[发明专利]一种移动通信系统中密钥分发方法和系统

权利要求书

1.一种移动通信系统中密钥分发方法，其特征在于，该方法包括：

归属网络认证、授权、计费HAAA服务器生成第一密钥，将该第一密钥发送给拜访网络认证、授权、计费VAAA服务器；

移动节点MN与家乡代理HA进行交互，HA请求所述VAAA服务器认证并下发第二密钥；

所述VAAA服务器进行认证，将第二密钥下发给HA，HA获取第二密钥后与MN建立安全机制。

2.根据权利要求1所述的方法，其特征在于，所述第一密钥和第二密钥均为MN和HA之间的共享密钥MN-HA-Key；

所述MN与HA进行交互的过程为：MN向HA发送绑定更新BU消息。

3.根据权利要求1所述的方法，其特征在于，所述第一密钥和第二密钥均为MN-HA-Key；

所述MN与HA进行交互的过程为：MN和HA进行安全联盟初始交换。

4.根据权利要求1所述的方法，其特征在于，所述第一密钥为MN和VAAA服务器之间的共享密钥MN-VAAA-Key，所述第二密钥为MN-HA-Key；

所述交互的过程为：MN发送BU消息给HA，BU消息中包含MN产生的随机数；

HA请求VAAA服务器进行认证时，将MN产生的随机数发送给VAAA服务器；

VAAA服务器根据MN产生的随机数生成第二密钥，完成认证并将该第二密钥发送给HA。

5.根据权利要求1所述的方法，其特征在于，所述第一密钥MN-VAAA-Key，所述第二密钥为MN-HA-Key；

所述交互的过程为：MN产生随机数，MN和HA进行安全联盟初始交换；

HA请求VAAA服务器进行认证，并将MN产生的随机数发送给VAAA服务器；

VAAA服务器根据MN产生的随机数生成第二密钥，完成认证并将该第二密钥发送给HA。

6.根据权利要求1所述的方法，其特征在于，所述第一密钥为MN-VAAA-Key，所述第二密钥为MN-HA-Key；

所述第二密钥为根据VAAA服务器产生的随机数生成。

7.根据权利要求2至6任一所述的方法，其特征在于，所述HAAA服务器生成第一密钥为：HAAA服务器根据HAAA服务器或MN产生的随机数生成；所述HAAA服务器将所述HAAA服务器或MN产生的随机数和该第一密钥发送给VAAA服务器，VAAA服务器存储该第一密钥，并把所述HAAA服务器或MN产生的随机数发送给MN。

8.根据权利要求7所述的方法，其特征在于，所述VAAA服务器将所述HAAA服务器或MN产生的随机数发送给MN的方法进一步包括：VAAA服务器把随机数一发送给网络接入服务器NAS，NAS在进行动态主机配置协议DHCP过程中将HAAA服务器或MN产生的随机数发送给MN。

9.一种移动通信系统，包括移动节点MN、家乡代理HA、拜访网络认证、授权、计费VAAA服务器和归属网络认证、授权、计费HAAA服务器，其特征在于，

所述HAAA服务器生成密钥，并将该密钥发送给VAAA服务器；

所述VAAA服务器接收所述HAAA服务器发送的密钥，并进行存储；并对所述HA发送的认证请求进行认证，认证通过后下发密钥；

所述HA请求所述VAAA服务器认证，并请求下发MN和HA之间的共享密钥；接收到VAAA服务器下发的密钥后，与MN建立安全机制。

10.根据权利要求9所述的系统，其特征在于，

所述HAAA服务器还产生随机数，并将所述随机数发送给VAAA服务器；

所述VAAA服务器还用于接收HAAA服务器发送的随机数，并将该随机数发送给MN。

11.根据权利要求9所述的系统，其特征在于，

所述MN还用于产生随机数，并将该随机数发送给HAAA服务器；所述HAAA服务器所述随机数生成密钥，并将该随机数发送给VAAA服务器。

12.根据权利要求10或11所述的系统，其特征在于，该系统还包括网络接入服务器NAS和动态主机配置协议DHCP服务器，

所述NAS用于接收VAAA服务器发送的认证完成消息和随机数，并将所述认证完成消息发送给MN；

所述NAS中包括DHCP中继单元，用于在MN请求配置的过程中把NAS接收到的所述随机数发送给DHCP服务器，DHCP服务器把该随机数随配置信息发送给DHCP中继单元，DHCP中继单元将配置信息和随机数发送给MN。