保护代理移动互联网协议信令的方法、系统及装置的制作方法

专利名称：保护代理移动互联网协议信令的方法、系统及装置的制作方法
技术领域：
本发明涉及移动互联网协议(IP)技术，特别涉及保护代理移动IP(PMIP)信令的方法、系统及装置。
技术背景代理移动IP技术是在移动IP的基础上提出的，它的目的是为不支持移 动IP的终端也提供移动性管理服务，另外还可以减少空口信令的传递。图1 为现有技术保护PMIP信令系统的结构图，该系统主要包括移动IP代理、 家乡代理(HA, Home Agent)以及集中控制点，HA也可以称为本地移动 性锚点(LMA, Local Mobility Anchor ),以下为了描述方便用HA代替家 乡代理。其中，移动IP代理通常位于移动终端所在无线网络的接入实体上，代 替自身管理范围内的移动终端与HA进行移动IP信令交互，通常将移动IP 代理与HA之间交互的移动IP信令称为PMIP信令。移动终端与HA通过在 移动IP代理和HA间建立的数据隧道进行数据交互。移动IP代理与HA之间交互的PMIP信令需要被保护，现有技术中提供 的PMIP信令保护方法包括集中控制点根据获取的移动代理IP的根密钥(PMN-RK)、移动IP代 理的IP地址、HA的IP地址以及一个随机数计算出移动IP代理和HA之间 的共享密钥(PMN-HA)，并将该共享密钥连同HA的IP地址、移动终端 的标识信息(NAI)以及计算共享密钥所需的随机数一并发送给移动IP代理；移动IP代理用接收到的共享密钥对要发送给HA的PMIP信令进行保 护，对PMIP信令进行保护的具体实现为移动IP代理根据接收到的共享，将计算所得的信令摘要携带在PMIP信令中发送给HA, 在该PMIP信令中还包括移动终端的NAI、移动IP代理的IP地址以及计算 共享密钥所需的随机数；HA接收到来自移动IP代理的PMIP信令后，从该信令中获取相关参数， 采用与集中控制点相同的方法计算共享密钥，并用计算出的共享密钥对接收到的PMIP进行校验，具体的校验方法为利用计算出的共享密钥，采用与 移动IP代理相同的方法计算信令摘要，将计算所得的信令摘要与接收到的 PMIP信令携带的信令摘要进行比较，如果二者一致，则校验成功。在校验成功时，HA向移动IP代理发送PMIP信令，采用与移动IP代 理相同的方法对要发送的PMIP信令进行保护。同时，HA还传递通用路由 封装(GRE)的关键字(Key)给移动IP代理，在移动IP代理与HA之间 为移动终端建立一个独立的数据隧道，该隧道使用GRE封装，用Key标识。现有技术中提供的保护PMIP信令的方法给出了生成移动IP代理与HA 之间的共享密钥的方法，但未给出如何标识移动IP代理和HA为特定移动终端建立的安全关联的方法，这里的安全关联主要是指移动IP代理和HA 之间的共享密钥，还可以包括集中控制点与HA预先协商好的计算信令摘要 的算法等。因此，当移动IP代理和HA之间的共享密钥确定后，即二者之 间的安全关联确定后，HA再接收到来自移动IP代理的PMIP信令，对该 PMIP信令进行完整性校验前，需要根据移动IP代理的IP地址以及移动终 端的标识信息查找该PMIP信令对应的安全关联，这样的查找过程效率较低， 也不符合协议目前的规定。另外，现有技术中的保护PMIP信令的方法中并没有提供计算共享密钥 所需随机数的传递方式，并且现有的PMIP信令并不支持随机数的传递。发明内容有鉴于此，本发明实施例一方面提供了两种保护PMIP信令的方法；另 一方面还提供了三种保护保护PMIP信令的系统以及装置，完善了 PMIP信令的保护机制。本发明实施例的技术方案是这样实现的本发明实施例提供的第一种保护代理移动PMIP信令的方法，包括 计算移动ip代理和家乡代理HA的共享密钥； 生成唯一标识所述共享密钥的安全参数索引SPI;所述移动IP代理向所述HA发送PMIP信令，用所述共享密钥对该PMIP 信令进行完整性保护，将所述SPI携带在该PMIP信令中发送给所述HA;所述HA接收所述PMIP信令，采用与计算所述共享密钥相同的方法计 算共享密钥，利用计算所得的共享密钥校验所述PMIP信令的完整性，在校 验成功时，保存计算所得的共享密钥和所述SPI;所述HA向所述移动IP代理回送PMIP信令，用计算所得的共享密钥对 该PMIP信令进行完整性保护，并将所述SPI携带在该PMIP信令中。本发明实施例提供的第二种保护代理移动PMIP信令的方法，包括移动IP代理接收或主动获取集中控制点计算的所述移动IP代理和家乡 代理HA的共享密钥，向所述HA发送PMIP信令，利用所述共享密钥对该 PMIP信令进行保护，在该信令中携带设定的触发SPI分配的固定标识；所述HA接收来自所述移动IP代理的PMIP信令，采用与所述集中控制 点相同的方法计算共享密钥，利用计算所得的共享密钥校验接收到的PMIP 信令的完整性，在校验成功时，生成唯一标识所述共享密钥的SPI;将所述 SPI携带在PMIP信令中发送给所述移动IP代理，用计算所得的共享密钥对 该PMIP信令进行保护；所述移动IP代理接收来自所述HA的PMIP信令，利用所述共享密钥校 验该信令的完整性，在校验成功时，保存所述SPI。本发明实施例提供的第一种保护PMIP信令的系统，包括集中控制点，用于计算移动IP代理和家乡代理HA之间的共享密钥，生成唯一标识所述共享密钥的安全参数索引SPI;所述移动IP代理，用于接收所述集中控制点发送的或主动从所述集中控制点获取所述共享密钥和SPI,利用所述共享密钥对要发送给所述HA的 PMIP信令进行完整性保护，在所述PMIP信令中携带所述SPI;
所述HA,用于接收所述PMIP信令，采用与集中控制点相同的方法计 算共享密钥，利用计算所得的共享密钥校验接收到的PMIP信令的完整性， 在校验成功时，保存计算所得的共享密钥和所述PMIP信令携带的SPI。
本发明实施例提供的一种集中控制点，包括
共享密钥计算单元，用于计算移动IP代理和HA之间的共享密钥； SPI生成单元，用于利用随机数生成器生成，或利用选定参数计算生成
唯一标识所述共享密钥的SPI。
本发明实施例提供的第二种保护PMIP信令的系统，包括 集中控制点，用于计算移动IP代理和家乡代理HA之间的共享密钥； 所述移动IP代理，用于获取所述共享密钥，生成唯一标识所述共享密
钥的SPI，利用所述共享密钥对要发送给所述HA的PMIP信令进行完整性
保护，在所述PMIP信令中携带所述SPI;
所述HA，用于接收所述PMIP信令，采用与集中控制点相同的方法计
算共享密钥，利用计算所得的共享密钥校验接收到的PMIP信令的完整性，
在校验成功时，保存计算所得的共享密钥和所述PMIP信令携带的SPI。 本发明实施例提供的第一种移动IP代理，包括
共享密钥获取单元，用于接收所述集中控制点发送的共享密钥，或从所 述集中控制点主动获取所述共享密钥；
SPI生成单元，用于利用随机数生成器生成，或利用选定参数计算生成 唯一标识所述共享密钥的SPI;
信令发送单元，用于向所述HA发送PMIP信令，用所述共享密钥对所 述PMIP信令进行完整性保护，在所述PMIP信令中携带所述SPI生成单元 生成的SPI。
本发明实施例提供的第三种保护代理移动PMIP信令的系统，包括
集中控制点，用于计算移动IP代理和家乡代理H A之间的共享密钥；移动IP代理，用于获取所述共享密钥，向HA发送PMIP信令，利用所 述共享密钥对该PMIP信令进行完整性保护，在该PMIP信令中携带设定的 触发SPI分配的固定标识；接收来自所述HA的PMIP信令，利用所述共享 密钥校验接收到的PMIP信令的完整性，在校验成功时，从接收到的PMIP 信令中获取所述HA分配的SPI;
所述HA,用于接收来自所述移动IP代理的PMIP信令，采用与集中控 制点相同的方法计算共享密钥，利用计算所得的共享密钥校验接收到的 PMIP信令的完整性，在校验成功时，生成唯一标识所述共享密钥的SPI; 将所述SPI携带在PMIP信令中发送给所述移动IP代理，用计算所得的共享 密钥对要发送给所述移动IP代理的PMIP信令进行完整性保护。
本发明实施例提供的一种家乡代理，包括
信令收发单元，用于接收来自移动IP代理的PMIP信令；将SPI生成 单元生成的SPI携带在PMIP信令中发送给所述移动IP代理，用校验单元计 算所得的共享密钥对要发送给所述移动IP代理的PMIP信令进行完整性保 护；
校验单元，采用与集中控制点相同的方法计算共享密钥，利用计算所得 的共享密钥校验接收到的PMIP信令的完整性；
所述SPI生成单元，用于在所述校验单元校验成功时，利用随机数生成 器生成，或利用选定参数计算生成唯一标识所述共享密钥的SPI。
本发明实施例提供的第二种移动IP代理，包括
共享密钥获取单元，用于接收集中控制点发送的或从所述集中控制点主 动获取该移动IP代理与HA的共享密钥；
SPI分配触发单元，用于向所述HA发送PMIP信令，用所述共享密钥 对该PMIP信令进行完整性保护，在该PMIP信令中携带设定的触发SPI分 配的固定标识；
校验及SPI获取单元，用于接收来自HA的PMIP信令，利用所述共享 密钥校验该信令的完整性，在校验成功时，从接收到的PMIP信令中获取所述HA分配的唯一标识所述共享密钥的SPI。
本发明实施例提供的第一种保护PMIP信令的方法，由集中控制点或移
动IP生成唯一标识移动IP代理与HA的共享密钥的SPI,由移动IP代理通 过PMIP信令将其传送给HA; HA采用与计算所述共享密钥相同的方法计算 密钥，对接收到的PMIP信令的完整性校验成功时，保存计算所得的密钥和 SPI。这样移动IP代理和HA为特定移动终端建立的包括共享密钥等的安全 关if关，就可以用SPI来唯一标识，从而完善了 PMIP信令的保护机制。
本发明实施例提供的第二种保护PMIP信令的方法，HA接收到来自移 动IP代理的携带了触发SPI分配的固定标识的PMIP信令时，采用与集中控 制点相同的方法计算密钥，利用计算所得的密钥校验接收到的PMIP信令的 完整性成功时，生成唯一标识所述共享密钥的SPI;将所述SPI携带在PMIP 信令中发送给所述移动IP代理。这样，移动IP代理和HA为特定移动终端 建立的包括共享密钥等的安全关联，就可以用SPI来唯一标识，从而完善了 PMIP信令的保护机制。
本发明实施例提供的三种保护PMIP信令的系统，分别实现了由集中控 制点生成、由移动IP代理和由HA生成唯一标识共享密钥的SPI的方法， 因此这三种保护PMIP信令的系统能够达到完善PMIP信令的保护机制的发 明目的。
本发明实施例提供的一种移动IP代理、HA以及集中控制点，可以生成 唯一标识共享密钥的SPI，因此能够达到完善PMIP信令的保护机制的发明 目的。
本发明实施例提供的第二种移动IP代理能够触发并获取HA为共享密 钥分配的唯一标识SPI，因此能够达到完善PMIP信令的保护机制的发明目 的。


图1为现有技术保护PMIP信令系统的结构图；图2为本发明保护PMIP信令的方法实施例一的流程图； 图3为本发明保护PMIP信令的方法实施例二的流程图； 图4为本发明保护PMIP信令的方法实施例三的流程图 图5为本发明保护PMIP信令的方法实施例四的流程图； 图6为本发明保护PMIP信令的方法实施例五的流程图； 图7为本发明保护PMIP信令的方法实施例六的流程图； 图8为本发明保护PMIP信令的系统实施例一的结构示意图； 图9为本发明保护PMIP信令的系统实施例二的结构示意图； 图10为本发明保护PMIP信令的系统实施例三的结构示意图。
具体实施例方式
为使本发明的目的、技术方案和有益效果更加清楚明白，下面结合实施 例和附图，对本发明做进一步地详细说明。
本发明实施例中提供的第一种保护PMIP信令的方法，包括
集中控制点计算移动IP代理和HA的共享密钥；生成唯一标识该共享 密钥的SPI;移动IP代理向HA发送PMIP信令，用所述共享密钥对该PMIP 信令进行完整性保护，将所述SPI携带在该PMIP信令中发送给HA; HA接 收来自移动IP代理的PMIP信令，采用与集中控制点相同的方法计算共享 密钥，利用计算所得的共享密钥校验接收到的PMIP信令的完整性，在校验 成功时，保存计算所得的共享密钥和接收到的PMIP信令中携带的SPI; HA 向移动IP代理回送PMIP信令，用计算所得的共享密钥对该PMIP信令进行 完整性保护，并将唯一标识该共享密钥的SPI携带在该PMIP信令中。
本发明实施例中，唯一标识共享密钥的SPI可以由集中控制点生成，也 可以由移动IP代理生成。
生成唯一标识所述共享密钥的SPI的方法可以为集中控制点利用随机 数生成器生成，或利用选定的参数生成唯一标识共享密钥的SPI。当SPI由 集中控制点生成时，该方法还包括移动IP代理接收，或主动获取集中控制点计算所得的共享密钥和唯 一 标识该共享密钥的S PI 。
还可以为移动IP代理接收到集中控制点发送的或主动从集中控制点
获取到共享密钥时，利用随机数生成器生成，或利用选定的参数生成唯一标
识所获取的共享密钥的SPI。
利用选定参数计算生成SPI时，选定参数可以包括随机数、和/或所 述HA的IP地址、和/或所述移动IP代理的IP地址、和/或4艮SPI值、和/ 或代理移动IP的根密钥等。计算SPI所需的参数并没有特定要求，只要保 证计算所得的SPI可以唯一标识共享密钥即可。
本发明实施例提供的第二种保护PMIP信令的方法，包括
移动IP代理接收或主动获取集中控制点计算的移动IP代理和HA的共 享密钥，向HA发送PMIP信令，利用获取的共享密钥对该PMIP信令进行 保护，在该信令中携带设定的触发SPI分配的固定标识；
HA接收到来自移动IP代理的PMIP信令后，采用与集中控制点相同的 方法计算共享密钥，利用计算所得的共享密钥校验接收到的PMIP信令的完 整性，在校验成功时，生成唯一标识该共享密钥的SPI;将生成的SPI携带 在PMIP信令中发送给移动IP代理；
移动IP代理接收来自HA的PMIP信令后，利用获取的共享密钥校验该 信令的完整性，在校验成功时，保存该PMIP信令携带的SPI。
较佳地，设定的触发SPI分配的固定标识可以为设定的触发SPI分配 的固定值的SPI。
生成唯一标识共享密钥的SPI的方法可以为HA利用随机数生成器生 成，或利用选定的参数计算生成唯一标识共享密钥的SPI;
利用选定的参数计算生成SPI时，所述选定的参数可以包括随机数、 和/或HA的IP地址、和/或移动IP代理的IP地址、和/或根SPI值、和/或 代理移动IP的根密钥。
本发明实施例提供的上述两种方法中，当HA对接收到的PMIP信令校 验成功时，这两种方法还包括HA创建移动IP代理与自身之间的数据隧道；如果该数据隧道的生命期到达，需要重新创建该数据隧道时，HA与
移动IP代理交互的PMIP信令采用所述共享密钥进行保护，并在交互的PMIP 信令中携带唯一标识该共享密钥的SPI。
集中控制点可以利用随机数以及其它选定参数计算移动IP代理和家乡 代理HA的共享密钥，这里的其它选定参数可以包括代理移动IP的根密 钥、移动IP代理的IP地址、HA的IP地址。
为了使得HA获得集中控制点计算共享密钥所需的随机数，移动IP代 理接收集中控制点发送的或主动获取集中控制点计算共享密钥所需的随机 数后，将该随机数携带在PMIP信令中发送给HA。
这里，将计算共享密钥所需的随机数携带在PMIP信令中的方法可以为 将该随机数携带在PMIP信令现有的字段，或新扩展的字段中。
如果将该随机数携带在PMIP信令现有的字段中时，现有字段可以选 Identification字段。
另外，如果采用随机数生成器生成唯一标识共享密钥的SPI，或利用随 机数计算生成SPI,则集中控制点计算共享密钥所需的随机数可以直接由生 成的SPI充当。
本发明实施例中，移动IP代理可以是移动性代理(MPA， Mobility Proxy Agent)，或^理移动实体(PMA， Proxy Mobile Agent)，或CDMA演进 网纟各的演进基站(eBS， evolved Base Station )、或4妄入网关(AGW, Access Gateway)。因为，这些实体均可以替代移动终端发送移动IP消息。集中控 制点可以为CDMA演进网络的信令无线网络控制器(SRNC， Signaling Radio Network Controller )或者AGW。 HA可以为CDMA演进网络中的AGW。
图2为本发明保护PMIP信令的方法实施例一的流程图，该实施例中移 动IP代理和HA间的共享密钥和唯一标识该共享密钥的SPI由集中控制点 计算生成。该流程包括
步骤201，集中控制点计算生成移动IP代理与HA间的共享密钥，同时 生成唯一标识该共享密钥的SPI。
16集中控制点在计算所述共享密钥和SPI时，参与计算的参数可以包括 代理移动IP的根密钥、移动IP代理的IP地址、HA的IP地址以及随才几数 等。计算共享密钥或SPI的方法可以为利用哈西函数等单项函数将选定的 用于计算共享密钥或SPI的所有参数生成一个固定位数的值。同时，集中控 制点需要保证计算出的SPI能够唯一地标识移动IP代理和HA的共享密钥， 即保证SPI能够唯一标识移动IP代理和HA为特定移动终端建立的安全关联。步骤202，集中控制点将计算所得的共享密钥和SPI传递给移动IP代理。 步骤203,移动IP代理向HA发送PMIP信令，在该信令中携带SPI以及HA计算共享密钥所需要的参数，并用集中控制点计算的共享密钥保护该信令。本步骤以及下面的实施例中，用共享密钥对要发送的PMIP信令进行保 护的具体实现方法为根据接收到的共享密钥计算信令摘要，将计算所得的 信令摘要携带在要发送的PMIP信令中。步骤204, HA接收到来自移动IP代理的PMIP信令后，从该信令中获 得必要的参数，用与集中控制点相同的方法计算共享密钥，用计算所得的共 享密钥校验接收到的PMIP信令的完整性，如果成功，则为移动终端建立移 动IP代理和HA之间的数据隧道，并且保存接收到的PMIP信令种携带的 SPI。HA在保存SPI前，还可以用与集中控制点相同的计算SPI的方法对SPI 的有效性进行验证。步骤205， HA向移动IP代理发送PMIP信令，该信令使用计算所得的 HA与移动IP代理间的共享密钥进行保护，并且将唯一标识该共享密钥的 SPI携带在PMIP信令中。后续HA和移动IP代理交互的PMIP信令可继续使用上述的共享密钥和 SPI进行保护。具体为如果移动IP代理与HA为特定移动终端建立的数据隧道的生命期到达，需要重新创建该数据隧道时，不需要重新计算共享密钥和生成唯一标识共享密钥的SPI， HA与移动IP ^U里交互的PMIP l言令仍采 用原来的共享密钥进行保护，并在交互的PMIP信令中携带唯一标识原来的 共享密钥的SPI。图3为本发明保护PMIP信令的方法实施例二的流程图，该实施例中移 动IP代理和HA间的共享密钥由集中控制点计算生成，SPI由移动IP代理 计算生成。该流程包括步骤301，集中控制点计算生成移动IP代理与HA间的共享密钥。集中控制点在计算所述共享密钥时，参与计算的参数可以包括代理移 动IP的根密钥，移动IP代理的IP地址，HA的IP地址以及随机数等。步骤302，集中控制点将计算所得的共享密钥传递给移动IP代理，如 果随机数参与了共享密钥的计算，则同时将随机数发送给移动IP代理。步骤303，移动IP代理计算唯一标识接收到的共享密钥的SPI，参与计 算的参数可以包括代理移动IP与HA间的共享密钥，移动IP代理的IP 地址，HA的IP地址、根SPI值以及随机数等。计算共享密钥和移动IP代理计算SPI所采用的随机数可以相同，也可 以不同。步骤304，移动IP代理向HA发送PMIP信令，在该信令中携带SPI以 及HA计算密钥所需要的参数，并用移动IP代理与HA间的共享密钥保护 该信令。步骤305， HA接收到来自移动IP代理的PMIP信令后，从该信令中获 得必要的参数，用与集中控制点相同的方法计算共享密钥，用计算所得的共 享密钥校验接收到的PMIP信令的完整性，如果校验成功，则为移动终端建 立移动IP代理和HA之间的数据隧道，并且保存接收到的PMIP信令中携带 的SPI。如果需要，HA在保存所述SPI前，还可以用与移动IP代理相同的方法 验证SPI。步骤306， HA向移动IP代理发送PMIP信令，该信令也使用HA与移 动IP代理间的共享密钥进行保护，并且该信令中携带唯一标识该共享密钥 的SPI。后续的PMIP信令交互可继续使用上述的共享密钥和SPI。具体为如 果移动IP代理与HA为特定移动终端建立的数据隧道的生命期到达，需要 重新创建该数据隧道时，不需要重新计算共享密钥和生成唯一标识共享密钥 的SPI, HA与移动IP代理交互的PMIP信令仍采用原来的共享密钥进行保 护，并在交互的PMIP信令中携带唯一标识原来的共享密钥的SPI。图4为本发明保护PMIP信令的方法实施例三的流程图，该实施例中移 动IP代理和HA间的共享密钥由集中控制点计算生成。初始PMIP信令中的 SPI z使用固定值，该固定值的SPI用来触发HA分配唯一标识HA与移动IP 代理之间的共享密钥的SPI 。该流程包括步骤401,集中控制点计算生成移动IP代理与HA间的共享密钥。集中控制点在计算所述共享密钥时，参与计算的参数可以包括代理移 动IP的根密钥，移动IP代理的IP地址，HA的IP地址以及随机数等。步骤402,集中控制点将计算所得的共享密钥传递给移动IP代理，如 果计算共享密钥时采用的随机数，还需要将随机数传递给移动IP代理。步骤403,移动IP代理向HA发送PMIP信令，该信令用移动IP代理 与HA间的共享密钥保护，同时携带一个固定值的SPI，用于触发HA进行 SPI分配。这里，该用于触发HA进行SPI分配的固定值的SPI为预先设定的，是 HA与移动IP代理预先协商好的。当然，也可以设定其它的标识信息来触发 HA进行SPI分配。步骤404, HA在接收到来自移动IP代理的PMIP信令后，从该信令中 获得必要的参数，用与集中控制点相同的方法计算共享密钥，用计算所得的 共享密钥校验接收到的PMIP信令的完整性，如果校验成功，则为移动终端 建立移动IP代理和HA之间的数据隧道，并且HA为计算所得的共享密钥分配一个SPI,这个SPI具有唯一性，能唯一标识该共享密钥所属的安全关 联。步骤405, HA向移动IP代理发送PMIP信令，该信令使用HA与移动 IP代理间的共享密钥进行保护，该信令中携带在步骤404所分配的SPI。步骤406，移动IP代理接收来自HA的PMIP信令，利用接移动IP代 理和HA之间的共享密钥校验该信令的完整性，在校验成功时，保存该PMIP 信令中携带的SPI。后续HA和移动IP代理交互的PMIP信令可继续使用集中控制点计算所 得的共享密钥进行完整性保护，并且在交互的PMIP信令中携带HA分配的 SPI。具体为如果移动IP代理与HA为特定移动终端建立的数据隧道的生 命期到达，需要重新创建该数据隧道时，不需要重新计算共享密钥和生成唯 一标识共享密钥的SPI， HA与移动IP代理交互的PMIP信令仍采用原来的 共享密钥进行保护，并在交互的PMIP信令中携带唯一标识原来的共享密钥 的SPI。图5为本发明保护PMIP信令的方法实施例四的流程图，该实施例中移 动IP代理和HA间的共享密钥以及SPI由集中控制点计算生成，计算时包 含了随机数。移动IP代理利用PMIP信令现有的字段向HA传递随机数。该 流禾呈包括步骤501，集中控制点为移动IP代理生成SPI,该SPI由随机数生成器 产生，或利用随机数和其它选定的参数计算生成。集中控制点要确保生成的 SPI在所服务的移动终端相关的所有SPI中的唯一性。集中控制点计算该移动IP代理与HA间的共享密钥，在计算共享密钥 时，参与计算的参数包括代理移动IP的根密钥、SPI、移动IP代理的IP 地址、以及HA的IP地址等。在这种情况下，由于SPI本身是随初4t,或 由随机数参与计算生成，因此集中控制点可以将SPI作为随机数参与共享密 钥的计算。步骤502，集中控制点将计算所得的共享密钥和生成的SPI传递给移动IP代理。步骤503，移动IP代理向HA发送PMIP信令，该信令用移动IP代理 与HA间的共享密钥保护，并且该信令包含唯一标识该共享密钥的SPI。步骤504， HA在接收到来自移动IP代理的PMIP信令后，从该信令中 获得必要的参数，包括SPI和移动IP代理的IP地址等信息，用与集中控制 点相同的方法计算共享密钥，用计算所得的共享密钥校验接收到的PMIP信 令的完整性，如果校验成功，则保存从PMIP信令中获取的SPI，并为移动 终端建立移动IP代理和HA之间的数据隧道。步骤505， HA向移动IP代理发送PMIP信令，该信令用HA与移动IP 代理间的共享密钥进行保护，并且该信令中携带唯一标识该共享密钥的SPI。图6和图7实施例以CDMA演进网络为例进行说明，其中eBS充当移 动IP代理，AGW充当HA， SRNC充当集中控制点。图6为本发明保护PMIP信令的方法实施例五的流程图，该流程包括步骤601， AT与eBSl建立连接，SRNC保存AT与eBSl间的会话信自步骤602， SRNC发起与AT的接入认证，认证服务器为AT归属网络 的AAA服务器；在接入认证过程中，SRNC和AGW从HAAA获得代理移 动IP的才艮密钥(PMN画RK, Proxy Mobile Node — Root Key )。步骤603, SRNC计算eBSl与AGW间的共享密钥PMN-HA1,将AGW 的IP地址，AT的NAI， PMN-HA1,以及随机数noncel携带在信令中发送 给eBSl。其中，PMN-HA1是SRNC根据PMN-RK、 eBSl的IP地址、AGW的 IP地址，以及nonce 1计算生成的。步骤604， eBSl将link ID发送给AT, Link ID表示了 AGW范围内链 路层的标识。步骤605， AT将LinkID传递给AT的IP层。步骤606， eBSl向AGW发送PMIP信令，eBSl用从SRNC获得的PMN-HA1对要发送的PMIP信令进行保护。具体的对PMIP信令进行保护的方式为eBSl将根据PMN-HA1计算的 信令摘要通过PMN-HA认证扩展(PMN-HA AE, PMN-HA Authentication Extension )字段携带。这里，PMN-HA AE字段中还包含了一个固定值的SPI, 用于触发AGW进行SPI分配。PMIP信令中还包括了 AT的标识信息(NAI )、 eBSl的IP地址以及nonce 1, nonce 1包含在Identification字段的低32bit中。步骤607, AGW接到来自eBSl的PMIP信令后，从Identification字段 中获取noncel,采用与SRNC相同的方法计算PMN-HA1 ，用PMN-HA 1对 PMIP信令进行完整性校验，如果校验成功，AGW为PMN-HAl分配一个唯 一的SPI,用这个SPI标识PMN-HA1所属的安全关4关。步骤608, AGW向eBSl发送PMIP信令，用PMN-HA 1对该信令进行 保护，认证扩展MN-HAAE字段中包含所分配的SPI。另外，AGW还会向 eBSl传递GRE的key,目的是为了在eBSl和AGW间为当前所服务的AT 建立一个独立的数据隧道，这个数据隧道使用GRE封装，用Key标识。步骤609, eBSl将AGW分配的GRE key通知给SRNC。步骤610, AT的IP层根据Link ID的值判断是否需要获取新的IP地址， 如果需要获取新的IP地址，则向AGW请求IP地址，AGW将分配的IP地 址发送给AT。每一个AT可能与多个eBS建立连接，当AT要同时与eBS2建立连接 时，执行步骤611至614。步骤611， AT将eBS2加入AT的路由集(route set)中，与eBS2建立 空口连接。eBS2通过与SRNC的交互，获得AGW的IP地址、GRE Key、 SRNC计算生成的eBS2与AGW之间的共享密钥PMN-HA2 、以及随机数这里，PMN-HA2与eBSl所使用的PMN-HA1密钥不同，PMN-HA2是 SRNC根据PMN-RK、 eBS2的IP地址、AGW的IP地址，以及nonce2计算 生成的。步骤612， eBS2向AGW发送PMIP信令，eBS2用从SRNC获得的 PMN-HA2保护该PMIP信令。PMIP信令中还包括AT的NAI,、 eBS2的IP 地址、GRE Key等，并且Identification字段中包含了 nonce2，认证扩展 MN-HA AE字段中携带固定值的SPI。步骤613, AGW接到来自eB2的PMIP信令后，从中提取nonce2，采 用与SRNC相同的方法计算PMN-HA2,用PMN-HA2对接收到的PMIP信 令进行完整性校验；如果校验成功，则分配唯一标识PMN-HA2所属的安全 关联的SPI。步骤614, AGW向eB2发送PMIP信令，用PMN-HA2对该信令进行 保护，认证扩展MN-HA AE字段中包含步骤613中分配的SPI。AGW不再分配新的GRE key,而是使用eBS2在PMIP信令中携带的 GRE key做为eBS2与AGW之间隧道的标识。AGW与eSB之间的每一个数据隧道都是有生命期的，当AGW与eBSl 为特定AT创建的数据隧道的生命期到达，需要重新创建相同的数据隧道时， AGW和eBSl可以通过以确定的共享密钥PMN-HAl对交互的PMIP信令进 行保护，并且在PMIP信令中携带确定的SPIl。 AGW和eBS2为特定AT 创建的数据隧道生命期到达时，同样可以利用已确定的PMN-HA2和SPI1 进4亍PMIP信令交互。在图6中，eBS通过PMIP信令向AGW传递计算共享密钥的随积4t时， 将随机数携带在PMIP信令中现有的indification字段中发送给AGW。在实 际应用中，eBS也可以通过在PMIP信令中扩展新的字段，如Nonce字段， 将随机数携带在新扩展的字段中发送给AGW。图7为本发明保护PMIP信令的方法实施例六的流程图，该实施例中SPI 充当随积4t。该流程包4舌步骤701, AT与eBSl建立连接，SRNC保存AT与eBSl间的会话信白步骤702, SRNC发起与AT的接入认证，认证服务器为AT归属网络的AAA服务器；在接入认证过程中，SRNC和AGW从HAAA获得代理移 动IP的PMN-RK。步骤703， SRNC将AGW的IP地址、AT的NAI、生成的SPI1以及利 用SPI1计算的PMN-HAl发送给eBSl。其中，SPI1是SRNC根据eBSl的IP地址、AGW的IP地址、以及一 个随机数计算生成的；PMN-HAl是SRNC根据PMN-RK和SPI1计算生成 的。步骤704， eBSl将link ID发送给AT, Link ID表示了 AGW范围内链 路层的标识；步骤705, AT将Link ID传递给AT的IP层。步骤706, eBSl向AGW发送PMIP信令，eBSl用从SRNC获得的 PMN-HAl保护该PMIP信令，PMIP信令中包含了 SPI1以及AT的NAI和 eBSl的IP地址。这里，具体的对PMIP信令进行保护的方式为eBSl将根据PMN-HAl 计算的信令摘要携带在PMN-HA AE字段中，PMN-HA AE中还包含了 SPI1 。步骤707, AGW接收到来自eBSl的PMIP信令后，从中获取SPIl,因 为AGW也具有PMN-RK，因此AGW采用与SRNC相同的方法计算 PMN-HAl ，用计算所得的PMN-HAl对消息进行校验。如果校验成功，保 存获取的SPI1。步骤708, AGW向eBSl发送PMIP信令，用PMN-HAl对该信令进行 保护，在PMN-HA AE字段中携带SPI1。另外AGW还会传递GRE的key 给eBSl，目的是为了在eBSl和AGW间为当前服务的AT建立一个独立的 数据隧道，这个数据隧道就使用GRE封装，用Key标识。步骤709, eBSl与SRNC进行交互，将AGW分配的GRE key通知给 SRNC。步骤710, AT的IP层根据Link ID的值判断是否需要获取新的IP地址， 如果需要获取新的IP地址，则向AGW请求IP地址，AGW将分配的IP地址发送给AT。每一个AT可能与多个eBS建立连接，当AT要同时与eBS2建立连接 时，执行步骤711至714。步骤711， AT将eBS2加入自身的路由集中，与eBS2建立空口连接。 eBS2通过与SRNC的交互，获得AGW的IP地址、GRE Key、 PMN-HA2、 以及利用随机数等参数生成的SPI2。其中，SPI2是SRNC根据eBS2的IP地址、AGW的IP地址、以及一 个随^L数计算生成的；PMN-HA2与eBSl所使用的PMN-HA1密钥不同， 是SRNC根据SPI2和PMN-RK计算生成的。步骤712， eBS2向AGW发送PMIP信令，eBS2用从SRNC获得的 PMN-HA2保护该信令，在PMN-HA AE字段中携带SPI2。 PMIP消息中还 包括AT的NAI、 eBS2的IP地址和GRE Key。步骤713， AGW接收到来自eBS2的PMIP信令后，从中获取SPI2，采 用与SRNC相同的方法计算PMN-HA2，用计算所得的PMN-HA2对PMIP 信令进行校验，如果校验成功，则保存获取的SPI2。步骤714， AGW向eBS2发送PMIP信令，用PMN-HA2对该信令进行 保护，在PMN-HA AE字段中携带SPI2。AGW不再分配新的GRE key,而是使用eBS2发送的PMIP信令中携带 的GRE key做为AGW与eBS2之间的数据隧道的标识。AGW与eSB之间的每一个数据隧道都是有生命期的，当AGW与eBSl 为特定AT创建的数据隧道的生命期到达，需要重新创建相同的数据隧道时， AGW和eBSl可以通过以确定的共享密钥PMN-HAl对交互的PMIP信令进 行保护，并且在PMIP信令中携带确定的SPIl。 AGW和eBS2为特定AT 创建的数据隧道生命期到达时，同样可以利用已确定的PMN-HA2和SPI1 进行PMIP信令交互。本发明实施例还提供了三种保护PMIP信令的系统。图8为本发明保护PMIP信令的系统实施例一的结构示意图。该系统包25括集中控制点，用于计算移动IP代理和家乡代理HA之间的共享密钥，生成唯一标识该共享密钥的SPI;移动IP代理，用于接收集中控制点发送的或主动从集中控制点获取所述共享密钥和SPI，利用获取的共享密钥对要发送给HA的PMIP信令进行 完整性保护，在要发送的PMIP信令中携带获取的SPI;HA,用于接收来自移动IP代理的PMIP信令，采用与集中控制点相同 的方法计算共享密钥，利用计算所得的共享密钥校验接收到的PMIP信令的 完整性，在校验成功时，保存计算所得的共享密钥和接收到的PMIP信令携 带的SPI。该系统的集中控制点包括共享密钥计算单元，用于计算移动IP代理和H A之间的共享密钥；SPI生成单元，用于利用随机数生成器生成，或利用选定参数计算生成 唯一标识共享密钥计算单元计算所得的共享密钥的SPI。该集中控制点还可以进一步包括信息发送单元，用于将共享密钥计算 单元计算所得的共享密钥和SPI生成单元生成的SPI发送给移动IP代理。如果SPI生成单元通过随机数生成器生成SPI，或利用随机数以及其它 选定参数计算生成SPI ，则该集中控制点中的共享密钥计算单元可以由随机 数获取单元和密钥计算单元组成。其中，随机数获取单元，用于从SPI生成单元获取生成的SPI;密钥计算单元，用于将随机数获取单元获取的SPI作为随机数计算移动 IP代理和HA之间的共享密钥。图9为本发明保护PMIP信令的系统实施例二的结构示意图。该系统包括集中控制点，用于计算移动IP代理和家乡代理HA之间的共享密钥； 移动IP代理，用于获取集中控制点计算的共享密钥，生成唯一标识该 共享密钥的SPI,利用该共享密钥对要发送给HA的PMIP信令进行完整性保护，在要发送的PMIP信令中携带生成的SPI;HA，用于接收来自移动IP代理的PMIP信令，釆用与集中控制点相同 的方法计算共享密钥，利用计算所得的共享密钥校验接收到的PMIP信令的 完整性，在校验成功时，保存计算所得的共享密钥和接收到的PMIP信令携 带的SPI。该实施例中，移动IP代理包括共享密钥获取单元，用于接收集中控制点发送的共享密钥，或从集中控 制点主动获取共享密钥；SPI生成单元，用于利用随机数生成器生成，或利用选定参数计算生成 唯一标识获取的共享密钥的SPI;信令发送单元，用于向HA发送PMIP信令，用所述共享密钥对要发送 的PMIP信令进行完整性保护，在要发送的PMIP信令中携带SPI生成单元 生成的SPI。图10为本发明保护PMIP信令的系统实施例三的结构示意图。该系统 包括集中控制点，用于计算移动IP代理和家乡代理HA之间的共享密钥；移动IP代理，用于获取集中控制点计算的共享密钥，向HA发送PMIP 信令，利用获取的共享密钥对该PMIP信令进行完整性保护，在该PMIP信 令中携带设定的触发SPI分配的固定标识；接收来自HA的PMIP信令，利 用获取的共享密钥校验接收到的PMIP信令的完整性，在校验成功时，从接 收到的PMIP信令中获取HA分配的唯一标识所述共享密钥的SPI;HA,用于接收来自移动IP代理的PMIP信令，采用与集中控制点相同 的方法计算共享密钥，利用计算所得的共享密钥校验接收到的PMIP信令的 完整性，在校验成功时，生成唯一标识该共享密钥的SPI;将该SPI携带在 PMIP信令中发送给移动IP代理，用计算所得的共享密钥对要发送给移动IP 代理的PMIP信令进行完整性保护。该实施例中，家乡代理HA包括信令收发单元，用于接收来自移动IP代理的PMIP信令；将SPI生成 单元生成的SPI携带在PMIP信令中发送给移动IP代理，用校验单元计算所 得的共享密钥对要发送给移动IP代理的PMIP信令进行完整性保护；校验单元，采用与集中控制点相同的方法计算共享密钥，利用计算所得 的共享密钥校验接收到的PMIP信令的完整性；SPI生成单元，用于在校验单元校验成功时，利用随机数生成器生成， 或利用选定参数计算生成唯一 标识所述共享密钥的SPI 。移动IP代理包括共享密钥获取单元，用于接收集中控制点发送的或从集中控制点主动获 取该移动IP代理与HA的共享密钥；SPI分配触发单元，用于向HA发送PMIP信令，用共享密钥获取单元 获取的共享密钥对该PMIP信令进行完整性保护，在该PMIP信令中携带设 定的触发SPI分配的固定标识；校验及SPI获取单元，用于接收来自HA的PMIP信令，利用共享密钥 获取单元获取的共享密钥校验该信令的完整性，在校验成功时，从接收到的 PMIP信令中获取HA分配的唯一标识所述共享密铜的SPI。由以上描述可见，本发明实施例中由集中控制点计算移动IP代理与HA 之间的共享密钥，由集中控制点或移动IP代理或HA生成唯一标识移动IP 代理与HA的共享密钥的SPI,采用集中控制点计算所得的共享密钥对移动 IP代理与HA交互的PMIP信令进行完整性保护，并且在PMIP信令中携带 生成的SPI,进而使得在安全关联确定后，HA再接收到来自移动IP代理的 PMIP信令时，可以根据SPI查找PMIP信令对应的安全关联，这样的查找 过程不仅效率高，而且符合协议目前的规定。因此，本发明实施例提供的保 护PMIP信令的方法完善了 PMIP信令的保护才几制。本发明实施例提供的三种保护PMIP信令的系统，分别实现了由集中控 制点生成、由移动IP代理和由HA生成唯一标识共享密钥的SPI的方法， 因此这三种保护PMIP信令的系统能够达到完善PMIP信令的保护机制的发本发明实施例提供的一种移动IP代理、HA以及集中控制点，可以生成 唯一标识共享密钥的SPI,因此能够达到完善PMIP信令的保护机制的发明 目的。本发明实施例提供的第二种移动IP代理能够触发并获取HA为共享密 钥分配的唯一标识SPI，因此能够达到完善PMIP信令的保护机制的发明目 的。综上所述，本发明实施例给出了生成SPI的方法，完善了PMIP信令的 保护机制，提高了 HA查找特定移动终端的安全关联的效率。另外，本发明 实施例还提供了集中控制点计算共享密钥所需随机数的传递方式，不仅进一 步完善了 PMIP信令的保护机制，而且对现有协议的影响很小。总之，以上所述仅为本发明的较佳实施例而已，并非用于限定本发明的 保护范围。凡在本发明的精神和原则之内，所作的任何修改、等同替换、改 进等，均应包含在本发明的保护范围之内。
权利要求
1、一种保护代理移动PMIP信令的方法，其特征在于，包括计算移动IP代理和家乡代理HA的共享密钥；生成唯一标识所述共享密钥的安全参数索引SPI；所述移动IP代理向所述HA发送PMIP信令，用所述共享密钥对该PMIP信令进行完整性保护，将所述SPI携带在该PMIP信令中发送给所述HA；所述HA接收所述PMIP信令，采用与计算所述共享密钥相同的方法计算共享密钥，利用计算所得的共享密钥校验所述PMIP信令的完整性，在校验成功时，保存计算所得的共享密钥和所述SPI；所述HA向所述移动IP代理回送PMIP信令，用计算所得的共享密钥对该PMIP信令进行完整性保护，并将所述SPI携带在该PMIP信令中。
2、 如权利要求1所述的方法，其特征在于，所述HA校验成功时，该 方法还包括所述HA创建所述移动IP代理与自身之间的数据隧道；如果所述数据隧道的生命期到达时，需要重新创建该数据隧道时，所述 HA与所述移动IP代理交互的PMIP信令釆用所述共享密钥进行保护，并在 交互的PMIP信令中携带所述SPI。
3、 如权利要求1所述的方法，其特征在于，所述生成唯一标识所述共 享密钥的SPI的方法为集中控制点利用随机数生成器生成，或利用选定的 参数生成唯一标识所述共享密钥的SPI，该方法还包括所述移动IP代理接收，或主动获取所述集中控制点计 算所得的共享密钥和所述SPI。
4、 如权利要求1所述的方法，其特征在于，所述生成唯一标识所述共 享密钥的SPI的方法为所述移动IP代理接收或主动获取到所述共享密钥 时，利用随机数生成器生成，或利用选定的参数生成唯一标识所述共享密钥 的SPI。
5、 如权利要求3或4所述的方法，其特征在于，所述选定的参数包括随机数、和/或所述HA的IP地址、和/或所述移动IP代理的IP地址、和/或才艮SPI值、和/或代理移动IP的根密钥。
6、 如权利要求1至4任一项所述的方法，其特征在于，所述计算共享 密钥的方法为集中控制点利用随机数以及其它选定参数计算移动IP代理 和家乡代理HA的共享密钥；该方法进一步包括所述移动IP代理接收，或主动获取所述集中控制 点计算所述共享密钥所需的随机数；所述移动IP代理将所述计算共享密钥的随机数携带在所述PMIP信令 中发送给所述HA。
7、 如权利要求6所述的方法，其特征在于，将计算所述共享密钥的随 机数携带在PMIP信令中的方法为将计算所述共享密钥的随机数携带在PMIP信令现有的字段，或新扩展 的字段中。
8、 如权利要求7所述的方法，其特征在于，当将计算所述共享密钥的 随机数携带在PMIP信令现有的字段中时，所述现有字段为Identification字段。
9、 如权利要求6所述的方法，其特征在于，当采用随机数生成器生成 或利用随机数计算生成唯一标识所述共享密钥的SPI时，所述集中控制点将 所述SPI作为随机数计算所述共享密钥。
10、 一种保护代理移动PMIP信令的方法，其特征在于，包括移动IP代理接收或主动获取集中控制点计算的所述移动IP代理和家乡 代理HA的共享密钥，向所述HA发送PMIP信令，利用所述共享密钥对该 PMIP信令进行保护，在该信令中携带设定的触发SPI分配的固定标识；所述HA接收来自所述移动IP代理的PMIP信令，采用与所述集中控制 点相同的方法计算共享密钥，利用计算所得的共享密钥校验接收到的PMIP 信令的完整性，在校验成功时，生成唯一标识所述共享密钥的SPI;将所述 SPI携带在PMIP信令中发送给所述移动IP代理，用计算所得的共享密钥对该PMIP信令进行保护；所述移动IP代理接收来自所述HA的PMIP信令，利用所述共享密钥校 验该信令的完整性，在校验成功时，保存所述SPI。
11、 如权利要求10所述的方法，其特征在于，所述HA校验成功时， 该方法还包括所述HA创建所述移动IP代理与自身之间的数据隧道；如果所述数据隧道的生命期到达时，需要重新创建该数据隧道时，所述 HA与所述移动IP代理交互的PMIP信令采用所述共享密钥进行保护，并在 交互的PMIP信令中携带所述SPI。
12、 如权利要求10或11所述的方法，其特征在于，所述设定的触发 SPI分配的固定标识为设定的触发SPI分配的固定值的SPI。
13、 如权利要求10所述的方法，其特征在于，生成唯一标识所述共享 密钥的SPI的方法为所述HA利用随机数生成器生成，或利用选定的参数 计算生成唯一标识所述共享密钥的SPI;所述选定的参数包括随机数、和/或所述HA的IP地址、和/或所述移 动IP代理的IP地址、和/或根SPI值、和/或代理移动IP的根密钥。
14、 如权利要求10或11所述的方法，其特征在于，所述集中控制点计 算共享密钥的方法为集中控制点利用随机数以及其它选定参数计算所述共 享密钥；该方法进一步包括所述移动IP代理接收，或主动获取所述集中控制 点计算所述共享密钥所需的随机数；所述移动IP代理将所述计算共享密钥的随机数携带在所述PMIP信令 中发送给所述HA。
15、 如权利要求14所述的方法，其特征在于，将计算所述共享密钥的 随机数携带在PMIP信令中的方法为将计算所述共享密钥的随机数携带在PMIP信令现有的字段，或新扩展的字段中。
16、 如权利要求15所述的方法，其特征在于，当将计算所述共享密钥的随机数携带在PMIP信令现有的字段中时，所述现有字段为Identification字段。
17、 如权利要求14所述的方法，其特征在于，当采用随机数生成器生 成或利用随机数计算生成唯一标识所述共享密钥的SPI时，所述集中控制点 将所述SPI作为随机数计算所述共享密钥。
18、 一种保护PMIP信令的系统，其特征在于，包括 集中控制点，用于计算移动IP代理和家乡代理HA之间的共享密钥，生成唯一标识所述共享密钥的安全参数索引SPI;所述移动IP代理，用于接收所述集中控制点发送的或主动从所述集中 控制点获取所述共享密钥和SPI，利用所述共享密钥对要发送给所述HA的 PMIP信令进行完整性保护，在所述PMIP信令中携带所述SPI;所述HA,用于接收所述PMIP信令，采用与集中控制点相同的方法计 算共享密钥，利用计算所得的共享密钥校验接收到的PMIP信令的完整性， 在校验成功时，保存计算所得的共享密钥和所述PMIP信令携带的SPI。
19、 一种集中控制点，其特征在于，包括共享密钥计算单元，用于计算移动IP代理和HA之间的共享密钥； SPI生成单元，用于利用随机数生成器生成，或利用选定参数计算生成 唯一标识所述共享密钥的SPI。
20、 如权利要求19所述的集中控制点，其特征在于，进一步包括信 息发送单元，用于将所述共享密钥和所述SPI发送给所述移动IP代理。
21、 如权利要求19所述的集中控制点，其特征在于，所述共享密钥计 算单元包括随机数获取单元，用于从所述SPI生成单元获取所述SPI，所述SPI通 过随机数生成器生成，或利用随机数计算生成；密钥计算单元，用于将所述SPI作为随机数计算所述移动IP代理和HA 之间的共享密钥。
22、 一种保护PMIP信令的系统，其特征在于，包括集中控制点，用于计算移动IP代理和家乡代理HA之间的共享密钥； 所述移动IP代理，用于获取所述共享密钥，生成唯一标识所述共享密钥的SPI，利用所述共享密钥对要发送给所述HA的PMIP信令进行完整性保护，在所述PMIP信令中携带所述SPI;所述HA，用于接收所述PMIP信令，采用与集中控制点相同的方法计算共享密钥，利用计算所得的共享密钥校验接收到的PMIP信令的完整性，在校验成功时，保存计算所得的共享密钥和所述PMIP信令携带的SPI。
23、 一种移动IP代理，其特征在于，包括共享密钥获取单元，用于接收所述集中控制点发送的共享密钥，或从所 述集中控制点主动获取所述共享密钥；SPI生成单元，用于利用随机数生成器生成，或利用选定参数计算生成 唯一标识所述共享密钥的SPI;信令发送单元，用于向所述HA发送PMIP信令，用所述共享密钥对所 述PMIP信令进行完整性保护，在所述PMIP信令中携带所述SPI生成单元 生成的SPI。
24、 一种保护代理移动PMIP信令的系统，其特征在于，包括 集中控制点，用于计算移动IP代理和家乡代理HA之间的共享密钥； 移动IP代理，用于获取所述共享密钥，向HA发送PMIP信令，利用所述共享密钥对该PMIP信令进行完整性保护，在该PMIP信令中携带设定的 触发SPI分配的固定标识；接收来自所述HA的PMIP信令，利用所述共享 密钥校验接收到的PMIP信令的完整性，在校验成功时，从接收到的PMIP 信令中获取所述HA分配的SPI;所述HA,用于接收来自所述移动IP代理的PMIP信令，采用与集中控 制点相同的方法计算共享密钥，利用计算所得的共享密钥校验接收至'j的 PMIP信令的完整性，在校验成功时，生成唯一标识所述共享密钥的SPI; 将所述SPI携带在PMIP信令中发送给所述移动IP代理，用计算所得的共享 密钥对要发送给所述移动IP代理的PMIP信令进行完整性保护。
25、 一种家乡代理，其特征在于，包括信令收发单元，用于接收来自移动IP代理的PMIP信令；将SPI生成 单元生成的SPI携带在PMIP信令中发送给所述移动IP代理，用校验单元计 算所得的共享密钥对要发送给所述移动IP代理的PMIP信令进行完整性保 护；校验单元，采用与集中控制点相同的方法计算共享密钥，利用计算所得 的共享密钥校验接收到的PMIP信令的完整性；所述SPI生成单元，用于在所述校验单元校验成功时，利用随机数生成 器生成，或利用选定参数计算生成唯一标识所述共享密钥的SPI。
26、 一种移动IP代理，其特征在于，包括共享密钥获取单元，用于接收集中控制点发送的或从所述集中控制点主 动获取该移动IP代理与HA的共享密钥；SPI分配触发单元，用于向所述HA发送PMIP信令，用所述共享密钥 对该PMIP信令进行完整性保护，在该PMIP信令中携带设定的触发SPI分 配的固定标识；校验及SPI获取单元，用于接收来自HA的PMIP信令，利用所述共享 密钥校验该信令的完整性，在校验成功时，从接收到的PMIP信令中获取所 述HA分配的唯一标识所述共享密钥的SPI。
全文摘要
本发明实施例公开了两种保护PMIP信令的方法，一种由集中控制点或移动IP代理生成唯一标识共享密钥的SPI，另一种由移动IP代理触发，由家乡代理HA生成唯一标识共享密钥的SPI。本发明实施例同时还提供了三种保护PMIP信令的系统，这三种系统分别实现了由集中控制点生成、由移动IP代理生成和由HA生成唯一标识共享密钥的SPI的方法。本发明实施例还公开了一种移动IP代理、一种集中控制点和一种家乡代理，能够生成唯一标识共享密钥的SPI。本发明实施例还公开了另一种移动IP代理，用于触发家乡代理生成唯一标识共享密钥的SPI。本发明实施例公开的方法、系统和装置能够完善PMIP信令的保护机制。
文档编号H04L29/06GK101325582SQ20071010672
公开日2008年12月17日 申请日期2007年6月15日 优先权日2007年6月15日
发明者刘继兴, 李志明, 洁 赵, 鑫 钟, 黄龙贵 申请人:华为技术有限公司