专利名称:获取密钥的方法、设备及系统的制作方法
技术领域:
本发明涉及网络通信技术领域,尤其涉及一种在认证器发生迁移的情况 下获取密钥的实现方案。
背景技术:
随着因特网业务的快速发展和无线网络的广泛应用,移动用户的安全性 已经对无线系统提出了更高的要求,即除相应的设备鉴权、用户鉴权和服务授权等处理外,还需要在AP (无线用户与接入点)或BS (基站)之间建立 相应的安全通道,实现相应的保密信息交换,以及在BS和Authenticator (鉴 权者),鉴权者和鉴权服务器之间建立保密通道,实现保密信息交换等等。在无线网络中,移动用户需要向NAS (网络接入服务器)等认证器发起 认证,并在认证通过后,移动用户的FA (外部代理)通过与NAS的通信获取 相应的密钥信息,以便于在后续通信过程中应用。在移动用户MS发生重认证操作后,FA获得密钥的处理过程如图1所示, 相应的处理过程包括以下步骤步骤1, MS通过NAS1接入认证成功;具体可以是通过NAS1向AAA服务器发起相应的认证过程,并完成相应 的认证操作,确定MS认证通过;步骤2, FA在需要MN-FA密钥或FA-HA密钥时向NAS1发送请求,以请求 获取相应的MN-FA密钥或FA-HA密钥;步骤3, MS通过NAS1发生重认证;与认证过程类似,具体可以通过NAS1向AAA服务器发起重认证操作, 以完成相应的重iU正处理;步骤4, MS向FA发送MIP-RRQ (MIP注册)消息,携带新密钥计算的认 证扩展,并且SPI (安全参数索引)也由重认证后产生的FA-RK计算,或者 由其他方式产生;步骤5, FA收到所述注册消息后,比较MIP-RRQ消息中携带的SPI,确 定SPI发生变化,即发生重认证,则向NAS1请求密钥更新信息;即由于在步骤3中发生了重认证,故NAS1以及MS上的密钥信息均已经 更新,但是FA并不知道重认证以及更新后的密钥信息,故FA需要向NAS1请 求更新后的密钥信息;步骤6, FA获得密钥后,则可以继续处理MIP-RRQ消息,完成后续的处 理过程。需要说明的是,在上述处理过程中,无论是否发生重认证,只要FA发生迁移,则同样在FA收到MIP-RRQ消息后,将要执行步骤5,以向NAS1请求密钥,以便于获得当前的密钥,用于完成后续处理过程。在实现本发明过程中,发明人发现现有技术中至少存在如下问题 在上述处理过程中,若在MS的重认证过程中还发生的NAS迁移,则FA无法从迁移后的NAS获得密钥信息,从而使得在发生NAS迁移后,FA无法对收到的MIP-RRQ消息进行处理。发明内容本发明的实施例提供了一种获取密钥的方法、设备及系统,从而可以在 认证器发生迁移的情况下,仍然能够保证需要获取密钥信息的网络设备可以 获得相应的密钥信息,以保证后续通信过程的顺利进行。本发明实施例提供了 一种获取密钥的方法,用于在认证器发生迁移后为需要获取密钥信息的网络设备获取密钥信息,且该方法包括需要获取密钥信息的网络设备接收用于表示发生认证器迁移的指示信息 后,向迁移后的认证器发送密钥请求,并接收所述认证器返回的密钥信息, 获取该终端对应的密钥信息。本发明还提供了一种获取密钥的方法,用于在重认证后为需要获取密钥 信息的网络设备获取密钥信息,且该方法包括需要获取密钥信息的网络设备接收用于表示发生重认证的指示信息后, 接收认证器发送的该终端对应的密钥信息。本发明实施例提供了一种网络设备,包括认证器迁移确定单元,用于根据接收到的用于表示发生认证器迁移的指 示信息确定终端对应的认证器发生迁移;密钥请求荻取单元,用于在所述认证器迁移确定单元确定终端对应的认 证器发生迁移后,向迁移后的认证器发送密钥请求,并用于接收所述认证器 返回的密钥信息,获取该终端对应的密钥信息。本发明实施例提供了 一种获取密钥的系统,包括认证器和需要获取密钥 信息的网络设备,其中,认证器,用于接收需要获取密钥信息的网络设备发来的密钥请求,并向 需要获取密钥信息的网络设备发送其生成的终端对应的密钥信息;需要获取密钥信息的网络设备,接收用于表示发生认证器迁移的指示信 息后,向迁移后的认证器发送密钥请求,接收所述认证器返回的密钥信息。本发明实例还提供了一种获取密钥的系统,包括认证器和需要获取密钥 信息的网络设备,其中,认证器,用于向需要获取密钥信息的网络设备发送其生成的终端对应的 密钥信息;需要获取密钥信息的网络设备,用于接收用于表示发生重认证的指示信息后,接收认证器发送的该终端对应的密钥信息。由上述本发明的实施例提供的技术方案可以看出,其可以在认证器发生 迁移后,保证需要获取密钥信息的网络设备可以获得相应的密钥信息,以使 得后续通信过程的顺利进行。因此,本发明实施例的实现可以有效提高无线 通信系统的通信性能。
图1为现有技术中FA获取密钥信息的处理过程示意图;图2为本发明实施例中FA获取密钥信息的处理过程示意图一;.图3为本发明实施例中FA获取密钥信息的处理过程示意图二;图4为本发明实施例中FA获取密钥信息的处理过程示意图三;图5为本发明实施例中FA获取密钥信息的处理过程状态机示意图;图6为本发明实施例的完整处理过程示意图;图7为本发明实施例提供的系统的结构示意图。
具体实施方式
本发明实施例用于在终端的认证器发生迁移后,为需要获取密钥信息的 网络设备获取密钥信息,即在需要获取密钥信息的网络设备接收用于表示发 生认证器迁移的指示信息后,则确定终端对应的认证器发生迁移,并向迁移 后的认证器发送密钥请求,从而接收所述认证器返回的密钥信息,获取该终 端对应的密钥信息。本发明实施例中,所述的需要获取密钥信息的网络设备包括但不限于FA (外部代理)、BS (基站)或GW (网关)等设备,所述的密钥信息包括但 不限于密钥、SPI (安全参数索引)和生命周期中的至少一项。本发明实施例在实现过程中,用于表示发生认证器迁移的指示信息具体可以由迁移后的认证器或者由原认证器(迁移前的认证器)或者由终端或者由HA (家乡代理)或者由AAA (鉴权、认证、计费)服务器等设备向需要获 取密钥信息的网络设备发送,从而使得相应的需要获取密钥信息的网络设备 可以获知所述指示信息。可选地,所述的迁移后的认证器或者原认证器或者 终端或者HA或者AAA服务器等设备还可以向需要获取密钥信息的网络设备发 送迁移后的认证器的地址;其中,若由原认证器向需要获取密钥信息的网络 设备发送迁移后的认证器的地址,则所述的认证器还维护终端与迁移后的认 证器的地址之间的对应关系,且可选地针对该对应关系设置对应的生存周 期,以便于在经过预定时间段后便可以删除维护的所述对应关系信息,从而 释放占用的存储及管理资源。在上述处理过程中,若由终端向需要获取密钥信息的网络设备发送所述 指示信息,则终端需要事先确定发生认证器迁移。终端确定发生认证器迁移 的过程具体可以包括首先,在认证的过程中,由认证器将自身的识别信息 发送给终端,这样,终端便可以根据当前收到的认证器的识别信息与之前收 到的认证器的识别信息的比较结果,确定认证器是否发生迁移;例如,所述 的识别信息可以包括认证器的地址信息和/或认证器到网关的跳数。本发明实施例中,迁移后的认证器生成终端对应的密钥信息后,其可以 主动将所述密钥信息发送给相应的需要获取密钥信息的网络设备;或者,可 选地,由迁移后的认证器将生成的终端对应的密钥信息发送给原认证器,并 由原认证器发送给需要获取密钥信息的网络设备。在本发明实施例中,若需要获取密钥信息的网络设备通过上述处理过程 实现密钥信息的获取,则可选地,需要获取密钥信息的网络设备在确定终端 对应的认证器发生迁移后,还可以判断是否收到迁移后的认证器发来的密钥 信息,若确定未获取到迁移后的认证器生成的终端对应的密钥信息后,则可 以通过向迁移后的认证器发送密钥请求的方式获取所述密钥信息。本发明实施例在具体实现过程中,需要获取密钥信息的网络设备向迁移 后的认证器发送密钥请求之前还可以包括获取迁移后的认证器的地址信息的 操作,以使得需要获取密钥信息的网络设备可以获取到迁移后的认证器的地 址,便于向其发送密钥请求消息。具体可以用于获取迁移后的认证器的地址信息的方式包括 一种可以为从迁移前的原认证器请求获取迁移后的认证器 的地址信息;另一种是接收迁移后的认证器或原认证器主动发送来的迁移后 的认证器的地址信息。在认证器迁移过程中,若FA、 BS或GW等需要获取密钥信息的网络设备 也发生迁移,迁移后的认证器可以将密钥信息首先发送给迁移前的原需要获 取密钥信息的网络设备,并由所述原需要获取密钥信息的网络设备将所述密 钥信息发送给迁移后的需要获取密钥信息的网络设备;或者,也可以由原需 要获取密钥信息的网络设备向迁移后的认证器发送需要获取密钥信息的网络 设备迁移的指示或迁移后的需要获取密钥信息的网络设备的地址等信息,或 者,由迁移后的需要获取密钥信息的网络设备向迁移后的认证器发送需要获 取密钥信息的网络设备迁移的指示或迁移后的需要获取密钥信息的网络设备 的地址,以便于迁移后的认证器将密钥信息发送给迁移后的需要获取密钥信 息的网络设备。下面将以FA作为需要获取密钥信息的网络设备为例,将相应的获取密钥 信息的处理过程的具体实现过程分不同情况描述(1) FA先于NAS完成了迁移,且新FA获得了原认证器的地址 在该情况下,将迁移后的新FA作为终端的当前FA,并采用上述处理过程即可以保证需要获取密钥信息的网络设备能够获取相应密钥信息;(2) NAS先于FA完成了迁移,原FA获得了新NAS的地址 在该情况下,迁移后的新FA在迁移过程中可以获得新NAS地址,这就使得需要获取密钥信息的网络设备能够很容易地获取相应密钥信息;例如,由迁移后的FA向新NAS发送FA迁移的指示或迁移后的FA的地址,或者,由原 FA向新NAS发送FA迁移的指示或新FA的地址等信息,之后,由新NAS将密 钥信息发送给迁移后的FA,以便于新NAS将密钥信息发送给新FA; (3)FA迁移过程中,此时原NAS正在进行NAS迁移在该情况下,新FA需要向原NAS请求密钥,在原NAS将密钥信息发送给 新FA的过程中具体可以包括若原NAS在告知新FA正在进行NAS迁移时,还将新NAS的地址告知新 FA,由新FA向新NAS发送密钥请求,新NAS若已经完成重认证则回复新密 钥信息,否则,回复一个令新FA等待的指令或者等重认证完成后再将新密钥 信息发送给新FA;若原NAS仅通知新FA当前正在进行NAS迁移,却未告知其迁移后的新 NAS的地址,则新FA可以向原NAS请求新NAS的地址(即迁移后的认证器可 以将密钥信息首先发送给原FA,之后,由原FA将所述密钥信息发送给迁移后 的FA),或者等待新NAS主动更新密钥。本发明实施例中,在确定终端对应的认证器发生迁移之前,需要获取密 钥信息的网络设备还需要确定终端是否发生重认证,以便于在确定终端发生 重认证的情况下,进一步确定终端对应的认证器是否发生迁移,进而利用本 发明实施例解决发生认证器迁移的情况下的密钥信息的获取问题。其中,需 要获取密钥信息的网络设备确定终端是否发生重认证的操作具体可以包括 在需要获取密钥信息的网络设备中保存终端与家乡代理之间的SPI (安全参 数索引),若收到的终端或其他设备发来的注册请求中的SPI与保存的终端 与家乡代理之间的SPI不同,则确定发生了针对终端的重认证,否则,确定 未发生重认证;或者,需要获取密钥信息的网络设备还可以根据收到的消息 中的显式的重认证指示或隐式的重认证指示信息确定终端是否发生重认证操 作。以FA作为需要获取密钥信息的网络设备为例,FA需要获取的密钥信息 可以为MIP密钥信息。本发明实施例具体可以解决FA更新MIP密钥过程中存 在的因NAS发生迁移而无法获得MIP密钥的问题,并减少竟争场景及获得密 钥的时间,提供了FA获得有效的MIP密钥的实现方案,该MIP密钥可以包括 MN-FA密钥和FA-HA密钥。需要说明的是,本发明实施例并不仅限于该具体 应用的举例。在针对终端的重认证过程中,可以伴随着认证器迁移,也可以直接就在 原来的认证器上进行。当认证器迁移的时候,需要通知FA新认证器的地址信 息,以便FA后续请求密钥信息。FA迁移和认证器的迁移互相独立,即可能同 时发生迁移,也可能不是同时发生迁移。下面将以作为认证器的NAS发生迁移,FA需要获取的密钥信息包括MN-FA密钥的应用场景为例,对本发明实施例的具体实现过程进行说明。在该场 景下,相应的处理过程如图2、图3和图4所示,具体包括以下步骤步骤1, MS通过NAS1接入认证成功;步骤2, FA在需要MN-FA密钥时向NAS1发送请求,具体可以通过向 NAS1发送上下文请求,以请求获取相应密钥;步骤3,针对MS的重认证为通过NAS2进行,即发生了NAS迁移;在该重认证过程中,NAS2以及MS上的密钥信息更新,但FA并未获知发 生了重认证事件,也未获知更新后的密钥信息;步骤4,在重认证后,MS或HA (家乡代理)等(图中仅以MS为例绘 制)设备向FA发送MIP-RRQ消息,所述消息中携带着新的密钥计算的认证 扩展,其中的SPI也是由重认证后产生的FA-RK计算获得,或者也可以为其 它可以用于确定是否发生重认证的指示信息;步骤5, FA收到所述消息后,比较MIP-RRQ消息中携带的SPI与本地维 护的SPI是否相同,若确定发生变化(确定发生重认证),或者根据指示信息确认重认证发生,则获取更新后的密钥信息,具体仍可以通过向NAS2发 送上下文请求,以请求获取相应密钥;在该步骤中,若FA发生迁移,则FA在获得原NAS的地址后,新FA也处 于同样的状态中,即知晓原NAS地址信息,且需要获取MIP密钥信息;在该步骤中,具体的向NAS请求获取更新后的密钥的实现过程可以但不 限于有三种,参照图2、图3和图4所示,各实现过程分别为(1) 如图2所示,在NAS2的迁移过程中,NAS2通知FA的消息还没有到 达FA,贝'jFA向NAS1请求密钥更新信息;并由NAS1向其返回NAS迁移指示 和/或新的NAS地址(即NAS2地址);然后,FA向NAS2发送密钥请求消 息,以请求获取相应的MIP密钥信息;(2) 如图3所示,在NAS2的迁移过程中,NAS2通知FA的消息还没有到 达FA,贝)JFA向NAS1请求密钥更新信息;并由NAS1向FA返回NAS迁移指示 和/或新的NAS地址(即NAS2地址);在FA向NAS2发送密钥请求消息之 前,NAS2迁移的通知消息到达FA,如果该消息中携带更新后的密钥以及上 下文信息,则FA不再发送密钥请求;否则,FA继续向NAS2发送密钥请求, 以请求获取相应的MIP密钥信息;(3) 如图4所示,在NAS2的迁移过程中,NAS2通知FA的消息已经到达 了FA,如果该消息中携带更新后的密钥以及上下文信息,则FA不再向NAS2 发送密钥请求;否则,FA继续向NAS2发送密钥请求,以请求获取相应的 MIP密钥信息。需要说明的是,若FA也发生了迁移,且NAS2的更新消息发送到了原 FA,则原FA需要将所述更新消息转发给新FA,以便于新FA仍可以方便地获 得相应的MIP密钥信息,或者,返回一个FA迁移的指示或新FA的地址给 NAS2,然后NAS2发送密钥信息给新FA。通过上述步骤1至步骤5的处理过程,FA获得更新后的密钥信息后,则可以继续处理MIP-RRQ消息。基于上述应用场景中MIP-RRQ消息中仅携带是否重认证的信息的情况, 本发明实施例还提供了另一种具体实施方案,在该方案中考虑选择在MIP-RRQ消息中携带NAS是否迁移的指示信息,相应的处理过程如图5所示,具 体可以包括如下过程步骤1,第一次认证,NAS1在EAP过程中将自身的地址或者NAS到服务 GW (网关)的跳数发送给MS并作记录;步骤2,重认证,MS也获得了NAS1地址或者NAS到服务GW的跳数,并 且与之前记录的地址或跳数信息(即步骤1中记录的信息)进行比较,发现 相同,则确认NAS没有发生迁移;步骤3, MS发送MIP-RRQ中携带指示信息,以表示重认证但是没有NAS 迁移,所述指示信息可以为SPI不同算法,或者,单独的扩展头;具体实现过程中可以是SPI的单数指示NAS发生了迁移,双数则相 反,指示NAS没有发生迁移;如果是扩展头方式,可以直接在扩展头中包含 一个类型表示NAS的迁移状态,或者就直接包含当前NAS的地址信息;步骤4,重认证,MS也获得了NAS2地址或者NAS到服务GW的跳数,并 且与之前记录的地址或跳数信息(即步骤1中记录的信息)进行比较,发现不同,则确认NAS发生了迁移;步骤5, MS发送MIP-RRQ中携带指示信息,以表示MS发生重认证,并 且伴随NAS迁移发生。基于上述处理过程,则FA收到相应的MIP-RRQ消息后采用的处理过程具 体可以为(1)当FA收到MIP-RRQ消息以后,若消息中未携带NAS地址信息,则 根据MIP-RRQ消息的指示信息进行处理若没有重认证,则继续处理;若重 认证但没有NAS迁移,向原NAS请求密钥;如果重认证且伴随NAS迁移,等待新NAS主动发送通知信息,若新NAS发来的通知信息中没有携带FA所需密 钥信息,则需要向新NAS请求相应的密钥信息,或者,也可以向原NAS请求 新的NAS信息或者更新后的密钥信息;(2)当FA收到MIP-RRQ消息以后,如果MIP-RRQ消息中直接携带了 NAS地址信息,FA可以直接向所指示的NAS请求密钥信息。为便于进一步理解FA获取MIP密钥的实现过程,下面将结合附图,以获 取MIP密钥中的MN-FA密钥为例,对相应的处理过程估文进一步说明。 如图6所示,FA的状态机的实现处理过程包括以下步骤 步骤1, FA收到MIP-RRQ消息;步骤2,判断本地是否存在MN-FA密钥,若存在,则执行步骤3,否则, 执行步骤7;步骤3,比较收到的MIP-RRQ消息中的SPI是否与本地保存的SPI相同, 若相同,即两个SPI相一致,则表示未发生重认证,执行步骤15,否则,表 示发生重认证,执行步骤4;步骤4,判断是否发生NAS迁移,若是,则执行步骤5,否则,执行步骤 6,具体可以但不限于根据SPI或新NAS发送来的Context-Rpt (上下文报告) 等收到的表示N AS是否迁移的指示判断是否发生N AS迁移;在该步骤中,若暂时无法确定是否发生NAS迁移,则执行步骤7;需要说明的是,在该步骤中,若确定发生迁移,则还可以进一步确定是 否已经收到新的NAS的密钥,若收到,则执行步骤15,否则,执行步骤5; 其中,收到的新的NAS的密钥可能是新的NAS直接发送来的,也可能是从原 N AS发来的其从新的N AS接收到的新N AS的密钥;步骤5,判断FA是否已经知道迁移后的新NAS的地址,若知道,则执行 步骤8,否则,执行步骤9;步骤6, FA向原NAS请求获取MN-FA,并执行步骤15。17步骤7, FA向原NAS请求获取MN-FA,或者直接设置时钟并且等待接收 来自认证器的信息(重认证进行的认证器),若从原NAS接收到NAS反馈信 息,则执行步骤10,若FA收到新NAS发来的指示信息,则执行步骤12;收到所述信息以后,终止所设置的时钟;如果时钟过期还没有收到来自 认证器的信息,则丢弃所述MIP-RRQ消息;步骤8, FA向迁移后的新的NAS请求获取MN-FA,并执行步骤15。步骤9, FA等待新的NAS的指示,或者,向原NAS查询新NAS的地址或 MN-FA,并在收到新的NAS的指示或原NAS的反馈后,执行步骤12;其中, 收到的新的NAS的指示或原NAS的反馈可以为新NAS的MN-FA,也可以是新 NAS的地址;步骤10, FA根据原NAS返回的反馈信息判断是否发生NAS迁移,若发 生,则执行步骤,12,否则,执行步骤11;同样,在该步骤中,仍可以但不限于根据SPI或Context-Rpt (上下文报 告)等收到的表示NAS是否迁移的指示判断是否发生NAS迁移;步骤11,如果在原NAS发来的反馈信息中未携带MN-FA,则向原NAS发 送请求,以请求获取相应的MN-FA,在获得所述MN-FA后执行步骤15,如果 原NAS已经在反馈信息中携带所述MN-FA,则直接执行步骤15。步骤12,判断新的NAS是否已经将对应的MN-FA发送给FA,即判断FA 是否收到MN-FA,若收到,则执行步骤13,否则,则从收到的新的NAS的指 示或原NAS的反馈信息中获取新NAS的地址,并执行步骤14;步骤13, FA从新NAS发送来的信息中获取MN-FA,并执行步骤15;步骤14,根据新NAS的地址,FA从新的NAS请求获取相应的MA-FA,并 在获得所述MN-FA后执行步骤15;步骤15, FA根据获取的密钥信息对收到的MIP-RRQ消息进行处理。本发明实施例还提供了 一种网络设备获取密钥的系统,其具体实现结构如图7所示,具体可以包括以下处理单元 ( 一)认证器其用于接收需要获取密钥信息的网络设备发来的密钥请求,并向需要获 取密钥信息的网络设备发送其生成的终端对应的密钥信息,具体可以包括(1) 密钥请求接收单元,用于接收需要获取密钥信息的网络设备发来的 密钥请求;(2) 密钥信息发送单元,用于在所述密钥请求接收单元接收到密钥请求 后,向需要获取密钥信息的网络设备发送其生成的终端对应的密钥信息。可选地,所述的认证器还可以包括迁移指示发送单元,用于向所述的需 要获取密钥信息的网络设备发送用于表示发生认证器迁移的指示信息;该认 证器具体可以为迁移后的认证器,也可以为迁移前的原认证器;若所述迁移 指示发送单元设置于原认证器中,且需要向需要获取密钥信息的网络设备发 送迁移后的认证器的地址,则所述的认证器还包括终端信息维护单元,用于 维护终端与迁移后的认证器的地址之间的对应关系,可选地针对该对应关系 设置对应的生存周期。在该认证器中可以包括以下任一单元密钥信息直接发送单元,用于将迁移后的认证器生成的密钥信息后,直 接主动发送给需要获取密钥信息的网络设备;密钥信息间接传递单元,用于将迁移后的认证器生成的密钥信息发送给 原认证器,并由原认证器发送给需要获取密钥信息的网络设备。为便于终端确定认证器是否发生迁移,则在所述认证器还可以包括识别 信息发送单元,以用于将认证器的地址信息或认证器到网关的跳数作为识别 信息发送给所述终端。(二)网络设备该网络设备为需要获取密钥信息的网络设备,其在接收用于表示发生认证器迁移的指示信息后,向迁移后的认证器发送密钥请求,接收所述认证器 返回的密钥信息。具体一点讲,需要获取密钥信息的网络设备具体可以包括(1) 认证器迁移确定单元,用于根据接收到的用于表示发生认证器迁移 的指示信息确定终端对应的认证器发生迁移;(2) 密钥请求获取单元,用于在所述认证器迁移确定单元确定终端对应 的认证器发生迁移后,向迁移后的认证器发送密钥请求,并用于接收所述认 证器返回的密钥信息,获取该终端对应的密钥。可选地,需要获取密钥信息的网络设备还可以包括判断处理单元,用于 在所述认证器迁移确定单元确定发生认证器迁移后,若确定未获取到迁移后 的认证器生成的密钥信息,则通知所述密钥请求获取单元。可选地,需要获取密钥信息的网络设备还可以包括认证器地址获取单 元,用于接收并获取迁移后的认证器或原认证器发送来的迁移后的认证器的 地址信息,并通知所述密钥请求获取单元,以便于根据所述地址信息发送密 钥请求。可选地,需要获取密钥信息的网络设备还可以包括以下任一单元密钥信息转发单元,用于接收迁移后的认证器发来的密钥信息,并将所 述的密钥信息发送给迁移后的需要获取密钥信息的网络设备;网络设备迁移通知单元,用于在接收迁移后的认证器发来的密钥信息 后,向迁移后的认证器返回需要获取密钥信息的网络设备迁移的指示或迁移 后的需要获取密钥信息的网络设备的地址信息;或者,主动向迁移后的认证 器发送需要获取密钥信息的网络设备迁移的指示或迁移后的需要获取密钥信 息的网络设备的地址信息;以便于迁移后的认证器可以将密钥信息发送给迁 移后的需要获取密钥信息的网络设备。(三)终端在部分应用场景下,终端还可以向需要获取密钥信息的网络设备发送用 于指示终端对应的认证器发生迁移的指示信息,故终端中还可以包括用于确定认证器是否发生迁移的处理单元,具体可以包括迁移确定单元,用于在认证的过程中,接收认证器发送来的识别信息, 并将当前收到的认证器的识别信息与之前收到的认证器的识别信息进行比 较,确定认证器是否发生迁移;指示信息传递单元,用于在所述迁移确定单元确定发生迁移后,向需要 获取密钥信息的网络设备发送用于表示发生认证器迁移的指示信息。综上所述,本发明实施例解决了FA更新MIP密钥过程中存在的NAS发生 迁移的情况下无法获取更新后MIP密钥的问题,从而能够尽量消除竟争场 景,尽量减少获得密钥的时间,因此,本发明实施例提供了能够令FA获得有 效的MIP密钥的实现方案,克服了现有技术中所存在的问题。以上所述,仅为本发明较佳的具体实施方式
,但本发明的保护范围并不 局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可 轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明 的保护范围应该以权利要求的保护范围为准。
权利要求
1、一种获取密钥的方法,其特征在于,用于在认证器发生迁移后为需要获取密钥信息的网络设备获取密钥信息,且该方法包括需要获取密钥信息的网络设备接收用于表示发生认证器迁移的指示信息后,向迁移后的认证器发送密钥请求,并接收所述认证器返回的密钥信息,获取该终端对应的密钥信息。
2、 根据权利要求1所述的方法,其特征在于,所述的用于表示发生认证 器迁移的指示信息由迁移后的认证器或原认证器或终端或家乡代理或AAA服 务器向需要获取密钥信息的网络设备发送,可选地,所述的迁移后的认证器 或原认证器或终端或家乡代理或AAA服务器还将迁移后的认证器的地址发送 给需要获取密钥信息的网络设备。
3、 根据权利要求2所述的方法,其特征在于,在由终端发送所述指示信 息时,该方法还包4舌在认证的过程中,由网络侧将认证器的识别信息发送给终端; 终端根据当前收到的认证器的识别信息与之前收到的认证器的识别信息 进行比较,确定认证器是否发生迁移。
4、 根据权利要求3所述的方法,其特征在于,所述的识别信息包括认 证器的地址信息、认证器的标识信息和认证器到网关的跳数中的至少一项。
5、 根据权利要求1至4任一项所述的方法,其特征在于,还包括 迁移后的认证器生成终端对应的密钥信息后,主动将所述密钥信息发送给所述需要获取密钥信息的网络设备;或者,迁移后的认证器将生成的终端对应的密钥信息发送给原认证器,并由原 认证器发送给所述需要获取密钥信息的网络设备。
6、 根据权利要求5所述的方法,其特征在于,在所述的需要获取密钥信息的网络设备确定终端对应的认证器发生迁移后,该方法还包括需要获取密钥信息的网络设备在确定未获取到迁移后的认证器生成的终 端对应的密钥信息后,执行向迁移后的认证器发送密钥请求的步骤。
7、 根据权利要求1至4任一项所述的方法,其特征在于,所述的需要获 取密钥信息的网络设备向迁移后的认证器发送密钥请求之前还包括获取迁移 后的认证器的地址信息的步骤,且该步骤包括从原认证器请求获取迁移后的认证器的地址信息;或者,接收迁移后的 认证器或原认证器或终端或家乡代理或AAA服务器主动发送来的迁移后的认 证器的地址信息。
8、 根据权利要求1至4任一项所述的方法,其特征在于,在认证器迁移 过程中,若需要获取密钥信息的网络设备也发生迁移,则该方法还包括以下 任一步骤迁移后的认证器将密钥信息通过原需要获取密钥信息的网络设备发送给 迁移后的需要获取密钥信息的网络设备;由迁移后的需要获取密钥信息的网络设备向迁移后的认证器发送需要获 取密钥信息的网络设备迁移的指示或迁移后的需要获取密钥信息的网络设备 的地址,并由迁移后的认证器将密钥信息发送给迁移后的需要获取密钥信息 的网络设备;原需要获取密钥信息的网络设备向迁移后的认证器发送需要获取密钥信 息的网络设备迁移的指示或迁移后的需要获取密钥信息的网络设备的地址, 由迁移后的认证器将密钥信息发送给迁移后的需要获取密钥信息的网络设 备。
9、 根据权利要求1至4任一项所述的方法,其特征在于,在确定终端对 应的认证器发生迁移之前,还包括需要获取密钥信息的网络设备确定终端已 发生重认证的步骤,且该步骤具体包括需要获取密钥信息的网络设备中保存终端与家乡代理之间的安全参数索引SPI ,若收到的注册请求中终端与家乡代理之间的SPI与保存的SPI不同, 则确定发生重i人H
10、 一种获取密钥的方法,其特征在于,用于在重认证后为需要获取密 钥信息的网络设备获取密钥信息,且该方法包括需要获取密钥信息的网络设备接收用于表示发生重认证的指示信息后, 接收认证器发送的该终端对应的密钥信息。
11、 根据权利要求10所述的方法,其特征在于,所述认证器是进行重认证的认证器o
12、 根据权利要求11所述的方法,其特征在于,需要获取密钥信息的网 络设备接收用于表示发生重认证的指示信息后,启动一个定时器,在定时器 有效期内接收所述该终端对应的密钥信息。
13、 根据权利要求12所述的方法,其特征在于,如果在定时器有效期内 没有接收到所述密钥信息,丢弃终端发送的移动IP注册请求。
14、 一种网络设备,其特征在于,包括认证器迁移确定单元,用于根据接收到的用于表示发生认证器迁移的指 示信息确定终端对应的iU正器发生迁移;密钥请求获取单元,用于在所述认证器迁移确定单元确定终端对应的认 证器发生迁移后,向迁移后的认证器发送密钥请求,并用于接收所述认证器 返回的密钥信息,获fC该终端对应的密钥信息。
15、 根据权利要求14所述的设备,其特征在于,该设备还包括判断处理 单元,用于在所述认证器迁移确定单元确定发生认证器迁移后,若确定未获 取到迁移后的认证器生成的密钥信息,则通知所述密钥请求获取单元。
16、 根据权利要求14或15所述的设备,其特征在于,该设备还包括认证 器地址获取单元,用于接收并获取迁移后的认证器或原认证器发送来的迁移后的认证器的地址信息,并通知所述密钥请求获取单元。
17、 一种获取密钥的系统,其特征在于,包括认证器和需要获取密钥信 息的网络设备,其中,认证器,用于接收需要获取密钥信息的网络设备发来的密钥请求,并向 需要获取密钥信息的网络设备发送其生成的终端对应的密钥信息;需要获取密钥信息的网络设备,接收用于表示发生认证器迁移的指示信 息后,向迁移后的认证器发送密钥请求,接收所述认证器返回的密钥信息。
18、 根据权利要求17所述的系统,其特征在于,该系统还包括终端,且 该终端包括迁移确定单元,用于在认证的过程中,接收认证器发送来的识别信息, 并根据当前收到的认证器的识别信息与之前收到的认证器的识别信息进行比 较,确定认证器是否发生迁移;指示信息传递单元,用于在所述迁移确定单元确定发生迁移后,向需要 获取密钥信息的网络设备发送用于表示发生认证器迁移的指示信息。
19、 根据权利要求18所述的系统,其特征在于,所述认证器还包括识别 信息发送单元,用于将认证器的地址信息或认证器到网关的跳数作为识别信 息发送给所述终端。
20、 根据权利要求17、 18或19所述的系统,其特征在于,所述的认证器 包括密钥请求接收单元和密钥信息发送单元,其中,密钥请求接收单元,用于接收需要获取密钥信息的网络设备发来的密钥 请求;密钥信息发送单元,用于在所述密钥请求接收单元接收到密钥请求后, 向需要获取密钥信息的网络设备发送其生成的终端对应的密钥信息; 可选地,所述认证器还包括密钥信息直接发送单元,用于将迁移后的认证器生成的密钥信息后,直接发送给所述需要获取密钥信息的网络设备;或者,密钥信息间接传递单元,用于将迁移后的认证器将生成的密钥信息发送 给原认证器,并由原认证器发送给所述需要获取密钥信息的网络设备。
21、 根据权利要求17、 18或19所述的系统,其特征在于,所述的认证器 还包括迁移指示发送单元,用于向需要获取密钥信息的网络设备发送用于表 示发生i人证器迁移的指示信息和/或者迁移后的认^t器的地址。
22、 根据权利要求21所述的系统,其特征在于,若所述迁移指示发送单 元向需要获取密钥信息的网络设备发送迁移后的认证器的地址,则所述的认 证器还包括终端信息维护单元,用于维护终端与迁移后的认证器的地址之间 的对应关系,可选地针对该对应关系设置对应的生存周期。
23、 根据权利要求17、 18或19所述的系统,其特征在于,所述的需要获 取密钥信息的网络设备中还包括密钥信息转发单元,用于接收迁移后的认证器发来的密钥信息,并发送 给迁移后的需要获取密钥信息的网络设备;或者,网络设备迁移通知单元,用于在接收迁移后的认证器发来的密钥信息 后,向迁移后的认证器返回需要获取密钥信息的网络设备迁移的指示或迁移 后的需要获取密钥信息的网络设备的地址信息;或者,主动向迁移后的认证 器发送需要获取密钥信息的网络设备迁移的指示或迁移后的需要获取密钥信 息的网络设备的地址信息。
24、 一种获取密钥的系统,其特征在于,包括认证器和需要获取密钥信 息的网络设备,其中,认证器,用于向需要获取密钥信息的网络设备发送其生成的终端对应的 密钥信息;需要获取密钥信息的网络设备,用于接收用于表示发生重认证的指示信 息后,接收认证器发送的该终端对应的密钥信息。
全文摘要
一种获取密钥的方法、设备及系统,其用于在认证器发生迁移后为需要获取密钥信息的网络设备获取密钥信息。且其包括首先,需要获取密钥信息的网络设备接收用于表示发生认证器迁移的指示信息后,向迁移后的认证器发送密钥请求,并接收所述认证器返回的密钥信息。因此,本发明的实现可以在认证器发生迁移后,保证移动用户的需要获取密钥信息的网络设备可以获得相应的密钥信息,以使得后续通信过程的顺利进行,从而可以有效提高无线通信系统的通信性能。
文档编号H04Q7/38GK101325804SQ20071014514
公开日2008年12月17日 申请日期2007年8月23日 优先权日2007年6月11日
发明者吴建军, 梁文亮 申请人:华为技术有限公司