实现归属代理和外地代理间归属代理根密钥同步的方法

摘要

本发明涉及WiMAX系统，公开了实现归属代理和外地代理间归属代理根密钥同步的方法，描述了归属代理根密钥的同步机制，提供了有关移动IPv4鉴权扩展中用到的归属代理根密钥HA－RK在外地代理和归属代理中的同步方案，由所述归属网络的鉴权、授权及计费服务器产生并推送归属代理根密钥至相关网元，解决了因外地代理和归属代理在某些情况下持有的HA－RK不一致导致外地代理－归属代理FA－HA鉴权扩展不通过而引起移动IP注册失败问题。

说明书

技术领域

本发明涉及微波存取全球互通(Worldwide Interoperability for MicrowaveAccess，简称WiMAX)通讯领域，尤其涉及WiMAX系统中的一种实现归属代理和外地代理间归属代理根密钥同步的方法。

背景技术

IETF的网络工作组在1996年10月提出了RFC2002标准，其中较为详细地阐述了移动IP的原理、实现以及各种细节问题。2003年，IETF颁布了移动IPv4的新规范RFC3344，取代了RFC2002标准。简单地讲，移动IP就是能让移动节点在移动的同时不断开连接，并且还能正确收发数据包。

在移动IPv4协议中，每一个移动节点(Mobile Node，简称MN)都有一个唯一的归属地址，当移动节点(MN)移动时它的归属地址是不变的。在归属网络链路上每一个移动节点还必须有一个归属代理(HA，HomeAgent)来为该移动节点维护当前的位置信息，这就需要引入转交地址。当移动节点(MN)连接到外地网络链路上时，转交地址就用来标识移动节点(MN)现在所处的位置，以便进行路由选择。移动节点(MN)的归属地址与当前转交地址的联合称作移动绑定或简称绑定。当移动节点(MN)得到一个新的转交地址时，通过绑定向归属代理(HA)进行注册，以便让归属代理(HA)及时了解移动节点(MN)的当前位置。

移动节点(MN)的计算环境可能与普通计算环境非常不同。在很多情况下，移动计算机将通过无线链路连接到网络。这样的链路很容易受被动的窃听、主动的重放攻击和其他主动攻击所攻击。移动IPv4中的一个重要过程就是注册过程，由此注册过程的认证扩展是必须要做的。

移动IPv4的注册提供了一种灵活的机制使移动节点把它们当前的可达性信息传送到其归属代理(HA)。移动节点(MN)使用的方法是：

——在访问外地网络时请求转发服务；

——把它们当前的转交地址告知归属代理(HA)；

——重注册时间到，向归属代理(HA)重新注册；和/或

——在回到家乡时解除注册。

RFC协议中定义，每一个移动节点、外地代理和归属代理必须能够支持移动实体的移动安全联合，由它们的安全参数索引(Security Parameter Index，简称SPI)和IP地址索引建立安全联合。在移动节点和其归属代理之间的注册消息必须使用移动节点-归属代理(Mobile-Home)认证扩展(Mobile HomeAuthentication Externsion，简称MN-HA AE)进行认证。在移动节点和其外地代理之间的移动节点-外部代理(Mobile-Foreign)认证扩展(Mobile ForeignAuthentication Externsion，简称MN-FA AE)、外地代理和归属代理之间Foreign-Home认证扩展(Foreign Home Authentication Externsion，简称FA-HAAE)为可选。

WiMAX网络中移动IPv4就是采用RFC3344的架构，并明确要求在移动IPv4中，MN-HA AE和FA-HA AE为必选，MN-FA AE为可选。

MN-HA和MN-FA鉴权扩展密钥(简称MN-HA Key和MN-FA Key)是由扩展鉴权协议(Extensible Authentication Protocol，简称EAP)过程产生的扩展主会话密钥(Extended Master Session Keys，简称EMSK)派生出来的，因此MN-HA Key和MN-FA Key的有效期和EMSK相同，当MN接入WiMAX网络做初始化EAP认证或重认证时，就会在MN侧和归属认证、授权和计费(Home Authentication，Authorization，and Accounting，简称HAAA)服务器侧使用同样的算法和参数分别产生新的EMSK，并用此EMSK产生新的MN-HA Key和外地代理根密钥(Foreign Agent Root Key，简称FA-RK，用于产生MN-FA Key的根密钥。外地代理根密钥由HAAA在授权消息中分别发送给WiMAX接入服务网络(Access Service Network，简称ASN)中的鉴权器(Authenticator)。当MN向FA发起移动IP注册时，FA从鉴权器(Authenticator)获取移动IP的密钥(包括MN-HA Key和MN-FAKey)，MN-FA的鉴权扩展验证通过后，FA转发该MN的移动IP注册请求并携带从鉴权器获取的MN-HA Key给归属代理HA。归属代理HA收到外地代理FA转发的MN的移动IP注册请求，又会通过RADIUS认证请求向HAAA重新获取MN-HA Key用于比较验证FA转发过来的MN-HA Key是否正确，这样就可以保证MN和FA/HA的鉴权扩展密钥始终是同步的。

FA-HA AE使用的FA-HA鉴权扩展密钥(简称FA-HA Key)是由归属代理根密钥(简称HA-RK)派生出来，而HA-RK是由HAAA产生20字节的随机数，并且HA-RK有生存周期，生存周期结束之前HAAA必须重新产生HA-RK。WiMAX网络工作组相关协议规定，FA通过MN初始化认证或重认证的授权消息中获取HA-RK，HA是在MN移动IP注册时向HAAA发送认证的授权消息中获取的HA-RK，但是因为MN的初始化认证或重认证过程和MN的移动IP注册过程没有必然的关系，也没有定义相关机制来保证HA-RK在FA和HA同步更新，所以在某段时间内可能出现FA和HA内部HA-RK存在不一致的情况，这样就可能导致当MN发起移动IP注册时，可能因为FA和HA持有的HA-RK不一致，而导致FA-HA鉴权扩展验证不通过，从而导致MN的移动IP注册失败。

同样，由于在用户的移动IP会话中，HA和FA持有的HA-RK不一致，当HA主动发起移动IP撤销流程时，撤销请求中携带的FA-HA鉴权扩展参数，FA鉴权不通过时也会导致移动IP撤销流程失败。

目前WiMAX网络工作组协议中尚未解决HA-RK在FA和HA的同步问题，而且尚无相关专利提供解决方案。

发明内容

本发明所要解决的技术问题在于，提供WiMAX网络中有关移动IPv4鉴权扩展中用到的HA-RK在FA和HA中的同步解决方案，解决在移动节点发起移动IP注册流程以及HA发起的移动IP撤销流程中，因FA和HA持有的HA-RK不一致导致FA-HA鉴权扩展不通过而失败问题。

本发明提供一种实现归属代理和外地代理间归属代理根密钥同步的方法，用于由归属网络的鉴权、授权及计费服务器维护归属代理根密钥的同步有效，包括如下步骤：

(1)归属网络的鉴权、授权及计费服务器在移动节点通过接入服务网络的鉴权器进行认证或重认证时，在授权信息中返回该移动节点的移动IP密钥信息以及密钥有效期和对应的安全参数索引，所述密钥信息包括归属代理根密钥；

(2)所述归属网络的鉴权、授权及计费服务器在移动节点进行移动IP注册并建立移动IP会话后，维护归属代理上持续的移动IP会话，当归属代理根密钥有效期即将结束时，根据本地的策略产生新的归属代理根密钥和有效期，向该归属代理和与该归属代理相关的接入服务网络的外地代理发送动态授权请求消息以更新归属代理根密钥；

(3)所述归属网络的鉴权、授权及计费服务器在归属代理上没有移动IP会话存在时，停止对归属代理根密钥有效期的维护，删除相关信息。

进一步地，步骤(1)中所述密钥信息进一步还包括：外地代理根密钥、归属代理鉴权扩展密钥及密钥有效期和对应的安全参数索引。

进一步地，步骤(1)进一步可分为：

(11)移动节点请求接入认证或重认证，向接入服务网络的鉴权器发送接入请求，由其发送接入请求消息给归属网络的鉴权、授权及计费服务器；

(12)该归属网络的鉴权、授权及计费服务器判断分配给本次移动IP会话的归属代理的根密钥是否有效，若无效则根据本地策略产生新的归属代理根密钥并重设对应有效期；

(13)该归属网络的鉴权、授权及计费服务器向所述鉴权器返回包含移动IP密钥参数的接入响应消息，移动IP密钥参数中包含外地代理根密钥和归属代理根密钥、或者归属代理鉴权扩展密钥以及相关密钥的有效期和安全参数索引信息；

(14)所述鉴权器根据归属网络的鉴权、授权及计费服务器返回的接入响应消息，确认移动节点认证或重认证成功，发送认证相应给移动节点并将该移动节点接入服务网络。

进一步地，步骤(2)中的移动IP注册及会话建立过程包括如下步骤：

(211)移动节点接入服务网络后，向接入服务网络的外地代理发送移动IP注册请求；

(212)外地代理向鉴权器获取移动IP鉴权密钥参数，在判断归属代理根密钥未过期时根据外地代理根密钥生成外地代理鉴权扩展密钥，同时根据归属代理根密钥生成外地代理-归属代理密钥鉴权扩展密钥，利用所述各密钥鉴权通过后，将移动IP注册请求发送到对应的归属代理；

(213)归属代理接收注册请求后，向归属网络的鉴权、授权及计费服务器发起认证请求，请求获取移动IP归属代理鉴权扩展密钥和/或归属代理根密钥；

(214)所述归属网络的鉴权、授权及计费服务器将该移动节点相关的归属代理鉴权扩展密钥和/或归属代理根密钥在认证响应中发送给归属代理；

(215)归属代理在验证归属代理鉴权扩展密钥和外地代理鉴权扩展密钥通过后，允许该移动节点注册成功，向外地代理发送移动IP注册应答消息；

(216)外地代理转发该移动IP注册应答消息给移动节点，移动会话建立或继续。

进一步地，步骤(2)中进一步可分为：

(21)所述归属网络的鉴权、授权及计费服务器维护归属代理的根密钥，根据本地策略在该根密钥有效期结束前更新根密钥并重置有效期；

(22)所述归属网络的鉴权、授权及计费服务器使用动态授权请求消息将新生成的根密钥信息通知该归属代理，更新根密钥；

(23)归属代理更新成功后，向所述归属网络的鉴权、授权及计费服务器发送动态授权应答，表示更新成功；

(24)所述归属网络的鉴权、授权及计费服务器根据其缓存的移动IP会话信息，判断与该归属代理相关的接入服务网络的归属代理根密钥的有效期，在有效期结束前使用授权请求消息通知接入服务网络的鉴权器更新归属代理根密钥；

(25)接入服务网络的鉴权器更新成功后，向归属网络的鉴权、授权及计费服务器发送动态授权应答，表示更新成功。

进一步地，所述步骤(3)具体包括：

移动节点或网络结束移动IP会话后，归属网络的鉴权、授权及计费服务器判断该归属代理已经没有注册的移动IP会话后，删除本地维护的该归属代理的根密钥相关信息。

进一步地，所述的移动节点是具有移动IP或不具有移动IP功能的网络终端。

进一步地，所述接入服务网络是具有实现外地代理功能和鉴权器功能的接入网络，用于为移动节点提供接入服务，对于不具有移动IP功能的移动终端，由该接入服务网络提供代理移动IP功能。

进一步地，所述认证请求是远端鉴权拨入用户服务RADIUS认证请求消息；所述认证响应是远端鉴权拨入用户服务RADIUS认证响应消息；所述动态授权请求是远端鉴权拨入用户服务RADIUS动态授权请求；所述动态授权响应是远端鉴权拨入用户服务RADIUS动态授权响应。

本发明所述的方法弥补了WiMAX网络工作组协议的不足，清晰的描述了归属代理根密钥的同步机制，提供了有关移动IPv4鉴权扩展中用到的归属代理根密钥HA-RK在外地代理和归属代理中的同步方案，解决了因外地代理和归属代理在某些情况下持有的HA-RK不一致导致外地代理-归属代理FA-HA鉴权扩展不通过而引起移动IP注册失败问题。

同样，由于在用户的移动IP会话中，HA和FA持有的HA-RK不一致，当HA主动发起移动IP撤销流程时，撤销请求中携带的FA-HA鉴权扩展参数，FA鉴权不通过时也会导致移动IP撤销流程失败。

进一步地，本发明实现的移动IPv4鉴权扩展中用到的HA-RK在外地代理和归属代理中的同步方案，不需要增加额外设备，仅仅需要修改WiMAX网络工作组协议定义移动IPv4基本流程中支持动态授权流程(CoA)，更新HA-RK。

进一步地，本发明仅仅需要鉴权、授权及计费服务器维护HA-RK，由鉴权、授权及计费服务器决定是否发通过动态授权消息通知外地代理和归属代理更新HA-RK。对于外地代理和归属代理仅仅需要增加对动态授权的处理，简单方便。

附图说明

图1是本发明涉及到的移动IPv4功能的系统结构图；

图2是本发明实现WiMAX移动IPv4中鉴权、授权及计费服务器产生和推送归属代理根密钥方法的流程图。

具体实施方式

下面结合附图对技术方案的实施作进一步的详细描述。

本发明涉及一种实现归属代理和外地代理间归属代理根密钥同步的方法。尤其是涉及微波存取全球互通(Worldwide Interoperability for MicrowaveAccess，简称WiMAX)通讯领域中移动IPv4接入时，鉴权、授权及计费(Authentication，Authorization，and Accouting，简称AAA)服务器产生归属代理根密钥(Home Agent Root Key，简称HA-RK)和向终端注册到的归属代理(Home Agent，简称HA)和外地代理(Foreign Agent，简称FA)推送归属代理根密钥的方法。

所述的方法包括如下步骤：

(1)归属网络的鉴权、授权及计费服务器在移动节点通过接入服务网络的鉴权器进行认证或重认证时，在授权信息中返回该移动节点的移动IP密钥信息以及密钥有效期和对应的安全参数索引，所述密钥信息包括归属代理根密钥；

(2)所述归属网络的鉴权、授权及计费服务器在移动节点进行移动IP注册并建立移动IP会话后，维护归属代理上持续的移动IP会话，当归属代理根密钥有效期即将结束时，根据本地的策略产生新的归属代理根密钥和有效期，向该归属代理和与该归属代理相关的接入服务网络的外地代理发送动态授权请求消息以更新归属代理根密钥；

(3)所述归属网络的鉴权、授权及计费服务器在归属代理上没有移动IP会话存在时，停止对归属代理根密钥有效期的维护，删除相关信息。

下面以图1所示的系统为例，详细说明本发明的同步方法。图1是本发明涉及到的移动IPv4功能的系统结构图，其中：

移动节点MN 11：其是具有移动IP或不具有移动IP功能的WiMAX终端。

接入服务网络ASN 12：实现外地代理FA的功能和鉴权器的功能，同时为移动终端提供接入服务，对于不具有移动IP功能的终端，ASN提供代理移动IP功能。在本发明中，鉴权器向鉴权、授权及计费服务器AAA发送接入认证/重认证请求，并保存鉴权、授权及计费服务器AAA授权的移动IP密钥信息。外地代理FA验证和转发移动节点MN发送的移动IP的注册请求，并在终端在线期间维护其移动IP相关的信息和移动IP密钥有效期信息。

鉴权、授权及计费服务器AAA 14：为用户提供鉴权、授权及计费服务。在收到接入服务器发送的终端接入请求时，将对终端进行鉴权，并进行相应的授权。在本发明中，AAA在终端鉴权时，进行包括终端移动IP密钥信息的授权和完成HA-RK的更新功能。

归属代理HA 13：接受接入服务器发送的移动IP注册请求，并进行移动IP注册响应，与接入服务器配合为移动终端提供移动IP的服务。

图2是本发明实现WiMAX移动IPv4中鉴权、授权及计费服务器产生和推送归属代理根密钥方法的流程图。具体步骤如下：

步骤201：移动节点请求接入认证或者在已经接入系统后请求重新认证；

步骤202：接入服务网络鉴权器(以下简称鉴权器)收到移动节点的接入请求后，发送接入请求消息给鉴权、授权及计费服务器AAA；

步骤203：鉴权、授权及计费服务器AAA判断将要分配给本次移动IP会话的归属代理的根密钥是否有效(判断是否存在或者在有效期内)，如果无效，则根据本地策略产生新的归属代理根密钥，并重新设置有效期；

步骤204：鉴权、授权及计费服务器给ASN中的鉴权器Authenticator返回接入响应消息，包含移动IP密钥参数，包括外地代理根密钥FA-RK、归属代理根密钥HA-RK以及相关密钥的有效期和安全参数索引信息(FA-RK是由鉴权过程中产生的EMSK衍生出来)。如果本次接入使用的是代理移动IP接入技术的话，还需要携带移动节点和归属代理的鉴权扩展密钥MN-HA Key等信息；

步骤205：鉴权器根据鉴权、授权及计费服务器返回的响应消息，判断并运行移动节点认证或重认证成功，发送认证响应给移动节点并运行移动节点接入服务网络；

步骤206：移动节点接入WiMAX网络后，收到外地代理广告后，向外地代理发起移动IP注册请求；

步骤207：外地代理向鉴权器获取移动IP鉴权密钥参数，鉴权器判断HA-RK未过期，则根据FA-RK生成MN-FA key、根据HA-RK生成FA-HAKey。外地代理验证移动节点的移动IP注册请求合法通过(包括鉴权扩展认证)，外地代理追加FA-HA鉴权扩展参数，将移动IP注册请求发送到对应的归属代理；

步骤208：归属代理收到外地代理发送的移动IP注册请求后，随即发起向归属鉴权、授权及计费服务器AAA的RADIUS认证请求，要求获取移动IP MN-HA鉴权扩展密钥，归属代理如果需要同时获取归属代理根密钥HA-RK，则携带获取标志；

步骤209：归属鉴权、授权及计费服务器AAA将该移动节点的相关密钥在RADIUS认证响应中发送给归属代理，包括MN-HA Key及相关参数，如果归属代理要求获取HA-RK，则在认证响应中授权HA-RK及相关参数；

步骤210：归属代理验证MN-HA鉴权扩展和FA-HA鉴权扩展通过，并允许移动节点注册成功，则向外地代理发送移动IP注册应答消息；

步骤211：外地代理转发移动IP注册应答给移动节点，此时，移动IP会话建立或继续；

步骤212：鉴权、授权及计费服务器维护该归属代理的根密钥，根据本地策略决定在该根密钥有效期结束前更新根密钥并重置有效期；

步骤213：鉴权、授权及计费服务器使用RADIUS动态授权(CoA)请求消息通知该归属代理，更新根密钥；

步骤214：归属代理更新成功后，向鉴权、授权及计费服务器发送动态授权(CoA)应答，表示更新成功；

步骤215：鉴权、授权及计费服务器根据其缓存的移动IP会话信息，判断与该归属代理相关的接入服务网络，再使用授权请求(CoA)消息通知接入服务网络的鉴权器更新归属代理根密钥；

步骤216：服务网络的鉴权器更新成功后，向鉴权、授权及计费服务器发送动态授权(CoA)应答，表示更新成功；

步骤217：终端或网络结束移动IP会话后，鉴权、授权及计费服务器判断该归属代理已经没有注册的移动IP会话后，删除本地维护的该归属代理的根密钥相关信息。

本发明的目的是为了提供WiMAX网络中有关移动IPv4鉴权扩展中用到的HA-RK在FA和HA中的同步解决方案，解决在移动节点发起移动IP注册流程以及HA发起的移动IP撤销流程中，因FA和HA持有的HA-RK不一致导致FA-HA鉴权扩展不通过而失败问题。完善WiMAX网络工作组协议中的归属代理根密钥更新的问题。

本发明所述的方法弥补了WiMAX网络工作组协议的不足，清晰的描述了归属代理根密钥的同步机制，提供了有关移动IPv4鉴权扩展中用到的归属代理根密钥HA-RK在外地代理和归属代理中的同步方案，解决了因外地代理和归属代理在某些情况下持有的HA-RK不一致导致外地代理-归属代理FA-HA鉴权扩展不通过而引起移动IP注册失败问题。

同样，由于在用户的移动IP会话中，HA和FA持有的HA-RK不一致，当HA主动发起移动IP撤销流程时，撤销请求中携带的FA-HA鉴权扩展参数，FA鉴权不通过时也会导致移动IP撤销流程失败。

进一步地，本发明实现的移动IPv4鉴权扩展中用到的HA-RK在外地代理和归属代理中的同步方案，不需要增加额外设备，仅仅需要修改WiMAX网络工作组协议定义移动IPv4基本流程中支持动态授权流程(CoA)，更新HA-RK。

进一步地，本发明仅仅需要鉴权、授权及计费服务器维护HA-RK，由鉴权、授权及计费服务器决定是否发通过动态授权消息通知外地代理和归属代理更新HA-RK。对于外地代理和归属代理仅仅需要增加对动态授权的处理，简单方便。