专利名称:通信网络中终端切换后更新tek的实现方法
技术领域:
本发明涉及网络通信技术领域,尤其涉及一种通信网络中终端切换后更新TEK的实现方法。
背景技术:
在移动通信系统中,移动终端的移动性使得其经常会从一个基站切换至另一个基站,当移动终端切换到另一基站后,为保证移动终端仍然可以通过新的基站进行通信,新的基站需要获得一些移动终端开展通信业务所需要的参数信息,其中包括SA(Security Association,安全联盟)信息。
在IEEE802.16中,所述的SA信息中包括TEK(Traffic Encryption Key,通信加密密钥)对的参数信息,所述的TEK对用于作为MSS(MobileSubscriber Station,移动终端也称移动订阅台)和BS(Base Station,基站)之间的用户面的数据加密使用。
所述的TEK对的参数包含有TEK、KEY-Lifetime(通信加密密钥的剩余生命周期)、Key-Sequence-Number(通信加密密钥序列号)、CBC-IV(通信加密密钥在CBC模式下的初始向量)、PN(包序列号)、RxPN(接收到的包号)、Associated GKEK Sequence Number(组播下的组播密钥加密密钥序列号)。
目前,还没有提供用于MSS切换后获取TEK信息的实现方案,因而,无法保证切换后的MSS可以BS之间实现可靠通信。
发明内容
本发明的目的是提供一种通信网络中终端切换后更新TEK的实现方法,从而使得切换后的MSS可以获得重新生成TEK,以保证MSS切换与BS之间通信的可靠性。
本发明的目的是通过以下技术方案实现的本发明提供了一种通信网络中终端切换后更新TEK的实现方法,包括A、用户终端切换后所在小区的基站为用户终端分配新的通信加密密钥对TEK及参数信息,并发送给用户终端;B、用户终端接收所述的TEK及参数信息并保存。
所述的步骤A包括A1、用户终端向基站发送请求消息,请求基站分配TEK及参数信息;A2、基站接收所述消息后为该用户终端分配相应的TEK及参数信息,并发送给用户终端。
所述的步骤A还包括A3、用户终端从基站发来的消息中获取新的安全联盟标识,将其与原TEK状态机关联,并设置为开始状态;A4、当用户完成安全联盟信息的更新后,将TEK状态机设置为可操作等待状态,并执行步骤A1。
本发明中,步骤A4所述的用户完成安全联盟信息的更新包括A41、用户终端向基站请求获得安全联盟信息;A42、基站根据用户终端的请求将需要更新的安全联盟信息通过安全联盟响应消息发送给用户终端,消息中指示为用户终端的TEK不需要更新。
所述的安全联盟响应消息中包括安全联盟更新域,所述的安全联盟更新域承载的内容包括安全联盟标识、安全联盟类型、安全联盟服务类型、加密元组、原通信加密密钥信息和/或新的通信加密密钥信息。
所述的步骤A2还包括当在所述的请求消息中携带着用户终端从基站获得的更新后的安全联盟标识信息时,则基站根据用户终端发来的安全联盟标识信息进行TEK及参数信息的分配。
所述的步骤A还包括A5、用户终端向基站发送寻址请求消息;A6、基站向用户终端返回响应消息,响应消息中携带着切换过程优化参数信息;A7、用户终端根据所述的优化参数信息确定需要重新生成TEK及参数信息,并执行步骤A1。
所述的步骤A7还包括当根据所述的优化参数信息确定需要与基站之间进行能力协商时,则用户终端与基站之间进行基本能力的协商处理;和/或,当根据所述的优化参数信息确定需要进行重认证时,则基站重新生成授权密钥及其标识,并发送给用户终端。
所述的通信网络包括微波接入全球互通WIMAX系统。
由上述本发明提供的技术方案可以看出,本发明的实现使得MSS切换后能够获得重新生成TEK对,从而保证切换后的用户终端可以与BS之间实现可靠通信。而且,本发明还以利用802.16协议中支持的相关规定支持切换后TEK重新生成机制,使得本发明的实现更为便捷。
图1为本发明所述的方法的流程图。
具体实施例方式
为满足切换过程中的参数优化需求,IEEE802.16作为WiMAX(微波接入全球互通)的空口标准,其当前的HO Process Optimization(切换过程优化)参数中提供了一些配置位,用于指明能够省略的步骤,或者指明不能够省略的步骤,具体为未指明时,就表示不能够省略。
本发明中可以利用该配置位指明不省略TEK的生成过程,即采用未指明省略的方式指示TEK需要重新生成,从而使得当根据实际需要确定并指明重新生成TEK时,可以采用本发明提供重新生成TEK信息的处理过程,以生成用于切换后采用的TEK信息。
下面将结合切换后空口交互过程对本发明提供的重新生成TEK对的实现过程进行描述。
如图1所示,具体包括以下处理过程步骤11切换过程完成后,MSS向目标基站(后面直接称为基站)发送RNG-REQ(寻址请求)消息。
步骤12基站给MSS回应RNG-RSP(寻址响应)消息,并使用切换过程优化参数来指示是否需要做基本能力协商过程(即SBC过程)和重认证过程以及TEK的生成过程,同时要把需要更新的SAID(安全联盟标识)通过该消息传给MSS,使MSS更新SAID,所述的需要更新的SAID包括旧的SAID和对应的新的SAID。
如果需要做基本能力协商,则执行步骤13。
如果需要做重认证过程,在做完重认证后,对生成的AK(授权密钥)要做同步指示,这时候基站就需要向MSS发送SA-TEK-Challenge(安全联盟-TEK-挑战码)消息,即执行步骤14。
如果指示不需要重认证,则可以在RNG-RSP消息中带上SA ChallengeTuple TLV(中文?),这样就不需要执行步骤14,如果MSS侧已经准备好了AK,就可以直接回应SA-TEK-Request了。
如果指示需要重新生成TEK,则在MSS收到RNG-RSP消息中的新的SAID的时候,MSS应该使用新的SAID代替旧的SAID与原来的TEK状态机的关联,这样就使得新的SAID与TEK状态机关联起来了,同时,还应将所述的TEK状态机的状态重置为Start(开始)状态,即激活TEK状态,所述的TEK状态机用于TEK的更新处理。
步骤13如果RNG-RSP中的切换过程优化参数指示要进行基本能力协商,则进行一个SBC-REQ和SBC-RSP的过程。
步骤14如果RNG-RSP中的切换过程优化参数指示要进行重认证,那么重认证完成之后如果基站得AK以及生成,则基站和MSS要协商AK的同步,基站就会向MSS发出SA-TEK-Challenge消息,并在这个消息中带上新的AK和AKID。
步骤15MSS收到SA-TEK-Challenge消息后,如果新的AK已经准备好,则回应SA-TEK-Request消息。并且,在这个消息中,MSS会带上自己支持的基本能力参数。
步骤16基站收到MSS发过来的SA-TEK-Request消息后,会给其回复一条SA-TEK-Response消息,在这个消息中会带上表1中定义的SA_TEK_UPDATE字段中的内容,并将需要更新的字段置为其占用的字节长度,不需要更新的字段字节长度置为0。并在指示值的后面跟上要更新的内容;SA_TEK_UPDATE字段包含的内容信息如表1所示表1
本发明中TEK需要重新生成,则此时需要将新旧TEK的指示字段为零,表示在SA-TEK-Response消息中不需要更新新旧TEK。
这样,当MSS收到这条消息后,就可以按照SA_TEK_UPDATE的SAID字段找到需要更新的SA,然后,按照SA_TEK_UPDATE中指定的值进行字段更新。这样,通过这条信息就已经将从切换前的基站上传过来的SA中需要更新的内容更新掉了,但是不包括TEK对。
步骤17发出PKMv2 Key Request(密钥管理第2版密钥请求)消息,同时TEK状态机也由Start状态变为Op Wait(可操作等待)状态。消息中要指明BS为其分配的新的SAID。
步骤18BS侧为此Key Request消息中包含的SAID对应的SA上下文生成一个TEK对(<TEK0,TEK1>)及与TEK相关的参数,然后,使用PKMv2Key Reply(密钥管理第2版密钥响应)消息发给MSS。
经过上述处理,实现了MSS切换后重新生成TEK对,从而使得802.16协议中支持的切换后TEK重新生成的机制可以得到技术上的支持。
以上所述,仅为本发明较佳的具体实施方式
,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应该以权利要求的保护范围为准。
权利要求
1.一种通信网络中终端切换后更新TEK的实现方法,其特征在于,包括A、用户终端切换后所在小区的基站为用户终端分配新的通信加密密钥对TEK及参数信息,并发送给用户终端;B、用户终端接收所述的TEK及参数信息并保存。
2.根据权利要求1所述的通信网络中终端切换后更新TEK的实现方法,其特征在于,所述的步骤A包括A1、用户终端向基站发送请求消息,请求基站分配TEK及参数信息;A2、基站接收所述消息后为该用户终端分配相应的TEK及参数信息,并发送给用户终端。
3.根据权利要求2所述的通信网络中终端切换后更新TEK的实现方法,其特征在于,所述的步骤A还包括A3、用户终端从基站发来的消息中获取新的安全联盟标识,将其与原TEK状态机关联,并设置为开始状态;A4、当用户完成安全联盟信息的更新后,将TEK状态机设置为可操作等待状态,并执行步骤A1。
4.根据权利要求3所述的通信网络中终端切换后更新TEK的实现方法,其特征在于,步骤A4所述的用户完成安全联盟信息的更新包括A41、用户终端向基站请求获得安全联盟信息;A42、基站根据用户终端的请求将需要更新的安全联盟信息通过安全联盟响应消息发送给用户终端,消息中指示为用户终端的TEK不需要更新。
5.根据权利要求4所述的通信网络中终端切换后更新TEK的实现方法,其特征在于,所述的安全联盟响应消息中包括安全联盟更新域,所述的安全联盟更新域承载的内容包括安全联盟标识、安全联盟类型、安全联盟服务类型、加密元组、原通信加密密钥信息和/或新的通信加密密钥信息。
6.根据权利要求3所述的通信网络中终端切换后更新TEK的实现方法,其特征在于,所述的步骤A2还包括当在所述的请求消息中携带着用户终端从基站获得的更新后的安全联盟标识信息时,则基站根据用户终端发来的安全联盟标识信息进行TEK及参数信息的分配。
7.根据权利要求2所述的通信网络中终端切换后更新TEK的实现方法,其特征在于,所述的步骤A还包括A5、用户终端向基站发送寻址请求消息;A6、基站向用户终端返回响应消息,响应消息中携带着切换过程优化参数信息;A7、用户终端根据所述的优化参数信息确定需要重新生成TEK及参数信息,并执行步骤A1。
8.根据权利要求7所述的通信网络中终端切换后更新TEK的实现方法,其特征在于,所述的步骤A7还包括当根据所述的优化参数信息确定需要与基站之间进行能力协商时,则用户终端与基站之间进行基本能力的协商处理;和/或,当根据所述的优化参数信息确定需要进行重认证时,则基站重新生成授权密钥及其标识,并发送给用户终端。
9.根据权利要求1至8任一项所述的通信网络中终端切换后更新TEK的实现方法,其特征在于,所述的通信网络包括微波接入全球互通WIMAX系统。
全文摘要
本发明涉及一种通信网络中终端切换后更新TEK的实现方法。本发明主要包括首先,用户终端切换后所在小区的基站为用户终端分配新的通信加密密钥对TEK及参数信息,并发送给用户终端,之后,用户终端接收所述的TEK及参数信息并保存,从而实现用户终端切换后TEK的更新。本发明的实现使得MSS切换后能够获得重新生成TEK对,从而保证切换后的用户终端可以与BS之间实现可靠通信。而且,本发明还以利用802.16协议中支持的相关规定支持切换后TEK重新生成机制,使得本发明的实现更为便捷。
文档编号H04W36/08GK1942002SQ20051010811
公开日2007年4月4日 申请日期2005年9月29日 优先权日2005年9月29日
发明者单长虹, 林志斌 申请人:华为技术有限公司