專利名稱:配置密鑰的方法、裝置及系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及移動(dòng)通信技術(shù)領(lǐng)域��,尤其涉及配置密鑰的方法����、裝置及系統(tǒng)。
背景技術(shù):
介質(zhì)無(wú)關(guān)切換(Media Independent Handover, MIH)是一套用于輔助和優(yōu) 化異構(gòu)網(wǎng)絡(luò)移動(dòng)服的業(yè)務(wù)框架��。MIH業(yè)務(wù)與其它網(wǎng)絡(luò)層次協(xié)議的關(guān)系如圖l所 示���。在圖1中����,MIH業(yè)務(wù)處于L3層(ISCMt型中的網(wǎng)絡(luò)層)和L2層(ISC^莫型中 的數(shù)據(jù)鏈路層)之間��。MIH為三層以上的移動(dòng)性協(xié)議(移動(dòng)互聯(lián)網(wǎng)協(xié)議MIP�����、 會(huì)話發(fā)起協(xié)議SIP等)提供業(yè)務(wù)支撐�����;同時(shí)MIH需要使用L2層及以下的業(yè)務(wù)�����。 MIH可以提供三種類(lèi)型的業(yè)務(wù),分別是MIH事件服務(wù)(Event Service, ES)��、 MIH命令服務(wù)(Command Service, CS )和MIH信息服務(wù)(Information Service, IS)服務(wù)等����。MIHES提供鏈路層以下或遠(yuǎn)端鏈路下事件的即時(shí)傳輸服務(wù);MIH CS提供改變底層鏈路狀態(tài)或連接點(diǎn)的命令傳輸服務(wù)���;MIHIS提供網(wǎng)絡(luò)拓樸和 位置相關(guān)信息的信息傳輸服務(wù)�����。
MIH服務(wù)可能用于移動(dòng)節(jié)點(diǎn)(MobileNode, MN)或網(wǎng)絡(luò)基礎(chǔ)設(shè)施之間�����, 也可能用于網(wǎng)絡(luò)基礎(chǔ)設(shè)施網(wǎng)絡(luò)節(jié)點(diǎn)之間。在一般情況下��,MN漫游到外地網(wǎng)絡(luò) 時(shí)���,需要通過(guò)拜訪域的接入認(rèn)證系統(tǒng)和家鄉(xiāng)域的接入認(rèn)證系統(tǒng)之間的交互才 能夠接入拜訪網(wǎng)絡(luò)域�����;為完成快速的切換�,MN需要訪問(wèn)拜訪域MIH業(yè)務(wù)實(shí)體,
目前�����,通常采用手工方式在MN和拜訪域MIH驗(yàn)證實(shí)體上配置驗(yàn)證口令���, 從而保證MN和拜訪域MIH驗(yàn)證實(shí)體間信息的安全性�����。然而����,這種原始的手工 配置驗(yàn)證口令的方式不但繁瑣�,而且容易出錯(cuò),不利于MIH業(yè)務(wù)的推廣和部署�����。
發(fā)明內(nèi)容
有鑒于此���,本發(fā)明實(shí)施例提供一種配置密鑰的方法����、裝置及系統(tǒng),以解 決現(xiàn)有方案手工配置驗(yàn)證口令存在的繁瑣及不可靠的問(wèn)題��。為此�,本發(fā)明實(shí)施例采用如下技術(shù)方案
一種配置密鑰的方法,包括在MN和家鄉(xiāng)AAA服務(wù)器AAAH上��,分 別生成拜訪域特定根密鑰DSRK,所述AAAH將所述DSRK發(fā)送給拜訪域 AAA服務(wù)器AAAV;在MN和AAAV上��,分別利用所述DSRK生成域特定 MIH業(yè)務(wù)根密鑰DS-MIH-RK,并且��,所述AAAV將所述DS-MIH-RK發(fā)送給 拜訪域MIH -驗(yàn)證實(shí)體���。
一種配置密鑰的裝置����,位于MN側(cè)�����,用于向所述MN配置密鑰��,所述密 鑰為所述MN與拜訪域MIH驗(yàn)證實(shí)體間的密鑰�����;所述裝置包括DSRK生成 單元(6011 )����,用于利用預(yù)計(jì)算出的EMSK、預(yù)獲知的拜訪域ID和AAAV ID 以及隨機(jī)數(shù)據(jù)計(jì)算出DSRK; DS-MIH-RK生成單元(6012)�,用于利用所述 DSRK以及預(yù)獲知的MIH ID、 MN ID和隨機(jī)數(shù)據(jù)計(jì)算出DS-MIH-RK�。
一種配置密鑰的裝置,位于拜訪域MIH驗(yàn)證實(shí)體側(cè)���,用于向所述拜訪域 MIH驗(yàn)證實(shí)體配置密鑰���,所述密鑰為MN與所述拜訪域MIH -驗(yàn)證實(shí)體間的密 鑰;所述裝置包括DS-MIH-RK接收單元(6041 ),用于從AAAV接收 DS掘H-RK���。
一種配置密鑰的裝置���,位于AAAH側(cè),包括DSRK生成單元(6021 ), 用于利用預(yù)計(jì)算出的EMSK����、預(yù)獲知的拜訪域ID和AAAV ID以及隨機(jī)數(shù)據(jù) 計(jì)算出DSRK; DSRK發(fā)送單元(6022)�����,用于向AAAV發(fā)送所述DSRK����。
一種配置密鑰的裝置�����,位于AAAV側(cè)����,包括DSRK接收單元(6031 ), 用于從AAAH接收DSRK; DS-MIH-RK生成單元(6032 ),用于利用所述DSRK 以及預(yù)獲知的MIH ID、 MN ID和隨機(jī)數(shù)據(jù)計(jì)算出DS-MIH-RK�,并將所述 DS-MIH-RK發(fā)送癥合#早訪域MIH馬全證實(shí)體。
一種配置密鑰的系統(tǒng)���,包括MN�、 AAAH���、 AAAV以及拜訪域MIH—險(xiǎn)證 實(shí)體���;所述MN包括DSRK生成單元(6011),用于利用預(yù)計(jì)算出的主密鑰 EMSK、預(yù)獲知的拜訪域ID和AAAV ID以及隨機(jī)數(shù)據(jù)計(jì)算出DSRK; DS-MIH-RK生成單元(6012 )���,用于利用所述DSRK以及預(yù)獲知的MIH ID�、 MN ID和隨機(jī)凄丈據(jù)計(jì)算出DS-MIH-RK;所述AAAH包括DSRK生成單元 (6021 ),用于利用預(yù)計(jì)算出的主密鑰EMSK�、預(yù)獲知的拜訪域ID和AAAVID 以及隨機(jī)數(shù)據(jù)計(jì)算出DSRK; DSRK發(fā)送單元(6022),用于向AAAV發(fā)送所述DSRK;所述AAAV包括DSRK接收單元(6031 ),用于從AAAH接收 DSRK; DS-MIH-RK生成單元(6032 ),用于利用所述DSRK p及預(yù)獲知的 MIHID�、 MNID和隨機(jī)數(shù)據(jù)計(jì)算出DS-MIH-RK,并負(fù)責(zé)將DS-MIH-RK發(fā)送 給MIH驗(yàn)證實(shí)體;所述拜訪域MIH驗(yàn)證實(shí)體包括DS-MIH-RK接收單元 (6041 ),用于從AAAV接收DS-MIH-RK�����。
可見(jiàn)���,本發(fā)明實(shí)施例通過(guò)動(dòng)態(tài)建立MN和MIH驗(yàn)證實(shí)體之間的認(rèn)證材料和 安全聯(lián)盟密鑰材料���,保證MN和MIH驗(yàn)證實(shí)體間信息的安全性,避免了手工配 置驗(yàn)證口令存在的繁瑣以及易出錯(cuò)的問(wèn)題�����,而且,使得MIH業(yè)務(wù)的大規(guī)模安 全部署成為可能��。另外���,由于這些密鑰材料是在MN接入拜訪域網(wǎng)絡(luò)驗(yàn)證時(shí)建 立的��,從而大大縮短了后續(xù)的動(dòng)態(tài)協(xié)商時(shí)間��。
圖1為現(xiàn)有技術(shù)MIH網(wǎng)絡(luò)層次架構(gòu)圖��;.
圖2為MIH業(yè)務(wù)部署示意圖3為層次化密鑰關(guān)系示意圖4為本發(fā)明實(shí)施例MIH業(yè)務(wù)密鑰自動(dòng)派生示意圖5為本發(fā)明實(shí)施例方法流程圖6為本發(fā)明各裝置內(nèi)部結(jié)構(gòu)關(guān)系示意圖1;
圖7為本發(fā)明各裝置內(nèi)部結(jié)構(gòu)關(guān)系示意圖2����。
具體實(shí)施例方式
本發(fā)明實(shí)施例應(yīng)用層次化密鑰(hokey)技術(shù)���,實(shí)現(xiàn)在MN和拜訪域MIH 驗(yàn)證實(shí)體間配置密鑰����,從而保證MN和MIH驗(yàn)證實(shí)體間信息的安全性��,需要 說(shuō)明的是�,本發(fā)明實(shí)施例所述配置密鑰包含了生成密鑰和分發(fā)密鑰兩層含義。 下面結(jié)合附圖對(duì)本發(fā)明實(shí)施例作詳細(xì)介紹�。
圖2為MIH業(yè)務(wù)部署的基本場(chǎng)景�。在圖2中�����,AAAH (Authentication Authorization Accounting Home Server)表示家鄉(xiāng)域的認(rèn)證�、授權(quán)、計(jì)費(fèi)服務(wù) 器�����,AAAV (AAA Visited Server)表示拜訪域AAA服務(wù)器�。本實(shí)施例中�,默 認(rèn)AAAH和AAAV之間,AAAV和拜訪域MIH — 險(xiǎn)證實(shí)體之間��,AAAV和拜訪域認(rèn)證實(shí)體(Authenticator)之間已經(jīng)建立了可以信任的安全通道�。
MN在外部網(wǎng)絡(luò)移動(dòng)的it程當(dāng)中,可能會(huì)跨越不同的網(wǎng)絡(luò)管理域(不同的 AAA服務(wù)器)�����,或跨越不同的網(wǎng)絡(luò)驗(yàn)證者(不同的Authenticator,但在同一個(gè) AAA服務(wù)器下面)���。一4殳而言�,網(wǎng)絡(luò)的接入認(rèn)證時(shí)間是比較長(zhǎng)的。對(duì)于時(shí)延敏 感的業(yè)務(wù)��,MN在移動(dòng)切換重驗(yàn)證所導(dǎo)致的時(shí)延可能會(huì)急劇降低用戶對(duì)時(shí)延敏 感業(yè)務(wù)的感知���。
目前主要有兩種方案對(duì)MN的切換認(rèn)證進(jìn)行優(yōu)化�。 一種方案是預(yù),驗(yàn)證方 案����;另一種方案是重驗(yàn)證方案。預(yù)驗(yàn)證的方案在MN切換前完成驗(yàn)證�,生成安 全相關(guān)的密鑰材料,MN切換后直接使用相關(guān)的密鑰材料來(lái)訪問(wèn)網(wǎng)絡(luò)�����;重驗(yàn)證 方案在MN切換后完成-瞼證���。
不論是預(yù)驗(yàn)證還是重驗(yàn)證����,都需要層次化的密鑰技術(shù)����,層次化密鑰技術(shù) 的關(guān)系如圖3����。在圖3中�,擴(kuò)展主會(huì)話密鑰(Extensible Master Session Key , EMSK)是/人擴(kuò)展認(rèn)i正協(xié)議(Extensible Authentication Protocol, EAP )方法導(dǎo) 出的密鑰,應(yīng)用特定根密鑰(Usage Specific Root Key , USRK)和域特定根密 鑰(Domain Specific Root Key ���, DSRK)是從EMSK派生的子密鑰����,域應(yīng)用特定 根密鑰(Domain Specific Usage Specific Root Key, DSUSRK)是從DSRK派生 出的子密鑰�����。
從EMSK派生出USRK和DSRK的方法如下 USRK=KDF (EMSK, Usage Label, optional data����, length) DSRK=KDF (EMSK, Domain label, optional data, length) 乂人DSRK派生出DSUSRK的方法如下 DSUSRK=KDF (DSRK�, Usage label, optional data, length) 在上面所描述的方法中,KDF(key derivation fUnction)是指密鑰派生函數(shù)����, 常見(jiàn)的密鑰派生函數(shù)有HMAC-SHA-256和HMAC-MD5; Usage label和Domain Label主要是指可讀寫(xiě)的字符串。
另夕卜��,還可以派生出USRK、 DSRK及DSUSRK的keyname,具體的方法 如下
USRK name=PRF (EAP session ID, usage label) DSRK name=PRF (EAP session ID, Domain label)
10DSUSRK name=PRF (DSRK name, usage label)
在以上的三個(gè)等式中�,PRF ( Pseudo Random Function)是指?jìng)坞S機(jī)函數(shù)。 參見(jiàn)圖4����,為本發(fā)明實(shí)施例MIH業(yè)務(wù)密鑰自動(dòng)派生示意圖。
(1) 密鑰派生前的準(zhǔn)備
MN獲知拜訪域ID (以下稱為Domain ID)�、拜訪域驗(yàn)證者ID (以下稱為 Authenticator ID),以及拜訪域MIH驗(yàn)證實(shí)體的ID (以下稱為MIHID)。這 些ID為唯一表示這些對(duì)象的標(biāo)識(shí)����,具體可以體現(xiàn)為IP地址,i某體接入控制 (Media Access Control, MAC)地址或者可讀寫(xiě)的字符串等����。
(2) MN接入拜訪網(wǎng)絡(luò)
MN通過(guò)EAP認(rèn)證的方法,經(jīng)過(guò)AAAV的橋接完成對(duì)AAAH的接入認(rèn)證�。 在認(rèn)證過(guò)程中,AAAV獲知MNID和MIHID�,這些信息由MN通過(guò)安全的方法 傳遞給AAAV; 并且,AAAV向AAAH告知自己的Domain ID和AAAVID。在 接入認(rèn)證過(guò)程中��,MN也會(huì)向AAAH告知畫(huà)ID����、 Authentication ID和MIH ID���。
(3) MSK和EMSK的生成
MN根據(jù)Domain ID、 Authentication ID和MIH ID等參數(shù)利用EAP方法�����,分 別計(jì)算出MSK和EMSK兩個(gè)密鑰����;
AAAH根據(jù)Domain ID、 Authentication ID和MIH ID等參數(shù)利用EAP方法��, 分別計(jì)算出MSK和EMSK兩個(gè)密鑰�����。
(4) MN和AAAH間安全通道的建立
MN和AAAH根據(jù)EMSK和MN ID等參數(shù)計(jì)算完整性檢查密鑰(Integrity Key)和加密密鑰(Encryption Key)��。具體的生成方法如下
IK=PRF (EMSK, "Integrity key" |畫(huà)ID | optional data).............公式l
EK= PRJF (EMSK, "Encryption key" |MN ID | optional data)..........公式2
其中��,"optional data"表示隨機(jī)數(shù)據(jù)��。
通過(guò)生成IK和EK��, AAAH和MN之間建立了通信的安全通道����;MN和 AAAH可以使用IK和EK保護(hù)通信的數(shù)據(jù)內(nèi)容。所述安全通道建立后�����,AAAH 通過(guò)所述安全通道將AAAV ID發(fā)送給廳����。 (5)DSRK的生成和傳輸
MN和AAAH根據(jù)EMSK、 Domain ID以及AAAV ID等參數(shù)計(jì)算拜訪域特定根密鑰DSRK, AAAH將DSRK傳遞給AAAV���。 DSRK的派生方法如下 DSRK=PRF (EMSK���, Domain ID | AAAV ID | optional data).....公式3 (6)DS-MIH-RK的生成和傳輸
MN和AAAV根據(jù)MN ID、 MIH ID和DSRK等參數(shù)計(jì)算域特定MIH業(yè)務(wù)根 密鑰DS-MIH-RK , AAAV將DS-MIH-RK傳遞給拜訪域MIH驗(yàn)證實(shí)體����。 DS-MIH-RK的派生方法如下
DS-MIH-RK = PRF (DSRK, MIH ID |畫(huà)ID| optional data).....公式4
(7)通信密鑰材JH"的生成 MN和拜訪域MIH-險(xiǎn)證實(shí)體已經(jīng)擁有了共享的密鑰材料DS-MIH-RK。雙方 可以按照約定抽取DS-MIH-RK相關(guān)的信息生成MN和拜訪域MIH驗(yàn)證實(shí)體之 間通信的密鑰��,例如-驗(yàn)證密鑰(Key-auth),數(shù)據(jù)通道的加密密鑰(Key-enc) 和完整性保護(hù)密鑰(Key-integrity)等等����。
Key-auth=Extract (DS-MIH-RK��, Position-auth)......................公式5
Key-enc=Extract (DS-MIH-RK, Position-Encryption)................公式6
Key-integrity=Extract (DS-MIH-RK, Position-integrity)..............乂>式7
其中��,Extract4示提取函數(shù)���;Position表明密鑰提取位置。 驗(yàn)證密鑰的生成�����,為MN和拜訪域MIH驗(yàn)證實(shí)體之間的安全聯(lián)盟建立提供 了密鑰材料���。當(dāng)然����,MN和拜訪域MIH驗(yàn)證實(shí)體之間的通信密鑰并不限于上述 三種�。本領(lǐng)域的普通技術(shù)人員可以理解,根據(jù)實(shí)際應(yīng)用的情況����,利用
不再贅述�����。
參見(jiàn)圖5,為本發(fā)明方法實(shí)施例流程圖���,包括
X500:麗獲知Domain ID��、 Authentication ID和MIH ID;
X501: MN經(jīng)過(guò)AAAV與AAAH進(jìn)行接入認(rèn)證���,在認(rèn)證過(guò)程中,AAAV獲 知MNID和MIHID, AAAH獲知MNID�����、 Authentication ID和MIH ID;并且���, AAAV向AAAH告知DomainID和AAAVID ;
X502: MN和AAAH根據(jù)DomainID��、 Authentication ID和MIH ID等參數(shù)利 用EAP方法計(jì)算出MSK和EMSK;
X503: MN和AAAH才艮據(jù)EMSK和MN ID等參數(shù)計(jì)算出IK和EK (參見(jiàn)公式l和公式2),從而在MN和AAAH之間建立安全通道��;
X504: AAAH通過(guò)X503建立的安全通道將AAAV ID發(fā)送給MN��、����;
X505: MN和AAAH根據(jù)EMSK、 Domain ID和AAAV ID等參數(shù)計(jì)算出拜
訪域特定根密鑰DSRK (參見(jiàn)公式3 ); X506: AAAH將DSRJd送給AAAV;
X507: MN和AAAV利用DSRK�����、 MIH ID及MN ID等參數(shù)計(jì)算出拜訪域 MIH業(yè)務(wù)根密鑰DS-MIHS-RK (參見(jiàn)公式4 );
X508: AAAV將DS-MIHS-RK發(fā)送給拜訪域MIH驗(yàn)證實(shí)體�;
X509: MN和拜訪域MIH驗(yàn)證實(shí)體根據(jù)約定從DS-MIHS-RK抽取相關(guān)信息
生成通卩言密鑰。
通過(guò)本發(fā)明實(shí)施例���,可動(dòng)態(tài)建立MN和拜訪域MIH驗(yàn)證實(shí)體之間的認(rèn)證材 料和安全聯(lián)盟密鑰材料����,保證MN和拜訪域MIH驗(yàn)證實(shí)體間信息的安全性���,避 免了手工配置驗(yàn)證口令存在的繁瑣以及易出錯(cuò)的問(wèn)題����,而且���,使得MIH業(yè)務(wù) 的大規(guī)模安全部署成為可能�����;而且由于這些密鑰材料是在MN接入拜訪域網(wǎng)絡(luò) 驗(yàn)證時(shí)建立的�,從而大大縮短了后續(xù)的動(dòng)態(tài)協(xié)商時(shí)間�。
與上述方法實(shí)施例相對(duì)應(yīng),本發(fā)明實(shí)施例還提供在MN和拜訪域MIH驗(yàn) 證實(shí)體間配置密鑰的各種裝置��,其中�,包括位于MN側(cè)的裝置、位于拜訪域 MIH驗(yàn)證實(shí)體側(cè)的裝置�����、位于AAAH側(cè)的裝置���,以及位于AAAV側(cè)的裝置��。
參見(jiàn)圖6�����,為各裝置內(nèi)部結(jié)構(gòu)關(guān)系示意圖�。
位于MN側(cè)的裝置601�����,包括DSRK生成單元6011和DS-MIH-RK生成 單元6012:
DSRK生成單元6011���,用于利用預(yù)計(jì)算出的EMSK�、預(yù)獲知的Domain ID 和AAAV ID以及隨機(jī)數(shù)據(jù)計(jì)算出DSRK;
DS-MIH-RK生成單元6012,用于利用所述DSRK以及預(yù)獲知的MIH ID、 MN ID和隨機(jī)數(shù)據(jù)計(jì)算出DS-MIH-RK�。
優(yōu)選地,參見(jiàn)圖7,位于MN側(cè)的配置裝置601還包括
密鑰確定單元6013����,用于按照與所述拜訪域MIH驗(yàn)證實(shí)體的約定,從所 述DS-MIH-RK抽取信息生成所述MN與所述拜訪域MIH -瞼i正實(shí)體間通信密鑰�,具體通信密鑰可包括多種,例如-瞼證密鑰���、加密密鑰或完整性保護(hù)密
鑰��,在具體應(yīng)用中�����,可同時(shí)利用.多個(gè)通信密鑰對(duì)數(shù)據(jù)加密���。
參數(shù)獲取單元6014,用于獲取生成相關(guān)密鑰所需要的參數(shù);包括 第 一參數(shù)獲取子單元60141,用于獲取Domain ID�����、 Authenticator ID和 MIH ID;
第二參數(shù)獲取子單元60142,用于通過(guò)所述AAAH與所述MN之間建立 的安全通道,從所述AAAH接收所述AAAV ID���。
MSK/EMSK生成單元6015,用于利用所述第一參數(shù)獲取子單元60141獲 耳又的Domain ID���、 Authenticator ID和MIH ID生成MSK和EMSK�。
安全通道建立單元6016,用于利用所述MSK/EMSK生成單元6015生成 的EMSK和MN ID,生成IK和EK,在所述AAAH與所述MN之間建立安 全通道0
所述位于MN側(cè)的配置裝置601,可以是一個(gè)獨(dú)立的設(shè)備�,也可以是集成 在其他設(shè)備上,例如�����,集成在所述MN上�����。
位于AAAH側(cè)的裝置602,包括DSRK生成單元6021和DSRK發(fā)送單 元6022:
DSRK生成單元6021 ����,用于利用預(yù)計(jì)算出的EMSK、預(yù)獲知的Domain ID 和AAAV ID以及隨機(jī)數(shù)據(jù)計(jì)算出DSRK;
DSRK發(fā)送單元6022,用于向AAAV發(fā)送所述DSRK��。 參見(jiàn)圖7,位于AAAH側(cè)的裝置602還包括
參數(shù)獲知單元6023 ���,用于在MN通過(guò)AAAV與所述AAAH進(jìn)行接入認(rèn) 證過(guò)程中�,從所述AAAV獲知Domain ID和AAAV ID,從所述畫(huà)獲取所述 固ID���、 Authenticator ID和MIH ID;
MSK/EMSK生成單元6024,用于利用從AAAV獲取的所述Domain ID����、 從MN獲取的Authenticator ID和MIH ID生成MSK和EMSK���。
安全通道建立單元6025���,用于利用所述MSK/EMSK生成單元6024生成 的EMSK和MNID,生成IK和EK,在所述AAAH與所述MN之間建立安 全通道。
14參數(shù)發(fā)送單元6026,用于通過(guò)與MN之間建立的安全通道���,將獲知的所 述AAAV ID發(fā)送給MN�����。
所述位于AAAH側(cè)的裝置602�,可以是一個(gè)獨(dú)立的設(shè)備���,也可以是集成 在其他設(shè)備上����,例如,集成在所述AAAH上��。
位于AAAV側(cè)的裝置603,包括DSRK接收單元6031和DS-MIH-RK生 成單元6032:
DSRK接收單元6031 �����,用于從AAAH接收DSRK;
DS-MIH-RK生成單元6032,用于利用所述DSRK以及預(yù)獲知的MIH ID�、 MN ID和隨機(jī)數(shù)據(jù)計(jì)算出DS-MIH-RK���,并將所述DS-MIH-RK發(fā)送給拜訪域 MIH驗(yàn)證實(shí)體����。��。
參見(jiàn)圖7,位于AAAV側(cè)的中間裝置603還包括
參數(shù)獲知單元6033 ����,用于在MN通過(guò)所述AAAV與AAAH進(jìn)行接入認(rèn) 證過(guò)程中,獲取MIH ID和MN ID;
參數(shù)發(fā)送單元6034����,用于在所述MN通過(guò)所述AAAV與所述AAAH進(jìn) 行接入認(rèn)證過(guò)程中�����,向所述AAAH發(fā)送Domain ID和AAAV ID����。
所述位于AAAV側(cè)的中間裝置603,可以是一個(gè)獨(dú)立的設(shè)備���,也可以是 集成在其他設(shè)備上��,例如����,集成在所述AAAV上�。
位于拜訪域MIH驗(yàn)證實(shí)體側(cè)的裝置604,包括DS-MIH-RK接收單元6041 和密鑰確定單元6042:
DS-MIH-RK接收單元6041 ,用于從AAAV接收DS-MIH-RK;
密鑰確定單元6042,用于按照與MN的約定��,從所述DS-MIH-RK抽取 信息生成MN與MIH-驗(yàn)i正實(shí)體間通信密鑰��,具體通信密鑰可包括多種���,例如 驗(yàn)證密鑰��、加密密鑰或完整性保護(hù)密鑰�����,在具體應(yīng)用中�,可同時(shí)利用多個(gè)通 信密鑰對(duì)數(shù)據(jù)加密。
所述位于拜訪域MIH驗(yàn)證實(shí)體側(cè)的配置裝置604,可以是一個(gè)獨(dú)立的i殳 備����,也可以是集成在其他設(shè)備上,例如��,集成在所述拜訪域MIH驗(yàn)證實(shí)體上����。
通過(guò)本發(fā)明實(shí)施例����,可動(dòng)態(tài)建立MN和拜訪域MIH -驗(yàn)證實(shí)體之間的i人證 材料和安全聯(lián)盟密鑰材料,保證MN和拜訪域MIH驗(yàn)證實(shí)體間信息的安全性���, 避免了手工配置驗(yàn)證口令存在的繁瑣以及易出錯(cuò)的問(wèn)題���,而且,使得MIH業(yè)
15務(wù)的大規(guī)模安全部署成為可能;而且由于這些密鑰材料是在MN接入拜訪域 網(wǎng)絡(luò)驗(yàn)證時(shí)建立的�,從而大大縮短了后續(xù)的動(dòng)態(tài)協(xié)商時(shí)間。
與上述方法及裝置相對(duì)應(yīng)��,本發(fā)明實(shí)施例還提供一種配置密鑰的系統(tǒng)�, 該系統(tǒng)包括MN、 AAAH��、 AAAV以及拜訪域MIH驗(yàn)證實(shí)體���。
仍可參見(jiàn)圖6�����,所述MN包括DSRK生成單元6011����,用于利用預(yù)計(jì)算 出的EMSK���、預(yù)獲知的拜訪域ID和AAAVID以及隨機(jī)數(shù)據(jù)計(jì)算出DSRK; DS-MIH-RK生成單元6012,用于利用所述DSRK以及預(yù)獲知的MIH ID���、 MN ID和隨機(jī)數(shù)據(jù)計(jì)算出DS-MIH-RK;
所述AAAH包括DSRK生成單元6021,用于利用預(yù)計(jì)算出的EMSK、 預(yù)獲知的拜訪域ID和AAAV ID以及隨機(jī)數(shù)據(jù)計(jì)算出DSRK; DSRK發(fā)送單 元6022,用于向AAAV發(fā)送所述DSRK;
所述AAAV包括DSRK接收單元6031,用于從AAAH接收DSRK; DS-MIH-RK生成單元6032�,用于利用所述DSRK以及預(yù)獲知的MIH ID、 MN ID和隨機(jī)數(shù)據(jù)計(jì)算出DS-MIH-RK,并負(fù)責(zé)將DS-MIH-RK發(fā)送給;
所述拜訪域MIH驗(yàn)證實(shí)體包括DS-MIH-RK接收單元6041 ����,用于從 AAAV接收DS-MIH-RK。
參見(jiàn)圖7,所述MN還包括
密鑰確定單元(6013),按照與所述拜訪域MIH驗(yàn)證實(shí)體的約定��,從所 述DS-MIH-RK抽取信息生成所述MN與所述拜訪域MIH — 險(xiǎn)證實(shí)體間的通信 密鑰����;
參數(shù)獲取單元(6014),用于獲取生成相關(guān)密鑰所需要的參數(shù);
MSK/EMSK生成單元(6015 )����,用于利用所述第一參數(shù)獲取子單元(60141 ) 獲取的拜訪域ID、 Authenticator ID和MIH ID生成MSK和EMSK;
安全通道建立單元(6016)����,用于利用所述MSK/EMSK生成單元(6015) 生成的EMSK和MNID,生成IK和EK,在所述AAAH與所述MN之間建 立安全通道�。
所述AAAH還包括參數(shù)獲知單元(6023 )��,用于在MN通過(guò)AAAV與AAAH進(jìn)行接入認(rèn)證 過(guò)程中����,從AAAV獲知拜訪域ID和AAAV ID,從所述MN獲取所述MN. ID 、 Authenticator ID和MIH ID;
MSK/EMSK生成單元(6024),用于利用獲取的所述拜訪域ID�、 Authenticator ID和MIH ID生成MSK和EMSK;
安全通道建立單元(6025 ),用于利用所述MN ID和MSK/EMSK生成單 元(6024 )生成的EMSK,生成IK和EK,在所述AAAH與所述MN之間建 立安全通道;
參數(shù)發(fā)送單元(6026 )�����,用于通過(guò)與MN之間建立的安全通道�����,將獲知的 所述AAAV ID發(fā)送給MN����。 所述AAAV還包括
參數(shù)獲知單元(6033 ),用于在MN通過(guò)AAAV與AAAH進(jìn)行接入認(rèn)證 過(guò)程中����,獲取MIH ID和MN ID;
參數(shù)發(fā)送單元(6034 ),用于在MN通過(guò)AAAV與AAAH進(jìn)行接入認(rèn)證 過(guò)程中,向AAAV發(fā)送拜訪域ID和AAAV ID�。
所述拜訪域MIH -驗(yàn)i正實(shí)體還包括
密鑰確定單元(6042 ),按照與MN的約定,從所述DS-MIH-RK抽取信 息生成所述MN與所述拜訪域MIH驗(yàn)證實(shí)體間的通信密鑰����。
對(duì)于本發(fā)明實(shí)施例提供的各裝置及系統(tǒng)的具體實(shí)現(xiàn)細(xì)節(jié)可參見(jiàn)方法實(shí)施 例,在此不再贅述�����。
以上所述僅是本發(fā)明的優(yōu)選實(shí)施方式,應(yīng)當(dāng)指出��,對(duì)于本技術(shù)領(lǐng)域的普 通技術(shù)人員來(lái)說(shuō)����,在不脫離本發(fā)明原理的前提下,還可以做出若干改進(jìn)和潤(rùn) 飾��,這些改進(jìn)和潤(rùn)飾也應(yīng)視為本發(fā)明的保護(hù)范圍���。
1權(quán)利要求
1�����、一種配置密鑰的方法�,其特征在于�����,包括在移動(dòng)節(jié)點(diǎn)MN和家鄉(xiāng)AAA服務(wù)器AAAH上�����,分別生成拜訪域特定根密鑰DSRK�����,所述AAAH將所述DSRK發(fā)送給拜訪域AAA服務(wù)器AAAV�;在MN和AAAV上,分別利用所述DSRK生成域特定MIH業(yè)務(wù)根密鑰DS-MIH-RK�,所述AAAV將所述DS-MIH-RK發(fā)送給拜訪域介質(zhì)無(wú)關(guān)切換MIH驗(yàn)證實(shí)體。
2���、 根據(jù)權(quán)利要求l所述方法���,其特征在于,所述MN和AAAH��,分別利用擴(kuò)展主會(huì)話密鑰EMSK����、拜訪域ID和AAAV ID以及隨機(jī)數(shù)據(jù)計(jì)算出所述DSRK。
3�、 根據(jù)權(quán)利要求2所述方法,其特征在于����,生成所述DSRK的過(guò)程為 所述MN預(yù)先獲知所述拜訪域ID�、拜訪域驗(yàn)證者Authenticator ID和拜訪域MIH ID;所述MN通過(guò)所述AAAV與所述AAAH進(jìn)行4秦入認(rèn)i正�����,所述AAAH獲 知所述拜訪域ID��、���、 Authentication ID�、 MIHID����、 AAAVID和MNID;所述MN和所述AAAH利用所述拜訪域ID、 Authentication ID和MIH ID 生成所述EMSK;在所述MN和AAAH間建立安全通道��,所述AAAH通過(guò)所述安全通道將 所述AAAV ID發(fā)送給MN;所述MN和AAAH����,分別利用所述EMSK、拜訪域ID���、 AAAV ID以及隨 機(jī)數(shù)據(jù)計(jì)算出DSRK����。
4、 根據(jù)權(quán)利要求3所述方法�,其特征在于�,利用所述EMSK、所述MN ID 以及隨機(jī)數(shù)據(jù)生成完整性密鑰IK和加密密鑰EK,在所述MN和AAAH間建 立所述安全通道��。
5�、 根據(jù)權(quán)利要求1或2或3或4所述方法,其特征在于��,所述MN和AAAV����,分別利用所述DSRK以及預(yù)獲知的MIH ID、 MN ID 和隨機(jī)數(shù)據(jù)計(jì)算出所述DS-MIH-RK�。
6、 才艮據(jù)權(quán)利要求5所述方法�,其特征在于,生成所述DS-MIH-RK的過(guò) 程為MN預(yù)先獲知拜訪域ID和MIH ID;所述MN通過(guò)所述AAAV與所述AAAH進(jìn)4于4妻入認(rèn)證��,所述AAAV獲 知MIH ID和MN ID;在生成DSRK后���,所述AAAH將所述DSRK發(fā)送給所述AAAV;所述MN和AAAV,分別利用所述DSRK��、 MIH ID和MN ID以及隨機(jī) 數(shù)據(jù)計(jì)算出所述DS-MIH-RK�����。
7�����、 根據(jù)權(quán)利要求l所述方法���,其特征在于����,還包括在所述MN和所述拜訪域MIH驗(yàn)證實(shí)體上��,按照約定從所述DS-MIH-RK 提取信息��,生成所述MN和所述拜訪域MIH驗(yàn)證實(shí)體之間的通信密鑰����。
8、 根據(jù)權(quán)利要求7所述方法��,其特征在于����,所述MN和所述拜訪域MIH -驗(yàn)證實(shí)體之間的通信密鑰包括驗(yàn)證密鑰����、數(shù)據(jù)通道的加密密鑰或完整性保 護(hù)密鑰����。
9����、 一種配置密鑰的裝置,其特征在于���,位于MN側(cè)���,用于向所述MN配 置密鑰,所述密鑰為所述MN與拜訪域MIH驗(yàn)證實(shí)體間的密鑰���;所述裝置包 括DSRK生成單元(6011 ),用于利用預(yù)計(jì)算出的EMSK���、預(yù)獲知的拜訪域 ID和AAAV ID以及隨機(jī)數(shù)據(jù)計(jì)算出DSRK;DS-MIH-RK生成單元(6012),用于利用所述DSRK以及預(yù)獲知的MIH ID、 MN ID和隨機(jī)數(shù)據(jù)計(jì)算出DS-MIH-RK���。
10�、 根據(jù)權(quán)利要求9所述裝置,其特征在于�����,還包括 密鑰確定單元(6013),按照與所述拜訪域MIH驗(yàn)證實(shí)體的約定�����,從所述DS-MIH-RK抽取信息生成所述MN與所述拜訪域MIH驗(yàn)i正實(shí)體間的通信 密鑰�����。
11��、 根據(jù)權(quán)利要求9或IO所述裝置��,其特征在于����,還包括 參數(shù)獲取單元(6014),用于獲取生成相關(guān)密鑰所需要的參數(shù)��。
12����、 根據(jù)權(quán)利要求11所述裝置�����,其特征在于���,所述參數(shù)獲取單元(6014) 包括第 一參數(shù)獲取子單元(60141 ),用于獲取拜訪域ID、 Authenticator ID和 MIH ID;第二參數(shù)獲取子單元(60142),用于通過(guò)AAAH與所述MN之間建立的 安全通道���,從所述AAAH接收所述AAAV ID。
13�、 根據(jù)權(quán)利要求12所述裝置,其特征在于��,還包括 MSK/EMSK生成單元(6015 ),用于利用所述第一參數(shù)獲取子單元(60141 )獲取的拜訪域ID�、 Authenticator ID和MIH ID生成MSK和EMSK;安全通道建立單元(6016 ),用于利用所述MSK/EMSK生成單元(6015 ) 生成的EMSK和MNID,生成IK和EK,在所述AAAH與所述MN之間建 立安全通道���。
14���、 一種配置密鑰的裝置,其特征在于���,位于拜訪域MIH—瞼證實(shí)體側(cè)���, 用于向所述拜訪域MIH馬全證實(shí)體配置密鑰���,所述密鑰為MN與所述拜訪域 MIH—險(xiǎn)證實(shí)體間的密鑰;所述裝置包括DS-MIH-RK接收單元(6041 ),用于從AAAV接收DS-MIH-RK����。
15、 根據(jù)權(quán)利要求14所述裝置���,其特征在于�,還包括 密鑰確定單元(6042 )��,按照與MN的約定��,從所述DS-MIH-RK抽取信息生成所述MN與所述拜訪域MIH驗(yàn)證實(shí)體間的通信密鑰�。
16、 一種配置密鑰的裝置�����,其特征在于�,位于AAAH側(cè)��,包括 DSRK生成單元(6021 ),用于利用預(yù)計(jì)算出的EMSK����、預(yù)獲知的拜訪域ID和AAAV ID以及隨機(jī)數(shù)據(jù)計(jì)算出DSRK;DSRK發(fā)送單元(6022 ),用于向AAAV發(fā)送所述DSRK����。
17、 根據(jù)權(quán)利要求16所述裝置�����,其特征在于�����,還包括 參數(shù)獲知單元(6023 ),用于在MN通過(guò)AAAV與AAAH進(jìn)行接入認(rèn)證過(guò)程中��,從AAAV獲知拜訪域ID和AAAV ID,從所述MN獲取所述MN ID ��、 Authenticator ID和MIH ID�����。
18��、 根據(jù)權(quán)利要求16或17所述裝置�����,其特征在于���,還包括 MSK/EMSK生成單元(6024),用于利用獲取的所述拜訪域ID����、Authenticator ID和MIH ID生成MSK和EMSK;安全通道建立單元(6025 ),用于利用所述MN ID和MSK/EMSK生成單 元(6024 )生成的EMSK,生成IK和EK�,在所述AAAH與所述MN之間建 立安全通道;參數(shù)發(fā)送單元(6026 ),用于通過(guò)與MN之間建立的安全通道�,將獲知的 所述AAAV ID發(fā)送給MN。 .
19����、 一種配置密鑰的裝置,其特征在于�����,位于AAAV側(cè)���,包括 DSRK接收單元(6031 ),用于從AAAH接收DSRK;DS-MIH-RK生成單元(6032 ),用于利用所述DSRK以及預(yù)獲知的MIH ID����、 MNID和隨機(jī)數(shù)據(jù)計(jì)算出DS-MIH-RK,并將所述DS-MIH-RK發(fā)送給拜 訪域MIH驗(yàn)證實(shí)體���。
20�����、 根據(jù)權(quán)利要求19所述裝置����,其特征在于����,還包括 參數(shù)獲知單元(6033 ),用于在MN通過(guò)AAAV與AAAH進(jìn)行接入認(rèn)證過(guò)程中����,獲取MIH ID和MN ID;參數(shù)發(fā)送單元(6034 )���,用于在MN通過(guò)AAAV與AAAH進(jìn)行接入認(rèn)證 過(guò)程中���,向AAAV發(fā)送拜訪域ID和AAAV ID��。
21���、 一種配置密鑰的系統(tǒng),包括MN���、 AAAH���、 AAAV以及拜訪域MIH 驗(yàn)證實(shí)體;其特征在于�,所述MN包括DSRK生成單元(6011 ),用于利用預(yù)計(jì)算出的EMSK���、預(yù)獲知的拜訪域 ID和AAAV ID以及隨機(jī)數(shù)據(jù)計(jì)算出DSRK;DS-MIH-RK生成單元(6012 ),用于利用所述DSRK以及預(yù)獲知的MIH ID���、 MN ID和隨機(jī)數(shù)據(jù)計(jì)算出DS-MIH-RK;所述AAAH包括DSRK生成單元(6021 ),用于利用預(yù)計(jì)算出的EMSK�、預(yù)獲知的拜訪域 ID和AAAV ID以及隨機(jī)數(shù)據(jù)計(jì)算出DSRK;DSRK發(fā)送單元(6022 ),用于向AAAV發(fā)送所述DSRK; 所述AAAV包括DSRK接收單元(6031 ),用于從AAAH接收DSRK;DS-MIH-RK生成單元(6032)�����,用于利用所述DSRK以及預(yù)獲知的MIH ID、 MN ID和隨機(jī)數(shù)據(jù)計(jì)算出DS-MIH-RK��,并負(fù)責(zé)將DS-MIH-RK發(fā)送給 MIH驗(yàn)證實(shí)體�;所述拜訪域MIH — 險(xiǎn)證實(shí)體包括DS-MIH-RK接收單元(6041 ),用于從AAAV接收DS-MIH-RK。
全文摘要
本發(fā)明公開(kāi)了一種配置密鑰的方法�,包括在MN和家鄉(xiāng)AAA服務(wù)器AAAH上,分別生成拜訪域特定根密鑰DSRK�,所述AAAH將所述DSRK發(fā)送給拜訪域AAA服務(wù)器AAAV;在MN和AAAV上���,分別利用所述DSRK生成拜訪域MIH業(yè)務(wù)根密鑰DS-MIH-RK���,并且,所述AAAV將所述DS-MIH-RK發(fā)送給拜訪域MIH驗(yàn)證實(shí)體���。本發(fā)明避免了手工配置驗(yàn)證口令存在的繁瑣以及易出錯(cuò)的問(wèn)題�,使得MIH業(yè)務(wù)的大規(guī)模安全部署成為可能���。與上述方法相對(duì)應(yīng)�,本發(fā)明還提供在MN和MIH驗(yàn)證實(shí)體間配置密鑰的裝置及系統(tǒng)���。
文檔編號(hào)H04L29/06GK101499959SQ20081000680
公開(kāi)日2009年8月5日 申請(qǐng)日期2008年1月31日 優(yōu)先權(quán)日2008年1月31日
發(fā)明者夏忠其 申請(qǐng)人:華為技術(shù)有限公司