移动IP用户认证方法、系统和代理服务器

摘要

本发明公开了移动IP用户认证方法、系统和代理服务器。该方法包括外地代理接收来自家乡代理的注册响应消息，根据认证服务器下发的HA-RK和注册响应消息中的FA-HA AE进行第一次设备合法性检查；如果第一次设备合法性检查未通过，则根据与家乡代理对应的本地密钥和注册响应消息中的FA-HA AE进行第二次设备合法性检查，如果第二次设备合法性检查通过，则转发注册响应消息。本发明的方法和系统既保证了设备间通信的安全性，也使移动节点或网关设备能够接收到注册应答消息，并从消息的Code域中解读出注册失败的原因，设法修正引起拒绝的错误。

说明书

技术领域

本发明涉及本发明涉及移动IP(Mobile IP，MIP)技术，尤其涉及移动IP用户认证方法、系统和代理服务器。

背景技术

全球因特网的可扩展性依赖于网络前缀路由，而不是特定主机路由，这要求接在同一链路上的节点IP(Internet Protocol，网间协议)地址具有相同的网络前缀部分。当节点从一条链路切换到另一条链路上时，它的IP地址的网络前缀部分就不再与新链路的网络前缀相同了。此时，网络前缀路由技术就没有办法将数据包发送到节点的新位置上。

MIP是一种在全球因特网上提供移动功能的方案，它提供了一种IP路由机制，使移动节点(Mobile-Node，MN)可以以一个永久的IP地址连接到任何链路上，使节点在切换链路时仍可保持正在进行的通信。

图1示出移动IP实体及其相互关系示意图。如图1所示，如果移动节点MN 11发现自己正连接在家乡链路上，那么它就和固定节点一样工作，无需运用移动I P的功能。如果MN 11连接的是一条外地链路，移动节点MN 11就从外地代理(FA，Foreign Agent)12的代理广播消息中读出转交地址，并向它的家乡代理(HA，Home Agent)13注册这个转交地址。然后开始通过连接家乡代理13和转交地址的一条隧道从外地代理12那里接收数据包。

通常，移动IP用户分为CMIP(Client Mobile IP，客户端移动IP)、PMIP(Proxy-Mobile IP，代理移动IP)两种。CMIP用户移动节点自身能感受链路的切换，并发起MIP注册请求消息；PMIP用户移动节点自己感知不到链路的切换，需要网关设备替它发起MIP注册请求消息。

在NWG(Network Working Group，网络工作组)协议中，注册请求消息与注册响应消息中的FA-HA AE是可选的。为了提高设备间通信的安全性，设备商会考虑将其作为必选项，并在FA、HA上增加设备合法性检查，即对FA-HA AE进行检查。HA收到AAA(Authentication、Authorization、Accounting，鉴权、授权、计费)服务器响应消息后，用AAA服务器下发的HA-RK(Home Agent RootKey，归属代理根密钥)检查FA发来的注册请求消息中的FA-HA AE(Foreign Agent-Home Agent Authentication Extension，外部代理与家乡代理间的认证扩展)，并给FA返回注册响应消息；FA收到HA的注册响应消息后，用FA侧的AAA服务器下发的HA-RK检查注册响应消息中的FA-HA AE，如果检查不通过，FA会将其当作非法消息丢弃。

在FA对FA-HA AE进行检查以确定设备合法性的情况下，如果HA无法从AAA服务器获取HA-RK，例如AAA服务器认证失败或与AAA服务器链接中断或去AAA认证之前就注册失败，或者HA获取的HA-RK与FA获取的不一致等，会导致HA给FA发送的注册应答消息中的FA-HA AE在FA检查失败，并将HA的注册应答消息丢弃，这样移动节点或网关设备就无法接收到FA的注册应答消息，促使它们不断地重发注册请求消息。

发明内容

为了解决现有技术中认证不成功时设备合法性检查的问题，本发明的实施例提供了移动IP用户认证方法，该方法包括：

外地代理向家乡代理发送注册请求消息；外地代理接收来自家乡代理的注册响应消息，根据该外地代理侧的认证服务器下发的HA-RK和注册响应消息中的FA-HA AE进行第一次设备合法性检查；如果第一次设备合法性检查未通过，则根据与家乡代理对应的本地密钥和注册响应消息中的FA-HA AE进行第二次设备合法性检查，如果第二次设备合法性检查通过，则转发注册响应消息。

本发明的又一个实施例提供了一种移动IP用户认证系统，包括外地代理侧的认证服务器和家乡代理侧的服务器，还包括：

外地代理，用于向家乡代理发送注册请求消息；接收来自家乡代理的注册响应消息，根据外地代理侧的认证服务器下发的HA-RK和注册响应消息中的FA-HA AE进行第一次设备合法性检查；如果第一次设备合法性检查未通过，则根据与家乡代理对应的本地密钥和注册响应消息中的FA-HA AE进行第二次设备合法性检查，如果第二次设备合法性检查通过，则转发注册响应消息；家乡代理，用于接收来自外地代理的注册请求，向家乡代理侧的认证服务器发起认证请求消息；当未能从家乡代理侧的认证服务器获得HA-RK时，根据与外地代理对应的本地密钥生成注册响应消息中的FA-HA AE，将注册响应消息发送给所述外地代理。

本发明的又一个实施例提供一种代理服务器，包括：

第一合法性检查模块，用于接收来自家乡代理的注册响应消息，根据认证服务器下发的HA-RK和注册响应消息中的FA-HA AE进行第一次设备合法性检查；如果第一次设备合法性检查未通过，则将注册响应消息发送给第二合法性检查模块；第二合法性检查模块，用于接收注册响应消息，根据与家乡代理对应的本地密钥和注册响应消息中的FA-HA AE进行第二次设备合法性检查，如果第二次设备合法性检查通过，则转发注册响应消息。

本发明的又一个实施例提供一种代理服务器，包括：

第一扩展生成模块，用于接收来自外地代理的注册请求消息，向认证服务器发起认证请求消息；当从认证服务器获得HA-RK时，根据HA-RK生成注册响应消息中的FA-HA AE，将FA-HA AE发送给注册响应发送模块；第二扩展生成模块，用于当所述第一扩展生成模块未能从所述认证服务器获得所述HA-RK时，根据与外地代理对应的本地密钥生成注册响应消息中的FA-HA AE，将FA-HA AE发送给注册响应发送模块；注册响应发送模块，用于接收来自第一扩展生成模块或第二扩展生成模块的FA-HA AE，将FA-HA AE填充到注册响应消息，向外地代理发送注册响应消息。

本发明实施例提供的移动IP用户认证方法和系统，当FA根据认证服务器下发的HA-RK和注册响应消息中的FA-HA AE进行设备合法性检查未通过时，则根据与家乡代理对应的本地密钥和注册响应消息中的FA-HA AE进行设备合法性检查，保证了设备间通信的安全性，解决了现有技术中认证不成功时设备合法性检查的问题。

附图说明

图1示出移动IP实体及其相互关系示意图；

图2示出本发明的移动IP用户认证方法的一个实施例的流程图；

图3示出本发明的移动IP用户认证方法的一个实施例的信令图；

图4示出本发明的移动IP用户认证方法的一个实施例中HA的处理流程图；

图5示出本发明的移动IP用户认证方法的一个实施例中FA的处理流程图；

图6示出本发明的移动IP用户认证系统的一个实施例的结构图。

具体实施方式

下面参照附图对本发明进行更全面的描述，其中说明本发明的示例性实施例。在附图中，相同的标号表示相同或者相似的组件或者元素。

本发明实施例提供一种移动IP用户认证方法，即在FA、HA设备上增加FA与HA两个设备之间认证的密钥配置；当HA没有成功获取HA-RK密钥时，FA、HA分别采用相应的设备间密钥进行设备间的鉴权。

下面对本发明的方法和系统的具体实施例进行详细的描述和说明。

图2示出本发明的移动IP用户认证方法的一个实施例的流程图。

如图2所示，在步骤202，FA向HA发送注册请求消息。该注册请求消息可以由移动节点发起(CMIP)或者由网关设备发起(PMIP)。

在步骤204，FA接收来自HA的注册响应消息，根据认证服务器下发的HA-RK和注册响应消息中的FA-HA AE进行第一次设备合法性检查。FA从Authenticator(网关设备中的鉴权模块)获得认证服务器下发的HA-RK。

在步骤206，FA判断第一次设备合法性检查是否通过，如果通过，则转发注册响应消息(步骤214)，如果未通过，则执行步骤208。例如，FA对认证服务器下发的HA-RK经过HMAC-MD5加密计算后，和注册响应消息中的FA-HA AE进行比较。如果比较一致，则第一次设备合法性检查通过，否则，第一次设备合法性检查未通过。

在步骤208，FA根据与HA对应的本地密钥和注册响应消息中的FA-HA AE进行第二次设备合法性检查。FA以HA的标识(例如IP地址)为索引存储与HA对应的本地密钥。FA从来自HA的注册响应消息中获得HA的IP地址，根据HA的IP地址获得与HA对应的本地密钥。

在步骤210，FA判断第二次设备合法性检查是否通过，如果通过，则转发注册响应消息(步骤214)，如果第二次设备合法性检查未通过，则将注册响应消息丢弃(步骤212)。

图3示出本发明的移动IP用户认证方法的一个实施例的信令图。在该实施例中，FA设备上包含网关设备的Authenticator模块。

如图3所示，在步骤302，MN接入网络时，触发网关设备的Authenticator模块向FA侧的AAA服务器发起Access-Request(认证请求消息)。

在步骤304，AAA服务器认证成功后分发密钥FA-RK(ForeignAgent Root Key，外地代理根密钥)、HA-RK给网关设备的Authenticator模块。

在步骤306，MN感知自己连接到外地链路后，向FA发起RegisterRequest(MIP注册请求)消息，消息中携带扩展NAI(NetworkAccess Identifier，网络访问标识符)、MN-HA AE、MN-FA AE。

在步骤308，FA收到Register Request消息，触发FA从Authenticator模块获取HA-RK，随后FA会将消息中继(Relay)到移动节点的HA，发送给HA的Register消息中的FA-HA AE是由FA侧的AAA服务器下发给Authenticator的HA-RK，依据RFC3344协议采用HMAC-MD5加密算法计算获得。

在步骤310，HA收到FA发起的Register Request消息后，触发HA认证，即向HA侧的AAA服务器发起Access-Request。

在步骤312，HA侧的AAA服务器认证成功后会回应的Access-Accept消息，消息中携带密钥MN-HA、HA-RK。

在步骤314，HA构建Register Reply(注册响应消息)，如果根据HA侧的AAA服务器返回的HA-RK进行设备合法性检查通过，则注册响应消息中的FA-HA AE用AAA服务器下发给HA的HA-RK密钥经过加密算法计算得到，如果HA未能从AAA服务器获得HA-RK，或者根据获得HA-RK与FA发起的RRQ消息中的FA-HA AE的合法性检查未通过，则HA用本地存储的与FA对应的本地密钥，经过加密计算生成注册响应消息中的FA-HA AE。如果认证服务器没有响应；或认证服务器给HA返回认证失败的响应；或认证服务器给HA返回认证成功的响应，但未下发HA-RK；或认证服务器给HA返回认证成功的响应，但HA根据认证服务器下发的HA-RK与FA的注册请求消息中的FA-HA AE扩展检查失败等情况，则生成与注册失败原因对应的值，写入注册响应消息的Code域(Code域是注册响应消息中的一个字段，用于说明注册是否成功，在注册失败的情况下给出具体的失败原因)。

在步骤316，HA给FA回复Register Reply。

在步骤318，FA收到HA的Register Reply消息后，FA首先按照从Authenticator模块获取HA-RK依据RFC3344，用HMAC-MD5加密算法计算出来的结果与HA的注册响应消息中的FA-HA AE扩展进行设备间合法性检查，如果检查失败，再用FA侧本地配置的设备间的密钥依据RFC3344，用HMAC-MD5加密算法计算出来的结果与HA的注册响应消息中的FA-HA AE扩展进行设备间合法性检查，如合法性检查失败，FA将注册响应消息丢弃，如合法性检查成功，FA继续处理该消息，并进而给MN发送注册响应消息(步骤320)。

MN收到注册响应消息后，如果收到注册成功的响应消息，说明注册成功；如果收到注册失败的响应消息，则从注册响应消息的Code域中获得注册失败的原因，设法修正引起拒绝的错误，重新尝试一次注册。对于PMIP流程，网关设备同样也可以从注册响应消息中获得注册失败原因。

本领域的技术人员应当理解，FA侧AAA服务器和HA侧的AAA服务器通常是不同的服务器，也可能是同一服务器，为方便起见，在图3中仅示出一个AAA服务器。在下面实施例的描述中，将不特意区分FA侧或者HA侧的AAA服务器(认证服务器)，而本领域的技术人员可以理解，FA和HA分别和对应的AAA服务器进行通信。

本领域的技术人员应当理解，包含Authenticator模块的网关设备可以是和FA独立的网元，同样可以实现本发明的方法。

根据本发明的一个实施例，通过配置命令在外地代理FA上增加FA-HA设备间认证的密钥的配置，在家乡代理HA上增加FA-HA设备间认证的密钥的配置。配置密钥的作用等同于HA-RK。例如，配置命令的格式为：fa-ha-sa faip 192.11.201.56haip 193.22.54.12 key0123456789abcdef1234.其中：192.11.201.56代表FA的IP地址，193.22.54.12代表HA的IP地址，0123456789abcdef1234代表FA与HA之间用来认证的密钥.对于FA来讲，如果配置了该命令，相当于在FA上增加了一个与该HA(HA的IP地址为193.22.54.12)对应的设备间的密钥.对于HA来讲，如果配置了该命令，相当于在HA上增加了一个与该FA(FA的IP地址为192.11.201.56)对应的设备间的密钥.

FA设备上的设备间密钥可以以HA的标识(例如IP地址)为索引进行存储，密钥的数量以FA可链接的HA的数量相关；HA设备上的设备间密钥可以以FA的标识(例如IP地址)为索引进行存储，密钥的数量以HA可链接的FA的数量相关；进行通信的FA、HA设备预先协商好一致的设备间密钥。

图4示出本发明的移动IP用户认证方法的一个实施例中HA的处理流程图。

如图4所示，在步骤402，HA收到FA的注册请求消息。

在步骤404，HA向认证服务器发送认证请求消息。如果在认证服务器认证之前失败，则执行步骤416。

在步骤406，认证服务器向HA返回认证响应消息。

在步骤408，HA判断认证响应消息是认证成功响应消息还是认证失败响应消息，如果认证成功，则继续步骤410，如果认证失败，则继续步骤416。

步骤410，HA用认证服务器下发的HA-RK检查注册请求消息中的FA-HAAE，对FA进行设备合法性检查。

在步骤412，HA判断对FA的设备合法性检查是否通过，如果未通过，则执行步骤416，否则，继续步骤414。

在步骤414，HA用认证服务器下发的HA-RK填充注册响应消息中的FA-HA AE，继续步骤418。

在步骤416，HA用与FA对应的本地密钥填充注册响应消息中的FA-HAAE。

在步骤418，HA向FA返回注册响应消息。

图5示出本发明的移动IP用户认证方法的一个实施例中FA的处理流程图。

如图5所示，在步骤502，FA收到HA返回的注册响应消息。

在步骤504，FA用认证服务器下发的HA-RK与注册响应消息中的FA-HA AE进行设备合法性检查。

在步骤506，FA判断设备合法性检查是否通过，如果通过，则执行步骤514，否则，执行步骤508。

在步骤508，FA用HA的本地密钥与注册响应消息中的FA-HA AE进行设备合法性检查。

在步骤510，FA判断设备合法性检查是否通过，如果通过，则执行步骤514，否则，将注册响应消息丢弃(步骤512)。

需要指出，从上文的多个实施例可以看出，本发明的MIP用户认证方法中，FA利用本地存储的HA的密钥对HA进行设备合法性检查，可以和HA利用本地存储的FA的密钥对FA进行设备合法性检查结合使用，也可以独立使用。

本发明实施例提供的MIP用户认证方法，当HA没有成功获取HA-RK密钥时，FA、HA分别采用相应的设备间密钥进行设备合法性验证，既保证了设备间通信的安全性，也使移动节点或网关设备能够接收到FA的注册应答消息.移动节点或网关设备可以从消息的Code域中解读出注册失败的原因，设法修正引起拒绝的错误，重新尝试一次注册，避免了不断重发注册请求消息.

图6示出本发明的移动IP用户认证系统的一个实施例的结构图。如图6所示，该移动IP用户认证系统包括网关设备62、外地代理63、认证服务器64和家乡代理65。

当MN 61接入网络时，触发网关设备(Authenticator)向认证服务器64发起认证请求消息，认证服务器64认证成功后，分发FA-RK、HA-RK给网关设备。然后，对于CMIP用户移动节点61，自身能感受链路的切换，发起MIP注册请求消息，对于PMIP用户移动节点61，自身感知不到链路的切换，由网关设备发起MIP注册请求消息。外地代理63接收到注册请求消息后，向家乡代理65发送注册请求消息；接收来自家乡代理65的注册响应消息，根据认证服务器64下发的HA-RK和注册响应消息中的FA-HA AE进行第一次设备合法性检查；如果第一次设备合法性检查通过，则将该注册响应消息转发给网关设备62；如果第一次设备合法性检查未通过，则根据与家乡代理65对应的本地密钥和注册响应消息中的FA-HA AE进行第二次设备合法性检查，如果第二次设备合法性检查未通过，则将注册响应消息丢弃；如果第二次设备合法性检查通过，则将该注册响应消息转发给网关设备62，由网关设备62进行后续处理。家乡代理65接收来自外地代理63的注册请求消息，向认证服务器64发起认证请求消息；当未能从认证服务器64获得HA-RK时，根据与外地代理63对应的本地密钥生成注册响应消息中的FA-HA AE，将注册响应消息发送给外地代理63；当从认证服务器64获得HA-RK时，根据该HA-RK生成册响应消息中的FA-HAAE，将注册响应消息发送给外地代理63。其中，家乡代理65未能从认证服务器64获得HA-RK的情况包括：家乡代理65侧的认证服务器64没有响应；家乡代理65侧的认证服务器64给家乡代理65返回认证失败的响应；家乡代理65侧的认证服务器64给家乡代理返回认证成功的响应，但未下发HA-RK；或者家乡代理65侧的认证服务器64给家乡代理65返回认证成功的响应，家乡代理65根据认证服务器65下发的HA-RK与外地代理63的注册请求消息中的FA-HAAE扩展检查失败。

根据本发明的一个实施例，外地代理63包括第一合法性检查模块631和第二合法性检查模块632。其中，第一合法性检查模块631接收来自家乡代理的注册响应消息，根据认证服务器下发的HA-RK和注册响应消息中的FA-HA AE进行第一次设备合法性检查；如果第一次设备合法性检查未通过，则将注册响应消息发送给第二合法性检查模块632，如果设备合法性检查通过，则转发注册响应消息到网关设备。第二合法性检查模块632，用于接收注册响应消息，根据与家乡代理对应的本地密钥和注册响应消息中的FA-HA AE进行第二次设备合法性检查，如果第二次设备合法性检查未通过，则将注册响应消息丢弃，否则，转发注册响应消息。可选地，外地代理63还包括密钥存储模块633，用于以家乡代理的标识(例如家乡代理的IP地址)为索引存储与家乡代理对应的本地密钥。第二合法性检查模块632根据家乡代理的标识从密钥存储模块633获取与家乡代理对应的本地密钥。

根据本发明的一个实施例，家乡代理65包括第一扩展生成模块651、第二扩展生成模块652和注册响应发送模块653。其中，第一扩展生成模块651用于接收来自外地代理63的注册请求消息，向认证服务器64发起认证请求消息；当未能从认证服务器64获得HA-RK时，通知第二扩展填充模块652，当从认证服务器64获得HA-RK时，根据HA-RK生成注册响应消息中的FA-HA AE，将FA-HA AE发送给注册响应发送模块653；第二扩展生成模块652，用于当第一扩展生成模块651未能从认证服务器64获得HA-RK时，根据与外地代理对应的本地密钥生成注册响应消息中的FA-HA AE，将FA-HA AE发送给注册响应发送模块653；注册响应发送模块653，用于接收来自第一扩展生成模块651或第二扩展生成模块652的FA-HA AE，将FA-HA AE填充到注册响应消息，向外地代理63发送注册响应消息。可选地，家乡代理还包括密钥存储模块(图中未示出)，用于以外地代理的标识(例如外地代理的IP地址)为索引存储与外地代理对应的本地密钥。第二扩展生成模块652根据外地代理的标识从密钥存储模块获取与外地代理对应的本地密钥。

需要指出，对于一些实施例，上述网关设备62和外地代理63可以位于同一服务器上。

本领域的技术人员应当理解，对于外地代理63也可以同时作为其他移动节点的家乡代理，而家乡代理65可以同时作为其他移动节点的外地代理，因此，一个代理服务器可以同时具有外地代理和家乡代理的所有功能和模块。

本发明实施例提供的MIP用户认证系统，当FA根据认证服务器下发的HA-RK和注册响应消息中的FA-HA AE进行设备合法性检查未通过时，则根据与家乡代理对应的本地密钥和注册响应消息中的FA-HA

AE进行设备合法性检查，既保证了设备间通信的安全性，也使移动节点或网关设备能够接收到FA的注册应答消息。移动节点或网关设备可以从消息的Code(码)域中解读出注册失败的原因，设法修正引起拒绝的错误，重新尝试一次注册，避免了不断重发注册请求消息。

本领域普通技术人员可以理解实现上述实施例方法中的全部或部分步骤，可以通过计算机程序来指令相关的硬件来完成，该程序可存储于计算机可读取存储介质中，该程序在执行时，可包括如上述各方法的实施例的流程。其中，所述的存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory，ROM)或随机存储记忆体(Random AccessMemory，RAM)等。

本发明实施例的描述是为了示例和描述起见而给出的，而并不是无遗漏的或者将本发明限于所公开的形式。很多修改和变化对于本领域的普通技术人员而言是显然的。选择和描述实施例是为了更好说明本发明的原理和实际应用，并且使本领域的普通技术人员能够理解本发明从而设计适于特定用途的带有各种修改的各种实施例。