[go: up one dir, main page]
More Web Proxy on the site http://driver.im/

CN101656961B - 一种cdma2000系统移动ip业务的接入方法和系统 - Google Patents

一种cdma2000系统移动ip业务的接入方法和系统 Download PDF

Info

Publication number
CN101656961B
CN101656961B CN2009101899288A CN200910189928A CN101656961B CN 101656961 B CN101656961 B CN 101656961B CN 2009101899288 A CN2009101899288 A CN 2009101899288A CN 200910189928 A CN200910189928 A CN 200910189928A CN 101656961 B CN101656961 B CN 101656961B
Authority
CN
China
Prior art keywords
ipsec
pdsn
parameter
aaa
isakmp
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN2009101899288A
Other languages
English (en)
Other versions
CN101656961A (zh
Inventor
钮远
金仁康
井惟栋
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
ZTE Corp
Original Assignee
ZTE Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by ZTE Corp filed Critical ZTE Corp
Priority to CN2009101899288A priority Critical patent/CN101656961B/zh
Publication of CN101656961A publication Critical patent/CN101656961A/zh
Priority to EP10813263.0A priority patent/EP2445146A4/en
Priority to PCT/CN2010/072593 priority patent/WO2011026341A1/zh
Application granted granted Critical
Publication of CN101656961B publication Critical patent/CN101656961B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/16Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0892Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • H04L63/205Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/061Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/164Implementing security features at a particular protocol layer at the network layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W80/00Wireless network protocols or protocol adaptations to wireless operation
    • H04W80/04Network layer protocols, e.g. mobile IP [Internet Protocol]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • Accounting & Taxation (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

本发明公开了一种CDMA2000系统移动IP业务的接入方法和系统,所述方法中,在外地代理FA或分组数据服务节点PDSN与家乡代理HA协商建立Internet协议安全隧道即IPSec隧道的过程中,鉴权授权计费服务器AAA选择并下发协商IPSec参数或协商IPSec参数所对应的profileID至FA和HA,或PDSN和HA。本发明避免了在FA或PDSN上手工配置参数,提高了系统的可用性,同时避免了因协议版本不同而造成的对接困难。

Description

一种CDMA2000系统移动IP业务的接入方法和系统
技术领域
本发明涉及通信领域,尤其涉及CDMA2000系统中移动IP(InternetProtocol,网络互连的协议)业务接入时的安全机制。
背景技术
移动IP业务相较简单IP业务为用户提供了更大范围的不间断业务,在CDMA2000、Wimax(World Interoperability for Microwave Access,全球微波接入互通技术)以及下一代演进网络中都得到了广泛的应用。
移动IP业务在核心网侧主要网元包括FA(ForeignAgent,外地代理)、HA(Home Agent,归属代理)和AAA(Authentication AuthorizationAccounting鉴权授权计费服务器)。移动IP通过FA和HA接入网络,并通过FA和HA与网络进行信令和数据业务的交互,保证移动IP业务的安全性通过保证FA和HA之间信令和数据业务的安全性来实现。
在3gpp2(3rd Generation Partnership Project 2,第三代合作伙伴计划2)协议中,FA与HA之间的信令和数据业务的安全性通常采用两种方法来保证:
第一种方法是采用FA与HA之间的认证扩展,即在FA上配置HA列表及相关参数,在HA上配置FA列表及相关参数。此方法的缺点是列表及相关参数需要手工配置,对于复杂的组网环境,操作维护工作不够方便。特别是移动IP业务国际漫游的场景,每次配置FA时需要了解全球所有互通HA的配置并且在全球的HA上增加新增FA的配置,实际可操作性较差。
第二种方法采用IPSec(Internet Protocol Security,Internet协议安全)隧道,即由AAA下发IPSec IKE(Internet Key Exchange,因特网密钥交换协议)协商需要的预共享密钥。
在某些CDMA2000系统中,PDSN(Packet Data Service Node分组数据服务节点)在移动IP用户接入时具有FA同样的功能,在第二种方法中,FA可以用PDSN替换。
和第一种方法相比,第二种采用IPSec隧道的安全性更高,现有的采用IPSec隧道的移动IP接入方法包括以下步骤,如图1所示:
步骤101、PCF与FA或PDSN建立空口链路;
步骤102、访问终端与FA或PDSN协商PPP,FA或PDSN发送代理广播至访问终端;
步骤103、访问终端通过代理广播获取移动IP相关信息;
步骤104、访问终端向FA或PDSN发起移动IP注册;
步骤105至108,FA或PDSN与AAA交互,获取认证信息,包括预共享密码和KeyID,同时下发HA地址给FA或PDSN;
步骤109,FA或PDSN读取本地配置的其他协商IPSec参数,根据FA下发的认证信息,向HA进行ISAKMP SA协商,携带提议的ISAKMP SA信息、密匙材料以及KeyID;
步骤110,HA根据KeyID还原出FA地址,向AAA获取生成IPSec预共享密钥的S Key并保存在本地;
步骤111~112,HA读取本地预先配置的其他协商IPSec参数,与FA或PDSN协商建立ISAKMP SA;
步骤113,PDSN/FA、HA协商建立IPSec SA;
步骤114~117,完成MIP注册,PDSN/FA与HA之间信令由IPSec隧道承载;
步骤118,FA通知AAA计费开始;
步骤119,移动IP接入完成,访问终端开始数据业务,FA与HA之间数据由IPSec隧道承载。
现有的采用IPSec隧道的移动IP接入方法有以下问题:
问题一,IKE协商两端的IPSec安全关联,除了预共享密钥还需要配置若干协商参数,如FA与HA之间IPSec的传输模式、隧道模式下隧道两端的地址、安全类型、具体的加密认证算法等,这些参数仍需要手工配置在FA和HA上,可操作性较差;
问题二,3gpp2协议对IKE协商作了若干约束,如ISAKMP(InternetSecurity Association and Key Management Protocol,因特网安全协定和密钥管理协议)的主版本和副版本、选择符等,统一了标准,但是扩展性不好。如目前主流IKE已经有V1.0和V2.0的版本,而3gpp2还是停留在0版本,不同的系统、不同的版本在实际对接存在问题;
问题三,安全策略单一,无法满足运营商订制安全策略的需求,运营商在建设移动IP网络时可能会提出若干的订制要求,如区分帐号实施FA与HA之间的IPSec、区分运营商内部网络和其他运营商网络实施不同的IPSec策略等,目前的架构无法满足运营商的需求。
发明内容
本发明提供了一种CDMA2000系统移动IP业务的接入方法及系统,可以提高系统的可用性,同时满足运营商多样化安全策略需求。
为解决上述问题,本发明采用了如下技术方案:
一种CDMA2000系统移动IP的接入方法,在外地代理FA或分组数据服务节点PDSN与家乡代理HA协商建立Internet协议安全隧道即IPSec隧道的过程中,鉴权授权计费服务器AAA选择并下发协商IPSec参数或协商IPSec参数所对应的profileID至所述FA和HA,或PDSN和HA。
在上述CDMA2000系统移动IP的接入方法的一种实施例中,所述FA或PDSN与所述HA协商建立所述IPSec隧道的过程包含以下步骤:
A1、所述FA或PDSN向所述AAA发送认证请求,同时请求预共享密码;
A2、所述AAA将认证应答下发至所述FA或PDSN,所述认证应答包含协商IPSec参数或协商IPSec参数所对应的profileID;
A3、所述FA或PDSN根据所述AAA下发的认证应答,发送协商请求至所述HA;
A4、所述HA收到所述协商请求后,向所述AAA获取预所述共享密码,以及协商IPSec参数或协商IPSec参数所对应的profileID,FA或PDSN与HA协商建立IPSec隧道。
在上述CDMA2000系统移动IP的接入方法的一种实施例中,所述AAA根据不同访问终端的安全等级选择并下发不同的协商IPSec参数或不同的协商IPSec参数所对应的profileID,所述访问终端的安全等级由用户预先设定。
在上述CDMA2000系统移动IP的接入方法的一种实施例中,在所述步骤A1之前,还包括以下步骤:
B1、PCF与所述FA或PDSN建立空口链路;
B2、所述访问终端与所述FA或PDSN协商PPP,所述FA或PDSN发送代理广播至所述访问终端;
B3、所述访问终端通过所述代理广播获取移动IP相关信息;
B4、所述访问终端向所述FA或PDSN发起移动IP注册;
在所述步骤A4之后,还包括以下步骤:
B5、所述访问终端完成移动IP注册,所述FA或PDSN与HA之间的信令由所述IPSec隧道承载;
B6、所述FA或PDSN通知所述AAA计费开始;
B7、所述移动IP接入完成,所述访问终端开始数据业务,所述FA或PDSN与所述HA之间的数据由所述IPSec隧道承载。
在上述CDMA2000系统移动IP的接入方法的一种实施例中,所述步骤A2包含以下处理:所述AAA将认证应答下发至所述FA或PDSN,所述认证应答是AAA根据访问终端的安全级别,选择并下发的不同的协商IPSec参数、预共享密匙、身份信息;
所述步骤A3包括以下处理:所述FA或PDSN根据所述AAA下发的所述协商IPSec参数,发送ISAKMP SA建立的协商请求至所述HA,所述ISAKMP SA建立的协商请求中携带提议建立的ISAKMP SA信息、密钥材料以及身份信息;
所述步骤A4包括以下处理:
C1、所述HA收到所述ISAKMP SA建立的协商请求后,根据其中的所述身份信息还原FA或PDSN地址,并发送S Key和协商IPSec获取请求至所述AAA,所述AAA下发所述S Key和协商IPSec参数至所述HA,所述HA根据所述身份信息以及所述S Key,生成IPSec的预共享密匙,并将信息保存在本地;
C2、所述HA发送ISAKMP SA协商请求响应信至所述FA或PDSN;
C3、所述FA或PDSN收到所述ISAKMP SA协商请求响应后,发送已接收响应至所述HA,所述ISAKMP SA建立;
C4、所述ISAKMP SA建立后,所述FA或PDSN与所述HA建立IPSecSA;所述IPSec SA建立后,所述FA或PDSN与所述HA之间建立IPSec隧道。
在上述CDMA2000系统移动IP的接入方法的一种实施例中,所述步骤A2包括以下处理:所述AAA将认证应答下发至所述FA或PDSN,所述认证应答是所述AAA根据访问终端的安全级别,选择并下发的不同的协商IPSec参数所对应的profileID、预共享密匙、身份信息;
所述步骤A3包含以下处理:
D1、所述FA或PDSN根据所述协商IPSec参数所对应profileID在本地获取所述协商IPSec参数;
D2、所述FA或PDSN根据所述根据本地获取的所述协商IPSec参数,发送所述ISAKMP SA建立的协商请求至所述HA,所述ISAKMP SA建立的协商请求中携带提议建立的ISAKMP SA信息、密钥材料以及身份信息;
所述步骤A4包含以下处理:
D3、所述HA收到所述ISAKMP SA建立的协商请求后,根据其中的所述身份信息还原FA或PDSN地址,并发送所述S Key和协商IPSec获取请求至所述AAA,所述AAA下发所述S Key和协商IPSec参数至所述HA,所述HA根据所述身份信息以及S Key,生成IPSec的预共享密匙,并将信息保存在本地;
D4、所述HA发送ISAKMP SA协商请求响应信至所述FA或PDSN;
D5、所述FA或PDSN收到所述ISAKMP SA协商请求响应后,发送所述已接收响应至所述HA,所述ISAKMP SA建立;
D6、所述ISAKMP SA建立后,所述FA或PDSN与所述HA建立IPSecSA;所述IPSec SA建立后,所述FA或PDSN与所述HA之间建立IPSec隧道。
在上述CDMA2000系统移动IP的接入方法的一种实施例中,若本地已保存所述S Key和所述协商IPSec参数,则直接读取本地保存的信息,跳过步骤C1。
在上述CDMA2000系统移动IP的接入方法的一种实施例中,若本地已保存所述S Key和所述协商IPSec参数所对应的profileID,则直接读取本地保存的信息,跳过步骤D3。
本发明还公开了一种CDMA2000系统移动IP的接入系统,包括归属代理、外地代理和鉴权授权计费服务器,用于协商建立承载信令和数据的IPSec隧道,在归属代理和外地代理之间协商建立IPSec隧道的过程中,所述鉴权授权计费服务器选择并下发所述协商IPSec参数或协商IPSec参数所对应的profileID至所述外地代理和归属代理。
本发明公开的一种CDMA2000系统移动IP的接入系统中,所述鉴权授权计费服务器用于根据不同访问终端的安全等级选择并下发不同的协商IPSec参数或不同的协商IPSec参数所对应的profileID,所述访问终端的安全等级由用户预先设定。
与现有技术相比,本发明的有益效果在于:本发明选择并下发协商IPSec参数或协商IPSec参数所对应的profileID至FA和HA,或PDSN和HA,避免了在上述网元上手工配置协商IPSec参数,简化了系统配置,提高了系统的可用性,同时,由于FA和HA,或PDSN和HA上的协商参数统一下发,协议版本相同,避免了不同版本造成的对接困难。
附图说明
图1示例性地描述了现有的CDMA2000系统移动IP接入流程;
图2示例性地描述了本发明的CDMA2000系统移动IP接入流程;
图3示例性地描述了本发明的CDMA2000系统移动IP接入方法多样化安全策略的一种实施例;
图4示例性地描述了本发明的系统结构图。
具体实施方式
下面对照附图并结合具体实施方式对本发明进行进一步详细说明。
实施例一:
如图2所示,本例的CDMA2000系统移动IP的接入系统,其CDMA2000系统移动IP接入方法,包括以下处理步骤:
步骤201,PCF(Packet Control Function,分组控制功能子系统)与所述FA建立空口链路;
步骤202,访问终端与所述FA协商PPP(Point to Point Protocol,点对点联机协议),FA发送代理广播至所述访问终端;
步骤203,访问终端通过代理广播获取移动IP相关信息;
步骤204,访问终端向FA发起移动IP注册;
步骤205,FA向FAAA发送认证请求,同时请求预共享密码;
AAA包括HAAA(Home Authentication Authorization Accounting归属鉴权授权计费服务器)和FAAA(Foreign Authentication AuthorizationAccounting外地鉴权授权计费服务器),其中,HAAA为用于选择和下发协商IPSec参数;FAAA用于中转FA与HAAA之间的认证请求和应答。
步骤206,FAAA将认证请求转至HAAA;
步骤207,HAAA根据访问终端的安全级别,选择并下发不同的认证应答至FAAA,认证应答包含协商IPSec参数、预共享密匙、身份信息等;
协商IPSec参数包括IKE版本号、IKE协商的身份类型、IKE协商的交换类型、IPSec模式、加密算法、认证算法、IPSec隧道两端地址、选择符、ISAKMP SA的生命期、DH交换群、密钥长度、IPSec协议发展后续引入的参数。
访问终端的安全级别由运营商预先设定,不同安全级别的访问终端对应不同的认证应答,不同的认证应答对应不同级别的安全策略,满足了运营商安全策略多样化的需求。
步骤208,FAAA将认证应答转发至FA;
AAA下发协商IPSec参数等至FA,避免了在FA上手工配置各种参数,简化了系统配置,提高了系统的可用性。
步骤209,FA根据AAA下发的协商IPSec参数,发送ISAKMP SA建立的协商请求至HA,ISAKMP SA建立的协商请求中携带提议建立的ISAKMP SA信息、密钥材料以及身份信息;
步骤210,HA根据收到ISAKMP SA建立的协商请求后,根据其中的身份信息还原FA地址,并发送S Key和协商IPSec获取请求至AAA,AAA下发S Key和所述协商IPSec参数至HA,HA根据身份信息以及SKey生成IPSec的预共享密匙,并将信息保存在本地;若本地已保存S Key和所述协商IPSec参数,则直接读取本地保存的信息,跳过步骤110。
HA与FA上的预共享密码,用来加密在IPSec隧道内传输的数据和信令。
AAA下发协商IPSec参数等至HA,避免了在HA上手工配置各种参数,简化了系统配置,提高了系统的可用性。
协商IPSec参数在AAA统一配置,然后下发到FA与HA,可以保证下发的协商IPsec参数与HA、FA的版本一致且与FA、HA的支持能力相符,提高了系统的扩展性能。
步骤211,HA发送ISAKMP SA协商请求响应信至所述FA;
步骤212,FA收到ISAKMP SA协商请求响应后,发送已接收响应至所述HA,ISAKMP SA建立;
步骤213,ISAKMP SA建立后,FA与HA建立IPSec SA;IPSec SA建立后,FA与HA之间建立IPSec隧道。
步骤214~步骤217,访问终端完成移动IP注册,FA与HA之间的信令由IPSec隧道承载;
步骤218,FA通知AAA计费开始;
步骤219,移动IP接入完成,访问终端开始数据业务,FA与HA之间数据由所述IPSec隧道承载。
本例选择并下发协商IPSec参数或协商IPSec参数所对应的profileID至FA和HA,避免了在上述网元上手工配置协商IPSec参数,简化了系统配置,提高了系统的可用性;同时,由于FA和HA上的协商参数统一下发,协议版本相同,避免了不同版本造成的对接困难;另一方面,对不同安全等级提供不同的协商IPSec参数或不同的协商IPSec参数所对应的profileID,即提供了不同的安全策略,可以满足运营商多样化安全策略需求。
实施例二:
如图3所示,本发明的CDMA2000系统移动IP接入方法的实施例二中,多样化安全策略包含以下步骤:
步骤301,访问终端接入CDMA2000系统,PCF与所述FA建立空口链路;访问终端与所述FA协商PPP,FA发送代理广播至访问终端;访问终端通过代理广播获取移动IP相关信息;访问终端发起移动IP注册;FA向AAA发送认证请求,同时请求预共享密码;
步骤302,AAA根据访问终端的安全级别,提供不同的协商IPSec参数,即提供不同等级的安全策略,下发至FA;
安全策略体现在不同的协商IPSec参数中,例如,协商IPSec参数中有IPSec隧道两端地址,高级别安全策略提供特殊HA地址以及机密级别的其他协商IPSec参数,低级别策略则按通用算法,如轮循算法选择HA地址以及仅提供认证服务的其他协商IPSec参数。
步骤303,FA与HA按照不同的协商IPSec参数,建立不同安全级别的IPSec隧道;
步骤304,访问终端的信令和数据在FA与HA之间的IPSec隧道传输。
高安全级别的访问终端和低安全级别的访问终端,在不同安全级别的IPSec隧道上传输信令和数据,达到不同安全级别的保障。
实施例三:
本发明的CDMA2000系统移动IP的接入方法的实施例三,与实施例一的不同之处主要在于,步骤207~步骤210有另一种实施方法:
步骤207a,HAAA根据访问终端安全级别,选择并下发认证应答至FAAA,认证应答包含协商IPSec参数所对应的profileID、预共享密匙、身份信息等;
步骤208a,FAAA将认证应答转发至FA;
步骤209a,FA根据协商IPSec参数所对应profileID在本地获取协商IPSec参数,FA根据协商IPSec参数信息,发送ISAKMP SA建立的协商请求至所述HA,ISAKMP SA建立的协商请求中携带提议建立的ISAKMPSA信息、密钥材料以及身份信息;
步骤110a,HA根据收到ISAKMP SA建立的协商请求后,根据其中的身份信息还原FA地址,并发送S Key和协商IPSec所对应profileID获取请求至AAA,AAA下发S Key和协商IPSec参数至HA,HA根据身份信息以及S Key生成IPSec的预共享密匙,并将信息保存在本地;
若本地已保存所述S Key和所述协商IPSec参数所对应的profileID,则直接读取本地保存的信息,跳过步骤110a。
AAA下发profileID至FA和HA,由FA和HA在本地获取协商IPSec参数,避免了在FA和HA上手动配置参数,同时也节约了HA和FA之间的通信量。
实施例四:
如图4所示,本发明的一种CDMA2000系统移动IP的接入系统地实施例中,包括归属代理、外地代理和鉴权授权计费服务器,用于协商建立承载信令和数据的IPSec隧道,在归属代理和外地代理之间协商建立IPSec隧道的过程中,鉴权授权计费服务器选择并下发协商IPSec参数或协商IPSec参数所对应的profileID至外地代理和归属代理。
以上内容是结合具体的优选实施方式对本发明所作的进一步详细说明,但这只是为便于理解而举的实例,不应认为本发明的具体实施只局限于这些说明。对于本发明所属技术领域的普通技术人员来说,在不脱离本发明构思的前提下,可以做出各种可能的等同改变或替换,这些改变或替换都应属于本发明的保护范围。例如,某些CDMA2000系统中,PDSN(Packet Data Service Node分组数据服务节点)在移动IP用户接入时具有FA同样的功能,所以在上述各实施例中,FA可以用PDSN替换。

Claims (9)

1.一种CDMA2000系统移动IP的接入方法,其特征在于,在外地代理FA或分组数据服务节点PDSN与家乡代理HA协商建立Internet协议安全隧道即IPSec隧道的过程中,鉴权授权计费服务器AAA选择并下发协商IPSec参数或协商IPSec参数所对应的profileID至所述FA和HA,或PDSN和HA;
所述FA或PDSN与所述HA协商建立所述IPSec隧道之前,还包括以下步骤:
B1、分组控制功能子系统与所述FA或PDSN建立空口链路;
B2、访问终端与所述FA或PDSN协商PPP,所述FA或PDSN发送代理广播至所述访问终端;
B3、所述访问终端通过所述代理广播获取移动IP相关信息;
B4、所述访问终端向所述FA或PDSN发起移动IP注册;
所述FA或PDSN与所述HA协商建立所述IPSec隧道之后,还包括以下步骤:
B5、所述访问终端完成移动IP注册,所述FA或PDSN与HA之间的信令由所述IPSec隧道承载;
B6、所述FA或PDSN通知所述AAA计费开始;
B7、所述移动IP接入完成,所述访问终端开始数据业务,所述FA或PDSN与所述HA之间的数据由所述IPSec隧道承载。
2.如权利要求1所述的CDMA2000系统移动IP的接入方法,其特征在于,所述FA或PDSN与所述HA协商建立所述IPSec隧道的过程包含以下步骤:
A1、所述FA或PDSN向所述AAA发送认证请求,同时请求预共享密码;
A2、所述AAA将认证应答下发至所述FA或PDSN,所述认证应答包含协商IPSec参数或协商IPSec参数所对应的profileID;
A3、所述FA或PDSN根据所述AAA下发的认证应答,发送协商请求至所述HA;
A4、所述HA收到所述协商请求后,向所述AAA获取预所述共享密码,以及协商IPSec参数或协商IPSec参数所对应的profileID,FA或PDSN与HA协商建立IPSec隧道。
3.如权利要求1或2任一所述的CDMA2000系统移动IP的接入方法,其特征在于,所述AAA根据不同访问终端的安全等级选择并下发不同的协商IPSec参数或不同的协商IPSec参数所对应的profileID,所述访问终端的安全等级由用户预先设定。
4.如权利要求2所述的CDMA2000系统移动IP的接入方法,其特征在于,所述步骤A2包含以下处理:所述AAA将认证应答下发至所述FA或PDSN,所述认证应答是AAA根据访问终端的安全级别,选择并下发的不同的协商IPSec参数、预共享密匙、身份信息;
所述步骤A3包括以下处理:所述FA或PDSN根据所述AAA下发的所述协商IPSec参数,发送ISAKMP SA建立的协商请求至所述HA,所述ISAKMP SA建立的协商请求中携带提议建立的ISAKMP SA信息、密钥材料以及身份信息;
所述步骤A4包括以下处理:
C1、所述HA收到所述ISAKMP SA建立的协商请求后,根据其中的所述身份信息还原FA或PDSN地址,并发送S Key和协商IPSec获取请求至所述AAA,所述AAA下发所述S Key和协商IPSec参数至所述HA,所述HA根据所述身份信息以及所述S Key,生成IPSec的预共享密匙,并将信息保存在本地;
C2、所述HA发送ISAKMP SA协商请求响应信至所述FA或PDSN;
C3、所述FA或PDSN收到所述ISAKMP SA协商请求响应后,发送已接收响应至所述HA,所述ISAKMP SA建立;
C4、所述ISAKMP SA建立后,所述FA或PDSN与所述HA建立IPSecSA;所述IPSec SA建立后,所述FA或PDSN与所述HA之间建立IPSec隧道。
5.如权利要求2所述的CDMA2000系统移动IP的接入方法,其特征在于,所述步骤A2包括以下处理:所述AAA将认证应答下发至所述FA或PDSN,所述认证应答是所述AAA根据访问终端的安全级别,选择并下发的不同的协商IPSec参数所对应的profileID、预共享密匙、身份信息;
所述步骤A3包含以下处理:
D1、所述FA或PDSN根据所述协商IPSec参数所对应profileID在本地获取所述协商IPSec参数;
D2、所述FA或PDSN根据所述根据本地获取的所述协商IPSec参数,发送ISAKMP SA建立的协商请求至所述HA,所述ISAKMP SA建立的协商请求中携带提议建立的ISAKMP SA信息、密钥材料以及身份信息;
所述步骤A4包含以下处理:
D3、所述HA收到所述ISAKMP SA建立的协商请求后,根据其中的所述身份信息还原FA或PDSN地址,并发送所述S Key和协商IPSec获取请求至所述AAA,所述AAA下发所述S Key和协商IPSec参数至所述HA,所述HA根据所述身份信息以及S Key,生成IPSec的预共享密匙,并将信息保存在本地;
D4、所述HA发送ISAKMP SA协商请求响应信至所述FA或PDSN;
D5、所述FA或PDSN收到所述ISAKMP SA协商请求响应后,发送所述已接收响应至所述HA,所述ISAKMP SA建立;
D6、所述ISAKMP SA建立后,所述FA或PDSN与所述HA建立IPSecSA;所述IPSec SA建立后,所述FA或PDSN与所述HA之间建立IPSec隧道。
6.如权利要求4所述的CDMA2000系统移动IP的接入方法,其特征在于,若本地已保存所述S Key和所述协商IPSec参数,则直接读取本地保存的信息,跳过步骤C1。
7.如权利要求5所述的CDMA2000系统移动IP的接入方法,其特征在于,若本地已保存所述S Key和所述协商IPSec参数所对应的profileID,则直接读取本地保存的信息,跳过步骤D3。
8.一种CDMA2000系统移动IP的接入系统,包括归属代理、外地代理和鉴权授权计费服务器,用于协商建立承载信令和数据的IPSec隧道,其特征在于,在归属代理和外地代理之间协商建立IPSec隧道的过程中,所述鉴权授权计费服务器选择并下发所述协商IPSec参数或协商IPSec参数所对应的profileID至所述外地代理和归属代理;
在归属代理和外地代理之间协商建立IPSec隧道之前,所述外地代理用于与分组控制功能子系统建立空口链路,与访问终端协商PPP,接收访问终端发起的移动IP注册;
在归属代理和外地代理之间协商建立IPSec隧道之后,所述访问终端完成移动IP注册,所述外地代理与归属代理之间的信令由所述IPSec隧道承载;所述外地代理通知所述鉴权授权计费服务器计费开始;所述移动IP接入完成,所述访问终端开始数据业务,所述外地代理与所述归属代理之间的数据由所述IPSec隧道承载。
9.如权利要求8所述的CDMA2000系统移动IP的接入系统,其特征在于,所述鉴权授权计费服务器用于根据不同访问终端的安全等级选择并下发不同的协商IPSec参数或不同的协商IPSec参数所对应的profileID,所述访问终端的安全等级由用户预先设定。
CN2009101899288A 2009-09-01 2009-09-01 一种cdma2000系统移动ip业务的接入方法和系统 Active CN101656961B (zh)

Priority Applications (3)

Application Number Priority Date Filing Date Title
CN2009101899288A CN101656961B (zh) 2009-09-01 2009-09-01 一种cdma2000系统移动ip业务的接入方法和系统
EP10813263.0A EP2445146A4 (en) 2009-09-01 2010-05-11 Mobile ip service access method and system
PCT/CN2010/072593 WO2011026341A1 (zh) 2009-09-01 2010-05-11 一种移动ip业务的接入方法和系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN2009101899288A CN101656961B (zh) 2009-09-01 2009-09-01 一种cdma2000系统移动ip业务的接入方法和系统

Publications (2)

Publication Number Publication Date
CN101656961A CN101656961A (zh) 2010-02-24
CN101656961B true CN101656961B (zh) 2012-07-18

Family

ID=41710990

Family Applications (1)

Application Number Title Priority Date Filing Date
CN2009101899288A Active CN101656961B (zh) 2009-09-01 2009-09-01 一种cdma2000系统移动ip业务的接入方法和系统

Country Status (3)

Country Link
EP (1) EP2445146A4 (zh)
CN (1) CN101656961B (zh)
WO (1) WO2011026341A1 (zh)

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101656961B (zh) * 2009-09-01 2012-07-18 中兴通讯股份有限公司 一种cdma2000系统移动ip业务的接入方法和系统
CN101815295B (zh) * 2010-03-16 2013-02-27 东南大学 一种pmip6中LMA和MAG之间的密钥分发方法
CN102223618A (zh) * 2010-04-15 2011-10-19 中兴通讯股份有限公司 终端接入方法及系统
CN103686704B (zh) * 2012-09-19 2017-02-15 华为技术有限公司 终端与网络侧通信方法和设备
CN103220818B (zh) 2013-01-30 2015-12-23 中兴通讯股份有限公司 一种建立X2口IPSec隧道的方法和装置

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1643947A (zh) * 2002-03-20 2005-07-20 Ut斯达康有限公司 用于提供动态互联网协议安全策略服务的方法
CN101128022A (zh) * 2006-08-18 2008-02-20 华为技术有限公司 终端切换方法及装置、源接入网关地址获取方法及装置

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20050102514A1 (en) * 2003-11-10 2005-05-12 Telefonaktiebolaget Lm Ericsson (Publ) Method, apparatus and system for pre-establishing secure communication channels
KR100753820B1 (ko) * 2005-12-10 2007-08-31 한국전자통신연구원 사전공유키(PSK) 기반의 안전한 모바일 IPv6 이동노드 초기구동을 위한 네트워크 시스템 및 통신 방법
CN100596069C (zh) * 2006-08-15 2010-03-24 中国电信股份有限公司 家庭网关中IPSec安全策略的自动配置系统和方法
CN101656961B (zh) * 2009-09-01 2012-07-18 中兴通讯股份有限公司 一种cdma2000系统移动ip业务的接入方法和系统

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1643947A (zh) * 2002-03-20 2005-07-20 Ut斯达康有限公司 用于提供动态互联网协议安全策略服务的方法
CN101128022A (zh) * 2006-08-18 2008-02-20 华为技术有限公司 终端切换方法及装置、源接入网关地址获取方法及装置

Also Published As

Publication number Publication date
WO2011026341A1 (zh) 2011-03-10
CN101656961A (zh) 2010-02-24
EP2445146A4 (en) 2017-09-06
EP2445146A1 (en) 2012-04-25

Similar Documents

Publication Publication Date Title
EP1676409B1 (en) Network and node for providing a secure transmission of mobile application part messages
EP2858393B1 (en) Subscription manager secure routing device switching method and device
EP1707024B1 (en) Improvements in authentication and authorization in heterogeneous networks
EP2309698B1 (en) Exchange of key material
RU2406252C2 (ru) Способ и система предоставления защищенной связи с использованием сотовой сети для множества устройств специализированной связи
CN100536465C (zh) 企业网关的配置
KR20200022512A (ko) 네트워크 보안 관리 방법 및 장치
US20090219899A1 (en) Method for Interfacing a Second Communication Network Comprising an Access Node with a First Communication Network Comprising a Contact Node
CN101351019B (zh) 接入网关、终端及建立数据连接的方法和系统
CN101779481A (zh) 异构自组织移动宽带网络的安全保护
KR100565157B1 (ko) 가상 사설망
CN101656961B (zh) 一种cdma2000系统移动ip业务的接入方法和系统
CN102461272A (zh) 用于通过异构基础架构分布不限数量的虚拟ieee 802.11无线网络的接入点、服务器和系统
WO2011131093A1 (zh) 加密通信方法、装置及系统
CN101296138B (zh) 一种无线终端配置生成方法、系统及其装置
CN102111326A (zh) 在二层隧道协议虚拟专用网实现移动的方法、系统和装置
CN1567868A (zh) 基于以太网认证系统的认证方法
CN101697522A (zh) 虚拟专用网组网方法及通信系统以及相关设备
CN101742491A (zh) 一种移动设备与安全接入网关间密钥交换协商方法
CN101951380B (zh) 轻量级双栈组网中的访问控制方法及其装置
CN100591068C (zh) 一种桥接设备透传802.1x认证报文的方法
CN100407815C (zh) 一种移动通信网络中接入点获取接入网关地址的方法
CN201657327U (zh) 一种移动设备与安全接入网关间密钥交换协商系统
CN101031133B (zh) 一种确定移动节点归属的家乡代理的方法及装置
CN1225871C (zh) 一种无线局域网内加密密钥的分发方法

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant