专利名称:鉴权方法及系统的制作方法
技术领域:
本发明涉及通信领域,具体而言,涉及一种鉴权方法及系统。
背景技术:
全球微波接入互操作性(World Interoperability for MicrowaveAccess,简称 为WiMAX)是基于IEEE 802. 16标准的宽带无线接入技术。无线保真(Wireless Fidelity, 简称为WiFi)网络也是能够提供较高带宽的无线网络,该网络目前已经在办公室、家庭和 宾馆等场所大量部署。但是WiFi作为一种短距离无线技术,其网络覆盖范围较小(约100 米左右),一般只能作为其它无线技术组网的补充。不过WiFi网络具有建网费用低、易部署 等优点。而WiMAX建网费用比较高,因此,WiFi和WiMax网络将在相当长时期内共存。WiMAX系统与WiFi系统之间的网络互通将有助于两个网络的优势互补,扩大网络 的覆盖范围,图1是根据相关技术的在用户设备(User Equipment,简称为UE)处于非漫 游场景下WiFi和WiMAX互通网络的网络架构示意图,如图1所示,UE(或称为终端)通过 WiMAX接入服务网络以及通过WiFi网络接入WiMAX核心网(Access Service Network,简 称为ASN),该网络架构中包括如下网元互通单元(Interworking Function,简称为IWK),位于WiMAX网络,负责终端通过 WiFi网络初始接入WiMAX网络、协调WiMAX与WiFi网络之间的切换。接入点(Access Point,简称为AP),位于WiFi网络,是一个具备无线信号发射功 能的集线器,它可为多台无线上网设备提供对话汇接。相当于有线网络中的集线器或交换 机。接入控制器(AccessController,简称 AC)位于 WiFi 网络,在 WiFi 与 Internet 之间起到网关功能,将来自不同AP的数据进行汇聚、接入hternet。AC作为客户端可以通 过网络标志来为用户完成接入鉴权和认证等。WiFi 信令转发单元(WiFi Signal Forward Function,简称 WiFiSFF)是一个在 WiMAX网络中,负责转发WiFi信令的网元。具体实现可能位于WiFi网络或者独立于WiMAX 禾口 WiFi网络。WiMAX 信令转发单元(WiMAX Signal Forward Function,简称 WiMAX SFF)是一 个在WiFi网络中,负责转发WiMAX信令的网元。具体实现可能位于WiMAX网络或者独立于 WiMAX 禾口 WiFi 网络。目前,在WiFi网络和WiMAX网络互通的系统中,当终端通过WiFi网络接入到 WiMAX核心网时,处于安全的考虑,终端和WiMAX网络中的认证授权计费(Authentication、 Authorization andAccounting,简称为AAA)服务器之间会产生MSK和EMSK。图2是根据 相关技术中的终端通过WiFi接入WiMAX核心网(移动IPv4)的流程图,如图2所示,该流 程包括如下步骤步骤S201,终端从WiFi网络发起接入鉴权,WiFi网络的鉴权器将接入请求消息发 送给互通单元上的AAA代理;
步骤S202,互通单元上的AAA代理将此接入请求消息发送WiMAX核心网的AAA服 务器;步骤S203,AAA服务器会将接入接受消息发送给AAA代理,其中,该接入接 受消息中携带有主会话密钥(Master Session Key,简称为MSK);扩展主会话密钥 (Extended Master Session Key,简称为EMSK)的衍生密钥,例如,终端-家乡代理密钥 (MobileNode-Home Agent,简称为 MN-HA)、外部代理根密钥(ForeignAgent-Root Key,简 称为HA-RK) ;HA-RK的相关参数(在图2中表示为[HA-RK]),HA-RK的相关参数包括家 乡代理根密钥(HomeAgent-Root Key,简称为HA-RK)、家乡代理(Home Agent,简称为HA) / 本地移动管理描点(Local Mobility Anchor,简称为LMA)的地址、代理移动IP安全索引 (Security Parameters Index,简禾尔为 SPI)等。步骤S204,AAA地理向WiFi鉴权器发送接入接受消息,其中,该消息中携带有MSK, 并且,AAA代理向PMIP客户端发送携带有MN-HA的通知。步骤S205,终端通过发送动态主机配置协议(Dynamic HostConfiguration Protocol,简称为DHCP)消息出发代理移动IP (ProxyMobile IP,简称为PMIP)注册流程。步骤S206,WiFi网络的鉴权器将此DHCP消息转发给互动单元上的PMIP客户端。步骤S207,PMIP客户端向家乡代理发送移动IP注册请求,其中,该移动IP注册 请求中携带有外部代理-家乡代理鉴权扩展(MN-HA Authentication Extension,简称为 MN-HA AE)。步骤S208,家乡代理在接入请求消息中携带NAI、MN-HA、SPI,并向AAA服务器发送 该接入请求消息,以进行验证。步骤S209,AAA服务器向家乡代理发送接入接受消息,其中,该消息中携带有 MN-HA、HA-RK。步骤S210,家乡代理向PMIP客户端发送移动IP注册响应,其中,该响应中携带有 MN-HA AE。步骤S211,互动网元中的PMIP客户端将DHCP消息发送给WiFi网络的鉴权器。步骤S212,终端通过DHCP消息完成终端的IP地址获取。在上述步骤S207中,PMIP客户端会将MN-HA AE发给家乡代理试图进行PMIPv4 注册过程,此时,由于家乡代理是一个网络级的设备而非用户级设备,即,家乡代理在接收 到此移动IP注册请求消息时,会采用与其他从WiMAX侧完全相同的策略,对此消息进行完 整性检查。但是,此消息中由于缺少外部代理-家乡代理鉴权扩展(Foreign Agent-Home Agent Authentication Extension,简称为FA-HA AE)导致完整性检查失败。因此,家乡代 理就不会返回给PMIP客户端移动IP注册响应消息,而是返回一个移动IP注册拒绝消息通 知PMIP客户端移动IP注册失败,互通单元与家乡代理之间的PMIP通道也无法正常建立。 即,图2流程是无法正常进行的。另外,现有技术中由于WiFi接入网中的鉴权器没有生成WiMAX EMSK衍生密钥的 功能,同时也没有现存的消息将产生的衍生EMSK从鉴权器传送到移动接入网关(Mobility AccessGateway,简称为MAG),因此,现有技术无法解决PMIP6中EMSK衍生密钥产生的问题, 目前还没有PMIPv6场景下的解决方案。
发明内容
本发明的主要目的在于提供一种鉴权方案,以至少解决上述问题之一。为了实现上述目的,根据本发明的一个方面,提供了 一种鉴权方法。根据本发明的鉴权方法包括终端通过无线保真网络发起接入到全球微波接入互 操作性WiMAX核心网的接入请求;互通单元的鉴权授权计费AAA代理将来自AAA服务器的 EMSK衍生的密钥和预定参数发送给代理移动网络地址PMIP客户端和/或移动接入网关; 在终端发起PMIP注册的情况下,PMIP客户端和/或移动接入网关根据EMSK衍生的密钥和 预定参数产生并向家乡代理发送鉴权扩展和/或鉴权项,其中,鉴权扩展和/或鉴权项用于 互通单元和WiMAX核心网的网关之间的PMIP通道的鉴权。优选地,在终端通过无线保真网络发起接入WiMAX核心网的接入请求之后,上述 方法还包括AAA代理将来自AAA服务器的主会话密钥MSK发送给WiFi网络的鉴权器;或 者,AAA代理将来自AAA服务器的主会话密钥MSK和EMSK衍生的密钥发送给WiFi网络的 鉴权器。优选地,在互动单元支持PMIPv4的情况下,在AAA代理将来自AAA服务器的EMSK 衍生的密钥发送给PMIP客户端或WiFi网络的鉴权器之前,上述方法还包括AAA服务器向 AAA代理发送携带有家乡代理根密钥HA-RK、终端-家乡代理密钥MN-HA、外部代理根密钥 FA-RK、家乡代理IP地址和代理移动IP安全索引SPI的消息。优选地,AAA代理将来自AAA服务器的EMSK衍生的密钥发送给PMIP客户端和/或 移动接入网关包括:AAA代理接收AAA服务器发送的消息;AAA代理将消息转发给PMIP客户端。优选地,在互动单元支持PMIPv6的情况下,在AAA代理将来自AAA服务器的EMSK 衍生的密钥发送给移动接入网关或WiFi网络的鉴权器之前,上述方法还包括AAA服务器 向AAA代理发送携带有代理移动IPv6根密钥、本地移动代理的IP地址LMA-IPv6、终端网络 地址标示符MN-NAI、生存时间Lifetime和SPI的消息。 优选地,AAA代理将来自AAA服务器的EMSK衍生的密钥发送给PMIP客户端和/或 移动接入网关包括:AAA代理接收AAA服务器发送的消息;AAA代理将消息转发给移动接入 网关。优选地,在互通单元支持PMIPv4的情况下,EMSK衍生的密钥包括家乡代理根密 钥HA-RK、终端-家乡代理密钥MN-HA ;预定参数包括家乡代理的IP地址HA-IP。优选地,PMIP客户端和/或移动接入网关根据EMSK衍生的密钥和预定参数产生 鉴权扩展和/或鉴权项包括PMIP客户端根据EMSK衍生的密钥和预定参数产生HA-RK鉴 权扩展和MN-HA鉴权扩展。优选地,在互通单元支持PMIPv6的情况下,EMSK衍生的密钥包括代理移动IPv6 根密钥、SPI ;预定参数包括本地移动代理的IP地址LMA-IPV6和终端网络地址标示符 MN-NAI。优选地,PMIP客户端和/或移动接入网关根据EMSK衍生的密钥和预定参数产生 鉴权扩展和/或鉴权项包括移动接入网关根据EMSK衍生的密钥和预定参数产生终端-家 乡代理鉴权项。为了实现上述目的,根据本发明的另一方面,还提供了 一种鉴权系统。
根据本发明的鉴权系统,包括终端、鉴权授权计费AAA代理、AAA服务器、代理移 动网络地址PMIP客户端和/或移动接入网关、家乡代理,其中,终端通过无线保真网络发起 接入到全球微波接入互操作性WiMAX核心网的接入请求;互通单元的AAA代理将来自AAA 服务器的EMSK衍生的密钥和预定参数发送给PMIP客户端和/或移动接入网关;在终端发 起PMIP注册的情况下,PMIP客户端和/或移动接入网关根据EMSK衍生的密钥和预定参数 产生并向家乡代理发送鉴权扩展和/或鉴权项,其中,鉴权扩展和/或鉴权项用于互通单元 和WiMAX核心网的网关之间的PMIP通道的鉴权。通过本发明,采用AAA代理将来自AAA服务器的EMSK衍生的密钥和预定参数发送 给代理移动网络地址PMIP客户端和/或移动接入网关,以使PMIP客户端和/或移动接入 网关能够鉴权所需要的信息,解决了相关技术中从互通单元到WiMAX核心网的网关之间的 移动IP通道因为缺少用户鉴权的密钥而无法建立的问题。保证了整个网络中的数据通讯 的安全。
此处所说明的附图用来提供对本发明的进一步理解,构成本申请的一部分,本发 明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中图1是根据相关技术的在非漫游场景下WiFi和WiMAX互通网络的网络架构示意 图;图2是根据相关技术的终端通过WiFi接入WiMAX核心网(移动IPv4)的流程图;图3是本发明实施例的密钥生成和分发的方法流程图;图4是根据本发明实施例的优选实例一终端在移动IPv4场景下通过WiFi接入 WiMAX核心网的流程图;图5是根据本发明实施例的优选实例二终端在移动IPv6场景下通过WiFi接入 WiMAX核心网的流程图。
具体实施例方式下文中将参考附图并结合实施例来详细说明本发明。需要说明的是,在不冲突的 情况下,本申请中的实施例及实施例中的特征可以相互组合。根据本发明的实施例,提供了一种鉴权方法,图3是根据本发明实施例的鉴权方 法的流程图,如图3所示,该流程包括如下步骤步骤S302,终端通过WiFi网络发起接入到WiMAX核心网的接入请求;步骤S304,互通单元的鉴权授权计费AAA代理将来自AAA服务器的EMSK衍生的密 钥和预定参数发送给代理移动网络地址PMIP客户端(IPv4)/移动接入网关(IPv6);步骤S306,在终端发起PMIP注册的情况下,PMIP客户端/移动接入网关根据EMSK 衍生的密钥和预定参数产生鉴权扩展/鉴权项(鉴权扩展用于IPv4,鉴权项用于IPv6,不 同的场景一般不会同时发生),其中,鉴权扩展/鉴权项用于互通单元和WiMAX核心网的网 关之间的PMIP通道的鉴权。对应与上述步骤S302至步骤S306,在实施例中还提供了一种鉴权系统,包括终 端、鉴权授权计费AAA代理、AAA服务器、代理移动网络地址PMIP客户端和/或移动接入
7网关、家乡代理。在该系统中,终端通过无线保真网络发起接入到全球微波接入互操作性 WiMAX核心网的接入请求;AAA代理将来自AAA服务器的EMSK衍生的密钥和预定参数发送 给PMIP客户端和/或移动接入网关;在终端发起PMIP注册的情况下,PMIP客户端和/或 移动接入网关根据EMSK衍生的密钥和预定参数产生并向家乡代理发送鉴权扩展和/或鉴 权项,其中,鉴权扩展和/或鉴权项用于互通单元和WiMAX核心网的网关之间的PMIP通道 的鉴权。通过上述步骤及系统,终端与WiMAX核心网的AAA服务器之间产生WiFi网络的 EMSK,并将EMSK衍生的密钥传递给互通单元,从而解决了从互通单元到WiMAX核心网的网 关之间的移动IP通道将因为缺少用户鉴权的密钥而无法建立的问题,进而保证了整个网 络中的数据通讯的安全。下面将上述步骤S302至步骤S306分为两段进行说明,第一段是AAA代理从AAA服 务器上获取相关密钥以及参数并发送给PMIP客户端/MAG,第二段是终端发起移动IP注册 时,PMIP客户端/MAG使用EMSK的衍生密钥产生相应的鉴权扩展/鉴权项完成PMIP注册。在上述步骤中,终端通过WiFi网络接入到WiMAX核心网时,在接入鉴权的过程中, 终端和WiMAX核心网AAA服务器之间产生WiFi网络的MSK和EMSK,其中,AAA服务器将产 生的WiFi网络的MSK,EMSK衍生出的密钥以及HA/LMA(需要说明的是通常,HA用于IPv4 场景,相应的LMA用于IPv6场景)的地址通过接入接受消息下发到互通单元上的AAA代理, 互通单元随后通过接入接受消息将MSK转发到WiFi网络的鉴权器上,该MSK可以用于空口 鉴权。优选地,在发送给WiFi网络的鉴权器的消息中还可以携带EMSK衍生的密钥。由于 AAA代理与PMIP客户端/MAG合设在互通单元上,AAA代理会将EMSK衍生的密钥、以及生成 鉴权扩展或鉴权项所需要的参数(例如,HA/LMA地址、终端网络接入标示符MN-NAI)发送 给PMIP客户端/MAG。当终端发起移动IP注册的时候,WiFi接入网上的鉴权器由于没有产生WiMAX EMSK衍生密钥的能力,即使其在接入鉴权过程中获得了 EMSK衍生根密钥也无法产生子密 钥,因此其直接通过DHCP消息触发PMIP客户端/MAG发起PMIP注册流程。此时,PMIP客 户端/MAG将使用EMI的衍生密钥产生相应的鉴权扩展/鉴权项到家乡代理/LMA上去完 成PMIP注册并成功建立起PMIP通道。下面结合附图4和附图5对两个优选实例进行说明。优选实例一应用于移动IPv4 场景,优选实例二应用于移动IPv6场景。优选实例一图4是根据本发明实施例的优选实例一终端在移动IPv4场景下通过WiFi接入 WiMAX核心网的流程图,该流程包括步骤S401,终端从WiFi网络发起接入鉴权,WiFi网络的鉴权器会发送接入请求消 息给互通单元上的AAA代理。步骤S402,互通单元上的AAA代理会将此接入请求消息发送给WiMAX核心网的 AAA服务器。步骤S403,AAA服务器会将MSK、终端-家乡代理密钥(MobileNode-Home Agent, 简称为MN-HA)、外部代理根密钥(ForeignAgent-Root Key,简称为FA-RK)以及[HA-RK] 包含在接入接受消息中,发送给互通单元上的AAA代理,其中的[HA-RK]包括HA-RK(HomeAgent-Root Key,家乡代理根密钥)、HA-IP 地址以及 SPI Security Parameters hdex 代 理移动IPv4安全索引)等参数。步骤S404,AAA代理会将MSK包含在接入接受消息中发送给WiFi网络的鉴权器。为了尽量保持WiMAX AAA代理的行为一致,AAA代理也有可能将MN-HA、FA-RK以 及[HA-RK]包含在接入接受消息中,此场景下AAA代理仅转发从AAA服务器收到的接入接 受消息。步骤S405,AAA代理将MN-HA、HA-RK以及HA-IP发送给PMIP客户端/外部代理。步骤S406,终端通过发出DHCP消息触发PMIP注册流程。步骤S407,WiFi网络的鉴权器将此DHCP消息转发给互通单元上的PMIP客户端。即使步骤S404中将MN-HA、FA_RK以及[HA-RK]包括在接入接受消息中,鉴权器由 于没有使用WiMAX EMSK根密钥产生子密钥的能力,因此本步骤依然不对DHCP消息做任何 修改。步骤S408,互通单元中的PMIP客户端收到DHCP消息之后触发PMIPv4注册流程。 此时,PMIP客户端使用HA-RK,HA-IP以及FA地址(PMIP客户端与FA合设,因此地址相同) 产生外部代理-家乡代理密钥(Foreign Agent-Home Agent,简称为FA-HA),从而据此构造 夕卜部代理 _ 家乡代理鉴权扩展(Foreign Agent-Home AgentAuthentication Extension, FA-HA AE),并与终端-家乡代理鉴权扩展(MN-HA Authentication Extension,简称为 MN-HA AE) 一起包含在移动IP注册请求中发送给家乡代理。步骤S409,家乡代理在接入请求消息中携带NAI和MN-HASPI,并到AAA服务器上 面去做验证。步骤S410,AAA服务器将MN-HA和HA-RK包含在接入接受消息中发送给家乡代理。步骤S411,家乡代理将MN-HA AE和FA-HA AE包含在接入接受消息中发送给互通 网元中的PMIP客户端,同时该消息携带终端的IP地址。另外,PMIP通道也在本步骤中被建立。步骤S412,互通网元中的PMIP客户端将DHCP消息发送给WiFi网络的鉴权器。步骤S413,终端通过DHCP消息完成终端的IP地址获取。通过本优选实例,解决了在移动IPv4场景下终端通过WiFi网络接入WiMAX核心 网时,从互通单元到WiMAX核心网的网关之间的移动IP通道由于移动IP注册请求消息中 缺少FA-HA AE参数而无法建立的问题。优选实例二图5是根据本发明实施例的优选实例二终端在移动IPv6场景下通过WiFi接入 WiMAX核心网的流程图,该流程包括。步骤S501,终端从WiFi网络发起接入鉴权,WiFi网络的鉴权器会发送接入请求消 息给互通单元上的AAA代理。步骤S502,互通单元上的AAA代理会将此接入请求消息发送给WiMAX核心网的 AAA服务器。步骤S503,AAA 服务器会将 MSK、代理移动 IPv6 根密钥(ProxyMobile IPv6-Root Key,简称为PMIP6-RK)、SPI、Lifetime和LMA-IP地址包含在接入接受消息中,发送给互通 单元上的AAA代理。
步骤S504,AAA代理会将MSK包含在接入接受消息中发送给WiFi网络的鉴权器。为了尽量保持WiMAX AAA代理的行为一致,AAA代理也有可能将PMIP6-RK、SPI、 Lifetime和LMA-IP地址包含在接入接受消息中,此场景下AAA代理仅转发从AAA服务器收 到的接入接受消息。步骤S505,AAA 代理将 PMIP6-RK、SPI、Lifetime、MN-NAI 和 LMA-IP 发送给 MAG。步骤S506,终端通过发出DHCP消息触发PMIP注册流程。步骤S507,WiFi网络的鉴权器将此DHCP消息转发给互通单元上的MAG。即使步骤S504中将PMIP6_RK、SPI、Lifetime和LMA-IP地址包含在接入接受消息 中,鉴权器由于没有使用WiMAX EMSK根密钥产生子密钥的能力,因此该步骤依然不对DHCP 消息做任何修改。步骤S508,互通单元中的MAG收到DHCP消息之后触发PMIPv6注册流程。此 时,MAG使用PIMP6-RK、丽-ΝΑΙ、LMA_IPv6以及MAGv6地址等参数产生移动接入网 关-本地移动代理-代理移动 IPv6 密钥(Mobile Access Gateway-Local Mobility Agent-ProxyMobile IPv6,简称为MAG-LMA-PMIP6),从而据此构造终端-家乡代理鉴权项 (MN-HA Authentication Option,简称为MN-HA AO)并包含在代理绑定更新中发送给本地 移动代理/家乡代理。步骤S509,本地移动代理在接入请求消息中携带NAI和SPI,并到AAA服务器上面 去做验证。步骤510,AAA服务器将Lif etime、SPI和PMIP6-RK包含在接入接受消息中发送给 本地移动代理。步骤511,本地移动代理将MN-HAAO包含在接入接受消息中发送给互通网元中的 MAG,同时该消息携带终端的IP地址。另外,PMIP通道也在这个步骤中被建立。步骤512,互通网元中的MAG将DHCP消息发送给WiFi网络的鉴权器。步骤513,终端通过DHCP消息完成终端的IP地址获取。通过本优选实例解决了终端通过WiFi网络接入WiMAX核心网时,ΡΜΙΡνθ的EMSK 衍生密钥无法生成并传递到MAG的问题。显然,本领域的技术人员应该明白,上述的本发明的各模块或各步骤可以用通用 的计算装置来实现,它们可以集中在单个的计算装置上,或者分布在多个计算装置所组成 的网络上,可选地,它们可以用计算装置可执行的程序代码来实现,从而,可以将它们存储 在存储装置中由计算装置来执行,并且在某些情况下,可以以不同于此处的顺序执行所示 出或描述的步骤,或者将它们分别制作成各个集成电路模块,或者将它们中的多个模块或 步骤制作成单个集成电路模块来实现。这样,本发明不限制于任何特定的硬件和软件结合。以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技 术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修 改、等同替换、改进等,均应包含在本发明的保护范围之内。
权利要求
1.一种鉴权方法,其特征在于,包括终端通过无线保真网络发起接入到全球微波接入互操作性WiMAX核心网的接入请求;互通单元的鉴权授权计费AAA代理将来自AAA服务器的EMSK衍生的密钥和预定参数 发送给代理移动网络地址PMIP客户端和/或移动接入网关;在所述终端发起PMIP注册的情况下,所述PMIP客户端和/或所述移动接入网关根据 所述EMSK衍生的密钥和所述预定参数产生并向家乡代理发送鉴权扩展和/或鉴权项,其 中,所述鉴权扩展和/或所述鉴权项用于所述互通单元和所述WiMAX核心网的网关之间的 PMIP通道的鉴权。
2.根据权利要求1所述的方法,其特征在于,在所述终端通过所述无线保真网络发起 接入所述WiMAX核心网的接入请求之后,所述方法还包括所述AAA代理将来自AAA服务器的主会话密钥MSK发送给WiFi网络的鉴权器;或者,所述AAA代理将来自AAA服务器的主会话密钥MSK和所述EMSK衍生的密钥发送 给所述WiFi网络的鉴权器。
3.根据权利要求1或2所述的方法,其特征在于,在所述互动单元支持PMIPv4的情况 下,在所述AAA代理将来自所述AAA服务器的EMSK衍生的密钥发送给所述PMIP客户端或 所述WiFi网络的鉴权器之前,所述方法还包括所述AAA服务器向所述AAA代理发送携带有家乡代理根密钥HA-RK、终端-家乡代理密 钥MN-HA、外部代理根密钥FA-RK、家乡代理IP地址和代理移动IP安全索引SPI的消息。
4.根据权利要求3所述的方法,其特征在于,所述AAA代理将来自所述AAA服务器的 EMSK衍生的密钥发送给所述PMIP客户端和/或移动接入网关包括所述AAA代理接收所述AAA服务器发送的所述消息;所述AAA代理将所述消息转发给所述PMIP客户端。
5.根据权利要求1或2所述的方法,其特征在于,在所述互动单元支持PMIPv6的情况 下,在所述AAA代理将来自所述AAA服务器的EMSK衍生的密钥发送给所述移动接入网关或 所述WiFi网络的鉴权器之前,所述方法还包括所述AAA服务器向所述AAA代理发送携带有代理移动IPv6根密钥、本地移动代理的IP 地址LMA-IPv6、终端网络地址标示符MN-NAI、生存时间Lifetime和SPI的消息。
6.根据权利要求5所述的方法,其特征在于,所述AAA代理将来自所述AAA服务器的 EMSK衍生的密钥发送给所述PMIP客户端和/或移动接入网关包括所述AAA代理接收所述AAA服务器发送的所述消息;所述AAA代理将所述消息转发给所述移动接入网关。
7.根据权利要求1所述的鉴权方法,其特征在于,在所述互通单元支持PMIPv4的情况 下,所述EMSK衍生的密钥包括家乡代理根密钥HA-RK、终端-家乡代理密钥MN-HA ;所述预 定参数包括所述家乡代理的IP地址HA-IP。
8.根据权利要求7所述的鉴权方法,其特征在于,所述PMIP客户端和/或所述移动接 入网关根据所述EMSK衍生的密钥和所述预定参数产生鉴权扩展和/或鉴权项包括所述PMIP客户端根据所述EMSK衍生的密钥和所述预定参数产生HA-RK鉴权扩展和 MN-HA鉴权扩展。
9.根据权利要求1所述的鉴权方法,其特征在于,在所述互通单元支持PMIPv6的情况下,所述EMSK衍生的密钥包括代理移动IPv6根密钥、SPI ;所述预定参数包括本地移动 代理的IP地址LMA-IPv6和终端网络地址标示符MN-NAI。
10.根据权利要求9所述的鉴权方法,其特征在于,所述PMIP客户端和/或所述移动接 入网关根据所述EMSK衍生的密钥和所述预定参数产生鉴权扩展和/或鉴权项包括所述移动接入网关根据所述EMSK衍生的密钥和所述预定参数产生终端-家乡代理鉴 权项。
11.一种鉴权系统,包括终端、鉴权授权计费AAA代理、AAA服务器、代理移动网络地址 PMIP客户端和/或移动接入网关、家乡代理,其特征在于,包括所述终端通过无线保真网络发起接入到全球微波接入互操作性WiMAX核心网的接入 请求;互通单元的所述AAA代理将来自所述AAA服务器的EMSK衍生的密钥和预定参数发送 给所述PMIP客户端和/或所述移动接入网关;在所述终端发起PMIP注册的情况下,所述PMIP客户端和/或所述移动接入网关根据 所述EMSK衍生的密钥和所述预定参数产生并向家乡代理发送鉴权扩展和/或鉴权项,其 中,所述鉴权扩展和/或所述鉴权项用于所述互通单元和所述WiMAX核心网的网关之间的 PMIP通道的鉴权。
全文摘要
本发明公开了一种鉴权方法及系统,该方法包括终端通过无线保真网络发起接入到WiMAX核心网的接入请求;互通单元的AAA代理将来自AAA服务器的EMSK衍生的密钥和预定参数发送给PMIP客户端和/或移动接入网关;在终端发起PMIP注册的情况下,PMIP客户端和/或移动接入网关根据EMSK衍生的密钥和预定参数产生并向家乡代理发送鉴权扩展和/或鉴权项,其中,鉴权扩展和/或鉴权项用于互通单元和WiMAX核心网的网关之间的PMIP通道的鉴权。通过本发明保证了整个网络中的数据通讯的安全。
文档编号H04W12/06GK102098671SQ200910258578
公开日2011年6月15日 申请日期2009年12月15日 优先权日2009年12月15日
发明者朱戈, 楚俊生, 涂杨巍 申请人:中兴通讯股份有限公司