專利名稱:用于傳輸dhcp消息的方法
技術(shù)領(lǐng)域:
本發(fā)明涉及用于在電信網(wǎng)�,尤其按照WiMAX標(biāo)準(zhǔn)的電信網(wǎng)與電信 網(wǎng)的互聯(lián)網(wǎng)協(xié)議(IP)訂戶之間傳輸DHCP消息的方法。
在以下的說明中�,參照WiMAX電信網(wǎng)來解釋作為本發(fā)明的基礎(chǔ)的 問題。這種對(duì)WiMAX電信網(wǎng)的參照僅僅是一個(gè)例子����。事實(shí)上,本發(fā)明 涉及任何種類的電信網(wǎng)��。
背景技術(shù):
WiMAX網(wǎng)絡(luò)包含與核心網(wǎng)兼容的WiMAX連接性服務(wù)網(wǎng)絡(luò)(CSN) 和具有無線接入網(wǎng)的作用的WiMAX接入服務(wù)網(wǎng)絡(luò)(ASN)。 ASN和CSN 可以由不同的商業(yè)實(shí)體或運(yùn)營商運(yùn)行����。WiMAX網(wǎng)絡(luò)的總的結(jié)構(gòu)顯示于 圖1,圖1顯示W(wǎng)iMAX的參考模型。網(wǎng)絡(luò)參考模型的詳細(xì)說明可以在 www.wimaxforum.org/technology/documents/ 下在說明書 "WiMAX end-to-end network systems architecture(WiMAX點(diǎn)對(duì)點(diǎn)網(wǎng)絡(luò)系統(tǒng)結(jié) 構(gòu))"�、笫6章"Network Reference Model (網(wǎng)絡(luò)參考模型)"中找到。這 個(gè)草案說明書的內(nèi)容通過引用結(jié)合到本說明書中����。
CSN常常包含WiMAX訂戶的本地代理(home agent)。本地代理 不能位于ASN中���。本地代理具有在訂戶遠(yuǎn)離本地時(shí)保衛(wèi)訂戶在它的本地 網(wǎng)絡(luò)(CSN)上的本地地址的任務(wù)����。這意味著����,訂戶的本地地址在本地 代理位于的子網(wǎng)絡(luò)中的拓樸是正確的,這樣����,本地地址必須由CSN域分 配。WiMAX訂戶的本地網(wǎng)絡(luò)可以被動(dòng)態(tài)地分配���,并且它可以是或者在 本地-CSN(H-CSN)中或者所訪問的CSN(V-CSN)中��,這取決于在本地與 所訪問的WiMAX網(wǎng)絡(luò)服務(wù)供應(yīng)商(NSP)之間的漫游協(xié)議�����。
WiMAX網(wǎng)絡(luò)結(jié)構(gòu)的特征是對(duì)于不包含移動(dòng)IP堆棧的實(shí)施方案的所 謂的"簡(jiǎn)單的互聯(lián)網(wǎng)協(xié)議(IP)"終端作為訂戶的支持���。對(duì)于這些設(shè)備而言 在網(wǎng)絡(luò)(IP)層處的移動(dòng)性由ASN借助于代理移動(dòng)(proxy mobile) IP進(jìn) 行管理。
簡(jiǎn)單的IP終端使用DHCP來獲得IP地址和其它IP配置參數(shù)�����。用 于筒單的IP終端的IP地址由CSN(H-CSN或V-CSN)進(jìn)行分配��,但將這 個(gè)地址分配到終端是由接入網(wǎng)ASN執(zhí)行的����。對(duì)于該地址分配,DHCP中繼器(relay)必須在ASN中提供���。與此相反��,DPCH服務(wù)器位于CSN 中�����,而在ASN中的DHCP中繼器把DHCP消息從簡(jiǎn)單的IP終端中繼到 CSN中的DHCP服務(wù)器�。在這種情形下,在訂戶i人證(subscriber authentication )期間�,CSN給ASN提供CSN中的DHCP服務(wù)器的IP 地址。這個(gè)地址以后由在ASN中的DHCP中繼器^f吏用以把來自終端的 DHCP消息中繼到正確的DHCP服務(wù)器��。DHCP服務(wù)器可以位于V-CSN 中或是位于H-CSN中��。在那些情形下�����,假設(shè)ASN和CSN可以由未知的 IP云(例如公共互聯(lián)網(wǎng))分隔開���。參照?qǐng)D1,參考點(diǎn)R3和R5可以在這 樣的不受信任的IP基礎(chǔ)結(jié)構(gòu)上運(yùn)行�����。因?yàn)殡娦啪W(wǎng)的這種拓樸���,在CSN中的DHCP服務(wù)器對(duì)于各種類型 的攻擊是脆弱的。攻擊可以從連接ASN和CSN的不受信任的網(wǎng)絡(luò)以及 從已認(rèn)證的但誤操作的WiMAX訂戶二者發(fā)起�����。如果在ASN中的DHCP 中繼器和在 CSN 中的 DHCP服務(wù)器部署如在 RFC 4030(http:〃rfc.net/rfc4030.html)中規(guī)定的中繼代理認(rèn)證子選項(xiàng)(relay agent authentication suboption ),則可以避免這些J丈擊。在RFC 4030 中規(guī)定的方法提供DHCP消息的認(rèn)證�����、完整性保護(hù)和回放(replay)保 護(hù)��。由此���,假設(shè)DHCP中繼器和DHCP服務(wù)器共享一個(gè)秘密密鑰(secret key),該秘密密鑰被使用來計(jì)算密碼檢驗(yàn)和���,這提供了上述保護(hù)����。發(fā)明內(nèi)容所以��,本發(fā)明的目的是提高在電信網(wǎng)與IP訂戶之間交換DHCP消 息時(shí)的安全性�。按照本發(fā)明,提供了用于在電信網(wǎng)����,特別是按照WiMAX標(biāo)準(zhǔn)的電 信網(wǎng)與電信網(wǎng)的互聯(lián)網(wǎng)協(xié)議(IP)訂戶之間傳輸DHCP消息的方法�����,其中 用加密密鑰保密的信息被加到DHCP消息中�,以及其中加密密鑰從由電 信網(wǎng)的網(wǎng)絡(luò)部件提供的基本密鑰得到����。通過用從基本密鑰得到的加密密鑰來保密某些信息可以提供對(duì)抗誤 用(against misuse)的最大安全性。加密密鑰僅僅用于保密被添加到 DHCP消息的信息��,但不是DHCP消息本身��。這意味著����,加密密鑰被使 用來對(duì)消息進(jìn)行數(shù)字簽名。僅僅擁有加密密鑰的實(shí)體可以計(jì)算簽名��,由 此驗(yàn)證消息的合法性(authenticity)�����。發(fā)送'的實(shí)體計(jì)算消息簽名(使用加 密密鑰作為計(jì)算的一部分)����,并把簽名加到消息中��。接收實(shí)體(也擁有加 密密鑰)自己重新計(jì)算簽名���,并把結(jié)果與在消息中接收的簽名相比較。如果它們匹配��,則接收實(shí)體可以確信��,接收的消息被擁有加密密鑰的實(shí)體 簽名(以及沒有用路由篡改消息)�����。加密密鑰可以從基本密鑰動(dòng)態(tài)地得到��,
以便保護(hù)DHCP消息���。
按照另外的實(shí)施例,加密密鑰被使用來保密在任選地位于電信網(wǎng)的 不同網(wǎng)絡(luò)(子網(wǎng))的DHCP服務(wù)器與DHCP中繼器之間交換的DHCP消 息�����。DHCP服務(wù)器可以位于核心網(wǎng)�����,諸如CSN,而DHCP中繼器可以位 于接入網(wǎng)���,諸如在WiMAX電信網(wǎng)中的ASN�。因?yàn)槭褂眉用苊荑€來保密 保護(hù)在DHCP服務(wù)器與DHCP中繼器之間交換的DHCP消息����,消息可 通過不受信任的IP基礎(chǔ)結(jié)構(gòu)傳送,而沒有DHCP服務(wù)器可能成為攻擊 目標(biāo)的危險(xiǎn)����。
按照另外的實(shí)施例,訂戶生成的DHCP消息由電信網(wǎng)截取����,其中當(dāng) DHCP消息完成安全和/或真實(shí)性檢查時(shí),添加由加密密鑰加密的信息����。 截取和檢查DHCP消息可以由DHCP中繼器完成。截取和檢查包括指向 DHCP服務(wù)器的單播流量�����。從而���,可以完成對(duì)每一個(gè)DHCP消息內(nèi)容的 驗(yàn)證���。萬一DHCP消息通過各種關(guān)于欺騙�����、DoS攻擊等的安全和/或真實(shí) 性檢查��,用加密密鑰加密的信息將加到消息中���,從而確保對(duì)于電信網(wǎng), 尤其是DHCP服務(wù)器�,這是合法的DHCP消息���。
按照另外的實(shí)施例��,基本密鑰通過使用生成的隨機(jī)值被生成��。隨機(jī) 值可以由在訂戶的本地網(wǎng)絡(luò)中的AAA服務(wù)器生成��。AAA服務(wù)器可以位 于核心網(wǎng)中����,例如CSN。為了保密原因�,基本密鑰可以是特定于DHCP 服務(wù)器的。由AAA服務(wù)器生成的密鑰可以通過使用RADIUS協(xié)議而被 傳送到DHCP服務(wù)器�����。RADIUS協(xié)議還可被使用來傳送基本密鑰到可擴(kuò) 展的認(rèn)證協(xié)議或認(rèn)證器(IAP)�����,如將在后面描述的����。
按照另外的實(shí)施例,基本密鑰和相關(guān)聯(lián)的密鑰標(biāo)識(shí)符�����,分別標(biāo)識(shí)基 本密鑰的相關(guān)聯(lián)的密鑰��,優(yōu)選地在接入請(qǐng)求消息中從訂戶的本地網(wǎng)絡(luò)的 AAA服務(wù)器被傳送到為訂戶服務(wù)的接入網(wǎng)�����。相關(guān)聯(lián)的密鑰標(biāo)識(shí)符可以由 AAA服務(wù)器生成。
按照另外的實(shí)施例���,加密密鑰是特定于在各個(gè)接入服務(wù)網(wǎng)中的每個(gè) 接入網(wǎng)網(wǎng)關(guān)而得到的���,接入網(wǎng)網(wǎng)關(guān)用作為用于訂戶的DHCP中繼器。這 意味著�,從基本密鑰得到特定于每個(gè)DHCP中繼器/DHCP服務(wù)器對(duì)的附 加加密密鑰,其中這些密鑰被使用來保護(hù)在電信網(wǎng)與訂戶之間特別是在 DHCP中繼器與DHCP服務(wù)器之間交換的DHCP消息�����?��;久荑€和得到
6的密鑰并不綁定到單個(gè)用戶或認(rèn)證會(huì)話�,但綁定到特定的DHCP服務(wù)器 和DHCP中繼器/DHCP服務(wù)器對(duì)�����。接入網(wǎng)網(wǎng)關(guān)特定的加密密鑰通過使用基本密鑰而被生成���。在另外的實(shí)施例中,接入網(wǎng)網(wǎng)關(guān)特定的加密密鑰被使用來計(jì)算中繼 代理認(rèn)證子選項(xiàng)作為保密信息�����。這意味著,對(duì)于中繼代理認(rèn)證子選項(xiàng)的 計(jì)算�,不使用基本密鑰而是使用從基本密鑰得到的、并且是對(duì)于接入網(wǎng) 網(wǎng)關(guān)特定的加密密鑰��。接入網(wǎng)網(wǎng)關(guān)用作為訂戶的DHCP中繼器�。所建議 的、使得得到的加密密鑰特定于每個(gè)應(yīng)用網(wǎng)絡(luò)網(wǎng)關(guān)的方法是把應(yīng)用網(wǎng)絡(luò) 網(wǎng)關(guān)的IP地址包括在密鑰得到過程中�。當(dāng)在核心網(wǎng)中的DHCP服務(wù)器接收包含中繼代理認(rèn)證子選項(xiàng)的 DHCP消息時(shí),它必須驗(yàn)證認(rèn)證子選項(xiàng)�。萬一DHCP服務(wù)器還沒有對(duì)應(yīng) 于被包含在接收的認(rèn)證子選項(xiàng)中的密鑰標(biāo)識(shí)符的基本密鑰,DHCP服務(wù) 器將從AAA服務(wù)器請(qǐng)求基本密鑰���。這可以以與當(dāng)本地代理需要驗(yàn)證在移 動(dòng)IP登記請(qǐng)求消息中的外部代理-本地代理(FA-HA)認(rèn)證擴(kuò)展時(shí)��,本地代 理請(qǐng)求本地代理-根密鑰(HA-RK)的相同的方式完成���。DHCP服務(wù)器可以 使用接入請(qǐng)求消息來從AAA服務(wù)器請(qǐng)求基本密鑰。DHCP服務(wù)器必須把 來自接收的DHCP消息的認(rèn)證子選項(xiàng)的密鑰標(biāo)識(shí)符字段的值包括在接入 禁止(access except)消息中�。AAA服務(wù)器把對(duì)應(yīng)于DHCP服務(wù)器的基 本密鑰和指示的密鑰標(biāo)識(shí)符在接入接受消息中傳遞到請(qǐng)求的DHCP服務(wù) 器。萬一密鑰標(biāo)識(shí)符對(duì)于AAA服務(wù)器是未知的���,則AAA服務(wù)器把接入 拒絕發(fā)送到DHCP服務(wù)器����。另一方面,如果與接收的密鑰標(biāo)識(shí)符相關(guān)聯(lián) 的基本密鑰在DHCP服務(wù)器中已經(jīng)可用���,則DHCP服務(wù)器不需要向AAA 服務(wù)器請(qǐng)求基本密鑰����。在這種情形下����,DHCP服務(wù)器將使用已經(jīng)可用的 基本密鑰。 一旦基本密鑰是在DHCP服務(wù)器處可用的���,它就生成特定于 這個(gè)DHCP中繼器的加密密鑰���,并使用生成的密鑰來驗(yàn)證認(rèn)證子選項(xiàng)。 DHCP服務(wù)器還通過使用請(qǐng)求的加密密鑰來計(jì)算它而把中繼代理認(rèn)證子 選項(xiàng)包括在它的回答中�����。在本發(fā)明的另外的實(shí)施例中����,基本密鑰、相關(guān)聯(lián)的密鑰標(biāo)識(shí)符和基 本密鑰的生存期將被保持在用作為可擴(kuò)展的認(rèn)證協(xié)議(EAP)認(rèn)證器的接 入網(wǎng)網(wǎng)關(guān)中���,直至基本密鑰的生存期到期為止���。按照另外的實(shí)施例,在用作為用于訂戶的DHCP中繼器的接入網(wǎng)網(wǎng) 關(guān)中加密密鑰�、密鑰標(biāo)識(shí)符和回放檢測(cè)計(jì)數(shù)器(replay detection counte》將被保持。
按照另外的實(shí)施例���,將密鑰標(biāo)識(shí)符和回放檢測(cè)值�,經(jīng)由尤其是
WiMAX�,特定的信令消息,從舊的DHCP中繼器傳送到新的DHCP中 繼器作為上下文的一部分��。
在任何時(shí)刻�,AAA服務(wù)器可以具有幾個(gè)特定于單個(gè)DHCP服務(wù)器的 有效的基本密鑰。這些基本密鑰必須具有不同的密鑰標(biāo)識(shí)符并且可以具 有不同的生存期����。由此,保證基本密鑰的無接縫刷新��,使得舊的和新的 基本密鑰能夠在某個(gè)時(shí)間間隔內(nèi)共同存在和同時(shí)被使用���。
在另外的實(shí)施例中�,當(dāng)在訂戶的本地網(wǎng)絡(luò)中的DHCP服務(wù)器從接入 網(wǎng)的DHCP中繼器接收DHCP消息時(shí),對(duì)于其加密密鑰還不可用�,但認(rèn) 證子選項(xiàng)表示密鑰標(biāo)識(shí)符對(duì)于DHCP服務(wù)器是已知的,DHCP服務(wù)器從 與接收的密鑰標(biāo)識(shí)符相關(guān)聯(lián)的已知的基本密鑰生成新的加密密鑰�。
按照另外的實(shí)施例,使用用于加密密鑰和用于基本密鑰的導(dǎo)出規(guī)則����。
本發(fā)明還包括用于實(shí)現(xiàn)按照前面描述的任何方式的方法的一個(gè)或多 個(gè)電信網(wǎng)部件。
本發(fā)明使能經(jīng)由諸如互聯(lián)網(wǎng)的不受信任的IP網(wǎng)絡(luò)連接在接入網(wǎng)中 的DHCP中繼器和在核心網(wǎng)中的DHCP服務(wù)器�����。通過提供有效的密鑰管 理機(jī)制��,有可能在DHCP消息中提供中繼代理認(rèn)證子選項(xiàng)���,它避免核心 網(wǎng)中的DHCP服務(wù)器受到各種類型的攻擊��。由于被使用來保密DHCP消 息的加密密鑰被動(dòng)態(tài)地導(dǎo)出并且具有綁定到訂戶會(huì)話的生存期的有限的 生存期�����,所提供的方法能夠非常廣泛的部署��。
將通過例子和對(duì)附圖的參照而描述本發(fā)明��。 圖1顯示按照WiMAX電信網(wǎng)的網(wǎng)絡(luò)參考模型�����, 圖2顯示W(wǎng)iMAX密鑰分級(jí)結(jié)構(gòu)(hierarchy ), 圖3顯示初始DHCP密鑰分發(fā)的過程�����,以及
圖4顯示在認(rèn)證器(authenticator)和DHCP中繼器不是一起布置 (collocate)的情形下DHCP密鑰分發(fā)的示意圖��。
具體實(shí)施例方式
將參照WiMAX電信網(wǎng)描述本發(fā)明��。已知的WiMAX網(wǎng)絡(luò)參考模型 顯示于圖1��。 WiMAX電信網(wǎng)結(jié)構(gòu)的特征是支持"簡(jiǎn)單的IP"終端SS/MS�。 這些簡(jiǎn)單的IP終端SS/MS使用DHCP(動(dòng)態(tài)主機(jī)配置協(xié)議)來獲取IP地址和其它IP配置參數(shù)��。用于將被稱為訂戶的IP終端SS/MS的IP地址 由WiMAX連接性服務(wù)網(wǎng)(CSN)(或者本地-CSN(本地的VSP)或者所訪 問-CSN(所訪問的CSN))分配�。把IP地址分配給訂戶SS/MS由被稱為 接入網(wǎng)的WiMAX接入服務(wù)網(wǎng)(ASN)執(zhí)行。按照本發(fā)明�����,IP地址的分配將通過使用在ASN中的DHCP中繼器 而完成。由此��,假定DHCP服務(wù)器位于CSN中并且ASN提供DHCP中 繼器�����。DHCP中繼器的目的是把來自訂戶SS/MS的DHCP消息中繼到在 CSN中的DHCP服務(wù)器�。在訂戶認(rèn)證期間,CSN給ASN提供在CSN中 的DHCP服務(wù)器的IP地址�。這個(gè)IP地址在以后被DHCP中繼器使用以 便把來自終端的DHCP消息中繼到正確的DHCP服務(wù)器。由于CSN和 ASN可以位于經(jīng)由未知的IP網(wǎng)絡(luò)(例如公共互聯(lián)網(wǎng))而連接的不同的 子網(wǎng)絡(luò)中��。結(jié)果����,在DHCP中繼器和DHCP服務(wù)器之間交換的數(shù)據(jù)可以 在不受信任的IP基礎(chǔ)結(jié)構(gòu)上運(yùn)行(參閱節(jié)點(diǎn)R3和R5)。為了避免DHCP服務(wù)器可能受到攻擊�,本發(fā)明建議使用加密密鑰(此 后稱為DHCP密鑰)來保密(secure)在DHCP中繼器與DHCP服務(wù)器 之間的DHCP消息。類似的方法已經(jīng)由WiMAX論壇NWG標(biāo)準(zhǔn)使用來 生成HA-RK��,該HA-RK用于在HA與FA之間的移動(dòng)IP信令的認(rèn)證���。 圖2顯示具有各種密鑰的WiMAX密鑰分級(jí)結(jié)構(gòu)以及它們是如何得到的����。 對(duì)這個(gè)已知的圖示的說明可以在RFC 4030中找到。DHCP密鑰從將被 稱為DHCP-RK(根密鑰(Root Key ))的基本密鑰生成����。DHCP-RK密鑰 由位于CSN中的AAA服務(wù)器生成。通過使用AAA協(xié)議將密鑰輸送到 DHCP中繼器和DHCP服務(wù)器���。從DHCP-RK得出附加的DHCP密鑰, 其對(duì)于每個(gè)DHCP中繼器/DHCP服務(wù)器對(duì)是特定的�����,并且這些DHCP 密鑰被使用來保護(hù)在DHCP中繼器(若干個(gè))與DHCP服務(wù)器之間交換 的DHCP消息����。DHCP-RK和從它得出的DHCP密鑰不取決于由于特定的EAP認(rèn)證 而生成的主會(huì)話密鑰(MSK)或擴(kuò)展的主會(huì)話密鑰(EMSK)。因此���, DHCP-RK和得出的DHCP密鑰并不綁定到(bind to)單個(gè)用戶或認(rèn)證 會(huì)話����,但綁定到特定的DHCP服務(wù)器和DHCP中繼器/DHCP服務(wù)器對(duì)���。 DHCP-RK僅僅按要求被生成�����,而不是用于每次發(fā)生的EAP(重新)認(rèn)證����。 無論如何,DHCP-RK密鑰連同密鑰標(biāo)識(shí)符和生存期值(lifetime value ) 一起在訂戶的網(wǎng)絡(luò)接入認(rèn)證期間被傳遞到認(rèn)證器��。生存期和由DHCP月艮務(wù)器生成的并且標(biāo)識(shí)特定的DHCP-RK的密鑰標(biāo)識(shí)符由AAA服務(wù)器管 理���。AAA服務(wù)器負(fù)責(zé)在DHCP-RK到期之前把新的DHCP-RK傳遞到認(rèn)證器�。
DHCP-RK由分配DHCP服務(wù)器到認(rèn)證訂戶的AAA月艮務(wù)器生成�。 對(duì)于每個(gè)DHCP服務(wù)器生成不同的DHCP-RK。 DHCP-RK可以由AAA 服務(wù)器如下地生成
DHCP-RK=HMAC-SHA1(RAND�,"DHCP應(yīng)用才艮密鑰,���,)�����。 由此�����,RAND是由AAA服務(wù)器生成的隨機(jī)值���。AAA服務(wù)器還把每 個(gè)DHCP-RK與唯一的密鑰標(biāo)識(shí)符相關(guān)聯(lián)����。密鑰標(biāo)識(shí)符在RFC 4030中 被定義�。在單個(gè)DHCP服務(wù)器的范圍內(nèi)密鑰標(biāo)識(shí)符是唯一。在對(duì)于單個(gè) DHCP服務(wù)器同時(shí)存在幾個(gè)DHCP-RK的情形下�,它們必須具有不同的 密鑰標(biāo)識(shí)符。屬于不同的DHCP服務(wù)器的DHCP-RK可以使用同一個(gè)密 鑰標(biāo)識(shí)符���。AAA服務(wù)器把DHCP-RK傳遞到EAP認(rèn)證器和DHCP服務(wù) 器。
如果由特定的DHCP中繼器進(jìn)行請(qǐng)求����,則EAP認(rèn)證器從DHCP-RK 生成用于特定的DHCP中繼器/DHCP服務(wù)器對(duì)的DHCP密鑰。特定于 DHCP中繼器(其也被稱為應(yīng)用網(wǎng)絡(luò)網(wǎng)關(guān)ASN-GW)的DHCP密鑰可以 如下得出
DHCPkey=HMAC SHA1(DHCP畫RK���,"DHCP AUTH", DHCP畫中繼 器-IP�����, DHCP畫服務(wù)器-IP);也即DHCP key = HMAC SHA1 (DHCP畫RK���, "DHCP AUTH" ����, DHCP-Relay國IP�, DHCP-Server-IP)。
這個(gè)密鑰由EAP認(rèn)證器和DHCP服務(wù)器得出�����。它被EAP認(rèn)證器傳 送到DHCP中繼器�����。
在任何時(shí)刻�����,AAA服務(wù)器可以具有特定于單個(gè)DHCP服務(wù)器的幾個(gè) 有效的DHCP-RK密鑰�。這些DHCP-RK密鑰必須具有不同的密鑰標(biāo)識(shí) 符并且可以具有不同的生存期。這是使能DHCP-RK的無縫更新所需要 的�����,這使得舊的和新的DHCP-RK能夠在一段時(shí)間間隔內(nèi)共同存在并且 能夠同時(shí)被使用。
由AAA服務(wù)器生成的密鑰可以通過使用RADIUS協(xié)議被傳送到 DHCP服務(wù)器和認(rèn)證器�����。由認(rèn)證器生成的DHCP密鑰(從DHCP-RK得出 的)例如經(jīng)由WiMAX特定的R4信令被傳送到DHCP中繼器���。由DHCP 服務(wù)器生成的密鑰決不輸送到DHCP服務(wù)器的外面��。參照?qǐng)D3����,顯示對(duì)于DHCP中繼器與EAP認(rèn)證器一起布置的情形下 的DHCP密鑰的分發(fā)����。如上所述,認(rèn)證器和DHCP中繼器位于ASN中���,而AAA服務(wù)器、 EAP服務(wù)器和密鑰保持器(holder)連同DHCP服務(wù)器一起位于CSN 中����。電信網(wǎng)的訂戶用MN描述。在電信網(wǎng)的訂戶MN的認(rèn)證過程期間將執(zhí)行密鑰分發(fā)�。所以,訂戶 MN發(fā)送請(qǐng)求消息到用作為認(rèn)證器和DHCP中繼器的接入網(wǎng)網(wǎng)關(guān) ASN-GW。接入網(wǎng)網(wǎng)關(guān)把接入請(qǐng)求(Access-R叫uest)消息輸送到CSN����, 尤其是AAA服務(wù)器。由于成功的訂戶認(rèn)證���,認(rèn)證器按照RADIUS協(xié)議 接收在接入接受(Access-Accept)消息中的DHCP服務(wù)器地址�。在AAA 服務(wù)器處可得到與DHCP服務(wù)器相關(guān)聯(lián)的幾個(gè)DHCP-RK的情形下��, AAA服務(wù)器應(yīng)當(dāng)把具有最長的剩余的生存期的DHCP-RK包括在接入接 受消息中����。除了 DHCP-RK以外,接入接受消息還包含DHCP-RK的生 存期和密鑰標(biāo)識(shí)符��,后者由DHCP服務(wù)器提供����。例如通過使用在 RFC-2868節(jié)3.5中定義的方法,DHCP-RK在RADIUS上被輸送���,并被 加密�。由AAA服務(wù)器生成的密鑰被存儲(chǔ)在ASN處的認(rèn)證器中的密鑰保 持器中(未示出)��。在DHCP過程期間,DHCP中繼器從在認(rèn)證器處的密鑰保持器得到 所得出的DHCP密鑰��。密鑰保持器從DHCP-RK得出特定于請(qǐng)求的 DHCP中繼器的DHCP密鑰�,并把得出的密鑰、它的生存期和與 DHCP-RK相關(guān)聯(lián)的密鑰標(biāo)識(shí)符傳遞到DHCP中繼器��。DHCP中繼器使 用接收的DHCP密鑰來計(jì)算認(rèn)證子選項(xiàng)��,并把子選項(xiàng)包括在DHCP消息 中���。當(dāng)DHCP服務(wù)器接收具有認(rèn)證子選項(xiàng)的消息時(shí)�,它通過DHCP中繼 器地址和接收的密鑰標(biāo)識(shí)符搜索在它的本地超高速緩存器中的相應(yīng) DHCP密鑰�����。如果沒有找到對(duì)應(yīng)的密鑰��,則DHCP服務(wù)器從DHCP-RK 得到特定于該DHCP中繼器的新的DHCP密鑰�����。如果幾個(gè)DHCP-RK在 DHCP服務(wù)器處是可得到的����,則它使用接收的密鑰標(biāo)識(shí)符來選擇正確的 DHCP-RK。如果沒有找到與接收的密鑰標(biāo)識(shí)符相關(guān)聯(lián)的DHCP-RK,則 DHCP服務(wù)器從AAA服務(wù)器獲取DHCP-RK�����。這可以以與本地代理獲取 本地代理根密鑰相同的方式進(jìn)行���。DHCP服務(wù)器必須把接收的密鑰標(biāo)識(shí) 符包括在接入請(qǐng)求消息中���。這將使得AAA服務(wù)器能夠在AAA服務(wù)器處 幾個(gè)DHCP-RK可用于該特定的DHCP服務(wù)器的情形下定位正確的iiDHCP-RK。
圖4描述在DHCP中繼器和認(rèn)證器不是一起布置的情形下DHCP密 鑰的分發(fā)�����。當(dāng)DHCP中繼器從訂戶截取DHCP消息時(shí)���,它必須給其提供 認(rèn)證子選項(xiàng)�����,如在RFC 4030中闡述的���。如果對(duì)應(yīng)于DHCP服務(wù)器的密 鑰在DHCP中繼器處是不可得到的,則DHCP中繼器將通過發(fā)送具有空 的DHCP密鑰TLV ( empty DHCP-key TLV )的上下文請(qǐng)求 (Context-Request)消息而向認(rèn)證器請(qǐng)求密鑰���。認(rèn)證器將得到必要的密 鑰并且把所得到的密鑰����、它的生存期、和相關(guān)聯(lián)的密鑰標(biāo)識(shí)符在上下文 報(bào)告(Context-R印ort)消息中傳遞到DHCP中繼器 在獲取DHCP密 鑰后�,DHCP中繼器如以上在圖3的實(shí)施例中當(dāng)DHCP中繼器和認(rèn)證器 處一起放置時(shí)描述的那樣繼續(xù)進(jìn)行。
權(quán)利要求
1.一種用于在電信網(wǎng)���,特別是按照WiMAX標(biāo)準(zhǔn)的電信網(wǎng)與電信網(wǎng)的互聯(lián)網(wǎng)協(xié)議(IP)訂戶(SS/MS���;MN)之間傳輸DHCP消息的方法,其中用加密密鑰保密的信息被加到DHCP消息中����,以及其中加密密鑰從由電信網(wǎng)的網(wǎng)絡(luò)部件提供的基本密鑰得出。
2. 按照權(quán)利要求1所述的方法�����,其特征在于��,加密密鑰被使用來保 密在可選地位于電信網(wǎng)的不同的網(wǎng)絡(luò)中的DHCP月艮務(wù)器與DHCP中繼器 之間交換的DHCP消息���。
3. 按照權(quán)利要求1或2所述的方法����,其特征在于��,由訂戶生成的 DHCP消息被電信網(wǎng)截取���,其中當(dāng)DHCP消息完成保密和/或真實(shí)性檢驗(yàn) 時(shí)����,添加用加密密鑰來加密的信息�����。
4. 按照權(quán)利要求1或2所述的方法�����,其特征在于���,基本密鑰通過使 用生成的隨機(jī)值被生成��。
5. 按照權(quán)利要求4所述的方法�,其特征在于����,隨機(jī)值由在訂戶 (SS/MS)的本地網(wǎng)絡(luò)中的AAA月艮務(wù)器生成�。
6. 按照權(quán)利要求4或5所述的方法����,其特征在于,基本密鑰特定于 DHCP服務(wù)器���。
7. 按照前述權(quán)利要求的任一項(xiàng)所述的方法���,其特征在于,基本密鑰 和相關(guān)聯(lián)的密鑰標(biāo)識(shí)符����,分別標(biāo)識(shí)基本密鑰的相關(guān)聯(lián)的密鑰,優(yōu)選地在 接入請(qǐng)求消息中從訂戶的本地網(wǎng)絡(luò)的AAA服務(wù)器被傳送到為訂戶 (SS/MS; MN)服務(wù)的接入網(wǎng)(ASN)����。
8. 按照權(quán)利要求7所述的方法,其特征在于�����,特定于在各個(gè)接入服 務(wù)網(wǎng)(ASN)中的、并用作為用于訂戶(SS/MS; MN)的DHCP中繼器的每個(gè) 接入網(wǎng)網(wǎng)關(guān)(ASN-GW)而得到加密密鑰(DHCP密鑰)���。
9. 按照權(quán)利要求8所述的方法�����,其特征在于,接入網(wǎng)網(wǎng)關(guān)(ASN-GW) 特定的加密密鑰通過使用基本密鑰而被生成�����。
10. 按照權(quán)利要求7到9的任一項(xiàng)所述的方法��,其特征在于���,接入 網(wǎng)網(wǎng)關(guān)(ASN-GW)特定的加密密鑰被使用來計(jì)算中繼代理認(rèn)證子選項(xiàng)作 為保密信息��。
11. 按照權(quán)利要求7到IO的任一項(xiàng)所述的方法���,其特征在于,將基 本密鑰�����、相關(guān)聯(lián)的密鑰標(biāo)識(shí)符和基本密鑰的生存期保持在用作為可擴(kuò)展認(rèn)證協(xié)議(EAP)認(rèn)證器的接入網(wǎng)網(wǎng)關(guān)(ASN-G W)中,直至基本密鑰的生存 期到期�����。
12. 按照權(quán)利要求7到11的任一項(xiàng)所述的方法���,其特征在于��,將加 密密鑰����、密鑰標(biāo)識(shí)符和回放檢測(cè)計(jì)數(shù)器保持在用作為用于訂戶(SS/MS; MN)的DHCP中繼器的接入網(wǎng)網(wǎng)關(guān)(ASN-GW)中��。
13. 按照權(quán)利要求6到12的任一項(xiàng)所述的方法��,其特征在于�����,將密 鑰標(biāo)識(shí)符和回放檢測(cè)值����,經(jīng)由尤其是WiMAX,特定的信令消息��,從舊 的DHCP中繼器傳送到新的DRCP中繼器作為上下文的一部分。
14. 按照前述權(quán)利要求的任一項(xiàng)所述的方法�,其特征在于,當(dāng)在訂 戶的本地網(wǎng)絡(luò)中的DHCP服務(wù)器從接入網(wǎng)的DHCP中繼器接收DHCP 消息��,對(duì)于其加密密鑰還不可得到���,但認(rèn)證子選項(xiàng)表示密鑰標(biāo)識(shí)符對(duì)于 DHCP服務(wù)器是已知的時(shí)�����,DHCP服務(wù)器從與接收的密鑰標(biāo)識(shí)符相關(guān)聯(lián) 的已知的基本密鑰生成新的加密密鑰。
15. 按照前述權(quán)利要求的任一項(xiàng)所述的方法���,其特征在于�����,使用用 于加密密鑰和用于基本密鑰的導(dǎo)出規(guī)則�。
16. 用于實(shí)現(xiàn)按照前述權(quán)利要求的任一項(xiàng)所述的方法的一個(gè)或多個(gè) 電信網(wǎng)部件����。
全文摘要
本發(fā)明描述一種用于在電信網(wǎng),特別是按照WiMAX標(biāo)準(zhǔn)的電信網(wǎng)與電信網(wǎng)的互聯(lián)網(wǎng)協(xié)議(IP)訂戶(SS/MS����;MN)之間傳輸DHCP消息的方法����。其中�����,用加密密鑰保密的信息被加到DHCP消息中����。加密密鑰是從由電信網(wǎng)的網(wǎng)絡(luò)部件提供的基本密鑰得到的。
文檔編號(hào)H04L29/06GK101569160SQ200780046508
公開日2009年10月28日 申請(qǐng)日期2007年10月15日 優(yōu)先權(quán)日2006年10月16日
發(fā)明者D·普雷梅克, M·里格爾 申請(qǐng)人:諾基亞西門子通信有限責(zé)任兩合公司