專利名稱:移動通信接入方法和系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種通信系統(tǒng)和方法�����,特別是涉及一種移動通信接入方法和系統(tǒng)���。
背景技術(shù):
為滿足網(wǎng)絡(luò)的發(fā)展,IETF在20世紀(jì)90年代提出了下一代互聯(lián)網(wǎng)協(xié)議 —IPv6 (IP version 6���,因特網(wǎng)協(xié)議第六版)�����。IPv6其最為本質(zhì)的改進是將原IPv4 (IP version 4,因特網(wǎng)協(xié)議第四版)的地址長度由32位增加到128位����,從而帶 來了幾乎無限的地址空間。除此之外����,IPv6還采用高效IP包頭、主機地址自 動配置�����、認(rèn)證和加密等許多技術(shù)���。移動IP ( MIP, Mobile IP )結(jié)合IPv6上形成MIPv6技術(shù),其基本原理是移 動臺(MS�����, Mobile Subscriber Station )除了擁有一個固定IP地址(即HoA地 址(HoA�, Home Address ))外,在最近移動到的外地網(wǎng)絡(luò)中還擁有另外一個臨 時IP地址(即轉(zhuǎn)交地址(CoA地址�����,Care-of Address ))�,通過一定的網(wǎng)絡(luò)機制 建立起HoA地址與CoA地址的對應(yīng)關(guān)系以及家鄉(xiāng)網(wǎng)絡(luò)與外地網(wǎng)絡(luò)的路由關(guān) 系���,從而達(dá)到使移動臺在其網(wǎng)絡(luò)變換時與位于其他網(wǎng)絡(luò)的通信對端(CN, Corresponding Node )之間的通信不中斷的目的。其中�,包括很關(guān)鍵的自舉技 術(shù)。自舉指的是移動臺獲取為了同合適的家鄉(xiāng)代理(HA, Home Agent)進行成 功注冊所需要信息的過程����。所述信息包括一、HA地址�����,所述HA地址是HA本身在網(wǎng)絡(luò)中的地址��;二 ����、 HoA地址,所述HoA是移動臺在家鄉(xiāng)代理中保存的地址�;三、移動臺/移動節(jié)點(MN, Mobile Node )與家鄉(xiāng)代理的相互驗證使用的 安全證書�,或者HA與MN之間的因特網(wǎng)密鑰交換(IKE, Internet Key Exchange ) 預(yù)共享密鑰,或者為認(rèn)證協(xié)議使用的共享的密鑰����、安全聯(lián)盟����。上述內(nèi)容是實現(xiàn)MIPv6過程必不可少的信息��,然而在現(xiàn)有MIPv6協(xié)議中 并沒有給出其相應(yīng)的解決方法�����。參閱圖1����,自舉的基本流程可以簡述如下 101、 移動臺通過域名系統(tǒng)(DNS, Domain Name System)過程發(fā)現(xiàn)�、或 在接入認(rèn)證的時候使用動態(tài)主機配置協(xié)議(DHCP, Dynamic Host Configuration Protocol)過程等機制獲取HA地址���;102����、 移動臺通過因特網(wǎng)密鑰交換第二版(IKEv2��, Internet Key Exchange Version 2 )流程獲取HoA地址����;103 ��、移動臺通過IKEv2流程與家鄉(xiāng)代理建立安全聯(lián)盟��。在完成自舉后�����,移動臺再獲得CoA并向家鄉(xiāng)代理和通信對端通知它的 CoA�。其它主機可以無視移動臺的CoA,而像移動IPv4—樣��,將包發(fā)往移動 臺的本地網(wǎng)絡(luò)�,家鄉(xiāng)代理通過隧道將包轉(zhuǎn)發(fā)到移動臺的轉(zhuǎn)交地址;知道移動臺 轉(zhuǎn)交地址的通信主機也可用IPv6路由擴展頭��,直接將包發(fā)給移動臺���;移動臺 在發(fā)送數(shù)據(jù)包的時候使用CoA地址作為源地址����。上述自舉流程中的第三步驟其目的是為了實現(xiàn)IP安全(IPSec, IP security )�����。所謂IP安全是為IP包提供私密性,數(shù)據(jù)完整性和數(shù)據(jù)源認(rèn)證��。這 些服務(wù)通過維護IP包的源端和接收端之間的共享狀態(tài)來提供���。為實現(xiàn)這些服 務(wù)�����,需要一種能動態(tài)創(chuàng)建這種共享狀態(tài)的協(xié)議�。IKE( Internet Key Exchange,因 特網(wǎng)密鑰交換)協(xié)議就是這樣一種協(xié)議�����。IKE的精髓在于它永遠(yuǎn)不在不安全的 網(wǎng)絡(luò)上直接傳送密鑰���。本步驟使用了 IKE協(xié)議第二版本(IKEv2 )�,其主要通過4對消息交換來 建立IP安全聯(lián)盟��。所述4對消息交換分別是第一階段交換請求IKE一SA INIT�����、 第二階段交換請求IKR AUTH���、 CREATE—CHILD—SA和INFORMATIONAL 交換���。IKE SA INIT是第一對交換,IKE—AUTH交換是第二對交換��。這兩對 交換在建立安全聯(lián)盟過程中必須首先進行���,并且只能進行一次�。IKE SA INIT 交換完成后即可建立1KE安全聯(lián)盟�,記為IKE—SA; IKE—AUTH交換可以進行 身份驗證并可以建立IPsec安全聯(lián)盟。IPsec安全聯(lián)盟因為是由IKE—SA生成的���, 所以又稱為子安全聯(lián)盟(CHILD—SA)�,它包括兩種安全聯(lián)盟ESP安全聯(lián)盟 和AH安全聯(lián)盟�。CREATE CHILD SA或INFORMATIONAL交換是指IKE—AUTH交換后 的IKE交換。其中CREATE—CHILD—SA用于IKE—SA和CHILD—SA的重建��,
INFORMATIONAL交換用于其他信息的交互��。參閱圖2, 是5見有"Problem Statement for bootstrapping Mobile IPv6 (draft-ietf-mip6-bootstrap-ps-04.txt)�,,中定義的自舉和安全聯(lián)盟建立合并的流程�����。 圖中,步驟203和204是關(guān)于IKE—SA—INIT交換����,步驟205和208是關(guān)于 IKR AUTH交換,步驟209和210是關(guān)于CREATE—CHILD—SA交換,���、所述流 程具體如下201 ����、移動臺通過現(xiàn)有機制進行接入認(rèn)證�;202、移動臺通過現(xiàn)有機制獲取訪問網(wǎng)絡(luò)的CoA地址���,并獲取HA的地址����;203 ���、移動臺發(fā)送IKE的第 一 階段IKE一SA—INIT交換請求消息到家鄉(xiāng)代理�; 其中�,IiDR是消息頭,包含SPI����、版本號和各種標(biāo)記。SAil載荷描述了發(fā)起 者在IKE SA中支持的加密算法����;KE栽荷發(fā)送發(fā)起者支持的D-H組(D-H組 是指Diffic-Hcllman算法中交換的數(shù)據(jù),用于產(chǎn)生共享密鑰)����;Ni載荷是發(fā)起 者的Nonce;204、 家鄉(xiāng)代理發(fā)送IKE的IKE—SA—INIT交換消息的回應(yīng)消息����,此時建立 好IKE—SA,并用來對后面的IKE交換中的載荷加密;其中��,家鄉(xiāng)代理從移動 臺提供的選擇中選擇加密算法�,并在SArl載荷中指明他的選擇;在KEr栽荷 中選擇合適的D-H組�,并在Nr載荷中發(fā)送他的Nonce;在CERTREQ載荷中 記載信任錨(trust anchor )列表,這樣移動臺就能選擇合適的證書來驗證自己�;205、 移動臺發(fā)送第二階段IKE—AUTH階段的請求消息�����,由于移動臺還沒 獲得HoA地址,而CHILD—SA要求建立在HoA和HA上����,因此這里不能建 立CHILD SA,只能在這里通過配置(CP )載荷請求HoA地址,這里CP載 荷主要用于在雙方之間協(xié)商配置信息�;其中,對于IDi載荷�����,移動臺用來聲明 自己的身份信息�;AUTH載荷用以讓家鄉(xiāng)代理驗證與IDi相應(yīng)的預(yù)共享密鑰和 保證當(dāng)前消息中內(nèi)容的完整性;CERT載荷用以發(fā)送證書(Certificate ),如果 CERT載荷存在�����,其中的第 一個證書必須包含用來校驗認(rèn)證(AUTH )域的公 鑰�;IDr是可選載荷,移動臺用來指定要和自己對話的家鄉(xiāng)代理的身份�����;對于 SAi2載荷�����,移動臺用來開始協(xié)商CHILD—SA; Tsi和TSr載荷則允許IPsec被 TSi和TSr所指定的地址使用;
206���、家鄉(xiāng)代理如果沒有與移動臺的預(yù)共享密鑰���,必須向家鄉(xiāng)AAA服務(wù) 器(Home AAA Server)請求預(yù)共享密鑰;207 �、 Home AAA Server向家鄉(xiāng)4氣理發(fā)送預(yù)共享密鑰;208�����、 家鄉(xiāng)代理—瞼證移動臺身份之后��,對IKE—AUTH請求作出回應(yīng)����,同時 下發(fā)HoA給移動臺;其中���,家鄉(xiāng)代理先驗證完整性�,然后選擇合適的算法��, 把自己的驗證數(shù)據(jù)連同HoA發(fā)給移動臺;209�����、 移動臺再發(fā)起CREATE—CHILD—SA交換來請求建立CHILD SA; 因為經(jīng)過一段時間后�,CHILD—SA和IKE一SA都可能到時,需要重建����。重建時 都可以使用這條消息。如果在N栽荷中指明是IKE—SA重建���,則進行IKE—SA 重建�����;如果不帶N載荷�,則進行CHILD—SA重建���;210�����、 家鄉(xiāng)代理回應(yīng)CREATE—CHILD—SA交換請求�����,同意建立CHILD—SA;家鄉(xiāng)代理返回協(xié)商結(jié)果�,完成安全聯(lián)盟重建。211���、 移動臺和家鄉(xiāng)代理進行BU/BA,然后進行后續(xù)交互�。從以上可以看出,請求HoA的動作是在第二階段IKR —AUTH交換中進行��, 即在步驟205中進行���。由于移動臺還沒獲得HoA地址而不能立即建立 CHILD—SA��,只能在此步驟中通過CP載荷請求HoA地址�����,經(jīng)過家鄉(xiāng)AAA服 務(wù)器驗證后才在步驟208中下發(fā)HoA給移動臺���,最后經(jīng)過發(fā)起 CREATE CHILD SA交換來請求建立CHILD—SA。因此��,整個CHILD SA建 立過程漫長,影響移動性接入的速度����。發(fā)明內(nèi)容本發(fā)明要解決的技術(shù)問題是提供一種提高移動性接入速度的移動通信接入方法。本發(fā)明要解決的技術(shù)問題是還提供 一種提高移動性接入速度的移動通信 才妻入系統(tǒng)����。為解決上述第一技術(shù)問題,本發(fā)明的目的是通過以下技術(shù)方案實現(xiàn)的提 供一種移動通信接入方法�����,包括步驟上傳攜帶HoA請求的請求消息到家鄉(xiāng) 代理��,所述請求消息是因特網(wǎng)密鑰交換協(xié)議的第一階段交換請求消息�����;下發(fā)攜帶HoA信息的回應(yīng)消息給移動臺�����,所述回應(yīng)消息是因特網(wǎng)密鑰交換協(xié)議的第一階段交換請求回應(yīng)消息����;進行因特網(wǎng)密鑰交換協(xié)議的第二階段交換以建立子安全聯(lián)盟�。優(yōu)選地��,所述HoA請求通過所述第一階段交換請求消息中的配置載荷承載�。優(yōu)選地,所述HoA信息通過返回移動臺的所述第一階段交換請求回應(yīng)中 的配置載荷承載��。優(yōu)選地�����,在下發(fā)攜帶HoA信息的因特網(wǎng)密鑰交換協(xié)議的第一階段交換請 求回應(yīng)消息之前進一步包括步驟驗證所述移動臺的身份�����。優(yōu)選地���,所述驗證移動臺的身份的步驟包括子步驟家鄉(xiāng)代理發(fā)送移動臺的身份信息給家鄉(xiāng)AAA服務(wù)器;比較家鄉(xiāng)AAA服務(wù)器保存的移動臺身份信息與上傳的移動臺身份信息�����, 以驗證移動臺是否合法���。優(yōu)選地�����,所述移動臺身份信息通過IKE—SA—INIT交換請求的IP擴展頭上傳給家鄉(xiāng)代理��,而且�����,在下發(fā)攜帶HoA信息的回應(yīng)消息給移動臺時����,通過所述第一階段交換請求回應(yīng)消息的IP擴展頭將家鄉(xiāng)代理的身份信息下發(fā)給移動 臺優(yōu)選地,在所述上傳給家鄉(xiāng)代理的IP擴展頭中攜帶認(rèn)證載荷���,而且��,在 所述驗證移動臺的身份的步驟中進一步包括子步驟下發(fā)預(yù)共享密鑰給家鄉(xiāng)代理的�。優(yōu)選地�����,所述移動臺身份信息通過所述第一階段交換請求消息中的因特網(wǎng) 密鑰交換協(xié)議載荷上傳給家鄉(xiāng)代理�����,而且,在下發(fā)攜帶HoA信息的回應(yīng)消息 給移動臺時����,通過所述回應(yīng)消息的因特網(wǎng)密鑰交換協(xié)議載荷將家鄉(xiāng)代理的身份 信息下發(fā)給移動臺。優(yōu)選地��,在所述上傳給家鄉(xiāng)代理的因特網(wǎng)密鑰交換協(xié)議載荷中攜帶認(rèn)證栽 荷����,而且,在所述驗證移動臺的身份的步驟中進一步包括子步驟下發(fā)預(yù)共享 密鑰給家鄉(xiāng)代理�����。 為解決上述第二技術(shù)問題�,本發(fā)明的目的是通過以下技術(shù)方案實現(xiàn)的提 供一種移動通信接入系統(tǒng)����,包括移動臺和家鄉(xiāng)代理,所述移動臺包括第一階段 交換請求消息生成單元����,該單元用于在發(fā)送給家鄉(xiāng)代理的因特網(wǎng)密鑰交換協(xié)議 第 一階段交換請求消息的配置載荷中生成HoA請求,所述家鄉(xiāng)代理包括HoA 信息生成單元,該單元用于在因特網(wǎng)密鑰交換協(xié)議的第一階段交換請求回應(yīng)消 息中的配置載荷承載中生成HoA信息�。優(yōu)選地,進一步包括家鄉(xiāng)AAA服務(wù)器����,所述移動臺進一步包括安全信息 生成單元,所述安全信息生成單元用于在所述第一階段交換請求消息中加入移 動臺身份信息和認(rèn)證載荷�����,在觸發(fā)家鄉(xiāng)代理和家鄉(xiāng)AAA服務(wù)器之間的驗證進 程后�,所述家鄉(xiāng)代理返回攜帶其身份信息和認(rèn)證載荷的因特網(wǎng)密鑰交換協(xié)議的 第 一 階段交換請求回應(yīng)消息給移動臺。優(yōu)選地�����,所述安全信息生成單元具體用于在所述第一階段交換請求消息的 IP擴展頭或因特網(wǎng)密鑰交換協(xié)議載荷上上加入移動臺身份信息和認(rèn)證載荷����。以上第一技術(shù)方案可以看出,由于本發(fā)明在移動接入的自舉與安全聯(lián)盟建 立合并流程中提前獲取HoA���,即在IKE的IKE—SA—INIT交換請求中攜帶HoA 的請求����,家鄉(xiāng)代理收到包含HoA請求的IKE—SA—INIT交換請求消息后,知道 移動臺在此步驟中請求HoA����,因而提前下發(fā)HoA給移動臺,以便在IKE一AUTH 交換中建立CHILD SA����,從而減少建立安全聯(lián)盟的步驟,讓移動臺快速接入網(wǎng) 絡(luò)�����。另外�,本發(fā)明為了保證獲取HoA時的安全性,利用IKE—SAJNIT交換請 求消息的IP擴展頭攜帶NAI和AUTH,為IKE—SAJNIT消息提供了完整性 保護和對移動臺身份進行身份認(rèn)證�,從而確保HoA分配給正確的移動臺。以上第二技術(shù)方案可以看出����,由于本發(fā)明采用第 一階段交換請求消息生成 單元在移動接入的IKE一SA INIT交換請求中生成HoA請求信息��,通知家鄉(xiāng)代 理提前下發(fā)HoA給移動臺�,以便在IKE—AUTH交換中建立CHILD—SA,從而 減少建立安全聯(lián)盟的步驟,讓移動臺快速接入網(wǎng)絡(luò)����。另外���,本發(fā)明為了保證獲 取HoA時的安全性,采用安全信息生成單元在所述IKE一SAJNIT交換請求中 生成移動臺身份信息和AUTH載荷��,為IKE一SA—INIT消息提供了完整性保護 和對移動臺身份進行身份認(rèn)證����,從而確保HoA分配給正確的移動臺。
圖1是現(xiàn)有4支術(shù)移動性4妄入中的MIPv6的自舉基本流程��; 圖2是現(xiàn)有技術(shù)移動性接入中的自舉與安全聯(lián)盟建立合并流程�����; 圖3是本發(fā)明移動通信接入方法第一實施方式的時序圖�; 圖4是本發(fā)明移動通信接入方法第二實施方式的時序圖; 圖5是本發(fā)明移動通信接入系統(tǒng)的原理框圖�����。
具體實施方式
本發(fā)明基本原理是在移動接入的自舉與安全聯(lián)盟建立合并流程中提前獲 取HoA,以便在因特網(wǎng)密鑰交換協(xié)議的第二階段IKE一AUTH交換中建立 CHILD—SA�����,從而減少建立安全聯(lián)盟的步驟,讓移動臺快速接入網(wǎng)絡(luò)�����。另外本 發(fā)明為了保證獲取HoA時的安全性����,為第一階段IKE—SA—INIT交換消息提供 了完整性保護,并在該消息中攜帶移動臺身份�����,進行身份認(rèn)證����,從而確保HoA 分配給正確的移動臺。本發(fā)明移動通信4矣入方法可以相ii舌為一 �����、上傳攜帶HoA請求的IKE的IKE_SAJNIT交換請求消息到家鄉(xiāng)代理��;二 ��、下發(fā)攜帶HoA信息的IKE一SA JNIT交換請求消息回應(yīng)消息給移動臺��; 三�����、進行IKE AUTH交換以建立CHILD SA����。即本發(fā)明在進行第一階段IKE—SA—INIT交換的時候就向網(wǎng)絡(luò)側(cè)請求 HoA,從而替代現(xiàn)有技術(shù)在進行第二階段IKE一AUTH交換時才向網(wǎng)絡(luò)側(cè)請求 HoA的方式����,減少建立安全聯(lián)盟的步驟。下面給出兩個實施方式來描述本發(fā)明���,分別對應(yīng)于為IKE—SAJNIT消息 提供完整性保護的兩種方法����。以下結(jié)合實施方式和附圖���,對本發(fā)明進行詳細(xì)描述���。參閱圖3,是本發(fā)明移動通信接入方法第一實施方式的時序圖����,所述方法 包括步驟301��、移動臺通過現(xiàn)有機制進行接入認(rèn)證��;302�、 移動臺獲取訪問網(wǎng)絡(luò)的CoA地址�����,并獲取家鄉(xiāng)代理的地址���;303�����、 移動臺發(fā)送IKE的第一階段IKE—SA—INIT交換請求消息��,并帶上承 栽著H()A請求的CP載荷���;為保證安全性,這里在IP擴展頭中加入網(wǎng)絡(luò)接入 標(biāo)識NAI和認(rèn)證選項擴展頭AUTH����,前者表明移動臺身份����,后者提供對身份 和整條消息的完整性保護�����;304�、 家鄉(xiāng)代理如果沒有與移動臺的預(yù)共享密鑰����,則向家鄉(xiāng)AAA服務(wù)器 請求預(yù)共享密鑰,具體為家鄉(xiāng)代理發(fā)送攜帶移動臺的身份信息IDi的接入請 求消息(Access-R叫uest/IDi)給家鄉(xiāng)AAA服務(wù)器����;305、 家鄉(xiāng)AAA服務(wù)器向家鄉(xiāng)代理下發(fā)攜帶預(yù)共享密鑰和家鄉(xiāng)AAA服務(wù) 器內(nèi)保存的移動臺身份信息的接入確認(rèn)消息(Access-Accept/pre-shared key );306��、 家鄉(xiāng)代理比較所述家鄉(xiāng)AAA服務(wù)器保存的移動臺身份信息與上傳 的移動臺身份信息�����;在家鄉(xiāng)代理驗證完移動臺的身份之后���,把自己的身份和認(rèn) 證數(shù)據(jù)也放在網(wǎng)絡(luò)接入標(biāo)識和認(rèn)證選項擴展頭中�,并在所述第 一 階段 IKE SA INIT交換請求消息的回應(yīng)消息中攜帶承載HoA信息的CP載荷發(fā)送 給移動臺;307 ��、移動臺發(fā)送第二階段IKE—AUTH交換的請求消息����,并協(xié)商 CHILD SA;308、 家鄉(xiāng)代理在IKE AUTH交換的回應(yīng)消息中返回協(xié)商結(jié)果�����;309��、 移動臺收到返回協(xié)商結(jié)果后��,CHILD—SA建立完成�,移動臺可以進 行綁定更新/綁定應(yīng)答(BU/BA, Binding Update/Binding Acknowledge )及后續(xù)通信���。從以上可以看出���,本發(fā)明在移動接入的自舉與安全聯(lián)盟建立合并流程中提 前獲取HoA,即在IKE的第一階段IKE—SA—INIT交換請求消息中攜帶HoA 的請求,家鄉(xiāng)代理收到包含HoA請求的IKE—SA—INIT交換請求消息后��,知道 移動臺在此步驟中請求HoA,因而提前下發(fā)HoA給移動臺�,以便在第二階段KH AUTH交換中建立CHILD一SA,從而減少建立安全聯(lián)盟的步驟���,讓移動 臺快速接入網(wǎng)絡(luò)���。
可以看出��,由于不需要現(xiàn)有技術(shù)的CREATE—CHILD—SA交換來建立 CI-IILD SA,因此本發(fā)明省略一對CREATE—CHILD—SA交換消息�����,加快移動 臺接入網(wǎng)絡(luò)速度的同時也減輕網(wǎng)絡(luò)系統(tǒng)負(fù)擔(dān)����。另外,本發(fā)明為了保證獲取HoA時的安全性�,利用IKE—SA—INIT交換請 求消息的IP擴展頭攜帶NAI和AUTH,為IKE_SA—INIT消息提供了完整性 保護和對移動臺身份進行身份認(rèn)證���,從而確保HoA分配給正確的移動臺�。參閱圖4�,是本發(fā)明移動通信接入方法第二實施方式的時序圖,所述方法 包括步驟401、 移動臺通過現(xiàn)有機制進行接入認(rèn)證����;402、 移動臺獲取訪問網(wǎng)絡(luò)的CoA地址����,并獲取家鄉(xiāng)代理的地址;403 �、移動臺發(fā)送IKE的第 一階段IKE—SA—INIT交換請求消息,并帶上承 載著HoA請求的CP栽荷�;為保證安全性,在IKE載荷中加入IDi和AUTH 載荷����,前者表明移動臺身份,后者提供了對身份和整條消息的完整性保護��;404��、 家鄉(xiāng)代理如杲?jīng)]有與移動臺的預(yù)共享密鑰�,則向家鄉(xiāng)AAA服務(wù)器 請求預(yù)共享密鑰,具體為家鄉(xiāng)代理發(fā)送攜帶移動臺的身份信息IDi的接入請 求消息(Access-Request/IDi)給家鄉(xiāng)AAA服務(wù)器����;405���、 家鄉(xiāng)八AA服務(wù)器向家鄉(xiāng)代理下發(fā)攜帶預(yù)共享密鑰和家鄉(xiāng)AAA服務(wù) 器內(nèi)保存的移動臺身份信息的4妻入確認(rèn)消息(Access-Accept/pre-shared key );406 、家鄉(xiāng)代理驗證完移動臺的身份之后����,把自己的身份和認(rèn)證數(shù)據(jù)也放 在IDr和AUTH載荷中,并在所述第 一階段IKE—SAJNIT交換消息的回應(yīng)消 息的CP載荷中攜帶HoA信息發(fā)送給移動臺�;407 、移動臺發(fā)送IKE—AUTH交換的請求�,并協(xié)商CHILD—SA;408、 家鄉(xiāng)代理在IKE一AUTH交換的回應(yīng)消息中返回協(xié)商結(jié)果�����;409�����、 移動臺收到返回協(xié)商結(jié)果后�����,CHILD—SA建立完成�,可以進行BU/BA及后續(xù)通信��。本實施方式類似上述第一實施方式,所不同之處在于本實施方式是通過 IKE載荷攜帶IDi和AUTH載荷�����,而上述第一實施方式是在IP擴展頭攜帶相
應(yīng)信息����。同理,本實施方式在移動接入的自舉與安全聯(lián)盟建立合并流程中提前獲取HoA��,即在IKE SA—INIT交換請求中攜帶HoA的請求���,家鄉(xiāng)代理收到包 含HoA請求的IKE SA — INIT交換請求消息后^是前下發(fā)HoA給移動臺���,以便 在IKE AUTH交換中建立CHILD—SA,從而減少建立安全4關(guān)盟的步驟���,讓移 動臺快速4妻入網(wǎng)絡(luò)����。另外��,本實施方式也提供技術(shù)保證獲取HoA時的安全性�����,具體是利用 1KE SA INIT交換請求消息的IKE載荷攜帶IDi和AUTH,為IKE—SA INIT 消息提供了完整性保護和對移動臺身份進行身份認(rèn)證�����,從而確保HoA分配給正確的移動臺,�����,本發(fā)明還提供一種移動通信接入系統(tǒng)���,包括移動臺510�����、家鄉(xiāng)代理520以 及家鄉(xiāng)AAA服務(wù)器530。所述移動臺510包括第一階段交換請求消息生成單 元512和安全信息生成單元511�����。所述家鄉(xiāng)代理520包括HoA信息生成單元 521��。所述移動臺510的第一階段交換請求消息生成單元512用于在所述 IKE SAJNIT交換請求的CP載荷中生成HoA請求�����,在移動性接入網(wǎng)絡(luò)時移 動臺510上傳攜帶所述HoA請求的IKE—SA—INIT交換請求消息到家鄉(xiāng)代理 520 所述安全信息生成單元511用于在IKE—SA—INIT交換請求中加入移動臺 身份信息和AUTH載荷。加入移動臺身份信息和AUTH載荷的途徑有兩種���, 分別是在IKE—SA INIT交換請求的IP擴展頭上加入移動臺身份信息和AUTH載荷��?����;蛘咴贗KESA—INIT交換請求的IKE載荷上加入移動臺身份信息和 AUTH載荷�。家鄉(xiāng)代理520收到所述IKE—SAJNIT交換請求后����,發(fā)送攜帶移動臺身份 信息的接入請求到家鄉(xiāng)AAA服務(wù)器530。家鄉(xiāng)AAA服務(wù)器530內(nèi)保存有對應(yīng) 的移動臺身份信息��,并且下發(fā)所述保存的移動臺身份信息和預(yù)共享密鑰到家鄉(xiāng) 代理520�����。
所述家鄉(xiāng)代理520在對移動臺510身份進行認(rèn)證后�����,其HoA信息生成單 元521在IKE消息中的CP載荷承載中生成HoA信息,并返回攜帶家鄉(xiāng)代理 520身份信息和AUTH栽荷的IKE消息給移動臺510,以便于和移動臺510進 行IKE AUTH交換以建立CHILD—SA����。在建立安全聯(lián)盟后,移動臺510可以進行綁定更新以及后續(xù)的通信進程�����。從以上可以看出��,本發(fā)明采用第一階段交換請求消息生成單元512在移動 接入的IKE—SA —INIT交換請求消息中生成HoA請求信息�,通知家鄉(xiāng)代理520 提前下發(fā)HoA給移動臺510,以便在IKE—AUTH交換中建立CHILD SA,從 而減少建立安全聯(lián)盟的步驟�����,讓移動臺510快速接入網(wǎng)絡(luò)�。另夕卜,本發(fā)明為了保證獲取HoA時的安全性�����,采用安全信息生成單元511 在所述IKE SA INIT交換請求消息中生成移動臺身份信息和AUTH載荷�,為 IKE SAJNIT消息提供了完整性保護和對移動臺510身份進行身份認(rèn)證�,從 而確保HoA分配全合正確的移動臺510��。以上對本發(fā)明所提供的一種移動通信接入方法和系統(tǒng)進行了詳細(xì)介紹����,本 文中應(yīng)用了具體個例對本發(fā)明的原理及實施方式進行了闡述���,以上實施例的說 明只是用于幫助理解本發(fā)明的方法及其核心思想��;同時�����,對于本領(lǐng)域的一般技 術(shù)人員����,依據(jù)本發(fā)明的思想����,在具體實施方式
及應(yīng)用范圍上均會有改變之處, 綜上所述���,本說明書內(nèi)容不應(yīng)理解為對本發(fā)明的限制����。
權(quán)利要求
1.一種移動通信接入方法,其特征在于���,包括步驟上傳攜帶HoA請求的請求消息到家鄉(xiāng)代理�����,所述請求消息是因特網(wǎng)密鑰交換協(xié)議的第一階段交換請求消息���;下發(fā)攜帶HoA信息的回應(yīng)消息給移動臺,所述回應(yīng)消息是因特網(wǎng)密鑰交換協(xié)議的第一階段交換請求回應(yīng)消息�����;進行因特網(wǎng)密鑰交換協(xié)議的第二階段交換以建立子安全聯(lián)盟���。
2. 根據(jù)權(quán)利要求1所述的移動通信接入方法�,其特征在于���,所述HoA請 求通過所述第 一階段交換請求消息中的配置載荷承載�。
3. 根據(jù)權(quán)利要求1所述的移動通信接入方法�,其特征在于�����,所述HoA信 息通過返回移動臺的所述第一階段交換請求回應(yīng)中的配置載荷承載。
4. 根據(jù)權(quán)利要求1至3任一項所述的移動通信接入方法��,其特征在于����,在 下發(fā)攜帶HoA信息的因特網(wǎng)密鑰交換協(xié)議的第一階段交換請求回應(yīng)消息之前 進一步包括步驟驗證所述移動臺的身份。
5. 根據(jù)權(quán)利要求4所述的移動通信接入方法����,其特征在于,所述驗證移動 臺的身份的步驟包括子步驟家鄉(xiāng)代理發(fā)送移動臺的身份信息給家鄉(xiāng)AAA服務(wù)器�����;比較家鄉(xiāng)AAA服務(wù)器保存的移動臺身份信息與上傳的移動臺身份信息���, 以驗證移動臺是否合法。
6. 根據(jù)權(quán)利要求5所述的移動通信接入方法�,其特征在于,所述移動臺身 份信息通過IKE—SA INIT交換請求的IP擴展頭上傳給家鄉(xiāng)代理�,而且��,在下 發(fā)攜帶HoA信息的回應(yīng)消息給移動臺時����,通過所述第一階段交換請求回應(yīng)消 息的IP擴展頭將家鄉(xiāng)代理的身份信息下發(fā)給移動臺�����。
7. 根據(jù)權(quán)利要求6所述的移動通信接入方法��,其特征在于�����,在所述上傳給 家鄉(xiāng)代理的IP擴展頭中攜帶認(rèn)證載荷���,而且�,在所述驗證移動臺的身份的步 驟中進一步包括子步驟下發(fā)預(yù)共享密鑰給家鄉(xiāng)代理的����。
8. 根據(jù)權(quán)利要求5所述的移動通信接入方法,其特征在于��,所述移動臺身 份信息通過所述第 一階段交換請求消息中的因特網(wǎng)密鑰交換協(xié)議載荷上傳給家鄉(xiāng)代理�����,而且,在下發(fā)攜帶HoA信息的回應(yīng)消息給移動臺時�,通過所述回應(yīng)消息的因特網(wǎng)密鑰交換協(xié)議栽荷將家鄉(xiāng)代理的身份信息下發(fā)給移動臺。
9. 根據(jù)權(quán)利要求8所述的移動通信接入方法���,其特征在于,在所述上傳給 家鄉(xiāng)代理的因特網(wǎng)密鑰交換協(xié)議載荷中攜帶認(rèn)證載荷����,而且,在所述驗證移動 臺的身份的步驟中進一步包括子步驟下發(fā)預(yù)共享密鑰給家鄉(xiāng)代理����。
10. —種移動通信接入系統(tǒng),包括移動臺和家鄉(xiāng)代理��,其特征在于����,所 述移動臺包括第一階段交換請求消息生成單元,該單元用于在發(fā)送給家鄉(xiāng)代理 的因特網(wǎng)密鑰交換協(xié)議第一階段交換請求消息的配置載荷中生成HoA請求��, 所述家鄉(xiāng)代理包括HoA信息生成單元�,該單元用于在因特網(wǎng)密鑰交換協(xié)議的 第 一階段交換請求回應(yīng)消息中的配置載荷承載中生成HoA信息�����。
11. 根據(jù)權(quán)利要求10所述的移動通信接入系統(tǒng)�,其特征在于����,進一步包 括家鄉(xiāng)AAA服務(wù)器,所述移動臺進一步包括安全信息生成單元��,所述安全信 息生成單元用于在所述第 一 階段交換請求消息中加入移動臺身份信息和認(rèn)證 載荷���,在觸發(fā)家鄉(xiāng)代理和家鄉(xiāng)AAA服務(wù)器之間的驗證進程后���,所述家鄉(xiāng)代理 返回攜帶其身份信息和認(rèn)證載荷的因特網(wǎng)密鑰交換協(xié)議的第 一階段交換請求 回應(yīng)消息給移動臺。
12. 根據(jù)權(quán)利要求11所述的移動通信接入系統(tǒng)�,其特征在于,所述安全 信息生成單元具體用于在所述第一階段交換請求消息的IP擴展頭或因特網(wǎng)密 鑰交換協(xié)議載荷上上加入移動臺身份信息和認(rèn)證載荷���。
全文摘要
本發(fā)明公開一種移動通信接入方法及其系統(tǒng)����,所述方法包括步驟上傳攜帶HoA請求的IKE的IKE_SA_INIT交換請求消息到家鄉(xiāng)代理����;下發(fā)攜帶HoA信息的IKE消息給移動臺�����;進行IKE_AUTH交換以建立CHILD_SA�。本發(fā)明可以加快移動性接入過程中的安全聯(lián)盟建立過程����,減輕網(wǎng)絡(luò)側(cè)負(fù)擔(dān)�。
文檔編號H04W12/06GK101150846SQ20061015230
公開日2008年3月26日 申請日期2006年9月21日 優(yōu)先權(quán)日2006年9月21日
發(fā)明者斌 夏, 萌 梁, 鄒國輝 申請人:華為技術(shù)有限公司