[发明专利]一种安全的无线城域网的用户终端切换方法

说明书

技术领域

本发明涉及无线城域网技术领域，特别是一种安全的无线城域网的用户终端切换方法。

背景技术

IEEE 802.16无线城域网作为未来无线接入技术的重要发展方向，备受各界广泛关注。然而，安全问题一直制约着其进一步的推广与发展。IEEE 802.16d中定义了基于公开密钥加密算法（RSA）和数字证书的认证协议，可以实现基站对用户终端的认证。IEEE 802.16d的主要缺点是：只提供了基站对用户终端的单向认证，而没有提供用户终端对基站的认证，假冒基站欺骗用户终端非常容易。此外，授权密钥（AK）和会话密钥（TEK）都是由基站一方产生的，在这种单向认证的条件下，很难使得用户终端对会话密钥TEK的质量产生信任。IEEE 802.16e对IEEE 802.16d进行了增强性的修改，引入了可扩展认证协议（Extensible Authentication Protocol，简称EAP）。但是，仍然只包含了基站对用户终端的单向身份认证。

申请号为200810027930.0的专利《一种无线城域网的安全接入方法》（简称WMAN-SA）提供一种无线城域网的安全接入方法，在认证授权过程中，采用了用户终端和基站的双向认证代替原有的单向认证，攻击者冒充合法基站骗取用户终端的信任成为不可能，避免了中间人攻击的可能性。在密钥的协商过程中，密钥由用户终端和基站共同产生，代替了由基站分配，保证了密钥的质量，增强了无线城域网的安全性。因此，改进的协议同样可以满足原无线城域网的功能、性能要求，并且更安全。

随着移动计算业务的不断发展，用户切换的需求日益增加。未来WMAN-SA大规模部署应用时，用户终端在不同基站间的切换由接入网关进行管理。而WMAN-SA仅定义了身份鉴别、密钥管理、数据加密、数据鉴别和重放保护等功能，并没有包含接入网关对用户切换进行管理的具体方案。

发明内容

针对上述现有技术存在的问题，本发明提供一种安全的无线城域网的用户终端切换方法，以解决在无线城域网中，能够实现用户终端从一个基站安全快速的切换到不同接入网关下的另一个基站的技术问题。

为了实现本发明的发明目的，采用的技术方案如下：

一种安全的无线城域网的用户终端切换方法，所述方法包括：

目标基站接收到用户终端发送的切换请求信息，目标基站向目标接入网关转发切换请求信息；

目标接入网关向目标基站返回切换响应信息，目标基站向用户终端转发切换响应信息；

目标接入网关向目标基站发送第一加入用户终端请求信息；

目标基站接收到第一加入用户终端请求信息，为用户终端配置用于进行安全传输的第一受控端口，设置第一受控端口为关闭状态并向目标接入网关返回第一加入用户终端响应信息；

目标接入网关通过目标基站完成与用户终端的会话密钥协商过程;

目标接入网关向目标基站发送第二加入用户终端请求信息；

目标基站接收到第二加入用户终端请求信息，设置第一受控端口为打开状态，向目标接入网关返回第二加入用户终端响应信息。

作为一种优选方案，所述方法还包括删除用户信息步骤，具体包括：

当前接入网关向当前基站发送删除用户终端请求信息；

当前基站接收到删除用户终端请求信息，关闭与用户终端相关联的第二受控端口，删除用户终端信息，并返回删除用户终端响应信息，所述第二受控端口为当前基站为用户终端所配置的用于进行安全传输的端口。

作为进一步的优选方案，在目标接入网关向目标基站发送第一加入用户终端请求信息前，执行删除用户信息步骤。

作为进一步的优选方案，在目标基站向目标接入网关返回第二加入用户终端响应信息后，执行删除用户信息步骤。

作为再进一步的优选方案，所述目标基站通过基站安全接入协议与目标接入网关建立信任关系，当前基站通过基站安全接入协议与当前接入网关建立信任关系。

作为进一步的优选方案，所述目标基站向目标接入网关转发用户终端切换请求信息，由目标接入网关控制用户终端加入目标基站的具体方法包括：

目标基站接收到用户终端发送的切换请求信息，目标基站向目标接入网关转发切换请求信息，所述切换请求信息包括当前基站标识、当前接入网关标识及用户终端标识；

目标接入网关向目标基站返回切换响应信息，目标基站向用户终端转发切换响应信息，所述切换响应信息包括当前基站标识、当前接入网关标识、用户终端标识及切换请求处理结果；