用于连接分组数据网络的方法及装置的制造方法
【专利说明】用于连接分组数据网络的方法及装置
[0001]本申请是申请日为2009年09月15日、申请号为200980135878.3、发明名称“用于创建移动互联网协议版本4连接的方法和系统”的发明专利申请的分案申请。
技术领域
[0002]本公开一般涉及互配网络(interworking network),具体地涉及在分组数据网络(PDN)连接期间在互配网络中创建并保证移动互联网协议版本4 (MIPv4)信令。
【背景技术】
[0003]在演进分组系统(EPS)中,将分组数据网络(I3DN)表示为接入点名称(APN),并且PDN连接是通过由互联网协议版本4(IPv4)地址和互联网协议版本6 (IPv6)前缀或地址中的至少一个表示的外地代理(FA)的在例如用户设备(UE)的移动节点(MN)和本地代理(HA)之间的关联。当UE通过非第三代伙伴关系项目(3GPP)接入网络和EPS中具有HA功能的PDN网关(GW)接入EPS的演进分组核心(EPC)用以移动性管理时,EPS支持基于MIPv4协议的主机。
[0004]EPS还支持来自于非3GPP接入的多个PDN连接。基于网络策略、非3GPP接入和用户订制的类型支持多个PDN连接。多个PDN连接使得UE能够并行接入多个Η)Ν,并且使得能够通过分开的I3DN GW或单个TON GW在UE和多个PDN之间同时交换IP业务。因为UE能够触发对附加的I3DN的请求,所以它同样能够触发对与任何PDN断开连接的请求。非3GPP接入网络(例如全球微波接入互操作性(WiMAX)、无线逼真度(W1-Fi))可以不考虑用于支持多个PDN连接的MIPv4。3GPP网络(例如EPS网络)支持多个PDN连接。根据3GPP,通过3GPP网络的多个PDN连接需要每IP连接或PDN连接或PDN连接的分开的安全关联以保持一致的行为,而不管多个PDN连接是与相同的HA的还是与不同的HA的。但是,每IP连接的安全关联不是鲁棒的。
【发明内容】
[0005]技术问题
[0006]根据上述讨论,需要一种用于在HA和UE之间或者在FA和UE之间创建用于分组数据网络的唯一且安全的移动互联网协议版本4连接。
[0007]技术方案
[0008]一种用于创建用于PDN的唯一且安全的MIPv4连接的方法的示例包括:生成扩展的主会话密钥以创建移动互联网协议根密钥,基于该移动互联网协议根密钥和接入点名称(APN)创建移动互联网协议安全参数索引。该方法还包括:基于该APN导出移动节点本地代理(MN_HA)密钥。该方法还包括:基于该APN导出移动节点外地代理密钥。此外,该方法包括:将导出的移动节点本地代理密钥和移动节点外地代理密钥关联到所创建的安全参数索引。此外,该方法包括:提供该唯一且安全的MIPv4连接以传送用于分组数据网络连接的数据。
[0009]用于创建唯一且安全的移动互联网协议版本(MIPv4)连接的系统的示例包括扩展的主会话密钥发生器,用于生成扩展的主会话密钥。该系统还包括根密钥创建器,用于创建移动互联网协议根密钥。该系统还包括安全参数索引创建器,用于创建该安全参数索引。此外,该系统包括移动节点本地代理密钥创建器,用于导出移动节点本地代理密钥。此外,该系统包括移动节点外地代理密钥创建器,用于导出移动节点外地代理密钥。
[0010]有益效果
[0011]这里描述的本公开的实施例提供一种用于创建用于分组数据网络(TON)的唯一且安全的移动互联网协议版本4(MIPv4)连接的方法及系统。
【附图说明】
[0012]在附图中,相似的参考数字可以指代相同或功能上相似的元件。这些参考数字用于在【具体实施方式】中示出各个实施例并且说明本公开的各个方面和优点。
[0013]图1是能够实现各个实施例的环境的框图;
[0014]图2是根据一个实施例的创建用于分组数据网络的唯一且安全的移动互联网协议版本4连接的用户设备和网络服务器的框图;
[0015]图3是示出了根据一个实施例的创建用于分组数据网络的唯一且安全的移动互联网协议版本4连接的方法的流程图;和
[0016]图4示范性示出了根据一个实施例的创建用于分组数据网络的唯一且安全的移动互联网协议版本4连接。
[0017]本领域技术人员将理解,图中的元件是为简单和清楚示出的,并且可能不是按比例绘制的。例如,图中的一些元件的尺寸可能相对于其它元件被放大,以帮助提高对本公开的各个实施例的理解。
【具体实施方式】
[0018]应当注意,方法步骤和系统部件已经由图中的惯用符号表示,图中仅仅显示对理解本公开相关的特定细节。此外,可能不公开可能对本领域普通技术人员容易明白的细节。在本公开中,关系术语(诸如第一和第二等等)可以用来将一个实体与另一个实体区分开来,而不必暗示在这样的实体之间的任何实际的关系或顺序。
[0019]这里描述的本公开的实施例提供一种用于每PDN创建唯一且安全的移动互联网协议版本4连接的方法和系统。
[0020]图1是能够实现各个实施例的环境100的框图。环境100包括用于传送信息的网络服务器105、网络110和接入网络115。网络110的示例是第三代伙伴关系项目(3GPP)演进分组核心(EPC)网络。接入网络115的示例是全球微波接入互操作性(WiMAX)网络。在一个实施例中,网络服务器105存在于网络110之内。在另一个实施例中,网络服务器105能够在外部与网络110连接。网络服务器105能够是3GPP验证、授权和计帐(AAA)服务器。
[0021]用户设备(UE) 120通过网络105恒定地通信。在示范性情形下,UE 120进入网络115附近。UE 120尝试通过网络115联系网络110。
[0022]对于每个服务,网络110使用专用的I3DN连接来与UE 120通信。PDN连接是如图1所示的125a和125b。服务的示例是互联网连接、IP多媒体服务(IMS)和紧急呼叫。
[0023]在一个实施例中,用户设备包括MN HA密钥创建器、MN FA密钥创建器和SPI创建器中的至少一个。在UE和网络服务器中创建一组相似的密钥以验证该通信。
[0024]图2是根据一个实施例的用于创建唯一且安全的移动互联网协议版本4连接的网络服务器105的框图。
[0025]网络服务器105和UE 120包括总线205或其它的通信机制以用于传送信息。网络服务器105和UE 120包括与总线205耦接的处理器210。处理器210可以包括用于处理和控制网络服务器105和UE 120的功能的集成电子电路。网络服务器115和UE 120还包括耦接到总线205的存储器215 (诸如随机存取存储器(RAM)或其它动态存储器件),用于存储可以由处理器210使用的信息。存储器215可以用于存储任何所需的临时信息。网络服务器105和UE 120还包括耦接到总线205的只读存储器(ROM) 220或其它静态存储器件,用于存储处理器210的静态信息。提供诸如磁盘或光盘之类的存储单元225并耦接到总线205用于存储信息。
[0026]网络服务器105和UE 120可以经由总线205耦接到显示器230 (诸如阴极射线管(CRT)、液晶显示器(IXD)或发光二极管(LED)显示器),用于显示信息。包括字母数字和其它键的输入设备235耦接到总线205用于将输入传送到处理器210。输入设备可以包括在网络服务器105中。另一种类型的用户输入设备是光标控制器(诸如鼠标、轨迹球或光标方向键),用于将输入传送到处理器210并且用于控制显示器230上的光标移动。输入设备235也可以包括在显示器230 (例如触摸屏)中。
[0027]各个实施例与用于实现这里描述的技术的网络服务器115和UE 120的使用有关。在一个实施例中,由处理器210使用包括在存储器215中的信息执行该技术。该信息可以从诸如存储单元225之类的另一个机器可读介质读到存储器215中。
[0028]这里使用的术语“机器可读介质”是指参与提供使得机器以特定的方式工作的数据的任何介质。在使用网络服务器105实现的实施例中,各个机器可读介质涉及例如将信息提供到处理器210。机器可读介质可以是存储介质。存储介质包括非易失性介质和易失性介质二者。非易失性介质包括例如光盘或磁盘,诸如存储单元225。易失性介质包括动态存储器,诸如存储器215。所有这样的介质必须是有形的以使得由介质携带的信息能够由将信息读到机器中的物理机构检测到。
[0029]机器可读介质的通常形式包括例如软盘、柔性磁盘、硬盘、磁带或任何其它磁介质;CD-R0M、任何其它光学介质;穿孔卡、纸带、任何其它具有孔的图样的物理介质;RAM、PROMjP EPROM、FLASH-EPROM、任何其它存储器芯片或盒式磁带。
[0030]在另一个实施例中,机器可读介质可以是包括同轴电缆、铜线和光纤的传输介质,包括包含总线205的线路。传输介质也可以采取诸如在无线电波和红外数据通信期间创建的声波或光波的形式。网络服务器105还包括耦接到总线205的通信接口 245。通信接口245提供耦接到网络Il0的双向数据通信。使用的网络110可以是蓝牙皮网网络结构。
[0031]在一些实施例中,网络服务器115和UE 120可以连接到存储设备250用于存储或取得信息。存储设备250的示例包括闪速驱动器、笔驱动器、硬盘或任何其它存储介质,但是不局限于此。
[0032]在一个实施例中,处理器210可以包括或可以连接到一个或多个处理单元,例如扩展的主会话密钥发生器255、根密钥创建器260、安全参数索引创建器265、移动节点本地代理密钥创建器270和移动节点外地代理密钥创建器275。扩展的主会话密钥发生器255基于可扩展的验证协议-密钥协议的验证(EAP-AKA)生成扩展的主会话密钥。根密钥创建器260创建根密钥。安全参数索引创建器265创建移动互联网协议安全参数索引。移动节点本地代理密钥创建器270导出移动本地代理密钥。移动节点外地代理密钥创建器275导出移动节点外地代理密钥。
[0033]在另一个实施例中,网络服务器115和UE 120可以不包括处理单元,因为可以由处理器215执行一个或多个处理单元的功能。
[0034]图3是示出了根据一个实施例的创建用于分组数据网络(TON)的唯一且安全的移动互联网协议版本4(MIPv4)连接的方法的流程图。
[0035]该方法起始于步骤305。
[0036]EPC选择移动性协议,例如MIPv4外地代理转交地址(FACoA),然后UE和EPC导出多个密钥。
[0037]在步骤310,在UE和网络服务器中基于可扩展的验证协议-密钥协议的验证(EAP-AKA)生成扩展的主会话密钥(EMSK)。在一个实施例中,基于MIPV4请求和接通用户设备的过程中的至少一个发起所述生成操作。
[0038]生成的EMSK然后用于在3GPP AAA服务器和UE处创建移动互联网协议根密钥(MIP-RK) ο移动互联网协议根密钥的创建基于以下等式:
[0039]MIP-RK = KDF (EMSK, “移动 IP 根密钥” | “\0” | 长度)
[0040]其中,MIP-RK-移动互联网协议根密钥;
[0041 ] EMSK-扩展的主会话密钥
[0042]在一个实施例中,使用PDN的接入点名称(APN)创建用于每个分组数据网络连接的唯一的移动节点本地代理(MN-HA)密钥、移动节点外地代理(MN-FA)密钥和安全参数(SPI)索引值。
[0043]在步骤315,在用户设备和3GPP AAA服务器处创建移动互联网协议安全参数索引(MIP-SPI),用于APN中表示的PDN连接。在3GPP技术规范(TS) 23.003中详细说明了 APN格式。使用以下等式基于MIP-RK和APN创建MIP-SPI:
[0044