專利名稱:一種cdma2000系統(tǒng)移動ip業(yè)務的接入方法和系統(tǒng)的制作方法
技術領域:
本發(fā)明涉及通信領域�����,尤其涉及CDMA2000系統(tǒng)中移動IP (Internet Protocol,網(wǎng)絡互連的協(xié)議)業(yè)務接入時的安全才幾制�����。
背景技術:
移動IP業(yè)務相較簡單IP業(yè)務為用戶提供了更大范圍的不間斷業(yè)務, 在CDMA2000�����、 Wimax ( World Interoperability for Microwave Access,全球 微波接入互通技術)以及下一代演進網(wǎng)絡中都得到了廣泛的應用�����。
移動IP業(yè)務在核心網(wǎng)側主要網(wǎng)元包括FA( Foreign Agent,外地代理)����、 HA ( Home Agent , )J3屬4戈理)和AAA ( Authentication Authorization Accounting鑒權授權計費服務器)��。移動IP通過FA和HA接入網(wǎng)絡�,并通 過FA和HA與網(wǎng)絡進行信令和lt據(jù)業(yè)務的交互�,保證移動IP業(yè)務的安全 性通過保證FA和HA之間信令和數(shù)據(jù)業(yè)務的安全性來實現(xiàn)。
在3gpp2(3rd Generation Partnership Project 2�����,第三代合作伙伴計劃2) 協(xié)議中����,F(xiàn)A與HA之間的信令和數(shù)據(jù)業(yè)務的安全性通常采用兩種方法來保 證
第一種方法是采用FA與HA之間的認證擴展���,即在FA上配置HA列 表及相關參數(shù),在HA上配置FA列表及相關參數(shù)�����。此方法的缺點是列表 及相關參數(shù)需要手工配置���,對于復雜的組網(wǎng)環(huán)境�����,操作維護工作不夠方便����。 特別是移動IP業(yè)務國際漫游的場景����,每次配置FA時需要了解全球所有互 通HA的配置并且在全球的HA上增加新增FA的配置,實際可纟喿作性較 差�。
第二種方法采用IPSec (Internet Protocol Security, Internet協(xié)議安全) 隧道,即由AAA下發(fā)IPSec IKE (Internet Key Exchange,因特網(wǎng)密鑰交換 協(xié)議)協(xié)商需要的預共享密鑰���。
在某些CDMA2000系統(tǒng)中�����,PDSN (Packet Data Service Node分組數(shù) 據(jù)服務節(jié)點)在移動IP用戶接入時具有FA同樣的功能�����,在第二種方法中���, FA可以用PDSN替換���。
和第一種方法相比,第二種采用IPSec隧道的安全性更高���,現(xiàn)有的采用IPSec隧道的移動IP接入方法包括以下步驟����,如圖1所示步驟IOI����、 PCF與FA或PDSN建立空口鏈路����;
步驟102����、訪問終端與FA或PDSN協(xié)商PPP�, FA或PDSN發(fā)送代理廣播至訪問終端;
步驟103�、訪問終端通過代理廣播獲取移動IP相關信息;
步驟104����、訪問終端向FA或PDSN發(fā)起移動IP注冊;
步驟105至108, FA或PDSN與AAA交互�����,獲取認證信息�����,包括預共享密碼和KeyID,同時下發(fā)HA地址給FA或PDSN;
步驟109�, FA或PDSN讀取本地配置的其他協(xié)商IPSec參數(shù),根據(jù)FA下發(fā)的認證信息����,向HA進行ISAKMP SA協(xié)商����,攜帶提議的ISAKMP SA信息��、密匙材料以及KeyID;
步驟110��, HA根據(jù)KeyID還原出FA地址��,向AAA獲取生成IPSec預共享密鑰的S Key并保存在本地����;
步驟111-112, HA讀取本地預先配置的其他協(xié)商IPSec參數(shù)��,與FA
或PDSN協(xié)商建立ISAKMP SA;
步驟113 ��, PDSN/FA�、 HA協(xié)商建立IPSec SA;
步驟114~117,完成MIP注冊��,PDSN/FA與HA之間信令由IPSec隧道承栽��;
步驟118, FA通知AAA計費開始�;
步驟119,移動IP接入完成����,訪問終端開始數(shù)據(jù)業(yè)務���,F(xiàn)A與HA之間數(shù)據(jù)由IPSec隧道岸義載。
現(xiàn)有的采用IPSec隧道的移動IP接入方法有以下問題問題一��,IKE協(xié)商兩端的IPSec安全關聯(lián)�,除了預共享密鑰還需要配置若干協(xié)商參數(shù),如FA與HA之間IPSec的傳輸模式���、隧道才莫式下隧道兩端的地址�����、安全類型���、具體的加密認證算法等,這些參數(shù)仍需要手工配置在FA和HA上�,可搡作性較差;
問題二��, 3gpp2協(xié)議對IKE協(xié)商作了若干約束��,如ISAKMP (InternetSecurity Association and Key Management Protocol, 因4爭網(wǎng)安全十辦定和密4月管理協(xié)議)的主版本和副版本、選擇符等�,統(tǒng)一了標準,但是擴展性不好��。如目前主流IKE已經(jīng)有V1.0和V2.0的版本�,而3gpp2還是停留在0版本,不同的系統(tǒng)����、不同的版本在實際對接存在問題;問題三��,安全策略單一�,無法滿足運營商訂制安全策略的需求,運營 商在建設移動IP網(wǎng)絡時可能會提出若干的訂制要求�����,如區(qū)分帳號實施FA 與HA之間的IPSec�����、區(qū)分運營商內(nèi)部網(wǎng)絡和其他運營商網(wǎng)絡實施不同的 IPSec策略等�����,目前的架構無法滿足運營商的需求。發(fā)明內(nèi)容本發(fā)明提供了一種CDMA2000系統(tǒng)移動IP業(yè)務的接入方法及系統(tǒng)����, 可以提高系統(tǒng)的可用性�����,同時滿足運營商多樣化安全策略需求���。 為解決上述問題��,本發(fā)明采用了如下技術方案一種CDMA2000系統(tǒng)移動IP的接入方法���,在外地代理FA或分組數(shù) 據(jù)服務節(jié)點PDSN與家鄉(xiāng)代理HA協(xié)商建立Internet協(xié)議安全隧道即IPSec 隧道的過程中,鑒權授權計費服務器AAA選擇并下發(fā)協(xié)商IPSec參數(shù)或協(xié) 商IPSec參數(shù)所對應的profileID至所述FA和HA,或PDSN和HA�����。在上述CDMA2000系統(tǒng)移動IP的接入方法的一種實施例中��,所述FA 或PDSN與所述HA協(xié)商建立所述IPSec隧道的過程包含以下步驟Al ����、所述FA或PDSN向所述AAA發(fā)送認i正請求,同時請求預共享 密碼;A2�����、所述AAA將認證應答下發(fā)至所述FA或PDSN�����,所述認證應答包 含協(xié)商IPSec參數(shù)或協(xié)商IPSec參數(shù)所對應的profileID;A3���、所述FA或PDSN根據(jù)所述AAA下發(fā)的認證應答�����,發(fā)送協(xié)商請 求至所述HA;A4�、所述HA收到所述協(xié)商請求后���,向所述AAA獲取預所述共享密 碼���,以及協(xié)商IPSec參數(shù)或協(xié)商IPSec參數(shù)所對應的profileID, FA或PDSN 與HA協(xié)商建立IPSec隧道���。在上述CDMA2000系統(tǒng)移動IP的接入方法的一種實施例中���,所迷 AAA根據(jù)不同訪問終端的安全等級選擇并下發(fā)不同的協(xié)商IPSec參數(shù)或不 同的協(xié)商IPSec參數(shù)所對應的profileID�,所述訪問終端的安全等級由用戶 預先設定�。在上述CDMA2000系統(tǒng)移動IP的接入方法的一種實施例中,在所述 步驟A1之前����,還包括以下步驟Bl��、 PCF與所述FA或PDSN建立空口鏈路����;B2、所述訪問終端與所述FA或PDSN協(xié)商PPP�����,所述FA或PDSN 發(fā)送代理廣播至所述訪問終端�;B3、所述訪問終端通過所述代理廣播獲取移動IP相關信息��; B4�����、所述訪問終端向所述FA或PDSN發(fā)起移動IP注冊; 在所述步驟A4之后��,還包括以下步驟B5 �、所述訪問終端完成移動IP注冊,所述FA或PDSN與HA之間的 信令由所述IPSec隧道7 義載��;B6��、所述FA或PDSN通知所述AAA計費開始�;B7、所述移動IP4妄入完成����,所述訪問終端開始數(shù)據(jù)業(yè)務,所述FA或 PDSN與所述HA之間的數(shù)據(jù)由所述IPSec隧道承載��。在上述CDMA2000系統(tǒng)移動IP的接入方法的 一種實施例中���,所述步 驟A2包含以下處理所述AAA將認證應答下發(fā)至所述FA或PDSN��,所 述認證應答是AAA根據(jù)訪問終端的安全級別����,選擇并下發(fā)的不同的協(xié)商 IPSec參數(shù)���、預共享密匙���、身份信息���;所述步驟A3包括以下處理所述FA或PDSN才艮據(jù)所述AAA下發(fā)的 所述協(xié)商IPSec參數(shù),發(fā)送ISAKMPSA建立的協(xié)商請求至所述HA����,所述 ISAKMPSA建立的協(xié)商請求中攜帶提議建立的ISAKMPSA信息、密鑰材 料以及身份信息�����;所述步驟A4包括以下處理Cl�、所述HA收到所述ISAKMP SA建立的協(xié)商請求后����,根據(jù)其中的 所述身份信息還原FA或PDSN地址,并發(fā)送S Key和協(xié)商IPSec獲取請 求至所述AAA,所述AAA下發(fā)所述S Key和協(xié)商IPSec參數(shù)至所述HA���, 所述HA根據(jù)所述身份信息以及所述SKey,生成IPSec的預共享密匙���,并 將信息保存在本地�����;C2����、所述HA發(fā)送ISAKMP SA協(xié)商請求響應信至所述FA或PDSN;C3���、所述FA或PDSN收到所述ISAKMP SA協(xié)商請求響應后���,發(fā)送 已接收響應至所述HA,所述ISAKMP SA建立����;C4、所述ISAKMP SA建立后��,所述FA或PDSN與所述HA建立IPSec SA;所述IPSec SA建立后�,所述FA或PDSN與所述HA之間建立IPSec 隧道。在上述CDMA2000系統(tǒng)移動IP的接入方法的一種實施例中���,所述步驟A2包括以下處理所述AAA將認證應答下發(fā)至所述FA或PDSN����,所 述認證應答是所述AAA根據(jù)訪問終端的安全級別,選擇并下發(fā)的不同的 協(xié)商IPSec參數(shù)所對應的profileID�、預共享密匙、身個分信息�; 所述步驟A3包含以下處理Dl 、所述FA或PDSN根據(jù)所述協(xié)商IPSec參數(shù)所對應profileID在本 地獲取所述協(xié)商IPSec參數(shù)���;發(fā)送所迷ISAKMP SA建立的協(xié)商請求至所述HA,所述ISAKMP SA建立 的協(xié)商請求中攜帶提議建立的ISAKMPSA信息���、密鑰材料以及身份信息; 所述步驟A4包含以下處理D3���、所述HA收到所述ISAKMP SA建立的協(xié)商請求后�,根據(jù)其中的 所述身份信息還原FA或PDSN地址�����,并發(fā)送所述S Key和協(xié)商IPSec獲 取請求至所述AAA���,所述AAA下發(fā)所述S Key和協(xié)商IPSec參數(shù)至所述 HA,所述HA根據(jù)所述身份信息以及SKey,生成IPSec的預共享密匙����, 并將信息保存在本地����;D4�����、所述HA發(fā)送ISAKMP SA協(xié)商請求響應信至所述FA或PDSN;D5��、所述FA或PDSN收到所述ISAKMP SA協(xié)商請求響應后�����,發(fā)送 所述已接收響應至所述HA�,所述ISAKMP SA建立;D6�、所述ISAKMP SA建立后,所述FA或PDSN與所述HA建立IPSec SA;所述IPSec SA建立后�����,所述FA或PDSN與所述HA之間建立IPSec 隧道�����。在上述CDMA2000系統(tǒng)移動IP的接入方法的一種實施例中,若本地 已保存所述S Key和所述協(xié)商IPSec參數(shù)�,則直接讀取本地保存的信息, 跳過步驟Cl����。在上述CDMA2000系統(tǒng)移動IP的接入方法的一種實施例中,若本地 已保存所述S Key和所述協(xié)商IPSec參數(shù)所對應的profileID��,則直接讀取 本地保存的信息�,跳過步驟D3。本發(fā)明還公開了一種CDMA2000系統(tǒng)移動IP的接入系統(tǒng)��,包括歸屬 代理�、外地代理和鑒權授權計費服務器,用于協(xié)商建立承載信令和數(shù)據(jù)的 IPSec隧道��,在歸屬代理和外地代理之間協(xié)商建立IPSec隧道的過程中���,所 述鑒權授權計費服務器選擇并下發(fā)所述協(xié)商IPSec參數(shù)或協(xié)商IPSec參數(shù) 所對應的profileID至所述外地代理和歸屬代理���。訪問終端的安 全等級由用戶預先設定����。與現(xiàn)有技術相比,本發(fā)明的有益效果在于本發(fā)明選擇并下發(fā)協(xié)商 IPSec參數(shù)或協(xié)商IPSec參數(shù)所對應的profileID至FA和HA,或PDSN和 HA,避免了在上述網(wǎng)元上手工配置協(xié)商IPSec參數(shù),簡化了系統(tǒng)配置����,提 高了系統(tǒng)的可用性,同時,由于FA和HA,或PDSN和HA上的協(xié)商參數(shù) 統(tǒng)一下發(fā),協(xié)議版本相同���,避免了不同版本造成的對接困難。
圖1示例性地描述了現(xiàn)有的CDMA2000系統(tǒng)移動IP接入流程; 圖2示例性地描述了本發(fā)明的CDMA2000系統(tǒng)移動IP接入流程���; 圖3示例性地描述了本發(fā)明的CDMA2000系統(tǒng)移動IP接入方法多樣 化安全策略的 一種實施例;圖4示例性地描述了本發(fā)明的系統(tǒng)結構圖����。
具體實施方式
下面對照附圖并結合具體實施方式
對本發(fā)明進行進一步詳細說明。 實施例一如圖2所示�����,本例的CDMA2000系統(tǒng)移動IP的接入系統(tǒng)�����,其 CDMA2000系統(tǒng)移動IP^妄入方法�,包括以下處理步驟步驟201 , PCF ( Packet Control Function,分組控制功能子系統(tǒng))與所 述FA建立空口鏈路;步驟202�����,訪問終端與所述FA協(xié)商PPP (Point to Point Protocol,點 對點聯(lián)機協(xié)議)���,F(xiàn)A發(fā)送代理廣播至所述訪問終端��;步驟203�����,訪問終端通過代理廣播獲取移動IP相關信息����;步驟204,訪問終端向FA發(fā)起移動IP注冊��;步驟205����, FA向FAAA發(fā)送認證請求,同時請求預共享密碼�����;AAA包4舌HAAA (Home Authentication Authorization Accounting歸屬 鑒權授權計費月l務器)和FAAA (Foreign Authentication 10Accounting外地鑒權授權計費服務器)����,其中,HAAA為用于選擇和下發(fā) 協(xié)商IPSec參數(shù)���;FAAA用于中轉FA與HAAA之間的認證請求和應答��。 步驟206, FAAA將i人證請求轉至HAAA;步驟207, HAAA才艮據(jù)訪問終端的安全級別����,選擇并下發(fā)不同的認證 應答至FAAA,認證應答包含協(xié)商IPSec參數(shù)����、預共享密匙、身份信息等����;協(xié)商IPSec參數(shù)包括IKE版本號、IKE協(xié)商的身々分類型����、IKE協(xié)商的 交換類型、IPSec模式����、加密算法����、認證算法�、IPSec隧道兩端地址、選擇 符�����、ISAKMP SA的生命期�����、DH來換群����、密鑰長度、IPSec協(xié)議發(fā)展后續(xù) 引入的參數(shù)�����。訪問終端的安全級別由運營商預先設定�,不同安全級別的訪問終端對 應不同的認證應答,不同的認證應答對應不同級別的安全策略��,滿足了運 營商安全策略多樣化的需求。步驟208, FAAA將認證應答轉發(fā)至FA;AAA下發(fā)協(xié)商IPSec參數(shù)等至FA�,避免了在FA上手工配置各種參數(shù), 筒化了系統(tǒng)配置���,提高了系統(tǒng)的可用性。步驟209���, FA根據(jù)AAA下發(fā)的協(xié)商IPSec參數(shù)����,發(fā)送ISAKMP SA建 立的協(xié)商請求至HA�����, ISAKMP SA建立的協(xié)商請求中攜帶提議建立的 ISAKMPSA信息�����、密鑰材料以及身份信息��;步驟210��, HA根據(jù)收到ISAKMP SA建立的協(xié)商請求后�����,根據(jù)其中 的身份信息還原FA地址,并發(fā)送S Key和協(xié)商IPSec獲取請求至AAA, AAA下發(fā)S Key和所述協(xié)商IPSec參數(shù)至HA��, HA根據(jù)身份信息以及S Key生成IPSec的預共享密匙�,并將信息保存在本地;若本地已保存SKey 和所述協(xié)商IPSec參數(shù)��,則直接讀取本地保存的信息�,跳過步驟IIO。HA與FA上的預共享密碼�����,用來加密在IPSec隧道內(nèi)傳輸?shù)臄?shù)據(jù)和信令��。AAA下發(fā)協(xié)商IPSec參數(shù)等至HA��,避免了在HA上手工配置各種參 數(shù)����,簡化了系統(tǒng)配置,^:高了系統(tǒng)的可用性��。協(xié)商IPSec參數(shù)在AAA統(tǒng)一配置���,然后下發(fā)到FA與HA�,可以保證 下發(fā)的協(xié)商IPsec參數(shù)與HA、 FA的版本一致且與FA��、 HA的支持能力相 符�,提高了系統(tǒng)的擴展性能。步驟211 �, HA發(fā)送ISAKMP SA協(xié)商請求響應信至所述FA;步驟212, FA收到ISAKMP SA協(xié)商請求響應后��,發(fā)送已接收響應至所述HA���, ISAKMPSA建立��;步驟213 ����, ISAKMP SA建立后��,F(xiàn)A與HA建立IPSec SA; IPSec SA 建立后��,F(xiàn)A與HA之間建立IPSec隧道��。步驟214 步驟217,訪問終端完成移動IP注冊����,F(xiàn)A與HA之間的信 令由IPSec隧道岸義載�;步驟218, FA通知AAA計費開始���;步驟219�,移動IP接入完成��,訪問終端開始數(shù)據(jù)業(yè)務���,F(xiàn)A與HA之 間數(shù)據(jù)由所述IPSec隧道承載���。本例選擇并下發(fā)協(xié)商IPSec參數(shù)或協(xié)商IPSec參數(shù)所對應的profileID 至FA和HA,避免了在上述網(wǎng)元上手工配置協(xié)商IPSec參數(shù),簡化了系統(tǒng) 配置���,提高了系統(tǒng)的可用性��;同時����,由于FA和HA上的協(xié)商參數(shù)統(tǒng)一下 發(fā)����,協(xié)議版本相同�����,避免了不同版本造成的對接困難����;另一方面���,對不同 安全等級提供不同的協(xié)商IPSec參數(shù)或不同的協(xié)商IPSec參數(shù)所對應的 profileID,即提供了不同的安全策略�����,可以滿足運營商多樣化安全策略需 求。實施例二如圖3所示��,本發(fā)明的CDMA2000系統(tǒng)移動IP沖妻入方法的實施例二 中�����,多樣化安全策略包含以下步驟步驟301,訪問終端接入CDMA2000系統(tǒng)�����,PCF與所述FA建立空口 鏈路;訪問終端與所述FA協(xié)商PPP, FA發(fā)送代理廣4番至i方問終端���;訪 問終端通過代理廣播獲取移動IP相關信息����;訪問終端發(fā)起移動IP注冊��; FA向AAA發(fā)送f人證請求���,同時請求預共享密碼�;步驟302, AAA根據(jù)訪問終端的安全級別��,提供不同的協(xié)商IPSec參 數(shù)��,即提供不同等級的安全策略���,下發(fā)至FA;安全策略體現(xiàn)在不同的協(xié)商IPSec參數(shù)中��,例如���,協(xié)商IPSec參數(shù)中 有IPSec隧道兩端地址,高級別安全策略提供特殊HA地址以及機密級別 的其他協(xié)商IPSec參數(shù)���,低級別策略則按通用算法��,如輪循算法選擇HA 地址以及僅提供認證服務的其他協(xié)商IPSec參數(shù)��。步驟303���, FA與HA按照不同的協(xié)商IPSec參數(shù)���,建立不同安全級別 的IPSec隧道;步驟304�����,訪問終端的信令和數(shù)據(jù)在FA與HA之間的IPSec隧道傳輸����。 高安全級別的訪問終端和低安全級別的訪問終端�����,在不同安全級別的 IPSec隧道上傳輸信令和數(shù)據(jù)�,達到不同安全級別的保障。
實施例三
本發(fā)明的CDMA2000系統(tǒng)移動IP的接入方法的實施例三��,與實施例 一的不同之處主要在于,步驟207 步驟210有另一種實施方法
步驟207a, HAAA 4艮據(jù)訪問終端安全級別�,選擇并下發(fā)i人證應答至 FAAA,認證應答包含協(xié)商IPSec參數(shù)所對應的profileID�����、預共享密匙����、身 份信息等;
步驟208a����, FAAA將i人證應答轉發(fā)至FA;
步驟209a, FA根據(jù)協(xié)商IPSec參數(shù)所對應profileID在本地獲取協(xié)商 IPSec參數(shù)���,F(xiàn)A根據(jù)協(xié)商IPSec參數(shù)信息���,發(fā)送ISAKMP SA建立的協(xié)商 請求至所述HA, ISAKMP SA建立的協(xié)商請求中攜帶提議建立的ISAKMP SA信息、密鑰材料以及身份信息���;
步驟110a�, HA根據(jù)收到ISAKMP SA建立的協(xié)商請求后����,根據(jù)其中 的身份信息還原FA地址���,并發(fā)送S Key和協(xié)商IPSec所對應profileID獲 取請求至AAA, AAA下發(fā)S Key和協(xié)商IPSec參數(shù)至HA, HA根據(jù)身 份信息以及S Key生成IPSec的預共享密匙,并將信息保存在本地��;
若本地已保存所述S Key和所述協(xié)商IPSec參數(shù)所對應的profileID, 則直接讀取本地保存的信息���,跳過步驟110a���。
AAA下發(fā)profileID至FA和HA,由FA和HA在本地獲取協(xié)商IPSec 參數(shù)����,避免了在FA和HA上手動配置參數(shù),同時也節(jié)約了 HA和FA之間 的通信量��。
實施例四
如圖4所示����,本發(fā)明的一種CDMA2000系統(tǒng)移動IP的4秦入系統(tǒng)地實 施例中�����,包括歸屬代理、外地代理和鑒權授權計費服務器�����,用于協(xié)商建立 承載信令和數(shù)據(jù)的IPSec隧道����,在歸屬代理和外地代理之間協(xié)商建立IPSec 隧道的過程中,鑒權授權計費服務器選擇并下發(fā)協(xié)商IPSec參數(shù)或協(xié)商 IPSec參數(shù)所對應的profileID至外地代理和歸屬代理�。明,但這只是為便于理解而舉的實例��,不應認為本發(fā)明的具體實施只局限 于這些說明��。對于本發(fā)明所屬技術領域的普通技術人員來說����,在不脫離本 發(fā)明構思的前提下,可以做出各種可能的等同改變或替換�����,這些改變或替
換都應屬于本發(fā)明的保護范圍����。例如����,某些CDMA2000系統(tǒng)中��,PDSN (Packet Data Service Node分組數(shù)據(jù)服務節(jié)點)在移動IP用戶接入時具有 FA同樣的功能�,所以在上述各實施例中,F(xiàn)A可以用PDSN替換�����。
權利要求
1����、一種CDMA2000系統(tǒng)移動IP的接入方法,其特征在于��,在外地代理FA或分組數(shù)據(jù)服務節(jié)點PDSN與家鄉(xiāng)代理HA協(xié)商建立Internet協(xié)議安全隧道即IPSec隧道的過程中�����,鑒權授權計費服務器AAA選擇并下發(fā)協(xié)商IPSec參數(shù)或協(xié)商IPSec參數(shù)所對應的profileID至所述FA和HA�,或PDSN和HA。
2���、 如權利要求1所述的CDMA2000系統(tǒng)移動IP的接入方法�,其特征在于��,所述FA或PDSN與所述HA協(xié)商建立所迷IPSec隧道的過程包含以下步驟Al ����、所述FA或PDSN向所述AAA發(fā)送認證請求,同時i會求預共享密碼�;A2、所述AAA將認證應答下發(fā)至所述FA或PDSN,所述認證應答包含協(xié)商IPSec參凄t或協(xié)商IPSec參凄i:所對應的profileID;A3����、所述FA或PDSN根據(jù)所述AAA下發(fā)的認證應答,發(fā)送協(xié)商請求至所述HA;A4����、所述HA收到所述協(xié)商請求后,向所述AAA獲取預所述共享密碼��,以及協(xié)商IPSec參數(shù)或協(xié)商IPSec參數(shù)所對應的profileID�, FA或PDSN與HA協(xié)商建立IPSec隧道。
3��、 如權利要求1或2任一所述的CDMA2000系統(tǒng)移動IP的接入方法����,其特征在于�����,所述AAA根據(jù)不同訪問終端的安全等級選擇并下發(fā)不同的協(xié)商IPSec參數(shù)或不同的協(xié)商IPSec參數(shù)所對應的profileID�����,所述訪問終端的安全等級由用戶預先設定��。
4����、 如片又利要求1或2任一所述的CDMA2000系統(tǒng)移動IP的接入方法��,其特征在于�����,在所述步驟A1之前���,還包括以下步驟Bl��、 PCF與所述FA或PDSN建立空口鏈路�����;B2��、所述訪問終端與所述FA或PDSN協(xié)商PPP�,所述FA或PDSN發(fā)送代理廣播至所述訪問終端��;B3�、所述訪問終端通過所述代理廣播獲取移動IP相關信息;B4���、所述訪問終端向所述FA或PDSN發(fā)起移動IP注冊�����;在所述步驟A4之后�,還包括以下步驟B5�、所述訪問終端完成移動IP注冊,所述FA或PDSN與HA之間的信令由所述IPSec隧道承載����;B6、所述FA或PDSN通知所述AAA計費開始��;B7、所述移動IP^妄入完成����,所述訪問終端開始數(shù)據(jù)業(yè)務,所述FA或 PDSN與所述HA之間的數(shù)據(jù)由所述IPSec隧道承載�。
5、 如權利要求2所述的CDMA2000系統(tǒng)移動IP的接入方法�,其特征 在于,所述步驟A2包含以下處理所述AAA將認證應答下發(fā)至所述FA 或PDSN�����,所述認證應答是AAA根據(jù)訪問終端的安全級別�����,選擇并下發(fā)的 不同的協(xié)商IPSec參數(shù)�、預共享密匙、身份信息��;所述步驟A3包括以下處理所述FA或PDSN根據(jù)所述AAA下發(fā)的 所述協(xié)商IPSec參數(shù)����,發(fā)送ISAKMP SA建立的協(xié)商請求至所述HA,所述 ISAKMPSA建立的協(xié)商請求中攜帶提議建立的ISAKMPSA信息��、密鑰材 料以及身份信息;所述步驟A4包括以下處理Cl���、所述HA收到所述ISAKMP SA建立的協(xié)商請求后�����,根據(jù)其中的 所述身份信息還原FA或PDSN地址���,并發(fā)送S Key和協(xié)商IPSec獲取請 求至所述AAA���,所述AAA下發(fā)所述S Key和協(xié)商IPSec參數(shù)至所述HA�, 所述HA根據(jù)所述身份信息以及所述SKey�����,生成IPSec的預共享密匙�����,并 將信息保存在本地�����;C2、所述HA發(fā)送ISAKMP SA協(xié)商請求響應信至所述FA或PDSN;C3����、所述FA或PDSN收到所述ISAKMP SA協(xié)商請求響應后,發(fā)送 已接收響應至所述HA,所述ISAKMP SA建立����;C4、所述ISAKMP SA建立后���,所述FA或PDSN與所述HA建立IPSec SA;所述IPSec SA建立后��,所述FA或PDSN與所述HA之間建立IPSec 隧道�。
6���、 如權利要求2所述的CDMA2000系統(tǒng)移動IP的接入方法�����,其特征 在于���,所述步驟A2包括以下處理所述AAA將認證應答下發(fā)至所述FA 或PDSN,所述認證應答是所述AAA根據(jù)訪問終端的安全級別����,選擇并下 發(fā)的不同的協(xié)商IPSec參數(shù)所對應的profileID�����、預共享密匙����、身份信息��;所述步驟A3包含以下處理Dl �、所述FA或PDSN才艮據(jù)所述協(xié)商IPSec參數(shù)所對應profileID在本 地獲取所述協(xié)商IPSec參數(shù);D2��、所述FA或PDSN根據(jù)所述根據(jù)本地獲取的所述協(xié)商IPSec參數(shù)����,發(fā)送所述ISAKMP SA建立的協(xié)商請求至所述HA����,所述ISAKMP SA建立的協(xié)商請求中攜帶提議建立的ISAKMP SA信息、密鑰材料以及身份信息��;所述步驟A4包含以下處理D3��、所述HA收到所述ISAKMP SA建立的協(xié)商請求后,才艮據(jù)其中的所述身份信息還原FA或PDSN地址�,并發(fā)送所述S Key和協(xié)商IPSec獲取請求至所述AAA,所述AAA下發(fā)所述S Key和協(xié)商IPSec參數(shù)至所述HA,所述HA根據(jù)所述身份信息以及SKey�,生成IPSec的預共享密匙,并將信息保存在本地����;D4、所述HA發(fā)送ISAKMP SA協(xié)商請求響應信至所述FA或PDSN;D5��、所述FA或PDSN收到所述ISAKMP SA協(xié)商請求響應后��,發(fā)送所述已接收響應至所述HA,所述ISAKMP SA建立��;D6��、所迷ISAKMP SA建立后����,所述FA或PDSN與所述HA建立IPSecSA;所述IPSec SA建立后,所述FA或PDSN與所述HA之間建立IPSec
7����、 如權利要求5所述的CDMA2000系統(tǒng)移動IP的接入方法,其特征在于��,若本地已保存所述S Key和所述協(xié)商IPSec參數(shù),則直接讀取本地保存的信息�����,跳過步驟Cl��。
8����、 如權利要求6所述的CDMA2000系統(tǒng)移動IP的接入方法,其特征在于��,若本地已保存所述S Key和所述協(xié)商IPSec參數(shù)所對應的profileID,則直接讀取本地保存的信息���,跳過步驟D3����。
9�����、 一種CDMA2000系統(tǒng)移動IP的接入系統(tǒng)�,包括歸屬代理�、外地代理和鑒權授權計費服務器�,用于協(xié)商建立承載信令和數(shù)據(jù)的IPSec隧道���,其特征在于�����,在歸屬代理和外地代理之間協(xié)商建立IPSec隧道的過程中��,所述鑒權授權計費服務器選擇并下發(fā)所述協(xié)商IPSec參數(shù)或協(xié)商IPSec參數(shù)所對應的profileID至所述外地代理和歸屬代理��。
10�、 如權利要求9所述的CDMA2000系統(tǒng)移動IP的接入系統(tǒng)��,其特征在于���,所速鑒權授權計費服務器用于根據(jù)不同訪問終端的安全等級選擇并下發(fā)不同的協(xié)商IPSec參數(shù)或不同的協(xié)商IPSec參數(shù)所對應的profileID,所述訪問終端的安全等級由用戶預先設定���。
全文摘要
本發(fā)明公開了一種CDMA2000系統(tǒng)移動IP業(yè)務的接入方法和系統(tǒng),所述方法中����,在外地代理FA或分組數(shù)據(jù)服務節(jié)點PDSN與家鄉(xiāng)代理HA協(xié)商建立Internet協(xié)議安全隧道即IPSec隧道的過程中,鑒權授權計費服務器AAA選擇并下發(fā)協(xié)商IPSec參數(shù)或協(xié)商IPSec參數(shù)所對應的profileID至FA和HA,或PDSN和HA����。本發(fā)明避免了在FA或PDSN上手工配置參數(shù),提高了系統(tǒng)的可用性�����,同時避免了因協(xié)議版本不同而造成的對接困難����。
文檔編號H04W12/04GK101656961SQ200910189928
公開日2010年2月24日 申請日期2009年9月1日 優(yōu)先權日2009年9月1日
發(fā)明者井惟棟, 金仁康, 遠 鈕 申請人:中興通訊股份有限公司