專利名稱:一種移動ip密鑰的產(chǎn)生及分發(fā)方法
技術(shù)領(lǐng)域:
本發(fā)明涉及網(wǎng)絡(luò)安全領(lǐng)域��,具體的講涉及一種移動IP密鑰的產(chǎn)生及分發(fā)方法�。
背景技術(shù):
隨著因特網(wǎng)業(yè)務(wù)的蓬勃發(fā)展和無線網(wǎng)絡(luò)的廣泛應(yīng)用,移動用戶的安全性已經(jīng)對于無線系統(tǒng)提出了越來越多的要求除了設(shè)備鑒權(quán)��、用戶鑒權(quán)和服務(wù)授權(quán)等等,無線用戶與接入點(AP)或基站(BS)之間的安全通道的建立�,保密信息的交換,以及BS和鑒權(quán)者(Authenticator)���,鑒權(quán)者和鑒權(quán)服務(wù)器之間的保密通道��,保密信息的交換等等都是以往在專用網(wǎng)絡(luò)中所不需要考慮而目前需要得到大量關(guān)注的問題了�。
不考慮接入網(wǎng)中的其他內(nèi)部設(shè)備��,我們在隨后的技術(shù)描述時將采用圖1�����、圖2所示的WiMAX安全網(wǎng)絡(luò)架構(gòu)體系(但是本發(fā)明所提供的技術(shù)包括但不限于在WiMAX系統(tǒng)中的應(yīng)用)���。
圖1表示的是集中式的網(wǎng)絡(luò)架構(gòu)體系���,在這種架構(gòu)下,鑒權(quán)者(Authenticator)與BS位于不同的物理實體中��,在鑒權(quán)者中實現(xiàn)了鑒權(quán)者和密鑰發(fā)行者(Key Distributor)的功能���。在BS中實現(xiàn)了認證中繼(Authentication Relay)和密鑰接收者(Key Receiver)的功能���。
圖2表示的是分布式的網(wǎng)絡(luò)架構(gòu)體系�,在這種結(jié)構(gòu)下�����,鑒權(quán)者與BS位于同一個物理實體中�����,該實體同時實現(xiàn)了鑒權(quán)者�、認證中繼、密鑰發(fā)行者(Key Distributor)和密鑰接收者(Key Receiver)的功能��。
圖中各個網(wǎng)元(包括邏輯網(wǎng)元)的功能解釋如下BS-提供BS和終端(MS)的安全通道�����,包括空口數(shù)據(jù)的壓縮與加密�����;
-提供BS和MS之間的保密信息的交換��。
鑒權(quán)者-為MS認證�����、授權(quán)和計費功能提供代理功能-與密鑰發(fā)行者(Key Distributor)在同-個物理實體里實現(xiàn)鑒權(quán)者中繼-實現(xiàn)認證過程中認證請求和響應(yīng)消息的中繼密鑰發(fā)行者-與鑒權(quán)者在同一個物理實體里實現(xiàn)����,根據(jù)認證服務(wù)器提供的與MSS之間對等的根密鑰信息,產(chǎn)生BS和MSS之間共享的空口密鑰AK���,并且分發(fā)到密鑰接收者(Key Receiver)上����。
密鑰接收者-在BS內(nèi)實現(xiàn)�����,用于接收來自密鑰發(fā)行者產(chǎn)生的空口密鑰AK���,并派生BS和MSS之間的其它密鑰�����。
此外�����,作為一個完整的安全網(wǎng)絡(luò)架構(gòu)體系�����,還應(yīng)該包括后端網(wǎng)絡(luò)的認證服務(wù)器和移動終端MS�����。
認證授權(quán)計費(AAA)服務(wù)器-認證服務(wù)器主要是完成為MSS認證���、授權(quán)和計費功能�����。并且通過和MSS之間的達成的密鑰生成機制相互交換產(chǎn)生密鑰所必需的信息�。由于這些信息是在建立安全通道之前交換的����,認證服務(wù)器和MSS之間采用的密鑰算法等都必須保證信息的泄漏并不對安全機制產(chǎn)生影響。主要功能包括-完成為MSS認證��、授權(quán)和計費功能��。
-產(chǎn)生并分發(fā)根密鑰信息到鑒權(quán)者上�。
-在用戶信息產(chǎn)生變化,及時通知鑒權(quán)者和其他網(wǎng)元信息改變所產(chǎn)生的后果���。
MS-MS為移動用戶設(shè)備����,在安全架構(gòu)中主要是發(fā)起認證���、授權(quán)�;與認證服務(wù)器交換產(chǎn)生根密鑰所需要的信息��;自己產(chǎn)生根密鑰����;自己根據(jù)根密鑰產(chǎn)生空口上保密所需要的AK以及派生出來的其他密鑰信息。
MIP有如下功能實體移動節(jié)點(MN)��,外部代理(FA)和家鄉(xiāng)代理(HA)�����。MN經(jīng)由FA向HA發(fā)起移動IP(MIP)注冊請求����。HA收到MIP注冊請求以后�,把MN的轉(zhuǎn)交地址(CoA)地址和家鄉(xiāng)地址(HoA)地址對應(yīng)起來����,以后HA收到的所有目的地址是HoA的數(shù)據(jù)包都轉(zhuǎn)發(fā)到CoA地址,MIPv4中即FA的地址����。為了保證安全性,MIP消息中一般會帶有認證擴展(AE)���。例如MN和HA之間的認證擴展MN-HA-AE����,當(dāng)HA收到一個攜帶MN-HA-AE的MIP注冊請求�,HA就需要根據(jù)事先知道的密鑰信息計算出一個本地認證值,然后和數(shù)據(jù)包攜帶的MN-HA-AE進行比較�。如果相同則認證通過,并且處理MIP注冊請求����;否則拒絕處理這個MIP注冊請求。
在MN和HA之間沒有預(yù)先的密鑰信息時����,MN可以利用MN和AAA之間的密鑰信息,來認證這一次的MIP注冊請求���。
現(xiàn)有WiMAX技術(shù)中計算MIP注冊密鑰的公式如下MN-HA-KH(MIP-RK���,”MIP4 MN HA”,HA-IP)�����;MN-FA-KH(MIP-RK����,”MN FA”,F(xiàn)A-IP)�;FA-HA-KH(MIP-RK,”FA HA”��,F(xiàn)A-IP��,HA-IP�����,nonce);對于RFC3957中�����,規(guī)定了如下算法�����,可由隨機數(shù)�����,移動節(jié)點標識以及移動節(jié)點和AAA之間的共享密鑰計算key=HMAC-SHA1(AAA-key���,{Nonce‖MN-ID})MIP在WiMAX中有兩種形式客戶端移動IP(CMIP)和代理移動IP(PMIP)����。對于支持MIP協(xié)議的終端�,工作于CMIP模式下,此時移動節(jié)點就是移動終端�����;相反����,對于不支持MIP協(xié)議的終端���,由網(wǎng)絡(luò)側(cè)創(chuàng)建一個PMIP-終端(PMIP-client)實體來作為移動節(jié)點MN實現(xiàn)MIP的功能。
(1)PMIPv4的密鑰產(chǎn)生和分發(fā)在接入認證過程中��,AAA產(chǎn)生EMSK(可擴展的主會話密鑰Extended Master Session Key)�,然后計算移動IP根密鑰(MIP-RK)��,并由此派生出MN-HA����,MN-FA以及FA-HA之間的密鑰(分別為MN-HA-K,MN-FA-K以及FA-HA-K)����。然后,按照RFC2868第3.5節(jié)的方法把MN-HA����,MN-FA以及FA-HA之間的密鑰加密發(fā)送到網(wǎng)絡(luò)接入服務(wù)器(NAS)。
同時現(xiàn)有技術(shù)定義了以上MN-HA-K(在MIPv4中可代稱為MN-HA-MIP4-K)����,MN-FA-K�,F(xiàn)A-HA-K的產(chǎn)生公式與以下因素有關(guān)在MS的接入驗證過程中���,MS和AAA之間會產(chǎn)生一個密鑰EMSK�����。MS和AAA可以由EMSK通過定義好的函數(shù)計算出MIP-RK����。MN和HA之間的密鑰(MN-HA-K)也可以由MIP-RK以及家鄉(xiāng)代理的IP地址(HA-IP)通過定義好的函數(shù)計算出來��;MN和FA之間的密鑰(MN-FA-K)也可以由MIP-RK以及外部代理的IP(FA-IP)通過定義好的函數(shù)計算出來���;FA和HA之間的密鑰(FA-HA-K)也可以由MIP-RK�,F(xiàn)A-IP����,HA-IP以及一個隨機數(shù)通過定義好的函數(shù)計算出來。公式如下MN-HA-MIP4=H(MIP-RK��,”MIP4 MN HA”|HA-IP)MN-FA=H(MIP-RK�����,”MN FA”|FA-IP)FA-HA=H(MIP-RK,”FA HA”|FA-IP|HA-IP|NONCE)(2)CMIPv4的密鑰產(chǎn)生和分發(fā)在接入認證過程中�,AAA產(chǎn)生EMSK,然后計算MIP-RK�,并由此派生出MN-HA,MN-FA以及FA-HA之間的密鑰�����。MN根據(jù)FA-IP和HA-IP可以計算出MN-FA以及MN-HA之間的密鑰�;NAS則獲得MN-FA�����,MN-HA和FA-HA之間的密鑰���。HA相關(guān)的密鑰在第一次MIP注冊請求過程中向AAA請求獲得�����。
但現(xiàn)有技術(shù)的缺點在于1)當(dāng)前已有技術(shù)只是描述了MIP密鑰的產(chǎn)生公式��,但具體的密鑰產(chǎn)生過程沒有描述�����,如AAA過程或者MIP過程中����;同時密鑰產(chǎn)生時,不同過程中獲得密鑰產(chǎn)生所需要的輸入?yún)?shù)的機制和流程沒有定義�;2)過程描述不夠準確,且不能保證每一步驟的前提條件都能滿足�����,例如計算MN-HA���,MN-FA以及FA-HA之間的密鑰時���,需要定義相關(guān)實體如何得到相應(yīng)參數(shù)的過程。
3)在FA遷移情況下�,目標FA無法獲得MN-FA以及FA-HA密鑰信息,HA無法更新FA-HA密鑰�。
4)并且,當(dāng)前已有技術(shù)只是描述了MIP密鑰的產(chǎn)生公式���,并沒有規(guī)定在重驗證的情況下�,F(xiàn)A以及HA對原有密鑰以及安全聯(lián)盟的處理����,因此有可能導(dǎo)致移動節(jié)點的移動IP注冊請求一直被拒絕�。
發(fā)明內(nèi)容
有鑒于此���,本發(fā)明的目的在于提供一種移動IP密鑰的產(chǎn)生及分發(fā)方法�����,以給出具體的密鑰產(chǎn)生和分發(fā)過程����。
為了實現(xiàn)上述目的�,本發(fā)明的技術(shù)方案為一種移動IP密鑰的產(chǎn)生及分發(fā)方法���,其特征在于在鑒權(quán)認證過程中����,認證授權(quán)計費AAA服務(wù)器下發(fā)包括根密鑰及外部代理FA與家鄉(xiāng)代理HA之間的隨機數(shù)fa-ha-nonce的密鑰信息至網(wǎng)絡(luò)鑒權(quán)服務(wù)器��;家鄉(xiāng)代理HA通過AAA服務(wù)器獲得家鄉(xiāng)代理相關(guān)的移動IP密鑰�����;如果AAA服務(wù)器未下發(fā)移動節(jié)點MN與外部代理FA之間的隨機數(shù)mn-fa-nonce至網(wǎng)絡(luò)鑒權(quán)服務(wù)器,則AAA服務(wù)器下發(fā)該隨機數(shù)至家鄉(xiāng)代理���,并經(jīng)外部代理通知網(wǎng)絡(luò)鑒權(quán)服務(wù)器���;外部代理根據(jù)FA相關(guān)隨機數(shù)及/或FA的IP地址從所述網(wǎng)絡(luò)鑒權(quán)服務(wù)器獲得FA相關(guān)移動IP密鑰;移動節(jié)點從所述網(wǎng)絡(luò)鑒權(quán)服務(wù)器獲得MN相關(guān)移動IP密鑰�。
所述的方法具體包括如下步驟a.鑒權(quán)認證過程中,認證授權(quán)計費AAA服務(wù)器下發(fā)密鑰信息至網(wǎng)絡(luò)鑒權(quán)服務(wù)器����,網(wǎng)絡(luò)鑒權(quán)服務(wù)器根據(jù)所述密鑰信息至少獲得移動節(jié)點與家鄉(xiāng)代理之間的移動IP密鑰MN-HA-K及/或移動節(jié)點與AAA服務(wù)器之間的密鑰MN-AAA-K;所述密鑰信息至少包括根密鑰及外部代理FA與家鄉(xiāng)代理HA之間的隨機數(shù)fa-ha-nonce����;b.移動節(jié)點發(fā)起移動IP注冊請求,經(jīng)外部代理FA轉(zhuǎn)發(fā)至家鄉(xiāng)代理HA���,該移動IP注冊請求中攜帶MN-HA-AE及/或移動節(jié)點與AAA服務(wù)器之間的認證擴展MN-AAA-AE���;
c.家鄉(xiāng)代理HA接收所述的移動IP注冊請求,并請求AAA服務(wù)器下發(fā)HA相關(guān)密鑰信息��,以獲得移動節(jié)點與家鄉(xiāng)代理之間的移動IP密鑰MN-HA-K以及外部代理與家鄉(xiāng)代理之間的移動IP密鑰FA-HA-K;并在所述移動IP注冊請求攜帶MN-HA-AE時����,驗證所述的MN-HA-AE;如果步驟a中AAA服務(wù)器未下發(fā)移動節(jié)點與外部代理之間的隨機數(shù)mn-fa-nonce至網(wǎng)絡(luò)鑒權(quán)服務(wù)器�����,則AAA服務(wù)器下發(fā)所述該隨機數(shù)至家鄉(xiāng)代理�����,以通過移動IP注冊報告發(fā)送至外部代理����,從而通知網(wǎng)絡(luò)鑒權(quán)服務(wù)器;d.家鄉(xiāng)代理發(fā)送攜帶MN-HA-AE及FA-HA-AE的注冊報告至外部代理FA��,外部代理接收所述注冊報告后�����,從所述網(wǎng)絡(luò)鑒權(quán)服務(wù)器獲得移動節(jié)點及外部代理之間的移動IP密鑰MN-FA-K以及外部代理與家鄉(xiāng)代理之間的移動IP密鑰FA-HA-K��,并于驗證FA-HA-AE后轉(zhuǎn)發(fā)攜帶MN-FA-AE的移動IP注冊報告至移動節(jié)點����;e.移動節(jié)點接收移動IP注冊報告,從所述網(wǎng)絡(luò)鑒權(quán)服務(wù)器獲得MN-FA-K�����,并驗征MN-FA-AE����。
所述根密鑰包括擴展主會話密鑰EMSK、FA相關(guān)移動IP根密鑰MIP-FA-RK及移動IP根密鑰MIP-RK的其中之一���;所述密鑰信息還包括移動節(jié)點與家鄉(xiāng)代理之間的移動IP密鑰MN-HA-K或移動節(jié)點與家鄉(xiāng)代理之間的隨機數(shù)mn-ha-nonce���,及/或移動節(jié)點與AAA服務(wù)器之間的密鑰MN-AAA-K。
步驟c中所述HA相關(guān)密鑰信息包括MN-HA-K和FA-HA-K��;或者擴展主會話密鑰EMSK��、FA相關(guān)移動IP根密鑰MIP-FA-RK及移動IP根密鑰MIP-RK三者其中之一�����,MN-HA-K以及外部代理與家鄉(xiāng)代理之間的隨機數(shù)fa-ha-nonce���;或者擴展主會話密鑰EMSK�、FA相關(guān)移動IP根密鑰MIP-FA-RK及移動IP根密鑰MIP-RK三者其中之一,移動節(jié)點與家鄉(xiāng)代理之間的隨機數(shù)mn-ha-nonce以及外部代理與家鄉(xiāng)代理之間的隨機數(shù)fa-ha-nonce�。
在鑒權(quán)認證過程中,網(wǎng)絡(luò)鑒權(quán)服務(wù)器把FA-IP地址發(fā)送給AAA�;或者在家鄉(xiāng)代理向AAA請求HA相關(guān)密鑰信息時,以外部代理IP作為請求的參數(shù)��。
所述的方法還包括f.在外部代理遷移后����,發(fā)起移動IP注冊請求至家鄉(xiāng)代理HA,由所述家鄉(xiāng)代理HA從AAA服務(wù)器獲得目標外部代理TFA與家鄉(xiāng)代理HA之間的移動IP密鑰TFA-HA-K以及TFA相關(guān)隨機數(shù)�����;g.將TFA相關(guān)隨機數(shù)發(fā)送至外部代理��,并通知所述網(wǎng)絡(luò)鑒權(quán)服務(wù)器�,網(wǎng)絡(luò)鑒權(quán)服務(wù)器根據(jù)所述TFA相關(guān)隨機數(shù)或TFA的IP地址產(chǎn)生TFA相關(guān)移動IP密鑰;移動節(jié)點及目標外部代理從所述網(wǎng)絡(luò)鑒權(quán)服務(wù)器獲得相應(yīng)的TFA相關(guān)移動IP密鑰��。
所述的方法還包括建立各移動IP功能實體之間的安全聯(lián)盟����。
在重新鑒權(quán)認證后,進行移動IP相關(guān)密鑰的更新�。
在重新鑒權(quán)認證時,移動終端MS與AAA服務(wù)器之間重新產(chǎn)生新的密鑰�����,該AAA服務(wù)器下發(fā)新的密鑰信息至網(wǎng)絡(luò)鑒權(quán)服務(wù)器以產(chǎn)生新的MN-HA-K及/或MN-AAA-K��;同時通知家鄉(xiāng)代理發(fā)生了新的鑒權(quán)認證����;移動節(jié)點利用新的密鑰替代對應(yīng)舊的密鑰,并發(fā)起移動IP注冊請求�,重新進行步驟b至步驟e。
在重新鑒權(quán)認證時���,移動終端MS與AAA服務(wù)器之間重新產(chǎn)生新的密鑰�����,并且該AAA服務(wù)器下發(fā)新的密鑰信息至網(wǎng)絡(luò)鑒權(quán)服務(wù)器以產(chǎn)生新的MN-HA-K及/或MN-AAA-K�;移動節(jié)點利用新的密鑰替代對應(yīng)舊的密鑰���,并發(fā)起移動IP注冊請求�����,重新進行所述步驟b至步驟e�。
移動節(jié)點、外部代理及家鄉(xiāng)代理得知發(fā)生重新鑒權(quán)認證后�����,刪除已有的移動IP相關(guān)的安全聯(lián)盟�����。
在移動IP功能實體中密鑰的替換伴隨著安全聯(lián)盟的替換或建立����。
一種移動IP密鑰的產(chǎn)生及分發(fā)方法,其特征在于在鑒權(quán)認證過程中���,認證授權(quán)計費AAA服務(wù)器下發(fā)包括根密鑰及外部代理FA與家鄉(xiāng)代理HA之間的隨機數(shù)fa-ha-nonce的密鑰信息至網(wǎng)絡(luò)鑒權(quán)服務(wù)器�;
家鄉(xiāng)代理HA通過AAA服務(wù)器獲得家鄉(xiāng)代理HA相關(guān)的移動IP密鑰���;如果AAA服務(wù)器未下發(fā)移動節(jié)點MN與外部代理FA之間的隨機數(shù)mn-fa-nonce及/或移動節(jié)點MN與家鄉(xiāng)代理HA之間的隨機數(shù)mn-ha-nonce����,則AAA服務(wù)器下發(fā)所述隨機數(shù)至家鄉(xiāng)代理,并通知相應(yīng)的移動IP功能實體�����;外部代理根據(jù)FA相關(guān)隨機數(shù)及/或FA的IP地址從所述網(wǎng)絡(luò)鑒權(quán)服務(wù)器獲得FA相關(guān)移動IP密鑰��;移動節(jié)點根據(jù)MN相關(guān)隨機數(shù)獲得MN相關(guān)移動IP密鑰���。
所述的方法具體包括如下步驟a.在鑒權(quán)認證過程中,認證授權(quán)計費AAA服務(wù)器下發(fā)包括根密鑰及外部代理FA與家鄉(xiāng)代理HA之間的隨機數(shù)fa-ha-nonce的密鑰信息至網(wǎng)絡(luò)鑒權(quán)服務(wù)器�����;b.移動終端發(fā)起攜帶移動節(jié)點及AAA服務(wù)器之間認證擴展MN-AAA-AE的移動IP注冊請求��,并經(jīng)外部代理FA轉(zhuǎn)發(fā)至家鄉(xiāng)代理HA��;c.家鄉(xiāng)代理接收移動IP注冊請求���,請求AAA服務(wù)器驗證MN-AAA-AE并下發(fā)HA相關(guān)密鑰信息�,HA根據(jù)所述HA相關(guān)密鑰信息獲得移動節(jié)點與家鄉(xiāng)代理之間的移動IP密鑰MN-HA-K以及外部代理與家鄉(xiāng)代理之間的移動IP密鑰FA-HA-K��;如果步驟a中AAA服務(wù)器未下發(fā)移動節(jié)點MN與外部代理FA之間的隨機數(shù)mn-fa-nonce或者移動節(jié)點與家鄉(xiāng)代理間隨機數(shù)mn-ha-nonce�����,則AAA服務(wù)器下發(fā)mn-fa-nonce或mn-ha-nonce至家鄉(xiāng)代理HA,以通過后續(xù)的移動IP注冊報告發(fā)送至相應(yīng)的移動IP功能實體�;d.家鄉(xiāng)代理發(fā)送移動IP注冊報告至外部代理,該移動IP注冊報告攜帶移動節(jié)點與家鄉(xiāng)代理間的認證擴展MN-HA-AE以及外部代理與家鄉(xiāng)代理間的認證擴展FA-HA-AE����;外部代理接收所述注冊報告后,從所述網(wǎng)絡(luò)鑒權(quán)服務(wù)器獲得移動節(jié)點及外部代理之間的移動IP密鑰MN-FA-K以及外部代理與家鄉(xiāng)代理之間的移動IP密鑰FA-HA-K�,并于驗證FA-HA-AE后轉(zhuǎn)發(fā)攜帶MN-FA-AE的移動IP注冊報告至移動終端;e.移動終端接收所述移動IP注冊報告�����,根據(jù)隨機數(shù)獲得MN-HA-K及MN-FA-K���,并驗證相應(yīng)的認證擴展���。
所述根密鑰包括擴展主會話密鑰EMSK、FA相關(guān)移動IP根密鑰MIP-FA-RK及移動IP根密鑰MIP-RK的其中之一�����。
所述HA相關(guān)密鑰信息包括MN-HA-K和FA-HA-K���;或者擴展主會話密鑰EMSK�、FA相關(guān)移動IP根密鑰MIP-FA-RK及移動IP根密鑰MIP-RK三者其中之一,MN-HA-K以及外部代理與家鄉(xiāng)代理之間的隨機數(shù)fa-ha-nonce����;或者擴展主會話密鑰EMSK��、FA相關(guān)移動IP根密鑰MIP-FA-RK及移動IP根密鑰MIP-RK三者其中之一�����,移動節(jié)點與家鄉(xiāng)代理之間的隨機數(shù)mn-ha-nonce以及外部代理與家鄉(xiāng)代理之間的隨機數(shù)fa-ha-nonce���。
所述的方法還包括在鑒權(quán)認證過程中����,網(wǎng)絡(luò)鑒權(quán)服務(wù)器把FA-IP地址發(fā)送給HAAA��;或者在家鄉(xiāng)代理向AAA請求HA相關(guān)密鑰信息時����,以外部代理IP作為請求的參數(shù)。
所述的方法還包括f.如果外部代理發(fā)生遷移����,由所述家鄉(xiāng)代理HA從AAA服務(wù)器獲得目標外部代理TFA與家鄉(xiāng)代理HA之間的移動IP密鑰TFA-HA-K以及TFA相關(guān)隨機數(shù)�����,并通知給相應(yīng)的移動IP功能實體�;g.外部代理根據(jù)所述TFA相關(guān)隨機數(shù)或TFA的IP地址從網(wǎng)絡(luò)鑒權(quán)服務(wù)器獲得TFA相關(guān)移動IP密鑰��;移動節(jié)點根據(jù)MN相關(guān)隨機數(shù)獲得MN相關(guān)移動IP密鑰��。
所述的方法還包括建立各移動IP功能實體之間的安全聯(lián)盟���。
在重新鑒權(quán)認證后����,進行移動IP相關(guān)密鑰的更新��。
在重新鑒權(quán)認證時�����,移動終端MS與AAA服務(wù)器之間重新產(chǎn)生新的密鑰���,該AAA服務(wù)器下發(fā)新的密鑰信息至網(wǎng)絡(luò)鑒權(quán)服務(wù)器����;同時AAA服務(wù)器通知家鄉(xiāng)代理發(fā)生了新的鑒權(quán)認證;移動節(jié)點利用新的密鑰替代對應(yīng)舊的密鑰�,并發(fā)起移動IP注冊請求,重新進行步驟b至步驟e����。
在重新鑒權(quán)認證時,移動終端MS與AAA服務(wù)器之間重新產(chǎn)生新的密鑰���,并且該AAA服務(wù)器下發(fā)新的密鑰信息至網(wǎng)絡(luò)鑒權(quán)服務(wù)器;移動節(jié)點利用新的密鑰替代對應(yīng)舊的密鑰��,并發(fā)起移動IP注冊請求��,重新進行所述步驟b至步驟e�����。
移動節(jié)點���、外部代理及家鄉(xiāng)代理得知發(fā)生重新鑒權(quán)認證后���,刪除已有的移動IP相關(guān)的安全聯(lián)盟����。
在移動IP功能實體中密鑰的替換伴隨著安全聯(lián)盟的替換或建立��。
一種移動IP密鑰的產(chǎn)生及分發(fā)方法��,其特征在于a.鑒權(quán)認證過程中����,移動終端和認證授權(quán)計費服務(wù)器AAA產(chǎn)生移動終端相關(guān)密鑰;b.移動終端發(fā)起攜帶移動節(jié)點及AAA服務(wù)器之間認證擴展MN-AAA-AE的移動IP注冊請求�,并經(jīng)外部代理FA轉(zhuǎn)發(fā)至家鄉(xiāng)代理HA;c.家鄉(xiāng)代理向AAA服務(wù)器請求HA相關(guān)密鑰信息����,AAA服務(wù)器成功驗證MN-AAA-AE后下發(fā)HA相關(guān)密鑰信息至HA;如果步驟a中AAA服務(wù)器未下發(fā)隨機數(shù)mn-ha-nonce至移動終端����,則AAA服務(wù)器下發(fā)相應(yīng)的隨機數(shù)至家鄉(xiāng)代理;d.家鄉(xiāng)代理處理所述的移動IP注冊請求�,并經(jīng)由外部代理轉(zhuǎn)發(fā)至移動終端,該移動IP注冊請求中攜帶MN-HA-AE��;如果步驟a中AAA服務(wù)器未下發(fā)隨機數(shù)mn-ha-nonce至移動終端,則在所述注冊請求中攜帶mn-ha-nonce�;e.移動終端根據(jù)隨機數(shù)以及由EMSK或該EMSK派生出的根密鑰,計算出MN-HA-K���,并驗證所述MN-HA-AE�����。
所述的方法還包括建立各移動IP功能實體之間的安全聯(lián)盟�����。
在重新鑒權(quán)認證時�����,移動終端MS與AAA服務(wù)器之間重新產(chǎn)生新的密鑰;移動節(jié)點利用新的密鑰替代對應(yīng)舊的密鑰��,并發(fā)起移動IP注冊請求����,重新進行所述步驟b至步驟e。
在移動IP功能實體中密鑰的替換伴隨著安全聯(lián)盟的替換或建立�。
一種移動IP密鑰的產(chǎn)生及分發(fā)方法,其特征在于包括a.在鑒權(quán)認證過程中,認證授權(quán)計費服務(wù)器AAA發(fā)送密鑰信息至網(wǎng)絡(luò)鑒權(quán)服務(wù)器����;b.移動節(jié)點從所述網(wǎng)絡(luò)鑒權(quán)服務(wù)器獲得移動節(jié)點與家鄉(xiāng)代理之間的密鑰PMIP-K,并發(fā)送攜帶PMIP-AE的移動IP注冊請求���,經(jīng)由外部代理FA轉(zhuǎn)發(fā)到家鄉(xiāng)代理HA�;c.HA通過向AAA請求密鑰獲得PMIP-K����,并發(fā)送攜帶PMIP-AE的移動IP注冊報告至移動節(jié)點。
所述密鑰信息包括移動節(jié)點與家鄉(xiāng)代理之間的密鑰PMIP-K��,或者根密鑰及移動節(jié)點與家鄉(xiāng)代理之間的隨機數(shù)mn-ha-nonce����;所述根密鑰包括擴展主會話密鑰EMSK或移動IP根密鑰MIP-RK。
如果AAA下發(fā)的密鑰信息包括移動節(jié)點與AAA之間的密鑰MN-AAA-K���,則所述移動IP注冊請求還攜帶移動節(jié)點與AAA之間的認證擴展MN-AAA-AE����;并在HA向AAA請求密鑰時�����,由AAA驗證所述認證擴展MN-AAA-AE。
在重新鑒權(quán)認證時�����,移動終端MS與AAA服務(wù)器之間重新產(chǎn)生新的密鑰����;移動節(jié)點利用新的密鑰替代對應(yīng)舊的密鑰,并發(fā)起移動IP注冊請求����,重新進行所述步驟b至步驟c。
本發(fā)明的方法清楚給出了MIP相關(guān)的密鑰產(chǎn)生過程以及MIP密鑰的分發(fā)過程�,保證了MIP注冊過程的執(zhí)行。并且給出了FA遷移及重新認證情況下密鑰的產(chǎn)生及更新�����。
圖1為現(xiàn)有技術(shù)中集中式的WiMAX安全架構(gòu)體系����;圖2為現(xiàn)有技術(shù)中分布式的WiMAX安全架構(gòu)體系���;圖3a為基于CMIP的完整的安全網(wǎng)絡(luò)架構(gòu)體系����;圖3b為基于PMIP的完整的安全網(wǎng)絡(luò)架構(gòu)體系;
圖4為根據(jù)本發(fā)明的MN-AAA之間的密鑰不在鑒權(quán)過程中下發(fā)到錨鑒權(quán)者時PMIPv4的密鑰產(chǎn)生與分發(fā)流程示意圖��;圖5為根據(jù)本發(fā)明的MN-AAA之間的密鑰在鑒權(quán)過程中下發(fā)到錨鑒權(quán)者時PMIPv4的密鑰產(chǎn)生與分發(fā)流程示意圖��;圖6為本發(fā)明中不產(chǎn)生FA相關(guān)密鑰時PMIPv4的密鑰產(chǎn)生與分發(fā)流程示意圖�;圖7為本發(fā)明中產(chǎn)生FA相關(guān)密鑰時CMIPv4的密鑰產(chǎn)生與分發(fā)流程示意圖;圖8為本發(fā)明中不產(chǎn)生FA相關(guān)密鑰時CMIPv4的密鑰產(chǎn)生與分發(fā)流程示意圖���;圖9為本發(fā)明中CMIP模式下AAA主動通知HA重新認證時對應(yīng)的密鑰產(chǎn)生與分發(fā)流程圖���;圖10為本發(fā)明中PMIP模式下AAA主動通知HA重新認證時對應(yīng)的密鑰產(chǎn)生與分發(fā)流程圖;圖11為本發(fā)明中CMIP模式下HA主動通知AAA重新認證時對應(yīng)的密鑰產(chǎn)生與分發(fā)流程圖�����;圖12為本發(fā)明中CMIP模式下HA主動通知AAA重新認證時對應(yīng)的密鑰產(chǎn)生與分發(fā)流程圖�����。
具體實施例方式
為使本發(fā)明的目的����、技術(shù)方案和優(yōu)點更加清楚����,下面結(jié)合附圖對本發(fā)明的具體實施例進行詳細說明��。
本發(fā)明旨在清楚的給出MIP相關(guān)的密鑰產(chǎn)生過程和產(chǎn)生機制��,以及MIP密鑰的分發(fā)過程�����,保證MIP注冊過程的執(zhí)行�����,并提供FA遷移或重新認證過程中����,相關(guān)實體都能安全地更新密鑰信息。
本發(fā)明中可以基于隨機數(shù)進行移動IP密鑰的計算��,并且隨機數(shù)始終由AAA產(chǎn)生并且下發(fā)到網(wǎng)絡(luò)鑒權(quán)服務(wù)器NAS和/或MS�,得到隨機數(shù)(FA-HA-K還需要得知FA-IP)以后根據(jù)EMSK/MIP-RK/MIP-FA-RK就可以計算MIP密鑰。
本發(fā)明還利用MIP-FA-RK作為專門派生FA相關(guān)密鑰的根密鑰����,以增強網(wǎng)絡(luò)安全性。
下面首先對本發(fā)明中相關(guān)密鑰進行說明��。
其中���,MIP-FA-RK是由EMSK直接或者間接派生出來的專門用于產(chǎn)生FA相關(guān)密鑰(MN-FA-K和FA-HA-K)的根密鑰����。所述間接是指EMSK先派生出MIP-RK���,然后由MIP-RK派生MIP-FA-RK��。
派生MIP-FA-RK的公式可以如下MIP-FA-RK=HMAC-SHA1(EMSK�,“FA ROOT KEY”)�;或者MIP-FA-RK=H(EMSK,“FA ROOT KEY”)���;以上僅是作為舉例來說明MIP-FA-RK與根密鑰的關(guān)系(根密鑰由接入認證過程中的EAP過程產(chǎn)生���,EMSK只是根密鑰的一種),但其函數(shù)形式以及參數(shù)都不限于此,對本領(lǐng)域的技術(shù)人員來說����,根據(jù)EMSK或MIP-RK可以容易的得到產(chǎn)生FA相關(guān)密鑰的根密鑰。
對于其它相關(guān)密鑰的計算可以舉例如下PMIP-K/MN-HA-KH(MIP-RK���,”MN HA”�����,mn-ha-nonce)�;MN-FA-KH(MIP-FA-RK����,”MN FA”,mn-fa-nonce)�;FA-HA-KH(fa-ha-nonce,”FA HA”��,F(xiàn)A-IP)�����。
以上公式中H是一個Hash函數(shù)�,說明MIP密鑰如何和隨機數(shù)對應(yīng),以及和MIP-FA-RK之間的關(guān)系。H表示的函數(shù)可以是SHA-1���,MD5���,RIPEMD-128/160�,但并不限于此。
其中mn-fa-nonce(MN-FA之間的隨機數(shù))�,mn-ha-nonce(MN-HA之間的隨機數(shù)),fa-ha-nonce(FA-HA之間的隨機數(shù))均由AAA服務(wù)器產(chǎn)生并且下發(fā)��。這里定義三個隨機數(shù)�����,不意味著三個隨機數(shù)必須互相不同���。
如果不定義MN-FA-RK����,那么所有的MIP密鑰可以都由MIP-RK(或EMSK)產(chǎn)生��,并且以上描述中的MIP-FA-RK均可由MIP-RK代替����。
下面分別針對具體實施例來說明本發(fā)明����。
實施例1PMIPv4的密鑰產(chǎn)生和分發(fā)在PMIPv4模式下�,可以分為如下幾種情況進行說明(一)MN-FA之間、以及FA-HA之間需要安全性保證�����,并且MN-AAA之間的密鑰不在鑒權(quán)認證中下發(fā)到錨鑒權(quán)者時的密鑰產(chǎn)生與分發(fā)流程圖4為對應(yīng)的不下發(fā)MN-AAA之間的密鑰到錨鑒權(quán)者時的PMIP的密鑰產(chǎn)生和分發(fā)流程圖��,如圖4所示��,包括如下步驟1.鑒權(quán)認證過程中���,AAA服務(wù)器在和MS鑒權(quán)認證過程中得到EMSK以后,計算并保存EMSK/MIP-FA-RK/MIP-RK和PMIP-K(可選,PMIP-K為PMIP模式中MN-HA-K的特殊符號)���,并且下發(fā)密鑰信息到NAS(此時錨鑒權(quán)者作為NAS)。保存MIP-FA-RK/MIP-RK后AAA服務(wù)器可以刪除EMSK�����。AAA保留EMSK/MIP-RK/MIP-FA-RK,就可以按照HA的請求產(chǎn)生隨機數(shù)并且派生HA和FA/目標FA之間的密鑰�����。
此步驟中AAA服務(wù)器下發(fā)到NAS的數(shù)據(jù)包括PMIP-K(或MN與HA之間的隨機數(shù)mn-ha-nonce)���,F(xiàn)A與HA之間的隨機數(shù)fa-ha-nonce,以及根密鑰(EMSK、MIP-RK及MIP-FA-RK的其中之一)�����;另外下發(fā)到NAS的數(shù)據(jù)還可以包括FA相關(guān)隨機數(shù),如MN與FA之間的隨機數(shù)mn-fa-nonce���。該隨機數(shù)也可以在后續(xù)的過程中下發(fā)���。
EMSK/MIP-RK/MIP-FA-RK在鑒權(quán)認證過程中下發(fā)到錨鑒權(quán)者,使得錨鑒權(quán)者可以計算得出MN-FA以及FA-HA之間的密鑰�����。
如果AAA服務(wù)器下發(fā)了mn-ha-nonce,錨鑒權(quán)者就可以通過EMSK/MIP-RK之一計算PMIP-K����。PMIP模式下��,不下發(fā)隨機數(shù)到MS�,如果下發(fā)了���,MS將忽略該信息。
2.PMIP-client向錨鑒權(quán)者請求PMIP-K(以及MS的網(wǎng)絡(luò)接入標識NAI信息),建立和HA的安全聯(lián)盟并且用其產(chǎn)生MN-HA-AE和NAI擴展附加在移動IP注冊請求消息中,由FA轉(zhuǎn)發(fā)到HA���。FA不附加驗證擴展���,因為此時FA沒有和MN(PMIP-client)以及HA建立安全聯(lián)盟。如果步驟1中隨機數(shù)mn-fa-nonce下發(fā)到了錨鑒權(quán)者����,移動IP注冊請求轉(zhuǎn)發(fā)后,可以向錨鑒權(quán)者請求MN-FA-K并且建立和HA以及MN(PMIP模式下為PMIP-client)之間的安全聯(lián)盟�����。
對于密鑰和安全聯(lián)盟的關(guān)系的說明一般情況下要求對應(yīng)的移動IP實體在需要密鑰的時候����,才去請求或者計算密鑰信息;移動IP實體可以在真正需要密鑰信息之前獲得密鑰���,但是不表示當(dāng)時就建立安全聯(lián)盟��。
由于錨鑒權(quán)者��、PMIP-client和FA初始位于同一個物理實體上���,這些密鑰在它們之間可以安全的共享。因此圖4中PMIP-client向錨鑒權(quán)者發(fā)起的密鑰請求(K-request)以及錨鑒權(quán)者返回的響應(yīng)消息(K-respond)為內(nèi)部消息���,故用虛線表示�����。
3.HA收到移動IP注冊請求后向AAA服務(wù)器請求NAI對應(yīng)的PMIP-K/mn-ha-nonce���,EMSK/MIP-RK/MIP-FA-RK/FA-HA-K,以及FA相關(guān)的隨機數(shù)mn-fa-nonce和fa-ha-nonce(在AAA直接下發(fā)了FA-HA-K的情況下����,可以不下發(fā)fa-ha-nonce),以直接獲得或通過計算獲得PMIP-K及FA-HA-K。AAA把所請求的信息下發(fā)給HA�����。由于AAA根據(jù)FA-IP才能計算FA-HA-K�,因此AAA在計算FA-HA-K時,需要步驟1中NAS將FA-IP發(fā)送給AAA或者在在步驟3中由HA向AAA請求密鑰時通知給AAA服務(wù)器�����。
如果AAA沒有直接下發(fā)PMIP-K和FA-HA-K���,則HA需要根據(jù)隨機數(shù)計算PMIP-K和FA-HA-K���。如果HA位于拜訪網(wǎng)絡(luò),需要通過VAAA作為代理�����,才能和HAAA交互����。
如果步驟1中AAA服務(wù)器未下發(fā)隨機數(shù)mn-fa-nonce,則需要在該步驟3中下發(fā)所述隨機數(shù)mn-fa-nonce至HA����,以通過后續(xù)的消息(如移動IP注冊報告消息)通知給所述錨鑒權(quán)者。
4.由HA驗證MN-HA-AE即PMIP-AE后��,如果合法����,處理注冊請求消息。如果注冊成功����,然后發(fā)送攜帶mn-fa-nonce(如果步驟1中未下發(fā)),MN-HA-AE以及FA-HA-AE的MIP注冊報告給FA��。同時�,HA建立和MN以及FA的安全聯(lián)盟。
5.FA收到MIP注冊報告后��,如果FA還沒有獲得相關(guān)密鑰信息(如步驟1中隨機數(shù)mn-fa-nonce沒有下發(fā))�,把隨機數(shù)mn-fa-nonce告訴錨鑒權(quán)者請求計算MN-FA-K以及FA-HA-K。得到密鑰后�����,驗證FA-HA-AE并且在轉(zhuǎn)發(fā)的MIP注冊報告中攜帶mn-fa-nonce(可選)���,MN-FA-AE以及MN-HA-AE���。FA建立和HA以及MN(PMIP模式下應(yīng)該是PMIP-Client)之間的安全聯(lián)盟����。
6.當(dāng)PMIP-Client收到MIP注冊報告后�,如果還沒有獲得和FA之間相關(guān)密鑰信息,攜帶mn-fa-nonce向錨鑒權(quán)者請求MN-FA-K��,并驗證MN-FA-AE��。PMIP-client建立和FA之間的安全聯(lián)盟�。此時,所有的密鑰和安全聯(lián)盟都已經(jīng)分發(fā)或者建立完成�����。只有當(dāng)FA遷移����,或者密鑰過期,才需要重新計算全部或者部分密鑰��。
7.FA遷移后�,可以是代理移動IP輔助功能實體(PMIP-Assist-Entity)向PMIP-Client請求完整的MIP注冊請求消息���,也可以是PMIP-Client本身發(fā)送MIP注冊請求消息。這個注冊請求消息(攜帶MN-HA-AE��,NAI擴展���,依據(jù)RFC3957的要求,請求關(guān)于MN-FA之間的隨機數(shù))經(jīng)TFA轉(zhuǎn)發(fā)到HA����。TFA沒有和MN以及HA之間的安全聯(lián)盟。HA向AAA server請求NAI對應(yīng)的隨機數(shù)mn-tfa-nonce以及TFA-HA-K����。HA建立和TFA之間的安全聯(lián)盟。
8.HA驗證MN-HA-AE后����,處理MIP注冊請求,如果注冊成功�,發(fā)送MIP注冊報告攜帶TFA-HA-AE以及隨機數(shù)mn-tfa-nonce。TFA收到MIP注冊報告消息后����,接攜帶新隨機數(shù)mn-tfa-nonce向錨鑒權(quán)者請求密鑰(MN-TFA-K區(qū)別于原密鑰在于引入了新隨機數(shù)作為計算參數(shù)���,TFA-HA-K區(qū)別于原密鑰在于引入了新TFA-IP地址作為計算參數(shù)),并且建立和MN(PMIP模式下應(yīng)該是PMIP-Client)以及HA的安全聯(lián)盟����。驗證TFA-HA-AE后,TFA轉(zhuǎn)發(fā)MIP注冊報告攜帶MN-HA-AE(PMIP-AE)和MN-TFA-AE�。
9.如果是移動IP輔助功能實體(PMIP-Assist-Entity)收到MIP注冊報告后,需要轉(zhuǎn)發(fā)到PMIP-Client要求驗證�,或者PMIP-Client直接再次向錨鑒權(quán)者請求MN-TFA-K,并且進行驗證��,PMIP-client建立和TFA之間的安全聯(lián)盟��。如果有PMIP-Assist-Entity參與���,最后把驗證結(jié)果發(fā)送給和FA綁定的PMIP-Assist-Entity所在的接入服務(wù)網(wǎng)絡(luò)網(wǎng)關(guān)(ASN-GW)����。
(二)MN-FA之間�、以及FA-HA之間需要安全性保證,并且MN-AAA之間的密鑰在鑒權(quán)認證中下發(fā)到錨鑒權(quán)者時的密鑰產(chǎn)生與分發(fā)流程圖5為對應(yīng)的下發(fā)MN-AAA之間的密鑰到錨鑒權(quán)者時的PMIP的密鑰產(chǎn)生和分發(fā)流程圖��,如圖4所示����,包括如下步驟1.鑒權(quán)認證過程中�,AAA在和MS鑒權(quán)認證過程中得到EMSK以后���,計算并保存EMSK/MIP-FA-RK/MIP-RK和PMIP-K(可選�����,PMIP-K為PMIP模式中MN-HA-K的特殊符號),并且下發(fā)密鑰信息到NAS(此過程中錨鑒權(quán)者作為NAS)�����。保存MIP-FA-RK/MIP-RK后AAA服務(wù)器可以刪除EMSK��。此過程中AAA服務(wù)器下發(fā)到NAS的數(shù)據(jù)可以包括PMIP-K/mn-ha-nonce���,MN-AAA-K����,fa-ha-nonce����,EMSK/MIP-RK/MIP-FA-RK����;另外下發(fā)到NAS的數(shù)據(jù)還可以包括隨機數(shù)mn-fa-nonce��。該隨機數(shù)也可以在后續(xù)的過程中下發(fā)���。
如果下發(fā)了mn-ha-nonce���,錨鑒權(quán)者就可以通過EMSK或MIP-RK計算PMIP-K。PMIP模式下�����,不下發(fā)隨機數(shù)到MS�,如果下發(fā)了,MS將忽略該信息����。
2.PMIP-client向錨鑒權(quán)者請求MN-AAA-K以及MS的NAI信息,按照RFC3957的方式并且用其產(chǎn)生MN-AAA-AE和NAI擴展附加在移動IP注冊請求消息中�����,由FA轉(zhuǎn)發(fā)到HA。FA不附加驗證擴展����,因為此時FA沒有和MN(PMIP-client)以及HA建立安全聯(lián)盟。如果步驟1中隨機數(shù)mn-fa-nonce下發(fā)到了錨鑒權(quán)者����,移動IP注冊請求轉(zhuǎn)發(fā)后,F(xiàn)A可以向錨鑒權(quán)者請求MN-FA-K并且建立和HA以及MN(PMIP-client)之間的安全聯(lián)盟���。
3.HA收到移動IP注冊請求后向AAA服務(wù)器請求NAI對應(yīng)的PMIP-K或者mn-ha-nonce�,EMSK/MIP-RK/MIP-FA-RK/FA-HA-K����,以及FA相關(guān)的隨機數(shù)mn-fa-nonce和fa-ha-nonce(在AAA直接下發(fā)了FA-HA-K的情況下��,可以不下發(fā)fa-ha-nonce)�。AAA成功驗證MN-AAA-AE后,把所請求的信息下發(fā)給HA����。如果AAA沒有直接下發(fā)PMIP-K和FA-HA-K,則HA需要計算PMIP-K和FA-HA-K���。如果HA位于拜訪網(wǎng)絡(luò)���,需要通過VAAA作為代理����,才能和HAAA交互����。
如果步驟1中AAA服務(wù)器未下發(fā)隨機數(shù)mn-fa-nonce,則需要在該步驟3中下發(fā)所述隨機數(shù)mn-fa-nonce至HA����,以通過后續(xù)的消息(如移動IP注冊報告消息)通知給所述錨鑒權(quán)者。
4.AAA服務(wù)器驗證通過后�,由HA處理注冊請求消息。如果注冊成功���,然后發(fā)送攜帶mn-fa-nonce��,MN-HA-AE以及FA-HA-AE的MIP注冊報告給FA�����。HA建立和MN(PMIP模式下應(yīng)該是PMIP-Client)以及FA的安全聯(lián)盟�。
5.FA收到MIP注冊報告后,如果FA還沒有獲得相關(guān)密鑰信息(如步驟1中隨機數(shù)mn-fa-nonce沒有下發(fā))���,把隨機數(shù)mn-fa-nonce告訴錨鑒權(quán)者請求計算MN-FA-K以及FA-HA-K��。得到密鑰后�,驗證FA-HA-AE并且在轉(zhuǎn)發(fā)的MIP注冊報告中攜帶mn-fa-nonce�,MN-FA-AE以及MN-HA-AE。FA建立和HA以及MN(PMIP模式下應(yīng)該是PMIP-Client)之間的安全聯(lián)盟���。
6.當(dāng)PMIP-Client收到MIP注冊報告后����,如果還沒有獲得和FA之間相關(guān)密鑰信息(如步驟1中隨機數(shù)mn-fa-nonce沒有下發(fā))�����,攜帶mn-fa-nonce向錨鑒權(quán)者請求MN-FA-K�,并驗證MN-FA-AE��。PMIP-client建立和FA之間的安全聯(lián)盟����。此時,所有的密鑰和安全聯(lián)盟都已經(jīng)分發(fā)或者建立完成。只有當(dāng)FA遷移����,或者密鑰過期,才需要重新計算全部或者部分密鑰��。
7.FA遷移后����,可以是代理移動IP輔助功能實體(PMIP-Assist-Entity)向PMIP-Client請求完整的MIP注冊請求消息,也可以是PMIP-Client本身發(fā)送MIP注冊請求消息�����。這個注冊請求消息(攜帶MN-HA-AE�,NAI擴展,MN-AAA-AE��,依據(jù)RFC3957的要求��,請求關(guān)于MN-FA之間的隨機數(shù))經(jīng)TFA轉(zhuǎn)發(fā)到HA�。TFA沒有和MN以及HA之間的安全聯(lián)盟。HA向AAA服務(wù)器請求NAI對應(yīng)的隨機數(shù)mn-tfa-nonce以及TFA-HA-K�。HA建立和TFA之間的安全聯(lián)盟。
8.HA驗證MN-HA-AE后��,處理MIP注冊請求,如果注冊成功���,發(fā)送MIP注冊報告攜帶TFA-HA-AE以及隨機數(shù)mn-tfa-nonce���。TFA收到MIP注冊報告消息后,接攜帶新隨機數(shù)mn-tfa-nonce向錨鑒權(quán)者請求密鑰���,并且建立和MN(PMIP模式下應(yīng)該是PMIP-Client)以及HA的安全聯(lián)盟��。驗證TFA-HA-AE后���,TFA轉(zhuǎn)發(fā)MIP注冊報告攜帶MN-HA-AE(PMIP-AE)和MN-TFA-AE。
9.如果是移動IP輔助功能實體(PMIP-Assist-Entity)收到MIP注冊報告后�,需要轉(zhuǎn)發(fā)到PMIP-Client要求驗證,或者PMIP-Client直接再次向錨鑒權(quán)者請求MN-TFA-K�����,并且進行驗證�,PMIP-client建立和TFA之間的安全聯(lián)盟。如果有PMIP-Assist-Entity參與�,最后把驗證結(jié)果發(fā)送給和FA綁定的PMIP-Assist-Entity所在的接入服務(wù)網(wǎng)絡(luò)網(wǎng)關(guān)(ASN-GW)��。
(三)不產(chǎn)生FA相關(guān)密鑰時的密鑰產(chǎn)生及分發(fā)如圖6所示,具體包括如下步驟1.PMIP-K(或者根密鑰EMSK/MIP-RK與MN與HA之間的隨機數(shù)mn-ha-nonce)在鑒權(quán)認證過程中產(chǎn)生并且下發(fā)���,同時也可以下發(fā)MN-AAA-K��;2.PMIP client向錨鑒權(quán)者請求PMIP-K��;3.PMIP client發(fā)送攜帶MN-HA-AE的MIP注冊請求�,經(jīng)由FA轉(zhuǎn)發(fā)到HA��;如果MN-AAA-K在步驟1中下發(fā)了����,則所述MIP注冊請求還可以攜帶MN-AAA-AE;4.HA向HAAA請求PMIP-K����,如果步驟3中攜帶了MN-AAA-AE,HAAA就需要先驗證MN-AAA-AE����,如果HA位于拜訪網(wǎng)絡(luò),需要VAAA作為代理�����;5.HA驗證MN-HA-AE后,處理MIP注冊請求����,如果注冊成功,發(fā)送移動IP注冊報告MIP-RRP(攜帶MN-HA-AE)�,經(jīng)由FA轉(zhuǎn)發(fā)到PMIP client。
實施例2CMIPv4的密鑰產(chǎn)生與分發(fā)(一)MN-FA之間����、以及FA-HA之間需要安全性保證情況下的CMIPv4的密鑰產(chǎn)生與分發(fā)如圖7所示,具體包括如下步驟1.鑒權(quán)認證過程中�,AAA在和MS鑒權(quán)認證過程中得到EMSK以后,計算并保存EMSK/MIP-FA-RK/MIP-RK和MN-HA-K(可選)���,并且下發(fā)到NAS(此過程中錨鑒權(quán)者作為NAS)����。此過程中AAA服務(wù)器下發(fā)到NAS的數(shù)據(jù)可以包括FA與HA之間的隨機數(shù)fa-ha-nonce�,EMSK/MIP-RK/MIP-FA-RK。另外下發(fā)到NAS的數(shù)據(jù)還可以包括MN與FA之間的隨機數(shù)mn-fa-nonce���,該隨機數(shù)也可以在后續(xù)的過程中下發(fā)�����。
AAA也可以在此過程中把mn相關(guān)隨機數(shù)(mn-ha-nonce及/或mn-fa-nonce)下發(fā)到MS�����。
如果錨鑒權(quán)者請求時附帶了FA-IP���,那么AAA就可以計算FA-HA-K。
2.當(dāng)MS收到FA的代理廣播消息后����,MS發(fā)起一次MIP注冊請求(依據(jù)RFC3957的要求,請求關(guān)于MN-HA/MN-FA之間的隨機數(shù))��,攜帶有MN-AAA-AE����。此MIP注冊請求經(jīng)由FA轉(zhuǎn)發(fā)到HA。如果步驟1中隨機數(shù)mn-ha-nonce下發(fā)到了MS����,MS就可以計算出MN-HA-K,在注冊請求中就可以附加上MN-HA-AE����,MS建立和HA之間的安全聯(lián)盟�����。
3.HA無法驗證MN-AAA-AE���,于是求助AAA服務(wù)器。AAA服務(wù)器驗證MN-AAA-AE通過后����,如果步驟1中沒有產(chǎn)生隨機數(shù),則產(chǎn)生三個隨機數(shù)(記為mn-fa-nonce����,mn-ha-nonce,fa-ha-nonce)��,并且計算MN-HA-K以及FA-HA-K(FA-IP可以在步驟1中發(fā)送給AAA或者通過在HA的移動IP注冊請求中攜帶給AAA)����,和隨機數(shù)(mn-ha-nonce,fa-ha-nonce)一起被下發(fā)到HA���。如果HA有計算移動IP密鑰的能力�����,也可以把EMSK/MIP-RK連同隨機數(shù)(mn-ha-nonce��,fa-ha-nonce)下發(fā)給HA��,由HA計算MN-HA-K以及FA-HA-K(HA已知FA的IP地址)���。如果HA位于拜訪網(wǎng)絡(luò),需要通過VAAA作為代理��,才能和HAAA交互����。如果步驟1中AAA服務(wù)器未下發(fā)mn-fa-nonce至錨鑒權(quán)者或者未下發(fā)移動節(jié)點相關(guān)隨機數(shù)(mn-ha-nonce及/或mn-fa-nonce)至移動終端,則AAA服務(wù)器下發(fā)mn-fa-nonce或mn-ha-nonce至家鄉(xiāng)代理HA����,以通過后續(xù)的移動IP注冊報告對應(yīng)地發(fā)送至錨鑒權(quán)者或移動終端MS;4.HA收到AAA驗證結(jié)果�����,密鑰和隨機數(shù)后�����,如果步驟1中附加了MN-HA-AE,還需要驗證MN-HA-AE���,如果合法�����,或者步驟1中沒有附加MN-HA-AE��,則處理注冊請求消息��。如果注冊成功����,HA利用MN-HA-K以及FA-HA-K建立和MN以及FA之間的安全聯(lián)盟�。HA發(fā)送MIP注冊報告給FA,攜帶隨機數(shù)(mn-fa-nonce�����、mn-ha-nonce)�����,MN-HA-AE以及FA-HA-AE。
5.FA從HA接收到MIP注冊報告消息后�,如果FA還沒有獲得相關(guān)密鑰信息,發(fā)送密鑰請求消息K-Request(所需密鑰相關(guān)隨機數(shù)以及FA的IP地址)向錨鑒權(quán)者請求密鑰信息�。錨鑒權(quán)者把所請求的密鑰作為回應(yīng)發(fā)給FA。FA得到密鑰(MN-FA-K以及FA-HA-K)后建立和MS以及HA之間的安全聯(lián)盟�,并且驗證MIP報告消息的FA-HA-AE,并且發(fā)送MIP注冊報告(攜帶mn-fa-nonce和mn-ha-nonce�,以及MN-HA-AE,MN-FA-AE)��。
6.MS根據(jù)MIP-RK和或MIP-FA-RK以及從MIP注冊報告的消息中得到的隨機數(shù)(mn-fa-nonce和mn-ha-nonce)計算出MN-FA-K以及MN-HA-K����,并且對MN-FA-AE和MN-HA-AE進行驗證��。然后MS建立和FA以及HA之間的安全聯(lián)盟�。這樣,所有的實體都獲得了應(yīng)該有的密鑰信息以及安全聯(lián)盟�,只有當(dāng)FA遷移,或者密鑰過期���,才需要重新計算全部或者部分密鑰��。
7.當(dāng)FA發(fā)生了遷移�����,MS收到TFA的代理廣播消息以后����,發(fā)送MIP注冊請求(攜帶MN-HA-AE,NAI擴展����,MN-AAA-AE,依據(jù)RFC3957的要求��,請求關(guān)于MN-TFA之間的隨機數(shù))����。TFA收到這個消息以后轉(zhuǎn)發(fā)給HA。
8.HA發(fā)現(xiàn)沒有TFA-HA-K��,就向AAA服務(wù)器請求隨機數(shù)(mn-tfa-nonce)以及TFA-HA-K���。HA從AAA獲得或者計算TFA-HA-K后把AAA新產(chǎn)生的隨機數(shù)(mn-tfa-nonce)發(fā)送到TFA��,并且在MIP注冊報告消息中攜帶MN-HA-AE以及TFA-HA-AE��。HA建立和TFA之間的安全聯(lián)盟��。
9.TFA收到MIP注冊報告消息后�,直接攜帶新隨機數(shù)向錨鑒權(quán)者請求密鑰(MN-TFA-K區(qū)別于原密鑰在于引入了新隨機數(shù)mn-tfa-nonce作為計算參數(shù),TFA-HA-K區(qū)別于原密鑰在于引入了新TFA-IP地址作為計算參數(shù)��,而隨機數(shù)fa-ha-nonce不需要更新)并且建立和MS以及HA之間的安全聯(lián)盟�����,并且驗證TFA-HA-AE�。MS收到mn-tfa-nonce后計算MN-TFA-K后驗證MN-TFA-AE,用原來的MN-HA-K驗證MN-HA-AE���。
(二)不產(chǎn)生FA相關(guān)密鑰時的密鑰產(chǎn)生及分發(fā)如圖8所示����,包括如下步驟
1.鑒權(quán)認證過程中沒有密鑰下發(fā)�����,但是MS和AAA可以產(chǎn)生相同的MIP-RK����;可選的��,AAA也可以在此過程中把mn相關(guān)隨機數(shù)(mn-ha-nonce)下發(fā)到MS。
2.MS收到FA廣播消息后���,發(fā)送MIP注冊消息(攜帶MN-AAA-AE)�����,由FA轉(zhuǎn)發(fā)到HA���;如果步驟1中隨機數(shù)mn-ha-nonce下發(fā)到了MS,MS就可以計算出MN-HA-K�,在注冊請求中就可以附加上MN-HA-AE,MS建立和HA之間的安全聯(lián)盟����。
3.HA向HAAA請求MN-HA-K以及隨機數(shù),如果HA位于拜訪網(wǎng)絡(luò)���,需要VAAA作為代理��;4.HA驗證MN-HA-AE后�����,處理MIP注冊請求�,如果注冊成功,發(fā)送移動IP注冊報告MIP-RRP(攜帶隨機數(shù)和MN-HA-AE)��,經(jīng)由FA轉(zhuǎn)發(fā)到MS�����;5.MS得到隨機數(shù)以后�,就可以根據(jù)MIP-RK計算MN-HA-K,然后驗證MN-HA-AE��。
實施例3重鑒權(quán)認證時密鑰的產(chǎn)生與分發(fā)在重新鑒權(quán)認證時���,AAA重新產(chǎn)生隨機數(shù)�����,所有實體刪除相關(guān)安全聯(lián)盟(或者不刪除�,而在后續(xù)進行安全聯(lián)盟的替換)�����,重新按照本發(fā)明步驟產(chǎn)生和分發(fā)密鑰信息��。HA在PMIP模式及CMIP模式下�����,可以是由AAA主動通知重新鑒權(quán)認證�,也可以是從移動IP注冊請求MIP-RRQ中的MN-AAA-AE判斷。
一�、CMIP模式下,AAA主動通知HA時對應(yīng)的密鑰產(chǎn)生與分發(fā)如圖9所示�����,具體包括如下步驟1.當(dāng)重新鑒權(quán)認證時�,移動終端MS與AAA服務(wù)器之間重新產(chǎn)生新的MS相關(guān)密鑰;在需要產(chǎn)生FA相關(guān)密鑰的情況下�����,AAA發(fā)送新的密鑰信息至錨鑒權(quán)者�,F(xiàn)A和錨鑒權(quán)者直接通過內(nèi)部消息交互;2.AAA在重新產(chǎn)生MS相關(guān)密鑰后�,主動通知(例如通過重新認證指示Re-Authen-Ind通知)HA發(fā)生了重新鑒權(quán)認證;3.所有介入的移動IP功能實體�����,在得知重新鑒權(quán)認證后,刪除原來已有的移動IP注冊相關(guān)的安全聯(lián)盟����;4.移動節(jié)點利用新的密鑰替代對應(yīng)的舊的密鑰,并發(fā)起移動IP注冊請求��,從而重新進入CMIP模式下實施實例的(一)中步驟2及后續(xù)步驟�����,開始重新建立安全聯(lián)盟以及分發(fā)密鑰���。
對于不產(chǎn)生FA相關(guān)密鑰時�����,CMIP模式下密鑰產(chǎn)生及分發(fā)是上述步驟的進一步簡化在重新鑒權(quán)認證時��,移動終端MS與AAA服務(wù)器之間重新產(chǎn)生新的MS相關(guān)密鑰����;AAA在重新產(chǎn)生MS相關(guān)密鑰后��,主動通知HA發(fā)生了重新鑒權(quán)認證���;移動節(jié)點利用新的密鑰替代對應(yīng)舊的密鑰�,并發(fā)起移動IP注冊請求����,重新進行實施例2的(二)中步驟2及其后續(xù)步驟。
二����、PMIP模式下,AAA主動通知HA時對應(yīng)的密鑰產(chǎn)生與分發(fā)如圖10所示���,具體包括如下步驟1.當(dāng)重新鑒權(quán)認證時����,MS相關(guān)的密鑰重新產(chǎn)生���,AAA發(fā)送新的密鑰信息至錨鑒權(quán)者�,F(xiàn)A�����、PMIP-client和錨鑒權(quán)者直接通過內(nèi)部消息交互���;2.AAA在重新產(chǎn)生MS相關(guān)密鑰后���,主動通知HA發(fā)生了重新鑒權(quán)認證�;3.所有介入的移動IP功能實體�,在得知重新鑒權(quán)認證后,刪除原來已有的移動IP注冊相關(guān)的安全聯(lián)盟��;4.移動節(jié)點利用新的密鑰替代對應(yīng)的舊的密鑰�,并發(fā)起移動IP注冊請求,之后的步驟�,從而重新進入PMIP模式下實施實例中步驟2及后續(xù)步驟,開始重新建立安全聯(lián)盟以及分發(fā)密鑰����。
對于不產(chǎn)生FA相關(guān)密鑰時,PMIP模式下密鑰產(chǎn)生及分發(fā)是上述步驟的進一步簡化����,在此不作詳細描述。
三���、CMIP模式下��,HA主動通知AAA時對應(yīng)的密鑰產(chǎn)生與分發(fā)如圖11所示����,具體包括如下步驟1.當(dāng)重新鑒權(quán)認證時,移動終端MS與AAA服務(wù)器之間重新產(chǎn)生新的MS相關(guān)密鑰����;在需要產(chǎn)生FA相關(guān)密鑰的情況下�����,AAA發(fā)送新的密鑰信息至錨鑒權(quán)者���,F(xiàn)A和錨鑒權(quán)者直接通過內(nèi)部消息交互�;2.MS發(fā)起移動IP注冊請求����,并且攜帶MN-AAA-AE,F(xiàn)A轉(zhuǎn)發(fā)收到的移動IP注冊請求消息�����,HA收到含有MN-AAA-AE的移動IP注冊請求消息后��,就知道發(fā)生了重新鑒權(quán)認證����;所有介入的移動IP功能實體�����,在得知重新鑒權(quán)認證后��,刪除原來已有的移動IP注冊相關(guān)的安全聯(lián)盟����;3.移動節(jié)點利用新的密鑰替代對應(yīng)的舊的密鑰����,并發(fā)起移動IP注冊請求,從而從新進入CMIP模式下實施實例的(一)中步驟2及后續(xù)步驟�,開始重新建立安全聯(lián)盟以及分發(fā)密鑰。
對于不產(chǎn)生FA相關(guān)密鑰時����,CMIP模式下密鑰產(chǎn)生及分發(fā)是上述步驟的進一步簡化,在此不作詳細描述�����。
四���、PMIP模式下����,HA主動通知AAA時對應(yīng)的密鑰產(chǎn)生與分發(fā)如圖12所示,具體包括如下步驟1.當(dāng)重新鑒權(quán)認證時�����,MS相關(guān)的密鑰重新產(chǎn)生�����,AAA發(fā)送新的密鑰信息至錨鑒權(quán)者�,F(xiàn)A�、PMIP-client和錨鑒權(quán)者直接通過內(nèi)部消息交互;2.PMIP-client發(fā)起移動IP注冊請求��,并且攜帶MN-AAA-AE����,F(xiàn)A轉(zhuǎn)發(fā)收到的移動IP注冊請求消息,HA收到含有MN-AAA-AE的移動IP注冊請求消息后�����,就知道發(fā)生了重新鑒權(quán)認證;所有介入的移動IP功能實體����,在得知重新鑒權(quán)認證后,刪除原來已有的移動IP注冊相關(guān)的安全聯(lián)盟��;3.移動節(jié)點利用新的密鑰替代對應(yīng)的舊的密鑰��,并發(fā)起移動IP注冊請求�,之后的步驟,從而重新進入PMIP模式下實施實例中步驟2及后續(xù)步驟�����,開始重新建立安全聯(lián)盟以及分發(fā)密鑰����。
對于不產(chǎn)生FA相關(guān)密鑰時,PMIP模式下密鑰產(chǎn)生及分發(fā)是上述步驟的進一步簡化�����,在此不作詳細描述�����。
綜上所述,本發(fā)明清楚給出了MIP相關(guān)的密鑰產(chǎn)生過程和產(chǎn)生機制�,以及MIP密鑰的分發(fā)過程,保證MIP注冊過程的執(zhí)行�。并且給出了FA遷移及重新認證情況下密鑰的產(chǎn)生及更新。
以上具體實施方式
僅用于說明本發(fā)明����,而非用于限定本發(fā)明。凡在本發(fā)明的精神和原則之內(nèi)���,所做的任何修改��、等同替換、改進等�����,均應(yīng)包含在本發(fā)明的保護范圍之內(nèi)�。
權(quán)利要求
1.一種移動IP密鑰的產(chǎn)生及分發(fā)方法,其特征在于在鑒權(quán)認證過程中�����,認證授權(quán)計費AAA服務(wù)器下發(fā)包括根密鑰及外部代理FA與家鄉(xiāng)代理HA之間的隨機數(shù)fa-ha-nonce的密鑰信息至網(wǎng)絡(luò)鑒權(quán)服務(wù)器�;家鄉(xiāng)代理HA通過AAA服務(wù)器獲得家鄉(xiāng)代理相關(guān)的移動IP密鑰�;如果AAA服務(wù)器未下發(fā)移動節(jié)點MN與外部代理FA之間的隨機數(shù)mn-fa-nonce至網(wǎng)絡(luò)鑒權(quán)服務(wù)器��,則AAA服務(wù)器下發(fā)該隨機數(shù)至家鄉(xiāng)代理�,并經(jīng)外部代理通知網(wǎng)絡(luò)鑒權(quán)服務(wù)器;外部代理根據(jù)FA相關(guān)隨機數(shù)及/或FA的IP地址從所述網(wǎng)絡(luò)鑒權(quán)服務(wù)器獲得FA相關(guān)移動IP密鑰�����;移動節(jié)點從所述網(wǎng)絡(luò)鑒權(quán)服務(wù)器獲得MN相關(guān)移動IP密鑰��。
2.根據(jù)權(quán)利要求1所述的方法��,其特征在于具體包括如下步驟a.鑒權(quán)認證過程中��,認證授權(quán)計費AAA服務(wù)器下發(fā)密鑰信息至網(wǎng)絡(luò)鑒權(quán)服務(wù)器����,網(wǎng)絡(luò)鑒權(quán)服務(wù)器根據(jù)所述密鑰信息至少獲得移動節(jié)點與家鄉(xiāng)代理之間的移動IP密鑰MN-HA-K及/或移動節(jié)點與AAA服務(wù)器之間的密鑰MN-AAA-K;所述密鑰信息至少包括根密鑰及外部代理FA與家鄉(xiāng)代理HA之間的隨機數(shù)fa-ha-nonce����;b.移動節(jié)點發(fā)起移動IP注冊請求,經(jīng)外部代理FA轉(zhuǎn)發(fā)至家鄉(xiāng)代理HA�,該移動IP注冊請求中攜帶MN-HA-AE及/或移動節(jié)點與AAA服務(wù)器之間的認證擴展MN-AAA-AE;c.家鄉(xiāng)代理HA接收所述的移動IP注冊請求,并請求AAA服務(wù)器下發(fā)HA相關(guān)密鑰信息���,以獲得移動節(jié)點與家鄉(xiāng)代理之間的移動IP密鑰MN-HA-K以及外部代理與家鄉(xiāng)代理之間的移動IP密鑰FA-HA-K�;并在所述移動IP注冊請求攜帶MN-HA-AE時���,驗證所述的MN-HA-AE���;如果步驟a中AAA服務(wù)器未下發(fā)移動節(jié)點與外部代理之間的隨機數(shù)mn-fa-nonce至網(wǎng)絡(luò)鑒權(quán)服務(wù)器,則AAA服務(wù)器下發(fā)所述該隨機數(shù)至家鄉(xiāng)代理��,以通過移動IP注冊報告發(fā)送至外部代理��,從而通知網(wǎng)絡(luò)鑒權(quán)服務(wù)器���;d.家鄉(xiāng)代理發(fā)送攜帶MN-HA-AE及FA-HA-AE的注冊報告至外部代理FA�,外部代理接收所述注冊報告后����,從所述網(wǎng)絡(luò)鑒權(quán)服務(wù)器獲得移動節(jié)點及外部代理之間的移動IP密鑰MN-FA-K以及外部代理與家鄉(xiāng)代理之間的移動IP密鑰FA-HA-K�����,并于驗證FA-HA-AE后轉(zhuǎn)發(fā)攜帶MN-FA-AE的移動IP注冊報告至移動節(jié)點;e.移動節(jié)點接收移動IP注冊報告���,從所述網(wǎng)絡(luò)鑒權(quán)服務(wù)器獲得MN-FA-K�,并驗證MN-FA-AE�。
3.根據(jù)權(quán)利要求1或2所述的方法,其特征在于所述根密鑰包括擴展主會話密鑰EMSK����、FA相關(guān)移動IP根密鑰MIP-FA-RK及移動IP根密鑰MIP-RK的其中之一;所述密鑰信息還包括移動節(jié)點與家鄉(xiāng)代理之間的移動IP密鑰MN-HA-K或移動節(jié)點與家鄉(xiāng)代理之間的隨機數(shù)mn-ha-nonce�,及/或移動節(jié)點與AAA服務(wù)器之間的密鑰MN-AAA-K。
4.根據(jù)權(quán)利要求2所述的方法��,其特征在于步驟c中所述HA相關(guān)密鑰信息包括MN-HA-K和FA-HA-K���;或者擴展主會話密鑰EMSK���、FA相關(guān)移動IP根密鑰MIP-FA-RK及移動IP根密鑰MIP-RK三者其中之一,MN-HA-K以及外部代理與家鄉(xiāng)代理之間的隨機數(shù)fa-ha-nonce�����;或者擴展主會話密鑰EMSK�、FA相關(guān)移動IP根密鑰MIP-FA-RK及移動IP根密鑰MIP-RK三者其中之一,移動節(jié)點與家鄉(xiāng)代理之間的隨機數(shù)mn-ha-nonce以及外部代理與家鄉(xiāng)代理之間的隨機數(shù)fa-ha-nonce。
5.根據(jù)權(quán)利要求2所述的方法���,其特征在于在鑒權(quán)認證過程中�����,網(wǎng)絡(luò)鑒權(quán)服務(wù)器把FA-IP地址發(fā)送給AAA����;或者在家鄉(xiāng)代理向AAA請求HA相關(guān)密鑰信息時�,以外部代理IP作為請求的參數(shù)。
6.根據(jù)權(quán)利要求1所述的方法����,其特征在于還包括f.在外部代理遷移后,發(fā)起移動IP注冊請求至家鄉(xiāng)代理HA,由所述家鄉(xiāng)代理HA從AAA服務(wù)器獲得目標外部代理TFA與家鄉(xiāng)代理HA之間的移動IP密鑰TFA-HA-K以及TFA相關(guān)隨機數(shù);g.將TFA相關(guān)隨機數(shù)發(fā)送至外部代理��,并通知所述網(wǎng)絡(luò)鑒權(quán)服務(wù)器,網(wǎng)絡(luò)鑒權(quán)服務(wù)器根據(jù)所述TFA相關(guān)隨機數(shù)或TFA的IP地址產(chǎn)生TFA相關(guān)移動IP密鑰�;移動節(jié)點及目標外部代理從所述網(wǎng)絡(luò)鑒權(quán)服務(wù)器獲得相應(yīng)的TFA相關(guān)移動IP密鑰。
7.根據(jù)權(quán)利要求1���,2或6所述的方法,其特征在于還包括建立各移動IP功能實體之間的安全聯(lián)盟。
8.根據(jù)權(quán)利要求1所述的方法�,其特征在于在重新鑒權(quán)認證后,進行移動IP相關(guān)密鑰的更新�。
9.根據(jù)權(quán)利要求2所述的方法,其特征在于在重新鑒權(quán)認證時���,移動終端MS與AAA服務(wù)器之間重新產(chǎn)生新的密鑰�,該AAA服務(wù)器下發(fā)新的密鑰信息至網(wǎng)絡(luò)鑒權(quán)服務(wù)器以產(chǎn)生新的MN-HA-K及/或MN-AAA-K�����;同時通知家鄉(xiāng)代理發(fā)生了新的鑒權(quán)認證�����;移動節(jié)點利用新的密鑰替代對應(yīng)舊的密鑰����,并發(fā)起移動IP注冊請求,重新進行步驟b至步驟e����。
10.根據(jù)權(quán)利要求1所述的方法,其特征在于在重新鑒權(quán)認證時��,移動終端MS與AAA服務(wù)器之間重新產(chǎn)生新的密鑰,并且該AAA服務(wù)器下發(fā)新的密鑰信息至網(wǎng)絡(luò)鑒權(quán)服務(wù)器以產(chǎn)生新的MN-HA-K及/或MN-AAA-K�����;移動節(jié)點利用新的密鑰替代對應(yīng)舊的密鑰���,并發(fā)起移動IP注冊請求�,重新進行所述步驟b至步驟e�。
11.根據(jù)權(quán)利要求9或10所述的方法,其特征在于移動節(jié)點�����、外部代理及家鄉(xiāng)代理得知發(fā)生重新鑒權(quán)認證后�,刪除已有的移動IP相關(guān)的安全聯(lián)盟。
12.根據(jù)權(quán)利要求9或10所述的方法���,其特征在于在移動IP功能實體中密鑰的替換伴隨著安全聯(lián)盟的替換或建立�。
13.一種移動IP密鑰的產(chǎn)生及分發(fā)方法����,其特征在于在鑒權(quán)認證過程中,認證授權(quán)計費AAA服務(wù)器下發(fā)包括根密鑰及外部代理FA與家鄉(xiāng)代理HA之間的隨機數(shù)fa-ha-nonce的密鑰信息至網(wǎng)絡(luò)鑒權(quán)服務(wù)器����;家鄉(xiāng)代理HA通過AAA服務(wù)器獲得家鄉(xiāng)代理HA相關(guān)的移動IP密鑰;如果AAA服務(wù)器未下發(fā)移動節(jié)點MN與外部代理FA之間的隨機數(shù)mn-fa-nonce及/或移動節(jié)點MN與家鄉(xiāng)代理HA之間的隨機數(shù)mn-ha-nonce��,則AAA服務(wù)器下發(fā)所述隨機數(shù)至家鄉(xiāng)代理����,并通知相應(yīng)的移動IP功能實體;外部代理根據(jù)FA相關(guān)隨機數(shù)及/或FA的IP地址從所述網(wǎng)絡(luò)鑒權(quán)服務(wù)器獲得FA相關(guān)移動IP密鑰��;移動節(jié)點根據(jù)MN相關(guān)隨機數(shù)獲得MN相關(guān)移動IP密鑰��。
14.根據(jù)權(quán)利要求13所述的方法�,其特征在于具體包括如下步驟a.在鑒權(quán)認證過程中,認證授權(quán)計費AAA服務(wù)器下發(fā)包括根密鑰及外部代理FA與家鄉(xiāng)代理HA之間的隨機數(shù)fa-ha-nonce的密鑰信息至網(wǎng)絡(luò)鑒權(quán)服務(wù)器���;b.移動終端發(fā)起攜帶移動節(jié)點及AAA服務(wù)器之間認證擴展MN-AAA-AE的移動IP注冊請求���,并經(jīng)外部代理FA轉(zhuǎn)發(fā)至家鄉(xiāng)代理HA;c.家鄉(xiāng)代理接收移動IP注冊請求����,請求AAA服務(wù)器驗證MN-AAA-AE并下發(fā)HA相關(guān)密鑰信息,HA根據(jù)所述HA相關(guān)密鑰信息獲得移動節(jié)點與家鄉(xiāng)代理之間的移動IP密鑰MN-HA-K以及外部代理與家鄉(xiāng)代理之間的移動IP密鑰FA-HA-K����;如果步驟a中AAA服務(wù)器未下發(fā)移動節(jié)點MN與外部代理FA之間的隨機數(shù)mn-fa-nonce或者移動節(jié)點與家鄉(xiāng)代理間隨機數(shù)mn-ha-nonce���,則AAA服務(wù)器下發(fā)mn-fa-nonce或mn-ha-nonce至家鄉(xiāng)代理HA,以通過后續(xù)的移動IP注冊報告發(fā)送至相應(yīng)的移動IP功能實體�����;d.家鄉(xiāng)代理發(fā)送移動IP注冊報告至外部代理�����,該移動IP注冊報告攜帶移動節(jié)點與家鄉(xiāng)代理間的認證擴展MN-HA-AE以及外部代理與家鄉(xiāng)代理間的認證擴展FA-HA-AE�����;外部代理接收所述注冊報告后��,從所述網(wǎng)絡(luò)鑒權(quán)服務(wù)器獲得移動節(jié)點及外部代理之間的移動IP密鑰MN-FA-K以及外部代理與家鄉(xiāng)代理之間的移動IP密鑰FA-HA-K��,并于驗證FA-HA-AE后轉(zhuǎn)發(fā)攜帶MN-FA-AE的移動IP注冊報告至移動終端���;e.移動終端接收所述移動IP注冊報告���,根據(jù)隨機數(shù)獲得MN-HA-K及MN-FA-K����,并驗證相應(yīng)的認證擴展�。
15.根據(jù)權(quán)利要求13或14所述的方法,其特征在于所述根密鑰包括擴展主會話密鑰EMSK�、FA相關(guān)移動IP根密鑰MIP-FA-RK及移動IP根密鑰MIP-RK的其中之一����。
16.根據(jù)權(quán)利要求13或14所述的方法,其特征在于所述HA相關(guān)密鑰信息包括MN-HA-K和FA-HA-K�;或者擴展主會話密鑰EMSK、FA相關(guān)移動IP根密鑰MIP-FA-RK及移動IP根密鑰MIP-RK三者其中之一���,MN-HA-K以及外部代理與家鄉(xiāng)代理之間的隨機數(shù)fa-ha-nonce����;或者擴展主會話密鑰EMSK�����、FA相關(guān)移動IP根密鑰MIP-FA-RK及移動IP根密鑰MIP-RK三者其中之一�����,移動節(jié)點與家鄉(xiāng)代理之間的隨機數(shù)mn-ha-nonce以及外部代理與家鄉(xiāng)代理之間的隨機數(shù)fa-ha-nonce。
17.根據(jù)權(quán)利要求14所述的方法����,其特征在于還包括在鑒權(quán)認證過程中,網(wǎng)絡(luò)鑒權(quán)服務(wù)器把FA-IP地址發(fā)送給HAAA�;或者在家鄉(xiāng)代理向AAA請求HA相關(guān)密鑰信息時,以外部代理IP作為請求的參數(shù)�。
18.根據(jù)權(quán)利要求13所述的方法,其特征在于還包括f.如果外部代理發(fā)生遷移�,由所述家鄉(xiāng)代理HA從AAA服務(wù)器獲得目標外部代理TFA與家鄉(xiāng)代理HA之間的移動IP密鑰TFA-HA-K以及TFA相關(guān)隨機數(shù),并通知給相應(yīng)的移動IP功能實體�;g.外部代理根據(jù)所述TFA相關(guān)隨機數(shù)或TFA的IP地址從網(wǎng)絡(luò)鑒權(quán)服務(wù)器獲得TFA相關(guān)移動IP密鑰;移動節(jié)點根據(jù)MN相關(guān)隨機數(shù)獲得MN相關(guān)移動IP密鑰��。
19.根據(jù)權(quán)利要求13�,14或18所述的方法,其特征在于還包括建立各移動IP功能實體之間的安全聯(lián)盟��。
20.根據(jù)權(quán)利要求13所述的方法���,其特征在于在重新鑒權(quán)認證后�,進行移動IP相關(guān)密鑰的更新�。
21.根據(jù)權(quán)利要求14所述的方法,其特征在于在重新鑒權(quán)認證時,移動終端MS與AAA服務(wù)器之間重新產(chǎn)生新的密鑰�,該AAA服務(wù)器下發(fā)新的密鑰信息至網(wǎng)絡(luò)鑒權(quán)服務(wù)器;同時AAA服務(wù)器通知家鄉(xiāng)代理發(fā)生了新的鑒權(quán)認證��;移動節(jié)點利用新的密鑰替代對應(yīng)舊的密鑰�����,并發(fā)起移動IP注冊請求��,重新進行步驟b至步驟e�����。
22.根據(jù)權(quán)利要求14所述的方法�,其特征在于在重新鑒權(quán)認證時����,移動終端MS與AAA服務(wù)器之間重新產(chǎn)生新的密鑰,并且該AAA服務(wù)器下發(fā)新的密鑰信息至網(wǎng)絡(luò)鑒權(quán)服務(wù)器��;移動節(jié)點利用新的密鑰替代對應(yīng)舊的密鑰����,并發(fā)起移動IP注冊請求,重新進行所述步驟b至步驟e。
23.根據(jù)權(quán)利要求21或22所述的方法����,其特征在于移動節(jié)點、外部代理及家鄉(xiāng)代理得知發(fā)生重新鑒權(quán)認證后���,刪除已有的移動IP相關(guān)的安全聯(lián)盟�����。
24.根據(jù)權(quán)利要求21或22所述的方法�����,其特征在于在移動IP功能實體中密鑰的替換伴隨著安全聯(lián)盟的替換或建立��。
25.一種移動IP密鑰的產(chǎn)生及分發(fā)方法�����,其特征在于a.鑒權(quán)認證過程中��,移動終端和認證授權(quán)計費服務(wù)器AAA產(chǎn)生移動終端相關(guān)密鑰��;b.移動終端發(fā)起攜帶移動節(jié)點及AAA服務(wù)器之間認證擴展MN-AAA-AE的移動IP注冊請求���,并經(jīng)外部代理FA轉(zhuǎn)發(fā)至家鄉(xiāng)代理HA���;c.家鄉(xiāng)代理向AAA服務(wù)器請求HA相關(guān)密鑰信息,AAA服務(wù)器成功驗證MN-AAA-AE后下發(fā)HA相關(guān)密鑰信息至HA��;如果步驟a中AAA服務(wù)器未下發(fā)隨機數(shù)mn-ha-nonce至移動終端��,則AAA服務(wù)器下發(fā)相應(yīng)的隨機數(shù)至家鄉(xiāng)代理��;d.家鄉(xiāng)代理處理所述的移動IP注冊請求����,并經(jīng)由外部代理轉(zhuǎn)發(fā)至移動終端,該移動IP注冊請求中攜帶MN-HA-AE��;如果步驟a中AAA服務(wù)器未下發(fā)隨機數(shù)mn-ha-nonce至移動終端���,則在所述注冊請求中攜帶mn-ha-nonce;e.移動終端根據(jù)隨機數(shù)以及由EMSK或該EMSK派生出的根密鑰����,計算出MN-HA-K,并驗證所述MN-HA-AE���。
26.根據(jù)權(quán)利要求23所述的方法���,其特征在于還包括建立各移動IP功能實體之間的安全聯(lián)盟����。
27.根據(jù)權(quán)利要求23所述的方法���,其特征在于在重新鑒權(quán)認證時����,移動終端MS與AAA服務(wù)器之間重新產(chǎn)生新的密鑰�;移動節(jié)點利用新的密鑰替代對應(yīng)舊的密鑰,并發(fā)起移動IP注冊請求��,重新進行所述步驟b至步驟e��。
28.根據(jù)權(quán)利要求25所述的方法�,其特征在于在移動IP功能實體中密鑰的替換伴隨著安全聯(lián)盟的替換或建立。
29.一種移動IP密鑰的產(chǎn)生及分發(fā)方法��,其特征在于包括a.在鑒權(quán)認證過程中��,認證授權(quán)計費服務(wù)器AAA發(fā)送密鑰信息至網(wǎng)絡(luò)鑒權(quán)服務(wù)器���;b.移動節(jié)點從所述網(wǎng)絡(luò)鑒權(quán)服務(wù)器獲得移動節(jié)點與家鄉(xiāng)代理之間的密鑰PMIP-K����,并發(fā)送攜帶PMIP-AE的移動IP注冊請求,經(jīng)由外部代理FA轉(zhuǎn)發(fā)到家鄉(xiāng)代理HA����;c.HA通過向AAA請求密鑰獲得PMIP-K,并發(fā)送攜帶PMIP-AE的移動IP注冊報告至移動節(jié)點�����。
30.根據(jù)權(quán)利要求29所述的方法��,其特征在于所述密鑰信息包括移動節(jié)點與家鄉(xiāng)代理之間的密鑰PMIP-K�����,或者根密鑰及移動節(jié)點與家鄉(xiāng)代理之間的隨機數(shù)mn-ha-nonce�����;所述根密鑰包括擴展主會話密鑰EMSK或移動IP根密鑰MIP-RK���。
31.根據(jù)權(quán)利要求29所述的方法��,其特征在于如果AAA下發(fā)的密鑰信息包括移動節(jié)點與AAA之間的密鑰MN-AAA-K��;則所述移動IP注冊請求還攜帶移動節(jié)點與AAA之間的認證擴展MN-AAA-AE���;并在HA向AAA請求密鑰時,由AAA驗證所述認證擴展MN-AAA-AE��。
32.根據(jù)權(quán)利要求29所述的方法���,其特征在于在重新鑒權(quán)認證時��,移動終端MS與AAA服務(wù)器之間重新產(chǎn)生新的密鑰����;移動節(jié)點利用新的密鑰替代對應(yīng)舊的密鑰���,并發(fā)起移動IP注冊請求����,重新進行所述步驟b至步驟c�����。
全文摘要
本發(fā)明提供一種移動IP密鑰的產(chǎn)生及分發(fā)方法,包括在鑒權(quán)認證過程中����,認證授權(quán)計費AAA服務(wù)器下發(fā)包括根密鑰及外部代理FA與家鄉(xiāng)代理HA之間的隨機數(shù)fa-h(huán)a-nonce的密鑰信息至網(wǎng)絡(luò)鑒權(quán)服務(wù)器;家鄉(xiāng)代理HA通過AAA服務(wù)器獲得家鄉(xiāng)代理相關(guān)的移動IP密鑰���;如果AAA服務(wù)器未下發(fā)移動節(jié)點MN與外部代理FA之間的隨機數(shù)mn-fa-nonce至網(wǎng)絡(luò)鑒權(quán)服務(wù)器���,則AAA服務(wù)器下發(fā)該隨機數(shù)至家鄉(xiāng)代理,并經(jīng)外部代理通知網(wǎng)絡(luò)鑒權(quán)服務(wù)器�����;外部代理根據(jù)FA相關(guān)隨機數(shù)及/或FA的IP地址從所述網(wǎng)絡(luò)鑒權(quán)服務(wù)器獲得FA相關(guān)移動IP密鑰����;移動節(jié)點從所述網(wǎng)絡(luò)鑒權(quán)服務(wù)器獲得MN相關(guān)移動IP密鑰。
文檔編號H04L9/14GK101094066SQ20061009303
公開日2007年12月26日 申請日期2006年6月19日 優(yōu)先權(quán)日2006年6月19日
發(fā)明者梁文亮, 吳建軍 申請人:華為技術(shù)有限公司