CN101006682B - 快速网络附着 - Google Patents
快速网络附着 Download PDFInfo
- Publication number
- CN101006682B CN101006682B CN2004800438434A CN200480043843A CN101006682B CN 101006682 B CN101006682 B CN 101006682B CN 2004800438434 A CN2004800438434 A CN 2004800438434A CN 200480043843 A CN200480043843 A CN 200480043843A CN 101006682 B CN101006682 B CN 101006682B
- Authority
- CN
- China
- Prior art keywords
- mobile node
- router
- couple
- request
- access
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
- 238000000034 method Methods 0.000 claims abstract description 58
- 230000004044 response Effects 0.000 claims abstract description 15
- 230000008569 process Effects 0.000 claims description 27
- 238000004891 communication Methods 0.000 claims description 23
- 235000014510 cooky Nutrition 0.000 claims description 18
- 230000005540 biological transmission Effects 0.000 claims description 9
- 238000001514 detection method Methods 0.000 claims description 5
- 230000011664 signaling Effects 0.000 description 8
- 238000012360 testing method Methods 0.000 description 7
- 230000007246 mechanism Effects 0.000 description 6
- 238000005457 optimization Methods 0.000 description 4
- 230000010062 adhesion mechanism Effects 0.000 description 2
- 239000012141 concentrate Substances 0.000 description 2
- 238000003780 insertion Methods 0.000 description 2
- 230000037431 insertion Effects 0.000 description 2
- 238000012545 processing Methods 0.000 description 2
- 238000013519 translation Methods 0.000 description 2
- 244000061520 Angelica archangelica Species 0.000 description 1
- 235000001287 Guettarda speciosa Nutrition 0.000 description 1
- 230000009471 action Effects 0.000 description 1
- 238000013459 approach Methods 0.000 description 1
- 230000008901 benefit Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 235000009508 confectionery Nutrition 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W60/00—Affiliation to network, e.g. registration; Terminating affiliation with the network, e.g. de-registration
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/126—Applying verification of the received information the source of the received data
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/069—Authentication using certificates or pre-shared keys
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W40/00—Communication routing or communication path finding
- H04W40/02—Communication route or path selection, e.g. power-based or shortest path routing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W74/00—Wireless channel access
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W8/00—Network data management
- H04W8/02—Processing of mobility data, e.g. registration information at HLR [Home Location Register] or VLR [Visitor Location Register]; Transfer of mobility data, e.g. between HLR, VLR or external networks
- H04W8/08—Mobility data transfer
- H04W8/087—Mobility data transfer for preserving data network PoA address despite hand-offs
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W80/00—Wireless network protocols or protocol adaptations to wireless operation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W80/00—Wireless network protocols or protocol adaptations to wireless operation
- H04W80/04—Network layer protocols, e.g. mobile IP [Internet Protocol]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
一种便于移动节点对接入网络进行网际协议接入的方法,该方法包括:从移动节点向接入网络的接入路由器发送一个附着请求,该请求包含了移动节点标识符和接口标识符或是用于导出接口标识符的手段,且移动节点对该请求进行签名,以便允许将消息认证成是在该移动节点始发的;在接入路由器上接收该请求并使用签名来认证该消息,以及对接收和认证该消息做出响应,执行被委托给接入节点的且是便于所述接入所要求的预定义任务集合;以及从接入路由器向移动节点返回一个确认接入许可的应答,该应答包含了网络路由前缀以及用于向移动节点认证该接入路由器的手段。
Description
发明领域
本发明涉及一种用于移动无线网络的快速网络附着机制。
发明背景
在移动无线通信网络的上下文中,术语“附着(attachment)”是指用户设备借以连接到本地无线网络(例如无线LAN接入点)并且能够利用网络所提供的至少某些服务的过程。在实践中,该过程包含了多个协议层,例如,这些协议层涉及正确的无线电频率的标识,用以启用与接入点的通信的无线电层协商,网络接入认证和授权过程,链路层安全防护启动,在IP层寻找路由器和地址,以及重新建立连至新IP地址的移动性机制。不幸的是,由于大多数针对无线接入问题的工作都只集中于某个特定方面,因此,这些任务的完成时间以及个体任务的相互作用和整体效果并未被很好地理解。
一个可能特别受到相互关连的多协议问题损害的领域是不同网络之间的移动性领域。例如,该领域的研究人员易于忽略因必须对链路具有接入控制权(因为商业和/或法律上的需求而必需)而带来的影响。真的用户只是正要开始利用不同网络类型之间的移动性,由此,相关的问题并未被完全看到或理解。
移动IP是一组协议,它规定了订户在接入网络之间的漫游,但其同时也确保了不知道订户当前位置的通信节点(correspondent node)可以与该订户取得联系。图1示意性描述了一种用于实施移动IP的网络架构。订户1附着于接入网络3的接入路由器2。对移动IP而言,其基础是在订户的归属网络5中提供归属代理4,而该归属代理知道订户1的当前位置(所述当前位置是由一个名为“转交地址(care-of-address)”的IP地址定义的),并且能够将指向订户固定的IP地址的消息路由到所述当前位置。绑定更新消息则被用于允许订户1在归属代理4上更新其转交地址,例如,该更新可以在订户漫游到新接入网络的情况下进行。当订户变更其转交地址时,这时可以调用一个路由优化过程,以便确保那些后续从附着于相应接入网络7的通信主机(correspondent host)6发送的分组被经由最佳路由而路由到用户。处于归属网络5中的认证、授权和记帐(AAA)服务器8则与归属代理4进行通信。
对网际协议版本6(IPv6)而言,典型无线链路中的网络附着处理是如下进行的:
·链路层附着,例如检测和连接到某个特定的无线局域网(LAN)接入点。
·接入控制过程。为该过程使用的是诸如802.1X和EAP之类的机制。通常,这牵涉到三个EAP控制消息(在EAPOL-成功消息上捎带确认的标识请求、响应和成功)以及一种特定的认证方法。简单的认证方法在两个消息中完成,但是很多方法都需要更多消息。
·路由器发现。这是为节点寻找缺省路由器和确定用于此链路的路由前缀的处理。在最简单的情况下,这需要两个消息,且在这两个消息之间具有一个等待周期。
·重复地址检测(DAD)。这被用于确保由移动节点选择来在此链路上使用的地址是唯一的。通常,这牵涉到一个消息和一个等待周期。
·移动性管理过程。这些包括与归属代理进行消息传递,并且有可能与通信节点以及前一个路由器进行消息传递。该消息传递通常由在用户终端与归属代理之间交换的两个消息、与每一个通信节点的五个消息(部分地是同时的)以及与前一个路由器的一个消息组成。
网际协议版本4(IPv4)很大程度上是以与IPv6相同的方式工作的。但是,路由器发现、邻居发现以及地址自动配置用动态主机控制协议(DHCP)取代,并且没有对DAD的支持。通常,DHCP需要四个消息。移动IPv4并不具有路由优化,由此只牵涉到两个附加的移动性相关消息。在IPv4中,从旧接入路由器到新接入路由器的平滑切换是不被支持的。
总之,对IPv6来说,假设只有一个通信节点,则在完整情况下存在至少16个消息以及有两个不同的等待周期(尽管可以并行发送其中的四个消息)。在IPv4的情况中,由于IPv4的功能性较少并且DHCP是中心角色,因此消息数量或多或少地要更少。但是,至少有11个消息仍旧是必需的。
目前正在做工作,以便尝试对上述信令过程中的某些过程进行优化。特别地:
·所谓的“优化的”DAD尝试避免与DAD有关的延迟,并且可能也允许在DAD结束之前使用试验性地址。这种方法的潜在益处是消除了一个等待周期以及在消息传递序列中的可能的附加并行性。另一种提议方法是使用接入路由器来辅助DAD过程。
·经过优化的移动检测尝试使得更快地检测(用户终端)何时发生移动,并且识别新网络中的网络参数。这包含了用以减少与IPv6路由器通告有关的等待周期的新算法,但是并未减少总的消息量。
·分级移动IP(HMIP)尝试对移动进行定位,由此可以将发送到归属代理和通信节点的位置更新的数量最小化。
这些优化方法主要关心的是消除不必要的等待时间。除了HMIP之外,这些优化方法似乎并未对所需要的信令量产生显著影响。但是,HMIP并未减少基本网络接入的信令量,它仅仅缩短了该信令需要采用的路径。
发明概述
本发明的一个目的是减少所需要的消息数量以便于移动节点的网络接入。这个目的是通过将当前由移动节点执行的某些任务安全地委托(delegate)给接入网络中的接入路由器来实现的。
本发明的一个目的是提供一种所谓的基于委托的安全方案,不是在移动节点和它需要交谈的任何核心网络实体之间端到端地发送消息,而是该方案会从移动节点向一个接入路由器发送证书,该证书会将某些任务委托给接入路由器,而按其它方式,这些任务是必须由移动节点完成的。
根据本发明的第一个方面,在这里提供了一种便于移动节点对接入网络进行网际协议接入的方法,该方法包括:
从移动节点向接入网络的接入路由器发送一个附着请求,该请求包含了移动节点标识符和接口标识符或是用于导出接口标识符的手段,且移动节点对该请求进行签名,以便允许将消息认证成是在该移动节点始发的;
在接入路由器上接收该请求并使用签名来认证该消息,且对接收和认证该消息做出响应,执行被委托给该接入节点的且是便于所述接入所要求的预定义任务集合;以及
从接入路由器向移动节点返回一个确认接入许可的应答,该应答包含了网络路由前缀以及用于向移动节点认证该接入路由器的手段。
本发明的应用运用的是一种整体分析而并非集中于特定的协议和任务,由此可以导致为移动节点提供网络附着所需要的信令消息数量的显著减少。它改善了在接入网络之间接近无缝漫游的前景。
优选地,附着请求包含了一个或多个下列项:
移动节点的网络接入标识符(NAI),
移动节点自身的公钥,
用于移动节点希望接受的任何接入路由器的可信任根,
移动节点归属代理的地址,
移动节点希望建立与其的路由优化的通信节点的地址,
以密码(cryptographically)生成的地址(CGA)方式构造的接口标识符(IID),
接入路由器的标识(如果已知的话),
无线链路连接的预期参数(如果需要的话),
以只为移动节点所知的方式计算得到的cookie(甜饼),
用移动节点的私钥签署的签名。
优选地,在接入路由器上的附着请求的接收会在接入路由器上触发一个或多个下列过程:
链路层附着,
接入控制过程,
路由器发现,
IP地址生成,
重复地址检测。
优选地,所述预定义任务集合包括:
通过移动节点归属网络中的恰当基础架构(AAA服务器)来实施接入、授权和记帐过程,
代表移动节点而与移动节点的归属代理执行绑定更新,
与移动节点的一个或多个通信节点执行路由优化。
根据本发明的第二个方面,在这里提供了一种操作移动节点以便于移动节点对接入网络进行网际协议接入的方法,该方法包括:从移动节点向接入网络的接入路由器发送一个附着请求,该请求包含了移动节点标识符和接口标识符或是用于导出接口标识符的手段,且移动节点对该请求进行签名,以便允许将消息认证成是在该移动节点始发的,该消息包括对接入路由器的授权以执行被委托给该接入节点的且是便于所述接入所要求的预定义任务集合。
根据本发明的第三个方面,在这里提供了一种用于操作接入路由器的方法,其中该接入路由器被安排成便于移动节点对接入网络进行网际协议接入,该方法包括:
在接入路由器上接收请求,并且使用签名来对该消息进行认证,且对接收和认证该消息做出响应,执行被委托给该接入节点的且是便于所述接入所要求的预定义任务集合;以及
从接入路由器向移动节点返回一个确认接入许可的应答,该应答包含了网络(路由)前缀以及用于向移动节点认证该接入路由器的手段。
根据本发明的第四个方面,在这里提供了一种用于操作归属代理的方法,所述归属代理被安排成为移动节点实施移动网际协议,该方法包括:
从接入路由器接收关于移动节点的位置更新消息,
授权该接入路由器代表移动节点来执行位置更新,以及
实施位置更新。
附图简述
图1示意性例示了使用移动IP的移动通信系统架构,以及
图2显示的是与快速网络附着过程相关联的信令。
关于某些实施例的详细描述
在对用于移动节点的网络附着过程进行优化中,必须对众多基本需求加以考虑。从移动节点的角度来看,移动节点需要向接入网络证明其具有接入权。此外它还需要向归属代理证明其具有更新存储在那里的它的绑定信息的权利,并且需要向通信节点证明其在归属和转交地址上是可以联系的。最后,移动节点需要向被访问网络中的其他节点证明其“拥有”自己的转交地址。其他的需求是:
·本地路由器需要向移动节点证明其在接入认证和充当路由器的能力方面的权限。
·接入、授权和记帐(AAA)基础架构需要具有移动节点正是它所声明的移动节点的证明(以便确保安全性并且确认将出现支付)。
·归属代理需要得到移动节点实际请求了位置更新的证明。
这里所提出的有效的网络附着过程依赖于以下构造:
·用于网络接入的单个请求(以及与之关联的凭证)可以用于从接入路由器、归属代理并且可选地从AAA基础架构中获取必要的许可。
·移动节点的地址创建可以分两个步骤、由单独的节点实施:移动节点可以创建地址的接口标识符(IID)部分,并且通过密码生成的地址(参见GB2367986)或EUI-64地址证书来确保其对IID的所有权。接入路由器可以创建地址的前缀部分。
·归属代理(或归属AAA服务器)可以代表移动节点动作来向接入路由器核对可信度以及转交地址构造的正确性。
·归属代理可以代表移动节点动作来获取归属“密钥生成(keygen)”令牌,该令牌是执行与通信节点的路由优化所必需的加密值。
·同样,接入路由器可以代表移动节点动作来获取转交密钥生成令牌。
·只有在所涉及的节点遭受攻击的时候才需要采用拒绝服务攻击防护,否则该防护过程只会造成额外的延迟。
有多种基于上述构造来创建无线链路协议的不同方式。一种解决方案由下列的消息传递序列组成:
1.在某些类型的链路层上,移动节点有可能在尝试附着之前接收一个通告或“信标”消息。在此类消息可用之处,它包含了下列信息:
接入路由器的标识,以及
可选地,接入路由器的能力和属性。
2.当移动节点准备好去附着于某个链路时,它会向恰当的接入路由器发送一个“新的附着消息”。这个消息是来自移动节点的带有签名的声明,并且它可能是采用证书的形式。该声明表明移动节点希望获得接入,并且该声明包含了下列信息:
移动节点的网络接入标识符(NAI),
移动节点自身的公钥,
用于移动节点将接受的任何接入路由器的可信任根,
移动节点归属代理的地址,
移动节点希望建立与其的路由优化的通信节点的地址,
以密码生成的地址(CGA)方式构造的接口标识符(IID),
接入路由器的标识(如果已知的话),
无线链路连接的预期参数(如果需要的话),
以只为移动节点所知的方式计算得到的cookie,
用移动节点的私钥签署的签名。
3.一旦接入路由器已核对了该接入请求(稍后将对其细节进行描述),它会向移动节点发送一个应答,并且允许移动节点接入网络。这个应答是一个来自于已执行被委托给它的任务的接入路由器的带有签名的声明。此外,该应答还携带了来自归属AAA网络的经签名的声明,其中所述归属AAA网络已注册了接入请求并且核实该接入网络是可信的。该应答携带了来自该移动节点的归属代理的一个类似的经签名的声明,该移动节点的归属代理已登记了该移动节点的新位置,且也核实了该接入网络是可信的。此外,该应答包括下列信息:
来自移动节点的Cookie,
为移动节点分配的网络前缀,
接入路由器的标识和公钥,
接入路由器的签名,
用户归属AAA网络的签名,以及
用户归属代理的签名。
4.移动节点核实包含在应答中的Cookie是由其本身产生的,并且对消息中的签名进行核对(为此目的,它可以使用已知公钥)。假设该签名是正确的,那么移动节点会开始发送数据分组。
5.一旦接入路由器、归属代理和通信节点推断出建立路由优化所需要的必要移动性信令,那么接入路由器会向移动节点发送一个消息,该消息包含下列信息:
来自移动节点的Cookie,
通信节点的地址,
接入路由器的签名。
6.移动节点再次核实包含在该消息内部的Cookie是由其自身产生的,并且对消息中的签名进行核对。假设该信息是正确的,那么移动节点会在它向所讨论的通信节点发送的数据分组中着手使用路由优化。
一旦该处理完成,那么移动节点已被向本地网络认证(有可能创建了记帐记录),已注册到其归属代理,且已注册到其所有的通信节点。
当出现下列情况时,数据分组可以流动:(a)移动节点从执行了所有步骤1~6的接入路由器接收到应答,(b)移动节点至少接收到前缀信息,在这种情况下,它可以(优化地)开始发送数据,或者(c)在接入路由器“填充”移动节点分组中的源IP地址前缀部分的情况下立刻进行。
将单个请求-响应消息对与公钥加密结合使用,潜在地有一种拒绝服务(DoS)的脆弱性。攻击者可以产生大量请求,而例如接入路由器之类的接收机则必须在能确定这些请求无效之前执行大量计算。对抗这种DoS攻击所采取的正常防护措施是在出现实际的繁重计算之前交换某些经过(弱地)核对的分组。例如,网间密钥交换(IKE)过程可以交换Cookie,并且会在执行Diffie-Hellman(迪菲-赫尔曼)或RSA计算之前核实该对等体确实可以在其声称的IP地址接收分组。
在这里描述的过程中,相似的防护措施也是可以使用的(通常包括从接入网络向移动节点发送一个Cookie,并且将这个Cookie包含在移动节点发送的初始接入请求中),但是为了避免因相对稀有的问题而导致延迟,所牵涉到的节点通常是不会调用额外交换的。与之相反,它们只在认为其自身处于沉重负载之下或处于潜在的拒绝服务攻击之下时才会调用该交换。特别地,在这种情况下,接入路由器或支持其的基础架构可以拒绝立即核对签名。取而代之的是,它可以发送一个包含了原始消息以及发送方Cookie的初步响应消息,并且附着其自身的Cookie。如果该请求是真实的,那么发送方将会接收这个消息,并且将会通过重新发送具有来自该初步响应消息的附加Cookie的请求来做出响应。这样做确保了所讨论的节点至少存在于已知的IP地址中,并且能够发送和接收分组。在这种情况下,信令序列是如下的:
1.在移动节点附着于某个新链路时,移动节点发送一个“新的附着消息”。
2.接入路由器或支持其的基础架构节点请求附加核对。该消息包含了下列信息:
来自移动节点的cookie,
来自一个或多个接入路由器(以及基础架构)节点的一个或多个Cookie。
3.移动节点核实其内包含的Cookie是由其自身产生的,并且重新发送其带有一个附加参数的原始请求,其中该附加参数即为来自一个或多个接入路由器(以及基础架构)节点的一个或多个Cookie。
4.从这点继续,该处理以上文所述方式继续进行。
网络附着过程的基础架构部分可以采用多种不同的方式实现,这一点取决于可采用新的协议还是重复使用现有的协议。在下文中,我们仅仅给出的是在接入路由器上提供预期功能性的概览,及其可如何通过使用现有协议来与AAA基础架构、归属代理以及通信节点取得联系。
1.AAA基础架构可以使用现有认证机制来进行联系。例如,接入路由器可以在RADIUS协议内部运行EAP-TLS,并且可以将自己的密钥用于客户机TLS认证。通过包含证书形式的移动节点的已签名接入请求,AAA基础架构可以确定移动节点已将认证任务委托给了接入路由器。
2.接入路由器可以通过保持其自己的关于当前在该链路上使用的IID的数据库,或是通过代表移动节点在链路上发送IPv6DAD请求来验证移动节点发送的IID。
3.接入路由器可以通过使用自己的公钥而将其自身认证到移动节点的归属代理,此外如上所述,接入路由器还可以包含作为证书的移动节点的已签名请求。另外,接入路由器可以提供网络前缀信息。然后,归属代理可以确定新的位置,并且核实该移动节点确实做出了要移动的请求。根据移动节点在做出请求之前是否了解接入路由器的标识,归属代理还能够检查移动节点、接入路由器以及归属代理是否就接入路由器的标识达成一致。
4.一旦接入路由器接收到来自AAA基础架构以及归属代理的回答,并且核对了所接收的Cookie和签名,那么它可以通过向移动节点发送应答并且允许移动节点接入网络来继续进行处理。
5.当归属代理批准了接入请求的时候,它可以并行地将多个移动IPv6归属测试“初始化”消息发送到所列举的通信节点。同样,接入路由器可以将多个转交测试“初始化”消息发送到相同的通信节点。针对归属测试消息的响应将会从归属代理发送到接入路由器。在对归属和转交测试消息做出了响应之后,接入路由器可以将来自它们的值加以组合,以便向通信节点发送一个绑定更新。(与本交换中牵涉的其他节点不同,该通信节点不需要已签名的声明,因为它仅仅是以地址可到达性测试为基础来操作的,其成功应归因于执行这些测试的归属代理和接入路由器)。
在图2中描述了关于该消息流的概述。
应该想到的是,通过将并行的消息调用包含到不同的基础架构节点中,可以更进一步地优化图示的过程。
所给出的模型还可以充当链路层(无线链路)安全机制,其中举例来说,该机制使得能够在主机与接入路由器之间实施加密。对所需要的会话密钥来说,用于导出该密钥的必要密码交换可以嵌入到“新的附着消息”及其应答中。举个例子,通过执行Diffie-Hellman交换,可以很安全地商定会话密钥。
以其最小的形式,这里描述的过程规定了在无线链路上实施的安全的单消息网络附着机制,当然,这要假设在接收应答之前能以优化方式发送数据分组。在任何情况下,所述机制在无线链路上需要至多三个消息来为移动节点执行网络附着。
本领域的技术人员能够想到的是,在不脱离本发明的范围的情况下,可以对上述实施例进行各种修改。
Claims (7)
1.一种便于移动节点对接入网络进行网际协议接入的方法,该方法包括:
移动节点向接入网络的接入路由器发送附着请求,该请求包含了移动节点标识符和接口标识符或用于导出接口标识符的手段,且移动节点使用私钥-公钥对中的私钥来对该请求签名,以便允许将该请求认证成是在该移动节点始发的,该请求包括对接入路由器的授权以执行被委托给接入路由器的、而按其它方式是必须由移动节点完成的、从而便于所述接入的预定义任务集合;
接入路由器接收该请求并使用签名以及所述私钥-公钥对中的公钥来认证该请求,以及对接收和认证该请求做出响应,执行所述预定义任务集合;以及
从接入路由器向移动节点返回确认接入许可的应答,该应答包含了网络路由前缀以及用于向移动节点认证该接入路由器的手段。
2.根据权利要求1的方法,其中该附着请求包括以下各项中的一项或多项:
移动节点的网络接入标识符,
移动节点自身的公钥,
用于该移动节点希望接受的任何接入路由器的可信任根,
移动节点的归属代理的地址,
移动节点希望与其建立路由优化的通信节点的地址,
以密码生成的地址方式构造的接口标识符,
接入路由器的标识,
无线链路连接的预期参数,
以只为移动节点所知的方式计算得到的cookie,
用移动节点的私钥签署的签名。
3.根据权利要求1或2的方法,其中在接入路由器上的附着请求的接收在接入路由器上触发以下各项过程中的一项或多项:
链路层附着,
接入控制过程,
路由器发现,
IP地址生成,
重复地址检测。
4.根据权利要求1的方法,所述预定义任务集合包括:
通过移动节点的归属网络中的恰当基础架构来实施接入、授权和记帐过程,
代表移动节点而与移动节点的归属代理执行绑定更新,
与移动节点的一个或多个通信节点执行路由优化。
5.一种操作移动节点以便于移动节点对接入网络进行网际协议接入的方法,该方法包括:移动节点向接入网络的接入路由器发送附着请求,该请求包含了移动节点标识符和接口标识符或用于导出接口标识符的手段,且移动节点使用私钥-公钥对中的私钥来对该请求进行签名,以便允许接入路由器将该请求认证成是在该移动节点始发的,该请求包括对接入路由器的授权以执行被委托给该接入路由器的、而按其它方式是必须由移动节点完成的、从而便于所述接入的预定义任务集合。
6.一种用于操作接入路由器的方法,该接入路由器被安排成便于移动节点对接入网络进行网际协议接入,该方法包括:
接入路由器接收请求,该请求包括对接入路由器的授权以执行被委托给接入路由器的、而按其它方式是必须由移动节点完成、从而便于所述接入的预定义任务集合,并且使用签名以及私钥-公钥对中的公钥来对该请求进行认证,以及对接收和认证该请求做出响应,执行所述预定义任务集合;以及
从接入路由器向移动节点返回确认接入许可的应答,该应答包含了网络路由前缀以及用于向移动节点认证该接入路由器的手段。
7.一种便于移动节点对接入网络进行网际协议接入的方法,该方法包括:
移动节点向接入网络的接入路由器发送附着请求,该请求包含了移动节点标识符和接口标识符或用于导出接口标识符的手段,且移动节点使用私钥-公钥对中的私钥来对该请求签名,以便允许将该请求认证成是在该移动节点始发的,该请求包括对接入路由器的授权以执行被委托给接入路由器的、而按其它方式是必须由移动节点完成的、从而便于所述接入的预定义任务集合;
接入路由器接收该请求并使用签名以及所述私钥-公钥对中的公钥来认证该请求,以及对接收和认证该请求做出响应,执行所述预定义任务集合,其中所述任务之一包括通过移动节点的归属网络中的恰当基础架构来实施接入、授权和记帐过程;以及
从接入路由器向移动节点返回确认接入许可的应答,该应答包含了网络路由前缀以及用于向移动节点认证该接入路由器的手段。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/EP2004/051871 WO2006018045A1 (en) | 2004-08-20 | 2004-08-20 | Fast network attachment |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101006682A CN101006682A (zh) | 2007-07-25 |
| CN101006682B true CN101006682B (zh) | 2013-03-06 |
Family
ID=34958642
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2004800438434A Expired - Fee Related CN101006682B (zh) | 2004-08-20 | 2004-08-20 | 快速网络附着 |
Country Status (8)
| Country | Link |
|---|---|
| US (1) | US8000704B2 (zh) |
| EP (1) | EP1782574B1 (zh) |
| JP (1) | JP4585002B2 (zh) |
| CN (1) | CN101006682B (zh) |
| AT (1) | ATE516640T1 (zh) |
| CA (1) | CA2577142A1 (zh) |
| ES (1) | ES2368566T3 (zh) |
| WO (1) | WO2006018045A1 (zh) |
Families Citing this family (26)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| SE0003440D0 (sv) * | 2000-09-26 | 2000-09-26 | Landala Naet Ab | Kommunikationssystem |
| US20060095546A1 (en) * | 2004-10-07 | 2006-05-04 | Nokia Corporation | Method and system for locating services in proximity networks for legacy application |
| US7886076B2 (en) * | 2005-01-12 | 2011-02-08 | International Business Machines Corporation | Bypassing routing stacks using mobile internet protocol |
| US7765305B2 (en) * | 2005-04-07 | 2010-07-27 | Microsoft Corporation | Retry request overload protection |
| US20070101408A1 (en) * | 2005-10-31 | 2007-05-03 | Nakhjiri Madjid F | Method and apparatus for providing authorization material |
| JP4937270B2 (ja) * | 2005-11-22 | 2012-05-23 | パナソニック株式会社 | 通信経路最適化方法及び通信経路最適化制御装置 |
| US8391153B2 (en) | 2006-02-17 | 2013-03-05 | Cisco Technology, Inc. | Decoupling radio resource management from an access gateway |
| CN101496387B (zh) * | 2006-03-06 | 2012-09-05 | 思科技术公司 | 用于移动无线网络中的接入认证的系统和方法 |
| US8477683B2 (en) * | 2006-04-13 | 2013-07-02 | Qualcomm Incorporated | Configuring a host device by way of MMP |
| CN101114928B (zh) * | 2006-07-24 | 2011-04-20 | 华为技术有限公司 | 一种实现负载均衡的系统及方法 |
| US7885274B2 (en) * | 2007-02-27 | 2011-02-08 | Cisco Technology, Inc. | Route optimization between a mobile router and a correspondent node using reverse routability network prefix option |
| KR101341720B1 (ko) * | 2007-05-21 | 2013-12-16 | 삼성전자주식회사 | 이동통신 시스템에서 프록시 이동 인터넷 프로토콜을 이용한 단말의 이동성 관리 방법 및 시스템과 이를 위한 단말의 홈 주소 할당 방법 |
| WO2009001183A2 (en) * | 2007-06-22 | 2008-12-31 | Telefonaktiebolaget L M Ericsson (Publ) | System and method for access network multi-homing |
| PL2250784T3 (pl) * | 2008-03-04 | 2014-02-28 | Ericsson Telefon Ab L M | Delegacja adresu IP |
| EP2182328A1 (en) * | 2008-10-28 | 2010-05-05 | Koninklijke KPN N.V. | Telecommunications network and method of transferring user data in signalling messages from a communication unit to a data processing centre |
| CN103716797A (zh) | 2009-03-06 | 2014-04-09 | 交互数字专利控股公司 | 执行wtru的确认的方法以及设备 |
| US20110055551A1 (en) * | 2009-08-27 | 2011-03-03 | Telefonaktiebolaget Lm Ericsson (Publ) | Method and network nodes for generating cryptographically generated addresses in mobile ip networks |
| GB2474077B (en) * | 2009-10-05 | 2013-07-24 | Samsung Electronics Co Ltd | Method and apparatus for configuring radio access functionality of a wireless commumication unit |
| CN102238241B (zh) * | 2010-04-26 | 2015-09-16 | 中兴通讯股份有限公司 | 一种变长前缀的申请方法、装置和系统 |
| US8953798B2 (en) * | 2010-10-29 | 2015-02-10 | Telefonaktiebolaget L M Ericsson (Publ) | Enhanced cryptographically generated addresses for secure route optimization in mobile internet protocol |
| KR101622447B1 (ko) * | 2010-11-05 | 2016-05-31 | 인터디지탈 패튼 홀딩스, 인크 | 장치 유효성 확인, 재난 표시, 및 복원 |
| KR101971167B1 (ko) * | 2012-09-25 | 2019-08-13 | 톰슨 라이센싱 | 이주자에 의해 야기된 코어 네트워크 트래픽의 감소 |
| JP6029449B2 (ja) * | 2012-12-17 | 2016-11-24 | 三菱電機株式会社 | スマートメータシステム、管理ルータおよびメータ |
| US10033540B2 (en) * | 2014-07-24 | 2018-07-24 | The Hong Kong University Of Science And Technology | Handoff free wireless network architecture |
| CN108347723B (zh) * | 2017-01-25 | 2021-01-29 | 华为技术有限公司 | 一种切换方法和装置 |
| CN114513860B (zh) * | 2020-10-23 | 2023-05-05 | 中国移动通信有限公司研究院 | 一种终端附着方法、设备及存储介质 |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6353891B1 (en) * | 2000-03-20 | 2002-03-05 | 3Com Corporation | Control channel security for realm specific internet protocol |
Family Cites Families (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2963945B2 (ja) * | 1997-05-08 | 1999-10-18 | 大塚化学株式会社 | 2,2’−ビス(6−ベンゾトリアゾリルフェノール)化合物 |
| FI20000760A0 (fi) * | 2000-03-31 | 2000-03-31 | Nokia Corp | Autentikointi pakettidataverkossa |
| JP4572476B2 (ja) * | 2001-03-13 | 2010-11-04 | ソニー株式会社 | 通信処理システム、通信処理方法、および通信端末装置、データ転送制御装置、並びにプログラム |
| JP2003008625A (ja) | 2001-06-20 | 2003-01-10 | Matsushita Electric Ind Co Ltd | MobileIPエージェント装置、移動端末、移動通信システム及び移動端末登録方法 |
| US20030026230A1 (en) * | 2001-08-02 | 2003-02-06 | Juan-Antonio Ibanez | Proxy duplicate address detection for dynamic address allocation |
| GB2381423B (en) * | 2001-10-26 | 2004-09-15 | Ericsson Telefon Ab L M | Addressing mechanisms in mobile IP |
| US7286671B2 (en) * | 2001-11-09 | 2007-10-23 | Ntt Docomo Inc. | Secure network access method |
| JP3822555B2 (ja) * | 2001-11-09 | 2006-09-20 | 株式会社エヌ・ティ・ティ・ドコモ | 安全なネットワークアクセス方法 |
| US20030104814A1 (en) * | 2001-11-30 | 2003-06-05 | Docomo Communications Laboratories Usa | Low latency mobile initiated tunneling handoff |
| WO2003096588A2 (en) * | 2002-04-15 | 2003-11-20 | Flarion Technologies, Inc. | Methods and apparatus for extending mobile ip |
| US7286510B2 (en) * | 2002-04-15 | 2007-10-23 | Qualcomm Incorporated | Method and apparatus for providing compatibility between elements of a wireless communication system |
| ATE355693T1 (de) * | 2002-09-24 | 2006-03-15 | Orange Sa | Verfahren eines gateways zum auswählen eines kanals zur übertragung von datenpaketen |
| US6930988B2 (en) * | 2002-10-28 | 2005-08-16 | Nokia Corporation | Method and system for fast IP connectivity in a mobile network |
-
2004
- 2004-08-20 AT AT04766569T patent/ATE516640T1/de not_active IP Right Cessation
- 2004-08-20 CA CA002577142A patent/CA2577142A1/en not_active Abandoned
- 2004-08-20 WO PCT/EP2004/051871 patent/WO2006018045A1/en active Application Filing
- 2004-08-20 CN CN2004800438434A patent/CN101006682B/zh not_active Expired - Fee Related
- 2004-08-20 EP EP04766569A patent/EP1782574B1/en not_active Expired - Lifetime
- 2004-08-20 ES ES04766569T patent/ES2368566T3/es not_active Expired - Lifetime
- 2004-08-20 US US11/573,831 patent/US8000704B2/en not_active Expired - Fee Related
- 2004-08-20 JP JP2007525185A patent/JP4585002B2/ja not_active Expired - Fee Related
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6353891B1 (en) * | 2000-03-20 | 2002-03-05 | 3Com Corporation | Control channel security for realm specific internet protocol |
Non-Patent Citations (1)
| Title |
|---|
| Byung-Gil Lee et al..Mobile IP and WLAN with AAA Authentication Protocol using Identity-based Cryptography.《Telecommunications,ICT 2003,10th International Conference》.2003,第1卷 * |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2006018045A1 (en) | 2006-02-23 |
| EP1782574A1 (en) | 2007-05-09 |
| US8000704B2 (en) | 2011-08-16 |
| EP1782574B1 (en) | 2011-07-13 |
| JP2008509614A (ja) | 2008-03-27 |
| CA2577142A1 (en) | 2006-02-23 |
| JP4585002B2 (ja) | 2010-11-24 |
| ATE516640T1 (de) | 2011-07-15 |
| ES2368566T3 (es) | 2011-11-18 |
| CN101006682A (zh) | 2007-07-25 |
| US20070242638A1 (en) | 2007-10-18 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101006682B (zh) | 快速网络附着 | |
| CN110800331B (zh) | 网络验证方法、相关设备及系统 | |
| KR100651716B1 (ko) | Diameter 기반 프로토콜에서 모바일 네트워크의부트스트랩핑 방법 및 그 시스템 | |
| CN101297515B (zh) | 充分利用gsm/sim认证基础架构的移动ip eap/sim认证 | |
| EP1707024B1 (en) | Improvements in authentication and authorization in heterogeneous networks | |
| US9113332B2 (en) | Method and device for managing authentication of a user | |
| US7688785B2 (en) | Context transfer in a communication network comprising plural heterogeneous access networks | |
| JP3869392B2 (ja) | 公衆無線lanサービスシステムにおけるユーザ認証方法および該方法をコンピュータで実行させるためのプログラムを記録した記録媒体 | |
| US20110010538A1 (en) | Method and system for providing an access specific key | |
| CN101682630A (zh) | 用于在无线通信网络中提供pmip密钥分层结构的方法和装置 | |
| JP2004241976A (ja) | 移動通信ネットワークシステムおよび移動端末認証方法 | |
| WO2019137030A1 (zh) | 安全认证方法、相关设备及系统 | |
| JP5044690B2 (ja) | Ipモビリティシステムのための動的な外部エージェント−ホーム・エージェント・セキュリティ・アソシエーション割当て | |
| JP3822555B2 (ja) | 安全なネットワークアクセス方法 | |
| KR20070061619A (ko) | 사전공유키(PSK) 기반의 안전한 모바일 IPv6 이동노드 초기구동을 위한 네트워크 시스템 및 통신 방법 | |
| CN101449540B (zh) | 基于委托的移动性管理 | |
| CN105592433B (zh) | 设备到设备限制发现业务广播、监听方法、装置及系统 | |
| Laurent-Maknavicius et al. | Inter-domain security for mobile Ipv6 | |
| KR100687721B1 (ko) | 모바일 IPv 6를 지원하는 다이아미터 AAA프로토콜의 확장 방법 | |
| WO2008154841A1 (fr) | Procédé, système et appareil pour protéger le signalement de protocole internet mobile d'un agent | |
| JP2003070068A (ja) | 認証区間判定方法、および認証区間判定装置 | |
| CN1738281A (zh) | 移动式vpn的动态代理器分配方法及系统 | |
| KR100726173B1 (ko) | 사용자 세션의 스테이트 머신 운용 방법 및 이를 수행하는라우터 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| REG | Reference to a national code |
Ref country code: HK Ref legal event code: DE Ref document number: 1107737 Country of ref document: HK |
|
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| REG | Reference to a national code |
Ref country code: HK Ref legal event code: WD Ref document number: 1107737 Country of ref document: HK |
|
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20130306 Termination date: 20190820 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |