[发明专利]标识分配和分离存储方法、标识替换传输方法及系统

说明书

技术领域

本发明涉及网络安全领域，特别涉及一种标识分配和分离存储方法、标 识替换传输方法及系统。

背景技术

随着移动通信技术的飞速发展，很多无线网络被标准化和商业化，诸如 3G、WLAN、WiMAX等。但是这些网络基本上是一种网络支撑一种主要服 务的模式，他们有不同的覆盖范围和带宽，并且有各自的网络架构和接入认 证技术，一时还难以相互取代。因此在普遍使用和高质量的服务需求下，异 构网络之间的融合显得颇为重要。在现有的无线通信设施基础上，可以利用 通用的智能终端接入各种网络平台，来满足不同的应用业务需求。

在目前异构无线网络的接入认证和通信过程中，终端标识冗余问题比较 严重：对于将终端的身份标识和地址标识合一的情况而言，比如IP地址同时 标识终端的身份和地址，会造成标识功能上的冗余。为了解决标识功能上的 冗余，可以采用将终端的身份标识和地址标识功能分离，比如IP地址只作为 终端的地址标识，终端的身份用IMSI、终端名等标识，但在现网中通常是将 终端的身份标识和地址标识、真实身份标识和临时身份标识在网络中绑定使 用、存储和传输，这种标识的绑定不仅存在标识数量上的冗余，造成资源浪 费，而且会在网络中泄漏终端敏感信息，带来一系列安全问题。另一方面， 目前不同的异构无线网络间往往采用不同的接入认证技术，终端必须要维护 多套不同格式的认证标识，从而在接入异构网络时才能提供相应的认证信息， 实现异构网络间的垂直切换，这不仅带来标识形式上的冗余，也会导致终端 在移动漫游时的切换延时加大，大大影响无缝漫游的效果。

因此异构无线网络迫切需要一种针对异构无线网络接入认证的特点的无 冗余的终端标识的分配、存储和传输机制，从体系架构和标识使用机制上提 高异构无线网络的安全防护能力。

发明内容

本发明提供的标识分配和分离存储方法、标识替换传输方法及系统，以 实现针对异构无线网络接入认证的特点的无冗余的终端标识的分配、存储和 传输，从而提高异构无线网络的安全防护能力。

本发明提供一种标识分配和分离存储方法，将异构无线网络按服务功能 分为用户域、接入域、服务域和归属域；其中，服务域包括至少一个接入域， 接入域包括至少一个用户域，且在本地服务时，所述归属域与所述服务域为 同一网络，所述方法包括：

在终端认证成功后，归属域为该终端分配归属域标识HID(Home  Identity)，并发送包括HID的认证成功消息至服务域；

服务域为该终端分配服务域标识SID(Service Identity)，存储从所述认 证成功消息中获取的HID与SID映射关系，并发送包括HID和SID的认证 成功消息至接入域；

接入域为该终端分配接入域标识AID(Access Identity)，存储从所述认 证成功消息中获取的SID与AID映射关系，并发送包括HID和AID的认证 成功消息至用户域；

用户域从所述认证成功消息中获取HID和AID，存储HID、AID与终端 真实身份标识RID(Real Identity)映射关系，所述RID为终端签约该归属 域时归属域分配的。

优选的，所述终端认证成功后还包括：归属域与终端协商会话密钥；则

用户域存储HID之前还包括利用所述会话密钥解密从所述认证成功消 息中获取的HID。

优选的，所述终端向归属域发送认证请求中包括初始HID，所述初始HID 为终端签约所述归属域时归属域分配给该终端的；则终端向归属域发送请求 具体为：

终端将所述请求经接入域发送至服务域；

所述服务域解析所述初始HID获取所述归属域的地址信息，并根据所述 地址信息将所述请求发送至所述归属域。

优选的，所述终端向归属域发送认证请求中包括终端的真实身份标识 RID；

利用归属域的公钥加密所述RID；所述归属域的公钥为终端签约所述归 属域时归属域分发给该终端的。

优选的，当HID生命期满时，所述方法还包括：

归属域生成新HID，向服务域发送包括新HID的HID更新消息；

服务域从所述HID更新消息中获取新HID，并转发所述HID更新消息 至用户域；

用户域从所述HID更新消息中获取新HID，将更新当前HID为新HID， 并向服务域发送更新成功消息；