一种异构网络切换中链路建立前的消息安全传送方法

专利名称：一种异构网络切换中链路建立前的消息安全传送方法
技术领域：
本发明涉及异构网络切换技术，特别涉及一种异构网络切换中链路建立前的消息安全传送方法。
背景技术：
现有通信系统中存在着许多不同架构的网络，如802.11、802.16、3GPP(3rd Generation Partnership Project，第三代移动通信标准化伙伴项目)等网络，然而，在上述异构网络中很难在保证业务连续性的条件下方便地进行切换和漫游。
正是基于以上原因，产生了IEEE 802.21(媒体无关切换)协议。该协议在异构网络中通过把链路层信息和其他相关的网络信息提供给上层以优化切换的标准。用于满足在不同的媒体之间进行软硬件切换的要求以及实现相应的切换机制，其目标是最终使客户端设备在网间漫游时能自动选择质量最好的网络连接类型和接入点，而且能在无须用户干预的情况下实现无缝切换，通过支持异构网络间的切换增强移动设备的用户体验。
IEEE 802.21协议支持多种异构网络，包括IEEE 802.3、IEEE 802.11、IEEE 802.16以及3GPP、3GPP2等；同时支持移动和固定用户的切换、支持终端设备和网络设备的协同应用。
IEEE 802.21协议定义了MN(Mobile Node，移动节点)，在异构的链路层切换时能够提供透明的连续性服务的架构，该节点以网络元素中支持切换的移动性管理协议栈为基础。其中，移动管理协议栈中定义了一组切换相关的功能及新的实体，MIHF(Media Independent HandoverFunction，媒体无关切换功能)；定义了一组媒体无关的SAPs(ServiceAccess Point，服务接入点)和接入MIHF的相关原语，所述相关原语包括MIES(Media Independent Event Services，媒体无关事件服务)、MICS(Media Independent Command Services，媒体无关命令服务)、MIIS(Media Independent Information Service，媒体无关信息服务)；定义了针对每种特定接入技术的额外的MAC(Medium Access Control，媒质接入控制)层SAPs和相关原语，MIHF通过SAPs和其它层及功能平面进行消息交换，如图1所示，每个SAP由一组指定交换信息的原语和交换信息的格式所组成，有助于采集链路层信息和在切换时控制链路行为。
其中，MIHF通过良好的接口为其上下层提供同步或异步服务。MIHF的位置和关键服务网络如图2所示，MIHF位于上层(三层及三层以上，例如会话初始协议SIP、移动IP版本4MIPV4、移动IP版本6MIPV6、归属域IP HIP)和底层(二层及以下层，如802.3、802.11、802.16、第三代伙伴计划3GPP和第三代伙伴计划23GPP2)之间，底层发送的链路层事件经过MIHF层转换为媒体无关切换事件发送到上层；上层发送的媒体无关切换命令经过MIHF层转换为链路层命令发送到底层。例如，L3MP(3层移动性管理协议)可以利用MIH(Media IndependentHandover，媒体无关切换)提供的事件、命令和信息服务来管理、决定和控制底层接口的状态。MIH层的参考模型网络结构如图3所示，一个具有媒体无关切换能力的终端分别与4个不同接入网(无线局域网、Wimax、蜂窝网络及有线连接802.3)连接，通过MIH层提供的服务可以在保持服务的连续性，适应服务质量的变化，管理电源的续航能力，网络发现及网络选择等方面提供对L3MP和其它协议层的帮助；并有助于移动设备在异构网络间进行无缝切换，能够支持高层协议如Mobile IP来保证切换及会话过程的连续性。MIH层的参考模型网络层次如图4所示，用户终端侧与网络侧通过媒体无关切换。另外，部署了MIH服务的移动终端将接收到来自低层的异步操作指令，如事件服务。
其中，MIES支持本地事件和同种媒体类型的远程事件。本地事件由MAC或无线链路等传播到本地协议栈的MIH或L3MP，本地协议栈可以位于移动终端侧或网络侧的接入点如AP(Access Point，接入点)或BS(Base Station，基站)等。远程事件从MIH或L3MP传播到对端的MIH或L3MP层，不同媒体协议栈之间的远程事件不予支持。事件可以用来指示媒体接入控制中数据链路层传输行为的改变或预测状态的变迁，或指示网络侧的管理行为或命令。事件的发源端包括媒体接入控制中数据链路层，PHY或MIHF，目的端包括本地协议栈的MIH和/或远端协议栈的MIH等。事件的目的端采用动态注册机制，可以注册特定事件。事件可以携带附加的上下文数据，比较重要的事件包括Link Up(链路建立指示事件，当一个媒体接入控制层链接在指定的链路接口建立而且L3MP和其他高层可以发送高层包时发送这个通知)、Link Down(链路断掉指示事件，当一个媒体接入控制层链接在指定的链路接口断掉而且没有包在指定的链路上发送时发送这个通知)、Link Detected(发现一个新的链路)、LinkHandover Imminient(切换马上将要开始)等。
其中，媒体无关命令服务用于用户发出命令控制切换相关的链路行为，是指参考模型中高层发送到低层的命令。包括从高层到MIH(L3MP到MIH或策略引擎到MIH)的命令、从MIH到其低层(MIH到MAC或MIH到PHY)的命令，命令可以从本地的MIH实体发送到远端的MIH实体。命令中主要包括高层对本地设备实体和远端实体低层的决策，用以控制低层的行为，比较重要的命令包括MIH Capability Discover(用于得到不用链路的MIH能力)、MIH Poll(被上层用来得到当前连接上的或者潜在可用的链路信息)、MIH Switch(被上层用来把一个激活的会话从一个链路切换到另外一个链路)、MIH Configure(由上层发起来控制底层的行为)、MIH Scan(被上层用来去发现相邻的POA信息)等。
其中，媒体无关信息服务主要提供了一组信息元素，信息结构和信息传输机制的查询/请求的表示形式。信息可以存储在MIHF实体中或MIHF可以存取的信息服务器中。网络信息服务能力可以通过特定的格式进行存取，该格式的结构和定义可以用一种高级语言表示，如XML。信息服务可以存取邻居信息报告等在内的静态信息，这些信息有助于网络发现；也可以提供动态信息优化不同网络间链路层的连接，包括链路层参数，如信道信息，MAC地址和安全信息等，比较重要的信息包括Data_Rates(数据率)、Location_LatLong(POA的地理位置，经度和纬度坐标信息)、Networks_supported(POA支持的网络类型，如802.3，802.11a，802.11b，802.11g，802.16a，802.16d，802.16e，GSM，GPRS，W-CDMA，CDMA2000，等)、Quality_of_Service(QoS参数)等。
现有技术的单种网络，比如802.11只能保证在STA和AP关联成功后发送的帧是安全的。因此802.11对各种帧传送分为三种级别把State1记为Unauthenticated，Unassociated；把State2记为Authenticated，Unassociated；把State3记为Authenticated，Associated，则Class1帧能在State1、State2、State3传送，Class2帧只能在State2和State3传送，Class3帧只能在State3传送。通过分级，从而对于关联之前发送的帧没有需要进行安全保护，如Class1中的Beacon帧在关联之前可以发送，本身就是广播形式。
目前802.21中，由于在切换完成关联成功后，具体链路的消息传送的安全机制是由链路采用的具体协议决定的，比如如果是802.11链路，就由802.11中安全协议来保证消息传送安全，因此，只能保证STA(Station，工作站)和POA(Point of Attachment，附着点)在关联成功后消息的传送是安全的。然而，802.21是异构网络之间的切换，存在很多需要在关联之前发送的命令、事件、信息等，可是，在STA和POA关联之前事件、命令和信息消息的传送都是无法保证安全的，比如在中途被人截获修改。
另外，由于切换关联过程发起目前都是由终端发起，当前协议只定义了STA向POA去认证，而没有考虑到POA也会向STA发认证消息，因此以前提出的认证命令都是单向的。然而，802.21中命令、事件、信息等消息传送机制都是双向的。

发明内容
本发明要解决的问题是提供一种异构网络切换中链路建立前的消息安全传送方法，以解决现有技术中STA和POA关联之前事件、命令和信息消息的传送都是无法保证安全的缺陷。
为解决上述问题，本发明提供了一种异构网络切换中链路建立前的消息安全传送方法，包括以下步骤A、第一终端向第二终端发送加密请求；B、所述第二终端向所述第一终端发送加密响应；C、所述第一终端向所述第二终端发送消息认证请求；D、所述第二终端根据所述消息认证请求进行认证，并向所述第一终端发送消息认证响应；E、所述第一终端和所述第二终端进行消息传送。
所述第一终端和所述第二终端通过加密协商原语进行传送加密请求和加密响应，实现消息传送的加密协商。
所述加密协商原语包括加密协商请求原语和加密协商响应原语。
所述加密协商请求原语中包括请求发起端标识符、请求接收端标识符、动作符和原语方式符。
所述加密协商响应原语包括响应发起端标识符、响应接收端标识符、结果码、结果动作、结果原语方式和支持原语方式。
步骤B中，所述第二终端向所述第一终端发送加密响应中包括本身支持的加密协议类型。
所述消息认证包括命令认证、事件认证和信息认证。
所述命令认证通过命令类消息认证协商原语实现；所述事件认证通过事件类认证协商原语实现；所述信息认证通过信息类消息认证协商原语实现。
所述命令类消息认证协商原语包括命令类认证协商请求、命令类认证协商确认、命令类注销认证协商请求和命令类注销认证协商确认。
所述命令类认证协商请求包括请求发起端标识符、请求接收端标识符、命令类型和滤波器参数；所述命令类认证协商确认包括响应发起端标识符、响应接收端标识符和结果码；所述命令类注销认证协商请求包括请求发起端标识符、请求接收端标识符、命令类型和滤波器参数；
所述命令类注销认证协商确认包括响应发起端标识符、响应接收端标识符和结果码。
所述事件类消息认证协商原语包括事件类认证协商请求、事件类认证协商确认、事件类注销认证协商请求和事件类注销认证协商确认。
所述事件类认证协商请求包括请求发起端标识符、请求接收端标识符、事件类型和滤波器参数；所述事件类认证协商确认包括响应发起端标识符、响应接收端标识符和结果码；所述事件类注销认证协商请求包括请求发起端标识符、请求接收端标识符、事件类型和滤波器参数；所述事件类注销认证协商确认包括响应发起端标识符、响应接收端标识符和结果码。
所述信息类消息认证协商原语信息类认证协商请求、信息类认证协商确认、信息类注销认证协商请求和信息类注销认证协商确认。
所述信息类认证协商请求包括请求发起端标识符、请求接收端标识符、信息类型和滤波器参数；所述信息类认证协商确认包括响应发起端标识符、响应接收端标识符和结果码；所述信息类注销认证协商请求包括请求发起端标识符、请求接收端标识符、信息类型和滤波器参数；所述信息类注销认证协商确认包括响应发起端标识符、响应接收端标识符和结果码。
步骤D中认证后，在终端记录通过该消息认证。
所述第一终端为工作站、所述第二终端为附着点；或所述第一终端为附着点、所述第二终端为工作站，其中，加密和认证协商都是双向的，工作站和附着点都能发起和响应，并对当工作站发起附着点响应时状态信息保存在工作站处，附着点发起工作站响应状态信息保存在附着点处。
本发明还提供了一种异构网络切换中链路建立前的消息安全传送方法，包括以下步骤a、所述第一终端向所述第二终端发送消息认证请求；b、所述第二终端根据所述消息认证请求进行认证，并向所述第一终端发送消息认证响应；c、所述第一终端和所述第二终端进行消息传送。
所述消息认证包括命令认证、事件认证和信息认证。
所述命令认证通过命令类消息认证协商原语实现；所述事件认证通过事件类认证协商原语实现；所述信息认证通过信息类消息认证协商原语实现。
本发明又提供了一种异构网络切换中链路建立前的消息安全传送方法，包括以下步骤(1)第一终端向第二终端发送加密请求，加密请求中包括加密协议类型；(2)第二终端根据加密协议类型对消息进行加密，并向第一终端发送加密响应；(3)所述第一终端和所述第二终端进行消息传送。
所述第一终端和所述第二终端通过加密协商原语进行消息传送的加密协商。
所述加密协商原语包括加密协商请求原语和加密协商响应原语。
所述加密协商请求原语中包括请求发起端标识符、请求接收端标识符、动作符和原语方式符。
所述加密协商响应原语包括响应发起端标识符、响应接收端标识符、结果码、结果动作、结果原语方式、支持原语方式。
与现有技术相比，本发明具有以下优点本发明提供在链路建立前命令、事件、信息等消息认证协商机制，杜绝了非法消息；并且在链路建立前命令、事件、信息等消息传送过程中的加密协商机制，杜绝了消息被恶意攻击。
进一步，本发明提出的安全协商机制是一个双向的过程，STA会向POA发送消息，POA也会向STA发送消息，因此，加密协商的发起/响应，认证发起/响应都应该是双向的，即加密协商和认证都既可以由STA发起，也可以由POA发起。所以对安全来说双向就是指请求和响应STA和POA都可以发起。
进一步，本发明即不是简单的只在POA侧保留通过认证和加密协商的STA信息，同时在STA中也会保留通过认证和加密协商的POA信息，从而对从POA发向STA的命令、事件、信息等消息也能提供安全传送保障机制。


图1是现有技术中异构网络层次结构图。
图2是MIHF的位置和关键服务网络图。
图3是MIH参考模型网络结构图。
图4是MIH参考模型的网络层次图。
图5是本发明一个优选实施例流程图。
图6是本发明中一个典型优选实施例流程图。
图7是本发明又一个优选实施例流程图。
图8是本发明再一个优选实施例流程图。
具体实施例方式
下面本发明将结合附图，对本发明的最佳实施方案进行详细描述。
本发明异构网络切换中链路建立前的消息安全传送方法的一个优选实施例的流程如图5所示，包括以下步骤步骤s101，第一终端向第二终端发送加密请求。其中，加密请求中可以包括加密协议类型。
步骤s102，第二终端向第一终端发送加密响应，第一终端根据加密响应做出决策，比如，第一终端可以向第二终端发送第一终端请求的加密类型，如果第二终端不支持第一终端请求的加密类型，则通知第一终端无法实现加密，并通知可以支持的加密协议类型。
步骤s103，第一终端向第二终端发送消息认证请求。当在关联之前，第一终端(STA或POA)要向第二终端(POA或STA)发命令、事件、信息等消息时，首先要向对方发上面各自相对应认证原语，只有通过认证协商的消息才会得到对方的认可，否则将会被丢弃。通过认证机制的引入，还可以解决非法消息攻击问题。
步骤s104，第二终端根据消息认证请求进行认证，并向第一终端发送消息认证响应。如果认证不成功，则通知第一终端；如果认证成功则转步骤s105。
步骤s105，第一终端和第二终端进行消息传送。
在步骤s101和s102中，第一终端和第二终端通过加密协商原语进行消息传送的加密协商。加密协商原语包括加密协商请求原语Encrypt.request(SourceIdentifier，DestinationIdentifier，Action，EncryptMethod)和加密协商响应原语Encrypt.response(SourceIdentifier，DestinationIdentifier，ResultCode，ResultAction，ResultEncryptMethod，SupportedEncryptMethod)。其中，密协商请求原语中包括请求发起端标识符SourceIdentifier、请求接收端标识符DestinationIdentifier、动作符Action和原语方式符EncryptMethod，Action取值为ON/OFF，表示采用加密算法或者不采用；EncryptMethod表示希望采用的加密算法。
加密协商响应原语包括响应发起端标识符SourceIdentifier、响应接收端标识符DestinationIdentifier、结果码ResultCode、结果动作ResultAction、结果原语方式ResultEncryptMethod、支持原语方式SupportedEncryptMethod。其中，ResultCode表示是否同意对方的协商请求；ResultAction表示是采用加密算法还是不采用；ResultEncryptMethod表示采用哪种Encrypt.request中提出的加密算法；SupportedEncryptMethod表示对等端这边支持哪些加密算法。
步骤s104中的消息认证包括命令认证、事件认证和信息认证。命令认证通过命令类消息认证协商原语实现；事件认证通过事件类认证协商原语实现；信息认证通过信息类消息认证协商原语实现。
其中，命令类消息认证协商原语包括命令类认证协商请求Command_AUTHENTICATE.request(SourceIdentifier，DestinationIdentifier，CommandType，FilterParameters)、命令类认证协商确认Command_AUTHENTICATE.confirm(SourceIdentifier，DestinationIdentifier，ResultCode)、命令类注销认证协商请求Command_DEAUTHENTICATE.request(SourceIdentifier，DestinationIdentifier，CommandType，FilterParameters)、命令类注销认证协商确认Command_DEAUTHENTICATE.confirm(SourceIdentifier，DestinationIdentifier，ResultCode)。命令类认证协商请求中包括请求发起端标识符SourceIdentifier、请求接受端标识符DestinationIdenifier、命令类型CommandType，如MIH命令，L2层命令或者是ALL，表示所有类型的命令都同时进行认证、滤波器参数FilterPamaters，可以具体指定哪个命令通过认证。命令类认证协商确认包括响应发起端标识符SourceIdentifier、响应接受端标识符DestinationIdentifier、结果码ResultCode，表示是否同意对方的认证协商请求，如果拒绝会注明原因。命令类注销认证协商请求包括请求发起端标识符SourceIdentifier、请求接受端标识符DestinationIdentifier、命令类型CommandType，如MIH命令，L2层命令.或者是ALL，表示对所有类型的命令都同时进行注销、滤波器参数FilterPamaters，可以具体指定注销哪个命令。命令类注销认证协商确认包括响应发起端标识符SourceIdenifier、响应接受端标识符DestinationIdentifier、结果码ResultCode，表示是否同意注销对方的已通过认证的命令，如果拒绝会注明原因。
事件类消息认证协商原语包括事件类认证协商请求Event_AUTHENTICATE.request(SourceIdentifier，DestinationIdentifier，EventType，FilterParameters)、事件类认证协商确认Event_AUTHENTICATE.confirm(SourceIdenifier，DestinationIdentifier，ResultCode)、事件类注销认证协商请求Event_DEAUTHENTICATE.request(SourceIdenifier，DestinationIdentifier，EventType，FilterParameters)、事件类注销认证协商确认Event_DEAUTHENTICATE.confirm(SourceIdentifier，DestinationIdentifier，ResultCode)。其中，事件类认证协商请求包括请求发起端标识符SourceIdentifier、请求接受端标识符DestinationIdentifier、事件类型EventType，如MIH事件，L2层事件.或者是ALL，表示所有类型的事件都同时进行认证、滤波器参数FilterPamaters，可以具体指定哪个事件通过认证。事件类认证协商确认包括响应发起端标识符SourceIdentifier、响应接受端标识符DestinationIdentifier、结果码ResultCode，表示是否同意对方的认证协商请求，如果拒绝会注明原因。事件类注销认证协商请求包括请求发起端标识符SourceIdentifier、请求接受端标识符DestinationIdentifier、事件类型EventType，如MIH事件，L2层事件.或者是ALL，表示对所有类型的事件都同时进行注销、滤波器参数FilterPamaters，可以具体指定注销哪个事件。事件类注销认证协商确认包括响应发起端标识符SourceIdentifier、响应接受端标识符DestinationIdentifier、结果码ResultCode，表示是否同意注销对方的已通过认证的事件，如果拒绝会注明原因。
信息类消息认证协商原语包括信息类认证协商请求Information_AUTHENTICATE.request(SourceIdentifier，DestinationIdentifier，InformationType，FilterParameters)、信息类认证协商确认Information_AUTHENTICATE.confirm(SourceIdentifier，DestinationIdentifier，ResultCode)、信息类注销认证协商请求Information_DEAUTHENTICATE.request(SourceIdentifier，DestinationIdentifier，InformationType，FilterParameters)、信息类注销认证协商确认Information_DEAUTHENTICATE.confirm(SourceIdentifier，DestinationIdentifier，ResultCode)。
其中，信息类认证协商请求包括请求发起端标识符SourceIdentifier、请求接受端标识符DestinationIdentifier、信息类型InformationType，如MIH信息，L2层信息或者是ALL，表示所有类型的信息都同时进行认证、滤波器参数FilterPamaters，可以具体指定哪个信息通过认证。
信息类认证协商确认包括响应发起端标识符SourceIdentifier、响应接受端标识符DestinationIdentifier、结果码ResultCode，表示是否同意对方的认证协商请求，如果拒绝会注明原因。
信息类注销认证协商请求包括请求发起端标识符SourceIdentifier、请求接受端标识符DestinationIdentifier、信息类型InformationType，定义注销认证的信息类型，如MIH信息，L2层信息或者是ALL，表示对所有类型的信息都同时进行注销、滤波器参数FilterPamaters，可以具体指定注销哪个信息。
信息类注销认证协商确认包括响应发起端标识符SourceIdentifier、响应接受端标识符DestinationIdentifier、结果码ResultCode，表示是否同意注销对方的已通过认证的信息，如果拒绝会注明原因。
下面以另一个比较典型的例子来说明使用新增加的安全机制如何保障关联前消息发送是安全的，如图6所示(1)STA和POA双方通过Encrypt.request和Encrypt.response原语进行消息传送的加密协商STA发出Encrypt.request(STAMac，POAMac，ON，WEP)原语，请求POA把消息传送采用WEP加密协议，POA返回Encrypt.response(POAMac，STAMac，Success，ON，WEP，WEPTKIPCCMP)，表示POA同意采用WEP加密协议，同时告诉STA它本身支持WEP、TKIP和CCMP加密协议。
(2)STA发送Event_Authecate.request(STAMac，POAMac，MIH_Event，Link_Up)原语，请求POA通过Link_Up事件的认证，POA返回Event_Authecate.confirm(POAMac，STAMac，Success)表示同意Link_Up事件的认证，并会在本身状态机上进行存储Link_Up事件通过了认证这个事情。
(3)STA发送Command_Authecate.request(STAMac，POAMac，MIH_Command，Link_Event_Register)原语，请求POA通过Link_Event_Register命令的认证，POA返回Command_Authecate.confirm(POAMac，STAMac，Success)表示通过Link_Event_Register命令的认证，并会在本身状态机上进行存储Link_Event_Register命令通过了认证这个事情。
(4)STA和POA就可以使用Link_Event_Register.request(EventSource，Link_Up)和Link_Event_Register.confirm(EventSource，Link_Up)完成Link_Up事件的注册。
(5)STA会发送Information_Authecate.request(STAMac，POAMac，MIH_Information，MIH_Info)原语，请求POA通过MIH_Info信息获取的认证，POA返回Information_Authecate.confirm(POAMac，STAMac，Success)表示通过MIH_Info信息获取的认证，并会在本身状态机上进行存储MIH_Info信息获取通过了认证这个事情。
(6)STA和POA通过使用MIH_Info.request和MIH_Info.response获取得相关的切换决策信息。
(7)POA会发出Command_Authecate.request(POAMac，MIH_Command，MIH_Handover_Initiate)原语，请求STA通过MIH_Handover_Initiate命令的认证，STA通过返回Command_Authecate.confirm(STAMac，Success)原语表示通过了MIH_Handover_Initiate命令的认证，并会在本身状态机上进行存储MIH_Handover_Initiate命令通过了认证这个事情。
(8)POA就可以在综合考虑上面获取的决策信息，并决定采用何种切换决策后，向STA发出MIH_Handover_Initiate命令要求开始切换(基于网络侧发起切换决策的情况)。
(9)Link_Up事件会在新链路建立以后触发，由POA通知STA。
该例子不仅完整说明了新加的关联前消息传送安全保证机制的流程，而且也很好的体现和解决了在异构网络切换中用到的消息双向性问题。
本发明还给出了一种异构网络切换中链路建立前的消息安全传送方法，如图7所述，包括以下步骤步骤s201，所述第一终端向所述第二终端发送消息认证请求。其中，消息认证包括命令认证、事件认证和信息认证，命令认证通过命令类消息认证协商原语实现；事件认证通过事件类认证协商原语实现；信息认证通过信息类消息认证协商原语实现。
步骤s202，所述第二终端根据所述消息认证请求进行认证，并向所述第一终端发送消息认证响应；步骤s203，所述第一终端和所述第二终端进行消息传送。
本发明还提供了一种异构网络切换中链路建立前的消息安全传送方法，如图8所示，包括以下步骤
步骤s301，第一终端向第二终端发送加密请求，加密请求中包括加密协议类型。所述第一终端和所述第二终端通过加密协商原语进行消息传送的加密协商，所述加密协商原语包括加密协商请求原语和加密协商响应原语。所述加密协商请求原语中包括请求发起端标识符、请求接收端标识符、动作符和原语方式符；所述加密协商响应原语包括响应发起端标识符、响应接收端标识符、结果码、结果动作、结果原语方式、支持原语方式。
步骤s302，第二终端根据加密协议类型对消息进行加密，并向第一终端发送加密响应。
步骤s303，第一终端和第二终端进行消息传送。
以上所述仅是本发明的优选实施方式，应当指出，对于本技术领域的普通技术人员来说，在不脱离本发明原理的前提下，还可以作出若干改进和润饰，这些改进和润饰也应视为本发明的保护范围。
权利要求
1.一种异构网络切换中链路建立前的消息安全传送方法，其特征在于，包括以下步骤A、第一终端向第二终端发送加密请求；B、所述第二终端向所述第一终端发送加密响应；C、所述第一终端向所述第二终端发送消息认证请求；D、所述第二终端根据所述消息认证请求进行认证，并向所述第一终端发送消息认证响应；E、所述第一终端和所述第二终端进行消息传送。
2.如权利要求1所述异构网络切换中链路建立前的消息安全传送方法，其特征在于，所述第一终端和所述第二终端通过加密协商原语进行传送加密请求和加密响应，实现消息传送的加密协商。
3.如权利要求2所述异构网络切换中链路建立前的消息安全传送方法，其特征在于，所述加密协商原语包括加密协商请求原语和加密协商响应原语。
4.如权利要求3所述异构网络切换中链路建立前的消息安全传送方法，其特征在于，所述加密协商请求原语中包括请求发起端标识符、请求接收端标识符、动作符和原语方式符。
5.如权利要求3所述异构网络切换中链路建立前的消息安全传送方法，其特征在于，所述加密协商响应原语包括响应发起端标识符、响应接收端标识符、结果码、结果动作、结果原语方式和支持原语方式。
6.如权利要求1所述异构网络切换中链路建立前的消息安全传送方法，其特征在于，步骤B中，所述第二终端向所述第一终端发送加密响应中包括本身支持的加密协议类型。
7.如权利要求1所述异构网络切换中链路建立前的消息安全传送方法，其特征在于，所述消息认证包括命令认证、事件认证和信息认证。
8.如权利要求7所述异构网络切换中链路建立前的消息安全传送方法，其特征在于，所述命令认证通过命令类消息认证协商原语实现；所述事件认证通过事件类认证协商原语实现；所述信息认证通过信息类消息认证协商原语实现。
9.如权利要求8所述异构网络切换中链路建立前的消息安全传送方法，其特征在于，所述命令类消息认证协商原语包括命令类认证协商请求、命令类认证协商确认、命令类注销认证协商请求和命令类注销认证协商确认。
10.如权利要求9所述异构网络切换中链路建立前的消息安全传送方法，其特征在于，所述命令类认证协商请求包括请求发起端标识符、请求接收端标识符、命令类型和滤波器参数；所述命令类认证协商确认包括响应发起端标识符、响应接收端标识符和结果码；所述命令类注销认证协商请求包括请求发起端标识符、请求接收端标识符、命令类型和滤波器参数；所述命令类注销认证协商确认包括响应发起端标识符、响应接收端标识符和结果码。
11.如权利要求8所述异构网络切换中链路建立前的消息安全传送方法，其特征在于，所述事件类消息认证协商原语包括事件类认证协商请求、事件类认证协商确认、事件类注销认证协商请求和事件类注销认证协商确认。
12.如权利要求11所述异构网络切换中链路建立前的消息安全传送方法，其特征在于，所述事件类认证协商请求包括请求发起端标识符、请求接收端标识符、事件类型和滤波器参数；所述事件类认证协商确认包括响应发起端标识符、响应接收端标识符和结果码；所述事件类注销认证协商请求包括请求发起端标识符、请求接收端标识符、事件类型和滤波器参数；所述事件类注销认证协商确认包括响应发起端标识符、响应接收端标识符和结果码。
13.如权利要求8所述异构网络切换中链路建立前的消息安全传送方法，其特征在于，所述信息类消息认证协商原语信息类认证协商请求、信息类认证协商确认、信息类注销认证协商请求和信息类注销认证协商确认。
14.如权利要求13所述异构网络切换中链路建立前的消息安全传送方法，其特征在于，所述信息类认证协商请求包括请求发起端标识符、请求接收端标识符、信息类型和滤波器参数；所述信息类认证协商确认包括响应发起端标识符、响应接收端标识符和结果码；所述信息类注销认证协商请求包括请求发起端标识符、请求接收端标识符、信息类型和滤波器参数；所述信息类注销认证协商确认包括响应发起端标识符、响应接收端标识符和结果码。
15.如权利要求1所述异构网络切换中链路建立前的消息安全传送方法，其特征在于，步骤D中认证后，在终端记录通过该消息认证。
16.如权利要求1所述异构网络切换中链路建立前的消息安全传送方法，其特征在于，所述第一终端为工作站、所述第二终端为附着点；或所述第一终端为附着点、所述第二终端为工作站，其中，加密和认证协商都是双向的，工作站和附着点都能发起和响应，并对当工作站发起附着点响应时状态信息保存在工作站处，附着点发起工作站响应状态信息保存在附着点处。
17.一种异构网络切换中链路建立前的消息安全传送方法，其特征在于，包括以下步骤a、所述第一终端向所述第二终端发送消息认证请求；b、所述第二终端根据所述消息认证请求进行认证，并向所述第一终端发送消息认证响应；c、所述第一终端和所述第二终端进行消息传送。
18.如权利要求17所述异构网络切换中链路建立前的消息安全传送方法，其特征在于，所述消息认证包括命令认证、事件认证和信息认证。
19.如权利要求18所述异构网络切换中链路建立前的消息安全传送方法，其特征在于，所述命令认证通过命令类消息认证协商原语实现；所述事件认证通过事件类认证协商原语实现；所述信息认证通过信息类消息认证协商原语实现。
20.一种异构网络切换中链路建立前的消息安全传送方法，其特征在于，包括以下步骤(1)第一终端向第二终端发送加密请求，加密请求中包括加密协议类型；(2)第二终端根据加密协议类型对消息进行加密，并向第一终端发送加密响应；(3)所述第一终端和所述第二终端进行消息传送。
21.如权利要求20所述异构网络切换中链路建立前的消息安全传送方法，其特征在于，所述第一终端和所述第二终端通过加密协商原语进行消息传送的加密协商。
22.如权利要求21所述异构网络切换中链路建立前的消息安全传送方法，其特征在于，所述加密协商原语包括加密协商请求原语和加密协商响应原语。
23.如权利要求22所述异构网络切换中链路建立前的消息安全传送方法，其特征在于，所述加密协商请求原语中包括请求发起端标识符、请求接收端标识符、动作符和原语方式符。
24.如权利要求23所述异构网络切换中链路建立前的消息安全传送方法，其特征在于，所述加密协商响应原语包括响应发起端标识符、响应接收端标识符、结果码、结果动作、结果原语方式、支持原语方式。
全文摘要
本发明公开了一种异构网络切换中链路建立前的消息安全传送方法，包括以下步骤A.第一终端向第二终端发送加密请求；B.所述第二终端向所述第一终端发送加密响应；C.所述第一终端向所述第二终端发送消息认证请求；D.所述第二终端根据所述消息认证请求进行认证，并向所述第一终端发送消息认证响应；E.所述第一终端和所述第二终端进行消息传送。本发明提供在链路建立前命令、事件、信息等消息认证协商机制，杜绝了非法消息；并且在链路建立前命令、事件、信息等消息传送过程中的加密协商机制，杜绝了消息被恶意攻击。
文档编号H04W12/06GK1852600SQ200510132530
公开日2006年10月25日 申请日期2005年12月26日 优先权日2005年12月26日
发明者周异 申请人:华为技术有限公司