CN101300815A - 用于提供移动性密钥的方法和服务器 - Google Patents
用于提供移动性密钥的方法和服务器 Download PDFInfo
- Publication number
- CN101300815A CN101300815A CNA200680041184XA CN200680041184A CN101300815A CN 101300815 A CN101300815 A CN 101300815A CN A200680041184X A CNA200680041184X A CN A200680041184XA CN 200680041184 A CN200680041184 A CN 200680041184A CN 101300815 A CN101300815 A CN 101300815A
- Authority
- CN
- China
- Prior art keywords
- authentication
- user
- agent server
- key
- server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/065—Network architectures or network communication protocols for network security for supporting key management in a packet data network for group communications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0884—Network architectures or network communication protocols for network security for authentication of entities by delegation of authentication, e.g. a proxy authenticates an entity to be authenticated on behalf of this entity vis-à-vis an authentication entity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/083—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP]
- H04L9/0833—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP] involving conference or group key
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0891—Revocation or update of secret information, e.g. encryption key update or rekeying
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/321—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/03—Protecting confidentiality, e.g. by encryption
- H04W12/037—Protecting confidentiality, e.g. by encryption of the control plane, e.g. signalling traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/42—Anonymization, e.g. involving pseudonyms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/76—Proxy, i.e. using intermediary entity to perform cryptographic operations
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/80—Wireless
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/061—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying further key derivation, e.g. deriving traffic keys from a pair-wise master key
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/60—Context-dependent security
- H04W12/61—Time-dependent
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W80/00—Wireless network protocols or protocol adaptations to wireless operation
- H04W80/04—Network layer protocols, e.g. mobile IP [Internet Protocol]
Abstract
本发明涉及用于为归属代理提供至少一个用以对移动性信令消息进行密码保护的移动性密钥的方法,所述方法具有如下步骤:在移动用户终端设备(1)和接入网络(4)之间建立无线电连接,其中中间网络(9)的用于对用户进行鉴权的鉴权代理服务器(8C)在所述接入网络(4)和用户的归属网络(12)之间转发至少一个含有用户标识的鉴权消息,且如果在所述鉴权消息中所含有的用户标识已被存储在所述鉴权代理服务器(8C)中,则在鉴权成功时通过所述归属网络(12)的鉴权服务器(11)给所述用户标识分配组特定的移动性密钥;通过所述归属代理(8B)接收来自于用户终端设备(1)的含有用户标识的注册询问消息;将移动性密钥的密钥询问消息由所述归属代理(8B)发送至所属的鉴权代理服务器(8C),其中所述密钥询问消息含有在所述注册询问消息中所含有的用户标识;和如果在所述密钥询问消息中所含有的用户标识与通过所述鉴权代理服务器(8C)存储的用户标识之一一致,则通过所述鉴权代理服务器(8C)为所述归属代理(8B)提供移动性密钥。
Description
本发明涉及用于为移动无线电网络的归属代理、尤其是为匿名用户提供用于对移动性信令消息进行密码保护的移动性密钥的方法和代理服务器。
利用TCP/IP协议的因特网为开发移动领域的更高协议而提供平台。因为因特网协议广泛普及,所以可以利用用于移动环境的相应协议扩展来开辟广大的用户圈。但常规的因特网协议最初并非针对移动应用被构思的。在常规因特网的分组交换中,所述分组在固定的计算机之间被交换,所述固定的计算机既不改变其网络地址,又不在不同的子网之间移动。在具有移动计算机的无线电网络中,移动计算机MS经常被内连到不同的网络中。DHCP(动态主机配置协议(Dynamic HostConfiguration Protocol))允许借助相应的服务器将IP地址和其它配置参数动态地分配给网络中的计算机。内连到网络中的计算机通过DHCP协议自动地被分配得到自由的IP地址。如果移动计算机已安装了DHCP,则该移动计算机只须进入通过DHCP协议支持配置的本地网络的有效范围内。在DHCP协议情况下,动态的地址分配是可能的,也就是说,对于确定的时间,自由的IP地址自动地被分配。在经过所述时间之后,必须由移动计算机重新提出询问或者可以以其它方式分配IP地址。
利用DHCP,移动计算机在无需手动配置的情况下可以被内连到网络中。作为前提条件,仅仅DHCP服务器必须可供使用。因此移动计算机可以使用本地网络服务并且例如可使用在中央所存储的文件。但如果移动计算机自身提供服务,则潜在的服务用户不能找到该移动计算机,因为该移动计算机的IP地址在该移动计算机所内连到的每个网络中都发生变化。如果IP地址在已有的TCP连接期间改变,则同样的情况发生。这导致连接中断。因此在移动IP的情况下,移动计算机被分配得到该移动计算机也保留在另一网络中的IP地址。在常规的IP网络转变的情况下,需要相应地匹配IP地址设定。但在终端设备上的IP和路由配置的持续匹配几乎无法手动实现。在常规的自动配置机制情况下,已有的连接在IP地址转变时被中断。MIP协议(RFC 2002、RFC2977、RFC 3344、RFC 3846、RFC 3957、RFC 3775、RFC 3776、RFC4285)支持移动终端设备的移动性。在常规的IP协议的情况下,移动终端设备在每次转变IP子网时必须匹配其IP地址,以便正确地对向移动终端设备寻址的数据分组进行路由。为了维持已有的TCP连接,移动终端设备必须保持其IP地址,因为地址转变导致连接中断。MIP协议通过允许移动终端设备或移动节点(MN)具有两个IP地址而消除这种冲突。MIP协议可以实现在两个地址、即永久归属地址(Home-Adresse)和第二临时转交地址(Care-of-Adresse)之间的透明连接。转交地址是IP地址,其中在该IP地址下,移动终端设备当前是可达的。
只要移动终端设备不停留在最初的归属网络中,则归属代理(Home Agent)是移动终端设备的代理(Stellvertreter)。归属代理持续地被通知关于移动计算机的当前停留位置。归属代理通常是移动终端设备的归属网络中的路由器的组件。如果移动终端设备处于归属网络之外,则归属代理提供一种功能,以便移动终端设备可以登录。于是归属代理将向移动终端设备寻址的数据分组转发至移动终端设备的当前子网中。
外部代理(Foreign Agent)处于子网中,其中所述移动终端设备在所述子网中移动。外部代理将到达的数据分组转发至移动终端设备或移动计算机。外部代理处于所谓的外部网络(受访网络(VisitedNetwork))中。外部代理同样通常是路由器的组件。外部代理在移动终端设备与其归属代理之间路由所有管理性移动数据分组。外部代理对由归属代理以隧道方式(getunnelt)所发送的IP数据分组进行解包,并将其数据转发至移动终端设备。
移动终端设备的归属地址是以下地址,其中所述移动终端设备在该地址下永久可达。归属地址具有与归属代理相同的地址前缀。转交地址是移动终端设备在外部网络中所使用的该IP地址。
归属代理维护所谓的移动性绑定表(MBT:Mobility BindingTable)。所述表中的项用于相互分配移动终端设备的两个地址、即归属地址和转交地址,并相应地转移数据分组。MBT表含有关于归属地址、转交地址的项和关于所述分配有效的时间间隔(寿命)的说明。图1示出根据现有技术的移动性绑定表的实例。
外部代理(FA)含有访客列表(VL:Visitor List),该访客列表含有关于恰好处于外部代理的IP网络中的移动终端设备的信息。图2示出根据现有技术的这种访客列表的实例。
为了可以将移动计算机内连到网络中,所述移动计算机必须首先设法知道:所述移动计算机是处于其归属网络中还是外部网络中。移动终端设备还必须设法知道子网中的哪个计算机是归属代理或外部代理。这些信息通过所谓的代理发现(Agent Discovery)来确定。
通过随后的注册,移动终端设备可以将其当前的所在地通知给其归属代理。为此,移动计算机或移动终端设备将当前的转交地址发送给归属代理。为了注册,移动计算机将注册请求(Registration-Request)发送至归属代理。归属代理(HA)将转交地址记录到其列表中,并利用注册应答(Registration Reply)来应答。但在这种情况下产生安全性问题。因为原则上每个计算机都可以向归属代理发送注册请求,所以可以以简单的方式给归属代理假象:计算机已移动到另一网络中。因此外部计算机可能会在发送器不知情的情况下接受移动计算机或移动终端设备的所有数据分组。为了防止这一点,移动计算机和归属代理具有公共秘密密钥。如果移动计算机返回到其归属网络中,则该移动计算机在归属代理处注销,因为移动计算机从现在起可以自身接受所有的数据分组。移动无线电网络此外必须具有如下安全性特性。只允许针对所希望的通信方访问信息,也就是说,所不希望的窃听者不允许访问所传输的数据。因此移动无线电网络必须具有机密性(Confidentiality)特性。此外必须存在真实性。真实性(Authenticity)允许通信方毫无疑问地确定,是否实际上建立了与所希望的通信方的通信,或者是否外部方冒充通信方。可以对每个消息或每个连接执行鉴权。如果基于连接被鉴权,则在通信方开始会话(Session)时只被识别一次。于是对于会话的继续过程来说认为,随后的消息继续来自于相应的发送器。即使通信方的标识(
)确定了,也就是说,通信方被鉴权,也可能出现以下情况:该通信方不允许访问所有的资源或者不允许使用所有关于网络的服务。在这种情况下,相应的授权以先前对通信方的鉴权为前提。
在移动数据网络的情况下,消息必须经由空中接口经过较长的路段,并且因此对于潜在的攻击者来说是轻易可达的。因此在移动的和无线的数据网络的情况下,安全性方面起特殊的作用。用于提高数据网络中的安全性的重要手段是加密技术。通过加密能够经由不安全的通信通路、例如经由空中接口传输数据,而不使未被授权的第三方访问数据。为了加密,数据、即所谓的明码文本(Klartext)借助于加密算法被转换成密码文本。经加密的文本可以经由不安全的数据传输信道传输并且接着被解密或译解。
作为大有希望的无线接入技术,建议WiMax(全球微波接入互操作性)作为新标准,该新标准为无线电传输而使用IEEE 802.16。在WiMax的情况下,利用发送站应该将超过每秒100Mbit的数据速率供应给高达50km的范围。
图3示出WiMax无线电网络的参考模型。移动终端设备MS位于接入网络(ASN:接入服务网络(Access Serving Network))的范围内。接入网络ASN通过至少一个受访网络(受访连接性服务网络VCSN(Visited Connectivity Service Network))或中间网络与归属网络HCSN(归属连接性服务网络(Home Connectivity Service Network))相连接。不同的网络通过接口或参考点R相互连接。移动站MS的归属代理HA位于归属网络HCSN中或者受访网络VCSN之一中。
WiMax支持移动IP的两种实现变型方案:所谓的客户端MIP(CMIP)和代理MIP(PMIP),其中在所述客户端MIP中,移动站自身实现MIP客户端功能,在所述代理MIP中,MIP客户端功能通过WiMax接入网络来实现。为此设置在ASN中的功能性称为代理移动节点(PMN,Proxy Mobile Node)或PMIP客户端。由此还可以利用本身不支持MIP的移动站来使用MIP。
图4示出根据现有技术在归属代理处于受访网络中时在代理MIP情况下的连接建立。
当在移动终端设备和基站之间建立无线电连接之后,首先进行接入鉴权。鉴权、授权和计账的功能借助于所谓的AAA服务器(AAA:鉴权、授权和计费)来实现。在移动终端设备MS和归属网络的AAA服务器(HAAA)之间交换鉴权消息,借助于所述鉴权消息得到归属代理的地址和鉴权密钥。归属网络中的鉴权服务器含有用户的配置文件数据(Profildaten)。AAA服务器获得鉴权询问消息,所述鉴权询问消息含有移动终端设备的用户标识。在接入鉴权成功之后,AAA服务器产生MSK密钥(MSK:主会话密钥(Master Session Key))用于保护移动终端设备MS和接入网络ASN的基站之间的数据传输路段。所述MSK密钥由归属网络的AAA服务器通过中间网络CSN被传输至接入网络ASN。
如在图4中可见,在接入鉴权之后配置接入网络ASN中的DHCP代理服务器。如果IP地址和主机配置已经包含在AAA应答消息中,则将整个信息下载到DHCP代理服务器中。
在成功鉴权和授权之后,移动站或移动终端设备MS发送DHCP发现消息并进行IP地址分配。
如果接入网络ASN既支持PMIP、又支持CMIP移动性,则外部代理通知ASN切换(Handover)功能,其方式是,所述接入网络ASN发送R3移动性上下文消息。在只支持PMIP的网络的情况下,可以省去此点。在读出归属地址之后,该归属地址被转发至PMIP客户端。
接下来进行MIP注册。在注册时,将移动终端设备的当前所在地通知给归属代理。为了注册,移动计算机将含有当前转交地址的注册请求发送至归属代理。归属代理将转交地址记录到由其所管理的列表中,并利用注册应答(Registration Repley)来应答。因为原则上每个计算机都可以向归属代理发送注册请求,所以可以以简单的方式给归属代理假象:计算机已移动到另一网络中。为了防止这一点,不仅移动计算机而且归属代理都具有公共秘密密钥、即MIP密钥。如果归属代理(HA)不认识MIP密钥,则所述归属代理设立所述MIP密钥,为此所述归属代理与归属AAA服务器通信。
在图4中所示的连接建立结束之后,移动终端设备已获得归属地址并在归属代理处注册。
但如果归属AAA服务器不提供由WiMax协议所期望的属性或数据,则图4中所示的连接建立是不可能的。如果归属AAA服务器例如是3GPP服务器或者不支持WiMax交互工作的其它AAA服务器,则该归属AAA服务器不能够提供对于MIP注册所必需的数据属性、特别是归属地址和密码密钥。因此归属代理HA不获得MIP密钥(MSK:主会话密钥)并拒绝用户。
因此本发明的任务在于,提出一种用于为移动无线电网络提供移动性密钥的方法,其中归属网络的鉴权服务器不支持MIP注册。
根据本发明,所述任务通过具有在权利要求1中所说明的特征的方法得以解决。
本发明提出一种用于为归属代理提供至少一个用以对移动性信令消息进行密码保护的移动性密钥的方法,该方法具有如下步骤,即:
-在移动用户终端设备和接入网络之间建立无线电连接,其中中间网络的用于对用户进行鉴权的鉴权代理服务器在所述接入网络和用户的归属网络之间转发至少一个含有用户标识的鉴权消息,且如果在所述鉴权消息中所含有的用户标识已被存储在所述鉴权代理服务器中,则在鉴权成功时通过所述归属网络的鉴权服务器给所述用户标识分配组特定的移动性密钥;
-通过所述归属代理接收来自于用户终端设备的含有用户标识的注册询问消息;
-将移动性密钥的密钥询问消息从所述归属代理发送至所属的鉴权代理服务器,其中所述密钥询问消息含有在所述注册询问消息中所包含的用户标识;和
-如果在所述密钥询问消息中所含有的用户标识与通过所述鉴权代理服务器所存储的用户标识之一一致,则通过所述鉴权代理服务器为所述归属代理提供移动性密钥。
在本发明的方法的一种优选实施形式中,如果在所述鉴权消息中所含有的用户标识尚未被存储在所述鉴权代理服务器中,则所述鉴权代理服务器在通过所述归属网络的鉴权服务器的鉴权成功时产生用户特定的移动性密钥,并将该用户特定的移动性密钥分配给所述用户标识。
在本发明的方法的一种优选实施形式中,在预定的短时间间隔之后,通过所述鉴权代理服务器将所产生的用户特定的移动性密钥删除。
在本发明的方法的一种优选实施形式中,在为所述归属代理提供所产生的用户特定的移动性密钥之后,通过所述鉴权代理服务器将该用户特定的移动性密钥删除。
在本发明的方法的一种优选实施形式中,在预定的较长时间间隔之后,通过所述鉴权代理服务器将组特定的移动性密钥删除。
在本发明的方法的一种优选实施形式中,如果在所述鉴权消息中所含有的用户标识已被存储在所述鉴权代理服务器中,则所述鉴权代理服务器更新属于所述用户标识的时间戳,并设置所属的标志,所述标志表明:所属的移动性密钥是组特定的移动性密钥。
在本发明的方法的一种优选实施形式中,通过所述鉴权代理服务器随机产生所述移动性密钥。
在本发明的方法的一种优选实施形式中,在鉴权成功时,所述归属网络的鉴权服务器经由所述鉴权代理服务器将在鉴权消息中所含有的MSK密钥传输至所述接入网络的鉴权客户端。
在本发明的方法的一种替代实施形式中,所述移动性密钥并非通过所述鉴权代理服务器随机产生,而是通过所述鉴权代理服务器从所传输的MSK密钥中导出。
在本发明的方法的一种实施形式中,所述移动性密钥形成所传输的MSK密钥的一部分。
在本发明的方法的一种替代实施形式中,所述移动性密钥与所传输的MSK密钥相同。
在本发明的方法的一种实施形式中,根据半径数据传输协议来传输所述鉴权消息。
在本发明的方法的一种替代实施形式中,根据直径数据传输协议来传输所述鉴权消息。
在本发明的方法的一种优选实施形式中,所述接入网络由WiMax接入网络ASN构成。
在本发明的方法的一种优选的实施形式中,所述中间网络由WiMax中间网络CSN构成。
在本发明的方法的第一实施形式中,所述归属网络是3GPP网络。
在本发明的方法的一种替代实施形式中,所述归属网络由为WLAN用户提供AAA基础设施的网络(WLAN网络)构成。
在本发明的方法的一种优选实施形式中,所述用户标识由网络接入标识符NAI(网络接入标识符)构成。
在本发明的方法的一种优选实施形式中,所述移动性密钥还被提供给所述接入网络的PMIP客户端。
在本发明的方法的一种优选实施形式中,多个中间网络位于所述接入网络和所述归属网络之间。
在本发明的方法的第一实施形式中,所述归属代理位于所述归属网络中。
在本发明的方法的一种替代实施形式中,所述归属代理位于所述中间网络之一中。
在本发明的方法的第一实施形式中,所述鉴权代理服务器设置在所述归属网络中。
在本发明的方法的一种替代实施形式中,所述鉴权代理服务器设置在所述中间网络之一中。
本发明还提出一种用于提供用于对移动性信令消息进行密码保护的移动性密钥的鉴权代理服务器,其中如果相应的用户标识已被存储在所述鉴权代理服务器,则在通过含有用户标识的鉴权消息成功地对鉴权进行鉴权之后,所述鉴权代理服务器给所述用户标识分配组特定的移动性密钥,中。
为了阐述本发明主要特征,下面参照附图说明本发明方法和本发明鉴权代理服务器的优选实施形式。
图1示出根据现有技术的移动性绑定表的实例;
图2示出根据现有技术的访客列表的实例;
图3示出WiMax无线电网络的参考网络结构;
图4示出在根据现有技术的常规WiMax网络中的连接建立;
图5示出根据本发明方法的优选实施形式的网络结构;
图6示出用于说明本发明方法的工作方式的流程图;
图7示出用于说明本发明方法的工作方式的另一流程图;
图8示出用于说明本发明方法的工作方式的图;
图9示出在本发明鉴权代理服务器的优选实施形式中所存储的表的实例。
如由图5可见,移动终端设备1通过无线接口2与接入网络4的基站3连接。移动终端设备1是任意的移动终端设备,例如膝上型电脑、PDA、移动电话或者其它移动终端设备。接入网络4的基站3通过数据传输线路5与接入网络网关6连接。在接入网关计算机6中优选地集成有其它功能性,特别是外部代理6A、PMIP客户端6B、AAA客户端服务器6C和DHCP代理服务器6D。外部代理6A是为移动终端设备1提供路由服务的路由器。对准移动终端设备1的数据分组以隧道方式传输且被外部代理6A解包(entpacken)。
接入网络4的网关6通过接口7与中间网络9的计算机8连接。计算机8含有DHCP服务器8A、归属代理8B和AAA代理服务器8C。如果移动终端设备1并未处于其最初的归属网络中,则归属代理8B是该移动终端设备1的代理。持续地将移动终端设备1的当前停留位置通知给归属代理8B。用于移动终端设备1的数据分组首先被传输至该归属代理,且从该归属代理以隧道的方式转发至外部代理6A。相反,由移动终端设备1发出的数据分组可以直接被发送至相应的通信方。在此,移动终端设备1的数据分组含有作为发送方地址的归属地址。归属地址具有与归属代理8B相同的地址前缀、即网络地址和子网地址。发送至移动终端设备1的归属地址的数据分组被归属代理8B截取,并以隧道的方式从归属代理8B被传输至移动终端设备1的转交地址,并且最后在隧道的端点处、即通过外部代理6A或移动终端设备自身接收。
中间网络9的计算机8通过另一接口10与归属网络12的鉴权服务器11连接。归属网络12例如是用于UMTS的3GPP网络。在一种替代实施形式中,服务器11是WLAN网络的鉴权服务器。图5中所示的鉴权服务器11不支持MIP注册。
一旦计算机8的AAA代理服务器8C识别出归属网络12的AAA服务器11不支持MIP(CMIP/PMIP),则根据本发明方法为归属代理8B提供用于对移动性信令消息进行密码保护的移动性密钥。例如从归属网络12的服务器11根据AAA代理服务器8B的询问不提供MIP属性中,该AAA代理服务器8B识别出:缺乏CMIP/PMIP支持。为了对移动性信令消息进行密码保护,需要用于归属代理8B的公共移动性密钥(MIP密钥)和用于PMIP情况的移动终端设别1或者用于归属代理8B的公共移动性密钥和用于PMIP情况的PMIP客户端6B。如果归属网络12有WiMax交互工作能力,则归属代理8B从归属网络12的AAA服务器获得所述MIP密钥。但如果如图5中所示,AAA服务器11不能根据归属代理8B的相应询问提供所需要的MIP属性,则激活本发明方法。如图5中所示的3GPP-AAA服务器11不能提供用于保护移动性信令消息的相应密码密钥,因为该3GPP-AAA服务器不能解译归属代理8B的询问。在本发明方法中,使归属网络12的无WiMax能力的鉴权服务器11保持不变,并且通过AAA代理服务器8C将移动性密钥提供给归属代理8B。在已识别出归属网络12的鉴权服务器11不提供移动性密钥之后,激活所谓的代理归属MIP功能性并且为所述AAA会话,由鉴权代理服务器8C施加本地数据组。因此根据本发明,对于PMIP/CMIP所必需的功能性并非由归属网络12的鉴权服务器11提供,而是通过中间网络9的位于3GPP网络的鉴权服务器11和接入网络4的网关6之间的通信路径中的AAA代理服务器提供。
图6示出在本发明方法的实施形式中用于对移动终端设备1进行鉴权的流程图。
在开始步骤之后,首先在步骤S1中建立移动终端设备1和接入网络4的基站3之间的无线电连接。接下来,在步骤S2中通过中间网络9的鉴权代理服务器8C在接入网络4和归属网络12之间转发鉴权消息。所述鉴权消息含有用于识别相应移动终端设备1的用户标识。用户标识例如是网络接入标识符NAI。作为替代方案,用户标识例如由移动终端设备1的归属地址构成。由AAA代理服务器8C转发的鉴权消息到达归属网络12的鉴权服务器11。于是归属网络12的鉴权服务器11执行对用户的鉴权。如果鉴权成功,则鉴权服务器11经由中间网络9的鉴权代理服务器8C将相应的消息发送至接入网络4。在步骤S3中,中间网络9的鉴权代理服务器8C检查:通过归属网络12的鉴权服务器11的鉴权是否成功地结束。所述鉴权代理服务器8C例如从鉴权服务器11的相应成功报告(Success-Meldung)来识别出此点。如果鉴权代理服务器8C借助由归属网络12传输至接入网络4的消息识别出对用户的鉴权已成功结束,则在步骤S4中通过鉴权代理服务器8C检查:在鉴权消息中所含有的用户标识是否已被存储在鉴权代理服务器8C中。
如果用户标识已被暂存在鉴权代理服务器8C中,则在步骤S5中给用户标识分配组特定的移动性密钥。在这种情况下优选地更新属于用户标识的时间戳,并且此外设置所属的标志,所述标志表明:所属的移动性密钥是组特定的移动性密钥。因此通过鉴权代理服务器8C给相同或同样的用户标识提供相同的或组特定的移动性密钥。这可以实现对匿名的用户标识或匿名的网络接入标识符NAI(网络接入标识符)的使用。用如果户标识未明确地分配给确定的用户,则该用户标识是匿名的。这种匿名的用户标识例如是“user@vodafone.com”,如在图9中所示表的第一行中所示。在图9所示的实例中,为匿名的用户标识所提供的组特定的移动性密钥是“12AF”。移动性密钥的密钥类型通过相应的标志或指示字符“组特定的密钥(group specific key)”被表示成组特定的。
如果在步骤S4中确定,在鉴权消息中所含有的用户标识尚未被存储在鉴权代理服务器8C中,则在步骤S6中产生用户特定的移动性密钥,并分配给相应的用户标识。相应的密钥被表示成用户特定的,且所属的时间戳被更新。在图9中所示的实例情况下,当第一次出现用户标识“glyn@isarpatent.com”时产生用户特定的移动性密钥“14BC”,并表示成用户特定的密钥“用户特定的密钥(user specific key)”。在一种优选的实施形式中,用户特定的移动性密钥由鉴权代理服务器8C从所传输的在鉴权消息中所含有的MSK密钥中导出,所述鉴权消息通过鉴权代理服务器8C被传输至接入网络的鉴权客户端6C。
在本发明的方法的一种优选实施形式中,分配给步骤S5中的组特定的移动性密钥由鉴权代理服务器8C随机产生。在图9中所示的实例情况下,当再次出现第一实施形式中的用户标识“glyn@isarpatent.com”时产生另一随机产生的组特定的移动性密钥,或者在一种替代实施形式中,当重新出现用户标识时,已有的用户特定的移动标识“14BC”被表示成组特定的密钥,其方式为,用标志“组特定的密钥”改写标志“用户特定的密钥”。
通过本发明的方法确保:如果两个用户随机地或意志地(gewollt)使用相同的用户标识,则不会出现碰撞或冲突。
在本发明的方法的一种优选实施形式中,在步骤S6中所产生的用户特定的移动性密钥经过预定的短时间间隔、例如在几秒钟之后在使用时间戳的情况下通过鉴权代理服务器8C删除。
在明显较长的例如几小时的时间间隔之后删除或者根本不删除匿名用户的组特定的移动性密钥。必要的是,使用相同的匿名用户标识的多个PMIP用户可以同时登录。
在本发明的方法的一种替代的实施形式中,组特定的移动性密钥并非随机地产生,而是固定地被预先配置。
在本发明的方法中,所有的匿名用户都被分配有相同的移动性密钥。通过本发明方法可以在对Wimax网络登录的鉴权范围内使用匿名的用户标识。由此可以支持匿名的用户标识或匿名的NAI。此外本发明的方法允许大大地简化对于移动IP和PMIP所必需的安全性关系的管理的复杂性。这导致明显减小了的动态存储器需求。
如从图7可见,如果在开始步骤之后,归属代理8B在稍后时刻得到注册询问消息,则归属代理8B在步骤S8中将相应的密钥询问消息发送给其鉴权代理服务器8C。在所得到的注册询问消息中含有移动终端设备1的用户标识。向鉴权代理服务器8C的、归属代理8B的随后产生的相应密钥询问消息同样含有所述用户标识。鉴权代理服务器8C在步骤S9中检查:在密钥询问消息中所含有的用户标识与由所述鉴权代理服务器8C在步骤S4中所存储的用户标识之一是否一致。只要情况如此,则鉴权代理服务器8C在步骤S10中提供用于对移动性安全消息进行密码保护的移动性密钥。鉴权代理服务器8C将所提供的移动性密钥传输至归属代理8B。优选地,移动密钥还被传输至接入网络4的鉴权客户端服务器6D。
在本发明方法的第一实施形式中,在步骤S10中所提供的移动性密钥由鉴权代理服务器8C随机产生。
在一种替代实施形式中,移动性密钥(MIP密钥)通过鉴权代理服务器8C从MSK(主会话密钥)密钥中导出,其中鉴权代理服务器8C已将所述MSK密钥从鉴权服务器11转发至接入网络4。在这种情况下,MIP密钥可以从MSK密钥中按照任一密钥导出函数、例如借助于散列(Hash)函数被导出。散列函数将任意大小的数据减小成所谓的指纹。这种散列函数的实例是SHA-1。在这种情况下,最大264比特的数据被映射成160比特。一种替代的散列函数是MD5。MD5如同SHA-1一样将输入划分成大小为500比特的块,并产生大小为128比特的散列值。
在一种替代实施形式中,所提供的移动性密钥通过由鉴权代理服务器8C所接收的MSK密钥12的一部分构成。
在另一替代实施形式中,所提供的移动性密钥与所传输的MSK密钥相同。
在优选实施形式中,鉴权消息按照半径或直径协议传输。
在本发明方法中,如果归属MIP功能性不被归属网络12支持,则中间网络9提供该归属MIP功能性。由此可能的是,在不支持MIP的归属网络中、例如在3GPP网络中也能够基于MIP实现宏移动性(
)。在接入网络4和中间网络9内使用MIP,用以实现在不同接入网络4之间的切换。在外部代理6A的MIP注册时,中间网络9的归属代理8B询问所属的鉴权代理服务器8C的移动性密钥。在这种情况下,归属代理8B使用相应的用户标识、即例如网络接入标识符NAI(Network Access Identifier)或移动终端设备1的归属地址。如果施加相应的数据组,则该密钥询问消息通过鉴权代理服务器8C在本地被应答。为了鉴权代理服务器8C能够提供相应的密钥,对所述鉴权代理服务器8C如此设计,使得该鉴权代理服务器解译在归属网络12的鉴权服务器11和接入网络4中的认证者(Authentikator)之间在移动终端设备1的鉴权期间所交换的消息。
如图5中所示,归属代理8B优选地位于中间网络9中。在一种替代实施形式中,归属代理8B位于归属网络12中。
在本发明方法的一种替代实施形式中,作为移动IP功能性使用移动IPV6[RFC3775]。
在本发明方法的一种优选实施形式中,通过归属代理8B借助密钥询问消息仅一次从鉴权代理服务器8C询问移动性密钥。
利用本发明方法可以实现对遗留(Legacy)AAA服务器、例如用于WiMax网络的WLAN或3GPP服务器的使用,尽管这些服务器不提供由WiMax网络所期望的CMIP/PMIP功能性。利用本发明方法,尽管在归属网络12中使用遗留AAA服务器,但基于PMIP的宏移动性是可能的。WLAN或3GPP网络的网络运营商因此通常不必自身支持PMIP,但可以使其客户仍能够实现与WiMax无线电网络的漫游/交互工作。利用本发明方法尤其可能的是,利用PMIP支持也允许终端设备不具有移动IP WiMax交互工作的支持。本发明方法尤其能够实现类似于当前指定的WLAN直接IP接入的WiMax-3GPP交互工作。
图8示出本发明方法的优选实施形式的消息流图。在图8中所示的实施形式中,接入网络4和中间网络9由WiMax网络组成。归属网络12由3GPP网络构成。如果在用于第二移动基站MS2的鉴权消息中所含有的用户标识已经被存储在WiMax网络2的鉴权代理服务器8C中,则设置在中间网络中的鉴权代理服务器8C给移动基站MS2分配与移动基站MS1相同的组特定的移动性密钥,。在本发明方法中,含有用户标识的密钥询问消息通过中间网络9的鉴权代理服务器8C来应答。因此本发明的方法能够实现在无归属网络支持的情况下在WiMax网络中的宏移动性管理。
为了说明本发明方法,图9示出表的实例,该表优选地被存储在中间网络9的鉴权代理服务器8C内。
Claims (35)
1.用于为归属代理提供至少一个用以对移动性信令消息进行密码保护的移动性密钥的方法,所述方法具有如下步骤:
(a)在移动用户终端设备(1)和接入网络(4)之间建立无线电连接,其中中间网络(9)的用于对用户进行鉴权的鉴权代理服务器(8C)在所述接入网络(4)和用户的归属网络(12)之间转发至少一个含有用户标识的鉴权消息,且如果在所述鉴权消息中所含有的用户标识已被存储在所述鉴权代理服务器(8C)中,则在鉴权成功时通过所述归属网络(12)的鉴权服务器(11)给所述用户标识分配组特定的移动性密钥;
(b)通过所述归属代理(8B)接收来自于用户终端设备(1)的含有用户标识的注册询问消息;
(c)将用于移动性密钥的密钥询问消息由所述归属代理(8B)发送至所属的鉴权代理服务器(8C),其中所述密钥询问消息含有在所述注册询问消息中所含有的用户标识;和
(d)如果在所述密钥询问消息中所含有的用户标识与通过所述鉴权代理服务器(8C)存储的用户标识之一一致,则通过所述鉴权代理服务器(8C)为所述归属代理(8B)提供移动性密钥。
2.如权利要求1所述的方法,其中如果在所述鉴权消息中所含有的用户标识尚未被存储在所述鉴权代理服务器(8C)中,则所述鉴权代理服务器(8C)在鉴权成功时通过所述归属网络(12)的鉴权服务器(11)产生用户特定的移动性密钥并分配给所述用户标识。
3.如权利要求1所述的方法,其中在预定的短时间间隔之后,通过所述鉴权代理服务器(8C)将所产生的用户特定的移动性密钥删除。
4.如权利要求1所述的方法,其中在为所述归属代理(8B)提供所产生的用户特定的移动性密钥之后,通过所述鉴权代理服务器(8C)将该用户特定的移动性密钥删除。
5.如权利要求1所述的方法,其中在预定的较长时间间隔之后,通过所述鉴权代理服务器(8C)将组特定的移动性密钥删除。
6.如权利要求1所述的方法,其中如果在所述鉴权消息中所含有的用户标识已被存储在所述鉴权代理服务器(8C)中,则所述鉴权代理服务器(8C)更新属于所述用户标识的时间戳,并设置所属的标志,所述标志表明:所属的移动性密钥是组特定的移动性密钥。
7.如权利要求1所述的方法,其中通过所述鉴权代理服务器(8C)随机产生所述组特定的移动性密钥。
8.如权利要求1所述的方法,其中在鉴权成功时,所述归属网络(12)的鉴权服务器(11)经由所述鉴权代理服务器(8C)将在鉴权消息中所含有的MSK密钥传输至接入网络(4)的鉴权客户端(6C)。
9.如权利要求8所述的方法,其中所述用户特定的移动性密钥通过所述鉴权代理服务器(8C)从所传输的MSK密钥中导出。
10.如权利要求9所述的方法,其中所述用户特定的移动性密钥形成所传输的MSK密钥的一部分。
11.如权利要求9所述的方法,其中所述用户特定的移动性密钥与所传输的MSK密钥相同。
12.如权利要求9所述的方法,其中所述用户特定的移动性密钥通过密码密钥导出函数或者通过密码散列函数导出。
13.如权利要求1所述的方法,其中根据半径数据传输协议来传输所述鉴权消息。
14.如权利要求1所述的方法,其中根据直径数据传输协议来传输所述鉴权消息。
15.如权利要求1所述的方法,其中所述接入网络(4)由WIMAX接入网络(ASN)构成。
16.如权利要求1所述的方法,其中所述中间网络(9)由WIMAX中间网络(CSN)构成。
17.如权利要求1所述的方法,其中所述归属网络(12)由3GPP网络构成。
18.如权利要求1所述的方法,其中所述归属网络由WLAN网络构成。
19.如权利要求1所述的方法,其中所述用户标识由网络接入标识符NAI构成。
20.如权利要求1所述的方法,其中所述移动性密钥还被提供给所述接入网络(4)的PMIP客户端(6B)。
21.如权利要求1所述的方法,其中多个中间网络(9)位于所述接入网络(4)和所述归属网络(12)之间。
22.如权利要求21所述的方法,其中所述归属代理(8B)设置在所述归属网络(12)中或所述中间网络(9)之一中。
23.如权利要求21所述的方法,其中所述鉴权代理服务器(8C)设置在所述归属网络(12)中或所述中间网络(9)之一中。
24.用于为归属代理提供用以对移动性信令消息进行密码保护的移动性密钥的鉴权代理服务器(8C),其中如果相应的用户标识已被存储在所述鉴权代理服务器(8C)中,则在借助于含有用户标识的鉴权消息成功地对用户进行鉴权之后,所述鉴权代理服务器(8C)给所述用户标识分配组特定的移动性密钥。
25.如权利要求24所述的鉴权代理服务器,其中如果在所述鉴权消息中所含有的用户标识尚未被存储在所述鉴权代理服务器(8C)中,则所述鉴权代理服务器(8C)在借助于含有用户标识的鉴权消息成功地对用户进行鉴权的情况下产生用户特定的移动性密钥并分配相应的用户标识。
26.如权利要求25所述的鉴权代理服务器,其中在预定的短时间间隔之后,通过所述鉴权代理服务器(8C)将所产生的用户特定的移动性密钥删除。
27.如权利要求25所述的鉴权代理服务器,其中在为所述归属代理提供所产生的用户特定的移动性密钥之后,通过所述鉴权代理服务器(8C)将该用户特定的移动性密钥删除。
28.如权利要求24所述的鉴权代理服务器,其中在预定的较长时间间隔之前,通过所述鉴权代理服务器(8C)将组特定的移动性密钥删除。
29.如权利要求24所述的鉴权代理服务器,其中如果在所述鉴权消息中所含有的用户标识已被存储在所述鉴权代理服务器(8C)中,则所述鉴权代理服务器(8C)更新属于所述用户标识的时间戳,并设置所属的标志,所述标志表明:所属的移动性密钥是组特定的移动性密钥。
30.如权利要求24所述的鉴权代理服务器,其中所述鉴权代理服务器(8C)随机产生所述移动性密钥。
31.如权利要求24所述的鉴权代理服务器,其中所述鉴权代理服务器(8C)与归属网络(12)的鉴权服务器(11)连接。
32.如权利要求24所述的鉴权代理服务器,其中所述鉴权代理服务器(8C)从通过所述归属网络(12)的鉴权服务器(11)给出的MSK密钥中导出所述移动性密钥。
33.如权利要求24所述的鉴权代理服务器,其中所述归属网络(12)是3GPP网络。
34.如权利要求24所述的鉴权代理服务器,其中所述归属网络(12)是WLAN网络。
35.如权利要求24所述的鉴权代理服务器,其中所述鉴权代理服务器(8C)是WIMAX鉴权代理服务器。
Applications Claiming Priority (5)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| DE102005052724.8 | 2005-11-04 | ||
| DE102005052724 | 2005-11-04 | ||
| DE102006008745A DE102006008745A1 (de) | 2005-11-04 | 2006-02-24 | Verfahren und Server zum Bereitstellen eines Mobilitätsschlüssels |
| DE102006008745.3 | 2006-02-24 | ||
| PCT/EP2006/067930 WO2007051776A1 (de) | 2005-11-04 | 2006-10-30 | Verfahren und server zum bereitstellen eines mobilitätsschlüssels |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101300815A true CN101300815A (zh) | 2008-11-05 |
| CN101300815B CN101300815B (zh) | 2012-11-14 |
Family
ID=37801439
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN200680041184XA Expired - Fee Related CN101300815B (zh) | 2005-11-04 | 2006-10-30 | 用于提供移动性密钥的方法和服务器 |
Country Status (8)
| Country | Link |
|---|---|
| US (1) | US8477945B2 (zh) |
| EP (1) | EP1943808B1 (zh) |
| JP (1) | JP4861426B2 (zh) |
| KR (1) | KR101377186B1 (zh) |
| CN (1) | CN101300815B (zh) |
| DE (1) | DE102006008745A1 (zh) |
| ES (1) | ES2662591T3 (zh) |
| WO (1) | WO2007051776A1 (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102595398A (zh) * | 2012-03-05 | 2012-07-18 | 黄东 | 一种减小系统开销的无线网络匿名认证方法 |
| US8477945B2 (en) | 2005-11-04 | 2013-07-02 | Siemens Aktiengesellschaft | Method and server for providing a mobile key |
Families Citing this family (30)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8630414B2 (en) * | 2002-06-20 | 2014-01-14 | Qualcomm Incorporated | Inter-working function for a communication system |
| AU2003272988A1 (en) * | 2002-10-11 | 2004-05-04 | Matsushita Electric Industrial Co., Ltd. | Identification information protection method in wlan interconnection |
| US8094821B2 (en) * | 2004-08-06 | 2012-01-10 | Qualcomm Incorporated | Key generation in a communication system |
| JP4869057B2 (ja) * | 2006-12-27 | 2012-02-01 | 富士通株式会社 | ネットワーク接続復旧方法及びaaaサーバ及び無線アクセス網ゲートウェイ装置 |
| US8170529B1 (en) * | 2007-02-08 | 2012-05-01 | Clearwire Ip Holdings Llc | Supporting multiple authentication technologies of devices connecting to a wireless network |
| US8671209B2 (en) * | 2007-02-13 | 2014-03-11 | Nec Corporation | Mobile terminal management system, network device, and mobile terminal operation control method used for them |
| US20080279151A1 (en) * | 2007-05-09 | 2008-11-13 | Nokia Siemens Networks Gmbh & Co. Kg | Method and device for processing data and communication system comprising such device |
| KR101341720B1 (ko) | 2007-05-21 | 2013-12-16 | 삼성전자주식회사 | 이동통신 시스템에서 프록시 이동 인터넷 프로토콜을 이용한 단말의 이동성 관리 방법 및 시스템과 이를 위한 단말의 홈 주소 할당 방법 |
| US8769611B2 (en) | 2007-05-31 | 2014-07-01 | Qualcomm Incorporated | Methods and apparatus for providing PMIP key hierarchy in wireless communication networks |
| CN101345997B (zh) * | 2007-07-12 | 2011-08-10 | 中兴通讯股份有限公司 | 一种提供网络服务的方法 |
| CN101836396B (zh) * | 2008-02-04 | 2012-05-30 | 中兴通讯股份有限公司 | 使无线局域网设备接入WiMAX网络的装置及其方法 |
| US8208375B2 (en) * | 2008-03-17 | 2012-06-26 | Microsoft Corporation | Selective filtering of network traffic requests |
| US9824355B2 (en) | 2008-09-22 | 2017-11-21 | Visa International Service Association | Method of performing transactions with contactless payment devices using pre-tap and two-tap operations |
| US8977567B2 (en) | 2008-09-22 | 2015-03-10 | Visa International Service Association | Recordation of electronic payment transaction information |
| US10706402B2 (en) | 2008-09-22 | 2020-07-07 | Visa International Service Association | Over the air update of payment transaction data stored in secure memory |
| EP2401835A4 (en) * | 2009-02-27 | 2014-04-23 | Certicom Corp | SYSTEM AND METHOD FOR SECURE COMMUNICATION WITH ELECTRONIC COUNTERS |
| US8150974B2 (en) * | 2009-03-17 | 2012-04-03 | Kindsight, Inc. | Character differentiation system generating session fingerprint using events associated with subscriber ID and session ID |
| KR101338487B1 (ko) | 2010-12-21 | 2013-12-10 | 주식회사 케이티 | I-wlan에서 인증 서버 및 그의 접속 인증 방법 |
| TW201513625A (zh) * | 2011-03-06 | 2015-04-01 | Pcn Technology Inc | 資料管理系統、提供安全通訊之方法、數位資料訊號管理裝置、計算機執行方法及資料監視系統 |
| CN102281287B (zh) * | 2011-06-23 | 2014-05-28 | 北京交通大学 | 基于tls的分离机制移动性信令保护系统及保护方法 |
| US9882713B1 (en) | 2013-01-30 | 2018-01-30 | vIPtela Inc. | Method and system for key generation, distribution and management |
| US9167427B2 (en) * | 2013-03-15 | 2015-10-20 | Alcatel Lucent | Method of providing user equipment with access to a network and a network configured to provide access to the user equipment |
| US9467478B1 (en) | 2013-12-18 | 2016-10-11 | vIPtela Inc. | Overlay management protocol for secure routing based on an overlay network |
| US10148669B2 (en) * | 2014-05-07 | 2018-12-04 | Dell Products, L.P. | Out-of-band encryption key management system |
| CN104284332A (zh) * | 2014-09-26 | 2015-01-14 | 中兴通讯股份有限公司 | 一种鉴权方法及无线路由器 |
| KR20160056551A (ko) * | 2014-11-12 | 2016-05-20 | 삼성전자주식회사 | 잠금 해제 수행 방법 및 사용자 단말 |
| US10285053B2 (en) * | 2015-04-10 | 2019-05-07 | Futurewei Technologies, Inc. | System and method for reducing authentication signaling in a wireless network |
| US9980303B2 (en) | 2015-12-18 | 2018-05-22 | Cisco Technology, Inc. | Establishing a private network using multi-uplink capable network devices |
| WO2018120247A1 (zh) | 2016-12-31 | 2018-07-05 | 华为技术有限公司 | 一种终端匹配方法、装置 |
| KR101997984B1 (ko) * | 2017-10-25 | 2019-07-08 | 이화여자대학교 산학협력단 | 프록시 재암호화를 이용한 위치 기반 차량 통신 방법 및 차량 통신을 위하여 프록시 재암호화를 수행하는 프록시 서버 |
Family Cites Families (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20020120844A1 (en) * | 2001-02-23 | 2002-08-29 | Stefano Faccin | Authentication and distribution of keys in mobile IP network |
| US7483411B2 (en) * | 2001-06-04 | 2009-01-27 | Nec Corporation | Apparatus for public access mobility LAN and method of operation thereof |
| JP3870081B2 (ja) | 2001-12-19 | 2007-01-17 | キヤノン株式会社 | 通信システム及びサーバ装置、ならびに制御方法及びそれを実施するためのコンピュータプログラム、該コンピュータプログラムを格納する記憶媒体 |
| US7298847B2 (en) * | 2002-02-07 | 2007-11-20 | Nokia Inc. | Secure key distribution protocol in AAA for mobile IP |
| US20070208864A1 (en) * | 2002-10-21 | 2007-09-06 | Flynn Lori A | Mobility access gateway |
| US7475241B2 (en) * | 2002-11-22 | 2009-01-06 | Cisco Technology, Inc. | Methods and apparatus for dynamic session key generation and rekeying in mobile IP |
| US7774828B2 (en) | 2003-03-31 | 2010-08-10 | Alcatel-Lucent Usa Inc. | Methods for common authentication and authorization across independent networks |
| ATE405082T1 (de) * | 2003-12-23 | 2008-08-15 | Motorola Inc | Schlüsselaktualisierung in sicherer multicastkommunikation |
| EP1638261A1 (en) * | 2004-09-16 | 2006-03-22 | Matsushita Electric Industrial Co., Ltd. | Configuring connection parameters in a handover between access networks |
| US7639802B2 (en) * | 2004-09-27 | 2009-12-29 | Cisco Technology, Inc. | Methods and apparatus for bootstrapping Mobile-Foreign and Foreign-Home authentication keys in Mobile IP |
| US7822437B2 (en) * | 2004-10-01 | 2010-10-26 | Nextel Communications Inc. | System and method for dispatch roaming registration |
| US7313394B2 (en) * | 2005-07-15 | 2007-12-25 | Intel Corporation | Secure proxy mobile apparatus, systems, and methods |
| US20070086382A1 (en) * | 2005-10-17 | 2007-04-19 | Vidya Narayanan | Methods of network access configuration in an IP network |
| DE102006008745A1 (de) | 2005-11-04 | 2007-05-10 | Siemens Ag | Verfahren und Server zum Bereitstellen eines Mobilitätsschlüssels |
-
2006
- 2006-02-24 DE DE102006008745A patent/DE102006008745A1/de not_active Ceased
- 2006-10-30 CN CN200680041184XA patent/CN101300815B/zh not_active Expired - Fee Related
- 2006-10-30 EP EP06819187.3A patent/EP1943808B1/de not_active Not-in-force
- 2006-10-30 US US12/092,693 patent/US8477945B2/en not_active Expired - Fee Related
- 2006-10-30 ES ES06819187.3T patent/ES2662591T3/es active Active
- 2006-10-30 WO PCT/EP2006/067930 patent/WO2007051776A1/de active Application Filing
- 2006-10-30 JP JP2008539397A patent/JP4861426B2/ja not_active Expired - Fee Related
-
2008
- 2008-06-04 KR KR1020087013524A patent/KR101377186B1/ko active IP Right Grant
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8477945B2 (en) | 2005-11-04 | 2013-07-02 | Siemens Aktiengesellschaft | Method and server for providing a mobile key |
| CN102595398A (zh) * | 2012-03-05 | 2012-07-18 | 黄东 | 一种减小系统开销的无线网络匿名认证方法 |
| CN102595398B (zh) * | 2012-03-05 | 2015-04-29 | 黄东 | 一种减小系统开销的无线网络匿名认证方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| ES2662591T3 (es) | 2018-04-09 |
| EP1943808B1 (de) | 2018-01-31 |
| US8477945B2 (en) | 2013-07-02 |
| KR101377186B1 (ko) | 2014-03-25 |
| JP4861426B2 (ja) | 2012-01-25 |
| WO2007051776A1 (de) | 2007-05-10 |
| KR20080068732A (ko) | 2008-07-23 |
| JP2009515450A (ja) | 2009-04-09 |
| DE102006008745A1 (de) | 2007-05-10 |
| EP1943808A1 (de) | 2008-07-16 |
| US20090193253A1 (en) | 2009-07-30 |
| CN101300815B (zh) | 2012-11-14 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101300815B (zh) | 用于提供移动性密钥的方法和服务器 | |
| CN101300889B (zh) | 用于提供移动性密钥的方法和服务器 | |
| CN101300814B (zh) | 以用户特定的方式强制代理移动ip(pmip)代替客户端移动ip(cmip) | |
| US9197615B2 (en) | Method and system for providing access-specific key | |
| US9043599B2 (en) | Method and server for providing a mobility key | |
| EP1735990B1 (en) | Mobile ipv6 authentication and authorization | |
| US8126148B2 (en) | Securing home agent to mobile node communication with HA-MN key | |
| US8611543B2 (en) | Method and system for providing a mobile IP key | |
| CN101268669B (zh) | 用于认证来自移动节点的更新的方法和移动锚点 | |
| US8615658B2 (en) | Dynamic foreign agent—home agent security association allocation for IP mobility systems | |
| CN1795656B (zh) | 一种安全初始化用户和保密数据的方法 | |
| US20060111105A1 (en) | System and method for managing secure registration of a mobile communications device |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20121114 Termination date: 20201030 |