CN101600200B - 异构网络间切换的方法、移动节点及认证接入点 - Google Patents
异构网络间切换的方法、移动节点及认证接入点 Download PDFInfo
- Publication number
- CN101600200B CN101600200B CN200810114292A CN200810114292A CN101600200B CN 101600200 B CN101600200 B CN 101600200B CN 200810114292 A CN200810114292 A CN 200810114292A CN 200810114292 A CN200810114292 A CN 200810114292A CN 101600200 B CN101600200 B CN 101600200B
- Authority
- CN
- China
- Prior art keywords
- preparatory
- security association
- information
- mobile node
- access point
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
- 238000000034 method Methods 0.000 title claims abstract description 78
- 238000004321 preservation Methods 0.000 claims description 17
- 238000001514 detection method Methods 0.000 claims description 8
- 230000011664 signaling Effects 0.000 description 11
- 230000005540 biological transmission Effects 0.000 description 6
- 238000013475 authorization Methods 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 230000002950 deficient Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Images
Landscapes
- Mobile Radio Communication Systems (AREA)
Abstract
本发明公开了一种异构网络间切换的方法、移动节点及认证接入点。异构网络间切换的方法可以为:再次切换到目标网络时,移动节点与认证接入点利用保存的预安全联盟的信息进行相互认证;移动节点通过所述认证接入点接入所述目标网络。异构网络间切换的方法还可以为:再次切换到目标网络时,移动节点与第二认证接入点利用第一预安全联盟的信息建立第二预安全联盟,并保存所述第二预安全联盟的信息;移动节点通过所述第二认证接入点接入所述目标网络。本发明实施例降低了移动节点资源消耗,减少了切换时间以及减少了认证服务器的负荷,节省了网络资源。
Description
技术领域
本发明实施例涉及网络通信领域,尤其涉及一种异构网络间切换的方法、移动节点及认证接入点。
背景技术
为了建立统一的标准以解决移动节点在异构网络间切换的问题,电子和电气工程师协会(Institute of Electrical and Electronics Engineers,简称IEEE)组织成立了I EEE802.21工作组,该工作组提出了媒体无关切换(Media Independent Handover,以下简称MIH)的概念,其是利用MIH协议层实现移动节点在异构网络间的切换,而且无需用户干预。移动节点在网络间切换并进行目标网络接入时涉及到安全问题,因此目标网络必须对移动节点进行接入认证,但是由于网络间的异构性使得进行接入认证时不能采用常规的与媒体接入层相关的认证方法。针对此问题,IEEE802.21工作组中的安全学习小组提出了采用基于可扩展认证协议(Extensible AuthenticationProtocol,以下简称EAP)的认证方法实现独立于媒体接入层的接入认证,但基于EAP认证的过程需要时间较长,导致移动节点间的切换过程受到影响,引起业务的延时或中断,为解决这一问题,安全小组又进一步提出了基于EAP的主动预认证和主动重认证方法。
现有技术中异构网络间切换的方法为:例如,移动节点在A网络和B网络之间进行切换,当移动节点决定从A网络切换到B网络时,需要与B网络的认证服务器完成基于EAP的预认证或重认证过程,并与B网络之间建立预安全联盟,保存该预安全联盟的信息,移动节点利用该预安全联盟的信息切换到B网络;一段时间后,当移动节点再次从A网络切换到B网络时,需要与B网络重新完成基于EAP的预认证或重认证过程,重新建立预安全联盟,保存该预安全联盟的信息,并利用该预安全联盟的信息切换到B网络。其中,在完成基于EAP的预认证或重认证过程中,移动节点都需要与切换的目标网络的认证服务器进行信令交互。
在实现本发明的过程中,发明人发现现有技术中至少存在如下问题:移动节点在异构网络间进行切换时,每次切换都需要进行预认证或重认证过程,消耗了移动节点的资源。
发明内容
本发明实施例提供了一种异构网络间切换的方法、移动节点及认证接入点,克服了现有技术中移动节点在异构网络间多次切换时,每次切换都需要进行预认证或重认证过程,导致消耗了移动节点的资源的缺陷。
本发明实施例提供了一种异构网络间切换的方法,包括:
移动节点与认证服务器进行基于可扩展认证协议EAP的认证;
移动节点与认证接入点之间建立预安全联盟,并保存所述预安全联盟的信息;
移动节点通过所述认证接入点接入目标网络;
再次切换到所述目标网络时,移动节点与所述认证接入点利用保存的所述预安全联盟的信息进行相互认证;
移动节点通过所述认证接入点接入所述目标网络;
其中,所述预安全联盟的信息包括移动节点保存的预安全联盟的信息,所述移动节点保存的预安全联盟的信息保存在预先建立的移动节点的预安全联盟关系表中,所述移动节点保存的预安全联盟的信息包括预安全联盟标识符、密钥组件信息和地址绑定信息;所述预安全联盟的信息包括认证接入点保存的预安全联盟的信息,所述认证接入点保存的预安全联盟的信息保存在预先建立的认证接入点的预安全联盟关系表中,所述认证接入点保存的预安全联盟的信息包括预安全联盟标识符、密钥组件信息和地址绑定信息。
本发明实施例还提供了一种异构网络间切换的方法,包括:
移动节点与认证服务器进行基于可扩展认证协议EAP的认证;
移动节点与第一认证接入点之间建立第一预安全联盟,并保存所述第一预安全联盟的信息;
移动节点通过所述第一认证接入点接入目标网络;
再次切换到目标网络时,移动节点与第二认证接入点利用所述第一预安全联 盟的信息建立第二预安全联盟,并保存所述第二预安全联盟的信息;
移动节点通过所述第二认证接入点接入所述目标网络。
本发明实施例提供了一种移动节点,包括:
第二认证模块,用于与认证服务器进行基于可扩展认证协议EAP的认证;
建立模块,用于与认证接入点之间建立预安全联盟;
保存模块,用于保存预安全联盟的信息;
第一认证模块,用于再次切换到目标网络时,与认证接入点利用保存的预安全联盟的信息进行相互认证;
接入模块,用于通过所述认证接入点接入所述目标网络;
其中,所述预安全联盟的信息包括移动节点保存的预安全联盟的信息,所述移动节点保存的预安全联盟的信息保存在预先建立的移动节点的预安全联盟关系表中,所述移动节点保存的预安全联盟的信息包括预安全联盟标识符、密钥组件信息和地址绑定信息;所述预安全联盟的信息包括认证接入点保存的预安全联盟的信息,所述认证接入点保存的预安全联盟的信息保存在预先建立的认证接入点的预安全联盟关系表中,所述认证接入点保存的预安全联盟的信息包括预安全联盟标识符、密钥组件信息和地址绑定信息。
本发明实施例还提供了一种移动节点,包括:
认证模块,用于与认证服务器进行基于可扩展认证协议EAP的认证;
第二建立模块,用于与第一认证接入点之间建立第一预安全联盟;
第二保存模块,用于保存第一预安全联盟的信息;
第一建立模块,用于再次切换到目标网络时,与第二认证接入点利用所述第一预安全联盟的信息建立第二预安全联盟;
第一保存模块,用于保存所述第二预安全联盟的信息;
第一接入模块,用于通过所述第二认证接入点接入所述目标网络。
本发明实施例提供了一种认证接入点,包括:
建立模块,用于与移动节点之间建立预安全联盟;
保存模块,用于保存所述预安全联盟的信息;
认证模块,用于移动节点再次切换到目标网络时,与移动节点利用保存的预安全联盟的信息进行相互认证。
本发明实施例还提供了一种认证接入点,包括:
发送模块,用于向认证服务器发送预安全联盟信息请求;
接收模块,用于接收所述认证服务器发送的由所述认证服务器获取的第一认证接入点保存的第一预安全联盟的信息;
具体实施方式
建立模块,用于移动节点再次切换到目标网络时,与移动节点利用所述第一预安全联盟的信息建立第二预安全联盟;
保存模块,用于保存所述第二预安全联盟的信息;
其中,所述预安全联盟的信息包括移动节点保存的预安全联盟的信息,所述移动节点保存的预安全联盟的信息保存在预先建立的移动节点的预安全联盟关系表中,所述移动节点保存的预安全联盟的信息包括预安全联盟标识符、密钥组件信息和地址绑定信息;所述预安全联盟的信息包括认证接入点保存的预安全联盟的信息,所述认证接入点保存的预安全联盟的信息保存在预先建立的认证接入点的预安全联盟关系表中,所述认证接入点保存的预安全联盟的信息包括预安全联盟标识符、密钥组件信息和地址绑定信息。
由上述技术方案可知,本发明实施例在移动节点首次切换到目标网络时保存预安全联盟的信息,当移动节点通过相同的认证接入点再次切换到该目标网络时可利用保存的预安全联盟的信息直接切换到目标网络,或者当移动节点通过不同的认证接入点再次切换到目标网络时,可通过建立第二预安全联盟并保存第二预安全联盟的信息切换到目标网络,不需要移动节点再次与目标网络的认证服务器进行基于EAP的认证,即减少了移动节点与认证服务器的信令交互,另外也优化了预安全联盟的建立过程,从而降低了移动节点资源消耗,减少了切换时间以及减少了认证服务器的负荷,节省了网络资源。
图1为本发明异构网络间切换的方法实施例一的流程图;
图2为本发明异构网络间切换的方法实施例二的流程图;
图3为本发明实施例EAP预认证的流程图;
图4为本发明实施例移动节点中预安全联盟关系表的示意图;
图5为本发明实施例认证接入点中预安全联盟关系表的示意图;
图6为本发明异构网络间切换的方法实施例三的流程图;
图7为本发明异构网络间切换的方法实施例四的流程图;
图8为本发明异构网络间切换的方法实施例五的流程图;
图9为本发明移动节点实施例一的结构示意图;
图10为本发明移动节点实施例二的结构示意图;
图11为本发明认证接入点实施例一的结构示意图;
图12为本发明认证接入点实施例二的结构示意图。
下面通过附图和实施例,对本发明实施例的技术方案做进一步的详细描述。
异构网络包括认证接入点和认证服务器,移动节点在异构网络之间进行切换时,在移动节点和认证接入点之间共享的安全联盟为预安全联盟。
本发明实施例中移动节点与目标网络的认证接入点之间建立预安全联盟时,移动节点和认证接入点同时保存该预安全联盟的信息,当移动节点通过该认证接入点再次切换到目标网络时,不必重新与目标网络的认证服务器进行基于EAP的认证,可以直接与认证接入点利用保存的预安全联盟的信息进行相互认证,从而完成到目标网络的切换;或者当移动节点通过不同的第二认证接入点再次切换到目标网络时,也不必重新与目标网络的认证服务器进行基于EAP的认证,可以通过建立第二预安全联盟,并保存第二预安全联盟的信息,完成到目标网络的切换。
图1为本发明异构网络间切换的方法实施例一的流程图,如图1所示,具体包括如下步骤:
步骤101、移动节点再次切换到目标网络时,移动节点与认证接入点利用保存的预安全联盟的信息进行相互认证;
步骤102、移动节点通过所述认证接入点接入所述目标网络。
在移动节点首次切换到目标网络时保存预安全联盟的信息,当移动节点再次通过相同的认证接入点切换到该目标网络时不必重新与目标网络的认证服务器进行基于EAP的认证,直接利用保存的预安全联盟的信息切换到目标网络,降低了移动节点资源消耗。
图2为本发明异构网络间切换的方法实施例二的流程图,如图2所示,该切换方法为移动节点在二个异构网络之间二次以上切换的方法,本实施例中二个异构网络为A网络和B网络,A网络包括A网络的认证接入点和A网络的认证服务器,B网络包括B网络的认证接入点和B网络的认证服务器,其中A网络为当前服务网络,移动节点与A网络的认证接入点之间进行业务传输,B网络为当前目标网络,其中移动节点包括用于连接A网络的A网络接口和用于连接B网络的B网络接口。移动节点在A网络和B网络之间切换的步骤具体包括:
步骤201、移动节点与B网络的认证服务器进行基于EAP的认证,基于EAP的认证可以为EAP预认证或EAP重认证。
当正在与A网络进行业务传输的移动节点逐渐向B网络移动时,移动节点与B网络之间会首先进行基于EAP的认证,可以为EAP预认证或EAP重认证,本实施例以EAP预认证为例,详细说明基于EAP的认证的具体过程,图3为本发明实施例EAP预认证的流程图,如图3所示,具体包括如下步骤:
步骤2011、移动节点接收B网络的认证接入点发送的第一EAP请求消息,并向B网络的认证接入点返回第一EAP响应消息;
步骤2012、B网络的认证接入点发送封装有第一EAP响应消息的认证授权统计(Authentication Authorization Accounting,以下简称AAA)信令消息到B网络的认证服务器,B网络的认证服务器对第一EAP响应消息进行处理,并产生第二EAP请求消息;
步骤2013、B网络的认证服务器将第二EAP请求消息封装成AAA信令消息,并发送到B网络的认证接入点;
步骤2014、B网络的认证接入点对封装有第二EAP请求消息的AAA信令消息进行解封装,并向移动节点发送第二EAP请求消息;
步骤2015、移动节点向B网络的认证接入点返回第二EAP响应消息,B网络的认证接入点向B网络的认证服务器返回封装有第二EAP响应消息的AAA信令消息;
步骤2016、移动节点与B网络的认证服务器进行相互认证;
步骤2017、B网络的认证服务器发送封装了EAP认证成功消息以及预安全联盟的信息的AAA信令消息到B网络的认证接入点;
步骤2018、B网络的认证接入点对封装了EAP认证成功消息以及预安全联盟的信息的AAA信令消息进行解封装,并发送EAP认证成功消息以及预安全联盟的信息到移动节点,移动节点接收EAP认证成功消息完成EAP预认证。
在移动节点与B网络的认证接入点完成EAP认证之后,执行步骤202。
步骤202、移动节点与B网络的认证接入点之间建立预安全联盟B,移动节点和B网络的认证接入点保存预安全联盟B的信息。
移动节点和B网络的认证接入点根据步骤2017中B网络的认证服务器发送的认证成功消息与及预安全联盟的信息建立预安全联盟B,并且移动节点与B网络的认证接入点保存预安全联盟B的信息,该预安全联盟B的信息包括移动节点保存的预安全联盟B的信息以及B网络的认证接入点保存的预安全联盟B的信息,移动节点保存的预安全联盟B的信息至少包括预安全联盟标识符、密钥组件信息和地址绑定信息,还可以包括网络类型信息和运营商信息;认证接入点保存的预安全联盟B的信息至少包括预安全联盟标识符、密钥组件信息和地址绑定信息,还可以包括移动节点类型信息和使用的服务类型信息。其中,移动节点保存的预安全联盟B的信息保存在预先建立的移动节点的预安全联盟关系表中,认证接入点保存的预安全联盟B的信息保存 在预先建立的认证接入点的预安全联盟关系表中。换言之,移动节点保存的预安全联盟B的信息是以预安全联盟关系表的形式保存的,认证接入点保存的预安全联盟B的信息也是以预安全联盟关系表的形式保存的。移动节点的预安全联盟关系表与认证接入点的预安全联盟关系表均是预先建立的,例如,可以在保存预安全联盟B的信息之前建立,且具备对应关系。当移动节点在多个异构网络间进行多次切换时,移动节点的预安全联盟关系表可保存多个预安全联盟的信息。图4为本发明实施例移动节点中预安全联盟关系表的示意图,如图4所示,移动节点的预安全联盟关系表包括网络类型信息、运营商信息、预安全联盟标识符、密钥组件信息和地址绑定信息。图5为本发明实施例认证接入点中预安全联盟关系表的示意图,如图5所示,认证接入点的预安全联盟关系表包括移动节点类型信息、使用的服务类型信息、预安全联盟标识符、密钥组件信息和地址绑定信息。其中,B网络的认证接入点可以根据地址绑定信息以及运营商的策略来决定移动节点的地址绑定信息改变时预安全联盟的信息是否有效,当地址绑定信息改变而导致预安全联盟的信息失效时,移动节点和认证接入点间需要重新进行基于EAP的认证以及重新建立预安全联盟。另外,移动节点还保存有移动节点类型信息和使用的服务类型信息,其中移动节点类型信息和使用的服务类型信息为移动节点自身的属性信息;B网络的认证接入点还保存有网络类型信息和运营商信息,其中网络类型信息和运营商信息为网络自身的属性信息。
步骤203、移动节点和B网络的认证接入点生成链路层的保护密钥;
在本实施例中移动节点和B网络的认证接入点可以根据移动节点和认证接入点的预安全联盟关系表中的密钥组件信息生成链路层的保护密钥。
步骤204、移动节点通过B网络的认证接入点接入B网络,从而完成从A网络到B网络的切换过程;
进一步地,在完成从A网络到B网络的切换之后,还可以包括移动节点与B网络根据移动节点和B网络的认证接入点生成的链路层的保护密钥进行 业务传输的步骤。
步骤205、移动节点与A网络进行基于EAP的认证,可以为EAP预认证或EAP重认证。
一段时间以后,当正在与B网络进行业务传输的移动节点逐渐向A网络移动时,移动节点与A网络之间会首先进行基于EAP的认证,可以为EAP预认证或EAP重认证,本实施例以EAP预认证为例,具体方法与步骤2011-2018中移动节点与B网络之间进行的基于EAP的认证的方法相似,不同之处仅在于移动节点与B网络的认证接入点和B网络的认证服务器之间的交互全部改成移动节点与A网络的认证接入点和A网络的认证服务器之间的交互,此处不再赘述。
在移动节点与A网络的认证接入点完成EAP认证之后,执行步骤206。
步骤206、移动节点与A网络的认证接入点之间建立预安全联盟A,移动节点和A网络的认证接入点保存该预安全联盟A的信息。
移动节点和A网络的认证接入点根据A网络的认证服务器发送的认证成功消息与预安全联盟的信息建立预安全联盟A,并且移动节点与A网络的认证接入点保存预安全联盟A的信息,该预安全联盟A的信息包括移动节点保存的预安全联盟A的信息以及A网络的认证接入点保存的预安全联盟A的信息,移动节点保存的预安全联盟A的信息至少包括预安全联盟标识符、密钥组件信息和地址绑定信息,还可以包括网络类型信息和运营商信息;认证接入点保存的预安全联盟A的信息至少包括预安全联盟标识符、密钥组件信息和地址绑定信息,还可以包括移动节点类型信息和使用的服务类型信息。其中,移动节点保存的预安全联盟A的信息保存在移动节点的预安全联盟关系表中,认证接入点保存的预安全联盟A的信息保存在认证接入点的预安全联盟关系表中。换言之,移动节点保存的预安全联盟A的信息是以预安全联盟关系表的形式保存的,认证接入点保存的预安全联盟A的信息也是以预安全联盟关系表的形式保存的。此时移动节点的预安全联盟关系表中保存了移动 节点的预安全联盟A的信息和移动节点的预安全联盟B的信息。移动节点中预安全联盟关系表可以如图4所示,A网络的认证接入点中预安全联盟关系表可以如图5所示。其中,A网络的认证接入点可以根据地址绑定信息以及运营商的策略来决定移动节点的地址绑定信息改变时预安全联盟的信息是否有效,当地址绑定信息改变而导致预安全联盟的信息失效时,移动节点和认证接入点间需要重新进行基于EAP的认证以及重新建立预安全联盟。另外,移动节点还保存有移动节点类型信息和使用的服务类型信息,其中移动节点类型信息和使用的服务类型信息为移动节点自身的属性信息;A网络的认证接入点还保存有网络类型信息和运营商信息,其中网络类型信息和运营商信息为网络自身的属性信息。
步骤207、移动节点和A网络的认证接入点生成链路层的保护密钥;
在本实施例中移动节点和A网络的认证接入点根据移动节点和认证接入点的预安全联盟关系表中的密钥组件信息生成链路层的保护密钥。
步骤208、移动节点通过A网络的认证接入点接入A网络,从而完成从B网络到A网络的切换过程;
移动节点完成从B网络到A网络的切换,此时A网络为当前服务网络。
进一步地,在完成从B网络到A网络的切换之后,还可以包括移动节点与A网络根据移动节点和A网络的认证接入点生成的链路层的保护密钥进行业务传输的步骤。
步骤209、当移动节点再次切换到B网络时,移动节点利用保存的预安全联盟B的信息通过认证接入点切换到B网络,具体包括如下步骤:
步骤2091、移动节点与B网络的认证接入点利用保存的预安全联盟B的信息进行相互认证;
移动节点从移动节点的预安全联盟关系表中获取预安全联盟B的信息,移动节点向B网络的认证接入点发送相互认证请求,相互认证请求中包括预安全联盟B的信息中的预安全联盟标识符,B网络的认证接入点根据相互认 证请求中的预安全联盟标识符查询该预安全联盟标识符对应的预安全联盟B的信息在认证接入点中是否存在,如果该预安全联盟标识符对应的预安全联盟B的信息存在,则移动节点与B网络的认证接入点利用移动节点保存的预安全联盟B的信息与认证接入点保存的预安全联盟B的信息进行相互认证;如果该预安全联盟标识符对应的预安全联盟B的信息不存在则移动节点需要与B网络重新进行基于EAP的认证,重新建立预安全联盟,保存重新建立的预安全联盟的信息,并利用重新建立的预安全联盟的信息进行相互认证。其中预安全联盟B的信息不存在的情况可以为多种,例如,当B网络的网络侧设备发生异常,例如重启或者掉电时,造成B网络的认证接入点中预安全联盟关系表丢失;又例如,当B网络的认证接入点中的预安全联盟B的信息超过有效期时,B网络的认证接入点释放了预安全联盟B占用的资源。
接着移动节点与B网络的认证接入点根据地址绑定信息、网络类型信息、运营商信息、移动节点类型信息和使用的服务类型信息完成相互认证过程,具体包括:
本实施例中移动节点向B网络的认证接入点发送相互认证请求时,还将移动节点的预安全联盟关系表中保存的预安全联盟B的信息中的运营商信息、网络类型信息和地址绑定信息以及自身保存的移动节点类型信息和使用的服务类型信息发送到B网络的认证接入点;
B网络的认证接入点根据B网络的认证接入点中的预安全联盟关系表中的预安全联盟B的信息中移动节点类型信息、使用的服务类型信息和地址绑定信息以及自身保存的运营商信息和网络类型信息决定是否允许移动节点接入B网络,如果移动节点发送的运营商信息、网络类型信息、移动节点类型信息以及使用的服务类型信息与B网络认证接入点的预安全联盟关系表中的运营商信息、网络类型信息、移动节点类型信息以及使用的服务类型信息不一致,则B网络认证接入点拒绝移动节点接入B网络;如果移动节点发送的运营商信息、网络类型信息、移动节点类型信息以及使用的服务类型信息与 B网络认证接入点的预安全联盟关系表中的运营商信息、网络类型信息、移动节点类型信息以及使用服务类型信息一致,则B网络的认证接入点判断移动节点的地址绑定信息是否改变,如果地址绑定信息改变,则B网络的认证接入点根据其自身保存的预安全联盟关系表中的地址绑定信息和运营商允许地址绑定信息更改的策略判断移动节点的地址绑定信息改变时预安全联盟B的信息是否有效,如果失效则B网络的认证接入点拒绝移动节点接入B网络,如果有效则B网络的认证接入点允许移动节点接入B网络;如果地址绑定信息未改变,则B网络的认证接入点允许移动节点接入B网络。
如果B网络的认证接入点允许移动节点接入B网络,则执行步骤2092。
步骤2092、移动节点和B网络的认证接入点生成链路层的保护密钥;
在本实施例中移动节点和B网络的认证接入点可以根据移动节点和认证接入点的预安全联盟关系表中的密钥组件信息生成链路层的保护密钥。
步骤2093、移动节点通过B网络的认证接入点接入B网络,从而完成从A网络到B网络的切换。
移动节点完成从A网络到B网络的切换,此时B网络为当前服务网络。
进一步地,在完成从A网络到B网络的切换之后,还可以包括移动节点与B网络根据移动节点和B网络的认证接入点生成的链路层的保护密钥进行业务传输的步骤。
步骤210、当移动节点再次切换到A网络时,移动节点利用保存的预安全联盟A的信息通过认证接入点切换到A网络,具体包括如下步骤:
步骤2101、移动节点与A网络的认证接入点利用预安全联盟A的信息进行相互认证;
移动节点从移动节点的预安全联盟关系表中获取预安全联盟信息A的信息,移动节点向A网络的认证接入点发送相互认证请求,相互认证请求中包括预安全联盟A的信息中的预安全联盟标识符,A网络的认证接入点根据相互认证请求中的预安全联盟标识符查询该预安全联盟标识符对应的预安全联 盟A的信息在认证接入点中是否存在,如果该预安全联盟标识符对应的预安全联盟信息A的信息存在,则移动节点与A网络的认证接入点利用移动节点保存的预安全联盟A的信息与认证接入点保存的预安全联盟A的信息进行相互认证;如果该预安全联盟标识符对应的预安全联盟A的信息不存在则移动节点需要A网络重新进行基于EAP的认证,重新建立预安全联盟,保存重新建立的预安全联盟的信息,并利用重新建立的预安全联盟的信息进行相互认证。其中预安全联盟信息A的信息不存在的情况可以为多种,例如,当A网络的网络侧设备发生异常,例如重启或者掉电时,造成认证接入点中预安全联盟关系表丢失;又例如,当A网络认证接入点中的预安全联盟A的信息超过有效期时,A网络的认证接入点释放了预安全联盟A占用的资源。
接着移动节点与A网络的认证接入点根据所述地址绑定信息、网络类型信息、运营商信息、移动节点类型信息和使用的服务类型信息完成相互认证过程,具体包括:
本实施例中移动节点向A网络的认证接入点发送相互认证请求时,还将移动节点的预安全联盟关系表中保存的预安全联盟A的信息中的运营商信息、网络类型信息和地址绑定信息以及自身保存的移动节点类型信息和使用的服务类型信息发送到A网络的认证接入点;
A网络的认证接入点根据A网络的认证接入点中的预安全联盟关系表中的预安全联盟A的信息中移动节点类型信息、使用的服务类型信息和地址绑定信息以及自身保存的运营商信息和网络类型信息决定是否允许移动节点接入A网络,如果移动节点发送的运营商信息、网络类型信息、移动节点类型信息以及使用的服务类型信息与A网络认证接入点的预安全联盟关系表中的运营商信息、网络类型信息、移动节点类型信息以及使用的服务类型信息不一致,则A网络认证接入点拒绝移动节点接入A网络;如果移动节点发送的运营商信息、网络类型信息、移动节点类型信息以及使用的服务类型信息与A网络中的运营商信息、网络类型信息、移动节点类型信息以及使用服务类 型信息一致,则A网络的认证接入点判断移动节点的地址绑定信息是否改变,如果地址绑定信息改变,则A网络的认证接入点根据其自身保存的预安全联盟关系表中的地址绑定信息和运营商允许地址绑定信息更改的策略判断移动节点的地址绑定信息改变时预安全联盟A的信息是否有效,如果失效则A网络的认证接入点拒绝移动节点接入A网络,如果有效则A网络的认证接入点允许移动节点接入A网络;如果地址绑定信息未改变,则A网络的认证接入点允许移动节点接入A网络。
如果A网络的认证接入点允许移动节点接入A网络,则执行步骤2102。
步骤2102、移动节点和A网络的认证接入点生成链路层的保护密钥;
在本实施例中移动节点和A网络的认证接入点根据移动节点和认证接入点的预安全联盟关系表中的密钥组件信息生成链路层的保护密钥。
步骤2103、移动节点通过A网络的认证接入点接入A网络,从而完成从B网络到A网络的切换;
移动节点完成从B网络到A网络的切换,此时A网络为当前服务网络。
进一步地,在完成从B网络到A网络的切换之后,还可以包括移动节点与A网络根据移动节点和A网络的认证接入点生成的链路层的保护密钥进行业务传输的步骤。
本实施例的技术方案在移动节点首次切换到目标网络时,移动节点与认证接入点保存预安全联盟的信息,当移动节点通过相同的认证接入点再次切换到该目标网络时可利用保存的预安全联盟的信息直接切换到目标网络,不需要移动节点再次与目标网络的认证服务器进行基于EAP的认证,即减少了移动节点与认证服务器的信令交互,从而降低了移动节点资源消耗,减少了切换时间以及减少了认证服务器的负荷,节省了网络资源。
在异构网络间切换的方法实施例一和二中,预安全联盟的信息均可以设置有有效期,移动节点和目标网络的认证接入点会定期检测预安全联盟的信息的有效期,对于超过有效期的预安全联盟的信息,释放该预安全联盟的信 息占用的存储资源。在移动节点再次切换入目标网络的过程中,如果该预安全联盟的信息在有效期内,即预安全联盟的信息存在,则移动节点可利用该预安全联盟的信息直接切换到目标网络,如果该预安全联盟的信息超过有效期,即预安全联盟的信息不存在,则需要重新与目标网络的认证服务器进行基于EAP的认证,重新建立预安全联盟,并保存预安全联盟的信息。
图6为本发明异构网络间切换的方法实施例三的流程图,如图6所示,具体包括如下步骤:
步骤301、移动节点再次切换到目标网络时,移动节点与第二认证接入点利用第一预安全联盟的信息建立第二预安全联盟,并保存所述第二预安全联盟的信息;
步骤302、移动节点通过所述第二认证接入点接入所述目标网络。
当移动节点首次切换到目标网络时保存第一预安全联盟的信息,当移动节点通过不同的第二认证接入点再次切换到目标网络时,不必重新与目标网络的认证服务器进行基于EAP的认证,可通过建立第二预安全联盟并保存第二预安全联盟的信息切换到目标网络,优化了预安全联盟的建立过程,从而降低了移动节点资源消耗。
图7为本发明异构网络间切换的方法实施例四的流程图,如图7所示,该方法为当移动节点通过目标网络的不同的认证接入点再次接入目标网络时,移动节点切换到目标网络的方法,在本实施例中A网络仍为当前服务网络,B网络仍为当前目标网络,移动节点从A网络首次切换到B网络、从B网络首次切换到A网络以及从A网络再次切换到B网络的过程具体包括:
步骤401、移动节点与B网络的认证服务器进行基于EAP的认证,基于EAP的认证可以为EAP预认证或EAP重认证;
步骤402、移动节点与B网络的第一认证接入点之间建立第一预安全联盟B,移动节点和B网络的认证接入点保存第一预安全联盟B的信息;
步骤403、移动节点和B网络的第一认证接入点生成链路层的保护密钥;
步骤404、移动节点通过B网络的第一认证接入点接入B网络,从而完成从A网络到B网络的切换;
移动节点完成从A网络到B网络的切换,此时B网络为当前服务网络。
进一步地,在完成从A网络到B网络的切换之后,还可以包括移动节点与B网络根据移动节点和B网络的第一认证接入点生成的链路层的保护密钥进行业务传输的步骤。
一段时间以后,当正在与B网络进行业务传输的移动节点逐渐向A网络移动时,执行步骤405。
步骤405、移动节点与A网络进行基于EAP的认证,可以为EAP预认证和EAP重认证;
步骤406、移动节点与A网络的认证接入点之间建立预安全联盟A,移动节点和A网络的认证接入点保存该预安全联盟A的信息;
步骤407、移动节点和A网络的认证接入点生成链路层的保护密钥;
步骤408、移动节点通过A网络的认证接入点接入A网络,从而完成从B网络到A网络的切换;
进一步地,在完成从B网络到A网络的切换之后,还可以包括移动节点与A网络根据移动节点和A网络的认证接入点生成的链路层的保护密钥进行业务传输的步骤。
上述步骤401至408的具体过程与实施例二步骤201至208中相同,此处不再详细描述。
一段时间以后,当正在与A网络进行业务传输的移动节点再次向B网络移动,并决定切换到B网络时,执行步骤409。
步骤409、移动节点与B网络的第二认证接入点利用第一预安全联盟B的信息建立第二预安全联盟B,并保存第二预安全联盟B的信息,其中,第二认证接入点与第一认证接入点是不同的认证接入点,具体包括如下步骤:
步骤4091、移动节点向B网络的第二认证接入点发送认证请求,该认证 请求中包括移动节点保存的第一预安全联盟B的信息中的预安全联盟标识符;第二认证接入点根据认证请求中的预安全联盟标识符查询该预安全联盟标识符对应的第一预安全联盟B的信息在第二认证接入点中是否存在,如果该预安全联盟标识符对应的第一预安全联盟B的信息存在则移动节点与第二认证接入点利用第一预安全联盟B的信息进行相互认证;如果该第一预安全联盟B的信息不存在则执行步骤4092;
步骤4092、B网络的第二认证接入点向认证服务器发送预安全联盟信息请求;
步骤4093、B网络的认证服务器从B网络的第一认证接入点获取第一认证接入点保存的第一预安全联盟B的信息;
步骤4094、B网络的认证服务器将获取的第一认证接入点保存的第一预安全联盟B的信息发送到B网络的第二认证接入点;
步骤4095、移动节点与B网络的第二认证接入点根据第一预安全联盟B的信息建立第二预安全联盟B,并且移动节点与B网络的第二认证接入点保存第二预安全联盟B的信息。
步骤410、移动节点与B网络的第二认证接入点生成链路层的保护密钥;
本实施例中移动节点与B网络的第二认证接入点根据移动节点和第二认证接入点的预安全联盟关系表中的密钥组件信息生成链路层的保护密钥。
步骤411、移动节点通过B网络的第二认证接入点接入B网络。
进一步地,在完成从A网络到B网络的切换之后,还可以包括移动节点与B网络根据移动节点和B网络的第二认证接入点生成的链路层的保护密钥进行业务传输的步骤。
当移动节点首次切换到目标网络时保存第一预安全联盟的信息,当移动节点通过不同的第二认证接入点再次切换到目标网络时,不必重新与目标网络的认证服务器进行基于EAP的认证,可通过建立第二预安全联盟并保存第二预安全联盟的信息切换到目标网络,优化了预安全联盟的建立过程,从而 降低了移动节点资源消耗,减少了切换时间以及减少了认证服务器的负荷,节省了网络资源。
在异构网络间切换的方法实施例三和四中,第二预安全联盟的信息可以设置有有效期,移动节点和目标网络的第二认证接入点会定期检测第二预安全联盟的信息的有效期,对于超过有效期的第二预安全联盟的信息,释放该第二预安全联盟的信息占用的存储资源。在移动节点通过第二认证接入点再次切换入目标网络的过程中,如果该第二预安全联盟的信息在有效期内,即第二预安全联盟的信息存在,则移动节点可利用该第二预安全联盟的信息直接切换到目标网络,如果该第二预安全联盟的信息超过有效期,即第二预安全联盟的信息不存在,则需要重新与目标网络的认证服务器进行基于EAP的认证,重新建立第二预安全联盟,并保存第二预安全联盟的信息。同理,实施例三和四中的第一预安全联盟也可以设置有有效期,具体不再详细描述。
在实施例二的基础上,移动节点可以利用保存的多个预安全联盟的信息实现多个异构网络间的切换,其中多个预安全联盟的信息是保存在移动节点的预安全联盟关系表中的。例如当移动节点在一个城市内移动时,可能使用的是无线城域网WMAN或无线局域网WLAN提供的服务,但二个城市之间可能只有第三代合作伙伴计划3GPP网络的覆盖,当移动节点在二个城市之间移动时,使用的是3GPP提供的服务,那么当移动节点从一个城市向另一个城市移动时,可能会涉及三种网络间的切换,例如其中一种切换过程为从一个城市的WMAN切换到3GPP,再从3GPP切换到另一个城市的WLAN。
本发明实施例五提供了多个异构网络间切换的方法,具体以WMAN、3GPP和WLAN三种网络间切换的方法为例进行说明。图8为本发明异构网络间切换的方法实施例五的流程图,如图8所示,具体包括:
步骤501、移动节点与3GPP之间建立预安全联盟C,并且移动节点与3GPP保存预安全联盟C的信息,移动节点利用预安全联盟C的信息切换到3GPP;
当与一个城市的WMAN进行业务传输的移动节点逐渐向另一个城市移动, 即逐渐向城市间覆盖的3GPP移动时,移动节点与3GPP之间建立预安全联盟C,并且移动节点与3GPP保存预安全联盟C的信息。当移动节点决定切换到3GPP时利用预安全联盟C的信息切换到3GPP。
步骤502、移动节点与WLAN之间建立预安全联盟D,并且移动节点与WLAN保存预安全联盟D的信息,移动节点利用预安全联盟D的信息切换到WLAN;
当移动节点通过城市间覆盖的3GPP,逐渐向另一个城市移动时,在移动节点与一个城市的WLAN之间建立预安全联盟D,并且移动节点与WLAN保存预安全联盟D的信息。当移动节点决定切换到WLAN时利用预安全联盟D的信息切换到WLAN。
步骤503、当移动节点再次切换到3GPP时,利用保存的预安全联盟C的信息切换到3GPP;
当移动节点从另一城市返回时,首先会进入3GPP覆盖范围,移动节点不必重新建立预安全联盟,可利用保存的预安全联盟C的信息直接完成从WLAN到3GPP的切换过程。
步骤504、当移动节点切换到WMAN时,在移动节点与WMAN之间建立预安全联盟E,并且移动节点与WMAN保存预安全联盟E的信息,移动节点利用预安全联盟E的信息切换到WMAN;
当移动节点通过城市间覆盖的3GPP后,返回到WMAN覆盖范围,由于WMAN是首次作为目标网络,因此移动节点从3GPP切换入WMAN是需要建立预安全联盟E,并且移动节点与WMAN保存预安全联盟E的信息。
移动节点可多次往返于二个城市之间,移动节点只需要在第一次切换到各个异构网络时建立预安全联盟,并保存预安全联盟的信息,当再次切换入异构网络时只需利用保存的预安全联盟的信息就可以直接切换入异构网络。例如在实施例四中,由于步骤502中保存了预安全联盟D的信息,所以当移动节点再次切换入WLAN时,可利用预安全联盟D的信息直接切换到WLAN;又例如,由于步骤504中保存了预安全联盟E的信息,所以当移动节点再次 切换入WMAN时,可利用预安全联盟E的信息直接切换到WMAN。
实施例五中建立预安全联盟之前均包括移动节点与各个异构网络的认证服务器之间进行EAP预认证或者EAP重认证的过程,具体过程与实施二中相似,此处不再详细描述。在移动节点完成到各个异构网络的切换之后还可以包括移动节点与各个异构网络之间进行业务传输的步骤,具体方法也与实施例二中相似,此处不再详细描述。同时实施例五中的预安全联盟均设置有有效期。
另外,在实施例五中,当移动节点再次切换入异构网络时,如果使用的是不同的接入认证点,可以采用实施例三或四中的方法完成切换过程,即移动节点与不同的认证接入点建立第二预安全联盟,保存第二预安全联盟的信息,并利用第二预安全联盟的信息切换到异构网络,具体过程此处不再详细描述。
本实施例的技术方案为移动节点在多个异构网络间切换的方法,移动节点在多个目标网络间往返的时候会经历多次切换过程,本实施例的技术方案在移动节点再次切换到目标网络时,不需要移动节点再次与目标网络的认证服务器进行基于EAP的认证,即减少了移动节点与认证服务器的信令交互,另外也优化了预安全联盟的建立过程,从而降低了移动节点资源消耗,减少了切换时间以及减少了认证服务器的负荷,节省了网络资源。
在异构网络切换方法实施例一至五中,均存在一种特殊情况。例如,移动节点为手机,某些运营商会这样配置:当手机开机时直接将当前所在网络作为目标网络,当前所在网络为手机经过初次认证进入的网络,换言之,手机与目标网络之间不必进行基于EAP的认证,可以直接在手机与目标网络之间建立预安全联盟,保存预安全联盟的信息,并利用该预安全联盟的信息切换到目标网络。此种情况可减少一次基于EAP的认证过程。
图9为本发明移动节点实施例一的结构示意图,如图9所示,该移动节点包括:
保存模块,用于保存预安全联盟的信息;
第一认证模块,用于再次切换到目标网络时,与认证接入点利用保存的预安全联盟的信息进行相互认证;
接入模块,用于通过所述认证接入点接入所述目标网络。
进一步地,该移动节点还包括:
生成模块,用于与所述认证接入点生成链路层的保护密钥;第二认证模块,用于与认证服务器进行基于可扩展认证协议EAP的认证;建立模块,用于与认证接入点之间建立预安全联盟;检测模块,用于定期检测所述预安全联盟的信息的有效期;释放模块,用于释放超过有效期的预安全联盟的信息占用的存储资源。
本实施例中的移动节点在首次切换到目标网络时,与认证接入点保存预安全联盟的信息,当移动节点通过相同的认证接入点再次切换到该目标网络时可利用保存的预安全联盟的信息直接切换到目标网络,不需要移动节点再次与目标网络的认证服务器进行基于EAP的认证,即减少了移动节点与认证服务器的信令交互,从而降低了移动节点资源消耗,减少了切换时间以及减少了认证服务器的负荷,节省了网络资源。
图10为本发明移动节点实施例二的结构示意图,如图10所示,该移动节点包括:
第一建立模块,用于再次切换到目标网络时,与第二认证接入点利用第一预安全联盟的信息建立第二预安全联盟;
第一保存模块,用于保存所述第二预安全联盟的信息;
第一接入模块,用于通过所述第二认证接入点接入所述目标网络。
进一步地,该移动节点还包括:
生成模块,用于与所述第二认证接入点生成链路层的保护密钥以及与第一认证接入点生成链路层的保护密钥;认证模块,用于与认证服务器进行基于可扩展认证协议EAP的认证;第二建立模块,用于与第一认证接入点之间 建立第一预安全联盟;第二保存模块,用于保存所述第一预安全联盟的信息;第二接入模块,用于通过第一认证接入点接入所述目标网络;检测模块,用于定期检测所述第二预安全联盟的信息的有效期以及所述第一预安全联盟的信息的有效期;释放模块,用于释放超过有效期的第二预安全联盟的信息占用的存储资源以及超过有效期的第一预安全联盟的信息占用的存储资源。
本实施例中的移动节点首次切换到目标网络时保存第一预安全联盟的信息,当移动节点通过不同的第二认证接入点再次切换到目标网络时,不必重新与目标网络的认证服务器进行基于EAP的认证,可通过建立第二预安全联盟并保存第二预安全联盟的信息切换到目标网络,优化了预安全联盟的建立过程,从而降低了移动节点资源消耗,减少了切换时间以及减少了认证服务器的负荷,节省了网络资源。
图11为本发明认证接入点实施例一的结构示意图,如图11所示,该认证接入点包括:
建立模块,用于与移动节点之间建立预安全联盟;
保存模块,用于保存所述预安全联盟的信息;
认证模块,用于移动节点再次切换到目标网络时,与移动节点利用保存的预安全联盟的信息进行相互认证。
进一步地,该认证接入点还包括:
生成模块,用于与移动节点生成链路层的保护密钥;
检测模块,用于定期检测所述预安全联盟的信息的有效期;
释放模块,用于释放超过有效期的预安全联盟的信息占用的存储资源。
图12为本发明认证接入点实施例二的结构示意图,如图12所示,该认证接入点包括:
建立模块,用于移动节点再次切换到目标网络时,与移动节点利用第一预安全联盟的信息建立第二预安全联盟;
保存模块,用于保存所述第二预安全联盟的信息。
进一步地,该认证接入点还包括:
生成模块,用于与移动节点生成链路层的保护密钥;
检测模块,用于定期检测所述第二预安全联盟的信息的有效期;
释放模块,用于释放超过有效期的第二预安全联盟的信息占用的存储资源。
最后应说明的是:以上实施例仅用以说明本发明的技术方案而非对其进行限制,尽管参照较佳实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对本发明的技术方案进行修改或者等同替换,而这些修改或者等同替换亦不能使修改后的技术方案脱离本发明技术方案的精神和范围。
Claims (24)
1.一种异构网络间切换的方法,其特征在于,包括:
移动节点与认证服务器进行基于可扩展认证协议EAP的认证;
移动节点与认证接入点之间建立预安全联盟,并保存所述预安全联盟的信息;
移动节点通过所述认证接入点接入目标网络;
再次切换到所述目标网络时,移动节点与所述认证接入点利用保存的所述预安全联盟的信息进行相互认证;
移动节点通过所述认证接入点接入所述目标网络;
其中,所述预安全联盟的信息包括移动节点保存的预安全联盟的信息,所述移动节点保存的预安全联盟的信息保存在预先建立的移动节点的预安全联盟关系表中,所述移动节点保存的预安全联盟的信息包括预安全联盟标识符、密钥组件信息和地址绑定信息;所述预安全联盟的信息包括认证接入点保存的预安全联盟的信息,所述认证接入点保存的预安全联盟的信息保存在预先建立的认证接入点的预安全联盟关系表中,所述认证接入点保存的预安全联盟的信息包括预安全联盟标识符、密钥组件信息和地址绑定信息。
2.根据权利要求1所述的方法,其特征在于,还包括:移动节点与所述认证接入点生成链路层的保护密钥。
3.根据权利要求1所述的方法,其特征在于,所述移动节点与认证接入点利用保存的预安全联盟的信息进行相互认证包括:
移动节点从所述移动节点的预安全联盟关系表中获取所述移动节点保存的预安全联盟的信息;
移动节点向所述认证接入点发送相互认证请求,所述相互认证请求中包括所述移动节点保存的预安全联盟信息中的预安全联盟标识符;
所述认证接入点根据相互认证请求中的预安全联盟标识符查询该预安全联盟标识符对应的预安全联盟的信息在所述认证接入点中是否存在,如果该预安全联盟标识符对应的预安全联盟的信息存在则移动节点与认证接入点利用移动节点保存的预安全联盟的信息与认证接入点保存的预安全联盟的信息进行相互认证。
4.根据权利要求1所述的方法,其特征在于,所述移动节点保存的预安全联盟的信息还包括网络类型信息和运营商信息,所述认证接入点保存的预安全联盟的信息还包括移动节点类型信息和使用的服务类型信息;所述移动节点与认证接入点利用移动节点保存的预安全联盟的信息与认证接入点保存的预安全联盟的信息进行相互认证包括移动节点与所述认证接入点根据所述地址绑定信息、网络类型信息、运营商信息、移动节点类型信息和使用的服务类型信息完成相互认证过程。
5.根据权利要求1至4任一所述的方法,其特征在于,所述预安全联盟的信息设置有有效期,所述移动节点与认证接入点定期检测所述预安全联盟的信息的有效期,对于超过有效期的预安全联盟的信息,释放该预安全联盟的信息占用的存储资源。
6.一种异构网络间切换的方法,其特征在于,包括:
移动节点与认证服务器进行基于可扩展认证协议EAP的认证;
移动节点与第一认证接入点之间建立第一预安全联盟,并保存所述第一预安全联盟的信息;
移动节点通过所述第一认证接入点接入目标网络;
再次切换到目标网络时,移动节点与第二认证接入点利用所述第一预安全联盟的信息建立第二预安全联盟,并保存所述第二预安全联盟的信息;
移动节点通过所述第二认证接入点接入所述目标网络。
7.根据权利要求6所述的方法,其特征在于,还包括:移动节点与所述第二认证接入点生成链路层的保护密钥。
8.根据权利要求6所述的方法,其特征在于,所述第一预安全联盟的信息包括移动节点保存的第一预安全联盟的信息,所述移动节点保存的第一预安全联盟的信息保存在预先建立的移动节点的预安全联盟关系表中,所述移动节点保存的第一预安全联盟的信息包括预安全联盟标识符、密钥组件信息和地址绑定信息;所述第一预安全联盟的信息包括第一认证接入点保存的第一预安全联盟的信息,所述第一认证接入点保存的第一预安全联盟的信息保存在预先建立的第一认证接入点的预安全联盟关系表中,所述第一认证接入点保存的第一预安全联盟的信息包括预安全联盟标识符、密钥组件信息和地址绑定信息。
9.根据权利要求8所述的方法,其特征在于,所述移动节点与第二认证接入点利用第一预安全联盟的信息建立第二预安全联盟,并保存所述第二预安全联盟的信息包括:
移动节点向所述第二认证接入点发送认证请求,所述认证请求中包括所述移动节点保存的第一预安全联盟的信息中的预安全联盟标识符;
所述第二认证接入点根据所述认证请求中的预安全联盟标识符查询该预安全联盟标识符对应的第一预安全联盟的信息在所述第二认证接入点中是否存在,如果该预安全联盟标识符对应的第一预安全联盟的信息不存在则所述第二认证接入点向认证服务器发送预安全联盟信息请求;
所述认证服务器从所述第一认证接入点获取所述第一认证接入点保存的第一预安全联盟的信息;
所述认证服务器将获取的所述第一认证接入点保存的第一预安全联盟的信息发送到所述第二认证接入点;
移动节点与所述第二认证接入点根据所述第一预安全联盟的信息建立第二预安全联盟,并保存所述第二预安全联盟的信息。
10.根据权利要求6至9任一所述的方法,其特征在于,所述第二预安全联盟的信息设置有有效期,所述移动节点与第二认证接入点定期检测所述第二预安全联盟的信息的有效期,对于超过有效期的第二预安全联盟的信息,释放该第二预安全联盟的信息占用的存储资源。
11.根据权利要求6至9任一所述的方法,其特征在于,所述第一预安全联盟的信息设置有有效期,所述移动节点与第一认证接入点定期检测所述第一预安全联盟的信息的有效期,对于超过有效期的第一预安全联盟的信息,释放该第一预安全联盟的信息占用的存储资源。
12.一种移动节点,其特征在于,包括:
第二认证模块,用于与认证服务器进行基于可扩展认证协议EAP的认证;
建立模块,用于与认证接入点之间建立预安全联盟;
保存模块,用于保存预安全联盟的信息;
第一认证模块,用于再次切换到目标网络时,与认证接入点利用保存的预安全联盟的信息进行相互认证;
接入模块,用于通过所述认证接入点接入所述目标网络;
其中,所述预安全联盟的信息包括移动节点保存的预安全联盟的信息,所述移动节点保存的预安全联盟的信息保存在预先建立的移动节点的预安全联盟关系表中,所述移动节点保存的预安全联盟的信息包括预安全联盟标识符、密钥组件信息和地址绑定信息;所述预安全联盟的信息包括认证接入点保存的预安全联盟的信息,所述认证接入点保存的预安全联盟的信息保存在预先建立的认证接入点的预安全联盟关系表中,所述认证接入点保存的预安全联盟的信息包括预安全联盟标识符、密钥组件信息和地址绑定信息。
13.根据权利要求12所述的移动节点,其特征在于,还包括:
生成模块,用于与所述认证接入点生成链路层的保护密钥。
14.根据权利要求12所述的移动节点,其特征在于,还包括:
检测模块,用于定期检测所述预安全联盟的信息的有效期;
释放模块,用于释放超过有效期的预安全联盟的信息占用的存储资源。
15.一种移动节点,其特征在于,包括:
认证模块,用于与认证服务器进行基于可扩展认证协议EAP的认证;
第二建立模块,用于与第一认证接入点之间建立第一预安全联盟;
第二保存模块,用于保存第一预安全联盟的信息;
第一建立模块,用于再次切换到目标网络时,与第二认证接入点利用所述第一预安全联盟的信息建立第二预安全联盟;
第一保存模块,用于保存所述第二预安全联盟的信息;
第一接入模块,用于通过所述第二认证接入点接入所述目标网络。
16.根据权利要求15所述的移动节点,其特征在于,还包括:
生成模块,用于与所述第二认证接入点生成链路层的保护密钥以及与第一认证接入点生成链路层的保护密钥。
17.根据权利要求16所述的移动节点,其特征在于,还包括:
第二接入模块,用于通过第一认证接入点接入所述目标网络。
18.根据权利要求16所述的移动节点,其特征在于,还包括:
检测模块,用于定期检测所述第二预安全联盟的信息的有效期以及所述第一预安全联盟的信息的有效期;
释放模块,用于释放超过有效期的第二预安全联盟的信息占用的存储资源以及超过有效期的第一预安全联盟的信息占用的存储资源。
19.一种认证接入点,其特征在于,包括:
建立模块,用于与移动节点之间建立预安全联盟;
保存模块,用于保存所述预安全联盟的信息;
认证模块,用于移动节点再次切换到目标网络时,与移动节点利用保存的预安全联盟的信息进行相互认证;
其中,所述预安全联盟的信息包括移动节点保存的预安全联盟的信息,所述移动节点保存的预安全联盟的信息保存在预先建立的移动节点的预安全联盟关系表中,所述移动节点保存的预安全联盟的信息包括预安全联盟标识符、密钥组件信息和地址绑定信息;所述预安全联盟的信息包括认证接入点保存的预安全联盟的信息,所述认证接入点保存的预安全联盟的信息保存在预先建立的认证接入点的预安全联盟关系表中,所述认证接入点保存的预安全联盟的信息包括预安全联盟标识符、密钥组件信息和地址绑定信息。
20.根据权利要求19所述的认证接入点,其特征在于,还包括:
生成模块,用于与移动节点生成链路层的保护密钥。
21.根据权利要求19所述的认证接入点,其特征在于,还包括:
检测模块,用于定期检测所述预安全联盟的信息的有效期;
释放模块,用于释放超过有效期的预安全联盟的信息占用的存储资源。
22.一种认证接入点,其特征在于,包括:
发送模块,用于向认证服务器发送预安全联盟信息请求;
接收模块,用于接收所述认证服务器发送的由所述认证服务器获取的第一认证接入点保存的第一预安全联盟的信息;
建立模块,用于移动节点再次切换到目标网络时,与移动节点利用所述第一预安全联盟的信息建立第二预安全联盟;
保存模块,用于保存所述第二预安全联盟的信息。
23.根据权利要求22所述的认证接入点,其特征在于,还包括:
生成模块,用于与移动节点生成链路层的保护密钥。
24.根据权利要求22所述的认证接入点,其特征在于,还包括:
检测模块,用于定期检测所述第二预安全联盟的信息的有效期;
释放模块,用于释放超过有效期的第二预安全联盟的信息占用的存储资源。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200810114292A CN101600200B (zh) | 2008-06-02 | 2008-06-02 | 异构网络间切换的方法、移动节点及认证接入点 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200810114292A CN101600200B (zh) | 2008-06-02 | 2008-06-02 | 异构网络间切换的方法、移动节点及认证接入点 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101600200A CN101600200A (zh) | 2009-12-09 |
| CN101600200B true CN101600200B (zh) | 2012-10-17 |
Family
ID=41421393
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN200810114292A Expired - Fee Related CN101600200B (zh) | 2008-06-02 | 2008-06-02 | 异构网络间切换的方法、移动节点及认证接入点 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101600200B (zh) |
Families Citing this family (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101835155A (zh) * | 2010-03-31 | 2010-09-15 | 中兴通讯股份有限公司 | 一种终端接入融合网络的方法及系统 |
| CN101951319B (zh) * | 2010-09-29 | 2012-04-18 | 中国航天科工集团第四研究院第四总体设计部 | 一种支持异构应用模块数据整合的统一身份认证方法 |
| US8874769B2 (en) * | 2011-06-30 | 2014-10-28 | Qualcomm Incorporated | Facilitating group access control to data objects in peer-to-peer overlay networks |
| CN102984700A (zh) * | 2011-09-05 | 2013-03-20 | 中兴通讯股份有限公司 | 一种安全信息存储设备、认证方法及系统 |
| CN104683934B (zh) * | 2013-11-26 | 2019-12-06 | 中兴通讯股份有限公司 | 一种实现异构网络系统间信息交互的装置和方法 |
| CN105451284A (zh) * | 2014-07-10 | 2016-03-30 | 华为技术有限公司 | 用于网络切换的方法及装置 |
| CN109379391B (zh) * | 2018-12-25 | 2021-06-01 | 北京物芯科技有限责任公司 | 一种基于IPSec的通信方法、装置、设备和储存介质 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1510862A (zh) * | 2002-12-26 | 2004-07-07 | 华为技术有限公司 | 一种对网络用户进行认证和业务管理的方法 |
| CN1852600A (zh) * | 2005-12-26 | 2006-10-25 | 华为技术有限公司 | 一种异构网络切换中链路建立前的消息安全传送方法 |
-
2008
- 2008-06-02 CN CN200810114292A patent/CN101600200B/zh not_active Expired - Fee Related
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1510862A (zh) * | 2002-12-26 | 2004-07-07 | 华为技术有限公司 | 一种对网络用户进行认证和业务管理的方法 |
| CN1852600A (zh) * | 2005-12-26 | 2006-10-25 | 华为技术有限公司 | 一种异构网络切换中链路建立前的消息安全传送方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101600200A (zh) | 2009-12-09 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102595399B (zh) | 密钥衍生方法、设备及系统 | |
| CN102395166B (zh) | 宽带无线接入通信系统中用于快速网络重入的移动站和基站 | |
| CN101600200B (zh) | 异构网络间切换的方法、移动节点及认证接入点 | |
| US8817788B2 (en) | Wireless communication terminal, method, program, recording medium, and wireless communication system | |
| US9271195B2 (en) | Radio communication system, base station, gateway, and radio communication method | |
| CN107105458B (zh) | 一种信息处理方法及装置 | |
| CN102196520B (zh) | 遗留和先进接入服务网络网际互连 | |
| EP2293611A1 (en) | A method, apparatus, system and server for network authentication | |
| CN102187599A (zh) | 在移动通信系统中安全保护的非接入层面协议操作支持方法 | |
| CN101374352A (zh) | 混合通信网络中的切换 | |
| WO2014185832A1 (en) | Mobility in mobile communications network | |
| CN100438372C (zh) | 混合通信网络中的切换 | |
| CN102026190B (zh) | 异构无线网络快速安全切换方法 | |
| US20120284773A1 (en) | Network Access Points in Key Distribution Function | |
| KR102104844B1 (ko) | 데이터 전송 방법, 제1 장치 및 제2 장치 | |
| US9860220B2 (en) | Methods and devices having a key distributor function for improving the speed and quality of a handover | |
| CN103442450B (zh) | 无线通信方法和无线通信设备 | |
| CN115412911A (zh) | 一种鉴权方法、通信装置和系统 | |
| CN100479600C (zh) | 根据网络资源识别码选择核心网的方法 | |
| CN102811153B (zh) | Vlan状态的协商方法及边缘设备 | |
| US9307402B2 (en) | Method of protecting an identity of a mobile station in a communications network | |
| CN101695163A (zh) | 一种全局小区标识处理的方法、装置和系统 | |
| CN100455120C (zh) | 一种异构网络切换中链路建立前的消息安全传送方法 | |
| KR101434750B1 (ko) | 이동통신망에서 지리 정보를 이용한 무선랜 선인증 방법 및 장치 | |
| US20120265982A1 (en) | Method, authentication server, terminal and system for implementing key mapping |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20121017 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |