專利名稱:一種注冊(cè)的方法��、系統(tǒng)和裝置的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及通信領(lǐng)域�,特別涉及一種注冊(cè)的方法����、系統(tǒng)和裝置��。
背景技術(shù):
PMIPv6(Proxy Mobile Internet Protocol version 6�,代理移動(dòng)互聯(lián)網(wǎng)協(xié)議第6 版)提供了一種基于網(wǎng)絡(luò)的移動(dòng)性管理協(xié)議,由網(wǎng)絡(luò)實(shí)體跟蹤MN(Mobile Node���,移動(dòng)節(jié)點(diǎn)) 的移動(dòng)�����,并且初始化移動(dòng)信令和建立通信所需的路由狀態(tài)��,MN無需參與任何的移動(dòng)性管理 信令���。PMIPv6中的核心功能實(shí)體包括LMA (Local Mobility Anchor,本地移動(dòng)錨點(diǎn))�����,或稱 為HA(HomeAgent�����,家鄉(xiāng)代理),以及MAG (Mobile Access Gateway,移動(dòng)接入網(wǎng)關(guān))�����。MN通 過MAG接入網(wǎng)絡(luò)���,LMA/HA負(fù)責(zé)維護(hù)麗的路由可達(dá)信息��,并且在拓?fù)渖献鳛辂惖募亦l(xiāng)網(wǎng)絡(luò)�����。 MAG是代表MN執(zhí)行移動(dòng)性管理的實(shí)體���,負(fù)責(zé)在其接入鏈路上探測(cè)MN的移動(dòng)。MAG代替MN 與LMA/HA進(jìn)行注冊(cè)��,并將MN當(dāng)前的路由信息通告給LMA/HA����,如果不對(duì)MAG與LMA/HA之間 的注冊(cè)過程中進(jìn)行保護(hù),則很容易通過偽造注冊(cè)消息中的路由信息����,對(duì)麗的通信或LMA等 網(wǎng)絡(luò)設(shè)備進(jìn)行攻擊�����,因此需要對(duì)MAG與LMA/HA之間的注冊(cè)過程進(jìn)行保護(hù)�。
WiMax(World Interoperability for Microwave Access,微波接入全球互通) 是一項(xiàng)基于IEEE (Institute of Electrical and Electronics Engineers,電氣電子工 程師協(xié)會(huì))802. 16標(biāo)準(zhǔn)的寬帶無線接入城域網(wǎng)技術(shù)��,其基本目標(biāo)是提供一種在城域網(wǎng)中 點(diǎn)對(duì)多點(diǎn)的多廠商環(huán)境下�,可有效的互操作的寬帶無線接入手段。為了提供會(huì)話連續(xù)性�, WiMax Forum(論壇)采用PMIPv6作為提供基于網(wǎng)絡(luò)的移動(dòng)性管理。在IETF (Internet Engineering Task Force,因特網(wǎng)工程任務(wù)組)所提供的規(guī)范中����,只提及了采用靜態(tài)配置的 IPsec (Internet Protocol security,因特網(wǎng)協(xié)議安全)保護(hù)MAG與LMA/HA之間注冊(cè)過程 的方法,而在Wimax標(biāo)準(zhǔn)中需要?jiǎng)討B(tài)自動(dòng)配置的方式對(duì)MAG與LMA/HA間的注冊(cè)過程進(jìn)行保 護(hù)���。 在實(shí)現(xiàn)本發(fā)明的過程中�����,發(fā)明人發(fā)現(xiàn)現(xiàn)有技術(shù)至少存在以下問題 無法實(shí)現(xiàn)動(dòng)態(tài)自動(dòng)配置的方式對(duì)MAG與LMA/HA之間的注冊(cè)過程進(jìn)行保護(hù),無法滿
足Wimax標(biāo)準(zhǔn)的要求����。
發(fā)明內(nèi)容
為了保護(hù)MAG與LMA/HA之間的注冊(cè)過程�����,本發(fā)明實(shí)施例提供了一種注冊(cè)的方法���、 系統(tǒng)和裝置。所述技術(shù)方案如下 —方面�,本發(fā)明實(shí)施例提供了一種注冊(cè)的的方法,所述方法包括 接收接入服務(wù)網(wǎng)絡(luò)網(wǎng)關(guān)發(fā)送的第一代理綁定更新消息�����,獲取認(rèn)證����、授權(quán)和記帳服
務(wù)器發(fā)送的第一密鑰; 根據(jù)所述第一密鑰生成第一消息驗(yàn)證碼����,向所述接入服務(wù)網(wǎng)絡(luò)網(wǎng)關(guān)返回第一代理 綁定確認(rèn)新消息,所述第一代理綁定確認(rèn)新消息中攜帶所述第一消息驗(yàn)證碼���,以使所述接 入服務(wù)網(wǎng)絡(luò)網(wǎng)關(guān)能根據(jù)所述接入服務(wù)網(wǎng)絡(luò)網(wǎng)關(guān)獲取的第一密鑰對(duì)所述第一消息驗(yàn)證碼進(jìn)行驗(yàn)證�; 在所述接入服務(wù)網(wǎng)絡(luò)網(wǎng)關(guān)對(duì)所述第一消息驗(yàn)證碼驗(yàn)證成功后�,完成與所述接入服 務(wù)網(wǎng)絡(luò)網(wǎng)關(guān)的注冊(cè)�。 另一方面����,本發(fā)明實(shí)施例提供了一種注冊(cè)的系統(tǒng),所述系統(tǒng)包括
認(rèn)證�、授權(quán)和記帳服務(wù)器,用于發(fā)送第一密鑰�; 移動(dòng)錨點(diǎn),用于接收接入服務(wù)網(wǎng)絡(luò)網(wǎng)關(guān)發(fā)送的第一代理綁定更新消息���,獲取所述 認(rèn)證���、授權(quán)和記帳服務(wù)器發(fā)送的所述第一密鑰,根據(jù)所述第一密鑰生成第一消息驗(yàn)證碼�,向 所述接入服務(wù)網(wǎng)絡(luò)網(wǎng)關(guān)返回第一代理綁定確認(rèn)新消息,所述第一代理綁定確認(rèn)新消息中攜 帶所述第一消息驗(yàn)證碼���; 接入服務(wù)網(wǎng)絡(luò)網(wǎng)關(guān)�,用于向所述移動(dòng)錨點(diǎn)發(fā)送所述第一代理綁定更新消息�����,接收 所述移動(dòng)錨點(diǎn)返回的所述第一代理綁定確認(rèn)新消息�,根據(jù)其獲取的第一密鑰對(duì)所述第一代 理綁定確認(rèn)新消息中攜帶的所述第一消息驗(yàn)證碼進(jìn)行驗(yàn)證,當(dāng)驗(yàn)證成功時(shí)���,完成與所述移 動(dòng)錨點(diǎn)的注冊(cè)�。 另一方面���,本發(fā)明實(shí)施例還提供了一種注冊(cè)的裝置���,所述裝置包括 第一接收模塊,用于接收接入服務(wù)網(wǎng)絡(luò)網(wǎng)關(guān)發(fā)送的第一代理綁定更新消息�����,獲取
認(rèn)證��、授權(quán)和記帳服務(wù)器發(fā)送的第一密鑰���; 生成模塊��,用于根據(jù)所述第一接收模塊獲取的所述第一密鑰��,生成第一消息驗(yàn)證 碼�����; 第一發(fā)送模塊���,用于向所述接入服務(wù)網(wǎng)絡(luò)網(wǎng)關(guān)返回第一代理綁定確認(rèn)新消息����,所 述第一代理綁定確認(rèn)新消息中攜帶所述生成模塊生成的所述第一消息驗(yàn)證碼����,以使所述接 入服務(wù)網(wǎng)絡(luò)網(wǎng)關(guān)能根據(jù)所述接入服務(wù)網(wǎng)絡(luò)網(wǎng)關(guān)獲取的第一密鑰對(duì)所述第一消息驗(yàn)證碼進(jìn) 行驗(yàn)證。 另一方面��,本發(fā)明實(shí)施例還提供了一種接入服務(wù)網(wǎng)絡(luò)網(wǎng)關(guān)�����,所述接入服務(wù)網(wǎng)絡(luò)網(wǎng) 關(guān)包括 確認(rèn)消息接收模塊���,用于接收移動(dòng)錨點(diǎn)返回的第一代理綁定確認(rèn)新消息�����,所述第 一代理綁定確認(rèn)新消息中攜帶所述第一消息驗(yàn)證碼�,所述第一消息驗(yàn)證碼是由所述移動(dòng)錨 點(diǎn)根據(jù)其獲取的認(rèn)證、授權(quán)和記帳服務(wù)器發(fā)送的第一密鑰生成�;
密鑰獲取模塊,用于獲取所述第一密鑰�; 驗(yàn)證模塊��,用于根據(jù)所述密鑰獲取模塊獲取的所述第一密鑰對(duì)所述第一代理綁定 確認(rèn)新消息中攜帶的所述第一消息驗(yàn)證碼進(jìn)行驗(yàn)證����;當(dāng)驗(yàn)證成功后,完成與所述移動(dòng)錨點(diǎn) 的注冊(cè)��。
本發(fā)明實(shí)施例提供的技術(shù)方案的有益效果是 通過生成第一密鑰�,并使用第一密鑰保護(hù)ASN-GW與LMA/HA間的注冊(cè)過程,避免 MN����、 LMA/HA受到網(wǎng)絡(luò)攻擊。
圖1是本發(fā)明實(shí)施例1提供的一種注冊(cè)的方法流程圖��;
圖2是本發(fā)明實(shí)施例2提供的一種注冊(cè)的方法流程圖�����;
圖3是本發(fā)明實(shí)施例3提供的一種注冊(cè)的系統(tǒng)結(jié)構(gòu)示意 圖4是本發(fā)明實(shí)施例4提供的一種注冊(cè)的裝置結(jié)構(gòu)示意圖��;
圖5是本發(fā)明實(shí)施例4提供的另一種注冊(cè)的裝置結(jié)構(gòu)示意圖;
圖6是本發(fā)明實(shí)施例5提供的一種接入服務(wù)網(wǎng)絡(luò)網(wǎng)關(guān)的結(jié)構(gòu)示意圖��。
具體實(shí)施例方式
為使本發(fā)明的目的��、技術(shù)方案和優(yōu)點(diǎn)更加清楚�����,下面將結(jié)合附圖對(duì)本發(fā)明實(shí)施方 式作進(jìn)一步地詳細(xì)描述����。 ASN-GW(ASN Gateway,接入服務(wù)網(wǎng)絡(luò)網(wǎng)關(guān))是實(shí)現(xiàn)WiMAX的一個(gè)關(guān)鍵設(shè)備,它扮演 了幾個(gè)與用戶站及網(wǎng)絡(luò)核心連接時(shí)的重要關(guān)鍵角色�,包括移動(dòng)性管理、無線尋呼����、接入認(rèn) 證、鑒權(quán)分發(fā)及QoS(Quality of Service,服務(wù)質(zhì)量)管理等����。 本發(fā)明實(shí)施例中ASN-GW主要用于進(jìn)行移動(dòng)性管理,作為MAG���,也就是ASN-GW主要 實(shí)現(xiàn)的是MAG的功能�����。
實(shí)施例1 本發(fā)明實(shí)施例提供了一種注冊(cè)的方法���,用于保護(hù)ASN-GW與LMA/HA之間的注冊(cè)過 程��,具體包括 101 :移動(dòng)錨點(diǎn)接收接入服務(wù)網(wǎng)絡(luò)網(wǎng)關(guān)發(fā)送的第一代理綁定更新消息�����,獲取認(rèn)證、 授權(quán)和記帳服務(wù)器發(fā)送的第一密鑰���; 102 :移動(dòng)錨點(diǎn)根據(jù)第一密鑰生成第一消息驗(yàn)證碼����,向接入服務(wù)網(wǎng)絡(luò)網(wǎng)關(guān)返回第一
代理綁定確認(rèn)新消息�����,第一代理綁定確認(rèn)新消息中攜帶第一消息驗(yàn)證碼��,以使接入服務(wù)網(wǎng)
絡(luò)網(wǎng)關(guān)能根據(jù)接入服務(wù)網(wǎng)絡(luò)網(wǎng)關(guān)獲取的第一密鑰對(duì)第一消息驗(yàn)證碼進(jìn)行驗(yàn)證�; 103:在接入服務(wù)網(wǎng)絡(luò)網(wǎng)關(guān)對(duì)第一消息驗(yàn)證碼驗(yàn)證成功后��,移動(dòng)錨點(diǎn)完成與接入服
務(wù)網(wǎng)絡(luò)網(wǎng)關(guān)的注冊(cè)��。 進(jìn)一步地�����,當(dāng)驗(yàn)證成功后�����,接入服務(wù)網(wǎng)絡(luò)網(wǎng)關(guān)再次與移動(dòng)錨點(diǎn)進(jìn)行注冊(cè)時(shí)�����,該方法 還包括 接收接入服務(wù)網(wǎng)絡(luò)網(wǎng)關(guān)發(fā)送的第二代理綁定更新消息���,該第二代理綁定更新消息 中攜帶第二消息驗(yàn)證碼,第二消息驗(yàn)證碼由接入服務(wù)網(wǎng)絡(luò)網(wǎng)關(guān)根據(jù)接入服務(wù)網(wǎng)絡(luò)網(wǎng)關(guān)獲取 的第一密鑰生成�; 根據(jù)獲取的認(rèn)證、授權(quán)和記帳服務(wù)器發(fā)送的第一密鑰�,驗(yàn)證第二消息驗(yàn)證碼,當(dāng)驗(yàn) 證成功后�,根據(jù)第一密鑰生成第三消息驗(yàn)證碼; 向接入服務(wù)網(wǎng)絡(luò)網(wǎng)關(guān)返回第二代理綁定確認(rèn)消息�����,第二代理綁定確認(rèn)消息中攜帶 第三消息驗(yàn)證碼。 其中���,認(rèn)證�、授權(quán)和記帳服務(wù)器發(fā)送的第一密鑰是認(rèn)證�����、授權(quán)和記帳服務(wù)器根據(jù)其 與接入服務(wù)網(wǎng)絡(luò)網(wǎng)關(guān)之間的第二密鑰���,以及第二密鑰和第一密鑰關(guān)系算法生成的;則接入 服務(wù)網(wǎng)絡(luò)網(wǎng)關(guān)獲取的第一密鑰也是根據(jù)第二密鑰���,以及第二密鑰和第一密鑰關(guān)系算法生成 的�����; 或者��,認(rèn)證���、授權(quán)和記帳服務(wù)器發(fā)送的第一密鑰和接入服務(wù)網(wǎng)絡(luò)網(wǎng)關(guān)獲取的第一 密鑰是認(rèn)證��、授權(quán)和記帳服務(wù)器指定的��。 其中�,接入服務(wù)網(wǎng)絡(luò)網(wǎng)關(guān)獲取的第一密鑰所根據(jù)的第二密鑰和第一密鑰關(guān)系算法 是認(rèn)證�、授權(quán)和記帳服務(wù)器發(fā)送的或是在本地預(yù)設(shè)的。
其中�����,上述移動(dòng)錨點(diǎn)為本地移動(dòng)錨點(diǎn)或家鄉(xiāng)代理���。 本實(shí)施例所示的方法����,通過生成第一密鑰�����,并使用第一密鑰保護(hù)ASN-GW與LMA/HA 間的注冊(cè)過程�����,避免麗�����、LMA/HA受到網(wǎng)絡(luò)攻擊。
實(shí)施例2 參見圖l�����,本發(fā)明實(shí)施例提供了一種注冊(cè)的方法��,用于保護(hù)ASN-GW與LMA/HA之間 的注冊(cè)過程�,具體包括 201 :在ASN-GW與MN之間的接入認(rèn)證交互完成后,ASN-GW向LMA/HA發(fā)送 PBU (Proxy Binding Update,代理綁定更新)消息�����。 其中��,PBU消息中包含移動(dòng)接入網(wǎng)關(guān)標(biāo)識(shí)MAG-ID���、消息驗(yàn)證碼 MACl (MessageAuthentication Code) , MACl是利用ASN-GW與AAA Server (Authentication AuthorizationAccounting Server,認(rèn)證���、授權(quán)���、記帳服務(wù)器)之間的共享密鑰Km生成的 完整性保護(hù)碼�,該MACl用于對(duì)整個(gè)PBU消息進(jìn)行完整性保護(hù)��;PBU消息中還可以攜帶安全 參數(shù)索引SPIl (Security Parameter Index)�����,安全參數(shù)索引SPIl用于索引共享密鑰Km 及相關(guān)信息�;可選的,為了防止重放攻擊在PBU消息中還可以攜帶新鮮值�����,新鮮值可以是 TS1 (Time stamp,時(shí)間戳)或隨機(jī)數(shù)Rl或SN1 (Serial Number,序列號(hào))��。
利用共享密鑰Km生成MACl具體可以通過下式實(shí)現(xiàn)MACl = HMAC_SHA1 (Km���, PBU 報(bào)文)����,其中PBU報(bào)文為PBU消息中包含的數(shù)據(jù)�,并且也可以通過現(xiàn)有技術(shù)中的其它方式生 成MACl。 并且需要說明的是�����,由于MACl是利用共享密鑰Km生成的完整性保護(hù)碼��,該MACl 用于對(duì)整個(gè)PBU消息進(jìn)行完整性保護(hù)�����,所以也可以說是利用Km對(duì)該P(yáng)BU消息進(jìn)行完整性保 護(hù)。 202 :LMA/HA接收到PBU消息后�����,向AAA Server發(fā)送請(qǐng)求消息AAA-Request����。
其中,AAA-Request消息中包含PBU消息�����、LMA-ID ;可選的�����,為了防止重放攻擊 AAA-Request消息中也可以攜帶新鮮值�,新鮮值可以是TS2或隨機(jī)數(shù)R2或SN2。
203 :AAA Sever接收到AAA-Request消息后��,使用Km驗(yàn)證AAA-Request消息中的 PBU消息����,驗(yàn)證通過后,根據(jù)Km計(jì)算ASN-GW與LMA/HA之間的共享密鑰Kmh�,計(jì)算出Kmh后, AAA Server向LMA/HA發(fā)送應(yīng)答消息AAA-Acc印t���。 其中�����,AAA-Acc印t消息包含共享密鑰Kmh和計(jì)算Kmh的算法����,可選的該 AAA-Acc印t消息中還可以包含安全參數(shù)索引SPI2�����,安全參數(shù)索引SPI2用于索引共享密鑰 Kmh及相關(guān)信息��。 其中�����,使用Km驗(yàn)證AAA-Request消息中的PBU消息具體是,AAA Sever根據(jù)Km���、 AAASever中預(yù)先儲(chǔ)存的計(jì)算消息驗(yàn)證碼的算法及從接收到的AAA-Request消息中獲得的 PBU消息中包含的PBU報(bào)文����,生成消息驗(yàn)證碼��,然后將該消息驗(yàn)證碼與MACl進(jìn)行對(duì)比��,如果 該消息驗(yàn)證碼與MACl相同���,則PBU消息通過驗(yàn)證����,并且需要說明的是AAA Sever中預(yù)先儲(chǔ) 存的計(jì)算消息驗(yàn)證碼的算法與步驟201中計(jì)算MAC1的算法相同��。
其中�����,根據(jù)Km計(jì)算ASN-GW與LMA/HA間的共享密鑰Kmh可以利用如下公式
Kmh = HMAC_SHA256 (Km���, MAG-ID) (1) 公式(1)中���,HMAC—SHA256表示輸出為256bit的哈希消息識(shí)別碼生成函數(shù),HMAC_ SHA256中的輸入?yún)?shù)除了包含Km����、MAG-ID和HMAC_SHA256本身所必需的參數(shù)外,還可以包含其它的參數(shù)�����。例如當(dāng)PBU消息中攜帶新鮮值��,并且新鮮值是TSl時(shí)�,根據(jù)Kmh = HMAC_ SHA256 (Km, MAG-ID | TSl)計(jì)算Kmh ;當(dāng)PBU消息中攜帶新鮮值�,并且新鮮值是隨機(jī)數(shù)Rl時(shí), 根據(jù)Kmh = HMAC_SHA256 (Km����, MAG-ID |R1)計(jì)算Kmh ;另外,當(dāng)PBU消息中攜帶的新鮮值是 TS1����,并且AAA-Request消息中攜帶的新鮮值是隨機(jī)數(shù)R2時(shí)���,根據(jù)Kmh = HMAC_SHA256 (Km, MAG-ID I TSl I R2)計(jì)算Kmh ;當(dāng)PBU消息中攜帶的新鮮值是隨機(jī)數(shù)Rl�����,并且AAA-Request消 息中攜帶的新鮮值是隨機(jī)數(shù)R2時(shí)����,根據(jù)Kmh = HMAC_SHA256 (Km, MAG-ID | Rl | R2)計(jì)算Kmh�����。
并且需要說明的是�,根據(jù)Km計(jì)算ASN-GW與LMA/HA間的共享密鑰Kmh除了可以利 用公式(1)夕卜,還可以利用現(xiàn)有技術(shù)中的其它方法�。 204 :LMA/HA接收到AAA-Acc印t消息后,向ASN-GW發(fā)送PBA (Proxy BindingAcknowledge�����,代理綁定確認(rèn))消息�����。 其中,PBA消息中包含MAC2和計(jì)算Kmh的算法����,MAC 2是利用Kmh生成的完整 性保護(hù)碼,該MAC2用于對(duì)整個(gè)PBA消息進(jìn)行完整性保護(hù)���,計(jì)算Kmh的算法是從接收到的 AAA-Acc印t消息中獲得的,并且需要說明的是��,當(dāng)在步驟203中計(jì)算Kmh時(shí)在公式(1)中包 含其他的參數(shù)時(shí)�,相應(yīng)的此步驟中計(jì)算Kmh時(shí)也包含其他的參數(shù),并且與步驟203中包含的 其他的參數(shù)相同����,也就是說步驟203和步驟204中計(jì)算Kmh時(shí)的參數(shù)是一致的;可選的PBA 消息中還可以包含TS���、SPI2���。 利用共享密鑰Kmh生成MAC2具體可以通過下式實(shí)現(xiàn)MAC2 = HMAC_SHA1 (Kmh,PBA 報(bào)文)�����,其中PBA報(bào)文為PBA消息中包含的數(shù)據(jù),并且也可以通過現(xiàn)有技術(shù)中的其它方式生 成MAC2��。 另外需要說明的是���,由于MAC2是利用共享密鑰Kmh生成的完整性保護(hù)碼���,該MAC2 用于對(duì)整個(gè)PBA消息進(jìn)行完整性保護(hù),所以也可以說是利用Kmh對(duì)該P(yáng)BA消息進(jìn)行完整性 保護(hù)����。 205 :ASN-GW接收到PBA消息后,根據(jù)Km及接收到的PBA消息中的計(jì)算Kmh的算 法�����,計(jì)算出Kmh���,然后使用Kmh驗(yàn)證PBA消息��,驗(yàn)證通過后���,完成與LMA/HA的注冊(cè)。
需要說明的是���,當(dāng)驗(yàn)證沒有通過時(shí)�,ASN-GW將重新發(fā)起注冊(cè)過程。
在步驟205之后�����,當(dāng)ASN-GW需要再次與LMA/HA進(jìn)行注冊(cè)時(shí)��,具體的注冊(cè)過程為
ASN-GW向LMA/HA發(fā)送PBU消息�����;LMA/HA接收到PBU消息后���,利用共享密鑰Kmh驗(yàn) 證PBU消息,驗(yàn)證通過后���,向ASN-GW發(fā)送PBA消息�����;ASN-GW接收到PBA消息后��,利用共享密 鑰Kmh驗(yàn)證PBA消息�,如果驗(yàn)證通過,則完成與LMA/HA的注冊(cè)�;否則ASN-GW重新發(fā)起注冊(cè)。 其中��,此處的PBU消息與步驟201中的PBU消息的區(qū)別在于���,此處的PBU消息中包含的消息 驗(yàn)證碼與步驟201中的PBU消息中包含的消息驗(yàn)證碼不同���,此處的PBA消息與步驟204中 的PBA消息的區(qū)別也在于他們中包含的消息驗(yàn)證碼不同。因?yàn)榇颂幍腜BU消息中包含的消 息驗(yàn)證碼��,是利用共享密鑰Kmh生成的��,并且每次PBU消息中包含的PBU報(bào)文也不同��,所以 每次PBU消息中包含的消息驗(yàn)證碼不同�����,同理���,PBA消息中每次包含的消息驗(yàn)證碼也不同���。 另外�,需要說明的是���,利用共享密鑰Kmh驗(yàn)證PBU消息����,當(dāng)驗(yàn)證失敗時(shí)�����,LMA/HA向ASN-GW發(fā) 送PBA消息����,其中PBA消息中攜帶驗(yàn)證失敗的原因���。 從上述描述可以看出����,ASN-GW與LMA/HA都得到Kmh后�����,直接使用Kmh對(duì)ASN-GW與 LMA/HA之間的注冊(cè)過程進(jìn)行保護(hù),除非要更新Kmh���,否則后續(xù)的ASN-GW與LMA/HA之間的注 冊(cè)過程不必再到AAA Server驗(yàn)證����。
另外需要說明的是�,還可以在AAA Sever和ASN-GW中預(yù)先設(shè)置相同的計(jì)算Kmh的 算法,這樣在步驟203中AAA Server向LMA/HA發(fā)送的應(yīng)答消息AAA-Acc印t中就不包含計(jì) 算Kmh的算法��,同時(shí)在步驟204中向ASN-GW發(fā)送的PBA消息中也不再包含計(jì)算Kmh的算法�, 在步驟205中ASN-GW根據(jù)預(yù)先設(shè)置的的計(jì)算Kmh的算法(與AAA Sever中設(shè)置的計(jì)算Kmh 的算法相同)計(jì)算出Kmh。 本實(shí)施例所示的方法���,通過在ASN-GW與LMA/HA之間的的注冊(cè)過程中自動(dòng)生成共 享密鑰Kmh����,實(shí)現(xiàn)了以動(dòng)態(tài)自動(dòng)配置的方式對(duì)ASN-GW與LMA/HA之間的注冊(cè)過程進(jìn)行保護(hù)�, 避免MN、LMA/HA受到網(wǎng)絡(luò)攻擊����,滿足了 Wimax標(biāo)準(zhǔn)的要求;并且由于ASN-GW與LMA/HA之間 的共享密鑰Kmh是在ASN-GW與LMA/HA之間的的注冊(cè)過程中自動(dòng)生成的����,所以使得ASN-GW 可以在獲取LMA/HA列表的情況下���,根據(jù)實(shí)際情況從LMA/HA列表中選擇任一 LMA/HA進(jìn)行注 冊(cè)。 實(shí)施例3 參見圖2���,本發(fā)明實(shí)施例提供了一種注冊(cè)的方法�����,用于保護(hù)ASN-GW與LMA/HA之間 的注冊(cè)過程���,具體包括 301 :在ASN-GW與MN之間的接入認(rèn)證交互完成后,AAA Sever為ASN-GW與LMA/HA 指定一個(gè)共享密鑰Kmh����,并通過應(yīng)答消息AAA-Acc印t將共享密鑰Kmh發(fā)送給ASN-GW。
本發(fā)明實(shí)施例中指定共享密鑰Kmh具體為根據(jù)現(xiàn)有技術(shù)中生成密鑰的算法中的 任何一種算法生成共享密鑰Kmh���,指定該共享密鑰Kmh為ASN-GW與LMA/HA之間的共享密 鑰;或根據(jù)實(shí)施例1中的生成共享密鑰Kmh的公式(1)生成本發(fā)明實(shí)施例中的共享密鑰 Kmh ;或是生成一個(gè)隨機(jī)數(shù)�,將這個(gè)隨機(jī)數(shù)指定為ASN-GW與LMA/HA之間共享密鑰Kmh。
302 :ASN-GW接收到共享密鑰Kmh后�����,向LMA/HA發(fā)送PBU消息。
其中��,PBU消息中包含MAG-ID����、消息驗(yàn)證碼MAC1, MAC1是利用Kmh生成的完整性 保護(hù)碼�,該MAC1用于對(duì)整個(gè)PBU消息進(jìn)行完整性保護(hù);PBU消息中還可以攜帶SPI���, SPI用 于索引Kmh及相關(guān)消息����;此外���,為了防止重放攻擊在PBU消息中還可以攜帶新鮮值�����,新鮮值 可以是TS1或隨機(jī)數(shù)Rl或SNl���。 其中��,利用Kmh生成MAC1的過程與實(shí)施例1中生成MAC1的過程類似��,此處不再贅 述����。 并且需要說明的是����,由于MAC1是利用共享密鑰Kmh生成的完整性保護(hù)碼,該MAC1 用于對(duì)整個(gè)PBU消息進(jìn)行完整性保護(hù)���,所以也可以說是利用Kmh對(duì)該P(yáng)BU消息進(jìn)行完整性 保護(hù)���。 303 :LMA/HA接收到PBU消息后,向AAA Server發(fā)送請(qǐng)求消息AAA-Request��。 其中����,AAA-Request消息中包含PBU消息、LMA-ID ;此外����,為了防止重放攻擊
AAA-Request消息中也可以攜帶新鮮值,新鮮值可以是TS2或隨機(jī)數(shù)R2或SN2����。 304 :AAA Sever接收到AAA-Request消息后,使用Kmh驗(yàn)證AAA-Request消息中
的PBU消息��,驗(yàn)證通過后���,AAA Server向LMA/HA發(fā)送應(yīng)答消息AAA-Acc印t�。 其中����,AAA-Acc印t消息中包含Kmh ;可選的AAA-Acc印t消息還可以包含安全索引
參數(shù)SPI。 其中��,使用Kmh驗(yàn)證PBU消息的過程與實(shí)施例2中驗(yàn)證PBU消息的過程類似����,此處 不再贅述。
305 :LMA/HA接收到AAA-Acc印t消息后��,獲得AAA-Acc印t消息中的Kmh�����,然后向 ASN-GW發(fā)送PBA消息。其中����,PBA消息中包含MAC 2, MAC 2是利用Kmh生成的完整性保護(hù)碼����,該MAC2用
于對(duì)整個(gè)PBA消息進(jìn)行完整性保護(hù);可選的PBA消息還可以包含TS����、 SPI2。 其中���,利用Kmh生成MAC2的過程與實(shí)施例1中生成MAC2的過程類似�����,此處不再贅述���。 并且需要說明的是,由于MAC2是利用共享密鑰Kmh生成的完整性保護(hù)碼���,該MAC2 用于對(duì)整個(gè)PBA消息進(jìn)行完整性保護(hù)��,所以也可以說是利用Kmh對(duì)該P(yáng)BA消息進(jìn)行完整性 保護(hù)��。 306 :ASN-GW接收到PBA消息后���,使用Kmh驗(yàn)證PBA消息,驗(yàn)證通過后�,完成與LMA/ HA的注冊(cè)。 需要說明的是����,當(dāng)驗(yàn)證沒有通過時(shí),ASN-GW將重新發(fā)起注冊(cè)過程����。
在步驟306之后,當(dāng)ASN-GW需要再次與LMA/HA進(jìn)行注冊(cè)時(shí)�,具體的注冊(cè)過程為 ASN-GW向LMA/HA發(fā)送PBU消息;LMA/HA接收到PBU消息后���,利用共享密鑰Kmh驗(yàn)證PBU消 息��,驗(yàn)證通過后�����,向ASN-GW發(fā)送PBA消息��;ASN-GW接收到PBA消息后��,利用共享密鑰Kmh驗(yàn) 證PBA消息����,如果驗(yàn)證通過,則完成與LMA/HA的注冊(cè)�;否則ASN-GW重新發(fā)起注冊(cè)。其中�����,此 處的PBU消息與步驟302中的PBU消息的區(qū)別在于����,此處的PBU消息中包含的消息驗(yàn)證碼 與步驟302中的PBU消息中包含的消息驗(yàn)證碼不同,此處的PBA消息與步驟305中的PBA 消息的區(qū)別也在于他們中包含的消息驗(yàn)證碼不同����。因?yàn)榇颂幍腜BU消息中包含的消息驗(yàn)證 碼,是利用共享密鑰Kmh生成的��,并且每次PBU消息中包含的PBU報(bào)文也不同,所以每次PBU 消息中包含的消息驗(yàn)證碼不同��,同理����,PBA消息中每次包含的消息驗(yàn)證碼也不同。另外����,需要 說明的是�,利用共享密鑰Kmh驗(yàn)證PBU消息,當(dāng)驗(yàn)證失敗時(shí)���,LMA/HA向ASN-GW發(fā)送PBA消 息���,其中PBA消息中攜帶驗(yàn)證失敗的原因。 從上述描述可以看出����,ASN-GW與LMA/HA都得到Kmh后,直接使用Kmh對(duì)ASN-GW與 LMA/HA之間的注冊(cè)過程進(jìn)行保護(hù)�,除非要更新Kmh,否則后續(xù)的ASN-GW與LMA/HA之間的注 冊(cè)過程不必再到AAA Server驗(yàn)證��。本實(shí)施例所示的方法,通過AAA Sever為ASN-GW與LMA/HA指定共享密鑰Kmh�����,實(shí) 現(xiàn)了對(duì)ASN-GW與LMA/HA之間的注冊(cè)過程進(jìn)行保護(hù)��,避免麗�����、LMA/HA受到網(wǎng)絡(luò)攻擊��,滿足 了 Wimax標(biāo)準(zhǔn)的要求�����;另外���,通過AAA Sever為ASN-GW與LMA/HA指定共享密鑰Kmh�����,使得 ASN-GW不用計(jì)算共享密鑰Kmh�����,使得整個(gè)過程更簡(jiǎn)單��。
實(shí)施例4 參見圖3�,本發(fā)明實(shí)施例提供了一種注冊(cè)的系統(tǒng),該系統(tǒng)具體包括
認(rèn)證����、授權(quán)和記帳服務(wù)器401,用于發(fā)送第一密鑰�����; 移動(dòng)錨點(diǎn)402��,用于接收接入服務(wù)網(wǎng)絡(luò)網(wǎng)關(guān)403發(fā)送的第一代理綁定更新消息���,獲 取認(rèn)證、授權(quán)和記帳服務(wù)器401發(fā)送的第一密鑰�,根據(jù)第一密鑰生成第一消息驗(yàn)證碼,向接 入服務(wù)網(wǎng)絡(luò)網(wǎng)關(guān)403返回第一代理綁定確認(rèn)新消息�,第一代理綁定確認(rèn)新消息中攜帶第一 消息驗(yàn)證碼; 接入服務(wù)網(wǎng)絡(luò)網(wǎng)關(guān)403����,用于向移動(dòng)錨點(diǎn)402發(fā)送第一代理綁定更新消息�����,接收移 動(dòng)錨點(diǎn)402返回的第一代理綁定確認(rèn)新消息����,根據(jù)其獲取的第一密鑰對(duì)第一代理綁定確認(rèn)新消息中攜帶的第一消息驗(yàn)證碼進(jìn)行驗(yàn)證����,當(dāng)驗(yàn)證成功時(shí),完成與移動(dòng)錨點(diǎn)402的注冊(cè)����。
進(jìn)一步地, 移動(dòng)錨點(diǎn)402�,還用于接收接入服務(wù)網(wǎng)絡(luò)網(wǎng)關(guān)403發(fā)送的第二代理綁定更新消息, 第二代理綁定更新消息中攜帶第二消息驗(yàn)證碼���,第二消息驗(yàn)證碼由接入服務(wù)網(wǎng)絡(luò)網(wǎng)關(guān)403 根據(jù)接入服務(wù)網(wǎng)絡(luò)網(wǎng)關(guān)403獲取的第一密鑰生成��;根據(jù)獲取的認(rèn)證�����、授權(quán)和記帳服務(wù)器401 發(fā)送的第一密鑰�����,驗(yàn)證第二消息驗(yàn)證碼���;當(dāng)驗(yàn)證成功后����,根據(jù)第一密鑰生成第三消息驗(yàn)證 碼��,向接入服務(wù)網(wǎng)絡(luò)網(wǎng)關(guān)403返回第二代理綁定確認(rèn)消息���,第二代理綁定確認(rèn)消息中攜帶 第三消息驗(yàn)證碼�。 其中��,認(rèn)證�、授權(quán)和記帳服務(wù)器發(fā)送的第一密鑰是其根據(jù)其與接入服務(wù)網(wǎng)絡(luò)網(wǎng)關(guān)
之間的第二密鑰��,以及第二密鑰和第一密鑰關(guān)系算法生成的�;則接入服務(wù)網(wǎng)絡(luò)網(wǎng)關(guān)獲取的
第一密鑰也是根據(jù)第二密鑰,以及第二密鑰和第一密鑰關(guān)系算法生成的��; 或者��,認(rèn)證、授權(quán)和記帳服務(wù)器發(fā)送的第一密鑰和接入服務(wù)網(wǎng)絡(luò)網(wǎng)關(guān)獲取的第一
密鑰是認(rèn)證��、授權(quán)和記帳服務(wù)器指定的�。 其中,接入服務(wù)網(wǎng)絡(luò)網(wǎng)關(guān)獲取的第一密鑰所根據(jù)的第二密鑰和第一密鑰關(guān)系算法 是認(rèn)證����、授權(quán)和記帳服務(wù)器發(fā)送的或是在本地預(yù)設(shè)的。 本實(shí)施例所示的系統(tǒng)�����,通過生成第一密鑰�����,并使用第一密鑰保護(hù)ASN-GW與LMA/HA 間的注冊(cè)過程��,避免麗�、LMA/HA受到網(wǎng)絡(luò)攻擊;并且���,第一密鑰是在ASN-GW與LMA/HA之間 的的注冊(cè)過程中自動(dòng)生成�����,實(shí)現(xiàn)了以動(dòng)態(tài)自動(dòng)配置的方式對(duì)ASN-GW與LMA/HA之間的注冊(cè) 過程進(jìn)行保護(hù)�����,滿足了Wimax標(biāo)準(zhǔn)的要求��;另外���,第一密鑰還可以是AAA Sever為ASN-GW與 LMA/HA指定的�����,使得ASN-GW不用計(jì)算第一密鑰�,使得整個(gè)過程更簡(jiǎn)單�����。
實(shí)施例5 參見圖4����,本發(fā)明實(shí)施例提供了一種注冊(cè)的裝置���,該裝置具體包括 第一接收模塊501�,用于接收接入服務(wù)網(wǎng)絡(luò)網(wǎng)關(guān)發(fā)送的第一代理綁定更新消息,獲
取認(rèn)證���、授權(quán)和記帳服務(wù)器發(fā)送的第一密鑰�����; 生成模塊502��,用于根據(jù)第一接收模塊501獲取的第一密鑰���,生成第一消息驗(yàn)證 碼; 第一發(fā)送模塊503�,用于向接入服務(wù)網(wǎng)絡(luò)網(wǎng)關(guān)返回第一代理綁定確認(rèn)新消息,第一 代理綁定確認(rèn)新消息中攜帶生成模塊502生成的第一消息驗(yàn)證碼��,以使接入服務(wù)網(wǎng)絡(luò)網(wǎng)關(guān) 能根據(jù)接入服務(wù)網(wǎng)絡(luò)網(wǎng)關(guān)獲取的第一密鑰對(duì)第一消息驗(yàn)證碼進(jìn)行驗(yàn)證���。
進(jìn)一步地����,參見圖5�����,該裝置還包括 第二接收模塊504,用于接收接入服務(wù)網(wǎng)絡(luò)網(wǎng)關(guān)發(fā)送的第二代理綁定更新消息��,第 二代理綁定更新消息中攜帶第二消息驗(yàn)證碼���,第二消息驗(yàn)證碼由接入服務(wù)網(wǎng)絡(luò)網(wǎng)關(guān)根據(jù)接 入服務(wù)網(wǎng)絡(luò)網(wǎng)關(guān)獲取的第一密鑰生成�����; 處理模塊505���,用于根據(jù)第一接收模塊501獲取的第一密鑰,驗(yàn)證第二接收模塊 504接收的第二代理綁定更新消息中攜帶的第二消息驗(yàn)證碼���,當(dāng)驗(yàn)證成功后�,根據(jù)第一密鑰 生成第三消息驗(yàn)證碼���; 第二發(fā)送模塊506����,用于向接入服務(wù)網(wǎng)絡(luò)網(wǎng)關(guān)返回第二代理綁定確認(rèn)消息��,第二代 理綁定確認(rèn)消息中攜帶處理模塊505生成的第三消息驗(yàn)證碼�。
其中,該裝置為本地移動(dòng)錨點(diǎn)或家鄉(xiāng)代理���。
其中���,認(rèn)證、授權(quán)和記帳服務(wù)器發(fā)送的第一密鑰是其根據(jù)其與接入服務(wù)網(wǎng)絡(luò)網(wǎng)關(guān)
之間的第二密鑰�,以及第二密鑰和第一密鑰關(guān)系算法生成的;則接入服務(wù)網(wǎng)絡(luò)網(wǎng)關(guān)獲取的
第一密鑰也是根據(jù)第二密鑰�,以及第二密鑰和第一密鑰關(guān)系算法生成的; 或者�����,認(rèn)證�、授權(quán)和記帳服務(wù)器發(fā)送的第一密鑰和接入服務(wù)網(wǎng)絡(luò)網(wǎng)關(guān)獲取的第一
密鑰是認(rèn)證、授權(quán)和記帳服務(wù)器指定的�。 其中,接入服務(wù)網(wǎng)絡(luò)網(wǎng)關(guān)獲取的第一密鑰所根據(jù)的第二密鑰和第一密鑰關(guān)系算法 是認(rèn)證�、授權(quán)和記帳服務(wù)器發(fā)送的或是在本地預(yù)設(shè)的。 本實(shí)施例所示的裝置�,通過生成第一密鑰,并使用第一密鑰保護(hù)ASN-GW與LMA/HA 間的注冊(cè)過程�����,避免MN、LMA/HA受到網(wǎng)絡(luò)攻擊�。并且,第一密鑰是在ASN-GW與LMA/HA之間 的的注冊(cè)過程中自動(dòng)生成��,實(shí)現(xiàn)了以動(dòng)態(tài)自動(dòng)配置的方式對(duì)ASN-GW與LMA/HA之間的注冊(cè) 過程進(jìn)行保護(hù)���,滿足了Wimax標(biāo)準(zhǔn)的要求��;另外��,第一密鑰還可以是AAA Sever為ASN-GW與 LMA/HA指定的����,使得ASN-GW不用計(jì)算第一密鑰���,使得整個(gè)過程更簡(jiǎn)單�。
實(shí)施例6 參見圖6�����,本發(fā)明實(shí)施例提供了一種接入服務(wù)網(wǎng)絡(luò)網(wǎng)關(guān)��,該接入服務(wù)網(wǎng)絡(luò)網(wǎng)關(guān)具體 包括 確認(rèn)消息接收模塊601,用于接收移動(dòng)錨點(diǎn)返回的第一代理綁定確認(rèn)新消息����,第一 代理綁定確認(rèn)新消息中攜帶第一消息驗(yàn)證碼�,第一消息驗(yàn)證碼是由移動(dòng)錨點(diǎn)根據(jù)其獲取的 認(rèn)證、授權(quán)和記帳服務(wù)器發(fā)送的第一密鑰生成��;
密鑰獲取模塊602�,用于獲取第一密鑰; 驗(yàn)證模塊603���,用于根據(jù)密鑰獲取模塊602獲取的第一密鑰對(duì)第一代理綁定確認(rèn)
新消息中攜帶的第一消息驗(yàn)證碼進(jìn)行驗(yàn)證�����;當(dāng)驗(yàn)證成功后�����,完成與移動(dòng)錨點(diǎn)的注冊(cè)�����。 其中����,認(rèn)證、授權(quán)和記帳服務(wù)器發(fā)送的第一密鑰是其根據(jù)其與接入服務(wù)網(wǎng)絡(luò)網(wǎng)關(guān)
之間的第二密鑰�,以及第二密鑰和第一密鑰關(guān)系算法生成的;則接入服務(wù)網(wǎng)絡(luò)網(wǎng)關(guān)獲取的
第一密鑰也是根據(jù)第二密鑰�����,以及第二密鑰和第一密鑰關(guān)系算法生成的���; 或者�����,認(rèn)證��、授權(quán)和記帳服務(wù)器發(fā)送的第一密鑰和接入服務(wù)網(wǎng)絡(luò)網(wǎng)關(guān)獲取的第一
密鑰是認(rèn)證���、授權(quán)和記帳服務(wù)器指定的。 其中�,接入服務(wù)網(wǎng)絡(luò)網(wǎng)關(guān)獲取的第一密鑰所根據(jù)的第二密鑰和第一密鑰關(guān)系算法 是認(rèn)證、授權(quán)和記帳服務(wù)器發(fā)送的或是在本地預(yù)設(shè)的����。 本實(shí)施例所示的接入服務(wù)網(wǎng)絡(luò)網(wǎng)關(guān)���,通過生成第一密鑰,并使用第一密鑰保護(hù) ASN-GW與LMA/HA間的注冊(cè)過程�����,避免麗����、LMA/HA受到網(wǎng)絡(luò)攻擊�。并且,第一密鑰是在 ASN-GW與LMA/HA之間的的注冊(cè)過程中自動(dòng)生成��,實(shí)現(xiàn)了以動(dòng)態(tài)自動(dòng)配置的方式對(duì)ASN-GW 與LMA/HA之間的注冊(cè)過程進(jìn)行保護(hù)���,滿足了 Wimax標(biāo)準(zhǔn)的要求���;另外,第一密鑰還可以是 AAA Sever為ASN-GW與LMA/HA指定的�,使得ASN-GW不用計(jì)算第一密鑰,使得整個(gè)過程更簡(jiǎn) 單���。 以上實(shí)施例提供的技術(shù)方案中的全部或部分內(nèi)容可以通過軟件編程實(shí)現(xiàn)���,其軟件
程序存儲(chǔ)在可讀取的存儲(chǔ)介質(zhì)中�,存儲(chǔ)介質(zhì)例如計(jì)算機(jī)中的硬盤����、光盤或軟盤。 以上所述僅為本發(fā)明的較佳實(shí)施例�,并不用以限制本發(fā)明,凡在本發(fā)明的精神和
原則之內(nèi)���,所作的任何修改���、等同替換、改進(jìn)等��,均應(yīng)包含在本發(fā)明的保護(hù)范圍之內(nèi)��。
權(quán)利要求
一種注冊(cè)的方法�,其特征在于,所述方法包括接收接入服務(wù)網(wǎng)絡(luò)網(wǎng)關(guān)發(fā)送的第一代理綁定更新消息�,獲取認(rèn)證、授權(quán)和記帳服務(wù)器發(fā)送的第一密鑰���;根據(jù)所述第一密鑰生成第一消息驗(yàn)證碼���,向所述接入服務(wù)網(wǎng)絡(luò)網(wǎng)關(guān)返回第一代理綁定確認(rèn)新消息���,所述第一代理綁定確認(rèn)新消息中攜帶所述第一消息驗(yàn)證碼,以使所述接入服務(wù)網(wǎng)絡(luò)網(wǎng)關(guān)能根據(jù)所述接入服務(wù)網(wǎng)絡(luò)網(wǎng)關(guān)獲取的第一密鑰對(duì)所述第一消息驗(yàn)證碼進(jìn)行驗(yàn)證�����;在所述接入服務(wù)網(wǎng)絡(luò)網(wǎng)關(guān)對(duì)所述第一消息驗(yàn)證碼驗(yàn)證成功后���,完成與所述接入服務(wù)網(wǎng)絡(luò)網(wǎng)關(guān)的注冊(cè)����。
2. 如權(quán)利要求1所述的注冊(cè)的方法��,其特征在于����,當(dāng)驗(yàn)證成功后���,所述接入服務(wù)網(wǎng)絡(luò)網(wǎng)關(guān)再次與本地進(jìn)行注冊(cè)時(shí)���,所述方法還包括接收所述接入服務(wù)網(wǎng)絡(luò)網(wǎng)關(guān)發(fā)送的第二代理綁定更新消息��,所述第二代理綁定更新消息中攜帶第二消息驗(yàn)證碼����,所述第二消息驗(yàn)證碼由所述接入服務(wù)網(wǎng)絡(luò)網(wǎng)關(guān)根據(jù)所述接入服務(wù)網(wǎng)絡(luò)網(wǎng)關(guān)獲取的所述第一密鑰生成��;根據(jù)獲取的所述認(rèn)證����、授權(quán)和記帳服務(wù)器發(fā)送的所述第一密鑰,驗(yàn)證所述第二消息驗(yàn)證碼����,當(dāng)驗(yàn)證成功后,根據(jù)所述第一密鑰生成第三消息驗(yàn)證碼��;向所述接入服務(wù)網(wǎng)絡(luò)網(wǎng)關(guān)返回第二代理綁定確認(rèn)消息��,所述第二代理綁定確認(rèn)消息中攜帶所述第三消息驗(yàn)證碼�。
3. 如權(quán)利要求1或2所述的注冊(cè)的方法,其特征在于��,所述認(rèn)證�、授權(quán)和記帳服務(wù)器發(fā)送的所述第一密鑰是所述認(rèn)證、授權(quán)和記帳服務(wù)器根據(jù)其與所述接入服務(wù)網(wǎng)絡(luò)網(wǎng)關(guān)之間的第二密鑰,以及第二密鑰和第一密鑰關(guān)系算法生成的�;則所述接入服務(wù)網(wǎng)絡(luò)網(wǎng)關(guān)獲取的所述第一密鑰也是根據(jù)所述第二密鑰,以及所述第二密鑰和第一密鑰關(guān)系算法生成的��;或者�,所述認(rèn)證、授權(quán)和記帳服務(wù)器發(fā)送的所述第一密鑰和所述接入服務(wù)網(wǎng)絡(luò)網(wǎng)關(guān)獲取的所述第一密鑰是所述認(rèn)證����、授權(quán)和記帳服務(wù)器指定的。
4. 如權(quán)利要求3所述的注冊(cè)的方法��,其特征在于��,所述接入服務(wù)網(wǎng)絡(luò)網(wǎng)關(guān)獲取的所述第一密鑰所根據(jù)的第二密鑰和第一密鑰關(guān)系算法是所述認(rèn)證��、授權(quán)和記帳服務(wù)器發(fā)送的或是在本地預(yù)設(shè)的�。
5. 如權(quán)利要求4所述的注冊(cè)的方法���,其特征在于��,所述第一密鑰為根據(jù)所述第二密鑰和移動(dòng)接入網(wǎng)關(guān)標(biāo)識(shí)����,利用輸出為256bit的哈希消息識(shí)別碼生成函數(shù)計(jì)算得到;或所述第一密鑰為根據(jù)所述第二密鑰�����、移動(dòng)接入網(wǎng)關(guān)標(biāo)識(shí)和新鮮值�����,利用輸出為256bit的哈希消息識(shí)別碼生成函數(shù)計(jì)算得到���,所述新鮮值包括時(shí)間戳和/或隨機(jī)數(shù)����。
6. 如權(quán)利要求3所述的注冊(cè)的方法��,其特征在于�����,所述第一密鑰是所述認(rèn)證�、授權(quán)和記帳服務(wù)器指定的,具體包括所述第一密鑰為根據(jù)所述第二密鑰和移動(dòng)接入網(wǎng)關(guān)標(biāo)識(shí)�,利用輸出為256bit的哈希消息識(shí)別碼生成函數(shù)計(jì)算得到。
7. —種注冊(cè)的系統(tǒng)�,其特征在于����,所述系統(tǒng)包括認(rèn)證���、授權(quán)和記帳服務(wù)器���,用于發(fā)送第一密鑰;移動(dòng)錨點(diǎn)�,用于接收接入服務(wù)網(wǎng)絡(luò)網(wǎng)關(guān)發(fā)送的第一代理綁定更新消息,獲取所述認(rèn)證����、授權(quán)和記帳服務(wù)器發(fā)送的所述第一密鑰,根據(jù)所述第一密鑰生成第一消息驗(yàn)證碼����,向所述接入服務(wù)網(wǎng)絡(luò)網(wǎng)關(guān)返回第一代理綁定確認(rèn)新消息,所述第一代理綁定確認(rèn)新消息中攜帶所述第一消息驗(yàn)證碼�;接入服務(wù)網(wǎng)絡(luò)網(wǎng)關(guān),用于向所述移動(dòng)錨點(diǎn)發(fā)送所述第一代理綁定更新消息�����,接收所述移動(dòng)錨點(diǎn)返回的所述第一代理綁定確認(rèn)新消息��,根據(jù)其獲取的第一密鑰對(duì)所述第一代理綁定確認(rèn)新消息中攜帶的所述第一消息驗(yàn)證碼進(jìn)行驗(yàn)證��,當(dāng)驗(yàn)證成功時(shí)����,完成與所述移動(dòng)錨點(diǎn)的注冊(cè)。
8. 如權(quán)利要求7所述的注冊(cè)的系統(tǒng)����,其特征在于,所述移動(dòng)錨點(diǎn)���,還用于接收所述接入服務(wù)網(wǎng)絡(luò)網(wǎng)關(guān)發(fā)送的第二代理綁定更新消息���,所述第二代理綁定更新消息中攜帶第二消息驗(yàn)證碼,所述第二消息驗(yàn)證碼由所述接入服務(wù)網(wǎng)絡(luò)網(wǎng)關(guān)根據(jù)所述接入服務(wù)網(wǎng)絡(luò)網(wǎng)關(guān)獲取的所述第一密鑰生成�����;根據(jù)獲取的所述認(rèn)證���、授權(quán)和記帳服務(wù)器發(fā)送的所述第一密鑰�����,驗(yàn)證所述第二消息驗(yàn)證碼�����;當(dāng)驗(yàn)證成功后���,根據(jù)所述第一密鑰生成第三消息驗(yàn)證碼���,向所述接入服務(wù)網(wǎng)絡(luò)網(wǎng)關(guān)返回第二代理綁定確認(rèn)消息,所述第二代理綁定確認(rèn)消息中攜帶所述第三消息驗(yàn)證碼����。
9. 如權(quán)利要求7或8所述的注冊(cè)的系統(tǒng),其特征在于����,所述認(rèn)證、授權(quán)和記帳服務(wù)器發(fā)送的所述第一密鑰是所述認(rèn)證�、授權(quán)和記帳服務(wù)器根據(jù)其與所述接入服務(wù)網(wǎng)絡(luò)網(wǎng)關(guān)之間的第二密鑰,以及第二密鑰和第一密鑰關(guān)系算法生成的��;則所述接入服務(wù)網(wǎng)絡(luò)網(wǎng)關(guān)獲取的所述第一密鑰也是根據(jù)所述第二密鑰����,以及所述第二密鑰和第一密鑰關(guān)系算法生成的�;或者��,所述認(rèn)證�、授權(quán)和記帳服務(wù)器發(fā)送的所述第一密鑰和所述接入服務(wù)網(wǎng)絡(luò)網(wǎng)關(guān)獲取的所述第一密鑰是所述認(rèn)證��、授權(quán)和記帳服務(wù)器指定的�����。
10. —種注冊(cè)的裝置��,其特征在于��,所述裝置包括第一接收模塊����,用于接收接入服務(wù)網(wǎng)絡(luò)網(wǎng)關(guān)發(fā)送的第一代理綁定更新消息,獲取認(rèn)證�、授權(quán)和記帳服務(wù)器發(fā)送的第一密鑰;生成模塊���,用于根據(jù)所述第一接收模塊獲取的所述第一密鑰��,生成第一消息驗(yàn)證碼�����;第一發(fā)送模塊����,用于向所述接入服務(wù)網(wǎng)絡(luò)網(wǎng)關(guān)返回第一代理綁定確認(rèn)新消息,所述第一代理綁定確認(rèn)新消息中攜帶所述生成模塊生成的所述第一消息驗(yàn)證碼�,以使所述接入服務(wù)網(wǎng)絡(luò)網(wǎng)關(guān)能根據(jù)所述接入服務(wù)網(wǎng)絡(luò)網(wǎng)關(guān)獲取的第一密鑰對(duì)所述第一消息驗(yàn)證碼進(jìn)行驗(yàn)證。
11. 如權(quán)利要求10所述的注冊(cè)的裝置����,其特征在于,所述裝置還包括第二接收模塊�����,用于接收所述接入服務(wù)網(wǎng)絡(luò)網(wǎng)關(guān)發(fā)送的第二代理綁定更新消息�����,所述第二代理綁定更新消息中攜帶第二消息驗(yàn)證碼����,所述第二消息驗(yàn)證碼由所述接入服務(wù)網(wǎng)絡(luò)網(wǎng)關(guān)根據(jù)所述接入服務(wù)網(wǎng)絡(luò)網(wǎng)關(guān)獲取的所述第一密鑰生成;處理模塊,用于根據(jù)所述第一接收模塊獲取的所述第一密鑰�,驗(yàn)證所述第二接收模塊接收的所述第二代理綁定更新消息中攜帶的所述第二消息驗(yàn)證碼,當(dāng)驗(yàn)證成功后��,根據(jù)所述第一密鑰生成第三消息驗(yàn)證碼��;第二發(fā)送模塊����,用于向所述接入服務(wù)網(wǎng)絡(luò)網(wǎng)關(guān)返回第二代理綁定確認(rèn)消息����,所述第二代理綁定確認(rèn)消息中攜帶所述處理模塊生成的所述第三消息驗(yàn)證碼。
12. 如權(quán)利要求11所述的注冊(cè)的裝置���,其特征在于�����,所述裝置為本地移動(dòng)錨點(diǎn)或家鄉(xiāng)代理����。
13. —種接入服務(wù)網(wǎng)絡(luò)網(wǎng)關(guān)����,其特征在于����,所述接入服務(wù)網(wǎng)絡(luò)網(wǎng)關(guān)包括確認(rèn)消息接收模塊���,用于接收移動(dòng)錨點(diǎn)返回的第一代理綁定確認(rèn)新消息����,所述第一代理綁定確認(rèn)新消息中攜帶所述第一消息驗(yàn)證碼�,所述第一消息驗(yàn)證碼是由所述移動(dòng)錨點(diǎn)根據(jù)其獲取的認(rèn)證、授權(quán)和記帳服務(wù)器發(fā)送的第一密鑰生成����;密鑰獲取模塊,用于獲取所述第一密鑰�����;驗(yàn)證模塊�,用于根據(jù)所述密鑰獲取模塊獲取的所述第一密鑰對(duì)所述第一代理綁定確認(rèn)新消息中攜帶的所述第一消息驗(yàn)證碼進(jìn)行驗(yàn)證;當(dāng)驗(yàn)證成功后��,完成與所述移動(dòng)錨點(diǎn)的注冊(cè)����。
全文摘要
本發(fā)明公開了一種注冊(cè)的方法�����、系統(tǒng)和裝置���,屬于通信領(lǐng)域。方法接收接入服務(wù)網(wǎng)絡(luò)網(wǎng)關(guān)發(fā)送的第一代理綁定更新消息����,獲取認(rèn)證�����、授權(quán)和記帳服務(wù)器發(fā)送的第一密鑰�;根據(jù)第一密鑰生成第一消息驗(yàn)證碼,向接入服務(wù)網(wǎng)絡(luò)網(wǎng)關(guān)返回?cái)y帶第一消息驗(yàn)證碼的第一代理綁定確認(rèn)新消息���,使接入服務(wù)網(wǎng)絡(luò)網(wǎng)關(guān)對(duì)第一消息驗(yàn)證碼進(jìn)行驗(yàn)證����;驗(yàn)證成功后�,完成與接入服務(wù)網(wǎng)絡(luò)網(wǎng)關(guān)的注冊(cè)。系統(tǒng)認(rèn)證、授權(quán)和記帳服務(wù)器����、移動(dòng)錨點(diǎn)和接入服務(wù)網(wǎng)絡(luò)網(wǎng)關(guān)。裝置第一接收模塊�、生成模塊和第一發(fā)送模塊。接入服務(wù)網(wǎng)絡(luò)網(wǎng)關(guān)驗(yàn)證碼接收模塊��、密鑰獲取模塊和驗(yàn)證模塊��。本發(fā)明通過生成第一密鑰����,并使用第一密鑰保護(hù)ASN-GW與LMA/HA間的注冊(cè)過程,避免MN�、LMA/HA受到網(wǎng)絡(luò)攻擊。
文檔編號(hào)H04L9/08GK101754200SQ20081018253
公開日2010年6月23日 申請(qǐng)日期2008年12月8日 優(yōu)先權(quán)日2008年12月8日
發(fā)明者宮小玉, 李春強(qiáng), 李繼軍, 潘云波 申請(qǐng)人:華為技術(shù)有限公司