CN1890917A - 移动节点鉴别 - Google Patents
移动节点鉴别 Download PDFInfo
- Publication number
- CN1890917A CN1890917A CNA2004800362596A CN200480036259A CN1890917A CN 1890917 A CN1890917 A CN 1890917A CN A2004800362596 A CNA2004800362596 A CN A2004800362596A CN 200480036259 A CN200480036259 A CN 200480036259A CN 1890917 A CN1890917 A CN 1890917A
- Authority
- CN
- China
- Prior art keywords
- mobile
- mobile node
- authentication information
- home agent
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/069—Authentication using certificates or pre-shared keys
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W8/00—Network data management
- H04W8/02—Processing of mobility data, e.g. registration information at HLR [Home Location Register] or VLR [Visitor Location Register]; Transfer of mobility data, e.g. between HLR, VLR or external networks
- H04W8/04—Registration at HLR or HSS [Home Subscriber Server]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/126—Applying verification of the received information the source of the received data
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/164—Implementing security features at a particular protocol layer at the network layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W60/00—Affiliation to network, e.g. registration; Terminating affiliation with the network, e.g. de-registration
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W80/00—Wireless network protocols or protocol adaptations to wireless operation
- H04W80/04—Network layer protocols, e.g. mobile IP [Internet Protocol]
Abstract
为了鉴别移动节点,从移动节点接收移动IPv6登记请求,其中登记请求包含鉴别信息。移动IPv6登记请求的一个例子是移动IPv6绑定更新消息。基于登记请求中所含的鉴别信息执行鉴别移动节点的过程。
Description
技术领域
本发明一般涉及移动节点鉴别。
背景技术
基于分组的数据网络广泛用于链接各种类型的网元,如个人计算机、网络电话、因特网设备、个人数字助理(PDA)、移动电话等。许多类型的通信可能在基于分组的数据网络上实施,包括电子邮件、Wed浏览、文件下载、电子商务交易、语音或其他形式的实时交互式通信等。
一种基于分组的网络是基于因特网协议(IP)的网络。在基于分组的网络上的通信使用分组或数据报来执行,这些分组或数据报通常以脉冲串的形式从源发送到一个或更多目的点。通常为网元指配网络地址(例如,IP地址)。跨数据网络发送的分组包括(源网元的)源网络地址和(目的网元的)目的网络地址。数据网络中的路由器基于这些源地址和目的地址在网络路径上对每个分组进行路由选择。这种在基于分组的网络上的通信称为分组交换通信。
网元(如笔记本计算机或PDA)的移动性是期望的特征。当用户在不同点之间旅行时,可以更改与用户相关联的网元的连接点。用户可能从他或她的归属网络(第一连接点)移动到称为受访或外来网络(第二连接点)另一个网络。移动网元至网络的连接点可以是有线连接或无线连接。有线连接的一个例子是使用网络电缆将移动网元连接到与网络连接的墙上插座中的端口。无线连接点的一个例子是移动台与移动通信网络(如蜂窝通信网络)的基站之间的无线链路。在后一种情况中,移动台可以是移动电话或能够和与移动通信网络相关联的基站传送无线信令的任何其他便携式装置。
为了在允许用户跨不同的网络更改连接点方面提供增强的灵活性和便利,已经定义了移动IP协议。移动IP协议的一个版本是移动IPv6。移动IP协议定义归属代理,它是移动网元的归属网络中的路由器,负责在移动网元离开归属网络时用隧道技术将分组传输到移动网元。归属代理维护移动网元的当前位置信息。移动IP协议还定义外来代理,它是移动网元当前连接的受访网络或外来网络中的路由器。外来代理向移动网元提供路由选择服务,以及将由移动网元的归属代理用隧道技术传送的分组拆封(detunnel)并将其传输到移动网元。
与使用可遍历不同网络的移动节点相关联的一个问题是鉴别移动节点。为鉴别移动节点,移动IPv6的基本规范强制要求应该在移动节点和归属代理之间使用IP安全(IPsec)协议。虽然IPsec可以提供较强的保护,但是IPsec的实施可能并非在所有的情况中都是可行的。例如,IPsec是处理密集型的;由此,在小型手持装置中,IPsec可能消耗此类装置的可用处理容量的较大部分。此类装置的另一个问题是,电池可提供的电源可能是有限的,以及由Ipsec所加的处理负荷可能导致可用电池容量的较快消耗。
使用IPsec的鉴别机制是基于移动节点的归属IP地址。因此,使用IPsec可能阻止移动节点获取动态归属地址。再者,在一些情况中,当移动节点最初在如受访网络的网络中启动时,移动节点可能不知道它的IP地址。由此,移动节点不会有可用的IP地址来用于执行IPsec鉴别机制。
发明概述
一般来说,提供用于有效鉴别移动节点的方法和设备。例如,一种鉴别移动节点的方法包括,从移动节点接收包含鉴别信息的移动IPv6登记请求。基于登记请求中所含的鉴别信息执行鉴别移动节点的过程。向移动节点发送确认成功登记的回复。
根据以下说明、附图和权利要求书将逐渐了解其他或备选特征。
附图简要说明
图1是具有归属网络和受访或外来网络的移动通信网络的示范布置的框图,其中实施根据一些实施例的鉴别机制。
图2是根据一个实施例、鉴别移动节点的进程的消息流程图。
图3-5示出根据一些实施例的若干消息的格式。
详细说明
在以下说明中,为理解一些实施例而阐述许多细节。但是,本领域技术人员将理解,实施例可以在没有这些细节的条件下付诸实践,以及所述实施例的许多变化或修改可以是可能的。
图1示出包括第一无线网络10和第二无线网络12的无线移动通信网络的示范布置。每个无线网络包括多个小区的布置,其中每个小区具有与移动台(例如,移动电话)传送射频(RF)信号的无线电基站。这两个无线网络可能与不同的服务提供商相关联。
注意图1所示的布置是根据码分多址(CDMA)2000系列标准实施的移动或无线通信网络的一个例子。CDMA 2000标准是由第三代伙伴项目2(3GPP2)开发的。CDMA 2000无线网络能够同时支持电路交换服务和分组交换服务。
可以在其他实施例中采用其他类型的移动通信网络,如基于时分多址(TDMA)协议的那些网络。支持分组交换服务的TDMA协议的一个例子是UMTS(通用移动电信系统)标准。本文所涉及的支持分组交换服务的无线协议仅作为例子提供,因为可以在其他实施例中使用其他协议。
一些实施例可以应用于其他无线技术,包括IEEE 802.11a、宽带CDMA(WCDMA)、通用分组无线电业务(GPRS)、全球移动系统(GSM)等。如上所述,移动性的概念还可以应用于有线网络而不是无线网络。
还可以在有线通信网络布置中提供移动性,其中通过有线连接将移动网元连接到网络。有线连接通常采取移动网元与相应的网络之间直接电缆连接的形式。或者,有线连接布置还可以包括无线局域网(LAN),其中移动网元以无线方式与很靠近移动网元的基站通信,而基站有线连接到网络。本文所述用于鉴别网络中的移动节点的概念可应用于无线移动通信网络布置(如CDMA或TDMA无线网络布置或无线LAN布置)或可应用于有线网络布置。在有线场合中,归属网络12表示一个域,而外来网络10表示另一个域。移动节点通过有线连接而不是无线电网络来访问每个网络。
在随后的论述中,“移动节点”或“移动台”指是无线节点或有线节点的移动节点或移动台。
如图1所示,从给定移动台16的角度来看,移动通信网络包括归属网络12和受访或外来网络10。移动台16与支持归属网络12的服务提供商的预订用户相关联。但是,移动台16可能移动到由受访无线网络10覆盖的位置。从其他移动台的角度来看,网络10是归属网络,而网络12可能是受访或外来网络。
图1示出移动台16已经移动到归属无线网络12的覆盖区以外并进入外来无线网络10。但是,注意另一个移动台17仍留在它的归属无线网络中。外来无线网络10包括无线电网络14,无线电网络包括多个基本收发信机系统(BTS)和控制相应的小区或小区扇区中无线电通信的无线电网络控制器(RNC)或基站控制器(BSC)。一旦连接到外来无线网络10,移动台16就能够与无线电网络14传送基于射频(RF)信号或其他无线信号的控制信令和业务。归属网络12类似地也包括向移动台17提供空中接口的无线电网络44。
如因特网协议(IP)环境的分组交换环境中的网络之间的无缝移动性由移动IP定义。在2003年6月的标题为“IPv6中的IP移动性支持,draft-ietf-mobileip-ipv6-24.txt”的因特网工程任务组(IETF)因特网草案或在2004年6月的标题为“IPv6的移动性支持”的RFC 3775中描述移动IP的一个版本(移动IPv6)。如这里所使用的,术语“移动IP”或“移动IPv6”指移动IPv6以及从移动IPv6协议发展或导出的任何后续移动IP协议。IP的一个版本是在1981年9月的标题为“因特网协议”的RFC 791中描述的IPv4;而IP的另一个版本是在1998年12月的标题为“因特网协议,版本6(IPv6)规范”的RFC 2460中描述的IPv6。在分组交换通信中,分组或其他数据单元承载用于在一个或更多路径上将分组或数据单元路由选择到目的端点的路由选择信息(采取网络地址的形式)。但是,注意一些实施例可以在使用其他分组交换协议和移动性协议的网络中应用。
为了传送电路交换语音或其他业务,无线电网络14或44耦合到相应的移动交换中心(MSC)18或46,移动交换中心负责交换移动台始发的或移动台终接的业务。事实上,MSC 18或46是用于无线网络10或12与如公共交换电话网(PSTN)20的公共交换网络或其他MSC之间用信号传送最终用户业务的接口。PSTN 20连接到陆上线路终端,如电话22。
无线网络10或12还能够支持分组交换数据服务,其中在移动台和另一个端点之间传送分组数据,该另一个端点可以是耦合到基于分组的数据网络24的终端或能够传送分组数据的另一个移动台。基于分组的数据网络24的例子包括专用网络(如局域网或广域网)以及公共网络(如因特网)。在移动台和另一个端点之间建立的分组交换通信会话中传送分组数据。
为了传送分组数据,无线电网络14或44管理利用分组数据服务节点(PDSN)26或42的分组的中继。在其他类型的无线协议的情况中,其他类型的实体参与传送移动台始发的或移动台终接的分组数据。更一般地来说,无线网络中管理分组数据的传送的节点(如PDSN 26或42)称为“分组服务节点”。
PDSN 26或42建立、维护和终止至移动台的链路层会话,并对移动台始发的或移动台终接的分组数据业务进行路由选择。PDSN 26或42耦合到基于分组的数据网络24,数据网络连接到各种端点,如计算机28或网络电话30。分组交换通信的例子包括Web浏览、电子邮件、文本聊天会话、文件传输、交互式游戏会话、基于IP(因特网协议)的语音会话等。在一个实施例中,分组交换通信利用由IP定义的无连接互连网层。
为了根据移动IPv6鉴别移动网络(例如,无线网络10或12)中的移动节点,实施根据一些实施例的轻型(lightweight)协议。该轻型协议不比常规用于鉴别移动节点的IP安全(IPsec)协议处理密集。轻型协议使移动节点的鉴别能够通过将鉴别信息元插入已经为登记移动节点而必须在移动节点与归属代理40之间交换的登记消息中来执行。鉴别信息元使归属代理能够鉴别移动节点。除了鉴别信息元外,还可以在登记消息中包括网络访问标识符(NAI)信息元和重放攻击保护信息元。
当移动节点在移动网络中首次启动时,移动节点执行与归属代理(例如40)的登记过程。在一个实施中,归属代理40是PDSN 40的一部分。或者,归属代理40可以是单独的组件。还要注意在受访网络10的PDSN 26中提供有外来代理64。
作为根据移动IPv6的登记过程的一部分,移动节点向它的归属代理发送绑定更新消息。根据一些实施例,绑定更新消息中提供的附加信息元包括:(1)移动节点的网络访问标识符(NAI);(2)用于使归属代理能够鉴别移动节点的鉴别信息;以及(3)用于重放攻击保护的标识符(ID)移动性信息。重放攻击指黑客监视网络上的分组以从分组复制信息以便该黑客可以获得对网络的未授权访问的一种攻击。
绑定更新消息的这些附加信息元称为MN-NAI移动性选项(用于存储移动节点的NAI)、鉴别移动性选项(用于存储鉴别信息)以及ID移动性选项(用于存储ID信息)。鉴别、MN-NAI和ID移动性选项是绑定更新消息的移动性首部的一部分。移动性首部是在与创建和管理绑定相关的消息接发时由移动节点、归属代理和其他节点使用的扩展首部。
通过将NAI包括在绑定更新消息中,归属代理能够使用NAI连同鉴别信息元来执行利用鉴别、授权和记账(AAA)服务器的鉴别过程以鉴别移动节点。再者,NAI信息元使移动节点可以获取新的归属IP地址。这种机制在移动节点已建立了PPP(点到点协议)会话而移动节点尚未拥有归属IP地址时是有用的。在1994年7月的标题为“点到点协议(PPP)”的RFC 1661中描述PPP。该机制还可以用在移动节点因为其归属网络重新编号或因为移动节点周期性更改IP地址而更改其归属IP地址时。
ID移动性选项包含用于重放攻击保护的时间戳或现用值(nonce)(随机数或随机数与时间戳的组合)。例如,如果包括时间戳,则归属代理会能够废弃在重放攻击期间基于当前时间与ID移动性选项中所含的时间戳的比较而确定为太旧的消息。
图2示出根据一个实施例、由归属代理鉴别移动节点的进程的消息流程图。移动节点可以是移动台16(图1)、移动台17或任何其他移动节点。最初,当移动节点首先启动时,移动节点通过PDSN向分组数据网络发送(在102)ICMP(因特网控制消息协议)归属代理地址发现请求。注意PDSN在此情况中充当路由器。ICMP由1981年9月的标题为“因特网控制消息协议”的RFC 792描述。由归属代理(例如图1中的40)或受访网络10内任何其他指定的路由器(由受访网络运营商配置)接收ICMP归属代理地址发现请求,归属代理或受访网络10内任何其他指定的路由器以ICMP归属代理地址发现回复消息响应(在104)。回复消息包含所有可用归属代理的列表。当接收到归属代理组成的列表时,移动节点从列表中选择(在106)归属代理,并任选地基于来自归属代理的信息生成移动节点的归属IP地址。归属代理的选择可以基于各种准则,如列表中归属代理的次序。或者,可以稍后指配移动节点的归属IP地址。
移动节点然后向所选的归属代理发送绑定更新消息(在108)。根据一些实施例,绑定更新消息包含鉴别、MN-NAI和ID移动性选项。根据一个实施,绑定更新消息的余下内容包括归属IP地址字段(用于承载移动节点的归属地址)以及由IPv6规范定义的其他信息元。
在一些情况中,移动节点可以在绑定更新消息的归属IP地址字段中发送零值。对此响应,归属代理基于绑定更新消息中所含的NAI为移动节点分配唯一的归属IP地址。
当接收绑定更新消息时,归属代理检查(在109)绑定更新消息的鉴别移动性选项中的(结合图5所述的)鉴别符字段的有效性。有效性是基于鉴别符字段中所含的共享秘密密钥。接下来,归属代理使用绑定更新消息中的ID移动性选项中的ID字段检查(在110)是否有重放攻击。归属代理检查以确保时间戳与该当前时间相差不多于预定的时间周期(例如,500毫秒)。如果时间戳检查指示当前时间比时间戳大预定的量,则归属代理通过发送回含有错误码的绑定确认消息来指示发生了错误。对此错误响应,移动节点可以更新后续绑定更新消息中的ID字段值。
假定检查指示绑定更新消息不是重放攻击的一部分,则归属代理向归属鉴别、授权和记账(AAA)服务器38(图1)发送(在112)访问请求。注意受访网络10中提供有外来AAA服务器66。归属AAA服务器38为尝试连接到归属网络的移动节点提供鉴别和授权服务。由归属AAA服务器38提供的鉴别和授权服务是基于移动节点的NAI和鉴别移动性选项中的信息。在此情况中,在访问请求消息中传送的NAI是从绑定更新消息中提取的NAI。访问请求消息还包含从绑定更新消息中的鉴别移动性选项中提取的鉴别符字段。在2000年10月的标题为“移动IP鉴别、授权和记账需求”的RFC 2977中描述移动IP AAA。访问请求消息是根据如在1997年4月的RFC 2138中描述的RADIUS(远程鉴别拨入用户服务)协议。但是,在其他实施例中,可以在归属代理和归属AAA服务器之间采用其他形式的消息。
对访问请求消息响应,归属AAA服务器鉴别(在114)移动节点并发送回(在116)访问接受消息(根据一个实施也是RADIUS消息)以指示成功鉴别。注意由AAA服务器执行的鉴别基于MN-NAI移动性选项的NAI以及基于绑定更新消息的鉴别移动性选项中的鉴别信息。
归属代理然后对绑定更新消息中传送的归属地址执行(在118)重复地址检测以检测是否指配了重复地址。如果成功执行了重复地址检测,则归属代理发送回(在120)绑定确认消息,该绑定确认消息实质上包含许多与绑定更新消息中的信息相同的信息。具体来说,根据一些实施例,绑定确认消息包含在绑定更新消息中传送的MN-NAI移动性选项、鉴别移动性选项和ID移动性选项。绑定确认消息还包含归属IP地址字段来承载移动节点的归属IP地址。注意绑定确认消息中的ID移动性选项可以由移动节点使用以免受重放攻击。
由移动节点执行的图2所示的任务可以在移动IP层50(图1)和/或移动节点中的其他软件层(例如图1中的移动台17)中实施。图1所示的移动台17还包括用于在无线电链路上与无线电网络44通信的无线电接口52。移动台17的软件层可在中央处理单元(CPU)54上执行。移动台17中的数据和指令可以存储在存储器56中。
类似地,由归属代理执行的图2所示的任务可以在移动IP层58(图1)和/或其他软件层中执行。归属代理的软件层可在CPU 60上执行,而数据和指令可以存储在存储器62中。
图3示出绑定更新或绑定确认消息中所含的MN-NAI移动性选项的示范格式。MN-NAI移动性选项包含用于指示选项的类型的类型字段202以及用于指示NAI字段206中所含的NAI的长度的长度字段204。NAI的一个例子是userl@nortelnetworks.com。注意移动节点的NAI不同于移动节点的IP地址。
如图4所示,绑定更新或绑定确认消息的ID移动性选项包含类型字段302、长度字段304以及包含现用值或时间戳的ID字段306。
图5中示出鉴别移动性选项。该选项包含类型字段402、用于指示子类型字段406的长度的长度字段404、SPI字段408以及鉴别符字段410(组合的)。子类型字段406是被指配来标识用于鉴别消息的实体和/或机制的数字。SPI字段408用于标识用于鉴别消息的特定安全关联。鉴别符字段410包含用于鉴别移动节点的信息。在一个实施中,鉴别移动性选项是包含移动性首部的消息中的最后一个选项。
鉴别符字段410包含如下信息:
鉴别符=前(96,HMAC_SHA1(MN-HA共享密钥,移动性数据))。
基本上,鉴别符字段410包含如下两个数据元的散列函数(由HMAC_SHA1定义)的前96位:MN-HA共享密钥、移动性数据。散列函数是如SHA-1(安全散列算法-1)的单向散列函数以能够安全传送共享密钥。MN-HA共享密钥是移动节点和归属代理之间的共享秘密密钥。如果归属代理没有该共享密钥的副本,则归属代理可以访问归属AAA服务器38(图1)以取回密钥来执行鉴别操作。
鉴别符字段中所含的移动性数据按如下定义:
移动性数据=转交地址|归属地址|MH数据|SPI。
转交地址是(受访网络中的)IP地址,将寻址到移动节点的归属地址的分组路由选择到该IP地址。归属地址是移动节点在归属网络中的IP地址。MH数据包含绑定更新消息的移动性首部中的信息。SPI来自鉴别移动性选项(图5)的SPI字段408。
当从移动节点接收到绑定更新消息(图2中的108)时,归属代理从鉴别移动性选项(图5)中提取鉴别符字段410和SPI字段408的内容。归属代理还从MN-NAI移动性选项(图3)的NAI字段206中提取NAI。NAI、鉴别符和SPI值被包括在由归属代理发送到AAA服务器的访问请求(或其他类型的消息)中。
通过使用根据一些实施例的轻型鉴别机制,提供一种比由如Ipsec的常规机制所提供的鉴别过程更有效的鉴别过程。例如,可以通过使用根据一些实施例的轻型鉴别机制来避免IPsec的较冗长的会话建立时间。再者,轻型鉴别机制允许更有效地使用移动节点的处理资源。
由归属代理(或归属网络中其他等效实体)和移动台执行的任务由归属代理和移动台中的软件来提供。此类软件例行程序或模块的指令存储在对应系统中的一个或更多存储装置上并被加载以在对应的处理器上执行。这些处理器包括微处理器、微控制器、处理器模块或子系统(包括一个或更多微处理器或微控制器)或其他控制或计算装置。如这里所使用的,“控制器”指硬件、软件或它们的组合。“控制器”可以指单个组件或多个组件(软件或硬件)。
(软件)的数据和指令存储在相应的存储装置中,这些存储装置作为一个或更多机器可读存储介质来实施。存储介质包括不同形式的存储器,包括半导体存储装置,如动态或静态随机存取存储器(DRAM或SRAM)、可擦写和可编程只读存储器(EPROM)、电可擦写和可编程只读存储器(EEPROM)以及闪速存储器;磁盘,如固定盘、软盘和可移动盘;其他磁介质,包括磁带;以及光介质,如光盘(CD)或数字视频光盘(DVD)。
将软件的指令以许多不同方式中的一种加载或传输到每个实体。例如,将包括存储在软盘、CD或DVD介质、硬盘上或通过网络接口卡、调制解调器或其他接口装置传输的指令的代码段加载到实体中并作为对应的软件例行程序或模块来执行。在加载或传输进程中,在载波中实施(在电话线、网络线路、无线链路、电缆和诸如此类上传送)的数据信号将包括指令的代码段传送到实体。此类载波采取电信号、光信号、声信号、电磁信号或其他类型的信号的形式。
虽然参考有限数量的实施例公开了一些实施例,但是本领域技术人员将认识到由此产生的多种修改和变化。旨在所附权利要求书涵盖此类落在本发明的真实精神和范围内的修改和变化。
Claims (26)
1.一种鉴别移动节点的方法,包括:
从所述移动节点接收移动IPv6登记请求,所述登记请求包含鉴别信息;
基于所述移动IPv6登记请求中所含的鉴别信息执行鉴别所述移动节点的过程;以及
向所述移动节点发送确认成功登记的回复。
2.如权利要求1所述的方法,其中接收包含所述鉴别信息的移动IPv6登记请求包括接收包含不同于因特网协议安全信息的鉴别信息的移动IPv6登记请求。
3.如权利要求1所述的方法,其中接收所述移动IPv6登记请求包括接收包含所述鉴别信息和网络访问标识符的移动IPv6登记请求。
4.如权利要求3所述的方法,其中接收所述移动IPv6登记请求包括接收包含所述鉴别信息、网络访问标识符以及重放保护字段的移动IPv6登记请求,所述方法还包括:
基于所述重放保护字段检查是否有重放攻击。
5.如权利要求4所述的方法,其中所述重放保护字段包含时间戳和现用值中的至少一个,检查是否有所述重放攻击基于所述时间戳和现用值中的至少一个。
6.如权利要求1所述的方法,其中接收移动IPv6登记请求包括接收移动IPv6绑定更新消息。
7.如权利要求5所述的方法,其中向所述移动节点发送所述回复包括发送移动IPv6绑定确认消息,所述绑定确认消息包含所述鉴别信息。
8.如权利要求7所述的方法,还包括将所述鉴别信息、网络访问标识符和重放保护字段添加到所述绑定确认消息上。
9.如权利要求8所述的方法,其中所述重放保护字段包括时间戳和现用值中的至少一个以能够由所述移动节点检查是否有重放攻击。
10.如权利要求7所述的方法,其中所述鉴别信息包括安全参数索引值和鉴别符值,所述鉴别符值包含由包含所述移动节点和归属代理之间共享的至少一个秘密密钥的散列信息导出的值的至少一部分。
11.如权利要求1所述的方法,还包括:
从所述移动IPv6登记请求中提取所述鉴别信息;以及
响应所述移动IPv6登记请求,向鉴别、授权和记账(AAA)服务器发送消息以执行所述鉴别过程。
12.如权利要求1所述的方法,其中所述鉴别信息包括安全参数索引值和鉴别符值,所述鉴别符值包含由包含所述移动节点和归属代理之间共享的至少一个秘密密钥的散列信息导出的值的至少一部分。
13.一种产品,包括至少一个存储介质,所述至少一个存储介质包含在执行时使移动网络中的系统执行如下操作的指令:
接收移动IPv6登记消息,所述登记消息包含用于鉴别所述移动网络中的移动节点的鉴别信息。
14.如权利要求13所述的产品,其中所述鉴别信息不同于因特网协议安全信息。
15.如权利要求13所述的产品,其中所述系统包括移动台,所述指令在执行时使所述移动台接收包含所述鉴别信息的移动IPv6绑定确认消息。
16.如权利要求15所述的产品,其中接收所述移动IPv6绑定确认消息包括接收包含所述鉴别信息和所述移动节点的网络访问标识符的移动IPv6绑定确认消息。
17.如权利要求13所述的产品,其中所述系统包括归属代理,所述指令在执行时使所述归属代理接收移动IPv6绑定更新消息,所述移动IPv6绑定更新消息包含所述鉴别信息。
18.如权利要求17所述的产品,其中所述指令在执行使所述归属代理还向鉴别、授权和记账服务器发送访问请求以执行鉴别过程,发送到所述AAA服务器的消息包含所述移动IPv6绑定更新消息中的鉴别信息。
19.如权利要求13所述的产品,其中所述移动IPv6登记消息还包含重放保护字段,所述指令在执行时使所述系统还使用所述移动IPv6登记消息中的重放保护字段来检测是否有重放攻击。
20.如权利要求13所述的产品,其中接收所述移动IPv6登记消息包括接收还包含所述移动节点的网络访问标识符的移动IPv6登记消息。
21.如权利要求13所述的产品,其中所述鉴别信息包括安全参数索引值和鉴别符值,所述鉴别符值包含从包含移动节点和归属代理之间共享的至少一个秘密密钥的散列信息导出的值的至少一部分。
22.一种移动节点,包括:
接口,用于与包含归属代理的移动网络通信;以及
控制器,用于:
向所述归属代理发送绑定更新消息,其中所述绑定更新消息包含鉴别字段以使所述归属代理能够鉴别所述移动节点;以及
从所述归属代理接收绑定确认消息,其中所述绑定确认消息指示所述移动节点已由所述归属代理成功鉴别。
23.如权利要求22所述的移动节点,其中所述绑定更新消息还包含所述移动节点的网络访问标识符。
24.如权利要求23所述的移动节点,其中所述绑定更新消息还包含重放攻击保护字段。
25.如权利要求22所述的移动节点,其中所述鉴别字段包含不同于因特网协议安全信息的信息。
26.如权利要求25所述的移动节点,其中所述绑定更新消息包括移动IPv6绑定更新消息。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US51060703P | 2003-10-13 | 2003-10-13 | |
| US60/510,607 | 2003-10-13 | ||
| PCT/IB2004/003328 WO2005036813A1 (en) | 2003-10-13 | 2004-10-12 | Mobile node authentication |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1890917A true CN1890917A (zh) | 2007-01-03 |
| CN1890917B CN1890917B (zh) | 2017-02-15 |
Family
ID=34435111
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN200480036259.6A Expired - Fee Related CN1890917B (zh) | 2003-10-13 | 2004-10-12 | 移动节点鉴别 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US20050079869A1 (zh) |
| EP (1) | EP1676397A4 (zh) |
| KR (1) | KR101102228B1 (zh) |
| CN (1) | CN1890917B (zh) |
| WO (1) | WO2005036813A1 (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108702371A (zh) * | 2016-03-08 | 2018-10-23 | 高通股份有限公司 | 用于产生用于安全验证的动态ipv6地址的系统、设备和方法 |
Families Citing this family (37)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7382748B1 (en) * | 2001-10-24 | 2008-06-03 | Nortel Networks Limited | Assigning a dynamic home agent for a mobile network element |
| US8190893B2 (en) * | 2003-10-27 | 2012-05-29 | Jp Morgan Chase Bank | Portable security transaction protocol |
| JP4071700B2 (ja) * | 2003-11-07 | 2008-04-02 | 株式会社エヌ・ティ・ティ・ドコモ | 移動通信システム、内線送受信装置、無線基地局装置、無線制御装置及び移動交換局 |
| FI20040076A0 (fi) * | 2004-01-20 | 2004-01-20 | Nokia Corp | Autentikoinnit kommunikaatiojärjestelmässä |
| US8311552B1 (en) * | 2004-02-27 | 2012-11-13 | Apple Inc. | Dynamic allocation of host IP addresses |
| US7292592B2 (en) * | 2004-10-08 | 2007-11-06 | Telefonaktiebolaget Lm Ericsson (Publ) | Home network-assisted selection of intermediary network for a roaming mobile terminal |
| US7298725B2 (en) * | 2004-10-08 | 2007-11-20 | Telefonaktiebolaget Lm Ericsson (Publ) | Enhancement of AAA routing initiated from a home service network involving intermediary network preferences |
| US7590732B2 (en) | 2004-10-08 | 2009-09-15 | Telefonaktiebolaget Lm Ericsson (Publ) | Enhancement of AAA routing originated from a local access network involving intermediary network preferences |
| US7551926B2 (en) * | 2004-10-08 | 2009-06-23 | Telefonaktiebolaget Lm Ericsson (Publ) | Terminal-assisted selection of intermediary network for a roaming mobile terminal |
| US7733822B2 (en) * | 2004-11-30 | 2010-06-08 | Sanjay M. Gidwani | Distributed disparate wireless switching network |
| US7660582B2 (en) * | 2005-01-13 | 2010-02-09 | Utstarcom, Inc. | Method and apparatus to facilitate broadcast packet handling |
| US20060160524A1 (en) * | 2005-01-20 | 2006-07-20 | Utstarcom, Inc. | Method and apparatus to facilitate the support of communications that require authentication when authentication is absent |
| CN1832617A (zh) * | 2005-03-09 | 2006-09-13 | 华为技术有限公司 | 锁定终端归属区域的方法 |
| KR100848541B1 (ko) | 2005-05-13 | 2008-07-25 | 삼성전자주식회사 | 이동 아이피 버전 6에서 재전송 공격을 방지하기 위한 방법 |
| US8867505B2 (en) * | 2005-06-20 | 2014-10-21 | Sk Telecom Co., Ltd. | Fast data-link connection method for saving connection time in CDMA 2000 network |
| US7808970B2 (en) * | 2005-06-30 | 2010-10-05 | Motorola, Inc. | Method of dynamically assigning mobility configuration parameters for mobile entities |
| CN1925431A (zh) * | 2005-08-31 | 2007-03-07 | 华为技术有限公司 | 文件传输协议服务性能测试方法 |
| US7961622B2 (en) * | 2005-09-02 | 2011-06-14 | Tekelec | Methods, systems, and computer program products for monitoring and analyzing signaling messages associated with delivery of streaming media content to subscribers via a broadcast and multicast service (BCMCS) |
| US7720463B2 (en) * | 2005-09-02 | 2010-05-18 | Tekelec | Methods, systems, and computer program products for providing third party control of access to media content available via broadcast and multicast service (BCMCS) |
| CN100361456C (zh) * | 2005-10-13 | 2008-01-09 | 华为技术有限公司 | 终端设备的管理方法及其终端设备 |
| US7860799B2 (en) * | 2005-10-25 | 2010-12-28 | Tekelec | Methods, systems, and computer program products for providing media content delivery audit and verification services |
| US7508794B2 (en) * | 2005-11-29 | 2009-03-24 | Cisco Technology, Inc. | Authorizing an endpoint node for a communication service |
| US7831237B2 (en) * | 2006-02-03 | 2010-11-09 | Broadcom Corporation | Authenticating mobile network provider equipment |
| DE102006006072B3 (de) | 2006-02-09 | 2007-08-23 | Siemens Ag | Verfahren zum Sichern der Authentizität von Nachrichten, die gemäß einem Mobile Internet Protokoll ausgetauscht werden |
| US8213934B2 (en) * | 2006-04-14 | 2012-07-03 | Qualcomm Incorporated | Automatic selection of a home agent |
| US8189544B2 (en) * | 2006-06-26 | 2012-05-29 | Alcatel Lucent | Method of creating security associations in mobile IP networks |
| US8561135B2 (en) * | 2007-12-28 | 2013-10-15 | Motorola Mobility Llc | Wireless device authentication using digital certificates |
| US8370503B2 (en) * | 2008-05-02 | 2013-02-05 | Futurewei Technologies, Inc. | Authentication option support for binding revocation in mobile internet protocol version 6 |
| KR100957183B1 (ko) | 2008-08-05 | 2010-05-11 | 건국대학교 산학협력단 | 프록시 모바일 ip 환경에서의 이동 단말 인증방법 |
| JP4371250B1 (ja) * | 2008-08-07 | 2009-11-25 | 日本電気株式会社 | 通信システム、サーバ装置、情報通知方法、プログラム |
| JP4371249B1 (ja) * | 2008-08-07 | 2009-11-25 | 日本電気株式会社 | 通信システム、サーバ装置、情報通知方法、プログラム |
| CN101686458B (zh) * | 2008-09-28 | 2013-06-12 | 华为技术有限公司 | 一种终端配置和管理方法及终端装置 |
| KR100932785B1 (ko) | 2008-10-17 | 2009-12-29 | 주식회사 케이티 | 이기종 네트워크에서 통합된 가입자 인식을 제공하는 시스템 및 이를 위한 모바일 아이피 등록 방법 |
| US20100330960A1 (en) * | 2009-06-25 | 2010-12-30 | Venkataramaiah Ravishankar | Systems, methods, and computer readable media for third party monitoring and control of calls |
| KR101771437B1 (ko) | 2009-11-04 | 2017-08-28 | 삼성전자주식회사 | 컨텐츠의 속성을 기초로 컨텐츠를 제공할 기기를 결정하는 컨텐츠 제공방법 및 이를 적용한 전자기기 |
| US11283798B2 (en) * | 2016-07-18 | 2022-03-22 | Telefonaktiebolaget Lm Ericsson (Publ) | Network nodes and methods performed by network node for selecting authentication mechanism |
| CN108134718B (zh) * | 2017-11-16 | 2019-07-23 | 百度在线网络技术(北京)有限公司 | 发现设备的方法、装置、设备和计算机存储介质 |
Family Cites Families (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CA2149688C (en) * | 1994-06-30 | 1999-05-04 | Bruce Merrill Bales | Pre-location of authentication information in a personal communication system |
| US6625135B1 (en) * | 1998-05-11 | 2003-09-23 | Cargenie Mellon University | Method and apparatus for incorporating environmental information for mobile communications |
| US6567664B1 (en) | 1999-06-02 | 2003-05-20 | Nokia Corporation | Registration for mobile nodes in wireless internet protocols |
| JP2003101570A (ja) * | 2001-09-21 | 2003-04-04 | Sony Corp | 通信処理システム、通信処理方法、およびサーバー装置、並びにコンピュータ・プログラム |
| US7286671B2 (en) * | 2001-11-09 | 2007-10-23 | Ntt Docomo Inc. | Secure network access method |
| US7577425B2 (en) * | 2001-11-09 | 2009-08-18 | Ntt Docomo Inc. | Method for securing access to mobile IP network |
| US20040083296A1 (en) * | 2002-10-25 | 2004-04-29 | Metral Max E. | Apparatus and method for controlling user access |
| US7290278B2 (en) * | 2003-10-02 | 2007-10-30 | Aol Llc, A Delaware Limited Liability Company | Identity based service system |
-
2004
- 2004-10-05 US US10/958,819 patent/US20050079869A1/en not_active Abandoned
- 2004-10-12 KR KR1020067007050A patent/KR101102228B1/ko not_active IP Right Cessation
- 2004-10-12 WO PCT/IB2004/003328 patent/WO2005036813A1/en active Application Filing
- 2004-10-12 EP EP04769616A patent/EP1676397A4/en not_active Withdrawn
- 2004-10-12 CN CN200480036259.6A patent/CN1890917B/zh not_active Expired - Fee Related
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108702371A (zh) * | 2016-03-08 | 2018-10-23 | 高通股份有限公司 | 用于产生用于安全验证的动态ipv6地址的系统、设备和方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN1890917B (zh) | 2017-02-15 |
| EP1676397A1 (en) | 2006-07-05 |
| EP1676397A4 (en) | 2012-01-18 |
| US20050079869A1 (en) | 2005-04-14 |
| WO2005036813A1 (en) | 2005-04-21 |
| KR20070003763A (ko) | 2007-01-05 |
| KR101102228B1 (ko) | 2012-01-05 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN1890917A (zh) | 移动节点鉴别 | |
| US7496057B2 (en) | Methods and apparatus for optimizations in 3GPP2 networks using mobile IPv6 | |
| US9144053B2 (en) | System and apparatus for local mobility anchor discovery by service name using domain name service | |
| US8011001B2 (en) | Method for managing security in a mobile communication system using proxy mobile internet protocol and system thereof | |
| US7313394B2 (en) | Secure proxy mobile apparatus, systems, and methods | |
| US20020145993A1 (en) | Discovering an address of a name server | |
| US20090073935A1 (en) | APPARATUS AND METHODS OF PMIPv6 ROUTE OPTIMIZATION PROTOCOL | |
| CN1714560A (zh) | 移动ip中的动态会话密钥产生及密钥重置的方法和装置 | |
| AU2008224354A1 (en) | Security methods for use in a wireless communications system | |
| CN1960567A (zh) | 一种终端进入和退出空闲模式的通信方法 | |
| US8023503B2 (en) | Multi-homing based mobile internet | |
| US7382748B1 (en) | Assigning a dynamic home agent for a mobile network element | |
| EP2106591B1 (en) | Solving pana bootstrapping timing problem | |
| CN1802827A (zh) | 支持接入网络(an)验证的方法和设备 | |
| CN1795656A (zh) | 移动通信系统中的安全通信改向 | |
| CA2661050A1 (en) | Dynamic temporary mac address generation in wireless networks | |
| US20070127420A1 (en) | Method, system and apparatus for creating a reverse tunnel | |
| RU2395921C2 (ru) | Реализуемые базовой станцией способы и устройство для установления соединений | |
| CN101031133B (zh) | 一种确定移动节点归属的家乡代理的方法及装置 | |
| CN1311674C (zh) | 一种实现同一扩展网络域内移动节点直接互访的方法 | |
| Haas | Location-independent access in mobile systems | |
| Gondi et al. | A New Mobility Solution Based On PMIP Using AAA Mobility Extensions in Heterogeneous Networks | |
| Mark et al. | AN EXPOSITION ON WIRELESS/IP INTERWORKING | |
| CN101213816A (zh) | 多pana会话 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| ASS | Succession or assignment of patent right |
Owner name: APPLE COMPUTER, INC. Free format text: FORMER OWNER: YANXING BIDEKE CO., LTD. Effective date: 20130412 Owner name: YANXING BIDEKE CO., LTD. Free format text: FORMER OWNER: NORTEL NETWORKS LTD (CA) Effective date: 20130412 |
|
| C41 | Transfer of patent application or patent right or utility model | ||
| TA01 | Transfer of patent application right |
Effective date of registration: 20130412 Address after: American California Applicant after: APPLE Inc. Address before: American New York Applicant before: NORTEL NETWORKS LTD. Effective date of registration: 20130412 Address after: American New York Applicant after: NORTEL NETWORKS LTD. Address before: Quebec Applicant before: NORTEL NETWORKS Ltd. |
|
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20170215 Termination date: 20181012 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |