一种WIMAX网络的认证方法和装置.pdf

本发明公开了一种WiMAX网络的认证方法和装置，涉及通信领域。所述方法包括：根据不同通信实体之间的WiMAX共享密钥生成各认证项；将各认证项发送给各通信实体进行验证；对各认证项验证成功后，完成在WiMAX网络中的移动注册。本发明的实施例适用于WiMAX网络中的基站与终端之间的安全认证。

1、  一种WiMAX网络的认证方法，其特征在于，包括：
第一通信实体根据所述第一通信实体与第二通信实体之间的WiMAX第一共享密钥生成第一认证载荷；
将所述第一认证载荷发送给所述第二通信实体进行验证；
接收所述第二通信实体在验证成功后发送的根据所述WiMAX第一共享密钥生成的第二认证载荷；
对所述第二认证载荷进行验证。

2、  根据权利要求1所述的方法，其特征在于，所述第一通信实体为移动节点或外地代理；所述第二通信实体为家乡代理。

3、  根据权利要求1所述的方法，其特征在于，所述认证方法进一步包括：
所述第二通信实体根据所述第二通信实体与第三通信实体之间的WiMAX第二共享密钥生成第三认证载荷；
将所述第三认证载荷发送给所述第三通信实体进行验证；
接收所述第三通信实体在验证成功后发送的根据所述WiMAX第二共享密钥生成的第四认证载荷；
对所述第四认证载荷进行验证；
其中，所述第一通信实体为移动节点，所述第二通信实体为外地代理，所述第三通信实体为家乡代理。

4、  一种WiMAX网络的认证方法，其特征在于，包括：
外地代理获取根据移动节点和家乡代理之间的WiMAX第一共享密钥生成的第一认证项、以及根据所述外地代理和所述家乡代理之间的WiMAX第二共享密钥生成的第二认证项；
所述外地代理向所述家乡代理发送请求消息，所述请求消息中包括所述第一认证项和第二认证项，以使所述家乡代理对所述第一认证项和所述第二认证项进行验证。

5、  根据权利要求4所述的方法，其特征在于，所述家乡代理对所述第一认证项和第二认证项进行验证，具体为：
所述家乡代理在接收到所述外地代理转发的请求消息后，请求认证服务器提供所述WiMAX第一共享密钥、以及用于推衍出所述WiMAX第二共享密钥的推衍密钥；
所述家乡代理接收所述认证服务器提供的所述WiMAX第一共享密钥和推衍密钥，根据所述WiMAX第一共享密钥对所述第一认证项进行验证，根据所述推衍密钥推衍出所述WiMAX第二共享密钥，并根据所述推衍出的WiMAX第二共享密钥对所述第二认证项进行验证。

6、  根据权利要求5所述的方法，其特征在于，所述第一认证项由所述外地代理根据所述WiMAX第一共享密钥生成，所述第二认证项由所述外地代理根据所述WiMAX第二共享密钥生成。

7、  根据权利要求4所述的方法，其特征在于，所述外地代理获取所述第一认证项具体为：
所述外地代理从所述移动节点发送的移动IP注册请求消息中获取所述第一认证项；
所述方法进一步包括：所述移动IP注册请求消息中携带第三认证项，所述第三认证项是所述移动节点根据所述移动节点和外地代理之间的WiMAX第三共享密钥生成的；
所述外地代理根据所述WiMAX第三共享密钥对所述第三认证项进行验证，在验证成功后删除所述第三认证项；
所述外地代理获取所述第二认证项，具体为：所述外地代理根据所述WiMAX第二共享密钥生成所述第二认证项；
所述外地代理向所述家乡代理发送的所述请求消息为所述移动IP注册请求消息。

8、  根据权利要求7所述的方法，其特征在于，
所述家乡代理对所述第一认证项和第二认证项进行验证后，还包括：所述家乡代理在对所述第一认证项验证成功后，根据所述WiMAX第一共享密钥生成新的第一认证项；在对所述第二认证项验证成功后，根据所述WiMAX第二共享密钥生成新的第二认证项；
所述家乡代理完成认证的响应消息中包括所述新的第一认证项和新的第二认证项。

9、  根据权利要求8所述的方法，其特征在于，所述方法进一步包括：
所述外地代理根据所述WiMAX第二共享密钥对所述新的第二认证项进行验证，在验证成功后删除所述新的第二认证项，根据所述WiMAX第三共享密钥生成新的第三认证项；并将所述新的第一认证项和新的第三认证项发送给所述移动节点进行验证。

10、  一种WiMAX网络的认证方法，其特征在于，包括：
家乡代理接收移动节点发送的消息，所述消息中包括第一认证项和对随机数的请求，所述第一认证项为所述移动节点根据所述移动节点和认证服务器之间的WiMAX第一共享根密钥生成；并向所述认证服务器转发所述第一认证项以及所述随机数的请求；
所述家乡代理接收所述认证服务器对所述第一认证项验证成功后提供的随机数和所述移动节点和所述家乡代理之间的WiMAX第二共享密钥；根据所述WiMAX第二共享密钥生成第二认证项，并将所述第二认证项和所述随机数添加在响应消息中发送给所述移动节点，以供所述移动节点进行验证。

11、  根据权利要求10所述的方法，其特征在于，所述移动节点对所述第二认证项进行验证，具体为：
根据所述随机数计算出所述WiMAX第二共享密钥，并根据所述计算出的WiMAX第二共享密钥验证所述第二认证项。

12、  一种WiMAX网络的认证装置，其特征在于，包括：
载荷生成单元，用于根据所述认证装置与对端通信实体之间的WiMAX第一共享密钥生成第一认证载荷；
收发单元，用于将所述载荷生成单元生成的第一认证载荷发送给所述对端通信实体进行验证，并接收所述对端通信实体在验证成功后发送的根据所述WiMAX第一共享密钥生成的第二认证载荷；
验证单元，用于对所述收发单元接收到的第二认证载荷进行验证。

13、  一种WiMAX网络的认证装置，其特征在于，包括：
获取单元，用于获取根据移动节点和家乡代理之间的WiMAX第一共享密钥生成的第一认证项、以及根据外地代理和所述家乡代理之间的WiMAX第二共享密钥生成的第二认证项；
收发单元，用于向所述家乡代理发送请求消息，所述请求消息中包括所述获取单元获取的所述第一认证项和第二认证项，以使所述家乡代理对所述第一认证项和所述第二认证项进行验证。

14、  一种WiMAX网络的认证装置，其特征在于，包括：
第一收发单元，用于接收移动节点发送的消息，所述消息中包括第一认证项和对随机数的请求，所述第一认证项为根据所述移动节点和认证服务器之间的WiMAX第一共享根密钥生成，并向所述认证服务器转发所述第一认证项以及所述随机数的请求；
第二收发单元，用于接收所述认证服务器对所述第一认证项验证成功后提供的随机数和所述移动节点和所述家乡代理之间的WiMAX第二共享密钥，根据所述WiMAX第二共享密钥生成第二认证项，并将所述第二认证项和所述随机数添加在响应消息中发送给所述移动节点，以供所述移动节点进行验证。

一种WiMAX网络的认证方法和装置
技术领域
本发明涉及通信领域，尤其涉及一种WiMAX网络的认证方法和装置。
背景技术
WiMAX(World Interoperability for Microwave Access，全球微波互联接入)是IEEE(Institute of Electrical and Electronics Engineers，美国电气和电子工程师协会)802.16技术在市场推广方面采用的名称，其物理层和MAC(Media AccessControl，介质访问控制子层协议)层技术是基于在IEEE802.16工作组中开发的无线城域网(WMAN)技术，WiMAX也是IEEE802.16技术的别称。
目前IEEE802.16主要提及两个标准：802.16-2004(即802.16d)固定宽带无线接入标准和802.16e支持移动特性的宽带无线接入标准。IEEE802.16d标准规范了固定接入下用户移动节点同基站系统之间的空中接口，主要定义空中接口的物理层和MAC层。802.16e标准是对802.16d的修正和在移动性上的增补，该标准规定了移动宽带无线接入系统的空中接口，同时并不影响802.16d规定的固定无线接入用户能力。WiMAX空中接口规范同时涵盖802.16d和802.16e标准。
IPsec(IP Security)协议是由IETF(The Internet Engineering Task Force，互联网工程任务组)定义的一套在网络层提供IP安全性的协议，它定义了一套默认的、强制实施的算法，以保证不同的实施方案可以互通。IPsec协议在IPv4中作为一个建议的可选服务，对于IPv6则是一项必须支持的功能。IPsec协议提供的安全服务有：数据源认证、无连接的完整性、抗重放攻击、机密性和有限的数据流机密性。由于IPsec协议对上层具有透明性，而且灵活、开放，易于配置策略，越来越多的研究人员已经开始考虑将其应用于移动场景中为IP层提供安全解决方案。IPsec安全体系结构由IETF的IPsec工作组制订是一个开放性的标准框架。
WiMAX作为一种无线网络，由于无线传输信道的开放性，以及城域网的传输距离远，应用环境复杂，信息容易被截获，窃取和破坏。为了解决WiMAX网络中的安全问题，IEEE802.16标准中规定了用于提供WiMAX基站和移动用户之间进行认证和交换密钥的机制，即PKM(Private Key Management，密钥管理协议)。在IEEE802.16e中定义的PKM v2中，允许支持基于EAP(ExtensibleAuthentication Protocol，可扩展认证协议)的认证，但并未具体规定应当采用怎样的认证方法。
发明内容
本发明的实施例提供一种WiMAX网络的认证方法和装置，能够实现WiMAX网络中的安全启动。
本发明的实施例采用如下技术方案：
本发明的实施例一种WiMAX网络的认证方法，包括：
第一通信实体根据所述第一通信实体与第二通信实体之间的WiMAX第一共享密钥生成第一认证载荷；
将所述第一认证载荷发送给所述第二通信实体进行验证；
接收所述第二通信实体在验证成功后发送的根据所述WiMAX第一共享密钥生成的第二认证载荷；
对所述第二认证载荷进行验证。
本发明的实施例还提供了另一种WiMAX网络的认证方法，包括：
外地代理获取根据移动节点和家乡代理之间的WiMAX第一共享密钥生成的第一认证项、以及根据所述外地代理和所述家乡代理之间的WiMAX第二共享密钥生成的第二认证项；
所述外地代理向所述家乡代理发送请求消息，所述请求消息中包括所述第一认证项和第二认证项，以使所述家乡代理对所述第一认证项和所述第二认证项进行验证。
本发明的实施例还提供了再一种WiMAX网络的认证方法，包括：
家乡代理接收移动节点发送的消息，所述消息中包括第一认证项和对随机数的请求，所述第一认证项为所述移动节点根据所述移动节点和认证服务器之间的WiMAX第一共享根密钥生成；并向所述认证服务器转发所述第一认证项以及所述随机数的请求；
所述家乡代理接收所述认证服务器对所述第一认证项验证成功后提供的随机数和所述移动节点和所述家乡代理之间的WiMAX第二共享密钥；根据所述WiMAX第二共享密钥生成第二认证项，并将所述第二认证项和所述随机数添加在响应消息中发送给所述移动节点，以供所述移动节点进行验证。
本发明的实施例还提供了一种WiMAX网络的认证装置，包括：
载荷生成单元，用于根据所述认证装置与对端通信实体之间的WiMAX第一共享密钥生成第一认证载荷；
收发单元，用于将所述载荷生成单元生成的第一认证载荷发送给所述对端通信实体进行验证，并接收所述对端通信实体在验证成功后发送的根据所述WiMAX第一共享密钥生成的第二认证载荷；
验证单元，用于对所述收发单元接收到的第二认证载荷进行验证。
本发明的实施例还提供了另一种WiMAX网络的认证装置，包括：
获取单元，用于获取根据移动节点和家乡代理之间的WiMAX第一共享密钥生成的第一认证项、以及根据外地代理和所述家乡代理之间的WiMAX第二共享密钥生成的第二认证项；
收发单元，用于向所述家乡代理发送请求消息，所述请求消息中包括所述获取单元获取的所述第一认证项和第二认证项，以使所述家乡代理对所述第一认证项和所述第二认证项进行验证。
本发明的实施例还提供了再一种WiMAX网络的认证装置，包括：
第一收发单元，用于接收移动节点发送的消息，所述消息中包括第一认证项和对随机数的请求，所述第一认证项为根据所述移动节点和认证服务器之间的WiMAX第一共享根密钥生成，并向所述认证服务器转发所述第一认证项以及所述随机数的请求；
第二收发单元，用于接收所述认证服务器对所述第一认证项验证成功后提供的随机数和所述移动节点和所述家乡代理之间的WiMAX第二共享密钥，根据所述WiMAX第二共享密钥生成第二认证项，并将所述第二认证项和所述随机数添加在响应消息中发送给所述移动节点，以供所述移动节点进行验证。
本发明实施例提供的WiMAX网络的认证方法和装置，基于EAP认证，在没有使用其它安全机制对MIP(Mobile IP，移动IP)注册消息进行保护的情况下，采用WiMAX网络中的通信实体之间的WiMAX共享密钥生成的认证项进行认证。该方法基于WiMAX共享密钥，通过认证项建立相应的安全关联，保护注册消息的发送，能够保护WiMAX网络中的终端的安全接入。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其它的附图。
图1为本发明实施例提供的WiMAX网络中的认证方法的流程图；
图2为本发明实施例提供的另一种WiMAX网络中的认证方法的流程图；
图3为本发明实施例提供的再一种WiMAX网络中的认证方法的流程图；
图4为本发明的实施例一的流程图；
图5为本发明的实施例二的流程图；
图6为本发明的实施例三的流程图；
图7为本发明的实施例四的流程图；
图8为本发明的实施例五的流程图；
图9为本发明的实施例六的流程图；
图10为本发明实施例WiMAX网络的认证装置示意图；
图11为本发明实施例另一种WiMAX网络的认证装置示意图；
图12为本发明实施例再一种WiMAX网络的认证装置示意图。
具体实施方式
下面结合附图对本发明实施例WiMAX网络的认证方法和装置进行详细描述。
应当明确，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动的前提下所获得的所有其它实施例，都属于本发明保护的范围。
如图1所示，本发明的实施例一种WiMAX网络的认证方法，包括：
本发明的实施例一种WiMAX网络的认证方法，包括：
S101、第一通信实体根据所述第一通信实体与第二通信实体之间的WiMAX第一共享密钥生成第一认证载荷；
S102、将所述第一认证载荷发送给所述第二通信实体进行验证；
S103、接收所述第二通信实体在验证成功后发送的根据所述WiMAX第一共享密钥生成的第二认证载荷；
S104、对所述第二认证载荷进行验证。
上述的第一通信实体可以是移动节点(Mobile Station，MS)、外地代理(Foreign Agent，FA)，第二通信实体可以是FA或家乡代理(Home Agent，HA)。其中，家乡代理(HA)，是指位于移动节点家乡链路上的路由器。当移动节点离开家乡网络时，它负责把发往移动节点的报文通过隧道转发给移动节点，并且维护移动节点当前位置的信息。外地代理(FA)：是指位于移动节点所访问的外地链路上的路由器；它接收移动节点的家乡代理通过隧道技术转发过来的报文，进行拆封后转发给移动节点，对于移动节点发出的报文，外地代理提供类似默认路由器的服务。移动节点(MS)，是指从一个网络或者子网链路上切换到另一个网络或者子网的主机或者路由器。移动节点可以改变它的网络接入点，但不需要改变IP地址，并且使用原有的IP地址就能够继续与其他节点通信。
所述认证方法可以包括：第一认证阶段，以及在所述第一认证阶段结束后执行的第二认证阶段。在所述第一认证阶段中，所述第一通信实体可以为移动节点，所述第二通信实体可以为外地代理；在所述第二认证阶段中，所述第一通信实体可以为外地代理，所述第二通信实体可以为家乡代理。
如图2所示，本发明的实施例还提供了另一种WiMAX网络的认证方法，包括：
S201、外地代理获取根据移动节点和家乡代理之间的WiMAX第一共享密钥生成的第一认证项、以及根据所述外地代理和所述家乡代理之间的WiMAX第二共享密钥生成的第二认证项；
S202、所述外地代理向所述家乡代理发送请求消息，所述请求消息中包括所述第一认证项和第二认证项，以使所述家乡代理对所述第一认证项和所述第二认证项进行验证。
如图3所示，本发明的实施例还提供了再一种WiMAX网络的认证方法，包括：
S301、家乡代理接收移动节点发送的消息，所述消息中包括第一认证项和对随机数的请求，所述第一认证项为所述移动节点根据所述移动节点和认证服务器之间的WiMAX第一共享根密钥生成；并向所述认证服务器转发所述第一认证项以及所述随机数的请求；
S302、所述家乡代理接收所述认证服务器对所述第一认证项验证成功后提供的随机数和所述移动节点和所述家乡代理之间的WiMAX第二共享密钥；根据所述WiMAX第二共享密钥生成第二认证项，并将所述第二认证项和所述随机数添加在响应消息中发送给所述移动节点，以供所述移动节点进行验证。
本发明的实施例WiMAX网络的认证方法，可以基于IKE(Internet KeyExchange，互联网密钥交换协议)v2、或者基于认证项启动，可以用于PMIPv4、PMIPv6、CMIPv4或CMIPv6，以及PMIP4、PMIP6、CMIP4或CMIP6等情况下的安全启动。其中，PMIP(Proxy Mobile IP，代理服务器移动IP)指MIP(移动IP)客户端的功能由系统内某个网元代替移动节点来完成，CMIP(Client MobileIP，客户移动IP)指MIP的客户端功能由WiMAX移动节点来实现。
本发明的实施例提供的WiMAX网络的认证方法，基于EAP认证，在没有使用其它安全机制对MIP(Mobile IP，移动IP)注册消息进行保护的情况下，采用WiMAX网络中的通信实体之间的WiMAX共享密钥生成的认证项进行认证。该方法基于WiMAX共享密钥，通过认证项建立相应的安全关联，保护注册消息的发送，能够实现移动节点在WiMAX网络中的安全接入。
下面结合附图对各种启动情况下采用本发明的实施例进行详细描述。
实施例一
本实施例为基于EAP认证机制的PMIPv4的启动过程。在PMIPv4启动过程中，用IKEv2在FA和HA间建立IPsec安全关联，以实现对移动IP注册消息的保护。其中，使用在EAP认证阶段生成的FA-HA密钥作为预共享密钥，生成AUTH载荷。
在本发明的实施例中，采用这样的方式对密钥进行描述，A-B表示A和B之间的WiMAX共享密钥，例如，FA-HA表示FA与HA之间的WiMAX共享密钥。MS与其它通信实体之间的密钥采用不同方式命名，例如，MS与FA之间的WiMAX共享密钥则采用MN-FA表示。以下实施例中若无特别说明则遵循此原则。
如图4所示，该实施例的步骤可以包括：
S401、FA向HA发送密钥协商请求消息，即IKE_SA消息，其中，IKE_SA中包括：加密算法、DH值、随机数。DH值即为Difie-Hellman值。
S402a、HA接收来自FA的IKE_SA消息，选择加密算法，完成DH值交换。
S402b、HA向FA返回IKE_SA响应，并通过IKE_SA响应向FA提供随机数。
完成密钥协商之后，FA与HA之间便能够根据协商的算法进行安全认证。
S403a、FA生成第一认证载荷，即第一AUTH载荷。
所述第一AUTH载荷使用FA与HA的共享密钥FA-HA生成。
S403b、向HA请求协商IKE_SA，提供FA标识和所述第一AUTH载荷。
S404a、HA接收来自FA的IKE_SA消息中的所述FA标识和第一AUTH载荷，查找与所述FA标识相对应的共享密钥，利用该共享密钥验证第一AUTH载荷中的内容。若验证成功，使用FA-HA生成第二AUTH载荷。其中，对第一AUTH载荷的验证方法，在IKEv2中已有相关规定，以下的验证方法也类似。
S404b、向FA发送IKE应答消息IKE_AUTH，应答消息中携带HA标识和所述第二AUTH载荷。
S405a、FA收到IKE应答消息后，对所述第二AUTH载荷进行验证，成功后确认FA与HA安全关联的建立，创建对应的数据库入口。
验证的方法与S404a类似，查找与所述HA标识相对应的共享密钥，利用该共享密钥验证第二AUTH载荷中的内容。
S405b、向HA发送MIP注册请求消息。
S406a、HA收到MIP注册请求消息时确认IKE_SA建立成功。
S406b、使用该安全关联向FA发送MIP注册响应消息。
本发明实施例提供的认证方法，结合IEEE802.16定义的空中接口安全标准，基于IKEv2，根据FA和HA的共享密钥FA-HA生成认证载荷，通过认证项建立相应的安全关联，保护MIP注册消息的发送，能够实现移动节点在WiMAX网络中基于IKEv2的PMIPv4的安全接入。
实施例二
本实施例提供一种WiMAX中的认证方法，以基于IKEv2的CMIPv4启动为例进行说明。
在CMIPv4启动过程中，用IKEv2在MS和FA之间、以及FA和HA之间建立IPsec安全关联，以实现对移动IP注册消息的保护。其中，MS和FA之间的IKE交换中，使用在EAP认证阶段生成的MN-FA密钥作为预共享密钥，生成AUTH载荷。在FA和HA之间的IKE交换中，使用在EAP认证阶段生成的FA-HA密钥作为预共享密钥，生成AUTH载荷。如图5所示，具体步骤为：
S501、MS向FA发送密钥协商请求IKE_SA消息，包括可提供的加密算法、DH值、随机数。
S502a、FA接收来自MS的IKE_SA消息，选择加密算法，完成DH值交换。
S502b、向MS返回IKE_SA响应，并通过IKE_SA响应向MS提供随机数。
S503a、MS生成第一认证载荷，即第一AUTH载荷。
所述第一AUTH载荷使用MS与FA的共享密钥MN-FA生成。
S503b、向FA请求协商IKE_SA，提供MS标识和所述第一AUTH载荷。
S504a、FA接收来自MS的IKE_SA消息中的所述MS标识和第一AUTH载荷，查找与所述MS标识相对应的共享密钥，验证所述第一AUTH载荷中的内容；若验证成功，使用MN-FA生成第二AUTH载荷。
S504b、向MS发送IKE应答消息IKE_AUTH，应答消息中携带FA标识和所述第二AUTH载荷。
S505a、MS收到IKE应答消息后，查找与FA标识对应的共享密钥，对所述第二AUTH载荷进行验证，成功后确认MS与FA安全关联的建立，创建对应的数据库入口。
S505b、向FA发送MIP注册请求消息，促发FA同HA之间进行安全认证。
之后FA与HA之间认证过程同实施例一中FA与HA之间的认证相同，即图示S506至S511b的内容与图4中所示的S401至S406b的内容相同，此处不再赘述。
最后FA在收到HA返回的MIP注册响应消息后，还需要向MN转发MIP注册响应消息。
本实施例提供的安全认证方法，结合IEEE802.16定义的空中接口安全标准，基于IKEv2，采用MS与FA之间共享密钥MN-FA和FA与HA之间的共享密钥FA-HA产生认证载荷，通过认证项建立相应的安全关联，保护MIP注册消息的发送，实现了移动节点在WiMAX网络中基于IKEv2的CMIPv4的安全接入。
实施例三
本实施例提供的认证方法，应用于WiMAX网络，以基于IKEv2的CMIPv6的启动为例进行说明。
在CMIP6启动过程中，用IKEv2在MS和HA间建立IPsec安全关联，以实现对BU/BA消息的保护。其中，BU(Bounding Update)消息为绑定更新消息，BA(Bounding Acknowledge)为绑定确认消息。
其中，使用在EAP认证阶段生成的MN-HA密钥作为预共享密钥，生成AUTH载荷。如图6所示，其具体步骤为：
S601、MS向HA发送密钥协商请求消息，即IKE_SA消息，其中，IKE_SA中包括：加密算法、DH值、随机数。DH值即为Difie-Hellman值。
S602a、HA接收来自MS的IKE_SA消息，选择加密算法，完成DH值交换。
S602b、向MS返回IKE_SA响应，并通过IKE_SA响应向MS提供随机数。
S603a、MS生成第一认证载荷，即第一AUTH载荷。
第一AUTH载荷使用MS与HA的共享密钥MN-HA生成。
S603b、向HA请求协商IKE_SA，提供MS标识和所述第一AUTH载荷。
S604a、HA接收来自MS的IKE_SA消息中的所述MS标识和第一AUTH载荷，查找与所述MS标识相对应的共享密钥，验证所述第一AUTH载荷中的内容；若验证成功，使用MN-HA生成第二AUTH载荷。
S604b、向MS发送IKE应答消息IKE_AUTH，应答消息中携带HA标识和所述第二AUTH载荷。
S605a、MS收到IKE应答消息后，查找与HA标识对应的共享密钥，对所述第二AUTH载荷进行验证，成功后确认MS与HA安全关联的建立，创建对应的数据库入口。
S605b、向HA发送BU消息。
S606a、HA收到BU消息时确认IKE_SA建立成功。
S606b、HA使用该安全关联向MN发送BA消息。
本实施例提供的认证方法，结合IEEE802.16定义的空中接口安全标准，基于IKEv2，提出了一个应用于WiMAX网络的认证方法，通过MS与HA之间的共享密钥MN-HA产生认证载荷，通过认证项建立相应的安全关联，保护BU消息的发送，能够实现移动节点在WiMAX网络中基于IKEv2的CMIP6的安全接入。
实施例四
本实施例为WiMAX网络的认证方法，基于认证项的PMIP4安全启动，以下步骤建立在已完成EAP-AKA认证、且产生各种WiMAX密钥的基础上。其中认证服务器AAA已获取密钥MN-HA、用于推衍FA-HA的推衍密钥HA-RK；DHCP(Dynamic Host Configuration Protocol，动态主机分配协议)(代理)、PMIP客户端和FA一起，共同完成外地代理的功能，这里把这三者组合称为外地代理服务组。其中，PMIP4客户端获得MN-FA和FA-HA。
如图7所示，该实施例可以包括以下步骤：
S701、MS向外地代理服务组发送获取IP地址的请求消息，以请求获取IPv4的地址。
S702a、FA收到请求消息后，生成MN-HA认证项和FA-HA认证项。
MN-HA认证项中包括：根据MN-HA生成的认证值，即Authenticator值；FA-HA认证项中包括：根据FA-HA生成的Authenticator值。
S702b、FA向HA发起MIP注册请求消息，消息中包括：MN-HA认证项和FA-HA认证项。
S703a、HA接收到MIP注册请求消息后，发起认证流程以获取MN-HA和HA-RK。
S703b、HA向AAA发送提供MN-HA密钥、以及用于推衍FA-HA的推衍密钥HA-RK的请求消息。
S704a、认证服务器AAA根据HA发送的请求消息，获取密钥MN-HA。
S704b、AAA向HA提供所述MN-HA和推衍密钥HA-RK。
S705a、HA根据接收到的MN-HA对MN-HA认证项进行认证，并根据推衍密钥HA-RK推衍出FA-HA，并根据推衍出的FA-HA，对所述FA-HA认证项进行认证。
S705b、认证成功后，HA向外地代理服务组发送MIP注册响应消息。
S706、外地代理服务组将MS的家乡地址通过反馈消息通知MS。从而MS能够根据家乡地址寻址。
S707、MS在接收到所述反馈消息后，向DHCP发送DHCP配置请求消息，要求获得IPv4的地址。
S708、DHCP向MS反馈确认消息，确认IPv4地址以及其它配置参数的使用。
从而MS获取到IP地址。
本发明实施例提供的WiMAX网络的认证方法，基于EAP认证，在没有使用其它安全机制对MIP注册消息进行保护的情况下，采用WiMAX网络中的通信实体之间的WiMAX共享密钥生成的认证项进行认证。该方法基于WiMAX共享密钥，通过认证项建立相应的安全关联，保护获取IP地址的请求消息的发送，能够实现移动节点在WiMAX网络中基于认证项的PMIPv4的安全接入。
实施例五
本实施例为WiMAX网络的认证方法，基于认证项的CMIPv4安全启动，以下步骤建立在已完成EAP-AKA认证、且产生各种WiMAX密钥的基础上。其中认证服务器AAA已将用于推衍FA-HA的推衍密钥HA-RK和用于推衍MN-FA的推衍密钥FA-RK通知FA，且FA根据这些推衍密钥生成了密钥FA-HA和MN-FA。
如图8所示，该实施例可以包括以下步骤：
S801、MS向FA发送MIP注册请求消息，在该消息中包括：MN-HA认证项和MN-FA认证项。
在MN-HA认证项中，利用密钥MN-HA生成认证值，在MN-FA认证项中，利用密钥MN-FA生成认证值。
S802a、FA对所述注册请求消息中的所述MN-FA认证项进行认证，在认证成功后删除MN-FA认证项，利用密钥FA-HA生成FA-HA认证项。
S802b、FA向HA发送MIP注册请求消息，在所述MIP注册请求消息中除了原来所带的MN-HA认证项之外，还添加了所述FA-HA认证项。
S803、HA接收到MIP注册请求消息后，向认证服务器请求MN-HA的认证密钥以及用于推衍FA-HA认证密钥的推衍密钥HA-RK。
S804、AAA将MN-HA的认证密钥以及用于推衍FA-HA认证密钥的推衍密钥HA-RK发送给HA。
S805a、HA用接收到的所述MN-HA认证密钥来认证所述MN-HA认证项，并利用所述HA-RK推衍出FA-HA认证密钥，使用该FA-HA认证密钥来认证所述FA-HA认证项。认证成功后，利用接收到的MN--HA生成新的MN-HA认证项，以及利用计算出的FA-HA生成新的FA-HA认证项。
S805b、在认证成功后，HA向FA发送MIP注册响应消息，所述消息中包括新的MN-HA认证项和新的FA-HA认证项。
S806a、FA接收到MIP注册响应消息后，对新的FA-HA认证项进行认证，认证成功后删除该新的FA-HA认证项，根据MN-FA生成新的MN-FA认证项。
S806b、向MS转发MIP注册响应消息，所述消息中包括除了新的MN--HA认证项外，还添加了新的MN-FA认证项。
S807、MS收到MS发送的MIP注册响应消息后，对所述新的MN-FA认证项进行认证，并使用MIP注册响应消息中的HA地址计算生成MN-HA，用该MN-HA认证所述新的MN-HA认证项。从而完成安全启动过程，MS获得家乡地址。
同实施例四类似，在获得家乡地址后，MS可以向FA请求IPv4地址信息。
本发明实施例提供的WiMAX网络的认证方法，基于EAP认证，在没有使用其它安全机制对MIP注册消息进行保护的情况下，采用WiMAX网络中的通信实体之间的WiMAX共享密钥生成的认证项进行认证。该方法基于WiMAX共享密钥，通过认证项建立相应的安全关联，保护MIP注册消息的发送，能够实现移动节点在WiMAX网络中基于认证项的CMIPv4的安全接入。
实施例六
本实施例为WiMAX网络的认证方法，基于认证项的CMIPv6安全启动，以下步骤建立在已完成基于PKMv2的EAP-AKA认证的基础上，其中认证服务器AAA已将家乡代理和家乡地址通知NAS(NetworkAttached Storage，网络附属存储)和DHCPv6代理，认证过程中产生了MS与AAA之间的共享根密钥MIP-RK，这个密钥由AAA通知NAS和DHCPv6代理，AS和DHCPv6代理通过对MS的反馈消息通知MS。
如图9所示，该实施例可以包括以下步骤：
S901、MS向HA发送BU消息，消息中包括了MS与AAA之间的MN-HAAA认证项。所述认证项是由MS与AAA之间的共享密钥MIP-RK生成的。在该BU消息中还包括了要求随机数的请求。
这个BU消息直接由MS透传到HA。其中的MN-HAAA的命名规则与前面其它实施例不同。
S902、HA收到所述BU消息后，则向AAA发送请求消息，要求AAA对MN-HAAA认证项进行认证，并提供密钥MN-HA。
S903a、AAA收到HA的请求消息后，对所述MN-HAAA认证项进行认证，并产生随机数。
S903b、AAA将所述随机数和密钥MN-HA发送给HA。其中，该密钥MN-HA通过所述随机数算出。
S904a、HA根据所述密钥MN-HA生成MN-HA认证项。
S904b、HA将所述MN-HA认证项和所述随机数添加在BA消息中发送给MS。
S905、MS根据该随机数计算出密钥MN-HA，并对所述MN-HA认证项进行认证，在认证成功后，与HA建立安全连接。
本发明实施例提供的WiMAX网络的认证方法，基于EAP认证，在没有使用其它安全机制对MIP注册消息进行保护的情况下，采用WiMAX网络中的通信实体之间的WiMAX共享密钥生成的认证项进行认证。该方法基于WiMAX共享密钥，通过认证项建立相应的安全关联，保护BU消息的发送，能够实现移动节点在WiMAX网络中基于认证项的CMIPv6的安全接入。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程，是可以通过计算机程序来指令相关的硬件来完成，所述的程序可存储于一计算机可读取存储介质中，该程序在执行时，可包括如上述各方法的实施例的流程。其中，所述的存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory，ROM)或随机存储记忆体(Random Access Memory，RAM)等。
如图10所示，本发明的实施例还提供了一种WiMAX网络的认证装置，包括：
载荷生成单元1001，用于根据所述认证装置和与对端通信实体之间的WiMAX第一共享密钥生成第一认证载荷；
收发单元1002，用于将所述载荷生成单元1001生成的第一认证载荷发送给所述对端通信实体进行验证，并接收所述对端通信实体在验证成功后发送的根据所述WiMAX第一共享密钥生成的第二认证载荷；
验证单元1003，用于对所述收发单元1002接收到的第二认证载荷进行验证。
所述认证装置可以是实施例一中的FA，也可以是实施例二中的MS或者FA，还可以是实施例三中的MS。
如图11所示，本发明的实施例还提供了另一种WiMAX网络的认证装置，包括：
获取单元1101，用于获取根据MS和HA之间的WiMAX第一共享密钥生成的第一认证项、以及根据FA和所述HA之间的WiMAX第二共享密钥生成的第二认证项；
收发单元1102，向所述HA发送请求消息，所述请求消息中包括所述获取单元1101获取的所述第一认证项和第二认证项，以使所述HA对所述第一认证项和所述第二认证项进行验证。
本实施例提供的认证装置可以为FA。
如图12所示，本发明的实施例还提供了再一种WiMAX网络的认证装置，包括：
第一收发单元1201，用于接收MS发送的消息，所述消息中包括第一认证项和对随机数的请求，所述第一认证项为根据所述MS和认证服务器AAA之间的WiMAX第一共享根密钥生成，并向所述认证服务器转发所述第一认证项以及所述随机数的请求；
第二收发单元1202，用于接收所述认证服务器对所述第一认证项验证成功后提供的随机数和所述MS和所述HA之间的WiMAX第二共享密钥，根据所述WiMAX第二共享密钥生成第二认证项，并将所述第二认证项和所述随机数添加在响应消息中发送给所述MS，以供所述MS进行验证。
本实施例提供的认证装置可以为FA。
本发明的实施例提供的WiMAX网络的认证装置，可以结合上述WiMAX网络的认证方法中的各实施例，以实现终端基于WiMAX密钥的网络安全接入。
本发明实施例提供的WiMAX网络的认证装置，基于EAP认证，在没有使用其它安全机制对注册消息进行保护的情况下，采用WiMAX网络中的通信实体之间的WiMAX共享密钥生成的认证项进行认证。该方法基于WiMAX共享密钥，通过认证项建立相应的安全关联，保护注册消息的发送，能够实现移动节点在WiMAX网络中的安全接入。
以上所述，仅为本发明的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应所述以权利要求的保护范围为准。