CN101325582B - 保护代理移动互联网协议信令的方法、系统及装置 - Google Patents
保护代理移动互联网协议信令的方法、系统及装置 Download PDFInfo
- Publication number
- CN101325582B CN101325582B CN2007101067278A CN200710106727A CN101325582B CN 101325582 B CN101325582 B CN 101325582B CN 2007101067278 A CN2007101067278 A CN 2007101067278A CN 200710106727 A CN200710106727 A CN 200710106727A CN 101325582 B CN101325582 B CN 101325582B
- Authority
- CN
- China
- Prior art keywords
- shared key
- spi
- mobile
- pmip signaling
- signaling
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 230000011664 signaling Effects 0.000 title claims abstract description 378
- 238000000034 method Methods 0.000 title claims abstract description 120
- 238000012795 verification Methods 0.000 claims description 42
- 238000004364 calculation method Methods 0.000 claims description 38
- 230000002093 peripheral effect Effects 0.000 claims description 8
- 230000007246 mechanism Effects 0.000 abstract description 13
- 230000008569 process Effects 0.000 description 10
- 101000823089 Equus caballus Alpha-1-antiproteinase 1 Proteins 0.000 description 9
- 101000651211 Homo sapiens Transcription factor PU.1 Proteins 0.000 description 9
- 102100027654 Transcription factor PU.1 Human genes 0.000 description 9
- 230000003993 interaction Effects 0.000 description 9
- 238000010586 diagram Methods 0.000 description 8
- 101000823106 Equus caballus Alpha-1-antiproteinase 2 Proteins 0.000 description 7
- 108010079923 lambda Spi-1 Proteins 0.000 description 4
- 238000005538 encapsulation Methods 0.000 description 3
- 230000002452 interceptive effect Effects 0.000 description 3
- 230000005540 biological transmission Effects 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 239000000284 extract Substances 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/069—Authentication using certificates or pre-shared keys
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W80/00—Wireless network protocols or protocol adaptations to wireless operation
- H04W80/04—Network layer protocols, e.g. mobile IP [Internet Protocol]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明实施例公开了两种保护PMIP信令的方法,一种由集中控制点或移动IP代理生成唯一标识共享密钥的SPI,另一种由移动IP代理触发,由家乡代理HA生成唯一标识共享密钥的SPI。本发明实施例同时还提供了三种保护PMIP信令的系统,这三种系统分别实现了由集中控制点生成、由移动IP代理生成和由HA生成唯一标识共享密钥的SPI的方法。本发明实施例还公开了一种移动IP代理、一种集中控制点和一种家乡代理,能够生成唯一标识共享密钥的SPI。本发明实施例还公开了另一种移动IP代理,用于触发家乡代理生成唯一标识共享密钥的SPI。本发明实施例公开的方法、系统和装置能够完善PMIP信令的保护机制。
Description
技术领域
本发明涉及移动互联网协议(IP)技术,特别涉及保护代理移动IP(PMIP)信令的方法、系统及装置。
背景技术
代理移动IP技术是在移动IP的基础上提出的,它的目的是为不支持移动IP的终端也提供移动性管理服务,另外还可以减少空口信令的传递。图1为现有技术保护PMIP信令系统的结构图,该系统主要包括:移动IP代理、家乡代理(HA,Home Agent)以及集中控制点,HA也可以称为本地移动性锚点(LMA,Local Mobility Anchor),以下为了描述方便用HA代替家乡代理。
其中,移动IP代理通常位于移动终端所在无线网络的接入实体上,代替自身管理范围内的移动终端与HA进行移动IP信令交互,通常将移动IP代理与HA之间交互的移动IP信令称为PMIP信令。移动终端与HA通过在移动IP代理和HA间建立的数据隧道进行数据交互。
移动IP代理与HA之间交互的PMIP信令需要被保护,现有技术中提供的PMIP信令保护方法包括:
集中控制点根据获取的移动代理IP的根密钥(PMN-RK)、移动IP代理的IP地址、HA的IP地址以及一个随机数计算出移动IP代理和HA之间的共享密钥(PMN-HA),并将该共享密钥连同HA的IP地址、移动终端的标识信息(NAI)以及计算共享密钥所需的随机数一并发送给移动IP代理;
移动IP代理用接收到的共享密钥对要发送给HA的PMIP信令进行保护,对PMIP信令进行保护的具体实现为:移动IP代理根据接收到的共享密钥计算信令摘要,将计算所得的信令摘要携带在PMIP信令中发送给HA,在该PMIP信令中还包括移动终端的NAI、移动IP代理的IP地址以及计算共享密钥所需的随机数;
HA接收到来自移动IP代理的PMIP信令后,从该信令中获取相关参数,采用与集中控制点相同的方法计算共享密钥,并用计算出的共享密钥对接收到的PMIP进行校验,具体的校验方法为:利用计算出的共享密钥,采用与移动IP代理相同的方法计算信令摘要,将计算所得的信令摘要与接收到的PMIP信令携带的信令摘要进行比较,如果二者一致,则校验成功。
在校验成功时,HA向移动IP代理发送PMIP信令,采用与移动IP代理相同的方法对要发送的PMIP信令进行保护。同时,HA还传递通用路由封装(GRE)的关键字(Key)给移动IP代理,在移动IP代理与HA之间为移动终端建立一个独立的数据隧道,该隧道使用GRE封装,用Key标识。
现有技术中提供的保护PMIP信令的方法给出了生成移动IP代理与HA之间的共享密钥的方法,但未给出如何标识移动IP代理和HA为特定移动终端建立的安全关联的方法,这里的安全关联主要是指:移动IP代理和HA之间的共享密钥,还可以包括集中控制点与HA预先协商好的计算信令摘要的算法等。因此,当移动IP代理和HA之间的共享密钥确定后,即二者之间的安全关联确定后,HA再接收到来自移动IP代理的PMIP信令,对该PMIP信令进行完整性校验前,需要根据移动IP代理的IP地址以及移动终端的标识信息查找该PMIP信令对应的安全关联,这样的查找过程效率较低,也不符合协议目前的规定。
另外,现有技术中的保护PMIP信令的方法中并没有提供计算共享密钥所需随机数的传递方式,并且现有的PMIP信令并不支持随机数的传递。
发明内容
有鉴于此,本发明实施例一方面提供了两种保护PMIP信令的方法;另一方面还提供了三种保护保护PMIP信令的系统以及装置,完善了PMIP信令的保护机制。
本发明实施例的技术方案是这样实现的:
本发明实施例提供的第一种保护代理移动PMIP信令的方法,包括:
计算移动IP代理和家乡代理HA的共享密钥;
生成唯一标识所述共享密钥的安全参数索引SPI;
所述移动IP代理向所述HA发送PMIP信令,用所述共享密钥对该PMIP信令进行完整性保护,将所述SPI携带在该PMIP信令中发送给所述HA;
所述HA接收所述PMIP信令,采用与计算所述共享密钥相同的方法计算共享密钥,利用计算所得的共享密钥校验所述PMIP信令的完整性,在校验成功时,保存计算所得的共享密钥和所述SPI;
所述HA向所述移动IP代理回送PMIP信令,用计算所得的共享密钥对该PMIP信令进行完整性保护,并将所述SPI携带在该PMIP信令中。
本发明实施例提供的第二种保护代理移动PMIP信令的方法,包括:
移动IP代理接收或主动获取集中控制点计算的所述移动IP代理和家乡代理HA的共享密钥,向所述HA发送PMIP信令,利用所述共享密钥对该PMIP信令进行保护,在该信令中携带设定的触发SPI分配的固定标识;
所述HA接收来自所述移动IP代理的PMIP信令,采用与所述集中控制点相同的方法计算共享密钥,利用计算所得的共享密钥校验接收到的PMIP信令的完整性,在校验成功时,生成唯一标识所述共享密钥的SPI;将所述SPI携带在PMIP信令中发送给所述移动IP代理,用计算所得的共享密钥对该PMIP信令进行保护;
所述移动IP代理接收来自所述HA的PMIP信令,利用所述共享密钥校验该信令的完整性,在校验成功时,保存所述SPI。
本发明实施例提供的第一种保护PMIP信令的系统,包括:
集中控制点,用于计算移动IP代理和家乡代理HA之间的共享密钥,生成唯一标识所述共享密钥的安全参数索引SPI;
所述移动IP代理,用于接收所述集中控制点发送的或主动从所述集中控制点获取所述共享密钥和SPI,利用所述共享密钥对要发送给所述HA的PMIP信令进行完整性保护,在所述PMIP信令中携带所述SPI;
所述HA,用于接收所述PMIP信令,采用与集中控制点相同的方法计算共享密钥,利用计算所得的共享密钥校验接收到的PMIP信令的完整性,在校验成功时,保存计算所得的共享密钥和所述PMIP信令携带的SPI。
本发明实施例提供的一种集中控制点,包括:
共享密钥计算单元,用于计算移动IP代理和HA之间的共享密钥;
SPI生成单元,用于利用随机数生成器生成,或利用选定参数计算生成唯一标识所述共享密钥的SPI;
其中,所述共享密钥计算单元包括:
随机数获取单元,用于从所述SPI生成单元获取所述SPI,所述SPI通过随机数生成器生成,或利用随机数计算生成;
密钥计算单元,用于将所述SPI作为随机数计算所述移动IP代理和HA之间的共享密钥。
本发明实施例提供的第二种保护PMIP信令的系统,包括:
集中控制点,用于计算移动IP代理和家乡代理HA之间的共享密钥;
所述移动IP代理,用于获取所述共享密钥,生成唯一标识所述共享密钥的SPI,利用所述共享密钥对要发送给所述HA的PMIP信令进行完整性保护,在所述PMIP信令中携带所述SPI;
所述HA,用于接收所述PMIP信令,采用与集中控制点相同的方法计算共享密钥,利用计算所得的共享密钥校验接收到的PMIP信令的完整性,在校验成功时,保存计算所得的共享密钥和所述PMIP信令携带的SPI。
本发明实施例提供的第一种移动IP代理,包括:
共享密钥获取单元,用于接收集中控制点发送的共享密钥,或从所述集中控制点主动获取所述共享密钥;
SPI生成单元,用于利用随机数生成器生成,或利用选定参数计算生成唯一标识所述共享密钥的SPI;
信令发送单元,用于向HA发送PMIP信令,用所述共享密钥对所述PMIP信令进行完整性保护,在所述PMIP信令中携带所述SPI生成单元生成的SPI。
本发明实施例提供的第三种保护代理移动PMIP信令的系统,包括:
集中控制点,用于计算移动IP代理和家乡代理HA之间的共享密钥;
移动IP代理,用于获取所述共享密钥,向HA发送PMIP信令,利用所述共享密钥对该PMIP信令进行完整性保护,在该PMIP信令中携带设定的触发SPI分配的固定标识;接收来自所述HA的PMIP信令,利用所述共享密钥校验接收到的PMIP信令的完整性,在校验成功时,从接收到的PMIP信令中获取所述HA分配的SPI;
所述HA,用于接收来自所述移动IP代理的PMIP信令,采用与集中控制点相同的方法计算共享密钥,利用计算所得的共享密钥校验接收到的PMIP信令的完整性,在校验成功时,生成唯一标识所述共享密钥的SPI;将所述SPI携带在PMIP信令中发送给所述移动IP代理,用计算所得的共享密钥对要发送给所述移动IP代理的PMIP信令进行完整性保护。
本发明实施例提供的一种家乡代理,包括:
信令收发单元,用于接收来自移动IP代理的PMIP信令;将SPI生成单元生成的SPI携带在PMIP信令中发送给所述移动IP代理,用校验单元计算所得的共享密钥对要发送给所述移动IP代理的PMIP信令进行完整性保护;
校验单元,采用与集中控制点相同的方法计算共享密钥,利用计算所得的共享密钥校验接收到的PMIP信令的完整性;
所述SPI生成单元,用于在所述校验单元校验成功时,利用随机数生成器生成,或利用选定参数计算生成唯一标识所述共享密钥的SPI。
本发明实施例提供的第二种移动IP代理,包括:
共享密钥获取单元,用于接收集中控制点发送的或从所述集中控制点主动获取该移动IP代理与HA的共享密钥;
SPI分配触发单元,用于向所述HA发送PMIP信令,用所述共享密钥对该PMIP信令进行完整性保护,在该PMIP信令中携带设定的触发SPI分配的固定标识;
校验及SPI获取单元,用于接收来自HA的PMIP信令,利用所述共享密钥校验该信令的完整性,在校验成功时,从接收到的PMIP信令中获取所述HA分配的唯一标识所述共享密钥的SPI。
本发明实施例提供的第一种保护PMIP信令的方法,由集中控制点或移动IP生成唯一标识移动IP代理与HA的共享密钥的SPI,由移动IP代理通过PMIP信令将其传送给HA;HA采用与计算所述共享密钥相同的方法计算密钥,对接收到的PMIP信令的完整性校验成功时,保存计算所得的密钥和SPI。这样移动IP代理和HA为特定移动终端建立的包括共享密钥等的安全关联,就可以用SPI来唯一标识,从而完善了PMIP信令的保护机制。
本发明实施例提供的第二种保护PMIP信令的方法,HA接收到来自移动IP代理的携带了触发SPI分配的固定标识的PMIP信令时,采用与集中控制点相同的方法计算密钥,利用计算所得的密钥校验接收到的PMIP信令的完整性成功时,生成唯一标识所述共享密钥的SPI;将所述SPI携带在PMIP信令中发送给所述移动IP代理。这样,移动IP代理和HA为特定移动终端建立的包括共享密钥等的安全关联,就可以用SPI来唯一标识,从而完善了PMIP信令的保护机制。
本发明实施例提供的三种保护PMIP信令的系统,分别实现了由集中控制点生成、由移动IP代理和由HA生成唯一标识共享密钥的SPI的方法,因此这三种保护PMIP信令的系统能够达到完善PMIP信令的保护机制的发明目的。
本发明实施例提供的一种移动IP代理、HA以及集中控制点,可以生成唯一标识共享密钥的SPI,因此能够达到完善PMIP信令的保护机制的发明目的。
本发明实施例提供的第二种移动IP代理能够触发并获取HA为共享密钥分配的唯一标识SPI,因此能够达到完善PMIP信令的保护机制的发明目的。
附图说明
图1为现有技术保护PMIP信令系统的结构图;
图2为本发明保护PMIP信令的方法实施例一的流程图;
图3为本发明保护PMIP信令的方法实施例二的流程图;
图4为本发明保护PMIP信令的方法实施例三的流程图
图5为本发明保护PMIP信令的方法实施例四的流程图;
图6为本发明保护PMIP信令的方法实施例五的流程图;
图7为本发明保护PMIP信令的方法实施例六的流程图;
图8为本发明保护PMIP信令的系统实施例一的结构示意图;
图9为本发明保护PMIP信令的系统实施例二的结构示意图;
图10为本发明保护PMIP信令的系统实施例三的结构示意图。
具体实施方式
为使本发明的目的、技术方案和有益效果更加清楚明白,下面结合实施例和附图,对本发明做进一步地详细说明。
本发明实施例中提供的第一种保护PMIP信令的方法,包括:
集中控制点计算移动IP代理和HA的共享密钥;生成唯一标识该共享密钥的SPI;移动IP代理向HA发送PMIP信令,用所述共享密钥对该PMIP信令进行完整性保护,将所述SPI携带在该PMIP信令中发送给HA;HA接收来自移动IP代理的PMIP信令,采用与集中控制点相同的方法计算共享密钥,利用计算所得的共享密钥校验接收到的PMIP信令的完整性,在校验成功时,保存计算所得的共享密钥和接收到的PMIP信令中携带的SPI;HA向移动IP代理回送PMIP信令,用计算所得的共享密钥对该PMIP信令进行完整性保护,并将唯一标识该共享密钥的SPI携带在该PMIP信令中。
本发明实施例中,唯一标识共享密钥的SPI可以由集中控制点生成,也可以由移动IP代理生成。
生成唯一标识所述共享密钥的SPI的方法可以为:集中控制点利用随机数生成器生成,或利用选定的参数生成唯一标识共享密钥的SPI。当SPI由集中控制点生成时,该方法还包括:移动IP代理接收,或主动获取集中控制点计算所得的共享密钥和唯一标识该共享密钥的SPI。
还可以为:移动IP代理接收到集中控制点发送的或主动从集中控制点获取到共享密钥时,利用随机数生成器生成,或利用选定的参数生成唯一标识所获取的共享密钥的SPI。
利用选定参数计算生成SPI时,选定参数可以包括:随机数、和/或所述HA的IP地址、和/或所述移动IP代理的IP地址、和/或根SPI值、和/或代理移动IP的根密钥等。计算SPI所需的参数并没有特定要求,只要保证计算所得的SPI可以唯一标识共享密钥即可。
本发明实施例提供的第二种保护PMIP信令的方法,包括:
移动IP代理接收或主动获取集中控制点计算的移动IP代理和HA的共享密钥,向HA发送PMIP信令,利用获取的共享密钥对该PMIP信令进行保护,在该信令中携带设定的触发SPI分配的固定标识;
HA接收到来自移动IP代理的PMIP信令后,采用与集中控制点相同的方法计算共享密钥,利用计算所得的共享密钥校验接收到的PMIP信令的完整性,在校验成功时,生成唯一标识该共享密钥的SPI;将生成的SPI携带在PMIP信令中发送给移动IP代理;
移动IP代理接收来自HA的PMIP信令后,利用获取的共享密钥校验该信令的完整性,在校验成功时,保存该PMIP信令携带的SPI。
较佳地,设定的触发SPI分配的固定标识可以为:设定的触发SPI分配的固定值的SPI。
生成唯一标识共享密钥的SPI的方法可以为:HA利用随机数生成器生成,或利用选定的参数计算生成唯一标识共享密钥的SPI;
利用选定的参数计算生成SPI时,所述选定的参数可以包括:随机数、和/或HA的IP地址、和/或移动IP代理的IP地址、和/或根SPI值、和/或代理移动IP的根密钥。
本发明实施例提供的上述两种方法中,当HA对接收到的PMIP信令校验成功时,这两种方法还包括:HA创建移动IP代理与自身之间的数据隧道;
如果该数据隧道的生命期到达,需要重新创建该数据隧道时,HA与移动IP代理交互的PMIP信令采用所述共享密钥进行保护,并在交互的PMIP信令中携带唯一标识该共享密钥的SPI。
集中控制点可以利用随机数以及其它选定参数计算移动IP代理和家乡代理HA的共享密钥,这里的其它选定参数可以包括:代理移动IP的根密钥、移动IP代理的IP地址、HA的IP地址。
为了使得HA获得集中控制点计算共享密钥所需的随机数,移动IP代理接收集中控制点发送的或主动获取集中控制点计算共享密钥所需的随机数后,将该随机数携带在PMIP信令中发送给HA。
这里,将计算共享密钥所需的随机数携带在PMIP信令中的方法可以为:将该随机数携带在PMIP信令现有的字段,或新扩展的字段中。
如果将该随机数携带在PMIP信令现有的字段中时,现有字段可以选Identification字段。
另外,如果采用随机数生成器生成唯一标识共享密钥的SPI,或利用随机数计算生成SPI,则集中控制点计算共享密钥所需的随机数可以直接由生成的SPI充当。
本发明实施例中,移动IP代理可以是移动性代理(MPA,Mobility ProxyAgent),或代理移动实体(PMA,Proxy Mobile Agent),或CDMA演进网络的演进基站(eBS,evolved Base Station)、或接入网关(AGW,AccessGateway)。因为,这些实体均可以替代移动终端发送移动IP消息。集中控制点可以为CDMA演进网络的信令无线网络控制器(SRNC,Signaling RadioNetwork Controller)或者AGW。HA可以为CDMA演进网络中的AGW。
图2为本发明保护PMIP信令的方法实施例一的流程图,该实施例中移动IP代理和HA间的共享密钥和唯一标识该共享密钥的SPI由集中控制点计算生成。该流程包括:
步骤201,集中控制点计算生成移动IP代理与HA间的共享密钥,同时生成唯一标识该共享密钥的SPI。
集中控制点在计算所述共享密钥和SPI时,参与计算的参数可以包括:代理移动IP的根密钥、移动IP代理的IP地址、HA的IP地址以及随机数等。
计算共享密钥或SPI的方法可以为:利用哈西函数等单项函数将选定的用于计算共享密钥或SPI的所有参数生成一个固定位数的值。同时,集中控制点需要保证计算出的SPI能够唯一地标识移动IP代理和HA的共享密钥,即保证SPI能够唯一标识移动IP代理和HA为特定移动终端建立的安全关联。
步骤202,集中控制点将计算所得的共享密钥和SPI传递给移动IP代理。
步骤203,移动IP代理向HA发送PMIP信令,在该信令中携带SPI以及HA计算共享密钥所需要的参数,并用集中控制点计算的共享密钥保护该信令。
本步骤以及下面的实施例中,用共享密钥对要发送的PMIP信令进行保护的具体实现方法为:根据接收到的共享密钥计算信令摘要,将计算所得的信令摘要携带在要发送的PMIP信令中。
步骤204,HA接收到来自移动IP代理的PMIP信令后,从该信令中获得必要的参数,用与集中控制点相同的方法计算共享密钥,用计算所得的共享密钥校验接收到的PMIP信令的完整性,如果成功,则为移动终端建立移动IP代理和HA之间的数据隧道,并且保存接收到的PMIP信令种携带的SPI。
HA在保存SPI前,还可以用与集中控制点相同的计算SPI的方法对SPI的有效性进行验证。
步骤205,HA向移动IP代理发送PMIP信令,该信令使用计算所得的HA与移动IP代理间的共享密钥进行保护,并且将唯一标识该共享密钥的SPI携带在PMIP信令中。
后续HA和移动IP代理交互的PMIP信令可继续使用上述的共享密钥和SPI进行保护。具体为:如果移动IP代理与HA为特定移动终端建立的数据隧道的生命期到达,需要重新创建该数据隧道时,不需要重新计算共享密钥和生成唯一标识共享密钥的SPI,HA与移动IP代理交互的PMIP信令仍采用原来的共享密钥进行保护,并在交互的PMIP信令中携带唯一标识原来的共享密钥的SPI。
图3为本发明保护PMIP信令的方法实施例二的流程图,该实施例中移动IP代理和HA间的共享密钥由集中控制点计算生成,SPI由移动IP代理计算生成。该流程包括:
步骤301,集中控制点计算生成移动IP代理与HA间的共享密钥。
集中控制点在计算所述共享密钥时,参与计算的参数可以包括:代理移动IP的根密钥,移动IP代理的IP地址,HA的IP地址以及随机数等。
步骤302,集中控制点将计算所得的共享密钥传递给移动IP代理,如果随机数参与了共享密钥的计算,则同时将随机数发送给移动IP代理。
步骤303,移动IP代理计算唯一标识接收到的共享密钥的SPI,参与计算的参数可以包括:代理移动IP与HA间的共享密钥,移动IP代理的IP地址,HA的IP地址、根SPI值以及随机数等。
计算共享密钥和移动IP代理计算SPI所采用的随机数可以相同,也可以不同。
步骤304,移动IP代理向HA发送PMIP信令,在该信令中携带SPI以及HA计算密钥所需要的参数,并用移动IP代理与HA间的共享密钥保护该信令。
步骤305,HA接收到来自移动IP代理的PMIP信令后,从该信令中获得必要的参数,用与集中控制点相同的方法计算共享密钥,用计算所得的共享密钥校验接收到的PMIP信令的完整性,如果校验成功,则为移动终端建立移动IP代理和HA之间的数据隧道,并且保存接收到的PMIP信令中携带的SPI。
如果需要,HA在保存所述SPI前,还可以用与移动IP代理相同的方法验证SPI。
步骤306,HA向移动IP代理发送PMIP信令,该信令也使用HA与移动IP代理间的共享密钥进行保护,并且该信令中携带唯一标识该共享密钥的SPI。
后续的PMIP信令交互可继续使用上述的共享密钥和SPI。具体为:如果移动IP代理与HA为特定移动终端建立的数据隧道的生命期到达,需要重新创建该数据隧道时,不需要重新计算共享密钥和生成唯一标识共享密钥的SPI,HA与移动IP代理交互的PMIP信令仍采用原来的共享密钥进行保护,并在交互的PMIP信令中携带唯一标识原来的共享密钥的SPI。
图4为本发明保护PMIP信令的方法实施例三的流程图,该实施例中移动IP代理和HA间的共享密钥由集中控制点计算生成。初始PMIP信令中的SPI使用固定值,该固定值的SPI用来触发HA分配唯一标识HA与移动IP代理之间的共享密钥的SPI。该流程包括:
步骤401,集中控制点计算生成移动IP代理与HA间的共享密钥。
集中控制点在计算所述共享密钥时,参与计算的参数可以包括:代理移动IP的根密钥,移动IP代理的IP地址,HA的IP地址以及随机数等。
步骤402,集中控制点将计算所得的共享密钥传递给移动IP代理,如果计算共享密钥时采用的随机数,还需要将随机数传递给移动IP代理。
步骤403,移动IP代理向HA发送PMIP信令,该信令用移动IP代理与HA间的共享密钥保护,同时携带一个固定值的SPI,用于触发HA进行SPI分配。
这里,该用于触发HA进行SPI分配的固定值的SPI为预先设定的,是HA与移动IP代理预先协商好的。当然,也可以设定其它的标识信息来触发HA进行SPI分配。
步骤404,HA在接收到来自移动IP代理的PMIP信令后,从该信令中获得必要的参数,用与集中控制点相同的方法计算共享密钥,用计算所得的共享密钥校验接收到的PMIP信令的完整性,如果校验成功,则为移动终端建立移动IP代理和HA之间的数据隧道,并且HA为计算所得的共享密钥分配一个SPI,这个SPI具有唯一性,能唯一标识该共享密钥所属的安全关联。
步骤405,HA向移动IP代理发送PMIP信令,该信令使用HA与移动IP代理间的共享密钥进行保护,该信令中携带在步骤404所分配的SPI。
步骤406,移动IP代理接收来自HA的PMIP信令,利用接移动IP代理和HA之间的共享密钥校验该信令的完整性,在校验成功时,保存该PMIP信令中携带的SPI。
后续HA和移动IP代理交互的PMIP信令可继续使用集中控制点计算所得的共享密钥进行完整性保护,并且在交互的PMIP信令中携带HA分配的SPI。具体为:如果移动IP代理与HA为特定移动终端建立的数据隧道的生命期到达,需要重新创建该数据隧道时,不需要重新计算共享密钥和生成唯一标识共享密钥的SPI,HA与移动IP代理交互的PMIP信令仍采用原来的共享密钥进行保护,并在交互的PMIP信令中携带唯一标识原来的共享密钥的SPI。
图5为本发明保护PMIP信令的方法实施例四的流程图,该实施例中移动IP代理和HA间的共享密钥以及SPI由集中控制点计算生成,计算时包含了随机数。移动IP代理利用PMIP信令现有的字段向HA传递随机数。该流程包括:
步骤501,集中控制点为移动IP代理生成SPI,该SPI由随机数生成器产生,或利用随机数和其它选定的参数计算生成。集中控制点要确保生成的SPI在所服务的移动终端相关的所有SPI中的唯一性。
集中控制点计算该移动IP代理与HA间的共享密钥,在计算共享密钥时,参与计算的参数包括:代理移动IP的根密钥、SPI、移动IP代理的IP地址、以及HA的IP地址等。在这种情况下,由于SPI本身是随机数,或由随机数参与计算生成,因此集中控制点可以将SPI作为随机数参与共享密钥的计算。
步骤502,集中控制点将计算所得的共享密钥和生成的SPI传递给移动IP代理。
步骤503,移动IP代理向HA发送PMIP信令,该信令用移动IP代理与HA间的共享密钥保护,并且该信令包含唯一标识该共享密钥的SPI。
步骤504,HA在接收到来自移动IP代理的PMIP信令后,从该信令中获得必要的参数,包括SPI和移动IP代理的IP地址等信息,用与集中控制点相同的方法计算共享密钥,用计算所得的共享密钥校验接收到的PMIP信令的完整性,如果校验成功,则保存从PMIP信令中获取的SPI,并为移动终端建立移动IP代理和HA之间的数据隧道。
步骤505,HA向移动IP代理发送PMIP信令,该信令用HA与移动IP代理间的共享密钥进行保护,并且该信令中携带唯一标识该共享密钥的SPI。
图6和图7实施例以CDMA演进网络为例进行说明,其中eBS充当移动IP代理,AGW充当HA,SRNC充当集中控制点。
图6为本发明保护PMIP信令的方法实施例五的流程图,该流程包括:
步骤601,AT与eBS1建立连接,SRNC保存AT与eBS1间的会话信息。
步骤602,SRNC发起与AT的接入认证,认证服务器为AT归属网络的AAA服务器;在接入认证过程中,SRNC和AGW从HAAA获得代理移动IP的根密钥(PMN-RK,Proxy Mobile Node-Root Key)。
步骤603,SRNC计算eBS1与AGW间的共享密钥PMN-HA1,将AGW的IP地址,AT的NAI,PMN-HA1,以及随机数nonce1携带在信令中发送给eBS1。
其中,PMN-HA1是SRNC根据PMN-RK、eBS1的IP地址、AGW的IP地址,以及nonce1计算生成的。
步骤604,eBS1将link ID发送给AT,Link ID表示了AGW范围内链路层的标识。
步骤605,AT将Link ID传递给AT的IP层。
步骤606,eBS1向AGW发送PMIP信令,eBS1用从SRNC获得的PMN-HA1对要发送的PMIP信令进行保护。
具体的对PMIP信令进行保护的方式为:eBS1将根据PMN-HA1计算的信令摘要通过PMN-HA认证扩展(PMN-HA AE,PMN-HA AuthenticationExtension)字段携带。这里,PMN-HA AE字段中还包含了一个固定值的SPI,用于触发AGW进行SPI分配。PMIP信令中还包括了AT的标识信息(NAI)、eBS1的IP地址以及nonce1,nonce1包含在Identification字段的低32bit中。
步骤607,AGW接到来自eBS1的PMIP信令后,从Identification字段中获取nonce1,采用与SRNC相同的方法计算PMN-HA1,用PMN-HA1对PMIP信令进行完整性校验,如果校验成功,AGW为PMN-HA1分配一个唯一的SPI,用这个SPI标识PMN-HA1所属的安全关联。
步骤608,AGW向eBS1发送PMIP信令,用PMN-HA1对该信令进行保护,认证扩展MN-HA AE字段中包含所分配的SPI。另外,AGW还会向eBS1传递GRE的key,目的是为了在eBS1和AGW间为当前所服务的AT建立一个独立的数据隧道,这个数据隧道使用GRE封装,用Key标识。
步骤609,eBS1将AGW分配的GRE key通知给SRNC。
步骤610,AT的IP层根据Link ID的值判断是否需要获取新的IP地址,如果需要获取新的IP地址,则向AGW请求IP地址,AGW将分配的IP地址发送给AT。
每一个AT可能与多个eBS建立连接,当AT要同时与eBS2建立连接时,执行步骤611至614。
步骤611,AT将eBS2加入AT的路由集(route set)中,与eBS2建立空口连接。eBS2通过与SRNC的交互,获得AGW的IP地址、GRE Key、SRNC计算生成的eBS2与AGW之间的共享密钥PMN-HA2、以及随机数nonce2。
这里,PMN-HA2与eBS1所使用的PMN-HA1密钥不同,PMN-HA2是SRNC根据PMN-RK、eBS2的IP地址、AGW的IP地址,以及nonce2计算生成的。
步骤612,eBS2向AGW发送PMIP信令,eBS2用从SRNC获得的PMN-HA2保护该PMIP信令。PMIP信令中还包括AT的NAI,、eBS2的IP地址、GRE Key等,并且Identification字段中包含了nonce2,认证扩展MN-HA AE字段中携带固定值的SPI。
步骤613,AGW接到来自eB2的PMIP信令后,从中提取nonce2,采用与SRNC相同的方法计算PMN-HA2,用PMN-HA2对接收到的PMIP信令进行完整性校验;如果校验成功,则分配唯一标识PMN-HA2所属的安全关联的SPI。
步骤614,AGW向eB2发送PMIP信令,用PMN-HA2对该信令进行保护,认证扩展MN-HA AE字段中包含步骤613中分配的SPI。
AGW不再分配新的GRE key,而是使用eBS2在PMIP信令中携带的GRE key做为eBS2与AGW之间隧道的标识。
AGW与eSB之间的每一个数据隧道都是有生命期的,当AGW与eBS1为特定AT创建的数据隧道的生命期到达,需要重新创建相同的数据隧道时,AGW和eBS1可以通过以确定的共享密钥PMN-HA1对交互的PMIP信令进行保护,并且在PMIP信令中携带确定的SPI1。AGW和eBS2为特定AT创建的数据隧道生命期到达时,同样可以利用已确定的PMN-HA2和SPI1进行PMIP信令交互。
在图6中,eBS通过PMIP信令向AGW传递计算共享密钥的随机数时,将随机数携带在PMIP信令中现有的indification字段中发送给AGW。在实际应用中,eBS也可以通过在PMIP信令中扩展新的字段,如Nonce字段,将随机数携带在新扩展的字段中发送给AGW。
图7为本发明保护PMIP信令的方法实施例六的流程图,该实施例中SPI充当随机数。该流程包括:
步骤701,AT与eBS1建立连接,SRNC保存AT与eBS1间的会话信息。
步骤702,SRNC发起与AT的接入认证,认证服务器为AT归属网络的AAA服务器;在接入认证过程中,SRNC和AGW从HAAA获得代理移动IP的PMN-RK。
步骤703,SRNC将AGW的IP地址、AT的NAI、生成的SPI1以及利用SPI1计算的PMN-HA1发送给eBS1。
其中,SPI1是SRNC根据eBS1的IP地址、AGW的IP地址、以及一个随机数计算生成的;PMN-HA1是SRNC根据PMN-RK和SPI1计算生成的。
步骤704,eBS1将link ID发送给AT,Link ID表示了AGW范围内链路层的标识;
步骤705,AT将Link ID传递给AT的IP层。
步骤706,eBS1向AGW发送PMIP信令,eBS1用从SRNC获得的PMN-HA1保护该PMIP信令,PMIP信令中包含了SPI1以及AT的NAI和eBS1的IP地址。
这里,具体的对PMIP信令进行保护的方式为:eBS1将根据PMN-HA1计算的信令摘要携带在PMN-HA AE字段中,PMN-HA AE中还包含了SPI1。
步骤707,AGW接收到来自eBS1的PMIP信令后,从中获取SPI1,因为AGW也具有PMN-RK,因此AGW采用与SRNC相同的方法计算PMN-HA1,用计算所得的PMN-HA1对消息进行校验。如果校验成功,保存获取的SPI1。
步骤708,AGW向eBS1发送PMIP信令,用PMN-HA1对该信令进行保护,在PMN-HA AE字段中携带SPI1。另外AGW还会传递GRE的key给eBS1,目的是为了在eBS1和AGW间为当前服务的AT建立一个独立的数据隧道,这个数据隧道就使用GRE封装,用Key标识。
步骤709,eBS1与SRNC进行交互,将AGW分配的GRE key通知给SRNC。
步骤710,AT的IP层根据Link ID的值判断是否需要获取新的IP地址,如果需要获取新的IP地址,则向AGW请求IP地址,AGW将分配的IP地址发送给AT。
每一个AT可能与多个eBS建立连接,当AT要同时与eBS2建立连接时,执行步骤711至714。
步骤711,AT将eBS2加入自身的路由集中,与eBS2建立空口连接。eBS2通过与SRNC的交互,获得AGW的IP地址、GRE Key、PMN-HA2、以及利用随机数等参数生成的SPI2。
其中,SPI2是SRNC根据eBS2的IP地址、AGW的IP地址、以及一个随机数计算生成的;PMN-HA2与eBS1所使用的PMN-HA1密钥不同,是SRNC根据SPI2和PMN-RK计算生成的。
步骤712,eBS2向AGW发送PMIP信令,eBS2用从SRNC获得的PMN-HA2保护该信令,在PMN-HA AE字段中携带SPI2。PMIP消息中还包括AT的NAI、eBS2的IP地址和GRE Key。
步骤713,AGW接收到来自eBS2的PMIP信令后,从中获取SPI2,采用与SRNC相同的方法计算PMN-HA2,用计算所得的PMN-HA2对PMIP信令进行校验,如果校验成功,则保存获取的SPI2。
步骤714,AGW向eBS2发送PMIP信令,用PMN-HA2对该信令进行保护,在PMN-HA AE字段中携带SPI2。
AGW不再分配新的GRE key,而是使用eBS2发送的PMIP信令中携带的GRE key做为AGW与eBS2之间的数据隧道的标识。
AGW与eSB之间的每一个数据隧道都是有生命期的,当AGW与eBS1为特定AT创建的数据隧道的生命期到达,需要重新创建相同的数据隧道时,AGW和eBS1可以通过以确定的共享密钥PMN-HA1对交互的PMIP信令进行保护,并且在PMIP信令中携带确定的SPI1。AGW和eBS2为特定AT创建的数据隧道生命期到达时,同样可以利用已确定的PMN-HA2和SPI1进行PMIP信令交互。
本发明实施例还提供了三种保护PMIP信令的系统。
图8为本发明保护PMIP信令的系统实施例一的结构示意图。该系统包括:
集中控制点,用于计算移动IP代理和家乡代理HA之间的共享密钥,生成唯一标识该共享密钥的SPI;
移动IP代理,用于接收集中控制点发送的或主动从集中控制点获取所述共享密钥和SPI,利用获取的共享密钥对要发送给HA的PMIP信令进行完整性保护,在要发送的PMIP信令中携带获取的SPI;
HA,用于接收来自移动IP代理的PMIP信令,采用与集中控制点相同的方法计算共享密钥,利用计算所得的共享密钥校验接收到的PMIP信令的完整性,在校验成功时,保存计算所得的共享密钥和接收到的PMIP信令携带的SPI。
该系统的集中控制点包括:
共享密钥计算单元,用于计算移动IP代理和HA之间的共享密钥;
SPI生成单元,用于利用随机数生成器生成,或利用选定参数计算生成唯一标识共享密钥计算单元计算所得的共享密钥的SPI。
该集中控制点还可以进一步包括:信息发送单元,用于将共享密钥计算单元计算所得的共享密钥和SPI生成单元生成的SPI发送给移动IP代理。
如果SPI生成单元通过随机数生成器生成SPI,或利用随机数以及其它选定参数计算生成SPI,则该集中控制点中的共享密钥计算单元可以由随机数获取单元和密钥计算单元组成。其中,
随机数获取单元,用于从SPI生成单元获取生成的SPI;
密钥计算单元,用于将随机数获取单元获取的SPI作为随机数计算移动IP代理和HA之间的共享密钥。
图9为本发明保护PMIP信令的系统实施例二的结构示意图。该系统包括:
集中控制点,用于计算移动IP代理和家乡代理HA之间的共享密钥;
移动IP代理,用于获取集中控制点计算的共享密钥,生成唯一标识该共享密钥的SPI,利用该共享密钥对要发送给HA的PMIP信令进行完整性保护,在要发送的PMIP信令中携带生成的SPI;
HA,用于接收来自移动IP代理的PMIP信令,采用与集中控制点相同的方法计算共享密钥,利用计算所得的共享密钥校验接收到的PMIP信令的完整性,在校验成功时,保存计算所得的共享密钥和接收到的PMIP信令携带的SPI。
该实施例中,移动IP代理包括:
共享密钥获取单元,用于接收集中控制点发送的共享密钥,或从集中控制点主动获取共享密钥;
SPI生成单元,用于利用随机数生成器生成,或利用选定参数计算生成唯一标识获取的共享密钥的SPI;
信令发送单元,用于向HA发送PMIP信令,用所述共享密钥对要发送的PMIP信令进行完整性保护,在要发送的PMIP信令中携带SPI生成单元生成的SPI。
图10为本发明保护PMIP信令的系统实施例三的结构示意图。该系统包括:
集中控制点,用于计算移动IP代理和家乡代理HA之间的共享密钥;
移动IP代理,用于获取集中控制点计算的共享密钥,向HA发送PMIP信令,利用获取的共享密钥对该PMIP信令进行完整性保护,在该PMIP信令中携带设定的触发SPI分配的固定标识;接收来自HA的PMIP信令,利用获取的共享密钥校验接收到的PMIP信令的完整性,在校验成功时,从接收到的PMIP信令中获取HA分配的唯一标识所述共享密钥的SPI;
HA,用于接收来自移动IP代理的PMIP信令,采用与集中控制点相同的方法计算共享密钥,利用计算所得的共享密钥校验接收到的PMIP信令的完整性,在校验成功时,生成唯一标识该共享密钥的SPI;将该SPI携带在PMIP信令中发送给移动IP代理,用计算所得的共享密钥对要发送给移动IP代理的PMIP信令进行完整性保护。
该实施例中,家乡代理HA包括:
信令收发单元,用于接收来自移动IP代理的PMIP信令;将SPI生成单元生成的SPI携带在PMIP信令中发送给移动IP代理,用校验单元计算所得的共享密钥对要发送给移动IP代理的PMIP信令进行完整性保护;
校验单元,采用与集中控制点相同的方法计算共享密钥,利用计算所得的共享密钥校验接收到的PMIP信令的完整性;
SPI生成单元,用于在校验单元校验成功时,利用随机数生成器生成,或利用选定参数计算生成唯一标识所述共享密钥的SPI。
移动IP代理包括:
共享密钥获取单元,用于接收集中控制点发送的或从集中控制点主动获取该移动IP代理与HA的共享密钥;
SPI分配触发单元,用于向HA发送PMIP信令,用共享密钥获取单元获取的共享密钥对该PMIP信令进行完整性保护,在该PMIP信令中携带设定的触发SPI分配的固定标识;
校验及SPI获取单元,用于接收来自HA的PMIP信令,利用共享密钥获取单元获取的共享密钥校验该信令的完整性,在校验成功时,从接收到的PMIP信令中获取HA分配的唯一标识所述共享密钥的SPI。
由以上描述可见,本发明实施例中由集中控制点计算移动IP代理与HA之间的共享密钥,由集中控制点或移动IP代理或HA生成唯一标识移动IP代理与HA的共享密钥的SPI,采用集中控制点计算所得的共享密钥对移动IP代理与HA交互的PMIP信令进行完整性保护,并且在PMIP信令中携带生成的SPI,进而使得在安全关联确定后,HA再接收到来自移动IP代理的PMIP信令时,可以根据SPI查找PMIP信令对应的安全关联,这样的查找过程不仅效率高,而且符合协议目前的规定。因此,本发明实施例提供的保护PMIP信令的方法完善了PMIP信令的保护机制。
本发明实施例提供的三种保护PMIP信令的系统,分别实现了由集中控制点生成、由移动IP代理和由HA生成唯一标识共享密钥的SPI的方法,因此这三种保护PMIP信令的系统能够达到完善PMIP信令的保护机制的发明目的。
本发明实施例提供的一种移动IP代理、HA以及集中控制点,可以生成唯一标识共享密钥的SPI,因此能够达到完善PMIP信令的保护机制的发明目的。
本发明实施例提供的第二种移动IP代理能够触发并获取HA为共享密钥分配的唯一标识SPI,因此能够达到完善PMIP信令的保护机制的发明目的。
综上所述,本发明实施例给出了生成SPI的方法,完善了PMIP信令的保护机制,提高了HA查找特定移动终端的安全关联的效率。另外,本发明实施例还提供了集中控制点计算共享密钥所需随机数的传递方式,不仅进一步完善了PMIP信令的保护机制,而且对现有协议的影响很小。
总之,以上所述仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (25)
1.一种保护代理移动PMIP信令的方法,其特征在于,包括:
计算移动IP代理和家乡代理HA的共享密钥;
生成唯一标识所述共享密钥的安全参数索引SPI;
所述移动IP代理向所述HA发送PMIP信令,用所述共享密钥对该PMIP信令进行完整性保护,将所述SPI携带在该PMIP信令中发送给所述HA;
所述HA接收所述PMIP信令,采用与计算所述共享密钥相同的方法计算共享密钥,利用计算所得的共享密钥校验所述PMIP信令的完整性,在校验成功时,保存计算所得的共享密钥和所述SPI;
所述HA向所述移动IP代理回送PMIP信令,用计算所得的共享密钥对该PMIP信令进行完整性保护,并将所述SPI携带在该PMIP信令中。
2.如权利要求1所述的方法,其特征在于,所述HA校验成功时,该方法还包括:所述HA创建所述移动IP代理与自身之间的数据隧道;
如果所述数据隧道的生命期到达时,需要重新创建该数据隧道时,所述HA与所述移动IP代理交互的PMIP信令采用所述共享密钥进行保护,并在交互的PMIP信令中携带所述SPI。
3.如权利要求1所述的方法,其特征在于,所述生成唯一标识所述共享密钥的SPI的方法为:集中控制点利用随机数生成器生成,或利用选定的参数生成唯一标识所述共享密钥的SPI,
该方法还包括:所述移动IP代理接收,或主动获取所述集中控制点计算所得的共享密钥和所述SPI。
4.如权利要求1所述的方法,其特征在于,所述生成唯一标识所述共享密钥的SPI的方法为:所述移动IP代理接收或主动获取到所述共享密钥时,利用随机数生成器生成,或利用选定的参数生成唯一标识所述共享密钥的SPI。
5.如权利要求3或4所述的方法,其特征在于,所述选定的参数包括:随机数、和/或所述HA的IP地址、和/或所述移动IP代理的IP地址、和/或根SPI值、和/或代理移动IP的根密钥。
6.如权利要求1至4任一项所述的方法,其特征在于,所述计算共享密钥的方法为:集中控制点利用随机数以及其它选定参数计算移动IP代理和家乡代理HA的共享密钥;
该方法进一步包括:所述移动IP代理接收,或主动获取所述集中控制点计算所述共享密钥所需的随机数;
所述移动IP代理将所述计算共享密钥的随机数携带在所述PMIP信令中发送给所述HA。
7.如权利要求6所述的方法,其特征在于,将计算所述共享密钥的随机数携带在PMIP信令中的方法为:
将计算所述共享密钥的随机数携带在PMIP信令现有的字段,或新扩展的字段中。
8.如权利要求7所述的方法,其特征在于,当将计算所述共享密钥的随机数携带在PMIP信令现有的字段中时,所述现有字段为Identification字段。
9.如权利要求6所述的方法,其特征在于,当采用随机数生成器生成或利用随机数计算生成唯一标识所述共享密钥的SPI时,所述集中控制点将所述SPI作为随机数计算所述共享密钥。
10.一种保护代理移动PMIP信令的方法,其特征在于,包括:
移动IP代理接收或主动获取集中控制点计算的所述移动IP代理和家乡代理HA的共享密钥,向所述HA发送PMIP信令,利用所述共享密钥对该PMIP信令进行保护,在该信令中携带设定的触发SPI分配的固定标识;
所述HA接收来自所述移动IP代理的PMIP信令,采用与所述集中控制点相同的方法计算共享密钥,利用计算所得的共享密钥校验接收到的PMIP信令的完整性,在校验成功时,生成唯一标识所述共享密钥的SPI;将所述SPI携带在PMIP信令中发送给所述移动IP代理,用计算所得的共享密钥对该PMIP信令进行保护;
所述移动IP代理接收来自所述HA的PMIP信令,利用所述共享密钥校验该信令的完整性,在校验成功时,保存所述SPI。
11.如权利要求10所述的方法,其特征在于,所述HA校验成功时,该方法还包括:所述HA创建所述移动IP代理与自身之间的数据隧道;
如果所述数据隧道的生命期到达时,需要重新创建该数据隧道时,所述HA与所述移动IP代理交互的PMIP信令采用所述共享密钥进行保护,并在交互的PMIP信令中携带所述SPI。
12.如权利要求10或11所述的方法,其特征在于,所述设定的触发SPI分配的固定标识为:设定的触发SPI分配的固定值的SPI。
13.如权利要求10所述的方法,其特征在于,生成唯一标识所述共享密钥的SPI的方法为:所述HA利用随机数生成器生成,或利用选定的参数计算生成唯一标识所述共享密钥的SPI;
所述选定的参数包括:随机数、和/或所述HA的IP地址、和/或所述移动IP代理的IP地址、和/或根SPI值、和/或代理移动IP的根密钥。
14.如权利要求10或11所述的方法,其特征在于,所述集中控制点计算共享密钥的方法为:集中控制点利用随机数以及其它选定参数计算所述共享密钥;
该方法进一步包括:所述移动IP代理接收,或主动获取所述集中控制点计算所述共享密钥所需的随机数;
所述移动IP代理将所述计算共享密钥的随机数携带在所述PMIP信令中发送给所述HA。
15.如权利要求14所述的方法,其特征在于,将计算所述共享密钥的随机数携带在PMIP信令中的方法为:
将计算所述共享密钥的随机数携带在PMIP信令现有的字段,或新扩展的字段中。
16.如权利要求15所述的方法,其特征在于,当将计算所述共享密钥的随机数携带在PMIP信令现有的字段中时,所述现有字段为Identification字段。
17.如权利要求14所述的方法,其特征在于,当采用随机数生成器生成或利用随机数计算生成唯一标识所述共享密钥的SPI时,所述集中控制点将所述SPI作为随机数计算所述共享密钥。
18.一种保护PMIP信令的系统,其特征在于,包括:
集中控制点,用于计算移动IP代理和家乡代理HA之间的共享密钥,生成唯一标识所述共享密钥的安全参数索引SPI;
所述移动IP代理,用于接收所述集中控制点发送的或主动从所述集中控制点获取所述共享密钥和SPI,利用所述共享密钥对要发送给所述HA的PMIP信令进行完整性保护,在所述PMIP信令中携带所述SPI;
所述HA,用于接收所述PMIP信令,采用与集中控制点相同的方法计算共享密钥,利用计算所得的共享密钥校验接收到的PMIP信令的完整性,在校验成功时,保存计算所得的共享密钥和所述PMIP信令携带的SPI。
19.一种集中控制点,其特征在于,包括:
共享密钥计算单元,用于计算移动IP代理和HA之间的共享密钥;
SPI生成单元,用于利用随机数生成器生成,或利用选定参数计算生成唯一标识所述共享密钥的SPI;
其中,所述共享密钥计算单元包括:
随机数获取单元,用于从所述SPI生成单元获取所述SPI,所述SPI通过随机数生成器生成,或利用随机数计算生成;
密钥计算单元,用于将所述SPI作为随机数计算所述移动IP代理和HA之间的共享密钥。
20.如权利要求19所述的集中控制点,其特征在于,进一步包括:信息发送单元,用于将所述共享密钥和所述SPI发送给所述移动IP代理。
21.一种保护PMIP信令的系统,其特征在于,包括:
集中控制点,用于计算移动IP代理和家乡代理HA之间的共享密钥;
所述移动IP代理,用于获取所述共享密钥,生成唯一标识所述共享密钥的SPI,利用所述共享密钥对要发送给所述HA的PMIP信令进行完整性保护,在所述PMIP信令中携带所述SPI;
所述HA,用于接收所述PMIP信令,采用与集中控制点相同的方法计算共享密钥,利用计算所得的共享密钥校验接收到的PMIP信令的完整性,在校验成功时,保存计算所得的共享密钥和所述PMIP信令携带的SPI。
22.一种移动IP代理,其特征在于,包括:
共享密钥获取单元,用于接收集中控制点发送的共享密钥,或从所述集中控制点主动获取所述共享密钥;
SPI生成单元,用于利用随机数生成器生成,或利用选定参数计算生成唯一标识所述共享密钥的SPI;
信令发送单元,用于向HA发送PMIP信令,用所述共享密钥对所述PMIP信令进行完整性保护,在所述PMIP信令中携带所述SPI生成单元生成的SPI。
23.一种保护代理移动PMIP信令的系统,其特征在于,包括:
集中控制点,用于计算移动IP代理和家乡代理HA之间的共享密钥;
移动IP代理,用于获取所述共享密钥,向HA发送PMIP信令,利用所述共享密钥对该PMIP信令进行完整性保护,在该PMIP信令中携带设定的触发SPI分配的固定标识;接收来自所述HA的PMIP信令,利用所述共享密钥校验接收到的PMIP信令的完整性,在校验成功时,从接收到的PMIP信令中获取所述HA分配的SPI;
所述HA,用于接收来自所述移动IP代理的PMIP信令,采用与集中控制点相同的方法计算共享密钥,利用计算所得的共享密钥校验接收到的PMIP信令的完整性,在校验成功时,生成唯一标识所述共享密钥的SPI;将所述SPI携带在PMIP信令中发送给所述移动IP代理,用计算所得的共享密钥对要发送给所述移动IP代理的PMIP信令进行完整性保护。
24.一种家乡代理,其特征在于,包括:
信令收发单元,用于接收来自移动IP代理的PMIP信令;将SPI生成单元生成的SPI携带在PMIP信令中发送给所述移动IP代理,用校验单元计算所得的共享密钥对要发送给所述移动IP代理的PMIP信令进行完整性保护;
校验单元,采用与集中控制点相同的方法计算共享密钥,利用计算所得的共享密钥校验接收到的PMIP信令的完整性;
所述SPI生成单元,用于在所述校验单元校验成功时,利用随机数生成器生成,或利用选定参数计算生成唯一标识所述共享密钥的SPI。
25.一种移动IP代理,其特征在于,包括:
共享密钥获取单元,用于接收集中控制点发送的或从所述集中控制点主动获取该移动IP代理与HA的共享密钥;
SPI分配触发单元,用于向所述HA发送PMIP信令,用所述共享密钥对该PMIP信令进行完整性保护,在该PMIP信令中携带设定的触发SPI分配的固定标识;
校验及SPI获取单元,用于接收来自HA的PMIP信令,利用所述共享密钥校验该信令的完整性,在校验成功时,从接收到的PMIP信令中获取所述HA分配的唯一标识所述共享密钥的SPI。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2007101067278A CN101325582B (zh) | 2007-06-15 | 2007-06-15 | 保护代理移动互联网协议信令的方法、系统及装置 |
| PCT/CN2008/071257 WO2008154841A1 (fr) | 2007-06-15 | 2008-06-11 | Procédé, système et appareil pour protéger le signalement de protocole internet mobile d'un agent |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2007101067278A CN101325582B (zh) | 2007-06-15 | 2007-06-15 | 保护代理移动互联网协议信令的方法、系统及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101325582A CN101325582A (zh) | 2008-12-17 |
| CN101325582B true CN101325582B (zh) | 2012-08-08 |
Family
ID=40155899
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2007101067278A Active CN101325582B (zh) | 2007-06-15 | 2007-06-15 | 保护代理移动互联网协议信令的方法、系统及装置 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN101325582B (zh) |
| WO (1) | WO2008154841A1 (zh) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102281287B (zh) * | 2011-06-23 | 2014-05-28 | 北京交通大学 | 基于tls的分离机制移动性信令保护系统及保护方法 |
| US11075949B2 (en) * | 2017-02-02 | 2021-07-27 | Nicira, Inc. | Systems and methods for allocating SPI values |
| CN108777720A (zh) * | 2018-07-05 | 2018-11-09 | 湖州贝格信息安全科技有限公司 | 文件传输方法及相关产品 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1534935A (zh) * | 2003-03-31 | 2004-10-06 | 华为技术有限公司 | 一种基于预共享密钥的密钥分发方法 |
| CN1571407A (zh) * | 2003-07-14 | 2005-01-26 | 华为技术有限公司 | 一种基于媒体网关控制协议的安全认证方法 |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP1738560A1 (en) * | 2004-04-14 | 2007-01-03 | Nortel Networks Limited | Securing home agent to mobile node communication with ha-mn key |
| JP2006203764A (ja) * | 2005-01-24 | 2006-08-03 | Nec Corp | 移動通信システム |
| FI20050384A0 (fi) * | 2005-04-14 | 2005-04-14 | Nokia Corp | Geneerisen todentamisarkkitehtuurin käyttö Internet-käytäntöavainten jakeluun matkaviestimissä |
-
2007
- 2007-06-15 CN CN2007101067278A patent/CN101325582B/zh active Active
-
2008
- 2008-06-11 WO PCT/CN2008/071257 patent/WO2008154841A1/zh active Application Filing
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1534935A (zh) * | 2003-03-31 | 2004-10-06 | 华为技术有限公司 | 一种基于预共享密钥的密钥分发方法 |
| CN1571407A (zh) * | 2003-07-14 | 2005-01-26 | 华为技术有限公司 | 一种基于媒体网关控制协议的安全认证方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101325582A (zh) | 2008-12-17 |
| WO2008154841A1 (fr) | 2008-12-24 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110800331B (zh) | 网络验证方法、相关设备及系统 | |
| JP4965671B2 (ja) | 無線通信ネットワークにおけるユーザ・プロファイル、ポリシー及びpmipキーの配布 | |
| US7475241B2 (en) | Methods and apparatus for dynamic session key generation and rekeying in mobile IP | |
| EP2702741B1 (en) | Authenticating a device in a network | |
| CN101006682B (zh) | 快速网络附着 | |
| CN101667916B (zh) | 一种基于分离映射网络使用数字证书验证用户身份的方法 | |
| US20060078119A1 (en) | Bootstrapping method and system in mobile network using diameter-based protocol | |
| US8331287B2 (en) | Method and system for managing mobility in a mobile communication system using mobile internet protocol | |
| CN101969638A (zh) | 一种移动通信中对imsi进行保护的方法 | |
| WO2007106620A2 (en) | Method for authenticating a mobile node in a communication network | |
| EP1886459B1 (en) | Method for auto-configuration of a network terminal address | |
| US8099597B2 (en) | Service authorization for distributed authentication and authorization servers | |
| CN102685712A (zh) | 一种身份位置分离网络中的映射服务器及其实现方法 | |
| WO2008009232A1 (fr) | Procédé, système et dispositif pour déterminer la clé ip mobile et notifier le type ip mobile | |
| CN101313627B (zh) | 一种分配家乡代理的方法及系统 | |
| CN101325582B (zh) | 保护代理移动互联网协议信令的方法、系统及装置 | |
| KR101466889B1 (ko) | 모바일 아이피 방식의 무선통신시스템에서 세션 식별자를검색하기 위한 시스템 및 방법 | |
| CN102143494B (zh) | 数据上报方法、数据上报装置和m2m设备 | |
| CN100536483C (zh) | 一种宽带无线城域网中基站标识符的分配与安全传送方法 | |
| CN101569160B (zh) | 用于传输dhcp消息的方法 | |
| EP1695480A1 (en) | Method and apparatus for authenticating subscriber and network in wireless internet system | |
| Laurent-Maknavicius et al. | Inter-domain security for mobile Ipv6 | |
| Wan et al. | Identity based security for authentication and mobility in future ID oriented networks | |
| CN101447978B (zh) | 在WiMAX网络中拜访AAA服务器获取正确的HA-RK Context的方法 | |
| CN110839231B (zh) | 一种获取终端标识的方法和设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |