專利名稱:配置密鑰的方法���、裝置及系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及移動通信技術(shù)領(lǐng)域���,尤其涉及配置密鑰的方法�����、裝置及系統(tǒng)�。
背景技術(shù):
介質(zhì)無關(guān)切換(Media Independent Handover, MIH)是一套用于輔助和優(yōu) 化異構(gòu)網(wǎng)絡(luò)移動服的業(yè)務(wù)框架����。MIH業(yè)務(wù)與其它網(wǎng)絡(luò)層次協(xié)議的關(guān)系如圖l所 示。在圖1中�,MIH業(yè)務(wù)處于L3層(ISCMt型中的網(wǎng)絡(luò)層)和L2層(ISC^莫型中 的數(shù)據(jù)鏈路層)之間。MIH為三層以上的移動性協(xié)議(移動互聯(lián)網(wǎng)協(xié)議MIP�����、 會話發(fā)起協(xié)議SIP等)提供業(yè)務(wù)支撐���;同時MIH需要使用L2層及以下的業(yè)務(wù)�。 MIH可以提供三種類型的業(yè)務(wù)�,分別是MIH事件服務(wù)(Event Service, ES)、 MIH命令服務(wù)(Command Service, CS )和MIH信息服務(wù)(Information Service, IS)服務(wù)等�。MIHES提供鏈路層以下或遠(yuǎn)端鏈路下事件的即時傳輸服務(wù);MIH CS提供改變底層鏈路狀態(tài)或連接點的命令傳輸服務(wù);MIHIS提供網(wǎng)絡(luò)拓樸和 位置相關(guān)信息的信息傳輸服務(wù)��。
MIH服務(wù)可能用于移動節(jié)點(MobileNode, MN)或網(wǎng)絡(luò)基礎(chǔ)設(shè)施之間���, 也可能用于網(wǎng)絡(luò)基礎(chǔ)設(shè)施網(wǎng)絡(luò)節(jié)點之間����。在一般情況下���,MN漫游到外地網(wǎng)絡(luò) 時,需要通過拜訪域的接入認(rèn)證系統(tǒng)和家鄉(xiāng)域的接入認(rèn)證系統(tǒng)之間的交互才 能夠接入拜訪網(wǎng)絡(luò)域����;為完成快速的切換,MN需要訪問拜訪域MIH業(yè)務(wù)實體��,
目前�,通常采用手工方式在MN和拜訪域MIH驗證實體上配置驗證口令, 從而保證MN和拜訪域MIH驗證實體間信息的安全性�����。然而�,這種原始的手工 配置驗證口令的方式不但繁瑣,而且容易出錯,不利于MIH業(yè)務(wù)的推廣和部署�。
發(fā)明內(nèi)容
有鑒于此,本發(fā)明實施例提供一種配置密鑰的方法��、裝置及系統(tǒng)�����,以解 決現(xiàn)有方案手工配置驗證口令存在的繁瑣及不可靠的問題��。為此��,本發(fā)明實施例采用如下技術(shù)方案
一種配置密鑰的方法��,包括在MN和家鄉(xiāng)AAA服務(wù)器AAAH上�����,分 別生成拜訪域特定根密鑰DSRK,所述AAAH將所述DSRK發(fā)送給拜訪域 AAA服務(wù)器AAAV;在MN和AAAV上���,分別利用所述DSRK生成域特定 MIH業(yè)務(wù)根密鑰DS-MIH-RK,并且��,所述AAAV將所述DS-MIH-RK發(fā)送給 拜訪域MIH -驗證實體�����。
一種配置密鑰的裝置����,位于MN側(cè),用于向所述MN配置密鑰��,所述密 鑰為所述MN與拜訪域MIH驗證實體間的密鑰�����;所述裝置包括DSRK生成 單元(6011 )��,用于利用預(yù)計算出的EMSK����、預(yù)獲知的拜訪域ID和AAAV ID 以及隨機(jī)數(shù)據(jù)計算出DSRK; DS-MIH-RK生成單元(6012)����,用于利用所述 DSRK以及預(yù)獲知的MIH ID、 MN ID和隨機(jī)數(shù)據(jù)計算出DS-MIH-RK�����。
一種配置密鑰的裝置���,位于拜訪域MIH驗證實體側(cè)���,用于向所述拜訪域 MIH驗證實體配置密鑰��,所述密鑰為MN與所述拜訪域MIH -驗證實體間的密 鑰�����;所述裝置包括DS-MIH-RK接收單元(6041 ),用于從AAAV接收 DS掘H-RK���。
一種配置密鑰的裝置,位于AAAH側(cè)����,包括DSRK生成單元(6021 ), 用于利用預(yù)計算出的EMSK、預(yù)獲知的拜訪域ID和AAAV ID以及隨機(jī)數(shù)據(jù) 計算出DSRK; DSRK發(fā)送單元(6022)��,用于向AAAV發(fā)送所述DSRK���。
一種配置密鑰的裝置����,位于AAAV側(cè)�,包括DSRK接收單元(6031 ), 用于從AAAH接收DSRK; DS-MIH-RK生成單元(6032 ),用于利用所述DSRK 以及預(yù)獲知的MIH ID���、 MN ID和隨機(jī)數(shù)據(jù)計算出DS-MIH-RK,并將所述 DS-MIH-RK發(fā)送癥合#早訪域MIH馬全證實體��。
一種配置密鑰的系統(tǒng)���,包括MN�、 AAAH���、 AAAV以及拜訪域MIH—險證 實體����;所述MN包括DSRK生成單元(6011),用于利用預(yù)計算出的主密鑰 EMSK�、預(yù)獲知的拜訪域ID和AAAV ID以及隨機(jī)數(shù)據(jù)計算出DSRK; DS-MIH-RK生成單元(6012 )����,用于利用所述DSRK以及預(yù)獲知的MIH ID、 MN ID和隨機(jī)凄丈據(jù)計算出DS-MIH-RK;所述AAAH包括DSRK生成單元 (6021 ),用于利用預(yù)計算出的主密鑰EMSK�、預(yù)獲知的拜訪域ID和AAAVID 以及隨機(jī)數(shù)據(jù)計算出DSRK; DSRK發(fā)送單元(6022),用于向AAAV發(fā)送所述DSRK;所述AAAV包括DSRK接收單元(6031 ),用于從AAAH接收 DSRK; DS-MIH-RK生成單元(6032 ),用于利用所述DSRK p及預(yù)獲知的 MIHID�、 MNID和隨機(jī)數(shù)據(jù)計算出DS-MIH-RK,并負(fù)責(zé)將DS-MIH-RK發(fā)送 給MIH驗證實體;所述拜訪域MIH驗證實體包括DS-MIH-RK接收單元 (6041 ),用于從AAAV接收DS-MIH-RK���。
可見�,本發(fā)明實施例通過動態(tài)建立MN和MIH驗證實體之間的認(rèn)證材料和 安全聯(lián)盟密鑰材料,保證MN和MIH驗證實體間信息的安全性�,避免了手工配 置驗證口令存在的繁瑣以及易出錯的問題,而且����,使得MIH業(yè)務(wù)的大規(guī)模安 全部署成為可能。另外�����,由于這些密鑰材料是在MN接入拜訪域網(wǎng)絡(luò)驗證時建 立的�,從而大大縮短了后續(xù)的動態(tài)協(xié)商時間。
圖1為現(xiàn)有技術(shù)MIH網(wǎng)絡(luò)層次架構(gòu)圖���;.
圖2為MIH業(yè)務(wù)部署示意圖3為層次化密鑰關(guān)系示意圖4為本發(fā)明實施例MIH業(yè)務(wù)密鑰自動派生示意圖5為本發(fā)明實施例方法流程圖6為本發(fā)明各裝置內(nèi)部結(jié)構(gòu)關(guān)系示意圖1;
圖7為本發(fā)明各裝置內(nèi)部結(jié)構(gòu)關(guān)系示意圖2�。
具體實施例方式
本發(fā)明實施例應(yīng)用層次化密鑰(hokey)技術(shù)����,實現(xiàn)在MN和拜訪域MIH 驗證實體間配置密鑰,從而保證MN和MIH驗證實體間信息的安全性���,需要 說明的是�����,本發(fā)明實施例所述配置密鑰包含了生成密鑰和分發(fā)密鑰兩層含義��。 下面結(jié)合附圖對本發(fā)明實施例作詳細(xì)介紹�����。
圖2為MIH業(yè)務(wù)部署的基本場景����。在圖2中,AAAH (Authentication Authorization Accounting Home Server)表示家鄉(xiāng)域的認(rèn)證�、授權(quán)、計費服務(wù) 器�����,AAAV (AAA Visited Server)表示拜訪域AAA服務(wù)器���。本實施例中,默 認(rèn)AAAH和AAAV之間���,AAAV和拜訪域MIH — 險證實體之間�����,AAAV和拜訪域認(rèn)證實體(Authenticator)之間已經(jīng)建立了可以信任的安全通道�。
MN在外部網(wǎng)絡(luò)移動的it程當(dāng)中,可能會跨越不同的網(wǎng)絡(luò)管理域(不同的 AAA服務(wù)器)�����,或跨越不同的網(wǎng)絡(luò)驗證者(不同的Authenticator,但在同一個 AAA服務(wù)器下面)�����。一4殳而言���,網(wǎng)絡(luò)的接入認(rèn)證時間是比較長的����。對于時延敏 感的業(yè)務(wù)�,MN在移動切換重驗證所導(dǎo)致的時延可能會急劇降低用戶對時延敏 感業(yè)務(wù)的感知。
目前主要有兩種方案對MN的切換認(rèn)證進(jìn)行優(yōu)化�����。 一種方案是預(yù),驗證方 案;另一種方案是重驗證方案����。預(yù)驗證的方案在MN切換前完成驗證,生成安 全相關(guān)的密鑰材料����,MN切換后直接使用相關(guān)的密鑰材料來訪問網(wǎng)絡(luò);重驗證 方案在MN切換后完成-瞼證�。
不論是預(yù)驗證還是重驗證,都需要層次化的密鑰技術(shù)����,層次化密鑰技術(shù) 的關(guān)系如圖3。在圖3中��,擴(kuò)展主會話密鑰(Extensible Master Session Key , EMSK)是/人擴(kuò)展認(rèn)i正協(xié)議(Extensible Authentication Protocol, EAP )方法導(dǎo) 出的密鑰����,應(yīng)用特定根密鑰(Usage Specific Root Key , USRK)和域特定根密 鑰(Domain Specific Root Key , DSRK)是從EMSK派生的子密鑰�����,域應(yīng)用特定 根密鑰(Domain Specific Usage Specific Root Key, DSUSRK)是從DSRK派生 出的子密鑰�。
從EMSK派生出USRK和DSRK的方法如下 USRK=KDF (EMSK, Usage Label, optional data�, length) DSRK=KDF (EMSK, Domain label, optional data, length) 乂人DSRK派生出DSUSRK的方法如下 DSUSRK=KDF (DSRK��, Usage label, optional data, length) 在上面所描述的方法中�����,KDF(key derivation fUnction)是指密鑰派生函數(shù)���, 常見的密鑰派生函數(shù)有HMAC-SHA-256和HMAC-MD5; Usage label和Domain Label主要是指可讀寫的字符串。
另夕卜��,還可以派生出USRK��、 DSRK及DSUSRK的keyname,具體的方法 如下
USRK name=PRF (EAP session ID, usage label) DSRK name=PRF (EAP session ID, Domain label)
10DSUSRK name=PRF (DSRK name, usage label)
在以上的三個等式中�,PRF ( Pseudo Random Function)是指偽隨機(jī)函數(shù)。 參見圖4���,為本發(fā)明實施例MIH業(yè)務(wù)密鑰自動派生示意圖����。
(1) 密鑰派生前的準(zhǔn)備
MN獲知拜訪域ID (以下稱為Domain ID)����、拜訪域驗證者ID (以下稱為 Authenticator ID),以及拜訪域MIH驗證實體的ID (以下稱為MIHID)。這 些ID為唯一表示這些對象的標(biāo)識,具體可以體現(xiàn)為IP地址�,i某體接入控制 (Media Access Control, MAC)地址或者可讀寫的字符串等。
(2) MN接入拜訪網(wǎng)絡(luò)
MN通過EAP認(rèn)證的方法����,經(jīng)過AAAV的橋接完成對AAAH的接入認(rèn)證。 在認(rèn)證過程中�,AAAV獲知MNID和MIHID,這些信息由MN通過安全的方法 傳遞給AAAV; 并且,AAAV向AAAH告知自己的Domain ID和AAAVID���。在 接入認(rèn)證過程中���,MN也會向AAAH告知畫ID、 Authentication ID和MIH ID�。
(3) MSK和EMSK的生成
MN根據(jù)Domain ID、 Authentication ID和MIH ID等參數(shù)利用EAP方法���,分 別計算出MSK和EMSK兩個密鑰�����;
AAAH根據(jù)Domain ID�、 Authentication ID和MIH ID等參數(shù)利用EAP方法�, 分別計算出MSK和EMSK兩個密鑰�����。
(4) MN和AAAH間安全通道的建立
MN和AAAH根據(jù)EMSK和MN ID等參數(shù)計算完整性檢查密鑰(Integrity Key)和加密密鑰(Encryption Key)。具體的生成方法如下
IK=PRF (EMSK, "Integrity key" |畫ID | optional data).............公式l
EK= PRJF (EMSK, "Encryption key" |MN ID | optional data)..........公式2
其中����,"optional data"表示隨機(jī)數(shù)據(jù)。
通過生成IK和EK����, AAAH和MN之間建立了通信的安全通道;MN和 AAAH可以使用IK和EK保護(hù)通信的數(shù)據(jù)內(nèi)容��。所述安全通道建立后��,AAAH 通過所述安全通道將AAAV ID發(fā)送給廳���。 (5)DSRK的生成和傳輸
MN和AAAH根據(jù)EMSK���、 Domain ID以及AAAV ID等參數(shù)計算拜訪域特定根密鑰DSRK, AAAH將DSRK傳遞給AAAV。 DSRK的派生方法如下 DSRK=PRF (EMSK�����, Domain ID | AAAV ID | optional data).....公式3 (6)DS-MIH-RK的生成和傳輸
MN和AAAV根據(jù)MN ID、 MIH ID和DSRK等參數(shù)計算域特定MIH業(yè)務(wù)根 密鑰DS-MIH-RK , AAAV將DS-MIH-RK傳遞給拜訪域MIH驗證實體���。 DS-MIH-RK的派生方法如下
DS-MIH-RK = PRF (DSRK, MIH ID |畫ID| optional data).....公式4
(7)通信密鑰材JH"的生成 MN和拜訪域MIH-險證實體已經(jīng)擁有了共享的密鑰材料DS-MIH-RK�����。雙方 可以按照約定抽取DS-MIH-RK相關(guān)的信息生成MN和拜訪域MIH驗證實體之 間通信的密鑰�����,例如-驗證密鑰(Key-auth),數(shù)據(jù)通道的加密密鑰(Key-enc) 和完整性保護(hù)密鑰(Key-integrity)等等�����。
Key-auth=Extract (DS-MIH-RK�����, Position-auth)......................公式5
Key-enc=Extract (DS-MIH-RK, Position-Encryption)................公式6
Key-integrity=Extract (DS-MIH-RK, Position-integrity)..............乂>式7
其中�����,Extract4示提取函數(shù)��;Position表明密鑰提取位置���。 驗證密鑰的生成����,為MN和拜訪域MIH驗證實體之間的安全聯(lián)盟建立提供 了密鑰材料���。當(dāng)然,MN和拜訪域MIH驗證實體之間的通信密鑰并不限于上述 三種���。本領(lǐng)域的普通技術(shù)人員可以理解����,根據(jù)實際應(yīng)用的情況��,利用
不再贅述����。
參見圖5,為本發(fā)明方法實施例流程圖�����,包括
X500:麗獲知Domain ID���、 Authentication ID和MIH ID;
X501: MN經(jīng)過AAAV與AAAH進(jìn)行接入認(rèn)證����,在認(rèn)證過程中,AAAV獲 知MNID和MIHID, AAAH獲知MNID�、 Authentication ID和MIH ID;并且, AAAV向AAAH告知DomainID和AAAVID ;
X502: MN和AAAH根據(jù)DomainID��、 Authentication ID和MIH ID等參數(shù)利 用EAP方法計算出MSK和EMSK;
X503: MN和AAAH才艮據(jù)EMSK和MN ID等參數(shù)計算出IK和EK (參見公式l和公式2),從而在MN和AAAH之間建立安全通道�����;
X504: AAAH通過X503建立的安全通道將AAAV ID發(fā)送給MN�����、��;
X505: MN和AAAH根據(jù)EMSK�、 Domain ID和AAAV ID等參數(shù)計算出拜
訪域特定根密鑰DSRK (參見公式3 ); X506: AAAH將DSRJd送給AAAV;
X507: MN和AAAV利用DSRK、 MIH ID及MN ID等參數(shù)計算出拜訪域 MIH業(yè)務(wù)根密鑰DS-MIHS-RK (參見公式4 );
X508: AAAV將DS-MIHS-RK發(fā)送給拜訪域MIH驗證實體��;
X509: MN和拜訪域MIH驗證實體根據(jù)約定從DS-MIHS-RK抽取相關(guān)信息
生成通卩言密鑰�����。
通過本發(fā)明實施例,可動態(tài)建立MN和拜訪域MIH驗證實體之間的認(rèn)證材 料和安全聯(lián)盟密鑰材料����,保證MN和拜訪域MIH驗證實體間信息的安全性,避 免了手工配置驗證口令存在的繁瑣以及易出錯的問題��,而且��,使得MIH業(yè)務(wù) 的大規(guī)模安全部署成為可能���;而且由于這些密鑰材料是在MN接入拜訪域網(wǎng)絡(luò) 驗證時建立的,從而大大縮短了后續(xù)的動態(tài)協(xié)商時間���。
與上述方法實施例相對應(yīng)����,本發(fā)明實施例還提供在MN和拜訪域MIH驗 證實體間配置密鑰的各種裝置��,其中�����,包括位于MN側(cè)的裝置���、位于拜訪域 MIH驗證實體側(cè)的裝置��、位于AAAH側(cè)的裝置���,以及位于AAAV側(cè)的裝置�。
參見圖6�,為各裝置內(nèi)部結(jié)構(gòu)關(guān)系示意圖。
位于MN側(cè)的裝置601����,包括DSRK生成單元6011和DS-MIH-RK生成 單元6012:
DSRK生成單元6011,用于利用預(yù)計算出的EMSK���、預(yù)獲知的Domain ID 和AAAV ID以及隨機(jī)數(shù)據(jù)計算出DSRK;
DS-MIH-RK生成單元6012,用于利用所述DSRK以及預(yù)獲知的MIH ID�����、 MN ID和隨機(jī)數(shù)據(jù)計算出DS-MIH-RK�����。
優(yōu)選地����,參見圖7,位于MN側(cè)的配置裝置601還包括
密鑰確定單元6013,用于按照與所述拜訪域MIH驗證實體的約定��,從所 述DS-MIH-RK抽取信息生成所述MN與所述拜訪域MIH -瞼i正實體間通信密鑰���,具體通信密鑰可包括多種���,例如-瞼證密鑰、加密密鑰或完整性保護(hù)密
鑰����,在具體應(yīng)用中,可同時利用.多個通信密鑰對數(shù)據(jù)加密�。
參數(shù)獲取單元6014,用于獲取生成相關(guān)密鑰所需要的參數(shù);包括 第 一參數(shù)獲取子單元60141,用于獲取Domain ID���、 Authenticator ID和 MIH ID;
第二參數(shù)獲取子單元60142,用于通過所述AAAH與所述MN之間建立 的安全通道,從所述AAAH接收所述AAAV ID��。
MSK/EMSK生成單元6015,用于利用所述第一參數(shù)獲取子單元60141獲 耳又的Domain ID�����、 Authenticator ID和MIH ID生成MSK和EMSK。
安全通道建立單元6016,用于利用所述MSK/EMSK生成單元6015生成 的EMSK和MN ID,生成IK和EK�����,在所述AAAH與所述MN之間建立安 全通道0
所述位于MN側(cè)的配置裝置601,可以是一個獨立的設(shè)備���,也可以是集成 在其他設(shè)備上���,例如,集成在所述MN上��。
位于AAAH側(cè)的裝置602,包括DSRK生成單元6021和DSRK發(fā)送單 元6022:
DSRK生成單元6021 ����,用于利用預(yù)計算出的EMSK、預(yù)獲知的Domain ID 和AAAV ID以及隨機(jī)數(shù)據(jù)計算出DSRK;
DSRK發(fā)送單元6022,用于向AAAV發(fā)送所述DSRK�����。 參見圖7,位于AAAH側(cè)的裝置602還包括
參數(shù)獲知單元6023 �����,用于在MN通過AAAV與所述AAAH進(jìn)行接入認(rèn) 證過程中�,從所述AAAV獲知Domain ID和AAAV ID,從所述畫獲取所述 固ID、 Authenticator ID和MIH ID;
MSK/EMSK生成單元6024,用于利用從AAAV獲取的所述Domain ID�、 從MN獲取的Authenticator ID和MIH ID生成MSK和EMSK。
安全通道建立單元6025�,用于利用所述MSK/EMSK生成單元6024生成 的EMSK和MNID,生成IK和EK,在所述AAAH與所述MN之間建立安 全通道。
14參數(shù)發(fā)送單元6026,用于通過與MN之間建立的安全通道�,將獲知的所 述AAAV ID發(fā)送給MN。
所述位于AAAH側(cè)的裝置602��,可以是一個獨立的設(shè)備����,也可以是集成 在其他設(shè)備上,例如�����,集成在所述AAAH上�。
位于AAAV側(cè)的裝置603,包括DSRK接收單元6031和DS-MIH-RK生 成單元6032:
DSRK接收單元6031 ,用于從AAAH接收DSRK;
DS-MIH-RK生成單元6032,用于利用所述DSRK以及預(yù)獲知的MIH ID���、 MN ID和隨機(jī)數(shù)據(jù)計算出DS-MIH-RK,并將所述DS-MIH-RK發(fā)送給拜訪域 MIH驗證實體�����。。
參見圖7,位于AAAV側(cè)的中間裝置603還包括
參數(shù)獲知單元6033 ���,用于在MN通過所述AAAV與AAAH進(jìn)行接入認(rèn) 證過程中����,獲取MIH ID和MN ID;
參數(shù)發(fā)送單元6034�,用于在所述MN通過所述AAAV與所述AAAH進(jìn) 行接入認(rèn)證過程中,向所述AAAH發(fā)送Domain ID和AAAV ID�����。
所述位于AAAV側(cè)的中間裝置603,可以是一個獨立的設(shè)備��,也可以是 集成在其他設(shè)備上��,例如��,集成在所述AAAV上��。
位于拜訪域MIH驗證實體側(cè)的裝置604,包括DS-MIH-RK接收單元6041 和密鑰確定單元6042:
DS-MIH-RK接收單元6041 ����,用于從AAAV接收DS-MIH-RK;
密鑰確定單元6042,用于按照與MN的約定,從所述DS-MIH-RK抽取 信息生成MN與MIH-驗i正實體間通信密鑰��,具體通信密鑰可包括多種,例如 驗證密鑰�、加密密鑰或完整性保護(hù)密鑰,在具體應(yīng)用中����,可同時利用多個通 信密鑰對數(shù)據(jù)加密。
所述位于拜訪域MIH驗證實體側(cè)的配置裝置604,可以是一個獨立的i殳 備����,也可以是集成在其他設(shè)備上,例如�����,集成在所述拜訪域MIH驗證實體上�����。
通過本發(fā)明實施例�����,可動態(tài)建立MN和拜訪域MIH -驗證實體之間的i人證 材料和安全聯(lián)盟密鑰材料�����,保證MN和拜訪域MIH驗證實體間信息的安全性�����, 避免了手工配置驗證口令存在的繁瑣以及易出錯的問題�����,而且����,使得MIH業(yè)
15務(wù)的大規(guī)模安全部署成為可能;而且由于這些密鑰材料是在MN接入拜訪域 網(wǎng)絡(luò)驗證時建立的�����,從而大大縮短了后續(xù)的動態(tài)協(xié)商時間�����。
與上述方法及裝置相對應(yīng)�����,本發(fā)明實施例還提供一種配置密鑰的系統(tǒng)�����, 該系統(tǒng)包括MN、 AAAH��、 AAAV以及拜訪域MIH驗證實體�����。
仍可參見圖6����,所述MN包括DSRK生成單元6011,用于利用預(yù)計算 出的EMSK����、預(yù)獲知的拜訪域ID和AAAVID以及隨機(jī)數(shù)據(jù)計算出DSRK; DS-MIH-RK生成單元6012,用于利用所述DSRK以及預(yù)獲知的MIH ID、 MN ID和隨機(jī)數(shù)據(jù)計算出DS-MIH-RK;
所述AAAH包括DSRK生成單元6021,用于利用預(yù)計算出的EMSK�����、 預(yù)獲知的拜訪域ID和AAAV ID以及隨機(jī)數(shù)據(jù)計算出DSRK; DSRK發(fā)送單 元6022,用于向AAAV發(fā)送所述DSRK;
所述AAAV包括DSRK接收單元6031,用于從AAAH接收DSRK; DS-MIH-RK生成單元6032���,用于利用所述DSRK以及預(yù)獲知的MIH ID���、 MN ID和隨機(jī)數(shù)據(jù)計算出DS-MIH-RK,并負(fù)責(zé)將DS-MIH-RK發(fā)送給�����;
所述拜訪域MIH驗證實體包括DS-MIH-RK接收單元6041 ,用于從 AAAV接收DS-MIH-RK��。
參見圖7,所述MN還包括
密鑰確定單元(6013),按照與所述拜訪域MIH驗證實體的約定��,從所 述DS-MIH-RK抽取信息生成所述MN與所述拜訪域MIH — 險證實體間的通信 密鑰����;
參數(shù)獲取單元(6014),用于獲取生成相關(guān)密鑰所需要的參數(shù);
MSK/EMSK生成單元(6015 )���,用于利用所述第一參數(shù)獲取子單元(60141 ) 獲取的拜訪域ID��、 Authenticator ID和MIH ID生成MSK和EMSK;
安全通道建立單元(6016)�,用于利用所述MSK/EMSK生成單元(6015) 生成的EMSK和MNID,生成IK和EK����,在所述AAAH與所述MN之間建 立安全通道。
所述AAAH還包括參數(shù)獲知單元(6023 )�����,用于在MN通過AAAV與AAAH進(jìn)行接入認(rèn)證 過程中,從AAAV獲知拜訪域ID和AAAV ID,從所述MN獲取所述MN. ID �、 Authenticator ID和MIH ID;
MSK/EMSK生成單元(6024),用于利用獲取的所述拜訪域ID���、 Authenticator ID和MIH ID生成MSK和EMSK;
安全通道建立單元(6025 ),用于利用所述MN ID和MSK/EMSK生成單 元(6024 )生成的EMSK,生成IK和EK,在所述AAAH與所述MN之間建 立安全通道���;
參數(shù)發(fā)送單元(6026 ),用于通過與MN之間建立的安全通道��,將獲知的 所述AAAV ID發(fā)送給MN�����。 所述AAAV還包括
參數(shù)獲知單元(6033 )�,用于在MN通過AAAV與AAAH進(jìn)行接入認(rèn)證 過程中,獲取MIH ID和MN ID;
參數(shù)發(fā)送單元(6034 ),用于在MN通過AAAV與AAAH進(jìn)行接入認(rèn)證 過程中����,向AAAV發(fā)送拜訪域ID和AAAV ID。
所述拜訪域MIH -驗i正實體還包括
密鑰確定單元(6042 ),按照與MN的約定�����,從所述DS-MIH-RK抽取信 息生成所述MN與所述拜訪域MIH驗證實體間的通信密鑰。
對于本發(fā)明實施例提供的各裝置及系統(tǒng)的具體實現(xiàn)細(xì)節(jié)可參見方法實施 例�����,在此不再贅述�。
以上所述僅是本發(fā)明的優(yōu)選實施方式,應(yīng)當(dāng)指出��,對于本技術(shù)領(lǐng)域的普 通技術(shù)人員來說�����,在不脫離本發(fā)明原理的前提下����,還可以做出若干改進(jìn)和潤 飾���,這些改進(jìn)和潤飾也應(yīng)視為本發(fā)明的保護(hù)范圍���。
1權(quán)利要求
1、一種配置密鑰的方法����,其特征在于,包括在移動節(jié)點MN和家鄉(xiāng)AAA服務(wù)器AAAH上,分別生成拜訪域特定根密鑰DSRK�,所述AAAH將所述DSRK發(fā)送給拜訪域AAA服務(wù)器AAAV;在MN和AAAV上�,分別利用所述DSRK生成域特定MIH業(yè)務(wù)根密鑰DS-MIH-RK,所述AAAV將所述DS-MIH-RK發(fā)送給拜訪域介質(zhì)無關(guān)切換MIH驗證實體����。
2、 根據(jù)權(quán)利要求l所述方法�,其特征在于,所述MN和AAAH�,分別利用擴(kuò)展主會話密鑰EMSK、拜訪域ID和AAAV ID以及隨機(jī)數(shù)據(jù)計算出所述DSRK�。
3、 根據(jù)權(quán)利要求2所述方法���,其特征在于�,生成所述DSRK的過程為 所述MN預(yù)先獲知所述拜訪域ID����、拜訪域驗證者Authenticator ID和拜訪域MIH ID;所述MN通過所述AAAV與所述AAAH進(jìn)行4秦入認(rèn)i正,所述AAAH獲 知所述拜訪域ID���、�����、 Authentication ID�、 MIHID、 AAAVID和MNID;所述MN和所述AAAH利用所述拜訪域ID���、 Authentication ID和MIH ID 生成所述EMSK;在所述MN和AAAH間建立安全通道�,所述AAAH通過所述安全通道將 所述AAAV ID發(fā)送給MN;所述MN和AAAH�����,分別利用所述EMSK�����、拜訪域ID����、 AAAV ID以及隨 機(jī)數(shù)據(jù)計算出DSRK���。
4���、 根據(jù)權(quán)利要求3所述方法,其特征在于,利用所述EMSK���、所述MN ID 以及隨機(jī)數(shù)據(jù)生成完整性密鑰IK和加密密鑰EK,在所述MN和AAAH間建 立所述安全通道�。
5��、 根據(jù)權(quán)利要求1或2或3或4所述方法�����,其特征在于�����,所述MN和AAAV���,分別利用所述DSRK以及預(yù)獲知的MIH ID���、 MN ID 和隨機(jī)數(shù)據(jù)計算出所述DS-MIH-RK。
6�、 才艮據(jù)權(quán)利要求5所述方法,其特征在于�����,生成所述DS-MIH-RK的過 程為MN預(yù)先獲知拜訪域ID和MIH ID;所述MN通過所述AAAV與所述AAAH進(jìn)4于4妻入認(rèn)證,所述AAAV獲 知MIH ID和MN ID;在生成DSRK后���,所述AAAH將所述DSRK發(fā)送給所述AAAV;所述MN和AAAV,分別利用所述DSRK、 MIH ID和MN ID以及隨機(jī) 數(shù)據(jù)計算出所述DS-MIH-RK�����。
7�、 根據(jù)權(quán)利要求l所述方法,其特征在于���,還包括在所述MN和所述拜訪域MIH驗證實體上���,按照約定從所述DS-MIH-RK 提取信息,生成所述MN和所述拜訪域MIH驗證實體之間的通信密鑰����。
8����、 根據(jù)權(quán)利要求7所述方法,其特征在于��,所述MN和所述拜訪域MIH -驗證實體之間的通信密鑰包括驗證密鑰、數(shù)據(jù)通道的加密密鑰或完整性保 護(hù)密鑰���。
9���、 一種配置密鑰的裝置,其特征在于�,位于MN側(cè),用于向所述MN配 置密鑰�����,所述密鑰為所述MN與拜訪域MIH驗證實體間的密鑰�;所述裝置包 括DSRK生成單元(6011 ),用于利用預(yù)計算出的EMSK、預(yù)獲知的拜訪域 ID和AAAV ID以及隨機(jī)數(shù)據(jù)計算出DSRK;DS-MIH-RK生成單元(6012),用于利用所述DSRK以及預(yù)獲知的MIH ID�����、 MN ID和隨機(jī)數(shù)據(jù)計算出DS-MIH-RK�����。
10��、 根據(jù)權(quán)利要求9所述裝置����,其特征在于�����,還包括 密鑰確定單元(6013),按照與所述拜訪域MIH驗證實體的約定�����,從所述DS-MIH-RK抽取信息生成所述MN與所述拜訪域MIH驗i正實體間的通信 密鑰����。
11����、 根據(jù)權(quán)利要求9或IO所述裝置,其特征在于����,還包括 參數(shù)獲取單元(6014),用于獲取生成相關(guān)密鑰所需要的參數(shù)����。
12���、 根據(jù)權(quán)利要求11所述裝置��,其特征在于���,所述參數(shù)獲取單元(6014) 包括第 一參數(shù)獲取子單元(60141 ),用于獲取拜訪域ID�、 Authenticator ID和 MIH ID;第二參數(shù)獲取子單元(60142),用于通過AAAH與所述MN之間建立的 安全通道��,從所述AAAH接收所述AAAV ID����。
13、 根據(jù)權(quán)利要求12所述裝置����,其特征在于,還包括 MSK/EMSK生成單元(6015 ),用于利用所述第一參數(shù)獲取子單元(60141 )獲取的拜訪域ID���、 Authenticator ID和MIH ID生成MSK和EMSK;安全通道建立單元(6016 )�,用于利用所述MSK/EMSK生成單元(6015 ) 生成的EMSK和MNID,生成IK和EK,在所述AAAH與所述MN之間建 立安全通道���。
14�、 一種配置密鑰的裝置���,其特征在于�,位于拜訪域MIH—瞼證實體側(cè), 用于向所述拜訪域MIH馬全證實體配置密鑰��,所述密鑰為MN與所述拜訪域 MIH—險證實體間的密鑰�����;所述裝置包括DS-MIH-RK接收單元(6041 ),用于從AAAV接收DS-MIH-RK���。
15���、 根據(jù)權(quán)利要求14所述裝置,其特征在于���,還包括 密鑰確定單元(6042 )���,按照與MN的約定,從所述DS-MIH-RK抽取信息生成所述MN與所述拜訪域MIH驗證實體間的通信密鑰��。
16�����、 一種配置密鑰的裝置����,其特征在于,位于AAAH側(cè)�����,包括 DSRK生成單元(6021 ),用于利用預(yù)計算出的EMSK�����、預(yù)獲知的拜訪域ID和AAAV ID以及隨機(jī)數(shù)據(jù)計算出DSRK;DSRK發(fā)送單元(6022 ),用于向AAAV發(fā)送所述DSRK��。
17�、 根據(jù)權(quán)利要求16所述裝置,其特征在于��,還包括 參數(shù)獲知單元(6023 ),用于在MN通過AAAV與AAAH進(jìn)行接入認(rèn)證過程中��,從AAAV獲知拜訪域ID和AAAV ID,從所述MN獲取所述MN ID �、 Authenticator ID和MIH ID。
18�、 根據(jù)權(quán)利要求16或17所述裝置,其特征在于,還包括 MSK/EMSK生成單元(6024),用于利用獲取的所述拜訪域ID���、Authenticator ID和MIH ID生成MSK和EMSK;安全通道建立單元(6025 ),用于利用所述MN ID和MSK/EMSK生成單 元(6024 )生成的EMSK,生成IK和EK�����,在所述AAAH與所述MN之間建 立安全通道����;參數(shù)發(fā)送單元(6026 ),用于通過與MN之間建立的安全通道�,將獲知的 所述AAAV ID發(fā)送給MN。 .
19��、 一種配置密鑰的裝置�����,其特征在于�,位于AAAV側(cè),包括 DSRK接收單元(6031 ),用于從AAAH接收DSRK;DS-MIH-RK生成單元(6032 ),用于利用所述DSRK以及預(yù)獲知的MIH ID���、 MNID和隨機(jī)數(shù)據(jù)計算出DS-MIH-RK���,并將所述DS-MIH-RK發(fā)送給拜 訪域MIH驗證實體�。
20��、 根據(jù)權(quán)利要求19所述裝置����,其特征在于��,還包括 參數(shù)獲知單元(6033 )�,用于在MN通過AAAV與AAAH進(jìn)行接入認(rèn)證過程中,獲取MIH ID和MN ID;參數(shù)發(fā)送單元(6034 )����,用于在MN通過AAAV與AAAH進(jìn)行接入認(rèn)證 過程中,向AAAV發(fā)送拜訪域ID和AAAV ID����。
21、 一種配置密鑰的系統(tǒng)�����,包括MN��、 AAAH�����、 AAAV以及拜訪域MIH 驗證實體;其特征在于�,所述MN包括DSRK生成單元(6011 ),用于利用預(yù)計算出的EMSK�、預(yù)獲知的拜訪域 ID和AAAV ID以及隨機(jī)數(shù)據(jù)計算出DSRK;DS-MIH-RK生成單元(6012 ),用于利用所述DSRK以及預(yù)獲知的MIH ID、 MN ID和隨機(jī)數(shù)據(jù)計算出DS-MIH-RK;所述AAAH包括DSRK生成單元(6021 )�����,用于利用預(yù)計算出的EMSK�、預(yù)獲知的拜訪域 ID和AAAV ID以及隨機(jī)數(shù)據(jù)計算出DSRK;DSRK發(fā)送單元(6022 ),用于向AAAV發(fā)送所述DSRK; 所述AAAV包括DSRK接收單元(6031 ),用于從AAAH接收DSRK;DS-MIH-RK生成單元(6032)��,用于利用所述DSRK以及預(yù)獲知的MIH ID��、 MN ID和隨機(jī)數(shù)據(jù)計算出DS-MIH-RK���,并負(fù)責(zé)將DS-MIH-RK發(fā)送給 MIH驗證實體���;所述拜訪域MIH — 險證實體包括DS-MIH-RK接收單元(6041 ),用于從AAAV接收DS-MIH-RK。
全文摘要
本發(fā)明公開了一種配置密鑰的方法��,包括在MN和家鄉(xiāng)AAA服務(wù)器AAAH上���,分別生成拜訪域特定根密鑰DSRK��,所述AAAH將所述DSRK發(fā)送給拜訪域AAA服務(wù)器AAAV��;在MN和AAAV上�,分別利用所述DSRK生成拜訪域MIH業(yè)務(wù)根密鑰DS-MIH-RK,并且���,所述AAAV將所述DS-MIH-RK發(fā)送給拜訪域MIH驗證實體�。本發(fā)明避免了手工配置驗證口令存在的繁瑣以及易出錯的問題��,使得MIH業(yè)務(wù)的大規(guī)模安全部署成為可能���。與上述方法相對應(yīng),本發(fā)明還提供在MN和MIH驗證實體間配置密鑰的裝置及系統(tǒng)��。
文檔編號H04L29/06GK101499959SQ20081000680
公開日2009年8月5日 申請日期2008年1月31日 優(yōu)先權(quán)日2008年1月31日
發(fā)明者夏忠其 申請人:華為技術(shù)有限公司