專利名稱:移動(dòng)ip系統(tǒng)及更新家鄉(xiāng)代理根密鑰的方法
技術(shù)領(lǐng)域:
本發(fā)明涉及無(wú)線通信領(lǐng)域�����,特別涉及移動(dòng)IP系統(tǒng)中更新家鄉(xiāng)代理根密鑰 的技術(shù)��。
背景技術(shù):
IEEE802.16是電子和電氣工程師協(xié)會(huì)(Institute of Electrical and Electronics Engineers,簡(jiǎn)稱"IEEE")于2001年12月頒布的����,用于在城域 網(wǎng)中提供最后一公里無(wú)線寬帶接入的標(biāo)準(zhǔn)。與此同時(shí)����,眾多設(shè)備和組建供應(yīng)商組成了全球微波接入互操作性 (Worldwide Interoperability for Microwave Access, 簡(jiǎn)稱"WiMAX")論壇的 組織,其目的在于通過(guò)確保寬帶無(wú)線接入設(shè)備的兼容性和互操作性�,加快基 于上述IEEE802.16系列標(biāo)準(zhǔn)的寬帶無(wú)線網(wǎng)絡(luò)的部署。因此�����,在通常情況下�����, 將應(yīng)用802.16系列標(biāo)準(zhǔn)中規(guī)定的實(shí)現(xiàn)無(wú)線寬帶接入的系統(tǒng)稱為WiMAX系 統(tǒng)。由于隨著因特網(wǎng)業(yè)務(wù)的蓬勃發(fā)展和無(wú)線網(wǎng)絡(luò)的廣泛應(yīng)用���,移動(dòng)用戶的安 全性已經(jīng)對(duì)于無(wú)線系統(tǒng)提出了越來(lái)越多的要求除開(kāi)設(shè)備鑒權(quán)���、用戶鑒權(quán)和 服務(wù)授權(quán)等等,無(wú)線用戶與接入點(diǎn)或基站(Base Station,簡(jiǎn)稱"BS")之間 的安全通道的建立����,保密信息的交換,以及BS和鑒權(quán)者(Authenticator), 鑒權(quán)者和鑒權(quán)服務(wù)器之間的保密通道�����,保密信息的交換等等都是以往在專用 網(wǎng)絡(luò)中所不需要考慮而目前需要得到大量關(guān)注的問(wèn)題了�����。因此��,在WiMAX 網(wǎng)絡(luò)中��,不考慮接入網(wǎng)中的其他內(nèi)部設(shè)備���,僅考慮安全性的網(wǎng)絡(luò)架構(gòu)體系如 圖1或圖2所示�����。圖1為集中式的網(wǎng)絡(luò)架構(gòu)體系�����,在這種架構(gòu)下�,鑒權(quán)者與BS位于不同 的物理實(shí)體中����,在鑒權(quán)者中實(shí)現(xiàn)了鑒權(quán)者和密鑰發(fā)行者的功能。在BS中實(shí) 現(xiàn)了鑒權(quán)中繼和密鑰接收的功能�。圖2表示的是分布式的網(wǎng)絡(luò)架構(gòu)體系,在這種結(jié)構(gòu)下����,鑒權(quán)者與BS位 于同一個(gè)物理實(shí)體中,該實(shí)體同時(shí)實(shí)現(xiàn)了鑒權(quán)者��、鑒權(quán)中繼���、密鑰發(fā)行者和 密鑰接收的功能��。圖中各個(gè)網(wǎng)元(包括邏輯網(wǎng)元)的功能解釋如下BS:提供BS和移動(dòng)臺(tái)(Mobile Station,簡(jiǎn)稱"MS")的安全通道�, 包括空口數(shù)據(jù)的壓縮與加密;并且�,提供BS和MS之間的保密信息的交換。鑒權(quán)者為MS認(rèn)證�、授權(quán)和計(jì)費(fèi)功能提供proxy (代理)功能;并且���, 與密鑰發(fā)行者在同一個(gè)物理實(shí)體里實(shí)現(xiàn)���。鑒權(quán)中繼實(shí)現(xiàn)認(rèn)證過(guò)程中認(rèn)證請(qǐng)求和響應(yīng)消息的中繼。密鑰發(fā)行者與鑒權(quán)者在同一個(gè)物理實(shí)體里實(shí)現(xiàn)��,根據(jù)鑒權(quán)服務(wù)器提供 的與MS之間對(duì)等的根密鑰信息�����,產(chǎn)生BS和MS之間共享的空口的鑒權(quán)密 鑰(AuthenticationKey,簡(jiǎn)稱"AK"),并且分發(fā)到密鑰接收上��。密鑰接收在BS內(nèi)實(shí)現(xiàn)�,用于接收來(lái)自密鑰發(fā)行者產(chǎn)生的空口密鑰AK, 并派生BS和MSS之間的其它密鑰�����。此外,作為一個(gè)完整的安全網(wǎng)絡(luò)架構(gòu)體系����,還應(yīng)該包括后端網(wǎng)絡(luò)的驗(yàn)證���、 授權(quán)����、計(jì)費(fèi)協(xié)議(Authentication��、 Authorization, Account,簡(jiǎn)稱"AAA") 服務(wù)器和MS����。其中,AAA服務(wù)器主要是完成為MS認(rèn)證�、授權(quán)和計(jì)費(fèi)功能。 并且通過(guò)和MS之間的達(dá)成的密鑰生成機(jī)制相互交換產(chǎn)生密鑰所必需的信 息�����。由于這些信息是在建立安全通道之前交換的���,AAA服務(wù)器和MS之間采 用的密鑰算法等都必須保證信息的泄漏并不對(duì)安全機(jī)制產(chǎn)生影響�。主要功能 包括-完成為MS iU正、授4又和計(jì)費(fèi)功能��; -產(chǎn)生并分發(fā)根密鑰信息到鑒權(quán)者上����;-在用戶信息產(chǎn)生變化,及時(shí)通知鑒權(quán)者和其他網(wǎng)元信息改變所產(chǎn)生的后果�����。MS在安全架構(gòu)中主要是發(fā)起認(rèn)證��、授權(quán)����;與AAA服務(wù)器交換產(chǎn)生根密 鑰所需要的信息;自己產(chǎn)生根密鑰����;自己根據(jù)根密鑰產(chǎn)生空口上保密所需要 的AK以及派生出來(lái)的其他密鑰信息。在網(wǎng)絡(luò)構(gòu)架中�����,移動(dòng)IP (Mobile IP,簡(jiǎn)稱"MIP")涉及到的功能實(shí)體 有移動(dòng)節(jié)點(diǎn)(Mobile Node,簡(jiǎn)稱"MN")即MS, FA外地代理(Foreign Agent,筒稱"FA")和家鄉(xiāng)代理(Home Agent,簡(jiǎn)稱"HA" ) �。 MN經(jīng) 由FA向HA發(fā)起MIP注冊(cè)請(qǐng)求。HA收到MIP注冊(cè)請(qǐng)求以后���,把MN的轉(zhuǎn) 交地址(Care-of-Address,簡(jiǎn)稱"CoA")和家鄉(xiāng)地址(Home Address,簡(jiǎn) 稱"HoA")對(duì)應(yīng)起來(lái)����,以后HA收到的所有目的地址是HoA的數(shù)據(jù)包都轉(zhuǎn) 發(fā)到CoA地址���,MIPv4中即FA的地址。為了保證安全性��,MIP消息中一般 會(huì)帶有認(rèn)證擴(kuò)展(AE)����。例如MN和HA之間的認(rèn)證擴(kuò)展MN-HA-AE,當(dāng)HA 收到一個(gè)攜帶MN-HA-AE的MIP注冊(cè)請(qǐng)求,HA就需要根據(jù)事先知道的密鑰 信息計(jì)算出一個(gè)本地認(rèn)證值���,然后和數(shù)據(jù)包攜帶的MN-HA-AE進(jìn)行比較�����。如 果相同則認(rèn)證通過(guò)��,并且處理MIP注冊(cè)請(qǐng)求�;否則拒絕處理這個(gè)MIP注冊(cè) 請(qǐng)求。MIP在WiMAX中有兩種形式(如圖3所示)CMIP (客戶端MIP) 和PMIP (代理MIP )��。對(duì)于支持MIP協(xié)議的終端�,工作于CMIP模式下; 相反���,不支持MIP協(xié)議的終端���,由網(wǎng)絡(luò)側(cè)創(chuàng)建一個(gè)PMIP-Client (代理MIP 客戶端)實(shí)例來(lái)實(shí)現(xiàn)MIP的功能。目前����,由網(wǎng)絡(luò)鑒權(quán)服務(wù)器(Network Authentication Server,簡(jiǎn)稱"NAS") 維護(hù)HA-RK ( HA根密鑰)的生命周期, 一旦HA-RK的生命周期到了 ���,就向分配HA-RK的AAA月良務(wù)器請(qǐng)求新的HA-RK以及相關(guān)信息����。但是��,由于舊密鑰過(guò)期和獲得新密鑰之間有一個(gè)時(shí)間縫隙����,這段時(shí)間無(wú) 法處理進(jìn)行得MIP注冊(cè)過(guò)程�,因此����,在某些場(chǎng)景下會(huì)帶來(lái)一定的時(shí)延,影響 了 MIP注冊(cè)過(guò)程�����。因此EAP過(guò)程的效率較低��。 發(fā)明內(nèi)容本發(fā)明各實(shí)施方式要解決的主要技術(shù)問(wèn)題是提供一種移動(dòng)IP系統(tǒng)及更 新家鄉(xiāng)代理根密鑰的方法��,使得可以無(wú)縫地進(jìn)行MIP注冊(cè)過(guò)程���。為解決上述技術(shù)問(wèn)題,本發(fā)明的實(shí)施方式提供了一種移動(dòng)IP系統(tǒng)中更新 家鄉(xiāng)代理根密鑰的方法����,在舊的HA-RK過(guò)期之前,認(rèn)證�、授權(quán)和計(jì)費(fèi)AAA 服務(wù)器生成新的HA-RK,并將該新的HA-RK發(fā)送到使用家鄉(xiāng)代理根密鑰 HA-RK的網(wǎng)絡(luò)側(cè)實(shí)體����。本發(fā)明的實(shí)施方式還提供了一種移動(dòng)IP系統(tǒng)��,包含AAA服務(wù)器和使用 HA-RK的至少一個(gè)網(wǎng)絡(luò)側(cè)實(shí)體�����,還包含判斷單元�,用于在舊的HA-RK過(guò)期之前判斷舊的HA-RK剩余的生命時(shí) 間是否滿足預(yù)定條件���,在滿足該預(yù)定條件時(shí)指示AAA服務(wù)器生成并向使用 HA-RK的各網(wǎng)絡(luò)側(cè)實(shí)體下發(fā)新的HA-RK���。本發(fā)明各實(shí)施方式與現(xiàn)有技術(shù)相比,主要區(qū)別及其效果在于在舊的HA-RK過(guò)期之前�,AAA服務(wù)器提前生成和下發(fā)新的HA-RK,從 而消除了舊HA-RK過(guò)期和獲得新HA-RK之間的時(shí)間縫隙��,使得MIP注冊(cè) 可以無(wú)縫地進(jìn)行����。在確保HA-RK的生命周期大于主會(huì)話密鑰(Master Session Key,簡(jiǎn)稱 "MSK")的生命周期的前提條件下,在EAP過(guò)程中����,如果舊HA-RK剩余 的生命時(shí)間小于或等于MSK的生命周期��,則下發(fā)新的HA-RK����,否則可以不 下發(fā)新的HA-RK�。利用EAP過(guò)程的相關(guān)才幾制保證了新HA-RK可以在舊 HA-RK過(guò)期前及時(shí)下發(fā)。因?yàn)椴恍枰诿看蜤AP過(guò)程中都下發(fā)HA-RK,所 以EAP過(guò)程的效率更高���。如果網(wǎng)絡(luò)側(cè)實(shí)體上同時(shí)存在新舊兩套有效的HA-RK�,則可以僅使用舊的 HA-RK直到其生命周期結(jié)束才啟用新的HA-RK�����,也可以同時(shí)使用新舊兩套 HA-RK,以安全參數(shù)索引(Security Parameter Index,簡(jiǎn)稱"SPI")區(qū)分���。 從而解決了兩套HA-RK同時(shí)存在時(shí)有可能產(chǎn)生的相互沖突問(wèn)題。在EAP過(guò)程中�,如果HA已經(jīng)有了新舊兩套HA-RK,而NAS沒(méi)有 HA-RK�����,則向該NAS同時(shí)下發(fā)新舊兩套HA-RK���,從而使NAS可以同時(shí)使用 新舊兩套HA-RK與HA進(jìn)行交互��。如果HA-RK和MSK分別由不同的AAA服務(wù)器生成�,則兩個(gè)AAA服 務(wù)器需要交互HA-RK和/或MSK生命周期的信息,從而在HA-RK和MSK 分別由不同的AAA服務(wù)器生成的情況下也可以順利使用本發(fā)明的技術(shù)方案����。
圖1是根據(jù)現(xiàn)有技術(shù)中WiMAX網(wǎng)絡(luò)的集中式網(wǎng)絡(luò)架構(gòu)體系; 圖2是根據(jù)現(xiàn)有技術(shù)中WiMAX網(wǎng)絡(luò)的分布式網(wǎng)絡(luò)架構(gòu)體系�; 圖3是根據(jù)現(xiàn)有技術(shù)中在WiMAX網(wǎng)絡(luò)中的兩種MIP形式示意圖; 圖4是根據(jù)本發(fā)明中HA-RK的提前下發(fā)示意圖����;圖5是根據(jù)本發(fā)明第一實(shí)施方式的移動(dòng)IP系統(tǒng)中更新HA-RK的方法流程圖;圖6是根據(jù)本發(fā)明第三實(shí)施方式的移動(dòng)IP系統(tǒng)中更新HA-RK的方法流 程圖���;圖7是根據(jù)本發(fā)明第四實(shí)施方式的移動(dòng)IP系統(tǒng)結(jié)構(gòu)示意圖��。
具體實(shí)施方式
為使本發(fā)明的目的����、技術(shù)方案和優(yōu)點(diǎn)更加清楚����,下面將結(jié)合附圖對(duì)本發(fā) 明作進(jìn)一步地詳細(xì)描述��。在本發(fā)明的實(shí)施方式中����,通過(guò)EAP過(guò)程��,在舊的HA-RK過(guò)期之前���,AAA 服務(wù)器提前生成和下發(fā)新的HA-RK給NAS,從而消除了舊HA-RK過(guò)期和獲 得新HA-RK之間的時(shí)間縫隙���,使得MIP注冊(cè)可以無(wú)縫地進(jìn)行。如圖4所示�, 無(wú)論什么原因,當(dāng)觸發(fā)了 MS的EAP過(guò)程時(shí)(如初始認(rèn)證或者重認(rèn)證觸發(fā))����, 如果AAA服務(wù)器或者代理第一次發(fā)現(xiàn)HA-RK的剩余生命時(shí)間(如圖中T所 示)小于為MS產(chǎn)生的MSK的生命周期,此時(shí)AAA服務(wù)器產(chǎn)生新的HA-RK����, 以及SPI和生命周期���,并且包含在發(fā)送給NAS的Access-Accept消息中��。AAA 服務(wù)器可以記錄下該NAS的地址���,只要該AAA服務(wù)器不再次生成新的 HA-RK���,則在后續(xù)發(fā)生的EAP過(guò)程中可以不為該EAP下發(fā)HA-RK相關(guān)信息, 以提高EAP過(guò)程的效率���。本發(fā)明各實(shí)施方式均有一個(gè)前提條件���,即MSK的生命周期要小于 HA-RK生命周期。這里所稱的生命周期都是指完整的生命周期而不是剩余的 生命時(shí)間�����。如果MSK和HA-RK由同 一個(gè)AAA服務(wù)器生成���,則可以由該AAA 服務(wù)器保證這一前提條件���,如果MSK和HA-RK分別由不同的AAA服務(wù)器 生成,則這兩個(gè)AAA服務(wù)器可以通過(guò)協(xié)商保證這一前提條件�����。下面對(duì)本發(fā)明的第一實(shí)施方式進(jìn)行詳細(xì)說(shuō)明,本實(shí)施方式涉及移動(dòng)IP 系統(tǒng)中更新HA-RK的方法�,在本實(shí)施方式中,移動(dòng)IP系統(tǒng)為WiMAX系統(tǒng)���,HA-RK和MSK都是由同一個(gè)AAA服務(wù)器產(chǎn)生的���,具體流程如圖5所示。在歩驟501中�,MS發(fā)起EAP過(guò)程,比如說(shuō)����,當(dāng)在初始認(rèn)證或需要重認(rèn) 證時(shí),由MS觸發(fā)EAP過(guò)程�。當(dāng)然,EAP過(guò)程也可以由網(wǎng)絡(luò)側(cè)的相關(guān)實(shí)體發(fā) 起�,本發(fā)明的實(shí)施方式只是利用了 EAP過(guò)程,至于由誰(shuí)具體發(fā)起了 EAP過(guò) 程并不重要���。接著��,在步驟502中�,鑒權(quán)者(即NAS ) /FA向HAAA (家鄉(xiāng)AAA ) 服務(wù)器發(fā)送"Access-Request"(接入請(qǐng)求)消息����。HAAA服務(wù)器收到該消息 后,為該MS分配MSK的生命周期�。HAAA服務(wù)器為該MS分配的MSK的 生命周期不能大于為其分配的HA-RK的生命周期,如果之前分配的HA-RK 的生命周期即將到期����,也就是說(shuō),HA-RK剩余的生命時(shí)間將小于或等于為 MS產(chǎn)生的MSK的生命周期���,貝'j HAAA服務(wù)器生成新的HA-RK,為該MS 分配的MSK的生命周期不能大于新的HA-RK的生命周期�����。由于在本實(shí)施方 式中����,HA-RK和MSK都是由同一個(gè)AAA服務(wù)器產(chǎn)生的���,該AAA服務(wù)器可 以同時(shí)知道MSK以及HA-RK的生命周期���,剩余時(shí)間����,因此����,可以較容易的 實(shí)現(xiàn)上述MSK的生命周期的分配以及是否需要生成新的HA-RK的判斷。需要指出的是��,HA-RK以及MSK的生命周期可以固定的(即每次都一 樣)�����,也可以是動(dòng)態(tài)分配的(即每次可能不一樣)�����。只要HA-RK的生命周 期大于MSK的生命周期就滿足本發(fā)明實(shí)施方式的基本要求��。需要說(shuō)明的是���,如果此時(shí)該MS的HA是第一次被分配給一個(gè)MS���,即 還沒(méi)有對(duì)應(yīng)的HA-RK信息,那么HAAA服務(wù)器就產(chǎn)生HA-RK并且下發(fā)�; 如果該HA已經(jīng)有了對(duì)應(yīng)的HA-RK信息(但僅有一套對(duì)應(yīng)的HA-RK信息)��, 但是由于之前分配的HA-RK的生命周期即將到期����,HAAA服務(wù)器生成了新 的HA-RK�����,那么HAAA服務(wù)器就需要將生成的新的HA-RK下發(fā)����。接著�����,進(jìn)入步驟503, HAAA服務(wù)器向鑒權(quán)者(即NAS) /FA發(fā)送 "Access-Accept"(接入接收)消息�。如果由于之前分配的HA-RK的生命 周期即將到期,HAAA服務(wù)器生成了新的HA-RK���,那么HAAA服務(wù)器則需在該"Access-Accept"消息中攜帶新的HA-RK信息�����,以充分利用EAP過(guò)程 的相關(guān)機(jī)制��,保證了新HA-RK可以在舊HA-RK過(guò)期前及時(shí)下發(fā)�。該 "Access-Accept"消息中還可以包含該HA-RK對(duì)應(yīng)的SPI和/或該HA-RK 的生命周期。具體地i兌��,如果該HA已經(jīng)有了對(duì)應(yīng)的HA-RK信息(但 f又有一套對(duì)應(yīng) 的HA-RK信息)而且HAAA服務(wù)器無(wú)需生成新的HA-RK�����,那么該HAAA 服務(wù)器就需要根據(jù)"Access-Request"消息中的NAS標(biāo)識(shí)��,判斷是否為該NAS 下發(fā)過(guò)當(dāng)前的HA-RK��,如果沒(méi)有�����,則通過(guò)"Access-Accept"消息下發(fā)當(dāng)前一 套的HA-RK信息給該NAS�����。如果該HA已經(jīng)有了對(duì)應(yīng)的兩套HA-RK信息��,則說(shuō)明HAAA服務(wù)器在 舊的HA-RK即將到期之前�,已生成了新的HA-RK,因此,該HAAA服務(wù)器 就需要根據(jù)"Access-R叫uest"消息中的NAS標(biāo)識(shí)����,判斷是否為該NAS下發(fā) 過(guò)任何的HA-RK信息���,如果沒(méi)有,就需要下發(fā)兩套HA-RK信息��;如果為該 NAS下發(fā)過(guò)原來(lái)的HA-KR信息�����,但是沒(méi)有為該NAS下發(fā)過(guò)新HA-RK信息�����, 就通過(guò)"Access-Accept"消息下發(fā)新的HA-RK信息��。由于在舊的HA-RK過(guò) 期之前�,AAA服務(wù)器提前生成和下發(fā)新的HA-RK,從而消除了舊HA-RK過(guò) 期和獲得新HA-RK之間的時(shí)間縫隙�����,使得MIP注冊(cè)可以無(wú)縫地進(jìn)行��。需要說(shuō)明的是��,如果HAAA服務(wù)器根據(jù)"Access-R叫uest"消息中的NAS 標(biāo)識(shí),判定已為該NAS下發(fā)過(guò)當(dāng)前的HA-RK���,而且該HAAA服務(wù)器無(wú)需生 成新的HA-RK�����,則在該"Access-Accept"消息中無(wú)需攜帶HA-RK信息����,以 提高EAP過(guò)程的效率�����。在本實(shí)施方式中�����,以舊的HA-RK即將到期�,HAAA服務(wù)器通過(guò) "Access-Accept"攜帶新的HA-RK信息為例進(jìn)行說(shuō)明,因此NAS中將保存 有兩套HA-RK信息����。接著,進(jìn)入步驟504,鑒權(quán)者(即NAS) /FA向該MS發(fā)送EAP的響應(yīng)消息。需要i兌明的是��,NAS收到"Access-Accept"消息以后�,更新本地的 HA-RK信息。該NAS需要維護(hù)HA-RK的生命周期����,在舊HA-RK生命周期 還沒(méi)有過(guò)期的時(shí)候不能刪除舊HA-RK。由于FA上保存有新舊兩套有效的 HA-RK�,因此在舊的HA-RK生命周期到期之前,可以僅使用舊的HA-RK直 到該HA-RK生命周期到期才啟用新的HA-RK����,或者,同時(shí)使用新舊兩套 HA-RK,以SPI進(jìn)行區(qū)分�,從而解決了兩套HA-RK同時(shí)存在時(shí)有可能產(chǎn)生 的相互沖突問(wèn)題�����。接著���,進(jìn)入步驟505���, MS向FA發(fā)送"MIP-RRQ" ( MIP注冊(cè)請(qǐng)求)消 息。如果FA與NAS不在同一個(gè)實(shí)體上,則FA可以通過(guò)與NAS的交互獲得 HA-RK及相關(guān)信息��。具體方式可以是NAS得到這些信息時(shí)主動(dòng)發(fā)給FA���,也 可以是FA需要這些信息時(shí)從NAS獲取����。接著����,進(jìn)入步驟506, FA計(jì)算MIP注冊(cè)請(qǐng)求的FA-HA認(rèn)證擴(kuò)展,并將 攜帶有FA-HA認(rèn)證擴(kuò)展的MIP注冊(cè)請(qǐng)求發(fā)送給HA��。由于FA上保存有新舊 兩套有效的HA-RK����,因此,如果此時(shí)舊的HA-RK生命周期尚未到期�����,貝'J FA 在收到來(lái)自MS的MIP注冊(cè)請(qǐng)求后�,可以隨機(jī)選擇一個(gè)HA-RK進(jìn)行計(jì)算MIP 注冊(cè)請(qǐng)求的FA-HA認(rèn)證擴(kuò)展,擴(kuò)展里包含SPI值����。HA收到MIP注冊(cè)請(qǐng)求后���,根據(jù)SPI查找HA-RK,如果已經(jīng)找到,那么 直接驗(yàn)證并且處理�����;如果沒(méi)找到�,則進(jìn)入步驟507,向HAAA服務(wù)器請(qǐng)求對(duì) 應(yīng)該SPI的HA-RK�����,即發(fā)送"Access-Request"消息�����,通過(guò)響應(yīng)消息得到請(qǐng) 求的HA-RK����。另 一種方式是HA維護(hù)HA-RK生命周期�����,到期以后主動(dòng)向AAA 請(qǐng)求HA-RK,而不需要等待MIP的觸發(fā)。在步驟508中��,HA對(duì)MIP注冊(cè)請(qǐng)求進(jìn)行驗(yàn)證并處理后��,向FA發(fā)送 "MIP-RRP" ( MIP注冊(cè)響應(yīng))消息�����。根據(jù)在對(duì)MIP注冊(cè)請(qǐng)求進(jìn)行驗(yàn)證時(shí)用 到的SPI對(duì)應(yīng)的密鑰進(jìn)行計(jì)算MIP注冊(cè)響應(yīng)的FA-HA認(rèn)證擴(kuò)展�,將攜帶有 FA-HA認(rèn)證擴(kuò)展的MIP注冊(cè)響應(yīng)消息發(fā)送給FA。 MIP注冊(cè)響應(yīng)所使用的HA-RK不一定要和MIP注冊(cè)請(qǐng)求時(shí)的HA-RK —致��,只要在相應(yīng)的消息中以 SPI指出使用了哪個(gè)HA-RK即可�����。接著�,進(jìn)入步驟509,鑒權(quán)者(即NAS ) /FA向MS發(fā)送"MIP-RRP" 消息�����,通知該MS注冊(cè)成功���。本發(fā)明的第二實(shí)施方式涉及移動(dòng)IP系統(tǒng)中更新HA-RK的方法����,本實(shí)施 方式與第一實(shí)施方式大致相同,其區(qū)別僅在于�����,在第一實(shí)施方式中��,HA-RK 和MSK是由同 一個(gè)AAA服務(wù)器產(chǎn)生的�����,而在本實(shí)施方式中��,HA-RK和MSK 是分別由不同的AAA服務(wù)器產(chǎn)生的���,因此���,在EAP過(guò)程中,由生成MSK 的AAA服務(wù)器從生成HA-RK的AAA服務(wù)器獲取HA-RK的生命周期�����,根 據(jù)獲取到的HA-RK的生命周期分配MSK的生命周期����,MSK的生命周期需 小于該HA-RK的生命周期。如果獲取到的HA-RK的生命周期即將到期���,也就是說(shuō)���,HA-RK剩余的 生命時(shí)間將小于或等于為MS產(chǎn)生的MSK的生命周期,則生成MSK的AAA 服務(wù)器需要通知生成HA-RK的AAA服務(wù)器����,生成并下發(fā)新的HA-RK,以 保證HA-RK剩余的生命時(shí)間大于MSK的生命周期����,使得MIP注冊(cè)可以無(wú) 縫地進(jìn)行。由此可見(jiàn)�����,如果HA-RK和MSK分別由不同的AAA服務(wù)器生成�����,則兩 個(gè)AAA服務(wù)器需要交互HA-RK生命周期的信息�,從而在HA-RK和MSK 分別由不同的AAA服務(wù)器生成的情況下也可以順利使用本發(fā)明的技術(shù)方案�����。本發(fā)明的第三實(shí)施方式涉及移動(dòng)IP系統(tǒng)中更新HA-RK的方法�����,本實(shí)施 方式與第一實(shí)施方式大致相同��,其區(qū)別僅在于����,在第一實(shí)施方式中�,HA-RK 和MSK是由同一個(gè)AAA服務(wù)器產(chǎn)生的,而在本實(shí)施方式中�,HA-RK和MSK 是分別由不同的AAA服務(wù)器產(chǎn)生的。并且���,在本實(shí)施方式中��,HA-RK由拜 訪地AAA服務(wù)器生成���,MSK由家鄉(xiāng)AAA服務(wù)器生成,也就是說(shuō)�����,拜訪地 AAA服務(wù)器知道HA-RK的生命周期����,剩余時(shí)間;而家鄉(xiāng)AAA服務(wù)器知道將要下發(fā)的MSK的生命周期����。如圖6所示,在EAP過(guò)程中�,當(dāng)拜訪地AAA服務(wù)器/代理收到鑒權(quán)者(即 NAS)/FA發(fā)送的"Access-Request"消息后,向HAAA服務(wù)器轉(zhuǎn)發(fā)該消息��, 并將來(lái)自該HAAA服務(wù)器的"Access-Accept"消息轉(zhuǎn)發(fā)給鑒權(quán)者(即NAS ) /FA����。 MSK的分配仍由該HAAA服務(wù)器完成,該拜訪地AAA服務(wù)器/代理收 到"Access-Accept"消息后���,記錄MSK的生命周期��,進(jìn)行HA-RK剩余的生 命時(shí)間是否小于或等于MSK的生命周期的判斷����,使得HA-RK和MSK分別 由不同的AAA服務(wù)器生成的情況下也可以順利使用本發(fā)明的技術(shù)方案。拜 訪地HA被選擇以后����,HA-RK相關(guān)信息由拜訪地AAA服務(wù)器/代理下發(fā)。個(gè)實(shí)體內(nèi)���,此時(shí)���,拜訪地AAA服務(wù)器和拜訪地AAA代理還需要一些請(qǐng)求過(guò) 程。例如��,拜訪地AAA代理從拜訪地AAA服務(wù)器獲得HA-RK的剩余的生 命時(shí)間�����,再進(jìn)行HA-RK剩余的生命時(shí)間是否小于或等于MSK的生命周期的 判定�;或者,拜訪地AAA代理將該MSK的生命周期信息傳遞給拜訪地AAA 服務(wù)器����,由該拜訪地AAA服務(wù)器進(jìn)行HA-RK剩余的生命時(shí)間是否小于或等 于MSK的生命周期的判定。無(wú)論是哪一種方式��,從邏輯上說(shuō),拜訪地AAA 服務(wù)器和拜訪地AAA代理都可以看成是一個(gè)邏輯實(shí)體���。本發(fā)明的第四實(shí)施方式涉及移動(dòng)IP系統(tǒng)�����,該移動(dòng)IP系統(tǒng)可以是WiMAX 系統(tǒng),如圖7所示�����,包含AAA服務(wù)器�、使用HA-RK的網(wǎng)絡(luò)側(cè)實(shí)體(如NAS、 HA)����、判斷單元、和MS�����。該判斷單元用于在舊的HA-RK過(guò)期之前判斷舊的HA-RK剩余的生命時(shí) 間是否滿足預(yù)定條件�����,在滿足該預(yù)定條件時(shí)指示AAA服務(wù)器生成并向使用 HA-RK的各網(wǎng)絡(luò)側(cè)實(shí)體下發(fā)新的HA-RK。在MS發(fā)起的EAP過(guò)程中觸發(fā)該 判斷單元進(jìn)行判斷�����。判斷單元是一個(gè)邏輯單元��,通??梢宰鳛锳AA服務(wù)器 或AAA代理的一個(gè)功能模塊,也可以是其它實(shí)體的一個(gè)部分�����,甚至作為一個(gè)獨(dú)立實(shí)體存在��。其中�,預(yù)定條件是HA-RK剩余的生命時(shí)間小于或等于為該MS產(chǎn)生的 MSK的生命周期。在實(shí)際應(yīng)用中�����,該判斷單元可以是AAA服務(wù)器或AAA 代理的一部分�����。由此可見(jiàn)��,在舊的HA-RK過(guò)期之前,AAA服務(wù)器提前生成 和下發(fā)了新的HA-RK�,從而消除了舊HA-RK過(guò)期和獲得新HA-RK之間的 時(shí)間縫隙,使得MIP注冊(cè)可以無(wú)縫地進(jìn)行�。如果網(wǎng)絡(luò)側(cè)實(shí)體上同時(shí)存在新舊兩套有效的HA-RK,則在舊的HA-RK 生命周期到期之前���,可以僅使用舊的HA-RK直到該HA-RK生命周期到期才 啟用新的HA-RK���,或者,同時(shí)使用新舊兩套HA-RK,以SPI進(jìn)行區(qū)分���,解 決了兩套HA-RK同時(shí)存在時(shí)有可能產(chǎn)生的相互沖突問(wèn)題。綜上所述�,在本發(fā)明的各實(shí)施方式中,在舊的HA-RK過(guò)期之前��,AAA 服務(wù)器提前生成和下發(fā)新的HA-RK,從而消除了舊HA-RK過(guò)期和獲得新 HA-RK之間的時(shí)間縫隙�,使得MIP注冊(cè)可以無(wú)縫地進(jìn)行。HA-RK的生命周期應(yīng)當(dāng)大于MSK的生命周期�,在EAP過(guò)程中,如果舊 HA-RK剩余的生命時(shí)間小于或等于MSK的生命周期�����,則下發(fā)新的HA-RK, 否則可以不下發(fā)新的HA-RK。利用EAP過(guò)程的相關(guān)機(jī)制保證了新HA-RK可 以在舊HA-RK過(guò)期前及時(shí)下發(fā)���。因?yàn)椴恍枰诿看蜤AP過(guò)程中都下發(fā) HA-RK,所以EAP過(guò)程的效率更高�。如果網(wǎng)絡(luò)側(cè)實(shí)體上同時(shí)存在新舊兩套有效的HA-RK�����,則可以僅使用舊的 HA-RK直到其生命周期結(jié)束才啟用新的HA-RK��,也可以同時(shí)使用新舊兩套 HA-RK���,以SPI區(qū)分��。從而解決了兩套HA-RK同時(shí)存在時(shí)有可能產(chǎn)生的相 互沖突問(wèn)題����。上述各實(shí)施方式雖是以客戶端移動(dòng)IP (Client Mobile IP�����,簡(jiǎn)稱"CMIP") 為例進(jìn)行說(shuō)明的�����,但完全可以使用在代理移動(dòng)IP (Proxy Mobile IP,簡(jiǎn)稱 "PMIP")的情況中,可以理解�����,這兩種情況下與本發(fā)明實(shí)質(zhì)內(nèi)容相關(guān)的步驟都是相同的���,只是在MIP發(fā)起的細(xì)節(jié)上有些不同����。雖然通過(guò)參照本發(fā)明的某些優(yōu)選實(shí)施方式���,已經(jīng)對(duì)本發(fā)明進(jìn)行了圖示和 描述���,但本領(lǐng)域的普通技術(shù)人員應(yīng)該明白�����,可以在形式上和細(xì)節(jié)上對(duì)其作各 種改變���,而不偏離本發(fā)明的精神和范圍���。
權(quán)利要求
1. 一種移動(dòng)IP系統(tǒng)中更新家鄉(xiāng)代理根密鑰的方法��,其特征在于��,在舊的HA-RK過(guò)期之前��,認(rèn)證���、授權(quán)和計(jì)費(fèi)AAA服務(wù)器生成新的HA-RK,并將該新的HA-RK發(fā)送到使用家鄉(xiāng)代理根密鑰HA-RK的網(wǎng)絡(luò)側(cè)實(shí)體��。
2. 根據(jù)權(quán)利要求1所述的移動(dòng)IP系統(tǒng)中更新家鄉(xiāng)代理根密鑰的方法���, 其特征在于�����,所述網(wǎng)絡(luò)側(cè)實(shí)體包括網(wǎng)絡(luò)認(rèn)證服務(wù)器NAS�����。
3. 根據(jù)權(quán)利要求2所述的移動(dòng)IP系統(tǒng)中更新家鄉(xiāng)代理根密鑰的方法����, 其特征在于��,所述AAA服務(wù)器通過(guò)以下步驟在舊的HA-RK過(guò)期前將新的 HA-RK下發(fā)到NAS:在移動(dòng)臺(tái)觸發(fā)的可擴(kuò)展認(rèn)證協(xié)議EAP過(guò)程中,如果AAA服務(wù)器或AAA 代理判定HA-RK剩余的生命時(shí)間小于或等于為該移動(dòng)臺(tái)產(chǎn)生的主會(huì)話密鑰 MSK的生命周期�����,則AAA服務(wù)器生成新的HA-RK并通過(guò)EAP過(guò)程的消息 發(fā)送給該移動(dòng)臺(tái)對(duì)應(yīng)的NAS;其中��,所述HA-RK的生命周期大于所述MSK的生命周期�。
4. 根據(jù)權(quán)利要求3所述的移動(dòng)IP系統(tǒng)中更新家鄉(xiāng)代理根密鑰的方法, 其特征在于����,所述AAA服務(wù)器通過(guò)EAP過(guò)程的接入接受Access-Accept消 息將新的HA-RK發(fā)送給所述NAS,該消息還包含該HA-RK對(duì)應(yīng)的安全參 數(shù)索引SPI和/或該HA-RK的生命周期。
5. 根據(jù)權(quán)利要求3所述的移動(dòng)IP系統(tǒng)中更新家鄉(xiāng)代理根密鑰的方法�, 其特征在于,在所述EAP過(guò)程中��,如果所述AAA服務(wù)器判定所述移動(dòng)臺(tái)的 家鄉(xiāng)代理HA已經(jīng)有了新舊兩套HA-RK���,而所述NAS沒(méi)有HA-RK ,則向該 NAS同時(shí)下發(fā)新舊兩套HA-RK,該消息還包含對(duì)應(yīng)HA-RK對(duì)應(yīng)的安全參 數(shù)索引SPI和/或該HA-RK的生命周期����。
6. 根據(jù)權(quán)利要求3所述的移動(dòng)IP系統(tǒng)中更新家鄉(xiāng)代理根密鑰的方法,其特征在子�,如杲HA-RK和MSK分別由不同的AAA服務(wù)器生成�,則在所 述EAP過(guò)程中�����,生成MSK的AAA服務(wù)器從生成HA-RK的AAA服務(wù)器獲 取HA-RK的生命周期���。
7. 根據(jù)權(quán)利要求3所述的移動(dòng)IP系統(tǒng)中更新家鄉(xiāng)代理根密鑰的方法���, 其特征在于,如果HA-RK由拜訪地AAA服務(wù)器生成�,MSK由家鄉(xiāng)AAA 服務(wù)器生成,則拜訪地AAA代理在EAP過(guò)程中記錄MSK的生命周期���,并從拜訪地 AAA服務(wù)器獲得HA-RK的剩余的生命時(shí)間���,再進(jìn)行HA-RK剩余的生命時(shí) 間是否小于或等于MSK的生命周期的所述判定;或者拜訪地AAA代理在EAP過(guò)程中記錄MSK的生命周期��,并將該MSK 的生命周期信息傳遞給所述拜訪地AAA服務(wù)器��,由該拜訪地AAA服務(wù)器 進(jìn)行HA-RK剩余的生命時(shí)間是否小于或等于MSK的生命周期的所述判定�����。
8. 根據(jù)權(quán)利要求1至6中任一項(xiàng)所述的移動(dòng)IP系統(tǒng)中更新家鄉(xiāng)代理根 密鑰的方法,其特征在于��,如果所述網(wǎng)絡(luò)側(cè)實(shí)體上同時(shí)存在新舊兩套有效的 HA-RK��,則在舊的HA-RK生命周期到期之前�����,僅使用舊的HA-RK直到該HA-RK生命周期到期才啟用新的HA-RK�����, 或者���,同時(shí)使用新舊兩套HA-RK�����,以SPI區(qū)分�。
9. 一種移動(dòng)IP系統(tǒng)��,包含AAA服務(wù)器和使用HA-RK的至少一個(gè)網(wǎng) 絡(luò)側(cè)實(shí)體�,其特征在于��,還包含判斷單元,用于在舊的HA-RK過(guò)期之前判斷舊的HA-RK剩余的生命 時(shí)間是否滿足預(yù)定條件��,在滿足該預(yù)定條件時(shí)指示所述AAA服務(wù)器生成并 向使用HA-RK的各所述網(wǎng)絡(luò)側(cè)實(shí)體下發(fā)新的HA-RK����。
10. 根據(jù)權(quán)利要求9所述的移動(dòng)IP系統(tǒng),其特征在于�����,所述網(wǎng)絡(luò)側(cè)實(shí)體包舍NAS;所述判斷單元是AAA服務(wù)器或AAA代理的一部分����;在移動(dòng)臺(tái)觸發(fā)的EAP過(guò)程中觸發(fā)所述判斷單元進(jìn)行所述判斷;所述預(yù)定條件是HA - RK剩余的生命時(shí)間小于或等于為所述移動(dòng)臺(tái)產(chǎn)生 的MSK的生命周期��。
11. 根據(jù)權(quán)利要求9所述的移動(dòng)IP系統(tǒng)���,其特征在于�,如果所述網(wǎng)絡(luò) 側(cè)實(shí)體上同時(shí)存在新舊兩套有效的HA-RK����,則在舊的HA-RK生命周期到期 之前,僅使用舊的HA-RK直到該HA-RK生命周期到期才啟用新的HA-RK, 或者,同時(shí)使用新舊兩套HA-RK,以安全參數(shù)索引SPI區(qū)分�����。
12. 根據(jù)權(quán)利要求9所述的移動(dòng)IP系統(tǒng)�,其特征在于,所述移動(dòng)IP系 統(tǒng)是微波接入全球互通系統(tǒng)����。
全文摘要
本發(fā)明涉及無(wú)線通信領(lǐng)域,公開(kāi)了一種移動(dòng)IP系統(tǒng)及更新家鄉(xiāng)代理根密鑰的方法����。本發(fā)明中,在舊的HA-RK過(guò)期之前���,AAA服務(wù)器提前生成和下發(fā)新的HA-RK�,從而消除了舊HA-RK過(guò)期和獲得新HA-RK之間的時(shí)間縫隙�����,使得MIP注冊(cè)可以無(wú)縫地進(jìn)行�����。系統(tǒng)中HA-RK的生命周期要大于MSK的生命周期。在EAP過(guò)程中��,如果舊HA-RK剩余的生命時(shí)間小于或等于MSK的生命周期�����,則下發(fā)新的HA-RK�����,否則可以不下發(fā)新的HA-RK�����。如果網(wǎng)絡(luò)側(cè)實(shí)體上同時(shí)存在新舊兩套有效的HA-RK����,則可以僅使用舊的HA-RK直到其生命周期結(jié)束才啟用新的HA-RK��,也可以同時(shí)使用新舊兩套HA-RK����,SPI區(qū)分。
文檔編號(hào)H04L29/06GK101227458SQ20071000744
公開(kāi)日2008年7月23日 申請(qǐng)日期2007年1月16日 優(yōu)先權(quán)日2007年1月16日
發(fā)明者何賢會(huì), 吳建軍, 梁文亮 申請(qǐng)人:華為技術(shù)有限公司