CN101015225A - 通信切换方法和通信消息处理方法以及通信控制方法 - Google Patents
通信切换方法和通信消息处理方法以及通信控制方法 Download PDFInfo
- Publication number
- CN101015225A CN101015225A CNA2005800293181A CN200580029318A CN101015225A CN 101015225 A CN101015225 A CN 101015225A CN A2005800293181 A CNA2005800293181 A CN A2005800293181A CN 200580029318 A CN200580029318 A CN 200580029318A CN 101015225 A CN101015225 A CN 101015225A
- Authority
- CN
- China
- Prior art keywords
- mentioned
- communication
- access point
- portable terminal
- couple
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/061—Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/041—Key generation or derivation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/043—Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
- H04W12/0433—Key management protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/062—Pre-authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/068—Authentication using credential vaults, e.g. password manager applications or one time password [OTP] applications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/069—Authentication using certificates or pre-shared keys
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W36/00—Hand-off or reselection arrangements
- H04W36/08—Reselecting an access point
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W36/00—Hand-off or reselection arrangements
- H04W36/0005—Control or signalling for completing the hand-off
- H04W36/0011—Control or signalling for completing the hand-off for data sessions of end-to-end connection
- H04W36/0016—Hand-off preparation specially adapted for end-to-end data sessions
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
- Small-Scale Networks (AREA)
Abstract
本发明公开了一种技术,当移动节点(MN)在存在于不同接入路由器(AR)的链路上的接入点(AP)之间进行切换时,能够迅速地确立MN与AP之间的安全性,从而降低因切换而引起的通信延迟或断绝;借助于这种技术,进行切换的MN10在该切换前将MN自身的MAC地址和切换前与AP21之间使用的通信用加密解密密钥通知给切换后新连接的接入路由器(nAR)30,nAR将这些信息通知给MN在切换后所连接的AP31。由此,MN就能够使用切换前所使用的通信用加密解密密钥来进行与切换后的AP的通信。另外,也可以利用与FMIP相关的处理来向nAR通知MN的MAC地址及通信用加密解密密钥。
Description
技术领域
本发明涉及通信切换(handover)方法和通信消息处理方法以及通信控制方法,特别是在无线LAN***中实现了移动终端与接入点之间的通信安全对策的通信***中的通信切换方法和通信消息处理方法以及通信控制方法。
背景技术
近年来,通过使用无线LAN(局域网:Local Area Network)的移动终端(移动节点:Mobile Node,以下记作MN)大大促进了网络接入技术的发展。例如,MN利用IEEE(Institute of Electrical andElectronics Engineers:美国电气电子工程师学会)802.11等无线方式与接入点(Access Point,以下记作AP)连接,由此,可以通过位于AP的上层的接入路由器(Access Router,以下记作AR)接入因特网等外部IP网络。
但是,这种无线LAN通信所构建的LAN环境不使用物理布线,因此,是一种很容易受到第三者窃听通信或非法接入网络等侵害的环境。作为针对这种环境的安全对策,已经开发出例如IEEE802.1x(参照下述非专利文献1)这样的用于实现牢固的安全性的技术。
IEEE 802.1x是一种在MN接入AP时利用RADIUS(远程认证拨号用户服务:Remote Authentication Dial-In User Service)或EAP(扩展认证协议:Extensible Authentication Protocol)等实施端口控制(端口接入控制)的技术。图10是表示现有技术中的IEEE802.1x中端口控制的概要的图(参照下述的非专利文献1的第6章)。图10中表示了客户***(Supplicant System)、认证***(Authenticator System)、认证服务器***(Authentication Sever System)。其中,客户***、认证***、认证服务器***分别对应于作为接入客户端的MN、作为接入服务器的AP、以及RADIUS服务器***。
客户***为了实现符合IEEE 802.1x的认证,在接入客户端中安装了作为必要的软件的PAE(端口接入实体:Port Access Entity)。另外,认证***中安装了认证PAE。该认证PAE可以经由非控制端口与通过LAN(无线LAN)接入进来的客户***进行连接并且与认证服务器***的认证服务器进行通信。此外,当客户***通过了认证服务器的认证后,认证PAE进行端口控制,使客户***通过控制端口能够取得例如因特网接入服务等预定的服务。此外,认证***也可以通过参照客户***的MAC(Media Access Control:媒体接入控制)地址来进行端口控制,使客户***不能连接到控制端口和非控制端口这两个端口。
另外,图11是表示在图10的结构中客户***通过认证取得预定的服务时的一个动作实例的顺序图。这里,举出使用EAP及RADIUS的认证中的一个动作实例进行说明。
图11所示的顺序图中的动作大致分为前半部分的MAC认证(步骤S1001~S1004)和后半部分的基于IEEE 802.1x的认证(步骤S1101~S1111)。首先,当客户***已经连接到认证***的情况下(即MN已经连接到AP的情况下),客户***向认证***发送所使用的SSID(Service Set ID:服务集标识符)和通信速度作为“探测请求”(Probe Request)(步骤S1001),认证***则向客户***发送所使用的通信速度作为其应答即“探测响应”(Probe Response)(步骤S1002)。接着,客户***向认证***发送MAC地址作为“开放认证请求”(OpenAuthentication Request)(步骤S1003),认证***在完成MAC地址的确认之后向客户***发出无线线路可以正常使用的通知作为“MAC认证应答”(MAC Authentication Ack)(步骤S1004)。
接着,客户***向认证***发送作为EAP开始请求的“EAPOL-开始”(EAPOL-START)(步骤S1101),认证***则向客户***发送“EAP-请求/身份”(EAP-Request/Identity),由此开始EAP(步骤S1102)。EAP开始后,客户***向认证***发送包含该客户***ID(识别信息)的“EAP-响应/身份”(EAP-Response/Identity)(步骤S1103),认证***将该信息作为“Radius-接入-请求”(Radius-Access-Request)传输给认证服务器***(步骤S1104)。认证服务器***向认证***发送客户***的证书发送要求和认证服务器***的证书作为“Radius-接入-询问”(Radius-Access-Challenge)(步骤S1105),认证***则将该信息作为“EAP-请求”(EAP-Request)传输给客户***(步骤S1106)。
接着,客户***向认证***发送包含表示其是正式的客户端的证书的“EAP-响应(证书)”(EAP-Response(credentials))(步骤S1107),认证***则将该信息作为“Radius-接入-请求”(Radius-Access-Request)传输给认证服务器***(步骤S1108)。认证服务器***通过预定的认证处理对客户***进行认证后,向认证***发送表示认证成功的信息以及成为通信用加密解密密钥的基础的信息作为“Radius-接入-询问”(Radius-Access-Challenge)(步骤S1109)。认证***通过“EAP-成功”(EAP-Success)通知客户***认证成功(步骤S1110),并且生成通信用加密解密密钥(这里是EAPOL-密钥(WEP)),传给客户***(步骤S1111)。
借助于以上动作,生成并共享客户***与认证***之间的无线线路中所使用的通信用加密解密密钥,并且认证***进行端口控制,以便向已经完成认证的客户***提供通过控制端口的向预定服务的接入。此外,虽然省略了说明,但在上述动作中,在客户***与认证服务器***之间也进一步进行例如TLS(Transport Layer Security:传输层安全)等可用加密/压缩方式的确认等相关消息的交换。
另一方面,上述这种基于IEEE 802.1x等的安全保障处理在每次MN连接到AP时都进行。因此,当MN在与新的AP进行连接的情况下,需要进行图10所示的一系列动作,例如,当在不同AP之间切换连接的切换过程中(特别是当存在需要进行实时通信并正处在进行过程中的会话等的情况下),每次切换时都会发生通信延迟或断绝等。
考虑到这种问题,在例如下述的专利文献1中公开了一种技术,其在图12所示的网络结构中,认证服务器903向AP902发布MN900与AP901之间的通信用加密解密密钥,由此,当MN900在AP901、902之间发生切换的情况下,在通过认证发布新的通信用加密解密密钥之前,使用切换前所使用的通信用加密解密密钥进行与切换目的地AP902的无线通信。借助于该技术,每当MN900与AP901、902连接时,即使需要对MN900进行认证,当MN900在AP901、902之间发生切换时,也不会因认证而引起MN900与AP901、902之间的通信发生中断。
另外,在下述的非专利文献2中描述了一种通常被称为FMIP(FastMobile IP:快速移动IP)的技术,其中,MN在进行其切换之前构造出与切换后所连接的子网相适应的CoA(Care ofAddress:转交地址),由此,就可以在切换后立即迅速地重新开始通信。
非专利文献1:IEEE Std 802.1X-2001,“IEEE Standard for Localand metropolitan area networks-Port-Based Network Access Control”published 13 July 2001。
非专利文献2:Rajeev Koodli“Fast Handovers for Mobile IPv6”,draft-ietf-mobileip-fast-mipv6-08,October 2003
专利文献1:特开平2003-259417号公报(图1、图14、0074~0079段)
但是,专利文献1中公开的技术虽然在多个AP由同一认证服务器(或者是同一管理者(运营商)运营的认证服务器)进行管理的网络结构中非常有效,但如图13所示,如果是由连接到IP网络910的不同的认证服务器911、912进行管理,则很难对分别位于各个认证服务器下面的AP发布同一个通信用加密解密密钥。尤其是,随着今后无线LAN的普及,各个管理者独自配设AP,在不同管理者所管理的AP之间进行切换的环境会越来越多。这种在不同管理者所管理的AP之间的切换即使欲采用专利文献1中描述的技术在认证服务器911、912之间交换通信用加密解密密钥,一方的AP(切换前MN900所连接的AP)901的认证服务器911也无法特别指定另一方的AP(切换后MN900所连接的AP)902的认证服务器912的位置,就会出现无法交换通信用加密解密密钥的问题。
另外,如果使用非专利文献2中描述的技术,在切换时虽然能够实现IP层等第3层以上的快速的处理,但对于第2层以下的处理,必须进行上述非专利文献1中描述的认证处理(例如图11所示的一系列动作)。即,非专利文献2中描述的技术中所存在的问题是无法解决在切换时因第2层以下的处理所产生的通信延迟或断绝。
发明内容
鉴于上述问题,本发明的目的是,即使移动节点在存在于不同接入路由器的链路上的接入点之间进行切换时,也能够迅速地确立移动节点与接入点之间的安全性,降低因切换而引起的通信延迟或断绝。
为了实现上述目的,本发明的通信切换方法是一种在第1接入路由器与第2接入路由器经由通信网络连接起来的通信***中移动终端从第1接入点向第2接入点进行切换时的通信切换方法,其中,上述第1接入路由器其下具有上述第1接入点,上述第2接入路由器其下具有上述第2接入点,该方法具有以下步骤:
切换决定步骤,连接到上述第1接入点的、在与上述第1接入点之间共享通信用加密解密密钥并使用上述通信用加密解密密钥来进行与上述第1接入点之间的加密通信的上述移动终端,决定从上述第1接入点向上述第2接入点进行上述切换并且从上述第2接入点取得上述第2接入点的识别信息;
第1通知步骤,上述移动终端经由上述第1接入点向上述第1接入路由器通知上述第2接入点的识别信息、上述移动终端的识别信息、以及和与上述第1接入点的加密通信有关的上述通信用加密解密密钥;
第2通知步骤,上述第1接入路由器根据从上述移动终端通知的上述第2接入点的识别信息来特别指定上述第2接入路由器,对上述第2接入路由器通知上述移动终端的识别信息、以及和与上述第1接入点的加密通信有关的上述通信用加密解密密钥;
第3通知步骤,上述第2接入路由器对上述第2接入点通知从上述第1接入路由器通知的上述移动终端的识别信息、以及和与上述第1接入点的加密通信有关的上述通信用加密解密密钥;
比较步骤,上述第2接入点通过上述移动终端的识别信息来识别通过上述切换与上述第2接入点连接的上述移动终端,将连接到上述第2接入点的上述移动终端的识别信息与在上述第3通知步骤中从上述第2接入路由器通知的上述移动终端的识别信息进行比较;以及
通信控制步骤,上述第2接入点根据上述比较步骤的比较结果,在和具有与从上述第2接入路由器通知的上述移动终端的识别信息相一致的上述识别信息的上述移动终端之间,使用在上述移动终端与上述第1接入点之间的加密通信中所使用的上述通信用加密解密密钥来进行加密通信,并且对上述移动终端进行用于允许对上述第2接入路由器的接入的控制。
由此,移动终端(移动节点)即使在存在于不同接入路由器(第1接入路由器及第2接入路由器)的链路上的接入点(第1接入点及第2接入点)之间进行切换的情况下,也能够在移动终端与切换后移动终端所连接的接入点(第2接入点)之间迅速地确立安全性,降低因切换而引起的通信延迟或断绝。
进而,本发明的通信切换方法具有以下步骤:
认证成功通信步骤,和上述通信控制步骤中的与上述移动终端之间的加密通信相并行地进行上述移动终端的认证处理,当上述移动终端通过认证并生成了和上述移动终端与上述第2接入点之间的加密通信有关的新的通信用加密解密密钥时,上述第2接入点在与上述移动终端之间使用上述新的通信用加密解密密钥来进行加密通信,并且对上述移动终端继续进行用于允许对上述第2接入路由器的接入的控制;以及
认证失败通信步骤,和上述通信控制步骤中的与上述移动终端之间的加密通信相并行地进行上述移动终端的认证处理,当上述移动终端没有通过认证时,上述第2接入点对上述移动终端进行用于不允许对上述第2接入路由器的接入的控制。
由此,对于通过切换而连接到接入点(第2接入点)的移动终端,使用移动终端在切换前所使用的通信用加密解密密钥迅速地开始临时的通信,并且并行进行认证处理,这样就能够再次进行移动终端的认证及接入控制。
进而,本发明的通信切换方法在上述第1通知步骤中,将上述移动终端的识别信息以及和与上述第1接入点的加密通信有关的上述通信用加密解密密钥嵌入到FMIP的RtSolPr消息或FBU消息中并从上述移动终端发送给上述第1接入路由器。
由此,就能够将移动终端的识别信息以及和与切换前移动终端所连接的接入点(第1接入点)的加密通信有关的通信用加密解密密钥加载到FMIP的各个消息中而高效地从移动终端传输到移动终端在切换前所连接的接入路由器(第1接入路由器)。
进而,本发明的通信切换方法在上述第2通知步骤中,将上述移动终端的识别信息以及和与上述第1接入点的加密通信有关的上述通信用加密解密密钥嵌入到FMIP的HI消息中并从上述第1接入路由器发送给上述第2接入路由器。
由此,就能够将移动终端的识别信息以及和与切换前移动终端所连接的接入点(第1接入点)的加密通信有关的通信用加密解密密钥加载到FMIP的各个消息中而高效地从移动终端在切换前所连接的接入路由器(第1接入路由器)传输到移动终端在切换后所连接的接入路由器(第2接入路由器)。
另外,为实现上述目的,本发明的通信切换方法是一种在第1接入路由器与第2接入路由器经由通信网络连接起来的通信***中从第1接入点向第2接入点进行切换的移动终端中的通信切换方法,其中,上述第1接入路由器其下具有上述第1接入点,上述第2接入路由器其下具有上述第2接入点,该方法具有以下步骤:
切换决定步骤,在连接到上述第1接入点的、在与上述第1接入点之间共享通信用加密解密密钥并使用上述通信用加密解密密钥来进行与上述第1接入点之间的加密通信的状态下,决定从上述第1接入点向上述第2接入点进行上述切换并且从上述第2接入点取得上述第2接入点的识别信息;
通知步骤,经由上述第1接入点向上述第1接入路由器通知上述第2接入点的识别信息、上述移动终端的识别信息、以及和与上述第1接入点的加密通信有关的上述通信用加密解密密钥;以及
通信步骤,当通过上述切换而连接到上述第2接入点时,在与从上述第1接入路由器经由上述第2接入路由器接收到上述移动终端的识别信息以及和与上述第1接入点的加密通信有关的上述通信用加密解密密钥的上述第2接入点之间,使用和与上述第1接入点的加密通信有关的上述通信用加密解密密钥来进行加密通信。
由此,移动终端(移动节点)即使在存在于不同接入路由器(第1接入路由器及第2接入路由器)的链路上的接入点(第1接入点及第2接入点)之间进行切换的情况下,也能够在移动终端与切换后移动终端所连接的接入点(第2接入点)之间迅速地确立安全性,降低因切换而引起的通信延迟或断绝。
进而,本发明的通信切换方法具有以下步骤:认证成功通信步骤,和上述通信步骤中的与上述移动终端之间的加密通信相并行地进行上述移动终端的认证处理,当上述移动终端通过认证并生成了和与上述第2接入点之间的加密通信有关的新的通信用加密解密密钥时,上述移动终端在与上述第2接入点之间使用上述新的通信用加密解密密钥来进行加密通信,并且对上述移动终端继续进行用于允许对上述第2接入路由器的接入的控制。
由此,对于通过切换而连接到新的接入点(第2接入点)的移动终端,使用移动终端在切换前所使用的通信用加密解密密钥迅速地开始临时的通信,并且并行进行认证处理,这样就能够再次进行移动终端的认证及接入控制。
进而,本发明的通信切换方法其具有以下步骤:生成嵌入了上述移动终端的识别信息以及和与上述第1接入点的加密通信有关的上述通信用加密解密密钥的FMIP的RtSolPr消息或FBU消息,
在上述通知步骤中,将上述RtSolPr消息或FBU消息发送给上述第1接入路由器。
由此,就能够将移动终端的识别信息以及和与切换前移动终端所连接的接入点(第1接入点)的加密通信有关的上述通信用加密解密密钥加载到FMIP的各个消息中而高效地从移动终端传输到移动终端在切换前所连接的接入路由器(第1接入路由器)。
另外,为实现上述目的,本发明的通信消息处理方法是一种在第1接入路由器与第2接入路由器经由通信网络连接起来的通信***中移动终端从第1接入点向第2接入点进行切换时的上述第1接入路由器中的通信消息处理方法,其中,上述第1接入路由器其下具有上述第1接入点,上述第2接入路由器其下具有上述第2接入点,该方法具有以下步骤:
接收步骤,从上述移动终端接收上述第2接入点的识别信息、上述移动终端的识别信息、以及和与上述第1接入点的加密通信有关的上述通信用加密解密密钥;
连接目的地特别指定步骤,根据上述第2接入点的识别信息来特别指定上述第2接入路由器;以及
通知步骤,将上述移动终端的识别信息以及和与上述第1接入点的加密通信有关的上述通信用加密解密密钥通知给在上述连接目的地特别指定步骤中所特别指定的上述第2接入路由器。
由此,移动终端(移动节点)即使在存在于不同接入路由器(第1接入路由器及第2接入路由器)的链路上的接入点(第1接入点及第2接入点)之间进行切换的情况下,也能够在移动终端与切换后移动终端所连接的接入点(第2接入点)之间迅速地确立安全性,降低因切换而引起的通信延迟或断绝。
进而,本发明的通信消息处理方法在上述接收步骤中,从上述移动终端接收嵌入了上述移动终端的识别信息以及和与上述第1接入点的加密通信有关的上述通信用加密解密密钥的FMIP的RtSolPr消息或FBU消息。
由此,就能够将移动终端的识别信息以及和与切换前移动终端所连接的接入点(第1接入点)的加密通信有关的上述通信用加密解密密钥加载到FMIP的各个消息中而高效地从移动终端传输到移动终端在切换前所连接的接入路由器(第1接入路由器)。
进而,本发明的通信消息处理方法还具有以下步骤:生成嵌入了上述移动终端的识别信息以及和与上述第1接入点的加密通信有关的上述通信用加密解密密钥的FMIP的HI消息,
在上述通知步骤中,将上述HI消息发送给上述第2接入路由器。
由此,就能够将移动终端的识别信息以及和与切换前移动终端所连接的接入点(第1接入点)的加密通信有关的上述通信用加密解密密钥加载到FMIP的各个消息中而高效地从移动终端在切换前所连接的接入路由器(第1接入路由器)传输到移动终端在切换后所连接的接入路由器(第2接入路由器)。
另外,为实现上述目的,本发明的通信消息处理方法是一种在第1接入路由器与第2接入路由器经由通信网络连接起来的通信***中移动终端从第1接入点向第2接入点进行切换时的上述第2接入路由器中的通信消息处理方法,其中,上述第1接入路由器其下具有上述第1接入点,上述第2接入路由器其下具有上述第2接入点,该方法具有以下步骤:
接收步骤,从上述第1接入路由器接收上述移动终端的识别信息以及和与上述第1接入点的加密通信有关的上述通信用加密解密密钥;以及
通知步骤,对上述第2接入点通知从上述第1接入路由器通知的上述移动终端的识别信息以及和与上述第1接入点的加密通信有关的上述通信用加密解密密钥。
由此,移动终端(移动节点)即使在存在于不同接入路由器(第1接入路由器及第2接入路由器)的链路上的接入点(第1接入点及第2接入点)之间进行切换的情况下,也能够在移动终端与切换后移动终端所连接的接入点(第2接入点)之间迅速地确立安全性,降低因切换而引起的通信延迟或断绝。
进而,本发明的通信消息处理方法在上述接收步骤中,从上述第1接入路由器接收嵌入了上述移动终端的识别信息以及和与上述第1接入点的加密通信有关的上述通信用加密解密密钥的FMIP的HI消息。
由此,就能够将移动终端的识别信息以及和与切换前移动终端所连接的接入点(第1接入点)的加密通信有关的上述通信用加密解密密钥加载到FMIP的各个消息中而高效地从移动终端在切换前所连接的接入路由器(第1接入路由器)传输到移动终端在切换后所连接的接入路由器(第2接入路由器)。
本发明的通信消息处理方法还具有以下步骤:消息生成步骤,生成嵌入了上述移动终端的识别信息以及和与上述第1接入点的加密通信有关的上述通信用加密解密密钥的通知消息,
在上述通知步骤中,将上述通知消息发送给上述第2接入点。
由此,通过从移动终端在切换后所连接的接入路由器(第2接入路由器)向移动终端在切换后所连接的接入点(第2接入点)发送通知消息,就能够将从移动终端在切换前所连接的接入路由器(第1接入路由器)通知的移动终端的识别信息和通信用加密解密密钥传输到第2接入点。
另外,为实现上述目的,本发明的通信控制方法是一种在第1接入路由器与第2接入路由器经由通信网络连接起来的通信***中移动终端从第1接入点向第2接入点进行切换时的上述第2接入点中的通信控制方法,其中,上述第1接入路由器其下具有上述第1接入点,上述第2接入路由器其下具有上述第2接入点,该方法具有以下步骤:
接收步骤,上述第2接入路由器从上述第2接入路由器接收从上述第1接入路由器通知的上述移动终端的识别信息以及和与上述第1接入点的加密通信有关的上述通信用加密解密密钥;
比较步骤,通过上述移动终端的识别信息来识别通过上述切换与上述第2接入点连接的上述移动终端,将连接到上述第2接入点的上述移动终端的识别信息与在上述接收步骤中从上述第2接入路由器通知的上述移动终端的识别信息进行比较;以及
通信控制步骤,根据上述比较步骤的比较结果,在和具有与从上述第2接入路由器通知的上述移动终端的识别信息相一致的上述识别信息的上述移动终端之间,使用在上述移动终端与上述第1接入点之间的加密通信中所使用的上述通信用加密解密密钥来进行加密通信,并且对上述移动终端进行用于允许对上述第2接入路由器的接入的控制。
由此,对于通过切换而连接到新的接入点(第2接入点)的移动终端,使用移动终端在切换前所使用的通信用加密解密密钥迅速地开始临时的通信,并且并行进行认证处理,这样就能够再次进行移动终端的认证及接入控制。
进而,本发明的通信控制方法具有以下步骤:
认证成功通信步骤,和上述通信控制步骤中的与上述移动终端之间的加密通信相并行地进行上述移动终端的认证处理,当上述移动终端通过认证并生成了和上述移动终端与上述第2接入点之间的加密通信有关的新的通信用加密解密密钥时,在与上述移动终端之间使用上述新的通信用加密解密密钥来进行加密通信,并且对上述移动终端继续进行用于允许对上述第2接入路由器的接入的控制;以及
认证失败通信步骤,和上述通信控制步骤中的与上述移动终端之间的加密通信相并行地进行上述移动终端的认证处理,当上述移动终端没有通过认证时,对上述移动终端进行用于不允许对上述第2接入路由器的接入的控制。
由此,对于通过切换而连接到新的接入点(第2接入点)的移动终端,使用移动终端在切换前所使用的通信用加密解密密钥迅速地开始临时的通信,并且并行进行认证处理,这样就能够再次进行移动终端的认证及接入控制。
本发明的通信切换方法和通信消息处理方法以及通信控制方法具有上述结构,其具有的效果是:即使当移动节点在存在于不同接入路由器的链路上的接入点之间进行切换的情况下,也能够在移动节点与接入点之间迅速地确立安全性,降低因切换而引起的通信延迟或断绝。
附图说明
图1是表示本发明的实施方式中的网络结构的一个实例的图。
图2是表示本发明的实施方式中的MN的结构的一个实例的图。
图3是表示本发明的实施方式中的pAR的结构的一个实例的图。
图4是表示本发明的实施方式中的nAR的结构的一个实例的图。
图5是表示本发明的实施方式中存在于nAR下面的AP的结构的一个实例的图。
图6是表示本发明的实施方式中的动作的一个实例的顺序图。
图7A是表示本发明的实施方式中使用的与从MN向pAR通知MAC地址及通信用加密解密密钥有关的消息的一个实例的图,图中表示嵌入了MAC地址和通信用加密解密密钥的FBU消息。
图7B是表示本发明的实施方式中使用的与从MN向pAR通知MAC地址及通信用加密解密密钥有关的消息的一个实例的图,图中表示嵌入了MAC地址和通信用加密解密密钥的RtSolPr消息。
图7C是表示本发明的实施方式中使用的与从MN向pAR通知MAC地址及通信用加密解密密钥有关的消息的一个实例的图,图中表示嵌入了MAC地址和通信用加密解密密钥的MAC地址/密钥通知消息。
图8A是表示本发明的实施方式中使用的与从pAR向nAR通知MAC地址及通信用加密解密密钥有关的消息的一个实例的图,图中表示嵌入了MAC地址和通信用加密解密密钥的HI消息。
图8B是表示本发明的实施方式中使用的与从pAR向nAR通知MAC地址及通信用加密解密密钥有关的消息的一个实例的图,图中表示嵌入了MAC地址和通信用加密解密密钥的MAC地址/密钥通知消息。
图9A是表示本发明的实施方式中对将切换前所使用的通信用加密解密密钥设定为可以在切换后使用的MN所进行的认证处理的示意图,图中示意性地表示了AP允许MN使用在切换前所使用的通信用加密解密密钥的状态。
图9B是表示本发明的实施方式中对将切换前所使用的通信用加密解密密钥设定为可以在切换后使用的MN所进行的认证处理的示意图,图中示意性地表示了AP在进行了切换后MN的认证处理后的结果、即MN已经通过了认证的状态。
图9C是表示本发明的实施方式中对将切换前所使用的通信用加密解密密钥设定为可以在切换后使用的MN所进行的认证处理的示意图,图中示意性地表示了AP在进行了切换后MN的认证处理的结果、即MN没有通过认证的状态。
图10是表示现有技术中的IEEE 802.1x中端口接入控制的概要的图。
图11是表示在图10的结构中客户***通过认证取得预定的服务时的一个动作实例的顺序图。
图12是表示现有技术中的网络结构的一个实例的图。
图13是表示用来说明本发明试图解决的问题的一个网络结构实例的图。
具体实施方式
下面,参照附图说明本发明的实施方式。本发明的基本概要是,在存在于连接到IP网络50的不同接入路由器(pAR20、nAR30)下面的AP21、31之间进行切换的MN10,在该切换前发送MN10的识别信息(例如MAC地址)以及切换前在与AP21的通信中使用的通信用加密解密密钥,MN10的MAC地址和通信用加密解密密钥被提供给切换后新连接的AP31的上层的nAR30,进而,从nAR30向AP31提供MN10的MAC地址和通信用加密解密密钥,由此,MN10不需要与AP31之间进行与确保安全性有关的一系列动作(例如图11的顺序图中的动作),使用切换前的通信用加密解密密钥就能够迅速地恢复切换前的通信状态。
图1是表示本发明的实施方式中的网络结构的一个实例的图。图1中表示出MN10、pAR20、存在于pAR20下面的AP21、存在于pAR20的链路中的认证服务器22、nAR30、存在于nAR30下面的AP31、存在于nAR30的链路中的认证服务器32、CN(通信节点:CorrespondentNode)40、IP网络50。此外,在图1中只表示了一个CN40,但是MN10可以经由IP网络50与多个CN40进行通信,即,可以存在多个CN40。
pAR20及nAR30是连接到IP网络50的接入路由器,分别形成了子网。当MN10存在于位于pAR20下面的AP21的通信小区内时,可以通过AP21及pAR20接入IP网络50;当MN10存在于位于nAR30下面的AP31的通信小区内时,则可以通过AP31及nAR30接入IP网络50。另外,认证服务器22、32是对分别连接到AP21、31的MN10进行认证的服务器,由例如RADIUS服务器来实现。此外,虽然没有图示,但认证服务器22、32可以具有或参照用来保存认证所需的资格信息或各用户的属性信息等的用户帐户数据库。此外,优选是在pAR20与nAR30之间(或者存在于pAR20的链路上的任意节点与存在于nAR30的链路上的任意节点之间)预先设定信赖关系,对通信用加密解密密钥进行安全的传输。
另外,MN10、AP21、31、认证服务器22、32分别具有可以如IEEE802.1x及EAP等那样使MN10与AP21、31进行相互认证、MN10与AP21、31之间进行加密通信的实体。
另一方面,IP网络50是使用例如因特网等IP通信的WAN(WideArea Network:广域网)。上述pAR20、nAR30可以连接到IP网络50。另外,进一步在图1中表示了可以连接到IP网络50并与MN10之间进行通信的CN40。
这里,假定MN10的初始状态是连接到AP21,并通过pAR20与CN40进行通信。此外,MN10通过进行从AP21到AP31的切换,在切换完成后重新通过nAR30与CN40进行通信。
其次,说明本发明的实施方式。在本实施方式中所说明的方法使用非专利文献2中描述的技术,从MN10向nAR30通知MAC地址及通信用加密解密密钥(以下也简称为密钥),通过从nAR30向AP31提供这些信息来迅速地开始切换后的通信。
接着说明本发明的实施方式中的MN10、pAR20、nAR30、AP31的各个结构。此外,图2~图5所示的MN10、pAR20、nAR30、AP31是图1所示的MN10、pAR20、nAR30、AP31的详细结构。另外,在图2~图5中,各功能以组块形式图示,这些各功能可以利用硬件和/或软件来实现。特别地,本发明的主要处理(例如后述的图6所示的各步骤的处理)可以通过计算机程序来实现。
图2是表示本发明的实施方式中的MN的结构的一个实例的图。图2所示的MN10具有:切换决定部1001、无线接收部1002、无线发送部1003、解密部1004、加密部1005、密钥保存部1006、MAC地址保存部1007、MAC地址/密钥取得部1008、FMIP处理部1009。
切换决定部1001是基于例如对来自多个不同的AP的电波强度进行比较后向电波强度最高的AP进行L2切换(通信目的地的AP的连接切换)等任意条件来决定切换的开始的处理部。
另外,无线接收部1002及无线发送部1003分别是用于通过无线通信接收数据和发送数据的处理部,其中包含了进行无线通信所需的各种功能。
另外,解密部1004和加密部1005分别是使用密钥保存部1006中保存的通信用加密解密密钥对通过无线接收部1002接收的数据进行解密和对通过无线发送部1003发送的数据进行加密的处理部。此外,使用该解密部1004和加密部1005的加密通信用于提高MN10与AP21、31之间的无线传送通道中的安全性。
另外,密钥保存部1006是用来保存与AP21、31之间的加密通信(使用解密部1004及加密部1005的加密通信)中使用的用于加强安全性的密钥的处理部。此外,该通信用加密解密密钥一直以来都是在MN10连接到各AP21、31时通过认证处理生成的,另外,为了加强安全性,要定期进行更新。
另外,MAC地址保存部1007指的是用来保存可以唯一地识别网络设备的MAC地址的非易失性存储器等。另外,MAC地址/密钥取得部1008是用来读取MAC地址保存部1007中保存的MAC地址和密钥保存部1006中保存的通信用加密解密密钥的处理部。此外,在本发明中,MAC地址及通信用加密解密密钥的读取和与FMIP有关的处理相匹配地进行。另外,也可以采用如下结构:由MAC地址/密钥取得部1008所取得的MAC地址及通信用加密解密密钥被提供给FMIP处理部1009,与FMIP相关的发送消息一起被发送到pAR20,或者按照与FMIP相关的发送消息的发送定时或接收消息的接收定时发送到pAR20作为固有的MAC地址/密钥通知消息。
另外,FMIP处理部1009是用来进行以下处理的处理部:接收到由切换决定部1001作出的切换开始决定后,生成与FMIP相关的发送消息(例如RtSolPr(Router Solicitation for Proxy:路由器请求代理,或Router Solicitation for Proxy Advertisement:路由器请求代理公告)消息或FBU(Fast Binding Update:快速绑定更新)消息)、或者处理与FMIP相关的接收消息(例如PrRtAdv(Proxy Router Advertisement:代理路由器公告)消息或FBAck(Fast Binding Acknowledge:快速绑定确认)消息)等与FMIP相关的处理。此外,该FMIP处理部1009的存在也表示MN10安装了FMIP。
如上所述,MN10的结构是能够在与FMIP相关的发送消息中嵌入MN10自身的MAC地址及通信用加密解密密钥后发送到pAR20,或者根据与FMIP相关的发送消息的发送定时或接收消息的接收定时,发送包含MN10自身的MAC地址及通信用加密解密密钥的地址/密钥通知消息。
另外,图3是表示本发明的实施方式中的pAR的结构的一个实例的图。图3所示的pAR20具有接收部2001、发送部2002、FMIP处理部2003、MAC地址/密钥提取部2004。此外,pAR20也具有用来传输所接收到的数据包的传输部等,但这里省略了其图示。接收部2001及发送部2002连接到AP21所在的pAR20的链路或IP网络50,是用来进行数据接收和数据发送的处理部。
另外,FMIP处理部2003是用来进行与FMIP相关的处理的处理部,例如:探索MN10通过下一次切换而连接的连接目的地的接入路由器(nAR30)、取得nAR30所形成的子网的网络前缀、生成与FMIP相关的发送消息(例如HI(Handover Initiate:切换开始)消息或FBAck消息)、处理与FMIP相关的接收消息(例如FBU消息或HAck(Handover Acknowledge:切换确认,切换应答)消息)等。此外,该FMIP处理部2003的存在也表示pAR20安装了FMIP。
另外,MAC地址/密钥提取部2004是用来进行以下处理的处理部:提取嵌入在从MN10接收到的与FMIP相关的接收消息内的MN10自身的MAC地址及通信用加密解密密钥,或从由MN10接收到的固有地址/密钥通知消息中提取MN10自身的MAC地址及通信用加密解密密钥。另外,也可以采用如下结构:由MAC地址/密钥提取部2004所提取的MN10自身的MAC地址及通信用加密解密密钥被提供给FMIP处理部2003,和与FMIP相关的发送消息一起被发送到nAR30,或者按照与FMIP相关的发送消息的发送定时或接收消息的接收定时作为固有地址/密钥通知消息发送到nAR30。
如上所述,pAR20所采用的结构能够在从MN10接收到MN10自身的MAC地址及通信用加密解密密钥的通知的情况下,在与FMIP相关的发送消息中嵌入MN10自身的MAC地址及通信用加密解密密钥并发送到nAR30,或者根据与FMIP相关的发送消息的发送定时或接收消息的接收定时,将包含MN10自身的MAC地址及通信用加密解密密钥的地址/密钥通知消息发送到nAR30。
另外,图4是表示本发明的实施方式中的nAR的结构的一个实例的图。图4所示的nAR30具有接收部3001、发送部3002、FMIP处理部3003、MAC地址/密钥提取部3004、MAC地址/密钥通知消息生成部3005。此外,nAR30还具有用来传输所接收到的数据包的传输部等,但这里省略了其图示。接收部3001及发送部3002连接到AP31所在的nAR30的链路或IP网络50,是用来进行数据接收和数据发送的处理部。
另外,FMIP处理部3003是用来进行与FMIP相关的处理的处理部,例如:检验从pAR20接收到的MN10的IP地址的妥当性、生成与FMIP相关的发送消息(例如HAck消息)、处理与FMIP相关的接收消息(例如HI消息或FNA(Fast Neighbor Advertisement:快速邻机公告)消息)等。此外,该FMIP处理部3003的存在也表示nAR30安装了FMIP。
另外,MAC地址/密钥提取部3004是用来进行以下处理的处理部:提取嵌入在从pAR20接收到的与FMIP相关的接收消息内的MN10自身的MAC地址及通信用加密解密密钥,或从由pAR20接收到的固有地址/密钥通知消息中提取MN10自身的MAC地址及通信用加密解密密钥。另外,由MAC地址/密钥提取部3004提取的MN10的MAC地址及通信用加密解密密钥由MAC地址/密钥通知消息生成部3005提供。
另外,MAC地址/密钥通知消息生成部3005是用来生成包含由MAC地址/密钥提取部3004所提取的MN10自身的MAC地址及通信用加密解密密钥的通知消息的处理部。MAC地址/密钥通知消息生产部3005所生成的通知消息通过发送部3002发送到下面的AP31。
如上所述,nAR30在从pAR20接收到MN10的MAC地址及通信用加密解密密钥的通知的情况下,能够将该MN10的MAC地址及通信用加密解密密钥通知给下面的AP31。
另外,图5是表示本发明的实施方式中存在于nAR下面的AP的结构的一个实例的图。图5所示的AP31具有无线接收部3101、无线发送部3102、接收部3103、发送部3104、解密部3105、加密部3106、MAC地址/密钥提取部3107、密钥保存部3108、MAC地址确认部3109、端口控制部3110。
无线接收部3101及无线发送部3102分别是用于通过无线通信接收数据和发送数据的处理部,其中包含了进行无线通信所需的各种功能。此外,这些无线接收部3101及无线发送部3102形成了与无线通信有关的电波的发送接收范围即通信小区,可以与存在于该通信小区内的MN10通信。另外,接收部3103及发送部3104连接到nAR30的链路,是用来进行数据接收和数据发送的处理部。
另外,解密部3105和加密部3106分别是使用密钥保存部3108中保存的通信用加密解密密钥对通过无线接收部3101接收的数据进行解密和对从无线发送部3102发送的数据进行加密的处理部。此外,通过解密部3105解密的数据由端口控制部3110通过控制端口或非控制端口发送到nAR30或认证服务器32。另外,通过加密部3106加密的数据通过无线传送通道发送到MN10。
另外,MAC地址/密钥提取部3107是用来进行与包含从nAR30接收的MN10的MAC地址及通信用加密解密密钥的通知消息相关的处理的处理部。MAC地址/密钥提取部3107从由nAR30接收到的通知消息中提取MN10的MAC地址及通信用加密解密密钥并提供给密钥保存部3108。
另外,密钥保存部3108是与MN10之间的加密通信(使用解密部3105及加密部3106的加密通信)中使用的用于加强安全性的密钥。此外,本发明中,从nAR30接收的通知消息中包含的通信用加密解密密钥也如同通过通常的认证处理所生成的通信用加密解密密钥一样保存在密钥保存部3108。
另外,MAC地址确认部3109是用来确认从MN10通知的MAC地址或作为通过无线接收部3101从MN10接收到的数据的发送源而记载的MAC地址、与密钥保存部3108中保存的MN10的MAC地址是否一致的处理部。另外,端口控制部3110是用来控制例如图10所示的控制端口是否可用的处理部。即,其结构是,借助于MAC地址确认部3109及端口控制部3110,具有密钥保存部3108中保存的MAC地址的MN10被看作是通过认证处理认证的MN10,可以使用控制端口。
如上所述,所采用的结构是,AP31在接收到从nAR30通知的MN10的MAC地址及通信用加密解密密钥的通知的情况下,基于这些消息进行端口控制。
其次,说明本发明的实施方式的动作。这里参照图6说明在图1所示的网络结构中以图2~图5所示的MN10、pAR20、nAR30、AP31为结构要素的情况下的动作。此外,AP21既可以使用与图5所示的AP31相同的结构,也可以使用现有的AP。图6是表示本发明的实施方式中的动作的一个实例的顺序图。
例如,当MN10从pAR20的区域(AP21的通信小区范围)开始向nAR30的区域(AP31的通信小区范围)移动时,由第2层检测到该移动,以此为起点决定第3层的切换开始(步骤S101)。该切换开始的决定是通过例如对来自AP21的接收电场强度与来自AP31的接收电场强度进行比较等而作出的。
MN10根据来自移动目的地AP31的信标(beacon)等从AP31取得包含AP-ID(各AP的识别信息)的信息,向当前连接的pAR20发送包含AP31的AP-ID的RtSolPr消息(步骤S102)。从MN10发送过来的RtSolPr消息被AP21转送后到达pAR20(步骤S103)。接收到该RtSolPr消息的pAR20根据从MN10通知的AP31的AP-ID检索存在于附近的接入路由器并取得nAR30的信息,或者根据已经检索到的信息(保存在pAR20中的信息)取得nAR30的信息。
此外,pAR20将包含nAR30信息(例如nAR30所构成的子网的网络前缀等的信息)的PrRtAdv消息作为RtSolPr消息的响应发送给MN10(步骤S104)。从pAR20发送过来的PrRtAdv消息被AP21转送后到达MN10(步骤S105)。接收到PrRtAdv消息的MN10利用包含在PrRtAdv消息中的nAR30所形成的子网的网络前缀和MN10自身的链路层地址等生成能适合于nAR30所形成的子网的地址,即NCoA(New Care of Address:新转交地址)。此外,目前为止的动作与FMIP所规定的动作相同。
这里,MN10的MAC地址/密钥取得部1008取得自身的MN10的MAC地址和与AP21之间的通信中使用的通信用加密解密密钥,将这些信息传递给FMIP处理部1009。MN10的FMIP处理部1009生成FBU(Fast Binding Update:快速绑定更新)消息,其中除了所生成的NCoA之外,还嵌入了上述的MAC地址及通信用加密解密密钥。此外,MN10将嵌入了MAC地址及通信用加密解密密钥的FBU消息(图6中标记为FBU(MAC,密钥))发送给pAR20(步骤S106)。嵌入了从MN10发送过来的MAC地址及通信用加密解密密钥的FBU消息被AP21转送后到达pAR20(步骤S107)。
接收到嵌入了MAC地址及通信用加密解密密钥的FBU消息的pAR20通过MAC地址/密钥提取部2004提取FBU消息内的MAC地址及通信用加密解密密钥,将所提取的MAC地址及通信用加密解密密钥通知给FMIP处理部2003。FMIP处理部2003在生成HI消息以便用来确认在MN10中生成的NCoA是否是nAR30的子网中可用的地址时,将从MN10接收到的MAC地址及通信用加密解密密钥嵌入到HI消息中。此外,pAR20将嵌入了MAC地址及通信用加密解密密钥的HI消息(图6中标记为HI(MAC,密钥))发送给nAR20(步骤S108)。此外,从pAR20发送到nAR30的嵌入了MAC地址及通信用加密解密密钥的HI消息经由构成IP网络50的许多中继节点(未图示)到达nAR30。
接收到嵌入了MAC地址及通信用加密解密密钥的HI消息的nAR30利用MAC地址/密钥提取部3004提取HI消息中的MAC地址及通信用加密解密密钥,将所提取的MAC地址及通信用加密解密密钥通知给MAC地址/密钥通知消息生成部3005,MAC地址/密钥通知消息生成部3005生成包含MAC地址及通信用加密解密密钥的地址/密钥通知消息(图6中标记为通知消息(MAC,密钥))(步骤S109)。接着,nAR30将该通知消息发送到AP31(步骤S110)。由此,AP31就能够取得即将切换过来的MN10的MAC地址和该MN10在切换前与AP21之间使用的通信用加密解密密钥。
此外,nAR30对嵌入了MAC地址及通信用加密解密密钥的HI消息中包含的NCoA是否有效进行验证,如果NCoA有效,则进行发送处理,将指定了表示该结果的状态的HAck消息发送到pAR20(通常的与FMIP相关的处理),或者利用pAR20进行FBAck消息的发送处理,或者进行从pAR20向nAR30的数据包传输处理等;这里省略其说明。
另一方面,在已经发送了嵌入了MAC地址及通信用加密解密密钥的FBU消息的MN10中,进行从存在于pAR20下面的AP21向存在于nAR30下面的AP31的切换处理(步骤S111)。此外,MN10向AP31发送用来进行连接请求的切换通知(步骤S112)。此外,通过该切换通知,MN10向AP31通知MAC地址。
AP31接收到切换通知后检测到MN10欲与AP31连接。MAC地址确认部3109确认由nAR30通过通知消息通知的MAC地址之中是否存在与由MN10通过切换通知通知的MAC地址相一致的(步骤S113)。此外,当MAC地址确认部3109确认存在相一致的MAC地址时,MAC地址确认部3109生成用来通知MAC地址已得到确认的信息并发送给MN10(步骤S114)。接收到该通知的MN10利用切换前与AP21之间使用的通信用加密解密密钥来开始与AP31之间的加密通信(步骤S115)。此外,AP31可以利用从nAR30接收到的与MN10相关的通信用加密解密密钥来对从MN10接收到的数据包进行解密。另外,AP31当在步骤S113确认有相一致的MAC地址的情况下针对该MN10将控制端口设定为可用状态,MN10通过控制端口进行端口控制,以便能够取得例如因特网接入服务等预定服务。
此外,当MN10的切换定时较早、MN10已经发出了切换通知时,包含MN10的MAC地址及通信用加密解密密钥的通知消息有时尚未从nAR30到达AP31。在这种情况下,AP31在开始与步骤S116有关的现有的认证处理的同时,一旦能从nAR30取得MN10的MAC地址及通信用加密解密密钥,切换后的MN10就能够通过允许使用切换前所使用的通信用加密解密密钥而迅速地开始使用切换前的通信用加密解密密钥进行通信。
通过以上动作,MN10在切换后所连接的AP31就能够取得MN10的MAC地址和MN10在切换前与AP21之间使用的通信用加密解密密钥,MN10在切换到AP31之后,不需要进行与新的通信用加密解密密钥生成相关的认证处理,而是照原样使用在切换前所使用的通信用加密解密密钥地继续进行通信。
另外,在切换前MN10所使用的通信用加密解密密钥是在切换前通过某种认证处理发布的,可以说它是表示MN10具有与切换前所连接的AP21进行通信的正当资格的信息。因此,MN10能够在切换之后还使用切换前所使用的通信用加密解密密钥的做法是妥当的。
不过,在切换后照原样使用切换前所使用的通信用加密解密密钥恐怕会引起安全性下降。因此,使切换前使用的通信用加密解密密钥在切换之后可以使用,优选是最终目的为防止刚刚完成切换时的通信延迟或断绝,对切换前所用的通信用加密解密密钥的使用是为了暂时实现连续的服务提供,优选是在尽量短的时间内使用通过可靠的认证处理生成的新的通信用加密解密密钥进行密钥替换(将切换前使用的通信用加密解密密钥替换为新生成的通信用加密解密密钥)。
例如,当在步骤S113确认有相一致的MAC地址的情况下,AP31针对该MN10将控制端口设定为可用状态,使MN10在切换后仍然能够使用切换前所使用的通信用加密解密密钥,并且并行进行以往的认证处理及新的通信用加密解密密钥的生成(例如图11的顺序图的步骤S1101~S1111的处理)(步骤S116)。
图9是示意性地表示本发明的实施方式中针对将切换前所使用的通信用加密解密密钥设定为可以在切换后使用的MN所进行的认证处理的图,图9A是示意性地表示AP允许MN使用在切换前所使用的通信用加密解密密钥的状态的图,图9B是示意性地表示AP在进行了切换后的MN的认证处理的结果,即MN通过了认证的状态的图;图9C是示意性地表示AP在对切换后的MN进行了认证处理后的结果,即MN没有通过认证的状态的图。此外,在该图9A~C中,示意性地图示了AP31中的端口控制的状态。
如图9A所示,在步骤S113对MN10的MAC地址进行确认之后的AP31使MN10能够使用切换前所使用的通信用加密解密密钥进行加密通信,并且通过端口控制部3110进行控制端口的管理,以便向MN10提供预定的服务,例如与向因特网等外部IP网络50进行连接(向nAR30连接)有关的服务等。由此,MN10就能够使用切换前所使用的通信用加密解密密钥来迅速且临时地继续再开始切换前所进行的通信。
另一方面,在图9A所示的临时状态下,AP31进行步骤S116中MN10的以往的认证处理。如果认证处理的结果是MN10通过了认证,则AP31向MN10发布与MN10之间使用的新的通信用加密解密密钥。此外,如图9B所示,AP31可以使用新的通信用加密解密密钥进行加密通信,并且通过端口控制部3110继续进行控制端口的管理,以便向MN10提供预定的服务。
另外,如果认证处理的结果是MN10没有通过认证,则如图9C所示,不向MN10发布新的通信用加密解密密钥,而AP31的端口控制部3110则进行控制端口的管理,使得不向MN10提供预定的服务(使MN10不能使用预定的服务)。
另外,在上述实施方式中说明的是MN10将MAC地址及通信用加密解密密钥嵌入FBU消息中的情形,但也可以嵌入到RtSolPr消息中,或者嵌入到和与FMIP相关的消息无关的独立的MAC地址/密钥通知消息中。特别地,考虑到可能会出现MN10的切换定时较早、在切换前不发送FBU消息的情形,因此这种情况下,在RtSolPr消息中嵌入MAC地址及通信用加密解密密钥是非常有效的。在图7A~C中图示的上述3个实例涉及从MN10向pAR20通知MAC地址及通信用加密解密密钥时的相关消息。另外,同样也说明了pAR20将MN10的MAC地址及通信用加密解密密钥嵌入HI消息时的情形,但也可以嵌入到和与FMIP相关的消息无关的独立的MAC地址/密钥通知消息中。在图8A、B中图示的上述2个实例涉及从pAR20向nAR30通知MAC地址及通信用加密解密密钥时的相关消息。
如上述所说明,借助于本发明的实施方式,在存在于连接到IP网络50的不同接入路由器(pAR20、nAR30)下面的AP21、31之间进行切换的MN10,在该切换前发送MN10的MAC地址以及在切换前与AP21进行通信时所使用的通信用加密解密密钥,MN10的MAC地址和通信用加密解密密钥被提供给切换后新连接的AP31的上层的nAR30,进而,从nAR30向AP31提供MN10的MAC地址和通信用加密解密密钥;在MN10与AP31之间以及AP31与认证服务器32之间不需要进行与确保安全性有关的一系列动作(例如图11的顺序图中的动作),使用切换前的通信用加密解密密钥就能够迅速地恢复切换前的通信状态。
此外,在上述本发明实施方式的说明中使用的各个功能块的典型实现是作为集成电路的LSI(Large Scale Integration:大规模集成电路)。它们既可以分别做成单个芯片,也可以将一部分或全部都做在一个芯片上。此外,这里虽然采用了LSI,但根据集成度的不同,也可以称为IC(Integrated Circuit:集成电路)、***LSI、超级LSI、超超LSI。
另外,构成集成电路的方法并不限于LSI,也可以利用专用电路或通用处理器实现。也可以使用能够在制造出LSI后进行编程的FPGA(Field Programmable Gate Array:现场可编程门阵列)或能够对LSI内部的电路单元的连接或设定重新进行设置的可重构处理器。
进而,如果随着半导体技术的进步或由其它派生技术实现能够替代LSI的电路集成技术,当然也可以利用这些新技术来对功能块进行集成。例如,也有可能使用生物技术。
工业可用性
本发明的通信切换方法和通信消息处理方法以及通信控制方法的效果是:即使移动节点在存在于不同的接入路由器的链路上的接入点之间进行切换时,也能够迅速地确立移动节点与接入点之间的安全性,从而降低因切换而引起的通信延迟或断绝;本发明可以应用于与进行无线通信的移动节点的切换相关的技术,特别是可以应用于与使用移动IPv6进行无线通信的移动节点相关的技术中。
Claims (15)
1.一种通信切换方法,是一种在第1接入路由器与第2接入路由器经由通信网络连接起来的通信***中移动终端从第1接入点向第2接入点进行切换时的通信切换方法,其中,上述第1接入路由器其下具有上述第1接入点,上述第2接入路由器其下具有上述第2接入点,该方法具有以下步骤:
切换决定步骤,连接到上述第1接入点的、在与上述第1接入点之间共享通信用加密解密密钥并使用上述通信用加密解密密钥来进行与上述第1接入点之间的加密通信的上述移动终端,决定从上述第1接入点向上述第2接入点进行上述切换并且从上述第2接入点取得上述第2接入点的识别信息;
第1通知步骤,上述移动终端经由上述第1接入点向上述第1接入路由器通知上述第2接入点的识别信息、上述移动终端的识别信息、以及和与上述第1接入点的加密通信有关的上述通信用加密解密密钥;
第2通知步骤,上述第1接入路由器根据从上述移动终端通知的上述第2接入点的识别信息来特别指定上述第2接入路由器,对上述第2接入路由器通知上述移动终端的识别信息、以及和与上述第1接入点的加密通信有关的上述通信用加密解密密钥;
第3通知步骤,上述第2接入路由器对上述第2接入点通知从上述第1接入路由器通知的上述移动终端的识别信息、以及和与上述第1接入点的加密通信有关的上述通信用加密解密密钥;
比较步骤,上述第2接入点通过上述移动终端的识别信息来识别通过上述切换与上述第2接入点连接的上述移动终端,将连接到上述第2接入点的上述移动终端的识别信息与在上述第3通知步骤中从上述第2接入路由器通知的上述移动终端的识别信息进行比较;以及
通信控制步骤,上述第2接入点根据上述比较步骤的比较结果,在和具有与从上述第2接入路由器通知的上述移动终端的识别信息相一致的上述识别信息的上述移动终端之间,使用在上述移动终端与上述第1接入点之间的加密通信中所使用的上述通信用加密解密密钥来进行加密通信,并且对上述移动终端进行用于允许对上述第2接入路由器的接入的控制。
2.如权利要求1所述的通信切换方法,其具有以下步骤:
认证成功通信步骤,和上述通信控制步骤中的与上述移动终端之间的加密通信相并行地进行上述移动终端的认证处理,当上述移动终端通过认证并生成了和上述移动终端与上述第2接入点之间的加密通信有关的新的通信用加密解密密钥时,上述第2接入点在与上述移动终端之间使用上述新的通信用加密解密密钥来进行加密通信,并且对上述移动终端继续进行用于允许对上述第2接入路由器的接入的控制;以及
认证失败通信步骤,和上述通信控制步骤中的与上述移动终端之间的加密通信相并行地进行上述移动终端的认证处理,当上述移动终端没有通过认证时,上述第2接入点对上述移动终端进行用于不允许对上述第2接入路由器的接入的控制。
3.如权利要求1所述的通信切换方法,在上述第1通知步骤中,将上述移动终端的识别信息以及和与上述第1接入点的加密通信有关的上述通信用加密解密密钥嵌入到FMIP的RtSolPr消息或FBU消息中并从上述移动终端发送给上述第1接入路由器。
4.如权利要求1所述的通信切换方法,在上述第2通知步骤中,将上述移动终端的识别信息以及和与上述第1接入点的加密通信有关的上述通信用加密解密密钥嵌入到FMIP的HI消息中并从上述第1接入路由器发送给上述第2接入路由器。
5.一种通信切换方法,是一种在第1接入路由器与第2接入路由器经由通信网络连接起来的通信***中从第1接入点向第2接入点进行切换的移动终端中的通信切换方法,其中,上述第1接入路由器其下具有上述第1接入点,上述第2接入路由器其下具有上述第2接入点,该方法具有以下步骤:
切换决定步骤,在连接到上述第1接入点的、在与上述第1接入点之间共享通信用加密解密密钥并使用上述通信用加密解密密钥来进行与上述第1接入点之间的加密通信的状态下,决定从上述第1接入点向上述第2接入点进行上述切换并且从上述第2接入点取得上述第2接入点的识别信息;
通知步骤,经由上述第1接入点向上述第1接入路由器通知上述第2接入点的识别信息、上述移动终端的识别信息、以及和与上述第1接入点的加密通信有关的上述通信用加密解密密钥;以及
通信步骤,当通过上述切换而连接到上述第2接入点时,在与从上述第1接入路由器经由上述第2接入路由器接收到上述移动终端的识别信息以及和与上述第1接入点的加密通信有关的上述通信用加密解密密钥的上述第2接入点之间,使用和与上述第1接入点的加密通信有关的上述通信用加密解密密钥来进行加密通信。
6.如权利要求5所述的通信切换方法,其具有以下步骤:认证成功通信步骤,和上述通信步骤中的与上述移动终端之间的加密通信相并行地进行上述移动终端的认证处理,当上述移动终端通过认证并生成了和与上述第2接入点之间的加密通信有关的新的通信用加密解密密钥时,上述移动终端在与上述第2接入点之间使用上述新的通信用加密解密密钥来进行加密通信,并且对上述移动终端继续进行用于允许对上述第2接入路由器的接入的控制。
7.如权利要求5所述的通信切换方法,其具有以下步骤:生成嵌入了上述移动终端的识别信息以及和与上述第1接入点的加密通信有关的上述通信用加密解密密钥的FMIP的RtSolPr消息或FBU消息,
在上述通知步骤中,将上述RtSolPr消息或FBU消息发送给上述第1接入路由器。
8.一种通信消息处理方法,是一种在第1接入路由器与第2接入路由器经由通信网络连接起来的通信***中移动终端从第1接入点向第2接入点进行切换时的上述第1接入路由器中的通信消息处理方法,其中,上述第1接入路由器其下具有上述第1接入点,上述第2接入路由器其下具有上述第2接入点,该方法具有以下步骤:
接收步骤,从上述移动终端接收上述第2接入点的识别信息、上述移动终端的识别信息、以及和与上述第1接入点的加密通信有关的上述通信用加密解密密钥;
连接目的地特别指定步骤,根据上述第2接入点的识别信息来特别指定上述第2接入路由器;以及
通知步骤,将上述移动终端的识别信息以及和与上述第1接入点的加密通信有关的上述通信用加密解密密钥通知给在上述连接目的地特别指定步骤中所特别指定的上述第2接入路由器。
9.如权利要求8所述的通信消息处理方法,其在上述接收步骤中,从上述移动终端接收嵌入了上述移动终端的识别信息以及和与上述第1接入点的加密通信有关的上述通信用加密解密密钥的FMIP的RtSolPr消息或FBU消息。
10.如权利要求8所述的通信消息处理方法,其具有以下步骤:生成嵌入了上述移动终端的识别信息以及和与上述第1接入点的加密通信有关的上述通信用加密解密密钥的FMIP的HI消息,
在上述通知步骤中,将上述HI消息发送给上述第2接入路由器。
11.一种通信消息处理方法,是一种在第1接入路由器与第2接入路由器经由通信网络连接起来的通信***中移动终端从第1接入点向第2接入点进行切换时的上述第2接入路由器中的通信消息处理方法,其中,上述第1接入路由器其下具有上述第1接入点,上述第2接入路由器其下具有上述第2接入点,该方法具有以下步骤:
接收步骤,从上述第1接入路由器接收上述移动终端的识别信息以及和与上述第1接入点的加密通信有关的上述通信用加密解密密钥;以及
通知步骤,对上述第2接入点通知从上述第1接入路由器通知的上述移动终端的识别信息以及和与上述第1接入点的加密通信有关的上述通信用加密解密密钥。
12.如权利要求11所述的通信消息处理方法,其在上述接收步骤中,从上述第1接入路由器接收嵌入了上述移动终端的识别信息以及和与上述第1接入点的加密通信有关的上述通信用加密解密密钥的FMIP的HI消息。
13.如权利要求11所述的通信消息处理方法,其具有以下步骤:消息生成步骤,生成嵌入了上述移动终端的识别信息以及和与上述第1接入点的加密通信有关的上述通信用加密解密密钥的通知消息,
在上述通知步骤中,将上述通知消息发送给上述第2接入点。
14.一种通信控制方法,是一种在第1接入路由器与第2接入路由器经由通信网络连接起来的通信***中移动终端从第1接入点向第2接入点进行切换时的上述第2接入点中的通信控制方法,其中,上述第1接入路由器其下具有上述第1接入点,上述第2接入路由器其下具有上述第2接入点,该方法具有以下步骤:
接收步骤,上述第2接入路由器从上述第2接入路由器接收从上述第1接入路由器通知的上述移动终端的识别信息以及和与上述第1接入点的加密通信有关的上述通信用加密解密密钥;
比较步骤,通过上述移动终端的识别信息来识别通过上述切换与上述第2接入点连接的上述移动终端,将连接到上述第2接入点的上述移动终端的识别信息与在上述接收步骤中从上述第2接入路由器通知的上述移动终端的识别信息进行比较;以及
通信控制步骤,根据上述比较步骤的比较结果,在和具有与从上述第2接入路由器通知的上述移动终端的识别信息相一致的上述识别信息的上述移动终端之间,使用在上述移动终端与上述第1接入点之间的加密通信中所使用的上述通信用加密解密密钥来进行加密通信,并且对上述移动终端进行用于允许对上述第2接入路由器的接入的控制。
15.如权利要求14所述的通信控制方法,其具有以下步骤:
认证成功通信步骤,和上述通信控制步骤中的与上述移动终端之间的加密通信相并行地进行上述移动终端的认证处理,当上述移动终端通过认证并生成了和上述移动终端与上述第2接入点之间的加密通信有关的新的通信用加密解密密钥时,在与上述移动终端之间使用上述新的通信用加密解密密钥来进行加密通信,并且对上述移动终端继续进行用于允许对上述第2接入路由器的接入的控制;以及
认证失败通信步骤,和上述通信控制步骤中的与上述移动终端之间的加密通信相并行地进行上述移动终端的认证处理,当上述移动终端没有通过认证时,对上述移动终端进行用于不允许对上述第2接入路由器的接入的控制。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP194374/2004 | 2004-06-30 | ||
| JP2004194374 | 2004-06-30 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN101015225A true CN101015225A (zh) | 2007-08-08 |
Family
ID=35782668
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNA2005800293181A Pending CN101015225A (zh) | 2004-06-30 | 2005-06-27 | 通信切换方法和通信消息处理方法以及通信控制方法 |
Country Status (8)
| Country | Link |
|---|---|
| US (1) | US20090172391A1 (zh) |
| EP (1) | EP1775972A1 (zh) |
| JP (1) | JPWO2006003859A1 (zh) |
| KR (1) | KR20070034060A (zh) |
| CN (1) | CN101015225A (zh) |
| BR (1) | BRPI0512734A (zh) |
| RU (1) | RU2007103334A (zh) |
| WO (1) | WO2006003859A1 (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2009036706A1 (fr) * | 2007-09-19 | 2009-03-26 | Huawei Technologies Co., Ltd. | Procédé, système et dispositif destinés à assurer la sécurité de routage |
| CN105959950A (zh) * | 2015-12-02 | 2016-09-21 | 珠海网博信息科技股份有限公司 | 一种无线接入***及其连接方法 |
Families Citing this family (29)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2006024982A (ja) * | 2004-07-06 | 2006-01-26 | Keio Gijuku | セキュリティ・アソシエーションの確立方法 |
| CN101233723A (zh) * | 2005-08-05 | 2008-07-30 | 三星电子株式会社 | 移动网络中将快速移动IPv6应用于移动节点的方法及其移动路由器和移动网络 |
| EP2005780A2 (en) * | 2006-03-27 | 2008-12-24 | Nokia Corporation | Apparatus, method and computer program product providing unified reactive and proactive handovers |
| KR20080013581A (ko) * | 2006-08-09 | 2008-02-13 | 삼성전자주식회사 | 보안을 위한 정보 수집이 가능한 스테이션 및 그의 보안을위한 정보 수집 방법 |
| JP4841519B2 (ja) * | 2006-10-30 | 2011-12-21 | 富士通株式会社 | 通信方法、通信システム、鍵管理装置、中継装置及びコンピュータプログラム |
| KR100879986B1 (ko) * | 2007-02-21 | 2009-01-23 | 삼성전자주식회사 | 모바일 네트워크 시스템 및 그 시스템의 핸드오버 방법 |
| CN101335985B (zh) * | 2007-06-29 | 2011-05-11 | 华为技术有限公司 | 安全快速切换的方法及*** |
| US9398453B2 (en) | 2007-08-17 | 2016-07-19 | Qualcomm Incorporated | Ad hoc service provider's ability to provide service for a wireless network |
| US20090046598A1 (en) * | 2007-08-17 | 2009-02-19 | Qualcomm Incorporated | System and method for acquiring or distributing information related to one or more alternate ad hoc service providers |
| US20090047966A1 (en) * | 2007-08-17 | 2009-02-19 | Qualcomm Incorporated | Method for a heterogeneous wireless ad hoc mobile internet access service |
| US20090073943A1 (en) * | 2007-08-17 | 2009-03-19 | Qualcomm Incorporated | Heterogeneous wireless ad hoc network |
| US20090049158A1 (en) * | 2007-08-17 | 2009-02-19 | Qualcomm Incorporated | Ad hoc service provider topology |
| US20090047964A1 (en) * | 2007-08-17 | 2009-02-19 | Qualcomm Incorporated | Handoff in ad-hoc mobile broadband networks |
| US20090047930A1 (en) * | 2007-08-17 | 2009-02-19 | Qualcomm Incorporated | Method for a heterogeneous wireless ad hoc mobile service provider |
| JP2009130603A (ja) * | 2007-11-22 | 2009-06-11 | Sanyo Electric Co Ltd | 通信方法およびそれを利用した基地局装置、端末装置、制御装置 |
| KR101407573B1 (ko) * | 2007-12-18 | 2014-06-13 | 한국전자통신연구원 | 무선 액세스 기술과 이동ip 기반 이동성 제어 기술이적용된 차세대 네트워크 환경을 위한 통합 핸드오버 인증방법 |
| US8218459B1 (en) * | 2007-12-20 | 2012-07-10 | Genbrand US LLC | Topology hiding of a network for an administrative interface between networks |
| US9179367B2 (en) | 2009-05-26 | 2015-11-03 | Qualcomm Incorporated | Maximizing service provider utility in a heterogeneous wireless ad-hoc network |
| US8051141B2 (en) * | 2009-10-09 | 2011-11-01 | Novell, Inc. | Controlled storage utilization |
| CN102056184B (zh) * | 2009-10-30 | 2014-04-23 | 中兴通讯股份有限公司 | 射频拉远单元链路自适应方法及装置 |
| JP5625703B2 (ja) * | 2010-10-01 | 2014-11-19 | 富士通株式会社 | 移動通信システム、通信制御方法及び無線基地局 |
| US8655322B2 (en) * | 2011-05-19 | 2014-02-18 | Apple Inc. | Disabling access point notifications |
| CN103688481B (zh) * | 2011-08-04 | 2016-09-28 | 英派尔科技开发有限公司 | 通过代理进行的Wi-Fi认证 |
| US9237448B2 (en) | 2012-08-15 | 2016-01-12 | Interdigital Patent Holdings, Inc. | Enhancements to enable fast security setup |
| CN106488547B (zh) * | 2015-08-27 | 2020-02-14 | 华为技术有限公司 | 一种sta的认证数据管理方法、装置及设备 |
| US10341908B1 (en) * | 2018-03-01 | 2019-07-02 | Cisco Technology, Inc. | Seamless roaming for clients between access points with WPA-2 encryption |
| US10412587B1 (en) * | 2018-06-07 | 2019-09-10 | Motorola Solutions, Inc. | Device, system and method to secure deployable access points in a side-haul communication network from a compromised deployable access point |
| KR102347100B1 (ko) * | 2018-07-18 | 2022-01-05 | 주식회사 빅솔론 | 서비스제공장치 및 보안 핸드오버 방법 |
| US11283644B2 (en) * | 2020-03-04 | 2022-03-22 | At&T Intellectual Property I, L.P. | Facilitation of access point authenticated tunneling for 5G or other next generation network |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7454527B2 (en) * | 2001-05-02 | 2008-11-18 | Microsoft Corporation | Architecture and related methods for streaming media content through heterogeneous networks |
| JP2003259417A (ja) * | 2002-03-06 | 2003-09-12 | Nec Corp | 無線lanシステム及びそれに用いるアクセス制御方法 |
| JP4254196B2 (ja) * | 2002-10-17 | 2009-04-15 | ソニー株式会社 | 通信端末装置、通信基地局装置、通信中継装置、および方法、並びにコンピュータ・プログラム |
-
2005
- 2005-06-27 BR BRPI0512734-3A patent/BRPI0512734A/pt not_active Application Discontinuation
- 2005-06-27 KR KR1020077001073A patent/KR20070034060A/ko not_active Application Discontinuation
- 2005-06-27 RU RU2007103334/09A patent/RU2007103334A/ru not_active Application Discontinuation
- 2005-06-27 CN CNA2005800293181A patent/CN101015225A/zh active Pending
- 2005-06-27 JP JP2006528660A patent/JPWO2006003859A1/ja not_active Withdrawn
- 2005-06-27 US US11/571,278 patent/US20090172391A1/en not_active Abandoned
- 2005-06-27 EP EP05765143A patent/EP1775972A1/en not_active Withdrawn
- 2005-06-27 WO PCT/JP2005/011722 patent/WO2006003859A1/ja active Application Filing
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2009036706A1 (fr) * | 2007-09-19 | 2009-03-26 | Huawei Technologies Co., Ltd. | Procédé, système et dispositif destinés à assurer la sécurité de routage |
| CN101394275B (zh) * | 2007-09-19 | 2011-08-03 | 华为技术有限公司 | 一种实现路由安全的方法、***及设备 |
| CN105959950A (zh) * | 2015-12-02 | 2016-09-21 | 珠海网博信息科技股份有限公司 | 一种无线接入***及其连接方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| RU2007103334A (ru) | 2008-08-10 |
| JPWO2006003859A1 (ja) | 2008-04-17 |
| WO2006003859A1 (ja) | 2006-01-12 |
| EP1775972A1 (en) | 2007-04-18 |
| KR20070034060A (ko) | 2007-03-27 |
| US20090172391A1 (en) | 2009-07-02 |
| BRPI0512734A (pt) | 2008-04-08 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101015225A (zh) | 通信切换方法和通信消息处理方法以及通信控制方法 | |
| CN101379801B (zh) | 用于eap扩展(eap-ext)的eap方法 | |
| JP5043117B2 (ja) | ケルベロス化ハンドオーバキーイング | |
| KR100480258B1 (ko) | 무선 근거리 네트워크에서 고속 핸드오버를 위한 인증방법 | |
| US8817990B2 (en) | Kerberized handover keying improvements | |
| EP1900170B1 (en) | Short authentication procedure in wireless data communications networks | |
| US8731194B2 (en) | Method of establishing security association in inter-rat handover | |
| US8341395B2 (en) | Media independent handover protocol security | |
| TWI445371B (zh) | 提供安全通訊之方法、提供安全通訊之系統、中繼站、以及基地台 | |
| JP5597676B2 (ja) | 鍵マテリアルの交換 | |
| TW200830901A (en) | Handoff method of mobile device utilizing dynamic tunnel | |
| JP2008547304A (ja) | 無線携帯インターネットシステム用の認証キー識別子の割り当て方法 | |
| KR20060101234A (ko) | 무선 휴대 인터넷 시스템에서의 단말 보안 관련 파라미터협상 방법 | |
| KR20080019978A (ko) | 이동환경에서의 듀얼 인증 방법 | |
| Martinovic et al. | Measurement and analysis of handover latencies in IEEE 802.11 i secured networks | |
| CN111526008B (zh) | 移动边缘计算架构下认证方法及无线通信*** | |
| WO2008091517A1 (en) | Kerberized handover keying | |
| Zheng et al. | Handover keying and its uses | |
| Qachri et al. | A formally verified protocol for secure vertical handovers in 4G heterogeneous networks | |
| WO2009051405A2 (en) | Method of establishing security association in inter-rat handover |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
| WD01 | Invention patent application deemed withdrawn after publication |