CN101828343B - 用于异构无线接入网间切换的方法 - Google Patents
用于异构无线接入网间切换的方法 Download PDFInfo
- Publication number
- CN101828343B CN101828343B CN200880112063.9A CN200880112063A CN101828343B CN 101828343 B CN101828343 B CN 101828343B CN 200880112063 A CN200880112063 A CN 200880112063A CN 101828343 B CN101828343 B CN 101828343B
- Authority
- CN
- China
- Prior art keywords
- authentication
- mih
- access network
- network
- multimode
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/062—Pre-authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/069—Authentication using certificates or pre-shared keys
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W36/00—Hand-off or reselection arrangements
- H04W36/0005—Control or signalling for completing the hand-off
- H04W36/005—Control or signalling for completing the hand-off involving radio access media independent information, e.g. MIH [Media independent Hand-off]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W88/00—Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
- H04W88/02—Terminal devices
- H04W88/06—Terminal devices adapted for operation in multiple networks or having at least two operational modes, e.g. multi-mode terminals
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W88/00—Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
- H04W88/18—Service support devices; Network management devices
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/162—Implementing security features at a particular protocol layer at the data link layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W36/00—Hand-off or reselection arrangements
- H04W36/0005—Control or signalling for completing the hand-off
- H04W36/0011—Control or signalling for completing the hand-off for data sessions of end-to-end connection
- H04W36/0016—Hand-off preparation specially adapted for end-to-end data sessions
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W88/00—Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
- H04W88/02—Terminal devices
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明公开了一种在异构无线接入网之间进行切换的方法。当多模移动台执行RAT间切换时,在执行与目标接入点的链路层切换过程之前执行预认证。该预认证方法对当前服务的服务质量的影响尽可能地小,并且使用该预认证方法可有效地执行切换。通过媒体无关切换(MIH)来执行预认证,并且提供了用于预认证的各种MIH原语。
Description
技术领域
本发明涉及用于异构无线接入网之间切换的方法,更具体地说,涉及使用预认证过程在异构无线接入网之间执行切换的方法。
背景技术
当通信移动台从一个无线接入网移动到另一个无线接入网使得接入点发生改变时,由于切换操作可能会破坏服务的连续性。接入点的改变是指管理域的改变或子网的改变。尤其是,异构无线接入网之间的切换要求新的认证过程。由于执行认证过程而生成的延迟延缓了切换过程的结束,并且其结果是,影响了当前服务的多媒体会话。
同时,在电气和电子工程师(IEEE)协会802.21标准中,正在对异构网络之间的切换进行积极地讨论。在IEEE 802.21标准中针对媒体无关切换(MIH,media independent handover)的范围是为了向链路层提供指令,以及建立将用于优化切换的有关网络信息发送至上位层的标准。其包括IEEE 802系列(后面简称为“802系列”)的有线和无线网络,以及由第三代合作伙伴项目(3GPP)/3GPP2指定的链路。也就是说,IEEE802.11标准的目的在于:通过支持异构网之间的切换(后面简称为“RAT间切换”)来提高用户的便利性,以及支持移动终端和网络中的可用信息的协作使用。为此,网络的接入点(诸如移动终端或基站)应该提供多模操作,这意味着支持多种无线标准,并且允许通过一个或更多个无线接口的同时连接。
由IEEE 802.21标准定义的MIH功能用于作为逻辑实体来确定切换。MIH功能位于移动终端和网络两者中,并使得移动台和网络能够交换有关移动终端附近的接入网的设置或状态的信息。MIH功能可以称作“MIH实体”以与执行其它功能的其它实体进行区分。
图1例示了移动终端、802系列网络和3GPP/3GPP2网络的协议层结构。
多模移动节点101可包括根据通信模式的接口。图1示出了包括3GPP/3GPP2接口104和802系列接口105的移动节点101。将这些接口分成物理(PHY)层和媒体接入控制(MAC)层。图1中,802系列网络102和3GPP/3GPP2网络103分别包括接口106和107。
同时,被表示为MIH功能108、109和110的MIH层位于包括网际协议(IP)层之下的上位层。MIH层不仅定义了802系列接口之间的切换,还定义了IEEE 802系列接口与由3GPP/3GPP2定义的接口之间的切换。也就是说,MIH功能通过从层2(例如,MAC层)获取有关其它网络的信息而容易地执行异构网之间的切换处理。
图1例示了移动节点101、802系列网络102和3GPP/3GPP2网络103的上位层功能111、112和113。就MIH来说,上位层功能111、112和113可以称作MIH用户或MIH用户实体。
图2例示了基于MIH的多模移动终端在异构无线接入网之间的切换处理。
图2中,当前接入网的多模移动终端201在由网络X 202提供服务的同时,执行向目标网络的网络Y的切换。假设在移动终端201中,MAC1201c和MAC2201d是分别与网络X202和网络Y 203进行层2通信的实体。
正在通信的多模移动终端201在保持与网络X 202的连接的同时,从网络X 202获得有关相邻网络(例如,网络Y203)的信息(步骤S201)。此时,可以通过在MIH功能中定义的信息服务来获得与层2的安全有关的信息(诸如,认证方法和加密算法)。移动终端201通过扫描从相邻网络接收信号并执行网络检测和选择过程(步骤S202)。
同时,如果从服务网络X 202接收的信号电平低于规定的电平,则接口MAC1201c通过本地事件触发器将该情况报告给上位层的MIH201b,并通过远程事件触发器将该情况报告给网络X 202的MIH 202b(步骤S203)。网络X 202的MIH 202b请求要切换至的网络Y 202的MIH 203b 发送IP信息(步骤S204)。接收到IP信息请求的网络Y 203通过网络X202发送IP信息至移动终端201(步骤S205)。接收到网络Y 203的IP信息的移动终端201可以预先获得在向相应的网络切换期间要使用的IP地址。
为了切换至网络Y 203,移动终端201的MIH201b命令相应接口的MAC(即,MAC2 201d)执行层2切换的过程(步骤S206)。然后,移动终端201通过实施包括与认证及安全有关的过程的网络初始登记过程来执行向网络Y 203的层2切换过程(步骤S207和S208)。
如果移动终端201完成了与网络Y 203的层2切换(网络登记过程),则移动终端201的MAC2201d将该情况报告给用于层3切换的上位层201a(步骤S209)。移动终端201执行层3切换,该层3切换包括向本地代理登记从新的网络(网络Y 203)获得的转交地址(CoA)的过程。如果完成了切换,则移动终端201开始与新的网络进行通信(步骤S210)。接着,移动终端201断开与旧网络(网络X 202)的连接(步骤S211)。
如上所述,在移动终端执行向新网络的层2切换时,IEEE 802.21中定义的多模移动终端的RAT间切换重新执行认证和密钥获取过程。因此,可能出现很大的用户服务延迟,从而有可能损坏数据。
发明内容
设计用于解决问题的本发明的目的在于:当多模移动终端执行RAT间切换时通过在与目标接入点的链路层切换过程之前执行认证来提供对当前服务的服务质量几乎没有影响的预认证方法以及使用该预认证方法来有效地执行切换的方法。
本发明的另一个目的在于提供一种考虑到异构网之间的不同认证类型和不同认证能力而基于MIH执行预认证过程的方法。为此,定义了特定过程所需的各种MIH原语(primitive)以容易地执行由本发明提出的预认证方法。
本发明的一个目的可以通过提供一种由多模移动台(MS)在异构无线接入网之间执行切换的方法来实现。该方法包括以下步骤:获取关于 候选目标接入网以及连接到所述多模MS的当前接入网的信息;直接或间接地向所述候选目标接入网中的所选择的目标接入网发送预认证请求消息;从所选择的目标接入网直接或间接地接收响应于所述预认证请求消息的预认证结果信息;以及使用所述预认证结果信息来执行向所选择的目标接入网的切换而无需任何额外的认证处理。
使用媒体无关切换(MIH)原语来执行获取信息、发送预认证请求消息、接收预认证结果信息、和执行切换步骤中的至少一项。
当使用MIH预认证请求原语来执行发送预认证请求消息的步骤时,所述MIH预认证请求原语可以包括以下中的至少一项:所述当前接入网的标识符(ID)、所述当前接入网的认证服务器的ID、所选择的目标接入网的ID、所选择的目标接入网的认证服务器的ID、所述多模MS的ID、以及预认证请求指示符。
当使用MIH预认证响应原语来执行接收时,所述MIH预认证响应原语可以包括以下中的至少一项:所述当前接入网的ID、所述当前接入网的认证服务器的ID、所选择的目标接入网的ID、所选择的目标接入网的认证服务器的ID、所选择的目标接入网的归属用户服务器(HSS)的ID、预认证结果状态ID、以及预认证结果传输状态ID。
可以根据所述预认证原语和/或MIH预认证响应原语是否经由当前接入网络被发送至目标接入网络、还是被直接发送至目标接入网络、抑或根据所述目标接入网络的类型来确定参数的选择。
如果间接地执行发送和接收,则可以经由所述当前接入网分别发送和接收所述预认证请求消息和所述预认证结果信息。
可以由多模MS的MIH实体分别发送和接收所述预认证请求消息和所述预认证结果信息,并且该方法还包括以下步骤:在多模MS的所述MIH实体发送所述预认证请求消息之前,由该MIH实体从所述多模MS的MIH用户实体接收所述预认证请求消息,以及在所述MIH实体接收到所述预认证结果信息之后,由所述MIH实体向所述MIH用户实体通知所述预认证结果信息。
可以使用MIH预认证确认原语来执行向所述MIH用户实体通知所 述预认证结果信息的步骤,并且其中所述MIH预认证确认原语可以包括以下中的至少一项:所述当前接入网的ID、所述当前接入网的认证服务器的ID、所选择的目标接入网的ID、所选择的目标接入网的认证服务器的ID、预认证结果状态ID、以及预认证结果传输状态ID。
在本发明的另一个方面,这里提供了一种由特定接入网支持在异构无线接入网之间进行切换的方法,其中多模移动台(MS)执行向作为目标接入网的所述特定接入网的切换,该方法包括以下步骤:从所述多模MS接收预认证请求消息;响应于所述预认证请求消息而向所述多模MS发送预认证结果信息;以及通过使用所述预认证结果信息来支持所述多模MS执行向所述目标接入网的切换而无需任何额外的认证处理。
可以使用媒体无关切换(MIH)原语来执行接收预认证请求消息和发送预认证结果信息步骤中的至少一项。
可以通过所述特定接入网的MIH实体来分别接收和发送所述预认证请求消息和所述预认证结果信息,并且该方法还可以包括以下步骤:在所述特定接入网的所述MIH实体接收到所述预认证请求消息之后,经由所述特定接入网的安全实体来将所述预认证请求消息发送至所述特定接入网的认证服务器;以及在所述MIH实体发送所述预认证结果信息之前,从所述安全实体接收所述预认证结果信息。
在本发明的再一方面,这里提供了一种由特定接入网支持在异构无线接入网之间进行切换的方法,其中多模移动台(MS)执行向不同于该特定接入网的目标接入网的切换。该方法包括以下步骤:从所述多模MS接收预认证请求消息;响应于所述预认证请求消息而向所述目标接入网发送预认证结果信息;从所述目标接入网接收响应于所述预认证结果信息的响应消息,以及向所述多模MS发送预认证响应消息,其中,所述预认证响应消息包括所述预认证结果信息和关于所述目标接入网的响应消息的信息。
可以使用媒体无关切换(MIH)原语来执行接收预认证请求消息、发送预认证结果信息、接收响应消息、和发送预认证响应消息步骤中的至少一项。
可以在所述特定接入网的MIH实体中执行接收预认证请求消息、发送预认证结果信息、接收响应消息和发送预认证响应消息的步骤,并且该方法还包括:在所述特定接入网的所述MIH实体接收到所述预认证请求消息之后,经由所述特定接入网的安全实体向所述目标接入网的认证服务器发送所述预认证请求消息;以及在所述MIH实体向所述目标接入网发送所述预认证结果信息之前,从所述安全实体接收所述预认证结果信息。
所述特定接入网的所述MIH实体可以使用MIH预认证指示原语来将所述预认证请求消息发送至所述安全实体,并且所述MIH预认证指示原语可以包括以下中的至少一项:所述特定接入网的ID、所述特定接入网的认证服务器的ID、所述目标接入网的ID、所述目标接入网的认证服务器的ID、所述多模MS的ID、以及预认证请求指示符。
可以使用MIH预认证结果请求原语来执行接收所述预认证结果信息的步骤,并且所述MIH预认证结果传输请求原语可以包括以下中的至少一项:所述特定接入网的ID、所述特定接入网的认证服务器的ID、所述目标接入网的ID、所述目标接入网的认证服务器的ID、预认证结果状态信息、所述多模MS的ID、针对重新认证的ID、以及由所述目标接入网中的认证单元使用的安全上下文。
可以使用MIH预认证结果传输响应原语来执行接收所述响应消息的步骤,并且所述MIH预认证结果传输响应原语可以包括以下中的至少一项:所述目标接入网的ID、所述目标接入网的认证服务器的ID、所述目标接入网的归属用户服务器(HSS)的ID、所述多模MS的ID、针对重新认证的ID、预认证结果传输状态指示符、以及由所述目标接入网中的认证单元使用的安全上下文中的没有获得的信息列表。
根据本发明的示例性实施方式,当多模移动终端执行RAT间切换时可以通过在与目标接入点的链路层切换过程之前执行认证来提供对当前服务的服务质量几乎没有影响的预认证方法以及使用该预认证方法来有效地执行切换的方法。
附图说明
附图被包括进来以提供对本发明的进一步理解,附图例示了本发明的实施方式,并与说明书一起用于解释本发明的原理。
在附图中:
图1例示了移动终端、802系列网络、和3GPP/3GPP2网络的协议层结构;
图2例示了由基于MIH的多模移动终端在异构无线接入网之间进行的切换过程;
图3例示了根据本发明的一个示例性实施方式的由IEEE 802.16网络服务的多模移动终端经由当前接入网来执行预认证接着执行向另一个IEEE 802系列网络的RAT间切换的处理;
图4例示了根据本发明的另一个示例性实施方式,在未介入当前链路的情况下通过由IEEE 802.16网络服务的多模移动终端来直接执行与目标链路的预认证接着执行向IEEE 802系列网络的RAT间切换的处理;以及
图5和图6例示了根据本发明的另一个示例性实施方式的当移动节点执行从IEEE 802系列网络向3GPP网络的切换时执行预认证的处理。
具体实施方式
下面将参照附图具体介绍本发明的示例性实施方式。以下参照附图给出的详细描述旨在解释本发明的示例性实施方式,而不是示出根据本发明可以实施的仅有实施方式。以下详细描述包括具体细节以提供对本发明的彻底理解。但是,对本领域的技术人员来说很明显的是,可以在无需这些具体细节的情况下实现本发明。例如,以下描述是将IEEE 802.16系统作为当前接入网并将802系列系统或3GPP/3GPPS系统作为目标接入网进行的说明。但是,根据同样的原则,预认证方法和使用该预认证方法的切换方法可以应用于任何不同异构网之间的切换。
同时,在一些示例中,为了不对本发明的概念造成模糊,省略了公知的结构和设备,或者将这些公知的结构和设备示出为框图的形式,而 重点关注于结构和设备的重要特征。本说明书中通篇使用相同的参考标号来指代相同或类似的部分。
本发明提供了基于MIH的预认证方法,该方法通过在RAT间切换期间,在多模移动终端与目标接入点执行链路层切换过程之前执行认证而对当前服务的服务质量(QoS)的影响尽可能的小。在考虑单个管理域的异构环境中,可以支持切换而无需认证服务器。但是,在由多个管理域运行的异构环境中,因为认证服务器根据认证类型和能力而生成不同的认证结果,因此,应当定义灵活且有效的安全机制。例如,当在使用基于可扩展的认证协议(EAP)认证的IEEE 802.11网络与IEEE 802.16网络之间发生切换时,如果由单个服务供应商运行两个接入网,则不存在与切换有关的问题。但是,如果由多个服务供应商来运行异构无线接入网,由于不能使用没有通过认证服务器的切换机制,则必须解决这种问题。
本发明提出了以下方法:当将EAP用作认证架构的IEEE 802.16无线接入网的多模移动终端执行向另一个IEEE 802系列无线接入网(诸如,使用基于EAP认证架构的无线LAN)的切换时,或者,当移动终端执行向不将EAP用作基本认证架构的非IEEE系列无线接入网(例如,3GPP网络)的切换时,在移动终端执行向目标网络接入点的链路层切换之前执行预认证,并设置用于通信的密钥材料。因为多模移动终端在接入新的接入点之前提前执行了耗时的针对相应移动终端的认证过程,因此建立了快速的安全关联且减少了QoS的恶化。在下面的说明书中,虽然将IEEE 802.16网络作为开始切换的接入网的示例进行描述,但是也可以采用其它的IEEE 802系列(例如,802.11)网络。
本发明提出的方法适于应用于IEEE 802.21标准。也就是说,到目前为止,IEEE 802.21标准没有提及有关安全的问题,因此本发明可作为改进该标准的技术。但是,下面介绍的基于MIH的预认证方法和使用该方法的RAT间切换方法不但可应用于IEEE 802.21标准,而且还可以应用于其它标准。
根据本发明提出的预认证用于提前通过请求相邻接入点以及当前接入点允许认证来从至少一个接入点中获得认证。也就是说,作为常规预 认证的概念的扩展,预认证用于在发生RAT间切换时提前获得不是来自当前接入网而是来自相邻目标接入网的认证。接着,目标接入网的认证器在预认证的最终步骤中可以获得与相应的移动终端有关的密钥材料,并且移动终端提前从目标接入网获得认证,同时获得密钥材料。
为了提高切换的能力,设计本发明用于提供接入技术中的通用技术,在该技术中安全机制的优化不同,为此,考虑使用上述的MIH。
本发明的预认证方法不处理由单个服务供应商(管理域)运营的网络之间的RAT间切换,而是处理由不同服务供应商(管理域)运营的网络之间的RAT间切换。也就是说,假设打算切换的服务认证器和目标认证器是基于不同服务供应商网络的不同接入技术。在这种情况下,本发明使得移动终端能够在连接目标接入点之间提前获得认证,并设置用于通信的安全密钥。因为预认证过程假设使用MIH功能,因此可以与接入技术无关地应用于各种情况。
在本发明中,因为在由不同管理域运营的不同网络之间进行RAT间切换期间通过多模移动终端的MIH来执行预认证的过程,所以减小了在常规技术中当重新执行认证时出现的负载延迟,并且可以执行快速切换过程。因此,本发明定义了用于减小服务连续性损害或QoS的恶化的方法。这包括以下方法:在链路层切换结束之前,向目标网络的认证器以及移动终端发送在RAT间切换期间要在目标网络中使用的用于通信的密钥材料。
如上所述,本发明适于应用于IEEE 802.21标准。也就是说,由于IEEE 802.21标准没有介绍用于MIH的认证和安全关联设置方法,因此如果通过经由IEEE 802.21的MIH执行预认证来执行不同网络之间的RAT间切换,能够提供在QoS方面具有最少的影响的连续服务。本发明可以应用于由不同服务供应商运营的网络之间进行RAT间切换的情况,而不是由相同服务供应商运营的RAT间切换的情况。但是,所提出的方法可以应用于除IEEE 802.21之外的其它标准以获得相同的效果。
所提出的预认证方法基本上基于使用IEEE 802.21的信息服务以获得诸如相邻网络的检测或相邻网络间的漫游协议的信息。也就是说,移 动终端可以从IEEE 802.21信息服务器获得关于在移动终端的附近存在哪些候选网络的信息。移动终端在连接到目标接入点之前,通过从信息服务器获得的信息而结束预认证过程,并且可以提前设置密钥材料。因此,可以减少在切换期间生成的延迟。
理想的是,IEEE 802.21标准在RAT间的MIH期间考虑到了安全(诸如,认证和密钥交换方法)。也就是说,需要一种向执行RAT间切换的移动终端提供连续服务而不对网络造成严重负载的方法。
下面,对本发明提出的各种MIH原语进行说明以提供用于执行以下操作方法:按照移动终端来执行预认证、使用该预认证来执行切换、以及根据服务网络和/或目标网络来支持移动终端的RAT间切换。虽然MIH原语包括具体细节以使本领域的技术人员容易地实施本发明,但是可以按照与以下描述不同的方式来定义这些原语名称中的选择信息以及原语的说明。
本发明考虑使用IEEE 802.21标准中提供的以下原语来获得移动终端要执行切换到的至少一个相邻候选接入网的类型、或者其它有关信息。
【表1】
也就是说,为了在保持与当前链路的连接同时获得有关相邻网络的信息,通信移动终端可以通过表1所示的MIH功能中定义的MIH_information请求/响应原语莱获得与层2安全有关的信息(诸如认证方法和加密算法)。
同时,本发明提出了通过指定以下的MIH原语来请求希望切换的、且由另一个服务供应商运营的目标无线接入网执行预认证,并且当成功地实施了预认证时获得要在相应网络中使用的密钥材料。
【表2】
【表3】
也就是说,移动终端可使用表2中的MIH_MN_Preauth请求和MIH_MN_Preauth指示原语来请求由不同管理域运营的目标链路的认证服务器执行预认证,并且这些原语被传输至目标链路的AAA服务器以针对移动终端执行预认证。具体而言,可以通过IETF协议来执行对移动终端的预认证过程。在各个示例性实施方式中将介绍各个参数的使用。
同时,当前链路的认证器使用表3中示出的MIH_MN_Preauth响应/确认原语来向移动终端发送由目标链路的认证服务器传输来的、针对特定移动终端的预认证结果。也就是说,通过当前链路的认证器和认证服务器来将移动终端的预认证请求发送至其它服务供应商的目标认证服务器,或者,直接通过目标链路的认证器将移动终端的预认证请求发送至其它服务供应商的认证服务器。接收到预认证请求的目标链路的认证服务器执行预认证并将预认证的结果发送至服务链路的认证服务器。预认证的结果最终由服务链路的认证服务器经由当前链路的认证器发送至移动终端,或者被直接发送至移动终端。
同时,本发明还提出将以下原语作为用于发送特定移动终端的预认证结果以及由于根据网络的预认证而生成的密钥材料的MIH原语。
【表4】
【表5】
具体而言,表4例示了用于发送特定移动终端的预认证结果以及由于预认证而生成的密钥材料的原语。表5例示了目标链路的认证器用来向当前链路的认证器通知是否已经通过表4所示的原语发送了相应移动终端的预认证结果和密钥材料的原语。
同时,示例性的实施方式提出要实现根据本发明所提出的方法可以满足以下条件。
1)由无线接入技术(诸如,3GPP/3GPP2)中的移动终端和网络长期共享的安全凭证可以保存在多模移动终端的用户身份模块(SIM)卡或通用集成电路卡(UICC:universal integrated circuit card)中。
2)可以提供针对服务网络与目标网络之间交换的有关预认证的信令或针对密钥材料的保护。
3)IEEE 802.16网络可以签订与3GPP网络或其它异构网络互联的漫游协议。
4)为了保护用户标识符(例如,IMSI,TMSI和MAC地址),可以不公开这些标识符。
如上所述,服务接入网的移动终端在执行到目标接入网的切换之前,使用MIH信息服务经由服务接入网与目标接入网执行预认证,或者经由目标接入网直接执行预认证。移动终端可以与一个或更多个接入网执行预认证。各个接入网运行不同的认证、授权和计费(AAA:Authentication,Authorization,and Accounting)服务器。在AAA服务器中包括用于认证的EAP服务器功能。可以通过远程认证拨入用户服务(RADIUS:RemoteAuthentication Dial-In User Service)或对RADIUS的改进的AAA协议(诸如diameter)来实现认证器与认证服务器之间的通信。
如果目标认证器使用基于EAP的主会话密钥(MSK:master sessionkey)来生成链路层(诸如,IEEE 802.16或IEEE 802.11网络)的密钥, 则预认证过程可以通过生成目标认证器的MSK来在移动终端与网络(基站或接入点)之间设置安全关联。
本发明提出在移动终端、服务认证器、目标认证器和认证服务器之间的两种形式的预认证方法。根据服务认证器如何与预认证信令相关,预认证的方法有所不同。也就是说,本发明提出了以下直接的预认证方法和间接的预认证方法。
首先,在直接预认证方法中,在移动终端与目标认证器之间透明地交换预认证信令,并且经由目标认证器将该信令传输到目标认证服务器。接着,在间接的预认证方法中,服务认证器与预认证信令相关,并且此方法是作为当出于安全的原因不允许目标认证器与移动终端之间的IP通信时的必要技术而提出的。也就是说,间接预认证信令被分成移动终端与服务认证器之间的信令以及服务认证器与目标认证器之间的信令。服务认证器与目标认证器之间的信令包括服务接入网的认证服务器以及目标接入网的认证服务器。
下面将参照附图具体说明使用上述示例的间接预认证的示例性实施方式。
图3例示了根据本发明的一个示例性实施方式的由IEEE 802.16网络服务的多模移动终端经由当前接入网来执行预认证接着执行向另一个IEEE 802系列网络的RAT间切换的处理。
图3中,当前链路的认证器经由当前链路的认证服务器发送移动终端的预认证请求至目标链路的认证服务器。接收到该请求的目标链路的认证服务器针对相应移动终端执行预认证,并经由当前链路的认证器发送预认证的结果给目标链路的认证器。接着,目标链路的认证器将对预认证结果的响应报告给当前链路的认证器。当前链路的认证器将目标链路中要使用的密钥材料作为预认证的结果发送至移动终端。
在该示例性实施方式中,由于很难通过修改由当前IETF定义的AAA架构来增加MIH功能,因此假设认证服务器不支持MIH功能。但是,本发明不排除通过由认证服务器支持MIH功能来直接交换对应的MIH原语的概念。
在执行预认证的两种形式中,图3例示了通过服务链路的认证器来发送预认证请求,并且在这种情况下,可以有选择地使用表2和表3中定义的MIH原语。也就是说,不是始终使用表2中的原语,可以排除当前链路标识符和当前认证服务器标识符的参数。类似地,可以排除表3中提出的原语中的以上两个参数。
将基于以上说明来介绍图3中例示的各个过程。
(1)首先,步骤(1)例示了这样的一个处理,即,通过基于EAP的认证来共享主会话密钥(MSK)和认证密钥(AK),以及通过将多模移动节点301接入IEEE 802.16网络经由3次握手来共享业务加密密钥(TEK:traffic encryption key)。如果使用除IEEE 802.16网络以外的其它IEEE 802系列,则可以实施类似形式的基于EAP的初始认证过程。
(2)正在通信的多模移动节点301在保持与IEEE 802.16网络的连接的同时,从信息服务器306获得有关至少一个相邻候选网络的信息(步骤(2))。可以通过之前说明的MIH中定义的信息服务(例如,通过诸如表1所示的MIH_Information请求/响应原语的MIH信息请求/响应原语)来获得有关相邻网络的信息。移动节点可以使用这些原语来接收链路层安全有关的参数(诸如,相邻网络的认证方法/加密算法)。例如,由当前管理域运营的IEEE 802.16网络302的MIH可以请求期望切换到的802系列网络305的MIH发送IP信息,并且可以发送该IP信息至移动节点301。可以在移动节点的切换期间使用IP地址。
(3)移动节点301通过扫描从相邻网络中接收信号,并执行链路检测/选择过程(步骤(3))。作为步骤(3)的结果,假设作为潜在的切换目标链路的802系列网络305由不同的管理域来运营。802系列网络假设包括IEEE 802.16网络、IEEE 802.11网络等。
(4)当识别到从IEEE 802.16网络接收到的信号电平低于规定的电平时,移动节点301发送MIH预认证请求原语(诸如表2中提出的的MIH_MN_Preauth请求)至该移动节点301的MIH实体以命令MIH实体执行预认证过程(步骤(4))。如表2所例示的MIH_MN_Preauth请求原语,MIH预认证请求原语可包括:当前链路302的标识符、当前认证服 务器303的标识符、目标链路305的标识符、目标认证服务器304的标识符、多模移动节点301的标识符、以及预认证请求指示符。
因此,移动节点301的MIH用户(即,MIH的上位层)可以请求移动节点301的MIH发送预认证过程请求至目标链路的802系列网络认证服务器304。可以经由802.16网络认证器302和802.16网络认证服务器303来发送预认证过程请求至802系列网络认证服务器304。虽然该实施方式例示了包括EAP功能的AAA服务器不支持MIH的情况,但是本发明不限于此。
此外,因为假设在步骤(4)中,在实施层2切换之前执行预认证过程,所以将在确定从当前链路接收到的信号电平是否低于规定的电平时使用的规定的阈值理想地设置为比用于确定发起层2切换的阈值更高的电平。但是,在发起实质的切换过程之前,还可以使用除了用于执行预认证的上述方法之外的各种方法。
(5)在步骤(5)中,接收到MIH预认证请求原语(诸如MIH_MN_Preauth请求原语)的移动节点301的MIH生成MIH远程协议消息的MIH_MN_Preauth请求协议消息并将该消息发送至服务网络的IEEE 802.16网络认证器302的MIH(步骤(5))。该消息可包括步骤(4)中的MIH预认证请求原语内的参数。
(6)接着,IEEE 802.16网络认证器302的MIH生成并发送MIH预认证指示原语(诸如表2所示的MIH_MN_Preauth指示原语)以向认证器302的MIH用户通知远程协议消息的接收结果(步骤(6))。如表2所例示的,MIH预认证指示原语可包括:当前链路302的标识符、当前认证服务器303的标识符、目标链路305的标识符、目标认证服务器304的标识符、多模移动节点301的标识符、和预认证请求指示符。
(7)在步骤(7)中,在步骤(6)中接收到MIH预认证指示原语的、负责管理认证器302的安全的安全实体通过与IEEE 802.16网络302连接的AAA服务器303发送预认证请求消息至与目标802系列网络305连接的AAA服务器304。
(8)接着,在移动节点301与目标链路的AAA服务器304之间执行预认证过程(步骤(8))。该预认证过程与移动节点301、服务认证器302、服务认证服务器303、以及目标认证服务器304相关联。此外,预认证结果被发送至服务认证器302的MIH用户。在此实施方式中,虽然在服务链路中使用的认证凭证(credential)可能与目标链路中使用的认证凭证不完全相同,但是可以通过获得由步骤(2)中的MIH信息服务所提供的信息来解决这个问题。也就是说,因为移动节点301可以通过MIH信息请求/响应原语来获得有关目标链路中考虑的凭证的信息,所以可以执行预认证过程。
(9)目标链路的IEEE 802系列AAA服务器304生成包括预认证过程结果和要在目标链路中使用的密钥材料的预认证响应消息并通过IEEE 802.16网络的AAA服务器303将该响应消息发送至服务链路302的安全实体。接收到预认证过程结果和要在目标链路中使用的密钥材料的当前认证器302的MIH用户生成MIH预认证结果传输请求原语(诸如表4中例示的MIH_Net_Preauth_Result_Transfer请求原语)并将该MIH预认证结果传输请求原语发送至当前认证器302的MIH(步骤(9)。如表4所例示,MIH预认证结果传输请求原语可包括:当前链路302的标识符、当前认证服务器303的标识符、目标链路305的标识符、目标认证服务器304的标识符304、预认证结果状态信息(预认证成功或失败)、多模移动节点301的标识符、受保护的安全信息、以及由目标链路的认证单元使用的安全上下文。
(10)在步骤(10)中,接收到MIH预认证结果传输请求原语的当前认证器302的MIH生成远程协议消息的MIH_Net_Preauth_Result_Transfer请求并将该MIH_Net_Preauth_Result_Transfer请求发送至目标链路认证器305(步骤(10))。该消息包括步骤(9)中的MIH预认证结果传输请求原语内的参数。
(11)接着,接收到MIH预认证结果传输请求原语的目标认证器305的MIH生成MIH预认证结果传输指示原语(诸如表4中的MIH_Net_Preauth_Result_Transfer指示原语)以向MIH用户通知该消息, 并将生成的原语发送至该MIH用户(步骤(11))。如表4所例示的,所生成的MIH预认证结果传输指示原语可包括:MIH预认证结果传输请求原语中包含的参数的一部分,以及目标认证器305的MIH用户所需的部分参数。
(12)接收到MIH预认证结果传输指示原语的目标认证器305的MIH用户生成MIH预认证结果传输响应原语(诸如表5中例示的MIH_Net_Preauth_Result_Transfer响应)并将该MIH预认证结果传输响应原语发送至MIH,以发送移动节点301的预认证过程结果以及由目标链路认证服务器304生成的密钥材料的接收结果(步骤(12))。如图5所例示的,MIH预认证结果传输响应原语可包括:目标链路305的标识符、目标认证服务器304的标识符、目标归属用户服务器(HSS)的标识符、多模移动节点301的标识符、预认证ID、没有获得的密钥材料、以及预认证结果传输状态标识符。在这些参数中,可以省略HSS标识符。
(13)接收到MIH预认证结果传输响应原语的目标认证器305的MIH生成远程MIH原语的MIH_Net_Preauth_Result_Transfer响应原语并将该MIH_Net_Preauth_Result_Transfer响应原语发送至服务认证器302(步骤(13))。所生成的原语可包括步骤(12)中的MIH预认证结果传输响应原语中包含的参数。
(14)作为步骤(13)中提及的接收到MIH预认证结果响应原语的结果,服务链路认证器302生成MIH预认证结果确认原语(诸如表5中例示的MIH_Net_Preauth_Result_Transfer确认原语)并将该MIH预认证结果确认原语发送至MIH用户(步骤(14))。
(15)服务认证器302的MIH用户接收步骤(14)所述的MIH_Net_Preauth_Result_Transfer确认原语,并向服务认证器302的MIH发送MIH预认证响应原语(诸如表3中例示的MIH_MN_Preauth响应原语)(步骤(15))。
(16)步骤(15)中提及的服务认证器302的MIH发送远程协议消息的MIH_MN_Preauth响应原语至移动节点301的MIH(步骤(16))。该原语可包括步骤(15)中介绍的MIH_MN_Preauth响应原语中包含的 参数。
(17)接收到MIH_MN_Preauth响应原语消息的移动节点301的MIH生成MIH预认证确认原语(诸如表3中的例示的MIH_MN_Preauth确认原语)并将该MIH预认证确认原语发送至移动节点301的MIH用户(步骤(17))。
(18)在预认证过程完成之后,与新的网络进行切换,也就是说,从更高管理实体发送发起链路动作过程的命令。在这种情况下,更高管理实体通知可以省略安全有关的过程,该安全有关的过程在诸如新的认证和安全密钥设定时需要大量的载荷,并且有可能导致延迟(步骤(18))。
(19)然后,移动节点301的MIH发送链路动作命令至对应的链路(步骤(19))。
(20)多模移动节点301执行层2(L2)切换(步骤(20))。此时,省略了新的认证过程,而作为步骤(4)至步骤(17)执行的预认证的结果,可以省略在基于服务链路与目标链路的网络实体(认证器和认证服务器)之间交换的信息向目标链路进行登记期间重新执行认证以及设置密钥的处理。
如果层2切换完成,则移动节点301的MAC设置与目标链路的接入点的安全关联,并且可以准备进行通信。
参照图3解释的上述实施方式示出了当在IEEE 802.16网络中被提供服务的多模移动节点经由服务链路的认证器发送预认证请求并执行向802系列网络的切换的情况。但是,对于优化的过程可以省略步骤(16)至步骤(18)。
下面,将介绍多模移动节点直接发送到目标链路的认证器以使得目标链路的认证服务器执行预认证的过程的一个示例性实施方式。
图4例示了根据本发明的另一个示例性实施方式,在未介入当前链路的情况下通过由IEEE 802.16网络服务的多模移动终端来直接执行与目标链路的预认证,然后执行向另一个IEEE 802系列网络的RAT间切换的处理。
与图3相比,图4的过程与图3的过程基本上相同,所不同的是: 多模移动节点401直接请求目标认证器405和目标认证服务器404执行预认证并接收预认证的结果,以及当前认证器402和当前认证服务器403与目标认证器405及认证服务器404的预认证处理无关,并且仅实施中继功能。下面,将在当前认证器和当前认证服务器只对层2实施中继而不管预认证过程的情况下执行的预处理称作“直接预处理”,而将在当前认证器和认证服务器实质上与预认证过程有关(具体而言,要求层3或更多层的关系)的情况下执行的预处理称作“间接预认证”。为了省略重复说明,根据例示了直接预认证过程的图4的各个步骤,仅对与图3中例示间接预认证的部分不同的部分进行说明。
图4中,将预认证请求直接发送至目标认证器405。此时,因为预认证结果被从目标认证服务器404发送至目标认证器405,所以与图3不同,可以不使用表4和表5中定义的原语。下面,根据图4的各个步骤,将重点介绍不同于图3的部分。
(1)-(4)如图3的步骤(1)至(4)所示,多模移动节点401可以在与当前链路402进行通信的同时,从信息服务器406经由MIH信息请求/响应原语获得有关至少一个候选接入网的信息。如果从当前链路402接收的信号电平小于规定的阈值(例如,高于用于确定发起切换的值的阈值),移动节点401的上位层可以命令MIH发起预认证过程,并且可以利用结合图3介绍的MIH_MN_Preauth请求原语来执行预认证过程。
(5)接收到MIH_MN_Preauth请求的移动节点401的MIH生成MIH远程协议消息的MIH_MN_Preauth请求原语并将该MIH远程协议消息的MIH_MN_Preauth请求原语发送至目标链路的IEEE 802.16网络认证器405的MIH。与图3不同,假设在不介入服务认证器402和服务认证服务器403的情况下从移动节点401的MIH发送MIH_MN_Preauth请求原语至目标认证器405的MIH。即,服务链路仅用于在移动节点401与目标认证器405之间进行中继。
MIH_MN_Preauth请求原语可包括步骤(4)中接收到的原语内的参数。
(6)目标认证器405的MIH生成MIH预认证指示原语(诸如表2 中例示的MIH_MN_Preauth指示)并将该MIH预认证指示原语发送至目标认证器405的MIH用户以向认证器405的MIH用户通知远程协议消息的接收结果。如表2所例示的,MIH预认证指示原语可包括:当前链路402的标识符、当前认证服务器403的标识符、目标链路405的标识符、目标认证服务器404的标识符、多模移动节点401的标识符、以及预认证请求指示符。但是,当MIH原语被与当前链路无关地直接发送至目标链路时,可以省略当前链路402的标识符和当前认证服务器403的标识符。
(7)接收到MIH_MN_Preauth指示原语的认证器403的安全实体发送预认证请求消息至与目标802系列网络链接的AAA服务器404(步骤(7))。
(8)接着,除了预认证过程是在没有介入当前认证器402和当前认证服务器403的情况下移动节点401、目标认证器405、和目标认证服务器404之间实现的以外,预认证过程基本上与图3的预认证过程相同。此外,预认证结果没有被发送至图3的当前认证器的MIH用户,而是被发送至目标认证器405的MIH用户。
(9)目标认证服务器404生成包括预认证过程结果的预认证响应消息并将该响应消息发送至目标IEEE 802系列网络认证器405的安全实体。接收到预认证过程结果以及要在目标链路中使用的密钥材料的目标认证器405的MIH用户生成MIH预认证响应原语(诸如表3中例示的MIH_MN_Preauth响应原语)并将该响应原语发送至认证器405的MIH。
(10)接收到MIH_MN_Preauth响应原语的目标认证器405的MIH生成远程协议消息的MIH_MN_Preauth_Response原语并将该远程协议消息的MIH_MN_Preauth_Response原语发送至服务认证服务器402的MIH。该消息可包括MIH_MN_Preauth响应原语内的参数。服务认证器402的MIH接收远程MIH_MN_Preauth响应原语消息并将该消息发送至移动节点401的MIH。
(11)-(14)接收到MIH_MN_Preauth响应原语的多模移动节点401的MIH生成MIH预认证确认原语(诸如表3中例示的MIH_MN_Preauth 确认)并将该MIH预认证确认原语发送至MIH用户。预认证过程结束之后,从更高管理实体发送与新网络进行切换的命令(即发起链路动作过程)。此时,更高管理实体通知可以省略安全有关的过程,该安全有关的过程在诸如新的认证和安全密钥设定时需要大量的载荷,并且有可能导致延迟。因此,移动节点401可以容易地执行切换过程。
上述实施方式示出了当在IEEE 802.16网络中被提供服务的多模移动节点经由目标链路的认证器发送预认证请求并执行向802系列网络切换的情况。但是,对于优化的过程可以省略步骤(9)至步骤(11)。
结合图3和图4介绍的以上两个实施方式提供了当移动节点使用基于EAP的认证架构时在接入网之间的切换。但是,根据本发明的预认证方法和使用该预认证方法的切换方法可以等同地应用于切换到不使用基于EAP的认证架构的非IEEE 802系列网络(即,可以应用于3GPP网络)。
图5和图6例示了根据本发明的另外示例性实施方式的当移动节点执行从IEEE 802系列网络向3GPP网络的切换时所执行的预认证的处理。
图5和图6的示例性实施方式示出了当移动节点执行从IEEE 802.16网络向诸如3GPP网络的非IEEE 802系列网络的切换时所执行的预认证过程的处理。也就是说,当存在用于互通的3GPP AAA服务器504或604并且支持基于EAP的认证架构时,通过诸如EAP-AKA或SIM的认证方法来实现预认证。
基本的预认证方法和使用该预认证方法的切换方法与图3和图4中的方法相同。因此,虽然将逐个步骤地介绍图5和图6的实施方式,但是,将重点介绍与图3和图4的实施方式的不同之处。
图5中,移动节点501通过图3所示的当前链路502请求目标链路506来执行预认证。
多模移动节点501接入IEEE 802.16网络以执行基于EAP的认证(步骤(1)),并在保持与IEEE 802.16网络502的连接的同时检测一个或更多个候选网络(步骤(2))。其后,移动节点501如在上述实施方式中那样选择目标链路并通过MIH信息请求/响应原语从信息服务器507获得关于目标链路的信息(步骤(3))。假设由不同管理域通过这些原语操作的 非802系列网络是切换的目标链路。具体而言,在图5中,非802系列网络的3GPP网络506被选择作为目标链路。
同时,如果多模移动节点501识别出从IEEE 802.16网络接收到的信号电平低于规定的电平(例如,该规定的电平高于用来确定切换发起的电平),移动节点501的MIH用户通过MIH_MN_Preauth请求原语来请求移动节点501的MIH发送预认证过程请求至目标链路的非802系列网络认证服务器504(步骤(4))。可以通过802.16网络认证器502和认证服务器503来将预认证过程请求发送至目标链路的非802系列网络认证服务器504。在此实施方式中还假设,与图3和图4的实施方式一样,包括EAP功能的AAA服务器503不支持MIH。
接收到MIH_MN_Preauth请求原语的移动节点501经由服务链路的IEEE 802.16网络认证器502的MIH和MIH用户(步骤(5)和(6))来将相应的信息发送至目标链路的3GPPAAA服务器504(步骤(7))。在图5中例示了在各步骤中使用的原语的示例。
如果目标认证服务器504接收到预认证请求信息,则执行预认证过程(步骤(8))。归属用户服务器(HSS)、以及移动节点501、服务认证器502、服务认证服务器503、目标认证服务器504和目标认证器506与预认证过程相关联。预认证过程的结果被发送至服务认证器502的安全实体。包括3GPP网络认证服务器504的预认证过程假设含有从HSS提取与用户有关的安全上下文的过程。
可以与图3的步骤(9)至(20)相同地执行步骤(9)至(20)。但是,与省略了HSS标识符信息的图3的实施方式不同,假设包含关于预认证结果的信息的MIH预认证结果传输请求/响应原语包括与预认证有关的HSS标识符信息。对于优化的过程可以省略步骤(15)至步骤(17)。
可以有选择地使用诸如MIH_MN_Preauth请求/指示原语和MIH_MN_Preauth响应/确认原语的原语。
因此,因为在执行实质的层2切换之前执行了预认证,因此,减小了由于RAT间切换处理中的认证而带来的延迟。
同时,图6中,移动节点601直接请求目标网络606执行预认证而 不像图4中那样考虑到与当前网络602的关系。
多模移动节点601接入当前服务链路的IEEE 802.16网络602以执行基于EAP的认证(步骤(1))并在保持与IEEE 802.16网络602的连接的同时检测一个或更多个候选网络(步骤(2))。其后,移动节点601如上述实施方式那样选择目标链路并通过MIH_Information请求/响应原语从信息服务器607获得关于目标链路的信息(步骤(3))。假设由不同管理域通过这些原语操作的非802系列网络是切换的目标链路。具体而言,在图6中,非802系列网络的3GPP网络606被选择作为目标链路。
同时,如果多模移动节点601识别出从IEEE 802.16网络接收到的信号电平低于规定的电平(例如,该规定的电平高于用来确定切换发起的电平),移动节点601的MIH用户通过MIH_MN_Preauth请求原语请求移动节点601的MIH发送预认证过程请求至目标链路的非802系列网络认证服务器604(步骤(4))。尽管可以通过与图5的实施方式中的802.16网络认证器502和认证服务器503的预认证过程的关系来将预认证过程请求发送至目标链路的非802系列网络认证服务器604,但是在图6的实施方式中通过802.16网络认证器602和认证服务器603的简单中继来将预认证请求发送至目标认证器606(步骤(5)和(6))。此外,在此实施方式中,发送的MIH_MN_Preauth指示原语可额外的包括MIH用户所需的参数(例如,HSS标识符)。
接收到MIH_MN_Preauth指示原语的认证器606的安全实体发送预认证请求消息至与目标3GPP网络连接的AAA服务器604。
在移动节点601与目标AAA服务器604之间通过IETF协议来执行预认证过程(步骤(8))。移动节点601、目标认证器606、目标认证服务器604、和目标HSS 605可与预认证过程相关联。预认证过程的结果被发送至目标认证器606的MIH用户。包括3GPP网络的认证服务器604的预认证过程包括从HSS 605提取与用户有关的安全上下文的过程。
可以与图4的实施方式相同地执行步骤(9)至(16)。但是,与图4的实施方式不同的是,假设发送预认证结果的MIH预认证响应原语可包括HSS 605的标识符。
同时,对于优化的过程可以省略步骤(9)至步骤(13)。
如上所述,因为在切换之前执行了预认证的过程,所以可以减少在实际的切换处理期间由于认证而导致的延迟。
已经给出了本发明的示例性实施方式的详细说明以使得本领域的技术人员能够实现并实施本发明。虽然已经参照示例性的实施方式介绍了本发明,但是本领域的技术人员应了解,在不脱离由所附权利要求所描述的本发明的精神或范围的情况下,可以对本发明进行各种变型和修改。因此,本发明不应当限于此处说明的具体实施方式,而应当符合与此处公开的原则和特征一致的最广泛的范围。
Claims (10)
1.一种由多模移动台MS在异构无线接入网之间执行切换的方法,该方法包括以下步骤:
获取关于候选目标接入网以及连接到所述多模MS的当前接入网的信息;
确定每一个候选目标接入网的网络类型;
当从所述当前接入网接收到的信号电平低于规定的第一阈值时,直接或间接地向所述候选目标接入网中的所选择的目标接入网发送预认证请求消息;
从所选择的目标接入网直接或间接地接收响应于所述预认证请求消息的预认证结果信息;以及
当从所述当前接入网接收到的信号电平低于规定的第二阈值时,使用所述预认证结果信息来执行向所选择的目标接入网的切换而无需任何额外的认证处理,其中所述第一阈值被设置为高于所述第二阈值,
其中在第一类型目标网络的情况下,所述预认证结果信息包括从归属用户服务器HSS提取的所述多模MS的安全信息,以及在第二类型目标网络的情况下,所述预认证结果信息省略从HSS提取的所述多模MS的安全信息,
其中所述第一类型目标网络不把可扩展的认证协议EAP用作基本认证架构并且支持EAP-用户身份模块SIM或者EAP-认证密钥协议AKA,而所述第二类型目标网络将EAP用作基本认证架构,
其中所述当前接入网的标识符ID和所述当前接入网的认证服务器的ID排除在所述预认证请求消息和所述预认证结果信息之外,并且
其中在执行所述方法时没有公开所述多模MS的ID,并且所述多模MS的ID包括国际移动用户标识IMSI、临时移动用户标识TMSI或媒体接入控制MAC地址。
2.根据权利要求1所述的方法,其中,使用媒体无关切换MIH原语来执行获取信息、发送预认证请求消息、接收预认证结果信息、和执行切换中的至少一项。
3.根据权利要求2所述的方法,其中,使用MIH预认证请求原语来执行发送预认证请求消息的步骤,并且其中所述MIH预认证请求原语包括以下中的至少一项:所选择的目标接入网的ID、所选择的目标接入网的认证服务器的ID、所述多模MS的ID、以及预认证请求指示符。
4.根据权利要求2所述的方法,其中,使用MIH预认证响应原语来执行接收预认证结果信息的步骤,并且其中所述MIH预认证响应原语包括以下中的至少一项:所述当前接入网的ID、所述当前接入网的认证服务器的ID、所选择的目标接入网的ID、所选择的目标接入网的认证服务器的ID、所选择的目标接入网的归属用户服务器HSS的ID、预认证结果状态ID、以及预认证结果传输状态ID。
5.根据权利要求1所述的方法,其中,如果间接地执行发送和接收,则经由所述当前接入网分别发送和接收所述预认证请求消息和所述预认证结果信息。
6.根据权利要求1所述的方法,其中,由所述多模MS的MIH实体分别发送和接收所述预认证请求消息和所述预认证结果信息,并且该方法还包括以下步骤:
在所述多模MS的所述MIH实体发送所述预认证请求消息之前,由该MIH实体从所述多模MS的MIH用户实体接收所述预认证请求消息,以及
在所述MIH实体接收到所述预认证结果信息之后,由所述MIH实体向所述MIH用户实体通知所述预认证结果信息。
7.根据权利要求6所述的方法,其中,使用MIH预认证确认原语来执行向所述MIH用户实体通知所述预认证结果信息的步骤,并且其中所述MIH预认证确认原语包括以下中的至少一项:所选择的目标接入网的ID、所选择的目标接入网的认证服务器的ID、预认证结果状态ID、以及预认证结果传输状态ID。
8.一种由特定接入网支持在异构无线接入网之间进行切换的方法,其中多模移动台MS执行向作为目标接入网的所述特定接入网的切换,该方法包括以下步骤:
从所述多模MS接收预认证请求消息,其中所述预认证请求消息是当多模MS从当前接入网接收到的信号电平低于规定的第一阈值时由所述多模MS发送的;
响应于所述预认证请求消息而向所述多模MS发送预认证结果信息;以及
通过使用所述预认证结果信息来支持所述多模MS执行向所述目标接入网的切换而无需任何额外的认证处理,其中当多模MS从所述当前接入网接收到的信号电平低于规定的第二阈值时,所述多模MS执行切换,其中所述第一阈值被设置为高于所述第二阈值,
其中在第一类型目标网络的情况下,所述预认证结果信息包括从归属用户服务器HSS提取的所述多模MS的安全信息,以及在第二类型目标网络的情况下,所述预认证结果信息省略从HSS提取的所述多模MS的安全信息,
其中所述第一类型目标网络不把可扩展的认证协议EAP用作基本认证架构并且支持EAP-用户身份模块SIM或者EAP-认证密钥协议AKA,而所述第二类型目标网络将EAP用作基本认证架构,
其中所述当前接入网的标识符ID和所述当前接入网的认证服务器的ID排除在所述预认证请求消息和所述预认证结果信息之外,并且
其中在执行所述方法时没有公开所述多模MS的ID,并且所述多模MS的ID包括国际移动用户标识IMSI、临时移动用户标识TMSI或媒体接入控制MAC地址。
9.根据权利要求8所述的方法,其中,使用媒体无关切换MIH原语来执行接收预认证请求消息和发送预认证结果信息中的至少一项。
10.根据权利要求9所述的方法,其中,通过所述特定接入网的MIH实体来分别接收和发送所述预认证请求消息和所述预认证结果信息,并且该方法还包括以下步骤:
在所述特定接入网的所述MIH实体接收到所述预认证请求消息之后,经由所述特定接入网的安全实体来将所述预认证请求消息发送至所述特定接入网的认证服务器;以及
在所述MIH实体发送所述预认证结果信息之前,从所述安全实体接收所述预认证结果信息。
Applications Claiming Priority (7)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US98045807P | 2007-10-17 | 2007-10-17 | |
| US60/980,458 | 2007-10-17 | ||
| KR20070139698 | 2007-12-28 | ||
| KR10-2007-0139698 | 2007-12-28 | ||
| KR10-2008-0041049 | 2008-05-01 | ||
| KR1020080041049A KR101467780B1 (ko) | 2007-10-17 | 2008-05-01 | 이기종 무선접속망간 핸드오버 방법 |
| PCT/KR2008/006074 WO2009051400A2 (en) | 2007-10-17 | 2008-10-15 | Method for handover between heterogeneous radio access networks |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101828343A CN101828343A (zh) | 2010-09-08 |
| CN101828343B true CN101828343B (zh) | 2014-04-02 |
Family
ID=40763439
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN200880112063.9A Expired - Fee Related CN101828343B (zh) | 2007-10-17 | 2008-10-15 | 用于异构无线接入网间切换的方法 |
Country Status (6)
| Country | Link |
|---|---|
| US (1) | US8199720B2 (zh) |
| EP (1) | EP2145406B1 (zh) |
| JP (1) | JP5421274B2 (zh) |
| KR (1) | KR101467780B1 (zh) |
| CN (1) | CN101828343B (zh) |
| WO (1) | WO2009051400A2 (zh) |
Families Citing this family (36)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8054802B2 (en) * | 2007-10-29 | 2011-11-08 | Alcatel Lucent | Hand-off trigger at access technology borders |
| KR101460766B1 (ko) * | 2008-01-29 | 2014-11-11 | 삼성전자주식회사 | 무선 네트워크 시스템에서 클러스터 기능을 이용한 보안설정 시스템 및 그 제어방법 |
| US20090245200A1 (en) * | 2008-03-31 | 2009-10-01 | Violeta Cakulev | Method and apparatus for communication between wireless telecommunications networks of different technology types |
| KR101174902B1 (ko) * | 2008-12-22 | 2012-08-17 | 한국전자통신연구원 | Ip 네트워크상에서 멀티미디어 서비스를 제공하는 방법 및 그 시스템 |
| US20100197272A1 (en) * | 2009-02-03 | 2010-08-05 | Jeyhan Karaoguz | Multiple Network, Shared Access Security Architecture Supporting Simultaneous Use Of Single SIM Multi-Radio Device And/Or Phone |
| US9015487B2 (en) * | 2009-03-31 | 2015-04-21 | Qualcomm Incorporated | Apparatus and method for virtual pairing using an existing wireless connection key |
| US8505076B2 (en) * | 2009-05-03 | 2013-08-06 | Kabushiki Kaisha Toshiba | Proactive authentication |
| US8594723B2 (en) | 2009-05-26 | 2013-11-26 | Intel Corporation | Techniques for interworking between heterogeneous radios |
| AU2010256311B2 (en) | 2009-06-04 | 2014-07-10 | Blackberry Limited | Methods and apparatus for use in facilitating the communication of neighboring network information to a mobile terminal with use of a radius compatible protocol |
| CN101932057B (zh) * | 2009-06-22 | 2013-08-28 | 华为技术有限公司 | 切换处理方法、切换处理的通信装置及通信系统 |
| EP2273820A1 (en) | 2009-06-30 | 2011-01-12 | Panasonic Corporation | Inter-VPLMN handover via a handover proxy node |
| US8429728B2 (en) * | 2009-08-24 | 2013-04-23 | Alcatel Lucent | Pre-registration security support in multi-technology interworking |
| US9807819B1 (en) * | 2009-09-04 | 2017-10-31 | Sprint Communications Company L.P. | Cross-technology session continuity |
| US9775027B2 (en) | 2009-12-31 | 2017-09-26 | Alcatel Lucent | Method for interworking among wireless technologies |
| CN101895535B (zh) * | 2010-06-28 | 2012-12-26 | 北京交通大学 | 用于标识分离映射网络的网络认证方法、装置以及系统 |
| CN102299907B (zh) * | 2010-06-28 | 2014-12-10 | 中国移动通信集团公司 | 一种预认证的方法及设备 |
| WO2012033316A2 (ko) * | 2010-09-09 | 2012-03-15 | 한국전자통신연구원 | 이기종 무선 네트워크간 네트워크 제어 단일 라디오 핸드오버 방법 및 장치 |
| CN101951319B (zh) * | 2010-09-29 | 2012-04-18 | 中国航天科工集团第四研究院第四总体设计部 | 一种支持异构应用模块数据整合的统一身份认证方法 |
| CN102026196A (zh) * | 2010-12-30 | 2011-04-20 | 东莞宇龙通信科技有限公司 | 基于wapi的认证方法、接入点和移动终端 |
| CN103535075B (zh) * | 2011-03-04 | 2017-10-24 | 黑莓有限公司 | 移动设备驱动的信息交换 |
| CN102740290B (zh) * | 2011-03-31 | 2015-03-11 | 香港理工大学 | 一种预认证和预配置方法及其系统 |
| CN102970680A (zh) * | 2011-09-01 | 2013-03-13 | 中兴通讯股份有限公司 | 网络切换方法及装置 |
| WO2013131741A1 (en) * | 2012-03-07 | 2013-09-12 | Nokia Siemens Networks Oy | Access mode selection based on user equipment selected access network identity |
| JP5822765B2 (ja) * | 2012-03-19 | 2015-11-24 | シャープ株式会社 | 無線通信システム、通信方法、端末装置、および基地局装置 |
| EP2842289A1 (en) * | 2012-04-24 | 2015-03-04 | NEC Corporation | Secure method for sso subscriber accessing service from outside of home network |
| WO2014017875A1 (ko) * | 2012-07-26 | 2014-01-30 | 엘지전자 주식회사 | 2이상의 무선접속기술을 이용한 통신을 지원하기 위한 방법 및 이를 위한 장치 |
| WO2014084475A1 (ko) * | 2012-11-27 | 2014-06-05 | 엘지전자 주식회사 | Cellular-wifi 융합시스템에서 일반장치로부터 획득한 정보를 이용하여 wifi 망을 통해 access point를 등록하는 방법 및 장치 |
| US10051521B2 (en) * | 2012-11-27 | 2018-08-14 | Qualcomm Incorporated | Fast association and address continuity for handoff between unmanaged access points |
| WO2014120198A1 (en) * | 2013-01-31 | 2014-08-07 | Hewlett-Packard Development Company, L.P. | Linking a roaming device to a network-enabled resource through a cloud service using an address obtained through a local interaction |
| US10039039B2 (en) | 2013-07-02 | 2018-07-31 | Lg Electronics Inc. | Method and apparatus for performing handover in wireless communication system |
| US9763148B2 (en) | 2015-05-04 | 2017-09-12 | At&T Intellectual Property I, L.P. | Method and system for managing wireless connectivity in a communication system |
| CN105657735B (zh) * | 2016-02-29 | 2019-08-02 | 宇龙计算机通信科技(深圳)有限公司 | 一种移动终端、网络接入控制器、网络切换方法与系统 |
| US20190014095A1 (en) * | 2017-07-06 | 2019-01-10 | At&T Intellectual Property I, L.P. | Facilitating provisioning of an out-of-band pseudonym over a secure communication channel |
| CN110166982B (zh) * | 2019-05-29 | 2022-04-05 | 深圳成谷科技有限公司 | 一种车路协同网络的切换方法及相关产品 |
| CN112235792B (zh) * | 2020-09-15 | 2022-03-11 | 西安电子科技大学 | 一种多类型终端接入与切换认证方法、系统、设备及应用 |
| US11595865B2 (en) * | 2021-04-08 | 2023-02-28 | Cisco Technology, Inc. | Enforcing unique handover trigger thresholds for user equipment |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7089009B1 (en) * | 1998-10-19 | 2006-08-08 | Nortel Networks Limited | Method and apparatus for setting up a communication with a target base station in a cellular or cordless mobile telecommunications system |
Family Cites Families (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6301242B1 (en) * | 1998-07-24 | 2001-10-09 | Xircom Wireless, Inc. | Communication system with fast control traffic |
| US20020131386A1 (en) * | 2001-01-26 | 2002-09-19 | Docomo Communications Laboratories Usa, Inc. | Mobility prediction in wireless, mobile access digital networks |
| US7161914B2 (en) * | 2002-04-11 | 2007-01-09 | Ntt Docomo, Inc. | Context aware application level triggering mechanism for pre-authentication, service adaptation, pre-caching and handover in a heterogeneous network environment |
| EP1599062B1 (en) * | 2004-05-17 | 2017-04-19 | Samsung Electronics Co., Ltd. | Fast handover method for IEEE 802.11 wireless LAN networks |
| KR101351270B1 (ko) * | 2004-06-07 | 2014-01-14 | 애플 인크. | 무선 접속망에서 핸드오프 및 핸드오프 선택 |
| JP4703657B2 (ja) * | 2004-11-05 | 2011-06-15 | 株式会社東芝 | ネットワーク探索方法 |
| KR100762615B1 (ko) * | 2004-11-26 | 2007-10-01 | 삼성전자주식회사 | 이동통신 시스템과 이를 위한 핸드오프 방법 |
| TWI262683B (en) * | 2005-02-04 | 2006-09-21 | Ind Tech Res Inst | A method, a wireless server, a mobile device, and a system for handing over, from a wireless server to another wireless server, in a connection between a mobile device in a foreign intranet network, and an intranet network |
| US7813319B2 (en) * | 2005-02-04 | 2010-10-12 | Toshiba America Research, Inc. | Framework of media-independent pre-authentication |
| US8565185B2 (en) * | 2005-04-13 | 2013-10-22 | Toshiba America Research, Inc. | Framework of media-independent pre-authentication support for PANA |
| US7738882B2 (en) | 2005-06-13 | 2010-06-15 | Toshiba America Research, Inc. | Framework of media-independent pre-authentication improvements: including considerations for failed switching and switchback |
| JP4745344B2 (ja) * | 2005-07-14 | 2011-08-10 | 株式会社東芝 | 媒体非依存事前認証改善策のフレームワーク |
| KR100739888B1 (ko) | 2006-02-13 | 2007-07-13 | 주식회사 팬택앤큐리텔 | Wcdma망에서 cdma망으로 핸드오버시cdma망과의 ppp 접속시간을 단축하는 방법 |
| FR2897499A1 (fr) * | 2006-02-13 | 2007-08-17 | France Telecom | Procede d'allocation d'au moins d'un point d'acces a un terminal mobile, dans un reseau cellulaire, terminal, serveur de mobilite et programme correspondants |
| US8050230B2 (en) * | 2007-07-07 | 2011-11-01 | Wipro Limited | VoWLAN roaming controller with station pre-authentication |
-
2008
- 2008-05-01 KR KR1020080041049A patent/KR101467780B1/ko not_active IP Right Cessation
- 2008-10-15 JP JP2010529860A patent/JP5421274B2/ja not_active Expired - Fee Related
- 2008-10-15 EP EP08838700.6A patent/EP2145406B1/en not_active Not-in-force
- 2008-10-15 US US12/451,379 patent/US8199720B2/en not_active Expired - Fee Related
- 2008-10-15 WO PCT/KR2008/006074 patent/WO2009051400A2/en active Application Filing
- 2008-10-15 CN CN200880112063.9A patent/CN101828343B/zh not_active Expired - Fee Related
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7089009B1 (en) * | 1998-10-19 | 2006-08-08 | Nortel Networks Limited | Method and apparatus for setting up a communication with a target base station in a cellular or cordless mobile telecommunications system |
Non-Patent Citations (1)
| Title |
|---|
| Subir Das等.Technical Requirements document for MIH Security.《IEEE 802.21 MIHO》.2007,第4页,第5页1.3.1节-第7页最后1段,图1. * |
Also Published As
| Publication number | Publication date |
|---|---|
| EP2145406A2 (en) | 2010-01-20 |
| WO2009051400A3 (en) | 2009-06-11 |
| JP5421274B2 (ja) | 2014-02-19 |
| US8199720B2 (en) | 2012-06-12 |
| CN101828343A (zh) | 2010-09-08 |
| EP2145406A4 (en) | 2011-04-13 |
| JP2011501554A (ja) | 2011-01-06 |
| WO2009051400A2 (en) | 2009-04-23 |
| KR101467780B1 (ko) | 2014-12-03 |
| US20100091733A1 (en) | 2010-04-15 |
| EP2145406B1 (en) | 2018-08-29 |
| KR20090039585A (ko) | 2009-04-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101828343B (zh) | 用于异构无线接入网间切换的方法 | |
| US8638936B2 (en) | Security protected non-access stratum protocol operation supporting method in a mobile telecommunication system | |
| CN100512538C (zh) | 安全域内和域间切换 | |
| US8908863B2 (en) | Method, network element, and mobile station for negotiating encryption algorithms | |
| EP2624522B1 (en) | Enabling seamless offloading between wireless local-area networks in fixed mobile convergence systems | |
| CN101212798B (zh) | 支持快速切换的预认证方法 | |
| EP1757139B1 (en) | Method of preventing or limiting the number of simultaneous sessions in wireless local area network (wlan) | |
| EP1775972A1 (en) | Communication handover method, communication message processing method, and communication control method | |
| CN101102600B (zh) | 在不同移动接入系统中切换时的密钥处理方法 | |
| CN102348206B (zh) | 密钥隔离方法和装置 | |
| CN101411115A (zh) | 用于在接入系统间切换期间优化验证过程的系统和方法 | |
| CN102006646A (zh) | 一种切换方法和切换设备 | |
| US8407474B2 (en) | Pre-authentication method, authentication system and authentication apparatus | |
| CN103402201A (zh) | 一种基于预认证的WiFi-WiMAX异构无线网络认证方法 | |
| CN102111761A (zh) | 密钥管理方法及设备 | |
| KR100729725B1 (ko) | 무선 휴대 인터넷 시스템에서 인증 방법 및 그 인증 시스템 | |
| Liu et al. | The untrusted handover security of the S-PMIPv6 on LTE-A | |
| CN101483864B (zh) | 移动台标识的分发方法、系统和基站 | |
| Rajeswari | Enhanced fast iterative localized re-authentication protocol for UMTS-WLAN interworking | |
| Kwon et al. | Fast authentication scheme with MIH for inter-domain vertical handover | |
| Park et al. | Secure and seamless handoff scheme for a wireless LAN system | |
| KR20070081393A (ko) | 확장 가능 인증 프로토콜 방식을 사용하는 통신 시스템에서핸드오버 시스템 및 방법 | |
| Han et al. | Enhancing Security for Vertical Handoff in SARAH under the Heterogeneous Networks |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20140402 Termination date: 20181015 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |