專利名稱:用于提供移動(dòng)性密鑰的方法和服務(wù)器的制作方法
用于提供移動(dòng)性密鑰的方法和服務(wù)器
本發(fā)明涉及用于為移動(dòng)無(wú)線電網(wǎng)絡(luò)的歸屬代理提供用以對(duì)移動(dòng)性 信令消息進(jìn)行密碼保護(hù)的移動(dòng)性密鑰的方法和代理服務(wù)器。
利用TCP/IP協(xié)議的因特網(wǎng)為開(kāi)發(fā)移動(dòng)領(lǐng)域的更高協(xié)議而提供平 臺(tái)���。因?yàn)橐蛱鼐W(wǎng)協(xié)議廣泛普及����,所以可以利用用于移動(dòng)環(huán)境的相應(yīng)協(xié) 議擴(kuò)展來(lái)開(kāi)辟?gòu)V大的用戶圈��。但常規(guī)的因特網(wǎng)協(xié)議最初并非針對(duì)移動(dòng) 應(yīng)用被構(gòu)思的��。在常規(guī)因特網(wǎng)的分組交換中�����,所述分組在固定的計(jì)算 機(jī)之間被交換��,所述固定的計(jì)算機(jī)既不改變其網(wǎng)絡(luò)地址���,又不在不同 的子網(wǎng)之間移動(dòng)��。在具有移動(dòng)計(jì)算機(jī)的無(wú)線電網(wǎng)絡(luò)中���,移動(dòng)計(jì)算機(jī)MS 經(jīng)常被內(nèi)連到不同的網(wǎng)絡(luò)中���。DHCP(動(dòng)態(tài)主機(jī)配置協(xié)議(Dynamic Host Configuration Protocol))允許借助相應(yīng)的服務(wù)器將IP地址和其它配置 參數(shù)動(dòng)態(tài)地分配給網(wǎng)絡(luò)中的計(jì)算機(jī)。內(nèi)連到網(wǎng)絡(luò)中的計(jì)算機(jī)通過(guò)DHCP 協(xié)議自動(dòng)地被分配得到自由的IP地址����。如果移動(dòng)計(jì)算機(jī)已安裝了 DHCP,則該移動(dòng)計(jì)算機(jī)只須進(jìn)入通過(guò)DHCP協(xié)議支持配置的本地網(wǎng)絡(luò) 的有效范圍內(nèi)。在DHCP協(xié)議情況下�,動(dòng)態(tài)的地址分配是可能的,也就 是i兌����,對(duì)于確定的時(shí)間����,自由的IP地址自動(dòng)地被分配。在經(jīng)過(guò)所述時(shí) 間之后��,必須由移動(dòng)計(jì)算機(jī)重新提出詢問(wèn)或者可以以其它方式分配IP 地址�����。
利用DHCP�����,移動(dòng)計(jì)算機(jī)在無(wú)需手動(dòng)配置的情況下可以被內(nèi)連到網(wǎng) 絡(luò)中。作為前提條件����,僅僅DHCP服務(wù)器必須可供使用。因此移動(dòng)計(jì)算 機(jī)可以使用本地網(wǎng)絡(luò)服務(wù)并且例如可使用在中央所存儲(chǔ)的文件�。但如 果移動(dòng)計(jì)算機(jī)自身提供服務(wù),則潛在的服務(wù)用戶不能找到該移動(dòng)計(jì)算 機(jī)��,因?yàn)樵撘苿?dòng)計(jì)算機(jī)的IP地址在該移動(dòng)計(jì)算機(jī)所內(nèi)連到的每個(gè)網(wǎng)絡(luò) 中都發(fā)生變化�����。如果IP地址在已有的TCP連接期間改變��,則同樣的情 況發(fā)生��。這導(dǎo)致連接中斷�����。因此在移動(dòng)IP的情況下����,移動(dòng)計(jì)算機(jī)被分 配得到該移動(dòng)計(jì)算機(jī)也保留在另一網(wǎng)絡(luò)中的IP地址。在常規(guī)的IP網(wǎng)絡(luò) 轉(zhuǎn)變的情況下����,需要相應(yīng)地匹配IP地址設(shè)定��。但在終端設(shè)備上的IP和 路由配置的持續(xù)匹配幾乎無(wú)法手動(dòng)實(shí)現(xiàn)�。在常規(guī)的自動(dòng)配置機(jī)制情況 下���,已有的連接在IP地址轉(zhuǎn)變時(shí)被中斷���。MIP協(xié)議(RFC 2002、 RFC 2977�、 RFC 3344、 RFC 3846��、 RFC 3957�����、 RFC 3775����、 RFC 3776�����、 RFC4285)支持移動(dòng)終端設(shè)備的移動(dòng)性。在常規(guī)的IP協(xié)議的情況下����,移動(dòng) 終端設(shè)備在每次轉(zhuǎn)變IP子網(wǎng)時(shí)必須匹配其IP地址,以便正確地對(duì)向移 動(dòng)終端設(shè)備尋址的數(shù)據(jù)分組進(jìn)行路由��。為了維持已有的TCP連接�,移 動(dòng)終端設(shè)備必須保持其IP地址,因?yàn)榈刂忿D(zhuǎn)變導(dǎo)致連接中斷��。MIP協(xié) 議通過(guò)允許移動(dòng)終端設(shè)備或移動(dòng)節(jié)點(diǎn)(MN)具有兩個(gè)IP地址而消除這 種沖突����。MIP協(xié)i義可以實(shí)現(xiàn)在兩個(gè)地址、即永久歸屬地址 (Home-Adresse )和笫二臨時(shí)轉(zhuǎn)交地址(Care-of-Adresse )之間的透 明連接����。轉(zhuǎn)交地址是IP地址,其中在該IP地址下���,移動(dòng)終端設(shè)備當(dāng)前 是可達(dá)的�����。
只要移動(dòng)終端設(shè)備不停留在最初的歸屬網(wǎng)絡(luò)中����,則歸屬代理 (Home Agent)是移動(dòng)終端設(shè)備的代理(Stellvertreter )。歸屬代理 持續(xù)地被通知關(guān)于移動(dòng)計(jì)算機(jī)的當(dāng)前停留位置��。歸屬代理通常是移動(dòng) 終端設(shè)備的歸屬網(wǎng)絡(luò)中的路由器的組件�����。如果移動(dòng)終端設(shè)備處于歸屬 網(wǎng)絡(luò)之外��,則歸屬代理提供一種功能��,以便移動(dòng)終端設(shè)備可以登錄�。 于是歸屬代理將向移動(dòng)終端設(shè)備尋址的數(shù)據(jù)分組轉(zhuǎn)發(fā)至移動(dòng)終端設(shè)備 的當(dāng)前子網(wǎng)中。
外部代理(Foreign Agent)處于子網(wǎng)中��,其中所述移動(dòng)終端設(shè)備 在所述子網(wǎng)中移動(dòng)����。外部代理將到達(dá)的數(shù)據(jù)分組轉(zhuǎn)發(fā)至移動(dòng)終端設(shè)備 或移動(dòng)計(jì)算機(jī)����。外部代理處于所謂的外部網(wǎng)絡(luò)(受訪網(wǎng)絡(luò)(Visited Network))中。外部代理同樣通常是路由器的組件��。外部代理在移動(dòng) 終端設(shè)備與其歸屬代理之間路由所有管理性移動(dòng)數(shù)據(jù)分組。外部代理 對(duì)由歸屬代理以隧道方式(getunnelt)所發(fā)送的IP數(shù)據(jù)分組進(jìn)行解包����, 并將其數(shù)據(jù)轉(zhuǎn)發(fā)至移動(dòng)終端設(shè)備。
移動(dòng)終端設(shè)備的歸屬地址是以下地址����,其中所述移動(dòng)終端設(shè)備在 該地址下永久可達(dá)。歸屬地址具有與歸屬代理相同的地址前綴�。轉(zhuǎn)交
地址是移動(dòng)終端設(shè)備在外部網(wǎng)絡(luò)中所使用的該IP地址。
歸屬代理維護(hù)所謂的移動(dòng)性綁定表(MBT: Mobility Binding Table)��。所述表中的項(xiàng)用于相互分配移動(dòng)終端設(shè)備的兩個(gè)地址����、即歸 屬地址和轉(zhuǎn)交地址,并相應(yīng)地轉(zhuǎn)移數(shù)據(jù)分組�����。MBT表含有關(guān)于歸屬地 址����、轉(zhuǎn)交地址的項(xiàng)和關(guān)于所述分配有效的時(shí)間間隔(壽命)的i兌明。 圖l示出根據(jù)現(xiàn)有技術(shù)的移動(dòng)性綁定表的實(shí)例。
外部代理(FA)含有訪客列表(VL: Visitor List)���,該訪客列表含有關(guān)于恰好處于外部代理的IP網(wǎng)絡(luò)中的移動(dòng)終端設(shè)備的信息�����。圖2示 出根據(jù)現(xiàn)有技術(shù)的這種訪客列表的實(shí)例�。
為了可以將移動(dòng)計(jì)算機(jī)內(nèi)連到網(wǎng)絡(luò)中�����,所述移動(dòng)計(jì)算機(jī)必須首先 設(shè)法知道所述移動(dòng)計(jì)算機(jī)是處于其歸屬網(wǎng)絡(luò)中還是外部網(wǎng)絡(luò)中�����。移 動(dòng)終端設(shè)備還必須設(shè)法知道子網(wǎng)中的哪個(gè)計(jì)算機(jī)是歸屬代理或外部代 理�����。這些信息通過(guò)所謂的代理發(fā)現(xiàn)(Agent Discovery)來(lái)確定�。
通過(guò)隨后的注冊(cè),移動(dòng)終端設(shè)備可以將其當(dāng)前所在地通知給其歸 屬代理�。為此,移動(dòng)計(jì)算機(jī)或移動(dòng)終端設(shè)備將當(dāng)前的轉(zhuǎn)交地址發(fā)送給 歸屬代理����。為了注冊(cè),移動(dòng)計(jì)算機(jī)將注冊(cè)請(qǐng)求(Registration-Request) 發(fā)送至歸屬代理��。歸屬代理(HA)將轉(zhuǎn)交地址記錄到其列表中�,并利 用注冊(cè)應(yīng)答(Registration Reply)來(lái)應(yīng)答。但在這種情況下產(chǎn)生安全 問(wèn)題��。因?yàn)樵瓌t上每個(gè)計(jì)算機(jī)都可以向歸屬代理發(fā)送注冊(cè)請(qǐng)求����,所以 可以以簡(jiǎn)單的方式給歸屬代理假象計(jì)算機(jī)已移動(dòng)到另一網(wǎng)絡(luò)中。因
此外部計(jì)算機(jī)可能會(huì)在發(fā)送器不知情的情況下接受移動(dòng)計(jì)算機(jī)或移動(dòng) 終端設(shè)備的所有數(shù)據(jù)分組����。為了防止這一點(diǎn),移動(dòng)計(jì)算機(jī)和歸屬代理 具有公共秘密密鑰��。如果移動(dòng)計(jì)算機(jī)返回到其歸屬網(wǎng)絡(luò)中�����,則該移動(dòng) 計(jì)算機(jī)在歸屬代理處注銷�����,因?yàn)橐苿?dòng)計(jì)算機(jī)從現(xiàn)在起可以自身接受所 有的數(shù)據(jù)分組。移動(dòng)無(wú)線電網(wǎng)絡(luò)此外必須具有如下安全性特性�。只允 許針對(duì)所希望的通信方訪問(wèn)信息,也就是說(shuō)�,所不希望的竊聽(tīng)者不允 許訪問(wèn)所傳輸?shù)臄?shù)據(jù)。因此移動(dòng)無(wú)線電網(wǎng)絡(luò)必須具有機(jī)密性 (Confidentiality)特性�。此外必須存在真實(shí)性。真實(shí)性(Authenticity) 允許通信方毫無(wú)疑問(wèn)地確定�,是否實(shí)際上建立了與所希望的通信方的 通信,或者是否外部方冒充通信方�。可以對(duì)每個(gè)消息或每個(gè)連接執(zhí)行 鑒權(quán)�����。如果基于連接被鑒權(quán)����,則在通信方開(kāi)始會(huì)話(Session)時(shí)只被 識(shí)別一次。于是對(duì)于會(huì)話的繼續(xù)過(guò)程來(lái)說(shuō)認(rèn)為����,隨后的消息繼續(xù)來(lái)自 于相應(yīng)的發(fā)送器。即使通信方的標(biāo)識(shí)(Identity)確定了 �����,也就是說(shuō), 通信方被鑒權(quán)�,也可能出現(xiàn)以下情況該通信方不允許訪問(wèn)所有的資 源或者不允許使用所有關(guān)于網(wǎng)絡(luò)的服務(wù)。在這種情況下����,相應(yīng)的授權(quán) 以先前對(duì)通信方的鑒權(quán)為前提��。
在移動(dòng)數(shù)據(jù)網(wǎng)絡(luò)的情況下��,消息必須經(jīng)由空中接口經(jīng)過(guò)較長(zhǎng)的路 段�,并且因此對(duì)于潛在的攻擊者來(lái)說(shuō)是輕易可達(dá)的,因此在移動(dòng)的和 無(wú)線的數(shù)據(jù)網(wǎng)絡(luò)的情況下��,安全性方面起特殊的作用����。用于提高數(shù)據(jù)網(wǎng)絡(luò)中的安全性的重要手段是加密技術(shù)。通過(guò)加密能夠經(jīng)由不安全的 通信通路���、例如經(jīng)由空中接口傳輸數(shù)據(jù)�����,而不使未被授權(quán)的第三方訪
問(wèn)數(shù)據(jù)���。為了加密�����,數(shù)據(jù)�、即所謂的明碼文本(Klartext)借助于加密 算法被轉(zhuǎn)換成密碼文本����。經(jīng)加密的文本可以經(jīng)由不安全的數(shù)據(jù)傳輸信 道傳輸并且接著被解密或譯解。
作為大有希望的無(wú)線接入技術(shù)�,建議WiMax (全球微波接入互操 作性)作為新標(biāo)準(zhǔn),該新標(biāo)準(zhǔn)為無(wú)線電傳輸而使用IEEE 802.16,在 WiMax的情況下��,利用發(fā)送站應(yīng)該將超過(guò)每秒100Mbit的數(shù)據(jù)速率供應(yīng) 給高達(dá)50km的范圍���。
圖3示出WiMax無(wú)線電網(wǎng)絡(luò)的參考模型���。移動(dòng)終端設(shè)備MS位于接 入網(wǎng)絡(luò)(ASN:接入服務(wù)網(wǎng)絡(luò)(Access Serving Network))的范圍內(nèi)。 接入網(wǎng)絡(luò)ASN通過(guò)至少一個(gè)受訪網(wǎng)絡(luò)(受訪連接性服務(wù)網(wǎng)絡(luò)VCSN (Visited Connectivity Service Network ))或中間網(wǎng)絡(luò)與歸屬網(wǎng)絡(luò) HCSN (歸屬連接性服務(wù)網(wǎng)絡(luò)(Home Connectivity Service Network)) 相連接����。不同的網(wǎng)絡(luò)通過(guò)接口或參考點(diǎn)R相互連接。移動(dòng)站MS的歸屬 代理HA位于歸屬網(wǎng)絡(luò)HCSN中或者受訪網(wǎng)絡(luò)VCSN之一 中����。
WiMax支持移動(dòng)IP的兩種實(shí)現(xiàn)變型方案所謂的客戶端MIP (CMIP)和代理MIP (PMIP),其中在所述客戶端MIP中��,移動(dòng)站 自身實(shí)現(xiàn)MIP客戶端功能��,在所述代理MIP中��,MIP客戶端功能通過(guò) WiMax接入網(wǎng)絡(luò)來(lái)實(shí)現(xiàn)。為此設(shè)置在ASN中的功能性稱為代理移動(dòng)節(jié) 點(diǎn)(PMN��, Proxy Mobile Node)或PMIP客戶端���。由此還可以利用本身 不支持MIP的移動(dòng)站來(lái)使用MIP �����。
圖4示出根據(jù)現(xiàn)有技術(shù)在歸屬代理處于受訪網(wǎng)絡(luò)中時(shí)在代理MIP 情況下的連接建立�。
當(dāng)在移動(dòng)終端設(shè)備和基站之間建立無(wú)線電連接之后����,首先進(jìn)行接 入鑒權(quán)。鑒權(quán)�����、授權(quán)和計(jì)賬的功能借助于所謂的AAA服務(wù)器(AAA: 鑒權(quán)、授權(quán)和計(jì)費(fèi))來(lái)實(shí)現(xiàn)����。在移動(dòng)終端設(shè)備MS和歸屬網(wǎng)絡(luò)的AAA服 務(wù)器(HAAA)之間交換鑒權(quán)消息,借助于所述鑒權(quán)消息得到歸屬代理 的地址和鑒權(quán)密鑰�����。歸屬網(wǎng)絡(luò)中的鑒權(quán)服務(wù)器含有用戶的配置文件數(shù) 據(jù)(Profildaten ) ��。 AAA服務(wù)器獲得鑒權(quán)詢問(wèn)消息���,所述鑒權(quán)詢問(wèn)消息 含有移動(dòng)終端設(shè)備的用戶標(biāo)識(shí)�����。在接入鑒權(quán)成功之后����,AAA服務(wù)器產(chǎn) 生MSK密鑰(MSK:主會(huì)話密鑰(Master Session Key))用于保護(hù)移動(dòng)終端設(shè)備MS和接入網(wǎng)絡(luò)ASN的基站之間的數(shù)據(jù)傳輸路段�����。所述MSK 密鑰從歸屬網(wǎng)絡(luò)的AAA服務(wù)器通過(guò)中間網(wǎng)絡(luò)CSN被傳輸至接入網(wǎng)絡(luò) ASN�����。
如在圖4中可見(jiàn),在接入鑒權(quán)之后配置接入網(wǎng)絡(luò)ASN中的DHCP代 理服務(wù)器����。如果IP地址和主機(jī)配置已經(jīng)包含在AAA應(yīng)答消息中,則將 整個(gè)信息下載到DHCP代理服務(wù)器中���。
在成功鑒權(quán)和授權(quán)之后��,移動(dòng)站或移動(dòng)終端設(shè)備MS發(fā)送DHCP發(fā) 現(xiàn)消息并進(jìn)行IP地址分配����。
如果接入網(wǎng)絡(luò)ASN既支持PMIP�、又支持CMIP移動(dòng)性�����,則外部代 理通知ASN切換(Handover)功能����,其方式是,所述接入網(wǎng)絡(luò)ASN發(fā) 送R3移動(dòng)性上下文消息��。在只支持PMIP的網(wǎng)絡(luò)的情況下,可以省去此 點(diǎn)�。在讀出歸屬地址之后,該歸屬地址孝皮轉(zhuǎn)發(fā)至PMIP客戶端��。
接下來(lái)進(jìn)行MIP注冊(cè)�����。在注冊(cè)時(shí)���,將移動(dòng)終端設(shè)備的當(dāng)前所在地 通知給歸屬代理�。為了注冊(cè)����,移動(dòng)計(jì)算機(jī)將含有當(dāng)前的轉(zhuǎn)交地址的注 冊(cè)請(qǐng)求發(fā)送至歸屬代理。歸屬代理將轉(zhuǎn)交地址記錄到由其所管理的列 表中���,并利用注冊(cè)應(yīng)答(Registration R印ley)來(lái)應(yīng)答���。因?yàn)樵瓌t上每 個(gè)計(jì)算機(jī)都可以向歸屬代理發(fā)送注冊(cè)請(qǐng)求,所以可以以簡(jiǎn)單的方式給
歸屬代理假象計(jì)算機(jī)已移動(dòng)到另一網(wǎng)絡(luò)中�。為了防止這一點(diǎn),不僅 移動(dòng)計(jì)算機(jī)而且歸屬代理都具有公共秘密密鑰、即MIP密鑰�。如果歸 屬代理(HA)不認(rèn)識(shí)MIP密鑰,則所述歸屬代理設(shè)立所述MIP密鑰����,為 此所述歸屬代理與歸屬AAA服務(wù)器通信。
在圖4中所示的連接建立結(jié)束之后�,移動(dòng)終端設(shè)備已獲得歸屬地址 并在歸屬代理處注冊(cè)。
但如果歸屬AAA服務(wù)器不提供由WiMax協(xié)議所期望的屬性或數(shù) 據(jù)�����,則圖4中所示的連接建立是不可能的���。如果歸屬AAA服務(wù)器例如是 3GPP服務(wù)器或者不支持WiMax交互工作的其它AAA服務(wù)器�����,則該歸屬 AAA服務(wù)器不能夠提供對(duì)于MIP注冊(cè)所必需的數(shù)據(jù)屬性、特別是歸屬 地址和密碼密鑰�。因此歸屬代理HA不獲得MIP密鑰(MSK:主會(huì)話密 鑰)并拒絕用戶。
因此本發(fā)明的任務(wù)在于�����,提出一種用于為移動(dòng)無(wú)線電網(wǎng)絡(luò)提供移 動(dòng)性密鑰的方法,其中歸屬網(wǎng)絡(luò)的鑒權(quán)服務(wù)器不支持MIP注冊(cè)����。
根據(jù)本發(fā)明,所述任務(wù)通過(guò)具有在權(quán)利要求l中所說(shuō)明的特征的方法得以解決�。
本發(fā)明提出 一種用于為歸屬代理提供至少 一個(gè)用以對(duì)移動(dòng)性信令
消息進(jìn)行密碼保護(hù)的移動(dòng)性密鑰的方法,該方法具有如下步驟���,即
-在移動(dòng)用戶終端設(shè)備和接入網(wǎng)絡(luò)之間建立無(wú)線電連接�,其中中 間網(wǎng)絡(luò)的用于對(duì)用戶進(jìn)行鑒權(quán)的鑒權(quán)代理服務(wù)器在所述接入網(wǎng)絡(luò)和用 戶的歸屬網(wǎng)絡(luò)之間轉(zhuǎn)發(fā)含有用戶標(biāo)識(shí)的至少一個(gè)鑒權(quán)消息���,且在鑒權(quán) 成功時(shí)通過(guò)所述歸屬網(wǎng)絡(luò)的鑒權(quán)服務(wù)器分別存儲(chǔ)用戶標(biāo)識(shí)�����;
-通過(guò)所述歸屬代理接收來(lái)自于用戶終端設(shè)備的含有用戶標(biāo)識(shí)的 注冊(cè)詢問(wèn)消息�����;
-將移動(dòng)性密鑰的密鑰詢問(wèn)消息從所述歸屬代理發(fā)送至所屬的鑒 權(quán)代理服務(wù)器�,其中所述密鑰詢問(wèn)消息含有在所述注冊(cè)詢問(wèn)消息中所 包含的用戶標(biāo)識(shí)�;和
-如果在所述密鑰詢問(wèn)消息中所含有的用戶標(biāo)識(shí)與通過(guò)所述鑒權(quán) 代理服務(wù)器所存儲(chǔ)的用戶標(biāo)識(shí)之——致,則通過(guò)所述鑒權(quán)代理服務(wù)器 為所述歸屬代理提供移動(dòng)性密鑰����。
在本發(fā)明方法的一種優(yōu)選實(shí)施形式中���,通過(guò)所述鑒權(quán)代理服務(wù)器 以隨機(jī)的方式產(chǎn)生所述移動(dòng)性密鑰。
在本發(fā)明方法的一種優(yōu)選實(shí)施形式中���,在鑒權(quán)成功時(shí)����,所述歸屬 網(wǎng)絡(luò)的鑒權(quán)服務(wù)器經(jīng)由所述鑒權(quán)代理服務(wù)器將在鑒權(quán)消息中所含有的 MSK密鑰傳輸至所述接入網(wǎng)絡(luò)的鑒權(quán)客戶端�。
在本發(fā)明方法的一種替代實(shí)施形式中,所述移動(dòng)性密鑰不是通過(guò) 所述鑒權(quán)代理服務(wù)器隨機(jī)產(chǎn)生���,而是通過(guò)所述鑒權(quán)代理服務(wù)器從所傳 輸?shù)腗SK密鑰中導(dǎo)出�����。
在本發(fā)明方法的一種實(shí)施形式中����,所述移動(dòng)性密鑰形成所傳輸?shù)?MSK密鑰的一部分�。
在本發(fā)明方法的一種替代實(shí)施形式中�����,所述移動(dòng)性密鑰與所傳輸 的MSK密鑰相同。
在本發(fā)明方法的一種實(shí)施形式中����,根據(jù)半徑數(shù)據(jù)傳輸協(xié)議來(lái)傳輸 所述鑒權(quán)消息。
在本發(fā)明方法的一種替代實(shí)施形式中�,根據(jù)直徑數(shù)據(jù)傳輸協(xié)議來(lái) 傳輸所述鑒權(quán)消息。
在本發(fā)明方法的一種優(yōu)選實(shí)施形式中���,所述接入網(wǎng)絡(luò)由WiMax接入網(wǎng)絡(luò)ASN構(gòu)成�����。
在本發(fā)明方法的一種優(yōu)選實(shí)施形式中��,所述中間網(wǎng)絡(luò)由WiMax中 間網(wǎng)絡(luò)CSN構(gòu)成���。
在本發(fā)明方法的第一實(shí)施形式中,所述歸屬網(wǎng)絡(luò)是3GPP網(wǎng)絡(luò)��。
在本發(fā)明方法的一種替代實(shí)施形式中��,所述歸屬網(wǎng)絡(luò)由為WLAN 用戶提供AAA基礎(chǔ)設(shè)施的網(wǎng)絡(luò)(WLAN網(wǎng)絡(luò))構(gòu)成�。
在本發(fā)明方法的一種優(yōu)選實(shí)施形式中�����,所述用戶標(biāo)識(shí)由網(wǎng)絡(luò)接入 標(biāo)識(shí)符NAI (網(wǎng)絡(luò)接入標(biāo)識(shí)符(Network Access Identifier ))構(gòu)成�����。
在本發(fā)明方法的一種替代實(shí)施形式中����,所述用戶標(biāo)識(shí)由用戶的歸 屬地址構(gòu)成����。
在本發(fā)明方法的一種優(yōu)選實(shí)施形式中,所述移動(dòng)性密鑰還被提供 給所述接入網(wǎng)絡(luò)的PMIP客戶端����。
在本發(fā)明方法的一種優(yōu)選實(shí)施形式中,多個(gè)中間網(wǎng)絡(luò)位于所述接 入網(wǎng)絡(luò)和所述歸屬網(wǎng)絡(luò)之間�����。
在本發(fā)明方法的第一實(shí)施形式中���,所述歸屬代理位于所述歸屬網(wǎng) 絡(luò)中����。
在本發(fā)明方法的一種替代實(shí)施形式中����,所述歸屬代理位于所述中 間網(wǎng)絡(luò)之一中。
在本發(fā)明方法的第一實(shí)施形式中�����,所述鑒權(quán)代理服務(wù)器設(shè)置在所 述歸屬網(wǎng)絡(luò)中���。
在本發(fā)明方法的一種替代實(shí)施形式中�,所述鑒權(quán)代理服務(wù)器設(shè)置 在所述中間網(wǎng)絡(luò)之一 中��。
本發(fā)明還提出一種用于提供移動(dòng)性密鑰用以對(duì)移動(dòng)性信令消息進(jìn) 行密碼保護(hù)的鑒權(quán)代理服務(wù)器����,其中在對(duì)用戶成功鑒權(quán)之后,所述鑒 權(quán)代理服務(wù)器分別存儲(chǔ)其用戶標(biāo)識(shí)且如果在所述密鑰詢問(wèn)消息中所含 有的用戶標(biāo)識(shí)與所存儲(chǔ)的用戶標(biāo)識(shí)之——致�,則在從歸屬代理接收到 移動(dòng)性密鑰的密鑰詢問(wèn)消息之后提供移動(dòng)性密鑰。
為了闡述本發(fā)明主要特征�,下面參照
本發(fā)明方法和本發(fā) 明鑒權(quán)代理服務(wù)器的優(yōu)選實(shí)施形式。
圖l示出根據(jù)現(xiàn)有技術(shù)的移動(dòng)性綁定表的實(shí)例���;
圖2示出根據(jù)現(xiàn)有技術(shù)的訪客列表的實(shí)例����;
圖3示出WiMax無(wú)線電網(wǎng)絡(luò)的參考網(wǎng)絡(luò)結(jié)構(gòu);圖4示出在根據(jù)現(xiàn)有技術(shù)的常規(guī)WiMax網(wǎng)絡(luò)中的連接建立��; 圖5示出根據(jù)本發(fā)明方法的優(yōu)選實(shí)施形式的網(wǎng)絡(luò)結(jié)構(gòu)����; 圖6示出用于說(shuō)明本發(fā)明方法的工作方式的流程圖; 圖7示出用于說(shuō)明本發(fā)明方法的工作方式的另一流程圖�; 圖8示出用于說(shuō)明本發(fā)明方法的工作方式的圖。 如由圖5可見(jiàn)��,移動(dòng)終端設(shè)備1通過(guò)無(wú)線接口2與接入網(wǎng)絡(luò)4的基站3 連接�。移動(dòng)終端設(shè)備l是任意的移動(dòng)終端設(shè)備,例如膝上型電腦�����、PDA�����、 移動(dòng)電話或者其它移動(dòng)終端設(shè)備�����。接入網(wǎng)絡(luò)4的基站3通過(guò)數(shù)據(jù)傳輸線 路5與接入網(wǎng)絡(luò)網(wǎng)關(guān)6連接。在接入網(wǎng)關(guān)計(jì)算機(jī)6中優(yōu)選地集成有其它功 能性�����,特別是外部代理6A�����、 PMIP客戶端6B���、 AAA客戶端服務(wù)器6C和 DHCP代理服務(wù)器6D。外部代理6A是為移動(dòng)終端設(shè)備1提供路由服務(wù)的 路由器���。對(duì)準(zhǔn)移動(dòng)終端設(shè)備l的數(shù)據(jù)分組以隧道方式傳輸且被外部代理 6A解包(entpacken )�����。
接入網(wǎng)絡(luò)4的網(wǎng)關(guān)6通過(guò)接口7與中間網(wǎng)絡(luò)9的計(jì)算機(jī)8連接����。計(jì)算機(jī) 8含有DHCP服務(wù)器8A�����、歸屬代理8B和AAA代理服務(wù)器8C。如果移動(dòng)終 端設(shè)備l并未處于其最初的歸屬網(wǎng)絡(luò)中��,則歸屬代理8B是該移動(dòng)終端設(shè) 備1的代理���。持續(xù)地將移動(dòng)終端設(shè)備l的當(dāng)前停留位置通知給歸屬代理 8B�。用于移動(dòng)終端設(shè)備l的數(shù)據(jù)分組首先被傳輸至該歸屬代理�,且從該 歸屬代理以隧道的方式轉(zhuǎn)發(fā)至外部代理6A。相反���,由移動(dòng)終端設(shè)備l 發(fā)出的數(shù)據(jù)分組可以直接被發(fā)送至相應(yīng)的通信方�。在此�����,移動(dòng)終端設(shè) 備l的數(shù)據(jù)分組含有作為發(fā)送方地址的歸屬地址��。歸屬地址具有與歸屬 代理8B相同的地址前綴���、即網(wǎng)絡(luò)地址和子網(wǎng)地址����。發(fā)送至移動(dòng)終端設(shè) 備1的歸屬地址的數(shù)據(jù)分組被歸屬代理8B截取,并以隧道的方式從歸屬 代理8B被傳輸至移動(dòng)終端設(shè)備1的轉(zhuǎn)交地址�,并且最后在隧道的端點(diǎn) 處、即通過(guò)外部代理6A或移動(dòng)終端設(shè)備自身接收���。
中間網(wǎng)絡(luò)9的計(jì)算機(jī)8通過(guò)另 一接口 IO與歸屬網(wǎng)絡(luò)12的鑒權(quán)服務(wù)器 ll連接���。歸屬網(wǎng)絡(luò)例如是用于UMTS的3GPP網(wǎng)絡(luò)���。在一種替代實(shí)施形 式中����,服務(wù)器11是WLAN網(wǎng)絡(luò)的鑒權(quán)服務(wù)器�����。圖5中所示的鑒權(quán)服務(wù)器 ll不支持MIP注冊(cè)�。
一旦計(jì)算機(jī)8的AAA代理服務(wù)器8C識(shí)別出歸屬網(wǎng)絡(luò)12的AAA服務(wù) 器11不支持MIP (CMIP/PMIP),則根據(jù)本發(fā)明方法為歸屬代理8B提 供用于對(duì)移動(dòng)性信令消息進(jìn)行密碼保護(hù)的移動(dòng)性密鑰����。例如從歸屬網(wǎng)絡(luò)12的服務(wù)器11根據(jù)AAA代理服務(wù)器8B的詢問(wèn)不提供MIP屬性中,該 AAA代理服務(wù)器8B識(shí)別出缺乏CMIP/PMIP支持。為了對(duì)移動(dòng)性信令 消息進(jìn)行密碼保護(hù)����,需要用于歸屬代理8B的公共移動(dòng)性密鑰(MIP密 鑰)和用于PMIP情況的移動(dòng)終端設(shè)別l或者用于歸屬代理8B的/〉共移 動(dòng)性密鑰和用于PMIP情況的PMIP客戶端6B。如果歸屬網(wǎng)絡(luò)12有 WiMax交互工作能力���,則歸屬代理8B從歸屬網(wǎng)絡(luò)12的AAA服務(wù)器獲得 所述MIP密鑰����。但如果如圖5中所示���,AAA服務(wù)器11不能根據(jù)歸屬代理 8B的相應(yīng)詢問(wèn)提供所需要的MIP屬性���,則激活本發(fā)明方法。如圖5中所 示的3GPP-AAA服務(wù)器11不能提供用于保護(hù)移動(dòng)性信令消息的相應(yīng)密 碼密鑰��,因?yàn)樵?GPP-AAA服務(wù)器不能解譯歸屬代理8B的詢問(wèn)����。在本 發(fā)明方法中,使歸屬網(wǎng)絡(luò)12的無(wú)WiMax能力的鑒權(quán)服務(wù)器ll保持不變���, 并且通過(guò)AAA代理服務(wù)器8C將移動(dòng)性密鑰提供給歸屬代理8B�����。在已識(shí) 別出歸屬網(wǎng)絡(luò)12的鑒權(quán)服務(wù)器11不提供移動(dòng)性密鑰之后�,激活所謂的 代理歸屬M(fèi)IP功能性并且為所述AAA會(huì)話,由鑒權(quán)代理服務(wù)器8C施加 本地?cái)?shù)據(jù)組���。因此根據(jù)本發(fā)明�,對(duì)于PMIP/CMIP所必需的功能性并非 由歸屬網(wǎng)絡(luò)12的鑒權(quán)服務(wù)器11提供��,而是通過(guò)中間網(wǎng)絡(luò)9的位于3GPP 網(wǎng)絡(luò)的鑒權(quán)服務(wù)器11和接入網(wǎng)絡(luò)4的網(wǎng)關(guān)6之間的通信路徑中的AAA代 理服務(wù)器提供�。
圖6示出在本發(fā)明方法的實(shí)施形式中用于對(duì)移動(dòng)終端設(shè)備1進(jìn)行鑒 權(quán)的流程圖。
在開(kāi)始步驟SO之后�����,首先在步驟S1中建立移動(dòng)終端設(shè)備l和接入網(wǎng) 絡(luò)4的基站3之間的無(wú)線電連接��。接下來(lái)���,在步驟S2中通過(guò)中間網(wǎng)絡(luò)9的 鑒權(quán)代理服務(wù)器8C在接入網(wǎng)絡(luò)4和歸屬網(wǎng)絡(luò)12之間轉(zhuǎn)發(fā)鑒權(quán)消息。所述 鑒權(quán)消息含有用于識(shí)別相應(yīng)移動(dòng)終端設(shè)備l的用戶標(biāo)識(shí)����。用戶標(biāo)識(shí)例如 是網(wǎng)絡(luò)接入標(biāo)識(shí)符NAI���。作為替代方案,用戶標(biāo)識(shí)例如由移動(dòng)終端設(shè)備 l的歸屬地址構(gòu)成�����。由AAA代理服務(wù)器8C轉(zhuǎn)發(fā)的鑒權(quán)消息到達(dá)歸屬網(wǎng)絡(luò) 12的鑒權(quán)服務(wù)器11�����。于是歸屬網(wǎng)絡(luò)12的鑒權(quán)服務(wù)器11執(zhí)行對(duì)用戶的鑒 權(quán)�。如果鑒權(quán)成功,則鑒權(quán)服務(wù)器11經(jīng)由中間網(wǎng)絡(luò)9的鑒權(quán)代理服務(wù)器 8C將相應(yīng)的消息發(fā)送至接入網(wǎng)絡(luò)4���。在步驟S3中����,中間網(wǎng)絡(luò)9的鑒權(quán)代 理服務(wù)器8C檢查通過(guò)歸屬網(wǎng)絡(luò)12的鑒權(quán)服務(wù)器11的鑒權(quán)是否成功地 結(jié)束�。所述鑒權(quán)代理服務(wù)器8C例如從鑒權(quán)服務(wù)器11的相應(yīng)成功報(bào)告 (Success-Meldung)來(lái)識(shí)別出此點(diǎn)。如果鑒權(quán)代理服務(wù)器8C借助由歸屬網(wǎng)絡(luò)12傳輸至接入網(wǎng)絡(luò)4的消息識(shí)別出用戶的鑒權(quán)已成功結(jié)束�,則在 步驟S4中通過(guò)鑒權(quán)代理服務(wù)器8C來(lái)提取并緩存相應(yīng)的用戶標(biāo)識(shí)。
過(guò)程在步驟S5中結(jié)束�。AAA代理服務(wù)器8C因此存儲(chǔ)其鑒權(quán)已成功 結(jié)束的用戶或移動(dòng)終端設(shè)備l的所有用戶標(biāo)識(shí)。
如從圖7可見(jiàn)���,如果在開(kāi)始步驟S6之后歸屬代理8B在稍后時(shí)刻得到 注冊(cè)詢問(wèn)消息��,則歸屬代理8B在步驟S8中將相應(yīng)的密鑰詢問(wèn)消息發(fā)送 給其鑒權(quán)代理服務(wù)器8C��。在所得到的注冊(cè)詢問(wèn)消息中含有移動(dòng)終端設(shè) 備l的用戶標(biāo)識(shí)�����。向鑒權(quán)代理服務(wù)器8C的��、歸屬代理8B的隨后產(chǎn)生的相 應(yīng)密鑰詢問(wèn)消息同樣含有所述用戶標(biāo)識(shí)����。鑒權(quán)代理服務(wù)器8C在步驟S9 中檢查在密鑰詢問(wèn)消息中所含有的用戶標(biāo)識(shí)與由所述鑒權(quán)代理服務(wù) 器8C在步驟S4中所存儲(chǔ)的用戶標(biāo)識(shí)之一是否一致。只要情況如此��,則 鑒權(quán)代理服務(wù)器8C在步驟S10中提供用于對(duì)移動(dòng)性安全消息進(jìn)行密碼 保護(hù)的移動(dòng)性密鑰����。鑒權(quán)代理服務(wù)器8C將所提供的移動(dòng)性密鑰傳輸至 歸屬代理8B�。優(yōu)選地,移動(dòng)密鑰還被傳輸至接入網(wǎng)絡(luò)4的鑒權(quán)客戶端服 務(wù)器6D���。過(guò)程在步驟S11中結(jié)束�。
在本發(fā)明方法的第一實(shí)施形式中,在步驟S10中所提供的移動(dòng)性密 鑰由鑒權(quán)代理服務(wù)器8C隨機(jī)產(chǎn)生�。
在一種替代實(shí)施形式中,移動(dòng)性密鑰(MIP密鑰)通過(guò)鑒權(quán)代理 服務(wù)器8C從MSK(主會(huì)話密鑰)密鑰中導(dǎo)出����,其中鑒權(quán)代理服務(wù)器8C 已將所述MSK密鑰從鑒權(quán)服務(wù)器11轉(zhuǎn)發(fā)至接入網(wǎng)絡(luò)4。在這種情況下�����, MIP密鑰可以從MSK密鑰中按照任一密鑰導(dǎo)出函數(shù)���、例如借助于散列 (Hash)函數(shù)被導(dǎo)出�����。散列函數(shù)將任意大小的數(shù)據(jù)減小成所謂的指紋�����。 這種散列函數(shù)的實(shí)例是SHA-1����。在這種情況下�����,最大264比特的數(shù)據(jù)被 映射成160比特。 一種替代的散列函數(shù)是MD5���。 MD5如同SHA-1—樣將 輸入劃分成大小為500比特的塊����,并產(chǎn)生大小為128比特的散列值�。
在一種替代實(shí)施形式中,所提供的移動(dòng)性密鑰通過(guò)由鑒權(quán)代理服 務(wù)器8C所接收的MSK密鑰12的一部分構(gòu)成���。
在另一替代實(shí)施形式中�,所提供的移動(dòng)性密鑰與所傳輸?shù)腗SK密 鑰相同�。
在優(yōu)選實(shí)施形式中,鑒權(quán)消息按照半徑或直徑協(xié)議傳輸�����。 在本發(fā)明方法中��,如果歸屬M(fèi)IP功能性不被歸屬網(wǎng)絡(luò)12支持�,則 中間網(wǎng)絡(luò)9提供該歸屬M(fèi)IP功能性�����。由此可能的是,在不支持MIP的歸屬網(wǎng)絡(luò)中��、例如在3GPP網(wǎng)絡(luò)中也能夠基于MIP實(shí)現(xiàn)宏移動(dòng)性 (Makromobilitat)�。在接入網(wǎng)絡(luò)4和中間網(wǎng)絡(luò)9內(nèi)使用MIP,用以實(shí)現(xiàn) 在不同接入網(wǎng)絡(luò)4之間的切換��。在外部代理6A的MIP注冊(cè)時(shí)��,中間網(wǎng)絡(luò) 9的歸屬代理8B詢問(wèn)所屬的鑒權(quán)代理服務(wù)器8C的移動(dòng)性密鑰����。在這種情 況下,歸屬代理8B使用相應(yīng)的用戶標(biāo)識(shí)���、即例如網(wǎng)絡(luò)接入標(biāo)識(shí)符NAI (Network Access Identifier)或移動(dòng)終端設(shè)備l的歸屬地址��。如果施加 相應(yīng)的數(shù)據(jù)組�����,則該密鑰詢問(wèn)消息通過(guò)鑒權(quán)代理服務(wù)器8C在本地被應(yīng) 答��。為了鑒權(quán)代理服務(wù)器8C能夠提供相應(yīng)的密鑰�,對(duì)所述鑒權(quán)代理服 務(wù)器8C如此設(shè)計(jì),使得該鑒權(quán)代理服務(wù)器解譯在歸屬網(wǎng)絡(luò)12的鑒權(quán)服 務(wù)器11和接入網(wǎng)絡(luò)4中的認(rèn)證者(Authentikator )之間在移動(dòng)終端i殳備 1的鑒權(quán)期間所交換的消息�����。
如圖5中所示�����,歸屬代理8B優(yōu)選地位于中間網(wǎng)絡(luò)9中���。在一種替代 實(shí)施形式中����,歸屬代理8B位于歸屬網(wǎng)絡(luò)12中����。
在本發(fā)明方法的 一 種替代實(shí)施形式中,作為移動(dòng)IP功能性使用移 動(dòng)IPV6[RFC3775]��。
在本發(fā)明方法的一種優(yōu)選實(shí)施形式中���,通過(guò)歸屬代理8B借助密鑰 詢問(wèn)消息僅一次從鑒權(quán)代理服務(wù)器8C詢問(wèn)移動(dòng)性密鑰���。
利用本發(fā)明方法可以實(shí)現(xiàn)對(duì)遺留(Legacy) AAA服務(wù)器�、例如用 于WiMax網(wǎng)絡(luò)的WLAN或3GPP服務(wù)器的使用���,盡管這些服務(wù)器不提供 由WiMax網(wǎng)絡(luò)所期望的CMIP/PMIP功能性。利用本發(fā)明方法����,盡管在 歸屬網(wǎng)絡(luò)12中使用遺留AAA服務(wù)器,但基于PMIP的宏移動(dòng)性是可能 的�����。WLAN或3GPP網(wǎng)絡(luò)的網(wǎng)絡(luò)運(yùn)營(yíng)商因此通常不必自身支持PMIP �����, 但可以使其客戶仍能夠?qū)崿F(xiàn)與WiMax無(wú)線電網(wǎng)絡(luò)的漫游/交互工作�。利 用本發(fā)明方法尤其可能的是,利用PMIP支持也允許終端設(shè)備不具有移 動(dòng)IP WiMax交互工作的支持�����,本發(fā)明方法尤其能夠?qū)崿F(xiàn)類似于當(dāng)前指 定的WLAN直接IP接入的WiMax-3GPP交互工作��。
圖8示出本發(fā)明方法的優(yōu)選實(shí)施形式的消息流圖。如果在接入鑒權(quán) 期間�����,歸屬網(wǎng)絡(luò)(例如3GPP網(wǎng)絡(luò))的鑒權(quán)服務(wù)器不提供歸屬代理地址���, 則受訪網(wǎng)絡(luò)的鑒權(quán)服務(wù)器使用中間網(wǎng)絡(luò)的歸屬代理的歸屬地址���,并施 加狀態(tài),用于稍后通過(guò)中間網(wǎng)絡(luò)的歸屬代理8B詢問(wèn)移動(dòng)性密鑰����。狀態(tài) 數(shù)據(jù)含有用戶標(biāo)識(shí)。在本發(fā)明方法中取消了圖4中所示的步驟16b����、 17a, 即取消通過(guò)歸屬代理8B向歸屬網(wǎng)絡(luò)12的鑒權(quán)服務(wù)器11對(duì)移動(dòng)性密鑰的詢問(wèn)和所屬的應(yīng)答。在本發(fā)明方法中�����,含有用戶標(biāo)識(shí)的密鑰詢問(wèn)消息
通過(guò)中間網(wǎng)絡(luò)9的鑒權(quán)代理服務(wù)器8C來(lái)應(yīng)答���。因此本發(fā)明的方法能夠?qū)?現(xiàn)在無(wú)歸屬網(wǎng)絡(luò)支持的情況下在WiMax網(wǎng)絡(luò)中的宏移動(dòng)性管理�����。
權(quán)利要求
1.用于為歸屬代理提供至少一個(gè)用以對(duì)移動(dòng)性信令消息進(jìn)行密碼保護(hù)的移動(dòng)性密鑰的方法��,所述方法具有如下步驟(a)在移動(dòng)用戶終端設(shè)備(1)和接入網(wǎng)絡(luò)(4)之間建立無(wú)線電連接�,其中中間網(wǎng)絡(luò)(9)的用于對(duì)用戶進(jìn)行鑒權(quán)的鑒權(quán)代理服務(wù)器(8C)在所述接入網(wǎng)絡(luò)(4)和用戶的歸屬網(wǎng)絡(luò)(12)之間轉(zhuǎn)發(fā)至少一個(gè)含有用戶標(biāo)識(shí)的鑒權(quán)消息,且在鑒權(quán)成功時(shí)通過(guò)所述歸屬網(wǎng)絡(luò)(12)的鑒權(quán)服務(wù)器(11)分別存儲(chǔ)所述用戶標(biāo)識(shí)��;(b)通過(guò)歸屬代理(8B)接收來(lái)自于用戶終端設(shè)備(1)的含有用戶標(biāo)識(shí)的注冊(cè)詢問(wèn)消息���;(c)將用于移動(dòng)性密鑰的密鑰詢問(wèn)消息由所述歸屬代理(8B)發(fā)送至所屬的鑒權(quán)代理服務(wù)器(8C),其中所述密鑰詢問(wèn)消息含有在所述注冊(cè)詢問(wèn)消息中所含有的用戶標(biāo)識(shí)�;和(d)如果在所述密鑰詢問(wèn)消息中所含有的用戶標(biāo)識(shí)與通過(guò)所述鑒權(quán)代理服務(wù)器(8C)存儲(chǔ)的用戶標(biāo)識(shí)之一一致,則通過(guò)所述鑒權(quán)代理服務(wù)器(8C)為所述歸屬代理(8B)提供移動(dòng)性密鑰��。
2. 如權(quán)利要求l所述的方法����,其中通過(guò)所述鑒權(quán)代理服務(wù)器(8C) 隨機(jī)產(chǎn)生所述移動(dòng)性密鑰。
3. 如權(quán)利要求l所述的方法����,其中在鑒權(quán)成功時(shí),所述歸屬網(wǎng)絡(luò) (12)的鑒權(quán)服務(wù)器(11)經(jīng)由所述鑒權(quán)代理服務(wù)器(8C)將在鑒權(quán)消息中所含有的MSK密鑰傳輸至所述接入網(wǎng)糾4 )的鑒權(quán)客戶端(6C )��。
4. 如權(quán)利要求3所述的方法,其中所述移動(dòng)性密鑰通過(guò)所述鑒權(quán)代 理服務(wù)器(8C)從所傳輸?shù)腗SK密鑰中導(dǎo)出��。
5. 如權(quán)利要求4所述的方法�����,其中所述移動(dòng)性密鑰形成所傳輸?shù)?MSK密鑰的一部分�����。
6. 如權(quán)利要求4所述的方法�����,其中所述移動(dòng)性密鑰與所傳輸?shù)?MSK密鑰相同��。
7. 如權(quán)利要求4所述的方法���,其中所述移動(dòng)性密鑰通過(guò)密碼密鑰導(dǎo) 出函數(shù)或者通過(guò)密碼散列函數(shù)導(dǎo)出�。
8. 如權(quán)利要求l所述的方法���,其中根據(jù)半徑數(shù)據(jù)傳輸協(xié)議來(lái)傳輸所 述鑒權(quán)消息���。
9. 如權(quán)利要求l所述的方法�,其中根據(jù)直徑數(shù)據(jù)傳輸協(xié)議來(lái)傳輸所述鑒權(quán)消息�����。
10. 如權(quán)利要求l所述的方法�,其中所述接入網(wǎng)絡(luò)(4)由WIMAX 接入網(wǎng)絡(luò)(ASN)構(gòu)成。
11. 如權(quán)利要求l所述的方法��,其中所述中間網(wǎng)絡(luò)(9)由WIMAX 中間網(wǎng)絡(luò)(CSN)構(gòu)成���。
12. 如權(quán)利要求l所述的方法,其中所述歸屬網(wǎng)絡(luò)(12)由3GPP網(wǎng) 絡(luò)構(gòu)成���。
13. 如權(quán)利要求l所述的方法��,其中所述歸屬網(wǎng)絡(luò)由WLAN網(wǎng)絡(luò)構(gòu)成�。
14. 如權(quán)利要求l所述的方法����,其中所述用戶標(biāo)識(shí)由網(wǎng)絡(luò)接入標(biāo)識(shí) 符NAI構(gòu)成。
15. 如權(quán)利要求l所述的方法����,其中所述用戶標(biāo)識(shí)由所述用戶的歸 屬地址構(gòu)成�����。
16. 如權(quán)利要求l所述的方法�,其中所述移動(dòng)性密鑰還被提供給所 述接入網(wǎng)絡(luò)(4)的PMIP客戶端(6B)��。
17. 如權(quán)利要求l所述的方法���,其中多個(gè)中間網(wǎng)絡(luò)(9)位于所述接 入網(wǎng)絡(luò)(4)和所述歸屬網(wǎng)絡(luò)(12)之間��。
18. 如權(quán)利要求17所述的方法��,其中所述歸屬代理(8B)設(shè)置在所 述歸屬網(wǎng)絡(luò)(12)中或中間網(wǎng)絡(luò)(9)之一中����。
19. 如權(quán)利要求17所述的方法�����,其中所述鑒權(quán)代理服務(wù)器(8C) 設(shè)置在所述歸屬網(wǎng)絡(luò)(12)中或中間網(wǎng)絡(luò)(9)之一中�����。
20. 用于提供用以對(duì)移動(dòng)性信令消息進(jìn)行密碼保護(hù)的移動(dòng)性密鑰 的鑒權(quán)代理服務(wù)器(8C)���,其中在成功地對(duì)用戶鑒權(quán)之后����,所述鑒權(quán) 代理服務(wù)器(8C)分別存儲(chǔ)所述用戶的用戶標(biāo)識(shí)且如果在密鑰詢問(wèn)消 息中所含有的用戶標(biāo)識(shí)與所存儲(chǔ)的用戶標(biāo)識(shí)之——致,則在從歸屬代理(8B)接收到移動(dòng)性密鑰用的密鑰詢問(wèn)消息之后提供移動(dòng)性密鑰����。
21. 如權(quán)利要求20所述的鑒權(quán)代理服務(wù)器,其中所述鑒權(quán)代理服務(wù) 器(8C)隨機(jī)產(chǎn)生所述移動(dòng)性密鑰�����。
22. 如權(quán)利要求20所述的鑒權(quán)代理服務(wù)器����,其中所述鑒權(quán)代理服務(wù) 器(8C)與歸屬網(wǎng)絡(luò)(12)的鑒權(quán)服務(wù)器(11)連接��。
23. 如權(quán)利要求20所述的鑒權(quán)代理服務(wù)器����,其中所述鑒權(quán)代理服務(wù) 器(8C)從通過(guò)所述歸屬網(wǎng)絡(luò)(12)的鑒權(quán)服務(wù)器(11)發(fā)出的MSK密鑰中導(dǎo)出所述移動(dòng)性密鑰。
24. 如權(quán)利要求20所述的鑒權(quán)代理服務(wù)器����,其中所述歸屬網(wǎng)絡(luò)(12 ) 是3GPP網(wǎng)絡(luò)��。
25. 如權(quán)利要求20所述的鑒權(quán)代理服務(wù)器�����,其中所述歸屬網(wǎng)絡(luò)(12 ) 是WLA顔絡(luò)�����。
26. 如權(quán)利要求20所述的鑒權(quán)代理服務(wù)器��,其中所述鑒權(quán)代理服 務(wù)器(8C)是WIMAX鑒權(quán)代理服務(wù)器��。
全文摘要
本發(fā)明涉及用于為歸屬代理提供至少一個(gè)用以對(duì)移動(dòng)性信令消息進(jìn)行密碼保護(hù)的移動(dòng)性密鑰的方法�,所述方法具有如下步驟在移動(dòng)用戶終端設(shè)備(1)和接入網(wǎng)絡(luò)(4)之間建立無(wú)線電連接�����,其中中間網(wǎng)絡(luò)(9)的用于對(duì)用戶進(jìn)行鑒權(quán)的鑒權(quán)代理服務(wù)器(8C)在所述接入網(wǎng)絡(luò)(4)和用戶的歸屬網(wǎng)絡(luò)(12)之間轉(zhuǎn)發(fā)至少一個(gè)含有用戶標(biāo)識(shí)的鑒權(quán)消息���,且在鑒權(quán)成功時(shí)通過(guò)所述歸屬網(wǎng)絡(luò)(12)的鑒權(quán)服務(wù)器(11)分別存儲(chǔ)所述用戶標(biāo)識(shí)�����;通過(guò)歸屬代理(8B)接收來(lái)自于用戶終端設(shè)備(1)的含有用戶標(biāo)識(shí)的注冊(cè)詢問(wèn)消息�����;將用于移動(dòng)性密鑰的密鑰詢問(wèn)消息由所述歸屬代理(8B)發(fā)送至所屬的鑒權(quán)代理服務(wù)器(8C)���,其中所述密鑰詢問(wèn)消息含有在所述注冊(cè)詢問(wèn)消息中所含有的用戶標(biāo)識(shí)�;和如果在所述密鑰詢問(wèn)消息中所含有的用戶標(biāo)識(shí)與通過(guò)所述鑒權(quán)代理服務(wù)器(8C)存儲(chǔ)的用戶標(biāo)識(shí)之一一致�,則通過(guò)所述鑒權(quán)代理服務(wù)器(8C)為所述歸屬代理(8B)提供移動(dòng)性密鑰。
文檔編號(hào)H04W12/00GK101300889SQ200680041205
公開(kāi)日2008年11月5日 申請(qǐng)日期2006年10月27日 優(yōu)先權(quán)日2005年11月4日
發(fā)明者D·克羅塞爾伯格, M·里格爾, R·法爾克 申請(qǐng)人:西門(mén)子公司