專利名稱:支持移動ip第6版業(yè)務(wù)的方法�、系統(tǒng)和設(shè)備的制作方法
技術(shù)領(lǐng)域:
本發(fā)明一般涉及移動通信,并且更具體地涉及對移動IP第6版業(yè)務(wù)的支持�����。
背景技術(shù):
移動IP(MIP)使移動節(jié)點可以以極小的服務(wù)中斷來更改它到因特網(wǎng)的連接點���。MIP本身不提供任何對跨不同管理域的移動性的特定支持�,這限制了大規(guī)模商業(yè)部署中MIP的可應(yīng)用性���。
MIP第6版(MIPv6)協(xié)議[1]使節(jié)點可以在因特網(wǎng)拓撲內(nèi)移動����,同時保持可達性和與通信節(jié)點的正進行連接���。在此情況中�����,每個移動節(jié)點總是由它的歸屬地址來標(biāo)識���,而不管它到IPv6因特網(wǎng)的當(dāng)前連接點。當(dāng)遠離它的歸屬網(wǎng)絡(luò)時����,移動節(jié)點還與轉(zhuǎn)交地址相關(guān)聯(lián),轉(zhuǎn)交地址提供有關(guān)移動節(jié)點的當(dāng)前位置的信息�。將尋址到移動節(jié)點的歸屬地址的IPv6分組或多或少透明地路由選擇到它的轉(zhuǎn)交地址。MIPv6協(xié)議使IPv6節(jié)點能夠高速緩存移動節(jié)點的歸屬地址與它的轉(zhuǎn)交地址的綁定���,并然后將發(fā)往移動節(jié)點的任何分組發(fā)送到轉(zhuǎn)交地址���。為此,每次移動時���,移動節(jié)點發(fā)送所說的綁定更新到它的歸屬代理(HA)以及與它正在通信的通信節(jié)點��。
允許MIPv6的移動節(jié)點�,如蜂窩電話、膝上型計算機和其他端用戶設(shè)備��,從而可以在屬于它們的歸屬服務(wù)提供商以及其他提供商的網(wǎng)絡(luò)之間漫游�。可以在外地網(wǎng)絡(luò)中漫游是因為營運商之間存在服務(wù)級別和漫游協(xié)定����。MIPv6提供單個管理域內(nèi)的會話連續(xù)性,但是依賴于鑒權(quán)�、授權(quán)和計費(AAA)基礎(chǔ)結(jié)構(gòu)的可用性來跨不同的管理域(即當(dāng)在歸屬營運商所管理的網(wǎng)絡(luò)之外漫游時)提供它的業(yè)務(wù)。有助于使此類漫游機制成為可能的關(guān)鍵AAA協(xié)議之一是直徑(Diameter)��。
此外���,雖然移動IPv6可以被視為完整的移動性協(xié)議���,但是為了能夠大規(guī)模部署還需要便于部署MIPv6的更多的和/或改進的機制。雖然這些機制不是實際的MIPv6協(xié)議的一部分�����,但是有效地部署MIPv6業(yè)務(wù)非常依賴它們���。與部署相關(guān)的機制處理諸如啟用MIPv6的移動節(jié)點(MN)的初始配置的問題�,包括配置數(shù)據(jù),如歸屬網(wǎng)絡(luò)前綴或歸屬地址��、歸屬代理地址以及所需的IPsec SA或動態(tài)建立的IPsec SA可以基于的安全參數(shù)�。一種部署相關(guān)機制的方法是對現(xiàn)有的AAA基礎(chǔ)結(jié)構(gòu)起杠桿作用���。
例如在[2]中�,嘗試規(guī)定一種直徑的新應(yīng)用�,便于MIPv6在非歸屬域的網(wǎng)絡(luò)中漫游。該文檔標(biāo)識通常需要在MN和網(wǎng)絡(luò)中的AAA客戶之間交換的信息-MIP特征數(shù)據(jù)�����、EAP數(shù)據(jù)��、安全密鑰數(shù)據(jù)和嵌入式數(shù)據(jù)��。它還提出��,在AAA客戶與AAAv(受訪AAA服務(wù)器)之間��、AAAv與AAAh(歸屬AAA服務(wù)器)之間以及HA與AAA基礎(chǔ)結(jié)構(gòu)之間交換該信息時使用該新的直徑應(yīng)用����。雖然[2]沒規(guī)定移動節(jié)點與AAA客戶之間的通信的任何具體的機制����,但是提及了使用PANA協(xié)議[3]的可能性���。然而����,PANA WG限定了PANA的范圍����,以致它無法傳輸所提到的MIPv6相關(guān)信息,這使本解決方案不能令人滿意并且是不完整的�。
中的解決方案的另一個缺點在于,它要求AAA客戶(和AAAv)理解鑒權(quán)方法���,并知道MN與AAAh之間交換的內(nèi)容(MIP特征數(shù)據(jù)�����、EAP數(shù)據(jù)����、安全密鑰數(shù)據(jù)和嵌入式數(shù)據(jù))�。利用這樣的解決方案�,不可能在MN和AAAh之間應(yīng)用現(xiàn)有的加密��,而且這些交換在空中接口上將是可見的��。防竊聽�����、中間人和其他攻擊的安全性可能是折衷的���。
中解決方案的再一個缺點是,它要求在接入網(wǎng)和AAAv中都支持這些機制���。這可能妨礙該解決方案的部署��,因為希望使用它的營運商依賴漫游伙伴升級它們的網(wǎng)絡(luò)來支持該解決方案�����。
因此�,常規(guī)的移動性解決方案涉及若干缺點�,仍需要支持MIPv6的令人滿意的機制。
發(fā)明內(nèi)容
本發(fā)明的一般目的是提供一種MIPv6的鑒權(quán)和授權(quán)支持的改進機制���。特定的目的是便于利用MIPv6在外地網(wǎng)絡(luò)中漫游���,同時保持高度的安全性�����。另一個目的是通過簡化移動節(jié)點和歸屬代理的配置來便于MIPv6的部署����。再另外的目的是提供一種完整的且對受訪域透明的MIPv6支持的機制�����。
這些目的根據(jù)所附的權(quán)利要求來實現(xiàn)�。
簡言之,本發(fā)明的方法通過在訪問外地網(wǎng)絡(luò)的移動節(jié)點與該移動節(jié)點的歸屬網(wǎng)絡(luò)之間通過AAA基礎(chǔ)結(jié)構(gòu)在端到端過程中傳送MIPv6相關(guān)信息來實現(xiàn)MIPv6的鑒權(quán)和授權(quán)支持����。MIPv6相關(guān)信息通常包括通過AAA基礎(chǔ)結(jié)構(gòu)傳送的鑒權(quán)、授權(quán)和/或配置信息��,以簡化移動節(jié)點和歸屬代理的配置或在移動節(jié)點與位于歸屬網(wǎng)絡(luò)中或受訪網(wǎng)絡(luò)中的歸屬代理之間建立MIPv6安全關(guān)聯(lián)����。該端到端特征憑借通過AAA基礎(chǔ)結(jié)構(gòu)承載的鑒權(quán)協(xié)議來實現(xiàn)��。鑒權(quán)協(xié)議優(yōu)選地是擴展的鑒權(quán)協(xié)議�����,但是還可以使用完全新近定義的協(xié)議���。
本發(fā)明的首選實施例將可擴展鑒權(quán)協(xié)議(EAP)用作擴展的鑒權(quán)協(xié)議的基礎(chǔ),創(chuàng)建EAP擴展同時通常保持EAP較低層完整���。這通常意味著將MIPv6相關(guān)信息作為附加數(shù)據(jù)結(jié)合在EAP協(xié)議棧中,例如作為EAP協(xié)議棧的EAP方法層中的EAP屬性或在EAP層或EAP方法層上的通用容器中傳送����。
憑借本發(fā)明,第一次實現(xiàn)了一種完整的MIPv6 AAA解決方案����,而在現(xiàn)有技術(shù)中僅有彼此不一致的局部解決方案。再者���,對諸如EAP擴展的鑒權(quán)協(xié)議的依賴�,提供一種流線式解決方案�,它易于管理且一流���,向后兼容問題最少。EAP的使用使AAA客戶(和AAAv)可以至少在HA位于歸屬網(wǎng)絡(luò)時對MIPv6過程不可知(agnostic)(即這去除對受訪網(wǎng)絡(luò)中的MIPv6支持的依賴)�,并僅充當(dāng)直通(pass-through)代理。換言之���,所提出的MIPv6鑒權(quán)/授權(quán)解決方案對受訪域是透明的�����,這是使用諸如EAP的協(xié)議的主要優(yōu)點之一�。這使得將現(xiàn)有的加密應(yīng)用于MN和AAAh之間并由此當(dāng)利用MIPv6在外地網(wǎng)絡(luò)中漫游時達到令人滿意的安全性變得可能��。此外���,使?fàn)I運商在不依賴其漫游伙伴的網(wǎng)絡(luò)升級的情況下部署該解決方案變得可能��。
根據(jù)本發(fā)明�����,還可以通過消除或簡化移動節(jié)點的MIPv6特定的配置和歸屬代理的移動節(jié)點特定的配置來協(xié)助部署MIPv6���。這樣的配置是普通授權(quán)的一部分�����,并且可以包括例如歸屬網(wǎng)絡(luò)前綴或歸屬地址��、歸屬代理地址和所需的IPsec SA或動態(tài)建立的安全關(guān)系(例如IPsec SA)可以基于的安全參數(shù)����。
根據(jù)本發(fā)明的其他方面��,提供一種MIPv6支持的系統(tǒng)和AAAh服務(wù)器�。
附圖簡介通過參考如下說明和附圖,可以更好地理解本發(fā)明及其其他目的和優(yōu)點�,圖中
圖1是可以使用本發(fā)明的MIPv6 AAA的通信系統(tǒng)的示意圖;圖2是根據(jù)本發(fā)明的第一示范實施例的MIPv6發(fā)起的信號流程圖����;圖3是根據(jù)本發(fā)明的第二示范實施例的MIPv6發(fā)起的信號流程圖�;圖4是根據(jù)本發(fā)明的示范實施例的MIPv6切換的信號流程圖;圖5示出常規(guī)的EAP分組格式�����;圖6示出根據(jù)本發(fā)明的示范實施例的GCA屬性的位置和格式;圖7是根據(jù)本發(fā)明的示范實施例的MIPv6 AAA的通信系統(tǒng)的示意圖����;
圖8是示出根據(jù)本發(fā)明示范實施例的AAA歸屬網(wǎng)絡(luò)服務(wù)器的示意框圖;以及圖9是根據(jù)本發(fā)明的用于支持移動節(jié)點的MIPv6業(yè)務(wù)的方法的基本示例的示意流程圖��。
具體實施例方式
本部分之后是本文檔中所用的縮略語列表�����。
如背景技術(shù)部分所述的�����,現(xiàn)有技術(shù)中尚未提出MIPv6的鑒權(quán)和/或授權(quán)支持的完整解決方案��。再者�,[2]的常規(guī)機制要求AAA客戶和AAAv理解鑒權(quán)方法,并知道MN與AAAh之間MIPv6相關(guān)數(shù)據(jù)交換的內(nèi)容���。利用這樣的解決方案�,不可能在MN和AAAh之間應(yīng)用現(xiàn)有的加密����,而且這些交換在空中接口上是可見的。這使系統(tǒng)在竊聽、中間人攻擊等方面非常易受攻擊�����。
這些缺點和其他缺點由本發(fā)明克服��,根據(jù)本發(fā)明����,通過在訪問外地網(wǎng)絡(luò)的移動節(jié)點與該移動節(jié)點的歸屬網(wǎng)絡(luò)之間通過AAA基礎(chǔ)結(jié)構(gòu)在端到端過程中傳送MIPv6相關(guān)信息來實現(xiàn)MIPv6的鑒權(quán)和授權(quán)支持。MIPv6相關(guān)信息優(yōu)選地包括通過AAA基礎(chǔ)結(jié)構(gòu)傳送的鑒權(quán)��、授權(quán)和/或配置信息�,以用于在移動節(jié)點和歸屬代理之間建立立即的或?qū)淼腗IPv6安全關(guān)聯(lián)(即安全關(guān)系)或綁定。該端到端特征憑借一種以對受訪域透明的方式操作的新的或擴展的鑒權(quán)協(xié)議來實現(xiàn)���。
根據(jù)本發(fā)明�����,從而提出一種通過AAA基礎(chǔ)結(jié)構(gòu)承載的鑒權(quán)協(xié)議���,用于以非常有利的方式將MIPv6的終端移動性與用戶鑒權(quán)和授權(quán)(通常為AAA)組合�。由此,實現(xiàn)一種完整的MIPv6 AAA解決方案。在現(xiàn)有技術(shù)中���,僅有彼此不一致的局部解決方案�。
通過使用MN與歸屬網(wǎng)絡(luò)中的AAA服務(wù)器之間的端到端協(xié)議�,本發(fā)明創(chuàng)建一種對受訪域透明的MIPv6 AAA解決方案,受訪域包括接入網(wǎng)��、AAA客戶和受訪網(wǎng)絡(luò)中的AAA服務(wù)器以及其他可能的中間AAA服務(wù)器����。這樣使得讓例如AAA客戶僅充當(dāng)直通代理成為可能,這是非常有利的����。還將可能的是,在MN和AAAh(例如EAP/TTLS[4])之間應(yīng)用現(xiàn)有的加密���,因為這些交換在空中接口上是不可見的���。這意味著對于在外地網(wǎng)絡(luò)中漫游的移動節(jié)點可以保持防竊聽、中間人和其他攻擊的令人滿意的安全性��。
圖8是根據(jù)本發(fā)明首選實施例的AAA歸屬網(wǎng)絡(luò)服務(wù)器的示意框圖���。在此示例中��,AAAh服務(wù)器34基本包括歸屬地址指定模塊51�、歸屬代理(HA)指定模塊52、安全關(guān)聯(lián)模塊53�、授權(quán)信息管理器54和輸入輸出(I/O)接口55。模塊51優(yōu)選地執(zhí)行歸屬地址指定(除非在移動節(jié)點上配置歸屬地址并發(fā)送到HA的情況)����,以及模塊52可操作用于指定和/或重新指定適合的歸屬代理(HA)。AAAh服務(wù)器34通常還從移動節(jié)點接收密鑰種子和綁定更新(BU)��。備選地�����,AAAh服務(wù)器34本身生成密鑰種子并將其發(fā)送到移動節(jié)點�����。安全關(guān)聯(lián)模塊53優(yōu)選地生成所需的安全密鑰以響應(yīng)該種子���,并將該密鑰安全地傳送到HA�。還將綁定更新(BU)轉(zhuǎn)發(fā)到歸屬代理(HA)�,以便HA可以高速緩存該移動節(jié)點的歸屬地址與轉(zhuǎn)交地址的綁定。AAAh服務(wù)器還可以從HA接收諸如IPSec信息的信息���,以完成安全關(guān)聯(lián)�。然后可以將該信息連同其他收集的授權(quán)(和/或配置)信息存儲在任選的授權(quán)信息管理器54中�,以隨后傳送到移動節(jié)點。
授權(quán)階段自然地包括顯式授權(quán)��,但是還可以包括所涉及節(jié)點的配置�����。因此MIPv6相關(guān)配置(如移動節(jié)點的配置和/或HA的配置)通常被視為整個授權(quán)過程的一部分��。
術(shù)語“AAA”應(yīng)該取其因特網(wǎng)草案���、RFC和其他標(biāo)準(zhǔn)化文檔中的一般含義�。通常���,AAA(授權(quán)�����、鑒權(quán)���、計費)基礎(chǔ)結(jié)構(gòu)的鑒權(quán)和安全密鑰同意基于對稱密碼學(xué)�,意味著在移動節(jié)點和歸屬網(wǎng)絡(luò)營運商或可信方之間存在共享的初始秘密�。在一些場合和應(yīng)用中,例如可以禁用或不實施AAA基礎(chǔ)結(jié)構(gòu)的計費特征�����。AAA基礎(chǔ)結(jié)構(gòu)一般在歸屬網(wǎng)絡(luò)和/或受訪網(wǎng)絡(luò)中包括一個或多個AAA服務(wù)器����,而且還可以包括一個或多個AAA客戶。任選地���,還可以在AAA基礎(chǔ)結(jié)構(gòu)中包括一個或多個中間網(wǎng)絡(luò)��。
本發(fā)明優(yōu)選地將已經(jīng)定義的鑒權(quán)協(xié)議的擴展/修改版本用作傳送MIPv6相關(guān)數(shù)據(jù)的鑒權(quán)協(xié)議�����,下文將主要以這樣的擴展協(xié)議為例來說明����。盡管如此�,應(yīng)該強調(diào)的是�,從最初構(gòu)建的鑒權(quán)協(xié)議也屬于本本發(fā)明的首選實施例使用基于EAP的擴展鑒權(quán)協(xié)議�,創(chuàng)建了EAP擴展同時往往保持EAP較低層完整。這通常意味著MIPv6相關(guān)信息被作為附加數(shù)據(jù)結(jié)合在EAP協(xié)議棧中���,通常憑借一個或多個新的EAP屬性。下文將在“方法特定的EAP屬性”和“通用容器屬性”的部分中描述用于實施這樣的EAP屬性的不同解決方案��。在此之前����,將在“載體協(xié)議示例”部分中描述用于通過AAA基礎(chǔ)結(jié)構(gòu)承載擴展的鑒權(quán)協(xié)議的一些示范的協(xié)議解決方案。一般將參考的是圖1所示的MIPv6 AAA參與者和體系結(jié)構(gòu)��。
載體協(xié)議示例例如�,在MN(PAC)10和AAA客戶(PAA)22之間(即圖1中的(I))可以由PANA承載擴展的鑒權(quán)協(xié)議(例如擴展的EAP)。備選地����,在MN和AAA客戶之間,與令人滿意的較低層排序保證相關(guān)聯(lián)的其他載體協(xié)議如PPP和IEEE 802.1X[5]可以用于承載擴展的鑒權(quán)協(xié)議�����。對于3GPP2 CDMA2000系統(tǒng)�����,改為使用PPP數(shù)據(jù)鏈路層協(xié)議封裝是可能的,對于EAP[6]��,協(xié)議字段值設(shè)為C227(Hex)�����。
首選實施例將AAA框架協(xié)議應(yīng)用如直徑應(yīng)用用于經(jīng)由受訪網(wǎng)絡(luò)/域20中的AAAv服務(wù)器24在AAA客戶22和移動節(jié)點10的歸屬網(wǎng)絡(luò)/域30中的AAAh服務(wù)器34之間的通信(II�,III)。在AAA客戶以外朝向AAA基礎(chǔ)結(jié)構(gòu)和在AAA基礎(chǔ)結(jié)構(gòu)內(nèi)���,一個示范實施例據(jù)此使用直徑EAP應(yīng)用[7]來將擴展的鑒權(quán)協(xié)議封裝在直徑內(nèi)��,通常在AAA客戶和AAAh之間�。再者��,直徑協(xié)議還可以被AAAh用于經(jīng)由MIP過濾器規(guī)則任選地將MIP分組過濾器指定給PAA/EP和HA���,它們對應(yīng)于過濾器增強點��,以及用于為PANA安全將安全密鑰分發(fā)到PAA以及任選地發(fā)送QoS參數(shù)信號等��。
應(yīng)該注意����,盡管直徑是首選,但是有時改為將另一種AAA框架協(xié)議如RADIUS[8�����、9]用于通過II和/或III承載擴展的鑒權(quán)協(xié)議可以是適當(dāng)?shù)摹?br>
至于歸屬網(wǎng)絡(luò)中的HA 36與AAA基礎(chǔ)結(jié)構(gòu)之間(IV)用于例如通過安全密鑰的交換來建立HA和MN 10之間的安全關(guān)聯(lián)SA的通信�,提出兩種可能性����。首先,可以采用AAA框架協(xié)議應(yīng)用來通過IV傳送MIPv6數(shù)據(jù)�����。對此���,可以使用例如直徑MIPv4應(yīng)用[10]中規(guī)定的AAAh-HA接口協(xié)議����。如下文所解釋的�����,將擴展的或新的直徑應(yīng)用或以新屬性擴展的RADIUS用于在AAAh 34和HA 36之間交換AAA和MIPv6數(shù)據(jù)的實施例也屬于本發(fā)明的范圍。其次����,與目前的3GPP2解決方案[11]類似的機制結(jié)合IKE框架[12]可以用于在MN 10和HA 36之間分發(fā)動態(tài)的預(yù)共享密鑰。然后HA利用KeyID來從AAAh34中檢索或生成HA-MN預(yù)共享密鑰����。AAAh生成KeyID,并在鑒權(quán)成功時將其發(fā)送到MN�,又利用IKE將其發(fā)送到HA(圖1的通信路徑V)。
還參考圖1�����,表1中概括了根據(jù)本發(fā)明用于MIPv6支持的段MN-AAA客戶-AAAv-AAAh-HA之間的協(xié)議組合的示例��。
表1
假定采用安全措施���,如加密和源完整性保護來傳送如安全密鑰的敏感信息����。
方法特定的EAP屬性根據(jù)本發(fā)明的一個具體實施例�,MIPv6相關(guān)信息作為EAP協(xié)議棧的EAP方法層中的EAP屬性來傳送����。然后定義新的(擴展的)EAP鑒權(quán)協(xié)議來承載用于MIPv6鑒權(quán)的方法����。該擴展的EAP協(xié)議應(yīng)該允許協(xié)商/增強MIPv6鑒權(quán),并且還可以支持便于例如動態(tài)MN歸屬地址分配��、動態(tài)HA分配��、HA和MN之間分發(fā)安全密鑰以及在PAC和PAA之間分發(fā)安全密鑰以實現(xiàn)PANA安全的一些輔助信息�����。
這些新的EAP屬性可以是例如���,新的EAP TLV屬性,并且馬上將提供示范的協(xié)議的詳細內(nèi)容以說明整個流程和概念的可行性�。
以下的EAP-TLV是可以在本發(fā)明的擴展EAP協(xié)議下定義的新的EAP TLV的示例i)MD5詢問EAP-TLV屬性ii)MD5響應(yīng)EAP-TLV屬性iii)MIPv6歸屬地址請求EAP-TLV屬性iv)MIPv6歸屬地址響應(yīng)EAP-TLV屬性v)MIPv6歸屬代理地址請求EAP-TLV屬性vi)MIPv6歸屬代理地址響應(yīng)EAP-TLV屬性vii)HA-MN預(yù)共享密鑰生成現(xiàn)用值EAP-TLV屬性viii)IKE KeyID EAP-TLV屬性ix)HA-MN IPSec SPI EAP-TLV屬性x)HA-MN IPSec密鑰有效期EAP-TLV屬性xi)PAC-PAA預(yù)共享密鑰生成現(xiàn)用值EAP-TLV屬性xii)MIPv6歸屬地址EAP-TLV屬性xiii)HA-MN預(yù)共享密鑰EAP-TLV屬性xiv)HA-MN IPSec協(xié)議EAP-TLV屬性xv)HA-MN IPSec密碼EAP-TLV屬性xvi)MIP-綁定-更新EAP-TLV屬性xvii)MIP-綁定-確認EAP-TLV屬性憑借這些屬性(的子集或全部),除了主要的IPv6鑒權(quán)信息之外����,EAP協(xié)議還可以承載MIPv6相關(guān)的輔助信息,這是非常有利的���。MIPv6相關(guān)的輔助信息可以包括例如�����,對動態(tài)MN歸屬地址分配�、動態(tài)歸屬代理分配的請求以及創(chuàng)建必要的安全密鑰的現(xiàn)用值/種子。
根據(jù)本發(fā)明的擴展EAP協(xié)議的鑒權(quán)機制可以例如使用MD5-詢問鑒權(quán)�,但是其他類型的協(xié)議也屬于本發(fā)明的范圍。在通過MD5-詢問鑒權(quán)來實施的情況中���,可以定義以下用于MIPv6鑒權(quán)的EAP-TLV屬性i)MD5詢問EAP-TLV屬性這表示AAAh隨機生成并發(fā)送到MN以實現(xiàn)MD5詢問的八位位組串�。
ii)MD5響應(yīng)EAP-TLV屬性這表示作為MD5散列函數(shù)的結(jié)果生成的連同AAAh和MN之間的預(yù)共享秘密密鑰的八位位組串�����。
如果要傳送便于動態(tài)MN歸屬地址分配的MIPv6相關(guān)信息���,則可以例如定義以下的EAP-TLV屬性iii)MIPv6歸屬地址請求EAP-TLV屬性這表示對鑒權(quán)的MN的動態(tài)分配的MIPv6歸屬地址的請求�。在MN最初請求被鑒權(quán)和被給予MIPv6業(yè)務(wù)時����,由MN向AAAh請求它。當(dāng)MN已經(jīng)具有先前指定的歸屬地址時�����,例如MIPv6切換期間,該EAP屬性通常定義為任選屬性��。
iv)MIPv6歸屬地址響應(yīng)EAP-TLV屬性這表示鑒權(quán)的MN的動態(tài)分配的MIPv6歸屬地址�。在對已經(jīng)請求歸屬地址的MN成功鑒權(quán)時,從AAAh將其通知給MN���。當(dāng)MN已經(jīng)具有先前指定的歸屬地址時��,例如MIPv6切換期間�,該屬性通常是任選的���。
對于動態(tài)HA分配�����,可以使用以下示范的EAP-TLV屬性v)MIPv6歸屬代理地址請求EAP-TLV屬性這表示當(dāng)成功鑒權(quán)時對MN的動態(tài)分配的HA的地址的請求。在MN最初請求被鑒權(quán)和被給予MIPv6業(yè)務(wù)時����,由MN向AAAH請求它。如果HA分配已經(jīng)是現(xiàn)成的��,如當(dāng)MIPv6協(xié)議的動態(tài)HA發(fā)現(xiàn)方法用于分配HA時或當(dāng)MN已經(jīng)具有先前指定的HA時(例如MIPv6切換期間),該屬性通常定義為任選的�����。
vi)MIPv6歸屬代理地址響應(yīng)EAP-TLV屬性這表示鑒權(quán)的MN的動態(tài)分配的HA地址�����。當(dāng)MN最初請求被鑒權(quán)和被給予MIPv6業(yè)務(wù)時����,從AAAh將其通知給MN。因為對于歸屬代理分配��,MIPv6協(xié)議具有動態(tài)的歸屬代理發(fā)現(xiàn)方法���,所以該屬性通常是任選的���。當(dāng)MN已經(jīng)具有先前指定的HA時,例如MIPv6切換期間�,該屬性也是任選的。
可以定義以下示范的EAP-TLV屬性以在HA和MN之間分發(fā)安全密鑰vii)HA-MN預(yù)共享密鑰生成現(xiàn)用值EAP-TLV屬性這表示MN隨機生成的作為用于生成HA-MN之間預(yù)共享密鑰的種子的八位位組串�。通過對該現(xiàn)用值和MN與AAAh之間的共享密鑰的組合使用適當(dāng)?shù)纳⒘兴惴ǎ琈N可以內(nèi)部生成HA-MN預(yù)共享密鑰�。當(dāng)已經(jīng)存在有效的HA-MN預(yù)共享密鑰時���,例如MIPv6切換期間,該屬性通常是任選的�����。
viii)IKE KeyID EAP-TLV屬性這表示[13]中定義的ID有效負荷�。KeyID由AAAh生成,并當(dāng)成功鑒權(quán)時被發(fā)送到MN���。KeyID包括一些八位位組�,它告知HA關(guān)于如何從AAAh檢索(或生成)HA-MN預(yù)共享密鑰�����。該屬性通常定義為任選的�����,以及當(dāng)MN尚未提交HA-MN預(yù)共享密鑰生成現(xiàn)用值即已經(jīng)存在有效的HA-MN預(yù)共享密鑰時�,例如MIPv6切換期間,一般不需要該屬性�����。在HA-MN預(yù)共享密鑰由AAAh經(jīng)由[10]中定義的AAAh-HA接口(或利用例如上面在“載體協(xié)議示例”下所述的其他協(xié)議的任何一種)傳送到HA時的情況中通常也不需要該屬性���。
ix)HA-MN IPSec SPI EAP-TLV屬性這表示HA和MN之間的IPSec的安全參數(shù)索引���。如果HA-MN預(yù)共享密鑰由AAAh經(jīng)由[10]中定義的AAAh-HA接口(或利用例如上面在“載體協(xié)議示例”下所述的其他協(xié)議的任何一種)傳送到HA,則由HA生成該屬性����,并將其傳遞到MN。該屬性通常是任選的���,以及當(dāng)MN尚未提交HA-MN預(yù)共享密鑰生成現(xiàn)用值即已經(jīng)存在有效的HA-MN預(yù)共享密鑰時�����,例如MIPv6切換期間�����,一般不需要它���。當(dāng)未使用AAAh-HA接口時,也不需要它���。
x)HA-MN IPSec密鑰有效期EAP-TLV屬性這表示HA和MN之間的IPSec的密鑰有效期����。如果HA-MN預(yù)共享密鑰由AAAh經(jīng)由[10]中定義的AAAh-HA接口(或利用例如上面在“載體協(xié)議示例”下所述的其他協(xié)議的任何一種)傳送到HA,則由HA生成該屬性�����,并將其傳遞到MN��。該屬性通常是任選的����,以及當(dāng)MN尚未提交HA-MN預(yù)共享密鑰生成現(xiàn)用值即已經(jīng)存在有效的HA-MN預(yù)共享密鑰時,例如MIPv6切換期間��,一般不需要該屬性��。當(dāng)不使用AAAh-HA接口時����,通常也不需要它。
如果PANA用于在MN和AAA客戶之間承載擴展的EAP協(xié)議�,則可以定義以下示范的EAP-TLV屬性以在MN/PAC和AAA客戶/PAA之間分發(fā)安全密鑰以實現(xiàn)PANA安全xi)PAC-PAA預(yù)共享密鑰生成現(xiàn)用值EAP-TLV屬性這表示MN/PAC隨機生成的作為用于生成MN/PAC和AAA客戶/PAA之間的預(yù)共享密鑰的種子的八位位組串。通過對該現(xiàn)用值和MN與AAAh之間的共享密鑰的組合使用適當(dāng)?shù)纳⒘兴惴ǎ琈N/PAC可以內(nèi)部生成PAC-PAA預(yù)共享密鑰�����。憑借該屬性����,可以實現(xiàn)令人滿意的PANA安全���。
最后�����,為特殊的MIPv6�����,可以定義以下任選的EAP-TLV屬性xii)MIPv6歸屬地址EAP-TLV屬性這表示鑒權(quán)的MN的動態(tài)分配的MIPv6歸屬地址�。在對例如已經(jīng)請求的MN成功鑒權(quán)時從AAAh將其通知給HA�,以在HA中指定MIPv6歸屬地址。
xiii)HA-MN預(yù)共享密鑰EAP-TLV屬性這表示HA-MN之間的動態(tài)生成的預(yù)共享密鑰�����。當(dāng)MN請求被鑒權(quán)和被給予MIPv6業(yè)務(wù)時,從AAAh將其通知給HA�����。通過對由HA-MN預(yù)共享密鑰生成現(xiàn)用值EAP-TLV屬性給出的現(xiàn)用值和MN與AAAh之間的共享密鑰的組合使用適當(dāng)?shù)纳⒘兴惴?���,AAAh可以內(nèi)部生成HA--MN預(yù)共享密鑰。當(dāng)已經(jīng)存在有效的HA-MN預(yù)共享密鑰時�����,該屬性是任選的��。
xiv)HA-MN IPSec協(xié)議EAP-TLV屬性這表示HA-MN之間的IPSec協(xié)議(例如ESP或AH)�。對于HA-MN預(yù)共享密鑰由AAAh傳送到HA時的情況,這被通知給MN�����。該屬性是任選的�����,以及當(dāng)MN未提交HA-MN預(yù)共享密鑰生成現(xiàn)用值即已經(jīng)存在有效的HA-MN預(yù)共享密鑰時�����,例如MIPv6切換期間,一般不需要該屬性���。
xv)HA-MN IPSec密碼EAP-TLV屬性這表示HA-MN之間的IPSec的密碼算法���。對于HA-MN預(yù)共享密鑰由AAAh傳送到HA時的情況�����,這被通知給MN����。該屬性是任選的,以及當(dāng)MN未提交HA-MN預(yù)共享密鑰生成現(xiàn)用值即已經(jīng)存在有效的HA-MN預(yù)共享密鑰時��,例如MIPv6切換期間���,一般不需要該屬性��。
xvi)MIP-綁定-更新EAP-TLV屬性這表示MN生成的綁定更新分組���。這在鑒權(quán)和授權(quán)交換中經(jīng)由AAAh從MN轉(zhuǎn)發(fā)到HA��。該屬性是任選的�,以及當(dāng)MN將綁定更新分組直接發(fā)送到HA時�,一般不需要該屬性。
xvii)MIP-綁定-確認EAP-TLV屬性這表示HA生成的綁定確認分組�����。這在鑒權(quán)和授權(quán)交換中經(jīng)由AAAh從HA轉(zhuǎn)發(fā)到MN����。該屬性是任選的,以及當(dāng)HA將綁定確認分組直接發(fā)送到MN時��,一般不需要該屬性�。
下表2中給出所描述的用于傳送MIPv6相關(guān)信息的示范EAP-TLV的概括矩陣。
表2
信令流程圖即圖2��、3和4中提供了根據(jù)本發(fā)明的用于處理MIPv6發(fā)起和切換的示范方案�。示出了在MN、AAA客戶�����、AAAh和HA之間利用上述示范EAP TLV屬性實施的MIPv6相關(guān)信息的傳送����。此處術(shù)語“EAP/MIPv6”指用于在本發(fā)明首選實施例中通過AAA基礎(chǔ)結(jié)構(gòu)傳送MIPv6相關(guān)信息的新的擴展EAP協(xié)議�����。所示的示例涉及使用PANA與直徑的組合作為載體協(xié)議的MIPv6 AAA���。圖2中的流程圖示出利用根據(jù)[10]的AAAh-HA接口來交換HA-MN預(yù)共享密鑰的MIPv6發(fā)起。圖3所示的MIPv6發(fā)起機制的另一個實施例使用IKEKeyID來交換HA-MN預(yù)共享密鑰�。圖4的信令流描述根據(jù)本發(fā)明示范實施例的MIPv6切換。
通用容器屬性在本發(fā)明的另一個實施例中�,MIPv6相關(guān)信息在通用容器EAP屬性中承載��,它優(yōu)選地可以與任何EAP分組中所含的任何EAP方法一起使用����。由此EAP以通用容器屬性(還稱為GCA)來增補,通用容器屬性可以用于在MN 10和AAAh 34之間承載非EAP相關(guān)數(shù)據(jù)��,更具體地即MIPv6相關(guān)數(shù)據(jù)�����。這使MN和AAAh可以以對受訪域20透明的方式通信����,受訪域20包括接入網(wǎng)���、AAA客戶和AAAv 24。由此����,正如上面關(guān)于方法特定的EAP TLV屬性描述的情況一樣,利用AAA基礎(chǔ)結(jié)構(gòu)來以對受訪域透明的方式支持MIPv6相關(guān)的特征�。該解決方案可以例如支持歸屬網(wǎng)絡(luò)中的動態(tài)HA指定(包括歸屬網(wǎng)絡(luò)前綴);MN-HA證書的分發(fā)����;MIPv6消息封裝;網(wǎng)絡(luò)接入和MIPv6的單個鑒權(quán)實體���;和/或有態(tài)的(stateful)動態(tài)歸屬地址指定���。
當(dāng)使用通用容器屬性時,EAP優(yōu)選地被用作MIPv6相關(guān)數(shù)據(jù)的載體����,而不創(chuàng)建新的EAP方法。但是����,另一種變體是在該協(xié)議棧的方法層上的一個(或多個)EAP方法中引入通用容器屬性����。由此定義用于傳送MIPv6相關(guān)數(shù)據(jù)的新EAP方法�,并僅在該新EAP方法中使用通用容器屬性。換言之�����,以類似于關(guān)于EAP TLV屬性描述的方式�,通用容器屬性可以是方法特定的。
如前所述��,在AAA客戶22和AAAh 34之間�,EAP在AAA框架協(xié)議如直徑EAP應(yīng)用[7]或RADIUS[8�����,9]中承載����。但是,還提出使用新的/擴展的直徑應(yīng)用(或以新屬性擴展的RADIUS)以在AAAh34和HA 36之間交換AAA和MIPv6數(shù)據(jù)��。該直徑應(yīng)用可以是現(xiàn)有直徑應(yīng)用的擴展版本,例如直徑EAP應(yīng)用[7]或新的直徑應(yīng)用��。此新的/擴展的新直徑應(yīng)用(或擴展的RADIUS)下文稱為“直徑MIPv6應(yīng)用”�。應(yīng)該強調(diào)的是,此引用僅為簡明而使用��,并不排除使用擴展的RADIUS或其他方法來實現(xiàn)AAAh-HA通信��,包括上面在“載體協(xié)議示例”部分所提到的機制�����。
馬上將主要以EAP協(xié)議為例并仍參考圖1描述根據(jù)本發(fā)明使用通用容器屬性處理鑒權(quán)過程的首選方式���,鑒權(quán)過程包括歸屬代理和歸屬地址的指定��。
在鑒權(quán)過程期間���,MN 10通過通用容器屬性向AAAh 34指示,它希望在歸屬網(wǎng)絡(luò)30中指定HA 36?,F(xiàn)在有三種情況要考慮A)MN已經(jīng)具有有效的歸屬地址。
B)使用有態(tài)的動態(tài)歸屬地址指定���。
C)使用無態(tài)的歸屬地址自動配置��。
如果MN 10已經(jīng)具有歸屬地址(A)�,則它將其連同對歸屬代理地址的請求一起發(fā)送到AAAh 34。如果AAAh確定該歸屬地址是有效的�,則它選擇HA 36并生成MN-HA證書,如預(yù)共享密鑰或可以據(jù)以派生預(yù)共享密鑰的數(shù)據(jù)�����。MN的歸屬地址和生成的MN-HA證書可以例如經(jīng)由直徑MIPv6應(yīng)用被發(fā)送到所選的HA�����。所選HA的地址和生成的證書(或可以據(jù)以派生生成的證書的數(shù)據(jù))經(jīng)由擴展的鑒權(quán)協(xié)議例如擴展的EAP被發(fā)送到MN����。例如,如果將預(yù)共享密鑰發(fā)送到MN��,則需要由根據(jù)AAAh與MN之間的安全關(guān)系派生的密鑰(例如鑒權(quán)過程期間產(chǎn)生的會話密鑰)對它進行保護(加密和完整性保護)��。否則��,不應(yīng)該顯式地發(fā)送預(yù)共享密鑰����。替代地,可以發(fā)送可基于MN-AAAh安全關(guān)系據(jù)以派生預(yù)共享密鑰(或其他證書)的一塊數(shù)據(jù)�,例如現(xiàn)用值,(例如在使用EAP AKA[14]或EAP SIM[15]的情況下饋送到AKA或GSM鑒權(quán)算法的RAND參數(shù))����。如果將密碼保護應(yīng)用于這些證書,可以方便地對HA地址和歸屬地址使用相同類型的保護�����。
當(dāng)完成網(wǎng)絡(luò)接入鑒權(quán)且授權(quán)MN接入在接入服務(wù)器(例如WLANAP或接入路由器)以外的網(wǎng)絡(luò)時����,MN可以基于所獲得的證書經(jīng)由IKE(例如IKEv1或IKEv2)過程建立至指定HA的IPsec SA。此過程和隨后的綁定更新/綁定確認(BU/BA)交換使用常規(guī)的IKE和MIPv6機制來執(zhí)行���。
如果MN在對歸屬代理的請求中完全不包含歸屬地址或包含了不再有效的歸屬地址(例如因為MIPv6歸屬網(wǎng)絡(luò)重新編號)����,則應(yīng)該對該MN指定歸屬地址����。對此,本發(fā)明提出有態(tài)的動態(tài)歸屬地址指定(B)或無態(tài)的歸屬地址自動配置(C)的機制。
本發(fā)明允許有態(tài)的動態(tài)歸屬地址指定(B)���,由此AAAh 34對MN 10指定歸屬地址�����。AAAh還生成MN-HA證書��,它優(yōu)選地將其連同指定的歸屬地址經(jīng)由直徑MIPv6應(yīng)用發(fā)送到所選的HA 36��。AAAh還將指定的歸屬地址連同指定的HA的地址和生成的證書(或可以據(jù)以派生生成的證書的數(shù)據(jù))經(jīng)由本發(fā)明的擴展鑒權(quán)協(xié)議(以擴展的EAP為例)發(fā)送到MN�。如在情況(A)中�����,在通過擴展的鑒權(quán)協(xié)議發(fā)送之前對MN-HA證書進行保護�,或者備選地,不發(fā)送實際的證書而發(fā)送可以據(jù)以派生證書的數(shù)據(jù)����,如現(xiàn)用值。在結(jié)束網(wǎng)絡(luò)接入鑒權(quán)之后���,MN可以使用常規(guī)的IKE和MIPv6機制建立IPsec SA并執(zhí)行至指定HA的BU/BA交換。
如果使用歸屬地址的無態(tài)自動配置(C),則該過程依賴于所選EAP方法的往返數(shù)量����。響應(yīng)對HA 36的請求,AAAh 34將HA地址連同證書(或可據(jù)以派生證書的數(shù)據(jù))返回到MN 10���。MN通常使用所接收的HA地址的前綴來構(gòu)建歸屬地址�����。如果EAP過程未完成�,即如果HA地址是在EAP請求分組中傳送的而非在EAP成功分組中傳送�����,則MN將其歸屬地址發(fā)送到AAAh�����。AAAh然后將接收到的歸屬地址連同這些證書發(fā)送到指定的HA�����。然后HA應(yīng)該在它的子網(wǎng)上執(zhí)行所接收的歸屬地址的DAD���。如果重復(fù)地址檢測(DAD)成功����,則MN和HA稍后就可以使用常規(guī)的IKE和MIPv6機制建立IPsec SA并交換BU/BA分組。
如果MN改為在EAP過程的最終分組(即EAP成功分組)中接收到HA地址�����,則它無法將其新構(gòu)建的歸屬地址傳送到AAAh��。解決此問題即EAP往返的數(shù)量不足的一種方式是���,使AAAh利用用于允許傳送通用容器屬性的EAP通知請求/響應(yīng)分組來增加EAP往返的數(shù)量���。
所述機制的主要優(yōu)點在于,它們簡化了MN 10和HA 36的配置�。MN可以對其網(wǎng)絡(luò)接入配置參數(shù)(NAI和MN-AAAh安全關(guān)系)起杠桿作用,而且不需要MIPv6特定的配置��。HA將不需要任何MN特定的配置���,因為HA-AAAh安全關(guān)系足夠�。AAAh 34可以很大程度上構(gòu)成網(wǎng)絡(luò)接入和MIPv6的單一鑒權(quán)實體(雖然在HA中仍可以基于從AAAh接收到的數(shù)據(jù)執(zhí)行IKE鑒權(quán))�。
如果有效的MN-HA安全關(guān)聯(lián)(例如IPsec SA)已經(jīng)存在�����,則MN 10無需向AAAh 34請求HA地址。替代地可以通過將BU封裝在通用容器屬性中來降低整個接入延遲���,并經(jīng)由擴展的鑒權(quán)協(xié)議將其發(fā)送到AAAh���。AAAh優(yōu)選地將BU封裝在直徑MIPv6應(yīng)用消息中,并將其發(fā)送到由BU的目的地址指示的HA 36��。HA以BA響應(yīng)���,以及AAAh將該響應(yīng)中繼到MN����。封裝的BU和BA受到MN-HA IPsecSA的保護���。根據(jù)首選實施例���,AAAh檢查該HA地址有效,并檢查MIPv6歸屬網(wǎng)絡(luò)在將BU發(fā)送到HA之前尚未被重新編號����。如果HA地址不是有效的�����,則AAAh通常將此錯誤指示給MN�,并按如上所述指定HA���,即AAAh發(fā)送HA地址���、證書(或可據(jù)以派生證書的數(shù)據(jù))以及可能還有歸屬地址到MN等。
直徑MIPv6應(yīng)用有時還可以用于傳送HA 36中生成的計費數(shù)據(jù)�。例如當(dāng)采用逆向隧道傳送(即所有往返于MN的通信量經(jīng)由HA傳送并在MN和HA之間以隧道傳送時)并且歸屬營運商希望能夠驗證從AAAv 24接收到的計費數(shù)據(jù)時,這可以是有用的��。
那么���,將更詳細地描述根據(jù)本發(fā)明的通用容器屬性(GCA)的一些示范實施方式����。
優(yōu)選地���,GCA屬性可供所有方法使用�����,并可以被包含在任何EAP消息中����,包括EAP成功/失敗消息。這意味著它應(yīng)該是EAP層而非EAP方法層的一部分(參見[16])���。由此,要考慮的一個重要問題是就MN和EAP鑒權(quán)者(通常為網(wǎng)絡(luò)接入服務(wù)器(NAS)中的EAP實體)而言的向后兼容����。上述示例中通用容器屬性的使用假定,以向后兼容且對EAP鑒權(quán)者透明的方式在EAP中引入該新屬性�。引入含有這些特性的GCA需要一些特殊的考慮,下面的段落將對此進行詳細說明�����。
為了在下面的討論中參考�����,圖5示出目前的EAP分組格式[6��,16]。圖5A示出一般的EAP分組格式����,具有含代碼、標(biāo)識符和長度字段的EAP層報頭以及任選的數(shù)據(jù)字段�。指定的EAP代碼定義為1=請求,2=響應(yīng)���,3=成功以及4=失敗�。EAP成功/失敗分組的(代碼=3/4)和EAP請求/響應(yīng)分組(代碼=1/2)的格式分別在圖5B中說明��。指定的EAP類型1=身份�����,2=通知���,3=Nak����,4-...=鑒權(quán)方法�。
GCA的格式可以例如是兩字節(jié)的GCA長度指示符����,后跟GCA接受方指示符和GCA有效負荷。GCA接受方指示符然后指示EAP模塊應(yīng)將接收到的GCA的有效負荷發(fā)送到什么內(nèi)部實體(即該指示符對應(yīng)于IP報頭中的協(xié)議/下一個報頭字段或UDP和TCP報頭中的端口號)���。GCA有效負荷是不由EAP層解釋的通用數(shù)據(jù)塊����。沒有GCA例如可以通過將GCA長度指示符設(shè)為零來指示�。
為了實現(xiàn)向后兼容,GCA應(yīng)該以對直通EAP鑒權(quán)者透明的方式被包含在EAP分組中�����。直通EAP鑒權(quán)者是駐留在NAS中的EAP鑒權(quán)者����,它在MN和后端EAP鑒權(quán)服務(wù)器(AAA服務(wù)器)之間中繼EAP分組�����。EAP鑒權(quán)者的直通行為是基于EAP層報頭來中繼EAP分組�����,即EAP分組的開始位置中的代碼、標(biāo)識符和長度字段�。這意味著可以通過將GCA設(shè)置在EAP層報頭之后(即在代碼、標(biāo)識符和長度字段之后)來實現(xiàn)所期望的透明性和由此實現(xiàn)向后兼容�。
但是,EAP鑒權(quán)者一般還需要檢查EAP響應(yīng)分組的類型字段(在EAP層報頭之后)�,以識別EAP身份響應(yīng)分組,據(jù)此可以提取AAA路由選擇所需的NAI��。當(dāng)EAP鑒權(quán)者識別EAP身份響應(yīng)分組時����,它從類型字段之后的類型-數(shù)據(jù)字段提取NAI。因此�,將GCA置于緊隨EAP層報頭之后(以對EAP鑒權(quán)者透明的方式)僅在EAP請求分組中可能。因此��,一般首選是將GCA安排在類型字段之后或甚至(可能空終止)類型-數(shù)據(jù)字段之后��。
將GCA置于緊隨類型字段之后允許在除EAP身份響應(yīng)分組外的所有EAP響應(yīng)分組中使用GCA����。在EAP身份響應(yīng)分組中使用GCA會被禁止,因為從這些分組中�,EAP鑒權(quán)者需要從類型-數(shù)據(jù)字段提取NAI,而遺留EAP鑒權(quán)者預(yù)期在緊隨類型字段之后查找它��。考慮到EAP一般具有相當(dāng)少的往返��,這可能限制GCA的使用�。可能���,GCA可以被置于EAP身份響應(yīng)分組中的空終止類型-數(shù)據(jù)字段之后����,而在其他EAP分組中保持其在類型字段之后的位置���。
但是��,會經(jīng)常希望可以在所有EAP分組中一致使用的GCA的位置�����。從上述討論得出結(jié)論,可以以向后兼容的方式將GCA置于所有EAP分組中的位置是在分組的末端�,或多或少作為尾部。但是�,該GCA位置對于沒有類型-數(shù)據(jù)參數(shù)的顯式長度指示符而依賴于EAP層報頭中的長度字段的那些EAP分組可能導(dǎo)致問題。對于這樣的分組��,一般不可能將GCA與類型-數(shù)據(jù)字段區(qū)分。
為了克服此問題����,根據(jù)提出的具體的首選GCA實施例,將GCA長度指示符�、GCA接受方指示符以及GCA有效負荷的次序反轉(zhuǎn),使得GCA長度指示符最后出現(xiàn)����。通過將GCA置于EAP分組的末端,EAP分組的最后兩個八位位組(其長度由EAP層報頭中的長度字段指示)始終會是GCA長度指示符��。除非GCA長度指示符為零����,GCA接受方指示符出現(xiàn)在GCA長度指示符之前而GCA有效負荷(其大小由GCA長度指示符確定)位于GCA接受方指示符之前。這樣���,識別EAP分組的GCA并將GCA與類型-數(shù)據(jù)字段區(qū)分總是可能�����,同時GCA的使用仍是對直通EAP鑒權(quán)者透明的�����。圖6中示出根據(jù)本發(fā)明的首選GCA的位置和格式�。圖6A中示出通用格式的EAP分組中GCA的位置。GCA被作為尾部安排在分組的末端�。圖6B中示出建議的GCA格式,其中GCA長度指示符安排在最后�����,即在GCA有效負荷和GCA接受方指示符之后�。
與圖6的GCA實施例的向后兼容還假定,EAP鑒權(quán)者不嘗試從EAP請求/響應(yīng)分組提取信息(除了EAP層報頭和NAI)���,并且它接受成功/失敗分組中的長度字段指示大于4的值���。
處理向后兼容問題的備選方式是,使用EAP GCA測試請求/響應(yīng)分組(即具有類型字段的新定義值的新EAP分組)來判斷MN是否支持GCA�。在初始的EAP身份請求/響應(yīng)分組交換前或后,支持GCA的EAP鑒權(quán)者然后將EAP GCA測試請求分組(即具有專用類型值的EAP請求分組)發(fā)送到MN��。([17]中的EAP對等狀態(tài)機器指示兩種備選的發(fā)送時間都是可行的)���。如果MN支持GCA,則它以EAP GCA測試響應(yīng)分組響應(yīng)����。否則��,MN將EAP GCA測試請求分組解釋為使用未知EAP方法的請求����,并由此MN以EAP Nak分組響應(yīng)�。基于來自MN的響應(yīng)�,EAP鑒權(quán)者判斷MN是否支持GCA。
支持GCA的MN可以根據(jù)EAP GCA測試請求分組的有無來判斷EAP鑒權(quán)者是否支持GCA���。如果當(dāng)期望時(即在EAP身份請求/響應(yīng)交換前或后)接收到EAP GCA測試請求分組����,則認為EAP鑒權(quán)者支持GCA�。否則,MN得出結(jié)論��,EAP鑒權(quán)者不支持GCA����。
如果MN和EAP鑒權(quán)者都支持GCA,則可以將其置于所有隨后的EAP分組中的EAP層報頭之后(GCA分量為原始順序)�����。否則,GCA可以仍被包含在EAP分組中����,這些EAP分組使它可以以如上所述的向后兼容的方式被包含。
所述處理向后兼容問題的備選方式有一些局限�����。首先����,浪費了一個MN-EAP鑒權(quán)者往返。再者����,如果在初始的EAP身份請求/響應(yīng)分組交換之后交換EAP GCA測試請求/響應(yīng)分組,則GCA無法在EAP身份響應(yīng)分組中使用���。該實施例還可以要求EAP鑒權(quán)者(可能是NAS)使用EAP的修改版本����,例如EAPv2。因此��,雖然其他備選方式是可能的����,但是將GCA安排在EAP分組中的首選方式通常會是如圖6所示的���,由此可以對所有EAP分組實現(xiàn)與EAP鑒權(quán)者的向后兼容��。
如果對于在GCA中交換的數(shù)據(jù)��,EAP往返的數(shù)量不夠��,則為了傳送GCA���,AAAh可以通過EAP通知請求/響應(yīng)交換來增加EAP往返的數(shù)量。
如果GCA設(shè)為方法特定的����,則GCA不會引入任何與向后兼容相關(guān)的問題,因為它將然后通常是類型-數(shù)據(jù)字段的一部分�����。
在2004年2月的因特網(wǎng)草案[18]中�����,建議基于AAA基礎(chǔ)結(jié)構(gòu)的移動IPv6授權(quán)和配置。歸屬提供商AAA服務(wù)器與MIPv6的移動節(jié)點之間的必要交互是利用受保護的EAP來實現(xiàn)的�����,以將移動IPv6協(xié)商的信息與鑒權(quán)數(shù)據(jù)一起傳送�。但是,鑒于所述的根據(jù)本發(fā)明的通用容器屬性可以集成在EAP過程中��,在第二階段增加了[18]的MIPv6數(shù)據(jù)�����。本文所述解決方案的另一個有利特征涉及安全機制��。根據(jù)本發(fā)明���,對MN-AAAh安全關(guān)系起杠桿作用以確保證書不會被公開是可能的����。另一方面�����,[18]依賴于受保護的EAP來保護這些證書。再者��,[18]促使往返數(shù)量增加以及整個網(wǎng)絡(luò)接入延遲增加���,而本文提出的機制甚至可能降低整個網(wǎng)絡(luò)接入延遲。
擴展的解決方案-本地歸屬代理圖7圖示本發(fā)明的移動性支持機制的另一個示范實施例����,其中所說的“本地歸屬代理”26安排在受訪網(wǎng)絡(luò)20中。根據(jù)下文描述將可知���,本地HA 26可以以非常有利的方式用于補充歸屬網(wǎng)絡(luò)30中的HA 36�����。歸屬網(wǎng)絡(luò)中的HA和受訪網(wǎng)絡(luò)中的本地HA通常會是一次使用一個��,而不是同時使用�����。
該實施例是參考圖1所述的解決方案(下文還稱為“基本解決方案”)的擴展����,它可以例如使用方法特定的EAP屬性或通用容器屬性,且它需要AAAv 24中的MIPv6支持���。該擴展的解決方案的目標(biāo)場合是歸屬網(wǎng)絡(luò)30中沒有HA 36的情況���。替代地,動態(tài)地將本地HA 26指定給在受訪域20中的漫游MN 10���?;窘鉀Q方案被重用(如果歸屬網(wǎng)絡(luò)中沒有HA則不使用AAAh-HA通信(IV)的情況除外)�,并除此之外還擴展直徑MIPv6應(yīng)用,以使它可以在AAAh 34與AAAv24之間(VI)使用來允許在受訪域20中指定本地HA 26�����。直徑MIPv6應(yīng)用還在AAAv 24和本地HA 26之間(VII)使用�����。
由此�,MN 10和本地HA 26之間的路徑將是“遠程迂回(tromboning)”路徑(該路徑在兩個方向上遍歷AAAv-AAAh分支)MNAAA客戶AAAvAAAhAAAv本地HA(I、II��、III、VI���、VII)�����。但是����,未與AAA信令集成的MIPv6信令例如隨后的BU/BA交換將沿直接的MN-本地HA路徑(VIII)�。
因為依據(jù)基本解決方案���,路徑I�����、II����、III�����、IV的上述功能是重用的(歸屬網(wǎng)絡(luò)中沒有HA時IV除外),所以只需詳細描述本地HA指定的附加功能����。
指定本地HA 26實質(zhì)上意味著基本解決方案中描述的AAAh-HA通信轉(zhuǎn)為AAAh-AAAv-本地HA通信。因此�,總的MN-本地HA路徑具有以下結(jié)構(gòu)MN-AAA客戶-AAAv-AAAh-AAAv-本地HA。在此路徑中��,從MN以及至AAAh使用擴展的鑒權(quán)協(xié)議��,如擴展的EAP�����。在該路徑的AAA客戶-AAAv-AAAh部分中��,EAP在現(xiàn)有的AAA協(xié)議中承載��,例如直徑EAP應(yīng)用或RADIUS�。在該路徑的AAAh-AAAv-本地HA部分中,使用直徑MIPv6應(yīng)用�����。所傳送的信息實質(zhì)上與基本解決方案中的相同��。
仍參考圖7,表3中概括了根據(jù)本發(fā)明的用于擴展的MIPv6支持的段MN-AAA客戶-AAAv-AAAh-HA和AAAh-AAAv-本地HA之間的協(xié)議組合的示例����。在關(guān)于本地HA 26的情況中,AAAh 34將對HA的請求經(jīng)由AAA協(xié)議應(yīng)用轉(zhuǎn)發(fā)到適當(dāng)?shù)腁AAv 24����,優(yōu)選地經(jīng)由如直徑MIPv6應(yīng)用的直徑應(yīng)用,(但是還可以是例如RADIUS的擴展版本)���。通過路徑(II���,III)承載新的/擴展的鑒權(quán)協(xié)議并通過路徑(IV�����,VI�����,VII)傳送MIPv6數(shù)據(jù)的AAA框架協(xié)議應(yīng)用可以是例如直徑應(yīng)用�。
表3
首先假定歸屬網(wǎng)絡(luò)30中沒有HA 36。在此場合中�,對MN 10提供MIPv6支持的唯一方式是���,在受訪域20中指定本地HA 26。由此�,當(dāng)在AAAh 34中接收到對HA地址的請求時,AAAh將該請求經(jīng)由直徑MIPv6應(yīng)用轉(zhuǎn)發(fā)到AAAv 24����。AAAh還生成MN-HA證書,并且如果需要的話為MN生成歸屬地址�。這些證書和歸屬地址(或沒有歸屬地址的情況下為NAI)與對本地HA地址的請求一起發(fā)送到AAAv�。
當(dāng)接收對本地HA地址的請求時,AAAv 24選擇本地HA 26并利用直徑MIPv6應(yīng)用將證書和歸屬地址(或NAI)發(fā)送到所選的HA�。AAAv然后將本地HA地址返回到AAAh 34����。AAAv還可以生成MN-HA IPsec SA的SPI(由此在此擴展的解決方案中它們不由AAAh生成)。在上述情況中,AAAv將SPI之一發(fā)送到本地HA�����,并將另一個SPI連同本地HA地址一起返回到AAAh����。如果AAAh隨后從MN 10接收到無態(tài)配置(即自動配置的)歸屬地址,則可以利用直徑MIPv6應(yīng)用來將該歸屬地址傳送到AAAv和本地HA����。
隨后的IKE(IKEv1或IKEv2)過程(如果使用的話)和MIPv6過程與基本解決方案中描述的相同�����,除了MN 10直接與本地HA 26通信��,而不是與歸屬網(wǎng)絡(luò)30中的HA 36通信����。
現(xiàn)在假定歸屬網(wǎng)絡(luò)30中有HA 36。在這樣的情況中���,只要MN 10在歸屬網(wǎng)絡(luò)中的HA中具有有效的綁定�,則不應(yīng)該指定本地HA 26。如果MN在歸屬網(wǎng)絡(luò)中HA中不具有有效的綁定且向AAAh 34發(fā)送對HA地址的請求�,則它可以包括它是首選本地HA還是歸屬網(wǎng)絡(luò)中的HA的指示��。AAAh可以考慮該指示�,但是最終由AAAh決定應(yīng)該是將本地HA還是歸屬網(wǎng)絡(luò)中的HA指定給MN���。如果AAAh決定指定本地HA�,則該過程與上面關(guān)于歸屬網(wǎng)絡(luò)中不存在HA的情況描述的相同�。
隨后的IKE(IKEv1或IKEv2)過程(如果使用的話)和MIPv6過程與基本解決方案中所述的相同����,除了MN 10直接與本地HA 26通信,而不是與歸屬網(wǎng)絡(luò)30中的HA 36通信���。
在備選實施例中�����,允許MN 10向AAAh 34指示���,即使它在歸屬網(wǎng)絡(luò)30中的HA 36中具有有效的綁定���,它仍首選本地HA 26�����。在上述情況中����,AAAh會通常在指定本地HA前后命令歸屬網(wǎng)絡(luò)中的HA刪除綁定���。如果綁定仍存在且要同時使用本地HA和歸屬網(wǎng)絡(luò)中的HA���,則需要例如以分級MIPv6形式的附加功能。
假如存在所需的MN-本地HA IPsec SA��,在使用本地HA 26的情況中封裝BU/BA分組還是可能的�。與基本解決方案不同的是�����,封裝的BU/BA分組將然后通過路徑(VI+VII)而非(IV)來傳送。
通過總結(jié)上述一些方面����,可以看出圖9是用于支持移動節(jié)點的MIPv6業(yè)務(wù)的方法的基本示例的示意流程圖。在該示例中����,步驟S1-S4中所示的信息傳送和操作涉及移動節(jié)點的鑒權(quán)(S1)、MN-HA安全關(guān)聯(lián)的建立(S2)�、MIPv6配置(S3)和MIPv6綁定(S4)。步驟S2-S3通稱為授權(quán)階段�。步驟S1-S4可以或多或少以并行方式執(zhí)行(如果希望的話),以可以縮短整個建立時間�。在步驟S1,通過AAA基礎(chǔ)結(jié)構(gòu)傳送信息���,以在歸屬網(wǎng)絡(luò)端對移動節(jié)點鑒權(quán)����。在步驟S2,傳送MIPv6相關(guān)信息�,以立即建立或允許將來建立MN和HA之間的安全關(guān)聯(lián)。在步驟S3中���,執(zhí)行附加的MIPv6配置�,例如通過向移動節(jié)點和/或歸屬代理傳送配置參數(shù)以在其中進行適合的存儲�����。在步驟S4�����,移動節(jié)點發(fā)送綁定更新��,并在HA中建立MIPv6綁定����。
本發(fā)明的詳述示范實施例主要是參考目前的EAP[6,16]來討論����。但是應(yīng)該理解�,本發(fā)明非常適用于其他EAP版本,如EAPv2��,以及以所述方式擴展的其他鑒權(quán)協(xié)議���。EAP僅僅是可能的實施方式的示例�,并且本發(fā)明一般不局限于此���,而是可以備選地涉及非EAP方案�����。
在上述說明性示例中����,假定移動節(jié)點(MN)和AAAh具有公共共享秘密�����。例如這可能是移動節(jié)點中安裝的身份模塊與歸屬網(wǎng)絡(luò)之間共享的對稱密鑰�。身份模塊可以是本領(lǐng)域已知的任何防篡改身份模塊�����,包括GSM移動電話中使用的標(biāo)準(zhǔn)SIM卡�����、通用SIM(USIM)��、還稱為WIM的WAP SIM�、ISIM以及更普遍的UICC模塊。對于MN-HA安全關(guān)系�,可以由MN向AAAh傳送種子或現(xiàn)用值(或從相反方向����,即由AAAh始發(fā)種子并傳送到MN)��,AAAh據(jù)此可以基于共享秘密創(chuàng)建MN-HA安全密鑰��,例如預(yù)共享密鑰��。移動節(jié)點可以獨自生成相同的安全密鑰��,因為它始發(fā)種子/現(xiàn)用值(或從AAAh接收種子)并也具有共享秘密�。備選地,AAAh可以單獨生成MN-HA安全密鑰�,并將它們傳送到MN(受密碼保護)和HA。
雖然本發(fā)明是參考所示的特定實施例來描述的,但是應(yīng)強調(diào)的是��,它還涵蓋所公開特征的等效特征以及對于本領(lǐng)域技術(shù)人員顯而易見的修改和變體����。因此,本發(fā)明的范圍僅由所附的權(quán)利要求限定�。
縮略語AAA 鑒權(quán)��、授權(quán)和計費AAAh 歸屬AAA服務(wù)器AAAv 受訪AAA服務(wù)器AKA 鑒權(quán)和密鑰同意AP 接入點BA 綁定確認BU 綁定更新DAD 重復(fù)地址檢測EAP 可擴展鑒權(quán)協(xié)議EP 增強點GCA 通用容器屬性GSM 全球移動通信系統(tǒng)HA 歸屬代理IKE 因特網(wǎng)密鑰交換IP 因特網(wǎng)協(xié)議IpsecIP安全ISAKMP 因特網(wǎng)安全關(guān)聯(lián)和密鑰管理協(xié)議ISIM IM業(yè)務(wù)身份模塊MD5 消息摘要5MIPv6移動IP第6版MN 移動節(jié)點NAI 網(wǎng)絡(luò)接入標(biāo)識符NAS 網(wǎng)絡(luò)接入服務(wù)器PAA PANA鑒權(quán)代理PAC PANA客戶PANA 承載網(wǎng)絡(luò)接入鑒權(quán)的協(xié)議PPP 點到點協(xié)議
SA 安全關(guān)聯(lián)SIM 用戶身份模塊SPI 安全參數(shù)索引TLS 傳輸層安全TLV 類型長度值TTLS 隧道式TLSUICC 通用集成電路卡WAP 無線應(yīng)用協(xié)議WLAN 無線局域網(wǎng)參考文獻[1]“IPv6中的移動性支持(Mobility Support in IPv6)”���,D.Johnson���,C.Perkins,J.Arkko���,2003年6月30日[2]“直徑移動IPv6應(yīng)用(Diameter Mobile IPv6 Application)”���,Stefano M.Faccin����,F(xiàn)ranck Le,Basavaraj Patil��,Charles E.Perkins���,2003年4月[3]“用于承載網(wǎng)絡(luò)接入鑒權(quán)的協(xié)議(Protocol for CarryingAuthentication for Network Access)(PANA)”�����,D.Forsberg���,Y.Ohba�,B.Patil�,H.Tschofenig,A.Yegin��,2003年4月[4]“EAP隧道式TLS鑒權(quán)協(xié)議(EAP Tunneled TLSAuthentication Protocol)”���,Paul Funk,Simon Blake-Wilson��,2002年11月[5]IEEE標(biāo)準(zhǔn)802.1X���,局域網(wǎng)和城域網(wǎng)一基于端口的網(wǎng)絡(luò)接入控制[6]“PPP可擴展鑒權(quán)協(xié)議(PPP Extensible AuthenticationProtocol)(EAP)”����,RFC2284����,L.Blunk���,J.Vollbrecht,1998年3月[7]“直徑可擴展鑒權(quán)協(xié)議(EAP)應(yīng)用(Diameter ExtensibleAuthentication Protocol(EAP)Application)”���,T.Hiller���,G.Zorn,2003年3月[8]“遠程鑒權(quán)撥號用戶業(yè)務(wù)(Remote Authentication Dial In UserService)(RADIUS)”���,RFC2865�,C.Rigney����,S.Willens,A.Rubens�,W.Simpson,2000年6月[9]“RADIUS擴展(RADIUS Extensions)”��,RFC2869����,C.Rigney���,W.Willats��,P.Calhoun���,2000年6月[10]“直徑移動IPv4應(yīng)用(Diameter Mobile IPv4 Application)”�����,P.Calhoun�����,T.Johansson,C.Perkins�����,2003年4月29日[11]3GPP2 X.P0011 Ver.1.0-9��,3GPP2無線IP網(wǎng)絡(luò)標(biāo)準(zhǔn)�,2003年2月[12]“因特網(wǎng)密鑰交換(The Internet Key Exchange)(IKE)”��,RFC2409��,D.Harkins�����,D.Carrel�����,1998年11月[13]“因特網(wǎng)安全關(guān)聯(lián)和密鑰管理協(xié)議(Internet SecurityAssociation and Key Management Protocol)(ISAKMP)”��,RFC2408����,D.Maughan���,M.Schertler�,M.Schneider,J.Turner���,1998年11月[14]“EAP AKA鑒權(quán)(EAP AKA Authentication)”����,J.Arkko,H.Haverinen����,2003年10月[15]“EAP SIM鑒權(quán)(EAP SIM Authentication)”,H.Haverinen����,J.Salowey���,2003年10月[16]“可擴展鑒權(quán)協(xié)議(Extensible Authentication Protocol)(EAP)”�,L.Blunk,J.Vollbrecht����,B.Aboba,J.Carlson��,H.Levkowetz�,2003年9月[17]“EAP對等和鑒權(quán)者的狀態(tài)機(State Machines for EAP Peerand Authenticator)”,J.Vollbrecht�����,P.Eronen����,N.Petroni,Y.Ohba����,2003年10月[18]“基于EAP的MIPv6授權(quán)和配置(MIPv6 Authorization andConfiguration based on EAP)”,G.Giaretta��,I.Guardini���,E.Demaria�,2004年2月
權(quán)利要求
1.一種移動IP第6版(MIPv6)的鑒權(quán)和授權(quán)支持的方法,其特征在于����,通過AAA基礎(chǔ)結(jié)構(gòu)在位于受訪網(wǎng)絡(luò)(20)的移動節(jié)點(10)與所述移動節(jié)點的歸屬網(wǎng)絡(luò)(30)之間在端到端過程中以鑒權(quán)協(xié)議傳送MIPv6相關(guān)信息。
2.如權(quán)利要求1所述的方法���,其特征在于�����,所述鑒權(quán)協(xié)議是擴展的鑒權(quán)協(xié)議�����。
3.如權(quán)利要求1所述的方法���,其特征在于,所述端到端過程是在所述移動節(jié)點(10)和所述歸屬網(wǎng)絡(luò)(30)中的AAA服務(wù)器(34)之間��。
4.如權(quán)利要求3所述的方法�����,其特征在于����,還將MIPv6相關(guān)信息從所述歸屬網(wǎng)絡(luò)(30)中的AAA服務(wù)器(34)傳送到歸屬代理(26�����;36)����。
5.如權(quán)利要求1或4所述的方法��,其特征在于���,所述MIPv6相關(guān)信息包括從MIPv6鑒權(quán)����、授權(quán)和配置信息組成的組中選擇的信息。
6.如權(quán)利要求5所述的方法�����,其特征在于,所述MIPv6相關(guān)信息通過所述AAA基礎(chǔ)結(jié)構(gòu)傳送����,以在所述移動節(jié)點(10)和所述歸屬代理(26;36)之間立即或在將來建立MIPv6安全關(guān)聯(lián)��。
7.如權(quán)利要求5所述的方法��,其特征在于�����,所述MIPv6相關(guān)信息通過所述AAA基礎(chǔ)結(jié)構(gòu)傳送����,以在所述歸屬代理(26;36)中為所述移動節(jié)點(10)建立綁定��。
8.如權(quán)利要求2所述的方法�����,其特征在于,所述擴展的鑒權(quán)協(xié)議是擴展的可擴展鑒權(quán)協(xié)議(EAP)�����,以及所述MIPv6相關(guān)信息作為附加數(shù)據(jù)結(jié)合在所述EAP協(xié)議棧中�。
9.如權(quán)利要求8所述的方法,其特征在于�����,所述MIPv6相關(guān)信息在所述EAP協(xié)議棧中至少一個EAP屬性中傳送����。
10.如權(quán)利要求9所述的方法,其特征在于�����,所述MIPv6相關(guān)信息作為所述EAP協(xié)議棧中的方法層的EAP屬性來傳送�����。
11.如權(quán)利要求10所述的方法�,其特征在于�����,所述EAP屬性是EAP TLV屬性��。
12.如權(quán)利要求9所述的方法����,其特征在于����,所述MIPv6相關(guān)信息在可用于任何EAP方法的通用容器屬性中傳送。
13.如權(quán)利要求9所述的方法,其特征在于����,所述MIPv6相關(guān)信息在所述EAP協(xié)議棧中的方法層的方法特定的通用容器屬性中傳送。
14.如權(quán)利要求1所述的方法��,其特征在于��,在所述移動節(jié)點(10)與所述受訪網(wǎng)絡(luò)(20)中的AAA客戶(22)之間�,所述鑒權(quán)協(xié)議由從PANA��、IEEE 802.1X和PPP組成的組中選擇的協(xié)議來承載��。
15.如權(quán)利要求3所述的方法�,其特征在于���,在所述受訪網(wǎng)絡(luò)(20)中的AAA客戶(22)與所述歸屬網(wǎng)絡(luò)(30)中的AAA服務(wù)器(34)之間���,所述鑒權(quán)協(xié)議由的AAA框架協(xié)議應(yīng)用來承載�。
16.如權(quán)利要求4所述的方法,其特征在于��,所述MIPv6相關(guān)信息在AAA框架協(xié)議應(yīng)用中從所述歸屬網(wǎng)絡(luò)(30)中的AAA服務(wù)器(34)傳送到所述歸屬代理(26;36)。
17.如權(quán)利要求16所述的方法�����,其特征在于���,所述歸屬代理(26;36)是所述受訪網(wǎng)絡(luò)(20)中的本地歸屬代理(26)��,以及所述MIPv6相關(guān)信息經(jīng)由所述受訪網(wǎng)絡(luò)中的AAA服務(wù)器(24)從所述AAA歸屬服務(wù)器(34)傳送到所述本地歸屬代理。
18.如權(quán)利要求15或16所述的方法��,其特征在于����,所述AAA框架協(xié)議應(yīng)用是從直徑和RADIUS組成的組中選擇的協(xié)議的應(yīng)用���。
19.如權(quán)利要求4所述的方法,其特征在于����,在所述AAA歸屬網(wǎng)絡(luò)服務(wù)器(34)上將歸屬代理(26���;36)指定給所述移動節(jié)點(10);以及將所述移動節(jié)點與所述歸屬代理之間的安全關(guān)聯(lián)建立的證書相關(guān)數(shù)據(jù)從所述AAA歸屬網(wǎng)絡(luò)服務(wù)器分別分發(fā)到所述移動節(jié)點和所述歸屬代理�����。
20.如權(quán)利要求3所述的方法���,其特征在于��,在所述AAA歸屬網(wǎng)絡(luò)服務(wù)器(34)上將歸屬地址指定給所述移動節(jié)點(10)。
21.如權(quán)利要求20所述的方法����,其特征在于,利用所選EAP過程的往返配置所述移動節(jié)點(10)的歸屬地址��。
22.如權(quán)利要求19所述的方法���,其特征在于���,在所述移動節(jié)點(10)上利用它的指定歸屬代理(26��;36)的地址的至少一部分構(gòu)建所述移動節(jié)點的歸屬地址;以及利用所選EAP過程的往返將所述移動節(jié)點的歸屬地址從所述移動節(jié)點傳送到所述AAA歸屬網(wǎng)絡(luò)服務(wù)器(34)�。
23.如權(quán)利要求20或22所述的方法,其特征在于��,利用AAA框架協(xié)議應(yīng)用將所述移動節(jié)點(10)的歸屬地址從所述AAA歸屬網(wǎng)絡(luò)服務(wù)器(34)傳送到所述歸屬代理(26���;36)��。
24.一種MIPv6的鑒權(quán)和授權(quán)支持的系統(tǒng)��,其特征在于���,用于通過AAA基礎(chǔ)結(jié)構(gòu)在位于受訪網(wǎng)絡(luò)(20)的移動節(jié)點(10)與所述移動節(jié)點的歸屬網(wǎng)絡(luò)(30)之間在端到端過程中以鑒權(quán)協(xié)議傳送MIPv6相關(guān)信息的裝置��。
25.如權(quán)利要求24所述的系統(tǒng)�,其特征在于��,所述鑒權(quán)協(xié)議是擴展的鑒權(quán)協(xié)議�����。
26.如權(quán)利要求24所述的系統(tǒng)��,其特征在于���,所述端到端過程是在所述移動節(jié)點(10)和所述歸屬網(wǎng)絡(luò)(30)中的AAA服務(wù)器(34)之間�。
27.如權(quán)利要求26所述的系統(tǒng)�����,其特征在于�����,用于還將MIPv6相關(guān)信息從所述歸屬網(wǎng)絡(luò)(30)中的AAA服務(wù)器(34)傳送到歸屬代理(26����;36)的裝置。
28.如權(quán)利要求24或27所述的系統(tǒng)�,其特征在于,所述MIPv6相關(guān)信息包括從MIPv6鑒權(quán)�����、授權(quán)和配置信息組成的組中選擇的信息���。
29.如權(quán)利要求28所述的系統(tǒng)�����,其特征在于���,所述用于通過所述AAA基礎(chǔ)結(jié)構(gòu)傳送MIPv6相關(guān)信息的裝置包括用于在所述移動節(jié)點(10)和所述歸屬代理(26;36)之間立即或在將來建立MIPv6安全關(guān)聯(lián)的裝置�����。
30.如權(quán)利要求28所述的系統(tǒng)��,其特征在于��,所述用于通過所述AAA基礎(chǔ)結(jié)構(gòu)傳送MIPv6相關(guān)信息的裝置包括用于在所述歸屬代理(26����;36)中為所述移動節(jié)點(10)建立綁定的裝置�。
31.如權(quán)利要求25所述的系統(tǒng)�,其特征在于,所述擴展的鑒權(quán)協(xié)議是擴展的可擴展鑒權(quán)協(xié)議(EAP)��,以及所述MIPv6相關(guān)信息作為附加數(shù)據(jù)結(jié)合在所述EAP協(xié)議棧中����。
32.如權(quán)利要求31所述的系統(tǒng),其特征在于���,所述用于傳送所述MIPv6相關(guān)信息的裝置包括在所述EAP協(xié)議棧中的至少一個EAP屬性�����。
33.如權(quán)利要求32所述的系統(tǒng)����,其特征在于�,所述用于傳送所述MIPv6相關(guān)信息的裝置包括在所述EAP協(xié)議棧中的方法層的EAP屬性�。
34.如權(quán)利要求33所述的系統(tǒng)��,其特征在于�,所述EAP屬性是EAP TLV屬性��。
35.如權(quán)利要求32所述的系統(tǒng),其特征在于�,所述用于傳送所述MIPv6相關(guān)信息的裝置包括可用于任何EAP方法的通用容器屬性。
36.如權(quán)利要求32所述的系統(tǒng)��,其特征在于�,用于傳送所述MIPv6相關(guān)信息的裝置包括所述EAP協(xié)議棧中的方法層的方法特定的通用容器屬性。
37.如權(quán)利要求24所述的系統(tǒng)���,其特征在于�,在所述移動節(jié)點(10)與所述受訪網(wǎng)絡(luò)(20)中的AAA客戶(22)之間的鑒權(quán)協(xié)議由從PANA����、IEEE 802.1X和PPP組成的組中選擇的協(xié)議來承載。
38.如權(quán)利要求26所述的系統(tǒng)�,其特征在于��,所述鑒權(quán)協(xié)議由所述受訪網(wǎng)絡(luò)(20)中的AAA客戶(22)與所述歸屬網(wǎng)絡(luò)(30)中的AAA服務(wù)器(34)之間的AAA框架協(xié)議應(yīng)用來承載�。
39.如權(quán)利要求27所述的系統(tǒng)�,其特征在于,所述MIPv6相關(guān)信息在AAA框架協(xié)議應(yīng)用中從所述歸屬網(wǎng)絡(luò)(30)中的AAA服務(wù)器(34)傳送到所述歸屬代理(26�����;36)�����。
40.如權(quán)利要求39所述的系統(tǒng)�����,其特征在于�,所述歸屬代理(26;36)是所述受訪網(wǎng)絡(luò)(20)中的本地歸屬代理(26)���,以及所述MIPv6相關(guān)信息經(jīng)由所述受訪網(wǎng)絡(luò)中的AAA服務(wù)器(24)從所述AAA歸屬服務(wù)器(34)傳送到所述本地歸屬代理�。
41.如權(quán)利要求38或39所述的系統(tǒng)�����,其特征在于���,所述AAA框架協(xié)議應(yīng)用是從直徑和RADIUS組成的組中選擇的協(xié)議的應(yīng)用�����。
42.如權(quán)利要求27所述的系統(tǒng)�����,其特征在于����,用于在所述AAA歸屬網(wǎng)絡(luò)服務(wù)器(34)上將歸屬代理(26���;36)指定給所述移動節(jié)點(10)的裝置����;以及用于將所述移動節(jié)點與所述歸屬代理之間的安全關(guān)聯(lián)建立的證書相關(guān)數(shù)據(jù)從所述AAA歸屬網(wǎng)絡(luò)服務(wù)器分別分發(fā)到所述移動節(jié)點和所述歸屬代理的裝置��。
43.如權(quán)利要求26所述的系統(tǒng)�����,其特征在于,用于在所述AAA歸屬網(wǎng)絡(luò)服務(wù)器(34)上將歸屬地址指定給所述移動節(jié)點(10)的裝置���。
44.如權(quán)利要求43所述的系統(tǒng)����,其特征在于�����,用于利用所選EAP過程的往返配置所述移動節(jié)點(10)的歸屬地址的裝置��。
45.如權(quán)利要求42所述的系統(tǒng)�����,其特征在于��,用于在所述移動節(jié)點(10)上利用它的指定歸屬代理(26�;36)的地址的至少一部分構(gòu)建所述移動節(jié)點的歸屬地址的裝置;以及用于利用所選EAP過程的往返將所述移動節(jié)點的歸屬地址從所述移動節(jié)點傳送到所述AAA歸屬網(wǎng)絡(luò)服務(wù)器(34)的裝置���。
46.如權(quán)利要求43或45所述的系統(tǒng)����,其特征在于,用于利用AAA框架協(xié)議應(yīng)用將所述移動節(jié)點(10)的歸屬地址從所述AAA歸屬網(wǎng)絡(luò)服務(wù)器(34)傳送到所述歸屬代理(26�;36)的裝置。
47.一種移動IP第6版(MIPv6)的鑒權(quán)和授權(quán)支持的AAA歸屬網(wǎng)絡(luò)服務(wù)器(34)�,其特征在于����,用于將歸屬代理(26;36)指定給移動節(jié)點(10)的裝置���;以及用于將所述移動節(jié)點與所述歸屬代理之間的安全關(guān)聯(lián)建立的證書相關(guān)數(shù)據(jù)分別分發(fā)到所述移動節(jié)點和所述歸屬代理的裝置�。
48.如權(quán)利要求47所述的服務(wù)器��,其特征在于��,用于將歸屬地址指定給所述移動節(jié)點(10)的裝置�。
49.如權(quán)利要求48所述的服務(wù)器,其特征在于��,用于利用所選EAP過程的往返配置所述移動節(jié)點(10)的歸屬地址的裝置���。
50.如權(quán)利要求48所述的服務(wù)器�,其特征在于,用于利用AAA框架協(xié)議應(yīng)用將所述移動節(jié)點(10)的歸屬地址傳送到所述歸屬代理(26����;36)的裝置。
全文摘要
為了在漫游于外地網(wǎng)絡(luò)(20)中的移動節(jié)點(10)與歸屬代理(36)之間建立MIPv6安全關(guān)聯(lián)以及為了簡化MIPv6相關(guān)配置����,憑借優(yōu)選擴展的鑒權(quán)協(xié)議通過AAA基礎(chǔ)結(jié)構(gòu)在端到端過程中傳送MIPv6相關(guān)信息。首選實施例將EAP用作擴展的鑒權(quán)協(xié)議的基礎(chǔ)����,通過如下步驟來創(chuàng)建EAP擴展將MIPv6相關(guān)信息作為附加數(shù)據(jù)結(jié)合在EAP協(xié)議棧中,例如作為EAP協(xié)議棧的EAP方法層中的EAP屬性或在EAP層或EAP方法層上的通用容器屬性中傳送�����。所提出的MIPv6鑒權(quán)/授權(quán)機制的主要優(yōu)點在于�����,它對受訪域(20)是透明的�,從而使AAA客戶(22)和AAAv(24)可以在該過程中僅充當(dāng)直通代理。
文檔編號H04W8/04GK1836417SQ200480023321
公開日2006年9月20日 申請日期2004年6月15日 優(yōu)先權(quán)日2003年6月18日
發(fā)明者J·王山, 加藤良司, J·呂納, T·拉松 申請人:艾利森電話股份有限公司