專利名稱:密鑰管理方法及設(shè)備的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及通信技術(shù)�,具體涉及一種密鑰管理方法及設(shè)備。
背景技術(shù):
WiFi (Wireless Fidelity�����,無線保真)是一種無線局域網(wǎng)技術(shù)�����,利用該技術(shù)可以組
WiMAX(Worldwide Interoperability for MicrowaveAccess, 球互通)是一種無線寬帶接入技術(shù)�����,WiMAX接入點功率高覆蓋范圍大��,WiFi接入點功率低覆 蓋范圍小�,但實現(xiàn)簡單成本低的���,兩者在網(wǎng)絡(luò)部署時可以實現(xiàn)互補�����。因此����,目前面臨的一個 重要技術(shù)問題就是終端如何從WiMAX網(wǎng)絡(luò)快速切換到WiFi網(wǎng)絡(luò),以保證業(yè)務(wù)的連續(xù)性���。為了減少終端從WiMAX網(wǎng)絡(luò)到WiFi網(wǎng)絡(luò)切換時的延遲�����,WiMAX-WiFi互通工作組 目前提出了預(yù)認證的思想�,就是當終端當前附著在WiMAX網(wǎng)絡(luò)時通過WiMAX網(wǎng)絡(luò)的通信連 接���,預(yù)先進行到WiFi網(wǎng)絡(luò)的預(yù)認證并預(yù)先生成在WiFi網(wǎng)絡(luò)通信需要的密鑰�,這樣當終端最 終從WiMAX射頻切換到WiFi射頻時�,就可以直接使用預(yù)認證時獲得的密鑰,從而可以減少 終端切換射頻后到WiFi網(wǎng)絡(luò)的入網(wǎng)過程����。發(fā)明人在實現(xiàn)本發(fā)明的過程中,發(fā)現(xiàn)現(xiàn)有技術(shù)至少存在以下缺點當終端從當前 附著的WiMAX網(wǎng)絡(luò)進行到WiFi網(wǎng)絡(luò)的預(yù)認證時��,根據(jù)當前的密鑰管理機制�����,認證服務(wù)器和 終端將分別計算產(chǎn)生新的MSK、EMSK�,那么這些新的MSK、EMSK將替換終端在WiMAX網(wǎng)絡(luò)中 最后一次認證(初始入網(wǎng)或重認證)時生成的MSK��、EMSK�����。WiFi網(wǎng)絡(luò)認證器��、終端�����、家鄉(xiāng)代 理將由新的MSK�����、EMSK計算生成各自需要的密鑰��,但這時的終端并沒有接著進行從WiMAX網(wǎng) 絡(luò)到WiFi網(wǎng)絡(luò)的切換���,如果這時終端因為在WiMAX網(wǎng)絡(luò)的密鑰到期或切換等原因,需要在 WiMAX網(wǎng)絡(luò)執(zhí)行重認證的過程����,那么這一重認證過程也將重新計算產(chǎn)生新的MSK����、EMSK�����,這 些新的MSK���、EMSK同樣也會替換掉終端到WiFi網(wǎng)絡(luò)預(yù)認證時在終端�����、認證服務(wù)器上生成并 保存的MSK���、EMSK,從而由這些新的MSK、EMSK計算生成WiMAX認證器�����、終端�、家鄉(xiāng)代理等網(wǎng) 絡(luò)實體各自需要的密鑰,也就是說���,針對到目標網(wǎng)絡(luò)預(yù)認證生成的密鑰會與當前網(wǎng)絡(luò)認證 的密鑰相互覆蓋��。這樣就會導(dǎo)致終端在切換到WiFi網(wǎng)絡(luò)后�����,認證服務(wù)器��、WiFi認證器�����、終 端�����、家鄉(xiāng)代理等網(wǎng)絡(luò)實體使用的密鑰不一致(不是由同一個MSK或EMSK計算得到的)����,導(dǎo)致 通信無法實現(xiàn)。同樣����,在終端從WiFi網(wǎng)絡(luò)到WiMAX網(wǎng)絡(luò)切換時,也存在同樣的問題�。
發(fā)明內(nèi)容
本發(fā)明實施例提供一種密鑰管理方法及設(shè)備���,以保證終端通過當前網(wǎng)絡(luò)執(zhí)行到切 換目標網(wǎng)絡(luò)預(yù)認證時�,針對到目標網(wǎng)絡(luò)預(yù)認證生成的密鑰會與當前網(wǎng)絡(luò)認證的密鑰相互覆 蓋,保證終端切換到目標網(wǎng)絡(luò)的通信能夠?qū)崿F(xiàn)����。為此,本發(fā)明實施例提供如下技術(shù)方案一種密鑰管理方法��,包括認證服務(wù)器接收認證器發(fā)送的認證消息���,所述認證消息中攜帶所述認證器所屬網(wǎng) 絡(luò)的網(wǎng)絡(luò)標識信息����;
利用所述網(wǎng)絡(luò)標識信息確定認證所對應(yīng)的網(wǎng)絡(luò)�;利用自己保存的主密鑰生成針對所述網(wǎng)絡(luò)的主會話密鑰,并將針對所述網(wǎng)絡(luò)的主 會話密鑰與針對其他網(wǎng)絡(luò)的主會話密鑰區(qū)分存儲��。一種密鑰管理方法�����,包括終端確定需要接入的目標網(wǎng)絡(luò)����;利用自己保存的主密鑰生成針對所述目標網(wǎng)絡(luò)的主會話密鑰�����,并將針對所述目標 網(wǎng)絡(luò)的主會話密鑰與針對源網(wǎng)絡(luò)的主會話密鑰區(qū)分存儲����。一種認證服務(wù)器��,包括接收單元����,用于接收認證器發(fā)送的認證消息,所述認證消息中攜帶所述認證器所 屬網(wǎng)絡(luò)的網(wǎng)絡(luò)標識信息��;網(wǎng)絡(luò)確定單元����,用于利用所述網(wǎng)絡(luò)標識信息確定認證所對應(yīng)的網(wǎng)絡(luò);第一密鑰生成單元�����,用于利用自己保存的主密鑰生成針對所述網(wǎng)絡(luò)的主會話密 鑰�;第一存儲單元���,用于將針對所述網(wǎng)絡(luò)的主會話密鑰與針對其他網(wǎng)絡(luò)的主會話密鑰 區(qū)分存儲。一種終端����,包括接入網(wǎng)絡(luò)確定單元�����,用于確定需要接入的目標網(wǎng)絡(luò)����;第二密鑰生成單元,用于利用自己保存的主密鑰生成針對所述目標網(wǎng)絡(luò)的主會話 密鑰�;第二存儲單元,用于將針對所述目標網(wǎng)絡(luò)的主會話密鑰與針對源網(wǎng)絡(luò)的主會話密 鑰區(qū)分存儲��。本發(fā)明實施例提供的密鑰管理方法及設(shè)備�����,能夠針對認證所對應(yīng)的網(wǎng)絡(luò)�,利用自 己保存的主密鑰生成針對所述網(wǎng)絡(luò)的主會話密鑰。從而保證了終端在異質(zhì)網(wǎng)絡(luò)切換時�����,在 通過當前網(wǎng)絡(luò)執(zhí)行到切換目標網(wǎng)絡(luò)預(yù)認證時產(chǎn)生的密鑰,與終端在當前網(wǎng)絡(luò)使用的密鑰不 會相互覆蓋�,保證終端切換到目標網(wǎng)絡(luò)的通信能夠?qū)崿F(xiàn)。
為了更清楚地說明本發(fā)明實施例中的技術(shù)方案����,下面將對實施例描述中所需要使 用的附圖作簡單地介紹,顯而易見地�����,下面描述中的附圖僅僅是本發(fā)明的一些實施例�����,對于 本領(lǐng)域普通技術(shù)人員來講����,在不付出創(chuàng)造性勞動性的前提下,還可以根據(jù)這些附圖獲得其 他的附圖���。圖1是本發(fā)明實施例中EAP認證密鑰管理層結(jié)構(gòu)示意圖�����;圖2是本發(fā)明實施例密鑰管理方法的一種流程圖���;圖3是本發(fā)明實施例密鑰管理方法的另一種流程圖��;圖4是本發(fā)明實施例認證服務(wù)器的結(jié)構(gòu)示意圖��;圖5是本發(fā)明實施例終端的結(jié)構(gòu)示意圖��。
具體實施例方式為了使本技術(shù)領(lǐng)域的人員更好地理解本發(fā)明實施例的方案,下面結(jié)合附圖和實施方式對本發(fā)明實施例作進一步的詳細說明�����。本發(fā)明實施例密鑰管理方法及設(shè)備�����,針對EAP認證時的密鑰管理���,對現(xiàn)有密鑰管 理機制的主會話密鑰(MSK����、EMSK)管理層進行擴展,即將認證服務(wù)器和終端的MSK�����、EMSK密 鑰管理層擴展為EAP認證密鑰管理層�����,如圖1所示�,使該EAP認證密鑰管理層能夠區(qū)別管理 針對不同類型的網(wǎng)絡(luò)或網(wǎng)絡(luò)域(如移動域)的多組主會話密鑰MSKs、EMSKs�,具體地,可以 設(shè)置針對到不同類型網(wǎng)絡(luò)或網(wǎng)絡(luò)域的認證密鑰管理者�����,分別管理終端到不同類型網(wǎng)絡(luò)或網(wǎng) 絡(luò)域認證時由主密鑰(MK)產(chǎn)生的主會話密鑰MSKs�、EMSKs,從而避免當終端需要同時到多 個不同類型網(wǎng)絡(luò)認證時�����,由于主會話密鑰相互覆蓋而導(dǎo)致針對到目標網(wǎng)絡(luò)預(yù)認證生成的密 鑰會與當前網(wǎng)絡(luò)認證的密鑰相互覆蓋的問題��,保證終端切換到目標網(wǎng)絡(luò)的通信能夠?qū)崿F(xiàn)��。例如,在終端通過當前網(wǎng)絡(luò)執(zhí)行到切換目標網(wǎng)絡(luò)的預(yù)認證時�����,所述終端和認證服 務(wù)器分別根據(jù)各自保存的MK計算得到主會話密鑰�,同時,認證服務(wù)器將計算得到的主會話 密鑰發(fā)送給所述切換目標網(wǎng)絡(luò)的認證器����。所述終端和所述切換目標網(wǎng)絡(luò)的認證器再分別根 據(jù)各自得到的主會話密鑰計算得到對應(yīng)所述切換目標網(wǎng)絡(luò)應(yīng)用的成對主密鑰;當終端切換 到所述切換目標網(wǎng)絡(luò)后����,所述終端與所述切換目標網(wǎng)絡(luò)的認證器分別根據(jù)自己計算得到的 對應(yīng)所述切換目標網(wǎng)絡(luò)應(yīng)用的成對主密鑰,生成用于終端在所述切換目標網(wǎng)絡(luò)通信的成對 臨時密鑰����,作為終端在所述切換目標網(wǎng)絡(luò)中與基站通信的加密密鑰�����。當然�����,本發(fā)明實施例還可以針對其他需要密鑰的應(yīng)用或不同的網(wǎng)絡(luò)移動域設(shè)置主 會話密鑰管理者,以管理針對其他應(yīng)用的主會話密鑰�����。下面分別從網(wǎng)絡(luò)側(cè)和終端側(cè)對本發(fā)明實施例的方法進行詳細說明�。如圖2所示,是本發(fā)明實施例密鑰管理方法的一種流程圖�,包括以下步驟步驟201,認證服務(wù)器接收認證器發(fā)送的認證消息��,所述認證消息中攜帶所述認證 器所屬網(wǎng)絡(luò)的網(wǎng)絡(luò)標識信息��;步驟202���,利用所述網(wǎng)絡(luò)標識信息確定認證所對應(yīng)的網(wǎng)絡(luò)���。步驟203,利用自己保存的主密鑰生成針對所述網(wǎng)絡(luò)的主會話密鑰�,并將針對所述 網(wǎng)絡(luò)的主會話密鑰與針對其他網(wǎng)絡(luò)的主會話密鑰區(qū)分存儲��。其中��,所述保存的主密鑰是根據(jù)終端初始入網(wǎng)時的認證過程中產(chǎn)生的主會話密鑰 生成的。例如,根據(jù)現(xiàn)有的EAP認證機制�,終端從某一類型網(wǎng)絡(luò)初始入網(wǎng),在終端成功完 成EAP認證后����,在終端和認證服務(wù)器上將產(chǎn)生主會話密鑰MSK�、EMSK�����,這時可以基于該MSK、 EMSK進行邏輯運算或簡單地取其中的某些位作為MK�����,具體的密鑰生成算法已有很多資料 進行了介紹,可參考相關(guān)文檔,或采用與現(xiàn)有的EAP方法��,如EAP-AKA(Authenticatic)n and KeyAgreement����,認證和密匙協(xié)商機制),EAP-TLS (Transport Layer Security�����,傳輸層安全 性)等中類似的密鑰算法��。終端初始入網(wǎng)時��,通過一個完全的EAP認證過程后產(chǎn)生主會話密鑰的過程具體如 下1.終端向認證器發(fā)送EAPOL-Start ;2.認證器向終端發(fā)送ΕΑΡ-Request Identity要求驗證身份的請求�����,要求終端發(fā) 送用戶信息��;3.終端向認證器發(fā)送 ΕΑΡ-Response Identity 口向應(yīng)�,在 ΕΑΡ-Response Identity 中包含用戶信息,認證器將終端發(fā)送來的數(shù)據(jù)幀經(jīng)過封包處理后生成RADIUSRequest報文送給認證服務(wù)器進行處理�����;4.認證服務(wù)器收到RADIUS Request報文后��,對終端進行認證�����;5.認證通過后��,認證服務(wù)器向認證器發(fā)送RADIUS Accept報文���;6.認證器收到RADIUS Accept報文后�,向終端發(fā)送EAPOL Success報文���。7.認證成功后�,終端和認證服務(wù)器分別根據(jù)終端的特定信息生成MSK和EMSK���。認證服務(wù)器可以將上述終端在初始入網(wǎng)時的EAP認證過程中產(chǎn)生的主會話密鑰 MSK��、EMSK��,直接作為針對該類型網(wǎng)絡(luò)的主會話密鑰����;也可以基于上述得到的MK再進行邏輯 運算后重新生成針對該類型網(wǎng)絡(luò)的主會話密鑰MSK�����、EMSK���。認證服務(wù)器可以通過調(diào)用相應(yīng)的EAP方法�,利用主密鑰MK生成針對某一類型網(wǎng)絡(luò) 的主會話密鑰����。也可以直接通過EAP消息(EAP-Request/Response)的交互�,傳遞計算主會 話密鑰所需信息����,并基于主密鑰MK計算生成針對某一類型網(wǎng)絡(luò)的主會話密鑰,具體的消息 交互過程和消息中攜帶的信息可參考相應(yīng)的EAP方法文檔��。認證服務(wù)器利用主密鑰MK生成針對某一類型網(wǎng)絡(luò)的主會話密鑰可以在終端初始 入網(wǎng)時�,利用主密鑰MK預(yù)先生成,也可以是在當需要這些主會話密鑰時現(xiàn)場計算生成(計 算方法可參考現(xiàn)有的IETF(Internet Engineering TaskForce���,互聯(lián)網(wǎng)工程任務(wù)組)文檔中 獲得MSK�����、EMSK的方法)����。例如��,針對WiMAX網(wǎng)絡(luò)中認證時的密鑰���,設(shè)置WiMAX網(wǎng)絡(luò)認證密鑰 管理者��,用于管理終端在WiMAX網(wǎng)絡(luò)中初始認證時產(chǎn)生的WiMAX主會話密鑰MSKl�����、EMSK1����,當 終端需要在WiMAX網(wǎng)絡(luò)進行重認證時��,終端與認證服務(wù)器在重認證的過程中��,將利用主密 鑰MK產(chǎn)生新的WiMAX重認證主會話密鑰MSK3�����、EMSK3�����,這時WiMAX重認證主會話密鑰MSK3�����、 EMSK3將替換終端到WiMAX網(wǎng)絡(luò)初始認證時生成的主會話密鑰MSKl、EMSKl����。需要說明的是,在圖2所示實施例中����,還可進一步包括以下步驟所述認證服務(wù)器將所述主會話密鑰發(fā)送給所述認證器,以使所述認證器利用所述 主會話密鑰生成對應(yīng)所述網(wǎng)絡(luò)的成對密鑰���。所述對應(yīng)所述網(wǎng)絡(luò)的成對密鑰包括對應(yīng)所述 網(wǎng)絡(luò)的成對主密鑰和/或成對臨時密鑰���。本發(fā)明實施例密鑰管理方法,在網(wǎng)絡(luò)側(cè)�����,針對EAP認證時的密鑰管理�����,區(qū)別管理針 對不同類型的網(wǎng)絡(luò)或網(wǎng)絡(luò)域(如移動域)的多組主會話密鑰MSKs�、EMSKs,即認證服務(wù)器能 夠針對認證所對應(yīng)的網(wǎng)絡(luò)�����,利用自己保存的主密鑰生成針對所述網(wǎng)絡(luò)的主會話密鑰,從而 可以使所述網(wǎng)絡(luò)的認證器根據(jù)該主會話密鑰生成對應(yīng)所述網(wǎng)絡(luò)的成對密鑰����。基于EAP認證 機制��,終端與網(wǎng)絡(luò)側(cè)基于相同的算法生成相同的MK��,再由MK生成針對不同網(wǎng)絡(luò)的主會話密 鑰MSKs���、EMSKs,從而可以避免當終端需要同時到多個不同類型網(wǎng)絡(luò)認證時��,主會話密鑰相 互覆蓋由于主會話密鑰相互覆蓋而導(dǎo)致針對到目標網(wǎng)絡(luò)預(yù)認證生成的密鑰會與當前網(wǎng)絡(luò) 認證的密鑰相互覆蓋的問題����,保證終端切換到目標網(wǎng)絡(luò)的通信能夠?qū)崿F(xiàn)。如圖3所示����,是本發(fā)明實施例密鑰管理方法的另一種流程圖,包括以下步驟步驟301����,終端確定需要接入的目標網(wǎng)絡(luò)���;步驟302,利用自己保存的主密鑰生成針對所述目標網(wǎng)絡(luò)的主會話密鑰���;步驟303�,將針對所述目標網(wǎng)絡(luò)的主會話密鑰與針對源網(wǎng)絡(luò)的主會話密鑰區(qū)分存 儲�����。這樣�����,就可以避免當終端需要同時到多個不同類型網(wǎng)絡(luò)認證時��,主會話密鑰相互 覆蓋的問題���。
需要說明的是��,終端自己保存的主密鑰與認證服務(wù)器保存的主密鑰基于相同的方 法生成�����,也就是說���,終端自己保存的主密鑰與認證服務(wù)器保存的主密鑰是相同的����,可以根據(jù) 終端初始入網(wǎng)時的認證過程中產(chǎn)生的主會話密鑰生成的����。具體過程可參照前面本發(fā)明實施 例中的描述。終端可以將初始入網(wǎng)時的EAP認證過程中產(chǎn)生的主會話密鑰MSK��、EMSK��,直接作為 針對該類型網(wǎng)絡(luò)的主會話密鑰�����;也可以基于上述得到的MK再進行邏輯運算后重新生成針 對該類型網(wǎng)絡(luò)的主會話密鑰MSK��、EMSK�。同樣���,終端利用主密鑰MK生成針對某一類型網(wǎng)絡(luò)的主會話密鑰可以在終端初始 入網(wǎng)時���,利用主密鑰MK預(yù)先生成�����,也可以是在當需要這些主會話密鑰時現(xiàn)場計算生成�����。需要說明的是�����,在本發(fā)明實施例中���,還可進一步包括以下步驟所述終端利用針對 所述目標網(wǎng)絡(luò)的主會話密鑰生成對應(yīng)所述目標網(wǎng)絡(luò)的成對主密鑰和/或成對臨時密鑰。下面以單射頻終端從WiMAX網(wǎng)絡(luò)到WiFi網(wǎng)絡(luò)切換為例��,詳細描述本發(fā)明實施例提 供的擴展的密鑰管理機制�。這里所說的單射頻終端是指支持WiFi、WiMAX兩種射頻模式�,但任何時刻只能由 一種射頻模塊工作于發(fā)射狀態(tài)的終端,簡稱為WiFi/WiMAX單射頻終端���,以下所說的終端就 是指這種終端��。假定WiFi/WiMAX單射頻終端在WiMAX網(wǎng)絡(luò)執(zhí)行初始入網(wǎng)過程�,在EAP認證過程 成功完成后,終端和認證服務(wù)器分別由主密鑰MK計算得到MSK1����、EMSK1,同時認證服務(wù)器將 MSKl發(fā)送到WiMAX認證器��。WiMAX認證器與終端分別利用MSKl計算得到PMKl (成對主密 鑰)��,也可以直接取MSKl的前若干位作為PMK1�����,終端與WiMAX認證器進一步通過消息交互 生成AKl (成對臨時密鑰)��,作為終端在WiMAX網(wǎng)絡(luò)中與基站通信的加密密鑰����。由于單射頻的原因����,為了使終端在從WiMAX網(wǎng)絡(luò)切換到WiFi網(wǎng)絡(luò)時,能夠保持業(yè) 務(wù)的連續(xù)性�����,就需要終端預(yù)先通過當前的WiMAX網(wǎng)絡(luò)執(zhí)行到切換目標WiFi網(wǎng)絡(luò)的預(yù)認證, 根據(jù)本發(fā)明實施例提供的擴展的密鑰管理機制���,終端在通過當前的WiMAX網(wǎng)絡(luò)執(zhí)行到WiFi 網(wǎng)絡(luò)的預(yù)認證時����,終端與認證服務(wù)器根據(jù)主密鑰MK計算生成針對WiFi網(wǎng)絡(luò)的主會話密鑰 MSK2���、EMSK2����,其中���,MSK2用于生成針對目標網(wǎng)絡(luò)的成對主密鑰或成對臨時密鑰�,EMSK2用于 終端在目標網(wǎng)絡(luò)中的移動IP����、IP安全隧道等應(yīng)用目的密鑰生成。當然�,在本發(fā)明實施例中, 不涉及針對移動IP、IP安全隧道等應(yīng)用目的密鑰生成過程�,因此,也可以只生成MSK2��。然 后���,由認證服務(wù)器發(fā)送MSK2到WiFi認證器�,終端與WiFi認證器由MSK2得到PMK2�����,并進一 步通過消息交互計算得到PTK2��。在終端通過當前的WiMAX網(wǎng)絡(luò)完成到WiFi網(wǎng)絡(luò)的預(yù)認證后�����,終端并不立刻切換��, 那么在預(yù)認證完成與終端真正從WiMAX網(wǎng)絡(luò)切換到WiFi網(wǎng)絡(luò)期間���,終端可能由于基站切換 或密鑰生命期的原因需要在WiMAX網(wǎng)絡(luò)進行重認證。根據(jù)本發(fā)明實施例的密鑰管理機制���, 終端這期間在WiMAX網(wǎng)絡(luò)中執(zhí)行重認證時�����,由終端與WiMAX認證服務(wù)器在重認證的過程中��, 利用主密鑰MK產(chǎn)生新的WiMAX網(wǎng)絡(luò)重認證主會話密鑰MSK3���、EMSK3����,這時終端在WiMAX網(wǎng) 絡(luò)重認證時產(chǎn)生的主會話密鑰MSK3����、EMSK3將替換終端到WiMAX網(wǎng)絡(luò)初始認證時生成的主 會話密鑰MSK1、EMSK1����,認證服務(wù)器發(fā)送MSK3到WiMAX網(wǎng)絡(luò)中的認證器,終端與WiMAX認證 器由MSK3計算得到PMK3�,并進一步通過消息交互產(chǎn)生新的AK2,并用新的AK2替換終端到 WiMAX初始入網(wǎng)時產(chǎn)生的AKl�����。
當終端需要從WiMAX網(wǎng)絡(luò)切換到WiFi網(wǎng)絡(luò)時,由于終端已經(jīng)預(yù)先完成了到WiFi 網(wǎng)絡(luò)的預(yù)認證�,在WiFi認證器和終端已經(jīng)保存了預(yù)認證時生成的PMK2,所以當終端切換射 頻到WiFi后��,終端只需與WiFi認證器根據(jù)PMK2通過四次握手協(xié)商生成用于終端在WiFi 網(wǎng)絡(luò)通信的PTK即可��。通過上述過程可以看出�,利用本發(fā)明實施例的密鑰管理方法,在認證服務(wù)器和終 端的EAP認證密鑰管理層(MSK��、EMSK管理層)�,分別管理終端到WiFi網(wǎng)絡(luò)和WiMAX網(wǎng)絡(luò)認 證時產(chǎn)生的主會話密鑰MSK、EMSK����,避免了當終端在完成了到WiFi網(wǎng)絡(luò)的預(yù)認證后,當終端 在WiMAX網(wǎng)絡(luò)再次進行重認證時終端及服務(wù)器上的主會話密鑰相互覆蓋的問題�����。在上述過程中����,終端和認證服務(wù)器需要確定在每次EAP認證時產(chǎn)生的密鑰是針對 哪一類型網(wǎng)絡(luò)認證時產(chǎn)生的,對此�����,認證服務(wù)器可以通過與不同網(wǎng)絡(luò)認證器交互時接收到 的消息中的IP地址��,或消息中攜帶的網(wǎng)絡(luò)標識���、認證器標識(如MAC地址)�����、終端標識等來 識別每次的EAP認證����。在終端上�����,要區(qū)分針對不同網(wǎng)絡(luò)的每一次認證�����,當終端使用同一個認 證申請者時���,因為目前終端上的認證申請者與認證器交互的EAP消息中沒有攜帶認證網(wǎng)絡(luò) 的標識信息����,所以這種情況下,當終端同時與多種不同類型的網(wǎng)絡(luò)進行認證時�����,終端上的認 證申請者無法區(qū)分每一次認證時產(chǎn)生的主會話密鑰屬于那種類型的網(wǎng)絡(luò)�。為此可以通過擴 展EAP消息,在其中攜帶認證器所屬網(wǎng)絡(luò)的網(wǎng)絡(luò)標識(Net-ID)的方法來解決該問題�。為了 使終端能夠區(qū)分每一次EAP認證時所針對的網(wǎng)絡(luò),從而使終端上針對不同類型網(wǎng)絡(luò)設(shè)置的 主共享密鑰管理者能夠區(qū)分管理針對不同網(wǎng)絡(luò)認證時產(chǎn)生的主會話密鑰����,作為一種具體的 EAP認證消息擴展實施例,可以在認證器向終端發(fā)送的ΕΑΡ-Request消息中攜帶認證器所 屬網(wǎng)絡(luò)(也是終端要認證的網(wǎng)絡(luò))的網(wǎng)絡(luò)標識���,終端通過解析該消息中的網(wǎng)絡(luò)標識�,就能夠 區(qū)分每次EAP認證所對應(yīng)的網(wǎng)絡(luò)����,從而將每次EAP認證時產(chǎn)生的主會話密鑰,指定由事先設(shè) 置的對應(yīng)該種類型網(wǎng)絡(luò)的主會話密鑰管理者進行保存和管理���,并在對應(yīng)該種類型網(wǎng)絡(luò)的主 會話密鑰使用者需要時為其提供主會話密鑰�����。需要說明的是��,在上述對切換過程中密鑰管理機制的描述中��,假定了重認證主會 話密鑰�����、預(yù)認證主會話密鑰的生命期沒有過期�,如果重認證主會話密鑰�����、預(yù)認證主會話密鑰 生命期過期����,則需要由MSK或EMSK (假設(shè)MSK、EMSK密鑰沒有超期)重新計算得到重認證主 會話密鑰����、預(yù)認證主會話密鑰。如果MSK��、EMSK密鑰的生命期過期,則終端需要與認證服務(wù) 器重新計算更新MSK���、EMSK密鑰�,同時更新由MSK����、EMSK計算得到的重認證主會話密鑰、預(yù)認 證主會話密鑰等�。可見��,本發(fā)明實施例密鑰管理方法�,對EPA認證時的密鑰采用分層的管理機制,使 得終端在異質(zhì)網(wǎng)絡(luò)切換時���,在通過當前網(wǎng)絡(luò)執(zhí)行到切換目標網(wǎng)絡(luò)預(yù)認證時產(chǎn)生的密鑰�����,與 終端在當前網(wǎng)絡(luò)使用的密鑰不會覆蓋�,而且�,由于在終端通過當前網(wǎng)絡(luò)執(zhí)行到切換目標網(wǎng) 絡(luò)預(yù)認證及終端在原網(wǎng)絡(luò)進行重認證時無需重新計算生成MSK、EMSK的過程��,提高了效率。本領(lǐng)域普通技術(shù)人員可以理解實現(xiàn)上述實施例方法中的全部或部分步驟是可以 通過程序來指令相關(guān)的硬件來完成�,所述的程序可以存儲于一計算機可讀取存儲介質(zhì)中, 所述的存儲介質(zhì)����,如ROM/RAM、磁碟�����、光盤等���。相應(yīng)地,本發(fā)明實施例還提供了一種認證服務(wù)器����,如圖4所示,是本發(fā)明實施例認 證服務(wù)器的結(jié)構(gòu)示意圖����。在該實施例中,所述認證服務(wù)器包括
接收單元401��,用于接收認證器發(fā)送的認證消息�,所述認證消息中攜帶所述認證器 所屬網(wǎng)絡(luò)的網(wǎng)絡(luò)標識信息����;網(wǎng)絡(luò)確定單元402��,用于利用所述網(wǎng)絡(luò)標識信息確定認證所對應(yīng)的網(wǎng)絡(luò)�����;第一密鑰生成單元403����,用于利用自己保存的主密鑰生成針對所述網(wǎng)絡(luò)的主會話 密鑰;第一存儲單元404��,用于將針對所述網(wǎng)絡(luò)的主會話密鑰與針對其他網(wǎng)絡(luò)的主會話 密鑰區(qū)分存儲��。所述主密鑰的生成過程可參照前面本發(fā)明實施例密鑰管理方法中的描述��,在此不 再贅述�。在本發(fā)明實施例中,還可進一步包括第一主密鑰生成單元405和發(fā)送單元406��。 其中����,所述第一主密鑰生成單元405����,用于根據(jù)終端初始入網(wǎng)時的認證過程中產(chǎn)生的主會話 密鑰生成所述主密鑰����。所述發(fā)送單元406,用于將所述主會話密鑰發(fā)送給所述認證器��,以使 所述認證器利用所述主會話密鑰生成對應(yīng)所述網(wǎng)絡(luò)的成對密鑰��。本發(fā)明實施例的認證服務(wù)器�����,針對EAP認證時的密鑰管理�,區(qū)別管理針對不同類 型的網(wǎng)絡(luò)或網(wǎng)絡(luò)域(如移動域)的多組主會話密鑰MSKs����、EMSKs,即認證服務(wù)器能夠針對認 證所對應(yīng)的網(wǎng)絡(luò)����,利用自己保存的主密鑰生成針對所述網(wǎng)絡(luò)的主會話密鑰,可以有效地避 免當終端需要同時到多個不同類型網(wǎng)絡(luò)認證時,主會話密鑰相互覆蓋的問題�����,保證終端切 換到目標網(wǎng)絡(luò)的通信能夠?qū)崿F(xiàn)���。相應(yīng)地���,本發(fā)明實施例還提供了一種終端,如圖5所示�����,是本發(fā)明實施例終端的結(jié) 構(gòu)示意圖���。在該實施例中���,所述終端包括接入網(wǎng)絡(luò)確定單元501,用于確定需要接入的目標網(wǎng)絡(luò)����;第二密鑰生成單元502,用于利用自己保存的主密鑰生成針對所述目標網(wǎng)絡(luò)的主 會話密鑰���;第二存儲單元503�����,用于將針對所述目標網(wǎng)絡(luò)的主會話密鑰與針對源網(wǎng)絡(luò)的主會 話密鑰區(qū)分存儲�。所述主密鑰的生成過程可參照前面本發(fā)明實施例密鑰管理方法中的描述,在此不 再贅述����。在本發(fā)明實施例中,所述第二密鑰生成單元502��,還可進一步用于在所述終端初始 入網(wǎng)時的認證過程中生成初始主會話密鑰����;相應(yīng)地,所述終端還進一步包括第二主密鑰 生成單元504�,用于根據(jù)所述初始主會話密鑰生成所述主密鑰���。在本發(fā)明實施例中��,所述終端還可進一步包括成對密鑰生成單元505�,用于利用 針對所述目標網(wǎng)絡(luò)的主會話密鑰生成對應(yīng)所述目標網(wǎng)絡(luò)的成對密鑰����。本發(fā)明實施例的終端��,通過將針對所述目標網(wǎng)絡(luò)的主會話密鑰與針對源網(wǎng)絡(luò)的主 會話密鑰區(qū)分存儲�,可以在異質(zhì)網(wǎng)絡(luò)切換時��,在通過當前網(wǎng)絡(luò)執(zhí)行到切換目標網(wǎng)絡(luò)預(yù)認證 時產(chǎn)生的密鑰�����,與在當前網(wǎng)絡(luò)使用的密鑰不會覆蓋����,而且,在終端通過當前網(wǎng)絡(luò)執(zhí)行到切換 目標網(wǎng)絡(luò)預(yù)認證及終端在原網(wǎng)絡(luò)進行重認證時無需重新計算生成MSK�����、EMSK的過程��,提高 了效率�����。以上對本發(fā)明實施例進行了詳細介紹��,本文中應(yīng)用了具體實施方式
對本發(fā)明進行了闡述,以上實施例的說明只是用于幫助理解本發(fā)明的方法及設(shè)備���;同時�����,對于本領(lǐng)域的 一般技術(shù)人員���,依據(jù)本發(fā)明的思想,在具體實施方式
及應(yīng)用范圍上均會有改變之處�,綜上所 述,本說明書內(nèi)容不應(yīng)理解為對本發(fā)明的限制�。
權(quán)利要求
1.一種密鑰管理方法,其特征在于���,包括認證服務(wù)器接收認證器發(fā)送的認證消息��,所述認證消息中攜帶所述認證器所屬網(wǎng)絡(luò)的 網(wǎng)絡(luò)標識信息��;利用所述網(wǎng)絡(luò)標識信息確定認證所對應(yīng)的網(wǎng)絡(luò)���;利用自己保存的主密鑰生成針對所述網(wǎng)絡(luò)的主會話密鑰��,并將針對所述網(wǎng)絡(luò)的主會話 密鑰與針對其他網(wǎng)絡(luò)的主會話密鑰區(qū)分存儲。
2.根據(jù)權(quán)利要求1所述的方法���,其特征在于��,所述主密鑰是根據(jù)終端初始入網(wǎng)時的認 證過程中產(chǎn)生的主會話密鑰生成的�。
3.根據(jù)權(quán)利要求1所述的方法�,其特征在于,所述方法還包括所述認證服務(wù)器將所述主會話密鑰發(fā)送給所述認證器��,以使所述認證器利用所述主會 話密鑰生成對應(yīng)所述網(wǎng)絡(luò)的成對密鑰����。
4.一種密鑰管理方法,其特征在于���,包括 終端確定需要接入的目標網(wǎng)絡(luò)�;利用自己保存的主密鑰生成針對所述目標網(wǎng)絡(luò)的主會話密鑰�����,并將針對所述目標網(wǎng)絡(luò) 的主會話密鑰與針對源網(wǎng)絡(luò)的主會話密鑰區(qū)分存儲����。
5.根據(jù)權(quán)利要求4所述的方法��,其特征在于��,所述終端確定需要接入的目標網(wǎng)絡(luò)包括 終端根據(jù)接收的所述目標網(wǎng)絡(luò)的認證器發(fā)送的認證請求消息中攜帶的網(wǎng)絡(luò)標識確定需要接入的目標網(wǎng)絡(luò)��。
6.根據(jù)權(quán)利要求4所述的方法�����,其特征在于���,所述方法還包括 所述終端在初始入網(wǎng)時的認證過程中生成初始主會話密鑰; 根據(jù)所述初始主會話密鑰生成所述主密鑰���。
7.根據(jù)權(quán)利要求6所述的方法��,其特征在于��,所述方法還包括所述終端利用針對所述目標網(wǎng)絡(luò)的主會話密鑰生成對應(yīng)所述網(wǎng)絡(luò)的成對密鑰���。
8.—種認證服務(wù)器,其特征在于����,包括接收單元,用于接收認證器發(fā)送的認證消息�����,所述認證消息中攜帶所述認證器所屬網(wǎng) 絡(luò)的網(wǎng)絡(luò)標識信息����;網(wǎng)絡(luò)確定單元,用于利用所述網(wǎng)絡(luò)標識信息確定認證所對應(yīng)的網(wǎng)絡(luò)�; 第一密鑰生成單元,用于利用自己保存的主密鑰生成針對所述網(wǎng)絡(luò)的主會話密鑰��; 第一存儲單元�����,用于將針對所述網(wǎng)絡(luò)的主會話密鑰與針對其他網(wǎng)絡(luò)的主會話密鑰區(qū)分 存儲����。
9.根據(jù)權(quán)利要求8所述的認證服務(wù)器,其特征在于��,還包括第一主密鑰生成單元�����,用于根據(jù)終端初始入網(wǎng)時的認證過程中產(chǎn)生的主會話密鑰生成 所述主密鑰。
10.根據(jù)權(quán)利要求8所述的認證服務(wù)器�����,其特征在于����,還包括發(fā)送單元,用于將所述主會話密鑰發(fā)送給所述認證器��,以使所述認證器利用所述主會 話密鑰生成對應(yīng)所述網(wǎng)絡(luò)的成對密鑰�。
11.一種終端,其特征在于�����,包括接入網(wǎng)絡(luò)確定單元�����,用于確定需要接入的目標網(wǎng)絡(luò)���;第二密鑰生成單元�,用于利用自己保存的主密鑰生成針對所述目標網(wǎng)絡(luò)的主會話密鑰;第二存儲單元�����,用于將針對所述目標網(wǎng)絡(luò)的主會話密鑰與針對源網(wǎng)絡(luò)的主會話密鑰區(qū) 分存儲�����。
12.根據(jù)權(quán)利要求11所述的終端��,其特征在于�,所述第二密鑰生成單元�,還用于在所述終端初始入網(wǎng)時的認證過程中生成初始主會話 密鑰;所述終端還包括第二主密鑰生成單元��,用于根據(jù)所述初始主會話密鑰生成所述主密鑰����。
13.根據(jù)權(quán)利要求12所述的終端,其特征在于�����,所述終端還包括成對密鑰生成單元���,用于利用針對所述目標網(wǎng)絡(luò)的主會話密鑰生成對應(yīng)所述目標網(wǎng)絡(luò) 的成對密鑰���。
全文摘要
本發(fā)明涉及通信技術(shù)領(lǐng)域���,公開了一種密鑰管理方法及設(shè)備,所述方法包括認證服務(wù)器接收認證器發(fā)送的認證消息����,所述認證消息中攜帶所述認證器所屬網(wǎng)絡(luò)的網(wǎng)絡(luò)標識信息;利用所述網(wǎng)絡(luò)標識信息確定認證所對應(yīng)的網(wǎng)絡(luò)��;利用自己保存的主密鑰生成針對所述網(wǎng)絡(luò)的主會話密鑰����,并將針對所述網(wǎng)絡(luò)的主會話密鑰與針對其他網(wǎng)絡(luò)的主會話密鑰區(qū)分存儲。利用本發(fā)明���,可以保證終端通過當前網(wǎng)絡(luò)執(zhí)行到切換目標網(wǎng)絡(luò)預(yù)認證時����,針對到目標網(wǎng)絡(luò)預(yù)認證生成的密鑰與當前網(wǎng)絡(luò)認證的密鑰不會互相覆蓋�����。
文檔編號H04W36/14GK102111761SQ20091026171
公開日2011年6月29日 申請日期2009年12月28日 優(yōu)先權(quán)日2009年12月28日
發(fā)明者丁志明, 楊永利, 樹貴明 申請人:深圳華為通信技術(shù)有限公司