CN101321395B - 下一代网络中支持移动性安全的方法与*** - Google Patents

下一代网络中支持移动性安全的方法与*** Download PDF

Info

Publication number
CN101321395B
CN101321395B CN2008101265146A CN200810126514A CN101321395B CN 101321395 B CN101321395 B CN 101321395B CN 2008101265146 A CN2008101265146 A CN 2008101265146A CN 200810126514 A CN200810126514 A CN 200810126514A CN 101321395 B CN101321395 B CN 101321395B
Authority
CN
China
Prior art keywords
terminal
taa
mobile
function entity
entity
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN2008101265146A
Other languages
English (en)
Other versions
CN101321395A (zh
Inventor
韦银星
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
ZTE Corp
Original Assignee
ZTE Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by ZTE Corp filed Critical ZTE Corp
Priority to CN2008101265146A priority Critical patent/CN101321395B/zh
Publication of CN101321395A publication Critical patent/CN101321395A/zh
Priority to EP09768788.3A priority patent/EP2299748B1/en
Priority to PCT/CN2009/072433 priority patent/WO2009155863A1/zh
Priority to US12/999,282 priority patent/US8561150B2/en
Application granted granted Critical
Publication of CN101321395B publication Critical patent/CN101321395B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0281Proxies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/166Implementing security features at a particular protocol layer at the transport layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/047Key management, e.g. using generic bootstrapping architecture [GBA] without using a trusted network node as an anchor
    • H04W12/0471Key exchange
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W36/00Hand-off or reselection arrangements
    • H04W36/0005Control or signalling for completing the hand-off
    • H04W36/0011Control or signalling for completing the hand-off for data sessions of end-to-end connection
    • H04W36/0033Control or signalling for completing the hand-off for data sessions of end-to-end connection with transfer of context information
    • H04W36/0038Control or signalling for completing the hand-off for data sessions of end-to-end connection with transfer of context information of security context information

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种下一代网络中支持移动性安全的方法与***。本发明通过在网络中设置传输认证授权功能实体和移动代理功能实体,并在传输认证授权功能实体和移动代理功能实体之间定义参考点用来传递密钥。当终端移动时,移动代理功能实体从传输认证授权功能实体处请求获得密钥材料,根据该密钥材料对终端的信令进行安全保护,从而保证了下一代网络中传输层的移动性安全。

Description

下一代网络中支持移动性安全的方法与***
技术领域
本发明涉及通信领域的下一代网络技术,具体地说是一种下一代网络中支持移动性安全的方法与***。
背景技术
下一代网络(NGN,Next Generation Network)是一个固定和移动融合的网络,支持多种接入技术,如Cable(电缆)、xDSL(Digital Subscriber Line,数字用户线)、802.11WLAN(Wireless Local Access Network,无线局域接入网)、802.16WMAN(Wireless Metropolitan Access Network,无线城域接入网)和3G RAN(The Third Generation Radio Access Network,第三代无线接入网)等。NGN要求支持移动性,包括游牧和漫游。移动可以发生在接入网内,也可以发生在接入网间。这些接入网可以是同构的,也可以是异构的。移动IP(Mobile Internet Protocol,MIP)支持跨子网的移动,与底层的接入技术无关,因此是解决异构接入时移动性的重要方法之一。
移动IP是一种支持设备移动性的重要技术,可以支持移动节点在全球范围内漫游并且保持业务的连续性。移动IP技术分为两类:基于主机的移动性,即传统的Mobile IPv4和Mobile IPv6,以及Dual-Stack Mobile IPv4和Dual-Stack Mobile IPv6;基于网络的移动性,即Proxy Mobile IPv4和ProxyMobile IPv6。基于主机的移动IP***通常由移动节点(MN,Mobile Node)、外部代理(FA,Foreign Agent)和家乡代理(HA,Home Agent)组成。基于网络的移动IP***通常由移动节点、移动接入网关(MAG,Mobile AccessGateway)和本地移动锚点(LMA,Local Mobility Anchor)组成。HA/LMA通常要对接收到的MIP信令进行认证以保证其完整性。
NGN是基于IP的网络,相对于传统的电信网络,NGN面临着更大的安全威胁。如前所述,NGN需要支持传输层的移动性技术,如移动IP技术,因此需要解决NGN中传输层移动性的安全问题,如认证和密钥协商、移动IP信令安全、切换时安全。
目前,在NGN中还没有涉及到传输层移动性的安全。
发明内容
本发明要解决的技术问题是提供一种下一代网络中实现传输层移动性安全的方法与***,可以保证下一代网络中传输层移动性的安全。
为了解决上述问题,本发明提供了一种下一代网络中支持移动性安全的方法,包括:
网络中设置传输认证授权功能实体TAA-FE和移动代理功能实体,所述移动代理功能实体与所述TAA-FE之间建立传输密钥材料的参考点;
当终端移动时,所述移动代理功能实体从所述TAA-FE处接收密钥材料,对所述终端和移动代理功能实体之间的信令进行安全保护。
进一步地,所述移动代理功能实体包括移动接入功能实体MA-FE和移动家乡功能实体MH-FE。
进一步地,所述终端移动时,附着网络的流程包括:
认证授权步骤:所述终端发起认证和授权请求,提供凭证给所述TAA-FE,所述TAA-FE向传输用户描述功能实体TUP-FE查询用户描述信息,根据所述用户描述信息对所述终端进行认证,若认证成功,所述TAA-FE向所述MH-FE和MA-FE发送密钥,所述MH-FE与所述终端建立移动安全关联;
IP配置步骤:所述TAA-FE将认证和授权响应返回给终端,其中包含终端导出密钥的随机值、动态家乡地址HoA和家乡地址HA;所述终端获取临时地址CoA;
位置管理步骤:所述终端把位置信息注册到传输位置管理功能实体TLM-FE,TLM-FE将所述信息发送到资源准入控制功能实体RACF中;
隧道建立步骤:所述终端根据网络接入标识NAI、CoA和HoA构造注册请求消息RRQ,并把绑定注册到所述MH-FE;所述MH-FE根据所述TAA-FE发送的密钥对所述终端的移动IP信令进行验证,验证通过后,所述MH-FE将当前隧道状态通知TLM-FE,并通过所述MA-FE将把移动IP注册响应消息RRP发送到所述终端。
进一步地,所述终端向所述TAA-FE提供的凭证包括:共享密钥、数字证书。
进一步地,所述终端通过以下方式之一获取CoA:
网络接入配置功能实体NAC-FE给终端分配IP地址,即共存CoA;
所述终端通过和所述MA-FE交换移动IP请求或通告消息来获取外部代理CoA。
进一步地,所述TLM-FE接收到所述MH-FE发送的当前隧道状态后,将描述信息发送给RACF。
进一步地,所述描述信息包括密钥材料、HoA、HA、认证授权、IP配置、位置中的一个或任意组合。
本发明还提供了一种下一代网络中支持移动性安全的***,包括:
传输用户描述功能实体TUP-FE,用于存储用户描述信息;
传输认证授权功能实体TAA-FE,用于接收终端的授权认证请求后,向所述TUP-FE查询用户描述信息,并根据查询到的用户描述信息对所述终端进行授权认证;
还包括:
移动代理功能实体,用于从所述TAA-FE获得密钥材料,并根据所述密钥材料对所述终端的信令进行安全保护。
进一步地,所述移动代理功能实体包括移动接入功能实体MA-FE和移动家乡功能实体MH-FE,其中,
所述MA-FE,用于向所述终端提供临时地址,为所述终端提供路由服务;所述MA-FE还用于中转所述终端的移动IP信令以及对所述终端进行认证;当所述终端处于活动状态时,所述MA-FE还用于与资源准入控制功能实体RACF交互来请求资源;
所述MH-FE,用于把报文送往离开家乡的终端,维护所述终端的绑定信息;当所述终端接入需要动态家乡地址和MH-FE地址时,所述MH-FE可以向所述TAA-FE提供动态家乡地址和MH-FE地址;所述MH-FE还用于从所述TAA-FE请求密钥材料以完成对所述终端或MA-FE的MIP信令的认证;所述MH-FE还用于在创建绑定记录后,向传输位置管理功能实体TLM-FE通知隧道建立信息;当所述终端处于活动状态时,所述MH-FE还用于与RACF交互来请求资源。
进一步地,所述用户描述信息包括密钥材料、HoA、HA、认证授权、IP配置、位置中的一个或任意组合。
本发明通过在网络中设置传输认证授权功能实体和移动代理功能实体,并在传输认证授权功能实体和移动代理功能实体之间定义参考点用来传递密钥,移动代理功能实体从传输认证授权功能实体处请求获得密钥材料,根据该密钥材料对终端的信令进行安全保护,从而保证了下一代网络中传输层的移动性安全。
附图说明
图1是本发明的NGN中支持移动性安全的架构图;
图2是本发明的支持传输层移动的功能实体在NGN中的位置示意图;
图3是本发明的NGN中一基于主机的移动性-非漫游实施例场景示意图;
图4是本发明的NGN中一基于MIPv4实施例的附着流程示意图。
具体实施方式
本发明通过在网络架构中设置传输认证授权功能实体和移动代理功能实体,在传输认证授权功能实体和移动代理功能实体之间定义参考点用来传递密钥,通过移动代理功能实体对终端的信令进行保护来保证传输层的移动性安全。
下面结合附图和具体实施例对本发明作进一步说明,以使本领域的技术人员可以更好的理解本发明并能予以实施,但所举实施例不作为对本发明的限定。
图1示出了本发明的NGN中支持移动性安全的架构图。终端100与传输认证授权功能实体120拥有相同的根密钥,通过该根密钥推导出建立安全关联相关的密钥。传输认证授权功能实体120把密钥材料传递到移动代理功能实体130,这样移动代理功能实体130可以完成对终端100的移动信令的安全检查。传输认证授权功能实体120可以进一步分解为认证授权代理和认证授权服务器,移动代理功能实体130可以进一步分解为外部代理(移动接入功能实体)和家乡代理(移动家乡功能实体)。
如前所述,基于主机移动性的***包括:移动结点(MN)、外地代理(FA)和家乡代理(HA),其中MN支持网络层移动性功能。基于网络移动性的***包括:移动结点(MN)、移动接入网关(MAG)和本地移动锚点(LMA),其中MN不需要支持移动IP的能力。FA/MAG位于接入网络,是MN的第一跳路由器;HA/LMA位于核心网络。
图2示出了本发明的支持传输层移动的功能实体在NGN中的位置。NGN传输层230提供传输数据的功能以及控制和管理携带这些数据的传输资源的功能,其中携带的数据本身可以是用户面、控制面和管理面信息,NGN传输层包括:传输功能240和传输控制功能250。传输功能240为NGN中所有的部件和物理分离的所有功能实体提供连接,传输功能包括接入网功能、边界功能、核心传输功能和网关功能,传输功能支持报文的转发和路由功能。传输控制功能250完成终端设备的附着、参数配置、认证授权、位置管理功能、准入控制和资源控制功能。对基于主机的移动情况,图2中的移动接入功能实体(MA-FE)210解释为FA,移动家乡功能实体(MH-FE)220解释为HA,这种情况下终端用户功能(End-user Function)200需要支持层3的移动性。对基于网络的移动情况,MA-FE210和MH-FE 220分别解释为MAG和LMA,这种情况下终端用户功能200不需要支持层3的移动性。由于MA-FE 210和MH-FE 220也负责传递数据,因此它们位于NGN的传输功能240上是合理的。当然,MA-FE 210和MH-FE 220也可以位于网中的其它位置,例如将MA-FE和MH-FE功能合在一起并放到传输控制层。MA-FE和MH-FE可以作为独立的功能实体,也可以在传输功能240上已有的功能实体功能进行扩展移动代理的功能。根据运营商的策略,MH-FE 220可以部署在归属网络,也可以部署在拜访网络。
MA-FE 210和MH-FE 220支持移动IP信令和报文传递,NGN的传输控制功能250也可以参与移动IP的信令过程。对基于主机的移动情况,当CoA(Care-of Address,临时地址)与终端用户功能200共存时,则不需要MA-FE210。
NGN支持网络层移动性的基本流程包括:附着流程、去附着、切换流程,需要执行的基本功能包括:认证授权、IP配置、位置管理和移动IP信令。NGN支持网络层的移动性需要位于传输层的功能实体和接口的参与。图3示出了本发明的NGN中基于主机的移动性的非漫游场景。
终端CPE(用户驻地设备)300指允许用户访问NGN业务的设备,与前述终端100及终端用户功能200相对应,CPE 300需要支持层3移动性的功能。对于MIPv4,CoA可以由移动接入功能实体(MA-FE)310提供,也可以由网络接入配置功能实体(NAC-FE)385提供。对于MIPv6,CoA仅由NAC-FE 385提供。CPE 300和传输认证授权功能实体(TAA-FE)360共享密钥。
移动接入功能实体(MA-FE)310用于MIPv4情况下向CPE 300提供CoA,为CPE 300提供路由服务,同时可以中转CPE 300的MIPv4信令以及对CPE 300进行认证。当CPE 300处于活动状态时,MA-FE 310与资源准入控制功能(RACF)365交互来请求资源。
移动家乡功能实体(MH-FE)320用于把报文送往离开家乡的CPE 300,维护CPE 300的绑定信息。当CPE 300接入需要动态家乡地址(HoA)和MH-FE地址时,MH-FE可以向TAA-FE 360提供HoA和MH-FE地址。MH-FE320还可以从TAA-FE 360请求密钥材料以完成对CPE 300和/或MA-FE 310的MIP信令的认证。MH-FE 320创建绑定记录后,向传输位置管理功能实体TLM-FE 375通知隧道建立信息。当CPE 300处于活动状态时,MH-FE与RACF 365交互来请求资源。
网络接入配置功能实体(NAC-FE)385负责为CPE 300分配IP地址和网络配置参数。
传输认证授权功能实体(TAA-FE)360负责对CPE 300进行认证授权,为CPE 300提供HoA和MH-FE地址,为MA-FE 310和MH-FE 320分配密钥材料。CPE 300用TAA-FE 360提供的随机数派生密钥,该密钥用于MIP消息的认证扩展选项,MH-FE 340根据该扩展对MIP信令进行完整性检查。
传输用户描述功能实体(TUP-FE)357存储用户描述信息,包括用户标识、认证方法、密钥材料、HoA和MH-FE 320地址信息等。
参考点TC-TC10355用来在MH-FE 320和TAA-FE 360之间传递信息。MH-FE 320可以从TAA-FE 360获取密钥材料来验证CPE 300的MIP控制信令。对动态获取HoA和MH-FE 320地址的情况,TAA-FE 360可以从MH-FE320中提取HoA和/或MH-FE地址。
进一步地,MA-FE 310和接入管理功能实体AM-FE 340都可以作为RADIUS(Remote Authentication Dial In User Service,远程用户拨号认证***)/Diameter客户端或DHCP(Dynamic Host Configuration Protocol,动态主机配置协议)中继,因此MA-FE和AM-FE是在逻辑上重叠的。为了重用AM-FE已有的参考点,MA-FE和AM-FE需要内部接口,或者另一个选择就是AM-FE与MA-FE共存。
图4示出了本发明的NGN中MIPv4情况下CPE的附着流程,该流程分为以下几个主要步骤:
步骤410,接入认证和授权:通过传输用户标识符,如NAI(NetworkAccess Identifier,网络接入标识符)来认证用户接入,为CPE分配HoA和MH-FE地址,把密钥分配给MH-FE和MA-FE以和CPE建立移动安全关联(MSA);
步骤420,IP配置:NAC-FE或MA-FE为CPE分配CoA;
步骤430,位置管理:CPE把位置信息注册到TLM-FE,然后该信息被推到RACF中;
步骤440,隧道建立:CPE把绑定信息注册到MH-FE,如果MH-FE中的密钥不存在,则MH-FE从TAA-FE中请求密钥材料来检查MIP信令;记录更新后,MH-FE向TLM-FE通知当前隧道的状态。
NGN中MIPv4情况下CPE详细的附着流程如下:
步骤411:CPE附着网络后,CPE发起认证和授权请求,CPE可以由NAI来标识,于是HoA(动态家乡地址)和HA(家乡代理)地址可以动态地分配,CPE需要提供凭证(如共享密钥或数字证书)给TAA-FE;
步骤412:TAA-FE从TUP-FE中查询用户描述信息,如密钥材料、HoA、HA地址等,这样TAA-FE可以根据这些用户描述信息对CPE进行认证;
步骤413:成功认证后,如果请求中HoA和HA字段设置为ALL-ZERO-ONE-ADDR地址,则TAA-FE可以从HA中动态地发现HoA和HA地址;
步骤414:TAA-FE把密钥分配给MH-FE和MA-FE,MH-FE和CPE建立移动安全关联(MSA);
步骤415:TAA-FE将认证和授权响应返回给CPE,其中包含CPE导出密钥的随机值、HoA和HA地址;
步骤421:NAC-FE通过PPP(Point to Point Protocol,点对点协议)IPCP(Internet Protocol Control Protocol,网间协议控制协议)或DHCP给CPE分配IP地址,即共存CoA。
步骤422:如果不使用步骤325,CPE可以和MA-FE交换MIP请求或通告消息来获取FA CoA;
步骤431:CPE通过TAA-FE把位置信息注册到TLM-FE;
步骤432:TLM-FE把包含位置的描述信息推到RACF;
步骤441:CPE根据NAI、CoA和HoA构造RRQ(Registration Request,注册请求)消息,CPE通过MA-FE把绑定注册到MH-FE;
步骤442:MH-FE可以使用TAA-FE分配的密钥来检查MIP信令,如果MH-FE中不存在该密钥,MH-FE向TAA-FE发送访问请求,TAA-FE向MH-FE返回包含共享密钥的接入响应,这样MH-FE就可以对MIP RRQ信令进行验证;
步骤443:MH-FE更新绑定记录后向TLM-FE通知当前的隧道状态;
步骤444:TLM-FE把用户描述信息推到RACF;
步骤445:MH-FE把MIP RRP(Registration Reply,注册响应)送到MA-FE,MA-FE然后把该消息转发到CPE。
以上所述实施例仅是为充分说明本发明而所举的较佳的实施例,本发明的保护范围不限于此。本技术领域的技术人员在本发明基础上所作的等同替代或变换,均在本发明的保护范围之内。本发明的保护范围以权利要求书为准。

Claims (7)

1.一种下一代网络中支持移动性安全的方法,其特征在于,
网络中设置传输认证授权功能实体TAA-FE和移动代理功能实体,所述移动代理功能实体与所述TAA-FE之间建立传输密钥材料的参考点;
当终端移动时,所述移动代理功能实体从所述TAA-FE处接收密钥材料,对所述终端和移动代理功能实体之间的信令进行安全保护;
所述移动代理功能实体包括移动接入功能实体MA-FE和移动家乡功能实体MH-FE;
所述终端移动时,附着网络的流程包括:
认证授权步骤:所述终端发起认证和授权请求,提供凭证给所述TAA-FE,所述TAA-FE向传输用户描述功能实体TUP-FE查询用户描述信息,根据所述用户描述信息对所述终端进行认证,若认证成功,所述TAA-FE向所述MH-FE和MA-FE发送密钥,所述MH-FE与所述终端建立移动安全关联;
IP配置步骤:所述TAA-FE将认证和授权响应返回给终端,其中包含终端导出密钥的随机值、动态家乡地址HoA和家乡地址HA;所述终端获取临时地址CoA;
位置管理步骤:所述终端把位置信息注册到传输位置管理功能实体TLM-FE,TLM-FE将所述信息发送到资源准入控制功能实体RACF中;
隧道建立步骤:所述终端根据网络接入标识NAI、CoA和HoA构造注册请求消息RRQ,并把绑定注册到所述MH-FE;所述MH-FE根据所述TAA-FE发送的密钥对所述终端的移动IP信令进行验证,验证通过后,所述MH-FE将当前隧道状态通知TLM-FE,并通过所述MA-FE将把移动IP注册响应消息RRP发送到所述终端。
2.如权利要求1所述的方法,其特征在于,所述终端向所述TAA-FE提供的凭证包括:共享密钥、数字证书。
3.如权利要求1所述的方法,其特征在于,所述终端通过以下方式之一获取CoA:
网络接入配置功能实体NAC-FE给终端分配IP地址,即共存CoA;
所述终端通过和所述MA-FE交换移动IP请求或通告消息来获取外部代理CoA。
4.如权利要求1所述的方法,其特征在于,所述TLM-FE接收到所述MH-FE发送的当前隧道状态后,将描述信息发送给RACF。
5.如权利要求4所述的方法,其特征在于,所述描述信息包括密钥材料、HoA、HA、认证授权、IP配置、位置中的一个或任意组合。
6.一种下一代网络中支持移动性安全的***,包括:
传输用户描述功能实体TUP-FE,用于存储用户描述信息;
传输认证授权功能实体TAA-FE,用于接收终端的授权认证请求后,向所述TUP-FE查询用户描述信息,并根据查询到的用户描述信息对所述终端进行授权认证;
其特征在于,还包括:
移动代理功能实体,用于从所述TAA-FE获得密钥材料,并根据所述密钥材料对所述终端的信令进行安全保护;
所述移动代理功能实体包括移动接入功能实体MA-FE和移动家乡功能实体MH-FE,其中,
所述MA-FE,用于向所述终端提供临时地址,为所述终端提供路由服务;所述MA-FE还用于中转所述终端的移动IP信令以及对所述终端进行认证;当所述终端处于活动状态时,所述MA-FE还用于与资源准入控制功能实体RACF交互来请求资源;
所述MH-FE,用于把报文送往离开家乡的终端,维护所述终端的绑定信息;当所述终端接入需要动态家乡地址和MH-FE地址时,所述MH-FE可以向所述TAA-FE提供动态家乡地址和MH-FE地址;所述MH-FE还用于从所述TAA-FE请求密钥材料以完成对所述终端或MA-FE的MIP信令的认证;所述MH-FE还用于在创建绑定记录后,向传输位置管理功能实体TLM-FE通知隧道建立信息;当所述终端处于活动状态时,所述MH-FE还用于与RACF交互来请求资源。
7.如权利要求6所述的***,其特征在于,所述用户描述信息包括密钥材料、HoA、HA、认证授权、IP配置、位置中的一个或任意组合。
CN2008101265146A 2008-06-24 2008-06-24 下一代网络中支持移动性安全的方法与*** Active CN101321395B (zh)

Priority Applications (4)

Application Number Priority Date Filing Date Title
CN2008101265146A CN101321395B (zh) 2008-06-24 2008-06-24 下一代网络中支持移动性安全的方法与***
EP09768788.3A EP2299748B1 (en) 2008-06-24 2009-06-24 Method and system for supporting mobility security in the next generation network
PCT/CN2009/072433 WO2009155863A1 (zh) 2008-06-24 2009-06-24 下一代网络中支持移动性安全的方法与***
US12/999,282 US8561150B2 (en) 2008-06-24 2009-06-24 Method and system for supporting mobility security in the next generation network

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN2008101265146A CN101321395B (zh) 2008-06-24 2008-06-24 下一代网络中支持移动性安全的方法与***

Publications (2)

Publication Number Publication Date
CN101321395A CN101321395A (zh) 2008-12-10
CN101321395B true CN101321395B (zh) 2012-01-11

Family

ID=40181149

Family Applications (1)

Application Number Title Priority Date Filing Date
CN2008101265146A Active CN101321395B (zh) 2008-06-24 2008-06-24 下一代网络中支持移动性安全的方法与***

Country Status (4)

Country Link
US (1) US8561150B2 (zh)
EP (1) EP2299748B1 (zh)
CN (1) CN101321395B (zh)
WO (1) WO2009155863A1 (zh)

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101321395B (zh) * 2008-06-24 2012-01-11 中兴通讯股份有限公司 下一代网络中支持移动性安全的方法与***
CN101730093B (zh) * 2009-02-20 2013-01-16 中兴通讯股份有限公司 安全切换方法及***
CN102006591A (zh) * 2009-08-31 2011-04-06 中兴通讯股份有限公司 数据传输安全保护方法、认证服务器及终端
EP2750349A1 (en) * 2012-12-31 2014-07-02 British Telecommunications public limited company Method and device for secure network access
US9436819B2 (en) * 2014-09-23 2016-09-06 Intel Corporation Securely pairing computing devices

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1658547A (zh) * 2004-02-16 2005-08-24 华为技术有限公司 密钥分发方法

Family Cites Families (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6418130B1 (en) * 1999-01-08 2002-07-09 Telefonaktiebolaget L M Ericsson (Publ) Reuse of security associations for improving hand-over performance
KR20050040047A (ko) * 2003-10-27 2005-05-03 엘지전자 주식회사 차세대망에서의 음성 인식 콜 서비스 시스템 및 방법
CN100571133C (zh) 2004-02-17 2009-12-16 华为技术有限公司 媒体流安全传输的实现方法
EP2416613B1 (en) * 2005-12-28 2016-11-09 Huawei Technologies Co., Ltd. Method for realizing mobile IP management and the network system thereof
EP1906612A1 (en) * 2006-09-26 2008-04-02 Nokia Siemens Networks Gmbh & Co. Kg Roaming support in stationary WiMAX networks
KR100981963B1 (ko) * 2007-07-06 2010-09-13 한국전자통신연구원 차세대 네트워크에서 서비스 네트워크와 액세스 네트워크 간 번들 인증을 위한 서비스 네트워크와 액세스 네트워크 내 노드 인증 및 노드 동작 방법
CN101321395B (zh) * 2008-06-24 2012-01-11 中兴通讯股份有限公司 下一代网络中支持移动性安全的方法与***
CN101621374A (zh) * 2008-06-30 2010-01-06 华为技术有限公司 一种网络认证的方法、装置、***及服务器
KR101001555B1 (ko) * 2008-09-23 2010-12-17 한국전자통신연구원 네트워크 id 기반 연합 및 싱글사인온 인증 방법
CN101730093B (zh) * 2009-02-20 2013-01-16 中兴通讯股份有限公司 安全切换方法及***

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1658547A (zh) * 2004-02-16 2005-08-24 华为技术有限公司 密钥分发方法

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
姚昕.移动IPv4动态家乡代理的研究.《昆明理工大学硕士学位论文》.2005,正文第2页第4段、第30页第10段. *
魏薇.下一代网络中网络附着子***的研究.《C114中国通信网》.2007,全文. *

Also Published As

Publication number Publication date
EP2299748A4 (en) 2014-06-04
EP2299748B1 (en) 2015-08-26
US8561150B2 (en) 2013-10-15
US20110093932A1 (en) 2011-04-21
CN101321395A (zh) 2008-12-10
EP2299748A1 (en) 2011-03-23
WO2009155863A1 (zh) 2009-12-30

Similar Documents

Publication Publication Date Title
US8462696B2 (en) Method, radio system, mobile terminal and base station for providing local breakout service
EP0944203B1 (en) Mobile internet access
KR101467780B1 (ko) 이기종 무선접속망간 핸드오버 방법
JP5227960B2 (ja) プロキシ・モバイルip向けパケット転送
CN101803413B (zh) 用于在通信网络之间漫游的方法和设备
WO2010119707A1 (en) Apparatus for management of local ip access in a segmented mobile communication system
JP4636289B2 (ja) 移動通信システム、コアネットワーク、無線ネットワークシステム及びその収容ネットワーク選択方法
KR100945612B1 (ko) 클라이언트-모바일-ip(cmip) 대신프록시-모바일-ip(pmip)의 가입자-지정 강화
US8289929B2 (en) Method and apparatus for enabling mobility in mobile IP based wireless communication systems
CN101534501B (zh) 本地移动锚点注册的方法、***及设备
CN102695236B (zh) 一种数据路由方法及***
US20140269588A1 (en) Radio communication device for mobile communication system
WO2007004208A1 (en) Transfer of secure communication sessions between wireless networks access points
JP4613926B2 (ja) 移動体通信網と公衆網間でのハンドオーバー方法および通信システム
CN103796281A (zh) 分组数据网络类型的管理方法、装置及***
CN101321395B (zh) 下一代网络中支持移动性安全的方法与***
US20100118774A1 (en) Method for changing radio channels, composed network and access router
CN101790146B (zh) 分配地址信息的方法、网络设备和网络***
CN101335676B (zh) 基于移动ip的会话控制方法
CN101998399A (zh) 一种实现终端快速切换的方法和***
CN102395129A (zh) 独立于介质的预验证改进的框架
EP1906612A1 (en) Roaming support in stationary WiMAX networks
US20100135244A1 (en) REDUCTION OF HANDOVER DELAYS IN NESTED PROXY MOBILE IPv6/MOBILE IPv6 NETWORKS
KR101778165B1 (ko) Ip기반의 이동성 제어 시스템 및 그 방법
KR100932280B1 (ko) 통신망 사이의 이동성 지원 제공 방법

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant