專利名稱:一種分離機制移動性管理系統(tǒng)的認證授權(quán)方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種分離機制移動性管理系統(tǒng)的認證授權(quán)方法。
背景技術(shù):
文獻(申請?zhí)?01110152731.4)提出了分離機制下移動性管理的網(wǎng)絡(luò)模型�,該方案充分利用分離機制地址映射和代理移動IPv6 (Proxy MobileIPv6, PMIPv6)中移動節(jié)點(Mobile Node,MN)身份和位置分離的優(yōu)點�,同時也解決了由于PMIPv6的本地移動錨點既是處理移動控制信令的控制網(wǎng)關(guān),又是轉(zhuǎn)發(fā)MN數(shù)據(jù)的數(shù)據(jù)網(wǎng)關(guān)導(dǎo)致其成為PMIPv6網(wǎng)絡(luò)結(jié)構(gòu)中的單故障節(jié)點�。分離機制移動性管理系統(tǒng)實現(xiàn)了身份與位置分離、數(shù)據(jù)轉(zhuǎn)發(fā)與控制信令分離��、接入網(wǎng)與核心網(wǎng)分離�����。針對三種分離機制設(shè)計了接入網(wǎng)關(guān)(Access Gate Way, AGff)>控制網(wǎng)關(guān)(Control Gate Way, CGW)和數(shù)據(jù)網(wǎng)關(guān)(Data Gate Way, DGff)0身份與位置分離是在接入網(wǎng)內(nèi)實現(xiàn)標(biāo)識主機身份的家鄉(xiāng)地址與可路由的用于標(biāo)識MN當(dāng)前位置的接入地址的分離。數(shù)據(jù)轉(zhuǎn)發(fā)與控制信令分離是通過數(shù)據(jù)網(wǎng)關(guān)實現(xiàn)數(shù)據(jù)轉(zhuǎn)發(fā)��,控制網(wǎng)關(guān)實現(xiàn)移動控制信令的管理����。接入網(wǎng)與核心網(wǎng)分離是借鑒分離映射思想,將接入網(wǎng)內(nèi)MN的家鄉(xiāng)地址映射為在核心網(wǎng)全局可路由的核心地址�����。分離機制移動性管理只是ー種移動性管理方法���,對于接入網(wǎng)絡(luò)的移動節(jié)點提供網(wǎng)絡(luò)服務(wù)����,但是對于移動節(jié)點的合法性并沒有進行考慮�����,也就是所有的移動節(jié)點都能通過分離機制移動性管理框架獲得網(wǎng)絡(luò)服務(wù)��。由于無法保證移動節(jié)點的合法性和可靠性,因此給網(wǎng)絡(luò)的安全性帶來威脅����。同時����,控制網(wǎng)關(guān)CGW存儲了所有移動節(jié)點的家鄉(xiāng)網(wǎng)絡(luò)前綴信息,缺少第三方實體對家鄉(xiāng)網(wǎng)絡(luò)前綴的存儲和分配��。本發(fā)明提出了一種分離機制移動性管理系統(tǒng)的認證授權(quán)方法��,通過增加AAA(Authentication, Authorization and Accounting)服務(wù)器實體����,使用 Diameter [2]安全協(xié)議,PANA (Protocol for Carrying Authenticationfor Network Access) [3]協(xié)議���,EAP (Extensible Authentication Protocol) [4]協(xié)議����,ERP (ΕΑΡ Re-authenticationProtocol) [5]協(xié)議和 EAP-PSK (APre-Shared Key Extensible Authentication ProtocolMethod)[6]認證機制實現(xiàn)對移動節(jié)點進行接入認證和服務(wù)授權(quán)��,保證接入網(wǎng)絡(luò)的移動節(jié)點的合法性和網(wǎng)絡(luò)的安全性���。本方案提出了接入認證的四種場景家鄉(xiāng)域初始認證���,家鄉(xiāng)域重認證����,外地域初始認證和外地域重認證��。與本發(fā)明相關(guān)的現(xiàn)有技術(shù)ーRFC5779[7]介紹了在��?]\0 ¥6域內(nèi)���?]\0 ¥6實體(移動接入網(wǎng)關(guān)(]\101^164(^688Gateway, MAG)和本地移動錨點(Local Mobility Anchor, LMA))和家鄉(xiāng)服務(wù)器 HAAA (HomeAAA)之間的認證����、授權(quán)和計費(AAA)的交互�。AAA的交互主要用于在PMIPv6實體和遠程策略存儲之間下載更新移動節(jié)點的策略配置文件,以及認證移動節(jié)點的合法性���。MAG和LMA之間使用代理轉(zhuǎn)交地址(Proxy Careof Address, PCoA)和 LMA 地址(LMA Address, LMAA)建立雙向隧道�����。MAG從遠程策略存儲中下載和更新移動節(jié)點的策略配置文件可以有效地緩解大規(guī)模PMIPv6域的網(wǎng)絡(luò)配置和維護�����,同時通過使用安全協(xié)議和安全算法也能檢測移動節(jié)點的合法性���。同一個遠程策略存儲也可以更新LMA為移動節(jié)點提供與移動服務(wù)相關(guān)的信息,如移動節(jié)點家鄉(xiāng)網(wǎng)絡(luò)前綴(Home NetworkPrefix,HNP)0如圖I所示�����,HAAA實現(xiàn)了遠程策略存儲服務(wù)器的功能����,消息(I)為MAG和HAAA之間基于Diameter的AAA認證交互,消息(2)為LMA和HAAA之間基于Diameter的AAA授權(quán)交互?,F(xiàn)有技術(shù)ー的缺點PMIPv6的LMA在移動性管理過程中,既是處理移動控制信令的控制網(wǎng)關(guān)�����,轉(zhuǎn)發(fā)匪數(shù)據(jù)的數(shù)據(jù)網(wǎng)關(guān)�����,又是和HAAA進行授權(quán)交互的客戶端��,這樣的設(shè)計極其容易導(dǎo)致LMA成為PMIPv6網(wǎng)絡(luò)結(jié)構(gòu)中的單故障節(jié)點。PMIPV6中MAG和HAAA的認證交互只考慮了域內(nèi)的場景����,沒有考慮到MN跨域切換后跨域認證的場景;同吋�,MN在不同接入網(wǎng)關(guān)連續(xù)切換時,都需要進行完整的初始認證過程����,沒有考慮采用重認證過程來減少信令交互和認證時延。
發(fā)明內(nèi)容
為解決以上現(xiàn)有技術(shù)的不足�,本發(fā)明提供一種分離機制移動性管理系統(tǒng)的認證授權(quán)方法。本發(fā)明的目的通過以下技術(shù)方案來實現(xiàn)一種分離機制移動性管理系統(tǒng)的認證授權(quán)方法����,本方法首先將接入分離機制移動性管理系統(tǒng)的移動節(jié)點進行身份認證,認證成功后各個該系統(tǒng)中的功能實體通過移動信令交互實現(xiàn)路由的添加和隧道的建立���,移動節(jié)點獲取存儲在服務(wù)器上的家鄉(xiāng)網(wǎng)絡(luò)前綴信息����,此時移動節(jié)點可以獲得網(wǎng)絡(luò)服務(wù)��,從而實現(xiàn)了分離機制移動管理對移動節(jié)點的授權(quán)��;該方法包括家鄉(xiāng)域初始認證、家鄉(xiāng)域重認證��、外地域初始認證��、外地域重認證和對移動節(jié)點的授權(quán)���。進ー步��,所述家鄉(xiāng)域初始認證具體步驟為步驟一MN接入家鄉(xiāng)域的AGWl時,發(fā)送PANA初始化消息PANA-Client-Initiation, PCI����,表明 MN 處于 PANA 初始化階段;步驟ニ AGW1收到PCI消息后��,若支持PANA協(xié)議并提供接入認證服務(wù)則發(fā)送PANA認證請求開始消息PANA-Auth-Request Start,PAR(S),消息中包含需要的偽隨機算法和完整性算法��,否則將PCI消息丟棄�;步驟三麗收到PAR(S)消息,若其支持這種偽隨機算法和完整性算法�,則發(fā)送PANA認證應(yīng)答開始消息PANA-Auth-Answer(S), PAA(S),消息中包含相同的算法;步驟四AGW1收到含有相同算法類型的PAA⑶消息����,表明可以繼續(xù)PANA認證過程���,此時AGWl發(fā)送Start類型的ERP初始消息EAPInitiate/Re-auth-Start,通告所在域的域名,MN收到該消息����,和域名進行對比,確定現(xiàn)在接入家鄉(xiāng)域�����,MN讀取配置信息接入域名����,注冊標(biāo)識位和注冊生存時間,判斷需要進行家鄉(xiāng)域初始認證�,此時MN不回復(fù)任何信息,等待AGWl發(fā)送標(biāo)識符請求�;步驟五在生存時間內(nèi)AGWl發(fā)送Start類型的ERP初始消息沒有收到麗的回復(fù),表明執(zhí)行初始認證過程����,此時AGWl發(fā)送EAP標(biāo)識符請求消息EAP-Request/Identity請求匪的標(biāo)識符,該消息承載在PAR消息中��;
步驟六MN將標(biāo)識符通過EAP標(biāo)識符應(yīng)答消息EAP-Response/Identity傳給AGWl��,該消息承載在PAA消息中;步驟七AGW1收到MN的身份標(biāo)識符�����,通過Diameter EAP請求DiameterEAPRequest, EAP/DER消息發(fā)送給HAAA服務(wù)器�����,HAAA服務(wù)器通過DiameterEAP應(yīng)答DiameterEAP Answer, EAP/DEA消息發(fā)送應(yīng)答消息��;步驟八HAAA服務(wù)器收到麗的身份標(biāo)識符�,若該標(biāo)識符是合法的用戶名,則開始完整的EAP-PSK認證過程���,移動節(jié)點MN和HAAA服務(wù)器分別作為客戶端和服務(wù)器端進行EAP-PSK認證交互,AGffl作為中間實體通過進程間通信方式實現(xiàn)PANA進程和Diameter進程進行通信����,傳輸EAP-PSK認證數(shù)據(jù),數(shù)據(jù)封裝在EAP-Payload屬性值對EAP-PayloadAttribute Value Pair, EAP-Payload AVP 中���;步驟九通過兩組EAP-PSK信令交互后���,MN和HAAA服務(wù)器實現(xiàn)了雙向認證�。此時HAAA服務(wù)器發(fā)送認證成功消息EAP/DEA EAP-Payload/success,并且將主會話密鑰MasterSession Key, MSK發(fā)送給AGWl��,使得AGWl和麗建立安全關(guān)聯(lián)���;步驟十麗收到含有認證成功結(jié)果碼屬性值對的PANA認證結(jié)束請求消息PANA-Auth-Request (C), PAR(C),至此 MN 和 HAAA 間的雙向認證結(jié)束����;步驟^^一 =AGffl收到MN回復(fù)的PANA認證結(jié)束應(yīng)答消息PANA-Auth-Answer(C)��,PAA (C)表明麗家鄉(xiāng)域初始認證成功���。�����。進ー步�,所述家鄉(xiāng)域重認證具體步驟為步驟ー MN接入家鄉(xiāng)域的AGW2吋�����,發(fā)送PCI消息�,表明匪處于PANA初始化階段;步驟ニ AGW2收到PCI消息后�����,若支持PANA協(xié)議并提供接入認證服務(wù)則發(fā)送PAR(S)消息,消息中包含需要的偽隨機算法和完整性算法�,否則將PCI消息丟棄;步驟三MN收到PAR(S)消息���,若其支持這種偽隨機算法和完整性算法�����,則發(fā)送PAA⑶消息���,消息中包含相同的算法;步驟四AGW2收到含有相同算法類型的PAA(S)消息���,表明可以繼續(xù)PANA認證過程�����,此時AGW2發(fā)送Start類型的ERP初始消息,通告所在域的域名�����;麗收到該消息,和域名進行對比��,確定現(xiàn)在接入家鄉(xiāng)域����,MN讀取配置信息接入域名,注冊標(biāo)識位和注冊生存時間�,接入域名相同,注冊標(biāo)識位為已注冊��,且生存時間沒有過期����,此時移動節(jié)點需要進行家鄉(xiāng)域重認證,發(fā)送ERP初始消息EAP-Initiate/Re-auth開始重認證過程,消息中含有接入域名TLV����、KeyName-NAITLV和經(jīng)過子密鑰加密過的認證標(biāo)識,用于完整性保護和HAAA對MN的重認證過程進行認證��,該消息承載在PAA消息中����;步驟五AGW2收到PAA消息,提取出ERP初始消息后,通過進程間通信的方式發(fā)送給 Diameter 進程���,Diameter 進程將其封裝在 Diameter ERP 請求 Diameter ERP Request,ERP/DER 消息的 EAP-Payload AVP 中發(fā)送給 HAAA �����;步驟六HAAA服務(wù)器收到ERP初始消息表明匪執(zhí)行重認證過程��,則HAAA使用匪初始認證中生成的子密鑰對收到的數(shù)據(jù)進行解密�����,若計算的認證標(biāo)識和收到的相同�����,則消息完整性良好�,且MN可以進行重認證過程�;步驟七HAAA服務(wù)器對匪的ERP初始消息認證成功后,構(gòu)造ERP結(jié)束消息EAP-Finish/Re-auth����,該消息包括接入域名TLV�、密鑰生存時間TV、KeyName-NAI TLV和經(jīng)過子密鑰加密過的認證標(biāo)識�,Diameter進程將ERP結(jié)束消息封裝在 Diameter ERP 應(yīng)答 Diameter ERP Answer, ERP/DEA 消息的 EAP-Payload AVP 中發(fā)送給AGW2 ����;步驟八AGW2中的Diameter進程接收到ERP/DEA消息���,提取出ERP結(jié)束消息��,將其封裝在PAR消息中發(fā)送給麗�����;步驟九MN收到PAR消息后���,從ERP結(jié)束消息中提取出密鑰生存時間,且計算認證標(biāo)識��,若計算結(jié)果和收到的認證標(biāo)識相同���,則MN家鄉(xiāng)域重認證成功�。進ー步��,所述外地域初始認證具體步驟為步驟ー麗接入外地域的AGW3時���,發(fā)送PCI消息��,表明麗處于PANA初始化階段��;
步驟ニ AGW3收到PCI消息后���,若支持PANA協(xié)議并提供接入認證服務(wù)則發(fā)送PAR(S)消息����,消息中包含需要的偽隨機算法和完整性算法���,否則將PCI消息丟棄�;步驟三麗收到PAR(S)消息����,若其支持這種偽隨機算法和完整性算法,則發(fā)送PAA⑶消息�,消息中包含相同的算法;步驟四AGW3收到含有相同算法類型的PAA⑶消息���,表明可以繼續(xù)PANA認證過程��,此時AGW3發(fā)送Start類型的ERP初始消息��,通告所在域的域名�����;MN收到該消息�,和域名進行對比��,確定現(xiàn)在接入外地域����,MN讀取配置信息接入域名,注冊標(biāo)識位和注冊生存時間判斷需要進行外地域初始認證�,此時MN不回復(fù)任何信息,等待AGW3發(fā)送標(biāo)識符請求��;步驟五在生存時間內(nèi)AGW3發(fā)送Start類型的ERP初始消息沒有收到麗的回復(fù)�����,表明執(zhí)行初始認證過程��,此時AGW3發(fā)送EAP請求標(biāo)識符消息請求MN的標(biāo)識符����,該消息承載在PAR消息中�;步驟六:匪將標(biāo)識符通過EAP應(yīng)答消息傳給AGW3�,該消息承載在PAS消息中;步驟七AGW3收到MN的身份標(biāo)識符�����,通過EAP/DER消息發(fā)送給FAAA服務(wù)器����,F(xiàn)AAA服務(wù)器提取出MN的身份標(biāo)識符,此時FAAA上沒有MN的密鑰相關(guān)信息���,從而FAAA服務(wù)器不能對MN進行認證���,需要HAAA服務(wù)器對MN進行合法性認證,所以AGW3和FAAA作為中間實體�,需要傳送MN和HAAA之間的信息;此時FAAA向HAAA發(fā)送EAP/DER消息��,該消息包括承載匪身份標(biāo)識符的EAP-Payload AVP,指定域的根密鑰請求Domain-Specific RootKeyRequest, DSRK RequestAVPjP FAAA 的域名 AVP ��;步驟八-MAA服務(wù)器收到EAP/DER消息后����,提取匪的身份標(biāo)識符���,若該標(biāo)識符是合法的用戶名���,則開始完整的EAP-PSK認證過程����,移動節(jié)點MN和HAAA服務(wù)器分別作為客戶端和服務(wù)器端進行EAP-PSK認證交互����,AGW3作為中間實體通過進程間通信方式實現(xiàn)PANA進程和Diameter進程進行通信,F(xiàn)AAA作為中間實體通過進程間通信方式實現(xiàn)FAAA的Diameter服務(wù)器進程和客戶端進程進行通信�,進行傳輸EAP-PSK認證數(shù)據(jù),數(shù)據(jù)封裝在EAP-Payload AVP 中�����;步驟九通過兩組EAP-PSK信令交互后��,MN和HAAA服務(wù)器實現(xiàn)了雙向認證��。此時HAAA服務(wù)器發(fā)送認證成功消息�����,并且將相應(yīng)子密鑰MSK、DSRK發(fā)送給FAAA��,MSK用于本次會話�����,DSRK存在FAAA中用于MN下次接入外地域進行重認證過程����,F(xiàn)AAA將MSK和認證成功消息發(fā)送給AGW3,AGW3向麗發(fā)送PAR(C)消息����;步驟十MN收到含有認證成功結(jié)果碼屬性值對的PAR(C)消息,至此MN和HAAA間的雙向認證結(jié)束���;步驟^^一 AGW3收到麗回復(fù)的PAA (C)消息����,表明麗外地域初始認證成功���。
進ー步����,所述外地域重認證具體步驟為 步驟ー麗接入外地域的AGW4時,發(fā)送PCI消息��,表明麗處于PANA初始化階段���;步驟ニ AGW4收到PCI消息后��,若支持PANA協(xié)議并提供接入認證服務(wù)則發(fā)送PAR(S)消息�����,消息中包含需要的偽隨機算法和完整性算法,否則將PCI消息丟棄���;步驟三匪收到PAR(S)消息��,若其支持這種偽隨機算法和完整性算法��,則發(fā)送PAA⑶消息��,消息中包含相同的算法�;步驟四AGW4收到含有相同算法類型的PAA⑶消息���,表明可以繼續(xù)PANA認證過程��,此時AGW4發(fā)送Start類型的ERP初始消息�,通告所在域的域名;麗收到該消息��,和域名進行對比����,確定現(xiàn)在接入外地域,麗讀取配置信息接入域名���,注冊標(biāo)識位和注冊生存時間���,接入域名相同,注冊標(biāo)識位為已注冊�,且生存時間沒有過期,此時移動節(jié)點需要進行外地域重認證�,發(fā)送ERP初始消息開始重認證過程,消息中含有接入域名TLV�、KeyName-NAITLV和經(jīng)過子密鑰加密過的認證標(biāo)識,用于完整性保護和FAAA對MN的重認證 過程進行認證����,該消息承載在PAA消息中;步驟五AGW4收到PAA消息,提取出ERP初始消息后�,通過進程間通信的方式發(fā)送給Diameter進程,Diameter進程將其封裝在ERP/DER消息的EAP-Payload AVP中發(fā)送給FAAA ��;步驟六FAAA服務(wù)器收到ERP初始消息表明匪執(zhí)行重認證過程�,則FAAA使用匪初始認證中生成的子密鑰對收到的數(shù)據(jù)進行解密,若計算的認證標(biāo)識和收到的相同�����,則消息完整性良好��,且MN可以進行重認證過程��;步驟七FAAA服務(wù)器對匪的ERP初始消息認證成功后��,構(gòu)造ERP結(jié)束消息��,該消息包括接入域名TLV���、密鑰生存時間TV和KeyName-NAI TLV和經(jīng)過子密鑰加密過的認證標(biāo)識,Diamet er進程將ERP結(jié)束消息封裝在ERP/DEA消息的EAP-Payload AVP中發(fā)送給AGW4 ����;步驟八AGW4中的Diameter進程接收到ERP/DEA消息,提取出ERP結(jié)束消息,將其封裝在PM消息中發(fā)送給麗�����;步驟九MN收到PAA消息后�,從ERP結(jié)束消息中提取出密鑰生存時間,且計算認證標(biāo)識�,若計算結(jié)果和收到的認證標(biāo)識相同,則MN外地域重認證成功�。進ー步,所述對移動節(jié)點的授權(quán)具體步驟為步驟ー AGW1對麗進行接入檢測����,并且對麗的身份描述符認證成功后,AGffl向CGffl發(fā)送代理綁定更新Proxy Binding Update, PBU以注冊更新MN的位置信息���;步驟2 =CGffl對代理綁定更新消息進行解析處理�,CGffl提取出移動節(jié)點的身份標(biāo)識符后向AAA服務(wù)器請求MN的家鄉(xiāng)網(wǎng)絡(luò)前綴���;步驟3 =HAAA服務(wù)器根據(jù)MN的身份標(biāo)識符提取相應(yīng)的家鄉(xiāng)網(wǎng)路前綴�,并發(fā)送給CGffl ���;步驟4 =CGffl提取出匪的家鄉(xiāng)網(wǎng)絡(luò)前綴之后�,發(fā)送隧道建立請求消息;步驟5 =DGffl動態(tài)分配ー個核心地址用于與MN的家鄉(xiāng)地址進行映射操作�����,并將家鄉(xiāng)地址與核心地址的映射關(guān)系寫入本地映射服務(wù)器的緩存中�。同吋,DGWl把關(guān)于MN的家鄉(xiāng)地址與核心地址的映射關(guān)系發(fā)送給全局映射服務(wù)器�����;步驟6 =DGffl建立AGWl到DGWl的隧道的一端��,并向CGWl發(fā)送隧道確認消息����;步驟7 =CGffl收到隧道確認消息后,向AGWl發(fā)送代理綁定應(yīng)答ProxyBindingAcknowledgement, PBA數(shù)據(jù)包�,PBA中還包括了 MN的家鄉(xiāng)網(wǎng)絡(luò)前綴;步驟8 =AGffl在收到代理綁定應(yīng)答數(shù)據(jù)包后��, 建立與DGWl之間的雙向通信隧道����;AGffl從PBA消息中獲得匪的家鄉(xiāng)網(wǎng)絡(luò)前綴����,并以路由通告Rout eAdvertisement, RA的單播方式將家鄉(xiāng)網(wǎng)絡(luò)前綴通告給MN���,MN收到路由通告后使用無狀態(tài)地址配置方式配置MN的家鄉(xiāng)地址。本發(fā)明的優(yōu)點在于本發(fā)明將分離機制移動性管理系統(tǒng)與移動節(jié)點的認證授權(quán)相結(jié)合����,實現(xiàn)對接入網(wǎng)絡(luò)的移動節(jié)點進行合法性認證,保證了移動節(jié)點的合法性和網(wǎng)絡(luò)的安全性����。認證成功之后,AGff代替MN發(fā)送注冊請求消息���,CGff獲得存儲在HAAA上移動節(jié)點的家鄉(xiāng)網(wǎng)絡(luò)前綴信息�����,移動節(jié)點使用無狀態(tài)地址配置方式配置MN的家鄉(xiāng)地址���,此時移動節(jié)點可以接入到網(wǎng)絡(luò)中。根據(jù)移動節(jié)點接入到不同的接入網(wǎng)�,分為家鄉(xiāng)域認證和外地域認證,又由于在同ー個域內(nèi)切換時可以使用更加簡潔的重認證信令流程����,分為家鄉(xiāng)域重認證和外地域重認證���,這樣使得移動節(jié)點可以在域內(nèi)切換(AGW1切換到AGW2)和域間切換(AGW2切換到AGW3)時都獲得接入認證過程,同時在域內(nèi)切換時使用重認證信令流程減少了信令交互流程和認證時延�,在保證認證的合法性同時減少了用戶的等待時間。使用HAAA服務(wù)器存儲移動節(jié)點的策略信息�����,可以有效地緩解大規(guī)模移動節(jié)點的網(wǎng)絡(luò)配置和維護�,同時使用第三方實體存儲用戶的信息使得網(wǎng)絡(luò)更加安全可靠。
圖1ΡΜΙΡν6實體和HAAA交互圖�����;圖2分離機制移動性管理系統(tǒng)的認證授權(quán)網(wǎng)路拓撲圖�����;圖3安全協(xié)議的部署�;圖4EAP-PSK認證流程;圖5移動節(jié)點家鄉(xiāng)域初始認證流程����;圖6移動節(jié)點家鄉(xiāng)域重認證流程;圖7移動節(jié)點外地域初始認證流程�;圖8移動節(jié)點外地域重認證流程;圖9移動節(jié)點授權(quán)流程�����。
具體實施例方式本發(fā)明將分離機制移動性管理系統(tǒng)和對移動節(jié)點的認證授權(quán)相結(jié)合���,描述了ー種基于分離機制的認證授權(quán)設(shè)計方案���。本方案首先將接入分離機制移動性管理系統(tǒng)的移動節(jié)點進行身份認證,認證成功后各個功能實體通過移動信令的交互實現(xiàn)路由的添加和隧道的建立����,移動節(jié)點獲取存儲在服務(wù)器上的家鄉(xiāng)網(wǎng)絡(luò)前綴信息,此時移動節(jié)點可以獲得網(wǎng)絡(luò)服務(wù)�,從而實現(xiàn)了分離機制移動管理對移動節(jié)點的授權(quán)。在分離機制移動性管理系統(tǒng)的接入網(wǎng)內(nèi)增加AAA服務(wù)器(包括家鄉(xiāng)AAA服務(wù)器(HAAA)和外地AAA服務(wù)器(Foreign AAA,FAAA))��,既可以通過安全協(xié)議和預(yù)共享密鑰機制實現(xiàn)對移動節(jié)點的接入認證�����,又可以作為移動節(jié)點信息的遠程策略存儲�����。在HAAA和AGW之間、FAAA和AGW����、HAAA和FAAA之間部署Diameter協(xié)議,在AGW和麗之間部署PANA協(xié)議��。通過使用Diamet er協(xié)議和PANA協(xié)議共同承載的EAP協(xié)議����、ERP協(xié)議和EAP-PSK認證機制,實現(xiàn)移動節(jié)點在家鄉(xiāng)域的初始認證和重認證��,在外地域的初始認證和重認證����。在HAAA和CGW之間、FAAA和CGW之間部署Diameter協(xié)議實現(xiàn)策略信息的獲取���。本發(fā)明主要解決以下問題(I)本發(fā)明將分離機制移動性管理系統(tǒng)和對移動節(jié)點的認證授權(quán)相結(jié)合�,提出了ー種新型的分離機制移動性管理系統(tǒng)的認證授權(quán)方法��。(2)在 AGW�����、CGW��、FAAA 和 HAAA 上部署 Diameter 協(xié)議�����,在 AGW 和 MN 上部署 PANA 協(xié)議����,使用承載在Diameter協(xié)議和PANA協(xié)議上的EAP協(xié)議和ERP協(xié)議分別完成移動節(jié)點的初始認證和重認證。(3)當(dāng)移動節(jié)點切換到外地域時���,借助于FAAA和HAAA的交互完成移動節(jié)點的跨域認證�����,即外地域的初始認證和重認證過程�����。(4)CGff通過使用Diameter協(xié)議獲得存儲在HAAA服務(wù)器上的策略信息�,完成分離 機制移動性管理系統(tǒng)對移動節(jié)點的授權(quán)�����。本發(fā)明分離機制移動性管理系統(tǒng)的認證授權(quán)方法的網(wǎng)絡(luò)拓撲如圖2所示。分離機制移動性管理系統(tǒng)的認證授權(quán)網(wǎng)絡(luò)分為接入網(wǎng)和核心網(wǎng)��,定義了四個功能實體接入網(wǎng)關(guān)AGW��,控制網(wǎng)關(guān)CGW�,數(shù)據(jù)網(wǎng)關(guān)DGW和AAA服務(wù)器。AGW負責(zé)監(jiān)測MN的接入���,和AAA服務(wù)器進行認證信息的交互���,代替匪發(fā)送注冊消息CGW負責(zé)處理控制信令,從AAA服務(wù)器獲得移動節(jié)點的策略信息���;DGW負責(zé)轉(zhuǎn)發(fā)用戶數(shù)據(jù)����,采用分離映射機制��,實現(xiàn)接入網(wǎng)與核心網(wǎng)間的分離映射功能;AAA服務(wù)器存儲移動節(jié)點的策略信息����,和AGW進行認證信息的交互�,和CGW進行授權(quán)信息的交互����。下面將從安全協(xié)議部署、四種認證場景的觸發(fā)條件�、EAP-PSK認證流程、功能實體擴展和新增消息格式四個方面重點介紹本發(fā)明的技術(shù)細節(jié)��。安全協(xié)議部署本發(fā)明為了實現(xiàn)基于分離機制移動性管理系統(tǒng)的認證授權(quán)�,包括家鄉(xiāng)域的初始認證和重認證�����,外地域的初始認證和重認證��,需用到Diameter協(xié)議���,PANA協(xié)議��,EAP協(xié)議���,ERP協(xié)議和EAP-PSK認證機制。PANA協(xié)議作為接入網(wǎng)協(xié)議部署在MN和AGW之間,Diameter協(xié)議作為下一代的AAA協(xié)議標(biāo)準(zhǔn)部署在AGW和AAA服務(wù)器���、CGW和AAA服務(wù)器之間��,根據(jù)文獻[8]擴展認證協(xié)議(EAP)運行在PANA協(xié)議和Diameter協(xié)議之上完成移動節(jié)點標(biāo)識符和預(yù)共享密鑰數(shù)據(jù)的傳送���,EAP協(xié)議支持多種認證算法,本發(fā)明采用EAP-PSK認證機制計算密鑰數(shù)據(jù)�����。協(xié)議部署如圖3所示�����?���?蓴U展重認證協(xié)議(ERP)是EAP協(xié)議在重認證過程中擴展和應(yīng)用,它也可以承載在PANA協(xié)議和Diameter協(xié)議上實現(xiàn)對移動節(jié)點的重認證�����。認證成功后���,移動節(jié)點可以接入到網(wǎng)絡(luò)中�,獲得網(wǎng)絡(luò)服務(wù),也就是分離機制移動性管理系統(tǒng)對移動節(jié)點進行授權(quán)�,具體消息流程參考文獻[I]。本發(fā)明更改了 CGW獲取移動節(jié)點家鄉(xiāng)網(wǎng)路前綴的方式��,選擇遠程策略存儲實體HAAA服務(wù)器�����,通過Diameter協(xié)議交互獲得移動節(jié)點的家鄉(xiāng)網(wǎng)絡(luò)前綴信息�����,從而有效地緩解大規(guī)模移動節(jié)點的網(wǎng)絡(luò)配置和維護����。四種認證場景的觸發(fā)條件分離機制移動性管理系統(tǒng)實現(xiàn)了接入網(wǎng)和核心網(wǎng)的分離����,本發(fā)明給每個接入網(wǎng)分配可以唯一標(biāo)識的域名,如圖2所示�����,接入網(wǎng)I的域名為bjtu. net,接入網(wǎng)2域名為iplab.net�。從而在接入網(wǎng)I內(nèi)各個實體均含有相同的域名bjtu. net,所以AGWl的用戶名為AGW1.bjtu. net, CGffl 的用戶名為 CGW1. bjtu. net�����。
本發(fā)明規(guī)定每個移動節(jié)點的身份標(biāo)識符由用戶名和家鄉(xiāng)域名共同構(gòu)成����,如移動節(jié)點麗的用戶名為userl,家鄉(xiāng)域名為bjtu. net,因此該移動節(jié)點的身份標(biāo)識符為userl.bjtu.net。由于移動節(jié)點的域名為bjtu. net,所以接入網(wǎng)I內(nèi)的AAA服務(wù)器是移動節(jié)點MN的家鄉(xiāng)AAA服務(wù)器(HAAA)����,用戶名為HAAA.bjtu. net,接入網(wǎng)2內(nèi)的AAA服務(wù)器是移動節(jié)點MN的外地AAA服務(wù)器(FAAA)����,用戶名為FAAA. iplab. net。AGffl向移動節(jié)點發(fā)送本地域名bjtu. net,移動節(jié)點將自己的域名和接收到的域名進行比對�����,若兩者相同����,則表示移動節(jié)點接入家鄉(xiāng)域��,此時進行家鄉(xiāng)域初始認證和重認證�,反之�����,移動節(jié)點接入外地域�,此時進行外地域初始認證和重認證。移動節(jié)點讀取配置信息獲得上次接入的域名����,注冊標(biāo)識位‘R’和注冊生存時間,若上次接入域名和本次接入域名相同�����,注冊標(biāo)識位為已注冊�,且現(xiàn)在時間小于生存時間�����,表明移動節(jié)點兩次接入相同的接入網(wǎng)��,且在該接入網(wǎng)已經(jīng)注冊過���,生存時間還沒有過期�����,此時移動節(jié)點就可以進行重認證����,反之,需要進行初始認證���。移動節(jié)點配置信息如表I所示�。表I移動節(jié)點配置信息
權(quán)利要求
1.一種分離機制移動性管理系統(tǒng)的認證授權(quán)方法�,其特征在于,本方法首先將接入分離機制移動性管理系統(tǒng)的移動節(jié)點進行身份認證�����,認證成功后各個該系統(tǒng)中的功能實體通過移動信令交互實現(xiàn)路由的添加和隧道的建立����,移動節(jié)點獲取存儲在服務(wù)器上的家鄉(xiāng)網(wǎng)絡(luò)前綴信息,此時移動節(jié)點可以獲得網(wǎng)絡(luò)服務(wù)�����,從而實現(xiàn)了分離機制移動管理對移動節(jié)點的授權(quán);該方法包括家鄉(xiāng)域初始認證�、家鄉(xiāng)域重認證、外地域初始認證�、外地域重認證和對移動節(jié)點的授權(quán)。
2.根據(jù)權(quán)利要求I所述的ー種分離機制移動性管理系統(tǒng)的認證授權(quán)方法���,其特征在于�����,所述家鄉(xiāng)域初始認證具體步驟為 步驟ー MN接入家鄉(xiāng)域的AGWl時�����,發(fā)送PANA初始化消息PANA-Client-Initiation�����,PCI��,表明匪處于PANA初始化階段; 步驟ニ AGW1收到PCI消息后�,若支持PANA協(xié)議并提供接入認證服務(wù)則發(fā)送PANA認證請求開始消息PANA-Auth-Request Start,PAR(S),消息中包含需要的偽隨機算法和完整性算法,否則將PCI消息丟棄�����; 步驟三:MN收到PAR(S)消息,若其支持這種偽隨機算法和完整性算法����,則發(fā)送PANA認證應(yīng)答開始消息PANA-Auth-Answer(S), PAA(S),消息中包含相同的算法; 步驟四AGW1收到含有相同算法類型的PAA(S)消息��,表明可以繼續(xù)PANA認證過程���,此時AGWl發(fā)送Start類型的ERP初始消息EAPInitiate/Re-auth-Start,通告所在域的域名���,MN收到該消息,和域名進行對比����,確定現(xiàn)在接入家鄉(xiāng)域,MN讀取配置信息接入域名�,注冊標(biāo)識位和注冊生存時間,判斷需要進行家鄉(xiāng)域初始認證��,此時MN不回復(fù)任何信息�,等待AGWl發(fā)送標(biāo)識符請求; 步驟五在生存時間內(nèi)AGWl發(fā)送Start類型的ERP初始消息沒有收到麗的回復(fù)���,表明執(zhí)行初始認證過程����,此時AGWl發(fā)送EAP標(biāo)識符請求消息EAP-Request/Identity請求MN的標(biāo)識符,該消息承載在PAR消息中����; 步驟六:MN將標(biāo)識符通過EAP標(biāo)識符應(yīng)答消息EAP-Response/Identity傳給AGW1,該消息承載在PAA消息中; 步驟七AGWl收到MN的身份標(biāo)識符���,通過Diameter EAP請求DiameterEAP Request,EAP/DER消息發(fā)送給HAAA服務(wù)器�����,HAAA服務(wù)器通過DiameterEAP應(yīng)答Diameter EAPAnswer, EAP/DEA消息發(fā)送應(yīng)答消息���; 步驟八HAAA服務(wù)器收到MN的身份標(biāo)識符,若該標(biāo)識符是合法的用戶名��,則開始完整的EAP-PSK認證過程����,移動節(jié)點MN和HAAA服務(wù)器分別作為客戶端和服務(wù)器端進行EAP-PSK認證交互,AGffl作為中間實體通過進程間通信方式實現(xiàn)PANA進程和Diameter進程進行通信,傳輸EAP-PSK認證數(shù)據(jù)��,數(shù)據(jù)封裝在EAP-Payload屬性值對EAP-Payload AttributeValue Pair, EAP-Payload AVP 中�; 步驟九通過兩組EAP-PSK信令交互后�,麗和HAAA服務(wù)器實現(xiàn)了雙向認證。此時HAAA服務(wù)器發(fā)送認證成功消息EAP/DEA EAP-Payload/success,并且將主會話密鑰MasterSession Key, MSK發(fā)送給AGWl�,使得AGWl和麗建立安全關(guān)聯(lián); 步驟十麗收到含有認證成功結(jié)果碼屬性值對的PANA認證結(jié)束請求消息PANA-Auth-Request (C), PAR(C),至此 MN 和 HAAA 間的雙向認證結(jié)束���; 步驟i^一 =AGffl收到MN回復(fù)的PANA認證結(jié)束應(yīng)答消息PANA-Auth-Answer (C)����,PAA (C)表明匪家鄉(xiāng)域初始認證成功�����。�����。
3.根據(jù)權(quán)利要求I所述的ー種分離機制移動性管理系統(tǒng)的認證授權(quán)方法�,其特征在于,所述家鄉(xiāng)域重認證具體步驟為 步驟ー麗接入家鄉(xiāng)域的AGW2吋�,發(fā)送PCI消息,表明麗處于PANA初始化階段;步驟ニ AGW2收到PCI消息后�,若支持PANA協(xié)議并提供接入認證服務(wù)則發(fā)送PAR(S)消息,消息中包含需要的偽隨機算法和完整性算法���,否則將PCI消息丟棄���; 步驟三:MN收到PAR(S)消息,若其支持這種偽隨機算法和完整性算法����,則發(fā)送PAA⑶消息,消息中包含相同的算法�����; 步驟四AGW2收到含有相同算法類型的PAA⑶消息����,表明可以繼續(xù)PANA認證過程,此時AGW2發(fā)送Start類型的ERP初始消息�����,通告所在域的域名�;MN收到該消息����,和域名進行對 比����,確定現(xiàn)在接入家鄉(xiāng)域����,MN讀取配置信息接入域名,注冊標(biāo)識位和注冊生存時間����,接入域名相同,注冊標(biāo)識位為已注冊���,且生存時間沒有過期����,此時移動節(jié)點需要進行家鄉(xiāng)域重認 證���,發(fā)送ERP初始消息EAP-Initiate/Re-auth開始重認證過程,消息中含有接入域名TLV�����、KeyName-NAITLV和經(jīng)過子密鑰加密過的認證標(biāo)識�,用于完整性保護和HAAA對MN的重認證過程進行認證,該消息承載在PAA消息中���; 步驟五AGW2收到PAA消息��,提取出ERP初始消息后���,通過進程間通信的方式發(fā)送給Diameter進程,Diameter進程將其封裝在Diameter ERP請求Diameter ERP Request,ERP/DER 消息的 EAP-Payload AVP 中發(fā)送給 HAAA ���; 步驟六-MAA服務(wù)器收到ERP初始消息表明麗執(zhí)行重認證過程�����,則HAAA使用麗初始認證中生成的子密鑰對收到的數(shù)據(jù)進行解密�,若計算的認證標(biāo)識和收到的相同��,則消息完整性良好���,且MN可以進行重認證過程����; 步驟七-MAA服務(wù)器對匪的ERP初始消息認證成功后,構(gòu)造ERP結(jié)束消息EAP-Finish/Re-auth�����,該消息包括接入域名TLV���、密鑰生存時間TV�����、KeyName-NAITLV和經(jīng)過子密鑰加密過的認證標(biāo)識,Diameter進程將ERP結(jié)束消息封裝在Diameter ERP應(yīng)答Diameter ERPAnswer, ERP/DEA 消息的 EAP-Payload AVP 中發(fā)送給 AGW2 �; 步驟八AGW2中的Diameter進程接收到ERP/DEA消息,提取出ERP結(jié)束消息��,將其封裝在PAR消息中發(fā)送給麗�����; 步驟九麗收到PAR消息后��,從ERP結(jié)束消息中提取出密鑰生存時間��,且計算認證標(biāo)識�,若計算結(jié)果和收到的認證標(biāo)識相同����,則MN家鄉(xiāng)域重認證成功����。
4.根據(jù)權(quán)利要求I所述的ー種分離機制移動性管理系統(tǒng)的認證授權(quán)方法,其特征在于�,所述外地域初始認證具體步驟為 步驟ー麗接入外地域的AGW3吋,發(fā)送PCI消息����,表明麗處于PANA初始化階段;步驟ニ AGW3收到PCI消息后���,若支持PANA協(xié)議并提供接入認證服務(wù)則發(fā)送PAR(S)消息��,消息中包含需要的偽隨機算法和完整性算法����,否則將PCI消息丟棄�; 步驟三:MN收到PAR(S)消息,若其支持這種偽隨機算法和完整性算法����,則發(fā)送PAA⑶消息��,消息中包含相同的算法��; 步驟四AGW3收到含有相同算法類型的PAA⑶消息���,表明可以繼續(xù)PANA認證過程,此時AGW3發(fā)送Start類型的ERP初始消息����,通告所在域的域名;麗收到該消息�,和域名進行對比,確定現(xiàn)在接入外地域����,MN讀取配置信息接入域名����,注冊標(biāo)識位和注冊生存時間判斷需要進行外地域初始認證,此時MN不回復(fù)任何信息����,等待AGW3發(fā)送標(biāo)識符請求; 步驟五在生存時間內(nèi)AGW3發(fā)送Start類型的ERP初始消息沒有收到匪的回復(fù)�,表明執(zhí)行初始認證過程���,此時AGW3發(fā)送EAP請求標(biāo)識符消息請求MN的標(biāo)識符,該消息承載在PAR消息中�����; 步驟六:MN將標(biāo)識符通過EAP應(yīng)答消息傳給AGW3���,該消息承載在PAS消息中��; 步驟七AGW3收到MN的身份標(biāo)識符���,通過EAP/DER消息發(fā)送給FAAA服務(wù)器,F(xiàn)AAA服務(wù)器提取出MN的身份標(biāo)識符��,此時FAAA上沒有MN的密鑰相關(guān)信息�,從而FAAA服務(wù)器不能對MN進行認證,需要HAAA服務(wù)器對MN進行合法性認證�,所以AGW3和FAAA作為中間實體,需要傳送MN和HAAA之間的信息���;此時FAAA向HAAA發(fā)送EAP/DER消息��,該消息包括承載MN身份標(biāo)識符的 EAP-Payload AVP,指定域的根密鑰請求 Domain-Specific Root KeyRequest,DSRK RequestAVPJP FAAA 的域名 AVP ��; 步驟八-MAA服務(wù)器收到EAP/DER消息后�����,提取匪的身份標(biāo)識符���,若該標(biāo)識符是合法的用戶名���,則開始完整的EAP-PSK認證過程,移動節(jié)點MN和HAAA服務(wù)器分別作為客戶端和服務(wù)器端進行EAP-PSK認證交互���,AGW3作為中間實體通過進程間通信方式實現(xiàn)PANA進程和Diameter進程進行通信,FAAA作為中間實體通過進程間通信方式實現(xiàn)FAAA的Diameter服務(wù)器進程和客戶端進程進行通信���,進行傳輸EAP-PSK認證數(shù)據(jù),數(shù)據(jù)封裝在EAP-PayloadAVP 中����; 步驟九通過兩組EAP-PSK信令交互后���,麗和HAAA服務(wù)器實現(xiàn)了雙向認證�。此時HAAA服務(wù)器發(fā)送認證成功消息����,并且將相應(yīng)子密鑰MSK�、DSRK發(fā)送給FAAA�,MSK用于本次會話,DSRK存在FAAA中用于MN下次接入外地域進行重認證過程���,F(xiàn)AAA將MSK和認證成功消息發(fā)送給AGW3���,AGW3向MN發(fā)送PAR(C)消息; 步驟十MN收到含有認證成功結(jié)果碼屬性值對的PAR(C)消息��,至此匪和HAAA間的雙向認證結(jié)束���; 步驟i^一 AGW3收到MN回復(fù)的PAA(C)消息�,表明MN外地域初始認證成功�。
5.根據(jù)權(quán)利要求I所述的ー種分離機制移動性管理系統(tǒng)的認證授權(quán)方法,其特征在于��,所述外地域重認證具體步驟為 步驟ー麗接入外地域的AGW4吋����,發(fā)送PCI消息,表明麗處于PANA初始化階段;步驟ニ AGW4收到PCI消息后�,若支持PANA協(xié)議并提供接入認證服務(wù)則發(fā)送PAR(S)消息,消息中包含需要的偽隨機算法和完整性算法���,否則將PCI消息丟棄���; 步驟三:MN收到PAR(S)消息,若其支持這種偽隨機算法和完整性算法�,則發(fā)送PAA⑶消息,消息中包含相同的算法�; 步驟四AGW4收到含有相同算法類型的PAA⑶消息,表明可以繼續(xù)PANA認證過程����,此時AGW4發(fā)送Start類型的ERP初始消息,通告所在域的域名����;MN收到該消息,和域名進行對比����,確定現(xiàn)在接入外地域�,MN讀取配置信息接入域名,注冊標(biāo)識位和注冊生存時間,接入域名相同���,注冊標(biāo)識位為已注冊�����,且生存時間沒有過期���,此時移動節(jié)點需要進行外地域重認證,發(fā)送ERP初始消息開始重認證過程�����,消息中含有接入域名TLV�、KeyName-NAITLV和經(jīng)過子密鑰加密過的認證標(biāo)識,用于完整性保護和FAAA對MN的重認證過程進行認證���,該消息承載在PAA消息中�; 步驟五AGW4收到PAA消息��,提取出ERP初始消息后�����,通過進程間通信的方式發(fā)送給Diameter進程,Diameter進程將其封裝在ERP/DER消息的EAP-Payload AVP中發(fā)送給FAAA ����; 步驟六FAAA服務(wù)器收到ERP初始消息表明匪執(zhí)行重認證過程,則FAAA使用匪初始認證中生成的子密鑰對收到的數(shù)據(jù)進行解密����,若計算的認證標(biāo)識和收到的相同,則消息完整性良好���,且MN可以進行重認證過程����;步驟七FAAA服務(wù)器對MN的ERP初始消息認證成功后�����,構(gòu)造ERP結(jié)束消息��,該消息包括接入域名TLV�、密鑰生存時間TV和KeyName-NAI TLV和經(jīng)過子密鑰加密過的認證標(biāo)識,Diameter進程將ERP結(jié)束消息封裝在ERP/DEA消息的EAP-Payload AVP中發(fā)送給AGW4 ���;步驟八AGW4中的Diameter進程接收到ERP/DEA消息��,提取出ERP結(jié)束消息�,將其封裝在PM消息中發(fā)送給麗��; 步驟九麗收到PAA消息后�����,從ERP結(jié)束消息中提取出密鑰生存時間�����,且計算認證標(biāo)識��,若計算結(jié)果和收到的認證標(biāo)識相同���,則MN外地域重認證成功��。
6.根據(jù)權(quán)利要求I所述的ー種分離機制移動性管理系統(tǒng)的認證授權(quán)方法����,其特征在于����,所述對移動節(jié)點的授權(quán)具體步驟為 步驟ー AGW1對麗進行接入檢測��,并且對麗的身份描述符認證成功后��,AGffl向CGWl發(fā)送代理綁定更新Proxy Binding Update, PBU以注冊 更新MN的位置信息��; 步驟2 =CGffl對代理綁定更新消息進行解析處理��,CGffl提取出移動節(jié)點的身份標(biāo)識符后向AAA服務(wù)器請求麗的家鄉(xiāng)網(wǎng)絡(luò)如綴��; 步驟3 =HAAA服務(wù)器根據(jù)MN的身份標(biāo)識符提取相應(yīng)的家鄉(xiāng)網(wǎng)路前綴��,并發(fā)送給CGWl �����; 步驟4 =CGffl提取出MN的家鄉(xiāng)網(wǎng)絡(luò)前綴之后���,發(fā)送隧道建立請求消息; 步驟5 =DGffl動態(tài)分配ー個核心地址用于與MN的家鄉(xiāng)地址進行映射操作�,并將家鄉(xiāng)地址與核心地址的映射關(guān)系寫入本地映射服務(wù)器的緩存中。同吋����,DGffl把關(guān)于MN的家鄉(xiāng)地址與核心地址的映射關(guān)系發(fā)送給全局映射服務(wù)器; 步驟6 =DGffl建立AGWl到DGWl的隧道的一端���,并向CGWl發(fā)送隧道確認消息���; 步驟7 =CGffl收到隧道確認消息后��,向AGWl發(fā)送代理綁定應(yīng)答ProxyBindingAcknowledgement, PBA數(shù)據(jù)包,PBA中還包括了 MN的家鄉(xiāng)網(wǎng)絡(luò)前綴���; 步驟8 =AGffl在收到代理綁定應(yīng)答數(shù)據(jù)包后���,建立與DGWl之間的雙向通信隧道;AGW1從PBA消息中獲得MN的家鄉(xiāng)網(wǎng)絡(luò)前綴,并以路由通告Rout eAdvertisement, RA的單播方式將家鄉(xiāng)網(wǎng)絡(luò)前綴通告給MN��,MN收到路由通告后使用無狀態(tài)地址配置方式配置MN的家鄉(xiāng)地址����。
全文摘要
本發(fā)明涉及一種分離機制移動性管理系統(tǒng)的認證授權(quán)方法,該方法首先將接入分離機制移動性管理系統(tǒng)的移動節(jié)點進行身份認證�,認證成功后各個該系統(tǒng)中的功能實體通過移動信令交互實現(xiàn)路由的添加和隧道的建立,移動節(jié)點獲取存儲在服務(wù)器上的家鄉(xiāng)網(wǎng)絡(luò)前綴信息����,此時移動節(jié)點可以獲得網(wǎng)絡(luò)服務(wù),從而實現(xiàn)了分離機制移動管理對移動節(jié)點的授權(quán)�;該方法包括家鄉(xiāng)域初始認證��、家鄉(xiāng)域重認證����、外地域初始認證����、外地域重認證和對移動節(jié)點的授權(quán)。本發(fā)明以AGW����、CGW、DGW�,AAA服務(wù)器為主要功能實體,通過它們之間的一系列消息交互����,來完成對移動節(jié)點合法性進行認證,保證網(wǎng)絡(luò)的安全�����。
文檔編號H04W12/06GK102869000SQ20121034547
公開日2013年1月9日 申請日期2012年9月17日 優(yōu)先權(quán)日2012年9月17日
發(fā)明者周華春, 呂建華, 任飛, 易李, 張宏科, 張?zhí)靾@ 申請人:北京交通大學(xué)