移动终端切换后更新安全联盟信息的方法

摘要

本发明涉及一种移动终端切换后更新安全联盟信息的方法。本发明主要包括：首先，移动终端向基站发送安全联盟加密密钥请求消息，之后，当基站接收所述请求消息后，则将其保存的根据移动终端的原来的安全联盟信息更新后的安全联盟信息发送给移动终端。因此，本发明的实现使得在无线通信系统中，当移动终端发生切换后，仍可以保证移动终端侧的安全联盟信息与基站中的安全联盟信息保持一致，即可以准确及时地更新移动终端中的安全联盟信息。从而使得在设置省略TEK生成过程的情况下，能够保证移动终端侧的TEK与基站中的TEK一致，进而保证通信的可靠性。

说明书

技术领域

本发明涉及无线通信技术领域，尤其涉及一种移动终端切换后更新安全联盟信息的方法。

背景技术

IEEE802.16作为WiMAX(微波接入全球互通)的空口标准，其当前的HO Process Optimization(切换过程优化)参数中，提供了一些配置位，可以指明能够省略的步骤。例如，可以指明省略TEK(通信加密密钥)的生成过程。但是TEK在MSS(移动终端)与基站的通信过程中仍然是需要的，如果省略TEK的交换过程，则必须在目标基站接到旧的SA(安全联盟)后，能够将SA的内容更新到MSS侧。

另外，当SA从服务基站传到了目标基站后，由于SAID(SA的标识符)在基站范围内唯一，所以目标基站应该为传来的SA分配新的SAID。但是，由于MSS侧的SAID需要跟基站侧的SAID相符，因此，还应该对MSS中的SAID进行更新。

然而，针对上述需要，目前还没有提供相应的处理过程。

发明内容

鉴于上述现有技术所存在的问题，本发明的目的是提供一种移动终端切换后更新安全联盟信息的方法，从而可以使得在设置省略TEK生成过程的情况下，仍可以保证移动终端侧的TEK与基站中的TEK一致，有效保证了通信的可靠性。

本发明的目的是通过以下技术方案实现的：

本发明提供了一种移动终端切换后更新安全联盟信息的方法，包括：

A、移动终端向基站发送安全联盟加密密钥请求消息；

B、基站接收所述请求消息后，将其保存的根据移动终端的原来的安全联盟信息更新后的安全联盟信息发送给移动终端。

所述的步骤A包括：

A1、移动终端向基站发送寻址请求消息；

A2、基站接收所述请求消息后将返回响应消息，并在消息中携带着更新的安全联盟标识信息；

A3、当移动终端确定已经准备了授权密钥信息时，则向基站发送安全联盟加密密钥请求消息。

所述的更新的安全联盟标识信息包括：

更新后的安全联盟标识信息和对应的更新前的安全联盟标识信息。

所述的步骤A3包括：

A31、移动终端与基站之间进行基本能力协商及重认证处理，生成基站的授权密钥信息，并发送给移动终端；

A32、移动终端获得授权密钥信息后，向基站发送安全联盟加密密钥请求消息。

所述的步骤B包括：

基站向移动终端发送安全联盟加密密钥响应消息，消息中通过安全联盟加密密钥更新SA_TEK_UPDATE字段承载根据移动终端的原来的安全联盟信息更新后的安全联盟信息。

所述的SA_TEK_UPDATE字段承载的信息为根据安全联盟信息包含的内容信息确定。

所述的安全联盟信息包含的内容信息包括：

安全联盟标识、安全联盟类型、安全联盟服务类型、加密元组、原加密密钥信息和/或新的加密密钥信息。

所述的SA_TEK_UPDATE字段承载的信息包括：

需要更新的安全联盟的安全联盟标识信息，以及安全联盟类型、安全联盟服务类型、加密元组、原加密密钥信息和/或新的加密密钥信息的更新指示信息和更新后的具体信息。

所述的更新指示信息为：

指示相应信息是否需要更新，如果不需要，则置为0，否则，置为需要更新的值所占的字节长度，同时，对应的将更新后的具体信息一同承载于该字段中。

由上述本发明提供的技术方案可以看出，本发明的实现使得在无线通信系统中，当移动终端发生切换后，仍可以保证移动终端侧的安全联盟信息与基站中的安全联盟信息保持一致，即可以准确及时地更新移动终端中的安全联盟信息。从而使得在设置省略TEK生成过程的情况下，能够保证移动终端侧的TEK与基站中的TEK一致，进而保证通信的可靠性。

附图说明

图1为本发明所述的方法的流程图。

具体实施方式

本发明的核心是准确定义了SA Context(SA的上下文)以及相应的SA_TEK_UPDATE(安全联盟加密密钥更新)字段，并通过所述清晰的定义，实现切换后的TEK的获得，从而使得移动终端切换过程中可以充分利用已有的技术省去TEK生成的过程，以有效减少空口消息交互，节省空口资源，提高空口通信性能。

本发明所述的方法中，移动终端向基站发送安全联盟加密密钥请求消息，基站接收所述请求消息后，基站向移动终端发送安全联盟加密密钥响应消息，消息中通过安全联盟加密密钥更新SA_TEK_UPDATE字段承载根据移动终端的原来的安全联盟信息更新后的安全联盟信息。

本发明中，所述的SA_TEK_UPDATE字段承载的信息为根据安全联盟信息包含的内容信息确定。

所述的安全联盟信息包含的内容信息包括：安全联盟标识、安全联盟类型、安全联盟服务类型、加密元组、原加密密钥和/或新的加密密钥。

基于上述安全联盟信息，所述的SA_TEK_UPDATE字段承载的信息包括：需要更新的安全联盟的安全联盟标识信息，以及安全联盟类型、安全联盟服务类型、加密元组、原加密密钥信息和/或新的加密密钥信息的更新指示信息和更新后的具体信息。

所述的更新指示信息为：指示相应信息是否需要更新，如果不需要，则置为0，否则，置为需要更新的值所占的字节长度，同时，对应的将更新后的具体信息一同承载于该字段中。

为对本发明有进一步理解，下面将对本发明提供的方法进行详细描述。

本发明中，具体定义了SA上下文(即安全联盟信息)，并根据定义的SA上下文包含的内容信息定义了SA_TEK_UPDATE包含的具体内容信息，下面将分别对SA上下文及SA_TEK_UPDATE包含的信息进行说明：

本发明中定义的SA的上下文包含的内容信息如表1所示：

                             表1

字段字段内记录 描述SAID SA的标识符SA-Type SA的类型，Primary，Static或者Dynamic三种

SA Service-Type与此SA相关的服务类型，只有当SA是静态或者动态类型时才会用到Cryptographic-Suite此SA中采用的加密元组Older TEKTEKTEK值，TEK Lifetime每个TEK的剩余生命时间TEK Sequence Number每个TEK的序列号，取值为(0＜＝n＜4)TEK CBC-IV当使用CBC模式加密时的初始向量。PN用户面MAC数据包序列号，用来防重放攻击RxPN当前接收到的包序列号Associated    GKEKSequence Number如果是组播通信的GTEK，指明与其关联的GKEKNewer TEKTEKTEK值，TEK Lifetime每个TEK的剩余生命时间TEK Sequence Number每个TEK的序列号，取值为(0＜＝n＜4)TEK CBC-IV当使用CBC模式加密时的初始向量。PN用户面MAC数据包序列号，用来防重放攻击RxPN当前接收到的包序列号Associated    GKEKSequence Number如果是组播通信的GTEK，指明与其关联的GKEK

基于表1中SA上下文包含的信息，本发明中定义的SA_TEK_UPDATE字段包含的内容信息如表2所示：

                                   表2

字段 长度(字节)描述SAID 4要更新的SA的SAIDSA-TypeIndicator 1是否需要更新指示。如果不需要更新，则置为0；若需要更新，则置为需要更新的值所占的字节长度。SA Service-TypeIndicator 1是否需要更新指示。如果不需要更新，则置为0；若需要更新，则置为需要更新的值所占的字节长度。CryptographicSuiteIndicator 1是否需要更新指示。如果不需要更新，则置为0；若需要更新，则置为需要更新的值所占的字节长度。

Older TEKIndicator 2是否需要更新指示。如果不需要更新，则置为0；若需要更新，则置为需要更新的值所占的字节长度。Newer TEKIndicator 2是否需要更新指示。如果不需要更新，则置为0；若需要更新，则置为需要更新的值所占的字节长度。SA-Type SA-Type Indicator如果SA-Type Indicator为0，则此位长度为0，表示SA-Type不变；否则将此值作为更新后的值使用。SA Service-Type SA Service- Type Indicator如果SA Service-Type Indicator为0，则此位长度为0，表示SA Service-Type不变；否则将此值作为更新后的值使用。CryptographicSuite Cryptographic Suite Indicator如果Cryptographic Suite Indicator为0，则此位长度为0，表示SA Service-Type不变；否则将此值作为更新后的值使用。Older TEK Older TEK Indicator如果Older TEK Indicator为0，则此位长度为0，表示SA Service-Type不变；否则将此值作为更新后的值使用。Newer TEK Newer TEK Indicator如果Newer TEK Indicator为0，则此位长度为0，表示SA Service-Type不变；否则将此值作为更新后的值使用。

基于上述定义的SA的上下文及SA_TEK_UPDATE字段的内容信息在空口进行信息的交互，便可以实现切换后的TEK的生成过程的省略。

由现有技术描述可知，如果要省略TEK过程，则需要使用切换之前的基站上使用的TEK，而且由于TEK处在SA的上下文中，因此，在省略TEK的情况下需要使用从切换前的基站传过来的SA上下文中的TEK，为此需要实现MSS中的TEK和SAID的更新，即实现SA信息的更新处理。

下面将结合附图对应用本发明定义的信息在空口进行信息交互的处理过程进行说明。

如图1所示，相应的处理过程具体包括：

步骤11：MSS向基站发送RNG-REQ(寻址请求)消息。

步骤12：基站给MSS回应RNG-RSP(寻址响应)消息，并使用切换过程优化参数来指示是否需要做基本能力协商过程(即SBC过程)和重认证过程，同时要把需要更新的SAID通过这个消息传给MSS，使MSS更新SAID，所述的消息中需要同时携带旧的SAID(即原SAID)和新的SAID的对应信息，以便于根据所述对应信息进行相应的SAID的更新处理。

本发明中，如果需要做基本能力协商，则需要继续执行步骤13。

如果需要做重认证过程，则需要执行步骤14，即在完成重认证后，对生成的AK需要做同步指示，这时候基站就需要向MSS发送SA-TEK-Challenge(SA加密密钥挑战码)消息，参见图中的步骤14。

如果指示不需要重认证，则可以在RNG-RSP消息中带上SA ChallengeTuple TLV(SA挑战码)，这样，就不需要步骤14，如果MSS侧已经准备好了AK，就可以直接执行步骤15向基站发送SA-TEK-Request(SA加密密钥请求)消息。

步骤13：如果RNG-RSP中的切换过程优化参数指示要进行基本能力协商，则进行一个SBC-REQ和SBC-RSP的过程。

步骤14：如果RNG-RSP中的切换过程优化参数指示要进行重认证，那么重认证完成之后，如果基站的AK已经生成，则基站和MSS要协商AK的同步，基站就会向MSS发出SA-TEK-Challenge消息，并在这个消息中带上新的AK和AKID(AK标识)。

步骤15：MSS收到SA-TEK-Challenge消息后，如果新的AK已经准备好，则回应SA-TEK-Request消息，并且，在这个消息中，MSS会带上自己支持的基本能力参数。

步骤16：基站收到MSS发过来的SA-TEK-Request消息后，会给其回复一条SA-TEK-Response(SA加密密钥响应)消息，在这个消息中会带上本发明定义的SA_TEK_UPDATE字段中的内容，并将需要更新的字段置为其占用的字节长度，不需要更新的字段字节长度置为0，并在指示值的后面跟上要更新的内容；

这样，当MSS收到这条消息后，就可以按照SA_TEK_UPDATE的SAID字段找到需要更新的SA，然后，按照SA_TEK_UPDATE中指定的值进行字段更新。经过更新处理后，就已经将从切换前的基站上传过来的SA中需要更新的内容更新掉了，其中已经包含了TEK对信息，因此，通过本发明所述的方法进行SA更新以后，便可以省略掉后续的TEK的生成过程。

以上所述，仅为本发明较佳的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到的变化或替换，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应该以权利要求的保护范围为准。