WO2007022727A1

WO2007022727A1 - Procede et systeme pour communiquer des informations contextuelles de cle d'autorisation

Info

Publication number: WO2007022727A1
Application number: PCT/CN2006/002167
Authority: WO
Inventors: Zhengfei Xiao
Original assignee: Huawei Technologies Co., Ltd.
Priority date: 2005-08-24
Filing date: 2006-08-24
Publication date: 2007-03-01
Also published as: CN100488281C; CN1819698A

Description

一种鉴权密钥上下文信息的发送方法及系统技术领域

本发明涉及移动通信技术领域，特别公开一种移动终端用户在切换过程中，移动终端的鉴权密钥上下文信息的发送方法及系统。背景技术

随着因特网业务的蓬勃发展和无线网络的广泛应用，移动用户的安全性已经对于无线系统提出了越来越多的要求，除了以往一些设备鉴权、用户鉴权和服务授权等问题外，无线用户与 AP ( Access Point,接入点）或 BS ( Base Station, 基站）之间的安全通道的建立、保密信息的交换、以及 BS 和密钥 Distributor/Authenticator (分发者 /鉴权者）之间、 Distributor/Authenticator和 Authentication Server (鉴权服务器）之间的保密通道、保密信息的交换等问题目前已经得到大量关注。

IEEE 802.16d/e 系列协议定义了无线宽带固定和移动接入空中接口部分的标准，为了保证空中接口数据的安全，协议定义了一个安全子层（Privacy Sublayer ), 用于实现对用户的认证、密钥分发和管理，以及后续数据的加密和认证。认证完成后， BS和 MSS ( Mobile Subscribe Station, 移动签约用户）之间通过 PKM ( Privacy Key Management, 私有密钥管理）协议产生、分发并管理密钥。目前协议中定义了两种认证方式，一种是基于公开密钥算法的 RSA 认证，该认证结果是在认证双方产生一个 PAK ( Primary Authorization Key, 根授权密钥）；另一种是 EAP认证方式，认证的结果就是在认证双方产生 PMK ( Pairwise Master Key, 对称主密钥），根据 PAK和 /或 PM 以及其它信息，如 MSS和 BS的标识信息，派生出 MSS和 BS之间用于派生其它密钥资源的鉴权密钥 AK ( Authorization Key )。为了进一步增强安全性， AK被设定在一定的生命周期（Lifetime ) 内有效，在 AK的生命周期终止前的一个保护时间里， MSS必须完成和 BS之间的重认证 ( Re-authentication ) 并产生新的 AK。这样， MSS和 BS就可能同时维护两个有效的 AK。目前协议中使用一个称为 AK序列号（AK Sequence Number )的属性区分同时存在的两个有效 AK。当 MSS漫游到一个新的目标 BS时，还要进行网络重入（Network re-entry )过程，根据相应的安全策略，通过重认证或后端网络（Backhaul )获得密钥资源。

为了便于对密钥进行管理， IEEE 802.16e D10中定义鉴权密钥上下文（ AK Context ),用于保存和鉴权密钥相关的上下文信息，如 AK、AKID、AK Lifetime, AK Sequence Number等。为了实现对管理消息的认证， ΊΕΕΕ 802.16d中定义了 HMAC ( Hash Message Authentication Code, 哈希消息认证码），这是一个通过哈希算法及 AK派生的密钥计算出来的消息验证码，消息发送方在发送的管理消息中携带了 HMAC和 AK Sequence Number, 消息接收方收到消息后，根据 AK Sequence Number找到对应的 AK, 派生相应的密钥，据消息内容计算一个新的消息认证码并与消息中携带的消息认证码进行比较，从而实现了对消息的认证。此外，为了防止管理消息的重放， IEEE 802.16e中还定义了基于加密的 CMAC ( Ciper-based Message Authentication Code , 消息认证码），这是一个基于加密算法计算出来的消息验证码。使用这种消息认证码，消息发送方在发送的管理消息中，除了携带 CMAC和 AK Sequence Number 夕卜，还携带了一个管理消息序列号，在上行方向上，该序列号为 CMAC_PN— U, 在下行方向，该序列号为 CMAC— PN— D。该序列号在消息发送方随着消息的发送而递增。消息接收方收到管理消息后，对消息的认证过程和 HMAC类似。但还能根据消息中的序列号、消息认证码以及对应的 AK上下文中维护的已接收消息序列号的信息，判断消息是否为重发消息。因此，为了支持 CMAC 以防止管理消息的重放，在 AK Context 中还定义了 CMAC— PN— * ( CMAC— PN— D或 CMAC_PN_U )等参数。并且规定了对同一个 AK来说，一个 {CMAC_PN_*,AK}不能被多次使用，也就是说，对于某个 AK来说，当其上下文中的 CMAC— PN_*达到最大时，需要进行重认证。重认证时会产生了新的 AK, 同时 AK Context应该根据新的认证结果重新产生，如： AK Lifetime, AK Sequence Number应该在认证过程中重新生成， CMAC_PN— *等参数应该重新初始化为某个初始值。

在 IEEE 802.16e D10草案中，定义的 AK Context内容如表 1所示：表 1.AK Context for PKMv2

移动终端可能会在多个 BS之间移动，根据相应的安全策略，当 MSS移动到新的目标基站（以下简称 BS2 ) 时，因为一个认证过程会带来较大的时延，在终端切换网络重入过程中，可能不需要进行重认证，例如在无线系统中通常规定在终端切换过程中所涉及到的基站如果属于同一个认证域，则不用进行重认证。如果执行重认证，则各功能实体上相关的安全信息都会重新初始化，从而不必担心出现部分安全信息，例如相关序列号不一致的问题。

虽然不需要进行重认证，但是可能会需要重新产生关于在这个新基站下的相关密钥，如 AK和 AK context, 而这些相关密钥可能会与新的基站标识等有关，但产生这些相关密钥的上一级密钥则还是继续利用之前认证过程中产生的上一级密钥 PMK：。

这样当不进行重认证时，需要根据上次认证产生的根密钥，利用 BS2的标识重新派生一个新的 AK, 并且通过骨干网消息传输到 BS2上。出于对切换场景下的网络安全考虑， WiMAX ( Worldwide Interoperability for Microwave Access , 微波接入全球互操作）论坛已经通过的提案中提出了基于 EAP ( Extensible Authentication Protocol, 可扩展认证协议）的安全架构，定义了基于 IEEE 802.16的空中接口的网络安全模型。

在这种架构下，每一个 BS连接一个 Key Receiver (密钥接收者），某个特定的 BS集合 Key Receiver可能归属到一个 Key Receiver, 该 Key Receiver 可能独立设置，也可能位于其中一个 BS上或其它网络实体上， Key Receiver 实现 BS 侧的密钥管理。 Key Receiver 通过安全通道连接 Key Distributor/Authenticator (密钥分发者 /養权者），其中： Authenticator为 MSS 认证、授权和计费功能提供代理功能； Key Distributor: 根据 Authentication服务器提供的与 MSS之间对等的根密钥信息 MSSK ( Master Session Key, 基本会话密钥），并派生出 PMK, 进而派生出 BS和 MSS之间共享的空中接口密钥 AK,并且分发到 Key Receiver上，由 Key Receiver接收空中接口密钥 AK, 并派生 BS和 MSS之间的其它密钥。此外，作为一个完整的安全网络架构体系，还应该包括后端网络的 Authenticator服务器， Authentication服务器主要是完成为 MSS认证、授权和计费功能，并且通过和 MSS之间的达成的密钥生成机制相互交换产生密钥所必需的信息，在用户信息产生变化，及时通知 Authenticator和其他网元信息改变所产生的后果。由于这些信息是在建立安全通道之前交换的， Authentication服务器和 MSS之间采用的密钥算法等都必须保证信息的泄漏并不对安全机制产生影响。在无线通信系统里， Key Distributor/Authenticator会位于同一个物理实体内。比如 Authenticator和直接和 AAA交互的实体，对于派生密钥等事情就是 Authenticator完成的，而派生好了的密钥是需要分发到相关使用到的实体上去，比如 BS。

当前 WiMAX NWG( WiMAX Network Work Group WiMAX微波接入全球互操作网络工作组）草案中定义了在 Key Distributor和 Key Receiver之间安全传递密钥的 AK传输协议。当 MSS在 BS之间切换并且不进行重认证时， MSS 切换到新的 BS并且与 BS完成同步后，能够根据其本地存储的根密钥信息以及 BS的信息派生出新的鉴权密钥 AK并更新其上下文，在更新的上下文中，保持原相关序列号信息。但由于 BS上没有存储根密钥信息，而且这时 MSS 和 BS之间也没有建立安全通道，所以 BS需要通过与后端网络中对应的 Key Distributor进行交互，通过 AK Transfer (传输）协议获取新的鉴权密钥及相关信息。

WiMAX NWG草案中， AK Transfer协议定义了在 Key Distributor和 Key Receiver以及 Key Distributor之间传递鉴权密钥的消息交互过程，该过程包含了一个可选的 AK Request( AK请求）消息和一个强制实现的 AK Transfer( AK 传输 )消息。 AK Request消息用于 Key Receiver向 Key Distributor为当前 BS 请求一个新的 AK， AK Transfer消息或者传输 AK、 AKID、 AK Lifetime和 EIK ( EAP Integrity Key, 可扩展认证协议完整性密钥），或者指示 AK请求失败。此外， AK Transfer协议还定义了一个 AK Delete消息，用于删除一个已经存在的 AK。这些消息包含的内容如表 2所示：

表 2.AK Transfer协议中定义的消息

一般来说，在切换过程中有三个消息可能触发 AK的传输，这三个消息分别为切换指示消息（Mobile Handover Indication,MOB HO IND )、测距请求消息（ Ranging Request, RNG REQ )和终端切换请求消息（ Mobile MS Handover Request, MOB MSHO REQ )。图 1所示的就是由 MOB HO IND触发的 AK传输过程：如图 1 所示，在发生切换时，以服务 BS1 和目标 BS2 连接同一 Authenticator/Key Distributor为例说明， MSS当前归属于该 Authenticator/Key Distributor, 目标 BS2所属的 Key Receiver获取 BS2与终端之间使用的 AK及其相关上下文信息的流程如下：

S101、 MSS向服务 BS1发送空中接口消息 MOB—HO— IND，消息中包含了 MSS以及将要切换的目标 BS2的标识；

S102、月良务 BS1向其连接的 Authenticator/Key Distributor发送 HO Request 消息，消息中包含了 MSS和目标 BS2的标识；

S 103、 Authenticator/Key Distributor为目标 BS2产生空中接口密钥 AK2; Authenticator/Key Distributor 收到切换请求后，根据该请求消息携带的

MSS标识和目标 BS2标识，以及其自身保存的该移动终端标识对应的移动终端的成对主密钥（PMK )，派生出该移动终端与目标基站之间的所述鉴权密钥，并与该目标基站交互切换准备消息。

S104、目标 BS2与 Authenticator/Key Distributor进行交互，为切换做准备； S 105、 Authenticator/Key Distributor向服务 BS 1发送 HO Response消息，作为对 HO Request的响应消息；

5106、目标 BS2所属的 Key Receiver向 Authenticator/Key Distributor发送 AK Request消息，消息中包含了 MSS的标识；

5107、 Authenticator Key Distributor将产生的 AK2在已经建立的安全通道上通过 AK Transfer消息发送给目标 BS2所属的 Key Receiver, 消息中包含了

MSS的标识、空中接口密钥信息 AK2、 AKID、 AK的生命周期以及其它密钥信息如 EIK;

目标 BS2的 Key Receiver可以设置在 BS2中、与 BS2同属一个认证域的其它 BS中或设置为独立网元。如果目标 BS2所属的 Key Receiver位于 BS2 上，则通过内部接口直接将密钥 AK2传输给目标 BS2, 如果不在 BS2上，则通过外部安全通道将 AK2发送给目标 BS2。

5108、目标 BS2获得空中接口密钥 AK2后，恢复切换前的会话。 A 可能需要在位于不同物理网元中 Key Distributor和 Key Receiver之间传输，因此，必须保证在 Key Receiver和 Key Distributor之间存在安全的通道以便能够安全地传输 AK等信息。也就是，应该存在一种协议以外地机制保证在每个 Key Receiver和 Key Distributor之间存在一个安全地连接，在这条连接上， AK、 AKID、 AK Lifetime和 EIK在 Key Distributor上被加密和签名后，使用 AK Transfer消息传输给 Key Receiver, Key Receiver收到 AK Transfer消息后解密消息中被加密的 AK、 AKID、 AK Lifetime和 EIK并将其保存到本地的 BS或再传输给 BS, BS后续使用 AK与 MSS之间实现安全通信。

现有技术解决了在 Key Receiver和 Key Distributor之间安全传输密钥的问题，但是当 MSS切换到新的 BS后，需要使用获得的 AK及其相关信息生成新的 AK上下文，按照现有技术，目标 BS能够利用获得的 AK：、 AKID、 AK Lifetime和 EIK恢复部分 AK上下文内容，但是 AK上下文中的其它信息如 AK Sequence Number, CMAC— PN— *等信息需要重新生成，这样可能会与移动终端侧保存的 AK上下文信息不一致，影响会话的安全性。发明内容

本发明提供一种移动终端切换过程中，鉴权密钥上下文信息的发送方法及系统，以解决现有技术中目标基站生成 AK的上下文中序列号信息与移动终端侧保存的 AK上下文中的序列号信息不一致的问题。

为解决上述技术问题，本发明提供如下技术方案：

一种鉴权密钥上下文信息的发送方法，包括如下步骤：

移动终端当前所属的鉴权者 /密钥分发者收到移动终端切换过程中触发的相关消息时，生成移动终端与切换到的目标基站之间的鉴权密钥并更新鉴权密钥上下文信息，更新后的所述上下文信息中保留有正在使用的当前鉴权密钥序列号；

移动终端当前所属的鉴权者 /密钥分发者收到来自为所述目标基站所属的密钥接收者获得鉴权密钥信息的请求消息时，将所述鉴权密钥和当前鉴权密钥序列号发送给该目标基站所属的所述的密钥接收者。

进一步，所述方法中，所述更新后的上下文信息中还保留有正在使用的当前上行管理消息认证码序列号和 /或当前下行管理消息认证码序列号；以及鉴权者 /密钥分发者同时将所述当前上行管理消息认证码序列号和 /或当前下行管理消息认证码序列号发送给所述目标基站所属的密钥接收者。

其中，所述移动终端当前所属的鉴权者 /密钥分发者收到的相关消息为如下之一：

移动终端的当前服务基站收到移动终端的切换指示请求消息

MOB— HO— IND或切换请求消息 MOB_MSSHO— REQ后，向移动终端当前所属的鉴权者 /密钥分发者发送的指示消息；

移动终端切换到目标基站上并进行网络重入时，目标基站触发所属的密钥接收者向移动终端当前所属的鉴权者 /密钥分发者发送鉴权密钥请求消息。

本发明另一种实施方式中，所述目标基站和服务基站连接于不同的鉴权者 /密钥分发者时：

目标基站所属的密钥接收者向目标基站连接的鉴权者 /密钥分发者发送所述密钥请求消息，该消息中携带所述移动终端当前所属的鉴权者 /密钥分发者的地址信息，由目标基站自己连接的鉴权者 /密钥分发者根据所述地址信息生成新的密钥请求消息并发送给所述移动终端当前所属的鉴权者 /密钥分发者；或者

目标基站通过自己连接的鉴权者 /密钥分发者转发所述密钥请求消息 , 该消息的目的地址为所述移动终端当前所属的鉴权者 /密钥分发者的地址，由目标基站将根据该消息的目的地址直接转发给所述移动终端当前所属的鉴权者 / 密钥分发者。

上述两种实施方式中 , 目标基站的密钥接收者将所述鉴权密钥和相关序列号传输给目标基站；目标基站根据所述鉴权密钥和相关序列号构造鉴权密钥上下文。

本发明提供的一种鉴权密钥上下文信息的发送系统，包括至少一个基站，其特征在于，还包括：移动终端当前所属的鉴权者 /密钥分发者、移动终端切换的目标基站所属的密钥接收者，其中移动终端当前所属的鉴权者 /密钥分发者与移动终端当前服务基站相连接；

所述移动终端当前所属的鉴权者 /密钥分发者收到移动终端切换过程中触发的相关消息时，生成移动终端与切换到的目标基站之间的鉴权密钥并更新鉴权密钥上下文信息，更新后的所述上下文信息中保留有正在使用的当前鉴权密钥序列号；并在收到来自所述目标基站所属的密钥接收者的鉴权密钥请求消息时，将所述鉴权密钥和当前鉴权密钥序列号发送给该目标基站所属的所述的密钥接收者。

其中，所述移动终端当前所属的鉴权者 /密钥分发者中包括：

鉴权密钥生成单元，用于生成移动终端和目标基站之间的鉴权密钥；上下文更新单元，用于更新所述上下文信息，更新后的上下文信息中包括所述鉴权密钥，保留有所述当前鉴权密钥序列号，还保留有正在使用的当前上行管理消息认证码序列号和 /或当前下行管理消息认证码序列号；以及信息发送单元，用于从所述更新后的上下文信息中提取所述鉴权密钥、所述当前鉴权密钥序列号后，还同时提取所述当前上行管理消息认证码序列号和 /或当前下行管理消息认证码序列号后发送给所述目标基站所属的密钥接收者。

所述系统还包括移动终端切换到的目标基站：

移动终端的当前服务基站收到移动终端的切换指示请求消息

MOB_HO_IND后或切换请求消息 MOB—MSHO— REQ后，向归属的鉴权者 / 密钥分发者发送指示消息，该鉴权者 /密钥分发者收到该指示消息时，生成移动终端与切换到的目标基站之间的鉴权密钥并更新鉴权密钥上下文信息；

移动终端切换到的目标基站在移动终端完成切换并进行网络重入时，触发所属的密钥接收者向当前服务基站连接的鉴权者 /密钥分发者发送鉴权密钥请求消息，该鉴权者 /密钥分发者收到请求消息时，生成移动终端与切换到的目标基站之间的鉴权密钥并更新签权密钥上下文信息。当所述目标基站连接并归属于所述当前服务基站所归属的鉴权者 /密钥分发者，其中：

目标基站的密钥接收者直接向该鉴权者 /密钥分发者发送所述鉴权密钥请求消息；以及该鉴权者 /密钥分发者直接将所述鉴权密钥和相关序列号直接发送给目标基站的密钥接收者。

或者，目标基站和服务基站分别连接各自连接的鉴权者 /密钥分发者之间直接相连接，其中：

目标基站所属的密钥接收者向目标基站连接的鉴权者 /密钥分发者发送所述密钥请求消息，该消息中携带所述移动终端当前所属的鉴权者 /密钥分发者的地址信息，由目标基站自己所属的鉴权者 /密钥分发者根据所述地址信息生成新的密钥请求消息并发送给所述移动终端当前所属的鉴权者 /密钥分发者；或者

目标基站通过自己连接的鉴权者 /密钥分发者转发所述密钥请求消息，该消息的目的地址为所述移动终端当前所属的鉴权者 /密钥分发者的地址，由目标基站将根据该消息的目的地址直接转发给所述移动终端当前所属的鉴权者 / 密钥分发者；以及

移动终端当前所属的鉴权者 /密钥分发者将所述鉴权密钥以及相关序列号发送给目标基站连接的鉴权者 /密钥分发者；目标基站连接的鉴权者 /密钥分发者提取所述鉴权密钥以及相关序列号后再转发给目标基站的密钥接收者。

所述目标基站的密钥接收者设置在所述基站中、其它基站中或设置为独立网元。

所述目标基站包括：接收单元，接收密钥接收者转发的所述鉴权密钥和相关序列号；上下文构造单元，根据所述鉴权密钥和相关序列号构造鉴权密钥上下文。

本发明的有益效果如下：

使用本发明所述方法在目标基站上生成的鉴权密钥上下文中，包括与移动终端侧保持一致的鉴权密钥序列号，鉴权密钥序列号用于确定对应的鉴权密钥，当目标基站接收到移动终端发送的携带有鉴权密許列号的上行管理消息时，根据该鉴权密钥序列号确认对应的鉴权密钥，并派生相应的密钥来验证该上下管理消息中所携带的消息认证码，以确定消息来源的合法性；或者当目标基站向所述移动终端发送的下行管理消息时，利用所述的鉴权密钥生成该下行管理消息的消息认证码，并将消息认证码和鉴权密钥序列号携带在下行管理消息中一起发送，移动终端收到下行管理消息时，根据鉴权密钥

'序列号确定对应的鉴权密钥并派生相应的密钥用于^ r证消息的合法性；

因此，使用本发明方案，移动终端切换过程中保持了鉴权密钥上下文中鉴权密钥序列号、管理消息序列号的连续性，保证了与移动终端的安全通信，并有效地防止可能出现的重放攻击，保证了恢复后的会话安全性。附图说明

图 1现有移动终端在发生切换时，目标 BS2获取 AK2及其上下文信息的流程图；

图 2为本发明所述移动终端在发生切换时，目标 BS2获取 AK2及其上下文信息的流程图，其中服务 BS1 和目标 BS2 连接同一 Authenticator/Key Distributor;

图 3为本发明所述移动终端在发生切换时，目标 BS2获取 AK2及其上下文信息的流程图，其中服务 BS1 和目标 BS2连接不同的 Authenticator/Key Distributor;

图 4为月良务基站和目标基站连接不同 Authenticator/Key Distributor的网络结构示意图；

图 5为月艮务基站和目标基站连接同一 Authenticator/Key Distributor时，实现本发明所述方法的系统主要结构示意图；

图 6为服务基站连接的 Authenticator/Key Distributor的主要结构示意图；图 7为服务基站和目标基站连接不同 Authenticator/Key Distributor时，实现本发明所述方法的系统主要结构示意图；图 8为目标基站的主要结构示意图。具体实施方式

现有技术解决了在 Key Receiver和 Key Distributor之间安全传输密钥的问题，但是对在 AK Transfer中传输的 AK及相关信息定义不够准确和完整，考虑到 MSS切换到新的 BS后，需要使用获得的 AK及其相关信息生成新的 AK 上下文，按照现有技术，新的 BS能够利用获得的 AK、 AKID、 AK Lifetime 和 EIK 恢复部分 AK上下文内容，但是 AK上下文中的其它信息如 AK Sequence Number, CMAC_PN— *等信息需要重新生成。

当移动终端漫游到不同的 BS上时，没有经过重认证而是通过 AK Transfer 协议获取对应的 AK及相关信息，如果只按照目前定义的 AK Transfer消息传递 AK及其相关信息，就会出现流程的不完整性。以 AK Sequence Number为例，目标 BS在获得 AK后，在与 MSS的后续通信中， MSS和 BS之间可能同时维护两个有效的 AK, 并使用各自上下文中 AK Sequence Number区分这两个 AK。 MSS在发送给 BS的管理消息中，如果携带了 HMAC/CMAC, 则同时也会携带一个 AK Sequence Number, BS使用 AK Sequence Number查找对应的 AK,用于对管理消息进行认证。

此外， BS在发送给 MSS的管理消息中如果携带 HMAC/CMAC, 也需要携带计算该 HMAC/CMAC使用的 AK对应的 AK Sequence Number, MSS收到管理消息后，根据 AK Sequence Number查找相应的 AK, 用于对消息进行认证。

此外，考虑一种移动终端在多个 BS之间快速移动的场景，当 MSS先后两次漫游到一个 BS上时，如果不需要发生重认证，那么 BS将先后两次使用相同的 AK 与 MSS 通信，如果在获得 AK 的同时没有获得其上下文中的 CMAC— PN__*信息。 BS将重新初始化 CMAC_PN—*，那么在前后两次通信中相同的 {CMAC_PN_*，AK}可能被使用多次，这与 IEEE 802.16e协议中规定的同一个 {CMAC— PN_*,AK}不能被多次使用的原则相违背。而在现有技术中，目标 BS通过 AK Transfer消息获得的 A 及相关信息中没有包括 AK Sequence Number, 当 MSS切换到目标 BS后， BS无法实现对 MSS发送的管理消息的认证，同时也无法生成发给 MSS的管理消息，因此，为了保证切换后能够恢复切换前的会话并保证会话的安全性，在 AK Transfer中需要传递的除了包括已经定义的信息，如 AK、 AK Lifetime和 EIK 外，还应该包括 AK Context中的 AK Sequence Number, CMAC— PN— *等。

在本发明的方案中，如果移动终端在切换到新的 BS2上但没有发生重认证时，后端网络中的密钥分发者在收到相应的切换指示后才艮据目标 BS2的相的信息，但保留原上下文中的其它信息，例如移动终端正在使用的当前 AK Sequence Number和 CMAC— PN— *等，目标 BS2通过 AK Transfer消息从密钥分发者获取 AK及其上下文信息，并根据这些信息构造新的鉴权密钥上下文，这样，保证了和移动终端侧新构造的鉴权密钥上下文中，相关序列号信息的一致性，从而保证了恢复会话后目标 BS2与移动终端之间的安全通信。

针对现有技术一的方案，修改 AK Transfer协议中定义的 AK Transfer消息，使其携带 AK Context中的 AK Sequence Number和 CMAC— PN— * ,修改后的消息内容如下：

表 3 修改后的 AK Transfer消息

下面以具体实施例并结合附图详细说明修改后的 AK Transfer流程。

MSS切换到新的 BS2并且与 BS2完成同步后， MSS能够根据其本地存储的根密钥信息以及 BS2的信息派生出新的鉴权密钥 AK并更新其上下文，移动终端更新的上下文中，保留了正在使用的当前 AK Sequence Number和 CMAC— PN— *等。

以目标 BS2所属的 Key Receiver实体位于 BS2上，并且 BS1和 BS2连接同一个 Authenticator/Key Distributor为例，如图 2所示 ί在发生切换时，目标 BS2连接的 Authenticator/Key Distributor上保存有 MSS的当前 AK及其上下文信息时，目标 BS2的 Key Receiver获取 AK以及相关上下文信息的流程如下：

S20 MSS向服务 BS1发送空中接口消息 MOB— HO— IND, 消息中包含了 MSS以及将要切换的目标 BS2的标识；

S202、服务 BS1向其所连接的 Authenticator/Key Distributo 即移动终端当前所属的 Authenticator/Key Distributor发送消息 HO Request,消息中包含了 MSS和目标 BS2的标识；

S203、移动终端当前所属的 Authenticator/Key Distributor为目标 BS2产生空中接口密钥 AK2并更新上下文信息，更新后的上下文信息中包括；

1 )、 AK2, 根据 IEEE 802.16e中 AK Context定义的 AK派生公式， AK 由 Authenticator/Key Distributor根据根密钥， MSS和 BS的标识信息派生；

2 )、 AK Sequence Number, 为了保证切换后的安全性，保留当前正在使用的 AK Sequence Number, 等于原 AK上下文中的相应的值；

3 )、 AKID, 根据 IEEE 802.16e关于 AKID的派生公式，该标识由 AK：、 AK Sequence Number, MSS和 BS的标识信息派生，因此，在后续发送的 AK Transfer消息中不一定需要携带，可以由 BS2根据获得的相应信息生成；

4 )、 AK2 Lifetime, 根据 IEEE 802.16e关于 AK Lifetime的定义，它等于当前可能的根密钥 PAK和 PMK的生命周期中的较小值；

5 )、 EIK, 根据 IEEE 802.16e关于 EIK的定义，它由根密钥直接派生；

6 )、 CMAC— PN— D和 CMAC— PN— U, 为了保证切换后的安全性，这两个序列号的值等于原 AK上下文中的相应的值；

7 )、 CMAC— KEY— D和 CMAC— KEY— U, 根据 IEEE 802.16e中密钥派生公式，这两个密钥是由 AK、 MSS和 BS的标识信息派生出来的，因此，在后续发送的 AK Transfer消息中不一定需要携带，可以由 BS2根据获得的相应信息生成； 8 )、 PMK Sequence Number, 由于切换过程中没有 '发生 PMK的迁移，所以该序列号不需要在后续发送的 AK Transfer中传输；

9 )、 KEK, W IEEE 802.16e中密钥派生公式，这两个密钥是由 AK， MSS和 BS的标识信息派生出来的，因此，在后续发送的 AK Transfer消息中不一定需要携带，可以由 BS2根据获得的相应信息生成。

5204、目标 BS2与 Authenticator/Key Distributor进行交互，为切换做准备；

5205、 Authenticator/Key Distributor向服务 BS1发送消息 HO Response, 作为对 HO Request的响应；

5206、目标 BS2 归属的 Key Receiver 向移动终端当前所属的 Authenticator/Key Distributor发送 AK Request消息，消息中包含了 MSS的标识；

5207、 Authenticator/Key Distributor将产生的 AK2在已经建立的安全通道上通过消息 AK Transfer发送给目标 BS2上的 Key Receiver, 消息中包含了 MSS的标识，上下文信息中的空中接口密钥信息 AK2、 AK Lifetime, EIK、 AK Sequence Number和 CMAC—PN—D和 CMAC—PN—U，其中：

5208、然后目标 BS2上的 Key Receiver将 AK2及其相关上下文信息传输给目标 BS2。

' 经过上述流程，目标 BS2根据获得的 AK2及其上下文信息生成新的 AK 上下文，和服务 BS1的 AK上下文相比，目标 BS2的 AK上下文中的 AK、 AKID等信息随着 BS的切换而改变，但 AK Lifetime^ AK Sequence Number, CMAC— PN— *等信息保持不变。

如图 3所示，月艮务 BS 1和目标 BS2连接不同的 Authenticator/Key Distributor 时，目标 BS2连接的 Authenticator/ ey Distributor2上没有保存有 MSS的当前 AK及其上下文信息，服务 BS1连接的服务 Authenticator/Key Distributorl收到切换请求消息后会和目标 BS2进行切换准备消息交互，这个过程中目标 BS2 获知服务 BS1连接的服务 Authenticator/Key Distributorl的地址信息。

则 BS2在发送给自己连接的目标 Authenticator/Key Distributor2的密钥请求消息中将携带服务 BS1连接的服务 Authenticator/Key Distributor2的地址信

Authenticator/Key Distributoi'2根据 BS2 的密钥请求消息中携带的服务 Authenticator/Key Distributor 1的地址信息，修改密钥请求消息的地址信息，并向服务 Authenticator/Key Distributorl发送密钥请求消息，消息中携带了移动终端的标识信息；

Authenticator/Key Distributorl收到密钥请求消息后，将消息中携带的移动终端标识对应的移动终端的鉴权密钥 AK2、鉴权密钥序列号、鉴权密钥上下文中的 CMAC— PN— *等信息通过密钥传输消息，在安全通道上发送给 Authenticator/Key Distributor2;

Authenticator/Key Distributor接收到密钥传输消息后，提取 AK2及其上下文信息并保存，当收到来自目标 BS2上的 Key Receiver的密钥请求消息时，携带在 AKTransfer消息中，通过安全通道发送给目标 BS2上的 Key Receiver。

本实施例中目标 BS2上的 Key Receiver向移动终端的服务基站连接的 Authenticator/Key Distributorl请求密钥的过程也可以是目标 BS2根据之前得到的该终端的 Authenticator/Key Distributorl的地址信息，直接向该终端的 Authenticator/Key Distributorl请求鉴权密钥以及上下文，其中包括 Ak sequence number。

参阅图 4所示的连接关系，假设服务 BS1和 BS3、 BS4等同连接于服务 Authenticator/Key Distributorl , 并分别和移动终端当前所属的

Authenticator/Key Distributorl直接连接；目标 BS2和 BS5等同连接于

Authenticator/Key Distributed，并分别和 Authenticator/Key Distributor2直接连安全通道直接连接，由于目标 BS2和 Authenticator/Key Distributorl没有之间连接，所以二者之间交互的消息需要经过 Authenticator/Key Distributor2转发。

仍参阅图 3所示，目标 BS2上的 Key Receiver直接向 Authenticator/Key Distributorl请求密钥的具体实现过程包括：目标 BS2上的 Key Receiver通过其连接的 Authen¾cator/Key Distributor2 向移动终端当前所属的 Authenticator/Key Distributorl请求密钥 , 请求消息中携带了移动终端的标识信息，并且请求消息的目的地址直接填写的是

Authenticator/Key Distributor 1 , 而不是 Authenticator/Key Distributor2；

Authenticator/Key Distributor2 并不处理该消息 , 而是直接将请求消息转发给 Authenticator Key Distributorl；

Authenticator/Key Distributorl将请求消息中携带的移动终端标识对应的移动终端的鉴权密钥 AK2、鉴权密钥序列号、鉴权密钥上下文中的

CMAC— PN— *等信息通过密钥传输消息，在安全通道上发送给

Authenticator Key Distributor2;

Authenticator/Key Distributor2接收到密钥传输消息后 , 提取 AK2及其上下文信息并保存，然后通过安全通道向 BS2上的 Key Receiver发送携带 AK2 及其上下文信息的 AK Transfer消息。

具体到针对该移动终端当前所属的 Authenticator Key Distributorl生成密钥的时机，包括以下三种情况：

1、服务 BS1收到空口的终端切换指示请求消息 MOB— HO— I D后，服务 BS1发送相应的消息指示移动终端当前所属的服务 Authenticator/Key

Distributorl生成密钥及相关上下文，包括 Ak sequence number,该实现过程参见以上给出的流程中：

2、服务 BS1收到空口的终端切换请求消息 MOB— MSSHO— REQ后，服务 BS1发送相应的消息指示移动终端当前所属的 Authenticator/Key

Distributorl生成密月及相关上下文, 包括 Ak sequence number;

3、移动终端切换到目标 BS2上并进行网络重入的时候，即移动终端在目标 BS2下发送 RNG— REQ消息给目标 BS2要求网络重入后，如果目标 BS2事先没有获得该移动终端对应的鉴权授权密钥的情况下，目标 BS2直接向该终端的服务 Authenticator Key Distributorl请求鉴权密钥以及相关上下文，包括 Ak sequence number; 此时该移动终端的 Authenticator/Key Distributorl基于目标 BS2的标识以及移动终端的标识，根据之前其保留的该移动终端的 PMK等信息为该终端生成密钥以及上下文信息，包括 Ak sequence number。

进一步地，具体到切换过程中该移动终端目标 BS2到属于该移动终端当前所属的 Authenticator/Key Distributorl请求密钥以及上下文，包括 Ak sequence number的时机，除了以上流程中提到的服务 BS1收到空口的终端切换指示请求消息 MOB—HO— I D后的情况外，还会发生在：

移动终端切换到目标 BS2并进行网络重入的时候，即移动终端下发 RNG_REQ消息给目标 BS2要求网络重入后，如果目标 BS2事先没有获得该移动终端对应的鉴权授权密钥的情况下，目标 BS2直接向该终端当前所属的 Authenticator/Key Distributorl请求鉴权密钥以及相关上下文，包括 Ak sequence number。

同时，以上提到的鉴权密钥以及相应的上下文信息，包括 Ak sequence number的传递到目标 BS2的过程也可以是伴随着服务 BS1和目标 BS2之间的切换请求以及切换确认等消息的传递将这些信息包含其中。

如图 5所示，本发明提供的一种鉴权密钥上下文信息的发送系统，包括：

MSS的当前月良务基站 100、 MSS准备切换的目标基站 200、目标基站 200 所属的 Key Receiver300和 MSS 当前所属的 Authenticator/Distributor400, Authenticator/Distributor400与 MSS当前服务基站 100连接；

在切换过程中触发的如下相关消息会触发 MSS当前服务基站 100连接的 Authenticator Distributor400生成新的鉴权密钥：

1、当前服务基站 100收到 MSS的切换指示请求消息 MOB_HOJND或切换请求消息 MOB— MSSHO—REQ后，向连接的 Authenticator/Distributor400 发送指示消息，该 Aut enticator/Distributor400收到该指示消息时，生成 MSS 与切换到的目标基站 200之间的鉴权密钥并更新鉴权密钥上下文信息；或者 2、目标基站 200在 MSS完成切换并进行网络重入时，触发所属的 Key

Receiver300向当前月艮务基站 100连接的 Authenticator/Distributor400发送鉴权密钥请求消息，该 Authenticator/Distributor400收到请求消息时，生成 MSS与切换到的目标基站 200之间的鉴权密钥并更新鉴权密钥上下文信息；

MSS当前服务基站 100连接的 Authenticator/Distributor400收到 MSS切换过程中触发的上述任意一个消息时，生成 MSS与切换到的目标基站 200之间的鉴权密钥并更新鉴权密钥上下文信息，更新后的上下文信息中保留有正在使用的当前鉴权密钥序列号和当前下行管理消息认证码序列号；并在收到来自目标基站 200所属的 Key Receiver300的鉴权密钥请求消息时，将鉴权密钥和当前養权密钥序列号和当前上 /下行管理消息认证码序列号发送给该目标基站 200所属的的 Key Receiver300, 或者还可以将当前下行管理消息认证码序列号。

进而如图 6所示， MSS当前所属的 Aut enticator/Distributor400中包括：鉴权密钥生成单元 401 ,用于生成 MSS和目标基站 200之间的鉴权密钥；上下文更新单元 402, 用于更新上下文信息，更新后的上下文信息中包括鉴权密钥，保留有当前鉴权密钥序列号，还保留有正在使用的当前上 /下行管理消息认证码序列号；以及

信息发送单元 403, 用于从更新后的上下文信息中提取鉴权密钥、当前鉴权密钥序列号后，还可以同时提取当前上上 /下行管理消息认证码序列号后，携带在传输消息中发送给目标基站 200所属的 Key Receiver300。

参阅图 5 所示，当前服务基站 100 和目标基站 200 同时连接于 Authenticator/Distributor400 ,则当前服务基站 100和目标基站 200分别连接连接的 Authenticator/Distributor400, 其中：

目标基站 200的 Key Receiver300直接向该 Authenticator/Distributor400发送鉴权密钥请求消息；以及该 Authenticator/Distributor400直接将鉴权密钥和相关序列号直接发送给目标基站 200的 Key Receiver300。

参阅图 7 所示当前服务基站 100 和目标基站 200 分别连接于不同的 Authenticator/Distributor时 , 本发明系统还应该包括：

目标基站 200连接的 Authenticator/Distributor500, 目标基站 200和服务基站分别连接各自连接的 Authenticator/Distributor , 各自连接的两个 Authenticator/Distributor之间直接相连接，其中密钥请i ^肖息的发送包括如下两种方式：

1、目标基站 200 所属的 Key Receiver300 向目标基站 200 连接的 Authenticator/Distributor500发送密钥请求消息，该消息中携带当前服务基站 100所属的 Authenticator/Distributor400的地址信息，由目标基站 200 自己所属的 Authenticator/Distributor500 据地址信息生成新的密钥请求消息并发送给当前服务基站 100所属的 Authenticator/Distributor400;

2、目标基站 200通过自己连接的 Authenticator/Distributor500转发密钥请求消息，该消息的目的地址为当前服务基站 100 所属的 Authenticator Distributor400的地址，由目标基站 200将才艮据该消息的目的地址直接转发给当前务基站 100所属的 Authenticator/Distributor400;

则鉴权密钥以及相关序列号的发送过程为：

当前服务基站 100连接的 Authenticator/Distributor400将鉴权密钥以及相关序列号发送给目标基站 200连接的 Authenticator/Distributor400; ϋ标基站 200连接的 Authenticator/Distributor400提取鉴权密钥以及相关序列号后再转发给目标基站 200的 Key Receiver300_o

上述系统中，目标基站 200的 Key Receiver300可以设置在 BS2中、和 BS2属于同一个认证域的其它基站中或在网络中设置为独立网元。图 5和图 7 仅示例了其位于基站中的结构。

目标基站 200 收到鉴权密钥以及相关序列号后构造鉴权密钥上下文，因此，如图 8所示，目标基站 200中包括：

接收单元 201 , 接收 Key Receiver300转发的鉴权密钥和相关序列号；上下文构造单元 202, 根据鉴权密钥和相关序列号构造鉴权密钥上下文。发明的精神和范围。这样，倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内，则本发明也意图包含这些改动和变型在内。

Claims

权利要求

1、一种鉴权密钥上下文信息的发送方法，其特征在于，包括如下步骤：移动终端当前所属的鉴权者 /密钥分发者收到移动终端切换过程中触发的相关消息时，生成移动终端与切换到的目标基站之间的鉴权密钥并更新鉴权密钥上下文信息，更新后的所述上下文信息中保留有正在使用的当前鉴权密钥序列号；

移动终端当前所属的鉴权者 /密钥分发者收到来自为所述目标基站所属的密钥接收者获得鉴权密钥信息的请求消息时 , 将所述鉴权密钥和当前鉴权密钥序列号发送给该目标基站所属的所述的密钥接收者。

2、如权利要求 1所述的方法，其特征在于，

所述更新后的上下文信息中还保留有正在使用的当前上行管理消息认证码序列号和 /或当前下行管理消息认证码序列号；以及

鉴权者 /密钥分发者同时将所述当前上行管理消息认证码序列号和 /或当前下行管理消息认证码序列号发送给所述目标基站所属的密钥接收者。

3、如权利要求 1或 2所述的方法，其特征在于，所述移动终端当前所属的鉴权者 /密钥分发者收到的相关消息为如下之一：

移动终端的当前服务基站收到移动终端的切换指示请求消息 MOB_HO_IND或切换请求消息 MOB_MSSHO—REQ后，向移动终端当前所属的鉴权者 /密钥分发者发送的指示消息；

4、如权利要求 1或 2所述的方法，其特征在于，所述目标基站同时归属于所述移动终端当前所属的鉴权者 /密钥分发者时，该目标基站的密钥接收者直接向该鉴权者 /密钥分发者发送所述鉴权密钥请求消息；以及该鉴权者 /密钥分发者直接将所述鉴权密钥和相关序列号直接发送给目标基站的密钥接收者。

5、如权利要求 4所述的方法，其特征在于，所述方法还包括：目标基站的密钥接收者将所述鉴权密钥和相关序列号传输给目标基站；目标基站根据所述鉴权密钥和相关序列号构造鉴权密钥上下文。

6、如权利要求 1或 2所述的方法，其特征在于，所述目标基站和服务基站连接于不同的鉴权者 /密钥分发者时：

目标基站通过自己归属的鉴权者 /密钥分发者转发所述密钥请求消息，该消息的目的地址为所述移动终端当前所属的鉴权者 /密钥分发者的地址，由目标基站将根据该消息的目的地址直接转发给所述移动终端当前所属的鉴权者 / 密钥分发者。

7、如权利要求 6所述的方法，其特征在于，

移动终端当前所属的鉴权者 /密钥分发者将所述鉴权密钥以及相关序列号发送给目标基站连接的鉴权者 /密钥分发者；

目标基站连接的鉴权者 /密钥分发者提取所述鉴权密钥以及相关序列号后再转发给目标基站的密钥接收者。

8、如权利要求 7所述的方法，其特征在于，所述方法还包括：

目标基站的密钥接收者将所述鉴权密钥和相关序列号传输给目标基站；目标基站根据所述鉴权密钥和相关序列号构造鉴权密钥上下文。

9、一种鉴权密钥上下文信息的发送系统，包括至少一个基站，其特征在于，还包括：移动终端当前所属的鉴权者 /密钥分发者、移动终端切换的目标基站所属的密钥接收者，其中移动终端当前所属的鉴权者 /密钥分发者与移动终端当前服务基站相连接；

所述移动终端当前所属的鉴权者 /密钥分发者收到移动终端切换过程中触发的相关消息时，生成移动终端与切换到的目标基之间的鉴权密钥并更新鉴权密钥上下文信息，更新后的所述上下文信息中保留有正在使用的当前鉴权密钥序列号；并在收到来自所述目标基站所属的密钥接收者的鉴权密钥请求消息时，将所述鉴权密钥和当前鉴权密钥序列号发送给该目标基站所属的所述的密钥接收者。

10、如权利要求 9所述的系统，其特征在于，所述移动终端当前所属的鉴权者 /密钥分发者中包括：

11、如权利要求 9或 10所述的系统，其特征在于，所述系统至少还包括移动终端切换到的目标基站：

移动终端的当前服务基站收到移动终端的切换指示请求消息 MOB_HO_IND后或切换请求消息 MOB— MSHO— REQ后，向移动终端当前所属的鉴权者 /密钥分发者发送指示消息，该鉴权者 /密钥分发者收到该指示消息时，生成移动终端与切换到的目标基站之间的鉴权密钥并更新鉴权密钥上下文信息；

移动终端的目标基站在移动终端完成切换并进行网络重入时，触发所属的密钥接收者向移动终端当前归属的鉴权者 /密钥分发者发送鉴权密钥请求消息，该鉴权者 /密钥分发者收到请求消息时，生成移动终端与切换到的目标基站之间的鉴权密钥并更新鉴权密钥上下文信息。

12、如权利要求 9或 10所述的系统，其特征在于，所述目标基站连接所述移动终端当前所归属的鉴权者 /密钥分发者，其中：

13、如权利要求 12所述的系统，其特征在于，所述目标基站的密钥接收者设置在所述基站中、其它基站中或设置为独立网元。

14、如权利要求 9或 10所述的系统，其特征在于，所述系统还包括：目标基站连接的鉴权者 /密钥分发者，与移动终端当前所属的鉴权者 /密钥分发者之间直接相连接，其中：

目标基站所属的密钥接收者向移动终端当前所属的鉴权者 /密钥分发者发送所述密钥请求消息，该消息中携带所述移动终端当前所属的鉴权者 /密钥分发者的地址信息，由目标基站自己所连接的鉴权者 /密钥分发者根据所述地址信息生成新的密钥请求消息并发送给所述移动终端当前所属的鉴权者 /密钥分发者；或者

移动终端当前归属的鉴权者 /密钥分发者将所述鉴权密钥以及相关序列号发送给目标基站连接的鉴权者 /密钥分发者；目标基站连接的鉴权者 /密钥分发者提取所述鉴权密钥以及相关序列号后再转发给目标基站的密钥接收者。

15、如权利要求 14所述的系统，其特征在于，所述目标基站的密钥接收者设置在所述基站中、其它基站中或设置为独立网元。

16、如权利要求 13或 15所述的系统，其特征在于，所述目标基站包括：接收单元，接收密钥接收者转发的所述鉴权密钥和相关序列号；

上下文构造单元，根据所述鉴权密钥和相关序列号构造鉴权密钥上下文。