专利名称:一种移动终端切换过程中获得安全联盟信息的方法及装置的制作方法
技术领域:
本发明涉及通信技术领域,尤其涉及一种移动终端切换过程中获得安全联盟信息或者用户面通信加密密钥的方法及装置。
背景技术:
在移动通信系统中,移动终端的移动性使得其经常会从一个基站切换至另一个基站,当移动终端切换到另一基站后,为降低移动终端与新的基站进行通信的延迟,新的基站需要获得一些移动终端在原服务基站上开展通信业务所需要的安全参数信息,其中包括安全联盟信息。
在IEEE802.16中,所述的安全联盟信息即安全联盟上下文信息,SA(Security Association,安全联盟)上下文中的内容,尤其是其中的TEK(Traffic Encryption Key,通信加密密钥),是作为MSS(MobileSubscriber Station,移动终端也称移动订阅台)和BS(Base Station,基站)之间的用户面和/或网管的数据加密使用。
需要说明的是,所述的SA实际上也就是SA的上下文中包含的所有的内容,有SAID(安全联盟标识)、SA Type(安全联盟类型)、SA ServiceType(安全联盟服务类型)、Cryptographic Suite(加密元组)和TEK(通信加密密钥)对的参数中包含的内容,所述的加密元组包含数据加密算法和模式、数据认证算法和模式以及通信加密密钥加密算法和模式,所述的TEK对的参数包含有TEK、KEY-Lifetime(通信加密密钥的剩余生命周期)、Key-Sequence-Number(通信加密密钥序列号)、CBC-IV(通信加密密钥在CBC模式下的初始向量)、PN(发送的包序列号)、RxPN(接收到的包号)、Associated GKEK Sequence Number(组播下的组播密钥加密密钥序列号)。
在WiMAX(Worldwide Interoperability Microwave Access,微波接入全球互通)网络中,基站的加密密钥等安全联盟可以通过鉴权器(Authenticator)或接入网网关(ASN-GW)中转获得,所述的鉴权器或接入网网关有可能和BS处在不同的物理网元上,在一个鉴权器或接入网网关之下会有多个BS,即鉴权器或接入网网关不与BS位于同一个物理网元上。例如,在WiMAX网络工作组中,如图1所示,鉴权器或接入网网关和BS虽然都处在一个ASN(Access Service Network,接入服务网络)里面,但是有可能是不处于同一个物理网元上。
在上述情况下,需要面临的问题是MSS在不同BS之间发生切换后,如何通过鉴权器或接入网网关获取其与目标基站之间通信需要使用的通信加密密钥和使用的加密算法和模式等安全联盟信息是一个需要解决的问题。目前,还没有一种方法可以解决该问题。
发明内容
鉴于上述现有技术所存在的问题,本发明的目的是提供一种移动终端切换过程中获得安全联盟信息的方法及装置,从而使得在通信系统中可以将原来的BS上的SA上下文列表(即安全联盟信息)拿过来继续用的问题。
本发明的目的是通过以下技术方案实现的本发明提供了一种移动终端切换过程中获得安全联盟信息的方法,包括在通信系统中移动终端进行切换的过程中,目标基站获取移动终端与原基站相同的安全联盟信息作为目标基站与移动终端间的安全联盟信息。
所述的安全联盟信息包括安全联盟、协商的加密算法和模式和/或通信加密密钥及参数信息。
本发明中,当移动终端在通信系统中同一个鉴权器或接入网网关所属的范围内的基站间切换时,且原基站已经将所述的安全联盟信息主动上报给鉴权器或接入网网关,所述方法包括鉴权器或接入网网关直接下发该移动终端对应的安全联盟信息给目标基站;或者,目标基站向鉴权器或接入网网关请求该移动终端的安全联盟信息,鉴权器或接入网网关从原基站获取所需的安全联盟信息,然后,根据所述请求将所述安全联盟信息下发给目标基站。
所述的原基站将移动终端的安全联盟信息通过切换请求/指示信息上报给鉴权器或接入网网关。
本发明中,当移动终端在同一个鉴权器或接入网网关所属的范围内的基站间切换时,且原基站是被动上报安全联盟信息给鉴权器或接入网网关,所述的方法包括A、鉴权器或接入网网关向原基站请求该移动终端的安全联盟信息,原基站根据请求上报该移动终端的安全联盟信息给鉴权器或接入网网关;B、鉴权器或接入网网关直接下发该移动终端的安全联盟信息给目标基站;或者,C、鉴权器或接入网网关向原基站请求该移动终端的安全联盟信息,原基站根据请求上报该移动终端的安全联盟信息给鉴权器或接入网网关;D、目标基站向鉴权器或接入网网关请求该移动终端的安全联盟信息,鉴权器或接入网网关根据请求将所述安全联盟信息下发给目标基站。
本发明中,当移动终端于通信系统中不同鉴权器或接入网所属的范围内的基站间切换时,且原基站已经将所述的安全联盟信息主动上报给原鉴权器或原服务接入网网关,所述方法包括E、目标鉴权器或接入网网关直接或经过目标网络中的网络实体识别出原鉴权器或原服务接入网网关后向原鉴权器或接入网网关请求该移动终端安全联盟信息,原鉴权器或原服务接入网网关上报该移动终端安全联盟信息给目标鉴权器或接入网网关;F、目标鉴权器或接入网网关直接下发该移动终端对应的安全联盟信息给目标基站;或者,G、目标鉴权器或接入网网关直接或经过目标网络中网络实体识别出原鉴权器或接入网网关后向原鉴权器或接入网网关请求该移动终端安全联盟信息,原鉴权器或原服务接入网网关上报该移动终端安全联盟信息给目标鉴权器或接入网网关;H、目标基站向目标鉴权器或接入网网关请求该移动终端的安全联盟信息,目标鉴权器或接入网网关根据请求将所述安全联盟信息下发给目标基站。
本发明中,当移动终端在通信系统中不同鉴权器或接入网所属的范围内的基站间切换时,且原基站是被动上报安全联盟信息给原鉴权器或原服务接入网网关,所述方法包括I、目标鉴权器或接入网网关直接或经过目标网络中网络实体识别出原鉴权器或原服务接入网网关后向原鉴权器或原服务接入网网关请求该移动终端安全联盟信息;J、原鉴权器或原服务接入网网关向原基站请求该移动终端的安全联盟信息;原基站根据请求上报该移动终端的安全联盟信息给原鉴权器或原服务接入网网关;K、原鉴权器或原服务接入网网关上报该移动终端安全联盟信息给目标鉴权器或接入网网关;L、目标鉴权器或接入网网关直接下发该移动终端对应的安全联盟信息给目标基站;或者,M、目标鉴权器或接入网网关直接或经过目标网络中网络实体识别出原鉴权器或原服务接入网网关后向原鉴权器或原服务接入网网关请求该移动终端安全联盟信息;N、原鉴权器或原服务接入网网关向原基站请求该移动终端的安全联盟信息;原基站根据请求上报该移动终端的安全联盟信息给原鉴权器或原服务接入网网关;O、原鉴权器或原服务接入网网关上报该移动终端安全联盟信息给目标鉴权器或接入网网关;P、目标基站向目标鉴权器或接入网网关请求该移动终端的安全联盟信息,目标鉴权器或接入网网关根据请求将所述安全联盟信息下发给目标基站。
本发明所述的方法还包括目标基站从切换准备/确认消息中获取安全联盟信息,或者,在终端发送的发送的参数和功率调节请求消息的触发下发起获取移动终端安全联盟信息的请求。
所述的移动通信系统包括微波接入全球互通Wimax系统,且在该系统中所述的安全联盟信息包括安全联盟标识符、安全联盟类型、安全联盟服务类型、加密元组和/或通信加密密钥对信息,所述的加密元组包含数据加密算法和模式、数据认证算法和模式和/或通信加密密钥加密算法和模式,所述的通信加密密钥对信息包含通信加密密钥、通信加密密钥的剩余生命周期、通信加密密钥序列号、通信加密密钥、通信加密密钥在CBC模式下的初始向量、包序列号、接收到的包号和/或在组播下的组播密钥加密密钥序列号。
本发明还提供了一种实现上述方法的移动终端切换过程中获得安全联盟信息的装置,包括安全联盟列表发送模块,负责向目标基站提供安全联盟列表;安全联盟信息获取模块获取原基站的该移动终端的安全联盟信息;安全联盟信息传输模块将所述安全联盟信息获取模块获取的该移动终端的安全联盟信息传输至目标基站。
所述的安全联盟列表发送模块设置于原服务基站上,所述的安全联盟信息获取模块设置于目标基站,和/或,鉴权器或接入网网关上,所述的安全联盟信息传输模块设于鉴权器或接入网网关上。
所述的鉴权器或接入网网关包括移动终端的原基站所属的原鉴权器或原服务接入网网关和/或目标基站所属的目标鉴权器或接入网网关。
由上述本发明提供的技术方案可以看出,本发明提出了一种移动终端切换过程中获得安全联盟信息的方法,使得在移动终端切换基站后,在目标基站仍然可以使用与原基站相同的安全联盟列表。也就是在移动终端切换过程中,目标基站获取移动终端与原基站相同的安全联盟列表作为目标基站与移动终端间的安全联盟,并提供了相应的实现流程,因此,本发明为移动终端切换过程中安全联盟的获取提供了可行的实现方案。
图1为Wimax系统组网结构示意图;图2为本发明所述的方法的流程图1;
图3为本发明所述的方法的流程图2;图4为本发明所述的方法的流程图3;图5为本发明所述的方法的流程图4;图6为本发明所述的装置的结构示意图。
具体实施例方式
本发明的核心是提出了一种移动终端切换过程中获得安全联盟的方法,使得在移动终端切换基站后,在目标基站仍然使用与原基站相同的安全联盟。也就是在移动终端切换过程中,目标基站获取移动终端与原基站相同的安全联盟作为目标基站与移动终端间的安全联盟。这里所述的安全联盟包括上文提到的安全联盟信息和/或通信加密密钥。
当移动终端在通信系统中切换基站的过程一般包括以下两种主要情况一、移动终端在通信系统中同一个鉴权器或接入网所属的范围内的BS之间切换;二、移动终端在通信系统中不同鉴权器或接入网所属的范围内的BS之间切换。
鉴权器或接入网网关获得原基站上的移动终端的安全联盟时,有两种主要实现形式一、原基站将所述的移动终端的安全联盟主动上报给鉴权器或接入网网关;二、原基站在接到鉴权器或接入网网关的上报请求消息后,将所述的移动终端的安全联盟被动上报给鉴权器或接入网网关。
本发明中,所述的接入网网关包括但不限于原服务接入网网关,目标接入网网关,鉴权器所在的接入网网关,和/或,外地代理所在的接入网网关,等等。
根据以上的情况有四种组合,同时配合切换请求与切换后的常规处理以下分为四个具体实施方式
具体描述。
实施方式一如图2所示,当移动终端在通信系统中同一个鉴权器或接入网所属的范围内的BS之间进行切换,且原基站已经将所述的安全联盟主动上报给相应的鉴权器或接入网网关时,本发明所述的方法包括以下步骤步骤21、移动终端向原基站发送切换请求/指示消息。
步骤22、原基站向鉴权器或接入网网关发送切换请求/指示消息,在消息中要包含移动终端标识(MSS),目标基站标识符(T-BSID)和与此移动终端相关的所有的安全联盟的列表,其中包含着移动终端的安全联盟信息,通过该步骤可以将基站中的安全联盟上报给鉴权器或接入网网关。
步骤23、鉴权器或接入网网关和目标基站之间进行切换准备消息的交互,从而做一些切换时的准备工作。
步骤24、切换准备工作完成后,所述鉴权器或接入网网关需要给服务基站(即原基站)回复一个响应消息。
步骤25、切换准备工作完成后,目标基站则需要向鉴权器或接入网网关发送请求该移动终端安全联盟的消息,所述的消息中需要包含移动终端的标识(即MSSID)。
这一步骤不是本发明实现过程中必须的,具体可以经目标基站向鉴权器或接入网网关请求后再下发该移动终端的安全联盟信息;也可以不经目标基站向鉴权器或接入网网关请求,直接下发该移动终端的安全联盟信息,当选择第二种实现方案时,则该步骤可以省去。
步骤26、鉴权器或接入网网关根据请求将所述安全联盟信息下发给目标基站,消息中要包含移动终端的标识(MSS)和相应的安全联盟列表。
步骤27、目标基站收到从鉴权器或接入网网关上发过来的安全联盟列表之后,首先给安全联盟列表中的SA分配新的安全联盟标识符(SAID),以替换掉旧的SAID。
步骤28、之后,便开始相应的Ranging(参数和功率调节)过程。在这个过程中,目标基站将把所有的与某个MSS相关联的更新的SAID更新到MSS,使得MSS侧的SAID和目标基站上的保持一致。
步骤29、会话继续,继续后续的会话过程。
在上述处理过程中,在执行步骤24之后,也可以在当目标基站收到移动终端发来的Ranging Request(用于调整上下行链路的参数和功率信息的请求)消息后,执行步骤25,此时,在后续的步骤28,将改为由目标基站向移动终端发送Ranging response(寻址响应)消息。
实施方式二如图3所示,当移动终端在通信系统中同一个鉴权器或接入网所属的范围内的BS之间发生切换,且原基站是在接到鉴权器或接入网网关的上报请求后,将所述的移动终端的安全联盟被动上报给鉴权器或接入网网关时,所述方法包括步骤31、移动终端向原基站发送切换请求/指示消息。
步骤32、原基站向鉴权器或接入网网关发送切换请求/指示消息,在消息中要包含移动终端标识(MSS)和目标基站标识符(T-BSID)。
步骤33、鉴权器或接入网网关和目标基站之间做一些切换时的准备工作。
步骤34、鉴权器或接入网网关给服务基站回复一个响应消息。
步骤35、目标基站向鉴权器或接入网网关发送请求该移动终端安全联盟的消息;消息中要包含移动终端的标识(MSS)。
同样,这一步骤不是必须的,可以经目标基站向鉴权器或接入网网关请求后目标基站再向原基站请求该移动终端的安全联盟;也可以不经目标基站向鉴权器或接入网网关请求,而直接向原基站请求该移动终端的安全联盟,当选择第二种实现方案时,则该步骤可以省去。
步骤36、鉴权器或接入网网关向原基站发送安全联盟请求消息,消息中要指明移动终端的标识符,以便于获取对应的安全联盟信息。
步骤37、原基站根据请求上报该移动终端的安全联盟消息给鉴权器或接入网网关,消息中同样需要指明移动终端的标识符。
步骤38、鉴权器或接入网网关根据请求将所述安全联盟消息下发给目标基站,消息中要包含移动终端的标识(MSS)和相应的安全联盟列表,列表中记录着移动终端的安全联盟信息。
步骤39、目标基站收到从鉴权器或接入网网关上发过来的安全联盟列表之后,首先给安全联盟列表中的SA分配新的安全联盟标识符(SAID),以替换掉旧的SAID。
步骤310、开始Ranging过程。在这个过程中,目标基站将把所有的与某个MSS相关联的更新的SAID更新到MSS,使得MSS侧的SAID和目标基站上的保持一致。
步骤311、继续后续的会话过程。
同样,在上述处理过程中,在执行步骤34之后,也可以在当目标基站收到移动终端发来的Ranging Request消息后,执行步骤35,此时,在后续的步骤38,将改为由目标基站向移动终端发送Ranging response消息。
实施方式三如图4所示,当移动终端在通信系统中不同鉴权器或接入网所属的范围内的BS之间发生切换,且原基站已经将所述的安全联盟主动上报给鉴权器或接入网网关时,则本发明所述方法包括以下步骤步骤41、移动终端向原基站发送切换请求/指示消息。
步骤42、原基站向鉴权器或接入网网关发送切换请求/指示消息,在消息中要包含移动终端标识(MSS),目标基站标识符(T-BSID)和与此移动终端相关的所有的安全联盟的列表,以便于上报所述的安全联盟信息。
步骤43、原鉴权器或原服务接入网网关和目标基站之间做一些切换时的准备工作。
步骤44、原鉴权器或原服务接入网网关给服务基站回复一个响应消息。
步骤45、目标基站向目标鉴权器或接入网网关发送请求该移动终端安全联盟的消息;消息中要包含移动终端的标识(MSS);该请求消息有可能需要经过目标网络中的某个网络实体,如网管设备,根据其提供的记录信息来找到对应的原鉴全器。
同样,这一步骤还可以经目标基站向目标鉴权器或接入网网关请求后再由目标鉴权器或接入网网关向原鉴权器或原服务接入网网关请求下发该移动终端的安全联盟;或者,也可以不经目标基站向目标鉴权器或接入网网关请求,目标鉴权器或接入网网关向原鉴权器或原服务接入网网关请求下发该移动终端的安全联盟,当选择第二种实现方案时,则该步骤可以省去。
步骤46、目标鉴权器或接入网网关根据请求将所述安全联盟请求消息下发给原鉴权器或原服务接入网网关,消息中要包含移动终端的标识(MSS)和相应的安全联盟列表,以请求从原鉴权器或原服务接入网网关获得相应的安全联盟信息。
步骤47、原鉴权器或原服务接入网网关接收到所述的请求消息后,上报该移动终端安全联盟消息给目标鉴权器或接入网网关,所述的消息中要包含移动终端的标识(MSS)和相应的安全联盟列表,列表中记录着移动终端的安全联盟信息。
步骤48、目标鉴权器或接入网网关下发该移动终端安全联盟消息给目标基站,消息中要包含移动终端的标识(MSS)和相应的安全联盟列表。
步骤49、目标基站收到从目标鉴权器或接入网网关上发过来的安全联盟列表之后,首先给安全联盟列表中的SA分配新的安全联盟标识符(SAID),以替换掉旧的SAID。
步骤410、之后,开始Ranging过程,在这个过程中,目标基站将把所有的与某个MSS相关联的更新的SAID更新到MSS,使得MSS侧的SAID和目标基站上的保持一致。
步骤411、会话继续。
同样,在上述处理过程中,在执行步骤44之后,也可以在当目标基站收到移动终端发来的Ranging Request消息后,执行步骤45,此时,在后续的步骤48,将改为由目标基站向移动终端发送Ranging response消息。
实施方式四如图5所示,当移动终端在通信系统中不同鉴权器或接入网所属的范围内切换时,且原基站是在接到鉴权器或接入网网关的上报请求后,将所述的移动终端的安全联盟被动上报给鉴权器或接入网网关,所述方法包括步骤51、移动终端向原基站发送切换请求/指示消息。
步骤52、原基站向鉴权器或接入网网关发送切换请求/指示消息,在消息中要包含移动终端标识(MSS),目标基站标识符(T-BSID)和与此移动终端相关的所有的安全联盟的列表,以主动将相应的安全联盟信息上报给鉴权器或接入网网关。
步骤53、鉴权器或接入网网关和目标基站之间做一些切换时的准备工作。
步骤54、鉴权器或接入网网关给服务基站回复一个响应消息。
步骤55、目标基站向目标鉴权器或接入网网关发送请求该移动终端安全联盟的消息;消息中要包含移动终端的标识(MSS);同样,该请求消息有可能需要经过目标网络中的某个网络实体,如网管设备,根据其提供的记录信息来找到对应的原鉴全器。
所述的步骤55为可选步骤,具体可以经目标基站向目标鉴权器或接入网网关请求后再由目标鉴权器或接入网网关向原鉴权器或原服务接入网网关请求下发该移动终端的安全联盟,也可以不经目标基站向目标鉴权器或接入网网关请求,目标鉴权器或接入网网关向原鉴权器或原服务接入网网关请求下发该移动终端的安全联盟,当选择第二种实现方案时,则该步骤可以省去。
步骤56、目标鉴权器或接入网网关根据请求将所述安全联盟请求消息下发给原鉴权器或原服务接入网网关,消息中要包含移动终端的标识(MSS)和相应的安全联盟列表。
步骤57、原鉴权器或原服务接入网网关向原基站发送安全联盟请求消息,消息中要指明移动终端的标识符。
步骤58、原基站根据请求上报该移动终端的安全联盟消息给原鉴权器或原服务接入网网关;消息中要指明移动终端的标识符。
步骤59、原鉴权器或原服务接入网网关上报该移动终端安全联盟消息给目标鉴权器或接入网网关;消息中要包含移动终端的标识(MSS)和相应的安全联盟列表。
步骤510、目标鉴权器或接入网网关下发该移动终端安全联盟消息给目标基站,消息中要包含移动终端的标识(MSS)和相应的安全联盟列表。
步骤511、目标基站收到从鉴权器或接入网网关上发过来的安全联盟列表之后,首先给安全联盟列表中的SA分配新的安全联盟标识符(SAID),以替换掉旧的SAID。
步骤512、之后,开始Ranging过程,在这个过程中,目标基站将把所有的与某个MSS相关联的更新的SAID更新到MSS,使得MSS侧的SAID和目标基站上的保持一致。
步骤513、会话继续。
同样,在上述处理过程中,在执行步骤54之后,也可以在当目标基站收到移动终端发来的Ranging Request消息后,执行步骤55,此时,在后续的步骤58,将改为由目标基站向移动终端发送Ranging response消息。
本发明还提供了一种实现上述方法的移动终端切换过程中获得安全联盟的装置,如图6所示包括安全联盟获取模块与安全联盟传输模块,其中安全联盟获取模块从原基站处获取该移动终端的安全联盟;
所述的安全联盟信息获取模块接收设置于移动终端的原服务基站上的安全联盟信息发送模块发来的移动终端的安全联盟信息,所述的安全联盟信息发送模块,设置于移动终端的原服务基站中,负责向目标基站提供安全联盟信息,即相应的移动终端对应的安全联盟列表。
安全联盟传输模块将所述安全联盟获取模块获取的该移动终端的安全联盟传输至目标基站;所述的安全联盟信息传输模块将相应的安全联盟信息发送给目标基站中设置的安全联盟信息接收模块,在目标基站中,通过所述的安全联盟信息接收模块接收获得移动终端的安全联盟信息。
其中,所述的安全联盟获取模块设置于通信系统中的移动终端的原鉴权器或原服务接入网网关,或者,目标鉴权器或接入网网关上;所述的安全联盟传输模块设置于通信系统中的移动终端的原基站所属的原鉴权器或原服务接入网网关和/或目标基站所属的目标鉴权器或接入网网关上。
也就是说,本发明所述的装置具体可以设置于鉴权器或接入网网关中,其中,所述的接入网网关包括原服务接入网网关、目标接入网网关、鉴权器所在的接入网网关和/或外地代理所在的接入网网关;所述的鉴权器包括移动终端的原基站所属的原鉴权器和/或目标基站所属的目标鉴权器。
以上所述,仅为本发明较佳的具体实施方式
,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应该以权利要求的保护范围为准。
权利要求
1.一种移动终端切换过程中获得安全联盟信息的方法,其特征在于,包括在通信系统中移动终端进行切换的过程中,目标基站获取移动终端与原基站相同的安全联盟信息作为目标基站与移动终端间的安全联盟信息。
2.根据权利要求1所述的移动终端切换过程中获得安全联盟信息的方法,其特征在于,所述的安全联盟信息包括安全联盟、协商的加密算法和模式和/或通信加密密钥及参数信息。
3.根据权利要求1所述的移动终端切换过程中获得安全联盟信息的方法,其特征在于,当移动终端在通信系统中同一个鉴权器或接入网网关所属的范围内的基站间切换时,且原基站已经将所述的安全联盟信息主动上报给鉴权器或接入网网关,所述方法包括鉴权器或接入网网关直接下发该移动终端对应的安全联盟信息给目标基站;或者,目标基站向鉴权器或接入网网关请求该移动终端的安全联盟信息,鉴权器或接入网网关根据所述请求将所述安全联盟信息下发给目标基站。
4.根据权利要求3所述的移动终端切换过程中获得安全联盟信息的方法,其特征在于,所述的原基站将移动终端的安全联盟信息通过切换请求/指示信息发送给目标基站。
5.根据权利要求1所述的移动终端切换过程中获得安全联盟信息的方法,其特征在于,所述的方法还包括对于正常切换过程,所述的原服务基产主动发送相应移动终端对应的安全联盟信息给目标基站,所述的安全联盟信息为直接或通过鉴权器或接入网网关中转发送给目标基站;或者,对于异常切换过程,目标基站向原服务基站请求该移动终端的安全联盟信息,原服务基站根据所述请求向目标基站发送相应的安全联盟信息,所述的安全联盟信息为直接或通过鉴权器或接入网网关中转发送给目标基站。
6.根据权利要求1所述的移动终端切换过程中获得安全联盟信息的方法,其特征在于,当移动终端在同一个鉴权器或接入网网关所属的范围内的基站间切换时,且原基站是被动上报安全联盟信息给鉴权器或接入网网关,所述的方法包括A、鉴权器或接入网网关向原基站请求该移动终端的安全联盟信息,原基站根据请求上报该移动终端的安全联盟信息给鉴权器或接入网网关;B、鉴权器或接入网网关直接下发该移动终端的安全联盟信息给目标基站;或者,C、鉴权器或接入网网关向原基站请求该移动终端的安全联盟信息,原基站根据请求上报该移动终端的安全联盟信息给鉴权器或接入网网关;D、目标基站向鉴权器或接入网网关请求该移动终端的安全联盟信息,鉴权器或接入网网关根据请求将所述安全联盟信息下发给目标基站。
7.根据权利要求1所述的移动终端切换过程中获得安全联盟信息的方法,其特征在于,当移动终端于通信系统中不同鉴权器或接入网网关所属的范围内的基站间切换时,且原基站已经将所述的安全联盟信息主动上报给鉴权器或接入网网关,所述方法包括E、目标鉴权器或接入网网关直接或经过目标网络中的网络实体识别出原鉴权器或接入网网关后向原鉴权器或接入网网关请求该移动终端安全联盟信息,原鉴权器或接入网网关上报该移动终端安全联盟信息给目标鉴权器或接入网网关;F、目标鉴权器或接入网网关直接下发该移动终端对应的安全联盟信息给目标基站;或者,G、目标鉴权器或接入网网关直接或经过目标网络中网络实体识别出原鉴权器或接入网网关后向原鉴权器或接入网网关请求该移动终端安全联盟信息,原鉴权器或接入网网关上报该移动终端安全联盟信息给目标鉴权器或接入网网关;H、目标基站向目标鉴权器或接入网网关请求该移动终端的安全联盟信息,目标鉴权器或接入网网关根据请求将所述安全联盟信息下发给目标基站。
8.根据权利要求1所述的移动终端切换过程中获得安全联盟信息的方法,其特征在于,当移动终端在通信系统中不同鉴权器或接入网网关所属的范围内的基站间切换时,且原基站是被动上报安全联盟信息给鉴权器或接入网网关,所述方法包括I、目标鉴权器或接入网网关直接或经过目标网络中网络实体识别出原鉴权器或接入网网关后向原鉴权器或接入网网关请求该移动终端安全联盟信息;J、原鉴权器或接入网网关向原基站请求该移动终端的安全联盟信息;原基站根据请求上报该移动终端的安全联盟信息给原鉴权器或接入网网关;K、原鉴权器或接入网网关上报该移动终端安全联盟信息给目标鉴权器或接入网网关;L、目标鉴权器或接入网网关直接下发该移动终端对应的安全联盟信息给目标基站;或者,M、目标鉴权器或接入网网关直接或经过目标网络中网络实体识别出原鉴权器或接入网网关后向原鉴权器或接入网网关请求该移动终端安全联盟信息;N、原鉴权器或接入网网关向原基站请求该移动终端的安全联盟信息;原基站根据请求上报该移动终端的安全联盟信息给原鉴权器或接入网网关;O、原鉴权器或接入网网关上报该移动终端安全联盟信息给目标鉴权器或接入网网关;P、目标基站向目标鉴权器或接入网网关请求该移动终端的安全联盟信息,目标鉴权器或接入网网关根据请求将所述安全联盟信息下发给目标基站。
9.根据权利要求1至8任一项所述的移动终端切换过程中获得安全联盟信息的方法,其特征在于,该方法还包括目标基站在鉴权器或接入网网关发送的切换准备消息,或者,在鉴权器或接入网网关发送的参数和功率调节请求消息的触发下发起获取移动终端安全联盟信息的请求。
10.根据权利要求1至8任一项所述的移动终端切换过程中获得安全联盟信息的方法,其特征在于,所述的移动通信系统包括微波接入全球互通Wimax系统,且在该系统中所述的安全联盟信息包括安全联盟标识符、安全联盟类型、安全联盟服务类型、加密元组和/或通信加密密钥对信息,所述的加密元组包含数据加密算法和模式、数据认证算法和模式和/或通信加密密钥加密算法和模式,所述的通信加密密钥对信息包含通信加密密钥、通信加密密钥的剩余生命周期、通信加密密钥序列号、通信加密密钥、通信加密密钥在CBC模式下的初始向量、包序列号、接收到的包号和/或在组播下的组播密钥加密密钥序列号。
11.根据权利要求1至8任一项所述的移动终端切换过程中获得安全联盟信息的方法,其特征在于,所述的接入网网关包括原服务接入网网关、目标接入网网关、鉴权器所在的接入网网关和/或外地代理所在的接入网网关。
12.一种移动终端切换过程中获得安全联盟信息的装置,其特征在于,包括安全联盟信息获取模块获取原基站的该移动终端的安全联盟信息;安全联盟信息传输模块将所述安全联盟信息获取模块获取的该移动终端的安全联盟信息传输至目标基站。
13.根据权利要求12所述的移动终端切换过程中获得安全联盟信息的装置,其特征在于,所述的装置设置于鉴权器或接入网网关上。
14.根据权利要求13所述的移动终端切换过程中获得安全联盟信息的装置,其特征在于,所述的接入网网关包括原服务接入网网关、目标接入网网关、鉴权器所在的接入网网关和/或外地代理所在的接入网网关;所述的鉴权器包括移动终端的原基站所属的原鉴权器和/或目标基站所属的目标鉴权器。
15.根据权利要求12所述的移动终端切换过程中获得安全联盟信息的装置,其特征在于,所述的安全联盟信息获取模块接收设置于移动终端的原服务基站上的安全联盟信息发送模块发来的移动终端的安全联盟信息。
16.根据权利要求12所述的移动终端切换过程中获得安全联盟信息的装置,其特征在于,所述的安全联盟信息传输模块将相应的安全联盟信息发送给目标基站中设置的安全联盟信息接收模块,在目标基站中,通过所述的安全联盟信息接收模块接收获得移动终端的安全联盟信息。
全文摘要
本发明提出了一种移动终端切换过程中获得安全联盟信息的方法及装置,使得在移动终端切换基站后,在目标基站仍然使用与原基站相同的记录安全联盟信息的安全联盟列表。也就是在移动终端切换过程中,目标基站获取移动终端与原基站相同的安全联盟列表作为目标基站与移动终端间的安全联盟列表。本发明的实现使得在移动终端切换基站后,在目标基站仍然可以使用与原基站相同的安全联盟列表。也就是在移动终端切换过程中,目标基站获取移动终端与原基站相同的安全联盟列表作为目标基站与移动终端间的安全联盟列表,从而为移动终端切换过程中安全联盟列表的获取提供了可行的实现方案。
文档编号H04W36/08GK1937840SQ200610090728
公开日2007年3月28日 申请日期2006年6月28日 优先权日2005年9月19日
发明者单长虹, 林志斌, 党淑君, 李永茂, 张俊 申请人:华为技术有限公司