專利名稱:用于在無(wú)線通信網(wǎng)絡(luò)中提供pmip密鑰分層結(jié)構(gòu)的方法和裝置的制作方法
用于在無(wú)線通信網(wǎng)絡(luò)中提供PMIP密鑰分層結(jié)構(gòu)的方法和裝置
背景
根據(jù)35 U.S.C. §119的優(yōu)先權(quán)要求
本專利申請(qǐng)要求2007年5月31日提交且被轉(zhuǎn)讓給本申請(qǐng)受讓人并由此通 過(guò)援引明確納入于此的題為"Methods and Apparatus for Providing Key Hierarchy and Computation in Wireless Communication Networks (用于在無(wú)線通信網(wǎng)絡(luò)中 提供密鑰分層結(jié)構(gòu)和計(jì)算的方法和裝置)"的美國(guó)臨時(shí)申請(qǐng)No. 60/941,256的優(yōu) 先權(quán)��。
領(lǐng)域
至少一個(gè)特征涉及通信系統(tǒng)�,尤其涉及用于助益安全代理移動(dòng)IP (PMIP) 密鑰生成以及在無(wú)線網(wǎng)絡(luò)內(nèi)的分發(fā)的方法�����。
背景
在3GPP2內(nèi)的各種無(wú)線通信網(wǎng)絡(luò)的演進(jìn)中��, 一種類型的網(wǎng)絡(luò)架構(gòu)被稱為 超移動(dòng)寬帶(UMB)網(wǎng)絡(luò)并旨在針對(duì)下一代應(yīng)用和要求來(lái)改善CDMA2000移 動(dòng)電話標(biāo)準(zhǔn)�����。UMB分組數(shù)據(jù)網(wǎng)絡(luò)基于運(yùn)行在下一代無(wú)線電系統(tǒng)上的因特網(wǎng) (TCP/IP)聯(lián)網(wǎng)技術(shù)并旨在變得更有效以及能夠比其所取代的諸技術(shù)提供更多 的服務(wù)��。UMB旨在成為第四代(4G)技術(shù)并使用高帶寬�、低等待時(shí)間�����、其上 建有諸如語(yǔ)音之類的高層服務(wù)的底層TCP/IP網(wǎng)絡(luò)�。(與先前幾代相比)大得 多的帶寬量以及低得多的等待時(shí)間使得能夠使用先前所不可能使用的各種應(yīng) 用類型,同時(shí)繼續(xù)遞送高質(zhì)量(或更高質(zhì)量)的語(yǔ)音服務(wù)�。
UMB網(wǎng)絡(luò)對(duì)其被稱為演進(jìn)基站(eBS)的網(wǎng)絡(luò)接入節(jié)點(diǎn)具有較不集中式 的管理。接入節(jié)點(diǎn)可被耦合至本地或共處一地的會(huì)話參考網(wǎng)絡(luò)控制器(SRNC)����。 此類接入節(jié)點(diǎn)和/或SRNC可以執(zhí)行許多與常規(guī)CDMA網(wǎng)絡(luò)中的基站(BS)和 基站控制器(BSC)相同的功能�。結(jié)果�,由于UMB架構(gòu)中的接入節(jié)點(diǎn)(eBS)和SRNC更靠近無(wú)線接口地執(zhí)行附加操作,在嘗試維護(hù)接入節(jié)點(diǎn)與SRNC的安
全性時(shí)發(fā)生若干問(wèn)題����。 一個(gè)這樣的問(wèn)題是在接入終端漫游至遠(yuǎn)離其歸屬網(wǎng)絡(luò)的 不同網(wǎng)絡(luò)時(shí)支持并保護(hù)通信。
移動(dòng)IP (MIP)規(guī)定了供移動(dòng)節(jié)點(diǎn)(接入終端)即使在該移動(dòng)節(jié)點(diǎn)(接入 終端)并不在其歸屬網(wǎng)絡(luò)中時(shí)用于接收以其歸屬IP地址為目的地的分組的協(xié) 議���。其規(guī)定了移動(dòng)節(jié)點(diǎn)(接入終端)與歸屬代理(HA)之間的注冊(cè)請(qǐng)求(RRQ) 和響應(yīng)(RRP)消息�。HA在隨后代表移動(dòng)節(jié)點(diǎn)接收分組并將這些分組隧穿至 移動(dòng)節(jié)點(diǎn)(接入終端)的目前位置�����。RRQ和RRP消息是使用由移動(dòng)節(jié)點(diǎn)(接 入終端)及其歸屬代理共享的密鑰來(lái)認(rèn)證的�。
在一些情形中,諸如連接至網(wǎng)絡(luò)的移動(dòng)節(jié)點(diǎn)(接入終端)不具有移動(dòng)IP 棧卻要求移動(dòng)性服務(wù)的場(chǎng)合�����,網(wǎng)絡(luò)可能必須依賴代理(稱為代理移動(dòng)節(jié)點(diǎn)-PMN)來(lái)生成注冊(cè)請(qǐng)求并代表該移動(dòng)節(jié)點(diǎn)(接入終端)處理注冊(cè)響應(yīng)���。為了確 保移動(dòng)IP兼容行為�����,來(lái)自PMN的控制分組必須經(jīng)由移動(dòng)節(jié)點(diǎn)(接入終端)的 當(dāng)前子網(wǎng)來(lái)發(fā)送�����。因此由PMN生成的MIP控制分組經(jīng)由駐留在移動(dòng)節(jié)點(diǎn)的當(dāng) 前子網(wǎng)中(比方位于國(guó)外代理或接入節(jié)點(diǎn)處)的輔助功能來(lái)隧穿����。因此����,PMN (和PMN-HA密鑰)可駐留在單個(gè)/安全位置上,即使在移動(dòng)節(jié)點(diǎn)(接入終端) 從一個(gè)子網(wǎng)移至或漫游至另一個(gè)時(shí)亦如此����。
因此,需要一種用以生成和分發(fā)用于網(wǎng)絡(luò)內(nèi)的PMIP隧道的密鑰的方法����。
概述
提供在接入網(wǎng)關(guān)中操作的第一方法,包括(a)接收將接入終端的代理 移動(dòng)網(wǎng)際協(xié)議(PMIP)隧道綁定從第一接入節(jié)點(diǎn)改變至第二接入節(jié)點(diǎn)的請(qǐng)求�; (b)生成第一節(jié)點(diǎn)密鑰;(C)將第一節(jié)點(diǎn)密鑰發(fā)送給中間網(wǎng)絡(luò)節(jié)點(diǎn)����,該中間網(wǎng)絡(luò) 節(jié)點(diǎn)能生成第一PMIP密鑰并將其提供給第二接入節(jié)點(diǎn)����;和/或(d)建立網(wǎng)關(guān)與
第二接入節(jié)點(diǎn)之間由第一PMIP密鑰保護(hù)的PMIP隧道��。該方法還可包括:(e)確 定接入終端是否已通過(guò)第二接入節(jié)點(diǎn)被認(rèn)證��;(f)僅當(dāng)接入終端尚未被認(rèn)證時(shí) 生成并發(fā)送第一節(jié)點(diǎn)密鑰����。其中,如果接入終端已被認(rèn)證����,則還包括(g)生 成第二節(jié)點(diǎn)密鑰;(h)根據(jù)第二節(jié)點(diǎn)密鑰生成第二PMIP密鑰�;和/或(i)向第二 接入節(jié)點(diǎn)發(fā)送第二 PMIP密鑰。中間網(wǎng)絡(luò)節(jié)點(diǎn)是會(huì)話參考網(wǎng)絡(luò)控制器(SRNC)���。第一節(jié)點(diǎn)密鑰和第二節(jié)點(diǎn)密鑰可以是隨機(jī)選擇的并且彼此無(wú)關(guān)��,或者它們可以 是基于根密鑰的�����。
該方法還可包括維護(hù)與接入終端(AT)相關(guān)聯(lián)并被用于保護(hù)至服務(wù)接入 終端的網(wǎng)絡(luò)節(jié)點(diǎn)的PMIP隧道的PMIP密鑰分層結(jié)構(gòu)���,其中該密鑰分層結(jié)構(gòu)包
括第一節(jié)點(diǎn)密鑰����。PMIP密鑰分層結(jié)構(gòu)可包括從其推導(dǎo)出第一節(jié)點(diǎn)密鑰的隨機(jī) 選擇的根密鑰����。PMIP密鑰分層結(jié)構(gòu)的根密鑰可以不為接入終端所知����。PMIP密
鑰分層結(jié)構(gòu)可與為接入終端所知且被用于認(rèn)證該接入終端的主密鑰分層結(jié)構(gòu)
無(wú)關(guān)。第二接入節(jié)點(diǎn)可以是向接入終端提供無(wú)線連通性的增強(qiáng)型基站(eBS)��。 網(wǎng)關(guān)在超移動(dòng)寬帶(UMB)兼容網(wǎng)絡(luò)中操作��。
提供在接入網(wǎng)關(guān)中操作的第二方法�����,包括(a)接收將接入終端的代理移 動(dòng)網(wǎng)際協(xié)議(PMIP)隧道綁定從第一接入節(jié)點(diǎn)改變至第二接入節(jié)點(diǎn)的請(qǐng)求��;(b) 生成第一節(jié)點(diǎn)密鑰��;(c)根據(jù)第一節(jié)點(diǎn)密鑰生成第一PMIP密鑰;(d)向第二接 入節(jié)點(diǎn)發(fā)送第一 PMIP密鑰�;和/或(e)建立網(wǎng)關(guān)與第二接入節(jié)點(diǎn)之間由第一 PMIP密鑰保護(hù)的PMIP隧道。該方法還可包括(f)確定接入終端是否已通過(guò)
第二接入節(jié)點(diǎn)被認(rèn)證����;(g)僅當(dāng)接入節(jié)點(diǎn)已被認(rèn)證時(shí)生成并發(fā)送第一節(jié)點(diǎn)密鑰。 其中如果接入終端尚未被認(rèn)證�,則該方法還可包括(h)生成第二節(jié)點(diǎn)密鑰;
和/或(i)將第二節(jié)點(diǎn)密鑰發(fā)送給中間網(wǎng)絡(luò)節(jié)點(diǎn)�����,該中間網(wǎng)絡(luò)節(jié)點(diǎn)能生成第二
PMIP密鑰并將其提供給第二接入節(jié)點(diǎn)�����。中間網(wǎng)絡(luò)節(jié)點(diǎn)可以是會(huì)話參考網(wǎng)絡(luò)控 制器(SRNC)�����。第二接入節(jié)點(diǎn)可以是增強(qiáng)型基站(eBS)��。該方法還可包括維 護(hù)與接入終端(AT)相關(guān)聯(lián)并被用于保護(hù)至服務(wù)接入終端的網(wǎng)絡(luò)節(jié)點(diǎn)的PMIP 隧道的PMIP密鑰分層結(jié)構(gòu)����,其中該密鑰分層結(jié)構(gòu)包括第一節(jié)點(diǎn)密鑰�。其中 PMIP密鑰分層結(jié)構(gòu)包括從其推導(dǎo)出第一節(jié)點(diǎn)密鑰的隨機(jī)選擇的根密鑰�。
附圖簡(jiǎn)述
在結(jié)合附圖理解下面闡述的詳細(xì)描述時(shí),各種特征�、本質(zhì)、和優(yōu)點(diǎn)會(huì)變得 明顯����,在附圖中,相像的附圖標(biāo)記貫穿始終作相應(yīng)標(biāo)識(shí)��。
圖1是根據(jù)一個(gè)示例的其中可實(shí)現(xiàn)安全PMIP密鑰分發(fā)的一個(gè)或多個(gè)特征 的UMB網(wǎng)絡(luò)的框圖�����。
圖2是圖解根據(jù)一個(gè)示例可由網(wǎng)關(guān)維護(hù)的用于驗(yàn)證換手轉(zhuǎn)移請(qǐng)求的輔助(PMIP)密鑰分層結(jié)構(gòu)的示圖���。
圖3是圖解其中接入終端將通信服務(wù)從第一接入節(jié)點(diǎn)轉(zhuǎn)移至第二接入節(jié) 點(diǎn)的通信網(wǎng)絡(luò)的框圖。
圖4是在圖3中所圖解的環(huán)境中在接入終端被認(rèn)證的情形中網(wǎng)關(guān)可如何生 成并分發(fā)PMIP密鑰的流程圖�。
圖5是圖解在圖3中所圖解的環(huán)境中在接入終端AT經(jīng)由第一接入節(jié)點(diǎn)被 認(rèn)證但在沒(méi)有進(jìn)行認(rèn)證的情況下移至第二接入節(jié)點(diǎn)的情形中網(wǎng)關(guān)可如何生成 并分發(fā)PMIP密鑰的流程圖。
圖6是圖解在圖3中所圖解的環(huán)境中在接入終端正從與接入節(jié)點(diǎn)的未經(jīng)認(rèn) 證連接轉(zhuǎn)至與第二接入節(jié)點(diǎn)的另一未經(jīng)認(rèn)證連接而沒(méi)有進(jìn)行認(rèn)證的情形中網(wǎng) 關(guān)可如何生成并分發(fā)PMIP密鑰的流程圖���。
圖7圖解了在網(wǎng)絡(luò)網(wǎng)關(guān)中操作用于生成用來(lái)在通信網(wǎng)絡(luò)中保護(hù)PMIP隧道 的密鑰的方法���。
圖8圖解了在網(wǎng)絡(luò)網(wǎng)關(guān)中操作用于生成和分發(fā)用來(lái)保護(hù)通信網(wǎng)絡(luò)中特定 接入終端的PMIP隧道的密鑰的方法���。
圖9是圖解了網(wǎng)關(guān)設(shè)備的示例的框圖。
圖IO是圖解接入終端的密鑰分層結(jié)構(gòu)的示例的示圖���。
詳細(xì)描述
在以下說(shuō)明中��,給出了具體細(xì)節(jié)以提供對(duì)諸配置的透徹理解���。但是,本領(lǐng) 域普通技術(shù)人員將可理解����,沒(méi)有這些具體細(xì)節(jié)也可實(shí)踐這些配置。例如����,電路 可能以框圖形式示出,以免使這些配置湮沒(méi)在不必要的細(xì)節(jié)中���。在其他實(shí)例中����, 公知的電路���、結(jié)構(gòu)�、和技術(shù)可能被詳細(xì)示出以免湮沒(méi)這些配置。
還注意到�����,這些配置可能是作為被描繪為流程圖����、流圖、結(jié)構(gòu)圖�、或框圖 的過(guò)程來(lái)描述的。盡管流程圖可能會(huì)把諸操作描述為順序過(guò)程�,但是這些操作 中有許多可以并行或并發(fā)執(zhí)行。另外�,這些操作的次序可以被重新安排。過(guò)程 在其操作完成時(shí)終止���。過(guò)程可以對(duì)應(yīng)于方法、函數(shù)����、規(guī)程、子例程���、子程序等�。 當(dāng)過(guò)程對(duì)應(yīng)于函數(shù)時(shí),其終止對(duì)應(yīng)于該函數(shù)返回到調(diào)用方函數(shù)或主函數(shù)�。
在一個(gè)或更多個(gè)示例和/或配置中,所描述的功能可以在硬件��、軟件�����、固件���、或其任何組合中實(shí)現(xiàn)�。如果在軟件中實(shí)現(xiàn)��,則各功能可以作為一條或更多 條指令或代碼存儲(chǔ)在計(jì)算機(jī)可讀介質(zhì)上或藉其進(jìn)行傳送�����。計(jì)算機(jī)可讀介質(zhì)包括 計(jì)算機(jī)存儲(chǔ)介質(zhì)和通信介質(zhì)兩者�����,后者包括有助于將計(jì)算機(jī)程序從一地轉(zhuǎn)移到 另一地的任何介質(zhì)����。存儲(chǔ)介質(zhì)可以是可被通用或?qū)S糜?jì)算機(jī)訪問(wèn)的任何可用介
質(zhì)�����。作為示例而非限定�����,這樣的計(jì)算機(jī)可讀介質(zhì)可包括RAM����、 ROM�����、 EEPROM�、 CD-ROM或其他光盤存儲(chǔ)、磁盤存儲(chǔ)或其他磁存儲(chǔ)設(shè)備�、或可用來(lái)攜帶或存儲(chǔ) 指令或數(shù)據(jù)結(jié)構(gòu)形式的合需程序代碼手段且能由通用或?qū)S糜?jì)算機(jī)、或者通用 或?qū)S锰幚砥髟L問(wèn)的任何其他介質(zhì)�����。任何連接也被正當(dāng)?shù)胤Q為計(jì)算機(jī)可讀介 質(zhì)�。例如,如果軟件是使用同軸電纜����、光纖電纜、雙絞線���、數(shù)字訂戶線(DSL)�����、 或諸如紅外���、無(wú)線電、以及微波之類的無(wú)線技術(shù)從web網(wǎng)站����、服務(wù)器、或其它 遠(yuǎn)程源傳送而來(lái)的����,則該同軸電纜、光纖電纜�、雙絞線、DSL、或諸如紅外���、 無(wú)線電�、以及微波之類的無(wú)線技術(shù)就被包括在介質(zhì)的定義之中��。本文中所使用 的盤(disk)和碟(disc)包括壓縮碟(CD)����、激光碟、光碟�、數(shù)字多用碟(DVD)、 軟盤和藍(lán)光碟�,其中盤通常磁性地再現(xiàn)數(shù)據(jù),而碟用激光來(lái)光學(xué)地再現(xiàn)數(shù)據(jù)��。 上述的組合也被包括在計(jì)算機(jī)可讀介質(zhì)的范圍內(nèi)��。
不僅如此�,存儲(chǔ)介質(zhì)可以代表用于存儲(chǔ)數(shù)據(jù)的一個(gè)或更多個(gè)設(shè)備,包括只 讀存儲(chǔ)器(ROM)��、隨機(jī)存取存儲(chǔ)器(RAM)�、磁盤存儲(chǔ)介質(zhì)、光學(xué)存儲(chǔ)介 質(zhì)���、閃存設(shè)備���、和/或其他用于存儲(chǔ)信息的機(jī)器可讀介質(zhì)。
此外�,諸配置可以由硬件、軟件��、固件�����、中間件��、微碼�、或其任何組合來(lái) 實(shí)現(xiàn)。當(dāng)在軟件�、固件、中間件����、或微碼中實(shí)現(xiàn)時(shí),用于執(zhí)行必要任務(wù)的程序 代碼或代碼段可以被存儲(chǔ)在諸如存儲(chǔ)介質(zhì)或其他存儲(chǔ)之類的計(jì)算機(jī)可讀介質(zhì) 中���。處理器可以執(zhí)行這些必要的任務(wù)�。代碼段可表示規(guī)程、函數(shù)�、子程序、程 序�����、例程�、子例程、模塊����、軟件包、類�,或是指令、數(shù)據(jù)結(jié)構(gòu)�����、或程序語(yǔ)句的 任何組合����。通過(guò)傳遞和/或接收信息、數(shù)據(jù)�、自變量、參數(shù)�、或存儲(chǔ)器內(nèi)容����,一 代碼段可被耦合到另一代碼段或硬件電路�����。信息�����、自變量���、參數(shù)、數(shù)據(jù)等可以 經(jīng)由包括存儲(chǔ)器共享���、消息傳遞�、令牌傳遞����、網(wǎng)絡(luò)傳輸?shù)热魏魏线m的手段被傳 遞、轉(zhuǎn)發(fā)��、或傳輸��。
在以下描述中,使用某些術(shù)語(yǔ)來(lái)描述某些特征���。術(shù)語(yǔ)"接入終端"和"通信 設(shè)備"可以被可互換地用來(lái)指代移動(dòng)設(shè)備�、移動(dòng)電話�、無(wú)線終端、和/或能夠在無(wú)線網(wǎng)絡(luò)上通信的其他類型的移動(dòng)或固定通信裝置��。
一個(gè)方面提供了一種用于保護(hù)服務(wù)網(wǎng)絡(luò)網(wǎng)關(guān)與接入網(wǎng)絡(luò)節(jié)點(diǎn)之間的PMIP
隧道的方法��。PMIP密鑰分層結(jié)構(gòu)由網(wǎng)關(guān)來(lái)維護(hù)��。當(dāng)已執(zhí)行對(duì)接入終端的認(rèn)證 時(shí)�,網(wǎng)關(guān)使用第一節(jié)點(diǎn)密鑰來(lái)保護(hù)PMIP隧道。否則����,當(dāng)尚未執(zhí)行對(duì)接入終端 的認(rèn)證時(shí),網(wǎng)關(guān)使用第二節(jié)點(diǎn)密鑰來(lái)保護(hù)PMIP隧道���。
網(wǎng)絡(luò)環(huán)境
圖1是根據(jù)一個(gè)示例的其中可實(shí)現(xiàn)安全PMIP密鑰分發(fā)的一個(gè)或多個(gè)特征 的UMB網(wǎng)絡(luò)的框圖��。UMB網(wǎng)絡(luò)可使用不依賴諸如基站控制器(BSC)之類的 集中式實(shí)體來(lái)協(xié)調(diào)跨UMB的演進(jìn)基站(eBS)的連接的平坦架構(gòu)��。eBS可將 傳統(tǒng)基站����、BSC的功能以及分組數(shù)據(jù)服務(wù)節(jié)點(diǎn)(PDSN)的一些功能組合到單 個(gè)節(jié)點(diǎn)中,從而使得UMB網(wǎng)絡(luò)的部署變得更簡(jiǎn)單�。由于組件的數(shù)目減少了(與 現(xiàn)有技術(shù)的網(wǎng)絡(luò)相比),因此UMB網(wǎng)絡(luò)可以更可靠�、更靈活、更易于部署和/ 或運(yùn)營(yíng)成本更低�。例如,在傳統(tǒng)網(wǎng)絡(luò)中����,BS����、 BSC、 PDSN和移動(dòng)IP歸屬代 理(HA)全都協(xié)作以服務(wù)用戶話務(wù)����。UMB網(wǎng)絡(luò)重用核心網(wǎng)基礎(chǔ)設(shè)施中的絕大 部分但將諸功能合并到較少的網(wǎng)絡(luò)組件中。將這些功能組合到較少的節(jié)點(diǎn)減少 了等待時(shí)間���,降低了資本和維護(hù)成本��,并降低了節(jié)點(diǎn)之間用以投遞端對(duì)端QoS 的交互的復(fù)雜度��。
此示例圖解了 UMB接入網(wǎng)絡(luò)102和服務(wù)網(wǎng)絡(luò)113可如何例如在重用核心 網(wǎng)基礎(chǔ)設(shè)施(例如��,歸屬網(wǎng)絡(luò)103)時(shí)向多個(gè)接入終端AT 106和108提供無(wú) 線網(wǎng)絡(luò)接入�����。服務(wù)網(wǎng)絡(luò)113可以是AT 106和108的"歸屬"網(wǎng)絡(luò)���,但這些AT 也可以漫游或者拜訪其他網(wǎng)絡(luò)105并從這樣的其他網(wǎng)絡(luò)獲得無(wú)線網(wǎng)絡(luò)連通性���。
在此示例中,接入網(wǎng)絡(luò)102包括允許一個(gè)或更多個(gè)接入終端(AT-1) 106����、 108與服務(wù)網(wǎng)絡(luò)113和歸屬網(wǎng)絡(luò)103連接的第一eBS 104和第二 eBS 107 (其 被寬泛地稱為"網(wǎng)絡(luò)接入節(jié)點(diǎn)")。第一eBS104可被耦合至第一會(huì)話參考網(wǎng)絡(luò) 控制器(SRNC) 114 (其被寬泛地稱為"網(wǎng)絡(luò)控制器")以及服務(wù)網(wǎng)絡(luò)113中的 第一接入網(wǎng)關(guān)(AGW) 112 (其被寬泛地稱為"網(wǎng)絡(luò)網(wǎng)關(guān)節(jié)點(diǎn)")����,該服務(wù)網(wǎng)絡(luò) 113被耦合至歸屬網(wǎng)絡(luò)基礎(chǔ)設(shè)施103。類似地�,第二eBS 107可被耦合至第二 SRNC 109和第一 AGW 112。服務(wù)網(wǎng)絡(luò)113可包括耦合至本地認(rèn)證�����、授權(quán)和計(jì)AGW-b 120以及拜訪策略控制和資源 功能(vPCRF) 132以助益為諸eBS與AT的通信和/或連通性。歸屬網(wǎng)絡(luò)103 可包括歸屬代理(HA) 126�、歸屬AAA (HAAA) 128以及歸屬PCRF (hPCRF) 130。補(bǔ)充地�,其他接入網(wǎng)105也可被耦合至HA 126和/或LAAA 124以向諸 接入終端提供無(wú)線網(wǎng)絡(luò)連通性。
在各種實(shí)現(xiàn)中��,UMB接入網(wǎng)102還可包括耦合至SRNC 118的eBS 116 和117�����,該SRNC 118被耦合至可向AT-2 108提供無(wú)線網(wǎng)絡(luò)連通性的第二網(wǎng)關(guān) AGW 120�。網(wǎng)絡(luò)102、 113���、 105和/或103旨在作為在其中本文中所描述的一 個(gè)或更多個(gè)新穎特征可工作的通信系統(tǒng)的示例。然而�����,在這些網(wǎng)絡(luò)中的設(shè)備和 /或那些設(shè)備的功能可位于所示的其他網(wǎng)絡(luò)中(或不同的網(wǎng)絡(luò)中)�,而不脫離本 文中所描述的操作和特征。
根據(jù)各種示例����,AT106和/或108可以是無(wú)線通信設(shè)備�����、移動(dòng)電話�����、無(wú)線 終端�、以及支持經(jīng)由UMB網(wǎng)絡(luò)的無(wú)線電連通性的其他類型的移動(dòng)和/或無(wú)線設(shè)
備o
eBS 104��、 107和116支持UMB空中接口����。 eBS 104、 107禾口/或116可包 括UMB物理和/或MAC協(xié)議并可執(zhí)行無(wú)線電資源管理���、無(wú)線電信道管理�、第 2層加密和/或IP頭部壓縮(例如�����,ROHC)��。
網(wǎng)關(guān)AGW 112禾卩/或120可提供至歸屬網(wǎng)絡(luò)103的第3層IP連通性。網(wǎng) 關(guān)AGW 112和/或120可包括諸如認(rèn)證��、空閑狀態(tài)緩沖�、和/或代理移動(dòng)IP客 戶端之類的各種功能。例如��,網(wǎng)關(guān)AGW 112和/或120可包括IP地址管理��、 用于MIPv4的區(qū)外代理����、DHCP中繼、代理移動(dòng)網(wǎng)際協(xié)議(PMIP)客戶端�����、 網(wǎng)際協(xié)議(IP)分組分類/監(jiān)管��、EAP認(rèn)證器和/或AAA客戶端��。
SRNC 114�、 109和118可控制支持無(wú)線電資源控制的各種功能����,包括會(huì)話 信息存儲(chǔ)、尋呼功能、以及位置管理����。SRNC功能可包括例如(a)空中接口會(huì) 話信息存儲(chǔ)、(b)尋呼控制器�、(c)位置管理、和域(d)針對(duì)AT的EAP認(rèn)證器��。 第一SRNC 114可維護(hù)AT 106的無(wú)線電接入專用信息�����,而第二 SRNC 118可 維護(hù)AT108的無(wú)線接入專用信息���。SRNC可負(fù)責(zé)在AT空閑時(shí)維護(hù)會(huì)話參考(例 如��,經(jīng)協(xié)商的空中接口上下文的會(huì)話存儲(chǔ)點(diǎn))�����、支持空閑狀態(tài)管理���、以及提供 尋呼控制功能。SRNC還可負(fù)責(zé)對(duì)AT的接入認(rèn)證�����。SRNC功能可由eBS主存或者與eBS同處一地,或者可位于分開的(非無(wú)線電)實(shí)體中�。注意,SRNC 既可實(shí)現(xiàn)在集中式配置中又可實(shí)現(xiàn)在分布式配置中����。在集中式配置中,單個(gè) SRNC 118與若干eBS 116和117以及AGW 120相連接����。在分布式配置中,每 個(gè)eBS包括SRNC����,諸如eBS-a 104和SRNC-a 114的形式。
歸屬網(wǎng)絡(luò)103的認(rèn)證�、授權(quán)和計(jì)帳(AAA)服務(wù)可在歸屬代理126、本地 AAA (LAAA) 124和歸屬AAA (HAAA) 128之間分擔(dān)���。HAAA 128可負(fù)責(zé) 與AT 106���、 108、 110和/或112對(duì)網(wǎng)絡(luò)資源的使用相關(guān)聯(lián)的認(rèn)證��、授權(quán)和計(jì)帳�����。 歸屬代理(HA) 126可提供支持例如客戶端移動(dòng)IP (CMIP)和/或代理移動(dòng)IP (PMIP)的移動(dòng)性解決方案并且還可幫助實(shí)現(xiàn)技術(shù)間移動(dòng)性��。
策略控制和資源功能(PCRF)可存儲(chǔ)和分發(fā)用于AT 106�、 108、 110和/ 或122的策略����。在一種實(shí)現(xiàn)中,歸屬PCRF (hPCRF) 130可負(fù)責(zé)歸屬網(wǎng)絡(luò)策 略�����,而拜訪PCRF(vPCRF) 132可負(fù)責(zé)拜訪網(wǎng)絡(luò)策略���。hPCRF 130和vPCRF 132 分別向AGW 112和120提供本地和拜訪規(guī)則���。這些規(guī)則可包括例如(a)對(duì)屬于 服務(wù)數(shù)據(jù)流的分組的檢測(cè)、(b)提供對(duì)服務(wù)數(shù)據(jù)流的策略控制�、和/或(c)提供 對(duì)服務(wù)數(shù)據(jù)流適用的收費(fèi)參數(shù)。
在一個(gè)示例中�����,AT-1 106可通過(guò)經(jīng)由其服務(wù)eBS-a 104發(fā)送認(rèn)證請(qǐng)求—— 該認(rèn)證請(qǐng)求通過(guò)AGW-a 112至LAAA 124和HAAA 128——而被認(rèn)證。 一旦 被認(rèn)證���,話務(wù)就去往/來(lái)自AT-1 106�、 AGW-a 112和HA 126���。
雖然各個(gè)示例可能是從UMB網(wǎng)絡(luò)的觀點(diǎn)來(lái)例示的����,但是本文中所描述的 特征可適用于諸如尤其WiMAX和長(zhǎng)期演進(jìn)(LTE)網(wǎng)絡(luò)之類的其他類型的網(wǎng) 絡(luò)��。
使用可擴(kuò)展認(rèn)證協(xié)議(EAP)的認(rèn)證
圖IO是圖解接入終端的主密鑰分層結(jié)構(gòu)的示例的示圖����。當(dāng)可擴(kuò)展認(rèn)證協(xié) 議(EAP)(或某一其他安全認(rèn)證協(xié)議)被網(wǎng)絡(luò)用來(lái)認(rèn)證接入終端(AT)時(shí), 預(yù)配置長(zhǎng)期憑證IOOI (例如�,唯一性AT標(biāo)識(shí)符或值等)可被用于得到稱為主 會(huì)話密鑰(MSK) 1002和擴(kuò)展主會(huì)話密鑰(EMSK) 1004的兩個(gè)密鑰。
MSK 1002可由HAAA計(jì)算出���,并被發(fā)送給SRNC以推導(dǎo)用于保護(hù)通過(guò) 空中的話務(wù)的會(huì)話密鑰����。EMSK 1004可被存儲(chǔ)在AT和AAA服務(wù)器中,并且其可被用于推導(dǎo)用于移動(dòng)性或稍后的重新驗(yàn)證的其他密鑰�����。當(dāng)AT執(zhí)行初始
EAP接入認(rèn)證時(shí)�,MSK 1002可為AT和SRNC兩者所用��。AT可使用MSK 1002 來(lái)推導(dǎo)會(huì)話密鑰MSK��, 1006 (其中MSK�����, = f(MSK))以向第一接入網(wǎng)(AN1) 認(rèn)證其自身����。接著,AT可設(shè)法附連至第二接入網(wǎng)AN2��,并且可執(zhí)行重新認(rèn)證���, 其中域?qū)S酶荑€(DSRK) 1008被遞送給可向其執(zhí)行重新認(rèn)證過(guò)程的本地 AAA服務(wù)器或AGW���。出于重新認(rèn)證的目的�����,可在AT和本地AAA服務(wù)器/AGW 上推導(dǎo)出重新認(rèn)證根密鑰(rRK) 1010����。 rRK層級(jí)之下的任何東西可因重新認(rèn) 證使用而異�,并且最終提供用于推導(dǎo)用來(lái)與其他接入節(jié)點(diǎn)聯(lián)用的會(huì)話密鑰的密 鑰素材。例如��,重新認(rèn)證完整性密鑰(rIK) 1012和重新認(rèn)證MSK (rMSK) 密鑰1014����。
對(duì)于移動(dòng)IPv4安全性,EMSK 1004可被用來(lái)生成專用根密鑰 (MIP4-MN-RK)1016�。MIP4-MN-RK密鑰1016可在隨后被用來(lái)計(jì)算MN-AAA 密鑰1018,后者可被AT用來(lái)在移動(dòng)IPv4使用之時(shí)(例如����,當(dāng)接收到至新接 入節(jié)點(diǎn)eBS的改變請(qǐng)求時(shí))證明擁有有效密鑰素材。在向AT指派歸屬代理 (HA)以供MIP4之用后����,也可從MIP4-MN-RK 1016推導(dǎo)MN-HA密鑰1020。 MIP4-MN-RK密鑰1016可以是用在其中EAP沒(méi)有被用于接入認(rèn)證的情形 中的預(yù)配置密鑰。例如���,對(duì)IP移動(dòng)性使用MIPv4增強(qiáng)的HRPD/1X系統(tǒng)可能 就是這種情形��。當(dāng)從HRPD網(wǎng)絡(luò)轉(zhuǎn)換至UMB網(wǎng)絡(luò)或相反時(shí)����,最近可用的 MIP4-MN-RK密鑰可被用來(lái)生成MN-HA密鑰���。最近可用的密鑰可以是(從 EMSK 1004)動(dòng)態(tài)推導(dǎo)出的MIP4-MN-RK密鑰(在其可用之時(shí)),或者在動(dòng) 態(tài)推導(dǎo)出的密鑰不可用時(shí)����,可以是預(yù)配置MIP4-MN-RK密鑰。例如����,當(dāng)AT 在HRPD網(wǎng)絡(luò)中啟動(dòng)時(shí),預(yù)配置MIP4-MN-RK將被用于MIP4���。如果AT在隨 后使用相同MIP4會(huì)話轉(zhuǎn)變至UMB網(wǎng)絡(luò)�����,則當(dāng)前使用的MIP4-MN-RK密鑰將 繼續(xù)被使用直至其期滿���。如果AT在UMB網(wǎng)絡(luò)中啟動(dòng)���,其可能已執(zhí)行EAP并 且動(dòng)態(tài)MIP4-MN-RK密鑰將是可用的。在此情形中���,動(dòng)態(tài)MIP4-MN-RK密鑰 被用于MIP4直至密鑰期滿�����,即使AT隨后移至HRPD網(wǎng)絡(luò)亦是如此����。如果動(dòng) 態(tài)MIP4-MN-RK密鑰期滿�,則AT可在隨后在用于生成新MIP4密鑰時(shí)使用任 何可用的預(yù)配置或者動(dòng)態(tài)MIP4-MN-RK密鑰。
對(duì)于代理移動(dòng)IPv4安全性(例如����,保護(hù)網(wǎng)絡(luò)基礎(chǔ)設(shè)施節(jié)點(diǎn)之間的PMIP隧道),可基于可對(duì)于AT唯一被并可由本地AAA (LAAA)服務(wù)器或接入網(wǎng) 關(guān)(AGW)在初始接入認(rèn)證時(shí)挑選的隨機(jī)密鑰(PMN-RK)來(lái)定義密鑰分層結(jié) 構(gòu)���。
PMIP密鑰的生成和分發(fā)
當(dāng)AT從第一 eBS漫游或者移至第二 eBS時(shí)�,管理AT的通信的AGW建 立去往新服務(wù)eBS的代理移動(dòng)IP (PMIP)隧道。然而����,AGW必須防止其他 eBS (或入侵者)在它們并不向該AT提供無(wú)線連通性時(shí)聲稱向該AT提供無(wú) 線連通性。例如��,在圖1中�,如果AT-l 106將其服務(wù)接入節(jié)點(diǎn)從eBS-a 104改 變?yōu)閑BS-b 107,則網(wǎng)關(guān)AGW-a 112應(yīng)具有用于驗(yàn)證至eBS-b 107的改變請(qǐng)求 是否有效的方法�����。AGW-a 112可通過(guò)對(duì)每個(gè)隧道綁定使用安全PMIP密鑰來(lái)防 止未授權(quán)實(shí)體改變PMIP隧道綁定(即�,網(wǎng)關(guān)AGW-a 112與eBS-a 104/SRNC-a 114之間的)��。
至少有兩種類型的PMIP隧道eBS與AGW之間的RAN PMIP隧道以及 AGW與SRNC之間和第一 AGW與第二 AGW之間的網(wǎng)絡(luò)PMIP隧道�����。當(dāng)AT 從第一接入節(jié)點(diǎn)eBS-1移至第二接入節(jié)點(diǎn)eBS-2 (在接入網(wǎng)內(nèi))時(shí)�����,可由AGW 與新服務(wù)eBS-2建立新RAN PMIP隧道�。類似地,當(dāng)該AT移至或者漫游至新 接入或服務(wù)網(wǎng)絡(luò)中時(shí),歸屬網(wǎng)關(guān)AGW可與該新接入或服務(wù)網(wǎng)絡(luò)建立網(wǎng)絡(luò)PMIP 隧道����。 一旦移至新服務(wù)eBS-2,就可用新PMIP密鑰建立新PMIP隧道�。
因此, 一個(gè)特征提供代理移動(dòng)節(jié)點(diǎn)歸屬代理(PMN-HA)密鑰("PMIP密 鑰")�����,該密鑰可例如被用來(lái)綁定或保護(hù)接入節(jié)點(diǎn)eBS與網(wǎng)關(guān)AGW之間和/或 SNRC與網(wǎng)關(guān)AGW之間的PMIP隧道�����。g卩���,可從網(wǎng)關(guān)AGW向接入節(jié)點(diǎn)eBS 提供安全密鑰����,該安全密鑰使得它們能夠保護(hù)它們之間的PMIP隧道中的PMIP 信令�����。
通信系統(tǒng)可實(shí)現(xiàn)用于推導(dǎo)供通信系統(tǒng)內(nèi)的不同用途之用的密鑰的密鑰分 層結(jié)構(gòu)����。在一些實(shí)例中����,"主"密鑰被指派給AT��,并且可被通信系統(tǒng)和/或AT 用來(lái)推導(dǎo)其他密鑰�。可根據(jù)主密鑰(以及可能的其他參數(shù))用不可發(fā)現(xiàn)主密鑰 的方法來(lái)生成推導(dǎo)密鑰��。類似地�����, 一些推導(dǎo)密鑰可被用來(lái)安全地推導(dǎo)其他低層 密鑰�。在一些實(shí)例中,諸如EAP密鑰分層結(jié)構(gòu)(圖10)等主密鑰分層結(jié)構(gòu)由
HAAA和AT維護(hù)����。主密鑰分層結(jié)構(gòu)可以基于與AT唯一性地相關(guān)聯(lián)的主密鑰�����, 并且為HAAA和AT兩者所知��。主密鑰分層結(jié)構(gòu)可被用于推導(dǎo)用來(lái)向HAAA 認(rèn)證AT的密鑰。
輔助(PMIP)密鑰分層結(jié)構(gòu)可由網(wǎng)絡(luò)網(wǎng)關(guān)(AGW)維護(hù)�,并且被用于驗(yàn) 證將會(huì)話或服務(wù)重新路由/換手至新接入節(jié)點(diǎn)的請(qǐng)求。此輔助密鑰分層結(jié)構(gòu)可為 網(wǎng)關(guān)AGW所知但不為AT所知�����。在一些實(shí)例中�,輔助密鑰可以基于對(duì)于AT 唯一且僅為網(wǎng)關(guān)所知的隨機(jī)密鑰(PMN-RK)?����?蓮妮o助密鑰分層結(jié)構(gòu)的隨機(jī) 根密鑰(PMN-RK)推導(dǎo)出多個(gè)PMN-HA密鑰��。
圖2是圖解根據(jù)一個(gè)示例可由網(wǎng)關(guān)維護(hù)的用于生成和/或分發(fā)用以保護(hù) PMIP隧道的密鑰的輔助(PMIP)密鑰分層結(jié)構(gòu)的示圖����。在此示例中,根密鑰 PMIP4-RK 202可以是由網(wǎng)關(guān)AGW選擇的隨機(jī)密鑰�����。在一種實(shí)現(xiàn)中����,密鑰分 層結(jié)構(gòu)200可能與用于例如認(rèn)證接入終端AT的主密鑰分層結(jié)構(gòu)的上層密鑰不 相關(guān)�。例如�����,輔助密鑰分層結(jié)構(gòu)200中的根密鑰PMIP4-RK202可以是與用于 接入終端AT的主密鑰分層結(jié)構(gòu)無(wú)關(guān)的隨機(jī)密鑰�。在另一實(shí)現(xiàn)中,可基于用于 接入終端AT的主密鑰分層結(jié)構(gòu)中的高層密鑰推導(dǎo)出PMIP4-RK密鑰202���。
在一個(gè)示例中�,網(wǎng)關(guān)AGW可生成不同的節(jié)點(diǎn)密鑰PMN-RK1和 PMN-RK2�,這取決于在換手或轉(zhuǎn)移至新網(wǎng)絡(luò)接入節(jié)點(diǎn)(eBS)期間是否已認(rèn)證 相關(guān)聯(lián)的接入終端AT。 S卩����,由于未經(jīng)認(rèn)證接入終端AT會(huì)造成被泄露的更大 風(fēng)險(xiǎn),因此網(wǎng)關(guān)AGW可利用不同密鑰�。這樣,尚未被認(rèn)證的AT的PMIP隧 道可用第一節(jié)點(diǎn)密鑰PMN-RK1來(lái)保護(hù)���,而已被認(rèn)證的AT的PMIP隧道可用 第二節(jié)點(diǎn)密鑰PMN-RK2來(lái)保護(hù)����。這保證在第一節(jié)點(diǎn)密鑰PMN-RK1被泄露的 情況下�����,當(dāng)AT移至其中可發(fā)生重新認(rèn)證的其他接入節(jié)點(diǎn)時(shí)將不會(huì)危害該AT�����。
在第一操作模式中�,在沒(méi)有通過(guò)新服務(wù)接入節(jié)點(diǎn)發(fā)生對(duì)AT的認(rèn)證的場(chǎng)合 中,可生成并使用第一節(jié)點(diǎn)密鑰PMN-RK1 204����。 AGW生成第一節(jié)點(diǎn)密鑰 PMN-RK1并將其遞送給與新服務(wù)接入節(jié)點(diǎn)相關(guān)聯(lián)的中間網(wǎng)絡(luò)節(jié)點(diǎn)(SRNC)。 中間網(wǎng)絡(luò)節(jié)點(diǎn)SRNC隨后可基于第一節(jié)點(diǎn)密鑰PMN-RK1和諸如計(jì)數(shù)器或接入 節(jié)點(diǎn)標(biāo)識(shí)符等可能的其他參數(shù)生成PMIP密鑰(PMN-HArkw) �����。 PMIP密鑰 (PMN-HArkw)被發(fā)送給新服務(wù)接入節(jié)點(diǎn)并且可在隨后被用在該新服務(wù)接入節(jié)點(diǎn)與網(wǎng)關(guān)AG—W—之間用來(lái)建立和/或保護(hù)PMIP隧道����。注意,用其來(lái)計(jì)算PMIP 密鑰(PMN-HAkkw)的其他參數(shù)(例如�����,計(jì)數(shù)器��、接入節(jié)點(diǎn)標(biāo)識(shí)符等)可為 網(wǎng)關(guān)AGW已知或被提供給它,以使得該AGW也生成用其來(lái)建立或驗(yàn)證PMIP 隧道的相同PMIP密鑰(PMN-HArkw)����。
在第二操作模式中,在已通過(guò)新服務(wù)接入節(jié)點(diǎn)發(fā)生對(duì)AT的認(rèn)證的場(chǎng)合中��, 可生成并使用第二節(jié)點(diǎn)密鑰PMN-RK1 206��。在此實(shí)例中�,第二節(jié)點(diǎn)密鑰 PMN-RK2 206被保持在網(wǎng)關(guān)AGW處,并且第二節(jié)點(diǎn)密鑰(PMN-HArrw)被 計(jì)算出并直接發(fā)送給新服務(wù)接入節(jié)點(diǎn)���。在此實(shí)例中��,對(duì)AT的認(rèn)證可包括執(zhí)行 接入認(rèn)證請(qǐng)求(例如��,使用任一EAP-AK協(xié)議)或接入重新認(rèn)證請(qǐng)求(例如�����, 使用EAP重新認(rèn)證協(xié)議(ERP))����。
在各個(gè)示例中,當(dāng)同一接入終端AT從一個(gè)接入節(jié)點(diǎn)移至或漫游至另一個(gè) 時(shí)�,相同的第一節(jié)點(diǎn)密鑰PMN-RK1 204可被用來(lái)生成多個(gè)不同的PMIP密鑰 (PMN-HArkw�、…、PMN-HArkln)���。類似地��,當(dāng)接入終端AT在不同接入 節(jié)點(diǎn)之間移動(dòng)或漫游時(shí)�,第二節(jié)點(diǎn)密鑰PMN-RK2 206可被用于生成多個(gè)不同 的PMIP密鑰(P畫-HArkw����、…、PMN-HArk2.n)�。
由于接入終端AT不需要知曉PMIP密鑰PMN-HAx,因此"推導(dǎo)"此密鑰 的唯一實(shí)體是AGW��。因此���,無(wú)需推導(dǎo)根密鑰PMIP4-RK202����,因?yàn)楹?jiǎn)單的強(qiáng)隨 機(jī)數(shù)生成是足夠的�。所生成的隨機(jī)數(shù)(即,根密鑰PMIP4-RK)可被用作供AGW 生成用于驗(yàn)證新PMIP隧道(例如,PMIPv4隧道)是否應(yīng)當(dāng)被建立的輔助密 鑰分層結(jié)構(gòu)的種子���。
替換地�,如在認(rèn)證密鑰的情形中那樣�����,可以從主(EAP)密鑰分層結(jié)構(gòu)創(chuàng) 建PMIP密鑰(PMN-HAx)����。
在又其他實(shí)現(xiàn)中,沒(méi)有根密鑰被用來(lái)生成節(jié)點(diǎn)密鑰PMN-RK1 204和 PMN-RK2 206�����。替代地���,這兩個(gè)節(jié)點(diǎn)密鑰可被獨(dú)立地生成�����。例如���,可隨機(jī)地選 擇P固-RK1 204禾卩P廳-RK2 206。
圖3-6圖解了在各種情景中接入網(wǎng)關(guān)AGW可如何向接入節(jié)點(diǎn)eBS和/或 會(huì)話參考網(wǎng)絡(luò)控制器SRNC分發(fā)PMIP密鑰。
圖3是圖解其中接入終端AT將通信服務(wù)從第一接入節(jié)點(diǎn)eBS-a 304轉(zhuǎn)移 至第二接入節(jié)點(diǎn)eBS-b 308的通信網(wǎng)絡(luò)的框圖����。圖4是圖解在圖3中所圖解的環(huán)境中在其中接入終端AT被認(rèn)證的情形下
■-1 、 ,— ■' *_* ■����、 �、' *'、 _ _ .. ���、' i~*> ��、 ��、 - ~~■ —t f -* __I ' ■ ���、 - 、 ' / .�����、 h _ —_ 一
W��、/l I "^"tri J —I / I - I I '.■ ■ i 'i / 、 , ( I ����、 K 'TT"^ ZT1_I rrA"t *.,八_UI_I IA7 ■ ■ * J /-II , I I "f*W- Ik "AT" H r I 、 ����, 1 O
鬥大wj乂n'H'土/J乂井7T漢r丄viir i5Tt月mHnL.卞主團(tuán)。ttlCL/J��、1:yu "T ���, T女/����、"乂而Al
最初由第一接入節(jié)點(diǎn)eBS-a 304服務(wù)����,但是移至或漫游至第二接入節(jié)點(diǎn)eBS-b 308。
網(wǎng)關(guān)AGW 302可維護(hù)PMIP密鑰分層結(jié)構(gòu)402�。在至第一接入節(jié)點(diǎn)eBS-a 304的初始連接階段404期間,AT 312可發(fā)起接入認(rèn)證請(qǐng)求408����。接入認(rèn)證請(qǐng) 求408 (例如����,EAP-AK)可由接入終端AT 312經(jīng)由接入節(jié)點(diǎn)AGW 302發(fā)送 給例如歸屬網(wǎng)絡(luò)HAAA以進(jìn)行認(rèn)證�。作為此過(guò)程的部分,接入節(jié)點(diǎn)AGW302 可認(rèn)識(shí)到接入終端AT312正經(jīng)歷認(rèn)證�����。因此���,接入節(jié)點(diǎn)AGW302可生成第一 節(jié)點(diǎn)密鑰PMN-RK2 410。例如���,第一節(jié)點(diǎn)密鑰PMN-RK2 410可基于根密鑰 PMIP4-RK生成或者可隨機(jī)地生成�����。第一節(jié)點(diǎn)密鑰PMN-RK2可在隨后被用于 計(jì)算第一 PMIP密鑰PMN-HArkw 412���。密鑰PMN-RK2和PMN-HArk2.1可作 為PMIP密鑰分層結(jié)構(gòu)402的部分來(lái)維護(hù)。第一 PMIP密鑰PMN-HArkw在隨 后被發(fā)送(414)給第一接入節(jié)點(diǎn)eBS-a304�����。在一個(gè)示例中,第一 PMIP密鑰 PMN-HArk^作為認(rèn)證響應(yīng)的部分被發(fā)送�����。接入認(rèn)證響應(yīng)416可被第一接入節(jié) 點(diǎn)eBS-a 304發(fā)送給接入終端AT312���。注意����,可在接入終端AT 312首次通過(guò) 通信網(wǎng)絡(luò)(eBS-a��、 SRNC-a和AGW是其部分)建立通信服務(wù)時(shí)或在AT 312 漫游或移至eBS-a 304時(shí)執(zhí)行初始連接階段404的過(guò)程�����。隨后可在第一接入節(jié) 點(diǎn)eBS-a 304與AGW 302之間建立(418) PMIP隧道�。
在后繼換手階段406期間,AT 312可發(fā)送設(shè)法將其服務(wù)接入節(jié)點(diǎn)改變至 第二接入節(jié)點(diǎn)eBS-b 308的接入重新認(rèn)證請(qǐng)求420����。由于重新認(rèn)證請(qǐng)求402是 使用諸如EAP-AK或ERP等認(rèn)證協(xié)議執(zhí)行的,因此網(wǎng)絡(luò)可驗(yàn)證該請(qǐng)求真正來(lái) 自于AT312 (而并非來(lái)自未授權(quán)實(shí)體)�����。由于AGW302將知曉認(rèn)證響應(yīng)正被 發(fā)送回AT 312,因此可確定其應(yīng)當(dāng)使用第一節(jié)點(diǎn)密鑰PMN-RK2 (其僅在AT 已被認(rèn)證時(shí)才使用該密鑰)��。網(wǎng)關(guān)AGW 302在隨后基于第一節(jié)點(diǎn)密鑰 PMN-RK2計(jì)算第二 PMIP密鑰PMN-HArkw (422)���。第二 PMIP密鑰 PMN-HARK2.i在隨后被發(fā)送(424)給第二接入節(jié)點(diǎn)eBS-b 308��。接入重新認(rèn)證 響應(yīng)426也可被第二接入節(jié)點(diǎn)eBS-b 308發(fā)送給接入終端AT 312�。第二 PMIP 密鑰PMN-HARKw接著可被用來(lái)建立第二接入節(jié)點(diǎn)eBS-b308與網(wǎng)關(guān)AGW 302之間的PMIP隧道(428)��。
I i _ r~t 隨i_ , _/ - rtzn _ ■ rcn 乙t-i .,. ' '■ I I - I丄-n /. A�����、 ���, I ,. _ / ~r l A-A* 上^* ���、 I I- L
■/v i i~i '/v i柏w /, i/v i''i i i hii/v ■州,y rr/"i _i- a. t^1^ 「「i /, t_\^a ;r^i a ' , ■ "八m —-一 "n*^ a
図J疋tsq用千1xm J 図,軒n�、J"��、JJ4T1X:T文/����、"���, Sitd樂(lè) J文/人|J
eBS-a 304被認(rèn)證但在沒(méi)有進(jìn)行認(rèn)證的情況下移至第二接入節(jié)點(diǎn)eBS-b 308的 情形中網(wǎng)關(guān)可如何生成并分發(fā)PMIP密鑰的流程圖。
網(wǎng)關(guān)AGW 302可維護(hù)PMIP密鑰分層結(jié)構(gòu)502����。在至第一接入節(jié)點(diǎn)eBS-a 304的初始連接階段504期間,接入終端AT312可發(fā)起接入認(rèn)證請(qǐng)求508����。接 入認(rèn)證請(qǐng)求508 (例如,EAP-AK)可由接入終端AT 312經(jīng)由網(wǎng)關(guān)AGW 302 發(fā)送給例如歸屬網(wǎng)絡(luò)HAAA以進(jìn)行認(rèn)證����。作為此過(guò)程的部分,網(wǎng)關(guān)AGW302 可認(rèn)識(shí)到接入終端AT312正經(jīng)歷認(rèn)證��。因此�,網(wǎng)關(guān)AGW 302可生成第一節(jié)點(diǎn) 密鑰PMN-RK2 510。例如�,第一節(jié)點(diǎn)密鑰PMN-RK2 510可基于根密鑰 PMIP4-RK生成或者可隨機(jī)地生成。第一節(jié)點(diǎn)密鑰PMN-RK2可在隨后被用于 計(jì)算第一 PMIP密鑰PMN-HArkw 512��。密鑰PMN-RK2和PMN-HArkw可作 為PMIP密鑰分層結(jié)構(gòu)502的部分來(lái)維護(hù)��。第一 PMIP密鑰PMN-HArkw在隨 后被發(fā)送(514)給第一接入節(jié)點(diǎn)eBS-a304。在一個(gè)示例中�����,第一 PMIP密鑰 PMN-HARK2.i作為認(rèn)證響應(yīng)的部分被發(fā)送�����。接入認(rèn)證響應(yīng)516可被第一接入節(jié) 點(diǎn)eBS-a 304發(fā)送給接入終端AT312���。注意��,可在接入終端AT 312首次通過(guò) 通信網(wǎng)絡(luò)(eBS-a�、 SRNC-a和AGW是其部分)建立通信服務(wù)時(shí)或在AT 312 漫游或移至eBS-a 304時(shí)執(zhí)行初始連接階段504的過(guò)程�。隨后可在第一接入節(jié) 點(diǎn)eBS-a 304與AGW 302之間建立(518) PMIP隧道。
在后繼換手階段506期間���,AT 312可發(fā)送設(shè)法將其服務(wù)接入節(jié)點(diǎn)改變至 第二接入節(jié)點(diǎn)eBS-b 308的換手請(qǐng)求520。由于換手請(qǐng)求520是在沒(méi)有對(duì)接入 終端AT進(jìn)行認(rèn)證或重新認(rèn)證的情況下執(zhí)行的�,因此網(wǎng)絡(luò)不能驗(yàn)證該請(qǐng)求真正 來(lái)自于接入終端AT312。因此�,網(wǎng)關(guān)AGW302將知曉其不應(yīng)當(dāng)使用第一節(jié)點(diǎn) 密鑰PMN-RK2 (僅在AT已被認(rèn)證時(shí)才使用該密鑰)。替代地��,網(wǎng)關(guān)AGW 302 計(jì)算僅在AT尚未被認(rèn)證時(shí)才將使用的第二節(jié)點(diǎn)密鑰PMN-RK1 522。第二節(jié)點(diǎn) 密鑰PMN-RK1被發(fā)送(524)給SRNC-b 310(也稱為"中間網(wǎng)絡(luò)節(jié)點(diǎn)")���。SRNC-b 310隨后基于第二節(jié)點(diǎn)密鑰PMN-RK1以及諸如對(duì)應(yīng)eBS-b的接入節(jié)點(diǎn)標(biāo)識(shí)符 或計(jì)數(shù)器等可能的其他參數(shù)來(lái)計(jì)算第二 PMIP密鑰PMN-HArkw 528��。第二 PMIP密朗PMN-HArkw在隨后被發(fā)送(530)給第二接入節(jié)點(diǎn)eBS-b 308�。換手響應(yīng)532也可被第二接入節(jié)點(diǎn)eBS-b 308發(fā)送給接入終端AT 312�����。第二 PMIP
~* L l"~t___ 一__ , -r- �����、 ■ I — f~i~I — �、 . A -A - _sI — 、—���、 ' ' - _ — ——_ I_s I- ��、 ,_____ — _
tm/d r丄vi丄�、-nARK"' t女智hJ個(gè)漢/fl不廷AL樂(lè)~^女/��、 i」cdo-d juo巧i&穴/^ajw :>wz 之間的PMIP隧道534。
圖6是圖解在圖3中所圖解的環(huán)境中在接入終端AT正從與接入節(jié)點(diǎn) eBS-a 304的未經(jīng)認(rèn)證連接轉(zhuǎn)至與第二接入節(jié)點(diǎn)eBS-b 308的另一未經(jīng)認(rèn)證連 接而沒(méi)有進(jìn)行認(rèn)證的情形中網(wǎng)關(guān)可如何生成并分發(fā)PMIP密鑰的流程圖����。
網(wǎng)關(guān)AGW 302可維護(hù)PMIP密鑰分層結(jié)構(gòu)602。在至第一接入節(jié)點(diǎn)eBS-a 304的連接階段604期間�,接入終端AT 312可在沒(méi)有對(duì)接入終端AT 312進(jìn)行 認(rèn)證的情況下發(fā)起換手請(qǐng)求608。作為此過(guò)程的部分�,網(wǎng)關(guān)AGW 302可認(rèn)識(shí) 到接入終端AT 312正在沒(méi)有進(jìn)行認(rèn)證的情況下將其連接轉(zhuǎn)移至第一接入節(jié)點(diǎn) eBS-a304。因此���,網(wǎng)關(guān)AGW 302可生成第一節(jié)點(diǎn)密鑰PMN-RK1 610��。例如�, 第一節(jié)點(diǎn)密鑰PMN-RK1 610可基于根密鑰PMIP4-RK生成或者可隨機(jī)地生成�����。 第一節(jié)點(diǎn)密鑰PMN-RK1可在隨后被發(fā)送(611)給與第一接入節(jié)點(diǎn)eBS-a 304 相關(guān)聯(lián)的SRNC-a 306 ("中間網(wǎng)絡(luò)節(jié)點(diǎn)")�。SRNC-a 306使用第一節(jié)點(diǎn)密鑰 PMN-RK1來(lái)計(jì)算第一 PMIP密鑰PMN-HArkw 612。密鑰PMN-RK1和 PMN-HArkw可作為PMIP密鑰分層結(jié)構(gòu)602的部分來(lái)維護(hù)�。第一 PMIP密鑰 PMN-HARKw在隨后被發(fā)送(614)給第一接入節(jié)點(diǎn)eBS-a 304。換手響應(yīng)616 可在隨后被第一接入節(jié)點(diǎn)eBS-a 304發(fā)送給接入終端AT 312���。注意,可在接入 終端AT 312首次通過(guò)通信網(wǎng)絡(luò)(eBS-a、 SRNC-a和AGW是其部分)建立通 信服務(wù)時(shí)或在AT 312漫游或移至eBS-a 304時(shí)執(zhí)行連接階段604的過(guò)程����。隨后 可在第一接入節(jié)點(diǎn)eBS-a 304與網(wǎng)關(guān)AGW 302之間建立(618) PMIP隧道。
在后繼換手階段606期間��,AT 312可發(fā)送設(shè)法將其服務(wù)接入節(jié)點(diǎn)改變至 第二接入節(jié)點(diǎn)eBS-b 308的換手請(qǐng)求520�。由于換手請(qǐng)求620是在沒(méi)有對(duì)接入 終端AT 312進(jìn)行認(rèn)證或重新認(rèn)證的情況下執(zhí)行的,因此網(wǎng)絡(luò)不能驗(yàn)證該請(qǐng)求 真正來(lái)自于接入終端AT312�����。因此���,網(wǎng)關(guān)AGW302將知曉其應(yīng)當(dāng)使用第一節(jié) 點(diǎn)密鑰PMN-RK1 (僅在AT尚未被認(rèn)證時(shí)才使用該密鑰)��。網(wǎng)關(guān)AGW302將 第一節(jié)點(diǎn)密鑰PMN-RK1 524發(fā)送給SRNC-b310 (也稱為"中間網(wǎng)絡(luò)節(jié)點(diǎn)")�。 SRNC-b 310隨后基于第一節(jié)點(diǎn)密鑰PMN-RK1以及諸如對(duì)應(yīng)eBS-b的接入節(jié) 點(diǎn)標(biāo)識(shí)符或計(jì)數(shù)器等可能的其他參數(shù)來(lái)計(jì)算第二 PMIP密鑰PMN-HArkl2 628��。第二 PMIP密鑰PMN-HArkw在隨后被發(fā)送(630)給第二接入節(jié)點(diǎn)eBS-b 308�。 換手響應(yīng)632也可被第二接入節(jié)點(diǎn)eBS-b 308發(fā)送給接入終端AT 312。第二 PMIP密鑰PMN-HArkw接著可被用來(lái)建立第二接入節(jié)點(diǎn)eBS-b 308與網(wǎng)關(guān) AGW 302之間的PMIP隧道634����。
注意,當(dāng)接入終端AT在耦合至同一 SRNC的兩個(gè)接入節(jié)點(diǎn)之間移動(dòng)且針 對(duì)任一個(gè)連接沒(méi)有執(zhí)行對(duì)接入終端AT的認(rèn)證時(shí),SRNC將已具有節(jié)點(diǎn)密鑰 PMN-RK1�����。因此����,SRNC可簡(jiǎn)單地為新接入終端計(jì)算新PMIP密鑰。當(dāng)建立 PMIP隧道時(shí)��,新接入終端可簡(jiǎn)單地向網(wǎng)關(guān)AGW發(fā)送新PMIP密鑰和用于生 成其的參數(shù)����。具有節(jié)點(diǎn)密鑰PMN-RK1的知識(shí)的網(wǎng)關(guān)AGW可在隨后重新生成 新PMIP密鑰以進(jìn)行驗(yàn)證。
圖7圖解了在網(wǎng)絡(luò)網(wǎng)關(guān)中操作用于生成用來(lái)在通信網(wǎng)絡(luò)中保護(hù)PMIP隧道 的密鑰的方法�����。在一個(gè)示例中��,網(wǎng)關(guān)可在超移動(dòng)寬帶(UMB)兼容網(wǎng)絡(luò)中操作���。 網(wǎng)關(guān)可接收將接入終端的代理移動(dòng)網(wǎng)際協(xié)議(PMIP)隧道綁定從第一接入節(jié) 點(diǎn)改變至第二接入節(jié)點(diǎn)的請(qǐng)求(702)��。此類請(qǐng)求可以是認(rèn)證或重新認(rèn)證過(guò)程 的部分�����,或者其可以是換手請(qǐng)求過(guò)程的部分��。網(wǎng)關(guān)可在隨后確定接入終端是否 已通過(guò)第二接入節(jié)點(diǎn)被認(rèn)證(704) �����。 S卩���,網(wǎng)關(guān)可確定將通信服務(wù)從先前接入 節(jié)點(diǎn)轉(zhuǎn)移至新接入節(jié)點(diǎn)的請(qǐng)求是否已被認(rèn)證為來(lái)自該接入終端。這可例如通過(guò) EAP-AK協(xié)議或ERP過(guò)程來(lái)執(zhí)行����。如果接入終端尚未通過(guò)新接入節(jié)點(diǎn)被認(rèn)證, 則網(wǎng)關(guān)生成第一節(jié)點(diǎn)密鑰(706)并將該第一節(jié)點(diǎn)密鑰發(fā)送給中間網(wǎng)絡(luò)節(jié)點(diǎn)(例 如�,SRNC),后者可生成第一PMIP密鑰并將其提供給第二接入節(jié)點(diǎn)(708)����。 否則,網(wǎng)關(guān)生成第二節(jié)點(diǎn)密鑰(710)��,根據(jù)第二節(jié)點(diǎn)密鑰生成第二 PMIP密 鑰���,并將該第二PMIP密鑰發(fā)送給第二接入節(jié)點(diǎn)(714)����。
在各種實(shí)現(xiàn)中,第一節(jié)點(diǎn)密鑰和第二節(jié)點(diǎn)密鑰可以基于公共根密鑰���、隨機(jī) 選擇的根密鑰���,或者它們可彼此獨(dú)立(即,第一和第二節(jié)點(diǎn)密鑰可各自被隨機(jī) 地選擇)�。注意,第一節(jié)點(diǎn)密鑰和第二節(jié)點(diǎn)密鑰可能不為接入終端所知���,因?yàn)?其僅被用于網(wǎng)絡(luò)內(nèi)的PMIP綁定����。因此�,PMIP密鑰分層結(jié)構(gòu)(例如,第一節(jié) 點(diǎn)密鑰�����、第二節(jié)點(diǎn)密鑰����、PMIP密鑰等)可與為接入終端所知且用于認(rèn)證接入 終端的主(EAP)密鑰分層結(jié)構(gòu)無(wú)關(guān)�����。
網(wǎng)關(guān)接著可使用或者第一 PMIP密鑰或者第二 PMIP密鑰建立網(wǎng)關(guān)與第二接入節(jié)點(diǎn)之間的PMIP隧道(716) �。 S卩�,如果第一節(jié)點(diǎn)被發(fā)送�,則第一PMIP密鑰被用于建立和保護(hù)PMIP隧道。在此情形中����,網(wǎng)關(guān)可使用為網(wǎng)關(guān)和中間網(wǎng)絡(luò)節(jié)點(diǎn)兩者所知的參數(shù)生成第一PMIP密鑰的本地版本。例如�����,網(wǎng)關(guān)和中間網(wǎng)絡(luò)節(jié)點(diǎn)可使用為兩者所知的計(jì)數(shù)器����、第二接入節(jié)點(diǎn)的標(biāo)識(shí)符值、或某一其他參數(shù)來(lái)生成第一節(jié)點(diǎn)密鑰�����。在建立PMIP隧道時(shí),第二接入節(jié)點(diǎn)可向網(wǎng)關(guān)提供第一PMIP密鑰的副本連同用于生成其的參數(shù)(除第一節(jié)點(diǎn)密鑰之外)����。否則,如果第二 PMIP密鑰被發(fā)送�����,則網(wǎng)關(guān)已知曉此密鑰并且也可在接受至第二接入節(jié)點(diǎn)的PMIP隧道綁定之前驗(yàn)證第二接入節(jié)點(diǎn)也知曉此密鑰�����。
圖8圖解了在網(wǎng)絡(luò)網(wǎng)關(guān)中操作用于生成和分發(fā)用來(lái)保護(hù)通信網(wǎng)絡(luò)中特定接入終端的PMIP隧道的密鑰的方法�。網(wǎng)關(guān)可維護(hù)與接入終端相關(guān)聯(lián)并被用于保護(hù)至服務(wù)該接入終端的網(wǎng)絡(luò)節(jié)點(diǎn)的PMIP隧道的PMIP密鑰分層結(jié)構(gòu)(802)。網(wǎng)關(guān)可接收將接入終端的PMIP隧道綁定改變至新接入節(jié)點(diǎn)的通知(804)��。其可確定接入終端是否已通過(guò)新接入節(jié)點(diǎn)被認(rèn)證(806)�����。隨后生成助益PMIP隧道綁定的第一節(jié)點(diǎn)密鑰��;然而���,第一節(jié)點(diǎn)密鑰僅僅在接入終端已被認(rèn)證或者尚未被認(rèn)證時(shí)才使用�����,但不能在這兩種情況下都使用(808)�����。即����,在接入終端己被認(rèn)證的情形中以及在終端尚未被認(rèn)證的情形中,不同節(jié)點(diǎn)密鑰被用于隧道綁定��。第一節(jié)點(diǎn)密鑰可被網(wǎng)關(guān)或中間網(wǎng)絡(luò)節(jié)點(diǎn)用來(lái)生成PMIP密鑰����。即�,第一節(jié)點(diǎn)密鑰或其衍生物(即,PMIP密鑰)被用于創(chuàng)建網(wǎng)關(guān)至新接入節(jié)點(diǎn)之間的PMIP隧道(810)�。
圖9是圖解了網(wǎng)關(guān)設(shè)備的示例的框圖。網(wǎng)關(guān)設(shè)備902可包括耦合至網(wǎng)絡(luò)通信接口 906的處理電路904�����。處理電路904可適于維護(hù)輔助(PMIP)密鑰分層結(jié)構(gòu)以及執(zhí)行圖2-8中所圖解的步驟中的一個(gè)或多個(gè)以便取決于接入終端是否已經(jīng)歷成功認(rèn)證而不同地生成并分發(fā)PMIP密鑰�。
根據(jù)又一配置���,電路可適于接收將接入終端的代理移動(dòng)網(wǎng)際協(xié)議(PMIP)隧道綁定從第一接入節(jié)點(diǎn)改變至第二接入節(jié)點(diǎn)的請(qǐng)求。相同電路�、不同電路、或者該相同或不同電路的第二工段可適于確定接入終端是否已通過(guò)第二接入節(jié)點(diǎn)被認(rèn)證�����。另外���,相同電路�、不同電路�、或者該相同或不同電路的第三工段可適于在接入終端尚未被認(rèn)證的情況下生成第一節(jié)點(diǎn)密鑰,并且將該第一節(jié)點(diǎn)密鑰發(fā)送給中間網(wǎng)絡(luò)節(jié)點(diǎn)�����,后者可生成第一PMIP密鑰并將其提供給第二接入節(jié)點(diǎn)����。類似地,相同電路�、不同電路、或者該相同或不同電路的第四工段可適于在接入終端已被認(rèn)證的情況下生成第二節(jié)點(diǎn)密鑰,并且根據(jù)第二節(jié)點(diǎn)密鑰生成第二PMIP并將該第二PMIP密鑰發(fā)送給第二接入節(jié)點(diǎn)�����。相同電路���、不同電路�����、或者該相同或不同電路的第四工段可適于建立網(wǎng)關(guān)與第二接入節(jié)點(diǎn)之間由
第一或第二 PMIP密鑰保護(hù)的PMIP隧道�。
本領(lǐng)域的普通技術(shù)人員將認(rèn)識(shí)到��, 一般而言��,本公開中描述的處理中絕大多數(shù)可以用類似方式實(shí)現(xiàn)����。(諸)電路或電路工段中的任何電路或工段可單獨(dú)實(shí)現(xiàn)或作為集成電路的一部分與一個(gè)或更多個(gè)處理器組合實(shí)現(xiàn)����。這些電路中的
一個(gè)或更多個(gè)可以在集成電路、先進(jìn)RISC機(jī)(ARM)處理器����、數(shù)字信號(hào)處理器(DSP)�����、通用處理器等上實(shí)現(xiàn)�����。
圖1�����、 2�、 3�、 4、 5��、 6���、 7���、 8、 9和/或10中圖解的組件��、步驟、和/或功能之中的一個(gè)或更多個(gè)可以被重新編排和/或組合成單個(gè)組件����、步驟、或功能�����,或可以實(shí)施在數(shù)個(gè)組件���、步驟����、或功能中���。也可以添加更多的元件����、組件�����、步驟�����、和/或功能����。圖l、 3��、和9中圖解的裝置��、設(shè)備���、和/或組件可以被配置成或適應(yīng)性地用于執(zhí)行圖2��、 4-8和/或IO中描述的方法��、特征����、或步驟中的一個(gè)或更多個(gè)�����。本文中描述的算法可以在軟件和/或嵌入式硬件中高效率地實(shí)現(xiàn)���。
本領(lǐng)域技術(shù)人員將可進(jìn)一步領(lǐng)會(huì)�����,結(jié)合本文中公開的配置描述的各種說(shuō)明性邏輯框���、模塊�、電路����、和算法步驟可以被實(shí)現(xiàn)為電子硬件、計(jì)算機(jī)軟件���、或兩者的組合�。為清楚地解說(shuō)硬件和軟件的這種可互換性��,各種解說(shuō)性組件���、塊�����、模塊���、電路、和步驟在上文中以其功能性的形式進(jìn)行了一般化描述��。這樣的功能性是實(shí)現(xiàn)為硬件還是軟件取決于具體應(yīng)用和加諸整體系統(tǒng)上的設(shè)計(jì)約束�。
應(yīng)注意,以上配置僅是示例而不應(yīng)被理解為限定權(quán)利要求�����。對(duì)這些配置的描述旨在說(shuō)明而非限定所附權(quán)利要求的范圍�����。由此�,本發(fā)明的教導(dǎo)可以現(xiàn)成地應(yīng)用于其他類型的裝置,并且許多替換���、修改���、和變形對(duì)于本領(lǐng)域技術(shù)人員將是顯而易見的。
權(quán)利要求
1.一種在接入網(wǎng)關(guān)中操作的方法�����,包括接收將接入終端的代理移動(dòng)網(wǎng)際協(xié)議(PMIP)隧道綁定從第一接入節(jié)點(diǎn)改變至第二接入節(jié)點(diǎn)的請(qǐng)求;生成第一節(jié)點(diǎn)密鑰�;以及將所述第一節(jié)點(diǎn)密鑰發(fā)送給中間網(wǎng)絡(luò)節(jié)點(diǎn),所述中間網(wǎng)絡(luò)節(jié)點(diǎn)能生成第一PMIP密鑰并將其提供給所述第二接入節(jié)點(diǎn)���。
2. 如權(quán)利要求1所述的方法����,其特征在于���,還包括 建立所述網(wǎng)關(guān)與所述第二接入節(jié)點(diǎn)之間由所述第一 PMIP密鑰保護(hù)的PMIP隧道��。
3. 如權(quán)利要求1所述的方法����,其特征在于��,還包括確定所述接入終端是否已通過(guò)所述第二接入節(jié)點(diǎn)被認(rèn)證��;以及 僅當(dāng)所述接入終端尚未被認(rèn)證時(shí)生成并發(fā)送所述第一節(jié)點(diǎn)密鑰���。
4. 如權(quán)利要求3所述的方法�,其特征在于,如果所述接入終端已被認(rèn)證��, 則還包括生成第二節(jié)點(diǎn)密鑰����;根據(jù)第二節(jié)點(diǎn)密鑰生成第二PMIP密鑰�����;以及向所述第二接入節(jié)點(diǎn)發(fā)送所述第二 PMIP密鑰�。
5. 如權(quán)利要求4所述的方法,其特征在于�,所述中間網(wǎng)絡(luò)節(jié)點(diǎn)是會(huì)話參考 網(wǎng)絡(luò)控制器(SRNC)。
6. 如權(quán)利要求4所述的方法����,其特征在于,所述第一節(jié)點(diǎn)密鑰和第二節(jié)點(diǎn) 密鑰是隨機(jī)選擇的并且彼此無(wú)關(guān)����。
7. 如權(quán)利要求4所述的方法,其特征在于�����,所述第一節(jié)點(diǎn)密鑰和第二節(jié)點(diǎn) 密鑰是基于根密鑰的���。
8. 如權(quán)利要求3所述的方法��,其特征在于����,如果使用可擴(kuò)展認(rèn)證協(xié)議 (EAP)重新認(rèn)證協(xié)議(ERP),則接入終端被認(rèn)證�����。
9. 如權(quán)利要求1所述的方法��,其特征在于�,還包括 維護(hù)與所述接入終端(AT)相關(guān)聯(lián)并被用于保護(hù)至服務(wù)所述接入終端的網(wǎng)絡(luò)節(jié)點(diǎn)的PMIP隧道的PMIP密鑰分層結(jié)構(gòu),其中所述密鑰分層結(jié)構(gòu)包括所 述第一節(jié)點(diǎn)密鑰���。
10. 如權(quán)利要求9所述的方法����,其特征在于�,所述PMIP密鑰分層結(jié)構(gòu)包 括從其推導(dǎo)出所述第一節(jié)點(diǎn)密鑰的隨機(jī)選擇的根密鑰。
11. 如權(quán)利要求10所述的方法��,其特征在于,所述PMIP密鑰分層結(jié)構(gòu)的 所述根密鑰不為所述接入終端所知��。
12. 如權(quán)利要求9所述的方法����,其特征在于,所述PMIP密鑰分層結(jié)構(gòu)與 為所述接入終端所知并被用于認(rèn)證所述接入終端的主密鑰分層結(jié)構(gòu)無(wú)關(guān)���。
13. 如權(quán)利要求l所述的方法,其特征在于�,所述第一節(jié)點(diǎn)密鑰是隨機(jī)選 擇的。
14. 如權(quán)利要求l所述的方法���,其特征在于��,所述第二接入節(jié)點(diǎn)是增強(qiáng)型 基站(eBS)����。
15. 如權(quán)利要求l所述的方法�,其特征在于,所述第二接入節(jié)點(diǎn)向所述接 入終端提供無(wú)線連通性�。
16. 如權(quán)利要求l所述的方法,其特征在于�,網(wǎng)關(guān)在超移動(dòng)寬帶(UMB) 兼容網(wǎng)絡(luò)中操作。
17. —種網(wǎng)絡(luò)網(wǎng)關(guān)設(shè)備,包括 網(wǎng)絡(luò)接口�;適于助益去往和來(lái)自無(wú)線接入設(shè)備的通信的處理電路,所述處理電路被配置成接收將接入終端的代理移動(dòng)網(wǎng)際協(xié)議(PMIP)隧道綁定從第一接入 節(jié)點(diǎn)改變至第二接入節(jié)點(diǎn)的請(qǐng)求�����;生成第一節(jié)點(diǎn)密鑰��;以及將所述第一節(jié)點(diǎn)密鑰發(fā)送給中間網(wǎng)絡(luò)節(jié)點(diǎn)��,所述中間網(wǎng)絡(luò)節(jié)點(diǎn)能生 成第一 PMIP密鑰并將其提供給所述第二接入節(jié)點(diǎn)����。
18. 如權(quán)利要求17所述的網(wǎng)關(guān)設(shè)備,其特征在于��,所述處理電路還被配置成建立所述網(wǎng)關(guān)與所述第二接入節(jié)點(diǎn)之間由所述第一 PMIP密鑰保護(hù)的 PMIP隧道����。
19. 如權(quán)利要求17所述的網(wǎng)關(guān)設(shè)備,其特征在于�,所述處理電路還被配置成確定所述接入終端是否已通過(guò)所述第二接入節(jié)點(diǎn)被認(rèn)證;以及僅當(dāng)所述接入終端尚未被認(rèn)證時(shí)生成并發(fā)送所述第一節(jié)點(diǎn)密鑰��。
20. 如權(quán)利要求19所述的網(wǎng)關(guān)設(shè)備���,其特征在于�����,如果所述接入終端已 被認(rèn)證�����,則還包括生成第二節(jié)點(diǎn)密鑰�;根據(jù)第二節(jié)點(diǎn)密鑰生成第二PMIP密鑰;以及向所述第二接入節(jié)點(diǎn)發(fā)送所述第二 PMIP密鑰�����。
21. 如權(quán)利要求20所述的網(wǎng)關(guān)設(shè)備�����,其特征在于���,所述中間網(wǎng)絡(luò)節(jié)點(diǎn)是 會(huì)話參考網(wǎng)絡(luò)控制器(SRNC)。
22. 如權(quán)利要求20所述的網(wǎng)關(guān)設(shè)備���,其特征在于�����,所述第一節(jié)點(diǎn)密鑰和 第二節(jié)點(diǎn)密鑰是隨機(jī)選擇的并且彼此無(wú)關(guān)����。
23. 如權(quán)利要求20所述的網(wǎng)關(guān)設(shè)備,其特征在于��,所述第一節(jié)點(diǎn)密鑰和 第二節(jié)點(diǎn)密鑰是基于根密鑰的��。
24. 如權(quán)利要求19所述的網(wǎng)關(guān)設(shè)備���,其特征在于��,如果使用可擴(kuò)展認(rèn)證 協(xié)議(EAP)重新認(rèn)證協(xié)議(ERP)�,則接入終端被認(rèn)證����。
25. 如權(quán)利要求17所述的網(wǎng)關(guān)設(shè)備,其特征在于�����,所述處理電路還被配 置成維護(hù)與所述接入終端(AT)相關(guān)聯(lián)并被用于保護(hù)至服務(wù)所述接入終端的 網(wǎng)絡(luò)節(jié)點(diǎn)的PMIP隧道的PMIP密鑰分層結(jié)構(gòu)�,其中所述密鑰分層結(jié)構(gòu)包括所 述第一節(jié)點(diǎn)密鑰��。
26. 如權(quán)利要求25所述的網(wǎng)關(guān)設(shè)備���,其特征在于,所述PMIP密鑰分層結(jié) 構(gòu)包括從其推導(dǎo)出所述第一節(jié)點(diǎn)密鑰的隨機(jī)選擇的根密鑰���。
27. 如權(quán)利要求25所述的網(wǎng)關(guān)設(shè)備���,其特征在于,所述PMIP密鑰分層結(jié) 構(gòu)的所述根密鑰不為所述接入終端所知��。
28. 如權(quán)利要求25所述的網(wǎng)關(guān)設(shè)備��,其特征在于�,所述PMIP密鑰分層結(jié)構(gòu)與為所述接入終端所知并被用于認(rèn)證所述接入終端的主密鑰分層結(jié)構(gòu)無(wú)關(guān)。
29. 如權(quán)利要求17所述的網(wǎng)關(guān)設(shè)備���,其特征在于,所述第二接入節(jié)點(diǎn)是增強(qiáng)型基站(eBS)��。
30. —種網(wǎng)絡(luò)網(wǎng)關(guān)設(shè)備���,包括用于接收將接入終端的代理移動(dòng)網(wǎng)際協(xié)議(PMIP)隧道綁定從第一接入 節(jié)點(diǎn)改變至第二接入節(jié)點(diǎn)的請(qǐng)求的裝置����; 用于生成第一節(jié)點(diǎn)密鑰的裝置;以及用于將所述第一節(jié)點(diǎn)密鑰發(fā)送給中間網(wǎng)絡(luò)節(jié)點(diǎn)的裝置����,所述中間網(wǎng)絡(luò)節(jié)點(diǎn)能生成第一 PMIP密鑰并將其提供給所述第二接入節(jié)點(diǎn)。
31. 如權(quán)利要求30所述的網(wǎng)關(guān)����,其特征在于,還包括 用于建立所述網(wǎng)關(guān)與所述第二接入節(jié)點(diǎn)之間由所述第一PMIP密鑰保護(hù)的PMIP隧道的裝置����。
32. 如權(quán)利要求30所述的網(wǎng)關(guān),其特征在于����,還包括 用于確定所述接入終端是否已通過(guò)所述第二接入節(jié)點(diǎn)被認(rèn)證的裝置; 其中僅當(dāng)所述接入終端尚未被認(rèn)證時(shí)生成并發(fā)送所述第一節(jié)點(diǎn)密鑰��。
33. 如權(quán)利要求32所述的網(wǎng)關(guān)���,其特征在于�����,還包括用于在所述接入終端己被認(rèn)證的情況下生成第二節(jié)點(diǎn)密鑰的裝置��; 用于在所述接入終端已被認(rèn)證的情況下根據(jù)第二節(jié)點(diǎn)密鑰生成第二PMIP密鑰的裝置��;以及用于向所述第二接入節(jié)點(diǎn)發(fā)送所述第二 PMIP密鑰的裝置�����。
34. 如權(quán)利要求30所述的網(wǎng)關(guān)�,其特征在于,還包括 用于維護(hù)與所述接入終端(AT)相關(guān)聯(lián)并被用于保護(hù)至服務(wù)所述接入終端的網(wǎng)絡(luò)節(jié)點(diǎn)的PMIP隧道的PMIP密鑰分層結(jié)構(gòu)的裝置��,其中所述密鑰分層 結(jié)構(gòu)包括所述第一節(jié)點(diǎn)密鑰��。
35. —種在網(wǎng)絡(luò)網(wǎng)關(guān)中操作的電路�,其中所述電路適于 接收將接入終端的代理移動(dòng)網(wǎng)際協(xié)議(PMIP)隧道綁定從第一接入節(jié)點(diǎn)改變至第二接入節(jié)點(diǎn)的請(qǐng)求; 生成第一節(jié)點(diǎn)密鑰�;以及將所述第一節(jié)點(diǎn)密鑰發(fā)送給中間網(wǎng)絡(luò)節(jié)點(diǎn),所述中間網(wǎng)絡(luò)節(jié)點(diǎn)能生成第一 PMIP密鑰并將其提供給所述第二接入節(jié)點(diǎn)�。
36. 如權(quán)利要求35所述的電路,其特征在于���,所述電路還適于建立所述網(wǎng)關(guān)與所述第二接入節(jié)點(diǎn)之間由所述第一 PMIP密鑰保護(hù)的PMIP隧道。
37. 如權(quán)利要求35所述的電路�,其特征在于���,所述電路還適于 確定所述接入終端是否已通過(guò)所述第二接入節(jié)點(diǎn)被認(rèn)證;以及 僅當(dāng)所述接入終端尚未被認(rèn)證時(shí)生成并發(fā)送所述第一節(jié)點(diǎn)密鑰�。
38. 如權(quán)利要求37所述的電路,其特征在于�,如果所述接入終端已被認(rèn) 證,則所述電路還適于生成第二節(jié)點(diǎn)密鑰���;根據(jù)第二節(jié)點(diǎn)密鑰生成第二PMIP密鑰����;以及 向所述第二接入節(jié)點(diǎn)發(fā)送所述第二 PMIP密鑰�����。
39. 如權(quán)利要求35所述的電路����,其特征在于,所述電路還適于 維護(hù)與所述接入終端(AT)相關(guān)聯(lián)并被用于保護(hù)至服務(wù)所述接入終端的網(wǎng)絡(luò)節(jié)點(diǎn)的PMIP隧道的PMIP密鑰分層結(jié)構(gòu)�,其中所述密鑰分層結(jié)構(gòu)包括所 述第一節(jié)點(diǎn)密鑰。
40. —種包括用于操作網(wǎng)關(guān)的指令的機(jī)器可讀介質(zhì)��,所述指令在由處理器 執(zhí)行時(shí)使所述處理器接收將接入終端的代理移動(dòng)網(wǎng)際協(xié)議(PMIP)隧道綁定從第一接入節(jié)點(diǎn) 改變至第二接入節(jié)點(diǎn)的請(qǐng)求; 生成第一節(jié)點(diǎn)密鑰����;以及將所述第一節(jié)點(diǎn)密鑰發(fā)送給中間網(wǎng)絡(luò)節(jié)點(diǎn),所述中間網(wǎng)絡(luò)節(jié)點(diǎn)可生成第一 PMIP密鑰并將其提供給所述第二接入節(jié)點(diǎn)�。
41. 如權(quán)利要求40所述的機(jī)器可讀介質(zhì),其特征在于��,還包括用于以下 動(dòng)作的指令建立所述網(wǎng)關(guān)與所述第二接入節(jié)點(diǎn)之間由所述第一 PMIP密鑰保護(hù)的 PMIP隧道�。
42. 如權(quán)利要求40所述的機(jī)器可讀介質(zhì),其特征在于�,還包括用于以下 動(dòng)作的指令確定所述接入終端是否己通過(guò)所述第二接入節(jié)點(diǎn)被認(rèn)證;以及 僅當(dāng)所述接入終端尚未被認(rèn)證時(shí)生成并發(fā)送所述第一節(jié)點(diǎn)密鑰���。
43. 如權(quán)利要求42所述的機(jī)器可讀介質(zhì)���,其特征在于,如果所述接入終端已被認(rèn)證��,則還包括用于以下動(dòng)作的指令 生成第二節(jié)點(diǎn)密鑰��;根據(jù)第二節(jié)點(diǎn)密鑰生成第二PMIP密鑰��;以及向所述第二接入節(jié)點(diǎn)發(fā)送所述第二 PMIP密鑰��。
44. 如權(quán)利要求40所述的機(jī)器可讀介質(zhì),其特征在于�����,還包括用于以下 動(dòng)作的指令維護(hù)與所述接入終端(AT)相關(guān)聯(lián)并被用于保護(hù)至服務(wù)所述接入終端的 網(wǎng)絡(luò)節(jié)點(diǎn)的PMIP隧道的PMIP密鑰分層結(jié)構(gòu)�,其中所述密鑰分層結(jié)構(gòu)包括所 述第一節(jié)點(diǎn)密鑰��。
45. —種在接入網(wǎng)關(guān)中操作的方法����,包括接收將接入終端的代理移動(dòng)網(wǎng)際協(xié)議(PMIP)隧道綁定從第一接入節(jié)點(diǎn) 改變至第二接入節(jié)點(diǎn)的請(qǐng)求; 生成第一節(jié)點(diǎn)密鑰�����;根據(jù)第一節(jié)點(diǎn)密鑰生成第一PMIP密鑰����;以及 向所述第二接入節(jié)點(diǎn)發(fā)送所述第一 PMIP密鑰。
46. 如權(quán)利要求45所述的方法��,其特征在于���,還包括 建立所述網(wǎng)關(guān)與所述第二接入節(jié)點(diǎn)之間由所述第一 PMIP密鑰保護(hù)的PMIP隧道�。
47. 如權(quán)利要求45所述的方法,其特征在于��,還包括 確定所述接入終端是否已通過(guò)所述第二接入節(jié)點(diǎn)被認(rèn)證���;以及 僅當(dāng)所述接入節(jié)點(diǎn)已被認(rèn)證時(shí)生成并發(fā)送所述第一節(jié)點(diǎn)密鑰���。
48. 如權(quán)利要求47所述的方法,其特征在于����,如果所述接入終端尚未被 認(rèn)證,則生成第二節(jié)點(diǎn)密鑰�����;以及將所述第二節(jié)點(diǎn)密鑰發(fā)送給中間網(wǎng)絡(luò)節(jié)點(diǎn)���,所述中間網(wǎng)絡(luò)節(jié)點(diǎn)能生成第二PMIP密鑰并將其提供給所述第二接入節(jié)點(diǎn)����。
49. 如權(quán)利要求48所述的方法�����,其特征在于,所述中間網(wǎng)絡(luò)節(jié)點(diǎn)是會(huì)話 參考網(wǎng)絡(luò)控制器(SRNC)���。
50. 如權(quán)利要求45所述的方法�����,其特征在于,所述第二接入節(jié)點(diǎn)是增強(qiáng) 型基站(eBS)��。
51. 如權(quán)利要求45所述的方法�����,其特征在于�,還包括 維護(hù)與所述接入終端(AT)相關(guān)聯(lián)并被用于保護(hù)至服務(wù)所述接入終端的網(wǎng)絡(luò)節(jié)點(diǎn)的PMIP隧道的PMIP密鑰分層結(jié)構(gòu),其中所述密鑰分層結(jié)構(gòu)包括所 述第一節(jié)點(diǎn)密鑰��。
52. 如權(quán)利要求51所述的方法���,其特征在于�,所述PMIP密鑰分層結(jié)構(gòu)包 括從其推導(dǎo)出所述第一節(jié)點(diǎn)密鑰的隨機(jī)選擇的根密鑰����。
53. 如權(quán)利要求45所述的方法�,其特征在于�����,所述第一節(jié)點(diǎn)密鑰是隨機(jī) 選擇的�����。
54. 如權(quán)利要求48所述的方法�����,其特征在于����,所述第一節(jié)點(diǎn)密鑰和第二 節(jié)點(diǎn)密鑰是隨機(jī)選擇的并且彼此無(wú)關(guān)。
55. 如權(quán)利要求48所述的方法��,其特征在于�����,所述第一節(jié)點(diǎn)密鑰和第二 節(jié)點(diǎn)密鑰是基于根密鑰的��。
56. 如權(quán)利要求51所述的方法���,其特征在于����,所述PMIP密鑰分層結(jié)構(gòu)的 所述根密鑰不為所述接入終端所知。
57. —種接入網(wǎng)關(guān)��,包括 網(wǎng)絡(luò)接口����;適于助益去往和來(lái)自無(wú)線接入設(shè)備的通信的處理電路���,所述處理電路被配置成接收將接入終端的代理移動(dòng)網(wǎng)際協(xié)議(PMIP)隧道綁定從第一接入 節(jié)點(diǎn)改變至第二接入節(jié)點(diǎn)的請(qǐng)求��; 生成第一節(jié)點(diǎn)密鑰�;根據(jù)第一節(jié)點(diǎn)密鑰生成第一PMIP密鑰�����;以及 向所述第二接入節(jié)點(diǎn)發(fā)送所述第一 PMIP密鑰�����。
58. 如權(quán)利要求57所述的網(wǎng)關(guān)���,其特征在于�,所述處理電路還適于 建立所述網(wǎng)關(guān)與所述第二接入節(jié)點(diǎn)之間由所述第一 PMIP密鑰保護(hù)的PMIP隧道。
59. 如權(quán)利要求57所述的網(wǎng)關(guān)�,其特征在于,所述處理電路還適于確定所述接入終端是否已通過(guò)所述第二接入節(jié)點(diǎn)被認(rèn)證��;以及 僅當(dāng)所述接入節(jié)點(diǎn)已被認(rèn)證時(shí)生成并發(fā)送所述第一節(jié)點(diǎn)密鑰�����。
60. 如權(quán)利要求59所述的網(wǎng)關(guān)���,其特征在于�,如果所述接入終端尚未被 認(rèn)證�,則所述處理電路還適于生成第二節(jié)點(diǎn)密鑰;以及將所述第二節(jié)點(diǎn)密鑰發(fā)送給中間網(wǎng)絡(luò)節(jié)點(diǎn)��,所述中間網(wǎng)絡(luò)節(jié)點(diǎn)能生成第二 PMIP密鑰并將其提供給所述第二接入節(jié)點(diǎn)��。
61. 如權(quán)利要求60所述的網(wǎng)關(guān)����,其特征在于,所述中間網(wǎng)絡(luò)節(jié)點(diǎn)是會(huì)話 參考網(wǎng)絡(luò)控制器(SRNC)�。
62. 如權(quán)利要求57所述的網(wǎng)關(guān)����,其特征在于�����,所述第二接入節(jié)點(diǎn)是增強(qiáng) 型基站(eBS)���。
63. 如權(quán)利要求57所述的網(wǎng)關(guān)���,其特征在于,所述處理電路還適于 維護(hù)與所述接入終端(AT)相關(guān)聯(lián)并被用于保護(hù)至服務(wù)所述接入終端的網(wǎng)絡(luò)節(jié)點(diǎn)的PMIP隧道的PMIP密鑰分層結(jié)構(gòu)��,其中所述密鑰分層結(jié)構(gòu)包括所 述第一節(jié)點(diǎn)密鑰��。
64. —種接入網(wǎng)關(guān)��,包括用于接收將接入終端的代理移動(dòng)網(wǎng)際協(xié)議(PMIP)隧道綁定從第一接入 節(jié)點(diǎn)改變至第二接入節(jié)點(diǎn)的請(qǐng)求的裝置����; 用于生成第一節(jié)點(diǎn)密鑰的裝置���;用于根據(jù)第一節(jié)點(diǎn)密鑰生成第一PMIP密鑰的裝置��;以及 用于向所述第二接入節(jié)點(diǎn)發(fā)送所述第一 PMIP密鑰的裝置��。
65. —種在網(wǎng)絡(luò)網(wǎng)關(guān)中操作的電路���,其中所述電路適于 接收將接入終端的代理移動(dòng)網(wǎng)際協(xié)議(PMIP)隧道綁定從第一接入節(jié)點(diǎn)改變至第二接入節(jié)點(diǎn)的請(qǐng)求�����; 生成第一節(jié)點(diǎn)密鑰��;根據(jù)第一節(jié)點(diǎn)密鑰生成第一PMIP密鑰��;以及 向所述第二接入節(jié)點(diǎn)發(fā)送所述第一 PMIP密鑰��。
66. —種包括用于操作網(wǎng)關(guān)的指令的機(jī)器可讀介質(zhì)���,所述指令在由處理器 執(zhí)行時(shí)使所述處理器接收將接入終端的代理移動(dòng)網(wǎng)際協(xié)議(PMIP)隧道綁定從第一接入節(jié)點(diǎn)改變至第二接入節(jié)點(diǎn)的請(qǐng)求; 生成第一節(jié)點(diǎn)密鑰���;根據(jù)第一節(jié)點(diǎn)密鑰生成第一PMIP密鑰��;以及 向所述第二接入節(jié)點(diǎn)發(fā)送所述第一 PMIP密鑰����。
全文摘要
提供了一種用于保護(hù)服務(wù)網(wǎng)關(guān)與接入終端通過(guò)其進(jìn)行通信的新接入節(jié)點(diǎn)之間的PMIP隧道的方法。對(duì)于每個(gè)接入終端唯一的PMIP密鑰分層結(jié)構(gòu)由網(wǎng)關(guān)來(lái)維護(hù)���。當(dāng)已執(zhí)行對(duì)接入終端的認(rèn)證時(shí)��,網(wǎng)關(guān)使用第一節(jié)點(diǎn)密鑰來(lái)保護(hù)PMIP隧道�。PMIP密鑰是基于第一節(jié)點(diǎn)密鑰生成的�,并且PMIP密鑰被發(fā)送給新接入節(jié)點(diǎn)以幫助建立和保護(hù)網(wǎng)關(guān)與新接入節(jié)點(diǎn)之間的PMIP隧道。否則�����,當(dāng)對(duì)接入終端的認(rèn)證尚未被執(zhí)行時(shí)��,網(wǎng)關(guān)生成第二節(jié)點(diǎn)密鑰并將其發(fā)送給中間網(wǎng)絡(luò)節(jié)點(diǎn)�,后者在隨后生成PMIP密鑰并將其發(fā)送給新接入節(jié)點(diǎn)。此第二密鑰在隨后被用于保護(hù)PMIP隧道��。
文檔編號(hào)H04L29/06GK101682630SQ200880018140
公開日2010年3月24日 申請(qǐng)日期2008年6月2日 優(yōu)先權(quán)日2007年5月31日
發(fā)明者F·尤路皮納, J·王, L·R·唐達(dá)蒂, R·T-S·蘇, V·納拉亞南 申請(qǐng)人:高通股份有限公司