[发明专利]移动IP密钥的产生及分发方法和装置

说明书

本申请是中国在先申请专利“移动IP密钥的产生及分发方法和系统” 的分案申请，在先申请专利的申请号是CN 200710079181.1，申请日是2007 年2月15日。

技术领域

本发明涉及网络安全领域，特别是涉及移动IP密钥的产生及分发方法和 装置。

背景技术

随着因特网业务的蓬勃发展和无线网络的广泛应用，移动用户的安全性 已经对于无线系统提出了越来越多的要求：除了设备鉴权、用户鉴权和服务 授权等等，无线用户与接入点(AP)或基站(BS)之间的安全通道的建立， 保密信息的交换，以及BS和鉴权者(Authenticator)，鉴权者和鉴权服务 器之间的保密通道、保密信息的交换等等都是以往在专用网络中所不需要考 虑而目前需要得到大量关注的问题了。

不考虑接入网中的其他内部设备，我们在随后的技术描述时将采用图1、图 2所示的WiMAX安全网络架构体系(但是本发明所提供的技术包括但不限 于在WiMAX系统中的应用)。

图1表示的是集中式的网络架构体系，在这种架构下，鉴权者(Authenticator) 与BS位于不同的物理实体中，在鉴权者中实现了鉴权者和密钥分发者(Key Distributor)的功能。在BS中实现了认证中继(Authentication Relay) 和密钥接收者(Key Receiver)的功能。

图2表示的是分布式的网络架构体系，在这种结构下，鉴权者与BS位于 同一个物理实体中，该实体同时实现了鉴权者、认证中继、密钥分发者(Key Distributor)和密钥接收者(Key Receiver)的功能。

WiMAX安全网络架构体系中各个网元(包括逻辑网元)的功能解释如下：

BS：

-提供BS和终端(MS)的安全通道，包括空口数据的压缩与加密；

-提供BS和MS之间的保密信息的交换。

鉴权者：

-为MS认证、授权和计费功能提供代理功能；

-与密钥分发者(Key Distributor)在同一个物理实体里实现。

鉴权者中继：

-实现认证过程中认证请求和响应消息的中继。

密钥分发者：

-与鉴权者在同一个物理实体里实现，根据认证服务器提供的与MS之间 对等的根密钥信息，产生BS和MS之间共享的空口密钥AK，并且分发到 密钥接收者(Key Receiver)上。

密钥接收者：

-在BS内实现，用于接收来自密钥分发者产生的空口密钥AK，并派生 BS和MS之间的其它密钥。

此外，作为一个完整的安全网络架构体系，还应该包括后端网络的认证服 务器和移动终端MS。

认证授权计费(AAA)服务器：

-认证服务器主要是完成为MS认证、授权和计费功能，并且通过和MS 之间的达成的密钥生成机制相互交换产生密钥所必需的信息。由于这些 信息是在建立安全通道之前交换的，认证服务器和MS之间采用的密钥算 法等都必须保证信息的泄漏并不对安全机制产生影响。主要功能包括：

-完成为MS认证、授权和计费功能；

-产生并分发根密钥信息到鉴权者上；

-在用户信息产生变化，及时通知鉴权者和其他网元信息改变所产生的后果。

MS：

-MS为移动用户设备，在安全架构中主要是发起认证、授权；与认证服 务器交换产生根密钥所需要的信息；自己产生根密钥；自己根据根密钥 产生空口上保密所需要的AK以及派生出来的其他密钥信息。