專利名稱:一種在無線接入網(wǎng)中建立安全通道的方法
技術(shù)領(lǐng)域:
本發(fā)明涉及到保證無線接入網(wǎng)安全性的技術(shù),特別涉及到在無線接入網(wǎng)中建立安全通道的方法。
背景技術(shù):
隨著因特網(wǎng)業(yè)務(wù)的蓬勃發(fā)展和無線網(wǎng)絡(luò)的廣泛應(yīng)用,已經(jīng)對無線接入網(wǎng)提出了越來越多的安全性要求,除采用目前廣泛使用的設(shè)備鑒權(quán)、用戶鑒權(quán)和服務(wù)授權(quán)等等方法來提高無線通信的安全性之外,移動(dòng)用戶站(MSS)與基站(BS)之間安全通道的建立,保密信息的交換,以及BS和鑒權(quán)者(Authenticator)、Authenticator和鑒權(quán)服務(wù)器(Authentication Server)之間的安全通道的建立,保密信息的交換等等都是目前需要特別關(guān)注的問題。
圖1顯示了現(xiàn)階段無線接入網(wǎng)的安全網(wǎng)絡(luò)架構(gòu)體系。如圖1所示,在無線接入網(wǎng)的安全網(wǎng)絡(luò)架構(gòu)中主要涉及到以下網(wǎng)元MSS、BS、Authenticator以及Authentication Server。其中,MSS在所述安全架構(gòu)中的主要功能是發(fā)起認(rèn)證、鑒權(quán),與Authentication Server交換產(chǎn)生根密鑰所需的信息,生成根密鑰,根據(jù)根密鑰產(chǎn)生對空中接口數(shù)據(jù)加密所需要的鑒權(quán)密鑰(AK,Authorization Key)以及根據(jù)AK派生出用于加密數(shù)據(jù)及管理消息一致性檢驗(yàn)的其他密鑰信息等;BS在上述安全架構(gòu)中的功能是為BS和MSS提供安全體系通道,對空中接口數(shù)據(jù)進(jìn)行壓縮與加密,交換BS和MSS之間的保密信息,為MSS提供從BS到Authenticator的安全通道等;Authenticator在上述安全架構(gòu)中的主要功能是為MSS認(rèn)證、授權(quán)和計(jì)費(fèi)提供代理功能,根據(jù)Authentication Server提供的與MSS之間對等的根密鑰信息,產(chǎn)生BS和MSS之間建立安全通道所需的AK,并將AK分發(fā)到相應(yīng)的BS;AuthenticationServer的主要功能包括為MSS進(jìn)行認(rèn)證、授權(quán)和計(jì)費(fèi),產(chǎn)生并分發(fā)根密鑰信息到Authenticator,在用戶信息產(chǎn)生變化時(shí)及時(shí)通知Authenticator和其他網(wǎng)元用戶信息改變所產(chǎn)生的后果。
在MSS初次接入無線接入網(wǎng)時(shí),MSS的鑒權(quán)、認(rèn)證以及與BS之間安全通道的建立過程如下a、MSS通過BS和Authenticator,發(fā)送與鑒權(quán)有關(guān)的信息到Authentication Server;在這里所述的與鑒權(quán)有關(guān)的信息與MSS和Authentication Server選擇的鑒權(quán)算法有關(guān),通常包括MSS的網(wǎng)絡(luò)標(biāo)志符(NAI),所使用鑒權(quán)算法的標(biāo)識,用戶識別模塊(SIM)卡號碼或者隨機(jī)產(chǎn)生的隨機(jī)數(shù)等等,Authentication Server可以根據(jù)這些信息對MSS進(jìn)行鑒權(quán);b、Authentication Server根據(jù)接收的鑒權(quán)信息對該MSS進(jìn)行鑒權(quán),并在鑒權(quán)通過后,與MSS同時(shí)按照約定的算法各自建立用于產(chǎn)生根密鑰的鑒權(quán)認(rèn)證計(jì)費(fèi)密鑰(AAA-Key);c、Authentication服務(wù)器將AAA-Key下發(fā)給Authenticator,Authenticator與MSS根據(jù)AAA-Key使用相同的算法各自生成根密鑰,Authenticator與MSS再根據(jù)根密鑰生成AK,Authenticator進(jìn)一步將AK下發(fā)給BS;d、BS和MSS根據(jù)AK,按照IEEE 802.16e中的密鑰管理協(xié)議(PKM)機(jī)制協(xié)商產(chǎn)生對MSS和BS之間空中接口數(shù)據(jù)進(jìn)行加密以及對管理信息進(jìn)行一致性檢驗(yàn)所需的相關(guān)密鑰,在空中接口上建立安全通道。
這樣,空中接口上傳輸?shù)臄?shù)據(jù)都能夠通過加密實(shí)現(xiàn)安全傳輸,而空中接口上傳輸?shù)墓芾硐⒁部梢酝ㄟ^使用用于一致性檢驗(yàn)的消息認(rèn)證碼(MAC,Message Authentication Code)實(shí)現(xiàn)安全傳輸。
由于MSS是可移動(dòng)的,因此,在移動(dòng)過程中,MSS很可能從一個(gè)BS覆蓋的范圍移動(dòng)到另一個(gè)BS覆蓋的范圍,在這種情況下,MSS就需要從一個(gè)稱為源BS的BS,切換到另一個(gè)稱為目標(biāo)BS的BS。在上述切換過程中,如果源BS和目標(biāo)BS受到同一個(gè)Authenticator的控制,則在切換后,該Authenticator僅需要把當(dāng)前MSS的AK下發(fā)到目標(biāo)BS,MSS和目標(biāo)BS就可以根據(jù)該AK建立安全通道了。但是,如果控制源BS和目標(biāo)BS的Authenticator不同,即在MSS的切換過程中發(fā)生了Authenticator遷移,則根據(jù)協(xié)議規(guī)定,管理目標(biāo)BS的Authenticator,稱為目標(biāo)Authenticator就會(huì)向Authentication Server申請新的根密鑰,這將導(dǎo)致Authentication Server重新對MSS進(jìn)行如上述步驟A至D所述的鑒權(quán)、授權(quán)和密鑰協(xié)商的完整過程,以便在MSS和目標(biāo)BS之間建立新的安全通道。
這樣,不僅僅會(huì)增加BS與Authenticator及Authenticator與Authentication Server之間數(shù)據(jù)和信令的開銷,還將占用較多的空中接口資源,增加安全通道建立所需的時(shí)間。特別是在Authenticator與BS在物理上存在于一個(gè)網(wǎng)元中的情況下,MSS在BS間的切換必然引起Authenticator的遷移,使得Authenticator的遷移過于頻繁,最終導(dǎo)致用戶會(huì)話的中斷及業(yè)務(wù)質(zhì)量的下降。
發(fā)明內(nèi)容
為了解決上述技術(shù)問題,本發(fā)明提供了一種在無線接入網(wǎng)中建立安全通道的方法,使得在由MSS切換引發(fā)Authenticator遷移時(shí),目標(biāo)BS可以及時(shí)獲得建立安全通道所需的密鑰信息,迅速在MSS和目標(biāo)BS之間建立安全通道,而不需要觸發(fā)Authentication Server的重鑒權(quán)過程,保證用戶會(huì)話的業(yè)務(wù)質(zhì)量。
本發(fā)明所述在無線接入網(wǎng)中建立安全通道的方法在移動(dòng)用戶站發(fā)生切換時(shí)包括A、目標(biāo)基站獲得源服務(wù)端標(biāo)識;B、目標(biāo)基站根據(jù)所獲得的源服務(wù)器端標(biāo)識請求密鑰信息;C、目標(biāo)基站根據(jù)所述密鑰信息與發(fā)生切換的移動(dòng)用戶站建立安全通道。
本發(fā)明所述步驟B包括
B11、目標(biāo)基站將獲得的源服務(wù)端標(biāo)識上傳給目標(biāo)鑒權(quán)者;B12、目標(biāo)鑒權(quán)者根據(jù)所述源服務(wù)端標(biāo)識確定源鑒權(quán)者的網(wǎng)絡(luò)標(biāo)識;B13、目標(biāo)鑒權(quán)者根據(jù)源鑒權(quán)者的網(wǎng)絡(luò)標(biāo)識向源鑒權(quán)者請求密鑰信息,并將從源鑒權(quán)者獲取的密鑰信息下發(fā)給目標(biāo)基站。
步驟A所述目標(biāo)基站獲得源服務(wù)端標(biāo)識包括在源基站接收到移動(dòng)用戶站發(fā)送的切換指示后,將源服務(wù)端標(biāo)識發(fā)送到目標(biāo)基站;目標(biāo)基站接收所述源服務(wù)端標(biāo)識。
本發(fā)明所述源服務(wù)端標(biāo)識為源基站的網(wǎng)絡(luò)標(biāo)識。
本發(fā)明所述源服務(wù)端標(biāo)識為源鑒權(quán)者的網(wǎng)絡(luò)標(biāo)識。
本發(fā)明所述源服務(wù)端標(biāo)識為源基站的網(wǎng)絡(luò)標(biāo)識;步驟A所述目標(biāo)基站獲得源服務(wù)端標(biāo)識為目標(biāo)基站從切換進(jìn)入的移動(dòng)用戶站發(fā)送的接入消息中獲得源基站的網(wǎng)絡(luò)標(biāo)識。
本發(fā)明所述源服務(wù)端標(biāo)識為源鑒權(quán)者的網(wǎng)絡(luò)標(biāo)識;步驟A所述目標(biāo)基站獲得源服務(wù)端標(biāo)識為目標(biāo)基站從切換進(jìn)入的移動(dòng)用戶站發(fā)送的接入消息中獲得源基站的網(wǎng)絡(luò)標(biāo)識;目標(biāo)基站根據(jù)源基站的網(wǎng)絡(luò)標(biāo)識向源基站請求源鑒權(quán)者的網(wǎng)絡(luò)標(biāo)識;源基站將控制自身的源鑒權(quán)者的網(wǎng)絡(luò)標(biāo)識發(fā)送給目標(biāo)基站。
步驟B12所述的根據(jù)所述源服務(wù)端標(biāo)識確定源鑒權(quán)者的網(wǎng)絡(luò)標(biāo)識為目標(biāo)鑒權(quán)者根據(jù)源基站的網(wǎng)絡(luò)標(biāo)識以及預(yù)先配置的基站與鑒權(quán)者控制關(guān)系對應(yīng)表查找得到控制源基站的源鑒權(quán)者的網(wǎng)絡(luò)標(biāo)識。
步驟B12所述的根據(jù)所述源服務(wù)端標(biāo)識確定源鑒權(quán)者的網(wǎng)絡(luò)標(biāo)識為目標(biāo)鑒權(quán)者將接收的源鑒權(quán)者的網(wǎng)絡(luò)標(biāo)識直接確定為源鑒權(quán)者的網(wǎng)絡(luò)標(biāo)識。
本發(fā)明所述方法在步驟B12之后進(jìn)一步包括目標(biāo)鑒權(quán)者根據(jù)確定的源鑒權(quán)者的網(wǎng)絡(luò)標(biāo)識判斷在所述移動(dòng)用戶站的切換過程中是否發(fā)生了鑒權(quán)者遷移,如果是,則繼續(xù)執(zhí)行步驟B13;否則,目標(biāo)鑒權(quán)者直接下發(fā)與發(fā)生切換的移動(dòng)用戶站對應(yīng)的密鑰信息到目標(biāo)基站,目標(biāo)基站根據(jù)接收的密鑰信息與所述發(fā)生切換的移動(dòng)用戶站建立安全通道。
本發(fā)明所述源服務(wù)端標(biāo)識為源鑒權(quán)者的網(wǎng)絡(luò)標(biāo)識;步驟A所述目標(biāo)基站獲得源服務(wù)端標(biāo)識為目標(biāo)基站從切換進(jìn)入的移動(dòng)用戶站發(fā)送的接入消息中獲得源基站的網(wǎng)絡(luò)標(biāo)識;目標(biāo)基站根據(jù)源基站的網(wǎng)絡(luò)標(biāo)識向源基站請求源鑒權(quán)者的網(wǎng)絡(luò)標(biāo)識;源基站將控制自身的源鑒權(quán)者的網(wǎng)絡(luò)標(biāo)識發(fā)送給目標(biāo)基站;或在源基站接收到移動(dòng)用戶站發(fā)送的切換指示后,將源鑒權(quán)者的網(wǎng)絡(luò)標(biāo)識發(fā)送到目標(biāo)基站;目標(biāo)基站接收所述源鑒權(quán)者的網(wǎng)絡(luò)標(biāo)識。
本發(fā)明所述步驟B包括B21、目標(biāo)基站根據(jù)源鑒權(quán)者的網(wǎng)絡(luò)標(biāo)識直接向源鑒權(quán)者請求密鑰信息;B22、源鑒權(quán)者直接將建立安全通道所需的密鑰下發(fā)給目標(biāo)基站。
本發(fā)明所述方法在步驟A之后進(jìn)一步包括目標(biāo)基站根據(jù)獲得的源服務(wù)端標(biāo)識判斷在所述移動(dòng)用戶站的切換過程中是否發(fā)生了鑒權(quán)者遷移,如果是,則繼續(xù)執(zhí)行步驟B;否則,目標(biāo)基站向目標(biāo)鑒權(quán)者請求所述移動(dòng)用戶站對應(yīng)的密鑰信息,目標(biāo)鑒權(quán)者將所述密鑰信息直接下發(fā)給目標(biāo)基站,目標(biāo)基站根據(jù)接收的密鑰信息與所述移動(dòng)用戶站建立安全通道。
本發(fā)明所述源服務(wù)端標(biāo)識為源基站的網(wǎng)絡(luò)標(biāo)識;所述判斷為目標(biāo)基站查找自身存儲(chǔ)的、預(yù)先配置的、控制自身鑒權(quán)者所能控制的所有基站的網(wǎng)絡(luò)標(biāo)識列表,判斷所獲得的源基站網(wǎng)絡(luò)標(biāo)識是否在此列表中,如果在,則沒有發(fā)生鑒權(quán)者遷移;否則,就發(fā)生了鑒權(quán)者遷移。
本發(fā)明所述源服務(wù)端標(biāo)識為源鑒權(quán)者的網(wǎng)絡(luò)標(biāo)識;所述判斷包括目標(biāo)基站根據(jù)自身存儲(chǔ)的、預(yù)先配置的、控制自身鑒權(quán)者的網(wǎng)絡(luò)標(biāo)識得到目標(biāo)鑒權(quán)者的網(wǎng)絡(luò)標(biāo)識;判斷所獲得的源鑒權(quán)者的網(wǎng)絡(luò)標(biāo)識與所述目標(biāo)鑒權(quán)者的網(wǎng)絡(luò)標(biāo)識是否相同,如果相同,則沒有發(fā)生鑒權(quán)者遷移;否則,發(fā)生了鑒權(quán)者遷移。
本發(fā)明所述密鑰信息至少包括鑒權(quán)密鑰、該鑒權(quán)密鑰的標(biāo)識以及該鑒權(quán)密鑰的生命周期。
本發(fā)明所述建立安全通道為目標(biāo)基站與移動(dòng)用戶站根據(jù)相同的密鑰信息派生出用于加密空中接口數(shù)據(jù)以及對管理消息進(jìn)行一致性檢驗(yàn)的密鑰,使用派生出的密鑰加密空中接口數(shù)據(jù),并對管理消息進(jìn)行一致性檢驗(yàn)。
由此可以看出,本發(fā)明所述的方法在由MSS切換導(dǎo)致Authenticator發(fā)生遷移的情況下,通過在源Authenticator和目標(biāo)Authenticator之間傳遞建立安全通道所需的密鑰信息,可以在MSS和目標(biāo)BS之間迅速建立安全通道,而不需要觸發(fā)Authentication Server發(fā)起重鑒權(quán)過程,這一方面節(jié)省了空中接口上數(shù)據(jù)和信令的開銷,另一方面,大大減少了建立安全通道的時(shí)間,提高了用戶的業(yè)務(wù)質(zhì)量。
圖1顯示了現(xiàn)階段無線接入網(wǎng)的安全網(wǎng)絡(luò)架構(gòu)體系;圖2顯示了實(shí)施例1所述的在無線接入網(wǎng)中建立安全通道的方法;圖3顯示了實(shí)施例2所述的在無線接入網(wǎng)中建立安全通道的方法;圖4顯示了實(shí)施例3所述的在無線接入網(wǎng)中建立安全通道的方法;圖5顯示了實(shí)施例4所述的在無線接入網(wǎng)中建立安全通道的方法;圖6顯示了實(shí)施例5所述的在無線接入網(wǎng)中建立安全通道的方法。
具體實(shí)施例方式
為了在MSS切換引發(fā)Authenticator遷移時(shí),目標(biāo)BS可以及時(shí)獲得建立安全通道所需的密鑰信息,本發(fā)明提供了在無線接入網(wǎng)中建立安全通道的方法,可以在不觸發(fā)Authentication Server進(jìn)行重鑒權(quán)過程的情況下,令目標(biāo)BS及時(shí)獲得建立安全通道所需的密鑰信息,迅速在MSS和目標(biāo)BS之間建立安全通道。
本發(fā)明所述的方法適用于圖1所示的無線接入網(wǎng)的安全網(wǎng)絡(luò)架構(gòu)體系。
為使發(fā)明的目的、技術(shù)方案及優(yōu)點(diǎn)更加清楚明白,以下參照附圖并舉實(shí)施例,對本發(fā)明作進(jìn)一步詳細(xì)說明。
實(shí)施例1圖2顯示了實(shí)施例1所述的在無線接入網(wǎng)中建立安全通道的方法。如圖2所示,該方法主要包括以下步驟A1、源BS接收到MSS的切換指示后,將源服務(wù)端標(biāo)識發(fā)送到目標(biāo)BS;所述源服務(wù)端標(biāo)識為源BS的網(wǎng)絡(luò)標(biāo)識或源Authenticator的網(wǎng)絡(luò)標(biāo)識;在該步驟中,源BS可以通過BS之間的接口直接將源服務(wù)端標(biāo)識發(fā)送到所述BS,還可以通過諸如基站控制器或接入服務(wù)網(wǎng)絡(luò)網(wǎng)關(guān)(ASN GW)等控制網(wǎng)元之間的接口將所述源服務(wù)端標(biāo)識間接轉(zhuǎn)發(fā)到所述目標(biāo)BS;A2、目標(biāo)BS接收到來自源BS的源服務(wù)端標(biāo)識后,向控制自身的Authenticator,即目標(biāo)Authenticator,發(fā)送一密鑰請求消息,申請?jiān)揗SS對應(yīng)的密鑰信息,并在該密鑰請求消息中攜帶接收到的源服務(wù)端標(biāo)識;由于在每個(gè)BS中都存儲(chǔ)有預(yù)先配置的控制自身的Authenticator的網(wǎng)絡(luò)標(biāo)識,因此,任何一個(gè)BS都能夠?qū)ぶ返娇刂谱陨淼腁uthenticator,向該Authenticator申請建立安全通道所需的密鑰信息;A3、目標(biāo)Authenticator根據(jù)密鑰請求消息中的源服務(wù)端標(biāo)識獲得源Authenticator的網(wǎng)絡(luò)標(biāo)識,再根據(jù)源Authenticator的網(wǎng)絡(luò)標(biāo)識判斷本次切換過程是否發(fā)生了Authenticator遷移,即判斷自身的網(wǎng)絡(luò)標(biāo)識是否與接收到的源Authenticator的網(wǎng)絡(luò)標(biāo)識相同,如果沒有發(fā)生Authenticator遷移,則執(zhí)行步驟A4;否則,執(zhí)行步驟A5;在該步驟中,目標(biāo)Authenticator可以根據(jù)所接收源服務(wù)端標(biāo)識的不同采用兩種方式獲得源Authenticator的網(wǎng)絡(luò)標(biāo)識若所述源服務(wù)端標(biāo)識為源Authenticator的網(wǎng)絡(luò)標(biāo)識,則目標(biāo)Authenticator可以直接獲得源Authenticator的網(wǎng)絡(luò)標(biāo)識;若所述源服務(wù)端標(biāo)識為源BS的網(wǎng)絡(luò)標(biāo)識,則目標(biāo)Authenticator要根據(jù)自身預(yù)先配置的BS與Authenticator的控制關(guān)系對應(yīng)表查找出控制所述源BS的源Authenticator的網(wǎng)絡(luò)標(biāo)識;在得到源Authenticator的網(wǎng)絡(luò)標(biāo)識后,目標(biāo)Authenticator將比較源Authenticator的網(wǎng)絡(luò)標(biāo)識與自身的網(wǎng)絡(luò)標(biāo)識是否相同,如果相同,則沒有發(fā)生Authenticator遷移;否則,就發(fā)生了Authenticator遷移;A4、目標(biāo)Authenticator直接將建立安全通道所需的密鑰信息發(fā)送到目標(biāo)BS,目標(biāo)BS根據(jù)接收的密鑰信息與MSS建立安全通道,然后結(jié)束;A5、目標(biāo)Authenticator從源Authenticator獲取建立安全通道所需的密鑰信息,并將獲取的密鑰信息下發(fā)給目標(biāo)BS,目標(biāo)BS根據(jù)接收的密鑰信息與MSS建立安全通道,然后結(jié)束。
由于Authenticator之間存在接入服務(wù)網(wǎng)絡(luò)的內(nèi)部接口——R6接口,因此,目標(biāo)Authenticator通過自定義的密鑰申請消息向源Authenticator請求并獲取所述的密鑰信息。另外,在源Authenticator和目標(biāo)Authenticator之間傳遞的密鑰信息的安全性可以通過傳輸層/網(wǎng)絡(luò)層的安全機(jī)制來保證,例如,使用因特網(wǎng)協(xié)議安全(IPSec)或虛擬專網(wǎng)(VPN)等技術(shù)來保證。
在上述步驟A4和步驟A5中,所述密鑰信息至少包括MSS的AK、該AK的標(biāo)識(AKID)以及該AK的生命周期。所述密鑰信息還可以包括諸如EAP完整性密鑰(EIK,EAP Integrity Key)等其他密鑰信息。
在目標(biāo)BS得到了與MSS相同的AK后,就可以使用與MSS相同的算法派生出用于加密空中接口數(shù)據(jù)及對管理消息進(jìn)行一致性檢驗(yàn)的其他相關(guān)密鑰,使用派生出的密鑰加密空中接口數(shù)據(jù),并對管理消息進(jìn)行一致性檢驗(yàn),從而建立安全通道實(shí)現(xiàn)空中接口上數(shù)據(jù)和管理消息的安全傳輸。
從上述實(shí)施例1的步驟A3可以看出,在本實(shí)施例中,本次切換過程是否發(fā)生了Authenticator遷移是由目標(biāo)Authenticator來判斷的,在實(shí)際的應(yīng)用中,還可以由目標(biāo)BS判斷是否發(fā)生了Authenticator遷移,參見實(shí)施例2所述的方法。
實(shí)施例2圖3顯示了實(shí)施例2所述的在無線接入網(wǎng)中建立安全通道的方法。如圖3所示,該方法主要包括以下步驟B1、源BS接收到MSS的切換指示后,將源服務(wù)端標(biāo)識發(fā)送到目標(biāo)BS;所述源服務(wù)端標(biāo)識為源BS的網(wǎng)絡(luò)標(biāo)識或源Authenticator的網(wǎng)絡(luò)標(biāo)識;
在本步驟中,源BS也可以采用與步驟A1相同的方法直接或間接的將源服務(wù)端標(biāo)識發(fā)送到目標(biāo)BS;B2、目標(biāo)BS根據(jù)接收到的源服務(wù)端標(biāo)識判斷是否發(fā)生了Authenticator遷移,如果發(fā)生了Authenticator遷移,則執(zhí)行步驟B3;否則,執(zhí)行步驟B5;在該步驟中,若所述源服務(wù)端標(biāo)識為源Authenticator的網(wǎng)絡(luò)標(biāo)識,則目標(biāo)BS直接將自身存儲(chǔ)的、預(yù)先配置的、控制自身的Authenticator網(wǎng)絡(luò)標(biāo)識與所述源Authenticator的網(wǎng)絡(luò)標(biāo)識進(jìn)行比較,如果相同,則沒有發(fā)生Authenticator遷移,否則,就發(fā)生了Authenticator遷移;若所述源服務(wù)端標(biāo)識為源BS的網(wǎng)絡(luò)標(biāo)識,則目標(biāo)BS必須存儲(chǔ)有預(yù)先配置的、控制自身的Authenticator所能控制的所有BS網(wǎng)絡(luò)標(biāo)識的列表,目標(biāo)BS通過查找源BS的網(wǎng)絡(luò)標(biāo)識是否在此列表中來判斷是否發(fā)生了Authenticator遷移,如果在此列表中,則沒有發(fā)生Authenticator遷移,否則,就發(fā)生了Authenticator遷移;B3、目標(biāo)BS將接收的源服務(wù)端標(biāo)識通過密鑰請求消息發(fā)送到控制自身的Authenticator,即目標(biāo)Authenticator,向目標(biāo)Authenticator申請?jiān)揗SS對應(yīng)的密鑰信息;B4、目標(biāo)Authenticator根據(jù)密鑰請求消息中的源服務(wù)端標(biāo)識獲得源Authenticator的網(wǎng)絡(luò)標(biāo)識,然后從源Authenticator獲取建立安全通道所需的密鑰信息,并將獲取的密鑰信息下發(fā)給目標(biāo)BS,目標(biāo)BS根據(jù)接收的密鑰信息與MSS建立安全通道,然后結(jié)束;本步驟所述獲得源Authenticator的網(wǎng)絡(luò)標(biāo)識的方法與上述步驟A3所述的方法相同;所述從源Authenticator獲取密鑰信息的方法與步驟A5所述的方法相同;B5、目標(biāo)BS向目標(biāo)Authenticator,即源Authenticator,申請?jiān)揗SS對應(yīng)的密鑰信息,目標(biāo)Authenticator將該MSS的密鑰信息直接下發(fā)給目標(biāo)BS,目標(biāo)BS根據(jù)接收的密鑰信息與MSS建立安全通道,然后結(jié)束。
在上述步驟B4和步驟B5中,所述的密鑰信息也至少包括MSS的AK。
在目標(biāo)BS得到了與MSS相同的AK后,就可以使用與MSS相同的算法派生出用于加密空中接口數(shù)據(jù)及對管理消息進(jìn)行一致性檢驗(yàn)的其他密鑰,使用派生出的密鑰加密空中接口數(shù)據(jù),并對管理消息進(jìn)行一致性檢驗(yàn),從而建立安全通道實(shí)現(xiàn)空中接口上數(shù)據(jù)和管理消息的安全傳輸。
從上述過程可以看出,在上述兩個(gè)實(shí)施例中,目標(biāo)BS是從來自源BS的切換消息中獲得源服務(wù)端標(biāo)識的,但是在某些時(shí)候,可能出現(xiàn)在MSS已經(jīng)切換進(jìn)入目標(biāo)BS時(shí),目標(biāo)BS仍無法從源BS獲得源服務(wù)端標(biāo)識的情況,例如,由于MSS已經(jīng)離開源BS的覆蓋區(qū)域,使得源BS無法收到MSS發(fā)送的切換指示,從而導(dǎo)致源BS不會(huì)將源服務(wù)端標(biāo)識發(fā)送到目標(biāo)BS。在這種情況下,目標(biāo)BS無法得知源服務(wù)端標(biāo)識,從而無法通過目標(biāo)Authenticator快速獲得原來使用的密鑰信息。
下面將要描述的本發(fā)明的優(yōu)選實(shí)施例可以解決上述問題。
實(shí)施例3圖4顯示了實(shí)施例3所述的在無線接入網(wǎng)中建立安全通道的方法。如圖4所示,所述方法在MSS切換進(jìn)入目標(biāo)BS后,包括以下步驟C1、目標(biāo)BS從MSS的接入消息中獲取源BS的網(wǎng)絡(luò)標(biāo)識;C2、目標(biāo)BS根據(jù)源BS的網(wǎng)絡(luò)標(biāo)識向源BS發(fā)送包含MSS標(biāo)識的切換指示請求,要求源BS提供源Authenticator的網(wǎng)絡(luò)標(biāo)識;在該步驟中,目標(biāo)BS可以通過BS之間的接口直接向源BS請求源服務(wù)端標(biāo)識,還可以通過諸如基站控制器或ASN GW等控制網(wǎng)元之間的接口間接向源BS請求源Authenticator的網(wǎng)絡(luò)標(biāo)識;C3、獲得源Authenticator的網(wǎng)絡(luò)標(biāo)識后,目標(biāo)BS將源Authenticator的網(wǎng)絡(luò)標(biāo)識通過密鑰請求消息發(fā)送到控制自身的Authenticator,即目標(biāo)Authenticator,向目標(biāo)Authenticator申請?jiān)揗SS對應(yīng)的密鑰信息;C4、目標(biāo)Authenticator根據(jù)密鑰請求消息中的源Authenticator的網(wǎng)絡(luò)標(biāo)識判斷在本次切換過程中是否發(fā)生了Authenticator遷移,如果沒有發(fā)生Authenticator遷移,則執(zhí)行步驟C5,否則執(zhí)行步驟C6;
C5、目標(biāo)Authenticator直接將建立安全通道所需的密鑰下發(fā)給目標(biāo)BS,目標(biāo)BS根據(jù)接收的密鑰信息與MSS建立安全通道,然后結(jié)束;C6、目標(biāo)Authenticator從源Authenticator獲取建立安全通道所需的密鑰信息,并將獲取的密鑰信息下發(fā)給目標(biāo)BS,目標(biāo)BS根據(jù)接收的密鑰信息與MSS建立安全通道,然后結(jié)束。
本步驟所述從源Authenticator獲取密鑰信息的方法與實(shí)施例1步驟A5所述的方法相同。
上述步驟C5和C6所述的密鑰信息也至少包括源MSS的AK。在目標(biāo)BS得到了與MSS相同的AK后,就可以與MSS派生出其他密鑰實(shí)現(xiàn)空中接口上數(shù)據(jù)和管理消息的安全傳輸。
熟悉本領(lǐng)域的技術(shù)人員可以理解,也可以在目標(biāo)BS獲得源Authenticator的網(wǎng)絡(luò)標(biāo)識后,由目標(biāo)BS根據(jù)源Authenticator的網(wǎng)絡(luò)標(biāo)識判斷在本次切換過程中是否發(fā)生了Authenticator遷移,其判斷方法可以采用實(shí)施例2步驟B2所述的判斷方法,如果發(fā)生了Authenticator遷移,則將源Authenticator的網(wǎng)絡(luò)標(biāo)識上報(bào)給目標(biāo)Authenticator,通過目標(biāo)Authenticator從源Authenticator獲取建立安全通道所需的密鑰信息,從而建立安全通道;否則,直接從源Authenticator獲取密鑰信息建立安全通道。
實(shí)施例4圖5顯示了實(shí)施例4所述的無線接入網(wǎng)中建立安全通道的方法。如圖5所示,所述方法在MSS切換進(jìn)入目標(biāo)BS后,包括以下步驟D1、目標(biāo)BS從MSS的接入消息中獲取源BS的網(wǎng)絡(luò)標(biāo)識;D2、目標(biāo)BS將源BS的網(wǎng)絡(luò)標(biāo)識通過密鑰請求消息發(fā)送到控制自身的Authenticator,即目標(biāo)Authenticator,向目標(biāo)Authenticator申請?jiān)揗SS對應(yīng)的密鑰信息;D3、目標(biāo)Authenticator根據(jù)密鑰請求消息中的源BS網(wǎng)絡(luò)標(biāo)識查找自身存儲(chǔ)的BS與Authenticator控制關(guān)系對應(yīng)表得到源Authenticator的網(wǎng)絡(luò)標(biāo)識,并根據(jù)源Authenticator的網(wǎng)絡(luò)標(biāo)識判斷在本次切換過程中是否發(fā)生了Authenticator遷移,如果是,則執(zhí)行步驟D4,否則執(zhí)行D5;D4、目標(biāo)Authenticator直接將建立安全通道所需的密鑰下發(fā)給目標(biāo)BS,目標(biāo)BS根據(jù)接收的密鑰信息與MSS建立安全通道,然后結(jié)束;D5、目標(biāo)Authenticator從源Authenticator獲取建立安全通道所需的密鑰信息,并將獲取的密鑰信息下發(fā)給目標(biāo)BS,目標(biāo)BS根據(jù)接收的密鑰信息與MSS建立安全通道,然后結(jié)束。
上述步驟D4和D5所述的密鑰信息也至少包括該MSS的AK。在目標(biāo)BS得到了與MSS相同的AK后,就可以與MSS派生出其他密鑰實(shí)現(xiàn)空中接口上數(shù)據(jù)和管理消息的安全傳輸。
與實(shí)施例3相同,在實(shí)施例4中也可以在目標(biāo)BS獲得源BS的網(wǎng)絡(luò)標(biāo)識后,由目標(biāo)BS根據(jù)源BS的網(wǎng)絡(luò)標(biāo)識查找管理自身的Authenticator所管理所有BS列表,判斷在本次切換過程中是否發(fā)生了Authenticator遷移,其判斷方法可以采用實(shí)施例2步驟B2所述的判斷方法,如果發(fā)生了Authenticator遷移,則將源BS的網(wǎng)絡(luò)標(biāo)識上報(bào)給目標(biāo)Authenticator,通過目標(biāo)Authenticator從源Authenticator獲取建立安全通道所需的密鑰信息,從而建立安全通道;否則,直接從源Authenticator獲取密鑰信息建立安全通道。
實(shí)施例5如果允許目標(biāo)BS直接到源Authenticator請求密鑰信息,而且目標(biāo)BS可以獲得源Authenticator的網(wǎng)絡(luò)標(biāo)識,就可以進(jìn)一步簡化上述實(shí)施例1~4的方法。
圖6顯示了實(shí)施例5所述的無線接入網(wǎng)中建立安全通道的方法。如圖6所示,所述方法在MSS切換進(jìn)入目標(biāo)BS后,包括以下步驟E1、目標(biāo)BS從MSS的接入消息中獲取源BS的網(wǎng)絡(luò)標(biāo)識;E2、目標(biāo)BS根據(jù)源BS的網(wǎng)絡(luò)標(biāo)識向源BS發(fā)送包含MSS標(biāo)識的切換指示請求,要求源BS提供源Authenticator的網(wǎng)絡(luò)標(biāo)識;對應(yīng)上述步驟E1和E2,目標(biāo)BS還可以通過如下方法獲得源Authenticator的網(wǎng)絡(luò)標(biāo)識在源基站接收到移動(dòng)用戶站發(fā)送的切換指示后,將源Authenticator的網(wǎng)絡(luò)標(biāo)識發(fā)送到目標(biāo)基站;目標(biāo)基站接收所述源Authenticator的網(wǎng)絡(luò)標(biāo)識。
E3、源BS通過會(huì)話響應(yīng)消息將源Authenticator的網(wǎng)絡(luò)標(biāo)識通知給目標(biāo)BS;E4、在獲得了源Authenticator的網(wǎng)絡(luò)標(biāo)識后,目標(biāo)BS根據(jù)源Authenticator的網(wǎng)絡(luò)標(biāo)識直接向源Authenticator申請?jiān)揗SS的密鑰信息;E5、源Authenticator直接將建立安全通道所需的密鑰下發(fā)給目標(biāo)BS,目標(biāo)BS根據(jù)接收的密鑰信息與MSS建立安全通道,然后結(jié)束。
上述步驟E5所述的密鑰信息至少包括該MSS的AK。在目標(biāo)BS得到了與MSS相同的AK后,就可以與MSS派生出其他密鑰實(shí)現(xiàn)空中接口上數(shù)據(jù)和管理消息的安全傳輸。
從上述實(shí)施例1至實(shí)施例5所述的方法可以看出,在MSS切換導(dǎo)致Authenticator發(fā)生遷移的情況下,不需要觸發(fā)Authentication Server發(fā)起重鑒權(quán)過程,就可以在MSS和目標(biāo)BS之間迅速建立安全通道,節(jié)省了數(shù)據(jù)和信令的開銷,大大減少了建立安全通道的時(shí)間,提高了用戶的業(yè)務(wù)質(zhì)量。
如果上述過程發(fā)生故障,出現(xiàn)目標(biāo)BS或目標(biāo)Authenticator無法得到建立安全通道所需的密鑰信息,那么目標(biāo)Authenticator就將重新啟動(dòng)現(xiàn)有技術(shù)中,由MSS、目標(biāo)BS、目標(biāo)Authenticator和Authentication Server共同參與的完整的重新鑒權(quán)、授權(quán)和密鑰信息交換等過程,以在MSS和目標(biāo)BS之間建立新的根密鑰,新的AK以及其他相關(guān)密鑰,達(dá)到建立新的安全通道的目的。
權(quán)利要求
1.一種在無線接入網(wǎng)中建立安全通道的方法,其特征在于,所述方法在移動(dòng)用戶站發(fā)生切換時(shí)包括A、目標(biāo)基站獲得源服務(wù)端標(biāo)識;B、目標(biāo)基站根據(jù)所獲得的源服務(wù)器端標(biāo)識請求密鑰信息;C、目標(biāo)基站根據(jù)所述的密鑰信息與發(fā)生切換的移動(dòng)用戶站建立安全通道。
2.如權(quán)利要求1所述的方法,其特征在于,所述步驟B包括B11、目標(biāo)基站將獲得的源服務(wù)端標(biāo)識上傳給目標(biāo)鑒權(quán)者;B12、目標(biāo)鑒權(quán)者根據(jù)所述源服務(wù)端標(biāo)識確定源鑒權(quán)者的網(wǎng)絡(luò)標(biāo)識;B13、目標(biāo)鑒權(quán)者根據(jù)源鑒權(quán)者的網(wǎng)絡(luò)標(biāo)識向源鑒權(quán)者請求密鑰信息,并將從源鑒權(quán)者獲取的密鑰信息下發(fā)給目標(biāo)基站。
3.如權(quán)利要求2所述的方法,其特征在于,步驟A所述目標(biāo)基站獲得源服務(wù)端標(biāo)識包括在源基站接收到移動(dòng)用戶站發(fā)送的切換指示后,將源服務(wù)端標(biāo)識發(fā)送到目標(biāo)基站;目標(biāo)基站接收所述源服務(wù)端標(biāo)識。
4.如權(quán)利要求3所述的方法,其特征在于,所述源服務(wù)端標(biāo)識為源基站的網(wǎng)絡(luò)標(biāo)識。
5.如權(quán)利要求3所述的方法,其特征在于,所述源服務(wù)端標(biāo)識為源鑒權(quán)者的網(wǎng)絡(luò)標(biāo)識。
6.如權(quán)利要求2所述的方法,其特征在于,所述源服務(wù)端標(biāo)識為源基站的網(wǎng)絡(luò)標(biāo)識;步驟A所述目標(biāo)基站獲得源服務(wù)端標(biāo)識為目標(biāo)基站從切換進(jìn)入的移動(dòng)用戶站發(fā)送的接入消息中獲得源基站的網(wǎng)絡(luò)標(biāo)識。
7.如權(quán)利要求2所述的方法,其特征在于,所述源服務(wù)端標(biāo)識為源鑒權(quán)者的網(wǎng)絡(luò)標(biāo)識;步驟A所述目標(biāo)基站獲得源服務(wù)端標(biāo)識為目標(biāo)基站從切換進(jìn)入的移動(dòng)用戶站發(fā)送的接入消息中獲得源基站的網(wǎng)絡(luò)標(biāo)識;目標(biāo)基站根據(jù)源基站的網(wǎng)絡(luò)標(biāo)識向源基站請求源鑒權(quán)者的網(wǎng)絡(luò)標(biāo)識;源基站將控制自身的源鑒權(quán)者的網(wǎng)絡(luò)標(biāo)識發(fā)送給目標(biāo)基站。
8.如權(quán)利要求4或6所述的方法,其特征在于,步驟B12所述的根據(jù)所述源服務(wù)端標(biāo)識確定源鑒權(quán)者的網(wǎng)絡(luò)標(biāo)識為目標(biāo)鑒權(quán)者根據(jù)源基站的網(wǎng)絡(luò)標(biāo)識以及預(yù)先配置的基站與鑒權(quán)者控制關(guān)系對應(yīng)表查找得到控制源基站的源鑒權(quán)者的網(wǎng)絡(luò)標(biāo)識。
9.如權(quán)利要求5或7所述的方法,其特征在于,步驟B12所述的根據(jù)所述源服務(wù)端標(biāo)識確定源鑒權(quán)者的網(wǎng)絡(luò)標(biāo)識為目標(biāo)鑒權(quán)者將接收的源鑒權(quán)者的網(wǎng)絡(luò)標(biāo)識直接確定為源鑒權(quán)者的網(wǎng)絡(luò)標(biāo)識。
10.如權(quán)利要求2所述的方法,其特征在于,所述方法在步驟B12之后進(jìn)一步包括目標(biāo)鑒權(quán)者根據(jù)確定的源鑒權(quán)者的網(wǎng)絡(luò)標(biāo)識判斷在所述移動(dòng)用戶站的切換過程中是否發(fā)生了鑒權(quán)者遷移,如果是,則繼續(xù)執(zhí)行步驟B13;否則,目標(biāo)鑒權(quán)者直接下發(fā)與發(fā)生切換的移動(dòng)用戶站對應(yīng)的密鑰信息到目標(biāo)基站,目標(biāo)基站根據(jù)接收的密鑰信息與所述發(fā)生切換的移動(dòng)用戶站建立安全通道。
11.如權(quán)利要求1所述的方法,其特征在于,所述源服務(wù)端標(biāo)識為源鑒權(quán)者的網(wǎng)絡(luò)標(biāo)識;步驟A所述目標(biāo)基站獲得源服務(wù)端標(biāo)識為目標(biāo)基站從切換進(jìn)入的移動(dòng)用戶站發(fā)送的接入消息中獲得源基站的網(wǎng)絡(luò)標(biāo)識;目標(biāo)基站根據(jù)源基站的網(wǎng)絡(luò)標(biāo)識向源基站請求源鑒權(quán)者的網(wǎng)絡(luò)標(biāo)識;源基站將控制自身的源鑒權(quán)者的網(wǎng)絡(luò)標(biāo)識發(fā)送給目標(biāo)基站;或者為在源基站接收到移動(dòng)用戶站發(fā)送的切換指示后,將源鑒權(quán)者的網(wǎng)絡(luò)標(biāo)識發(fā)送到目標(biāo)基站;目標(biāo)基站接收所述源鑒權(quán)者的網(wǎng)絡(luò)標(biāo)識。
12.如權(quán)利要求11所述的方法,其特征在于,所述步驟B包括B21、目標(biāo)基站根據(jù)源鑒權(quán)者的網(wǎng)絡(luò)標(biāo)識直接向源鑒權(quán)者請求密鑰信息;B22、源鑒權(quán)者直接將建立安全通道所需的密鑰下發(fā)給目標(biāo)基站。
13.如權(quán)利要求1所述的方法,其特征在于,所述方法在步驟A之后進(jìn)一步包括目標(biāo)基站根據(jù)獲得的源服務(wù)端標(biāo)識判斷在所述移動(dòng)用戶站的切換過程中是否發(fā)生了鑒權(quán)者遷移,如果是,則繼續(xù)執(zhí)行步驟B;否則,目標(biāo)基站向目標(biāo)鑒權(quán)者請求所述移動(dòng)用戶站對應(yīng)的密鑰信息,目標(biāo)鑒權(quán)者將所述密鑰信息直接下發(fā)給目標(biāo)基站,目標(biāo)基站根據(jù)接收的密鑰信息與所述移動(dòng)用戶站建立安全通道。
14.如權(quán)利要求13所述的方法,其特征在于,所述源服務(wù)端標(biāo)識為源基站的網(wǎng)絡(luò)標(biāo)識;所述判斷為目標(biāo)基站查找自身存儲(chǔ)的、預(yù)先配置的、控制自身鑒權(quán)者所能控制的所有基站的網(wǎng)絡(luò)標(biāo)識列表,判斷所獲得的源基站網(wǎng)絡(luò)標(biāo)識是否在此列表中,如果在,則沒有發(fā)生鑒權(quán)者遷移;否則,就發(fā)生了鑒權(quán)者遷移。
15.如權(quán)利要求13所述的方法,其特征在于,所述源服務(wù)端標(biāo)識為源鑒權(quán)者的網(wǎng)絡(luò)標(biāo)識;所述判斷包括目標(biāo)基站根據(jù)自身存儲(chǔ)的、預(yù)先配置的、控制自身鑒權(quán)者的網(wǎng)絡(luò)標(biāo)識得到目標(biāo)鑒權(quán)者的網(wǎng)絡(luò)標(biāo)識;判斷所獲得的源鑒權(quán)者的網(wǎng)絡(luò)標(biāo)識與所述目標(biāo)鑒權(quán)者的網(wǎng)絡(luò)標(biāo)識是否相同,如果相同,則沒有發(fā)生鑒權(quán)者遷移;否則,發(fā)生了鑒權(quán)者遷移。
16.如權(quán)利要求1所述的方法,其特征在于,所述密鑰信息至少包括鑒權(quán)密鑰、該鑒權(quán)密鑰的標(biāo)識以及該鑒權(quán)密鑰的生命周期。
17.如權(quán)利要求1、10或13所述的方法,其特征在于,所述建立安全通道為目標(biāo)基站與移動(dòng)用戶站根據(jù)相同的密鑰信息派生出用于加密空中接口數(shù)據(jù)以及對管理消息進(jìn)行一致性檢驗(yàn)的密鑰,使用派生出的密鑰加密空中接口數(shù)據(jù),并對管理消息進(jìn)行一致性檢驗(yàn)。
全文摘要
本發(fā)明公開了一種在無線接入網(wǎng)中建立安全通道的方法,在移動(dòng)用戶站發(fā)生切換時(shí)包括目標(biāo)基站獲得源服務(wù)端標(biāo)識;目標(biāo)基站根據(jù)所獲得的源服務(wù)器端標(biāo)識請求密鑰信息;目標(biāo)基站根據(jù)所述密鑰信息與發(fā)生切換的移動(dòng)用戶站建立安全通道??梢栽谝苿?dòng)用戶站和目標(biāo)基站之間迅速建立安全通道,而不需要觸發(fā)鑒權(quán)服務(wù)器發(fā)起重鑒權(quán)過程,既節(jié)省了空中接口上數(shù)據(jù)和信令的開銷,又大大減少了建立安全通道的時(shí)間,提高了用戶的業(yè)務(wù)質(zhì)量。
文檔編號H04L9/32GK1794682SQ20051011698
公開日2006年6月28日 申請日期2005年10月28日 優(yōu)先權(quán)日2005年7月11日
發(fā)明者肖正飛 申請人:華為技術(shù)有限公司