專利名稱:獲取密鑰的方法����、設(shè)備及系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及網(wǎng)絡(luò)通信技術(shù)領(lǐng)域,尤其涉及一種在認(rèn)證器發(fā)生遷移的情況 下獲取密鑰的實(shí)現(xiàn)方案�。
背景技術(shù):
隨著因特網(wǎng)業(yè)務(wù)的快速發(fā)展和無線網(wǎng)絡(luò)的廣泛應(yīng)用��,移動(dòng)用戶的安全性 已經(jīng)對(duì)無線系統(tǒng)提出了更高的要求�����,即除相應(yīng)的設(shè)備鑒權(quán)����、用戶鑒權(quán)和服務(wù)授權(quán)等處理外��,還需要在AP (無線用戶與接入點(diǎn))或BS (基站)之間建立 相應(yīng)的安全通道�����,實(shí)現(xiàn)相應(yīng)的保密信息交換����,以及在BS和Authenticator (鑒 權(quán)者),鑒權(quán)者和鑒權(quán)服務(wù)器之間建立保密通道�����,實(shí)現(xiàn)保密信息交換等等��。在無線網(wǎng)絡(luò)中�����,移動(dòng)用戶需要向NAS (網(wǎng)絡(luò)接入服務(wù)器)等認(rèn)證器發(fā)起 認(rèn)證,并在認(rèn)證通過后�����,移動(dòng)用戶的FA (外部代理)通過與NAS的通信獲取 相應(yīng)的密鑰信息���,以便于在后續(xù)通信過程中應(yīng)用��。在移動(dòng)用戶MS發(fā)生重認(rèn)證操作后�,F(xiàn)A獲得密鑰的處理過程如圖1所示�, 相應(yīng)的處理過程包括以下步驟步驟1, MS通過NAS1接入認(rèn)證成功;具體可以是通過NAS1向AAA服務(wù)器發(fā)起相應(yīng)的認(rèn)證過程����,并完成相應(yīng) 的認(rèn)證操作,確定MS認(rèn)證通過���;步驟2����, FA在需要MN-FA密鑰或FA-HA密鑰時(shí)向NAS1發(fā)送請(qǐng)求��,以請(qǐng)求 獲取相應(yīng)的MN-FA密鑰或FA-HA密鑰��;步驟3, MS通過NAS1發(fā)生重認(rèn)證�����;與認(rèn)證過程類似���,具體可以通過NAS1向AAA服務(wù)器發(fā)起重認(rèn)證操作���, 以完成相應(yīng)的重iU正處理;步驟4, MS向FA發(fā)送MIP-RRQ (MIP注冊(cè))消息�����,攜帶新密鑰計(jì)算的認(rèn) 證擴(kuò)展�,并且SPI (安全參數(shù)索引)也由重認(rèn)證后產(chǎn)生的FA-RK計(jì)算,或者 由其他方式產(chǎn)生��;步驟5���, FA收到所述注冊(cè)消息后�,比較MIP-RRQ消息中攜帶的SPI,確 定SPI發(fā)生變化�����,即發(fā)生重認(rèn)證,則向NAS1請(qǐng)求密鑰更新信息����;即由于在步驟3中發(fā)生了重認(rèn)證,故NAS1以及MS上的密鑰信息均已經(jīng) 更新���,但是FA并不知道重認(rèn)證以及更新后的密鑰信息�,故FA需要向NAS1請(qǐng) 求更新后的密鑰信息���;步驟6����, FA獲得密鑰后���,則可以繼續(xù)處理MIP-RRQ消息��,完成后續(xù)的處 理過程���。需要說明的是,在上述處理過程中,無論是否發(fā)生重認(rèn)證��,只要FA發(fā)生遷移��,則同樣在FA收到MIP-RRQ消息后����,將要執(zhí)行步驟5��,以向NAS1請(qǐng)求密鑰�,以便于獲得當(dāng)前的密鑰,用于完成后續(xù)處理過程�����。在實(shí)現(xiàn)本發(fā)明過程中����,發(fā)明人發(fā)現(xiàn)現(xiàn)有技術(shù)中至少存在如下問題 在上述處理過程中,若在MS的重認(rèn)證過程中還發(fā)生的NAS遷移���,則FA無法從遷移后的NAS獲得密鑰信息����,從而使得在發(fā)生NAS遷移后,F(xiàn)A無法對(duì)收到的MIP-RRQ消息進(jìn)行處理�����。發(fā)明內(nèi)容本發(fā)明的實(shí)施例提供了一種獲取密鑰的方法���、設(shè)備及系統(tǒng)��,從而可以在 認(rèn)證器發(fā)生遷移的情況下��,仍然能夠保證需要獲取密鑰信息的網(wǎng)絡(luò)設(shè)備可以 獲得相應(yīng)的密鑰信息�����,以保證后續(xù)通信過程的順利進(jìn)行�����。本發(fā)明實(shí)施例提供了 一種獲取密鑰的方法���,用于在認(rèn)證器發(fā)生遷移后為需要獲取密鑰信息的網(wǎng)絡(luò)設(shè)備獲取密鑰信息,且該方法包括需要獲取密鑰信息的網(wǎng)絡(luò)設(shè)備接收用于表示發(fā)生認(rèn)證器遷移的指示信息 后�,向遷移后的認(rèn)證器發(fā)送密鑰請(qǐng)求,并接收所述認(rèn)證器返回的密鑰信息�, 獲取該終端對(duì)應(yīng)的密鑰信息����。本發(fā)明還提供了一種獲取密鑰的方法��,用于在重認(rèn)證后為需要獲取密鑰 信息的網(wǎng)絡(luò)設(shè)備獲取密鑰信息���,且該方法包括需要獲取密鑰信息的網(wǎng)絡(luò)設(shè)備接收用于表示發(fā)生重認(rèn)證的指示信息后, 接收認(rèn)證器發(fā)送的該終端對(duì)應(yīng)的密鑰信息��。本發(fā)明實(shí)施例提供了一種網(wǎng)絡(luò)設(shè)備��,包括認(rèn)證器遷移確定單元����,用于根據(jù)接收到的用于表示發(fā)生認(rèn)證器遷移的指 示信息確定終端對(duì)應(yīng)的認(rèn)證器發(fā)生遷移;密鑰請(qǐng)求荻取單元����,用于在所述認(rèn)證器遷移確定單元確定終端對(duì)應(yīng)的認(rèn) 證器發(fā)生遷移后,向遷移后的認(rèn)證器發(fā)送密鑰請(qǐng)求��,并用于接收所述認(rèn)證器 返回的密鑰信息����,獲取該終端對(duì)應(yīng)的密鑰信息�。本發(fā)明實(shí)施例提供了 一種獲取密鑰的系統(tǒng)�,包括認(rèn)證器和需要獲取密鑰 信息的網(wǎng)絡(luò)設(shè)備,其中���,認(rèn)證器���,用于接收需要獲取密鑰信息的網(wǎng)絡(luò)設(shè)備發(fā)來的密鑰請(qǐng)求,并向 需要獲取密鑰信息的網(wǎng)絡(luò)設(shè)備發(fā)送其生成的終端對(duì)應(yīng)的密鑰信息�;需要獲取密鑰信息的網(wǎng)絡(luò)設(shè)備,接收用于表示發(fā)生認(rèn)證器遷移的指示信 息后�����,向遷移后的認(rèn)證器發(fā)送密鑰請(qǐng)求����,接收所述認(rèn)證器返回的密鑰信息。本發(fā)明實(shí)例還提供了一種獲取密鑰的系統(tǒng)��,包括認(rèn)證器和需要獲取密鑰 信息的網(wǎng)絡(luò)設(shè)備��,其中���,認(rèn)證器����,用于向需要獲取密鑰信息的網(wǎng)絡(luò)設(shè)備發(fā)送其生成的終端對(duì)應(yīng)的 密鑰信息;需要獲取密鑰信息的網(wǎng)絡(luò)設(shè)備�,用于接收用于表示發(fā)生重認(rèn)證的指示信息后,接收認(rèn)證器發(fā)送的該終端對(duì)應(yīng)的密鑰信息�����。由上述本發(fā)明的實(shí)施例提供的技術(shù)方案可以看出��,其可以在認(rèn)證器發(fā)生 遷移后���,保證需要獲取密鑰信息的網(wǎng)絡(luò)設(shè)備可以獲得相應(yīng)的密鑰信息,以使 得后續(xù)通信過程的順利進(jìn)行�。因此,本發(fā)明實(shí)施例的實(shí)現(xiàn)可以有效提高無線 通信系統(tǒng)的通信性能����。
圖1為現(xiàn)有技術(shù)中FA獲取密鑰信息的處理過程示意圖;圖2為本發(fā)明實(shí)施例中FA獲取密鑰信息的處理過程示意圖一;.圖3為本發(fā)明實(shí)施例中FA獲取密鑰信息的處理過程示意圖二��;圖4為本發(fā)明實(shí)施例中FA獲取密鑰信息的處理過程示意圖三����;圖5為本發(fā)明實(shí)施例中FA獲取密鑰信息的處理過程狀態(tài)機(jī)示意圖����;圖6為本發(fā)明實(shí)施例的完整處理過程示意圖�����;圖7為本發(fā)明實(shí)施例提供的系統(tǒng)的結(jié)構(gòu)示意圖�。
具體實(shí)施方式
本發(fā)明實(shí)施例用于在終端的認(rèn)證器發(fā)生遷移后,為需要獲取密鑰信息的 網(wǎng)絡(luò)設(shè)備獲取密鑰信息�����,即在需要獲取密鑰信息的網(wǎng)絡(luò)設(shè)備接收用于表示發(fā) 生認(rèn)證器遷移的指示信息后�,則確定終端對(duì)應(yīng)的認(rèn)證器發(fā)生遷移,并向遷移 后的認(rèn)證器發(fā)送密鑰請(qǐng)求���,從而接收所述認(rèn)證器返回的密鑰信息����,獲取該終 端對(duì)應(yīng)的密鑰信息���。本發(fā)明實(shí)施例中���,所述的需要獲取密鑰信息的網(wǎng)絡(luò)設(shè)備包括但不限于FA (外部代理)�、BS (基站)或GW (網(wǎng)關(guān))等設(shè)備��,所述的密鑰信息包括但 不限于密鑰���、SPI (安全參數(shù)索引)和生命周期中的至少一項(xiàng)�����。本發(fā)明實(shí)施例在實(shí)現(xiàn)過程中����,用于表示發(fā)生認(rèn)證器遷移的指示信息具體可以由遷移后的認(rèn)證器或者由原認(rèn)證器(遷移前的認(rèn)證器)或者由終端或者由HA (家鄉(xiāng)代理)或者由AAA (鑒權(quán)、認(rèn)證�、計(jì)費(fèi))服務(wù)器等設(shè)備向需要獲 取密鑰信息的網(wǎng)絡(luò)設(shè)備發(fā)送��,從而使得相應(yīng)的需要獲取密鑰信息的網(wǎng)絡(luò)設(shè)備 可以獲知所述指示信息�����?���?蛇x地,所述的遷移后的認(rèn)證器或者原認(rèn)證器或者 終端或者HA或者AAA服務(wù)器等設(shè)備還可以向需要獲取密鑰信息的網(wǎng)絡(luò)設(shè)備發(fā) 送遷移后的認(rèn)證器的地址�;其中����,若由原認(rèn)證器向需要獲取密鑰信息的網(wǎng)絡(luò) 設(shè)備發(fā)送遷移后的認(rèn)證器的地址�����,則所述的認(rèn)證器還維護(hù)終端與遷移后的認(rèn) 證器的地址之間的對(duì)應(yīng)關(guān)系�����,且可選地針對(duì)該對(duì)應(yīng)關(guān)系設(shè)置對(duì)應(yīng)的生存周 期��,以便于在經(jīng)過預(yù)定時(shí)間段后便可以刪除維護(hù)的所述對(duì)應(yīng)關(guān)系信息���,從而 釋放占用的存儲(chǔ)及管理資源�。在上述處理過程中�����,若由終端向需要獲取密鑰信息的網(wǎng)絡(luò)設(shè)備發(fā)送所述 指示信息��,則終端需要事先確定發(fā)生認(rèn)證器遷移���。終端確定發(fā)生認(rèn)證器遷移 的過程具體可以包括首先�����,在認(rèn)證的過程中�����,由認(rèn)證器將自身的識(shí)別信息 發(fā)送給終端��,這樣�,終端便可以根據(jù)當(dāng)前收到的認(rèn)證器的識(shí)別信息與之前收 到的認(rèn)證器的識(shí)別信息的比較結(jié)果,確定認(rèn)證器是否發(fā)生遷移��;例如����,所述 的識(shí)別信息可以包括認(rèn)證器的地址信息和/或認(rèn)證器到網(wǎng)關(guān)的跳數(shù)。本發(fā)明實(shí)施例中��,遷移后的認(rèn)證器生成終端對(duì)應(yīng)的密鑰信息后�����,其可以 主動(dòng)將所述密鑰信息發(fā)送給相應(yīng)的需要獲取密鑰信息的網(wǎng)絡(luò)設(shè)備��;或者�,可 選地,由遷移后的認(rèn)證器將生成的終端對(duì)應(yīng)的密鑰信息發(fā)送給原認(rèn)證器���,并 由原認(rèn)證器發(fā)送給需要獲取密鑰信息的網(wǎng)絡(luò)設(shè)備��。在本發(fā)明實(shí)施例中�,若需要獲取密鑰信息的網(wǎng)絡(luò)設(shè)備通過上述處理過程 實(shí)現(xiàn)密鑰信息的獲取����,則可選地,需要獲取密鑰信息的網(wǎng)絡(luò)設(shè)備在確定終端 對(duì)應(yīng)的認(rèn)證器發(fā)生遷移后�����,還可以判斷是否收到遷移后的認(rèn)證器發(fā)來的密鑰 信息��,若確定未獲取到遷移后的認(rèn)證器生成的終端對(duì)應(yīng)的密鑰信息后�����,則可 以通過向遷移后的認(rèn)證器發(fā)送密鑰請(qǐng)求的方式獲取所述密鑰信息�。本發(fā)明實(shí)施例在具體實(shí)現(xiàn)過程中,需要獲取密鑰信息的網(wǎng)絡(luò)設(shè)備向遷移 后的認(rèn)證器發(fā)送密鑰請(qǐng)求之前還可以包括獲取遷移后的認(rèn)證器的地址信息的 操作�,以使得需要獲取密鑰信息的網(wǎng)絡(luò)設(shè)備可以獲取到遷移后的認(rèn)證器的地 址,便于向其發(fā)送密鑰請(qǐng)求消息。具體可以用于獲取遷移后的認(rèn)證器的地址信息的方式包括 一種可以為從遷移前的原認(rèn)證器請(qǐng)求獲取遷移后的認(rèn)證器 的地址信息�;另一種是接收遷移后的認(rèn)證器或原認(rèn)證器主動(dòng)發(fā)送來的遷移后 的認(rèn)證器的地址信息。在認(rèn)證器遷移過程中��,若FA����、 BS或GW等需要獲取密鑰信息的網(wǎng)絡(luò)設(shè)備 也發(fā)生遷移,遷移后的認(rèn)證器可以將密鑰信息首先發(fā)送給遷移前的原需要獲 取密鑰信息的網(wǎng)絡(luò)設(shè)備�����,并由所述原需要獲取密鑰信息的網(wǎng)絡(luò)設(shè)備將所述密 鑰信息發(fā)送給遷移后的需要獲取密鑰信息的網(wǎng)絡(luò)設(shè)備����;或者,也可以由原需 要獲取密鑰信息的網(wǎng)絡(luò)設(shè)備向遷移后的認(rèn)證器發(fā)送需要獲取密鑰信息的網(wǎng)絡(luò) 設(shè)備遷移的指示或遷移后的需要獲取密鑰信息的網(wǎng)絡(luò)設(shè)備的地址等信息�,或 者,由遷移后的需要獲取密鑰信息的網(wǎng)絡(luò)設(shè)備向遷移后的認(rèn)證器發(fā)送需要獲 取密鑰信息的網(wǎng)絡(luò)設(shè)備遷移的指示或遷移后的需要獲取密鑰信息的網(wǎng)絡(luò)設(shè)備 的地址�,以便于遷移后的認(rèn)證器將密鑰信息發(fā)送給遷移后的需要獲取密鑰信 息的網(wǎng)絡(luò)設(shè)備。下面將以FA作為需要獲取密鑰信息的網(wǎng)絡(luò)設(shè)備為例�����,將相應(yīng)的獲取密鑰 信息的處理過程的具體實(shí)現(xiàn)過程分不同情況描述(1) FA先于NAS完成了遷移�����,且新FA獲得了原認(rèn)證器的地址 在該情況下����,將遷移后的新FA作為終端的當(dāng)前FA,并采用上述處理過程即可以保證需要獲取密鑰信息的網(wǎng)絡(luò)設(shè)備能夠獲取相應(yīng)密鑰信息;(2) NAS先于FA完成了遷移���,原FA獲得了新NAS的地址 在該情況下���,遷移后的新FA在遷移過程中可以獲得新NAS地址,這就使得需要獲取密鑰信息的網(wǎng)絡(luò)設(shè)備能夠很容易地獲取相應(yīng)密鑰信息���;例如���,由遷移后的FA向新NAS發(fā)送FA遷移的指示或遷移后的FA的地址,或者�,由原 FA向新NAS發(fā)送FA遷移的指示或新FA的地址等信息,之后��,由新NAS將密 鑰信息發(fā)送給遷移后的FA,以便于新NAS將密鑰信息發(fā)送給新FA; (3)FA遷移過程中���,此時(shí)原NAS正在進(jìn)行NAS遷移在該情況下���,新FA需要向原NAS請(qǐng)求密鑰�,在原NAS將密鑰信息發(fā)送給 新FA的過程中具體可以包括若原NAS在告知新FA正在進(jìn)行NAS遷移時(shí)��,還將新NAS的地址告知新 FA,由新FA向新NAS發(fā)送密鑰請(qǐng)求�,新NAS若已經(jīng)完成重認(rèn)證則回復(fù)新密 鑰信息,否則���,回復(fù)一個(gè)令新FA等待的指令或者等重認(rèn)證完成后再將新密鑰 信息發(fā)送給新FA;若原NAS僅通知新FA當(dāng)前正在進(jìn)行NAS遷移����,卻未告知其遷移后的新 NAS的地址����,則新FA可以向原NAS請(qǐng)求新NAS的地址(即遷移后的認(rèn)證器可 以將密鑰信息首先發(fā)送給原FA,之后,由原FA將所述密鑰信息發(fā)送給遷移后 的FA),或者等待新NAS主動(dòng)更新密鑰��。本發(fā)明實(shí)施例中�����,在確定終端對(duì)應(yīng)的認(rèn)證器發(fā)生遷移之前�����,需要獲取密 鑰信息的網(wǎng)絡(luò)設(shè)備還需要確定終端是否發(fā)生重認(rèn)證,以便于在確定終端發(fā)生 重認(rèn)證的情況下��,進(jìn)一步確定終端對(duì)應(yīng)的認(rèn)證器是否發(fā)生遷移����,進(jìn)而利用本 發(fā)明實(shí)施例解決發(fā)生認(rèn)證器遷移的情況下的密鑰信息的獲取問題�。其中,需 要獲取密鑰信息的網(wǎng)絡(luò)設(shè)備確定終端是否發(fā)生重認(rèn)證的操作具體可以包括 在需要獲取密鑰信息的網(wǎng)絡(luò)設(shè)備中保存終端與家鄉(xiāng)代理之間的SPI (安全參 數(shù)索引)���,若收到的終端或其他設(shè)備發(fā)來的注冊(cè)請(qǐng)求中的SPI與保存的終端 與家鄉(xiāng)代理之間的SPI不同�,則確定發(fā)生了針對(duì)終端的重認(rèn)證�����,否則�����,確定 未發(fā)生重認(rèn)證��;或者�����,需要獲取密鑰信息的網(wǎng)絡(luò)設(shè)備還可以根據(jù)收到的消息 中的顯式的重認(rèn)證指示或隱式的重認(rèn)證指示信息確定終端是否發(fā)生重認(rèn)證操 作。以FA作為需要獲取密鑰信息的網(wǎng)絡(luò)設(shè)備為例��,F(xiàn)A需要獲取的密鑰信息 可以為MIP密鑰信息�����。本發(fā)明實(shí)施例具體可以解決FA更新MIP密鑰過程中存 在的因NAS發(fā)生遷移而無法獲得MIP密鑰的問題�,并減少竟?fàn)巿?chǎng)景及獲得密 鑰的時(shí)間,提供了FA獲得有效的MIP密鑰的實(shí)現(xiàn)方案�����,該MIP密鑰可以包括 MN-FA密鑰和FA-HA密鑰���。需要說明的是��,本發(fā)明實(shí)施例并不僅限于該具體 應(yīng)用的舉例���。在針對(duì)終端的重認(rèn)證過程中,可以伴隨著認(rèn)證器遷移�,也可以直接就在 原來的認(rèn)證器上進(jìn)行。當(dāng)認(rèn)證器遷移的時(shí)候�,需要通知FA新認(rèn)證器的地址信 息,以便FA后續(xù)請(qǐng)求密鑰信息���。FA遷移和認(rèn)證器的遷移互相獨(dú)立���,即可能同 時(shí)發(fā)生遷移�����,也可能不是同時(shí)發(fā)生遷移。下面將以作為認(rèn)證器的NAS發(fā)生遷移��,F(xiàn)A需要獲取的密鑰信息包括MN-FA密鑰的應(yīng)用場(chǎng)景為例���,對(duì)本發(fā)明實(shí)施例的具體實(shí)現(xiàn)過程進(jìn)行說明��。在該場(chǎng) 景下����,相應(yīng)的處理過程如圖2���、圖3和圖4所示���,具體包括以下步驟步驟1, MS通過NAS1接入認(rèn)證成功;步驟2, FA在需要MN-FA密鑰時(shí)向NAS1發(fā)送請(qǐng)求���,具體可以通過向 NAS1發(fā)送上下文請(qǐng)求��,以請(qǐng)求獲取相應(yīng)密鑰��;步驟3����,針對(duì)MS的重認(rèn)證為通過NAS2進(jìn)行,即發(fā)生了NAS遷移�;在該重認(rèn)證過程中,NAS2以及MS上的密鑰信息更新��,但FA并未獲知發(fā) 生了重認(rèn)證事件�,也未獲知更新后的密鑰信息;步驟4�,在重認(rèn)證后,MS或HA (家鄉(xiāng)代理)等(圖中僅以MS為例繪 制)設(shè)備向FA發(fā)送MIP-RRQ消息����,所述消息中攜帶著新的密鑰計(jì)算的認(rèn)證 擴(kuò)展,其中的SPI也是由重認(rèn)證后產(chǎn)生的FA-RK計(jì)算獲得��,或者也可以為其 它可以用于確定是否發(fā)生重認(rèn)證的指示信息�����;步驟5, FA收到所述消息后,比較MIP-RRQ消息中攜帶的SPI與本地維 護(hù)的SPI是否相同���,若確定發(fā)生變化(確定發(fā)生重認(rèn)證)���,或者根據(jù)指示信息確認(rèn)重認(rèn)證發(fā)生,則獲取更新后的密鑰信息���,具體仍可以通過向NAS2發(fā) 送上下文請(qǐng)求��,以請(qǐng)求獲取相應(yīng)密鑰;在該步驟中����,若FA發(fā)生遷移,則FA在獲得原NAS的地址后�,新FA也處 于同樣的狀態(tài)中,即知曉原NAS地址信息����,且需要獲取MIP密鑰信息;在該步驟中�����,具體的向NAS請(qǐng)求獲取更新后的密鑰的實(shí)現(xiàn)過程可以但不 限于有三種,參照?qǐng)D2�、圖3和圖4所示,各實(shí)現(xiàn)過程分別為(1) 如圖2所示����,在NAS2的遷移過程中,NAS2通知FA的消息還沒有到 達(dá)FA����,貝'jFA向NAS1請(qǐng)求密鑰更新信息;并由NAS1向其返回NAS遷移指示 和/或新的NAS地址(即NAS2地址)�;然后,F(xiàn)A向NAS2發(fā)送密鑰請(qǐng)求消 息���,以請(qǐng)求獲取相應(yīng)的MIP密鑰信息�;(2) 如圖3所示�,在NAS2的遷移過程中,NAS2通知FA的消息還沒有到 達(dá)FA�����,貝)JFA向NAS1請(qǐng)求密鑰更新信息�����;并由NAS1向FA返回NAS遷移指示 和/或新的NAS地址(即NAS2地址);在FA向NAS2發(fā)送密鑰請(qǐng)求消息之 前����,NAS2遷移的通知消息到達(dá)FA,如果該消息中攜帶更新后的密鑰以及上 下文信息,則FA不再發(fā)送密鑰請(qǐng)求����;否則,F(xiàn)A繼續(xù)向NAS2發(fā)送密鑰請(qǐng)求����, 以請(qǐng)求獲取相應(yīng)的MIP密鑰信息;(3) 如圖4所示��,在NAS2的遷移過程中���,NAS2通知FA的消息已經(jīng)到達(dá) 了FA,如果該消息中攜帶更新后的密鑰以及上下文信息,則FA不再向NAS2 發(fā)送密鑰請(qǐng)求�;否則,F(xiàn)A繼續(xù)向NAS2發(fā)送密鑰請(qǐng)求���,以請(qǐng)求獲取相應(yīng)的 MIP密鑰信息�。需要說明的是,若FA也發(fā)生了遷移�,且NAS2的更新消息發(fā)送到了原 FA,則原FA需要將所述更新消息轉(zhuǎn)發(fā)給新FA,以便于新FA仍可以方便地獲 得相應(yīng)的MIP密鑰信息����,或者,返回一個(gè)FA遷移的指示或新FA的地址給 NAS2,然后NAS2發(fā)送密鑰信息給新FA��。通過上述步驟1至步驟5的處理過程�,F(xiàn)A獲得更新后的密鑰信息后,則可以繼續(xù)處理MIP-RRQ消息����。基于上述應(yīng)用場(chǎng)景中MIP-RRQ消息中僅攜帶是否重認(rèn)證的信息的情況���, 本發(fā)明實(shí)施例還提供了另一種具體實(shí)施方案����,在該方案中考慮選擇在MIP-RRQ消息中攜帶NAS是否遷移的指示信息����,相應(yīng)的處理過程如圖5所示,具 體可以包括如下過程步驟1,第一次認(rèn)證�����,NAS1在EAP過程中將自身的地址或者NAS到服務(wù) GW (網(wǎng)關(guān))的跳數(shù)發(fā)送給MS并作記錄;步驟2,重認(rèn)證���,MS也獲得了NAS1地址或者NAS到服務(wù)GW的跳數(shù)����,并 且與之前記錄的地址或跳數(shù)信息(即步驟1中記錄的信息)進(jìn)行比較����,發(fā)現(xiàn) 相同,則確認(rèn)NAS沒有發(fā)生遷移����;步驟3, MS發(fā)送MIP-RRQ中攜帶指示信息,以表示重認(rèn)證但是沒有NAS 遷移�����,所述指示信息可以為SPI不同算法��,或者�����,單獨(dú)的擴(kuò)展頭�����;具體實(shí)現(xiàn)過程中可以是SPI的單數(shù)指示NAS發(fā)生了遷移�����,雙數(shù)則相 反�,指示NAS沒有發(fā)生遷移;如果是擴(kuò)展頭方式�,可以直接在擴(kuò)展頭中包含 一個(gè)類型表示NAS的遷移狀態(tài),或者就直接包含當(dāng)前NAS的地址信息����;步驟4,重認(rèn)證,MS也獲得了NAS2地址或者NAS到服務(wù)GW的跳數(shù)�����,并 且與之前記錄的地址或跳數(shù)信息(即步驟1中記錄的信息)進(jìn)行比較���,發(fā)現(xiàn)不同�,則確認(rèn)NAS發(fā)生了遷移�;步驟5��, MS發(fā)送MIP-RRQ中攜帶指示信息���,以表示MS發(fā)生重認(rèn)證,并 且伴隨NAS遷移發(fā)生�。基于上述處理過程���,則FA收到相應(yīng)的MIP-RRQ消息后采用的處理過程具 體可以為(1)當(dāng)FA收到MIP-RRQ消息以后���,若消息中未攜帶NAS地址信息,則 根據(jù)MIP-RRQ消息的指示信息進(jìn)行處理若沒有重認(rèn)證����,則繼續(xù)處理;若重 認(rèn)證但沒有NAS遷移�����,向原NAS請(qǐng)求密鑰���;如果重認(rèn)證且伴隨NAS遷移��,等待新NAS主動(dòng)發(fā)送通知信息��,若新NAS發(fā)來的通知信息中沒有攜帶FA所需密 鑰信息����,則需要向新NAS請(qǐng)求相應(yīng)的密鑰信息����,或者,也可以向原NAS請(qǐng)求 新的NAS信息或者更新后的密鑰信息�;(2)當(dāng)FA收到MIP-RRQ消息以后,如果MIP-RRQ消息中直接攜帶了 NAS地址信息��,F(xiàn)A可以直接向所指示的NAS請(qǐng)求密鑰信息�。為便于進(jìn)一步理解FA獲取MIP密鑰的實(shí)現(xiàn)過程,下面將結(jié)合附圖�,以獲 取MIP密鑰中的MN-FA密鑰為例,對(duì)相應(yīng)的處理過程估文進(jìn)一步說明���。 如圖6所示�,F(xiàn)A的狀態(tài)機(jī)的實(shí)現(xiàn)處理過程包括以下步驟 步驟1, FA收到MIP-RRQ消息����;步驟2,判斷本地是否存在MN-FA密鑰,若存在��,則執(zhí)行步驟3,否則����, 執(zhí)行步驟7;步驟3,比較收到的MIP-RRQ消息中的SPI是否與本地保存的SPI相同��, 若相同���,即兩個(gè)SPI相一致����,則表示未發(fā)生重認(rèn)證��,執(zhí)行步驟15,否則���,表 示發(fā)生重認(rèn)證���,執(zhí)行步驟4;步驟4,判斷是否發(fā)生NAS遷移,若是���,則執(zhí)行步驟5���,否則�,執(zhí)行步驟 6���,具體可以但不限于根據(jù)SPI或新NAS發(fā)送來的Context-Rpt (上下文報(bào)告) 等收到的表示N AS是否遷移的指示判斷是否發(fā)生N AS遷移;在該步驟中���,若暫時(shí)無法確定是否發(fā)生NAS遷移��,則執(zhí)行步驟7;需要說明的是��,在該步驟中�����,若確定發(fā)生遷移����,則還可以進(jìn)一步確定是 否已經(jīng)收到新的NAS的密鑰�����,若收到��,則執(zhí)行步驟15,否則��,執(zhí)行步驟5; 其中��,收到的新的NAS的密鑰可能是新的NAS直接發(fā)送來的��,也可能是從原 N AS發(fā)來的其從新的N AS接收到的新N AS的密鑰��;步驟5,判斷FA是否已經(jīng)知道遷移后的新NAS的地址���,若知道��,則執(zhí)行 步驟8,否則�,執(zhí)行步驟9;步驟6, FA向原NAS請(qǐng)求獲取MN-FA�����,并執(zhí)行步驟15�。17步驟7, FA向原NAS請(qǐng)求獲取MN-FA,或者直接設(shè)置時(shí)鐘并且等待接收 來自認(rèn)證器的信息(重認(rèn)證進(jìn)行的認(rèn)證器),若從原NAS接收到NAS反饋信 息���,則執(zhí)行步驟10���,若FA收到新NAS發(fā)來的指示信息�,則執(zhí)行步驟12;收到所述信息以后�����,終止所設(shè)置的時(shí)鐘��;如果時(shí)鐘過期還沒有收到來自 認(rèn)證器的信息�,則丟棄所述MIP-RRQ消息;步驟8, FA向遷移后的新的NAS請(qǐng)求獲取MN-FA,并執(zhí)行步驟15��。步驟9�����, FA等待新的NAS的指示��,或者���,向原NAS查詢新NAS的地址或 MN-FA,并在收到新的NAS的指示或原NAS的反饋后,執(zhí)行步驟12;其中�, 收到的新的NAS的指示或原NAS的反饋可以為新NAS的MN-FA,也可以是新 NAS的地址;步驟10, FA根據(jù)原NAS返回的反饋信息判斷是否發(fā)生NAS遷移����,若發(fā) 生,則執(zhí)行步驟,12,否則���,執(zhí)行步驟11;同樣�����,在該步驟中���,仍可以但不限于根據(jù)SPI或Context-Rpt (上下文報(bào) 告)等收到的表示NAS是否遷移的指示判斷是否發(fā)生NAS遷移;步驟11,如果在原NAS發(fā)來的反饋信息中未攜帶MN-FA,則向原NAS發(fā) 送請(qǐng)求����,以請(qǐng)求獲取相應(yīng)的MN-FA,在獲得所述MN-FA后執(zhí)行步驟15,如果 原NAS已經(jīng)在反饋信息中攜帶所述MN-FA,則直接執(zhí)行步驟15�����。步驟12,判斷新的NAS是否已經(jīng)將對(duì)應(yīng)的MN-FA發(fā)送給FA���,即判斷FA 是否收到MN-FA��,若收到���,則執(zhí)行步驟13,否則�����,則從收到的新的NAS的指 示或原NAS的反饋信息中獲取新NAS的地址�����,并執(zhí)行步驟14;步驟13��, FA從新NAS發(fā)送來的信息中獲取MN-FA�,并執(zhí)行步驟15;步驟14�,根據(jù)新NAS的地址,F(xiàn)A從新的NAS請(qǐng)求獲取相應(yīng)的MA-FA,并 在獲得所述MN-FA后執(zhí)行步驟15;步驟15, FA根據(jù)獲取的密鑰信息對(duì)收到的MIP-RRQ消息進(jìn)行處理�。本發(fā)明實(shí)施例還提供了 一種網(wǎng)絡(luò)設(shè)備獲取密鑰的系統(tǒng)�,其具體實(shí)現(xiàn)結(jié)構(gòu)如圖7所示,具體可以包括以下處理單元 ( 一)認(rèn)證器其用于接收需要獲取密鑰信息的網(wǎng)絡(luò)設(shè)備發(fā)來的密鑰請(qǐng)求����,并向需要獲 取密鑰信息的網(wǎng)絡(luò)設(shè)備發(fā)送其生成的終端對(duì)應(yīng)的密鑰信息,具體可以包括(1) 密鑰請(qǐng)求接收單元���,用于接收需要獲取密鑰信息的網(wǎng)絡(luò)設(shè)備發(fā)來的 密鑰請(qǐng)求�;(2) 密鑰信息發(fā)送單元�,用于在所述密鑰請(qǐng)求接收單元接收到密鑰請(qǐng)求 后�,向需要獲取密鑰信息的網(wǎng)絡(luò)設(shè)備發(fā)送其生成的終端對(duì)應(yīng)的密鑰信息�。可選地��,所述的認(rèn)證器還可以包括遷移指示發(fā)送單元�����,用于向所述的需 要獲取密鑰信息的網(wǎng)絡(luò)設(shè)備發(fā)送用于表示發(fā)生認(rèn)證器遷移的指示信息�;該認(rèn) 證器具體可以為遷移后的認(rèn)證器,也可以為遷移前的原認(rèn)證器����;若所述遷移 指示發(fā)送單元設(shè)置于原認(rèn)證器中,且需要向需要獲取密鑰信息的網(wǎng)絡(luò)設(shè)備發(fā) 送遷移后的認(rèn)證器的地址����,則所述的認(rèn)證器還包括終端信息維護(hù)單元,用于 維護(hù)終端與遷移后的認(rèn)證器的地址之間的對(duì)應(yīng)關(guān)系����,可選地針對(duì)該對(duì)應(yīng)關(guān)系 設(shè)置對(duì)應(yīng)的生存周期。在該認(rèn)證器中可以包括以下任一單元密鑰信息直接發(fā)送單元�����,用于將遷移后的認(rèn)證器生成的密鑰信息后,直 接主動(dòng)發(fā)送給需要獲取密鑰信息的網(wǎng)絡(luò)設(shè)備����;密鑰信息間接傳遞單元,用于將遷移后的認(rèn)證器生成的密鑰信息發(fā)送給 原認(rèn)證器�����,并由原認(rèn)證器發(fā)送給需要獲取密鑰信息的網(wǎng)絡(luò)設(shè)備��。為便于終端確定認(rèn)證器是否發(fā)生遷移����,則在所述認(rèn)證器還可以包括識(shí)別 信息發(fā)送單元,以用于將認(rèn)證器的地址信息或認(rèn)證器到網(wǎng)關(guān)的跳數(shù)作為識(shí)別 信息發(fā)送給所述終端����。(二)網(wǎng)絡(luò)設(shè)備該網(wǎng)絡(luò)設(shè)備為需要獲取密鑰信息的網(wǎng)絡(luò)設(shè)備��,其在接收用于表示發(fā)生認(rèn)證器遷移的指示信息后����,向遷移后的認(rèn)證器發(fā)送密鑰請(qǐng)求,接收所述認(rèn)證器 返回的密鑰信息�����。具體一點(diǎn)講,需要獲取密鑰信息的網(wǎng)絡(luò)設(shè)備具體可以包括(1) 認(rèn)證器遷移確定單元��,用于根據(jù)接收到的用于表示發(fā)生認(rèn)證器遷移 的指示信息確定終端對(duì)應(yīng)的認(rèn)證器發(fā)生遷移��;(2) 密鑰請(qǐng)求獲取單元�����,用于在所述認(rèn)證器遷移確定單元確定終端對(duì)應(yīng) 的認(rèn)證器發(fā)生遷移后���,向遷移后的認(rèn)證器發(fā)送密鑰請(qǐng)求�,并用于接收所述認(rèn) 證器返回的密鑰信息�,獲取該終端對(duì)應(yīng)的密鑰?�?蛇x地���,需要獲取密鑰信息的網(wǎng)絡(luò)設(shè)備還可以包括判斷處理單元�,用于 在所述認(rèn)證器遷移確定單元確定發(fā)生認(rèn)證器遷移后��,若確定未獲取到遷移后 的認(rèn)證器生成的密鑰信息����,則通知所述密鑰請(qǐng)求獲取單元��?����?蛇x地��,需要獲取密鑰信息的網(wǎng)絡(luò)設(shè)備還可以包括認(rèn)證器地址獲取單 元�,用于接收并獲取遷移后的認(rèn)證器或原認(rèn)證器發(fā)送來的遷移后的認(rèn)證器的 地址信息�,并通知所述密鑰請(qǐng)求獲取單元,以便于根據(jù)所述地址信息發(fā)送密 鑰請(qǐng)求�。可選地���,需要獲取密鑰信息的網(wǎng)絡(luò)設(shè)備還可以包括以下任一單元密鑰信息轉(zhuǎn)發(fā)單元,用于接收遷移后的認(rèn)證器發(fā)來的密鑰信息���,并將所 述的密鑰信息發(fā)送給遷移后的需要獲取密鑰信息的網(wǎng)絡(luò)設(shè)備;網(wǎng)絡(luò)設(shè)備遷移通知單元�,用于在接收遷移后的認(rèn)證器發(fā)來的密鑰信息 后��,向遷移后的認(rèn)證器返回需要獲取密鑰信息的網(wǎng)絡(luò)設(shè)備遷移的指示或遷移 后的需要獲取密鑰信息的網(wǎng)絡(luò)設(shè)備的地址信息;或者���,主動(dòng)向遷移后的認(rèn)證 器發(fā)送需要獲取密鑰信息的網(wǎng)絡(luò)設(shè)備遷移的指示或遷移后的需要獲取密鑰信 息的網(wǎng)絡(luò)設(shè)備的地址信息�;以便于遷移后的認(rèn)證器可以將密鑰信息發(fā)送給遷 移后的需要獲取密鑰信息的網(wǎng)絡(luò)設(shè)備����。(三)終端在部分應(yīng)用場(chǎng)景下,終端還可以向需要獲取密鑰信息的網(wǎng)絡(luò)設(shè)備發(fā)送用 于指示終端對(duì)應(yīng)的認(rèn)證器發(fā)生遷移的指示信息�,故終端中還可以包括用于確定認(rèn)證器是否發(fā)生遷移的處理單元��,具體可以包括遷移確定單元,用于在認(rèn)證的過程中��,接收認(rèn)證器發(fā)送來的識(shí)別信息, 并將當(dāng)前收到的認(rèn)證器的識(shí)別信息與之前收到的認(rèn)證器的識(shí)別信息進(jìn)行比 較��,確定認(rèn)證器是否發(fā)生遷移��;指示信息傳遞單元�,用于在所述遷移確定單元確定發(fā)生遷移后,向需要 獲取密鑰信息的網(wǎng)絡(luò)設(shè)備發(fā)送用于表示發(fā)生認(rèn)證器遷移的指示信息�����。綜上所述���,本發(fā)明實(shí)施例解決了FA更新MIP密鑰過程中存在的NAS發(fā)生 遷移的情況下無法獲取更新后MIP密鑰的問題,從而能夠盡量消除竟?fàn)巿?chǎng) 景�,盡量減少獲得密鑰的時(shí)間,因此����,本發(fā)明實(shí)施例提供了能夠令FA獲得有 效的MIP密鑰的實(shí)現(xiàn)方案�����,克服了現(xiàn)有技術(shù)中所存在的問題。以上所述���,僅為本發(fā)明較佳的具體實(shí)施方式
����,但本發(fā)明的保護(hù)范圍并不 局限于此��,任何熟悉本技術(shù)領(lǐng)域的技術(shù)人員在本發(fā)明揭露的技術(shù)范圍內(nèi)�,可 輕易想到的變化或替換��,都應(yīng)涵蓋在本發(fā)明的保護(hù)范圍之內(nèi)���。因此,本發(fā)明 的保護(hù)范圍應(yīng)該以權(quán)利要求的保護(hù)范圍為準(zhǔn)��。
權(quán)利要求
1���、一種獲取密鑰的方法�,其特征在于,用于在認(rèn)證器發(fā)生遷移后為需要獲取密鑰信息的網(wǎng)絡(luò)設(shè)備獲取密鑰信息��,且該方法包括需要獲取密鑰信息的網(wǎng)絡(luò)設(shè)備接收用于表示發(fā)生認(rèn)證器遷移的指示信息后����,向遷移后的認(rèn)證器發(fā)送密鑰請(qǐng)求,并接收所述認(rèn)證器返回的密鑰信息����,獲取該終端對(duì)應(yīng)的密鑰信息�����。
2�、 根據(jù)權(quán)利要求1所述的方法,其特征在于�����,所述的用于表示發(fā)生認(rèn)證 器遷移的指示信息由遷移后的認(rèn)證器或原認(rèn)證器或終端或家鄉(xiāng)代理或AAA服 務(wù)器向需要獲取密鑰信息的網(wǎng)絡(luò)設(shè)備發(fā)送����,可選地��,所述的遷移后的認(rèn)證器 或原認(rèn)證器或終端或家鄉(xiāng)代理或AAA服務(wù)器還將遷移后的認(rèn)證器的地址發(fā)送 給需要獲取密鑰信息的網(wǎng)絡(luò)設(shè)備�。
3���、 根據(jù)權(quán)利要求2所述的方法�����,其特征在于��,在由終端發(fā)送所述指示信 息時(shí)��,該方法還包4舌在認(rèn)證的過程中�����,由網(wǎng)絡(luò)側(cè)將認(rèn)證器的識(shí)別信息發(fā)送給終端�����; 終端根據(jù)當(dāng)前收到的認(rèn)證器的識(shí)別信息與之前收到的認(rèn)證器的識(shí)別信息 進(jìn)行比較�,確定認(rèn)證器是否發(fā)生遷移�����。
4、 根據(jù)權(quán)利要求3所述的方法���,其特征在于��,所述的識(shí)別信息包括認(rèn) 證器的地址信息����、認(rèn)證器的標(biāo)識(shí)信息和認(rèn)證器到網(wǎng)關(guān)的跳數(shù)中的至少一項(xiàng)�����。
5��、 根據(jù)權(quán)利要求1至4任一項(xiàng)所述的方法���,其特征在于,還包括 遷移后的認(rèn)證器生成終端對(duì)應(yīng)的密鑰信息后��,主動(dòng)將所述密鑰信息發(fā)送給所述需要獲取密鑰信息的網(wǎng)絡(luò)設(shè)備���;或者���,遷移后的認(rèn)證器將生成的終端對(duì)應(yīng)的密鑰信息發(fā)送給原認(rèn)證器�,并由原 認(rèn)證器發(fā)送給所述需要獲取密鑰信息的網(wǎng)絡(luò)設(shè)備��。
6���、 根據(jù)權(quán)利要求5所述的方法���,其特征在于,在所述的需要獲取密鑰信息的網(wǎng)絡(luò)設(shè)備確定終端對(duì)應(yīng)的認(rèn)證器發(fā)生遷移后�,該方法還包括需要獲取密鑰信息的網(wǎng)絡(luò)設(shè)備在確定未獲取到遷移后的認(rèn)證器生成的終 端對(duì)應(yīng)的密鑰信息后,執(zhí)行向遷移后的認(rèn)證器發(fā)送密鑰請(qǐng)求的步驟�����。
7�����、 根據(jù)權(quán)利要求1至4任一項(xiàng)所述的方法�����,其特征在于�����,所述的需要獲 取密鑰信息的網(wǎng)絡(luò)設(shè)備向遷移后的認(rèn)證器發(fā)送密鑰請(qǐng)求之前還包括獲取遷移 后的認(rèn)證器的地址信息的步驟,且該步驟包括從原認(rèn)證器請(qǐng)求獲取遷移后的認(rèn)證器的地址信息����;或者,接收遷移后的 認(rèn)證器或原認(rèn)證器或終端或家鄉(xiāng)代理或AAA服務(wù)器主動(dòng)發(fā)送來的遷移后的認(rèn) 證器的地址信息�����。
8����、 根據(jù)權(quán)利要求1至4任一項(xiàng)所述的方法,其特征在于����,在認(rèn)證器遷移 過程中,若需要獲取密鑰信息的網(wǎng)絡(luò)設(shè)備也發(fā)生遷移���,則該方法還包括以下 任一步驟遷移后的認(rèn)證器將密鑰信息通過原需要獲取密鑰信息的網(wǎng)絡(luò)設(shè)備發(fā)送給 遷移后的需要獲取密鑰信息的網(wǎng)絡(luò)設(shè)備;由遷移后的需要獲取密鑰信息的網(wǎng)絡(luò)設(shè)備向遷移后的認(rèn)證器發(fā)送需要獲 取密鑰信息的網(wǎng)絡(luò)設(shè)備遷移的指示或遷移后的需要獲取密鑰信息的網(wǎng)絡(luò)設(shè)備 的地址��,并由遷移后的認(rèn)證器將密鑰信息發(fā)送給遷移后的需要獲取密鑰信息 的網(wǎng)絡(luò)設(shè)備��;原需要獲取密鑰信息的網(wǎng)絡(luò)設(shè)備向遷移后的認(rèn)證器發(fā)送需要獲取密鑰信 息的網(wǎng)絡(luò)設(shè)備遷移的指示或遷移后的需要獲取密鑰信息的網(wǎng)絡(luò)設(shè)備的地址, 由遷移后的認(rèn)證器將密鑰信息發(fā)送給遷移后的需要獲取密鑰信息的網(wǎng)絡(luò)設(shè) 備��。
9����、 根據(jù)權(quán)利要求1至4任一項(xiàng)所述的方法,其特征在于����,在確定終端對(duì) 應(yīng)的認(rèn)證器發(fā)生遷移之前,還包括需要獲取密鑰信息的網(wǎng)絡(luò)設(shè)備確定終端已 發(fā)生重認(rèn)證的步驟���,且該步驟具體包括需要獲取密鑰信息的網(wǎng)絡(luò)設(shè)備中保存終端與家鄉(xiāng)代理之間的安全參數(shù)索引SPI ���,若收到的注冊(cè)請(qǐng)求中終端與家鄉(xiāng)代理之間的SPI與保存的SPI不同, 則確定發(fā)生重i人H
10�����、 一種獲取密鑰的方法��,其特征在于�����,用于在重認(rèn)證后為需要獲取密 鑰信息的網(wǎng)絡(luò)設(shè)備獲取密鑰信息,且該方法包括需要獲取密鑰信息的網(wǎng)絡(luò)設(shè)備接收用于表示發(fā)生重認(rèn)證的指示信息后�����, 接收認(rèn)證器發(fā)送的該終端對(duì)應(yīng)的密鑰信息�����。
11�、 根據(jù)權(quán)利要求10所述的方法,其特征在于�����,所述認(rèn)證器是進(jìn)行重認(rèn)證的認(rèn)證器o
12����、 根據(jù)權(quán)利要求11所述的方法,其特征在于����,需要獲取密鑰信息的網(wǎng) 絡(luò)設(shè)備接收用于表示發(fā)生重認(rèn)證的指示信息后,啟動(dòng)一個(gè)定時(shí)器�����,在定時(shí)器 有效期內(nèi)接收所述該終端對(duì)應(yīng)的密鑰信息����。
13、 根據(jù)權(quán)利要求12所述的方法�����,其特征在于��,如果在定時(shí)器有效期內(nèi) 沒有接收到所述密鑰信息���,丟棄終端發(fā)送的移動(dòng)IP注冊(cè)請(qǐng)求�。
14�����、 一種網(wǎng)絡(luò)設(shè)備���,其特征在于����,包括認(rèn)證器遷移確定單元�����,用于根據(jù)接收到的用于表示發(fā)生認(rèn)證器遷移的指 示信息確定終端對(duì)應(yīng)的iU正器發(fā)生遷移;密鑰請(qǐng)求獲取單元�,用于在所述認(rèn)證器遷移確定單元確定終端對(duì)應(yīng)的認(rèn) 證器發(fā)生遷移后,向遷移后的認(rèn)證器發(fā)送密鑰請(qǐng)求���,并用于接收所述認(rèn)證器 返回的密鑰信息�����,獲fC該終端對(duì)應(yīng)的密鑰信息���。
15、 根據(jù)權(quán)利要求14所述的設(shè)備����,其特征在于,該設(shè)備還包括判斷處理 單元�����,用于在所述認(rèn)證器遷移確定單元確定發(fā)生認(rèn)證器遷移后����,若確定未獲 取到遷移后的認(rèn)證器生成的密鑰信息����,則通知所述密鑰請(qǐng)求獲取單元�����。
16�����、 根據(jù)權(quán)利要求14或15所述的設(shè)備����,其特征在于��,該設(shè)備還包括認(rèn)證 器地址獲取單元�����,用于接收并獲取遷移后的認(rèn)證器或原認(rèn)證器發(fā)送來的遷移后的認(rèn)證器的地址信息�����,并通知所述密鑰請(qǐng)求獲取單元���。
17���、 一種獲取密鑰的系統(tǒng)�����,其特征在于���,包括認(rèn)證器和需要獲取密鑰信 息的網(wǎng)絡(luò)設(shè)備,其中���,認(rèn)證器��,用于接收需要獲取密鑰信息的網(wǎng)絡(luò)設(shè)備發(fā)來的密鑰請(qǐng)求���,并向 需要獲取密鑰信息的網(wǎng)絡(luò)設(shè)備發(fā)送其生成的終端對(duì)應(yīng)的密鑰信息;需要獲取密鑰信息的網(wǎng)絡(luò)設(shè)備��,接收用于表示發(fā)生認(rèn)證器遷移的指示信 息后���,向遷移后的認(rèn)證器發(fā)送密鑰請(qǐng)求�,接收所述認(rèn)證器返回的密鑰信息。
18����、 根據(jù)權(quán)利要求17所述的系統(tǒng),其特征在于���,該系統(tǒng)還包括終端���,且 該終端包括遷移確定單元����,用于在認(rèn)證的過程中,接收認(rèn)證器發(fā)送來的識(shí)別信息�����, 并根據(jù)當(dāng)前收到的認(rèn)證器的識(shí)別信息與之前收到的認(rèn)證器的識(shí)別信息進(jìn)行比 較�,確定認(rèn)證器是否發(fā)生遷移;指示信息傳遞單元��,用于在所述遷移確定單元確定發(fā)生遷移后���,向需要 獲取密鑰信息的網(wǎng)絡(luò)設(shè)備發(fā)送用于表示發(fā)生認(rèn)證器遷移的指示信息����。
19、 根據(jù)權(quán)利要求18所述的系統(tǒng)�����,其特征在于�,所述認(rèn)證器還包括識(shí)別 信息發(fā)送單元,用于將認(rèn)證器的地址信息或認(rèn)證器到網(wǎng)關(guān)的跳數(shù)作為識(shí)別信 息發(fā)送給所述終端���。
20���、 根據(jù)權(quán)利要求17、 18或19所述的系統(tǒng)�,其特征在于,所述的認(rèn)證器 包括密鑰請(qǐng)求接收單元和密鑰信息發(fā)送單元���,其中�,密鑰請(qǐng)求接收單元���,用于接收需要獲取密鑰信息的網(wǎng)絡(luò)設(shè)備發(fā)來的密鑰 請(qǐng)求�����;密鑰信息發(fā)送單元�,用于在所述密鑰請(qǐng)求接收單元接收到密鑰請(qǐng)求后, 向需要獲取密鑰信息的網(wǎng)絡(luò)設(shè)備發(fā)送其生成的終端對(duì)應(yīng)的密鑰信息���; 可選地�,所述認(rèn)證器還包括密鑰信息直接發(fā)送單元�����,用于將遷移后的認(rèn)證器生成的密鑰信息后���,直接發(fā)送給所述需要獲取密鑰信息的網(wǎng)絡(luò)設(shè)備;或者��,密鑰信息間接傳遞單元����,用于將遷移后的認(rèn)證器將生成的密鑰信息發(fā)送 給原認(rèn)證器,并由原認(rèn)證器發(fā)送給所述需要獲取密鑰信息的網(wǎng)絡(luò)設(shè)備�。
21、 根據(jù)權(quán)利要求17�、 18或19所述的系統(tǒng),其特征在于�,所述的認(rèn)證器 還包括遷移指示發(fā)送單元,用于向需要獲取密鑰信息的網(wǎng)絡(luò)設(shè)備發(fā)送用于表 示發(fā)生i人證器遷移的指示信息和/或者遷移后的認(rèn)^t器的地址。
22��、 根據(jù)權(quán)利要求21所述的系統(tǒng)�,其特征在于,若所述遷移指示發(fā)送單 元向需要獲取密鑰信息的網(wǎng)絡(luò)設(shè)備發(fā)送遷移后的認(rèn)證器的地址�����,則所述的認(rèn) 證器還包括終端信息維護(hù)單元����,用于維護(hù)終端與遷移后的認(rèn)證器的地址之間 的對(duì)應(yīng)關(guān)系,可選地針對(duì)該對(duì)應(yīng)關(guān)系設(shè)置對(duì)應(yīng)的生存周期����。
23、 根據(jù)權(quán)利要求17�����、 18或19所述的系統(tǒng)����,其特征在于,所述的需要獲 取密鑰信息的網(wǎng)絡(luò)設(shè)備中還包括密鑰信息轉(zhuǎn)發(fā)單元�����,用于接收遷移后的認(rèn)證器發(fā)來的密鑰信息,并發(fā)送 給遷移后的需要獲取密鑰信息的網(wǎng)絡(luò)設(shè)備�;或者,網(wǎng)絡(luò)設(shè)備遷移通知單元���,用于在接收遷移后的認(rèn)證器發(fā)來的密鑰信息 后��,向遷移后的認(rèn)證器返回需要獲取密鑰信息的網(wǎng)絡(luò)設(shè)備遷移的指示或遷移 后的需要獲取密鑰信息的網(wǎng)絡(luò)設(shè)備的地址信息��;或者��,主動(dòng)向遷移后的認(rèn)證 器發(fā)送需要獲取密鑰信息的網(wǎng)絡(luò)設(shè)備遷移的指示或遷移后的需要獲取密鑰信 息的網(wǎng)絡(luò)設(shè)備的地址信息����。
24�����、 一種獲取密鑰的系統(tǒng)�,其特征在于�����,包括認(rèn)證器和需要獲取密鑰信 息的網(wǎng)絡(luò)設(shè)備,其中���,認(rèn)證器��,用于向需要獲取密鑰信息的網(wǎng)絡(luò)設(shè)備發(fā)送其生成的終端對(duì)應(yīng)的 密鑰信息���;需要獲取密鑰信息的網(wǎng)絡(luò)設(shè)備,用于接收用于表示發(fā)生重認(rèn)證的指示信 息后���,接收認(rèn)證器發(fā)送的該終端對(duì)應(yīng)的密鑰信息�。
全文摘要
一種獲取密鑰的方法�����、設(shè)備及系統(tǒng)�,其用于在認(rèn)證器發(fā)生遷移后為需要獲取密鑰信息的網(wǎng)絡(luò)設(shè)備獲取密鑰信息。且其包括首先�����,需要獲取密鑰信息的網(wǎng)絡(luò)設(shè)備接收用于表示發(fā)生認(rèn)證器遷移的指示信息后�����,向遷移后的認(rèn)證器發(fā)送密鑰請(qǐng)求,并接收所述認(rèn)證器返回的密鑰信息����。因此,本發(fā)明的實(shí)現(xiàn)可以在認(rèn)證器發(fā)生遷移后�,保證移動(dòng)用戶的需要獲取密鑰信息的網(wǎng)絡(luò)設(shè)備可以獲得相應(yīng)的密鑰信息,以使得后續(xù)通信過程的順利進(jìn)行����,從而可以有效提高無線通信系統(tǒng)的通信性能。
文檔編號(hào)H04Q7/38GK101325804SQ20071014514
公開日2008年12月17日 申請(qǐng)日期2007年8月23日 優(yōu)先權(quán)日2007年6月11日
發(fā)明者吳建軍, 梁文亮 申請(qǐng)人:華為技術(shù)有限公司