在WiMAX网络中拜访AAA服务器获取正确的HA-RKContext的方法

文档序号:7683154阅读:145来源:国知局
专利名称:在WiMAX网络中拜访AAA服务器获取正确的HA-RK Context的方法
技术领域
本发明涉及樣丈波存取全^求互通(Worldwide Interoperability for Microwave Access ,简 一尔WiMAX )通ifU页i或中移动IPv4 4妄入时, 拜访AAA力良务器获耳又正确的归属代理才艮密钥上下文信息的方法。
背景技术
IETF的网络工作组在1996年10月提出了 RFC2002标准,其 中專交为详细地阐述了移动IP的原理、实现以及各种细节问题。2003 年,IETF颁布了移动IPv4的新规范RFC3344,耳又 了 RFC2002。 简单地讲,移动IP就是能让移动节点在移动的同时不断开连接,并 且还能正确收发数据包。
在移动IPv4协议中,每一个移动节点(Mobile Node,简称MN ) 都有一个v^—的归属;也址,当移动节点(MN)移动时它的归属i也 址是不变的。在归属网络链路上每 一 个移动节点还必须有 一 个归属 代理(HA)来为它维护当前的位置信息,这就需要引入转交地址。 当移动节点(MN)连接到外地网络链路上时,转交地址就用来标 识移动节点(MN)现在所处的位置,以i"更进^^各由选才奪。移动节 点(MN)的归属地址与当前转交地址的联合称作移动绑定或简称 绑定。当移动节点(MN)得到一个新的转交;也址时,通过绑定向 归属4气理(HA)进4亍注册,以^更让归属^C理(HA)及时了解移动 节点(MN)的当前位置。移动节点(MN)的应用环境可能与普通有线网络环境非常不 同。在很多情况下,移动节点将通过无线链路连接到网络。这样的 链3各4艮容易受被动的窃听、主动的重放攻击和其他主动攻击所攻击。 移动IPv4中的重要过程就是注册过程,由此注册过程的认证扩展是 必须要做的。
移动IPv4的注册提供了一种灵活机制使移动节点把它们当前 的可达性信息传送到其家乡代理。移动节点(MN)使用的方法是
—在访问外地网络时请求转发服务,
一把它们当前的转交地址告知家乡代理(HA),
一时间到,重新注册,和/或
一在回到家乡时解除注册。
RFC中定义,每一个移动节点、外地^[戈理和家乡代理必须能够 支持移动实体的移动安全联合,由它们的安全参凄t索引(Security Parameter Index,简称SPI)和IP地址索引。在移动节点和其家乡 代理之间的注册消息必须4吏用Mobile-Home i人i正扩展(简称MN-HA AE)进4亍iU正。在移动节点和其外地4气理之间的Mobile-Foreign i人 i正扩展(简称MN-FAAE)、外地代理和归属代理之间Foreign-Home 认证扩展(简称FA-HAAE)为可选。
WiMAX网络中移动IPv4就是采用RFC3344的架构,并明确 要求在移动IPv4中,MN-HA AE和FA-HAAE为必选,MN-FAAE 为可选。
FA-HAAE使用的FA-HA鉴权扩展密钥(简称FA-HAKey )是 由归属^理才艮密钥上下文^f言息(简称HA-RK Context);爪生出来,而HA-RK是由HAAA或拜访认i正、4受4又和计费(Visited Authentication, Authorization, and Accounting, 简称VAAA)产生 20字节的随机数。WiMAX网络工作组相关协议规定,WiMAX终 端MN 4妄入认i正时,如果归属地和拜访地的AAA都给MN分配其 所属地的HA,并在认证应答消息中,下发分配的HA地址和HA-RK 相关信息给接入服务网络ASN。 ASN根据本地策略决定用户的移动 IP会话注册到归属地还是拜访地的HA。
在MN接入认证成功之后,HAAA会緩存用户的会话信息,用 于后续的移动IP流程,其緩存的信息包括MN的网络接入标识、 MN 4妄入月良务网的标识或IP、它分配给用户的HA地址和该HA相 关的HA-RK信息等。如果ASN选择将MN的移动IP会话注册到 归属地的HA,此时ASN发起移动IPv4注册时,需要进4亍FA-HA 的鉴权扩展,必须比4交FA-HA鉴权扩展密钥,归属地HA向HAAA 获取该用户i人"i正时分配的HA-RK,此时HAAA可以通过HA请求 消息中的用户接入月良务名查到用户会话信息,正确下发用户的 HA-RK相关信息给HA,此时归属地HA可以成功完成FA-HA鉴 权扩展。
如果ASN决定使用拜访地的HA,此时ASN会将移动IPv4注 册请求发送到拜访地的HA,如前一段描述,拜访地HA也需要进 行FA-HA鉴权扩展,此时拜访地HA需要向VAAA获取其HA-RK 相关信息。而根据NWG描述,VAAA在用户接入认证时, <又緩存 VAAA分配的HA-RK Context信息,并以ASN网络ID ( NAS-ID 或IP)和该HA地址作为索引,并不保存非本AAA的用户信息。 跟WiMAX协议描述,拜访地HA发送给VAAA的请求消息和HAAA 返回给VAAA的应答消息中,都不包含用户接入时的ASN网络ID (NAS-ID或IP ),因此VAAA不能根据拜访地HA的请求消息和应 答消息内容检索出本地緩存的HA-RK相关信息。目前WiMAX网 络工作组协议中尚未解决该问题,而且尚无相关专利提供解决方案。

发明内容
鉴于上述原因,本发明提出了一种在WiMAX网络中解决拜访 AAA服务器获取正确的归属代理根密钥上下文信息(简称HA-RK Context,上下文内容包括HA-RK、安全关4关索引、有效期参数) 并下发给终端注册的归属代理(Home Agent,简称HA)的方法, 用以完善WiMAX NWG的移动IP注册流程。
冲艮据本发明的一种在WiMAX网络中拜访AAA服务器获取正 确的归属代理根密钥上下文信息的方法,包括
在移动IP注册过程中,拜访归属代理向VAAA获取归属代理 才艮密钥上下文信息,并通过VAAA向HAAA获耳又移动节点-归属 代理密钥信息,HAAA在认证应答消息中附加移动节点认证时緩存 的才示i口d言息;以及
当VAAA收到来自HAAA的所述认证应答消息时,才艮据应答 消息中携带的标识信息,以及拜访归属代理的地址,查找用户接入 认证时分配的归属代理根密钥上下文信息,并将归属代理根密钥上 下文信息附加在认证应答消息中发送给拜访归属代理。
其中,应答消息为RADIUS Access-Accept;标识信息包括ASN 标识或IP地址信息;以及ASN标识和所述IP地址信息分别是ASN RADIUS认证消息中的NAS-ID,和NAS-IP参数。
根据本发明的方法本发明弥补了 WiMAX网络工作组协议的不 足,清晰的描述了当拜访AAA分配归属代理和根密钥时,在用户 移动IP会话注册到手早访地HA时,如何向手早访地HA正确下发用户 接入认证时分配的HA-RK Context,解决了协议中的异常。进一步地,才艮据本发明的方法无须扩展移动IP协议,最小限度
的4多改WiMAX网元,但」叉涉及AAA网元改动,只需要扩,艮AAA 认证协议,增加WiMAX自定义属性即可。
本发明的其它特征和优点将在随后的说明书中阐述,并且,部 分地从说明书中变得显而易见,或者通过实施本发明而了解。本发 明的目的和其他优点可通过在所写的说明书、权利要求书、以及附 图中所特别指出的结构来实现和获得。


附图用来才是供对本发明的进一步理解,并且构成i兌明书的 一部 分,与本发明的实施例一起用于解释本发明,并不构成对本发明的 限制。在附图中
图1是本发明涉及到的移动IPv4功能的系统结构图2是根据本发明的在WiMAX网络中拜访AAA服务器获取 正确的归属代理根密钥上下文信息的方法的流程图;以及
图3是根据本发明实施例的在WiMAX网络中拜访AAA服务 器获取正确的归属代理才艮密钥上下文信息的方法的流程图。
具体实施例方式
以下结合附图对本发明的优选实施例进行说明,应当理解,此 处所描述的优选实施例仅用于说明和解释本发明,并不用于限定本 发明。
图l是本发明涉及到的移动IPv4功能的系统结构图,其中移动节点MN 11:是具有或不具有移动IP功能的WiMAX终端。
接入服务网络ASN 12:实现外地代理功能FA和鉴权器功能, 同时为移动终端l是供接入力良务,对于不具有移动IP功能的终端, ASN提供代理移动IP功能。WiMAX协议要求,鉴权器向鉴权、授 权及计费服务器发送接入认证/重认证请求,在收到的应答消息中包 含归属地分配的HA及相关密钥和拜访地分配的HA及相关密钥, ASN可以才艮据本地策略选才奪将MN的移动IP会话注册到哪一个HA 上。本发明的方法中,ASN将MN的移动IP会话注册到拜访地的 HA。
拜访地鉴权、授权及计费服务器VAAA 13:代理转发MN接入 i人i正和计费消息,才艮据WiMAX头见范要求,VAAA可以为MN会话 分配拜访地的HA和其HA-RK上下文信息(标记为vHA-IP和 vHA-RK Context )。
拜访归属代理vHA 14:可以接受接入服务器发送的移动IP注 册请求,并进行移动IP注册响应,与接入力良务器配合为移动终端揭: 供移动IP的服务。
归属地鉴权、授权及计费服务器HAAA15:为用户4是供鉴权、 授权及计费服务。在收到接入服务器发送的终端接入请求时,将对 终端进4亍鉴斗又,并进4亍相应的4受权。才艮据WiMAX头见范要求,HAAA 在终端鉴权通过后,在认证应答消息中携带HAAA分配的归属地 HA和HA-RK上下文关信息(标记为hHA-P和hHA-RK Context )。
归属地归属代理hHA 16:可以接受接入服务器发送的移动IP 注册i青求,并进4亍移动IP注册响应,与4姿入服务器配合为移动终端 才是供移动IP的力良务。图2是根据本发明的在WiMAX网络中拜访AAA服务器获取 正确的归属代理根密钥上下文信息的方法的流程图。如图2所示, 其中
步骤S202,在移动IP注册过程中,拜访归属代理向VAAA获 取归属代理根密钥上下文信息,并通过所述VAAA向HAAA获取 移动节点-归属代理密钥信息,所述HAAA在认证应答消息中附加 移动节点认证时緩存的标识信息。即,当移动节点请求接入网络认 证成功后,ASN将移动节点移动IP注册消息发送到拜访地HA,拜 访地HA在一次RADIUS i^证交互中,向HAAA获耳又MN-HA Key 及相关信息,向VAAA获得HA-RK Context,分别用于-验证MN-HA 鉴权扩展和FA-HA鉴权扩展-验证。
步驶《204,当所述VAAA收到来自所述HAAA的所述i人i正应答 消息时,根据所述应答消息中携带的标识信息,以及拜访归属代理 的地址,查找用户接入认证时分配的所述归属代理才艮密钥上下文信 息,并将所述归属代理根密钥上下文信息附加在所述认证应答消息 中发送给所述拜访归属代理。即,VAAA收到转发拜访地HA的认 i正i青求消息(即RADIUS Access匿R叫uest)纟会HAAA, HAAA iU正 通过,在应答消息中携带MN-HA Key及相关信息给VAAA,由于 MN使用的是拜访地HA,此时HAAA不需要下发拜访地HA的 HA-RK Context,按照WiMAX协议要求,拜访地HA的HA-RK Context由VAAA下发《会该HA。为了确保VAAA查到该MN i人证 时的VAAA分配的HA,本发明要求HAAA在应答消息(即RADIUS Access-Accept)中附加该MN iU正时緩存的ASN的标识或IP地址 信息(即HAAA在终端接入时緩存的ASN RADIUS认证消息中的 NAS-ID和NAS-IP参数)。VAAA收到HAAA的应答消息RADIUS Access-Acc印t,才艮据消息中携带ASN标识或IP地址,加上#早访地 HA的J也址,查到该用户才矣入iU正是分配的HA-RK Context。附力口 在i人证应答消息RADIUS Access-Accept中发送乡合f早访地的HA。图3是根据本发明实施例的在WiMAX网络中拜访AAA服务 器获耳又正确的归属代理才艮密钥上下文信息的方法的流程图。如图3 所示,其中
步骤301:移动节点请求接入认证或者已经接入系统后请求重 新认证j -
步骤302:接入服务网络鉴权器(以下简称鉴权器)收到移动 节点的接入请求后,发送接入请求消息给拜访鉴权、授片又及计费服 务器VAAA;
步骤303: VAAA根据本地策略为该用户会话分配拜访地的 HA,产生vHA-RK Context信息,IC存于本i也。vHA-RK Context 信息以vHA-IP和用户ASN的ID或IP( NAS-ID/IP )作为才企索条件;
步骤304: VAAA在向归属鉴权、授权及计费服务器HAAA代 理转发的认i正:清求消息,并在iU正:清求消息中追加其分配的HA相 关信息,包括拜访地HA地址vHA-IP和vHA-RK Context信息;
步骤305: HAAA鉴权用户合法性,才艮据本地策略为该用户会 话分配归属地的HA,产生hHA-RK Context信息,緩存于本地。 vHA-RK Context信息以vHA-IP和用户ASN的ID或IP( NAS-ID/IP ) 作为4企索条件。HAAA还緩存用户认证的相关参数,包括移动IP 其他密钥等;
步骤306: HAAA向VAAA发送认i正通过应答消息,消息中携 带VAAA在i青求中分配的vHA相关信息和HAAA分配的hHA相 关信息,分别包括手早访地和归属地AAA分配的HA-IP和HA-RK Context,并4受冲又其4也移动IP密钥和WiMAX业务参凄t;
10步骤307: VAAA转发认证应答消息给ASN, ASN保存应答消 息中的授权参数,包括拜访地和归属地分配的HA相关信息;
步骤308: ASN向MN转发认i正通过消息,i人证通过;
步骤309: MN 4妄入认证通过之后,如果是具有移动IP能力的 终端,则直接发起移动IP注册流程。如果终端不具有移动IP能力, 则发起DHCP流程;
步骤310: ASN收到MN的移动IP注册请求或DHCP发现消 息后,根据本地策略决定将终端移动IP会话注册到拜访地的HA上, 则ASN中的外地代理转发移动IP注册请求消息给拜访地vHA;
步骤311:拜访地vHA收到移动IP注册请求消息以后,根据 WiMAX协议要求,需要#文MN-HA认证扩展和FA-HA认证扩展, 因ot匕需要向HAAA获耳又MN-HA Key 4言息,向VAAA获取HA-RK Context 4言息。vHA向VAAA发送RADIUS Access-Request iU正i青
求;
步骤312: VAAA收到vHA的RADIUS认证请求后,判断用户 归属地,转发消息给HAAA;
步艰《313: HAAA收到VAAA转发的i人i正消息,进行RADIUS 认证。认证通过后,本发明要求HAAA根据用户名查找该用户认证 时緩存在HAAA信息中的NAS-ID/IP信息、MN-HA Key相关信息, 一并在i/vi正应答消息(RADIUS Access-Accept)中发送绍、VAAA;
步骤314: VAAA收到HAAA的认证应答消息后,按照本发明 要求VAAA才艮据消息中的NAS-ID/IP加上漫游地vHA的地址,索 引到用户认证是緩存的HA-RK Context信息;步骤315: VAAA在认证应答消息中追加步骤214中查找到的 HA-RK Context信息,再将应答消息转发给vHA;
步骤316: vHA完成认证扩展和相关资源分配后,向ASN发送 移动IP注册应答消息;
步骤317: ASN向MN发送移动IP注册应答消息,或者向MN 发送DHCP后续流程,结束移动IP注册;以及
步骤318: MN移动IP会话建立或继续,终端4吏用移动IPl支术 4妻人到网纟各中。
才艮据本发明的方法,在对已有WiMAX网络工作组协议改动及 影响最小的情况下实现了移动IP中拜访AAA下发归属代理才艮密钥 《合拜访地HA问题,完善了 WiMAX网全各工作组协议的不足,弥补 了 WiMAX的移动IP ;危考呈中的击夹陷。
以上仅为本发明的优选实施例而已,并不用于限制本发明,对 于本々页i或的^支术人员来"i兌,本发明可以有各种更改和变〗匕。凡在本 发明的精神和原则之内,所作的任何修改、等同替换、改进等,均 应包含在本发明的 <呆护范围之内。
权利要求
1. 一种在WiMAX网络中拜访AAA服务器获取正确的归属代理根密钥上下文信息的方法,其特征在于,包括以下步骤在移动IP注册过程中,拜访归属代理向VAAA获取归属代理根密钥上下文信息,并通过所述VAAA向HAAA获取移动节点-归属代理密钥信息,所述HAAA在认证应答消息中附加移动节点认证时缓存的标识信息;以及当所述VAAA收到来自所述HAAA的所述认证应答消息时,根据所述应答消息中携带的标识信息,以及拜访归属代理的地址,查找用户接入认证时分配的所述归属代理根密钥上下文信息,并将所述归属代理根密钥上下文信息附加在所述认证应答消息中发送给所述拜访归属代理。
2. 根据权利要求1所述的方法,其特征在于,所述应答消息为 RADIUS Access-Accept。
3. 根据权利要求1所述的方法,其特征在于,所述标识信息包括 ASN标识或IP i也址信息。
4. 根据权利要求3所述的方法,其特征在于,所述ASN标识和 所述IP地址信息分别是ASN RADIUS认证消息中的NAS-ID, 和NAS-IP参数。
全文摘要
本发明提供了一种在WiMAX网络中拜访AAA服务器获取正确的归属代理根密钥上下文信息的方法,包括在移动IP注册过程中,拜访归属代理向VAAA获取归属代理根密钥上下文信息,并通过VAAA向HAAA获取移动节点-归属代理密钥信息,HAAA在认证应答消息中附加移动节点认证时缓存的标识信息;以及当VAAA收到来自HAAA的所述认证应答消息时,根据应答消息中携带的标识信息,以及拜访归属代理的地址,查找用户接入认证时分配的归属代理根密钥上下文信息,并将归属代理根密钥上下文信息附加在认证应答消息中发送给拜访归属代理。
文档编号H04L29/06GK101447978SQ20081000598
公开日2009年6月3日 申请日期2008年2月20日 优先权日2008年2月20日
发明者戈 朱, 霍玉臻 申请人:中兴通讯股份有限公司
网友询问留言 已有0条留言
  • 还没有人留言评论。精彩留言会获得点赞!
1