專利名稱:鑒權(quán)方法及系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及通信領(lǐng)域,具體而言,涉及一種鑒權(quán)方法及系統(tǒng)。
背景技術(shù):
全球微波接入互操作性(World Interoperability for MicrowaveAccess,簡(jiǎn)稱 為WiMAX)是基于IEEE 802. 16標(biāo)準(zhǔn)的寬帶無線接入技術(shù)。無線保真(Wireless Fidelity, 簡(jiǎn)稱為WiFi)網(wǎng)絡(luò)也是能夠提供較高帶寬的無線網(wǎng)絡(luò),該網(wǎng)絡(luò)目前已經(jīng)在辦公室、家庭和 賓館等場(chǎng)所大量部署。但是WiFi作為一種短距離無線技術(shù),其網(wǎng)絡(luò)覆蓋范圍較小(約100 米左右),一般只能作為其它無線技術(shù)組網(wǎng)的補(bǔ)充。不過WiFi網(wǎng)絡(luò)具有建網(wǎng)費(fèi)用低、易部署 等優(yōu)點(diǎn)。而WiMAX建網(wǎng)費(fèi)用比較高,因此,WiFi和WiMax網(wǎng)絡(luò)將在相當(dāng)長(zhǎng)時(shí)期內(nèi)共存。WiMAX系統(tǒng)與WiFi系統(tǒng)之間的網(wǎng)絡(luò)互通將有助于兩個(gè)網(wǎng)絡(luò)的優(yōu)勢(shì)互補(bǔ),擴(kuò)大網(wǎng)絡(luò) 的覆蓋范圍,圖1是根據(jù)相關(guān)技術(shù)的在用戶設(shè)備(User Equipment,簡(jiǎn)稱為UE)處于非漫 游場(chǎng)景下WiFi和WiMAX互通網(wǎng)絡(luò)的網(wǎng)絡(luò)架構(gòu)示意圖,如圖1所示,UE(或稱為終端)通過 WiMAX接入服務(wù)網(wǎng)絡(luò)以及通過WiFi網(wǎng)絡(luò)接入WiMAX核心網(wǎng)(Access Service Network,簡(jiǎn) 稱為ASN),該網(wǎng)絡(luò)架構(gòu)中包括如下網(wǎng)元互通單元(Interworking Function,簡(jiǎn)稱為IWK),位于WiMAX網(wǎng)絡(luò),負(fù)責(zé)終端通過 WiFi網(wǎng)絡(luò)初始接入WiMAX網(wǎng)絡(luò)、協(xié)調(diào)WiMAX與WiFi網(wǎng)絡(luò)之間的切換。接入點(diǎn)(Access Point,簡(jiǎn)稱為AP),位于WiFi網(wǎng)絡(luò),是一個(gè)具備無線信號(hào)發(fā)射功 能的集線器,它可為多臺(tái)無線上網(wǎng)設(shè)備提供對(duì)話匯接。相當(dāng)于有線網(wǎng)絡(luò)中的集線器或交換 機(jī)。接入控制器(AccessController,簡(jiǎn)稱 AC)位于 WiFi 網(wǎng)絡(luò),在 WiFi 與 Internet 之間起到網(wǎng)關(guān)功能,將來自不同AP的數(shù)據(jù)進(jìn)行匯聚、接入hternet。AC作為客戶端可以通 過網(wǎng)絡(luò)標(biāo)志來為用戶完成接入鑒權(quán)和認(rèn)證等。WiFi 信令轉(zhuǎn)發(fā)單元(WiFi Signal Forward Function,簡(jiǎn)稱 WiFiSFF)是一個(gè)在 WiMAX網(wǎng)絡(luò)中,負(fù)責(zé)轉(zhuǎn)發(fā)WiFi信令的網(wǎng)元。具體實(shí)現(xiàn)可能位于WiFi網(wǎng)絡(luò)或者獨(dú)立于WiMAX 禾口 WiFi網(wǎng)絡(luò)。WiMAX 信令轉(zhuǎn)發(fā)單元(WiMAX Signal Forward Function,簡(jiǎn)稱 WiMAX SFF)是一 個(gè)在WiFi網(wǎng)絡(luò)中,負(fù)責(zé)轉(zhuǎn)發(fā)WiMAX信令的網(wǎng)元。具體實(shí)現(xiàn)可能位于WiMAX網(wǎng)絡(luò)或者獨(dú)立于 WiMAX 禾口 WiFi 網(wǎng)絡(luò)。目前,在WiFi網(wǎng)絡(luò)和WiMAX網(wǎng)絡(luò)互通的系統(tǒng)中,當(dāng)終端通過WiFi網(wǎng)絡(luò)接入到 WiMAX核心網(wǎng)時(shí),處于安全的考慮,終端和WiMAX網(wǎng)絡(luò)中的認(rèn)證授權(quán)計(jì)費(fèi)(Authentication、 Authorization andAccounting,簡(jiǎn)稱為AAA)服務(wù)器之間會(huì)產(chǎn)生MSK和EMSK。圖2是根據(jù) 相關(guān)技術(shù)中的終端通過WiFi接入WiMAX核心網(wǎng)(移動(dòng)IPv4)的流程圖,如圖2所示,該流 程包括如下步驟步驟S201,終端從WiFi網(wǎng)絡(luò)發(fā)起接入鑒權(quán),WiFi網(wǎng)絡(luò)的鑒權(quán)器將接入請(qǐng)求消息發(fā) 送給互通單元上的AAA代理;
步驟S202,互通單元上的AAA代理將此接入請(qǐng)求消息發(fā)送WiMAX核心網(wǎng)的AAA服 務(wù)器;步驟S203,AAA服務(wù)器會(huì)將接入接受消息發(fā)送給AAA代理,其中,該接入接 受消息中攜帶有主會(huì)話密鑰(Master Session Key,簡(jiǎn)稱為MSK);擴(kuò)展主會(huì)話密鑰 (Extended Master Session Key,簡(jiǎn)稱為EMSK)的衍生密鑰,例如,終端-家鄉(xiāng)代理密鑰 (MobileNode-Home Agent,簡(jiǎn)稱為 MN-HA)、外部代理根密鑰(ForeignAgent-Root Key,簡(jiǎn) 稱為HA-RK) ;HA-RK的相關(guān)參數(shù)(在圖2中表示為[HA-RK]),HA-RK的相關(guān)參數(shù)包括家 鄉(xiāng)代理根密鑰(HomeAgent-Root Key,簡(jiǎn)稱為HA-RK)、家鄉(xiāng)代理(Home Agent,簡(jiǎn)稱為HA) / 本地移動(dòng)管理描點(diǎn)(Local Mobility Anchor,簡(jiǎn)稱為L(zhǎng)MA)的地址、代理移動(dòng)IP安全索引 (Security Parameters Index,簡(jiǎn)禾爾為 SPI)等。步驟S204,AAA地理向WiFi鑒權(quán)器發(fā)送接入接受消息,其中,該消息中攜帶有MSK, 并且,AAA代理向PMIP客戶端發(fā)送攜帶有MN-HA的通知。步驟S205,終端通過發(fā)送動(dòng)態(tài)主機(jī)配置協(xié)議(Dynamic HostConfiguration Protocol,簡(jiǎn)稱為DHCP)消息出發(fā)代理移動(dòng)IP (ProxyMobile IP,簡(jiǎn)稱為PMIP)注冊(cè)流程。步驟S206,WiFi網(wǎng)絡(luò)的鑒權(quán)器將此DHCP消息轉(zhuǎn)發(fā)給互動(dòng)單元上的PMIP客戶端。步驟S207,PMIP客戶端向家鄉(xiāng)代理發(fā)送移動(dòng)IP注冊(cè)請(qǐng)求,其中,該移動(dòng)IP注冊(cè) 請(qǐng)求中攜帶有外部代理-家鄉(xiāng)代理鑒權(quán)擴(kuò)展(MN-HA Authentication Extension,簡(jiǎn)稱為 MN-HA AE)。步驟S208,家鄉(xiāng)代理在接入請(qǐng)求消息中攜帶NAI、MN-HA、SPI,并向AAA服務(wù)器發(fā)送 該接入請(qǐng)求消息,以進(jìn)行驗(yàn)證。步驟S209,AAA服務(wù)器向家鄉(xiāng)代理發(fā)送接入接受消息,其中,該消息中攜帶有 MN-HA、HA-RK。步驟S210,家鄉(xiāng)代理向PMIP客戶端發(fā)送移動(dòng)IP注冊(cè)響應(yīng),其中,該響應(yīng)中攜帶有 MN-HA AE。步驟S211,互動(dòng)網(wǎng)元中的PMIP客戶端將DHCP消息發(fā)送給WiFi網(wǎng)絡(luò)的鑒權(quán)器。步驟S212,終端通過DHCP消息完成終端的IP地址獲取。在上述步驟S207中,PMIP客戶端會(huì)將MN-HA AE發(fā)給家鄉(xiāng)代理試圖進(jìn)行PMIPv4 注冊(cè)過程,此時(shí),由于家鄉(xiāng)代理是一個(gè)網(wǎng)絡(luò)級(jí)的設(shè)備而非用戶級(jí)設(shè)備,即,家鄉(xiāng)代理在接收 到此移動(dòng)IP注冊(cè)請(qǐng)求消息時(shí),會(huì)采用與其他從WiMAX側(cè)完全相同的策略,對(duì)此消息進(jìn)行完 整性檢查。但是,此消息中由于缺少外部代理-家鄉(xiāng)代理鑒權(quán)擴(kuò)展(Foreign Agent-Home Agent Authentication Extension,簡(jiǎn)稱為FA-HA AE)導(dǎo)致完整性檢查失敗。因此,家鄉(xiāng)代 理就不會(huì)返回給PMIP客戶端移動(dòng)IP注冊(cè)響應(yīng)消息,而是返回一個(gè)移動(dòng)IP注冊(cè)拒絕消息通 知PMIP客戶端移動(dòng)IP注冊(cè)失敗,互通單元與家鄉(xiāng)代理之間的PMIP通道也無法正常建立。 即,圖2流程是無法正常進(jìn)行的。另外,現(xiàn)有技術(shù)中由于WiFi接入網(wǎng)中的鑒權(quán)器沒有生成WiMAX EMSK衍生密鑰的 功能,同時(shí)也沒有現(xiàn)存的消息將產(chǎn)生的衍生EMSK從鑒權(quán)器傳送到移動(dòng)接入網(wǎng)關(guān)(Mobility AccessGateway,簡(jiǎn)稱為MAG),因此,現(xiàn)有技術(shù)無法解決PMIP6中EMSK衍生密鑰產(chǎn)生的問題, 目前還沒有PMIPv6場(chǎng)景下的解決方案。
發(fā)明內(nèi)容
本發(fā)明的主要目的在于提供一種鑒權(quán)方案,以至少解決上述問題之一。為了實(shí)現(xiàn)上述目的,根據(jù)本發(fā)明的一個(gè)方面,提供了 一種鑒權(quán)方法。根據(jù)本發(fā)明的鑒權(quán)方法包括終端通過無線保真網(wǎng)絡(luò)發(fā)起接入到全球微波接入互 操作性WiMAX核心網(wǎng)的接入請(qǐng)求;互通單元的鑒權(quán)授權(quán)計(jì)費(fèi)AAA代理將來自AAA服務(wù)器的 EMSK衍生的密鑰和預(yù)定參數(shù)發(fā)送給代理移動(dòng)網(wǎng)絡(luò)地址PMIP客戶端和/或移動(dòng)接入網(wǎng)關(guān); 在終端發(fā)起PMIP注冊(cè)的情況下,PMIP客戶端和/或移動(dòng)接入網(wǎng)關(guān)根據(jù)EMSK衍生的密鑰和 預(yù)定參數(shù)產(chǎn)生并向家鄉(xiāng)代理發(fā)送鑒權(quán)擴(kuò)展和/或鑒權(quán)項(xiàng),其中,鑒權(quán)擴(kuò)展和/或鑒權(quán)項(xiàng)用于 互通單元和WiMAX核心網(wǎng)的網(wǎng)關(guān)之間的PMIP通道的鑒權(quán)。優(yōu)選地,在終端通過無線保真網(wǎng)絡(luò)發(fā)起接入WiMAX核心網(wǎng)的接入請(qǐng)求之后,上述 方法還包括AAA代理將來自AAA服務(wù)器的主會(huì)話密鑰MSK發(fā)送給WiFi網(wǎng)絡(luò)的鑒權(quán)器;或 者,AAA代理將來自AAA服務(wù)器的主會(huì)話密鑰MSK和EMSK衍生的密鑰發(fā)送給WiFi網(wǎng)絡(luò)的 鑒權(quán)器。優(yōu)選地,在互動(dòng)單元支持PMIPv4的情況下,在AAA代理將來自AAA服務(wù)器的EMSK 衍生的密鑰發(fā)送給PMIP客戶端或WiFi網(wǎng)絡(luò)的鑒權(quán)器之前,上述方法還包括AAA服務(wù)器向 AAA代理發(fā)送攜帶有家鄉(xiāng)代理根密鑰HA-RK、終端-家鄉(xiāng)代理密鑰MN-HA、外部代理根密鑰 FA-RK、家鄉(xiāng)代理IP地址和代理移動(dòng)IP安全索引SPI的消息。優(yōu)選地,AAA代理將來自AAA服務(wù)器的EMSK衍生的密鑰發(fā)送給PMIP客戶端和/或 移動(dòng)接入網(wǎng)關(guān)包括:AAA代理接收AAA服務(wù)器發(fā)送的消息;AAA代理將消息轉(zhuǎn)發(fā)給PMIP客戶端。優(yōu)選地,在互動(dòng)單元支持PMIPv6的情況下,在AAA代理將來自AAA服務(wù)器的EMSK 衍生的密鑰發(fā)送給移動(dòng)接入網(wǎng)關(guān)或WiFi網(wǎng)絡(luò)的鑒權(quán)器之前,上述方法還包括AAA服務(wù)器 向AAA代理發(fā)送攜帶有代理移動(dòng)IPv6根密鑰、本地移動(dòng)代理的IP地址LMA-IPv6、終端網(wǎng)絡(luò) 地址標(biāo)示符MN-NAI、生存時(shí)間Lifetime和SPI的消息。 優(yōu)選地,AAA代理將來自AAA服務(wù)器的EMSK衍生的密鑰發(fā)送給PMIP客戶端和/或 移動(dòng)接入網(wǎng)關(guān)包括:AAA代理接收AAA服務(wù)器發(fā)送的消息;AAA代理將消息轉(zhuǎn)發(fā)給移動(dòng)接入 網(wǎng)關(guān)。優(yōu)選地,在互通單元支持PMIPv4的情況下,EMSK衍生的密鑰包括家鄉(xiāng)代理根密 鑰HA-RK、終端-家鄉(xiāng)代理密鑰MN-HA ;預(yù)定參數(shù)包括家鄉(xiāng)代理的IP地址HA-IP。優(yōu)選地,PMIP客戶端和/或移動(dòng)接入網(wǎng)關(guān)根據(jù)EMSK衍生的密鑰和預(yù)定參數(shù)產(chǎn)生 鑒權(quán)擴(kuò)展和/或鑒權(quán)項(xiàng)包括PMIP客戶端根據(jù)EMSK衍生的密鑰和預(yù)定參數(shù)產(chǎn)生HA-RK鑒 權(quán)擴(kuò)展和MN-HA鑒權(quán)擴(kuò)展。優(yōu)選地,在互通單元支持PMIPv6的情況下,EMSK衍生的密鑰包括代理移動(dòng)IPv6 根密鑰、SPI ;預(yù)定參數(shù)包括本地移動(dòng)代理的IP地址LMA-IPV6和終端網(wǎng)絡(luò)地址標(biāo)示符 MN-NAI。優(yōu)選地,PMIP客戶端和/或移動(dòng)接入網(wǎng)關(guān)根據(jù)EMSK衍生的密鑰和預(yù)定參數(shù)產(chǎn)生 鑒權(quán)擴(kuò)展和/或鑒權(quán)項(xiàng)包括移動(dòng)接入網(wǎng)關(guān)根據(jù)EMSK衍生的密鑰和預(yù)定參數(shù)產(chǎn)生終端-家 鄉(xiāng)代理鑒權(quán)項(xiàng)。為了實(shí)現(xiàn)上述目的,根據(jù)本發(fā)明的另一方面,還提供了 一種鑒權(quán)系統(tǒng)。
根據(jù)本發(fā)明的鑒權(quán)系統(tǒng),包括終端、鑒權(quán)授權(quán)計(jì)費(fèi)AAA代理、AAA服務(wù)器、代理移 動(dòng)網(wǎng)絡(luò)地址PMIP客戶端和/或移動(dòng)接入網(wǎng)關(guān)、家鄉(xiāng)代理,其中,終端通過無線保真網(wǎng)絡(luò)發(fā)起 接入到全球微波接入互操作性WiMAX核心網(wǎng)的接入請(qǐng)求;互通單元的AAA代理將來自AAA 服務(wù)器的EMSK衍生的密鑰和預(yù)定參數(shù)發(fā)送給PMIP客戶端和/或移動(dòng)接入網(wǎng)關(guān);在終端發(fā) 起PMIP注冊(cè)的情況下,PMIP客戶端和/或移動(dòng)接入網(wǎng)關(guān)根據(jù)EMSK衍生的密鑰和預(yù)定參數(shù) 產(chǎn)生并向家鄉(xiāng)代理發(fā)送鑒權(quán)擴(kuò)展和/或鑒權(quán)項(xiàng),其中,鑒權(quán)擴(kuò)展和/或鑒權(quán)項(xiàng)用于互通單元 和WiMAX核心網(wǎng)的網(wǎng)關(guān)之間的PMIP通道的鑒權(quán)。通過本發(fā)明,采用AAA代理將來自AAA服務(wù)器的EMSK衍生的密鑰和預(yù)定參數(shù)發(fā)送 給代理移動(dòng)網(wǎng)絡(luò)地址PMIP客戶端和/或移動(dòng)接入網(wǎng)關(guān),以使PMIP客戶端和/或移動(dòng)接入 網(wǎng)關(guān)能夠鑒權(quán)所需要的信息,解決了相關(guān)技術(shù)中從互通單元到WiMAX核心網(wǎng)的網(wǎng)關(guān)之間的 移動(dòng)IP通道因?yàn)槿鄙儆脩翳b權(quán)的密鑰而無法建立的問題。保證了整個(gè)網(wǎng)絡(luò)中的數(shù)據(jù)通訊 的安全。
此處所說明的附圖用來提供對(duì)本發(fā)明的進(jìn)一步理解,構(gòu)成本申請(qǐng)的一部分,本發(fā) 明的示意性實(shí)施例及其說明用于解釋本發(fā)明,并不構(gòu)成對(duì)本發(fā)明的不當(dāng)限定。在附圖中圖1是根據(jù)相關(guān)技術(shù)的在非漫游場(chǎng)景下WiFi和WiMAX互通網(wǎng)絡(luò)的網(wǎng)絡(luò)架構(gòu)示意 圖;圖2是根據(jù)相關(guān)技術(shù)的終端通過WiFi接入WiMAX核心網(wǎng)(移動(dòng)IPv4)的流程圖;圖3是本發(fā)明實(shí)施例的密鑰生成和分發(fā)的方法流程圖;圖4是根據(jù)本發(fā)明實(shí)施例的優(yōu)選實(shí)例一終端在移動(dòng)IPv4場(chǎng)景下通過WiFi接入 WiMAX核心網(wǎng)的流程圖;圖5是根據(jù)本發(fā)明實(shí)施例的優(yōu)選實(shí)例二終端在移動(dòng)IPv6場(chǎng)景下通過WiFi接入 WiMAX核心網(wǎng)的流程圖。
具體實(shí)施例方式下文中將參考附圖并結(jié)合實(shí)施例來詳細(xì)說明本發(fā)明。需要說明的是,在不沖突的 情況下,本申請(qǐng)中的實(shí)施例及實(shí)施例中的特征可以相互組合。根據(jù)本發(fā)明的實(shí)施例,提供了一種鑒權(quán)方法,圖3是根據(jù)本發(fā)明實(shí)施例的鑒權(quán)方 法的流程圖,如圖3所示,該流程包括如下步驟步驟S302,終端通過WiFi網(wǎng)絡(luò)發(fā)起接入到WiMAX核心網(wǎng)的接入請(qǐng)求;步驟S304,互通單元的鑒權(quán)授權(quán)計(jì)費(fèi)AAA代理將來自AAA服務(wù)器的EMSK衍生的密 鑰和預(yù)定參數(shù)發(fā)送給代理移動(dòng)網(wǎng)絡(luò)地址PMIP客戶端(IPv4)/移動(dòng)接入網(wǎng)關(guān)(IPv6);步驟S306,在終端發(fā)起PMIP注冊(cè)的情況下,PMIP客戶端/移動(dòng)接入網(wǎng)關(guān)根據(jù)EMSK 衍生的密鑰和預(yù)定參數(shù)產(chǎn)生鑒權(quán)擴(kuò)展/鑒權(quán)項(xiàng)(鑒權(quán)擴(kuò)展用于IPv4,鑒權(quán)項(xiàng)用于IPv6,不 同的場(chǎng)景一般不會(huì)同時(shí)發(fā)生),其中,鑒權(quán)擴(kuò)展/鑒權(quán)項(xiàng)用于互通單元和WiMAX核心網(wǎng)的網(wǎng) 關(guān)之間的PMIP通道的鑒權(quán)。對(duì)應(yīng)與上述步驟S302至步驟S306,在實(shí)施例中還提供了一種鑒權(quán)系統(tǒng),包括終 端、鑒權(quán)授權(quán)計(jì)費(fèi)AAA代理、AAA服務(wù)器、代理移動(dòng)網(wǎng)絡(luò)地址PMIP客戶端和/或移動(dòng)接入
7網(wǎng)關(guān)、家鄉(xiāng)代理。在該系統(tǒng)中,終端通過無線保真網(wǎng)絡(luò)發(fā)起接入到全球微波接入互操作性 WiMAX核心網(wǎng)的接入請(qǐng)求;AAA代理將來自AAA服務(wù)器的EMSK衍生的密鑰和預(yù)定參數(shù)發(fā)送 給PMIP客戶端和/或移動(dòng)接入網(wǎng)關(guān);在終端發(fā)起PMIP注冊(cè)的情況下,PMIP客戶端和/或 移動(dòng)接入網(wǎng)關(guān)根據(jù)EMSK衍生的密鑰和預(yù)定參數(shù)產(chǎn)生并向家鄉(xiāng)代理發(fā)送鑒權(quán)擴(kuò)展和/或鑒 權(quán)項(xiàng),其中,鑒權(quán)擴(kuò)展和/或鑒權(quán)項(xiàng)用于互通單元和WiMAX核心網(wǎng)的網(wǎng)關(guān)之間的PMIP通道 的鑒權(quán)。通過上述步驟及系統(tǒng),終端與WiMAX核心網(wǎng)的AAA服務(wù)器之間產(chǎn)生WiFi網(wǎng)絡(luò)的 EMSK,并將EMSK衍生的密鑰傳遞給互通單元,從而解決了從互通單元到WiMAX核心網(wǎng)的網(wǎng) 關(guān)之間的移動(dòng)IP通道將因?yàn)槿鄙儆脩翳b權(quán)的密鑰而無法建立的問題,進(jìn)而保證了整個(gè)網(wǎng) 絡(luò)中的數(shù)據(jù)通訊的安全。下面將上述步驟S302至步驟S306分為兩段進(jìn)行說明,第一段是AAA代理從AAA服 務(wù)器上獲取相關(guān)密鑰以及參數(shù)并發(fā)送給PMIP客戶端/MAG,第二段是終端發(fā)起移動(dòng)IP注冊(cè) 時(shí),PMIP客戶端/MAG使用EMSK的衍生密鑰產(chǎn)生相應(yīng)的鑒權(quán)擴(kuò)展/鑒權(quán)項(xiàng)完成PMIP注冊(cè)。在上述步驟中,終端通過WiFi網(wǎng)絡(luò)接入到WiMAX核心網(wǎng)時(shí),在接入鑒權(quán)的過程中, 終端和WiMAX核心網(wǎng)AAA服務(wù)器之間產(chǎn)生WiFi網(wǎng)絡(luò)的MSK和EMSK,其中,AAA服務(wù)器將產(chǎn) 生的WiFi網(wǎng)絡(luò)的MSK,EMSK衍生出的密鑰以及HA/LMA(需要說明的是通常,HA用于IPv4 場(chǎng)景,相應(yīng)的LMA用于IPv6場(chǎng)景)的地址通過接入接受消息下發(fā)到互通單元上的AAA代理, 互通單元隨后通過接入接受消息將MSK轉(zhuǎn)發(fā)到WiFi網(wǎng)絡(luò)的鑒權(quán)器上,該MSK可以用于空口 鑒權(quán)。優(yōu)選地,在發(fā)送給WiFi網(wǎng)絡(luò)的鑒權(quán)器的消息中還可以攜帶EMSK衍生的密鑰。由于 AAA代理與PMIP客戶端/MAG合設(shè)在互通單元上,AAA代理會(huì)將EMSK衍生的密鑰、以及生成 鑒權(quán)擴(kuò)展或鑒權(quán)項(xiàng)所需要的參數(shù)(例如,HA/LMA地址、終端網(wǎng)絡(luò)接入標(biāo)示符MN-NAI)發(fā)送 給PMIP客戶端/MAG。當(dāng)終端發(fā)起移動(dòng)IP注冊(cè)的時(shí)候,WiFi接入網(wǎng)上的鑒權(quán)器由于沒有產(chǎn)生WiMAX EMSK衍生密鑰的能力,即使其在接入鑒權(quán)過程中獲得了 EMSK衍生根密鑰也無法產(chǎn)生子密 鑰,因此其直接通過DHCP消息觸發(fā)PMIP客戶端/MAG發(fā)起PMIP注冊(cè)流程。此時(shí),PMIP客 戶端/MAG將使用EMI的衍生密鑰產(chǎn)生相應(yīng)的鑒權(quán)擴(kuò)展/鑒權(quán)項(xiàng)到家鄉(xiāng)代理/LMA上去完 成PMIP注冊(cè)并成功建立起PMIP通道。下面結(jié)合附圖4和附圖5對(duì)兩個(gè)優(yōu)選實(shí)例進(jìn)行說明。優(yōu)選實(shí)例一應(yīng)用于移動(dòng)IPv4 場(chǎng)景,優(yōu)選實(shí)例二應(yīng)用于移動(dòng)IPv6場(chǎng)景。優(yōu)選實(shí)例一圖4是根據(jù)本發(fā)明實(shí)施例的優(yōu)選實(shí)例一終端在移動(dòng)IPv4場(chǎng)景下通過WiFi接入 WiMAX核心網(wǎng)的流程圖,該流程包括步驟S401,終端從WiFi網(wǎng)絡(luò)發(fā)起接入鑒權(quán),WiFi網(wǎng)絡(luò)的鑒權(quán)器會(huì)發(fā)送接入請(qǐng)求消 息給互通單元上的AAA代理。步驟S402,互通單元上的AAA代理會(huì)將此接入請(qǐng)求消息發(fā)送給WiMAX核心網(wǎng)的 AAA服務(wù)器。步驟S403,AAA服務(wù)器會(huì)將MSK、終端-家鄉(xiāng)代理密鑰(MobileNode-Home Agent, 簡(jiǎn)稱為MN-HA)、外部代理根密鑰(ForeignAgent-Root Key,簡(jiǎn)稱為FA-RK)以及[HA-RK] 包含在接入接受消息中,發(fā)送給互通單元上的AAA代理,其中的[HA-RK]包括HA-RK(HomeAgent-Root Key,家鄉(xiāng)代理根密鑰)、HA-IP 地址以及 SPI Security Parameters hdex 代 理移動(dòng)IPv4安全索引)等參數(shù)。步驟S404,AAA代理會(huì)將MSK包含在接入接受消息中發(fā)送給WiFi網(wǎng)絡(luò)的鑒權(quán)器。為了盡量保持WiMAX AAA代理的行為一致,AAA代理也有可能將MN-HA、FA-RK以 及[HA-RK]包含在接入接受消息中,此場(chǎng)景下AAA代理僅轉(zhuǎn)發(fā)從AAA服務(wù)器收到的接入接 受消息。步驟S405,AAA代理將MN-HA、HA-RK以及HA-IP發(fā)送給PMIP客戶端/外部代理。步驟S406,終端通過發(fā)出DHCP消息觸發(fā)PMIP注冊(cè)流程。步驟S407,WiFi網(wǎng)絡(luò)的鑒權(quán)器將此DHCP消息轉(zhuǎn)發(fā)給互通單元上的PMIP客戶端。即使步驟S404中將MN-HA、FA_RK以及[HA-RK]包括在接入接受消息中,鑒權(quán)器由 于沒有使用WiMAX EMSK根密鑰產(chǎn)生子密鑰的能力,因此本步驟依然不對(duì)DHCP消息做任何 修改。步驟S408,互通單元中的PMIP客戶端收到DHCP消息之后觸發(fā)PMIPv4注冊(cè)流程。 此時(shí),PMIP客戶端使用HA-RK,HA-IP以及FA地址(PMIP客戶端與FA合設(shè),因此地址相同) 產(chǎn)生外部代理-家鄉(xiāng)代理密鑰(Foreign Agent-Home Agent,簡(jiǎn)稱為FA-HA),從而據(jù)此構(gòu)造 夕卜部代理 _ 家鄉(xiāng)代理鑒權(quán)擴(kuò)展(Foreign Agent-Home AgentAuthentication Extension, FA-HA AE),并與終端-家鄉(xiāng)代理鑒權(quán)擴(kuò)展(MN-HA Authentication Extension,簡(jiǎn)稱為 MN-HA AE) 一起包含在移動(dòng)IP注冊(cè)請(qǐng)求中發(fā)送給家鄉(xiāng)代理。步驟S409,家鄉(xiāng)代理在接入請(qǐng)求消息中攜帶NAI和MN-HASPI,并到AAA服務(wù)器上 面去做驗(yàn)證。步驟S410,AAA服務(wù)器將MN-HA和HA-RK包含在接入接受消息中發(fā)送給家鄉(xiāng)代理。步驟S411,家鄉(xiāng)代理將MN-HA AE和FA-HA AE包含在接入接受消息中發(fā)送給互通 網(wǎng)元中的PMIP客戶端,同時(shí)該消息攜帶終端的IP地址。另外,PMIP通道也在本步驟中被建立。步驟S412,互通網(wǎng)元中的PMIP客戶端將DHCP消息發(fā)送給WiFi網(wǎng)絡(luò)的鑒權(quán)器。步驟S413,終端通過DHCP消息完成終端的IP地址獲取。通過本優(yōu)選實(shí)例,解決了在移動(dòng)IPv4場(chǎng)景下終端通過WiFi網(wǎng)絡(luò)接入WiMAX核心 網(wǎng)時(shí),從互通單元到WiMAX核心網(wǎng)的網(wǎng)關(guān)之間的移動(dòng)IP通道由于移動(dòng)IP注冊(cè)請(qǐng)求消息中 缺少FA-HA AE參數(shù)而無法建立的問題。優(yōu)選實(shí)例二圖5是根據(jù)本發(fā)明實(shí)施例的優(yōu)選實(shí)例二終端在移動(dòng)IPv6場(chǎng)景下通過WiFi接入 WiMAX核心網(wǎng)的流程圖,該流程包括。步驟S501,終端從WiFi網(wǎng)絡(luò)發(fā)起接入鑒權(quán),WiFi網(wǎng)絡(luò)的鑒權(quán)器會(huì)發(fā)送接入請(qǐng)求消 息給互通單元上的AAA代理。步驟S502,互通單元上的AAA代理會(huì)將此接入請(qǐng)求消息發(fā)送給WiMAX核心網(wǎng)的 AAA服務(wù)器。步驟S503,AAA 服務(wù)器會(huì)將 MSK、代理移動(dòng) IPv6 根密鑰(ProxyMobile IPv6-Root Key,簡(jiǎn)稱為PMIP6-RK)、SPI、Lifetime和LMA-IP地址包含在接入接受消息中,發(fā)送給互通 單元上的AAA代理。
步驟S504,AAA代理會(huì)將MSK包含在接入接受消息中發(fā)送給WiFi網(wǎng)絡(luò)的鑒權(quán)器。為了盡量保持WiMAX AAA代理的行為一致,AAA代理也有可能將PMIP6-RK、SPI、 Lifetime和LMA-IP地址包含在接入接受消息中,此場(chǎng)景下AAA代理僅轉(zhuǎn)發(fā)從AAA服務(wù)器收 到的接入接受消息。步驟S505,AAA 代理將 PMIP6-RK、SPI、Lifetime、MN-NAI 和 LMA-IP 發(fā)送給 MAG。步驟S506,終端通過發(fā)出DHCP消息觸發(fā)PMIP注冊(cè)流程。步驟S507,WiFi網(wǎng)絡(luò)的鑒權(quán)器將此DHCP消息轉(zhuǎn)發(fā)給互通單元上的MAG。即使步驟S504中將PMIP6_RK、SPI、Lifetime和LMA-IP地址包含在接入接受消息 中,鑒權(quán)器由于沒有使用WiMAX EMSK根密鑰產(chǎn)生子密鑰的能力,因此該步驟依然不對(duì)DHCP 消息做任何修改。步驟S508,互通單元中的MAG收到DHCP消息之后觸發(fā)PMIPv6注冊(cè)流程。此 時(shí),MAG使用PIMP6-RK、麗-ΝΑΙ、LMA_IPv6以及MAGv6地址等參數(shù)產(chǎn)生移動(dòng)接入網(wǎng) 關(guān)-本地移動(dòng)代理-代理移動(dòng) IPv6 密鑰(Mobile Access Gateway-Local Mobility Agent-ProxyMobile IPv6,簡(jiǎn)稱為MAG-LMA-PMIP6),從而據(jù)此構(gòu)造終端-家鄉(xiāng)代理鑒權(quán)項(xiàng) (MN-HA Authentication Option,簡(jiǎn)稱為MN-HA AO)并包含在代理綁定更新中發(fā)送給本地 移動(dòng)代理/家鄉(xiāng)代理。步驟S509,本地移動(dòng)代理在接入請(qǐng)求消息中攜帶NAI和SPI,并到AAA服務(wù)器上面 去做驗(yàn)證。步驟510,AAA服務(wù)器將Lif etime、SPI和PMIP6-RK包含在接入接受消息中發(fā)送給 本地移動(dòng)代理。步驟511,本地移動(dòng)代理將MN-HAAO包含在接入接受消息中發(fā)送給互通網(wǎng)元中的 MAG,同時(shí)該消息攜帶終端的IP地址。另外,PMIP通道也在這個(gè)步驟中被建立。步驟512,互通網(wǎng)元中的MAG將DHCP消息發(fā)送給WiFi網(wǎng)絡(luò)的鑒權(quán)器。步驟513,終端通過DHCP消息完成終端的IP地址獲取。通過本優(yōu)選實(shí)例解決了終端通過WiFi網(wǎng)絡(luò)接入WiMAX核心網(wǎng)時(shí),ΡΜΙΡνθ的EMSK 衍生密鑰無法生成并傳遞到MAG的問題。顯然,本領(lǐng)域的技術(shù)人員應(yīng)該明白,上述的本發(fā)明的各模塊或各步驟可以用通用 的計(jì)算裝置來實(shí)現(xiàn),它們可以集中在單個(gè)的計(jì)算裝置上,或者分布在多個(gè)計(jì)算裝置所組成 的網(wǎng)絡(luò)上,可選地,它們可以用計(jì)算裝置可執(zhí)行的程序代碼來實(shí)現(xiàn),從而,可以將它們存儲(chǔ) 在存儲(chǔ)裝置中由計(jì)算裝置來執(zhí)行,并且在某些情況下,可以以不同于此處的順序執(zhí)行所示 出或描述的步驟,或者將它們分別制作成各個(gè)集成電路模塊,或者將它們中的多個(gè)模塊或 步驟制作成單個(gè)集成電路模塊來實(shí)現(xiàn)。這樣,本發(fā)明不限制于任何特定的硬件和軟件結(jié)合。以上所述僅為本發(fā)明的優(yōu)選實(shí)施例而已,并不用于限制本發(fā)明,對(duì)于本領(lǐng)域的技 術(shù)人員來說,本發(fā)明可以有各種更改和變化。凡在本發(fā)明的精神和原則之內(nèi),所作的任何修 改、等同替換、改進(jìn)等,均應(yīng)包含在本發(fā)明的保護(hù)范圍之內(nèi)。
權(quán)利要求
1.一種鑒權(quán)方法,其特征在于,包括終端通過無線保真網(wǎng)絡(luò)發(fā)起接入到全球微波接入互操作性WiMAX核心網(wǎng)的接入請(qǐng)求;互通單元的鑒權(quán)授權(quán)計(jì)費(fèi)AAA代理將來自AAA服務(wù)器的EMSK衍生的密鑰和預(yù)定參數(shù) 發(fā)送給代理移動(dòng)網(wǎng)絡(luò)地址PMIP客戶端和/或移動(dòng)接入網(wǎng)關(guān);在所述終端發(fā)起PMIP注冊(cè)的情況下,所述PMIP客戶端和/或所述移動(dòng)接入網(wǎng)關(guān)根據(jù) 所述EMSK衍生的密鑰和所述預(yù)定參數(shù)產(chǎn)生并向家鄉(xiāng)代理發(fā)送鑒權(quán)擴(kuò)展和/或鑒權(quán)項(xiàng),其 中,所述鑒權(quán)擴(kuò)展和/或所述鑒權(quán)項(xiàng)用于所述互通單元和所述WiMAX核心網(wǎng)的網(wǎng)關(guān)之間的 PMIP通道的鑒權(quán)。
2.根據(jù)權(quán)利要求1所述的方法,其特征在于,在所述終端通過所述無線保真網(wǎng)絡(luò)發(fā)起 接入所述WiMAX核心網(wǎng)的接入請(qǐng)求之后,所述方法還包括所述AAA代理將來自AAA服務(wù)器的主會(huì)話密鑰MSK發(fā)送給WiFi網(wǎng)絡(luò)的鑒權(quán)器;或者,所述AAA代理將來自AAA服務(wù)器的主會(huì)話密鑰MSK和所述EMSK衍生的密鑰發(fā)送 給所述WiFi網(wǎng)絡(luò)的鑒權(quán)器。
3.根據(jù)權(quán)利要求1或2所述的方法,其特征在于,在所述互動(dòng)單元支持PMIPv4的情況 下,在所述AAA代理將來自所述AAA服務(wù)器的EMSK衍生的密鑰發(fā)送給所述PMIP客戶端或 所述WiFi網(wǎng)絡(luò)的鑒權(quán)器之前,所述方法還包括所述AAA服務(wù)器向所述AAA代理發(fā)送攜帶有家鄉(xiāng)代理根密鑰HA-RK、終端-家鄉(xiāng)代理密 鑰MN-HA、外部代理根密鑰FA-RK、家鄉(xiāng)代理IP地址和代理移動(dòng)IP安全索引SPI的消息。
4.根據(jù)權(quán)利要求3所述的方法,其特征在于,所述AAA代理將來自所述AAA服務(wù)器的 EMSK衍生的密鑰發(fā)送給所述PMIP客戶端和/或移動(dòng)接入網(wǎng)關(guān)包括所述AAA代理接收所述AAA服務(wù)器發(fā)送的所述消息;所述AAA代理將所述消息轉(zhuǎn)發(fā)給所述PMIP客戶端。
5.根據(jù)權(quán)利要求1或2所述的方法,其特征在于,在所述互動(dòng)單元支持PMIPv6的情況 下,在所述AAA代理將來自所述AAA服務(wù)器的EMSK衍生的密鑰發(fā)送給所述移動(dòng)接入網(wǎng)關(guān)或 所述WiFi網(wǎng)絡(luò)的鑒權(quán)器之前,所述方法還包括所述AAA服務(wù)器向所述AAA代理發(fā)送攜帶有代理移動(dòng)IPv6根密鑰、本地移動(dòng)代理的IP 地址LMA-IPv6、終端網(wǎng)絡(luò)地址標(biāo)示符MN-NAI、生存時(shí)間Lifetime和SPI的消息。
6.根據(jù)權(quán)利要求5所述的方法,其特征在于,所述AAA代理將來自所述AAA服務(wù)器的 EMSK衍生的密鑰發(fā)送給所述PMIP客戶端和/或移動(dòng)接入網(wǎng)關(guān)包括所述AAA代理接收所述AAA服務(wù)器發(fā)送的所述消息;所述AAA代理將所述消息轉(zhuǎn)發(fā)給所述移動(dòng)接入網(wǎng)關(guān)。
7.根據(jù)權(quán)利要求1所述的鑒權(quán)方法,其特征在于,在所述互通單元支持PMIPv4的情況 下,所述EMSK衍生的密鑰包括家鄉(xiāng)代理根密鑰HA-RK、終端-家鄉(xiāng)代理密鑰MN-HA ;所述預(yù) 定參數(shù)包括所述家鄉(xiāng)代理的IP地址HA-IP。
8.根據(jù)權(quán)利要求7所述的鑒權(quán)方法,其特征在于,所述PMIP客戶端和/或所述移動(dòng)接 入網(wǎng)關(guān)根據(jù)所述EMSK衍生的密鑰和所述預(yù)定參數(shù)產(chǎn)生鑒權(quán)擴(kuò)展和/或鑒權(quán)項(xiàng)包括所述PMIP客戶端根據(jù)所述EMSK衍生的密鑰和所述預(yù)定參數(shù)產(chǎn)生HA-RK鑒權(quán)擴(kuò)展和 MN-HA鑒權(quán)擴(kuò)展。
9.根據(jù)權(quán)利要求1所述的鑒權(quán)方法,其特征在于,在所述互通單元支持PMIPv6的情況下,所述EMSK衍生的密鑰包括代理移動(dòng)IPv6根密鑰、SPI ;所述預(yù)定參數(shù)包括本地移動(dòng) 代理的IP地址LMA-IPv6和終端網(wǎng)絡(luò)地址標(biāo)示符MN-NAI。
10.根據(jù)權(quán)利要求9所述的鑒權(quán)方法,其特征在于,所述PMIP客戶端和/或所述移動(dòng)接 入網(wǎng)關(guān)根據(jù)所述EMSK衍生的密鑰和所述預(yù)定參數(shù)產(chǎn)生鑒權(quán)擴(kuò)展和/或鑒權(quán)項(xiàng)包括所述移動(dòng)接入網(wǎng)關(guān)根據(jù)所述EMSK衍生的密鑰和所述預(yù)定參數(shù)產(chǎn)生終端-家鄉(xiāng)代理鑒 權(quán)項(xiàng)。
11.一種鑒權(quán)系統(tǒng),包括終端、鑒權(quán)授權(quán)計(jì)費(fèi)AAA代理、AAA服務(wù)器、代理移動(dòng)網(wǎng)絡(luò)地址 PMIP客戶端和/或移動(dòng)接入網(wǎng)關(guān)、家鄉(xiāng)代理,其特征在于,包括所述終端通過無線保真網(wǎng)絡(luò)發(fā)起接入到全球微波接入互操作性WiMAX核心網(wǎng)的接入 請(qǐng)求;互通單元的所述AAA代理將來自所述AAA服務(wù)器的EMSK衍生的密鑰和預(yù)定參數(shù)發(fā)送 給所述PMIP客戶端和/或所述移動(dòng)接入網(wǎng)關(guān);在所述終端發(fā)起PMIP注冊(cè)的情況下,所述PMIP客戶端和/或所述移動(dòng)接入網(wǎng)關(guān)根據(jù) 所述EMSK衍生的密鑰和所述預(yù)定參數(shù)產(chǎn)生并向家鄉(xiāng)代理發(fā)送鑒權(quán)擴(kuò)展和/或鑒權(quán)項(xiàng),其 中,所述鑒權(quán)擴(kuò)展和/或所述鑒權(quán)項(xiàng)用于所述互通單元和所述WiMAX核心網(wǎng)的網(wǎng)關(guān)之間的 PMIP通道的鑒權(quán)。
全文摘要
本發(fā)明公開了一種鑒權(quán)方法及系統(tǒng),該方法包括終端通過無線保真網(wǎng)絡(luò)發(fā)起接入到WiMAX核心網(wǎng)的接入請(qǐng)求;互通單元的AAA代理將來自AAA服務(wù)器的EMSK衍生的密鑰和預(yù)定參數(shù)發(fā)送給PMIP客戶端和/或移動(dòng)接入網(wǎng)關(guān);在終端發(fā)起PMIP注冊(cè)的情況下,PMIP客戶端和/或移動(dòng)接入網(wǎng)關(guān)根據(jù)EMSK衍生的密鑰和預(yù)定參數(shù)產(chǎn)生并向家鄉(xiāng)代理發(fā)送鑒權(quán)擴(kuò)展和/或鑒權(quán)項(xiàng),其中,鑒權(quán)擴(kuò)展和/或鑒權(quán)項(xiàng)用于互通單元和WiMAX核心網(wǎng)的網(wǎng)關(guān)之間的PMIP通道的鑒權(quán)。通過本發(fā)明保證了整個(gè)網(wǎng)絡(luò)中的數(shù)據(jù)通訊的安全。
文檔編號(hào)H04W12/06GK102098671SQ200910258578
公開日2011年6月15日 申請(qǐng)日期2009年12月15日 優(yōu)先權(quán)日2009年12月15日
發(fā)明者朱戈, 楚俊生, 涂楊巍 申請(qǐng)人:中興通訊股份有限公司