CN1714560B - 移动ip中的动态会话密钥产生及密钥重置的方法和装置 - Google Patents

移动ip中的动态会话密钥产生及密钥重置的方法和装置 Download PDF

Info

Publication number
CN1714560B
CN1714560B CN2003801039390A CN200380103939A CN1714560B CN 1714560 B CN1714560 B CN 1714560B CN 2003801039390 A CN2003801039390 A CN 2003801039390A CN 200380103939 A CN200380103939 A CN 200380103939A CN 1714560 B CN1714560 B CN 1714560B
Authority
CN
China
Prior art keywords
mobile node
key
home agent
registration
key information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
CN2003801039390A
Other languages
English (en)
Other versions
CN1714560A (zh
Inventor
阿尔菲施·佩特尔
肯特·K·莱翁
斯特凡·拉布
戈帕尔·多梅提
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Cisco Technology Inc
Original Assignee
Cisco Technology Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Cisco Technology Inc filed Critical Cisco Technology Inc
Publication of CN1714560A publication Critical patent/CN1714560A/zh
Application granted granted Critical
Publication of CN1714560B publication Critical patent/CN1714560B/zh
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/068Network architectures or network communication protocols for network security for supporting key management in a packet data network using time-dependent keys, e.g. periodically changing keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/083Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0863Generation of secret information including derivation or calculation of cryptographic keys or passwords involving passwords or one-time passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0891Revocation or update of secret information, e.g. encryption key update or rekeying
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/321Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/80Wireless
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/061Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying further key derivation, e.g. deriving traffic keys from a pair-wise master key
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/081Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying self-generating credentials, e.g. instead of receiving credentials from an authority or from another peer, the credentials are generated at the entity itself
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0892Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • H04W12/61Time-dependent
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W80/00Wireless network protocols or protocol adaptations to wireless operation
    • H04W80/04Network layer protocols, e.g. mobile IP [Internet Protocol]

Abstract

本发明公开了提供归属代理和移动节点所共享的会话密钥的集中源的方法和装置。根据本发明一个方面,移动节点向归属代理发送注册请求从而注册到支持移动IP的归属代理。归属代理将请求消息(例如访问请求消息)发送到AAA服务器,该请求消息标识移动节点。然后AAA服务器从与移动节点相关联的密钥或密码中导出密钥信息。然后AAA服务器将回复消息(例如访问回复消息)发送到归属代理,从而使归属代理能从密钥信息中导出在移动节点和归属代理之间共享的共享密钥,所述回复消息包括与移动节点相关联的密钥信息。归属代理从密钥信息中导出密钥,该密钥是移动节点和归属代理之间的共享密钥。然后将注册回复发送到移动节点。当移动节点接收到来自归属代理的注册回复时,该注册回复指示出移动节点将要导出在移动节点和归属代理之间共享的密钥。然后移动节点从存储在移动节点上的密钥信息中导出在移动节点和归属代理之间共享的密钥。移动节点可通过向归属代理发送后续注册请求来启动“密钥重置”操作。

Description

移动IP中的动态会话密钥产生及密钥重置的方法和装置
技术领域
本发明涉及移动IP网络技术。更具体而言,本发明涉及在移动IP中执行动态会话密钥产生。
背景技术
移动IP是一种协议,该协议允许膝上型计算机或其他移动计算机单元(这里被称为“移动节点”)在位于各个位置的各个子网之间漫游,并同时保持互联网和/或WAN连接。没有移动IP或相关协议,移动节点将无法在各个子网之间进行漫游的同时保持连接。这是因为任意节点通过互联网进行通信所需的IP地址是位置专有的。每个IP地址具有用于指定节点所处特定子网的字段。如果用户想要采用一台平常附接于一个节点的计算机并且利用其漫游,从而使其穿过不同子网,那么这台计算机无法使用它的归属基本IP地址。这样一来,在国家间旅行的商人无法仅仅利用他或她的计算机在地理上分离的网段或无线节点之间漫游,而同时保持互联网上的连接。在便携式计算设备的时代,这是一种无法接受的事态。
为了解决这个问题,已经开发并实现了移动IP协议。移动IP的实现方法在网络工作组的RFC 3344(C.Perkins,Ed.,“IP Mobility Support forIPv4”,2002年8月)中有所描述。在Prentice Hall中由J.Solomon所著的文章“Mobile IP Unplugged”中也描述了移动IP。这里为所有目的而并入了这两个参考资料的全部内容,以作为参考。
在图1中示出了移动IP的过程和环境。如图所示,移动IP环境2包括互联网(或WAN)4,通过互联网4,移动节点6可以经由归属代理8和外部代理10的协调而与远端进行通信。通常,归属代理和外部代理是执行适当移动IP功能的路由器或其他网络连接设备,其中所述移动IP功能是由软件、硬件和/或固件来实现。插入到其归属网段中的具体移动节点(例如膝上型计算机)与互联网相连。当移动节点漫游时,它经由互联网而通过可获得的外部代理进行通信。假设,在地理上分离的位置上可获得很多外部代理,从而允许经由移动IP协议的广泛互联网连接。注意,移动节点也可能直接注册到其归属代理。
如图1所示,移动节点6一般位于(或“基于”)网段12,该网段12允许其网络实体通过互联网4进行通信。注意,归属代理8不需要直接连接到互联网。例如,如图1所示,它可以通过另一路由器(在本示例中的路由器R1)来连接。路由器R1可以接着利用互联网而连接一个或多个其他的路由器(例如路由器R3)。
现在,假设从移动节点6的归属基本网段12中将其移走,并且该移动节点6漫游到远端网段14。网段14可以包括诸如PC 16的各种其他节点。网段14上的节点通过兼作外部代理10的路由器与互联网进行通信。移动节点6可以通过构成移动IP协议一部分的各种请求和通告来识别外部代理10。当移动节点6与网段14交互时,外部代理10将注册请求中继到归属代理8(如虚线“注册”所指出的)。然后归属代理和外部代理可以针对移动节点附接到外部代理10的条件进行协商。例如,该附接可以局限于一段时间,例如两个小时。当协商成功完成时,归属代理8更新内部的“移动绑定表”,该表指定了与移动节点6的身份相关联的转交地址(例如配置转交地址或外部代理的IP地址)。此外,外部代理10更新内部的“访问者表”,该表指定了移动节点的地址、归属代理的地址等等。这样一来,已经将移动节点的归属基本IP地址(与网段12相关联)转移到外部代理的IP地址(与网段14相关联)。
现在,假设移动节点6想要从其新位置向对端节点18发送消息。然后,根据标准互联网协议,来自移动节点的输出消息被打包,并经由互联网4通过外部代理10而被转发到对端节点18(如虚线“来自MN的分组”所指出的)。如果对端节点18想要向移动节点发送消息(回复来自移动节点的消息或者出于任意其他原因),那么它将该消息寻址到子网12上的移动节点6的IP地址。然后,该消息的分组通过互联网4而被转发到路由器R1,并被最终传递到归属代理8(如虚线“去往MN的分组(1)”所指出的)。归属代理8从其移动绑定表中得知移动节点6不再附接到网段12。然后它根据移动IP协议封装来自对端节点18的分组(它们被寻址到网段12上的移动节点6),并且将这些经封装的分组转发到移动节点6的“转交”地址(如虚线“去往MN的分组(2)”所指出的)。转交地址例如可以是外部代理10的IP地址。然后外部代理10解开封装,并且将消息转发到子网14上的移动节点6。这种由归属代理和外部代理所实现的分组转发机制通常被称为“隧道操作”(tunneling)。
在移动节点注册到其归属代理期间,对注册请求的发送方(例如移动节点)的身份和注册回复的发送方(例如归属代理)的身份进行验证。在注册过程期间,通常将移动-归属验证扩展附接到注册请求和注册回复中。在由归属代理接收到注册请求,并且由移动节点接收到注册回复时,通过应用移动-归属验证扩展来验证发送方的身份。
RFC 3344指定了在移动节点和归属代理之间发送的注册请求和注册回复分组的分组格式。如图2所示,注册请求分组202和注册回复分组204都包括必备的移动-归属验证扩展(MHAE)206。更具体而言,必备的移动-归属验证扩展(MHAE)206包括类型字段208、长度字段210、安全参数索引(SPI)字段212和验证符214。类型字段208指示出扩展(即移动-归属验证扩展)的类型,并且长度字段210指示出扩展的长度(例如字节)。安全参数索引212是指定接收者用于解释接收到的分组的安全关联(或者安全关联表中的“行”)的标识符。在下文中将更详细描述的安全关联定义了在验证过程期间将应用的密钥和算法。注册请求分组202和注册回复分组204两者都包括受保护区域216,该区域包括注册请求202/注册回复204、类型字段208、长度字段210和安全参数索引(SPI)字段212。通常移动节点和归属代理两者都以安全关联所提供的相同秘密密钥被配置,所述密钥用于对该受保护区域216进行散列(hash)操作,从而创建验证符214。
图3示出了在移动节点的验证期间所执行的过程步骤的处理流程图。如图所示,过程开始于步骤302,并且在步骤304处,移动节点构造包括受保护区域的注册请求。在步骤306处,移动节点通过应用指定算法而利用密钥对受保护区域进行散列操作,而产生验证符。然后,在步骤308处,移动节点将包括了受保护区域和验证符的注册请求发送到归属代理。然后在步骤310处,归属代理从对应于注册请求的SPI的安全关联中识别出所有必要信息,例如密钥和用来产生其验证符的算法。接下来,在步骤312处,归属代理通过使用由SPI所识别的算法而利用密钥对注册请求的受保护区域进行散列操作,来产生其验证符。然后,归属代理将由移动节点所产生的验证符与由归属代理所产生的验证符进行比较。如果在步骤314处判定验证符匹配,那么在步骤316处,移动节点得到验证,并且过程在步骤318处结束。但是,如果验证符不匹配,那么在步骤320处,移动节点未得到验证,并且过程在步骤322处结束。在接收到归属代理所发送的注册回复时,移动节点可以执行类似的验证。但是,在归属代理的验证期间,可能应用不同的SPI,从而应用不同的安全关联。
如根据验证过程所描述的,安全关联在验证过程期间提供了用于产生验证符的信息。图4示出了通常在每个归属代理上配置的传统安全关联表的图。如图所示,对于该归属代理所支持的每个移动节点,安全关联表402通常包括至少一个条目404。作为示例,多个安全关联可被应用于具有不同安全需求的不同类型的数据传输。每个条目404可以包括用于移动节点的移动节点标识符406(例如移动节点的IP地址),以及识别安全关联表内的的安全关联的SPI 408。另外,还提供了在移动节点和归属代理之间共享的验证密钥410(例如秘密密钥)(例如密钥化MD5)。还提供了用于创建验证符的算法412(例如RSA消息摘要算法MD5)。此外,诸如前缀、后缀或前缀-后缀之类的模式414指示出在验证期间所使用的模式。该模式指示出利用密钥对其进行散列操作的受保护区域的部分。另外,每个条目404还包括重放计时器416或时间戳,其指示出可以在其间重放注册请求的最长时间。重放计时器防止出于破坏验证目的的未经授权的注册请求的复制和“重放”。
虽然重放计时器可以降低重放注册请求的风险,但是存在危及被静态配置的密钥的风险。具体而言,当在归属代理和移动节点处静态配置共享密钥时,共享密钥被重复再利用。这样一来,存在通过多次通信而发现被静态配置的密钥的可能性。从而还会危及可以经由该共享密钥来解密的经加密的信息。
安全关联表可能包括几千个条目,从而消耗大量存储器。如上所述,在这样的安全关联表中,通常为由相应归属代理所支持的每个移动节点至少提供一个条目。此外,这些安全关联表通常被存储在非易失性存储器中,以防止该信息被破坏。当归属代理是具有非常大的硬盘或其他形式的非易失性存储器的工作站时,这不会带来问题。但是,当诸如路由器或交换机之类的网络设备充当归属代理时,存储器(尤其是非易失性存储器)是珍贵的资源。虽然非易失性存储器的使用确保安全关联将不会无法挽回地丢失,但是典型路由器中的非易失性RAM是有限的。作为示例,在典型路由器中,非易失性RAM可以具有大约128千字节。由于每个安全关联大约消耗存储器中的80个字节,因此可以被存储在归属代理中的安全关联数目被限定为约1500个。实际上,路由器的NVRAM中的一部分必须被另外设置为用于其他目的,因此它能够存储的安全关联的实际数目将比理论上的最大值少得多。简而言之,存储器中的物理限制导致无法存储归属代理不然的话应能支持的所有移动节点的安全关联。
另外,通常以手工方式为每个归属代理配置安全关联表。图5示出了移动IP网段和相关环境的框图。移动IP环境502包括互联网(或者WAN)504,各种移动节点可以经由相应归属代理的协调(经由被记作R1的被适当配置的路由器)而通过所述互联网504来进行远端通信。诸如公司、企业或政府之类的实体可以提供多个归属代理。这里,示出了第一归属代理506、第二归属代理508、第三归属代理510、第四归属代理512和第五归属代理514。如图所示,这样的环境缺乏安全关联的集中源。因此,每个归属代理都必须为该归属代理所支持的移动节点而单独配置。此外,可以提供冗余的归属代理,从而允许一个归属代理充当备份来避免主要归属代理的故障的影响。作为示例,第四归属代理512和第五归属代理514可以在归属代理之一发生故障的情况下存储同样的安全关联。这样,当安全关联被更新(例如密钥被修改)时,必须在所有冗余的归属代理上更新安全关联。因此,这样的系统需要相当多的管理开销。
鉴于以上问题,则希望能够实现共享密钥的集中源。此外,如果能够减少或消除发现共享密钥的风险将非常有益。
发明内容
本发明公开了用于提供由归属代理和移动节点所共享的会话密钥的集中源的方法和装置。这是部分地通过使用AAA服务器来实现的,所述AAA服务器用于将相关密钥信息提供到归属代理。以这种方式,移动节点和其归属代理可以分别导出共享密钥,从而消除了发送共享密钥的需求以及共享密钥被解密的风险。
根据本发明的一个方面,移动节点通过向归属代理发送注册请求而注册到支持移动IP的归属代理。当移动节点接收到来自归属代理的注册回复时,该注册回复指示出移动节点将要导出在移动节点和归属代理之间共享的密钥。然后,移动节点从存储在移动节点上的密钥信息中导出在移动节点和归属代理之间共享的密钥。
根据本发明的另一方面,适用于验证、授权和计费(AAA)的服务器接收来自归属代理的请求消息(例如访问请求消息),该请求消息标识出移动节点。然后AAA服务器从与移动节点相关联的密钥或密码中导出密钥信息。可以从另一服务器(例如微软WindowsTM域控制器)获得所述密钥或密码。然后AAA服务器将回复消息发送到归属代理,从而使归属代理能够从密钥信息中导出在移动节点和归属代理之间共享的共享密钥,所述回复消息包括与移动节点相关联的密钥信息。
根据本发明的又一方面,归属代理接收来自移动节点的注册请求,该注册请求标识出移动节点。归属代理将请求消息(例如访问请求消息)发送到AAA服务器,该请求消息标识出移动节点。归属代理接收来自AAA服务器的回复消息(例如访问回复消息),该回复消息包括与移动节点相关联的密钥信息。归属代理从密钥信息中导出密钥,该密钥是在移动节点和归属代理之间的共享密钥。然后将注册回复发送到移动节点。
根据本发明的又一方面,移动节点可以通过向归属代理发送后续注册请求来启动重置密钥操作。然后,归属代理和移动节点可以从之前使用的会话密钥中导出密钥。密钥可以在每次清除绑定时(例如在移动节点的寿命过期或者移动节点解除注册时)产生。
附图说明
图1示出了移动IP网段和相关环境的图。
图2示出了具有移动-归属验证扩展的传统注册请求和注册回复分组格式的图。
图3示出了在移动节点的验证期间执行的过程步骤的处理流程图。
图4示出了传统的安全关联的图。
图5示出了不带安全密钥集中源的移动IP网段和相关环境的框图。
图6示出了可以在其中实现本发明的示例性系统的框图。
图7示出了根据本发明的各种实施例执行动态密钥产生的一般方法的事务处理流程图。
图8示出了根据本发明的各种实施例执行动态密钥产生的具体方法的事务处理流程图。
图9示出了如图8的方框812所示的制作注册请求的方法的流程图。
图10A示出了根据本发明的各种实施例,可以由移动节点发送的示例性注册请求消息的图。
图10B示出了根据本发明的各种实施例,可以由归属代理发送到移动节点的示例性注册回复消息的图。
图11A示出了根据本发明的各种实施例,可以随后由移动节点发送的示例性注册回复消息的图。
图11B示出了根据本发明的各种实施例,可以随后由归属代理发送到移动节点以启动后续密钥重置操作(rekeying)的示例性注册回复消息的图。
图12是可以被配置为实现本发明多个方面的网络设备的框图。
具体实施方式
在以下描述中,为了提供对本发明的完整理解而提出了多个具体细节。但是,本领域的技术人员将会发现,无需这些具体细节中的一些或全部,就可以实施本发明。在其他示例中,没有描述公知的过程步骤,以免不必要地模糊本发明。
图6示出了可以在其中实现本发明的示例性系统的框图。当移动节点602没有与其归属代理604共享安全关联时,移动节点602和归属代理604两者都可以分别动态地产生共享密钥。在这种情况下,可以在注册过程期间验证它们的身份。
如图6所示,注册可以借助外部代理606来执行,或者也可以在无需外部代理606的情况下执行注册。换句话说,移动节点602可以经由配置转交地址(collocated care-of address)来注册。为了简化以下描述,假设移动节点602经由配置转交地址来注册。
为了独立地产生共享密钥,利用诸如密钥“根密钥”(root key)之类的密钥信息或者诸如WindowTM密码之类的密码来配置移动节点。从这种密钥信息中,移动节点可以导出共享密钥。移动节点优选地响应于从归属代理接收到的注册回复来导出共享密钥。例如,注册回复可以指示由移动节点导出共享密钥。
移动性密钥可以被存储在验证、授权和计费(AAA)服务器上,所述AAA服务器可以通过使用TACACS+或RADIUS协议来访问。验证过程判断实体是谁,而授权过程判断允许用户执行或访问什么服务。可以实现诸如远程拨入用户验证服务(RADIUS)和TACACS+之类的各种协议来提供这样的服务器。另外,这种协议可以被类似地实现在与服务器通信的每个归属代理上。RFC 2138描述了RADIUS协议,在此通过参考将RFC 2138结合于此。相似地,RFC 1492描述了TACACS,并且在http://www.ietf.org/internet-drafts/draft-grant-tacacs-02.txt处可获得的互联网草案“The TACACS+Protocol Version 1.78”描述了TACACS+。这里为了所有目的通过参考将这些文件结合于此。
归属代理从AAA服务器608获得其密钥信息的集合。如上所述,AAA服务器608可以存储共享密钥或安全关联。但是,根据本发明的各种实施例,AAA服务器存储了可以从其导出共享密钥的密钥信息,而不是共享密钥或安全关联。如上所述,密钥信息可以包括“根密钥”或者诸如WindowTM密码之类的密码。可替换地,可以由AAA服务器608访问辅助设备610和/或存储介质以检索密钥信息。由于共享密钥没有被传输,因此传输的监听者无法容易地分辨出共享密钥。
除了不发送共享密钥之外,最好也不发送初始密钥信息。这样,AAA服务器608优选地导出将要发送到归属代理604的中间密钥材料。然后归属代理可以从该中间密钥材料中导出共享密钥。
根据一个实施例,辅助设备610是在轻权目录访问协议(LDAP)下运行的域控制器。域控制器使用MS-Chap版本2(MS-Chapv2)进行操作。为了验证移动节点,归属代理代表移动节点向AAA服务器608发送请求。归属代理指定用于验证移动节点的协议是MS-CHAPv2。然后AAA服务器608为了导出用于传输到归属代理604的中间密钥材料,从辅助设备610中检索出密钥信息。
这里描述的方法可以使用MS-Chapv2来实现,以完成移动节点和归属代理之间的动态密钥产生过程。MS-Chapv2提供了客户端(移动节点)和网络接入服务器(归属代理)之间的双向验证。但是,虽然这里公开的方法是参考MS-CHAPv2协议来描述的,但是可以使用各种协议来执行移动IP的密钥产生过程。
一旦归属代理和移动节点已经分别动态地产生了共享密钥,该共享密钥就可被用于将在归属代理和移动节点之间的传输中使用的后续密钥。例如,可以由移动节点的取消注册或者移动节点的寿命过期来触发后续密钥的导出。因此,后续密钥的产生可以阻碍外来者发现共享密钥并且解密经加密的消息的能力。
在以下描述中,参考图7描述了执行动态密钥产生的一般方法,而执行动态密钥产生的更具体的方法将在下面参考图8进行描述。图7示出了根据本发明的各种实施例执行动态密钥产生的一般方法的事务处理流程图。由移动节点、归属代理、AAA服务器和域控制器所执行的步骤分别由垂直线702、704、706和708来代表。如上所述,在710处,将诸如根密钥或密码之类的密钥信息x安装在移动节点上。另外,在711处,将密钥信息x安装在AAA服务器或者域控制器上。
在712处,移动节点制作注册请求,该注册请求将在714处被发送到归属代理。该注册请求分组可以指示出归属代理为了动态地产生共享密钥所需的特殊处理。下面将参考图10A来更详细地描述示例性注册请求分组。为了获得移动节点的密钥信息,归属代理在716处将请求消息发送到AAA服务器。例如,请求消息可以是RADIUS访问请求消息。可替换地,请求消息可以经由TACACS+协议来发送。
当AAA服务器接收到请求消息时,如果它没有在本地存储密钥信息x,那么它可以从域控制器获得密钥信息x。这样,在718处,AAA服务器将对于与移动节点相关联的密钥信息x的请求发送到域控制器。然后在720处,域控制器将密钥信息x发送到AAA服务器。
一旦AAA服务器获得或接收到密钥信息x,AAA服务器就可以导出将被发送到归属代理的密钥材料x′或x″。换句话说,虽然可以将密钥信息x发送到归属代理,但是存在密钥信息x被通信的监听者解密的风险。如果密钥信息x被发现,也就可以产生共享密钥。因此,胜于发送密钥信息x的做法是产生密钥材料x′或x″。根据一个实施例,AAA服务器在722处导出x′,以验证之前在716处接收到的访问请求消息。然后AAA服务器导出将要发送到归属代理704的密钥材料x″。具体而言,AAA服务器在724处将包括了密钥材料x″的回复消息(例如RADIUS或者TACACS+访问回复消息)发送到归属代理。
如725处所示,归属代理产生共享会话密钥。一旦产生会话密钥Skey,归属代理就可以在726处丢弃用于产生会话密钥的密钥材料x″。然后,在由归属代理导出共享密钥之后,归属代理在727处将注册回复发送到移动节点。具体而言,如果访问回复消息指示出移动节点的验证没有成功,归属代理则不发送注册回复。但是,如果访问回复消息指示出移动节点的验证成功,归属代理则将注册回复发送到移动节点。下面将参考图11A来更详细地描述示例性注册回复。
当移动节点接收到注册回复时,它从其密钥信息(例如根密钥或密码)中导出共享会话密钥。例如,注册回复可以指示出移动节点将要动态地产生共享会话密钥。在该示例中,移动节点在728处使用单向散列函数来导出密钥材料x′和x″。这时,如在730处所示,移动节点和归属代理拥有相同的密钥材料x″。如732处所示,移动节点可以从该密钥材料中独立地产生共享会话密钥。
可以使用多种公式来产生共享会话密钥(在归属代理和移动节点处)。唯一要求是移动节点和归属代理经由相同的公式产生共享会话密钥。在该示例中,从以下公式中导出共享会话密钥Skey:
(1)Skey=散列(密钥材料x″+随机数)
所述“散列”函数可以是任意安全的单向散列函数,例如MD5或HMAC-MD5。一旦产生会话密钥Skey,移动节点就可以在734处丢弃用于产生会话密钥的密钥材料x″。
如下面将参考图8来详细描述的,可以从主Skey中导出后续的导出会话密钥Skey′。导出Skey′的使用可以使使用主Skey验证的消息数量最小化,以维持主Skey的秘密性。然后可以周期性的“刷新”该导出会话密钥Skey′。具体而言,在736处,移动节点可以将后续的注册请求发送到归属代理,以便“刷新”共享的会话密钥Skey′。示例性后续注册请求将在下面参考图10B进行更详细的描述。由于移动节点和归属代理现在共享一个会话密钥(Skey),因此归属代理无需联系AAA服务器,就能够验证移动节点。如上所述,Skey是使用x″产生的。一旦寿命过期,归属代理和移动节点优选地丢弃所有动态密钥(例如Skey和Skey′),并且因此移动节点发送如图10A所示的注册请求,以重新启动密钥产生。通常,移动节点在寿命过期之前发送注册请求。因此,可以在Skey依然存在时导出Skey′,并且使用Skey来验证这样的消息,如图10B和图11B所示。
然后在737处,归属代理在产生共享密钥之前或之后,将后续注册回复发送到移动节点。使用Skey来验证该注册回复,并且因此与在发送后续注册回复之前是否已经导出Skey′无关。如前所述,后续注册回复优选地对移动节点指出它将要产生新的会话密钥。下面将参考图11B来更详细地描述示例性的后续注册回复。
可能希望在成功地重新注册移动节点时产生新的会话密钥。这样,在738处,归属代理和移动节点从之前使用的会话密钥中独立地产生导出会话密钥。在该示例中,从以下公式中导出导出会话密钥Skey′:
(2)Skey′=散列(Skey+随机数)
一旦归属代理和移动节点已经独立地导出新的会话密钥Skey′,如在740处和图10A所示,归属代理和移动节点就可以丢弃之前的会话密钥Skey′(如果存在的话)。但是,Skey保持不变,并且不被丢弃。因此,Skey随后可以被用于通过发送如图10B所示的注册请求来产生新的Skey′。在MN重新启动在712处重新启动验证(如图10A所示)之前,Skey保持不变。在移动节点每次解除与归属代理的注册时也可能丢弃密钥,从而如742处所示,需要在随后重新注册到相同或不同的归属代理时,基于之前的会话密钥而根据上述过程来执行密钥产生。
图8示出了根据本发明的各种实施例执行动态密钥产生的具体方法的事务处理流程图。由移动节点、归属代理、AAA服务器和在LDAP下运行的域控制器所执行的步骤分别由垂直线802、804、806和808来代表。WindowsTM密码在810处被安装在移动节点上,并且在811处被安装在域控制器上。
通常,NAS服务器将NAS质询(NAS-challenge)发送到客户端。客户端基于以下各项产生对等质询和质询响应:用户名(该项可以通过从网络接入标识符(NAI)中去掉域名和“@”而导出)、NAS质询、对等质询和散列化密码k的MD5散列。在WindowsTM环境中,用于响应计算的用户名具有以下形式:域\用户名。2000年1月由G.Zorn编著的“Microsoft PPP CHAP Extensions,Version 2”,即RFC-2759公开了在微软WindowsTM环境中实现的PPP CHAP扩展的格式,并且这里出于所有目的通过参考将该文件结合于此。由于根据移动IP,移动节点在发送注册请求之前,不向归属代理发送指出它想要注册的指示(它不得不被验证),因此归属代理不知道移动节点的出现或意图,因此无法发送NAS质询。这样,解决方案是移动节点产生NAS质询,并且将其嵌入到注册请求消息中。用户名被隐式地承载在NAI扩展中。域名信息(如果可获得,并被用于响应计算)承载在单独的扩展中。在对质询响应扩展值进行零填充之后,通过计算注册请求的散列(MD5)来计算对等质询。质询响应被填入到归属代理/AAA/后端数据库中,以验证注册请求。域名、对等质询、验证协议和用于密钥的SPI信息承载在移动IP扩展中。这些项都具有TLV(类型/长度/值)的形式,并且如RFC 3115(2001年四月由Dommety等编著的“Mobile IP Vendor/Organization-SpecificExtensions”)中所指定的那样被导出,这里为了所有目的通过参考而将该文件结合于此。
为了启动移动IP会话,移动节点在812处制作注册请求,并且在814处将其发送到归属代理。制作注册请求的方法将在下文中参考图9进行更详细的描述。具体而言,为了使移动节点能够被验证,移动节点在注册请求中提供了CHAP信息,例如CHAP质询和响应。在下文中将参考图10A来更详细地描述示例性注册请求。
当在816处,归属代理接收到注册请求分组时,归属代理判断是否需要对注册请求进行特殊处理。例如,这可以从注册请求中是否存在一个或多个扩展和/或特定SPI(例如移动-归属验证扩展(MHAE))来判定。以这种方式,归属代理可以确定归属代理想要导出移动节点和归属代理之间的共享密钥。例如,可以从获得自AAA服务器的密钥信息中导出共享密钥。
为了保持跟踪未决的注册请求以及从AAA服务器接收到的密钥信息,归属代理在817处,存储与注册请求相关联的状态信息。例如,状态信息可以包括在注册请求中提供的信息。然后在818处,归属代理可以将标识出移动节点的请求消息(例如RADIUS或TACACS+访问请求)发送到AAA服务器。访问请求优选地包括在供应商专用属性(VSA)中的CHAP信息。CHAP信息可以包括CHAP质询和响应。
如上所述,密码或密钥k在移动节点以及AAA服务器(或域控制器)处被配置。例如,密码或密钥可以包括与移动节点相关联的WindowsTM密码。
在存在域控制器的情况下,AAA服务器在820处将访问请求消息中的用户名、域名和CHAP质询和响应发送到域控制器,以用于验证移动节点。如果验证成功,那么如822和824处所示,AAA服务器接收作为访问回复的密钥材料k″和成功代码。以这种方式,AAA服务器将密钥材料k″返回到归属代理。
在不存在域控制器的情况下,AAA服务器知道k(并且因此知道k′)。具体而言,AAA服务器或者在822处从域控制器接收密钥或密码,它可以在824处从中导出密钥信息k′,并且产生密钥材料k″,或者AAA服务器在本地验证CHAP请求,并且如果成功,则在访问接受消息中将k″返回到HA。
如上所述,为归属代理、AAA服务器或后端数据库填入质询响应,以验证注册请求。如果AAA服务器或后端数据库的验证成功,归属代理则间接验证了注册请求。
如果验证成功,AAA或域控制器则可以随后从密钥信息中导出密钥材料k″。然后在826处,AAA服务器将回复消息(例如访问接受消息或访问拒绝消息)发送到归属代理,所述回复消息包括与移动节点相关联的密钥材料k″(在成功验证时),从而使归属代理能够导出在归属代理和移动节点之间共享的共享密钥。访问接受消息包括用于密钥材料(k″)的VSA。例如,VSA可以是根据RFC 2548(1999年3月由G.Zorn编著的“Microsoft Vendor-specific RADIUS Attributes”)的点对点加密AAA属性,这里为了所有目的通过参考将该文件结合于此。
在归属代理接收到指出移动节点已被验证的回复消息(例如访问接受消息)时,在827处,归属代理在移动绑定表中创建移动节点和在注册请求中指定的转交地址之间的绑定。然后归属代理可以从密钥材料k″中导出共享密钥。根据一个实施例,为了导出共享密钥,在828处,归属代理从注册请求中获得CHAP质询和响应。然后在830处,归属代理使用CHAP质询和响应以及密钥材料k″来产生共享会话密钥。具体而言,归属代理对密钥材料k″以及CHAP质询和响应执行MD5散列函数。为了存储安全关联,并且使移动节点能够产生相应的安全关联,在832处,归属代理从注册请求中获得Skey和Skey′扩展,以便将这些扩展附加到注册回复上。例如,Skey和Skey′扩展可以指定SPI和其他相关信息。这些扩展将在下文中参考图10A和图10B来进行更详细的描述。然后在834处,归属代理在安全关联表中安装共享密钥Skey和来自Skey扩展的相关Skey信息。另外,归属代理优选地在安全关联中安装导出共享密钥Skey′,以及来自Skey′扩展的相关Skey′信息。这使Skey′能够被用于验证后续注册请求,从而使Skey的使用和危及Skey的可能性最小化。具体而言,归属代理在安全关联中安装密钥/导出密钥、SPI、重放保护时间戳以及加密算法。然后,使用共享会话密钥(Skey)来计算MHAE。然后在838处,可以丢弃密钥材料k″。
然后在840处,制作具有Skey和Skey′扩展的注册回复,并且在842处,将其发送到移动节点。注意,这些扩展与在注册请求中接收到的扩展相同。具体而言,归属代理可能已经为每个扩展选择了不同的SPI,以用于建立单向安全关联。在这些扩展中,没有发送实际密钥Skey和Skey′。归属代理还可以在注册回复的扩展中提供信息,该信息使MN能够验证HA(如果需要双向验证的话)。下面将参考图10B来更详细地描述示例性注册回复。
响应于其注册请求,移动节点在844处接收来自归属代理的注册回复。然后,移动节点可以从注册回复中判断移动节点是否将要执行特定处理。换句话说,注册回复可以指示出移动节点将要导出在移动节点和归属代理之间共享的密钥。例如,移动节点可以从注册回复中一个或多个扩展的存在中确定,和/或注册回复中的特定SPI(例如MHAE)可以指示出移动节点将要导出移动节点和归属代理之间的共享密钥。
如以上在810处所述,密钥信息k被存储在移动节点上。密钥信息例如可以是根密钥,或者诸如WindowsTM密码之类的密码。从该密钥信息中,移动节点可以导出共享会话密钥。另外,如在下文中将参考步骤856-864来更详细描述的,可以从之前的会话密钥中导出后续的会话密钥。
如上所述,为了导出共享会话密钥,MN在846处使用单向散列函数导出k′和k″。另外,在848处,MN从注册回复中获得CHAP质询和响应。具体而言,MN可以基于在注册请求和回复中的ID字段使之前发送的注册请求与注册回复相关。然后,如以上参考归属代理所描述的,移动节点在850处从密钥信息k中产生共享会话密钥,并且丢弃k″。然后在852处,移动节点使用共享密钥来验证注册回复,并且将结果与MHAE中的验证符相比较。在854处,一旦移动节点已经验证了注册回复,它就在安全关联中安装会话密钥Skey和导出会话密钥Skey′,以及从Skey和Skey′信息中获得的信息,其中所述Skey和Skey′信息分别从Skey和Skey′扩展中获得。具体而言,移动节点在安全关联中安装密钥/导出密钥、SPI、重放保护时间戳以及算法。
一旦安装了主Skey和导出Skey′,就可以发送后续的注册请求以刷新/再协商导出的Skey′。使用主Skey来验证这样的消息。另外,注册请求包含指出将要产生Skey′的Skey′扩展。在这种情况下,使用主Skey来验证注册回复,并且注册回复包含Skey′扩展,以指示将要产生Skey′。
为了刷新共享密钥以用于移动节点和归属代理之间的后续传输,可能希望从之前导出的共享会话密钥中导出后续的会话密钥。换句话说,由于共享会话密钥已被使用了一段时间,或者已被用于多次传输,因此存在监听者可能拦截这些通信并且确定所使用的会话密钥的风险。这样,可能希望从之前使用的会话密钥中周期性地(例如在一段指定时间或者指定传输次数之后)产生新的会话密钥。
为了刷新会话密钥,在856处,移动节点将后续注册请求发送到归属代理。在下文中将参考图11A来更详细描述示例性的后续注册请求。在858处,归属代理和移动节点独立地产生导出会话密钥Skey′。例如,通过使用Skey和随机数(例如从注册请求中获得的时间戳)的MD5散列函数来产生导出会话密钥Skey′。这样,为了刷新导出会话密钥Skey′而使用Skey。另外,初始的未经改变的Skey被用于验证该后续的注册请求。然后在860处,可以丢弃之前的导出会话密钥Skey′。如上所述,在862处,可以在每次清除绑定时(例如在移动节点的寿命过期或者移动节点解除注册时)产生后续会话密钥。在864处,归属代理将后续注册回复发送到移动节点。在下文中将参考图11B来更详细描述示例性的后续注册回复。
图9示出了如图8的方框812所示的制作注册请求的方法的处理流程图。如方框902处所示,为了制作不具有与其归属代理之间的共享安全关联的移动节点的注册请求,移动节点出于验证目的需要具有用于建立MHAE的机制。因此,在方框904处,移动节点计算k′,并且产生CHAP质询。然后在方框906处,移动节点使用k′来产生CHAP响应/验证符,其中在方框908处,至少使用识别字段、注册请求头部和NAI字段(如果存在)来计算CHAP响应。然后在方框910处,移动节点制作注册请求,该注册请求包括移动节点到归属代理的SPI、质询和验证符。另外,注册请求包括用于对归属代理指出需要特殊处理(例如使用基于MS-CHAP的验证)的特殊SPI和/或指示符。
图10A示出了如图8中的814处所示,根据本发明的各种实施例,可以由移动节点发送的示例性注册请求消息的图。如图所示,注册请求1000包括头部1002、包含包括用户名在内的网络接入标识符(NAI)1004的NAI扩展,以及S-Key扩展1006,该S-Key扩展1006包括SPI1、重放保护时间戳,并且标识出将被用于验证注册请求的算法。注册请求1000还包括S′-Key扩展1008,该S′-Key扩展1008包括SPI2、重放保护时间戳以及将被用于后续再注册的算法,该算法还被用于使移动节点能够通过使用导出会话密钥Skey′而被验证,其中所述Skey′在初始注册期间建立。可以将一些附加信息添加到注册请求和注册回复中以辅助特定协议。例如,为了使用MS-Chapv2,在域名扩展中,将“域名”名称发送到归属代理。因此,注册请求1000还包括运载“对等”质询的CHAP“对等”质询1010、验证协议1012、验证符/质询响应1014和包括特定SPI的MHAE 1016。在RFC 3115(2001年4月Dommety等编著的“Mobile IP Vendor/Organization-Specific Extensions”)中提出了注册扩展和回复扩展的格式,这里出于所有目的通过参考将该文件结合于此。另外,在RFC 3012(2000年11月Perkins等编著的“Mobile IPv4Challenge/Response Extensions”)中提出了质询和响应扩展,这里出于所有目的通过参考将该文件结合于此。例如,注册请求中的验证协议扩展1012的存在指示出将被用于验证注册请求并且导出共享密钥的协议。在本申请中描述的用于使用AAA基础构架来验证移动节点和导出(多个)共享密钥的示例性协议是MS-CHAPv2。
图10B示出了如842处所示,根据本发明的各种实施例,可以被随后发送到移动节点的示例性注册回复消息的图。如图所示,注册回复1017包括注册回复头部1018、如上所述的S-Key扩展1022和S′-Key扩展1024,以及包括与Skey相关联的特殊SPI在内的MHAE 1026。具体而言,注册回复中Skey扩展的存在可以指示出需要导出Skey,而注册回复中Skey′的存在可以指示出需要导出Skey′或者需要使用Skey来刷新Skey′。
图11A示出了根据本发明的各种实施例,如856处所示,可以由移动节点发送以启动后续重置密钥操作的示例注册性注册请求消息的图。注册请求1100包括注册请求头部1102、NAI 1104、S′-Key扩展1106以及使用Skey计算的MHAE 1108。通过在注册请求中提供时间戳1110来实现重放保护。由于移动节点未产生质询1010,因此归属代理没有验证质询1010,因此提供了这个时间戳。
图11B示出了根据本发明的各种实施例,如864处所示,可以由归属代理随后发送到移动节点以启动后续重置密钥操作(例如导出会话密钥Skey′的重置操作)的示例性注册回复消息的图。注册回复1120包括注册回复头部1122(其包括时间戳)、NAI 1124、S′-Key扩展1126以及使用Skey计算的MHAE 1128。
其他实施例
一般而言,可以在软件和/或硬件上实现本发明的技术。例如,它们可以被实现在操作系统内核中、单独的用户过程中、绑定到网络应用的库数据包中、特别构建的机器上,或者网络接口卡上。在本发明的具体实施例中,本发明的技术被实现在诸如操作系统的软件中或者运行在操作系统上的应用中。
本发明的技术的软件或软硬件混合实现方式可以被实现在通用可编程机器上,所述通用可编程机器可由存储在存储器中的计算机程序来重配置或选择性激活。这样的可编程机器可以是被设计为处理网络流量的网络设备,例如路由器或交换机。这样的网络设备可以具有多个网络接口,例如包括帧中继和ISDN接口。这种网络设备的具体示例包括路由器和交换机。例如,本发明的接入点可以被实现在特别配置的路由器或服务器上,以及可从加州San Jose的Cisco Systems公司获得的Cisco Aironet接入点。在以下描述中,将出现这些机器中的一些机器的一般体系结构。在可替换的实施例中,本发明的技术可以被实现在通用网络主机(例如个人计算机或工作站)上。此外,本发明可以至少被部分实现在用于网络设备或通用计算设备的卡(例如接口卡)上。
现在参考图12,适合于实现本发明技术的网络设备1560包括主中央处理单元(CPU)1562、接口1568以及总线1567(例如PCI总线)。当在适当软件或固件的控制下工作时,CPU 1562可以负责实现与所需网络设备的功能相关联的特定功能。例如,当被配置为中间路由器时,CPU1562可以负责分析分组、封装分组和转发分组,以用于传输到机顶盒。CPU 1562优选地在包括操作系统(例如Windows NT)在内的软件和任意适当的应用软件的控制下,实现所有这些功能。
CPU 1562可以包括一个或多个处理器1563,该处理器1563例如是来自Motorola微处理器族或MIPS微处理器族的处理器。在可替换的实施例中,处理器1563被特别设计为用于控制网络设备1560的操作的硬件。在具体实施例中,存储器1561(例如非易失性RAM和/或ROM)也构成CPU 1562的一部分。但是,存在很多可以将存储器耦合到系统的不同方式。存储器块1561可以被用于多种目的,例如缓存和/或存储数据、编程指令等等。
接口1568通常被设置为接口卡(有时被称为“线路卡”)。一般而言,它们控制网络上数据分组的发送和接收,并且有时支持网络设备1560所使用的其他外设。可以提供的接口包括以太网接口、帧中继接口、有线接口、DSL接口、令牌环接口等等。另外,可以提供各种非常高速的接口,例如快速以太网接口、千兆位以太网接口、ATM接口、HSSI接口、POS接口、FDDI接口、ASI接口、DHEI接口等等。一般而言,这些接口可以包括适合与适当媒体进行通信的端口。在某些情况下,它们还可以包括独立的处理器,并且在某些情况下,还可以包括易失性RAM。所述独立的处理器可以控制诸如分组交换、媒体控制和管理之类的通信密集型任务。通过提供用于通信密集型任务的分离处理器,这些接口允许主微处理器1562有效地执行路由计算、网络诊断、安全功能等等。
虽然未示出,但是可以使用各种可移动的天线来进一步提高接入点的范围和可靠性,另外,在Cisco Aironet接入点系列上的无线发射功率(例如1、5、20、30、50和100mW)可被配置为满足覆盖需求并且使干扰最小化。另外,Cisco Aironet AP可被配置为相同覆盖区域中的另一AP的冗余热备份。热备份AP持续在相同信道上监控主要AP,并且在主要AP发生故障的罕见情况下承担主要AP的任务。
虽然图12所示的系统示出了本发明的一个具体网络设备,但是这并不意味着本发明只可被实现在这种网络设备体系结构上。例如,经常使用具有单个处理器的体系结构,所述单个处理器处理通信以及路由计算等等。此外,该网络设备还可以使用其他类型的接口和介质。
无论网络设备的配置如何,它都可以采用一个或多个存储器或存储模块(例如存储器块1565),所述存储器或存储模块被配置为存储用于通用网络操作的数据和程序指令和/或关于这里所描述的技术的功能的其他信息。程序指令例如可以控制操作系统的操作和/或一种或多种应用。
由于这样的信息和程序指令可以用来实现这里所描述的系统/方法,因此本发明涉及用于执行这里所描述的各种操作的机器可读介质,其包括程序指令、状态信息等等。机器可读介质的示例包括但不局限于:诸如硬盘、软盘和磁带之类的磁介质;诸如CD-ROM盘之类的光介质;诸如软磁盘之类的磁光介质;以及被特别配置为存储和执行程序指令的硬件设备,例如只读存储设备(ROM)和随机访问存储器(RAM)。本发明还可以被包含在穿过适当介质的载波中,所述介质例如是无线电波、光线路、电线路等等。程序指令的示例包括例如由编译器生成的机器代码,以及包含可以由计算机通过使用解释器来执行的更高级代码的文件。
虽然这里示出和描述了本发明的示例性实施例和应用,但是在本发明的概念、范围和精神内可以有很多变化和修改,并且在细读本申请之后,本领域的普通技术人员将对这些变化更加清楚。例如,虽然说明书已经描述了在初始注册和再注册期间,使用主会话密钥Skey以及导出会话密钥Skey′,但是,在初始注册过程和/或再注册过程中也可以使用同一会话密钥Skey。但是,那样就必须使用AAA服务器来刷新Skey。这样,通过使用主Skey和导出Skey′,可以在不使用AAA服务器的情况下刷新Skey′。因此,本实施例将被看作示例性而非限制性的,并且本发明并不局限于这里所给出的细节,而是可以在所附权利要求的范围和等同物内进行修改。

Claims (47)

1.一种通过适用于验证、授权和计费的服务器产生归属代理和移动节点之间的共享密钥的方法,包括:
由所述服务器接收来自归属代理的请求消息,所述请求消息标识出所述移动节点;
由所述服务器从与所述移动节点相关联的密钥或密码中导出密钥信息;以及
由所述服务器将回复消息发送到所述归属代理,从而使所述归属代理能够从所述密钥信息中导出在所述移动节点和所述归属代理之间共享的共享密钥,其中所述回复消息包括与所述移动节点相关联的所述密钥信息;
其中,所述回复消息不包括任何形式的要在所述移动节点和所述归属代理之间共享的所述共享密钥。
2.如权利要求1所述的方法,其中导出密钥信息的步骤包括:
从导出自所述密钥或密码的第二组密钥信息中导出所述密钥信息。
3.如权利要求1所述的方法,其中导出密钥信息的步骤包括:
从另一服务器中获得所述密钥或密码,所述另一服务器包括域控制器。
4.如权利要求1所述的方法,其中所述请求消息是访问请求消息,并且所述回复消息是访问回复消息。
5.如权利要求1所述的方法,其中所述密钥或密码包括与所述移动节点相关联的Windows密码。
6.如权利要求5所述的方法,还包括:
从域控制器中获得所述密钥或密码。
7.如权利要求6所述的方法,其中从所述域控制器获得所述密钥或密码的步骤包括:
向所述域控制器发送对于与所述移动节点相关联的密钥或密码的请求;以及
从所述域控制器接收与所述移动节点相关联的所述密钥或密码。
8.如权利要求1所述的方法,还包括:
应用所述密钥信息来验证所述请求消息。
9.如权利要求1所述的方法,其中所述密钥或密码被存储在所述移动节点上,从而使所述移动节点能够从所述密钥或密码中导出所述密钥信息。
10.一种在支持移动IP的归属代理中验证移动节点的方法,包括:
由所述归属代理接收来自移动节点的注册请求,所述注册请求标识出所述移动节点;
由所述归属代理将请求消息发送到验证、授权和计费服务器,所述请求消息标识出所述移动节点;
由所述归属代理接收来自所述验证、授权和计费服务器的回复消息,所述回复消息包括与所述移动节点相关联的密钥信息;
由所述归属代理从所述密钥信息中导出密钥,该密钥是在所述移动节点和所述归属代理之间的共享密钥;以及
由所述归属代理将注册回复发送到所述移动节点,其中所述注册回复不包括任何形式的所述密钥。
11.如权利要求10所述的方法,其中所述注册请求包括CHAP质询和响应。
12.如权利要求10所述的方法,其中从所述密钥信息中导出密钥的步骤包括从所述密钥信息和CHAP质询和响应中导出所述密钥,所述CHAP质询和响应是从所述注册请求中获得的。
13.如权利要求10所述的方法,其中当从所述验证、授权和计费服务器接收到的所述回复消息指示出所述移动节点被成功验证时,执行所述导出密钥,以及将所述注册回复发送到所述移动节点的步骤。
14.如权利要求10所述的方法,其中所述请求消息是访问请求消息,并且所述回复消息是访问回复消息。
15.如权利要求10所述的方法,其中所述移动节点从存储在所述移动节点上的第二组密钥信息中导出所述共享密钥。
16.如权利要求15所述的方法,其中所述密钥信息与所述第二组密钥信息相同。
17.如权利要求15所述的方法,其中存储在所述移动节点上的所述第二组密钥信息是根密钥、密码或在之前会话中在所述移动节点和所述归属代理之间共享的密钥。
18.如权利要求17所述的方法,其中所述注册请求包括安全参数索引、重放保护时间戳,并且指示出将被用于验证所述注册请求的算法,其中所述安全参数索引、所述重放保护时间戳和所述算法与所述第二组密钥信息相关联。
19.如权利要求18所述的方法,还包括:
将所述导出密钥、所述安全参数索引、所述重放保护时间戳和所述算法安装到安全关联中。
20.如权利要求17所述的方法,其中所述注册回复包括安全参数索引、重放保护时间戳,并且指示出将被用于验证所述注册回复的算法,其中所述安全参数索引、所述重放保护时间戳和所述算法与所述第二组密钥信息相关联。
21.如权利要求10所述的方法,其中所述注册回复指示出所述移动节点将要导出在所述移动节点和所述归属代理之间的所述共享密钥。
22.如权利要求21所述的方法,其中所述注册回复中一个或多个扩展的存在和所述注册回复中安全参数索引的存在这两者中的至少一个指示出所述移动节点将要导出在所述移动节点和所述归属代理之间的所述共享密钥。
23.如权利要求10所述的方法,其中所述注册请求指示出所述归属代理将要从所述密钥信息中导出所述移动节点和所述归属代理之间的所述共享密钥。
24.如权利要求23所述的方法,其中所述注册请求中一个或多个扩展的存在和所述注册请求中安全参数索引的存在这两者中的至少一个指示出所述归属代理将要导出在所述移动节点和所述归属代理之间的所述共享密钥。
25.如权利要求23所述的方法,其中所述注册请求中验证协议扩展的存在指示出一协议,该协议将要用于验证所述注册请求和导出所述共享密钥。
26.如权利要求23所述的方法,其中所述注册请求中会话密钥扩展和导出会话密钥扩展的存在指示出将要对会话密钥和导出会话密钥这两者进行产生和安装。
27.如权利要求26所述的方法,还包括:
接收来自所述移动节点的后续注册请求,以刷新所述导出会话密钥。
28.如权利要求27所述的方法,还包括:
使用所述会话密钥来验证所述后续注册请求。
29.如权利要求27所述的方法,还包括:
将包括所述导出会话密钥扩展的后续注册回复发送到所述移动节点,其中所述注册回复将由所述移动节点使用所述会话密钥来验证。
30.如权利要求10所述的方法,其中所述密钥信息是在所述移动节点和所述归属代理之间共享的之前使用的会话密钥。
31.如权利要求10所述的方法,其中所述归属代理从与所述移动节点相关联的密码中导出所述密钥信息。
32.如权利要求31所述的方法,其中所述密码是Windows密码。
33.如权利要求10所述的方法,还包括:
从所述共享密钥中导出后续密钥。
34.如权利要求33所述的方法,其中当清除与所述移动节点相关联的绑定时,执行从所述共享密钥中导出所述后续密钥的步骤。
35.如权利要求34所述的方法,其中在所述移动节点的寿命过期或者所述移动节点解除注册时,清除与所述移动节点相关联的绑定。
36.一种在移动节点中注册到支持移动IP的归属代理的方法,包括:
由所述移动节点将注册请求发送到所述归属代理;
由所述移动节点接收来自所述归属代理的注册回复,所述注册回复指示出所述移动节点将要导出在所述移动节点和所述归属代理之间共享的密钥,其中所述注册回复不包括任何形式的要在所述移动节点和所述归属代理之间共享的所述密钥;以及
由所述移动节点从存储在所述移动节点上的密钥信息中导出在所述移动节点和所述归属代理之间共享的密钥。
37.如权利要求36所述的方法,其中从所述密钥信息中导出密钥的步骤包括从所述密钥信息和CHAP质询和响应中导出所述密钥,所述CHAP质询和响应是从所述注册回复中获得的。
38.如权利要求36所述的方法,其中所述密钥信息是根密钥、密码或在之前会话中在所述移动节点和所述归属代理之间共享的密钥。
39.如权利要求38所述的方法,其中所述注册请求包括安全参数索引、重放保护时间戳,并且指示出将被用于验证所述注册请求的算法,其中所述安全参数索引、所述重放保护时间戳和所述算法与所述密钥信息相关联。
40.如权利要求38所述的方法,其中所述注册回复包括安全参数索引、重放保护时间戳,并且指示出将被用于验证所述注册回复的算法,其中所述安全参数索引、所述重放保护时间戳和所述算法与所述密钥信息相关联。
41.如权利要求36所述的方法,其中所述注册回复指示出所述移动节点是否将要导出所述移动节点和所述归属代理之间的所述共享密钥,所述方法还包括:
从所述注册回复中判断所述移动节点是否将要导出所述密钥;
其中当从所述注册回复中判断出所述移动节点将要导出所述密钥时,执行所述导出密钥的步骤。
42.如权利要求41所述的方法,其中所述注册回复中一个或多个扩展的存在和所述注册回复中安全参数索引的存在这两者中的至少一个指示出所述移动节点将要导出在所述移动节点和所述归属代理之间的所述共享密钥。
43.如权利要求36所述的方法,其中所述注册请求指示出所述归属代理将要从所述归属代理所接收的来自一服务器的第二组密钥信息中导出所述移动节点和所述归属代理之间的所述共享密钥。
44.如权利要求43所述的方法,其中所述注册请求中一个或多个扩展的存在和所述注册请求中安全参数索引的存在这两者中的至少一个指示出所述归属代理将要导出在所述移动节点和所述归属代理之间的所述共享密钥。
45.一种适用于验证、授权和计费的服务器,该服务器适合于辅助产生在归属代理和移动节点之间的共享密钥,所述服务器包括:
用于接收来自归属代理的请求消息的装置,所述请求消息标识出所述移动节点;
用于从与所述移动节点相关联的密钥或密码中导出密钥信息的装置;以及
用于将回复消息发送到所述归属代理,从而使所述归属代理能够从所述密钥信息中导出在所述移动节点和所述归属代理之间共享的共享密钥的装置,其中所述回复消息包括与所述移动节点相关联的所述密钥信息,其中,所述回复消息不包括任何形式的所述共享密钥。
46.一种支持移动IP并且适合于验证移动节点的归属代理,所述归属代理包括:
用于接收来自移动节点的注册请求的装置,所述注册请求标识出所述移动节点;
用于将请求消息发送到验证、授权和计费服务器的装置,所述请求消息标识出所述移动节点;
用于接收来自所述验证、授权和计费服务器的回复消息的装置,所述回复消息包括与所述移动节点相关联的密钥信息;
用于从所述密钥信息中导出密钥的装置,该密钥是在所述移动节点和所述归属代理之间的共享密钥;以及
用于将注册回复发送到所述移动节点的装置,其中,所述注册回复不包括任何形式的所述共享密钥。
47.一种适合于注册到支持移动IP的归属代理的移动节点,所述移动节点包括:
用于将注册请求发送到所述归属代理的装置;
用于接收来自所述归属代理的注册回复的装置,所述注册回复指示出所述移动节点将要导出在所述移动节点和所述归属代理之间共享的密钥,其中,所述注册回复不包括任何形式的所述密钥;以及
用于从存储在所述移动节点上的密钥信息中导出在所述移动节点和所述归属代理之间共享的密钥的装置。
CN2003801039390A 2002-11-22 2003-11-17 移动ip中的动态会话密钥产生及密钥重置的方法和装置 Expired - Fee Related CN1714560B (zh)

Applications Claiming Priority (5)

Application Number Priority Date Filing Date Title
US42844002P 2002-11-22 2002-11-22
US60/428,440 2002-11-22
US10/635,882 2003-08-05
US10/635,882 US7475241B2 (en) 2002-11-22 2003-08-05 Methods and apparatus for dynamic session key generation and rekeying in mobile IP
PCT/US2003/036850 WO2004049672A2 (en) 2002-11-22 2003-11-17 Methods and apparatus for dynamic session key generation and rekeying in mobile ip

Publications (2)

Publication Number Publication Date
CN1714560A CN1714560A (zh) 2005-12-28
CN1714560B true CN1714560B (zh) 2010-04-28

Family

ID=32397124

Family Applications (1)

Application Number Title Priority Date Filing Date
CN2003801039390A Expired - Fee Related CN1714560B (zh) 2002-11-22 2003-11-17 移动ip中的动态会话密钥产生及密钥重置的方法和装置

Country Status (8)

Country Link
US (1) US7475241B2 (zh)
EP (1) EP1563668B1 (zh)
CN (1) CN1714560B (zh)
AT (1) ATE408298T1 (zh)
AU (1) AU2003294330B2 (zh)
CA (1) CA2506670A1 (zh)
DE (1) DE60323534D1 (zh)
WO (1) WO2004049672A2 (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105307168A (zh) * 2014-07-24 2016-02-03 香港科技大学 不需切换的无线通信网络

Families Citing this family (155)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7512673B2 (en) * 2001-01-11 2009-03-31 Attune Systems, Inc. Rule based aggregation of files and transactions in a switched file system
US8195760B2 (en) * 2001-01-11 2012-06-05 F5 Networks, Inc. File aggregation in a switched file system
US7509322B2 (en) 2001-01-11 2009-03-24 F5 Networks, Inc. Aggregated lock management for locking aggregated files in a switched file system
US8239354B2 (en) * 2005-03-03 2012-08-07 F5 Networks, Inc. System and method for managing small-size files in an aggregated file system
US20040133606A1 (en) * 2003-01-02 2004-07-08 Z-Force Communications, Inc. Directory aggregation for files distributed over a plurality of servers in a switched file system
EP1368736A2 (en) 2001-01-11 2003-12-10 Z-Force Communications, Inc. File switch and switched file system
CA2358083A1 (en) * 2001-09-28 2003-03-28 Bridgewater Systems Corporation A method for session accounting in a wireless data networks using authentication, authorization and accounting (aaa) protocols (such as ietf radius or diameter) where there is no session handoff communication between the network elements
US7409549B1 (en) * 2001-12-11 2008-08-05 Cisco Technology, Inc. Methods and apparatus for dynamic home agent assignment in mobile IP
US7587498B2 (en) * 2002-05-06 2009-09-08 Cisco Technology, Inc. Methods and apparatus for mobile IP dynamic home agent allocation
WO2004043036A1 (fr) * 2002-10-30 2004-05-21 Thomson Licensing S.A. Procede simplifie de renouvellement de cles symetriques dans un reseau numerique
US7870389B1 (en) * 2002-12-24 2011-01-11 Cisco Technology, Inc. Methods and apparatus for authenticating mobility entities using kerberos
US20060155981A1 (en) * 2002-12-25 2006-07-13 Mizutanai Mika, Kamimaki Hideki, Ebina Akihiro Network device, network system and group management method
US20040236939A1 (en) * 2003-02-20 2004-11-25 Docomo Communications Laboratories Usa, Inc. Wireless network handoff key
US20060179305A1 (en) * 2004-03-11 2006-08-10 Junbiao Zhang WLAN session management techniques with secure rekeying and logoff
US7506370B2 (en) * 2003-05-02 2009-03-17 Alcatel-Lucent Usa Inc. Mobile security architecture
US7681046B1 (en) 2003-09-26 2010-03-16 Andrew Morgan System with secure cryptographic capabilities using a hardware specific digital secret
US7701896B1 (en) * 2003-10-30 2010-04-20 Nortel Networks Limited Dynamic home agent method and apparatus for mobile internet protocol
WO2005046157A2 (de) * 2003-11-11 2005-05-19 Siemens Aktiengesellschaft Verfahren zur sicherung des datenverkehrs zwischen einem ersten endgerät und einem ersten netz sowie einem zweiten endgerät und einem zweiten netz
US7636844B2 (en) * 2003-11-17 2009-12-22 Intel Corporation Method and system to provide a trusted channel within a computer system for a SIM device
US7694151B1 (en) * 2003-11-20 2010-04-06 Johnson Richard C Architecture, system, and method for operating on encrypted and/or hidden information
US8296558B1 (en) 2003-11-26 2012-10-23 Apple Inc. Method and apparatus for securing communication between a mobile node and a network
US20050135622A1 (en) * 2003-12-18 2005-06-23 Fors Chad M. Upper layer security based on lower layer keying
US7461248B2 (en) * 2004-01-23 2008-12-02 Nokia Corporation Authentication and authorization in heterogeneous networks
DE102004005652A1 (de) 2004-02-04 2005-08-25 Basf Ag Fließfähige Polyesterformmassen
DE102004005657A1 (de) * 2004-02-04 2005-08-25 Basf Ag Fließfähige Polyesterformmassen
EP2698965A1 (en) * 2004-04-14 2014-02-19 Microsoft Corporation Mobile IPV6 authentication and authorization
CN1969526B (zh) 2004-04-14 2010-10-13 北方电讯网络有限公司 使用ha-mn密钥来保护本地代理与移动节点的通信
US20050238171A1 (en) * 2004-04-26 2005-10-27 Lidong Chen Application authentication in wireless communication networks
US7422152B2 (en) 2004-05-13 2008-09-09 Cisco Technology, Inc. Methods and devices for providing scalable RFID networks
MY139705A (en) * 2004-07-19 2009-10-30 Basf Ag Mixtures of hyperbranched polyesters with polycarbonates as additive for polyester molding compositions
DE102004035357A1 (de) * 2004-07-21 2006-03-16 Basf Ag Kontinuierliches Verfahren zur Herstellung von Polyalkylenarylaten mit hyperverzweigten Polyestern und/oder Polycarbonaten
DE102004038979A1 (de) * 2004-08-10 2006-02-23 Basf Ag Schlagzähmodifizierte Polyester mit hyperverzweigten Polyestern
DE102004059243A1 (de) * 2004-08-10 2006-02-23 Basf Ag Thermoplastische Formmassen mit verbesserten Fließ- und Entformungseigenschaften
DE102004038976A1 (de) * 2004-08-10 2006-02-23 Basf Ag Fließfähige Polyesterformmassen mit ASA/ABS und SAN
US7639802B2 (en) * 2004-09-27 2009-12-29 Cisco Technology, Inc. Methods and apparatus for bootstrapping Mobile-Foreign and Foreign-Home authentication keys in Mobile IP
US8095940B2 (en) 2005-09-19 2012-01-10 Citrix Systems, Inc. Method and system for locating and accessing resources
US8613048B2 (en) 2004-09-30 2013-12-17 Citrix Systems, Inc. Method and apparatus for providing authorized remote access to application sessions
US7680758B2 (en) 2004-09-30 2010-03-16 Citrix Systems, Inc. Method and apparatus for isolating execution of software applications
US8171479B2 (en) 2004-09-30 2012-05-01 Citrix Systems, Inc. Method and apparatus for providing an aggregate view of enumerated system resources from various isolation layers
US7748032B2 (en) * 2004-09-30 2010-06-29 Citrix Systems, Inc. Method and apparatus for associating tickets in a ticket hierarchy
US7711835B2 (en) 2004-09-30 2010-05-04 Citrix Systems, Inc. Method and apparatus for reducing disclosure of proprietary data in a networked environment
US20060075259A1 (en) * 2004-10-05 2006-04-06 Bajikar Sundeep M Method and system to generate a session key for a trusted channel within a computer system
US7551926B2 (en) * 2004-10-08 2009-06-23 Telefonaktiebolaget Lm Ericsson (Publ) Terminal-assisted selection of intermediary network for a roaming mobile terminal
US7298725B2 (en) * 2004-10-08 2007-11-20 Telefonaktiebolaget Lm Ericsson (Publ) Enhancement of AAA routing initiated from a home service network involving intermediary network preferences
US7590732B2 (en) * 2004-10-08 2009-09-15 Telefonaktiebolaget Lm Ericsson (Publ) Enhancement of AAA routing originated from a local access network involving intermediary network preferences
DE102004049342A1 (de) 2004-10-08 2006-04-13 Basf Ag Fließfähige Thermoplaste mit halogenfreiem Flammschutz
US7292592B2 (en) * 2004-10-08 2007-11-06 Telefonaktiebolaget Lm Ericsson (Publ) Home network-assisted selection of intermediary network for a roaming mobile terminal
DE102004050025A1 (de) * 2004-10-13 2006-04-20 Basf Ag Fließfähige Thermoplaste mit Halogenflammschutz
US7502331B2 (en) * 2004-11-17 2009-03-10 Cisco Technology, Inc. Infrastructure-less bootstrapping: trustless bootstrapping to enable mobility for mobile devices
US8458467B2 (en) * 2005-06-21 2013-06-04 Cisco Technology, Inc. Method and apparatus for adaptive application message payload content transformation in a network infrastructure element
US7664879B2 (en) * 2004-11-23 2010-02-16 Cisco Technology, Inc. Caching content and state data at a network element
US7987272B2 (en) * 2004-12-06 2011-07-26 Cisco Technology, Inc. Performing message payload processing functions in a network element on behalf of an application
US7725934B2 (en) * 2004-12-07 2010-05-25 Cisco Technology, Inc. Network and application attack protection based on application layer message inspection
US7606267B2 (en) * 2004-12-10 2009-10-20 Cisco Technology, Inc. Reducing the sizes of application layer messages in a network element
US8082304B2 (en) * 2004-12-10 2011-12-20 Cisco Technology, Inc. Guaranteed delivery of application layer messages by a network element
US7551567B2 (en) * 2005-01-05 2009-06-23 Cisco Technology, Inc. Interpreting an application message at a network element using sampling and heuristics
US20060155862A1 (en) * 2005-01-06 2006-07-13 Hari Kathi Data traffic load balancing based on application layer messages
DE102005002044A1 (de) * 2005-01-14 2006-07-20 Basf Ag Fließfähige Polyester mit Hydrolyseschutz
US7885970B2 (en) * 2005-01-20 2011-02-08 F5 Networks, Inc. Scalable system for partitioning and accessing metadata over multiple servers
US7698416B2 (en) * 2005-01-25 2010-04-13 Cisco Technology, Inc. Application layer message-based server failover management by a network element
DE102005004856A1 (de) * 2005-02-01 2006-08-03 Basf Ag Fliessfähige Polyester mit Carbodilmid-Stabilisatoren
US7958347B1 (en) * 2005-02-04 2011-06-07 F5 Networks, Inc. Methods and apparatus for implementing authentication
US8532304B2 (en) * 2005-04-04 2013-09-10 Nokia Corporation Administration of wireless local area networks
FI20050384A0 (fi) * 2005-04-14 2005-04-14 Nokia Corp Geneerisen todentamisarkkitehtuurin käyttö Internet-käytäntöavainten jakeluun matkaviestimissä
US20060291481A1 (en) * 2005-06-27 2006-12-28 Matsushita Electric Industrial Co., Ltd. Application session resumption in mobile environments
US7813511B2 (en) * 2005-07-01 2010-10-12 Cisco Technology, Inc. Facilitating mobility for a mobile station
US7881262B2 (en) * 2005-07-07 2011-02-01 Alvarion Ltd. Method and apparatus for enabling mobility in mobile IP based wireless communication systems
DE102005034999A1 (de) * 2005-07-22 2007-01-25 Basf Ag Fließfähige Polyester mit Polyesterelastomeren
DE102005034980A1 (de) * 2005-07-22 2007-01-25 Basf Ag Fasern und Flüssigkeitsbehälter aus PET
US7345585B2 (en) * 2005-08-01 2008-03-18 Cisco Technology, Inc. Network based device for providing RFID middleware functionality
US7626963B2 (en) * 2005-10-25 2009-12-01 Cisco Technology, Inc. EAP/SIM authentication for mobile IP to leverage GSM/SIM authentication infrastructure
DE102006009726A1 (de) 2005-11-04 2007-05-10 Siemens Ag Verfahren und Server zum Bereitstellen eines Mobilitätsschlüssels
DE102006008745A1 (de) * 2005-11-04 2007-05-10 Siemens Ag Verfahren und Server zum Bereitstellen eines Mobilitätsschlüssels
DE102006004868B4 (de) * 2005-11-04 2010-06-02 Siemens Ag Verfahren und Server zum Bereitstellen eines Mobilitätsschlüssels
US8417746B1 (en) 2006-04-03 2013-04-09 F5 Networks, Inc. File system management with enhanced searchability
CN101075870B (zh) * 2006-05-16 2010-08-25 华为技术有限公司 一种移动ip密钥的产生及分发方法
CN101079705B (zh) * 2006-05-24 2010-09-29 华为技术有限公司 移动ip密钥在重新鉴权认证后的产生及分发方法与系统
WO2007134547A1 (fr) * 2006-05-24 2007-11-29 Huawei Technologies Co., Ltd. Procédé et système pour créer et distribuer une clé de sécurité ip mobile après réauthentification
EP1868332A1 (en) * 2006-06-16 2007-12-19 Alcatel Lucent Management of the quality of service (QoS) in a wireless network
CN101102590B (zh) * 2006-07-07 2010-08-11 华为技术有限公司 移动IPv6中为移动IPv6客户端分配家乡代理的方法
CN101106806B (zh) * 2006-07-11 2012-04-25 华为技术有限公司 无线网络获得移动终端移动ip类型的方法、系统及移动终端
CN101106452B (zh) 2006-07-12 2010-12-08 华为技术有限公司 移动ip密钥的产生及分发方法和系统
CN101917715B (zh) * 2006-07-12 2012-11-21 华为技术有限公司 移动ip密钥的产生及分发方法和系统
US7797406B2 (en) * 2006-07-27 2010-09-14 Cisco Technology, Inc. Applying quality of service to application messages in network elements based on roles and status
DE102006038037A1 (de) * 2006-08-14 2008-02-21 Siemens Ag Verfahren und System zum Bereitstellen eines zugangsspezifischen Schlüssels
US8127135B2 (en) * 2006-09-28 2012-02-28 Hewlett-Packard Development Company, L.P. Changing of shared encryption key
CN101170806B (zh) * 2006-10-27 2012-05-23 华为技术有限公司 代理移动ip的安全机制建立方法、安全系统及相关设备
US8533846B2 (en) 2006-11-08 2013-09-10 Citrix Systems, Inc. Method and system for dynamically associating access rights with a resource
CN101227458B (zh) 2007-01-16 2011-11-23 华为技术有限公司 移动ip系统及更新家乡代理根密钥的方法
CN101291215B (zh) * 2007-02-15 2011-11-16 华为技术有限公司 移动ip密钥的产生及分发方法和装置
FI20070157A0 (fi) * 2007-02-23 2007-02-23 Nokia Corp Nopea päivityssanomien autentikointi avainderivaatiolla mobiileissa IP-järjestelmissä
US20080244268A1 (en) * 2007-03-30 2008-10-02 David Durham End-to-end network security with traffic visibility
US8467527B2 (en) 2008-12-03 2013-06-18 Intel Corporation Efficient key derivation for end-to-end network security with traffic visibility
US9319220B2 (en) * 2007-03-30 2016-04-19 Intel Corporation Method and apparatus for secure network enclaves
WO2008130983A1 (en) * 2007-04-16 2008-10-30 Attune Systems, Inc. File aggregation in a switched file system
WO2008147973A2 (en) * 2007-05-25 2008-12-04 Attune Systems, Inc. Remote file virtualization in a switched file system
CN101119594B (zh) * 2007-08-23 2012-03-07 中兴通讯股份有限公司 实现归属代理和外地代理间归属代理根密钥同步的方法
KR101523090B1 (ko) * 2007-08-24 2015-05-26 삼성전자주식회사 모바일 아이피를 이용하는 이동통신 시스템에서 단말의 이동성 관리 방법 및 장치
US8171483B2 (en) 2007-10-20 2012-05-01 Citrix Systems, Inc. Method and system for communicating between isolation environments
US8180747B2 (en) 2007-11-12 2012-05-15 F5 Networks, Inc. Load sharing cluster file systems
US8548953B2 (en) * 2007-11-12 2013-10-01 F5 Networks, Inc. File deduplication using storage tiers
US8117244B2 (en) * 2007-11-12 2012-02-14 F5 Networks, Inc. Non-disruptive file migration
US8166527B2 (en) * 2007-11-16 2012-04-24 Ericsson Ab Optimized security association database management on home/foreign agent
US7984486B2 (en) * 2007-11-28 2011-07-19 Nokia Corporation Using GAA to derive and distribute proxy mobile node home agent keys
US8352785B1 (en) 2007-12-13 2013-01-08 F5 Networks, Inc. Methods for generating a unified virtual snapshot and systems thereof
US7912969B2 (en) 2008-01-09 2011-03-22 International Business Machines Corporation Methods and apparatus for randomization of periodic behavior in communication network
CN101499959B (zh) * 2008-01-31 2012-08-08 华为技术有限公司 配置密钥的方法、装置及系统
CN101953112A (zh) * 2008-02-25 2011-01-19 松下电器产业株式会社 信息安全装置及信息安全系统
US8923811B2 (en) * 2008-03-14 2014-12-30 Alcatel Lucent Methods and apparatuses for dynamic management of security associations in a wireless network
US8549582B1 (en) 2008-07-11 2013-10-01 F5 Networks, Inc. Methods for handling a multi-protocol content name and systems thereof
CN104936307B (zh) 2008-09-15 2019-01-18 三星电子株式会社 用于连接分组数据网络的方法及装置
ES2434696T3 (es) 2008-11-04 2013-12-17 Huawei Technologies Co., Ltd. Método, aparato y sistema para determinar índices de recursos
US8090797B2 (en) 2009-05-02 2012-01-03 Citrix Systems, Inc. Methods and systems for launching applications into existing isolation environments
DE102009061045B4 (de) * 2009-06-10 2012-05-03 Infineon Technologies Ag Erzeugung eines Session-Schlüssels zur Authentisierung und sicheren Datenübertragung
DE102009029828B4 (de) * 2009-06-18 2011-09-01 Gigaset Communications Gmbh DEFAULT Verschlüsselung
US20110069690A1 (en) * 2009-09-21 2011-03-24 Jesse Caulfield Method, system, and computer-readable medium for the protection of ad-hoc wireless device operation
US10721269B1 (en) 2009-11-06 2020-07-21 F5 Networks, Inc. Methods and system for returning requests with javascript for clients before passing a request to a server
WO2011080389A1 (en) * 2009-12-29 2011-07-07 Nokia Corporation Distributed authentication with data cloud
US8204860B1 (en) 2010-02-09 2012-06-19 F5 Networks, Inc. Methods and systems for snapshot reconstitution
US9195500B1 (en) 2010-02-09 2015-11-24 F5 Networks, Inc. Methods for seamless storage importing and devices thereof
US8347100B1 (en) 2010-07-14 2013-01-01 F5 Networks, Inc. Methods for DNSSEC proxying and deployment amelioration and systems thereof
CN101938353B (zh) * 2010-08-03 2012-09-26 北京海泰方圆科技有限公司 一种远程重置密钥装置个人识别码的方法
US9286298B1 (en) 2010-10-14 2016-03-15 F5 Networks, Inc. Methods for enhancing management of backup data sets and devices thereof
US8396836B1 (en) 2011-06-30 2013-03-12 F5 Networks, Inc. System for mitigating file virtualization storage import latency
US8463850B1 (en) 2011-10-26 2013-06-11 F5 Networks, Inc. System and method of algorithmically generating a server side transaction identifier
CN104160730B (zh) 2012-02-06 2018-09-25 诺基亚技术有限公司 快速接入方法和装置
US9020912B1 (en) 2012-02-20 2015-04-28 F5 Networks, Inc. Methods for accessing data in a compressed file system and devices thereof
JP5944184B2 (ja) * 2012-02-29 2016-07-05 株式会社東芝 情報通知装置、方法、プログラム及びシステム
US9519501B1 (en) 2012-09-30 2016-12-13 F5 Networks, Inc. Hardware assisted flow acceleration and L2 SMAC management in a heterogeneous distributed multi-tenant virtualized clustered system
US9176838B2 (en) 2012-10-19 2015-11-03 Intel Corporation Encrypted data inspection in a network environment
US10375155B1 (en) 2013-02-19 2019-08-06 F5 Networks, Inc. System and method for achieving hardware acceleration for asymmetric flow connections
US9554418B1 (en) 2013-02-28 2017-01-24 F5 Networks, Inc. Device for topology hiding of a visited network
WO2015017202A1 (en) * 2013-08-02 2015-02-05 Basf Se Multilayer composition for packaging
US10484187B2 (en) * 2014-05-20 2019-11-19 Nokia Technologies Oy Cellular network authentication
WO2015177396A1 (en) 2014-05-20 2015-11-26 Nokia Technologies Oy Exception handling in cellular authentication
US11838851B1 (en) 2014-07-15 2023-12-05 F5, Inc. Methods for managing L7 traffic classification and devices thereof
KR101479290B1 (ko) * 2014-08-19 2015-01-05 (주)세이퍼존 보안 클라우드 서비스를 제공하기 위한 에이전트 및 보안 클라우드 서비스를위한 보안키장치
US10182013B1 (en) 2014-12-01 2019-01-15 F5 Networks, Inc. Methods for managing progressive image delivery and devices thereof
US11895138B1 (en) 2015-02-02 2024-02-06 F5, Inc. Methods for improving web scanner accuracy and devices thereof
US10834065B1 (en) 2015-03-31 2020-11-10 F5 Networks, Inc. Methods for SSL protected NTLM re-authentication and devices thereof
US9894067B1 (en) 2015-12-03 2018-02-13 Amazon Technologies, Inc. Cross-region roles
US9900160B1 (en) * 2015-12-03 2018-02-20 Amazon Technologies, Inc. Asymmetric session credentials
US10277569B1 (en) 2015-12-03 2019-04-30 Amazon Technologies, Inc. Cross-region cache of regional sessions
US10404698B1 (en) 2016-01-15 2019-09-03 F5 Networks, Inc. Methods for adaptive organization of web application access points in webtops and devices thereof
US10797888B1 (en) 2016-01-20 2020-10-06 F5 Networks, Inc. Methods for secured SCEP enrollment for client devices and devices thereof
GB201611948D0 (en) * 2016-07-08 2016-08-24 Kalypton Int Ltd Distributed transcation processing and authentication system
US10412198B1 (en) 2016-10-27 2019-09-10 F5 Networks, Inc. Methods for improved transmission control protocol (TCP) performance visibility and devices thereof
US10567492B1 (en) 2017-05-11 2020-02-18 F5 Networks, Inc. Methods for load balancing in a federated identity environment and devices thereof
US11223689B1 (en) 2018-01-05 2022-01-11 F5 Networks, Inc. Methods for multipath transmission control protocol (MPTCP) based session migration and devices thereof
SG10201801094VA (en) 2018-02-08 2019-09-27 Huawei Int Pte Ltd System and method for computing an escrow session key and a private session key for encoding digital communications between two devices
US10833943B1 (en) 2018-03-01 2020-11-10 F5 Networks, Inc. Methods for service chaining and devices thereof
US11019098B2 (en) * 2018-06-29 2021-05-25 Intel Corporation Replay protection for memory based on key refresh
WO2020249206A1 (en) * 2019-06-12 2020-12-17 Telefonaktiebolaget Lm Ericsson (Publ) Provision of application level identity
CN111865562A (zh) * 2020-07-23 2020-10-30 积成电子股份有限公司 一种配电终端dnp规约中基于aes和hmac-sha的加密方法及系统
US11610004B2 (en) 2021-04-14 2023-03-21 Bank Of America Corporation System for implementing enhanced file encryption technique

Family Cites Families (58)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4692918A (en) * 1984-12-17 1987-09-08 At&T Bell Laboratories Reliable local data network arrangement
DE3838945A1 (de) * 1987-11-18 1989-06-08 Hitachi Ltd Netzwerksystem mit lokalen netzwerken und mit einer hierarchischen wegewahl
DE3919962C3 (de) * 1989-06-19 1994-07-14 Hirschmann Richard Gmbh Co Verfahren und Anordnung zur Sicherung der Datenübertragung in einem linearen Rechnernetz
US5016244A (en) * 1989-09-08 1991-05-14 Honeywell Inc. Method for controlling failover between redundant network interface modules
US5371852A (en) * 1992-10-14 1994-12-06 International Business Machines Corporation Method and apparatus for making a cluster of computers appear as a single host on a network
US5793762A (en) * 1994-04-12 1998-08-11 U S West Technologies, Inc. System and method for providing packet data and voice services to mobile subscribers
US5473599A (en) * 1994-04-22 1995-12-05 Cisco Systems, Incorporated Standby router protocol
US6148074A (en) * 1997-02-10 2000-11-14 Genesys Telecommunications Laboratories, Inc. Personal desktop router
US6070243A (en) * 1997-06-13 2000-05-30 Xylan Corporation Deterministic user authentication service for communication network
US6377982B1 (en) * 1997-10-14 2002-04-23 Lucent Technologies Inc. Accounting system in a network
US6148405A (en) * 1997-11-10 2000-11-14 Phone.Com, Inc. Method and system for secure lightweight transactions in wireless data networks
US6535493B1 (en) * 1998-01-15 2003-03-18 Symbol Technologies, Inc. Mobile internet communication protocol
US6195705B1 (en) * 1998-06-30 2001-02-27 Cisco Technology, Inc. Mobile IP mobility agent standby protocol
FI105966B (fi) * 1998-07-07 2000-10-31 Nokia Networks Oy Autentikointi tietoliikenneverkossa
US6119160A (en) * 1998-10-13 2000-09-12 Cisco Technology, Inc. Multiple-level internet protocol accounting
US6760444B1 (en) * 1999-01-08 2004-07-06 Cisco Technology, Inc. Mobile IP authentication
US6560217B1 (en) * 1999-02-25 2003-05-06 3Com Corporation Virtual home agent service using software-replicated home agents
US6466964B1 (en) * 1999-06-15 2002-10-15 Cisco Technology, Inc. Methods and apparatus for providing mobility of a node that does not support mobility
US6785823B1 (en) * 1999-12-03 2004-08-31 Qualcomm Incorporated Method and apparatus for authentication in a wireless telecommunications system
CA2337704C (en) 2000-03-30 2005-05-10 Lucent Technologies Inc. Transient tunneling for dynamic home addressing on mobile hosts
FI20000760A0 (fi) * 2000-03-31 2000-03-31 Nokia Corp Autentikointi pakettidataverkossa
US6728536B1 (en) * 2000-05-02 2004-04-27 Telefonaktiebolaget Lm Ericsson Method and system for combined transmission of access specific access independent and application specific information over public IP networks between visiting and home networks
US7107051B1 (en) * 2000-09-28 2006-09-12 Intel Corporation Technique to establish wireless session keys suitable for roaming
US20020120844A1 (en) * 2001-02-23 2002-08-29 Stefano Faccin Authentication and distribution of keys in mobile IP network
US6907016B2 (en) * 2001-04-03 2005-06-14 Telefonaktiebolaget L M Ericsson (Publ) Mobile IP registration in selected inter-PDSN dormant hand-off cases in a CDMA2000-based cellular telecommunications network
US20020147820A1 (en) * 2001-04-06 2002-10-10 Docomo Communications Laboratories Usa, Inc. Method for implementing IP security in mobile IP networks
US7243370B2 (en) * 2001-06-14 2007-07-10 Microsoft Corporation Method and system for integrating security mechanisms into session initiation protocol request messages for client-proxy authentication
US7900242B2 (en) * 2001-07-12 2011-03-01 Nokia Corporation Modular authentication and authorization scheme for internet protocol
US7073066B1 (en) * 2001-08-28 2006-07-04 3Com Corporation Offloading cryptographic processing from an access point to an access point server using Otway-Rees key distribution
US7042879B2 (en) * 2001-11-02 2006-05-09 General Instrument Corporation Method and apparatus for transferring a communication session
KR100450973B1 (ko) * 2001-11-07 2004-10-02 삼성전자주식회사 무선 통신시스템에서 이동 단말기와 홈에이전트간의인증을 위한 방법
US7475250B2 (en) * 2001-12-19 2009-01-06 Northrop Grumman Corporation Assignment of user certificates/private keys in token enabled public key infrastructure system
US7320070B2 (en) * 2002-01-08 2008-01-15 Verizon Services Corp. Methods and apparatus for protecting against IP address assignments based on a false MAC address
US7298847B2 (en) * 2002-02-07 2007-11-20 Nokia Inc. Secure key distribution protocol in AAA for mobile IP
US6947725B2 (en) * 2002-03-04 2005-09-20 Microsoft Corporation Mobile authentication system with reduced authentication delay
US7224673B1 (en) * 2002-05-24 2007-05-29 Cisco Technology, Inc. Mobile IP registration message compression
US6956846B2 (en) * 2002-08-16 2005-10-18 Utstarcom Incorporated System and method for foreign agent control node redundancy in a mobile internet protocol network
KR100480258B1 (ko) * 2002-10-15 2005-04-07 삼성전자주식회사 무선 근거리 네트워크에서 고속 핸드오버를 위한 인증방법
US7350077B2 (en) * 2002-11-26 2008-03-25 Cisco Technology, Inc. 802.11 using a compressed reassociation exchange to facilitate fast handoff
JP4028793B2 (ja) * 2002-12-03 2007-12-26 株式会社日立製作所 移動端末装置および端末間パケット通信方法
US6999437B2 (en) * 2002-12-17 2006-02-14 Nokia Corporation End-to-end location privacy in telecommunications networks
US20040162105A1 (en) * 2003-02-14 2004-08-19 Reddy Ramgopal (Paul) K. Enhanced general packet radio service (GPRS) mobility management
US7181196B2 (en) * 2003-05-15 2007-02-20 Lucent Technologies Inc. Performing authentication in a communications system
US20070274266A1 (en) * 2003-06-18 2007-11-29 Johnson Oyama Method, System And Apparatus To Support Mobile Ip Version 6 Services in Cdma Systems
CA2528787A1 (en) * 2003-06-18 2004-12-23 Telefonaktiebolaget Lm Ericsson (Publ) Method, system and apparatus to support mobile ip version 6 services
US20050010780A1 (en) * 2003-07-09 2005-01-13 Kane John Richard Method and apparatus for providing access to personal information
JP4057983B2 (ja) * 2003-09-04 2008-03-05 株式会社エヌ・ティ・ティ・ドコモ 通信システム及び通信制御方法
JP4397675B2 (ja) * 2003-11-12 2010-01-13 株式会社日立製作所 計算機システム
US20050135622A1 (en) * 2003-12-18 2005-06-23 Fors Chad M. Upper layer security based on lower layer keying
TWI234978B (en) * 2003-12-19 2005-06-21 Inst Information Industry System, method and machine-readable storage medium for subscriber identity module (SIM) based pre-authentication across wireless LAN
US20050138355A1 (en) * 2003-12-19 2005-06-23 Lidong Chen System, method and devices for authentication in a wireless local area network (WLAN)
EP1712058A1 (en) * 2004-02-06 2006-10-18 Telecom Italia S.p.A. Method and system for the secure and transparent provision of mobile ip services in an aaa environment
US20050177515A1 (en) * 2004-02-06 2005-08-11 Tatara Systems, Inc. Wi-Fi service delivery platform for retail service providers
TWI249316B (en) * 2004-02-10 2006-02-11 Ind Tech Res Inst SIM-based authentication method for supporting inter-AP fast handover
US20060046693A1 (en) * 2004-08-31 2006-03-02 Hung Tran Wireless local area network (WLAN) authentication method, WLAN client and WLAN service node (WSN)
US7639802B2 (en) * 2004-09-27 2009-12-29 Cisco Technology, Inc. Methods and apparatus for bootstrapping Mobile-Foreign and Foreign-Home authentication keys in Mobile IP
US7502331B2 (en) * 2004-11-17 2009-03-10 Cisco Technology, Inc. Infrastructure-less bootstrapping: trustless bootstrapping to enable mobility for mobile devices
US7626963B2 (en) * 2005-10-25 2009-12-01 Cisco Technology, Inc. EAP/SIM authentication for mobile IP to leverage GSM/SIM authentication infrastructure

Non-Patent Citations (4)

* Cited by examiner, † Cited by third party
Title
Charlie Perkins.Mobile IP and Security Issue: An Overview.Internet Technologies and Services, 1999.Proceedings. First IEEE/Popov Workshop on.1999,131-148. *
Stuart Jacobs, Gregory Cirinicione.Security of Current Mobile IP Solutions.MILCOM 97 Proceedings3.1997,31122-1128. *
Sufatrio Kwok Yan Lam.Mobile IP Registration Protocol: A Security Attackand New Secure Minimal Public-Key Based Authentication.Parallel Architectures
Sufatrio, Kwok Yan Lam.Mobile IP Registration Protocol: A Security Attackand New Secure Minimal Public-Key Based Authentication.Parallel Architectures, Algorithms, and Networks,1999. (I-SPAN'99) Proceedings. Fourth International Symposium on.1999,364-369. *

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105307168A (zh) * 2014-07-24 2016-02-03 香港科技大学 不需切换的无线通信网络
CN105307168B (zh) * 2014-07-24 2019-03-29 香港科技大学 不需切换的无线通信网络及移动装置和主路由器装置

Also Published As

Publication number Publication date
AU2003294330A1 (en) 2004-06-18
WO2004049672A3 (en) 2004-09-02
ATE408298T1 (de) 2008-09-15
US7475241B2 (en) 2009-01-06
CN1714560A (zh) 2005-12-28
WO2004049672A2 (en) 2004-06-10
AU2003294330B2 (en) 2009-08-06
EP1563668A2 (en) 2005-08-17
EP1563668B1 (en) 2008-09-10
DE60323534D1 (de) 2008-10-23
CA2506670A1 (en) 2004-06-10
US20050025091A1 (en) 2005-02-03

Similar Documents

Publication Publication Date Title
CN1714560B (zh) 移动ip中的动态会话密钥产生及密钥重置的方法和装置
CN101297515B (zh) 充分利用gsm/sim认证基础架构的移动ip eap/sim认证
US9197615B2 (en) Method and system for providing access-specific key
US6760444B1 (en) Mobile IP authentication
US8584207B2 (en) Infrastructure-less bootstrapping: trustless bootstrapping to enable mobility for mobile devices
CN101300889B (zh) 用于提供移动性密钥的方法和服务器
US7496057B2 (en) Methods and apparatus for optimizations in 3GPP2 networks using mobile IPv6
US6501767B1 (en) Mobile IP communication scheme for supporting mobile computer move over different address spaces
CN101160924B (zh) 在通信系统中分发证书的方法
CN1890917B (zh) 移动节点鉴别
US9686669B2 (en) Method of configuring a mobile node
US20060078119A1 (en) Bootstrapping method and system in mobile network using diameter-based protocol
US7840811B2 (en) Network system and communication methods for securely bootstraping mobile IPv6 mobile node using pre-shared key
US7639802B2 (en) Methods and apparatus for bootstrapping Mobile-Foreign and Foreign-Home authentication keys in Mobile IP
US20040157585A1 (en) Mobile communication network system and mobile terminal authentication method
CN101300815A (zh) 用于提供移动性密钥的方法和服务器
US20070008900A1 (en) Method and apparatus for enabling mobility in mobile IP based wireless communication systems
US7664095B2 (en) Systems and methods for registering a client device in a data communication system
CN1795656B (zh) 一种安全初始化用户和保密数据的方法
US7421077B2 (en) Mobile IP authentication
JP2005080241A (ja) アドレス解決方法、ネットワーク接続装置、探索側端末、および、広告側端末
JPH1185687A (ja) 移動計算機装置、読出制御方法及びメッセージ送出制御方法

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant
CF01 Termination of patent right due to non-payment of annual fee

Granted publication date: 20100428

Termination date: 20201117

CF01 Termination of patent right due to non-payment of annual fee