移动ip密钥的产生及分发方法和装置的制作方法

专利名称：移动ip密钥的产生及分发方法和装置的制作方法
技术领域：
本发明涉及网络安全领域，特别是涉及移动IP密钥的产生及分发方法和 装置。
背景技术：
随着因特网业务的蓬勃发展和无线网络的广泛应用，移动用户的安全性 已经对于无线系统提出了越来越多的要求除了设备鉴权、用户鉴权和服务 授权等等，无线用户与接入点UP)或基站(BS)之间的安全通道的建立， 保密信息的交换，以及BS和鉴权者(Authenticator ),鉴权者和鉴权服务 器之间的保密通道、保密信息的交换等等都是以往在专用网络中所不需要考 虑而目前需要得到大量关注的问题了 。
不考虑接入网中的其他内部设备，我们在^的技术描述时将采用图1、图 2所示的WiMAX安全网络架构体系(但是本发明所提供的技术包括但不限 于在WiMAX系统中的应用)。
图l表示的是集中式的网络架构体系，^it种架构下，鉴45^ (Authenticator) 与BS位于不同的物理实体中，在鉴权者中实现了鉴权者和密钥分发者(Key Distributor)的功能。在BS中实现了iU正中继(Authentication Relay) 和密钥接收者(Key Receiver)的功能。
图2表示的是分布式的网络架构体系，在这种结构下，鉴权者与BS位于 同一个物理实体中，该实体同时实现了鉴权者、认证中继、密钥分发者(Key Distributor)和密钥4妻收者(Key Receiver)的功能。
WiMAX安全网络架构体系中各个网元(包括逻辑网元)的功能解释如下巡
-提供BS和终端(MS)的安全通道，包括空口数据的压缩与加密； -提供BS和MS之间的保密信息的交换。
鉴权者
-为MS认证、授权和计费功能提供代理功能； -与密钥分发者(Key Distributor)在同一个物理实体里实现。 鉴权者中继
-实现认证过程中认证请求和响应消息的中继。
密钥分发者
-与鉴权者在同一个物理实体里实现，根据认证服务器提供的与MS之间 对等的根密钥信息，产生BS和MS之间共享的空口密钥AK,并且分发到 密钥接收者(Key Receiver)上。
密钥接收者
-在BS内实现，用于接收来自密钥分发者产生的空口密钥AK，并派生 BS和MS之间的其它密钥。
此外，作为一个完整的安全网络架构体系，还应该包括后端网络的iU正服 务器和移动终端MS。
认证授权计费(AAA)服务器
-认证服务器主要是完成为MS认证、授权和计费功能，并且通过和MS 之间的达成的密钥生成机制相互交换产生密钥所必需的信息。由于这些 信息是在建立安全通道之前交换的，认证服务器和MS之间采用的密钥算 法等都必须保证信息的泄漏并不对安全机制产生影响。主要功能包括 -完成为MS认证、授权和计费功能； -产生并分发根密钥信息到鉴权者上；
-在用户信息产生变化，及时通知鉴4x^和其他网元信息改变所产生的后果。-MS为移动用户设备，在安全架构中主要是发起认证、授权；与认证服 务器交换产生根密钥所需要的信息；自己产生根密钥；自己根据根密钥 产生空口上保密所需要的AK以及派生出来的其他密钥信息。MIP有如下功能实体移动节点(丽)、外部代理(FA)和家乡代理(HA)。 廳经由FA向HA发起移动IP (MIP)注册请求。HA收到MIP注册请求以后， 把MN的转交地址(CoA )地址和家乡地址(HoA )地址对应起来，以后HA收 到的所有目的地址是HoA的数据包都转发到CoA地址，MIPv4中即FA的地址。 为了保证安全性，MIP消息中一般会带有认证扩展(AE)。例如MN和HA之间的 认证扩展MN-HA-AE，当HA收到一个携带MN-HA-AE的MIP注册请求，HA就需 要根据事先知道的密钥信息计算出一个本地认证值，然后和数据包携带的MN -HA-AE进行比较。如果相同则认证通过，并且处理MIP注册请求；否则拒绝 处理这个MIP注册i青求。在MN和HA之间没有预先的密钥信息时，MN可以利用顧和AAA之间的密 钥信息，来认证这一次的MIP注册请求。现有WiMAX技术中一般是基于HA和/或FA的IP地址来计算MIP注册密 钥，？A式如下MN-HA-K: H(MIP-RK， "MIP4 MN HA" ，HA-IP);MN-FA-K: H(MIP-RK, "MN FA" ,FA—IP);FA—HA—K: H(MIP-RK， "FA HA" , FA—IP, HA-IP， nonce);对于RFC3957中，规定了如下算法，可由随机数，移动节点标识以及移 动节点和AAA之间的共享密钥计算key = HMAC-SHA1 (AAA-key, {Nonce || MN-ID})MIP在WiMAX中有两种形式客户端移动IP ( CMIP )和代理移动IP ( PMIP )。 对于支持MIP协议的终端(如图3a),工作于CMIP模式下，此时移动节点就是移动终端MS;相反，对于不支持MIP协议的终端(如图3b),由网络侧创建一个 PMIP-客户端(PMIP-client)实体来作为移动节点MN实现MIP的功能。(1) PMIPv4的密钥产生和分发在接入认证过程中，AAA产生EMSK (可扩展的主会话密钥Extended Master Session Key)， 然后计算M IP根密钥MIP-RK , 并由此派生出 MN-HA,MN-FA以及FA-HA之间的密钥。然后，按照RFC2868第3. 5节的方法把 顧-HA，可选地匪-FA以及FA-HA之间的密钥加密发送到NAS。 PMIP-client可 以才艮据MN-HA直接计算MN-HA-AE并且发送移动IP注册请求，当HA收到这个 注册请求以后需要判断是否需要向AAA请求移动IP密钥。(2) CMIPv4的密钥产生和分发在接入认证过程中，AAA产生EMSK,然后计算MIP-RK,并由此派生出MN-HA, MN-FA以及FA-HA之间的密钥。如果初始时匪不知道HA的地址，MN就无法计算 出MN-HA之间的密钥，即使使用全O全l也会需要在得到真实HA-IP以后更新或 者告知AAA服务器。HA相关的密钥在第一;^MIP注册请求过程中向AAA请求获得。如上所述的现有的密钥产生及分发方法存在如下问题1) PMI P-c 1 i en t不能计算移动节点MN和A A A服务器之间的认证扩展 MN-AAA-AE,如果需要计算则必须下发移动节点匪和AAA服务器之间的共享密 钥MN-AAA-K。而MN-AAA-K是不适合向外扩散的。2) 现有技术中，在重验证以及FA迁移情况下，HA得知密钥更新的方式 不统一(例如，可通过如下多种方式得知密钥更新在HA无法进行认证扩展 的验证时、在注册请求中携带顧-AAA-AE时、在安全参数索引SPI改变时，或 者根据MIP注册请求消息体内容HA-IP),且没有利用已有的RFC (Request For Comments )。3) HA不由AAA分配的时候，AAA需要获得MN实际用于计算MN-HA的HA-IP 地址。4) 基于IP地址密钥计算需要区分不同端口的IP地址不同，带来不必要的复杂性。5 )如果初始时丽不知道HA的地址，MN就无法计算出MN-HA之间的密钥， 即使使用全0全1也会需要在得到真实HA-IP以后更新或者告知AAA服务器。发明内容针对如上存在的问题，本发明的实施例提供一种移动IP密钥的产生及分 发方法和装置，使得对于PMIP客户端可以在移动节点顧和AAA服务器之间的密 钥不下发的情况下计算移动节点MN和AAA服务器之间的认证扩展(MN-AAA-AE)。一方面，本发明实施例提供一种移动IP密钥的产生及分发方法，该方法 包括认证授权计费AAA服务器计算移动节点和AAA服务器之间的子密钥，以 根据该子密钥计算移动节点和AAA服务器之间的认证扩展；在移动节点发起的 移动IP注册请求或绑定更新请求中携带由所述子密钥产生的移动节点和AAA 服务器之间的认证扩展，AAA服务器接收来自家乡代理HA根据所述注册请求或 绑定更新请求携带的认证扩展，下发给家乡代理所要请求的密钥。另一方面，本发明实施例提供一种移动IP密钥的产生及分发方法，该方 法包括移动节点获取移动节点和AAA服务器之间的子密钥；根据获取的子密钥，计算移动节点和AAA服务器之间的认证扩展；发起的 移动IP注册请求或绑定更新请求，所述移动IP注册请求或绑定更新请求携带 移动节点和AAA服务器之间的所述认证扩展；接收来自于AAA服务器的随机数； 移动节点根据获取的子密钥及来自于AAA服务器的随机数，计算移动节点相关 密钥，所述随机数是根据移动IP注册请求或绑定更新请求携带的所述认证扩 展A得到。再一方面，本发明实施例提供一种移动IP密钥的产生及分发装置，包括 子密钥计算单元，用于计算移动节点和AAA^^务器之间的子密钥，以才艮据 该子密钥计算移动节点和AAA服务器之间的认证扩展；请求单元，用于发起的移动IP注册请求或绑定更新请求，在移动节点发起的移动IP注册请求或绑定更新请求中携带由所述子密钥产生的移动节点和
AAA服务器之间的认证扩展；
接收单元，用于接收来自家乡代理HA根据所述注册请求或绑定更新请求 携带的认证扩展，下发给家乡代理所要请求的密钥。
再一方面，本发明实施例提供一种移动IP密钥的产生及分发装置，其特 征在于，包括
子密钥获取单元，用于获取移动节点和AAA服务器之间的子密钥； 认证扩展生成单元，用于根据获取的子密钥，计算移动节点和AAA服务器 之间的^人i正扩展；
请求单元，用于发起的移动IP注册请求或绑定更新请求，所述移动IP注 册请求或绑定更新请求携带移动节点和AAA服务器之间的所述认证扩展；
随机数接收单元，用于接收来自于AAA服务器的随机数；
密钥验证单元，用于根据获取的子密钥及来自于AAA服务器的随机数，计 算移动节点相关密钥，所述随机数是根据移动IP注册请求或绑定更新请求携 带的所述认证扩展得到。
从上述方案可以看出，本发明实施例可以清楚使得PMIP客户端可以在移 动节点MN和AAA服务器之间的密钥(MN-AAA-K)不下发的情况下计算移动节点M N和AAA服务器之间的iU正扩展(應-AAA-AE)。


图1为现有技术中集中式的WiMAX安全架构体系； 图2为现有技术中分布式的WiMAX安全架构体系； 图3a为基于CMIP的完整的安全网络架构体系； 图3b为基于PMIP的完整的安全网络架构体系；
图4a为本发明实施例l的基于随机数的PMIPv4密钥的产生与分发流程； 图4b为本发明实施例l的基于IP地址的PMIPv4密钥的产生与分发流程；图5a为本发明实施例2的基于随机数的CMIPv4密钥的产生与分发流程；图5b为本发明实施例2的基于IP地址的CMIPv4密钥的产生与分发流程；图6a为本发明实施例4的PMIPv6密钥的产生与分发流程；图6b为本发明实施例4的CMIPv6密钥的产生与分发流程；图7a为本发明实施例3的改进型PMIPv4密钥的产生与分发流程；图7b为本发明实施例3的改进型CMIPv4密钥的产生与分发流程；图8为本发明实施例5的CMIPv4密钥的产生与分发流程；图9a为本发明实施例5的PMIPv4密钥的产生与分发流程；图9b为本发明实施例5的PMI Pv4密钥的另 一产生与分发流程。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚，下面结合附图对本发明 的具体实施例进行详细说明。本发明的实施例利用 一个专门用于产生移动节点丽和AAA服务器之间的认 证扩細N-AAA-AE的子密钥，用于PMIP及CMIP模式下MN-AAA-AE的计算，不仅 使得对于PMIP客户端在移动节点MN和AAA服务器之间的密钥(MN-AAA-K)不下 发的情况下依然可以计算移动节点MN和AAA服务器之间的认证扩展(MN-AAA-AE), 避免了MN-AAA-K的扩散，同时还统一了 PMIP及CMIP在重验证，以及FA迁移时通 知HA的过程。在本发明的实施例中，所述子密钥为由移动节点MN和AAA服务器 之间的共享密钥(MN-AAA-K)或预配置密钥派生出的子密钥(在此记为MN-AAA-SUB -K),但本发明并不限于此。对于MN-AAA-SUB-K密钥的计算，只要CMIP模式下的MN以及AAA能够采用同 样的计算方法，就可以保证同一个MN-AAA-K派生出来的MN-AAA-SUB-K相同， 也就可以达到本发明的目的；另外还要求^4居已知MN-AAA-SUB-K的实体无法 计算得出MN-AAA-K,这在本领域方法已成熟。MN-AAA-SUB-K产生的同时可分配相应的lifetime (生命期)，在lifetime到期的时候触发重-睑证；如果其他原因触发的重验证，也将触发MN-AAA-SUB-K的更新。另外，本发明的实施例还在上述构思的勤出上，采用随机数来计算各MIP实 体的MIP密钥，以避免用IP地址作为计算移动IP密钥的参数所带来的复杂性。但对于移动IP密钥的计算，本发明不仅适用于以随机数来计算MIP密钥， 还适用于现有的移动IP密钥的算法，例如基于IP地址计算MIP密钥。其中，基于随机数对MIP密钥的计算举例如下对于MN-FA-K以及MN-HA-K的计算，可采用RFC3957关于MN-FA-K以及 MN-HA-K的计算公式。在RFC3957中，计算MN-FA-K以AMN-HA-K的公式为key =賺C-SHAl (AAA-key, {Key Generation Nonce || MN-ID });其中，Key Generation Nonce表示顧-FA之间的随机数或者MN-HA之间 的随机数。对于FA-HA-K的计算，可以参照RFC3957关于MN-FA-K以及MN-HA-K的 计算公式，把AAA产生并且下发的随机数同时作为输入参数，结合MIP密钥 的根密钥或者MN和AAA之间的密钥信息，还可以包括MN的标识(MN-ID )， 计算FA和HA之间的密钥。例如，计算FA-HA-K可采用如下公式key = HMAC-SHA1 (AAA-key， {Key Generation Nonce-l I I Key Generation Nonce-2 I i MN-ID })。其中，AAA-key为计算MIP密钥的根密钥，其可以为MN-AAA-SUB-K本身， 也可以为其它的根密钥，如MSK、 EMSK、或MIP-RK等。Key Generation Nonce-1， Key Generation Nonce-2可分别表示MN-FA之间以AMN-HA之间的随机数。 当仅仅请求一个随机数的时候，可以相应的减少作为参数的随机数。 或者可以不用随机数作为参数，而用FA和HA共享的其他信息作为参数。 上述计算MIP密钥的公式仅作为举例说明，基于本发明实施例的构思，对 于本领域的技术人员可以有多种容易想到和易实现的可替代方式，因此本发明基于随机数对MIP密钥的计算并不限定于上述公式。实施例1: PMIPv4密钥的产生与分发(1)基于随机数的PMIP密钥的产生和分发图4a为本实施例的PMIP模式下基于随机数的移动IP密钥的产生与分发 流程，如图4a所示，具体包括如下步骤步骤1.在接入验证或者重新鉴权认证过程中，AAA服务器依据MN-AAA-K (或预配置密钥)计算出MN-AAA-SUB-K，并且把包括MN-AAA-SUB-K和根密钥 的密钥信息下发到锚鉴4又者(Anchor Authenticator )。所述根密钥可以就是MN-AAA-SUB-K本身，也可以是其他的根密钥，如MSK、 EMSK、或MIP-RK等。当所述根密钥是顧-AAA-SUB-K本身时，丽-AAA-SUB-K 既用于产生MN-AAA-AE，还用于计算MIP密钥；在MIP密钥的才艮密钥为其他才艮 密钥的情况下，MN-AAA-SUB-K可专门用于产生MN-AAA-AE,而由其他的根密 钥(如MIP-RK)计算MIP密钥。步骤2. PMIP-客户端和锚鉴权者通过内部交互共享此MN-AAA-SUB-K信息。由于PMIP-客户端和锚鉴权者共同位于一个物理实体，所以两者之间可以 共享密钥信息。步骤3. PMIP-客户端得到MN-AAA-SUB-K以后，就可以计算MN-AAA-AE并 且按照RFC3957的定义触发MIP注册过程。优选地，所述MIP注册过程为首 次MIP注册过程。触发MIP注册后的整个移动IP注册过程(图4a中步骤3-5 )都可以按 照RFC3957进行，但和RFC3957过程的区别在于，FA不直接与AAA交互。现 有RFC3957规定的注册过程中，FA收到MIP注册请求以后，就直接向AAA请 求密钥，然后AAA计算密钥随机数，下发到FA和HA。但是，目前WiMAX网络 FA不直接向AAA请求，所以，FA直接转发MIP注册请求到HA,由HA和AAA 交互密钥以及随机数(见步骤4 )。对于本实施例，在FA能直接与AAA服务200810092571.7说明书第10/29页器交互时，就可以完全按照RFC3957过程进行。由于FA也和锚鉴权者共同位于一个物理实体，可以通过内部交互共享锚 鉴权者获得的MIP密钥信息。步骤4. HA收到移动IP注册请求后，根据是否携带顧和AAA之间的认 证扩展匪-AAA-AE判断是否向AAA请求密钥，如果移动IP注册请求中携带 MN-AAA-AE,则向HAAA服务器请求HA相关MIP密钥(MN-HA-K，还可以包括 FA-HA-K)以及产生MIP密钥所需的随机数(MN-HA之间随机数，以及MN-FA 之间的随机凄t)。如果HA位于拜访网络，则这个请求消息由VAAA转发。AAA 服务器也利用MN-AAA-SUB-K进行验证，并在验证成功后，下发MN-HA-K和FA -HA-K (如果需要)以及随机数到HA。步骤5. HA处理MIP注册请求。如果注册成功，HA返回移动IP注册净艮告 MIP-RRP给FA，消息中携带认i正扩展(MN-HA-AE,也可以包括FA-HA-AE )及 随机数。锚鉴权者根据AAA下发的MIP根密钥信息并结合MIP注册过程下发的随 机数计算出FA和移动节点MN之间的MIP密钥MN-FA-K，以及FA和家乡代理 HA之间的MIP密钥FA-HA-K， FA通过内部交互从锚鉴权者获得MN-FA-K及FA -HA-K，并-^S正所述MIP注册报告MIP-RRP。验证成功后发送携带认证扩展(MN -FA-AE以及MN-HA-AE )的MIP-RRP至PMIP-客户端。同样，PMIP-客户端通过内部交互从锚鉴权者获得MN-HA-K和MN-FA-K, 并验证来自FA的MIP-RRP。步骤6.如果FA发生了迁移，PMIP-cl ient会受到R3迁移的实体的触发， 还是以RFC3957的方式完成移动IP的注册过程，以及移动IP密钥的动态计 算分发。和RFC3957区别在于，FA不直接与AAA交互，而是由FA直接转发 MIP注册请求到HA,由HA和AAA交互密钥以及随机数(FA也可以加入交互过 程，在FA直接与AAA服务器交互时，就可以完全按照RFC3957过程进行)。 在R3迁移过程中，MIP密钥的根密钥信息由服务接入服务网络网关(ASN-GW)传到了目标ASN-GW (如果不传递根密钥，则目标ASN-GW需要通过接入网内部 原语向服务ASN-GW请求计算子密钥)。经过类似于步骤3-5中的MIP注册过 程，目标FA也可以建立起和移动节点丽之间的安全联盟。但与步骤3-5的MIP 注册过程的不同在于，由于MN-HA-K并没有变化，此时的MIP注册请求可以 不再请求MN-HA的随机数，并且在MIP注册请求中携带MN-HA之间的认证扩 展MN-HA-AE,在家乡代理根据接收的MIP注册请求向所述AAA服务器请求随 机数时可仅请求MN-FA之间的随机数而不请求MN-HA的随机数。在该FA迁移 的情况，对AAA提出一个要求，就是需要事先保存为MN-HA产生的随机数。另外，在FA迁移时，也可以以接入认证和重新鉴权认证的方式重新执行 步骤3-5中的MIP的注册过程(此时需要重新请求MN-HA之间及MN-FA之间 的随机数)。如果步骤6中R3迁移的目标FA不存在和HA的共享密钥，锚鉴权者和 AAA服务器也需要同时刷新FA-HA-K，目标FA向服务FA请求原来的根密钥或 者FA-HA-K，然后刷新为TFA-HA-K;或者是直接请求TFA-HA-K。刷新方式可 以选择如下利用HA/AAA和原FA共享密钥以及HA/AAA和目标FA之间共享的信息(例 如FA-IP )计算一个新的MN-TFA-K;或者，把该共享密钥作为根密钥重新代入计算公式，算出新的TFA-HA-K。 当然，密钥的刷新方式不限于此。本实施例中对密钥刷新的算法并无限定，只要进行刷新的双方算法一致 就可以了。然后，当HA收到带有MN-AAA-AE的移动IP注册请求后，要向AAA ^^务 器请求TFA-HA-K, AAA在收到HA的请求以后也按照刷新算法计算TFA-HA-K， 然后下发TFA-HA-K给HA。后续接入移动节点顧就可以利用这里建立的TFA-HA-K在移动IP注册。(2)基于IP地址的PMIPv4密钥的产生与分发
本实施例在上述步骤3到步骤6是应用RFC3957的方案，当然也可以用 其他MIP密钥分发的过程替^ (如申i青号分别为200610093037.9、 20061009 3541. 9、 200610094477. 6(发明名称为"一种移动IP密钥的产生及分发方法") 的中国专利申请中的密钥分发过程，在此仅以引用的方式合并于此)。其唯 一的改变在于计算MN-AAA-AE的时候，利用的是本发明中提出的MN-AAA-SUB -K而不是利用MN-AAA-K，故在此不作详述。以下另举一例来说明本实施例的 可替代MIP密钥产生及分发过程。
图4b为本实施例的基于IP地址的PMIP密钥的产生与分发流程图。如图 4b所示，包括如下步骤
步骤l:初始验证以及重验证过程中，AAA服务器由MN-AAA-K或预配置密 钥计算MN-AAA-SUB-K，并下发包括MN-AAA-SUB-K和根密钥的密钥信息至锚鉴 权者，所述根密钥可以是MN-AAA-SUB-K本身，也可以是另外的根密钥；
步骤2: PMIP-client和锚鉴权者共享密钥信息；
步骤3: PMIP-client发起移动IP注册请求过程，MIP-RRQ消息中携带用 MN-AAA-SUB-K计算出来的MN-AAA-AE, FA收到这个消息后，发送给家乡代理HA;
步骤4:家乡代理HA告知AAA服务器计算密钥的HA-IP,请求验证信息并且 请求密钥MN-HA-K以及FA-HA-K; AAA服务器也利用MN-AAA-SUB-K进行验证，如 果验证通过，就计算密钥并且下发到HA;
步骤5:家乡代理HA得到请求的密钥(MN-HA-K,也可以包括FA-HA-K )以 后，处理移动IP注册请求，如果注册允许，则发送移动IP注册报告MIP-RRP(携 带MN-HA-AE，也可以包括FA-HA-AE)到FA。 FA向锚鉴权者请求MN-FA-K以及 FA-HA-K (如果需要)。然后，FA验证收到的MIP-RRP消息。验证成功后，向 PMIP-C1 ient发送携带认证扩展的MIP-RRP消息；PMIP-C1 ient向锚鉴权者请求 密钥MN-HA-K以"J1N-FA-K—睑证来自FA的MIP-RRP消息。
步骤6-8:如果FA发生了迁移，则PMIP-Client收到触发重新发起移动IP注册请求，进行类似步骤3-5的移动IP注册过程。
实施例2: CMIPv4密钥的产生与分发
(1)基于随机数的CMIPv4密钥的产生与分发
图5a为本实施例的CMIP模式下基于随机数的移动IP密钥的产生与分发 流程，如图5a所示，具体包括如下步骤
步骤l. MS以及AAA服务器依据MN-AAA-K (或预配置密钥)计算出 丽-AAA-SUB-K。 AAA服务器把包括移动IP密钥的根密钥下发到锚鉴权者。
其中，所述根密钥可以是MN-AAA-SUB-K本身，也可以是另外一个根密钥， 如MSK、 EMSK、或MIP-RK等，以计算MIP密钥。
步骤2. 外部代理FA发送代理广纟番给移动节点MS。
步骤3. 移动节点MS收到外部代理FA发送的代理广播以后，就可以利用 MN-AAA-SUB-K计算MN-AAA-AE并且按照RFC3957的定义触发移动IP注册过程。
触发MIP注册后的整个移动IP注册过程都可以按照RFC3957进行。和 RFC3957区别在于，FA不直接与AAA交互，而是直接转发MIP注册请求到HA, 由HA和AAA交互密钥以及随机数(FA也可以加入交互过程，在FA直接与AAA 服务器交互时，就可以完全按照RFC3957过程进行)。
由于FA和锚鉴权者共同位于一个物理实体，可以通过内部交互与锚鉴权 者共享密钥信息。
步骤4. HA收到移动IP注册请求后，如果移动IP注册请求中携带MN-AAA-AE，则向HAAA服务器请求验证并请求HA相关MIP密钥(MN-HA-K，还可 以包括FA-HA-K )以及随机数(MN-HA之间随机数和MN-FA之间的随机数)。 HAAA在验证成功后，下发MN-HA-K和FA-HA-K (如果请求)和随机数至HA。
步骤5. HA处理MIP注册请求。如果注册成功，HA返回移动IP注册报 告MIP-RRP给FA，消息中携带认证扩展(丽-HA-AE,也可以包括FA-HA-AE ) 及随机数。锚鉴权者根据AAA下发的MIP根密钥信息并结合MIP注册过程下发的随 机数计算出FA和移动节点MN之间的MIP密钥MN-FA-K,以及FA和家乡代理 HA之间的MIP密钥FA-HA-K， FA通过内部交互/人锚鉴4又者获得MN-FA-K及FA -HA-K，并验证所述MIP-RRP。验证成功后再发送至移动终端MS (即CMIP-客 户端)。
同样，移动终端MS (即CMIP-客户端)通过获得的随机数以及根密钥计 算获得MN-HA-K和MN-FA-K,并验证来自FA的MIP-RRP。
步骤6. 如果FA发生了迁移，MS收到目标FA的代理广播消息以后，还 是以RFC3957的方式完成移动IP的注册过程，以及移动IP密钥的动态计算 分发。和RFC3957区别在于，FA不直接与AAA交互，而是由FA直接转发MIP 注册请求到HA，由HA和AAA交互密钥以及随机数(FA也可以加入交互过程， 在FA直接与AAA服务器交互时，就可以完全按照RFC3957过程进行)。在R3 迁移过程中，MIP密钥的根密钥信息由服务接入服务网络网关(ASN-GW)传到 了目标ASN-GW (如果不传递根密钥，则目标ASN-GW需要通过接入网内部原语 向服务ASN-GW请求计算子密钥)。经过类似于步骤3-5中的MIP注册过程， 目标FA也可以建立起和移动节点MN之间的安全联盟。但与步骤3-5的MIP注册 过程的不同在于，由于MN-HA-K并没有变化，此时的MIP注册请求可以不再 请求MN-HA的随机数，并且在MIP注册请求中携带MN-HA之间的认证扩展MN -HA-AE,在家乡代理根据接收的MIP注册请求向所述AAA服务器请求随机数时 可仅请求MN-FA之间的随机数而不请求MN-HA的随机数。在该FA迁移的情况， 对AAA提出一个要求，就是需要事先保存为MN-HA产生的随机数。
另夕卜，在FA迁移时，也可以以接入认证和重新鉴权认证的方式重新执行 步骤3-5中的MIP的注册过程(此时需要重新请求MN-HA之间及MN-FA之间 的随机数)。
如果步骤6中R3迁移的目标FA不存在和HA的共享密钥，锚鉴权者和 AAA服务器也需要同时刷新FA-HA-K,方式可以选择如下利用HA/AAA和原FA共享密钥以及HA/AAA和目标FA之间共享的信息(例 如FA-IP )计算一个新的MN-TFA-K;或者，把该共享密钥作为根密钥重新代入计算公式，算出新的TFA-HA-K。 当然，密钥的刷新方式不限于此。然后，当HA收到带有MN-AAA-AE的移动IP注册请求后，要向AAA服务 器请求TFA-HA-K， AAA在收到HA的请求以后也按照刷新算法计算TFA-HA-K， 然后下发TFA-HA-K给HA。后续接入移动节点MN就可以利用这里建立的TFA-HA-K 在移动IP注册。(2 )基于IP地址的CMIPv4密钥的产生和分发本实施例在上述步骤3到步骤6是应用RFC3957的方案，当然也可以用其他 MIP密钥分发的过程替^ (如申请号分别为200610093037. 9、 200610093541.9、 200610094477. 6的中国专利申请中的密钥分发过程，在此4义以引用的方式合 并于此)。其唯一的改变在于计算MN-AAA-AE的时候，利用的是本发明中提出 的MN-AAA-SUB-K而不是利用MN-AAA-K。以下另举一例说明本实施例的可替代 MIP密钥产生及分发过程。图5b为本实施例的基于IP地址的CMIP密钥的产生与分发流程图。如图5b所示，包括如下步骤步骤l:初始验证以及重验证过程中，移动节点顧与AAA服务器由MN-AAA-K 或预配置密钥计算MN-AAA-SUB-K, AAA服务器下发MIP密钥的根密钥至锚鉴权者。其中，所述的根密钥可以是MN-AAA-SUB-K本身，也可以是另外的根密钥， 如MSK/EMSK/MIP-RK等。步骤2: FA向移动节点MN发送路由器广播消息；步骤3:移动节点MN发起移动IP注册请求过程，MIP-RRQ消息中携带用 MN-AAA-SUB-K计算出来的MN-AAA-AE， FA收到这个消息后，发送给家乡代理HA; 步骤4:家乡代理HA告知AAA服务器计算密钥的HA-IP，请求验证信息并且请求密钥MN-HA-K以及FA-HA-K; AAA月1务器也利用MN-AAA-SUB-K进行验证，如
果—验证通过，就计算密钥并且下发到HA;
步骤5:家乡代理HA得到请求的密钥(MN-HA-K,也可以包括FA-HA-K )以
后，处理移动IP注册请求，如果注册允许，则发送MIP-RRP (携带顧-HA-AE，
也可以包括FA-HA-AE)到FA。 FA向锚鉴权者请求MN-FA-K以及FA-HA-K (如果
需要)。然后，FA验证收到的MIP-RRP消息。验证成功后，向移动节点MN发送
携带MN-FA-AE， MN-HA-AE的MIP-RRP消息；
步骤6:移动节点计算MN-FA-HA-K并验证来自FA的MIP-RRP消息。 步骤7-9:目标FA向移动节点MN发送路由器广播消息；移动节点收到所
述的广播消息重新发起移动IP注册请求，进行类似步骤3-5的移动IP注册过程。
实施例3:直接携带MN-FA-AE的密钥分发
在网络最外层保证安全性的情况下，本实施例同样可以提供满足条件的 方案。
(1 ) PMIPv4密钥的产生与分发 如图7a所示，包括如下步骤
步骤1.在接入验证或者重新鉴权认证过程中，AAA服务器依据MN-AAA-K (或预配置密钥)计算出MN-AAA-SUB-K,并且把包括MN-AAA-SUB-K和根密钥 的密钥信息下发到锚鉴权者(Anchor Authenticator )。
所述根密钥可以就是MN-AAA-SUB-K本身，也可以是其他的根密钥，如MSK、 EMSK、或MIP-RK等。当所述根密钥是MN-AAA-SUB-K本身时，MN-AAA-SUB-K 既用于产生MN-AAA-AE，还用于计算MIP密钥；在MIP密钥的根密钥为其他根 密钥的情况下，MN-AAA-SUB-K可专门用于产生MN-AAA-AE，而由其他的才艮密 钥(如MIP-RK)计算MIP密钥。
锚鉴权者和AAA服务器都计算出MN-FA-K ( AAA服务器需要的参数在鉴权认证过程中由锚鉴权者通知给AAA服务器(如通过Access Request消息))， AAA服务器与锚鉴权者计算顧-FA-K时采用的是相同的算法。另外，还可以由 AAA服务器计算匪-FA-K后直接下发MN-FA-K至锚鉴权者。
步骤2. PMIP-客户端和锚鉴一又者通过内部交互共享此MN-AAA-SUB-K信息。 由于PMIP-客户端和锚鉴权者共同位于一个物理实体，所以两者之间可以 共享密钥信息。
步骤3. PMIP-客户端得到MN-AAA-SUB-K以后，就可以计算MN-AAA-AE并 且:fe照RFC3957的定义触发MIP注册过程。优选地，所述MIP注册过程为首次 MIP注册过程。
触发MIP注册后的整个移动IP注册过程(图7a中步骤3-5)都可以按 照RFC 3957进行(此时仅仅请求MN和HA之间的随机数，而无需请求MN和FA 之间的随4几数)。同时，在注册请求中携带MN-FA-AE。 ^旦和RFC3957过程的 区别在于，FA不直接与AAA交互。现有RFC3957规定的注册过程中，FA收到 MIP注册请求以后，就直接向AAA请求密钥，然后AAA计算密钥以及随机数， 下发到FA和HA。但是，目前WiMAX网络FA不直接向AAA请求，所以，FA 直接转发MIP注册请求到HA,由HA和AAA交互密钥以及随机数(见步骤4 )。 对于本实施例，在FA能直接与AAA服务器交互时，就可以完全按照RFC3957 过程进行。
由于FA也和锚鉴权者共同位于一个物理实体，可以通过内部交互共享锚 鉴权者获得的MIP密钥信息。
步骤4. HA收到移动IP注册请求后，根据是否携带MN和AAA之间的认 证扩展應-AAA-AE判断是否向AAA请求密钥，如果移动IP注册请求中携带 MN-AAA-AE,则向HAAA服务器请求HA相关MIP密钥(MN—HA-K，还可以包括 FA-HA-K)以及产生MIP密钥所需的随机数(顧-HA之间随机数)。如果HA位 于拜访网络，则这个请求消息由VAAA转发。AAA月l务器也利用MN-AAA-SUB-K 进行验证，并在验证成功后，下发MN-HA-K和FA-HA-K (如果需要)以及随机数到HA。步骤5. HA处理MIP注册请求。如果注册成功，HA返回移动IP注册报告 MIP-RRP给FA,消息中携带认证扩展(顧-HA-AE,也可以包括FA-HA-AE )及随 机数。锚鉴权者根据AAA下发的MIP根密钥信息并结合MIP注册过程下发的随 机数计算出移动节点MN和HA之间的MIP密钥MN-HA-K,以及FA和家乡代理 HA之间的MIP密钥FA-HA-K。如果步骤3中FA没有得到FA-HA-K, FA通过内 部交互从锚鉴权者获得FA-HA-K，并验证所述MIP注册纟艮告MIP-RRP。 liS正成功 后FA发送携带认证扩展(MN-FA-AE以及MN-HA-AE )的移动IP注册净艮告MIP-RRP至PMIP-客户端。同样，PMIP-客户端通过内部交互从锚鉴权者获得MN-HA-K和MN-FA-K, 并验证来自FA的MIP-RRP。步骤6.如果FA发生了迁移，PMIP-client会受到R3迁移的实体的触发， 锚鉴权者或者PMIP-C1 ient刷新一次MN-FA-K。 MN-FA-K刷新的可选方法如下利用MN和原FA的共享密钥以及移动节点MN和目标FA ( TFA )之间共享 的信息(例如TFA-IP )计算一个新的MN-TFA-K;或者，把共享密钥(MN和原FA之间的MN-FA-K)作为才艮密钥重新代入计 算公式，算出新的MN-TFA-K。当然，密钥的刷新方式不限于此两种方式。在R3迁移过程中，MIP密钥的根密钥信息由服务接入服务网络网关 (ASN-GW )传到了目标ASN-GW (如果不传递根密钥，则目标ASN-GW需要通过 接入网内部原语向服务ASN-GW请求计算子密钥)。经过类似于步骤3-5中的 MIP注册过程，目标FA也可以建立起和移动节点MN之间的安全联盟。但与步骤 3-5的MIP注册过程的不同在于，由于MN-HA-K并没有变化，此时的MIP注册请求 可以不再请求MN-HA的随机it。另夕卜，在FA迁移时，也可以以接入认证和重新鉴权认证的方式重新执行 步骤3-5中的MIP的注册过程(此时需要重新请求MN-HA之间的随机数)。步骤7.如果步骤6中R3迁移的目标FA不存在和HA的共享密钥，锚鉴权 者和AAA服务器也需要同时刷新FA-HA-K，目标FA向服务FA请求原来的根密 钥或者FA-HA-K，然后刷新为TFA-HA-K;或者是直接请求TFA-HA-K。刷新方 式可以选择如下
利用HA/AAA和原FA共享密钥以及HA/AAA和目标FA之间共享的信息(例 如FA-IP )计算一个新的MN-TFA-K;
或者，把该共享密钥作为根密钥重新代入计算公式，算出新的TFA-HA-K。 当然，密钥的刷新方式不限于此。
本实施例中对密钥刷新的算法并无限定，只要进行刷新的双方算法一致 就可以了。
然后，当HA收到带有MN-AAA-AE的移动IP注册请求后，要向AAA月l务 器请求TFA-HA-K, AAA在收到HA的请求以后也按照刷新算法计算TFA-HA-K, 然后下发TFA-HA-K给HA。后续4妄入移动节点MN就可以利用这里建立的TFA-HA-K 在移动IP注册。
(2) CMIPv4密钥的产生与分发 如图7b所示，包括如下步骤
步骤1.在接入验证或者重新鉴权认证过程中，移动节点MN及AAA服务器 依据MN-AAA-K (或预配置密钥)计算出MN-AAA-SUB-K。
移动节点MN以及AAA月良务器还计算出MN-FA-K ( AAA需要的参数在认证 过程中由锚鉴权者通知给AAA服务器)，然后AAA服务器下发MN-FA-K到锚 鉴权者，移动节点与AAA服务器计算MN-FA-K时采用相同的算法；或者，由 移动节点丽以及锚鉴权者用相同的算法计算出MN-FA-K;也可以在后续步骤 2中计算。
AAA服务器把包括移动IP密钥的根密钥下发到锚鉴权者。其中，所述根 密钥可以是MN-AAA-SUB-K本身，也可以是另外一个根密钥，如MSK、 EMSK、或MIP-RK等，以计算MIP密钥。
步骤2.外部代理FA发送代理广播给移动节点MS。如果步骤1中移动节 点MN没有获得MN-FA-K，此时可以计算MN-FA-K。
步骤3.移动节点MS收到外部代理FA发送的代理广播以后，就可以利用 MN-AAA-SUB-K计算MN-AAA-AE并且按照RFC3957的定义触发移动IP注册过程 (此时仅仅请求MN和HA之间的随机数，而无需请求MN和FA之间的随机数)。 同时，移动IP的注册消息也携带顧-FA-AE。
触发MIP注册后的整个移动IP注册过禾呈都可以:接照RFC3344以及RFC 3957进行。和RFC3957区别在于，FA不直接与AAA交互，而是验证了 MN-FA -AE以后直接发送MIP注册请求到HA，由HA和AAA交互密钥以及随机H FA 也可以加入交互过程，在FA直接与AAA服务器交互时，就可以完全按照RFC3957 过程进行，但不需请求MN和FA之间的随机数。
由于FA和锚鉴权者共同位于一个物理实体，可以通过内部交互与锚鉴权 者共享密钥信息。
步骤4. HA收到移动IP注册请求后，如果移动IP注册请求中携带MN-AAA -AE,则向HAAA服务器请求验证并请求HA相关MIP密钥(MN-HA-K,还可以 包括FA-HA-K)以及随机数(MN-HA之间随机数)。HAAA在验证成功后，下发 MN-HA-K和FA-HA-K (如果请求)和随机数至HA。
步骤5.HA处理MIP注册请求。如果注册成功，HA返回移动IP注册I艮告 MIP-RRP给FA，消息中携带认证扩展(MN-HA-AE，也可以包括FA-HA-AE )及 随机数。
锚鉴权者根据AAA下发的MIP根密钥信息并结合MIP注册过程下发的随 机数计算出FA和家乡代理HA之间的MIP密钥FA-HA-K， FA通过内部交互从 锚鉴权者获得FA-HA-K,并验证所述MIP-RRP。验证成功后再发送至移动终端 MS (即CMIP-客户端)。
同样，移动终端MS (即CMIP-客户端)通过获得的随机数以及根密钥计算获得MN-HA-K,并验证来自FA的MIP-RRP。步骤6.如果FA发生了迁移，MS收到目标FA的代理广播消息以后，刷新 一次MN-FA-K。 MN-FA-K刷新的可选方法如下利用MN和原FA的共享密钥以及移动节点MN和目标FA之间共享的信息 (例如TFA-IP )计算一个新的MN-TFA-K;或者，把共享密钥作为根密钥重新代入计算公式，算出新的MN-TFA-K。 当然，密钥的刷新方式不限于此两种方式。在R3迁移过程中，MIP密钥的根密钥信息以及其他R3迁移必要信息由服 务接入服务网络网关(ASN-GW)传到了目标ASN-GW (如果不传递根密钥，则 目标ASN-GW需要通过接入网内部原语向服务ASN-GW请求计算子密钥)。经 过类似于步骤3-5中的MIP注册过程，目标FA也可以按照MN刷新密钥的方法 建立起和移动节点MN之间的安全联盟。但与步骤3-5的MIP注册过程的不同在 于，由于MN-HA-K并没有变化，此时的MIP注册请求可以不再请求MN-HA的 随机数。另夕卜，在FA迁移时，也可以以接入认证和重新鉴权认证的方式重新执行 步骤3-5中的MIP的注册过程(此时需要重新请求MN-HA之间的随机数)。步骤7.如果步骤6中R3迁移的目标FA不存在和HA的共享密钥，锚鉴权 者和AAA服务器也需要同时刷新FA-HA-K，方式可以选择如下利用HA/AAA和原FA共享密钥以及HA/AAA和目标FA之间共享的信息(例 如FA-IP )计算一个新的MN-TFA-K;或者，把该共享密钥作为根密钥重新代入计算公式，算出新的TFA-HA-K。 当然，密钥的刷新方式不限于此。然后，当HA收到带有廳-AAA-AE的移动IP注册请求后，要向AAA服务 器请求TFA-HA-K，此时下发TFA-HA-K给HA。后续接入移动节点MN就可以利 用这里建立的TFA-HA-K在移动IP注册。在上述各实施例中，FA-HA之间的密钥还可以在接入验证或重新鉴权认证过程中，由锚鉴权者根据AAA服务器下发的根密钥计算得出，或者由AAA服 务器直接下发到锚鉴权者。
如果FA和HA之间已经有共享密钥，所有丽的移动节点的MIP注册请求 都可携带FA-HA-AE。 FA通过与锚鉴权者的内部交互就可以获得FA-HA-K。
在如上各实施例的移动IP的注册请求中，FA和HA之间还没有共享密钥 的时候，第一个MN的MIP注册请求，不携带FA-HA-AE,但是要在这个过程中 建立共享密钥，然后MIP净艮告中携带FA-HA-AE。具体的
(1)如果FA-HA-K和当前注册MN无关，即计算/>式中不含有MSK/EMSK 等当前注册MN相关密钥，那么在每一对FA和HA之间的第 一个MN的MIP注 册过程就可以为FA-HA建立一个共享密钥(可以和这第一个MN相关或者不相 关，但是对后续MN不相关)以及安全联盟，后续的MIP注册就可以直接利用， 即不需要在后续MN的接入验证过程中下发类似的密钥信息，这样，FA和HA 之间的MIP注册请求消息可以用FA-HA-K达到完整性保护的目的(FA-HA-AE 没有在图中标出)；
(2 )如果FA-HA-K和当前注册MN相关，对于每个MN第一次MIP注册的 请求消息就无法携带FA-HA-AE,但注册报告可带FA-HA-AE。后续，这个MN 的MIP注册都可以携带FA-HA-AE,此时FA和HA之间的MIP注册可以用FA-HA-K 达到完整性保护的目的。
另外，在本发明实施例中，FA与HA之间的移动IP密钥还可以通过预配 置产生，如果FA-HA是预配置的，那么就类似上述(l)中FA-HA共享密钥以 及安全联盟建立好以后的情形，都可以携带FA-HA-AE，因此同样FA和HA之 间的MIP注册请求消息可以用FA-HA-K达到完整性保护的目的。
实施例4: MIPv6中MIP密钥的产生及分发
本发明同样适用于MIPv6，下面分别举例说明PMIPv6模式及CMIPv6模式下 移动IP密钥的产生及分发。(1) PMIPv6密钥的产生与分发 如图6a所示，包括如下步骤步骤l:在接入验证或者重新鉴权认证过程中，AAA服务器依据顧-AAA-K 或预配置密钥计算出MN-AAA-SUB-K,并且把包括MN-AAA-SUB-K和根密钥的密 钥信息下发到锚鉴权者。所述的才艮密钥可以为MN-AAA-SUB-K本身，也可以是另外的才艮密钥，如 MSK/EMSK/MIP-RK等。步骤2:由于PMIP-client和锚鉴权者共同位于一个物理实体，所以两者 可以通过内部交互共享此MN-AAA-SUB-K信息。如果可能得到计算MN-HA-K的所 有参数，也可以共享MN-HA-K。步骤3: PMIP-Client发送绑定更新BU,携带由MN-AAA-SUB-K计算出的 匪-AAA-AE。步骤4:家乡代理HA收到步骤3中所发送的消息，就向AAA请求验证以及 MN-HA-K，此时不关心MN-HA-K具体如何产生，但应和MN(本实例就是 PMIP-Client )上的产生方式一致。AAA验证了完整性后，如果成功则下发 MN-HA-K。步骤5:家乡代理HA处理BU消息，如果绑定成功，则发送绑定确认BA 消息，携带由MN-HA-K计算出的MN-HA-AE。 PMIP-Client如果在步骤2中就 已经获得了 MN-HA-K,那么此时就可以—险i正BA消息了；否则，此时向锚鉴^又 者请求MN-HA-K。(2) CMIPv6密钥的产生与分发 如图6b所示，包括如下步骤步骤1:在接入验证或者重新鉴权认证过程中，移动节点MN及AAA服务 器依据MN-AAA-K (或预配置密钥)计算出MN-AAA-SUB-K。步骤2:移动节点MN发送BU，携带由MN-AAA-SUB-K计算出的MN-AAA-AE。步骤3:家乡代理HA收到步骤2中所发送的消息，就向AAA请求验证以 及MN-HA-K，此时不关心MN-HA-K具体如何产生，但应和MN (本实例就是CMIP -Client)上的产生方式一致。AAA验、〖正了完整性后，如果成功则下发MN-HA-K。步骤4:家乡代理HA处理BU消息，如果绑定成功，则发送BA消息，携 带由MN-HA-K计算出的MN-HA-AE。移动节点MN已经获得了 MN-HA-K,此时就 可以验证BA消息了。实现如上实施例的移动IP密钥的产生及分发系统，可包括在接入验证或重新鉴权认证过程中，计算移动节点MN和认证授权计费AAA 服务器之间的子密钥的装置(例如对于代理移动IP模式，计算移动节点MN和 认证授权计费AAA服务器之间的子密钥的装置为AAA服务器；对于客户端移动IP 模式，所述计算移动节点MN和认证授权计费AAA服务器之间的子密钥的装置为 AAA^I1务器和移动终端)；根据所述子密钥计算移动节点和AAA服务器之间的认证扩展的装置(例 如，对于代理移动IP模式，根据所述子密钥计算移动节点和AAA服务器之间的 认证扩展的装置为锚鉴权者；对于客户端移动IP模式，所述根据所述子密钥 计算移动节点和AAA服务器之间的认证扩展的装置为移动终端)；移动节点，用于发起移动IP注册请求或绑定更新请求，所述请求中携带 由所述子密钥产生的移动节点和AAA服务器之间的认证扩展；家乡代理，用于根据注册请求或绑定更新请求中的所述认证扩展向AAA服 务器请求密钥；以及外部代理，用于进行移动IP注册请求的转发。综上所述，本发明如上的实施例可清楚使得PMIP客户端可以在移动节点 顧和AAA服务器之间的密钥(MN-AAA-K)不下发的情况下计算移动节点MN和AAA 服务器之间的认i正扩展(MN-AAA-AE);并统一 了网络工作组(NWG )中CMIP和 PMIP在重验证(包含MIPv6),以及FA迁移(不包含MIPv6)通知HA的过程；并 且如上实施例合理利用已有的RFC过程实现NWG的移动IP注册过程；同时通过采用随机数计算密钥避免了用IP地址作为计算移动IP密钥的参数所带来 的复杂性。实施例5另外，针对现有技术中存在的问题，本发明实施例还提出了一种可替代的密钥分发方案，如果可替代方案中MN-HA-K以HA-IP作为输入参数，MS不知 道HA地址的时候发起移动IP注册请求，就携带匪-HA-AE，但此时只能用全0/ 全l，或者其他特殊值计算顧-HA-K。但后续又需要使用实际HA单播IP地址计 算的MN-HA-K，基于此，本替代方案的基本思想为如果顧不知道HA的情况下，用全0/l作为HA-IP计算MN-HA-Kl，然后 用MN-HA-K1计算MN-HA-AE1。而HA要能够验证MN-HA-AE1就必须拥有MN-HA-K1 。但是为了能够体现真实单播HA-IP， HA发送的MIP-RRP携带MN-HA-AE2, MN-HA-AE2必须由MN-HA-K2计算。HA要能够计算MN-HA-AE2就必须拥有MN-HA-K2 。由此，当HAj]t^MIP-RRQ然后向AAA请求的时候，AAA必须下发两个MN-HA-K。 对于CMIP才莫式下MN-HA密钥分发，包4^口下步骤(如图8所示) 步骤l: MS收到FA广播。步骤2: MS发起移动IP注册请求，此时MS不知道HA地址，就用全0/全l进 行计算MN-HA-K1，然后计算MN-HA-AE1,并携带在所述注册请求中。可选的， 所述移动IP注册请求中还可携带用于指示利用MN-HA-K1来验证携带的认证扩 展的指示信息。步骤3: HA收到携带有MN-HA-AE1的MIP注册请求以后，向AAA请求密钥， 此时应该请求两个密钥， 一个是用全0/l等特殊值计算出来的顧-HA-Kl, —个 是用后续使用的单播HA地址计算出来的MN-HA-K2。步骤4: AAA下发HA所请求的密钥信息。步骤5: HA用MN-HA-Kl验证移动IP注册请求中的MN-HA-AEl,并且处理移 动IP注册请求，发送移动IP注册才艮告到FA。移动IP注册报告中携带MN-HA-K2 计算出来的MN-HA-AE2。
步骤6: MS收到移动IP注册报告以后，可以从中获得实际的HA单播IP 地址，并且计算出MN-HA-K2,并用来一险证移动IP注册报告的MN-HA-AE2。
图8仅用作举例来示意本实施例的CMIP模式下的MN-HA密钥分发，并非 用于限定本发明。本发明同样适用于PMIP模式。
图9a及图9b为本实施例中PMIP模式下MN-HA密钥的分发过程示意图。 如图9a所示，包括如下步骤
步骤l，移动节点(PMIP Client)发送MIP注册请求(携带全0/l计算出 来的MN-HA-K1产生的验证扩展MN-HA-AE1 )至外部代理。所述移动IP注册请求 消息中还可携带指示利用MN-H A-K1来—险证携带的认证扩展的指示信息。
步骤2，外部代理接收所述MIP注册请求，并发送到家乡代理。
步骤3,家乡代理收到携带有MN-HA-AE1的MIP注册请求后，向AAA服务器 请求MN-HA之间的密钥(如利用Access-Request消息向AAA请求密钥)。此时 应该请求两个密钥， 一个是用全0/l等特殊值计算出来的MN-HA-K1, —个是用 后续使用的单^番HA地址计算出来的MN-HA-K2。
步骤4， AAA服务器返回Access-Acc印t (携带两个密钥 一个由全0/l计 算出来的MN-HA-K1; —个是由真实HA地址计算出来的MN-HA-K2 )至家乡代理。
步骤5,家乡代理用MN-HA-Kl验i正并且处理MIP注册请求，然后发ii!MIP注 册报告到外部代理，该注册报告携带真实HA地址计算出来的MN-HA-K2产生的 验i正扩，N-HA-AE2。此时，家乡代理可以删除MN-HA-Kl。
步骤6,外部代理处理MIP注册请求，并且发送给PMIP Client。如果 PMIP Client此前尚未获得HA的地址，则其收到移动IP注册才艮告以后，可以 从中获得实际的HA单播IP地址，并且计算出MN-HA-K2，并用来验证移动IP 注册报告的MN-HA-AE2。图8和图9a对应的密钥分发流程中，用Q/1作为HA地址计算的MN-HA
密钥，可在此次iU正有效期内的MIP注册过程都用这个密钥。
实现上述图8和图9a对应的密钥分发的系统包括移动节点(匪或PMIP Client),家乡代理及外部代理；
所述移动节点用于发送移动I P注册请求，该请求携带由IP地址替代值计
算的移动节点与家乡代理之间的密钥MN-HA-Kl产生的认证扩屑ilN-HA-AE1; 所述家乡代理用于接收到移动IP注册请求，向认证服务器请求密钥MN-HA
-K1以及利用家乡代理IP地址计算出的移动节点与家乡代理之间的密钥MN-HA
-K2,并于利用MN-HA-K1—验证注册请求中的MN-HA-AE1成功后，发送携带由所
述MN-HA-K2产生的认证扩展MN-HA-AE2的移动IP注册报告至外部代理； 所述外部代理用于发送携带應-HA-AE2的注册报告至移动节点； 所述移动节点利用计算的MN-HA-K2验证所述MN-HA-AE2。 由于PMIP Client处于接入服务网络网关(ASN-GW)上，HA的地址可以
已经下发到了 ASN,所以PMIP Client可以同时获得MN-HA-K1以及MN-HA-K2。
此时上述步骤1的MIP注册请求中就还可以携带真实HA地址计算出来的MN-HA
-K2产生的駘，证扩展MN-HA-AE2 。
因此，PMIP才莫式下MN-HA密钥的分发过程还可以如下(如图9b所示) 步骤l， PMIP Client发送MIP注册请求(携带真实HA地址计算出来的MN-H
A-K2产生的验证扩展MN-HA-AE2 ，同时还可携带全0/1计算出来的MN-HA-K1产
生的-睑i正扩展MN-HA-AE1 )到外部代理。
此时，为了家乡代理能够正确处理来自CMIP以及PMIP终端的MIP注册请求,
MIP注册请求中需要指明是哪个密钥(MN-HA-K1或MN-HA-K2，此实施实例是MN
-HA-K2)被用于产生验证扩展。
步骤2,外部代理接收所述MIP注册请求，然后发送到家乡代理。
步骤3,家乡代理收到携带有MN-HA-AE2的MIP注册请求后，发送
Access-Request向AAA月良务器请求MN-HA之间的两个密钥 (MN-HA-Kl以及MN-HA-K2)。或者，在Access-Request中指明只请求MN-HA-K2。步骤4， AAA服务器返回Access-Accept (携带两个密钥 一个由全0/l计算出来的MN-HA-K1; —个是由真实HA地址计算出来的MN-HA-K2 )到家乡代理；如果步骤3中指明了仅仅请求顧-HA-K2,那么就只发送MN-HA-K2到家乡代理。 步骤5，家乡代理依据移动IP注册请求的指示选择密钥进行验证，本实施实例采用MN-HA-K2一验证并且处理MIP注册请求，然后发送MIP注册净艮告到外部代理，携带真实HA地址计算出来的MN-HA-K2产生的验证扩展。此时家乡代理可以删除MN-HA-K1。步骤6，外部代理处理MIP注册请求，并且发送给PMIP Client。图9b对应的密钥分发流程中，可在第一次发送MIP注册请求的时候用MN-HA-Kl，后面的MIP注册请求以及应答中用MN-HA-K2。实现图9b对应的密钥分发的系统包括代理移动IP客户端，家乡代理及夕卜部代理；所述代理移动IP客户端用于发送移动IP注册请求至外部代理，并携带真 实HA地址计算出来的MN-HA-K2产生的验证扩展MN-HA-AE2，同时还可携带全0/ l计算出来的匪-HA-Kl产生的验证扩展MN-HA-AEl;为了家乡代理能够正确处 理MIP注册请求，MIP注册请求中可指明是哪个密钥(MN-HA-K1或MN-HA-K2, 此实施实例是MN-HA-K2 );陂用于产生—睑证扩展。所述家乡代理用于接收到移动IP注册请求，向AAA服务器请求MN-HA之间 的两个密钥(MN-HA-Kl以及MN-HA-K2 ),或者，指明只请求MN-HA-K2,并于 利用MN-HA-K2验证注册请求中的MN-HA-AE2成功后，发送携带真实HA地址计算 出来的MN-HA-K2产生的认证扩展的移动IP注册报告至外部代理；所述外部代理处理MIP注册请求，并且发送给PMIP Client。MN不知道HA地址时只能用全0/全1或者其他特殊值计算MN-HA-K, —个 MN同时和两个HA通信的场景下，两个HA将共同拥有一个相同的密钥，这在 安全上是不合理的。而如上实施例中MIP注册过程应用从0/1计算出来的密钥只是顧不知道HA地址时候的临时方案；而在正式的密钥MN-HA-K2计算公 式中是有HA地址的，从而避免了安全上的不合理。上述本发明实施例的可替代的密钥分发方案强调的是HA和AAA之间的交 互，即AAA需有能力下发两个MN-HA-K。至于MIP注册请求以前的流程及其它 流程，通过现有技术就可以轻易的实现，因此本方案并不强调也不关心，故 省略对其的说明。以上具体实施方式
仅用于说明本发明，而非用于限定本发明。凡在本发 明的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本 发明的保护范围之内。
权利要求
1.一种移动IP密钥的产生及分发方法，其特征在于，该方法包括认证授权计费AAA服务器计算移动节点和AAA服务器之间的子密钥，以根据该子密钥计算移动节点和AAA服务器之间的认证扩展；在移动节点发起的移动IP注册请求或绑定更新请求中携带由所述子密钥产生的移动节点和AAA服务器之间的认证扩展，AAA服务器接收来自家乡代理HA根据所述注册请求或绑定更新请求携带的认证扩展，下发给家乡代理所要请求的密钥。
2. 根据权利要求l所述的方法，其特征在于所述移动I P注册请求为接入验证或重新鉴^又认证后，移动节点首次发起 的移动IP注册请求。
3. 根据权利要求l所述的方法，其特征在于 AAA服务器计算得到移动节点和AAA服务器之间的子密钥，下发包括所述子密钥和移动IP密钥的根密钥的密钥信息至锚鉴权者；AAA服务器接收家乡代理根据所述认证扩展发送的请求，验证所述请求成 功后，AAA服务器下发给家乡代理相关密钥、匪-HA之间的随机数以MN-FA之 间的随机数。
4. 根据权利要求3所述的方法，其特征在于 所述移动IP密钥的根密钥包括移动节点和AAA服务器之间的子密钥本身、主会话密钥MSK、可扩展的主会话密钥EMSK、或者移动IP根密钥中的一种 或多种。
5. —种移动IP密钥的产生及分发方法，其特征在于，该方法包括 移动节点获取移动节点和AAA服务器之间的子密钥； 根据获取的子密钥，计算移动节点和AAA服务器之间的认证扩展； 发起的移动IP注册请求或绑定更新请求，所述移动IP注册请求或绑定更新请求携带移动节点和AAA服务器之间的所述认证扩展； 接收来自于AAA服务器的随机数；移动节点根据获取的子密钥及来自于AAA服务器的随机数，计算移动节点 相关密钥，所述随机数是根据移动IP注册请求或绑定更新请求携带的所述认 证扩展A得到。
6. 根据权利要求5所述的方法，其特征在于 所述移动节点相关密钥包括移动节点和外部代理之间的密钥MN-FA-K、和/或移动节点和家乡代理之间的密钥MN-HA-K。
7. 根据权利要求5所述的方法，其特征在于 移动节点获取移动节点和AAA服务器之间的子密钥还包括以下步骤 移动节点计算得到移动节点和AAA服务器之间的子密钥； 或者移动节点通过与锚鉴权者的共享，获得子密钥。
8. 根据权利要求5所述的方法，其特征在于所述步骤还包括 移动节点与所述锚鉴权者共享子密钥，并触发移动IP注册请求，该移动IP注册请求中携带由所述子密钥产生的和AAA服务器之间的认证扩展以及移动 节点与FA之间的认证扩展。
9. 根据权利要求5所述的方法，其特征在于 移动节点于收到外部代理发送的代理广播后，计算MN和外部代理FA之间的密钥并触发移动IP注册请求，该注册请求携带由所述子密钥计算的移动节 点与A A A之间的认证扩展。
10. 根据权利要求6-9中任意一项所述的方法，其特征在于 在外部代理发i迁移时，移动节点与锚鉴权者进行移动节点与外部代理之间的密钥的更新，以得到新的移动节点与目标外部代理之间的密钥。
11. 根据权利要求10所述的方法，其特征在于 所述移动IP注册请求还携带移动节点和家乡代理之间的认证扩展，和/或外部代理和家乡代理之间的认证扩展。
12. —种移动IP密钥的产生及分发装置，其特征在于，包括 子密钥计算单元，用于计算移动节点和AAA服务器之间的子密钥，以根据该子密钥计算移动节点和AAA服务器之间的认证扩展；请求单元，用于发起的移动IP注册请求或绑定更新请求，在移动节点发 起的移动IP注册请求或绑定更新请求中携带由所述子密钥产生的移动节点和 AAA服务器之间的认证扩展；接收单元，用于接收来自家乡代理HA根据所述注册请求或绑定更新请求 携带的认证扩展，下发给家乡代理所要请求的密钥。
13. 根据权利要求12所述的装置，其特征在于子密钥计算单元，还用于下发包括计算得到的子密钥和移动IP密钥的根 密钥的密钥信息至锚鉴权者；接收单元，在接收家乡代理根据所述认证扩展发送的请求，验证所述请 求成功后，下发给家乡代理相关密钥、MN-HA之间的随机数以及MN-FA之间的 随机数。
14.一种移动IP密钥的产生及分发装置，其特征在于，包括 子密钥获取单元，用于获取移动节点和AAA服务器之间的子密钥； 认证扩展生成单元，用于根据获取的子密钥，计算移动节点和AAA服务器 之间的iU正扩展；请求单元，用于发起的移动IP注册请求或绑定更新请求，所述移动IP注 册请求或绑定更新请求携带移动节点和AAA服务器之间的所述认证扩展；随机数接收单元，用于接收来自于AAA服务器的随机数；密钥验证单元，用于根据获取的子密钥及来自于AAA服务器的随机数，计 算移动节点相关密钥，所述随机数是根据移动IP注册请求或绑定更新请求携 带的所述认证扩展得到。
15.根据权利要求14所述的装置，其特征在于所述移动节点相关密钥包括移动节点和外部代理之间的密钥MN-FA-K、和/或移动节点和家乡4戈理之间的密钥MN-HA-K。
16. 根据权利要求14所述的装置，其特征在于子密钥获取单元，还用于计算得到移动节点和AAA服务器之间的子密钥， 或者通过与锚鉴权者的共享获得子密钥。
17. 根据权利要求14所述的装置，其特征在于 所述移动IP注册请求中携带由所述子密钥产生的和AAA服务器之间的认证扩展以及移动节点与FA之间的认证扩展。
18. 根据权利要求14所述的装置，其特征在于所述请求单元，用于在收到外部代理发送的代理广播后，计算丽和外部 代理FA之间的密钥并触发移动IP注册请求，该注册请求携带由所述子密钥计 算的移动节点与A A A之间的认证扩展。
全文摘要
本发明实施例提供移动IP密钥的产生及分发方法和装置，包括在接入验证或重新鉴权认证过程中，计算移动节点MN和认证授权计费AAA服务器之间的子密钥，以根据该子密钥计算移动节点和AAA服务器之间的认证扩展；在移动节点发起的移动IP注册请求或绑定更新请求中携带由所述子密钥产生的移动节点和AAA服务器之间的认证扩展，根据注册请求或绑定更新请求中的所述认证扩展向AAA服务器请求密钥，由AAA服务器下发请求的密钥至家乡代理。
文档编号H04L9/18GK101291215SQ20081009257
公开日2008年10月22日 申请日期2007年2月15日 优先权日2007年2月15日
发明者吴建军, 梁文亮 申请人:华为技术有限公司