專利名稱:用于提供移動性密鑰的方法和服務(wù)器的制作方法
用于提供移動性密鑰的方法和服務(wù)器
本發(fā)明涉及用于為移動無線電網(wǎng)絡(luò)的歸屬代理提供用以對移動性 信令消息進(jìn)行密碼保護(hù)的移動性密鑰的方法和代理服務(wù)器。
利用TCP/IP協(xié)議的因特網(wǎng)為開發(fā)移動領(lǐng)域的更高協(xié)議而提供平 臺����。因?yàn)橐蛱鼐W(wǎng)協(xié)議廣泛普及���,所以可以利用用于移動環(huán)境的相應(yīng)協(xié) 議擴(kuò)展來開辟廣大的用戶圈。但常規(guī)的因特網(wǎng)協(xié)議最初并非針對移動 應(yīng)用被構(gòu)思的���。在常規(guī)因特網(wǎng)的分組交換中,所述分組在固定的計(jì)算 機(jī)之間被交換��,所述固定的計(jì)算機(jī)既不改變其網(wǎng)絡(luò)地址���,又不在不同 的子網(wǎng)之間移動���。在具有移動計(jì)算機(jī)的無線電網(wǎng)絡(luò)中,移動計(jì)算機(jī)MS 經(jīng)常被內(nèi)連到不同的網(wǎng)絡(luò)中�。DHCP(動態(tài)主機(jī)配置協(xié)議(Dynamic Host Configuration Protocol))允許借助相應(yīng)的服務(wù)器將IP地址和其它配置 參數(shù)動態(tài)地分配給網(wǎng)絡(luò)中的計(jì)算機(jī)。內(nèi)連到網(wǎng)絡(luò)中的計(jì)算機(jī)通過DHCP 協(xié)議自動地被分配得到自由的IP地址�。如果移動計(jì)算機(jī)已安裝了 DHCP,則該移動計(jì)算機(jī)只須進(jìn)入通過DHCP協(xié)議支持配置的本地網(wǎng)絡(luò) 的有效范圍內(nèi)。在DHCP協(xié)議情況下����,動態(tài)的地址分配是可能的,也就 是i兌��,對于確定的時(shí)間,自由的IP地址自動地被分配����。在經(jīng)過所述時(shí) 間之后,必須由移動計(jì)算機(jī)重新提出詢問或者可以以其它方式分配IP 地址�����。
利用DHCP�����,移動計(jì)算機(jī)在無需手動配置的情況下可以被內(nèi)連到網(wǎng) 絡(luò)中���。作為前提條件�,僅僅DHCP服務(wù)器必須可供使用�����。因此移動計(jì)算 機(jī)可以使用本地網(wǎng)絡(luò)服務(wù)并且例如可使用在中央所存儲的文件����。但如 果移動計(jì)算機(jī)自身提供服務(wù),則潛在的服務(wù)用戶不能找到該移動計(jì)算 機(jī)��,因?yàn)樵撘苿佑?jì)算機(jī)的IP地址在該移動計(jì)算機(jī)所內(nèi)連到的每個(gè)網(wǎng)絡(luò) 中都發(fā)生變化。如果IP地址在已有的TCP連接期間改變����,則同樣的情 況發(fā)生。這導(dǎo)致連接中斷��。因此在移動IP的情況下��,移動計(jì)算機(jī)被分 配得到該移動計(jì)算機(jī)也保留在另一網(wǎng)絡(luò)中的IP地址��。在常規(guī)的IP網(wǎng)絡(luò) 轉(zhuǎn)變的情況下�����,需要相應(yīng)地匹配IP地址設(shè)定����。但在終端設(shè)備上的IP和 路由配置的持續(xù)匹配幾乎無法手動實(shí)現(xiàn)��。在常規(guī)的自動配置機(jī)制情況 下�����,已有的連接在IP地址轉(zhuǎn)變時(shí)被中斷����。MIP協(xié)議(RFC 2002��、 RFC 2977��、 RFC 3344���、 RFC 3846、 RFC 3957���、 RFC 3775�、 RFC 3776�����、 RFC4285)支持移動終端設(shè)備的移動性���。在常規(guī)的IP協(xié)議的情況下����,移動 終端設(shè)備在每次轉(zhuǎn)變IP子網(wǎng)時(shí)必須匹配其IP地址����,以便正確地對向移 動終端設(shè)備尋址的數(shù)據(jù)分組進(jìn)行路由�。為了維持已有的TCP連接���,移 動終端設(shè)備必須保持其IP地址�����,因?yàn)榈刂忿D(zhuǎn)變導(dǎo)致連接中斷���。MIP協(xié) 議通過允許移動終端設(shè)備或移動節(jié)點(diǎn)(MN)具有兩個(gè)IP地址而消除這 種沖突。MIP協(xié)i義可以實(shí)現(xiàn)在兩個(gè)地址���、即永久歸屬地址 (Home-Adresse )和笫二臨時(shí)轉(zhuǎn)交地址(Care-of-Adresse )之間的透 明連接。轉(zhuǎn)交地址是IP地址����,其中在該IP地址下,移動終端設(shè)備當(dāng)前 是可達(dá)的����。
只要移動終端設(shè)備不停留在最初的歸屬網(wǎng)絡(luò)中,則歸屬代理 (Home Agent)是移動終端設(shè)備的代理(Stellvertreter )��。歸屬代理 持續(xù)地被通知關(guān)于移動計(jì)算機(jī)的當(dāng)前停留位置��。歸屬代理通常是移動 終端設(shè)備的歸屬網(wǎng)絡(luò)中的路由器的組件。如果移動終端設(shè)備處于歸屬 網(wǎng)絡(luò)之外���,則歸屬代理提供一種功能���,以便移動終端設(shè)備可以登錄。 于是歸屬代理將向移動終端設(shè)備尋址的數(shù)據(jù)分組轉(zhuǎn)發(fā)至移動終端設(shè)備 的當(dāng)前子網(wǎng)中����。
外部代理(Foreign Agent)處于子網(wǎng)中,其中所述移動終端設(shè)備 在所述子網(wǎng)中移動����。外部代理將到達(dá)的數(shù)據(jù)分組轉(zhuǎn)發(fā)至移動終端設(shè)備 或移動計(jì)算機(jī)。外部代理處于所謂的外部網(wǎng)絡(luò)(受訪網(wǎng)絡(luò)(Visited Network))中���。外部代理同樣通常是路由器的組件�。外部代理在移動 終端設(shè)備與其歸屬代理之間路由所有管理性移動數(shù)據(jù)分組��。外部代理 對由歸屬代理以隧道方式(getunnelt)所發(fā)送的IP數(shù)據(jù)分組進(jìn)行解包�����, 并將其數(shù)據(jù)轉(zhuǎn)發(fā)至移動終端設(shè)備。
移動終端設(shè)備的歸屬地址是以下地址�,其中所述移動終端設(shè)備在 該地址下永久可達(dá)。歸屬地址具有與歸屬代理相同的地址前綴�。轉(zhuǎn)交
地址是移動終端設(shè)備在外部網(wǎng)絡(luò)中所使用的該IP地址。
歸屬代理維護(hù)所謂的移動性綁定表(MBT: Mobility Binding Table)�。所述表中的項(xiàng)用于相互分配移動終端設(shè)備的兩個(gè)地址、即歸 屬地址和轉(zhuǎn)交地址�,并相應(yīng)地轉(zhuǎn)移數(shù)據(jù)分組。MBT表含有關(guān)于歸屬地 址��、轉(zhuǎn)交地址的項(xiàng)和關(guān)于所述分配有效的時(shí)間間隔(壽命)的i兌明���。 圖l示出根據(jù)現(xiàn)有技術(shù)的移動性綁定表的實(shí)例����。
外部代理(FA)含有訪客列表(VL: Visitor List)����,該訪客列表含有關(guān)于恰好處于外部代理的IP網(wǎng)絡(luò)中的移動終端設(shè)備的信息�。圖2示 出根據(jù)現(xiàn)有技術(shù)的這種訪客列表的實(shí)例。
為了可以將移動計(jì)算機(jī)內(nèi)連到網(wǎng)絡(luò)中�,所述移動計(jì)算機(jī)必須首先 設(shè)法知道所述移動計(jì)算機(jī)是處于其歸屬網(wǎng)絡(luò)中還是外部網(wǎng)絡(luò)中。移 動終端設(shè)備還必須設(shè)法知道子網(wǎng)中的哪個(gè)計(jì)算機(jī)是歸屬代理或外部代 理���。這些信息通過所謂的代理發(fā)現(xiàn)(Agent Discovery)來確定�。
通過隨后的注冊,移動終端設(shè)備可以將其當(dāng)前所在地通知給其歸 屬代理�。為此,移動計(jì)算機(jī)或移動終端設(shè)備將當(dāng)前的轉(zhuǎn)交地址發(fā)送給 歸屬代理���。為了注冊���,移動計(jì)算機(jī)將注冊請求(Registration-Request) 發(fā)送至歸屬代理。歸屬代理(HA)將轉(zhuǎn)交地址記錄到其列表中�,并利 用注冊應(yīng)答(Registration Reply)來應(yīng)答。但在這種情況下產(chǎn)生安全 問題�。因?yàn)樵瓌t上每個(gè)計(jì)算機(jī)都可以向歸屬代理發(fā)送注冊請求,所以 可以以簡單的方式給歸屬代理假象計(jì)算機(jī)已移動到另一網(wǎng)絡(luò)中���。因
此外部計(jì)算機(jī)可能會在發(fā)送器不知情的情況下接受移動計(jì)算機(jī)或移動 終端設(shè)備的所有數(shù)據(jù)分組�。為了防止這一點(diǎn)��,移動計(jì)算機(jī)和歸屬代理 具有公共秘密密鑰��。如果移動計(jì)算機(jī)返回到其歸屬網(wǎng)絡(luò)中���,則該移動 計(jì)算機(jī)在歸屬代理處注銷�����,因?yàn)橐苿佑?jì)算機(jī)從現(xiàn)在起可以自身接受所 有的數(shù)據(jù)分組�����。移動無線電網(wǎng)絡(luò)此外必須具有如下安全性特性���。只允 許針對所希望的通信方訪問信息����,也就是說����,所不希望的竊聽者不允 許訪問所傳輸?shù)臄?shù)據(jù)。因此移動無線電網(wǎng)絡(luò)必須具有機(jī)密性 (Confidentiality)特性��。此外必須存在真實(shí)性����。真實(shí)性(Authenticity) 允許通信方毫無疑問地確定,是否實(shí)際上建立了與所希望的通信方的 通信�,或者是否外部方冒充通信方�?���?梢詫γ總€(gè)消息或每個(gè)連接執(zhí)行 鑒權(quán)����。如果基于連接被鑒權(quán),則在通信方開始會話(Session)時(shí)只被 識別一次�����。于是對于會話的繼續(xù)過程來說認(rèn)為���,隨后的消息繼續(xù)來自 于相應(yīng)的發(fā)送器���。即使通信方的標(biāo)識(Identity)確定了 ,也就是說�����, 通信方被鑒權(quán)�,也可能出現(xiàn)以下情況該通信方不允許訪問所有的資 源或者不允許使用所有關(guān)于網(wǎng)絡(luò)的服務(wù)。在這種情況下�����,相應(yīng)的授權(quán) 以先前對通信方的鑒權(quán)為前提。
在移動數(shù)據(jù)網(wǎng)絡(luò)的情況下�,消息必須經(jīng)由空中接口經(jīng)過較長的路 段,并且因此對于潛在的攻擊者來說是輕易可達(dá)的�����,因此在移動的和 無線的數(shù)據(jù)網(wǎng)絡(luò)的情況下����,安全性方面起特殊的作用。用于提高數(shù)據(jù)網(wǎng)絡(luò)中的安全性的重要手段是加密技術(shù)���。通過加密能夠經(jīng)由不安全的 通信通路�����、例如經(jīng)由空中接口傳輸數(shù)據(jù)�,而不使未被授權(quán)的第三方訪
問數(shù)據(jù)���。為了加密�,數(shù)據(jù)��、即所謂的明碼文本(Klartext)借助于加密 算法被轉(zhuǎn)換成密碼文本����。經(jīng)加密的文本可以經(jīng)由不安全的數(shù)據(jù)傳輸信 道傳輸并且接著被解密或譯解。
作為大有希望的無線接入技術(shù)�,建議WiMax (全球微波接入互操 作性)作為新標(biāo)準(zhǔn),該新標(biāo)準(zhǔn)為無線電傳輸而使用IEEE 802.16,在 WiMax的情況下���,利用發(fā)送站應(yīng)該將超過每秒100Mbit的數(shù)據(jù)速率供應(yīng) 給高達(dá)50km的范圍����。
圖3示出WiMax無線電網(wǎng)絡(luò)的參考模型�����。移動終端設(shè)備MS位于接 入網(wǎng)絡(luò)(ASN:接入服務(wù)網(wǎng)絡(luò)(Access Serving Network))的范圍內(nèi)�。 接入網(wǎng)絡(luò)ASN通過至少一個(gè)受訪網(wǎng)絡(luò)(受訪連接性服務(wù)網(wǎng)絡(luò)VCSN (Visited Connectivity Service Network ))或中間網(wǎng)絡(luò)與歸屬網(wǎng)絡(luò) HCSN (歸屬連接性服務(wù)網(wǎng)絡(luò)(Home Connectivity Service Network)) 相連接。不同的網(wǎng)絡(luò)通過接口或參考點(diǎn)R相互連接��。移動站MS的歸屬 代理HA位于歸屬網(wǎng)絡(luò)HCSN中或者受訪網(wǎng)絡(luò)VCSN之一 中���。
WiMax支持移動IP的兩種實(shí)現(xiàn)變型方案所謂的客戶端MIP (CMIP)和代理MIP (PMIP),其中在所述客戶端MIP中�,移動站 自身實(shí)現(xiàn)MIP客戶端功能����,在所述代理MIP中����,MIP客戶端功能通過 WiMax接入網(wǎng)絡(luò)來實(shí)現(xiàn)�。為此設(shè)置在ASN中的功能性稱為代理移動節(jié) 點(diǎn)(PMN, Proxy Mobile Node)或PMIP客戶端�。由此還可以利用本身 不支持MIP的移動站來使用MIP 。
圖4示出根據(jù)現(xiàn)有技術(shù)在歸屬代理處于受訪網(wǎng)絡(luò)中時(shí)在代理MIP 情況下的連接建立��。
當(dāng)在移動終端設(shè)備和基站之間建立無線電連接之后��,首先進(jìn)行接 入鑒權(quán)����。鑒權(quán)、授權(quán)和計(jì)賬的功能借助于所謂的AAA服務(wù)器(AAA: 鑒權(quán)�����、授權(quán)和計(jì)費(fèi))來實(shí)現(xiàn)���。在移動終端設(shè)備MS和歸屬網(wǎng)絡(luò)的AAA服 務(wù)器(HAAA)之間交換鑒權(quán)消息����,借助于所述鑒權(quán)消息得到歸屬代理 的地址和鑒權(quán)密鑰。歸屬網(wǎng)絡(luò)中的鑒權(quán)服務(wù)器含有用戶的配置文件數(shù) 據(jù)(Profildaten ) �。 AAA服務(wù)器獲得鑒權(quán)詢問消息,所述鑒權(quán)詢問消息 含有移動終端設(shè)備的用戶標(biāo)識��。在接入鑒權(quán)成功之后�,AAA服務(wù)器產(chǎn) 生MSK密鑰(MSK:主會話密鑰(Master Session Key))用于保護(hù)移動終端設(shè)備MS和接入網(wǎng)絡(luò)ASN的基站之間的數(shù)據(jù)傳輸路段。所述MSK 密鑰從歸屬網(wǎng)絡(luò)的AAA服務(wù)器通過中間網(wǎng)絡(luò)CSN被傳輸至接入網(wǎng)絡(luò) ASN�。
如在圖4中可見���,在接入鑒權(quán)之后配置接入網(wǎng)絡(luò)ASN中的DHCP代 理服務(wù)器�����。如果IP地址和主機(jī)配置已經(jīng)包含在AAA應(yīng)答消息中�,則將 整個(gè)信息下載到DHCP代理服務(wù)器中����。
在成功鑒權(quán)和授權(quán)之后,移動站或移動終端設(shè)備MS發(fā)送DHCP發(fā) 現(xiàn)消息并進(jìn)行IP地址分配����。
如果接入網(wǎng)絡(luò)ASN既支持PMIP、又支持CMIP移動性���,則外部代 理通知ASN切換(Handover)功能�,其方式是,所述接入網(wǎng)絡(luò)ASN發(fā) 送R3移動性上下文消息��。在只支持PMIP的網(wǎng)絡(luò)的情況下��,可以省去此 點(diǎn)��。在讀出歸屬地址之后��,該歸屬地址孝皮轉(zhuǎn)發(fā)至PMIP客戶端���。
接下來進(jìn)行MIP注冊����。在注冊時(shí)����,將移動終端設(shè)備的當(dāng)前所在地 通知給歸屬代理。為了注冊���,移動計(jì)算機(jī)將含有當(dāng)前的轉(zhuǎn)交地址的注 冊請求發(fā)送至歸屬代理����。歸屬代理將轉(zhuǎn)交地址記錄到由其所管理的列 表中,并利用注冊應(yīng)答(Registration R印ley)來應(yīng)答���。因?yàn)樵瓌t上每 個(gè)計(jì)算機(jī)都可以向歸屬代理發(fā)送注冊請求����,所以可以以簡單的方式給
歸屬代理假象計(jì)算機(jī)已移動到另一網(wǎng)絡(luò)中�����。為了防止這一點(diǎn)�,不僅 移動計(jì)算機(jī)而且歸屬代理都具有公共秘密密鑰��、即MIP密鑰���。如果歸 屬代理(HA)不認(rèn)識MIP密鑰�,則所述歸屬代理設(shè)立所述MIP密鑰��,為 此所述歸屬代理與歸屬AAA服務(wù)器通信����。
在圖4中所示的連接建立結(jié)束之后,移動終端設(shè)備已獲得歸屬地址 并在歸屬代理處注冊����。
但如果歸屬AAA服務(wù)器不提供由WiMax協(xié)議所期望的屬性或數(shù) 據(jù)��,則圖4中所示的連接建立是不可能的����。如果歸屬AAA服務(wù)器例如是 3GPP服務(wù)器或者不支持WiMax交互工作的其它AAA服務(wù)器��,則該歸屬 AAA服務(wù)器不能夠提供對于MIP注冊所必需的數(shù)據(jù)屬性�、特別是歸屬 地址和密碼密鑰。因此歸屬代理HA不獲得MIP密鑰(MSK:主會話密 鑰)并拒絕用戶��。
因此本發(fā)明的任務(wù)在于�,提出一種用于為移動無線電網(wǎng)絡(luò)提供移 動性密鑰的方法,其中歸屬網(wǎng)絡(luò)的鑒權(quán)服務(wù)器不支持MIP注冊�。
根據(jù)本發(fā)明,所述任務(wù)通過具有在權(quán)利要求l中所說明的特征的方法得以解決��。
本發(fā)明提出 一種用于為歸屬代理提供至少 一個(gè)用以對移動性信令
消息進(jìn)行密碼保護(hù)的移動性密鑰的方法����,該方法具有如下步驟,即
-在移動用戶終端設(shè)備和接入網(wǎng)絡(luò)之間建立無線電連接���,其中中 間網(wǎng)絡(luò)的用于對用戶進(jìn)行鑒權(quán)的鑒權(quán)代理服務(wù)器在所述接入網(wǎng)絡(luò)和用 戶的歸屬網(wǎng)絡(luò)之間轉(zhuǎn)發(fā)含有用戶標(biāo)識的至少一個(gè)鑒權(quán)消息�,且在鑒權(quán) 成功時(shí)通過所述歸屬網(wǎng)絡(luò)的鑒權(quán)服務(wù)器分別存儲用戶標(biāo)識;
-通過所述歸屬代理接收來自于用戶終端設(shè)備的含有用戶標(biāo)識的 注冊詢問消息���;
-將移動性密鑰的密鑰詢問消息從所述歸屬代理發(fā)送至所屬的鑒 權(quán)代理服務(wù)器�����,其中所述密鑰詢問消息含有在所述注冊詢問消息中所 包含的用戶標(biāo)識�;和
-如果在所述密鑰詢問消息中所含有的用戶標(biāo)識與通過所述鑒權(quán) 代理服務(wù)器所存儲的用戶標(biāo)識之——致���,則通過所述鑒權(quán)代理服務(wù)器 為所述歸屬代理提供移動性密鑰�。
在本發(fā)明方法的一種優(yōu)選實(shí)施形式中���,通過所述鑒權(quán)代理服務(wù)器 以隨機(jī)的方式產(chǎn)生所述移動性密鑰����。
在本發(fā)明方法的一種優(yōu)選實(shí)施形式中�,在鑒權(quán)成功時(shí)�,所述歸屬 網(wǎng)絡(luò)的鑒權(quán)服務(wù)器經(jīng)由所述鑒權(quán)代理服務(wù)器將在鑒權(quán)消息中所含有的 MSK密鑰傳輸至所述接入網(wǎng)絡(luò)的鑒權(quán)客戶端。
在本發(fā)明方法的一種替代實(shí)施形式中��,所述移動性密鑰不是通過 所述鑒權(quán)代理服務(wù)器隨機(jī)產(chǎn)生�,而是通過所述鑒權(quán)代理服務(wù)器從所傳 輸?shù)腗SK密鑰中導(dǎo)出���。
在本發(fā)明方法的一種實(shí)施形式中,所述移動性密鑰形成所傳輸?shù)?MSK密鑰的一部分��。
在本發(fā)明方法的一種替代實(shí)施形式中�,所述移動性密鑰與所傳輸 的MSK密鑰相同。
在本發(fā)明方法的一種實(shí)施形式中�,根據(jù)半徑數(shù)據(jù)傳輸協(xié)議來傳輸 所述鑒權(quán)消息。
在本發(fā)明方法的一種替代實(shí)施形式中��,根據(jù)直徑數(shù)據(jù)傳輸協(xié)議來 傳輸所述鑒權(quán)消息���。
在本發(fā)明方法的一種優(yōu)選實(shí)施形式中����,所述接入網(wǎng)絡(luò)由WiMax接入網(wǎng)絡(luò)ASN構(gòu)成��。
在本發(fā)明方法的一種優(yōu)選實(shí)施形式中�,所述中間網(wǎng)絡(luò)由WiMax中 間網(wǎng)絡(luò)CSN構(gòu)成。
在本發(fā)明方法的第一實(shí)施形式中�����,所述歸屬網(wǎng)絡(luò)是3GPP網(wǎng)絡(luò)�。
在本發(fā)明方法的一種替代實(shí)施形式中��,所述歸屬網(wǎng)絡(luò)由為WLAN 用戶提供AAA基礎(chǔ)設(shè)施的網(wǎng)絡(luò)(WLAN網(wǎng)絡(luò))構(gòu)成���。
在本發(fā)明方法的一種優(yōu)選實(shí)施形式中,所述用戶標(biāo)識由網(wǎng)絡(luò)接入 標(biāo)識符NAI (網(wǎng)絡(luò)接入標(biāo)識符(Network Access Identifier ))構(gòu)成����。
在本發(fā)明方法的一種替代實(shí)施形式中,所述用戶標(biāo)識由用戶的歸 屬地址構(gòu)成�。
在本發(fā)明方法的一種優(yōu)選實(shí)施形式中,所述移動性密鑰還被提供 給所述接入網(wǎng)絡(luò)的PMIP客戶端����。
在本發(fā)明方法的一種優(yōu)選實(shí)施形式中,多個(gè)中間網(wǎng)絡(luò)位于所述接 入網(wǎng)絡(luò)和所述歸屬網(wǎng)絡(luò)之間����。
在本發(fā)明方法的第一實(shí)施形式中,所述歸屬代理位于所述歸屬網(wǎng) 絡(luò)中�����。
在本發(fā)明方法的一種替代實(shí)施形式中��,所述歸屬代理位于所述中 間網(wǎng)絡(luò)之一中�。
在本發(fā)明方法的第一實(shí)施形式中,所述鑒權(quán)代理服務(wù)器設(shè)置在所 述歸屬網(wǎng)絡(luò)中�����。
在本發(fā)明方法的一種替代實(shí)施形式中�,所述鑒權(quán)代理服務(wù)器設(shè)置 在所述中間網(wǎng)絡(luò)之一 中。
本發(fā)明還提出一種用于提供移動性密鑰用以對移動性信令消息進(jìn) 行密碼保護(hù)的鑒權(quán)代理服務(wù)器��,其中在對用戶成功鑒權(quán)之后�����,所述鑒 權(quán)代理服務(wù)器分別存儲其用戶標(biāo)識且如果在所述密鑰詢問消息中所含 有的用戶標(biāo)識與所存儲的用戶標(biāo)識之——致���,則在從歸屬代理接收到 移動性密鑰的密鑰詢問消息之后提供移動性密鑰���。
為了闡述本發(fā)明主要特征,下面參照
本發(fā)明方法和本發(fā) 明鑒權(quán)代理服務(wù)器的優(yōu)選實(shí)施形式�。
圖l示出根據(jù)現(xiàn)有技術(shù)的移動性綁定表的實(shí)例;
圖2示出根據(jù)現(xiàn)有技術(shù)的訪客列表的實(shí)例�����;
圖3示出WiMax無線電網(wǎng)絡(luò)的參考網(wǎng)絡(luò)結(jié)構(gòu)��;圖4示出在根據(jù)現(xiàn)有技術(shù)的常規(guī)WiMax網(wǎng)絡(luò)中的連接建立; 圖5示出根據(jù)本發(fā)明方法的優(yōu)選實(shí)施形式的網(wǎng)絡(luò)結(jié)構(gòu)�; 圖6示出用于說明本發(fā)明方法的工作方式的流程圖; 圖7示出用于說明本發(fā)明方法的工作方式的另一流程圖���; 圖8示出用于說明本發(fā)明方法的工作方式的圖�����。 如由圖5可見�����,移動終端設(shè)備1通過無線接口2與接入網(wǎng)絡(luò)4的基站3 連接�����。移動終端設(shè)備l是任意的移動終端設(shè)備�,例如膝上型電腦�����、PDA����、 移動電話或者其它移動終端設(shè)備。接入網(wǎng)絡(luò)4的基站3通過數(shù)據(jù)傳輸線 路5與接入網(wǎng)絡(luò)網(wǎng)關(guān)6連接�����。在接入網(wǎng)關(guān)計(jì)算機(jī)6中優(yōu)選地集成有其它功 能性�,特別是外部代理6A、 PMIP客戶端6B�、 AAA客戶端服務(wù)器6C和 DHCP代理服務(wù)器6D。外部代理6A是為移動終端設(shè)備1提供路由服務(wù)的 路由器��。對準(zhǔn)移動終端設(shè)備l的數(shù)據(jù)分組以隧道方式傳輸且被外部代理 6A解包(entpacken )���。
接入網(wǎng)絡(luò)4的網(wǎng)關(guān)6通過接口7與中間網(wǎng)絡(luò)9的計(jì)算機(jī)8連接�。計(jì)算機(jī) 8含有DHCP服務(wù)器8A���、歸屬代理8B和AAA代理服務(wù)器8C�。如果移動終 端設(shè)備l并未處于其最初的歸屬網(wǎng)絡(luò)中���,則歸屬代理8B是該移動終端設(shè) 備1的代理�。持續(xù)地將移動終端設(shè)備l的當(dāng)前停留位置通知給歸屬代理 8B��。用于移動終端設(shè)備l的數(shù)據(jù)分組首先被傳輸至該歸屬代理,且從該 歸屬代理以隧道的方式轉(zhuǎn)發(fā)至外部代理6A��。相反���,由移動終端設(shè)備l 發(fā)出的數(shù)據(jù)分組可以直接被發(fā)送至相應(yīng)的通信方��。在此�����,移動終端設(shè) 備l的數(shù)據(jù)分組含有作為發(fā)送方地址的歸屬地址���。歸屬地址具有與歸屬 代理8B相同的地址前綴、即網(wǎng)絡(luò)地址和子網(wǎng)地址����。發(fā)送至移動終端設(shè) 備1的歸屬地址的數(shù)據(jù)分組被歸屬代理8B截取,并以隧道的方式從歸屬 代理8B被傳輸至移動終端設(shè)備1的轉(zhuǎn)交地址����,并且最后在隧道的端點(diǎn) 處、即通過外部代理6A或移動終端設(shè)備自身接收����。
中間網(wǎng)絡(luò)9的計(jì)算機(jī)8通過另 一接口 IO與歸屬網(wǎng)絡(luò)12的鑒權(quán)服務(wù)器 ll連接�。歸屬網(wǎng)絡(luò)例如是用于UMTS的3GPP網(wǎng)絡(luò)��。在一種替代實(shí)施形 式中����,服務(wù)器11是WLAN網(wǎng)絡(luò)的鑒權(quán)服務(wù)器�����。圖5中所示的鑒權(quán)服務(wù)器 ll不支持MIP注冊���。
一旦計(jì)算機(jī)8的AAA代理服務(wù)器8C識別出歸屬網(wǎng)絡(luò)12的AAA服務(wù) 器11不支持MIP (CMIP/PMIP)��,則根據(jù)本發(fā)明方法為歸屬代理8B提 供用于對移動性信令消息進(jìn)行密碼保護(hù)的移動性密鑰���。例如從歸屬網(wǎng)絡(luò)12的服務(wù)器11根據(jù)AAA代理服務(wù)器8B的詢問不提供MIP屬性中,該 AAA代理服務(wù)器8B識別出缺乏CMIP/PMIP支持��。為了對移動性信令 消息進(jìn)行密碼保護(hù)�,需要用于歸屬代理8B的公共移動性密鑰(MIP密 鑰)和用于PMIP情況的移動終端設(shè)別l或者用于歸屬代理8B的/〉共移 動性密鑰和用于PMIP情況的PMIP客戶端6B。如果歸屬網(wǎng)絡(luò)12有 WiMax交互工作能力�����,則歸屬代理8B從歸屬網(wǎng)絡(luò)12的AAA服務(wù)器獲得 所述MIP密鑰。但如果如圖5中所示����,AAA服務(wù)器11不能根據(jù)歸屬代理 8B的相應(yīng)詢問提供所需要的MIP屬性,則激活本發(fā)明方法�����。如圖5中所 示的3GPP-AAA服務(wù)器11不能提供用于保護(hù)移動性信令消息的相應(yīng)密 碼密鑰����,因?yàn)樵?GPP-AAA服務(wù)器不能解譯歸屬代理8B的詢問。在本 發(fā)明方法中�,使歸屬網(wǎng)絡(luò)12的無WiMax能力的鑒權(quán)服務(wù)器ll保持不變, 并且通過AAA代理服務(wù)器8C將移動性密鑰提供給歸屬代理8B�。在已識 別出歸屬網(wǎng)絡(luò)12的鑒權(quán)服務(wù)器11不提供移動性密鑰之后,激活所謂的 代理歸屬M(fèi)IP功能性并且為所述AAA會話�,由鑒權(quán)代理服務(wù)器8C施加 本地?cái)?shù)據(jù)組。因此根據(jù)本發(fā)明�,對于PMIP/CMIP所必需的功能性并非 由歸屬網(wǎng)絡(luò)12的鑒權(quán)服務(wù)器11提供,而是通過中間網(wǎng)絡(luò)9的位于3GPP 網(wǎng)絡(luò)的鑒權(quán)服務(wù)器11和接入網(wǎng)絡(luò)4的網(wǎng)關(guān)6之間的通信路徑中的AAA代 理服務(wù)器提供�。
圖6示出在本發(fā)明方法的實(shí)施形式中用于對移動終端設(shè)備1進(jìn)行鑒 權(quán)的流程圖。
在開始步驟SO之后����,首先在步驟S1中建立移動終端設(shè)備l和接入網(wǎng) 絡(luò)4的基站3之間的無線電連接�����。接下來��,在步驟S2中通過中間網(wǎng)絡(luò)9的 鑒權(quán)代理服務(wù)器8C在接入網(wǎng)絡(luò)4和歸屬網(wǎng)絡(luò)12之間轉(zhuǎn)發(fā)鑒權(quán)消息�。所述 鑒權(quán)消息含有用于識別相應(yīng)移動終端設(shè)備l的用戶標(biāo)識���。用戶標(biāo)識例如 是網(wǎng)絡(luò)接入標(biāo)識符NAI。作為替代方案��,用戶標(biāo)識例如由移動終端設(shè)備 l的歸屬地址構(gòu)成����。由AAA代理服務(wù)器8C轉(zhuǎn)發(fā)的鑒權(quán)消息到達(dá)歸屬網(wǎng)絡(luò) 12的鑒權(quán)服務(wù)器11。于是歸屬網(wǎng)絡(luò)12的鑒權(quán)服務(wù)器11執(zhí)行對用戶的鑒 權(quán)��。如果鑒權(quán)成功�����,則鑒權(quán)服務(wù)器11經(jīng)由中間網(wǎng)絡(luò)9的鑒權(quán)代理服務(wù)器 8C將相應(yīng)的消息發(fā)送至接入網(wǎng)絡(luò)4�����。在步驟S3中,中間網(wǎng)絡(luò)9的鑒權(quán)代 理服務(wù)器8C檢查通過歸屬網(wǎng)絡(luò)12的鑒權(quán)服務(wù)器11的鑒權(quán)是否成功地 結(jié)束����。所述鑒權(quán)代理服務(wù)器8C例如從鑒權(quán)服務(wù)器11的相應(yīng)成功報(bào)告 (Success-Meldung)來識別出此點(diǎn)。如果鑒權(quán)代理服務(wù)器8C借助由歸屬網(wǎng)絡(luò)12傳輸至接入網(wǎng)絡(luò)4的消息識別出用戶的鑒權(quán)已成功結(jié)束�,則在 步驟S4中通過鑒權(quán)代理服務(wù)器8C來提取并緩存相應(yīng)的用戶標(biāo)識。
過程在步驟S5中結(jié)束����。AAA代理服務(wù)器8C因此存儲其鑒權(quán)已成功 結(jié)束的用戶或移動終端設(shè)備l的所有用戶標(biāo)識。
如從圖7可見���,如果在開始步驟S6之后歸屬代理8B在稍后時(shí)刻得到 注冊詢問消息�,則歸屬代理8B在步驟S8中將相應(yīng)的密鑰詢問消息發(fā)送 給其鑒權(quán)代理服務(wù)器8C�����。在所得到的注冊詢問消息中含有移動終端設(shè) 備l的用戶標(biāo)識�����。向鑒權(quán)代理服務(wù)器8C的�����、歸屬代理8B的隨后產(chǎn)生的相 應(yīng)密鑰詢問消息同樣含有所述用戶標(biāo)識。鑒權(quán)代理服務(wù)器8C在步驟S9 中檢查在密鑰詢問消息中所含有的用戶標(biāo)識與由所述鑒權(quán)代理服務(wù) 器8C在步驟S4中所存儲的用戶標(biāo)識之一是否一致����。只要情況如此,則 鑒權(quán)代理服務(wù)器8C在步驟S10中提供用于對移動性安全消息進(jìn)行密碼 保護(hù)的移動性密鑰�。鑒權(quán)代理服務(wù)器8C將所提供的移動性密鑰傳輸至 歸屬代理8B。優(yōu)選地����,移動密鑰還被傳輸至接入網(wǎng)絡(luò)4的鑒權(quán)客戶端服 務(wù)器6D。過程在步驟S11中結(jié)束����。
在本發(fā)明方法的第一實(shí)施形式中�����,在步驟S10中所提供的移動性密 鑰由鑒權(quán)代理服務(wù)器8C隨機(jī)產(chǎn)生���。
在一種替代實(shí)施形式中�,移動性密鑰(MIP密鑰)通過鑒權(quán)代理 服務(wù)器8C從MSK(主會話密鑰)密鑰中導(dǎo)出����,其中鑒權(quán)代理服務(wù)器8C 已將所述MSK密鑰從鑒權(quán)服務(wù)器11轉(zhuǎn)發(fā)至接入網(wǎng)絡(luò)4�����。在這種情況下����, MIP密鑰可以從MSK密鑰中按照任一密鑰導(dǎo)出函數(shù)���、例如借助于散列 (Hash)函數(shù)被導(dǎo)出�����。散列函數(shù)將任意大小的數(shù)據(jù)減小成所謂的指紋����。 這種散列函數(shù)的實(shí)例是SHA-1�。在這種情況下,最大264比特的數(shù)據(jù)被 映射成160比特��。 一種替代的散列函數(shù)是MD5���。 MD5如同SHA-1—樣將 輸入劃分成大小為500比特的塊����,并產(chǎn)生大小為128比特的散列值。
在一種替代實(shí)施形式中����,所提供的移動性密鑰通過由鑒權(quán)代理服 務(wù)器8C所接收的MSK密鑰12的一部分構(gòu)成。
在另一替代實(shí)施形式中�����,所提供的移動性密鑰與所傳輸?shù)腗SK密 鑰相同��。
在優(yōu)選實(shí)施形式中��,鑒權(quán)消息按照半徑或直徑協(xié)議傳輸����。 在本發(fā)明方法中,如果歸屬M(fèi)IP功能性不被歸屬網(wǎng)絡(luò)12支持�,則 中間網(wǎng)絡(luò)9提供該歸屬M(fèi)IP功能性��。由此可能的是����,在不支持MIP的歸屬網(wǎng)絡(luò)中、例如在3GPP網(wǎng)絡(luò)中也能夠基于MIP實(shí)現(xiàn)宏移動性 (Makromobilitat)�。在接入網(wǎng)絡(luò)4和中間網(wǎng)絡(luò)9內(nèi)使用MIP���,用以實(shí)現(xiàn) 在不同接入網(wǎng)絡(luò)4之間的切換。在外部代理6A的MIP注冊時(shí)�����,中間網(wǎng)絡(luò) 9的歸屬代理8B詢問所屬的鑒權(quán)代理服務(wù)器8C的移動性密鑰�。在這種情 況下,歸屬代理8B使用相應(yīng)的用戶標(biāo)識�、即例如網(wǎng)絡(luò)接入標(biāo)識符NAI (Network Access Identifier)或移動終端設(shè)備l的歸屬地址。如果施加 相應(yīng)的數(shù)據(jù)組����,則該密鑰詢問消息通過鑒權(quán)代理服務(wù)器8C在本地被應(yīng) 答。為了鑒權(quán)代理服務(wù)器8C能夠提供相應(yīng)的密鑰���,對所述鑒權(quán)代理服 務(wù)器8C如此設(shè)計(jì)���,使得該鑒權(quán)代理服務(wù)器解譯在歸屬網(wǎng)絡(luò)12的鑒權(quán)服 務(wù)器11和接入網(wǎng)絡(luò)4中的認(rèn)證者(Authentikator )之間在移動終端i殳備 1的鑒權(quán)期間所交換的消息。
如圖5中所示���,歸屬代理8B優(yōu)選地位于中間網(wǎng)絡(luò)9中��。在一種替代 實(shí)施形式中�����,歸屬代理8B位于歸屬網(wǎng)絡(luò)12中���。
在本發(fā)明方法的 一 種替代實(shí)施形式中���,作為移動IP功能性使用移 動IPV6[RFC3775]。
在本發(fā)明方法的一種優(yōu)選實(shí)施形式中�����,通過歸屬代理8B借助密鑰 詢問消息僅一次從鑒權(quán)代理服務(wù)器8C詢問移動性密鑰����。
利用本發(fā)明方法可以實(shí)現(xiàn)對遺留(Legacy) AAA服務(wù)器、例如用 于WiMax網(wǎng)絡(luò)的WLAN或3GPP服務(wù)器的使用����,盡管這些服務(wù)器不提供 由WiMax網(wǎng)絡(luò)所期望的CMIP/PMIP功能性。利用本發(fā)明方法���,盡管在 歸屬網(wǎng)絡(luò)12中使用遺留AAA服務(wù)器,但基于PMIP的宏移動性是可能 的。WLAN或3GPP網(wǎng)絡(luò)的網(wǎng)絡(luò)運(yùn)營商因此通常不必自身支持PMIP ��, 但可以使其客戶仍能夠?qū)崿F(xiàn)與WiMax無線電網(wǎng)絡(luò)的漫游/交互工作�。利 用本發(fā)明方法尤其可能的是,利用PMIP支持也允許終端設(shè)備不具有移 動IP WiMax交互工作的支持��,本發(fā)明方法尤其能夠?qū)崿F(xiàn)類似于當(dāng)前指 定的WLAN直接IP接入的WiMax-3GPP交互工作��。
圖8示出本發(fā)明方法的優(yōu)選實(shí)施形式的消息流圖�����。如果在接入鑒權(quán) 期間���,歸屬網(wǎng)絡(luò)(例如3GPP網(wǎng)絡(luò))的鑒權(quán)服務(wù)器不提供歸屬代理地址����, 則受訪網(wǎng)絡(luò)的鑒權(quán)服務(wù)器使用中間網(wǎng)絡(luò)的歸屬代理的歸屬地址�,并施 加狀態(tài),用于稍后通過中間網(wǎng)絡(luò)的歸屬代理8B詢問移動性密鑰����。狀態(tài) 數(shù)據(jù)含有用戶標(biāo)識。在本發(fā)明方法中取消了圖4中所示的步驟16b��、 17a, 即取消通過歸屬代理8B向歸屬網(wǎng)絡(luò)12的鑒權(quán)服務(wù)器11對移動性密鑰的詢問和所屬的應(yīng)答。在本發(fā)明方法中�,含有用戶標(biāo)識的密鑰詢問消息
通過中間網(wǎng)絡(luò)9的鑒權(quán)代理服務(wù)器8C來應(yīng)答。因此本發(fā)明的方法能夠?qū)?現(xiàn)在無歸屬網(wǎng)絡(luò)支持的情況下在WiMax網(wǎng)絡(luò)中的宏移動性管理�。
權(quán)利要求
1.用于為歸屬代理提供至少一個(gè)用以對移動性信令消息進(jìn)行密碼保護(hù)的移動性密鑰的方法,所述方法具有如下步驟(a)在移動用戶終端設(shè)備(1)和接入網(wǎng)絡(luò)(4)之間建立無線電連接��,其中中間網(wǎng)絡(luò)(9)的用于對用戶進(jìn)行鑒權(quán)的鑒權(quán)代理服務(wù)器(8C)在所述接入網(wǎng)絡(luò)(4)和用戶的歸屬網(wǎng)絡(luò)(12)之間轉(zhuǎn)發(fā)至少一個(gè)含有用戶標(biāo)識的鑒權(quán)消息�,且在鑒權(quán)成功時(shí)通過所述歸屬網(wǎng)絡(luò)(12)的鑒權(quán)服務(wù)器(11)分別存儲所述用戶標(biāo)識;(b)通過歸屬代理(8B)接收來自于用戶終端設(shè)備(1)的含有用戶標(biāo)識的注冊詢問消息�����;(c)將用于移動性密鑰的密鑰詢問消息由所述歸屬代理(8B)發(fā)送至所屬的鑒權(quán)代理服務(wù)器(8C)��,其中所述密鑰詢問消息含有在所述注冊詢問消息中所含有的用戶標(biāo)識��;和(d)如果在所述密鑰詢問消息中所含有的用戶標(biāo)識與通過所述鑒權(quán)代理服務(wù)器(8C)存儲的用戶標(biāo)識之一一致�����,則通過所述鑒權(quán)代理服務(wù)器(8C)為所述歸屬代理(8B)提供移動性密鑰���。
2. 如權(quán)利要求l所述的方法�����,其中通過所述鑒權(quán)代理服務(wù)器(8C) 隨機(jī)產(chǎn)生所述移動性密鑰�����。
3. 如權(quán)利要求l所述的方法�,其中在鑒權(quán)成功時(shí)��,所述歸屬網(wǎng)絡(luò) (12)的鑒權(quán)服務(wù)器(11)經(jīng)由所述鑒權(quán)代理服務(wù)器(8C)將在鑒權(quán)消息中所含有的MSK密鑰傳輸至所述接入網(wǎng)糾4 )的鑒權(quán)客戶端(6C )�。
4. 如權(quán)利要求3所述的方法,其中所述移動性密鑰通過所述鑒權(quán)代 理服務(wù)器(8C)從所傳輸?shù)腗SK密鑰中導(dǎo)出���。
5. 如權(quán)利要求4所述的方法����,其中所述移動性密鑰形成所傳輸?shù)?MSK密鑰的一部分�����。
6. 如權(quán)利要求4所述的方法����,其中所述移動性密鑰與所傳輸?shù)?MSK密鑰相同。
7. 如權(quán)利要求4所述的方法�����,其中所述移動性密鑰通過密碼密鑰導(dǎo) 出函數(shù)或者通過密碼散列函數(shù)導(dǎo)出。
8. 如權(quán)利要求l所述的方法�����,其中根據(jù)半徑數(shù)據(jù)傳輸協(xié)議來傳輸所 述鑒權(quán)消息��。
9. 如權(quán)利要求l所述的方法���,其中根據(jù)直徑數(shù)據(jù)傳輸協(xié)議來傳輸所述鑒權(quán)消息����。
10. 如權(quán)利要求l所述的方法��,其中所述接入網(wǎng)絡(luò)(4)由WIMAX 接入網(wǎng)絡(luò)(ASN)構(gòu)成��。
11. 如權(quán)利要求l所述的方法���,其中所述中間網(wǎng)絡(luò)(9)由WIMAX 中間網(wǎng)絡(luò)(CSN)構(gòu)成����。
12. 如權(quán)利要求l所述的方法�����,其中所述歸屬網(wǎng)絡(luò)(12)由3GPP網(wǎng) 絡(luò)構(gòu)成。
13. 如權(quán)利要求l所述的方法����,其中所述歸屬網(wǎng)絡(luò)由WLAN網(wǎng)絡(luò)構(gòu)成��。
14. 如權(quán)利要求l所述的方法���,其中所述用戶標(biāo)識由網(wǎng)絡(luò)接入標(biāo)識 符NAI構(gòu)成����。
15. 如權(quán)利要求l所述的方法�����,其中所述用戶標(biāo)識由所述用戶的歸 屬地址構(gòu)成�����。
16. 如權(quán)利要求l所述的方法���,其中所述移動性密鑰還被提供給所 述接入網(wǎng)絡(luò)(4)的PMIP客戶端(6B)�����。
17. 如權(quán)利要求l所述的方法�����,其中多個(gè)中間網(wǎng)絡(luò)(9)位于所述接 入網(wǎng)絡(luò)(4)和所述歸屬網(wǎng)絡(luò)(12)之間�。
18. 如權(quán)利要求17所述的方法,其中所述歸屬代理(8B)設(shè)置在所 述歸屬網(wǎng)絡(luò)(12)中或中間網(wǎng)絡(luò)(9)之一中�。
19. 如權(quán)利要求17所述的方法,其中所述鑒權(quán)代理服務(wù)器(8C) 設(shè)置在所述歸屬網(wǎng)絡(luò)(12)中或中間網(wǎng)絡(luò)(9)之一中��。
20. 用于提供用以對移動性信令消息進(jìn)行密碼保護(hù)的移動性密鑰 的鑒權(quán)代理服務(wù)器(8C)���,其中在成功地對用戶鑒權(quán)之后����,所述鑒權(quán) 代理服務(wù)器(8C)分別存儲所述用戶的用戶標(biāo)識且如果在密鑰詢問消 息中所含有的用戶標(biāo)識與所存儲的用戶標(biāo)識之——致�����,則在從歸屬代理(8B)接收到移動性密鑰用的密鑰詢問消息之后提供移動性密鑰��。
21. 如權(quán)利要求20所述的鑒權(quán)代理服務(wù)器,其中所述鑒權(quán)代理服務(wù) 器(8C)隨機(jī)產(chǎn)生所述移動性密鑰��。
22. 如權(quán)利要求20所述的鑒權(quán)代理服務(wù)器�����,其中所述鑒權(quán)代理服務(wù) 器(8C)與歸屬網(wǎng)絡(luò)(12)的鑒權(quán)服務(wù)器(11)連接�����。
23. 如權(quán)利要求20所述的鑒權(quán)代理服務(wù)器�,其中所述鑒權(quán)代理服務(wù) 器(8C)從通過所述歸屬網(wǎng)絡(luò)(12)的鑒權(quán)服務(wù)器(11)發(fā)出的MSK密鑰中導(dǎo)出所述移動性密鑰���。
24. 如權(quán)利要求20所述的鑒權(quán)代理服務(wù)器�����,其中所述歸屬網(wǎng)絡(luò)(12 ) 是3GPP網(wǎng)絡(luò)��。
25. 如權(quán)利要求20所述的鑒權(quán)代理服務(wù)器�����,其中所述歸屬網(wǎng)絡(luò)(12 ) 是WLA顔絡(luò)��。
26. 如權(quán)利要求20所述的鑒權(quán)代理服務(wù)器�����,其中所述鑒權(quán)代理服 務(wù)器(8C)是WIMAX鑒權(quán)代理服務(wù)器��。
全文摘要
本發(fā)明涉及用于為歸屬代理提供至少一個(gè)用以對移動性信令消息進(jìn)行密碼保護(hù)的移動性密鑰的方法��,所述方法具有如下步驟在移動用戶終端設(shè)備(1)和接入網(wǎng)絡(luò)(4)之間建立無線電連接���,其中中間網(wǎng)絡(luò)(9)的用于對用戶進(jìn)行鑒權(quán)的鑒權(quán)代理服務(wù)器(8C)在所述接入網(wǎng)絡(luò)(4)和用戶的歸屬網(wǎng)絡(luò)(12)之間轉(zhuǎn)發(fā)至少一個(gè)含有用戶標(biāo)識的鑒權(quán)消息����,且在鑒權(quán)成功時(shí)通過所述歸屬網(wǎng)絡(luò)(12)的鑒權(quán)服務(wù)器(11)分別存儲所述用戶標(biāo)識��;通過歸屬代理(8B)接收來自于用戶終端設(shè)備(1)的含有用戶標(biāo)識的注冊詢問消息�����;將用于移動性密鑰的密鑰詢問消息由所述歸屬代理(8B)發(fā)送至所屬的鑒權(quán)代理服務(wù)器(8C)����,其中所述密鑰詢問消息含有在所述注冊詢問消息中所含有的用戶標(biāo)識;和如果在所述密鑰詢問消息中所含有的用戶標(biāo)識與通過所述鑒權(quán)代理服務(wù)器(8C)存儲的用戶標(biāo)識之一一致�����,則通過所述鑒權(quán)代理服務(wù)器(8C)為所述歸屬代理(8B)提供移動性密鑰。
文檔編號H04W12/00GK101300889SQ200680041205
公開日2008年11月5日 申請日期2006年10月27日 優(yōu)先權(quán)日2005年11月4日
發(fā)明者D·克羅塞爾伯格, M·里格爾, R·法爾克 申請人:西門子公司