专利名称:用于创建移动互联网协议版本4连接的方法和系统的制作方法
技术领域:
本公开一般涉及互配网络(interworking network),具体地涉及在分组数据网络 (PDN)连接期间在互配网络中创建并保证移动互联网协议版本4 (MIPv4)信令。
背景技术:
在演进分组系统(EPS)中,将分组数据网络(PDN)表示为接入点名称(APN),并且 PDN连接是通过由互联网协议版本4(IPv4)地址和互联网协议版本6 (IPv6)前缀或地址中的至少一个表示的外地代理(FA)的在例如用户设备(UE)的移动节点(MN)和本地代理 (HA)之间的关联。当UE通过非第三代伙伴关系项目(3GPP)接入网络和EPS中具有HA功能的PDN网关(GW)接入EPS的演进分组核心(EPC)用以移动性管理时,EPS支持基于MIPv4 协议的主机。EPS还支持来自于非3GPP接入的多个PDN连接。基于网络策略、非3GPP接入和用户订制的类型支持多个PDN连接。多个PDN连接使得UE能够并行接入多个PDN,并且使得能够通过分开的PDN Gff或单个PDNGW在UE和多个PDN之间同时交换IP业务。因为UE能够触发对附加的PDN的请求,所以它同样能够触发对与任何PDN断开连接的请求。非3GPP 接入网络(例如全球微波接入互操作性(WiMAX)、无线逼真度(Wi-Fi))可以不考虑用于支持多个PDN连接的MIPv4。3GPP网络(例如EPS网络)支持多个PDN连接。根据3GPP,通过3GPP网络的多个PDN连接需要每IP连接或PDN连接或PDN连接的分开的安全关联以保持一致的行为,而不管多个PDN连接是与相同的HA的还是与不同的HA的。但是,每IP连接的安全关联不是鲁棒的。
发明内容
技术问题根据上述讨论,需要一种用于在HA和UE之间或者在FA和UE之间创建用于分组数据网络的唯一且安全的移动互联网协议版本4连接。技术方案一种用于创建用于PDN的唯一且安全的MIPv4连接的方法的示例包括生成扩展的主会话密钥以创建移动互联网协议根密钥,基于该移动互联网协议根密钥和接入点名称 (APN)创建移动互联网协议安全参数索引。该方法还包括基于该APN导出移动节点本地代理(MN_HA)密钥。该方法还包括基于该APN导出移动节点外地代理密钥。此外,该方法包括将导出的移动节点本地代理密钥和移动节点外地代理密钥关联到所创建的安全参数索引。此外,该方法包括提供该唯一且安全的MIPv4连接以传送用于分组数据网络连接的数据。用于创建唯一且安全的移动互联网协议版本(MIPv4)连接的系统的示例包括扩展的主会话密钥发生器,用于生成扩展的主会话密钥。该系统还包括根密钥创建器,用于创建移动互联网协议根密钥。该系统还包括安全参数索引创建器,用于创建该安全参数索引。此外,该系统包括移动节点本地代理密钥创建器,用于导出移动节点本地代理密钥。此外, 该系统包括移动节点外地代理密钥创建器,用于导出移动节点外地代理密钥。有益效果这里描述的本公开的实施例提供一种用于创建用于分组数据网络(PDN)的唯一且安全的移动互联网协议版本4(MIPv4)连接的方法及系统。
在附图中,相似的参考数字可以指代相同或功能上相似的元件。这些参考数字用于在具体实施方式
中示出各个实施例并且说明本公开的各个方面和优点。图1是能够实现各个实施例的环境的框图;图2是根据一个实施例的创建用于分组数据网络的唯一且安全的移动互联网协议版本4连接的用户设备和网络服务器的框图;图3是示出了根据一个实施例的创建用于分组数据网络的唯一且安全的移动互联网协议版本4连接的方法的流程图;和图4示范性示出了根据一个实施例的创建用于分组数据网络的唯一且安全的移动互联网协议版本4连接。本领域技术人员将理解,图中的元件是为简单和清楚示出的,并且可能不是按比例绘制的。例如,图中的一些元件的尺寸可能相对于其它元件被放大,以帮助提高对本公开的各个实施例的理解。
具体实施例方式应当注意,方法步骤和系统部件已经由图中的惯用符号表示,图中仅仅显示对理解本公开相关的特定细节。此外,可能不公开可能对本领域普通技术人员容易明白的细节。 在本公开中,关系术语(诸如第一和第二等等)可以用来将一个实体与另一个实体区分开来,而不必暗示在这样的实体之间的任何实际的关系或顺序。这里描述的本公开的实施例提供一种用于每PDN创建唯一且安全的移动互联网协议版本4连接的方法和系统。图1是能够实现各个实施例的环境100的框图。环境100包括用于传送信息的网络服务器105、网络110和接入网络115。网络110的示例是第三代伙伴关系项目(3GPP)演进分组核心(EPC)网络。接入网络115的示例是全球微波接入互操作性(WiMAX)网络。在一个实施例中,网络服务器105存在于网络110之内。在另一个实施例中,网络服务器105 能够在外部与网络110连接。网络服务器105能够是3GPP验证、授权和计帐(AAA)服务器。用户设备(UE) 120通过网络105恒定地通信。在示范性情形下,UE 120进入网络 115附近。UE 120尝试通过网络115联系网络110。对于每个服务,网络110使用专用的PDN连接来与UE 120通信。PDN连接是如图 1所示的12 和12恥。服务的示例是互联网连接、IP多媒体服务(IMQ和紧急呼叫。在一个实施例中,用户设备包括MN HA密钥创建器、MN FA密钥创建器和SPI创建器中的至少一个。在UE和网络服务器中创建一组相似的密钥以验证该通信。图2是根据一个实施例的用于创建唯一且安全的移动互联网协议版本4连接的网络服务器105的框图。网络服务器105和UE 120包括总线205或其它的通信机制以用于传送信息。网络服务器105和UE 120包括与总线205耦接的处理器210。处理器210可以包括用于处理和控制网络服务器105和UE 120的功能的集成电子电路。网络服务器115和UE 120还包括耦接到总线205的存储器215(诸如随机存取存储器(RAM)或其它动态存储器件),用于存储可以由处理器210使用的信息。存储器215可以用于存储任何所需的临时信息。网络服务器105和UE 120还包括耦接到总线205的只读存储器(ROM) 220或其它静态存储器件,用于存储处理器210的静态信息。提供诸如磁盘或光盘之类的存储单元225并耦接到总线205用于存储信息。网络服务器105和UE 120可以经由总线205耦接到显示器230 (诸如阴极射线管 (CRT)、液晶显示器(LCD)或发光二极管(LED)显示器),用于显示信息。包括字母数字和其它键的输入设备235耦接到总线205用于将输入传送到处理器210。输入设备可以包括在网络服务器105中。另一种类型的用户输入设备是光标控制器(诸如鼠标、轨迹球或光标方向键),用于将输入传送到处理器210并且用于控制显示器230上的光标移动。输入设备 235也可以包括在显示器230 (例如触摸屏)中。各个实施例与用于实现这里描述的技术的网络服务器115和UE 120的使用有关。 在一个实施例中,由处理器210使用包括在存储器215中的信息执行该技术。该信息可以从诸如存储单元225之类的另一个机器可读介质读到存储器215中。这里使用的术语“机器可读介质”是指参与提供使得机器以特定的方式工作的数据的任何介质。在使用网络服务器105实现的实施例中,各个机器可读介质涉及例如将信息提供到处理器210。机器可读介质可以是存储介质。存储介质包括非易失性介质和易失性介质二者。非易失性介质包括例如光盘或磁盘,诸如存储单元225。易失性介质包括动态存储器,诸如存储器215。所有这样的介质必须是有形的以使得由介质携带的信息能够由将信息读到机器中的物理机构检测到。机器可读介质的通常形式包括例如软盘、柔性磁盘、硬盘、磁带或任何其它磁介质;CD-ROM、任何其它光学介质;穿孔卡、纸带、任何其它具有孔的图样的物理介质;RAM、 PROM、和EPROM、FLASH-EPR0M、任何其它存储器芯片或盒式磁带。在另一个实施例中,机器可读介质可以是包括同轴电缆、铜线和光纤的传输介质, 包括包含总线205的线路。传输介质也可以采取诸如在无线电波和红外数据通信期间创建的声波或光波的形式。网络服务器105还包括耦接到总线205的通信接口 M5。通信接口 245提供耦接到网络110的双向数据通信。使用的网络110可以是蓝牙皮网网络结构。在一些实施例中,网络服务器115和UE 120可以连接到存储设备250用于存储或取得信息。存储设备250的示例包括闪速驱动器、笔驱动器、硬盘或任何其它存储介质,但是不局限于此。在一个实施例中,处理器210可以包括或可以连接到一个或多个处理单元,例如扩展的主会话密钥发生器255、根密钥创建器沈0、安全参数索引创建器沈5、移动节点本地代理密钥创建器270和移动节点外地代理密钥创建器275。扩展的主会话密钥发生器255 基于可扩展的验证协议-密钥协议的验证(EAP-AKA)生成扩展的主会话密钥。根密钥创建器260创建根密钥。安全参数索引创建器265创建移动互联网协议安全参数索引。移动点本地代理密钥创建器270导出移动本地代理密钥。移动节点外地代理密钥创建器275导出移动节点外地代理密钥。在另一个实施例中,网络服务器115和UE 120可以不包括处理单元,因为可以由处理器215执行一个或多个处理单元的功能。图3是示出了根据一个实施例的创建用于分组数据网络(PDN)的唯一且安全的移动互联网协议版本4(MIPv4)连接的方法的流程图。该方法起始于步骤305。EPC选择移动性协议,例如MIPv4外地代理转交地址(FACoA),然后UE和EPC导出多个密钥。在步骤310,在UE和网络服务器中基于可扩展的验证协议-密钥协议的验证 (EAP-AKA)生成扩展的主会话密钥(EMSK)。在一个实施例中,基于MIPV4请求和接通用户设备的过程中的至少一个发起所述生成操作。生成的EMSK然后用于在3GPPAAA服务器和UE处创建移动互联网协议根密钥 (MIP-RK)。移动互联网协议根密钥的创建基于以下等式MIP-RK = KDF(EMSK,“移动 IP 根密钥” | “\0” | 长度)其中,MIP-RK-移动互联网协议根密钥;EMSK-扩展的主会话密钥在一个实施例中,使用PDN的接入点名称(APN)创建用于每个分组数据网络连接的唯一的移动节点本地代理(MN-HA)密钥、移动节点外地代理(MN-FA)密钥和安全参数 (SPI)索引值。在步骤315,在用户设备和3GPPAAA服务器处创建移动互联网协议安全参数索引 (MIP-SPI),用于APN中表示的PDN连接。在3GPP技术规范(TS) 23. 003中详细说明了 APN 格式。使用以下等式基于MIP-RK和APN创建MIP-SPI MIP-SPI = HMAC-SHA256 的 4 个 MSB (MIP-RK, "SPI 移动 IP 根密钥” | APN)其中,MIP-SPI移动互联网协议-安全参数索引HMAC-SHA哈希消息验证码-安全哈希算法MIP-RK移动互联网协议根密钥APN接入点名称MIP-SPI由UE、HA、FA和3GPP AAA服务器使用来识别丽-HA密钥、FA-RK密钥和 MN-FA密钥,这些密钥用于计算MIPv4注册请求(RRQ)消息中的MN-HA验证扩展(MN-HAAE) 和MN-FA验证扩展(丽-FAAE)。在步骤320,在UE和3GPPAAA服务器处基于APN并且基于MIP-RK导出移动节点本地代理以用于APN中表示的PDN连接。移动节点本地代理(MN-HA)密钥的导出是基于以下等式的MN-HA = HMAC-SHA1 (MIP-RK, "MIP4 MN HA 密钥” | HA_IPv4 | MN-NAI | APN)
其中,MN-HA移动节点-本地代理移动互联网协议HMAC-SHA哈希消息验证码-安全哈希算法MIP-RK移动互联网协议根密钥APN接入点名称
HA-IPv4本地代理的互联网协议版本4地址MN-NAI移动节点网络接入标识符在步骤325,将导出的移动节点本地代理密钥关联到创建的索引。在步骤330,提供唯一且安全的IP连接用于传送用于PDN连接的信令消息和数据。 该提供包括共享该索引并且获得关联的MN-HA密钥和关联的MN-FA密钥。该提供还包括基于接入点名称为每个服务提供具有唯一的安全关联的专用IP连接。在一些实施例中,基于APN和FA-RK导出移动节点外地代理密钥。在3GPP AAA服务器和UE处导出FA-RK。在FA和UE处导出MN-FA密钥。将导出的MN-FA密钥关联到在步骤315中创建的SPI,并且基于MN-FA密钥提供用于传送信令消息和数据的唯一且安全的 IP连接。FA-RK和MN-FA密钥的导出是基于以下等式的FA-RK = HMAC-SHA1 (MIP-RK,“FA-RK” ) MN-FA = HNAC-SHA1 (FA-RK,"MN FA,,| FA-IP | MN-NAI | APN)其中,MN-FA移动节点-外地代理移动互联网协议FA-RK外地代理根密钥HMAC-SHA哈希消息验证码-安全哈希算法MIP-RK移动互联网协议根密钥APN接入点名称FA-IP外地代理的互联网协议版本4地址MN-NAI MN网络接入标识符该方法结束于步骤335中。图4示范性示出了根据一个实施例的创建用于分组数据网络的唯一且安全的移动互联网协议版本4连接。在过程1,当UE开启时,执行向EPC的特定于非3GPP接入的基于EAP-AKA的验证程序,用于将UE连接到EPC。基于非3GPP接入的类型确定PDN Gff地址(HA地址)。可以基于APN和非3GPP接入系统的类型确定PDN Gff地址(HA地址)。如果网络选择移动性管理协议作为用于UE的MIPv4外地代理转交地址(FACoA),则UE和EPC(3GPP AAA服务器)导出MIPv4引导指令所需的密钥以用于PDN连接。生成唯一的MIP-SPI、MN_HA 和MN-FA密钥以用于PDN连接,如本公开所述。在过程2,UE将注册请求(RRQ)消息发送到FA。在一个实施例中,UE包括MN-HA 验证扩展。在另一个实施例中,UE包括MN-FA验证扩展。创建验证扩展,如TS 33. 402中所说明的。APN包括在RRQ消息中,如TS23. 402中所说明的。在过程4,FA基于RFC 3344处理该消息。然后FA确认MN-FA验证扩展。FA在过程2之前从验证、授权和计帐(AAA)服务器获得验证和授权(MN-FA密钥和其它参数)信息。 此夕卜,FA将注册请求(RRQ)消息转发到PDN GW。基于3GPP TS 33. 210在FA和PDN Gff之间保护RRQ消息。在过程5,选择的PDN Gff从AAA服务器获得验证和授权信息(MN-HA密钥和其它参数),其中AAA服务器可以与本地用户服务器(HSQ共处一地。在过程6,PDN Gff确认丽-HA验证扩展(MN-HAAE)。然后PDN Gff将MIPv4注册答复(RRP)通过FA发送到UE0根据该3GPP技术规范(TS) 33. 210在PDN Gff和FA之间保护RRP消息。在过程7,FA根据RFC 3344处理RRP。然后FA将MIPv4RRP消息转发到UE。如果 FA在RRQ消息中接收到MN-FA验证扩展,则FA包括MN-FA验证扩展。如果存在,则在过程8,UE确认MN-HA验证扩展和MN-FA验证扩展。在另一个实施例中,当UE请求注册时,执行基于EAP-AKA的特定于非3GPP接入的验证程序。这如过程3所述。在另一个实施例中,当所连接的UE发起新的PDN连接(多个PDN连接)时,使用此PDN的APN和现有的MIP-RK和FA-RK密钥在UE和EPC中创建唯一的MN-HA密钥、MN-FA 密钥和SPI以用于此新的PDN连接。产生MIPv4MN_HA密钥的示范性过程被描述为MN-HA = HMAC-SHA1 (MIP-RK,"MIP4 MN HA 密钥” | HA_IPv4 | MN-NAI | APN)当APN被用于密钥推导以创建用于PDN连接的唯一的密钥时,该密钥推导被描述为对于紧急呼口L] MN-HA = HMAC-SHA1 (MIP-RK,"MIP4MN HA 密钥,,I HA-IPv4 IMN-NAI | sos. apn. epc. mnc012. mcc345. pub. 3gppnetwork. org)这里,对于紧急呼叫产生唯一的丽-HA密钥(使用密钥“MIP-RK”,标签“MIP4丽 HA 密钥,,,使用为 sos. apn. epc. mnc012. mcc345. pub. 3gppnetwork. org 的 APN)对于互联网接入MN-HA= HMAC-SHA1 (MIP-RK, "MIP4MN HA 密钥,,HA-IPv4 IMN-NAI | internet, apn. epc. mnc015. mcc234. 3gppnetwork. org)这里,对于互联网接入产生唯一的MN-HA密钥(使用MIPv4根密钥“MIP-RK”,标签 "MIP4 MN HA 密钥”,使用为 internet, apn. epc. mnc015. mcc234. 3gppnetwork. org 的 APN)工业实用性在先前的说明书中,已经参考特定的实施例描述了本公开和它的优点。但是,对本领域普通技术人员显而易见的是,在不脱离由下面的权利要求书所述的本公开的范围的情况下,可以做出各种修改和改变。因此,说明书和附图应当被认为是本公开的说明性的示例,而不是限制的意义上的。所有这样可能的修改预期包括在本公开的范围内。
权利要求
1.一种用于创建用于分组数据网络的唯一且安全的移动互联网协议版本4连接的方法,该方法包括生成扩展的主会话密钥以创建移动互联网协议根密钥; 基于该移动互联网协议根密钥和接入点名称创建移动互联网协议安全参数索引;基于该接入点名称导出移动节点本地代理密钥;将导出的移动节点本地代理密钥关联到创建的安全参数索引;以及提供该唯一且安全的移动互联网协议版本4连接以传送用于分组数据网络连接的数据。
2.如权利要求1所述的方法,还包括基于该接入点名称导出移动节点外地代理密钥;将导出的移动节点外地代理密钥关联到创建的安全参数索引;以及提供该唯一且安全的移动互联网协议版本4连接以传送用于分组数据网络连接的数据。
3.如权利要求1所述的方法,还包括使用接入点名称对于每个分组数据网络连接生成唯一的移动节点本地代理密钥、移动节点外地代理密钥和安全参数索引值。
4.如权利要求1所述的方法,其中基于移动互联网协议版本4请求、对PDN连接的请求和接通用户设备的过程中的至少一个发起所述生成操作。
5.如权利要求1所述的方法,其中所述提供包括 共享该安全参数索引;以及获得关联的移动节点本地代理密钥和关联的移动节点外地代理密钥。
6.如权利要求1所述的方法,其中所述提供还包括使用接入点名称为每个服务提供具有唯一的安全关联的专用分组数据网络连接。
7.一种用于创建用于分组数据网络的唯一且安全的移动互联网协议版本4连接的方法,其中UE连接到EPC,该方法包括基于移动互联网协议根密钥和接入点名称创建移动互联网协议安全参数索引;基于该接入点名称导出移动节点本地代理密钥;将导出的移动节点本地代理密钥关联到创建的安全参数索引;以及提供该唯一且安全的移动互联网协议版本4连接以传送用于分组数据网络连接的数据。
8.如权利要求7所述的方法,还包括基于该接入点名称导出移动节点外地代理密钥;将导出的移动节点外地代理密钥关联到创建的安全参数索引;以及提供该唯一且安全的移动互联网协议版本4连接以传送用于分组数据网络连接的数据。
9.一种用于创建唯一且安全的移动互联网协议版本4连接的系统,该系统包括 扩展的主会话密钥发生器,用于生成扩展的主会话密钥;根密钥创建器,用于创建移动互联网协议根密钥; 安全参数索引创建器,用于创建该安全参数索引; 移动节点本地代理密钥创建器,用于导出移动节点本地代理密钥;和移动节点外地代理密钥创建器,用于导出移动节点外地代理密钥。
10.一种用于执行一种方法的系统,该方法如这里和附图中所述。
11.一种用于创建用于分组数据网络的唯一且安全的移动互联网协议版本4连接的方法,该系统如这里和附图中所述。
全文摘要
提供一种用于创建用于分组数据网络的唯一且安全的移动互联网协议版本4连接的方法。该方法包括生成扩展的主会话密钥以创建移动互联网协议根密钥。该方法还包括基于该移动互联网协议根密钥和接入点名称创建移动互联网协议安全参数索引。该方法还包括基于该接入点名称导出移动节点本地代理密钥。此外,该方法包括将导出的移动节点本地代理密钥关联到创建的安全参数索引。此外,该方法包括提供该唯一且安全的移动互联网协议版本4连接以传送用于分组数据网络连接的数据。
文档编号H04W76/02GK102160449SQ200980135878
公开日2011年8月17日 申请日期2009年9月15日 优先权日2008年9月15日
发明者崔成豪, 拉-杰维尔萨·米拉-杰杜莱, 李知彻, 阿尔珀·耶金 申请人:三星电子株式会社