[发明专利]用于在无线通信系统中的越区切换期间分发安全密钥的方法

说明书

技术领域

本发明总地涉及通信系统，更具体而言，涉及无线通信系统。

背景技术

接入点被用于在无线通信系统提供到一个或多个移动单元的无线连通性。示例性的接入点可以包括基站、基站路由器、接入服务网络(ASN)、WiMAX路由器等。移动单元可以包括蜂窝电话、个人数据助理、智能电话、文本消息传送设备、膝上型计算机、桌面型计算机等。接入点还提供到一个或多个外部网络的连通性。例如，在根据IEEE 802.16协议进行操作的无线网络中，移动单元可以建立与WiMAX路由器的无线连接，WiMAX路由器可以包括一个或多个接入服务网络(ASN)实体和一个或多个基站。WiMAX路由器可以连接到提供到外部网络的连通性的一个或多个连通性服务网络(CSN)。

可以建立并维护安全关联来在移动单元和服务网络之间实现安全的通信。例如，根据IEEE 802.16e和/或WiMAX标准进行操作的系统可以使用具有可扩展认证协议(EAP)的私密性和密钥管理版本2(PKMv2)协议来进行用户认证和设备授权。PKMv2协议利用三方机制支持移动单元和归属网络服务提供商(NSP)之间的设备授权和用户认证。

PKMv2协议中的三方是请求者、认证者和认证服务器。请求者是位于点对点链路的一端的、正由附接到该链路另一端的认证者认证的实体。认证者是位于点对点链路的一端的、推动对可能附接到点对点链路另一端的请求者进行认证的实体。认证者在允许请求者访问网络中的服务之前强制进行认证。认证服务器是向认证者和请求者提供认证服务的实体。该认证服务器使用由请求者提供的证书来确定请求者是否被授权访问经由认证者提供的服务。例如，在WiMAX系统中，请求者是移动单元，认证者存在于接入服务网络(ASN)中，而认证服务器被实现在连通性服务网络(CSN)中的认证、授权和计费(AAA)服务器内。

可扩展认证协议(EAP)是用于传输分组数据单元(PDU)的封装协议，PDU可以用于在请求者和认证服务器之间协商认证方法。可扩展认证协议可以封装在其他协议内，例如PKMv2协议、802.16协议、RADIUS或DIAMETER协议、通用数据报协议(UDP)、传输控制协议(TCP)、因特网协议(IP)等。RADIUS协议和(可能)DIAMETER协议是用于认证者和认证服务器之间的通过IP网络进行的EAP的实际传输协议。可扩展认证协议(EAP)支持密码强壮的密钥导出方法(例如EAP-TLS、EAP-AKA和EAP-MSCHAPv2)以及跨WiMAX网络的用户证书类型的重新使用。

安全连接一般是根据安全模型建立的，安全模型指定了请求者、认证者和认证服务器之间的操作关系。例如，可以使用四阶段安全模型。在第一阶段中，请求者(例如移动单元)发现可以提供覆盖区域内的无线连通性的一个或多个可用基站，并选择一个特定基站作为优选(或服务)基站。移动单元随后发现配置数据，并且该发现可以静态和/或动态发生。在第二阶段中，请求者将其证书呈交给认证者，认证者将请求者的证书转发到认证服务器。取决于协商的认证方法，可以使用各种实体之间的多次往返通信。如果认证过程成功，则认证服务器在第三阶段中将与会话有关的密钥转发到认证者。认证服务器还将可以用于生成与会话有关的密钥的信息转发到请求者。由认证者和请求者持有的与会话有关的密钥被用于建立由一对私密对称密钥表明的安全关联，这对私密对称密钥可以用于生成密钥以保护在第四阶段中发送的数据。

在根据IEEE 802.16和WiMAX标准进行操作的系统中，在请求者的签名的初始化时，被称为主密钥(MK)的对称密钥被预先提供给请求者和认证服务器。主密钥表示当前的基于签名的安全关联，并且只有请求者和认证服务器可以拥有主密钥，认证服务器代表请求者对授权进行论证以进行判决。主密钥的示例是用在认证和密钥协定(AKA)协议中的根密钥。请求者和/或认证服务器可以根据主密钥生成主会话密钥(MSK)和/或扩展主会话密钥(EMSK)。主会话密钥一般用于固定用户，而扩展主会话密钥一般用于移动用户。这些密钥可以按IETF RFC-3748“Extensible Authentication Protocol”的7.10节中所推荐的那样导出。