專利名稱：在cdma系統(tǒng)中支持移動ip第6版業(yè)務的方法、系統(tǒng)和設備的制作方法
技術領域：
本發(fā)明一般涉及移動通信，并且更具體地涉及在CDMA系統(tǒng)中對移動IP第6版業(yè)務的支持。
背景技術：
移動IP(MIP)使移動節(jié)點可以以極小的服務中斷來更改它到因特網(wǎng)的連接點。MIP本身不提供任何對跨不同管理域的移動性的特定支持，這限制了大規(guī)模商業(yè)部署中MIP的可應用性。
MIP第6版(MIPv6)協(xié)議[1]使節(jié)點可以在因特網(wǎng)拓撲內(nèi)移動，同時保持可達性和與通信節(jié)點的正進行連接。在此情況中，每個移動節(jié)點總是由它的歸屬地址來標識，而不管它到IPv6因特網(wǎng)的當前連接點。當遠離它的歸屬網(wǎng)絡時，移動節(jié)點還與轉(zhuǎn)交地址相關聯(lián)，轉(zhuǎn)交地址提供有關移動節(jié)點的當前位置的信息。將尋址到移動節(jié)點的歸屬地址的IPv6分組或多或少透明地路由選擇到它的轉(zhuǎn)交地址(CoA)。MIPv6協(xié)議使IPv6節(jié)點能夠高速緩存移動節(jié)點的歸屬地址與它的轉(zhuǎn)交地址的綁定，并然后將發(fā)往移動節(jié)點的任何分組發(fā)送到轉(zhuǎn)交地址。為此，每次移動時，移動節(jié)點發(fā)送所說的綁定更新到它的歸屬代理(HA)以及與它正在通信的通信節(jié)點。
允許MIPv6的移動節(jié)點，如蜂窩電話、膝上型計算機和其他端用戶設備，從而可以在屬于它們的歸屬服務提供商以及其他提供商的網(wǎng)絡之間漫游。可以在外地網(wǎng)絡中漫游是因為營運商之間存在服務級別和漫游協(xié)定。MIPv6提供單個管理域內(nèi)的會話連續(xù)性，但是依賴于鑒權、授權和計費(AAA)基礎結(jié)構(gòu)的可用性來跨不同的管理域(即當在歸屬營運商所管理的網(wǎng)絡之外漫游時)提供它的業(yè)務。
雖然移動IPv6可以被視為完整的移動性協(xié)議，但是為了能夠大規(guī)模部署還需要便于部署MIPv6的更多的和/或改進的機制。具體來說，缺乏便于在CDMA系統(tǒng)(如CDMA2000)中使用MIPv6的解決方案。在目前的3GPP2 CDMA2000框架內(nèi)，規(guī)定了移動IPv4操作和簡單IPv4/IPv6操作[2]。但是，對于移動IPv6操作沒有對應的規(guī)范，而且尚未定義3GPP2將如何采用MIPv6。因此非常期望在CDMA2000內(nèi)允許移動IPv6操作的解決方案。由此，用于與鑒權相關的事宜的適當機制是至關重要的。再者，為了允許平滑的移動IPv6操作，往往期望縮短MN因移動到新域并獲取新的授權CoA而變得暫時不可達時的切換時間。
因此，非常需要一種適用于CDMA2000和類似的CDMA框架的MIPv6鑒權機制，并且具體來說需要一種允許比較短的切換/建立時間的機制。

發(fā)明內(nèi)容
本發(fā)明的一般目的是支持CDMA系統(tǒng)中的MIPv6業(yè)務。本發(fā)明的特定目的是允許在諸如CDMA2000和CDMAOne的框架內(nèi)的MIPv6鑒權和/或授權。另一個目的是實現(xiàn)CDMA系統(tǒng)中MIPv6通信的分組數(shù)據(jù)會話建立時間的改善。本發(fā)明還有一個目的是提供一種用于CDMA框架內(nèi)MIPv6切入(hand-in)的一般機制。
這些目的根據(jù)所附的權利要求來實現(xiàn)。
本發(fā)明基本上涉及CDMA框架中MIPv6的鑒權和授權支持，并且是基于通過AAA基礎結(jié)構(gòu)在位于受訪網(wǎng)絡的移動節(jié)點與移動節(jié)點的歸屬網(wǎng)絡之間在端到端過程中以鑒權協(xié)議傳送MIPv6相關信息。MIPv6相關信息通?？梢园∕IPv6鑒權、授權和/或配置信息。鑒權協(xié)議優(yōu)選地是擴展的鑒權協(xié)議，但是還可以使用完全新近定義的協(xié)議。
優(yōu)選地，端到端過程在移動節(jié)點和歸屬網(wǎng)絡的AAA服務器之間執(zhí)行，根據(jù)需要和當需要時與歸屬代理適當?shù)亟换?。在受訪網(wǎng)絡中，較低層建立(包括無線鏈路建立)之后，例如在移動節(jié)點與適合的CDMA特定的網(wǎng)絡互連接入服務器(如分組數(shù)據(jù)服務節(jié)點(PDSN))之間建立點到點通信。接入服務器/PDSN然后或多或少直接或經(jīng)由受訪網(wǎng)絡中的AAA服務器與AAA歸屬網(wǎng)絡服務器通信，以實施移動節(jié)點的MIPv6鑒權和授權。
例如，本發(fā)明可以使用可擴展協(xié)議(EAP)作為擴展的鑒權協(xié)議的基礎，創(chuàng)建EAP擴展同時通常保持EAP較低層完整。這通常意味著MIPv6相關信息作為附加數(shù)據(jù)結(jié)合在EAP協(xié)議棧中。
鑒權協(xié)議優(yōu)選地在移動節(jié)點與接入服務器(PDSN)之間由PPP(點到點協(xié)議)、CSD-PPP(電路交換數(shù)據(jù)-PPP)或PANA(承載網(wǎng)絡接入鑒權的協(xié)議)來承載，以及在接入服務器(PDSN)與AAA歸屬網(wǎng)絡服務器之間在AAA基礎結(jié)構(gòu)內(nèi)由諸如直徑和RADIUS的AAA框架協(xié)議應用來承載。
優(yōu)選地通過使用例如PPP或CSD-PPP來實現(xiàn)移動節(jié)點與接入服務器(PDSN)之間的點到點通信的初始化和配置，其中CSD-PPP的使用顯著地減少了往返的數(shù)量以及由此縮短了分組數(shù)據(jù)會話建立時間。有利地，接入服務器(PDSN)例如通過發(fā)出標準的PPP/LCP分組，并緊隨PPP/CHAP和/或PPP/EAP分組來向移動節(jié)點提供使用CSD-PPP作為PPP的備選的可能性。移動節(jié)點然后可以在PPP和CSD-PPP之間選擇。如果移動節(jié)點選擇使用PPP，則它忽略不是PPP/LCP的消息。如果移動節(jié)點選擇使用CSD-PPP，則可以同時處理LCP(鏈路控制協(xié)議)、網(wǎng)絡鑒權和NCP(網(wǎng)絡控制協(xié)議)階段。
MIPv6鑒權和/或授權的三種主要場合標識為MIPv6發(fā)起、MIPv6切入和MIPv6重新鑒權。優(yōu)選地將適合于MIPv6的EAP擴展用于MIPv6發(fā)起和重新鑒權，而CHAP(詢問握手鑒權協(xié)議)的使用已經(jīng)證明是對含MIPv6鑒權的MIPv6切入有益的。
憑借本發(fā)明，首次實現(xiàn)了一種在CDMA框架中的MIPv6鑒權的完整的總解決方案，而在現(xiàn)有技術中僅具有彼此不一致的局部解決方案。通過在此情況中采用CSD-PPP，可以顯著縮短分組數(shù)據(jù)會話建立時間。再者，對諸如EAP擴展的鑒權協(xié)議的依賴提供了一種流線式解決方案，它易于管理且一流，向后兼容問題最少。EAP的使用還使受訪網(wǎng)絡中的AAA組件可以至少在HA位于歸屬網(wǎng)絡時對MIPv6過程不可知(agnostic)(即這去除對受訪網(wǎng)絡中的MIPv6支持的依賴)，并僅充當直通(pass-through)代理。
所提出的解決方案尤其適用于在例如根據(jù)3GPP2規(guī)范的CDMA2000內(nèi)的MIPv6鑒權，但是還可以用于其他諸如CDMAOne和將來的CDMA框架的其他框架。
附圖簡介通過參考以下說明及附圖，可以更好地理解本發(fā)明，圖中

圖1示出用于移動IP接入的一般3GPP2參考模型；圖2是可以使用本發(fā)明的用于移動IP接入的CDMA網(wǎng)絡的示意圖；圖3是根據(jù)本發(fā)明示范實施例的一般用于處理MIPv6發(fā)起的信號流程圖；圖4是根據(jù)本發(fā)明另一個示范實施例的一般用于處理MIPv6發(fā)起的信號流程圖；圖5是根據(jù)本發(fā)明示范實施例的含MIPv6鑒權的MIPv6發(fā)起的信號流程圖；圖6是根據(jù)本發(fā)明另一個示范實施例的含MIPv6鑒權的MIPv6發(fā)起的信號流程圖；圖7是根據(jù)本發(fā)明再一個示范實施例的含MIPv6鑒權的MIPv6發(fā)起的信號流程圖；圖8是根據(jù)本發(fā)明示范實施例的含MIPv6鑒權的MIPv6切入的信號流程圖；圖9是根據(jù)本發(fā)明另一個示范實施例的含MIPv6鑒權的MIPv6切入的信號流程圖；圖10是根據(jù)本發(fā)明示范實施例的MIPv6重新鑒權的信號流程圖；圖11是根據(jù)本發(fā)明另一個示范實施例的MIPv6重新鑒權的信號流程圖；圖12是根據(jù)本發(fā)明示范實施例的網(wǎng)絡互連接入服務器的示意框圖；圖13是示出根據(jù)本發(fā)明示范實施例的AAA歸屬網(wǎng)絡服務器的示意框圖；以及圖14是根據(jù)本發(fā)明用于CDMA系統(tǒng)中支持移動節(jié)點的MIPv6業(yè)務的方法的基本示例的示意流程圖。
具體實施例方式
在說明書的最后給出本文檔中所用的縮略語列表。
圖1示出用于移動IP接入的一般3GPP2參考模型。其中圖示了移動臺從源RN和服務PDSN切換到目標RN和目標PDSN的情況。圖1的AAA服務器以RADIUS服務器為例來說明，但是完全可以用其他AAA服務器來替換，包括根據(jù)直徑協(xié)議工作的服務器。
圖2是可以使用本發(fā)明的用于移動IP接入的CDMA通信系統(tǒng)的示意圖。圖2的CDMA示意體系結(jié)構(gòu)可以視為圖1中的模型的簡化和通用化版本。示出在不是移動節(jié)點相關聯(lián)的歸屬網(wǎng)絡的外地網(wǎng)絡/受訪網(wǎng)絡中漫游的移動節(jié)點(MN)10，例如蜂窩電話、膝上型計算機或PDA。在受訪網(wǎng)絡中，MN 10通過無線電網(wǎng)絡(RN)21與網(wǎng)絡互連接入服務器(以分組數(shù)據(jù)服務節(jié)點(PDSN)22為例來說明)通信，網(wǎng)絡互連接入服務器管理到MN 10的物理層連接。網(wǎng)絡互連接入服務器22提供無線電網(wǎng)絡和IP網(wǎng)絡之間的網(wǎng)絡互連，并且在某種意義上與充當外地代理的AAA客戶相當。雖然PDSN是用于CDMA2000的特定節(jié)點，但是其他CDMA框架中可以有等效物。由此，PDSN通常發(fā)起MN 10的鑒權、授權和計費。
如圖2所示，PDSN 22通過包括一個或多個AAA服務器24、34的AAA基礎結(jié)構(gòu)連接到MN 10的歸屬網(wǎng)絡中的歸屬代理(HA)36。HA 36通常由用戶的服務提供商來維護，它管理例如用戶登記和將分組重定向到PDSN。AAA服務器總的用途是與PDSN和其他AAA服務器交互以對移動客戶授權、鑒權和(任選地)執(zhí)行計費。這通常涉及提供可以在MN 10和HA 36之間實現(xiàn)安全關聯(lián)的機制。
移動IP鑒權和授權經(jīng)常涉及以下基本步驟。MN 10連接到最近的PDSN/外地代理22。PDSN又一般經(jīng)由AAAv服務器24利用接入請求消息與AAAh服務器34聯(lián)系，以對用戶鑒權并獲取適當?shù)乃淼纻魉?tunneling)參數(shù)、IP地址等。如果鑒權成功，則AAA服務器授權該用戶，并可以建立MN 10和HA 36之間的安全關聯(lián)。一般是HA 36指定IP地址和對用戶通信量路由選擇。
據(jù)我們知道的，現(xiàn)有技術中尚未提出MIPv6鑒權和/或授權支持的完整解決方案。一些提議針對端到端AAA鏈的部分(例如[3]針對AAA客戶和AAA服務器之間的部分，PANA[4]協(xié)議針對MN與AAA客戶之間的部分)，但是這些局部解決方案彼此不一致，且不能端到端有效。再者，[3]的常規(guī)機制要求AAA客戶和AAAv理解鑒權方法，并知道MN與AAAh之間MIPv6相關數(shù)據(jù)交換的內(nèi)容。利用這樣的解決方案，不可能在MN和AAAh之間應用現(xiàn)有的加密，而且系統(tǒng)在竊聽、中間人攻擊等方面變得非常易受攻擊。
具體地，如背景技術部分中提到的，在諸如CDMA2000的框架中沒有用于MIPv6鑒權和/或授權的現(xiàn)有技術機制，因此非常需要這樣的機制，尤其是與比較短的切換/建立時間相關聯(lián)的機制。
為了滿足該需要，本發(fā)明提出通過AAA基礎結(jié)構(gòu)在位于受訪網(wǎng)絡的移動節(jié)點與移動節(jié)點的歸屬網(wǎng)絡之間在端到端過程中采用鑒權協(xié)議，優(yōu)選地以一種新方式組合諸如上述PPP、CSD-PPP、PANA和直徑/RADIUS協(xié)議來實現(xiàn)適用于諸如CDMA2000的CDMA系統(tǒng)的鑒權和/或授權過程。MIPv6相關信息優(yōu)選地包括通過AAA基礎結(jié)構(gòu)傳送的鑒權、授權和/或配置信息，以在移動節(jié)點和歸屬代理之間建立MIPv6安全關聯(lián)(即安全關系)或綁定。
優(yōu)選地，端到端過程根據(jù)需要和當需要時通過與歸屬代理的適當交互在移動節(jié)點和歸屬網(wǎng)絡的AAA服務器之間執(zhí)行。圖13是根據(jù)本發(fā)明的這樣的AAA歸屬網(wǎng)絡服務器的首選實施例的示意框圖。在此示例中，AAAh服務器34基本上包括歸屬地址指定模塊51、歸屬代理(HA)指定模塊52、安全關聯(lián)模塊53、授權信息管理器54和輸入/輸出(I/O)接口55。模塊51優(yōu)選地執(zhí)行歸屬地址指定(除非歸屬地址在移動節(jié)點配置并被發(fā)送到HA)，以及模塊52可操作用于指定和/或重新指定適合的歸屬代理(HA)。AAAh服務器34通常還從移動節(jié)點接收密鑰種子和綁定更新(BU)。備選地，AAAh服務器34本身生成密鑰種子并將其發(fā)送到移動節(jié)點。安全關聯(lián)模塊53優(yōu)選地生成所需的安全密鑰以響應該種子，并將該密鑰安全傳送到HA。還將綁定更新(BU)轉(zhuǎn)發(fā)到歸屬代理(HA)，以便HA可以高速緩存移動節(jié)點的歸屬地址與轉(zhuǎn)交地址的綁定。AAAh服務器還可以從HA接收諸如IPSec信息的信息，以完成安全關聯(lián)。然后可以將該信息連同其他收集的授權(和/或配置)信息存儲在任選的授權信息管理器54中，以隨后傳送到移動節(jié)點。
在受訪網(wǎng)絡中，通常在移動節(jié)點與適合的網(wǎng)絡互連接入服務器(如PDSN)之間建立點到點通信，網(wǎng)絡互連接入服務器例如提供無線電網(wǎng)絡和IP網(wǎng)絡之間所需的網(wǎng)絡互連。圖12是這樣的網(wǎng)絡互連接入服務器的首選實施例的示意框圖。網(wǎng)絡互連接入服務器22包括例如經(jīng)由PPP或CSD-PPP與移動節(jié)點通信的模塊41以及與AAA服務器和類似的節(jié)點通信的模塊42。
授權階段自然地包括顯式授權，但是還可以包括所涉及節(jié)點的配置。因此MIPv6相關配置(如移動節(jié)點的配置和/或HA的配置)通常被視為整個授權過程的一部分。
術語“AAA”應該取其因特網(wǎng)草案、RFC和其他標準化文檔中的一般含義。通常，AAA(授權、鑒權、計費)基礎結(jié)構(gòu)的鑒權和安全密鑰同意基于對稱密碼學，意味著在移動節(jié)點和歸屬網(wǎng)絡營運商或可信方之間存在共享的初始秘密。在一些場合和應用中，例如可以禁用或不實施AAA基礎結(jié)構(gòu)的計費特征。AAA基礎結(jié)構(gòu)一般在歸屬網(wǎng)絡和/或受訪網(wǎng)絡中包括一個或多個AAA服務器，而且還可以包括一個或多個AAA客戶。任選地，還可以在AAA基礎結(jié)構(gòu)中包括一個或多個中間網(wǎng)絡。
在下文中，將參考三種主要的MIPv6場合MIPv6發(fā)起、MIPv6切入和MIPv6重新鑒權，來概述CDMA框架中MIPv6鑒權和/或授權的一些基本特征。
對于MIP發(fā)起，當沒有現(xiàn)有的MIPv6業(yè)務可用時，執(zhí)行包括無線鏈路建立的較低層配置，并且然后需要發(fā)起和配置在移動節(jié)點和PDSN或受訪網(wǎng)絡中的等效節(jié)點之間的點到點通信。點到點通信的配置優(yōu)選地通過使用例如PPP或CSD-PPP來實現(xiàn)。CSD-PPP的使用顯著地減少往返的數(shù)量，并由此縮短分組數(shù)據(jù)會話建立時間。
本發(fā)明優(yōu)選地使用擴展的鑒權協(xié)議作為傳送MIPv6相關數(shù)據(jù)的鑒權協(xié)議的基礎，下文將主要以這樣的擴展協(xié)議為例來說明。例如，本發(fā)明可以使用可擴展鑒權協(xié)議(EAP)作為擴展的鑒權協(xié)議的基礎，將用于鑒權、授權和/或配置的MIPv6相關信息作為附加數(shù)據(jù)結(jié)合在EAP協(xié)議棧中。盡管如此，應該強調(diào)的是，從最初構(gòu)建的鑒權協(xié)議也屬于本發(fā)明的范圍。
一旦配置了移動節(jié)點和PDSN或等效節(jié)點之間的通信，則在移動節(jié)點與PDSN之間可以例如由PPP、CSD-PPP或PANA來承載擴展的鑒權協(xié)議，以及在AAA基礎結(jié)構(gòu)內(nèi)由諸如直徑和RADIUS的AAA框架協(xié)議應用傳送到AAA歸屬網(wǎng)絡服務器。
為了IP地址指定，例如將DHCP用于IP地址指定是可能的。備選地，可以將PPP/CSD-PPP的NCP(IPv6CP)階段用于接口-ID指定，以及將IPv6路由器征詢/公告用于獲取IPv6地址的全局前綴。有關IPv6中地址配置的一般信息，參考[5]。
對于MIPv6切入，當切換需要重新建立必要的荷載以使正進行MIPv6業(yè)務可以繼續(xù)時，已經(jīng)證明將CHAP協(xié)議用于鑒權是有益的，例如將PPP或CSD-PPP用于配置點到點通信和作為協(xié)議載體。
對于MIPv6重新鑒權，例如當移動節(jié)點與歸屬代理之間的信任關系截止時，在移動節(jié)點和PDSN之間通常已經(jīng)有建立的點到點通信。與MIPv6發(fā)起的情況相似，移動節(jié)點和PDSN之間優(yōu)選地由PPP或PANA來承載擴展的鑒權協(xié)議，以及在AAA基礎結(jié)構(gòu)內(nèi)由諸如直徑和RADIUS的AAA框架協(xié)議應用傳送到AAA歸屬網(wǎng)絡服務器。
如上面提到的，例如，在MN 10和PDSN 22(或通信節(jié)點)之間可以由PANA或PPP來承載擴展的鑒權協(xié)議(例如擴展的EAP)。備選地，與令人滿意的較低層排序保證相關聯(lián)的其他載體協(xié)議如IEEE802.1X[6]可以用于承載擴展的鑒權協(xié)議。對于3GPP2 CDMA2000系統(tǒng)，使用PPP數(shù)據(jù)鏈路層協(xié)議封裝是可能的，對于EAP[7]，協(xié)議字段值設為C227(Hex)。
應該強調(diào)的是，雖然本發(fā)明對于CDMA2000是非常有利的，但是它還可以用于其他框架，如CDMAOne和基于CDMA技術的其他(目前的或?qū)淼?框架/操作模式。
在下面的段落中，將描述上面提到的將PPP和CSD-PPP協(xié)議用于配置點到點通信和/或作為擴展的鑒權協(xié)議(例如擴展的EAP)和/或CHAP的載體。
在3GPP2 CDMA2000內(nèi)，PPP[8]可以用于結(jié)合移動和簡單IP操作建立分組數(shù)據(jù)會話，因此必要的PPP交換在切換期間落在延遲關鍵路徑內(nèi)。對于簡單IPv4/IPv6操作和移動IPv4操作的情況，如在3GPP2 CDMA2000中規(guī)定的PPP的使用是不同的。對于簡單IPv4/IPv6操作，PPP的鑒權階段用于CHAP鑒權，而PPP的NCP(IPCP/IPv6CP[9])階段用于IP地址指定。對于IPv4操作，PPP內(nèi)不執(zhí)行鑒權階段，而在PPP的NCP(IPCP)階段不請求IP地址。
在現(xiàn)有技術中，沒有制定關于在CDMA系統(tǒng)中將PPP用于移動IPv6操作的規(guī)范/定義。但是，對將PPP用于移動IPv6操作的解決方案的迫切需要是它們至少向后兼容目前的PPP使用。根據(jù)本發(fā)明的一些有利實施例滿足了該需要，這些實施例引入了在CDMA系統(tǒng)中結(jié)合移動IPv6支持的CSD-PPP的使用。除了確保與目前PPP使用的互操作性外，CSD-PPP在可以根據(jù)CSD-PPP調(diào)整兩個對等協(xié)議實體的情況中使配置時間大大縮短。
基本上，通過修改PPP實現(xiàn)縮短的配置時間。一般思想是，當2個CSD-PPP對等方通信時，將不再需要嚴格區(qū)分PPP的LCP、鑒權和NCP階段。即LCP、鑒權和NCP階段可以同時發(fā)生，從而縮短整個PPP配置時間。再者，在一個PPP對等方是根據(jù)CSD-PPP修改的而另一方不是的情況中，修改的對等方退回到與PPP相符。這是以既不減少也不增加PPP配置時間的方式執(zhí)行。有關一般CSD-PPP機制的信息可以參見例如[10]。
為了更好地理解本發(fā)明，馬上將描述根據(jù)本發(fā)明首選實施例的示范擴展鑒權協(xié)議。這些示范實施例使用EAP作為擴展的鑒權協(xié)議的基礎，創(chuàng)建EAP擴展同時往往保持EAP較低層完整。但是應該理解，本發(fā)明并不局限于此，并且還可以以類似的方式擴展其他一般的鑒權協(xié)議。具體對于EAP的情況，將MIPv6相關信息通常作為附加數(shù)據(jù)結(jié)合在EAP協(xié)議棧中，通常是憑借一個或多個新的EAP屬性。下文在“方法特定的EAP屬性”和“通用容器屬性”部分中描述用于實施這樣的EAP屬性的不同解決方案。
方法特定的EAP屬性根據(jù)本發(fā)明的一個具體實施例，MIPv6相關信息作為EAP協(xié)議棧的EAP方法層中的EAP屬性來傳送。然后定義新的(擴展的)EAP鑒權協(xié)議來承載用于MIPv6鑒權的方法。該擴展的EAP協(xié)議應該優(yōu)選地允許協(xié)商/增強MIPv6鑒權，并且還可以支持便于例如動態(tài)MN歸屬地址分配、動態(tài)HA分配、HA和MN之間分發(fā)安全密鑰以及在PAC和PAA之間分發(fā)安全密鑰以實現(xiàn)PANA安全的一些輔助信息。
這些新的EAP屬性可以是例如，新的EAP TLV屬性，并且馬上將提供示范的協(xié)議的詳細內(nèi)容以說明整個流程和概念的可行性。
以下的EAP-TLV是可以在本發(fā)明的擴展EAP協(xié)議下定義的新的EAP TLV的示例i)MD5詢問EAP-TLV屬性ii)MD5響應EAP-TLV屬性iii)MIPv6歸屬地址請求EAP-TLV屬性iv)MIPv6歸屬地址響應EAP-TLV屬性v)MIPv6歸屬代理地址請求EAP-TLV屬性vi)MIPv6歸屬代理地址響應EAP-TLV屬性vii)HA-MN預共享密鑰生成現(xiàn)用值EAP-TLV屬性viii)IKE KeyID EAP-TLV屬性ix)HA-MN IPSec SPI EAP-TLV屬性x)HA-MN IPSec密鑰有效期EAP-TLV屬性xi)PAC-PAA預共享密鑰生成現(xiàn)用值EAP-TLV屬性xiii)MIPv6歸屬地址EAP-TLV屬性xiii)HA-MN預共享密鑰EAP-TLV屬性xiv)HA-MN IPSec協(xié)議EAP-TLV屬性xv)HA-MN IPSec密碼EAP-TLV屬性xvi) MIP-綁定-更新EAP-TLV屬性xvii)MIP-綁定-確認EAP-TLV屬性憑借這些屬性(的子集或全部)，除了主要的IPv6鑒權信息之外，EAP協(xié)議還可以承載MIPv6相關的輔助信息，這是非常有利的。MIPv6相關的輔助信息可以包括例如，對動態(tài)MN歸屬地址分配、動態(tài)歸屬代理分配的請求以及創(chuàng)建必要的安全密鑰的現(xiàn)用值/種子。
根據(jù)本發(fā)明的擴展EAP協(xié)議的鑒權機制可以例如使用MD5-詢問鑒權，但是其他類型的協(xié)議也屬于本發(fā)明的范圍。在通過MD5-詢問鑒權來實施的情況中，可以定義以下用于MIPv6鑒權的EAP-TLV屬性
i)MD5詢問EAP-TLV屬性這表示AAAh隨機生成并發(fā)送到MN以實現(xiàn)MD5詢問的八位位組串。
ii)MD5響應EAP-TLV屬性這表示作為MD5散列函數(shù)的結(jié)果生成的連同AAAh和MN之間的預共享秘密密鑰的八位位組串。
如果要傳送便于動態(tài)MN歸屬地址分配的MIPv6相關信息，則可以例如定義以下的EAP-TLV屬性iii)MIPv6歸屬地址請求EAP-TLV屬性這表示對鑒權的MN的動態(tài)分配的MIPv6歸屬地址的請求。在MN最初請求被鑒權和被給予MIPv6業(yè)務時，由MN向AAAh請求它。當MN已經(jīng)具有先前指定的歸屬地址時，例如MIPv6切換期間，該EAP屬性通常定義為任選屬性。
iv)MIPv6歸屬地址響應EAP-TLV屬性這表示鑒權的MN的動態(tài)分配的MIPv6歸屬地址。在對已經(jīng)請求歸屬地址的MN成功鑒權時，從AAAh將其通知給MN。當MN已經(jīng)具有先前指定的歸屬地址時，例如MIPv6切換期間，該屬性通常是任選的。
對于動態(tài)HA分配，可以使用以下示范的EAP-TLV屬性v)MIPv6歸屬代理地址請求EAP-TLV屬性這表示當成功鑒權時對MN的動態(tài)分配的HA的地址的請求。在MN最初請求被鑒權和被給予MIPv6業(yè)務時，由MN向AAAH請求它。如果HA分配已經(jīng)是現(xiàn)成的，如當MIPv6協(xié)議的動態(tài)HA發(fā)現(xiàn)方法用于分配HA時或當MN已經(jīng)具有先前指定的HA時(例如MIPv6切換期間)，該屬性通常定義為任選的。
vi)MIPv6歸屬代理地址響應EAP-TLV屬性這表示鑒權的MN的動態(tài)分配的HA地址。當MN最初請求被鑒權和被給予MIPv6業(yè)務時，從AAAh將其通知給MN。因為對于歸屬代理分配，MIPv6協(xié)議具有動態(tài)的歸屬代理發(fā)現(xiàn)方法，所以該屬性通常是任選的。當MN已經(jīng)具有先前指定的HA時，例如MIPv6切換期間，該屬性也是任選的。
可以定義以下示范的EAP-TLV屬性以在HA和MN之間分發(fā)安全密鑰vii)HA-MN預共享密鑰生成現(xiàn)用值EAP-TLV屬性這表示MN隨機生成的作為用于生成HA-MN之間預共享密鑰的種子的八位位組串。通過對該現(xiàn)用值和MN與AAAh之間的共享密鑰的組合使用適當?shù)纳⒘兴惴?，MN可以內(nèi)部生成HA-MN預共享密鑰。當已經(jīng)存在有效的HA-MN預共享密鑰時，例如MIPv6切換期間，該屬性通常是任選的。
viii)IKE KeyID EAP-TLV屬性這表示[11]中定義的ID有效負荷。KeyID由AAAh生成，并當成功鑒權時被發(fā)送到MN。KeyID包括一些八位位組，它告知HA關于如何從AAAh檢索(或生成)HA-MN預共享密鑰。該屬性通常定義為任選的，以及當MN尚未提交HA-MN預共享密鑰生成現(xiàn)用值即已經(jīng)存在有效的HA-MN預共享密鑰時，例如MIPv6切換期間，一般不需要該屬性。在HA-MN預共享密鑰由AAAh經(jīng)由[12]中定義的AAAh-HA接口傳送到HA時的情況中通常也不需要該屬性。
ix)HA-MN IPSec SPI EAP-TLV屬性這表示HA和MN之間的IPSec的安全參數(shù)索引。如果HA-MN預共享密鑰由AAAh經(jīng)由[12]中定義的AAAh-HA接口傳送到HA，則由HA生成該屬性，并將其傳遞到MN。該屬性通常是任選的，以及當MN尚未提交HA-MN預共享密鑰生成現(xiàn)用值即已經(jīng)存在有效的HA-MN預共享密鑰時，例如MIPv6切換期間，一般不需要它。當未使用[12]中定義的AAAh-HA接口時，也不需要它。
x)HA-MN IPSec密鑰有效期EAP-TLV屬性這表示HA和MN之間的IPSec的密鑰有效期。如果HA-MN預共享密鑰由AAAh經(jīng)由[12]中定義的AAAh-HA接口傳送到HA，則由HA生成該屬性，并將其傳遞到MN。該屬性通常是任選的，以及當MN尚未提交HA-MN預共享密鑰生成現(xiàn)用值即已經(jīng)存在有效的HA-MN預共享密鑰時，例如MIPv6切換期間，一般不需要該屬性。當不使用[12]中定義的AAAh-HA接口時，通常也不需要它。
如果PANA用于在MN和PDSN/AAA客戶之間承載擴展的EAP協(xié)議，則可以定義以下示范的EAP-TLV屬性以在MN/PAC和PDSN/AAA客戶/PAA之間分發(fā)安全密鑰以實現(xiàn)PANA安全xi)PAC-PAA預共享密鑰生成現(xiàn)用值EAP-TLV屬性這表示MN/PAC隨機生成的作為用于生成MN/PAC和PDSN/AAA客戶/PAA之間的預共享密鑰的種子的八位位組串。通過對該現(xiàn)用值和MN與AAAh之間的共享密鑰的組合使用適當?shù)纳⒘兴惴?，MN/PAC可以內(nèi)部生成PAC-PAA預共享密鑰。憑借該屬性，可以實現(xiàn)令人滿意的PANA安全。
最后，為特殊的MIPv6，可以定義以下任選的EAP-TLV屬性xii)MIPv6歸屬地址EAP-TLV屬性這表示鑒權的MN的動態(tài)分配的MIPv6歸屬地址。在對例如已經(jīng)請求的MN成功鑒權時從AAAh將其通知給HA，以在HA中指定MIPv6歸屬地址。
xiii)HA-MN預共享密鑰EAP-TLV屬性這表示HA-MN之間的動態(tài)生成的預共享密鑰。當MN請求被鑒權和被給予MIPv6業(yè)務時，從AAAh將其通知給HA。通過對由HA-MN預共享密鑰生成現(xiàn)用值EAP-TLV屬性給出的現(xiàn)用值和MN與AAAh之間的共享密鑰的組合使用適當?shù)纳⒘兴惴ǎ珹AAh可以內(nèi)部生成HA-MN預共享密鑰。當已經(jīng)存在有效的HA-MN預共享密鑰時，該屬性是任選的。
xiv)HA-MN IPSec協(xié)議EAP-TLV屬性這表示HA-MN之間的IPSec協(xié)議(例如ESP或AH)。對于HA-MN預共享密鑰由AAAh傳送到HA時的情況，這被通知給MN。該屬性是任選的，以及當MN未提交HA-MN預共享密鑰生成現(xiàn)用值即已經(jīng)存在有效的HA-MN預共享密鑰時，例如MIPv6切換期間，一般不需要該屬性。
xv)HA-MN IPSec密碼EAP-TLV屬性這表示HA-MN之間的IPSec的密碼算法。對于HA-MN預共享密鑰由AAAh傳送到HA時的情況，這被通知給MN。該屬性是任選的，以及當MN未提交HA-MN預共享密鑰生成現(xiàn)用值即已經(jīng)存在有效的HA-MN預共享密鑰時，例如MIPv6切換期間，一般不需要該屬性。
xvi)MIP-綁定-更新EAP-TLV屬性這表示MN生成的綁定更新分組。這在鑒權和授權交換中經(jīng)由AAAh從MN轉(zhuǎn)發(fā)到HA。該屬性是任選的，以及當MN將綁定更新分組直接發(fā)送到HA時，一般不需要該屬性。
xvii)MIP-綁定-確認EAP-TLV屬性這表示HA生成的綁定確認分組。這在鑒權和授權交換中經(jīng)由AAAh從HA轉(zhuǎn)發(fā)到MN。該屬性是任選的，以及當HA將綁定確認分組直接發(fā)送到MN時，一般不需要該屬性。
下表1中給出所描述的用于傳送MIPv6相關信息的示范EAP-TLV的概括矩陣。
表1


信令流程圖即圖3和4中提供了根據(jù)本發(fā)明的用于處理MIPv6發(fā)起的示范方案。示出了在MN、接入路由器、AAAh和HA之間利用上述示范EAP TLV屬性實施的MIPv6相關信息的傳送。接入路由器可以例如包括PDSN功能，在這點上對應于AAA客戶功能。術語“EAP/MIPv6”指用于在本發(fā)明首選實施例中通過AAA基礎結(jié)構(gòu)傳送MIPv6相關信息的新的擴展EAP協(xié)議。圖3和4的具體示例涉及使用PANA與直徑的組合作為載體協(xié)議的MIPv6 AAA，但是本發(fā)明并不局限于此，這將稍后通過圖5-11的流程圖理解。圖3中的流程圖示出利用根據(jù)[12]的AAAh-HA接口來交換HA-MN預共享密鑰的MIPv6發(fā)起。圖4所示的MIPv6發(fā)起機制的另一個實施例使用IKEKeyID來交換HA-MN預共享密鑰。圖4的信令流描述根據(jù)本發(fā)明示范實施例的MIPv6切換。
通用容器屬性在本發(fā)明的另一個實施例中，MIPv6相關信息在通用容器EAP屬性中承載，它優(yōu)選地可以與任何EAP分組中所含的任何EAP方法一起使用。由此EAP以通用容器屬性(還稱為GCA)來增補，通用容器屬性可以用于在MN 10和AAAh 34之間承載非EAP相關數(shù)據(jù)，更具體地即MIPv6相關數(shù)據(jù)。這使MN和AAAh可以以對受訪域透明的方式通信，受訪域包括接入網(wǎng)、PDSN/AAA客戶和AAAv 24。由此，正如上面關于方法特定的EAP TLV屬性描述的情況一樣，利用AAA基礎結(jié)構(gòu)來以優(yōu)選地對受訪域透明的方式支持MIPv6相關的特征。該解決方案可以例如支持歸屬網(wǎng)絡中的動態(tài)HA指定(包括歸屬網(wǎng)絡前綴)；MN-HA證書的分發(fā)；MIPv6消息封裝；網(wǎng)絡接入和MIPv6的單個鑒權實體；和/或有態(tài)的(stateful)動態(tài)歸屬地址指定。
當使用通用容器屬性時，EAP優(yōu)選地被用作MIPv6相關數(shù)據(jù)的載體，而不創(chuàng)建新的EAP方法。但是，另一種變體是在該協(xié)議棧的方法層上的一個(或多個)EAP方法中引入通用容器屬性。由此定義用于傳送MIPv6相關數(shù)據(jù)的新EAP方法，并僅在該新EAP方法中使用通用容器屬性。換言之，以類似于關于EAP TLV屬性描述的方式，通用容器屬性可以是方法特定的。
如前所述，在PDSN/AAA客戶22和AAAh 34之間，EAP在AAA框架協(xié)議如直徑EAP應用[13]或RADIUS[14，15]中承載。但是，還提出使用新的/擴展的直徑應用(或以新屬性擴展的RADIUS)以在AAAh 34和HA 36之間交換AAA和MIPv6數(shù)據(jù)。該直徑應用可以是現(xiàn)有直徑應用的擴展版本，例如直徑EAP應用[13]或新的直徑應用。此新的/擴展的新直徑應用(或擴展的RADIUS)下文稱為“直徑MIPv6應用”。應該強調(diào)的是，此引用僅為簡明而使用，并不排除使用擴展的RADIUS或其他方法來實現(xiàn)AAAh-HA通信。
馬上將主要以EAP協(xié)議為例并參考圖2描述根據(jù)本發(fā)明使用通用容器屬性處理鑒權過程的首選方式，鑒權過程包括歸屬代理和歸屬地址的指定。
在鑒權過程期間，MN 10通過通用容器屬性向AAAh 34指示，它希望在歸屬網(wǎng)絡30中指定HA 36?，F(xiàn)在有三種主要情況要考慮A)MN已經(jīng)具有有效的歸屬地址。
B)使用有態(tài)的動態(tài)歸屬地址指定。
C)使用無態(tài)的歸屬地址自動配置。
如果MN 10已經(jīng)具有歸屬地址(A)，則它將其連同對歸屬代理地址的請求一起發(fā)送到AAAh 34。如果AAAh確定該歸屬地址是有效的，則它選擇HA 36并生成MN-HA證書，如預共享密鑰或可以據(jù)以派生預共享密鑰的數(shù)據(jù)。MN的歸屬地址和生成的MN-HA證書可以例如經(jīng)由直徑MIPv6應用被發(fā)送到所選的HA。所選HA的地址和生成的證書(或可以據(jù)以派生生成的證書的數(shù)據(jù))經(jīng)由擴展的鑒權協(xié)議例如擴展的EAP被發(fā)送到MN。例如，如果將預共享密鑰發(fā)送到MN，則需要由根據(jù)AAAh與MN之間的安全關系派生的密鑰(例如鑒權過程期間產(chǎn)生的會話密鑰)對它進行保護(加密和完整性保護)。否則，不應該顯式地發(fā)送預共享密鑰。替代地，可以發(fā)送可基于MN-AAAh安全關系據(jù)以派生預共享密鑰(或其他證書)的一塊數(shù)據(jù)，例如現(xiàn)用值，(例如在使用EAP AKA[16]或EAP SIM[17]的情況下饋送到AKA或GSM鑒權算法的RAND參數(shù))。如果將密碼保護應用于這些證書，可以方便地對HA地址和歸屬地址使用相同類型的保護。
當完成網(wǎng)絡接入鑒權且授權MN接入在接入服務器(例如WLANAP或接入路由器)以外的網(wǎng)絡時，MN可以基于所獲得的證書經(jīng)由IKE(例如IKEv1或IKEv2)過程建立至指定HA的IPsec SA。此過程和隨后的BU/BA交換使用常規(guī)的IKE和MIPv6機制來執(zhí)行。
如果MN在對歸屬代理的請求中完全不包含歸屬地址或包含了不再有效的歸屬地址(例如因為MIPv6歸屬網(wǎng)絡重新編號)，則應該對該MN指定歸屬地址。對此，本發(fā)明提出有態(tài)的動態(tài)歸屬地址指定(B)或無態(tài)的歸屬地址自動配置(C)的機制。
本發(fā)明允許有態(tài)的動態(tài)歸屬地址指定(B)，由此AAAh 34對MN 10指定歸屬地址。AAAh還生成MN-HA證書，它優(yōu)選地將其連同指定的歸屬地址經(jīng)由直徑MIPv6應用發(fā)送到所選的HA 36。AAAh還將指定的歸屬地址連同指定的HA的地址和生成的證書(或可以據(jù)以派生生成的證書的數(shù)據(jù))經(jīng)由本發(fā)明的擴展鑒權協(xié)議(以擴展的EAP為例)發(fā)送到MN。如在情況(A)中，在通過擴展的鑒權協(xié)議發(fā)送之前對MN--HA證書進行保護，或者備選地，不發(fā)送實際的證書而發(fā)送可以據(jù)以派生證書的數(shù)據(jù)，如現(xiàn)用值。在結(jié)束網(wǎng)絡接入鑒權之后，MN可以使用常規(guī)的IKE和MIPv6機制建立IPsec SA并執(zhí)行至指定HA的BU/BA交換。
如果使用歸屬地址的無態(tài)自動配置(C)，則該行為依賴于所選EAP方法的往返數(shù)量。響應對HA 36的請求，AAAh 34將HA地址連同證書(或可據(jù)以派生證書的數(shù)據(jù))返回到MN 10。MN通常使用所接收的HA地址的前綴來構(gòu)建歸屬地址。如果EAP過程未完成，即如果HA地址是在EAP請求分組中傳送的而非在EAP成功分組中傳送，則MN將其歸屬地址發(fā)送到AAAh。AAAh然后將接收到的歸屬地址連同這些證書發(fā)送到指定的HA。然后HA應該在它的子網(wǎng)上執(zhí)行所接收的歸屬地址的DAD。如果DAD成功，則MN和HA稍后就可以使用常規(guī)的IKE和MIPv6機制建立IPsec SA并交換BU/BA分組。
如果MN改為在EAP過程的最終分組(即EAP成功分組)中接收到HA地址，則它無法將其新構(gòu)建的歸屬地址傳送到AAAh。解決此問題即EAP往返的數(shù)量不足的一種方式是，使AAAh利用用于允許傳送通用容器屬性的EAP通知請求/響應分組來增加EAP往返的數(shù)量。
所述機制的主要優(yōu)點在于，它們簡化了MN 10和HA 36的配置。MN可以對其網(wǎng)絡接入配置參數(shù)(NAI和MN-AAAh安全關系)起杠桿作用，而且不需要MIPv6特定的配置。HA將不需要任何MN特定的配置，因為HA-AAAh安全關系足夠。AAAh 34可以很大程度上構(gòu)成網(wǎng)絡接入和MIPv6的單一鑒權實體(雖然在HA中仍可以基于從AAAh接收到的數(shù)據(jù)執(zhí)行IKE鑒權)。
如果有效的MN-HA安全關聯(lián)(例如IPsec SA)已經(jīng)存在，則MN 10無需向AAAh 34請求HA地址。替代地可以通過將BU封裝在通用容器屬性中來降低整個接入延遲，并經(jīng)由擴展的鑒權協(xié)議將其發(fā)送到AAAh。AAAh優(yōu)選地將BU封裝在直徑MIPv6應用消息中，并將其發(fā)送到由BU的目的地址指示的HA 36。HA以BA響應，以及AAAh將該響應中繼到MN。封裝的BU和BA受到MN-HA IPsecSA的保護。根據(jù)首選實施例，AAAh檢查該HA地址有效，并檢查MIPv6歸屬網(wǎng)絡在將BU發(fā)送到HA之前尚未被重新編號。如果HA地址不是有效的，則AAAh通常將此錯誤指示給MN，并按如上所述指定HA，即AAAh發(fā)送HA地址、證書(或可據(jù)以派生證書的數(shù)據(jù))以及可能還有歸屬地址到MN等。
直徑MIPv6應用有時還可以用于傳送HA 36中生成的計費數(shù)據(jù)。例如當采用逆向隧道傳送并且歸屬營運商希望能夠驗證從AAAv24接收到的計費數(shù)據(jù)時，這可以是有用的。
那么，將更詳細地描述根據(jù)本發(fā)明的通用容器屬性(GCA)的一些示范實施方式。
優(yōu)選地，GCA屬性可供所有方法使用，并可以被包含在任何EAP消息中，包括EAP成功/失敗消息。這意味著它應該是EAP層而非EAP方法層的一部分(參見[18])。由此，要考慮的一個重要問題是就MN和EAP鑒權者(通常為網(wǎng)絡接入服務器(NAS)中的EAP實體)而言的向后兼容。上述示例中通用容器屬性的使用假定，以向后兼容且對EAP鑒權者透明的方式在EAP中引入該新屬性。引入含有這些特性的GCA需要一些特殊的考慮，下面的段落將對此進行詳細說明。
GCA的格式可以例如是兩字節(jié)的GCA長度指示符，后跟GCA接受方指示符和GCA有效負荷。GCA接受方指示符然后指示EAP模塊應將接收到的GCA的有效負荷發(fā)送到什么內(nèi)部實體(即該指示符對應于IP報頭中的協(xié)議/下一個報頭字段或UDP和TCP報頭中的端口號)。GCA有效負荷是不由EAP層解釋的通用數(shù)據(jù)塊。沒有GCA例如可以通過將GCA長度指示符設為零來指示。
為了實現(xiàn)向后兼容，GCA應該以對直通EAP鑒權者透明的方式被包含在EAP分組中。直通EAP鑒權者是駐留在NAS中的EAP鑒權者，它在MN和后端EAP鑒權服務器(AAA服務器)之間中繼EAP分組。EAP鑒權者的直通行為是基于EAP層報頭來中繼EAP分組，即EAP分組的開始位置中的代碼、標識符和長度字段。這意味著可以通過將GCA設置在EAP層報頭之后(即在代碼、標識符和長度字段之后)來實現(xiàn)所期望的透明性和由此實現(xiàn)向后兼容。
但是，EAP鑒權者一般還需要檢查EAP響應分組的類型字段(在EAP層報頭之后)，以識別EAP身份響應分組，據(jù)此可以提取AAA路由選擇所需的NAI。當EAP鑒權者識別EAP身份響應分組時，它從類型字段之后的類型-數(shù)據(jù)字段提取NAI。因此，將GCA置于緊隨EAP層報頭之后(以對EAP鑒權者透明的方式)僅在EAP請求分組中可能。因此，一般首選是將GCA安排在類型字段之后或甚至(可能空終止)類型-數(shù)據(jù)字段之后。
將GCA置于緊隨類型字段之后允許在除EAP身份響應分組外的所有EAP響應分組中使用GCA。在EAP身份響應分組中使用GCA會被禁止，因為從這些分組中，EAP鑒權者需要從類型-數(shù)據(jù)字段提取NAI，而遺留EAP鑒權者預期在緊隨類型字段之后查找它。考慮到EAP一般具有相當少的往返，這可能限制GCA的使用?？赡?，GCA可以被置于EAP身份響應分組中的空終止類型-數(shù)據(jù)字段之后，而在其他EAP分組中保持其在類型字段之后的位置。
但是，會經(jīng)常希望可以在所有EAP分組中一致使用的GCA的位置。從上述討論得出結(jié)論，可以以向后兼容的方式將GCA置于所有EAP分組中的位置是在分組的末端，或多或少作為尾部。但是，該GCA位置對于沒有類型-數(shù)據(jù)參數(shù)的顯式長度指示符而依賴于EAP層報頭中的長度字段的那些EAP分組可能導致問題。對于這樣的分組，一般不可能將GCA與類型-數(shù)據(jù)字段區(qū)分。
為了克服此問題，根據(jù)提出的具體的首選GCA實施例，將GCA長度指示符、GCA接受方指示符以及GCA有效負荷的次序反轉(zhuǎn)，使得GCA長度指示符最后出現(xiàn)。通過將GCA置于EAP分組的末端，EAP分組的最后兩個八位位組(其長度由EAP層報頭中的長度字段指示)始終會是GCA長度指示符。除非GCA長度指示符為零，GCA接受方指示符出現(xiàn)在GCA長度指示符之前而GCA有效負荷(其大小由GCA長度指示符確定)位于GCA接受方指示符之前。這樣，識別EAP分組的GCA并將GCA與類型-數(shù)據(jù)字段區(qū)分總是可能，同時GCA的使用仍是對直通EAP鑒權者透明的。
與圖6的GCA實施例的向后兼容還假定，EAP鑒權者不嘗試從EAP請求/響應分組提取信息(除了EAP層報頭和NAI)，并且它接受成功/失敗分組中的長度字段指示大于4的值。
處理向后兼容問題的備選方式是，使用EAP GCA測試請求/響應分組(即具有類型字段的新定義值的新EAP分組)來判斷MN是否支持GCA。在初始的EAP身份請求/響應分組交換前或后，支持GCA的EAP鑒權者然后將EAP GCA測試請求分組(即具有專用類型值的EAP請求分組)發(fā)送到MN。([19]中的EAP對等狀態(tài)機器指示兩種備選的發(fā)送時間都是可行的)。如果MN支持GCA，則它以EAP GCA測試響應分組響應。否則，MN將EAP GCA測試請求分組解釋為使用未知EAP方法的請求，并由此MN以EAP Nak分組響應?；趤碜訫N的響應，EAP鑒權者判斷MN是否支持GCA。
支持GCA的MN可以根據(jù)EAP GCA測試請求分組的有無來判斷EAP鑒權者是否支持GCA。如果當期望時(即在EAP身份請求/響應交換前或后)接收到EAP GCA測試請求分組，則認為EAP鑒權者支持GCA。否則，MN得出結(jié)論，EAP鑒權者不支持GCA。
如果MN和EAP鑒權者都支持GCA，則可以將其置于所有隨后的EAP分組中的EAP層報頭之后(GCA分量為原始順序)。否則，GCA可以仍被包含在EAP分組中，這些EAP分組使它可以以如上所述的向后兼容的方式被包含。
所述處理向后兼容問題的備選方式有一些局限。首先，浪費了一個MN-EAP鑒權者往返。再者，如果在初始的EAP身份請求/響應分組交換之后交換EAP GCA測試請求/響應分組，則GCA無法在EAP身份響應分組中使用。該實施例還可以要求EAP鑒權者(例如NAS)使用EAP的修改版本，例如EAPv2。因此，雖然其他備選方式是可能的，但是將GCA安排在EAP分組中的首選方式通常會是在分組末端作為尾部，GCA長度指示符在最后，在GCA有效負荷和GCA接受方指示符之后。
如果對于在GCA中交換的數(shù)據(jù)，EAP往返的數(shù)量不夠，則為了傳送GCA，AAAh可以通過EAP通知請求/響應交換來增加EAP往返的數(shù)量。
如果GCA設為方法特定的，則GCA不會引入任何與向后兼容相關的問題，因為它將然后通常是類型-數(shù)據(jù)字段的一部分。
專門為CDMA框架定制的示范實施方式在下文中，將描述根據(jù)本發(fā)明的MIPv6實施方式的若干示范實施例。一般參考圖1和圖2的體系結(jié)構(gòu)。為了說明整個流程和概念的可行性，還參考了圖5-11中的示范信令流程圖。
與圖3和4的上述示例比較，圖5-11的信令流是更專門地為CDMA框架并具體地是為CDMA2000而定制的。在這些流程圖中，為了簡明，省略AAAh-HA或MN-HA的交互。假定發(fā)生某種形式的HA-MN密鑰分發(fā)，例如如圖3和4所示。
此處術語“EAP/MIPv6”用于表示本發(fā)明首選實施例中通過AAA基礎結(jié)構(gòu)傳送MIPv6相關信息的新的擴展EAP協(xié)議。EAP/MIPv6可以例如使用上述新的EAP TLV屬性或通用容器屬性來承載MIPv6相關數(shù)據(jù)。
CDMA系統(tǒng)中移動IP第6版(MIPv6)的鑒權和授權支持的示范方案為(A)以與3GPP2移動IPv4操作中規(guī)定的PPP使用相似的方式使用PPPv6[9]的含MIPv6鑒權的MIPv6發(fā)起(B)如IETF中定義的使用PPPv6的含MIPv6鑒權的MIPv6發(fā)起(C)使用CSD-PPP的含MIPv6鑒權的MIPv6發(fā)起(D)如3GPP2簡單IPv6操作中規(guī)定的使用PPPv6的含MIPv6鑒權的MIPv6切入(E)使用CSD-PPP的含MIPv6鑒權的MIPv6切入(F)使用PANA的MIPv6重新鑒權(G)使用PPP的MIPv6重新鑒權MIPv6發(fā)起(A，B，C)一般在沒有現(xiàn)有的MIPv6業(yè)務可用且移動臺希望接收MIPv6業(yè)務時執(zhí)行-移動臺在發(fā)起請求中將希望的MIPv6參數(shù)發(fā)送到網(wǎng)絡。MIPv6切入(D，E)在現(xiàn)有的MIPv6業(yè)務正進行且發(fā)生切換的情況中使用-需要重新建立必要的荷載以使MIPv6業(yè)務可以繼續(xù)。MIPv6重新鑒權(F，G)通常發(fā)生在移動臺和歸屬代理之間的信任關系截止且需要更新以繼續(xù)MIPv6業(yè)務時。
(A)以與3GPP2移動IPv4操作中規(guī)定的PPP使用相似的方式使用PPPv6的含MIPv6鑒權的MIPv6發(fā)起-MN、RAN和PDSN根據(jù)3GPP2標準建立必要的無線電鏈路和A10/A11鏈路。
-PDSN最初向MN提供使用CSD-PPP的可能性。這通過首先發(fā)送標準的PPP/LCP分組、其后緊隨PPP/CHAP分組并且然后PPP/EAP分組來執(zhí)行，參見圖12。但是，MN選擇使用PPP并忽略(無聲丟棄)不是PPP/LCP的消息。
-無鑒權階段在PPPv6內(nèi)執(zhí)行。
-無IP地址在PPPv6內(nèi)的NCP(IPv6CP)階段被請求。
-遵循PPP，直到NCP(IPv6CP)階段完成才發(fā)送IP分組(例如，PANA，DHCP)。
-在IPv6CP完成之后開始PANA交換。PANA協(xié)議用于在MN和PDSN之間承載EAP。同時還發(fā)送DHCP以請求全局IP地址(有隨后的DHCP答復)。
-EAP/MIPv6用于承載便于MIPv6鑒權、動態(tài)MN歸屬地址分配等的信息。
-PANA協(xié)議用于在MN和PDSN之間承載EAP。
-直徑[例如13]用于在PDSN和AAAh之間承載EAP(諸如RADIUS的其他協(xié)議也是可能的)。
-該序列的其余部分可以例如依照圖3和4的MIPv6發(fā)起情況的擴展的EAP信令流方案。
-DHCP[20]可以用于有態(tài)的IP地址自動配置。(備選方式是使用無態(tài)的IP地址自動配置輔以路由器征詢/公告+重復地址檢測，但是這通常對信令流增加至少再一個RTT。)-從A10連接的成功建立到MN將MIPv6綁定更新發(fā)送到HA之前一般需要約6.5個往返時間(RTT)。
圖5的信令流程圖中示出以與3GPP2移動IPv4操作中規(guī)定的PPP使用相似的方式使用PPPv6的含MIPv6鑒權的MIPv6發(fā)起的方案的示范實施例。
(B)如IETF中定義的使用PPPv6的含MIPv6鑒權的MIPv6發(fā)起-MN、RAN和PDSN根據(jù)3GPP2標準建立必要的無線電鏈路和A10/A11鏈路。
-PDSN最初向MN提供使用CSD-PPP的可能性。這通過首先發(fā)送標準的PPP/LCP分組、其后緊隨PPP/CHAP分組并且然后PPP/EAP分組來執(zhí)行(圖12)。但是，MN選擇使用PPP并忽略(無聲丟棄)不是PPP/LCP的消息。
-PPP內(nèi)的鑒權階段用于EAP鑒權。
-EAP/MIPv6用于承載便于MIPv6鑒權、動態(tài)MN歸屬地址分配等的信息。
-直徑用于在PDSN和AAAh之間承載EAP(諸如RADIUS的其他協(xié)議也是可能的)。
-擴展的EAP(即EAP/MIPv6)信令流方案可以是例如關于圖3和4的MIPv6發(fā)起情況的。
-在PPP鑒權階段之后，PPP內(nèi)的NCP(IPv6CP)階段用于接口-ID指定。
-遵循PPP，直到NCP(IPv6CP)階段完成才發(fā)送IP分組(例如，路由器征詢)。
-在IPv6CP完成之后發(fā)送IPv6路由器征詢。路由器征詢/公告用于獲得IPv6地址的全局前綴。
-從A10連接的成功建立到MN將MIPv6綁定更新發(fā)送到HA之前一般需要約5.5個RTT。
圖6的信令流程圖中示出使用如IETF中定義的PPPv6的含MIPv6鑒權的MIPv6發(fā)起的方案的示范實施例。
(C)使用CSD-PPP的含MIPv6鑒權的MIPv6發(fā)起-MN、RAN和PDSN根據(jù)3GPP2標準建立必要的無線電鏈路和A10/A11鏈路。
-PDSN最初向MN提供使用CSD-PPP的可能性。這通過首先發(fā)送標準的PPP/LCP分組、其后緊隨PPP/CHAP分組并且然后PPP/EAP分組來執(zhí)行(圖12)。MN使用PPP/EAP選擇CSD-PPP，因為它希望發(fā)起MIPv6。同時處理PPP/LCP。PPP/CHAP分組被無聲丟棄。
-根據(jù)CSD-PPP，可以將PPP/IPv6CP和IP分組(例如，路由器征詢)與PPP/EAP分組同時發(fā)送。
-EAP/MIPv6用于承載便于MIPv6鑒權、動態(tài)MN歸屬地址分配等的信息。
-直徑用于在PDSN和AAAh之間承載EAP(諸如RADIUS的其他協(xié)議也是可能的)。
-擴展的EAP(即EAP/MIPv6)信令流方案可以例如對應于圖3和4的MIPv6發(fā)起情況。
-IPv6CP用于接口-ID指定。
-路由器征詢/公告用于獲得IPv6地址的全局前綴。
-從A10連接的成功建立到MN將MIPv6綁定更新發(fā)送到HA之前一般需要約2.5個RTT。相對于不使用CSD-PPP的上述方案(A)和(B)，可獲得系數(shù)為3-4個RTT的增益。
圖7的信令流程圖中示出使用CSD-PPP的含MIPv6鑒權的MIPv6發(fā)起的方案的示范實施例。
(D)如3GPP2簡單IPv6操作中規(guī)定的使用PPPv6的含MIPv6鑒權的MIPv6切入-MN、RAN和PDSN根據(jù)3GPP2標準建立必要的無線電鏈路和A10/A11鏈路。
-PDSN最初向MN提供使用CSD-PPP的可能性。這通過首先發(fā)送標準的PPP/LCP分組、其后緊隨PPP/CHAP分組并且然后PPP/EAP分組來執(zhí)行(圖12)。但是，MN選擇使用PPP并忽略(無聲丟棄)不是PPP/LCP的消息。
-沒有需要區(qū)分簡單IPv6和MIPv6切入的信令流。重用目前在3GPP2[2]中規(guī)定的簡單IPv6過程。
-PPP中的鑒權階段用于CHAP鑒權。
-PPP內(nèi)的NCP(IPv6CP)階段用于接口-ID指定。
-遵循PPP，直到IPv6CP階段完成才發(fā)送IP分組(例如，路由器征詢)。
-在IPv6CP完成之后發(fā)送IPv6路由器征詢。路由器征詢/公告用于獲得IPv6地址的全局前綴。
-從A10連接的成功建立到MN將MIPv6綁定更新發(fā)送到HA之前一般需要約4.5個RTT。
圖8的信令流程圖中示出如3GPP2簡單IPv6操作中規(guī)定的使用PPPv6的含MIPv6鑒權的MIPv6切入的方案的示范實施例。
(E)使用CSD-PPP的含MIPv6鑒權的MIPv6切入-MN、RAN和PDSN根據(jù)3GPP2標準建立必要的無線電鏈路和A10/A11鏈路。
-PDSN最初向MN提供使用CSD-PPP的可能性。這通過首先發(fā)送標準的PPP/LCP分組、其后緊隨PPP/CHAP分組并且然后PPP/EAP分組來執(zhí)行(圖12)。MN利用PPP/CHAP選擇CSD-PPP，因為它希望MIPv6切入。同時處理PPP/LCP。PPP/EAP分組被無聲丟棄。
-根據(jù)CSD-PPP，可以將PPP/IPv6CP和IP分組(例如，路由器征詢)與PPP/CHAP分組同時發(fā)送。
-IPv6CP用于接口-ID指定。
-路由器征詢/公告用于獲得IPv6地址的全局前綴。
-從A10連接的成功建立到MN將MIPv6綁定更新發(fā)送到HA之前一般需要約1.5個RTT。相對于不使用CSD-PPP的方案(D)，可獲得系數(shù)為3個RTT的增益。
圖9的信令流程圖中示出使用CSD-PPP的含MIPv6鑒權的MIPv6切入的過程的示范實施例。
(F)使用PANA的MIPv6重新鑒權-由于例如HA-MN IPSec密鑰有效期截止，需要MN發(fā)起MIPv6重新鑒權。
-PANA用于承載EAP。
-EAP/MIPv6用于承載便于MIPv6重新鑒權的信息。
-直徑用于在PDSN和AAAh之間承載EAP(諸如RADIUS的其他協(xié)議也是可能的)。
-擴展的EAP(即EAP/MIPv6)信令流方案可以例如對應于圖3和4的MIPv6發(fā)起情況。
-從PANA發(fā)起到MN將MIPv6綁定更新發(fā)送到HA之前一般需要約4個RTT。
圖10的信令流程圖中示出使用PANA的MIPv6重新鑒權的方案的示范實施例。
(G)使用PPP的MIPv6重新鑒權-由于例如HA-MN IPSec密鑰有效期截止，需要MN發(fā)起MIPv6重新鑒權。
-PPP的鑒權階段用于EAP鑒權。
-EAP/MIPv6用于承載便于MIPv6重新鑒權的信息。
-直徑用于在PDSN和AAAh之間承載EAP(諸如RADIUS的其他協(xié)議也是可能的)。
-擴展的EAP(即EAP/MIPv6)信令流方案可以例如對應于圖3和4的MIPv6發(fā)起情況。
-從PPP/LCP配置-Req到MN將MIPv6綁定更新發(fā)送到HA之前一般需要約3個RTT。
圖11的信令流程圖中示出使用PPP的MIPv6重新鑒權的方案的示范實施例。
依據(jù)上面的描述得出結(jié)論，根據(jù)本發(fā)明的MIPv6鑒權的方法的首選實施例將諸如擴展EAP的擴展鑒權協(xié)議用于MIPv6發(fā)起(A，B，C)和MIPv6重新鑒權(F，G)。對于MIPv6切入(D，E)，可以有利地使用CHAP，以及路由器征詢/公告用于獲得IPv6地址的全局前綴。
如上述鑒權方案所示，本發(fā)明并不局限于具體的協(xié)議。例如方案F(圖10)示出在一些方面PANA構(gòu)成方案G(圖11)的PPP的備選方式。使用具有對應于所示示例的功能的協(xié)議和協(xié)議組合的鑒權過程也屬于本發(fā)明的范圍。
應該注意，MIPv6發(fā)起、MIPv6切入和MIPv6重新鑒權的各個方案的所有組合均是可能的。
具體實施方式
中要選擇哪些具體方案一般應該基于若干因素來決定，建立時間可以其中之一。
應該提及的是，本發(fā)明還可以結(jié)合受訪網(wǎng)絡中所說的“本地歸屬代理”來使用。本地HA可以在例如歸屬網(wǎng)絡中沒有HA 36時使用。替代地，動態(tài)將本地HA指定給受訪域中的漫游MN。MIPv6 AAA信令可以然后遵循路徑MNRNPDSNAAAvAAAhAAAv本地HA。例如在AAAh和AAAv之間以及AAAv和本地HA之間使用擴展的直徑應用是可能的。這樣的解決方案一般需要AAAv中的MIPv6支持。
因此，本發(fā)明所提供的主要優(yōu)點是它允許諸如CDMA2000的框架內(nèi)的MIPv6鑒權和授權。CDMA系統(tǒng)的完整MIPv6 AAA解決方案憑借以對受訪域透明的方式端到端操作的擴展的鑒權協(xié)議來實現(xiàn)，受訪域包括例如接入網(wǎng)、PDSN和受訪網(wǎng)絡中的AAA服務器。這樣使得讓這些節(jié)點的一些或全部僅充當直通代理成為可能，這是非常有利的。還將可能的是，在MN和AAAh之間應用現(xiàn)有的加密，因為這些交換在空中接口上是不可見的。這意味著對于在外地CDMA網(wǎng)絡中漫游的移動節(jié)點可以保持防竊聽、中間人和其他攻擊的令人滿意的安全性。此外，可能的是，營運商在不依賴其漫游伙伴的網(wǎng)絡升級的情況下部署該解決方案。
另一個好處是，可以憑借本發(fā)明實現(xiàn)更短的分組數(shù)據(jù)會話建立時間。通過允許對于MIPv6切入情況和MIPv6發(fā)起情況分別使用不同的過程，如EAP/MIPv6用于發(fā)起而CHAP用于切入，與MIPv6發(fā)起情況相比，對于MIPv6切入情況，縮短分組數(shù)據(jù)會話建立時間是可能的。這樣，通過允許對這兩種情況使用不同的過程可以節(jié)省至少1個RTT。再者，與PPP相比，使用CSD-PPP顯著縮短分組數(shù)據(jù)會話建立時間?？梢垣@得系數(shù)為3-4個RTT的增益。
如果適當?shù)脑?，可以通過使用PPP而非例如PANA來縮短會話建立時間，因為與只使用PPP的過程相比，涉及PANA的過程一般占用更多的RTT來完成。但是，即使PPP可以在會話建立時間方面較有優(yōu)勢，使用涉及PANA的過程仍可以是適當?shù)模缛绻麅H第3層(layer-3-only)的解決方案是首選的。
本發(fā)明的另一個有利特征是，可以無需區(qū)分例如簡單IPv6和MIPv6切入的信令流。二者可以使用公共的鑒權過程?？梢灾赜媚壳霸?GPP2中規(guī)定的簡單IPv6過程。
通過總結(jié)上述一些方面，可以看出圖14是用于在CDMA系統(tǒng)中支持移動節(jié)點的MIPv6業(yè)務的方法的基本示例的示意流程圖。在該示例中，步驟S1-S4中所示的信息傳送和操作涉及移動節(jié)點的鑒權(S1)、MN-HA安全關聯(lián)的建立(S2)、MIPv6配置(S3)和MIPv6綁定(S4)。步驟S2-S3通稱為授權階段。步驟S1-S4可以或多或少以并行方式執(zhí)行(如果希望的話)，以可以縮短整個建立時間。在步驟S1，通過AAA基礎結(jié)構(gòu)傳送信息，以在歸屬網(wǎng)絡端對移動節(jié)點鑒權。在步驟S2，傳送MIPv6相關信息，以立即建立或允許將來建立MN和HA之間的安全關聯(lián)。在步驟S3中，執(zhí)行附加的MIPv6配置，例如通過向移動節(jié)點和/或歸屬代理傳送配置參數(shù)以在其中進行適合的存儲。在步驟S4，移動節(jié)點發(fā)送綁定更新，并在HA中建立MIPv6綁定。
本發(fā)明的詳述示范實施例主要是參考目前的EAP[7，18]來討論。但是應該理解，本發(fā)明非常適用于其他EAP版本，如EAPv2，以及以所述方式擴展的其他鑒權協(xié)議。EAP僅僅是可能的實施方式的示例，并且本發(fā)明一般不局限于此，而是可以備選地涉及非EAP方案。
在上述說明性示例中，假定移動節(jié)點(MN)和AAAh具有公共共享秘密。例如這可能是移動節(jié)點中安裝的身份模塊與歸屬網(wǎng)絡之間共享的對稱密鑰。身份模塊可以是本領域已知的任何防篡改身份模塊，包括GSM移動電話中使用的標準SIM卡、通用SIM(USIM)、還稱為WIM的WAP SIM、ISIM以及更普遍的UICC模塊。對于MN-HA安全關系，可以由MN向AAAh傳送種子或現(xiàn)用值(或從相反方向，即由AAAh始發(fā)種子并傳送到MN)，AAAh據(jù)此可以基于共享秘密創(chuàng)建MN-HA安全密鑰，例如預共享密鑰。移動節(jié)點可以獨自生成相同的安全密鑰，因為它始發(fā)種子/現(xiàn)用值(或從AAAh接收種子)并也具有共享秘密。備選地，AAAh可以單獨生成MN-HA安全密鑰，并將它們傳送到MN(受密碼保護)和HA。
雖然本發(fā)明是參考特定的示范實施例來描述的，但是它還涵蓋所述特征的等效特征以及對于本領域技術人員顯而易見的修改和變體。
參考文獻[1]“IPv6中的移動性支持(Mobility Support in IPv6)”，D.Johnson，C.Perkins，J.Arkko，2003年5月26日。
3GPP2 X.P0011 Ver.1.0-9，3GPP2無線IP網(wǎng)絡標準，2003年2月。
“直徑移動IPv6應用(Diameter Mobile IPv6 Application)”，Stefano M.Faccin，F(xiàn)ranck Le，Basavaraj Patil，Charles E.Perkins，2003年4月。
“用于承載網(wǎng)絡接入鑒權的協(xié)議(Protocol for CarryingAuthentication for Network Access )(PANA)”，D.Forsberg，Y.Ohba，B.Patil，H.Tschofenig，A.Yegin，2003年4月。
“IPv6style-IPv6中的地址自動配置(AddressAutoconfiguration in IPv6)” ，HEO SeonMeyong Internet ResearchInstitute，2003年1月27。
IEEE標準802.1X，局域網(wǎng)和城域網(wǎng)-基于端口的網(wǎng)絡接入控制[7]“PPP可擴展鑒權協(xié)議(PPP Extensible AuthenticationProtocol)(EAP)”，RFC2284，L.Blunk，J.Vollbrecht，1998年3月。
“點到點協(xié)議(The Point-to-Point Protocol)(PPP)”，RFC1661，W.Simpson，1994年7月。
“PPP上的IP第6版(IP Version 6 over PPP)”，RFC2472，D.Haskin，E.Allen，1998年12月。
美國專利6487218，“配置鏈路的方法和裝置(Method andDevice for Configuring A Link)”，R.Ludwig，M.Gerdes，2002年11月26日。
“因特網(wǎng)安全關聯(lián)和密鑰管理協(xié)議(Internet SecurityAssociation and Key Management Protocol)(ISAKMP)”，RFC2408，D.Maughan，M.Schertler，M.Schneider，J.Turner，1998年11月[12]“直徑移動IPv4應用(Diameter Mobile IPv4 Application)”，P.Calhoun，T.Johansson，C.Perkins，2003年4月29日[13]“直徑可擴展鑒權協(xié)議(EAP)應用(Diameter ExtensibleAuthentication Protocol(EAP)Application)”，T.Hiller，G.Zorn，2003年3月[14]“遠程鑒權撥號用戶服務(Remote Authentication Dial In UserService)(RADIUS)”，RFC2865，C.Rigney，S.Willens，A.Rubens，W.Simpson，2000年6月[15]“RADIUS擴展(RADIUS Extensions)”，RFC2869，C.Rigney，W.Willats，P.Calhoun，2000年6月[16]“EAP AKA鑒權(EAP AKA Authentication)”，J.Arkko，H.Haverinen，2003年10月。
“EAP SIM鑒權(EAP SIM Authentication)”，H.Haverinen，J.Salowey，2003年10月。
“可擴展鑒權協(xié)議(Extensible Authentication Protocol)(EAP)”，L.Blunk，J.Vollbrecht，B.Aboba，J.Carlson，H.Levkowetz，2003年9月[19]“EAP對等和鑒權者的狀態(tài)機器(State Machines for EAPPeer and Authenticator)”，J.Vollbrecht，P.Eronen，N.Petroni，Y.Ohba，2003年10月[20]“IPv6的動態(tài)主機配置協(xié)議(Dynamic Host ConfigurationProtocol for IPv6)(DHCPv6)”，R.Droms，J.Bound，B.Voltz，T.Lemon，C.Perkins，M.Carney，2002年11月2日。
縮略語AAA 鑒權、授權和計費AAAh歸屬AAA服務器AAAv受訪AAA服務器AKA 鑒權和密鑰同意AP 接入點BA 綁定確認BU 綁定更新CDMA碼分多址CHAP詢問握手鑒權協(xié)議CoA 轉(zhuǎn)交地址CSD-PPP 電路交換的數(shù)據(jù)點到點協(xié)議DAD 重復地址檢測DHCP動態(tài)主機配置協(xié)議EAP 可擴展鑒權協(xié)議GCA 通用容器屬性GSM 全球移動通信系統(tǒng)HA 歸屬代理IKE 因特網(wǎng)密鑰交換IP 因特網(wǎng)協(xié)議IPCPIP控制協(xié)議IPsec IP安全IPv6CP IPv6控制協(xié)議ISAKMP 因特網(wǎng)安全關聯(lián)和密鑰管理協(xié)議LCP 鏈路控制協(xié)議MD5 消息摘要5MIPv6 移動IP第6版MN 移動節(jié)點
NAI 網(wǎng)絡接入標識符NAS 網(wǎng)絡接入服務器NCP 網(wǎng)絡控制協(xié)議PAA PANA鑒權代理PAC PANA客戶PANA承載網(wǎng)絡接入鑒權的協(xié)議PDA 個人數(shù)字助理PDSN分組數(shù)據(jù)服務節(jié)點PPP 點到點協(xié)議PPPv6 點到點協(xié)議第6版RADIUS 遠程鑒權撥號用戶服務RAN 無線電接入網(wǎng)RN 無線電網(wǎng)絡RTT 往返時間3GPP2 第三代合作伙伴項目2SPI 安全參數(shù)索引TLV 類型長度值WLAN無線局域網(wǎng)
權利要求
1.一種在CDMA系統(tǒng)中的移動IP第6版(MIPv6)的鑒權和授權支持的方法，其特征在于，通過AAA基礎結(jié)構(gòu)在位于受訪網(wǎng)絡的移動節(jié)點(10)與所述移動節(jié)點的歸屬網(wǎng)絡之間在端到端過程中以鑒權協(xié)議傳送MIPv6相關信息。
2.如權利要求1所述的方法，其特征在于，所述鑒權協(xié)議是擴展的鑒權協(xié)議。
3.如權利要求1所述的方法，其特征在于，所述端到端過程在所述移動節(jié)點(10)和所述歸屬網(wǎng)絡中的AAA服務器(34)之間執(zhí)行。
4.如權利要求3所述的方法，其特征在于，所述MIPv6相關信息經(jīng)由位于所述受訪網(wǎng)絡中的網(wǎng)絡互連接入服務器(22)在所述移動節(jié)點(10)與所述AAA歸屬網(wǎng)絡服務器(34)之間以所述鑒權協(xié)議傳送。
5.如權利要求4所述的方法，其特征在于，所述網(wǎng)絡互連接入服務器(22)是PDSN節(jié)點。
6.如權利要求4所述的方法，其特征在于，所述移動節(jié)點(10)與所述網(wǎng)絡互連接入服務器(22)之間的點到點通信基于CSD-PPP協(xié)議配置。
7.如權利要求1所述的方法，其特征在于，所述MIPv6相關信息包括從MIPv6鑒權、授權和配置信息組成的組中選擇的信息。
8.如權利要求2所述的方法，其特征在于，所述擴展的鑒權協(xié)議是擴展的可擴展鑒權協(xié)議(EAP)，以及所述MIPv6相關信息作為附加數(shù)據(jù)結(jié)合在所述EAP協(xié)議棧中。
9.如權利要求8所述的方法，其特征在于，所述MIPv6相關信息作為所述EAP協(xié)議棧中的方法層的EAP屬性來傳送。
10.如權利要求8所述的方法，其特征在于，所述MIPv6相關信息在可用于任何EAP方法的通用容器屬性中傳送。
11.如權利要求8所述的方法，其特征在于，所述MIPv6相關信息在所述EAP協(xié)議棧中的方法層的方法特定的通用容器屬性中傳送。
12.如權利要求1所述的方法，其特征在于，在所述移動節(jié)點(10)和所述受訪網(wǎng)絡的網(wǎng)絡互聯(lián)接入服務器之間，所述鑒權協(xié)議由從PANA、PPP和CSD-PPP組成的組中選擇的協(xié)議來承載。
13.如權利要求4所述的方法，其特征在于，在所述受訪網(wǎng)絡的網(wǎng)絡互連接入服務器(22)與所述歸屬網(wǎng)絡中的AAA服務器(34)之間，所述鑒權協(xié)議由AAA框架協(xié)議應用來承載。
14.如權利要求13所述的方法，其特征在于，所述AAA框架協(xié)議應用從直徑和RADIUS組成的組中選擇。
15.如權利要求1所述的方法，其特征在于，所述方法還包括為MIPv6切入、在所述移動節(jié)點與所述歸屬網(wǎng)絡之間執(zhí)行CHAP鑒權的步驟。
16.如權利要求15所述的方法，其特征在于，所述執(zhí)行CHAP鑒權的步驟包括使用PPP的鑒權階段的步驟。
17.如權利要求1所述的方法，其特征在于，所述MIPv6相關信息通過所述AAA基礎結(jié)構(gòu)來傳送以分配歸屬代理(36)。
18.如權利要求1所述的方法，其特征在于，所述MIPv6相關信息通過所述AAA基礎結(jié)構(gòu)來傳送以在所述移動節(jié)點(10)和歸屬代理(36)之間建立MIPv6安全關聯(lián)。
19.如權利要求1所述的方法，其特征在于，所述MIPv6相關信息通過所述AAA基礎結(jié)構(gòu)來傳送以在歸屬代理(36)中為所述移動節(jié)點(10)建立綁定。
20.如權利要求4所述的方法，其特征在于，所述網(wǎng)絡互連接入服務器(22)通過發(fā)出標準的PPP/LCP分組和至少PPP/EAP分組向所述移動節(jié)點提供使用PPP或CSD-PPP的可能性。
21.如權利要求20所述的方法，其特征在于，所述移動節(jié)點利用PPP/EAP選擇CSD-PPP，同時處理PPP/LCP。
22.如權利要求20所述的方法，其特征在于，所述移動節(jié)點選擇PPP并處理PPP/LCP。
23.如權利要求20所述的方法，其特征在于，所述網(wǎng)絡互連接入服務器還將PPP/CHAP分組與PPP/LCP和PPP/EAP分組一起發(fā)出。
24.如權利要求23所述的方法，其特征在于，所述移動節(jié)點希望MIPv6切入，并利用PPP/CHAP選擇CSD-PPP，同時處理PPP/LCP。
25.如權利要求1所述的方法，其特征在于，全局IPv6地址的指定基于通過所述AAA基礎結(jié)構(gòu)在所述移動節(jié)點和所述歸屬網(wǎng)絡之間的DHCP交換來執(zhí)行。
26.如權利要求1所述的方法，其特征在于，基于PPP的NCP(IPv6CP)階段執(zhí)行IPv6地址配置以指定接口-ID，以及執(zhí)行IPv6路由器征詢/公告來獲取所述IPv6地址的全局前綴。
27.一種在CDMA系統(tǒng)中的移動IP第6版(MIPv6)的鑒權和授權支持的系統(tǒng)，其特征在于，用于通過AAA基礎結(jié)構(gòu)在位于受訪網(wǎng)絡的移動節(jié)點(10)與所述移動節(jié)點的歸屬網(wǎng)絡之間在端到端過程中以鑒權協(xié)議傳送MIPv6相關信息的裝置。
28.如權利要求27所述的系統(tǒng)，其特征在于，所述鑒權協(xié)議是擴展的鑒權協(xié)議。
29.如權利要求27所述的系統(tǒng)，其特征在于，所述端到端過程是在所述移動節(jié)點(10)和所述歸屬網(wǎng)絡中的AAA服務器(34)之間。
30.如權利要求29所述的系統(tǒng)，其特征在于，所述MIPv6相關信息經(jīng)由位于所述受訪網(wǎng)絡的網(wǎng)絡互連接入服務器(22)在所述移動節(jié)點(10)與所述AAA歸屬網(wǎng)絡服務器(34)之間以所述鑒權協(xié)議傳送。
31.如權利要求30所述的方法，其特征在于，所述網(wǎng)絡互連接入服務器(22)是PDSN節(jié)點。
32.如權利要求30所述的系統(tǒng)，還包括用于基于所述CSD-PPP協(xié)議配置所述移動節(jié)點(10)與所述網(wǎng)絡互連接入服務器(22)之間的點到點通信的裝置。
33.如權利要求27所述的系統(tǒng)，其特征在于，所述MIPv6相關信息包括從MIPv6鑒權、授權和配置信息組成的組中選擇的信息。
34.如權利要求28所述的系統(tǒng)，其特征在于，所述擴展的鑒權協(xié)議是擴展的可擴展鑒權協(xié)議(EAP)，以及所述MIPv6相關信息作為附加數(shù)據(jù)結(jié)合在所述EAP協(xié)議棧中。
35.如權利要求34所述的系統(tǒng)，其特征在于，所述用于傳送MIPv6相關信息的裝置包括用于將所述MIPv6相關信息作為所述EAP協(xié)議棧中的方法層的EAP屬性來傳送的裝置。
36.如權利要求34所述的系統(tǒng)，其特征在于，所述用于傳送MIPv6相關信息的裝置包括用于在可用于任何EAP方法的通用容器屬性中傳送所述MIPv6相關信息的裝置。
37.如權利要求34所述的系統(tǒng)，其特征在于，所述用于傳送MIPv6相關信息的裝置包括用于在所述EAP協(xié)議棧中的方法層的方法特定的通用容器屬性中傳送所述MIPv6相關信息的裝置。
38.如權利要求27所述的系統(tǒng)，其特征在于，在所述移動節(jié)點(10)和所述受訪網(wǎng)絡的網(wǎng)絡互連接入服務器之間，所述鑒權協(xié)議由從PANA、PPP和CSD-PPP組成的組中選擇的協(xié)議來承載。
39.如權利要求30所述的系統(tǒng)，其特征在于，在所述受訪網(wǎng)絡的網(wǎng)絡互連接入服務器與所述歸屬網(wǎng)絡中的AAA服務器(34)之間，所述鑒權協(xié)議由AAA框架協(xié)議應用來承載。
40.如權利要求39所述的系統(tǒng)，其特征在于，所述AAA框架協(xié)議應用是從直徑和RADIUS組成的組中選擇。
41.如權利要求27所述的系統(tǒng)，其特征在于，所述系統(tǒng)還包括用于為MIPv6切入、在所述移動節(jié)點與所述歸屬網(wǎng)絡之間執(zhí)行CHAP鑒權的裝置。
42.如權利要求41所述的系統(tǒng)，其特征在于，所述用于執(zhí)行CHAP鑒權的裝置可操作用于使用PPP的鑒權階段。
43.如權利要求27所述的系統(tǒng)，其特征在于，所述用于傳送MIPv6相關信息的裝置可操作用于通過所述AAA基礎結(jié)構(gòu)來傳送所述MIPv6相關信息以分配歸屬代理(36)。
44.如權利要求27所述的系統(tǒng)，其特征在于，所述用于傳送MIPv6相關信息的裝置可操作用于通過所述AAA基礎結(jié)構(gòu)傳送所述MIPv6相關信息以在所述移動節(jié)點(10)和歸屬代理(36)之間建立MIPv6安全關聯(lián)。
45.如權利要求27所述的系統(tǒng)，其特征在于，所述用于傳送MIPv6相關信息的裝置可操作用于通過所述AAA基礎結(jié)構(gòu)傳送所述MIPv6相關信息以在歸屬代理(36)中為所述移動節(jié)點(10)建立綁定。
46.如權利要求30所述的系統(tǒng)，其特征在于，所述網(wǎng)絡互連接入服務器(22)可操作用于通過發(fā)出標準的PPP/LCP分組和至少PPP/EAP分組向所述移動節(jié)點提供使用PPP或CSD-PPP的可能性。
47.如權利要求46所述的系統(tǒng)，其特征在于，所述移動節(jié)點可操作用于利用PPP/EAP來選擇CSD-PPP，同時處理PPP/LCP。
48.如權利要求46所述的系統(tǒng)，其特征在于，所述移動節(jié)點可操作用于選擇PPP并處理PPP/LCP。
49.如權利要求46所述的系統(tǒng)，其特征在于，所述網(wǎng)絡互連接入服務器可操作用于將PPP/CHAP分組與PPP/LCP和PPP/EAP分組一起發(fā)出。
50.如權利要求49所述的系統(tǒng)，其特征在于，希望MIPv6切入的移動節(jié)點可操作用于利用PPP/CHAP來選擇CSD-PPP，同時處理PPP/LCP。
51.如權利要求27所述的系統(tǒng)，還包括用于基于通過所述AAA基礎結(jié)構(gòu)在所述移動節(jié)點和所述歸屬網(wǎng)絡之間的DHCP交換來指定全局IPv6地址的裝置。
52.如權利要求27所述的系統(tǒng)，還包括用于基于PPP的NCP(IPv6CP)階段執(zhí)行IPv6地址配置以指定接口-ID以及執(zhí)行IPv6路由器征詢/公告來獲取所述IPv6地址的全局前綴的裝置。
53.一種在CDMA框架內(nèi)的移動IP第6版(MIPv6)切入的系統(tǒng)，其特征在于，用于通過AAA基礎結(jié)構(gòu)在位于受訪網(wǎng)絡的移動節(jié)點(10)與所述移動節(jié)點的歸屬網(wǎng)絡中的AAA服務器之間執(zhí)行CHAP鑒權的裝置。
54.一種在CDMA系統(tǒng)中移動IP第6版(MIPv6)的鑒權和授權支持的AAA歸屬網(wǎng)絡服務器(34)，其特征在于，用于將歸屬代理(36)指定到移動節(jié)點(10)的裝置；以及用于將所述移動節(jié)點與所述歸屬代理之間的安全關聯(lián)建立的證書相關數(shù)據(jù)分別分發(fā)到所述移動節(jié)點和所述歸屬代理的裝置。
55.如權利要求54所述的服務器，其特征在于，用于將歸屬地址指定給所述移動節(jié)點(10)的裝置。
56.如權利要求55所述的服務器，其特征在于，用于利用所選EAP過程的往返配置所述移動節(jié)點(10)的歸屬地址的裝置。
57.如權利要求55所述的服務器，其特征在于，用于利用AAA框架協(xié)議應用將所述移動節(jié)點(10)的歸屬地址傳送到所述歸屬代理(36)的裝置。
全文摘要
本發(fā)明通過在位于受訪網(wǎng)絡的移動節(jié)點(10)與所述移動節(jié)點的歸屬網(wǎng)絡之間通過AAA基礎結(jié)構(gòu)在端到端過程中以優(yōu)選擴展的鑒權協(xié)議傳送MIPv6相關信息來提供CDMA框架中的MIPv6的鑒權和授權支持。優(yōu)選地，端到端過程在移動節(jié)點和歸屬網(wǎng)絡的AAA服務器(34)之間執(zhí)行。在受訪網(wǎng)絡中，較低層建立之后，在移動節(jié)點與網(wǎng)絡互連接入服務器(22)之間建立點到點通信。接入服務器然后與AAA歸屬服務器通信，以實施移動節(jié)點的MIPv6鑒權和授權。首選實施例使用EAP作為擴展的鑒權協(xié)議的基礎。然后將EAP擴展用于MIPv6發(fā)起和重新鑒權，而CHAP可以對于MIPv6切入是有益的。
文檔編號H04W80/04GK1836419SQ200480023401
公開日2006年9月20日 申請日期2004年6月15日 優(yōu)先權日2003年6月18日
發(fā)明者J·王山, 加藤良司, J·呂納, T·拉松 申請人:艾利森電話股份有限公司