本發(fā)明涉及通信領域,特別是涉及一種密鑰傳輸方法和裝置。
背景技術:
社區(qū)(Community)無線保真(Wireless-Fidelity,Wi-Fi)技術是指一種在家庭Wi-Fi的私人(Private)服務標識集(Service Set Identifier,SSID)的基礎上,設定公共(Public)SSID以供他人接入的技術。在Community Wi-Fi的環(huán)境下,每一個家庭Wi-Fi的家庭網(wǎng)關(Residential Gateway,RG)可以視為一個網(wǎng)絡接入點(Access Point,AP),各個AP與無線局域網(wǎng)絡網(wǎng)關(Wireless Local Area Networks Gateway,WLAN GW)連接,通過WLAN GW連接互聯(lián)網(wǎng)。在部署有Community Wi-Fi的一種常見應用場景中,網(wǎng)絡中不具有控制各個AP的無線接入控制器(Access controller,AC),并且在這種情況下,各個AP或者說RG之間沒有數(shù)據(jù)交互,相對獨立。這種部署有Community Wi-Fi但是不具有AC的網(wǎng)絡中的AP可以視為為一種胖AP。
移動終端需要經(jīng)過認證才能接入網(wǎng)絡,在Community Wi-Fi的802.1X認證場景的認證流程中,一般AP是認證點,WLAN GW作為遠程用戶撥號認證系統(tǒng)(Remote Authentication Dial In User Service,RADIUS)代理(Proxy)。當移動終端在部署有Community Wi-Fi但是不具有AC的網(wǎng)絡中,移動終端可以通過與RADIUS中的鑒權,授權和記賬(Authentication,Authorization and Accounting,AAA)模塊交互認證并計算生成用于與AP建立數(shù)據(jù)連接的成對主密鑰(Pairwise Master Key,PMK),所述移動終端可以使用該PMK與AP建立數(shù)據(jù)連接達到通過該AP登錄互聯(lián)網(wǎng)的效果。在Community Wi-Fi技術中,代理移動互聯(lián)網(wǎng)協(xié)議(Proxy Mobile Internet Protocol,PMIP)是一種常用協(xié)議,移動終端在完成密鑰協(xié)商后,通過動態(tài)主機配置協(xié)議(Dynamic Host Configuration Protocol,DHCP)請求觸發(fā)AP與WLAN GW之間建立PMIP隧道,使得所述移動終端可以經(jīng)由AP,通過建立的PMIP隧道登錄互聯(lián)網(wǎng)。不過由于AP的Wi-Fi范圍有限,當移動終端移動時,會出現(xiàn)移動終端離開一 個AP范圍,進入另一個AP范圍的情況。這種情況下就需要移動終端切換連接的AP,以保持連接互聯(lián)網(wǎng)。
移動終端每次切換AP時,RADIUS都需要重新與移動終端計算生成一個新的PMK,WLAN GW還需要重新為該移動終端將要切換的AP分配對應所述移動終端的IP地址。信息交互和計算耗時較長。如果在切換的過程中移動終端在執(zhí)行一些需要保證會話連續(xù)性的業(yè)務時,耗時較長的AP切換會為移動終端執(zhí)行這類業(yè)務帶來很大影響,甚至導致這類業(yè)務執(zhí)行失敗。帶來不好的用戶體驗。
技術實現(xiàn)要素:
為了解決上述技術問題,本發(fā)明實施例提供了一種密鑰傳輸方法和裝置,所述WLAN GW向第二AP發(fā)送IP地址以及基于第一PMK生成對應第二AP的第二PMK,以使得所述移動終端在切換AP時,待切換的第二AP已經(jīng)具有第二PMK和所述WLAN GW分配給所述移動終端的IP地址,所述移動終端可以不用再與RADIUS重新計算新的PMK,所述第二AP也不用重新獲取IP地址,達到了移動終端快速切換AP的效果。
第一方面,本發(fā)明實施例提供了一種密鑰傳輸方法,應用于部署了社區(qū)無線保真技術和PMIP,但不具有AC的網(wǎng)絡中,所述網(wǎng)絡中包括互為鄰居關系的第一AP和第二AP,所述第一AP和第二AP通過WLAN GW與互聯(lián)網(wǎng)相連,移動終端與所述第一AP具有數(shù)據(jù)連接,所述方法包括:
所述WLAN GW從RADIUS獲取第一PMK,所述第一PMK是所述移動終端在與所述第一AP建立數(shù)據(jù)連接時,與RADIUS計算生成的;
所述WLAN GW根據(jù)所述第一PMK生成對應所述第二AP的第二PMK;
所述WLAN GW向所述第二AP發(fā)送所述第二PMK和互聯(lián)網(wǎng)協(xié)議IP地址,使得所述第二AP根據(jù)所述第二PMK生成對應所述移動終端的第一PMK ID,所述IP地址為所述移動終端與所述第一AP建立數(shù)據(jù)連接過程中所述WLAN GW為所述移動終端分配的IP地址,使得所述移動終端在切換AP時與所述第二AP重關聯(lián)的過程中,通過所述IP地址,以及所述第二AP與所述WLAN GW之間的PMIP隧道接入網(wǎng)絡。
在第一方面的第一種可能的實現(xiàn)方式中,在所述WLAN GW根據(jù)所述第 一PMK生成對應所述第二AP的第二PMK之前,還包括:
所述WLAN GW獲取所述第一AP發(fā)送的包含所述第一AP鄰居列表的PMIP報文,所述第一AP鄰居列表包括所述第二AP的地址信息;
所述WLAN GW根據(jù)所述第一PMK生成對應所述第二AP的第二PMK,具體包括:
所述WLAN GW根據(jù)所述第一PMK以及所述第二AP的地址信息生成對應所述第二AP的第二PMK。
結(jié)合第一方面的第一種可能的實現(xiàn)方式,在第二種可能的實現(xiàn)方式中,所述WLAN GW向所述第二AP發(fā)送所述第二PMK和IP地址,具體包括:
所述WLAN GW根據(jù)所述第二AP的地址信息向所述第二AP發(fā)送攜帶所述第二PMK和所述IP地址的Pre-PBU消息。
結(jié)合第一方面的第二種可能的實現(xiàn)方式,在第三種可能的實現(xiàn)方式中,在所述WLAN GW根據(jù)所述第二AP的地址信息向所述第二AP發(fā)送攜帶所述第二PMK和所述IP地址的Pre-PBU消息之后,還包括:
所述WLAN GW獲取所述第二AP發(fā)送的Pre-PBA消息,所述Pre-PBA消息攜帶所述第二AP獲得所述第二PMK和所述IP地址的確認信息。
在第一方面的第四種可能的實現(xiàn)方式中,在所述WLAN GW根據(jù)所述第一PMK生成對應所述第二AP的第二PMK之前,還包括:
所述WLAN GW接收到所述第二AP發(fā)送的PBU消息,所述PBU消息為所述第二AP接收到所述移動終端在切換AP時發(fā)送的攜帶有第二PMK ID的重關聯(lián)消息后生成的,所述PBU消息包括所述移動終端標識,所述第二PMK ID為所述移動終端對應所述第二AP生成的PMK ID;
所述WLAN GW根據(jù)所述移動終端標識以及預先獲取的所述移動終端標識與所述第一PMK的對應關系查找到所述第一PMK;
所述WLAN GW向所述第二AP發(fā)送所述第二PMK和IP地址,具體包括:
所述WLAN GW向所述第二AP返回攜帶所述第二PMK和IP地址的代理綁定確認PBA消息。
結(jié)合第一方面或者第一方面的第一種或第二種或第三種或第四種可能的 實現(xiàn)方式,在第五種可能的實現(xiàn)方式中,
所述第二PMK與第三PMK相同,所述第三PMK為所述移動終端與所述第一AP建立數(shù)據(jù)連接時所使用的且基于所述第一PMK生成的PMK。
結(jié)合第一方面或者第一方面的第一種或第二種或第三種或第四種可能的實現(xiàn)方式,在第六種可能的實現(xiàn)方式中,在所述WLAN GW向所述第二AP發(fā)送所述第二PMK和IP地址時,還包括:
使得所述移動終端通過切換AP與所述第二AP重關聯(lián)的過程中,所述第二AP為所述移動終端建立所述第二AP與所述WLAN GW的PMIP隧道。
第二方面,本發(fā)明實施例提供了一種密鑰傳輸裝置,應用于部署了社區(qū)無線保真技術和PMIP,但不具有AC的網(wǎng)絡中,所述網(wǎng)絡中包括互為鄰居關系的第一AP和第二AP,所述第一AP和第二AP通過WLAN GW與互聯(lián)網(wǎng)相連,移動終端與所述第一AP具有數(shù)據(jù)連接,包括:
第一獲取單元,用于從RADIUS獲取第一PMK,所述第一PMK是所述移動終端在與所述第一AP建立數(shù)據(jù)連接時,與RADIUS計算生成的;
生成單元,用于根據(jù)所述第一PMK生成對應所述第二AP的第二PMK;
發(fā)送單元,用于向所述第二AP發(fā)送所述第二PMK和IP地址,使得所述第二AP根據(jù)所述第二PMK生成對應所述移動終端的第一PMK ID,所述IP地址為所述移動終端與所述第一AP建立數(shù)據(jù)連接過程中所述WLAN GW為所述移動終端分配的IP地址,使得所述移動終端在切換AP時與所述第二AP重關聯(lián)的過程中,通過所述IP地址,以及所述第二AP與所述WLAN GW之間的PMIP隧道接入網(wǎng)絡。
在第二方面的第一種可能的實現(xiàn)方式中,在觸發(fā)所述生成單元之前,還包括:
第二獲取單元,用于獲取所述第一AP發(fā)送的包含所述第一AP鄰居列表的PMIP報文,所述第一AP鄰居列表包括所述第二AP的地址信息;
所述生成單元具體用于根據(jù)所述第一PMK以及所述第二AP的地址信息生成對應所述第二AP的第二PMK。
結(jié)合第二方面的第一種可能的實現(xiàn)方式,在第二種可能的實現(xiàn)方式中,
所述發(fā)送單元具體用于根據(jù)所述第二AP的地址信息向所述第二AP發(fā)送 攜帶所述第二PMK和所述IP地址的Pre-PBU消息。
結(jié)合第二方面的第二種可能的實現(xiàn)方式,在第三種可能的實現(xiàn)方式中,在觸發(fā)所述發(fā)送單元之后,還包括:
第三獲取單元,用于獲取所述第二AP發(fā)送的Pre-PBA消息,所述Pre-PBA消息攜帶所述第二AP獲得所述第二PMK和所述IP地址的確認信息。
在第二方面的第四種可能的實現(xiàn)方式中,在觸發(fā)所述發(fā)送單元之前,還包括:
第四獲取單元,用于接收到所述第二AP發(fā)送的PBU消息,所述PBU消息為所述第二AP接收到所述移動終端在切換AP時發(fā)送的攜帶有第二PMK ID的重關聯(lián)消息后生成的,所述PBU消息包括所述移動終端標識,所述第二PMK ID為所述移動終端對應所述第二AP生成的PMK ID;
查找單元,用于根據(jù)所述移動終端標識以及預先獲取的所述移動終端標識與所述第一PMK的對應關系查找到所述第一PMK;
所述發(fā)送單元具體用于向所述第二AP返回攜帶所述第二PMK和IP地址的PBA消息。
結(jié)合第二方面或者第二方面的第一種或第二種或第三種或第四種可能的實現(xiàn)方式,在第五種可能的實現(xiàn)方式中,
所述第二PMK與第三PMK相同,所述第三PMK為所述移動終端與所述第一AP建立數(shù)據(jù)連接時所使用的且基于所述第一PMK生成的PMK。
結(jié)合第二方面或者第二方面的第一種或第二種或第三種或第四種可能的實現(xiàn)方式,在第六種可能的實現(xiàn)方式中,在觸發(fā)所述發(fā)送單元向所述第二AP發(fā)送所述第二PMK和IP地址時,還包括:
使得所述移動終端通過切換AP與所述第二AP重關聯(lián)的過程中,所述第二AP為所述移動終端建立所述第二AP與所述WLAN GW的PMIP隧道。
第三方面,本發(fā)明實施例提供了一種密鑰傳輸方法,應用于部署了社區(qū)無線保真技術和PMIP,但不具有AC的網(wǎng)絡中,所述網(wǎng)絡中包括互為鄰居關系的第一AP和第二AP,所述第一AP和第二AP通過WLAN GW與互聯(lián)網(wǎng)相連,移動終端與所述第一AP具有數(shù)據(jù)連接,所述移動終端具有第一PMK,所述第一PMK為所述移動終端在與所述第一AP建立數(shù)據(jù)連接時,與RADIUS 計算生成的,所述方法包括:
所述移動終端根據(jù)所述第一PMK生成對應所述第二AP的第二PMK;
所述移動終端根據(jù)所述第二PMK以及預先獲得的所述第二AP的地址信息生成對應所述第二AP的第二PMK ID;
所述移動終端向所述第二AP發(fā)送重關聯(lián)信息,所述重關聯(lián)信息中包括所述第二PMK ID;
所述移動終端獲取所述第二AP發(fā)送的確認消息,所述確認消息由所述第二AP通過對第一PMK ID和所述第二PMK ID比對成功后生成,所述第一PMK ID由所述第二AP基于所述WLAN GW發(fā)送的所述第二PMK生成;
所述移動終端完成切換AP,建立與所述第二AP的數(shù)據(jù)連接;
所述移動終端向所述第二AP發(fā)送DHCP請求分配IP地址,以使得所述第二AP將所述WLAN GW分配的所述IP地址分配給所述終端,所述IP地址由所述第二AP在與所述WLAN GW的PMIP消息交互中得到。
在第二方面的第一種可能的實現(xiàn)方式中,
所述第二PMK與第三PMK相同,所述第三PMK為所述移動終端與所述第一AP建立數(shù)據(jù)連接時所使用的且基于所述第一PMK生成的PMK。
第四方面,本發(fā)明實施例提供了一種密鑰傳輸裝置,應用于部署了社區(qū)無線保真技術和PMIP,但不具有AC的網(wǎng)絡中,所述網(wǎng)絡中包括互為鄰居關系的第一AP和第二AP,所述第一AP和第二AP通過WLAN GW與互聯(lián)網(wǎng)相連,移動終端與所述第一AP具有數(shù)據(jù)連接,所述移動終端具有第一PMK,所述第一PMK為所述移動終端在與所述第一AP建立數(shù)據(jù)連接時,與RADIUS計算生成的,包括:
生成單元,用于根據(jù)所述第一PMK生成對應所述第二AP的第二PMK;
獲取單元,用于根據(jù)所述第二PMK以及預先獲得的所述第二AP的地址信息生成對應所述第二AP的第二PMK ID;
發(fā)送單元,用于向所述第二AP發(fā)送重關聯(lián)信息,所述重關聯(lián)信息中包括所述第二PMK ID;
所述獲取單元還用于獲取所述第二AP發(fā)送的確認消息,所述確認消息由所述第二AP通過對第一PMK ID和所述第二PMK ID比對成功后生成,所述 第一PMK ID由所述第二AP基于所述WLAN GW發(fā)送的所述第二PMK生成;
建立單元,用于完成切換AP,建立與所述第二AP的數(shù)據(jù)連接;
所述發(fā)送單元還用于向所述第二AP發(fā)送DHCP請求分配IP地址,以使得所述第二AP將所述WLAN GW分配的所述IP地址分配給所述終端,所述IP地址由所述第二AP在與所述WLAN GW的PMIP消息交互中得到。
在第四方面的第一種可能的實現(xiàn)方式中,
所述第二PMK與第三PMK相同,所述第三PMK為所述移動終端與所述第一AP建立數(shù)據(jù)連接時所使用的且基于所述第一PMK生成的PMK。
由上述技術方案可以看出,在移動終端與第一AP建立數(shù)據(jù)連接時,WLAN GW可以通過RADIUS獲取所述移動終端和與所述RADIUS計算生成的第一PMK,所述WLAN GW將所述第一PMK生成對應第二AP的第二PMK,并向所述第二AP發(fā)送所述第二PMK以及所述WLAN GW為所述移動終端分配的IP地址,這樣當所述移動終端需要切換AP到第二AP時,由于所述第二AP已經(jīng)具有了所述第二PMK和所述WLAN GW為所述移動終端分配的IP地址,不再需要所述移動終端重新與所述RADIUS計算新的PMK便具有為所述移動終端提供網(wǎng)絡接入服務的條件,由此使得所述移動終端可以快速切換AP,提高用戶體驗。
附圖說明
為了更清楚地說明本發(fā)明實施例或現(xiàn)有技術中的技術方案,下面將對實施例或現(xiàn)有技術描述中所需要使用的附圖作簡單地介紹,顯而易見地,下面描述中的附圖僅僅是本發(fā)明的一些實施例,對于本領域普通技術人員來講,在不付出創(chuàng)造性勞動性的前提下,還可以根據(jù)這些附圖獲得其他的附圖。
圖1為本發(fā)明實施例提供的一種移動終端切換網(wǎng)絡接入點的場景示意圖;
圖2為本發(fā)明實施例提供的一種密鑰傳輸方法的方法流程圖;
圖3為本發(fā)明實施例提供的一種切換數(shù)據(jù)接入點方法的方法流程圖;
圖4為本發(fā)明實施例提供的一種發(fā)送第二PMK和IP地址的第一場景的信令流程圖;
圖5為本發(fā)明實施例提供的一種發(fā)送第二PMK的第二場景的信令流程圖;
圖6為本發(fā)明實施例提供的一種密鑰傳輸裝置的裝置結(jié)構(gòu)圖;
圖7為本發(fā)明實施例提供的一種密鑰傳輸裝置的裝置結(jié)構(gòu)圖;
圖8為本發(fā)明實施例提供的一種密鑰傳輸裝置的裝置結(jié)構(gòu)圖;
圖9為本發(fā)明實施例提供的一種密鑰傳輸裝置的裝置結(jié)構(gòu)圖;
圖10為本發(fā)明實施例提供的一種WLAN GW的硬件結(jié)構(gòu)示意圖;
圖11為本發(fā)明實施例提供的一種移動終端的硬件結(jié)構(gòu)示意圖。
具體實施方式
在部署了Community Wi-Fi技術的網(wǎng)絡中,如果不具有對AP統(tǒng)一控制、調(diào)配的AC設備,網(wǎng)絡中的AP之間由于不能有數(shù)據(jù)傳輸,各個AP相對獨立,這種網(wǎng)絡下的AP可以理解為一種胖AP。如果移動終端需要在這種網(wǎng)絡下切換與AP的數(shù)據(jù)連接,例如將原本與第一AP建立的數(shù)據(jù)連接,切換到與第二AP,建立與第二AP的數(shù)據(jù)連接,需要所述移動終端每次都與RADIUS重新計算出對應第二AP的PMK。而且在部署了PMIP的網(wǎng)絡中,移動終端還需要通過AP與WLAN GW之間建立的PMIP隧道連接互聯(lián)網(wǎng)。
在切換AP的過程中,移動終端與RADIUS計算PMK耗時較長,會直接導致移動終端切換AP時間較長,對移動終端的業(yè)務,尤其是需要保持會話連續(xù)性的業(yè)務帶來影響,甚至導致業(yè)務失敗或中斷等,降低用戶的體驗。
為此,本發(fā)明實施例提供了一種密鑰傳輸方法和裝置,在移動終端與第一AP建立數(shù)據(jù)連接時,WLAN GW可以通過RADIUS獲取所述移動終端和與所述RADIUS計算生成的第一PMK,所述WLAN GW將所述第一PMK生成對應第二AP的第二PMK,并向所述第二AP發(fā)送所述第二PMK以及所述WLAN GW為所述移動終端分配的IP地址,這樣當所述移動終端需要切換AP到第二AP時,由于所述第二AP已經(jīng)具有了所述第二PMK和所述WLAN GW為所述移動終端分配的IP地址,不再需要所述移動終端重新與所述RADIUS計算新的PMK便具有為所述移動終端提供網(wǎng)絡接入服務的條件,由此使得所述移動終端可以快速切換AP,提高用戶體驗。
通過改進和定義網(wǎng)絡協(xié)議及其流程,除了可以使用RADIUS報文攜帶PMK,還可以使用PMIP消息攜帶PMK,具體可以使用代理綁定確認(Proxy Binding Acknowledgment,PBA)消息來攜帶PMK。同時,本發(fā)明還在PMIP 的框架下,新定義了預備代理綁定更新(Pre Proxy Binding Update,Pre-PBU)消息和Pre-PBA消息,其中Pre-PBU消息也可以攜帶PMK。所述WLAN GW通過Pre-PBU消息攜帶所述第二PMK和IP地址向所述第二AP發(fā)送,所述第二AP在接收到所述第二PMK和IP地址后,通過Pre-PBA消息攜帶確認信息向所述WLAN GW發(fā)送。通過使用現(xiàn)有的PBU和PBA報文或者新增加的Pre-PBU和Pre-PBA攜帶PMK和IP地址,不會為系統(tǒng)帶來額外處理負擔,也不用對硬件進行較多改進,提高了本發(fā)明技術方案的適用范圍。
本發(fā)明實施例中,所述第一AP可以將自身的鄰居列表通過PMIP的PBU報文發(fā)送給WLAN GW,使得所述WLAN GW可以獲取所述第二AP的地址信息。所述WLAN GW在獲取所述第一PMK時,向所述第一AP的鄰居AP下發(fā)基于所述第一PMK生成的第二PMK,以便所述第二AP可以通過所述第二PMK生成對應所述移動終端的PMK ID,由此快速完成與所述移動終端的切換AP。
下面將結(jié)合本發(fā)明實施例中的附圖,對本發(fā)明實施例中的技術方案進行清楚、完整的描述,顯然,所描述的實施例僅僅是本發(fā)明一部分實施例,而不是全部的實施例?;诒景l(fā)明中的實施例,本領域普通技術人員在沒有做出創(chuàng)造性勞動前提下所獲得的所有其他實施例,都屬于本發(fā)明保護的范圍。
在通過實施例對本發(fā)明進行描述前,先說明本發(fā)明實施例應用的具體場景,如圖1所示,圖1為本發(fā)明實施例提供的一種移動終端切換網(wǎng)絡接入點的場景示意圖。其中,第一AP101和第二AP102互為鄰居關系,所謂的鄰居關系可以理解為各自的Wi-Fi范圍相距較近或者有重疊部分。所述第一AP101和第二AP102均與WLAN GW103相連,WLAN GW103與RADIUS104相連,這里所述的相連可以理解為具有數(shù)據(jù)連接,并不局限為僅具有實體上的連接。移動終端100與所述第一AP101建有數(shù)據(jù)連接,并通過所述第一AP101與所述WLAN GW103建立PMIP隧道接入互聯(lián)網(wǎng),所述WLAN GW103保存有為所述移動終端分配的對應的IP地址。在所述移動終端100建立該數(shù)據(jù)連接的過程中,所述移動終端100和所述RADIUS104通過協(xié)商計算得到第一PMK,所述移動終端使用第三PMK用于與所述第一AP建立數(shù)據(jù)連接,所述第三PMK為所述移動終端與所述第一AP建立數(shù)據(jù)連接時所使用的且基于所述第 一PMK生成的PMK。所述移動終端100由于自身位置變化或者Wi-Fi信號等原因,具有與所述第二AP102建立數(shù)據(jù)連接的需求,或者說具有切換AP的需求。
圖2為本發(fā)明實施例提供的一種密鑰傳輸方法的方法流程圖,應用于部署了社區(qū)無線保真技術和PMIP,但不具有AC的網(wǎng)絡中,所述網(wǎng)絡中包括互為鄰居關系的第一AP和第二AP,所述第一AP和第二AP通過WLAN GW與互聯(lián)網(wǎng)相連,移動終端與所述第一AP具有數(shù)據(jù)連接,所述方法包括:
S201:所述WLAN GW從RADIUS獲取第一PMK,所述第一PMK是所述移動終端在與所述第一AP建立數(shù)據(jù)連接時,與RADIUS計算生成的。
舉例說明,所述第一PMK可以理解為所述移動終端與所述RADIUS計算生成的基礎PMK,也可以叫做PMK-R0,所述WLAN GW和所述移動終端可以基于所述第一PMK生成其他PMK或者叫做PMK-R1,例如之后提及的第二PMK和第三PMK。
在本發(fā)明實施例中,所述移動終端只有第一次和AP建立連接的時候需要和RADIUS協(xié)商計算獲得PMK。也就是說,本發(fā)明實施例中的所述第一AP可以理解為所述移動終端在所述網(wǎng)絡中第一次建立數(shù)據(jù)連接的AP。所述第一PMK由所述移動終端和RADIUS通過協(xié)商得到。所述移動終端在切換AP時,將不再和RADIUS重新協(xié)商計算出對應切換到的所述第二AP所需要的PMK,而是使用已經(jīng)計算得出的所述第一PMK生成用于連接所述第二AP的第二PMK。相應的,所述第二AP也將從所述WLAN GW獲取使用相同算法計算得出的所述第二PMK。本發(fā)明實施例提供了至少兩種優(yōu)選的所述WLAN GW向所述第二AP發(fā)送所述第二PMK的方式,之后將通過具體應用場景進行詳細的說明。
S202:所述WLAN GW根據(jù)所述第一PMK生成對應所述第二AP的第二PMK。
舉例說明,通過遵從相關的標準,所述WLAN GW用于生成第二PMK的預置算法應該與所述移動終端所使用的預置算法相同。這樣才能使得所述移動終端在進行切換AP時,所述移動終端用于生成所述第二PMK ID的計算后的第一PMK和所述第二AP從所述WLAN GW獲取的計算后的第一PMK 相同。其中,所述相關的標準可以是按照802.11r標準的算法。
本發(fā)明實施例提供了至少兩種生成第二PMK的方式,第一種方式是生成的第二PMK與第三PMK相同,所述第三PMK為所述移動終端與所述第一AP建立數(shù)據(jù)連接時所使用的且基于所述第一PMK生成的PMK。第二種方式是生成的第二PMK與所述第三PMK不同,第二PMK為專門對應第二AP的PMK,第三PMK為專門對應第一AP的PMK?;蛘?,進一步的,為了方便處理,所述第二PMK和所述第三PMK還可以均與所述第一PMK相同。
第一種方式對系統(tǒng)的處理負擔小,所述移動終端與系統(tǒng)中每一個AP建立數(shù)據(jù)連接所用的PMK相同。
第二種方式的安全性更高,所述移動終端每次在切換AP時,用于生成PMK ID的PMK都不同,即使黑客通過手段獲取了與所述第一AP建立數(shù)據(jù)連接所用的計算后的第一PMK,也無法推導出用于生成與其他AP建立數(shù)據(jù)連接的PMK ID的PMK。
S203:所述WLAN GW向所述第二AP發(fā)送所述第二PMK和IP地址,使得所述第二AP根據(jù)所述第二PMK生成對應所述第二AP的第一PMK ID,所述IP地址為所述移動終端與所述第一AP建立數(shù)據(jù)連接過程中,所述第一AP與所述WLAN GW之間建立PMIP隧道時,所述WLAN GW為所述移動終端分配的IP地址。
舉例說明,在本發(fā)明實施例中,所述第二AP生成的第一PMK ID和后續(xù)提到的第二PMK ID的內(nèi)容可以是:HMAC-SHA1-128(PMK,"PMK Name"|MAC_AP|MAC_STA)。其中HMAC-SHA1-128為一種哈希算法的名字,MAC_AP為第二AP的地址信息(本例子中具體為MAC地址),MAC_STA(Station)為所述移動終端標識(本例子中具體為MAC地址)。
所述IP地址為所述移動終端在與所述第一AP建立數(shù)據(jù)連接的過程中,通過發(fā)送的DHCP請求觸發(fā)所述第一AP與所述WLAN GW建立PMIP隧道時為所述移動終端分配的對應的IP地址,為了保證所述移動終端在切換AP操作中,通過第二AP與所述WLAN GW建立的PMIP隧道連接網(wǎng)絡時用戶的應用會話不中斷,需要所述移動終端通過所述第二AP接入網(wǎng)絡時所用的IP地址與所述移動終端使用所述第一AP接入網(wǎng)絡時所被分配的IP地址一致。
還需要注意的是,如果所述移動終端在切換AP的過程中,若所述第二AP上已經(jīng)連接了其他移動終端,那么所述第二AP可能已經(jīng)與所述WLAN GW建立了PMIP隧道。這種情況下,所述移動終端的流量承載可以直接使用已經(jīng)建立好的PMIP隧道。
如果所述移動終端在切換AP的過程中,若所述第二AP上還未連接其他移動終端,那么所述第二AP可能還未與所述WLAN GW建立有PMIP隧道。這種情況下,所述第二AP將會與所述WLAN GW建立PMIP隧道,建立后,所述移動終端可以根據(jù)獲取的IP地址,以及通過該PMIP隧道接入網(wǎng)絡。
可見,在移動終端與第一AP建立數(shù)據(jù)連接時,WLAN GW可以通過RADIUS獲取所述移動終端和與所述RADIUS計算生成的第一PMK,所述WLAN GW將所述第一PMK生成對應第二AP的第二PMK,并向所述第二AP發(fā)送所述第二PMK以及所述第一AP與所述WLAN GW之間建立PMIP隧道為所述移動終端分配的IP地址,這樣當所述移動終端需要切換AP到第二AP時,由于所述第二AP已經(jīng)具有了所述第二PMK和所述WLAN GW分配的對應所述移動終端的IP地址,不再需要所述移動終端重新與所述RADIUS計算新的PMK便具有與所述移動終端進行重關聯(lián)的條件,由此使得所述移動終端可以快速切換AP,提高用戶體驗。
接下來將從所述移動終端的角度說明所述移動終端如何進行切換AP的操作,圖3為本發(fā)明實施例提供的一種切換數(shù)據(jù)接入點方法的方法流程圖,應用于部署了社區(qū)無線保真技術和PMIP,但不具有AC的網(wǎng)絡中,所述網(wǎng)絡中包括互為鄰居關系的第一AP和第二AP,所述第一AP和第二AP通過WLAN GW與互聯(lián)網(wǎng)相連,移動終端與所述第一AP具有數(shù)據(jù)連接,所述移動終端具有第一PMK,所述第一PMK為所述移動終端在與所述第一AP建立數(shù)據(jù)連接時,與RADIUS交互計算生成的,所述方法包括:
S301:所述移動終端根據(jù)所述第一PMK生成對應所述第二AP的第二PMK。
舉例說明,所述移動終端根據(jù)所述第一PMK生成所述第二PMK的生成方式與圖2所對應實施例S202中所述WLAN GW基于所述第一PMK生成所述的第二PMK的方式相同?;蛘哒f本步驟中得到的所述第二PMK與圖2所 對應實施例S202中得到的所述第二PMK相同。
在所述移動終端與所述第一AP建立數(shù)據(jù)連接時,所述第三PMK將分別存儲在所述移動終端以及所述第一AP中。
S302:所述移動終端根據(jù)所述第二PMK以及預先獲得的所述第二AP的地址信息生成對應所述第二AP的第二PMK ID。
舉例說明,所述第二AP的地址信息可以理解為包括所述第二AP的媒體訪問控制(Media Access Control,MAC)地址等用于標識所述第二AP位置的信息。所述移動終端可以在距所述第二AP的Wi-Fi范圍較近時通過接收所述第二AP廣播獲取所述第二AP的地址信息。
S303:所述移動終端向所述第二AP發(fā)送重關聯(lián)信息,所述重關聯(lián)信息中包括所述第二PMK ID。
S304:所述移動終端獲取所述第二AP發(fā)送的確認消息,所述確認消息由所述第二AP通過對第一PMK ID和所述第二PMK ID比對成功后生成,所述第一PMK ID由所述第二AP基于所述WLAN GW發(fā)送的所述第二PMK生成。
S305:所述移動終端完成切換AP,建立與所述第二AP的數(shù)據(jù)連接。
S306:所述移動終端向所述第二AP發(fā)送DHCP請求分配IP地址,以使得所述第二AP將所述WLAN GW分配的所述IP地址分配給所述終端,所述IP地址由所述第二AP在與WLAN GW的PMIP消息交互中得到。
舉例說明,所述移動終端在計算好所述第二PKM ID后,將向所述第二AP發(fā)送攜帶所述第二PKM ID的重關聯(lián)信息,希望通過所述重關聯(lián)信息中攜帶的信息,完成AP切換,建立與所述第二AP的數(shù)據(jù)連接。
由于所述第二AP已經(jīng)獲取了所述第二PMK,故可以根據(jù)自身的地址信息以及獲得的所述移動終端標識生成對應所述移動終端的所述第一PMK ID,所述移動終端的標示可以是從接收到的所述重關聯(lián)信息中獲得,或者從WLAN GW發(fā)送的Pre-PBU報文中獲得,隨后所述第二AP對生成的所述第一PMK ID和接收到的所述第二PMK ID進行比對,當比對結(jié)果相同時,則可以向所述移動終端返回確認消息。當比對結(jié)果為相同時,可以理解為所述移動終端是合法終端,使用與所述第二AP相同的預設方式生成PMK ID。接下來,所述移動終端在獲取確認消息時可以通過四次握手協(xié)商或者直接與所 述第二AP建立數(shù)據(jù)連接,由此完成切換AP的操作。
可以看出,移動終端在進行向所述第二AP切換AP時,不再需要和RADIUS重新計算出PMK,而是可以使用與所述WLAN GW所使用的相同算法生成第二PMK,并將根據(jù)所述第二PMK生成第二PMK ID攜帶在發(fā)向所述第二AP的重關聯(lián)信息中,由于所述第二AP已經(jīng)具有所述WLAN GW發(fā)送的第二PMK,故所述第二AP在比對自身生成的第一PMK ID和接收到的所述第二PMK ID時,將會得到比對成功的結(jié)果,由此所述移動終端可以建立與所述第二AP的數(shù)據(jù)連接,完成切換AP的操作并達到快速切換AP的效果,提高了用戶體驗。
接下來將通過具體場景來對所述WLAN GW如何向所述第二AP發(fā)送所述第二PMK和所述IP地址進行說明。本發(fā)明實施例提供了至少兩種向所述第二AP發(fā)送所述第二PMK和IP地址的方式。
第一種所述WLAN GW向所述第二AP發(fā)送所述第二PMK和IP地址的方式是:所述WLAN GW根據(jù)獲取的所述第一AP的鄰居列表向所述第二AP發(fā)送所述第二PMK和所述IP地址。
請參見圖4,圖4為本發(fā)明實施例提供的一種發(fā)送第二PMK和IP地址的第一場景的信令流程圖。
S401:所述WLAN GW獲取第一PMK。
S402:所述WLAN GW獲取所述第一AP發(fā)送的包含所述第一AP鄰居列表的PMIP報文,所述第一AP鄰居列表包括所述第二AP的地址信息。
舉例說明,所述包含第一AP鄰居列表(Neighbor List)的PMIP報文可以為所述第一AP與所述WLAN GW之間交互的PMIP報文,例如可以是PBU報文。在PMIP報文中需要為所述第一AP鄰居列表新增一個移動性參數(shù)(Mobility options)攜帶Neighbor List(該option可以攜帶一個或多個),即新增一個類型長度值(Type Length Value,TLV),相應的Type可以設為103,Type需要向互聯(lián)網(wǎng)數(shù)字分配機構(gòu)(The Internet Assigned Numbers Authority,IANA)申請,Value中包括鄰居AP的地址信息例如MAC地址等。
還需要說明的是,所述WLAN GW上維護的第一AP的鄰居列表一方面可以參考上述第一AP提供的列表信息,另一方面,也可以由管理員手工配置, 或者在認證時從AAA取得。另外,也可以使上述方法的組合,本發(fā)明對此不進行限定。
本發(fā)明不限定步驟S401和S402的執(zhí)行順序。
S403:所述WLAN GW根據(jù)所述第一PMK以及所述第二AP的地址信息生成對應所述第二AP的第二PMK。
S404:所述WLAN GW根據(jù)所述第二AP的地址信息向所述第二AP發(fā)送攜帶所述第二PMK和所述IP地址的Pre-PBU消息。
S405:所述WLAN GW獲取所述第二AP發(fā)送的Pre-PBA消息,,所述Pre-PBA消息攜帶所述第二AP獲得所述第二PMK和所述IP地址的確認信息。
舉例說明,通過在國際互聯(lián)網(wǎng)工程任務組(The Internet Engineering Task Force,IETF)申請新的報文號,新的屬性或使用私有自定義屬性,設定PMIP下的新消息類型,Pre-PBU和Pre-PBA。Pre-PBU與傳統(tǒng)的PBU不同,由WLAN GW向AP發(fā)送,Pre-PBA與傳統(tǒng)的PBA不同,由AP向WLAN GW發(fā)送。通過Pre-PBU攜帶PMK和IP地址以及通過Pre-PBA攜帶確認消息的實現(xiàn)方式可以在原有的PBU,PBA格式中增加一個X位來標識Pre-PBU,Pre-PBA,并且增加新的移動性參數(shù)(Mobility options)攜帶PMK,例如相應的type可以設為102。移動終端標識(MAC地址)可以攜帶在Mobile Node Link-layer Identifier Option中(type=25),IP地址可以攜帶在Home Network Prefix Option(type=22,IPv6,rfc5213),或者IPv4Home Address Reply Option(type=37,IPv4,rfc5844)中。
所述Pre-PBA消息用于攜帶所述第二AP在獲取所述第二PMK和所述IP地址后生成的確認信息(Acknowledgement)。當所述WLAN GW獲取所述Pre-PBA消息時,則可以確認所述第二AP已經(jīng)成功接收到所述Pre-PBU消息,也就是已經(jīng)獲取所述第二PMK和IP地址。否則所述WLAN GW將會再次向所述第二AP發(fā)送所述Pre-PBU消息以確定所述第二AP能夠收到所述第二PMK和IP地址。
可選的,所述WLAN GW獲取的所述第二AP發(fā)送的Pre-PBA消息中包含所述第二AP鄰居列表,或者所述WLAN GW獲取所屬第二AP發(fā)送的包含所述第二AP鄰居列表的PBU消息。
舉例說明,所述WLAN GW還可以在當所述第二AP與所述移動終端建立數(shù)據(jù)連接時,獲取所述第二AP發(fā)送的第二AP鄰居列表。所述WLAN GW可以根據(jù)所述第二AP鄰居列表向所述第二AP的鄰居AP發(fā)送所述計算后第一PMK,以便為所述移動終端再次從所述第二AP進行切換AP服務。
可見,所述WLAN GW通過獲取所述第一AP的鄰居列表的方式,可以預先向所述第一AP的鄰居,第二AP發(fā)送所述第二PMK和IP地址,使得所述第二AP可以在所述移動終端切換AP之前預先獲得所述第二PMK和IP地址。
第二種所述WLAN GW向所述第二AP發(fā)送所述第二PMK和IP地址的方式是:所述WLAN GW根據(jù)所述第二AP發(fā)送的PMIP PBU消息向所述第二AP返回所述第二PMK。
請參見圖5,圖5為本發(fā)明實施例提供的一種發(fā)送第二PMK的第二場景的信令流程圖。
S501:所述WLAN GW獲取所述第一PMK。
S502:所述WLAN GW接收到所述第二AP發(fā)送的PBU消息,所述PBU消息為所述第二AP接收到所述移動終端在切換AP時發(fā)送的攜帶有第二PMK ID的重關聯(lián)消息后生成的,所述PBU消息包括所述移動終端標識,所述第二PMK ID為所述移動終端對應所述第二AP生成的PMK ID。
由于在如圖3所對應實施例中的S303中,所述移動終端在向所述第二AP發(fā)送所述重關聯(lián)消息時還會攜帶所述移動終端的標識。故所述第二AP在想所述WLAN GW發(fā)送的所述PBU消息中也可以攜帶有所述移動終端標識。
S503:所述WLAN GW根據(jù)所述移動終端標識以及預先獲取的所述移動終端標識與所述第一PMK的對應關系查找到所述第一PMK。
當所述WLAN GW查找到所述第一PMK,所述WLAN GW可以確認所述第二AP屬于所述移動終端將要建立數(shù)據(jù)連接的AP。
所述對應關系可以為所述WLAN GW在所述移動終端與所述第一AP建立數(shù)據(jù)連接的過程中獲取。
S504:所述WLAN GW根據(jù)所述第一PMK生成所述第二PMK。
S505:所述WLAN GW向所述第二AP返回攜帶所述第二PMK和IP地址的PBA消息。
可見,所述WLAN GW可以根據(jù)所述第二AP發(fā)送的所述PBU消息中攜帶的所述移動終端標識查找出所述第二PMK并返回至所述第二AP。進一步降低了系統(tǒng)的處理負擔,提高了效率。
圖6為本發(fā)明實施例提供的一種密鑰傳輸裝置的裝置結(jié)構(gòu)圖,應用于部署了社區(qū)無線保真技術和PMIP,但不具有AC的網(wǎng)絡中,所述網(wǎng)絡中包括互為鄰居關系的第一AP和第二AP,所述第一AP和第二AP通過WLAN GW與互聯(lián)網(wǎng)相連,移動終端與所述第一AP具有數(shù)據(jù)連接,所述密鑰傳輸裝置600包括:
獲取單元601,用于從RADIUS獲取第一PMK,所述第一PMK是所述移動終端在與所述第一AP建立數(shù)據(jù)連接時,與RADIUS計算生成的。
舉例說明,所述第一PMK可以理解為所述移動終端與所述RADIUS計算生成的基礎PMK,也可以叫做PMK-R0,所述WLAN GW和所述移動終端可以基于所述第一PMK生成其他PMK或者叫做PMK-R1,例如之后提及的第二PMK和第三PMK。
在本發(fā)明實施例中,所述移動終端只有第一次和AP建立連接的時候需要和RADIUS協(xié)商計算獲得PMK。也就是說,本發(fā)明實施例中的所述第一AP可以理解為所述移動終端在所述網(wǎng)絡中第一次建立數(shù)據(jù)連接的AP。所述第一PMK由所述移動終端和RADIUS通過協(xié)商得到。所述移動終端在切換AP時,將不再和RADIUS重新協(xié)商計算出對應切換到的所述第二AP所需要的PMK,而是使用已經(jīng)計算得出的所述第一PMK生成用于連接所述第二AP的第二PMK。相應的,所述第二AP也將從所述WLAN GW獲取使用相同算法計算得出的所述第二PMK。本發(fā)明實施例提供了至少兩種優(yōu)選的所述發(fā)送單元603向所述第二AP發(fā)送所述第二PMK的方式,之后將通過具體應用場景進行詳細的說明。
生成單元602,用于根據(jù)所述第一PMK生成對應所述第二AP的第二PMK。
舉例說明,通過遵從相關的標準,所述生成單元602用于生成第二PMK的預置算法應該與所述移動終端所使用的預置算法相同。這樣才能使得所述移動終端在進行切換AP時,所述移動終端用于生成所述第二PMK ID的計算后的第一PMK和所述第二AP從所述WLAN GW獲取的計算后的第一PMK相同。其中,所述相關的標準可以是按照802.11r標準的算法。
本發(fā)明實施例提供了至少兩種生成第二PMK的方式,第一種方式是生成的第二PMK與第三PMK相同,所述第三PMK為所述移動終端與所述第一AP建立數(shù)據(jù)連接時所使用的且基于所述第一PMK生成的PMK。第二種方式是生成的第二PMK與所述第三PMK不同,第二PMK為專門對應第二AP的PMK,第三PMK為專門對應第一AP的PMK?;蛘撸M一步的,為了方便處理,所述第二PMK和所述第三PMK還可以均與所述第一PMK相同。
第一種方式對系統(tǒng)的處理負擔小,所述移動終端與系統(tǒng)中每一個AP建立數(shù)據(jù)連接所用的PMK相同。
第二種方式的安全性更高,所述移動終端每次在切換AP時,用于生成PMK ID的PMK都不同,即使黑客通過手段獲取了與所述第一AP建立數(shù)據(jù)連接所用的計算后的第一PMK,也無法推導出用于生成與其他AP建立數(shù)據(jù)連接的PMK ID的PMK。
發(fā)送單元603,用于向所述第二AP發(fā)送所述第二PMK和互聯(lián)網(wǎng)協(xié)議IP地址,使得所述第二AP根據(jù)所述第二PMK生成對應所述移動終端的第一PMK ID,所述IP地址為所述移動終端與所述第一AP建立數(shù)據(jù)連接過程中所述WLAN GW為所述移動終端分配的IP地址,使得所述移動終端在切換AP時與所述第二AP重關聯(lián)的過程中,通過所述IP地址,以及所述第二AP與所述WLAN GW之間的PMIP隧道接入網(wǎng)絡。
舉例說明,在本發(fā)明實施例中,所述第二AP生成的第一PMK ID和后續(xù)提到的第二PMK ID的內(nèi)容可以是:HMAC-SHA1-128(PMK,"PMK Name"|MAC_AP|MAC_STA)。其中HMAC-SHA1-128為一種哈希算法的名字,MAC_AP為第二AP的地址信息(本例子中具體為MAC地址),MAC_STA(Station)為所述移動終端標識(本例子中具體為MAC地址)。
所述IP地址為所述移動終端在與所述第一AP建立數(shù)據(jù)連接的過程中, 通過發(fā)送的DHCP請求觸發(fā)所述第一AP與所述WLAN GW建立PMIP隧道時為所述移動終端分配的對應的IP地址,為了保證所述移動終端在切換AP操作中,通過第二AP與所述WLAN GW建立的PMIP隧道連接網(wǎng)絡時用戶的應用會話不中斷,需要所述移動終端通過所述第二AP接入網(wǎng)絡時所用的IP地址與所述移動終端使用所述第一AP接入網(wǎng)絡時所被分配的IP地址一致。
還需要注意的是,如果所述移動終端在切換AP的過程中,若所述第二AP上已經(jīng)連接了其他移動終端,那么所述第二AP可能已經(jīng)與所述WLAN GW建立了PMIP隧道。這種情況下,所述移動終端的流量承載可以直接使用已經(jīng)建立好的PMIP隧道。
如果所述移動終端在切換AP的過程中,若所述第二AP上還未連接其他移動終端,那么所述第二AP可能還未與所述WLAN GW建立有PMIP隧道。這種情況下,所述第二AP將會與所述WLAN GW建立PMIP隧道,建立后,所述移動終端可以根據(jù)獲取的IP地址,以及通過該PMIP隧道接入網(wǎng)絡。
可見,在移動終端與第一AP建立數(shù)據(jù)連接時,WLAN GW可以通過RADIUS獲取所述移動終端和與所述RADIUS計算生成的第一PMK,所述WLAN GW將所述第一PMK生成對應第二AP的第二PMK,并向所述第二AP發(fā)送所述第二PMK以及所述第一AP與所述WLAN GW之間建立PMIP隧道為所述移動終端分配的IP地址,這樣當所述移動終端需要切換AP到第二AP時,由于所述第二AP已經(jīng)具有了所述第二PMK和所述WLAN GW分配的對應所述移動終端的IP地址,不再需要所述移動終端重新與所述RADIUS計算新的PMK便具有與所述移動終端進行重關聯(lián)的條件,由此使得所述移動終端可以快速切換AP,提高用戶體驗。
接下來將從所述移動終端的角度說明所述移動終端如何進行切換AP的操作,圖7為本發(fā)明實施例提供的一種密鑰傳輸裝置的裝置結(jié)構(gòu)圖,應用于部署了社區(qū)無線保真技術和PMIP,但不具有AC的網(wǎng)絡中,所述網(wǎng)絡中包括互為鄰居關系的第一AP和第二AP,所述第一AP和第二AP通過WLAN GW與互聯(lián)網(wǎng)相連,移動終端與所述第一AP具有數(shù)據(jù)連接,所述移動終端具有第一PMK,所述第一PMK為所述移動終端在與所述第一AP建立數(shù)據(jù)連接時,與RADIUS計算生成的,所述密鑰傳輸裝置700包括:
生成單元701,用于根據(jù)所述第一PMK生成對應所述第二AP的第二PMK。
舉例說明,所述生成單元701根據(jù)所述第一PMK生成所述第二PMK的生成方式與圖6所對應實施例中所述生成單元602基于所述第一PMK生成所述的第二PMK的方式相同?;蛘哒f所述生成單元701得到的所述第二PMK與圖6所對應實施例中所述生成單元602得到的所述第二PMK相同。
在所述移動終端與所述第一AP建立數(shù)據(jù)連接時,所述第三PMK將分別存儲在所述移動終端以及所述第一AP中。
獲取單元702,用于根據(jù)所述第二PMK以及預先獲得的所述第二AP的地址信息生成對應所述第二AP的第二成對主密鑰標識PMK ID。
舉例說明,所述第二AP的地址信息可以理解為包括所述第二AP的MAC地址等用于標識所述第二AP位置的信息。所述獲取單元702可以在距所述第二AP的Wi-Fi范圍較近時通過接收所述第二AP廣播獲取所述第二AP的地址信息。
發(fā)送單元703,用于向所述第二AP發(fā)送重關聯(lián)信息,所述重關聯(lián)信息中包括所述第二PMK ID。
所述獲取單元702還用于獲取所述第二AP發(fā)送的確認消息,所述確認消息由所述第二AP通過對第一PMK ID和所述第二PMK ID比對成功后生成,所述第一PMK ID由所述第二AP基于所述WLAN GW發(fā)送的所述第二PMK生成。
建立單元704,用于完成切換AP,建立與所述第二AP的數(shù)據(jù)連接。
所述發(fā)送單元703還用于向所述第二AP發(fā)送DHCP請求分配IP地址,以使得所述第二AP將所述WLAN GW分配的所述IP地址分配給所述終端,所述IP地址由所述第二AP在與所述WLAN GW的PMIP消息交互中得到。
舉例說明,所述發(fā)送單元703在計算好所述第二PKM ID后,將向所述第二AP發(fā)送攜帶所述第二PKM ID的重關聯(lián)信息,希望通過所述重關聯(lián)信息中攜帶的信息,完成AP切換,建立與所述第二AP的數(shù)據(jù)連接。
由于所述第二AP已經(jīng)獲取了所述第二PMK,故可以根據(jù)自身的地址信息以及獲得的所述移動終端標識生成對應所述移動終端的所述第一PMK ID, 所述移動終端的標示可以是從接收到的所述重關聯(lián)信息中獲得,或者從WLAN GW發(fā)送的Pre-PBU報文中獲得,隨后所述第二AP對生成的所述第一PMK ID和接收到的所述第二PMK ID進行比對,當比對結(jié)果相同時,則可以向所述移動終端返回確認消息。當比對結(jié)果為相同時,可以理解為所述移動終端是合法終端,使用與所述第二AP相同的預設方式生成PMK ID。接下來,所述建立單元704在所述獲取單元702獲取確認消息時可以通過四次握手協(xié)商或者直接與所述第二AP建立數(shù)據(jù)連接,由此完成切換AP的操作。
可以看出,移動終端在進行向所述第二AP切換AP時,不再需要和RADIUS重新計算出PMK,而是可以使用與所述WLAN GW所使用的相同算法生成第二PMK,并將根據(jù)所述第二PMK生成第二PMK ID攜帶在發(fā)向所述第二AP的重關聯(lián)信息中,由于所述第二AP已經(jīng)具有所述WLAN GW發(fā)送的第二PMK,故所述第二AP在比對自身生成的第一PMK ID和接收到的所述第二PMK ID時,將會得到比對成功的結(jié)果,由此所述移動終端可以建立與所述第二AP的數(shù)據(jù)連接,完成切換AP的操作并達到快速切換AP的效果,提高了用戶體驗。
在圖6所對應實施例的基礎上,對所述發(fā)送單元603如何向所述第二AP發(fā)送所述第二PMK和所述IP地址進行說明。
第一種發(fā)送方式下,所述發(fā)送單元603根據(jù)獲取的所述第一AP的鄰居列表向所述第二AP發(fā)送所述第二PMK和所述IP地址。
圖8為本發(fā)明實施例提供的一種密鑰傳輸裝置的裝置結(jié)構(gòu)圖,所述密鑰傳輸裝置600還包括:
第二獲取單元801,用于在觸發(fā)所述生成單元之前,獲取所述第一AP發(fā)送的包含所述第一AP鄰居列表的PMIP報文,所述第一AP鄰居列表包括所述第二AP的地址信息;
舉例說明,所述包含第一AP鄰居列表(Neighbor List)的PMIP報文可以為所述第一AP與所述WLAN GW之間交互的PMIP報文,例如可以是PBU報文。在PMIP報文中需要為所述第一AP鄰居列表新增一個移動性參數(shù)(Mobility options)攜帶Neighbor List(該option可以攜帶一個或多個),即 新增一個類型長度值(Type Length Value,TLV),相應的Type可以設為103,Type需要向IANA申請,Value中包括鄰居AP的地址信息例如MAC地址等。
還需要說明的是,所述WLAN GW上維護的第一AP的鄰居列表一方面可以參考上述第一AP提供的列表信息,另一方面,也可以由管理員手工配置,或者在認證時從AAA取得。另外,也可以使上述方法的組合,本發(fā)明對此不進行限定。
所述生成單元602具體用于根據(jù)所述第一PMK以及所述第二AP的地址信息生成對應所述第二AP的第二PMK。
所述發(fā)送單元603具體用于根據(jù)所述第二AP的地址信息向所述第二AP發(fā)送攜帶所述第二PMK和所述IP地址的預備代理綁定更新Pre-PBU消息。
舉例說明,通過在IETF申請新的報文號,新的屬性或使用私有自定義屬性,設定PMIP下的新消息類型,Pre-PBU和Pre-PBA。Pre-PBU與傳統(tǒng)的PBU不同,由WLAN GW向AP發(fā)送,Pre-PBA與傳統(tǒng)的PBA不同,由AP向WLAN GW發(fā)送。通過Pre-PBU攜帶PMK和IP地址以及通過Pre-PBA攜帶確認消息的實現(xiàn)方式可以在原有的PBU,PBA格式中增加一個X位來標識Pre-PBU,Pre-PBA,并且增加新的移動性參數(shù)(Mobility options)攜帶PMK,例如相應的type可以設為102。移動終端標識(MAC地址)可以攜帶在Mobile Node Link-layer Identifier Option中(type=25),IP地址可以攜帶在Home Network Prefix Option(type=22,IPv6,rfc5213),或者IPv4Home Address Reply Option(type=37,IPv4,rfc5844)中。
所述Pre-PBA消息用于攜帶所述第二AP在獲取所述第二PMK和所述IP地址后生成的確認信息(Acknowledgement)。當所述WLAN GW獲取所述Pre-PBA消息時,則可以確認所述第二AP已經(jīng)成功接收到所述Pre-PBU消息,也就是已經(jīng)獲取所述第二PMK和IP地址。否則所述WLAN GW將會再次向所述第二AP發(fā)送所述Pre-PBU消息以確定所述第二AP能夠收到所述第二PMK和IP地址。
可選的,在觸發(fā)所述發(fā)送單元603之后,還包括:
第三獲取單元802,用于獲取所述第二AP發(fā)送的預備代理綁定確認Pre-PBA消息,所述Pre-PBA消息攜帶所述第二AP獲得所述第二PMK和所 述IP地址的確認信息。
可選的,所述第三獲取單元802獲取的所述第二AP發(fā)送的Pre-PBA消息中包含所述第二AP鄰居列表,或者所述WLAN GW獲取所屬第二AP發(fā)送的包含所述第二AP鄰居列表的PBU消息。
舉例說明,所述第三獲取單元802還可以在當所述第二AP與所述移動終端建立數(shù)據(jù)連接時,獲取所述第二AP發(fā)送的第二AP鄰居列表。所述WLAN GW可以根據(jù)所述第二AP鄰居列表向所述第二AP的鄰居AP發(fā)送所述計算后第一PMK,以便為所述移動終端再次從所述第二AP進行切換AP服務。
可見,所述WLAN GW通過獲取所述第一AP的鄰居列表的方式,可以預先向所述第一AP的鄰居,第二AP發(fā)送所述第二PMK和IP地址,使得所述第二AP可以在所述移動終端切換AP之前預先獲得所述第二PMK和IP地址。
第二種發(fā)送方式下,所述發(fā)送單元603根據(jù)所述第二AP發(fā)送的PMIP PBU消息向所述第二AP返回所述第二PMK。
圖9為本發(fā)明實施例提供的一種密鑰傳輸裝置的裝置結(jié)構(gòu)圖,所述密鑰傳輸裝置600還包括:
第四獲取單元901,用于在觸發(fā)所述發(fā)送單元602之前,接收到所述第二AP發(fā)送的PBU消息,所述PBU消息為所述第二AP接收到所述移動終端在切換AP時發(fā)送的攜帶有第二PMK ID的重關聯(lián)消息后生成的,所述PBU消息包括所述移動終端標識,所述第二PMK ID為所述移動終端對應所述第二AP生成的PMK ID。
查找單元902,用于根據(jù)所述移動終端標識以及預先獲取的所述移動終端標識與所述第一PMK的對應關系查找到所述第一PMK。
當所述查找單元902查找到所述第一PMK,可以確認所述第二AP屬于所述移動終端將要建立數(shù)據(jù)連接的AP。
所述對應關系可以為所述WLAN GW在所述移動終端與所述第一AP建立數(shù)據(jù)連接的過程中獲取。
所述發(fā)送單元603具體用于向所述第二AP返回攜帶所述第二PMK和IP 地址的代理綁定確認PBA消息。
可見,所述WLAN GW可以根據(jù)所述第二AP發(fā)送的所述PBU消息中攜帶的所述移動終端標識查找出所述第二PMK并返回至所述第二AP。進一步降低了系統(tǒng)的處理負擔,提高了效率。
參閱圖10,圖10為本發(fā)明實施例提供的一種WLAN GW的硬件結(jié)構(gòu)示意圖,應用于部署了社區(qū)無線保真技術和PMIP,但不具有AC的網(wǎng)絡中,所述網(wǎng)絡中包括互為鄰居關系的第一AP和第二AP,所述第一AP和第二AP通過所述WLAN GW1000與互聯(lián)網(wǎng)相連,移動終端與所述第一AP具有數(shù)據(jù)連接,所述WLAN GW1000包括存儲器1001、接收器1002和發(fā)送器1003,以及分別與所述存儲器1001、所述接收器1002和所述發(fā)送器1003連接的處理器1004,所述存儲器1001用于存儲一組程序指令,所述處理器1004用于調(diào)用所述存儲器1001存儲的程序指令執(zhí)行如下操作:
觸發(fā)所述接收器1002從RADIUS獲取第一PMK,所述第一PMK是所述移動終端在與所述第一AP建立數(shù)據(jù)連接時,與RADIUS計算生成的;
根據(jù)所述第一PMK生成對應所述第二AP的第二PMK;
觸發(fā)所述發(fā)送器1003向所述第二AP發(fā)送所述第二PMK和IP地址,使得所述第二AP根據(jù)所述第二PMK生成對應所述移動終端的第一PMK ID,所述IP地址為所述移動終端與所述第一AP建立數(shù)據(jù)連接過程中所述WLAN GW為所述移動終端分配的IP地址,使得所述移動終端在切換AP時與所述第二AP重關聯(lián)的過程中,通過所述IP地址,以及所述第二AP與所述WLAN GW之間的PMIP隧道接入網(wǎng)絡。
可選地,所述處理器1004可以為中央處理器(Central Processing Unit,CPU),所述存儲器1001可以為隨機存取存儲器(Random Access Memory,RAM)類型的內(nèi)部存儲器,所述接收器1002和所述發(fā)送器1003可以包含普通物理接口,所述物理接口可以為以太(Ethernet)接口或異步傳輸模式(Asynchronous Transfer Mode,ATM)接口。所述處理器1004、發(fā)送器1003、 接收器1002和存儲器1001可以集成為一個或多個獨立的電路或硬件,如:專用集成電路(Application Specific Integrated Circuit,ASIC)。
參閱圖11,圖11為本發(fā)明實施例提供的一種移動終端的硬件結(jié)構(gòu)示意圖,應用于部署了社區(qū)無線保真技術和PMIP,但不具有AC的網(wǎng)絡中,所述網(wǎng)絡中包括互為鄰居關系的第一AP和第二AP,所述第一AP和第二AP通過WLAN GW與互聯(lián)網(wǎng)相連,所述移動終端1100與所述第一AP具有數(shù)據(jù)連接,所述移動終端1100具有第一PMK,所述第一PMK為所述移動終端1100在與所述第一AP建立數(shù)據(jù)連接時,與RADIUS計算生成的,所述移動終端1100包括存儲器1101、接收器1102和發(fā)送器1103,以及分別與所述存儲器1101、所述接收器1102和發(fā)送器1103連接的處理器1104,所述存儲器1101用于存儲一組程序指令,所述處理器1104用于調(diào)用所述存儲器1101存儲的程序指令執(zhí)行如下操作:
根據(jù)所述第一PMK生成對應所述第二AP的第二PMK;
端根據(jù)所述第二PMK以及預先獲得的所述第二AP的地址信息生成對應所述第二AP的第二PMK ID;
觸發(fā)所述發(fā)送器1103向所述第二AP發(fā)送重關聯(lián)信息,所述重關聯(lián)信息中包括所述第二PMK ID;
觸發(fā)所述接收器1102獲取所述第二AP發(fā)送的確認消息,所述確認消息由所述第二AP通過對第一PMK ID和所述第二PMK ID比對成功后生成,所述第一PMK ID由所述第二AP基于所述WLAN GW發(fā)送的所述第二PMK生成;
完成切換AP,建立與所述第二AP的數(shù)據(jù)連接;
觸發(fā)所述發(fā)送器1103向所述第二AP發(fā)送DHCP請求分配IP地址,以使得所述第二AP將所述WLAN GW分配的所述IP地址分配給所述終端,所述IP地址由所述第二AP在與所述WLAN GW的PMIP消息交互中得到。
可選地,所述處理器1104可以為CPU,所述存儲器1101可以為RAM類型的內(nèi)部存儲器,所述接收器1102和發(fā)送器1103可以包含普通物理接口,所述物理接口可以為Ethernet接口或ATM接口。所述處理器1104、發(fā)送器 1103、接收器1102和存儲器1101可以集成為一個或多個獨立的電路或硬件,如:ASIC。
本發(fā)明實施例中提到的第一AP、第一PMK和第一PMK ID的“第一”只是用來做名字標識,并不代表順序上的第一。該規(guī)則同樣適用于“第二”。
本領域普通技術人員可以理解:實現(xiàn)上述方法實施例的全部或部分步驟可以通過程序指令相關的硬件來完成,前述程序可以存儲于一計算機可讀取存儲介質(zhì)中,該程序在執(zhí)行時,執(zhí)行包括上述方法實施例的步驟;而前述的存儲介質(zhì)可以是下述介質(zhì)中的至少一種:只讀存儲器(Read-Only Memory,ROM)、RAM、磁碟或者光盤等各種可以存儲程序代碼的介質(zhì)。
需要說明的是,本說明書中的各個實施例均采用遞進的方式描述,各個實施例之間相同相似的部分互相參見即可,每個實施例重點說明的都是與其他實施例的不同之處。尤其,對于設備及系統(tǒng)實施例而言,由于其基本相似于方法實施例,所以描述得比較簡單,相關之處參見方法實施例的部分說明即可。以上所描述的設備及系統(tǒng)實施例僅僅是示意性的,其中作為分離部件說明的單元可以是或者也可以不是物理上分開的,作為單元顯示的部件可以是或者也可以不是物理單元,即可以位于一個地方,或者也可以分布到多個網(wǎng)絡單元上??梢愿鶕?jù)實際的需要選擇其中的部分或者全部模塊來實現(xiàn)本實施例方案的目的。本領域普通技術人員在不付出創(chuàng)造性勞動的情況下,即可以理解并實施。
以上所述僅是本發(fā)明的優(yōu)選實施方式,并非用于限定本發(fā)明的保護范圍。應當指出,對于本技術領域的普通技術人員來說,在不脫離本發(fā)明原理的前提下,還可以做出若干改進和潤飾,這些改進和潤飾也應視為本發(fā)明的保護范圍。