专利名称:一种使用代理移动ip进行安全注册的方法
技术领域:
本发明涉及基于代理移动IP的通信技术,具体地说,是涉及一种使用代理移动IP进行安全注册的方法。
背景技术:
RFC4004是使用Diameter协议对移动节点(Mobile Node,MN)进行接入控制和密钥分配的一个协议。该协议提供了一种安全的注册方法,将移动IP中用到的三个移动安全联盟(Mobility Security Association),即,移动节点与归属代理、移动节点与外地代理、外地代理与归属代理间的移动安全联盟,分发给网络中相关节点,从而实现MIPv4的安全注册。
该协议所述的注册方法基于图1所描述的系统框架,其中移动节点MN移动节点是经常需要在不同拜访接入网络间切换的用户终端设备。
外地代理FA(Foreign Agent,FA)外地代理FA是拜访网络中为移动节点提供路由功能的路由器,并且,外地代理与归属代理间建立隧道,为移动节点传递移动节点到外网的数据包。
拜访网络AAA(Authentication、Authorization、Accounting,认证、授权、记帐)服务器位于拜访地网络的AAA服务器。该服务器能为从外地代理发往归属网络AAA服务器的消息提供代理转发的功能。
归属网络AAA服务器位于移动节点归属地的AAA服务器,为移动节点提供认证、授权和计费功能。
归属代理HA(Home Agent,HA)归属代理HA是储存移动节点的关注IP地址(CoA)与归属IP地址(HoA)绑定信息的节点。归属代理还与外地代理间建立隧道,将发送到移动节点的数据通过隧道发送给外地代理。
该协议所定义的MIPv4的注册方法具体流程如图2所示,其具体步骤如下步骤201外地代理FA向移动节点发送路由通告消息。该路由通告消息可以是定时广播的,也可以是应移动节点的要求而发送给移动节点的,该消息中包含用于对移动节点进行认证的Challenge向量。
步骤202移动节点在收到路由通告后向拜访网络的外地代理FA发送移动IP注册请求消息。移动节点将根据路由通告消息中的Challenge计算的认证结果放入移动IP注册请求消息的MN-AAA扩展中。
步骤203外地代理FA将收到的移动IP注册消息转换成Diameter消息AAA移动节点请求(AAA Mobile Node Request),并发送给外地代理FA所在网络的AAA服务器拜访网络AAA服务器。AAA移动节点请求消息中既包含了步骤202所述消息中的认证结果(MN-AAA),也包含了移动节点在步骤202所述消息中发来的移动IP注册请求消息。
步骤204拜访网络AAA服务器查找到移动节点所在家乡网络的归属网络AAA服务器的地址(称为归属网络AAA服务器),将步骤203收到的消息发送给归属网络AAA服务器。拜访网络AAA服务器可以在消息中增加其他属性,比如,当拜访网络可以为移动节点提供可选的位于拜访地网络的归属代理时,拜访网络AAA服务器可以将该归属代理HA的IP地址增加到步骤203所述消息中。
步骤205归属网络AAA服务器首先检查步骤204所述消息中的MN-AAA扩展,验证移动节点的合法性,然后,归属网络AAA服务器根据移动节点的签约信息和步骤204所述消息中的其他属性为移动节点分配归属代理,并计算移动IP所需的移动节点与归属代理、移动节点与外地代理、归属代理与外地代理间的安全联盟。当归属网络AAA服务器处理完一切之后,归属网络AAA服务器向所选定的归属代理发送归属代理移动IP请求(Home Agent MIP Request)。该消息中除了移动IP注册请求消息外,还带有移动节点与归属代理、归属代理与外地代理间的安全联盟。该归属代理可能位于拜访地,也可能位于归属地。
步骤206归属代理收到归属代理移动IP请求消息后根据需要为移动节点分配归属IP地址HoA,处理步骤205所述消息中移动IP注册请求消息,为移动节点注册归属IP地址HoA到关注IP地址CoA的绑定关系,保存归属网络AAA服务器发送来的相关安全联盟。处理成功后归属代理向归属网络AAA服务器发送归属代理移动IP响应消息。
步骤207归属网络AAA服务器收到归属代理移动IP响应(Home AgentMIP Ack)消息后给拜访网络AAA服务器发送AAA移动节点响应消息(AAAMobile Node Ack)。该消息中除带有移动IP注册响应消息外,还带有移动节点与外地代理的移动安全联盟和移动节点计算移动节点与归属代理、移动节点与外地代理间的移动安全联盟所需的信息(如随机数Nonce等)。
步骤208拜访网络AAA服务器将AAA移动节点响应消息(AAAMobile Node Ack)转发给外地代理。
步骤209外地代理向移动节点发送移动IP注册响应消息。移动节点计算移动节点与外地代理、移动节点与归属代理间的移动安全联盟,使用这些移动安全联盟认证注册响应消息。若认证成功,则移动IP注册成功。
需要说明的是,所述步骤202中的challenge向量用来对移动节点进行认证。该步骤中移动节点已获得了关注IP地址CoA,移动节点可以利用这个CoA向FA发送移动IP注册请求。MN-AAA扩展是移动节点根据路由通告消息中的Challenge和移动节点与归属网络间的移动安全联盟计算的。
当上述过程中的移动节点不具备移动IP能力时,通常网络侧的网络节点可以使用代理移动IP,作为移动节点的代理移动IP客户端,代替移动节点进行移动IP的注册绑定,从而使得不具备移动IP能力的移动节点可以在接入网络变化的时候对外保持一个不变的归属地址,从而保证业务的连续性。其系统框图如图3所示图3中的移动节点不具备移动IP能力。移动节点与移动IP代理节点间是简单IP接口。移动IP代理节点是代理移动节点进行移动IP注册的节点。
使用代理移动IP可以减少终端和网络节点之间的信令交互,但是移动节点和归属代理之间的安全联盟如何建立是目前的协议中所没有的。如果不在移动节点和归属代理之间建立安全联盟,则移动IP注册消息可能会被恶意更改,从而导致移动节点的数据流被重定向,用户数据被窃取。网络中的恶意攻击者还可以利用该缺陷进行其他攻击,如DOS(Denial of service,拒绝服务攻击)、DDOS(Distributed denial of service,分布式拒绝服务攻击)等。
发明内容
本发明所要解决的技术问题是提供一种使用代理移动IP进行安全注册的方法,使不具备移动IP的能力的移动节点,也能够实现一种安全的IP注册。
为解决上述技术问题,本发明提供方案如下一种使用代理移动IP进行安全注册的方法,用于不具备移动IP能力的移动节点的IP注册,包括如下步骤步骤一代理移动IP节点向移动节点发送至少包含一个随机向量的鉴权请求消息;步骤二移动节点根据收到的鉴权请求消息中所携带的随机向量计算出响应向量,并向代理移动IP节点发送至少包含所述响应向量的鉴权响应消息;步骤三代理移动IP节点收到携带响应向量的鉴权响应消息后,向认证系统发送至少包含响应向量的移动节点请求消息;步骤四认证系统向代理移动IP节点发送至少包括移动节点与归属代理间的移动安全联盟信息的认证响应消息;步骤五代理移动IP节点收到所述认证响应消息后,向移动节点的归属代理发送移动IP注册请求消息;步骤六归属代理判断是否存在有关移动节点相关的有效移动安全联盟信息,如果存在,则直接执行步骤九;如果不存在,则执行步骤七;步骤七归属代理向认证系统请求有关移动节点的移动安全联盟信息;
步骤八认证系统将有关移动节点的安全联盟信息发送至归属代理;步骤九归属代理对移动节点进行移动IP注册,并向代理移动IP节点发送移动IP注册响应消息。
本发明所述的方法,其中,所述步骤一中,代理移动IP节点向移动节点的发送鉴权请求消息包括挑战向量和认证向量。
本发明所述的方法,其中,所述步骤二中,所述响应向量是根据鉴权请求消息中的挑战向量和移动节点保存的与归属网络间的共享密码计算得出的。
本发明所述的方法,其中,所述步骤三中,所述代理移动IP节点向认证系统发送移动节点请求消息是发送包含挑战向量的移动节点请求消息。
本发明所述的方法,其中,所述步骤六、步骤七中,所述有关移动节点相关的移动安全联盟信息是移动节点与归属代理间的移动安全联盟信息。
本发明所述的方法,其中,所述步骤五中,移动IP注册消息包括使用移动节点与归属代理间的移动安全联盟信息计算的认证扩展。
本发明所述的方法,其中,所述步骤九归属代理对移动节点进行移动IP注册前,先根据从认证系统获得或归属代理本地保存的有关移动节点的移动安全联盟信息,对步骤五中的移动IP注册请求消息进行认证。
本发明所述的方法,其中,所述归属代理对移动节点进行移动IP注册,是为移动节点分配归属IP地址,并将移动节点的归属IP地址与关注IP地址绑定。
本发明所述的方法,其中,所述移动安全联盟信息至少包括两个安全实体间的一个会话密钥。
本发明所述的方法,通过将移动节点与归属代理间的移动安全联盟发送给移动IP代理节点,从而移动IP代理节点可以代理移动节点进行安全的移动IP注册,实现了不具备移动IP的能力的移动节点的安全可靠的IP注册;并且没有破坏移动IP所要求的安全性,不影响标准移动IP协议。
本发明所要解决的技术问题、技术方案要点及有益效果,将结合实施例,参照附图作进一步的说明。
图1为现有RFC4004协议定义的系统结构示意图;图2为具备移动IP能力的移动节点的移动IP注册示意图;图3为不具备移动IP能力的移动节点使用代理移动IP节点的系统结构示意图;图4为本发明实施例所述系统的结构示意图;图5为本发明实施例所述方法的流程图。
具体实施例方式
本发明所述方法,在对移动节点鉴权时,通过采用将移动节点的移动IP相关移动安全联盟发给移动IP代理节点的方法,来实现不具备移动IP能力的移动节点的安全可靠的IP注册的。
本发明所述的使用代理移动IP进行安全注册的方法,用于不具备移动IP能力的移动节点的IP注册,首先,代理移动IP节点向移动节点发送至少包含一个随机向量的鉴权请求消息,如可以包括挑战向量和认证向量;然后,移动节点根据收到的鉴权请求消息中所携带的挑战向量计算出响应向量,并向代理移动IP节点发送至少包含所述响应向量的鉴权响应消息,这里,响应向量是根据鉴权请求消息中的挑战向量和移动节点保存的与归属网络间的共享密码计算得出的;代理移动IP节点收到携带响应向量的鉴权响应消息后,向认证系统发送至少包含响应向量的移动节点请求消息,这里发送的移动节点请求消息包含挑战向量;然后,认证系统向移动IP节点发送至少包括移动节点与归属代理间的移动安全联盟信息的认证响应消息;代理移动IP节点收到所述认证响应消息后,向移动节点的归属代理发送移动IP注册请求消息;然后,归属代理判断是否存在有关移动节点相关的有效移动安全联盟信息,如果存在,则归属代理根据有关该移动节点的该移动安全联盟信息,对移动IP注册请求消息进行认证,认证成功后,归属代理对移动节点进行移动IP注册,并向代理移动IP节点发送移动IP注册响应消息。如果不存在,则归属代理先向认证系统请求有关移动节点的移动安全联盟信息;然后,认证系统将有关移动节点的安全联盟信息发送至归属代理;最后,归属代理根据从认证系统获得的有关移动节点的移动安全联盟信息,对移动IP注册请求消息进行认证,认证成功后,归属代理对移动节点进行移动IP注册,并向代理移动IP节点发送移动IP注册响应消息。这里,所述有关移动节点相关的移动安全联盟信息至少包括移动节点与归属代理间的移动安全联盟信息。
本发明所述实施例的系统框图如图4所示,该系统至少包括用户设备(或者用户终端),演进的无线接入网,MME/UPE,Inter-AS anchor和认证系统,各网元的主要功能如下所示MME控制面功能实体,负责管理和存储UE上下文(比如UE/用户标识,移动性管理状态,用户安全参数等),产生临时标识并将其分配给UE,当UE驻扎在该跟踪区域或者该网络是负责对该用户进行鉴权。
UPE用户面功能实体,用户面数据路由处理,终结处于闲置状态的UE的下行数据,当发往UE的下行数据到达时,发起寻呼。管理和存储UE的上下文,该上下文包括比如IP承载业务或者网络内部路由信息的参数等。
Inter-AS anchor多种接入系统间的移动性管理锚点,该锚点是支持3GPP内部以及3GPP和非3GPP定义的多种接入系统间的移动性的用户面锚点功能实体。本方案中Inter-AS anchor包含HA(归属代理)的功能HSS/AAA server归属签约用户服务器/鉴权授权计费服务器,构成本系统中的认证系统,当用户设备处在归属网络时,认证系统中只包括归属签约用户服务器,当用户设备处在拜访网络时,认证系统包括归属签约用户服务器和鉴权授权计费服务器。
数据网络移动节点可能访问的外部网络。
上述系统中,用户设备UE相当于不具备移动IP能力的移动节点;移动性管理节点MME/用户面节点UPE相当于代理移动IP节点;归属地用户服务器HSS/拜访地AAA服务器相当于认证系统;跨接入系统锚点Inter-ASanchor相当于归属代理,由移动性管理节点MME/用户面节点UPE代替用户设备UE进行安全的移动IP注册的过程如图5所示步骤501移动性管理节点MME/用户面节点UPE收到用户设备UE的附着请求后向用户设备UE发送认证请求消息,消息中带有挑战向量Challenge和认证向量AUTH。挑战向量Challenge被UE用来计算认证响应MN-AAA。AUTH被用户设备UE用来认证移动性管理节点MME/用户面节点UPE。这里,该步骤也可以是通过用户设备在找到移动网络后向移动性管理节点MME/用户面节点UPE发送附着请求触发MME/UPE发送认证请求消息步骤502若用户设备UE认证移动性管理节点MME/用户面节点UPE成功,UE使用步骤501所述消息中的Challenge和移动设备UE保存的与归属网络间的共享密码计算认证响应MN-AAA。移动设备UE将认证响应消息(包含MN-AAA)发送给移动性管理节点MME/用户面节点UPE。
步骤503移动性管理节点MME/用户面节点UPE到归属地用户服务器/拜访地AAA服务器认证用户设备UE。归属地用户服务器/拜访地AAA服务器包括FAAA、AAA等。该消息中带有步骤501中所述的挑战向量Challenge和步骤502中所述的认证响应。
步骤504归属地用户服务器/拜访地AAA服务器对用户设备UE进行认证,并且计算用户设备相关的移动安全联盟。所述移动安全联盟至少包括两个实体间的一个会话密钥。归属地用户服务器/拜访地AAA服务器还可能为用户设备UE选择跨接入系统锚点Inter AS Anchor。跨接入系统锚点InterAS Anchor可能位于家乡网络中,也可能位于拜访网络中。归属地用户服务器/拜访地AAA服务器计算代理移动IP所需要的各移动安全联盟MSA。
步骤505归属地用户服务器/拜访地AAA服务器向移动性管理节点MME/用户面节点UPE发送AAA移动节点响应。该消息中包括用户设备UE与跨接入系统锚点(归属代理)间的安全联盟。
步骤506移动性管理节点MME/用户面节点UPE向跨接入系统锚点发送移动IP注册消息,移动IP注册消息包括使用移动节点与归属代理间的移动安全联盟信息计算的认证扩展。
步骤507若跨接入系统锚点中无用户设备相关的安全联盟、或者安全联盟失效,跨接入系统锚点向归属地用户服务器/拜访地AAA服务器发送认证请求。
步骤508用户服务器/拜访地AAA服务器将用户设备UE相关的安全联盟发送给跨接入系统锚点,向跨接入系统锚点发送认证响应。用户服务器/拜访地AAA服务器还可能将用户设备的归属IP地址的分配原则发送给跨系统接入锚点。
步骤509跨接入系统锚点处理移动IP注册消息,为用户设备UE分配归属IP地址(Home Address,HoA)。将用户设备的归属IP地址与关注IP地址(Care of address,CoA)进行绑定。
步骤510跨接入系统锚点给移动性管理节点MME/用户面节点UPE发送移动IP注册响应消息。此时,移动IP注册成功。
本发明所述的一种使用代理移动IP进行安全注册的方法,并不仅仅限于说明书和实施方式中所列运用,它完全可以被适用于各种适合本发明之领域,对于熟悉本领域的人员而言可容易地实现另外的优点和进行修改,因此在不背离权利要求及等同范围所限定的一般概念的精神和范围的情况下,本发明并不限于特定的细节、代表性的设备和这里示出与描述的图示示例。
权利要求
1.一种使用代理移动IP进行安全注册的方法,用于不具备移动IP能力的移动节点的IP注册,其特征在于包括如下步骤步骤一代理移动IP节点向移动节点发送至少包含一个随机向量的鉴权请求消息;步骤二移动节点根据收到的鉴权请求消息中所携带的随机向量计算出响应向量,并向代理移动IP节点发送至少包含所述响应向量的鉴权响应消息;步骤三代理移动IP节点收到携带响应向量的鉴权响应消息后,向认证系统发送至少包含响应向量的移动节点请求消息;步骤四认证系统向代理移动IP节点发送至少包括移动节点与归属代理间的移动安全联盟信息的认证响应消息;步骤五代理移动IP节点收到所述认证响应消息后,向移动节点的归属代理发送移动IP注册请求消息;步骤六归属代理判断是否存在有关移动节点相关的有效移动安全联盟信息,如果存在,则直接执行步骤九;如果不存在,则执行步骤七;步骤七归属代理向认证系统请求有关移动节点的移动安全联盟信息;步骤八认证系统将有关移动节点的安全联盟信息发送至归属代理;步骤九归属代理对移动节点进行移动IP注册,并向代理移动IP节点发送移动IP注册响应消息。
2.根据权利要求1所述的方法,其特征在于所述步骤一中,代理移动IP节点向移动节点的发送鉴权请求消息包括挑战向量和认证向量。
3.根据权利要求2所述的方法,其特征在于所述步骤二中,所述响应向量是根据鉴权请求消息中的挑战向量和移动节点保存的与归属网络间的共享密码计算得出的。
4.根据权利要求2所述的方法,其特征在于所述步骤三中,所述代理移动IP节点向认证系统发送移动节点请求消息是发送包含挑战向量的移动节点请求消息。
5.根据权利要求1所述的方法,其特征在于所述步骤六、步骤七中,所述有关移动节点相关的移动安全联盟信息是移动节点与归属代理间的移动安全联盟信息。
6.根据权利要求1所述的方法,其特征在于所述步骤五中,移动IP注册消息包括使用移动节点与归属代理间的移动安全联盟信息计算的认证扩展。
7.根据权利要求1所述的方法,其特征在于所述步骤九归属代理对移动节点进行移动IP注册前,先根据从认证系统获得或归属代理本地保存的有关移动节点的移动安全联盟信息,对步骤五中的移动IP注册请求消息进行认证。
8.根据权利要求1所述的方法,其特征在于所述归属代理对移动节点进行移动IP注册,是为移动节点分配归属IP地址,并将移动节点的归属IP地址与关注IP地址绑定。
9.根据权利要求1所述的方法,其特征在于所述移动安全联盟信息至少包括两个安全实体间的一个会话密钥。
全文摘要
本发明涉及基于代理移动IP的通信技术,并公开了一种使用代理移动IP进行安全注册的方法,在对移动节点鉴权时通过采取将移动节点的移动IP相关移动安全联盟发给移动IP代理节点的方法,来实现不具备移动IP能力的移动节点的安全可靠的IP注册的。本发明所述方法可支持代理移动IPv4,也可以支持代理移动Ipv6。
文档编号H04Q7/38GK101056307SQ20061007285
公开日2007年10月17日 申请日期2006年4月11日 优先权日2006年4月11日
发明者宗在峰, 朱文若 申请人:中兴通讯股份有限公司