CN101325804B - 获取密钥的方法、设备及系统 - Google Patents
获取密钥的方法、设备及系统 Download PDFInfo
- Publication number
- CN101325804B CN101325804B CN2007101451465A CN200710145146A CN101325804B CN 101325804 B CN101325804 B CN 101325804B CN 2007101451465 A CN2007101451465 A CN 2007101451465A CN 200710145146 A CN200710145146 A CN 200710145146A CN 101325804 B CN101325804 B CN 101325804B
- Authority
- CN
- China
- Prior art keywords
- authenticator
- key information
- acquire
- information
- key
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Mobile Radio Communication Systems (AREA)
Abstract
一种获取密钥的方法、设备及系统,其用于在认证器发生迁移后为需要获取密钥信息的网络设备获取密钥信息。且其包括:首先,需要获取密钥信息的网络设备接收用于表示发生认证器迁移的指示信息后,向迁移后的认证器发送密钥请求,并接收所述认证器返回的密钥信息。因此,本发明的实现可以在认证器发生迁移后,保证移动用户的需要获取密钥信息的网络设备可以获得相应的密钥信息,以使得后续通信过程的顺利进行,从而可以有效提高无线通信系统的通信性能。
Description
技术领域
本发明涉及网络通信技术领域,尤其涉及一种在认证器发生迁移的情况下获取密钥的实现方案。
背景技术
随着因特网业务的快速发展和无线网络的广泛应用,移动用户的安全性已经对无线系统提出了更高的要求,即除相应的设备鉴权、用户鉴权和服务授权等处理外,还需要在AP(无线用户与接入点)或BS(基站)之间建立相应的安全通道,实现相应的保密信息交换,以及在BS和Authenticator(鉴权者),鉴权者和鉴权服务器之间建立保密通道,实现保密信息交换等等。
在无线网络中,移动用户需要向NAS(网络接入服务器)等认证器发起认证,并在认证通过后,移动用户的FA(外部代理)通过与NAS的通信获取相应的密钥信息,以便于在后续通信过程中应用。
在移动用户MS发生重认证操作后,FA获得密钥的处理过程如图1所示,相应的处理过程包括以下步骤:
步骤1,MS通过NAS1接入认证成功;
具体可以是通过NAS1向AAA服务器发起相应的认证过程,并完成相应的认证操作,确定MS认证通过;
步骤2,FA在需要MN-FA密钥或FA-HA密钥时向NAS1发送请求,以请求获取相应的MN-FA密钥或FA-HA密钥;
步骤3,MS通过NAS1发生重认证;
与认证过程类似,具体可以通过NAS1向AAA服务器发起重认证操作,以完成相应的重认证处理;
步骤4,MS向FA发送MIP-RRQ(MIP注册)消息,携带新密钥计算的认证扩展,并且SPI(安全参数索引)也由重认证后产生的FA-RK计算,或者由其他方式产生;
步骤5,FA收到所述注册消息后,比较MIP-RRQ消息中携带的SPI,确定SPI发生变化,即发生重认证,则向NAS1请求密钥更新信息;
即由于在步骤3中发生了重认证,故NAS1以及MS上的密钥信息均已经更新,但是FA并不知道重认证以及更新后的密钥信息,故FA需要向NAS1请求更新后的密钥信息;
步骤6,FA获得密钥后,则可以继续处理MIP-RRQ消息,完成后续的处理过程。
需要说明的是,在上述处理过程中,无论是否发生重认证,只要FA发生迁移,则同样在FA收到MIP-RRQ消息后,将要执行步骤5,以向NAS1请求密钥,以便于获得当前的密钥,用于完成后续处理过程。
在实现本发明过程中,发明人发现现有技术中至少存在如下问题:
在上述处理过程中,若在MS的重认证过程中还发生的NAS迁移,则FA无法从迁移后的NAS获得密钥信息,从而使得在发生NAS迁移后,FA无法对收到的MIP-RRQ消息进行处理。
发明内容
本发明的实施例提供了一种获取密钥的方法、设备及系统,从而可以在认证器发生迁移的情况下,仍然能够保证需要获取密钥信息的网络设备可以获得相应的密钥信息,以保证后续通信过程的顺利进行。
本发明实施例提供了一种获取密钥的方法,包括:
需要获取密钥信息的网络设备接收用于表示发生认证器迁移的指示信息,并接收所述认证器发送的密钥信息,获取对应终端的密钥信息。
本发明还提供了一种获取密钥的方法,包括:
需要获取密钥信息的网络设备接收用于表示发生重认证的指示信息后,接收认证器发送的对应终端的密钥信息。
本发明实施例提供了一种网络设备,包括:
认证器迁移确定单元,用于根据接收到的用于表示发生认证器迁移的指示信息确定对应终端所属认证器发生迁移;
密钥请求获取单元,用于在所述认证器迁移确定单元确定所述终端所属认证器发生迁移后,接收所述认证器发送的密钥信息,获取所述终端对应的密钥信息。
本发明实施例提供了一种获取密钥的系统,包括认证器和需要获取密钥信息的网络设备,其中,
认证器,用于接收需要获取密钥信息的网络设备发来的密钥请求,并向需要获取密钥信息的网络设备发送其生成的终端对应的密钥信息;
需要获取密钥信息的网络设备,接收用于表示发生认证器迁移的指示信息,并接收所述认证器发送的密钥信息。
本发明实例还提供了一种获取密钥的系统,包括认证器和需要获取密钥信息的网络设备,其中,
认证器,用于向需要获取密钥信息的网络设备发送其生成的终端对应的密钥信息;
需要获取密钥信息的网络设备,用于接收用于表示发生重认证的指示信息后,接收认证器发送的所述终端对应的密钥信息。
由上述本发明的实施例提供的技术方案可以看出,其可以在认证器发生迁移后,保证需要获取密钥信息的网络设备可以获得相应的密钥信息,以使 得后续通信过程的顺利进行。因此,本发明实施例的实现可以有效提高无线通信系统的通信性能。
附图说明
图1为现有技术中FA获取密钥信息的处理过程示意图;
图2为本发明实施例中FA获取密钥信息的处理过程示意图一;
图3为本发明实施例中FA获取密钥信息的处理过程示意图二;
图4为本发明实施例中FA获取密钥信息的处理过程示意图三;
图5为本发明实施例中FA获取密钥信息的处理过程状态机示意图;
图6为本发明实施例的完整处理过程示意图;
图7为本发明实施例提供的系统的结构示意图。
具体实施方式
本发明实施例用于在终端的认证器发生迁移后,为需要获取密钥信息的网络设备获取密钥信息,即在需要获取密钥信息的网络设备接收用于表示发生认证器迁移的指示信息后,则确定终端对应的认证器发生迁移,并向迁移后的认证器发送密钥请求,从而接收所述认证器返回的密钥信息,获取该终端对应的密钥信息。
本发明实施例中,所述的需要获取密钥信息的网络设备包括但不限于FA(外部代理)、BS(基站)或GW(网关)等设备,所述的密钥信息包括但不限于:密钥、SPI(安全参数索引)和生命周期中的至少一项。
本发明实施例在实现过程中,用于表示发生认证器迁移的指示信息具体可以由迁移后的认证器或者由原认证器(迁移前的认证器)或者由终端或者由HA(家乡代理)或者由AAA(鉴权、认证、计费)服务器等设备向需要获取密钥信息的网络设备发送,从而使得相应的需要获取密钥信息的网络设备可以获知所述指示信息。可选地,所述的迁移后的认证器或者原认证器或者终端或者HA或者AAA服务器等设备还可以向需要获取密钥信息的网络设备发送迁移后的认证器的地址;其中,若由原认证器向需要获取密钥信息的网络设备发送迁移后的认证器的地址,则所述的认证器还维护终端与迁移后的认证器的地址之间的对应关系,且可选地针对该对应关系设置对应的生存周期,以便于在经过预定时间段后便可以删除维护的所述对应关系信息,从而释放占用的存储及管理资源。
在上述处理过程中,若由终端向需要获取密钥信息的网络设备发送所述指示信息,则终端需要事先确定发生认证器迁移。终端确定发生认证器迁移的过程具体可以包括:首先,在认证的过程中,由认证器将自身的识别信息发送给终端,这样,终端便可以根据当前收到的认证器的识别信息与之前收到的认证器的识别信息的比较结果,确定认证器是否发生迁移;例如,所述的识别信息可以包括:认证器的地址信息和/或认证器到网关的跳数。
本发明实施例中,迁移后的认证器生成终端对应的密钥信息后,其可以主动将所述密钥信息发送给相应的需要获取密钥信息的网络设备;或者,可选地,由迁移后的认证器将生成的终端对应的密钥信息发送给原认证器,并由原认证器发送给需要获取密钥信息的网络设备。
在本发明实施例中,若需要获取密钥信息的网络设备通过上述处理过程实现密钥信息的获取,则可选地,需要获取密钥信息的网络设备在确定终端对应的认证器发生迁移后,还可以判断是否收到迁移后的认证器发来的密钥信息,若确定未获取到迁移后的认证器生成的终端对应的密钥信息后,则可以通过向迁移后的认证器发送密钥请求的方式获取所述密钥信息。
本发明实施例在具体实现过程中,需要获取密钥信息的网络设备向迁移后的认证器发送密钥请求之前还可以包括获取迁移后的认证器的地址信息的操作,以使得需要获取密钥信息的网络设备可以获取到迁移后的认证器的地址,便于向其发送密钥请求消息。具体可以用于获取迁移后的认证器的地址信息的方式包括:一种可以为从迁移前的原认证器请求获取迁移后的认证器的地址信息;另一种是接收迁移后的认证器或原认证器主动发送来的迁移后的认证器的地址信息。
在认证器迁移过程中,若FA、BS或GW等需要获取密钥信息的网络设备也发生迁移,迁移后的认证器可以将密钥信息首先发送给迁移前的原需要获取密钥信息的网络设备,并由所述原需要获取密钥信息的网络设备将所述密钥信息发送给迁移后的需要获取密钥信息的网络设备;或者,也可以由原需要获取密钥信息的网络设备向迁移后的认证器发送需要获取密钥信息的网络设备迁移的指示或迁移后的需要获取密钥信息的网络设备的地址等信息,或者,由迁移后的需要获取密钥信息的网络设备向迁移后的认证器发送需要获取密钥信息的网络设备迁移的指示或迁移后的需要获取密钥信息的网络设备的地址,以便于迁移后的认证器将密钥信息发送给迁移后的需要获取密钥信息的网络设备。
下面将以FA作为需要获取密钥信息的网络设备为例,将相应的获取密钥信息的处理过程的具体实现过程分不同情况描述:
(1)FA先于NAS完成了迁移,且新FA获得了原认证器的地址
在该情况下,将迁移后的新FA作为终端的当前FA,并采用上述处理过程即可以保证需要获取密钥信息的网络设备能够获取相应密钥信息;
(2)NAS先于FA完成了迁移,原FA获得了新NAS的地址
在该情况下,迁移后的新FA在迁移过程中可以获得新NAS地址,这就使得需要获取密钥信息的网络设备能够很容易地获取相应密钥信息;例如,由 迁移后的FA向新NAS发送FA迁移的指示或迁移后的FA的地址,或者,由原FA向新NAS发送FA迁移的指示或新FA的地址等信息,之后,由新NAS将密钥信息发送给迁移后的FA,以便于新NAS将密钥信息发送给新FA;
(3)FA迁移过程中,此时原NAS正在进行NAS迁移
在该情况下,新FA需要向原NAS请求密钥,在原NAS将密钥信息发送给新FA的过程中具体可以包括:
若原NAS在告知新FA正在进行NAS迁移时,还将新NAS的地址告知新FA,由新FA向新NAS发送密钥请求,新NAS若已经完成重认证则回复新密钥信息,否则,回复一个令新FA等待的指令或者等重认证完成后再将新密钥信息发送给新FA;
若原NAS仅通知新FA当前正在进行NAS迁移,却未告知其迁移后的新NAS的地址,则新FA可以向原NAS请求新NAS的地址(即迁移后的认证器可以将密钥信息首先发送给原FA,之后,由原FA将所述密钥信息发送给迁移后的FA),或者等待新NAS主动更新密钥。
本发明实施例中,在确定终端对应的认证器发生迁移之前,需要获取密钥信息的网络设备还需要确定终端是否发生重认证,以便于在确定终端发生重认证的情况下,进一步确定终端对应的认证器是否发生迁移,进而利用本发明实施例解决发生认证器迁移的情况下的密钥信息的获取问题。其中,需要获取密钥信息的网络设备确定终端是否发生重认证的操作具体可以包括:在需要获取密钥信息的网络设备中保存终端与家乡代理之间的SPI(安全参数索引),若收到的终端或其他设备发来的注册请求中的SPI与保存的终端与家乡代理之间的SPI不同,则确定发生了针对终端的重认证,否则,确定未发生重认证;或者,需要获取密钥信息的网络设备还可以根据收到的消息中的显式的重认证指示或隐式的重认证指示信息确定终端是否发生重认证操作。
以FA作为需要获取密钥信息的网络设备为例,FA需要获取的密钥信息可以为MIP密钥信息。本发明实施例具体可以解决FA更新MIP密钥过程中存在的因NAS发生迁移而无法获得MIP密钥的问题,并减少竞争场景及获得密钥的时间,提供了FA获得有效的MIP密钥的实现方案,该MIP密钥可以包括MN-FA密钥和FA-HA密钥。需要说明的是,本发明实施例并不仅限于该具体应用的举例。
在针对终端的重认证过程中,可以伴随着认证器迁移,也可以直接就在原来的认证器上进行。当认证器迁移的时候,需要通知FA新认证器的地址信息,以便FA后续请求密钥信息。FA迁移和认证器的迁移互相独立,即可能同时发生迁移,也可能不是同时发生迁移。
下面将以作为认证器的NAS发生迁移,FA需要获取的密钥信息包括MN-FA密钥的应用场景为例,对本发明实施例的具体实现过程进行说明。在该场景下,相应的处理过程如图2、图3和图4所示,具体包括以下步骤:
步骤1,MS通过NAS1接入认证成功;
步骤2,FA在需要MN-FA密钥时向NAS1发送请求,具体可以通过向NAS1发送上下文请求,以请求获取相应密钥;
步骤3,针对MS的重认证为通过NAS2进行,即发生了NAS迁移;
在该重认证过程中,NAS2以及MS上的密钥信息更新,但FA并未获知发生了重认证事件,也未获知更新后的密钥信息;
步骤4,在重认证后,MS或HA(家乡代理)等(图中仅以MS为例绘制)设备向FA发送MIP-RRQ消息,所述消息中携带着新的密钥计算的认证扩展,其中的SPI也是由重认证后产生的FA-RK计算获得,或者也可以为其它可以用于确定是否发生重认证的指示信息;
步骤5,FA收到所述消息后,比较MIP-RRQ消息中携带的SPI与本地维护的SPI是否相同,若确定发生变化(确定发生重认证),或者根据指示信 息确认重认证发生,则获取更新后的密钥信息,具体仍可以通过向NAS2发送上下文请求,以请求获取相应密钥;
在该步骤中,若FA发生迁移,则FA在获得原NAS的地址后,新FA也处于同样的状态中,即知晓原NAS地址信息,且需要获取MIP密钥信息;
在该步骤中,具体的向NAS请求获取更新后的密钥的实现过程可以但不限于有三种,参照图2、图3和图4所示,各实现过程分别为:
(1)如图2所示,在NAS2的迁移过程中,NAS2通知FA的消息还没有到达FA,则FA向NAS1请求密钥更新信息;并由NAS1向其返回NAS迁移指示和/或新的NAS地址(即NAS2地址);然后,FA向NAS2发送密钥请求消息,以请求获取相应的MIP密钥信息;
(2)如图3所示,在NAS2的迁移过程中,NAS2通知FA的消息还没有到达FA,则FA向NAS1请求密钥更新信息;并由NAS1向FA返回NAS迁移指示和/或新的NAS地址(即NAS2地址);在FA向NAS2发送密钥请求消息之前,NAS2迁移的通知消息到达FA,如果该消息中携带更新后的密钥以及上下文信息,则FA不再发送密钥请求;否则,FA继续向NAS2发送密钥请求,以请求获取相应的MIP密钥信息;
(3)如图4所示,在NAS2的迁移过程中,NAS2通知FA的消息已经到达了FA,如果该消息中携带更新后的密钥以及上下文信息,则FA不再向NAS2发送密钥请求;否则,FA继续向NAS2发送密钥请求,以请求获取相应的MIP密钥信息。
需要说明的是,若FA也发生了迁移,且NAS2的更新消息发送到了原FA,则原FA需要将所述更新消息转发给新FA,以便于新FA仍可以方便地获得相应的MIP密钥信息,或者,返回一个FA迁移的指示或新FA的地址给NAS2,然后NAS2发送密钥信息给新FA。
通过上述步骤1至步骤5的处理过程,FA获得更新后的密钥信息后,则可 以继续处理MIP-RRQ消息。
基于上述应用场景中MIP-RRQ消息中仅携带是否重认证的信息的情况,本发明实施例还提供了另一种具体实施方案,在该方案中考虑选择在MIP-RRQ消息中携带NAS是否迁移的指示信息,相应的处理过程如图5所示,具体可以包括如下过程:
步骤1,第一次认证,NAS1在EAP过程中将自身的地址或者NAS到服务GW(网关)的跳数发送给MS并作记录;
步骤2,重认证,MS也获得了NAS1地址或者NAS到服务GW的跳数,并且与之前记录的地址或跳数信息(即步骤1中记录的信息)进行比较,发现相同,则确认NAS没有发生迁移;
步骤3,MS发送MIP-RRQ中携带指示信息,以表示重认证但是没有NAS迁移,所述指示信息可以为:SPI不同算法,或者,单独的扩展头;
具体实现过程中:可以是SPI的单数指示NAS发生了迁移,双数则相反,指示NAS没有发生迁移;如果是扩展头方式,可以直接在扩展头中包含一个类型表示NAS的迁移状态,或者就直接包含当前NAS的地址信息;
步骤4,重认证,MS也获得了NAS2地址或者NAS到服务GW的跳数,并且与之前记录的地址或跳数信息(即步骤1中记录的信息)进行比较,发现不同,则确认NAS发生了迁移;
步骤5,MS发送MIP-RRQ中携带指示信息,以表示MS发生重认证,并且伴随NAS迁移发生。
基于上述处理过程,则FA收到相应的MIP-RRQ消息后采用的处理过程具体可以为:
(1)当FA收到MIP-RRQ消息以后,若消息中未携带NAS地址信息,则根据MIP-RRQ消息的指示信息进行处理:若没有重认证,则继续处理;若重认证但没有NAS迁移,向原NAS请求密钥;如果重认证且伴随NAS迁移,等 待新NAS主动发送通知信息,若新NAS发来的通知信息中没有携带FA所需密钥信息,则需要向新NAS请求相应的密钥信息,或者,也可以向原NAS请求新的NAS信息或者更新后的密钥信息;
(2)当FA收到MIP-RRQ消息以后,如果MIP-RRQ消息中直接携带了NAS地址信息,FA可以直接向所指示的NAS请求密钥信息。
为便于进一步理解FA获取MIP密钥的实现过程,下面将结合附图,以获取MIP密钥中的MN-FA密钥为例,对相应的处理过程做进一步说明。
如图6所示,FA的状态机的实现处理过程包括以下步骤:
步骤1,FA收到MIP-RRQ消息;
步骤2,判断本地是否存在MN-FA密钥,若存在,则执行步骤3,否则,执行步骤7;
步骤3,比较收到的MIP-RRQ消息中的SPI是否与本地保存的SPI相同,若相同,即两个SPI相一致,则表示未发生重认证,执行步骤15,否则,表示发生重认证,执行步骤4;
步骤4,判断是否发生NAS迁移,若是,则执行步骤5,否则,执行步骤6,具体可以但不限于根据SPI或新NAS发送来的Context-Rpt(上下文报告)等收到的表示NAS是否迁移的指示判断是否发生NAS迁移;
在该步骤中,若暂时无法确定是否发生NAS迁移,则执行步骤7;
需要说明的是,在该步骤中,若确定发生迁移,则还可以进一步确定是否已经收到新的NAS的密钥,若收到,则执行步骤15,否则,执行步骤5;其中,收到的新的NAS的密钥可能是新的NAS直接发送来的,也可能是从原NAS发来的其从新的NAS接收到的新NAS的密钥;
步骤5,判断FA是否已经知道迁移后的新NAS的地址,若知道,则执行步骤8,否则,执行步骤9;
步骤6,FA向原NAS请求获取MN-FA,并执行步骤15。
步骤7,FA向原NAS请求获取MN-FA,或者直接设置时钟并且等待接收来自认证器的信息(重认证进行的认证器),若从原NAS接收到NAS反馈信息,则执行步骤10,若FA收到新NAS发来的指示信息,则执行步骤12;
收到所述信息以后,终止所设置的时钟;如果时钟过期还没有收到来自认证器的信息,则丢弃所述MIP-RRQ消息;
步骤8,FA向迁移后的新的NAS请求获取MN-FA,并执行步骤15。
步骤9,FA等待新的NAS的指示,或者,向原NAS查询新NAS的地址或MN-FA,并在收到新的NAS的指示或原NAS的反馈后,执行步骤12;其中,收到的新的NAS的指示或原NAS的反馈可以为新NAS的MN-FA,也可以是新NAS的地址;
步骤10,FA根据原NAS返回的反馈信息判断是否发生NAS迁移,若发生,则执行步骤,12,否则,执行步骤11;
同样,在该步骤中,仍可以但不限于根据SPI或Context-Rpt(上下文报告)等收到的表示NAS是否迁移的指示判断是否发生NAS迁移;
步骤11,如果在原NAS发来的反馈信息中未携带MN-FA,则向原NAS发送请求,以请求获取相应的MN-FA,在获得所述MN-FA后执行步骤15,如果原NAS已经在反馈信息中携带所述MN-FA,则直接执行步骤15。
步骤12,判断新的NAS是否已经将对应的MN-FA发送给FA,即判断FA是否收到MN-FA,若收到,则执行步骤13,否则,则从收到的新的NAS的指示或原NAS的反馈信息中获取新NAS的地址,并执行步骤14;
步骤13,FA从新NAS发送来的信息中获取MN-FA,并执行步骤15;
步骤14,根据新NAS的地址,FA从新的NAS请求获取相应的MA-FA,并在获得所述MN-FA后执行步骤15;
步骤15,FA根据获取的密钥信息对收到的MIP-RRQ消息进行处理。
本发明实施例还提供了一种网络设备获取密钥的系统,其具体实现结构 如图7所示,具体可以包括以下处理单元:
(一)认证器
其用于接收需要获取密钥信息的网络设备发来的密钥请求,并向需要获取密钥信息的网络设备发送其生成的终端对应的密钥信息,具体可以包括:
(1)密钥请求接收单元,用于接收需要获取密钥信息的网络设备发来的密钥请求;
(2)密钥信息发送单元,用于在所述密钥请求接收单元接收到密钥请求后,向需要获取密钥信息的网络设备发送其生成的终端对应的密钥信息。
可选地,所述的认证器还可以包括迁移指示发送单元,用于向所述的需要获取密钥信息的网络设备发送用于表示发生认证器迁移的指示信息;该认证器具体可以为迁移后的认证器,也可以为迁移前的原认证器;若所述迁移指示发送单元设置于原认证器中,且需要向需要获取密钥信息的网络设备发送迁移后的认证器的地址,则所述的认证器还包括终端信息维护单元,用于维护终端与迁移后的认证器的地址之间的对应关系,可选地针对该对应关系设置对应的生存周期。
在该认证器中可以包括以下任一单元:
密钥信息直接发送单元,用于将迁移后的认证器生成的密钥信息后,直接主动发送给需要获取密钥信息的网络设备;
密钥信息间接传递单元,用于将迁移后的认证器生成的密钥信息发送给原认讧器,并由原认证器发送给需要获取密钥信息的网络设备。
为便于终端确定认证器是否发生迁移,则在所述认证器还可以包括识别信息发送单元,以用于将认证器的地址信息或认证器到网关的跳数作为识别信息发送给所述终端。
(二)网络设备
该网络设备为需要获取密钥信息的网络设备,其在接收用于表示发生认 证器迁移的指示信息后,向迁移后的认证器发送密钥请求,接收所述认证器返回的密钥信息。
具体一点讲,需要获取密钥信息的网络设备具体可以包括:
(1)认证器迁移确定单元,用于根据接收到的用于表示发生认证器迁移的指示信息确定终端对应的认证器发生迁移;
(2)密钥请求获取单元,用于在所述认证器迁移确定单元确定终端对应的认证器发生迁移后,向迁移后的认证器发送密钥请求,并用于接收所述认证器返回的密钥信息,获取该终端对应的密钥。
可选地,需要获取密钥信息的网络设备还可以包括判断处理单元,用于在所述认证器迁移确定单元确定发生认证器迁移后,若确定未获取到迁移后的认证器生成的密钥信息,则通知所述密钥请求获取单元。
可选地,需要获取密钥信息的网络设备还可以包括认证器地址获取单元,用于接收并获取迁移后的认证器或原认证器发送来的迁移后的认证器的地址信息,并通知所述密钥请求获取单元,以便于根据所述地址信息发送密钥请求。
可选地,需要获取密钥信息的网络设备还可以包括以下任一单元:
密钥信息转发单元,用于接收迁移后的认证器发来的密钥信息,并将所述的密钥信息发送给迁移后的需要获取密钥信息的网络设备;
网络设备迁移通知单元,用于在接收迁移后的认证器发来的密钥信息后,向迁移后的认证器返回需要获取密钥信息的网络设备迁移的指示或迁移后的需要获取密钥信息的网络设备的地址信息;或者,主动向迁移后的认证器发送需要获取密钥信息的网络设备迁移的指示或迁移后的需要获取密钥信息的网络设备的地址信息;以便于迁移后的认证器可以将密钥信息发送给迁移后的需要获取密钥信息的网络设备。
(三)终端
在部分应用场景下,终端还可以向需要获取密钥信息的网络设备发送用于指示终端对应的认证器发生迁移的指示信息,故终端中还可以包括用于确定认证器是否发生迁移的处理单元,具体可以包括:
迁移确定单元,用于在认证的过程中,接收认证器发送来的识别信息,并将当前收到的认证器的识别信息与之前收到的认证器的识别信息进行比较,确定认证器是否发生迁移;
指示信息传递单元,用于在所述迁移确定单元确定发生迁移后,向需要获取密钥信息的网络设备发送用于表示发生认证器迁移的指示信息。
综上所述,本发明实施例解决了FA更新MIP密钥过程中存在的NAS发生迁移的情况下无法获取更新后MIP密钥的问题,从而能够尽量消除竞争场景,尽量减少获得密钥的时间,因此,本发明实施例提供了能够令FA获得有效的MIP密钥的实现方案,克服了现有技术中所存在的问题。
以上所述,仅为本发明较佳的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应该以权利要求的保护范围为准。
Claims (25)
1.一种获取密钥的方法,其特征在于,用于在认证器发生迁移后为需要获取密钥信息的网络设备获取密钥信息,包括:
需要获取密钥信息的网络设备接收用于表示发生认证器迁移的指示信息并接收迁移后的认证器发送的密钥信息,获取对应终端的密钥信息。
2.根据权利要求1所述的方法,其特征在于,所述需要获取密钥信息的网络设备接收,由迁移后的认证器或原认证器或所述终端或家乡代理或鉴权、认证、计费AAA服务器发送的用于表示发生认证器迁移的指示信息;或者,
所述需要获取密钥信息的网络设备接收,由迁移后的认证器或原认证器或所述终端或家乡代理或AAA服务器发送的所述指示信息和迁移后的认证器的地址。
3.根据权利要求2所述的方法,其特征在于,在由终端发送所述指示信息时,该方法还包括:
在认证的过程中,所述终端接收由网络侧发送的认证器的识别信息;
所述终端根据当前收到的认证器的识别信息与之前收到的认证器的识别信息进行比较,确定认证器是否发生迁移。
4.根据权利要求3所述的方法,其特征在于,所述的识别信息包括:认证器的地址信息、认证器的标识信息和认证器到网关的跳数中的至少一项。
5.根据权利要求1至4任一项所述的方法,其特征在于,还包括:
所述需要获取密钥信息的网络设备接收由迁移后的认证器在生成所述对应终端的密钥信息后,主动发送的所述密钥信息;或者,
所述需要获取密钥信息的网络设备接收由迁移后的认证器在生成所述对应终端的密钥信息后,经由原认证器发送的所述密钥信息。
6.根据权利要求5所述的方法,其特征在于,在所述的需要获取密钥信息的网络设备确定终端对应的认证器发生迁移后,该方法还包括:
需要获取密钥信息的网络设备在确定未获取到迁移后的认证器生成的所述对应终端的密钥信息后,向迁移后的认证器发送密钥请求。
7.根据权利要求1至4任一项所述的方法,其特征在于,所述的需要获取密钥信息的网络设备向迁移后的认证器发送密钥请求之前还包括获取迁移后的认证器的地址信息的步骤,且该步骤包括:
从原认证器请求获取迁移后的认证器的地址信息;或者,接收迁移后的认证器或原认证器或终端或家乡代理或AAA服务器主动发送来的迁移后的认证器的地址信息。
8.根据权利要求1至4任一项所述的方法,其特征在于,在认证器迁移过程中,若需要获取密钥信息的网络设备也发生迁移,则该方法还包括以下任一步骤:
迁移后的需要获取密钥信息的网络设备通过原需要获取密钥信息的网络设备,获取迁移后的认证器发送的密钥信息;
由迁移后的需要获取密钥信息的网络设备向迁移后的认证器发送需要获取密钥信息的网络设备迁移的指示或迁移后的需要获取密钥信息的网络设备的地址,并由迁移后的认证器将密钥信息发送给所述迁移后的需要获取密钥信息的网络设备;
迁移后的需要获取密钥信息的网络设备接收,由迁移后的认证器在获取到原需要获取密钥信息的网络设备发送的需要获取密钥信息的网络设备迁移的指示或迁移后的需要获取密钥信息的网络设备的地址后,发送的密钥信息。
9.根据权利要求1至4任一项所述的方法,其特征在于,在确定所述终端所属认证器发生迁移之前,还包括需要获取密钥信息的网络设备确定终端已发生重认证的步骤,且该步骤具体包括:
需要获取密钥信息的网络设备中保存所述终端与家乡代理之间的安全参数索引SPI,若收到的注册请求中终端与家乡代理之间的SPI与保存的S PI不同,则确定发生重认证。
10.一种获取密钥的方法,用于在重认证后为需要获取密钥信息的网络设备获取密钥信息,其特征在于,包括:
需要获取密钥信息的网络设备接收用于表示发生重认证的指示信息后,接收认证器发送的对应终端的密钥信息。
11.根据权利要求10所述的方法,其特征在于,所述认证器是进行重认证的认证器。
12.根据权利要求11所述的方法,其特征在于,需要获取密钥信息的网络设备接收用于表示发生重认证的指示信息后,启动一个定时器,在定时器有效期内接收所述终端的密钥信息。
13.根据权利要求12所述的方法,其特征在于,如果在定时器有效期内没有接收到所述密钥信息,丢弃终端发送的移动IP注册请求。
14.一种网络设备,其特征在于,用于在认证器发生迁移后获取密钥信息,该网络设备包括:
认证器迁移确定单元,用于根据接收到的用于表示发生认证器迁移的指示信息确定对应终端所属认证器发生迁移;
密钥请求获取单元,用于在所述认证器迁移确定单元确定所述终端所属认证器发生迁移后,接收迁移后的认证器发送的密钥信息,获取所述终端对应的密钥信息。
15.根据权利要求14所述的设备,其特征在于,该设备还包括判断处理单元,用于在所述认证器迁移确定单元确定发生认证器迁移后,若确定未获取到迁移后的认证器生成的密钥信息,则通知所述密钥请求获取单元;
且所述密钥请求获取单元还用于在获取所述判断处理单元的通知后,向所述迁移后的认证器发送密钥请求。
16.根据权利要求14或15所述的设备,其特征在于,该设备还包括认证器地址获取单元,用于接收并获取迁移后的认证器或原认证器发送来的迁移后的认证器的地址信息,并通知所述密钥请求获取单元。
17.一种获取密钥的系统,其特征在于,用于在认证器发生迁移后为需要获取密钥信息的网络设备获取密钥信息,所述系统包括认证器和需要获取密钥信息的网络设备,其中,
认证器,用于接收需要获取密钥信息的网络设备发来的密钥请求,并向需要获取密钥信息的网络设备发送其生成的终端对应的密钥信息;
需要获取密钥信息的网络设备,接收用于表示发生认证器迁移的指示信息,并接收迁移后的认证器发送的密钥信息。
18.根据权利要求17所述的系统,其特征在于,该系统还包括终端,且该终端包括:
迁移确定单元,用于在认证的过程中,接收认证器发送来的识别信息,并根据当前收到的认证器的识别信息与之前收到的认证器的识别信息进行比较,确定认证器是否发生迁移;
指示信息传递单元,用于在所述迁移确定单元确定发生迁移后,向需要获取密钥信息的网络设备发送用于表示发生认证器迁移的指示信息。
19.根据权利要求18所述的系统,其特征在于,所述认证器还包括识别信息发送单元,用于将认证器的地址信息或认证器到网关的跳数作为识别信息发送给所述终端。
20.根据权利要求17、18或19所述的系统,其特征在于,所述的认证器包括密钥请求接收单元和密钥信息发送单元,其中,
密钥请求接收单元,用于接收需要获取密钥信息的网络设备发来的密钥请求;
密钥信息发送单元,用于在所述密钥请求接收单元接收到密钥请求后,向需要获取密钥信息的网络设备发送其生成的终端对应的密钥信息;
21.根据权利要求17、18或19所述的系统,其特征在于,所述认证器还包括:
密钥信息直接发送单元,用于将迁移后的认证器生成的密钥信息后,直接发送给所述需要获取密钥信息的网络设备;或者,
密钥信息间接传递单元,用于将迁移后的认证器将生成的密钥信息发送给原认证器,并由原认证器发送给所述需要获取密钥信息的网络设备。
22.根据权利要求17、18或19所述的系统,其特征在于,所述的认证器还包括迁移指示发送单元,用于向需要获取密钥信息的网络设备发送用于表示发生认证器迁移的指示信息和/或者迁移后的认证器的地址。
23.根据权利要求22所述的系统,其特征在于,若所述迁移指示发送单元向需要获取密钥信息的网络设备发送迁移后的认证器的地址,则所述的认证器还包括终端信息维护单元,用于维护终端与迁移后的认证器的地址之间的对应关系。
24.根据权利要求17、18或19所述的系统,其特征在于,所述的需要获取密钥信息的网络设备中还包括:
密钥信息转发单元,用于接收迁移后的认证器发来的密钥信息,并发送给迁移后的需要获取密钥信息的网络设备;或者,
网络设备迁移通知单元,用于在接收迁移后的认证器发来的密钥信息后,向迁移后的认证器返回需要获取密钥信息的网络设备迁移的指示或迁移后的需要获取密钥信息的网络设备的地址信息;或者,主动向迁移后的认证器发送需要获取密钥信息的网络设备迁移的指示或迁移后的需要获取密钥信息的网络设备的地址信息。
25.一种获取密钥的系统,其特征在于,用于在重认证后为需要获取密钥信息的网络设备获取密钥信息,所述系统包括认证器和需要获取密钥信息的网络设备,其中,
认证器,用于向需要获取密钥信息的网络设备发送其生成的终端对应的密钥信息;
需要获取密钥信息的网络设备,用于接收用于表示发生重认证的指示信息后,接收认证器发送的所述终端对应的密钥信息。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2007101451465A CN101325804B (zh) | 2007-06-11 | 2007-08-23 | 获取密钥的方法、设备及系统 |
| PCT/CN2008/071254 WO2008151569A1 (fr) | 2007-06-11 | 2008-06-10 | Procédé, dispositif et système d'acquisition de clé |
Applications Claiming Priority (5)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200710112367 | 2007-06-11 | ||
| CN200710112367.2 | 2007-06-11 | ||
| CN200710136389.2 | 2007-07-26 | ||
| CN200710136389 | 2007-07-26 | ||
| CN2007101451465A CN101325804B (zh) | 2007-06-11 | 2007-08-23 | 获取密钥的方法、设备及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101325804A CN101325804A (zh) | 2008-12-17 |
| CN101325804B true CN101325804B (zh) | 2011-04-20 |
Family
ID=40189067
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2007101451465A Active CN101325804B (zh) | 2007-06-11 | 2007-08-23 | 获取密钥的方法、设备及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101325804B (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101909292B (zh) | 2010-08-18 | 2016-04-13 | 中兴通讯股份有限公司 | 空中接口密钥的更新方法、核心网节点及用户设备 |
| CN106559913B (zh) * | 2015-09-25 | 2019-11-05 | 展讯通信(上海)有限公司 | 移动终端及其lte和wlan汇聚时数据传输控制方法 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2004047397A2 (en) * | 2002-11-15 | 2004-06-03 | Cisco Technology, Inc. | A method for fast, secure 802.11 re-association without additional authentication, accounting, and authorization infrastructure |
| CN1658553A (zh) * | 2004-02-20 | 2005-08-24 | 中国电子科技集团公司第三十研究所 | 一种采用公开密钥密码算法加密模式的强鉴别方法 |
| CN1921379A (zh) * | 2005-08-25 | 2007-02-28 | 华为技术有限公司 | 一种目标鉴权者/密钥提供者获取密钥的方法 |
-
2007
- 2007-08-23 CN CN2007101451465A patent/CN101325804B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2004047397A2 (en) * | 2002-11-15 | 2004-06-03 | Cisco Technology, Inc. | A method for fast, secure 802.11 re-association without additional authentication, accounting, and authorization infrastructure |
| CN1658553A (zh) * | 2004-02-20 | 2005-08-24 | 中国电子科技集团公司第三十研究所 | 一种采用公开密钥密码算法加密模式的强鉴别方法 |
| CN1921379A (zh) * | 2005-08-25 | 2007-02-28 | 华为技术有限公司 | 一种目标鉴权者/密钥提供者获取密钥的方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101325804A (zh) | 2008-12-17 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP5392879B2 (ja) | 通信デバイスを認証するための方法および装置 | |
| US7561692B2 (en) | Method of authenticating mobile terminal | |
| CN101656668B (zh) | 使用基于核心的节点进行状态传输的方法和装置 | |
| US8769611B2 (en) | Methods and apparatus for providing PMIP key hierarchy in wireless communication networks | |
| EP3382990B1 (en) | User profile, policy and pmip key distribution in a wireless communication network | |
| EP2432265B1 (en) | Method and apparatus for sending a key on a wireless local area network | |
| KR101498917B1 (ko) | Wimax 네트워크들에서의 이동성 이벤트들 동안 액세스 서비스 네트워크 기능 엔티티들을 재배치하는 방법 | |
| US8433286B2 (en) | Mobile communication network and method and apparatus for authenticating mobile node in the mobile communication network | |
| US7630712B2 (en) | Method for reconnecting a mobile terminal in a wireless network | |
| CN102783218B (zh) | 用于重定向数据业务的方法和装置 | |
| KR101196100B1 (ko) | 통신 시스템에서 인증 방법 및 그 장치 | |
| JP2008529368A (ja) | 通信システムにおけるユーザ認証及び認可 | |
| EP2229018B1 (en) | Method and system for authenticating in a communication system | |
| KR20080102906A (ko) | 모바일 아이피를 사용하는 이동 통신 시스템에서 단말의이동성 관리 방법 및 시스템 | |
| CN111615837B (zh) | 数据传输方法、相关设备以及系统 | |
| CN101568116B (zh) | 一种证书状态信息的获取方法及证书状态管理系统 | |
| US20110107403A1 (en) | Communication system, server apparatus, information communication method, and program | |
| CN101325804B (zh) | 获取密钥的方法、设备及系统 | |
| CN102668504B (zh) | 具有改善转换的速度和质量的密钥分配功能的方法和设备 | |
| CN101599878A (zh) | 重认证方法、系统及鉴权装置 | |
| JP5055428B2 (ja) | 無線通信システム、ゲートウェイ制御装置および基地局 | |
| US9485652B2 (en) | Method and system for managing mobility of mobile station in a mobile communication system using mobile IP | |
| JP2009031848A (ja) | 認証転送装置 | |
| KR100419578B1 (ko) | 다이아미터 기반 이동 인터넷 프로토콜 망에서의 세션제어 방법 | |
| CN110830996B (zh) | 一种密钥更新方法、网络设备及终端 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |