CN101998389A - 一种密钥生成和分发的方法和系统 - Google Patents
一种密钥生成和分发的方法和系统 Download PDFInfo
- Publication number
- CN101998389A CN101998389A CN200910169022XA CN200910169022A CN101998389A CN 101998389 A CN101998389 A CN 101998389A CN 200910169022X A CN200910169022X A CN 200910169022XA CN 200910169022 A CN200910169022 A CN 200910169022A CN 101998389 A CN101998389 A CN 101998389A
- Authority
- CN
- China
- Prior art keywords
- key
- wimax
- network
- wifi network
- terminal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Mobile Radio Communication Systems (AREA)
Abstract
本发明公开了一种密钥生成和分发的方法和系统,所述密钥生成和分发的方法包括:当终端通过WiFi网络接入到WiMAX核心网时,在接入鉴权的过程中,终端与WiMAX核心网的AAA服务器之间产生WiFi网络的MSK和EMSK;所述AAA服务器将MSK,以及EMSK衍生的密钥下发到WiFi网络的鉴权器。本发明克服了从互通单元到WiMAX核心网的网关之间的移动IP通道将因为缺少用户鉴权的密钥而无法建立的问题,保证了整个网络中的数据通讯的安全,而且保证了用户业务的连续性。
Description
技术领域
本发明涉及WiMAX网络与WiFi网络技术,尤其涉及一种WiMAX和WiFi互通中密钥生成和分发的方法和系统。
背景技术
全球微波接入互操作性(WiMAX,World Interoperability for MicrowaveAccess)是基于IEEE 802.16标准的宽带无线接入技术,能够有效地利用有限的无线频谱资源而提供较大的空口带宽(最高70Mbps的数据传输能力)和更广的传输覆盖范围(无线信号传输距离最远可达50公里)。WiFi(Wireless Fidelity,无线保真)网络也是能够提供较高带宽的无线网络,目前已经在办公室、家庭和宾馆等场所大量部署。但是WiFi作为一种短距离无线技术,其网络覆盖范围较小(约100米左右),一般只能作为其它无线技术组网的补充。不过WiFi网络具有建网费用低、易部署等优点,而WiMAX如果建成覆盖全国的网络,其投资成本将非常高,因此WiFi和WiMax网络将在相当长时期内共存。考虑到WiMAX作为一种无线城域网技术,它可以将Wi-Fi热点连接到互联网。WiMAX与WiFi两种网络的互通将有助于两个网络的优势互补,并扩大覆盖范围,让移动用户在不同的无线接入网络环境中,更广泛的地理范围内既能利用两个网络各自不同的特性,又能获得一致的业务访问。
WiMAX系统与WiFi系统之间的网络互通有助于两个网络的优势互补,扩大网络的覆盖范围,让移动终端在不同的无线接入网络环境中,利用两个网络各自不同的特性,获得一致的业务访问。图1是终端(User Equipment,用户设备,简称为UE)处于非漫游情况下通过WiMAX接入服务网络以及通过WiFi网络接入WiMAX核心网(即图中的WiMAX连接服务网络)的结构框图,包含下列网元:
互通单元(Interworking Function,简称为IWK):位于WiMAX网络,负责终端通过WiFi网络初始接入WiMAX网络、协调WiMAX与WiFi网络之间的切换。
接入点(Access Point,简称为AP):位于WiFi网络,是一个具备无线信号发射功能的集线器,它可为多台无线上网设备提供对话汇接。相当于有线网络中的集线器或交换机。
接入控制器(Access Controller,简称AC):位于WiFi网络,在WiFi与Internet之间起到网关功能,将来自不同AP的数据进行汇聚、接入Internet。AC作为客户端可以通过网络标志来为用户完成接入鉴权和认证等。
WiFi信令转发单元(WiFi Signal Forward Function,简称WiFi SFF):是一个在WiMAX网络中,负责转发WiFi信令的网元。具体实现可能位于WiFi网络或者独立于WiMAX和WiFi网络。
WiMAX信令转发单元(WiMAX Signal Forward Function,简称WiMAXSFF):是一个在WiFi网络中,负责转发WiMAX信令的网元。具体实现可能位于WiMAX网络或者独立于WiMAX和WiFi网络。
目前基于IEEE 802.11系列标准的WiFi网络只保证空口安全,即只产生设备鉴权的相关密钥,而基于IEEE 802.16系列标准的WiMAX网络需要保证空口和用户安全,即需要产生设备鉴权和用户鉴权的相关密钥。当用户通过终端从WiFi网络接入WiMAX核心网使用WiMAX业务时,从互通单元到WiMAX核心网的网关(即家乡代理或本地移动代理)之间的移动IP通道将因为缺少用户鉴权的密钥而无法建立。
另外,当用户从WiMAX网络切换到WiFi网络的时候,WiFi网络的鉴权器发起用户的接入鉴权的过程中,新产生的密钥会造成原有WiMAX网络中的密钥失效,从而造成用户业务的中断。
发明内容
本发明要解决的技术问题就是提出一种WiMAX和WiFi互通中密钥生成和分发的方法和系统,克服终端通过WiFi网络接入WiMAX核心网时,从互通单元到WiMAX核心网的网关之间的移动IP通道将因为缺少用户鉴权的密钥而无法建立的问题。
本发明解决的另一个技术问题就是:克服当用户从WiMAX网络切换到WiFi网络的时候,新产生的密钥造成原有WiMAX网络中的密钥失效,从而造成用户业务的中断的问题。
为了解决上述技术问题,本发明提供一种WiMAX和WiFi互通中密钥生成的方法,包括:
当终端通过无线保真(WiFi)网络接入到全球微波接入互操作性(WiMAX)核心网时,在接入鉴权的过程中,终端与WiMAX核心网的鉴权授权计费(AAA)服务器之间产生WiFi网络的主会话密钥(MSK)和扩展主会话密钥(EMSK)。
为了解决上述技术问题,本发明提供一种WiMAX和WiFi互通中密钥生成和分发的方法,包括:
当终端通过WiFi网络接入到WiMAX核心网时,在接入鉴权的过程中,终端与WiMAX核心网的AAA服务器之间产生WiFi网络的MSK和EMSK;
所述AAA服务器将MSK,以及EMSK衍生的密钥下发到WiFi网络的鉴权器。
进一步地,上述方法还可具有以下特点:
所述AAA服务器将MSK,以及EMSK衍生的密钥下发到WiFi网络的鉴权器的步骤具体包括:
所述AAA服务器将MSK,以及EMSK衍生的密钥下发给互通单元;
所述互通单元将所述MSK,以及EMSK衍生的密钥转发给WiFi网络的鉴权器。
进一步地,上述方法还可具有以下特点:
所述AAA服务器将MSK,以及EMSK衍生的密钥下发到WiFi网络的鉴权器之后,当终端发起代理移动IP(PMIP)注册时,所述WiFi网络的鉴权器将PMIP注册所需的EMSK衍生的密钥传递给互通单元,,用于互通单元与WiMAX核心网的网关之间的移动IP通道的用户鉴权。
进一步地,上述方法还可具有以下特点:
针对同一个签约用户,所述终端、WiMAX核心网的AAA服务器和网关均支持两套密钥,一套密钥用于当前会话,一套密钥用于即将开始的下次会话。
进一步地,上述方法还可具有以下特点:
所述两套密钥中,每套密钥均包含MSK和EMSK;
所述两套密钥中,一套密钥为WiMAX网络的密钥,另外一套密钥为WiFi网络的密钥。
进一步地,上述方法还可具有以下特点:
所述终端通过WiFi网络接入WiMAX核心网具体为:
终端从WiFi网络初始接入WiMAX核心网,或者,终端从WiMAX网络切换到WiFi网络。
进一步地,上述方法还可具有以下特点:
所述终端从WiMAX网络切换到WiFi网络时,接入鉴权过程中,终端与WiMAX核心网的AAA服务器之间产生WiFi网络的一套密钥,并保留当前的WiMAX网络的一套密钥,以及,在切换过程中,所述终端、WiMAX核心网的AAA服务器和网关同时使用所述WiFi网络的一套密钥和WiMAX网络的一套密钥,用于使用户业务不中断。
进一步地,上述方法还可具有以下特点:
所述WiFi网络的鉴权器通过动态主机控制协议(DHCP)消息将EMSK衍生的密钥传递给互通单元,所述DHCP消息为:DHCP发现消息或DHCP请求消息或DHCP通知消息。
进一步地,上述方法还可具有以下特点:
所述PMIP分为PMIPv4和PMIPv6,
在PMIPv4场景下,EMSK衍生密钥包括MN-HA,MN-FA,FA-HA和SPI-PMIPv4;
PMIPv6场景下,EMSK衍生密钥包括MAG-LMA-PMIP6。
进一步地,上述方法还可具有以下特点:
所述核心网的网关为家乡代理或本地移动代理。
为了解决上述技术问题,本发明提供一种WiMAX和WiFi互通中密钥生成和分发的系统,包括:终端、WiMAX核心网的AAA服务器和WiFi网络的鉴权器,
所述终端用于通过WiFi网络接入到WiMAX核心网时,在接入鉴权的过程中,与WiMAX核心网的AAA服务器之间产生WiFi网络的MSK和EMSK;
所述WiMAX核心网的AAA服务器用于与终端之间产生WiFi网络的MSK和EMSK,并将MSK,以及EMSK衍生的密钥下发到WiFi网络的鉴权器。
进一步地,上述系统还可具有以下特点:
所述系统还包括互通单元,
所述AAA服务器进一步用于将MSK,以及EMSK衍生的密钥下发给互通单元;
所述互通单元进一步用于将所述MSK,以及EMSK衍生的密钥转发给WiFi网络的鉴权器。
进一步地,上述系统还可具有以下特点:
所述WiFi网络的鉴权器进一步用于当终端发起PMIP注册时,将PMIP注册所需的EMSK衍生的密钥传递给互通单元;
所述互通单元进一步用于将PMIP注册所需的EMSK衍生的密钥用于与WiMAX核心网的网关之间的移动IP通道的用户鉴权。
进一步地,上述系统还可具有以下特点:
所述系统还包括WiMAX核心网的网关;
所述终端进一步用于从WiMAX网络切换到WiFi网络时,接入鉴权过程中,终端与WiMAX核心网的AAA服务器之间产生WiFi网络的一套密钥,并保留当前的WiMAX网络的一套密钥,在切换过程中,同时使用所述WiFi网络的一套密钥和WiMAX网络的一套密钥;
所述WiMAX核心网的AAA服务器进一步用于终端从WiMAX网络切换到WiFi网络时,接入鉴权过程中,与终端之间产生WiFi网络的一套密钥,并保留当前的WiMAX网络的一套密钥,在切换过程中,同时使用所述WiFi网络的一套密钥和WiMAX网络的一套密钥;
所述WiMAX核心网的网关进一步用于在切换过程中,同时使用所述WiFi网络的一套密钥和WiMAX网络的一套密钥。
本发明通过终端与WiMAX核心网的AAA(Authentication,Authorizationand Accounting,鉴权授权计费)服务器之间产生WiFi网络的EMSK(Extended Master Session Key,扩展主会话密钥),并将EMSK衍生的密钥传递给互通单元,克服了从互通单元到WiMAX核心网的网关之间的移动IP通道将因为缺少用户鉴权的密钥而无法建立的问题。保证了整个网络中的数据通讯的安全;而且,终端、WiMAX核心网的AAA服务器和网关均支持两套密钥,使得互通网络环境下新产生的密钥不会造成当前密钥过期,保证了用户业务的连续性。
附图说明
图1是非漫游场景下,WiFi和WiMAX互通网络的参考网络架构;
图2是本发明实施例的密钥生成和分发的方法流程图。
图3是应用实例一终端从WiFi初始入网场景下的示意图。
图4是应用实例二终端从WiMAX网络切换到WiFi网络场景下的示意图。
具体实施方式
在本发明中,当终端通过WiFi网络接入到WiMAX核心网时,在接入鉴权的过程中,终端与WiMAX核心网的AAA服务器之间产生WiFi网络的MSK和EMSK;所述AAA服务器将MSK,以及EMSK衍生的密钥下发到WiFi网络的鉴权器;所述WiFi网络的鉴权器将所述MSK用于空口鉴权;当终端发起PMIP(Proxy Mobile IP,代理移动IP)注册时,所述WiFi网络的鉴权器将PMIP注册所需的EMSK衍生的密钥传递给互通单元,用于互通单元与WiMAX核心网的网关之间的移动IP通道的用户鉴权;
另外,针对同一个签约用户,所述终端、WiMAX核心网的AAA服务器和网关从仅支持一套密钥扩展为支持两套密钥,一套密钥用于当前会话,一套密钥用于即将开始的下次会话,使互通网络环境下新产生的密钥不会造成当前密钥过期。
具体地,所述终端从WiMAX网络切换到WiFi网络时,接入鉴权过程中,终端与WiMAX核心网的AAA服务器之间产生WiFi网络的一套密钥,并保留当前的WiMAX网络的一套密钥,以及,在切换过程中,所述终端、WiMAX核心网的AAA服务器和网关同时使用所述WiFi网络的一套密钥和WiMAX网络的一套密钥,用于使用户业务不中断。
这样,当终端从WiMAX网络切换到WiFi网络的时候,终端与AAA服务器将在预鉴权流程中保留用于当前会话的WiMAX密钥的同时,完成WiFi网络的MSK和EMSK的产生和分发。
下面结合附图及具体实施例对本发明进行详细说明。
如图2所示,本发明实施例的WiMAX和WiFi互通中密钥生成和分发的方法,该方法包括:
步骤201:终端和WiMAX AAA服务器和网关对于同一个签约用户由支持单套密钥扩展为支持两套密钥,一套用于当前会话,一套用于即将开始的下次会话。
两套密钥中,每套密钥均包含MSK和EMSK,一套密钥为WiMAX网络的密钥,另外一套密钥为WiFi网络的密钥。
在PMIPv4场景下,WiMAX核心网网关为家乡代理;在PMIPv6场景下,核心网网关为本地移动代理。
步骤202:终端通过WiFi网络接入到WiMAX核心网时,在接入鉴权的过程中,终端和WiMAX核心网AAA服务器之间产生WiFi网络的MSK和EMSK,其中AAA服务器将产生的WiFi网络的MSK,以及EMSK衍生出的密钥通过接入接受消息下发到互通单元,互通单元随后通过接入接受消息将MSK和EMSK衍生的密钥转发到鉴权器上。
终端通过WiFi网络接入WiMAX核心网具体可以是:终端从WiFi网络初始接入WiMAX核心网,或者,终端从WiMAX网络切换到WiFi网络。
终端从WiFi网络初始接入WiMAX核心网,则接入鉴权为初始接入鉴权;
终端从WiMAX网络切换到WiFi网络,则接入鉴权为接入预鉴权。
其中,如果终端发起的是接入预鉴权,这说明终端是出于切换状态,当终端从WiMAX向WiFi切换的时候,虽然WiMAX网络鉴权器不支持预切换,但本次会话中与密钥相关的仅仅为终端、WiFi鉴权器、互通单元、家乡代理和WiMAX AAA服务器,因此在保持WiMAX网络中的密钥外,在WiFi网络中重新生成一套密钥用于保护WiFi空口(MSK),WiFi到WiMAX的安全(EMSK)也不会对WiMAX中的当前会话产生影响。
如果终端发起的是接入预鉴权,且终端从WiFi向WiMAX切换,由于WiFi网络本身支持预切换(终端、鉴权器),即能够同时使用两套密钥(即当前密钥和下次密钥),仅仅需要WiMAX AAA和HA支持,WiMAX网络即可重新生成一套密钥而不影响WiFi的当前会话。
步骤203:当终端发起移动IP注册的时候,鉴权器根据接收到的EMSK衍生的密钥进一步产生PMIP注册所需的EMSK衍生的密钥,并将PMIP注册所需的EMSK衍生的密钥通过DHCP(Dynamic Host ConfigurationProtocol,动态主机控制协议)消息从WiFi接入网发给互通单元。
与传统WiFi网络不同,此WiFi网络的鉴权器需要能够处理EMSK衍生出的密钥,并能够修改从终端发出的DHCP消息,从而将EMSK的衍生密钥包含在DHCP消息发送到互通单元。类似的,WiMAX AAA需要能够支持预鉴权,即支持两套密钥,从而当通过WiFi接入WiMAX的时候新产生的密钥不会对WiMAX中的当前会话所使用的用户鉴权密钥(EMSK)产生影响。
图3示例了终端通过WiFi网络初始入网场景下的密钥的生成和分发的实施例。
步骤301,终端和WiFi网络网元之间的物理层和MAC层的建立;
步骤302,终端与WiFi网络进行802.11关联;
步骤303-304,终端发起WiFi网络的接入鉴权,采用802.1x协议定义的EAPoL(Extensible Authentication Protocol over LAN,基于局域网的可扩展鉴权协议)技术。
步骤305,互通单元会将EAPoL消息转化为EAP(ExtensibleAuthentication Protocol,可扩展鉴权协议)消息,同时终端和AAA服务器之间会在此EAP鉴权接入过程中产生WiFi MSK和EMSK密钥。
步骤306,此步骤属于步骤305中的一个子步骤,AAA服务器会将WiFIMSK和EMSK衍生出的密钥,即MN-HA(Mobile Node-Home Agent,终端-家乡代理密钥),SPI-PMIPv4(Security Parameters Index-Proxy MobileIPv4,代理移动IPv4安全索引),HA-RK(Home Agent-Root Key,家乡代理根密钥),FA-RK(Foreign Agent-Root Key,外部代理根密钥)(MIPv6场景下为PMIP6-RK(Proxy Mobile IPv6-Root Key,代理移动IPv6根密钥)),发送给互通单元,互通单元随后将这些密钥转发给WiFi接入网中的鉴权器。
步骤307-309,终端与WiFi网元之间使用MSK生成密钥PMK(PairwiseMaster Key,成对主密钥),并通过四次握手产生密钥PTK(Pairwise TemporalKey,成对临时密钥)。
步骤310,终端使用DHCP发现消息触发移动IP注册过程。
步骤311,WiFi接入网中的鉴权器会在DHCP发现消息中插入MN-HA、MN-FA(Mobile Node-Foreign Agent,终端-外部代理密钥),FA-HA(ForeignAgent-Home Agent,外部代理-家乡代理密钥)和SPI-PMIPv4(MIPv6场景下为MAG-LMA-PMIP6(Mobile Access Gateway-Local Mobility Agent-ProxyMobile IPv6,移动接入网关-本地移动代理-代理移动IPv6密钥)),并将此消息发送给互通单元中的PMIP-Client和FA(MIPv6场景下为MAG)。其中,MN-FA根据FA-RK生成,MAG-LMA-PMIP6根据PMIP6-RK生成,FA-HA根据HA-RK生成。
步骤312,互通单元在RRQ(移动IP注册请求)(或PBU(代理绑定响应))消息中包含MN-HA AE(MN-HA Authentication Extension,终端-家乡代理鉴权扩展),FA-HA AE(Foreign Agent-Home Agent AuthenticationExtension,外部代理-家乡代理鉴权扩展)和SPI-PMIP等密钥(MIPv6场景下为MN-HA AO和SPI),最后发送给家乡代理/本地移动代理。
步骤313,家乡代理/本地移动代理会在接入请求消息中携带NAI和MN-HA SPI,并到AAA服务器上面去做验证。
步骤314,AAA服务器将MN-HA和HA-RK(MIPv6场景下为PMIP6-RK)包含在接入接受消息中发送给家乡代理/本地移动代理。
步骤315,家乡代理/本地移动代理将MN-HA AE和FA-HA AE(MIPv6场景下为MN-HA AO)包含在接入接受消息中发送给互通网元,同时该消息携带终端的IP地址。另外,PMIP通道也在这个步骤中被建立。
步骤316,互通网元将DHCP提供消息中发送给WiFi网络的鉴权器。
步骤317-319,终端通过DHCP消息完成终端的IP地址获取。
步骤320,终端发起业务建立并建立WiFi的上下行业务流,此业务流使用WiFi MSK和EMSK保护。
图4示例了终端从WiMAX网络切换到WiFi网络的场景中,密钥的生成和分发的实施例。
步骤401,终端在WiMAX网络中接入鉴权流程,在此流程中,AAA服务器会在接入接受消息中将WiFi信令转发功能的地址信息发送给接入服务网关;
步骤402-403,终端发起DHCP过程获取WiFi信令转发功能的地址;
步骤404,终端通过WiFi信令转发功能从WiFi网络做EAP预鉴权,采用的技术为基于802.1x的EAPoL。
步骤405,互通单元会将EAPoL消息转化为EAP消息,同时终端和AAA服务器之间会在此EAP预鉴权接入过程中保留WiMAX密钥的同时产生WiFi网络的MSK和EMSK密钥。
步骤406,此步骤属于步骤405中的一个子步骤,AAA服务器会将WiFiMSK和EMSK衍生出的密钥,即MN-HA,SPI-PMIPv4,HA-RK,FA-RK(PMIPv6场景下为PMIP6-RK),发送给互通单元,互通单元随后将这些密钥转发给WiFi接入网中的鉴权器。
步骤407-412,终端与WiFi网元之间使用MSK生成密钥PMK(PairwiseMaster Key,成对主密钥),并通过四次握手产生密钥PTK(Pairwise TemporalKey,成对临时密钥)。
步骤413,终端使用DHCP发现消息触发移动IP注册过程。
步骤414,WiFi接入网中的鉴权器会在DHCP发现消息中插入MN-HA、MN-FA、FA-HA和SPI-PMIPv4(MIPv6场景下为MAG-LMA-PMIP6),并将此消息发送给互通单元中的PMIP-Client和FA(MIPv6场景下为MAG)。
步骤415,互通单元在RRQ(或PBU)消息中包含MN-HA AE,FA-HA AE和SPI-PMIP(MIPv6场景下为MN-HA AO和SPI)等密钥,最后发送给家乡代理/本地移动代理。
步骤416,家乡代理/本地移动代理会在接入请求消息中携带NAI和MN-HA SPI,并到AAA服务器上面去做验证。
步骤417,AAA服务器将MN-HA和HA-RK(MIPv6场景下为PMIP6-RK)包含在接入接受消息中发送给家乡代理/本地移动代理。
步骤418,家乡代理/本地移动代理将MN-HA AE和FA-HA AE(MIPv6场景下为MN-HA AO)包含在接入接受消息中发送给互通网元,同时该消息携带终端的IP地址。另外,PMIP通道也在这个步骤中被建立。
步骤419,互通网元将DHCP提供消息中发送给WiFi网络的鉴权器。
步骤420-422,终端通过DHCP消息完成终端的IP地址获取。
步骤423,终端发起业务建立并建立WiFi的上下行业务流,此业务流使用WiFi MSK和EMSK保证安全。
步骤424,WiMAX网络中的空口和网络资源会被释放掉,同时新的密钥,即WiFi MSK和EMSK将直接取代网络中原有的密钥WiMAX MSK和EMSK,原有密钥将被注销。
上述应用实例中,除了DHCP发现消息,也可以使用DHCP请求和DHCP通知消息,但对应的返回消息仅为DHCP响应消息(即318,319和421,422不再出现,此为现有技术)。
上述应用实例中,各种衍生密钥的构造方法为现有技术,此处不再详述。
本发明实施例的WiMAX和WiFi互通中密钥生成和分发的系统,包括:终端、WiMAX核心网的AAA服务器、WiMAX核心网的网关、互通单元和WiFi网络的鉴权器,
所述终端用于通过WiFi网络接入到WiMAX核心网时,在接入鉴权的过程中,与WiMAX核心网的AAA服务器之间产生WiFi网络的MSK和EMSK;
所述WiMAX核心网的AAA服务器用于与终端之间产生WiFi网络的MSK和EMSK,并将MSK,以及EMSK衍生的密钥下发到WiFi网络的鉴权器。
所述AAA服务器进一步用于将MSK,以及EMSK衍生的密钥下发给互通单元;所述互通单元进一步用于将所述MSK,以及EMSK衍生的密钥转发给WiFi网络的鉴权器。
所述WiFi网络的鉴权器进一步用于当终端发起PMIP注册时,将PMIP注册所需的EMSK衍生的密钥传递给互通单元;所述互通单元进一步用于将PMIP注册所需的EMSK衍生的密钥用于与WiMAX核心网的网关之间的移动IP通道的用户鉴权。
所述终端进一步用于从WiMAX网络切换到WiFi网络时,接入鉴权过程中,终端与WiMAX核心网的AAA服务器之间产生WiFi网络的一套密钥,并保留当前的WiMAX网络的一套密钥,在切换过程中,同时使用所述WiFi网络的一套密钥和WiMAX网络的一套密钥;
所述WiMAX核心网的AAA服务器进一步用于终端从WiMAX网络切换到WiFi网络时,接入鉴权过程中,与终端之间产生WiFi网络的一套密钥,并保留当前的WiMAX网络的一套密钥,在切换过程中,同时使用所述WiFi网络的一套密钥和WiMAX网络的一套密钥;
所述WiMAX核心网的网关进一步用于在切换过程中,同时使用所述WiFi网络的一套密钥和WiMAX网络的一套密钥。
当然,本发明还可有其它多种实施例,在不背离本发明精神及其实质的情况下,熟悉本领域的技术人员当可根据本发明作出各种相应的改变和变形,但这些相应的改变和变形都应属于本发明所附的权利要求的保护范围。
Claims (15)
1.一种WiMAX和WiFi互通中密钥生成的方法,包括:
当终端通过无线保真(WiFi)网络接入到全球微波接入互操作性(WiMAX)核心网时,在接入鉴权的过程中,终端与WiMAX核心网的鉴权授权计费(AAA)服务器之间产生WiFi网络的主会话密钥(MSK)和扩展主会话密钥(EMSK)。
2.一种WiMAX和WiFi互通中密钥生成和分发的方法,包括:
当终端通过WiFi网络接入到WiMAX核心网时,在接入鉴权的过程中,终端与WiMAX核心网的AAA服务器之间产生WiFi网络的MSK和EMSK;
所述AAA服务器将MSK,以及EMSK衍生的密钥下发到WiFi网络的鉴权器。
3.如权利要求2所述的方法,其特征在于,
所述AAA服务器将MSK,以及EMSK衍生的密钥下发到WiFi网络的鉴权器的步骤具体包括:
所述AAA服务器将MSK,以及EMSK衍生的密钥下发给互通单元;
所述互通单元将所述MSK,以及EMSK衍生的密钥转发给WiFi网络的鉴权器。
4.如权利要求2所述的方法,其特征在于,
所述AAA服务器将MSK,以及EMSK衍生的密钥下发到WiFi网络的鉴权器之后,当终端发起代理移动IP(PMIP)注册时,所述WiFi网络的鉴权器将PMIP注册所需的EMSK衍生的密钥传递给互通单元,,用于互通单元与WiMAX核心网的网关之间的移动IP通道的用户鉴权。
5.如权利要求2~4中任意一项所述的方法,其特征在于,
针对同一个签约用户,所述终端、WiMAX核心网的AAA服务器和网关均支持两套密钥,一套密钥用于当前会话,一套密钥用于即将开始的下次会话。
6.如权利要求5所述的方法,其特征在于,
所述两套密钥中,每套密钥均包含MSK和EMSK;
所述两套密钥中,一套密钥为WiMAX网络的密钥,另外一套密钥为WiFi网络的密钥。
7.如权利要求5所述的方法,其特征在于,
所述终端通过WiFi网络接入WiMAX核心网具体为:
终端从WiFi网络初始接入WiMAX核心网,或者,终端从WiMAX网络切换到WiFi网络。
8.如权利要求7所述的方法,其特征在于,
所述终端从WiMAX网络切换到WiFi网络时,接入鉴权过程中,终端与WiMAX核心网的AAA服务器之间产生WiFi网络的一套密钥,并保留当前的WiMAX网络的一套密钥,以及,在切换过程中,所述终端、WiMAX核心网的AAA服务器和网关同时使用所述WiFi网络的一套密钥和WiMAX网络的一套密钥,用于使用户业务不中断。
9.如权利要求4所述的方法,其特征在于,
所述WiFi网络的鉴权器通过动态主机控制协议(DHCP)消息将EMSK衍生的密钥传递给互通单元,所述DHCP消息为:DHCP发现消息或DHCP请求消息或DHCP通知消息。
10.如权利要求4所述的方法,其特征在于,
所述PMIP分为PMIPv4和PMIPv6,
在PMIPv4场景下,EMSK衍生密钥包括MN-HA,MN-FA,FA-HA和SPI-PMIPv4;
PMIPv6场景下,EMSK衍生密钥包括MAG-LMA-PMIP6。
11.如权利要求4所述的方法,其特征在于,
所述核心网的网关为家乡代理或本地移动代理。
12.一种WiMAX和WiFi互通中密钥生成和分发的系统,包括:终端、WiMAX核心网的AAA服务器和WiFi网络的鉴权器,其特征在于,
所述终端用于通过WiFi网络接入到WiMAX核心网时,在接入鉴权的过程中,与WiMAX核心网的AAA服务器之间产生WiFi网络的MSK和EMSK;
所述WiMAX核心网的AAA服务器用于与终端之间产生WiFi网络的MSK和EMSK,并将MSK,以及EMSK衍生的密钥下发到WiFi网络的鉴权器。
13.如权利要求12所述的系统,其特征在于,所述系统还包括互通单元,
所述AAA服务器进一步用于将MSK,以及EMSK衍生的密钥下发给互通单元;
所述互通单元进一步用于将所述MSK,以及EMSK衍生的密钥转发给WiFi网络的鉴权器。
14.如权利要求13所述的系统,其特征在于,
所述WiFi网络的鉴权器进一步用于当终端发起PMIP注册时,将PMIP注册所需的EMSK衍生的密钥传递给互通单元;
所述互通单元进一步用于将PMIP注册所需的EMSK衍生的密钥用于与WiMAX核心网的网关之间的移动IP通道的用户鉴权。
15.如权利要求12所述的系统,其特征在于,所述系统还包括WiMAX核心网的网关;
所述终端进一步用于从WiMAX网络切换到WiFi网络时,接入鉴权过程中,终端与WiMAX核心网的AAA服务器之间产生WiFi网络的一套密钥,并保留当前的WiMAX网络的一套密钥,在切换过程中,同时使用所述WiFi网络的一套密钥和WiMAX网络的一套密钥;
所述WiMAX核心网的AAA服务器进一步用于终端从WiMAX网络切换到WiFi网络时,接入鉴权过程中,与终端之间产生WiFi网络的一套密钥,并保留当前的WiMAX网络的一套密钥,在切换过程中,同时使用所述WiFi网络的一套密钥和WiMAX网络的一套密钥;
所述WiMAX核心网的网关进一步用于在切换过程中,同时使用所述WiFi网络的一套密钥和WiMAX网络的一套密钥。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200910169022XA CN101998389A (zh) | 2009-09-08 | 2009-09-08 | 一种密钥生成和分发的方法和系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200910169022XA CN101998389A (zh) | 2009-09-08 | 2009-09-08 | 一种密钥生成和分发的方法和系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN101998389A true CN101998389A (zh) | 2011-03-30 |
Family
ID=43787771
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN200910169022XA Pending CN101998389A (zh) | 2009-09-08 | 2009-09-08 | 一种密钥生成和分发的方法和系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101998389A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107683615A (zh) * | 2014-05-05 | 2018-02-09 | 瑞典爱立信有限公司 | 保护twag和ue之间的wlcp消息交换 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101079786A (zh) * | 2006-05-26 | 2007-11-28 | 华为技术有限公司 | 互连系统、互连系统中的认证方法和终端 |
| CN101212798A (zh) * | 2006-12-26 | 2008-07-02 | 中兴通讯股份有限公司 | 支持快速切换的预认证过程 |
| CN101366292A (zh) * | 2006-01-09 | 2009-02-11 | 思科技术公司 | 双模式wimax/wifi台站的无缝漫游 |
| WO2009084864A1 (en) * | 2007-12-31 | 2009-07-09 | Lg Electronics Inc. | Method for inter rat handover |
-
2009
- 2009-09-08 CN CN200910169022XA patent/CN101998389A/zh active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101366292A (zh) * | 2006-01-09 | 2009-02-11 | 思科技术公司 | 双模式wimax/wifi台站的无缝漫游 |
| CN101079786A (zh) * | 2006-05-26 | 2007-11-28 | 华为技术有限公司 | 互连系统、互连系统中的认证方法和终端 |
| CN101212798A (zh) * | 2006-12-26 | 2008-07-02 | 中兴通讯股份有限公司 | 支持快速切换的预认证过程 |
| WO2009084864A1 (en) * | 2007-12-31 | 2009-07-09 | Lg Electronics Inc. | Method for inter rat handover |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107683615A (zh) * | 2014-05-05 | 2018-02-09 | 瑞典爱立信有限公司 | 保护twag和ue之间的wlcp消息交换 |
| US11490252B2 (en) | 2014-05-05 | 2022-11-01 | Telefonaktiebolaget Lm Ericsson (Publ) | Protecting WLCP message exchange between TWAG and UE |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102687537B (zh) | 媒体无关切换协议的安全 | |
| Buddhikot et al. | Design and implementation of a WLAN/CDMA2000 interworking architecture | |
| US8549293B2 (en) | Method of establishing fast security association for handover between heterogeneous radio access networks | |
| US10165608B2 (en) | System and method to provide fast mobility in a residential Wi-Fi network environment | |
| WO2008034357A1 (en) | Method and system for capwap intradomain authentication using 802.11r | |
| CN104247505A (zh) | 用于利用anqp服务器能力增强andsf的系统和方法 | |
| US20130104207A1 (en) | Method of Connecting a Mobile Station to a Communcations Network | |
| US11490252B2 (en) | Protecting WLCP message exchange between TWAG and UE | |
| JP2017538345A (ja) | 方法、装置およびシステム | |
| WO2014063530A1 (zh) | 移动用户固网的接入方法及系统 | |
| CN102026163A (zh) | 通过无线保真技术接入网选择接入因特网的方法及装置 | |
| US8571211B2 (en) | Method and apparatus for generating security key in a mobile communication system | |
| CN103384365A (zh) | 一种网络接入方法、业务处理方法、系统及设备 | |
| CN102026190B (zh) | 异构无线网络快速安全切换方法 | |
| US20100118774A1 (en) | Method for changing radio channels, composed network and access router | |
| Cao et al. | Seamless and secure communications over heterogeneous wireless networks | |
| CN101730040B (zh) | 跨网络切换会话绑定的方法和WiMAX连接业务网 | |
| CN102098671B (zh) | 鉴权方法及系统 | |
| CN104349317A (zh) | 一种移动网络的接入方法、ue、安全服务网关和系统 | |
| CN101938735B (zh) | 终端通过WiFi网络接入WiMAX核心网的方法及互通网络 | |
| CN101998389A (zh) | 一种密钥生成和分发的方法和系统 | |
| WO2024145946A1 (en) | Apparatus, method, and computer program | |
| CN101998569A (zh) | 用于WiMAX与WiFi的网络互通方法、系统及IWK | |
| Manjaragi et al. | Survey of Security Models in Heterogeneous Wireless Networks | |
| KR20150034147A (ko) | IPSec 프로토콜을 통해 서비스 정보를 제공하는 네트워크 시스템 및 IPSec 프로토콜을 통해 서비스 정보를 전송하는 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20110330 |