CN1849840A - 安全域内和域间切换 - Google Patents
安全域内和域间切换 Download PDFInfo
- Publication number
- CN1849840A CN1849840A CNA2004800261627A CN200480026162A CN1849840A CN 1849840 A CN1849840 A CN 1849840A CN A2004800261627 A CNA2004800261627 A CN A2004800261627A CN 200480026162 A CN200480026162 A CN 200480026162A CN 1849840 A CN1849840 A CN 1849840A
- Authority
- CN
- China
- Prior art keywords
- access device
- communication
- mobile device
- new
- territory
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000004891 communication Methods 0.000 claims abstract description 290
- 238000010295 mobile communication Methods 0.000 claims abstract description 45
- 238000000034 method Methods 0.000 claims description 159
- 238000003860 storage Methods 0.000 claims description 7
- 238000012545 processing Methods 0.000 claims description 5
- 230000007246 mechanism Effects 0.000 claims description 4
- 238000004590 computer program Methods 0.000 claims description 3
- TVEXGJYMHHTVKP-UHFFFAOYSA-N 6-oxabicyclo[3.2.1]oct-3-en-7-one Chemical compound C1C2C(=O)OC1C=CC2 TVEXGJYMHHTVKP-UHFFFAOYSA-N 0.000 claims 2
- 230000008569 process Effects 0.000 description 18
- 238000012546 transfer Methods 0.000 description 14
- 238000005516 engineering process Methods 0.000 description 6
- 230000008901 benefit Effects 0.000 description 4
- 230000005540 biological transmission Effects 0.000 description 4
- 238000010586 diagram Methods 0.000 description 4
- 238000009826 distribution Methods 0.000 description 4
- 230000008859 change Effects 0.000 description 3
- 238000005314 correlation function Methods 0.000 description 3
- IRLPACMLTUPBCL-KQYNXXCUSA-N 5'-adenylyl sulfate Chemical compound C1=NC=2C(N)=NC=NC=2N1[C@@H]1O[C@H](COP(O)(=O)OS(O)(=O)=O)[C@@H](O)[C@H]1O IRLPACMLTUPBCL-KQYNXXCUSA-N 0.000 description 2
- 238000013475 authorization Methods 0.000 description 2
- 239000003795 chemical substances by application Substances 0.000 description 2
- 238000013461 design Methods 0.000 description 2
- 238000012423 maintenance Methods 0.000 description 2
- 230000001902 propagating effect Effects 0.000 description 2
- 238000011084 recovery Methods 0.000 description 2
- 102000036770 Islet Amyloid Polypeptide Human genes 0.000 description 1
- 108010041872 Islet Amyloid Polypeptide Proteins 0.000 description 1
- 241001417495 Serranidae Species 0.000 description 1
- PLOPBXQQPZYQFA-AXPWDRQUSA-N amlintide Chemical compound C([C@@H](C(=O)NCC(=O)N[C@@H](C)C(=O)N[C@@H]([C@@H](C)CC)C(=O)N[C@@H](CC(C)C)C(=O)N[C@@H](CO)C(=O)N[C@@H](CO)C(=O)N[C@@H]([C@@H](C)O)C(=O)N[C@@H](CC(N)=O)C(=O)N[C@@H](C(C)C)C(=O)NCC(=O)N[C@@H](CO)C(=O)N[C@@H](CC(N)=O)C(=O)N[C@@H]([C@@H](C)O)C(=O)N[C@@H](CC=1C=CC(O)=CC=1)C(N)=O)NC(=O)[C@H](CC(N)=O)NC(=O)[C@H](CC(N)=O)NC(=O)[C@H](CO)NC(=O)[C@H](CO)NC(=O)[C@H](CC=1NC=NC=1)NC(=O)[C@@H](NC(=O)[C@H](CC(C)C)NC(=O)[C@H](CC=1C=CC=CC=1)NC(=O)[C@H](CC(N)=O)NC(=O)[C@H](C)NC(=O)[C@H](CC(C)C)NC(=O)[C@H](CCCNC(N)=N)NC(=O)[C@H](CCC(N)=O)NC(=O)[C@@H](NC(=O)[C@H](C)NC(=O)[C@H]1NC(=O)[C@H]([C@@H](C)O)NC(=O)[C@H](C)NC(=O)[C@H]([C@@H](C)O)NC(=O)[C@H](CC(N)=O)NC(=O)[C@@H](NC(=O)[C@@H](N)CCCCN)CSSC1)[C@@H](C)O)C(C)C)C1=CC=CC=C1 PLOPBXQQPZYQFA-AXPWDRQUSA-N 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000007613 environmental effect Effects 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 238000003780 insertion Methods 0.000 description 1
- 230000037431 insertion Effects 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000006855 networking Effects 0.000 description 1
- 238000002360 preparation method Methods 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 238000005728 strengthening Methods 0.000 description 1
- 230000009466 transformation Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W36/00—Hand-off or reselection arrangements
- H04W36/0005—Control or signalling for completing the hand-off
- H04W36/0055—Transmission or use of information for re-establishing the radio link
- H04W36/0066—Transmission or use of information for re-establishing the radio link of control information between different types of networks in order to establish a new radio link in the target network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W36/00—Hand-off or reselection arrangements
- H04W36/24—Reselection being triggered by specific parameters
- H04W36/30—Reselection being triggered by specific parameters by measured or perceived connection quality data
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0869—Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W36/00—Hand-off or reselection arrangements
- H04W36/24—Reselection being triggered by specific parameters
- H04W36/30—Reselection being triggered by specific parameters by measured or perceived connection quality data
- H04W36/304—Reselection being triggered by specific parameters by measured or perceived connection quality data due to measured or perceived resources with higher communication quality
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W28/00—Network traffic management; Network resource management
- H04W28/16—Central resource management; Negotiation of resources or communication parameters, e.g. negotiating bandwidth or QoS [Quality of Service]
- H04W28/18—Negotiating wireless communication parameters
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W36/00—Hand-off or reselection arrangements
- H04W36/0005—Control or signalling for completing the hand-off
- H04W36/0011—Control or signalling for completing the hand-off for data sessions of end-to-end connection
- H04W36/0033—Control or signalling for completing the hand-off for data sessions of end-to-end connection with transfer of context information
- H04W36/0038—Control or signalling for completing the hand-off for data sessions of end-to-end connection with transfer of context information of security context information
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W36/00—Hand-off or reselection arrangements
- H04W36/0005—Control or signalling for completing the hand-off
- H04W36/0055—Transmission or use of information for re-establishing the radio link
- H04W36/0061—Transmission or use of information for re-establishing the radio link of neighbour cell information
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W36/00—Hand-off or reselection arrangements
- H04W36/24—Reselection being triggered by specific parameters
- H04W36/32—Reselection being triggered by specific parameters by location or mobility data, e.g. speed data
- H04W36/322—Reselection being triggered by specific parameters by location or mobility data, e.g. speed data by location data
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W36/00—Hand-off or reselection arrangements
- H04W36/24—Reselection being triggered by specific parameters
- H04W36/32—Reselection being triggered by specific parameters by location or mobility data, e.g. speed data
- H04W36/324—Reselection being triggered by specific parameters by location or mobility data, e.g. speed data by mobility data, e.g. speed data
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W48/00—Access restriction; Network selection; Access point selection
- H04W48/18—Selecting a network or a communication service
Abstract
为实现在分布式移动通信环境(10)中安全快速的切换,控制功能处在无线和有线通信网络单元之间的边界处,并提出了首先使用事先传送到新接入点的安全上下文信息执行移动设备(26)与新接入点(14)之间的互认证。然后,成功互认证之后,将执行从当前接入点(12)到新接入点(14)的切换。
Description
技术领域
本发明涉及在分布式移动通信环境中的切换方法,且具体涉及用于分布式移动通信环境的安全域内和域间切换。
背景技术
将来的移动通信网络将把控制智能分布到无线和有线基础设施部件之间的边缘。从而,以下将智能在移动通信环境的边缘的分布称为分布式移动通信环境。尽管以下参考这种分布式移动通信环境的具体示例,不过应该理解,以下描述的技术教导也涵盖任何类型的分布式移动通信环境,例如,GSM,UMTS/EMT2000,PDC,AMPS,DAMPS,IF-95,WLAN,......,及其任何混合形式。
目前,出现了多种问题,例如,对于域内切换,即,在同一移动通信环境的接入点和/或基站之间的切换。特别是,现有方法不允许第一网络接入点与第二网络接入点之间进行快速且又同时经过认证的切换,以支持快速、安全和无缝的切换。实际上,对于使用分布式网络的将来的移动通信而言,这是一个大问题。
由IEEE 802.11f,IEEE,Draft Recommended Practice forMulti-Vendor Access Point Interoperability via an Inter-Access PointProtocol Across Distribution Systems Supporting IEEE 802.11Operation,IEEE 802.11f,2003年1月可得知现有的解决方案,该文献提供了通过使用上下文(context)信息并在接入点处高速缓存上下文信息而在移动通信环境的单个域内进行快速切换的方法。通常来讲,接入点处在当前启动的接入点AP的所谓相邻关系图(也称为当前接入点的多播域)中。尽管该标准提供了用于将上下文信息安全传送到新接入点的方法,不过,它并未定义上下文信息实际应包含什么。此外,标准IEEE 802.11f未定义在新接入点处应如何进行互认证。
此外,标准IEEE 802.11i,Medium Access Control SecurityEnhancements,IEEE 802.11i,2003年9月,讨论了用于预认证的方法,但不支持快速切换。预认证基本上由漫游在移动通信环境中的移动站使用在高速缓存中的密钥实现,以向当前接入点标识其自身。此处,当前接入点与旧接入点进行核对。从认证服务器(也称为AAA服务器)和移动设备存储的主密钥导出该密钥。认证服务器将导出的认证密钥发送到接入点。
尽管在IEEE 802.11i中考虑了快速切换安全性,但还未决定任何事情。虽然提出了密钥机制和快速切换方法,但所述解决方法被用于认证服务器处理漫游,参见N.Cam-Winget等人的“Keying for FastRoaming”,IEEE 802.11-02/241r2,2003年5月。认证服务器导出每个接入点的漫游密钥,并将其发送到该接入点,移动设备也导出漫游密钥,并因此二者能够彼此进行认证。因此,在IEEE 802.11i中描述的方法当然不适于快速漫游,特别是当骨干网络中有大通信量且接入服务器处于远离接入点或等效热点的位置时,尤为如此。此外,该标准802.11i没有探讨上下文的传送。
总之,IEEE团体所提出的方法仍处于初期阶段,关于快速切换方面未进行任何定义。而且,基本上将切换期间的安全性问题搁置一边,而IEEE LinkSec http://grouper.ieee.org/groups/802/linksec//正致力于IEEE设备的公共安全方案。此处主要关注于有线通信。
因此,还缺少用于域间切换(即,在不同利益相关者的分布式无线通信环境之间的切换)的方法和用于在切换期间进行高效再认证的方法。
3G标准化建议也同样如此。根据3GPP Technical Specification33.102,3Gsecurity;Security Architechture,V5.1.0,2002年12月。已提出在UMTS和GSM无线通信网络中进行上下文传送的过程。不过,没有讨论通过不同提供商发送上下文信息的问题和不同无线通信网络上进行传播的技术。
另一建议,B.Aboba和T.Moore,A Model for ContextTransfer in IEEE 802,Internet草稿,过期,draft-aboba-802-context-02.txt,2002年4月,和IETF Seamoby WG:http://www.ietf.org/html.charters/seamoby-charter.html涉及IETFSeamoby WG,并致力于无缝移动方案。此处,关于上下文传送需求的草案<draft-ietf-seamoby-ct-reqs-o5.txt>具有表明上下文信息传送应基于优先级的要求。然而,未讨论如何区分上下文信息的优先级。此外,<draft-ietf-seamoby-ct-reqs-o1.txt>定义了用于IP层的上下文信息传送协议。
然而,该协议不涉及分布式移动通信环境和域间切换,而且,它也未讨论涉及切换期间再认证和互认证的问题,特别是对于不同利益相关者的情形。
另一建议是寻求在不同接入技术之间进行快速且无缝切换的解决方案的IST Moby Dick。此处,大多数提出的切换技术的重点不在于安全问题,而是提供快速切换,Hasan,J.Jhnert,S.Zander和B.Stiller的“Authentication,Authorization,Accounting,andCharging for the Mobile Internet”,TIK-Report No.114,版本1,2001年6月。
在H.Wang和A.R.Prasad的“Security Context Transfer inVertical Handover”,Proc.Of the 14th International Symposium onPersonal,Indoor,Mobile Radio Communication(PIMRC 2003),中国北京,2003年9月,讨论了在异构移动通信环境之间进行切换的另一解决方案,但该方案也未讨论如在后面所提出的用于分布式移动通信环境的快速安全的切换。
发明内容
鉴于以上所述,本发明的目的在于在分布式移动通信环境中实现安全而快速的切换。
根据本发明,该目的是通过在分布式移动通信环境中进行安全切换的方法来实现的。在当前接入设备与新接入设备之间,针对移动设备执行安全切换。首先,使用在新接入设备处预建立的安全上下文信息,在移动设备与新接入设备之间执行互认证。当互认证成功时,仅执行从当前接入设备到新接入设备的切换。
因此,根据本发明,假设上下文信息传送可先于切换进行,能够满足安全快速切换的所有要求,且仅需对现有方法进行很少的修改。
此外,通过移动设备与新接入设备间的互认证,可改善切换期间的服务质量QoS条件。
此外,将再认证并入切换机制中仅需对现有标准进行最小的改变,这意味着快速部署选择,并由于服务质量QoS等级的相关改善,使客户满意度提高。
换而言之,根据本发明,由于互认证依赖于在启动当前接入点与新接入点之间的切换之前转发到移动通信环境中新接入点的安全上下文信息,可提供一种安全而无缝的切换。
此外,本发明的重要优点在于,它不限于单个通信域内的切换(也称为域内切换),而是还可应用到不同通信域之间的切换(以后也将其称为域间切换)。
因此,只有本发明允许在移动通信网络中针对域内/域间切换的情形进行快速而安全的切换,其中,在环境内无线与有线范围的通信之间的边界处提供智能,即,切换控制相关功能。
根据本发明的优选实施例,在同一通信域的接入设备之间执行安全切换,即,作为域内切换。
此处,提出具有不同的安全密钥,以下也将其称为认证值。第一个这样的密钥是主密钥,它是在认证服务器处在进行移动设备的登录期间产生的。然后,将该主密钥或主秘密认证值传送到不同的接入点。
优选地,不同接入点与认证服务器具有安全的连接,且基于移动设备与相关接入点之间的互认证进行登录。
根据本发明,提出了接入设备和移动设备导出用于接入点与移动设备之间的通信的通信密钥,以及第三密钥,即所谓的漫游密钥。
根据本发明,首次提出了使用漫游密钥,其优选地由主密钥生成,并在任何类型的切换期间用于移动设备与新接入设备之间的相互再认证。
此外,根据本发明,提出了使用通信密钥,其优选地由主密钥生成,它可用于移动通信环境的接入点/基站与移动站之间的通信的加密。此处,不同通信密钥可用于上行链路和下行链路,即用于加密和解密。
此外,应强调的是,本发明不限于特定类型的加密算法,例如,DIS,AIS等,不限于特定类型的密钥产生方法,例如,TKIP,MBMS等,和/或不限于特定类型的认证方法,例如,基于散列函数的认证方法。
根据另一优选实施例,提出了为不同加密密钥中的至少之一分配更新时间周期。时间周期的实际长度可基于依赖加密算法的密钥更新最佳时间。这样的一个示例是,使密钥更新时间基于包编号限制,例如,32位将导致在232个数据包后进行密钥更新。其目的在于防止出现完整性相关问题。另一解决方案是,仅使用时间戳,或结合对在密钥更新前发送的包的数量的限制来使用时间戳。若使用完整性向量的话,另一选择是使密钥更新基于完整性向量的长度。
根据本发明的另一优选实施例,提出了在域内或跨越不同通信域的域间切换中保持每个接入设备的相邻关系,以便识别潜在新接入设备以进行切换。
保持相邻关系的优点在于,它允许在适于安全上下文传送并且不限于切换时间的任何时间,在相邻关系中所识别的所有那些接入点处容易地预建立安全相关上下文。
根据本发明的另一优选实施例,它与域内切换,即不同通信域之间切换相关,提出了将切换基本划分为两个不同阶段。
第一阶段与切换的准备有关,即涉及在当前通信域中的认证服务器与新通信域中的相关认证服务器和接入设备之间建立可信的通信,还涉及用新通信域中潜在的新接入设备扩展从第一通信域看到的多播域,还涉及在当前通信域中的接入设备与新通信域中的认证服务器之间建立可信关系,等等。
随后,实际切换的实现再次依赖再认证和当再认证成功时切换的执行。
根据关于跨越通信域边界的切换的另一优选实施例,涉及移动设备准备在新通信域中开始工作。
特别是,根据该优选实施例,除将安全上下文信息转发到新通信域中的接入点外,提出了下载安全信息,该安全信息允许移动设备在新通信域中启动最初通信过程。
一般而言,安全信息可至少包括:第二通信域的标识,可选的第二通信域中外部代理的IP地址,用于在新通信域中启动通信的通信密钥,假设从当前通信域向相关通信域转发要在第二通信域中使用的加密算法的指示,在第一和第二通信域使用不同加密算法时这是优选的,使得移动设备能够在第二通信域中也使用适当的加密立即启动。
该优选实施例的优点在于,移动设备无需依赖于从第二通信域中的接入设备提供安全相关信息来启动在该新的第二通信域中的通信。
根据本发明的另一优选实施例,提出可通过第二通信域中的适当设备扩展为第一通信域中的通信和漫游密钥分配的超时周期。
该优选实施例的优点在于,通过控制设备和第二通信域对超时周期的扩展允许保持切换相关信息交换,直至在第二通信域中有关的安全相关加密密钥被产生和/或可用,并且不再需要第一通信域提供的安全相关加密密钥。
此外,根据本发明的一个优选实施例,如果有关的通信相关加密密钥不可用或者不再有效,那么可使用安全相关加密密钥在域间或域内切换情形中实现通信的恢复。
换而言之,本发明也允许将不同类型的加密密钥用于通信,以提高即便在切换期间的整个系统的灵活性和可操作性。
根据本发明的另一优选实施例,提供了一种可直接载入到接入设备和/或移动设备的内部存储器中的计算机程序产品,包括用于当在接入设备和/或移动设备的处理器上运行该产品时,执行如上所述本发明过程的步骤的软件代码部分。
因此,本发明还用于在计算机或处理器系统上实施本发明方法步骤。总之,该实施导致提供与计算机系统一起使用的,或更具体而言,与分布式移动通信环境的例如接入设备和/或移动设备中包括的处理器一起使用的计算机程序。
可将定义本发明功能的程序以多种形式传递到计算机/处理器,包括但不限于在不可写存储介质(例如,可为处理器或计算机I/O附件读取的诸如ROM或CD ROM盘的只读存储设备)上永久存储的信息;存储在可写入存储介质(即,软盘和硬盘)上的信息;或经由调制解调器或其他接口设备通过通信介质(例如,网络和/或因特网和/或电话网)传递到计算机/处理器的信息。应该理解,这种介质当载有实现本发明构思的处理器可读指令时,表示本发明的可选实施例。
附图说明
下面,将参照如附图,描述本发明的最佳模式和优选实施例;其中:
图1表示根据本发明的域内切换的典型示例的简图;
图2表示根据本发明的接入设备的示意图;
图3表示根据本发明的移动设备的示意图;
图4表示根据本发明在分布式移动通信环境中安全切换的操作的流程图;
图5表示根据本发明在分布式移动通信环境中准备安全切换的操作的流程图;
图6表示根据本发明的第一类型域内切换的操作的流程图;
图7表示根据本发明的第二类型域内切换的操作的流程图;
图8表示根据本发明的第三类型域内切换的操作的流程图;
图9表示根据本发明的第四类型域内切换的操作的流程图;
图10表示根据本发明的域间切换的典型示例的简图;
图11表示根据本发明准备域间切换的操作的流程图;
图12表示根据本发明的第一类型域间切换的操作的流程图;
图13表示根据本发明的第二类型域间切换的操作的流程图;以及
图14表示根据本发明的第三类型域间切换的操作的流程图。
具体实施方式
下面,将参照附图,描述本发明最佳模式和优选实施例。这里参照结构图或流程图描述相关功能,然而应该注意,本领域技术人员易于理解,任何这些类型的功能可用软件、硬件和/或它们的组合来实现。
此外,这里参考了移动通信环境,不过本领域技术人员易于明白,对于移动通信环境的类型没有任何具体限制。从而,本发明所指的移动通信环境应当广义地理解,且与底层技术无关,这些底层技术例如为移动通信电话、移动通信数据服务、无线局域网、无线因特网接入、无线卫星通信系统、结合有线通信环境的无线通信环境等,其或者单独采用,或者具有它们的任何混合形式。典型的这类例子可为GSM,UMTS/IMT2000,PDC,AMPS,D-AMPS,IS-95,WLAN,优选使用IEEE 802.11系列。
此外,应将本发明所指的接入设备理解为设置在无线通信环境的当前网络边界处的任何种类的接入点,例如通常为无线局域网中的基站或接入点。
此外,应将移动设备理解为具有数据交换能力的任何移动设备,例如,移动电话,具有无线接入的PDA,膝上型计算机,寻呼机,使用电路交换或包交换连接的无线设备等。
基本切换过程
图1表示根据本发明在分布式通信环境中安全切换的典型示例的简图。具体而言,该示例涉及所谓的域内切换,其中在相同通信域的不同接入点之间实现切换。
如图1所示,通常,通信域10属于分布式类型,其中,将例如关于切换的控制逻辑分布到处于无线和有线范围通信(即,该接入点与接入点14)之间边界处的设备上。
如图1所示,在不失本发明一般适用性的条件下,可假设将至少不同接入点12,14通过骨干网16(例如局域网)相连。
此外,还可将其他计算设备,例如个人计算机18,连接到同一个骨干网16上。此外,在无线通信环境内,应设有用于移动用户登录的认证服务器20。
如图1所示,认证服务器可为例如根据IEEE 802.11系列的认证服务器,或者换言之,可以为AAA型认证服务器。
此外,可将移动通信环境例如通过认证服务器和路由器22挂到广域网24上,以便与处于移动通信环境10外部的通信环境进行其他数据交换。
仍如图1所示,在移动分布式通信环境10内,移动设备26最初可具有与接入点12的无线连接,而后,在移动设备的移动过程中,可改变到与接入点14的无线通信。这就是无线连接从第一接入点到第二接入点14的转变,下面将其称作切换。
此外,不仅可在单个通信域的接入点之间实现切换,而且还可在不同通信域的接入点之间实现切换,下面,将对此进行更详细的描述。
图2表示如图1所示接入点12,14的示意图。
如图2所示,每个接入点具有认证单元28,切换控制单元30和通信单元32。此外,认证单元28可包括安全上下文信息单元34,加密密钥单元36和相邻关系单元38。可选地,切换控制单元30可包括移动预测单元。
下面,将讨论更多细节,认证单元28的功能涉及在移动站26与接入点12,14之间所有种类的安全相关数据交换和处理。这可涉及在安全上下文信息单元34中对所谓的安全上下文的处理,涉及在加密密钥单元36中加密密钥的生成,涉及表示不同接入点之间相邻关系的数据的建立、维护和存储,以用于在相邻关系单元38中识别切换侯选。
此外,切换控制单元30在操作上实现在不同接入点之间进行切换,或可选地,进行移动预测以识别用于切换的潜在新接入点所必须的所有种类功能。
此外,通信单元32在操作上一方面实现在接入点与移动站之间所有类型的数据交换,还实现接入点与移动通信环境10(如图1所示)的所有其他网络单元之间所有类型的数据交换。
图3表示根据本发明的移动站26或者执行切换的任何其他类型移动站的示意图,尽管在图1中未示出。
如图3所示,移动站26包括认证单元42,切换控制单元44和通信控制单元46。应该注意,这些不同单元是与接入点中的相关单元功能对应的部分。
因此,移动站26中的认证单元42包括用于安全相关功能的实现单元。第一个这种单元为安全信息单元48,其适于存储和处理关于安全相关问题的信息,特别是当移动站漫游到新通信域时。此外,登录单元50在操作上特别是与在每个移动通信环境中提供的认证服务器实现登录相关功能。另外,加密密钥单元52用于生成或处理并使用不同加密密钥来对移动站26与相关接入点12,14之间的通信进行加密。
此外,在操作上,切换控制单元44实现在切换期间于移动站侧请求的所有控制功能。可选地,切换控制单元可包括移动预测单元54,以预测移动站切换的下一个接入点。
此外,移动站26的通信单元46实现在移动站26与接入点12,14之间交换任何类型的通信,特别是关于有效载荷数据的通信和关于控制数据(例如,在以下所指出本发明意义上的切换和安全相关信息)所需的所有功能。
此外,在不限制本发明范围的条件下,下面可假设在启动切换前满足以下条件:
-网络单元之间的通信是安全的,例如,对于IEEE 802.11WLAN,假设接入点间协议提供在接入点之间的安全通信;
-移动站/用户的登录和/或最初认证是安全的;
-移动站借以用来对其本身认证或等效地进行登录的认证服务器26和网络单元例如通过骨干网16具有安全连接;此外,接入点间协议也提供不同接入点处认证服务器之间的安全连接;
-不同通信域或不同移动无线通信环境的认证服务器具有可信关系,以及
-网络本身是服务提供者或通过第三方内容提供商提供服务,第三方内容提供商与当前使用的移动通信环境/网络具有可信关系。
图4表示根据本发明在分布式移动通信环境中进行安全切换的操作的流程图。
如图4所示,最初在操作410中执行认证,或者通知网络单元延迟切换,直至成功认证。此处,在新接入点处执行认证。
然后在操作420中对认证处理是否成功进行评估。如果认证成功,在操作430中执行切换过程。可选地,在根据新接入点的相邻关系的接入点处转发和更新安全上下文信息(以后将更详细地进行说明)。
另外,如果认证不成功,则流程进行到操作440,以恢复与前一接入点的通信。否则,如果成功执行了认证和切换,根据操作440,将恢复新接入点与移动站之间的通信。
此处,应该注意,互认证的操作410可在移动站、当前接入站、新接入站,或移动通信环境中任何网络单元处执行。换而言之,认证可在专用的单个设备处实现,或将其分布在移动通信环境上。
此外,可选地,在操作410中,通知执行切换时所涉及的任何设备延迟切换,直至成功认证得到真正确认。至此,移动站与新接入点之间的互认证一定完成且成功。
此外,如图4所示,根据本发明,为使用所谓的安全上下文信息,恢复通信的操作440在认证切换之后执行。如将进行解释的,切换前传送到新接入点的该安全上下文信息的使用首先允许通过预建立来加速通信功能,其次允许通过第二接入点的可用性来提高切换的安全性。
为增强切换灵活性,因此,不仅可在用于切换的目标接入点处提供该安全上下文信息,而且还可在当前活动的接入点的相邻关系中识别的多个潜在切换接入点处提供该信息,这或在当前通信域内进行,或在域间切换的通信域的边界上进行,下面将对此进行描述。
主机制-域内
参照图1描述的典型应用情形是在同一移动通信环境的接入设备之间的切换的执行。
在此之前,图5显示出准备该切换的操作的流程图。
如图5所示,在操作510中,用户/移动站将登录到移动通信网络。在该登录过程期间,在操作510中,在认证服务器处验证用户是否得到授权来执行移动通信环境内的通信。
然后,执行操作520以生成主密钥MK。有关该主密钥的生成的一个典型实例是Diffie-Hellman方法的应用,该方法使用可例如由移动通信环境的移动站或任何其他网络设备的任何一个发送的两个公开值。此外,应该注意,显然可将Diffie-Hellman方法的应用仅视为一示例,而不是对本发明的范围的限制。
无论用于在操作520中导出主密钥的方法如何,主密钥可在认证服务器处导出,在接入点与认证服务器之间导出,或在接入点与移动设备之间导出,只要认为合适即可。
如图5所示,然后,在操作530中,将生成的主密钥转发到当前活动的接入点,或者可选地,转发到移动站。
如图5所示,所生成的主密钥作为在操作540中产生所谓漫游密钥RK和通信密钥ASK以保护移动站与当前接入点之间通信的基础。换而言之,在移动站中的接入导出用于接入点与移动站之间安全通信的通信密钥ASK。此外,由主密钥还提供在从一个接入点切换到另一接入点期间所使用的漫游密钥。在不限制本发明范围的情况下,可使用本领域所公知的数种方法中的任何方法来从主密钥MK获得通信密钥ASK和漫游密钥RK,包括WPA和IEEE 802.11i所使用的TKIP。
如图5所示,然后,在操作550中,将生成的漫游密钥和通信密钥转发到在随后通信切换期间使用这些密钥的那些设备,特别是转发到移动站。
安全上下文信息-域内
如上所述,本发明的重要方面涉及支持安全切换的安全上下文信息的生成。
根据本发明,该安全上下文信息在准备切换之前至少将在当前接入点与新接入点之间进行交换,并包括以下中的至少一个元素:
-主密钥MK;
-漫游密钥RK,用于移动设备与新接入点之间的互认证;
-通信密钥ASK,用于移动站与当前和/或新接入点之间的互认证;
-关于移动站所使用的加密类型的指示;
-主密钥的超时周期TO-MK;
-通信密钥的超时周期TO-ASK;
-漫游密钥的超时周期TO-RK;
-安全上下文信息本身的超时周期TO-CI;
-时间戳;
-当前接入站的标识;
-移动设备的标识,可以是临时标识。
根据本发明,在不同超时周期之间应保持以下关系:安全上下文信息的超时周期TO-CI应大于或等于主密钥的超时周期TO-MK,主密钥的超时周期TO-MK应大于或等于通信密钥的超时周期TO-ASK,通信密钥的超时周期TO-ASK应大于或等于漫游密钥的超时周期TO-RK。
通常,不同超时周期用作为更新与之相关而提供的那些值的时间上限,例如使得在相关超时周期到期之前将更新通信密钥。这同样可适用于漫游密钥,主密钥,或安全上下文信息。
除通过超时周期到期触发不同加密密钥和上下文安全信息的更新外,另一种可能是例如在切换期间在当前接入点处导出漫游密钥或通信密钥,并将其发送到新接入点。
第三种可能是例如每当移动站执行切换时由移动站和当前和/或新接入点导出通信密钥。此外,可考虑使用根据上述三种可能的更新的混合形式。
当使用超时周期时,第一种选择将用于当超时周期到期时更新相关通信密钥。否则,即当在切换期间向新接入点发送或导出时,可能出现移动站决定执行切换而不向当前接入点通知时,发生切换但当前接入点并不知晓的情况。然后,必须在新接入点处生成新通信密钥。
如上所述,除加密密钥外,接入点可产生移动站的安全上下文信息,并将其发送到其邻居,特别是在根据例如接入点间通信协议(例如,根据IEEE 802.11f的IAPP)的相邻关系图中识别的接入点。此处,该图或通过图的元素而得到动态改变,或在接入点位置不发生改变时,可由网络管理员创建静态图。
为传播安全上下文信息,第一种情形为单播情形,在此情形中,从一个接入点只向另一个接入点发送安全上下文信息,或为多播情形,在此情形中,从一个接入点向相邻关系图中识别的多个潜在切换接入点发送安全上下文信息。对于单播情形,可基于当前挂在当前接入点上并要切换到新接入点的移动站的位置,速度,方向等进行预测。可选地,可在切换处理本身期间或在发生了切换之后发送安全上下文信息。
鉴于以上所述,根据本发明提出的域内切换方法取决于如上所述意义上的各子阶段,即接入点的启动,移动站到认证服务器的登录,安全相关加密密钥的产生和切换的执行。
作为一示例,在WLAN标准下的接入点启动处理和登录到认证服务器可导致创建IPsec隧道,可存在从当前接入点至考虑用于随后切换的接入点的在IP协议下的一对一和一对多的安全关联。
此外,在执行切换之前,应在登录认证服务器期间决定加密方法。假设这已完成,下面给出根据本发明用于执行域内切换的数种不同的可能情形(在此,仅将其视为示例)。
域内切换-情形I
图6显示出根据本发明的域内切换的第一示例的操作的流程图。
基本上,图6示出切换示例涉及切换到同一通信域中的接入点,其中,在相邻关系图中识别出该新接入点。这意味着在切换执行前将安全上下文信息传送到相邻关系图中的接入点。
此外,切换条件是通过向当前接入点通知新接入点的移动站执行切换,或通过根据移动站通信质量等进行判断,从而向移动站通知新接入点的当前接入点执行切换。
此外,仅在当前与新接入点之间进行的关于切换相关信息(例如,安全上下文信息)交换的所有通信完成之后,移动站才执行切换。
假设满足这些条件,在操作610中,在当前接入点的相邻关系中识别出至少一个新接入点。
然后,在操作620中,对新接入点处安全上下文的可用性进行评估。
如果该安全上下文可用,则当前接入点将向移动站通知切换的执行,并且可选地,触发切换过程,即操作630,接着是如图4所示的基本模式。
域内切换-情形II
另一实例也涉及切换到当前通信域内的接入点,其中,在当前接入点的相邻关系图中识别新接入点。与图6所示及说明的示例不同,此处将假设切换的条件是,移动站在不向当前接入点发出通知的情况下通知切换。
如图7所示,这在操作710中实现。在触发通过移动站的切换之后,在操作720中,根据图4所示基本模式执行切换过程。
域内切换-情形III
另一域内切换(即,切换到同一通信域内的接入点)的情形涉及这样的情形,其中,在当前接入点的相邻关系图中未识别出新接入点,即,未将安全上下文信息传送以用于执行切换。
此处,切换条件是,通过向当前接入点通知新接入点的移动站执行切换,或通过从移动站通信质量等进行判断,从而移动站通知新接入点的当前接入点执行切换。仅在当前与新接入点之间进行的关于安全相关信息交换的所有通信完成之后,移动站才执行切换。
图8显示出根据域内切换的该第三类型用于安全切换的操作的流程图。
如图8所示,在操作810中,移动站可向当前接入点通知切换到新接入点,或相反,当前接入点可向移动站通知同样的切换。此处,在操作810中,假设在当前点的相邻关系中未反映出新接入点。
如图8所示,然后,在操作820中,可选地通过网络运营商的中介,在执行切换之前在新接入点处接收安全上下文信息。
如图8所示,最后,在操作830中,按照以前如图4所示的原则,执行切换。
此外,甚至可假设当前接入点可不与新接入点进行通信的情形。那么,由于安全原因,将通知移动站不执行到新接入点的切换。网络管理员则会得到关于新接入点的通知,并假设按照如前所述操作,随后会将安全上下文信息发送到这些新接入点。
域内切换-情形IV
参照示出这种域内切换的操作的流程图的图9说明的域内切换的另一非限定性示例也涉及安全上下文信息在新接入点处不可用的情形。在此,切换的条件是移动站将在不通知当前接入点的情况下执行切换。
如图9所示,对于该类型域内切换,最初,在操作910中,执行移动站与新接入点之间的认证。当在操作910中有关认证失败的询问后,在操作930中执行到认证成功的新接入点的切换。否则,在操作940中,将安全上下文信息转发到新接入点,以在操作950中,于新接入点处进行移动站的再认证,随后,根据操作930,执行到新接入点的切换。
根据上述应能看出,根据本发明,对加密算法及相关层次的单元赋予协议安全级别。防止用户干预/参与整个过程和密钥生成,从而防止切换到不良(rogue)单元/接入点。尽管使安全级别实现提高,然而无论是域内切换还是域间切换,这只导致切换期间的最小延迟,而又同时保持安全级别。
域间切换
以上参照图6-9描述了域内切换的具体示例,下面将参照图10-14描述域间切换的具体示例。
对于域内切换,以及对于域间切换,目标是在通信域边界上实现无缝、安全、快速的切换,而又不破环进行中的服务。
在此之前,图10显示出域间切换的典型示例的简图。
如图10所示,除第一通信网络域10以及相关连接的有线区域网络24外,在域间切换期间,可涉及第二通信网络域56,服务提供商网络,内容提供商网络58和通过路由器62与第二通信域56的认证服务器64相连的其他有线区域网络60。
图10还显示出也对第二通信网络提供接入点66,而且骨干网16允许连接至少在第一通信网络和第二通信网络中的网络单元。
应该注意,图10中示出的具体网络建立只是说明性的,不应将其视为对本发明范围的限制。尽管使用无线局域网(WLAN)解释本发明典型应用情形,但显然可将所有相关构思用于任何其他类型的移动通信系统,即,第二代移动通信电话网,第二代移动通信电话网,第三代移动通信电话网,和/或任何混合形式等。
此外,对于不同类型网络之间的切换,可对当前网络CN,或等效地,当前通信域,新网络或新通信域NN,和归属网络或归属通信域HN之间进行区分。此外,可涉及服务提供商网络SPN和内容提供商网络CPN。
在所有这些网络之间,可区分是否存在可信关系,即,是否将相关网络之间的通信视为受到保护且安全的。否则,如果请求可信关系,则在建立通信之前必须采取适当措施以确保在两个网络之间的数据交换期间不会出现欺诈。
此外,假设归属网络HN具有对当前网络CN的可信关系,另外,当前网络CN也具有对新网络NN的可信关系,那么,对于归属网络HN与新网络NN的通信,可委以归属网络HN与当前网络CN以及当前网络CN与新网络NN之间的可信关系。
域切换的基本情形是从当前网络到新网络的切换,其中当前网络作为归属网络。此处,新网络NN可与当前网络CN具有先前可信关系,或与当前网络不具有可信关系。
如果在当前网络与新网络之间存在可信关系,则新网络的应用点成为当前网络多播域的一部分,反之亦然。当前网络不必向新网络传送所有的安全上下文信息,例如,不必发送主密钥或通信密钥。当前网络CN的接入点在被唤醒时得到有关与相邻的不同网络的可信关系的通知,并由认证服务器定期更新该信息。如果在特定超时周期TO-TRUST内未使该信息得以更新,则接入点可联系认证服务器以请求进行更新。
换而言之,对于域间切换,维护安全上下文信息,并且此时例如通过将该信息发送到当前接入点的相邻图中的接入点,在当前网络CN与新网络NN之间交换该信息。
此处,除如前所述域内切换的情形外,某些安全上下文信息依赖于当前网络CN与新网络NN之间可信关系的类型或范围。
一般而言,安全上下文信息至少包括:
-用于移动站的加密算法;
-移动站支持的加密算法;
-主密钥,其传送依赖于不同网络之间可信关系的级别;
-主密钥的超时周期TO-MK;
-漫游密钥RK;
-漫游密钥的超时周期TO-RK;
-通信密钥ASK,仅当通信密钥ASK不会每次在切换期间导出的情况下才发送该通信密钥;
-此外,通信密钥ASK的传送依赖于当前网络与新网络之间可信关系的等级;
-通信密钥的超时周期TO-ASK;
-安全上下文信息的超时周期TO-CI;
-时间戳;
-接入点的标识;
-移动站的标识,该标识可包括MAC地址或IP地址,此外,还可例如在首次登录过程期间由已知ID生成用于UMTS中的临时ID;以及
-当前网络的标识。
此外,如参照域内切换所述,对于域间切换,若有必要,对于移动设备与相关网络单元之间的最初通信,在新通信域中可扩展漫游密钥和通信密钥的超时周期。
除安全上下文信息外,对于域间切换,当发生从当前网络CN到新网络NN的切换时,也向移动站发送安全信息以利于平稳切换。
特别是,提供该安全信息以便使移动站对于新网络作好准备,而不管在相关接入点之间是否交换了另外的通信相关信息。
至此,提供给移动站的安全信息的内容至少包括:
-新网络的标识;
-新网络中外部代理的IP地址,若使用移动IPv4则最好使用该地址;
-以前通过当前网络从新网络获得的IP地址,它依赖于所用网络的种类,和例如用于WLAN示例的网际协议IP的版本:若使用MIP,则这可能不需要;
-加密密钥:这是用于新网络中的移动站和新接入点的新通信密钥;当不通过当前接入点向新网络中的新接入点发送通信密钥时,将加密密钥包含在安全信息中;否则,将加密密钥包含在安全信息中;
(i)当通信密钥ASK没有通过当前接入点发送到新网络中的新接入点时;
(ii)主密钥MK没有发送到新网络中的新接入点,但通信密钥ASK发送到新网络中的新接入点,此外,当通信密钥ASK将在新网络中可创建出新主密钥MK之前超时时;当主密钥MK未发送到新网络,且移动站不能导出新通信密钥ASK或者会基于过时主密钥得到错误的通信密钥ASK时;因此,如果以下条件成立,则通过新网络中的新接入点发送新通信密钥ASK:
超时≥剩余ASK或RK≥T-MK
其中,剩余TO-ASK或RK表示留给通信密钥ASK或漫游密钥RK的时间;即,当该时间到期后,通信密钥ASK将超时并且变得无效;此外,T-MK是由新网络中的移动站和授权服务器创建新主密钥所需的时间。还有可能通信密钥不通过当前网络传送到新网络或不通过新网络传送到当前网络。
-加密密钥的超时周期;
-加密算法:有可能新网络中的接入点使用的加密算法不同于当前网络中所用的加密算法。在这样的情形中,当前接入点可选择由移动站和新接入点所使用的最佳项(term)和加密算法,并使移动站对此了解。最有可能的加密算法可基于移动站的策略和新网络中使用的选出。新网络总能够在切换之后进行控制,确保当前网络做完所需的工作,即,基于实施策略选出加密算法。由于新网络中的新接入点知道移动站支持的加密算法,它能够向当前接入点通知选择的加密算法。
域间-预建立
下面,将基于以下非限定性假设描述关于域间切换的不同应用情形:
-网络单元之间的通信是安全的;
-对于IEEE 802.11 WLAN,假设接入点间协议提供接入点之间的安全通信;
-在IEEE 802.11 WLAN的情形中,移动设备的登录或初次认证是用户安全的,它是移动站;
-认证服务器和网络单元,移动设备通过它们对其本身进行认证,或通过它们,登录具有安全连接;接入点间协议提供认证服务器与接入点之间的安全连接;
-不同通信域或网络之间的认证服务器具有可信关系,这依赖于如上所述的切换情形;
-网络本身是服务提供者,或服务由与所有当前网络域具有可信关系的第三方内容提供商提供。
图11显示出根据本发明准备域间切换的操作的流程图。
最初,在操作1110中,关注通信网络之间的可信通信是否可用。然后,在操作1120中,扩展当前通信网络(特别是当前接入点)的多播域,该步骤是可选的。然后,在操作1130中,创建当前接入点与当前认证服务器之间的可信通信,该操作也是可选的。
如图11所示,在准备域间切换时,在操作1140中,向移动站发送如上所述的安全信息,可选地,还可发送漫游密钥RK,通信密钥ASK和/或主密钥MK。
如图11所示,除对于移动站提供的安全信息外,在操作1150中,还将关于接入点的至少部分安全上下文信息发送到新接入点。
如图11所示,然后,在操作1160中执行切换以及在操作1170中恢复通信。
如图11所示,可选地,在操作1180中,向前一接入点通知切换。在操作1190中,在安全相关信息,特别是安全上下文信息方面,对与新接入点相邻的所有接入点进行更新。
域间-基本切换
下面,将参照用于从当前网络切换到新网络的基本切换过程,描述用于执行如图11所示的切换的操作1160的细节,假设如前所述建立了可信的通信链路,且将安全信息已下载到移动设备,参见图11。
一般而言,根据基本切换过程,当执行切换时,在移动站与新接入点之间进行互认证,其中,最好使用漫游密钥来实现此目的。此处,可使用任何已知的互认证方法。
一旦执行了互认证,由于移动站的上下文信息对新接入点可用,从而通信能够继续并恢复。因此,基本切换过程与参照根据图4的域内切换所述的内容相似。
如果通信密钥未被传送到新网络中的新接入点或未被新接入点传送到移动站,则在开始时使用漫游密钥RK进行通信。
此外,新接入点向其相邻关系图中的所有接入点发送上下文信息。新接入点将向新网络中的相关认证服务器通知切换过程,新网络中的认证服务器将会再次通知当前网络中的认证服务器。
此外,在当前使用的通信密钥ASK和漫游密钥超时之前,移动站和新认证服务器将创建新主密钥。此处,应该注意,仅在主密钥未从当前网络向新网络发送时才会这样做。
此外,移动站和新接入点将创建通信密钥ASK。如果没有通信密钥ASK并且将漫游密钥RK用于通信,则新通信密钥ASK将会仅在前一个过期之后创建。
鉴于以上所述,显然看出,当移动站从当前网络漫游到新网络时,最初将把漫游密钥和安全信息用于‘要启动的’移动站,换而言之,用于初始通信。
因此,漫游密钥必须具有足够长的生命期,以便在新网络中生成主密钥。如果这个密钥是从当前网络发送到新网络,则通信密钥ASK也同样如此。
一旦在新网络中产生了主密钥,这就允许也在新网络中创建如上所述意义上用于随后其他切换的相关通信密钥ASK和漫游密钥RK。可将创建的相关通信密钥和漫游密钥包含到用于随后对新网络中接入点进行更新的安全上下文信息中,所述新网络中接入点是当前活动的新接入点的部分相邻关系。
下面,将描述如何对不同格局(constellation),即当前网络与新网络具有或不具有可信关系的格局应用从当前网络到新网络的基本切换过程。
域间切换-情形I
第一种这样的关系是当前网络与新网络具有可信关系的情况。该类型域间切换的相关操作流程图如图12所示。
如图12所示,假设对具有可信关系的新网络实现切换,并且在关于当前接入点的相邻关系中识别出新接入点,即,将安全上下文信息传送到该新接入点,操作1210。
此处,切换的条件是,通过向当前接入点通知新接入点的移动站执行切换,或者通过由类似通信质量标准进行判断以向移动站通知新接入点的当前接入点执行切换。此外,另一标准是,仅在当前接入点与新接入点之间的所有通信完成后移动站才执行切换。
如图12所示,在切换之前,将向新接入点通知切换,同样对于移动站也是如此,操作1220。
如图12所示,然后,通过当前接入点命令移动设备执行切换,来实现切换本身,操作1230。
域间切换-情形II
参照图13描述其他类型的域间切换。
此处,假设实现例如从当前网络中的接入点到新网络(二者均具有可信关系)的切换。
如图13所示,此处,切换条件是,仅向新接入点通知切换,操作1310,以及在此之后执行切换,操作1320,而不通知新接入点。
域间切换-情形III
其他切换情形和过程涉及不具有可信关系的当前网络和新网络。在图14中示出相关类型的切换。
在当前网络和新网络彼此不具有可信关系且移动站请求切换到新网络或已切换到新网络的情形中,出现了这样的选择:切换至新网络中的接入点且通知当前接入点,或切换至新网络中的接入点且不通知当前接入点。
在第一种情形中,通知当前接入点意味着,在当前接入点处理了所有必要的过程之后才发生切换,如图14所示。
至此,第一操作1410是在第一和第二网络之间创建可信关系。因此,当前接入点联系认证服务器,并通知所请求的切换,然后,认证服务器和当前网络联系新网络中的认证服务器,并创建可信关系,操作1410,1420。
然后,将安全上下文信息发送到新网络中的新接入点,操作1430,切换过程与如上所述基本切换过程相同。
此处,应该注意,由于在当前网络与新网络之间的通信延迟,有可能会在当前网络与新网络之间创建可信关系之前,移动站执行切换。
假设未通知当前接入点,移动站将在不向当前接入点通知的情况下移到新接入点。通信会被打断并在当前通信网络重新建立,即,使用认证服务器进程解决方案或类似于在切换之前恢复通信的类似解决方案。
至此,参照基本过程,当前网络与新网路具有可信关系的情形,以及当前网络与新网络不具有可信关系的情形,描述了域间切换的情形。
除此之外,可根据当前网络和新网络的类型,即,当前网络是否为归属网络,以及新网络是否为归属网络,以及根据新网络与归属网络之间的可信关系,对切换情形和过程进行分类。
至此,存在移动站执行从不是其归属网络的新网络到也不是其归属网络的另一新网络的切换的情形。此处,应该注意,在切换过程中无论以何种方式都应通知归属网络中的认证服务器。
第一种情形涉及具有可信关系的当前网络和新网络。在此情形中,即使新网络与归属网络不具有可信关系,也可从当前网络向新网络委以信任。除信任委托部分外,切换过程如上参照图12和13所述相同。
当当前网络与核心网络不具有可信关系时,或者,考虑到新网络与归属网络不具有可信关系,出现第二种情形。这意味着,必须根据如图14所示过程,以某种方式在归属网络与新网络之间建立信任。
当新网络与归属网络具有可信关系时,出现第三种情形。此处,如果当前网络也具有与新网络的可信关系,则只应检查该可信关系,并在以后应执行根据图12和13的过程。
否则,如果当前网络与新网络不具有可信关系,则当前网络将检查归属网络是否与新网络具有可信关系。此处,归属网络可委以信任,并在以后应执行参照图12和13所示的过程。
最后,当新网络是归属网络时,或者,换而言之,当移动站漫游回归属网络时,发生另一切换情形。此处,在当前网络与作为归属网络的新网络之间通常应具有可信关系,以便在后面应执行如上所述以及参照图12和13所示的过程。
Claims (156)
1.一种在分布式移动通信环境中的安全切换方法,其中,在当前接入设备与新接入设备之间对移动设备执行安全切换,包括:
-使用安全上下文信息执行移动设备与新接入设备之间的互认证;
-当互认证成功时,执行从当前接入设备到新接入设备的切换。
2.根据权利要求1的方法,其特征在于,在移动设备,当前接入设备,新接入设备,至少一个远程网络设备,或它们的任何组合处执行互认证。
3.根据权利要求1或2的方法,其特征在于,所述方法还包括通知当前接入设备,新接入设备和/或移动设备在完成互认证之前不执行切换。
4.根据权利要求1至3其中一项的方法,其特征在于,所述方法还包括通知当前接入设备,新接入设备和/或移动设备当互认证不成功时不执行切换。
5.根据权利要求4的方法,其特征在于,所述方法还包括在当前接入设备,新接入设备和/或移动设备处接收执行切换的通知。
6.根据权利要求1至5其中一项的方法,其特征在于,所述方法包括使用安全上下文信息恢复移动设备与新接入设备之间的安全通信。
7.根据权利要求6的方法,其特征在于,所述方法包括在执行从当前接入设备到新接入设备的切换之后,将安全上下文信息从新接入设备转发到在新接入设备的相邻关系中识别出的接入设备。
主机制-域内
8.根据权利要求1至7其中一项的方法,其特征在于,切换是在同一通信域的接入设备之间执行的。
9.根据权利要求8的方法,其特征在于,在移动设备在认证服务器(AAA)处进行登录期间生成主秘密认证值。
10.根据权利要求8或9的方法,其特征在于,至少从认证服务器向当前接入设备转发主秘密认证值。
11.根据权利要求8至10其中一项的方法,其特征在于,在移动设备成功登录后发送主秘密认证值(MK)。
12.根据权利要求11的方法,其特征在于,还将主秘密认证值转发到移动设备。
13.根据权利要求8的方法,其特征在于,主秘密认证值(MK)是在当前接入设备与移动设备之间生成的。
14.根据权利要求8的方法,其特征在于,主秘密认证值(MK)是在当前接入设备与认证服务器(AAA)之间生成的。
15.根据权利要求9至14其中一项的方法,其特征在于,从主秘密认证值导出用于移动设备与新接入设备之间的互认证的共享秘密认证值(RK)。
16.根据权利要求9至15其中一项的方法,其特征在于,从主秘密认证值导出用于移动设备与当前和/或新接入设备之间的互通信的共享秘密认证值(ASK)。
17.根据权利要求15或16的方法,其特征在于,在当前接入设备处导出用于移动设备与接入设备之间的互认证的共享秘密认证值(RK)和/或用于移动设备与接入设备之间的互通信的共享秘密认证值(ASK)。
18.根据权利要求17的方法,其特征在于,将用于移动设备与接入设备之间的互认证的共享秘密认证值(RK)和/或用于移动设备与接入设备之间的互通信的共享秘密认证值(ASK)转发到移动设备。
安全上下文信息-域内
19.根据权利要求1至18其中一项的方法,其特征在于,在当前接入设备处生成安全上下文信息。
20.根据权利要求19的方法,其特征在于,安全上下文信息至少包括用于移动设备与新接入设备之间的互认证的共享秘密认证值(RK)。
21.根据权利要求20的方法,其特征在于,安全上下文信息包括以下中的至少之一:
主秘密认证值(MK);
用于移动设备与新接入设备之间的互认证的共享秘密认证值(RK);
用于移动设备与当前和/或新接入设备之间的互通信的共享秘密认证值(ASK);
移动设备所使用的加密类型的指示;
主秘密认证值的超时周期(TO-MK);
用于移动设备与当前和/或新接入设备之间的互通信的共享秘密认证值(ASK)的超时周期(TO-ASK);
用于移动设备与新接入设备之间的互认证的共享秘密认证值(RK)的超时周期(TO-RK);
安全上下文信息的超时周期(TO-CI);
时间戳;
当前接入设备的标识;和
移动设备的标识。
22.根据权利要求21的方法,其特征在于,移动设备的标识是临时标识。
23.根据权利要求21或22的方法,其特征在于,在不同超时周期之间保持以下关系:安全上下文信息的超时周期(TO-CI)≥主秘密认证值的超时周期(TO-MK)≥用于移动设备与当前接入设备之间的互认证的共享秘密认证值(ASK)的超时周期(TO-ASK)≥用于移动设备与新接入设备之间的互认证的共享秘密认证值(RK)的超时周期(TO-RK)。
24.根据权利要求21至23其中一项的方法,其特征在于,当超时周期到期时,在当前接入设备处更新用于移动设备与当前接入设备之间的互认证的共享秘密认证值(ASK)。
25.根据权利要求19至24其中一项的方法,其特征在于,所述方法包括在当从前接入设备的相邻关系中识别的接入设备处接收安全上下文信息。
26.根据权利要求19至24其中一项的方法,其特征在于,所述方法包括在预计成为切换接入设备的接入设备处接收安全上下文信息。
27.根据权利要求26的方法,其特征在于,在切换时至少根据移动设备的位置,移动速度,和/或移动方向对预计切换设备进行预测。
域内切换
域内切换-情形I
28.根据权利要求8至27其中一项的方法,其特征在于,执行到新接入设备的切换,其中,在当前接入设备的相邻关系中识别出新接入设备。
29.根据权利要求28的方法,其特征在于,所述方法包括至少在新接入设备处对安全上下文信息的可用性进行评估。
30.根据权利要求28或29的方法,其特征在于,通过移动设备向当前接入设备通知到新接入设备的切换,来触发切换的执行。
31.根据权利要求28或29的方法,其特征在于,通过当前接入设备向移动设备通知到新接入设备的切换,来触发切换的执行。
域内切换-情形II
32.根据权利要求8至27其中一项的方法,其特征在于,在不用至少在新接入设备处对安全上下文信息的可用性进行评估的情况下,执行到新接入设备的切换。
33.根据权利要求32的方法,其特征在于,通过移动设备在不向当前接入设备通知切换的情况下发起到新接入设备的切换来触发切换的执行。
域内切换-情形III
34.根据权利要求8至27其中一项的方法,其特征在于,执行到新接入设备的切换,其中,在当前接入设备的相邻关系中未识别出该新接入设备。
35.根据权利要求34的方法,其特征在于,通过移动设备向当前接入设备通知到新接入设备的切换,来触发切换的执行。
36.根据权利要求34或35的方法,其特征在于,所述方法包括在执行切换前至少在新接入设备处接收安全上下文信息。
37.根据权利要求36的方法,其特征在于,在当前接入设备与新接入设备之间交换安全上下文信息。
38.根据权利要求37的方法,其特征在于,所述方法包括在网络运营方的控制下,接收安全上下文信息。
域内切换-情形IV
39.根据权利要求8至27其中一项的方法,其特征在于,所述方法包括当移动设备与新接入设备之间的互认证失败时,断定安全上下文信息在新接入设备处不可用。
40.根据权利要求39的方法,其特征在于,所述方法包括在执行切换之前至少在新接入设备处接收安全上下文信息。
41.根据权利要求40的方法,其特征在于,在当前接入设备与新接入设备之间交换安全上下文信息。
42.根据权利要求41的方法,其特征在于,所述方法包括在网络运营方的控制下接收安全上下文信息。
域间-预建立
43.根据权利要求1至7其中一项的方法,其特征在于,切换在不同通信域的接入设备之间执行,其中,当前接入设备运行在当前通信域中,新接入设备运行在新通信域中。
44.根据权利要求43的方法,其特征在于,所述方法包括在当前通信域的认证服务器与新域中至少一个接入设备之间建立可信通信。
45.根据权利要求44的方法,其特征在于,通过在当前通信域中至少认证服务器与新通信域中至少一个接入设备之间建立安全关联链路,实现可信通信。
46.根据权利要求43至45其中一项的方法,其特征在于,所述方法包括将新通信域的潜在新接入设备添加到当前通信域的认证服务器的多播域中。
47.根据权利要求43至46其中一项的方法,其特征在于,所述方法包括在当前通信域中的当前接入设备与当前通信域中的认证接入服务器之间建立通信链路。
48.根据权利要求47的方法,其特征在于,将所述通信链路建立为当前通信域中的当前接入设备与当前通信域中的认证接入服务器之间的可信关系。
49.根据权利要求43至48其中一项的方法,其特征在于,所述方法还包括创建对于当前通信域中当前接入设备的相邻关系,以识别用于切换的潜在接入设备。
域间-基本切换
50.根据权利要求43至49其中一项的方法,其特征在于,所述方法包括从当前接入设备向移动设备发送关于第二通信域的安全信息。
51.根据权利要求50的方法,其特征在于,安全信息包括以下中的至少一项:
第二通信域的标识;
可选地,第二通信域中外部代理的转交地址;
当(i)用于移动设备与第一通信域中当前接入设备之间的互通信的当前共享秘密认证值(ASK)未被传送到第二通信域时,和/或当(ii)第一通信域中所使用的主秘密认证值(MK)未被传送到第二通信域,且在第二通信域中所用新主秘密认证值(MK)的产生之前用于移动设备与第一通信域中当前接入设备之间的互通信的当前共享秘密认证值(ASK)将超时时,用于在移动设备与第二通信域中新接入设备之间的互通信的新共享秘密认证值(ASK);
用于移动设备与第二通信域中新接入设备之间的互通信的新共享秘密认证值(ASK)的超时周期;以及
在第二通信域中所要使用的加密算法。
52.根据权利要求50或51的方法,其特征在于,所述方法包括当当前通信域和新通信域使用不同认证机制时,在移动设备处从新通信域接收用于用户认证的主秘密认证值(MK)。
53.根据权利要求50至52其中一项的方法,其特征在于,使用用于互认证的共享秘密认证值(RK),实现新接入设备与移动设备之间的互认证。
54.根据权利要求50至53其中一项的方法,其特征在于,所述方法包括将至少部分安全上下文信息转发到新通信域。
55.根据权利要求54的方法,其特征在于,通过当前通信域的认证服务器实现对该至少部分安全上下文信息的转发。
56.根据权利要求55的方法,其特征在于,通过路由器实现对该至少部分安全上下文信息的转发。
57.根据权利要求55或56的方法,其特征在于,将安全上下文信息转发到在新接入设备的相邻关系中识别出的接入设备。
58.根据权利要求55至57其中一项的方法,其特征在于,安全上下文信息包括以下中的至少之一:
主秘密认证值(MK);
用于移动设备与当前/新接入设备之间的互认证的共享秘密认证值(RK);
用于移动设备与当前/新接入设备之间的互通信的共享秘密认证值(ASK);
移动设备所使用的加密类型的指示;
移动设备所支持的加密类型的指示;
主秘密认证值的超时周期(TO-MK);
用于移动设备与当前接入设备之间的互通信的共享秘密认证值(ASK)的超时周期(TO-ASK);
用于移动设备与新接入设备之间的互认证的共享秘密认证值(RK)的超时周期(TO-RK);
安全上下文信息的超时周期(TO-CI);
时间戳;
移动设备的标识;
当前接入设备的标识;和
第一通信域的标识。
59.根据权利要求58的方法,其特征在于,移动设备的标识是临时标识。
60.根据权利要求58或59的方法,其特征在于,在新通信域中扩展用于移动设备与当前接入设备之间的互认证的共享秘密认证值(RK)和/或用于其间的互通信的共享秘密认证值(ASK)的超时周期。
61.根据权利要求50至60其中一项的方法,其特征在于,当用于互通信的共享秘密认证值(ASK)未传送到第二通信域中的新接入设备或未从新接入设备传送到移动设备时,使用用于互认证的共享秘密认证值(RK)恢复移动设备与新接入设备之间的安全通信。
62.根据权利要求50至60其中一项的方法,其特征在于,通过使用从第一通信域转发的用于移动设备与新接入设备之间的互通信的共享秘密认证值(ASK)恢复移动设备与新接入设备之间的安全通信。
63.根据权利要求50至62其中一项的方法,其特征在于,向当前接入设备通知到新接入设备的切换。
64.根据权利要求50至63其中一项的方法,其特征在于,所述方法包括向当前通信域中的认证服务器通知切换执行。
65.根据权利要求50至64其中一项的方法,其特征在于,所述方法包括在不对切换执行后的通信产生影响的情况下创建第二通信域(STA,AAAF)中的其他主秘密认证值(MK)。
66.根据权利要求65的方法,其特征在于,当将用于互认证的共享秘密认证值(RK)转发到用于切换执行的新通信域时,在用于互认证的共享秘密认证值(RK)的超时周期到期前,创建新主秘密认证值(MK)。
67.根据权利要求65的方法,其特征在于,当将用于互通信的共享秘密认证值(ASK)转发到用于切换执行的新通信域时,在用于互通信的共享秘密认证值(ASK)的超时周期到期前,创建新主秘密认证值(MK)。
68.根据权利要求50至67其中一项的方法,其特征在于,所述方法还包括当新通信域中的新安全上下文信息可用时,在从新接入设备的相邻关系中识别的接入设备处对安全上下文信息进行更新。
域间-情形I
69.根据权利要求50至68其中一项的方法,其特征在于,新接入设备被包括在当前接入设备的相邻关系中,向新接入设备通知切换,以及仅在新接入设备检查安全相关问题后,当前接入设备才命令移动设备执行切换。
70.根据权利要求50至68其中一项的方法,其特征在于,新接入设备被包括在当前接入设备的相邻关系中,向新接入设备通知切换,以及由移动设备执行切换而不通知当前接入设备。
域间-情形II
71.根据权利要求50至68其中一项的方法,其特征在于,向当前接入设备通知切换执行,在切换执行前第一通信域和第二通信域不具有可信关系,当前接入设备向第一通信域中的认证服务器(AAAH)通知切换请求。
72.根据权利要求71的方法,其特征在于,所述方法包括在第一通信域中的认证服务器(AAAH)与第二通信域中的认证服务器(AAAF)之间创建可信通信关系。
73.根据权利要求71或72的方法,其特征在于,所述方法包括当在第一通信域中的认证服务器(AAAH)与第二通信域中的认证服务器(AAAF)之间创建可信通信关系后,将至少部分安全上下文信息转发到第二通信域。
74.根据权利要求50至68其中一项的方法,其特征在于,不向当前接入设备通知切换执行,在切换执行前第一通信域与第二通信域不具有可信关系,第一通信域与第二通信域之间的通信被中断。
75.根据权利要求74的方法,其特征在于,所述方法包括在对用户的再认证后重新启动第一通信域中的通信。
设备权利要求-接入设备
基本切换过程
76.一种用于在分布式移动通信环境中执行安全切换的接入设备,其中,在当前接入设备与新接入设备之间对移动设备执行安全切换,包括:
-认证单元,用于使用安全上下文信息执行在移动设备与新接入设备之间的互认证;
-切换控制单元,用于当互认证成功时,执行从当前接入设备到新接入设备的切换。
77.根据权利要求76的接入设备,其特征在于,所述接入设备包括通信单元,用于通知当前接入设备,新接入设备和/或移动设备在完成互认证之前不执行切换。
78.根据权利要求76或77的接入设备,其特征在于,所述通信单元还用于通知新接入设备和/或移动设备当互认证不成功时不执行切换。
79.根据权利要求78的接入设备,其特征在于,所述通信单元还用于从新接入设备和/或移动设备接收执行切换的通知。
80.根据权利要求76至79其中一项的接入设备,其特征在于,所述通信单元还用于使用安全上下文信息恢复在移动设备与新接入设备之间的安全通信。
81.根据权利要求80的接入设备,其特征在于,所述通信单元还用于在执行从当前接入设备到新接入设备的切换之后,将安全上下文信息转发到在接入设备的相邻关系中识别出的接入设备。
主机制-域内
82.根据权利要求76至81的接入设备,其特征在于,该接入设备用于执行在同一通信域的接入设备之间进行的切换。
83.根据权利要求82的接入设备,其特征在于,加密密钥单元,用于当移动设备在认证服务器(AAA)处登录期间生成主秘密认证值。
84.根据权利要求82或83的接入设备,其特征在于,通信单元用于从认证服务器接收主秘密认证值。
85.根据权利要求82至84其中一项的接入设备,其特征在于,通信单元用于在移动设备成功登录后接收主秘密认证值(MK)。
86.根据权利要求85的接入设备,其特征在于,通信单元用于将主秘密认证值转发到移动设备。
87.根据权利要求82的接入设备,其特征在于,加密密钥单元用于协同移动设备生成主秘密认证值(MK)。
88.根据权利要求82的接入设备,其特征在于,加密密钥单元用于协同认证服务器(AAA)生成主秘密认证值(MK)。
89.根据权利要求83至88其中一项的接入设备,其特征在于,加密密钥单元用于从主秘密认证值生成用于移动设备与新接入设备之间的互认证的共享秘密认证值(RK)。
90.根据权利要求83至88其中一项的接入设备,其特征在于,加密密钥单元用于从主秘密认证值生成用于移动设备与当前和/或新接入设备之间的互通信的共享秘密认证值(ASK)。
91.根据权利要求89或90的接入设备,其特征在于,通信设备用于将用于移动设备与接入设备之间的互认证的共享秘密认证值(RK)和/或用于移动设备与接入设备之间的互通信的共享秘密认证值(ASK)转发到移动设备。
安全上下文信息-域内
92.根据权利要求76至91其中一项的接入设备,其特征在于,所述接入设备包括用于生成安全上下文信息的安全上下文信息单元。
93.根据权利要求92的接入设备,其特征在于,安全上下文信息单元,用于至少将用于移动设备与新接入设备之间的互认证的共享秘密认证值(RK)包括在安全上下文信息中。
94.根据权利要求93的接入设备,其特征在于,安全上下文信息单元还用于将以下中的至少之一包括在安全上下文信息中:
主秘密认证值(MK);
用于移动设备与当前和/或新接入设备之间的互通信的共享秘密认证值(ASK);
移动设备所使用的加密类型的指示;
主秘密认证值的超时周期(TO-MK);
用于移动设备与当前和/或新接入设备之间的互通信的共享秘密认证值(ASK)的超时周期(TO-ASK);
用于移动设备与新接入设备之间的互认证的共享秘密认证值(RK)的超时周期(TO-RK);
安全上下文信息的超时周期(TO-CI);
时间戳;
当前接入设备的标识;和
移动设备的标识。
95.根据权利要求94的接入设备,其特征在于,在不同超时周期之间保持以下关系:安全上下文信息的超时周期(TO-CI)≥主秘密认证值的超时周期(TO-MK)≥用于移动设备与当前接入设备之间的互认证的共享秘密认证值(ASK)的超时周期(TO-ASK)≥用于移动设备与新接入设备之间的互认证的共享秘密认证值(RK)的超时周期(TO-RK)。
96.根据权利要求94或95的接入设备,其特征在于,加密密钥单元用于当超时周期到期时,更新用于移动设备与当前接入设备之间的互认证的共享秘密认证值(ASK)。
97.根据权利要求92至96其中一项的接入设备,其特征在于,所述接入设备包括相邻关系单元,用于与当前接入设备相邻、作为切换候选的接入设备。
98.根据权利要求76至97的接入设备,其特征在于,切换控制单元用于在切换时至少根据移动设备的位置,移动速度,和/或移动方向对切换目标接入设备进行预测。
域内切换-情形I
99.根据权利要求82至98其中一项的接入设备,其特征在于,切换控制单元用于执行到新接入设备的切换,其中,在当前接入设备相邻关系中识别出该新接入设备。
100.根据权利要求99的接入设备,其特征在于,安全上下文信息单元用于在允许切换到接入设备之前,对安全上下文信息的可用性进行评估。
101.根据权利要求99或100的接入设备,其特征在于,切换控制单元用于从移动设备接收触发切换。
102.根据权利要求99或100的接入设备,其特征在于,切换控制单元用于触发切换,并向移动设备通知切换执行。
域内切换-情形II
103.根据权利要求82至98其中一项的接入设备,其特征在于,切换控制单元用于在没有至少在新接入设备处对安全上下文信息的可用性进行评估的情况下执行到新接入设备的切换。
域内切换-情形III
104.根据权利要求82至98其中一项的接入设备,其特征在于,切换控制单元用于执行到新接入设备的切换,其中,在接入设备的相邻关系中未识别出该新接入设备。
105.根据权利要求104的接入设备,其特征在于,切换控制单元用于在执行切换之前至少在新接入设备处启动安全上下文信息的接收。
106.根据权利要求105的接入设备,其特征在于,切换控制单元用于在网络运营方的控制下,启动安全上下文信息的接收。
域内切换-情形IV
107.根据权利要求82至98其中一项的接入设备,其特征在于,所述接入设备包括当移动设备与新接入设备之间的互认证失败时,断定安全上下文信息在新接入设备处不可用。
108.根据权利要求107的接入设备,其特征在于,切换控制单元用于在执行切换前至少在目标接入设备处启动安全上下文信息的接收。
109.根据权利要求108的接入设备,其特征在于,切换控制单元用于在网络运营方的控制下,至少在目标接入设备处启动安全上下文信息的接收。
域间-预建立
110.根据权利要求76至81其中一项的接入设备,其特征在于,切换控制单元用于执行在不同通信域的接入设备之间的切换,其中,接入设备运行在当前通信域中,目标接入设备运行在新通信域中。
111.根据权利要求110的接入设备,其特征在于,通信单元用于在当前通信域的认证服务器与新通信域中至少一个切换目标接入设备之间建立可信通信。
112.根据权利要求111的接入设备,其特征在于,通信单元用于通过在当前通信域中至少认证服务器与新通信域中至少一个切换目标接入设备之间建立安全关联链路,创建可信通信。
113.根据权利要求110至112其中一项的接入设备,其特征在于,通信单元用于将新通信域的潜在新切换接入设备添加到当前通信域的认证服务器的多播域中。
114.根据权利要求110至113其中一项的接入设备,其特征在于,通信单元用于建立到当前通信域中的认证接入服务器的通信链路。
115.根据权利要求114的接入设备,其特征在于,通信单元用于将到当前通信域中的认证接入服务器的通信链路建立为可信关系。
116.根据权利要求110至110其中一项的接入设备,其特征在于,相邻关系单元用于创建当前通信域中的相邻关系,以识别用于切换的潜在接入设备。
域间-基本切换
117.根据权利要求110至116其中一项的接入设备,其特征在于,通信单元用于将关于第二通信域的安全信息传送到移动设备。
118.根据权利要求117的接入设备,其特征在于,安全信息包括以下中的至少一项:
第二通信域的标识;
可选地,第二通信域中外部代理的转交地址;
当(i)用于移动设备与第一通信域中当前接入设备之间的互通信的当前共享秘密认证值(ASK)未被传送到第二通信域时,和/或当(ii)第一通信域中所使用的主秘密认证值(MK)未被传送到第二通信域,且在第二通信域中所用新主秘密认证值(MK)产生之前用于移动设备与第一通信域中当前接入设备之间的互通信的当前共享秘密认证值(ASK)将超时时,用于移动设备与第二通信域中新接入设备之间的互通信的新共享秘密认证值(ASK);
用于移动设备与第二通信域中新接入设备之间的互通信的新共享秘密认证值(ASK)的超时周期;以及
在第二通信域中所要使用的加密算法。
119.根据权利要求117或118的接入设备,其特征在于,认证单元用于使用共享秘密认证值(RK),实现在新通信域中接入设备与移动设备之间的互认证。
120.根据权利要求117至119其中一项的接入设备,其特征在于,通信单元用于将至少部分安全上下文信息转发到新通信域。
121.根据权利要求120的接入设备,其特征在于,通信单元用于通过当前通信域的认证服务器或通过路由器转发该至少部分安全上下文信息。
122.根据权利要求120或121的接入设备,其特征在于,通信单元用于将安全上下文信息转发到在切换目标接入设备的相邻关系中识别出的接入设备。
123.根据权利要求120至122其中一项的接入设备,其特征在于,安全上下文信息包括以下中的至少之一:
主秘密认证值(MK);
用于移动设备与当前/新接入设备之间的互认证的共享秘密认证值(RK);
用于移动设备与当前/新接入设备之间的互通信的共享秘密认证值(ASK);
移动设备所使用的加密类型的指示;
移动设备所支持的加密类型的指示;
主秘密认证值的超时周期(TO-MK);
用于移动设备与当前接入设备之间的互通信的共享秘密认证值(ASK)的超时周期(TO-ASK);
用于移动设备与新接入设备之间的互认证的共享秘密认证值(RK)的超时周期(TO-RK);
安全上下文信息的超时周期(TO-CI);
时间戳;
移动设备的标识;
当前接入设备的标识;和
第一通信域的标识。
124.根据权利要求123的接入设备,其特征在于,移动设备的标识是临时标识。
125.根据权利要求123或124的接入设备,其特征在于,在新通信域中可扩展用于移动设备与接入设备之间的互认证的共享秘密认证值(RK)和/或用于其间的互通信的共享秘密认证值(ASK)的超时周期。
126.根据权利要求117至125其中一项的接入设备,其特征在于,通信单元用于,当用于互通信的共享秘密认证值(ASK)未传送到新通信域或移动设备时,使用用于互认证的共享秘密认证值(RK)恢复到移动设备的安全通信。
127.根据权利要求117至125其中一项的接入设备,其特征在于,通信单元用于,通过使用从第一通信域转发的用于到移动设备的互通信的共享秘密认证值(ASK),来恢复到移动设备的安全通信。
128.根据权利要求117至127其中一项的接入设备,其特征在于,切换控制单元用于接收关于到新接入设备的切换的信息。
129.根据权利要求117至128其中一项的接入设备,其特征在于,切换控制单元用于向当前通信域中的认证服务器通知切换执行。
130.根据权利要求117至129其中一项的接入设备,其特征在于,加密密钥单元用于在不对切换执行后的通信产生影响的情况下创建第二通信域(STA,AAAF)中的其他主秘密认证值(MK)。
131.根据权利要求130的接入设备,其特征在于,加密密钥单元用于,当将用于互认证的共享秘密认证值(RK)转发到用于切换执行的新通信域时,在用于互认证的共享秘密认证值(RK)的超时周期到期前,创建新主秘密认证值(MK)。
132.根据权利要求130的接入设备,其特征在于,加密密钥单元用于,当将用于互通信的共享秘密认证值(ASK)转发到用于切换执行的新通信域时,在用于互通信的共享秘密认证值(ASK)的超时周期到期前,创建新主秘密认证值(MK)。
133.根据权利要求117至132其中一项的接入设备,其特征在于,安全上下文信息单元用于,当新通信域中的新安全上下文信息可用时,在从相邻关系中识别的接入设备处对安全上下文信息进行更新。
域间-情形I
134.根据权利要求117至133其中一项的接入设备,其特征在于,切换目标接入设备被包括在相邻关系中以用于切换,切换控制单元用于向切换目标接入设备通知切换,以及切换控制单元用于仅当在切换目标接入设备处检查安全相关问题之后才命令移动设备执行切换。
135.根据权利要求117至133其中一项的接入设备,其特征在于,切换目标接入设备被包括在当前接入设备的相邻关系中,切换控制单元用于向切换目标接入设备通知切换,以及切换控制单元用于启动移动设备执行切换而不通知当前接入设备。
域间-情形II
136.根据权利要求117至133其中一项的接入设备,其特征在于,切换控制单元用于通知切换执行,在切换执行前第一通信域和第二通信域不具有可信关系,切换控制单元用于向第一通信域中的认证服务器(AAAH)通知切换请求。
137.根据权利要求136的接入设备,其特征在于,通信单元用于在第一通信域中的认证服务器(AAAH)与第二通信域中的认证服务器(AAAF)之间创建可信通信关系。
138.根据权利要求136或137的接入设备,其特征在于,通信单元用于当在第一通信域中的认证服务器(AAAH)与第二通信域中的认证服务器(AAAF)之间创建可信通信关系之后,将至少部分安全上下文信息转发到第二通信域。
139.根据权利要求117至133其中一项的接入设备,其特征在于,不向所述接入设备通知切换执行,在切换执行前第一通信域与第二通信域不具有可信关系,通信单元用于中断第一通信域与第二通信域之间的通信。
140.根据权利要求139的接入设备,其特征在于,通信单元用于在对用户的再认证之后重新启动第一通信域中的通信。
设备权利要求-移动设备
141.一种用于在分布式移动通信环境中执行安全切换的移动设备,其中,在当前接入设备与新接入设备之间执行安全切换,包括:
-认证单元,用于使用安全上下文信息执行在移动设备与新接入设备之间的互认证;
-切换控制单元,用于当互认证成功时,执行从当前接入设备到新接入设备的切换。
142.根据权利要求141的移动设备,其特征在于,所述移动设备包括通信单元,用于通知当前接入设备和/或新接入设备在完成互认证之前不执行切换。
143.根据权利要求141或142的移动设备,其特征在于,所述通信单元还用于通知当前接入设备和/或新接入设备当互认证不成功时不执行切换。
144.根据权利要求143的移动设备,其特征在于,所述通信单元还用于从新接入设备接收执行切换的通知。
145.根据权利要求141至144其中一项的移动设备,其特征在于,所述通信单元还用于使用安全上下文信息恢复到新接入设备的安全通信。
146.根据权利要求145的移动设备,其特征在于,所述通信单元还用于将安全上下文信息转发到在新接入设备的相邻关系中识别出的接入设备。
147.根据权利要求11的移动设备,其特征在于,通信单元用于接收用于加密密钥处理的主秘密认证值。
148.根据权利要求82的移动设备,其特征在于,所述移动设备包括加密密钥单元,用于生成用于加密密钥处理的主秘密认证值(MK)。
149.根据权利要求147或148的移动设备,其特征在于,加密密钥单元用于从主秘密认证值生成用于移动设备与当前和/或新接入设备之间的互通信的共享秘密认证值(ASK)。
150.根据权利要求141至149其中一项的移动设备,其特征在于,切换控制单元用于在切换时至少根据移动设备的位置,移动速度,和/或移动方向对切换目标接入设备进行预测。
151.根据权利要求141至151其中一项的移动设备,其特征在于,切换控制单元用于通过向当前接入设备通知到新接入设备的切换,来触发切换的执行。
152.根据权利要求141至150其中一项的移动设备,其特征在于,切换控制单元用于在不向当前接入设备通知到新接入设备的切换的情况下触发切换的执行。
153.根据权利要求141至152其中一项的移动设备,其特征在于,通信单元用于接收关于第二通信域的安全信息。
154.根据权利要求153的移动设备,其特征在于,安全信息至少包括以下中的至少之一:
第二通信域的标识;
可选地,第二通信域中外部代理的转交地址;
当(i)用于移动设备与第一通信域中当前接入设备之间的互通信的当前共享秘密认证值(ASK)未被传送到第二通信域时,和/或当(ii)第一通信域中所使用的主秘密认证值(MK)未被传送到第二通信域,且在第二通信域中所用新主秘密认证值(MK)产生之前,用于移动设备与第一通信域中当前接入设备之间的互通信的当前共享秘密认证值(ASK)将超时时,用于移动设备与第二通信域中新接入设备之间的互通信的新共享秘密认证值(ASK);
用于移动设备与第二通信域中新接入设备之间的互通信的新共享秘密认证值(ASK)的超时周期;以及
在第二通信域中所要使用的加密算法。
155.根据权利要求153或154的移动设备,其特征在于,所述移动设备包括,当当前通信域和新通信域使用不同认证机制时,在移动设备处从新通信域接收用于用户认证的主秘密认证值(MK)。
156.一种可直接载入到接入设备和/或移动设备的内部存储器中的计算机程序产品,包括软件代码部分,用于当在接入设备和/或移动设备的处理器上运行该产品时,执行权利要求1至75其中一项的步骤。
Applications Claiming Priority (4)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| EPPCT/EP03/10185 | 2003-09-12 | ||
| EPPCT/EP03/10183 | 2003-09-12 | ||
| PCT/EP2003/010183 WO2005027556A1 (en) | 2003-09-12 | 2003-09-12 | Selection of a target network for a seamless handover from a plurality of wireless networks |
| EPPCT/EP03/10184 | 2003-09-12 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1849840A true CN1849840A (zh) | 2006-10-18 |
| CN100512538C CN100512538C (zh) | 2009-07-08 |
Family
ID=34306726
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNB2004800261627A Expired - Lifetime CN100512538C (zh) | 2003-09-12 | 2004-01-23 | 安全域内和域间切换 |
Country Status (5)
| Country | Link |
|---|---|
| EP (1) | EP1665853A1 (zh) |
| JP (1) | JP4585969B2 (zh) |
| CN (1) | CN100512538C (zh) |
| AU (1) | AU2003271605A1 (zh) |
| WO (1) | WO2005027556A1 (zh) |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101568107A (zh) * | 2008-04-22 | 2009-10-28 | 日电(中国)有限公司 | 票据分发装置、快速认证装置、接入点及其方法 |
| CN101606407A (zh) * | 2007-02-02 | 2009-12-16 | 诺基亚公司 | 在切换期间改变无线电接入网安全算法 |
| CN101128012B (zh) * | 2006-08-14 | 2012-03-21 | 华为技术有限公司 | 一种移动终端进行快速切换的方法 |
| CN102440019B (zh) * | 2008-05-07 | 2015-05-13 | 阿尔卡特朗讯美国公司 | 在无线通信网络中生成传输加密密钥 |
| CN105472609A (zh) * | 2015-11-11 | 2016-04-06 | 北京邮电大学 | 航空通信nemo网络下基于安全互联的切换认证机制 |
| CN105684485A (zh) * | 2013-11-01 | 2016-06-15 | 汤姆逊许可公司 | 用于无线网络的链路恢复的方法及相应设备 |
| CN107113606A (zh) * | 2014-12-22 | 2017-08-29 | 瑞典爱立信有限公司 | 减轻无线网络中的加密故障的缺点 |
| CN109496449A (zh) * | 2016-08-05 | 2019-03-19 | 高通股份有限公司 | 用于无线设备与局域网之间的连接的从源接入节点向目标接入节点的快速过渡的技术 |
Families Citing this family (46)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7047036B2 (en) | 2002-07-02 | 2006-05-16 | Interdigital Technology Corporation | Method and apparatus for handoff between a wireless local area network (WLAN) and a universal mobile telecommunication system (UMTS) |
| TWI441532B (zh) | 2003-11-13 | 2014-06-11 | Interdigital Tech Corp | 有利於系統間交接之方法及系統 |
| EP2091285A1 (en) | 2004-03-12 | 2009-08-19 | InterDigital Technology Corporation | Method and apparatus for handover of a multi-mode wireless transmit/receive unit between a cellular access network and a wlan |
| US8145219B2 (en) * | 2004-07-28 | 2012-03-27 | Broadcom Corporation | Handoff of a multimedia call session using background network scanning |
| US7515909B2 (en) * | 2005-04-21 | 2009-04-07 | Qualcomm Incorporated | Wireless handoffs between multiple networks |
| JP2008543190A (ja) * | 2005-05-30 | 2008-11-27 | テレフオンアクチーボラゲット エル エム エリクソン(パブル) | 複数無線ワイヤレス通信システムにおけるハンドオーバ制御技術 |
| DE602005015326D1 (de) * | 2005-07-27 | 2009-08-20 | Alcatel Lucent | Verfahren zum Auslösen eines Handovers |
| US20090154426A1 (en) * | 2005-08-09 | 2009-06-18 | Freescale Semiconductor, Inc. | Handover based on a quality of service metric obtained from a mac layer of a received signal |
| DE112005003804A5 (de) * | 2005-10-26 | 2008-09-25 | Siemens Aktiengesellschaft | Verfahren zum Betreiben eines mobilen Endgerätes in einem Kommunikationsnetz, mobiles Endgerät und Netzknoten |
| US8811369B2 (en) | 2006-01-11 | 2014-08-19 | Qualcomm Incorporated | Methods and apparatus for supporting multiple communications modes of operation |
| US8804677B2 (en) | 2006-01-11 | 2014-08-12 | Qualcomm Incorporated | Methods and apparatus for establishing communications between devices with differing capabilities |
| KR100739804B1 (ko) | 2006-05-11 | 2007-07-13 | 삼성전자주식회사 | 데이터 통신의 QoS 보장 방법 및 장치 |
| GB0612438D0 (en) | 2006-06-23 | 2006-08-02 | Siemens Ag | Network selection |
| FR2905551B1 (fr) * | 2006-09-06 | 2009-01-23 | Alcatel Sa | Procede de gestion des connexions entre un terminal sans fil et des interfaces d'acces |
| US7920522B2 (en) * | 2006-09-29 | 2011-04-05 | Qualcomm Incorporated | Method and apparatus for system interoperability in wireless communications |
| WO2008066435A1 (en) * | 2006-11-30 | 2008-06-05 | Telefonaktiebolaget Lm Ericsson (Publ) | A method of managing a handover procedure in a cellular telecommunication network |
| WO2008121037A1 (en) * | 2007-03-30 | 2008-10-09 | Telefonaktiebolaget Lm Ericsson (Publ) | A method and a device for dynamic frequency use in a cellular network |
| MX2010002218A (es) | 2007-10-02 | 2010-03-17 | Ericsson Telefon Ab L M | Incluida en la concesion de enlace ascendente se va a reportar una indicacion de una cantidad especifica de cqi. |
| ES2330708B1 (es) * | 2007-11-02 | 2010-09-21 | Universitat Politecnica De Catalunya | Procedimiento de seleccion de red de acceso radio oportunista. |
| DE102008003639B4 (de) * | 2008-01-09 | 2011-11-24 | Continental Automotive Gmbh | Verfahren und eine Vorrichtung zum Betreiben eines Kommunikationssystems |
| US8595501B2 (en) | 2008-05-09 | 2013-11-26 | Qualcomm Incorporated | Network helper for authentication between a token and verifiers |
| GB2472537B (en) * | 2008-10-15 | 2011-06-22 | Nomad Spectrum Ltd | Network communication |
| GB2464480B (en) * | 2008-10-15 | 2011-01-12 | Nomad Spectrum Ltd | Network communication |
| US8190768B2 (en) * | 2008-10-31 | 2012-05-29 | Toshiba America Research, Inc. | Network selection mechanism |
| US8943552B2 (en) | 2009-04-24 | 2015-01-27 | Blackberry Limited | Methods and apparatus to discover authentication information in a wireless networking environment |
| US8374604B2 (en) * | 2009-05-26 | 2013-02-12 | Qualcomm Incorporated | System and methods for performing multiple registrations across different radio access technologies |
| JP2011130252A (ja) * | 2009-12-18 | 2011-06-30 | Fujitsu Ltd | 基地局装置及び通信方法 |
| US20110182272A1 (en) * | 2010-01-25 | 2011-07-28 | Qualcomm Incorporated | Application-layer handoff of an access terminal from a first system of an access network to a second system of the access network during a communication session within a wireless communications system |
| GB2504862B (en) * | 2010-04-30 | 2014-10-08 | Nokia Solutions & Networks Oy | Handover preparations |
| US8467359B2 (en) | 2010-05-13 | 2013-06-18 | Research In Motion Limited | Methods and apparatus to authenticate requests for network capabilities for connecting to an access network |
| US8644276B2 (en) | 2010-05-13 | 2014-02-04 | Research In Motion Limited | Methods and apparatus to provide network capabilities for connecting to an access network |
| US8665842B2 (en) | 2010-05-13 | 2014-03-04 | Blackberry Limited | Methods and apparatus to discover network capabilities for connecting to an access network |
| US8594061B2 (en) | 2010-06-22 | 2013-11-26 | Blackberry Limited | Methods and apparatus to access network connectivity information using predicted locations |
| US20110310840A1 (en) * | 2010-06-22 | 2011-12-22 | Richard Howard Kennedy | Methods and apparatus to reduce network configuration changes |
| US8913591B2 (en) * | 2011-01-31 | 2014-12-16 | Intel Mobile Communications GmbH | Mobile communication device and method for performing radio link performance measurements |
| US9596629B2 (en) | 2012-03-15 | 2017-03-14 | Kyocera Corporation | Systems and methods for transparent point-to-point handovers of a mobile relay |
| GB2500267A (en) | 2012-03-16 | 2013-09-18 | Nec Corp | Using subscription information for a mobile device to select parameters when handing over from a LTE network to a CDMA network |
| US9014697B2 (en) | 2012-04-03 | 2015-04-21 | Apple Inc. | Wireless network selection |
| DE102013210307A1 (de) * | 2013-06-04 | 2014-12-04 | Bayerische Motoren Werke Aktiengesellschaft | Kommunikationsgerät, System und Verfahren zur Kommunikation zwischen einem Kommunikationsgerät und mindestens zwei Basisstationen |
| US9167454B1 (en) | 2014-05-08 | 2015-10-20 | Sprint Communications Company L.P. | Wireless communication system to detect an abnormal condition associated with wireless communication device types |
| GB2553591A (en) * | 2016-09-13 | 2018-03-14 | Siemens Rail Automation Holdings Ltd | Method of operation of a monitoring device |
| US11765637B2 (en) | 2017-02-01 | 2023-09-19 | Interdigital Patent Holdings, Inc. | Assurance driven mobility management |
| WO2019030425A1 (en) * | 2017-08-11 | 2019-02-14 | Nokia Technologies Oy | EXCHANGE OF INFORMATION FOR AN AIR VEHICLE WITHOUT PILOT |
| US10659190B1 (en) | 2019-02-25 | 2020-05-19 | At&T Intellectual Property I, L.P. | Optimizing delay-sensitive network-based communications with latency guidance |
| CN115002859B (zh) * | 2022-06-28 | 2023-10-03 | 亿航智能设备(广州)有限公司 | 一种飞行器的运营商网络切换方法、设备及存储介质 |
| CN116209030B (zh) * | 2023-05-06 | 2023-08-18 | 四川中普盈通科技有限公司 | 一种移动平台抗弱网通信网关接入方法及系统 |
Family Cites Families (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| GB2242806B (en) * | 1990-04-06 | 1994-04-20 | Stc Plc | Handover techniques |
| US5572221A (en) * | 1994-10-26 | 1996-11-05 | Telefonaktiebolaget Lm Ericsson | Method and apparatus for detecting and predicting motion of mobile terminals |
| FI106671B (fi) * | 1995-03-13 | 2001-03-15 | Nokia Mobile Phones Ltd | Matkaviestinkokonaisuus, matkaviestinpäätelaite ja menetelmä yhteyden muodostamiseksi matkaviestinpäätelaitteelta |
| CA2200787A1 (en) * | 1996-07-09 | 1998-01-09 | Gregory M. Durant | Mobile-assisted hand-off across multiple wireless data networks |
| DE69739757D1 (de) * | 1996-12-26 | 2010-03-25 | Nippon Telegraph & Telephone | Weiterreichenverfahren zur verringerung der phasendifferenz zur synchronisation einer mobilstation |
| EP1041850A1 (en) * | 1999-04-01 | 2000-10-04 | Nortel Matra Cellular | Method and apparatus for changing radio link configurations in a mobile telecommunications system with soft handover |
| JP2000354120A (ja) * | 1999-06-14 | 2000-12-19 | Nippon Telegr & Teleph Corp <Ntt> | 通信装置、最適通信サービス選択方法及び記録媒体 |
| JP2001024820A (ja) * | 1999-07-12 | 2001-01-26 | Nippon Telegr & Teleph Corp <Ntt> | 通信装置、およびその制御方法を記録した記憶媒体 |
| CA2327612A1 (en) * | 1999-12-14 | 2001-06-14 | Lucent Technologies Inc. | Telecommunications network and method for conveying measurement information for multiple pilots of a candidate frequency |
| GB0104281D0 (en) * | 2001-02-21 | 2001-04-11 | Nokia Networks Oy | A communication system |
| US7206579B2 (en) * | 2001-12-21 | 2007-04-17 | Ntt Docomo, Inc. | Adaptive IP handoff triggering and iterative tuning of IP handoff trigger timing |
-
2003
- 2003-09-12 EP EP03753412A patent/EP1665853A1/en not_active Withdrawn
- 2003-09-12 WO PCT/EP2003/010183 patent/WO2005027556A1/en active Application Filing
- 2003-09-12 JP JP2005508863A patent/JP4585969B2/ja not_active Expired - Fee Related
- 2003-09-12 AU AU2003271605A patent/AU2003271605A1/en not_active Abandoned
-
2004
- 2004-01-23 CN CNB2004800261627A patent/CN100512538C/zh not_active Expired - Lifetime
Cited By (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101128012B (zh) * | 2006-08-14 | 2012-03-21 | 华为技术有限公司 | 一种移动终端进行快速切换的方法 |
| CN101606407A (zh) * | 2007-02-02 | 2009-12-16 | 诺基亚公司 | 在切换期间改变无线电接入网安全算法 |
| CN105429750A (zh) * | 2007-02-02 | 2016-03-23 | 诺基亚公司 | 在切换期间改变无线电接入网安全算法 |
| CN101568107A (zh) * | 2008-04-22 | 2009-10-28 | 日电(中国)有限公司 | 票据分发装置、快速认证装置、接入点及其方法 |
| CN101568107B (zh) * | 2008-04-22 | 2014-04-16 | 日电(中国)有限公司 | 票据分发装置、快速认证装置、接入点及其方法 |
| CN102440019B (zh) * | 2008-05-07 | 2015-05-13 | 阿尔卡特朗讯美国公司 | 在无线通信网络中生成传输加密密钥 |
| CN105684485A (zh) * | 2013-11-01 | 2016-06-15 | 汤姆逊许可公司 | 用于无线网络的链路恢复的方法及相应设备 |
| CN107113606A (zh) * | 2014-12-22 | 2017-08-29 | 瑞典爱立信有限公司 | 减轻无线网络中的加密故障的缺点 |
| CN107113606B (zh) * | 2014-12-22 | 2020-09-29 | 瑞典爱立信有限公司 | 与通用分组无线服务网络通信的方法、设备及存储介质 |
| CN105472609A (zh) * | 2015-11-11 | 2016-04-06 | 北京邮电大学 | 航空通信nemo网络下基于安全互联的切换认证机制 |
| CN109496449A (zh) * | 2016-08-05 | 2019-03-19 | 高通股份有限公司 | 用于无线设备与局域网之间的连接的从源接入节点向目标接入节点的快速过渡的技术 |
Also Published As
| Publication number | Publication date |
|---|---|
| AU2003271605A1 (en) | 2005-04-06 |
| JP4585969B2 (ja) | 2010-11-24 |
| JP2007515826A (ja) | 2007-06-14 |
| CN100512538C (zh) | 2009-07-08 |
| WO2005027556A1 (en) | 2005-03-24 |
| EP1665853A1 (en) | 2006-06-07 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN1849840A (zh) | 安全域内和域间切换 | |
| CN1714542A (zh) | 无线局域网互连中的识别信息保护方法 | |
| CN101053233A (zh) | 用于控制通信网络中移动性的方法和系统,及其相关网络和计算机程序产品 | |
| CN1275418C (zh) | 分组数据网中的验证 | |
| CN1269369C (zh) | 移动通信方法和移动通信系统 | |
| CN101076976A (zh) | 认证系统、认证方法以及认证信息生成程序 | |
| CN1905720A (zh) | 传送移动电信网中与至少一个移动终端相关的信息的方法 | |
| CN1636356A (zh) | 基于网际协议的无线通信方案 | |
| CN1751533A (zh) | 在移动无线电系统中形成和分配加密密钥的方法和移动无线电系统 | |
| CN101047587A (zh) | 一种非无线局域网终端访问外部网络的系统及方法 | |
| CN1539106A (zh) | 互联网协议的模块化鉴权和授权方案 | |
| CN1906883A (zh) | 实现基于无状态服务器的预共享私密 | |
| CN1875598A (zh) | 用于异构ip网络认证的装置和方法 | |
| CN1525705A (zh) | 对802.11网络的原文wi-fi架构 | |
| CN101036174A (zh) | 使用基于核心的节点进行状态传输的增强技术 | |
| CN1764294A (zh) | 用于在移动电话终端之间建立数据传送路径的系统 | |
| CN1836417A (zh) | 支持移动ip第6版业务的方法、系统和设备 | |
| CN101077031A (zh) | 无线电网络控制装置、无线电局域网中继装置、无线电通信系统、以及无线电通信系统通信方法 | |
| CN1503595A (zh) | 使用压缩重关联交换辅助快速越区切换的802.11 | |
| CN1266572A (zh) | 数据发送/接收方法、数据发送设备、数据接收设备、数据发送/接收系统、av内容发送方法、av内容接收方法、av内容发送设备、av内容接收设备和程序记录媒体 | |
| CN1852418A (zh) | 移动电视播出控制系统和播放网络及播出方法 | |
| CN1799241A (zh) | Ip移动性 | |
| CN1863145A (zh) | 互通无线局域网中服务质量修改方法 | |
| CN1794676A (zh) | 用户接入无线通信网络的方法和无线网络接入控制装置 | |
| CN1656738A (zh) | 在连接多个数据通信网络的中间网络元件处的接入控制 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CX01 | Expiry of patent term | ||
| CX01 | Expiry of patent term |
Granted publication date: 20090708 |