描述了各种实施例来解决在授权服务器中的复制鉴权处理的问题。一般来说,授权服务器(220),诸如AAA服务器,发送(305)授权材料到第一接入服务节点(210),诸如外部代理或SIP代理。授权材料用于第二接入服务节点(230)且对应于移动节点(201)。第一接入服务节点随后将授权材料转发(307)到第二接入服务节点。通过这样分发授权材料,第二接入服务节点不需要与授权服务器通信以获得授权材料,授权服务器也不用发送消息到两个接入服务节点。因此,根据所使用的实施例,可以实现诸如减小授权服务器负荷和减小登录延迟的益处。
【技术实现步骤摘要】
【国外来华专利技术】
本专利技术一般涉及通信网络安全,更具体涉及向移动节点(MN)提 供授权材料。
技术介绍
现在,诸如IETF (因特网工程任务组)、OMA (开放移动联盟)、 3GPP (第三代合作计划)和3GPP2 (第三代合作计划2)的标准团体 正在开发有关通信网络和移动设备安全的标准规范。(可以分别通过 http :〃ww w. ietf. org/, http:〃www.openmobilealliance.com,http:〃www.3印p.org/和http:〃www.3gpp2.org/来联系这些团体。)例如, 可以读取多个IETF意见请求文档和草案文档,用于获得该领域内的某 些一般背景。具体文档包括C. Perkins, "IP Mobility support for IPv4", RFC 3344, August 2002; C. Perkins, P. Calhoun, "Mobile IPv4 Challenge / Response Extensions", RFC 3012, November 2000; C. Perkins, Et. Al., "Mobile IPv4 Challenge / Response Extensions (revised)", draft-ietf-mipv4-rfc3012bis-00.txt, October 2003; C. Perkins, P. Calhoim, "AAA registration keys for Mobile IPv4", Internet draft, IETF, draft-ietf-mipv4-aaa-key-04.txt, March 2004。在各种类型的通信网络中,已知授权服务器执行诸如移动和/或固 定网络节点的安全密钥生成等功能。鉴权、授权、结算(AAA)服务 器是公知的联网设备的例子,其可以发挥授权服务器能力。移动节点 (即移动实体)由接入服务节点服务,接入服务节点同合适的授权服 务器通信以获得需要的安全密钥。接入服务节点和授权服务器可以利 用一个或多个网络协议,网络协议的例子包括可扩展鉴权协议(EAP)、 移动因特网协议(MIP)以及会话发起协议(SIP)。因此,在使用MIP的网络中,授权服务器可以由AAA体现, 一个接入服务节点可以由 MIP归属代理(HA)体现,另一接入服务节点可以由MIP外部代理(FA) 或EAP鉴权器来体现。尽管本申请解决的更一般的问题之一不限于MIP网络,该问题的 例子在MIP网络的环境中如下描述。漫游移动节点需要与移动IP代理 交互,移动IP代理诸如外部代理和归属代理,从而为转发其业务到新 位置而建立新路由。传统MIP设计规定MN登录请求首先由FA接收, 简单地将其转发至该MN的HA以处理。为了保护移动代理,防止欺 骗性MIP信令,需要MN向MIP代理鉴权其登录信令。但是,外部网 络中的MN自举电路(bootstrapping)没有与FA或HA的信任关系。 IETF正在继续一种方法来允许MIP代理对AAA服务的登录鉴权进行 外部供应。图1是根据现有技术描绘MIP网络中经由FA的MN登录的消息 流图100。根据IETF方法,FA将登录请求转发(105)至AAA服务 器以进行鉴权验证,AAA服务器随后将授权的请求转发至HA以进行 MIP处理。但是,因为AAA RADIUS协议是反作用协议,利用RADIUS 的AAA服务器不能够发送未经请求的命令。换句话说,RADIUS服务 器只能将鉴权验证的结果发送回FA (反作用信令)。Diameter是比RADIUS更现代的AAA协议,可以在反作用和主 动模式这两者起作用。因此,Diameter AAA服务器能够发送未经请求 的命令至MIP HA以请求MIP登录处理。但是,Diameter现在在工业 上具有非常小型的部署基础,而RADIUS是现今最广泛部署的AAA协 议。作为替换,建议RADIUS的方法是AAA服务器发送授权响应(110) 到FA,而FA随后再转发相同的登录请求(115)到HA。由于HA不 能信任MN或FA, HA需要对AAA服务器的MN证书验证的外部供 应,诸如以前由FA做的。因此,对于每次登录,AAA服务器必须处理相同的鉴权过程两次。假定AAA服务器的典型高加载水平以及对AAA服务器的敏感度为网 络中的单一故障点,则不希望该双重处理情形。而且,在每次登录期 间接入AAA服务器两次为初始MIP登录增加了显著的延迟。因此,希 望有一种方法和装置来更有效地提供授权材料。附图说明图1是根据现有技术描绘MIP网络中经由FA的MN登录的消息 流图。图2是根据本专利技术多个实施例的对通信网络的框图描绘。 图3是根据本专利技术多个实施例描绘授权服务器提供授权材料的消 息流图。图4是根据本专利技术多个实施例的通信网络的框图描绘,其利用了 MIP消息传送。图5是根据本专利技术多个实施例描绘MIP网络中经由FA的MN登 录的消息流图。下面结合图2-5来公开本专利技术的特定实施例。起草的描述和图示 都是为了增进理解。例如,某些附图元素的尺寸可能相对于其他元素 夸大,并且可能没有描绘出商业成功实现所收益或甚至必需的公知元 素,由此可以获得对实施例的较少障碍且更清楚的呈现。此外,尽管 参考以特定次序执行的特定步骤描述并示出了上面的逻辑流程图,但 某些步骤可以忽略或者某些步骤可以合并、拆分、或者重新排序,而 不会背离权利要求的范围。因此,除非明确指出,否则步骤的次序与 分组并不是对可能处于权利要求的范围内的其他实施例的限制。在图示和描述中寻求简单明了,以有效地使本领域技术人员能够 根据本领域已知的技术而做出、使用、以及最好地实践本专利技术。本领 域技术人员将认识到,可以对下面描述的特定实施例做出各种修改和 改变,而不背离本专利技术的精神和范围。因此,说明书和附图被视作说明性和示例性的,而非限制或全包括,对下面描述的特定实施例的所 有这样的修改都希望被包括在本专利技术的范围内。具体实施例方式描述各种实施例来解决在授权服务器中的复制鉴权处理的问题。一般来说,授权服务器,诸如RADIUS或Diameter型AAA服务器, 发送授权材料到第一接入服务节点,诸如外部代理或SIP代理。授权 材料用于第二接入服务节点且对应于移动节点。第一接入服务节点随 后将授权材料转发到第二接入服务节点。通过这样分发授权材料,第 二接入服务节点不需要同授权服务器通信以获得授权处理,授权服务 器也不需要向两个接入服务节点发送消息。因此,根据所使用的实施 例,可以实现诸如减小授权服务器负荷和减小登录延迟的益处。结合图2-5,可以更加全面地理解本专利技术。图2是根据本专利技术多个 实施例的通信网络200的框图描绘。更具体地,通信网络200包括移 动节点(MN) 201、接入服务节点210和230、以及授权服务器220。 本领域技术人员将认识到,图2没有描绘出网络200操作所必需的所 有网络设备,而只是与这里的实施例的描述相关的网络部件和逻辑实 体。例如,在MN201包括无线设备的实施例中,网络200可能还包括 无线电接入网(RAN)、无线局域网(WLAN)或某些其他无线接入 网。但是,在图2中没有具体示出这些附加的网络或本文档来自技高网...
【技术保护点】
一种用于提供授权材料的方法,包括:由授权服务器向第一接入服务节点发送用于第二接入服务节点的授权材料,其中所述授权材料对应于移动节点(MN)。
【技术特征摘要】
【国外来华专利技术】...
【专利技术属性】
技术研发人员:马吉德F纳赫伊里,
申请(专利权)人:摩托罗拉公司,
类型:发明
国别省市:US[美国]
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。