專利名稱:移動通信系統(tǒng)中使用移動因特網(wǎng)協(xié)議管理移動性的方法和系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及移動通信系統(tǒng)���,更具體地�����,本發(fā)明涉及在支持移動因特網(wǎng)協(xié)議版本 4(MIPv4)的移動通信系統(tǒng)中用于管理接入終端(AT)的移動性和安全性的方法和系統(tǒng)�����。
背景技術(shù):
在由第三代伙伴計(jì)劃2(3GPP2)標(biāo)準(zhǔn)組開發(fā)的諸如碼分多址(CDMA) lx系統(tǒng)和僅 演進(jìn)數(shù)據(jù)(EV-DO)系統(tǒng)的傳統(tǒng)移動通信系統(tǒng)中�,接入網(wǎng)(AN)管理無線資源����,而作為核心網(wǎng) (CN)的單獨(dú)實(shí)體的分組數(shù)據(jù)服務(wù)節(jié)點(diǎn)(PDSN)執(zhí)行與分組數(shù)據(jù)通信關(guān)聯(lián)的過程。
在支持移動因特網(wǎng)協(xié)議(MIP)的傳統(tǒng)移動通信系統(tǒng)中�,已經(jīng)進(jìn)行關(guān)于使用移動 IPv4或IPv6向AT提供移動性的方案的研究?��?墒?����,傳統(tǒng)移動IPv4不適合用于設(shè)計(jì)用于 以高速傳輸大量數(shù)據(jù)的改進(jìn)的3GPP2超移動寬帶(UMB)����。因此����,正研究改進(jìn)移動IPv4的計(jì) 劃以作為能夠高效率地支持UMB的方案之一。當(dāng)AT在不僅支持UMB而且支持其他網(wǎng)絡(luò)接 入技術(shù)的異構(gòu)網(wǎng)絡(luò)之間移動時(shí)�����,即,即便當(dāng)AT移動經(jīng)過例如UMB網(wǎng)絡(luò)和微波接入全球互通 (WiMAX)網(wǎng)絡(luò)時(shí)���,需要一種能夠高效率地支持AT的移動性的方案����。 在傳統(tǒng)CDMA lx系統(tǒng)或EV-DO系統(tǒng)中使用的移動IPv4要求長的時(shí)間以進(jìn)行接入 和呼叫處理過程���。也即�,盡管和簡單IP相比移動IP能夠向AT提供移動性���,但會存在由用 于移動性支持的安全(security)過程����、呼叫處理過程���、以及其接入���、呼叫處理、和安全過程 中的數(shù)據(jù)庫管理中的一個(gè)或多個(gè)引起的時(shí)延���。因此�,需要一種高效率的移動性管理方案以 解決支持MIP的移動通信系統(tǒng)中的時(shí)延問題。
發(fā)明內(nèi)容
本發(fā)明的一方面是解決至少上述的問題和/或不足并且提供至少以下述的優(yōu)點(diǎn)��。 因此����,本發(fā)明的一方面是提供在使用移動IP的移動通信系統(tǒng)中用于支持AT的高移動性和 用于執(zhí)行安全和高效率的通信的方法和系統(tǒng)。 本發(fā)明的另一方面是提供在移動通信系統(tǒng)中用于因使用改進(jìn)的MIPv4而支持AT 的高移動性和執(zhí)行安全和高效率的通信的方法和系統(tǒng)�。 本發(fā)明的另一方面是提供用于當(dāng)AT移動到支持另外的無線接入技術(shù)的另一AN時(shí) 通過改進(jìn)的移動IPv4支持AT的高移動性和安全性的方法和系統(tǒng)��。 本發(fā)明的另一方面是提供通過在移動通信系統(tǒng)的初始呼叫建立過程中使用改進(jìn)
的MIPv4而來效率地為AT執(zhí)行地址分配����、鑒權(quán)和呼叫建立的方法和系統(tǒng)。 根據(jù)本發(fā)明的一方面�,提供一種在移動通信系統(tǒng)中使用移動因特網(wǎng)協(xié)議(MIP)管
理接入終端(AT)的移動性的方法。該方法包括由已經(jīng)進(jìn)入新網(wǎng)絡(luò)的AT產(chǎn)生用于與新網(wǎng)
絡(luò)的歸屬代理(HA)相互鑒權(quán)的安全參數(shù)索引(SPI)和安全密鑰��;由AT發(fā)送包括包含SPI
的鑒權(quán)信息的登記請求消息�����,該鑒權(quán)信息使用該安全密鑰產(chǎn)生�����;當(dāng)接收到登記請求消息時(shí),
由HA在數(shù)據(jù)庫中搜索包含在鑒權(quán)信息中的SPI ;根據(jù)搜索結(jié)果驗(yàn)證鑒權(quán)信息����;當(dāng)成功驗(yàn)證鑒權(quán)信息時(shí),由HA產(chǎn)生AT的移動性綁定信息���;以及由HA發(fā)送包括HA的IP地址的登記響 應(yīng)消息���。 根據(jù)本發(fā)明的另一方面,提供一種使用移動因特網(wǎng)協(xié)議(MIP)管理接入終端(AT) 的移動性的移動通信系統(tǒng)��。該系統(tǒng)包括AT��,當(dāng)其已經(jīng)進(jìn)入新網(wǎng)絡(luò)時(shí)�,產(chǎn)生用于與新網(wǎng)絡(luò)的 歸屬代理(HA)相互鑒權(quán)的安全參數(shù)索引(SPI)和安全密鑰,并且向新網(wǎng)絡(luò)發(fā)送包括包含 SPI的鑒權(quán)信息的登記請求消息�,該鑒權(quán)信息使用該安全密鑰產(chǎn)生;和歸屬代理(HA)�,當(dāng)接 收到登記請求消息時(shí),其在數(shù)據(jù)庫中搜索包含在鑒權(quán)信息中的SPI�����,根據(jù)搜索結(jié)果驗(yàn)證鑒權(quán) 信息,并且當(dāng)成功驗(yàn)證鑒權(quán)信息時(shí)�,產(chǎn)生AT的移動性綁定信息,并向AT發(fā)送包括HA的IP 地址的登記響應(yīng)消息���。 根據(jù)本發(fā)明的另一方面�����,提供一種在用于移動通信系統(tǒng)的歸屬代理(HA)中使用 移動因特網(wǎng)協(xié)議(MIP)管理接入終端(AT)的移動性的方法��。該方法包括從已經(jīng)進(jìn)入新網(wǎng) 絡(luò)的AT接收包括包含用于相互鑒權(quán)的安全參數(shù)索引(SPI)的鑒權(quán)信息的登記請求消息�����;在 數(shù)據(jù)庫中搜索包含在鑒權(quán)信息中的SPI,并根據(jù)搜索結(jié)果驗(yàn)證鑒權(quán)信息�;當(dāng)成功驗(yàn)證鑒權(quán) 信息時(shí),產(chǎn)生AT的移動性綁定信息���,并發(fā)送包括AT的IP地址的登記響應(yīng)消息���。
根據(jù)本發(fā)明的另一方面,提供一種在移動通信系統(tǒng)的接入終端(AT)中使用移動 因特網(wǎng)協(xié)議(MIP)執(zhí)行的移動性管理方法����。該方法包括當(dāng)AT已經(jīng)進(jìn)入新網(wǎng)絡(luò)時(shí)����,產(chǎn)生用 于與新網(wǎng)絡(luò)的歸屬代理(HA)相互鑒權(quán)的安全參數(shù)索引(SPI)和安全密鑰���;向新網(wǎng)絡(luò)發(fā)送包 括第一 HA地址����、和包含SPI的第一鑒權(quán)信息的登記請求消息����,該第一鑒權(quán)信息使用該安全 密鑰產(chǎn)生;當(dāng)HA已經(jīng)成功驗(yàn)證第一鑒權(quán)信息時(shí)��,從HA接收包括第二HA地址����、和用于相互鑒 權(quán)的第二鑒權(quán)信息的登記響應(yīng)消息;以及當(dāng)?shù)谝籋A地址和第二HA地址相同時(shí)���,使用該安全 密鑰驗(yàn)證第二鑒權(quán)信息�。 通過結(jié)合附圖公開了本發(fā)明的示范實(shí)施例的以下詳細(xì)描述�,本發(fā)明的其他方面���、 優(yōu)點(diǎn)和顯著特征對本領(lǐng)域的技術(shù)人員將變得更加明了。
通過結(jié)合附圖的以下描述�����,本發(fā)明具體的示范實(shí)施例的以上和其它方面����、特征和 優(yōu)點(diǎn)將變得更加明了,其中 圖1是說明根據(jù)本發(fā)明的示范實(shí)施例的移動通信系統(tǒng)環(huán)境的框圖���; 圖2是說明根據(jù)本發(fā)明的示范實(shí)施例的AT的登記和安全過程的消息流圖����; 圖3是說明根據(jù)本發(fā)明的示范實(shí)施例的AT的登記和安全過程的消息流圖��; 圖4A和4B是說明根據(jù)本發(fā)明的示范實(shí)施例的HA的操作的流程圖��; 圖5是說明根據(jù)本發(fā)明的示范實(shí)施例的AT的操作的流程圖��;以及 圖6是說明根據(jù)本發(fā)明的示范實(shí)施例的AGW的操作的流程圖���。 貫穿各圖��,應(yīng)當(dāng)注意相同參考數(shù)字用于說明相同或相似組件����、特征和結(jié)構(gòu)���。
具體實(shí)施例方式
提供參照附圖的以下說明以幫助充分理解由權(quán)利要求書及其等價(jià)物限定的本發(fā) 明的示例實(shí)施例����。其包括各種具體的細(xì)節(jié)以助于理解����,但是這應(yīng)當(dāng)被當(dāng)作僅僅是示范。因 此�,本領(lǐng)域的普通技術(shù)人員將意識到,能夠?qū)@里描述的實(shí)施例進(jìn)行多種變更和修改而不背離本發(fā)明的范圍和精神���。同樣���,為了清楚和簡潔,略去公知的功能和配置的說明����。這里使 用的術(shù)語是基于本發(fā)明的示范實(shí)施例中的功能定義�,并且可以根據(jù)用戶��、運(yùn)營商的意圖或 通常實(shí)踐來改變��。因此�����,術(shù)語的定義應(yīng)當(dāng)基于說明書全文內(nèi)容做出���。 本發(fā)明的示范實(shí)施例在移動通信系統(tǒng)中使用移動IPv4為AT提供地址分配����、呼叫 建立�、和安全性的至少一種。盡管作為示例�,這里將參考基于3GPP2的UMB系統(tǒng)給出說明,本 發(fā)明也能夠在作為演進(jìn)的3GPP移動通信系統(tǒng)的演進(jìn)分組核心(EPC)�����、和/或演進(jìn)的WiMAX 系統(tǒng)中使用�����。本發(fā)明也能夠用于其中AT移動到支持其他無線接入技術(shù)的網(wǎng)絡(luò)的情況�����。因 此�,本領(lǐng)域的技術(shù)人員顯然可知,本發(fā)明提出的基于移動IPv4的因特網(wǎng)通信方法稍加修改 就能夠應(yīng)用于具有相似技術(shù)基礎(chǔ)和信道格式的其他移動通信系統(tǒng)��,而不脫離本發(fā)明的精神 和范圍���。 本發(fā)明的示范實(shí)施例提供在移動通信系統(tǒng)中通過使用移動IPv4管理AT的地址和 移動性的方法和系統(tǒng)�。本發(fā)明的示范實(shí)施例改進(jìn)基于移動IPv4的安全過程和登記過程�,使 得即便AT在支持不同接入技術(shù)的異構(gòu)網(wǎng)絡(luò)之間移動時(shí)也能夠?qū)崿F(xiàn)迅速和有保障的移動性 支持。 圖1是說明根據(jù)本發(fā)明的示范實(shí)施例的移動通信系統(tǒng)的框圖�。在圖1中,說明具 有重疊覆蓋區(qū)域的基于3GPP2的UMB系統(tǒng)和WiMAX系統(tǒng)作為示例����。 參考圖l,接入網(wǎng)(AN)108和109與位于它們的服務(wù)區(qū)或小區(qū)中的接入終端 (AT) 110建立無線連接�����,并且通過無線連接執(zhí)行與AT 110的通信。AN 108和109經(jīng)由信令 無線網(wǎng)絡(luò)控制器(SRNC�,未示出)與接入網(wǎng)關(guān)(AGW) 105和106、或者鑒權(quán)����、授權(quán)和計(jì)費(fèi)(AAA) 服務(wù)器101進(jìn)行通信。 圖1中��,AT 110是指經(jīng)由AN1 108 (AN2109)禾口 AGW1 105(AGW2 106)接入諸如因 特網(wǎng)的分組數(shù)據(jù)網(wǎng)絡(luò)的用戶設(shè)備�。這里AGW1 105(AGW2 106)其中包括負(fù)責(zé)在以另一網(wǎng)絡(luò) 作為其家庭網(wǎng)絡(luò)的AT 110已經(jīng)移動到AGW1 105(AGW2 106)管理的網(wǎng)絡(luò)1 (麗l) 123 (或 NW2125)的服務(wù)區(qū)中時(shí)將AT110連接到分組數(shù)據(jù)網(wǎng)絡(luò)的對外代理(FA)功能(未示出)。
這里示出歸屬代理(HA) 102和103�、以及AAA服務(wù)器101作為分組數(shù)據(jù)網(wǎng)絡(luò)的網(wǎng)絡(luò) 實(shí)體。 假設(shè)移動通信系統(tǒng)使用可擴(kuò)展鑒權(quán)協(xié)議(EAP)或用于準(zhǔn)予AT的接入的安全框架���, 本發(fā)明的示范實(shí)施例提供一種準(zhǔn)予使用移動IPv4并利用諸如基于AAA的遠(yuǎn)程鑒權(quán)撥號用 戶服務(wù)(RADIUS)或Diameter AAA (其是利用MIPv4支持移動性和鑒權(quán)的系統(tǒng))的安全協(xié) 議在其上執(zhí)行安全的方法�����、及其地址分配方法��。 在AN1 108(AN2 109)和AGW1 105(AGW2 106)之間是用于管理AT110的移動性的 接口和數(shù)據(jù)路徑�。AT IIO具有移動IPv4協(xié)議棧��,并且通過移動IPv4的初始呼叫建立過程 向HA1 102(HA2 103)發(fā)送其登記請求�。HA1 102(HA2 103)在呼叫建立過程中響應(yīng)于AT 110的登記請求消息分配AT 110的歸屬地址(HoA)��。 同時(shí),如圖l所示���,可以是WiMAX系統(tǒng)或UMB系統(tǒng)的網(wǎng)絡(luò)3 (麗3) 121包括作為由參 考數(shù)字104表示的網(wǎng)絡(luò)實(shí)體的接入服務(wù)網(wǎng)網(wǎng)關(guān)(ASN-GW)或AGW3�����、和作為由參考數(shù)字107表 示的網(wǎng)絡(luò)實(shí)體的基站(BS)或AN3�。 參考圖1,在麗3 121的控制下AT 110經(jīng)過切換移動到可以是UMB網(wǎng)絡(luò)的 麗l 123 (麗2 125)。
如上所述�����,麗l 123(麗2125)包括AGW1 105(AGW2 106)和AN1108(AN2109)���。麗l 123的AGW1 105與麗3 121共享HA1 102,而麗2 125的AGW2 106 (不 同于麗3 121)由HA2 103管理����。 為了迅速地執(zhí)行登記過程同時(shí)維持會話,盡管各個(gè)網(wǎng)絡(luò)的無線接入技術(shù)其中對AT 110的移動性的登記過程的實(shí)現(xiàn)是不同的���,優(yōu)選的是在AT 110的登記期間在新網(wǎng)絡(luò)中維持 與初始(舊)網(wǎng)絡(luò)中使用的HA相同的HA以使得能夠共享初始網(wǎng)絡(luò)中的信息�。例如,在AT 110從麗3 121移動到麗1 123的情況下�,如果麗3 121禾P麗1 123共享HA1 102,則AT 110 能夠繼續(xù)使用HA1 102的HA信息(BP ���, HA的IP地址)����,該信息曾在麗3 121的ASN-GW104 登記期間���、以及麗l 123的AGW1 105登記期間使用����。 在這種情況下���,AT IIO能夠在網(wǎng)絡(luò)間移動同時(shí)連續(xù)地維持在初始網(wǎng)絡(luò)中使用的 HA信息���。ASN-GW 104和AGW1 105共享HA1 102,而AGW1 105能夠通過初始接入鑒權(quán)期間 的EAP過程獲得HA1 102的HA信息���,或者能夠從ASN-GW 104獲得HA信息���?�?墒?,由于AGW1 105獲得初始網(wǎng)絡(luò)的HA信息的詳細(xì)過程脫離的本發(fā)明的范圍����,這里將略去其詳細(xì)說明�����。
另一方面�����,當(dāng)AT 110從麗3 121移動到麗2 125 (如圖1所示它們不共享HA)時(shí)��, 為了移動性登記���,AT 110使用其已經(jīng)知道的HA地址(如�,x. x. x. x)產(chǎn)生包括HA x. x. x. x 的登記請求(RRQ)消息����,或者當(dāng)其沒有關(guān)于HA地址的信息時(shí),產(chǎn)生包括例如HA 0. 0. 0. 0作 為HA地址的RRQ消息�。當(dāng)在AT 110的初始鑒權(quán)期間的EAP過程中�、或在其他鑒權(quán)過程中 獲得的HA地址(如�,y. y. y. y)不同于在AT 110的初始網(wǎng)絡(luò)中使用的HA地址時(shí),麗2 125 的AGW2 106向HA2 103發(fā)送包括HA y. y. y. y作為HA地址的RRQ消息�。
圖2是說明根據(jù)本發(fā)明的示范實(shí)施例的AT的登記和安全過程的消息流圖。這里 所示的過程是用于其中AT 110執(zhí)行從麗3121到麗l 123的切換的情況�����、或其中AT 110具 有根據(jù)服務(wù)提供商的預(yù)配置策略分配的新網(wǎng)絡(luò)的HA信息的情況�����。 為了方便起見�����,雖然這里將使用諸如AGW3 104和AN3 107的UMB網(wǎng)絡(luò)名稱���,假定 麗3 121是UMB網(wǎng)絡(luò)��,如果AT 110可以從ASN-GW獲得新網(wǎng)絡(luò)中的HA信息��,則能夠?qū)D2的 過程應(yīng)用于WiMAX網(wǎng)絡(luò)或支持移動IP的另外的網(wǎng)絡(luò)系統(tǒng)���。 參考圖2����,在步驟201中�,AT 110從NW3 121進(jìn)入麗l 123,初始化AT 110與麗l 123的AN 108和AGW 105的基于EAP的接入鑒權(quán)過程���,并且執(zhí)行鑒權(quán)過程的初始部分��。接 入鑒權(quán)過程包括由多個(gè)實(shí)體執(zhí)行的幾個(gè)步驟。接入鑒權(quán)過程和這里描述的本發(fā)明的示范實(shí) 施例不是特別相關(guān)�����,因此將省去其詳細(xì)說明����。在接入鑒權(quán)過程期間,在步驟203中��,AGW 105 向AAA服務(wù)器101發(fā)送接入請求消息以通知接收到來自AT IIO的接入鑒權(quán)請求��。接入請 求消息是指基于RADIUS協(xié)議或Diameter AAA協(xié)議的AAA接入請求消息�。
在步驟205a和205b中,產(chǎn)生安全密鑰��,其將由AT 110、 HA 102和AGW105用于相 互鑒權(quán)��。由于安全密鑰的詳細(xì)產(chǎn)生方法和這里描述的本發(fā)明的示范實(shí)施例不相關(guān)��,將省去 其說明����。具體地,AT 110和AAA服務(wù)器101各自產(chǎn)生將用于移動IPv4的整個(gè)鑒權(quán)過程的 移動IP-根密鑰(MIP-RK) ����。 MIP-RK用于產(chǎn)生諸如作為用于AT 110與HA 102之間的相互 鑒權(quán)的密鑰的移動節(jié)點(diǎn)-歸屬代理-初始(MN-HA-i)密鑰的至少一個(gè)密鑰,且該密鑰針對 MIPv4產(chǎn)生��?���?梢詫IP-RK產(chǎn)生為對于MIPv6和MIPv4不同的值,或者可以產(chǎn)生為相同的 值�����。 在步驟207��, AAA服務(wù)器101響應(yīng)于接入請求消息向AGW 105發(fā)送接入接受消息。 接入接受消息其中包括用于識別HA 102的HA IP地址���。接入接受消息是指基于RADIUS協(xié)議或Diameter AAA協(xié)議的響應(yīng)消息�����。之后�,在步驟209中���,執(zhí)行其中涉及AT 110��、AN 108�����、 SRNC(未示出)和AGW 105的接入鑒權(quán)的剩余過程,由此完成接入鑒權(quán)過程�����。
在已經(jīng)完成接入鑒權(quán)過程之后���,在步驟211中�,AT 110產(chǎn)生用于選擇鑒權(quán)算法和 安全密鑰的MN-HA安全參數(shù)索引(SPI)。 MN-HA SPI是包含在用于AT 110和HA 102之間 的相互鑒權(quán)的鑒權(quán)擴(kuò)展(AE)選項(xiàng)中的值����。 例如,可以使用在步驟205中產(chǎn)生的MIP-RK通過等式(1)來計(jì)算麗-HASPI�。
MN-HA SPI =薩C-SHA256 (MIP-RK,"SPI-for MIPv4 MN-HA")的K個(gè)最高有效字 節(jié)......(1) 也即�,將MN-HA SPI確定為以MIP-RK和預(yù)設(shè)文本(如,"SPI-for MIPv4MN_HA") 作為其輸入的散列函數(shù)的輸出值的K個(gè)最高有效位(MSB)比特�,其中K是預(yù)設(shè)整數(shù)?�?梢?使用作為標(biāo)準(zhǔn)安全算法之一的散列消息鑒權(quán)碼(HMAC)-安全散列算法256(SHA256)作為該 散列函數(shù)��。 作為另一示例�����,可以通過等式(2)得到麗-HA SPI��。MN-HA SPI = KDF (EMSK�,"SPHor MIPv4 MN-HA")的K個(gè)最高有效字節(jié)......(2) 也即,將MN-HA SPI確定為以增強(qiáng)主會話密鑰(EMSK)和預(yù)設(shè)文本(如����,"SPI-for MIPv4麗-HA")作為其輸入的密鑰導(dǎo)出函數(shù)(KDF)的輸出值的K個(gè)MSB比特�����,其中K是預(yù) 設(shè)整數(shù)��。在接入鑒權(quán)過程中獲取EMSK�����,其是指增強(qiáng)主會話密鑰���。 在步驟213中,AT 110產(chǎn)生用于AT 110和HA 102之間的相互鑒權(quán)的MN_HA_i密 鑰���。例如�����,可以通過等式(3)計(jì)算麗-HA-i密鑰。MN-HA-i = KDF(MIP-RK��, "CMIP MN-HA"�����, HA IP地址,NAI�����, RRQ消息ID)......(3) 也即����,可以將MN-HA-i密鑰確定為以在步驟205中產(chǎn)生的MIP-RK、預(yù)設(shè)文本(如���, "CMIP MN-HA")�、從RRQ消息中獲得的HA的IP地址�、AT的網(wǎng)絡(luò)接入標(biāo)識符(NAI)、以及RRQ 消息的消息ID作為其輸入的KDF的輸出值�。可以使用HMAC-SHA1或HMAC-SHA256作為KDF�����。
在產(chǎn)生MN-HA-i密鑰時(shí)�����,可以可選地使用RRQ消息ID��。也即,為了在AT IIO或AAA 服務(wù)器101產(chǎn)生麗-HA-i密鑰時(shí)使用RRQ消息ID�����,應(yīng)當(dāng)將RRQ消息ID包括在HA 102發(fā)送 到AAA服務(wù)器101的接入請求消息中��?��?墒?���,當(dāng)RRQ消息ID未被包括在接入請求消息中時(shí)�, AT 110或AAA服務(wù)器101使用等式(3)中除了 RRQ消息ID之外的剩余參數(shù)計(jì)算麗-HA-i 密鑰。不同于AT在具有相同特征的小區(qū)之間移動的橫向切換����,當(dāng)在使用接入技術(shù)的異構(gòu)網(wǎng) 絡(luò)中AT從一個(gè)網(wǎng)絡(luò)向另一網(wǎng)絡(luò)移動時(shí),做出網(wǎng)絡(luò)間切換�,即縱向切換。
雖然在圖2中AT 110在接入鑒權(quán)過程已經(jīng)完成之后在步驟211和213中產(chǎn)生 MN-HA SPI和MN-HA-i密鑰��,但是AT 110可以在接入鑒權(quán)過程期間在用于產(chǎn)生MN-HA SPI 或麗-HA-i密鑰所必需的參數(shù)可用的任何時(shí)候產(chǎn)生麗-HA SPI或麗-HA-i密鑰��。
在步驟215中���,AT 110向AGW 105發(fā)送代理征求(Agent Solicitation)消息以 尋找用于產(chǎn)生將要在新網(wǎng)絡(luò)(即�,麗l 123)中使用的轉(zhuǎn)交地址(CoA)所必需的FA��。當(dāng)AGW 105具有FA功能時(shí)��,AGW 105在步驟217為AT 110產(chǎn)生CoA��,并將CoA連同代理公告消息 一起發(fā)送給AT 110�。 在步驟219中,AT 110向AGW 105發(fā)送用于在HA 102中登記指示其位于麗l 123 中的信息的RRQ消息����。RRQ消息包括NAI,用于識別AT 110 ;CoA ;HoA 0. 0. 0. 0�,配置為 0. 0. 0. O用于請求分配AT 110的HoA;HA x. x. x. x,其是包括AT IIO已經(jīng)知道的HA 102的IP地址的HA字段�;以及MN-HAAE-初始(MN-HAAE-i),其是用于AT 110和HA 102之間的 相互鑒權(quán)的鑒權(quán)信息�����。這里��,CoA是AT 110將在作為外來網(wǎng)絡(luò)的麗1 123中使用的臨時(shí)地 址(CoA)�,且通過將RRQ消息的HoA字段臨時(shí)設(shè)置為0. 0. 0. 0來給出HAO. 0. 0. 0���。作為使用 MN-HA-i密鑰計(jì)算的AE值的MN-HAAE-i包括至少一個(gè)參數(shù)。此外����,RRQ消息的MN-HA AE_i 其中包括用于尋找用于驗(yàn)證AE值所必需的密鑰的麗-HA SPI。在步驟221中�����,AGW 105向 HA 102轉(zhuǎn)發(fā)該RRQ消息��。 在步驟223中����,HA 102在HA 102的數(shù)據(jù)庫中搜索包含在RRQ消息的MN-HAAE-i中 的MN-HA SPI。由于HA 102由麗3 121禾P麗1 123共享��,HA 102已經(jīng)具有AT 110已在麗3 121中登記的MN-HA SPI��。因此��,當(dāng)MN-HASPI被確定時(shí)����,HA 102在步驟225中使用MN-HA SPI作為索引來尋找MN-HA-i密鑰�����。也即,由于HA 102利用MN-HA SPI作為索引存儲AT 110的已登記的MN-HA-i密鑰�����,使用MN-HA SPI尋找MN-HA-i密鑰�����。在找到MN-HA-i密鑰之 后����,HA 102在步驟227中使用找到的麗-HA-i密鑰來驗(yàn)證從RRQ消息中提取的麗-HAAE-i。 也即����,HA 102通過利用找到的MN-HA-i密鑰驗(yàn)證在RRQ消息中傳遞的MN-HAAE-i的AE值來 確定AT 110是否為經(jīng)鑒權(quán)的AT。當(dāng)使用找到的麗-HA-i密鑰成功驗(yàn)證麗-HAAE-i時(shí)�����,HA 102在步驟229中確定作為AT 110的HA操作�,在步驟231中為AT 110分配HoA�����,并且在步 驟233中產(chǎn)生和存儲由AT 110的CoA和HoA組成的移動性綁定信息���,由此管理AT 110的 移動情況。 在步驟235中����,HA 102響應(yīng)于RRQ消息向AGW 105發(fā)送以AT 110為目標(biāo)的登記 響應(yīng)(RRP)消息,而RRP消息其中包括HA 102為AT 110分配的HoA�、以及在來自AT 110的 RRQ消息中接收的CoA,從而通知由AT 110發(fā)送的CoA和由HA 102分配的HoA被登記在一 起�����。 此外�,RRP消息其中包括HA字段,HA字段包括HA地址和用于AT 110和HA 102 之間的相互鑒權(quán)的MN-HAAE-i���,且HA地址是已經(jīng)為AT 110分配的HA 102的IP地址�。在 圖2的示范實(shí)施例中��,由于AT IIO具有的HA地址是已知的,AGW 105具有的HA地址是已 知的�、或者曾經(jīng)為AT IIO分配給AGW 105,而且已經(jīng)分配的HA地址全部等于x.x.x.x��,��。此 外��,將RRP消息的HA字段設(shè)置為x. x. x. x�。對于RRP消息的麗-HAAE-i���, HA 102產(chǎn)生其用 于檢查AT 110和HA 102之間的相互鑒權(quán)���,并且在圖2的示范實(shí)施例中,由于HA 102確定 的麗-HA-i密鑰等于AT 110在RRQ消息中發(fā)送的MN-HA-i密鑰��,故包括在RRP消息中的密 鑰等于包括在RRQ消息中的密鑰�。 在步驟237中,AGW 105向AT 110中繼從HA 102接收的RRP消息����。在步驟239 中,AT 110使用RRP消息中的HA地址產(chǎn)生麗-HA-i密鑰�����,或者確認(rèn)它是否等于其已知的 MN-HA-i密鑰。也即���,如果包括在RRQ消息中的HA字段的HA地址等于包括在RRP消息中的 HA字段的HA地址����,則ATI 10僅只確認(rèn)在步驟213中產(chǎn)生的麗-HA-i密鑰����,而不產(chǎn)生麗-HA-i 密鑰?����?墒?��,如果HA地址不相等�����,則AT llO產(chǎn)生麗-HA-i密鑰���。如果產(chǎn)生或確認(rèn)了麗-HA-i 密鑰�����,則在步驟241中AT 110使用麗-HA-i密鑰來驗(yàn)證包括在RRP消息中的麗-HAAE-i��,從 而在AT 110已被HA 102鑒權(quán)時(shí)確定其登記已經(jīng)成功完成���。 圖3是說明根據(jù)本發(fā)明的示范實(shí)施例的AT的登記和安全過程的消息流圖。這里所 示的過程是關(guān)于這樣的情況其中隨著AT 110執(zhí)行從麗3 121到麗2 125的切換�,AT 110 已經(jīng)知道的HA信息不同于已經(jīng)分配給AT 110的HA 103,或者AT IIO不具有關(guān)于在作為新網(wǎng)絡(luò)的麗2 125中分配的HA的信息��。 為了方便起見�����,雖然這里將為麗l 123和麗2 125使用諸如AGW 105和106��、以及 AN 108和109的UMB網(wǎng)絡(luò)名稱�����,如果AT 110不具有關(guān)于新網(wǎng)絡(luò)中的HA的信息�,或者如果該 HA信息不同于其已經(jīng)具有的HA信息���,則能夠?qū)D3的過程不僅應(yīng)用于WiMAX網(wǎng)絡(luò)��,而且應(yīng) 用于支持移動IP的另外的網(wǎng)絡(luò)系統(tǒng)�。 參考圖3,在步驟301中����,AT 110從NW3 121進(jìn)入麗2 125,初始化AT 110與麗2 125的AN 109和AGW 106的基于EAP的接入鑒權(quán)過程���,并且執(zhí)行鑒權(quán)過程的初始部分����。在 接入鑒權(quán)過程期間�,在步驟303中,AGW 106向AAA服務(wù)器101發(fā)送接入請求消息以通知接 收到來自AT IIO的接入鑒權(quán)請求�。 在步驟305a和305b中,產(chǎn)生安全密鑰�,其將由AT 110、HA 103和AGW106用于相互 鑒權(quán)����。具體地,AT 110和AAA服務(wù)器101各自產(chǎn)生將用于移動IP的整個(gè)鑒權(quán)過程的MIP-RK�����。 MIP-RK被用于產(chǎn)生諸如作為用于AT IIO和HA 103之間的相互鑒權(quán)的密鑰的麗-HA-i密鑰 的至少一個(gè)密鑰。 在步驟307中��,AAA服務(wù)器101響應(yīng)于接入請求消息向AGW 106發(fā)送接入接受消 息���。接入接受消息其中包括用于識別HA 103的HAIP地址��。之后�,在步驟309中�����,執(zhí)行其中 涉及AT 110�����、 AN 109��、SRNC(未示出)和AGW 106的接入鑒權(quán)的剩余過程����,由此完成接入鑒 權(quán)過程��。 在已經(jīng)完成接入鑒權(quán)過程之后,在步驟311中��,AT 110產(chǎn)生用于選擇鑒權(quán)算法和 安全密鑰的MN-HA SPI���。 MN-HA SPI是包含在用于AT 110和HA103之間的相互鑒權(quán)的AE 選項(xiàng)中的參數(shù)��。例如�����,可以使用步驟305中產(chǎn)生的MIP-RK通過等式(1)或等式(2)計(jì)算 MN-HA SPI�。 在步驟313中�,AT IIO產(chǎn)生由AT 110和HA 103用于相互鑒權(quán)的MN-HA-i密鑰。 例如��,可以通過等式(3)計(jì)算麗-HA-i密鑰���。 參考圖3��,雖然AT 110在接入鑒權(quán)過程已經(jīng)完成之后在步驟311和313中產(chǎn)生 MN-HA SPI和MN-HA-i密鑰�����,但是AT 110可以在接入鑒權(quán)過程期間在用于產(chǎn)生MN-HA SPI 或麗-HA-i密鑰所必需的參數(shù)可用的任何時(shí)候產(chǎn)生麗-HA SPI或麗-HA-i密鑰�����。
在步驟315中�,AT 110向AGW 106發(fā)送代理征求消息以尋找用于產(chǎn)生將在新網(wǎng)絡(luò) (艮卩,麗2125)中使用的CoA所必需的FA�����。當(dāng)AGW 106具有FA功能時(shí)��,AGW 106在步驟317 中為AT 110產(chǎn)生CoA�,并且連同代理通告消息一起將CoA發(fā)送給AT 110。
在步驟319中��,AT 110向AGW 106發(fā)送用于在HA 103中登記指示其位于NW2125 中的信息的RRQ消息�����。RRQ消息包括NAI����,用于識別AT 110 ;CoA ;HoA O.O.O.O�,配置為 0. 0. 0. O用于請求分配AT 110的HoA ;HA字段,配置為AT 110已經(jīng)知道的HA 102的IP地 址����;以及麗-HA AE-i�,用于AT IIO和HA 103之間的相互鑒權(quán)���。這里����,CoA是AT將在作為外來 網(wǎng)絡(luò)的麗2125中使用的臨時(shí)地址(CoA)���,且通過將RRQ消息的HoA字段臨時(shí)設(shè)置為0. 0. 0. 0 來給出HA 0.0.0.0��。當(dāng)AT IIO具有初始網(wǎng)絡(luò)的HA 102的HA信息時(shí)���,將HA字段設(shè)置為HA 102的IP地址x.x.x.x,而當(dāng)AT IIO不具有HA信息時(shí)�����,將HA字段設(shè)置為O.O.O.O��。作為使 用MN-HA-i密鑰計(jì)算的AE值的MN-HAAE-i包括至少一個(gè)參數(shù)��。此外,RRQ消息的MN-HAAE-i 其中包括用于找到用于驗(yàn)證AE值所必需的密鑰的麗-HA SPI�。在步驟321中,AGW 106向 HA 103轉(zhuǎn)發(fā)該RRQ消息����。
在步驟323中,HA 103在HA 103的數(shù)據(jù)庫中搜索包含在RRQ消息的MN-HA AE_i 中的MN-HA SPI����。由于HA 103不同于NW3121的HA 102, HA103不具有與AT 110關(guān)聯(lián)的 MN-HA SPI�。因此,當(dāng)沒有發(fā)現(xiàn)MN-HA SPI時(shí)�,HA 103在步驟325中向AAA服務(wù)器101發(fā)送 接入請求消息以請求鑒權(quán)AT110,并且即使HA 103的實(shí)際地址是y. y. y. y�,接入請求消息包 括包含在RRQ消息中的MN-HA SPI、以及包含在HA字段中的地址0. 0. 0. 0或x. x. x. x��。
如果確定AT 110已經(jīng)通過AAA服務(wù)器101被鑒權(quán)��,則AAA服務(wù)器101為AT 110 產(chǎn)生麗-HA-i密鑰和麗-HA-新(麗-HA-n)密鑰���?�?梢苑謩e通過等式(3)和等式(4)產(chǎn)生 這些密鑰�����。當(dāng)AAA服務(wù)器101使用等式(3)產(chǎn)生麗-HA-i密鑰�,并且使用RRQ消息ID作為 等式(3)的輸入?yún)?shù)時(shí)���,RRQ消息ID被包括在接入請求消息中����??墒牵?dāng)AAA服務(wù)器101不 使用RRQ消息ID時(shí)�����,RRQ消息ID不被包括在接入請求消息中���。MN-HA-n = KDF(MIP-RK�, "CMIP MN-HA"�����, HA IP地址���,NAI���, RRQ消息ID)......(4) 也即����,將MN-HA-n密鑰確定為以在步驟305中產(chǎn)生的MIP-RK��、預(yù)設(shè)文本(如���,"CMIP MN-HA")��、從RRQ消息中獲得的HA的IP地址���、AT的NAI、以及RRQ消息ID作為其輸入的KDF 的輸出值����。可以使用HMAC-SHA1或HMAC-SHA256作為KDF����。 MN-HA-i密鑰用于驗(yàn)證用于AT 110和HA 103之間的相互鑒權(quán)的MN-HAAE-i,而 MN-HA-n用于驗(yàn)證由HA 103產(chǎn)生的鑒權(quán)信息MN-HAAE-新(MN-HAAE-n)���。在步驟327中��, AAA服務(wù)器101響應(yīng)于接入請求消息將麗-HA-i密鑰和麗-HA-n密鑰連同接入接受消息一 起發(fā)送給HA 103�。 在步驟329中��,HA 103使用通過接入接受消息接收的MN_HA_i密鑰來驗(yàn)證從RRQ 消息中提取的麗-HAAE-i��。也即���,HA 103通過利用麗-HA-i密鑰驗(yàn)證在RRQ消息中傳遞的 麗-HAAE-i的AE值來確定AT 110是否是已鑒權(quán)的AT�。當(dāng)確定AT 110已經(jīng)被鑒權(quán)時(shí)���,HA 103在步驟331中為AT 110分配HoA�����,并且在步驟333中產(chǎn)生和存儲由AT 110的CoA和 HoA組成的移動性綁定信息�����,由此管理AT 110的移動情況�。 在步驟335中�����,HA 103使用實(shí)際分配給AT 110的HA 103的IP地址產(chǎn)生 MN-HAAE-n。在步驟337中�,HA 103響應(yīng)于RRQ消息向AGW 106發(fā)送以AT IIO為目標(biāo)的RRP 消息,且RRP消息其中包括HA 103為AT 110分配的HoA���、和在來自AT 110的RRQ消息中傳 遞的CoA��,由此通知將由AT llO發(fā)送的CoA和由HA 103分配的HoA登記在一起�。
此外�����,RRP消息其中包括HA地址和用于AT IIO和HA 103之間的相互鑒權(quán)的 MN-HAAE-n���,并且HA地址是為AT 110實(shí)際分配的HA 103的IP地址����。在圖3的示范實(shí)施例 中�,由于AT IIO發(fā)送RRQ消息到HA 0. 0. 0. O,由于AT 110已經(jīng)知道的HA地址x. x. x. x�、AGW 106已經(jīng)知道的、或者已經(jīng)為AT 110分配給AGW 106的HA地址y. y. y. y��、和已經(jīng)分配的HA 地址y. y. y. y彼此不同,或者如果AT 110不具有關(guān)于HA地址的信息����,則將包括在RRP消息 中的HA字段設(shè)置為已經(jīng)分配的HA地址HA y.y.y.y。 在步驟339中�����,AGW 106向AT 110中繼從HA 103接收的RRP消息��。在步驟341 中����,AT 110使用RRP消息中的HA地址通過等式(4)產(chǎn)生MN-HA-n密鑰�����,并且在步驟343中 使用產(chǎn)生的MN-HA-n密鑰驗(yàn)證RRP消息中的MN-HA AE_n��,從而在AT 110被HA 103鑒權(quán)時(shí) 確定其登記已經(jīng)成功完成����。 圖4A是說明根據(jù)本發(fā)明的示范實(shí)施例的HA的操作的流程圖。 參考圖4A����,在步驟401中HA接收從AGW中繼的AT的RRQ消息���。RRQ消息其中包
12括NAI、 HoA�����、 HA地址���、CoA�����、和MN-HAAE-i中的至少一個(gè)���。當(dāng)RRQ消息的CoA和HoA被設(shè)置 為0. 0. 0. 0時(shí),意味著HA能夠分配AT的HoA���。當(dāng)AT知道其將被登記在其中的HA時(shí)�,或當(dāng) 在確定向特定HA發(fā)送登記請求之后AT發(fā)送RRQ消息時(shí)�����,RRQ消息包括對應(yīng)的HA的HAx. x. x. x。當(dāng)AT不具有關(guān)于其將被登記在其中的HA的IP地址的信息時(shí)����,將RRQ消息的HA字 段設(shè)置為0. 0. 0. 0。因此�����,HA接收的RRQ消息中的HA地址可以不同于接收該RRQ消息的HA 的IP地址���。例如��,雖然RRQ消息中的HA地址是x. x. x. x或0. 0. 0. 0,接收該RRQ消息的HA 的IP地址可以是x. x. x. x或y. y. y. y��。此外����,在RRQ消息中包括從與鑒權(quán)有關(guān)的MN_HA_i 密鑰中導(dǎo)出的將用于AT和HA之間的相互鑒權(quán)的麗-HAAE-i。 在步驟403中��,HA在其數(shù)據(jù)庫中搜索為與從RRQ消息中提取的NAI對應(yīng)的AT激 活的移動性綁定信息����,或者在數(shù)據(jù)庫中搜索從RRQ消息的MN-HA AE-i中提取的麗-HA SPI�。 根據(jù)在步驟405中在數(shù)據(jù)庫中存在/不存在麗-HA SPI�����,HA前進(jìn)到步驟411至421����,或者前 進(jìn)到步驟431至443。 當(dāng)確定包含在RRQ消息的MN-HA AE-i中的MN-HA SPI在數(shù)據(jù)庫中時(shí)�,HA前進(jìn)到步 驟411,其中它根據(jù)MN-HA SPI尋找存儲在數(shù)據(jù)庫中的MN-HA-i密鑰�。麗-HA-i密鑰是AT和 HA在初始鑒權(quán)期間為它們的相互鑒權(quán)設(shè)置的密鑰。在找到MN-HA-i密鑰之后�����,在步驟413 中HA根據(jù)MN-HA-i密鑰驗(yàn)證RRQ消息的MN-HAAE-i����。當(dāng)成功驗(yàn)證MN-HA AE-i時(shí),HA在步 驟415中確定作為發(fā)送RRQ消息的AT的HA而操作����,在步驟417中為AT分配HoA,并且在 步驟419中產(chǎn)生和存儲AT的移動性綁定信息以管理AT的移動性。之后���,在步驟421中�,HA 產(chǎn)生包括CoA�����、 HoA����、 HA地址和MN-HA AE-i中的至少一個(gè)的RRP消息,并響應(yīng)于RRQ消息通 過AGW的中繼將其發(fā)送到AT�。 可是,當(dāng)未確定包含在RRQ消息的MN-HA AE-i中的MN-HA SPI在數(shù)據(jù)庫中時(shí)�����,HA 前進(jìn)到步驟431�����,其中它向AAA服務(wù)器發(fā)送用于請求AT的接入接受的接入請求消息���。接入 請求消息其中包括HA字段和HA意圖找到的MN-HA SPI,且將HA字段設(shè)置為包括在RRQ消 息中的"HA字段"中的HA地址。例如����,可以將HA字段設(shè)置為0. 0. 0. 0或x. x. x. x。
在步驟433中�����,HA通過來自AAA服務(wù)器的接入接受消息從AAA服務(wù)器接收與AT 有關(guān)的麗-HA-n密鑰和麗-HA-i密鑰��。麗-HA-n密鑰是AAA服務(wù)器產(chǎn)生和發(fā)送到HA用于 AT和HA之間的相互鑒權(quán)的新密鑰���,并且使用為AT分配的HA的IP地址作為輸入?yún)?shù)來產(chǎn) 生該密鑰����。例如��,可以使用已經(jīng)接收RRQ消息的HA的IP地址y. y. y. y作為HA的IP地址�。 麗-HA-i密鑰是AAA服務(wù)器產(chǎn)生和發(fā)送到HA的密鑰,用于驗(yàn)證從AT發(fā)送的麗-HAAE-i����,而 且使用從AT向HA發(fā)送的RRQ消息的"HA字段"的HA地址0. 0. 0. 0或x. x. x. x作為用于產(chǎn) 生MN-HA-i密鑰的輸入?yún)?shù)。在步驟435中��,HA使用MN-HA-i密鑰驗(yàn)證從RRQ消息中提取 的麗-HAAE-i,由此確定該AT是否已經(jīng)被鑒權(quán)�����。 當(dāng)AT已經(jīng)被鑒權(quán)時(shí)��,HA在步驟437中為AT分配HoA����,并且在步驟439中產(chǎn)生和存 儲包括AT的CoA和HoA的移動性綁定信息。之后����,HA在步驟441中使用麗-HA-n密鑰產(chǎn) 生用于AT和HA之間的相互鑒權(quán)的MN-HAAE-n,并且在步驟443中通過AGW的中繼將MN-HA AE-n連同RRP消息一起發(fā)送到AT���。 RRP消息其中包括AT在RRQ消息中發(fā)送的CoA�、以及AT 將要使用的HoA����。此外,還將已經(jīng)為AT分配的HA的IP地址y. y. y. y包括在RRP消息中��。
圖4B是說明根據(jù)本發(fā)明的示范實(shí)施例的HA的操作的流程圖����。
參考圖4B,在步驟451中HA接收從AGW中繼的AT的RRQ消息����。RRQ消息其中包
13括NAI、HoA����、HA地址、CoA��、和MN-HA AE_i中的至少一個(gè)��。此外���,將從與鑒權(quán)有關(guān)的MN-HA-i密鑰中導(dǎo)出的將被用于AT和HA之間的相互鑒權(quán)的麗-HA AE-i包括在RRQ消息中����。在步驟453中����,HA檢查RRQ消息的"HA字段",并且在步驟455中確定HA字段是否包括HA的IP地址���。根據(jù)HA字段中的HA地址是否等于HA的IP地址��,HA前進(jìn)到步驟411或步驟431��。如果HA字段包括HA的IP地址��,則HA前進(jìn)到如上所述操作的步驟411到421�。但是,如果HA字段不包括HA的IP地址����,則HA前進(jìn)到如上對于圖4A所述操作的步驟431到443。
圖5是說明根據(jù)本發(fā)明的示范實(shí)施例的AT的操作的流程圖��。
參考圖5���,在步驟501中�,AT執(zhí)行接入鑒權(quán)過程的初始部分��。在步驟513中�,AT產(chǎn)生作為將用于MIPv4鑒權(quán)的根密鑰的MIP-RK。在步驟507中���,AT完成剩余的接入鑒權(quán)過程�,其中涉及諸如AT、 AGW�、和AAA服務(wù)器的幾個(gè)實(shí)體�����。在步驟509中��,AT使用MIP-RK或在接入鑒權(quán)過程中獲得的EMSK來產(chǎn)生MN-HA SPI����。麗-HA SPI是包括在作為用于AT和HA之間的相互鑒權(quán)的鑒權(quán)信息的MN-HAAE(MN-HA AE-i和/或麗-HA AE_n)中的值,并且這是用于選擇用于通過鑒權(quán)算法計(jì)算鑒權(quán)值(認(rèn)證者)的密鑰�����。 在步驟511中��,AT從MIP-RK中產(chǎn)生用于AT和HA之間的相互鑒權(quán)的MN_HA_i密鑰����。同時(shí),如果AT能夠經(jīng)過鑒權(quán)過程獲得HA的IP地址����,則步驟511可以在步驟509之前執(zhí)行��。在步驟513中���,AT向AGW發(fā)送代理征求消息以尋找用于產(chǎn)生CoA的FA。在步驟515中��,AT接收代理通告消息��,其包括由具有FA功能的AGW分配的CoA�����。 在通過代理通告消息獲取CoA之后���,在步驟517中��,AT經(jīng)由AGW向HA發(fā)送RRQ消息����。該RRQ消息包括CoA��、HoA 0. 0. 0. 0�、HA地址和MN-HAAE-i 。當(dāng)AT知道HA的IP地址時(shí),將HA字段設(shè)置為該IP地址���?����?墒牵?dāng)AT不知道HA的IP地址時(shí)�,將HA字段設(shè)置為0. 0. 0. 0以請求分配HA的IP地址。在步驟519��, AT通過AGW的中繼從HA接收RRP消息����。包含在RRP消息中的HA的IP地址可以不同于包含在RRQ消息中的HA地址,且其指示已經(jīng)分配給AT的HA���。 在步驟521���,AT確定在RRQ消息中發(fā)送的HA字段中的IP地址是否等于包含在RRP消息中的HA字段中的IP地址,并且根據(jù)確定結(jié)果前進(jìn)到步驟531至533���、或541至543����。在基于RRP消息的HA的IP地址產(chǎn)生麗-HA-n密鑰的示范實(shí)施例中,AT直接前進(jìn)到步驟541和543而無需步驟521的判定���。 如果HA字段中的IP地址相等���,則在步驟531中AT使用MIP-RK和HA的IP地址產(chǎn)生MN-HA-i密鑰。在示范實(shí)施例中��,由于HA字段中的IP地址相等�����,故AT決定使用步驟511中產(chǎn)生的麗-HA-i密鑰�����、或通過RRP消息接收的麗-HA-i密鑰�,從而確定步驟511中產(chǎn)生的麗-HA-i密鑰等于通過RRP消息接收的麗-HA-i密鑰。在另一示范實(shí)施例中�,AT比較步驟511中產(chǎn)生的MN-HA-i密鑰和通過RRP消息接收的MN-HA-i密鑰,且如果它們相等�����,則AT確定使用步驟511中產(chǎn)生的麗-HA-i密鑰、或通過RRP消息接收的麗-HA-i密鑰�。在步驟533中,AT使用所產(chǎn)生/確定的麗-HA-i密鑰來驗(yàn)證從RRP消息中提取的麗-HA AE_i���。
如果HA字段中的IP地址不相等�,則在步驟541中AT使用包括在RRP消息中的HA字段中的HA地址來產(chǎn)生新的麗-HA-n密鑰��。在步驟543中�,AT使用用于AT和HA之間的相互鑒權(quán)的麗-HA-n密鑰來驗(yàn)證從RRP消息中提取的麗-HA AE_n。
圖6是說明根據(jù)本發(fā)明的示范實(shí)施例的AGW的操作的流程圖�。
參考圖6��,在步驟601中AGW從AT接收RRQ消息���。RRQ消息其中包括NAI��、HoA���、HA地址、CoA���、和MN-HA AE-i中的至少一個(gè)�。在步驟603中,AGW確定是否有在接入鑒權(quán)過程中為AT分配的任何HA�����。在步驟605中����,AGW確定在接入鑒權(quán)過程中獲得的HA信息、或根據(jù)服務(wù)提供商的預(yù)定配置策略確定的HA信息是否等于包含在RRQ消息中的HA字段中的IP地址�。 如果AGW具有的HA信息等于包含在RRQ消息中的HA字段中的IP地址,則在步驟611中AGW向已知的HA信息的IP地址發(fā)送RRQ消息�����。在步驟613中��,AGW從已知的HA接收RRP消息��。RRP消息其中包括AT將使用的HoA���、以及AT將在RRQ消息中發(fā)送的CoA��。此外�����,將HA的IP地址�����、和由HA驗(yàn)證的MN-HA AE_i包括在RRP消息中����。在步驟615 , AGW向AT傳遞RRP消息��。 可是��,如果AGW具有的HA信息不同于包含在RRQ消息中的HA字段中的IP地址����,
則在步驟621中��,AGW向已知的HA信息的IP地址(如�����,HAy. y. y. y)發(fā)送RRQ消息����。在步驟
623中�����,AGW從HA接收響應(yīng)于RRQ消息的RRP消息���。RRP消息其中包括AT將使用的HoA、以
及曾在RRQ消息中發(fā)送的CoA��。此外�����,將HA的IP地址��、和HA已經(jīng)使用麗-HA-n密鑰新產(chǎn)生
的MN-HA AE-n包括在RRP消息中���。在步驟625中��,AGW向AT傳遞RRP消息�。 從前述說明顯而易見的��,本發(fā)明的示范實(shí)施例解決了當(dāng)支持移動IPv4的AT移動
時(shí)在執(zhí)行登記過程以使用移動IPv4的同時(shí)發(fā)生的數(shù)據(jù)通信的呼叫建立時(shí)延問題��,并且還
解決了當(dāng)AT從一個(gè)AN移動到另一個(gè)AN(如�,從UMB系統(tǒng)到WiMAX系統(tǒng))時(shí)在呼叫重新建
立過程中發(fā)生的時(shí)間延遲問題����。此外�����,使用不同的基于移動IPv4的接入技術(shù)的移動通信系
統(tǒng)高效率地執(zhí)行呼叫建立和安全過程����,從而迅速和高效率地執(zhí)行數(shù)據(jù)通信。 盡管已經(jīng)參照其某些示范實(shí)施例示出和描述了本發(fā)明�����,但是本領(lǐng)域技術(shù)人員不難
理解�����,可以在其中進(jìn)行形式和細(xì)節(jié)上的各種改變而不背離由所附權(quán)利要求書及其等價(jià)物限
定的本發(fā)明的精神和范圍�����。
1權(quán)利要求
一種在移動通信系統(tǒng)中使用移動因特網(wǎng)協(xié)議(MIP)管理接入終端(AT)的移動性的方法��,該方法包括由已經(jīng)進(jìn)入新網(wǎng)絡(luò)的AT產(chǎn)生用于與新網(wǎng)絡(luò)的歸屬代理(HA)相互鑒權(quán)的安全參數(shù)索引(SPI)和安全密鑰��;由AT發(fā)送包括包含SPI的鑒權(quán)信息的登記請求消息����,該鑒權(quán)信息使用該安全密鑰產(chǎn)生;當(dāng)接收到登記請求消息時(shí)�����,由HA在數(shù)據(jù)庫中搜索包含在鑒權(quán)信息中的SPI�����;根據(jù)搜索結(jié)果驗(yàn)證鑒權(quán)信息�����;當(dāng)成功驗(yàn)證鑒權(quán)信息時(shí)��,由HA產(chǎn)生AT的移動性綁定信息����;以及由HA發(fā)送包括HA的IP地址的登記響應(yīng)消息。
2. 如權(quán)利要求l所述的方法�,其中經(jīng)由新網(wǎng)絡(luò)的接入網(wǎng)關(guān)(AGW)發(fā)送登記請求消息和 登記響應(yīng)消息。
3. 如權(quán)利要求1所述的方法�,其中登記請求消息包括AT的網(wǎng)絡(luò)接入標(biāo)識符(NAI) ���、 AT 在新網(wǎng)絡(luò)中使用的轉(zhuǎn)交地址(CoA)、AT知道的HA的IP地址�����、以及鑒權(quán)信息中的至少一個(gè)����。
4. 如權(quán)利要求1所述的方法,其中使用MIP版本4(MIPv4)作為MIP��。
5. 如權(quán)利要求1所述的方法�,其中AT已經(jīng)進(jìn)入的新網(wǎng)絡(luò)和AT曾經(jīng)連接的網(wǎng)絡(luò)共享HA。
6. 如權(quán)利要求5所述的方法����,還包括當(dāng)作為搜索的結(jié)果確定SPI存在時(shí),由HA使用SPI尋找與該安全密鑰相同的安全密 鑰�;以及使用找到的安全密鑰驗(yàn)證鑒權(quán)信息。
7. 如權(quán)利要求1所述的方法��,其中登記響應(yīng)消息包括AT的NAI�、AT在新網(wǎng)絡(luò)中使用的 CoA��、HA分配的歸屬地址(HoA)、HA的IP地址��、以及鑒權(quán)信息中的至少一個(gè)�。
8. 如權(quán)利要求1所述的方法,其中AT曾經(jīng)連接的網(wǎng)絡(luò)的HA不同于新網(wǎng)絡(luò)的HA�����。
9. 如權(quán)利要求8所述的方法�,還包括當(dāng)作為搜索的結(jié)果未確定SPI存在時(shí),由HA向鑒權(quán)�、授權(quán)和計(jì)費(fèi)(AAA)服務(wù)器發(fā)送用 于AT的鑒權(quán)的接入請求消息;當(dāng)AT被鑒權(quán)時(shí)��,由AAA服務(wù)器產(chǎn)生與該安全密鑰相同的鑒權(quán)密鑰���;以及 由AAA服務(wù)器向HA發(fā)送包括該相同的鑒權(quán)密鑰的接入接受消息�����。
10. 如權(quán)利要求9所述的方法���,還包括當(dāng)接收到接入接受消息時(shí),由HA使用該相同的鑒權(quán)密鑰來驗(yàn)證從登記請求消息中提 取的鑒權(quán)信息。
11. 如權(quán)利要求9所述的方法��,還包括由HA使用HA向AT提供的HA的IP地址來產(chǎn)生用于HA和AT之間的相互鑒權(quán)的新的 鑒權(quán)信息�����。
12. 如權(quán)利要求1所述的方法��,其中登記響應(yīng)消息包括下列至少一個(gè)AT的NAI���、 AT在 新網(wǎng)絡(luò)中使用的CoA�、HA分配的HoA���、HA的IP地址�、以及使用HA的IP地址產(chǎn)生的用于相互 鑒權(quán)的新的鑒權(quán)信息�����。
13. —種使用移動因特網(wǎng)協(xié)議(MIP)管理接入終端(AT)的移動性的移動通信系統(tǒng)����,該 系統(tǒng)包括AT,當(dāng)其已經(jīng)進(jìn)入新網(wǎng)絡(luò)時(shí)�����,產(chǎn)生用于與新網(wǎng)絡(luò)的歸屬代理(HA)相互鑒權(quán)的安全參數(shù) 索引(SPI)和安全密鑰,并且向新網(wǎng)絡(luò)發(fā)送包括包含SPI的鑒權(quán)信息的登記請求消息���,該鑒 權(quán)信息使用該安全密鑰產(chǎn)生;以及歸屬代理(HA)�,當(dāng)接收到登記請求消息時(shí),在數(shù)據(jù)庫中搜索包含在鑒權(quán)信息中的SPI�����, 根據(jù)搜索結(jié)果驗(yàn)證鑒權(quán)信息�����,并且當(dāng)成功驗(yàn)證鑒權(quán)信息時(shí)��,產(chǎn)生AT的移動性綁定信息����,并 向AT發(fā)送包括HA的IP地址的登記響應(yīng)消息。
14. 如權(quán)利要求13所述的系統(tǒng)����,其中登記請求消息包括AT的網(wǎng)絡(luò)接入標(biāo)識符(NAI)、AT在新網(wǎng)絡(luò)中使用的轉(zhuǎn)交地址(CoA) 、 AT知道的HA的IP地址���、以及鑒權(quán)信息中的至少一 個(gè)��。
15. 如權(quán)利要求13所述的系統(tǒng)��,其中使用MIP版本4(MIPv4)作為MIP�����。
16. 如權(quán)利要求13所述的系統(tǒng)����,其中AT已經(jīng)進(jìn)入的新網(wǎng)絡(luò)和AT曾經(jīng)連接的網(wǎng)絡(luò)共享HA�����。
17. 如權(quán)利要求16所述的系統(tǒng)�����,其中當(dāng)作為搜索的結(jié)果確定SPI存在時(shí)��,HA使用SPI 尋找與該安全密鑰相同的安全密鑰����,并使用找到的安全密鑰驗(yàn)證鑒權(quán)信息����。
18. 如權(quán)利要求13所述的系統(tǒng)�����,其中登記響應(yīng)消息包括AT的NAI�、AT在新網(wǎng)絡(luò)中使用 的CoA��、 HA分配的歸屬地址(HoA) ���、 HA的IP地址���、以及鑒權(quán)信息中的至少一個(gè)。
19. 如權(quán)利要求13所述的系統(tǒng)�,其中AT曾經(jīng)連接的網(wǎng)絡(luò)的HA不同于新網(wǎng)絡(luò)的HA。
20. 如權(quán)利要求19所述的系統(tǒng)�����,其中當(dāng)作為搜索的結(jié)果未確定SPI存在時(shí)�,HA向鑒權(quán)�����、 授權(quán)和計(jì)費(fèi)(AAA)服務(wù)器發(fā)送用于AT的鑒權(quán)的接入請求消息���,并且接收在AAA服務(wù)器中響應(yīng)于接入請求消息產(chǎn)生、且包括與該安全密鑰相同的鑒權(quán)密鑰的接入接受消息��。
21. 如權(quán)利要求20所述的系統(tǒng)��,其中HA使用該相同的鑒權(quán)密鑰來驗(yàn)證從登記請求消息中提取的鑒權(quán)信息�。
22. 如權(quán)利要求20所述的系統(tǒng),其中HA使用HA向AT提供的HA的IP地址來產(chǎn)生用于 HA和AT之間的相互鑒權(quán)的新的鑒權(quán)信息�����。
23. 如權(quán)利要求13所述的系統(tǒng)�����,其中登記響應(yīng)消息包括下列至少一個(gè)AT的NAI�、AT在 新網(wǎng)絡(luò)中使用的CoA、HA分配的HoA����、HA的IP地址�、以及使用HA的IP地址產(chǎn)生的用于相互 鑒權(quán)的新的鑒權(quán)信息��。
24. —種在移動通信系統(tǒng)的歸屬代理(HA)中使用移動因特網(wǎng)協(xié)議(MIP)管理接入終端 (AT)的移動性的方法�,該方法包括從已經(jīng)進(jìn)入新網(wǎng)絡(luò)的AT接收包括包含用于相互鑒權(quán)的安全參數(shù)索引(SPI)的鑒權(quán)信 息的登記請求消息;在數(shù)據(jù)庫中搜索包含在鑒權(quán)信息中的SPI�,并根據(jù)搜索結(jié)果驗(yàn)證該鑒權(quán)信息;以及 當(dāng)成功驗(yàn)證鑒權(quán)信息時(shí)����,產(chǎn)生AT的移動性綁定信息,并發(fā)送包括AT的IP地址的登記 響應(yīng)消息��。
25. 如權(quán)利要求24所述的方法�����,其中使用MIP版本4 (MIPv4)作為MIP��。
26. 如權(quán)利要求24所述的方法���,其中該AT已經(jīng)進(jìn)入的新網(wǎng)絡(luò)和AT曾經(jīng)連接的網(wǎng)絡(luò)共 享HA ;其中當(dāng)作為搜索的結(jié)果確定SPI存在時(shí),HA使用SPI尋找與該安全密鑰相同的安全密 鑰�����,并使用找到的安全密鑰驗(yàn)證該鑒權(quán)信息。
27. 如權(quán)利要求24所述的方法�,其中AT曾經(jīng)連接的網(wǎng)絡(luò)的HA不同于新網(wǎng)絡(luò)的HA, 其中該方法還包括當(dāng)作為搜索的結(jié)果未確定SPI存在時(shí)���,向鑒權(quán)�����、授權(quán)和計(jì)費(fèi)(AAA)服務(wù)器發(fā)送用于AT 的鑒權(quán)的接入請求消息�;當(dāng)AT被鑒權(quán)時(shí)�����,從AAA服務(wù)器中接收包括與該安全密鑰相同的鑒權(quán)密鑰的接入接受消 息��;以及使用該相同的鑒權(quán)密鑰來驗(yàn)證從登記請求消息中提取的鑒權(quán)信息���。
28. 如權(quán)利要求27所述的方法���,還包括使用HA向AT提供的HA的IP地址來產(chǎn)生用于HA和AT之間的相互鑒權(quán)的新的鑒權(quán)信 息;以及在登記響應(yīng)消息中發(fā)送該新的鑒權(quán)信息�。
29. —種在移動通信系統(tǒng)的接入終端(AT)中使用移動因特網(wǎng)協(xié)議(MIP)執(zhí)行的移動性 管理方法,該方法包括當(dāng)AT已經(jīng)進(jìn)入新網(wǎng)絡(luò)時(shí)����,產(chǎn)生用于與新網(wǎng)絡(luò)的歸屬代理(HA)相互鑒權(quán)的安全參數(shù)索 引(SPI)和安全密鑰�;向新網(wǎng)絡(luò)發(fā)送包括第一 HA地址���、和包含SPI的第一鑒權(quán)信息的登記請求消息��,該第一 鑒權(quán)信息使用該安全密鑰產(chǎn)生���;當(dāng)HA已經(jīng)成功驗(yàn)證第一鑒權(quán)信息時(shí),從HA接收包括第二 HA地址��、和用于相互鑒權(quán)的 第二鑒權(quán)信息的登記響應(yīng)消息��;以及當(dāng)?shù)谝?HA地址和第二 HA地址相同時(shí)�����,使用該安全密鑰驗(yàn)證第二鑒權(quán)信息��。
30. 如權(quán)利要求29所述的方法����,還包括當(dāng)?shù)谝?HA地址和第二 HA地址不相同時(shí)��,使用包括在登記響應(yīng)消息中的第二 HA地址產(chǎn) 生新的安全密鑰;以及使用新的安全密鑰驗(yàn)證第二鑒權(quán)信息�。
全文摘要
提供一種在移動通信系統(tǒng)中使用移動因特網(wǎng)協(xié)議(MIP)管理接入終端(AT)的移動性的方法。該方法包括由已經(jīng)進(jìn)入新網(wǎng)絡(luò)的AT產(chǎn)生用于與新網(wǎng)絡(luò)的歸屬代理(HA)相互鑒權(quán)的安全參數(shù)索引(SPI)和安全密鑰��;由AT發(fā)送包括包含SPI的鑒權(quán)信息的登記請求消息����,該鑒權(quán)信息使用該安全密鑰產(chǎn)生;當(dāng)接收到該登記請求消息時(shí)�����,由HA在數(shù)據(jù)庫中搜索包含在鑒權(quán)信息中的SPI�;根據(jù)搜索結(jié)果驗(yàn)證該鑒權(quán)信息;當(dāng)成功驗(yàn)證該鑒權(quán)信息時(shí)���,由HA產(chǎn)生AT的移動性綁定信息���;以及由HA發(fā)送包括HA的IP地址的登記響應(yīng)消息。
文檔編號H04L9/08GK101785241SQ200880104227
公開日2010年7月21日 申請日期2008年8月25日 優(yōu)先權(quán)日2007年8月24日
發(fā)明者徐慶珠 申請人:三星電子株式會社