專利名稱:無(wú)線通信系統(tǒng)中切換后的目標(biāo)基站獲取安全信息的方法
技術(shù)領(lǐng)域:
本發(fā)明涉及無(wú)線通信技術(shù)領(lǐng)域:
�,尤其涉及無(wú)線通信系統(tǒng)中的終端切換技術(shù)領(lǐng)域:
。
背景技術(shù):
在WiMAX(微波接入全球互通)等無(wú)線通信網(wǎng)絡(luò)中���,當(dāng)移動(dòng)終端切換到另一基站后����,為保證移動(dòng)終端仍然可以通過新的基站進(jìn)行通信��,新的基站需要獲得一些移動(dòng)終端開展通信業(yè)務(wù)所需要的安全信息�����,主要包括切換后新AK(授權(quán)密鑰)上下文和SA(安全聯(lián)盟)上下文。
以WiMAX系統(tǒng)為例����,在WiMAX網(wǎng)絡(luò)的ASN(接入服務(wù)網(wǎng))內(nèi)部安全獨(dú)立部署模型中,鑒權(quán)器與基站是分離設(shè)置的����,即鑒權(quán)器處于基站之后的接入服務(wù)網(wǎng)中的物理網(wǎng)元上,例如���,可以設(shè)置GW(網(wǎng)關(guān))上��。這樣,AK上下文的生成可以有鑒權(quán)器和基站共同完成�,具體的處理過程包括首先,在鑒權(quán)器生成新AK及部分上下文����,其中,所述的AK上下文包括AK���、AKID(授權(quán)密鑰標(biāo)識(shí)符)�����、AK Sequence Number(授權(quán)密鑰序列號(hào))��、AK Lifetime(授權(quán)密鑰的生命時(shí)間)����、HMAC/CMAC_PN_U(上行消息認(rèn)證碼的包序列號(hào))、HMAC/CMAC_PN_D(下行消息認(rèn)證碼的包序列號(hào))��、PMK Sequence Number(對(duì)偶主密鑰序列號(hào))�����、EIK(擴(kuò)展認(rèn)證協(xié)議完整性密鑰)��。
然后����,再將所述的AK上下文發(fā)送到與基站標(biāo)識(shí)對(duì)應(yīng)的基站上,基站接收到上述信息后���,產(chǎn)生剩余部分AK上下文�����,所述的剩余部分AK上下文包括HMAC/CMAC_KEY_U(上行消息認(rèn)證碼的密鑰)�、HMAC/CMAC_KEY_D(下行消息認(rèn)證碼的密鑰)、KEK(密鑰加密密鑰)����。
相應(yīng)的SA上下文的生成則是通過基站和移動(dòng)終端協(xié)商后在兩端生成。
在WiMAX等網(wǎng)絡(luò)中���,當(dāng)移動(dòng)終端切換時(shí)�,切換后的服務(wù)基站需要獲取相應(yīng)的安全信息�,具體為從錨定鑒權(quán)器中獲取相應(yīng)的安全信息。而且�,即使服務(wù)基站不是處于錨定鑒權(quán)器的作用范圍之內(nèi),服務(wù)基站也同樣是通過與錨定鑒權(quán)器直接通信�,以獲取相應(yīng)的安全信息。對(duì)于這種服務(wù)基站未處于錨定鑒權(quán)器的作用范圍之內(nèi)的情況��,為保證兩者之間直接通信的安全性�����,需要在兩者之間采用相應(yīng)的安全協(xié)議��,如采用IPSEC(互聯(lián)網(wǎng)安全協(xié)議)�,為此���,需要在兩者之間需要配置IPSEC安全聯(lián)盟和共享機(jī)密等信息��。
可以看出���,在現(xiàn)有技術(shù)中��,切換后的服務(wù)基站(即切換過程中的目標(biāo)基站)為獲取相應(yīng)的安全信息��,需要所述服務(wù)基站和錨定鑒權(quán)器直接通信���。這樣,在實(shí)際的布網(wǎng)和實(shí)施過程中����,就要求任意鑒權(quán)器與任意基站之間都需要配置IPSEC安全聯(lián)盟和共享機(jī)密,導(dǎo)致相應(yīng)的具體實(shí)施過程變得異常困難��,同時(shí)也給無(wú)線通信系統(tǒng)的運(yùn)營(yíng)和維護(hù)帶來(lái)了不可估量的麻煩����。
發(fā)明內(nèi)容本發(fā)明的目的是提供一種無(wú)線通信系統(tǒng)中切換后的目標(biāo)基站獲取安全信息的方法,可以使得切換后的目標(biāo)基站能夠方便地獲取移動(dòng)終端的安全信息��,并且整個(gè)實(shí)現(xiàn)過程不增加實(shí)際布網(wǎng)的維護(hù)過程的繁瑣程度����。
本發(fā)明的目的是通過以下技術(shù)方案實(shí)現(xiàn)的本發(fā)明提供了一種無(wú)線通信系統(tǒng)中切換后的目標(biāo)基站獲取安全信息的方法�,包括A���、移動(dòng)終端發(fā)生切換后�����,觸發(fā)目標(biāo)基站所在的切換中繼功能網(wǎng)關(guān)從移動(dòng)終端錨定鑒權(quán)器獲取移動(dòng)終端的安全信息�����;
B�、所述的切換中繼功能網(wǎng)關(guān)將獲取的所述移動(dòng)終端的安全信息發(fā)送給目標(biāo)基站���;C����、目標(biāo)基站接收獲取所述移動(dòng)終端的安全信息�。
所述的步驟A包括切換中繼功能網(wǎng)關(guān)通過與移動(dòng)終端的錨定鑒權(quán)器進(jìn)行信息交互獲得移動(dòng)終端的安全信息�����;或者,當(dāng)切換中繼功能網(wǎng)關(guān)與錨定鑒權(quán)器處于同一實(shí)體中時(shí)����,直接由切換中繼功能網(wǎng)關(guān)從錨定鑒權(quán)器獲得移動(dòng)終端的安全信息。
所述的步驟A包括A1����、發(fā)生切換的移動(dòng)終端的服務(wù)基站向相應(yīng)的服務(wù)切換中繼功能網(wǎng)關(guān)發(fā)送安全信息;A2���、所述服務(wù)切換中繼功能網(wǎng)關(guān)接收所述安全信息后���,繼續(xù)向目標(biāo)切換中繼功能網(wǎng)關(guān)發(fā)送該安全信息;A3���、目標(biāo)切換中繼功能網(wǎng)關(guān)將接收的安全信息與從鑒權(quán)器獲得的授權(quán)密鑰AK上下文信息合并獲得新的安全信息作為移動(dòng)終端的安全信息���。
所述的步驟A1包括所述服務(wù)基站向服務(wù)切換中繼功能網(wǎng)關(guān)發(fā)送的安全信息包括上行鏈路消息防重放攻擊序列號(hào)HMAC/CMAC_PN_U和下行鏈路消息防重放攻擊序列號(hào)HMAC/CMAC_PN_D。
所述的安全信息通過切換確認(rèn)消息承載傳送����。
所述的切換確認(rèn)消息中承載的信息包括移動(dòng)終端標(biāo)識(shí)、目標(biāo)基站標(biāo)識(shí)和/或移動(dòng)終端會(huì)話信息��。
所述的方法還包括目標(biāo)切換中繼功能網(wǎng)關(guān)接收到切換確認(rèn)消息后向錨定鑒權(quán)器發(fā)送AK上下文請(qǐng)求消息;
所述錨定鑒權(quán)器接收所述消息后生成新的AK上下文請(qǐng)求消息�,并發(fā)送給目標(biāo)切換中繼功能網(wǎng)關(guān)。
所述的方法還包括目標(biāo)基站接收所述的新的安全消息后�����,根據(jù)安全消息中的AK上下文信息生成剩余部分的AK上下文信息���。
所述的步驟A包括A4�����、目標(biāo)基站向目標(biāo)切換中繼功能網(wǎng)關(guān)發(fā)送上下文請(qǐng)求消息�,并由目標(biāo)切換中繼功能網(wǎng)關(guān)將該消息通過服務(wù)切換中繼功能網(wǎng)關(guān)發(fā)送給服務(wù)基站�����;A5����、服務(wù)基站接收所述消息后,通過上下文報(bào)告將包括安全信息通過服務(wù)切換中繼功能網(wǎng)關(guān)發(fā)送給目標(biāo)切換中繼功能網(wǎng)關(guān)���;A6���、目標(biāo)切換中繼功能網(wǎng)關(guān)將接收的安全信息與從鑒權(quán)器獲得的AK上下文信息合并獲得新的安全信息作為移動(dòng)終端的安全信息。
在所述的步驟A4之前還包括目標(biāo)基站接收到移動(dòng)終端發(fā)來(lái)的參數(shù)調(diào)整請(qǐng)求消息后���,執(zhí)行步驟A4�。
所述的步驟A5包括所述服務(wù)基站向服務(wù)切換中繼功能網(wǎng)關(guān)發(fā)送的安全信息包括HMAC/CMAC_PN_U和HMAC/CMAC_PN_D��。
所述的上下文報(bào)告中承載的信息包括移動(dòng)終端標(biāo)識(shí)��、目標(biāo)基站標(biāo)識(shí)和/或移動(dòng)終端會(huì)話信息�。
所述的方法還包括目標(biāo)切換中繼功能網(wǎng)關(guān)接收到所述上下文報(bào)告后向錨定鑒權(quán)器發(fā)送AK上下文請(qǐng)求消息;所述錨定鑒權(quán)器接收所述消息后生成新的AK上下文請(qǐng)求消息��,并發(fā)送給目標(biāo)切換中繼功能網(wǎng)關(guān)����。
所述的方法還包括
目標(biāo)基站接收所述的新的安全消息后,根據(jù)安全消息中的AK上下文信息生成剩余部分的AK上下文信息����。
所述的方法還包括目標(biāo)基站接收所述的移動(dòng)終端的安全信息后,根據(jù)所述安全信息對(duì)直接由移動(dòng)終端發(fā)來(lái)的消息進(jìn)行合法性驗(yàn)證�����,并在合法性驗(yàn)證通過后,繼續(xù)后續(xù)切換處理過程�,否則,切換過程結(jié)束���。
由上述本發(fā)明提供的技術(shù)方案可以看出���,本發(fā)明中,基站僅與處于同一ASN下的基站或網(wǎng)關(guān)通信����,而不會(huì)直接與不同ASN下的其他基站或網(wǎng)關(guān),因此����,在保證移動(dòng)終端切換后目標(biāo)基站可以獲得該移動(dòng)終端的安全作息的情況下,還可以使得在實(shí)際布網(wǎng)和維護(hù)過程中無(wú)需繁瑣的安全策略配置�,從而可以大大降低網(wǎng)絡(luò)運(yùn)營(yíng)維護(hù)的復(fù)雜程度。
圖1為本發(fā)明中終端切換消息觸發(fā)的安全信息傳輸處理過程示意圖�;圖2為本發(fā)明中由RNG-REQ消息角發(fā)的安全信息傳輸處理過程示意圖;圖3為本發(fā)明所述的方法的具體實(shí)現(xiàn)過程示意圖一�;圖4為本發(fā)明所述的方法的具體實(shí)現(xiàn)過程示意圖二;圖5為本發(fā)明所述的方法的具體實(shí)現(xiàn)過程示意圖三����;圖6為本發(fā)明所述的方法的具體實(shí)現(xiàn)過程示意圖四��;圖7為本發(fā)明所述的方法的具體實(shí)現(xiàn)過程示意圖五�����;圖8為本發(fā)明所述的方法的具體實(shí)現(xiàn)過程示意圖六。
具體實(shí)施方式本發(fā)明的目的是解決移動(dòng)終端切換時(shí)��,如果服務(wù)基站�����、目標(biāo)基站和錨定鑒權(quán)器分別處于不同的鑒權(quán)域中���,服務(wù)基站首先向同一鑒權(quán)域中的服務(wù)網(wǎng)關(guān)發(fā)送安全信息��,然后由服務(wù)網(wǎng)關(guān)向目標(biāo)鑒權(quán)器/網(wǎng)關(guān)發(fā)送安全信息�����,再由目標(biāo)鑒權(quán)器向錨定鑒權(quán)器索取安全信息����。這種分段安全的方法,在實(shí)際布網(wǎng)和維護(hù)過程中非常有用���,可以大大降低運(yùn)營(yíng)維護(hù)的麻煩�。
本發(fā)明的核心是當(dāng)移動(dòng)終端在不同鑒權(quán)域間切換時(shí)�,目標(biāo)基站經(jīng)由目標(biāo)鑒權(quán)器/網(wǎng)關(guān)、錨定鑒權(quán)器���、服務(wù)網(wǎng)關(guān)����,向服務(wù)基站獲取安全信息的方法�����,通過分段安全的方法�,使得實(shí)際布網(wǎng)和維護(hù)變得更加方便。
為便于對(duì)本發(fā)明的理解��,下面將結(jié)合附圖對(duì)本發(fā)明的具體實(shí)現(xiàn)方式進(jìn)行詳細(xì)的說(shuō)明��。
本發(fā)明提供的具體實(shí)現(xiàn)方案可以分為兩類���,其中第一類實(shí)現(xiàn)方案是由MOB_HO-IND(移動(dòng)終端切換指示)消息觸發(fā)的安全信息的傳輸����,如圖1所示;第二類實(shí)現(xiàn)方案是由RNG-REQ(參數(shù)調(diào)整請(qǐng)求)消息觸發(fā)的安全信息的傳輸�,如圖2所示。
下面將結(jié)合附圖分別對(duì)兩種實(shí)現(xiàn)方式進(jìn)行說(shuō)明����。
首先��,如圖1所示���,對(duì)于由MOB_HO-IND消息觸發(fā)的安全信息的傳輸?shù)木唧w實(shí)現(xiàn)過程包括以下步驟步驟11移動(dòng)終端向服務(wù)基站的切換功能模塊發(fā)送MOB_MSHO-REQ消息�����。該消息包括移動(dòng)終端標(biāo)識(shí)MSID��,備選目標(biāo)基站列表等��。
步驟12服務(wù)基站的切換功能模塊向服務(wù)ASN內(nèi)的切換中繼功能模塊發(fā)送切換請(qǐng)求消息���。
如果切換發(fā)生在同一ASN內(nèi)部,將跳過下面步驟13和步驟16���。
步驟13如果是ASN間切換����,服務(wù)ASN的切換中繼功能模塊將中繼切換請(qǐng)求消息到目標(biāo)ASN的切換中繼功能模塊。
步驟14目標(biāo)ASN的切換中繼功能模塊向備選目標(biāo)基站列表中每個(gè)基站上的切換功能模塊發(fā)送切換請(qǐng)求消息��。這里基站n和基站x表示備選目標(biāo)基站列表中的基站�。
步驟15目標(biāo)基站對(duì)切換請(qǐng)求消息作出響應(yīng),向目標(biāo)ASN的切換中繼功能模塊發(fā)出切換響應(yīng)���。
步驟16目標(biāo)ASN的切換中繼功能模塊收集各個(gè)目標(biāo)基站回復(fù)的信息�,根據(jù)這些信息建立新的備選基站列表����,并向服務(wù)ASN的切換中繼功能模塊發(fā)送切換響應(yīng)。
步驟17服務(wù)ASN的切換中繼功能模塊把收到的切換響應(yīng)中繼到服務(wù)基站上的切換功能模塊����。
步驟18服務(wù)基站上的切換功能模塊回復(fù)給移動(dòng)終端一條MOB_基站切換響應(yīng)消息,該消息包括新生成的備選目標(biāo)基站列表���。
步驟19移動(dòng)終端從備選目標(biāo)基站列表中選擇一個(gè)作為目標(biāo)基站����,然后向服務(wù)基站的切換功能模塊發(fā)送MOB_HO-IND消息,該消息指出移動(dòng)終端將要切換到的目標(biāo)基站�。
步驟110服務(wù)基站上的切換功能模塊向服務(wù)ASN的切換中繼功能模塊發(fā)送切換確認(rèn)消息,該消息包括移動(dòng)終端標(biāo)識(shí)MSID��、目標(biāo)基站標(biāo)識(shí)BSID����、移動(dòng)終端會(huì)話信息內(nèi)容,如果在切換準(zhǔn)備階段發(fā)送了移動(dòng)終端會(huì)話信息內(nèi)容���,只能包括當(dāng)前的HMAC/CMAC_PN_U和HMAC/CMAC_PN_D的值�����。
步驟111如果移動(dòng)終端發(fā)生ASN間切換,服務(wù)ASN中的切換中繼功能模塊將把切換確認(rèn)消息中繼到目標(biāo)ASN的切換中繼功能模塊����。
步驟112由于必須從錨定鑒權(quán)器獲取新的AK,目標(biāo)ASN的切換中繼功能模塊必須向錨定鑒權(quán)器發(fā)送上下文請(qǐng)求消息��,以請(qǐng)求新的AK�����。該消息包括MSID和目標(biāo)BSID。
步驟113錨定鑒權(quán)器用緩存的PMK和MSID��、BSID產(chǎn)生新的AK及部分AK上下文�。
步驟114錨定鑒權(quán)器向目標(biāo)ASN的切換中繼功能模塊發(fā)送上下文報(bào)告消息,該消息包括新產(chǎn)生的AK及部分AK上下文���。
步驟115該移動(dòng)終端全部會(huì)話信息準(zhǔn)備好后��,目標(biāo)ASN的切換中繼功能模塊向目標(biāo)基站上的切換功能模塊發(fā)送切換確認(rèn)消息�����。如果在切換準(zhǔn)備階段發(fā)送了移動(dòng)終端的會(huì)話信息內(nèi)容�����,只能包括新AK上下文��。
步驟116目標(biāo)基站上的切換功能模塊根據(jù)新AK產(chǎn)生剩余部分AK上下文�����,從而獲得完成的AK上下文信息�。
其次��,如圖2所示,在圖2中涉及到的RNG-REQ(參數(shù)調(diào)整請(qǐng)求)消息和RNG-RSP(參數(shù)調(diào)整響應(yīng))消息的作用是用來(lái)調(diào)整MS和BS之間的一些參數(shù)��,如功率等��。相應(yīng)的由RNG-REQ消息觸發(fā)的安全信息的傳輸?shù)木唧w實(shí)現(xiàn)過程包括以步驟步驟21移動(dòng)終端向目標(biāo)基站的切換功能模塊發(fā)送RNG-REQ消息����。
步驟22如果目標(biāo)基站上沒有該終端的會(huì)話信息或部分會(huì)話信息丟失,目標(biāo)基站的切換功能模塊就向目標(biāo)ASN的切換中繼功能模塊發(fā)送上下文請(qǐng)求消息�����,該消息包括MSID�,目標(biāo)BSID和服務(wù)BSID。
步驟23如果目標(biāo)ASN的切換中繼功能模塊沒有最新會(huì)話信息或部分會(huì)話信息丟失了��,就把上下文請(qǐng)求消息中繼到服務(wù)ASN的切換中繼功能模塊���。
步驟24如果服務(wù)ASN的切換中繼功能模塊沒有最新會(huì)話信息或部分會(huì)話信息丟失了,就把上下文請(qǐng)求消息中繼到服務(wù)基站的切換功能模塊����。
步驟25服務(wù)基站的切換功能模塊向服務(wù)ASN的切換中繼功能模塊發(fā)送上下文報(bào)告消息,該消息包括完整的會(huì)話信息�����。
步驟26服務(wù)ASN的切換中繼功能模塊把上下文報(bào)告消息中繼到目標(biāo)ASN的切換中繼功能模塊。
步驟27目標(biāo)ASN的切換中繼功能模塊向錨定鑒權(quán)器發(fā)送上下文請(qǐng)求消息���,請(qǐng)求新的AK和AK上下文���,該消息包括MSID和目標(biāo)BSID。
步驟28錨定鑒權(quán)器用緩存的PMK和MSID����、目標(biāo)BSID產(chǎn)生新的AK及部分AK上下文。
步驟29錨定鑒權(quán)器向目標(biāo)ASN的切換中繼功能模塊發(fā)送上下文報(bào)告消息����,該消息包括MSID、BSID�����、新產(chǎn)生的AK及部分AK上下文���。
步驟210目標(biāo)ASN的切換中繼功能模塊向目標(biāo)基站上的切換功能模塊發(fā)送上下文報(bào)告消息�����,該消息包括MSID和完整的會(huì)話信息�。
步驟211目標(biāo)基站上的切換功能模塊根據(jù)新AK產(chǎn)生剩余部分AK上下文,從而獲得完整的AK上下文信息�。
由于移動(dòng)終端切換可能在ASN內(nèi)部或ASN之間進(jìn)行,同時(shí)移動(dòng)終端可以通過MOB_HO-IND消息或RNG-REQ消息指示實(shí)際切換�,因此存在多種移動(dòng)終端切換的場(chǎng)景,在不同的場(chǎng)景下目標(biāo)基站獲取安全信息的方法也有所不同�����,具體可以包括以下幾種情況(1)在ASN內(nèi)部切換時(shí)���,ASN內(nèi)部網(wǎng)關(guān)上的鑒權(quán)器就是此移動(dòng)終端的錨定鑒權(quán)器��,且由MOB_HO-IND消息觸發(fā)AK傳輸��;(2)在ASN內(nèi)部切換時(shí)�,ASN內(nèi)部網(wǎng)關(guān)上的鑒權(quán)器不是此移動(dòng)終端的錨定鑒權(quán)器�,且由MOB_HO-IND消息觸發(fā)AK傳輸;(3)在ASN內(nèi)部切換時(shí)����,ASN內(nèi)部網(wǎng)關(guān)上的鑒權(quán)器是此移動(dòng)終端的錨定鑒權(quán)器��,且由RNG-REQ消息觸發(fā)AK傳輸;(4)在ASN內(nèi)部切換時(shí)���,ASN內(nèi)部網(wǎng)關(guān)上的鑒權(quán)器不是此移動(dòng)終端的錨定鑒權(quán)器�����,且由RNG-REQ消息觸發(fā)AK傳輸����;(5)ASN之間切換時(shí)���,且由MOB_HO-IND消息觸發(fā)AK傳輸�����;(6)ASN之間切換時(shí)����,且由RNG-REQ消息觸發(fā)AK傳輸���。
下面針對(duì)上述六種情況將結(jié)合對(duì)應(yīng)的六種具體的應(yīng)用場(chǎng)景對(duì)目標(biāo)基站獲取安全信息過程中可能出現(xiàn)的幾種情況進(jìn)行說(shuō)明�。
(一)實(shí)施例一在該實(shí)施例中,移動(dòng)終端在服務(wù)基站下�����,ASN內(nèi)部網(wǎng)關(guān)上的鑒權(quán)器是此移動(dòng)終端錨定鑒權(quán)器�,其中,所述的ASN內(nèi)部網(wǎng)關(guān)即為目標(biāo)基站所在的切換中繼功能網(wǎng)關(guān)�,其與服務(wù)基站所在的切換中繼功能網(wǎng)關(guān)為同一網(wǎng)關(guān),并且移動(dòng)終端通過MOB_HO-IND消息觸發(fā)AK傳輸����,此時(shí)相應(yīng)的處理過程如圖3所示,具體包括以下步驟步驟31移動(dòng)終端切換時(shí)���,向服務(wù)基站發(fā)送MOB_HO-IND消息�����,該消息包含了移動(dòng)終端標(biāo)識(shí)��、目標(biāo)基站標(biāo)識(shí)及消息摘要等�����。
步驟32服務(wù)基站在收到消息后�,向鑒權(quán)器發(fā)送切換指示消息(如HO-Indication),該消息包含了移動(dòng)終端標(biāo)識(shí)�、目標(biāo)基站標(biāo)識(shí)以及舊AK上下文(即HMAC/CMAC_PN_U和HMAC/CMAC_PN_D)和為移動(dòng)終端當(dāng)前使用的SA(安全聯(lián)盟)上下文���。
步驟33鑒權(quán)器在收到消息后�,根據(jù)鑒權(quán)器上緩存的PMK(對(duì)偶主密鑰)生成新AK��,并結(jié)合收到的上下文填充新AK上下文的部分內(nèi)容�,填充后的AK上下文包括AK,AKID���,AK Sequence Number�,AK Lifetime��,PMKSequence Number�����,HMAC/CMAC_PN_U�,HMAC/CMAC_PN_D,EIK��。
步驟34鑒權(quán)器將此部分AK上下文和SA上下文通過上下文報(bào)告Contextreport消息發(fā)送給目標(biāo)基站�����。
步驟35目標(biāo)基站在收到消息后,通過收到的AK及AK SequenceNumber并結(jié)合移動(dòng)終端標(biāo)識(shí)和基站標(biāo)識(shí)產(chǎn)生出其他的AK的上下文信息�,如HMAC/CMAC_KEY_U、HMAC/CMAC_KEY_D以及KEK等����,至此,AK的上下文填充完整�。
步驟36,37切換過程完成后���,移動(dòng)終端向目標(biāo)基站發(fā)送RNG-REQ消息�����,移動(dòng)終端在發(fā)送這條消息之前已經(jīng)生成了新的AK上下文��;服務(wù)基站給移動(dòng)終端回應(yīng)RNG-RSP消息��,并使用切換過程優(yōu)化參數(shù)來(lái)指示是否需要做基本能力協(xié)商過程(即SBC過程)�。
步驟38�,39如果RNG-RSP中的切換過程優(yōu)化參數(shù)指示要進(jìn)行基本能力協(xié)商,則進(jìn)行一個(gè)SBC-REQ(訂閱臺(tái)基本能力請(qǐng)求)消息和SBC-RSP(訂閱臺(tái)基本能力響應(yīng))消息的交互過程���;
所述的SBC-REQ消息和SBC-RSP消息的作用是用來(lái)協(xié)商MS的基本能力��,如支持何種版本的私密管理協(xié)議的能力等���。
(二)實(shí)施例二在該實(shí)施例中,移動(dòng)終端仍處于服務(wù)基站下�,ASN內(nèi)部網(wǎng)關(guān)上的鑒權(quán)器不是此移動(dòng)終端錨定鑒權(quán)器,其中���,所述的ASN內(nèi)部網(wǎng)關(guān)即為目標(biāo)基站所在的切換中繼功能網(wǎng)關(guān)�,其與服務(wù)基站所在的切換中繼功能網(wǎng)關(guān)為同一網(wǎng)關(guān)�����,并且移動(dòng)終端通過MOB_HO-IND消息觸發(fā)AK傳輸����,此時(shí)相應(yīng)的處理過程如圖4所示,具體包括以下處理步驟步驟41移動(dòng)終端切換時(shí)���,向服務(wù)基站發(fā)送MOB_HO-IND消息�����,該消息包含了移動(dòng)終端標(biāo)識(shí)�、目標(biāo)基站標(biāo)識(shí)以及消息摘要等。
步驟42服務(wù)基站在收到消息后����,向網(wǎng)關(guān)發(fā)送切換指示消息(如HO-Indication),該消息包含了移動(dòng)終端標(biāo)識(shí)���、目標(biāo)基站標(biāo)識(shí)以及舊AK上下文(HMAC/CMAC_PN_U和HMAC/CMAC_PN_D)和移動(dòng)終端當(dāng)前使用的SA上下文��。
步驟43網(wǎng)關(guān)向錨定鑒權(quán)器發(fā)送AK請(qǐng)求消息(如AK Request)�����,用以請(qǐng)求新AK的上下文�����。
步驟44錨定鑒權(quán)器在收到消息后����,根據(jù)錨定鑒權(quán)器上緩存的對(duì)偶主密鑰PMK生成新AK及AK上下文的部分內(nèi)容�,此時(shí)AK上下文包含AK,AKID����,AK Sequence Number���,AK Lifetime,PMK Sequence Number���,EIK�。
步驟45錨定鑒權(quán)器將此部分AK上下文通過AK傳輸消息(如AKTransfer)發(fā)送給網(wǎng)關(guān)��。
步驟46網(wǎng)關(guān)在收到消息后�����,并結(jié)合舊的上下文填充新AK上下文的部分內(nèi)容�����,如HMAC/CMAC_PN_U���,HMAC/CMAC_PN_D;網(wǎng)關(guān)通過上下文報(bào)告消息(Context report)向目標(biāo)基站下發(fā)AK上下文和SA上下文��。
步驟47目標(biāo)基站在收到消息后���,通過收到的AK及AK SequenceNumber并結(jié)合移動(dòng)終端標(biāo)識(shí)和基站標(biāo)識(shí)產(chǎn)生出其他的AK的上下文信息�,如HMAC/CMAC_KEY_U、HMAC/CMAC_KEY_D以及KEK等�����。至此���,AK的上下文填充完整����。
步驟48�,49切換過程完成后,移動(dòng)終端向目標(biāo)基站發(fā)送RNG-REQ消息�,移動(dòng)終端在發(fā)送這條消息之前已經(jīng)生成了新的AK上下文。服務(wù)基站給移動(dòng)終端回應(yīng)RNG-RSP消息���,并使用切換過程優(yōu)化參數(shù)來(lái)指示是否需要做基本能力協(xié)商過程(即SBC過程)�。
步驟410�,411如果RNG-RSP中的切換過程優(yōu)化參數(shù)指示要進(jìn)行基本能力協(xié)商,則進(jìn)行一個(gè)SBC-REQ和SBC-RSP的過程�。
(三)實(shí)施例三在該實(shí)施例中,移動(dòng)終端切換到目標(biāo)基站下,ASN內(nèi)部網(wǎng)關(guān)上的鑒權(quán)器是此移動(dòng)終端錨定鑒權(quán)器�,其中,所述的ASN內(nèi)部網(wǎng)關(guān)即為目標(biāo)基站所在的切換中繼功能網(wǎng)關(guān)�,其與服務(wù)基站所在的切換中繼功能網(wǎng)關(guān)為同一網(wǎng)關(guān),且移動(dòng)終端通過RNG-REQ消息觸發(fā)AK傳輸�,此時(shí)相應(yīng)的處理過程如圖5所示,具體包括以下步驟步驟51移動(dòng)終端切換時(shí)��,向目標(biāo)基站發(fā)送RNG-REQ消息�,該消息包含了移動(dòng)終端標(biāo)識(shí)、目標(biāo)基站標(biāo)識(shí)以及消息摘要等����。該消息摘要的密鑰可以有新AK得出,移動(dòng)終端可以在切換前����,計(jì)算出新的AK����。
步驟52目標(biāo)基站在收到消息后,向鑒權(quán)器發(fā)送請(qǐng)求消息(ContextRequest)��,用來(lái)請(qǐng)求新AK上下文和SA上下文����。如果在切換準(zhǔn)備過程中�����,服務(wù)基站已經(jīng)將這些信息傳給了當(dāng)前的鑒權(quán)器/網(wǎng)關(guān)����,鑒權(quán)器/網(wǎng)關(guān)上保存有改移動(dòng)終端的舊AK上下文和為當(dāng)前移動(dòng)終端使用的SA上下文�,則步驟53、54可以省略��。
步驟53�、54鑒權(quán)器和服務(wù)基站通過此交互過程,從服務(wù)基站獲得舊AK上下文(HMAC/CMAC_PN_U和HMAC/CMAC_PN_D)和為移動(dòng)終端當(dāng)前使用的SA上下文��。
步驟55鑒權(quán)器在收到消息后����,根據(jù)鑒權(quán)器上緩存的對(duì)主密鑰(PMK)生成新AK,并結(jié)合收到的上下文填充新AK上下文的部分內(nèi)容���,填充后的AK上下文包含如下內(nèi)容AK��,AKID��,AK Sequence Number���,AK Lifetime���,PMKSequence Number,HMAC/CMAC_PN_U���,HMAC/CMAC_PN_D����,EIK����。
步驟56鑒權(quán)器將此部分AK上下文和SA上下文通過報(bào)告消息(Contextreport)發(fā)送給目標(biāo)基站。
步驟57目標(biāo)基站在收到消息后�,通過收到的AK及AK SequenceNumber并結(jié)合移動(dòng)終端標(biāo)識(shí)和基站標(biāo)識(shí)產(chǎn)生出其他的AK的上下文信息,如HMAC/CMAC_KEY_U����、HMAC/CMAC_KEY_D以及KEK等��。至此����,AK的上下文填充完整���。
步驟58至此,目標(biāo)基站已經(jīng)擁有移動(dòng)終端的AK上下文和SA上下文��。由于獲得了新AK�����,可以檢查RNG-REQ的合法性��,如果不合法�,目標(biāo)基站將會(huì)刪除AK上下文,否則繼續(xù)后續(xù)過程��。
步驟59服務(wù)基站給移動(dòng)終端回應(yīng)RNG-RSP消息���,并使用切換過程優(yōu)化參數(shù)來(lái)指示是否需要做基本能力協(xié)商過程(即SBC過程)����。
步驟510����,511如果RNG-RSP中的切換過程優(yōu)化參數(shù)指示要進(jìn)行基本能力協(xié)商��,則進(jìn)行一個(gè)SBC-REQ和SBC-RSP的過程�。
(四)實(shí)施例四在該實(shí)施例中�����,移動(dòng)終端已經(jīng)切換到目標(biāo)基站下����,ASN內(nèi)部網(wǎng)關(guān)上的鑒權(quán)器不是此移動(dòng)終端錨定鑒權(quán)器,其中�����,所述的ASN內(nèi)部網(wǎng)關(guān)即為目標(biāo)基站所在的切換中繼功能網(wǎng)關(guān)�����,其與服務(wù)基站所在的切換中繼功能網(wǎng)關(guān)為同一網(wǎng)關(guān)��,且移動(dòng)終端通過RNG-REQ消息觸發(fā)AK傳輸?shù)倪^程��,此時(shí)�����,相應(yīng)的處理過程如圖6所示��,具體包括以下處理步驟
步驟61移動(dòng)終端切換時(shí)��,向目標(biāo)基站發(fā)送RNG-REQ消息���,該消息包含了移動(dòng)終端標(biāo)識(shí)��、目標(biāo)基站標(biāo)識(shí)以及消息摘要等���,而且,該消息摘要的密鑰可以有新AK得出���,移動(dòng)終端可以在切換前�,計(jì)算出新的AK��。
步驟62目標(biāo)基站在收到消息后���,向網(wǎng)關(guān)發(fā)送上下文請(qǐng)求ContextRequest消息��,用來(lái)請(qǐng)求新AK上下文和SA上下文�。
步驟63網(wǎng)關(guān)向錨定鑒權(quán)器發(fā)送AK請(qǐng)求消息����,例如可以為AK Request消息�����,用以請(qǐng)求新AK的上下文����。
步驟64錨定鑒權(quán)器在收到消息后���,根據(jù)錨定鑒權(quán)器上緩存的對(duì)偶主密鑰PMK生成新AK及AK上下文的部分內(nèi)容���,此時(shí)AK上下文包含AK,AKID����,AK Sequence Number,AK Lifetime��,PMK Sequence Number���,EIK��。
步驟65錨定鑒權(quán)器將此部分AK上下文通過AK傳輸消息發(fā)送給網(wǎng)關(guān)����,例如���,可以通過AK Transfer消息發(fā)送給網(wǎng)關(guān)���;如果在切換準(zhǔn)備過程中,服務(wù)基站已經(jīng)將這些信息傳給了當(dāng)前的鑒權(quán)器/網(wǎng)關(guān)�����,鑒權(quán)器/網(wǎng)關(guān)上保存有改移動(dòng)終端的舊AK上下文和為當(dāng)前移動(dòng)終端使用的SA上下文�,則后續(xù)的步驟66、67步可以省略�����,而直接執(zhí)行步驟68��。
步驟66�、67網(wǎng)關(guān)和服務(wù)基站通過此交互過程,從服務(wù)基站獲得目標(biāo)基站標(biāo)識(shí)以及舊AK上下文(HMAC/CMAC_PN_U和HMAC/CMAC_PN_D)和為移動(dòng)終端當(dāng)前使用的SA上下文(TEK0�、TEK1、PN0�、PN1)�。
步驟68服務(wù)網(wǎng)關(guān)在收到消息后�����,并結(jié)合舊的上下文填充新AK上下文的部分內(nèi)容��,如HMAC/CMAC_PN_U�,HMAC/CMAC_PN_D,并由服務(wù)網(wǎng)關(guān)將此部分AK上下文和SA上下文通過上下文報(bào)告Context report消息發(fā)送給目標(biāo)基站��。
步驟69目標(biāo)基站在收到消息后�����,通過收到的AK及AK SequenceNumber并結(jié)合移動(dòng)終端標(biāo)識(shí)和基站標(biāo)識(shí)產(chǎn)生出其他的AK的上下文信息��,如HMAC/CMAC_KEY_U��、HMAC/CMAC_KEY_D以及KEK等���,至此�,AK的上下文填充完整���。
步驟610至此�����,目標(biāo)基站已經(jīng)擁有移動(dòng)終端的AK上下文和SA上下文���。由于獲得了新AK,可以檢查RNG-REQ的合法性���。如果不合法�����,目標(biāo)基站將會(huì)刪除AK上下文�,否則繼續(xù)后續(xù)過程�。
步驟611服務(wù)基站給移動(dòng)終端回應(yīng)RNG-RSP消息,并使用切換過程優(yōu)化參數(shù)來(lái)指示是否需要做基本能力協(xié)商過程���,即SBC過程�。
步驟612��、613如果RNG-RSP中的切換過程優(yōu)化參數(shù)指示要進(jìn)行基本能力協(xié)商��,則進(jìn)行一個(gè)SBC-REQ和SBC-RSP的過程。
(五)實(shí)施例五在該實(shí)施例中�,移動(dòng)終端仍處于服務(wù)基站下,在移動(dòng)終端向服務(wù)基站發(fā)送MOB_HO-IND之后安全信息獲取的過程如圖7所示��,具體包括以下步驟步驟71移動(dòng)終端切換時(shí)�����,向服務(wù)基站發(fā)送MOB_HO-IND消息���,該消息包含了移動(dòng)終端標(biāo)識(shí)�����、目標(biāo)基站標(biāo)識(shí)及消息摘要等��。
步驟72服務(wù)基站在收到消息后�����,向服務(wù)網(wǎng)關(guān)發(fā)送切換指示消息��,例如��,向服務(wù)網(wǎng)關(guān)發(fā)送HO-Indication消息����,該消息包含了移動(dòng)終端標(biāo)識(shí)、目標(biāo)基站標(biāo)識(shí)以及舊AK上下文(HMAC/CMAC_PN_U和HMAC/CMAC_PN_D)和為移動(dòng)終端當(dāng)前使用的SA上下文���。
步驟73服務(wù)網(wǎng)關(guān)上將收到的切換指示消息轉(zhuǎn)發(fā)到目標(biāo)網(wǎng)關(guān)�,參見步驟72��,可以為HO-Indication消息��。
步驟74目標(biāo)網(wǎng)關(guān)在收到消息后��,向錨定鑒權(quán)器發(fā)送AK請(qǐng)求消息��,如AK Request消息���,用以請(qǐng)求新AK的上下文;需要說(shuō)明的是如果服務(wù)網(wǎng)關(guān)上的鑒權(quán)器和錨定鑒權(quán)器為相同實(shí)體���,這時(shí)可以將鑒權(quán)器和錨定鑒權(quán)器作為一個(gè)來(lái)看��,即步驟73�、74可以省略�����。
步驟75錨定鑒權(quán)器在收到消息后,根據(jù)錨定鑒權(quán)器上緩存的對(duì)偶主密鑰PMK生成新AK及AK上下文的部分內(nèi)容���,此時(shí)AK上下文包含AK��,AKID����,AK Sequence Number��,AK Lifetime����,PMK Sequence Number,EIK�。
步驟76錨定鑒權(quán)器將新生成的AK上下文通過AK傳輸消息發(fā)送給目標(biāo)網(wǎng)關(guān),例如�����,可以通過AK Transfer消息發(fā)送給目標(biāo)網(wǎng)關(guān)�����;如果目標(biāo)鑒權(quán)器和錨定鑒權(quán)器為相同實(shí)體,則步驟74���、76可以省略�。
步驟77網(wǎng)關(guān)在收到所述消息后���,結(jié)合舊的上下文填充新AK上下文的部分內(nèi)容�����,如HMAC/CMAC_PN_U��,HMAC/CMAC_PN_D����,并將此部分AK上下文和SA上下文通過上下文報(bào)告Context report消息發(fā)送給目標(biāo)基站����。
步驟78目標(biāo)基站在收到消息后��,通過收到的AK及AK SequenceNumber并結(jié)合移動(dòng)終端標(biāo)識(shí)和基站標(biāo)識(shí)產(chǎn)生出其他的AK的上下文信息����,如HMAC/CMAC_KEY_U�、HMAC/CMAC_KEY_D以及KEK等����。至此,AK的上下文填充完整�。
步驟79、710切換過程完成后����,移動(dòng)終端向目標(biāo)基站發(fā)送RNG-REQ消息,移動(dòng)終端在發(fā)送這條消息之前已經(jīng)生成了新的AK上下文���;服務(wù)基站給移動(dòng)終端回應(yīng)RNG-RSP消息���,并使用切換過程優(yōu)化參數(shù)來(lái)指示是否需要做基本能力協(xié)商過程(即SBC過程)。
步驟711����,712如果RNG-RSP中的切換過程優(yōu)化參數(shù)指示要進(jìn)行基本能力協(xié)商,則進(jìn)行一個(gè)SBC-REQ和SBC-RSP的過程�����。
(六)實(shí)施例六在該實(shí)施例中����,移動(dòng)終端已經(jīng)切換到目標(biāo)基站下��,當(dāng)移動(dòng)終端已經(jīng)切換到目標(biāo)基站上后�,由移動(dòng)終端向目標(biāo)基站發(fā)送RNG-REQ之后安全信息獲取的過程如圖8所示����,具體包括的步驟如下步驟81移動(dòng)終端切換時(shí),向目標(biāo)基站發(fā)送RNG-REQ消息�,該消息包含了移動(dòng)終端標(biāo)識(shí)、目標(biāo)基站標(biāo)識(shí)以及消息摘要等��,該消息摘要的密鑰可以有新AK得出�����,移動(dòng)終端可以在切換前���,計(jì)算出新的AK���。
步驟82目標(biāo)基站在收到消息后����,向目標(biāo)網(wǎng)關(guān)發(fā)送上下文請(qǐng)求ContextRequest消息���,用來(lái)請(qǐng)求新AK上下文和SA上下文;如果鑒權(quán)器上保存有改移動(dòng)終端的舊AK上下文和為當(dāng)前移動(dòng)終端使用的SA上下文�,則步驟86、87����、88、89可以省略�。
步驟83目標(biāo)網(wǎng)關(guān)向錨定鑒權(quán)器發(fā)送AK請(qǐng)求消息,例如���,發(fā)送AKRequest消息�����,用以請(qǐng)求新AK的上下文�。
步驟84錨定鑒權(quán)器在收到消息后���,根據(jù)錨定鑒權(quán)器上緩存的對(duì)偶主密鑰PMK生成新AK及AK上下文的部分內(nèi)容�,此時(shí)AK上下文包含AK���,AKID�,AK Sequence Number,AK Lifetime�����,PMK Sequence Number�����,EIK�。
步驟85錨定鑒權(quán)器將新生成的AK上下文通過AK傳輸消息發(fā)送給目標(biāo)網(wǎng)關(guān),例如���,通過AK Transfer消息發(fā)送給目標(biāo)網(wǎng)關(guān)����;需要說(shuō)明的是如果服務(wù)網(wǎng)關(guān)上的鑒權(quán)器和錨定鑒權(quán)器為相同的實(shí)體���,則可以將鑒權(quán)器和錨定鑒權(quán)器作為一個(gè)實(shí)體來(lái)看����,此時(shí)�,步驟83����、85可以省略�����,其他處理過程不變���;同樣,如果目標(biāo)鑒權(quán)器和錨定鑒權(quán)器為相同的實(shí)體����,則步驟83、85也可以省略���。
步驟86目標(biāo)網(wǎng)關(guān)上向服務(wù)網(wǎng)關(guān)發(fā)送上下文請(qǐng)求Context Request消息�����,用來(lái)請(qǐng)求新AK上下文和SA上下文���;如果鑒權(quán)器上保存有改移動(dòng)終端的舊AK上下文和為當(dāng)前移動(dòng)終端使用的SA上下文,則步驟87���、88可以省略����。
步驟87、88服務(wù)網(wǎng)關(guān)和服務(wù)基站通過此交互過程����,從服務(wù)基站獲得目標(biāo)基站標(biāo)識(shí)以及舊AK上下文(HMAC/CMAC_PN_U和HMAC/CMAC_PN_D)和為移動(dòng)終端當(dāng)前使用的SA上下文(TEK0、TEK1��、PN0����、PN1)。
步驟89服務(wù)網(wǎng)關(guān)將目標(biāo)基站標(biāo)識(shí)以及舊AK上下文和為移動(dòng)終端當(dāng)前使用的SA上下文通過上下文報(bào)告Context report消息發(fā)送給目標(biāo)網(wǎng)關(guān)�����。
步驟810目標(biāo)網(wǎng)關(guān)在收到消息后���,結(jié)合舊的上下文填充新AK上下文的部分內(nèi)容�����,如HMAC/CMAC_PN_U�����,HMAC/CMAC_PN_D���,并將此部分AK上下文和SA上下文通過報(bào)告消息(Context report)發(fā)送給目標(biāo)基站。
步驟811目標(biāo)基站在收到消息后��,通過收到的AK及AK SequenceNumber并結(jié)合移動(dòng)終端標(biāo)識(shí)和基站標(biāo)識(shí)產(chǎn)生出其他的AK的上下文信息�����,如HMAC/CMAC_KEY_U��、HMAC/CMAC_KEY_D以及KEK等���,至此�����,AK的上下文填充完整���。
步驟812目標(biāo)基站已經(jīng)擁有移動(dòng)終端的AK上下文和SA上下文,由于獲得了新AK���,可以檢查RNG-REQ的合法性�,如果不合法,目標(biāo)基站將會(huì)刪除AK上下文���,否則繼續(xù)后續(xù)過程����。
步驟813服務(wù)基站給移動(dòng)終端回應(yīng)RNG-RSP消息��,并使用切換過程優(yōu)化參數(shù)來(lái)指示是否需要做基本能力協(xié)商過程(即SBC過程)��。
步驟814�����、815如果RNG-RSP中的切換過程優(yōu)化參數(shù)指示要進(jìn)行基本能力協(xié)商���,則進(jìn)行一個(gè)SBC-REQ和SBC-RSP的過程��。
綜上所述的�����,從上述各具體實(shí)施方法可以看出����,本發(fā)明提供的方法在實(shí)際布網(wǎng)和維護(hù)過程中非常有用,可以大大降低運(yùn)營(yíng)維護(hù)的麻煩��。
以上所述���,僅為本發(fā)明較佳的具體實(shí)施方式
����,但本發(fā)明的保護(hù)范圍并不局限于此��,任何熟悉本技術(shù)領(lǐng)域:
的技術(shù)人員在本發(fā)明揭露的技術(shù)范圍內(nèi)����,可輕易想到的變化或替換�,都應(yīng)涵蓋在本發(fā)明的保護(hù)范圍之內(nèi)。因此�����,本發(fā)明的保護(hù)范圍應(yīng)該以權(quán)利要求
的保護(hù)范圍為準(zhǔn)����。
權(quán)利要求
1.一種無(wú)線通信系統(tǒng)中切換后的目標(biāo)基站獲取安全信息的方法��,其特征在于��,包括A�����、移動(dòng)終端發(fā)生切換后�,觸發(fā)目標(biāo)基站所在的切換中繼功能網(wǎng)關(guān)從移動(dòng)終端錨定鑒權(quán)器獲取移動(dòng)終端的安全信息����;B、所述的切換中繼功能網(wǎng)關(guān)將獲取的所述移動(dòng)終端的安全信息發(fā)送給目標(biāo)基站����;C、目標(biāo)基站接收獲取所述移動(dòng)終端的安全信息�����。
2.根據(jù)權(quán)利要求
1所述的無(wú)線通信系統(tǒng)中切換后的目標(biāo)基站獲取安全信息的方法�����,其特征在于�,所述的步驟A包括切換中繼功能網(wǎng)關(guān)通過與移動(dòng)終端的錨定鑒權(quán)器進(jìn)行信息交互獲得移動(dòng)終端的安全信息����;或者�,當(dāng)切換中繼功能網(wǎng)關(guān)與錨定鑒權(quán)器處于同一實(shí)體中時(shí),直接由切換中繼功能網(wǎng)關(guān)從錨定鑒權(quán)器獲得移動(dòng)終端的安全信息���。
3.根據(jù)權(quán)利要求
1所述的無(wú)線通信系統(tǒng)中切換后的目標(biāo)基站獲取安全信息的方法��,其特征在于�,所述的步驟A包括A1��、發(fā)生切換的移動(dòng)終端的服務(wù)基站向相應(yīng)的服務(wù)切換中繼功能網(wǎng)關(guān)發(fā)送安全信息����;A2����、所述服務(wù)切換中繼功能網(wǎng)關(guān)接收所述安全信息后,繼續(xù)向目標(biāo)切換中繼功能網(wǎng)關(guān)發(fā)送該安全信息�;A3、目標(biāo)切換中繼功能網(wǎng)關(guān)將接收的安全信息與從鑒權(quán)器獲得的授權(quán)密鑰AK上下文信息合并獲得新的安全信息作為移動(dòng)終端的安全信息��。
4.根據(jù)權(quán)利要求
3所述的無(wú)線通信系統(tǒng)中切換后的目標(biāo)基站獲取安全信息的方法�,其特征在于�����,所述的步驟A1包括所述服務(wù)基站向服務(wù)切換中繼功能網(wǎng)關(guān)發(fā)送的安全信息包括上行鏈路消息防重放攻擊序列號(hào)HMAC/CMAC_PN_U和下行鏈路消息防重放攻擊序列號(hào)HMAC/CMAC_PN_D�����。
5.根據(jù)權(quán)利要求
3或4所述的無(wú)線通信系統(tǒng)中切換后的目標(biāo)基站獲取安全信息的方法��,其特征在于�,所述的安全信息通過切換確認(rèn)消息承載傳送�。
6.根據(jù)權(quán)利要求
5所述的無(wú)線通信系統(tǒng)中切換后的目標(biāo)基站獲取安全信息的方法,其特征在于�����,所述的切換確認(rèn)消息中承載的信息包括移動(dòng)終端標(biāo)識(shí)�、目標(biāo)基站標(biāo)識(shí)和/或移動(dòng)終端會(huì)話信息。
7.根據(jù)權(quán)利要求
3所述的無(wú)線通信系統(tǒng)中切換后的目標(biāo)基站獲取安全信息的方法���,其特征在于�����,所述的方法還包括目標(biāo)切換中繼功能網(wǎng)關(guān)接收到切換確認(rèn)消息后向錨定鑒權(quán)器發(fā)送AK上下文請(qǐng)求消息����;所述錨定鑒權(quán)器接收所述消息后生成新的AK上下文請(qǐng)求消息,并發(fā)送給目標(biāo)切換中繼功能網(wǎng)關(guān)��。
8.根據(jù)權(quán)利要求
3��、4或7所述的無(wú)線通信系統(tǒng)中切換后的目標(biāo)基站獲取安全信息的方法�,其特征在于,所述的方法還包括目標(biāo)基站接收所述的新的安全消息后�����,根據(jù)安全消息中的AK上下文信息生成剩余部分的AK上下文信息����。
9.根據(jù)權(quán)利要求
1所述的無(wú)線通信系統(tǒng)中切換后的目標(biāo)基站獲取安全信息的方法,其特征在于����,所述的步驟A包括A4�����、目標(biāo)基站向目標(biāo)切換中繼功能網(wǎng)關(guān)發(fā)送上下文請(qǐng)求消息����,并由目標(biāo)切換中繼功能網(wǎng)關(guān)將該消息通過服務(wù)切換中繼功能網(wǎng)關(guān)發(fā)送給服務(wù)基站����;A5���、服務(wù)基站接收所述消息后���,通過上下文報(bào)告將包括安全信息通過服務(wù)切換中繼功能網(wǎng)關(guān)發(fā)送給目標(biāo)切換中繼功能網(wǎng)關(guān);A6����、目標(biāo)切換中繼功能網(wǎng)關(guān)將接收的安全信息與從鑒權(quán)器獲得的AK上下文信息合并獲得新的安全信息作為移動(dòng)終端的安全信息。
10.根據(jù)權(quán)利要求
9所述的無(wú)線通信系統(tǒng)中切換后的目標(biāo)基站獲取安全信息的方法����,其特征在于,在所述的步驟A4之前還包括目標(biāo)基站接收到移動(dòng)終端發(fā)來(lái)的參數(shù)調(diào)整請(qǐng)求消息后�,執(zhí)行步驟A4。
11.根據(jù)權(quán)利要求
9所述的無(wú)線通信系統(tǒng)中切換后的目標(biāo)基站獲取安全信息的方法��,其特征在于�����,所述的步驟A5包括所述服務(wù)基站向服務(wù)切換中繼功能網(wǎng)關(guān)發(fā)送的安全信息包括HMAC/CMAC_PN_U和HMAC/CMAC_PN_D。
12.根據(jù)權(quán)利要求
9所述的無(wú)線通信系統(tǒng)中切換后的目標(biāo)基站獲取安全信息的方法��,其特征在于�����,所述的上下文報(bào)告中承載的信息包括移動(dòng)終端標(biāo)識(shí)����、目標(biāo)基站標(biāo)識(shí)和/或移動(dòng)終端會(huì)話信息。
13.根據(jù)權(quán)利要求
9至12任一項(xiàng)所述的無(wú)線通信系統(tǒng)中切換后的目標(biāo)基站獲取安全信息的方法�����,其特征在于����,所述的方法還包括目標(biāo)切換中繼功能網(wǎng)關(guān)接收到所述上下文報(bào)告后向錨定鑒權(quán)器發(fā)送AK上下文請(qǐng)求消息��;所述錨定鑒權(quán)器接收所述消息后生成新的AK上下文請(qǐng)求消息�����,并發(fā)送給目標(biāo)切換中繼功能網(wǎng)關(guān)。
14.根據(jù)權(quán)利要求
9至12任一項(xiàng)所述的無(wú)線通信系統(tǒng)中切換后的目標(biāo)基站獲取安全信息的方法,其特征在于�����,所述的方法還包括目標(biāo)基站接收所述的新的安全消息后����,根據(jù)安全消息中的AK上下文信息生成剩余部分的AK上下文信息。
15.根據(jù)權(quán)利要求
1所述的無(wú)線通信系統(tǒng)中切換后的目標(biāo)基站獲取安全信息的方法����,其特征在于,所述的方法還包括目標(biāo)基站接收所述的移動(dòng)終端的安全信息后�,根據(jù)所述安全信息對(duì)直接由移動(dòng)終端發(fā)來(lái)的消息進(jìn)行合法性驗(yàn)證,并在合法性驗(yàn)證通過后��,繼續(xù)后續(xù)切換處理過程��,否則�����,切換過程結(jié)束��。
專利摘要
本發(fā)明涉及一種無(wú)線通信系統(tǒng)中切換后的目標(biāo)基站獲取安全信息的方法�����,本發(fā)明主要包括首先,移動(dòng)終端發(fā)生切換后���,觸發(fā)切換中繼功能網(wǎng)關(guān)從移動(dòng)終端錨定鑒權(quán)器獲取移動(dòng)終端的安全信息��;之后����,切換中繼功能網(wǎng)關(guān)將所述的移動(dòng)終端的安全信息發(fā)送給目標(biāo)基站��;這樣���,目標(biāo)基站便可以接收獲取所述的移動(dòng)終端的安全信息���。在本發(fā)明中,基站僅與處于同一ASN下的基站或網(wǎng)關(guān)通信���,而不會(huì)直接與不同ASN下的其他基站或網(wǎng)關(guān)���,因此,在保證移動(dòng)終端切換后目標(biāo)基站可以獲得該移動(dòng)終端的安全作息的情況下�,還可以使得在實(shí)際布網(wǎng)和維護(hù)過程中無(wú)需繁瑣的安全策略配置�,從而可以大大降低網(wǎng)絡(luò)運(yùn)營(yíng)維護(hù)的復(fù)雜程度����。
文檔編號(hào)H04W36/26GK1997213SQ200610000491
公開日2007年7月11日 申請(qǐng)日期2006年1月5日
發(fā)明者單長(zhǎng)虹, 杜海濤 申請(qǐng)人:華為技術(shù)有限公司導(dǎo)出引文BiBTeX, EndNote, RefMan