专利名称:移动通信系统中使用移动因特网协议管理移动性的方法和系统的制作方法
技术领域:
本发明涉及移动通信系统,更具体地,本发明涉及在支持移动因特网协议版本 4(MIPv4)的移动通信系统中用于管理接入终端(AT)的移动性和安全性的方法和系统。
背景技术:
在由第三代伙伴计划2(3GPP2)标准组开发的诸如码分多址(CDMA) lx系统和仅 演进数据(EV-DO)系统的传统移动通信系统中,接入网(AN)管理无线资源,而作为核心网 (CN)的单独实体的分组数据服务节点(PDSN)执行与分组数据通信关联的过程。
在支持移动因特网协议(MIP)的传统移动通信系统中,已经进行关于使用移动 IPv4或IPv6向AT提供移动性的方案的研究。可是,传统移动IPv4不适合用于设计用于 以高速传输大量数据的改进的3GPP2超移动宽带(UMB)。因此,正研究改进移动IPv4的计 划以作为能够高效率地支持UMB的方案之一。当AT在不仅支持UMB而且支持其他网络接 入技术的异构网络之间移动时,即,即便当AT移动经过例如UMB网络和微波接入全球互通 (WiMAX)网络时,需要一种能够高效率地支持AT的移动性的方案。 在传统CDMA lx系统或EV-DO系统中使用的移动IPv4要求长的时间以进行接入 和呼叫处理过程。也即,尽管和简单IP相比移动IP能够向AT提供移动性,但会存在由用 于移动性支持的安全(security)过程、呼叫处理过程、以及其接入、呼叫处理、和安全过程 中的数据库管理中的一个或多个引起的时延。因此,需要一种高效率的移动性管理方案以 解决支持MIP的移动通信系统中的时延问题。
发明内容
本发明的一方面是解决至少上述的问题和/或不足并且提供至少以下述的优点。 因此,本发明的一方面是提供在使用移动IP的移动通信系统中用于支持AT的高移动性和 用于执行安全和高效率的通信的方法和系统。 本发明的另一方面是提供在移动通信系统中用于因使用改进的MIPv4而支持AT 的高移动性和执行安全和高效率的通信的方法和系统。 本发明的另一方面是提供用于当AT移动到支持另外的无线接入技术的另一AN时 通过改进的移动IPv4支持AT的高移动性和安全性的方法和系统。 本发明的另一方面是提供通过在移动通信系统的初始呼叫建立过程中使用改进
的MIPv4而来效率地为AT执行地址分配、鉴权和呼叫建立的方法和系统。 根据本发明的一方面,提供一种在移动通信系统中使用移动因特网协议(MIP)管
理接入终端(AT)的移动性的方法。该方法包括由已经进入新网络的AT产生用于与新网
络的归属代理(HA)相互鉴权的安全参数索引(SPI)和安全密钥;由AT发送包括包含SPI
的鉴权信息的登记请求消息,该鉴权信息使用该安全密钥产生;当接收到登记请求消息时,
由HA在数据库中搜索包含在鉴权信息中的SPI ;根据搜索结果验证鉴权信息;当成功验证鉴权信息时,由HA产生AT的移动性绑定信息;以及由HA发送包括HA的IP地址的登记响 应消息。 根据本发明的另一方面,提供一种使用移动因特网协议(MIP)管理接入终端(AT) 的移动性的移动通信系统。该系统包括AT,当其已经进入新网络时,产生用于与新网络的 归属代理(HA)相互鉴权的安全参数索引(SPI)和安全密钥,并且向新网络发送包括包含 SPI的鉴权信息的登记请求消息,该鉴权信息使用该安全密钥产生;和归属代理(HA),当接 收到登记请求消息时,其在数据库中搜索包含在鉴权信息中的SPI,根据搜索结果验证鉴权 信息,并且当成功验证鉴权信息时,产生AT的移动性绑定信息,并向AT发送包括HA的IP 地址的登记响应消息。 根据本发明的另一方面,提供一种在用于移动通信系统的归属代理(HA)中使用 移动因特网协议(MIP)管理接入终端(AT)的移动性的方法。该方法包括从已经进入新网 络的AT接收包括包含用于相互鉴权的安全参数索引(SPI)的鉴权信息的登记请求消息;在 数据库中搜索包含在鉴权信息中的SPI,并根据搜索结果验证鉴权信息;当成功验证鉴权 信息时,产生AT的移动性绑定信息,并发送包括AT的IP地址的登记响应消息。
根据本发明的另一方面,提供一种在移动通信系统的接入终端(AT)中使用移动 因特网协议(MIP)执行的移动性管理方法。该方法包括当AT已经进入新网络时,产生用 于与新网络的归属代理(HA)相互鉴权的安全参数索引(SPI)和安全密钥;向新网络发送包 括第一 HA地址、和包含SPI的第一鉴权信息的登记请求消息,该第一鉴权信息使用该安全 密钥产生;当HA已经成功验证第一鉴权信息时,从HA接收包括第二HA地址、和用于相互鉴 权的第二鉴权信息的登记响应消息;以及当第一HA地址和第二HA地址相同时,使用该安全 密钥验证第二鉴权信息。 通过结合附图公开了本发明的示范实施例的以下详细描述,本发明的其他方面、 优点和显著特征对本领域的技术人员将变得更加明了。
通过结合附图的以下描述,本发明具体的示范实施例的以上和其它方面、特征和 优点将变得更加明了,其中 图1是说明根据本发明的示范实施例的移动通信系统环境的框图; 图2是说明根据本发明的示范实施例的AT的登记和安全过程的消息流图; 图3是说明根据本发明的示范实施例的AT的登记和安全过程的消息流图; 图4A和4B是说明根据本发明的示范实施例的HA的操作的流程图; 图5是说明根据本发明的示范实施例的AT的操作的流程图;以及 图6是说明根据本发明的示范实施例的AGW的操作的流程图。 贯穿各图,应当注意相同参考数字用于说明相同或相似组件、特征和结构。
具体实施例方式
提供参照附图的以下说明以帮助充分理解由权利要求书及其等价物限定的本发 明的示例实施例。其包括各种具体的细节以助于理解,但是这应当被当作仅仅是示范。因 此,本领域的普通技术人员将意识到,能够对这里描述的实施例进行多种变更和修改而不背离本发明的范围和精神。同样,为了清楚和简洁,略去公知的功能和配置的说明。这里使 用的术语是基于本发明的示范实施例中的功能定义,并且可以根据用户、运营商的意图或 通常实践来改变。因此,术语的定义应当基于说明书全文内容做出。 本发明的示范实施例在移动通信系统中使用移动IPv4为AT提供地址分配、呼叫 建立、和安全性的至少一种。尽管作为示例,这里将参考基于3GPP2的UMB系统给出说明,本 发明也能够在作为演进的3GPP移动通信系统的演进分组核心(EPC)、和/或演进的WiMAX 系统中使用。本发明也能够用于其中AT移动到支持其他无线接入技术的网络的情况。因 此,本领域的技术人员显然可知,本发明提出的基于移动IPv4的因特网通信方法稍加修改 就能够应用于具有相似技术基础和信道格式的其他移动通信系统,而不脱离本发明的精神 和范围。 本发明的示范实施例提供在移动通信系统中通过使用移动IPv4管理AT的地址和 移动性的方法和系统。本发明的示范实施例改进基于移动IPv4的安全过程和登记过程,使 得即便AT在支持不同接入技术的异构网络之间移动时也能够实现迅速和有保障的移动性 支持。 图1是说明根据本发明的示范实施例的移动通信系统的框图。在图1中,说明具 有重叠覆盖区域的基于3GPP2的UMB系统和WiMAX系统作为示例。 参考图l,接入网(AN)108和109与位于它们的服务区或小区中的接入终端 (AT) 110建立无线连接,并且通过无线连接执行与AT 110的通信。AN 108和109经由信令 无线网络控制器(SRNC,未示出)与接入网关(AGW) 105和106、或者鉴权、授权和计费(AAA) 服务器101进行通信。 图1中,AT 110是指经由AN1 108 (AN2109)禾口 AGW1 105(AGW2 106)接入诸如因 特网的分组数据网络的用户设备。这里AGW1 105(AGW2 106)其中包括负责在以另一网络 作为其家庭网络的AT 110已经移动到AGW1 105(AGW2 106)管理的网络1 (丽l) 123 (或 NW2125)的服务区中时将AT110连接到分组数据网络的对外代理(FA)功能(未示出)。
这里示出归属代理(HA) 102和103、以及AAA服务器101作为分组数据网络的网络 实体。 假设移动通信系统使用可扩展鉴权协议(EAP)或用于准予AT的接入的安全框架, 本发明的示范实施例提供一种准予使用移动IPv4并利用诸如基于AAA的远程鉴权拨号用 户服务(RADIUS)或Diameter AAA (其是利用MIPv4支持移动性和鉴权的系统)的安全协 议在其上执行安全的方法、及其地址分配方法。 在AN1 108(AN2 109)和AGW1 105(AGW2 106)之间是用于管理AT110的移动性的 接口和数据路径。AT IIO具有移动IPv4协议栈,并且通过移动IPv4的初始呼叫建立过程 向HA1 102(HA2 103)发送其登记请求。HA1 102(HA2 103)在呼叫建立过程中响应于AT 110的登记请求消息分配AT 110的归属地址(HoA)。 同时,如图l所示,可以是WiMAX系统或UMB系统的网络3 (丽3) 121包括作为由参 考数字104表示的网络实体的接入服务网网关(ASN-GW)或AGW3、和作为由参考数字107表 示的网络实体的基站(BS)或AN3。 参考图1,在丽3 121的控制下AT 110经过切换移动到可以是UMB网络的 丽l 123 (丽2 125)。
如上所述,丽l 123(丽2125)包括AGW1 105(AGW2 106)和AN1108(AN2109)。丽l 123的AGW1 105与丽3 121共享HA1 102,而丽2 125的AGW2 106 (不 同于丽3 121)由HA2 103管理。 为了迅速地执行登记过程同时维持会话,尽管各个网络的无线接入技术其中对AT 110的移动性的登记过程的实现是不同的,优选的是在AT 110的登记期间在新网络中维持 与初始(旧)网络中使用的HA相同的HA以使得能够共享初始网络中的信息。例如,在AT 110从丽3 121移动到丽1 123的情况下,如果丽3 121禾P丽1 123共享HA1 102,则AT 110 能够继续使用HA1 102的HA信息(BP , HA的IP地址),该信息曾在丽3 121的ASN-GW104 登记期间、以及丽l 123的AGW1 105登记期间使用。 在这种情况下,AT IIO能够在网络间移动同时连续地维持在初始网络中使用的 HA信息。ASN-GW 104和AGW1 105共享HA1 102,而AGW1 105能够通过初始接入鉴权期间 的EAP过程获得HA1 102的HA信息,或者能够从ASN-GW 104获得HA信息。可是,由于AGW1 105获得初始网络的HA信息的详细过程脱离的本发明的范围,这里将略去其详细说明。
另一方面,当AT 110从丽3 121移动到丽2 125 (如图1所示它们不共享HA)时, 为了移动性登记,AT 110使用其已经知道的HA地址(如,x. x. x. x)产生包括HA x. x. x. x 的登记请求(RRQ)消息,或者当其没有关于HA地址的信息时,产生包括例如HA 0. 0. 0. 0作 为HA地址的RRQ消息。当在AT 110的初始鉴权期间的EAP过程中、或在其他鉴权过程中 获得的HA地址(如,y. y. y. y)不同于在AT 110的初始网络中使用的HA地址时,丽2 125 的AGW2 106向HA2 103发送包括HA y. y. y. y作为HA地址的RRQ消息。
图2是说明根据本发明的示范实施例的AT的登记和安全过程的消息流图。这里 所示的过程是用于其中AT 110执行从丽3121到丽l 123的切换的情况、或其中AT 110具 有根据服务提供商的预配置策略分配的新网络的HA信息的情况。 为了方便起见,虽然这里将使用诸如AGW3 104和AN3 107的UMB网络名称,假定 丽3 121是UMB网络,如果AT 110可以从ASN-GW获得新网络中的HA信息,则能够将图2的 过程应用于WiMAX网络或支持移动IP的另外的网络系统。 参考图2,在步骤201中,AT 110从NW3 121进入丽l 123,初始化AT 110与丽l 123的AN 108和AGW 105的基于EAP的接入鉴权过程,并且执行鉴权过程的初始部分。接 入鉴权过程包括由多个实体执行的几个步骤。接入鉴权过程和这里描述的本发明的示范实 施例不是特别相关,因此将省去其详细说明。在接入鉴权过程期间,在步骤203中,AGW 105 向AAA服务器101发送接入请求消息以通知接收到来自AT IIO的接入鉴权请求。接入请 求消息是指基于RADIUS协议或Diameter AAA协议的AAA接入请求消息。
在步骤205a和205b中,产生安全密钥,其将由AT 110、 HA 102和AGW105用于相 互鉴权。由于安全密钥的详细产生方法和这里描述的本发明的示范实施例不相关,将省去 其说明。具体地,AT 110和AAA服务器101各自产生将用于移动IPv4的整个鉴权过程的 移动IP-根密钥(MIP-RK) 。 MIP-RK用于产生诸如作为用于AT 110与HA 102之间的相互 鉴权的密钥的移动节点-归属代理-初始(MN-HA-i)密钥的至少一个密钥,且该密钥针对 MIPv4产生。可以将MIP-RK产生为对于MIPv6和MIPv4不同的值,或者可以产生为相同的 值。 在步骤207, AAA服务器101响应于接入请求消息向AGW 105发送接入接受消息。 接入接受消息其中包括用于识别HA 102的HA IP地址。接入接受消息是指基于RADIUS协议或Diameter AAA协议的响应消息。之后,在步骤209中,执行其中涉及AT 110、AN 108、 SRNC(未示出)和AGW 105的接入鉴权的剩余过程,由此完成接入鉴权过程。
在已经完成接入鉴权过程之后,在步骤211中,AT 110产生用于选择鉴权算法和 安全密钥的MN-HA安全参数索引(SPI)。 MN-HA SPI是包含在用于AT 110和HA 102之间 的相互鉴权的鉴权扩展(AE)选项中的值。 例如,可以使用在步骤205中产生的MIP-RK通过等式(1)来计算丽-HASPI。
MN-HA SPI =薩C-SHA256 (MIP-RK,"SPI-for MIPv4 MN-HA")的K个最高有效字 节......(1) 也即,将MN-HA SPI确定为以MIP-RK和预设文本(如,"SPI-for MIPv4MN_HA") 作为其输入的散列函数的输出值的K个最高有效位(MSB)比特,其中K是预设整数。可以 使用作为标准安全算法之一的散列消息鉴权码(HMAC)-安全散列算法256(SHA256)作为该 散列函数。 作为另一示例,可以通过等式(2)得到丽-HA SPI。MN-HA SPI = KDF (EMSK,"SPHor MIPv4 MN-HA")的K个最高有效字节......(2) 也即,将MN-HA SPI确定为以增强主会话密钥(EMSK)和预设文本(如,"SPI-for MIPv4丽-HA")作为其输入的密钥导出函数(KDF)的输出值的K个MSB比特,其中K是预 设整数。在接入鉴权过程中获取EMSK,其是指增强主会话密钥。 在步骤213中,AT 110产生用于AT 110和HA 102之间的相互鉴权的MN_HA_i密 钥。例如,可以通过等式(3)计算丽-HA-i密钥。MN-HA-i = KDF(MIP-RK, "CMIP MN-HA", HA IP地址,NAI, RRQ消息ID)......(3) 也即,可以将MN-HA-i密钥确定为以在步骤205中产生的MIP-RK、预设文本(如, "CMIP MN-HA")、从RRQ消息中获得的HA的IP地址、AT的网络接入标识符(NAI)、以及RRQ 消息的消息ID作为其输入的KDF的输出值。可以使用HMAC-SHA1或HMAC-SHA256作为KDF。
在产生MN-HA-i密钥时,可以可选地使用RRQ消息ID。也即,为了在AT IIO或AAA 服务器101产生丽-HA-i密钥时使用RRQ消息ID,应当将RRQ消息ID包括在HA 102发送 到AAA服务器101的接入请求消息中。可是,当RRQ消息ID未被包括在接入请求消息中时, AT 110或AAA服务器101使用等式(3)中除了 RRQ消息ID之外的剩余参数计算丽-HA-i 密钥。不同于AT在具有相同特征的小区之间移动的横向切换,当在使用接入技术的异构网 络中AT从一个网络向另一网络移动时,做出网络间切换,即纵向切换。
虽然在图2中AT 110在接入鉴权过程已经完成之后在步骤211和213中产生 MN-HA SPI和MN-HA-i密钥,但是AT 110可以在接入鉴权过程期间在用于产生MN-HA SPI 或丽-HA-i密钥所必需的参数可用的任何时候产生丽-HA SPI或丽-HA-i密钥。
在步骤215中,AT 110向AGW 105发送代理征求(Agent Solicitation)消息以 寻找用于产生将要在新网络(即,丽l 123)中使用的转交地址(CoA)所必需的FA。当AGW 105具有FA功能时,AGW 105在步骤217为AT 110产生CoA,并将CoA连同代理公告消息 一起发送给AT 110。 在步骤219中,AT 110向AGW 105发送用于在HA 102中登记指示其位于丽l 123 中的信息的RRQ消息。RRQ消息包括NAI,用于识别AT 110 ;CoA ;HoA 0. 0. 0. 0,配置为 0. 0. 0. O用于请求分配AT 110的HoA;HA x. x. x. x,其是包括AT IIO已经知道的HA 102的IP地址的HA字段;以及MN-HAAE-初始(MN-HAAE-i),其是用于AT 110和HA 102之间的 相互鉴权的鉴权信息。这里,CoA是AT 110将在作为外来网络的丽1 123中使用的临时地 址(CoA),且通过将RRQ消息的HoA字段临时设置为0. 0. 0. 0来给出HAO. 0. 0. 0。作为使用 MN-HA-i密钥计算的AE值的MN-HAAE-i包括至少一个参数。此外,RRQ消息的MN-HA AE_i 其中包括用于寻找用于验证AE值所必需的密钥的丽-HA SPI。在步骤221中,AGW 105向 HA 102转发该RRQ消息。 在步骤223中,HA 102在HA 102的数据库中搜索包含在RRQ消息的MN-HAAE-i中 的MN-HA SPI。由于HA 102由丽3 121禾P丽1 123共享,HA 102已经具有AT 110已在丽3 121中登记的MN-HA SPI。因此,当MN-HASPI被确定时,HA 102在步骤225中使用MN-HA SPI作为索引来寻找MN-HA-i密钥。也即,由于HA 102利用MN-HA SPI作为索引存储AT 110的已登记的MN-HA-i密钥,使用MN-HA SPI寻找MN-HA-i密钥。在找到MN-HA-i密钥之 后,HA 102在步骤227中使用找到的丽-HA-i密钥来验证从RRQ消息中提取的丽-HAAE-i。 也即,HA 102通过利用找到的MN-HA-i密钥验证在RRQ消息中传递的MN-HAAE-i的AE值来 确定AT 110是否为经鉴权的AT。当使用找到的丽-HA-i密钥成功验证丽-HAAE-i时,HA 102在步骤229中确定作为AT 110的HA操作,在步骤231中为AT 110分配HoA,并且在步 骤233中产生和存储由AT 110的CoA和HoA组成的移动性绑定信息,由此管理AT 110的 移动情况。 在步骤235中,HA 102响应于RRQ消息向AGW 105发送以AT 110为目标的登记 响应(RRP)消息,而RRP消息其中包括HA 102为AT 110分配的HoA、以及在来自AT 110的 RRQ消息中接收的CoA,从而通知由AT 110发送的CoA和由HA 102分配的HoA被登记在一 起。 此外,RRP消息其中包括HA字段,HA字段包括HA地址和用于AT 110和HA 102 之间的相互鉴权的MN-HAAE-i,且HA地址是已经为AT 110分配的HA 102的IP地址。在 图2的示范实施例中,由于AT IIO具有的HA地址是已知的,AGW 105具有的HA地址是已 知的、或者曾经为AT IIO分配给AGW 105,而且已经分配的HA地址全部等于x.x.x.x,。此 外,将RRP消息的HA字段设置为x. x. x. x。对于RRP消息的丽-HAAE-i, HA 102产生其用 于检查AT 110和HA 102之间的相互鉴权,并且在图2的示范实施例中,由于HA 102确定 的丽-HA-i密钥等于AT 110在RRQ消息中发送的MN-HA-i密钥,故包括在RRP消息中的密 钥等于包括在RRQ消息中的密钥。 在步骤237中,AGW 105向AT 110中继从HA 102接收的RRP消息。在步骤239 中,AT 110使用RRP消息中的HA地址产生丽-HA-i密钥,或者确认它是否等于其已知的 MN-HA-i密钥。也即,如果包括在RRQ消息中的HA字段的HA地址等于包括在RRP消息中的 HA字段的HA地址,则ATI 10仅只确认在步骤213中产生的丽-HA-i密钥,而不产生丽-HA-i 密钥。可是,如果HA地址不相等,则AT llO产生丽-HA-i密钥。如果产生或确认了丽-HA-i 密钥,则在步骤241中AT 110使用丽-HA-i密钥来验证包括在RRP消息中的丽-HAAE-i,从 而在AT 110已被HA 102鉴权时确定其登记已经成功完成。 图3是说明根据本发明的示范实施例的AT的登记和安全过程的消息流图。这里所 示的过程是关于这样的情况其中随着AT 110执行从丽3 121到丽2 125的切换,AT 110 已经知道的HA信息不同于已经分配给AT 110的HA 103,或者AT IIO不具有关于在作为新网络的丽2 125中分配的HA的信息。 为了方便起见,虽然这里将为丽l 123和丽2 125使用诸如AGW 105和106、以及 AN 108和109的UMB网络名称,如果AT 110不具有关于新网络中的HA的信息,或者如果该 HA信息不同于其已经具有的HA信息,则能够将图3的过程不仅应用于WiMAX网络,而且应 用于支持移动IP的另外的网络系统。 参考图3,在步骤301中,AT 110从NW3 121进入丽2 125,初始化AT 110与丽2 125的AN 109和AGW 106的基于EAP的接入鉴权过程,并且执行鉴权过程的初始部分。在 接入鉴权过程期间,在步骤303中,AGW 106向AAA服务器101发送接入请求消息以通知接 收到来自AT IIO的接入鉴权请求。 在步骤305a和305b中,产生安全密钥,其将由AT 110、HA 103和AGW106用于相互 鉴权。具体地,AT 110和AAA服务器101各自产生将用于移动IP的整个鉴权过程的MIP-RK。 MIP-RK被用于产生诸如作为用于AT IIO和HA 103之间的相互鉴权的密钥的丽-HA-i密钥 的至少一个密钥。 在步骤307中,AAA服务器101响应于接入请求消息向AGW 106发送接入接受消 息。接入接受消息其中包括用于识别HA 103的HAIP地址。之后,在步骤309中,执行其中 涉及AT 110、 AN 109、SRNC(未示出)和AGW 106的接入鉴权的剩余过程,由此完成接入鉴 权过程。 在已经完成接入鉴权过程之后,在步骤311中,AT 110产生用于选择鉴权算法和 安全密钥的MN-HA SPI。 MN-HA SPI是包含在用于AT 110和HA103之间的相互鉴权的AE 选项中的参数。例如,可以使用步骤305中产生的MIP-RK通过等式(1)或等式(2)计算 MN-HA SPI。 在步骤313中,AT IIO产生由AT 110和HA 103用于相互鉴权的MN-HA-i密钥。 例如,可以通过等式(3)计算丽-HA-i密钥。 参考图3,虽然AT 110在接入鉴权过程已经完成之后在步骤311和313中产生 MN-HA SPI和MN-HA-i密钥,但是AT 110可以在接入鉴权过程期间在用于产生MN-HA SPI 或丽-HA-i密钥所必需的参数可用的任何时候产生丽-HA SPI或丽-HA-i密钥。
在步骤315中,AT 110向AGW 106发送代理征求消息以寻找用于产生将在新网络 (艮卩,丽2125)中使用的CoA所必需的FA。当AGW 106具有FA功能时,AGW 106在步骤317 中为AT 110产生CoA,并且连同代理通告消息一起将CoA发送给AT 110。
在步骤319中,AT 110向AGW 106发送用于在HA 103中登记指示其位于NW2125 中的信息的RRQ消息。RRQ消息包括NAI,用于识别AT 110 ;CoA ;HoA O.O.O.O,配置为 0. 0. 0. O用于请求分配AT 110的HoA ;HA字段,配置为AT 110已经知道的HA 102的IP地 址;以及丽-HA AE-i,用于AT IIO和HA 103之间的相互鉴权。这里,CoA是AT将在作为外来 网络的丽2125中使用的临时地址(CoA),且通过将RRQ消息的HoA字段临时设置为0. 0. 0. 0 来给出HA 0.0.0.0。当AT IIO具有初始网络的HA 102的HA信息时,将HA字段设置为HA 102的IP地址x.x.x.x,而当AT IIO不具有HA信息时,将HA字段设置为O.O.O.O。作为使 用MN-HA-i密钥计算的AE值的MN-HAAE-i包括至少一个参数。此外,RRQ消息的MN-HAAE-i 其中包括用于找到用于验证AE值所必需的密钥的丽-HA SPI。在步骤321中,AGW 106向 HA 103转发该RRQ消息。
在步骤323中,HA 103在HA 103的数据库中搜索包含在RRQ消息的MN-HA AE_i 中的MN-HA SPI。由于HA 103不同于NW3121的HA 102, HA103不具有与AT 110关联的 MN-HA SPI。因此,当没有发现MN-HA SPI时,HA 103在步骤325中向AAA服务器101发送 接入请求消息以请求鉴权AT110,并且即使HA 103的实际地址是y. y. y. y,接入请求消息包 括包含在RRQ消息中的MN-HA SPI、以及包含在HA字段中的地址0. 0. 0. 0或x. x. x. x。
如果确定AT 110已经通过AAA服务器101被鉴权,则AAA服务器101为AT 110 产生丽-HA-i密钥和丽-HA-新(丽-HA-n)密钥。可以分别通过等式(3)和等式(4)产生 这些密钥。当AAA服务器101使用等式(3)产生丽-HA-i密钥,并且使用RRQ消息ID作为 等式(3)的输入参数时,RRQ消息ID被包括在接入请求消息中。可是,当AAA服务器101不 使用RRQ消息ID时,RRQ消息ID不被包括在接入请求消息中。MN-HA-n = KDF(MIP-RK, "CMIP MN-HA", HA IP地址,NAI, RRQ消息ID)......(4) 也即,将MN-HA-n密钥确定为以在步骤305中产生的MIP-RK、预设文本(如,"CMIP MN-HA")、从RRQ消息中获得的HA的IP地址、AT的NAI、以及RRQ消息ID作为其输入的KDF 的输出值。可以使用HMAC-SHA1或HMAC-SHA256作为KDF。 MN-HA-i密钥用于验证用于AT 110和HA 103之间的相互鉴权的MN-HAAE-i,而 MN-HA-n用于验证由HA 103产生的鉴权信息MN-HAAE-新(MN-HAAE-n)。在步骤327中, AAA服务器101响应于接入请求消息将丽-HA-i密钥和丽-HA-n密钥连同接入接受消息一 起发送给HA 103。 在步骤329中,HA 103使用通过接入接受消息接收的MN_HA_i密钥来验证从RRQ 消息中提取的丽-HAAE-i。也即,HA 103通过利用丽-HA-i密钥验证在RRQ消息中传递的 丽-HAAE-i的AE值来确定AT 110是否是已鉴权的AT。当确定AT 110已经被鉴权时,HA 103在步骤331中为AT 110分配HoA,并且在步骤333中产生和存储由AT 110的CoA和 HoA组成的移动性绑定信息,由此管理AT 110的移动情况。 在步骤335中,HA 103使用实际分配给AT 110的HA 103的IP地址产生 MN-HAAE-n。在步骤337中,HA 103响应于RRQ消息向AGW 106发送以AT IIO为目标的RRP 消息,且RRP消息其中包括HA 103为AT 110分配的HoA、和在来自AT 110的RRQ消息中传 递的CoA,由此通知将由AT llO发送的CoA和由HA 103分配的HoA登记在一起。
此外,RRP消息其中包括HA地址和用于AT IIO和HA 103之间的相互鉴权的 MN-HAAE-n,并且HA地址是为AT 110实际分配的HA 103的IP地址。在图3的示范实施例 中,由于AT IIO发送RRQ消息到HA 0. 0. 0. O,由于AT 110已经知道的HA地址x. x. x. x、AGW 106已经知道的、或者已经为AT 110分配给AGW 106的HA地址y. y. y. y、和已经分配的HA 地址y. y. y. y彼此不同,或者如果AT 110不具有关于HA地址的信息,则将包括在RRP消息 中的HA字段设置为已经分配的HA地址HA y.y.y.y。 在步骤339中,AGW 106向AT 110中继从HA 103接收的RRP消息。在步骤341 中,AT 110使用RRP消息中的HA地址通过等式(4)产生MN-HA-n密钥,并且在步骤343中 使用产生的MN-HA-n密钥验证RRP消息中的MN-HA AE_n,从而在AT 110被HA 103鉴权时 确定其登记已经成功完成。 图4A是说明根据本发明的示范实施例的HA的操作的流程图。 参考图4A,在步骤401中HA接收从AGW中继的AT的RRQ消息。RRQ消息其中包
12括NAI、 HoA、 HA地址、CoA、和MN-HAAE-i中的至少一个。当RRQ消息的CoA和HoA被设置 为0. 0. 0. 0时,意味着HA能够分配AT的HoA。当AT知道其将被登记在其中的HA时,或当 在确定向特定HA发送登记请求之后AT发送RRQ消息时,RRQ消息包括对应的HA的HAx. x. x. x。当AT不具有关于其将被登记在其中的HA的IP地址的信息时,将RRQ消息的HA字 段设置为0. 0. 0. 0。因此,HA接收的RRQ消息中的HA地址可以不同于接收该RRQ消息的HA 的IP地址。例如,虽然RRQ消息中的HA地址是x. x. x. x或0. 0. 0. 0,接收该RRQ消息的HA 的IP地址可以是x. x. x. x或y. y. y. y。此外,在RRQ消息中包括从与鉴权有关的MN_HA_i 密钥中导出的将用于AT和HA之间的相互鉴权的丽-HAAE-i。 在步骤403中,HA在其数据库中搜索为与从RRQ消息中提取的NAI对应的AT激 活的移动性绑定信息,或者在数据库中搜索从RRQ消息的MN-HA AE-i中提取的丽-HA SPI。 根据在步骤405中在数据库中存在/不存在丽-HA SPI,HA前进到步骤411至421,或者前 进到步骤431至443。 当确定包含在RRQ消息的MN-HA AE-i中的MN-HA SPI在数据库中时,HA前进到步 骤411,其中它根据MN-HA SPI寻找存储在数据库中的MN-HA-i密钥。丽-HA-i密钥是AT和 HA在初始鉴权期间为它们的相互鉴权设置的密钥。在找到MN-HA-i密钥之后,在步骤413 中HA根据MN-HA-i密钥验证RRQ消息的MN-HAAE-i。当成功验证MN-HA AE-i时,HA在步 骤415中确定作为发送RRQ消息的AT的HA而操作,在步骤417中为AT分配HoA,并且在 步骤419中产生和存储AT的移动性绑定信息以管理AT的移动性。之后,在步骤421中,HA 产生包括CoA、 HoA、 HA地址和MN-HA AE-i中的至少一个的RRP消息,并响应于RRQ消息通 过AGW的中继将其发送到AT。 可是,当未确定包含在RRQ消息的MN-HA AE-i中的MN-HA SPI在数据库中时,HA 前进到步骤431,其中它向AAA服务器发送用于请求AT的接入接受的接入请求消息。接入 请求消息其中包括HA字段和HA意图找到的MN-HA SPI,且将HA字段设置为包括在RRQ消 息中的"HA字段"中的HA地址。例如,可以将HA字段设置为0. 0. 0. 0或x. x. x. x。
在步骤433中,HA通过来自AAA服务器的接入接受消息从AAA服务器接收与AT 有关的丽-HA-n密钥和丽-HA-i密钥。丽-HA-n密钥是AAA服务器产生和发送到HA用于 AT和HA之间的相互鉴权的新密钥,并且使用为AT分配的HA的IP地址作为输入参数来产 生该密钥。例如,可以使用已经接收RRQ消息的HA的IP地址y. y. y. y作为HA的IP地址。 丽-HA-i密钥是AAA服务器产生和发送到HA的密钥,用于验证从AT发送的丽-HAAE-i,而 且使用从AT向HA发送的RRQ消息的"HA字段"的HA地址0. 0. 0. 0或x. x. x. x作为用于产 生MN-HA-i密钥的输入参数。在步骤435中,HA使用MN-HA-i密钥验证从RRQ消息中提取 的丽-HAAE-i,由此确定该AT是否已经被鉴权。 当AT已经被鉴权时,HA在步骤437中为AT分配HoA,并且在步骤439中产生和存 储包括AT的CoA和HoA的移动性绑定信息。之后,HA在步骤441中使用丽-HA-n密钥产 生用于AT和HA之间的相互鉴权的MN-HAAE-n,并且在步骤443中通过AGW的中继将MN-HA AE-n连同RRP消息一起发送到AT。 RRP消息其中包括AT在RRQ消息中发送的CoA、以及AT 将要使用的HoA。此外,还将已经为AT分配的HA的IP地址y. y. y. y包括在RRP消息中。
图4B是说明根据本发明的示范实施例的HA的操作的流程图。
参考图4B,在步骤451中HA接收从AGW中继的AT的RRQ消息。RRQ消息其中包
13括NAI、HoA、HA地址、CoA、和MN-HA AE_i中的至少一个。此外,将从与鉴权有关的MN-HA-i密钥中导出的将被用于AT和HA之间的相互鉴权的丽-HA AE-i包括在RRQ消息中。在步骤453中,HA检查RRQ消息的"HA字段",并且在步骤455中确定HA字段是否包括HA的IP地址。根据HA字段中的HA地址是否等于HA的IP地址,HA前进到步骤411或步骤431。如果HA字段包括HA的IP地址,则HA前进到如上所述操作的步骤411到421。但是,如果HA字段不包括HA的IP地址,则HA前进到如上对于图4A所述操作的步骤431到443。
图5是说明根据本发明的示范实施例的AT的操作的流程图。
参考图5,在步骤501中,AT执行接入鉴权过程的初始部分。在步骤513中,AT产生作为将用于MIPv4鉴权的根密钥的MIP-RK。在步骤507中,AT完成剩余的接入鉴权过程,其中涉及诸如AT、 AGW、和AAA服务器的几个实体。在步骤509中,AT使用MIP-RK或在接入鉴权过程中获得的EMSK来产生MN-HA SPI。丽-HA SPI是包括在作为用于AT和HA之间的相互鉴权的鉴权信息的MN-HAAE(MN-HA AE-i和/或丽-HA AE_n)中的值,并且这是用于选择用于通过鉴权算法计算鉴权值(认证者)的密钥。 在步骤511中,AT从MIP-RK中产生用于AT和HA之间的相互鉴权的MN_HA_i密钥。同时,如果AT能够经过鉴权过程获得HA的IP地址,则步骤511可以在步骤509之前执行。在步骤513中,AT向AGW发送代理征求消息以寻找用于产生CoA的FA。在步骤515中,AT接收代理通告消息,其包括由具有FA功能的AGW分配的CoA。 在通过代理通告消息获取CoA之后,在步骤517中,AT经由AGW向HA发送RRQ消息。该RRQ消息包括CoA、HoA 0. 0. 0. 0、HA地址和MN-HAAE-i 。当AT知道HA的IP地址时,将HA字段设置为该IP地址。可是,当AT不知道HA的IP地址时,将HA字段设置为0. 0. 0. 0以请求分配HA的IP地址。在步骤519, AT通过AGW的中继从HA接收RRP消息。包含在RRP消息中的HA的IP地址可以不同于包含在RRQ消息中的HA地址,且其指示已经分配给AT的HA。 在步骤521,AT确定在RRQ消息中发送的HA字段中的IP地址是否等于包含在RRP消息中的HA字段中的IP地址,并且根据确定结果前进到步骤531至533、或541至543。在基于RRP消息的HA的IP地址产生丽-HA-n密钥的示范实施例中,AT直接前进到步骤541和543而无需步骤521的判定。 如果HA字段中的IP地址相等,则在步骤531中AT使用MIP-RK和HA的IP地址产生MN-HA-i密钥。在示范实施例中,由于HA字段中的IP地址相等,故AT决定使用步骤511中产生的丽-HA-i密钥、或通过RRP消息接收的丽-HA-i密钥,从而确定步骤511中产生的丽-HA-i密钥等于通过RRP消息接收的丽-HA-i密钥。在另一示范实施例中,AT比较步骤511中产生的MN-HA-i密钥和通过RRP消息接收的MN-HA-i密钥,且如果它们相等,则AT确定使用步骤511中产生的丽-HA-i密钥、或通过RRP消息接收的丽-HA-i密钥。在步骤533中,AT使用所产生/确定的丽-HA-i密钥来验证从RRP消息中提取的丽-HA AE_i。
如果HA字段中的IP地址不相等,则在步骤541中AT使用包括在RRP消息中的HA字段中的HA地址来产生新的丽-HA-n密钥。在步骤543中,AT使用用于AT和HA之间的相互鉴权的丽-HA-n密钥来验证从RRP消息中提取的丽-HA AE_n。
图6是说明根据本发明的示范实施例的AGW的操作的流程图。
参考图6,在步骤601中AGW从AT接收RRQ消息。RRQ消息其中包括NAI、HoA、HA地址、CoA、和MN-HA AE-i中的至少一个。在步骤603中,AGW确定是否有在接入鉴权过程中为AT分配的任何HA。在步骤605中,AGW确定在接入鉴权过程中获得的HA信息、或根据服务提供商的预定配置策略确定的HA信息是否等于包含在RRQ消息中的HA字段中的IP地址。 如果AGW具有的HA信息等于包含在RRQ消息中的HA字段中的IP地址,则在步骤611中AGW向已知的HA信息的IP地址发送RRQ消息。在步骤613中,AGW从已知的HA接收RRP消息。RRP消息其中包括AT将使用的HoA、以及AT将在RRQ消息中发送的CoA。此外,将HA的IP地址、和由HA验证的MN-HA AE_i包括在RRP消息中。在步骤615 , AGW向AT传递RRP消息。 可是,如果AGW具有的HA信息不同于包含在RRQ消息中的HA字段中的IP地址,
则在步骤621中,AGW向已知的HA信息的IP地址(如,HAy. y. y. y)发送RRQ消息。在步骤
623中,AGW从HA接收响应于RRQ消息的RRP消息。RRP消息其中包括AT将使用的HoA、以
及曾在RRQ消息中发送的CoA。此外,将HA的IP地址、和HA已经使用丽-HA-n密钥新产生
的MN-HA AE-n包括在RRP消息中。在步骤625中,AGW向AT传递RRP消息。 从前述说明显而易见的,本发明的示范实施例解决了当支持移动IPv4的AT移动
时在执行登记过程以使用移动IPv4的同时发生的数据通信的呼叫建立时延问题,并且还
解决了当AT从一个AN移动到另一个AN(如,从UMB系统到WiMAX系统)时在呼叫重新建
立过程中发生的时间延迟问题。此外,使用不同的基于移动IPv4的接入技术的移动通信系
统高效率地执行呼叫建立和安全过程,从而迅速和高效率地执行数据通信。 尽管已经参照其某些示范实施例示出和描述了本发明,但是本领域技术人员不难
理解,可以在其中进行形式和细节上的各种改变而不背离由所附权利要求书及其等价物限
定的本发明的精神和范围。
1权利要求
一种在移动通信系统中使用移动因特网协议(MIP)管理接入终端(AT)的移动性的方法,该方法包括由已经进入新网络的AT产生用于与新网络的归属代理(HA)相互鉴权的安全参数索引(SPI)和安全密钥;由AT发送包括包含SPI的鉴权信息的登记请求消息,该鉴权信息使用该安全密钥产生;当接收到登记请求消息时,由HA在数据库中搜索包含在鉴权信息中的SPI;根据搜索结果验证鉴权信息;当成功验证鉴权信息时,由HA产生AT的移动性绑定信息;以及由HA发送包括HA的IP地址的登记响应消息。
2. 如权利要求l所述的方法,其中经由新网络的接入网关(AGW)发送登记请求消息和 登记响应消息。
3. 如权利要求1所述的方法,其中登记请求消息包括AT的网络接入标识符(NAI) 、 AT 在新网络中使用的转交地址(CoA)、AT知道的HA的IP地址、以及鉴权信息中的至少一个。
4. 如权利要求1所述的方法,其中使用MIP版本4(MIPv4)作为MIP。
5. 如权利要求1所述的方法,其中AT已经进入的新网络和AT曾经连接的网络共享HA。
6. 如权利要求5所述的方法,还包括当作为搜索的结果确定SPI存在时,由HA使用SPI寻找与该安全密钥相同的安全密 钥;以及使用找到的安全密钥验证鉴权信息。
7. 如权利要求1所述的方法,其中登记响应消息包括AT的NAI、AT在新网络中使用的 CoA、HA分配的归属地址(HoA)、HA的IP地址、以及鉴权信息中的至少一个。
8. 如权利要求1所述的方法,其中AT曾经连接的网络的HA不同于新网络的HA。
9. 如权利要求8所述的方法,还包括当作为搜索的结果未确定SPI存在时,由HA向鉴权、授权和计费(AAA)服务器发送用 于AT的鉴权的接入请求消息;当AT被鉴权时,由AAA服务器产生与该安全密钥相同的鉴权密钥;以及 由AAA服务器向HA发送包括该相同的鉴权密钥的接入接受消息。
10. 如权利要求9所述的方法,还包括当接收到接入接受消息时,由HA使用该相同的鉴权密钥来验证从登记请求消息中提 取的鉴权信息。
11. 如权利要求9所述的方法,还包括由HA使用HA向AT提供的HA的IP地址来产生用于HA和AT之间的相互鉴权的新的 鉴权信息。
12. 如权利要求1所述的方法,其中登记响应消息包括下列至少一个AT的NAI、 AT在 新网络中使用的CoA、HA分配的HoA、HA的IP地址、以及使用HA的IP地址产生的用于相互 鉴权的新的鉴权信息。
13. —种使用移动因特网协议(MIP)管理接入终端(AT)的移动性的移动通信系统,该 系统包括AT,当其已经进入新网络时,产生用于与新网络的归属代理(HA)相互鉴权的安全参数 索引(SPI)和安全密钥,并且向新网络发送包括包含SPI的鉴权信息的登记请求消息,该鉴 权信息使用该安全密钥产生;以及归属代理(HA),当接收到登记请求消息时,在数据库中搜索包含在鉴权信息中的SPI, 根据搜索结果验证鉴权信息,并且当成功验证鉴权信息时,产生AT的移动性绑定信息,并 向AT发送包括HA的IP地址的登记响应消息。
14. 如权利要求13所述的系统,其中登记请求消息包括AT的网络接入标识符(NAI)、AT在新网络中使用的转交地址(CoA) 、 AT知道的HA的IP地址、以及鉴权信息中的至少一 个。
15. 如权利要求13所述的系统,其中使用MIP版本4(MIPv4)作为MIP。
16. 如权利要求13所述的系统,其中AT已经进入的新网络和AT曾经连接的网络共享HA。
17. 如权利要求16所述的系统,其中当作为搜索的结果确定SPI存在时,HA使用SPI 寻找与该安全密钥相同的安全密钥,并使用找到的安全密钥验证鉴权信息。
18. 如权利要求13所述的系统,其中登记响应消息包括AT的NAI、AT在新网络中使用 的CoA、 HA分配的归属地址(HoA) 、 HA的IP地址、以及鉴权信息中的至少一个。
19. 如权利要求13所述的系统,其中AT曾经连接的网络的HA不同于新网络的HA。
20. 如权利要求19所述的系统,其中当作为搜索的结果未确定SPI存在时,HA向鉴权、 授权和计费(AAA)服务器发送用于AT的鉴权的接入请求消息,并且接收在AAA服务器中响应于接入请求消息产生、且包括与该安全密钥相同的鉴权密钥的接入接受消息。
21. 如权利要求20所述的系统,其中HA使用该相同的鉴权密钥来验证从登记请求消息中提取的鉴权信息。
22. 如权利要求20所述的系统,其中HA使用HA向AT提供的HA的IP地址来产生用于 HA和AT之间的相互鉴权的新的鉴权信息。
23. 如权利要求13所述的系统,其中登记响应消息包括下列至少一个AT的NAI、AT在 新网络中使用的CoA、HA分配的HoA、HA的IP地址、以及使用HA的IP地址产生的用于相互 鉴权的新的鉴权信息。
24. —种在移动通信系统的归属代理(HA)中使用移动因特网协议(MIP)管理接入终端 (AT)的移动性的方法,该方法包括从已经进入新网络的AT接收包括包含用于相互鉴权的安全参数索引(SPI)的鉴权信 息的登记请求消息;在数据库中搜索包含在鉴权信息中的SPI,并根据搜索结果验证该鉴权信息;以及 当成功验证鉴权信息时,产生AT的移动性绑定信息,并发送包括AT的IP地址的登记 响应消息。
25. 如权利要求24所述的方法,其中使用MIP版本4 (MIPv4)作为MIP。
26. 如权利要求24所述的方法,其中该AT已经进入的新网络和AT曾经连接的网络共 享HA ;其中当作为搜索的结果确定SPI存在时,HA使用SPI寻找与该安全密钥相同的安全密 钥,并使用找到的安全密钥验证该鉴权信息。
27. 如权利要求24所述的方法,其中AT曾经连接的网络的HA不同于新网络的HA, 其中该方法还包括当作为搜索的结果未确定SPI存在时,向鉴权、授权和计费(AAA)服务器发送用于AT 的鉴权的接入请求消息;当AT被鉴权时,从AAA服务器中接收包括与该安全密钥相同的鉴权密钥的接入接受消 息;以及使用该相同的鉴权密钥来验证从登记请求消息中提取的鉴权信息。
28. 如权利要求27所述的方法,还包括使用HA向AT提供的HA的IP地址来产生用于HA和AT之间的相互鉴权的新的鉴权信 息;以及在登记响应消息中发送该新的鉴权信息。
29. —种在移动通信系统的接入终端(AT)中使用移动因特网协议(MIP)执行的移动性 管理方法,该方法包括当AT已经进入新网络时,产生用于与新网络的归属代理(HA)相互鉴权的安全参数索 引(SPI)和安全密钥;向新网络发送包括第一 HA地址、和包含SPI的第一鉴权信息的登记请求消息,该第一 鉴权信息使用该安全密钥产生;当HA已经成功验证第一鉴权信息时,从HA接收包括第二 HA地址、和用于相互鉴权的 第二鉴权信息的登记响应消息;以及当第一 HA地址和第二 HA地址相同时,使用该安全密钥验证第二鉴权信息。
30. 如权利要求29所述的方法,还包括当第一 HA地址和第二 HA地址不相同时,使用包括在登记响应消息中的第二 HA地址产 生新的安全密钥;以及使用新的安全密钥验证第二鉴权信息。
全文摘要
提供一种在移动通信系统中使用移动因特网协议(MIP)管理接入终端(AT)的移动性的方法。该方法包括由已经进入新网络的AT产生用于与新网络的归属代理(HA)相互鉴权的安全参数索引(SPI)和安全密钥;由AT发送包括包含SPI的鉴权信息的登记请求消息,该鉴权信息使用该安全密钥产生;当接收到该登记请求消息时,由HA在数据库中搜索包含在鉴权信息中的SPI;根据搜索结果验证该鉴权信息;当成功验证该鉴权信息时,由HA产生AT的移动性绑定信息;以及由HA发送包括HA的IP地址的登记响应消息。
文档编号H04L9/08GK101785241SQ200880104227
公开日2010年7月21日 申请日期2008年8月25日 优先权日2007年8月24日
发明者徐庆珠 申请人:三星电子株式会社