一种在无线接入网中建立安全通道的方法

摘要

本发明公开了一种在无线接入网中建立安全通道的方法，在移动用户站发生切换时包括：目标基站获得源服务端标识；目标基站根据所获得的源服务器端标识请求密钥信息；目标基站根据所述密钥信息与发生切换的移动用户站建立安全通道。可以在移动用户站和目标基站之间迅速建立安全通道，而不需要触发鉴权服务器发起重鉴权过程，既节省了空中接口上数据和信令的开销，又大大减少了建立安全通道的时间，提高了用户的业务质量。

说明书

技术领域

本发明涉及到保证无线接入网安全性的技术，特别涉及到在无线接入网中建立安全通道的方法。

背景技术

随着因特网业务的蓬勃发展和无线网络的广泛应用，已经对无线接入网提出了越来越多的安全性要求，除采用目前广泛使用的设备鉴权、用户鉴权和服务授权等等方法来提高无线通信的安全性之外，移动用户站(MSS)与基站(BS)之间安全通道的建立，保密信息的交换，以及BS和鉴权者(Authenticator)、Authenticator和鉴权服务器(Authentication Server)之间的安全通道的建立，保密信息的交换等等都是目前需要特别关注的问题。

图1显示了现阶段无线接入网的安全网络架构体系。如图1所示，在无线接入网的安全网络架构中主要涉及到以下网元：MSS、BS、Authenticator以及Authentication Server。其中，MSS在所述安全架构中的主要功能是发起认证、鉴权，与Authentication Server交换产生根密钥所需的信息，生成根密钥，根据根密钥产生对空中接口数据加密所需要的鉴权密钥(AK，Authorization Key)以及根据AK派生出用于加密数据及管理消息一致性检验的其他密钥信息等；BS在上述安全架构中的功能是为BS和MSS提供安全体系通道，对空中接口数据进行压缩与加密，交换BS和MSS之间的保密信息，为MSS提供从BS到Authenticator的安全通道等；Authenticator在上述安全架构中的主要功能是为MSS认证、授权和计费提供代理功能，根据Authentication Server提供的与MSS之间对等的根密钥信息，产生BS和MSS之间建立安全通道所需的AK，并将AK分发到相应的BS；AuthenticationServer的主要功能包括：为MSS进行认证、授权和计费，产生并分发根密钥信息到Authenticator，在用户信息产生变化时及时通知Authenticator和其他网元用户信息改变所产生的后果。

在MSS初次接入无线接入网时，MSS的鉴权、认证以及与BS之间安全通道的建立过程如下：

a、MSS通过BS和Authenticator，发送与鉴权有关的信息到Authentication Server；

在这里所述的与鉴权有关的信息与MSS和Authentication Server选择的鉴权算法有关，通常包括：MSS的网络标志符(NAI)，所使用鉴权算法的标识，用户识别模块(SIM)卡号码或者随机产生的随机数等等，Authentication Server可以根据这些信息对MSS进行鉴权；

b、Authentication Server根据接收的鉴权信息对该MSS进行鉴权，并在鉴权通过后，与MSS同时按照约定的算法各自建立用于产生根密钥的鉴权认证计费密钥(AAA-Key)；

c、Authentication服务器将AAA-Key下发给Authenticator，Authenticator与MSS根据AAA-Key使用相同的算法各自生成根密钥，Authenticator与MSS再根据根密钥生成AK，Authenticator进一步将AK下发给BS；

d、BS和MSS根据AK，按照IEEE 802.16e中的密钥管理协议(PKM)机制协商产生对MSS和BS之间空中接口数据进行加密以及对管理信息进行一致性检验所需的相关密钥，在空中接口上建立安全通道。

这样，空中接口上传输的数据都能够通过加密实现安全传输，而空中接口上传输的管理消息也可以通过使用用于一致性检验的消息认证码(MAC，Message Authentication Code)实现安全传输。

由于MSS是可移动的，因此，在移动过程中，MSS很可能从一个BS覆盖的范围移动到另一个BS覆盖的范围，在这种情况下，MSS就需要从一个称为源BS的BS，切换到另一个称为目标BS的BS。在上述切换过程中，如果源BS和目标BS受到同一个Authenticator的控制，则在切换后，该Authenticator仅需要把当前MSS的AK下发到目标BS，MSS和目标BS就可以根据该AK建立安全通道了。但是，如果控制源BS和目标BS的Authenticator不同，即在MSS的切换过程中发生了Authenticator迁移，则根据协议规定，管理目标BS的Authenticator，称为目标Authenticator就会向Authentication Server申请新的根密钥，这将导致Authentication Server重新对MSS进行如上述步骤A至D所述的鉴权、授权和密钥协商的完整过程，以便在MSS和目标BS之间建立新的安全通道。

这样，不仅仅会增加BS与Authenticator及Authenticator与Authentication Server之间数据和信令的开销，还将占用较多的空中接口资源，增加安全通道建立所需的时间。特别是在Authenticator与BS在物理上存在于一个网元中的情况下，MSS在BS间的切换必然引起Authenticator的迁移，使得Authenticator的迁移过于频繁，最终导致用户会话的中断及业务质量的下降。

发明内容

为了解决上述技术问题，本发明提供了一种在无线接入网中建立安全通道的方法，使得在由MSS切换引发Authenticator迁移时，目标BS可以及时获得建立安全通道所需的密钥信息，迅速在MSS和目标BS之间建立安全通道，而不需要触发Authentication Server的重鉴权过程，保证用户会话的业务质量。

本发明所述在无线接入网中建立安全通道的方法在移动用户站发生切换时包括：

A、目标基站获得源服务端标识；

B、目标基站根据所获得的源服务器端标识请求密钥信息；

C、目标基站根据所述密钥信息与发生切换的移动用户站建立安全通道。

本发明所述步骤B包括：

B11、目标基站将获得的源服务端标识上传给目标鉴权者；

B12、目标鉴权者根据所述源服务端标识确定源鉴权者的网络标识；

B13、目标鉴权者根据源鉴权者的网络标识向源鉴权者请求密钥信息，并将从源鉴权者获取的密钥信息下发给目标基站。

步骤A所述目标基站获得源服务端标识包括：在源基站接收到移动用户站发送的切换指示后，将源服务端标识发送到目标基站；目标基站接收所述源服务端标识。

本发明所述源服务端标识为源基站的网络标识。

本发明所述源服务端标识为源鉴权者的网络标识。

本发明所述源服务端标识为源基站的网络标识；

步骤A所述目标基站获得源服务端标识为：目标基站从切换进入的移动用户站发送的接入消息中获得源基站的网络标识。

本发明所述源服务端标识为源鉴权者的网络标识；

步骤A所述目标基站获得源服务端标识为：目标基站从切换进入的移动用户站发送的接入消息中获得源基站的网络标识；目标基站根据源基站的网络标识向源基站请求源鉴权者的网络标识；源基站将控制自身的源鉴权者的网络标识发送给目标基站。

步骤B12所述的根据所述源服务端标识确定源鉴权者的网络标识为：目标鉴权者根据源基站的网络标识以及预先配置的基站与鉴权者控制关系对应表查找得到控制源基站的源鉴权者的网络标识。

步骤B12所述的根据所述源服务端标识确定源鉴权者的网络标识为：目标鉴权者将接收的源鉴权者的网络标识直接确定为源鉴权者的网络标识。

本发明所述方法在步骤B12之后进一步包括：目标鉴权者根据确定的源鉴权者的网络标识判断在所述移动用户站的切换过程中是否发生了鉴权者迁移，如果是，则继续执行步骤B13；否则，目标鉴权者直接下发与发生切换的移动用户站对应的密钥信息到目标基站，目标基站根据接收的密钥信息与所述发生切换的移动用户站建立安全通道。

本发明所述源服务端标识为源鉴权者的网络标识；

步骤A所述目标基站获得源服务端标识为：目标基站从切换进入的移动用户站发送的接入消息中获得源基站的网络标识；目标基站根据源基站的网络标识向源基站请求源鉴权者的网络标识；源基站将控制自身的源鉴权者的网络标识发送给目标基站；

或在源基站接收到移动用户站发送的切换指示后，将源鉴权者的网络标识发送到目标基站；目标基站接收所述源鉴权者的网络标识。

本发明所述步骤B包括：

B21、目标基站根据源鉴权者的网络标识直接向源鉴权者请求密钥信息；

B22、源鉴权者直接将建立安全通道所需的密钥下发给目标基站。

本发明所述方法在步骤A之后进一步包括：目标基站根据获得的源服务端标识判断在所述移动用户站的切换过程中是否发生了鉴权者迁移，如果是，则继续执行步骤B；否则，目标基站向目标鉴权者请求所述移动用户站对应的密钥信息，目标鉴权者将所述密钥信息直接下发给目标基站，目标基站根据接收的密钥信息与所述移动用户站建立安全通道。

本发明所述源服务端标识为源基站的网络标识；

所述判断为：目标基站查找自身存储的、预先配置的、控制自身鉴权者所能控制的所有基站的网络标识列表，判断所获得的源基站网络标识是否在此列表中，如果在，则没有发生鉴权者迁移；否则，就发生了鉴权者迁移。

本发明所述源服务端标识为源鉴权者的网络标识；

所述判断包括：目标基站根据自身存储的、预先配置的、控制自身鉴权者的网络标识得到目标鉴权者的网络标识；判断所获得的源鉴权者的网络标识与所述目标鉴权者的网络标识是否相同，如果相同，则没有发生鉴权者迁移；否则，发生了鉴权者迁移。

本发明所述密钥信息至少包括：鉴权密钥、该鉴权密钥的标识以及该鉴权密钥的生命周期。

本发明所述建立安全通道为：目标基站与移动用户站根据相同的密钥信息派生出用于加密空中接口数据以及对管理消息进行一致性检验的密钥，使用派生出的密钥加密空中接口数据，并对管理消息进行一致性检验。

由此可以看出，本发明所述的方法在由MSS切换导致Authenticator发生迁移的情况下，通过在源Authenticator和目标Authenticator之间传递建立安全通道所需的密钥信息，可以在MSS和目标BS之间迅速建立安全通道，而不需要触发Authentication Server发起重鉴权过程，这一方面节省了空中接口上数据和信令的开销，另一方面，大大减少了建立安全通道的时间，提高了用户的业务质量。

附图说明

图1显示了现阶段无线接入网的安全网络架构体系；

图2显示了实施例1所述的在无线接入网中建立安全通道的方法；

图3显示了实施例2所述的在无线接入网中建立安全通道的方法；

图4显示了实施例3所述的在无线接入网中建立安全通道的方法；

图5显示了实施例4所述的在无线接入网中建立安全通道的方法；

图6显示了实施例5所述的在无线接入网中建立安全通道的方法。

具体实施方式

为了在MSS切换引发Authenticator迁移时，目标BS可以及时获得建立安全通道所需的密钥信息，本发明提供了在无线接入网中建立安全通道的方法，可以在不触发Authentication Server进行重鉴权过程的情况下，令目标BS及时获得建立安全通道所需的密钥信息，迅速在MSS和目标BS之间建立安全通道。

本发明所述的方法适用于图1所示的无线接入网的安全网络架构体系。

为使发明的目的、技术方案及优点更加清楚明白，以下参照附图并举实施例，对本发明作进一步详细说明。

实施例1：

图2显示了实施例1所述的在无线接入网中建立安全通道的方法。如图2所示，该方法主要包括以下步骤：

A1、源BS接收到MSS的切换指示后，将源服务端标识发送到目标BS；

所述源服务端标识为源BS的网络标识或源Authenticator的网络标识；

在该步骤中，源BS可以通过BS之间的接口直接将源服务端标识发送到所述BS，还可以通过诸如基站控制器或接入服务网络网关(ASN GW)等控制网元之间的接口将所述源服务端标识间接转发到所述目标BS；

A2、目标BS接收到来自源BS的源服务端标识后，向控制自身的Authenticator，即目标Authenticator，发送一密钥请求消息，申请该MSS对应的密钥信息，并在该密钥请求消息中携带接收到的源服务端标识；

由于在每个BS中都存储有预先配置的控制自身的Authenticator的网络标识，因此，任何一个BS都能够寻址到控制自身的Authenticator，向该Authenticator申请建立安全通道所需的密钥信息；

A3、目标Authenticator根据密钥请求消息中的源服务端标识获得源Authenticator的网络标识，再根据源Authenticator的网络标识判断本次切换过程是否发生了Authenticator迁移，即判断自身的网络标识是否与接收到的源Authenticator的网络标识相同，如果没有发生Authenticator迁移，则执行步骤A4；否则，执行步骤A5；

在该步骤中，目标Authenticator可以根据所接收源服务端标识的不同采用两种方式获得源Authenticator的网络标识：若所述源服务端标识为源Authenticator的网络标识，则目标Authenticator可以直接获得源Authenticator的网络标识；若所述源服务端标识为源BS的网络标识，则目标Authenticator要根据自身预先配置的BS与Authenticator的控制关系对应表查找出控制所述源BS的源Authenticator的网络标识；

在得到源Authenticator的网络标识后，目标Authenticator将比较源Authenticator的网络标识与自身的网络标识是否相同，如果相同，则没有发生Authenticator迁移；否则，就发生了Authenticator迁移；

A4、目标Authenticator直接将建立安全通道所需的密钥信息发送到目标BS，目标BS根据接收的密钥信息与MSS建立安全通道，然后结束；

A5、目标Authenticator从源Authenticator获取建立安全通道所需的密钥信息，并将获取的密钥信息下发给目标BS，目标BS根据接收的密钥信息与MSS建立安全通道，然后结束。

由于Authenticator之间存在接入服务网络的内部接口——R6接口，因此，目标Authenticator通过自定义的密钥申请消息向源Authenticator请求并获取所述的密钥信息。另外，在源Authenticator和目标Authenticator之间传递的密钥信息的安全性可以通过传输层/网络层的安全机制来保证，例如，使用因特网协议安全(IPSec)或虚拟专网(VPN)等技术来保证。

在上述步骤A4和步骤A5中，所述密钥信息至少包括MSS的AK、该AK的标识(AKID)以及该AK的生命周期。所述密钥信息还可以包括诸如EAP完整性密钥(EIK，EAP Integrity Key)等其他密钥信息。

在目标BS得到了与MSS相同的AK后，就可以使用与MSS相同的算法派生出用于加密空中接口数据及对管理消息进行一致性检验的其他相关密钥，使用派生出的密钥加密空中接口数据，并对管理消息进行一致性检验，从而建立安全通道实现空中接口上数据和管理消息的安全传输。

从上述实施例1的步骤A3可以看出，在本实施例中，本次切换过程是否发生了Authenticator迁移是由目标Authenticator来判断的，在实际的应用中，还可以由目标BS判断是否发生了Authenticator迁移，参见实施例2所述的方法。

实施例2：

图3显示了实施例2所述的在无线接入网中建立安全通道的方法。如图3所示，该方法主要包括以下步骤：

B1、源BS接收到MSS的切换指示后，将源服务端标识发送到目标BS；

所述源服务端标识为源BS的网络标识或源Authenticator的网络标识；

在本步骤中，源BS也可以采用与步骤A1相同的方法直接或间接的将源服务端标识发送到目标BS；

B2、目标BS根据接收到的源服务端标识判断是否发生了Authenticator迁移，如果发生了Authenticator迁移，则执行步骤B3；否则，执行步骤B5；

在该步骤中，若所述源服务端标识为源Authenticator的网络标识，则目标BS直接将自身存储的、预先配置的、控制自身的Authenticator网络标识与所述源Authenticator的网络标识进行比较，如果相同，则没有发生Authenticator迁移，否则，就发生了Authenticator迁移；

若所述源服务端标识为源BS的网络标识，则目标BS必须存储有预先配置的、控制自身的Authenticator所能控制的所有BS网络标识的列表，目标BS通过查找源BS的网络标识是否在此列表中来判断是否发生了Authenticator迁移，如果在此列表中，则没有发生Authenticator迁移，否则，就发生了Authenticator迁移；

B3、目标BS将接收的源服务端标识通过密钥请求消息发送到控制自身的Authenticator，即目标Authenticator，向目标Authenticator申请该MSS对应的密钥信息；

B4、目标Authenticator根据密钥请求消息中的源服务端标识获得源Authenticator的网络标识，然后从源Authenticator获取建立安全通道所需的密钥信息，并将获取的密钥信息下发给目标BS，目标BS根据接收的密钥信息与MSS建立安全通道，然后结束；

本步骤所述获得源Authenticator的网络标识的方法与上述步骤A3所述的方法相同；所述从源Authenticator获取密钥信息的方法与步骤A5所述的方法相同；

B5、目标BS向目标Authenticator，即源Authenticator，申请该MSS对应的密钥信息，目标Authenticator将该MSS的密钥信息直接下发给目标BS，目标BS根据接收的密钥信息与MSS建立安全通道，然后结束。

在上述步骤B4和步骤B5中，所述的密钥信息也至少包括MSS的AK。

在目标BS得到了与MSS相同的AK后，就可以使用与MSS相同的算法派生出用于加密空中接口数据及对管理消息进行一致性检验的其他密钥，使用派生出的密钥加密空中接口数据，并对管理消息进行一致性检验，从而建立安全通道实现空中接口上数据和管理消息的安全传输。

从上述过程可以看出，在上述两个实施例中，目标BS是从来自源BS的切换消息中获得源服务端标识的，但是在某些时候，可能出现在MSS已经切换进入目标BS时，目标BS仍无法从源BS获得源服务端标识的情况，例如，由于MSS已经离开源BS的覆盖区域，使得源BS无法收到MSS发送的切换指示，从而导致源BS不会将源服务端标识发送到目标BS。在这种情况下，目标BS无法得知源服务端标识，从而无法通过目标Authenticator快速获得原来使用的密钥信息。

下面将要描述的本发明的优选实施例可以解决上述问题。

实施例3：

图4显示了实施例3所述的在无线接入网中建立安全通道的方法。如图4所示，所述方法在MSS切换进入目标BS后，包括以下步骤：

C1、目标BS从MSS的接入消息中获取源BS的网络标识；

C2、目标BS根据源BS的网络标识向源BS发送包含MSS标识的切换指示请求，要求源BS提供源Authenticator的网络标识；

在该步骤中，目标BS可以通过BS之间的接口直接向源BS请求源服务端标识，还可以通过诸如基站控制器或ASN GW等控制网元之间的接口间接向源BS请求源Authenticator的网络标识；

C3、获得源Authenticator的网络标识后，目标BS将源Authenticator的网络标识通过密钥请求消息发送到控制自身的Authenticator，即目标Authenticator，向目标Authenticator申请该MSS对应的密钥信息；

C4、目标Authenticator根据密钥请求消息中的源Authenticator的网络标识判断在本次切换过程中是否发生了Authenticator迁移，如果没有发生Authenticator迁移，则执行步骤C5，否则执行步骤C6；

C5、目标Authenticator直接将建立安全通道所需的密钥下发给目标BS，目标BS根据接收的密钥信息与MSS建立安全通道，然后结束；

C6、目标Authenticator从源Authenticator获取建立安全通道所需的密钥信息，并将获取的密钥信息下发给目标BS，目标BS根据接收的密钥信息与MSS建立安全通道，然后结束。

本步骤所述从源Authenticator获取密钥信息的方法与实施例1步骤A5所述的方法相同。

上述步骤C5和C6所述的密钥信息也至少包括源MSS的AK。在目标BS得到了与MSS相同的AK后，就可以与MSS派生出其他密钥实现空中接口上数据和管理消息的安全传输。

熟悉本领域的技术人员可以理解，也可以在目标BS获得源Authenticator的网络标识后，由目标BS根据源Authenticator的网络标识判断在本次切换过程中是否发生了Authenticator迁移，其判断方法可以采用实施例2步骤B2所述的判断方法，如果发生了Authenticator迁移，则将源Authenticator的网络标识上报给目标Authenticator，通过目标Authenticator从源Authenticator获取建立安全通道所需的密钥信息，从而建立安全通道；否则，直接从源Authenticator获取密钥信息建立安全通道。

实施例4：

图5显示了实施例4所述的无线接入网中建立安全通道的方法。如图5所示，所述方法在MSS切换进入目标BS后，包括以下步骤：

D1、目标BS从MSS的接入消息中获取源BS的网络标识；

D2、目标BS将源BS的网络标识通过密钥请求消息发送到控制自身的Authenticator，即目标Authenticator，向目标Authenticator申请该MSS对应的密钥信息；

D3、目标Authenticator根据密钥请求消息中的源BS网络标识查找自身存储的BS与Authenticator控制关系对应表得到源Authenticator的网络标识，并根据源Authenticator的网络标识判断在本次切换过程中是否发生了Authenticator迁移，如果是，则执行步骤D4，否则执行D5；

D4、目标Authenticator直接将建立安全通道所需的密钥下发给目标BS，目标BS根据接收的密钥信息与MSS建立安全通道，然后结束；

D5、目标Authenticator从源Authenticator获取建立安全通道所需的密钥信息，并将获取的密钥信息下发给目标BS，目标BS根据接收的密钥信息与MSS建立安全通道，然后结束。

上述步骤D4和D5所述的密钥信息也至少包括该MSS的AK。在目标BS得到了与MSS相同的AK后，就可以与MSS派生出其他密钥实现空中接口上数据和管理消息的安全传输。

与实施例3相同，在实施例4中也可以在目标BS获得源BS的网络标识后，由目标BS根据源BS的网络标识查找管理自身的Authenticator所管理所有BS列表，判断在本次切换过程中是否发生了Authenticator迁移，其判断方法可以采用实施例2步骤B2所述的判断方法，如果发生了Authenticator迁移，则将源BS的网络标识上报给目标Authenticator，通过目标Authenticator从源Authenticator获取建立安全通道所需的密钥信息，从而建立安全通道；否则，直接从源Authenticator获取密钥信息建立安全通道。

实施例5：

如果允许目标BS直接到源Authenticator请求密钥信息，而且目标BS可以获得源Authenticator的网络标识，就可以进一步简化上述实施例1～4的方法。

图6显示了实施例5所述的无线接入网中建立安全通道的方法。如图6所示，所述方法在MSS切换进入目标BS后，包括以下步骤：

E1、目标BS从MSS的接入消息中获取源BS的网络标识；

E2、目标BS根据源BS的网络标识向源BS发送包含MSS标识的切换指示请求，要求源BS提供源Authenticator的网络标识；

对应上述步骤E1和E2，目标BS还可以通过如下方法获得源Authenticator的网络标识：在源基站接收到移动用户站发送的切换指示后，将源Authenticator的网络标识发送到目标基站；目标基站接收所述源Authenticator的网络标识。

E3、源BS通过会话响应消息将源Authenticator的网络标识通知给目标BS；

E4、在获得了源Authenticator的网络标识后，目标BS根据源Authenticator的网络标识直接向源Authenticator申请该MSS的密钥信息；

E5、源Authenticator直接将建立安全通道所需的密钥下发给目标BS，目标BS根据接收的密钥信息与MSS建立安全通道，然后结束。

上述步骤E5所述的密钥信息至少包括该MSS的AK。在目标BS得到了与MSS相同的AK后，就可以与MSS派生出其他密钥实现空中接口上数据和管理消息的安全传输。

从上述实施例1至实施例5所述的方法可以看出，在MSS切换导致Authenticator发生迁移的情况下，不需要触发Authentication Server发起重鉴权过程，就可以在MSS和目标BS之间迅速建立安全通道，节省了数据和信令的开销，大大减少了建立安全通道的时间，提高了用户的业务质量。

如果上述过程发生故障，出现目标BS或目标Authenticator无法得到建立安全通道所需的密钥信息，那么目标Authenticator就将重新启动现有技术中，由MSS、目标BS、目标Authenticator和Authentication Server共同参与的完整的重新鉴权、授权和密钥信息交换等过程，以在MSS和目标BS之间建立新的根密钥，新的AK以及其他相关密钥，达到建立新的安全通道的目的。