CN101675617A - 用于ip移动性系统的动态外区代理-归属代理安全性关联分配 - Google Patents
用于ip移动性系统的动态外区代理-归属代理安全性关联分配 Download PDFInfo
- Publication number
- CN101675617A CN101675617A CN200880009791A CN200880009791A CN101675617A CN 101675617 A CN101675617 A CN 101675617A CN 200880009791 A CN200880009791 A CN 200880009791A CN 200880009791 A CN200880009791 A CN 200880009791A CN 101675617 A CN101675617 A CN 101675617A
- Authority
- CN
- China
- Prior art keywords
- agent
- home
- foreign agent
- foreign
- security
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/068—Network architectures or network communication protocols for network security for supporting key management in a packet data network using time-dependent keys, e.g. periodically changing keys
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0892—Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W8/00—Network data management
- H04W8/02—Processing of mobility data, e.g. registration information at HLR [Home Location Register] or VLR [Visitor Location Register]; Transfer of mobility data, e.g. between HLR, VLR or external networks
- H04W8/06—Registration at serving network Location Register, VLR or user mobility server
- H04W8/065—Registration at serving network Location Register, VLR or user mobility server involving selection of the user mobility server
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W28/00—Network traffic management; Network resource management
- H04W28/16—Central resource management; Negotiation of resources or communication parameters, e.g. negotiating bandwidth or QoS [Quality of Service]
- H04W28/18—Negotiating wireless communication parameters
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W48/00—Access restriction; Network selection; Access point selection
- H04W48/08—Access restriction or access information delivery, e.g. discovery data delivery
- H04W48/14—Access restriction or access information delivery, e.g. discovery data delivery using user query or user detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W60/00—Affiliation to network, e.g. registration; Terminating affiliation with the network, e.g. de-registration
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W80/00—Wireless network protocols or protocol adaptations to wireless operation
- H04W80/04—Network layer protocols, e.g. mobile IP [Internet Protocol]
Abstract
本发明利用AAA基础结构动态分配在外区代理和归属代理之间建立安全性关联所需要的参数。本发明使用AAA服务器作为中心实体基于来自外区代理的请求动态地产生和分发支持外区代理和归属代理安全性关联所需要的所选择安全性关联参数。AAA服务器还能够动态地给外区代理和归属代理对赋予唯一的SPI值。在本发明中能够被分配的各种参数包括FA-HA共享密钥或公/私密钥对、认证算法和模式、FA-HA密钥生命期,和安全性参数索引或安全性素引值。本发明也有助于相对于它们的安全性关联而确保外区代理和归属代理保持同步。
Description
相关申请数据
[0001]本申请涉及申请日为2007年3月28日的临时专利申请序列号60/908,472,以及申请日为2007年5月9日的临时专利申请序列号60/916,866,基于35 U.S.C§119(e)要求这些早些提出的申请的优先权。该临时专利申请也被结合到该非临时专利申请中以供参考。
技术领域
[0002]用于任何基于IP的系统的方法和系统,包括具有归属(home)网络、外区(foreign)网络和移动节点的基于IP的移动通信系统。
发明背景
[0003]在无线通信系统中基于IP的移动系统包括至少一个移动节点。术语“移动节点”包括移动通信单元,并且除了移动节点,该通信系统包括归属网络和外区网络。移动节点可以通过其他网络改变其到因特网的接点(point ofattachment),但是为了IP寻址的目的移动节点总是与单个归属网络相关联的。该归属网络具有归属代理,并且该外区网络具有外区代理——这两者都控制信息分组路由进入他们的网络以及从他们的网络路由出去。
[0004]取决于任何特定网络配置或者通信系统上所使用的命名法,移动节点、归属代理和外区代理可以被称为其他名字。例如,“移动节点包括已经电缆(例如,电话线(“双绞线”)、以太网电缆、光纤电缆等等)连接到无线网络以及直接无线连接到蜂窝网络的PC,如能够由各种构造和模式的移动终端(“蜂窝电话”)予以实施,所述移动终端具有诸如因特网接入、E-mail和消息发送业务等各种特征和功能。而且,归属代理可以被称为归属代理、归属移动性管理器、归属位置寄存器,而外区代理可以被称为外区代理、服务移动性管理器、受访位置寄存器和访问服务实体。术语移动节点、归属代理和外区代理并不意味着被严格定义,其还能够包括位于归属或外区网络的监督路由装置和其他移动通信单元。
[0005]移动节点通过向归属代理注册“转交地址(care-of address)”来保持归属代理知道其当前位置。基本上,转交地址表示移动节点当前所处的外区网络。如果在移动节点位于外区网络时归属代理接收到了寻址到该移动节点的信息分组,则归属代理将使用可适用的转交地址将该信息分组发送到该移动节点在外区网络上的当前位置。
[0006]外区代理参与通知归属代理该移动节点当前的转交地址。在信息分组已经被归属代理转发后,外区代理还接收针对移动节点的信息分组。此外,当移动节点连接到外区网络时外区代理作为缺省路由器输出由该移动节点所产生的信息分组。
[0007]外区代理和归属代理定期地向与该代理相关联的本地网络上的所有节点广播代理广告。代理广告是来自网络上代理的消息,该消息可以在移动IP协议(RFC 2002)或其他类型的通信协议下予以发出。此广告应包括需要用以唯一地标识对移动节点的移动性代理(例如,归属代理、外区代理等)的信息。移动节点检查代理广告并确定他们被连接到归属网络还是外区网络。
[0008]如果移动节点位于其归属网络,则将根据标准寻址和路由方案将信息分组路由到该移动节点。然而,如果移动节点正访问外区网络,则该移动节点从代理广告获取适当的信息,并且通过该外区代理向其归属代理发送注册请求消息。该注册请求消息将包括针对该移动节点的转交地址。
[0009]注册的转交地址标识该移动节点所处的外区网络,并且归属代理使用该注册的转交地址来转发信息分组到外区网络以便随后传输到该移动节点。注册应答消息可以被归属代理发送到该移动节点以证实注册过程已经成功完成。
[0010]移动到新的网络时,移动节点通过接收来自新的路由器的路由器广告消息或者超过用于接收来自链接的路由器的期望路由器广告消息的时间间隔来检测其移动。移动节点也可以定期性地发送将能够被外区网络上的路由器接收的路由器请求消息(Router Solicitation message),并且发起由该移动节点接收的路由器广告消息的传输。
[0011]路由器广告消息包含被用于形成将信息分组从该归属网络路由到在外区网络上的该移动节点的转交地址的网络前缀信息。注册请求或绑定更新消息(BU,Binding Update)被用于向归属网络和任何与该移动节点通信的活动对应节点(correspondence node)注册转交地址。该新的注册请求包括转交地址、归属地址和绑定生命期。响应于该请求或绑定更新消息,发送注册应答或绑定确认消息(BA,Binding Acknowledgment)以作为认证(authentication)步骤来接受或者拒绝绑定更新。在网络上的路由器将为该移动节点在数据表上保持该转交地址和归属IP地址关联,这确保了信息分组能够被路由到连接到外区网络的移动节点。
[0012]在基于IP的移动通信系统中,在保持网络连接性时,该移动节点改变其到该网络的接点。移动IP协议(RFC 2002)假定与移动节点通信的移动IP将在单个管理域上或者由一个管理者控制的单个网络上予以执行。然而,当移动节点行进到其归属管理域之外时,为了保持与其归属网络的网络连接性,该移动节点需要通过多个外区网络进行通信。在连接到由另一管理区控制的外区网络时,网络服务器必须认证、授权和收集针对该移动节点所产生的服务的计费信息。这些认证、授权和计费活动被称为“AAA”活动。
[0013]认证是证明某人声称的身份的过程,以及在移动IP网络上的安全性系统在授权请求的活动之前,将常常要求认证系统用户的身份。在网络上的AAA服务器对授权用户的身份进行认证,并且对移动节点请求的活动进行授权。另外,AAA服务器也将支持计费功能,包括跟踪使用和对在管理域之间传输链路的使用予以收费。
[0014]远程认证拨号用户服务(RADIUS,Remote Authentication Dial In UserService)是用于AAA的广泛使用的协议。RADIUS协议定义了消息格式和AAA需要使用的数据,其能够被用于几乎任何基于分组的通信系统。在功能上,RADIUS能够执行用户-服务器操作、网络安全性、认证、和在UDP传输协议下使用标准信息解码的计费。RADIUS AAA服务器计算机被广泛部署在利用RADUIS协议的无线网络上来执行AAA功能。
[0015]AAA服务器的另一功能是通过存储和分配安全性关联来支持信息分组的安全传输。安全性关联指那些用于规定和支持以安全格式对两个节点之间的信息分组进行加密所需要的加密协议、临时值(nonce)、和密钥。安全性关联是存在于节点之间的安全性内容的集合,其可以被应用于在它们之间所交换的信息分组。每个内容指示认证算法和模式、共享密钥或适当的公钥/私钥对,和一种应答保护。
[0016]在IP协议中已经定义了扩展,扩展能够被用在类似协议中以支持信息分组中的可变量的数据的传输。这包括移动节点、路由器和网络的地址信息。IP中的扩展机制容许适当的寻址和路由信息由任何信息分组承载,而不限制为诸如发现、通知、控制,和路由信息分组格式之类的专用消息类型。
[0017]通用扩展格式包括类型-长度-值格式。类型数据字段(Type data field,T)1占有该通用扩展的前8个字节(一个八位位组)。此数据字段的值将指定扩展的类型。长度数据字段(Length data field,L)2占有该扩展的接下来的8个字节,并且赋予的值为八位位组的值字段(Value field,V)3的长度。值数据字段3占用该通用扩展中的剩余字节,如由类型1和长度2数据值所规定的。
[0018]在注册请求RRQ被转发到归属代理之前,移动IPv4的若干功能要求外区代理向从移动节点接收的注册请求RRQ增加特定信息。此附加信息应该受保护以免向公共披露,这要求在RRQ传输到归属代理之前,外区代理建立与归属代理的安全性关联。
[0019]外区代理-归属代理认证扩展(Authentication Extension,AE)是任选的扩展,其能够被用来支持外区网络和归属网络之间的安全通信。FA-HA认证扩展(AE)的使用要求外区代理FA和归属代理HA之间存在安全性关联。为了建立外区代理和归属代理之间的安全性关联以支持FA-HA认证扩展(AE),在FA-HA接入请求消息中外区代理必须能够动态地分配安全性关联参数(例如,FA-HA密钥、哈希功能、哈希功能模式等),其将建立外区代理和归属代理之间的安全性关联。
[0020]外区代理和归属代理也可以使用安全性参数索引(Security ParametersIndex,SPI)来索引其安全性关联,并且外区代理和归属代理还发送移动节点的IP地址以作为外区代理和归属代理之间的安全性关联的索引。此FA-HA安全性关联的分配在RFC 2002(3344)的范围之外,并且目前没有能力动态分配用于FA-HA安全性关联的必要支持信息。这是本发明的一个目的。另一目的是通过先前静态预配置的参数的可变组合和扩展来支持对用在FA-HA安全性关联中的参数的动态分配。在3GPP2标准中提出了一种使用AAA服务器动态分配单个密钥值的方法,但是此提议不能保持外区代理和归属代理之间的同步,并且不允许对其他必要参数或安全性参数索引值的动态分配。
发明内容
[0021]本发明利用AAA基础设施来动态分配在外区代理和归属代理之间建立安全性关联所需要的各种参数。可以在本发明中被分配的各种参数包括FA-HA共享密钥或公钥/私钥对、认证算法和模式、FA-HA密钥生命期、和安全性参数索引或安全性索引值。本发明也能有助于相对于它们的安全性关联确保外区代理和归属代理保持同步。
[0022]本发明使用AAA服务器作为中心实体基于来自外区代理的请求动态地产生和分发支持外区代理和归属代理安全性关联所需要的被选择的安全性关联参数。AAA服务器也能为外区代理和归属代理对动态地赋予唯一的SPI值。在动态分配必需的参数和建立FA-HA安全性关联之后,外区代理能够从移动节点向其归属网络中的归属代理转发初始注册请求。
附图说明
[0023]结合附图阅读下列详细描述和所附的权利要求,本发明的目的和特征将变得更容易理解,附图中相同的数字表示相同的素,其中:
[0024]附图1为基于IP的移动通信系统;和
[0025]附图2为本发明中使用的消息序列图。
具体实施方式
[0026]在图1中,基于IP的移动系统的整个体系结构被示出为移动节点64、归属网络10和外区网络40。如图1所示,归属网络10和外区网络40耦合到用云35所表示的因特网。归属网络10具有经由通信链路24耦合到归属代理28的中央信息转移通路线(central buss line)20。信息转移通路线20经由通信链路22耦合到AAA服务器17。归属网络10经由通信链路30耦合到因特网35。通信链路是网络上的两个或多个节点或者网络上的用户或者管理域之间的任何连接。
[0027]外区网络40具有经由通信链路54耦合到外区代理58的中央信息转移通路线50。信息转移通路线50经由通信链路52耦合到AAA外区网络服务器47。外区网络40经由通信链路37耦合到因特网35。移动节点64被显示为经由收发机60的无线通信链路66电耦合到外区网络40。收发机60经由通信链路62耦合到外区网络40。移动节点64可以与任何耦合到外区网络40的收发机或接入网络通信。
[0028]术语归属代理和外区代理可以如移动IP协议(RFC 2002)中所定义的,但是这些代理并不被限制于单个协议或系统。事实上,如在本申请中所使用的术语归属代理可以指归属移动性管理器、归属位置寄存器、归属服务实体、或者在归属网络10上负责管理移动节点64的移动性相关功能的任何其他代理。同样地,在本申请中所使用的术语外区代理可以指服务移动性管理器、受访位置寄存器、访问服务实体、或者在外区网络40上负责管理移动节点64的移动性相关功能的任何其他代理。
[0029]在如图1所示的移动IP通信系统中,移动节点64由永久IP地址予以标识。在移动节点64耦合到其归属网络10时,该移动节点64像归属网络10中的任何其他固定节点那样接收信息分组。当移动时,移动节点64也能在外区网络40上给自身定位。当位于外区网络40上时,归属网络10通过向外区网络40“隧道(tunneling)”通信而向移动节点64发送数据通信。
[0030]移动节点64通过向归属代理28注册转交地址而保持归属代理28知道其当前位置或外区网络关联。主要地,转交地址表示移动节点64当前所位于的外区网络40。如果在移动节点64位于外区网络40时归属代理28接收到了寻址到移动节点64的信息分组,则该归属代理28将该信息分组“隧道”至外区网络40以随后向移动节点64传输。
[0031]外区代理58参与通知归属代理28移动节点64的当前转交地址。在该信息分组已经被归属代理28转发到外区代理58后,外区代理58还接收针对移动节点64的信息分组。而且,在连接到外区网络40时,外区代理58作为缺省路由器来输出移动节点64所产生的信息分组。
[0032]移动节点64参与向归属代理28通知其当前转交地址。当移动节点64正访问外区网络40时,移动节点64从代理广告获取关于外区网络40和/或外区代理58的地址的适当信息。在获取此信息之后,移动节点64发送注册请求到外区代理58,外区代理58准备该注册请求消息以转发到归属代理28。
[0033]在移动到新的外区网络40之后,移动IP协议要求移动节点向归属网络10上的归属代理28注册转交地址。作为注册过程的一部分,响应于在外区网络40上的上电(power-up)或代理广告的接收,移动节点64发出注册请求。但是仅在外区代理58和归属代理28之间的安全性关联被建立之后,注册请求才被发送给归属网络10上的归属代理28。
[0034]在安全性关联被建立以后,注册请求消息可以被发送到归属代理28,该消息包括用于移动节点64的转交地址。归属代理28发出注册应答以确认接收到了注册请求、证实接收到了用于移动节点64的转交地址、并指示注册过程的完成。转交地址标识移动节点64所在的外区网络40,并且归属代理28使用此转交地址来将信息分组隧道到外区网络40以随后向移动节点64传送。
[0035]所有寻址到移动节点64的通信都根据普通的IP协议被路由到移动节点的归属网络10。在注册完成之后,归属代理28接收该通信并且将该消息“隧道”到外区网络40上的移动节点64。外区代理58接受重定向的通信和通过收发机60把信息分组递送到移动节点64。以这种方式,以移动节点64在归属网络10上的通常地址来寻址到该移动节点64的信息分组被重定向或转发到外区网络40上的该移动节点64。
[0036]在没有安全性关联的情况下,上述的信息会在公共域中被发送。但是,在没有安全性关联的情况下在公共域中发送这样的信息可能使授权用户受到以下形式的攻击:(1)会话窃听,恶意节点通过重定向信息分组而从移动节点截取网络会话,(2)利用授权用户身份进行欺骗而以未授权的方式获得对网络的访问,和(3)偷听和窃取与授权用户的会话期间的信息。本发明通过在从外区代理58到归属代理28传输信息之前动态地建立安全性关联参数而阻止以上情形发生。
AAA服务器
[0037]当移动节点64连接到外区网络40时,AAA服务器17为在其归属网络10和移动节点64上的用户提供认证和授权服务。本发明利用AAA服务器17和其周边的基础设施来动态地分配用于在外区代理58和归属代理28之间建立安全性关联所需要的各种参数。
[0038]AAA服务器17是本发明的中心实体,并且在注册请求被外区代理58发送到归属代理28之前,AAA服务器17动态地产生和分发用于在外区代理58和归属代理28之间建立安全性关联所需要的所选择参数。在本发明中能够分配的各种参数包括FA-HA共享密钥或公钥/私钥对、认证算法和模式、FA-HA密钥生命期、应答保护机制(如果必要)、安全性参数索引(SPI)或安全性索引值、以及在未来能够定义的任何其他需要参数。
[0039]安全性参数索引(SPI)标识了移动性安全性关联中可用的节点对之间的安全性内容。每一个指定的安全性内容指示了认证算法和模式、公钥或私钥对(“密钥”)、和应答保护的类型。SPI可以在所有的认证扩展中被找到,并且必须被用来对移动节点的身份进行认证。SPI指定安全性协议(算法和密钥)来计算认证者值。
[0040]本发明使用AAA服务器作为中心实体基于来自外区代理的请求动态产生和分发用于支持外区代理和归属代理安全性关联所需要的所选择安全性关联参数。AAA服务器也能动态地为外区代理和归属代理对赋予唯一的SPI值。在动态地分配必需的参数和建立FA-HA安全性关联之后,外区代理将来自移动节点的初始注册请求转发到其归属网络上的归属代理。
[0041]AAA服务器17为最新产生的安全性关联保持状态和为FA-HA对保存SPI值。AAA服务器17可以是RADUISAAA服务器,其能够处理来自外区代理58的RADUIS接入请求,动态地产生用于建立安全性关联所需要的参数,以及在外区代理58转发注册请求到归属代理28之前在RADUIS接入接受消息中将这些参数发送回外区代理58。
[0042]本发明也有助于确保外区代理和归属代理保持同步化安全性关联。本发明通过以下的要求来实现该目标:在任何时间只要外区代理58要求与规定的归属代理28的安全性关联和接入,即使安全性关联已经存在或者已存在的安全性关联尚未过期,AAA服务器17都必须为该安全性关联产生新的安全性参数索引(SPI)。在每次对指定特定的归属代理28的安全性关联的新请求时产生新的安全性参数索引(SPI)的此要求可以被用来指示新的安全性关联已经被动态地建立,和归属代理28必须从AAA服务器17获取新的安全性关联参数以便通过外区代理58继续与移动节点64通信。
[0043]如果外区代理58规定了需要建立安全性关联的FA-HA对,新的安全性参数产生或SPI值分配的需求必须被执行,以及即使外区代理58要求安全性关联并在其接入请求中包括旧的SPI值,该动态分配仍将发生。相对于规定的归属代理28,每次在接入请求消息中外区代理58要求安全性关联时,作为动态分配安全性参数值的控制实体的AAA服务器17都必须分配新的安全性参数值。在向外区代理58提供了安全性关联信息之后,外区代理将与归属代理28通信,归属代理将向AAA服务器17询问被动态分配并且先前被发送给外区代理58的安全性参数信息。一旦AAA服务器17从归属代理28接收到使用特定有效SPI值(如从外区代理58所接收的)的就特定FA-HA安全性关联的请求,AAA服务器17必须向归属代理28返回安全性关联参数,其包括与规定的SPI索引值和所规定的FA-HA对相关联的FA-HA密钥。
[0044]如果AAA服务器17从归属代理28接收到使用无效SPI值的就安全性关联的请求,AAA服务器17必须发送拒绝消息或无效的SPI指示给归属代理28。在失败或拒绝应答消息中不赋予或者传送动态分配的安全性关联参数。一旦AAA服务器17动态分配了新的安全性关联参数,旧的SPI和安全性关联参数必须被忽略,但是AAA服务器17能够具有存储旧的安全性关联参数以检查旧的和新的安全性关联参数之间的冲突的能力。旧的安全性参数和索引值还可以有助于从AAA服务器17获取新的安全性参数和索引值。当被储存时,最新产生的安全性参数和SPI索引值将支持外区代理58和归属代理28之间的安全性关联。
[0045]动态分配新的安全性参数和新的SPI索引值的要求的唯一例外是当在从外区代理58所发送的接入请求消息中动态地分配(非规定)了归属代理28时。当移动节点64在未标识归属代理28的地址的情况下发送注册请求消息到外区代理58时,这种情况会发生。在这种示例中,当外区代理58进行其到归属网络AAA服务器17的接入请求时,外区代理58或许不知道归属代理28的身份或者地址。在这种情况下,外区代理58就归属代理28和外区代理-归属代理对的安全性内容向AAA服务器17询问。响应于对信息的请求,如果先前尚未分配,则AAA服务器17将向外区代理58发送新的SPI索引值和安全性关联参数的新的分配。如果已经存在对HA和SA的安全性关联的先前分配,那么先前分配的SPI索引值将被返回给FA。
本发明中的消息序列
[0046]附图2为根据本发明的消息流程图。链路层建立消息(Link Layer Set Upmessage,SU)序列305在移动节点64和外区代理(FA)58之间传送。移动节点64与外区代理58在消息305中通信之后,移动节点64在消息315中发送注册请求消息(Registration Request Message,RRQ)到外区代理58。该注册请求将具有归属代理28将信息分组转发给移动节点64所需要的转交地址。
[0047]在发送注册请求消息给归属代理28之前,外区代理通过消息320与在归属网络10上的H-AAA服务器17通信。到H-AAA服务器17的通信320是接入请求(RSA1)以建立外区代理58与归属代理28之间的安全性关联。接入请求(RSA1)320将包括在外区代理58和归属代理28之间建立特定安全性关联的接入请求,而H-AAA服务器17被要求动态分配用于建立所请求的安全性关联所需要的特定安全性参数。这些被请求的参数可以包括FA-HA共享密钥或公钥/私钥对、认证算法和模式、FA-HA密钥生命期、应答保护机制(如果有必要)、安全性参数索引(SPI)或安全性索引值,以及将来能够定义的任何其它需要的参数。
[0048]如果该请求是无效的或者该请求的某些其他部分是不合适的,则H-AAA服务器17可以用接入拒绝消息做出响应。假定对安全性关联的请求是合适的,H-AAA服务器17在消息325使用接入接受消息(RSAR1)对接入请求消息(RSA1)320作出响应。在消息325该接入接受消息(RSAR1)将包括请求的安全性关联参数,其包括SPI=SPI1的安全性参数索引值(SPI)。密钥信息能够被包括在消息325中。
[0049]外区代理在消息325接收到接入接受消息(RSAR1)之后,外区代理58在消息330将初始注册请求消息(RRQ)转发给归属代理(HA)。消息330将包括具有在消息325从H-AAA服务器17接收的安全性参数索引(SPI)值和附加安全性关联参数中的一些参数的认证扩展。
[0050]归属代理28在消息330接收初始注册请求消息(RRQ),并且向H-AAA服务器17发送接入请求消息(RSA2)330和公开由H-AAA服务器17动态分配的安全性关联值和安全性参数索引(SPI)值并在消息325向外区代理58发送的请求。接入请求消息(RSA2)330允许H-AAA服务器17认证和证实归属代理28身份的真实性,并且在消息345,H-AAA服务器17在从H-AAA服务器17发送到归属代理28的接入请求消息(RSAR2)中向归属代理28提供被请求的安全性关联参数。H-AAA服务器17在消息345发送给归属代理28的接入请求消息(RSAR2)中包括附加安全性信息,诸如将允许归属代理28和外区代理58对那些实体之间的消息发送进行加密和解密的密钥信息和安全性参数值。
[0051]归属代理28接收接入接受消息(RSAR2),其允许对通过外区代理58从移动节点64初始接收的注册请求(RRQ)进行认证。在此证实和认证之后,归属代理发送注册应答(RRQ-Reply)消息350给外区代理。外区代理认证该注册响应(RRQ-Reply)消息350,并且在证实和认证之后,发送该注册响应应答消息(RRQ-Reply)消息355。随着消息350的接收,移动节点64被注册以及在移动节点64、外区代理58和归属代理28之间存在所建立的安全性通信路径。会话被注册并且移动节点64能够以安全的方式与归属代理28通信。
[0052]虽然相对于优选实施例已经特别示出和描述了本发明,但是将容易理解的是:在不脱离本发明精神的情况下,可以对本发明的细节作出微小改动。
Claims (22)
1.一种通信系统,包括:
归属网络,具有归属代理和归属网络AAA服务器;
外区网络,具有外区代理;
在接收到来自所述外区代理的针对所述归属代理-外区代理对的特定的安全性关联请求之后,基于所述归属网络AAA服务器对安全性参数和SPI索引值的动态分配,在所述归属代理和所述外区代理之间建立安全性关联,所述安全性关联请求在所述外区代理从移动节点接收到注册请求之后被发起,其中,在所述外区代理和归属代理之间的所述安全性关联被建立之后被所述外区代理接收的所述注册请求被传送到所述归属代理,以及每次所述外区代理请求用于特定的归属代理-外区代理配对的安全性关联,所述归属网络AAA服务器就动态分配所述安全性参数和SPI索引值。
2.如权利要求1所述通信系统,其中每次所述外区代理请求针对特定的归属代理-外区代理配对的安全性关联,甚至在已存在针对所述归属代理-外区代理配对的安全性关联的情况下,所述归属网络AAA服务器仍动态分配所述安全性参数和SPI索引值。
3.如权利要求1所述通信系统,其中如果旧的SPI索引值与所述归属网络AAA服务器所发出的动态分配的SPI索引值不匹配,则那些旧的SPI索引值将被认为无效。
4.如权利要求1所述通信系统,其中能够被动态分配的安全性参数包括外区代理-归属代理共享密钥或公钥/私钥对。
5.如权利要求1所述通信系统,其中能够被动态分配的安全性参数包括认证算法和模式。
6.如权利要求1所述通信系统,其中能够被动态分配的安全性参数包括外区代理-归属代理密钥生命期。
7.一种用于在移动节点和归属网络上的归属代理之间建立安全通信路径的方法,包括以下步骤:
在外区网络的外区代理接收来自位于所述外区网络上的所述移动节点的注册请求,所述注册请求包括用于在所述移动节点和位于所述归属网络上的所述归属代理之间建立通信路径的转交地址信息;
从所述外区网络发送具有针对规定的外区代理-归属代理配对的安全性关联请求的接入请求到位于所述归属网络上的归属网络AAA服务器,所述归属网络AAA服务器动态分配安全性参数以支持所述安全性关联请求;
在所述外区代理接收来自所述归属网络AAA服务器的接入响应,其包括由所述归属网络AAA服务器产生的动态分配的安全性参数信息;
从所述外区代理向所述归属代理发送所述注册请求,所述注册请求包括所述外区代理所接收的所述安全性参数的被选择部分,在接收到所述注册请求后,所述归属代理单独地从所述归属网络AAA服务器接收所述动态分配的安全性参数信息;
在证实所述外区代理-归属代理安全性关联信息之后,在所述外区代理接收到来自所述归属代理的注册响应,所述注册响应被提供给所述移动节点以在所述归属代理和所述移动节点之间建立所述通信路径。
8.如权利要求7所述的方法,其中每次所述外区代理请求针对特定的归属代理-外区代理配对的安全性关联,所述归属网络AAA服务器就动态分配所述安全性参数信息。
9.如权利要求7所述的方法,其中每次所述外区代理请求针对特定的归属代理-外区代理配对的安全性关联,所述归属网络AAA服务器就动态分配包括SPI索引值的所述安全性参数。
10.如权利要求9所述的方法,其中如果旧的SPI索引值与所述归属网络AAA服务器所发出的所述动态分配的SPI索引值不匹配,则那些旧的SPI索引值将被认为无效。
11.如权利要求7所述的方法,其中每次所述外区代理请求针对特定的归属代理-外区代理配对的安全性关联,即使已经存在针对所述归属代理-外区代理对的安全性关联的情况下,所述归属网络AAA服务器仍动态分配所述安全性参数。
12.如权利要求7所述的方法,其中能够被动态分配的安全性参数包括外区代理-归属代理共享密钥或公钥/私钥对。
13.如权利要求7所述的方法,其中能够被动态分配的安全性参数包括认证算法和模式。
14.如权利要求7所述的方法,其中能够被动态分配的安全性参数包括外区代理-归属代理密钥生命期。
15.一种通信系统,包括:
归属网络,具有归属代理和归属网络AAA服务器计算机;
外区网络,具有外区代理;
在接收到来自所述外区代理的针对归属代理-外区代理对的特定安全性关联请求之后,基于所述归属网络AAA服务器计算机对安全性参数和SPI索引值的动态分配,在所述归属代理和所述外区代理之间建立的安全性关联,所述安全性关联请求在由所述外区代理从移动节点接收到注册请求之后被发起。
16.如权利要求15所述通信系统,其中在所述外区代理和所述归属代理之间建立所述安全性关联之后,所述外区代理所接收的所述注册请求被传送到所述归属代理。
17.如权利要求15所述通信系统,其中每次所述外区代理请求针对特定的归属代理-外区代理配对的安全性关联,所述归属网络AAA服务器就动态分配所述安全性参数和SPI索引值。
18.如权利要求17所述通信系统,其中如果旧的SPI索引值与所述归属网络AAA服务器所发出的所述动态分配的SPI索引值不匹配,则那些旧的SPI索引值将被认为无效,。
19.如权利要求15所述通信系统,其中每次所述外区代理请求针对特定的归属代理-外区代理配对的安全性关联,即使已存在针对所述归属代理-外区代理配对的安全性关联的情况下,所述归属网络AAA服务器仍动态分配所述安全性参数和SPI索引值。
20.如权利要求15所述通信系统,其中能够被动态分配的安全性参数包括外区代理-归属代理共享密钥或公钥/私钥对。
21.如权利要求15所述通信系统,其中能够被动态分配的安全性参数包括认证算法和模式。
22.如权利要求15所述通信系统,其中能够被动态分配的安全性参数包括外区代理-归属代理密钥生命期。
Applications Claiming Priority (5)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US90847207P | 2007-03-28 | 2007-03-28 | |
| US60/908,472 | 2007-03-28 | ||
| US91686607P | 2007-05-09 | 2007-05-09 | |
| US60/916,866 | 2007-05-09 | ||
| PCT/US2008/003992 WO2008118480A1 (en) | 2007-03-28 | 2008-03-27 | Dynamic foreign agent-home agent security association allocation ip mobility systems |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN101675617A true CN101675617A (zh) | 2010-03-17 |
Family
ID=39788865
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN200880009791A Pending CN101675617A (zh) | 2007-03-28 | 2008-03-27 | 用于ip移动性系统的动态外区代理-归属代理安全性关联分配 |
Country Status (4)
| Country | Link |
|---|---|
| US (2) | US8411858B2 (zh) |
| JP (1) | JP5044690B2 (zh) |
| CN (1) | CN101675617A (zh) |
| WO (1) | WO2008118480A1 (zh) |
Families Citing this family (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP5044690B2 (ja) * | 2007-03-28 | 2012-10-10 | ノーテル・ネットワークス・リミテッド | Ipモビリティシステムのための動的な外部エージェント−ホーム・エージェント・セキュリティ・アソシエーション割当て |
| US8370503B2 (en) * | 2008-05-02 | 2013-02-05 | Futurewei Technologies, Inc. | Authentication option support for binding revocation in mobile internet protocol version 6 |
| US8509815B1 (en) * | 2009-05-21 | 2013-08-13 | Sprint Communications Company L.P. | Dynamically updating a home agent with location-based information |
| JP2011008701A (ja) * | 2009-06-29 | 2011-01-13 | Sony Corp | 情報処理サーバ、情報処理装置、および情報処理方法 |
| CN101656959B (zh) * | 2009-09-10 | 2012-02-29 | 中兴通讯股份有限公司 | PMIP中HA获取MN-HA key的方法、设备及系统 |
| US9350604B1 (en) | 2014-03-28 | 2016-05-24 | Sprint Spectrum L.P. | Packet gateway assignment based on network connectivity |
| US9445256B1 (en) | 2014-10-22 | 2016-09-13 | Sprint Spectrum L.P. | Binding update forwarding between packet gateways |
| US10785645B2 (en) * | 2015-02-23 | 2020-09-22 | Apple Inc. | Techniques for dynamically supporting different authentication algorithms |
| US9936430B1 (en) | 2016-03-07 | 2018-04-03 | Sprint Spectrum L.P. | Packet gateway reassignment |
Family Cites Families (42)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6760444B1 (en) * | 1999-01-08 | 2004-07-06 | Cisco Technology, Inc. | Mobile IP authentication |
| US6466964B1 (en) * | 1999-06-15 | 2002-10-15 | Cisco Technology, Inc. | Methods and apparatus for providing mobility of a node that does not support mobility |
| US7174018B1 (en) * | 1999-06-24 | 2007-02-06 | Nortel Networks Limited | Security framework for an IP mobility system using variable-based security associations and broker redirection |
| US7079499B1 (en) * | 1999-09-08 | 2006-07-18 | Nortel Networks Limited | Internet protocol mobility architecture framework |
| US6769000B1 (en) * | 1999-09-08 | 2004-07-27 | Nortel Networks Limited | Unified directory services architecture for an IP mobility architecture framework |
| JP2001169341A (ja) * | 1999-09-29 | 2001-06-22 | Fujitsu Ltd | 移動通信サービス提供システム、移動通信サービス提供方法、認証装置、およびホームエージェント装置 |
| AU7854100A (en) * | 1999-10-05 | 2001-05-10 | Nortel Networks Limited | Key exchange for network architecture |
| US6922404B1 (en) * | 1999-10-14 | 2005-07-26 | Nortel Networks Limited | Mobile IP extensions rationalization (MIER) |
| FI20000760A0 (fi) * | 2000-03-31 | 2000-03-31 | Nokia Corp | Autentikointi pakettidataverkossa |
| US7333482B2 (en) * | 2000-12-22 | 2008-02-19 | Interactive People Unplugged Ab | Route optimization technique for mobile IP |
| US7193985B1 (en) * | 2001-06-14 | 2007-03-20 | Utstarcom, Inc. | System and method for managing foreign agent selections in a mobile internet protocol network |
| US7213144B2 (en) * | 2001-08-08 | 2007-05-01 | Nokia Corporation | Efficient security association establishment negotiation technique |
| US8140845B2 (en) * | 2001-09-13 | 2012-03-20 | Alcatel Lucent | Scheme for authentication and dynamic key exchange |
| US7382748B1 (en) * | 2001-10-24 | 2008-06-03 | Nortel Networks Limited | Assigning a dynamic home agent for a mobile network element |
| US7409549B1 (en) * | 2001-12-11 | 2008-08-05 | Cisco Technology, Inc. | Methods and apparatus for dynamic home agent assignment in mobile IP |
| US7298847B2 (en) * | 2002-02-07 | 2007-11-20 | Nokia Inc. | Secure key distribution protocol in AAA for mobile IP |
| US7447162B1 (en) * | 2002-03-05 | 2008-11-04 | Cisco Technology, Inc. | Methods and apparatus for anchoring of mobile nodes using DNS |
| US6839338B1 (en) * | 2002-03-20 | 2005-01-04 | Utstarcom Incorporated | Method to provide dynamic internet protocol security policy service |
| US7080151B1 (en) * | 2002-04-01 | 2006-07-18 | Utstarcom, Inc. | Method and system for mobile IP home agent redundancy by using home agent control nodes for managing multiple home agents |
| US6956846B2 (en) * | 2002-08-16 | 2005-10-18 | Utstarcom Incorporated | System and method for foreign agent control node redundancy in a mobile internet protocol network |
| US7870389B1 (en) * | 2002-12-24 | 2011-01-11 | Cisco Technology, Inc. | Methods and apparatus for authenticating mobility entities using kerberos |
| KR20060031813A (ko) * | 2003-06-18 | 2006-04-13 | 텔레폰악티에볼라겟엘엠에릭슨(펍) | Cdma 시스템에서 이동ip 버전 6 서비스 지원하기위한 방법, 시스템 및 장치 |
| CA2528787A1 (en) * | 2003-06-18 | 2004-12-23 | Telefonaktiebolaget Lm Ericsson (Publ) | Method, system and apparatus to support mobile ip version 6 services |
| US20050190734A1 (en) * | 2004-02-27 | 2005-09-01 | Mohamed Khalil | NAI based AAA extensions for mobile IPv6 |
| EP1735990B1 (en) * | 2004-04-14 | 2018-05-30 | Microsoft Technology Licensing, LLC | Mobile ipv6 authentication and authorization |
| WO2006021236A1 (en) * | 2004-08-26 | 2006-03-02 | Ntt Docomo, Inc. | Method and apparatus for supporting secure handover |
| US7639802B2 (en) * | 2004-09-27 | 2009-12-29 | Cisco Technology, Inc. | Methods and apparatus for bootstrapping Mobile-Foreign and Foreign-Home authentication keys in Mobile IP |
| US20060294363A1 (en) * | 2005-06-16 | 2006-12-28 | Samsung Elecontronics Co., Ltd. | System and method for tunnel management over a 3G-WLAN interworking system |
| US7808970B2 (en) * | 2005-06-30 | 2010-10-05 | Motorola, Inc. | Method of dynamically assigning mobility configuration parameters for mobile entities |
| US7653813B2 (en) * | 2006-02-08 | 2010-01-26 | Motorola, Inc. | Method and apparatus for address creation and validation |
| DE102006006072B3 (de) * | 2006-02-09 | 2007-08-23 | Siemens Ag | Verfahren zum Sichern der Authentizität von Nachrichten, die gemäß einem Mobile Internet Protokoll ausgetauscht werden |
| CN101496387B (zh) * | 2006-03-06 | 2012-09-05 | 思科技术公司 | 用于移动无线网络中的接入认证的系统和方法 |
| US8447981B2 (en) * | 2006-05-24 | 2013-05-21 | Huawei Technologies Co., Ltd. | Method and system for generating and distributing mobile IP security key after re-authentication |
| CN101106452B (zh) * | 2006-07-12 | 2010-12-08 | 华为技术有限公司 | 移动ip密钥的产生及分发方法和系统 |
| JP5044690B2 (ja) * | 2007-03-28 | 2012-10-10 | ノーテル・ネットワークス・リミテッド | Ipモビリティシステムのための動的な外部エージェント−ホーム・エージェント・セキュリティ・アソシエーション割当て |
| US8166527B2 (en) * | 2007-11-16 | 2012-04-24 | Ericsson Ab | Optimized security association database management on home/foreign agent |
| US8923811B2 (en) * | 2008-03-14 | 2014-12-30 | Alcatel Lucent | Methods and apparatuses for dynamic management of security associations in a wireless network |
| ES2376991T3 (es) * | 2008-06-02 | 2012-03-21 | Media Patents, S. L. | Procedimientos y aparatos para el envío de paquetes de datos entre nodos móviles |
| US8385300B2 (en) * | 2008-10-03 | 2013-02-26 | Cisco Technology, Inc. | Internet protocol address management for communicating packets in a network environment |
| US8695082B2 (en) * | 2008-10-27 | 2014-04-08 | Nokia Siemens Networks Oy | Method and communication system for accessing a wireless communication network |
| US20100106971A1 (en) * | 2008-10-27 | 2010-04-29 | Domagoj Premec | Method and communication system for protecting an authentication connection |
| US8195778B1 (en) * | 2009-12-19 | 2012-06-05 | Cisco Technology, Inc. | System and method for providing mobility across access technologies in a network environment |
-
2008
- 2008-03-27 JP JP2010500993A patent/JP5044690B2/ja not_active Expired - Fee Related
- 2008-03-27 US US12/450,405 patent/US8411858B2/en active Active
- 2008-03-27 WO PCT/US2008/003992 patent/WO2008118480A1/en active Application Filing
- 2008-03-27 CN CN200880009791A patent/CN101675617A/zh active Pending
-
2013
- 2013-01-17 US US13/743,429 patent/US8615658B2/en active Active
Also Published As
| Publication number | Publication date |
|---|---|
| WO2008118480A1 (en) | 2008-10-02 |
| JP5044690B2 (ja) | 2012-10-10 |
| US8411858B2 (en) | 2013-04-02 |
| US20100106969A1 (en) | 2010-04-29 |
| JP2010523051A (ja) | 2010-07-08 |
| US8615658B2 (en) | 2013-12-24 |
| US20130130655A1 (en) | 2013-05-23 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101675617A (zh) | 用于ip移动性系统的动态外区代理-归属代理安全性关联分配 | |
| KR100450973B1 (ko) | 무선 통신시스템에서 이동 단말기와 홈에이전트간의인증을 위한 방법 | |
| US7805605B2 (en) | Server, terminal control device and terminal authentication method | |
| CN100592746C (zh) | 移动因特网协议中的寻址机制 | |
| KR100442594B1 (ko) | 무선통신 시스템의 패킷 데이터 서비스 방법 및 장치 | |
| US8688041B2 (en) | Methods and apparatus for secure, portable, wireless and multi-hop data networking | |
| CN101185311B (zh) | 为移动互联网协议密钥分发使用通用认证架构的方法和系统 | |
| JP4913909B2 (ja) | モバイルipネットワークにおけるルート最適化 | |
| EP1782574B1 (en) | Fast network attachment | |
| EP1075123A1 (en) | Dynamic home agent system for wireless communication systems | |
| Deng et al. | Defending against redirect attacks in mobile IP | |
| JP2000216827A (ja) | 動的なdns更新によって無線移動サ―バおよびピア・ツ―・ピア・サ―ビスを提供するための方法およびシステム | |
| EA013147B1 (ru) | Способ и система для обеспечения специфических для доступа ключей | |
| JP2008541566A (ja) | マルチ鍵暗号化生成アドレスを用いたセキュアなアドレスプロキシ | |
| CN101300815A (zh) | 用于提供移动性密钥的方法和服务器 | |
| EA013704B1 (ru) | Способ и сервер для предоставления кода мобильности | |
| WO2007004208A1 (en) | Transfer of secure communication sessions between wireless networks access points | |
| CN1795656B (zh) | 一种安全初始化用户和保密数据的方法 | |
| CN101449540B (zh) | 基于委托的移动性管理 | |
| US20020049850A1 (en) | Data communications method and system | |
| Choi et al. | A secure mobile IP authentication based on identification protocol | |
| KR100416232B1 (ko) | 이중화된 노드들의 씨엠에스 보안 서비스 시스템 및 제공방법 | |
| Sánchez et al. | Federating Personal Networks over Heterogeneous | |
| NZ577864A (en) | Signalling delegation in a moving network |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| ASS | Succession or assignment of patent right |
Owner name: APPLE COMPUTER, INC. Free format text: FORMER OWNER: YANXING BIDEKE CO., LTD. Effective date: 20130426 Owner name: YANXING BIDEKE CO., LTD. Free format text: FORMER OWNER: NORTEL NETWORKS LTD (CA) Effective date: 20130426 |
|
| C41 | Transfer of patent application or patent right or utility model | ||
| TA01 | Transfer of patent application right |
Effective date of registration: 20130426 Address after: American California Applicant after: APPLE Inc. Address before: American New York Applicant before: NORTEL NETWORKS LTD. Effective date of registration: 20130426 Address after: American New York Applicant after: NORTEL NETWORKS LTD. Address before: Quebec Applicant before: NORTEL NETWORKS Ltd. |
|
| C12 | Rejection of a patent application after its publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20100317 |