CN101971596A - 在无线网络中的安全关联的动态管理的方法和装置 - Google Patents
在无线网络中的安全关联的动态管理的方法和装置 Download PDFInfo
- Publication number
- CN101971596A CN101971596A CN2009801089664A CN200980108966A CN101971596A CN 101971596 A CN101971596 A CN 101971596A CN 2009801089664 A CN2009801089664 A CN 2009801089664A CN 200980108966 A CN200980108966 A CN 200980108966A CN 101971596 A CN101971596 A CN 101971596A
- Authority
- CN
- China
- Prior art keywords
- key
- safe key
- new safe
- home agent
- described new
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/062—Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/068—Network architectures or network communication protocols for network security for supporting key management in a packet data network using time-dependent keys, e.g. periodically changing keys
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/041—Key generation or derivation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W84/00—Network topologies
- H04W84/02—Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
- H04W84/10—Small scale networks; Flat hierarchical networks
- H04W84/12—WLAN [Wireless Local Area Networks]
Abstract
提供用于网络中的安全关联的动态管理的方法。根据一个方法,安全密钥管理实体基于现有活动安全密钥确定是否将新安全密钥用作活动安全密钥。所述新安全密钥和所述现有活动安全密钥中的每个与相同家庭代理关联,并且所述现有活动安全密钥用作所述家庭代理和至少一个其他网络元件之间的现有安全关联的基础。
Description
背景技术
WiMAX是以在相对较远距离上提供无线数据通信为目标的电信技术。WiMAX基于IEEE 802.16e标准。
图1示出根据当前IEEE 802.16e标准的传统WiMAX系统的部分(WiMAX论坛网络架构-第2期第1部分-版本1.1.1)。图1中的系统使用移动因特网协议(IP)架构(这是本领域公知的)向例如多个移动节点M1、M2、M3、…MN的终点提供例如通信会话(如数据会话、语音会话、多媒体会话等)的无线服务。通信会话指的是在例如移动节点的两个或更多个终点之间的活动通信。
如上所述,术语“移动节点”指的是具有无线通信能力的电子设备,例如蜂窝电话、个人数字助理(PDA)、智能电话、膝上型计算机等。更一般地,移动节点指的是能够将其附连点从一个网络或子网络改变至另一个的任意电子设备。
参照图1,该系统包括多个接入服务网络(ASN)ASN1和ASN2、访问连接服务网络V-CSN和家庭连接服务网络H-CSN。彼此结合地,接入服务网络ASN1和ASN2、访问连接服务网络V-CSN和家庭连接服务网络H-CSN向一个或多个移动节点M1-MN提供通信服务。
ASN1和ASN2中的每个代表向移动节点提供对于有线网络的无线接入的通信网络。接入服务网络ASN1和ASN2可由网络接入提供商(NAP)提供。示例性接入服务网络是WiMAX接入服务网络,其向WiMAX网络服务提供商(NSP)提供WiMAX无线电接入架构。尽管图1中仅示出两个接入服务网络,但是本领域公知地,WiMAX系统可包括任意数目个接入服务网络。
接入服务网络ASN1包括一个或多个基站32-1。如上所述,基站32-1代表向基站32-1的覆盖区或小区中存在的一个或多个移动台M1和M2提供无线服务的任意适合设备或系统。本领域已知地,基站包括可操作为向位于其相应覆盖区或小区中的移动节点提供无线服务的适合设备。基站32-1与同样包括在接入服务网络ASN1中的ASN网关(ASN-GW)36-1通信。
已知地,ASN-GW 36-1是这样的逻辑实体,其代表与接入服务网络ASN1中的相应功能(例如基站的实例)、CSN中的常驻功能(例如V-CSN或H-CSN)或另一ASN中的功能成对的控制面功能实体的集合。ASN-GW 36-1还可执行载体面路由或桥接功能。
已知地,每个移动节点关联于基站,其典型地关联于一个缺省ASN-GW。然而,每个移动节点的ASN-GW可分布在位于一个或多个ASN中的多个ASN-GW之间。
仍旧参照图1,ASN-GW 36-1包括外部代理(FA)44-1和验证器52-1。已知地,外部代理44-1是向通过接入服务网络ASN1注册的移动节点提供路由服务的网络实体(例如路由器)。外部代理44-1向和从当前通过接入服务网络ASN1注册的移动节点路由数据。外部代理44-1从移动节点的分配的家庭代理(例如位于访问连接服务网络V-CSN中的家庭代理48)接收指向接入服务网络ASN1中的移动节点的数据。
已知的验证器52-1是在进入接入服务网络ASN1时验证从移动节点接入的请求的网络实体。尽管将验证器52-1示出为与ASN-GW 36-1中的外部代理44-1分离,但是验证器52-1可在任意适合位置与外部代理44-1共置。
如上所述,图1中的系统还包括接入服务网络ASN2,其包括一个或多个基站32-2和ASN-GW 36-2。ASN-GW 36-2包括外部代理44-2和验证器52-2。这些组件中的每个和这里执行的功能与关于接入服务网络ASN1上述的相应组件相同。因此,忽略这些组件的描述。
图1的系统还包括访问连接服务网络V-CSN和家庭连接服务网络H-CSN。一般地,连接服务网络(CSN)是向WiMAX订户(移动节点)提供因特网协议(IP)连接服务的网络功能集。CSN可基于用户定制概况、ASN-CSN隧道支持、WiMAX订户帐单和操作员间清算、用于漫游的CSN间隧道、ASN间移动性、例如基于位置服务的WiMAX服务、以及用于端对端服务、提供、授权的连接和/或IP多媒体服务的连接,向移动节点提供例如IP地址和终点参数分配,用于用户会话、因特网接入、AAA服务器、策略和许可控制。
已知地,CSN可包括例如路由器、AAA服务器、用户数据库、相互作用网关移动节点的网络元件。CSN可作为例如WiMAX服务提供商网络的一部分来部署。
更具体地,访问连接服务网络V-CSN代表这样的通信网络,其向接入服务网络ASN1和ASN2所服务的移动台提供移动性管理,以及还提供其他操作,例如验证操作、主机配置管理操作等。访问连接服务网络V-CSN通常由网络服务提供商(NSP)来提供。
尽管访问连接服务网络V-CSN包括所有上述组件和功能,但是为了简明仅示出一个家庭代理48和验证、授权、和/或记帐(AAA)功能40。已知地,家庭代理48是当移动节点远离其家庭网络时将数据表隧接至移动节点的网络实体(例如路由器)。隧道是由数据表(在封装时)遵循的路径。家庭代理48还维护为其分配的移动节点的当前位置。
基于由网络服务提供商设置的策略和配置,通过家庭连接服务网络H-CSN中的AAA服务器42和/或访问连接服务网络V-CSN中的AAA功能40选择家庭代理48,并分配其服务于特定移动台的通信会话。
分别在家庭连接服务网络H-CSN和访问连接服务网络V-CSN中,AAA服务器42和AAA服务器40是提供与移动节点的定制关联的AAA相关服务(例如验证、授权、记帐、或其组合)的网络实体(例如服务器)。AAA服务器42和AAA服务器40不同在于,AAA服务器40位于访问连接服务网络(V-CSN),AAA服务器42位于家庭连接服务网络H-CSN。此外,如以下更详细描述,AAA服务器40和AAA服务器42还不同在于,在选择和分配对于特定移动台的通信会话的家庭代理时,AAA服务器40可从属于AAA服务器42。例如,AAA服务器42可将家庭代理的选择和分配委托给访问连接访问网络V-CSN中的AAA服务器40。例如,如果从H-CSN期望主AAA功能,则连接访问网络V-CSN中的AAA服务器40用作向连接访问网络H-CSN中的AAA服务器42传送信息的代理。为了简明,用作代理的AAA服务器将称为AAA功能。
本领域已知地,验证指的是确认移动节点的身份,授权指的是为移动节点授权服务等级,以及记帐指的是为移动节点跟踪资源使用。
图1中所示的系统利用移动IP架构。根据因特网工程任务组(IETF)RFC 3344中指定的当前移动因特网协议版本4(MIPv4)安全架构,与移动节点M1的通信会话关联地在外部代理44-1和家庭代理48之间的隧接使用基于外部代理44-1和家庭代理48公知的安全密钥(以下称为FA-HA密钥)的安全关联。
在这个实例中,基于家庭代理安全密钥(以下称为HA-RK密钥)、分配的外部代理44-1(FA-IP)和家庭代理48(HA-IP)的其关联的上下文和IP地址,通过服务于接入服务网络ASN1中的验证器52-1计算FA-HA密钥。已知地,HA-RK密钥是由AAA服务器42为每个家庭代理生成的唯一160比特随机数。每个HA-RK密钥的上下文包括HA-RK密钥的寿命(或生命到期时间)和安全参数索引(SPI)。HA-RK密钥的寿命指示HA-RK要使用多久。更具体地,HA-RK密钥的寿命指示在重新验证之前安全关联(基于HA-RK)将多久有效。SPI用于在基于各个HA-RK密钥生成的不同FA-HA密钥之间区分。HA-RK密钥还发送至验证器52-1。
如上所述,验证器52-1基于接收的HA-RK密钥、分配的外部代理44-1(FA-IP)和家庭代理48(HA-IP)的其关联的上下文和IP地址计算FA-HA密钥。由此,对于每对外部代理和家庭代理生成FA-HA密钥。换句话说,根据外部代理44-1和家庭代理48之间的隧道生成FA-HA密钥。验证器52-1向外部代理44-1提供计算的FA-HA密钥,用于与分配给移动台的通信会话的家庭代理48通信。
现在将关于图1所示的系统描述传统HA-RK密钥和FA-HA密钥部署情形。
参照图1,经由验证器52-1通过AAA服务器42验证位于接入服务网络ASN1中的移动节点M1和M2。位于接入服务网络ASN2中的移动节点M3经由验证器52-2通过AAA服务器42验证。接入服务网络ASN1和ASN2都由相同局部AAA功能40服务,由此经由AAA功能40路由所有验证事务。
在验证期间,AAA功能40向AAA服务器42推荐其局部服务(包括向每个移动台M1-M3分配局部家庭代理48以及为家庭代理48生成HA-RK密钥)。
基于其局部策略,AAA服务器42基于AAA功能40的推荐决定是否向移动台M1分配家庭代理48。假设AAA服务器42决定这样做,则AAA服务器42生成用于家庭代理的HA-RK密钥HA-RK1-1和关联的上下文(以下称为HA-RK密钥和上下文HA-RK1-1)。AAA服务器42将HA-RK密钥和上下文HA-RK1-1发送至AAA功能40,后者将其转发至验证器52-1,并随后在移动IP注册期间转发至家庭代理48。
AAA服务器42还将家庭代理的IP地址(HA-IP)发送至AAA功能40,后者将其转发至在ASN-GW 36-1的验证器52-1。
包括验证器52-1的ASN-GW 36-1用作基于EAP定制验证事务的AAA客户端。
在接收HA-RK密钥和上下文HA-RK1-1时,验证器52-1生成用于外部代理44-1和家庭代理48之间的隧道的相应FA-HA密钥FA-HA1-1,并将其发送至外部代理44-1。同样,由家庭代理48计算相同FA-HA密钥FA-HA1-1。FA-HA密钥FA-HA1-1用作外部代理44-1和家庭代理48之间隧接的数据报的安全密钥。
现在转到移动节点M2,如果AAA服务器42再次接受AAA功能40的推荐,则AAA服务器42向移动节点M2分配家庭代理48并生成用于家庭代理48的HA-RK密钥和上下文HA-RK1-2。AAA服务器42将HA-RK密钥和上下文HA-RK1-2发送至AAA功能40,后者将其转发至验证器52-1,并随后在移动IP注册期间转发至家庭代理48。
在接收HA-RK密钥和上下文HA-RK1-2时,验证器52-1生成用于外部代理44-1和家庭代理48之间的隧道的相应FA-HA密钥FA-HA1-2,并将其发送至外部代理44-1。同样,由家庭代理48计算相同FA-HA密钥FA-HA1-2。FA-HA密钥FA-HA1-2用作外部代理44-1和家庭代理48之间隧接的数据报的安全密钥。
转到移动节点M3,如果AAA服务器42再次基于AAA功能40的推荐分配家庭代理48,则AAA服务器42生成用于家庭代理48的HA-RK密钥和上下文HA-RK2-3。AAA服务器42将HA-RK密钥和上下文HA-RK2-3发送至AAA功能40,后者将其转发至验证器52-2,并随后在移动IP注册期间转发至家庭代理48。
在接收HA-RK密钥和上下文HA-RK2-3时,验证器52-2生成用于外部代理44-2和家庭代理48之间的隧道的相应FA-HA密钥FA-HA2-3,并将其发送至外部代理44-2。同样,由家庭代理48计算相同FA-HA密钥FA-HA2-3。FA-HA密钥FA-HA2-3用作外部代理44-2和家庭代理48之间隧接的数据报的安全密钥。
在这个实例中,如果移动节点M1随后重新定位到接入服务网络ASN2中,则外部代理44-2从验证器52-1请求另一FA-HA密钥FA-HA2-1(用于外部代理44-2和家庭代理48之间的隧道的密钥)。验证器52-1基于在验证器52-1处维护的HA-RK密钥和上下文HA-RK1-1生成FA-HA密钥FA-HA2-1,并将其发送至外部代理44-2。同样,在家庭代理48生成相同FA-HA密钥FA-HA2-1。FA-HA密钥FA-HA2-1还用作外部代理44-2和家庭代理48之间隧接的数据报的安全密钥。
再参照图1,通过分配HA-RK密钥和上下文的AAA服务器42管理HA-RK密钥的寿命和SPI。在验证器52-1、52-2处的活动HA-RK密钥和上下文到期之前,AAA服务器42负责生成并向每个验证器52-1、52-2和/或家庭代理48分发新HA-RK密钥和上下文。
在任意EAP验证过程期间,如果AAA服务器42识别出在例如验证器52-1或家庭代理48处的活动HA-RK密钥的剩余寿命短于新分配的主会话密钥(MSK)寿命,则AAA服务器42向验证器52-1和家庭代理48发送新HA-RK上下文。
作为成功的基于EAP定制验证过程的结果,EAP客户端(例如移动节点M1)和EAP服务器(AAA服务器42)都生成MSK。AAA服务器42基于其策略分配这个MSK的寿命。MSK的寿命(或生命到期时间)指定在重新验证之前这个安全关联将多久有效。随后,在EAP验证过程的结束,将MSK和MSK寿命分发至验证器52-1。
典型地,AAA服务器42不保留为给定的HA和验证器对分发的先前安全关联的信息,因为他们与不同验证事件关联。对于AAA服务器42,保持验证器中的任意HA-RK密钥是否当前在其分配的寿命内的信息是麻烦的。因此,在完成新验证事件时,AAA服务器42创建和发送新随机HA-RK密钥。典型地,AAA服务器42将HA-RK的寿命设置为至少等于或长于新MSK的寿命。这样,FA-HA隧道的安全关联寿命不受定制验证寿命的限制。
然而,目前,在验证器52-1或家庭代理48处接收新HA-RK密钥和上下文时,并非立即弃用或删除HA-RK密钥和上下文的旧版本。相反,每个HA-RK密钥保持活动,直到其寿命到期。结果,必须始终在验证器52-1和家庭代理48处保持多个HA-RK密钥和上下文。
在以上实例中,经由AAA功能40由AAA服务器42提供HA-RK安全密钥。然而,在另一实例中,AAA功能40可生成和发送HA-RK安全密钥至验证器52-1、52-2和家庭代理48。在这个处理中,当移动节点M1接入访问连接访问网络V-CSN时,AAA功能40向AAA服务器42建议局部家庭代理48。如果AAA服务器42通过推荐(在检查其策略之后),则向AAA功能40发送回同意协定。AAA功能40随后向移动节点M1分配家庭代理48,并且同样按与关于AAA服务器42的上述相同方式分配HA-RK安全密钥。
传统地,对于给定移动节点,基于服务系统的部署配置选择验证器52-1、52-2,但是不能够通过关联AAA或家庭代理48来预测。类似地,基于AAA服务器42的策略选择家庭代理48,但是不能够通过关联的验证器52-1、52-2或外部代理44-1、44-2来预测。结果,家庭代理48和/或验证器52-1、52-2可同时接收对于验证器和家庭代理之间的相同给定关联的不同HA-RK安全密钥。
在HA-RK安全密钥之间缺乏协作导致相同家庭代理-外部代理对的多个隧道和安全关联的创建。得到的多个安全关联导致在家庭代理和验证器处的模糊。
更一般地,如果在家庭代理分配中涉及N个AAA服务器以及在FA-HA密钥分发中涉及P个验证器(其中每个验证器与M个AAA服务器关联,并且M≤N),则家庭代理必须保持至少NxP个密钥,每个验证器必须保持至少M个密钥,并且每个外部代理必须保持至少MxP个密钥。
发明内容
示例性实施例提供了用于网络中的安全关联的动态管理的方法。
至少一个示例性实施例提供了一种用于网络中的安全关联的动态管理的方法。根据这个方法,安全密钥管理实体基于现有活动安全密钥确定是否将新安全密钥用作活动安全密钥。所述新安全密钥和所述现有活动安全密钥中的每个与相同家庭代理关联,并且所述现有活动安全密钥用作所述家庭代理和至少一个其他网络元件之间的现有安全关联的基础。所述活动安全密钥和得到的安全关联用于保护在家庭代理和至少一个其他网络元件之间发送的数据。
至少一个其他示例性实施例提供了一种用于网络中的安全关联的动态管理的方法。根据这个方法,安全密钥管理实体基于在安全密钥管理实体处的现有活动安全密钥和当前未决安全密钥确定保留还是丢弃新安全密钥。所述现有活动安全密钥用作至少两个网络元件之间的现有安全关联的基础。所述活动安全密钥和得到的安全关联用于保护在至少两个网络元件之间发送的数据。
至少一个其他示例性实施例提供了一种网络网关。所述网络网关可包括用于网络中的安全关联的动态管理的安全密钥管理实体。所述安全密钥管理实体被配置为基于现有活动安全密钥确定是否将新安全密钥用作活动安全密钥。所述新安全密钥和所述现有活动安全密钥中的每个与相同家庭代理关联,并且所述现有活动安全密钥用作所述家庭代理和至少一个其他网络元件之间的现有安全关联的基础。所述活动安全密钥和得到的安全关联用于保护在至少两个网络元件之间发送的数据。
附图说明
根据以下给出的具体实施方式和附图将更完整地理解本发明,其中类似元件由类似标号表示,这仅通过图示给出,因此不限制本发明,其中:
图1示出传统WiMAX系统的部分;以及
图2示出根据示例性实施例的用于动态管理无线网络中的安全关联的方法。
具体实施方式
在以下描述中,为了说明并且非限制地,阐述了具体细节,例如特定架构、接口、技术等,以提供本发明的全面理解。然而,对于本领域普通技术人员清楚地,本发明可在背离这些具体细节的其他示例性实施例中实践。在某些情形下,忽略公知设备、电路、和方法的具体描述,使得本发明的描述不被不必要的细节掩盖。本发明的所有原理、方面、和实施例,及其特定实例旨在涵盖其结构和功能上的等同物。此外,这种等同物旨在包括目前已知的等同物以及未来开发的等同物。
这里讨论的示例性实施例在适当计算环境中实现。尽管不需要,但是示例性实施例将在计算机可执行指令的一般环境中描述,例如程序模块或功能处理,这可通过一个或多个计算机处理器或CPU来执行。一般地,程序模块或功能处理包括执行特定任务或实现特定抽象数据类型的例程、程序、对象、组件、数据结构等。这里讨论的程序模块和功能处理可使用现有通信网络中的现有硬件来实现。例如,这里讨论的程序模块和功能处理可使用在现有网络元件或控制节点(例如图1所示的家庭代理或验证器)处的现有硬件来实现。这种现有硬件可包括一个或多个数字信号处理器(DSP)、专用集成电路、现场可编程门阵列(FPGA)计算机等。
在以下描述中,将参照由一个或多个处理器(除非指定)执行的操作的行为和符号表示(例如流程图的形式)来描述示例性实施例。由此,可理解,有时指的是计算机可执行的这种行为和操作包括通过以结构形式表示数据的电信号的处理器的操纵。这种操纵转换数据或将其保持在计算机的存储器系统的位置处,通过本领域普通技术人员已知的方式重新配置或改变计算机的操作。
图2是示出根据示例性实施例的用于安全关联或密钥的动态管理的方法的流程图。将关于图1中所示的示例性系统,特别地,关于通过家庭代理48或验证器52-1执行的功能/行为来描述图2中所示的方法。共同地,验证器52-1、52-2和家庭代理48可称为安全密钥管理实体、网络实体、或密钥管理实体。
将关于验证器52-1来描述示例性实施例。然而,可理解,可在验证器52-2和/或家庭代理48处执行相同的动态管理方法。
如上所述,验证器52-1维护与访问服务网络ASN1中的移动节点的通信所需的在每个家庭代理48和外部代理44-1之间的隧道相关的HA-RK密钥和上下文。然而,验证器52-1不保留AAA服务器生成和发送HA-RK密钥和上下文的任何信息。
如上所述,如果在验证器52-1处的活动HA-RK密钥的剩余寿命(或生命到期时间)小于新分配的MSK寿命和/或响应于在访问服务网络ASN1中新移动节点的验证,则验证器52-1可从AAA服务器42接收新HA-RK密钥和上下文。
利用图2中所示的方法,验证器52-1(和/或家庭代理48)能够动态管理在家庭代理和外部代理之间的隧道的安全关联,以减少HA-RK和/或FA-HA密钥的数目。
参照图1和2,在步骤S202,验证器52-1接收新生成的HA-RK密钥KEYNEW和关联的上下文。如上所述,验证器52-1服务于多个移动会话。每个会话在建立时被验证,并且结果,由验证器52-1验证了至少一些被服务的会话。在验证处理的结束,AAA服务器42分配用于会话的家庭代理48,并因此,可为相同验证器52-1处理的多个会话分配相同家庭代理48。由此,验证器52-1可接收HA-RK的新值,同时已经具有与为先前会话分配的相同家庭代理48通信的有效HA-RK。
返回图2,在步骤S204,验证器52-1确定与家庭代理48相关的活动HA-RK密钥KEYACT是否已经存在。验证器52-1通过检查与分配的HA关联的安全密钥来确定活动HA-RK密钥KEYACT是否已经与家庭代理48关联。这可通过例如解析用于存储与家庭代理标识符关联的安全密钥的存储器来进行。如果验证器52-1确定不存在与家庭代理48关联的现有HA-RK密钥(例如不存在活动密钥上下文KEYACT),则在步骤S206,激活新接收的HA-RK密钥KEYNEW,并使其成为HA-RK密钥KEYACT。将活动HA-RK密钥KEYACT用作生成FA-HA密钥的基础,直到活动HA-RK密钥KEYACT到期。
当经过了HA-RK密钥KEYACT的寿命时,活动HA-RK密钥KEYACT到期。HA-RK密钥的寿命是例如由AAA服务器42分配的经过定时器的最大值。一旦这个定时器结束,则基于HA-RK密钥的安全关联停止。
一旦在步骤S208,验证器52-1确定活动密钥Life_KEYACT的寿命到期,则在步骤S210,验证器52-1确定未决HA-RK密钥KEYPND是否存在。以下关于步骤S216、S220和S222更详细描述未决HA-RK密钥KEYPND。如果不存在未决HA-RK密钥KEYPND,则在步骤S212,验证器52-1弃用或删除在家庭代理48和外部代理44-1之间的安全关联。
返回至步骤S210,如果未决HA-RK密钥KEYPND存在,则在步骤S214,验证器52-1激活未决HA-RK密钥KEYPND,并且未决HA-RK密钥KEYPND成为活动HA-RK密钥KEYACT。然后,将活动HA-RK密钥KEYACT用作用于生成FA-HA密钥的基础,直到活动HA-RK密钥KEYACT到期。
返回至图2的步骤S204,如果验证器52-1确定活动HA-RK密钥KEYACT存在,则在步骤S216,验证器52-1确定新接收的HA-RK密钥KEYNEW是否将在活动HA-RK密钥KEYACT之前到期。验证器52-1通过将新接收的HA-RK密钥的寿命Life_KEYNEW与活动HA-RK密钥的寿命Life_KEYACT相比较来确定新接收的HA-RK密钥KEYNEW是否将在活动HA-RK密钥KEYACT之前到期。
如果活动HA-RK密钥的寿命Life_KEYACT在新接收的HA-RK密钥的寿命Life_KEYNEW之后延长(例如长于后者),则验证器52-1确定新接收的HA-RK密钥KEYNEW将在活动HA-RK密钥KEYACT之前到期。
如果验证器52-1确定新接收的HA-RK密钥KEYNEW将在活动HA-RK密钥KEYACT之前到期,则在步骤S218,验证器52-1忽略和丢弃新接收的HA-RK密钥KEYNEW。
返回至步骤S216,如果验证器52-1确定新接收的HA-RK密钥KEYNEW将不在活动HA-RK密钥KEYACT之前到期,则在步骤S220,验证器52-1确定用于家庭代理48的未决HA-RK密钥KEYPND是否已经存在。
如果未决HA-RK密钥KEYPND已经存在,则在步骤S222,验证器52-1确定新接收的HA-RK密钥KEYNEW是否将在未决HA-RK密钥KEYPND之前到期。验证器52-1通过关于步骤S216所述的方式确定新接收的HA-RK密钥KEYNEW是否将在未决HA-RK密钥KEYPND之前到期。
如果新接收的HA-RK密钥KEYNEW将在未决HA-RK密钥KEYPND之前到期,则在步骤S218,验证器52-1忽略和丢弃新接收的HA-RK密钥KEYNEW。
返回至步骤S222,如果验证器52-1确定未决HA-RK密钥KEYPND将在新接收的HA-RK密钥KEYNEW之前到期,则在步骤S224,验证器52-1用新接收的HA-RK密钥KEYNEW替换当前未决密钥HA-RK密钥KEYPND。然后,该处理进行至步骤S208,并如上所述继续。
返回至步骤S220,如果在验证器52-1处,用于家庭代理48的未决HA-RK密钥KEYPND不存在,则该处理进行至步骤S224,并如上所述继续。
在验证器52-2处也可通过与关于验证器52-1上述相同或基本相同的方式执行图2中所示的方法。也可在家庭代理48处执行类似方法。因为在家庭代理48处执行的方法基本类似于在验证器52-1处执行的方法,所以以下仅提供简单讨论。
再参照图1和2,在步骤S202,家庭代理48接收新生成的HA-RK密钥KEYNEW和关联的上下文。在步骤S204,家庭代理48确定活动HA-RK密钥KEYACT是否已经存在。家庭代理48通过关于验证器52-1上述相同方式确定活动HA-RK密钥KEYACT是否已经存在。
如果家庭代理48确定不存在现有HA-RK密钥,则在步骤S206,激活新接收的HA-RK密钥KEYNEW,并使其成为HA-RK密钥KEYACT。将活动HA-RK密钥KEYACT用作生成FA-HA密钥的基础,直到活动HA-RK密钥KEYACT到期。
一旦在步骤S208,家庭代理48确定活动密钥Life_KEYACT的寿命到期,则在步骤S210,家庭代理48确定未决HA-RK密钥KEYPND是否存在。
如果不存在未决HA-RK密钥KEYPND,则在步骤S212,家庭代理48弃用或删除其与外部代理44-1的安全关联。
返回至步骤S210,如果未决HA-RK密钥KEYPND存在,则在步骤S214,家庭代理48激活未决HA-RK密钥KEYPND,并且未决HA-RK密钥KEYPND成为活动HA-RK密钥KEYACT。然后,将活动HA-RK密钥KEYACT用作用于生成FA-HA密钥的基础,直到活动HA-RK密钥KEYACT到期。
返回至图2的步骤S204,如果家庭代理48确定活动HA-RK密钥KEYACT存在,则在步骤S216,家庭代理48确定新接收的HA-RK密钥KEYNEW是否将在活动HA-RK密钥KEYACT之前到期。
如果家庭代理48确定新接收的HA-RK密钥KEYNEW将在活动HA-RK密钥KEYACT之前到期,则在步骤S218,家庭代理48忽略和丢弃新接收的HA-RK密钥KEYNEW。
返回至步骤S216,如果家庭代理48确定新接收的HA-RK密钥KEYNEW将不在活动HA-RK密钥KEYACT之前到期,则在步骤S220,家庭代理48确定未决HA-RK密钥KEYPND是否已经存在。
如果未决HA-RK密钥KEYPND已经存在,则在步骤S222,则在步骤S222,家庭代理48确定新接收的HA-RK密钥KEYNEW是否将在未决HA-RK密钥KEYPND之前到期。家庭代理48通过关于步骤S216的上述方式确定新接收的HA-RK密钥KEYNEW是否将在未决HA-RK密钥KEYPND之前到期。
如果新接收的HA-RK密钥KEYNEW将在未决HA-RK密钥KEYPND之前到期,则在步骤S218,家庭代理48忽略和丢弃新接收的HA-RK密钥KEYNEW。
返回至步骤S222,如果家庭代理48确定未决HA-RK密钥KEYPND将在新接收的HA-RK密钥KEYNEW之前到期,则在步骤S224,家庭代理48用新接收的HA-RK密钥KEYNEW替换当前未决密钥HA-RK密钥KEYPND。然后,该处理进行至步骤S208,并如上所述继续。
返回至步骤S220,如果未决HA-RK密钥KEYPND不存在,则该处理进行至步骤S224,并如上所述继续。
使用上述示例性实施例,可减少在给定家庭代理和/或验证器处保留的HA-RK密钥和/或支持的隧道的数目。例如,通过利用这里公开的示例性实施例,如果存在对于M个验证器分配的HA-RK密钥和上下文的N个AAA服务器,则每个家庭代理维护至少(1×M)个HA-RK密钥和上下文。
尽管图2的方法包括接收步骤S202,但是可理解,家庭代理48或验证器52-1中的一个或多个可与AAA服务器或AAA功能共置,因此可自身生成HA-RK密钥KEYNEW。
由此描述本发明,显然地,相同的内容可通过许多方式改变。这些改变不认为脱离本发明,并且所有这些修改旨在包含在本发明的范围内。
Claims (10)
1.一种用于网络中的安全关联的动态管理的方法,所述方法包括:
在安全密钥管理实体处,基于现有活动安全密钥确定是否将新安全密钥用作活动安全密钥,所述新安全密钥和所述现有活动安全密钥中的每个与相同家庭代理关联,所述现有活动安全密钥用作所述家庭代理和至少一个其他网络元件之间的现有安全关联的基础。
2.如权利要求1所述的方法,还包括:
基于所述确定步骤应用或忽略所述新安全密钥。
3.如权利要求2所述的方法,其中如果所述现有活动安全密钥在所述新安全密钥之后到期,则忽略所述新安全密钥,所述方法还包括:
使用基于所述现有活动安全密钥生成的现有安全关联保护发送的或接收的数据。
4.如权利要求2所述的方法,其中如果所述现有活动安全密钥在所述新安全密钥之后到期,则忽略所述新安全密钥,所述方法还包括:
发送和接收数据中的至少一个,使用所述现有安全关联来保护所述数据。
5.如权利要求2所述的方法,其中如果所述新安全密钥在所述现有活动安全密钥之后到期,则应用所述新安全密钥,所述方法还包括:
发送和接收数据中的至少一个,使用基于所述新安全密钥生成的安全关联来保护所述数据。
6.如权利要求2所述的方法,其中如果所述新安全密钥在所述现有活动安全密钥之后到期,则应用所述新安全密钥,所述方法还包括:
使用基于所述新安全密钥生成的安全关联保护发送的或接收的数据。
7.如权利要求1所述的方法,还包括:
如果所述新安全密钥在所述现有活动安全密钥之后到期,则应用所述新安全密钥;以及
基于所述新安全密钥创建在所述家庭代理和所述至少一个其他网络元件之间的安全关联。
8.如权利要求2所述的方法,其中所述确定步骤包括:
将所述新安全密钥与所述现有活动安全密钥的生命到期时间相比较,以确定所述新安全密钥是否在所述现有活动安全密钥之后到期;以及其中
如果所述新安全密钥在所述现有活动安全密钥之后到期,则用所述新安全密钥替换所述现有活动安全密钥。
9.如权利要求8所述的方法,还包括:
基于所述新安全密钥创建在所述家庭代理和所述至少一个其他网络元件之间的安全关联。
10.如权利要求8所述的方法,还包括:
如果所述新安全密钥在所述现有活动安全密钥之前到期,则将所述新安全密钥与当前未决安全密钥的生命到期时间相比较,以确定所述新安全密钥是否在所述当前未决安全密钥之后到期;以及
如果所述新安全密钥在所述当前未决安全密钥之后到期,则用所述新安全密钥替换所述当前未决安全密钥。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US12/076,176 US8923811B2 (en) | 2008-03-14 | 2008-03-14 | Methods and apparatuses for dynamic management of security associations in a wireless network |
| US12/076,176 | 2008-03-14 | ||
| PCT/US2009/001392 WO2009114100A2 (en) | 2008-03-14 | 2009-03-04 | Methods and apparatuses for dynamic management of security associations in a wireless network |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101971596A true CN101971596A (zh) | 2011-02-09 |
| CN101971596B CN101971596B (zh) | 2017-09-01 |
Family
ID=41063572
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN200980108966.4A Expired - Fee Related CN101971596B (zh) | 2008-03-14 | 2009-03-04 | 在无线网络中的安全关联的动态管理的方法和装置 |
Country Status (6)
| Country | Link |
|---|---|
| US (1) | US8923811B2 (zh) |
| EP (1) | EP2255515B1 (zh) |
| JP (1) | JP2011515930A (zh) |
| KR (1) | KR101237479B1 (zh) |
| CN (1) | CN101971596B (zh) |
| WO (1) | WO2009114100A2 (zh) |
Families Citing this family (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP5044690B2 (ja) * | 2007-03-28 | 2012-10-10 | ノーテル・ネットワークス・リミテッド | Ipモビリティシステムのための動的な外部エージェント−ホーム・エージェント・セキュリティ・アソシエーション割当て |
| US9064132B1 (en) * | 2008-03-31 | 2015-06-23 | Symantec Operating Corporation | Method for writing hardware encrypted backups on a per set basis |
| KR101514840B1 (ko) * | 2008-06-11 | 2015-04-23 | 삼성전자주식회사 | 휴대 방송 시스템에서의 암호화 키 분배 방법 및 이를 위한시스템 |
| US8548467B2 (en) * | 2008-09-12 | 2013-10-01 | Qualcomm Incorporated | Ticket-based configuration parameters validation |
| US9148335B2 (en) | 2008-09-30 | 2015-09-29 | Qualcomm Incorporated | Third party validation of internet protocol addresses |
| WO2010071522A1 (en) * | 2008-12-19 | 2010-06-24 | Telefonaktiebolaget Lm Ericsson (Publ) | A method and arrangement for handling resource data |
| CN101800981A (zh) * | 2010-01-25 | 2010-08-11 | 上海华为技术有限公司 | 动态安全关联的管理方法及一种通讯实体 |
| US10263968B1 (en) * | 2015-07-24 | 2019-04-16 | Hologic Inc. | Security measure for exchanging keys over networks |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20030091013A1 (en) * | 2001-11-07 | 2003-05-15 | Samsung Electronics Co., Ltd. | Authentication method between mobile node and home agent in a wireless communication system |
| WO2004049672A2 (en) * | 2002-11-22 | 2004-06-10 | Cisco Technology, Inc. | Methods and apparatus for dynamic session key generation and rekeying in mobile ip |
| CN1553600A (zh) * | 2003-05-29 | 2004-12-08 | 华为技术有限公司 | 一种共享密钥更新的方法 |
| WO2006135217A1 (en) * | 2005-06-16 | 2006-12-21 | Samsung Electronics Co., Ltd. | System and method for otimizing tunnel authentication procedure over a 3g-wlan interworking system |
Family Cites Families (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP0951767A2 (en) * | 1997-01-03 | 1999-10-27 | Fortress Technologies, Inc. | Improved network security device |
| JP2007060466A (ja) | 2005-08-26 | 2007-03-08 | Fuji Xerox Co Ltd | 証明書管理装置、プログラム、方法 |
| US7561692B2 (en) | 2006-02-27 | 2009-07-14 | Alvarion Ltd. | Method of authenticating mobile terminal |
| US8347077B2 (en) | 2006-05-04 | 2013-01-01 | Cisco Technology, Inc. | Authenticating a registration request with a mobility key provided to an authenticator |
| US8447981B2 (en) | 2006-05-24 | 2013-05-21 | Huawei Technologies Co., Ltd. | Method and system for generating and distributing mobile IP security key after re-authentication |
| ATE543298T1 (de) | 2006-06-20 | 2012-02-15 | Alcatel Lucent | Wimax-netz, wimax-netzelement und eine verfahrensweise der behandlung der dienstleistungsqualität |
| DE102006038037A1 (de) * | 2006-08-14 | 2008-02-21 | Siemens Ag | Verfahren und System zum Bereitstellen eines zugangsspezifischen Schlüssels |
| CN101227458B (zh) * | 2007-01-16 | 2011-11-23 | 华为技术有限公司 | 移动ip系统及更新家乡代理根密钥的方法 |
-
2008
- 2008-03-14 US US12/076,176 patent/US8923811B2/en not_active Expired - Fee Related
-
2009
- 2009-03-04 WO PCT/US2009/001392 patent/WO2009114100A2/en active Application Filing
- 2009-03-04 CN CN200980108966.4A patent/CN101971596B/zh not_active Expired - Fee Related
- 2009-03-04 KR KR1020107020218A patent/KR101237479B1/ko active IP Right Grant
- 2009-03-04 JP JP2010550677A patent/JP2011515930A/ja active Pending
- 2009-03-04 EP EP09719977.2A patent/EP2255515B1/en not_active Not-in-force
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20030091013A1 (en) * | 2001-11-07 | 2003-05-15 | Samsung Electronics Co., Ltd. | Authentication method between mobile node and home agent in a wireless communication system |
| WO2004049672A2 (en) * | 2002-11-22 | 2004-06-10 | Cisco Technology, Inc. | Methods and apparatus for dynamic session key generation and rekeying in mobile ip |
| CN1553600A (zh) * | 2003-05-29 | 2004-12-08 | 华为技术有限公司 | 一种共享密钥更新的方法 |
| WO2006135217A1 (en) * | 2005-06-16 | 2006-12-21 | Samsung Electronics Co., Ltd. | System and method for otimizing tunnel authentication procedure over a 3g-wlan interworking system |
Also Published As
| Publication number | Publication date |
|---|---|
| KR101237479B1 (ko) | 2013-02-26 |
| EP2255515B1 (en) | 2018-01-03 |
| JP2011515930A (ja) | 2011-05-19 |
| KR20100117663A (ko) | 2010-11-03 |
| WO2009114100A2 (en) | 2009-09-17 |
| US8923811B2 (en) | 2014-12-30 |
| US20090233578A1 (en) | 2009-09-17 |
| WO2009114100A3 (en) | 2010-03-18 |
| EP2255515A2 (en) | 2010-12-01 |
| CN101971596B (zh) | 2017-09-01 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US7298847B2 (en) | Secure key distribution protocol in AAA for mobile IP | |
| JP5933259B2 (ja) | ワイヤレス通信ネットワークでのトラフィック暗号鍵生成 | |
| US9445272B2 (en) | Authentication in heterogeneous IP networks | |
| JP4723158B2 (ja) | パケット・データ・ネットワークにおける認証方法 | |
| CN1534921B (zh) | 用于独立网络间的公共认证和授权的方法 | |
| US9686669B2 (en) | Method of configuring a mobile node | |
| CN101971596A (zh) | 在无线网络中的安全关联的动态管理的方法和装置 | |
| EP2939391B1 (en) | Method and system for secure network access | |
| US20080026724A1 (en) | Method for wireless local area network user set-up session connection and authentication, authorization and accounting server | |
| US9043599B2 (en) | Method and server for providing a mobility key | |
| JP2009509463A (ja) | 状態転送のためにモバイルノードを利用するための方法および装置 | |
| CN101356759A (zh) | 安全密钥材料的基于令牌的分布式生成 | |
| US20040157585A1 (en) | Mobile communication network system and mobile terminal authentication method | |
| US20040066764A1 (en) | System and method for resource authorizations during handovers | |
| JP2011511519A (ja) | モバイルipネットワークにおけるルート最適化 | |
| CN116546491A (zh) | 在通信网络中用于与服务应用的加密通信的锚密钥生成和管理的方法、设备和系统 | |
| CN102150447A (zh) | 用于在wimax网络环境中供应流的系统和方法 | |
| CN109792787A (zh) | 一种建立公用数据网连接的方法及相关设备 | |
| JP4468449B2 (ja) | セキュアハンドオーバをサポートする方法および装置 | |
| Lim et al. | Reducing communication overhead for nested NEMO networks: Roaming authentication and access control structure | |
| CN114946153A (zh) | 与服务应用进行加密通信的通信网络中的应用密钥生成与管理的方法、设备及系统 | |
| CN101447978B (zh) | 在WiMAX网络中拜访AAA服务器获取正确的HA-RK Context的方法 | |
| EP3454583B1 (en) | Network connection method, and secure node determination method and device | |
| US9871793B2 (en) | Diameter signaling for mobile IPv4 | |
| Liu et al. | The untrusted handover security of the S-PMIPv6 on LTE-A |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20170901 Termination date: 20200304 |