专利名称:PMIP中HA获取MN-HA key的方法、设备及系统的制作方法
技术领域:
本发明涉及移动接入领域,尤其涉及一种PMIP (代理移动互联网协议) 中HA (家乡代理)获取MN-HAkey (用户与家乡代理之间的密钥)的方法、 设备及系统。
背景技术:
MIP (Mobile Internet Protocol,移动互联网协议)是为了保rf终端在移动 过程中的连接性而设计的,MIP包括Mobile IPv4 (RFC 3344)和Mobile IPv6 (RFC 3775 )两个版本。基于IPv4的MP定义了三种功能实体MN (Mobile Node,移动节点)、HA( Home Agent,归属代理,也称为家乡代理)和FA( Foreign Agent,漫游地代理,也称为外地代理),HA和FA可以统称为移动代理。基 于MP技术,MN能够实现以固定的IP地址的网络漫游功能。当MN处于归 属网络时,使用固定的IP地址即HoA (Home of Address,家乡地址)与对端 节点进行通信。当MN处于漫游地网络时,MN在归属网络中拥有的HoA不 变,同时基于代理发现协议发现一个FA,并获得FA为其分配的'i念时的IP地 址即CoA (Care of Address,转交地址);MN获得新的CoA时,通过FA向 HA注册HoA与CoA的绑定关系,并由HA负责维护HoA与CoA的绑定列表。 当有发往MN(目的地址为HoA)的数据包时,MN归属的HA截取该数据包, 并根据MN注册的CoA,通过隧道将数据包传送给MN。 MIP通过引入HA、 FA两个新的功能实体和隧道技术,在不改变现有互联网中路由规则的前提下, 解决了终端漫游时的路由问题,无需改变MN的IP地址即可保持上层的通信 连接。
随着移动通信技术的发展,移动通信系统的分组域子系统可厶向MS (移动终端)提供基于MIP的公网或专网接入业务。釆用MIP接入方式时,HA和 AAA (Authentication Authorization and Accounting,鉴权授权计费)月良务器都 必须对MS进行鉴4又。
MIP可以分为CMIP ( Client MIP,客户端移动IP)和PMIP (Proxy MIP, 代理移动IP)两种模式。如果MS支持MIP功能则采用CMIP模式,MS可以 作为MIP客户端主动发送MIP RRQ( MIP Registration Request, MIP注册请求) 消息,该消息中携带了 MN-AAA key (用户与AAA服务器之间的密钥), MN-AAA key也就是通常所说的用户密码(Password);如果MS不支持MIP 功能则采用PMP模式,由FA作为MP客户端代替MS发送MIP-RRQ消息, 该消息中没有携带MN-AAA key 。
现有技术中,HA为了对MS进行鉴权,需要配置MN-HAkey (用户与家 乡代理之间的密钥),而有些HA不支持本地配置MN-HAkey,所以HA需要 从AAA服务器处获取MN-HAkey,具体的获取流程包括HA向AAA服务器 发送Access Request (鉴权请求)消息,请求AAA服务器对MS进行鉴权,该 消息中携带用户名(NAI)和用户密码(Password即MN-AAA key) ), AAA服 务器在鉴权通过后,向HA下发MN-HAkey。
由于PMP中FA代替MS发送MIP RRQ消息,该消息中没有携带MN-AAA key,也就是说没有携带用户密码(Password),则HA无法得知该用户密码; 如果HA不支持本地配置MN-HA key ,为了从AAA服务器处获取MN-HA key, HA向AAA服务器发送的Access Request消息中又必须携带该用户密码。可见 现有PMP中,在HA不支持本地配置MN-HAkey的情况下,存在着HA无法 从AAA服务器处获取MN-HA key的问题。
发明内容
本发明提供一种PMP中HA获取MN-HAkey的方法、设备及系统,用以 解决现有PMIP中,在HA不支持本地配置MN-HAkey的情况下,HA无法从AAA服务器处获取MN-HAkey的问题。
本发明提供了 一种代理移动互联网协议PMIP中家乡代理HA获取用户与 家乡代理之间的密钥MN-HA key的方法,包括
HA在接收到漫游地代理FA代替移动终端MS发送的MIP注册请求 MIP-RRQ消息时,向所述MS归属的鉴权授权计费AAA服务器发送第一鉴权 请求消息,其中携带的用户密码为HA与AAA服务器之间的密钥HA-AAA key;
HA接收所述AAA服务器返回的携带MN-HA key的第 一鉴权应答消息, 所述第 一鉴权应答消息是所述AAA服务器使用本地配置的HA-AAA key对第 一鉴权请求消息中携带的用户密码进行鉴权,并在鉴权通过后返回的;并
从所述第 一鉴权应答消息中获取MN-HA key。
本发明提供了一种家乡代理HA设备,包括
处理单元,用于在接收到漫游地代理FA代替移动终端MS发送的MIP注 册请求MIP-RRQ消息时,向所述MS归属的鉴权授权计费AAA服务器发送第 一鉴权请求消息,其中携带的用户密码为HA与AAA服务器之间的密钥 HA-AAA key;
接收单元,用于接收所述AAA服务器返回的携带MN-HA key的第 一鉴权 应答消息,所述第一鉴权应答消息是所述AAA服务器使用本地配置的 HA-AAAkey对第一鉴权请求消息中携带的用户密码进行鉴权,并在鉴权通过 后返回的;
获取单元,用于从所述第 一鉴权应答消息中获取MN-HA key 。
本发明提供了 一种代理移动互联网协议PMIP中家乡代理HA获取用户与 家乡代理之间的密钥MN-HA key的方法,包括
AAA服务器接收HA发送的第一鉴权请求消息,所述第一鉴权请求消息 中携带的用户密码为HA与AAA服务器之间的密钥HA-AAA key;
所述AAA服务器使用本地配置的HA-AAA key对所述第 一鉴权请求消息中携带的用户密码进行鉴权;并
在鉴权通过后向所述HA返回携带MN-HA key的第一鉴权应答消息,使 所述HA从接收到的第 一鉴权应答消息中获取MN-HA key。
本发明提供了一种鉴权授权计费AAA服务器设备,包括
接收单元,用于接收家乡代理HA发送的第一鉴权请求消息,所述第一鉴 权请求消息中携带的用户密码为HA与AAA服务器之间的密钥HA-AAAkey;
鉴权单元,用于使用本地配置的HA-AAA key对所述第一鉴权请求消息中 携带的用户密码进行鉴权;
发送单元,用于在鉴权通过后向所述HA返回携带MN-HA key的第一鉴 权应答消息,使所述HA从接收到的第 一鉴权应答消息中获取MN-HA key 。
本发明提供了 一种代理移动互耳关网协议PMIP中家乡代理HA获取用户与 家乡代理之间的密钥MN-HA key的系统,包括漫游地代理FA、家乡代理HA 和鉴权授权计费AAA服务器,其中
所述FA,用于代替移动终端MS向所述MS归属的HA发送MIP注册请 求MIP-RRQ消息;
所述HA,用于在接收到所述MIP-RRQ消息时,向所述MS归属的AAA 服务器发送第一鉴权请求消息,其中携带的用户密码为HA与AAA服务器之 间的密钥HA-AAA key;接收所述AAA服务器返回的携带MN-HAkey的第一 鉴权应答消息,并从所述第 一鉴权应答消息中获取MN-HA key;
所述AAA服务器,用于接收所述第一鉴权请求消息,使用本地配置的 HA-AAA key对所述第 一鉴权请求消息中携带的用户密码进行鉴权,并在鉴权 通过后向所述HA返回所述笫 一鉴权应答消息。
本发明才是供的PMIP中HA获取MN-HA key的方法、设备及系统,针对 PMIP中HA不支持本地配置MN-HA key的情况提出,HA在接收到FA代替 MS发送的MIPRRQ消息时,向MS归属的AAA服务器发送鉴权请求消息, 将HA-AAAkey作为用户密码,由于HA和AAA服务器预先配置了 HA-AAAkey, AAA服务器可以对鉴权请求消息中携带的用户密码进行鉴权,并在鉴权 通过后返回携带MN-HA key的鉴权应答消息,使得HA能够从鉴权应答消息 中获取MN-HAkey。本发明解决了在HA不支持本地配置MN-HA key的情况 下,HA无法从AAA服务器处获取MN-HA key的问题,使得PMIP中HA仍 然能够从AAA服务器处获取MN-HA key,为MIP会话的成功建立打下1^出。
图1为本发明实施例提供的PMP中HA获取MN-HAkey的方法流程图; 图2为现有CMIP中MP会话的建立流程图; 图3为本发明实施例提供的PMIP中MIP会话的建立流程图; 图4为CDMA2000系统中分组域子系统的网络架构示意图; 图5为CDMA2000系统中,本发明实施例提供的PMIP中MIP会话的建 立流程图; ,
图6为本发明实施例提供的PMIP中HA获取MN-HA key的系统框图7为本发明实施例提供的HA设备的结构框图8为本发明实施例提供的AAA服务器设备的结构框图。
具体实施例方式
首先定义几个基^fe念,如果移动通信系统的分组域子系统可以向MS提 供基于MIP的公网或专网接入业务,则移动通信系统中的MS即为MIP中的 功能实体MN,本发明实施例中MS采用MIP接入方式,故可称为MP用户; 具备HA功能的网络实体同样称为HA,具备FA功能的网络实体同样称为FA, MS归属的AAA服务器称为H-AAA (归属鉴权授权计费)服务器,漫游地网 络中的AAA服务器称为V-AAA(拜访鉴权授权计费)服务器。H-AAA和V-AAA 是相对MS而言的,对于任一 AAA服务器来说,可能是某些MS的H-AAA, 而是另外一些MS的V-AAA。首先介绍现有CMIP中,在HA不支持本地配置MN-HAkey的情况下,MIP 会话的建立流程,如图1所示,包括如下步骤
SlOl、 MS接入漫游地网络中的FA, MS与FA进行LCP (Link Control Protocol,连接控制协议)协商;
S102 、 MS与FA进行IPCP (Internet protocol control Protocol,互联网协议控 制协议)协商,其中MS发出的IPCP配置请求中不携带IP地址选项;表明MS为 MIP用户;
5103、 FA得知MS为MIP用户,向MS发送MIP Agent Advertisement (MIP 代理广播)消息;
5104、 MS发送MPRRQ (MP注册请求)消息,请求建立MP会话,其中 携带用户名(NAI)和MN-AAA key即用户密码;
S105 、 FA接收到MIP RRQ消息后,向H-AAA服务器发送Access Request(鉴 权请求)消息,其中携带MIP RRQ消息中的用户名和MN-AAA key即用户密码, 请求H-AAA服务器对MS进行鉴权; '
FA无法对MS进行鉴权,作为AAA服务器的客户端,FA向本地的AAA服 务器(相对于MS来说是拜访地网络中的AAA服务器)即V-AAA服务器发送 Access Request (鉴权请求)消息,因为MS相对于V-AAAJl务器来说是外地用 户,V-AAA服务器基于RADIUS (远端认证拨号接入服务)协议请求MS归属 的AAA服务器即H-AAA服务器对MS进行鉴权,V-AAAJ良务器和H-AAAi良务器 之间进行通信时可能还需要沿途的B-AAA (Broker AAA,中间鉴权授权计费) 服务器的参与,相当于FA向H-AAA^良务器发ilAccess R叫uest消息。
5106、 H-AAA在鉴权通过后,向FA返回Access Accept (鉴权库答)消息, 其中携带用户的授权信息,用户的授权信息中包括MN-HAkey;
5107、 FA在MS鉴权通过后,将MS发送的MIPRRQ消息转发给HA,其中 携带MN-AAA key即用户密码和加密后的MN-HA key;
5108、 HA向H-AAA^送AccessRequest (鉴权请求)消息,其中携带MIPRRQ消息中的用户名(NAI)和MN-AAAkey即用户密码;
S109、 H-AAA在鉴权通过后,向HA返回Access Accept (鉴权应答)消息, 其中携带MN-HAkey;
SI 10、 HA使用该Access Accept消息中携带的MN-HA key,对FA转发的MIP RRQ消息中携带的加密后的MN-HA key进行鉴权,在鉴权通过后为MS建立 MIP会话,并向FA返回MIP RRP (MIP Registration Response, MI 注册应答) 消息,其中携带用户的授权信息,用户的授权信息中包括为MS分配的IP地址;
5111、 FA将HA返回的MIP RRP消息转发给MS, MS (MIP用户)接入成
功;
5112、 FA向H-AAA^送AcctRequest/start (计费请求)消息;
5113、 H-AAA向FA返回AcctResponse (计费应答)消息; 后续,MS可以传输数据包。
针对现有PMIP中,在HA不支持本地配置MN-HAkey的情况下,HA无 法从AAA服务器处获取MN-HA key的问题,本发明人发现该问题^j关键在于 PMIP中由FA代替MS发送MIP RRQ消息,该消息中没有携带MN-AAA key, 也就是说没有用户密码,HA无法得知该用户密码,使得Access Request消息 中无法携带用户密码,导致AAA服务器无法进行鉴权,从而不会向HA下发 MN-HA key。基于此,本发明实施例提出HA将HA-AAA key (HA与AAA 服务器之间的密钥)作为用户密码携带在向AAA服务器发送的Access Request 消息中。HA-AAA key是HA与AAA服务器之间相互鉴权的依据,在MIP用 户接入之前,HA-AAA key必须在HA和AAA服务器中预先配置,使用 HA-AAAkey作为用户密码携带在Access Request消息中使得上i4问题得以解 决。
如图2所示,本发明实施例提供了一种PMIP中HA获取MN-HAkey的方 法,包括
S201、 FA代替MS向HA发送MIPRRQ (MIP注册请求)消息,该消息中没有携带MN-AAAkey即用户密码;
S202 、 HA在接收到MIP RRQ消息时,向MS归属的AAA服务器即H-AAA 服务器发送Access Request (鉴权请求)消息,其中携带的用户密码为HA-AAA key;
5203、 H-AAA月艮务器4吏用本地配置的HA-AAA key对Access Request消 息中携带的用户密码进行鉴权;
5204、 在鉴权通过后,AAA服务器向HA返回携带MN-HA—y的Access Accept (鉴权应答)消息;
S205 、 HA接收H-AAA服务器返回的该Access Accept消息,并从Access Accept消息中获取MN-HA key。
基于上述PMP中HA获取MN-HA key的方法,本发明实施例提供的PMIP 中,在HA不支持本地配置MN-HAkey的情况下,MIP会话的建立流程,如图3 所示,包括
S301~S302、 MS接入漫游地网络中的FA, MS与FA进行LCP协商,并 在LCP协商成功后协商鉴权方式; ,
5303、 MS根据协商成功的CHAP鉴权方式向FA发送鉴权消息,其中携 带用户名和用户密码密文、以及MPA (Mobile Proxy Agent,移动代理服务器 代理)功能属性,表明不支持MIP功能;
5304、 FA根据接收到的鉴权消息,向H-AAAI良务器发送Access-Request(鉴 权请求)消息,其中携带用户名和用户密码密文,请求H-AAA服务器对MS进 行鉴权;
5305、 H-AAA服务器在鉴权通过后,向FA返回Access Accept (鉴权应 答)消息,其中携带MN-HA key并表明支持MPA功能属性; r
5306、 FA根据接收到的Access Accept消息,得知MS使用MPA功能, 则代替MS向HA发送MIP RRQ消息,其中携带加密后的MN-HA key;
5307、 HA向H-AAA服务器发送Access-Request (鉴权请求)消息,其中携带的用户密码为HA-AAA key;
5308、 H-AAA月艮务器4吏用预先配置的HA-AAA key对Access Request消 息中携带的用户密码进行鉴权,在鉴权通过后,向HA返回Access Accept (鉴 权应答)消息,其中携带MN-HAkey;
5309、 HA从Access Acc印t消息中获取MN-HAkey,使用获取到的MN-HA key对MIPRRQ消息中携带的加密后的MN-HAkey进行鉴权,在鉴权通过后 为MS建立MP会话,并向FA返回MIPRRP (MIP注册应答)消息,其中携 带为MS分配的IP地址。
5310、 FA向MS返回鉴权成功消息;
S311 、 MS与FA进行IPCP协商,并在协商成功后将HA分配给MS的IP 地址通知给MS, MS (MP用户)接入成功;
5312、 MS接入成功之后,FA向H-AAA发送Acct Request/start (计费请 求)消息;
5313、 H-AAA服务器向FA返回AcctResponse (计费应答)消息; 后续,MS可以传输数据包。
在MIP会话的建立流程中,HA向H-AAA服务器发送的Access仅equest消息 中将HA-AAA key作为用户密码,H-AAA服务器根据本地配置的HA-AAA key 对用户密码进行鉴权,并在鉴权通过后向HA返回MN-HAkey,使得HA能够从 H-AAA服务器处获取MN-HA key,从而完成对MS的鉴权,保证MIP会话的成 功建立。
下面移动通信系统以CDMA2000系统为例进行i兌明。CDMA2000系统的 分组域子系统可向MS提供基于简单IP的公网/专网接入业务和基于MP的公 网/专网接入业务。当MS采用MP方式接入时,可使用静态IP地址,也可使 用动态IP地址,主要取决于MS归属的IP网络。在CDMA2000系统中,MIP 得以应用的关键在于引入一个支持FA功能的网络实体PDSN (Packet Data Service Node;分组数据服务节点)。基于MIP的分组域子系统的网络架构如图4所示,包括MS、 BSC(基 站控制器)、PCF(分组控制功能)、MSC/VLR (移动交换中心/拜访位置寄存 器)、HA、 PDSN、 AAA服务器等。其中
MS(移动终端),例如手机或者无线网卡;
BSC和PCF为基站侧设备,PCF主要用于建立、维护和终止链路层到PDSN 的连接,与RRC (无线资源控制)共同请求和管理无线资源,以便在MS之间 转发数据包;
PDSN,在MIP^^舌的建立流程中相当于FA,负责转发MS发送的MIPRRQ 消息,以及HA返回的MIPRRP消息;
HA,对MS进行鉴权并为MS分配IP地址的网元。
在CDMA2000系统中,本发明实施例提供的PMP中,在HA不支持本地配 置MN-HAkey的情况下,MIP会话的建立流程,如图5所示,包括
S501 ~ S502、 MS接入漫游地网络中的PDSN, MS与PDSN进行LCP协 商,并在LCP协商成功后协商鉴权方式;
具体实施中,包括如下步骤
步骤1 、 MS向PDSN发送LCP Configure-Request (LCP配置请求),启动 LCP连接协商过程,以建立MS与PDSN之间的PPP连接;
步骤2、 PDSN向MS返回LCP Configure-Ack (LCP配置应答),确认PPP 连接已经建立;
如果PDSN不同意MS发送的某些配置选项值,则可以返回LCP
Configure-Nak (LCP配置拒绝)进行拒绝,MS将会重新发送一个与上次配置
选项值不同的LCP Configure-Request给PDSN;
步骤3、 PDSN向MS发送LCP Configure-Request,与MS协商鉴权方式; PDSN首先协商使用CAHP (Challenge handshake authentication protocol,
挑战握手鉴权协议)鉴权方式,如果协商不成功,则再次协商使用PAP(Password
authentication protocol, 口令鉴4又协i义)鉴4又方式;步骤4、 MS向PDSN返回LCP Configure-Ack,确认使用PDSN指定的鉴 权方式;
如果MS不同意PDSN指定的鉴4又方式,则可以返回LCP Configure-Nak 进行拒绝,PDSN功能实体将会重新发送一个与上次配置选项值不同的LCP Configure-Request给MS;
PAP方式为两次握手鉴4又方式,口令为明文,PAP方式鉴4又过程为MS 发送用户名和用户密码到PDSN功能实体,PDSN功能实体将用户名和用户密 码存储在本地之后,向MS返回鉴4又应答消息;
CHAP鉴权方式为三次握手鉴权方式,口令为密文,CHAP鉴权方式的鉴 权过程为MS发送用户名(NAI)到PDSN, PDSN将随机产生的数据包返回 给MS, MS将用户密码用MD5算法进行加密,然后将用户密码密文发送给 PDSN, PDSN将用户名和用户密码密文存储在本地之后,向'MS返回鉴权应答 消息;
5503、 具体实施中,协商成功的鉴权方式为CAHP鉴权方式,MS根据协 商成功的鉴权方式即CHAP鉴权方式启动鉴权过程,MS向PDSN发送鉴权消 息,其中携带用户名和用户密码密文(用户密码即MN-AAAkey)、以及MPA 功能属性,表明不支持MIP功能; .
5504、 PDSN向H-AAA服务器发送Access-Request消息,其中携带用户名和 用户密码密文,请求H-AA/J良务器对MS进行鉴权;
S505 、 H-AAA服务器在鉴权通过后,向PDSN返回Access Acc印t消息, 其中携带用户的授权信息,用户的授权信息包括MN-HA key并表明支持MPA 功能属性;
5506、 PDSN根据接收到的Access Accept消息,得知MS使用MPA功能, PDSN代替MS向HA发送MIP RRQ消息,其中携带加密后的MN-HA key;
5507、 HA向H-AAA服务器发送Access-Request消息,其书用户密码属 性对应的属性值为HA-AAAkey;S508、 H-AAA月l务器4吏用预先配置的HA-AAA key对Access Request消 息中携带的用户密码进行鉴权,在鉴权通过后,向HA返回Access Accept消息, 其中携带用户的授权信息,用户的授权信息中包括MN-HA key,以便HA对 固进行鉴权。
S509 、 HA使用Access Accept消息中携带的MN-HA key对MIP RRQ消息 中携带的加密后的MN-HA key进行鉴权,在鉴4又通过后为MS建立MIP会话, 并向PDSN返回MIP RRP消息,其中携带用户的授权信息,用户的授权信息 中包括为MS分配的IP地址。
5510、 PDSN向MS返回鉴权成功消息;
5511、 MS与PDSN进行IPCP协商,并在协商成功后将HA分配给MS 的IP地址通知给MS, MS (MP用户)接入成功;
5512、 MS接入成功之后,PDSN向H-AAA发送Acct Request/start消息;
5513、 H-AAAJ3良务器向PDSN返回Acct Response消息; 后续,MS可以传输数据包。
MIP用户的接入、切换或者刷新时,均需执行上述流程,因此本发明实施 例提供的HA获取MN-HA key的方法适用于MIP用户的接入、切换或者刷新 等各种流程。
本发明实施例以CDMA 2000系统为例进行说明,本领域普通技术人员可 知,该方案能够应用于其它能够提供MIP接入方式的移动通信系统中,只是在 不同的网络架构中可能具有HA或FA功能的网络实体不同,但是核心思想和 具体的实现流程相一致。
基于同一技术构思,本发明实施例提供了一种PMIP中HA获取MN-HA key的系统,如图6所示,包括FA601、 HA602和AAA服务器603,其中
FA 601,用于代替MS向MS归属的HA发送MIP RRQ消息;
HA602,用于在接收到所述MIPRRQ消息时,向MS归属的AAA服务器 发送第一鉴权请求消息,其中携带的用户密码为HA-AAA key;接收AAA服务器返回的携带MN-HA key的第一鉴权应答消息,并从第一鉴权应答消息中 获取MN-HA key;
AAA服务器603,用于接收第 一鉴权请求消息,使用本地配置的HA-AAA key对第一鉴权请求消息中携带的用户密码进行鉴权,并在鉴权通过后向HA 返回所迷第 一鉴权应答消息。
其中,HAi殳备的一种可能结构,如图7所示,包括
处理单元701,用于在接收到FA代替MS发送的MIP RRQ消息时,向 MS归属的AAA服务器发送第一鉴权请求消息,其中携带的用户密码为 HA-AAA key;
接收单元702,用于接收AAA服务器返回的携带MN-HA key的第一鉴权 应答消息,所述第 一鉴权应答消息是AAA服务器使用本地配置的HA-AAA key 对第一鉴权请求消息中携带的用户密码进行鉴权,并在鉴权通过后返回的; 获取单元703 ,用于从第 一鉴权应答消息中获取MN-HAkey。 其中,AAA服务器设备的一种可能结构,如图8所示,包括 接收单元801,用于接收HA发送的第一鉴权请求消息,所述第一鉴权请 求消息中携带的用户密码为HA-AAAkey;
鉴权单元802,用于使用本地配置的HA-AAA key对第 一鉴权请求消息中
携带的用户密码进行鉴权;
发送单元803,用于在鉴权通过后向HA返回携带MN-HA key'的第一鉴权 应答消息,使HA从接收到的第 一鉴权应答消息中获取MN-HA key 。
本发明实施例提供的PMIP中HA获取MN-HA key的方案,针对PMIP中 HA不支持本地配置MN-HA key的情况提出,HA在接收到FA代替MS发送 的MP-RRQ消息时,向MS归属的AAA服务器发送鉴权请求消息,将HA-AAA key作为用户密码,由于HA和AAA服务器预先配置了 HA-AAA key, AAA 服务器可以对鉴权请求消息中携带的用户密码进行鉴权,并在鉴权通过后返回 携带MN-HA key的鉴权应答消息,使得HA能够从鉴权应答消息中获取MN-HAkey。本发明解决了在HA不支持本地配置MN-HAkey的情况下,HA 无法从AAA服务器处获取MN-HAkey的问题,使得PMIP中HA仍然能够从 AAA服务器处获取MN-HAkey,为MIP会话的成功建立打下基础。
显然,本领域的技术人员可以对本发明进行各种改动和变型而'不脱离本发 明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及 其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
权利要求
1、一种代理移动互联网协议PMIP中家乡代理HA获取用户与家乡代理之间的密钥MN-HA key的方法,其特征在于,包括HA在接收到漫游地代理FA代替移动终端MS发送的MIP注册请求MIPRRQ消息时,向所述MS归属的鉴权授权计费AAA服务器发送第一鉴权请求消息,其中携带的用户密码为HA与AAA服务器之间的密钥HA-AAA key;HA接收所述AAA服务器返回的携带MN-HA key的第一鉴权应答消息,所述第一鉴权应答消息是所述AAA服务器使用本地配置的HA-AAA key对第一鉴权请求消息中携带的用户密码进行鉴权,并在鉴权通过后返回的;并从所述第一鉴权应答消息中获取MN-HA key。
2、 如权利要求1所述的方法,其特征在于,所述HA在接收到FA代替 MS发送的MIP RRQ消息之前,还包括MS接入漫游地网络中的FA, MS与FA进行连接控制协议LCP协商,并 在LCP协商成功后协商鉴权方式;MS根据协商成功的挑战握手鉴权协议CHAP鉴权方式,向FA发送鉴权 消息,其中携带用户名和用户密码密文、以及表明不支持MIP功能的移动代理 服务器代理MPA功能属性;FA根据接收到的鉴权消息,向所述AAA服务器发送第二鉴权请求消息, 其中携带用户名和用户密码密文,请求所述AAA服务器对MS进行鉴权;所述AAA服务器在鉴权通过后,向FA返回第二鉴权应答消息,其中携 带MN-HA key并表明支持MPA功能属性;FA根据接收到的第二鉴权应答消息,得知MS使用MPA功能,则代替 MS向HA发送所述MIP RRQ消息,其中携带加密后的MN-HA key。
3、 如权利要求2所述的方法,其特征在于,所述HA从所述第一鉴权应 答消息中获取MN-HA key之后,还包括所述HA使用获取到的MN-HA key对所述MIP RRQ消息中携带的加密后的MN-HA key进行鉴权,在鉴权通过后为所述MS建立MIP^^舌,并向FA返回MIP 注册应答MIP RRP消息,其中携带为所述MS分配的IP地址; FA向MS返回鉴权成功消息。
4、 如权利要求3所述的方法,其特征在于,所述FA向MS返回鉴权成功 消息之后,还包4舌MS与FA进行互联网协议控制协议IPCP协商,在IPCP协商成功后FA 将HA为MS分配的IP地址通知给MS, MS接入成功。
5、 如权利要求4所述的方法,其特征在于,还包括MS接入成功之后,FA向所述向AAA服务器发送计费请求消息; 所述AAA服务器向所述FA返回计费应答消息。
6、 如权利要求1至5任一所述的方法,其特征在于,在CDMA2000系统 中,具备FA功能的网络实体具体为分组数据服务节点PDSN。
7、 一种家乡代理HA设备,其特征在于,包括处理单元,用于在接收到漫游地代理FA代替移动终端MS发送的MIP注 册请求MPRRQ消息时,向所述MS归属的鉴权授权计费AAA服务器发送第 一鉴权请求消息,其中携带的用户密码为HA与AAA服务器,之间的密钥 HA-AAAkey;接收单元,用于接收所述AAA服务器返回的携带MN-HA key的第 一鉴权 应答消息,所述第一鉴权应答消息是所述AAA服务器使用本地配置的 HA-AAAkey对第一鉴权请求消息中携带的用户密码进行鉴权,并在鉴权通过 后返回的;获取单元,用于从所述第 一鉴权应答消息中获取MN-HA key 。
8、 一种代理移动互联网协议PMIP中家乡代理HA获取用户与家乡代理之 间的密钥MN-HAkey的方法,其特征在于,包括AAA服务器接收HA发送的第一鉴权请求消息,所述第一鉴权请求消息 中携带的用户密码为HA与AAA服务器之间的密钥HA-AAAkey;所述AAA服务器使用本地配置的HA-AAA key对所述第一鉴权请求消息 中携带的用户密码进行鉴权;并在鉴权通过后向所述HA返回携带MN-HA key的第一鉴权应答消息,使 所述HA从接收到的第 一鉴权应答消息中获取MN-HA key 。
9、 一种鉴权授权计费AAA服务器设备,其特征在于,包括 接收单元,用于接收家乡代理HA发送的第一鉴权请求消息,所述第一鉴权请求消息中携带的用户密码为HA与AAA服务器之间的密钥HA-AAAkey;鉴权单元,用于使用本地配置的HA-AAAkey对所述第一鉴权请求消息中 携带的用户密码进行鉴权;发送单元,用于在鉴权通过后向所述HA返回携带MN-HA key的第一鉴 权应答消息,使所述HA从接收到的第一鉴权应答消息中获取MN-HAkey。
10、 一种代理移动互联网协议PMP中家乡代理HA获取用户与家乡代理 之间的密钥MN-HAkey的系统,其特征在于,包括漫游地代理FA、家乡代理 HA和鉴权授权计费AAA服务器,其中所述FA,用于代替移动终端MS向所述MS归属的HA发送MIP注册请 求MP-RRQ消息;所述HA,用于在接收到所述MIP RRQ消息时,向所述MS归属的AAA 服务器发送第一鉴权请求消息,其中携带的用户密码为HA与AAA服务器之 间的密钥HA-AAA key;接收所述AAA服务器返回的携带MN-HA key的第一 鉴权应答消息,并从所述第一鉴权应答消息中获取MN-HAkey;所述AAA服务器,用于接收所述第一鉴权请求消息,使用本地配置的 HA-AAAkey对所述第一鉴权请求消息中携带的用户密码进行鉴权,并在鉴权 通过后向所述HA返回所述第 一鉴权应答消息。
全文摘要
本发明公开了一种PMIP中HA获取MN-HA key的方法、设备及系统,用以解决现有PMIP中,在HA不支持本地配置MN-HA key的情况下,HA无法从AAA服务器处获取MN-HA key的问题。包括HA在接收到FA代替MS发送的MIP RRQ消息时,向MS归属的AAA服务器发送第一鉴权请求消息,其中携带的用户密码为HA-AAA key;HA接收AAA服务器返回的携带MN-HAkey的第一鉴权应答消息,所述第一鉴权应答消息是AAA服务器使用本地配置的HA-AAA key对第一鉴权请求消息中携带的用户密码进行鉴权,并在鉴权通过后返回的;并从第一鉴权应答消息中获取MN-HA key。
文档编号H04W12/04GK101656959SQ200910161980
公开日2010年2月24日 申请日期2009年9月10日 优先权日2009年9月10日
发明者胥小凡 申请人:中兴通讯股份有限公司