專(zhuān)利名稱(chēng):移動(dòng)ip密鑰的產(chǎn)生及分發(fā)方法和系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及網(wǎng)絡(luò)安全領(lǐng)域�,特別是涉及移動(dòng)IP密鑰的產(chǎn)生及分發(fā)方法和系統(tǒng)。
背景技術(shù):
隨著因特網(wǎng)業(yè)務(wù)的蓬勃發(fā)展和無(wú)線(xiàn)網(wǎng)絡(luò)的廣泛應(yīng)用�,移動(dòng)用戶(hù)的安全性已經(jīng)對(duì) 于無(wú)線(xiàn)系統(tǒng)提出了越來(lái)越多的要求除了設(shè)備鑒權(quán)、用戶(hù)鑒權(quán)和服務(wù)授權(quán)等等����,無(wú)線(xiàn)用戶(hù) 與接入點(diǎn)(AP)或基站(BS)之間的安全通道的建立,保密信息的交換�,以及BS和鑒權(quán)者 (Authenticator)����,鑒權(quán)者和鑒權(quán)服務(wù)器之間的保密通道、保密信息的交換等等都是以往在 專(zhuān)用網(wǎng)絡(luò)中所不需要考慮而目前需要得到大量關(guān)注的問(wèn)題了�����。不考慮接入網(wǎng)中的其他內(nèi)部設(shè)備����,我們?cè)陔S后的技術(shù)描述時(shí)將采用圖1、圖2所示 的WiMAX安全網(wǎng)絡(luò)架構(gòu)體系(但是本發(fā)明所提供的技術(shù)包括但不限于在WiMAX系統(tǒng)中的應(yīng) 用)���。圖1表示的是集中式的網(wǎng)絡(luò)架構(gòu)體系�����,在這種架構(gòu)下��,鑒權(quán)者(Authenticator)與 BS位于不同的物理實(shí)體中�����,在鑒權(quán)者中實(shí)現(xiàn)了鑒權(quán)者和密鑰分發(fā)者(Key Distributor)的 功能���。在BS中實(shí)現(xiàn)了認(rèn)證中繼(Authentication Relay)和密鑰接收者(Key Receiver) 的功能��。圖2表示的是分布式的網(wǎng)絡(luò)架構(gòu)體系��,在這種結(jié)構(gòu)下�,鑒權(quán)者與BS位于同一個(gè)物 理實(shí)體中����,該實(shí)體同時(shí)實(shí)現(xiàn)了鑒權(quán)者、認(rèn)證中繼��、密鑰分發(fā)者(Key Distributor)和密鑰接 收者(Key Receiver)的功能����。WiMAX安全網(wǎng)絡(luò)架構(gòu)體系中各個(gè)網(wǎng)元(包括邏輯網(wǎng)元)的功能解釋如下BS -提供BS和終端(MS)的安全通道��,包括空口數(shù)據(jù)的壓縮與加密�;-提供BS和MS之間的保密信息的交換�。鑒權(quán)者-為MS認(rèn)證、授權(quán)和計(jì)費(fèi)功能提供代理功能�;-與密鑰分發(fā)者(KeyDistributor)在同一個(gè)物理實(shí)體里實(shí)現(xiàn)。鑒權(quán)者中繼-實(shí)現(xiàn)認(rèn)證過(guò)程中認(rèn)證請(qǐng)求和響應(yīng)消息的中繼���。密鉬分發(fā)者-與鑒權(quán)者在同一個(gè)物理實(shí)體里實(shí)現(xiàn)���,根據(jù)認(rèn)證服務(wù)器提供的與MS之間對(duì)等的根 密鑰信息,產(chǎn)生BS和MS之間共享的空口密鑰AK��,并且分發(fā)到密鑰接收者(Key Receiver) 上��。密鉬接收者-在BS內(nèi)實(shí)現(xiàn)�����,用于接收來(lái)自密鑰分發(fā)者產(chǎn)生的空口密鑰AK�����,并派生BS和MS之 間的其它密鑰�����。此外���,作為一個(gè)完整的安全網(wǎng)絡(luò)架構(gòu)體系�,還應(yīng)該包括后端網(wǎng)絡(luò)的認(rèn)證服務(wù)器和移動(dòng)終端MS�。認(rèn)證授權(quán)計(jì)費(fèi)(AAA)服各器-認(rèn)證服務(wù)器主要是完成為MS認(rèn)證、授權(quán)和計(jì)費(fèi)功能��,并且通過(guò)和MS之間的達(dá)成 的密鑰生成機(jī)制相互交換產(chǎn)生密鑰所必需的信息��。由于這些信息是在建立安全通道之前交 換的���,認(rèn)證服務(wù)器和MS之間采用的密鑰算法等都必須保證信息的泄漏并不對(duì)安全機(jī)制產(chǎn) 生影響���。主要功能包括-完成為MS認(rèn)證、授權(quán)和計(jì)費(fèi)功能��;-產(chǎn)生并分發(fā)根密鑰信息到鑒權(quán)者上���;_在用戶(hù)信息產(chǎn)生變化��,及時(shí)通知鑒權(quán)者和其他網(wǎng)元信息改變所產(chǎn)生的后果�����。MS -MS為移動(dòng)用戶(hù)設(shè)備����,在安全架構(gòu)中主要是發(fā)起認(rèn)證、授權(quán)��;與認(rèn)證服務(wù)器交換產(chǎn)生根密鑰所需要的信息�;自己產(chǎn)生根密鑰;自己根據(jù)根密鑰產(chǎn)生空口 上保密所需要的AK以及派生出來(lái)的其他密鑰信息��。MIP有如下功能實(shí)體移動(dòng)節(jié)點(diǎn)(MN)����、外部代理(FA)和家鄉(xiāng)代理(HA)。麗經(jīng)由FA 向HA發(fā)起移動(dòng)IP (MIP)注冊(cè)請(qǐng)求���。HA收到MIP注冊(cè)請(qǐng)求以后,把麗的轉(zhuǎn)交地址(CoA)地 址和家鄉(xiāng)地址(HoA)地址對(duì)應(yīng)起來(lái)�����,以后HA收到的所有目的地址是HoA的數(shù)據(jù)包都轉(zhuǎn)發(fā)到 CoA地址����,MIPv4中即FA的地址�。為了保證安全性�,MIP消息中一般會(huì)帶有認(rèn)證擴(kuò)展(AE)。 例如MN和HA之間的認(rèn)證擴(kuò)展MN-HA-AE����,當(dāng)HA收到一個(gè)攜帶MN-HA-AE的MIP注冊(cè)請(qǐng)求,HA 就需要根據(jù)事先知道的密鑰信息計(jì)算出一個(gè)本地認(rèn)證值�,然后和數(shù)據(jù)包攜帶的MN-HA-AE 進(jìn)行比較。如果相同則認(rèn)證通過(guò)�����,并且處理MIP注冊(cè)請(qǐng)求���;否則拒絕處理這個(gè)MIP注冊(cè)請(qǐng) 求����。在麗和HA之間沒(méi)有預(yù)先的密鑰信息時(shí)���,MN可以利用麗和AAA之間的密鑰信息���, 來(lái)認(rèn)證這一次的MIP注冊(cè)請(qǐng)求?���,F(xiàn)有WiMAX技術(shù)中一般是基于HA和/或FA的IP地址來(lái)計(jì)算MIP注冊(cè)密鑰��,公式 如下MN-HA-K :H(MIP-RK��,“MIP4 MN HA”��,HA-IP)����;MN-FA-K :H(MIP-RK,“MN FA”��,F(xiàn)A-IP)�����;FA-HA-K :H(MIP_RK�,"FA HA", FA-IP, HA-IP, nonce);對(duì)于RFC3957中���,規(guī)定了如下算法,可由隨機(jī)數(shù)���,移動(dòng)節(jié)點(diǎn)標(biāo)識(shí)以及移動(dòng)節(jié)點(diǎn)和 AAA之間的共享密鑰計(jì)算key = HMAC-SHA1(AAA-key�����, {Nonce||MN-ID})MIP在WiMAX中有兩種形式客戶(hù)端移動(dòng)IP (CMIP)和代理移動(dòng)IP (PMIP)�����。對(duì)于支 持MIP協(xié)議的終端(如圖3a)��,工作于CMIP模式下����,此時(shí)移動(dòng)節(jié)點(diǎn)就是移動(dòng)終端MS ;相反�, 對(duì)于不支持MIP協(xié)議的終端(如圖3b),由網(wǎng)絡(luò)側(cè)創(chuàng)建一個(gè)PMIP-客戶(hù)端(PMIP-client)實(shí) 體來(lái)作為移動(dòng)節(jié)點(diǎn)MN實(shí)現(xiàn)MIP的功能�。(1)ΡΜΙΡν4的密鑰產(chǎn)生和分發(fā)在接入認(rèn)證過(guò)程中,AAA產(chǎn)生EMSK (可擴(kuò)展的主會(huì)話(huà)密鑰=ExtendedMaster Session Key)��,然后計(jì)算MIP根密鑰MIP-RK�,并由此派生出麗-HA,麗-FA以及FA-HA之間 的密鑰�����。然后,按照RFC2868第3. 5節(jié)的方法把MN-HA�,可選地MN-FA以及FA-HA之間的密鑰加密發(fā)送到NAS。PMIP-client可以根據(jù)MN-HA直接計(jì)算MN-HA-AE并且發(fā)送移動(dòng)IP注 冊(cè)請(qǐng)求���,當(dāng)HA收到這個(gè)注冊(cè)請(qǐng)求以后需要判斷是否需要向AAA請(qǐng)求移動(dòng)IP密鑰�����。(2)CMIPv4的密鑰產(chǎn)生和分發(fā)在接入認(rèn)證過(guò)程中�,AAA產(chǎn)生EMSK�����,然后計(jì)算MIP-RK�����,并由此派生出MN-HA����,MN-FA 以及FA-HA之間的密鑰。如果初始時(shí)麗不知道HA的地址��,麗就無(wú)法計(jì)算出MN-HA之間的 密鑰,即使使用全0全1也會(huì)需要在得到真實(shí)HA-IP以后更新或者告知AAA服務(wù)器�����。HA相 關(guān)的密鑰在第一次MIP注冊(cè)請(qǐng)求過(guò)程中向AAA請(qǐng)求獲得�����。如上所述的現(xiàn)有的密鑰產(chǎn)生及分發(fā)方法存在如下問(wèn)題1) PMIP-client不能計(jì)算移動(dòng)節(jié)點(diǎn)麗和AAA服務(wù)器之間的認(rèn)證擴(kuò)展麗-AAA-AE����, 如果需要計(jì)算則必須下發(fā)移動(dòng)節(jié)點(diǎn)麗和AAA服務(wù)器之間的共享密鑰MN-AAA-K��。而 MN-AAA-K是不適合向外擴(kuò)散的��。2)現(xiàn)有技術(shù)中���,在重驗(yàn)證以及FA遷移情況下�,HA得知密鑰更新的方式不統(tǒng)一 (例如����,可通過(guò)如下多種方式得知密鑰更新在HA無(wú)法進(jìn)行認(rèn)證擴(kuò)展的驗(yàn)證時(shí)、在注冊(cè)請(qǐng) 求中攜帶MN-AAA-AE時(shí)��、在安全參數(shù)索引SPI改變時(shí),或者根據(jù)MIP注冊(cè)請(qǐng)求消息體內(nèi)容 HA-IP)����,且沒(méi)有利用已有的 RFC (Request ForComments)。3)HA不由AAA分配的時(shí)候���,AAA需要獲得麗實(shí)際用于計(jì)算麗-HA的HA-IP地址����。4)基于IP地址密鑰計(jì)算需要區(qū)分不同端口的IP地址不同�����,帶來(lái)不必要的復(fù)雜性����。5)如果初始時(shí)麗不知道HA的地址,麗就無(wú)法計(jì)算出MN-HA之間的密鑰�,即使使 用全0全1也會(huì)需要在得到真實(shí)HA-IP以后更新或者告知AAA服務(wù)器。
發(fā)明內(nèi)容
針對(duì)如上存在的問(wèn)題��,本發(fā)明的實(shí)施例提供一種移動(dòng)IP密鑰的產(chǎn)生及分發(fā)方法 和系統(tǒng)��,使得對(duì)于PMIP客戶(hù)端可以在移動(dòng)節(jié)點(diǎn)MN和AAA服務(wù)器之間的密鑰不下發(fā)的情況 下計(jì)算移動(dòng)節(jié)點(diǎn)麗和AAA服務(wù)器之間的認(rèn)證擴(kuò)展(MN-AAA-AE)�。本發(fā)明的另一實(shí)施例提供一種移動(dòng)IP密鑰的產(chǎn)生及分發(fā)方法和系統(tǒng)�����,以在重驗(yàn) 證及/或FA遷移情況下�����,統(tǒng)一 HA得知密鑰更新的方式。本發(fā)明的另一實(shí)施例提供一種移動(dòng)IP密鑰的產(chǎn)生及分發(fā)方法和系統(tǒng)�����,以隨機(jī)數(shù) 作為計(jì)算移動(dòng)IP密鑰的參數(shù)���,避免用IP地址作為計(jì)算移動(dòng)IP密鑰的參數(shù)所帶來(lái)的復(fù)雜 性����。本發(fā)明一實(shí)施例的一種移動(dòng)IP密鑰的產(chǎn)生及分發(fā)方法�����,包括計(jì)算步驟在接入驗(yàn)證或重新鑒權(quán)認(rèn)證過(guò)程中���,計(jì)算移動(dòng)節(jié)點(diǎn)MN和認(rèn)證授權(quán)計(jì)費(fèi) AAA服務(wù)器之間的子密鑰�����,以根據(jù)該子密鑰計(jì)算移動(dòng)節(jié)點(diǎn)和AAA服務(wù)器之間的認(rèn)證擴(kuò)展��;密鑰下發(fā)步驟在移動(dòng)節(jié)點(diǎn)發(fā)起的移動(dòng)IP注冊(cè)請(qǐng)求或綁定更新請(qǐng)求中攜帶由所 述子密鑰產(chǎn)生的移動(dòng)節(jié)點(diǎn)和AAA服務(wù)器之間的認(rèn)證擴(kuò)展�,家鄉(xiāng)代理HA根據(jù)注冊(cè)請(qǐng)求或綁定 更新請(qǐng)求中的所述認(rèn)證擴(kuò)展向AAA服務(wù)器請(qǐng)求密鑰,由AAA服務(wù)器下發(fā)請(qǐng)求的密鑰至家鄉(xiāng) 代理���。本發(fā)明另一實(shí)施例的一種移動(dòng)IP密鑰的產(chǎn)生及分發(fā)系統(tǒng)����,包括在接入驗(yàn)證或重新鑒權(quán)認(rèn)證過(guò)程中�,計(jì)算移動(dòng)節(jié)點(diǎn)MN和認(rèn)證授權(quán)計(jì)費(fèi)AAA服務(wù)器 之間的子密鑰的裝置;根據(jù)所述子密鑰計(jì)算移動(dòng)節(jié)點(diǎn)和AAA服務(wù)器之間的認(rèn)證擴(kuò)展的裝置�����;
移動(dòng)節(jié)點(diǎn)��,用于發(fā)起移動(dòng)IP注冊(cè)請(qǐng)求或綁定更新請(qǐng)求�,所述請(qǐng)求中攜帶由所述子 密鑰產(chǎn)生的移動(dòng)節(jié)點(diǎn)和AAA服務(wù)器之間的認(rèn)證擴(kuò)展;家鄉(xiāng)代理���,用于根據(jù)注冊(cè)請(qǐng)求或綁定更新請(qǐng)求中的所述認(rèn)證擴(kuò)展向AAA服務(wù)器請(qǐng) 求密鑰��。本發(fā)明另一實(shí)施例的一種移動(dòng)IP密鑰的產(chǎn)生及分發(fā)方法����,包括移動(dòng)節(jié)點(diǎn)發(fā)送移動(dòng)IP注冊(cè)請(qǐng)求,該請(qǐng)求攜帶移動(dòng)節(jié)點(diǎn)與家鄉(xiāng)代理之間的第一認(rèn) 證擴(kuò)展����,該第一認(rèn)證擴(kuò)展由IP地址替代值計(jì)算的移動(dòng)節(jié)點(diǎn)與家鄉(xiāng)代理之間的第一密鑰產(chǎn) 生;家鄉(xiāng)代理接收到移動(dòng)IP注冊(cè)請(qǐng)求�,向認(rèn)證服務(wù)器請(qǐng)求利用所述IP地址替代值計(jì) 算的移動(dòng)節(jié)點(diǎn)與家鄉(xiāng)代理之間的第一密鑰以及利用家鄉(xiāng)代理IP地址計(jì)算出的移動(dòng)節(jié)點(diǎn)與 家鄉(xiāng)代理之間的第二密鑰�;家鄉(xiāng)代理利用從認(rèn)證服務(wù)器獲得的所述第一密鑰驗(yàn)證注冊(cè)請(qǐng)求中的所述第一認(rèn) 證擴(kuò)展,并于注冊(cè)成功后發(fā)送移動(dòng)IP注冊(cè)報(bào)告至外部代理����,該注冊(cè)報(bào)告攜帶由所述第二密 鑰產(chǎn)生的第二認(rèn)證擴(kuò)展;外部代理發(fā)送攜帶第二認(rèn)證擴(kuò)展的注冊(cè)報(bào)告至移動(dòng)節(jié)點(diǎn)����,移動(dòng)節(jié)點(diǎn)利用計(jì)算的第 二密鑰驗(yàn)證所述第二認(rèn)證擴(kuò)展。本發(fā)明另一實(shí)施例的一種移動(dòng)IP密鑰的產(chǎn)生及分發(fā)方法��,包括代理移動(dòng)IP客戶(hù)端發(fā)送移動(dòng)IP注冊(cè)請(qǐng)求至外部代理���,并攜帶利用家鄉(xiāng)代理IP地 址計(jì)算的移動(dòng)節(jié)點(diǎn)與家鄉(xiāng)代理之間的密鑰產(chǎn)生的認(rèn)證擴(kuò)展�;家鄉(xiāng)代理接收到移動(dòng)IP注冊(cè)請(qǐng)求,向認(rèn)證服務(wù)器請(qǐng)求利用家鄉(xiāng)代理IP地址計(jì)算 出的移動(dòng)節(jié)點(diǎn)與家鄉(xiāng)代理之間的密鑰����;家鄉(xiāng)代理利用從認(rèn)證服務(wù)器獲得的所述密鑰驗(yàn)證注冊(cè)請(qǐng)求中的所述認(rèn)證擴(kuò)展,并 于注冊(cè)成功后發(fā)送移動(dòng)IP注冊(cè)報(bào)告至外部代理���,該注冊(cè)報(bào)告攜帶由所述密鑰產(chǎn)生的認(rèn)證 擴(kuò)展����;外部代理發(fā)送攜帶所述認(rèn)證擴(kuò)展的注冊(cè)報(bào)告至代理移動(dòng)IP客戶(hù)端�����。本發(fā)明實(shí)施例的一種移動(dòng)IP密鑰的產(chǎn)生及分發(fā)系統(tǒng)���,包括移動(dòng)節(jié)點(diǎn)�,家鄉(xiāng)代理 及外部代理���;所述移動(dòng)節(jié)點(diǎn)用于發(fā)送移動(dòng)IP注冊(cè)請(qǐng)求�����,該請(qǐng)求攜帶由IP地址替代值計(jì)算的移 動(dòng)節(jié)點(diǎn)與家鄉(xiāng)代理之間的密鑰產(chǎn)生的第一認(rèn)證擴(kuò)展����;所述家鄉(xiāng)代理用于接收到移動(dòng)IP注冊(cè)請(qǐng)求,向認(rèn)證服務(wù)器請(qǐng)求第一密鑰以及利 用家鄉(xiāng)代理IP地址計(jì)算出的移動(dòng)節(jié)點(diǎn)與家鄉(xiāng)代理之間的第二密鑰�����,并于利用所述第一密 鑰驗(yàn)證注冊(cè)請(qǐng)求中的所述第一認(rèn)證擴(kuò)展成功后�,發(fā)送攜帶由所述第二密鑰產(chǎn)生的第二認(rèn)證 擴(kuò)展的移動(dòng)IP注冊(cè)報(bào)告至外部代理;所述外部代理用于發(fā)送攜帶第二認(rèn)證擴(kuò)展的注冊(cè)報(bào)告至移動(dòng)節(jié)點(diǎn)�;所述移動(dòng)節(jié)點(diǎn)利用計(jì)算的第二密鑰驗(yàn)證所述第二認(rèn)證擴(kuò)展。本發(fā)明實(shí)施例的一種移動(dòng)IP密鑰的產(chǎn)生及分發(fā)系統(tǒng)��,包括代理移動(dòng)IP客戶(hù)端�����, 家鄉(xiāng)代理及外部代理�����;所述代理移動(dòng)IP客戶(hù)端用于發(fā)送移動(dòng)IP注冊(cè)請(qǐng)求至外部代理����,并攜帶利用家鄉(xiāng) 代理IP地址計(jì)算的移動(dòng)節(jié)點(diǎn)與家鄉(xiāng)代理之間的密鑰產(chǎn)生的認(rèn)證擴(kuò)展�;
所述家鄉(xiāng)代理用于接收到移動(dòng)IP注冊(cè)請(qǐng)求���,向認(rèn)證服務(wù)器請(qǐng)求利用家鄉(xiāng)代理IP 地址計(jì)算出的移動(dòng)節(jié)點(diǎn)與家鄉(xiāng)代理之間的密鑰,并于利用所述鑰驗(yàn)證注冊(cè)請(qǐng)求中的所述認(rèn) 證擴(kuò)展成功后���,發(fā)送攜帶由所述密鑰產(chǎn)生的認(rèn)證擴(kuò)展的移動(dòng)IP注冊(cè)報(bào)告至外部代理���;所述外部代理用于發(fā)送攜帶所述認(rèn)證擴(kuò)展的注冊(cè)報(bào)告至代理移動(dòng)IP客戶(hù)端。本發(fā)明的實(shí)施例可具有如下有益效果1)清楚使得PMIP客戶(hù)端可以在移動(dòng)節(jié)點(diǎn)麗和AAA服務(wù)器之間的密鑰(MN_AAA_K) 不下發(fā)的情況下計(jì)算移動(dòng)節(jié)點(diǎn)麗和AAA服務(wù)器之間的認(rèn)證擴(kuò)展(MN-AAA-AE)���;2)合理利用已有的RFC過(guò)程實(shí)現(xiàn)NWG的移動(dòng)IP注冊(cè)過(guò)程���;3)避免用IP地址作為計(jì)算移動(dòng)IP密鑰的參數(shù)所帶來(lái)的復(fù)雜性。
圖1為現(xiàn)有技術(shù)中集中式的WiMAX安全架構(gòu)體系��;圖2為現(xiàn)有技術(shù)中分布式的WiMAX安全架構(gòu)體系�;圖3a為基于CMIP的完整的安全網(wǎng)絡(luò)架構(gòu)體系;圖3b為基于PMIP的完整的安全網(wǎng)絡(luò)架構(gòu)體系�;圖4a為本發(fā)明實(shí)施例1的基于隨機(jī)數(shù)的PMIPv4密鑰的產(chǎn)生與分發(fā)流程;圖4b為本發(fā)明實(shí)施例1的基于IP地址的PMIPv4密鑰的產(chǎn)生與分發(fā)流程���;圖5a為本發(fā)明實(shí)施例2的基于隨機(jī)數(shù)的CMIPv4密鑰的產(chǎn)生與分發(fā)流程�����;圖5b為本發(fā)明實(shí)施例2的基于IP地址的CMIPv4密鑰的產(chǎn)生與分發(fā)流程��;圖6a為本發(fā)明實(shí)施例4的PMIPv6密鑰的產(chǎn)生與分發(fā)流程����;圖6b為本發(fā)明實(shí)施例4的CMIPv6密鑰的產(chǎn)生與分發(fā)流程;圖7a為本發(fā)明實(shí)施例3的改進(jìn)型PMIPv4密鑰的產(chǎn)生與分發(fā)流程���;圖7b為本發(fā)明實(shí)施例3的改進(jìn)型CMIPv4密鑰的產(chǎn)生與分發(fā)流程�����;圖8為本發(fā)明實(shí)施例5的CMIPv4密鑰的產(chǎn)生與分發(fā)流程���;圖9a為本發(fā)明實(shí)施例5的PMIPv4密鑰的產(chǎn)生與分發(fā)流程;圖9b為本發(fā)明實(shí)施例5的PMIPv4密鑰的另一產(chǎn)生與分發(fā)流程�。
具體實(shí)施例方式為使本發(fā)明的目的、技術(shù)方案和優(yōu)點(diǎn)更加清楚�����,下面結(jié)合附圖對(duì)本發(fā)明的具體實(shí) 施例進(jìn)行詳細(xì)說(shuō)明���。本發(fā)明的實(shí)施例利用一個(gè)專(zhuān)門(mén)用于產(chǎn)生移動(dòng)節(jié)點(diǎn)MN和AAA服務(wù)器之間的認(rèn)證擴(kuò) 展MN-AAA-AE的子密鑰���,用于PMIP及CMIP模式下MN-AAA-AE的計(jì)算,不僅使得對(duì)于PMIP 客戶(hù)端在移動(dòng)節(jié)點(diǎn)MN和AAA服務(wù)器之間的密鑰(MN-AAA-K)不下發(fā)的情況下依然可以計(jì)算 移動(dòng)節(jié)點(diǎn)麗和AAA服務(wù)器之間的認(rèn)證擴(kuò)展(MN-AAA-AE)�����,避免了 MN-AAA-K的擴(kuò)散���,同時(shí)還 統(tǒng)一了 PMIP及CMIP在重驗(yàn)證���,以及FA遷移時(shí)通知HA的過(guò)程。在本發(fā)明的實(shí)施例中�,所述 子密鑰為由移動(dòng)節(jié)點(diǎn)麗和AAA服務(wù)器之間的共享密鑰(MN-AAA-K)或預(yù)配置密鑰派生出的 子密鑰(在此記為MN-AAA-SUB-K),但本發(fā)明并不限于此�����。對(duì)于MN-AAA-SUB-K密鑰的計(jì)算�,只要CMIP模式下的麗以及AAA能夠采用同樣的 計(jì)算方法,就可以保證同一個(gè)MN-AAA-K派生出來(lái)的MN-AAA-SUB-K相同�,也就可以達(dá)到本發(fā)明的目的;另外還要求根據(jù)已知MN-AAA-SUB-K的實(shí)體無(wú)法計(jì)算得出MN-AAA-K����,這在本領(lǐng)域 方法已成熟�����。MN-AAA-SUB-K產(chǎn)生的同時(shí)可分配相應(yīng)的lifetime (生命期)�����,在lifetime到期的 時(shí)候觸發(fā)重驗(yàn)證��;如果其他原因觸發(fā)的重驗(yàn)證�,也將觸發(fā)MN-AAA-SUB-K的更新�����。另外��,本發(fā)明的實(shí)施例還在上述構(gòu)思的基礎(chǔ)上���,采用隨機(jī)數(shù)來(lái)計(jì)算各MIP實(shí)體的 MIP密鑰�����,以避免用IP地址作為計(jì)算移動(dòng)IP密鑰的參數(shù)所帶來(lái)的復(fù)雜性。但對(duì)于移動(dòng)IP密鑰的計(jì)算,本發(fā)明不僅適用于以隨機(jī)數(shù)來(lái)計(jì)算MIP密鑰���,還適用 于現(xiàn)有的移動(dòng)IP密鑰的算法����,例如基于IP地址計(jì)算MIP密鑰��。其中�����,基于隨機(jī)數(shù)對(duì)MIP密鑰的計(jì)算舉例如下對(duì)于MN-FA-K以及MN-HA-K的計(jì)算�����,可采用RFC3957關(guān)于MN-FA-K以及MN-HA-K 的計(jì)算公式����。在RFC3957中,計(jì)算麗-FA-K以及麗-HA-K的公式為key = HMAC-SHA1(AAA-key, {Key Generation Nonce MN-ID})�����;其中�,Key Generation Nonce表示MN-FA之間的隨機(jī)數(shù)或者M(jìn)N-HA之間的隨機(jī)數(shù)�。對(duì)于FA-HA-K的計(jì)算,可以參照RFC3957關(guān)于MN-FA-K以及MN-HA-K的計(jì)算公式, 把AAA產(chǎn)生并且下發(fā)的隨機(jī)數(shù)同時(shí)作為輸入?yún)?shù)�����,結(jié)合MIP密鑰的根密鑰或者麗和AAA 之間的密鑰信息,還可以包括麗的標(biāo)識(shí)(MN-ID)���,計(jì)算FA和HA之間的密鑰����。例如�,計(jì)算 FA-HA-K可采用如下公式key = HMAC-SHA1 (AAA-key, {Key Generation Nonce-I | | Key GenerationNonce-2 |MN_ID})。其中�,AAA-key為計(jì)算MIP密鑰的根密鑰,其可以為MN-AAA-SUB-K本身��,也可以 為其它的根密鑰�,如 MSK、EMSK����、或 MIP-RK 等。Key Generation Nonce-I, Key Generation Nonce-2可分別表示MN-FA之間以及MN-HA之間的隨機(jī)數(shù)����。當(dāng)僅僅請(qǐng)求一個(gè)隨機(jī)數(shù)的時(shí)候�,可以相應(yīng)的減少作為參數(shù)的隨機(jī)數(shù)���。或者可以不用隨機(jī)數(shù)作為參數(shù)��,而用FA和HA共享的其他信息作為參數(shù)����。上述計(jì)算MIP密鑰的公式僅作為舉例說(shuō)明,基于本發(fā)明實(shí)施例的構(gòu)思����,對(duì)于本領(lǐng) 域的技術(shù)人員可以有多種容易想到和易實(shí)現(xiàn)的可替代方式,因此本發(fā)明基于隨機(jī)數(shù)對(duì)MIP 密鑰的計(jì)算并不限定于上述公式�。實(shí)施例1 :PMIPv4密鑰的產(chǎn)生與分發(fā)(1)基于隨機(jī)數(shù)的PMIP密鑰的產(chǎn)生和分發(fā)圖4a為本實(shí)施例的PMIP模式下基于隨機(jī)數(shù)的移動(dòng)IP密鑰的產(chǎn)生與分發(fā)流程,如 圖4a所示����,具體包括如下步驟步驟1.在接入驗(yàn)證或者重新鑒權(quán)認(rèn)證過(guò)程中,AAA服務(wù)器依據(jù)MN-AAA-K (或預(yù)配 置密鑰)計(jì)算出MN-AAA-SUB-K���,并且把包括MN-AAA-SUB-K和根密鑰的密鑰信息下發(fā)到錨鑒 權(quán)者(Anchor Authenti cator)����。所述根密鑰可以就是MN-AAA-SUB-K本身,也可以是其他的根密鑰���,如MSK��、 EMSK,或MIP-RK等��。當(dāng)所述根密鑰是MN-AAA-SUB-K本身時(shí)���,MN-AAA-SUB-K既用于產(chǎn) 生MN-AAA-AE,還用于計(jì)算MIP密鑰��;在MIP密鑰的根密鑰為其他根密鑰的情況下���, MN-AAA-SUB-K可專(zhuān)門(mén)用于產(chǎn)生麗-AAA-AE��,而由其他的根密鑰(如MIP-RK)計(jì)算MIP密鑰��。
步驟2. PMIP-客戶(hù)端和錨鑒權(quán)者通過(guò)內(nèi)部交互共享此MN-AAA-SUB-K信息���。由于PMIP-客戶(hù)端和錨鑒權(quán)者共同位于一個(gè)物理實(shí)體,所以?xún)烧咧g可以共享密 朗fn息。步驟3. PMIP-客戶(hù)端得到MN-AAA-SUB-K以后�����,就可以計(jì)算麗-AAA-AE并且按照 RFC3957的定義觸發(fā)MIP注冊(cè)過(guò)程�����。優(yōu)選地�,所述MIP注冊(cè)過(guò)程為首次MIP注冊(cè)過(guò)程��。觸發(fā)MIP注冊(cè)后的整個(gè)移動(dòng)IP注冊(cè)過(guò)程(圖4a中步驟3-5)都可以按照RFC3957 進(jìn)行����,但和RFC3957過(guò)程的區(qū)別在于,F(xiàn)A不直接與AAA交互?��,F(xiàn)有RFC3957規(guī)定的注冊(cè)過(guò)程 中���,F(xiàn)A收到MIP注冊(cè)請(qǐng)求以后,就直接向AAA請(qǐng)求密鑰�,然后AAA計(jì)算密鑰隨機(jī)數(shù),下發(fā)到 FA和HA��。但是���,目前WiMAX網(wǎng)絡(luò)FA不直接向AAA請(qǐng)求�,所以,F(xiàn)A直接轉(zhuǎn)發(fā)MIP注冊(cè)請(qǐng)求到 HA�����,由HA和AAA交互密鑰以及隨機(jī)數(shù)(見(jiàn)步驟4)���。對(duì)于本實(shí)施例�����,在FA能直接與AAA服務(wù) 器交互時(shí)����,就可以完全按照RFC3957過(guò)程進(jìn)行���。由于FA也和錨鑒權(quán)者共同位于一個(gè)物理實(shí)體���,可以通過(guò)內(nèi)部交互共享錨鑒權(quán)者 獲得的MIP密鑰信息。步驟4. HA收到移動(dòng)IP注冊(cè)請(qǐng)求后���,根據(jù)是否攜帶MN和AAA之間的認(rèn)證擴(kuò)展 MN-AAA-AE判斷是否向AAA請(qǐng)求密鑰�,如果移動(dòng)IP注冊(cè)請(qǐng)求中攜帶MN-AAA-AE,則向HAAA服 務(wù)器請(qǐng)求HA相關(guān)MIP密鑰(MN-HA-K�����,還可以包括FA-HA-K)以及產(chǎn)生MIP密鑰所需的隨機(jī) 數(shù)(MN-HA之間隨機(jī)數(shù)��,以及MN-FA之間的隨機(jī)數(shù))���。如果HA位于拜訪(fǎng)網(wǎng)絡(luò)���,則這個(gè)請(qǐng)求消 息由VAAA轉(zhuǎn)發(fā)�����。AAA服務(wù)器也利用MN-AAA-SUB-K進(jìn)行驗(yàn)證����,并在驗(yàn)證成功后,下發(fā)MN-HA-K 和FA-HA-K (如果需要)以及隨機(jī)數(shù)到HA��。步驟5. HA處理MIP注冊(cè)請(qǐng)求�。如果注冊(cè)成功,HA返回移動(dòng)IP注冊(cè)報(bào)告MIP-RRP 給FA,消息中攜帶認(rèn)證擴(kuò)展(MN-HA-AE�����,也可以包括FA-HA-AE)及隨機(jī)數(shù)����。錨鑒權(quán)者根據(jù)AAA下發(fā)的MIP根密鑰信息并結(jié)合MIP注冊(cè)過(guò)程下發(fā)的隨機(jī)數(shù)計(jì) 算出FA和移動(dòng)節(jié)點(diǎn)麗之間的MIP密鑰MN-FA-K,以及FA和家鄉(xiāng)代理HA之間的MIP密鑰 FA-HA-K, FA通過(guò)內(nèi)部交互從錨鑒權(quán)者獲得MN-FA-K及FA-HA-K�����,并驗(yàn)證所述MIP注冊(cè)報(bào)告 MIP-RRP0驗(yàn)證成功后發(fā)送攜帶認(rèn)證擴(kuò)展(MN-FA-AE以及MN-HA-AE)的MIP-RRP至PMIP-客 戶(hù)端��。同樣����,PMIP-客戶(hù)端通過(guò)內(nèi)部交互從錨鑒權(quán)者獲得MN-HA-K和MN_FA_K,并驗(yàn)證來(lái) 自 FA 的 MIP-RRP��。步驟6.如果FA發(fā)生了遷移����,PMIP-client會(huì)受到R3遷移的實(shí)體的觸發(fā),還是以 RFC3957的方式完成移動(dòng)IP的注冊(cè)過(guò)程���,以及移動(dòng)IP密鑰的動(dòng)態(tài)計(jì)算分發(fā)��。和RFC3957區(qū) 別在于����,F(xiàn)A不直接與AAA交互,而是由FA直接轉(zhuǎn)發(fā)MIP注冊(cè)請(qǐng)求到HA���,由HA和AAA交互密 鑰以及隨機(jī)數(shù)(FA也可以加入交互過(guò)程����,在FA直接與AAA服務(wù)器交互時(shí)����,就可以完全按照 RFC3957過(guò)程進(jìn)行)。在R3遷移過(guò)程中���,MIP密鑰的根密鑰信息由服務(wù)接入服務(wù)網(wǎng)絡(luò)網(wǎng)關(guān) (ASN-Gff)傳到了目標(biāo)ASN-GW (如果不傳遞根密鑰,則目標(biāo)ASN-GW需要通過(guò)接入網(wǎng)內(nèi)部原語(yǔ) 向服務(wù)ASN-GW請(qǐng)求計(jì)算子密鑰)�。經(jīng)過(guò)類(lèi)似于步驟3-5中的MIP注冊(cè)過(guò)程,目標(biāo)FA也可 以建立起和移動(dòng)節(jié)點(diǎn)MN之間的安全聯(lián)盟��。但與步驟3-5的MIP注冊(cè)過(guò)程的不同在于�����,由于 MN-HA-K并沒(méi)有變化,此時(shí)的MIP注冊(cè)請(qǐng)求可以不再請(qǐng)求MN-HA的隨機(jī)數(shù)�����,并且在MIP注冊(cè) 請(qǐng)求中攜帶MN-HA之間的認(rèn)證擴(kuò)展MN-HA-AE��,在家鄉(xiāng)代理根據(jù)接收的MIP注冊(cè)請(qǐng)求向所述 AAA服務(wù)器請(qǐng)求隨機(jī)數(shù)時(shí)可僅請(qǐng)求MN-FA之間的隨機(jī)數(shù)而不請(qǐng)求MN-HA的隨機(jī)數(shù)���。在該FA遷移的情況��,對(duì)AAA提出一個(gè)要求��,就是需要事先保存為MN-HA產(chǎn)生的隨機(jī)數(shù)�����。另外�����,在FA遷移時(shí)��,也可以以接入認(rèn)證和重新鑒權(quán)認(rèn)證的方式重新執(zhí)行步驟3-5 中的MIP的注冊(cè)過(guò)程(此時(shí)需要重新請(qǐng)求MN-HA之間及MN-FA之間的隨機(jī)數(shù))�����。如果步驟6中R3遷移的目標(biāo)FA不存在和HA的共享密鑰�,錨鑒權(quán)者和AAA服務(wù)器 也需要同時(shí)刷新FA-HA-K,目標(biāo)FA向服務(wù)FA請(qǐng)求原來(lái)的根密鑰或者FA-HA-K�����,然后刷新為 TFA-HA-K ��;或者是直接請(qǐng)求TFA-HA-K����。刷新方式可以選擇如下利用HA/AAA和原FA共享密鑰以及HA/AAA和目標(biāo)FA之間共享的信息(例如 FA-IP)計(jì)算一個(gè)新的 MN-TFA-K ;或者��,把該共享密鑰作為根密鑰重新代入計(jì)算公式���,算出新的TFA-HA-K���。當(dāng)然����,密 鑰的刷新方式不限于此�����。本實(shí)施例中對(duì)密鑰刷新的算法并無(wú)限定��,只要進(jìn)行刷新的雙方算法一致就可以 了��。然后�����,當(dāng)HA收到帶有MN-AAA-AE的移動(dòng)IP注冊(cè)請(qǐng)求后��,要向AAA服務(wù)器請(qǐng)求 TFA-HA-K, AAA在收到HA的請(qǐng)求以后也按照刷新算法計(jì)算TFA-HA-K��,然后下發(fā)TFA-HA-K給 HA�。后續(xù)接入移動(dòng)節(jié)點(diǎn)MN就可以利用這里建立的TFA-HA-K在移動(dòng)IP注冊(cè)����。(2)基于IP地址的PMIPv4密鑰的產(chǎn)生與分發(fā)本實(shí)施例在上述步驟3到步驟6是應(yīng)用RFC3957的方案,當(dāng)然也可以用其 他MIP密鑰分發(fā)的過(guò)程替代(如申請(qǐng)?zhí)柗謩e為200610093037. 9,200610093541. 9�、 200610094477.6(發(fā)明名稱(chēng)為“一種移動(dòng)IP密鑰的產(chǎn)生及分發(fā)方法”)的中國(guó)專(zhuān)利申請(qǐng)中 的密鑰分發(fā)過(guò)程,在此僅以引用的方式合并于此)��。其唯一的改變?cè)谟谟?jì)算MN-AAA-AE的時(shí) 候���,利用的是本發(fā)明中提出的MN-AAA-SUB-K而不是利用MN-AAA-K��,故在此不作詳述����。以下 另舉一例來(lái)說(shuō)明本實(shí)施例的可替代MIP密鑰產(chǎn)生及分發(fā)過(guò)程。圖4b為本實(shí)施例的基于IP地址的PMIP密鑰的產(chǎn)生與分發(fā)流程圖��。如圖4b所示���, 包括如下步驟步驟1 初始驗(yàn)證以及重驗(yàn)證過(guò)程中���,AAA服務(wù)器由MN-AAA-K或預(yù)配置密鑰計(jì)算 MN-AAA-SUB-K,并下發(fā)包括MN-AAA-SUB-K和根密鑰的密鑰信息至錨鑒權(quán)者,所述根密鑰可 以是MN-AAA-SUB-K本身�,也可以是另外的根密鑰;步驟2 =PMIP-Client和錨鑒權(quán)者共享密鑰信息�����;步驟3 =PMIP-Client發(fā)起移動(dòng)IP注冊(cè)請(qǐng)求過(guò)程�����,MIP-RRQ消息中攜帶用 MN-AAA-SUB-K計(jì)算出來(lái)的MN-AAA-AE,F(xiàn)A收到這個(gè)消息后���,發(fā)送給家鄉(xiāng)代理HA ;步驟4 家鄉(xiāng)代理HA告知AAA服務(wù)器計(jì)算密鑰的HA-IP���,請(qǐng)求驗(yàn)證信息并且請(qǐng)求密 鑰MN-HA-K以及FA-HA-K �;AAA服務(wù)器也利用MN-AAA-SUB-K進(jìn)行驗(yàn)證�,如果驗(yàn)證通過(guò),就計(jì) 算密鑰并且下發(fā)到HA ��;步驟5 家鄉(xiāng)代理HA得到請(qǐng)求的密鑰(MN-HA-K�,也可以包括FA-HA-K)以后,處理 移動(dòng)IP注冊(cè)請(qǐng)求�����,如果注冊(cè)允許�,則發(fā)送移動(dòng)IP注冊(cè)報(bào)告MIP-RRP (攜帶MN-HA-AE,也可 以包括FA-HA-AE)到FA���。FA向錨鑒權(quán)者請(qǐng)求MN-FA-K以及FA-HA-K(如果需要)�����。然后����, FA驗(yàn)證收到的MIP-RRP消息。驗(yàn)證成功后�����,向PMIP-Client發(fā)送攜帶認(rèn)證擴(kuò)展的MIP-RRP 消息�;PMIP-Client向錨鑒權(quán)者請(qǐng)求密鑰MN-HA-K以及MN-FA-K驗(yàn)證來(lái)自FA的MIP-RRP消 肩、ο
步驟6-8 如果FA發(fā)生了遷移�����,則PMIP-Client收到觸發(fā)重新發(fā)起移動(dòng)IP注冊(cè)請(qǐng) 求���,進(jìn)行類(lèi)似步驟3-5的移動(dòng)IP注冊(cè)過(guò)程���。實(shí)施例2 :CMIPv4密鑰的產(chǎn)生與分發(fā)(1)基于隨機(jī)數(shù)的CMIPv4密鑰的產(chǎn)生與分發(fā)圖5a為本實(shí)施例的CMIP模式下基于隨機(jī)數(shù)的移動(dòng)IP密鑰的產(chǎn)生與分發(fā)流程,如 圖5a所示���,具體包括如下步驟步驟1. MS以及AAA服務(wù)器依據(jù)MN-AAA-K (或預(yù)配置密鑰)計(jì)算出MN_AAA_SUB_K��。 AAA服務(wù)器把包括移動(dòng)IP密鑰的根密鑰下發(fā)到錨鑒權(quán)者�。其中,所述根密鑰可以是MN-AAA-SUB-K本身���,也可以是另外一個(gè)根密鑰���,如MSK���、 EMSK�、或MIP-RK等��,以計(jì)算MIP密鑰�。步驟2.外部代理FA發(fā)送代理廣播給移動(dòng)節(jié)點(diǎn)MS。步驟3.移動(dòng)節(jié)點(diǎn)MS收到外部代理FA發(fā)送的代理廣播以后�,就可以利用 MN-AAA-SUB-K計(jì)算MN-AAA-AE并且按照RFC3957的定義觸發(fā)移動(dòng)IP注冊(cè)過(guò)程。觸發(fā)MIP注冊(cè)后的整個(gè)移動(dòng)IP注冊(cè)過(guò)程都可以按照RFC3957進(jìn)行�。和RFC3957區(qū) 別在于,F(xiàn)A不直接與AAA交互�����,而是直接轉(zhuǎn)發(fā)MIP注冊(cè)請(qǐng)求到HA��,由HA和AAA交互密鑰以及 隨機(jī)數(shù)(FA也可以加入交互過(guò)程��,在FA直接與AAA服務(wù)器交互時(shí),就可以完全按照RFC3957 過(guò)程進(jìn)行)��。由于FA和錨鑒權(quán)者共同位于一個(gè)物理實(shí)體�����,可以通過(guò)內(nèi)部交互與錨鑒權(quán)者共享 朗fn息����。步驟4. HA收到移動(dòng)IP注冊(cè)請(qǐng)求后,如果移動(dòng)IP注冊(cè)請(qǐng)求中攜帶MN-AAA-AE��,則 向HAAA服務(wù)器請(qǐng)求驗(yàn)證并請(qǐng)求HA相關(guān)MIP密鑰(MN-HA-K����,還可以包括FA-HA-K)以及隨 機(jī)數(shù)(MN-HA之間隨機(jī)數(shù)和MN-FA之間的隨機(jī)數(shù))。HAAA在驗(yàn)證成功后��,下發(fā)MN-HA-K和 FA-HA-K(如果請(qǐng)求)和隨機(jī)數(shù)至HA���。步驟5. HA處理MIP注冊(cè)請(qǐng)求���。如果注冊(cè)成功,HA返回移動(dòng)IP注冊(cè)報(bào)告MIP-RRP 給FA��,消息中攜帶認(rèn)證擴(kuò)展(MN-HA-AE,也可以包括FA-HA-AE)及隨機(jī)數(shù)�。錨鑒權(quán)者根據(jù)AAA下發(fā)的MIP根密鑰信息并結(jié)合MIP注冊(cè)過(guò)程下發(fā)的隨機(jī)數(shù)計(jì) 算出FA和移動(dòng)節(jié)點(diǎn)麗之間的MIP密鑰MN-FA-K,以及FA和家鄉(xiāng)代理HA之間的MIP密鑰 FA-HA-K, FA通過(guò)內(nèi)部交互從錨鑒權(quán)者獲得MN-FA-K及FA-HA-K���,并驗(yàn)證所述MIP-RRP��。驗(yàn) 證成功后再發(fā)送至移動(dòng)終端MS (即CMIP-客戶(hù)端)��。同樣,移動(dòng)終端MS(即CMIP-客戶(hù)端)通過(guò)獲得的隨機(jī)數(shù)以及根密鑰計(jì)算獲得 MN-HA-K 和 MN-FA-K���,并驗(yàn)證來(lái)自 FA 的 MIP-RRP����。步驟6.如果FA發(fā)生了遷移���,MS收到目標(biāo)FA的代理廣播消息以后��,還是以RFC3957 的方式完成移動(dòng)IP的注冊(cè)過(guò)程�����,以及移動(dòng)IP密鑰的動(dòng)態(tài)計(jì)算分發(fā)��。和RFC3957區(qū)別在于�����, FA不直接與AAA交互�,而是由FA直接轉(zhuǎn)發(fā)MIP注冊(cè)請(qǐng)求到HA,由HA和AAA交互密鑰以及 隨機(jī)數(shù)(FA也可以加入交互過(guò)程����,在FA直接與AAA服務(wù)器交互時(shí),就可以完全按照RFC3957 過(guò)程進(jìn)行)�。在R3遷移過(guò)程中,MIP密鑰的根密鑰信息由服務(wù)接入服務(wù)網(wǎng)絡(luò)網(wǎng)關(guān)(ASN-GW) 傳到了目標(biāo)ASN-GW(如果不傳遞根密鑰���,則目標(biāo)ASN-GW需要通過(guò)接入網(wǎng)內(nèi)部原語(yǔ)向服務(wù) ASN-GW請(qǐng)求計(jì)算子密鑰)�����。經(jīng)過(guò)類(lèi)似于步驟3-5中的MIP注冊(cè)過(guò)程�,目標(biāo)FA也可以建立起 和移動(dòng)節(jié)點(diǎn)麗之間的安全聯(lián)盟���。但與步驟3-5的MIP注冊(cè)過(guò)程的不同在于��,由于MN-HA-K并沒(méi)有變化�����,此時(shí)的MIP注冊(cè)請(qǐng)求可以不再請(qǐng)求MN-HA的隨機(jī)數(shù)��,并且在MIP注冊(cè)請(qǐng)求中攜 帶MN-HA之間的認(rèn)證擴(kuò)展MN-HA-AE�,在家鄉(xiāng)代理根據(jù)接收的MIP注冊(cè)請(qǐng)求向所述AAA服務(wù) 器請(qǐng)求隨機(jī)數(shù)時(shí)可僅請(qǐng)求MN-FA之間的隨機(jī)數(shù)而不請(qǐng)求MN-HA的隨機(jī)數(shù)。在該FA遷移的 情況�����,對(duì)AAA提出一個(gè)要求��,就是需要事先保存為MN-HA產(chǎn)生的隨機(jī)數(shù)��。另外��,在FA遷移時(shí)�,也可以以接入認(rèn)證和重新鑒權(quán)認(rèn)證的方式重新執(zhí)行步驟3-5 中的MIP的注冊(cè)過(guò)程(此時(shí)需要重新請(qǐng)求MN-HA之間及MN-FA之間的隨機(jī)數(shù))���。如果步驟6中R3遷移的目標(biāo)FA不存在和HA的共享密鑰�,錨鑒權(quán)者和AAA服務(wù)器 也需要同時(shí)刷新FA-HA-K�����,方式可以選擇如下利用HA/AAA和原FA共享密鑰以及HA/AAA和目標(biāo)FA之間共享的信息(例如 FA-IP)計(jì)算一個(gè)新的 MN-TFA-K ;或者�,把該共享密鑰作為根密鑰重新代入計(jì)算公式,算出新的TFA-HA-K�����。當(dāng)然�,密 鑰的刷新方式不限于此。然后�����,當(dāng)HA收到帶有MN-AAA-AE的移動(dòng)IP注冊(cè)請(qǐng)求后����,要向AAA服務(wù)器請(qǐng)求 TFA-HA-K,AAA在收到HA的請(qǐng)求以后也按照刷新算法計(jì)算TFA-HA-K���,然后下發(fā)TFA-HA-K給 HA���。后續(xù)接入移動(dòng)節(jié)點(diǎn)MN就可以利用這里建立的TFA-HA-K在移動(dòng)IP注冊(cè)。(2)基于IP地址的CMIPv4密鑰的產(chǎn)生和分發(fā)本實(shí)施例在上述步驟3到步驟6是應(yīng)用RFC3957的方案��,當(dāng)然也可以用其他MIP密 鑰分發(fā)的過(guò)程替代(如申請(qǐng)?zhí)柗謩e為200610093037. 9,200610093541. 9,200610094477. 6 的中國(guó)專(zhuān)利申請(qǐng)中的密鑰分發(fā)過(guò)程���,在此僅以引用的方式合并于此)����。其唯一的改變?cè)谟谟?jì) 算麗-AAA-AE的時(shí)候,利用的是本發(fā)明中提出的MN-AAA-SUB-K而不是利用麗-AAA-K����。以下 另舉一例說(shuō)明本實(shí)施例的可替代MIP密鑰產(chǎn)生及分發(fā)過(guò)程。圖5b為本實(shí)施例的基于IP地址的CMIP密鑰的產(chǎn)生與分發(fā)流程圖�����。如圖5b所示����, 包括如下步驟步驟1 初始驗(yàn)證以及重驗(yàn)證過(guò)程中,移動(dòng)節(jié)點(diǎn)麗與AAA服務(wù)器由MN-AAA-K或預(yù) 配置密鑰計(jì)算MN-AAA-SUB-K�,AAA服務(wù)器下發(fā)MIP密鑰的根密鑰至錨鑒權(quán)者�。其中,所述的根密鑰可以是MN-AAA-SUB-K本身���,也可以是另外的根密鑰�,如MSK/ EMSK/MIP-RK 等����。步驟2 =FA向移動(dòng)節(jié)點(diǎn)麗發(fā)送路由器廣播消息����;步驟3:移動(dòng)節(jié)點(diǎn)麗發(fā)起移動(dòng)IP注冊(cè)請(qǐng)求過(guò)程�����,MIP-RRQ消息中攜帶用 MN-AAA-SUB-K計(jì)算出來(lái)的MN-AAA-AE���,F(xiàn)A收到這個(gè)消息后�����,發(fā)送給家鄉(xiāng)代理HA �;步驟4 家鄉(xiāng)代理HA告知AAA服務(wù)器計(jì)算密鑰的HA-IP�����,請(qǐng)求驗(yàn)證信息并且請(qǐng)求密 鑰MN-HA-K以及FA-HA-K ����;AAA服務(wù)器也利用MN-AAA-SUB-K進(jìn)行驗(yàn)證,如果驗(yàn)證通過(guò),就計(jì) 算密鑰并且下發(fā)到HA �����;步驟5 家鄉(xiāng)代理HA得到請(qǐng)求的密鑰(MN-HA-K�����,也可以包括FA-HA-K)以后�,處理 移動(dòng)IP注冊(cè)請(qǐng)求,如果注冊(cè)允許�����,則發(fā)送MIP-RRP (攜帶MN-HA-AE��,也可以包括FA-HA-AE) 到FA��。FA向錨鑒權(quán)者請(qǐng)求MN-FA-K以及FA-HA-K (如果需要)�����。然后�����,F(xiàn)A驗(yàn)證收到的MIP-RRP 消息���。驗(yàn)證成功后�,向移動(dòng)節(jié)點(diǎn)麗發(fā)送攜帶MN-FA-AE����,MN-HA-AE的MIP-RRP消息;步驟6 移動(dòng)節(jié)點(diǎn)計(jì)算MN-FA-K及MN-HA-K并驗(yàn)證來(lái)自FA的MIP-RRP消息�。步驟7-9 目標(biāo)FA向移動(dòng)節(jié)點(diǎn)MN發(fā)送路由器廣播消息;移動(dòng)節(jié)點(diǎn)收到所述的廣播消息重新發(fā)起移動(dòng)IP注冊(cè)請(qǐng)求����,進(jìn)行類(lèi)似步驟3-5的移動(dòng)IP注冊(cè)過(guò)程。實(shí)施例3 直接攜帶MN-FA-AE的密鑰分發(fā)在網(wǎng)絡(luò)最外層保證安全性的情況下���,本實(shí)施例同樣可以提供滿(mǎn)足條件的方案���。(1)ΡΜΙΡν4密鑰的產(chǎn)生與分發(fā)如圖7a所示,包括如下步驟步驟1.在接入驗(yàn)證或者重新鑒權(quán)認(rèn)證過(guò)程中���,AAA服務(wù)器依據(jù)MN-AAA-K (或預(yù)配 置密鑰)計(jì)算出MN-AAA-SUB-K����,并且把包括MN-AAA-SUB-K和根密鑰的密鑰信息下發(fā)到錨鑒 權(quán)者(Anchor Authenti cator)。所述根密鑰可以就是MN-AAA-SUB-K本身��,也可以是其他的根密鑰��,如MSK���、 EMSK,或MIP-RK等���。當(dāng)所述根密鑰是MN-AAA-SUB-K本身時(shí),MN-AAA-SUB-K既用于產(chǎn) 生MN-AAA-AE�,還用于計(jì)算MIP密鑰;在MIP密鑰的根密鑰為其他根密鑰的情況下���, MN-AAA-SUB-K可專(zhuān)門(mén)用于產(chǎn)生麗-AAA-AE���,而由其他的根密鑰(如MIP-RK)計(jì)算MIP密鑰。錨鑒權(quán)者和AAA服務(wù)器都計(jì)算出MN-FA-K (AAA服務(wù)器需要的參數(shù)在鑒權(quán)認(rèn)證過(guò)程 中由錨鑒權(quán)者通知給AAA服務(wù)器(如通過(guò)Access Request消息))��,AAA服務(wù)器與錨鑒權(quán)者 計(jì)算MN-FA-K時(shí)采用的是相同的算法���。另外����,還可以由AAA服務(wù)器計(jì)算MN-FA-K后直接下 發(fā)MN-FA-K至錨鑒權(quán)者。步驟2. PMIP-客戶(hù)端和錨鑒權(quán)者通過(guò)內(nèi)部交互共享此MN-AAA-SUB-K信息��。由于PMIP-客戶(hù)端和錨鑒權(quán)者共同位于一個(gè)物理實(shí)體����,所以?xún)烧咧g可以共享密 朗fn息�����。步驟3. PMIP-客戶(hù)端得到MN-AAA-SUB-K以后�,就可以計(jì)算MN-AAA-AE并且按照 RFC3957的定義觸發(fā)MIP注冊(cè)過(guò)程。優(yōu)選地�����,所述MIP注冊(cè)過(guò)程為首次MIP注冊(cè)過(guò)程�����。觸發(fā)MIP注冊(cè)后的整個(gè)移動(dòng)IP注冊(cè)過(guò)程(圖7a中步驟3-5)都可以按照RFC 3957 進(jìn)行(此時(shí)僅僅請(qǐng)求麗和HA之間的隨機(jī)數(shù)�����,而無(wú)需請(qǐng)求麗和FA之間的隨機(jī)數(shù))��。同時(shí), 在注冊(cè)請(qǐng)求中攜帶MN-FA-AE����。但和RFC3957過(guò)程的區(qū)別在于,F(xiàn)A不直接與AAA交互?,F(xiàn)有 RFC3957規(guī)定的注冊(cè)過(guò)程中,F(xiàn)A收到MIP注冊(cè)請(qǐng)求以后����,就直接向AAA請(qǐng)求密鑰,然后AAA 計(jì)算密鑰以及隨機(jī)數(shù)�,下發(fā)到FA和HA。但是�����,目前WiMAX網(wǎng)絡(luò)FA不直接向AAA請(qǐng)求�����,所以�����, FA直接轉(zhuǎn)發(fā)MIP注冊(cè)請(qǐng)求到HA�����,由HA和AAA交互密鑰以及隨機(jī)數(shù)(見(jiàn)步驟4)。對(duì)于本實(shí) 施例���,在FA能直接與AAA服務(wù)器交互時(shí)�,就可以完全按照RFC3957過(guò)程進(jìn)行�。由于FA也和錨鑒權(quán)者共同位于一個(gè)物理實(shí)體�����,可以通過(guò)內(nèi)部交互共享錨鑒權(quán)者 獲得的MIP密鑰信息�。步驟4. HA收到移動(dòng)IP注冊(cè)請(qǐng)求后,根據(jù)是否攜帶MN和AAA之間的認(rèn)證擴(kuò)展 MN-AAA-AE判斷是否向AAA請(qǐng)求密鑰�,如果移動(dòng)IP注冊(cè)請(qǐng)求中攜帶MN-AAA-AE,則向HAAA服 務(wù)器請(qǐng)求HA相關(guān)MIP密鑰(MN-HA-K����,還可以包括FA-HA-K)以及產(chǎn)生MIP密鑰所需的隨機(jī) 數(shù)(MN-HA之間隨機(jī)數(shù))。如果HA位于拜訪(fǎng)網(wǎng)絡(luò)�,則這個(gè)請(qǐng)求消息由VAAA轉(zhuǎn)發(fā)。AAA服務(wù) 器也利用MN-AAA-SUB-K進(jìn)行驗(yàn)證���,并在驗(yàn)證成功后���,下發(fā)MN-HA-K和FA-HA-K (如果需要) 以及隨機(jī)數(shù)到HA����。步驟5. HA處理MIP注冊(cè)請(qǐng)求��。如果注冊(cè)成功�,HA返回移動(dòng)IP注冊(cè)報(bào)告MIP-RRP 給FA,消息中攜帶認(rèn)證擴(kuò)展(MN-HA-AE��,也可以包括FA-HA-AE)及隨機(jī)數(shù)�����。錨鑒權(quán)者根據(jù)AAA下發(fā)的MIP根密鑰信息并結(jié)合MIP注冊(cè)過(guò)程下發(fā)的隨機(jī)數(shù)計(jì)算出移動(dòng)節(jié)點(diǎn)麗和HA之間的MIP密鑰MN-HA-K��,以及FA和家鄉(xiāng)代理HA之間的MIP密鑰 FA-HA-K�。如果步驟3中FA沒(méi)有得到FA-HA_K,F(xiàn)A通過(guò)內(nèi)部交互從錨鑒權(quán)者獲得FA-HA-K���, 并驗(yàn)證所述MIP注冊(cè)報(bào)告MIP-RRP�。驗(yàn)證成功后FA發(fā)送攜帶認(rèn)證擴(kuò)展(MN-FA-AE以及 MN-HA-AE)的移動(dòng)IP注冊(cè)報(bào)告MIP-RRP至PMIP-客戶(hù)端���。同樣�,PMIP-客戶(hù)端通過(guò)內(nèi)部交互從錨鑒權(quán)者獲得MN-HA-K和MN_FA_K,并驗(yàn)證來(lái) 自 FA 的 MIP-RRP�。步驟6.如果FA發(fā)生了遷移,PMIP-client會(huì)受到R3遷移的實(shí)體的觸發(fā)���,錨鑒權(quán) 者或者PMIP-Client刷新一次MN-FA-K���。MN-FA-K刷新的可選方法如下利用麗和原FA的共享密鑰以及移動(dòng)節(jié)點(diǎn)麗和目標(biāo)FA(TFA)之間共享的信息(例 如TFA-IP)計(jì)算一個(gè)新的MN-TFA-K ;或者���,把共享密鑰(MN和原FA之間的MN-FA-K)作為根密鑰重新代入計(jì)算公式,算 出新的MN-TFA-K��。當(dāng)然���,密鑰的刷新方式不限于此兩種方式���。在R3遷移過(guò)程中,MIP密鑰的根密鑰信息由服務(wù)接入服務(wù)網(wǎng)絡(luò)網(wǎng)關(guān)(ASN-GW)傳到 了目標(biāo)ASN-GW(如果不傳遞根密鑰���,則目標(biāo)ASN-GW需要通過(guò)接入網(wǎng)內(nèi)部原語(yǔ)向服務(wù)ASN-GW 請(qǐng)求計(jì)算子密鑰)��。經(jīng)過(guò)類(lèi)似于步驟3-5中的MIP注冊(cè)過(guò)程�����,目標(biāo)FA也可以建立起和移動(dòng) 節(jié)點(diǎn)麗之間的安全聯(lián)盟����。但與步驟3-5的MIP注冊(cè)過(guò)程的不同在于,由于MN-HA-K并沒(méi)有 變化����,此時(shí)的MIP注冊(cè)請(qǐng)求可以不再請(qǐng)求MN-HA的隨機(jī)數(shù)。另外�,在FA遷移時(shí),也可以以接入認(rèn)證和重新鑒權(quán)認(rèn)證的方式重新執(zhí)行步驟3-5 中的MIP的注冊(cè)過(guò)程(此時(shí)需要重新請(qǐng)求MN-HA之間的隨機(jī)數(shù))�����。步驟7.如果步驟6中R3遷移的目標(biāo)FA不存在和HA的共享密鑰���,錨鑒權(quán)者和AAA 服務(wù)器也需要同時(shí)刷新FA-HA-K��,目標(biāo)FA向服務(wù)FA請(qǐng)求原來(lái)的根密鑰或者FA-HA-K���,然后 刷新為T(mén)FA-HA-K ;或者是直接請(qǐng)求TFA-HA-K。刷新方式可以選擇如下利用HA/AAA和原FA共享密鑰以及HA/AAA和目標(biāo)FA之間共享的信息(例如 FA-IP)計(jì)算一個(gè)新的 MN-TFA-K ���;或者�,把該共享密鑰作為根密鑰重新代入計(jì)算公式��,算出新的TFA-HA-K��。當(dāng)然�,密 鑰的刷新方式不限于此。本實(shí)施例中對(duì)密鑰刷新的算法并無(wú)限定����,只要進(jìn)行刷新的雙方算法一致就可以 了。然后�����,當(dāng)HA收到帶有MN-AAA-AE的移動(dòng)IP注冊(cè)請(qǐng)求后���,要向AAA服務(wù)器請(qǐng)求 TFA-HA-K, AAA在收到HA的請(qǐng)求以后也按照刷新算法計(jì)算TFA-HA-K,然后下發(fā)TFA-HA-K給 HA��。后續(xù)接入移動(dòng)節(jié)點(diǎn)MN就可以利用這里建立的TFA-HA-K在移動(dòng)IP注冊(cè)���。(2)CMIPv4密鑰的產(chǎn)生與分發(fā)如圖7b所示���,包括如下步驟步驟1.在接入驗(yàn)證或者重新鑒權(quán)認(rèn)證過(guò)程中��,移動(dòng)節(jié)點(diǎn)麗及AAA服務(wù)器依據(jù) MN-AAA-K (或預(yù)配置密鑰)計(jì)算出MN-AAA-SUB-K�����。 移動(dòng)節(jié)點(diǎn)麗以及AAA服務(wù)器還計(jì)算出MN-FA-K (AAA需要的參數(shù)在認(rèn)證過(guò)程中由 錨鑒權(quán)者通知給AAA服務(wù)器)���,然后AAA服務(wù)器下發(fā)MN-FA-K到錨鑒權(quán)者,移動(dòng)節(jié)點(diǎn)與AAA 服務(wù)器計(jì)算MN-FA-K時(shí)采用相同的算法����;或者,由移動(dòng)節(jié)點(diǎn)MN以及錨鑒權(quán)者用相同的算法 計(jì)算出MN-FA-K ��;也可以在后續(xù)步驟2中計(jì)算���。
AAA服務(wù)器把包括移動(dòng)IP密鑰的根密鑰下發(fā)到錨鑒權(quán)者�。其中�����,所述根密鑰可以 是MN-AAA-SUB-K本身,也可以是另外一個(gè)根密鑰����,如MSK、EMSK�����、或MIP-RK等����,以計(jì)算MIP密鑰。步驟2.外部代理FA發(fā)送代理廣播給移動(dòng)節(jié)點(diǎn)MS���。如果步驟1中移動(dòng)節(jié)點(diǎn)MN沒(méi) 有獲得MN-FA-K���,此時(shí)可以計(jì)算MN-FA-K。步驟3.移動(dòng)節(jié)點(diǎn)MS收到外部代理FA發(fā)送的代理廣播以后�,就可以利用 MN-AAA-SUB-K計(jì)算MN-AAA-AE并且按照RFC3957的定義觸發(fā)移動(dòng)IP注冊(cè)過(guò)程(此時(shí)僅僅 請(qǐng)求麗和HA之間的隨機(jī)數(shù),而無(wú)需請(qǐng)求麗和FA之間的隨機(jī)數(shù))��。同時(shí)��,移動(dòng)IP的注冊(cè)消 息也攜帶MN-FA-AE����。觸發(fā)MIP注冊(cè)后的整個(gè)移動(dòng)IP注冊(cè)過(guò)程都可以按照RFC3344以及RFC3957進(jìn)行。 和RFC3957區(qū)別在于�,F(xiàn)A不直接與AAA交互,而是驗(yàn)證了 MN-FA-AE以后直接發(fā)送MIP注冊(cè) 請(qǐng)求到HA�,由HA和AAA交互密鑰以及隨機(jī)數(shù)。FA也可以加入交互過(guò)程����,在FA直接與AAA 服務(wù)器交互時(shí),就可以完全按照RFC3957過(guò)程進(jìn)行���,但不需請(qǐng)求MN和FA之間的隨機(jī)數(shù)���。由于FA和錨鑒權(quán)者共同位于一個(gè)物理實(shí)體,可以通過(guò)內(nèi)部交互與錨鑒權(quán)者共享 朗fn息����。步驟4. HA收到移動(dòng)IP注冊(cè)請(qǐng)求后,如果移動(dòng)IP注冊(cè)請(qǐng)求中攜帶MN-AAA-AE����,則向 HAAA服務(wù)器請(qǐng)求驗(yàn)證并請(qǐng)求HA相關(guān)MIP密鑰(MN-HA-K,還可以包括FA-HA-K)以及隨機(jī)數(shù) (MN-HA之間隨機(jī)數(shù))��。HAAA在驗(yàn)證成功后,下發(fā)MN-HA-K和FA-HA-K (如果請(qǐng)求)和隨機(jī)數(shù) 至HA���。步驟5. HA處理MIP注冊(cè)請(qǐng)求����。如果注冊(cè)成功�����,HA返回移動(dòng)IP注冊(cè)報(bào)告MIP-RRP 給FA���,消息中攜帶認(rèn)證擴(kuò)展(MN-HA-AE��,也可以包括FA-HA-AE)及隨機(jī)數(shù)��。錨鑒權(quán)者根據(jù)AAA下發(fā)的MIP根密鑰信息并結(jié)合MIP注冊(cè)過(guò)程下發(fā)的隨機(jī)數(shù)計(jì)算 出FA和家鄉(xiāng)代理HA之間的MIP密鑰FA-HA-K���,F(xiàn)A通過(guò)內(nèi)部交互從錨鑒權(quán)者獲得FA-HA-K, 并驗(yàn)證所述MIP-RRP�����。驗(yàn)證成功后再發(fā)送至移動(dòng)終端MS (即CMIP-客戶(hù)端)���。同樣��,移動(dòng)終端MS(即CMIP-客戶(hù)端)通過(guò)獲得的隨機(jī)數(shù)以及根密鑰計(jì)算獲得 麗-HA-K����,并驗(yàn)證來(lái)自FA的MIP-RRP��。步驟6.如果FA發(fā)生了遷移�����,MS收到目標(biāo)FA的代理廣播消息以后����,刷新一次 MN-FA-K。麗-FA-K刷新的可選方法如下利用麗和原FA的共享密鑰以及移動(dòng)節(jié)點(diǎn)麗和目標(biāo)FA之間共享的信息(例如 TFA-IP)計(jì)算一個(gè)新的麗-TFA-K ���;或者���,把共享密鑰作為根密鑰重新代入計(jì)算公式,算出新的MN-TFA-K��。當(dāng)然��,密鑰 的刷新方式不限于此兩種方式。在R 3遷移過(guò)程中�,MIP密鑰的根密鑰信息以及其他R3遷移必要信息由服務(wù)接入 服務(wù)網(wǎng)絡(luò)網(wǎng)關(guān)(ASN-GW)傳到了目標(biāo)ASN-GW(如果不傳遞根密鑰,則目標(biāo)ASN-GW需要通過(guò) 接入網(wǎng)內(nèi)部原語(yǔ)向服務(wù)ASN-GW請(qǐng)求計(jì)算子密鑰)���。經(jīng)過(guò)類(lèi)似于步驟3-5中的MIP注冊(cè)過(guò) 程���,目標(biāo)FA也可以按照MN刷新密鑰的方法建立起和移動(dòng)節(jié)點(diǎn)MN之間的安全聯(lián)盟。但與步 驟3-5的MIP注冊(cè)過(guò)程的不同在于��,由于MN-HA-K并沒(méi)有變化��,此時(shí)的MIP注冊(cè)請(qǐng)求可以不 再請(qǐng)求MN-HA的隨機(jī)數(shù)���。另外�����,在FA遷移時(shí)�,也可以以接入認(rèn)證和重新鑒權(quán)認(rèn)證的方式重新執(zhí)行步驟3-5中的MIP的注冊(cè)過(guò)程(此時(shí)需要重新請(qǐng)求MN-HA之間的隨機(jī)數(shù))�。步驟7.如果步驟6中R3遷移的目標(biāo)FA不存在和HA的共享密鑰,錨鑒權(quán)者和AAA 服務(wù)器也需要同時(shí)刷新FA-HA-K�,方式可以選擇如下利用HA/AAA和原FA共享密鑰以及HA/AAA和目標(biāo)FA之間共享的信息(例如 FA-IP)計(jì)算一個(gè)新的 MN-TFA-K ;或者,把該共享密鑰作為根密鑰重新代入計(jì)算公式�����,算出新的TFA-HA-K���。當(dāng)然,密 鑰的刷新方式不限于此���。然后��,當(dāng)HA收到帶有MN-AAA-AE的移動(dòng)IP注冊(cè)請(qǐng)求后�����,要向AAA服務(wù)器請(qǐng) 求TFA-HA-K���,此時(shí)下發(fā)TFA-HA-K給HA。后續(xù)接入移動(dòng)節(jié)點(diǎn)麗就可以利用這里建立的 TFA-HA-K在移動(dòng)IP注冊(cè)�����。在上述各實(shí)施例中�,F(xiàn)A-HA之間的密鑰還可以在接入驗(yàn)證或重新鑒權(quán)認(rèn)證過(guò)程中, 由錨鑒權(quán)者根據(jù)AAA服務(wù)器下發(fā)的根密鑰計(jì)算得出,或者由AAA服務(wù)器直接下發(fā)到錨鑒權(quán)
者ο 如果FA和HA之間已經(jīng)有共享密鑰�,所有麗的移動(dòng)節(jié)點(diǎn)的MIP注冊(cè)請(qǐng)求都可攜帶 FA-HA-AE。FA通過(guò)與錨鑒權(quán)者的內(nèi)部交互就可以獲得FA-HA-K���。在如上各實(shí)施例的移動(dòng)IP的注冊(cè)請(qǐng)求中�,F(xiàn)A和HA之間還沒(méi)有共享密鑰的時(shí)候�����, 第一個(gè)MN的MIP注冊(cè)請(qǐng)求��,不攜帶FA-HA-AE�����,但是要在這個(gè)過(guò)程中建立共享密鑰�����,然后MIP 報(bào)告中攜帶FA-HA-AE��。具體的(1)如果FA-HA-K和當(dāng)前注冊(cè)麗無(wú)關(guān)���,即計(jì)算公式中不含有MSK/EMSK等當(dāng)前注冊(cè) 麗相關(guān)密鑰�,那么在每一對(duì)FA和HA之間的第一個(gè)麗的MIP注冊(cè)過(guò)程就可以為FA-HA建 立一個(gè)共享密鑰(可以和這第一個(gè)麗相關(guān)或者不相關(guān),但是對(duì)后續(xù)麗不相關(guān))以及安全 聯(lián)盟�����,后續(xù)的MIP注冊(cè)就可以直接利用����,即不需要在后續(xù)MN的接入驗(yàn)證過(guò)程中下發(fā)類(lèi)似的 密鑰信息,這樣��,F(xiàn)A和HA之間的MIP注冊(cè)請(qǐng)求消息可以用FA-HA-K達(dá)到完整性保護(hù)的目的 (FA-HA-AE沒(méi)有在圖中標(biāo)出)����;(2)如果FA-HA-K和當(dāng)前注冊(cè)麗相關(guān)���,對(duì)于每個(gè)麗第一次MIP注冊(cè)的請(qǐng)求消息 就無(wú)法攜帶FA-HA-AE���,但注冊(cè)報(bào)告可帶FA-HA-AE。后續(xù)���,這個(gè)麗的MIP注冊(cè)都可以攜帶 FA-HA-AE,此時(shí)FA和HA之間的MIP注冊(cè)可以用FA-HA-K達(dá)到完整性保護(hù)的目的�。另外���,在本發(fā)明實(shí)施例中��,F(xiàn)A與HA之間的移動(dòng)IP密鑰還可以通過(guò)預(yù)配置產(chǎn)生��,如 果FA-HA是預(yù)配置的�����,那么就類(lèi)似上述(1)中FA-HA共享密鑰以及安全聯(lián)盟建立好以后的 情形����,都可以攜帶FA-HA-AE,因此同樣FA和HA之間的MIP注冊(cè)請(qǐng)求消息可以用FA-HA-K達(dá) 到完整性保護(hù)的目的�。實(shí)施例4 :MIPv6中MIP密鑰的產(chǎn)生及分發(fā)本發(fā)明同樣適用于MIPv6,下面分別舉例說(shuō)明PMIPv6模式及CMIPv6模式下移動(dòng) IP密鑰的產(chǎn)生及分發(fā)����。(1)ΡΜΙΡν6密鑰的產(chǎn)生與分發(fā)如圖6a所示,包括如下步驟步驟1 在接入驗(yàn)證或者重新鑒權(quán)認(rèn)證過(guò)程中��,AAA服務(wù)器依據(jù)MN-AAA-K或預(yù)配置 密鑰計(jì)算出MN-AAA-SUB-K���,并且把包括MN-AAA-SUB-K和根密鑰的密鑰信息下發(fā)到錨鑒權(quán)
者ο
所述的根密鑰可以為MN-AAA-SUB-K本身����,也可以是另外的根密鑰,如MSK/EMSK/ MIP-RK 等�����。步驟2 由于PMIP-client和錨鑒權(quán)者共同位于一個(gè)物理實(shí)體�,所以?xún)烧呖梢酝ㄟ^(guò) 內(nèi)部交互共享此MN-AAA-SUB-K信息。如果可能得到計(jì)算MN-HA-K的所有參數(shù)���,也可以共享 MN-HA-K��。步驟3 =PMIP-Client發(fā)送綁定更新BU�,攜帶由MN-AAA-SUB-K計(jì)算出的 MN-AAA-AE�。步驟4 家鄉(xiāng)代理HA收到步驟3中所發(fā)送的消息���,就向AAA請(qǐng)求驗(yàn)證以及MN-HA-K�����, 此時(shí)不關(guān)心MN-HA-K具體如何產(chǎn)生��,但應(yīng)和MN (本實(shí)例就是ΡΜΙΡ-Client)上的產(chǎn)生方式一 致�。AAA驗(yàn)證了完整性后�,如果成功則下發(fā)MN-HA-K����。步驟5 家鄉(xiāng)代理HA處理BU消息��,如果綁定成功��,則發(fā)送綁定確認(rèn)BA消息��,攜帶 由MN-HA-K計(jì)算出的MN-HA-AE�����。PMIP-Client如果在步驟2中就已經(jīng)獲得了 MN-HA-K���,那么 此時(shí)就可以驗(yàn)證BA消息了 �;否則�,此時(shí)向錨鑒權(quán)者請(qǐng)求MN-HA-K。(2)CMIPv6密鑰的產(chǎn)生與分發(fā)如圖6b所示�����,包括如下步驟步驟1 在接入驗(yàn)證或者重新鑒權(quán)認(rèn)證過(guò)程中���,移動(dòng)節(jié)點(diǎn)麗及AAA服務(wù)器依據(jù) MN-AAA-K (或預(yù)配置密鑰)計(jì)算出MN-AAA-SUB-K��。步驟2 移動(dòng)節(jié)點(diǎn)麗發(fā)送BU�����,攜帶由MN-AAA-SUB-K計(jì)算出的MN_AAA_AE��。步驟3 家鄉(xiāng)代理HA收到步驟2中所發(fā)送的消息���,就向AAA請(qǐng)求驗(yàn)證以及MN-HA-K�����, 此時(shí)不關(guān)心MN-HA-K具體如何產(chǎn)生�����,但應(yīng)和MN(本實(shí)例就是CMIP-Client)上的產(chǎn)生方式一 致。AAA驗(yàn)證了完整性后����,如果成功則下發(fā)MN-HA-K。 步驟4 家鄉(xiāng)代理HA處理BU消息����,如果綁定成功��,則發(fā)送BA消息�����,攜帶由MN-HA-K 計(jì)算出的MN-HA-AE���。移動(dòng)節(jié)點(diǎn)麗已經(jīng)獲得了 MN-HA-K,此時(shí)就可以驗(yàn)證BA消息了����。實(shí)現(xiàn)如上實(shí)施例的移動(dòng)IP密鑰的產(chǎn)生及分發(fā)系統(tǒng),可包括在接入驗(yàn)證或重新鑒權(quán)認(rèn)證過(guò)程中�����,計(jì)算移動(dòng)節(jié)點(diǎn)MN和認(rèn)證授權(quán)計(jì)費(fèi)AAA服務(wù)器 之間的子密鑰的裝置(例如對(duì)于代理移動(dòng)IP模式���,計(jì)算移動(dòng)節(jié)點(diǎn)MN和認(rèn)證授權(quán)計(jì)費(fèi)AAA 服務(wù)器之間的子密鑰的裝置為AAA服務(wù)器�;對(duì)于客戶(hù)端移動(dòng)IP模式����,所述計(jì)算移動(dòng)節(jié)點(diǎn)MN 和認(rèn)證授權(quán)計(jì)費(fèi)AAA服務(wù)器之間的子密鑰的裝置為AAA服務(wù)器和移動(dòng)終端);根據(jù)所述子密鑰計(jì)算移動(dòng)節(jié)點(diǎn)和AAA服務(wù)器之間的認(rèn)證擴(kuò)展的裝置(例如�,對(duì)于 代理移動(dòng)IP模式����,根據(jù)所述子密鑰計(jì)算移動(dòng)節(jié)點(diǎn)和AAA服務(wù)器之間的認(rèn)證擴(kuò)展的裝置為錨 鑒權(quán)者����;對(duì)于客戶(hù)端移動(dòng)IP模式,所述根據(jù)所述子密鑰計(jì)算移動(dòng)節(jié)點(diǎn)和AAA服務(wù)器之間的 認(rèn)證擴(kuò)展的裝置為移動(dòng)終端)�����;移動(dòng)節(jié)點(diǎn)�����,用于發(fā)起移動(dòng)IP注冊(cè)請(qǐng)求或綁定更新請(qǐng)求�,所述請(qǐng)求中攜帶由所述子 密鑰產(chǎn)生的移動(dòng)節(jié)點(diǎn)和AAA服務(wù)器之間的認(rèn)證擴(kuò)展;家鄉(xiāng)代理�����,用于根據(jù)注冊(cè)請(qǐng)求或綁定更新請(qǐng)求中的所述認(rèn)證擴(kuò)展向AAA服務(wù)器請(qǐng) 求密鑰��;以及外部代理��,用于進(jìn)行移動(dòng)IP注冊(cè)請(qǐng)求的轉(zhuǎn)發(fā)�。綜上所述,本發(fā)明如上的實(shí)施例可清楚使得PMIP客戶(hù)端可以在移動(dòng)節(jié)點(diǎn)麗和AAA 服務(wù)器之間的密鑰(MN-AAA-K)不下發(fā)的情況下計(jì)算移動(dòng)節(jié)點(diǎn)MN和AAA服務(wù)器之間的認(rèn)證擴(kuò)展(MN-AAA-AE)����;并統(tǒng)一了網(wǎng)絡(luò)工作組(NWG)中CMIP和PMIP在重驗(yàn)證(包含MIPv6),以 及FA遷移(不包含MIPv6)通知HA的過(guò)程�;并且如上實(shí)施例合理利用已有的RFC過(guò)程實(shí)現(xiàn) NWG的移動(dòng)IP注冊(cè)過(guò)程;同時(shí)通過(guò)采用隨機(jī)數(shù)計(jì)算密鑰避免了用IP地址作為計(jì)算移動(dòng)IP 密鑰的參數(shù)所帶來(lái)的復(fù)雜性�����。實(shí)施例5另外�,針對(duì)現(xiàn)有技術(shù)中存在的問(wèn)題,本發(fā)明實(shí)施例還提出了一種可替代的密鑰 分發(fā)方案��,如果可替代方案中MN-HA-K以HA-IP作為輸入?yún)?shù)�����,MS不知道HA地址的時(shí)候 發(fā)起移動(dòng)IP注冊(cè)請(qǐng)求�,就攜帶MN-HA-AE,但此時(shí)只能用全0/全1�����,或者其他特殊值計(jì)算 MN-HA-K0但后續(xù)又需要使用實(shí)際HA單播IP地址計(jì)算的MN-HA-K,基于此����,本替代方案的基 本思想為 如果麗不知道HA的情況下,用全0/1作為HA-IP計(jì)算MN-HA-Kl���,然后用MN-HA-Kl 計(jì)算 MN-HA-AEl��。而HA要能夠驗(yàn)證MN-HA-AEl就必須擁有MN-HA-Kl�。但是為了能夠體現(xiàn)真實(shí)單播HA-IP��,HA發(fā)送的MIP-RRP攜帶MN-HA-AE2�,MN-HA-AE2 必須由MN-HA-K2計(jì)算。HA要能夠計(jì)算MN-HA-AE2就必須擁有MN-HA-K2����。由此,當(dāng)HA收到MIP-RRQ然后向AAA請(qǐng)求的時(shí)候��,AAA必須下發(fā)兩個(gè)MN-HA-K�����。對(duì)于CMIP模式下MN-HA密鑰分發(fā)�����,包括如下步驟(如圖8所示)步驟1 :MS收到FA廣播�。步驟2 =MS發(fā)起移動(dòng)IP注冊(cè)請(qǐng)求,此時(shí)MS不知道HA地址��,就用全0/全1進(jìn)行計(jì) 算MN-HA-Kl���,然后計(jì)算MN-HA-AEl�����,并攜帶在所述注冊(cè)請(qǐng)求中���。可選的��,所述移動(dòng)IP注冊(cè)請(qǐng) 求中還可攜帶用于指示利用MN-HA-Kl來(lái)驗(yàn)證攜帶的認(rèn)證擴(kuò)展的指示信息����。步驟3 =HA收到攜帶有MN-HA-AEl的MIP注冊(cè)請(qǐng)求以后,向AAA請(qǐng)求密鑰����,此時(shí)應(yīng) 該請(qǐng)求兩個(gè)密鑰,一個(gè)是用全0/1等特殊值計(jì)算出來(lái)的MN-HA-K1,一個(gè)是用后續(xù)使用的單 播HA地址計(jì)算出來(lái)的MN-HA-K2����。步驟4 =AAA下發(fā)HA所請(qǐng)求的密鑰信息。步驟5 :HA用MN-HA-Kl驗(yàn)證移動(dòng)IP注冊(cè)請(qǐng)求中的MN-HA-AEl����,并且處理移動(dòng)IP 注冊(cè)請(qǐng)求,發(fā)送移動(dòng)IP注冊(cè)報(bào)告到FA�����。移動(dòng)IP注冊(cè)報(bào)告中攜帶MN-HA-K2計(jì)算出來(lái)的 MN-HA-AE2�。步驟6 =MS收到移動(dòng)IP注冊(cè)報(bào)告以后,可以從中獲得實(shí)際的HA單播IP地址�����,并且 計(jì)算出MN-HA-K2�,并用來(lái)驗(yàn)證移動(dòng)IP注冊(cè)報(bào)告的MN-HA-AE2。圖8僅用作舉例來(lái)示意本實(shí)施例的CMIP模式下的MN-HA密鑰分發(fā)�����,并非用于限定 本發(fā)明�����。本發(fā)明同樣適用于PMIP模式。圖9a及圖9b為本實(shí)施例中PMIP模式下MN-HA密鑰的分發(fā)過(guò)程示意圖�����。如圖9a 所示���,包括如下步驟步驟1,移動(dòng)節(jié)點(diǎn)(PMIP Client)發(fā)送MIP注冊(cè)請(qǐng)求(攜帶全0/1計(jì)算出來(lái)的 MN-HA-Kl產(chǎn)生的驗(yàn)證擴(kuò)展MN-HA-AE1)至外部代理���。所述移動(dòng)IP注冊(cè)請(qǐng)求消息中還可攜帶 指示利用MN-HA-Kl來(lái)驗(yàn)證攜帶的認(rèn)證擴(kuò)展的指示信息���。步驟2,外部代理接收所述MIP注冊(cè)請(qǐng)求�,并發(fā)送到家鄉(xiāng)代理。
步驟3�,家鄉(xiāng)代理收到攜帶有MN-HA-AEl的MIP注冊(cè)請(qǐng)求后,向AAA服務(wù)器請(qǐng)求 麗-HA之間的密鑰(如利用Access-Request消息向AAA請(qǐng)求密鑰)�。此時(shí)應(yīng)該請(qǐng)求兩個(gè)密 鑰,一個(gè)是用全0/1等特殊值計(jì)算出來(lái)的MN-HA-Kl��,一個(gè)是用后續(xù)使用的單播HA地址計(jì)算 出來(lái)的MN-HA-K2����。步驟4���,AAA服務(wù)器返回Access-Acc印t(攜帶兩個(gè)密鑰一個(gè)由全0/1計(jì)算出來(lái)的 MN-HA-Kl ;一個(gè)是由真實(shí)HA地址計(jì)算出來(lái)的MN-HA-K2)至家鄉(xiāng)代理���。步驟5����,家鄉(xiāng)代理用MN-HA-Kl驗(yàn)證并且處理MIP注冊(cè)請(qǐng)求��,然后發(fā)送MIP注冊(cè) 報(bào)告到外部代理��,該注冊(cè)報(bào)告攜帶真實(shí)HA地址計(jì)算出來(lái)的MN-HA-K2產(chǎn)生的驗(yàn)證擴(kuò)展 MN-HA-AE2�����。此時(shí)�,家鄉(xiāng)代理可以刪除MN-HA-K1。步驟6��,外部代理處理MIP注冊(cè)請(qǐng)求����,并且發(fā)送給PMIP Client���。如果PMIP Client 此前尚未獲得HA的地址,則其收到移動(dòng)IP注冊(cè)報(bào)告以后�����,可以從中獲得實(shí)際的HA單播IP 地址�,并且計(jì)算出MN-HA-K2,并用來(lái)驗(yàn)證移動(dòng)IP注冊(cè)報(bào)告的MN-HA-AE2�。圖8和圖9a對(duì)應(yīng)的密鑰分發(fā)流程中����,用0/1作為HA地址計(jì)算的MN-HA密鑰,可在 此次認(rèn)證有效期內(nèi)的MIP注冊(cè)過(guò)程都用這個(gè)密鑰����。實(shí)現(xiàn)上述圖8和圖9a對(duì)應(yīng)的密鑰分發(fā)的系統(tǒng)包括移動(dòng)節(jié)點(diǎn)(MN或PMIPClient), 家鄉(xiāng)代理及外部代理�;所述移動(dòng)節(jié)點(diǎn)用于發(fā)送移動(dòng)IP注冊(cè)請(qǐng)求,該請(qǐng)求攜帶由IP地址替代值計(jì)算的移 動(dòng)節(jié)點(diǎn)與家鄉(xiāng)代理之間的密鑰MN-HA-Kl產(chǎn)生的認(rèn)證擴(kuò)展MN-HA-AEl �;所述家鄉(xiāng)代理用于接收到移動(dòng)IP注冊(cè)請(qǐng)求,向認(rèn)證服務(wù)器請(qǐng)求密鑰MN-HA-Kl以 及利用家鄉(xiāng)代理IP地址計(jì)算出的移動(dòng)節(jié)點(diǎn)與家鄉(xiāng)代理之間的密鑰MN-HA-K2���,并于利用 MN-HA-Kl驗(yàn)證注冊(cè)請(qǐng)求中的MN-HA-AEl成功后���,發(fā)送攜帶由所述MN-HA-K2產(chǎn)生的認(rèn)證擴(kuò)展 MN-HA-AE2的移動(dòng)IP注冊(cè)報(bào)告至外部代理��;所述外部代理用于發(fā)送攜帶MN-HA-AE2的注冊(cè)報(bào)告至移動(dòng)節(jié)點(diǎn)���;所述移動(dòng)節(jié)點(diǎn)利用計(jì)算的MN-HA-K2驗(yàn)證所述MN-HA-AE2。由于PMIP Client處于接入服務(wù)網(wǎng)絡(luò)網(wǎng)關(guān)(ASN-GW)上��,HA的地址可以已經(jīng)下發(fā)到 了 ASNJjfW PMIP Client可以同時(shí)獲得麗-HA-K1以及麗-HA-K2�。此時(shí)上述步驟1的MIP 注冊(cè)請(qǐng)求中就還可以攜帶真實(shí)HA地址計(jì)算出來(lái)的MN-HA-K2產(chǎn)生的驗(yàn)證擴(kuò)展MN-HA-AE2。因此��,PMIP模式下MN-HA密鑰的分發(fā)過(guò)程還可以如下(如圖9b所示)步驟1����,PMIP Client發(fā)送MIP注冊(cè)請(qǐng)求(攜帶真實(shí)HA地址計(jì)算出來(lái)的MN-HA-K2 產(chǎn)生的驗(yàn)證擴(kuò)展MN-HA-AE2,同時(shí)還可攜帶全0/1計(jì)算出來(lái)的MN-HA-Kl產(chǎn)生的驗(yàn)證擴(kuò)展 MN-HA-AE1)到外部代理�����。此時(shí)�,為了家鄉(xiāng)代理能夠正確處理來(lái)自CMIP以及PMIP終端的MIP注冊(cè)請(qǐng)求,MIP 注冊(cè)請(qǐng)求中需要指明是哪個(gè)密鑰(MN-HA-K1或MN-HA-K2��,此實(shí)施實(shí)例是MN-HA-K2)被用于 產(chǎn)生驗(yàn)證擴(kuò)展�����。步驟2,外部代理接收所述MIP注冊(cè)請(qǐng)求��,然后發(fā)送到家鄉(xiāng)代理���。步驟3����,家鄉(xiāng)代理收到攜帶有MN-HA-AE2的MIP注冊(cè)請(qǐng)求后�����,發(fā)送Access-Request 向AAA服務(wù)器請(qǐng)求MN-HA之間的兩個(gè)密鑰(MN-HA-K1以及MN-HA-K2)���。或者��,在 Access-Request 中指明只請(qǐng)求 MN-HA-K2��。步驟4��,AAA服務(wù)器返回Access-Acc印t(攜帶兩個(gè)密鑰一個(gè)由全0/1計(jì)算出來(lái)的MN-HA-Kl ����;一個(gè)是由真實(shí)HA地址計(jì)算出來(lái)的MN-HA-K2)到家鄉(xiāng)代理�;如果步驟3中指明了 僅僅請(qǐng)求MN-HA-K2�����,那么就只發(fā)送MN-HA-K2到家鄉(xiāng)代理����。步驟5,家鄉(xiāng)代理依據(jù)移動(dòng)IP注冊(cè)請(qǐng)求的指示選擇密鑰進(jìn)行驗(yàn)證��,本實(shí)施實(shí)例采 用MN-HA-K2驗(yàn)證并且處理MIP注冊(cè)請(qǐng)求�,然后發(fā)送MIP注冊(cè)報(bào)告到外部代理,攜帶真實(shí)HA 地址計(jì)算出來(lái)的MN-HA-K2產(chǎn)生的驗(yàn)證擴(kuò)展���。此時(shí)家鄉(xiāng)代理可以刪除MN-HA-K1��。步驟6���,外部代理處理MIP注冊(cè)請(qǐng)求,并且發(fā)送給PMIP Client�。圖9b對(duì)應(yīng)的密鑰分發(fā)流程中,可在第一次發(fā)送MIP注冊(cè)請(qǐng)求的時(shí)候用MN-HA-K1, 后面的MIP注冊(cè)請(qǐng)求以及應(yīng)答中用MN-HA-K2�。實(shí)現(xiàn)圖9b對(duì)應(yīng)的密鑰分發(fā)的系統(tǒng)包括代理移動(dòng)IP客戶(hù)端,家鄉(xiāng)代理及外部代 理����;所述代理移動(dòng)IP客戶(hù)端用于發(fā)送移動(dòng)IP注冊(cè)請(qǐng)求至外部代理,并攜帶真實(shí)HA 地址計(jì)算出來(lái)的MN-HA-K2產(chǎn)生的驗(yàn)證擴(kuò)展MN-HA-AE2��,同時(shí)還可攜帶全0/1計(jì)算出來(lái)的 MN-HA-Kl產(chǎn)生的驗(yàn)證擴(kuò)展MN-HA-AEl �����;為了家鄉(xiāng)代理能夠正確處理MIP注冊(cè)請(qǐng)求���,MIP注冊(cè) 請(qǐng)求中可指明是哪個(gè)密鑰(MN-HA-K1或MN-HA-K2�,此實(shí)施實(shí)例是MN-HA-K2)被用于產(chǎn)生驗(yàn) 證擴(kuò)展���。所述家鄉(xiāng)代理用于接收到移動(dòng)IP注冊(cè)請(qǐng)求,向AAA服務(wù)器請(qǐng)求MN-HA之間的兩個(gè) 密鑰(MN-HA-K1以及麗-HA-K2)�,或者,指明只請(qǐng)求麗-HA-K2�����,并于利用麗-HA-K2驗(yàn)證注冊(cè) 請(qǐng)求中的MN-HA-AE2成功后,發(fā)送攜帶真實(shí)HA地址計(jì)算出來(lái)的MN-HA-K2產(chǎn)生的認(rèn)證擴(kuò)展 的移動(dòng)IP注冊(cè)報(bào)告至外部代理��;所述外部代理處理MIP注冊(cè)請(qǐng)求����,并且發(fā)送給PMIP Client。麗不知道HA地址時(shí)只能用全0/全1或者其他特殊值計(jì)算MN-HA-K���,一個(gè)MN同時(shí) 和兩個(gè)HA通信的場(chǎng)景下�����,兩個(gè)HA將共同擁有一個(gè)相同的密鑰�����,這在安全上是不合理的�����。而 如上實(shí)施例中MIP注冊(cè)過(guò)程應(yīng)用從0/1計(jì)算出來(lái)的密鑰只是MN不知道HA地址時(shí)候的臨時(shí) 方案����;而在正式的密鑰MN-HA-K2計(jì)算公式中是有HA地址的�����,從而避免了安全上的不合理。上述本發(fā)明實(shí)施例的可替代的密鑰分發(fā)方案強(qiáng)調(diào)的是HA和AAA之間的交互�����,即 AAA需有能力下發(fā)兩個(gè)MN-HA-K����。至于MIP注冊(cè)請(qǐng)求以前的流程及其它流程,通過(guò)現(xiàn)有技術(shù) 就可以輕易的實(shí)現(xiàn)�,因此本方案并不強(qiáng)調(diào)也不關(guān)心,故省略對(duì)其的說(shuō)明����。以上具體實(shí)施方式
僅用于說(shuō)明本發(fā)明,而非用于限定本發(fā)明����。凡在本發(fā)明的精神 和原則之內(nèi),所做的任何修改�����、等同替換�����、改進(jìn)等�����,均應(yīng)包含在本發(fā)明的保護(hù)范圍之內(nèi)��。
權(quán)利要求
一種移動(dòng)IP密鑰的產(chǎn)生及分發(fā)方法���,其特征在于�,該方法包括家鄉(xiāng)代理接收來(lái)自移動(dòng)節(jié)點(diǎn)的移動(dòng)IP注冊(cè)請(qǐng)求�����,所述移動(dòng)IP注冊(cè)請(qǐng)求中攜帶所述移動(dòng)節(jié)點(diǎn)與家鄉(xiāng)代理之間的第一認(rèn)證擴(kuò)展���,所述第一認(rèn)證擴(kuò)展由移動(dòng)節(jié)點(diǎn)與家鄉(xiāng)代理之間的密鑰產(chǎn)生�����,所述移動(dòng)節(jié)點(diǎn)與家鄉(xiāng)代理之間的密鑰是根據(jù)IP地址替代值計(jì)算的����;向認(rèn)證服務(wù)器請(qǐng)求第一密鑰和第二密鑰,所述第一密鑰是利用所述IP地址替代值計(jì)算的移動(dòng)節(jié)點(diǎn)與家鄉(xiāng)代理之間的密鑰���,所述第二密鑰是利用家鄉(xiāng)代理IP地址計(jì)算出的移動(dòng)節(jié)點(diǎn)與家鄉(xiāng)代理之間的密鑰����;利用從所述認(rèn)證服務(wù)器獲得的所述第一密鑰驗(yàn)證所述移動(dòng)IP注冊(cè)請(qǐng)求中的所述第一認(rèn)證擴(kuò)展��,并于注冊(cè)成功后發(fā)送移動(dòng)IP注冊(cè)報(bào)告至外部代理�����,所述移動(dòng)IP注冊(cè)報(bào)告攜帶由所述第二密鑰產(chǎn)生的第二認(rèn)證擴(kuò)展�����,以使所述外部代理發(fā)送攜帶所述第二認(rèn)證擴(kuò)展的移動(dòng)IP注冊(cè)報(bào)告至所述移動(dòng)節(jié)點(diǎn)����,以使所述移動(dòng)節(jié)點(diǎn)利用計(jì)算的第二密鑰驗(yàn)證所述第二認(rèn)證擴(kuò)展。
2.根據(jù)權(quán)利要求1所述的方法�����,其特征在于所述移動(dòng)IP注冊(cè)請(qǐng)求中攜帶指示由IP地址替代值計(jì)算出的移動(dòng)節(jié)點(diǎn)與家鄉(xiāng)代理之間 的密鑰來(lái)驗(yàn)證攜帶的認(rèn)證擴(kuò)展的指示信息���。
3.一種移動(dòng)IP密鑰的產(chǎn)生及分發(fā)系統(tǒng)��,其特征在于����,該系統(tǒng)包括家鄉(xiāng)代理及外部代理�;所述家鄉(xiāng)代理用于接收到來(lái)自移動(dòng)節(jié)點(diǎn)的移動(dòng)IP注冊(cè)請(qǐng)求,所述移動(dòng)IP注冊(cè)請(qǐng)求中 攜帶所述移動(dòng)節(jié)點(diǎn)與家鄉(xiāng)代理之間的第一認(rèn)證擴(kuò)展���,所述第一認(rèn)證擴(kuò)展由移動(dòng)節(jié)點(diǎn)與家鄉(xiāng) 代理之間的密鑰產(chǎn)生���,所述移動(dòng)節(jié)點(diǎn)與家鄉(xiāng)代理之間的密鑰是根據(jù)IP地址替代值計(jì)算的; 還用于向認(rèn)證服務(wù)器請(qǐng)求第一密鑰和第二密鑰����,所述第一密鑰是利用所述IP地址替代值 計(jì)算的移動(dòng)節(jié)點(diǎn)與家鄉(xiāng)代理之間的密鑰,所述第二密鑰是利用家鄉(xiāng)代理IP地址計(jì)算出的 移動(dòng)節(jié)點(diǎn)與家鄉(xiāng)代理之間的密鑰��;利用從所述認(rèn)證服務(wù)器獲得的所述第一密鑰驗(yàn)證所述移 動(dòng)IP注冊(cè)請(qǐng)求中的所述第一認(rèn)證擴(kuò)展����,并于注冊(cè)成功后發(fā)送移動(dòng)IP注冊(cè)報(bào)告至外部代理, 所述移動(dòng)IP注冊(cè)報(bào)告攜帶由所述第二密鑰產(chǎn)生的第二認(rèn)證擴(kuò)展��;所述外部代理用于發(fā)送攜帶所述第二認(rèn)證擴(kuò)展的移動(dòng)IP注冊(cè)報(bào)告至移動(dòng)節(jié)點(diǎn);以使 所述移動(dòng)節(jié)點(diǎn)利用計(jì)算的第二密鑰驗(yàn)證所述第二認(rèn)證擴(kuò)展����。
4.一種移動(dòng)IP密鑰的產(chǎn)生及分發(fā)方法,其特征在于����,該方法包括外部代理接收代理移動(dòng)IP客戶(hù)端發(fā)送的移動(dòng)IP注冊(cè)請(qǐng)求,所述移動(dòng)IP注冊(cè)請(qǐng)求中攜 帶利用家鄉(xiāng)代理IP地址計(jì)算的移動(dòng)節(jié)點(diǎn)與家鄉(xiāng)代理之間的密鑰產(chǎn)生的認(rèn)證擴(kuò)展�;家鄉(xiāng)代理接收外部代理發(fā)送的移動(dòng)IP注冊(cè)請(qǐng)求,向認(rèn)證服務(wù)器請(qǐng)求利用家鄉(xiāng)代理IP 地址計(jì)算出的移動(dòng)節(jié)點(diǎn)與家鄉(xiāng)代理之間的密鑰�;家鄉(xiāng)代理利用從認(rèn)證服務(wù)器獲得的所述密鑰驗(yàn)證所述移動(dòng)IP注冊(cè)請(qǐng)求中的所述認(rèn)證 擴(kuò)展,并于注冊(cè)成功后發(fā)送移動(dòng)IP注冊(cè)報(bào)告至外部代理�,所述移動(dòng)IP注冊(cè)報(bào)告中攜帶由所 述密鑰產(chǎn)生的認(rèn)證擴(kuò)展;外部代理發(fā)送攜帶所述認(rèn)證擴(kuò)展的移動(dòng)IP注冊(cè)報(bào)告至所述代理移動(dòng)IP客戶(hù)端��。
5.根據(jù)權(quán)利要求4所述的方法�����,其特征在于所述移動(dòng)IP注冊(cè)請(qǐng)求中攜帶指示由家鄉(xiāng)代理IP地址計(jì)算出的移動(dòng)節(jié)點(diǎn)與家鄉(xiāng)代理之 間的密鑰來(lái)驗(yàn)證攜帶的認(rèn)證擴(kuò)展的指示信息�。
6.一種移動(dòng)IP密鑰的產(chǎn)生及分發(fā)系統(tǒng),其特征在于�����,該系統(tǒng)包括家鄉(xiāng)代理及外部代理;所述外部代理用于接收代理移動(dòng)IP客戶(hù)端發(fā)送的移動(dòng)IP注冊(cè)請(qǐng)求���,所述移動(dòng)IP注 冊(cè)請(qǐng)求中攜帶利用家鄉(xiāng)代理IP地址計(jì)算的移動(dòng)節(jié)點(diǎn)與家鄉(xiāng)代理之間的密鑰產(chǎn)生的認(rèn)證擴(kuò) 展���;所述家鄉(xiāng)代理用于接收外部代理發(fā)送的移動(dòng)IP注冊(cè)請(qǐng)求����,向認(rèn)證服務(wù)器請(qǐng)求利用家 鄉(xiāng)代理IP地址計(jì)算出的移動(dòng)節(jié)點(diǎn)與家鄉(xiāng)代理之間的密鑰,利用從認(rèn)證服務(wù)器獲得的所述 密鑰驗(yàn)證所述移動(dòng)IP注冊(cè)請(qǐng)求中的所述認(rèn)證擴(kuò)展����,并于注冊(cè)成功后發(fā)送移動(dòng)IP注冊(cè)報(bào)告 至外部代理,所述移動(dòng)IP注冊(cè)報(bào)告中攜帶由所述密鑰產(chǎn)生的認(rèn)證擴(kuò)展�;所述外部代理還用于發(fā)送攜帶所述認(rèn)證擴(kuò)展的移動(dòng)IP注冊(cè)報(bào)告至所述代理移動(dòng)IP客 戶(hù)端。
7.一種移動(dòng)IP密鑰的產(chǎn)生及分發(fā)方法����,其特征在于,該方法包括移動(dòng)節(jié)點(diǎn)發(fā)送移動(dòng)IP注冊(cè)請(qǐng)求�,該請(qǐng)求攜帶移動(dòng)節(jié)點(diǎn)與家鄉(xiāng)代理之間的第一認(rèn)證擴(kuò) 展,該第一認(rèn)證擴(kuò)展由IP地址替代值計(jì)算的移動(dòng)節(jié)點(diǎn)與家鄉(xiāng)代理之間的密鑰產(chǎn)生����;家鄉(xiāng)代理接收到移動(dòng)IP注冊(cè)請(qǐng)求��,向認(rèn)證服務(wù)器請(qǐng)求利用所述IP地址替代值計(jì)算的 移動(dòng)節(jié)點(diǎn)與家鄉(xiāng)代理之間的第一密鑰以及利用家鄉(xiāng)代理IP地址計(jì)算出的移動(dòng)節(jié)點(diǎn)與家鄉(xiāng) 代理之間的第二密鑰���;家鄉(xiāng)代理利用從認(rèn)證服務(wù)器獲得的所述第一密鑰驗(yàn)證注冊(cè)請(qǐng)求中的所述第一認(rèn)證擴(kuò) 展,并于注冊(cè)成功后發(fā)送移動(dòng)IP注冊(cè)報(bào)告至外部代理����,該注冊(cè)報(bào)告攜帶由所述第二密鑰產(chǎn) 生的第二認(rèn)證擴(kuò)展;外部代理發(fā)送攜帶第二認(rèn)證擴(kuò)展的注冊(cè)報(bào)告至移動(dòng)節(jié)點(diǎn)��,移動(dòng)節(jié)點(diǎn)利用計(jì)算的第二密 鑰驗(yàn)證所述第二認(rèn)證擴(kuò)展���。
8.一種移動(dòng)IP密鑰的產(chǎn)生及分發(fā)系統(tǒng)�,其特征在于��,該系統(tǒng)包括移動(dòng)節(jié)點(diǎn)�����,家鄉(xiāng)代理 及外部代理����;所述移動(dòng)節(jié)點(diǎn)用于發(fā)送移動(dòng)IP注冊(cè)請(qǐng)求,該請(qǐng)求攜帶由IP地址替代值計(jì)算的移動(dòng)節(jié) 點(diǎn)與家鄉(xiāng)代理之間的密鑰產(chǎn)生的第一認(rèn)證擴(kuò)展;所述家鄉(xiāng)代理用于接收到移動(dòng)IP注冊(cè)請(qǐng)求���,向認(rèn)證服務(wù)器請(qǐng)求第一密鑰以及利用家 鄉(xiāng)代理IP地址計(jì)算出的移動(dòng)節(jié)點(diǎn)與家鄉(xiāng)代理之間的第二密鑰����,并于利用所述第一密鑰驗(yàn) 證注冊(cè)請(qǐng)求中的所述第一認(rèn)證擴(kuò)展成功后�,發(fā)送攜帶由所述第二密鑰產(chǎn)生的第二認(rèn)證擴(kuò)展 的移動(dòng)IP注冊(cè)報(bào)告至外部代理;所述外部代理用于發(fā)送攜帶第二認(rèn)證擴(kuò)展的注冊(cè)報(bào)告至移動(dòng)節(jié)點(diǎn)���; 所述移動(dòng)節(jié)點(diǎn)利用計(jì)算的第二密鑰驗(yàn)證所述第二認(rèn)證擴(kuò)展��。
9.一種移動(dòng)IP密鑰的產(chǎn)生及分發(fā)方法,其特征在于�,該方法包括代理移動(dòng)IP客戶(hù)端發(fā)送移動(dòng)IP注冊(cè)請(qǐng)求至外部代理,并攜帶利用家鄉(xiāng)代理IP地址計(jì) 算的移動(dòng)節(jié)點(diǎn)與家鄉(xiāng)代理之間的密鑰產(chǎn)生的認(rèn)證擴(kuò)展��;家鄉(xiāng)代理接收到移動(dòng)IP注冊(cè)請(qǐng)求����,向認(rèn)證服務(wù)器請(qǐng)求利用家鄉(xiāng)代理IP地址計(jì)算出的 移動(dòng)節(jié)點(diǎn)與家鄉(xiāng)代理之間的密鑰;家鄉(xiāng)代理利用從認(rèn)證服務(wù)器獲得的所述密鑰驗(yàn)證注冊(cè)請(qǐng)求中的所述認(rèn)證擴(kuò)展�,并于注 冊(cè)成功后發(fā)送移動(dòng)IP注冊(cè)報(bào)告至外部代理,該注冊(cè)報(bào)告攜帶由所述密鑰產(chǎn)生的認(rèn)證擴(kuò)展����;外地代理發(fā)送攜帶所述認(rèn)證擴(kuò)展的注冊(cè)報(bào)告至代理移動(dòng)IP客戶(hù)端���。
10. 一種移動(dòng)IP密鑰的產(chǎn)生及分發(fā)系統(tǒng),其特征在于����,該系統(tǒng)包括代理移動(dòng)IP客戶(hù) 端,家鄉(xiāng)代理及外部代理��;所述代理移動(dòng)IP客戶(hù)端用于發(fā)送移動(dòng)IP注冊(cè)請(qǐng)求至外部代理��,并攜帶利用家鄉(xiāng)代理 IP地址計(jì)算的移動(dòng)節(jié)點(diǎn)與家鄉(xiāng)代理之間的密鑰產(chǎn)生的認(rèn)證擴(kuò)展�����;所述家鄉(xiāng)代理用于接收到移動(dòng)IP注冊(cè)請(qǐng)求����,向認(rèn)證服務(wù)器請(qǐng)求利用家鄉(xiāng)代理IP地址 計(jì)算出的移動(dòng)節(jié)點(diǎn)與家鄉(xiāng)代理之間的密鑰,并于利用所述鑰驗(yàn)證注冊(cè)請(qǐng)求中的所述認(rèn)證擴(kuò) 展成功后����,發(fā)送攜帶由所述密鑰產(chǎn)生的認(rèn)證擴(kuò)展的移動(dòng)IP注冊(cè)報(bào)告至外部代理; 所述外地代理用于發(fā)送攜帶所述認(rèn)證擴(kuò)展的注冊(cè)報(bào)告至代理移動(dòng)IP客戶(hù)端���。
全文摘要
本發(fā)明實(shí)施例提供移動(dòng)IP密鑰的產(chǎn)生及分發(fā)方法和系統(tǒng)�,家鄉(xiāng)代理接收來(lái)自移動(dòng)節(jié)點(diǎn)的移動(dòng)IP注冊(cè)請(qǐng)求,所述移動(dòng)IP注冊(cè)請(qǐng)求中攜帶所述移動(dòng)節(jié)點(diǎn)與家鄉(xiāng)代理之間的第一認(rèn)證擴(kuò)展����,所述第一認(rèn)證擴(kuò)展由移動(dòng)節(jié)點(diǎn)與家鄉(xiāng)代理之間的密鑰產(chǎn)生,所述移動(dòng)節(jié)點(diǎn)與家鄉(xiāng)代理之間的密鑰是根據(jù)IP地址替代值計(jì)算的�;向認(rèn)證服務(wù)器請(qǐng)求第一密鑰和第二密鑰,所述第一密鑰是利用所述IP地址替代值計(jì)算的移動(dòng)節(jié)點(diǎn)與家鄉(xiāng)代理之間的密鑰����,所述第二密鑰是利用家鄉(xiāng)代理IP地址計(jì)算出的移動(dòng)節(jié)點(diǎn)與家鄉(xiāng)代理之間的密鑰;利用從所述認(rèn)證服務(wù)器獲得的所述第一密鑰驗(yàn)證注冊(cè)請(qǐng)求中的所述第一認(rèn)證擴(kuò)展��,并于注冊(cè)成功后發(fā)送移動(dòng)IP注冊(cè)報(bào)告至外部代理����。
文檔編號(hào)H04W12/04GK101917715SQ20101024452
公開(kāi)日2010年12月15日 申請(qǐng)日期2007年2月15日 優(yōu)先權(quán)日2006年7月12日
發(fā)明者吳建軍, 梁文亮 申請(qǐng)人:華為技術(shù)有限公司