专利名称:允许不支持chap认证的节点在代理移动ip情况下的网络接入的制作方法
允许不支持CHAP认证的节点在代理移动IP情况下的网络接入 相关申请
本申请要求2005年11月7日递交的、Mukherjee等人的题为 "Allowing Network Access for Proxy Mobile IP Cases for Nodes that Do Not Support CHAP Authentication"的第2954/DEL/2005号印度专利申请的优先 权,其通过引用方式结合于此并用于所有目的。
背景技术:
本发明涉及移动IP网络技术。更具体而言,本发明涉及支持对于不支 持挑战握手认证协议(CHAP)的节点的代理移动IP注册。
移动IP是允许膝上型电脑或其他移动计算机单元(本文称为"移动节 点")在位于各种位置的各种子网之间进行漫游-同时保持互联网和/或 WAN连通性的协议。没有移动IP或相关协议,移动节点将无法在通过各 种子网漫游的同时保持连接。这是因为任何节点通过互联网进行通信所需 的IP地址是特定于位置的。每个IP地址具有指定该节点驻留的特定子网 的字段。若用户想要携带通常附接到一个节点上的计算机并用它漫游使其 通过不同子网,则它不能使用其归属基地(home base) IP地址。结果,穿 越全国旅行的商人不能仅用他或她的计算机漫游穿过地理上不同的网段或 无线节点同时保持在互联网上的连接。这种情况在便携计算设备时代是不 可接受的。
为了解决该问题,开发并实现了移动IP协议。移动IP协议的实现方 式描述于2002年8月的C. Perkins, Ed.的网络工作组的RFC 3344 "IP Mobility Support for IPv4"。移动IP还描述于J. Solomon所著Prentice Hall 出版的教科书"Mobile IP Unplugged"中。这两篇参考文献都通过引用全 文结合于此并用于所有目的。
移动IPv4环境中的移动IP过程在图1中示出。如图所示,移动IP环境2包括互联网(或WAN) 4,还可包括外地代理IO,移动节点6可以经 由归属代理8的中介(mediation)通过互联网4进行远程通信。在第三代 合作伙伴项目2 (3GPP2) /CDMA2000网络中,外地代理在通常被称为分 组数据服务节点(PDSN)的节点处实现。在未实现外地代理的移动IPv6 环境或移动IPv4环境中缺少外地代理的情况下,移动节点6可以获得拓扑 上正确的IP地址(即配置IP地址(collocated IP address)),并向归属代 理注册该IP地址。(在移动IPv6环境中,这是经由接入路由器而不是外 地代理来完成的。) 一般而言,归属代理和外地代理是执行适当的由软 件、硬件和/或固件实现的移动IP功能的路由器或其他网络连接设备。插 入到其归属网段中的特定移动节点(例如,膝上型计算机)通过其指定的 归属代理与互联网相连。当移动节点漫游时,其通过可用的外地代理经由 互联网进行通信。可假定,在地理上不同的位置处有许多可用的外地代理 以允许经由移动IP协议的宽范围互联网连接。注意,移动节点也可以直接 向其归属代理进行注册。
如图l所示,移动节点6通常驻留在网段12上(或者以网段12为基 地),网段12允许其网络实体通过归属代理8 (示为R2的适当配置的路 由器)在互联网4上进行通信。注意,归属代理8不需要直接连接到互联 网。例如,如图1所示,它可以通过另一路由器(在这种情况下为路由器 Rl)来连接。路由器Rl进而可以将一个或多个其他路由器(例如,路由 器R3)与互联网相连接。
现在,假定移动节点6被从其归属基地网段12去除,并漫游到远程 网段14。网段14可以包括诸如PC 16之类的各种其他节点。网段14上的 节点通过兼任外地代理10的路由器与互联网通信。移动节点6可以通过 形成移动IP协议的一部分的各种请求和公告来识别外地代理10。当移动 节点6参与到网段14中时,外地代理10将注册请求传递到归属代理8 (由虚线"注册"指示)。归属和外地代理随后可以协商移动节点附接到 外地代理10的条件。例如,附接可以限于一段时间,如两小时。当协商 成功完成时,归属代理8更新内部的"移动性绑定表",该表指定与移动 节点6的标识相关联的转交地址(例如,配置转交地址(collocated care-ofaddress)或外地代理的IP地址)。另外,外地代理10更新内部的"访问 者表",该表指定移动节点地址、归属代理地址等。实质上,移动节点的 归属基地IP地址(与网段12相关联)已变为外地代理的IP地址(与网段 14相关联)。
现在,假定移动节点6想要从其新位置向对方节点18发送消息。在 移动IPv4中,来自移动节点的消息随后根据标准互联网协议被分组化并经 由外地代理IO被转发到互联网4上和转发到对方节点18 (由虚线"来自 MN的分组"指示)。如果对方节点18想要向移动节点发送消息一无论是 对来自移动节点的消息的回复还是由于任何其他原因_其都将该消息寄送 到子网12上移动节点6的IP地址。该消息的分组随后被转发到互联网4 上和转发到路由器R1,并最终被转发到归属代理8,如虚线("去往MN 的分组(l)")所示。从其移动性绑定表中,归属代理8认识到移动节点6 不再附接到网段12。其随后根据移动IP协议封装来自对方节点18的分组 (该分组被寄送到网段12上的移动节点6),并将这些封装后的分组转发 到移动节点6的"转交"地址,如虚线("去往MN的分组(2)")所示。 转交地址例如可以是外地代理10的IP地址。外地代理10随后剥离封装, 并将消息转发到子网14上的移动节点6。由归属和外地代理实现的分组转 发机制经常被称为"隧道传递"(tunneling)。在缺少外地代理的情况 下,分组被直接隧道传递到移动节点6的配置转交地址。
由于节点可能不支持移动IP,因此在网络内部改变其位置的节点无法 发起向其归属代理的注册。因此可由该节点外的代理实体代表该节点执行 代理移动IP支持(即代理注册),所述代理实体如接入点、外地代理或分 组数据服务节点(PDSN)(例如,在CDMA2000网络中)。通常,可令 多个接入点、外地代理或PDSN遍布,以向用户提供通过延伸的区域自由 漫游同时保持对所有网络资源的不受干扰的访问的能力。 一旦节点注册到 归属代理,归属代理就可以将分组转发给PDSN或外地代理。
为了代表节点发送注册请求,代理实体需要节点的IP地址和归属代理 地址(即默认网关)以构造注册请求分组。另外,代理实体还确认节点的 子网网络掩码(即,子网掩码)以便确认是否需要移动IP代理服务。具体而言,当代理实体通过数据分组的源地址和子网掩码确定节点位于与代理 实体的子网相同的子网上时,不需要移动IP服务来代表节点,如方块所 示。但是,当代理实体通过源地址确定节点不位于代理实体的子网上时, 由代理实体代表节点执行代理移动IP服务。
因此,代理实体充当代理移动节点来向归属代理注册客户(即节 点)。具体而言,代理实体识别或分配归属代理并向归属代理发送注册请 求以代表客户建立移动IP会话。客户通过移动IP会话接收发往其归属代 理的分组。通过这种方式,节点可在漫游的同时保持与网络的连接性。
有很多可用来认证用户的认证机制。这些认证机制包括密码认证协议
(PAP) 、 CHAP、可扩展认证协议(EAP)以及微软挑战握手认证协议 (MS-CHAP)。但是,移动IP协议是在假定CHAP挑战和响应被用于认
证移动节点的前提下工作的。换言之,要求注册请求包含CHAP挑战和响应。
在移动IP注册过程期间,移动节点通常在其移动IP注册请求中提供 CHAP挑战和响应。具体而言,外地代理通常在代理公告中公告CHAP挑 战。当移动节点构造移动IP注册请求时,它包括移动外地挑战扩展 (MFCE) , MFCE包含CHAP挑战和CHAP响应作为将在移动节点和 AAA服务器之间共享的移动节点-AAA密钥。当CHAP挑战和响应被提供 到AAA服务器时,AAA服务器使用该信息基于与CHAP挑战和响应有关 的共享密码来认证移动节点。
在诸如CDMA2000网络之类的网络的代理移动IP情形中,PDSN不 从节点接收注册请求因此不从节点接收CHAP挑战和响应。但是,若节点 使用CHAP协议协商点对点协议(PPP),则CHAP挑战和响应由PDSN 在PPP协商期间从节点接收。这种情形下,PDSN可使用在PPP协商期间 收到的CHAP挑战和响应代表节点生成注册请求。
不幸的是,很多节点不支持CHAP协议。例如,因为PAP是个较成 熟的协议,所以它经常是唯一被支持的协议。由于PDSN在PPP协商期间 不接收用于这些节点的CHAP挑战和响应,PDSN无法构建包含CHAP挑 战和响应的注册请求。因此,这些系统中不支持代理移动IP。考虑到上述因素,若代理移动IP能被不使用CHAP的节点支持,则 会很有利。
发明内容
本发明的各种实施例支持对于不支持CHAP的节点的代理移动IP注 册。这是通过由AAA服务器或者诸如PDSN或外地代理之类的实体生成 CHAP挑战和响应来部分地完成的。通过这种方式,PDSN或外地代理可 基于CHAP挑战和响应生成移动IP注册请求。
AAA服务器支持认证、授权和计费。当认证确定了实体是"谁"时, 授权确定允许用户执行或访问什么服务。可以使用一类被称为"AAA"或 3A服务器的服务器。可以实现诸如远程认证拨入用户服务(RADIUS)和 TACACS+之类的各种协议来提供这样的服务器。注意,向服务器提供记 帐信息的归属代理或外地代理必须提供AAA服务器协议所要求的格式的 通信。RFC 2138描述了 RADIUS协议并通过引用方式结合于此。类似 地,RFC 1492描述了 TACACS , 并且可从如下网址 http:〃www.ietf.org/internet-drafts/draft-grant-tacacs-02.txt获《寻的互联网草案 "The TACACS+ Protocol Version 1.78"描述了 TACACS+。这些文件都通 过引用方式结合于此并用于所有目的。
根据本发明的一个方面,AAA服务器生成随后被提供给PDSN或外地 代理的CHAP挑战和响应。具体而言,当AAA服务器收到标识节点的请 求消息(例如,认证请求)时,它(例如,从AAA服务器维护的节点配 置文件)获得与该节点相关的密码。AAA服务器生成CHAP挑战,它可 随机生成或通过其他适当机制生成。AAA服务器根据密码和CHAP挑战 生成CHAP响应。AAA服务器随后向PDSN (或外地代理)发送指示 CHAP挑战和CHAP响应的答复消息,从而使PDSN (或外地代理)能够 基于在答复消息中收到的CHAP挑战和响应来生成移动IP注册请求。
如上所述,当PDSN或外地代理向AAA服务器发送标识节点的请求 消息时,它随后接收指示'CHAP挑战和响应的回复消息。PDSN从回复消 息中获得CHAP挑战和响应。PDSN (或外地代理)随后基于该CHAP挑战和响应构造移动IP注册请求消息。
根据一个实施例,AAA服务器是单个实体。但是,在其他实施例中,
两个AAA服务器可以用来生成CHAP挑战和响应,并将CHAP挑战和响 应提供到PDSN或外地代理。具体而言,可以实现外地网络中的本地 AAA (LAAA)服务器和归属网络中的归属AAA (HAAA)服务器。这使 得LAAA服务器能够在无法认证节点时联系HAAA服务器。
根据本发明的另一个方面,PDSN或外地代理生成CHAP挑战和响 应,随后使用CHAP挑战和响应生成移动IP注册请求。具体而言,PDSN (或外地代理)向AAA服务器发送请求消息(例如认证请求),并接收 来自AAA服务器的回复消息(例如,认证回复)。回复消息包括(例如 与节点相关的)密码。 一旦PDSN (或外地代理)从回复消息中获得密 码,它便生成CHAP挑战。PDSN (或外地代理)随后可通过CHAP挑战 和密码生成CHAP响应。PDSN (或外地代理)随后基于CHAP挑战和响 应构造移动IP注册请求消息。
如上所述,当AAA服务器接收标识节点的请求消息时,它(例如从 AAA服务器维护的节点配置文件)获得与该节点相关的密码。AAA服务 器随后向PDSN或外地代理发送回复消息,从而使PDSN (或外地代理) 能够使用该密码生成CHAP响应,以用于生成包含CHAP响应和由PDSN (或外地代理)生成的CHAP挑战的移动IP注册请求。
根据本发明的另一方面,本发明涉及可操作来在AAA服务器或诸如 PDSN、外地代理或接入点之类的代理实体中执行所公开的任何方法的系 统。该系统包括一个或多个处理器以及一个或多个存储器。处理器和存储 器中的至少一个适于提供至少某些上述方法操作。在又一个实施例中,本 发明涉及用于执行所公开的方法的计算机程序产品。计算机程序产品具有 至少一个计算机可读介质和存储在所述计算机可读介质的至少一个内的被 配置成执行至少某些上述方法操作的计算机程序指令。
本发明的这些和其他特征和优点将在本发明的下述说明和附图中更详 细地展示,所述附图通过示例方式说明了本发明的原理。
图1是移动IP网段和相关环境的图示;
图2是例示了其中可由一个或多个PDSN实现代理移动IP的示例性系 统的图示;
图3是例示了在CDMA2000网络中执行对于支持CHAP的节点的代 理移动IP注册的方法的处理流程图4是例示了根据本发明的第一实施例由PDSN使用AAA服务器生 成的CHAP挑战和响应来执行代理移动IP注册的方法的处理流程图5是例示了根据本发明的第二实施例由PDSN使用PDSN服务器生 成的CHAP挑战和响应来执行代理移动IP注册的方法的处理流程图6是其中可实现本发明的实施例的路由器的图形化表示。
具体实施例方式
现在详细参考本发明的具体实施例。该实施例的示例在附图中示出。 虽然本发明是结合具体实施例来描述的,但是应该理解不打算将本发明限 制在一个实施例上。相反,希望涵盖可以包含在由所附权利要求限定的本 发明的精神和范围内的变更、修改和等同物。在以下描述中,为了提供对 本发明的全面理解,提出多个具体细节。本发明的实施可不需要这些具体 细节。在其他示例中,公知的处理操作未详细描述,以免不必要地模糊本 发明。
公开的实施例支持对于不使用CHAP的节点的代理移动IP注册。如 下面将进一步详细描述的那样,这可通过如参考图4所提出的那样由AAA 服务器或者如参考图5所提出的那样由诸如PDSN之类的实体生成CHAP 挑战和响应来完成。 一旦CHAP挑战和响应已生成,PDSN便可基于 CHAP挑战和响应来生成移动IP注册请求。
图2是例示了可实现本发明的系统的框图。在以下描述中,公开的实 施例是参考CDMA2000网络来描述的,CDMA2000网络是使用第三代合 作伙伴项目2 ('3GPP2)架构来实现的。示例性3GPP2架构描述于可从 http:〃www.3gpp2,org/Public一html/Misc/v&vindex.cfm获得的题为"X.P0011-00x-D-cdma2000 Wireless IP Standard (6个文档-001至-006)" 的IS-835D,其通过引用方式结合于此并用于所有目的。分组数据服务节 点(PDSN)充当3GPP2/CDMA2000网络中的接入路由器。虽然本发明被 描述为在CDMA2000网络中实现,但是本发明也可在另一种类型的移动 IP网络中实现。因此,下述由PDSN执行的那些功能也可由诸如外地代理 或接入点之类的实体来执行。
如图2所示,节点206可能希望从其归属代理200漫游到第一 PDSN/ 外地代理202。类似地, 一旦附接到第一PDSN 202,节点206可能还希望 漫游到第二 PDSN/外地代理204。虽然节点206可能具有分配的IP地址, 但是当节点206漫游时,该节点最好保持该分配的IP地址。例如,虽然 DHCP服务器208通常在网络内节点的位置改变时将新IP地址动态分配给 该节点,但是最好保持由DHCP服务器208最初分配给节点的IP地址。 在CDMA2000网络中,分组控制功能(PCF) 210和分组控制功能
(PCF) 212分别耦合到PDSN 202和204。 PCF 210、 212通常耦合到基站 控制器(BSC)(未示出)和移动交换中心(MSC)(未示出)。通常, 实现移动IP的移动节点通过注册过程向其归属代理注册和注销。但是,在 代理注册期间,注册由诸如PDSN之类的另一个网络设备代表节点发起。 类似地,注销可由PDSN代表漫游节点发起。例如,已漫游到第一 PDSN 202的节点206利用第一 PDSN 206在第一 PDSN 202构造并发送注册请求 分组时向该节点的归属代理200注册。因此,第一外地代理的访问者表和 归属代理的移动性绑定表被更新以指示节点已漫游到第一外地代理202。 当节点206漫游到第二 PDSN 204时,节点206可被(例如,PDSN 210、 212之一,外地代理202、 204的任一个或归属代理200)注销。换言之, 第一外地代理202更新其访问者表以反映节点206的移动。类似地,归属 代理的移动性绑定表被更新以反映出节点206移动到第二外地代理204。 因此,第一外地代理的访问者表和归属代理的移动性绑定表中的适当条目 可被删除。新条目在节点向归属代理的注册完成后随后被输入到第二外地 代理的访问者表和归属代理的移动性绑定表中。或者,访问者表可由 PDSN维护和更新。归属代理200可通过联系位于归属网络中的归属AAA服务器 (HAAA) 214来认证节点。类似地,第一PDSN/FA 202可经由位于与第 一 PDSN/FA 202相关的本地网络中的第一本地AAA服务器(LAAA1) 216来认证节点,同时第二 PDSN/FA 204可经由第二本地AAA服务器 (LAAA2) 218来认证节点。下面将参考图4-5进一步详细描述认证。 代理移动IP注册当前被支持CHAP的节点支持。图3是例示了在 CDMA2000网络中执行对于支持CHAP的节点的代理移动IP注册的方法 的处理流程图。由不支持移动IP的节点执行的过程、分组控制功能 (PCF) 、 PDSN、位于PDSN所在的外地网络中的本地AAA服务器 (LAAA),位于归属网络中的归属AAA (HAAA)服务器以及归属代理 (HA)分别由竖线302、 304、 306、 308、 310和312表示。当在314中在 节点和PCF之间建立了数据呼叫时,PCF在316中向PDSN发送注册请求 (RRQ)。假设呼叫成功,PDSN在318中向PCF发送注册响应 (RRP)。节点在320中利用CHAP协议参加PPP协商,使得PDSN能够 获得来自节点的CHAP挑战和响应。
PDSN向AAA服务器发送用于PPP认证的认证请求(例如,RADIUS 接入请求),并且在答复中从AAA服务器接收将用户认证为代理移动IP 用户的认证响应(例如,RADIUS接入响应)。如所示,PDSN通常在 322中向LAAA发送所示的认证请求,若LAAA服务器不能认证该节点, 则认证请求可在324中被转发到HAAA服务器。在这些示例中,HAAA服 务器在326中向LAAA服务器发送认证响应,认证响应在328中被转发到 PDSN。
PDSN利用在PPP协商期间获得的PPP挑战和响应在330中代表节点 构造移动IP注册请求,并在332中将该注册请求发送到归属代理。为了认 证注册请求,归属代理通常在334中将认证请求发送到HAAA服务器, HAAA服务器在336中认证移动IP注册请求并将认证响应发送到归属代 理。归属代理处理注册请求,并在收到认证响应后在338中向PDSN发送 移动IP注册答复。隧道随后在340中在归属代理和PDSN之间被建立。隧 道还在PDSN和节点之间被建立。认证请求和响应以AAA格式被发送到AAA服务器。如图3所示,认 证请求和响应可能包括RADIUS接入请求和响应。
目前,不执行使用CHAP协议的PPP协商的节点不支持代理移动IP。 认证在PPP协商期间不使用CHAP的节点的一种替代方案是在PDSN和不 支持移动IP的节点处配置共享密码,使得该密码用来认证节点。但是,在 诸如PDSN之类的外地实体处存储这类密码是违反安全规则的,可能损害 系统安全。
如下面将进一步详细描述的那样,本发明的各种实施例支持对于不支 持CHAP的节点的代理移动IP注册。例如,节点可使用PAP或EAP协议 执行PPP协商。如下面将进一步详细描述的那样,CHAP挑战和响应由 AAA服务器或PDSN生成。一旦PDSN获得该CHAP挑战和响应,PDSN 就根据要求移动IP注册请求包含CHAP挑战和响应的移动IP标准来生成 移动IP注册请求。
一般地,在CDMA网络中,归属代理将访问AAA服务器来认证节 点,除非归属代理保持本地安全关联。在描述的实施例中,本地AAA (LAAA)服务器和归属AAA (HAAA)服务器二者被示出。但是,要注 意,单个AAA服务器(例如,LAAA服务器)可认证节点而不联系另一 个AAA服务器(例如,HAAA服务器)。
图4是例示了根据本发明的第一实施例由PDSN使用AAA服务器生 成的CHAP挑战和响应来执行代理移动IP注册的方法的处理流程图。由 不支持移动IP的节点执行的过程、分组控制功能(PCF) 、 PDSN、位于 PDSN所在的外地网络中的本地AAA服务器(LAAA),位于归属网络中 的归属AAA (HAAA)服务器以及归属代理(HA)分别由竖线402、 404、 406、 408、 410和412表示。当数据呼叫在414中在节点和PCF之间 建立时,PCF在416中向PDSN发送注册请求(RRQ)。假设呼叫成功, PDSN在418中向PCF发送注册响应(RRP)。节点在420中利用诸如 PAP或EAP之类的非CHAP认证协议参加PPP协商。由于不使用CHAP 执行PPP协商,PDSN不在PPP协商期间接收CHAP挑战和响应。
为了认证节点,PDSN向AAA服务器发送标识该节点的认证请求(例如,接入请求),并且在答复中从AAA服务器接收将用户认证为代理移
动IP用户的认证响应(例如,接入响应)。如所示,PDSN通常在422中 向LAAA服务器发送所示的认证请求,若LAAA服务器不能认证该节 点,则认证请求可在424中被转发到HAAA服务器。例如,这可能发生在 LAAA服务器不具有用于该节点的节点配置文件的情况下。用于节点的节 点配置文件通常包括用于该节点的密码。
当认证请求被接收时,HAAA服务器在426中生成CHAP挑战和响 应。具体而言,HAAA服务器访问节点的配置文件来验证该节点是代理移 动IP用户。更具体而言,根据一个实施例,HAAA服务器从节点的配置 文件获得与该节点相关的密码。另外,HAAA服务器生成CHAP挑战。例 如,CHAP挑战可经由随机数发生器生成。HAAA服务器随后通过该密码 和CHAP挑战生成CHAP响应。例如,CHAP响应可通过使用诸如MD-5 之类的散列函数获得CHAP挑战和密码的散列来生成。HAAA服务器还可 更新节点配置文件以包含CHAP挑战和响应。
在本例中,HAAA服务器生成CHAP挑战和响应。但是,要注意,单 个AAA服务器(例如,LAAA服务器)可认证节点而不联系另一个AAA 服务器(例如,HAAA服务器)。因此,LAAA服务器或HAAA服务器 可生成CHAP挑战和响应。
一旦CHAP挑战和响应已生成,HAAA服务器就在428中向LAAA服 务器发送指示或包含CHAP挑战和响应的认证响应。例如,CHAP挑战和 响应可在认证响应的一个或多个属性中提供。LAAA服务器随后在430中 将认证响应转发给PDSN。认证请求和响应可根据诸如RADIUS或 TACACS+之类的AAA协议来发送。例如,如本例中所示,认证请求可以 是RADIUS接入请求,且认证响应可以是RADIUS接入响应。
收到认证响应后,PDSN从认证响应中获得CHAP挑战和响应,并在 432中代表节点基于CHAP挑战和响应构造移动IP注册请求。例如,注册 请求可包括CHAP挑战和响应。具体而言,当移动节点构造移动IP注册 请求时,它包括移动外地挑战扩展(MFCE) , MFCE包含CHAP挑战和 CHAP响应作为共享的移动节点-AAA密钥。PDSN随后在434中将注册请求发送到归属代理。
为了认证注册请求,归属代理在436中向HAAA服务器发送认证请 求,HAAA服务器认证移动IP注册请求,并在438中将认证响应发送到归 属代理。具体而言,如上所述,当CHAP挑战和响应被提供给AAA服务 器时,AAA服务器基于与CHAP挑战和响应相关的共享密码使用该信息 来认证移动节点。
归属代理在440中向PDSN发送移动IP注册答复。隧道随后在442中 在归属代理和PDSN之间建立。另外,隧道还在444中在PDSN和节点之 间建立。
图5是例示了根据本发明的第二实施例PDSN使用PDSN服务器生成 的CHAP挑战和响应来执行代理移动IP注册的方法的处理流程图。步骤 414-420如上面参考图4所提出的那样被执行以建立PPP会话。
当标识节点的认证请求如上面参考步骤422-444所描述的那样被发送 时,HAAA服务器访问节点的配置文件以验证该节点是代理移动IP用 户。更具体而言,HAAA服务器在502中从其节点配置文件中获得该节点 的密码。HAAA服务器随后在504中将包含节点的密码的认证响应发送到 LAAA服务器。例如,密码可以认证响应的属性的形式被提供。LAAA服 务器随后在506中将认证响应转发到PDSN。
在本例中,HAAA服务器从服务器维护的节点配置文件中获得节点的 密码。但是,要注意,单个AAA服务器(例如,LAAA服务器)可认证 节点而不联系另一个AAA服务器(例如,HAAA服务器)。因此, LAAA服务器或者HAAA服务器可从其节点配置文件中获得节点的密码。 认证请求和响应可根据诸如RADIUS或TACACS+之类的AAA协议来发 送,如上所述。
当包含密码的认证响应被PDSN接收时,PDSN在508中生成CHAP 挑战和响应。具体而言,PDSN通过认证响应获得密码。另外,PDSN生 成CHAP挑战。例如,CHAP挑战可经由随机数发生器生成。PDSN随后 通过密码和CHAP挑战生成CHAP响应。例如,CH入P响应可通过使用 MD-5获得CHAP的挑战和密码的散列来生成。PDSN随后基于PDSN生成的CHAP挑战和响应代表节点构造注册请 求,且该节点向归属代理的注册如上面参考步骤432-444所描述的那样被 完成。
上述实施例实现了对于不支持CHAP的节点的代理移动IP注册。这 是通过由诸如AAA服务器或PDSN之类的实体生成CHAP挑战和响应来 完成的。 一旦CHAP挑战和响应生成,PDSN便可代表移动节点生成包含 CHAP挑战和响应的注册请求。
本发明还可实现为计算机可读介质上的计算机可读代码。计算机可读 介质是能够存储此后被计算机系统读取的数据的任何数据存储设备。计算 机可读介质的示例包括只读存储器、随机存取存储器、CD-ROM、磁带和 光数据存储设备。
本发明的装置(例如,移动节点、归属代理、外地代理或PDSN)可 专门为所需目的构建,或者可以是由存储器中存储的计算机程序选择性激 活或重新配置的通用可编程机器。此处展示的过程不与任何特定路由器或 其他装置内在相关。在优选实施例中,本发明的归属代理的任一个可以是 专门配置的路由器,如加州圣何塞的思科系统公司有售的特制路由器型号 1700、 1800、 2500、 2600、 3200、 3600、 4000、 4500、 4700、 7200和 7500。用于这些机器的某些的通用结构从下面给出的描述中可见。
一般地,本发明的技术可在软件和/或硬件上实施。例如,它可以在操 作系统内核中、单独的用户进程中、捆绑到网络应用的库程序包中、专门 构建的机器上或网络接口卡上实施。在本发明的具体实施例中,本发明的 技术在诸如操作系统之类的软件中或在操作系统上运行的应用程序中实 施。
本发明的软件或软/硬件混合系统优选地在由存储器中存储的计算机程 序选择性激活或重新配置的通用可编程机器上实施。这类可编程机器可以 是设计为处理网络流量的网络设备。这类网络设备通常具有多个网络接 口,例如包括帧中继、ISDN和无线接口。这类网络设备的具体示例包括 路由器和交换机。例如,本发明的漫游系统可以是专门配置的路由器,如 加州圣何塞的思科系统公司有售的特制路由器型号350、 1100、 1200、1400、 1600、 2500、 2600、 3200、 3600、 4500、 4700、 7200、 7500 和12000。用于这些机器的某些的一般结构从下面给出的描述中可见。在 替代实施例中,注册系统可在诸如个人计算机或工作站之类的通用网络主 机上实施。另外,本发明可以至少部分地在用于网络设备或通用计算机设 备的卡(例如接口卡)上实施。
现在参考图6,适合实施本发明的路由器1110包括主中央处理单元 (CPU) 1162、接口 1168和总线1115 (例如,PCI总线)。当在适当的 软件或固件的控制下运行时,CPU 1162负责诸如路由表计算和网络管理之 类的路由任务。它还可负责更新移动性绑定和访问者表等。其最好在包含 操作系统(例如,思科系统公司的Internetwork操作系统(IOS ))和任 何适当的应用软件在内的软件的控制下完成所有这些功能。CPU 1162可包 括一个或多个处理器1163,如来自摩托罗拉微处理器家族或MIPS微处理 器家族的处理器。'在替代实施例中,处理器1163是用于控制路由器1110 的操作的专门设计的硬件。在具体实施例中,存储器1161 (如非易失性 RAM和/或ROM)也形成CPU 1162的一部分。但是,存在很多不同的方 式可以将存储器耦合到系统上。
接口 1168通常被提供为接口卡(有时称为"线卡")。 一般地,它 们控制数据分组在网络上的发送和接收,有时支持与路由器1110 —起使 用的其他外设。可提供的接口有以太网接口、帧中继接口、有线接口、 DSL接口、令牌环接口等等。另外,可提供各种甚高速的接口,如快速令 牌环接口、无线接口、以太网接口、千兆以太网接口、 ATM接口、 HSSI 接口、 POS接口、 FDDI接口等等。 一般地,这些接口可包括适合于通过 适当介质进行通信的端口。在某些情况下,它们还可包括独立处理器,在 某些情况下包括非易失性RAM。独立处理器可控制诸如分组交换、介质 控制和管理之类的通信密集型任务。通过为通信密集型任务提供单独的处 理器,这些接口允许主微处理器1162有效地执行路由计算、网络诊断、 安全功能等。
虽然图6所示系统是本发明的一个具体路由器,但它绝不是可以实施 本发明的唯一路由器结构。例如,经常使用具有处理通信及路由计算等的单个处理器的结构。另外,还可与路由器一起使用其他类型的接口和介 质。
不论网络设备的配置如何,它都可采用被配置为存储用于通用网络操 作的程序指令和用于此处描述的认证和注册功能的机制的一个或多个存储 器或存储模块(包括存储器1161)。程序指令例如可控制操作系统和/或 一个或多个应用程序的操作。 一个或多个存储器还可被配置为存储表格, 如移动性绑定、注册和关联表等。
因为这类信息和程序指令可用来实施此处描述的系统/方法,所以本发 明涉及包含用于执行此处描述的各种操作的程序指令、状态信息等的机器 可读介质。机器可读介质的示例包括但不限于诸如硬盘、软盘和磁带之类 的磁介质;诸如CD-ROM光盘之类的光介质;诸如可光读的软盘之类的 磁光介质;以及专门用于存储和执行程序指令的硬件设备,如只读存储设 备(ROM)和随机存取存储器(RAM)。本发明还可实现为计算机可读 介质,在该介质中载波通过诸如无线电、光线、电线等之类的适当介质传 播。程序指令的示例包括诸如可由编译器生成的机器代码,以及包含可由 计算机利用解释器运行的较高层代码的文件。
虽然出于理解清楚的目的在一定细节上描述了前述发明,但是很明显 在所附权利要求的范围内可进行某些修改和变更。另外,虽然所描述的示 例主要参考IPv4,但是本发明可与其他版本的IP—起使用。另外,虽然 本说明书参考代理移动IP在PDSN中的实现,但是公开的实施例还可在外 地代理、接入点或其他实体中实现。于是,公开的实施例不一定要在 CDMA2000网络中执行。因此,所述实施例应被视作说明性而非限制性 的,且不应将本发明限制在此处给出的细节上,而应由所附权利要求及其 等同物的全部范围来限定。
权利要求
1. 一种AAA服务器中的认证节点的方法,包括接收标识节点的请求消息,所述请求消息是AAA格式的;获得与所述节点相关的密码;生成CHAP挑战;根据所述密码和所述CHAP挑战生成CHAP响应;以及向网络设备发送AAA格式的、指示所述CHAP挑战和所述CHAP响应的回复消息,从而使所述网络设备能够生成包含所述CHAP挑战和所述CHAP响应的移动IP注册请求。
2. 如权利要求1所述的方法,还包括和所述密码相关联地存储所述CHAP挑战和所述CHAP响应。
3. 如权利要求1所述的方法,其中所述请求消息是RADIUS接入请 求,且所述回复消息是RADIUS接入回复。
4. 如权利要求1所述的方法,其中所述节点不支持CHAP协议。
5. 如权利要求1所述的方法,其中所述节点支持PAP协议。
6. 如权利要求1所述的方法,其中所述AAA服务器位于所述网络设 备所处的本地网络中。
7. 如权利要求1所述的方法,其中所述AAA服务器位于所述节点的 归属网络中。
8. —种网络设备中的代表节点构造移动IP支持请求的方法,包括向AAA服务器发送标识节点的请求消息,所述请求消息是AAA格式的;接收AAA格式的、指示CHAP挑战和CHAP响应的回复消息; 从所述回复消息获得所述CHAP挑战和所述CHAP响应;以及 基于所述CHAP挑战和所述CHAP响应构造移动IP注册请求消息。
9. 如权利要求8所述的方法,其中所述请求消息是RADIUS接入请 求,且所述回复消息是RADIUS接入回复。
10. 如权利要求8所述的方法,其中所述节点不支持CHAP协议。
11. 如权利要求8所述的方法,其中所述节点支持PAP协议。
12. 如权利要求8所述的方法,其中所述AAA服务器位于所述网络设 备所处的本地网络或所述节点的归属网络中。
13. 如权利要求8所述的方法,其中所述回复消息包括所述CHAP挑 战和所述CHAP响应。
14. 一种AAA服务器中的认证节点的方法,包括 接收标识节点的请求消息,所述请求消息是AAA格式的; 获得与所述节点相关的密码;以及向PDSN或外地代理发送AAA格式的、包含所述密码的回复消息, 从而使PDSN或外地代理能够使用所述密码生成CHAP响应,以用于生成 包含所述CHAP响应和由所述PDSN或所述外地代理生成的CHAP挑战的 移动IP注册请求。
15. 如权利要求14所述的方法,其中所述请求消息是RADIUS接入请 求,且所述回复消息是RADIUS接入回复。
16. 如权利要求14所述的方法,其中所述节点不支持CHAP协议。
17. 如权利要求14所述的方法,其中所述节点支持PAP协议。
18. 如权利要求14所述的方法,其中所述AAA服务器位于所述PDSN 或外地代理所处的本地网络中。
19. 如权利要求14所述的方法,其中所述AAA服务器位于所述节点 的归属网络中。
20. —种网络设备中的代表节点构造移动IP注册请求的方法,包括向AAA服务器发送标识节点的请求消息,所述请求消息是AAA格式的;接收回复消息,所述回复消息是AAA格式的且包含密码;从所述回复消息获得所述密码;生成CHAP挑战;根据所述密码和所述CHAP挑战生成CHAP响应;以及 基于所述网络设备生成的所述CHAP响应和'CHAP挑战构造所述移动 IP注册请求。
21. 如权利要求20所述的方法,其中所述请求消息是RADIUS接入请 求,且所述回复消息是RADIUS接入回复。
22. 如权利要求20所述的方法,其中所述节点不支持CHAP协议。
23. 如权利要求20所述的方法,其中所述节点支持PAP协议。
24. 如权利要求20所述的方法,其中所述AAA服务器位于所述网络 设备所处的本地网络或所述节点的归属网络中。
25. —种网络设备,适于代表节点构造移动IP注册请求,所述网络设 备包括用于向AAA服务器发送标识节点的请求消息的装置,所述请求消息 是AAA格式的;用于接收AAA格式的、指示CHAP挑战和CHAP响应的回复消息的 装置;用于从所述回复消息获得所述CHAP挑战和所述CHAP响应的装置;以及用于基于所述CHAP挑战和所述CHAP响应构造所述移动IP注册请 求消息的装置。
26. —种网络设备,适于代表节点构造移动IP注册请求,所述网络设 备包括处理器;以及存储器,所述处理器和存储器的至少一个适于向AAA服务器发送标识节点的请求消息,所述请求消息是AAA格式的;接收AAA格式的、指示CHAP挑战和CHAP响应的回复消息; 从所述回复消息中获得所述CHAP挑战和所述CHAP响应;以及 基于所述CHAP挑战和所述CHAP响应构造移动IP注册请求消息。
全文摘要
公开的实施例支持对于未实现CHAP的节点的代理移动IP注册。它是通过由AAA服务器或者诸如PDSN或外地代理之类的网络设备生成CHAP挑战和响应来部分地完成的。若CHAP挑战和响应由AAA服务器生成,则AAA服务器向网络设备提供CHAP挑战和响应。通过这种方式,网络设备可基于CHAP挑战和响应生成移动IP注册请求。
文档编号H04L9/32GK101305543SQ200680041553
公开日2008年11月12日 申请日期2006年11月6日 优先权日2005年11月7日
发明者巴哈斯卡·布帕拉姆, 温卡塔娜拉雅纳·穆帕拉, 阿什万·阿尼库玛·卡巴地, 阿尔吉亚·慕克吉 申请人:思科技术公司