專利名稱：：媒體接入控制系統(tǒng)中安全上下文的組織結(jié)構(gòu)和維護方法
技術(shù)領(lǐng)域：
：本發(fā)明涉及無線通信技術(shù)，特別涉及一種寬帶無線城域網(wǎng)基站媒體接入控制系統(tǒng)中安全上下文(SecurityContext)的組織結(jié)構(gòu)和維護方法。技術(shù)背景寬帶無線城域網(wǎng)是一種能夠在城域范圍內(nèi)提供高速無線接入的寬帶網(wǎng)絡(luò)。從文獻1"Part16:AirInterfaceforFixedandMobileBroadbandWirelessAccessSystems,IEEEStd802.16eTM-2005"中的記載可以看出，基站媒體接入控制系統(tǒng)中的認證授權(quán)過程實現(xiàn)了IEEE802.16e-2005標準中有關(guān)安全子層(SecuritySublayer)的一部分功能，包括基站對終端的認證和授權(quán)(AuthenticationandAuthorizati。n)、基站為終端分發(fā)通信加密密鑰以及服務(wù)流管理中安全相關(guān)的操作。在認證授權(quán)和密鑰分發(fā)的過程中，以及服務(wù)流管理安全相關(guān)的操作中，基站和終端對安全上下文進行更新維護并通過空口消息進行同步。雖然IEEE802.16e標準明確定義了終端發(fā)起認證授權(quán)請求和通信加密密鑰請求的流程，但沒有提供在此流程中安全上下文的組織和維護方法，因此有必要提供一種高效的安全上下文的組織和維護方法。
發(fā)明內(nèi)容本發(fā)明的目的是針對上述問題，提供一種寬帶無線城域網(wǎng)基站媒體接入控制系統(tǒng)中高效的安全上下文的組織結(jié)構(gòu)和維護方法。為了達到上述目的，本發(fā)明提供技術(shù)方案如下一種基站媒體接入控制系統(tǒng)中安全上下文的組織結(jié)構(gòu)，其特征是，包括用于管理授權(quán)密鑰上下文的連接標識哈希表；和用于管理通信加密密鑰上下文的安全關(guān)聯(lián)標識哈希表。優(yōu)選地，所述連接標識哈希表由終端的主管理連接標識符作為索引，所述連接標識哈希表的表項指向授權(quán)密鑰上下文節(jié)點組成的隊列；所述授權(quán)密鑰上下文節(jié)點包括主管理連接標識符、認證結(jié)果、安全關(guān)聯(lián)-通信加密密鑰握手流程進度、重認證標識符、新授權(quán)密鑰參數(shù)、舊授權(quán)密鑰參數(shù)和指向同一個終端所對應(yīng)的所有通信加密密鑰上下文節(jié)點組成的隊列的索引。優(yōu)選地，所述授權(quán)密鑰參數(shù)包括以下信息授權(quán)密鑰、授權(quán)密鑰標識符、授權(quán)密鑰生命周期、授權(quán)密鑰序列號和基站產(chǎn)生的隨機數(shù)。優(yōu)選地，所述安全關(guān)聯(lián)標識哈希表的表項指向由通信加密密鑰上下文節(jié)點組成的隊列，所述通信加密密鑰上下文節(jié)點包括主管理連接標識符、安全關(guān)聯(lián)描述符、服務(wù)流標識符、新通信加密密鑰參數(shù)和舊通信加密密鑰參數(shù)。優(yōu)選地，所述通信加密密鑰參數(shù)包括通信加密密鑰、通信加密密鑰生命周期和通信加密密鑰序列號。優(yōu)選地，所述安全關(guān)聯(lián)描述符包括安全關(guān)聯(lián)標識符，安全關(guān)聯(lián)類型和所支持的加解密算法；所述安全關(guān)聯(lián)標識哈希表由通信加密密鑰對應(yīng)的安全關(guān)聯(lián)標識符作為索引。一種媒體接入控制系統(tǒng)中安全上下文的維護方法，包括如下步驟步驟Sl，當對終端進行可擴展認證協(xié)議認證時，如果終端對應(yīng)的授權(quán)密鑰上下文節(jié)點尚未保存在連接標識哈希表中，則構(gòu)造并初始化該授權(quán)密鑰上下文節(jié)點插入到連接標識哈希表中，然后進行終端的身份合法性認證；如果在連接標識哈希表中搜索到對應(yīng)的授權(quán)密鑰上下文節(jié)點，則直接進行終端的身份合法性認證；認證完成后分配授權(quán)密鑰，并保存于授權(quán)密鑰上下文節(jié)點中，同時設(shè)置授權(quán)密鑰的上下文信息；步驟S2，當進行安全關(guān)聯(lián)-通信加密密鑰握手過程時，如果是初始認證，需要向終端發(fā)送授權(quán)訪問的安全關(guān)聯(lián)信息，包括安全關(guān)聯(lián)標識符、安全關(guān)聯(lián)類型和所支持的加解密算法；如果是重認證，則對終端原有的安全關(guān)聯(lián)更新，包括安全關(guān)聯(lián)標識符和對應(yīng)的通信加密密鑰信息；歩驟S3,當為終端分發(fā)通信加密密鑰時，基站接收到終端的通信加密密鑰請求后，如果是第一次請求且在安全關(guān)聯(lián)標識哈希表中沒有搜索到相應(yīng)通信加密密鑰上下文節(jié)點，則構(gòu)造通信加密密鑰上下文節(jié)點并插入安全關(guān)聯(lián)標識哈希表中，基站生成新通信加密密鑰和舊通信加密密鑰，將相關(guān)信息分別保存于通信加密密鑰上下文節(jié)點的新通信加密密鑰參數(shù)和舊通信加密密鑰參數(shù)中；如果是密鑰更新請求，則在安全關(guān)聯(lián)標識哈希表中搜索出相應(yīng)的通信加密密鑰上下文節(jié)點，基站產(chǎn)生新的通信加密密鑰，對通信加密密鑰上下文節(jié)點中的信息進行更新；然后將生成的通信加密密鑰進行加密后發(fā)送給終端；步驟S4，當創(chuàng)建服務(wù)流時，基站為新增的服務(wù)流分配安全關(guān)聯(lián)信息，包括安全關(guān)聯(lián)標識符、安全關(guān)聯(lián)類型和所支持的加解密算法；構(gòu)造通信加密密鑰上下文節(jié)點，將安全關(guān)聯(lián)信息保存其中；在服務(wù)流成功增加之后，基站將此服務(wù)流的信息和分配的安全關(guān)聯(lián)信息建立映射關(guān)系，并通知終端添加安全關(guān)聯(lián)信息；如果服務(wù)流沒有成功增加，則刪除已經(jīng)構(gòu)造的所述通信加密密鑰上下文節(jié)點，并回收已經(jīng)分配的所述安全關(guān)聯(lián)標識符。優(yōu)選地，所述步驟S1具體包括如下步驟步驟S1.1:基站接收到終端的認證開始消息，根據(jù)消息中主管理連接標識符在連接標識哈希表中搜索授權(quán)密鑰上下文節(jié)點；步驟S1.2:如果授權(quán)密鑰上下文節(jié)點不存在，進入步驟S1.3，否則，進入步驟S1.4;步驟S1.3:構(gòu)造并初始化授權(quán)密鑰上下文節(jié)點，將消息中的主管理連接標識符保存于授權(quán)密鑰上下文節(jié)點中的主管理連接標識符字段中；步驟S1.4:根據(jù)消息內(nèi)容判斷是否為重認證；步驟S1.5:如果不是重認證，進入步驟SL6，如果是重認證，進入步驟S1.7;步驟Sl.6:將授權(quán)密鑰上下文節(jié)點中重認證標識符設(shè)為不是重認證標識，進入步驟Sl.11;步驟SI.7:將授權(quán)密鑰上下文節(jié)點中重認證標識符設(shè)為是重認證標識，進入步驟S1.8;步驟S1.8:驗證消息認證碼是否有效，驗證消息中授權(quán)密鑰序列號和授權(quán)密鑰上下文節(jié)點中的對應(yīng)信息是否匹配；歩驟S1.9:如果驗證成功，進入步驟Sl.ll，否則進入步驟S1.10;步驟Sl.10:出錯結(jié)束；步驟S1.11:基站向認證服務(wù)器發(fā)送認證開始消息，并在終端和認證服務(wù)器間傳遞消息；步驟S1.12:認證成功，基站收到網(wǎng)絡(luò)控制與管理系統(tǒng)發(fā)送的會話主密鑰傳輸消息；步驟S1.13:根據(jù)會話主密鑰派生出授權(quán)密鑰，并且將授權(quán)密鑰保存在授權(quán)密鑰上下文節(jié)點中，并對授權(quán)密鑰上下文節(jié)點的字段進行設(shè)置；步驟Sl.14:認證過程成功結(jié)束。優(yōu)選地，步驟S2具體包括如下步驟步驟S2.1:基站生成隨機數(shù)，保存于終端的授權(quán)密鑰上下文節(jié)點中新授權(quán)密鑰參數(shù)的基站產(chǎn)生的隨機數(shù)字段中；步驟S2.2:根據(jù)安全關(guān)聯(lián)-通信加密密鑰握手流程進度字段判斷使用新授權(quán)密鑰或舊授權(quán)密鑰；步驟S2.3:構(gòu)造安全關(guān)聯(lián)-通信加密密鑰挑戰(zhàn)消息并發(fā)送，同時設(shè)置接收定時器；步驟S2.4:如果接收定時器超時，沒有收到終端的回復(fù)消息，進入步驟S2.5，否則進入步驟S2.8;步驟S2.5:判斷是否達到重發(fā)最大次數(shù)，如果沒有達到重發(fā)最大次數(shù)，進入步驟S2.6，否則進入步驟S2.7;步驟S2.6:重新發(fā)送安全關(guān)聯(lián)-通信加密密鑰挑戰(zhàn)消息，重新設(shè)置接收定時器；步驟S2.7:對終端進行完全重認證；步驟S2.8:基站接收到終端發(fā)送的安全關(guān)聯(lián)-通信加密密鑰請求消息；步驟S2.9:對安全關(guān)聯(lián)-通信加密密鑰請求消息進行解析；步驟S2.10:驗證消息認證碼是否有效，驗證消息中的基站產(chǎn)生的隨機數(shù)字段、授權(quán)密鑰標識符字段與授權(quán)密鑰上下文節(jié)點中的對應(yīng)信息是否匹配；步驟S2.11:如果安全關(guān)聯(lián)-通信加密密鑰請求消息有效，進入步驟S2.13，否則，進入步驟S2.12;步驟S2.12:出錯結(jié)束；步驟S2.13:根據(jù)授權(quán)密鑰上下文節(jié)點中重認證標識符判斷是否為重認證，如果是重認證，進入步驟S2.14，否則，進入步驟S2.16;步驟S2.14:構(gòu)造安全關(guān)聯(lián)-通信加密密鑰回復(fù)消息，進入歩驟S2.15;步驟S2.15:根據(jù)授權(quán)密鑰上下文節(jié)點中的安全關(guān)聯(lián)信息構(gòu)造安全關(guān)聯(lián)-通信加密密鑰更新信息，填入安全關(guān)聯(lián)-通信加密密鑰回復(fù)消息中，構(gòu)造完成后進入步驟S2.18;步驟S2.16:構(gòu)造安全關(guān)聯(lián)-通信加密密鑰回復(fù)消息，進入步驟S2.17;步驟S2.17:用終端和基站共同支持的加解密算法，構(gòu)造安全關(guān)聯(lián)描述符信息，填入安全關(guān)聯(lián)-通信加密密鑰回復(fù)消息中，構(gòu)造完成后進入步驟S2.18;步驟S2.18:發(fā)送安全關(guān)聯(lián)-通信加密密鑰回復(fù)消息；步驟S2.19:成功結(jié)束。優(yōu)選地，在所述步驟2.2中所述安全關(guān)聯(lián)-通信加密密鑰握手進度字段的設(shè)置方法，包括如下步驟步驟S5.1:將安全關(guān)聯(lián)-通信加密密鑰握手進度字段初始化；步驟S5.2:當基站獲得會話主密鑰并派生出授權(quán)密鑰之后，將安全關(guān)聯(lián)-通信加密密鑰握手進度字段設(shè)為第一取值；步驟S5.3:當基站發(fā)送安全關(guān)聯(lián)-通信加密密鑰挑戰(zhàn)消息之后，將安全關(guān)聯(lián)-通信加密密鑰握手進度字段設(shè)為第二取值；步驟S5.4:當基站發(fā)送安全關(guān)聯(lián)-通信加密密鑰回復(fù)消息之后，將安全關(guān)聯(lián)-通信加密密鑰握手進度字段設(shè)為第三取值。優(yōu)選地，在所述步驟2.2中根據(jù)安全關(guān)聯(lián)-通信加密密鑰握手進度字段來判斷使用新授權(quán)密鑰或舊授權(quán)密鑰的方法，具體包括如下步驟步驟S6.1:利用安全關(guān)聯(lián)-通信加密密鑰握手進度字段來判斷使用新授權(quán)密鑰或舊授權(quán)密鑰；步驟S6.2:如果安全關(guān)聯(lián)-通信加密密鑰握手進度字段為第一取值，進入步驟S6.3，否則進入步驟S6.4;步驟S6.3:使用舊授權(quán)密鑰；步驟S6.4:如果安全關(guān)聯(lián)-通信加密密鑰握手進度字段為第二取值，進入步驟S6.5，否則進入步驟S6.6;步驟S6.5:如果當前處于安全關(guān)聯(lián)-通信加密密鑰握手過程中，進入步驟S6.7，否則進入步驟S6.3;步驟S6.6:如果安全關(guān)聯(lián)-通信加密密鑰握手進度字段為第三取值，進入步驟S6.7，否則進入步驟S6.8;步驟S6.7:使用新授權(quán)密鑰；步驟S6.8:出錯結(jié)束。優(yōu)選地，所述步驟S3具體包括如下步驟步驟S3.1:基站接收到終端的密鑰請求消息，對消息進行解析；步驟S3.2:根據(jù)主管理連接標識符在連接標識哈希表中搜索授權(quán)密鑰上下文節(jié)點；步驟S3.3:如果搜索到授權(quán)密鑰上下文節(jié)點，進入步驟S3.4，否則進入步驟S3.11;步驟S3.4:根據(jù)授權(quán)密鑰上下文節(jié)點中認證結(jié)果標識判斷是否認證成功，如果成功進入步驟S3.5，否則進入步驟S3.11;步驟S3.5:驗證消息中密鑰序列號和授權(quán)密鑰上下文節(jié)點中授權(quán)密鑰參數(shù)中的序列號是否一致；步驟S3.6:如果消息中密鑰序列號和授權(quán)密鑰上下文節(jié)點中授權(quán)密鑰參數(shù)中的序列號一致，進入步驟S3.7，否則進入步驟S3.11;步驟S3.7:驗證授權(quán)密鑰剩余生命周期是否有效；步驟S3.8:如果生命周期有效，進入步驟S3.9，否則進入步驟S3.11;步驟S3.9:驗證消息認證碼是否有效；步驟S3.10:如果消息認證碼通過驗證，進入步驟S3.12，否則進入步驟S3.11;步驟S3.11:構(gòu)造并發(fā)送密鑰拒絕消息，進入步驟S3.25;步驟S3.12:根據(jù)消息中的安全關(guān)聯(lián)標識符在安全關(guān)聯(lián)標識哈希表中搜索通信加密密鑰上下文節(jié)點；步驟S3.13:如果找到通信加密密鑰上下文節(jié)點，進入歩驟S3.15，否則進入步驟S3.14;步驟S3.14:構(gòu)造并初始化一個通信加密密鑰上下文節(jié)點，插入到安全關(guān)聯(lián)標識哈希表中；步驟S3.15:生成通信加密密鑰、密鑰加密密鑰；步驟S3.16:根據(jù)通信加密密鑰上下文節(jié)點中安全關(guān)聯(lián)描述符中的密鑰加密算法對生成的通信加密密鑰進行加密；步驟S3.17:判斷是否是第一次申請密鑰；步驟S3.18:如果是第一次申請密鑰，進入步驟S3.21，否則進入步驟S3.19;步驟S3.19:將通信加密密鑰上下文節(jié)點中新通信加密密鑰參數(shù)信息保存到舊通信加密密鑰參數(shù)節(jié)點中，進入步驟S3.20;步驟S3.20:將經(jīng)過加密的通信加密密鑰信息保持在通信加密密鑰上下文節(jié)點的新通信加密密鑰參數(shù)節(jié)點中，進入步驟S3.24;步驟S3.21:再次生成通信加密密鑰、密鑰加密密鑰，并對通信加密密鑰進行加密，進入步驟S3.22;步驟S3.22:將第一次分配的密鑰信息保存于通信加密密鑰上下文節(jié)點的舊通信加密密鑰參數(shù)中，進入步驟S3.23;步驟S3.23:將第二次分配的密鑰信息保存于通信加密密鑰上下文節(jié)點的新通信加密密鑰參數(shù)中，進入步驟S3.24;歩驟S3.24:構(gòu)造并發(fā)送密鑰回復(fù)消息，進入步驟S3.25;步驟S3.25:結(jié)束。優(yōu)選地，所述步驟S4具體包括如下步驟步驟S4.1:開始創(chuàng)建服務(wù)流，分配動態(tài)安全關(guān)聯(lián)標識符；步驟S4.2:如果成功分配，進入步驟S4.3，否則進入步驟S4.6;步驟S4.3:構(gòu)造通信加密密鑰上下文節(jié)點插入到安全關(guān)聯(lián)標識哈希表中，并將分配的動態(tài)安全關(guān)聯(lián)標識符存儲到通信加密密鑰上下文節(jié)點的安全關(guān)聯(lián)描述符中；步驟S4.4:根據(jù)主管理連接標識符在連接標識哈希表中搜索授權(quán)密鑰上下文節(jié)點；步驟S4.5:如果找到對應(yīng)的授權(quán)密鑰上下文節(jié)點，則進入步驟S4.7，否則進入步驟S4.6;步驟S4.6:出錯結(jié)束；步驟S4.7:將授權(quán)密鑰上下文節(jié)點中加解密信息保存到通信加密密鑰上下文節(jié)點的安全關(guān)聯(lián)描述符中；步驟S4.8:將此通信加密密鑰上下文節(jié)點插入到同一個終端所對應(yīng)的所有通信加密密鑰上下文節(jié)點組成的隊列中；步驟S4.9:等待服務(wù)流創(chuàng)建確認信息，如果服務(wù)流創(chuàng)建成功，進入步驟S4.12，否則進入步驟S4.10;步驟S4.10:將創(chuàng)建的通信加密密鑰上下文節(jié)點從安全關(guān)聯(lián)標識哈希表中刪除；步驟S4.11:將分配的動態(tài)安全關(guān)聯(lián)標識符回收，進入步驟S4.6結(jié)束；步驟S4.12:將服務(wù)流標識符保存到通信加密密鑰上下文節(jié)點的服務(wù)流標識符字段中；步驟S4.13:將分配的動態(tài)安全關(guān)聯(lián)標識符保存到服務(wù)流信息的相關(guān)字段中；步驟S4.14:構(gòu)造并向終端發(fā)送安全關(guān)聯(lián)增加消息；步驟S4.15:成功結(jié)束。與現(xiàn)有技術(shù)相比，本發(fā)明的有益技術(shù)效果是(1)現(xiàn)有技術(shù)中沒有公開媒體接入控制系統(tǒng)中安全上下文的組織結(jié)構(gòu)和維護方法，而本發(fā)明實現(xiàn)了安全上下文的組織和維護；(2)本發(fā)明采用多級哈希隊列的方式組織數(shù)據(jù)，能實現(xiàn)快速查找，相對于單一隊列式存儲方式，在終端較多時，可以提高索引效率；相對于數(shù)組式存儲方式，在數(shù)據(jù)量較大時，可以很大程度提高數(shù)據(jù)的維護效率。圖1是本發(fā)明實施例的基站對終端EAP認證過程中安全上下文的維護方法流程圖。圖2是本發(fā)明實施例的基站和終端進行SA-TEK三次握手過程中對安全上下文的維護方法流程圖。圖3是本發(fā)明實施例的基站為終端分發(fā)通信加密密鑰過程中對安全上下文的維護方法流程圖。圖4是本發(fā)明實施例的基站在服務(wù)流創(chuàng)建過程中對安全上下文的維護方法流程圖。圖5是本發(fā)明實施例的授權(quán)密鑰上下文中安全關(guān)聯(lián)-通信加密密鑰握手進度字段(i即—ack)的設(shè)置方法流程圖以及使用安全關(guān)聯(lián)-通信加密密鑰握手進度字段來判斷使用新或舊授權(quán)密鑰(AK)的方法流程圖。具體實施方式下面結(jié)合附圖與具體實施方式對本發(fā)明作進一步詳細描述。終端對應(yīng)的安全上下文分為授權(quán)密鑰(AK)上下文和通信加密密鑰(TEK)上下文，密鑰上下文包括密鑰值，密鑰序列號，密鑰生命周期等信息。作為一種可實施的方式，本發(fā)明的媒體接入控制系統(tǒng)中安全上下文的組織結(jié)構(gòu)包括用于管理授權(quán)密鑰上下文的連接標識(CID)哈希表。較佳地，所述連接標識(CID)哈希表由終端的主管理連接標識符作為索引，其表項指向授權(quán)密鑰上下文節(jié)點(AkNode)組成的隊列，所述授權(quán)密鑰上下文節(jié)點(AkNode)中保存授權(quán)密鑰上下文，包括以下信息PrimaryCID主管理連接標識符Authenticationresult認證結(jié)果Implicitacknowledgementstate安全關(guān)聯(lián)-通信加密密鑰(SA-TEK)三次握手流程進度Re-authenticgitionflag重認證標識符NewAKparameters新授權(quán)密鑰參數(shù)OldAKparameters舊授權(quán)密鑰參數(shù)TekNodelistpointer指向同一個終端所對應(yīng)的所有TekNode組成的隊列的索引本發(fā)明在授權(quán)密鑰上下文節(jié)點中包括指向同一個終端所對應(yīng)的所有TekNode組成的隊列的索引，這樣可以使得同一個終端的通信加密密鑰上下文節(jié)點(TekNode)組成的隊列連接到對應(yīng)的授權(quán)密鑰上下文節(jié)點(AkNode)，在兩個哈希表中進行快速交叉索引，通過AkNode可以搜索到終端對應(yīng)的所有TekNode,而通過終端的任意一個TekNode也可以搜索到終端的AkNode。較佳地，所述授權(quán)密鑰參數(shù)(AKparameters)包括以下信息:AK授權(quán)密鑰AKID授權(quán)密鑰標識符AKlifetime授權(quán)密鑰生命周期AKsequencenumber授權(quán)密鑰序列號BS一Random基站產(chǎn)生的隨機數(shù)用于管理通信加密密鑰上下文的安全關(guān)聯(lián)標識(SAID)哈希表。較佳地，所述安全關(guān)聯(lián)標識(SAID)哈希表的表項指向由通信加密密鑰上下文節(jié)點(TekNode)組成的隊列，所述通信加密密鑰上下文節(jié)點中保存通信加密密鑰上下文。較佳地，每個終端對應(yīng)一個授權(quán)密鑰上下文節(jié)點，并至少對應(yīng)一個通信加密密鑰上下文節(jié)點；對應(yīng)同一個終端的通信加密密鑰組成的隊列連接到該終端對應(yīng)的授權(quán)密鑰上下文節(jié)點。較佳地，所述通信加密密鑰上下文節(jié)點(TekNode)包括以下信息PrimaryCID主管理連接標識符SA—Descriptor安全關(guān)聯(lián)(SA)描述符ServiceflowID服務(wù)流標識符NewTEKparameters新TEK參數(shù)OldTEKparameters舊TEK參數(shù)較佳地，所述通信加密密鑰參數(shù)(TEKparameters)包括以下信息:<table>tableseeoriginaldocumentpage20</column></row><table>所述安全關(guān)聯(lián)標識(SAID)哈希表由通信加密密鑰對應(yīng)的安全關(guān)聯(lián)標識符(SAID)作為索引，其表項指向由通信加密密鑰上下文節(jié)點(TekNode)所組成的隊列。從上面的實施可以看出，本發(fā)明的媒體接入控制系統(tǒng)中安全上下文的組織結(jié)構(gòu)采取多級哈希隊列方式對安全上下文進行分類存儲，構(gòu)建授權(quán)密鑰(AK)上下文節(jié)點(AkNode)保存授權(quán)密鑰(AK)上下文，構(gòu)建通信加密密鑰(TEK)上下文節(jié)點(TekNode)保存通信加密密鑰(TEK)上下文，構(gòu)建連接標識(CID)哈希表和安全關(guān)聯(lián)標識(SAID)哈希表，連接標識(CID)哈希表的表項指向授權(quán)密鑰上下文節(jié)點組成的隊列，安全關(guān)聯(lián)標識(SAID)哈希表的表項指向通信加密密鑰上下文節(jié)點組成的隊列。每個終端擁有一個授權(quán)密鑰上下文節(jié)點，可以擁有多個通信加密密鑰上下文節(jié)點；同一個終端的通信加密密鑰上下文節(jié)點組成的隊列連接到對應(yīng)的授權(quán)密鑰上下文節(jié)點，在兩個哈希表中進行快速交叉索引，通過授權(quán)密鑰上下文節(jié)點可以搜索到終端對應(yīng)的所有通信加密密鑰上下文節(jié)點，而通過終端的任意一個通信加密密鑰上下文節(jié)點也可以搜索到終端的授權(quán)密鑰上下文節(jié)點。采用這樣的方式組織數(shù)據(jù)，相對于單一隊列式存儲方式，在終端較多時，可以提高效率；相對于數(shù)組式存儲方式，在數(shù)據(jù)量較大時，又可以很大程度提高數(shù)據(jù)的維護效率。。在對終端進行可擴展認證協(xié)議(EAP)認證、安全關(guān)聯(lián)-通信加密密鑰(SA-TEK)三次握手、為終端分發(fā)通信加密密鑰的過程中，以及服務(wù)流創(chuàng)建過程中安全相關(guān)的操作中，在哈希表中搜索到相應(yīng)的上下文節(jié)點，對節(jié)點中的相關(guān)字段進行操作，以對安全上下文進行維護。作為一種可實施的方式，本發(fā)明的媒體接入控制系統(tǒng)中安全上下文的維護方法，包括如下步驟步驟S1，當對終端的可擴展認證協(xié)議(EAP)認證時，如果終端對應(yīng)的授權(quán)密鑰上下文節(jié)點尚未保存在連接標識哈希表中，則構(gòu)造并初始化該授權(quán)密鑰上下文節(jié)點插入到連接標識哈希表中，然后進行終端的身份合法性認證；如果在連接標識哈希表中搜索到對應(yīng)的授權(quán)密鑰上下文節(jié)點，則直接進行終端的身份合法性認證；認證完成后分配授權(quán)密鑰(AK)，保存于授權(quán)密鑰上下文節(jié)點(AkNode)中，同時設(shè)置(AK)的其他上下文信息，包括序列號、生命周期、標識符等。EAP認證過程需要外部認證服務(wù)器的協(xié)同工作。較佳地，如圖1所示，所述歩驟S1具體包括如下步驟步驟Sl.1:基站接收到終端的EAP認證開始消息(PKMv2EAP-Start)，開始認證過程，根據(jù)消息中主管理連接標識符在連接標識哈希表中搜索授權(quán)密鑰上下文節(jié)點；步驟S1.2:如果授權(quán)密鑰上下文節(jié)點(AkNode)不存在，進入步驟S1.3，否則，進入步驟S1.4;步驟S1.3:構(gòu)造并初始化授權(quán)密鑰上下文節(jié)點(AkNode)，將消息中的主管理連接標識符(PrimaryCID)保存于授權(quán)密鑰上下文節(jié)點(AkNode)中的主管理連接標識符(PrimaryCID)字段中；步驟S1.4:根據(jù)消息體是否包含密鑰序列號以及消息認證碼來判斷是否為重認證，如果包含密鑰序列號以及消息認證碼，則為重認證，否則為初始認證；步驟S1.5:如果不是重認證，進入步驟S1.6，如果是重認證，進入步驟Sl.7;步驟S1.6:將授權(quán)密鑰上下文節(jié)點(AkNode)中重認證標識符設(shè)為不是重認證標志，比如設(shè)為0，進入步驟S1.11;步驟S1.7:將授權(quán)密鑰上下文節(jié)點(AkNode)中重認證標識符設(shè)為是重認證標志，比如設(shè)為l，進入步驟S1.8;步驟S1.8:驗證消息認證碼是否有效，驗證消息中授權(quán)密鑰(AK)序列號和授權(quán)密鑰上下文節(jié)點(AkNode)中的對應(yīng)信息是否匹配；步驟S1.9:如果驗證成功，進入步驟Sl.ll，否則進入歩驟Sl.10;步驟Sl.10:出錯結(jié)束；步驟S1.11:基站向認證服務(wù)器發(fā)送認證開始消息，在終端和認證服務(wù)器間傳遞消息。此步驟包含多次消息的交互，認證過程中，基站并不解析消息，只是在終端和認證服務(wù)器間傳遞認證相關(guān)信息。步驟S1.12:認證成功，基站收到網(wǎng)絡(luò)控制與管理系統(tǒng)(NCMS)發(fā)送的會話主密鑰傳輸消息(MSKJYansfer)，里面包括認證生成的會話主密鑰(MSK);步驟S1.13:根據(jù)會話主密鑰(MSK)派生出授權(quán)密鑰(AK)，并且將授權(quán)密鑰保存在授權(quán)密鑰上下文節(jié)點中，并對授權(quán)密鑰上下文節(jié)點的相關(guān)字段進行設(shè)置，比如密鑰序列號，密鑰的生命周期等；步驟S1.14:認證過程成功結(jié)束。開始進行安全關(guān)聯(lián)-通信加密密鑰(SA-TEK)三次握手過程。步驟S2，當進行安全關(guān)聯(lián)-通信加密密鑰(SA-TEK)三次握手過程，從而完成基站和終端安全能力的協(xié)商時，如果是初始認證，需要向終端發(fā)送授權(quán)訪問的安全關(guān)聯(lián)(SA)的信息，包括安全關(guān)聯(lián)標識符(SAID)、安全關(guān)聯(lián)類型、以及所支持的加解密算法；如果是重認證，則對終端原有的安全關(guān)聯(lián)更新，包括安全關(guān)聯(lián)標識符(SAID)和對應(yīng)的通信加密密鑰(TEK)信息。安全關(guān)聯(lián)-通信加密密鑰(SA-TEK)三次握手完成后，認證授權(quán)過程完成。較佳地，如圖2所示，步驟S2具體包括如下步驟步驟S2.1:基站生成隨機數(shù)，保存于終端的授權(quán)密鑰上下文節(jié)點(AkNode)中新授權(quán)密鑰(AK)參數(shù)的基站產(chǎn)生的隨機數(shù)(BS—Random)字段中；步驟S2.2:根據(jù)授權(quán)密鑰(AK)參數(shù)中安全關(guān)聯(lián)-通信加密密鑰三次握手流程進度(Implicitacknowledgementstate)字段判斷使用新授權(quán)密鑰或舊授權(quán)密鑰。較佳地，授權(quán)密鑰上下文節(jié)點(AkNode)中表征安全關(guān)聯(lián)-通信加密密鑰(SA-TEK)三次握手進度的安全關(guān)聯(lián)-通信加密密鑰握手進度字段(implicitacknowledgementstate,以下簡禾爾imp一ack)的設(shè)置方法，如圖5所示，包括如下步驟步驟S5.1:將安全關(guān)聯(lián)-通信加密密鑰握手進度字段初始化，比如初始值為-l;步驟S5.2:當基站獲得會話主密鑰(MSK)并派生出授權(quán)密鑰(AK)之后，將安全關(guān)聯(lián)-通信加密密鑰握手進度字段設(shè)為第一取值，比如為O;步驟S5.3:當基站發(fā)送安全關(guān)聯(lián)-通信加密密鑰挑戰(zhàn)消息(PKMv2SA-TEKChallenge)之后，將安全關(guān)聯(lián)-通信加密密鑰握手進度字段設(shè)為第二取值，比如為1;步驟S5.4:當基站發(fā)送安全關(guān)聯(lián)-通信加密密鑰回復(fù)消息(PKMv2SA-TEKResponse)之后，將安全關(guān)聯(lián)-通信加密密鑰握手進度字段設(shè)為第三取值，比如為2。較佳地，在所述步驟S1中成功認證之后，基站和終端間的管理消息需要經(jīng)過消息認證碼的驗證，生成和驗證消息認證碼需要從授權(quán)密鑰派生出消息認證碼密鑰，此時用安全關(guān)聯(lián)-通信加密密鑰握手進度字段(imp_ack)來判斷使用新授權(quán)密鑰或舊授權(quán)密鑰派生消息認證碼密鑰。判斷使用新授權(quán)密鑰或舊授權(quán)密鑰的方法，如圖5所示，具體包括如下步驟步驟S6.1:利用安全關(guān)聯(lián)-通信加密密鑰握手進度字段(imp_ack)來判斷使用新授權(quán)密鑰或舊授權(quán)密鑰；步驟S6.2:如果安全關(guān)聯(lián)-通信加密密鑰握手進度字段(imp一ack)為第一取值，進入步驟S6.3，否則進入步驟S6.4;步驟S6.3:使用舊授權(quán)密鑰；步驟S6.4:如果安全關(guān)聯(lián)-通信加密密鑰握手進度字段(imp—ack)為第二取值，進入步驟S6.5，否則進入步驟S6.6;步驟S6.5:如果當前處于安全關(guān)聯(lián)-通信加密密鑰(SA-TEK)三次握手過程中，進入步驟S6.7，否則進入步驟S6.3;步驟S6.6:如果安全關(guān)聯(lián)-通信加密密鑰握手進度字段(imp_ack)為第三取值，進入步驟S6.7，否則進入步驟S6.8;步驟S6.7:使用新授權(quán)密鑰；步驟S6.8:出錯結(jié)束。步驟S2.3:構(gòu)造安全關(guān)聯(lián)-通信加密密鑰挑戰(zhàn)消息(PKMv2SA-TEKChallenge)并發(fā)送，同時設(shè)置接收定時器；200710304655.8說明書第16/20頁步驟S2.4:如果接收定時器超時，沒有收到終端的回復(fù)消息，進入步驟S2.5，否則進入步驟S2.8;步驟S2.5:判斷是否達到IEEE802.16e規(guī)定的重發(fā)最大次數(shù)，如果沒有達到重發(fā)最大次數(shù)，進入步驟S2.6，否則進入歩驟S2.7;步驟S2.6:重新發(fā)送安全關(guān)聯(lián)-通信加密密鑰挑戰(zhàn)消息(PKMv2SA-TEKChallenge),重新設(shè)置接收定時器；步驟S2.7:對終端進行完全重認證；步驟S2.8:基站接收到終端發(fā)送的安全關(guān)聯(lián)-通信加密密鑰請求消息(PKMv2SA-TEKRequest);步驟S2.9:對安全關(guān)聯(lián)-通信加密密鑰請求消息(P認v2SA-TEKRequest)進行解析；步驟S2.10:驗證消息認證碼是否有效，驗證消息中的基站產(chǎn)生的隨機數(shù)(BS—Random)字段、授權(quán)密鑰標識符(AK—ID)字段與授權(quán)密鑰上下文節(jié)點(AkNode)中的對應(yīng)信息是否匹配；步驟S2.11:如果安全關(guān)聯(lián)-通信加密密鑰請求消息(PKMv2SA-TEKRequest)有效，進入步驟S2.13，否則，進入步驟S2.12;步驟S2.12:出錯結(jié)束；步驟S2.13:根據(jù)授權(quán)密鑰上下文節(jié)點(AkNode)中重認證標識符判斷是否為重認證，如果是重認證，進入步驟S2.14，否則，進入步驟S2.16;步驟S2.14:構(gòu)造安全關(guān)聯(lián)-通信加密密鑰回復(fù)消息(PKMv2SA-TEKResponse),進入步驟S2.15;步驟S2.15:根據(jù)授權(quán)密鑰上下文節(jié)點(AkNode)中的安全關(guān)聯(lián)信息構(gòu)造安全關(guān)聯(lián)-通信加密密鑰更新信息(SA-TEK-UpdateTLV)，填入安全關(guān)聯(lián)-通信加密密鑰回復(fù)消息(PKMv2SA-TEKResponse)中，構(gòu)造完成后進入步驟S2.18;步驟S2.16:構(gòu)造安全關(guān)聯(lián)-通信加密密鑰回復(fù)消息(PKMv2SA-TEKResponse),進入步驟S2.17;步驟S2.17:選用終端和基站共同支持的加解密算法，構(gòu)造安全關(guān)聯(lián)描述符信息(SA—DescriptorTLV)，填入安全關(guān)聯(lián)-通信加密密鑰回復(fù)消息(PKMv2SA-TEKResponse)中，構(gòu)造完成后進入步驟S2.18;步驟S2.18:發(fā)送安全關(guān)聯(lián)-通信加密密鑰回復(fù)消息(P認v2SA-TEKResponse);步驟S2.19:成功結(jié)束。步驟S3，當為終端分發(fā)通信加密密鑰(TEK)時，基站接收到終端的通信加密密鑰(TEK)請求后，如果該請求是第一次請求且在安全關(guān)聯(lián)標識(SAID)哈希表中沒有搜索到相應(yīng)通信加密密鑰上下文節(jié)點(TekNode)，則構(gòu)造通信加密密鑰上下文節(jié)點并插入安全關(guān)聯(lián)標識哈希表中，基站生成新通信加密密鑰和舊通信加密密鑰，將相關(guān)信息分別保存于通信加密密鑰上下文節(jié)點的新通信加密密鑰參數(shù)和舊通信加密密鑰參數(shù)中；如果該請求是密鑰更新請求，則在安全關(guān)聯(lián)標識哈希表中搜索出相應(yīng)的通信加密密鑰上下文節(jié)點，基站產(chǎn)生新的通信加密密鑰，對通信加密密鑰上下文節(jié)點中的信息進行更新；然后將生成的通信加密密鑰進行加密后發(fā)送給終端；較佳地，如圖3所示，所述步驟S3具體包括如下步驟步驟S3.1:基站接收到終端的密鑰請求消息(PKMv2KeyRequest),對消息進行解析；步驟S3.2:根據(jù)主管理連接標識符(PrimaryCID)在連接標識哈希表中搜索授權(quán)密鑰上下文節(jié)點(AkNode);步驟S3.3:如果搜索到授權(quán)密鑰上下文節(jié)點，進入步驟S3.4，否則進入步驟S3.11;步驟S3.4:根據(jù)授權(quán)密鑰上下文節(jié)點中認證結(jié)果標識判斷是否認證成功(比如判斷是否為l)，如果成功進入步驟S3.5，否則進入步驟S3.11;步驟S3.5:驗證消息中密鑰序列號和授權(quán)密鑰上下文節(jié)點中授權(quán)密鑰參數(shù)中的序列號是否一致；步驟S3.6:如果消息中密鑰序列號和授權(quán)密鑰上下文節(jié)點中授權(quán)密鑰參數(shù)中的序列號是一致，進入步驟S3.7，否則進入步驟S3.11;步驟S3.7:驗證授權(quán)密鑰(AK)剩余生命周期是否有效；歩驟S3.8:如果生命周期有效，進入步驟S3.9，否則進入步驟S3.11;步驟S3.9:驗證消息認證碼是否有效；步驟S3.10:如果消息認證碼通過驗證，進入步驟S3.12，否則進入步驟S3.11;步驟S3.11:構(gòu)造并發(fā)送密鑰拒絕消息(PKMv2KeyReject),進入步驟S3.25;步驟S3.12:根據(jù)消息中的安全關(guān)聯(lián)標識符(SAID)在安全關(guān)聯(lián)標識哈希表中搜索通信加密密鑰上下文節(jié)點(TekNode);步驟S3.13:如果找到通信加密密鑰上下文節(jié)點，進入步驟S3.15，否則進入步驟S3.14;步驟S3.14:沒有找到通信加密密鑰上下文節(jié)點證明終端是第一次申請通信加密密鑰，構(gòu)造并初始化一個通信加密密鑰上下文節(jié)點，插入到安全關(guān)聯(lián)標識哈希表中；步驟S3.15:生成通信加密密鑰、密鑰加密密鑰；步驟S3.16:根據(jù)通信加密密鑰上下文節(jié)點中安全關(guān)聯(lián)描述符(SA—Descriptor)中的密鑰加密算法對生成的通信加密密鑰進行加密；步驟S3.17:判斷是否是第一次申請密鑰；這里的判斷方法很多，是本領(lǐng)域技術(shù)人員熟知的技術(shù)，比如通信加密密鑰信息是否仍然是初始化時的值，如果仍然是初始化時的值，則判斷是第一次申請密鑰。步驟S3.18:如果是第一次申請密鑰，進入步驟S3.21，否則進入步驟S3.19;步驟S3.19:將通信加密密鑰上下文節(jié)點中新通信加密密鑰參數(shù)信息保存到舊通信加密密鑰參數(shù)節(jié)點中，進入步驟S3.20;步驟S3.20:將經(jīng)過加密的通信加密密鑰信息保持在通信加密密鑰上下文節(jié)點的新通信加密密鑰參數(shù)節(jié)點中，進入步驟S3.24;步驟S3.21:再次生成通信加密密鑰、密鑰加密密鑰，并對通信加密密鑰進行加密，進入步驟S3.22;步驟S3.22:將第一次分配的密鑰信息保存于通信加密密鑰上下文節(jié)點的舊通信加密密鑰參數(shù)中，進入步驟S3.23;步驟S3.23:將第二次分配的密鑰信息保存于通信加密密鑰上下文節(jié)點的新通信加密密鑰參數(shù)中，進入步驟S3.24;歩驟S3.24:構(gòu)造并發(fā)送密鑰回復(fù)消息(PKMv2KeyR印ly)消息，進入步驟S3.25;步驟S3.25:結(jié)束。步驟S4，當創(chuàng)建服務(wù)流時，基站為新增的服務(wù)流分配安全關(guān)聯(lián)信息，包括安全關(guān)聯(lián)標識符(SAID)、安全關(guān)聯(lián)類型、以及所支持的加解密算法；構(gòu)造一個通信加密密鑰上下文節(jié)點，但并不分配通信加密密鑰(TEK)，只是將安全關(guān)聯(lián)信息保存其中；在服務(wù)流成功增加之后，基站將此服務(wù)流的信息和分配的安全關(guān)聯(lián)信息建立映射關(guān)系，并通知終端添加安全關(guān)聯(lián)信息；如果服務(wù)流沒有成功增加，則刪除已經(jīng)構(gòu)造的所述通信加密密鑰上下文節(jié)點，并回收已經(jīng)分配的所述安全關(guān)聯(lián)標識符。較佳地，如圖4所示，所述歩驟S4具體包括如下步驟步驟S4.1:開始創(chuàng)建服務(wù)流，分配動態(tài)安全關(guān)聯(lián)標識符(SAID);步驟S4.2:如果成功分配，進入歩驟S4.3，否則進入步驟S4.6;步驟S4.3:構(gòu)造通信加密密鑰上下文節(jié)點插入到安全關(guān)聯(lián)標識哈希表中，并將分配的動態(tài)安全關(guān)聯(lián)標識符(SAID)存儲到通信加密密鑰上下文節(jié)點的安全關(guān)聯(lián)描述符(SA—Descriptor)中；步驟S4.4:根據(jù)主管理連接標識符(PrimaryCID)在連接標識(CID)哈希表中搜索授權(quán)密鑰上下文節(jié)點；步驟S4.5:如果找到對應(yīng)的授權(quán)密鑰上下文節(jié)點，則進入步驟S4.7，否則進入步驟S4.6;步驟S4.6:出錯結(jié)束；步驟S4.7:將授權(quán)密鑰上下文節(jié)點中加解密信息保存到通信加密密鑰上下文節(jié)點的安全關(guān)聯(lián)描述符(SA—Descriptor)中；步驟S4.8:將此通信加密密鑰上下文節(jié)點(TekNode)插入到授權(quán)密鑰上下文節(jié)點(AkNode)中指向同一個終端所對應(yīng)的所有通信加密密鑰上下文節(jié)點(TekNode)組成的隊列的索引(TekNodelistpointer)所指向的屬于同一個終端的所有通信加密密鑰上下文節(jié)點(TekNode)組成的隊列中；步驟S4.9:等待服務(wù)流創(chuàng)建確認信息，如果服務(wù)流創(chuàng)建成功，進入歩驟S4.12，否則進入步驟S4.10;步驟S4.10:將創(chuàng)建的通信加密密鑰上下文節(jié)點(TekNode)從安全關(guān)聯(lián)標識哈希表中刪除；步驟S4.11:將分配的動態(tài)安全關(guān)聯(lián)標識符(SAID)回收，進入步驟S4.6結(jié)束；步驟S4.12:將服務(wù)流標識符保存到通信加密密鑰上下文節(jié)點(TekNode)的服務(wù)流標識符(ServiceFlowID)字段中；步驟S4.13:將分配的動態(tài)安全關(guān)聯(lián)標識符(SAID)保存到服務(wù)流信息的相關(guān)字段中；步驟S4.14:構(gòu)造并向終端發(fā)送安全關(guān)聯(lián)增加消息(PKMSA-ADD);步驟S4.15:成功結(jié)束。現(xiàn)有技術(shù)中沒有公開媒體接入控制系統(tǒng)中安全上下文的組織結(jié)構(gòu)和維護方法，而本發(fā)明實現(xiàn)了安全上下文的組織和維護；本發(fā)明采用多級哈希隊列的方式組織數(shù)據(jù)，能實現(xiàn)快速査找，相對于單一隊列式存儲方式，在終端較多時，可以提高效率；相對于數(shù)組式存儲方式，在數(shù)據(jù)量較大時，可以很大程度提高數(shù)據(jù)的維護效率。以上所述內(nèi)容，僅為本發(fā)明具體的實施方式，但本發(fā)明的保護范圍并不局限于此，任何熟悉本
技術(shù)領(lǐng)域：
的技術(shù)人員在本發(fā)明揭露的技術(shù)范圍內(nèi)，可輕易想到的變化或替換，都應(yīng)涵蓋在本發(fā)明的保護范圍內(nèi)。權(quán)利要求1、一種基站媒體接入控制系統(tǒng)中安全上下文的組織結(jié)構(gòu)，其特征是，包括用于管理授權(quán)密鑰上下文的連接標識哈希表；和用于管理通信加密密鑰上下文的安全關(guān)聯(lián)標識哈希表。2、根據(jù)權(quán)利要求1所述的媒體接入控制系統(tǒng)中安全上下文的組織結(jié)構(gòu)，其特征是，所述連接標識哈希表由終端的主管理連接標識符作為索引，所述連接標識哈希表的表項指向授權(quán)密鑰上下文節(jié)點組成的隊列；所述授權(quán)密鑰上下文節(jié)點包括主管理連接標識符、認證結(jié)果、安全關(guān)聯(lián)-通信加密密鑰握手流程進度、重認證標識符、新授權(quán)密鑰參數(shù)、舊授權(quán)密鑰參數(shù)和指向同一個終端所對應(yīng)的所有通信加密密鑰上下文節(jié)點組成的隊列的索引。3、根據(jù)權(quán)利要求2所述的媒體接入控制系統(tǒng)中安全上下文的組織結(jié)構(gòu)，其特征是，所述授權(quán)密鑰參數(shù)包括以下信息授權(quán)密鑰、授權(quán)密鑰標識符、授權(quán)密鑰生命周期、授權(quán)密鑰序列號和基站產(chǎn)生的隨機數(shù)。4、根據(jù)權(quán)利要求1所述的媒體接入控制系統(tǒng)中安全上下文的組織結(jié)構(gòu)，其特征是，所述安全關(guān)聯(lián)標識哈希表的表項指向由通信加密密鑰上下文節(jié)點組成的隊列，所述通信加密密鑰上下文節(jié)點包括主管理連接標識符、安全關(guān)聯(lián)描述符、服務(wù)流標識符、新通信加密密鑰參數(shù)和舊通信加密密鑰參數(shù)。5、根據(jù)權(quán)利要求4所述的媒體接入控制系統(tǒng)中安全上下文的組織結(jié)構(gòu)，其特征是，所述通信加密密鑰參數(shù)包括通信加密密鑰、通信加密密鑰生命周期和通信加密密鑰序列號。6、根據(jù)權(quán)利要求4所述的媒體接入控制系統(tǒng)中安全上下文的組織結(jié)構(gòu)，其特征是，所述安全關(guān)聯(lián)描述符包括安全關(guān)聯(lián)標識符，安全關(guān)聯(lián)類型和所支持的加解密算法；所述安全關(guān)聯(lián)標識哈希表由通信加密密鑰對應(yīng)的安全關(guān)聯(lián)標識符作為索引。7、一種媒體接入控制系統(tǒng)中安全上下文的維護方法，包括如下步驟步驟Sl，當對終端進行可擴展認證協(xié)議認證時，如果終端對應(yīng)的授權(quán)密鑰上下文節(jié)點尚未保存在連接標識哈希表中，則構(gòu)造并初始化該授權(quán)密鑰上下文節(jié)點插入到連接標識哈希表中，然后進行終端的身份合法性認證；如果在連接標識哈希表中搜索到對應(yīng)的授權(quán)密鑰上下文節(jié)點，則直接進行終端的身份合法性認證；認證完成后分配授權(quán)密鑰，并保存于授權(quán)密鑰上下文節(jié)點中，同時設(shè)置授權(quán)密鑰的上下文信息；步驟S2，當進行安全關(guān)聯(lián)-通信加密密鑰握手過程時，如果是初始認證，需要向終端發(fā)送授權(quán)訪問的安全關(guān)聯(lián)信息，包括安全關(guān)聯(lián)標識符、安全關(guān)聯(lián)類型和所支持的加解密算法；如果是重認證，則對終端原有的安全關(guān)聯(lián)更新，包括安全關(guān)聯(lián)標識符和對應(yīng)的通信加密密鑰信息；步驟S3，當為終端分發(fā)通信加密密鑰時，基站接收到終端的通信加密密鑰請求后，如果是第一次請求且在安全關(guān)聯(lián)標識哈希表中沒有搜索到相應(yīng)通信加密密鑰上下文節(jié)點，則構(gòu)造通信加密密鑰上下文節(jié)點并插入安全關(guān)聯(lián)標識哈希表中，基站生成新通信加密密鑰和舊通信加密密鑰，將相關(guān)信息分別保存于通信加密密鑰上下文節(jié)點的新通信加密密鑰參數(shù)和舊通信加密密鑰參數(shù)中；如果是密鑰更新請求，則在安全關(guān)聯(lián)標識哈希表中搜索出相應(yīng)的通信加密密鑰上下文節(jié)點，基站產(chǎn)生新的通信加密密鑰，對通信加密密鑰上下文節(jié)點中的信息進行更新；然后將生成的通信加密密鑰進行加密后發(fā)送給終端；步驟S4，當創(chuàng)建服務(wù)流時，基站為新增的服務(wù)流分配安全關(guān)聯(lián)信息，包括安全關(guān)聯(lián)標識符、安全關(guān)聯(lián)類型和所支持的加解密算法；構(gòu)造通信加密密鑰上下文節(jié)點，將安全關(guān)聯(lián)的信息保存其中；在服務(wù)流成功增加之后，基站將此服務(wù)流的信息和分配的安全關(guān)聯(lián)信息建立映射關(guān)系，并通知終端添加安全關(guān)聯(lián)信息；如果服務(wù)流沒有成功增加，則刪除已經(jīng)構(gòu)造的所述通信加密密鑰上下文節(jié)點，并回收已經(jīng)分配的所述安全關(guān)聯(lián)標識符。8、根據(jù)權(quán)利要求7所述的媒體接入控制系統(tǒng)中安全上下文的維護方法，其特征是，所述步驟Sl具體包括如下步驟步驟Sl.1:基站接收到終端的認證開始消息，根據(jù)消息中主管理連接標識符在連接標識哈希表中搜索授權(quán)密鑰上下文節(jié)點；步驟S1.2:如果授權(quán)密鑰上下文節(jié)點不存在，進入步驟S1.3，否則，進入歩驟S1.4;步驟S1.3:構(gòu)造并初始化授權(quán)密鑰上下文節(jié)點，將消息中的主管理連接標識符保存于授權(quán)密鑰上下文節(jié)點中的主管理連接標識符字段中；步驟S1.4:根據(jù)消息內(nèi)容判斷是否為重認證；步驟S1.5:如果不是重認證，進入步驟S1.6,如果是重認證，進入步驟Sl.7;步驟Sl.6:將授權(quán)密鑰上下文節(jié)點中重認證標識符設(shè)為不是重認證標志，進入歩驟Sl.11;步驟S1.7:將授權(quán)密鑰上下文節(jié)點中重認證標識符設(shè)為是重認證標志，進入步驟S1.8;步驟S1.8:驗證消息認證碼是否有效，驗證消息中授權(quán)密鑰序列號和授權(quán)密鑰上下文節(jié)點中的對應(yīng)信息是否匹配；步驟S1.9:如果驗證成功，進入步驟Sl.ll，否則進入步驟Sl.10;步驟Sl.10:出錯結(jié)束；步驟Sl.11:基站向認證服務(wù)器發(fā)送認證開始消息，并在終端和認證服務(wù)器間傳遞消息；步驟S1.12:認證成功，基站收到網(wǎng)絡(luò)控制與管理系統(tǒng)發(fā)送的會話主密鑰傳輸消息；步驟S1.13:根據(jù)會話主密鑰派生出授權(quán)密鑰，并且將授權(quán)密鑰保存在授權(quán)密鑰上下文節(jié)點中，并對授權(quán)密鑰上下文節(jié)點的字段進行設(shè)置；步驟S1.14:認證過程成功結(jié)束。9、根據(jù)權(quán)利要求7所述的媒體接入控制系統(tǒng)中安全上下文的維護方法，其特征是，步驟S2具體包括如下步驟步驟S2.1:基站生成隨機數(shù)，保存于終端的授權(quán)密鑰上下文節(jié)點中新授權(quán)密鑰參數(shù)的基站產(chǎn)生的隨機數(shù)字段中；步驟S2.2:根據(jù)安全關(guān)聯(lián)-通信加密密鑰握手流程進度字段判斷使用新授權(quán)密鑰或舊授權(quán)密鑰；步驟S2.3:構(gòu)造安全關(guān)聯(lián)-通信加密密鑰挑戰(zhàn)消息并發(fā)送，同時設(shè)置接收定時器；步驟S2.4:如果接收定時器超時，沒有收到終端的回復(fù)消息，進入步驟S2.5，否則進入步驟S2.8;步驟S2.5:判斷是否達到重發(fā)最大次數(shù)，如果沒有達到重發(fā)最大次數(shù)，進入步驟S2.6，否則進入步驟S2.7;步驟S2.6:重新發(fā)送安全關(guān)聯(lián)-通信加密密鑰挑戰(zhàn)消息，重新設(shè)置接收定時器；步驟S2.7:對終端進行完全重認證；步驟S2.8:基站接收到終端發(fā)送的安全關(guān)聯(lián)-通信加密密鑰請求消息；步驟S2.9:對安全關(guān)聯(lián)-通信加密密鑰請求消息進行解析；步驟S2.10:驗證消息認證碼是否有效，驗證消息中的基站產(chǎn)生的隨機數(shù)字段、授權(quán)密鑰標識符字段與授權(quán)密鑰上下文節(jié)點中的對應(yīng)信息是否匹配；步驟S2.11:如果安全關(guān)聯(lián)-通信加密密鑰請求消息有效，進入步驟S2.13，否則，進入步驟S2.12;步驟S2.12:出錯結(jié)束；步驟S2.13:根據(jù)授權(quán)密鑰上下文節(jié)點中重認證標識符判斷是否為重認證，如果是重認證，進入步驟S2.14，否則，進入步驟S2.16;步驟S2.14:構(gòu)造安全關(guān)聯(lián)-通信加密密鑰回復(fù)消息，進入步驟S2.15;步驟S2.15:根據(jù)授權(quán)密鑰上下文節(jié)點中的安全關(guān)聯(lián)信息構(gòu)造安全關(guān)聯(lián)-通信加密密鑰更新信息，填入安全關(guān)聯(lián)-通信加密密鑰回復(fù)消息中，構(gòu)造完成后進入步驟S2.18;步驟S2.16:構(gòu)造安全關(guān)聯(lián)-通信加密密鑰回復(fù)消息，進入步驟S2.17;步驟S2.17:用終端和基站共同支持的加解密算法，構(gòu)造安全關(guān)聯(lián)描述符信息，填入安全關(guān)聯(lián)-通信加密密鑰回復(fù)消息中，構(gòu)造完成后進入步驟S2.18;步驟S2.18:發(fā)送安全關(guān)聯(lián)-通信加密密鑰回復(fù)消息；步驟S2.19:成功結(jié)束。10、根據(jù)權(quán)利要求9所述的媒體接入控制系統(tǒng)中安全上下文的維護方法，其特征是，在所述步驟2.2中所述安全關(guān)聯(lián)-通信加密密鑰握手進度字段的設(shè)置方法，包括如下步驟步驟S5.1:將安全關(guān)聯(lián)-通信加密密鑰握手進度字段初始化；步驟S5.2:當基站獲得會話主密鑰并派生出授權(quán)密鑰之后，將安全關(guān)聯(lián)-通信加密密鑰握手進度字段設(shè)為第一取值；步驟S5.3:當基站發(fā)送安全關(guān)聯(lián)-通信加密密鑰挑戰(zhàn)消息之后，將安全關(guān)聯(lián)-通信加密密鑰握手進度字段設(shè)為第二取值；步驟S5.4:當基站發(fā)送安全關(guān)聯(lián)-通信加密密鑰回復(fù)消息之后，將安全關(guān)聯(lián)-通信加密密鑰握手進度字段設(shè)為第三取值。11、根據(jù)權(quán)利要求10所述的媒體接入控制系統(tǒng)中安全上下文的維護方法，其特征是，在所述步驟2.2中根據(jù)安全關(guān)聯(lián)-通信加密密鑰握手進度字段來判斷使用新授權(quán)密鑰或舊授權(quán)密鑰的方法，具體包括如下步驟步驟S6.1:利用安全關(guān)聯(lián)-通信加密密鑰握手進度字段來判斷使用新授權(quán)密鑰或舊授權(quán)密鑰；步驟S6.2:如果安全關(guān)聯(lián)-通信加密密鑰握手進度字段為第一取值，進入步驟S6.3，否則進入步驟S6.4;步驟S6.3:使用舊授權(quán)密鑰；步驟S6.4:如果安全關(guān)聯(lián)-通信加密密鑰握手進度字段為第二取值，進入步驟S6.5，否則進入步驟S6.6;步驟S6.5:如果當前處于安全關(guān)聯(lián)-通信加密密鑰握手過程中，進入步驟S6.7，否則進入步驟S6.3;步驟S6.6:如果安全關(guān)聯(lián)-通信加密密鑰握手進度字段為第三取值，進入步驟S6.7，否則進入步驟S6.8;步驟S6.7:使用新授權(quán)密鑰；步驟S6.8:出錯結(jié)束。12、根據(jù)權(quán)利要求7所述的媒體接入控制系統(tǒng)中安全上下文的維護方法，其特征是，所述步驟S3具體包括如下步驟步驟S3.1:基站接收到終端的密鑰請求消息，對消息進行解析；步驟S3.2:根據(jù)主管理連接標識符在連接標識哈希表中搜索授權(quán)密鑰上下文節(jié)點；步驟S3.3:如果搜索到授權(quán)密鑰上下文節(jié)點，進入步驟S3.4，否則進入步驟S3.11;步驟S3.4:根據(jù)授權(quán)密鑰上下文節(jié)點中認證結(jié)果標志判斷是否認證成功，如果成功進入步驟S3.5，否則進入步驟S3.11;步驟S3.5:驗證消息中密鑰序列號和授權(quán)密鑰上下文節(jié)點中授權(quán)密鑰參數(shù)中的序列號是否一致；步驟S3.6:如果消息中密鑰序列號和授權(quán)密鑰上下文節(jié)點中授權(quán)密鑰參數(shù)中的序列號是一致，進入步驟S3.7，否則進入步驟S3.11;步驟S3.7:驗證授權(quán)密鑰剩余生命周期是否有效；步驟S3.8:如果生命周期有效，進入步驟S3.9，否則進入步驟S3.11;步驟S3.9:驗證消息認證碼是否有效；步驟S3.10:如果消息認證碼通過驗證，進入步驟S3.12，否則進入歩驟S3.11;步驟S3.11:構(gòu)造并發(fā)送密鑰拒絕消息，進入步驟S3.25;步驟S3.12:根據(jù)消息中的安全關(guān)聯(lián)標識符在安全關(guān)聯(lián)標識哈希表中搜索通信加密密鑰上下文節(jié)點；步驟S3.13:如果找到通信加密密鑰上下文節(jié)點，進入步驟S3.15，否則進入步驟S3.14;步驟S3.14:構(gòu)造并初始化一個通信加密密鑰上下文節(jié)點，插入到安全關(guān)聯(lián)標識哈希表中；步驟S3.15:生成通信加密密鑰、密鑰加密密鑰；步驟S3.16:根據(jù)通信加密密鑰上下文節(jié)點中安全關(guān)聯(lián)描述符中的密鑰加密算法對生成的通信加密密鑰進行加密；歩驟S3.17:判斷是否是第一次申請密鑰；步驟S3.18:如果是第一次申請密鑰，進入歩驟S3.21,否則進入歩驟S3.19;步驟S3.19:將通信加密密鑰上下文節(jié)點中新通信加密密鑰參數(shù)信息保存到舊通信加密密鑰參數(shù)節(jié)點中，進入步驟S3.20;步驟S3.20:將經(jīng)過加密的通信加密密鑰信息保持在通信加密密鑰上下文節(jié)點的新通信加密密鑰參數(shù)節(jié)點中，進入步驟S3.24;步驟S3.21:再次生成通信加密密鑰、密鑰加密密鑰，并對通信加密密鑰進行加密，進入步驟S3.22;歩驟S3.22:將第一次分配的密鑰信息保存于通信加密密鑰上下文節(jié)點的舊通信加密密鑰參數(shù)中，進入步驟S3.23;步驟S3.23:將第二次分配的密鑰信息保存于通信加密密鑰上下文節(jié)點的新通信加密密鑰參數(shù)中，進入步驟S3.24;步驟S3.24:構(gòu)造并發(fā)送密鑰回復(fù)消息，進入步驟S3.25;步驟S3.25:結(jié)束。13、根據(jù)權(quán)利要求7所述的媒體接入控制系統(tǒng)中安全上下文的維護方法，其特征是，所述步驟S4具體包括如下步驟步驟S4.1:開始增加服務(wù)流，分配動態(tài)安全關(guān)聯(lián)標識符；步驟S4.2:如果成功分配，進入步驟S4.3，否則進入步驟S4.6;步驟S4.3:構(gòu)造通信加密密鑰上下文節(jié)點插入到安全關(guān)聯(lián)標識哈希表中，并將分配的動態(tài)安全關(guān)聯(lián)標識符存儲到通信加密密鑰上下文節(jié)點的安全關(guān)聯(lián)描述符中；步驟S4.4:根據(jù)主管理連接標識符在連接標識哈希表中搜索授權(quán)密鑰上下文節(jié)點；步驟S4.5:如果找到對應(yīng)的授權(quán)密鑰上下文節(jié)點，則進入步驟S4.7，否則進入步驟S4.6;步驟S4.6:出錯結(jié)束；步驟S4.7:將授權(quán)密鑰上下文節(jié)點中加解密信息保存到通信加密密鑰上下文節(jié)點的安全關(guān)聯(lián)描述符中；步驟S4.8:將此通信加密密鑰上下文節(jié)點插入到同一個終端所對應(yīng)的所有通信加密密鑰上下文節(jié)點組成的隊列中；步驟S4.9:等待服務(wù)流創(chuàng)建確認信息，如果服務(wù)流創(chuàng)建成功，進入步驟S4.12，否則進入步驟S4.10;步驟S4.10:將創(chuàng)建的通信加密密鑰上下文節(jié)點從安全關(guān)聯(lián)標識哈希表中刪除；步驟S4.11:將分配的動態(tài)安全關(guān)聯(lián)標識符回收，進入步驟S4.6結(jié)束；步驟S4.12:將服務(wù)流標識符保存到通信加密密鑰上下文節(jié)點的服務(wù)流標識符字段中；步驟S4.13:將分配的動態(tài)安全關(guān)聯(lián)標識符保存到服務(wù)流信息的相關(guān)字段中；步驟S4.14:構(gòu)造并向終端發(fā)送安全關(guān)聯(lián)增加消息；步驟S4.15:成功結(jié)束。全文摘要本發(fā)明公開了一種寬帶無線城域網(wǎng)基站媒體接入控制系統(tǒng)中安全上下文的組織結(jié)構(gòu)和維護方法。所述組織結(jié)構(gòu)包括用于管理授權(quán)密鑰上下文的連接標識哈希表以及用于管理通信加密密鑰上下文的安全關(guān)聯(lián)標識哈希表。所述維護方法包括當對終端進行可擴展認證協(xié)議認證時、當進行安全關(guān)聯(lián)-通信加密密鑰握手過程時、當為終端分發(fā)通信加密密鑰時和當創(chuàng)建服務(wù)流時，分別對連接標識哈希表和安全關(guān)聯(lián)標識哈希表進行操作。本發(fā)明實現(xiàn)安全上下文的組織和維護，能實現(xiàn)快速查找，在終端較多時，可以提高效率，在數(shù)據(jù)量較大時，可以很大程度提高數(shù)據(jù)的維護效率。文檔編號H04L9/08GK101217364SQ20071030465公開日2008年7月9日申請日期2007年12月28日優(yōu)先權(quán)日2007年12月28日發(fā)明者俊周,周繼華,迪龐,石晶林,胡金龍申請人:中國科學院計算技術(shù)研究所