专利名称:微波存取全球互通移动IPv4中归属代理根密钥同步的方法
微波存取全球互通移动IPv4中归属代理根密钥同步的方法技术领域Access ,筒称WiMAX )通讯领域中移动IPv4接入时,核心网控制归属代理 根密钥(Home Agent Root Key,简称HA-RK)向终端注册的归属代理(Home Agent,简称HA )和外地代理(Foreign Agent,简称FA )同步的方法。
背景技术:
IETF的网络工作组在1996年IO月"R出了 RFC2002标准,其中较为详 细地阐述了移动IP的原理、实现以及各种细节问题。2003年,IETF颁布了 移动IPv4的新规范RFC3344,取代了 RFC2002。简单地讲,移动IP就是能 让移动节点在移动的同时不断开连接,并且还能正确收发数据包。在移动IPv4协议中,每一个移动节点(Mobile Node,简称MN)都有 一个唯一的归属地址,当移动节点(MN)移动时它的归属地址是不变的。 在归属网络链路上每一个移动节点还必须有一个归属代理(HA)来为它维 护当前的位置信息,这就需要引入转交地址。当移动节点(MN)连接到外 地网络链路上时,转交地址就用来标识移动节点(MN)现在所处的位置, 以便进行路由选择。移动节点(MN)的归属地址与当前转交地址的联合称 作移动绑定或简称绑定。当移动节点(MN)得到一个新的转交地址时,通过绑定向归属代理(HA)进行注册,以便让归属代理(HA)及时了解移动 节点(MN)的当前位置。移动节点(MN)的计算环境可能与普通计算环境非常不同。在很多情 况下,移动计算机将通过无线链路连接到网络。这样的链路很容易受被动的 窃听、主动的重放攻击和其他主动攻击所攻击。移动IPv4中的重要过程就 是注册过程,由此注册过程的认证扩展是必须要做的。移动IPv4的注册提供了一种灵活机制使移动节点把它们当前的可达性
信息传送到其家乡代理。移动节点(MN)使用的方法是 在访问外地网络时请求转发服务; 把它们当前的转交地址告知家乡代理(HA); 时间到,重新注册,和/或 在回到家乡时解除注册。
RFC中定义,每一个移动节点、外地代理和家乡代理必须能够支持移动 实体的移动安全联合,由它们的安全参数索引(Security Parameter Index,简 称SPI)和IP地址索引。在移动节点和其家乡代理之间的注册消息必须使用 Mobile-Home认证扩展(筒称MN-HA AE )进行认证。在移动节点和其外地 代理之间的Mobile-Foreign认证扩展(简称MN-FAAE)、外地代理和归属 代理之间Foreign-Home认证扩展(简称FA-HAAE)为可选。
WiMAX网络中移动IPv4就是采用RFC3344的架构,并明确要求在移 动IPv4中,MN-HA AE和FA-HA AE为必选,MN-FA AE为可选。
MN-HA和MN-FA鉴4又扩展密钥(简称MN-HA Key和MN-FA Key ) 是由扩展鉴权协议(Extensible Authentication Protocol,简称EAP )过程产生 的扩展主会话密钥(Extended Master Session Keys,简称EMSK )派生出来 的,因此MN-HA Key和MN-FA Key的有效期和EMSK相同,当MN接入 WiMAX网络做初始化EAP认证或重认证时,就会在MN侧和归属认证、 授权和计费(Home Authentication, Authorization, and Accounting, 简称 HAAA )服务器侧使用同样的算法和参数分别产生新的EMSK,并用此EMSK 产生新的MN-HA Key和外地代理根密钥(Foreign Agent Root Key,简称 FA-RK,是产生MN-FA Key根密钥),外地代理根密钥由HAAA在授权消 息中分别发送给WiMAX接入服务网络(Access Service Network,简称ASN) 中的鉴权器(Authenticator),当MN向FA发起移动IP注册时,FA从鉴 权器(Authenticator )获取移动IP的密钥(包括MN-HA Key和MN-FA Key ), MN-FA的鉴权扩展验证通过后,FA转发该MN的移动IP注册请求并携带 从鉴权器获耳又的MN-HA Key。 HA收到FA转发的MN移动IP注册请求, 又会通过RADIUS (扩展拨入用户远端认证消息)的认证请求向HAAA重
新获取MN-HA Key,这样就可以保证MN和FA/HA的鉴权扩展密钥始终是 同步的。FA-HA AE使用的FA-HA鉴权扩展密钥(简称FA-HA Key )是由归属 代理根密钥(简称HA-RK)派生出来,而HA-RK是由HAAA产生20字节 的随机数,并且HA-RK有生存周期,生存周期结束之前HAAA必须重新产 生HA-RK。 WiMAX网络工作组相关协议规定,FA通过MN初始化认证或 重认证的授权消息中获取HA-RK, HA是在MN移动IP注册时向HAAA发 送认证的授权消息中获取,但是因为MN的初始化认证或重认证过程和MN 的移动IP注册过程没有必然的关系,也没有定义相关机制来保证HA-RK在 FA和HA同步更新,所以在某段时间内可能可能出现FA和HA内部HA-RK 存在不一致的情况,这样就可能导致当MN发起移动IP注册时,可能因为 FA和HA持有的HA-RK不一致,而导致FA-HA鉴权扩展验证不通过,从 而导致MN的移动IP注册失败。综上所述,当前需要一种解决WiMAX网络工作组协议中HA-RK在FA 和HA同步的问题的技术方案。发明内容本发明所要解决的技术问题是提供一种微波存取全球互通移动IPv4中 归属代理根密钥同步的方法,解决因FA和HA在某些情况下持有的HA-RK 不一致导致FA-HA鉴权扩展不通过而引起移动IP注册失败问题。为了解决上述问题,本发明提供了一种微波存取全球互通移动IPv4中 归属代理根密钥同步的方法,包括以下步骤,a、 移动节点通过微波存取全球互通网的鉴权器到归属网络的鉴权、授 权及计费服务器请求接入认证或重新认证后,所述鉴权、授权及计费服务器 返回该移动节点的MN-HAKey、 FA-RK和归属代理根密钥的密钥信息以及 密钥有效期;b、 所述鉴权器判断归属代理根密钥的密钥有效期是否大于等于MN-HA Key和FA-RK的密钥有效期,如果是,则所述鉴权器发送认证响应给移动
节点并使移动节点接入网络;c、 移动节点向外地代理进行移动IP注册,如果所述鉴权器判断归属代 理根密钥的密钥有效期没有过期,则外地代理向所述鉴权器获取FA-HA Key,外地代理验证移动节点的移动IP注册请求通过后,将移动IP注册请 求发送到对应的归属代理;d、 移动节点通过外地代理向归属代理发送移动IP注册请求后,归属代 理向归属网络的鉴权、授权及计费服务器进行认证,获取MN-HAKey;如 果所述归属代理判断本地的归属代理根密钥相关信息没有过期,则归属代理 验证MN-HA Key和FA-HA Key,向外地代理发送移动IP注册应答消息后, 外地代理转发移动IP注册给移动节点。进一步地,上述方法还可包括,所述步骤a中,所述鉴权、授权及计费 服务器还返回所述移动节点的MN-HAKey、 FA-RK和归属代理根密钥的密 钥对应的安全参数索引。进一步地,上述方法还可包括,所述步骤b中,如果所述鉴权器判断归 属代理根密钥的密钥有效期小于MN-HA Key和FA-RK的的密钥有效期, 则鉴权、授权及计费服务器重新产生归属代理根密钥的密钥有效期和对应的 安全参数索引,直到新的归属代理根密钥的密钥有效期大于等于MN-HA Key和FA-RK的密钥有效期为止,所述鉴权器发送iU正响应给移动节点并 使移动节点接入网络。进一步地,上述方法还可包括,所述步骤b中,所述鉴权器根据所述鉴 权、授权及计费服务器返回的响应消息,判断并运行移动节点接入认证或重 新认证成功,发送认证响应给移动节点并使移动节点接入网络。进一步地,上述方法还可包括,所述步骤c中,所述移动节点向外地代 理进行移动IP注册,外地代理向所述鉴权器还获耳又MN-FA Key。进一步地,上述方法还可包括,所述步骤c中,如果所述鉴权器判断归 属代理^f艮密钥的密钥有效期过期,则包括以下步骤,e、 拒绝移动节点的移动IP注册请求,并强制移动节点重新发起到所述 归属网络的鉴权、授权及计费服务器的认证后,所述鉴权、授权及计费服务
器在授权信息中返回该移动节点的移动IP密钥信息以及密钥有效期和对应的安全参数索引;f、 所述鉴权器判断归属代理根密钥的密钥有效期是否大于等于MN-HA Key和FA-RK的的密钥有效期,如果是,则执行步骤g;否则,所述鉴权、 授权及计费服务器重新产生归属代理根密钥的密钥有效期和对应的安全参 数索引,直到新的归属代理才艮密钥的密钥有效期大于等于MN-HA Key和 FA-RK的密钥有效期为止,执行步骤g;g、 归属代理验证MN-HA Key和FA-HA Key并通过,向外地代理发送 移动IP注册应答消息后,外地代理转发移动IP注册给移动节点,执行步骤 d。进一步地,上述方法还可包括,所述步骤d中,所述移动节点通过外地 代理向归属代理发送移动IP注册请求后,归属代理通过扩展拨入用户远端 认证消息的接入请求向归属网络的鉴权、授权及计费服务器进行认证,获取 画-HA Key。进一步地,上述方法还可包括,所述步骤d中,如果所述归属代理判断 本地没有归属代理根密钥相关信息或归属代理根密钥已经过期,则在扩展拨 入用户远端认证消息的接入请求中携带获取归属代理根密钥标志参数,向鉴 权、授权及计费服务器获取归属代理根密钥相关信息,刷新本地归属代理根 密钥,用于进行FA-HA Key的验证。进一步地,上述方法还可包括,所述步骤d中,所述移动节点通过外地 代理向归属代理发送移动IP注册请求后,所述归属代理每次向归属网络的 鉴权、授权及计费服务器认证时都标识获取归属代理根密钥以及相关信息, 所述鉴权、授权及计费服务器根据归属代理根密钥的有效期过期与否来决定 发送旧的归属代理根密钥还是新的归属代理根密钥。与现有技术相比,应用本发明,弥补了 WiMAX网络工作组协议的不足, 清晰的描述了归属代理根密钥的同步机制,提供了有关移动IPv4鉴权扩展 中用到的HA-RK在外地代理和归属代理中的同步方案,解决了因外地代理 和归属代理在某些情况下持有的HA-RK不一致导致FA-HA鉴权扩展不通 过而引起移动IP注册失败问题;同时,移动IPv4鉴权扩展中用到的HA-RK 在外地代理和归属代理中的同步方案,不需要增加额外设备,不修改WiMAX 网络工作组协议定义移动IPv4基本流程,应用简单方便;还有,对归属代 理如何更新HA-RK提供两种方式,其一是主动维护HA-RK的有效期,如 果过期则重新向鉴权、授权及计费服务器获取新的HA-RK;其二是每次移 动IP注册时都向鉴权、授权及计费服务器获取HA-RK,由鉴权、授权及计 费服务器决定是否发送新的HA-RK;对于外地代理的要求灵活,有利于归 属代理的兼容和升级。
图1是本发明具体实施方式
中WiMAX移动IPv4中归属代理根密钥 (HA-RK)同步方法的流程图;图2是本发明具体实施方式
中HA-RK在外地代理和归属代理同步更新 方法的流程图;图3是本发明具体实施方式
中移动IPv4功能的系统结构图。
具体实施方式
下面结合附图对本发明具体实施方式
作进一步说明。本发明具体实施方式
中WiMAX移动IPv4中归属代理根密钥(HA-RK) 同步的方法,包括以下步骤步骤110、移动节点通过WiMAX接入服务网的鉴权器到归属网络的鉴 权、授权及计费服务器请求接入认证或重新认证后,所述鉴权、授权及计费 服务器返回该移动节点的移动IP密钥信息以及密钥有效期和对应的安全参 数索引;移动节点通过WiMAX接入服务网的鉴权器到归属网络的鉴权、授权及 计费服务器请求接入认证或重新认证后,所述鉴权、授权及计费服务器按照 WiMAX网络工作组协议在授权信息中返回该移动节点的移动IP密钥信息 以及密钥有效期和对应的安全参数索引。移动节点的移动IP密钥信息包括MN-HA Key、 FA-RK和HA-RK。
步骤120、所述鉴权器判断HA-RK的密钥有效期是否大于等于MN-HA Key和FA-RK的密钥有效期,如果是,执行步骤135;否则,执行步骤130;的,因此MN-HA Key和FA-RK直接继承了 EMSK的密钥有效期。步骤130、鉴权、授权及计费服务器重新产生HA-RK新的密钥有效期 和对应的安全参数索引,执行步骤120;此时,HA-RK不存在或者当前HA-RK的密钥有效期小于本次鉴权产生 的MN-HA Key和FA-RK的密钥有效期。步骤135、所述鉴权器发送认证响应给移动节点并使移动节点接入网络;所述鉴权器根据鉴权、授权及计费服务器返回的响应消息,判断并运行 移动节点接入认证或重新认证成功,发送认证响应给移动节点并使移动节点 接入网络。步骤140、移动节点向外地代理进行移动IP注册,所述鉴权器判断 HA-RK的密钥有效期是否过期,如果是,执行步骤150,否则,执行步骤 180;步骤150、拒绝移动节点的移动IP注册请求,并强制移动节点重新发起 到归属网络的鉴权、授权及计费服务器的认证后,所述鉴权、授权及计费服 务器在授权信息中返回该移动节点的移动IP密钥信息以及密钥有效期和对 应的安全参数索引;步骤160、所迷鉴权器判断HA-RK的密钥有效期是否大于等于MN-HA Key和FA-RK的的密钥有效期,如果是,执行步骤180;否则,执行步骤 170;步骤170、鉴权、授权及计费服务器重新产生HA-RK新的密钥有效期 和对应的安全参数索引,执行步骤160;步骤180、外地代理向所述鉴权器获取MN-FA Key和FA-HA Key,外 地代理验证移动节点的移动IP注册请求合法通过后,将移动IP注册请求发 送到对应的归属代理;鉴权器根据FA-RK生成MN-FA key、根据HA-RK生成FA-HA Key。
步骤190、移动节点通过外地代理向归属代理发送移动IP注册请求后, 归属代理向归属网络的鉴权、授权及计费服务器进行认证,获取MN-HA Key;如果所述归属代理判断本地的HA-RK相关信息没有过期,则归属代 理验证MN-HA Key和FA-HA Key并通过验证,允许移动节点注册,向外地 代理发送移动IP注册应答消息后,外地代理转发移动IP注册给移动节点。移动节点通过外地代理向归属代理发送移动IP注册请求后,归属代理 通过RADIUS接入请求向归属网络的鉴权、授权及计费服务器进行认证, 获取MN-HA Key,用于验证MN-HA鉴权扩展;如果归属代理判断本地没 有HA-RK相关信息或已经过期,则在RADIUS接入请求中携带获取HA-RK 标志参数,向鉴权、授权及计费服务器获取HA-RK相关信息,刷新本地 HA-RK,用于进行FA-HA Key的验证;归属代理验证MN-HA Key和FA-HA Key并通过,允许移动节点注册,向外地代理发送移动IP注册应答消息后, 外地代理转发移动IP注册给移动节点。移动节点通过外地代理向归属代理发送移动IP注册请求后,归属代理 也可以不维护HA-RK的有效期,而每次向归属网络的鉴权、授权及计费服 务器认证时都标识获取HA-RK以及相关信息,鉴权、授权及计费服务器根 据HA-RK有效期过期与否来决定发送旧的HA-RK还是新的HA-RK。图2是本发明具体实施方式
中HA-RK在外地代理和归属代理同步更新 方法的流程图,具体步骤如下步骤201:移动节点请求接入认证或者已经接入系统后请求重新认证;步骤202:接入服务网络鉴权器(以下简称鉴权器)收到移动节点的接 入请求后,发送接入请求消息给鉴权、授权及计费服务器;步骤203:鉴权、授权及计费服务器给鉴权器HAAA返回接入响应消息, 包含移动IP密钥参数以及相关密钥的有效期和安全参数索引信息;如果该 移动节点注册的HA-RK不存在,则HAAA生成一个随机数用做HA-RK, 并必须保证HA-RK的有效期大于EMSK的有效期;如果已经存在,判断原 HA-RK的有效期是否大于EMSK有效期,如果是,则执行步骤204;否贝寸, HA-RK有效期小于EMSK,则重新生成一个随机数并保证新的有效期大于 EMSK的有效期;
如果本次接入使用的是代理移动IP接入技术的话,还需要携带移动节点和归属代理的鉴权扩展密钥MN-HA Key等信息。移动IP密钥参数,包括外地代理根密钥FA-RK、归属代理根密钥 HA-RK。FA-RK是由鉴权过程中产生的EMSK衍生出来。步骤204:鉴权器根据鉴权、授权及计费服务器返回的响应消息,判断 并运行移动节点认证或重新认证成功,发送认证响应给移动节点并^f吏移动节 点接入网络;步骤205:移动节点接入WiMAX网络后,收到外地代理广告后,向外 地代理发起移动IP注册请求;步骤206:外地代理向鉴权器获取移动IP鉴权密钥参数,鉴权器判断 HA-RK未过期,则根据FA-RK生成MN-FA key、根据HA-RK生成FA-HA Key;外地代理验证移动节点的移动IP注册请求合法通过,外地代理追加 FA-HA鉴权扩展参数,将移动IP注册请求发送到对应的归属代理;外地代理验证移动节点的移动IP注册请求合法通过,包括鉴权扩展认证。步骤207:归属代理收到外地代理发送的移动IP注册请求后,随即发起 向归属鉴权、授权及计费服务器的RADIUS认证请求,要求获取移动 IPMN-HA鉴权扩展密钥,归属代理如果需要同时获取归属代理才艮密钥 HA-RK,则携带获取标志;步骤208:归属鉴权、授权及计费服务器将该移动节点的相关密钥在 RADIUS认证相应中发送给归属代理,包括MN-HA Key及相关参数,如果 归属代理要求获取HA-RK,则在认证响应中授权HA-RK及相关参数;步骤209:归属代理验证MN-HA鉴权扩展和FA-HA鉴权扩展通过,并 允许移动节点注册成功,则向外地代理发送移动IP注册应答消息;步骤210:外地代理转发移动IP注册应答给移动节点;步骤211:移动IP会话建立或继续;步骤212:当移动IP重注册时间到时,移动节点重新发起移动IP注册
消息给外地代理;步骤213:外地代理向鉴权器获取移动IP密钥时,鉴权器检查HA-RK 已经过期,则外地代理直接向移动节点返回移动IP注册失败应答;步骤214:接入服务网络发起强制移动节点重认证流程,认证流程与上 述描述步骤201 ~ 204 —致;步骤215:重认证完成后,移动节点就可以发起继续发起移动IP重注册 请求,完成移动IP重注册,注册流程与上述步骤205 210—致。本发明具体实施方式
在对已有WiMAX网络工作组协议改动及影响最 小的情况下实现了移动IP中归属代理根密钥在移动IP会话中同步更新的问 题,完善了 WiMAX网络工作组协议的不足,使得WiMAX的移动IP中的 密钥分发的同步得以实现。图3是本发明具体实施方式
中移动IPv4功能的系统结构图,其中移动节点MN:具有移动IP或不具有功能的WiMAX终端接入服务网络ASN:具有外地代理功能FA和鉴权器功能,同时为移动 终端提供接入服务,对于不具有移动IP功能的终端,ASN提供代理移动IP 功能;在本发明具体实施方式
中,鉴权器向鉴权、授权及计费服务器发送接入 认证/重认证请求,并保存鉴权、授权及计费服务器授权的移动IP密钥信息。 FA验证和转发移动节点发送移动IP的注册请求,并在终端在线期间维护其 移动IP相关的信息和移动IP密钥有效期信息。鉴权、授权及计费服务器AAA:为用户提供鉴权、授权及计费服务。 在收到接入服务器发送的终端接入请求时,将对终端进行鉴权,并进行相应 的授权;在本发明具体实施方式
中,AAA在终端鉴权时,进行包括终端移动IP 密钥信息的授权和完成HA-RK的更新功能。归属代理HA:接受接入服务器发送的移动IP注册请求,并进行移动IP 注册响应,与接入服务器配合为移动终端提供移动IP的服务。以上所述,仅为本发明较佳的具体实施方式
,但本发明的保护范围并不
局限于此,任何熟悉该技术的人在本发明所揭露的技术范围内,可轻易想到 的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范 围应该以权利要求的保护范围为准。
权利要求
1、 一种微波存取全球互通移动IPv4中归属代理根密钥同步的方法,包括以下步骤,a、 移动节点通过微波存取全球互通网的鉴权器到归属网络的鉴权、授 权及计费服务器请求接入认证或重新认证后,所述鉴权、授权及计费服务器 返回该移动节点的MN-HAKey、 FA-RK和归属代理根密钥的密钥信息以及 密钥有效期;b、 所述鉴权器判断归属代理根密钥的密钥有效期是否大于等于MN-HA Key和FA-RK的密钥有效期,如果是,则所述鉴权器发送认证响应给移动 节点并使移动节点接入网络;c、 移动节点向外地代理进行移动IP注册,如果所述鉴权器判断归属代 理根密钥的密钥有效期没有过期,则外地代理向所述鉴权器获取FA-HA Key,外地代理验-汪移动节点的移动IP注册请求通过后,将移动IP注册请 求发送到对应的归属代理;d、 移动节点通过外地代理向归属代理发送移动IP注册请求后,归属代 理向归属网络的鉴权、授权及计费服务器进行认证,获取MN-HA Key;如 果所述归属代理判断本地的归属代理根密钥相关信息没有过期,则归属代理 验证MN-HA Key和FA-HA Key,向外地代理发送移动IP注册应答消息后, 外地代理转发移动IP注册给移动节点。
2、 如权利要求l所述的方法,其特征在于,所述步骤a中,所述鉴权、 授权及计费服务器还返回所述移动节点的MN-HA Key、 FA-RK和归属代理 根密钥的密钥对应的安全参数索引。
3、 如权利要求2所述的方法,其特征在于,所述步骤b中,如果所述 鉴权器判断归属代理根密钥的密钥有效期小于MN-HA Key和FA-RK的的 密钥有效期,则鉴权、授权及计费服务器重新产生归属代理根密钥的密钥有 效期和对应的安全参数索引,直到新的归属代理根密钥的密钥有效期大于等 于MN-HA Key和FA-RK的密钥有效期为止,所述鉴权器发送认证响应给 移动节点并使移动节点接入网络。
4、 如权利要求3所述的方法,其特征在于,所述步骤b中,所述鉴权 器根据所述鉴权、授权及计费服务器返回的响应消息,判断并运行移动节点 接入认证或重新认证成功,发送认证响应给移动节点并使移动节点接入网络。
5、 如权利要求4所述的方法,其特征在于,所述步骤c中,所述移动 节点向外地代理进行移动IP注册,外地代理向所述鉴权器还获取MN-FA Key。
6、 如权利要求5所述的方法,其特征在于,所述步骤c中,如果所述 鉴权器判断归属代理根密钥的密钥有效期过期,则包括以下步骤,e、 拒绝移动节点的移动IP注册请求,并强制移动节点重新发起到所述 归属网络的鉴权、授权及计费服务器的认证后,所述鉴权、授权及计费服务 器在授权信息中返回该移动节点的移动IP密钥信息以及密钥有效期和对应 的安全参数索引;f、 所述鉴权器判断归属代理根密钥的密钥有效期是否大于等于MN-HA Key和FA-RK的的密钥有效期,如果是,则执行步骤g;否则,所述鉴权、 授权及计费服务器重新产生归属代理根密钥的密钥有效期和对应的安全参 数索引,直到新的归属代理根密钥的密钥有效期大于等于MN-HA Key和 FA-RK的密钥有效期为止,执行步骤g;g、 归属代理验证MN-HA Key和FA-HA Key并通过,向外地代理发送 移动IP注册应答消息后,外地代理转发移动IP注册给移动节点,执行步骤 d。
7、 如权利要求6所述的方法,其特征在于,所述步骤d中,所述移动 节点通过外地代理向归属代理发送移动IP注册请求后,归属代理通过扩展 拨入用户远端认证消息的接入请求向归属网络的鉴权、授权及计费服务器进 行认证,获取MN-HAKey。
8、 如权利要求7所述的方法,其特征在于,所述步骤d中,如果所述 归属代理判断本地没有归属代理根密钥相关信息或归属代理根密钥已经过 期,则在扩展拨入用户远端认证消息的接入请求中携带获取归属代理根密钥标志参数,向鉴权、授权及计费服务器获取归属代理根密钥相关信息,刷新本地归属代理根密钥,用于进行FA-HA Key的验证。
9、如权利要求l所述的方法,其特征在于,所述步骤d中,所述移动 节点通过外地代理向归属代理发送移动IP注册请求后,所述归属代理每次 向归属网络的鉴权、授权及计费服务器认证时都标识获取归属代理根密钥以 及相关信息,所述鉴权、授权及计费服务器根据归属代理根密钥的有效期过 期与否来决定发送旧的归属代理根密钥还是新的归属代理根密钥。
全文摘要
一种微波存取全球互通移动IPv4中归属代理根密钥同步的方法,包括,移动节点通过鉴权器到归属网络的鉴权、授权及计费服务器请求接入,鉴权、授权及计费服务器返回该节点的MN-HA Key、FA-RK和HA-RK及密钥有效期;鉴权器判断HA-RK有效期大于等于MN-HA Key和FA-RK有效期,则使节点接入;节点向外地代理注册,鉴权器判断HA-RK有效期未过期,则外地代理向鉴权器获取FA-HA Key,外地代理验证节点的注册请求通过后,将请求发送到归属代理;归属代理向鉴权、授权及计费服务器进行认证,获取MN-HA Key;归属代理判断本地的HA-RK未过期,则验证MN-HA Key和FA-HA Key,向外地代理发送注册应答消息,允许注册。应用本发明,解决因FA和HA在某些情况下的HA-RK不一致导致FA-HA鉴权扩展不通过而引起移动IP注册失败问题。
文档编号H04W56/00GK101123815SQ20071012995
公开日2008年2月13日 申请日期2007年7月20日 优先权日2007年7月20日
发明者戈 朱 申请人:中兴通讯股份有限公司