CN100563186C - 一种在无线接入网中建立安全通道的方法 - Google Patents
一种在无线接入网中建立安全通道的方法 Download PDFInfo
- Publication number
- CN100563186C CN100563186C CNB200510116986XA CN200510116986A CN100563186C CN 100563186 C CN100563186 C CN 100563186C CN B200510116986X A CNB200510116986X A CN B200510116986XA CN 200510116986 A CN200510116986 A CN 200510116986A CN 100563186 C CN100563186 C CN 100563186C
- Authority
- CN
- China
- Prior art keywords
- source
- target
- network identity
- authentication person
- key information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Mobile Radio Communication Systems (AREA)
Abstract
本发明公开了一种在无线接入网中建立安全通道的方法,在移动用户站发生切换时包括:目标基站获得源服务端标识;目标基站根据所获得的源服务端标识请求密钥信息;目标基站根据所述密钥信息与发生切换的移动用户站建立安全通道。可以在移动用户站和目标基站之间迅速建立安全通道,而不需要触发鉴权服务器发起重鉴权过程,既节省了空中接口上数据和信令的开销,又大大减少了建立安全通道的时间,提高了用户的业务质量。
Description
技术领域
本发明涉及到保证无线接入网安全性的技术,特别涉及到在无线接入网中建立安全通道的方法。
背景技术
随着因特网业务的蓬勃发展和无线网络的广泛应用,已经对无线接入网提出了越来越多的安全性要求,除采用目前广泛使用的设备鉴权、用户鉴权和服务授权等等方法来提高无线通信的安全性之外,移动用户站(MSS)与基站(BS)之间安全通道的建立,保密信息的交换,以及BS和鉴权者(Authenticator)、Authenticator和鉴权服务器(Authentication Server)之间的安全通道的建立,保密信息的交换等等都是目前需要特别关注的问题。
图1显示了现阶段无线接入网的安全网络架构体系。如图1所示,在无线接入网的安全网络架构中主要涉及到以下网元:MSS、BS、Authenticator以及Authentication Server。其中,MSS在所述安全架构中的主要功能是发起认证、鉴权,与Authentication Server交换产生根密钥所需的信息,生成根密钥,根据根密钥产生对空中接口数据加密所需要的鉴权密钥(AK,Authorization Key)以及根据AK派生出用于加密数据及管理消息一致性检验的其他密钥信息等;BS在上述安全架构中的功能是为BS和MSS提供安全体系通道,对空中接口数据进行压缩与加密,交换BS和MSS之间的保密信息,为MSS提供从BS到Authenticator的安全通道等;Authenticator在上述安全架构中的主要功能是为MSS认证、授权和计费提供代理功能,根据Authentication Server提供的与MSS之间对等的根密钥信息,产生BS和MSS之间建立安全通道所需的AK,并将AK分发到相应的BS;AuthenticationServer的主要功能包括:为MSS进行认证、授权和计费,产生并分发根密钥信息到Authenticator,在用户信息产生变化时及时通知Authenticator和其他网元用户信息改变所产生的后果。
在MSS初次接入无线接入网时,MSS的鉴权、认证以及与BS之间安全通道的建立过程如下:
a、MSS通过BS和Authenticator,发送与鉴权有关的信息到Authentication Server;
在这里所述的与鉴权有关的信息与MSS和Authentication Server选择的鉴权算法有关,通常包括:MSS的网络标志符(NAI),所使用鉴权算法的标识,用户识别模块(SIM)卡号码或者随机产生的随机数等等,Authentication Server可以根据这些信息对MSS进行鉴权;
b、Authentication Server根据接收的鉴权信息对该MSS进行鉴权,并在鉴权通过后,与MSS同时按照约定的算法各自建立用于产生根密钥的鉴权认证计费密钥(AAA-Key);
c、Authentication服务器将AAA-Key下发给Authenticator,Authenticator与MSS根据AAA-Key使用相同的算法各自生成根密钥,Authenticator与MSS再根据根密钥生成AK,Authenticator进一步将AK下发给BS;
d、BS和MSS根据AK,按照IEEE 802.16e中的密钥管理协议(PKM)机制协商产生对MSS和BS之间空中接口数据进行加密以及对管理信息进行一致性检验所需的相关密钥,在空中接口上建立安全通道。
这样,空中接口上传输的数据都能够通过加密实现安全传输,而空中接口上传输的管理消息也可以通过使用用于一致性检验的消息认证码(MAC,Message Authentication Code)实现安全传输。
由于MSS是可移动的,因此,在移动过程中,MSS很可能从一个BS覆盖的范围移动到另一个BS覆盖的范围,在这种情况下,MSS就需要从一个称为源BS的BS,切换到另一个称为目标BS的BS。在上述切换过程中,如果源BS和目标BS受到同一个Authenticator的控制,则在切换后,该Authenticator仅需要把当前MSS的AK下发到目标BS,MSS和目标BS就可以根据该AK建立安全通道了。但是,如果控制源BS和目标BS的Authenticator不同,即在MSS的切换过程中发生了Authenticator迁移,则根据协议规定,管理目标BS的Authenticator,称为目标Authenticator就会向Authentication Server申请新的根密钥,这将导致Authentication Server重新对MSS进行如上述步骤A至D所述的鉴权、授权和密钥协商的完整过程,以便在MSS和目标BS之间建立新的安全通道。
这样,不仅仅会增加BS与Authenticator及Authenticator与Authentication Server之间数据和信令的开销,还将占用较多的空中接口资源,增加安全通道建立所需的时间。特别是在Authenticator与BS在物理上存在于一个网元中的情况下,MSS在BS间的切换必然引起Authenticator的迁移,使得Authenticator的迁移过于频繁,最终导致用户会话的中断及业务质量的下降。
发明内容
为了解决上述技术问题,本发明提供了一种在无线接入网中建立安全通道的方法,使得在由MSS切换引发Authenticator迁移时,目标BS可以及时获得建立安全通道所需的密钥信息,迅速在MSS和目标BS之间建立安全通道,而不需要触发Authentication Server的重鉴权过程,保证用户会话的业务质量。
本发明所述在无线接入网中建立安全通道的方法在移动用户站切换过程中,
目标基站获得源服务端标识,将所述源服务端标识上传给目标鉴权者;
目标鉴权者根据所述源服务端标识确定源鉴权者的网络标识,若所述目标鉴权者的网络标识与所述源鉴权者的网络标识不相同,则目标鉴权者根据源鉴权者的网络标识向源鉴权者请求密钥信息,并将所述密钥信息下发给目标基站;
目标基站根据所述密钥信息与发生切换的移动用户站建立安全通道。
所述目标基站获得源服务端标识包括:在源基站接收到移动用户站发送的切换指示后,将源服务端标识发送到目标基站;目标基站接收所述源服务端标识。
本发明所述源服务端标识为源基站的网络标识。
本发明所述源服务端标识为源鉴权者的网络标识。
源服务端标识为源基站的网络标识时,
目标基站获得源服务端标识为:目标基站从切换进入的移动用户站发送的接入消息中获得源基站的网络标识。
根据源服务端标识确定源鉴权者的网络标识为:目标鉴权者根据源基站的网络标识以及预先配置的基站与鉴权者控制关系对应表查找得到控制源基站的源鉴权者的网络标识。
源服务端标识为源鉴权者的网络标识时,
目标基站获得源服务端标识为:目标基站从切换进入的移动用户站发送的接入消息中获得源基站的网络标识;目标基站根据源基站的网络标识向源基站请求源鉴权者的网络标识;源基站将控制自身的源鉴权者的网络标识发送给目标基站。
根据源服务端标识确定源鉴权者的网络标识为:目标鉴权者将接收的源鉴权者的网络标识直接确定为源鉴权者的网络标识。
本发明所述方法在目标鉴权者根据所述源服务端标识确定源鉴权者的网络标识之后进一步包括:若所述目标鉴权者的网络标识与所述源鉴权者的网络标识相同,则目标鉴权者直接下发与切换过程中的移动用户站对应的密钥信息到目标基站,目标基站根据接收的密钥信息与所述发生切换的移动用户站建立安全通道。
所述建立安全通道为:目标基站与移动用户站根据相同的密钥信息派生出用于加密空中接口数据以及对管理消息进行一致性检验的密钥,使用派生出的密钥加密空中接口数据,并对管理消息进行一致性检验。
本发明提供了另一种在无线接入网中建立安全通道的方法,在移动用户站切换过程中,
目标基站从移动用户站发送的接入消息中获得源基站的网络标识,目标基站根据源基站的网络标识向源基站请求源鉴权者的网络标识,源基站将源鉴权者的网络标识发送给目标基站;或者,在源基站接收到移动用户站发送的切换指示后,将源鉴权者的网络标识发送到目标基站;
目标基站根据所获得的源鉴权者的网络标识请求密钥信息;
目标基站根据所述的密钥信息与发生切换的移动用户站建立安全通道。
本发明所述目标基站根据所获得的源鉴权者的网络标识请求密钥信息包括:
目标基站根据源鉴权者的网络标识向源鉴权者请求密钥信息;
源鉴权者将建立安全通道所需的密钥下发给目标基站。
本发明所述方法在目标基站接收所述源鉴权者的网络标识之后进一步包括:目标基站根据获得的源鉴权者的网络标识判断在移动用户站的切换过程中是否发生了鉴权者迁移,如果是,则根据所获得的源鉴权者的网络标识请求密钥信息;否则,目标基站向目标鉴权者请求移动用户站对应的密钥信息,目标鉴权者将密钥信息直接下发给目标基站。
本发明所述判断在移动用户站的切换过程中是否发生了鉴权者迁移包括:目标基站根据自身存储的、预先配置的、控制自身鉴权者的网络标识得到目标鉴权者的网络标识;判断所获得的源鉴权者的网络标识与所述目标鉴权者的网络标识是否相同,如果相同,则没有发生鉴权者迁移;否则,发生了鉴权者迁移。
本发明所述密钥信息至少包括:鉴权密钥、该鉴权密钥的标识以及该鉴权密钥的生命周期。
上述建立安全通道为:目标基站与移动用户站根据相同的密钥信息派生出用于加密空中接口数据以及对管理消息进行一致性检验的密钥,使用派生出的密钥加密空中接口数据,并对管理消息进行一致性检验。
由此可以看出,本发明所述的方法在由MSS切换导致Authenticator发生迁移的情况下,通过在源Authenticator和目标Authenticator之间传递建立安全通道所需的密钥信息,可以在MSS和目标BS之间迅速建立安全通道,而不需要触发Authentication Server发起重鉴权过程,这一方面节省了空中接口上数据和信令的开销,另一方面,大大减少了建立安全通道的时间,提高了用户的业务质量。
附图说明
图1显示了现阶段无线接入网的安全网络架构体系;
图2显示了实施例1所述的在无线接入网中建立安全通道的方法;
图3显示了实施例2所述的在无线接入网中建立安全通道的方法;
图4显示了实施例3所述的在无线接入网中建立安全通道的方法;
图5显示了实施例4所述的在无线接入网中建立安全通道的方法;
图6显示了实施例5所述的在无线接入网中建立安全通道的方法。
具体实施方式
为了在MSS切换引发Authenticator迁移时,目标BS可以及时获得建立安全通道所需的密钥信息,本发明提供了在无线接入网中建立安全通道的方法,可以在不触发Authentication Server进行重鉴权过程的情况下,令目标BS及时获得建立安全通道所需的密钥信息,迅速在MSS和目标BS之间建立安全通道。
本发明所述的方法适用于图1所示的无线接入网的安全网络架构体系。
为使发明的目的、技术方案及优点更加清楚明白,以下参照附图并举实施例,对本发明作进一步详细说明。
实施例1:
图2显示了实施例1所述的在无线接入网中建立安全通道的方法。如图2所示,该方法主要包括以下步骤:
A 1、源BS接收到MSS的切换指示后,将源服务端标识发送到目标BS;
所述源服务端标识为源BS的网络标识或源Authenticator的网络标识;
在该步骤中,源BS可以通过BS之间的接口直接将源服务端标识发送到所述BS,还可以通过诸如基站控制器或接入服务网络网关(ASN GW)等控制网元之间的接口将所述源服务端标识间接转发到所述目标BS;
A2、目标BS接收到来自源BS的源服务端标识后,向控制自身的Authenticator,即目标Authenticator,发送一密钥请求消息,申请该MSS对应的密钥信息,并在该密钥请求消息中携带接收到的源服务端标识;
由于在每个BS中都存储有预先配置的控制自身的Authenticator的网络标识,因此,任何一个BS都能够寻址到控制自身的Authenticator,向该Authenticator申请建立安全通道所需的密钥信息;
A3、目标Authenticator根据密钥请求消息中的源服务端标识获得源Authenticator的网络标识,再根据源Authenticator的网络标识判断本次切换过程是否发生了Authenticator迁移,即判断自身的网络标识是否与接收到的源Authenticator的网络标识相同,如果没有发生Authenticator迁移,则执行步骤A4;否则,执行步骤A5;
在该步骤中,目标Authenticator可以根据所接收源服务端标识的不同采用两种方式获得源Authenticator的网络标识:若所述源服务端标识为源Authenticator的网络标识,则目标Authenticator可以直接获得源Authenticator的网络标识;若所述源服务端标识为源BS的网络标识,则目标Authenticator要根据自身预先配置的BS与Authenticator的控制关系对应表查找出控制所述源BS的源Authenticator的网络标识;
在得到源Authenticator的网络标识后,目标Authenticator将比较源Authenticator的网络标识与自身的网络标识是否相同,如果相同,则没有发生Authenticator迁移;否则,就发生了Authenticator迁移;
A4、目标Authenticator直接将建立安全通道所需的密钥信息发送到目标BS,目标BS根据接收的密钥信息与MSS建立安全通道,然后结束;
A5、目标Authenticator从源Authenticator获取建立安全通道所需的密钥信息,并将获取的密钥信息下发给目标BS,目标BS根据接收的密钥信息与MSS建立安全通道,然后结束。
由于Authenticator之间存在接入服务网络的内部接口——R6接口,因此,目标Authenticator通过自定义的密钥申请消息向源Authenticator请求并获取所述的密钥信息。另外,在源Authenticator和目标Authenticator之间传递的密钥信息的安全性可以通过传输层/网络层的安全机制来保证,例如,使用因特网协议安全(IPSec)或虚拟专网(VPN)等技术来保证。
在上述步骤A4和步骤A5中,所述密钥信息至少包括MSS的AK、该AK的标识(AKID)以及该AK的生命周期。所述密钥信息还可以包括诸如EAP完整性密钥(EIK,EAP Integrity Key)等其他密钥信息。
在目标BS得到了与MSS相同的AK后,就可以使用与MSS相同的算法派生出用于加密空中接口数据及对管理消息进行一致性检验的其他相关密钥,使用派生出的密钥加密空中接口数据,并对管理消息进行一致性检验,从而建立安全通道实现空中接口上数据和管理消息的安全传输。
从上述实施例1的步骤A3可以看出,在本实施例中,本次切换过程是否发生了Authenticator迁移是由目标Authenticator来判断的,在实际的应用中,还可以由目标BS判断是否发生了Authenticator迁移,参见实施例2所述的方法。
实施例2:
图3显示了实施例2所述的在无线接入网中建立安全通道的方法。如图3所示,该方法主要包括以下步骤:
B1、源BS接收到MSS的切换指示后,将源服务端标识发送到目标BS;
所述源服务端标识为源BS的网络标识或源Authenticator的网络标识;
在本步骤中,源BS也可以采用与步骤A1相同的方法直接或间接的将源服务端标识发送到目标BS;
B2、目标BS根据接收到的源服务端标识判断是否发生了Authenticator迁移,如果发生了Authenticator迁移,则执行步骤B3;否则,执行步骤B5;
在该步骤中,若所述源服务端标识为源Authenticator的网络标识,则目标BS直接将自身存储的、预先配置的、控制自身的Authenticator网络标识与所述源Authenticator的网络标识进行比较,如果相同,则没有发生Authenticator迁移,否则,就发生了Authenticator迁移;
若所述源服务端标识为源BS的网络标识,则目标BS必须存储有预先配置的、控制自身的Authenticator所能控制的所有BS网络标识的列表,目标BS通过查找源BS的网络标识是否在此列表中来判断是否发生了Authenticator迁移,如果在此列表中,则没有发生Authenticator迁移,否则,就发生了Authenticator迁移;
B3、目标BS将接收的源服务端标识通过密钥请求消息发送到控制自身的Authenticator,即目标Authenticator,向目标Authenticator申请该MSS对应的密钥信息;
B4、目标Authenticator根据密钥请求消息中的源服务端标识获得源Authenticator的网络标识,然后从源Authenticator获取建立安全通道所需的密钥信息,并将获取的密钥信息下发给目标BS,目标BS根据接收的密钥信息与MSS建立安全通道,然后结束;
本步骤所述获得源Authenticator的网络标识的方法与上述步骤A3所述的方法相同;所述从源Authenticator获取密钥信息的方法与步骤A5所述的方法相同;
B5、目标BS向目标Authenticator,即源Authenticator,申请该MSS对应的密钥信息,目标Authenticator将该MSS的密钥信息直接下发给目标BS,目标BS根据接收的密钥信息与MSS建立安全通道,然后结束。
在上述步骤B4和步骤B5中,所述的密钥信息也至少包括MSS的AK。
在目标BS得到了与MSS相同的AK后,就可以使用与MSS相同的算法派生出用于加密空中接口数据及对管理消息进行一致性检验的其他密钥,使用派生出的密钥加密空中接口数据,并对管理消息进行一致性检验,从而建立安全通道实现空中接口上数据和管理消息的安全传输。
从上述过程可以看出,在上述两个实施例中,目标BS是从来自源BS的切换消息中获得源服务端标识的,但是在某些时候,可能出现在MSS已经切换进入目标BS时,目标BS仍无法从源BS获得源服务端标识的情况,例如,由于MSS已经离开源BS的覆盖区域,使得源BS无法收到MSS发送的切换指示,从而导致源BS不会将源服务端标识发送到目标BS。在这种情况下,目标BS无法得知源服务端标识,从而无法通过目标Authenticator快速获得原来使用的密钥信息。
下面将要描述的本发明的优选实施例可以解决上述问题。
实施例3:
图4显示了实施例3所述的在无线接入网中建立安全通道的方法。如图4所示,所述方法在MSS切换进入目标BS后,包括以下步骤:
C1、目标BS从MSS的接入消息中获取源BS的网络标识;
C2、目标BS根据源BS的网络标识向源BS发送包含MSS标识的切换指示请求,要求源BS提供源Authenticator的网络标识;
在该步骤中,目标BS可以通过BS之间的接口直接向源BS请求源服务端标识,还可以通过诸如基站控制器或ASN GW等控制网元之间的接口间接向源BS请求源Authenticator的网络标识;
C3、获得源Authenticator的网络标识后,目标BS将源Authenticator的网络标识通过密钥请求消息发送到控制自身的Authenticator,即目标Authenticator,向目标Authenticator申请该MSS对应的密钥信息;
C4、目标Authenticator根据密钥请求消息中的源Authenticator的网络标识判断在本次切换过程中是否发生了Authenticator迁移,如果没有发生Authenticator迁移,则执行步骤C5,否则执行步骤C6;
C5、目标Authenticator直接将建立安全通道所需的密钥下发给目标BS,目标BS根据接收的密钥信息与MSS建立安全通道,然后结束;
C6、目标Authenticator从源Authenticator获取建立安全通道所需的密钥信息,并将获取的密钥信息下发给目标BS,目标BS根据接收的密钥信息与MSS建立安全通道,然后结束。
本步骤所述从源Authenticator获取密钥信息的方法与实施例1步骤A5所述的方法相同。
上述步骤C5和C6所述的密钥信息也至少包括源MSS的AK。在目标BS得到了与MSS相同的AK后,就可以与MSS派生出其他密钥实现空中接口上数据和管理消息的安全传输。
熟悉本领域的技术人员可以理解,也可以在目标BS获得源Authenticator的网络标识后,由目标BS根据源Authenticator的网络标识判断在本次切换过程中是否发生了Authenticator迁移,其判断方法可以采用实施例2步骤B2所述的判断方法,如果发生了Authenticator迁移,则将源Authenticator的网络标识上报给目标Authenticator,通过目标Authenticator从源Authenticator获取建立安全通道所需的密钥信息,从而建立安全通道;否则,直接从源Authenticator获取密钥信息建立安全通道。
实施例4:
图5显示了实施例4所述的无线接入网中建立安全通道的方法。如图5所示,所述方法在MSS切换进入目标BS后,包括以下步骤:
D1、目标BS从MSS的接入消息中获取源BS的网络标识;
D2、目标BS将源BS的网络标识通过密钥请求消息发送到控制自身的Authenticator,即目标Authenticator,向目标Authenticator申请该MSS对应的密钥信息;
D3、目标Authenticator根据密钥请求消息中的源BS网络标识查找自身存储的BS与Authenticator控制关系对应表得到源Authenticator的网络标识,并根据源Authenticator的网络标识判断在本次切换过程中是否发生了Authenticator迁移,如果是,则执行步骤D4,否则执行D5;
D4、目标Authenticator直接将建立安全通道所需的密钥下发给目标BS,目标BS根据接收的密钥信息与MSS建立安全通道,然后结束;
D5、目标Authenticator从源Authenticator获取建立安全通道所需的密钥信息,并将获取的密钥信息下发给目标BS,目标BS根据接收的密钥信息与MSS建立安全通道,然后结束。
上述步骤D4和D5所述的密钥信息也至少包括该MSS的AK。在目标BS得到了与MSS相同的AK后,就可以与MSS派生出其他密钥实现空中接口上数据和管理消息的安全传输。
与实施例3相同,在实施例4中也可以在目标BS获得源BS的网络标识后,由目标BS根据源BS的网络标识查找管理自身的Authenticator所管理所有BS列表,判断在本次切换过程中是否发生了Authenticator迁移,其判断方法可以采用实施例2步骤B2所述的判断方法,如果发生了Authenticator迁移,则将源BS的网络标识上报给目标Authenticator,通过目标Authenticator从源Authenticator获取建立安全通道所需的密钥信息,从而建立安全通道;否则,直接从源Authenticator获取密钥信息建立安全通道。
实施例5:
如果允许目标BS直接到源Authenticator请求密钥信息,而且目标BS可以获得源Authenticator的网络标识,就可以进一步简化上述实施例1~4的方法。
图6显示了实施例5所述的无线接入网中建立安全通道的方法。如图6所示,所述方法在MSS切换进入目标BS后,包括以下步骤:
E1、目标BS从MSS的接入消息中获取源BS的网络标识;
E2、目标BS根据源BS的网络标识向源BS发送包含MSS标识的切换指示请求,要求源BS提供源Authenticator的网络标识;
对应上述步骤E1和E2,目标BS还可以通过如下方法获得源Authenticator的网络标识:在源基站接收到移动用户站发送的切换指示后,将源Authenticator的网络标识发送到目标基站;目标基站接收所述源Authenticator的网络标识。
E3、源BS通过会话响应消息将源Authenticator的网络标识通知给目标BS;
E4、在获得了源Authenticator的网络标识后,目标BS根据源Authenticator的网络标识直接向源Authenticator申请该MSS的密钥信息;
E5、源Authenticator直接将建立安全通道所需的密钥下发给目标BS,目标BS根据接收的密钥信息与MSS建立安全通道,然后结束。
上述步骤E5所述的密钥信息至少包括该MSS的AK。在目标BS得到了与MSS相同的AK后,就可以与MSS派生出其他密钥实现空中接口上数据和管理消息的安全传输。
从上述实施例1至实施例5所述的方法可以看出,在MSS切换导致Authenticator发生迁移的情况下,不需要触发Authentication Server发起重鉴权过程,就可以在MSS和目标BS之间迅速建立安全通道,节省了数据和信令的开销,大大减少了建立安全通道的时间,提高了用户的业务质量。
如果上述过程发生故障,出现目标BS或目标Authenticator无法得到建立安全通道所需的密钥信息,那么目标Authenticator就将重新启动现有技术中,由MSS、目标BS、目标Authenticator和Authentication Server共同参与的完整的重新鉴权、授权和密钥信息交换等过程,以在MSS和目标BS之间建立新的根密钥,新的AK以及其他相关密钥,达到建立新的安全通道的目的。
Claims (16)
1、一种在无线接入网中建立安全通道的方法,其特征在于,在移动用户站切换过程中,
目标基站获得源服务端标识,将所述源服务端标识上传给目标鉴权者;
目标鉴权者根据所述源服务端标识确定源鉴权者的网络标识,若所述目标鉴权者的网络标识与所述源鉴权者的网络标识不相同,则目标鉴权者根据源鉴权者的网络标识向源鉴权者请求密钥信息,并将所述密钥信息下发给目标基站;
目标基站根据所述密钥信息与所述移动用户站建立安全通道。
2、如权利要求1所述的方法,其特征在于,所述目标基站获得源服务端标识包括:在源基站接收到移动用户站发送的切换指示后,将源服务端标识发送到目标基站;目标基站接收所述源服务端标识。
3、如权利要求2所述的方法,其特征在于,所述源服务端标识为源基站的网络标识。
4、如权利要求2所述的方法,其特征在于,所述源服务端标识为源鉴权者的网络标识。
5、如权利要求1所述的方法,其特征在于,所述源服务端标识为源基站的网络标识;
所述目标基站获得源服务端标识为:目标基站从切换进入的移动用户站发送的接入消息中获得源基站的网络标识。
6、如权利要求1所述的方法,其特征在于,所述源服务端标识为源鉴权者的网络标识;
所述目标基站获得源服务端标识为:目标基站从切换进入的移动用户站发送的接入消息中获得源基站的网络标识;目标基站根据源基站的网络标识向源基站请求源鉴权者的网络标识;源基站将控制自身的源鉴权者的网络标识发送给目标基站。
7、如权利要求3或5所述的方法,其特征在于,根据所述源服务端标识确定源鉴权者的网络标识为:目标鉴权者根据源基站的网络标识以及预先配置的基站与鉴权者控制关系对应表查找得到控制源基站的源鉴权者的网络标识。
8、如权利要求4或6所述的方法,其特征在于,根据所述源服务端标识确定源鉴权者的网络标识为:目标鉴权者将接收的源鉴权者的网络标识直接确定为源鉴权者的网络标识。
9、如权利要求1所述的方法,其特征在于,在目标鉴权者根据所述源服务端标识确定源鉴权者的网络标识之后进一步包括:若所述目标鉴权者的网络标识与所述源鉴权者的网络标识相同,则目标鉴权者直接下发与切换过程中的移动用户站对应的密钥信息到目标基站,目标基站根据接收的密钥信息与所述发生切换的移动用户站建立安全通道。
10、如权利要求1至6、9中任意一项所述的方法,其特征在于,所述建立安全通道为:目标基站与移动用户站根据相同的密钥信息派生出用于加密空中接口数据以及对管理消息进行一致性检验的密钥,使用派生出的密钥加密空中接口数据,并对管理消息进行一致性检验。
11、一种在无线接入网中建立安全通道的方法,其特征在于,在移动用户站切换过程中,
目标基站从所述移动用户站发送的接入消息中获得源基站的网络标识,目标基站根据源基站的网络标识向源基站请求源鉴权者的网络标识,源基站将源鉴权者的网络标识发送给目标基站;或者,源基站接收到所述移动用户站发送的切换指示后,将源鉴权者的网络标识发送到目标基站;
目标基站根据所获得的源鉴权者的网络标识请求密钥信息;
目标基站根据所述的密钥信息与发生切换的移动用户站建立安全通道。
12、如权利要求11所述的方法,其特征在于,所述目标基站根据所获得的源鉴权者的网络标识请求密钥信息包括:
目标基站根据源鉴权者的网络标识向源鉴权者请求密钥信息;
源鉴权者将建立安全通道所需的密钥下发给目标基站。
13、如权利要求11所述的方法,其特征在于,在目标基站接收所述源鉴权者的网络标识之后进一步包括:目标基站根据获得的源鉴权者的网络标识判断在所述移动用户站的切换过程中是否发生了鉴权者迁移,如果是,则根据所获得的源鉴权者的网络标识请求密钥信息;否则,目标基站向目标鉴权者请求所述移动用户站对应的密钥信息,目标鉴权者将所述密钥信息直接下发给目标基站。
14、如权利要求13所述的方法,其特征在于,所述判断在所述移动用户站的切换过程中是否发生了鉴权者迁移包括:
目标基站根据自身存储的、预先配置的、控制自身鉴权者的网络标识得到目标鉴权者的网络标识;判断所获得的源鉴权者的网络标识与所述目标鉴权者的网络标识是否相同,如果相同,则没有发生鉴权者迁移;否则,发生了鉴权者迁移。
15、如权利要求11所述的方法,其特征在于,所述密钥信息至少包括:鉴权密钥、该鉴权密钥的标识以及该鉴权密钥的生命周期。
16、如权利要求11或13至15中任意一项所述的方法,其特征在于,所述建立安全通道为:目标基站与移动用户站根据相同的密钥信息派生出用于加密空中接口数据以及对管理消息进行一致性检验的密钥,使用派生出的密钥加密空中接口数据,并对管理消息进行一致性检验。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB200510116986XA CN100563186C (zh) | 2005-07-11 | 2005-10-28 | 一种在无线接入网中建立安全通道的方法 |
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200510082882 | 2005-07-11 | ||
| CN200510082882.1 | 2005-07-11 | ||
| CNB200510116986XA CN100563186C (zh) | 2005-07-11 | 2005-10-28 | 一种在无线接入网中建立安全通道的方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1794682A CN1794682A (zh) | 2006-06-28 |
| CN100563186C true CN100563186C (zh) | 2009-11-25 |
Family
ID=36805962
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNB200510116986XA Active CN100563186C (zh) | 2005-07-11 | 2005-10-28 | 一种在无线接入网中建立安全通道的方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN100563186C (zh) |
Families Citing this family (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101237672B (zh) | 2007-01-29 | 2012-05-23 | 华为技术有限公司 | 一种演进网络中建立s1信令连接的方法、装置及系统 |
| CN101304600B (zh) | 2007-05-08 | 2011-12-07 | 华为技术有限公司 | 安全能力协商的方法及系统 |
| CN102413461B (zh) * | 2007-05-08 | 2014-06-04 | 华为技术有限公司 | 安全能力协商的方法及系统 |
| CN101953191A (zh) * | 2008-02-20 | 2011-01-19 | 阿尔卡特朗讯美国公司 | 在无线通信系统中实施切换或在实施切换同时实施密钥管理的系统和方法 |
| CN101321396B (zh) * | 2008-04-14 | 2014-03-12 | 中兴通讯股份有限公司 | 移动台的切换实现方法及构建安全接入服务网络的方法 |
| CN101621374A (zh) * | 2008-06-30 | 2010-01-06 | 华为技术有限公司 | 一种网络认证的方法、装置、系统及服务器 |
| JP2020072348A (ja) * | 2018-10-30 | 2020-05-07 | キヤノン株式会社 | 認証方法、認証装置、被認証装置及び画像形成装置 |
| CN112469139B (zh) * | 2020-12-02 | 2023-04-28 | 中国联合网络通信集团有限公司 | 网络通道建立系统及方法 |
-
2005
- 2005-10-28 CN CNB200510116986XA patent/CN100563186C/zh active Active
Also Published As
| Publication number | Publication date |
|---|---|
| CN1794682A (zh) | 2006-06-28 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN100563186C (zh) | 一种在无线接入网中建立安全通道的方法 | |
| EP1414262B1 (en) | Authentication method for fast handover in a wireless local area network | |
| US7236477B2 (en) | Method for performing authenticated handover in a wireless local area network | |
| CN1268093C (zh) | 无线局域网加密密钥的分发方法 | |
| US7607013B2 (en) | Method and apparatus for access authentication in wireless mobile communication system | |
| CN102395166B (zh) | 宽带无线接入通信系统中用于快速网络重入的移动站和基站 | |
| KR100952453B1 (ko) | 단말기에서 사용자를 인증하기 위한 인증 방법, 인증시스템, 단말기, 및 인증 장치 | |
| CN107690138B (zh) | 一种快速漫游方法、装置、系统、接入点和移动站 | |
| US20070060105A1 (en) | System and method for optimizing a wireless connection between wireless devices | |
| KR20100021385A (ko) | 이동 통신 시스템의 보안화된 비계층 프로토콜 처리 방법 | |
| CN102783218A (zh) | 用于重定向数据业务的方法和装置 | |
| CN101627644A (zh) | 用于漫游环境的基于令牌的动态密钥分配方法 | |
| US8204478B2 (en) | System for setting security in wireless network system using cluster function and method of controlling the same | |
| CN101631306A (zh) | 空口密钥的更新方法、终端以及基站 | |
| CN100558187C (zh) | 一种无线接入方法及接入控制器 | |
| CN101616407B (zh) | 预认证的方法和认证系统 | |
| CN103402201A (zh) | 一种基于预认证的WiFi-WiMAX异构无线网络认证方法 | |
| CN101128033B (zh) | 重定位中实现加密算法改变的方法 | |
| US20060041749A1 (en) | Method and system for improved communication network setup | |
| CN104507065B (zh) | 异构无线网络中不可否认性计费方法 | |
| CN101193427A (zh) | 支持快速切换的预认证方法 | |
| CN100583751C (zh) | 控制是否启动加密过程的方法 | |
| CN1997212A (zh) | 无线通信网络中实现位置更新的方法 | |
| CN101588576A (zh) | 一种无线通信系统中保护终端私密性的方法及系统 | |
| CN100521820C (zh) | 一种测距请求消息校验方法及无线接入网络 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |