一种密钥生成和分发的方法和系统.pdf

1、10申请公布号CN101998389A43申请公布日20110330CN101998389ACN101998389A21申请号200910169022X22申请日20090908H04W12/04200901H04W12/06200901H04W36/14200901H04W92/0220090171申请人中兴通讯股份有限公司地址518057广东省深圳市南山区高新技术产业园科技南路中兴通讯大厦法律部72发明人涂杨巍楚俊生74专利代理机构北京安信方达知识产权代理有限公司11262代理人王艺龙洪54发明名称一种密钥生成和分发的方法和系统57摘要本发明公开了一种密钥生成和分发的方法和系统，所述密钥生

2、成和分发的方法包括当终端通过WIFI网络接入到WIMAX核心网时，在接入鉴权的过程中，终端与WIMAX核心网的AAA服务器之间产生WIFI网络的MSK和EMSK；所述AAA服务器将MSK，以及EMSK衍生的密钥下发到WIFI网络的鉴权器。本发明克服了从互通单元到WIMAX核心网的网关之间的移动IP通道将因为缺少用户鉴权的密钥而无法建立的问题，保证了整个网络中的数据通讯的安全，而且保证了用户业务的连续性。51INTCL19中华人民共和国国家知识产权局12发明专利申请权利要求书2页说明书8页附图4页CN101998394A1/2页21一种WIMAX和WIFI互通中密钥生成的方法，包括当终端通过无线

3、保真WIFI网络接入到全球微波接入互操作性WIMAX核心网时，在接入鉴权的过程中，终端与WIMAX核心网的鉴权授权计费AAA服务器之间产生WIFI网络的主会话密钥MSK和扩展主会话密钥EMSK。2一种WIMAX和WIFI互通中密钥生成和分发的方法，包括当终端通过WIFI网络接入到WIMAX核心网时，在接入鉴权的过程中，终端与WIMAX核心网的AAA服务器之间产生WIFI网络的MSK和EMSK；所述AAA服务器将MSK，以及EMSK衍生的密钥下发到WIFI网络的鉴权器。3如权利要求2所述的方法，其特征在于，所述AAA服务器将MSK，以及EMSK衍生的密钥下发到WIFI网络的鉴权器的步骤具体包括所

4、述AAA服务器将MSK，以及EMSK衍生的密钥下发给互通单元；所述互通单元将所述MSK，以及EMSK衍生的密钥转发给WIFI网络的鉴权器。4如权利要求2所述的方法，其特征在于，所述AAA服务器将MSK，以及EMSK衍生的密钥下发到WIFI网络的鉴权器之后，当终端发起代理移动IPPMIP注册时，所述WIFI网络的鉴权器将PMIP注册所需的EMSK衍生的密钥传递给互通单元，用于互通单元与WIMAX核心网的网关之间的移动IP通道的用户鉴权。5如权利要求24中任意一项所述的方法，其特征在于，针对同一个签约用户，所述终端、WIMAX核心网的AAA服务器和网关均支持两套密钥，一套密钥用于当前会话，一套密钥

5、用于即将开始的下次会话。6如权利要求5所述的方法，其特征在于，所述两套密钥中，每套密钥均包含MSK和EMSK；所述两套密钥中，一套密钥为WIMAX网络的密钥，另外一套密钥为WIFI网络的密钥。7如权利要求5所述的方法，其特征在于，所述终端通过WIFI网络接入WIMAX核心网具体为终端从WIFI网络初始接入WIMAX核心网，或者，终端从WIMAX网络切换到WIFI网络。8如权利要求7所述的方法，其特征在于，所述终端从WIMAX网络切换到WIFI网络时，接入鉴权过程中，终端与WIMAX核心网的AAA服务器之间产生WIFI网络的一套密钥，并保留当前的WIMAX网络的一套密钥，以及，在切换过程中，所述

6、终端、WIMAX核心网的AAA服务器和网关同时使用所述WIFI网络的一套密钥和WIMAX网络的一套密钥，用于使用户业务不中断。9如权利要求4所述的方法，其特征在于，所述WIFI网络的鉴权器通过动态主机控制协议DHCP消息将EMSK衍生的密钥传递给互通单元，所述DHCP消息为DHCP发现消息或DHCP请求消息或DHCP通知消息。10如权利要求4所述的方法，其特征在于，所述PMIP分为PMIPV4和PMIPV6，在PMIPV4场景下，EMSK衍生密钥包括MNHA，MNFA，FAHA和SPIPMIPV4；PMIPV6场景下，EMSK衍生密钥包括MAGLMAPMIP6。权利要求书CN101998389

7、ACN101998394A2/2页311如权利要求4所述的方法，其特征在于，所述核心网的网关为家乡代理或本地移动代理。12一种WIMAX和WIFI互通中密钥生成和分发的系统，包括终端、WIMAX核心网的AAA服务器和WIFI网络的鉴权器，其特征在于，所述终端用于通过WIFI网络接入到WIMAX核心网时，在接入鉴权的过程中，与WIMAX核心网的AAA服务器之间产生WIFI网络的MSK和EMSK；所述WIMAX核心网的AAA服务器用于与终端之间产生WIFI网络的MSK和EMSK，并将MSK，以及EMSK衍生的密钥下发到WIFI网络的鉴权器。13如权利要求12所述的系统，其特征在于，所述系统还包括互

8、通单元，所述AAA服务器进一步用于将MSK，以及EMSK衍生的密钥下发给互通单元；所述互通单元进一步用于将所述MSK，以及EMSK衍生的密钥转发给WIFI网络的鉴权器。14如权利要求13所述的系统，其特征在于，所述WIFI网络的鉴权器进一步用于当终端发起PMIP注册时，将PMIP注册所需的EMSK衍生的密钥传递给互通单元；所述互通单元进一步用于将PMIP注册所需的EMSK衍生的密钥用于与WIMAX核心网的网关之间的移动IP通道的用户鉴权。15如权利要求12所述的系统，其特征在于，所述系统还包括WIMAX核心网的网关；所述终端进一步用于从WIMAX网络切换到WIFI网络时，接入鉴权过程中，终端与

9、WIMAX核心网的AAA服务器之间产生WIFI网络的一套密钥，并保留当前的WIMAX网络的一套密钥，在切换过程中，同时使用所述WIFI网络的一套密钥和WIMAX网络的一套密钥；所述WIMAX核心网的AAA服务器进一步用于终端从WIMAX网络切换到WIFI网络时，接入鉴权过程中，与终端之间产生WIFI网络的一套密钥，并保留当前的WIMAX网络的一套密钥，在切换过程中，同时使用所述WIFI网络的一套密钥和WIMAX网络的一套密钥；所述WIMAX核心网的网关进一步用于在切换过程中，同时使用所述WIFI网络的一套密钥和WIMAX网络的一套密钥。权利要求书CN101998389ACN101998394A

10、1/8页4一种密钥生成和分发的方法和系统技术领域0001本发明涉及WIMAX网络与WIFI网络技术，尤其涉及一种WIMAX和WIFI互通中密钥生成和分发的方法和系统。背景技术0002全球微波接入互操作性WIMAX，WORLDINTEROPERABILITYFORMICROWAVEACCESS是基于IEEE80216标准的宽带无线接入技术，能够有效地利用有限的无线频谱资源而提供较大的空口带宽最高70MBPS的数据传输能力和更广的传输覆盖范围无线信号传输距离最远可达50公里。WIFIWIRELESSFIDELITY，无线保真网络也是能够提供较高带宽的无线网络，目前已经在办公室、家庭和宾馆等场所大量

11、部署。但是WIFI作为一种短距离无线技术，其网络覆盖范围较小约100米左右，一般只能作为其它无线技术组网的补充。不过WIFI网络具有建网费用低、易部署等优点，而WIMAX如果建成覆盖全国的网络，其投资成本将非常高，因此WIFI和WIMAX网络将在相当长时期内共存。考虑到WIMAX作为一种无线城域网技术，它可以将WIFI热点连接到互联网。WIMAX与WIFI两种网络的互通将有助于两个网络的优势互补，并扩大覆盖范围，让移动用户在不同的无线接入网络环境中，更广泛的地理范围内既能利用两个网络各自不同的特性，又能获得一致的业务访问。0003WIMAX系统与WIFI系统之间的网络互通有助于两个网络的优势互

12、补，扩大网络的覆盖范围，让移动终端在不同的无线接入网络环境中，利用两个网络各自不同的特性，获得一致的业务访问。图1是终端USEREQUIPMENT，用户设备，简称为UE处于非漫游情况下通过WIMAX接入服务网络以及通过WIFI网络接入WIMAX核心网即图中的WIMAX连接服务网络的结构框图，包含下列网元0004互通单元INTERWORKINGFUNCTION，简称为IWK位于WIMAX网络，负责终端通过WIFI网络初始接入WIMAX网络、协调WIMAX与WIFI网络之间的切换。0005接入点ACCESSPOINT，简称为AP位于WIFI网络，是一个具备无线信号发射功能的集线器，它可为多台无线上

13、网设备提供对话汇接。相当于有线网络中的集线器或交换机。0006接入控制器ACCESSCONTROLLER，简称AC位于WIFI网络，在WIFI与INTERNET之间起到网关功能，将来自不同AP的数据进行汇聚、接入INTERNET。AC作为客户端可以通过网络标志来为用户完成接入鉴权和认证等。0007WIFI信令转发单元WIFISIGNALFORWARDFUNCTION，简称WIFISFF是一个在WIMAX网络中，负责转发WIFI信令的网元。具体实现可能位于WIFI网络或者独立于WIMAX和WIFI网络。0008WIMAX信令转发单元WIMAXSIGNALFORWARDFUNCTION，简称WIM

14、AXSFF是一个在WIFI网络中，负责转发WIMAX信令的网元。具体实现可能位于WIMAX网络或者独立于WIMAX和WIFI网络。说明书CN101998389ACN101998394A2/8页50009目前基于IEEE80211系列标准的WIFI网络只保证空口安全，即只产生设备鉴权的相关密钥，而基于IEEE80216系列标准的WIMAX网络需要保证空口和用户安全，即需要产生设备鉴权和用户鉴权的相关密钥。当用户通过终端从WIFI网络接入WIMAX核心网使用WIMAX业务时，从互通单元到WIMAX核心网的网关即家乡代理或本地移动代理之间的移动IP通道将因为缺少用户鉴权的密钥而无法建立。0010另外

15、，当用户从WIMAX网络切换到WIFI网络的时候，WIFI网络的鉴权器发起用户的接入鉴权的过程中，新产生的密钥会造成原有WIMAX网络中的密钥失效，从而造成用户业务的中断。发明内容0011本发明要解决的技术问题就是提出一种WIMAX和WIFI互通中密钥生成和分发的方法和系统，克服终端通过WIFI网络接入WIMAX核心网时，从互通单元到WIMAX核心网的网关之间的移动IP通道将因为缺少用户鉴权的密钥而无法建立的问题。0012本发明解决的另一个技术问题就是克服当用户从WIMAX网络切换到WIFI网络的时候，新产生的密钥造成原有WIMAX网络中的密钥失效，从而造成用户业务的中断的问题。0013为了解

16、决上述技术问题，本发明提供一种WIMAX和WIFI互通中密钥生成的方法，包括0014当终端通过无线保真WIFI网络接入到全球微波接入互操作性WIMAX核心网时，在接入鉴权的过程中，终端与WIMAX核心网的鉴权授权计费AAA服务器之间产生WIFI网络的主会话密钥MSK和扩展主会话密钥EMSK。0015为了解决上述技术问题，本发明提供一种WIMAX和WIFI互通中密钥生成和分发的方法，包括0016当终端通过WIFI网络接入到WIMAX核心网时，在接入鉴权的过程中，终端与WIMAX核心网的AAA服务器之间产生WIFI网络的MSK和EMSK；0017所述AAA服务器将MSK，以及EMSK衍生的密钥下发

17、到WIFI网络的鉴权器。0018进一步地，上述方法还可具有以下特点0019所述AAA服务器将MSK，以及EMSK衍生的密钥下发到WIFI网络的鉴权器的步骤具体包括0020所述AAA服务器将MSK，以及EMSK衍生的密钥下发给互通单元；0021所述互通单元将所述MSK，以及EMSK衍生的密钥转发给WIFI网络的鉴权器。0022进一步地，上述方法还可具有以下特点0023所述AAA服务器将MSK，以及EMSK衍生的密钥下发到WIFI网络的鉴权器之后，当终端发起代理移动IPPMIP注册时，所述WIFI网络的鉴权器将PMIP注册所需的EMSK衍生的密钥传递给互通单元，用于互通单元与WIMAX核心网的网关

18、之间的移动IP通道的用户鉴权。0024进一步地，上述方法还可具有以下特点0025针对同一个签约用户，所述终端、WIMAX核心网的AAA服务器和网关均支持两套密钥，一套密钥用于当前会话，一套密钥用于即将开始的下次会话。0026进一步地，上述方法还可具有以下特点说明书CN101998389ACN101998394A3/8页60027所述两套密钥中，每套密钥均包含MSK和EMSK；0028所述两套密钥中，一套密钥为WIMAX网络的密钥，另外一套密钥为WIFI网络的密钥。0029进一步地，上述方法还可具有以下特点0030所述终端通过WIFI网络接入WIMAX核心网具体为0031终端从WIFI网络初始接

19、入WIMAX核心网，或者，终端从WIMAX网络切换到WIFI网络。0032进一步地，上述方法还可具有以下特点0033所述终端从WIMAX网络切换到WIFI网络时，接入鉴权过程中，终端与WIMAX核心网的AAA服务器之间产生WIFI网络的一套密钥，并保留当前的WIMAX网络的一套密钥，以及，在切换过程中，所述终端、WIMAX核心网的AAA服务器和网关同时使用所述WIFI网络的一套密钥和WIMAX网络的一套密钥，用于使用户业务不中断。0034进一步地，上述方法还可具有以下特点0035所述WIFI网络的鉴权器通过动态主机控制协议DHCP消息将EMSK衍生的密钥传递给互通单元，所述DHCP消息为DHC

20、P发现消息或DHCP请求消息或DHCP通知消息。0036进一步地，上述方法还可具有以下特点0037所述PMIP分为PMIPV4和PMIPV6，0038在PMIPV4场景下，EMSK衍生密钥包括MNHA，MNFA，FAHA和SPIPMIPV4；0039PMIPV6场景下，EMSK衍生密钥包括MAGLMAPMIP6。0040进一步地，上述方法还可具有以下特点0041所述核心网的网关为家乡代理或本地移动代理。0042为了解决上述技术问题，本发明提供一种WIMAX和WIFI互通中密钥生成和分发的系统，包括终端、WIMAX核心网的AAA服务器和WIFI网络的鉴权器，0043所述终端用于通过WIFI网络接

21、入到WIMAX核心网时，在接入鉴权的过程中，与WIMAX核心网的AAA服务器之间产生WIFI网络的MSK和EMSK；0044所述WIMAX核心网的AAA服务器用于与终端之间产生WIFI网络的MSK和EMSK，并将MSK，以及EMSK衍生的密钥下发到WIFI网络的鉴权器。0045进一步地，上述系统还可具有以下特点0046所述系统还包括互通单元，0047所述AAA服务器进一步用于将MSK，以及EMSK衍生的密钥下发给互通单元；0048所述互通单元进一步用于将所述MSK，以及EMSK衍生的密钥转发给WIFI网络的鉴权器。0049进一步地，上述系统还可具有以下特点0050所述WIFI网络的鉴权器进一步

22、用于当终端发起PMIP注册时，将PMIP注册所需的EMSK衍生的密钥传递给互通单元；0051所述互通单元进一步用于将PMIP注册所需的EMSK衍生的密钥用于与WIMAX核心网的网关之间的移动IP通道的用户鉴权。0052进一步地，上述系统还可具有以下特点0053所述系统还包括WIMAX核心网的网关；说明书CN101998389ACN101998394A4/8页70054所述终端进一步用于从WIMAX网络切换到WIFI网络时，接入鉴权过程中，终端与WIMAX核心网的AAA服务器之间产生WIFI网络的一套密钥，并保留当前的WIMAX网络的一套密钥，在切换过程中，同时使用所述WIFI网络的一套密钥和W

23、IMAX网络的一套密钥；0055所述WIMAX核心网的AAA服务器进一步用于终端从WIMAX网络切换到WIFI网络时，接入鉴权过程中，与终端之间产生WIFI网络的一套密钥，并保留当前的WIMAX网络的一套密钥，在切换过程中，同时使用所述WIFI网络的一套密钥和WIMAX网络的一套密钥；0056所述WIMAX核心网的网关进一步用于在切换过程中，同时使用所述WIFI网络的一套密钥和WIMAX网络的一套密钥。0057本发明通过终端与WIMAX核心网的AAAAUTHENTICATION，AUTHORIZATIONANDACCOUNTING，鉴权授权计费服务器之间产生WIFI网络的EMSKEXTENDE

24、DMASTERSESSIONKEY，扩展主会话密钥，并将EMSK衍生的密钥传递给互通单元，克服了从互通单元到WIMAX核心网的网关之间的移动IP通道将因为缺少用户鉴权的密钥而无法建立的问题。保证了整个网络中的数据通讯的安全；而且，终端、WIMAX核心网的AAA服务器和网关均支持两套密钥，使得互通网络环境下新产生的密钥不会造成当前密钥过期，保证了用户业务的连续性。附图说明0058图1是非漫游场景下，WIFI和WIMAX互通网络的参考网络架构；0059图2是本发明实施例的密钥生成和分发的方法流程图。0060图3是应用实例一终端从WIFI初始入网场景下的示意图。0061图4是应用实例二终端从WIMA

25、X网络切换到WIFI网络场景下的示意图。具体实施方式0062在本发明中，当终端通过WIFI网络接入到WIMAX核心网时，在接入鉴权的过程中，终端与WIMAX核心网的AAA服务器之间产生WIFI网络的MSK和EMSK；所述AAA服务器将MSK，以及EMSK衍生的密钥下发到WIFI网络的鉴权器；所述WIFI网络的鉴权器将所述MSK用于空口鉴权；当终端发起PMIPPROXYMOBILEIP，代理移动IP注册时，所述WIFI网络的鉴权器将PMIP注册所需的EMSK衍生的密钥传递给互通单元，用于互通单元与WIMAX核心网的网关之间的移动IP通道的用户鉴权；0063另外，针对同一个签约用户，所述终端、WI

26、MAX核心网的AAA服务器和网关从仅支持一套密钥扩展为支持两套密钥，一套密钥用于当前会话，一套密钥用于即将开始的下次会话，使互通网络环境下新产生的密钥不会造成当前密钥过期。0064具体地，所述终端从WIMAX网络切换到WIFI网络时，接入鉴权过程中，终端与WIMAX核心网的AAA服务器之间产生WIFI网络的一套密钥，并保留当前的WIMAX网络的一套密钥，以及，在切换过程中，所述终端、WIMAX核心网的AAA服务器和网关同时使用所述WIFI网络的一套密钥和WIMAX网络的一套密钥，用于使用户业务不中断。0065这样，当终端从WIMAX网络切换到WIFI网络的时候，终端与AAA服务器将在预鉴权流程

27、中保留用于当前会话的WIMAX密钥的同时，完成WIFI网络的MSK和EMSK的产生和分发。说明书CN101998389ACN101998394A5/8页80066下面结合附图及具体实施例对本发明进行详细说明。0067如图2所示，本发明实施例的WIMAX和WIFI互通中密钥生成和分发的方法，该方法包括0068步骤201终端和WIMAXAAA服务器和网关对于同一个签约用户由支持单套密钥扩展为支持两套密钥，一套用于当前会话，一套用于即将开始的下次会话。0069两套密钥中，每套密钥均包含MSK和EMSK，一套密钥为WIMAX网络的密钥，另外一套密钥为WIFI网络的密钥。0070在PMIPV4场景下，W

28、IMAX核心网网关为家乡代理；在PMIPV6场景下，核心网网关为本地移动代理。0071步骤202终端通过WIFI网络接入到WIMAX核心网时，在接入鉴权的过程中，终端和WIMAX核心网AAA服务器之间产生WIFI网络的MSK和EMSK，其中AAA服务器将产生的WIFI网络的MSK，以及EMSK衍生出的密钥通过接入接受消息下发到互通单元，互通单元随后通过接入接受消息将MSK和EMSK衍生的密钥转发到鉴权器上。0072终端通过WIFI网络接入WIMAX核心网具体可以是终端从WIFI网络初始接入WIMAX核心网，或者，终端从WIMAX网络切换到WIFI网络。0073终端从WIFI网络初始接入WIMA

29、X核心网，则接入鉴权为初始接入鉴权；0074终端从WIMAX网络切换到WIFI网络，则接入鉴权为接入预鉴权。0075其中，如果终端发起的是接入预鉴权，这说明终端是出于切换状态，当终端从WIMAX向WIFI切换的时候，虽然WIMAX网络鉴权器不支持预切换，但本次会话中与密钥相关的仅仅为终端、WIFI鉴权器、互通单元、家乡代理和WIMAXAAA服务器，因此在保持WIMAX网络中的密钥外，在WIFI网络中重新生成一套密钥用于保护WIFI空口MSK，WIFI到WIMAX的安全EMSK也不会对WIMAX中的当前会话产生影响。0076如果终端发起的是接入预鉴权，且终端从WIFI向WIMAX切换，由于WIF

30、I网络本身支持预切换终端、鉴权器，即能够同时使用两套密钥即当前密钥和下次密钥，仅仅需要WIMAXAAA和HA支持，WIMAX网络即可重新生成一套密钥而不影响WIFI的当前会话。0077步骤203当终端发起移动IP注册的时候，鉴权器根据接收到的EMSK衍生的密钥进一步产生PMIP注册所需的EMSK衍生的密钥，并将PMIP注册所需的EMSK衍生的密钥通过DHCPDYNAMICHOSTCONFIGURATIONPROTOCOL，动态主机控制协议消息从WIFI接入网发给互通单元。0078与传统WIFI网络不同，此WIFI网络的鉴权器需要能够处理EMSK衍生出的密钥，并能够修改从终端发出的DHCP消息，

31、从而将EMSK的衍生密钥包含在DHCP消息发送到互通单元。类似的，WIMAXAAA需要能够支持预鉴权，即支持两套密钥，从而当通过WIFI接入WIMAX的时候新产生的密钥不会对WIMAX中的当前会话所使用的用户鉴权密钥EMSK产生影响。0079图3示例了终端通过WIFI网络初始入网场景下的密钥的生成和分发的实施例。0080步骤301，终端和WIFI网络网元之间的物理层和MAC层的建立；0081步骤302，终端与WIFI网络进行80211关联；0082步骤303304，终端发起WIFI网络的接入鉴权，采用8021X协议定义的EAPOLEXTENSIBLEAUTHENTICATIONPROTOCOL

32、OVERLAN，基于局域网的可扩展鉴权协议说明书CN101998389ACN101998394A6/8页9技术。0083步骤305，互通单元会将EAPOL消息转化为EAPEXTENSIBLEAUTHENTICATIONPROTOCOL，可扩展鉴权协议消息，同时终端和AAA服务器之间会在此EAP鉴权接入过程中产生WIFIMSK和EMSK密钥。0084步骤306，此步骤属于步骤305中的一个子步骤，AAA服务器会将WIFIMSK和EMSK衍生出的密钥，即MNHAMOBILENODEHOMEAGENT，终端家乡代理密钥，SPIPMIPV4SECURITYPARAMETERSINDEXPROXYMOB

33、ILEIPV4，代理移动IPV4安全索引，HARKHOMEAGENTROOTKEY，家乡代理根密钥，FARKFOREIGNAGENTROOTKEY，外部代理根密钥MIPV6场景下为PMIP6RKPROXYMOBILEIPV6ROOTKEY，代理移动IPV6根密钥，发送给互通单元，互通单元随后将这些密钥转发给WIFI接入网中的鉴权器。0085步骤307309，终端与WIFI网元之间使用MSK生成密钥PMKPAIRWISEMASTERKEY，成对主密钥，并通过四次握手产生密钥PTKPAIRWISETEMPORALKEY，成对临时密钥。0086步骤310，终端使用DHCP发现消息触发移动IP注册过程

34、。0087步骤311，WIFI接入网中的鉴权器会在DHCP发现消息中插入MNHA、MNFAMOBILENODEFOREIGNAGENT，终端外部代理密钥，FAHAFOREIGNAGENTHOMEAGENT，外部代理家乡代理密钥和SPIPMIPV4MIPV6场景下为MAGLMAPMIP6MOBILEACCESSGATEWAYLOCALMOBILITYAGENTPROXYMOBILEIPV6，移动接入网关本地移动代理代理移动IPV6密钥，并将此消息发送给互通单元中的PMIPCLIENT和FAMIPV6场景下为MAG。其中，MNFA根据FARK生成，MAGLMAPMIP6根据PMIP6RK生成，FA

35、HA根据HARK生成。0088步骤312，互通单元在RRQ移动IP注册请求或PBU代理绑定响应消息中包含MNHAAEMNHAAUTHENTICATIONEXTENSION，终端家乡代理鉴权扩展，FAHAAEFOREIGNAGENTHOMEAGENTAUTHENTICATIONEXTENSION，外部代理家乡代理鉴权扩展和SPIPMIP等密钥MIPV6场景下为MNHAAO和SPI，最后发送给家乡代理/本地移动代理。0089步骤313，家乡代理/本地移动代理会在接入请求消息中携带NAI和MNHASPI，并到AAA服务器上面去做验证。0090步骤314，AAA服务器将MNHA和HARKMIPV6场景

36、下为PMIP6RK包含在接入接受消息中发送给家乡代理/本地移动代理。0091步骤315，家乡代理/本地移动代理将MNHAAE和FAHAAEMIPV6场景下为MNHAAO包含在接入接受消息中发送给互通网元，同时该消息携带终端的IP地址。另外，PMIP通道也在这个步骤中被建立。0092步骤316，互通网元将DHCP提供消息中发送给WIFI网络的鉴权器。0093步骤317319，终端通过DHCP消息完成终端的IP地址获取。0094步骤320，终端发起业务建立并建立WIFI的上下行业务流，此业务流使用WIFIMSK和EMSK保护。0095图4示例了终端从WIMAX网络切换到WIFI网络的场景中，密钥的

37、生成和分发的实施例。0096步骤401，终端在WIMAX网络中接入鉴权流程，在此流程中，AAA服务器会在接入接说明书CN101998389ACN101998394A7/8页10受消息中将WIFI信令转发功能的地址信息发送给接入服务网关；0097步骤402403，终端发起DHCP过程获取WIFI信令转发功能的地址；0098步骤404，终端通过WIFI信令转发功能从WIFI网络做EAP预鉴权，采用的技术为基于8021X的EAPOL。0099步骤405，互通单元会将EAPOL消息转化为EAP消息，同时终端和AAA服务器之间会在此EAP预鉴权接入过程中保留WIMAX密钥的同时产生WIFI网络的MSK和

38、EMSK密钥。0100步骤406，此步骤属于步骤405中的一个子步骤，AAA服务器会将WIFIMSK和EMSK衍生出的密钥，即MNHA，SPIPMIPV4，HARK，FARKPMIPV6场景下为PMIP6RK，发送给互通单元，互通单元随后将这些密钥转发给WIFI接入网中的鉴权器。0101步骤407412，终端与WIFI网元之间使用MSK生成密钥PMKPAIRWISEMASTERKEY，成对主密钥，并通过四次握手产生密钥PTKPAIRWISETEMPORALKEY，成对临时密钥。0102步骤413，终端使用DHCP发现消息触发移动IP注册过程。0103步骤414，WIFI接入网中的鉴权器会在DH

39、CP发现消息中插入MNHA、MNFA、FAHA和SPIPMIPV4MIPV6场景下为MAGLMAPMIP6，并将此消息发送给互通单元中的PMIPCLIENT和FAMIPV6场景下为MAG。0104步骤415，互通单元在RRQ或PBU消息中包含MNHAAE，FAHAAE和SPIPMIPMIPV6场景下为MNHAAO和SPI等密钥，最后发送给家乡代理/本地移动代理。0105步骤416，家乡代理/本地移动代理会在接入请求消息中携带NAI和MNHASPI，并到AAA服务器上面去做验证。0106步骤417，AAA服务器将MNHA和HARKMIPV6场景下为PMIP6RK包含在接入接受消息中发送给家乡代理

40、/本地移动代理。0107步骤418，家乡代理/本地移动代理将MNHAAE和FAHAAEMIPV6场景下为MNHAAO包含在接入接受消息中发送给互通网元，同时该消息携带终端的IP地址。另外，PMIP通道也在这个步骤中被建立。0108步骤419，互通网元将DHCP提供消息中发送给WIFI网络的鉴权器。0109步骤420422，终端通过DHCP消息完成终端的IP地址获取。0110步骤423，终端发起业务建立并建立WIFI的上下行业务流，此业务流使用WIFIMSK和EMSK保证安全。0111步骤424，WIMAX网络中的空口和网络资源会被释放掉，同时新的密钥，即WIFIMSK和EMSK将直接取代网络中

41、原有的密钥WIMAXMSK和EMSK，原有密钥将被注销。0112上述应用实例中，除了DHCP发现消息，也可以使用DHCP请求和DHCP通知消息，但对应的返回消息仅为DHCP响应消息即318，319和421，422不再出现，此为现有技术。0113上述应用实例中，各种衍生密钥的构造方法为现有技术，此处不再详述。0114本发明实施例的WIMAX和WIFI互通中密钥生成和分发的系统，包括终端、WIMAX核心网的AAA服务器、WIMAX核心网的网关、互通单元和WIFI网络的鉴权器，0115所述终端用于通过WIFI网络接入到WIMAX核心网时，在接入鉴权的过程中，与WIMAX核心网的AAA服务器之间产生W

42、IFI网络的MSK和EMSK；0116所述WIMAX核心网的AAA服务器用于与终端之间产生WIFI网络的MSK和EMSK，并将MSK，以及EMSK衍生的密钥下发到WIFI网络的鉴权器。说明书CN101998389ACN101998394A8/8页110117所述AAA服务器进一步用于将MSK，以及EMSK衍生的密钥下发给互通单元；所述互通单元进一步用于将所述MSK，以及EMSK衍生的密钥转发给WIFI网络的鉴权器。0118所述WIFI网络的鉴权器进一步用于当终端发起PMIP注册时，将PMIP注册所需的EMSK衍生的密钥传递给互通单元；所述互通单元进一步用于将PMIP注册所需的EMSK衍生的密钥

43、用于与WIMAX核心网的网关之间的移动IP通道的用户鉴权。0119所述终端进一步用于从WIMAX网络切换到WIFI网络时，接入鉴权过程中，终端与WIMAX核心网的AAA服务器之间产生WIFI网络的一套密钥，并保留当前的WIMAX网络的一套密钥，在切换过程中，同时使用所述WIFI网络的一套密钥和WIMAX网络的一套密钥；0120所述WIMAX核心网的AAA服务器进一步用于终端从WIMAX网络切换到WIFI网络时，接入鉴权过程中，与终端之间产生WIFI网络的一套密钥，并保留当前的WIMAX网络的一套密钥，在切换过程中，同时使用所述WIFI网络的一套密钥和WIMAX网络的一套密钥；0121所述WIM

44、AX核心网的网关进一步用于在切换过程中，同时使用所述WIFI网络的一套密钥和WIMAX网络的一套密钥。0122当然，本发明还可有其它多种实施例，在不背离本发明精神及其实质的情况下，熟悉本领域的技术人员当可根据本发明作出各种相应的改变和变形，但这些相应的改变和变形都应属于本发明所附的权利要求的保护范围。说明书CN101998389ACN101998394A1/4页12图1说明书附图CN101998389ACN101998394A2/4页13图2说明书附图CN101998389ACN101998394A3/4页14图3说明书附图CN101998389ACN101998394A4/4页15图4说明书附图CN101998389A