專利名稱:安全快速切換的方法及系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及移動通信技術(shù),特別是涉及一種安全快速切換的方法及系統(tǒng)����。
技術(shù)背景移動IP第6版本(MIPv6, Mobile IP version 6 )協(xié)議是互聯(lián)網(wǎng)工程任務(wù)組 (IETF, Internet Engineering Task Force)提出的移動解決方案,該方案可以 使移動節(jié)點(MN, Mobile Node )在移動過程中保持通信不被中斷�����,但同時也 帶來了切換延遲和安全等問題���。MN在切換過程中存在無法確定發(fā)送或接收數(shù)據(jù)包的時期����,這段時間被稱 為切換延遲。導(dǎo)致切換延遲的主要原因有鏈路切換存在延遲�����,以及MIPv6協(xié) 議的操作過程�����,例如移動檢測�����、新的轉(zhuǎn)交地址(CoA, Care-of Address)配置��、 綁定更新等��。在實時應(yīng)用(例如IP承載語音VoIP)中��,切換延遲經(jīng)常是不能 接受的����。正TF的MIP工作組中定義了快速移動IP (FMIP, Fast Mobile IP )協(xié)議�, 其根本思想是對相關(guān)信息進行預(yù)配置,從而降低切換延遲,改善切換性能���。在FMIP協(xié)議中����,主要定義了兩種類型的切換����,分別是預(yù)測(Predictive) 型切換和反應(yīng)(Reactive)型切換。對于預(yù)測型切換�����,MN在移動過程中預(yù)測到即將進行的切換��,并將其告知 原4妄入路由器(PAR, Previous Access Router)���。該PAR通過與新4妄入^各由器 (NAR, New Access Router )或者目標網(wǎng)絡(luò)的接入路由器(AR, Access Router) 之間的交互��,獲得該MN在NAR下使用新的CoA�,從而避免了地址配置過程 導(dǎo)致的延遲�。同時,在切換過程中MN發(fā)送到PAR的數(shù)據(jù)包�����,被PAR通過隧道模式發(fā)送到NAR進行緩沖,保證了 MN在切換到新的鏈路后即可接收數(shù)據(jù) 包���,且避免數(shù)據(jù)包的丟失���。如果MN移動的速度過快,MN來不及在舊鏈路上完成獲得新的CoA的 交互過程���,該MN就已經(jīng)到達新的鏈5^,這種情況下的切換稱為反應(yīng)型切換�。 上述反應(yīng)型切換雖然不能降低切換延遲����,但是可以避免由于切換導(dǎo)致的丟包 現(xiàn)象。目前��,MN和AR使用認證�、授權(quán)和計費(AAA, Authentication, Authorization and Accounting)服務(wù)器建立安全聯(lián)盟的技術(shù)方案�,該方案并沒 有將上述兩種切換應(yīng)用到FMIP協(xié)議中,也就是說��,在切換過程中���,通過切換 密鑰(HK�����, Handover Key)來保證消息的完整性�����,并在FMIP協(xié)議的保護下完 成MN和NAR之間的公共密鑰交換�����,從而生成共享密鑰的方案并沒有得到實 際應(yīng)用����。下面分別描述切換密鑰、預(yù)測模式下快速切換和反應(yīng)模式下快速切換的 實現(xiàn)過程�。利用AAA輔助的密鑰管理協(xié)議來生成MN和AR之間的HK,該HK用 于保護FMIP協(xié)議的信令消息�。因此,該密鑰管理協(xié)議指定了 MN和AR之間 的消息交換和必要的前提假設(shè)���。該協(xié)議假設(shè)切換主密鑰(HMK���, Handover Master Key)在MN和AAA服務(wù)器之間共享�����,并且AR和AAA服務(wù)器之間 已有安全聯(lián)盟存在���。在此假設(shè)之下,如圖1所示為現(xiàn)有技術(shù)中切換密鑰生成 流程示意圖���,具體包括如下步驟步驟101:首先����,MN根據(jù)HMK生成一個切換完整性密鑰(HIK, Handover Integrity Key),公式為HIK = gprf + (HMK, "Handover Integrity Key");然 后����,MN發(fā)送切換密鑰請求(即HKReq)消息給AR,該消息攜帶消息ID���、偽隨機函數(shù)����、CoA�����、 MN產(chǎn)生的隨機數(shù)noncel����、 MN ID和使用HIK生成的消 息認證石馬(MAC, Message Authentication Code )。步驟102: AR接收到上述HK Req消息后�,將該消息通過AAA協(xié)議打包 成認證、授權(quán)和計費請求(即AAA Request)消息轉(zhuǎn)發(fā)給AAA服務(wù)器���。步驟103: AAA服務(wù)器接收到該AAA Request消息后�,使用HIK生成的 MAC進行正確性驗證��。如果該消息的MAC不正確��,則AAA服務(wù)器返回-驗 證失敗的消息�;否則,AAA服務(wù)器發(fā)送校驗成功的認證����、授權(quán)和計費響應(yīng)(即 AAA Response)消息給AR,該消息攜帶AAA服務(wù)器生成的HK和生成該 HK時AAA服務(wù)器產(chǎn)生的隨機數(shù)nonce2�。其中,HK的生成公式為HK = gprf + (固K,顧nonce | AAA nonce |顧ID | AR ID | "Handover Key��,���,)��。步驟104:該AR接收到校驗成功的AAA Response消息后�����,截取該消息 攜帶的HK�,再將該消息的其余部分打包成切換密鑰響應(yīng)(即HKResp )消息, 并發(fā)送給MN��,該HKResp消息還攜帶有消息ID (與HKReq中一致)�����、偽隨 機函數(shù)���、校驗成功狀態(tài)信息��、安全參數(shù)索引(SPI, Security Parameter Index) 和4吏用HK生成的MAC�����。如圖2所示為現(xiàn)有技術(shù)中預(yù)測模式快速切換流程示意圖�����,具體包括如下 步驟步驟201: MN發(fā)送快速綁定更新(FBU, Fast Binding Update )消息給PAR, 該消息攜帶MN公共密鑰(PK, Public Key)和HK Req消息���,該HK Req消息 使用MN和PAR之間的共享密鑰HK生成的MAC進行保護。步驟202: PAR接收到該FBU消息后���,首先使用HK生成的MAC進行 正確性-險i正�,如果-瞼i正通過��,則PAR發(fā)送切換發(fā)起(HI, Handover Initiate) 消息向NAR���,該消息攜帶的HK R叫消息中包含MN PK�。步驟203: NAR從接收到的HI消息中獲取MN PK,并生成攜帶NAR PK 的HK Resp消息����,然后通過切換確i人(HAck, Handover Acknowledgement)消 息發(fā)送給PAR。步驟204: PAR在4妻收到的HK Resp消息中添加用HK生成的MAC,并 通過快速綁定確i人(FBAck, Fast Binding Acknowledgement)發(fā)送給MN���。步驟205: MN對接收到的FBAck消息的MAC進行正確性驗證���,如果 驗證通過,則MN采用非對稱密鑰機制�����,即使用MNPK和NARPK生成共享 密鑰。當MN進入NAR所在的新鏈路時���,MN發(fā)送快速鄰居7>告(FNA, Fast Neighbor Advertisement)消息給NAR,該消息使用上述共享密鑰生成的MAC 進行保護��,乂人而MN完成由PAR到NAR的切換�。如圖3所示為現(xiàn)有技術(shù)中反應(yīng)模式快速切換流程示意圖����,具體包括如下 步驟步驟301:如果上述預(yù)測模式的切換失敗,MN到達NAR所在的新鏈路 時���,發(fā)送FNA消息給NAR,該消息攜帶MNPK和HKR叫����。步驟302: NAR接收到該FNA消息后�,通過FBU消息把HK Req發(fā)送給 PAR,該消息還攜帶有NAR PK。步驟303: PAR接收到該FBU消息后����,檢查HKReq中的MAC,并發(fā)送 攜帶HK Resp的FBAck消息給NAR,該消息還攜帶有NAR PK。步驟304: NAR接收到該HKResp消息后,將該消息轉(zhuǎn)發(fā)給MN���。此時���, MN完成由PAR到NAR的切換�����。由上述公開的技術(shù)方案可知�,現(xiàn)有技術(shù)還存在以下缺陷這種不對稱的密鑰生成機制與現(xiàn)有機制的區(qū)別較大,不利于實施�;同時,生成該共享密鑰的計算量較大�,將消耗MN和AR的大量計算資源;2. 在切換過程中�����,AAA服務(wù)器對上述共享密鑰完全不可知�,不利于運營 商對MN切換的管理;3. 在現(xiàn)有預(yù)測模式的快速切換中���,如果MN沒有接收到PAR發(fā)送的FBAck 消息���,則無法進行切換�����,且浪費了 NAR對共享密鑰的計算資源���;4. 在現(xiàn)有反應(yīng)模式的快速切換中,安全問題將導(dǎo)致切換延遲���。發(fā)明內(nèi)容本發(fā)明實施例提供一種安全快速切換的方法及系統(tǒng)���,通過建立移動節(jié)點 與目標網(wǎng)絡(luò)的接入路由器之間的安全聯(lián)盟來保證安全的快速切換,減小切換 延遲����。本發(fā)明實施例提供一種安全快速切換的方法,上述方法包括步驟 在快速切換前����,建立移動節(jié)點與目標網(wǎng)絡(luò)的接入路由器NAR之間的安全 聯(lián)盟;在上述移動節(jié)點的快速切換過程中��,利用上述安全聯(lián)盟確保該移動節(jié)點 安全接入到上述NAR�。另外��,本發(fā)明實施例還提供一種安全快速切換的系統(tǒng)�����,上述系統(tǒng)包括安全聯(lián)盟建立單元�,用于在快速切換前�,建立移動節(jié)點與目標網(wǎng)絡(luò)的接 入路由器NAR之間的安全聯(lián)盟;安全保護執(zhí)行單元�����,用于在移動節(jié)點的快速切換過程中��,利用上述安全 聯(lián)盟保護該移動節(jié)點在快速切換過程中信令的信令交互���,并使該移動節(jié)點安 全接入到上述NAR。由上述方案可知���,本發(fā)明實施例在移動節(jié)點切換前�����,先建立移動節(jié)點與目標網(wǎng)絡(luò)的接入路由器之間的安全聯(lián)盟(比如共享切換密鑰�����、切換密鑰等)�����, 在切換到目標網(wǎng)路后��,利用上述安全聯(lián)盟確保上述移動節(jié)點安全接入到目標 網(wǎng)絡(luò)的接入路由器�����。即通過調(diào)整切換過程中密鑰生成所需的參數(shù)�����,實現(xiàn)對共 享密鑰的生成流程的優(yōu)化�����,從而降低安全機制對快速切換的影響�����,減小切換 延遲�����,同時保證切換過程在網(wǎng)絡(luò)的可控范圍內(nèi)。
圖1為現(xiàn)有技術(shù)中切換密鑰生成流程示意圖�; 圖2為現(xiàn)有技術(shù)中預(yù)測模式快速切換流程示意圖; 圖3為現(xiàn)有技術(shù)中反應(yīng)模式快速切換流程示意圖����; 圖4為本發(fā)明實施例安全快速切換的方法的流程圖; 圖5為本發(fā)明實施例一的預(yù)測模式快速切換流程示意圖��; 圖6為本發(fā)明實施例二的預(yù)測模式快速切換流程示意圖����; 圖7為本發(fā)明實施例三的反應(yīng)模式快速切換流程示意圖���; 圖8為本發(fā)明實施例四的預(yù)測模式快速切換流程示意圖�����; 圖9為本發(fā)明實施例五的預(yù)測模式快速切換流程示意圖����; 圖10為本發(fā)明實施例六的反應(yīng)模式快速切換流程示意圖���; 圖11為本發(fā)明實施例七的預(yù)測模式快速切換流程示意圖����; 圖12為本發(fā)明實施例八的預(yù)測模式快速切換流程示意圖。
具體實施方式
下面將結(jié)合本發(fā)明實施例中的附圖�����,對本發(fā)明實施例中的技術(shù)方案進行 清楚��、完整地描述�����,顯然��,所描述的實施例僅是本發(fā)明的一部分實施例����,而 不是全部的實施例?���;诒景l(fā)明中的實施例,本領(lǐng)域普通技術(shù)人員在沒有做出創(chuàng)造性勞動前提下所獲得的所有其他實施例�����,都屬于本發(fā)明保護的范圍。如圖4所示為本發(fā)明實施例安全快速切換的方法的流程圖�����,具體包括如下步驟步驟401:在快速切換前����,建立移動節(jié)點與目標網(wǎng)絡(luò)的接入路由器之間的 安全聯(lián)盟;步驟402:在該移動節(jié)點的快速切換過程中����,利用上述安全聯(lián)盟確保該移 動節(jié)點安全切換到該^接入3各由器。本發(fā)明實施例通過在切換過程中�,調(diào)整生成密鑰時所需的參數(shù),實現(xiàn)對 共享密鑰的生成流程的優(yōu)化����。如圖5所示為本發(fā)明實施例一的預(yù)測模式快速切換流程示意圖�。與現(xiàn)有 技術(shù)相比,本實施例中的MN在決定切換目標前與多個候選AR完成切換準 備��,具體包括如下步驟步驟501: MN獲取周圍接入點的標識(AP-ID, Access Point-Identifier )�, 然后向PAR發(fā)送請求代理路由公告(RtSolPr, Router Solicitation for Proxy Advertisement)消息��,以獲取與目標AP-ID對應(yīng)的AR-Info����。步驟502: PAR接收到上述RtSolPr消息后��,向MN發(fā)送代理路由公告 (PrRtAdv, Proxy Router Advertisement)消息����,其中包含與目標AP-ID對應(yīng)的 AR-Info 。步驟503: MN接收到上述PrRtAdv消息后�,向NAR發(fā)送切換密鑰請求 (HK—REQ)消息,該消息攜帶的身份標識可以是移動節(jié)點的介質(zhì)訪問控制 層標識(MAC ID�, Media Access Control Identifier),或者網(wǎng)絡(luò)接入標識符(NAI, Net Access Identifier )。該消息使用MN和AAA之間的原安全聯(lián)盟來進行完整 性保護�����。上述HK—REQ消息發(fā)送至NAR的方式有以下三種 1 .用源地址作為原轉(zhuǎn)交地址(pCoA, previous Care-of Address )�、目的地址 為NAR地址的數(shù)據(jù)包方式發(fā)送,該方法可用于簡單IP網(wǎng)絡(luò)中����;2. 用嵌套互聯(lián)網(wǎng)(IP-in-IP )的方式發(fā)送,外部IP地址分別為MN的pCoA 和PAR地址,內(nèi)部IP地址分別為MN的pCoA和NAR地址���,該方法可用于 組播互聯(lián)網(wǎng)協(xié)議(MIP����, Multicast Internet Protocol)網(wǎng)絡(luò)中����;3. 用目的地址子頭表示IP包目的地的方式發(fā)送,IP頭的地址分別為MN 的pCoA和PAR地址�,PAR收到IP包后,根據(jù)目的地址子頭重新構(gòu)造IP包�, 并將其發(fā)往目的地址子頭表示的地址(即NAR地址),該方法可用于MIP網(wǎng) 絡(luò)中���。步驟504: NAR接收到上述HK—REQ消息后�����,通過認證授權(quán)請求(AA REQ)消息將其封裝�����,并轉(zhuǎn)發(fā)給AAA服務(wù)器。步驟505: AAA服務(wù)器接收到上述AAREQ消息后����,對其封裝的HK—REQ 消息的MAC正確性進行驗證�����,并將攜帶驗證結(jié)果的認證授權(quán)回應(yīng)(AARSP) 消息發(fā)送給NAR�。如果驗證通過�,則AA RSP消息中攜帶MN和NAR之間 的新切換密鑰(nHK, new Handover Key )。步驟506: NAR記錄該MN的身份標識和nHK,并向MN發(fā)送HK一RSP 消息��,通知MN已成功建立安全聯(lián)盟��。步驟507: MN決定進行快速切換時����,MN向PAR發(fā)送FBU消息,該消 息4吏用由MN與PAR共享的原切換密鑰(pHK, previous Handover Key)生成 的消息認證碼pHK—MAC來進行完整性保護����。步驟508: PAR對上述pHK—MAC的正確性進行驗證,如果驗證通過�, PAR與NAR完成HI消息和HAck消息的交互,并向MN發(fā)送攜帶pHK—MAC的FBAck消息�。步驟509: MN到達新的鏈路后,向NAR發(fā)送FNA消息,該消息中攜帶 MN的身份標識�����,并使用nHK生成MAC進行保護�。此時,MN完成由PAR 到NAR的快速切換過程�。由上述步驟可見,實施例一的技術(shù)方案可以分為兩個階段實現(xiàn)在MN 確定切換目標之前��,MN嘗試與PrRtAdv消息能夠提供對應(yīng)信息的所有NAR 進行密鑰交互過程����,再由NAR訪問AAA服務(wù)器完成安全聯(lián)盟的建立;在 MN確定切換目標之后����,MN用原安全聯(lián)盟保護FBU消息,用對應(yīng)的新安全 聯(lián)盟保護FNA消息����。可以理解的�,本發(fā)明實施例還可以進一步修改為在步驟503和步驟506 中添加MN與NAR對新轉(zhuǎn)交地址(nCoA, New Care-of Address )信息的配置。 由此可以確保PAR與NAR的HI/HAck交互消息中nCoA的唯一性��,從而避 免可能由nCoA沖突導(dǎo)致的切換延遲。圖6為本發(fā)明實施例二的預(yù)測模式快速切換流程示意圖��。本實施例的步 驟601至步驟602��、步驟607至步驟609與實施例一中的對應(yīng)步驟相同��,而步 驟603至步驟606與實施例一的對應(yīng)步驟區(qū)別如下步驟603: MN 4妄收到上述PrRtAdv消息后�����,向PAR發(fā)送切換密鑰請求 (HK—REQ)消息�����,該消息攜帶的身份標識可以是移動節(jié)點的介質(zhì)訪問控制 層標識(MAC ID�����, Media Access Control Identifier),或者網(wǎng)纟^4妄入標識符(NAI, Net Access Identifier )����。該消息使用MN和AAA之間的原安全聯(lián)盟來進行完整 性保護��。上述HK—REQ消息發(fā)送至NAR的三種方式���,同實施例一���,不再贅述�����。 步驟604: PAR接收到上述HK—REQ消息后�����,通過認證授權(quán)請求(AAREQ)消息將其封裝����,并轉(zhuǎn)發(fā)給AAA服務(wù)器��。步驟605: AAA服務(wù)器接收到上述AA REQ消息后��,對其封裝的HK—REQ 消息的MAC正確性進行驗證����,并將攜帶驗證結(jié)果的認證授權(quán)回應(yīng)(AARSP) 消息發(fā)送給PAR。如果驗證通過�����,則AARSP消息中攜帶MN和NAR之間的 新切換密鑰(nHK, new Handover Key )。步驟605�, AAA服務(wù)器發(fā)送AA RSP消息給NAR,該消息攜帶MN和 NAR之間的切換密鑰nHK。步驟606: PAR記錄該MN的身份標識和nHK�����,并向MN發(fā)送HK—RSP 消息��,通知MN已成功建立安全聯(lián)盟��。由上述步驟可見��,實施例二與實施例一的區(qū)別在于�,MN與NAR的密鑰 交互過程是通過MN間接與AAA服務(wù)器交互(通過PAR進行�����,而NAR未參 與)來完成的��,再由AAA服務(wù)器把為每個NAR生成的密鑰下發(fā)給各個NAR���。 因此���,當MN需要與多個NAR建立安全聯(lián)盟時����,MN與AAA服務(wù)器僅需完 成一次交互過程���,節(jié)約了信令開銷����。如果上述預(yù)測;漠式實施例所示的快速切換流程沒有順利完成�����,以實施例 一為例�����,即僅完成了第一階段安全聯(lián)盟的建立�����,而MN沒有來得及向PAR發(fā) 送FBU消息就已經(jīng)到達NAR所在的新鏈路����,那么,切換方式將由實施例一 中的預(yù)測才莫式轉(zhuǎn)換為反應(yīng)才莫式�����。圖7為本發(fā)明實施例三的反應(yīng)模式快速切換流程示意圖。本實施例是以 上述預(yù)測模式實施例的第一階段(即完成安全聯(lián)盟的建立)為基礎(chǔ)的�,由于 MN沒有在到達NAR所在的新鏈路之前向PAR發(fā)送FBU消息,因此轉(zhuǎn)入反 應(yīng)模式����,其具體步驟如下步驟701:畫向NAR發(fā)送主動鄰居7^告(UNA, Unsolicited NeighborAdvertisement)消息,該消息攜帶由nHK生成的MAC �。步驟702: MN發(fā)送FBU消息給PAR,該消息攜帶pCoA����,并使用由pHK 生成的MAC進行完整性保護,由于MN已到達NAR所在的新鏈路�����,因此���, 該消息可以用源地址為nCoA�、目的地址為PAR的IP消息發(fā)送���。步驟703: PAR接收到上述FBU消息后���,對pHK—MAC進行正確性驗證����, 并將攜帶該驗證結(jié)果的FBAck消息發(fā)送給MN���,由于MN已到達NAR所在 的新鏈^各��,因此�����,該消息可以用源地址為nCoA����、目的地址為MN的IP消息 發(fā)送���。同時�,PAR將發(fā)往pCoA的緩存數(shù)據(jù)通過IP-in-IP隧道轉(zhuǎn)發(fā)到MN的 nCoA��。圖8為本發(fā)明實施例四的預(yù)測模式快速切換流程示意圖��。與現(xiàn)有技術(shù)相 比,本實施例中��,在MN決定切換目標之前�����,PAR先獲取AAA服務(wù)器的隨機 數(shù)(AAAnonce),為后續(xù)的切換做好準備�����,具體包括如下步驟步驟801: PAR通過鏈路層觸發(fā)(例如正EE 802.21中的媒體無關(guān)切換中��, MN切換時的候選網(wǎng)絡(luò)查詢請求(MIH—MN—HO—Candidate—Query request)消 息)獲知MN將要發(fā)生切換��,但沒有明確的切換目標�����,此時��,PAR向AAA服 務(wù)器發(fā)送AAA REQ消息����,請求獲取AAA none"在實際應(yīng)用中,該步驟應(yīng)發(fā) 生在PrRtAdv消息發(fā)送之后�����,F(xiàn)BU消息發(fā)送之前。步驟802: AAA服務(wù)器收到AAAREQ消息后�����,將生成的AAARSP消息 發(fā)送給PAR,該消息攜帶AAA nonce及其對應(yīng)的AAA nonce Index, PAR收 到該消息后��,將從中提取出的AAA nonce及其對應(yīng)的AAA nonce Index保存 下來��。步驟803:當MN決定進行快速切換時�����,該MN發(fā)送FBU消息給PAR, 該消息攜帶請求AAA服務(wù)器生成nHK的nHK_Req,并使用pHK生成的MAC進行完整性保護�����。步驟804: PAR對該MN的MAC進行正確性驗證��,如果驗證通過�����,則 發(fā)送HI消息給NAR����,該消息攜帶nHK—Req和AAA nonce Index���。其中,該 HI消息必須加密保護�����,其具體的加密與現(xiàn)有技術(shù)相同����,在此不再贅述。步驟804����, PAR發(fā)送FBU的確認消息FAck給MN,該消息攜帶AAA nonce,并用pHK生成的MAC進行完整性保護。MN對該消息的MAC進行 正確性驗證�����,如果驗證通過���,則可利用如下公式生成nHK。HK = gprf+ (HMK ,畫nonce | AAA nonce|畫ID | AR ID | "Handover Key")步驟805����, NAR接收到上述HI消息后���,獲取該消息攜帶的nHK_Req, 并生成AAA REQ消息發(fā)送給AAA服務(wù)器����,該消息攜帶AAA nonce Index。 同時�����,在步驟805中����,NAR發(fā)送HAck消息給PAR。步驟806: PAR接收到上述HAck消息后�����,發(fā)送FBAck消息給MN����,并 使用pHK生成的MAC進行保護。步驟806����, AAA服務(wù)器接收到攜帶AAA nonce Index的AAA REQ消息 后����,通過該Index查詢到相應(yīng)的AAA nonce,并按步驟904中的公式生成nHK��, 然后發(fā)送攜帶nHK的AAA RSP消息給NAR�����。步驟807: MN到達NAR所在的新鏈路時���,發(fā)送FNA消息給NAR,該 消息使用nHK生成的MAC進行保護��。此時�,MN完成由PAR到NAR的快 速切換過程���。如果本實施例所示的快速切換流程沒有順利完成����,即MN沒有在到達 NAR所在的新鏈路之前向PAR發(fā)送FBU消息��,則轉(zhuǎn)入反應(yīng)模式�,具體實現(xiàn) 可參見本發(fā)明的實施例三。在本實施例中���,PAR預(yù)先向AAA獲取AAA的隨機數(shù)(nonce )���,并在 MN發(fā)送FBU之后通過一個確認消息返回AAA nonce參數(shù),從而讓MN可以 在沒有收到快速綁定確認FBAck的情況下生成新的切換密鑰����,完成切換流程。圖9為實施例五預(yù)測模式快速切換流程示意圖���。本發(fā)明實施例中�,MN決 定切換時�,與目標NAR完成臨時安全聯(lián)盟的建立,從而實現(xiàn)安全快速的切換��。MN決定進行切換之前的準備包括如下步驟首先�,MN與PAR根據(jù)現(xiàn)有技術(shù)的切換密鑰生成流程,生成HK;然后�,MN與PAR再分別派生出標準切換密鑰(SHK, Standard Handover Key)和臨時切換密鑰(THK, Temporary Handover Key),兩者的計算公式如 下SHK = gprf(HK,畫pCoAI PAR IP1 "normal handover key") THK = gprf (HK���, MN pCoA | NAR IP| "temporary handover key") 本實施例具體包括如下步驟步驟901: MN決定要進行快速切換時�����,MN向PAR發(fā)送FBU消息�,該 消息使用SHK生成的MAC進行完整性保護。步驟卯2: PAR接收到該FBU消息后�,對其MAC進行正確性驗證,如 果驗證通過����,則PAR向NAR發(fā)送HI消息,該消息攜帶THK�����。 HI消息必須 加密保護�����,其加密技術(shù)與現(xiàn)有技術(shù)相同����,此處不再贅述。步驟903: NAR接收到該HI消息后���,從該消息中提取THK�����,并發(fā)送HAck 消息給PAR�。步驟904: PAR接收到該HAck消息后�����,發(fā)送FBAck消息給MN,該消 息使用SHK生成MAC進行保護����。步驟905: MN到達NAR所在的新鏈路后,MN發(fā)送FNA消息給NAR,該消息4吏用THK生成的MAC進行保護�����。此時���,MN完成由PAR到NAR的 快速切換過程����。步驟906:切換過程結(jié)束后�����,MN或PAR立即通過現(xiàn)有4支術(shù)所示的切換 密鑰生成流程獲取新的SHK和THK,用于進行下一次切換。由上述步驟可知��,本實施例在現(xiàn)有切換密鑰生成技術(shù)的基礎(chǔ)上增加了 SHK與THK的密鑰生成層次�,其中,SHK用于建立MN和PAR之間的安全 聯(lián)盟��,THK由PAR傳給NAR����,用于建立MN和NAR之間的臨時安全聯(lián)盟。 上述兩個安全聯(lián)盟共同保證了本實施例中的MN從PAR安全的快速切換到 NAR���。如果本實施例所示的快速切換流程沒有順利完成�,即MN和PAR完成了 SHK和THK的計算過程�,但MN沒有來得及向PAR發(fā)送FBU消息就已經(jīng)到 達NAR所在的新鏈路,那么�����,切換方式將由實施例五中的預(yù)測模式轉(zhuǎn)換為相 應(yīng)的反應(yīng)纟莫式����。圖IO為本發(fā)明實施例六的反應(yīng)模式快速切換流程示意圖。本實施例包括 如下步驟步驟1001: MN向NAR發(fā)送UNA消息?�?蛇x的�,該消息可以利用THK 生成的MAC進行完整性保護。步驟1002: MN發(fā)送FBU消息給PAR,該消息攜帶pCoA,并使用pHK 生成的MAC進行完整性保護�,由于MN已到達NAR所在的新鏈路,因此���, 該消息可以用源地址為nCoA、目的地址為PAR的IP消息發(fā)送�。步驟1003: PAR接收到該FBU消息后,對其MAC進行正確性驗證��。如 果驗證通過�,則發(fā)送攜帶驗證結(jié)果的FBAck消息給NAR,由于MN已到達 NAR所在的新鏈路,因此����,該消息可以用源地址為nCoA、目的地址為MN的IP消息發(fā)送����。同時,PAR把發(fā)往pCoA的緩存數(shù)據(jù)通過IP-in-IP隧道轉(zhuǎn)發(fā) 到MN的nCoA�����。此時,MN完成由PAR到NAR的快速切換過程�。步驟1004:切換過程結(jié)束后,MN或NAR將發(fā)起新HK的生成過程�, MN與PAR再分別派生出SHK和THK。圖11為實施例七的預(yù)測模式快速切換流程示意圖����。本實施例中,MN決 定進行切換后��,與目標NAR先后建立多個安全聯(lián)盟��,保證MN在切換過程中��, 已生成的多個密鑰之中必然有一個密鑰是有效的��,從而實現(xiàn)安全的快速切換��。首先����,定義nHK,為MN與PAR之間共享密鑰�����,nHK為MN與NAR之 間共享密鑰。然后�����,定義nHK����,和nHK的計算公式如下公式111:nHK, = gprf + (HMK,畫nonce |畫ID | AR ID | "Handover Key") 公式112:nHK = prf(nHK�����,����, NAR nonce) 本實施例包括如下步驟步驟1101:當MN決定進行快速切換時�����,發(fā)送FBU消息給PAR,該消息 攜帶請求AAA服務(wù)器生成nHK的nHK—Req并使用pHK生成的MAC進行完整性保護���。步驟1102: PAR對該MN的MAC進行正確性驗證���,如果驗證通過���,則 發(fā)送攜帶nHK一Req的HI消息給NAR。該消息必須加密保護�,其具體的加密 與現(xiàn)有技術(shù)相同,在此不再贅述����。步驟1103 , NAR接收到上述HI消息后��,獲取該消息攜帶的nHK_Req, 并生成AAAREQ消息發(fā)送給AAA服務(wù)器��,該消息攜帶NAR nonc6�。 同時,在步驟1103中,NAR發(fā)送HAck消息給PAR,該消息攜帶用于生成nHK的 NAR的隨機數(shù)NAR nonce ��。步驟1104: PAR接收到上述HAck消息后����,發(fā)送FBAck消息給MN,并 使用pHK生成的MAC進行保護�。步驟1104, AAA服務(wù)器接收到攜帶NAR nonce的AAA REQ消息后�, 按照公式111生成nHK�,��,并發(fā)送攜帶該nHK�����,的AAA RSP消息給NAR�����。該 NAR接收到該消息后按照公式112生成nHK�。步驟1105: MN到達NAR所在的新鏈路時,如果MN接收到了 PAR發(fā) 送的FBAck消息��,則MN發(fā)送給NAR的FNA消息使用nHK生成的MAC進 行保護�;如果MN沒有接收到PAR發(fā)送的FBAck消息,則MN發(fā)送給NAR 的FNA消息使用nHK�����,生成的MAC進行保護�。相應(yīng)的�,如果NAR接收到的 FNA消息中攜帶了 FBU,則NAR認為MN沒有收到FBAck消息,因此使用 nHK�,生成的MAC對FBU的MAC進行正確性驗證�;如果NAR接收到的FNA 消息中沒有攜帶FBU,則NAR認為MN接收到了 FBAck消息���,因此使用nHK 生成的MAC對FBU的MAC進行正確性驗證����。此時�,MN完成由PAR到NAR 的快速切換過程。由上述步驟可知���,在本實施例中����,MN經(jīng)由PAR與NAR進行消息交互�����, 生成第一切換密鑰nHK��,和第二切換密鑰nHK; NAR接收到AAA服務(wù)器生成 的第一切換密鑰nHK��,�����,并據(jù)此生成第二切換密鑰nHK,從而在MN與NAR 之間建立了兩個安全聯(lián)盟���。當MN決定切換時�����,MN向NAR發(fā)送FNA消息�����, NAR判斷該消息的內(nèi)容����,并決定使用哪個切換密鑰�����。因此�,本實施例避免了 現(xiàn)有技術(shù)中由FBAck消息帶來的切換問題,保證了安全的快速切換��。如果本實施例所示的快速切換流程沒有順利完成��,即MN沒有在到達NAR所在的新鏈i 各之前向PAR發(fā)送FBU消息�,則切換模式由本實施例的預(yù) 測模式轉(zhuǎn)換為反應(yīng)模式,其具體實現(xiàn)與本發(fā)明的實施例三類似�,區(qū)別僅在于 MN發(fā)送給NAR的UNA消息使用nHK,生成的MAC進行保護����。而NAR則者nHK,)生成��;NAR也可以分別使用兩個密鑰(nHK或者nHK�����,)生成的 MAC對UNA消息進行正確性驗證����,通過驗證的相應(yīng)密鑰將作為NAR與該 MN之間的共享密鑰。本發(fā)明實施例還可以分為兩個階段進行第一階段�����,在MN決定切換目 標之前����,PAR先獲取AAA服務(wù)器的隨機數(shù)(AAA nonce );第二階段,在MN 決定切換目標之后�,MN與目標NAR先后建立多個安全聯(lián)盟�����,保證MN在切 換過程中��,已生成的多個密鑰之中必然有一個密鑰是有效的�,從而實現(xiàn)安全 的快速切換�。圖12為實施例八的預(yù)測模式快速切換流程示意圖。本實施例的第一階段 與本發(fā)明實施例四相同��,步驟1201至步驟1204與步驟801至步驟804相同�����。 本實施例的第二階段具體包括如下步驟步驟1205����, NAR接收到HI消息后,獲取該消息攜帶的nHK—Req,并生 成AAAREQ消息發(fā)送給AAA服務(wù)器�,該消息攜帶AAA nonce Index。同時���, 在步驟1205中���,NAR發(fā)送HAck消息給PAR。步驟1206: PAR接收到上述HAck消息后�����,發(fā)送攜帶AAA nonce的FBAck 消息給MN,并使用pHK生成的MAC進行保護�。步驟1206, AAA服務(wù)器接收到上述AAAREQ消息后��,通過該Index查 詢到相應(yīng)的AAA nonce,并按照公式111生成nHK',然后發(fā)送攜帶nHK���,和 AAAnonce的AAARSP消息給NAR����。 NAR接收到該消息后�����,按照公式112生成nHK��。步驟1207: MN到達NAR所在的新鏈路時�����,如果MN接收到了PAR發(fā) 送的FBAck消息,則MN發(fā)送給NAR的FNA消息使用nHK生成的MAC進 行保護�����;如果MN沒有接收到PAR發(fā)送的FBAck消息�,則MN發(fā)送給NAR 的FNA消息使用nHK,生成的MAC進行保護����。相應(yīng)的,如果NAR接收到的 FNA消息中攜帶了 FBU,則NAR認為MN沒有收到FBAck消息�,因此使用 nHK,生成的MAC對FBU的MAC進行正確性驗證���;如果NAR接收到的FNA 消息中沒有攜帶FBU,則NAR認為MN接收到了 FBAck消息����,因此使用nHK 生成的MAC對FBU的MAC進行正確性驗證�����。此時���,MN完成由PAR到NAR 的快速切換過程��。如果本實施例所示的快速切換流程沒有順利完成��,即MN沒有在到達 NAR所在的新鏈路之前向PAR發(fā)送FBU消息���,則切換模式由本實施例的預(yù) 測模式轉(zhuǎn)換為反應(yīng)才莫式,其具體實現(xiàn)與本發(fā)明的實施例六相同����。另外,本發(fā)明實施例還提供一種為安全快速切換的系統(tǒng)���,該系統(tǒng)包括 安全聯(lián)盟建立單元和安全保護執(zhí)行單元����。其中�,上述安全聯(lián)盟建立單元,用 于在快速切換前�����,建立移動節(jié)點與目標網(wǎng)絡(luò)的接入路由器NAR之間的安全聯(lián) 盟�����;上述安全保護執(zhí)行單元,用于在移動節(jié)點的快速切換過程中���,使用上述 安全聯(lián)盟確保該移動節(jié)點安全接入到上述NAR�。也就是說��,上述安全聯(lián)盟建立單元負責(zé)在切換發(fā)生前建立安全聯(lián)盟�����,該 安全聯(lián)盟建立地過程可能需要獨立收發(fā)消息�����,也可能與其他消息一同發(fā)送��; 上述安全保護執(zhí)行單元���,首先要從安全聯(lián)盟建立單元獲取密鑰����,然后使用該 密鑰對快速切換需要的信令消息進行完整性保護(即計算消息認證碼)�,并把 消息認證碼與該消息一同發(fā)送。同時負責(zé)各種快速切換相關(guān)地消息地觸發(fā)�����,并提供消息內(nèi)容,以及負責(zé)收發(fā)消息�����。以上上述僅是本發(fā)明的優(yōu)選實施方式�,應(yīng)當指出,對于本技術(shù)領(lǐng)域的普 通技術(shù)人員來說�,在不脫離本發(fā)明原理的前提下���,還可以作出若干改進和潤 飾���,這些改進和潤飾也應(yīng)視為本發(fā)明的保護范圍。
權(quán)利要求
1����、一種安全快速切換的方法,其特征在于�,包括在快速切換前,建立移動節(jié)點與目標網(wǎng)絡(luò)的接入路由器NAR之間的安全聯(lián)盟����;在所述移動節(jié)點的快速切換過程中��,利用所述安全聯(lián)盟確保該移動節(jié)點安全接入到所述NAR��。
2��、 根據(jù)權(quán)利要求1所述安全快速切換的方法�����,其特征在于��,所述建立移 動節(jié)點與NAR之間的安全聯(lián)盟方式包括所述移動節(jié)點與至少一個NAR進行密鑰交互���,生成安全聯(lián)盟,且所述 NAR主動或纟皮動訪問AAA服務(wù)器完成所述安全聯(lián)盟的建立�����。
3�����、 根據(jù)權(quán)利要求2所述安全快速切換的方法���,其特征在于���, 所述NAR主動訪問AAA服務(wù)器完成所述安全聯(lián)盟建立的過程為 所述移動節(jié)點將切換密鑰請求消息發(fā)送到至少一個NAR進行密鑰交互�,該切換密鑰請求消息中包括移動節(jié)點的身份標識以及利用所述移動節(jié)點與AAA服務(wù)器之間的密鑰生成的消息認證碼�;所述NAR將所述密鑰切換請求消息轉(zhuǎn)發(fā)給AAA服務(wù)器;若所述AAA服務(wù)器驗證所述密鑰切換請求消息中的消息認證碼正確����,則向所述NAR反饋驗證消息,該驗證消息中包括該移動節(jié)點和NAR之間的切換密鑰����;所述NAR記錄所述移動節(jié)點的切換密鑰,根據(jù)所述切換密鑰生成消息認 證碼���,并反饋切換密鑰響應(yīng),該切換密鑰響應(yīng)包括根據(jù)所述切換密鑰生成的 消息iU正碼�;若所述移動節(jié)點驗證根據(jù)所述切換密鑰生成的消息認證碼正確,則完成 安全聯(lián)盟建立���;或者所述NAR被動訪問AAA服務(wù)器完成所述安全聯(lián)盟建立的過程為 所述移動節(jié)點通過源網(wǎng)絡(luò)接入路由器PNR將切換密鑰請求消息發(fā)送到 AAA服務(wù)器進行密鑰交互�����,該切換密鑰請求消息中包括移動節(jié)點的身份標識 以及利用所述移動節(jié)點與AAA服務(wù)器之間的密鑰生成的消息認證碼���;所述AAA服務(wù)器驗證所述切換密鑰請求消息中的消息認證碼正確后���,利 用自身生成的消息認證碼對向移動節(jié)點反饋的切換密鑰響應(yīng)消息進行完整性 保護;并將所述切換密鑰響應(yīng)消息通過PNR反饋給移動節(jié)點�����;以及所述AAA 服務(wù)器根據(jù)密鑰交互信息生成各個NAR對應(yīng)的切換密鑰��,將所述切換密鑰分 別下發(fā)給NAR;所述移動節(jié)點-險證所述AAA服務(wù)器生成的消息i人證碼正確后����,生成與每 個NAR對應(yīng)的切換密鑰,完成安全聯(lián)盟的建立����。
4、 根據(jù)權(quán)利要求3所述安全快速切換的方法��,其特征在于���,所述移動節(jié) 點將切換密鑰請求消息發(fā)送到所有NAR至少包括下述任一方式用源地址為原轉(zhuǎn)交地址�,目的地址為NAR的地址的lt據(jù)包來發(fā)送;利用嵌套互聯(lián)網(wǎng)的方式發(fā)送����;利用目的地址子頭作為IP包的目的地址發(fā)送。
5���、 根據(jù)權(quán)利要求3所述安全快速切換的方法��,其特征在于���,對于預(yù)測模 式快速切換,在所述移動節(jié)點快速切換到NAR中�����,利用所述安全聯(lián)盟確保該 移動節(jié)點安全接入到所述NAR的具體過程為所述移動節(jié)點向PAR發(fā)送快速綁定更新消息�����,該消息使用所述移動節(jié)點 與所述PAR之間的切換密鑰產(chǎn)生的消息驗證碼進行完整性保護����;所述PAR驗證所述消息驗證碼后����,并與NAR交互后�����,反饋攜帶切換密 鑰的消息認證碼的快速綁定確認消息給移動節(jié)點����;所述移動節(jié)點采用它與所述NAR之間的切換密鑰生成的消息認證碼保護快速鄰居^^告消息。
6���、 根據(jù)權(quán)利要求3所述安全快速切換的方法,其特征在于�����,對于反應(yīng)模 式快速切換���,在移動節(jié)點接入NAR時�,先向NAR發(fā)送無請求的鄰居公告消 息��,該消息中利用移動節(jié)點與所述NAR之間的切換密鑰生成的消息驗證碼進 行保護�;再向PAR發(fā)送快速綁定更新消息,該消息中攜帶原轉(zhuǎn)交地址����,對該消息 采用原切換密鑰生成消息驗證碼進行完整性保護�;所述PAR驗證所述消息驗證碼正確后�����,反饋快速綁定確認消息���,并將目 標地址為原轉(zhuǎn)交地址的數(shù)據(jù)包轉(zhuǎn)發(fā)到移動節(jié)點的新轉(zhuǎn)交地址���。
7、 根據(jù)權(quán)利要求3所述安全快速切換的方法�,其特征在于,所述切換密 鑰請求消息還包括用于配置移動節(jié)點的新轉(zhuǎn)交地址信息��;所述切換密鑰響應(yīng) 消息中包括移動節(jié)點的新轉(zhuǎn)交地址��。
8��、 根據(jù)權(quán)利要求1所述安全快速切換的方法���,其特征在于���,所述建立移 動節(jié)點與NAR之間的安全聯(lián)盟方式包括所述PAR預(yù)先向AAA服務(wù)器獲取移動節(jié)點生成密鑰所需的密鑰信息, 并在移動節(jié)點發(fā)送快速綁定更新消息后通過確認消息返回密鑰信息���,移動節(jié) 點根據(jù)所述密鑰信息生成切換密鑰�����,完成安全聯(lián)盟的建立��。
9�����、 根據(jù)權(quán)利要求8所述安全快速切換的方法�����,其特征在于����,對于預(yù)測模 式快速切換中的完成安全聯(lián)盟的建立的過程為PAR向AAA服務(wù)器獲取切換時移動節(jié)點需要的密鑰信息�����; 當所述移動節(jié)點發(fā)生切換時�����,通過快速綁定更新消息向所述PAR獲取切 換時需要的密鑰信息;其中所述快速綁定更新消息中攜帶切換密鑰請求消息�����,并且利用該移動節(jié)點與PAR之間的切換密鑰保護該消息�;所述移動節(jié)點^^據(jù)所述密鑰信息生成新的切換密鑰,并通過切換觸發(fā)消 息把密鑰請求消息及密鑰信息標識發(fā)送給AAA服務(wù)器��;所述AAA服務(wù)器驗證密鑰請求消息后�,根據(jù)密鑰信息標識查找到密鑰信 息,生成新的切換密鑰�,并將所述新的切換密鑰下發(fā)給NAR,安全聯(lián)盟建立 完成;對于反應(yīng)模式快速切換中完成安全聯(lián)盟建立的過程為移動節(jié)點向NAR發(fā)送無請求的鄰居公告消息��,該消息使用所述移動節(jié)點 預(yù)先生成的與NAR之間的切換密鑰保護或者不保護����;向PAR發(fā)送快速綁定更新消息,該消息中攜帶原轉(zhuǎn)交地址�����,對該消息采 用原切換密鑰生成消息驗證碼進行完整性保護���;所述PAR^r查后�����,反饋快速綁定確認消息���,并將目標地址原轉(zhuǎn)交地址的 數(shù)據(jù)包轉(zhuǎn)發(fā)到移動節(jié)點的新轉(zhuǎn)交地址。
10��、 根據(jù)權(quán)利要求1所述安全快速切換的方法��,其特征在于�,所述建立 移動節(jié)點與NAR之間的安全聯(lián)盟方式包括計算移動節(jié)點與PAR之間的標準切換密鑰和臨時切換密鑰; 當移動節(jié)點將要進行切換時��,所述PAR在切換觸發(fā)消息中把所述臨時切 換密鑰發(fā)送給NAR,建立所述移動節(jié)點與所述NAR之間的安全聯(lián)盟�。
11、 根據(jù)權(quán)利要求1所述安全快速切換的方法����,其特征在于,所述建立 移動節(jié)點與NAR之間的安全聯(lián)盟方式包括所述移動節(jié)點通過PAR與NAR進行消息交互�,并獲得生成密鑰所需的 密鑰信息后生成第一和第二切換密鑰;所述AAA服務(wù)器根據(jù)接收到密鑰請求消息生成第一切換密鑰��,并反饋生成結(jié)果給所述的NAR,所述的NAR再根據(jù)密鑰信息生成第二切換密鑰�����,完 成多個安全聯(lián)盟的建立��。
12�����、 根據(jù)權(quán)利要求11所述安全快速切換的方法�,其特征在于, 對于預(yù)測模式快速切換中的完成安全聯(lián)盟的建立的過程為 移動節(jié)點向PAR發(fā)送攜帶切換密鑰請求消息的快速綁定更新消息���,該更新消息使用所述移動節(jié)點與PAR之間的切換密鑰生成消息認證碼��,同時所述 移動節(jié)點生成第一切換密鑰�����;所述PAR成功驗證消息認證碼后��,將所述切換密鑰請求消息發(fā)送給所述 NAR�,同時協(xié)商切換密鑰信息���;并將協(xié)商的切換密鑰信息發(fā)送給所述移動節(jié) 點���,所述移動節(jié)點才艮據(jù)所述切換密鑰信息生成第二切換密鑰��;所述NAR把切換請求消息發(fā)送給AAA服務(wù)器,所述AAA服務(wù)器驗證 切換請求消息后�,生成第一切換密鑰并反饋給所述的NAR;所述NAR根據(jù)第一切換密鑰及切換密鑰信息生成第二切換密鑰;當移動節(jié)點到達NAR時�����,根據(jù)是否收到快速綁定消息來決定使用第 一或 第二切換密鑰來保護鄰居公告消息���,完成多個安全聯(lián)盟的建立��;對于反應(yīng)模式快速切換中完成安全聯(lián)盟建立的過程為移動節(jié)點向NAR發(fā)送無請求的鄰居公告消息����,該消息使用所述移動節(jié)點 預(yù)先生成的與NAR之間的切換密鑰保護或者不保護�;再向PAR發(fā)送快速綁定更新消息,該消息中攜帶原轉(zhuǎn)交地址����,對該消息 采用原切換密鑰生成消息驗證碼進行完整性保護�����;所述PAR檢查后��,反饋快速綁定確認消息�,并將目標地址為原轉(zhuǎn)交地址 的數(shù)據(jù)包轉(zhuǎn)發(fā)到移動節(jié)點的新轉(zhuǎn)交地址�����。
13���、 根據(jù)權(quán)利要求12所述安全快速切換的方法���,其特征在于,所述同時協(xié)商密鑰信息的方式包括PAR預(yù)先向AAA服務(wù)器請求獲得協(xié)商密鑰信息���,并將所述協(xié)商密鑰信息 發(fā)送給NAR;或者所述NAR先生成一個密鑰信息��,并將所述密鑰信息反饋給PAR���。
14、 一種安全快速切換的系統(tǒng),其特征在于����,包括安全聯(lián)盟建立單元,用于在快速切換前�����,建立移動節(jié)點與目標網(wǎng)絡(luò)的接 入路由器NAR之間的安全聯(lián)盟�;安全保護執(zhí)行單元,用于在移動節(jié)點的快速切換過程中�,使用所述安全 聯(lián)盟保護該移動節(jié)點在快速切換過程中信令的安全交互��,并使該移動節(jié)點安 全接入到所述NAR�。
全文摘要
本發(fā)明涉及一種安全快速切換的方法及系統(tǒng),上述方法包括步驟在快速切換前����,建立移動節(jié)點與目標網(wǎng)絡(luò)的接入路由器NAR之間的安全聯(lián)盟;在上述移動節(jié)點的快速切換過程中�,使用上述安全聯(lián)盟確保該移動節(jié)點安全接入到上述NAR。上述裝置包括安全聯(lián)盟建立單元和安全保護執(zhí)行單元�����。本發(fā)明通過調(diào)整快速切換過程的密鑰生成時所需要的參數(shù)(即先建立移動節(jié)點與NAR之間的安全聯(lián)盟)來優(yōu)化快速切換中生成共享密鑰的過程,從而保證數(shù)據(jù)傳輸時的安全機制不影響快速切換流程�����,并且讓切換過程在網(wǎng)絡(luò)的可控范圍內(nèi)�。
文檔編號H04W80/04GK101335985SQ20071012359
公開日2008年12月31日 申請日期2007年6月29日 優(yōu)先權(quán)日2007年6月29日
發(fā)明者斌 夏, 鄒國輝 申請人:華為技術(shù)有限公司