專(zhuān)利名稱(chēng):下一代網(wǎng)絡(luò)中支持移動(dòng)性安全的方法與系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及通信領(lǐng)域的下一代網(wǎng)絡(luò)技術(shù),具體地說(shuō)是一種下一代網(wǎng)絡(luò)中 支持移動(dòng)性安全的方法與系統(tǒng)�。
背景技術(shù):
下一代網(wǎng)絡(luò)(NGN, Next Generation Network)是一個(gè)固定和移動(dòng)融合 的網(wǎng)絡(luò),支持多種接入技術(shù)���,如Cable (電纜)�����、xDSL (Digital Subscriber Line, 數(shù)字用戶線)���、802.11 WLAN (Wireless Local Access Network,無(wú)線局域4妄 入網(wǎng))��、802.16 WMAN (Wireless Metropolitan Access Network,無(wú)線i成i或4妄 入網(wǎng))和3G RAN ( The Third Generation Radio Access Network,第三代無(wú)線 接入網(wǎng))等����。NGN要求支持移動(dòng)性�����,包括游牧和漫游����。移動(dòng)可以發(fā)生在接入 網(wǎng)內(nèi),也可以發(fā)生在接入網(wǎng)間��。這些接入網(wǎng)可以是同構(gòu)的���,也可以是異構(gòu)的�����。 移動(dòng)IP (Mobile Internet Protocol, MIP)支祠^爭(zhēng)子網(wǎng)的移動(dòng)�����,與底層的接入 技術(shù)無(wú)關(guān)�,因此是解決異構(gòu)接入時(shí)移動(dòng)性的重要方法之一。
移動(dòng)IP是一種支持設(shè)備移動(dòng)性的重要技術(shù)����,可以支持移動(dòng)節(jié)點(diǎn)在全球范 圍內(nèi)漫游并且保持業(yè)務(wù)的連續(xù)性。移動(dòng)IP技術(shù)分為兩類(lèi)基于主機(jī)的移動(dòng)性�, 即傳統(tǒng)的Mobile IPv4和Mobile IPv6��,以及Dual-Stack Mobile IPv4和 Dual-Stack Mobile IPv6;基于網(wǎng)絡(luò)的移動(dòng)性�����,即Proxy Mobile IPv4和Proxy Mobile IPv6��?;谥鳈C(jī)的移動(dòng)IP系統(tǒng)通常由移動(dòng)節(jié)點(diǎn)(MN, Mobile Node)、 外部代理(FA, Foreign Agent)和家鄉(xiāng)代理(HA�, Home Agent)組成?����;?于網(wǎng)絡(luò)的移動(dòng)IP系統(tǒng)通常由移動(dòng)節(jié)點(diǎn)���、移動(dòng)接入網(wǎng)關(guān)(MAG�����, Mobile Access Gateway)和本地移動(dòng)錨點(diǎn)(LMA�, Local Mobility Anchor)組成�����。HA/LMA 通常要對(duì)接收到的MIP信令進(jìn)行認(rèn)證以保證其完整性���。
NGN是基于IP的網(wǎng)絡(luò)�����,相對(duì)于傳統(tǒng)的電信網(wǎng)絡(luò)���,NGN面臨著更大的安 全威脅�。如前所述����,NGN需要支持傳輸層的移動(dòng)性技術(shù),如移動(dòng)IP技術(shù)�,因此需要解決NGN中傳輸層移動(dòng)性的安全問(wèn)題,如認(rèn)證和密鑰協(xié)商��、移動(dòng) HM言令安全�、切l(wèi)灸時(shí)安全。
目前��,在NGN中還沒(méi)有涉及到傳輸層移動(dòng)性的安全��。
發(fā)明內(nèi)容
本發(fā)明要解決的技術(shù)問(wèn)題是提供一種下 一代網(wǎng)絡(luò)中實(shí)現(xiàn)傳輸層移動(dòng)性安 全的方法與系統(tǒng)��,可以保證下一代網(wǎng)絡(luò)中傳輸層移動(dòng)性的安全�����。
為了解決上述問(wèn)題�,本發(fā)明提供了 一種下一代網(wǎng)絡(luò)中支持移動(dòng)性安全 的方法����,包4舌
網(wǎng)絡(luò)中設(shè)置傳輸認(rèn)證授權(quán)功能實(shí)體TAA-FE和移動(dòng)代理功能實(shí)體��,所述 移動(dòng)代理功能實(shí)體與所述TAA-FE之間建立傳輸密鑰材料的參考點(diǎn)�;
當(dāng)終端移動(dòng)時(shí)�����,所述移動(dòng)代理功能實(shí)體從所述TAA-FE處接收密鑰材料���, 對(duì)所述終端和移動(dòng)代理功能實(shí)體之間的信令進(jìn)行安全保護(hù)��。
進(jìn)一步地�����,所述移動(dòng)代理功能實(shí)體包括移動(dòng)接入功能實(shí)體MA-FE和移 動(dòng)家鄉(xiāng)功能實(shí)體MH-FE����。
進(jìn)一步地����,所述終端移動(dòng)時(shí),附著網(wǎng)絡(luò)的流程包括
認(rèn)證授權(quán)步驟所述終端發(fā)起認(rèn)證和授權(quán)請(qǐng)求�,提供憑證給所述 TAA-FE���,所述TAA-FE向傳輸用戶描述功能實(shí)體TUP-FE查詢用戶描述信息, 根據(jù)所述用戶描述信息對(duì)所述終端進(jìn)行認(rèn)證�����,若認(rèn)證成功��,所述TAA-FE向 所述MH-FE和MA-FE發(fā)送密鑰�����,所述MH-FE與所述終端建立移動(dòng)安全關(guān) 聯(lián)����;
IP配置步驟所述TAA-FE將認(rèn)證和授權(quán)響應(yīng)返回給終端,其中包含終 端導(dǎo)出密鑰的隨機(jī)值��、動(dòng)態(tài)家鄉(xiāng)地址HoA和家鄉(xiāng)地址HA;所述終端獲取臨 時(shí)地址CoA;
位置管理步驟所述終端把位置信息注冊(cè)到傳輸位置管理功能實(shí)體 TLM-FE, TLM-FE將所述信息發(fā)送到資源準(zhǔn)入控制功能實(shí)體RACF中�����;
隧道建立步驟所述終端根據(jù)網(wǎng)絡(luò)接入標(biāo)識(shí)NAI���、 CoA和HoA構(gòu)造注冊(cè)請(qǐng)求消息RRQ���,并把綁定注冊(cè)到所述MH-FE;所述MH-FE ^艮據(jù)所述 TAA-FE發(fā)送的密鑰對(duì)所述終端的移動(dòng)IP信令進(jìn)行驗(yàn)證,驗(yàn)證通過(guò)后�,所述 MH-FE將當(dāng)前隧道狀態(tài)通知TLM-FE,并通過(guò)所述MA-FE將^l巴移動(dòng)IP注冊(cè) 響應(yīng)消息RRP發(fā)送到所述終端。
進(jìn)一步地�����,所述終端向所述TAA-FE提供的憑證包括共享密鑰�、數(shù)字 證書(shū)。
進(jìn)一步地�����,所述終端通過(guò)以下方式之一獲取CoA:
網(wǎng)絡(luò)接入配置功能實(shí)體NAC-FE給終端分配IP地址����,即共存CoA;
所述終端通過(guò)和所述MA-FE交換移動(dòng)IP請(qǐng)求或通告消息來(lái)獲取外部代 理CoA。
進(jìn)一步地�����,所述TLM-FE接收到所述MH-FE發(fā)送的當(dāng)前隧道狀態(tài)后����, 將描述信息發(fā)送給RACF����。
進(jìn)一步地�����,所述描述信息包括密鑰材料����、HoA、 HA�、認(rèn)證授權(quán)、IP配 置����、位置中的一個(gè)或任意組合。
本發(fā)明還提供了一種下一代網(wǎng)絡(luò)中支持移動(dòng)性安全的系統(tǒng)���,包括
傳輸用戶描述功能實(shí)體TUP-FE,用于存儲(chǔ)用戶描述信息�����;
傳輸認(rèn)證授權(quán)功能實(shí)體TAA-FE��,用于4矣收終端的授權(quán)認(rèn)證請(qǐng)求后���,向 所述TUP-FE查詢用戶描述信息,并根據(jù)查詢到的用戶描述信息對(duì)所述終端 進(jìn)行授權(quán)認(rèn)證�����;
還包括
移動(dòng)代理功能實(shí)體���,用于從所述TAA-FE獲得密鑰材料����,并根據(jù)所述密 鑰材料對(duì)所述終端的信令進(jìn)行安全保護(hù)����。
進(jìn)一步地,所述移動(dòng)代理功能實(shí)體包括移動(dòng)接入功能實(shí)體MA-FE和移 動(dòng)家鄉(xiāng)功能實(shí)體MH-FE�,其中,
所述MA-FE����,用于向所述終端提供臨時(shí)地址,為所述終端提供路由服務(wù)�����; 所述MA-FE還用于中轉(zhuǎn)所述終端的移動(dòng)IP信令以及對(duì)所述終端進(jìn)行認(rèn)證; 當(dāng)所述終端處于活動(dòng)狀態(tài)時(shí)��,所述MA-FE還用于與資源準(zhǔn)入控制功能實(shí)體RACF交互來(lái)請(qǐng)求資源��;
所述MH-FE��,用于把報(bào)文送往離開(kāi)家鄉(xiāng)的終端��,維護(hù)所述終端的綁定信 息��;當(dāng)所述終端接入需要?jiǎng)討B(tài)家鄉(xiāng)地址和MH-FE地址時(shí)�,所述MH-FE可以 向所述TAA-FE提供動(dòng)態(tài)家鄉(xiāng)地址和MH-FE地址;所述MH-FE還用于從所 述TAA-FE請(qǐng)求密鑰材料以完成對(duì)所述終端或MA-FE的MIP信令的認(rèn)證���; 所述MH-FE還用于在創(chuàng)建綁定記錄后��,向傳輸位置管理功能實(shí)體TLM-FE 通知隧道建立信息�����;當(dāng)所述終端處于活動(dòng)狀態(tài)時(shí)���,所述MH-FE還用于與 RACF交互來(lái)請(qǐng)求資源。
進(jìn)一步地,所述用戶描述信息包括密鑰材料��、HoA�����、 HA�、認(rèn)證授權(quán)����、IP 配置、位置中的一個(gè)或任意組合�����。
本發(fā)明通過(guò)在網(wǎng)絡(luò)中設(shè)置傳輸認(rèn)證授權(quán)功能實(shí)體和移動(dòng)代理功能實(shí)體��, 并在傳輸認(rèn)證授權(quán)功能實(shí)體和移動(dòng)代理功能實(shí)體之間定義參考點(diǎn)用來(lái)傳遞密 鑰�,移動(dòng)代理功能實(shí)體從傳輸認(rèn)證授權(quán)功能實(shí)體處請(qǐng)求獲得密鑰材料,根據(jù) 該密鑰材料對(duì)終端的信令進(jìn)行安全保護(hù)��,從而保證了下一代網(wǎng)絡(luò)中傳輸層的 移動(dòng)性安全����。
圖1是本發(fā)明的NGN中支持移動(dòng)性安全的架構(gòu)圖; 圖2是本發(fā)明的支持傳輸層移動(dòng)的功能實(shí)體在NGN中的位置示意圖; 圖3是本發(fā)明的NGN中一基于主機(jī)的移動(dòng)性-非漫游實(shí)施例場(chǎng)景示意圖��; 圖4是本發(fā)明的NGN中一基于MIPv4實(shí)施例的附著流程示意圖���。
具體實(shí)施例方式
本發(fā)明通過(guò)在網(wǎng)絡(luò)架構(gòu)中設(shè)置傳輸認(rèn)證授權(quán)功能實(shí)體和移動(dòng)代理功能實(shí) 體���,在傳輸認(rèn)證授權(quán)功能實(shí)體和移動(dòng)代理功能實(shí)體之間定義參考點(diǎn)用來(lái)傳遞 密鑰,通過(guò)移動(dòng)代理功能實(shí)體對(duì)終端的信令進(jìn)行保護(hù)來(lái)保證傳輸層的移動(dòng)性 安全�����。下面結(jié)合附圖和具體實(shí)施例對(duì)本發(fā)明作進(jìn)一步說(shuō)明�,以使本領(lǐng)域的技術(shù) 人員可以更好的理解本發(fā)明并能予以實(shí)施,但所舉實(shí)施例不作為對(duì)本發(fā)明的 限定���。
圖l示出了本發(fā)明的NGN中支持移動(dòng)性安全的架構(gòu)圖��。終端100與傳 輸認(rèn)證授權(quán)功能實(shí)體120擁有相同的根密鑰��,通過(guò)該根密鑰推導(dǎo)出建立安全 關(guān)聯(lián)相關(guān)的密鑰����。傳輸認(rèn)證授權(quán)功能實(shí)體120把密鑰材料傳遞到移動(dòng)代理功 能實(shí)體130,這樣移動(dòng)代理功能實(shí)體130可以完成對(duì)終端100的移動(dòng)信令的 安全檢查�����。傳輸認(rèn)證授權(quán)功能實(shí)體120可以進(jìn)一步分解為認(rèn)證授權(quán)代理和認(rèn) 證授權(quán)服務(wù)器,移動(dòng)代理功能實(shí)體130可以進(jìn)一步分解為外部代理(移動(dòng)接 入功能實(shí)體)和家鄉(xiāng)代理(移動(dòng)家鄉(xiāng)功能實(shí)體)����。
如前所述,基于主機(jī)移動(dòng)性的系統(tǒng)包括移動(dòng)結(jié)點(diǎn)(MN)���、外地代理 (FA)和家鄉(xiāng)代理(HA)���,其中MN支持網(wǎng)絡(luò)層移動(dòng)性功能����。基于網(wǎng)絡(luò)移 動(dòng)性的系統(tǒng)包括移動(dòng)結(jié)點(diǎn)(MN)����、移動(dòng)接入網(wǎng)關(guān)(MAG)和本地移動(dòng)錨 點(diǎn)(LMA),其中MN不需要支持移動(dòng)IP的能力。FA/MAG位于接入網(wǎng)絡(luò)�, 是MN的第一跳路由器;HA/LMA位于核心網(wǎng)絡(luò)���。
圖2示出了本發(fā)明的支持傳輸層移動(dòng)的功能實(shí)體在NGN中的位置�。NGN 傳輸層230提供傳輸數(shù)據(jù)的功能以及控制和管理攜帶這些數(shù)據(jù)的傳輸資源的 功能,其中攜帶的數(shù)據(jù)本身可以是用戶面��、控制面和管理面信息��,NGN傳輸 層包括傳輸功能240和傳輸控制功能250�����。傳輸功能240為NGN中所有的 部件和物理分離的所有功能實(shí)體提供連接���,傳輸功能包括接入網(wǎng)功能�����、邊界 功能���、核心傳輸功能和網(wǎng)關(guān)功能,傳輸功能支持報(bào)文的轉(zhuǎn)發(fā)和路由功能����。傳 輸控制功能250完成終端設(shè)備的附著、參數(shù)配置���、認(rèn)證授權(quán)��、位置管理功能���、 準(zhǔn)入控制和資源控制功能����。對(duì)基于主機(jī)的移動(dòng)情況��,圖2中的移動(dòng)接入功能 實(shí)體(MA-FE) 210解釋為FA�,移動(dòng)家鄉(xiāng)功能實(shí)體(MH-FE) 220解釋為 HA,這種情況下終端用戶功能(End-user Function) 200需要支持層3的移 動(dòng)性��。對(duì)基于網(wǎng)絡(luò)的移動(dòng)情況����,MA-FE 210和MH-FE 220分別解釋為MAG 和LMA���,這種情況下終端用戶功能200不需要支持層3的移動(dòng)性����。由于 MA-FE 210和MH-FE 220也負(fù)責(zé)傳遞數(shù)據(jù)�����,因此它們位于NGN的傳輸功能 240上是合理的。當(dāng)然�,MA-FE 210和MH-FE 220也可以位于網(wǎng)中的其它位置,例如將MA-FE和MH-FE功能合在一起并放到傳輸控制層�。MA-FE和 MH-FE可以作為獨(dú)立的功能實(shí)體,也可以在傳輸功能240上已有的功能實(shí)體 功能進(jìn)行擴(kuò)展移動(dòng)代理的功能�����。根據(jù)運(yùn)營(yíng)商的策略��,MH-FE 220可以部署在 歸屬網(wǎng)絡(luò)����,也可以部署在拜訪網(wǎng)絡(luò)。
MA-FE 210和MH-FE 220支持移動(dòng)IP信令和報(bào)文傳遞����,NGN的傳輸控 制功能250也可以參與移動(dòng)IP的信令過(guò)程。對(duì)基于主機(jī)的移動(dòng)情況�����,當(dāng)CoA (Care-of Address�,臨時(shí)地址)與終端用戶功能200共存時(shí),則不需要MA-FE 210����。
NGN支持網(wǎng)絡(luò)層移動(dòng)性的基本流程包括附著流程�����、去附著�、切換流程����, 需要執(zhí)行的基本功能包括認(rèn)證授權(quán)、IP配置���、位置管理和移動(dòng)IP信令����。 NGN支持網(wǎng)絡(luò)層的移動(dòng)性需要位于傳輸層的功能實(shí)體和接口的參與����。圖3 示出了本發(fā)明的NGN中基于主機(jī)的移動(dòng)性的非漫游場(chǎng)景���。
終端CPE (用戶駐地設(shè)備)300指允許用戶訪問(wèn)NGN業(yè)務(wù)的設(shè)備���,與 前述終端100及終端用戶功能200相對(duì)應(yīng)���,CPE 300需要支持層3移動(dòng)性的 功能。對(duì)于MIPv4�����, CoA可以由移動(dòng)接入功能實(shí)體(MA-FE) 310提供�����, 也可以由網(wǎng)絡(luò)接入配置功能實(shí)體(NAC-FE) 385提供�。對(duì)于MIPv6, CoA 僅由NAC-FE 385提供�����。CPE 300和傳輸認(rèn)證授權(quán)功能實(shí)體(TAA-FE ) 360 共享密鑰��。
移動(dòng)接入功能實(shí)體(MA-FE) 310用于MIPv4情況下向CPE 300提供 CoA,為CPE 300提供路由服務(wù)�,同時(shí)可以中轉(zhuǎn)CPE 300的MIPv4信令以及 對(duì)CPE 300進(jìn)行認(rèn)證。當(dāng)CPE 300處于活動(dòng)狀態(tài)時(shí)���,MA-FE 310與資源準(zhǔn)入 控制功能(RACF) 365交互來(lái)請(qǐng)求資源�����。
移動(dòng)家鄉(xiāng)功能實(shí)體(MH-FE) 320用于把才艮文送往離開(kāi)家鄉(xiāng)的CPE 300�, 維護(hù)CPE 300的綁定信息。當(dāng)CPE 300接入需要?jiǎng)討B(tài)家鄉(xiāng)地址(HoA)和 MH-FE地址時(shí)��,MH-FE可以向TAA-FE 360提供HoA和MH-FE地址��。MH-FE 320還可以從TAA-FE 360請(qǐng)求密鑰材料以完成對(duì)CPE 300和/或MA-FE 310 的MIP信令的認(rèn)證�����。MH-FE 320創(chuàng)建綁定記錄后����,向傳輸位置管理功能實(shí)體 TLM-FE 375通知隧道建立信息。當(dāng)CPE 300處于活動(dòng)狀態(tài)時(shí)�,MH-FE與 RACF 365交互來(lái)請(qǐng)求資源。網(wǎng)紹4妻入配置功能實(shí)體(NAC-FE ) 385負(fù)責(zé)為CPE 300分配IP地址和
網(wǎng)絡(luò)配置參數(shù)�����。
傳輸認(rèn)證授權(quán)功能實(shí)體(TAA-FE) 360負(fù)責(zé)對(duì)CPE 300進(jìn)行認(rèn)證授權(quán)����, 為CPE 300提供HoA和MH-FE地址���,為MA-FE 310和MH-FE 320分配密 鑰材料�����。CPE 300用TAA-FE 360提供的隨機(jī)數(shù)派生密鑰�����,該密鑰用于MIP 消息的認(rèn)證擴(kuò)展選項(xiàng)����,MH-FE 340根據(jù)該擴(kuò)展對(duì)MIP信令進(jìn)行完整性;險(xiǎn)查。
傳輸用戶描述功能實(shí)體(TUP-FE) 357存儲(chǔ)用戶描述信息��,包括用戶 標(biāo)識(shí)��、認(rèn)證方法��、密鑰材料�、HoA和MH-FE 320地址信息等。
參考點(diǎn)TC-TC10 355用來(lái)在MH-FE 320和TAA-FE 360之間傳遞信息����。 MH-FE 320可以從TAA-FE 360獲取密鑰材料來(lái)驗(yàn)證CPE 300的MIP控制信 令。對(duì)動(dòng)態(tài)獲取HoA和MH-FE 320地址的情況,TAA-FE 360可以從MH-FE 320中提取HoA和/或MH-FE地址�。
進(jìn)一步地,MA-FE 310和4妄入管理功能實(shí)體AM-FE 340都可以作為 RADIUS( Remote Authentication Dial In User Service,遠(yuǎn)程用戶撥號(hào)i人證系統(tǒng)) /Diameter客戶端或DHCP (Dynamic Host Configuration Protocol ��,動(dòng)態(tài)主才幾配 置協(xié)議)中繼�,因此MA-FE和AM-FE是在邏輯上重疊的。為了重用AM-FE 已有的參考點(diǎn)�����,MA-FE和AM-FE需要內(nèi)部接口 �,或者另 一個(gè)選擇就是AM-FE 與MA誦FE共存。
圖4示出了本發(fā)明的NGN中MIPv4情況下CPE的附著流程����,該流程分 為以下幾個(gè)主要步驟
步驟410,接入認(rèn)證和授權(quán)通過(guò)傳輸用戶標(biāo)識(shí)符����,如NAI (Network Access Identifier,網(wǎng)絡(luò)接入標(biāo)識(shí)符)來(lái)iU正用戶^矣入,為CPE分配HoA和 MH-FE地址���,把密鑰分配給MH-FE和MA-FE以和CPE建立移動(dòng)安全關(guān)聯(lián) (MSA);
步驟420����, IP配置NAC-FE或MA-FE為CPE分配CoA;
步驟430,位置管理CPE把位置信息注冊(cè)到TLM-FE����,然后該信息被 推到RACF中�;
步驟440,隧道建立CPE把綁定信息注冊(cè)到MH-FE ��,如果MH-FE中的密鑰不存在�����,則MH-FE從TAA-FE中請(qǐng)求密鑰材料來(lái)檢查MIP信令���;記 錄更新后�,MH-FE向TLM-FE通知當(dāng)前隧道的狀態(tài)��。
NGN中MIPv4情況下CPE詳細(xì)的附著流程如下
步驟411: CPE附著網(wǎng)絡(luò)后�����,CPE發(fā)起認(rèn)證和授權(quán)請(qǐng)求���,CPE可以由NAI 來(lái)標(biāo)識(shí)���,于是HoA (動(dòng)態(tài)家鄉(xiāng)地址)和HA (家鄉(xiāng)代理)地址可以動(dòng)態(tài)地分 配�����,CPE需要提供憑證(如共享密鑰或數(shù)字證書(shū))給TAA-FE;
步驟412: TAA-FE從TUP-FE中查詢用戶描述信息���,如密鑰材料、HoA�����、 HA地址等��,這樣TAA-FE可以根據(jù)這些用戶描述信息對(duì)CPE進(jìn)行認(rèn)證�����;
步驟413:成功認(rèn)證后��,如果請(qǐng)求中HoA和HA字段設(shè)置為 ALL-ZERO-ONE-ADDR地址��,則TAA-FE可以從HA中動(dòng)態(tài)地發(fā)現(xiàn)HoA和 HA地址�;
步驟414: TAA-FE把密鑰分配給MH-FE和MA-FE, MH-FE和CPE建 立移動(dòng)安全關(guān)耳關(guān)(MSA);
步驟415: TAA-FE將認(rèn)證和授權(quán)響應(yīng)返回給CPE���,其中包含CPE導(dǎo)出 密鑰的隨機(jī)值�、HoA和HA地址���;
步驟421: NAC-FE通過(guò)PPP (Point to Point Protocol,點(diǎn)對(duì)點(diǎn)協(xié)議)TPCP (Internet Protocol Control Protocol,網(wǎng)間協(xié)議控制協(xié)議)或DHCP給CPE分 配IP地址���,即共存CoA����。
步驟422:如果不使用步驟325, CPE可以和MA-FE交換MIP請(qǐng)求或通 告消息來(lái)獲取FA CoA;
步驟431: CPE通過(guò)TAA-FE把位置信息注冊(cè)到TLM-FE;
步驟432: TLM-FE把包含位置的描述信息推到RACF;
步驟441: CPE根據(jù)NAI���、 CoA和HoA構(gòu)造RRQ (Registration Request, 注冊(cè)請(qǐng)求)消息,CPE通過(guò)MA-FE把綁定注冊(cè)到MH-FE;
步驟442: MH-FE可以使用TAA-FE分配的密鑰來(lái)檢查MIP信令��,如果 MH-FE中不存在該密鑰���,MH-FE向TAA-FE發(fā)送訪問(wèn)請(qǐng)求����,TAA-FE向 MH-FE返回包含共享密鑰的接入響應(yīng)��,這樣MH-FE就可以對(duì)MIP RRQ信令進(jìn)行驗(yàn)證�����;
步驟443: MH-FE更新綁定記錄后向TLM-FE通知當(dāng)前的隧道狀態(tài); 步驟444: TLM-FE把用戶描述信息推到RACF;
步驟445: MH-FE把MIP RRP (Registration Reply,注冊(cè)響應(yīng))送到 MA-FE, MA-FE然后把該消息轉(zhuǎn)發(fā)到CPE���。
以上所述實(shí)施例僅是為充分說(shuō)明本發(fā)明而所舉的較佳的實(shí)施例��,本發(fā)明 的保護(hù)范圍不限于此��。本技術(shù)領(lǐng)域的技術(shù)人員在本發(fā)明基礎(chǔ)上所作的等同替 代或變換�����,均在本發(fā)明的保護(hù)范圍之內(nèi)����。本發(fā)明的保護(hù)范圍以權(quán)利要求書(shū)為
權(quán)利要求
1����、一種下一代網(wǎng)絡(luò)中支持移動(dòng)性安全的方法,其特征在于��,網(wǎng)絡(luò)中設(shè)置傳輸認(rèn)證授權(quán)功能實(shí)體TAA-FE和移動(dòng)代理功能實(shí)體���,所述移動(dòng)代理功能實(shí)體與所述TAA-FE之間建立傳輸密鑰材料的參考點(diǎn)��;當(dāng)終端移動(dòng)時(shí)���,所述移動(dòng)代理功能實(shí)體從所述TAA-FE處接收密鑰材料�,對(duì)所述終端和移動(dòng)代理功能實(shí)體之間的信令進(jìn)行安全保護(hù)��。
2���、 如權(quán)利要求1所述的方法�,其特征在于����,所述移動(dòng)代理功能實(shí)體 包括移動(dòng)接入功能實(shí)體MA-FE和移動(dòng)家鄉(xiāng)功能實(shí)體MH-FE�����。
3�、 如權(quán)利要求2所述的方法,其特征在于��,所述終端移動(dòng)時(shí)��,附著 網(wǎng)絡(luò)的流程包括認(rèn)證授權(quán)步驟所述終端發(fā)起認(rèn)證和授權(quán)請(qǐng)求����,提供憑證給所述 TAA-FE ��,所述TAA-FE向傳輸用戶描述功能實(shí)體TUP-FE查詢用戶描述信息�, 根據(jù)所述用戶描述信息對(duì)所述終端進(jìn)行認(rèn)證��,若認(rèn)證成功�,所述TAA-FE向 所述MH-FE和MA-FE發(fā)送密鑰,所述MH-FE與所述終端建立移動(dòng)安全關(guān) 聯(lián)���;IP配置步驟所述TAA-FE將認(rèn)證和授權(quán)響應(yīng)返回給終端���,其中包含終 端導(dǎo)出密鑰的隨機(jī)值、動(dòng)態(tài)家鄉(xiāng)地址HoA和家鄉(xiāng)地址HA;所述終端獲取臨 時(shí)地址CoA;位置管理步驟所述終端把位置信息注冊(cè)到傳輸位置管理功能實(shí)體 TLM-FE�����, TLM-FE將所述信息發(fā)送到資源準(zhǔn)入控制功能實(shí)體RACF中����;隧道建立步驟所述終端根據(jù)網(wǎng)絡(luò)接入標(biāo)識(shí)NAI、 CoA和HoA構(gòu)造注 冊(cè)請(qǐng)求消息RRQ,并把綁定注冊(cè)到所述MH-FE;所述MH-FE纟艮據(jù)所述 TAA-FE發(fā)送的密鑰對(duì)所述終端的移動(dòng)IP信令進(jìn)行驗(yàn)證�����,驗(yàn)證通過(guò)后,所述 MH-FE將當(dāng)前隧道狀態(tài)通知TLM-FE����,并通過(guò)所述MA-FE將4巴移動(dòng)IP注冊(cè) 響應(yīng)消息RRP發(fā)送到所述終端。
4�、 如權(quán)利要求3所述的方法,其特征在于��,所述終端向所述TAA-FE 提供的憑證包括共享密鑰���、數(shù)字證書(shū)��。
5���、 如權(quán)利要求3所述的方法����,其特征在于,所述終端通過(guò)以下方式之一獲取CoA:網(wǎng)絡(luò)接入配置功能實(shí)體NAC-FE給終端分配IP地址�����,即共存CoA;所述終端通過(guò)和所述MA-FE交換移動(dòng)IP請(qǐng)求或通告消息來(lái)獲取外部代 理CoA��。
6、 如權(quán)利要求3所述的方法�����,其特征在于���,所述TLM-FE接收到所 述MH-FE發(fā)送的當(dāng)前隧道狀態(tài)后����,將描述信息發(fā)送給RACF�。
7、 如權(quán)利要求6所述的方法��,其特征在于���,所述描述信息包括密鑰材 料���、HoA、 HA���、認(rèn)證授權(quán)�����、IP配置��、位置中的一個(gè)或任意組合�。
8、 一種下一代網(wǎng)絡(luò)中支持移動(dòng)性安全的系統(tǒng)�,包括傳輸用戶描述功能實(shí)體TUP-FE,用于存儲(chǔ)用戶描述信息;傳輸認(rèn)證授權(quán)功能實(shí)體TAA-FE,用于接收終端的授權(quán)認(rèn)證請(qǐng)求后�����,向 所述TUP-FE查詢用戶描述信息��,并根據(jù)查詢到的用戶描述信息對(duì)所述終端 進(jìn)行授權(quán)認(rèn)證���;其特征在于�����,還包括移動(dòng)代理功能實(shí)體�,用于從所述TAA-FE獲得密鑰材料���,并根據(jù)所述密 鑰材料對(duì)所述終端的信令進(jìn)行安全保護(hù)。
9、 如權(quán)利要求8所述的系統(tǒng)�,其特征在于,所述移動(dòng)代理功能實(shí)體包 括移動(dòng)接入功能實(shí)體MA-FE和移動(dòng)家鄉(xiāng)功能實(shí)體MH-FE���,其中���,所述MA-FE,用于向所述終端提供臨時(shí)地址,為所述終端提供路由服務(wù)���; 所述MA-FE還用于中轉(zhuǎn)所述終端的移動(dòng)IP信令以及對(duì)所述終端進(jìn)行認(rèn)證���; 當(dāng)所述終端處于活動(dòng)狀態(tài)時(shí),所述MA-FE i^用于與資源準(zhǔn)入控制功能實(shí)體 RACF交互來(lái)請(qǐng)求資源��;所述MH-FE �����,用于把凈艮文送往離開(kāi)家鄉(xiāng)的終端����,維護(hù)所述終端的綁定信 息;當(dāng)所述終端接入需要?jiǎng)討B(tài)家鄉(xiāng)地址和MH-FE地址時(shí)�����,所述MH-FE可以 向所述TAA-FE提供動(dòng)態(tài)家鄉(xiāng)地址和MH-FE地址;所述MH-FE還用于從所述TAA-FE請(qǐng)求密鑰材料以完成對(duì)所述終端或MA-FE的MIP信令的認(rèn)證�; 所述MH-FE還用于在創(chuàng)建綁定記錄后,向傳輸位置管理功能實(shí)體TLM-FE 通知隧道建立信息����;當(dāng)所述終端處于活動(dòng)狀態(tài)時(shí),所述MH-FE還用于與 RACF交互來(lái)請(qǐng)求資源�����。
10��、 如權(quán)利要求8所述的系統(tǒng)�,其特征在于,所述用戶描述信息包括密 鑰材料����、HoA、 HA�����、認(rèn)證授權(quán)�、IP配置���、位置中的一個(gè)或任意組合���。
全文摘要
本發(fā)明公開(kāi)了一種下一代網(wǎng)絡(luò)中支持移動(dòng)性安全的方法與系統(tǒng)�。本發(fā)明通過(guò)在網(wǎng)絡(luò)中設(shè)置傳輸認(rèn)證授權(quán)功能實(shí)體和移動(dòng)代理功能實(shí)體���,并在傳輸認(rèn)證授權(quán)功能實(shí)體和移動(dòng)代理功能實(shí)體之間定義參考點(diǎn)用來(lái)傳遞密鑰�����。當(dāng)終端移動(dòng)時(shí)��,移動(dòng)代理功能實(shí)體從傳輸認(rèn)證授權(quán)功能實(shí)體處請(qǐng)求獲得密鑰材料��,根據(jù)該密鑰材料對(duì)終端的信令進(jìn)行安全保護(hù)�,從而保證了下一代網(wǎng)絡(luò)中傳輸層的移動(dòng)性安全����。
文檔編號(hào)H04Q7/38GK101321395SQ20081012651
公開(kāi)日2008年12月10日 申請(qǐng)日期2008年6月24日 優(yōu)先權(quán)日2008年6月24日
發(fā)明者韋銀星 申請(qǐng)人:中興通訊股份有限公司