PMIP中HA获取MN-HAkey的方法、设备及系统的制作方法

专利名称：PMIP中HA获取MN-HA key的方法、设备及系统的制作方法
技术领域：
本发明涉及移动接入领域，尤其涉及一种PMIP (代理移动互联网协议) 中HA (家乡代理)获取MN-HAkey (用户与家乡代理之间的密钥)的方法、 设备及系统。
背景技术：
MIP (Mobile Internet Protocol,移动互联网协议)是为了保rf终端在移动 过程中的连接性而设计的，MIP包括Mobile IPv4 (RFC 3344)和Mobile IPv6 (RFC 3775 )两个版本。基于IPv4的MP定义了三种功能实体MN (Mobile Node,移动节点)、HA( Home Agent,归属代理，也称为家乡代理)和FA( Foreign Agent,漫游地代理，也称为外地代理)，HA和FA可以统称为移动代理。基 于MP技术，MN能够实现以固定的IP地址的网络漫游功能。当MN处于归 属网络时，使用固定的IP地址即HoA (Home of Address,家乡地址)与对端 节点进行通信。当MN处于漫游地网络时，MN在归属网络中拥有的HoA不 变，同时基于代理发现协议发现一个FA，并获得FA为其分配的'i念时的IP地 址即CoA (Care of Address,转交地址)；MN获得新的CoA时，通过FA向 HA注册HoA与CoA的绑定关系，并由HA负责维护HoA与CoA的绑定列表。 当有发往MN(目的地址为HoA)的数据包时，MN归属的HA截取该数据包， 并根据MN注册的CoA，通过隧道将数据包传送给MN。 MIP通过引入HA、 FA两个新的功能实体和隧道技术，在不改变现有互联网中路由规则的前提下， 解决了终端漫游时的路由问题，无需改变MN的IP地址即可保持上层的通信 连接。
随着移动通信技术的发展，移动通信系统的分组域子系统可厶向MS (移动终端)提供基于MIP的公网或专网接入业务。釆用MIP接入方式时，HA和 AAA (Authentication Authorization and Accounting,鉴权授权计费)月良务器都 必须对MS进行鉴4又。
MIP可以分为CMIP ( Client MIP，客户端移动IP)和PMIP (Proxy MIP, 代理移动IP)两种模式。如果MS支持MIP功能则采用CMIP模式，MS可以 作为MIP客户端主动发送MIP RRQ( MIP Registration Request, MIP注册请求) 消息，该消息中携带了 MN-AAA key (用户与AAA服务器之间的密钥)， MN-AAA key也就是通常所说的用户密码(Password);如果MS不支持MIP 功能则采用PMP模式，由FA作为MP客户端代替MS发送MIP-RRQ消息， 该消息中没有携带MN-AAA key 。
现有技术中，HA为了对MS进行鉴权，需要配置MN-HAkey (用户与家 乡代理之间的密钥)，而有些HA不支持本地配置MN-HAkey，所以HA需要 从AAA服务器处获取MN-HAkey,具体的获取流程包括HA向AAA服务器 发送Access Request (鉴权请求)消息，请求AAA服务器对MS进行鉴权，该 消息中携带用户名(NAI)和用户密码(Password即MN-AAA key) )， AAA服 务器在鉴权通过后，向HA下发MN-HAkey。
由于PMP中FA代替MS发送MIP RRQ消息，该消息中没有携带MN-AAA key,也就是说没有携带用户密码(Password),则HA无法得知该用户密码； 如果HA不支持本地配置MN-HA key ，为了从AAA服务器处获取MN-HA key, HA向AAA服务器发送的Access Request消息中又必须携带该用户密码。可见 现有PMP中，在HA不支持本地配置MN-HAkey的情况下，存在着HA无法 从AAA服务器处获取MN-HA key的问题。

发明内容
本发明提供一种PMP中HA获取MN-HAkey的方法、设备及系统，用以 解决现有PMIP中，在HA不支持本地配置MN-HAkey的情况下，HA无法从AAA服务器处获取MN-HAkey的问题。
本发明提供了 一种代理移动互联网协议PMIP中家乡代理HA获取用户与 家乡代理之间的密钥MN-HA key的方法，包括
HA在接收到漫游地代理FA代替移动终端MS发送的MIP注册请求 MIP-RRQ消息时，向所述MS归属的鉴权授权计费AAA服务器发送第一鉴权 请求消息，其中携带的用户密码为HA与AAA服务器之间的密钥HA-AAA key;
HA接收所述AAA服务器返回的携带MN-HA key的第 一鉴权应答消息， 所述第 一鉴权应答消息是所述AAA服务器使用本地配置的HA-AAA key对第 一鉴权请求消息中携带的用户密码进行鉴权，并在鉴权通过后返回的；并
从所述第 一鉴权应答消息中获取MN-HA key。
本发明提供了一种家乡代理HA设备，包括
处理单元，用于在接收到漫游地代理FA代替移动终端MS发送的MIP注 册请求MIP-RRQ消息时，向所述MS归属的鉴权授权计费AAA服务器发送第 一鉴权请求消息，其中携带的用户密码为HA与AAA服务器之间的密钥 HA-AAA key;
接收单元，用于接收所述AAA服务器返回的携带MN-HA key的第 一鉴权 应答消息，所述第一鉴权应答消息是所述AAA服务器使用本地配置的 HA-AAAkey对第一鉴权请求消息中携带的用户密码进行鉴权，并在鉴权通过 后返回的；
获取单元，用于从所述第 一鉴权应答消息中获取MN-HA key 。
本发明提供了 一种代理移动互联网协议PMIP中家乡代理HA获取用户与 家乡代理之间的密钥MN-HA key的方法，包括
AAA服务器接收HA发送的第一鉴权请求消息，所述第一鉴权请求消息 中携带的用户密码为HA与AAA服务器之间的密钥HA-AAA key;
所述AAA服务器使用本地配置的HA-AAA key对所述第 一鉴权请求消息中携带的用户密码进行鉴权；并
在鉴权通过后向所述HA返回携带MN-HA key的第一鉴权应答消息，使 所述HA从接收到的第 一鉴权应答消息中获取MN-HA key。
本发明提供了一种鉴权授权计费AAA服务器设备，包括
接收单元，用于接收家乡代理HA发送的第一鉴权请求消息，所述第一鉴 权请求消息中携带的用户密码为HA与AAA服务器之间的密钥HA-AAAkey;
鉴权单元，用于使用本地配置的HA-AAA key对所述第一鉴权请求消息中 携带的用户密码进行鉴权；
发送单元，用于在鉴权通过后向所述HA返回携带MN-HA key的第一鉴 权应答消息，使所述HA从接收到的第 一鉴权应答消息中获取MN-HA key 。
本发明提供了 一种代理移动互耳关网协议PMIP中家乡代理HA获取用户与 家乡代理之间的密钥MN-HA key的系统，包括漫游地代理FA、家乡代理HA 和鉴权授权计费AAA服务器，其中
所述FA，用于代替移动终端MS向所述MS归属的HA发送MIP注册请 求MIP-RRQ消息；
所述HA，用于在接收到所述MIP-RRQ消息时，向所述MS归属的AAA 服务器发送第一鉴权请求消息，其中携带的用户密码为HA与AAA服务器之 间的密钥HA-AAA key;接收所述AAA服务器返回的携带MN-HAkey的第一 鉴权应答消息，并从所述第 一鉴权应答消息中获取MN-HA key;
所述AAA服务器，用于接收所述第一鉴权请求消息，使用本地配置的 HA-AAA key对所述第 一鉴权请求消息中携带的用户密码进行鉴权，并在鉴权 通过后向所述HA返回所述笫 一鉴权应答消息。
本发明才是供的PMIP中HA获取MN-HA key的方法、设备及系统，针对 PMIP中HA不支持本地配置MN-HA key的情况提出，HA在接收到FA代替 MS发送的MIPRRQ消息时，向MS归属的AAA服务器发送鉴权请求消息， 将HA-AAAkey作为用户密码，由于HA和AAA服务器预先配置了 HA-AAAkey, AAA服务器可以对鉴权请求消息中携带的用户密码进行鉴权，并在鉴权 通过后返回携带MN-HA key的鉴权应答消息，使得HA能够从鉴权应答消息 中获取MN-HAkey。本发明解决了在HA不支持本地配置MN-HA key的情况 下，HA无法从AAA服务器处获取MN-HA key的问题，使得PMIP中HA仍 然能够从AAA服务器处获取MN-HA key,为MIP会话的成功建立打下1^出。


图1为本发明实施例提供的PMP中HA获取MN-HAkey的方法流程图； 图2为现有CMIP中MP会话的建立流程图； 图3为本发明实施例提供的PMIP中MIP会话的建立流程图； 图4为CDMA2000系统中分组域子系统的网络架构示意图； 图5为CDMA2000系统中，本发明实施例提供的PMIP中MIP会话的建 立流程图； ，
图6为本发明实施例提供的PMIP中HA获取MN-HA key的系统框图7为本发明实施例提供的HA设备的结构框图8为本发明实施例提供的AAA服务器设备的结构框图。
具体实施例方式
首先定义几个基^fe念，如果移动通信系统的分组域子系统可以向MS提 供基于MIP的公网或专网接入业务，则移动通信系统中的MS即为MIP中的 功能实体MN,本发明实施例中MS采用MIP接入方式，故可称为MP用户； 具备HA功能的网络实体同样称为HA,具备FA功能的网络实体同样称为FA, MS归属的AAA服务器称为H-AAA (归属鉴权授权计费)服务器，漫游地网 络中的AAA服务器称为V-AAA(拜访鉴权授权计费)服务器。H-AAA和V-AAA 是相对MS而言的，对于任一 AAA服务器来说，可能是某些MS的H-AAA, 而是另外一些MS的V-AAA。首先介绍现有CMIP中，在HA不支持本地配置MN-HAkey的情况下，MIP 会话的建立流程，如图1所示，包括如下步骤
SlOl、 MS接入漫游地网络中的FA， MS与FA进行LCP (Link Control Protocol,连接控制协议)协商；
S102 、 MS与FA进行IPCP (Internet protocol control Protocol,互联网协议控 制协议)协商，其中MS发出的IPCP配置请求中不携带IP地址选项；表明MS为 MIP用户；
5103、 FA得知MS为MIP用户，向MS发送MIP Agent Advertisement (MIP 代理广播)消息；
5104、 MS发送MPRRQ (MP注册请求)消息，请求建立MP会话，其中 携带用户名(NAI)和MN-AAA key即用户密码；
S105 、 FA接收到MIP RRQ消息后，向H-AAA服务器发送Access Request(鉴 权请求)消息，其中携带MIP RRQ消息中的用户名和MN-AAA key即用户密码， 请求H-AAA服务器对MS进行鉴权； '
FA无法对MS进行鉴权，作为AAA服务器的客户端，FA向本地的AAA服 务器(相对于MS来说是拜访地网络中的AAA服务器)即V-AAA服务器发送 Access Request (鉴权请求)消息，因为MS相对于V-AAAJl务器来说是外地用 户，V-AAA服务器基于RADIUS (远端认证拨号接入服务)协议请求MS归属 的AAA服务器即H-AAA服务器对MS进行鉴权，V-AAAJ良务器和H-AAAi良务器 之间进行通信时可能还需要沿途的B-AAA (Broker AAA,中间鉴权授权计费) 服务器的参与，相当于FA向H-AAA^良务器发ilAccess R叫uest消息。
5106、 H-AAA在鉴权通过后，向FA返回Access Accept (鉴权库答)消息， 其中携带用户的授权信息，用户的授权信息中包括MN-HAkey;
5107、 FA在MS鉴权通过后，将MS发送的MIPRRQ消息转发给HA，其中 携带MN-AAA key即用户密码和加密后的MN-HA key;
5108、 HA向H-AAA^送AccessRequest (鉴权请求)消息，其中携带MIPRRQ消息中的用户名(NAI)和MN-AAAkey即用户密码；
S109、 H-AAA在鉴权通过后，向HA返回Access Accept (鉴权应答)消息， 其中携带MN-HAkey;
SI 10、 HA使用该Access Accept消息中携带的MN-HA key,对FA转发的MIP RRQ消息中携带的加密后的MN-HA key进行鉴权，在鉴权通过后为MS建立 MIP会话，并向FA返回MIP RRP (MIP Registration Response, MI 注册应答) 消息，其中携带用户的授权信息，用户的授权信息中包括为MS分配的IP地址；
5111、 FA将HA返回的MIP RRP消息转发给MS， MS (MIP用户)接入成
功；
5112、 FA向H-AAA^送AcctRequest/start (计费请求)消息；
5113、 H-AAA向FA返回AcctResponse (计费应答)消息； 后续，MS可以传输数据包。
针对现有PMIP中，在HA不支持本地配置MN-HAkey的情况下，HA无 法从AAA服务器处获取MN-HA key的问题，本发明人发现该问题^j关键在于 PMIP中由FA代替MS发送MIP RRQ消息，该消息中没有携带MN-AAA key, 也就是说没有用户密码，HA无法得知该用户密码，使得Access Request消息 中无法携带用户密码，导致AAA服务器无法进行鉴权，从而不会向HA下发 MN-HA key。基于此，本发明实施例提出HA将HA-AAA key (HA与AAA 服务器之间的密钥)作为用户密码携带在向AAA服务器发送的Access Request 消息中。HA-AAA key是HA与AAA服务器之间相互鉴权的依据，在MIP用 户接入之前，HA-AAA key必须在HA和AAA服务器中预先配置，使用 HA-AAAkey作为用户密码携带在Access Request消息中使得上i4问题得以解 决。
如图2所示，本发明实施例提供了一种PMIP中HA获取MN-HAkey的方 法，包括
S201、 FA代替MS向HA发送MIPRRQ (MIP注册请求)消息，该消息中没有携带MN-AAAkey即用户密码；
S202 、 HA在接收到MIP RRQ消息时，向MS归属的AAA服务器即H-AAA 服务器发送Access Request (鉴权请求)消息，其中携带的用户密码为HA-AAA key;
5203、 H-AAA月艮务器4吏用本地配置的HA-AAA key对Access Request消 息中携带的用户密码进行鉴权；
5204、 在鉴权通过后，AAA服务器向HA返回携带MN-HA—y的Access Accept (鉴权应答)消息；
S205 、 HA接收H-AAA服务器返回的该Access Accept消息，并从Access Accept消息中获取MN-HA key。
基于上述PMP中HA获取MN-HA key的方法，本发明实施例提供的PMIP 中，在HA不支持本地配置MN-HAkey的情况下，MIP会话的建立流程，如图3 所示，包括
S301~S302、 MS接入漫游地网络中的FA， MS与FA进行LCP协商，并 在LCP协商成功后协商鉴权方式； ，
5303、 MS根据协商成功的CHAP鉴权方式向FA发送鉴权消息，其中携 带用户名和用户密码密文、以及MPA (Mobile Proxy Agent,移动代理服务器 代理)功能属性，表明不支持MIP功能；
5304、 FA根据接收到的鉴权消息，向H-AAAI良务器发送Access-Request(鉴 权请求)消息，其中携带用户名和用户密码密文，请求H-AAA服务器对MS进 行鉴权；
5305、 H-AAA服务器在鉴权通过后，向FA返回Access Accept (鉴权应 答)消息，其中携带MN-HA key并表明支持MPA功能属性； r
5306、 FA根据接收到的Access Accept消息，得知MS使用MPA功能， 则代替MS向HA发送MIP RRQ消息，其中携带加密后的MN-HA key;
5307、 HA向H-AAA服务器发送Access-Request (鉴权请求)消息，其中携带的用户密码为HA-AAA key;
5308、 H-AAA月艮务器4吏用预先配置的HA-AAA key对Access Request消 息中携带的用户密码进行鉴权，在鉴权通过后，向HA返回Access Accept (鉴 权应答)消息，其中携带MN-HAkey;
5309、 HA从Access Acc印t消息中获取MN-HAkey,使用获取到的MN-HA key对MIPRRQ消息中携带的加密后的MN-HAkey进行鉴权，在鉴权通过后 为MS建立MP会话，并向FA返回MIPRRP (MIP注册应答)消息，其中携 带为MS分配的IP地址。
5310、 FA向MS返回鉴权成功消息；
S311 、 MS与FA进行IPCP协商，并在协商成功后将HA分配给MS的IP 地址通知给MS， MS (MP用户)接入成功；
5312、 MS接入成功之后，FA向H-AAA发送Acct Request/start (计费请 求)消息；
5313、 H-AAA服务器向FA返回AcctResponse (计费应答)消息； 后续，MS可以传输数据包。
在MIP会话的建立流程中，HA向H-AAA服务器发送的Access仅equest消息 中将HA-AAA key作为用户密码，H-AAA服务器根据本地配置的HA-AAA key 对用户密码进行鉴权，并在鉴权通过后向HA返回MN-HAkey,使得HA能够从 H-AAA服务器处获取MN-HA key,从而完成对MS的鉴权，保证MIP会话的成 功建立。
下面移动通信系统以CDMA2000系统为例进行i兌明。CDMA2000系统的 分组域子系统可向MS提供基于简单IP的公网/专网接入业务和基于MP的公 网/专网接入业务。当MS采用MP方式接入时，可使用静态IP地址，也可使 用动态IP地址，主要取决于MS归属的IP网络。在CDMA2000系统中，MIP 得以应用的关键在于引入一个支持FA功能的网络实体PDSN (Packet Data Service Node;分组数据服务节点)。基于MIP的分组域子系统的网络架构如图4所示，包括MS、 BSC(基 站控制器)、PCF(分组控制功能)、MSC/VLR (移动交换中心/拜访位置寄存 器)、HA、 PDSN、 AAA服务器等。其中
MS(移动终端)，例如手机或者无线网卡；
BSC和PCF为基站侧设备，PCF主要用于建立、维护和终止链路层到PDSN 的连接，与RRC (无线资源控制)共同请求和管理无线资源，以便在MS之间 转发数据包；
PDSN,在MIP^^舌的建立流程中相当于FA，负责转发MS发送的MIPRRQ 消息，以及HA返回的MIPRRP消息；
HA,对MS进行鉴权并为MS分配IP地址的网元。
在CDMA2000系统中，本发明实施例提供的PMP中，在HA不支持本地配 置MN-HAkey的情况下，MIP会话的建立流程，如图5所示，包括
S501 ~ S502、 MS接入漫游地网络中的PDSN, MS与PDSN进行LCP协 商，并在LCP协商成功后协商鉴权方式；
具体实施中，包括如下步骤
步骤1 、 MS向PDSN发送LCP Configure-Request (LCP配置请求)，启动 LCP连接协商过程，以建立MS与PDSN之间的PPP连接；
步骤2、 PDSN向MS返回LCP Configure-Ack (LCP配置应答)，确认PPP 连接已经建立；
如果PDSN不同意MS发送的某些配置选项值，则可以返回LCP
Configure-Nak (LCP配置拒绝)进行拒绝，MS将会重新发送一个与上次配置
选项值不同的LCP Configure-Request给PDSN;
步骤3、 PDSN向MS发送LCP Configure-Request,与MS协商鉴权方式； PDSN首先协商使用CAHP (Challenge handshake authentication protocol,
挑战握手鉴权协议)鉴权方式，如果协商不成功，则再次协商使用PAP(Password
authentication protocol, 口令鉴4又协i义)鉴4又方式；步骤4、 MS向PDSN返回LCP Configure-Ack，确认使用PDSN指定的鉴 权方式；
如果MS不同意PDSN指定的鉴4又方式，则可以返回LCP Configure-Nak 进行拒绝，PDSN功能实体将会重新发送一个与上次配置选项值不同的LCP Configure-Request给MS;
PAP方式为两次握手鉴4又方式，口令为明文，PAP方式鉴4又过程为MS 发送用户名和用户密码到PDSN功能实体，PDSN功能实体将用户名和用户密 码存储在本地之后，向MS返回鉴4又应答消息；
CHAP鉴权方式为三次握手鉴权方式，口令为密文，CHAP鉴权方式的鉴 权过程为MS发送用户名(NAI)到PDSN, PDSN将随机产生的数据包返回 给MS， MS将用户密码用MD5算法进行加密，然后将用户密码密文发送给 PDSN， PDSN将用户名和用户密码密文存储在本地之后，向'MS返回鉴权应答 消息；
5503、 具体实施中，协商成功的鉴权方式为CAHP鉴权方式，MS根据协 商成功的鉴权方式即CHAP鉴权方式启动鉴权过程，MS向PDSN发送鉴权消 息，其中携带用户名和用户密码密文(用户密码即MN-AAAkey)、以及MPA 功能属性，表明不支持MIP功能； .
5504、 PDSN向H-AAA服务器发送Access-Request消息，其中携带用户名和 用户密码密文，请求H-AA/J良务器对MS进行鉴权；
S505 、 H-AAA服务器在鉴权通过后，向PDSN返回Access Acc印t消息， 其中携带用户的授权信息，用户的授权信息包括MN-HA key并表明支持MPA 功能属性；
5506、 PDSN根据接收到的Access Accept消息，得知MS使用MPA功能， PDSN代替MS向HA发送MIP RRQ消息，其中携带加密后的MN-HA key;
5507、 HA向H-AAA服务器发送Access-Request消息，其书用户密码属 性对应的属性值为HA-AAAkey;S508、 H-AAA月l务器4吏用预先配置的HA-AAA key对Access Request消 息中携带的用户密码进行鉴权，在鉴权通过后，向HA返回Access Accept消息， 其中携带用户的授权信息，用户的授权信息中包括MN-HA key,以便HA对 固进行鉴权。
S509 、 HA使用Access Accept消息中携带的MN-HA key对MIP RRQ消息 中携带的加密后的MN-HA key进行鉴权，在鉴4又通过后为MS建立MIP会话， 并向PDSN返回MIP RRP消息，其中携带用户的授权信息，用户的授权信息 中包括为MS分配的IP地址。
5510、 PDSN向MS返回鉴权成功消息；
5511、 MS与PDSN进行IPCP协商，并在协商成功后将HA分配给MS 的IP地址通知给MS， MS (MP用户)接入成功；
5512、 MS接入成功之后，PDSN向H-AAA发送Acct Request/start消息；
5513、 H-AAAJ3良务器向PDSN返回Acct Response消息； 后续，MS可以传输数据包。
MIP用户的接入、切换或者刷新时，均需执行上述流程，因此本发明实施 例提供的HA获取MN-HA key的方法适用于MIP用户的接入、切换或者刷新 等各种流程。
本发明实施例以CDMA 2000系统为例进行说明，本领域普通技术人员可 知，该方案能够应用于其它能够提供MIP接入方式的移动通信系统中，只是在 不同的网络架构中可能具有HA或FA功能的网络实体不同，但是核心思想和 具体的实现流程相一致。
基于同一技术构思，本发明实施例提供了一种PMIP中HA获取MN-HA key的系统，如图6所示，包括FA601、 HA602和AAA服务器603，其中
FA 601,用于代替MS向MS归属的HA发送MIP RRQ消息；
HA602，用于在接收到所述MIPRRQ消息时，向MS归属的AAA服务器 发送第一鉴权请求消息，其中携带的用户密码为HA-AAA key;接收AAA服务器返回的携带MN-HA key的第一鉴权应答消息，并从第一鉴权应答消息中 获取MN-HA key;
AAA服务器603,用于接收第 一鉴权请求消息，使用本地配置的HA-AAA key对第一鉴权请求消息中携带的用户密码进行鉴权，并在鉴权通过后向HA 返回所迷第 一鉴权应答消息。
其中，HAi殳备的一种可能结构，如图7所示，包括
处理单元701，用于在接收到FA代替MS发送的MIP RRQ消息时，向 MS归属的AAA服务器发送第一鉴权请求消息，其中携带的用户密码为 HA-AAA key;
接收单元702,用于接收AAA服务器返回的携带MN-HA key的第一鉴权 应答消息，所述第 一鉴权应答消息是AAA服务器使用本地配置的HA-AAA key 对第一鉴权请求消息中携带的用户密码进行鉴权，并在鉴权通过后返回的； 获取单元703 ，用于从第 一鉴权应答消息中获取MN-HAkey。 其中，AAA服务器设备的一种可能结构，如图8所示，包括 接收单元801,用于接收HA发送的第一鉴权请求消息，所述第一鉴权请 求消息中携带的用户密码为HA-AAAkey;
鉴权单元802，用于使用本地配置的HA-AAA key对第 一鉴权请求消息中
携带的用户密码进行鉴权；
发送单元803，用于在鉴权通过后向HA返回携带MN-HA key'的第一鉴权 应答消息，使HA从接收到的第 一鉴权应答消息中获取MN-HA key 。
本发明实施例提供的PMIP中HA获取MN-HA key的方案，针对PMIP中 HA不支持本地配置MN-HA key的情况提出，HA在接收到FA代替MS发送 的MP-RRQ消息时，向MS归属的AAA服务器发送鉴权请求消息，将HA-AAA key作为用户密码，由于HA和AAA服务器预先配置了 HA-AAA key, AAA 服务器可以对鉴权请求消息中携带的用户密码进行鉴权，并在鉴权通过后返回 携带MN-HA key的鉴权应答消息，使得HA能够从鉴权应答消息中获取MN-HAkey。本发明解决了在HA不支持本地配置MN-HAkey的情况下，HA 无法从AAA服务器处获取MN-HAkey的问题，使得PMIP中HA仍然能够从 AAA服务器处获取MN-HAkey，为MIP会话的成功建立打下基础。
显然，本领域的技术人员可以对本发明进行各种改动和变型而'不脱离本发 明的精神和范围。这样，倘若本发明的这些修改和变型属于本发明权利要求及 其等同技术的范围之内，则本发明也意图包含这些改动和变型在内。
权利要求
1、一种代理移动互联网协议PMIP中家乡代理HA获取用户与家乡代理之间的密钥MN-HA key的方法，其特征在于，包括HA在接收到漫游地代理FA代替移动终端MS发送的MIP注册请求MIPRRQ消息时，向所述MS归属的鉴权授权计费AAA服务器发送第一鉴权请求消息，其中携带的用户密码为HA与AAA服务器之间的密钥HA-AAA key；HA接收所述AAA服务器返回的携带MN-HA key的第一鉴权应答消息，所述第一鉴权应答消息是所述AAA服务器使用本地配置的HA-AAA key对第一鉴权请求消息中携带的用户密码进行鉴权，并在鉴权通过后返回的；并从所述第一鉴权应答消息中获取MN-HA key。
2、 如权利要求1所述的方法，其特征在于，所述HA在接收到FA代替 MS发送的MIP RRQ消息之前，还包括MS接入漫游地网络中的FA， MS与FA进行连接控制协议LCP协商，并 在LCP协商成功后协商鉴权方式；MS根据协商成功的挑战握手鉴权协议CHAP鉴权方式，向FA发送鉴权 消息，其中携带用户名和用户密码密文、以及表明不支持MIP功能的移动代理 服务器代理MPA功能属性；FA根据接收到的鉴权消息，向所述AAA服务器发送第二鉴权请求消息， 其中携带用户名和用户密码密文，请求所述AAA服务器对MS进行鉴权；所述AAA服务器在鉴权通过后，向FA返回第二鉴权应答消息，其中携 带MN-HA key并表明支持MPA功能属性；FA根据接收到的第二鉴权应答消息，得知MS使用MPA功能，则代替 MS向HA发送所述MIP RRQ消息，其中携带加密后的MN-HA key。
3、 如权利要求2所述的方法，其特征在于，所述HA从所述第一鉴权应 答消息中获取MN-HA key之后，还包括所述HA使用获取到的MN-HA key对所述MIP RRQ消息中携带的加密后的MN-HA key进行鉴权，在鉴权通过后为所述MS建立MIP^^舌，并向FA返回MIP 注册应答MIP RRP消息，其中携带为所述MS分配的IP地址； FA向MS返回鉴权成功消息。
4、 如权利要求3所述的方法，其特征在于，所述FA向MS返回鉴权成功 消息之后，还包4舌MS与FA进行互联网协议控制协议IPCP协商，在IPCP协商成功后FA 将HA为MS分配的IP地址通知给MS， MS接入成功。
5、 如权利要求4所述的方法，其特征在于，还包括MS接入成功之后，FA向所述向AAA服务器发送计费请求消息； 所述AAA服务器向所述FA返回计费应答消息。
6、 如权利要求1至5任一所述的方法，其特征在于，在CDMA2000系统 中，具备FA功能的网络实体具体为分组数据服务节点PDSN。
7、 一种家乡代理HA设备，其特征在于，包括处理单元，用于在接收到漫游地代理FA代替移动终端MS发送的MIP注 册请求MPRRQ消息时，向所述MS归属的鉴权授权计费AAA服务器发送第 一鉴权请求消息，其中携带的用户密码为HA与AAA服务器,之间的密钥 HA-AAAkey;接收单元，用于接收所述AAA服务器返回的携带MN-HA key的第 一鉴权 应答消息，所述第一鉴权应答消息是所述AAA服务器使用本地配置的 HA-AAAkey对第一鉴权请求消息中携带的用户密码进行鉴权，并在鉴权通过 后返回的；获取单元，用于从所述第 一鉴权应答消息中获取MN-HA key 。
8、 一种代理移动互联网协议PMIP中家乡代理HA获取用户与家乡代理之 间的密钥MN-HAkey的方法，其特征在于，包括AAA服务器接收HA发送的第一鉴权请求消息，所述第一鉴权请求消息 中携带的用户密码为HA与AAA服务器之间的密钥HA-AAAkey;所述AAA服务器使用本地配置的HA-AAA key对所述第一鉴权请求消息 中携带的用户密码进行鉴权；并在鉴权通过后向所述HA返回携带MN-HA key的第一鉴权应答消息，使 所述HA从接收到的第 一鉴权应答消息中获取MN-HA key 。
9、 一种鉴权授权计费AAA服务器设备，其特征在于，包括 接收单元，用于接收家乡代理HA发送的第一鉴权请求消息，所述第一鉴权请求消息中携带的用户密码为HA与AAA服务器之间的密钥HA-AAAkey;鉴权单元，用于使用本地配置的HA-AAAkey对所述第一鉴权请求消息中 携带的用户密码进行鉴权；发送单元，用于在鉴权通过后向所述HA返回携带MN-HA key的第一鉴 权应答消息，使所述HA从接收到的第一鉴权应答消息中获取MN-HAkey。
10、 一种代理移动互联网协议PMP中家乡代理HA获取用户与家乡代理 之间的密钥MN-HAkey的系统，其特征在于，包括漫游地代理FA、家乡代理 HA和鉴权授权计费AAA服务器，其中所述FA,用于代替移动终端MS向所述MS归属的HA发送MIP注册请 求MP-RRQ消息；所述HA，用于在接收到所述MIP RRQ消息时，向所述MS归属的AAA 服务器发送第一鉴权请求消息，其中携带的用户密码为HA与AAA服务器之 间的密钥HA-AAA key;接收所述AAA服务器返回的携带MN-HA key的第一 鉴权应答消息，并从所述第一鉴权应答消息中获取MN-HAkey;所述AAA服务器，用于接收所述第一鉴权请求消息，使用本地配置的 HA-AAAkey对所述第一鉴权请求消息中携带的用户密码进行鉴权，并在鉴权 通过后向所述HA返回所述第 一鉴权应答消息。
全文摘要
本发明公开了一种PMIP中HA获取MN-HA key的方法、设备及系统，用以解决现有PMIP中，在HA不支持本地配置MN-HA key的情况下，HA无法从AAA服务器处获取MN-HA key的问题。包括HA在接收到FA代替MS发送的MIP RRQ消息时，向MS归属的AAA服务器发送第一鉴权请求消息，其中携带的用户密码为HA-AAA key；HA接收AAA服务器返回的携带MN-HAkey的第一鉴权应答消息，所述第一鉴权应答消息是AAA服务器使用本地配置的HA-AAA key对第一鉴权请求消息中携带的用户密码进行鉴权，并在鉴权通过后返回的；并从第一鉴权应答消息中获取MN-HA key。
文档编号H04W12/04GK101656959SQ200910161980
公开日2010年2月24日 申请日期2009年9月10日 优先权日2009年9月10日
发明者胥小凡 申请人:中兴通讯股份有限公司