外部代理更新与重定向后家乡代理相关的安全参数的方法

摘要

本发明公开了一种外部代理即FA更新与重定向后家乡代理即HA相关的安全参数的方法，应用于移动IP关于动态家乡代理地址分配过程中，包括：当前HA向归属鉴权授权计费服务器即HAAA发起协商请求，协商是否允许当前HA推荐的重定向HA接纳当前终端的注册请求；若协商成功，则所述HAAA将重定向HA的安全参数发送给所述终端所在的接入业务网络的鉴权器；所述鉴权器将重定向HA的安全参数转发给所述FA，FA更新HA相关安全参数。本发明在HA重定向过程中，增加了与HAAA的协商过程，使HAAA能够发起安全参数的更新，在HA被重定向后，确保终端能够通过重定向HA的安全校验，从而能够让该HA接受终端的MIP注册请求。

说明书

技术领域

本发明涉及无线通信领域，更具体是涉及一种移动IP关于动态HA(家乡代理，Home Agent)地址分配过程中，FA(外部代理，Foreign Agent)更新与重定向后HA相关的安全参数的方法。

背景技术

MIP(移动IP协议，简称MIP)是由IETF(因特网工程任务组，简称IETF)提出的一系列基于现有IP网络架构的IP移动性解决方案，其构建了一个开放而灵活的IP业务平台。实现MIP需包含三个逻辑功能单元：MN(终端，Mobile Node)，FA，HA。

动态HA分配功能是MN开启MIP功能在不指定HA地址的情况下，动态选择HA的过程；当动态HA分配的MIP注册请求到达FA后，FA根据本地规则选择发起对初次HA的注册过程。如果该初次HA接收注册请求，应返回给MN正确的响应。如果初选的HA不接受该注册请求，可以发起HA的重定向过程；因此重定向HA是动态HA分配的一个可选过程。

动态HA分配功能业务具有以下优点：

(1)减少用户疑惑，使MN使用更人性化；

(2)减少网络维护者的工作量。

图1为WIMAX网络中MIP部署架构图，其中包括以下HAAA(归属鉴权授权计费服务器)、AGW(接入业务网络网关部分)、HA、MN四个功能实体：

其中，HAAA管理WIMAX网络中的用户签约信息；

AGW为WIMAX系统的核心网络设备，FA作为一个功能模块引入AGW系统中来支持IP的外部移动性，FA不直接和HAAA交互；鉴权器(Authenticator)提供FA所需的安全参数；AGW为MIP提供底层承载业务，MN与FA的交互需由AGW提供业务通道；

FA作为一个功能模块引入AGW系统中来支持IP的外部移动性，FA不直接和HAAA交互；

HA提供MIP用户的本地路由支持；HA和HAAA直接交互，HA从HAAA中获取所需的安全参数；

MN和FA，FA与HA之间的安全关联由HAAA主导建立。

图2为现有协议描述的带有HA重定向功能的MIP注册过程，包括以下步骤：

步骤201，MN向FA发起MIP注册请求；

步骤202，FA收到MN的请求后，根据用户的签约信息获取MN与FA之间的安全密钥(MN_FA key)对该报文予以安全校验，如果通过校验则删除MN_FA鉴权扩展，同时添加FA_HA鉴权扩展，并根据签约信息获取FA与当前HA的安全密钥计算FA_HA鉴权扩展中的鉴权摘要参数，根据签约的HA地址向该HA转发MIP注册请求；

步骤203，HA收到MIP注册请求后，向HAAA发起鉴权请求，获取相关的安全密钥；

步骤204，HAAA返回相关的安全密钥给HA；

步骤205，如果当前HA拒绝了MN的注册请求或接受注册请求但由于本地配置/管理策略要求HA为该MN指定别的HA，则当前HA就会在注册应答消息中填入REDIRECT-HA-REQ(HA重定向要求)表明了注册请求被拒绝并给出原因；同时还要在应答消息中可选扩展部分加入一个“theRedirected HA Extension(重定向HA扩展)”，其参数域中携带重定向的HA地址，将这个重定向指示的MIP注册响应发送给FA；

步骤206，FA转发该重定向指示的MIP注册响应；

步骤207，MN收到该重定向指示的MIP注册响应，从扩展字段取出重定向的HA地址，重新构建MIP注册请求报文；

步骤208，FA收到MIP注册请求后，用HA_RK生成FA_HA key，并用该Key值计算FA_HA鉴权扩展，然后向重定向HA转发；

步骤209，重定向HA收到新的MIP注册请求报文，按照Raius协议向HAAA请求相关鉴权参数；

步骤210，HAAA下发给HA相关的鉴权参数；

步骤211，HA按照RFC3344规范执行报文校验及相关业务处理，后生成注册响应向FA发送；

步骤212，FA转发该注册响应报文。

按照以上方法步骤，重定向后，FA的安全参数没有更新，即MN向重定向HA发送MIP注册请求，在FA中转时不能获得正确的安全参数，导致HAAA下发给重定向HA相关的鉴权参数的步骤后，MN向重定向后的HA发起MIP注册请求在HA上都会因鉴权不通过而被拒绝，HA和FA之间的MIP控制消息都无法通过彼此的安全校验。步骤211，212始终为失败的响应过程。

发明内容

本发明的要解决的技术问题就是提供一种移动IP关于动态HA地址分配过程中，FA更新与重定向后HA相关的安全参数的方法，避免重定向后的HA与FA间的安全参数没有更新，使得所有该FA和重定向HA之间的MIP控制消息都无法通过彼此的安全校验。

为了解决上述技术问题，本发明提供一种外部代理即FA更新与重定向后家乡代理即HA相关的安全参数的方法，应用于移动IP关于动态家乡代理地址分配过程中，包括以下步骤：

(1)当前HA向归属鉴权授权计费服务器即HAAA发起协商请求，协商是否允许当前HA推荐的重定向HA接纳当前终端的注册请求；

(2)若协商成功，则所述HAAA将重定向HA的安全参数发送给所述终端所在的接入业务网络的鉴权器；

(3)所述鉴权器将重定向HA的安全参数转发给所述FA，FA更新HA相关安全参数。

进一步地，所述安全参数包括重定向HA根密钥相关属性。

进一步地，所述重定向HA根密钥相关属性包括重定向HA根密钥，重定向HA生存期，重定向HA的IP地址，安全参数索引。

进一步地，所述步骤(1)执行之前，当前HA向选定的重定向HA发起接纳控制协商，确认重定向HA是否愿意接纳当前终端的MIP注册请求。

进一步地，若当前HA与选定用于重定向的HA发起接纳控制协商失败，则当前HA不得下发重定向HA指示给终端。

进一步地，所述步骤(1)执行之前，当前HA根据本地策略决定发起HA重定向过程。

进一步地，所述步骤(1)中，当前HA向HAAA发送协商请求，所带参数包括：当前HA的IP地址，重定向HA的IP地址，FA的地址，终端的身份标识。

进一步地，所述步骤(3)执行之后，还执行：

(A)FA向鉴权器返回安全参数更新成功响应；

(B)鉴权器向HAAA返回安全参数更新成功响应；

(C)HAAA下发本次重定向HA协商的结果给当前HA，允许重定向HA接纳当前终端。

进一步地，所述步骤(3)执行之后，若HAAA没有接收到鉴权器返回的成功更新安全参数的响应，则HAAA需拒绝当前HA的协商过程，当前HA不得下发重定向HA指示给终端。

进一步地，所述步骤(3)执行之后，若HAAA等待协商确认消息超时，则当前HA不得下发重定向HA指示给终端。

进一步地，所述步骤(3)执行之后，还包括如下步骤：

(a)当前HA经FA下发通知给所述终端，让终端在重定向HA上执行MIP注册；

(b)若所述终端向FA发送对重定向HA的MIP注册，则FA根据更新后的HA安全参数，计算相关密钥参数，并向重定向HA转发。

本发明完善重定向HA过程，使得动态HA分配功能更具可用性：由于本发明在MIP家乡代理重定向过程中，增加了与HAAA的协商过程，使得HAAA能够发起FA安全参数的更新，满足了在HA被重定向后，MN重新发起MIP注册请求，FA能够使用正确的安全密钥计算安全扩展，确保能够通过重定向后HA的安全校验，从而能够让新的HA接受MN的MIP注册请求。

附图说明

图1为WIMAX网络中MIP部署架构图；

图2为现有协议描述的带有HA重定向功能的MIP注册过程；

图3为本发明应用实例改进的带有HA重定向功能的MIP注册过程；其中包含重定向HA与FA之间更新安全参数具体实施流程。

具体实施方式

本发明实施例包括以下步骤：

(1)当前HA检查本地策略(如：负荷控制等)决定发起HA重定向过程；

(2)当前HA向选定用于重定向的HA发起接纳控制协商，协商目的：确认该选定用于重定向的HA是否愿意接纳MN的MIP注册请求；若协商成功，则执行步骤(3)；

本步为可选步骤，若不执行本步，则执行步骤(1)后，直接执行步骤(3)；

如果当前HA与选定用于重定向的HA发起接纳控制协商失败，则当前HA不得下发重定向HA指示给MN；

(3)当前HA向HAAA发起协商请求过程，所带参数为当前HA的IP地址，重定向后的HA的IP地址，FA的地址，MN的身份标识(NAI)等，协商的内容为：是否允许当前HA推荐的重定向后的HA接纳该用户；

(4)如果HAAA认同当前HA的请求，则需要根据协商请求中的参数查找定位MN所在的接入业务网络的鉴权器，向该鉴权器下发新的安全参数，所述安全参数包括HA根密钥相关属性，如包括HA_RK(HA_RootKey，HA根密钥)，HA_RK Lifetime(HA生存期)，HA_IP(HA的IP地址)，SPI(安全参数索引)，并通知鉴权器更新FA安全参数；

(5)HAAA收到鉴权器发送的FA的安全参数更新成功响应后，向当前HA发送协商的结果，允许新的重定向后的HA接纳用户；当前HA可立即下发通知给MN，让MN在重定向HA上执行MIP注册。

若HAAA没有接收到鉴权器发送的FA成功更新安全参数的响应，HAAA需拒绝当前HA的协商过程，那么，当前HA不得下发重定向HA指示给MN。

若HAAA等待协商确认消息超时，当前HA也不得下发重定向HA指示给MN。

图3为本发明实施例的一个MIP注册的应用实例，包括如下步骤；

步骤301，MN向FA发起MIP注册请求；

步骤302，FA收到MN的请求后，根据用户的签约信息获取MN与FA之间的安全密钥对该报文予以安全校验，如果通过校验则删除MN_FA鉴权扩展，同时添加FA_HA鉴权扩展，并根据签约信息获取FA与当前HA的安全密钥计算FA_HA鉴权扩展中的鉴权摘要参数。根据签约的HA地址向该HA转发MIP注册请求；

步骤303，HA收到MIP注册请求后，向HAAA发起鉴权请求，获取相关的安全密钥；

步骤304，HAAA返回相关的安全密钥给HA；

步骤305，HA使用相关的密钥对接收到的MIP注册请求报文安全性予以验证，如果通过验证，则进入业务层面的处理，业务逻辑解析到当前MN要求执行“动态HA分配”过程，同时本地策略(如，负荷控制)决定将当前MN注册请求重定向到其他HA，当前HA向选定用于重定向的HA发起接纳控制协商，协商目的：确认该选定用于重定向的HA是否愿意接纳MN的MIP注册请求，注意：向选定用于重定向的HA发起接纳控制协商是本发明一个可选的过程，如果没有该过程，在当前HA决定重定向后直接接入步骤306；

步骤306，HA通过Raduis协议向HAAA发起协商请求，协商的内容：是否允许当前HA推荐的重定向HA接纳MN；

步骤307，如果HAAA认同当前HA的协商请求，应根据当前HA发起协商请求中的参数定位到MN所在的接入业务网络的鉴权器，同时将当前HA推荐的重定向HA的安全参数如包括HR_RK，HA_RK Lifetime，HAIP，SPI等，下发到鉴权器；

步骤308，鉴权器通知FA相关安全参数的更新，FA向鉴权器返回安全参数更新成功响应；

步骤309，鉴权器返回HAAA已成功的更新相关安全参数响应；

步骤310，HAAA下发本次重定向HA协商的结果给当前HA；

以上步骤305-310的加入，确保在即将到来的MN向重定向HA发送MIP注册请求在FA中转时能获得正确的安全参数；

步骤311，当前HA以Redirect-HA-REQ原因拒绝MIP注册请求，并在注册响应的“the Redirected HA Extension”参数域中携带重定向的HA地址；

步骤312，FA正常转发该重定向指示的MIP注册响应；

步骤313，MN收到该重定向指示的MIP注册响应，从扩展字段取出重定向的HA地址，重新构建MIP注册请求报文，其中HA地址参数字段为重定向的HA地址；

步骤314，FA收到MIP注册请求后，用新的HA_RK生成FA_HA key，并用该Key值计算FA_HA鉴权扩展，然后向重定向HA转发；

步骤315，HA收到新的MIP注册请求报文，按照协议向HAAA请求相关鉴权参数；

步骤316，HAAA下发给HA相关的鉴权参数；

步骤317，HA按照RFC3344规范执行报文校验及相关业务处理，后生成成功的注册响应向FA发送；

步骤318，FA正常处理转发该注册响应报文。

其中，步骤305～310为本发明独创，通过上述消息，最终成功实现HA重定向后MN在新HA上的MIP成功注册。

从上述流程中可以看出，只有采取本发明的方法，才能实现MIP业务过程中申请动态HA地址分配的MN在重定向HA后成功的MIP注册。