[发明专利]一种分离机制移动性管理系统的认证授权方法

权利要求书

1.一种分离机制移动性管理系统的认证授权方法，其特征在于，本方法首先将接入分离机制移动性管理系统的移动节点进行身份认证，认证成功后各个该系统中的功能实体通过移动信令交互实现路由的添加和隧道的建立，移动节点获取存储在服务器上的家乡网络前缀信息，此时移动节点可以获得网络服务，从而实现了分离机制移动管理对移动节点的授权；该方法包括家乡域初始认证、家乡域重认证、外地域初始认证、外地域重认证和对移动节点的授权。

2.根据权利要求1所述的一种分离机制移动性管理系统的认证授权方法，其特征在于，所述家乡域初始认证具体步骤为：

步骤一：MN接入家乡域的AGW1时，发送PANA初始化消息PANA-Client-Initiation，PCI，表明MN处于PANA初始化阶段；

步骤二：AGW1收到PCI消息后，若支持PANA协议并提供接入认证服务则发送PANA认证请求开始消息PANA-Auth-Request Start，PAR(S)，消息中包含需要的伪随机算法和完整性算法，否则将PCI消息丢弃；

步骤三：MN收到PAR(S)消息，若其支持这种伪随机算法和完整性算法，则发送PANA认证应答开始消息PANA-Auth-Answer(S)，PAA(S)，消息中包含相同的算法；

步骤四：AGW1收到含有相同算法类型的PAA(S)消息，表明可以继续PANA认证过程，此时AGW1发送Start类型的ERP初始消息EAPInitiate/Re-auth-Start，通告所在域的域名,MN收到该消息，和域名进行对比，确定现在接入家乡域，MN读取配置信息:接入域名，注册标识位和注册生存时间,判断需要进行家乡域初始认证，此时MN不回复任何信息，等待AGW1发送标识符请求；

步骤五：在生存时间内AGW1发送Start类型的ERP初始消息没有收到MN的回复，表明执行初始认证过程，此时AGW1发送EAP标识符请求消息EAP-Request/Identity请求MN的标识符，该消息承载在PAR消息中；

步骤六：MN将标识符通过EAP标识符应答消息EAP-Response/Identity传给AGW1，该消息承载在PAA消息中；

步骤七：AGW1收到MN的身份标识符，通过Diameter EAP请求DiameterEAP Request，EAP/DER消息发送给HAAA服务器，HAAA服务器通过DiameterEAP应答Diameter EAP Answer，EAP/DEA消息发送应答消息；

步骤八：HAAA服务器收到MN的身份标识符，若该标识符是合法的用户名，则开始完整的EAP-PSK认证过程,移动节点MN和HAAA服务器分别作为客户端和服务器端进行EAP-PSK认证交互，AGW1作为中间实体通过进程间通信方式实现PANA进程和Diameter进程进行通信，传输EAP-PSK认证数据，数据封装在EAP-Payload属性值对EAP-Payload Attribute Value Pair，EAP-Payload AVP中；

步骤九：通过两组EAP-PSK信令交互后，MN和HAAA服务器实现了双向认证。此时HAAA服务器发送认证成功消息EAP/DEA EAP-Payload/success，并且将主会话密钥Master Session Key，MSK发送给AGW1，使得AGW1和MN建立安全关联；

步骤十：MN收到含有认证成功结果码属性值对的PANA认证结束请求消息PANA-Auth-Request(C)，PAR(C)，至此MN和HAAA间的双向认证结束；

步骤十一：AGW1收到MN回复的PANA认证结束应答消息PANA-Auth-Answer(C)，PAA(C)表明MM家乡域初始认证成功。。