CN101656959A - PMIP中HA获取MN-HA key的方法、设备及*** - Google Patents
PMIP中HA获取MN-HA key的方法、设备及*** Download PDFInfo
- Publication number
- CN101656959A CN101656959A CN200910161980A CN200910161980A CN101656959A CN 101656959 A CN101656959 A CN 101656959A CN 200910161980 A CN200910161980 A CN 200910161980A CN 200910161980 A CN200910161980 A CN 200910161980A CN 101656959 A CN101656959 A CN 101656959A
- Authority
- CN
- China
- Prior art keywords
- authentication
- key
- message
- aaa server
- aaa
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/043—Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
- H04W12/0431—Key distribution or pre-distribution; Key agreement
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/062—Pre-authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W80/00—Wireless network protocols or protocol adaptations to wireless operation
- H04W80/04—Network layer protocols, e.g. mobile IP [Internet Protocol]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明公开了一种PMIP中HA获取MN-HA key的方法、设备及***,用以解决现有PMIP中,在HA不支持本地配置MN-HA key的情况下,HA无法从AAA服务器处获取MN-HA key的问题。包括:HA在接收到FA代替MS发送的MIP RRQ消息时,向MS归属的AAA服务器发送第一鉴权请求消息,其中携带的用户密码为HA-AAA key;HA接收AAA服务器返回的携带MN-HAkey的第一鉴权应答消息,所述第一鉴权应答消息是AAA服务器使用本地配置的HA-AAA key对第一鉴权请求消息中携带的用户密码进行鉴权,并在鉴权通过后返回的;并从第一鉴权应答消息中获取MN-HA key。
Description
技术领域
本发明涉及移动接入领域,尤其涉及一种PMIP(代理移动互联网协议)中HA(家乡代理)获取MN-HA key(用户与家乡代理之间的密钥)的方法、设备及***。
背景技术
MIP(Mobile Internet Protocol,移动互联网协议)是为了保持终端在移动过程中的连接性而设计的,MIP包括Mobile IPv4(RFC 3344)和Mobile IPv6(RFC 3775)两个版本。基于IPv4的MIP定义了三种功能实体:MN(MobileNode,移动节点)、HA(Home Agent,归属代理,也称为家乡代理)和FA(ForeignAgent,漫游地代理,也称为外地代理),HA和FA可以统称为移动代理。基于MIP技术,MN能够实现以固定的IP地址的网络漫游功能。当MN处于归属网络时,使用固定的IP地址即HoA(Home of Address,家乡地址)与对端节点进行通信。当MN处于漫游地网络时,MN在归属网络中拥有的HoA不变,同时基于代理发现协议发现一个FA,并获得FA为其分配的临时的IP地址即CoA(Care of Address,转交地址);MN获得新的CoA时,通过FA向HA注册HoA与CoA的绑定关系,并由HA负责维护HoA与CoA的绑定列表。当有发往MN(目的地址为HoA)的数据包时,MN归属的HA截取该数据包,并根据MN注册的CoA,通过隧道将数据包传送给MN。MIP通过引入HA、FA两个新的功能实体和隧道技术,在不改变现有互联网中路由规则的前提下,解决了终端漫游时的路由问题,无需改变MN的IP地址即可保持上层的通信连接。
随着移动通信技术的发展,移动通信***的分组域子***可以向MS(移动终端)提供基于MIP的公网或专网接入业务。采用MIP接入方式时,HA和AAA(Authentication Authorization and Accounting,鉴权授权计费)服务器都必须对MS进行鉴权。
MIP可以分为CMIP(Client MIP,客户端移动IP)和PMIP(Proxy MIP,代理移动IP)两种模式。如果MS支持MIP功能则采用CMIP模式,MS可以作为MIP客户端主动发送MIP RRQ(MIP Registration Request,MIP注册请求)消息,该消息中携带了MN-AAA key(用户与AAA服务器之间的密钥),MN-AAA key也就是通常所说的用户密码(Password);如果MS不支持MIP功能则采用PMIP模式,由FA作为MIP客户端代替MS发送MIP-RRQ消息,该消息中没有携带MN-AAA key。
现有技术中,HA为了对MS进行鉴权,需要配置MN-HA key(用户与家乡代理之间的密钥),而有些HA不支持本地配置MN-HA key,所以HA需要从AAA服务器处获取MN-HA key,具体的获取流程包括:HA向AAA服务器发送Access Request(鉴权请求)消息,请求AAA服务器对MS进行鉴权,该消息中携带用户名(NAI)和用户密码(Password即MN-AAA key)),AAA服务器在鉴权通过后,向HA下发MN-HA key。
由于PMIP中FA代替MS发送MIP RRQ消息,该消息中没有携带MN-AAAkey,也就是说没有携带用户密码(Password),则HA无法得知该用户密码;如果HA不支持本地配置MN-HA key,为了从AAA服务器处获取MN-HA key,HA向AAA服务器发送的Access Request消息中又必须携带该用户密码。可见现有PMIP中,在HA不支持本地配置MN-HA key的情况下,存在着HA无法从AAA服务器处获取MN-HA key的问题。
发明内容
本发明提供一种PMIP中HA获取MN-HA key的方法、设备及***,用以解决现有PMIP中,在HA不支持本地配置MN-HA key的情况下,HA无法从AAA服务器处获取MN-HA key的问题。
本发明提供了一种代理移动互联网协议PMIP中家乡代理HA获取用户与家乡代理之间的密钥MN-HA key的方法,包括:
HA在接收到漫游地代理FA代替移动终端MS发送的MIP注册请求MIP-RRQ消息时,向所述MS归属的鉴权授权计费AAA服务器发送第一鉴权请求消息,其中携带的用户密码为HA与AAA服务器之间的密钥HA-AAAkey;
HA接收所述AAA服务器返回的携带MN-HA key的第一鉴权应答消息,所述第一鉴权应答消息是所述AAA服务器使用本地配置的HA-AAA key对第一鉴权请求消息中携带的用户密码进行鉴权,并在鉴权通过后返回的;并
从所述第一鉴权应答消息中获取MN-HA key。
本发明提供了一种家乡代理HA设备,包括:
处理单元,用于在接收到漫游地代理FA代替移动终端MS发送的MIP注册请求MIP-RRQ消息时,向所述MS归属的鉴权授权计费AAA服务器发送第一鉴权请求消息,其中携带的用户密码为HA与AAA服务器之间的密钥HA-AAA key;
接收单元,用于接收所述AAA服务器返回的携带MN-HA key的第一鉴权应答消息,所述第一鉴权应答消息是所述AAA服务器使用本地配置的HA-AAA key对第一鉴权请求消息中携带的用户密码进行鉴权,并在鉴权通过后返回的;
获取单元,用于从所述第一鉴权应答消息中获取MN-HA key。
本发明提供了一种代理移动互联网协议PMIP中家乡代理HA获取用户与家乡代理之间的密钥MN-HA key的方法,包括:
AAA服务器接收HA发送的第一鉴权请求消息,所述第一鉴权请求消息中携带的用户密码为HA与AAA服务器之间的密钥HA-AAA key;
所述AAA服务器使用本地配置的HA-AAA key对所述第一鉴权请求消息中携带的用户密码进行鉴权;并
在鉴权通过后向所述HA返回携带MN-HA key的第一鉴权应答消息,使所述HA从接收到的第一鉴权应答消息中获取MN-HA key。
本发明提供了一种鉴权授权计费AAA服务器设备,包括:
接收单元,用于接收家乡代理HA发送的第一鉴权请求消息,所述第一鉴权请求消息中携带的用户密码为HA与AAA服务器之间的密钥HA-AAA key;
鉴权单元,用于使用本地配置的HA-AAA key对所述第一鉴权请求消息中携带的用户密码进行鉴权;
发送单元,用于在鉴权通过后向所述HA返回携带MN-HA key的第一鉴权应答消息,使所述HA从接收到的第一鉴权应答消息中获取MN-HA key。
本发明提供了一种代理移动互联网协议PMIP中家乡代理HA获取用户与家乡代理之间的密钥MN-HA key的***,包括漫游地代理FA、家乡代理HA和鉴权授权计费AAA服务器,其中:
所述FA,用于代替移动终端MS向所述MS归属的HA发送MIP注册请求MIP-RRQ消息;
所述HA,用于在接收到所述MIP-RRQ消息时,向所述MS归属的AAA服务器发送第一鉴权请求消息,其中携带的用户密码为HA与AAA服务器之间的密钥HA-AAA key;接收所述AAA服务器返回的携带MN-HA key的第一鉴权应答消息,并从所述第一鉴权应答消息中获取MN-HA key;
所述AAA服务器,用于接收所述第一鉴权请求消息,使用本地配置的HA-AAA key对所述第一鉴权请求消息中携带的用户密码进行鉴权,并在鉴权通过后向所述HA返回所述第一鉴权应答消息。
本发明提供的PMIP中HA获取MN-HA key的方法、设备及***,针对PMIP中HA不支持本地配置MN-HA key的情况提出,HA在接收到FA代替MS发送的MIP RRQ消息时,向MS归属的AAA服务器发送鉴权请求消息,将HA-AAA key作为用户密码,由于HA和AAA服务器预先配置了HA-AAAkey,AAA服务器可以对鉴权请求消息中携带的用户密码进行鉴权,并在鉴权通过后返回携带MN-HA key的鉴权应答消息,使得HA能够从鉴权应答消息中获取MN-HA key。本发明解决了在HA不支持本地配置MN-HA key的情况下,HA无法从AAA服务器处获取MN-HA key的问题,使得PMIP中HA仍然能够从AAA服务器处获取MN-HA key,为MIP会话的成功建立打下基础。
附图说明
图1为本发明实施例提供的PMIP中HA获取MN-HA key的方法流程图;
图2为现有CMIP中MIP会话的建立流程图;
图3为本发明实施例提供的PMIP中MIP会话的建立流程图;
图4为CDMA2000***中分组域子***的网络架构示意图;
图5为CDMA2000***中,本发明实施例提供的PMIP中MIP会话的建立流程图;
图6为本发明实施例提供的PMIP中HA获取MN-HA key的***框图;
图7为本发明实施例提供的HA设备的结构框图;
图8为本发明实施例提供的AAA服务器设备的结构框图。
具体实施方式
首先定义几个基本概念,如果移动通信***的分组域子***可以向MS提供基于MIP的公网或专网接入业务,则移动通信***中的MS即为MIP中的功能实体MN,本发明实施例中MS采用MIP接入方式,故可称为MIP用户;具备HA功能的网络实体同样称为HA,具备FA功能的网络实体同样称为FA,MS归属的AAA服务器称为H-AAA(归属鉴权授权计费)服务器,漫游地网络中的AAA服务器称为V-AAA(拜访鉴权授权计费)服务器。H-AAA和V-AAA是相对MS而言的,对于任一AAA服务器来说,可能是某些MS的H-AAA,而是另外一些MS的V-AAA。
首先介绍现有CMIP中,在HA不支持本地配置MN-HA key的情况下,MIP会话的建立流程,如图1所示,包括如下步骤:
S101、MS接入漫游地网络中的FA,MS与FA进行LCP(Link ControlProtocol,连接控制协议)协商;
S102、MS与FA进行IPCP(Internet protocol control Protocol,互联网协议控制协议)协商,其中MS发出的IPCP配置请求中不携带IP地址选项,表明MS为MIP用户;
S103、FA得知MS为MIP用户,向MS发送MIP Agent Advertisement(MIP代理广播)消息;
S104、MS发送MIP RRQ(MIP注册请求)消息,请求建立MIP会话,其中携带用户名(NAI)和MN-AAA key即用户密码;
S105、FA接收到MIP RRQ消息后,向H-AAA服务器发送Access Request(鉴权请求)消息,其中携带MIP RRQ消息中的用户名和MN-AAA key即用户密码,请求H-AAA服务器对MS进行鉴权;
FA无法对MS进行鉴权,作为AAA服务器的客户端,FA向本地的AAA服务器(相对于MS来说是拜访地网络中的AAA服务器)即V-AAA服务器发送Access Request(鉴权请求)消息,因为MS相对于V-AAA服务器来说是外地用户,V-AAA服务器基于RADIUS(远端认证拨号接入服务)协议请求MS归属的AAA服务器即H-AAA服务器对MS进行鉴权,V-AAA服务器和H-AAA服务器之间进行通信时可能还需要沿途的B-AAA(Broker AAA,中间鉴权授权计费)服务器的参与,相当于FA向H-AAA服务器发送Access Request消息。
S106、H-AAA在鉴权通过后,向FA返回Access Accept(鉴权应答)消息,其中携带用户的授权信息,用户的授权信息中包括MN-HA key;
S107、FA在MS鉴权通过后,将MS发送的MIP RRQ消息转发给HA,其中携带MN-AAA key即用户密码和加密后的MN-HA key;
S108、HA向H-AAA发送Access Request(鉴权请求)消息,其中携带MIPRRQ消息中的用户名(NAI)和MN-AAA key即用户密码;
S109、H-AAA在鉴权通过后,向HA返回Access Accept(鉴权应答)消息,其中携带MN-HA key;
S110、HA使用该Access Accept消息中携带的MN-HA key,对FA转发的MIPRRQ消息中携带的加密后的MN-HA key进行鉴权,在鉴权通过后为MS建立MIP会话,并向FA返回MIP RRP(MIP Registration Response,MIP注册应答)消息,其中携带用户的授权信息,用户的授权信息中包括为MS分配的IP地址;
S111、FA将HA返回的MIP RRP消息转发给MS,MS(MIP用户)接入成功;
S112、FA向H-AAA发送Acct Request/start(计费请求)消息;
S113、H-AAA向FA返回Acct Response(计费应答)消息;
后续,MS可以传输数据包。
针对现有PMIP中,在HA不支持本地配置MN-HA key的情况下,HA无法从AAA服务器处获取MN-HA key的问题,本发明人发现该问题的关键在于:PMIP中由FA代替MS发送MIP RRQ消息,该消息中没有携带MN-AAA key,也就是说没有用户密码,HA无法得知该用户密码,使得Access Request消息中无法携带用户密码,导致AAA服务器无法进行鉴权,从而不会向HA下发MN-HA key。基于此,本发明实施例提出:HA将HA-AAA key(HA与AAA服务器之间的密钥)作为用户密码携带在向AAA服务器发送的Access Request消息中。HA-AAA key是HA与AAA服务器之间相互鉴权的依据,在MIP用户接入之前,HA-AAA key必须在HA和AAA服务器中预先配置,使用HA-AAA key作为用户密码携带在Access Request消息中使得上述问题得以解决。
如图2所示,本发明实施例提供了一种PMIP中HA获取MN-HA key的方法,包括
S201、FA代替MS向HA发送MIP RRQ(MIP注册请求)消息,该消息中没有携带MN-AAA key即用户密码;
S202、HA在接收到MIP RRQ消息时,向MS归属的AAA服务器即H-AAA服务器发送Access Request(鉴权请求)消息,其中携带的用户密码为HA-AAAkey;
S203、H-AAA服务器使用本地配置的HA-AAA key对Access Request消息中携带的用户密码进行鉴权;
S204、在鉴权通过后,AAA服务器向HA返回携带MN-HA key的AccessAccept(鉴权应答)消息;
S205、HA接收H-AAA服务器返回的该Access Accept消息,并从AccessAccept消息中获取MN-HA key。
基于上述PMIP中HA获取MN-HA key的方法,本发明实施例提供的PMIP中,在HA不支持本地配置MN-HA key的情况下,MIP会话的建立流程,如图3所示,包括:
S301~S302、MS接入漫游地网络中的FA,MS与FA进行LCP协商,并在LCP协商成功后协商鉴权方式;
S303、MS根据协商成功的CHAP鉴权方式向FA发送鉴权消息,其中携带用户名和用户密码密文、以及MPA(Mobile Proxy Agent,移动代理服务器代理)功能属性,表明不支持MIP功能;
S304、FA根据接收到的鉴权消息,向H-AAA服务器发送Access-Request(鉴权请求)消息,其中携带用户名和用户密码密文,请求H-AAA服务器对MS进行鉴权;
S305、H-AAA服务器在鉴权通过后,向FA返回Access Accept(鉴权应答)消息,其中携带MN-HA key并表明支持MPA功能属性;
S306、FA根据接收到的Access Accept消息,得知MS使用MPA功能,则代替MS向HA发送MIP RRQ消息,其中携带加密后的MN-HA key;
S307、HA向H-AAA服务器发送Access-Request(鉴权请求)消息,其中携带的用户密码为HA-AAA key;
S308、H-AAA服务器使用预先配置的HA-AAA key对Access Request消息中携带的用户密码进行鉴权,在鉴权通过后,向HA返回Access Accept(鉴权应答)消息,其中携带MN-HA key;
S309、HA从Access Accept消息中获取MN-HA key,使用获取到的MN-HAkey对MIP RRQ消息中携带的加密后的MN-HA key进行鉴权,在鉴权通过后为MS建立MIP会话,并向FA返回MIP RRP(MIP注册应答)消息,其中携带为MS分配的IP地址。
S310、FA向MS返回鉴权成功消息;
S311、MS与FA进行IPCP协商,并在协商成功后将HA分配给MS的IP地址通知给MS,MS(MIP用户)接入成功;
S312、MS接入成功之后,FA向H-AAA发送Acct Request/start(计费请求)消息;
S313、H-AAA服务器向FA返回Acct Response(计费应答)消息;
后续,MS可以传输数据包。
在MIP会话的建立流程中,HA向H-AAA服务器发送的Access Request消息中将HA-AAA key作为用户密码,H-AAA服务器根据本地配置的HA-AAA key对用户密码进行鉴权,并在鉴权通过后向HA返回MN-HA key,使得HA能够从H-AAA服务器处获取MN-HA key,从而完成对MS的鉴权,保证MIP会话的成功建立。
下面移动通信***以CDMA2000***为例进行说明。CDMA 2000***的分组域子***可向MS提供基于简单IP的公网/专网接入业务和基于MIP的公网/专网接入业务。当MS采用MIP方式接入时,可使用静态IP地址,也可使用动态IP地址,主要取决于MS归属的IP网络。在CDMA 2000***中,MIP得以应用的关键在于引入一个支持FA功能的网络实体PDSN(Packet DataService Node;分组数据服务节点)。
基于MIP的分组域子***的网络架构如图4所示,包括:MS、BSC(基站控制器)、PCF(分组控制功能)、MSC/VLR(移动交换中心/拜访位置寄存器)、HA、PDSN、AAA服务器等。其中:
MS(移动终端),例如手机或者无线网卡;
BSC和PCF为基站侧设备,PCF主要用于建立、维护和终止链路层到PDSN的连接,与RRC(无线资源控制)共同请求和管理无线资源,以便在MS之间转发数据包;
PDSN,在MIP会话的建立流程中相当于FA,负责转发MS发送的MIP RRQ消息,以及HA返回的MIP RRP消息;
HA,对MS进行鉴权并为MS分配IP地址的网元。
在CDMA 2000***中,本发明实施例提供的PMIP中,在HA不支持本地配置MN-HA key的情况下,MIP会话的建立流程,如图5所示,包括:
S501~S502、MS接入漫游地网络中的PDSN,MS与PDSN进行LCP协商,并在LCP协商成功后协商鉴权方式;
具体实施中,包括如下步骤:
步骤1、MS向PDSN发送LCP Configure-Request(LCP配置请求),启动LCP连接协商过程,以建立MS与PDSN之间的PPP连接;
步骤2、PDSN向MS返回LCP Configure-Ack(LCP配置应答),确认PPP连接已经建立;
如果PDSN不同意MS发送的某些配置选项值,则可以返回LCPConfigure-Nak(LCP配置拒绝)进行拒绝,MS将会重新发送一个与上次配置选项值不同的LCP Configure-Request给PDSN;
步骤3、PDSN向MS发送LCP Configure-Request,与MS协商鉴权方式;
PDSN首先协商使用CAHP(Challenge handshake authentication protocol,挑战握手鉴权协议)鉴权方式,如果协商不成功,则再次协商使用PAP(Passwordauthentication protocol,口令鉴权协议)鉴权方式;
步骤4、MS向PDSN返回LCP Configure-Ack,确认使用PDSN指定的鉴权方式;
如果MS不同意PDSN指定的鉴权方式,则可以返回LCP Configure-Nak进行拒绝,PDSN功能实体将会重新发送一个与上次配置选项值不同的LCPConfigure-Request给MS;
PAP方式为两次握手鉴权方式,口令为明文,PAP方式鉴权过程为:MS发送用户名和用户密码到PDSN功能实体,PDSN功能实体将用户名和用户密码存储在本地之后,向MS返回鉴权应答消息;
CHAP鉴权方式为三次握手鉴权方式,口令为密文,CHAP鉴权方式的鉴权过程为:MS发送用户名(NAI)到PDSN,PDSN将随机产生的数据包返回给MS,MS将用户密码用MD5算法进行加密,然后将用户密码密文发送给PDSN,PDSN将用户名和用户密码密文存储在本地之后,向MS返回鉴权应答消息;
S503、具体实施中,协商成功的鉴权方式为CAHP鉴权方式,MS根据协商成功的鉴权方式即CHAP鉴权方式启动鉴权过程,MS向PDSN发送鉴权消息,其中携带用户名和用户密码密文(用户密码即MN-AAA key)、以及MPA功能属性,表明不支持MIP功能;
S504、PDSN向H-AAA服务器发送Access-Request消息,其中携带用户名和用户密码密文,请求H-AAA服务器对MS进行鉴权;
S505、H-AAA服务器在鉴权通过后,向PDSN返回Access Accept消息,其中携带用户的授权信息,用户的授权信息包括MN-HA key并表明支持MPA功能属性;
S506、PDSN根据接收到的Access Accept消息,得知MS使用MPA功能,PDSN代替MS向HA发送MIP RRQ消息,其中携带加密后的MN-HA key;
S507、HA向H-AAA服务器发送Access-Request消息,其中用户密码属性对应的属性值为HA-AAA key;
S508、H-AAA服务器使用预先配置的HA-AAA key对Access Request消息中携带的用户密码进行鉴权,在鉴权通过后,向HA返回Access Accept消息,其中携带用户的授权信息,用户的授权信息中包括MN-HA key,以便HA对MN进行鉴权。
S509、HA使用Access Accept消息中携带的MN-HA key对MIP RRQ消息中携带的加密后的MN-HA key进行鉴权,在鉴权通过后为MS建立MIP会话,并向PDSN返回MIP RRP消息,其中携带用户的授权信息,用户的授权信息中包括为MS分配的IP地址。
S510、PDSN向MS返回鉴权成功消息;
S511、MS与PDSN进行IPCP协商,并在协商成功后将HA分配给MS的IP地址通知给MS,MS(MIP用户)接入成功;
S512、MS接入成功之后,PDSN向H-AAA发送Acct Request/start消息;
S513、H-AAA服务器向PDSN返回Acct Response消息;
后续,MS可以传输数据包。
MIP用户的接入、切换或者刷新时,均需执行上述流程,因此本发明实施例提供的HA获取MN-HA key的方法适用于MIP用户的接入、切换或者刷新等各种流程。
本发明实施例以CDMA 2000***为例进行说明,本领域普通技术人员可知,该方案能够应用于其它能够提供MIP接入方式的移动通信***中,只是在不同的网络架构中可能具有HA或FA功能的网络实体不同,但是核心思想和具体的实现流程相一致。
基于同一技术构思,本发明实施例提供了一种PMIP中HA获取MN-HAkey的***,如图6所示,包括FA 601、HA 602和AAA服务器603,其中:
FA 601,用于代替MS向MS归属的HA发送MIP RRQ消息;
HA 602,用于在接收到所述MIP RRQ消息时,向MS归属的AAA服务器发送第一鉴权请求消息,其中携带的用户密码为HA-AAA key;接收AAA服务器返回的携带MN-HA key的第一鉴权应答消息,并从第一鉴权应答消息中获取MN-HA key;
AAA服务器603,用于接收第一鉴权请求消息,使用本地配置的HA-AAAkey对第一鉴权请求消息中携带的用户密码进行鉴权,并在鉴权通过后向HA返回所述第一鉴权应答消息。
其中,HA设备的一种可能结构,如图7所示,包括:
处理单元701,用于在接收到FA代替MS发送的MIP RRQ消息时,向MS归属的AAA服务器发送第一鉴权请求消息,其中携带的用户密码为HA-AAA key;
接收单元702,用于接收AAA服务器返回的携带MN-HA key的第一鉴权应答消息,所述第一鉴权应答消息是AAA服务器使用本地配置的HA-AAA key对第一鉴权请求消息中携带的用户密码进行鉴权,并在鉴权通过后返回的;
获取单元703,用于从第一鉴权应答消息中获取MN-HA key。
其中,AAA服务器设备的一种可能结构,如图8所示,包括:
接收单元801,用于接收HA发送的第一鉴权请求消息,所述第一鉴权请求消息中携带的用户密码为HA-AAA key;
鉴权单元802,用于使用本地配置的HA-AAA key对第一鉴权请求消息中携带的用户密码进行鉴权;
发送单元803,用于在鉴权通过后向HA返回携带MN-HA key的第一鉴权应答消息,使HA从接收到的第一鉴权应答消息中获取MN-HA key。
本发明实施例提供的PMIP中HA获取MN-HA key的方案,针对PMIP中HA不支持本地配置MN-HA key的情况提出,HA在接收到FA代替MS发送的MIP-RRQ消息时,向MS归属的AAA服务器发送鉴权请求消息,将HA-AAAkey作为用户密码,由于HA和AAA服务器预先配置了HA-AAA key,AAA服务器可以对鉴权请求消息中携带的用户密码进行鉴权,并在鉴权通过后返回携带MN-HA key的鉴权应答消息,使得HA能够从鉴权应答消息中获取MN-HA key。本发明解决了在HA不支持本地配置MN-HA key的情况下,HA无法从AAA服务器处获取MN-HA key的问题,使得PMIP中HA仍然能够从AAA服务器处获取MN-HA key,为MIP会话的成功建立打下基础。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
Claims (10)
1、一种代理移动互联网协议PMIP中家乡代理HA获取用户与家乡代理之间的密钥MN-HA key的方法,其特征在于,包括:
HA在接收到漫游地代理FA代替移动终端MS发送的MIP注册请求MIPRRQ消息时,向所述MS归属的鉴权授权计费AAA服务器发送第一鉴权请求消息,其中携带的用户密码为HA与AAA服务器之间的密钥HA-AAA key;
HA接收所述AAA服务器返回的携带MN-HA key的第一鉴权应答消息,所述第一鉴权应答消息是所述AAA服务器使用本地配置的HA-AAA key对第一鉴权请求消息中携带的用户密码进行鉴权,并在鉴权通过后返回的;并
从所述第一鉴权应答消息中获取MN-HA key。
2、如权利要求1所述的方法,其特征在于,所述HA在接收到FA代替MS发送的MIP RRQ消息之前,还包括:
MS接入漫游地网络中的FA,MS与FA进行连接控制协议LCP协商,并在LCP协商成功后协商鉴权方式;
MS根据协商成功的挑战握手鉴权协议CHAP鉴权方式,向FA发送鉴权消息,其中携带用户名和用户密码密文、以及表明不支持MIP功能的移动代理服务器代理MPA功能属性;
FA根据接收到的鉴权消息,向所述AAA服务器发送第二鉴权请求消息,其中携带用户名和用户密码密文,请求所述AAA服务器对MS进行鉴权;
所述AAA服务器在鉴权通过后,向FA返回第二鉴权应答消息,其中携带MN-HA key并表明支持MPA功能属性;
FA根据接收到的第二鉴权应答消息,得知MS使用MPA功能,则代替MS向HA发送所述MIP RRQ消息,其中携带加密后的MN-HA key。
3、如权利要求2所述的方法,其特征在于,所述HA从所述第一鉴权应答消息中获取MN-HA key之后,还包括:
所述HA使用获取到的MN-HA key对所述MIP RRQ消息中携带的加密后的MN-HA key进行鉴权,在鉴权通过后为所述MS建立MIP会话,并向FA返回MIP注册应答MIP RRP消息,其中携带为所述MS分配的IP地址;
FA向MS返回鉴权成功消息。
4、如权利要求3所述的方法,其特征在于,所述FA向MS返回鉴权成功消息之后,还包括:
MS与FA进行互联网协议控制协议IPCP协商,在IPCP协商成功后FA将HA为MS分配的IP地址通知给MS,MS接入成功。
5、如权利要求4所述的方法,其特征在于,还包括:
MS接入成功之后,FA向所述向AAA服务器发送计费请求消息;
所述AAA服务器向所述FA返回计费应答消息。
6、如权利要求1至5任一所述的方法,其特征在于,在CDMA2000***中,具备FA功能的网络实体具体为分组数据服务节点PDSN。
7、一种家乡代理HA设备,其特征在于,包括:
处理单元,用于在接收到漫游地代理FA代替移动终端MS发送的MIP注册请求MIP RRQ消息时,向所述MS归属的鉴权授权计费AAA服务器发送第一鉴权请求消息,其中携带的用户密码为HA与AAA服务器之间的密钥HA-AAA key;
接收单元,用于接收所述AAA服务器返回的携带MN-HA key的第一鉴权应答消息,所述第一鉴权应答消息是所述AAA服务器使用本地配置的HA-AAA key对第一鉴权请求消息中携带的用户密码进行鉴权,并在鉴权通过后返回的;
获取单元,用于从所述第一鉴权应答消息中获取MN-HA key。
8、一种代理移动互联网协议PMIP中家乡代理HA获取用户与家乡代理之间的密钥MN-HA key的方法,其特征在于,包括:
AAA服务器接收HA发送的第一鉴权请求消息,所述第一鉴权请求消息中携带的用户密码为HA与AAA服务器之间的密钥HA-AAA key;
所述AAA服务器使用本地配置的HA-AAA key对所述第一鉴权请求消息中携带的用户密码进行鉴权;并
在鉴权通过后向所述HA返回携带MN-HA key的第一鉴权应答消息,使所述HA从接收到的第一鉴权应答消息中获取MN-HA key。
9、一种鉴权授权计费AAA服务器设备,其特征在于,包括:
接收单元,用于接收家乡代理HA发送的第一鉴权请求消息,所述第一鉴权请求消息中携带的用户密码为HA与AAA服务器之间的密钥HA-AAA key;
鉴权单元,用于使用本地配置的HA-AAA key对所述第一鉴权请求消息中携带的用户密码进行鉴权;
发送单元,用于在鉴权通过后向所述HA返回携带MN-HA key的第一鉴权应答消息,使所述HA从接收到的第一鉴权应答消息中获取MN-HA key。
10、一种代理移动互联网协议PMIP中家乡代理HA获取用户与家乡代理之间的密钥MN-HA key的***,其特征在于,包括漫游地代理FA、家乡代理HA和鉴权授权计费AAA服务器,其中:
所述FA,用于代替移动终端MS向所述MS归属的HA发送MIP注册请求MIP-RRQ消息;
所述HA,用于在接收到所述MIP RRQ消息时,向所述MS归属的AAA服务器发送第一鉴权请求消息,其中携带的用户密码为HA与AAA服务器之间的密钥HA-AAA key;接收所述AAA服务器返回的携带MN-HA key的第一鉴权应答消息,并从所述第一鉴权应答消息中获取MN-HA key;
所述AAA服务器,用于接收所述第一鉴权请求消息,使用本地配置的HA-AAA key对所述第一鉴权请求消息中携带的用户密码进行鉴权,并在鉴权通过后向所述HA返回所述第一鉴权应答消息。
Priority Applications (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2009101619802A CN101656959B (zh) | 2009-09-10 | 2009-09-10 | PMIP中HA获取MN-HA key的方法、设备及*** |
PCT/CN2010/072685 WO2011029313A1 (zh) | 2009-09-10 | 2010-05-12 | PMIP中HA获取MN-HA key的方法、设备及*** |
EP10814915.4A EP2477429B1 (en) | 2009-09-10 | 2010-05-12 | Method, apparatus and system for home agent obtaining mobile node-home agent key in proxy mobile internet protocol |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2009101619802A CN101656959B (zh) | 2009-09-10 | 2009-09-10 | PMIP中HA获取MN-HA key的方法、设备及*** |
Publications (2)
Publication Number | Publication Date |
---|---|
CN101656959A true CN101656959A (zh) | 2010-02-24 |
CN101656959B CN101656959B (zh) | 2012-02-29 |
Family
ID=41710988
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN2009101619802A Expired - Fee Related CN101656959B (zh) | 2009-09-10 | 2009-09-10 | PMIP中HA获取MN-HA key的方法、设备及*** |
Country Status (3)
Country | Link |
---|---|
EP (1) | EP2477429B1 (zh) |
CN (1) | CN101656959B (zh) |
WO (1) | WO2011029313A1 (zh) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2011029313A1 (zh) * | 2009-09-10 | 2011-03-17 | 中兴通讯股份有限公司 | PMIP中HA获取MN-HA key的方法、设备及*** |
WO2016082273A1 (zh) * | 2014-11-27 | 2016-06-02 | 中国科学院计算机网络信息中心 | 一种MIPv6中基于网络的DNS安全更新方法 |
CN114629683A (zh) * | 2022-02-11 | 2022-06-14 | 亚信科技(成都)有限公司 | 管理服务器的接入方法、装置、设备及存储介质 |
Family Cites Families (15)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7298847B2 (en) * | 2002-02-07 | 2007-11-20 | Nokia Inc. | Secure key distribution protocol in AAA for mobile IP |
KR100449489B1 (ko) * | 2002-10-23 | 2004-09-22 | 한국전자통신연구원 | 이동 노드와 홈 다이아메터 서버간의 aaa 비밀키재발급 방법 |
US7277416B1 (en) * | 2003-09-02 | 2007-10-02 | Cellco Partnership | Network based IP address assignment for static IP subscriber |
DE602004027488D1 (de) * | 2004-09-18 | 2010-07-15 | Zyxel Communications Corp | Vorrichtung und Verfahren zur dynamischen Zuweisung eines externen Lokalvertreters für private virtuelle Netze |
US8042154B2 (en) * | 2005-11-07 | 2011-10-18 | Cisco Technology, Inc. | Allowing network access for proxy mobile IP cases for nodes that do not support CHAP authentication |
WO2007056313A2 (en) * | 2005-11-07 | 2007-05-18 | Cisco Technology, Inc. | Allowing network access for proxy mobile ip cases for nodes that do not support chap authentication |
CN101075870B (zh) * | 2006-05-16 | 2010-08-25 | 华为技术有限公司 | 一种移动ip密钥的产生及分发方法 |
WO2007134547A1 (fr) * | 2006-05-24 | 2007-11-29 | Huawei Technologies Co., Ltd. | Procédé et système pour créer et distribuer une clé de sécurité ip mobile après réauthentification |
CN101094066A (zh) * | 2006-06-19 | 2007-12-26 | 华为技术有限公司 | 一种移动ip密钥的产生及分发方法 |
CN101106806B (zh) * | 2006-07-11 | 2012-04-25 | 华为技术有限公司 | 无线网络获得移动终端移动ip类型的方法、***及移动终端 |
CN101106452B (zh) * | 2006-07-12 | 2010-12-08 | 华为技术有限公司 | 移动ip密钥的产生及分发方法和*** |
CN101291215B (zh) * | 2007-02-15 | 2011-11-16 | 华为技术有限公司 | 移动ip密钥的产生及分发方法和装置 |
JP5044690B2 (ja) * | 2007-03-28 | 2012-10-10 | ノーテル・ネットワークス・リミテッド | Ipモビリティシステムのための動的な外部エージェント−ホーム・エージェント・セキュリティ・アソシエーション割当て |
KR101341720B1 (ko) * | 2007-05-21 | 2013-12-16 | 삼성전자주식회사 | 이동통신 시스템에서 프록시 이동 인터넷 프로토콜을 이용한 단말의 이동성 관리 방법 및 시스템과 이를 위한 단말의 홈 주소 할당 방법 |
CN101656959B (zh) * | 2009-09-10 | 2012-02-29 | 中兴通讯股份有限公司 | PMIP中HA获取MN-HA key的方法、设备及*** |
-
2009
- 2009-09-10 CN CN2009101619802A patent/CN101656959B/zh not_active Expired - Fee Related
-
2010
- 2010-05-12 WO PCT/CN2010/072685 patent/WO2011029313A1/zh active Application Filing
- 2010-05-12 EP EP10814915.4A patent/EP2477429B1/en not_active Not-in-force
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2011029313A1 (zh) * | 2009-09-10 | 2011-03-17 | 中兴通讯股份有限公司 | PMIP中HA获取MN-HA key的方法、设备及*** |
WO2016082273A1 (zh) * | 2014-11-27 | 2016-06-02 | 中国科学院计算机网络信息中心 | 一种MIPv6中基于网络的DNS安全更新方法 |
CN114629683A (zh) * | 2022-02-11 | 2022-06-14 | 亚信科技(成都)有限公司 | 管理服务器的接入方法、装置、设备及存储介质 |
CN114629683B (zh) * | 2022-02-11 | 2023-09-05 | 亚信科技(成都)有限公司 | 管理服务器的接入方法、装置、设备及存储介质 |
Also Published As
Publication number | Publication date |
---|---|
EP2477429A4 (en) | 2017-05-10 |
EP2477429A1 (en) | 2012-07-18 |
EP2477429B1 (en) | 2018-06-20 |
CN101656959B (zh) | 2012-02-29 |
WO2011029313A1 (zh) | 2011-03-17 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN101480018B (zh) | 在移动ip网络中创建安全关联的方法 | |
ES2321878T3 (es) | Activacion forzada especifica para un abonado de proxy mobiles ip (pmip) en lugar de client mobile ip (cmip). | |
JP4787250B2 (ja) | 無線通信におけるホームエージェントとホームアドレスとの動的割当て | |
KR101401605B1 (ko) | 접속에 특화된 키를 제공하기 위한 방법 및 시스템 | |
CN101300889B (zh) | 用于提供移动性密钥的方法和服务器 | |
JP2007508614A (ja) | 異種ipネットワークにおける認証のための装置および方法 | |
CN101785270A (zh) | 用于检测用户设备驻留在信赖的还是非信赖的接入网的方法和设备 | |
WO2007004208A1 (en) | Transfer of secure communication sessions between wireless networks access points | |
JP5044690B2 (ja) | Ipモビリティシステムのための動的な外部エージェント−ホーム・エージェント・セキュリティ・アソシエーション割当て | |
WO2007007311A1 (en) | Method for enabling mobility in mobile ip based wireless networks | |
CN101330719B (zh) | 一种无线网络中选择移动管理模式的方法 | |
WO2010049574A1 (en) | Connection management | |
CN101330453A (zh) | 用于无线网络的家乡代理地址获取方法 | |
CN102638782B (zh) | 一种分配家乡代理的方法及*** | |
CN101656959B (zh) | PMIP中HA获取MN-HA key的方法、设备及*** | |
US9596597B2 (en) | Mobile security protocol negotiation | |
US8561150B2 (en) | Method and system for supporting mobility security in the next generation network | |
CN101483636A (zh) | 移动ip的建立方法、***、客户端及锚点管理装置 | |
CN101447978B (zh) | 在WiMAX网络中拜访AAA服务器获取正确的HA-RK Context的方法 | |
CN101325798A (zh) | 一种无线网络中移动管理模式的选择方法 | |
KR100687721B1 (ko) | 모바일 IPv 6를 지원하는 다이아미터 AAA프로토콜의 확장 방법 | |
CN101179845B (zh) | 家乡代理与外地代理间的密钥管理方法及*** | |
CN101198157A (zh) | 一种变更移动节点家乡代理的方法 | |
KR101575578B1 (ko) | IPSec 보안 터널링을 통해 추가 서비스 정보를 제공하는 네트워크 시스템 및 IPSec 보안 터널링을 통해 추가 서비스 정보를 전송하는 방법 | |
Schnaufer et al. | BSMX: message exchange between unassociated WLAN devices |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20120229 Termination date: 20200910 |
|
CF01 | Termination of patent right due to non-payment of annual fee |