[发明专利]用于漫游环境的基于令牌的动态密钥分配方法

说明书

相关申请的交叉参考

本申请要求享有2007年3月14日递交的名称为“TOKEN-BASEDDYNAMIC KEY DISTRIBUTION METHOD FOR ROAMINGENVIRONMENTS”的美国申请No.11/685,884的优先权，通过引用将其内容结合在本文中。

技术领域

本发明涉及通信技术领域，具体地涉及用于在移动节点和网络源之间建立新的安全联盟的方法以及网络组件。

背景技术

通信网络允许用户使用各种设备来与其它用户和/或网络进行通信。通常，这些设备中的至少一个设备是与至少一个无线网络通信的无线设备。例如，用户可以使用其移动设备来试图使用无线网络联系另一无线设备。无线网络定位其它无线设备并且在两个设备之间建立通信路径，从而允许设备间进行通信。当这两个设备不属于同一无线网络时，多个无线网络可以一起工作，以在设备之间建立通信链路。

对设备身份的验证一直是无线通信中的问题。具体地，无线网络为恶意用户窃听无线通信以及可能模拟无线设备和/或无线网络创造了机会。因此，已经提出了各种解决方案用于对无线设备和/或网络进行认证。然而，很少有方案可以解决移动设备漫游到外地网络并从网络源请求服务的情况。在该情况中，因为在网络源和移动设备之间可能没有先前的安全联盟，所以网络源可能没有办法对移动设备进行认证。因此，存在对于当移动设备在外地网络中漫游时在网络源和移动设备之间建立安全联盟的方法的需求。

发明内容

本发明提供了一种用于在移动节点和网络源之间建立新的安全联盟的方法，该方法包括：建立包括网络源和移动节点之间的安全联盟的第一令牌，该第一令牌是使用对该移动节点和与该移动节点相关联的归属网络内的第一信任授权方(trust authority)已知的第一密钥来进行加密的；以及建立包括该网络源和该移动节点之间的同一安全联盟的第二令牌，该第二令牌是使用对该第一信任授权方和与该网络源相关联的第二信任授权方已知的第二密钥来进行加密的，其中使用信任基础设施链将该第一令牌和第二令牌发送到第二信任授权方。

本发明提供了一种包括处理器的网络组件，该处理器用于实现一种方法，该方法包括：接收利用第一密钥进行加密的第一令牌和利用第二密钥进行加密的第二令牌，其中第一密钥是未知的而第二密钥是已知的；对第二令牌进行解密以生成网络源和移动节点之间的安全联盟；建立包括该网络源和该移动节点之间的安全联盟的第三令牌，该第三令牌是使用已知的第三密钥来被加密的；以及将该第一令牌和第三令牌发送到该网络源，其中该第一令牌和第三令牌被用来建立该移动节点和该网络源之间的安全联盟。

此外，本发明提供了一种包括处理器的网络组件，该处理器用于实现一种方法，该方法包括：接收包括网络源和移动节点之间的安全联盟的第一令牌，该第一令牌被对该移动节点和归属网络已知的第一密钥加密；接收包括该网络源和该移动节点之间的安全联盟的第二令牌，该第二令牌被对外地网络和该网络源已知的第二密钥加密；对该第二令牌进行解密以生成该网络源和该移动节点之间的安全联盟；建立媒体无关切换(MIH)消息；以及将该第一令牌和该MIH消息发送到该移动节点。

通过下面结合附图和权利要求的具体描述，将会更清楚地理解这些及其它特征。

附图说明

为了更全面地理解本申请，现在结合附图和具体描述来进行以下简要说明，其中相同的参考标号表示相同的组件。

图1是通信网络中的安全关系的实施例的示意图。

图2是网络内呼叫流程的实施例的示意图。

图3是归属网络认证方法的实施例的流程图。

图4是外地网络认证方法的实施例的流程图。

图5是网络源认证方法的实施例的流程图。

图6是移动节点认证方法的实施例的流程图。

图7示出了适用于实现本申请的各实施例的示例性通用计算机系统。

具体实施方式

首先应当理解，尽管下面提供了一个或多个实施例的示例性实现，但是所公开的系统和/或方法可以使用许多技术来实现，无论这些技术当前是否已知或者是否存在。本申请不应以任何形式局限于下面示出的示例性实现、示图和技术，包括这里示出并描述的示例性设计和实现，还可以包括在所附权利要求的范围及其等价的全部范围内对本申请进行的修改。