一种注册的方法、系统和装置的制作方法

专利名称：一种注册的方法、系统和装置的制作方法
技术领域：
本发明涉及通信领域，特别涉及一种注册的方法、系统和装置。
背景技术：
PMIPv6(Proxy Mobile Internet Protocol version 6，代理移动互联网协议第6 版)提供了一种基于网络的移动性管理协议，由网络实体跟踪MN(Mobile Node，移动节点) 的移动，并且初始化移动信令和建立通信所需的路由状态，MN无需参与任何的移动性管理 信令。PMIPv6中的核心功能实体包括LMA (Local Mobility Anchor,本地移动锚点)，或称 为HA(HomeAgent，家乡代理)，以及MAG (Mobile Access Gateway,移动接入网关)。MN通 过MAG接入网络，LMA/HA负责维护丽的路由可达信息，并且在拓扑上作为丽的家乡网络。 MAG是代表MN执行移动性管理的实体，负责在其接入链路上探测MN的移动。MAG代替MN 与LMA/HA进行注册，并将MN当前的路由信息通告给LMA/HA，如果不对MAG与LMA/HA之间 的注册过程中进行保护，则很容易通过伪造注册消息中的路由信息，对丽的通信或LMA等 网络设备进行攻击，因此需要对MAG与LMA/HA之间的注册过程进行保护。
WiMax(World Interoperability for Microwave Access,微波接入全球互通) 是一项基于IEEE (Institute of Electrical and Electronics Engineers,电气电子工 程师协会)802. 16标准的宽带无线接入城域网技术，其基本目标是提供一种在城域网中 点对多点的多厂商环境下，可有效的互操作的宽带无线接入手段。为了提供会话连续性， WiMax Forum(论坛)采用PMIPv6作为提供基于网络的移动性管理。在IETF (Internet Engineering Task Force,因特网工程任务组)所提供的规范中，只提及了采用静态配置的 IPsec (Internet Protocol security,因特网协议安全)保护MAG与LMA/HA之间注册过程 的方法，而在Wimax标准中需要动态自动配置的方式对MAG与LMA/HA间的注册过程进行保 护。 在实现本发明的过程中，发明人发现现有技术至少存在以下问题 无法实现动态自动配置的方式对MAG与LMA/HA之间的注册过程进行保护，无法满
足Wimax标准的要求。

发明内容
为了保护MAG与LMA/HA之间的注册过程，本发明实施例提供了一种注册的方法、 系统和装置。所述技术方案如下 —方面，本发明实施例提供了一种注册的的方法，所述方法包括 接收接入服务网络网关发送的第一代理绑定更新消息，获取认证、授权和记帐服
务器发送的第一密钥； 根据所述第一密钥生成第一消息验证码，向所述接入服务网络网关返回第一代理 绑定确认新消息，所述第一代理绑定确认新消息中携带所述第一消息验证码，以使所述接 入服务网络网关能根据所述接入服务网络网关获取的第一密钥对所述第一消息验证码进行验证； 在所述接入服务网络网关对所述第一消息验证码验证成功后，完成与所述接入服 务网络网关的注册。 另一方面，本发明实施例提供了一种注册的系统，所述系统包括
认证、授权和记帐服务器，用于发送第一密钥； 移动锚点，用于接收接入服务网络网关发送的第一代理绑定更新消息，获取所述 认证、授权和记帐服务器发送的所述第一密钥，根据所述第一密钥生成第一消息验证码，向 所述接入服务网络网关返回第一代理绑定确认新消息，所述第一代理绑定确认新消息中携 带所述第一消息验证码； 接入服务网络网关，用于向所述移动锚点发送所述第一代理绑定更新消息，接收 所述移动锚点返回的所述第一代理绑定确认新消息，根据其获取的第一密钥对所述第一代 理绑定确认新消息中携带的所述第一消息验证码进行验证，当验证成功时，完成与所述移 动锚点的注册。 另一方面，本发明实施例还提供了一种注册的装置，所述装置包括 第一接收模块，用于接收接入服务网络网关发送的第一代理绑定更新消息，获取
认证、授权和记帐服务器发送的第一密钥； 生成模块，用于根据所述第一接收模块获取的所述第一密钥，生成第一消息验证 码； 第一发送模块，用于向所述接入服务网络网关返回第一代理绑定确认新消息，所 述第一代理绑定确认新消息中携带所述生成模块生成的所述第一消息验证码，以使所述接 入服务网络网关能根据所述接入服务网络网关获取的第一密钥对所述第一消息验证码进 行验证。 另一方面，本发明实施例还提供了一种接入服务网络网关，所述接入服务网络网 关包括 确认消息接收模块，用于接收移动锚点返回的第一代理绑定确认新消息，所述第 一代理绑定确认新消息中携带所述第一消息验证码，所述第一消息验证码是由所述移动锚 点根据其获取的认证、授权和记帐服务器发送的第一密钥生成；
密钥获取模块，用于获取所述第一密钥； 验证模块，用于根据所述密钥获取模块获取的所述第一密钥对所述第一代理绑定 确认新消息中携带的所述第一消息验证码进行验证；当验证成功后，完成与所述移动锚点 的注册。
本发明实施例提供的技术方案的有益效果是 通过生成第一密钥，并使用第一密钥保护ASN-GW与LMA/HA间的注册过程，避免 MN、 LMA/HA受到网络攻击。


图1是本发明实施例1提供的一种注册的方法流程图；
图2是本发明实施例2提供的一种注册的方法流程图；
图3是本发明实施例3提供的一种注册的系统结构示意 图4是本发明实施例4提供的一种注册的装置结构示意图；
图5是本发明实施例4提供的另一种注册的装置结构示意图；
图6是本发明实施例5提供的一种接入服务网络网关的结构示意图。
具体实施例方式
为使本发明的目的、技术方案和优点更加清楚，下面将结合附图对本发明实施方 式作进一步地详细描述。 ASN-GW(ASN Gateway,接入服务网络网关)是实现WiMAX的一个关键设备，它扮演 了几个与用户站及网络核心连接时的重要关键角色，包括移动性管理、无线寻呼、接入认 证、鉴权分发及QoS(Quality of Service,服务质量)管理等。 本发明实施例中ASN-GW主要用于进行移动性管理，作为MAG，也就是ASN-GW主要 实现的是MAG的功能。
实施例1 本发明实施例提供了一种注册的方法，用于保护ASN-GW与LMA/HA之间的注册过 程，具体包括 101 :移动锚点接收接入服务网络网关发送的第一代理绑定更新消息，获取认证、 授权和记帐服务器发送的第一密钥； 102 :移动锚点根据第一密钥生成第一消息验证码，向接入服务网络网关返回第一
代理绑定确认新消息，第一代理绑定确认新消息中携带第一消息验证码，以使接入服务网
络网关能根据接入服务网络网关获取的第一密钥对第一消息验证码进行验证； 103:在接入服务网络网关对第一消息验证码验证成功后，移动锚点完成与接入服
务网络网关的注册。 进一步地，当验证成功后，接入服务网络网关再次与移动锚点进行注册时，该方法 还包括 接收接入服务网络网关发送的第二代理绑定更新消息，该第二代理绑定更新消息 中携带第二消息验证码，第二消息验证码由接入服务网络网关根据接入服务网络网关获取 的第一密钥生成； 根据获取的认证、授权和记帐服务器发送的第一密钥，验证第二消息验证码，当验 证成功后，根据第一密钥生成第三消息验证码； 向接入服务网络网关返回第二代理绑定确认消息，第二代理绑定确认消息中携带 第三消息验证码。 其中，认证、授权和记帐服务器发送的第一密钥是认证、授权和记帐服务器根据其 与接入服务网络网关之间的第二密钥，以及第二密钥和第一密钥关系算法生成的；则接入 服务网络网关获取的第一密钥也是根据第二密钥，以及第二密钥和第一密钥关系算法生成 的； 或者，认证、授权和记帐服务器发送的第一密钥和接入服务网络网关获取的第一 密钥是认证、授权和记帐服务器指定的。 其中，接入服务网络网关获取的第一密钥所根据的第二密钥和第一密钥关系算法 是认证、授权和记帐服务器发送的或是在本地预设的。
其中，上述移动锚点为本地移动锚点或家乡代理。 本实施例所示的方法，通过生成第一密钥，并使用第一密钥保护ASN-GW与LMA/HA 间的注册过程，避免丽、LMA/HA受到网络攻击。
实施例2 参见图l，本发明实施例提供了一种注册的方法，用于保护ASN-GW与LMA/HA之间 的注册过程，具体包括 201 :在ASN-GW与MN之间的接入认证交互完成后，ASN-GW向LMA/HA发送 PBU (Proxy Binding Update,代理绑定更新)消息。 其中，PBU消息中包含移动接入网关标识MAG-ID、消息验证码 MACl (MessageAuthentication Code) ， MACl是利用ASN-GW与AAA Server (Authentication AuthorizationAccounting Server,认证、授权、记帐服务器)之间的共享密钥Km生成的 完整性保护码，该MACl用于对整个PBU消息进行完整性保护；PBU消息中还可以携带安全 参数索引SPIl (Security Parameter Index)，安全参数索引SPIl用于索引共享密钥Km 及相关信息；可选的，为了防止重放攻击在PBU消息中还可以携带新鲜值，新鲜值可以是 TS1 (Time stamp,时间戳)或随机数Rl或SN1 (Serial Number,序列号)。
利用共享密钥Km生成MACl具体可以通过下式实现MACl = HMAC_SHA1 (Km， PBU 报文)，其中PBU报文为PBU消息中包含的数据，并且也可以通过现有技术中的其它方式生 成MACl。 并且需要说明的是，由于MACl是利用共享密钥Km生成的完整性保护码，该MACl 用于对整个PBU消息进行完整性保护，所以也可以说是利用Km对该PBU消息进行完整性保 护。 202 :LMA/HA接收到PBU消息后，向AAA Server发送请求消息AAA-Request。
其中，AAA-Request消息中包含PBU消息、LMA-ID ;可选的，为了防止重放攻击 AAA-Request消息中也可以携带新鲜值，新鲜值可以是TS2或随机数R2或SN2。
203 :AAA Sever接收到AAA-Request消息后，使用Km验证AAA-Request消息中的 PBU消息，验证通过后，根据Km计算ASN-GW与LMA/HA之间的共享密钥Kmh，计算出Kmh后， AAA Server向LMA/HA发送应答消息AAA-Acc印t。 其中，AAA-Acc印t消息包含共享密钥Kmh和计算Kmh的算法，可选的该 AAA-Acc印t消息中还可以包含安全参数索引SPI2，安全参数索引SPI2用于索引共享密钥 Kmh及相关信息。 其中，使用Km验证AAA-Request消息中的PBU消息具体是，AAA Sever根据Km、 AAASever中预先储存的计算消息验证码的算法及从接收到的AAA-Request消息中获得的 PBU消息中包含的PBU报文，生成消息验证码，然后将该消息验证码与MACl进行对比，如果 该消息验证码与MACl相同，则PBU消息通过验证，并且需要说明的是AAA Sever中预先储 存的计算消息验证码的算法与步骤201中计算MAC1的算法相同。
其中，根据Km计算ASN-GW与LMA/HA间的共享密钥Kmh可以利用如下公式
Kmh = HMAC_SHA256 (Km， MAG-ID) (1) 公式(1)中，HMAC—SHA256表示输出为256bit的哈希消息识别码生成函数，HMAC_ SHA256中的输入参数除了包含Km、MAG-ID和HMAC_SHA256本身所必需的参数外，还可以包含其它的参数。例如当PBU消息中携带新鲜值，并且新鲜值是TSl时，根据Kmh = HMAC_ SHA256 (Km， MAG-ID | TSl)计算Kmh ;当PBU消息中携带新鲜值，并且新鲜值是随机数Rl时， 根据Kmh = HMAC_SHA256 (Km， MAG-ID |R1)计算Kmh ;另外，当PBU消息中携带的新鲜值是 TS1，并且AAA-Request消息中携带的新鲜值是随机数R2时，根据Kmh = HMAC_SHA256 (Km， MAG-ID I TSl I R2)计算Kmh ;当PBU消息中携带的新鲜值是随机数Rl，并且AAA-Request消 息中携带的新鲜值是随机数R2时，根据Kmh = HMAC_SHA256 (Km， MAG-ID | Rl | R2)计算Kmh。
并且需要说明的是，根据Km计算ASN-GW与LMA/HA间的共享密钥Kmh除了可以利 用公式(1)夕卜，还可以利用现有技术中的其它方法。 204 :LMA/HA接收到AAA-Acc印t消息后，向ASN-GW发送PBA (Proxy BindingAcknowledge，代理绑定确认)消息。 其中，PBA消息中包含MAC2和计算Kmh的算法，MAC 2是利用Kmh生成的完整 性保护码，该MAC2用于对整个PBA消息进行完整性保护，计算Kmh的算法是从接收到的 AAA-Acc印t消息中获得的，并且需要说明的是，当在步骤203中计算Kmh时在公式(1)中包 含其他的参数时，相应的此步骤中计算Kmh时也包含其他的参数，并且与步骤203中包含的 其他的参数相同，也就是说步骤203和步骤204中计算Kmh时的参数是一致的；可选的PBA 消息中还可以包含TS、SPI2。 利用共享密钥Kmh生成MAC2具体可以通过下式实现MAC2 = HMAC_SHA1 (Kmh，PBA 报文)，其中PBA报文为PBA消息中包含的数据，并且也可以通过现有技术中的其它方式生 成MAC2。 另外需要说明的是，由于MAC2是利用共享密钥Kmh生成的完整性保护码，该MAC2 用于对整个PBA消息进行完整性保护，所以也可以说是利用Kmh对该PBA消息进行完整性 保护。 205 :ASN-GW接收到PBA消息后，根据Km及接收到的PBA消息中的计算Kmh的算 法，计算出Kmh，然后使用Kmh验证PBA消息，验证通过后，完成与LMA/HA的注册。
需要说明的是，当验证没有通过时，ASN-GW将重新发起注册过程。
在步骤205之后，当ASN-GW需要再次与LMA/HA进行注册时，具体的注册过程为
ASN-GW向LMA/HA发送PBU消息；LMA/HA接收到PBU消息后，利用共享密钥Kmh验 证PBU消息，验证通过后，向ASN-GW发送PBA消息；ASN-GW接收到PBA消息后，利用共享密 钥Kmh验证PBA消息，如果验证通过，则完成与LMA/HA的注册；否则ASN-GW重新发起注册。 其中，此处的PBU消息与步骤201中的PBU消息的区别在于，此处的PBU消息中包含的消息 验证码与步骤201中的PBU消息中包含的消息验证码不同，此处的PBA消息与步骤204中 的PBA消息的区别也在于他们中包含的消息验证码不同。因为此处的PBU消息中包含的消 息验证码，是利用共享密钥Kmh生成的，并且每次PBU消息中包含的PBU报文也不同，所以 每次PBU消息中包含的消息验证码不同，同理，PBA消息中每次包含的消息验证码也不同。 另外，需要说明的是，利用共享密钥Kmh验证PBU消息，当验证失败时，LMA/HA向ASN-GW发 送PBA消息，其中PBA消息中携带验证失败的原因。 从上述描述可以看出，ASN-GW与LMA/HA都得到Kmh后，直接使用Kmh对ASN-GW与 LMA/HA之间的注册过程进行保护，除非要更新Kmh，否则后续的ASN-GW与LMA/HA之间的注 册过程不必再到AAA Server验证。
另外需要说明的是，还可以在AAA Sever和ASN-GW中预先设置相同的计算Kmh的 算法，这样在步骤203中AAA Server向LMA/HA发送的应答消息AAA-Acc印t中就不包含计 算Kmh的算法，同时在步骤204中向ASN-GW发送的PBA消息中也不再包含计算Kmh的算法， 在步骤205中ASN-GW根据预先设置的的计算Kmh的算法(与AAA Sever中设置的计算Kmh 的算法相同)计算出Kmh。 本实施例所示的方法，通过在ASN-GW与LMA/HA之间的的注册过程中自动生成共 享密钥Kmh，实现了以动态自动配置的方式对ASN-GW与LMA/HA之间的注册过程进行保护， 避免MN、LMA/HA受到网络攻击，满足了 Wimax标准的要求；并且由于ASN-GW与LMA/HA之间 的共享密钥Kmh是在ASN-GW与LMA/HA之间的的注册过程中自动生成的，所以使得ASN-GW 可以在获取LMA/HA列表的情况下，根据实际情况从LMA/HA列表中选择任一 LMA/HA进行注 册。 实施例3 参见图2，本发明实施例提供了一种注册的方法，用于保护ASN-GW与LMA/HA之间 的注册过程，具体包括 301 :在ASN-GW与MN之间的接入认证交互完成后，AAA Sever为ASN-GW与LMA/HA 指定一个共享密钥Kmh，并通过应答消息AAA-Acc印t将共享密钥Kmh发送给ASN-GW。
本发明实施例中指定共享密钥Kmh具体为根据现有技术中生成密钥的算法中的 任何一种算法生成共享密钥Kmh，指定该共享密钥Kmh为ASN-GW与LMA/HA之间的共享密 钥；或根据实施例1中的生成共享密钥Kmh的公式(1)生成本发明实施例中的共享密钥 Kmh ;或是生成一个随机数，将这个随机数指定为ASN-GW与LMA/HA之间共享密钥Kmh。
302 :ASN-GW接收到共享密钥Kmh后，向LMA/HA发送PBU消息。
其中，PBU消息中包含MAG-ID、消息验证码MAC1， MAC1是利用Kmh生成的完整性 保护码，该MAC1用于对整个PBU消息进行完整性保护；PBU消息中还可以携带SPI， SPI用 于索引Kmh及相关消息；此外，为了防止重放攻击在PBU消息中还可以携带新鲜值，新鲜值 可以是TS1或随机数Rl或SNl。 其中，利用Kmh生成MAC1的过程与实施例1中生成MAC1的过程类似，此处不再赘 述。 并且需要说明的是，由于MAC1是利用共享密钥Kmh生成的完整性保护码，该MAC1 用于对整个PBU消息进行完整性保护，所以也可以说是利用Kmh对该PBU消息进行完整性 保护。 303 :LMA/HA接收到PBU消息后，向AAA Server发送请求消息AAA-Request。 其中，AAA-Request消息中包含PBU消息、LMA-ID ;此外，为了防止重放攻击
AAA-Request消息中也可以携带新鲜值，新鲜值可以是TS2或随机数R2或SN2。 304 :AAA Sever接收到AAA-Request消息后，使用Kmh验证AAA-Request消息中
的PBU消息，验证通过后，AAA Server向LMA/HA发送应答消息AAA-Acc印t。 其中，AAA-Acc印t消息中包含Kmh ;可选的AAA-Acc印t消息还可以包含安全索引
参数SPI。 其中，使用Kmh验证PBU消息的过程与实施例2中验证PBU消息的过程类似，此处 不再赘述。
305 :LMA/HA接收到AAA-Acc印t消息后，获得AAA-Acc印t消息中的Kmh，然后向 ASN-GW发送PBA消息。其中，PBA消息中包含MAC 2， MAC 2是利用Kmh生成的完整性保护码，该MAC2用
于对整个PBA消息进行完整性保护；可选的PBA消息还可以包含TS、 SPI2。 其中，利用Kmh生成MAC2的过程与实施例1中生成MAC2的过程类似，此处不再赘述。 并且需要说明的是，由于MAC2是利用共享密钥Kmh生成的完整性保护码，该MAC2 用于对整个PBA消息进行完整性保护，所以也可以说是利用Kmh对该PBA消息进行完整性 保护。 306 :ASN-GW接收到PBA消息后，使用Kmh验证PBA消息，验证通过后，完成与LMA/ HA的注册。 需要说明的是，当验证没有通过时，ASN-GW将重新发起注册过程。
在步骤306之后，当ASN-GW需要再次与LMA/HA进行注册时，具体的注册过程为 ASN-GW向LMA/HA发送PBU消息；LMA/HA接收到PBU消息后，利用共享密钥Kmh验证PBU消 息，验证通过后，向ASN-GW发送PBA消息；ASN-GW接收到PBA消息后，利用共享密钥Kmh验 证PBA消息，如果验证通过，则完成与LMA/HA的注册；否则ASN-GW重新发起注册。其中，此 处的PBU消息与步骤302中的PBU消息的区别在于，此处的PBU消息中包含的消息验证码 与步骤302中的PBU消息中包含的消息验证码不同，此处的PBA消息与步骤305中的PBA 消息的区别也在于他们中包含的消息验证码不同。因为此处的PBU消息中包含的消息验证 码，是利用共享密钥Kmh生成的，并且每次PBU消息中包含的PBU报文也不同，所以每次PBU 消息中包含的消息验证码不同，同理，PBA消息中每次包含的消息验证码也不同。另外，需要 说明的是，利用共享密钥Kmh验证PBU消息，当验证失败时，LMA/HA向ASN-GW发送PBA消 息，其中PBA消息中携带验证失败的原因。 从上述描述可以看出，ASN-GW与LMA/HA都得到Kmh后，直接使用Kmh对ASN-GW与 LMA/HA之间的注册过程进行保护，除非要更新Kmh，否则后续的ASN-GW与LMA/HA之间的注 册过程不必再到AAA Server验证。本实施例所示的方法，通过AAA Sever为ASN-GW与LMA/HA指定共享密钥Kmh，实 现了对ASN-GW与LMA/HA之间的注册过程进行保护，避免丽、LMA/HA受到网络攻击，满足 了 Wimax标准的要求；另外，通过AAA Sever为ASN-GW与LMA/HA指定共享密钥Kmh，使得 ASN-GW不用计算共享密钥Kmh，使得整个过程更简单。
实施例4 参见图3，本发明实施例提供了一种注册的系统，该系统具体包括
认证、授权和记帐服务器401，用于发送第一密钥； 移动锚点402，用于接收接入服务网络网关403发送的第一代理绑定更新消息，获 取认证、授权和记帐服务器401发送的第一密钥，根据第一密钥生成第一消息验证码，向接 入服务网络网关403返回第一代理绑定确认新消息，第一代理绑定确认新消息中携带第一 消息验证码； 接入服务网络网关403，用于向移动锚点402发送第一代理绑定更新消息，接收移 动锚点402返回的第一代理绑定确认新消息，根据其获取的第一密钥对第一代理绑定确认新消息中携带的第一消息验证码进行验证，当验证成功时，完成与移动锚点402的注册。
进一步地， 移动锚点402，还用于接收接入服务网络网关403发送的第二代理绑定更新消息， 第二代理绑定更新消息中携带第二消息验证码，第二消息验证码由接入服务网络网关403 根据接入服务网络网关403获取的第一密钥生成；根据获取的认证、授权和记帐服务器401 发送的第一密钥，验证第二消息验证码；当验证成功后，根据第一密钥生成第三消息验证 码，向接入服务网络网关403返回第二代理绑定确认消息，第二代理绑定确认消息中携带 第三消息验证码。 其中，认证、授权和记帐服务器发送的第一密钥是其根据其与接入服务网络网关
之间的第二密钥，以及第二密钥和第一密钥关系算法生成的；则接入服务网络网关获取的
第一密钥也是根据第二密钥，以及第二密钥和第一密钥关系算法生成的； 或者，认证、授权和记帐服务器发送的第一密钥和接入服务网络网关获取的第一
密钥是认证、授权和记帐服务器指定的。 其中，接入服务网络网关获取的第一密钥所根据的第二密钥和第一密钥关系算法 是认证、授权和记帐服务器发送的或是在本地预设的。 本实施例所示的系统，通过生成第一密钥，并使用第一密钥保护ASN-GW与LMA/HA 间的注册过程，避免丽、LMA/HA受到网络攻击；并且，第一密钥是在ASN-GW与LMA/HA之间 的的注册过程中自动生成，实现了以动态自动配置的方式对ASN-GW与LMA/HA之间的注册 过程进行保护，满足了Wimax标准的要求；另外，第一密钥还可以是AAA Sever为ASN-GW与 LMA/HA指定的，使得ASN-GW不用计算第一密钥，使得整个过程更简单。
实施例5 参见图4，本发明实施例提供了一种注册的装置，该装置具体包括 第一接收模块501，用于接收接入服务网络网关发送的第一代理绑定更新消息，获
取认证、授权和记帐服务器发送的第一密钥； 生成模块502，用于根据第一接收模块501获取的第一密钥，生成第一消息验证 码； 第一发送模块503，用于向接入服务网络网关返回第一代理绑定确认新消息，第一 代理绑定确认新消息中携带生成模块502生成的第一消息验证码，以使接入服务网络网关 能根据接入服务网络网关获取的第一密钥对第一消息验证码进行验证。
进一步地，参见图5，该装置还包括 第二接收模块504，用于接收接入服务网络网关发送的第二代理绑定更新消息，第 二代理绑定更新消息中携带第二消息验证码，第二消息验证码由接入服务网络网关根据接 入服务网络网关获取的第一密钥生成； 处理模块505，用于根据第一接收模块501获取的第一密钥，验证第二接收模块 504接收的第二代理绑定更新消息中携带的第二消息验证码，当验证成功后，根据第一密钥 生成第三消息验证码； 第二发送模块506，用于向接入服务网络网关返回第二代理绑定确认消息，第二代 理绑定确认消息中携带处理模块505生成的第三消息验证码。
其中，该装置为本地移动锚点或家乡代理。
其中，认证、授权和记帐服务器发送的第一密钥是其根据其与接入服务网络网关
之间的第二密钥，以及第二密钥和第一密钥关系算法生成的；则接入服务网络网关获取的
第一密钥也是根据第二密钥，以及第二密钥和第一密钥关系算法生成的； 或者，认证、授权和记帐服务器发送的第一密钥和接入服务网络网关获取的第一
密钥是认证、授权和记帐服务器指定的。 其中，接入服务网络网关获取的第一密钥所根据的第二密钥和第一密钥关系算法 是认证、授权和记帐服务器发送的或是在本地预设的。 本实施例所示的装置，通过生成第一密钥，并使用第一密钥保护ASN-GW与LMA/HA 间的注册过程，避免MN、LMA/HA受到网络攻击。并且，第一密钥是在ASN-GW与LMA/HA之间 的的注册过程中自动生成，实现了以动态自动配置的方式对ASN-GW与LMA/HA之间的注册 过程进行保护，满足了Wimax标准的要求；另外，第一密钥还可以是AAA Sever为ASN-GW与 LMA/HA指定的，使得ASN-GW不用计算第一密钥，使得整个过程更简单。
实施例6 参见图6，本发明实施例提供了一种接入服务网络网关，该接入服务网络网关具体 包括 确认消息接收模块601，用于接收移动锚点返回的第一代理绑定确认新消息，第一 代理绑定确认新消息中携带第一消息验证码，第一消息验证码是由移动锚点根据其获取的 认证、授权和记帐服务器发送的第一密钥生成；
密钥获取模块602，用于获取第一密钥； 验证模块603，用于根据密钥获取模块602获取的第一密钥对第一代理绑定确认
新消息中携带的第一消息验证码进行验证；当验证成功后，完成与移动锚点的注册。 其中，认证、授权和记帐服务器发送的第一密钥是其根据其与接入服务网络网关
之间的第二密钥，以及第二密钥和第一密钥关系算法生成的；则接入服务网络网关获取的
第一密钥也是根据第二密钥，以及第二密钥和第一密钥关系算法生成的； 或者，认证、授权和记帐服务器发送的第一密钥和接入服务网络网关获取的第一
密钥是认证、授权和记帐服务器指定的。 其中，接入服务网络网关获取的第一密钥所根据的第二密钥和第一密钥关系算法 是认证、授权和记帐服务器发送的或是在本地预设的。 本实施例所示的接入服务网络网关，通过生成第一密钥，并使用第一密钥保护 ASN-GW与LMA/HA间的注册过程，避免丽、LMA/HA受到网络攻击。并且，第一密钥是在 ASN-GW与LMA/HA之间的的注册过程中自动生成，实现了以动态自动配置的方式对ASN-GW 与LMA/HA之间的注册过程进行保护，满足了 Wimax标准的要求；另外，第一密钥还可以是 AAA Sever为ASN-GW与LMA/HA指定的，使得ASN-GW不用计算第一密钥，使得整个过程更简 单。 以上实施例提供的技术方案中的全部或部分内容可以通过软件编程实现，其软件
程序存储在可读取的存储介质中，存储介质例如计算机中的硬盘、光盘或软盘。 以上所述仅为本发明的较佳实施例，并不用以限制本发明，凡在本发明的精神和
原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。
权利要求
一种注册的方法，其特征在于，所述方法包括接收接入服务网络网关发送的第一代理绑定更新消息，获取认证、授权和记帐服务器发送的第一密钥；根据所述第一密钥生成第一消息验证码，向所述接入服务网络网关返回第一代理绑定确认新消息，所述第一代理绑定确认新消息中携带所述第一消息验证码，以使所述接入服务网络网关能根据所述接入服务网络网关获取的第一密钥对所述第一消息验证码进行验证；在所述接入服务网络网关对所述第一消息验证码验证成功后，完成与所述接入服务网络网关的注册。
2. 如权利要求1所述的注册的方法，其特征在于，当验证成功后，所述接入服务网络网关再次与本地进行注册时，所述方法还包括接收所述接入服务网络网关发送的第二代理绑定更新消息，所述第二代理绑定更新消息中携带第二消息验证码，所述第二消息验证码由所述接入服务网络网关根据所述接入服务网络网关获取的所述第一密钥生成；根据获取的所述认证、授权和记帐服务器发送的所述第一密钥，验证所述第二消息验证码，当验证成功后，根据所述第一密钥生成第三消息验证码；向所述接入服务网络网关返回第二代理绑定确认消息，所述第二代理绑定确认消息中携带所述第三消息验证码。
3. 如权利要求1或2所述的注册的方法，其特征在于，所述认证、授权和记帐服务器发送的所述第一密钥是所述认证、授权和记帐服务器根据其与所述接入服务网络网关之间的第二密钥，以及第二密钥和第一密钥关系算法生成的；则所述接入服务网络网关获取的所述第一密钥也是根据所述第二密钥，以及所述第二密钥和第一密钥关系算法生成的；或者，所述认证、授权和记帐服务器发送的所述第一密钥和所述接入服务网络网关获取的所述第一密钥是所述认证、授权和记帐服务器指定的。
4. 如权利要求3所述的注册的方法，其特征在于，所述接入服务网络网关获取的所述第一密钥所根据的第二密钥和第一密钥关系算法是所述认证、授权和记帐服务器发送的或是在本地预设的。
5. 如权利要求4所述的注册的方法，其特征在于，所述第一密钥为根据所述第二密钥和移动接入网关标识，利用输出为256bit的哈希消息识别码生成函数计算得到；或所述第一密钥为根据所述第二密钥、移动接入网关标识和新鲜值，利用输出为256bit的哈希消息识别码生成函数计算得到，所述新鲜值包括时间戳和/或随机数。
6. 如权利要求3所述的注册的方法，其特征在于，所述第一密钥是所述认证、授权和记帐服务器指定的，具体包括所述第一密钥为根据所述第二密钥和移动接入网关标识，利用输出为256bit的哈希消息识别码生成函数计算得到。
7. —种注册的系统，其特征在于，所述系统包括认证、授权和记帐服务器，用于发送第一密钥；移动锚点，用于接收接入服务网络网关发送的第一代理绑定更新消息，获取所述认证、授权和记帐服务器发送的所述第一密钥，根据所述第一密钥生成第一消息验证码，向所述接入服务网络网关返回第一代理绑定确认新消息，所述第一代理绑定确认新消息中携带所述第一消息验证码；接入服务网络网关，用于向所述移动锚点发送所述第一代理绑定更新消息，接收所述移动锚点返回的所述第一代理绑定确认新消息，根据其获取的第一密钥对所述第一代理绑定确认新消息中携带的所述第一消息验证码进行验证，当验证成功时，完成与所述移动锚点的注册。
8. 如权利要求7所述的注册的系统，其特征在于，所述移动锚点，还用于接收所述接入服务网络网关发送的第二代理绑定更新消息，所述第二代理绑定更新消息中携带第二消息验证码，所述第二消息验证码由所述接入服务网络网关根据所述接入服务网络网关获取的所述第一密钥生成；根据获取的所述认证、授权和记帐服务器发送的所述第一密钥，验证所述第二消息验证码；当验证成功后，根据所述第一密钥生成第三消息验证码，向所述接入服务网络网关返回第二代理绑定确认消息，所述第二代理绑定确认消息中携带所述第三消息验证码。
9. 如权利要求7或8所述的注册的系统，其特征在于，所述认证、授权和记帐服务器发送的所述第一密钥是所述认证、授权和记帐服务器根据其与所述接入服务网络网关之间的第二密钥，以及第二密钥和第一密钥关系算法生成的；则所述接入服务网络网关获取的所述第一密钥也是根据所述第二密钥，以及所述第二密钥和第一密钥关系算法生成的；或者，所述认证、授权和记帐服务器发送的所述第一密钥和所述接入服务网络网关获取的所述第一密钥是所述认证、授权和记帐服务器指定的。
10. —种注册的装置，其特征在于，所述装置包括第一接收模块，用于接收接入服务网络网关发送的第一代理绑定更新消息，获取认证、授权和记帐服务器发送的第一密钥；生成模块，用于根据所述第一接收模块获取的所述第一密钥，生成第一消息验证码；第一发送模块，用于向所述接入服务网络网关返回第一代理绑定确认新消息，所述第一代理绑定确认新消息中携带所述生成模块生成的所述第一消息验证码，以使所述接入服务网络网关能根据所述接入服务网络网关获取的第一密钥对所述第一消息验证码进行验证。
11. 如权利要求10所述的注册的装置，其特征在于，所述装置还包括第二接收模块，用于接收所述接入服务网络网关发送的第二代理绑定更新消息，所述第二代理绑定更新消息中携带第二消息验证码，所述第二消息验证码由所述接入服务网络网关根据所述接入服务网络网关获取的所述第一密钥生成；处理模块，用于根据所述第一接收模块获取的所述第一密钥，验证所述第二接收模块接收的所述第二代理绑定更新消息中携带的所述第二消息验证码，当验证成功后，根据所述第一密钥生成第三消息验证码；第二发送模块，用于向所述接入服务网络网关返回第二代理绑定确认消息，所述第二代理绑定确认消息中携带所述处理模块生成的所述第三消息验证码。
12. 如权利要求11所述的注册的装置，其特征在于，所述装置为本地移动锚点或家乡代理。
13. —种接入服务网络网关，其特征在于，所述接入服务网络网关包括确认消息接收模块，用于接收移动锚点返回的第一代理绑定确认新消息，所述第一代理绑定确认新消息中携带所述第一消息验证码，所述第一消息验证码是由所述移动锚点根据其获取的认证、授权和记帐服务器发送的第一密钥生成；密钥获取模块，用于获取所述第一密钥；验证模块，用于根据所述密钥获取模块获取的所述第一密钥对所述第一代理绑定确认新消息中携带的所述第一消息验证码进行验证；当验证成功后，完成与所述移动锚点的注册。
全文摘要
本发明公开了一种注册的方法、系统和装置，属于通信领域。方法接收接入服务网络网关发送的第一代理绑定更新消息，获取认证、授权和记帐服务器发送的第一密钥；根据第一密钥生成第一消息验证码，向接入服务网络网关返回携带第一消息验证码的第一代理绑定确认新消息，使接入服务网络网关对第一消息验证码进行验证；验证成功后，完成与接入服务网络网关的注册。系统认证、授权和记帐服务器、移动锚点和接入服务网络网关。装置第一接收模块、生成模块和第一发送模块。接入服务网络网关验证码接收模块、密钥获取模块和验证模块。本发明通过生成第一密钥，并使用第一密钥保护ASN-GW与LMA/HA间的注册过程，避免MN、LMA/HA受到网络攻击。
文档编号H04L9/08GK101754200SQ20081018253
公开日2010年6月23日 申请日期2008年12月8日 优先权日2008年12月8日
发明者宫小玉, 李春强, 李继军, 潘云波 申请人:华为技术有限公司