专利名称:一种无线网络中安全信息的传输方法及装置的制作方法
技术领域:
本发明涉及无线通信技术领域,尤其涉及一种无线通信网络中的安全信息传输技术。
背景技术:
在无线通信网络中,用户终端需要通过相应的认证处理过程才能够接入网络并开展业务。相应的认证过程主要是验证用户身份的合法性,同时,获得用户终端在开展业务过程中需要的一些安全信息,通过相应的安全信息可以保证用户终端可以在无线通信系统中安全可靠地开展所需的业务。所述的安全信息包括授权密钥的序列号{AK(Authorization Key,授权密钥)Sequence Number}和授权密钥的生命时间(AK Lifetime)等。
以在WiMAX通信系统为例,移动终端要接入该网络,需要进行认证过程,认证通过后,分别在移动终端和AAA服务器两侧生成相应的密钥信息。由于移动终端的移动特性使得其经常会从一个接入服务网(ASN)移动到另一个接入服务网。为此,需要在通信系统中实现相应的切换处理过程。在切换处理流程中,为保证切换后的移动终端仍然能够安全地开展通信业务,便需要在切换过程中将相应的安全信息从服务网络传到目标网络。
此外,由于各种原因,在通信系统中,当出现导致重认证发生的场景时,用户终端便会发起重认证过程。在进行重认证过程中,所述的安全信息需要重用或者需要连续使用。在重认证过程中,如果重认证发生在同一个鉴权器上,则需要连续使用的安全信息可以直接得到。但是,如果重认证发生在不同的鉴权器上,则需要连续使用的安全信息将无法获得。
目前还没有提供一种可行的实现方案可以保证在终端发生移动或者发生重认证的时候,将用户的相关安全信息参数传送到其它接入服务网的技术手段,从而使得一些信息没有被重用,不利于加快系统处理的速度。
发明内容
本发明的要解决的技术问题在于提供一种无线网络中安全信息的传输方法及装置,以便于这些安全信息可以被重用,以提高通信系统的处理速度。
本发明的目的是通过以下技术方案实现的本发明提供了一种无线网络中安全信息的传输方法,当满足预定条件时,存有移动终端安全信息的第一接入服务网将移动终端对应的安全信息发送给第二接入服务网,该安全信息中包含移动终端的密钥序列号信息。
进一步,当移动终端发生切换时,服务接入网通过切换准备阶段的消息、切换阶段的消息或者异常切换过程中消息将所述密钥序列号信息发送给目标接入服务网。
进一步,在切换准备阶段,服务接入服务网向候选目标接入服务网发送切换请求消息,该消息中包含所述的安全信息,或者在切换确认阶段,服务接入服务网向目标接入服务网发送切换确认消息,该切换确认消息中包含所述的安全信息,或者在异常切换过程中,将安全信息承载于发送给目标接入服务网的会话信息响应消息中。
进一步,所述密钥序列号信息包含第一次认证的对偶密钥序列号和/或第二次认证的对偶密钥序列号。
进一步,当由锚定鉴权器接入服务网发起鉴权器重定位时,在锚定鉴权器接入服务网向服务接入服务网发送的鉴权器重定位请求消息中承载与移动终端对应的安全信息,该安全信息包括第一次认证的对偶密钥序列号、第二次认证的对偶密钥序列号和/或移动IP中的外部代理的IP地址或标识。
进一步,当由服务接入服务网发起鉴权器重定位时,在锚定鉴权器接入服务网收到服务接入服务网的重定位请求后,向服务接入服务网回复鉴权器重定位响应消息,该响应消息中包含第一次认证的对偶密钥序列号、第二次认证的对偶密钥序列号和/或移动IP中的外地代理的IP地址或标识。
本发明还提供了一种无线网络中安全信息的传输装置,包括切换过程确认模块,用于确认移动终端是否发生切换,并在发生切换后触发安全信息发送模块,安全信息发送模块,用于将发生切换的移动终端对应的安全信息发送给目标接入服务网。
进一步,所述的安全信息发送模块具体为切换请求消息处理模块用于在切换准备阶段,将安全信息承载于发送给候选目标接入服务网的切换请求消息中,并发送;或者,切换确认消息处理模块用于在切换阶段,将安全信息承载于发送给目标服务接入网的切换确认消息中,并发送;或者,会话信息响应消息处理模块用于在异常切换过程中,将安全信息承载于发送给目标接入服务网的会话信息响应消息中,并发送。
进一步,所述安全信息包括第一次认证的对偶密钥序列号和/或第二次认证的对偶密钥序列号。
本发明又提供了一种无线网络中安全信息的传输装置,包括
认证过程确认模块用于确认是否需要对移动终端进行重认证,如果是,则触发安全信息发送模块,安全信息发送模块用于将需要进行重认证的移动终端对应的安全信息发送给需要进行认证的接入服务网络。
进一步,所述的安全信息发送模块具体为鉴权器重定位请求模块,用于在锚定鉴权器接入服务网发起鉴权器重定位时,将所述安全信息承载于发送给服务接入服务网的鉴权器重定位请求消息中,并发送;或者,鉴权器重定位响应模块,用于在服务接入服务网发起鉴权器重定位时,根据服务接入服务网发来的鉴权器重定位请求消息,将所述安全信息成载于发送给服务接入服务网的鉴权器定位响应消息中,并发送。
进一步,所述安全信息包括第一次认证的对偶密钥序列号、第二次认证的对偶密钥序列号和/或移动IP中的外地代理的IP地址或标识。
由上述本发明提供的技术方案可以看出,本发明解决了在移动终端发生切换或重认证后安全信息的连续使用问题,保证了在切换发生后,目标接入服务网能够可靠的获取到移动终端的安全信息,以及重认证过程中,不会因鉴权器的变化而导致相应的安全信息无法连续使用的问题。从而使得在移动终端发生移动或者重认证时,移动终端的一些信息可以重用,加快系统处理的速度。
图1为本发明所述的方法的具体实现示意图;图2为本发明所述的方法的第一较佳实施例;图3为本发明所述的方法的第二较佳实施例;
图4为本发明所述的方法的第三较佳实施例;图5为本发明所述的方法的第四较佳实施例;图6为本发明所述的装置的结构示意图一;图7为本发明所述的装置的结构示意图二。
具体实施例方式
请参阅图1,本发明提供的无线网络中的安全信息传输方法的核心是在移动终端发生切换或发生重认证的时候,由获知移动终端安全信息的第一接入服务网在向第二接入服务网发送的会话信息中携带终端相关安全信息,以使得第二接入服务网可以获取这些安全信息并重用这些信息,从而加快系统的处理速度。
在WiMAX通信系统中,当采用单次EAP(Extensible AuthenticationProtocol,扩展认证协议)认证策略时,所述安全信息包括对偶主密钥的序列号{PMK(Pairwise Master Key,对偶主密钥)Sequence Number}信息,对偶主密钥的生命时间(PMK Lifetime)信息。
当采用两次EAP认证策略时,所述安全信息包括第一次认证的对偶密钥序列号,第一次认证的对偶主密钥的生命时间,第二次认证的对偶密钥序列号,第二次认证的对偶密钥的生命时间。
为使本发明的目的、技术方案和优点更加清楚,下面结合附图对本发明作进一步的详细描述。
图2所示为本发明所述方法的第一较佳实施例,在该实施例中,是通过切换准备过程传输所述的安全信息的,具体包括步骤21当判断当前是某个终端的切换准备过程时,终端的服务接入服务网向候选目标接入服务网发送切换请求消息,在该切换请求消息中包含着相应移动终端对应的安全信息。
所述安全信息包括第一次认证的对偶密钥序列号和/或第二次认证的对偶密钥序列号,同时可选的,还可以包括第一次认证的对偶主密钥的生命时间,第二次认证的对偶密钥的生命时间;步骤22候选目标接入服务网收到该切换请求消息后,可选的向服务接入服务网发送切换响应消息。
图3所示为本发明所述方法的第二较佳实施例,在该实施例中,是通过切换确认过程传输用户终端的安全信息的。服务接入网向目标接入网发送切换确认消息,在该切换确认消息中包含移动终端的相应安全信息,该等安全信息包括第一次认证的对偶密钥序列号,第二次认证的对偶密钥序列号等等。
图4所示为本发明所述方法的第三较佳实施例,本实施例是当重认证发生在不同的鉴权器上时,锚定认证器的接入服务网向服务接入服务网发生重认证时安全信息的传输过程。具体包括步骤41锚定鉴权器接入服务网向服务接入服务网发送鉴权器重定位请求消息,在该请求消息中包含第一次认证的对偶密钥序列号、第二次认证的对偶密钥序列号和/或移动IP中的外地代理的IP地址或标识;步骤42服务接入服务网收到上述请求消息后,向锚定鉴权器接入服务网发送鉴权器重定位响应。
图5所示为本发明所述方法的第四较佳实施例,本实施例是当重认证发生在不同的鉴权器上时,服务接入服务网向锚定鉴权器的接入服务网发生重认证时安全信息的传输过程,具体包括步骤51服务接入服务网向锚定鉴权器的接入服务网发送鉴权器重定位请求,请求获取与移动终端相关的安全信息;步骤52锚定鉴权器的接入服务网收到所述鉴权器重定位请求后,找到对应的移动终端的安全信息,并通过向服务接入服务网回复鉴权器重定位响应消息将该安全信息携带发送给服务接入服务网。
所述安全信息包括第一次的对偶密钥序列号、第二次认证的对偶密钥序列号和/或移动IP中的外地代理的IP地址或标识。
本发明还提供的一种实现无线网络中安全信息的传输装置,用于在移动终端发生切换时获取相应的移动终端的安全信息,如密钥序列号信息等,相应的实现结构如图6所示,具体包括切换过程确认模块,用于确认移动终端是否发生切换,并在移动终端发生切换后触发安全信息发送模块;安全信息发送模块,用于将发生切换的移动终端对应的安全信息发送给目标接入服务网;安全信息接收模块,用于接收安全信息模块发送的安全信息,并提供给目标服务接入网中相应的功能实体。
所述的安全信息发送模块具体为切换请求消息处理模块用于在切换准备阶段,将安全信息承载于发送给目标接入服务网的切换请求消息中,并发送;或者,切换确认消息处理模块用于在切换阶段,将安全信息承载于发送给目标服务接入网的切换确认消息中,并发送;或者,会话信息响应消息处理模块用于在异常切换过程中,将安全信息承载于发送给目标接入服务网的会话信息响应消息中,并发送。
所述的密钥序列号信息包括第一次认证的对偶密钥序列号和/或第二次认证的对偶密钥序列号。
本发明还提供一种无线网络中安全信息的传输装置,用于在移动终端发生重认证时,获取相应的用户终端的安全信息,如密钥序列号信息等,相应的实现结构如图7所示,具体包括认证过程确认模块,用于判断是否发生重认证过程,并在确认发生重认证后,触发安全信息发送模块;安全信息发送模块,用于将需要进行重认证的移动终端对应的安全信息发送给服务接入服务网。
所述的安全信息发送模块具体为鉴权器重定位请求模块,用于在锚定鉴权器接入服务网发起鉴权器重定位时,将所述安全信息承载于发送给服务接入服务网的鉴权器重定位请求消息中,并发送;或者,鉴权器重定位响应模块,用于在服务接入服务网发起鉴权器重定位时,根据服务接入服务网发来的鉴权器重定位请求消息,将所述安全信息成载于发送给服务接入服务网的鉴权器定位响应消息中,并发送。
所述安全信息包括第一次认证的对偶密钥序列号、第二次认证的对偶密钥序列号和/或移动IP中的外地代理的IP地址或标识。
以上所述,仅为本发明较佳的具体实施方式
,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应该以权利要求的保护范围为准。
权利要求
1.一种无线网络中安全信息的传输方法,其特征在于当满足预定条件时,存有移动终端安全信息的第一接入服务网将移动终端对应的安全信息发送给第二接入服务网,该安全信息中包含移动终端的密钥序列号信息。
2.根据权利要求1所述的方法,其特征在于当移动终端发生切换时,服务接入网通过切换准备阶段的消息、切换阶段的消息或者异常切换过程中消息将所述密钥序列号信息发送给目标接入服务网。
3.根据权利要求2所述的方法,其特征在于在切换准备阶段,服务接入服务网向候选目标接入服务网发送切换请求消息,该消息中包含所述的安全信息,或者在切换确认阶段,服务接入服务网向目标接入服务网发送切换确认消息,该切换确认消息中包含所述的安全信息,或者在异常切换过程中,将安全信息承载于发送给目标接入服务网的会话信息响应消息中。
4.根据权利要求1至3任一项所述的方法,其特征在于所述密钥序列号信息包含第一次认证的对偶密钥序列号和/或第二次认证的对偶密钥序列号.
5.根据权利要求1所述的方法,其特征在于当由锚定鉴权器接入服务网发起鉴权器重定位时,在锚定鉴权器接入服务网向服务接入服务网发送的鉴权器重定位请求消息中承载与移动终端对应的安全信息,该安全信息包括第一次认证的对偶密钥序列号、第二次认证的对偶密钥序列号和/或移动IP中的外部代理的IP地址或标识。
6.根据权利要求1所述的方法,其特征在于当由服务接入服务网发起鉴权器重定位时,在锚定鉴权器接入服务网收到服务接入服务网的重定位请求后,向服务接入服务网回复鉴权器重定位响应消息,该响应消息中包含第一次认证的对偶密钥序列号、第二次认证的对偶密钥序列号和/或移动IP中的外地代理的IP地址或标识。
7.一种无线网络中安全信息的传输装置,其特征在于,包括切换过程确认模块,用于确认移动终端是否发生切换,并在发生切换后触发安全信息发送模块,安全信息发送模块,用于将发生切换的移动终端对应的安全信息发送给目标接入服务网。
8.根据权利要求7所述的装置,其特征在于,所述的安全信息发送模块具体为切换请求消息处理模块用于在切换准备阶段,将安全信息承载于发送给候选目标接入服务网的切换请求消息中,并发送;或者,切换确认消息处理模块用于在切换阶段,将安全信息承载于发送给目标服务接入网的切换确认消息中,并发送;或者,会话信息响应消息处理模块用于在异常切换过程中,将安全信息承载于发送给目标接入服务网的会话信息响应消息中,并发送。
9.根据权利要求7或8所述的装置,其特征在于所述安全信息包括第一次认证的对偶密钥序列号和/或第二次认证的对偶密钥序列号。
10.一种无线网络中安全信息的传输装置,其特征在于,包括认证过程确认模块用于确认是否需要对移动终端进行重认证,如果是,则触发安全信息发送模块,安全信息发送模块用于将需要进行重认证的移动终端对应的安全信息发送给需要进行认证的接入服务网络。
11.根据权利要求10所述的装置,其特征在于所述的安全信息发送模块具体为鉴权器重定位请求模块,用于在锚定鉴权器接入服务网发起鉴权器重定位时,将所述安全信息承载于发送给服务接入服务网的鉴权器重定位请求消息中,并发送;或者,鉴权器重定位响应模块,用于在服务接入服务网发起鉴权器重定位时,根据服务接入服务网发来的鉴权器重定位请求消息,将所述安全信息成载于发送给服务接入服务网的鉴权器定位响应消息中,并发送。
12.根据权利要求10或11所述的装置,其特征在于所述安全信息包括第一次认证的对偶密钥序列号、第二次认证的对偶密钥序列号和/或移动IP中的外地代理的IP地址或标识。
全文摘要
本发明涉及一种无线网络中安全信息的传输方法及装置。在无线通信系统中,当移动终端发生移动或重认证时,存有移动终端安全信息的第一接入服务网将移动终端对应的安全信息发送给第二接入服务网,该安全信息中包含移动终端的密钥序列号信息。本发明可以使得在WiMAX等无线通信系统中,移动终端的安全信息可以被重用,从而避免了因移动终端的移动或重认证而导致的移动终端的安全信息无法被连续使用,加快了系统处理的速度。
文档编号H04L29/06GK101079702SQ20061006087
公开日2007年11月28日 申请日期2006年5月23日 优先权日2006年5月23日
发明者单长虹 申请人:华为技术有限公司