專利名稱:重新使用安全關(guān)聯(lián)以改善切換性能的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及無線電信系統(tǒng)和/或無線電信網(wǎng)絡(luò)��,如無線局域網(wǎng)(LAN)和移動因特網(wǎng)協(xié)議(IP)系統(tǒng)。更具體而言���,本發(fā)明涉及了當(dāng)移動單元或移動終端在網(wǎng)絡(luò)中由一個固定單元切換到另一個固定單元時對安全關(guān)聯(lián)的重新使用��。
背景隨著無線和移動通信技術(shù)的飛速發(fā)展,通信安全問題���,如用戶認(rèn)證�、業(yè)務(wù)保密以及信息完整性已變得至關(guān)重要���。為解決這些問題����,多個因特網(wǎng)工程任務(wù)組(IETF)安全協(xié)議標(biāo)準(zhǔn)現(xiàn)已在各種無線局域網(wǎng)和移動IP環(huán)境中獲得應(yīng)用�����,如因特網(wǎng)密鑰交換(IKE)協(xié)議�、因特網(wǎng)安全關(guān)聯(lián)和密鑰管理協(xié)議(ISAKMP)以及因特網(wǎng)協(xié)議安全(IPSEC)。
IKE協(xié)議被設(shè)計成為通信的雙方或多方��,如移動單元(MU)和網(wǎng)絡(luò)固定單元(SU)���,提供一種用于協(xié)商各種安全服務(wù)和安全關(guān)聯(lián)的機制���。安全服務(wù)是為雙方或多方間的通信提供保護的一種方法或手段�����,而安全關(guān)聯(lián)(SA)則是通信雙方或多方之間的一種聯(lián)系����,它規(guī)定了通信各方如何執(zhí)行那些已經(jīng)過協(xié)商的安全服務(wù)���。安全關(guān)聯(lián)實際上是通過一組用以表示相應(yīng)SA的有效時間周期的屬性來定義的�����,如認(rèn)證算法���、認(rèn)證密鑰、加密算法�、加密密鑰以及SA生存期。正如本領(lǐng)域技術(shù)人員所理解的�����,SA必須經(jīng)過協(xié)商,而且在雙方或多方能夠開始安全通信之前的合適位置�����,根據(jù)IKE協(xié)議進行安全服務(wù)和SA協(xié)商的過程由兩個階段完成���。在第一個階段(即階段1)�,通信各方協(xié)商ISAKMP SA���。ISAKMP SA是由一組為隨后進行ISAKMP交換提供保護的基本安全屬性定義的。在第二個階段(即階段2)�����,在ISAKMPSA的保護下����,通信各方結(jié)合IPSEC認(rèn)證頭標(biāo)(AH)協(xié)議和/或IPSEC封裝安全凈荷(ESP)協(xié)議來進行IPSECSA協(xié)商。IPSEC協(xié)議為IP層通信提供安全服務(wù)�。正如本領(lǐng)域所了解的,一個特定的IPSECSA是由安全參數(shù)索引(SPI)�、目的IP地址和IPSEC協(xié)議(即AH或ESP)唯一定義。
由于SA(即ISAKMP SA和IPSECSA)是與協(xié)商各方綁定在一起的,因此每當(dāng)移動單元在無線局域網(wǎng)環(huán)境中從一個訪問點移到另一個訪問點時����,或者在移動IP環(huán)境中從一個外部代理移到另一個外部代理時,SA要被重新協(xié)商�����。但是��,IKE協(xié)商過程是計算密集型的���,特別是在階段1���。在無線LAN和移動IP應(yīng)用情況下,這更為困難MU的計算能力有限�,卻頻繁地從一個SU切換到另一個SU。在這種情況下�����,由于大量時間都必須用于協(xié)商SA而不是用于通信���,因此使得整個系統(tǒng)的性能格外低��。
發(fā)明概述本發(fā)明的目的是提供一種在無線局域網(wǎng)或移動IP環(huán)境中��,尤其在切換期間改善移動單元性能的技術(shù)��。本發(fā)明通過一旦MU進行切換則重新使用而不是重新協(xié)商與該MU對應(yīng)的安全關(guān)聯(lián)(SA)來實現(xiàn)上述目的���。通過重新使用SA�����,減少了協(xié)商SA所花費的時間�。因此���,MU幾乎在被從一個SU切換到另一個SU時就能立刻開始安全通信。
因此���,本發(fā)明的目的是提供一種在切換期間更有效地利用SA的方法����。
本發(fā)明的另一個目的是減少和/或最小化MU被切換到一個固定單元的時間以及該MU與該固定單元開始進行安全通信的時間之間的等待周期�。
本發(fā)明的再一個目的是通過無縫切換來普遍改善MU的性能。
本發(fā)明還有一個目的就是在不犧牲通信安全的條件下維持所要求的性能水平�。
依照本發(fā)明的一個實施方案,以上所示的目的和其它目的通過用于完成移動單元從第一個固定單元到第二個固定單元的切換的方法和/或裝置來實現(xiàn)。該方法包括使移動單元從第一個固定單元斷開����,然后,將其連接到第二個固定單元���。該方法還包括重新使用現(xiàn)有的安全關(guān)聯(lián)以支持移動單元與第二個固定單元間的連接�,其中��,現(xiàn)有的安全關(guān)聯(lián)此前曾用于支持移動單元與第一個固定單元間的連接����。
依照本發(fā)明的另一個實施方案,以上所示的目的和其它目的通過用于完成移動單元從第一個固定單元向第二個固定單元切換的方法和/或裝置來實現(xiàn)����。更具體而言,該方法包括使移動單元從第一個固定單元斷開���,然后�,將其連接到第二個固定單元�。該方法還包括重新使用現(xiàn)有的安全關(guān)聯(lián)以支持移動單元與第二個固定單元間的連接,其中����,現(xiàn)有的安全關(guān)聯(lián)此前曾用于保證該移動單元與第三個固定單元間連接的安全通信�����,其中��,第三個固定單元和第二個固定單元都與使用一種公共安全政策的第一個管理域相關(guān)聯(lián)���。
依照本發(fā)明的再一個實施方案,以上所示的目的和其它目的通過重新使用安全關(guān)聯(lián)來使得移動單元易于在與一個公共管理域相關(guān)聯(lián)的固定單元間進行切換的方法來實現(xiàn)����,其中,所有與公共管理域相關(guān)聯(lián)的固定單元都從屬于同一安全政策���。該方法包括為移動單元和與公共管理域相關(guān)聯(lián)的第一個固定單元間的連接協(xié)商第一個安全關(guān)聯(lián)�����。接著使該移動單元從第一個固定單元斷開,然后使其連接到與公共管理域相關(guān)聯(lián)的第二個固定單元����。此后將對應(yīng)第一個安全關(guān)聯(lián)的第一組安全關(guān)聯(lián)屬性從第一個固定單元傳遞到第二個固定單元���。這時,第一個安全關(guān)聯(lián)便可以用來保證移動單元與第二個固定單元間連接的安全通信�����。
附圖簡述本發(fā)明的目的及優(yōu)點通過結(jié)合附圖閱讀詳細(xì)說明可獲得理解
圖1說明了本發(fā)明的第一個典型的實施方案�����;圖2說明了本發(fā)明的第二個典型的實施方案���;圖3說明了依據(jù)本發(fā)明被傳遞的第一組典型的安全關(guān)聯(lián)屬性�;圖4說明了依據(jù)本發(fā)明被傳遞的第二組安全關(guān)聯(lián)屬性�����;以及圖5說明了依據(jù)本發(fā)明��,通過使用加密與認(rèn)證技術(shù)進行安全關(guān)聯(lián)屬性信息的傳遞�����。
發(fā)明詳述為了更好地理解本發(fā)明��,以下的詳細(xì)描述要參考附圖,其中對本發(fā)明的優(yōu)選典型實施方案進行了圖解描述�����。此外�����,圖中用于標(biāo)識本發(fā)明關(guān)鍵單元的參考數(shù)字在整個描述中是一致的�。
本發(fā)明包含了一種在無線電信系統(tǒng)中,尤其在切換期間改善移動單元或移動終端(這里用“MU”表示)性能的技術(shù)��,其中MU從第一個固定單元(這里用“SUK”表示)斷開而連接到另一個固定單元(這里用“SUK+1”表示)����,其中SUK和SUK+1都屬于在一個公共安全政策控制下的公共管理網(wǎng)絡(luò)域。本發(fā)明是通過重新使用一個或更多個先前建立的安全關(guān)聯(lián)以支持MU和SUK+1之間新建的連接來實現(xiàn)上述技術(shù)的�����。通過重新使用這些先前建立的安全關(guān)聯(lián)���,每次MU在管理域內(nèi)改變它的連接點(如經(jīng)歷切換)時,MU和SUK+1不需要再進行花費時間的任務(wù)來重新協(xié)商安全關(guān)聯(lián)(這里用“SA”表示)�����。當(dāng)通信實體(如MU和SUK+1)顯示有低到中等的計算能力,且尤其是MU處于移動和頻繁經(jīng)歷切換時�����,本發(fā)明就顯得尤為重要�。
根據(jù)本發(fā)明,相對于被用來保護MU和各個SU之間的通信的SA�,與同一管理域相關(guān)并因此處于公共安全政策控制下的多個固定單元(SU)中的每一個都采用相同的方式進行管理。因此�����,如果且在MU被切換到與該管理域相關(guān)聯(lián)的其它SU之一時�����,這組建立在MU和屬于該管理域的多個SU中任何一個之間的SA能夠被任一其它SU重新使用����。如上所述,重新使用先前建立的SA將在不犧牲通信安全的條件下改善MU在切換期間的性能����。不過��,依賴于對MU性能的改善所期望的程度�����,在下面對本發(fā)明的兩個典型實施方案加以描述�。
根據(jù)本發(fā)明的第一個典型實施方案����,這里稱為部分的SA重新使用實施方案,每當(dāng)MU在管理域中被切換到另一個SU(即SUK+1)時�����,先前建立的因特網(wǎng)安全關(guān)聯(lián)和密鑰管理協(xié)議(ISAKMP)SA被重新使用�����。更具體而言��,當(dāng)MU第一次和管理域中的一個SU建立連接時����,用于建立ISAKMP SA的因特網(wǎng)密鑰交換(IKE)階段1的協(xié)商,和用于建立IPSECSA的IKE階段2的協(xié)商是根據(jù)因特網(wǎng)工程任務(wù)組(IETF)提出的各種標(biāo)準(zhǔn)執(zhí)行的。不過����,當(dāng)移動單元進行移動并被切換到另一個與同一管理域相關(guān)聯(lián)的SU(即SUK+1)時���,先前建立的ISAKMP SA就被MU和SUK+1重新使用�。盡管如此���,MU和SUK+1仍必須進行IKE階段2的協(xié)商����;即MU和SUK+1必須重新協(xié)商IPSECSA���。因為IKE階段1 SA的協(xié)商過程相對于IKE階段2的協(xié)商過程要花費多得多的時間�,所以重新使用ISAKMP SA能大大改善切換期間MU的性能�。
根據(jù)本發(fā)明的第二個典型實施方案,這里稱為全部SA重新使用的實施方案�����,先前建立的ISAKMPSA和先前建立的IPSECSA在每次MU經(jīng)歷從管理域中的一個SU(即SUK)向另一個SU(即SUK+1)切換時都被重新使用��。如上所述,當(dāng)MU第一次與管理域中的一個SU連接時�����,ISAKMP SA和IPSECSA分別按照IKE階段1和IKE階段2的協(xié)商過程進行建立���。不過�,與上面描述的部分SA重新使用實施方案不同的是�����,隨后進行的切換導(dǎo)致了先前建立的ISAKMP SA和先前建立的IPSECSA都被重新使用����。這樣,避免了整個含有階段1和階段2的IKE SA協(xié)商過程�。因此,MU與SUK+1彼此之間在ISAKMPSA和IPSECSA從SUK被傳遞到SUK+1后幾乎立刻就能開始通信��。從而使切換過程以無縫或近于無縫的方式完成��。
一般而言��,全部SA重新使用實施方案與部分SA重新使用實施方案相比�,能為MU在切換期間提供更多的性能增強���。那是因為MU和SUK+1不需要重新協(xié)商任何SA。那么為什么網(wǎng)絡(luò)管理員可能優(yōu)先選擇執(zhí)行部分SA重新使用實施方案而不是全部SA重新使用實施方案呢���?一個原因可能是網(wǎng)絡(luò)管理員不希望與一個管理域相關(guān)聯(lián)的各個SU共享由IPSECSA所規(guī)定的相同會話密鑰(即加密與認(rèn)證密鑰)����。例如�,如果所有與管理域相關(guān)聯(lián)的SU共享相同的會話密鑰��,且僅僅其中的一個SU被損害時�,攻擊者便有可能危及MU與管理域相關(guān)聯(lián)的任何一個SU之間的通信安全。
如上所述�,一個特定的IPSECSA是由一個結(jié)合了目的IP地址和一個特定安全協(xié)議(如認(rèn)證頭標(biāo)協(xié)議或封裝安全凈荷協(xié)議)的安全參數(shù)索引(SPI)唯一標(biāo)識的。這樣����,為了重新使用IPSECSA,管理域中的所有SU需要一個公共IP地址���。依照全部SA重新使用實施方案�,這個公共IP地址可以作為一個別名IP地址被分配給每個SU��。但是,在某種特定的情況下�,網(wǎng)絡(luò)管理員可能不希望給每個SU分配一個公共IP地址。如果是這種情況�����,網(wǎng)絡(luò)管理員很可能寧愿選擇部分SA重新使用實施方案而不是全部SA重新使用實施方案��。
當(dāng)MU從一個SU(如SUK)被切換到另一個SU(如SUK+1)時����,取決于使用的是部分SA重新使用實施方案還是全部SA重新使用實施方案,對應(yīng)于ISAKMP SA的SA屬性和對應(yīng)于IPSECSA的SA屬性必須由SUK被傳遞到SUK+1�。這種由SUK向SUK+1進行的SA屬性的傳遞可根據(jù)多種典型技術(shù)中的任何一種來實現(xiàn)。
圖1描述了一種被稱作直接傳遞技術(shù)的這樣的技術(shù)����。依照這種直接傳遞技術(shù),MU101經(jīng)歷由SUK105到SUK+1110的切換��,如標(biāo)記為“1”的方向箭頭所示�。接著,SUK+1110通過發(fā)送一個SA請求消息與SUK105取得聯(lián)系���,如標(biāo)記為“2”的方向箭頭所示��。這個SA請求消息特別用來請求那些與MU101相關(guān)聯(lián)的SA����。因此,該SA請求消息必須含有一個用于MU 101的標(biāo)識碼���。然后��,SUK105通過向SUK+1110發(fā)送合適的SA屬性來響應(yīng)SA請求消息���,如標(biāo)記為“3”的方向箭頭所示����。
除了以上描述的步驟以外,圖1中所描述的直接傳遞技術(shù)也可能包含驗證SUK屬于與SUK+1相同管理域的步驟��。為了實現(xiàn)這一步��,每個與管理域相關(guān)聯(lián)的SU可以維護一張含有與管理域相關(guān)聯(lián)的所有IP地址的列表���。于是�����,SUK+1便能夠通過簡單地檢查以查看SUK關(guān)聯(lián)的IP地址是否在列表上來進行所需的驗證���?��;蛘撸绻芾碛蛳鄳?yīng)于IP網(wǎng)絡(luò)或子網(wǎng)��,那么SUK+1可以簡單地比較SUKIP地址的網(wǎng)絡(luò)標(biāo)識部分和它自身IP地址的網(wǎng)絡(luò)標(biāo)識部分����。如果它們匹配,SUK+1就驗證了SUK實際上屬于相同的管理域����。如果SUK+1確定SUK不屬于相同的管理域,那么MU和SUK+1可能需要重新協(xié)商ISAKMP SA和IPSECSA����,除非在MU與SUK+1所屬的管理域相關(guān)聯(lián)的任一SU之間先前的連接過程中將與ISAKMPSA和IPSECSA相關(guān)聯(lián)的屬性例如存儲在圖2所示的數(shù)據(jù)庫中。
圖2描述了用于傳遞合適SA屬性的另一種可選技術(shù)�。這種可選技術(shù)在此稱為中間存儲技術(shù)。該中間存儲技術(shù)在由于網(wǎng)絡(luò)配置而使得SUK難以識別�����,或當(dāng)SUK與SUK+1之間難以進行或不希望進行直接通信時可能更為可取。依照這種可選技術(shù)��,如圖2所示���,MU 201經(jīng)歷由SUK205到SUK+1210的切換�����,如標(biāo)記為“1”的方向箭頭所示��。在切換之前或同時�,或者如果有必要的話�����,在切換之后���,SUK把與MU 201相關(guān)的合適SA傳給數(shù)據(jù)庫(DBS)215,如標(biāo)記為“2”的方向箭頭所示���。然后��,SUK+1210向DBS 215發(fā)送一個SA請求消息��,如標(biāo)記為“3”的方向箭頭所示�。同直接傳遞技術(shù)一樣,該SA請求消息包含一個用于特別標(biāo)識MU 201的標(biāo)識碼�。因此,DBS 215能夠通過向SUK+1210發(fā)送與MU 201相關(guān)聯(lián)的合適SA來響應(yīng)SA請求消息���,如標(biāo)記為“4”的方向箭頭所示��。
正如本領(lǐng)域的技術(shù)人員易于理解的�����,SA包含有敏感信息(如會話密鑰)�。因此���,對使用直接傳遞或中間存儲技術(shù)從SUK向SUK+1傳遞的SA信息應(yīng)該進行保護�����。所以����,可以使用加密與認(rèn)證機制以保證這種敏感信息的機密性和可靠性���。
圖3更具體地描述了如果使用部分SA重新使用實施方案��,可能由SUK傳遞給SUK+1的SA屬性����。如圖解所示,SUK105在接收到來自SUK+1110的SA請求消息時�����,如標(biāo)記為“2”的方向箭頭所示��,向SUK+1110發(fā)送一個響應(yīng)消息305�����,其中響應(yīng)消息305包含了定義以下ISAKMP SA屬性必要的信息ISAKMP SA生存期��;ISAKMP會話密鑰��,包括用于認(rèn)證的ISAKMP會話密鑰和用于加密的ISAKMP會話密鑰����;導(dǎo)出IPSEC會話密鑰所必需的生成密鑰的材料�;用于生成初始向量的最后IKE階段1CBC(即����,密碼決鏈接)輸出塊�,該初始向量進而又為第一個IKE階段2消息的加密所需。盡管圖3所示的SA屬性是根據(jù)上述的直接傳遞技術(shù)進行傳遞的�����,但對本領(lǐng)域技術(shù)人員而言很容易理解到�,SA屬性的傳遞也可以選擇使用中間存儲技術(shù)。
除了圖3所示的SA屬性外�,圖4描述了如果使用全部SA重新使用實施方案,可能由SUK105傳遞到SUK+1110的SA屬性�����。如圖4所示����,根據(jù)標(biāo)記為“2”的方向箭頭所指明的,SUK105在接收到來自于SUK+1110的SA請求消息時向SUK+1110發(fā)送一個響應(yīng)消息405����,其中,響應(yīng)消息405包含了用于定義上述圖3所指明的ISAKMP SA屬性的必要信息,以及定義以下IPSECSA屬性的必要信息IPSECSA生存期�����;被使用的IPSEC協(xié)議�����,即認(rèn)證頭標(biāo)和/或封裝安全凈荷協(xié)議�����;IPSEC協(xié)議模式���,即傳輸模式或隧道模式��;安全參數(shù)索引�;IPSEC會話密鑰�����,包括用于認(rèn)證與加密的會話密鑰及它們各自的算法���;切換前的最后CBC輸出塊,它是用來作為切換后第一個IP分組加密的初始向量;以及序列號值�,根據(jù)認(rèn)證頭標(biāo)協(xié)議或封裝安全凈荷協(xié)議,僅在切換前將該值加1���,并以此作為切換后用于抗中繼檢測目的的序列號初始值�����。與圖3的情況一樣����,圖4中SA屬性的傳遞也是按照上述的直接傳遞技術(shù)完成的�。不過,應(yīng)當(dāng)理解為該SA屬性也可按照上述的中間存儲技術(shù)來傳遞���。
如前所述����,MU第一次與給定管理域中的任何一個SU連接時���,必須完成IKE階段1協(xié)商和IKE階段2協(xié)商�����,由此分別建立ISAKMPSA與IPSECSA�����。不過�,根據(jù)本發(fā)明的另一方面,與ISAKMP SA和IPSECSA相關(guān)聯(lián)的SA屬性可被存儲一個時間周期��,例如���,一個時間周期可分別等于ISAKMP SA的生存期和IPSECSA生存期���。SA屬性可以存儲在數(shù)據(jù)庫中,例如圖2所示的數(shù)據(jù)庫215��。如果MU例如通過切換到一個不與管理域相關(guān)聯(lián)的SU上而與管理域去掉了關(guān)聯(lián)���,然后在上述時間周期到期之前�,MU又例如通過切換回與管理域相關(guān)聯(lián)的SU而與管理域重新關(guān)聯(lián)���,那么則通過存儲SA屬性就可以避免MU重新協(xié)商ISAKMP SA和IPSECSA�����。根據(jù)本發(fā)明的這一點��,在MU被連接到SUK時和它被連接到SUK+1時之間的過渡期間里�,MU如果不是被切換到與另一個管理域相關(guān)聯(lián)的SU這種情況���,那么向SUK+1進行SA屬性的傳遞可以采用與圖2所述的中間存儲技術(shù)大致相同的方式來實現(xiàn)�����。
圖5描述了根據(jù)本發(fā)明的示范實施方案傳遞SA屬性控制消息的過程�����,它使用加密與認(rèn)證技術(shù)來保護傳送期間的SA屬性����。盡管圖5所示的過程包含了參考附圖2所述的中間存儲技術(shù)時���,本領(lǐng)域技術(shù)人員將容易理解到相似的過程也可應(yīng)用于直接傳遞技術(shù)�����,如參考附圖1所述�。
圖5描述的過程最初是由MU經(jīng)歷從固定單元SUK到固定單元SUK+1的切換過程開始的,如標(biāo)記為“1”的方向箭頭所示���,其中SUK和SUK+1都與相同的管理域相關(guān)聯(lián)�。因此SUK和SUK+1從屬于同一安全政策�����。接著�����,在切換過程期間的某些時刻上��,SUK向DBS傳遞SA屬性控制消息�,如標(biāo)記為“2”的方向箭頭所示。如圖所示��,SA屬性控制消息包含了一個MU標(biāo)識碼(IDMU)�;使用加密密鑰KSA加密過的SA屬性(ENCKSA);時間標(biāo)記(T)和哈希值(HASHKDB)����。MU標(biāo)識碼(IDMU)的作用是標(biāo)識與MU相關(guān)的SA屬性(即ENCKSA)。時間標(biāo)記(T)的作用是通知DBS自從SUK發(fā)送SA控制消息以來已過去的時間段�。如果一個有效的時間周期已經(jīng)過去�����,DBS可以設(shè)計成拒絕SA屬性控制消息以保護防止未授權(quán)的重放�。盡管MU標(biāo)識碼(IDMU)和時間標(biāo)記(T)通常沒有被加密���,但SA屬性采用加密密鑰KSA進行加密,該加密密鑰被每個與管理域相關(guān)聯(lián)的SU所共享�。哈希值(HASHKDB)用于認(rèn)證目的,它通過使用認(rèn)證密鑰KDB獲得�,并且作為MU標(biāo)識碼(IDMU)、SA屬性(ENCKSA)和時間標(biāo)記(T)的函數(shù)�����。如同加密密鑰KSA一樣����,認(rèn)證密鑰KDB也是為每一個與管理域相關(guān)聯(lián)的SU所共享。此外���,它還被DBS共享����。
如上所述,SUK向DBS傳送的SA屬性控制消息包括MU標(biāo)識碼(IDMU)��、加密的SA屬性(ENCKSA)�、時間標(biāo)記(T)和哈希值(HASHKDR)。當(dāng)收到SA屬性控制消息時����,,DBS要基于認(rèn)證的密鑰KDB重新計算作為MU標(biāo)識碼(IDMU)����、SA屬性(ENCKSA)及時間標(biāo)記(T)的被接收數(shù)值的一個函數(shù)的哈希值。然后DBS將重新計算的哈希值與收到的哈希值進行比較�����。如果兩個值相等(即如果兩個值匹配)��,DBS便對SUK進行認(rèn)證����,并接受SA屬性控制消息。接著DBS將加密的SA屬性(ENCKSA)連同MU標(biāo)識碼(IDMU)一起進行存儲��。
進一步根據(jù)圖5所述的過程,SUK+1現(xiàn)在向DBS發(fā)送了一個SA屬性請求消息���,如標(biāo)記為“3”的方向箭頭所示�,其中SA屬性請求消息包含有MU標(biāo)識碼(IDMU)��。作為響應(yīng)����,DBS向SUK+1傳送對應(yīng)于包含在SA屬性請求消息中的MU標(biāo)識碼(IDMU)的加密SA屬性(ENCKSA)。通過在SA屬性(ENCKSA)中使用加密密鑰KSA�����,SUK+1能夠解密該加密SA屬性�。
本發(fā)明已就優(yōu)選實施方案進行了描述����。不過對于本領(lǐng)域技術(shù)人員而言將很容易意識到,在不脫離本發(fā)明的精神的前提下���,有可能使用有別于以上所述的其它方式來實現(xiàn)本發(fā)明���。該優(yōu)選實施方案是以圖例的形式進行描述,不應(yīng)被認(rèn)為有任何形式的限制�。本發(fā)明的范圍由所附的權(quán)利要求給出�����,而不在前面的描述中給出�����,落入權(quán)利要求范圍內(nèi)的所有變化和等同的情況都被規(guī)定為包含在權(quán)利要求中�。
權(quán)利要求
1.一種在無線電信系統(tǒng)中用于實現(xiàn)移動單元從第一個固定單元到第二個固定單元的切換的方法�,該方法包括的步驟有使移動單元從第一個固定單元斷開;使移動單元連接到第二個固定單元��;以及重新使用現(xiàn)有的安全關(guān)聯(lián)以支持移動單元與第二個固定單元間的連接��,其中該現(xiàn)有的安全關(guān)聯(lián)以前曾用于支持移動單元與第一個固定單元間的連接���。
2.權(quán)利要求1的方法進一步包括步驟從第一個固定單元向第二個固定單元傳遞與安全關(guān)聯(lián)相關(guān)的多個安全關(guān)聯(lián)屬性���。
3.權(quán)利要求2的方法,其中安全關(guān)聯(lián)屬性從第一個固定單元被直接傳遞給第二個固定單元��。
4.權(quán)利要求2的方法�����,其中從第一個固定單元向第二個固定單元傳遞與安全關(guān)聯(lián)相關(guān)的多個安全關(guān)聯(lián)屬性的步驟包括的步驟有從第一個固定單元向數(shù)據(jù)存儲實體傳遞該多個安全關(guān)聯(lián)屬性;以及從數(shù)據(jù)存儲實體向第二個固定單元傳遞該多個安全關(guān)聯(lián)屬性����。
5.權(quán)利要求4的方法,其中該數(shù)據(jù)存儲實體是一個可被第二個固定單元訪問的數(shù)據(jù)庫�。
6.權(quán)利要求2的方法進一步包括步驟在進行從第一個固定單元向第二個固定單元傳遞多個安全關(guān)聯(lián)屬性的步驟之前,使用第一個和第二個固定單元所共享的加密密鑰為多個安全關(guān)聯(lián)屬性加密����。
7.權(quán)利要求1的方法,其中現(xiàn)有的安全關(guān)聯(lián)是ISAKMP安全關(guān)聯(lián)�。
8.權(quán)利要求1的方法,其中現(xiàn)有的安全關(guān)聯(lián)是IPSEC安全關(guān)聯(lián)�����。
9.權(quán)利要求1的方法��,其中第一個固定單元和第二個固定單元都與一個公共管理域相關(guān)聯(lián)��,這使得第一個固定單元和第二個固定單元都從屬于一個公共安全政策����。
10.權(quán)利要求9的方法,其中第一個固定單元和第二個固定單元共享一個公共IP地址����。
11.一種在無線電信系統(tǒng)中用于實現(xiàn)移動單元從第一個固定單元到第二個固定單元的切換的方法,該方法包括的步驟有使移動單元從第一個固定單元斷開���;使移動單元連接到第二個固定單元�;以及重新使用現(xiàn)有的安全關(guān)聯(lián)以支持移動單元與第二個固定單元間的連接�����,其中該現(xiàn)有的安全關(guān)聯(lián)以前曾用于保證移動單元與第三個固定單元間連接的安全通信�,以及其中,第三個固定單元和第二個固定單元與使用公共安全政策的第一個管理域相關(guān)聯(lián)�����。
12.權(quán)利要求11的方法進一步包括步驟從第三個固定單元向第二個固定單元傳遞一組與現(xiàn)有的安全關(guān)聯(lián)相關(guān)的安全關(guān)聯(lián)屬性����。
13.權(quán)利要求11的方法,其中從第三個固定單元向第二個固定單元傳遞一組與現(xiàn)有安全關(guān)聯(lián)相關(guān)的安全關(guān)聯(lián)屬性的步驟包含的步驟有從第三個固定單元向一個存儲位置傳遞安全關(guān)聯(lián)屬性���;以及由存儲位置向第二個固定單元傳遞安全關(guān)聯(lián)屬性��。
14.權(quán)利要求13的方法����,其中該存儲位置位于與第三個固定單元和第二個固定單元所屬的第一個管理域相關(guān)聯(lián)的數(shù)據(jù)庫中。
15.權(quán)利要求11的方法����,其中第一個固定單元與第二個管理域相關(guān)聯(lián)。
16.一種在無線電信網(wǎng)絡(luò)中用于重新使用安全關(guān)聯(lián)使得移動單元易于在與一個公共管理域相關(guān)聯(lián)的固定單元間進行切換的方法��,其中所有與公共管理域相關(guān)聯(lián)的固定單元都從屬于同一安全政策����,該方法包括的步驟有為移動單元和與公共管理域相關(guān)聯(lián)的第一個固定單元間的連接協(xié)商第一個安全關(guān)聯(lián);使移動單元從第一個固定單元斷開���;使移動單元連接到公共管理域相關(guān)聯(lián)的第二個固定單元����;從第一個固定單元向第二個固定單元傳遞對應(yīng)第一個安全關(guān)聯(lián)的第一組安全關(guān)聯(lián)屬性����;以及使用第一個安全關(guān)聯(lián)來保證移動單元與第二個固定單元間連接的安全通信���。
17.權(quán)利要求16的方法��,其中協(xié)商第一個安全關(guān)聯(lián)的步驟包括的步驟有根據(jù)IKE階段1協(xié)商過程建立ISAKMP安全關(guān)聯(lián)���。
18.權(quán)利要求17的方法進一步包括的步驟有根據(jù)IKE階段2協(xié)商過程�����,為移動單元與第一個固定單元之間的連接協(xié)商第二個安全關(guān)聯(lián)�����;從第一個固定單元向第二個固定單元傳遞對應(yīng)第二個安全關(guān)聯(lián)的第二組安全關(guān)聯(lián)屬性����;以及結(jié)合第一個安全關(guān)聯(lián)來使用第二個安全關(guān)聯(lián)進一步保證移動單元與第二個固定單元間連接的安全通信���。
19.權(quán)利要求17的方法����,其中第二個安全關(guān)聯(lián)是一個IPSEC認(rèn)證頭標(biāo)協(xié)議安全關(guān)聯(lián)�。
20.權(quán)利要求18的方法,其中第二個安全關(guān)聯(lián)是一個IPSEC封裝安全凈荷協(xié)議安全關(guān)聯(lián)��。
21.一種在無線電信系統(tǒng)中用于實現(xiàn)移動單元從第一個固定單元到第二個固定單元的切換的裝置,該裝置包括用于使移動單元從第一個固定單元斷開的裝置���;用于使移動單元連接到第二個固定單元的裝置��;以及用于重新使用現(xiàn)有的安全關(guān)聯(lián)以支持移動單元與第二個固定單元間連接的裝置��,其中該現(xiàn)有的安全關(guān)聯(lián)以前曾用于支持移動單元與第一個固定單元間的連接����。
22.權(quán)利要求20的裝置進一步包括用于從第一個固定單元向第二個固定單元傳遞多個與安全關(guān)聯(lián)相關(guān)的安全關(guān)聯(lián)屬性的裝置����。
23.權(quán)利要求22的裝置,其中安全關(guān)聯(lián)屬性從第一個固定單元被直接傳遞給第二個固定單元���。
24.權(quán)利要求22的裝置�����,其中用于從第一個固定單元向第二個固定單元傳遞多個與安全關(guān)聯(lián)相關(guān)的安全關(guān)聯(lián)屬性的裝置包括用于從第一個固定單元向一個數(shù)據(jù)存儲實體傳遞該多個安全關(guān)聯(lián)屬性的裝置�����;以及用于從數(shù)據(jù)存儲實體向第二個固定單元傳遞該多個安全關(guān)聯(lián)屬性的裝置�。
25.權(quán)利要求24的裝置��,其中數(shù)據(jù)存儲實體是一個可被第二個固定單元訪問的數(shù)據(jù)庫���。
26.權(quán)利要求22的裝置進一步包含在從第一個固定單元向第二個固定單元傳遞多個安全關(guān)聯(lián)屬性之前����,用于為該多個安全關(guān)聯(lián)屬性加密的裝置��,其中用于為該多個安全關(guān)聯(lián)屬性加密的裝置使用由第一個固定單元和第二個固定單元所共享的加密密鑰�。
27.權(quán)利要求21的裝置,其中現(xiàn)有的安全關(guān)聯(lián)是ISAKMP安全關(guān)聯(lián)�����。
28.權(quán)利要求21的裝置�,其中現(xiàn)有的安全關(guān)聯(lián)是IPSEC安全關(guān)聯(lián)。
29.權(quán)利要求21的裝置��,其中第一個固定單元和第二個固定單元都與一個公共管理域相關(guān)聯(lián)�����,這使得第一個固定單元和第二個固定單元都從屬于一個公共安全政策���。
30.權(quán)利要求29的裝置����,其中第一個固定單元和第二個固定單元共享一個公共IP地址。
31.一種在無線電信系統(tǒng)中用于實現(xiàn)移動單元從第一個固定單元到第二個固定單元的切換的裝置���,該裝置包括用于使移動單元從第一個固定單元斷開的裝置�����;用于使移動單元連接到第二個固定單元的裝置����;以及用于重新使用現(xiàn)有的安全關(guān)聯(lián)以支持移動單元與第二個固定單元間的連接的裝置��,其中該現(xiàn)有的安全關(guān)聯(lián)以前曾用于保證移動單元與第三個固定單元間連接的安全通信�,且其中第三個固定單元和第二個固定單元都與使用公共安全政策的第一個管理域相關(guān)聯(lián)。
32.權(quán)利要求31的裝置進一步包括用于從第三個固定單元向第二個固定單元傳遞一組與現(xiàn)有安全關(guān)聯(lián)相關(guān)的安全關(guān)聯(lián)屬性的裝置��。
33.權(quán)利要求31的裝置����,其中用于從第三個固定單元向第二個固定單元傳遞該組與現(xiàn)有安全關(guān)聯(lián)相關(guān)的安全關(guān)聯(lián)屬性的裝置包括用于從第三個固定單元向存儲位置傳遞該安全關(guān)聯(lián)屬性的裝置;以及用于從存儲位置向第二個固定單元傳遞該安全關(guān)聯(lián)屬性的裝置。
34.權(quán)利要求33的裝置���,其中該存儲位置位于與第三個固定單元和第二個固定單元所屬的第一個管理域相關(guān)聯(lián)的數(shù)據(jù)庫中����。
35.權(quán)利要求31的裝置�,其中第一個固定單元與第二個管理域相關(guān)聯(lián)�。
全文摘要
在一個無線電信系統(tǒng)中,通過重新使用對應(yīng)某移動單元的現(xiàn)有的安全關(guān)聯(lián),可使該移動單元在切換過程中的性能得到明顯改善。通過重新使用現(xiàn)有的安全關(guān)聯(lián),移動單元在切換之后能立即開始進行安全通信��。否則,依照慣例,移動單元在其能夠開始傳送和接收安全通信前將不得不花時間承擔(dān)重新協(xié)商所需的安全關(guān)聯(lián)的任務(wù)�。
文檔編號H04L29/06GK1337134SQ0080262
公開日2002年2月20日 申請日期2000年1月7日 優(yōu)先權(quán)日1999年1月8日
發(fā)明者M·林曼, D·杰雷斯塔姆, Y·程, L·比魯普 申請人:艾利森電話股份有限公司