專利名稱:外部代理更新與重定向后家鄉(xiāng)代理相關(guān)的安全參數(shù)的方法
技術(shù)領(lǐng)域:
本發(fā)明涉及無線通信領(lǐng)域���,更具體是涉及一種移動IP關(guān)于動態(tài)HA (家鄉(xiāng)代理����,Home Agent)地址分配過程中����,F(xiàn)A (外部代理,F(xiàn)oreign Agent) 更新與重定向后HA相關(guān)的安全參數(shù)的方法��。
背景技術(shù):
MIP (移動IP協(xié)議��,簡稱MIP)是由IETF (因特網(wǎng)工程任務(wù)組��,簡 稱IETF)提出的一系列基于現(xiàn)有IP網(wǎng)絡(luò)架構(gòu)的IP移動性解決方案,其構(gòu) 建了 一個開放而靈活的IP業(yè)務(wù)平臺���。實現(xiàn)MIP需包含三個邏輯功能單元 固(終端��,Mobile Node) , FA, HA�。動態(tài)HA分配功能是MN開啟MIP功能在不指定HA地址的情況下��, 動態(tài)選擇HA的過程��;當(dāng)動態(tài)HA分配的MIP注冊請求到達(dá)FA后�����,F(xiàn)A根 據(jù)本地規(guī)則選擇發(fā)起對初次HA的注冊過程��。如果該初次HA接收注冊請 求�����,應(yīng)返回給MN正確的響應(yīng)���。如果初選的HA不接受該注冊請求�����,可以 發(fā)起HA的重定向過程��;因此重定向HA是動態(tài)HA分配的一個可選過程���。動態(tài)HA分配功能業(yè)務(wù)具有以下優(yōu)點(1) 減少用戶疑惑,使MN使用更人性化��;(2) 減少網(wǎng)絡(luò)維護(hù)者的工作量�����。圖1為WIMAX網(wǎng)絡(luò)中MIP部署架構(gòu)圖�����,其中包括以下HAAA (歸 屬鑒權(quán)授權(quán)計費服務(wù)器)、AGW (接入業(yè)務(wù)網(wǎng)絡(luò)網(wǎng)關(guān)部分)���、HA、 MN 四個功能實體其中���,HAAA管理WIMAX網(wǎng)絡(luò)中的用戶簽約信息�����;AGW為WIMAX系統(tǒng)的核心網(wǎng)絡(luò)設(shè)備�����,F(xiàn)A作為一個功能才莫塊引入AGW系統(tǒng)中來支持IP的外部移動性�����,F(xiàn)A不直接和HAAA交互��;鑒權(quán)器 (Authenticator)提供FA所需的安全參數(shù)����;AGW為MIP提供底層承載業(yè) 務(wù),MN與FA的交互需由AGW提供業(yè)務(wù)通道���;FA作為一個功能模塊引入AGW系統(tǒng)中來支持IP的外部移動性�,F(xiàn)A 不直"I姿和HAAA交互��;HA提供MIP用戶的本地路由支持�;HA和HAAA直接交互,HA從 HAAA中獲取所需的安全參數(shù)����;MN和FA, FA與HA之間的安全關(guān)聯(lián)由HAAA主導(dǎo)建立�����。 圖2為現(xiàn)有協(xié)議描述的帶有HA重定向功能的MIP注冊過程���,包括以 下步驟步驟201��, MN向FA發(fā)起MIP注冊請求���;步驟202, FA收到MN的請求后���,根據(jù)用戶的簽約信息獲取MN與FA 之間的安全密鑰(MN—FAkey)對該報文予以安全校驗,如果通過校驗則 刪除MN—FA鑒權(quán)擴(kuò)展��,同時添加FA—HA鑒權(quán)擴(kuò)展�����,并根據(jù)簽約信息獲 取FA與當(dāng)前HA的安全密鑰計算FA—HA鑒權(quán)擴(kuò)展中的鑒權(quán)摘要參數(shù)��,根 據(jù)簽約的HA地址向該HA轉(zhuǎn)發(fā)MIP注冊請求����;步驟203 �, HA收到MIP注冊請求后����,向HAAA發(fā)起鑒權(quán)請求,獲取 相關(guān)的安全密鑰���;步驟204��, HAAA返回相關(guān)的安全密鑰給HA;步驟205,如果當(dāng)前HA拒絕了 MN的注冊請求或接受注冊請求但由 于本地配置/管理策略要求HA為該MN指定別的HA����,則當(dāng)前HA就會在 注冊應(yīng)答消息中填入REDIRECT-HA-REQ(HA重定向要求)表明了注冊請 求被拒絕并給出原因����;同時還要在應(yīng)答消息中可選擴(kuò)展部分加入一個"the Redirected HA Extension (重定向HA擴(kuò)展)",其參數(shù)域中攜帶重定向的 HA地址�,將這個重定向指示的MIP注冊響應(yīng)發(fā)送給FA;步驟206, FA轉(zhuǎn)發(fā)該重定向指示的MIP注冊響應(yīng);步驟207�����, MN收到該重定向指示的MIP注冊響應(yīng)����,從擴(kuò)展字段取出 重定向的HA地址����,重新構(gòu)建MIP注冊請求才艮文�;步驟208, FA收到MIP注冊請求后,用HA—RK生成FA—HA key, 并用該Key值計算FA_HA鑒權(quán)擴(kuò)展�,然后向重定向HA轉(zhuǎn)發(fā);步驟209,重定向HA收到新的MIP注冊請求報文�,按照Raius協(xié)議 向HAAA請求相關(guān)鑒權(quán)參數(shù);步驟210, HAAA下發(fā)給HA相關(guān)的鑒權(quán)參數(shù)���;步驟211, HA按照RFC3344規(guī)范執(zhí)行報文校驗及相關(guān)業(yè)務(wù)處理,后 生成注冊響應(yīng)向FA發(fā)送�;步驟212, FA轉(zhuǎn)發(fā)該注冊響應(yīng)才艮文。按照以上方法步驟�����,重定向后��,F(xiàn)A的安全參數(shù)沒有更新��,即MN向 重定向HA發(fā)送MIP注冊請求����,在FA中轉(zhuǎn)時不能獲得正確的安全參數(shù)�, 導(dǎo)致HAAA下發(fā)給重定向HA相關(guān)的鑒權(quán)參數(shù)的步驟后�����,MN向重定向后 的HA發(fā)起MIP注冊請求在HA上都會因鑒權(quán)不通過而被拒絕��,HA和FA 之間的MIP控制消息都無法通過彼此的安全校驗�����。步驟211, 212始終為 失敗的響應(yīng)過程�����。發(fā)明內(nèi)容本發(fā)明的要解決的技術(shù)問題就是提供一種移動IP關(guān)于動態(tài)HA地址 分配過程中���,F(xiàn)A更新與重定向后HA相關(guān)的安全參數(shù)的方法���,避免重定向 后的HA與FA間的安全參數(shù)沒有更新,使得所有該FA和重定向HA之間 的MIP控制消息都無法通過彼此的安全校驗��。為了解決上述技術(shù)問題�,本發(fā)明提供一種外部代理即FA更新與重定 向后家鄉(xiāng)代理即HA相關(guān)的安全參數(shù)的方法�����,應(yīng)用于移動IP關(guān)于動態(tài)家鄉(xiāng) 代理地址分配過程中�����,包括以下步驟(1 )當(dāng)前HA向歸屬鑒權(quán)授權(quán)計費服務(wù)器即HAAA發(fā)起協(xié)商請求�, 協(xié)商是否允許當(dāng)前HA推薦的重定向HA接納當(dāng)前終端的注冊請求���;(2 )若協(xié)商成功����,則所述HAAA將重定向HA的安全參數(shù)發(fā)送給所 述終端所在的接入業(yè)務(wù)網(wǎng)絡(luò)的鑒權(quán)器���;(3 )所述鑒權(quán)器將重定向HA的安全參數(shù)轉(zhuǎn)發(fā)給所述FA, FA更新HA相關(guān)安全參數(shù)����。進(jìn)一步地,所述安全參數(shù)包括重定向HA根密鑰相關(guān)屬性��。進(jìn)一步地�����,所述重定向HA根密鑰相關(guān)屬性包括重定向HA根密鑰, 重定向HA生存期�,重定向HA的IP地址,安全參數(shù)索引����。進(jìn)一步地,所述步驟(l)執(zhí)行之前���,當(dāng)前HA向選定的重定向HA發(fā) 起接納控制協(xié)商��,確認(rèn)重定向HA是否愿意接納當(dāng)前終端的MIP注冊請求���。進(jìn)一步地,若當(dāng)前HA與選定用于重定向的HA發(fā)起接納控制協(xié)商失 敗�����,則當(dāng)前HA不得下發(fā)重定向HA指示給終端�。進(jìn)一步地,所述步驟(l)執(zhí)行之前����,當(dāng)前HA根據(jù)本地策略決定發(fā)起 HA重定向過程���。進(jìn)一步地,所述步驟(l)中�,當(dāng)前HA向HAAA發(fā)送協(xié)商請求,所 帶參數(shù)包括當(dāng)前HA的IP地址����,重定向HA的IP地址,F(xiàn)A的地址���,終 端的身份標(biāo)識���。進(jìn)一步地,所述步驟(3)執(zhí)行之后��,還執(zhí)行(A) FA向鑒權(quán)器返回安全參數(shù)更新成功響應(yīng)��;(B) 鑒權(quán)器向HAAA返回安全參數(shù)更新成功響應(yīng)����;(C) HAAA下發(fā)本次重定向HA協(xié)商的結(jié)果給當(dāng)前HA,允許重定 向HA接納當(dāng)前終端��。進(jìn)一步地���,所述步驟(3)執(zhí)行之后����,若HAAA沒有接收到鑒權(quán)器返 回的成功更新安全參數(shù)的響應(yīng),則HAAA需拒絕當(dāng)前HA的協(xié)商過程���,當(dāng) 前HA不得下發(fā)重定向HA指示給終端�����。進(jìn)一步地�,所述步驟(3)執(zhí)行之后�,若HAAA等待協(xié)商確認(rèn)消息超 時,則當(dāng)前HA不得下發(fā)重定向HA指示給終端�。進(jìn)一步地,所述步驟(3)執(zhí)行之后����,還包括如下步驟(a)當(dāng)前HA經(jīng)FA下發(fā)通知給所述終端,讓終端在重定向HA上執(zhí) 行MIP注冊�;(b )若所述終端向FA發(fā)送對重定向HA的MIP注冊,則FA才艮據(jù)更新后的HA安全參數(shù)����,計算相關(guān)密鑰參數(shù)��,并向重定向HA轉(zhuǎn)發(fā)�。本發(fā)明完善重定向HA過程�,使得動態(tài)HA分配功能更具可用性由 于本發(fā)明在MIP家鄉(xiāng)代理重定向過程中,增加了與HAAA的協(xié)商過程��, 使得HAAA能夠發(fā)起FA安全參數(shù)的更新�,滿足了在HA被重定向后, MN重新發(fā)起MIP注冊請求�,F(xiàn)A能夠使用正確的安全密鑰計算安全擴(kuò)展, 確保能夠通過重定向后HA的安全校驗��,從而能夠讓新的HA接受MN的 MIP注冊請求�。
圖1為WIMAX網(wǎng)絡(luò)中MIP部署架構(gòu)圖;圖2為現(xiàn)有協(xié)議描述的帶有HA重定向功能的MIP注冊過程�;圖3為本發(fā)明應(yīng)用實例改進(jìn)的帶有HA重定向功能的MIP注冊過程; 其中包含重定向HA與FA之間更新安全參數(shù)具體實施流程��。
具體實施方式
本發(fā)明實施例包括以下步驟(1)當(dāng)前HA檢查本地策略(如:負(fù)荷控制等)決定發(fā)起HA重定向過程����;(2 )當(dāng)前HA向選定用于重定向的HA發(fā)起接納控制協(xié)商,協(xié)商目的 確認(rèn)該選定用于重定向的HA是否愿意接納MN的MIP注冊it求���;若協(xié)商 成功���,則執(zhí)行步驟(3);本步為可選步驟,若不執(zhí)行本步���,則執(zhí)行步驟(l)后����,直接執(zhí)行步 驟(3);如果當(dāng)前HA與選定用于重定向的HA發(fā)起接納控制協(xié)商失敗����,則當(dāng) 前HA不得下發(fā)重定向HA指示給MN;(3 )當(dāng)前HA向HAAA發(fā)起協(xié)商請求過程,所帶參數(shù)為當(dāng)前HA的 IP地址�,重定向后的HA的IP地址,F(xiàn)A的地址���,MN的身份標(biāo)識(NAI)等�,協(xié)商的內(nèi)容為是否允許當(dāng)前HA推薦的重定向后的HA接納該用戶���; (4)如果HAAA認(rèn)同當(dāng)前HA的請求��,則需要根據(jù)協(xié)商請求中的參 數(shù)查找定位MN所在的接入業(yè)務(wù)網(wǎng)絡(luò)的鑒權(quán)器���,向該鑒權(quán)器下發(fā)新的安全 參數(shù)����,所述安全參數(shù)包括HA根密鑰相關(guān)屬性��,如包括HA一RK(HA—Root Key, HA根密鑰)�,HA_RK Lifetime ( HA生存期),HA IP (HA的IP地址)�����, SPI (安全參數(shù)索引)����,并通知鑒權(quán)器更新FA安全參數(shù);(5 ) HAAA收到鑒權(quán)器發(fā)送的FA的安全參數(shù)更新成功響應(yīng)后�����,向當(dāng) 前HA發(fā)送協(xié)商的結(jié)果��,允許新的重定向后的HA接納用戶�����;當(dāng)前HA可 立即下發(fā)通知給MN,讓MN在重定向HA上執(zhí)行MIP注冊����。若HAAA沒有接收到鑒權(quán)器發(fā)送的FA成功更新安全參數(shù)的響應(yīng)���, HAAA需拒絕當(dāng)前HA的協(xié)商過程�����,那么�,當(dāng)前HA不得下發(fā)重定向HA 指示給MN���。若HAAA等待協(xié)商確認(rèn)消息超時���,當(dāng)前HA也不得下發(fā)重定向HA指 示給MN。圖3為本發(fā)明實施例的一個MIP注冊的應(yīng)用實例��,包括如下步驟���; 步驟301, MN向FA發(fā)起MIP注冊請求���;步驟302, FA收到MN的請求后��,根據(jù)用戶的簽約信息獲取MN與 FA之間的安全密鑰對該報文予以安全校驗�����,如果通過校驗則刪除MN_FA 鑒權(quán)擴(kuò)展����,同時添加FA—HA鑒權(quán)擴(kuò)展�����,并根據(jù)簽約信息獲取FA與當(dāng)前 HA的安全密鑰計算FA—HA鑒權(quán)擴(kuò)展中的鑒權(quán)摘要參數(shù)����。根據(jù)簽約的HA 地址向該HA轉(zhuǎn)發(fā)MIP注冊請求;步驟303, HA收到MIP注冊請求后�,向HAAA發(fā)起鑒權(quán)請求,獲取 相關(guān)的安全密鑰���;步驟304�����, HAAA返回相關(guān)的安全密鑰給HA;步驟305���, HA^使用相關(guān)的密鑰對接收到的MIP注冊請求^^文安全性 予以^r證�����,如果通過-瞼證��,則進(jìn)入業(yè)務(wù)層面的處理,業(yè)務(wù)邏輯解析到當(dāng)前 MN要求執(zhí)行"動態(tài)HA分配�����,�,過程,同時本地策略(如�����,負(fù)荷控制)決定將 當(dāng)前MN注冊請求重定向到其他HA���,當(dāng)前HA向選定用于重定向的HA 發(fā)起接納控制協(xié)商�����,協(xié)商目的確認(rèn)該選定用于重定向的HA是否愿意接納MN的MIP注冊請求�����,注意向選定用于重定向的HA發(fā)起接納控制協(xié) 商是本發(fā)明一個可選的過程����,如果沒有該過程,在當(dāng)前HA決定重定向后 直接接入步驟306;步驟306, HA通過Raduis協(xié)議向HAAA發(fā)起協(xié)商請求����,協(xié)商的內(nèi)容 是否允許當(dāng)前HA推薦的重定向HA接納MN;步驟307,如果HAAA認(rèn)同當(dāng)前HA的協(xié)商請求����,應(yīng)根據(jù)當(dāng)前HA發(fā) 起協(xié)商請求中的參數(shù)定位到MN所在的接入業(yè)務(wù)網(wǎng)絡(luò)的鑒權(quán)器,同時將當(dāng) 前HA推薦的重定向HA的安全參數(shù)如包括HR—RK, HA—RK Lifetime, HA IP,SPI等���,下發(fā)到鑒權(quán)器�����;步驟308�,鑒權(quán)器通知FA相關(guān)安全參數(shù)的更新�,F(xiàn)A向鑒權(quán)器返回安 全參數(shù)更新成功響應(yīng);步驟309,鑒權(quán)器返回HAAA已成功的更新相關(guān)安全參數(shù)響應(yīng)�;步驟310, HAAA下發(fā)本次重定向HA協(xié)商的結(jié)果給當(dāng)前HA;以上步驟305 - 310的加入,確保在即將到來的MN向重定向HA發(fā) 送MIP注冊請求在FA中轉(zhuǎn)時能獲得正確的安全參數(shù)���;步驟311,當(dāng)前HA以Redirect-HA-REQ原因拒絕MIP注冊請求���,并 在注冊響應(yīng)的"the Redirected HA Extension"參數(shù)域中攜帶重定向的HA 地址;步驟312����, FA正常轉(zhuǎn)發(fā)該重定向指示的MIP注冊響應(yīng);步驟313��, MN收到該重定向指示的MIP注冊響應(yīng)�,從擴(kuò)展字段取出 重定向的HA地址��,重新構(gòu)建MIP注冊請求報文��,其中HA地址參數(shù)字段 為重定向的HA地址���;步驟314�, FA收到MIP注冊請求后��,用新的HA—RK生成FA—HA key, 并用該Key值計算FA一HA鑒權(quán)擴(kuò)展����,然后向重定向HA轉(zhuǎn)發(fā)�����;步驟315, HA收到新的MIP注冊請求報文�����,按照協(xié)議向HAAA請求 相關(guān)鑒權(quán)參數(shù)�;步驟316, HAAA下發(fā)給HA相關(guān)的鑒權(quán)參數(shù)����;步驟317, HA按照RFC3344規(guī)范執(zhí)行報文校驗及相關(guān)業(yè)務(wù)處理,后 生成成功的注冊響應(yīng)向FA發(fā)送����;步驟318, FA正常處理轉(zhuǎn)發(fā)該注冊響應(yīng)報文��。其中����,步驟305 - 310為本發(fā)明獨創(chuàng),通過上述消息,最終成功實現(xiàn) HA重定向后MN在新HA上的MIP成功注冊����。從上述流程中可以看出,只有采取本發(fā)明的方法��,才能實現(xiàn)MIP業(yè)務(wù) 過程中申請動態(tài)HA地址分配的MN在重定向HA后成功的MIP注冊�。
權(quán)利要求
1.一種外部代理即FA更新與重定向后家鄉(xiāng)代理即HA相關(guān)的安全參數(shù)的方法,應(yīng)用于移動IP關(guān)于動態(tài)家鄉(xiāng)代理地址分配過程中����,其特征在于,包括以下步驟(1)當(dāng)前HA向歸屬鑒權(quán)授權(quán)計費服務(wù)器即HAAA發(fā)起協(xié)商請求���,協(xié)商是否允許當(dāng)前HA推薦的重定向HA接納當(dāng)前終端的注冊請求�����;(2)若協(xié)商成功,則所述HAAA將重定向HA的安全參數(shù)發(fā)送給所述終端所在的接入業(yè)務(wù)網(wǎng)絡(luò)的鑒權(quán)器����;(3)所述鑒權(quán)器將重定向HA的安全參數(shù)轉(zhuǎn)發(fā)給所述FA,F(xiàn)A更新HA相關(guān)安全參數(shù)���。
2. 如權(quán)利要求1所述的方法�,其特征在于,所述安全參數(shù)包括重定 向HA根密鑰相關(guān)屬性�����。
3. 如權(quán)利要求2所述的方法��,其特征在于�����,所述重定向HA根密鑰 相關(guān)屬性包括重定向HA根密鑰���,重定向HA生存期��,重定向HA的IP地 址�����,安全參數(shù)索引�。
4. 如權(quán)利要求1 ~3中任意一項所述的方法���,其特征在于�,所述步驟 (1 )執(zhí)行之前,當(dāng)前HA向選定的重定向HA發(fā)起接納控制協(xié)商��,確認(rèn)重定向HA是否愿意接納當(dāng)前終端的MIP注冊請求����。
5. 如權(quán)利要求4所述的方法,其特征在于���,若當(dāng)前HA與選定用于重 定向的HA發(fā)起接納控制協(xié)商失敗�����,則當(dāng)前HA不得下發(fā)重定向HA指示 給終端��。
6. 如權(quán)利要求1 3中任意一項所述的方法�����,其特征在于��,所述步驟 (1 )執(zhí)行之前����,當(dāng)前HA根據(jù)本地策略決定發(fā)起HA重定向過程���。
7. 如權(quán)利要求1~3中任意一項所述的方法�����,其特征在于�,所述步驟 (1 )中���,當(dāng)前HA向HAAA發(fā)送協(xié)商請求����,所帶參數(shù)包括當(dāng)前HA的IP地址�����,重定向HA的IP地址����,F(xiàn)A的地址,終端的身份標(biāo)識����。
8. 如權(quán)利要求1 ~3中任意一項所述的方法,其特征在于��,所述步驟 (3 )執(zhí)行之后,還執(zhí)行(A) FA向鑒權(quán)器返回安全參數(shù)更新成功響應(yīng)���;(B )鑒權(quán)器向HAAA返回安全參數(shù)更新成功響應(yīng)�;(C ) HAAA下發(fā)本次重定向HA協(xié)商的結(jié)果給當(dāng)前HA,允許重定 向HA接納當(dāng)前終端�。
9. 如權(quán)利要求1~3中任意一項所述的方法,其特征在于����,所述步驟 (3)執(zhí)行之后,若HAAA沒有接收到鑒權(quán)器返回的成功更新安全參數(shù)的響應(yīng)��,則HAAA需拒絕當(dāng)前HA的協(xié)商過程�����,當(dāng)前HA不得下發(fā)重定向 HA指示給終端���。
10. 如權(quán)利要求1~3中任意一項所述的方法�����,其特征在于��,所述步 驟(3 )執(zhí)行之后�,若HAAA等待協(xié)商確認(rèn)消息超時���,則當(dāng)前HA不得下 發(fā)重定向HA指示給終端�����。
11. 如權(quán)利要求1~3中任意一項所述的方法�����,其特征在于���,所述步 驟(3)執(zhí)行之后,還包括如下步驟(a)當(dāng)前HA經(jīng)FA下發(fā)通知給所述終端�,讓終端在重定向HA上執(zhí) 行MIP注冊;(b )若所述終端向FA發(fā)送對重定向HA的MIP注冊�����,則FA才艮據(jù)更 新后的HA安全參數(shù)�,計算相關(guān)密鑰參數(shù),并向重定向HA轉(zhuǎn)發(fā)�����。
全文摘要
本發(fā)明公開了一種外部代理即FA更新與重定向后家鄉(xiāng)代理即HA相關(guān)的安全參數(shù)的方法,應(yīng)用于移動IP關(guān)于動態(tài)家鄉(xiāng)代理地址分配過程中����,包括當(dāng)前HA向歸屬鑒權(quán)授權(quán)計費服務(wù)器即HAAA發(fā)起協(xié)商請求,協(xié)商是否允許當(dāng)前HA推薦的重定向HA接納當(dāng)前終端的注冊請求��;若協(xié)商成功����,則所述HAAA將重定向HA的安全參數(shù)發(fā)送給所述終端所在的接入業(yè)務(wù)網(wǎng)絡(luò)的鑒權(quán)器;所述鑒權(quán)器將重定向HA的安全參數(shù)轉(zhuǎn)發(fā)給所述FA���,F(xiàn)A更新HA相關(guān)安全參數(shù)�����。本發(fā)明在HA重定向過程中��,增加了與HAAA的協(xié)商過程�����,使HAAA能夠發(fā)起安全參數(shù)的更新�����,在HA被重定向后�,確保終端能夠通過重定向HA的安全校驗,從而能夠讓該HA接受終端的MIP注冊請求����。
文檔編號H04Q7/20GK101316228SQ20071010609
公開日2008年12月3日 申請日期2007年5月31日 優(yōu)先權(quán)日2007年5月31日
發(fā)明者劉俊羿, 孫宏躍, 翀 紀(jì), 剛 陳 申請人:中興通訊股份有限公司