一种密钥生成和分发的方法和系统 技术领域 本发明涉及 WiMAX 网络与 WiFi 网络技术, 尤其涉及一种 WiMAX 和 WiFi 互通中密 钥生成和分发的方法和系统。
背景技术 全 球 微 波 接 入 互 操 作 性 (WiMAX, World Interoperability for MicrowaveAccess) 是基于 IEEE 802.16 标准的宽带无线接入技术, 能够有效地利用有限的 无线频谱资源而提供较大的空口带宽 ( 最高 70Mbps 的数据传输能力 ) 和更广的传输覆盖 范围 ( 无线信号传输距离最远可达 50 公里 )。WiFi(Wireless Fidelity, 无线保真 ) 网络 也是能够提供较高带宽的无线网络, 目前已经在办公室、 家庭和宾馆等场所大量部署。 但是 WiFi 作为一种短距离无线技术, 其网络覆盖范围较小 ( 约 100 米左右 ), 一般只能作为其它 无线技术组网的补充。 不过 WiFi 网络具有建网费用低、 易部署等优点, 而 WiMAX 如果建成覆 盖全国的网络, 其投资成本将非常高, 因此 WiFi 和 WiMax 网络将在相当长时期内共存。考 虑到 WiMAX 作为一种无线城域网技术, 它可以将 Wi-Fi 热点连接到互联网。WiMAX 与 WiFi 两种网络的互通将有助于两个网络的优势互补, 并扩大覆盖范围, 让移动用户在不同的无 线接入网络环境中, 更广泛的地理范围内既能利用两个网络各自不同的特性, 又能获得一 致的业务访问。
WiMAX 系统与 WiFi 系统之间的网络互通有助于两个网络的优势互补, 扩大网络的 覆盖范围, 让移动终端在不同的无线接入网络环境中, 利用两个网络各自不同的特性, 获得 一致的业务访问。图 1 是终端 (User Equipment, 用户设备, 简称为 UE) 处于非漫游情况下 通过 WiMAX 接入服务网络以及通过 WiFi 网络接入 WiMAX 核心网 ( 即图中的 WiMAX 连接服 务网络 ) 的结构框图, 包含下列网元 :
互通单元 (Interworking Function, 简称为 IWK) : 位于 WiMAX 网络, 负责终端通过 WiFi 网络初始接入 WiMAX 网络、 协调 WiMAX 与 WiFi 网络之间的切换。
接入点 (Access Point, 简称为 AP) : 位于 WiFi 网络, 是一个具备无线信号发射功 能的集线器, 它可为多台无线上网设备提供对话汇接。相当于有线网络中的集线器或交换 机。
接入控制器 (Access Controller, 简称 AC) : 位于 WiFi 网络, 在 WiFi 与 Internet 之间起到网关功能, 将来自不同 AP 的数据进行汇聚、 接入 Internet。AC 作为客户端可以通 过网络标志来为用户完成接入鉴权和认证等。
WiFi 信令转发单元 (WiFi Signal Forward Function, 简称 WiFi SFF) : 是一个在 WiMAX 网络中, 负责转发 WiFi 信令的网元。具体实现可能位于 WiFi 网络或者独立于 WiMAX 和 WiFi 网络。
WiMAX 信令转发单元 (WiMAX Signal Forward Function, 简称 WiMAXSFF) : 是一个 在 WiFi 网络中, 负责转发 WiMAX 信令的网元。具体实现可能位于 WiMAX 网络或者独立于 WiMAX 和 WiFi 网络。
目前基于 IEEE 802.11 系列标准的 WiFi 网络只保证空口安全, 即只产生设备鉴权 的相关密钥, 而基于 IEEE 802.16 系列标准的 WiMAX 网络需要保证空口和用户安全, 即需要 产生设备鉴权和用户鉴权的相关密钥。当用户通过终端从 WiFi 网络接入 WiMAX 核心网使 用 WiMAX 业务时, 从互通单元到 WiMAX 核心网的网关 ( 即家乡代理或本地移动代理 ) 之间 的移动 IP 通道将因为缺少用户鉴权的密钥而无法建立。
另外, 当用户从 WiMAX 网络切换到 WiFi 网络的时候, WiFi 网络的鉴权器发起用户 的接入鉴权的过程中, 新产生的密钥会造成原有 WiMAX 网络中的密钥失效, 从而造成用户 业务的中断。 发明内容
本发明要解决的技术问题就是提出一种 WiMAX 和 WiFi 互通中密钥生成和分发的 方法和系统, 克服终端通过 WiFi 网络接入 WiMAX 核心网时, 从互通单元到 WiMAX 核心网的 网关之间的移动 IP 通道将因为缺少用户鉴权的密钥而无法建立的问题。
本发明解决的另一个技术问题就是 : 克服当用户从 WiMAX 网络切换到 WiFi 网络的 时候, 新产生的密钥造成原有 WiMAX 网络中的密钥失效, 从而造成用户业务的中断的问题。
为了解决上述技术问题, 本发明提供一种 WiMAX 和 WiFi 互通中密钥生成的方法, 包括 :
当终端通过无线保真 (WiFi) 网络接入到全球微波接入互操作性 (WiMAX) 核心网 时, 在接入鉴权的过程中, 终端与 WiMAX 核心网的鉴权授权计费 (AAA) 服务器之间产生 WiFi 网络的主会话密钥 (MSK) 和扩展主会话密钥 (EMSK)。
为了解决上述技术问题, 本发明提供一种 WiMAX 和 WiFi 互通中密钥生成和分发的 方法, 包括 :
当终端通过 WiFi 网络接入到 WiMAX 核心网时, 在接入鉴权的过程中, 终端与 WiMAX 核心网的 AAA 服务器之间产生 WiFi 网络的 MSK 和 EMSK ;
所述 AAA 服务器将 MSK, 以及 EMSK 衍生的密钥下发到 WiFi 网络的鉴权器。
进一步地, 上述方法还可具有以下特点 :
所述 AAA 服务器将 MSK, 以及 EMSK 衍生的密钥下发到 WiFi 网络的鉴权器的步骤具 体包括 :
所述 AAA 服务器将 MSK, 以及 EMSK 衍生的密钥下发给互通单元 ;
所述互通单元将所述 MSK, 以及 EMSK 衍生的密钥转发给 WiFi 网络的鉴权器。
进一步地, 上述方法还可具有以下特点 :
所述 AAA 服务器将 MSK, 以及 EMSK 衍生的密钥下发到 WiFi 网络的鉴权器之后, 当 终端发起代理移动 IP(PMIP) 注册时, 所述 WiFi 网络的鉴权器将 PMIP 注册所需的 EMSK 衍 生的密钥传递给互通单元, , 用于互通单元与 WiMAX 核心网的网关之间的移动 IP 通道的用 户鉴权。
进一步地, 上述方法还可具有以下特点 :
针对同一个签约用户, 所述终端、 WiMAX 核心网的 AAA 服务器和网关均支持两套密 钥, 一套密钥用于当前会话, 一套密钥用于即将开始的下次会话。
进一步地, 上述方法还可具有以下特点 :所述两套密钥中, 每套密钥均包含 MSK 和 EMSK ; 所述两套密钥中, 一套密钥为 WiMAX 网络的密钥, 另外一套密钥为 WiFi 网络的密 进一步地, 上述方法还可具有以下特点 : 所述终端通过 WiFi 网络接入 WiMAX 核心网具体为 : 终端从 WiFi 网络初始接入 WiMAX 核心网, 或者, 终端从 WiMAX 网络切换到 WiFi 网钥。
络。 进一步地, 上述方法还可具有以下特点 :
所述终端从 WiMAX 网络切换到 WiFi 网络时, 接入鉴权过程中, 终端与 WiMAX 核心 网的 AAA 服务器之间产生 WiFi 网络的一套密钥, 并保留当前的 WiMAX 网络的一套密钥, 以 及, 在切换过程中, 所述终端、 WiMAX 核心网的 AAA 服务器和网关同时使用所述 WiFi 网络的 一套密钥和 WiMAX 网络的一套密钥, 用于使用户业务不中断。
进一步地, 上述方法还可具有以下特点 :
所述 WiFi 网络的鉴权器通过动态主机控制协议 (DHCP) 消息将 EMSK 衍生的密钥 传递给互通单元, 所述 DHCP 消息为 : DHCP 发现消息或 DHCP 请求消息或 DHCP 通知消息。
进一步地, 上述方法还可具有以下特点 :
所述 PMIP 分为 PMIPv4 和 PMIPv6,
在 PMIPv4 场景下, EMSK 衍生密钥包括 MN-HA, MN-FA, FA-HA 和 SPI-PMIPv4 ;
PMIPv6 场景下, EMSK 衍生密钥包括 MAG-LMA-PMIP6。
进一步地, 上述方法还可具有以下特点 :
所述核心网的网关为家乡代理或本地移动代理。
为了解决上述技术问题, 本发明提供一种 WiMAX 和 WiFi 互通中密钥生成和分发的 系统, 包括 : 终端、 WiMAX 核心网的 AAA 服务器和 WiFi 网络的鉴权器,
所述终端用于通过 WiFi 网络接入到 WiMAX 核心网时, 在接入鉴权的过程中, 与 WiMAX 核心网的 AAA 服务器之间产生 WiFi 网络的 MSK 和 EMSK ;
所述 WiMAX 核心网的 AAA 服务器用于与终端之间产生 WiFi 网络的 MSK 和 EMSK, 并 将 MSK, 以及 EMSK 衍生的密钥下发到 WiFi 网络的鉴权器。
进一步地, 上述系统还可具有以下特点 :
所述系统还包括互通单元,
所述 AAA 服务器进一步用于将 MSK, 以及 EMSK 衍生的密钥下发给互通单元 ;
所述互通单元进一步用于将所述 MSK, 以及 EMSK 衍生的密钥转发给 WiFi 网络的鉴 权器。
进一步地, 上述系统还可具有以下特点 :
所述 WiFi 网络的鉴权器进一步用于当终端发起 PMIP 注册时, 将 PMIP 注册所需的 EMSK 衍生的密钥传递给互通单元 ;
所述互通单元进一步用于将 PMIP 注册所需的 EMSK 衍生的密钥用于与 WiMAX 核心 网的网关之间的移动 IP 通道的用户鉴权。
进一步地, 上述系统还可具有以下特点 :
所述系统还包括 WiMAX 核心网的网关 ;
所述终端进一步用于从 WiMAX 网络切换到 WiFi 网络时, 接入鉴权过程中, 终端与 WiMAX 核心网的 AAA 服务器之间产生 WiFi 网络的一套密钥, 并保留当前的 WiMAX 网络的一 套密钥, 在切换过程中, 同时使用所述 WiFi 网络的一套密钥和 WiMAX 网络的一套密钥 ;
所述 WiMAX 核心网的 AAA 服务器进一步用于终端从 WiMAX 网络切换到 WiFi 网络 时, 接入鉴权过程中, 与终端之间产生 WiFi 网络的一套密钥, 并保留当前的 WiMAX 网络的一 套密钥, 在切换过程中, 同时使用所述 WiFi 网络的一套密钥和 WiMAX 网络的一套密钥 ;
所述 WiMAX 核心网的网关进一步用于在切换过程中, 同时使用所述 WiFi 网络的一 套密钥和 WiMAX 网络的一套密钥。
本 发 明 通 过 终 端 与 WiMAX 核 心 网 的 AAA(Authentication, Authorizationand Accounting, 鉴权授权计费 ) 服务器之间产生 WiFi 网络的 EMSK(Extended Master Session Key, 扩展主会话密钥 ), 并将 EMSK 衍生的密钥传递给互通单元, 克服了从互通单元到 WiMAX 核心网的网关之间的移动 IP 通道将因为缺少用户鉴权的密钥而无法建立的问题。保证了 整个网络中的数据通讯的安全 ; 而且, 终端、 WiMAX 核心网的 AAA 服务器和网关均支持两套 密钥, 使得互通网络环境下新产生的密钥不会造成当前密钥过期, 保证了用户业务的连续 性。 附图说明
图 1 是非漫游场景下, WiFi 和 WiMAX 互通网络的参考网络架构 ; 图 2 是本发明实施例的密钥生成和分发的方法流程图。 图 3 是应用实例一终端从 WiFi 初始入网场景下的示意图。 图 4 是应用实例二终端从 WiMAX 网络切换到 WiFi 网络场景下的示意图。具体实施方式
在本发明中, 当终端通过 WiFi 网络接入到 WiMAX 核心网时, 在接入鉴权的过程中, 终端与 WiMAX 核心网的 AAA 服务器之间产生 WiFi 网络的 MSK 和 EMSK ; 所述 AAA 服务器将 MSK, 以及 EMSK 衍生的密钥下发到 WiFi 网络的鉴权器 ; 所述 WiFi 网络的鉴权器将所述 MSK 用于空口鉴权 ; 当终端发起 PMIP(Proxy Mobile IP, 代理移动 IP) 注册时, 所述 WiFi 网络 的鉴权器将 PMIP 注册所需的 EMSK 衍生的密钥传递给互通单元, 用于互通单元与 WiMAX 核 心网的网关之间的移动 IP 通道的用户鉴权 ;
另外, 针对同一个签约用户, 所述终端、 WiMAX 核心网的 AAA 服务器和网关从仅支 持一套密钥扩展为支持两套密钥, 一套密钥用于当前会话, 一套密钥用于即将开始的下次 会话, 使互通网络环境下新产生的密钥不会造成当前密钥过期。
具体地, 所述终端从 WiMAX 网络切换到 WiFi 网络时, 接入鉴权过程中, 终端与 WiMAX 核心网的 AAA 服务器之间产生 WiFi 网络的一套密钥, 并保留当前的 WiMAX 网络的一 套密钥, 以及, 在切换过程中, 所述终端、 WiMAX 核心网的 AAA 服务器和网关同时使用所述 WiFi 网络的一套密钥和 WiMAX 网络的一套密钥, 用于使用户业务不中断。
这样, 当终端从 WiMAX 网络切换到 WiFi 网络的时候, 终端与 AAA 服务器将在预鉴 权流程中保留用于当前会话的 WiMAX 密钥的同时, 完成 WiFi 网络的 MSK 和 EMSK 的产生和 分发。下面结合附图及具体实施例对本发明进行详细说明。
如图 2 所示, 本发明实施例的 WiMAX 和 WiFi 互通中密钥生成和分发的方法, 该方 法包括 :
步骤 201 : 终端和 WiMAX AAA 服务器和网关对于同一个签约用户由支持单套密钥 扩展为支持两套密钥, 一套用于当前会话, 一套用于即将开始的下次会话。
两套密钥中, 每套密钥均包含 MSK 和 EMSK, 一套密钥为 WiMAX 网络的密钥, 另外一 套密钥为 WiFi 网络的密钥。
在 PMIPv4 场景下, WiMAX 核心网网关为家乡代理 ; 在 PMIPv6 场景下, 核心网网关 为本地移动代理。
步骤 202 : 终端通过 WiFi 网络接入到 WiMAX 核心网时, 在接入鉴权的过程中, 终端 和 WiMAX 核心网 AAA 服务器之间产生 WiFi 网络的 MSK 和 EMSK, 其中 AAA 服务器将产生的 WiFi 网络的 MSK, 以及 EMSK 衍生出的密钥通过接入接受消息下发到互通单元, 互通单元随 后通过接入接受消息将 MSK 和 EMSK 衍生的密钥转发到鉴权器上。
终端通过 WiFi 网络接入 WiMAX 核心网具体可以是 : 终端从 WiFi 网络初始接入 WiMAX 核心网, 或者, 终端从 WiMAX 网络切换到 WiFi 网络。 终端从 WiFi 网络初始接入 WiMAX 核心网, 则接入鉴权为初始接入鉴权 ;
终端从 WiMAX 网络切换到 WiFi 网络, 则接入鉴权为接入预鉴权。
其中, 如果终端发起的是接入预鉴权, 这说明终端是出于切换状态, 当终端从 WiMAX 向 WiFi 切换的时候, 虽然 WiMAX 网络鉴权器不支持预切换, 但本次会话中与密钥相关 的仅仅为终端、 WiFi 鉴权器、 互通单元、 家乡代理和 WiMAX AAA 服务器, 因此在保持 WiMAX 网 络中的密钥外, 在 WiFi 网络中重新生成一套密钥用于保护 WiFi 空口 (MSK), WiFi 到 WiMAX 的安全 (EMSK) 也不会对 WiMAX 中的当前会话产生影响。
如果终端发起的是接入预鉴权, 且终端从 WiFi 向 WiMAX 切换, 由于 WiFi 网络本身 支持预切换 ( 终端、 鉴权器 ), 即能够同时使用两套密钥 ( 即当前密钥和下次密钥 ), 仅仅需 要 WiMAX AAA 和 HA 支持, WiMAX 网络即可重新生成一套密钥而不影响 WiFi 的当前会话。
步骤 203 : 当终端发起移动 IP 注册的时候, 鉴权器根据接收到的 EMSK 衍生的密钥 进一步产生 PMIP 注册所需的 EMSK 衍生的密钥, 并将 PMIP 注册所需的 EMSK 衍生的密钥通 过 DHCP(Dynamic Host ConfigurationProtocol, 动态主机控制协议 ) 消息从 WiFi 接入网 发给互通单元。
与传统 WiFi 网络不同, 此 WiFi 网络的鉴权器需要能够处理 EMSK 衍生出的密钥, 并能够修改从终端发出的 DHCP 消息, 从而将 EMSK 的衍生密钥包含在 DHCP 消息发送到互 通单元。类似的, WiMAX AAA 需要能够支持预鉴权, 即支持两套密钥, 从而当通过 WiFi 接入 WiMAX 的时候新产生的密钥不会对 WiMAX 中的当前会话所使用的用户鉴权密钥 (EMSK) 产生 影响。
图 3 示例了终端通过 WiFi 网络初始入网场景下的密钥的生成和分发的实施例。
步骤 301, 终端和 WiFi 网络网元之间的物理层和 MAC 层的建立 ;
步骤 302, 终端与 WiFi 网络进行 802.11 关联 ;
步 骤 303-304, 终 端 发 起 WiFi 网 络 的 接 入 鉴 权, 采 用 802.1x 协 议 定 义 的 EAPoL(Extensible Authentication Protocol over LAN, 基于局域网的可扩展鉴权协议 )
技术。 步 骤 305, 互 通 单 元 会 将 EAPoL 消 息 转 化 为 EAP(ExtensibleAuthentication Protocol, 可扩展鉴权协议 ) 消息, 同时终端和 AAA 服务器之间会在此 EAP 鉴权接入过程中 产生 WiFi MSK 和 EMSK 密钥。
步 骤 306, 此 步 骤 属 于 步 骤 305 中 的 一 个 子 步 骤, AAA 服 务 器 会 将 WiFIMSK 和 EMSK 衍 生 出 的 密 钥, 即 MN-HA(Mobile Node-Home Agent, 终 端 - 家 乡 代 理 密 钥 ), SPI-PMIPv4(Security Parameters Index-Proxy MobileIPv4, 代理移动 IPv4 安全索引 ), HA-RK(Home Agent-Root Key, 家乡代理根密钥 ), FA-RK(Foreign Agent-Root Key, 外部代 理根密钥 )(MIPv6 场景下为 PMIP6-RK(Proxy Mobile IPv6-Root Key, 代理移动 IPv6 根密 钥 )), 发送给互通单元, 互通单元随后将这些密钥转发给 WiFi 接入网中的鉴权器。
步骤 307-309, 终端与 WiFi 网元之间使用 MSK 生成密钥 PMK(PairwiseMaster Key, 成对主密钥 ), 并通过四次握手产生密钥 PTK(Pairwise TemporalKey, 成对临时密钥 )。
步骤 310, 终端使用 DHCP 发现消息触发移动 IP 注册过程。
步骤 311, WiFi 接入网中的鉴权器会在 DHCP 发现消息中插入 MN-HA、 MN-FA(Mobile Node-Foreign Agent, 终 端 - 外 部 代 理 密 钥 ), FA-HA(ForeignAgent-Home Agent, 外部 代 理 - 家 乡 代 理 密 钥 ) 和 SPI-PMIPv4(MIPv6 场 景 下 为 MAG-LMA-PMIP6(Mobile Access Gateway-Local Mobility Agent-ProxyMobile IPv6, 移动接入网关 - 本地移动代理 - 代 理移动 IPv6 密钥 )), 并将此消息发送给互通单元中的 PMIP-Client 和 FA(MIPv6 场景下为 MAG)。其中, MN-FA 根据 FA-RK 生成, MAG-LMA-PMIP6 根据 PMIP6-RK 生成, FA-HA 根据 HA-RK 生成。
步骤 312, 互通单元在 RRQ( 移动 IP 注册请求 )( 或 PBU( 代理绑定响应 )) 消息 中包含 MN-HA AE(MN-HA Authentication Extension, 终端 - 家乡代理鉴权扩展 ), FA-HA AE(Foreign Agent-Home Agent AuthenticationExtension, 外部代理 - 家乡代理鉴权扩 展 ) 和 SPI-PMIP 等密钥 (MIPv6 场景下为 MN-HA AO 和 SPI), 最后发送给家乡代理 / 本地移 动代理。
步骤 313, 家乡代理 / 本地移动代理会在接入请求消息中携带 NAI 和 MN-HA SPI, 并到 AAA 服务器上面去做验证。
步骤 314, AAA 服务器将 MN-HA 和 HA-RK(MIPv6 场景下为 PMIP6-RK) 包含在接入接 受消息中发送给家乡代理 / 本地移动代理。
步骤 315, 家乡代理 / 本地移动代理将 MN-HA AE 和 FA-HA AE(MIPv6 场景下为 MN-HA AO) 包含在接入接受消息中发送给互通网元, 同时该消息携带终端的 IP 地址。另外, PMIP 通道也在这个步骤中被建立。
步骤 316, 互通网元将 DHCP 提供消息中发送给 WiFi 网络的鉴权器。
步骤 317-319, 终端通过 DHCP 消息完成终端的 IP 地址获取。
步骤 320, 终端发起业务建立并建立 WiFi 的上下行业务流, 此业务流使用 WiFi MSK 和 EMSK 保护。
图 4 示例了终端从 WiMAX 网络切换到 WiFi 网络的场景中, 密钥的生成和分发的实 施例。
步骤 401, 终端在 WiMAX 网络中接入鉴权流程, 在此流程中, AAA 服务器会在接入接
受消息中将 WiFi 信令转发功能的地址信息发送给接入服务网关 ;
步骤 402-403, 终端发起 DHCP 过程获取 WiFi 信令转发功能的地址 ;
步骤 404, 终端通过 WiFi 信令转发功能从 WiFi 网络做 EAP 预鉴权, 采用的技术为 基于 802.1x 的 EAPoL。
步骤 405, 互通单元会将 EAPoL 消息转化为 EAP 消息, 同时终端和 AAA 服务器之间 会在此 EAP 预鉴权接入过程中保留 WiMAX 密钥的同时产生 WiFi 网络的 MSK 和 EMSK 密钥。
步骤 406, 此步骤属于步骤 405 中的一个子步骤, AAA 服务器会将 WiFiMSK 和 EMSK 衍生出的密钥, 即 MN-HA, SPI-PMIPv4, HA-RK, FA-RK(PMIPv6 场景下为 PMIP6-RK), 发送给互 通单元, 互通单元随后将这些密钥转发给 WiFi 接入网中的鉴权器。
步骤 407-412, 终端与 WiFi 网元之间使用 MSK 生成密钥 PMK(PairwiseMaster Key, 成对主密钥 ), 并通过四次握手产生密钥 PTK(Pairwise TemporalKey, 成对临时密钥 )。
步骤 413, 终端使用 DHCP 发现消息触发移动 IP 注册过程。
步 骤 414, WiFi 接 入 网 中 的 鉴 权 器 会 在 DHCP 发 现 消 息 中 插 入 MN-HA、 MN-FA、 FA-HA 和 SPI-PMIPv4(MIPv6 场景下为 MAG-LMA-PMIP6), 并将此消息发送给互通单元中的 PMIP-Client 和 FA(MIPv6 场景下为 MAG)。 步 骤 415,互 通 单 元 在 RRQ( 或 PBU) 消 息 中 包 含 MN-HA AE, FA-HA AE 和 SPI-PMIP(MIPv6 场景下为 MN-HA AO 和 SPI) 等密钥, 最后发送给家乡代理 / 本地移动代理。
步骤 416, 家乡代理 / 本地移动代理会在接入请求消息中携带 NAI 和 MN-HA SPI, 并到 AAA 服务器上面去做验证。
步骤 417, AAA 服务器将 MN-HA 和 HA-RK(MIPv6 场景下为 PMIP6-RK) 包含在接入接 受消息中发送给家乡代理 / 本地移动代理。
步骤 418, 家乡代理 / 本地移动代理将 MN-HA AE 和 FA-HA AE(MIPv6 场景下为 MN-HA AO) 包含在接入接受消息中发送给互通网元, 同时该消息携带终端的 IP 地址。另外, PMIP 通道也在这个步骤中被建立。
步骤 419, 互通网元将 DHCP 提供消息中发送给 WiFi 网络的鉴权器。
步骤 420-422, 终端通过 DHCP 消息完成终端的 IP 地址获取。
步骤 423, 终端发起业务建立并建立 WiFi 的上下行业务流, 此业务流使用 WiFi MSK 和 EMSK 保证安全。
步骤 424, WiMAX 网络中的空口和网络资源会被释放掉, 同时新的密钥, 即 WiFi MSK 和 EMSK 将直接取代网络中原有的密钥 WiMAX MSK 和 EMSK, 原有密钥将被注销。
上述应用实例中, 除了 DHCP 发现消息, 也可以使用 DHCP 请求和 DHCP 通知消息, 但 对应的返回消息仅为 DHCP 响应消息 ( 即 318, 319 和 421, 422 不再出现, 此为现有技术 )。
上述应用实例中, 各种衍生密钥的构造方法为现有技术, 此处不再详述。
本发明实施例的 WiMAX 和 WiFi 互通中密钥生成和分发的系统, 包括 : 终端、 WiMAX 核心网的 AAA 服务器、 WiMAX 核心网的网关、 互通单元和 WiFi 网络的鉴权器,
所述终端用于通过 WiFi 网络接入到 WiMAX 核心网时, 在接入鉴权的过程中, 与 WiMAX 核心网的 AAA 服务器之间产生 WiFi 网络的 MSK 和 EMSK ;
所述 WiMAX 核心网的 AAA 服务器用于与终端之间产生 WiFi 网络的 MSK 和 EMSK, 并 将 MSK, 以及 EMSK 衍生的密钥下发到 WiFi 网络的鉴权器。
所述 AAA 服务器进一步用于将 MSK, 以及 EMSK 衍生的密钥下发给互通单元 ; 所述 互通单元进一步用于将所述 MSK, 以及 EMSK 衍生的密钥转发给 WiFi 网络的鉴权器。
所述 WiFi 网络的鉴权器进一步用于当终端发起 PMIP 注册时, 将 PMIP 注册所需的 EMSK 衍生的密钥传递给互通单元 ; 所述互通单元进一步用于将 PMIP 注册所需的 EMSK 衍生 的密钥用于与 WiMAX 核心网的网关之间的移动 IP 通道的用户鉴权。
所述终端进一步用于从 WiMAX 网络切换到 WiFi 网络时, 接入鉴权过程中, 终端与 WiMAX 核心网的 AAA 服务器之间产生 WiFi 网络的一套密钥, 并保留当前的 WiMAX 网络的一 套密钥, 在切换过程中, 同时使用所述 WiFi 网络的一套密钥和 WiMAX 网络的一套密钥 ;
所述 WiMAX 核心网的 AAA 服务器进一步用于终端从 WiMAX 网络切换到 WiFi 网络 时, 接入鉴权过程中, 与终端之间产生 WiFi 网络的一套密钥, 并保留当前的 WiMAX 网络的一 套密钥, 在切换过程中, 同时使用所述 WiFi 网络的一套密钥和 WiMAX 网络的一套密钥 ;
所述 WiMAX 核心网的网关进一步用于在切换过程中, 同时使用所述 WiFi 网络的一 套密钥和 WiMAX 网络的一套密钥。
当然, 本发明还可有其它多种实施例, 在不背离本发明精神及其实质的情况下, 熟 悉本领域的技术人员当可根据本发明作出各种相应的改变和变形, 但这些相应的改变和变 形都应属于本发明所附的权利要求的保护范围。