家鄉(xiāng)代理HA之間的隨機(jī)數(shù)fa-ha-nonce的密鑰信息至網(wǎng)絡(luò)鑒權(quán)服務(wù)器;家鄉(xiāng)代理HA通過AAA服務(wù)器獲得家鄉(xiāng)代理相關(guān)的移動IP密鑰�����;如果AAA服務(wù)器未下發(fā)移動節(jié)點(diǎn)MN與外部代理FA之間的隨機(jī)數(shù)mn-fa-nonce至網(wǎng)絡(luò)鑒權(quán)服務(wù)器��,則AAA服務(wù)器下發(fā)該隨機(jī)數(shù)至家鄉(xiāng)代理��,并經(jīng)外部代理通知網(wǎng)絡(luò)鑒權(quán)服務(wù)器����;外部代理根據(jù)FA相關(guān)隨機(jī)數(shù)及/或FA的IP地址從所述網(wǎng)絡(luò)鑒權(quán)服務(wù)器獲得FA相關(guān)移動IP密鑰;移動節(jié)點(diǎn)從所述網(wǎng)絡(luò)鑒權(quán)服務(wù)器獲得MN相關(guān)移動IP密鑰��。
所述的方法具體包括如下步驟a.鑒權(quán)認(rèn)證過程中�����,認(rèn)證授權(quán)計(jì)費(fèi)AAA服務(wù)器下發(fā)密鑰信息至網(wǎng)絡(luò)鑒權(quán)服務(wù)器����,網(wǎng)絡(luò)鑒權(quán)服務(wù)器根據(jù)所述密鑰信息至少獲得移動節(jié)點(diǎn)與家鄉(xiāng)代理之間的移動IP密鑰MN-HA-K及/或移動節(jié)點(diǎn)與AAA服務(wù)器之間的密鑰MN-AAA-K;所述密鑰信息至少包括根密鑰及外部代理FA與家鄉(xiāng)代理HA之間的隨機(jī)數(shù)fa-ha-nonce����;b.移動節(jié)點(diǎn)發(fā)起移動IP注冊請求����,經(jīng)外部代理FA轉(zhuǎn)發(fā)至家鄉(xiāng)代理HA�����,該移動IP注冊請求中攜帶MN-HA-AE及/或移動節(jié)點(diǎn)與AAA服務(wù)器之間的認(rèn)證擴(kuò)展MN-AAA-AE�;
c.家鄉(xiāng)代理HA接收所述的移動IP注冊請求����,并請求AAA服務(wù)器下發(fā)HA相關(guān)密鑰信息,以獲得移動節(jié)點(diǎn)與家鄉(xiāng)代理之間的移動IP密鑰MN-HA-K以及外部代理與家鄉(xiāng)代理之間的移動IP密鑰FA-HA-K���;并在所述移動IP注冊請求攜帶MN-HA-AE時�,驗(yàn)證所述的MN-HA-AE��;如果步驟a中AAA服務(wù)器未下發(fā)移動節(jié)點(diǎn)與外部代理之間的隨機(jī)數(shù)mn-fa-nonce至網(wǎng)絡(luò)鑒權(quán)服務(wù)器�,則AAA服務(wù)器下發(fā)所述該隨機(jī)數(shù)至家鄉(xiāng)代理,以通過移動IP注冊報(bào)告發(fā)送至外部代理��,從而通知網(wǎng)絡(luò)鑒權(quán)服務(wù)器�����;d.家鄉(xiāng)代理發(fā)送攜帶MN-HA-AE及FA-HA-AE的注冊報(bào)告至外部代理FA,外部代理接收所述注冊報(bào)告后����,從所述網(wǎng)絡(luò)鑒權(quán)服務(wù)器獲得移動節(jié)點(diǎn)及外部代理之間的移動IP密鑰MN-FA-K以及外部代理與家鄉(xiāng)代理之間的移動IP密鑰FA-HA-K,并于驗(yàn)證FA-HA-AE后轉(zhuǎn)發(fā)攜帶MN-FA-AE的移動IP注冊報(bào)告至移動節(jié)點(diǎn)����;e.移動節(jié)點(diǎn)接收移動IP注冊報(bào)告,從所述網(wǎng)絡(luò)鑒權(quán)服務(wù)器獲得MN-FA-K���,并驗(yàn)征MN-FA-AE��。
所述根密鑰包括擴(kuò)展主會話密鑰EMSK����、FA相關(guān)移動IP根密鑰MIP-FA-RK及移動IP根密鑰MIP-RK的其中之一�;所述密鑰信息還包括移動節(jié)點(diǎn)與家鄉(xiāng)代理之間的移動IP密鑰MN-HA-K或移動節(jié)點(diǎn)與家鄉(xiāng)代理之間的隨機(jī)數(shù)mn-ha-nonce,及/或移動節(jié)點(diǎn)與AAA服務(wù)器之間的密鑰MN-AAA-K���。
步驟c中所述HA相關(guān)密鑰信息包括MN-HA-K和FA-HA-K�����;或者擴(kuò)展主會話密鑰EMSK���、FA相關(guān)移動IP根密鑰MIP-FA-RK及移動IP根密鑰MIP-RK三者其中之一����,MN-HA-K以及外部代理與家鄉(xiāng)代理之間的隨機(jī)數(shù)fa-ha-nonce��;或者擴(kuò)展主會話密鑰EMSK����、FA相關(guān)移動IP根密鑰MIP-FA-RK及移動IP根密鑰MIP-RK三者其中之一�����,移動節(jié)點(diǎn)與家鄉(xiāng)代理之間的隨機(jī)數(shù)mn-ha-nonce以及外部代理與家鄉(xiāng)代理之間的隨機(jī)數(shù)fa-ha-nonce���。
在鑒權(quán)認(rèn)證過程中����,網(wǎng)絡(luò)鑒權(quán)服務(wù)器把FA-IP地址發(fā)送給AAA����;或者在家鄉(xiāng)代理向AAA請求HA相關(guān)密鑰信息時,以外部代理IP作為請求的參數(shù)����。
所述的方法還包括f.在外部代理遷移后����,發(fā)起移動IP注冊請求至家鄉(xiāng)代理HA��,由所述家鄉(xiāng)代理HA從AAA服務(wù)器獲得目標(biāo)外部代理TFA與家鄉(xiāng)代理HA之間的移動IP密鑰TFA-HA-K以及TFA相關(guān)隨機(jī)數(shù)���;g.將TFA相關(guān)隨機(jī)數(shù)發(fā)送至外部代理����,并通知所述網(wǎng)絡(luò)鑒權(quán)服務(wù)器��,網(wǎng)絡(luò)鑒權(quán)服務(wù)器根據(jù)所述TFA相關(guān)隨機(jī)數(shù)或TFA的IP地址產(chǎn)生TFA相關(guān)移動IP密鑰����;移動節(jié)點(diǎn)及目標(biāo)外部代理從所述網(wǎng)絡(luò)鑒權(quán)服務(wù)器獲得相應(yīng)的TFA相關(guān)移動IP密鑰。
所述的方法還包括建立各移動IP功能實(shí)體之間的安全聯(lián)盟�。
在重新鑒權(quán)認(rèn)證后,進(jìn)行移動IP相關(guān)密鑰的更新���。
在重新鑒權(quán)認(rèn)證時����,移動終端MS與AAA服務(wù)器之間重新產(chǎn)生新的密鑰,該AAA服務(wù)器下發(fā)新的密鑰信息至網(wǎng)絡(luò)鑒權(quán)服務(wù)器以產(chǎn)生新的MN-HA-K及/或MN-AAA-K�;同時通知家鄉(xiāng)代理發(fā)生了新的鑒權(quán)認(rèn)證;移動節(jié)點(diǎn)利用新的密鑰替代對應(yīng)舊的密鑰���,并發(fā)起移動IP注冊請求��,重新進(jìn)行步驟b至步驟e。
在重新鑒權(quán)認(rèn)證時��,移動終端MS與AAA服務(wù)器之間重新產(chǎn)生新的密鑰���,并且該AAA服務(wù)器下發(fā)新的密鑰信息至網(wǎng)絡(luò)鑒權(quán)服務(wù)器以產(chǎn)生新的MN-HA-K及/或MN-AAA-K����;移動節(jié)點(diǎn)利用新的密鑰替代對應(yīng)舊的密鑰���,并發(fā)起移動IP注冊請求�����,重新進(jìn)行所述步驟b至步驟e��。
移動節(jié)點(diǎn)���、外部代理及家鄉(xiāng)代理得知發(fā)生重新鑒權(quán)認(rèn)證后�����,刪除已有的移動IP相關(guān)的安全聯(lián)盟��。
在移動IP功能實(shí)體中密鑰的替換伴隨著安全聯(lián)盟的替換或建立�����。
一種移動IP密鑰的產(chǎn)生及分發(fā)方法��,其特征在于在鑒權(quán)認(rèn)證過程中��,認(rèn)證授權(quán)計(jì)費(fèi)AAA服務(wù)器下發(fā)包括根密鑰及外部代理FA與家鄉(xiāng)代理HA之間的隨機(jī)數(shù)fa-ha-nonce的密鑰信息至網(wǎng)絡(luò)鑒權(quán)服務(wù)器�;
家鄉(xiāng)代理HA通過AAA服務(wù)器獲得家鄉(xiāng)代理HA相關(guān)的移動IP密鑰��;如果AAA服務(wù)器未下發(fā)移動節(jié)點(diǎn)MN與外部代理FA之間的隨機(jī)數(shù)mn-fa-nonce及/或移動節(jié)點(diǎn)MN與家鄉(xiāng)代理HA之間的隨機(jī)數(shù)mn-ha-nonce�,則AAA服務(wù)器下發(fā)所述隨機(jī)數(shù)至家鄉(xiāng)代理,并通知相應(yīng)的移動IP功能實(shí)體���;外部代理根據(jù)FA相關(guān)隨機(jī)數(shù)及/或FA的IP地址從所述網(wǎng)絡(luò)鑒權(quán)服務(wù)器獲得FA相關(guān)移動IP密鑰�����;移動節(jié)點(diǎn)根據(jù)MN相關(guān)隨機(jī)數(shù)獲得MN相關(guān)移動IP密鑰�����。
所述的方法具體包括如下步驟a.在鑒權(quán)認(rèn)證過程中��,認(rèn)證授權(quán)計(jì)費(fèi)AAA服務(wù)器下發(fā)包括根密鑰及外部代理FA與家鄉(xiāng)代理HA之間的隨機(jī)數(shù)fa-ha-nonce的密鑰信息至網(wǎng)絡(luò)鑒權(quán)服務(wù)器����;b.移動終端發(fā)起攜帶移動節(jié)點(diǎn)及AAA服務(wù)器之間認(rèn)證擴(kuò)展MN-AAA-AE的移動IP注冊請求,并經(jīng)外部代理FA轉(zhuǎn)發(fā)至家鄉(xiāng)代理HA�����;c.家鄉(xiāng)代理接收移動IP注冊請求�,請求AAA服務(wù)器驗(yàn)證MN-AAA-AE并下發(fā)HA相關(guān)密鑰信息���,HA根據(jù)所述HA相關(guān)密鑰信息獲得移動節(jié)點(diǎn)與家鄉(xiāng)代理之間的移動IP密鑰MN-HA-K以及外部代理與家鄉(xiāng)代理之間的移動IP密鑰FA-HA-K����;如果步驟a中AAA服務(wù)器未下發(fā)移動節(jié)點(diǎn)MN與外部代理FA之間的隨機(jī)數(shù)mn-fa-nonce或者移動節(jié)點(diǎn)與家鄉(xiāng)代理間隨機(jī)數(shù)mn-ha-nonce��,則AAA服務(wù)器下發(fā)mn-fa-nonce或mn-ha-nonce至家鄉(xiāng)代理HA���,以通過后續(xù)的移動IP注冊報(bào)告發(fā)送至相應(yīng)的移動IP功能實(shí)體�;d.家鄉(xiāng)代理發(fā)送移動IP注冊報(bào)告至外部代理,該移動IP注冊報(bào)告攜帶移動節(jié)點(diǎn)與家鄉(xiāng)代理間的認(rèn)證擴(kuò)展MN-HA-AE以及外部代理與家鄉(xiāng)代理間的認(rèn)證擴(kuò)展FA-HA-AE��;外部代理接收所述注冊報(bào)告后����,從所述網(wǎng)絡(luò)鑒權(quán)服務(wù)器獲得移動節(jié)點(diǎn)及外部代理之間的移動IP密鑰MN-FA-K以及外部代理與家鄉(xiāng)代理之間的移動IP密鑰FA-HA-K,并于驗(yàn)證FA-HA-AE后轉(zhuǎn)發(fā)攜帶MN-FA-AE的移動IP注冊報(bào)告至移動終端����;e.移動終端接收所述移動IP注冊報(bào)告,根據(jù)隨機(jī)數(shù)獲得MN-HA-K及MN-FA-K����,并驗(yàn)證相應(yīng)的認(rèn)證擴(kuò)展。
所述根密鑰包括擴(kuò)展主會話密鑰EMSK����、FA相關(guān)移動IP根密鑰MIP-FA-RK及移動IP根密鑰MIP-RK的其中之一。
所述HA相關(guān)密鑰信息包括MN-HA-K和FA-HA-K�����;或者擴(kuò)展主會話密鑰EMSK、FA相關(guān)移動IP根密鑰MIP-FA-RK及移動IP根密鑰MIP-RK三者其中之一����,MN-HA-K以及外部代理與家鄉(xiāng)代理之間的隨機(jī)數(shù)fa-ha-nonce;或者擴(kuò)展主會話密鑰EMSK���、FA相關(guān)移動IP根密鑰MIP-FA-RK及移動IP根密鑰MIP-RK三者其中之一����,移動節(jié)點(diǎn)與家鄉(xiāng)代理之間的隨機(jī)數(shù)mn-ha-nonce以及外部代理與家鄉(xiāng)代理之間的隨機(jī)數(shù)fa-ha-nonce���。
所述的方法還包括在鑒權(quán)認(rèn)證過程中����,網(wǎng)絡(luò)鑒權(quán)服務(wù)器把FA-IP地址發(fā)送給HAAA�;或者在家鄉(xiāng)代理向AAA請求HA相關(guān)密鑰信息時����,以外部代理IP作為請求的參數(shù)。
所述的方法還包括f.如果外部代理發(fā)生遷移��,由所述家鄉(xiāng)代理HA從AAA服務(wù)器獲得目標(biāo)外部代理TFA與家鄉(xiāng)代理HA之間的移動IP密鑰TFA-HA-K以及TFA相關(guān)隨機(jī)數(shù)�,并通知給相應(yīng)的移動IP功能實(shí)體;g.外部代理根據(jù)所述TFA相關(guān)隨機(jī)數(shù)或TFA的IP地址從網(wǎng)絡(luò)鑒權(quán)服務(wù)器獲得TFA相關(guān)移動IP密鑰;移動節(jié)點(diǎn)根據(jù)MN相關(guān)隨機(jī)數(shù)獲得MN相關(guān)移動IP密鑰�。
所述的方法還包括建立各移動IP功能實(shí)體之間的安全聯(lián)盟。
在重新鑒權(quán)認(rèn)證后���,進(jìn)行移動IP相關(guān)密鑰的更新����。
在重新鑒權(quán)認(rèn)證時����,移動終端MS與AAA服務(wù)器之間重新產(chǎn)生新的密鑰,該AAA服務(wù)器下發(fā)新的密鑰信息至網(wǎng)絡(luò)鑒權(quán)服務(wù)器�;同時AAA服務(wù)器通知家鄉(xiāng)代理發(fā)生了新的鑒權(quán)認(rèn)證;移動節(jié)點(diǎn)利用新的密鑰替代對應(yīng)舊的密鑰���,并發(fā)起移動IP注冊請求���,重新進(jìn)行步驟b至步驟e。
在重新鑒權(quán)認(rèn)證時��,移動終端MS與AAA服務(wù)器之間重新產(chǎn)生新的密鑰�,并且該AAA服務(wù)器下發(fā)新的密鑰信息至網(wǎng)絡(luò)鑒權(quán)服務(wù)器;移動節(jié)點(diǎn)利用新的密鑰替代對應(yīng)舊的密鑰����,并發(fā)起移動IP注冊請求�,重新進(jìn)行所述步驟b至步驟e����。
移動節(jié)點(diǎn)、外部代理及家鄉(xiāng)代理得知發(fā)生重新鑒權(quán)認(rèn)證后����,刪除已有的移動IP相關(guān)的安全聯(lián)盟。
在移動IP功能實(shí)體中密鑰的替換伴隨著安全聯(lián)盟的替換或建立�����。
一種移動IP密鑰的產(chǎn)生及分發(fā)方法��,其特征在于a.鑒權(quán)認(rèn)證過程中���,移動終端和認(rèn)證授權(quán)計(jì)費(fèi)服務(wù)器AAA產(chǎn)生移動終端相關(guān)密鑰�����;b.移動終端發(fā)起攜帶移動節(jié)點(diǎn)及AAA服務(wù)器之間認(rèn)證擴(kuò)展MN-AAA-AE的移動IP注冊請求,并經(jīng)外部代理FA轉(zhuǎn)發(fā)至家鄉(xiāng)代理HA�����;c.家鄉(xiāng)代理向AAA服務(wù)器請求HA相關(guān)密鑰信息,AAA服務(wù)器成功驗(yàn)證MN-AAA-AE后下發(fā)HA相關(guān)密鑰信息至HA�����;如果步驟a中AAA服務(wù)器未下發(fā)隨機(jī)數(shù)mn-ha-nonce至移動終端�,則AAA服務(wù)器下發(fā)相應(yīng)的隨機(jī)數(shù)至家鄉(xiāng)代理;d.家鄉(xiāng)代理處理所述的移動IP注冊請求��,并經(jīng)由外部代理轉(zhuǎn)發(fā)至移動終端��,該移動IP注冊請求中攜帶MN-HA-AE�����;如果步驟a中AAA服務(wù)器未下發(fā)隨機(jī)數(shù)mn-ha-nonce至移動終端�����,則在所述注冊請求中攜帶mn-ha-nonce����;e.移動終端根據(jù)隨機(jī)數(shù)以及由EMSK或該EMSK派生出的根密鑰,計(jì)算出MN-HA-K�,并驗(yàn)證所述MN-HA-AE��。
所述的方法還包括建立各移動IP功能實(shí)體之間的安全聯(lián)盟��。
在重新鑒權(quán)認(rèn)證時�����,移動終端MS與AAA服務(wù)器之間重新產(chǎn)生新的密鑰�����;移動節(jié)點(diǎn)利用新的密鑰替代對應(yīng)舊的密鑰��,并發(fā)起移動IP注冊請求���,重新進(jìn)行所述步驟b至步驟e。
在移動IP功能實(shí)體中密鑰的替換伴隨著安全聯(lián)盟的替換或建立���。
一種移動IP密鑰的產(chǎn)生及分發(fā)方法�����,其特征在于包括a.在鑒權(quán)認(rèn)證過程中����,認(rèn)證授權(quán)計(jì)費(fèi)服務(wù)器AAA發(fā)送密鑰信息至網(wǎng)絡(luò)鑒權(quán)服務(wù)器��;b.移動節(jié)點(diǎn)從所述網(wǎng)絡(luò)鑒權(quán)服務(wù)器獲得移動節(jié)點(diǎn)與家鄉(xiāng)代理之間的密鑰PMIP-K�,并發(fā)送攜帶PMIP-AE的移動IP注冊請求,經(jīng)由外部代理FA轉(zhuǎn)發(fā)到家鄉(xiāng)代理HA�;c.HA通過向AAA請求密鑰獲得PMIP-K,并發(fā)送攜帶PMIP-AE的移動IP注冊報(bào)告至移動節(jié)點(diǎn)���。
所述密鑰信息包括移動節(jié)點(diǎn)與家鄉(xiāng)代理之間的密鑰PMIP-K����,或者根密鑰及移動節(jié)點(diǎn)與家鄉(xiāng)代理之間的隨機(jī)數(shù)mn-ha-nonce��;所述根密鑰包括擴(kuò)展主會話密鑰EMSK或移動IP根密鑰MIP-RK�。
如果AAA下發(fā)的密鑰信息包括移動節(jié)點(diǎn)與AAA之間的密鑰MN-AAA-K,則所述移動IP注冊請求還攜帶移動節(jié)點(diǎn)與AAA之間的認(rèn)證擴(kuò)展MN-AAA-AE��;并在HA向AAA請求密鑰時����,由AAA驗(yàn)證所述認(rèn)證擴(kuò)展MN-AAA-AE。
在重新鑒權(quán)認(rèn)證時���,移動終端MS與AAA服務(wù)器之間重新產(chǎn)生新的密鑰����;移動節(jié)點(diǎn)利用新的密鑰替代對應(yīng)舊的密鑰,并發(fā)起移動IP注冊請求�,重新進(jìn)行所述步驟b至步驟c。
本發(fā)明的方法清楚給出了MIP相關(guān)的密鑰產(chǎn)生過程以及MIP密鑰的分發(fā)過程�,保證了MIP注冊過程的執(zhí)行。并且給出了FA遷移及重新認(rèn)證情況下密鑰的產(chǎn)生及更新���。
圖1為現(xiàn)有技術(shù)中集中式的WiMAX安全架構(gòu)體系�;圖2為現(xiàn)有技術(shù)中分布式的WiMAX安全架構(gòu)體系�����;圖3a為基于CMIP的完整的安全網(wǎng)絡(luò)架構(gòu)體系��;圖3b為基于PMIP的完整的安全網(wǎng)絡(luò)架構(gòu)體系�;
圖4為根據(jù)本發(fā)明的MN-AAA之間的密鑰不在鑒權(quán)過程中下發(fā)到錨鑒權(quán)者時PMIPv4的密鑰產(chǎn)生與分發(fā)流程示意圖;圖5為根據(jù)本發(fā)明的MN-AAA之間的密鑰在鑒權(quán)過程中下發(fā)到錨鑒權(quán)者時PMIPv4的密鑰產(chǎn)生與分發(fā)流程示意圖���;圖6為本發(fā)明中不產(chǎn)生FA相關(guān)密鑰時PMIPv4的密鑰產(chǎn)生與分發(fā)流程示意圖�����;圖7為本發(fā)明中產(chǎn)生FA相關(guān)密鑰時CMIPv4的密鑰產(chǎn)生與分發(fā)流程示意圖�����;圖8為本發(fā)明中不產(chǎn)生FA相關(guān)密鑰時CMIPv4的密鑰產(chǎn)生與分發(fā)流程示意圖����;圖9為本發(fā)明中CMIP模式下AAA主動通知HA重新認(rèn)證時對應(yīng)的密鑰產(chǎn)生與分發(fā)流程圖�;圖10為本發(fā)明中PMIP模式下AAA主動通知HA重新認(rèn)證時對應(yīng)的密鑰產(chǎn)生與分發(fā)流程圖;圖11為本發(fā)明中CMIP模式下HA主動通知AAA重新認(rèn)證時對應(yīng)的密鑰產(chǎn)生與分發(fā)流程圖�;圖12為本發(fā)明中CMIP模式下HA主動通知AAA重新認(rèn)證時對應(yīng)的密鑰產(chǎn)生與分發(fā)流程圖。
具體實(shí)施例方式
為使本發(fā)明的目的�、技術(shù)方案和優(yōu)點(diǎn)更加清楚,下面結(jié)合附圖對本發(fā)明的具體實(shí)施例進(jìn)行詳細(xì)說明�。
本發(fā)明旨在清楚的給出MIP相關(guān)的密鑰產(chǎn)生過程和產(chǎn)生機(jī)制,以及MIP密鑰的分發(fā)過程���,保證MIP注冊過程的執(zhí)行���,并提供FA遷移或重新認(rèn)證過程中,相關(guān)實(shí)體都能安全地更新密鑰信息���。
本發(fā)明中可以基于隨機(jī)數(shù)進(jìn)行移動IP密鑰的計(jì)算���,并且隨機(jī)數(shù)始終由AAA產(chǎn)生并且下發(fā)到網(wǎng)絡(luò)鑒權(quán)服務(wù)器NAS和/或MS��,得到隨機(jī)數(shù)(FA-HA-K還需要得知FA-IP)以后根據(jù)EMSK/MIP-RK/MIP-FA-RK就可以計(jì)算MIP密鑰�。
本發(fā)明還利用MIP-FA-RK作為專門派生FA相關(guān)密鑰的根密鑰���,以增強(qiáng)網(wǎng)絡(luò)安全性�。
下面首先對本發(fā)明中相關(guān)密鑰進(jìn)行說明��。
其中����,MIP-FA-RK是由EMSK直接或者間接派生出來的專門用于產(chǎn)生FA相關(guān)密鑰(MN-FA-K和FA-HA-K)的根密鑰。所述間接是指EMSK先派生出MIP-RK���,然后由MIP-RK派生MIP-FA-RK���。
派生MIP-FA-RK的公式可以如下MIP-FA-RK=HMAC-SHA1(EMSK,“FA ROOT KEY”)�����;或者M(jìn)IP-FA-RK=H(EMSK�����,“FA ROOT KEY”);以上僅是作為舉例來說明MIP-FA-RK與根密鑰的關(guān)系(根密鑰由接入認(rèn)證過程中的EAP過程產(chǎn)生�,EMSK只是根密鑰的一種),但其函數(shù)形式以及參數(shù)都不限于此�,對本領(lǐng)域的技術(shù)人員來說,根據(jù)EMSK或MIP-RK可以容易的得到產(chǎn)生FA相關(guān)密鑰的根密鑰����。
對于其它相關(guān)密鑰的計(jì)算可以舉例如下PMIP-K/MN-HA-KH(MIP-RK�����,”MN HA”����,mn-ha-nonce);MN-FA-KH(MIP-FA-RK��,”MN FA”�,mn-fa-nonce);FA-HA-KH(fa-ha-nonce�����,”FA HA”,F(xiàn)A-IP)��。
以上公式中H是一個Hash函數(shù)�,說明MIP密鑰如何和隨機(jī)數(shù)對應(yīng),以及和MIP-FA-RK之間的關(guān)系�����。H表示的函數(shù)可以是SHA-1���,MD5�����,RIPEMD-128/160����,但并不限于此�����。
其中mn-fa-nonce(MN-FA之間的隨機(jī)數(shù))��,mn-ha-nonce(MN-HA之間的隨機(jī)數(shù))��,fa-ha-nonce(FA-HA之間的隨機(jī)數(shù))均由AAA服務(wù)器產(chǎn)生并且下發(fā)。這里定義三個隨機(jī)數(shù)�,不意味著三個隨機(jī)數(shù)必須互相不同。
如果不定義MN-FA-RK�����,那么所有的MIP密鑰可以都由MIP-RK(或EMSK)產(chǎn)生�����,并且以上描述中的MIP-FA-RK均可由MIP-RK代替��。
下面分別針對具體實(shí)施例來說明本發(fā)明��。
實(shí)施例1PMIPv4的密鑰產(chǎn)生和分發(fā)在PMIPv4模式下���,可以分為如下幾種情況進(jìn)行說明(一)MN-FA之間、以及FA-HA之間需要安全性保證���,并且MN-AAA之間的密鑰不在鑒權(quán)認(rèn)證中下發(fā)到錨鑒權(quán)者時的密鑰產(chǎn)生與分發(fā)流程圖4為對應(yīng)的不下發(fā)MN-AAA之間的密鑰到錨鑒權(quán)者時的PMIP的密鑰產(chǎn)生和分發(fā)流程圖��,如圖4所示���,包括如下步驟1.鑒權(quán)認(rèn)證過程中,AAA服務(wù)器在和MS鑒權(quán)認(rèn)證過程中得到EMSK以后,計(jì)算并保存EMSK/MIP-FA-RK/MIP-RK和PMIP-K(可選�����,PMIP-K為PMIP模式中MN-HA-K的特殊符號)�����,并且下發(fā)密鑰信息到NAS(此時錨鑒權(quán)者作為NAS)�。保存MIP-FA-RK/MIP-RK后AAA服務(wù)器可以刪除EMSK。AAA保留EMSK/MIP-RK/MIP-FA-RK����,就可以按照HA的請求產(chǎn)生隨機(jī)數(shù)并且派生HA和FA/目標(biāo)FA之間的密鑰。
此步驟中AAA服務(wù)器下發(fā)到NAS的數(shù)據(jù)包括PMIP-K(或MN與HA之間的隨機(jī)數(shù)mn-ha-nonce)����,F(xiàn)A與HA之間的隨機(jī)數(shù)fa-ha-nonce,以及根密鑰(EMSK��、MIP-RK及MIP-FA-RK的其中之一)����;另外下發(fā)到NAS的數(shù)據(jù)還可以包括FA相關(guān)隨機(jī)數(shù),如MN與FA之間的隨機(jī)數(shù)mn-fa-nonce��。該隨機(jī)數(shù)也可以在后續(xù)的過程中下發(fā)。
EMSK/MIP-RK/MIP-FA-RK在鑒權(quán)認(rèn)證過程中下發(fā)到錨鑒權(quán)者��,使得錨鑒權(quán)者可以計(jì)算得出MN-FA以及FA-HA之間的密鑰����。
如果AAA服務(wù)器下發(fā)了mn-ha-nonce,錨鑒權(quán)者就可以通過EMSK/MIP-RK之一計(jì)算PMIP-K�。PMIP模式下,不下發(fā)隨機(jī)數(shù)到MS�����,如果下發(fā)了�����,MS將忽略該信息�����。
2.PMIP-client向錨鑒權(quán)者請求PMIP-K(以及MS的網(wǎng)絡(luò)接入標(biāo)識NAI信息)���,建立和HA的安全聯(lián)盟并且用其產(chǎn)生MN-HA-AE和NAI擴(kuò)展附加在移動IP注冊請求消息中,由FA轉(zhuǎn)發(fā)到HA���。FA不附加驗(yàn)證擴(kuò)展�����,因?yàn)榇藭rFA沒有和MN(PMIP-client)以及HA建立安全聯(lián)盟�。如果步驟1中隨機(jī)數(shù)mn-fa-nonce下發(fā)到了錨鑒權(quán)者,移動IP注冊請求轉(zhuǎn)發(fā)后���,可以向錨鑒權(quán)者請求MN-FA-K并且建立和HA以及MN(PMIP模式下為PMIP-client)之間的安全聯(lián)盟�。
對于密鑰和安全聯(lián)盟的關(guān)系的說明一般情況下要求對應(yīng)的移動IP實(shí)體在需要密鑰的時候�,才去請求或者計(jì)算密鑰信息;移動IP實(shí)體可以在真正需要密鑰信息之前獲得密鑰�,但是不表示當(dāng)時就建立安全聯(lián)盟。
由于錨鑒權(quán)者��、PMIP-client和FA初始位于同一個物理實(shí)體上�����,這些密鑰在它們之間可以安全的共享����。因此圖4中PMIP-client向錨鑒權(quán)者發(fā)起的密鑰請求(K-request)以及錨鑒權(quán)者返回的響應(yīng)消息(K-respond)為內(nèi)部消息,故用虛線表示�。
3.HA收到移動IP注冊請求后向AAA服務(wù)器請求NAI對應(yīng)的PMIP-K/mn-ha-nonce���,EMSK/MIP-RK/MIP-FA-RK/FA-HA-K,以及FA相關(guān)的隨機(jī)數(shù)mn-fa-nonce和fa-ha-nonce(在AAA直接下發(fā)了FA-HA-K的情況下����,可以不下發(fā)fa-ha-nonce),以直接獲得或通過計(jì)算獲得PMIP-K及FA-HA-K�����。AAA把所請求的信息下發(fā)給HA��。由于AAA根據(jù)FA-IP才能計(jì)算FA-HA-K����,因此AAA在計(jì)算FA-HA-K時,需要步驟1中NAS將FA-IP發(fā)送給AAA或者在在步驟3中由HA向AAA請求密鑰時通知給AAA服務(wù)器���。
如果AAA沒有直接下發(fā)PMIP-K和FA-HA-K�����,則HA需要根據(jù)隨機(jī)數(shù)計(jì)算PMIP-K和FA-HA-K。如果HA位于拜訪網(wǎng)絡(luò)�����,需要通過VAAA作為代理,才能和HAAA交互����。
如果步驟1中AAA服務(wù)器未下發(fā)隨機(jī)數(shù)mn-fa-nonce,則需要在該步驟3中下發(fā)所述隨機(jī)數(shù)mn-fa-nonce至HA���,以通過后續(xù)的消息(如移動IP注冊報(bào)告消息)通知給所述錨鑒權(quán)者�。
4.由HA驗(yàn)證MN-HA-AE即PMIP-AE后�,如果合法,處理注冊請求消息�。如果注冊成功,然后發(fā)送攜帶mn-fa-nonce(如果步驟1中未下發(fā))����,MN-HA-AE以及FA-HA-AE的MIP注冊報(bào)告給FA。同時�,HA建立和MN以及FA的安全聯(lián)盟。
5.FA收到MIP注冊報(bào)告后�,如果FA還沒有獲得相關(guān)密鑰信息(如步驟1中隨機(jī)數(shù)mn-fa-nonce沒有下發(fā)),把隨機(jī)數(shù)mn-fa-nonce告訴錨鑒權(quán)者請求計(jì)算MN-FA-K以及FA-HA-K�����。得到密鑰后,驗(yàn)證FA-HA-AE并且在轉(zhuǎn)發(fā)的MIP注冊報(bào)告中攜帶mn-fa-nonce(可選)�����,MN-FA-AE以及MN-HA-AE���。FA建立和HA以及MN(PMIP模式下應(yīng)該是PMIP-Client)之間的安全聯(lián)盟��。
6.當(dāng)PMIP-Client收到MIP注冊報(bào)告后�����,如果還沒有獲得和FA之間相關(guān)密鑰信息��,攜帶mn-fa-nonce向錨鑒權(quán)者請求MN-FA-K����,并驗(yàn)證MN-FA-AE��。PMIP-client建立和FA之間的安全聯(lián)盟����。此時���,所有的密鑰和安全聯(lián)盟都已經(jīng)分發(fā)或者建立完成�。只有當(dāng)FA遷移,或者密鑰過期����,才需要重新計(jì)算全部或者部分密鑰。
7.FA遷移后��,可以是代理移動IP輔助功能實(shí)體(PMIP-Assist-Entity)向PMIP-Client請求完整的MIP注冊請求消息�,也可以是PMIP-Client本身發(fā)送MIP注冊請求消息。這個注冊請求消息(攜帶MN-HA-AE���,NAI擴(kuò)展��,依據(jù)RFC3957的要求����,請求關(guān)于MN-FA之間的隨機(jī)數(shù))經(jīng)TFA轉(zhuǎn)發(fā)到HA����。TFA沒有和MN以及HA之間的安全聯(lián)盟。HA向AAA server請求NAI對應(yīng)的隨機(jī)數(shù)mn-tfa-nonce以及TFA-HA-K�����。HA建立和TFA之間的安全聯(lián)盟。
8.HA驗(yàn)證MN-HA-AE后�,處理MIP注冊請求,如果注冊成功�,發(fā)送MIP注冊報(bào)告攜帶TFA-HA-AE以及隨機(jī)數(shù)mn-tfa-nonce。TFA收到MIP注冊報(bào)告消息后��,接攜帶新隨機(jī)數(shù)mn-tfa-nonce向錨鑒權(quán)者請求密鑰(MN-TFA-K區(qū)別于原密鑰在于引入了新隨機(jī)數(shù)作為計(jì)算參數(shù)�,TFA-HA-K區(qū)別于原密鑰在于引入了新TFA-IP地址作為計(jì)算參數(shù)),并且建立和MN(PMIP模式下應(yīng)該是PMIP-Client)以及HA的安全聯(lián)盟�����。驗(yàn)證TFA-HA-AE后�,TFA轉(zhuǎn)發(fā)MIP注冊報(bào)告攜帶MN-HA-AE(PMIP-AE)和MN-TFA-AE。
9.如果是移動IP輔助功能實(shí)體(PMIP-Assist-Entity)收到MIP注冊報(bào)告后�,需要轉(zhuǎn)發(fā)到PMIP-Client要求驗(yàn)證,或者PMIP-Client直接再次向錨鑒權(quán)者請求MN-TFA-K�����,并且進(jìn)行驗(yàn)證�����,PMIP-client建立和TFA之間的安全聯(lián)盟。如果有PMIP-Assist-Entity參與����,最后把驗(yàn)證結(jié)果發(fā)送給和FA綁定的PMIP-Assist-Entity所在的接入服務(wù)網(wǎng)絡(luò)網(wǎng)關(guān)(ASN-GW)。
(二)MN-FA之間�、以及FA-HA之間需要安全性保證���,并且MN-AAA之間的密鑰在鑒權(quán)認(rèn)證中下發(fā)到錨鑒權(quán)者時的密鑰產(chǎn)生與分發(fā)流程圖5為對應(yīng)的下發(fā)MN-AAA之間的密鑰到錨鑒權(quán)者時的PMIP的密鑰產(chǎn)生和分發(fā)流程圖��,如圖4所示���,包括如下步驟1.鑒權(quán)認(rèn)證過程中,AAA在和MS鑒權(quán)認(rèn)證過程中得到EMSK以后����,計(jì)算并保存EMSK/MIP-FA-RK/MIP-RK和PMIP-K(可選,PMIP-K為PMIP模式中MN-HA-K的特殊符號)�,并且下發(fā)密鑰信息到NAS(此過程中錨鑒權(quán)者作為NAS)。保存MIP-FA-RK/MIP-RK后AAA服務(wù)器可以刪除EMSK�。此過程中AAA服務(wù)器下發(fā)到NAS的數(shù)據(jù)可以包括PMIP-K/mn-ha-nonce,MN-AAA-K�����,fa-ha-nonce,EMSK/MIP-RK/MIP-FA-RK��;另外下發(fā)到NAS的數(shù)據(jù)還可以包括隨機(jī)數(shù)mn-fa-nonce��。該隨機(jī)數(shù)也可以在后續(xù)的過程中下發(fā)����。
如果下發(fā)了mn-ha-nonce,錨鑒權(quán)者就可以通過EMSK或MIP-RK計(jì)算PMIP-K���。PMIP模式下��,不下發(fā)隨機(jī)數(shù)到MS����,如果下發(fā)了���,MS將忽略該信息��。
2.PMIP-client向錨鑒權(quán)者請求MN-AAA-K以及MS的NAI信息���,按照RFC3957的方式并且用其產(chǎn)生MN-AAA-AE和NAI擴(kuò)展附加在移動IP注冊請求消息中,由FA轉(zhuǎn)發(fā)到HA���。FA不附加驗(yàn)證擴(kuò)展��,因?yàn)榇藭rFA沒有和MN(PMIP-client)以及HA建立安全聯(lián)盟���。如果步驟1中隨機(jī)數(shù)mn-fa-nonce下發(fā)到了錨鑒權(quán)者�����,移動IP注冊請求轉(zhuǎn)發(fā)后���,F(xiàn)A可以向錨鑒權(quán)者請求MN-FA-K并且建立和HA以及MN(PMIP-client)之間的安全聯(lián)盟�����。
3.HA收到移動IP注冊請求后向AAA服務(wù)器請求NAI對應(yīng)的PMIP-K或者mn-ha-nonce���,EMSK/MIP-RK/MIP-FA-RK/FA-HA-K��,以及FA相關(guān)的隨機(jī)數(shù)mn-fa-nonce和fa-ha-nonce(在AAA直接下發(fā)了FA-HA-K的情況下�����,可以不下發(fā)fa-ha-nonce)�����。AAA成功驗(yàn)證MN-AAA-AE后����,把所請求的信息下發(fā)給HA。如果AAA沒有直接下發(fā)PMIP-K和FA-HA-K�,則HA需要計(jì)算PMIP-K和FA-HA-K。如果HA位于拜訪網(wǎng)絡(luò)�,需要通過VAAA作為代理,才能和HAAA交互��。
如果步驟1中AAA服務(wù)器未下發(fā)隨機(jī)數(shù)mn-fa-nonce����,則需要在該步驟3中下發(fā)所述隨機(jī)數(shù)mn-fa-nonce至HA,以通過后續(xù)的消息(如移動IP注冊報(bào)告消息)通知給所述錨鑒權(quán)者�����。
4.AAA服務(wù)器驗(yàn)證通過后�,由HA處理注冊請求消息。如果注冊成功��,然后發(fā)送攜帶mn-fa-nonce�����,MN-HA-AE以及FA-HA-AE的MIP注冊報(bào)告給FA。HA建立和MN(PMIP模式下應(yīng)該是PMIP-Client)以及FA的安全聯(lián)盟�。
5.FA收到MIP注冊報(bào)告后,如果FA還沒有獲得相關(guān)密鑰信息(如步驟1中隨機(jī)數(shù)mn-fa-nonce沒有下發(fā))����,把隨機(jī)數(shù)mn-fa-nonce告訴錨鑒權(quán)者請求計(jì)算MN-FA-K以及FA-HA-K。得到密鑰后���,驗(yàn)證FA-HA-AE并且在轉(zhuǎn)發(fā)的MIP注冊報(bào)告中攜帶mn-fa-nonce���,MN-FA-AE以及MN-HA-AE。FA建立和HA以及MN(PMIP模式下應(yīng)該是PMIP-Client)之間的安全聯(lián)盟���。
6.當(dāng)PMIP-Client收到MIP注冊報(bào)告后,如果還沒有獲得和FA之間相關(guān)密鑰信息(如步驟1中隨機(jī)數(shù)mn-fa-nonce沒有下發(fā))���,攜帶mn-fa-nonce向錨鑒權(quán)者請求MN-FA-K����,并驗(yàn)證MN-FA-AE���。PMIP-client建立和FA之間的安全聯(lián)盟�。此時,所有的密鑰和安全聯(lián)盟都已經(jīng)分發(fā)或者建立完成����。只有當(dāng)FA遷移,或者密鑰過期����,才需要重新計(jì)算全部或者部分密鑰。
7.FA遷移后��,可以是代理移動IP輔助功能實(shí)體(PMIP-Assist-Entity)向PMIP-Client請求完整的MIP注冊請求消息��,也可以是PMIP-Client本身發(fā)送MIP注冊請求消息�。這個注冊請求消息(攜帶MN-HA-AE,NAI擴(kuò)展�,MN-AAA-AE,依據(jù)RFC3957的要求�,請求關(guān)于MN-FA之間的隨機(jī)數(shù))經(jīng)TFA轉(zhuǎn)發(fā)到HA。TFA沒有和MN以及HA之間的安全聯(lián)盟����。HA向AAA服務(wù)器請求NAI對應(yīng)的隨機(jī)數(shù)mn-tfa-nonce以及TFA-HA-K。HA建立和TFA之間的安全聯(lián)盟。
8.HA驗(yàn)證MN-HA-AE后�,處理MIP注冊請求,如果注冊成功��,發(fā)送MIP注冊報(bào)告攜帶TFA-HA-AE以及隨機(jī)數(shù)mn-tfa-nonce��。TFA收到MIP注冊報(bào)告消息后���,接攜帶新隨機(jī)數(shù)mn-tfa-nonce向錨鑒權(quán)者請求密鑰��,并且建立和MN(PMIP模式下應(yīng)該是PMIP-Client)以及HA的安全聯(lián)盟�����。驗(yàn)證TFA-HA-AE后���,TFA轉(zhuǎn)發(fā)MIP注冊報(bào)告攜帶MN-HA-AE(PMIP-AE)和MN-TFA-AE。
9.如果是移動IP輔助功能實(shí)體(PMIP-Assist-Entity)收到MIP注冊報(bào)告后��,需要轉(zhuǎn)發(fā)到PMIP-Client要求驗(yàn)證�,或者PMIP-Client直接再次向錨鑒權(quán)者請求MN-TFA-K��,并且進(jìn)行驗(yàn)證��,PMIP-client建立和TFA之間的安全聯(lián)盟�。如果有PMIP-Assist-Entity參與���,最后把驗(yàn)證結(jié)果發(fā)送給和FA綁定的PMIP-Assist-Entity所在的接入服務(wù)網(wǎng)絡(luò)網(wǎng)關(guān)(ASN-GW)。
(三)不產(chǎn)生FA相關(guān)密鑰時的密鑰產(chǎn)生及分發(fā)如圖6所示���,具體包括如下步驟1.PMIP-K(或者根密鑰EMSK/MIP-RK與MN與HA之間的隨機(jī)數(shù)mn-ha-nonce)在鑒權(quán)認(rèn)證過程中產(chǎn)生并且下發(fā)�����,同時也可以下發(fā)MN-AAA-K��;2.PMIP client向錨鑒權(quán)者請求PMIP-K�����;3.PMIP client發(fā)送攜帶MN-HA-AE的MIP注冊請求��,經(jīng)由FA轉(zhuǎn)發(fā)到HA���;如果MN-AAA-K在步驟1中下發(fā)了,則所述MIP注冊請求還可以攜帶MN-AAA-AE�����;4.HA向HAAA請求PMIP-K,如果步驟3中攜帶了MN-AAA-AE�,HAAA就需要先驗(yàn)證MN-AAA-AE,如果HA位于拜訪網(wǎng)絡(luò)���,需要VAAA作為代理�����;5.HA驗(yàn)證MN-HA-AE后�����,處理MIP注冊請求���,如果注冊成功,發(fā)送移動IP注冊報(bào)告MIP-RRP(攜帶MN-HA-AE)�����,經(jīng)由FA轉(zhuǎn)發(fā)到PMIP client��。
實(shí)施例2CMIPv4的密鑰產(chǎn)生與分發(fā)(一)MN-FA之間���、以及FA-HA之間需要安全性保證情況下的CMIPv4的密鑰產(chǎn)生與分發(fā)如圖7所示,具體包括如下步驟1.鑒權(quán)認(rèn)證過程中,AAA在和MS鑒權(quán)認(rèn)證過程中得到EMSK以后���,計(jì)算并保存EMSK/MIP-FA-RK/MIP-RK和MN-HA-K(可選)�,并且下發(fā)到NAS(此過程中錨鑒權(quán)者作為NAS)����。此過程中AAA服務(wù)器下發(fā)到NAS的數(shù)據(jù)可以包括FA與HA之間的隨機(jī)數(shù)fa-ha-nonce,EMSK/MIP-RK/MIP-FA-RK���。另外下發(fā)到NAS的數(shù)據(jù)還可以包括MN與FA之間的隨機(jī)數(shù)mn-fa-nonce�,該隨機(jī)數(shù)也可以在后續(xù)的過程中下發(fā)�。
AAA也可以在此過程中把mn相關(guān)隨機(jī)數(shù)(mn-ha-nonce及/或mn-fa-nonce)下發(fā)到MS。
如果錨鑒權(quán)者請求時附帶了FA-IP����,那么AAA就可以計(jì)算FA-HA-K。
2.當(dāng)MS收到FA的代理廣播消息后��,MS發(fā)起一次MIP注冊請求(依據(jù)RFC3957的要求���,請求關(guān)于MN-HA/MN-FA之間的隨機(jī)數(shù))�����,攜帶有MN-AAA-AE��。此MIP注冊請求經(jīng)由FA轉(zhuǎn)發(fā)到HA���。如果步驟1中隨機(jī)數(shù)mn-ha-nonce下發(fā)到了MS��,MS就可以計(jì)算出MN-HA-K���,在注冊請求中就可以附加上MN-HA-AE,MS建立和HA之間的安全聯(lián)盟���。
3.HA無法驗(yàn)證MN-AAA-AE����,于是求助AAA服務(wù)器�。AAA服務(wù)器驗(yàn)證MN-AAA-AE通過后,如果步驟1中沒有產(chǎn)生隨機(jī)數(shù)����,則產(chǎn)生三個隨機(jī)數(shù)(記為mn-fa-nonce,mn-ha-nonce�����,fa-ha-nonce),并且計(jì)算MN-HA-K以及FA-HA-K(FA-IP可以在步驟1中發(fā)送給AAA或者通過在HA的移動IP注冊請求中攜帶給AAA)��,和隨機(jī)數(shù)(mn-ha-nonce�,fa-ha-nonce)一起被下發(fā)到HA����。如果HA有計(jì)算移動IP密鑰的能力,也可以把EMSK/MIP-RK連同隨機(jī)數(shù)(mn-ha-nonce��,fa-ha-nonce)下發(fā)給HA���,由HA計(jì)算MN-HA-K以及FA-HA-K(HA已知FA的IP地址)���。如果HA位于拜訪網(wǎng)絡(luò),需要通過VAAA作為代理���,才能和HAAA交互�。如果步驟1中AAA服務(wù)器未下發(fā)mn-fa-nonce至錨鑒權(quán)者或者未下發(fā)移動節(jié)點(diǎn)相關(guān)隨機(jī)數(shù)(mn-ha-nonce及/或mn-fa-nonce)至移動終端�,則AAA服務(wù)器下發(fā)mn-fa-nonce或mn-ha-nonce至家鄉(xiāng)代理HA,以通過后續(xù)的移動IP注冊報(bào)告對應(yīng)地發(fā)送至錨鑒權(quán)者或移動終端MS���;4.HA收到AAA驗(yàn)證結(jié)果�����,密鑰和隨機(jī)數(shù)后�����,如果步驟1中附加了MN-HA-AE����,還需要驗(yàn)證MN-HA-AE,如果合法�,或者步驟1中沒有附加MN-HA-AE,則處理注冊請求消息����。如果注冊成功,HA利用MN-HA-K以及FA-HA-K建立和MN以及FA之間的安全聯(lián)盟��。HA發(fā)送MIP注冊報(bào)告給FA���,攜帶隨機(jī)數(shù)(mn-fa-nonce�、mn-ha-nonce)����,MN-HA-AE以及FA-HA-AE�����。
5.FA從HA接收到MIP注冊報(bào)告消息后�,如果FA還沒有獲得相關(guān)密鑰信息�����,發(fā)送密鑰請求消息K-Request(所需密鑰相關(guān)隨機(jī)數(shù)以及FA的IP地址)向錨鑒權(quán)者請求密鑰信息��。錨鑒權(quán)者把所請求的密鑰作為回應(yīng)發(fā)給FA�。FA得到密鑰(MN-FA-K以及FA-HA-K)后建立和MS以及HA之間的安全聯(lián)盟���,并且驗(yàn)證MIP報(bào)告消息的FA-HA-AE����,并且發(fā)送MIP注冊報(bào)告(攜帶mn-fa-nonce和mn-ha-nonce�,以及MN-HA-AE,MN-FA-AE)���。
6.MS根據(jù)MIP-RK和或MIP-FA-RK以及從MIP注冊報(bào)告的消息中得到的隨機(jī)數(shù)(mn-fa-nonce和mn-ha-nonce)計(jì)算出MN-FA-K以及MN-HA-K����,并且對MN-FA-AE和MN-HA-AE進(jìn)行驗(yàn)證。然后MS建立和FA以及HA之間的安全聯(lián)盟�。這樣,所有的實(shí)體都獲得了應(yīng)該有的密鑰信息以及安全聯(lián)盟��,只有當(dāng)FA遷移���,或者密鑰過期��,才需要重新計(jì)算全部或者部分密鑰����。
7.當(dāng)FA發(fā)生了遷移�,MS收到TFA的代理廣播消息以后,發(fā)送MIP注冊請求(攜帶MN-HA-AE��,NAI擴(kuò)展��,MN-AAA-AE����,依據(jù)RFC3957的要求,請求關(guān)于MN-TFA之間的隨機(jī)數(shù))�����。TFA收到這個消息以后轉(zhuǎn)發(fā)給HA。
8.HA發(fā)現(xiàn)沒有TFA-HA-K����,就向AAA服務(wù)器請求隨機(jī)數(shù)(mn-tfa-nonce)以及TFA-HA-K。HA從AAA獲得或者計(jì)算TFA-HA-K后把AAA新產(chǎn)生的隨機(jī)數(shù)(mn-tfa-nonce)發(fā)送到TFA�,并且在MIP注冊報(bào)告消息中攜帶MN-HA-AE以及TFA-HA-AE。HA建立和TFA之間的安全聯(lián)盟��。
9.TFA收到MIP注冊報(bào)告消息后��,直接攜帶新隨機(jī)數(shù)向錨鑒權(quán)者請求密鑰(MN-TFA-K區(qū)別于原密鑰在于引入了新隨機(jī)數(shù)mn-tfa-nonce作為計(jì)算參數(shù)����,TFA-HA-K區(qū)別于原密鑰在于引入了新TFA-IP地址作為計(jì)算參數(shù)�,而隨機(jī)數(shù)fa-ha-nonce不需要更新)并且建立和MS以及HA之間的安全聯(lián)盟,并且驗(yàn)證TFA-HA-AE�。MS收到mn-tfa-nonce后計(jì)算MN-TFA-K后驗(yàn)證MN-TFA-AE,用原來的MN-HA-K驗(yàn)證MN-HA-AE�����。
(二)不產(chǎn)生FA相關(guān)密鑰時的密鑰產(chǎn)生及分發(fā)如圖8所示�,包括如下步驟
1.鑒權(quán)認(rèn)證過程中沒有密鑰下發(fā),但是MS和AAA可以產(chǎn)生相同的MIP-RK;可選的��,AAA也可以在此過程中把mn相關(guān)隨機(jī)數(shù)(mn-ha-nonce)下發(fā)到MS��。
2.MS收到FA廣播消息后��,發(fā)送MIP注冊消息(攜帶MN-AAA-AE)���,由FA轉(zhuǎn)發(fā)到HA�����;如果步驟1中隨機(jī)數(shù)mn-ha-nonce下發(fā)到了MS�,MS就可以計(jì)算出MN-HA-K��,在注冊請求中就可以附加上MN-HA-AE�����,MS建立和HA之間的安全聯(lián)盟�����。
3.HA向HAAA請求MN-HA-K以及隨機(jī)數(shù)�,如果HA位于拜訪網(wǎng)絡(luò),需要VAAA作為代理;4.HA驗(yàn)證MN-HA-AE后����,處理MIP注冊請求,如果注冊成功�,發(fā)送移動IP注冊報(bào)告MIP-RRP(攜帶隨機(jī)數(shù)和MN-HA-AE),經(jīng)由FA轉(zhuǎn)發(fā)到MS�����;5.MS得到隨機(jī)數(shù)以后��,就可以根據(jù)MIP-RK計(jì)算MN-HA-K����,然后驗(yàn)證MN-HA-AE。
實(shí)施例3重鑒權(quán)認(rèn)證時密鑰的產(chǎn)生與分發(fā)在重新鑒權(quán)認(rèn)證時�����,AAA重新產(chǎn)生隨機(jī)數(shù)��,所有實(shí)體刪除相關(guān)安全聯(lián)盟(或者不刪除����,而在后續(xù)進(jìn)行安全聯(lián)盟的替換),重新按照本發(fā)明步驟產(chǎn)生和分發(fā)密鑰信息�����。HA在PMIP模式及CMIP模式下�,可以是由AAA主動通知重新鑒權(quán)認(rèn)證,也可以是從移動IP注冊請求MIP-RRQ中的MN-AAA-AE判斷����。
一、CMIP模式下�,AAA主動通知HA時對應(yīng)的密鑰產(chǎn)生與分發(fā)如圖9所示,具體包括如下步驟1.當(dāng)重新鑒權(quán)認(rèn)證時����,移動終端MS與AAA服務(wù)器之間重新產(chǎn)生新的MS相關(guān)密鑰;在需要產(chǎn)生FA相關(guān)密鑰的情況下���,AAA發(fā)送新的密鑰信息至錨鑒權(quán)者�,F(xiàn)A和錨鑒權(quán)者直接通過內(nèi)部消息交互�����;2.AAA在重新產(chǎn)生MS相關(guān)密鑰后����,主動通知(例如通過重新認(rèn)證指示Re-Authen-Ind通知)HA發(fā)生了重新鑒權(quán)認(rèn)證����;3.所有介入的移動IP功能實(shí)體���,在得知重新鑒權(quán)認(rèn)證后����,刪除原來已有的移動IP注冊相關(guān)的安全聯(lián)盟��;4.移動節(jié)點(diǎn)利用新的密鑰替代對應(yīng)的舊的密鑰�,并發(fā)起移動IP注冊請求,從而重新進(jìn)入CMIP模式下實(shí)施實(shí)例的(一)中步驟2及后續(xù)步驟��,開始重新建立安全聯(lián)盟以及分發(fā)密鑰���。
對于不產(chǎn)生FA相關(guān)密鑰時���,CMIP模式下密鑰產(chǎn)生及分發(fā)是上述步驟的進(jìn)一步簡化在重新鑒權(quán)認(rèn)證時�,移動終端MS與AAA服務(wù)器之間重新產(chǎn)生新的MS相關(guān)密鑰;AAA在重新產(chǎn)生MS相關(guān)密鑰后���,主動通知HA發(fā)生了重新鑒權(quán)認(rèn)證����;移動節(jié)點(diǎn)利用新的密鑰替代對應(yīng)舊的密鑰,并發(fā)起移動IP注冊請求�,重新進(jìn)行實(shí)施例2的(二)中步驟2及其后續(xù)步驟。
二��、PMIP模式下�����,AAA主動通知HA時對應(yīng)的密鑰產(chǎn)生與分發(fā)如圖10所示�����,具體包括如下步驟1.當(dāng)重新鑒權(quán)認(rèn)證時�����,MS相關(guān)的密鑰重新產(chǎn)生��,AAA發(fā)送新的密鑰信息至錨鑒權(quán)者�����,F(xiàn)A、PMIP-client和錨鑒權(quán)者直接通過內(nèi)部消息交互��;2.AAA在重新產(chǎn)生MS相關(guān)密鑰后�,主動通知HA發(fā)生了重新鑒權(quán)認(rèn)證;3.所有介入的移動IP功能實(shí)體�,在得知重新鑒權(quán)認(rèn)證后,刪除原來已有的移動IP注冊相關(guān)的安全聯(lián)盟�;4.移動節(jié)點(diǎn)利用新的密鑰替代對應(yīng)的舊的密鑰,并發(fā)起移動IP注冊請求�,之后的步驟,從而重新進(jìn)入PMIP模式下實(shí)施實(shí)例中步驟2及后續(xù)步驟�����,開始重新建立安全聯(lián)盟以及分發(fā)密鑰��。
對于不產(chǎn)生FA相關(guān)密鑰時��,PMIP模式下密鑰產(chǎn)生及分發(fā)是上述步驟的進(jìn)一步簡化�����,在此不作詳細(xì)描述�。
三、CMIP模式下���,HA主動通知AAA時對應(yīng)的密鑰產(chǎn)生與分發(fā)如圖11所示�����,具體包括如下步驟1.當(dāng)重新鑒權(quán)認(rèn)證時�,移動終端MS與AAA服務(wù)器之間重新產(chǎn)生新的MS相關(guān)密鑰����;在需要產(chǎn)生FA相關(guān)密鑰的情況下,AAA發(fā)送新的密鑰信息至錨鑒權(quán)者�,F(xiàn)A和錨鑒權(quán)者直接通過內(nèi)部消息交互;2.MS發(fā)起移動IP注冊請求�,并且攜帶MN-AAA-AE,F(xiàn)A轉(zhuǎn)發(fā)收到的移動IP注冊請求消息���,HA收到含有MN-AAA-AE的移動IP注冊請求消息后����,就知道發(fā)生了重新鑒權(quán)認(rèn)證�;所有介入的移動IP功能實(shí)體,在得知重新鑒權(quán)認(rèn)證后����,刪除原來已有的移動IP注冊相關(guān)的安全聯(lián)盟���;3.移動節(jié)點(diǎn)利用新的密鑰替代對應(yīng)的舊的密鑰,并發(fā)起移動IP注冊請求����,從而從新進(jìn)入CMIP模式下實(shí)施實(shí)例的(一)中步驟2及后續(xù)步驟,開始重新建立安全聯(lián)盟以及分發(fā)密鑰�。
對于不產(chǎn)生FA相關(guān)密鑰時,CMIP模式下密鑰產(chǎn)生及分發(fā)是上述步驟的進(jìn)一步簡化���,在此不作詳細(xì)描述��。
四����、PMIP模式下�����,HA主動通知AAA時對應(yīng)的密鑰產(chǎn)生與分發(fā)如圖12所示���,具體包括如下步驟1.當(dāng)重新鑒權(quán)認(rèn)證時�,MS相關(guān)的密鑰重新產(chǎn)生,AAA發(fā)送新的密鑰信息至錨鑒權(quán)者�����,F(xiàn)A����、PMIP-client和錨鑒權(quán)者直接通過內(nèi)部消息交互��;2.PMIP-client發(fā)起移動IP注冊請求�,并且攜帶MN-AAA-AE,F(xiàn)A轉(zhuǎn)發(fā)收到的移動IP注冊請求消息�����,HA收到含有MN-AAA-AE的移動IP注冊請求消息后���,就知道發(fā)生了重新鑒權(quán)認(rèn)證�����;所有介入的移動IP功能實(shí)體����,在得知重新鑒權(quán)認(rèn)證后,刪除原來已有的移動IP注冊相關(guān)的安全聯(lián)盟�;3.移動節(jié)點(diǎn)利用新的密鑰替代對應(yīng)的舊的密鑰,并發(fā)起移動IP注冊請求���,之后的步驟�,從而重新進(jìn)入PMIP模式下實(shí)施實(shí)例中步驟2及后續(xù)步驟���,開始重新建立安全聯(lián)盟以及分發(fā)密鑰���。
對于不產(chǎn)生FA相關(guān)密鑰時,PMIP模式下密鑰產(chǎn)生及分發(fā)是上述步驟的進(jìn)一步簡化���,在此不作詳細(xì)描述����。
綜上所述����,本發(fā)明清楚給出了MIP相關(guān)的密鑰產(chǎn)生過程和產(chǎn)生機(jī)制,以及MIP密鑰的分發(fā)過程�����,保證MIP注冊過程的執(zhí)行。并且給出了FA遷移及重新認(rèn)證情況下密鑰的產(chǎn)生及更新���。
以上具體實(shí)施方式
僅用于說明本發(fā)明����,而非用于限定本發(fā)明����。凡在本發(fā)明的精神和原則之內(nèi)����,所做的任何修改、等同替換����、改進(jìn)等,均應(yīng)包含在本發(fā)明的保護(hù)范圍之內(nèi)����。
權(quán)利要求
1.一種移動IP密鑰的產(chǎn)生及分發(fā)方法,其特征在于在鑒權(quán)認(rèn)證過程中���,認(rèn)證授權(quán)計(jì)費(fèi)AAA服務(wù)器下發(fā)包括根密鑰及外部代理FA與家鄉(xiāng)代理HA之間的隨機(jī)數(shù)fa-ha-nonce的密鑰信息至網(wǎng)絡(luò)鑒權(quán)服務(wù)器��;家鄉(xiāng)代理HA通過AAA服務(wù)器獲得家鄉(xiāng)代理相關(guān)的移動IP密鑰���;如果AAA服務(wù)器未下發(fā)移動節(jié)點(diǎn)MN與外部代理FA之間的隨機(jī)數(shù)mn-fa-nonce至網(wǎng)絡(luò)鑒權(quán)服務(wù)器���,則AAA服務(wù)器下發(fā)該隨機(jī)數(shù)至家鄉(xiāng)代理,并經(jīng)外部代理通知網(wǎng)絡(luò)鑒權(quán)服務(wù)器�;外部代理根據(jù)FA相關(guān)隨機(jī)數(shù)及/或FA的IP地址從所述網(wǎng)絡(luò)鑒權(quán)服務(wù)器獲得FA相關(guān)移動IP密鑰;移動節(jié)點(diǎn)從所述網(wǎng)絡(luò)鑒權(quán)服務(wù)器獲得MN相關(guān)移動IP密鑰��。
2.根據(jù)權(quán)利要求1所述的方法���,其特征在于具體包括如下步驟a.鑒權(quán)認(rèn)證過程中�����,認(rèn)證授權(quán)計(jì)費(fèi)AAA服務(wù)器下發(fā)密鑰信息至網(wǎng)絡(luò)鑒權(quán)服務(wù)器�,網(wǎng)絡(luò)鑒權(quán)服務(wù)器根據(jù)所述密鑰信息至少獲得移動節(jié)點(diǎn)與家鄉(xiāng)代理之間的移動IP密鑰MN-HA-K及/或移動節(jié)點(diǎn)與AAA服務(wù)器之間的密鑰MN-AAA-K�;所述密鑰信息至少包括根密鑰及外部代理FA與家鄉(xiāng)代理HA之間的隨機(jī)數(shù)fa-ha-nonce;b.移動節(jié)點(diǎn)發(fā)起移動IP注冊請求�,經(jīng)外部代理FA轉(zhuǎn)發(fā)至家鄉(xiāng)代理HA,該移動IP注冊請求中攜帶MN-HA-AE及/或移動節(jié)點(diǎn)與AAA服務(wù)器之間的認(rèn)證擴(kuò)展MN-AAA-AE�����;c.家鄉(xiāng)代理HA接收所述的移動IP注冊請求,并請求AAA服務(wù)器下發(fā)HA相關(guān)密鑰信息���,以獲得移動節(jié)點(diǎn)與家鄉(xiāng)代理之間的移動IP密鑰MN-HA-K以及外部代理與家鄉(xiāng)代理之間的移動IP密鑰FA-HA-K���;并在所述移動IP注冊請求攜帶MN-HA-AE時,驗(yàn)證所述的MN-HA-AE�����;如果步驟a中AAA服務(wù)器未下發(fā)移動節(jié)點(diǎn)與外部代理之間的隨機(jī)數(shù)mn-fa-nonce至網(wǎng)絡(luò)鑒權(quán)服務(wù)器����,則AAA服務(wù)器下發(fā)所述該隨機(jī)數(shù)至家鄉(xiāng)代理���,以通過移動IP注冊報(bào)告發(fā)送至外部代理���,從而通知網(wǎng)絡(luò)鑒權(quán)服務(wù)器;d.家鄉(xiāng)代理發(fā)送攜帶MN-HA-AE及FA-HA-AE的注冊報(bào)告至外部代理FA��,外部代理接收所述注冊報(bào)告后�����,從所述網(wǎng)絡(luò)鑒權(quán)服務(wù)器獲得移動節(jié)點(diǎn)及外部代理之間的移動IP密鑰MN-FA-K以及外部代理與家鄉(xiāng)代理之間的移動IP密鑰FA-HA-K,并于驗(yàn)證FA-HA-AE后轉(zhuǎn)發(fā)攜帶MN-FA-AE的移動IP注冊報(bào)告至移動節(jié)點(diǎn)���;e.移動節(jié)點(diǎn)接收移動IP注冊報(bào)告�,從所述網(wǎng)絡(luò)鑒權(quán)服務(wù)器獲得MN-FA-K��,并驗(yàn)證MN-FA-AE���。
3.根據(jù)權(quán)利要求1或2所述的方法���,其特征在于所述根密鑰包括擴(kuò)展主會話密鑰EMSK、FA相關(guān)移動IP根密鑰MIP-FA-RK及移動IP根密鑰MIP-RK的其中之一�����;所述密鑰信息還包括移動節(jié)點(diǎn)與家鄉(xiāng)代理之間的移動IP密鑰MN-HA-K或移動節(jié)點(diǎn)與家鄉(xiāng)代理之間的隨機(jī)數(shù)mn-ha-nonce�,及/或移動節(jié)點(diǎn)與AAA服務(wù)器之間的密鑰MN-AAA-K。
4.根據(jù)權(quán)利要求2所述的方法����,其特征在于步驟c中所述HA相關(guān)密鑰信息包括MN-HA-K和FA-HA-K;或者擴(kuò)展主會話密鑰EMSK���、FA相關(guān)移動IP根密鑰MIP-FA-RK及移動IP根密鑰MIP-RK三者其中之一�,MN-HA-K以及外部代理與家鄉(xiāng)代理之間的隨機(jī)數(shù)fa-ha-nonce;或者擴(kuò)展主會話密鑰EMSK����、FA相關(guān)移動IP根密鑰MIP-FA-RK及移動IP根密鑰MIP-RK三者其中之一,移動節(jié)點(diǎn)與家鄉(xiāng)代理之間的隨機(jī)數(shù)mn-ha-nonce以及外部代理與家鄉(xiāng)代理之間的隨機(jī)數(shù)fa-ha-nonce�����。
5.根據(jù)權(quán)利要求2所述的方法���,其特征在于在鑒權(quán)認(rèn)證過程中��,網(wǎng)絡(luò)鑒權(quán)服務(wù)器把FA-IP地址發(fā)送給AAA�;或者在家鄉(xiāng)代理向AAA請求HA相關(guān)密鑰信息時��,以外部代理IP作為請求的參數(shù)�。
6.根據(jù)權(quán)利要求1所述的方法�����,其特征在于還包括f.在外部代理遷移后����,發(fā)起移動IP注冊請求至家鄉(xiāng)代理HA���,由所述家鄉(xiāng)代理HA從AAA服務(wù)器獲得目標(biāo)外部代理TFA與家鄉(xiāng)代理HA之間的移動IP密鑰TFA-HA-K以及TFA相關(guān)隨機(jī)數(shù);g.將TFA相關(guān)隨機(jī)數(shù)發(fā)送至外部代理��,并通知所述網(wǎng)絡(luò)鑒權(quán)服務(wù)器����,網(wǎng)絡(luò)鑒權(quán)服務(wù)器根據(jù)所述TFA相關(guān)隨機(jī)數(shù)或TFA的IP地址產(chǎn)生TFA相關(guān)移動IP密鑰;移動節(jié)點(diǎn)及目標(biāo)外部代理從所述網(wǎng)絡(luò)鑒權(quán)服務(wù)器獲得相應(yīng)的TFA相關(guān)移動IP密鑰���。
7.根據(jù)權(quán)利要求1�,2或6所述的方法��,其特征在于還包括建立各移動IP功能實(shí)體之間的安全聯(lián)盟���。
8.根據(jù)權(quán)利要求1所述的方法�,其特征在于在重新鑒權(quán)認(rèn)證后�,進(jìn)行移動IP相關(guān)密鑰的更新。
9.根據(jù)權(quán)利要求2所述的方法�,其特征在于在重新鑒權(quán)認(rèn)證時,移動終端MS與AAA服務(wù)器之間重新產(chǎn)生新的密鑰�����,該AAA服務(wù)器下發(fā)新的密鑰信息至網(wǎng)絡(luò)鑒權(quán)服務(wù)器以產(chǎn)生新的MN-HA-K及/或MN-AAA-K;同時通知家鄉(xiāng)代理發(fā)生了新的鑒權(quán)認(rèn)證���;移動節(jié)點(diǎn)利用新的密鑰替代對應(yīng)舊的密鑰�����,并發(fā)起移動IP注冊請求���,重新進(jìn)行步驟b至步驟e。
10.根據(jù)權(quán)利要求1所述的方法����,其特征在于在重新鑒權(quán)認(rèn)證時,移動終端MS與AAA服務(wù)器之間重新產(chǎn)生新的密鑰����,并且該AAA服務(wù)器下發(fā)新的密鑰信息至網(wǎng)絡(luò)鑒權(quán)服務(wù)器以產(chǎn)生新的MN-HA-K及/或MN-AAA-K;移動節(jié)點(diǎn)利用新的密鑰替代對應(yīng)舊的密鑰����,并發(fā)起移動IP注冊請求����,重新進(jìn)行所述步驟b至步驟e��。
11.根據(jù)權(quán)利要求9或10所述的方法�����,其特征在于移動節(jié)點(diǎn)�����、外部代理及家鄉(xiāng)代理得知發(fā)生重新鑒權(quán)認(rèn)證后����,刪除已有的移動IP相關(guān)的安全聯(lián)盟�����。
12.根據(jù)權(quán)利要求9或10所述的方法��,其特征在于在移動IP功能實(shí)體中密鑰的替換伴隨著安全聯(lián)盟的替換或建立�����。
13.一種移動IP密鑰的產(chǎn)生及分發(fā)方法�����,其特征在于在鑒權(quán)認(rèn)證過程中,認(rèn)證授權(quán)計(jì)費(fèi)AAA服務(wù)器下發(fā)包括根密鑰及外部代理FA與家鄉(xiāng)代理HA之間的隨機(jī)數(shù)fa-ha-nonce的密鑰信息至網(wǎng)絡(luò)鑒權(quán)服務(wù)器�;家鄉(xiāng)代理HA通過AAA服務(wù)器獲得家鄉(xiāng)代理HA相關(guān)的移動IP密鑰;如果AAA服務(wù)器未下發(fā)移動節(jié)點(diǎn)MN與外部代理FA之間的隨機(jī)數(shù)mn-fa-nonce及/或移動節(jié)點(diǎn)MN與家鄉(xiāng)代理HA之間的隨機(jī)數(shù)mn-ha-nonce�,則AAA服務(wù)器下發(fā)所述隨機(jī)數(shù)至家鄉(xiāng)代理,并通知相應(yīng)的移動IP功能實(shí)體�����;外部代理根據(jù)FA相關(guān)隨機(jī)數(shù)及/或FA的IP地址從所述網(wǎng)絡(luò)鑒權(quán)服務(wù)器獲得FA相關(guān)移動IP密鑰���;移動節(jié)點(diǎn)根據(jù)MN相關(guān)隨機(jī)數(shù)獲得MN相關(guān)移動IP密鑰�。
14.根據(jù)權(quán)利要求13所述的方法����,其特征在于具體包括如下步驟a.在鑒權(quán)認(rèn)證過程中,認(rèn)證授權(quán)計(jì)費(fèi)AAA服務(wù)器下發(fā)包括根密鑰及外部代理FA與家鄉(xiāng)代理HA之間的隨機(jī)數(shù)fa-ha-nonce的密鑰信息至網(wǎng)絡(luò)鑒權(quán)服務(wù)器�����;b.移動終端發(fā)起攜帶移動節(jié)點(diǎn)及AAA服務(wù)器之間認(rèn)證擴(kuò)展MN-AAA-AE的移動IP注冊請求�����,并經(jīng)外部代理FA轉(zhuǎn)發(fā)至家鄉(xiāng)代理HA;c.家鄉(xiāng)代理接收移動IP注冊請求���,請求AAA服務(wù)器驗(yàn)證MN-AAA-AE并下發(fā)HA相關(guān)密鑰信息,HA根據(jù)所述HA相關(guān)密鑰信息獲得移動節(jié)點(diǎn)與家鄉(xiāng)代理之間的移動IP密鑰MN-HA-K以及外部代理與家鄉(xiāng)代理之間的移動IP密鑰FA-HA-K�;如果步驟a中AAA服務(wù)器未下發(fā)移動節(jié)點(diǎn)MN與外部代理FA之間的隨機(jī)數(shù)mn-fa-nonce或者移動節(jié)點(diǎn)與家鄉(xiāng)代理間隨機(jī)數(shù)mn-ha-nonce,則AAA服務(wù)器下發(fā)mn-fa-nonce或mn-ha-nonce至家鄉(xiāng)代理HA���,以通過后續(xù)的移動IP注冊報(bào)告發(fā)送至相應(yīng)的移動IP功能實(shí)體����;d.家鄉(xiāng)代理發(fā)送移動IP注冊報(bào)告至外部代理���,該移動IP注冊報(bào)告攜帶移動節(jié)點(diǎn)與家鄉(xiāng)代理間的認(rèn)證擴(kuò)展MN-HA-AE以及外部代理與家鄉(xiāng)代理間的認(rèn)證擴(kuò)展FA-HA-AE�����;外部代理接收所述注冊報(bào)告后���,從所述網(wǎng)絡(luò)鑒權(quán)服務(wù)器獲得移動節(jié)點(diǎn)及外部代理之間的移動IP密鑰MN-FA-K以及外部代理與家鄉(xiāng)代理之間的移動IP密鑰FA-HA-K,并于驗(yàn)證FA-HA-AE后轉(zhuǎn)發(fā)攜帶MN-FA-AE的移動IP注冊報(bào)告至移動終端��;e.移動終端接收所述移動IP注冊報(bào)告�����,根據(jù)隨機(jī)數(shù)獲得MN-HA-K及MN-FA-K,并驗(yàn)證相應(yīng)的認(rèn)證擴(kuò)展�����。
15.根據(jù)權(quán)利要求13或14所述的方法�����,其特征在于所述根密鑰包括擴(kuò)展主會話密鑰EMSK����、FA相關(guān)移動IP根密鑰MIP-FA-RK及移動IP根密鑰MIP-RK的其中之一。
16.根據(jù)權(quán)利要求13或14所述的方法�����,其特征在于所述HA相關(guān)密鑰信息包括MN-HA-K和FA-HA-K����;或者擴(kuò)展主會話密鑰EMSK、FA相關(guān)移動IP根密鑰MIP-FA-RK及移動IP根密鑰MIP-RK三者其中之一����,MN-HA-K以及外部代理與家鄉(xiāng)代理之間的隨機(jī)數(shù)fa-ha-nonce����;或者擴(kuò)展主會話密鑰EMSK�����、FA相關(guān)移動IP根密鑰MIP-FA-RK及移動IP根密鑰MIP-RK三者其中之一�����,移動節(jié)點(diǎn)與家鄉(xiāng)代理之間的隨機(jī)數(shù)mn-ha-nonce以及外部代理與家鄉(xiāng)代理之間的隨機(jī)數(shù)fa-ha-nonce���。
17.根據(jù)權(quán)利要求14所述的方法,其特征在于還包括在鑒權(quán)認(rèn)證過程中�,網(wǎng)絡(luò)鑒權(quán)服務(wù)器把FA-IP地址發(fā)送給HAAA;或者在家鄉(xiāng)代理向AAA請求HA相關(guān)密鑰信息時����,以外部代理IP作為請求的參數(shù)。
18.根據(jù)權(quán)利要求13所述的方法��,其特征在于還包括f.如果外部代理發(fā)生遷移���,由所述家鄉(xiāng)代理HA從AAA服務(wù)器獲得目標(biāo)外部代理TFA與家鄉(xiāng)代理HA之間的移動IP密鑰TFA-HA-K以及TFA相關(guān)隨機(jī)數(shù)��,并通知給相應(yīng)的移動IP功能實(shí)體����;g.外部代理根據(jù)所述TFA相關(guān)隨機(jī)數(shù)或TFA的IP地址從網(wǎng)絡(luò)鑒權(quán)服務(wù)器獲得TFA相關(guān)移動IP密鑰;移動節(jié)點(diǎn)根據(jù)MN相關(guān)隨機(jī)數(shù)獲得MN相關(guān)移動IP密鑰��。
19.根據(jù)權(quán)利要求13�,14或18所述的方法,其特征在于還包括建立各移動IP功能實(shí)體之間的安全聯(lián)盟��。
20.根據(jù)權(quán)利要求13所述的方法�,其特征在于在重新鑒權(quán)認(rèn)證后,進(jìn)行移動IP相關(guān)密鑰的更新�����。
21.根據(jù)權(quán)利要求14所述的方法���,其特征在于在重新鑒權(quán)認(rèn)證時����,移動終端MS與AAA服務(wù)器之間重新產(chǎn)生新的密鑰�,該AAA服務(wù)器下發(fā)新的密鑰信息至網(wǎng)絡(luò)鑒權(quán)服務(wù)器;同時AAA服務(wù)器通知家鄉(xiāng)代理發(fā)生了新的鑒權(quán)認(rèn)證�;移動節(jié)點(diǎn)利用新的密鑰替代對應(yīng)舊的密鑰�,并發(fā)起移動IP注冊請求�����,重新進(jìn)行步驟b至步驟e��。
22.根據(jù)權(quán)利要求14所述的方法��,其特征在于在重新鑒權(quán)認(rèn)證時�����,移動終端MS與AAA服務(wù)器之間重新產(chǎn)生新的密鑰����,并且該AAA服務(wù)器下發(fā)新的密鑰信息至網(wǎng)絡(luò)鑒權(quán)服務(wù)器����;移動節(jié)點(diǎn)利用新的密鑰替代對應(yīng)舊的密鑰,并發(fā)起移動IP注冊請求���,重新進(jìn)行所述步驟b至步驟e���。
23.根據(jù)權(quán)利要求21或22所述的方法�,其特征在于移動節(jié)點(diǎn)�����、外部代理及家鄉(xiāng)代理得知發(fā)生重新鑒權(quán)認(rèn)證后���,刪除已有的移動IP相關(guān)的安全聯(lián)盟���。
24.根據(jù)權(quán)利要求21或22所述的方法,其特征在于在移動IP功能實(shí)體中密鑰的替換伴隨著安全聯(lián)盟的替換或建立�。
25.一種移動IP密鑰的產(chǎn)生及分發(fā)方法,其特征在于a.鑒權(quán)認(rèn)證過程中���,移動終端和認(rèn)證授權(quán)計(jì)費(fèi)服務(wù)器AAA產(chǎn)生移動終端相關(guān)密鑰��;b.移動終端發(fā)起攜帶移動節(jié)點(diǎn)及AAA服務(wù)器之間認(rèn)證擴(kuò)展MN-AAA-AE的移動IP注冊請求�,并經(jīng)外部代理FA轉(zhuǎn)發(fā)至家鄉(xiāng)代理HA�����;c.家鄉(xiāng)代理向AAA服務(wù)器請求HA相關(guān)密鑰信息���,AAA服務(wù)器成功驗(yàn)證MN-AAA-AE后下發(fā)HA相關(guān)密鑰信息至HA��;如果步驟a中AAA服務(wù)器未下發(fā)隨機(jī)數(shù)mn-ha-nonce至移動終端���,則AAA服務(wù)器下發(fā)相應(yīng)的隨機(jī)數(shù)至家鄉(xiāng)代理����;d.家鄉(xiāng)代理處理所述的移動IP注冊請求��,并經(jīng)由外部代理轉(zhuǎn)發(fā)至移動終端��,該移動IP注冊請求中攜帶MN-HA-AE���;如果步驟a中AAA服務(wù)器未下發(fā)隨機(jī)數(shù)mn-ha-nonce至移動終端����,則在所述注冊請求中攜帶mn-ha-nonce����;e.移動終端根據(jù)隨機(jī)數(shù)以及由EMSK或該EMSK派生出的根密鑰����,計(jì)算出MN-HA-K,并驗(yàn)證所述MN-HA-AE。
26.根據(jù)權(quán)利要求23所述的方法�,其特征在于還包括建立各移動IP功能實(shí)體之間的安全聯(lián)盟。
27.根據(jù)權(quán)利要求23所述的方法���,其特征在于在重新鑒權(quán)認(rèn)證時���,移動終端MS與AAA服務(wù)器之間重新產(chǎn)生新的密鑰;移動節(jié)點(diǎn)利用新的密鑰替代對應(yīng)舊的密鑰���,并發(fā)起移動IP注冊請求�,重新進(jìn)行所述步驟b至步驟e�。
28.根據(jù)權(quán)利要求25所述的方法,其特征在于在移動IP功能實(shí)體中密鑰的替換伴隨著安全聯(lián)盟的替換或建立����。
29.一種移動IP密鑰的產(chǎn)生及分發(fā)方法,其特征在于包括a.在鑒權(quán)認(rèn)證過程中�,認(rèn)證授權(quán)計(jì)費(fèi)服務(wù)器AAA發(fā)送密鑰信息至網(wǎng)絡(luò)鑒權(quán)服務(wù)器;b.移動節(jié)點(diǎn)從所述網(wǎng)絡(luò)鑒權(quán)服務(wù)器獲得移動節(jié)點(diǎn)與家鄉(xiāng)代理之間的密鑰PMIP-K�,并發(fā)送攜帶PMIP-AE的移動IP注冊請求,經(jīng)由外部代理FA轉(zhuǎn)發(fā)到家鄉(xiāng)代理HA����;c.HA通過向AAA請求密鑰獲得PMIP-K,并發(fā)送攜帶PMIP-AE的移動IP注冊報(bào)告至移動節(jié)點(diǎn)。
30.根據(jù)權(quán)利要求29所述的方法���,其特征在于所述密鑰信息包括移動節(jié)點(diǎn)與家鄉(xiāng)代理之間的密鑰PMIP-K���,或者根密鑰及移動節(jié)點(diǎn)與家鄉(xiāng)代理之間的隨機(jī)數(shù)mn-ha-nonce;所述根密鑰包括擴(kuò)展主會話密鑰EMSK或移動IP根密鑰MIP-RK�����。
31.根據(jù)權(quán)利要求29所述的方法��,其特征在于如果AAA下發(fā)的密鑰信息包括移動節(jié)點(diǎn)與AAA之間的密鑰MN-AAA-K����;則所述移動IP注冊請求還攜帶移動節(jié)點(diǎn)與AAA之間的認(rèn)證擴(kuò)展MN-AAA-AE;并在HA向AAA請求密鑰時�,由AAA驗(yàn)證所述認(rèn)證擴(kuò)展MN-AAA-AE。
32.根據(jù)權(quán)利要求29所述的方法��,其特征在于在重新鑒權(quán)認(rèn)證時�����,移動終端MS與AAA服務(wù)器之間重新產(chǎn)生新的密鑰�����;移動節(jié)點(diǎn)利用新的密鑰替代對應(yīng)舊的密鑰��,并發(fā)起移動IP注冊請求��,重新進(jìn)行所述步驟b至步驟c����。
全文摘要
本發(fā)明提供一種移動IP密鑰的產(chǎn)生及分發(fā)方法,包括在鑒權(quán)認(rèn)證過程中����,認(rèn)證授權(quán)計(jì)費(fèi)AAA服務(wù)器下發(fā)包括根密鑰及外部代理FA與家鄉(xiāng)代理HA之間的隨機(jī)數(shù)fa-h(huán)a-nonce的密鑰信息至網(wǎng)絡(luò)鑒權(quán)服務(wù)器;家鄉(xiāng)代理HA通過AAA服務(wù)器獲得家鄉(xiāng)代理相關(guān)的移動IP密鑰�;如果AAA服務(wù)器未下發(fā)移動節(jié)點(diǎn)MN與外部代理FA之間的隨機(jī)數(shù)mn-fa-nonce至網(wǎng)絡(luò)鑒權(quán)服務(wù)器,則AAA服務(wù)器下發(fā)該隨機(jī)數(shù)至家鄉(xiāng)代理����,并經(jīng)外部代理通知網(wǎng)絡(luò)鑒權(quán)服務(wù)器;外部代理根據(jù)FA相關(guān)隨機(jī)數(shù)及/或FA的IP地址從所述網(wǎng)絡(luò)鑒權(quán)服務(wù)器獲得FA相關(guān)移動IP密鑰���;移動節(jié)點(diǎn)從所述網(wǎng)絡(luò)鑒權(quán)服務(wù)器獲得MN相關(guān)移動IP密鑰���。
文檔編號H04L9/14GK101094066SQ20061009303
公開日2007年12月26日 申請日期2006年6月19日 優(yōu)先權(quán)日2006年6月19日
發(fā)明者梁文亮, 吳建軍 申請人:華為技術(shù)有限公司