CN101340708B - 一种网络切换的方法、***及装置 - Google Patents
一种网络切换的方法、***及装置 Download PDFInfo
- Publication number
- CN101340708B CN101340708B CN2007101231802A CN200710123180A CN101340708B CN 101340708 B CN101340708 B CN 101340708B CN 2007101231802 A CN2007101231802 A CN 2007101231802A CN 200710123180 A CN200710123180 A CN 200710123180A CN 101340708 B CN101340708 B CN 101340708B
- Authority
- CN
- China
- Prior art keywords
- network
- authentication
- key
- terminal equipment
- root key
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Mobile Radio Communication Systems (AREA)
Abstract
本发明公开了一种网络切换的方法,涉及网络通信技术领域,包括:选定要切换的目标网络;源网络发送共享鉴权根密钥到鉴权服务器;所述鉴权服务器根据所述共享鉴权根密钥,分发安全性保护主密钥到所述目标网络的对应网络实体;所述网络实体生成接入目标网络需要的安全性保护子密钥,并向鉴权服务器发送鉴权回应消息;所述鉴权服务器发送鉴权回应消息给终端设备,所述终端设备根据所述鉴权回应消息生成所述安全性保护子密钥;根据所述安全性保护子密钥,所述终端设备由所述源网络切换到所述目标网络。本发明还公开了一种网络切换的***和装置。本发明解决了因为网络切换而使终端设备业务中断的问题,实现网络的无缝切换,保持了终端设备业务的连续性。
Description
技术领域
本发明涉及网络通信技术领域,特别是涉及一种网络切换的方法、***及装置。
背景技术
3GPP(3rd Generation Partnership Project,第三代移动通信标准化伙伴项目)是积极倡导UMTS(Universal Mobile Telecommunications System,通用移动通信***)为主的第三代标准化组织。随着科学技术的快速发展,现代通信技术的发展也是突飞猛进,为了保持3GPP***的竞争力,3GPP也在不断的进行技术演进。特别是加强3GPP***处理快速增长的IP数据业务的能力。技术演进中的最重要的几个部分包括:减少时延,更高速的用户数据速率,增强的***容量和更大的覆盖范围,以及运营商整体成本的降低。
图1是现有技术的一种非漫游场景下演进网络架构图,如图1所示,无线演进网络的核心网主要包含MME(Mobility Management Entity,移动性管理实体)、3GPP***内不同接入***之间的用户面锚点Serving Gateway和3GPP接入***与非3GPP接入***之间的用户锚点PDN(Packet DataNetwork,分组数据网络)Gateway三个逻辑功能模块。其中MME负责控制面的移动性管理,包括用户上下文和移动状态管理,分配用户临时身份标识、安全功能等,它对应于当前UMTS***内部SGSN(Serving GPRS SupportNode,GPRS支持节点)的控制平面部分;Serving Gateway直接面对3GPP接入***的接入,是3GPP内部接入***间的用户面锚点,在漫游场景下,Serving Gateway可以作为非3GPP接入***与3GPP接入***间本地用户面锚点,一个用户在一个时间段内只能拥有一个Serving Gateway;PDN Gateway是EPS(Evolved Packet System,演化分组***)中3GPP接入***与非3GPP***间的用户面锚点,为用户提供PDN访问,一个用户可以同时拥有多个PDNGateway。
网络切换是指终端设备离开一个源网络,进入目标网络的过程。在切换过程中,衡量切换效果的指标包括:切换时延,切换业务质量等,只有这些指标的影响让用户感知不到,才能达到无缝切换。其中,切换时延是非常重要的指标,如果切换过程中,时延太长,会导致业务中断。所以,要保证在切换过程中的业务质量,必须减少切换时延。
网络切换包括同质网络之间的切换和异质网络之间的切换。同质网络之间的切换,如3GPP接入网之间的切换,其鉴权和授权数据可以共用,因为同质网络的鉴权方式相似,对于控制面和用户面以及空口的安全性保护要求相似;在切换到目标网络后,不需要重新鉴权、授权或进行子密钥的生成。但异质网络的切换,比同质网络更加复杂,因为异质网络的鉴权方式不同,并且,对于用户面、控制面或空口的安全性保护要求不同,所以,对于异质网络无法共享生成的安全上下文数据,如生成的控制面、用户面或空口安全性保护密钥,在目标网络必须重新生成这些密钥。对于异质网络的切换。要在目标网络生成需要的安全性保护密钥,可以在目标网络中重新鉴权来实现。
现有技术提供了可信非3GPP接入网与3GPP接入网之间,以及不可信非3GPP接入网与3GPP接入网之间基于不同IETF(Internet Engineeing TaskForce,国际互联网工程任务组织)协议的切换流程。图2是现有技术的一种3GPP接入网与可信非3GPP接入网的切换流程图。如图2所示,
步骤S201,终端设备与E-UTRAN(Evolved UMTS Territorial Radio AccessNetwork,演进的UMTS陆地无线接入网)接入网建立连接,并且,终端设备通过建立的连接进行业务数据访问。在Serving GW和PDN GW之间是一段PMIP(Proxy Mobility IP,代理移动IP隧道)隧道。
步骤S202,终端设备发现可信非3GPP接入网,并且选定该可信非3GPP接入网,准备进行切换。
步骤S203,建立到可信非3GPP接入网的连接。这个过程是由可信非3GPP接入指定。
步骤S204,在终端设备上、可信非3GPP接入网与AAA Server之间进行EAP(Extensible Authentication Protocol,扩展鉴权协议)鉴权过程。在鉴权过程中,将PDN GW的IP地址发送给可信非3GPP的PMA(Proxy Mobile Agent,终端移动代理)。
步骤S205,在成功完成EAP鉴权过程后,触发附着流程。
步骤S206,可信非3GPP的PMA发送PBU(Proxy Binding Update,代理绑定消息)消息到PDN GW。
步骤S207,PDN GW创建或修改针对此用户的BCE(Binding Cache Entry,绑定缓存入口),并且,返回分配的IP地址给可信非3GPP的PMA。
步骤S208,在可信非3GPP和PDN GW之间完成PMIP隧道的建立。
步骤S209,完成网络附着流程。在终端设备和PDN GW建立连接,有上行下行数据发送,终端通过可信非3GPP接入网恢复业务,进行数据传送。
在实现本发明过程中,发明人发现现有技术中至少存在如下问题:终端设备从源网络切换到目标网络后,才进行鉴权和授权过程,而且鉴权和授权的过程时间较长,需要2RTT(Round Trip Time,往返时延),与目标网络承载建立耗费时间,产生的延时很有可能导致业务中断,使终端设备无法使用。
发明内容
本发明实施例要解决的问题是提供一种网络切换的方法、***及装置。通过采取根密钥共享的方式,在网络切换之前,完成终端设备在目标网络的鉴权和授权过程,减少切换时延,加快完成整个切换流程,从而实现无缝切换。
为达上述目的,本发明实施例的技术方案提供一种网络切换的方法,包括以下步骤:选定要切换的目标网络;源网络发送共享鉴权根密钥到鉴权服务器;所述鉴权服务器根据所述共享鉴权根密钥,分发安全性保护主密钥到所述目标网络的对应网络实体;所述网络实体生成接入所述目标网络需要的安全性保护子密钥,并向所述鉴权服务器发送鉴权回应消息;所述鉴权服务器发送鉴权回应消息给终端设备,所述终端设备根据所述鉴权回应消息生成所述安全性保护子密钥;根据所述安全性保护子密钥,所述终端设备由所述源网络切换到所述目标网络。
本发明实施例的技术方案还提供了一种网络切换的***,包括源网络,终端设备,目标网络实体,鉴权服务器,所述鉴权服务器,用于根据共享鉴权根密钥生成目标网络需要的安全性保护主密钥,分发给目标网络对应的网络实体,并且返回鉴权回应消息给终端设备;所述目标网络实体,用于根据所述安全性保护主密钥生成接入所述目标网络需要的安全性保护子密钥,向所述鉴权服务器发送鉴权回应消息;所述终端设备,用于根据鉴权服务器的返回的鉴权回应消息生成接入目标网络需要的安全性保护子密钥,根据所述安全性保护子密钥由所述源网络切换到所述目标网络。
本发明实施例的技术方案还提一种鉴权服务器,包括密钥导出单元、密钥分发单元和消息发送单元;所述密钥导出单元,用于根据衍生根密钥或源网络正在使用的根密钥生成安全性保护主密钥;所述密钥分发单元,用于将所述安全性保护主密钥分发给目标网络对应的网络实体;所述消息发送单元,用于将包含有生成所述安全性保护主密钥所选定的安全参数的鉴权回应消息发送给终端设备。
与现有技术相比,本发明的实施例具有以下优点:
本发明的实施例通过采取根密钥共享的方式,在网络切换之前,完成终端设备在目标网络的鉴权和授权过程,减少切换时延,加快完成整个网络切换过程,从而实现网络之间的无缝切换,保持了终端设备的业务连续性。
附图说明
图1是现有技术的一种非漫游场景下演进网络架构图;
图2是现有技术的一种3GPP接入网与可信非3GPP接入网的切换流程图;
图3是本发明实施例的一种3GPP接入网与可信非3GPP接入网的切换流程图;
图4是本发明实施例的另一种3GPP接入网与可信非3GPP接入网的切换流程图
图5是本发明实施例的一种可信非3GPP接入网与3GPP接入网的切换流程图;
图6是本发明实施例的一种3GPP接入网与不可信非3GPP接入网的切换流程图;
图7是本发明实施例的另一种3GPP接入网与不可信非3GPP接入网的切换流程图;
图8是本发明实施例的一种不可信非3GPP接入网与3GPP接入网的切换流程图;
图9是本发明实施例的一种鉴权服务器的结构图;
图10是本发明实施例的一种***结构图。
具体实施方式
下面结合附图和实施例,对本发明的具体实施方式作进一步详细描述。
3GPP接入网和可信非3GPP接入网之间切换,都采用AKA(Authentication and Key Agreement,密钥协商)鉴权协议,一个网络需要的安全性保护密钥能够从另一个网络AKA鉴权产生的根密钥中导出。即支持AKA鉴权协议的两个接入网络,其鉴权根密钥是可重用的,可以实现鉴权根密钥共享。鉴权根密钥共享包括两种方式,一种是有条件共享鉴权根密钥,一种是直接共享鉴权根密钥。有条件共享鉴权根密钥主要是考虑到安全性,源网络发给目标网络的根密钥并不是源网络正在使用的根密钥,而是在源网络中通过一定算法从当前使用的根密钥中生成给目标网络使用的根密钥,这个根密钥称作衍生根密钥。直接共享鉴权根密钥是指源网络信任目标网络,将正在使用的根密钥直接传送给目标网络使用。
3GPP接入网和不可信非3GPP接入网之间的切换,其密钥共享方式也包括有条件共享鉴权根密钥和直接共享鉴权根密钥两种方式。终端设备切换到目标网络后,需要通过ePDG接入3GPP接入网,在根密钥共享的过程中,终端设备和ePDG(Evolved Packet Data Gateway,分组数据网关)之间建立IPSEC(Internet Protocol Security,IP安全协议)隧道。IPSEC隧道的建立包括了IKE(Internet Key Exchange,密钥交换协议)过程和隧道鉴权和授权过程。
3GPP接入网包括UTRAN(UMTS Territorial Radio Access Network,UMTS陆地无线接入网)和E-UTRAN等两种接入情况。
由E-UTRAN切换到可信非3GPP接入网共享根密钥过程鉴权授权过程。E-UTRAN发送鉴权根密钥到可信非3GPP接入网有三种情况,1)通过MME(Mobility Management Entity,移动性管理实体)有条件共享鉴权根密钥;2)通过HSS(Home Subscrition Server,家乡签约服务器)有条件共享鉴权根密钥;3)直接共享鉴权根密钥。
实施例一详细介绍由E-UTRAN切换到可信非3GPP接入网通过MME有条件共享鉴权根密钥的切换流程。图3是本发明实施例的一种3GPP接入网与可信非3GPP接入网的切换流程图。结合图3,对切换流程进行详细描述。
步骤S301,在源网络中,终端设备与PDN GW之间建立承载,并且有上行下行数据的传送,终端设备业务正常。
步骤S302,如果源网络信号低于设定的阈值,源网络或终端设备会选定目标网络,如果是终端设备选定目标网络,其会通过NAS(Non-accessStratum,非接入层信令)发送鉴权请求消息到MME,也可以通过AS(AccessStratum,接入层信令)消息发送到基站,再由基站发送到MME。如果是源网络选定目标网络,则终端设备提供测量报告给源网络,测量报告包括源网络ID、信号强度等内容。
步骤S303,MME根据选定的切换目标网络信息,获取目标网络可信非3GPP接入网中的网络实体的地址。获取的方式可以是静态配置,也可以是DNS(Domain Name System,域名管理***)查询,或者DHCP(Dynamic HostConfiguration Protocol,动态主机分配协议)查询等多种方式。
步骤S304,本实施例衍生根密钥生成装置为MME,MME根据当前E-UTRAN接入的网络正在使用的根密钥通过一定算法推演出一个衍生根密钥。发送安全上下文给可信非3GPP接入网。其中安全上下文包括E-UTRAN网路的标识和最新衍生根密钥。
步骤S305,MME发送鉴权请求消息到HSS,鉴权请求消息包括可信非3GPP接入网的网络实体的地址、终端设备的安全能力和安全上下文等参数。
步骤S306,HSS转发收到鉴权请求消息给AAA Server。
步骤S307,本实施例鉴权服务器为AAA Server,AAA Server根据收到的衍生根密钥,通过一定算法,生成可信非3GPP接入网需要的安全性保护主密钥。
步骤S308,AAA Server根据接收到的目标网络的网络实体的IP地址,将生成的密钥分发给目标网络的其它网络实体,生成其它网络实体需要的安全性保护子密钥。
步骤S309,AAA Server(Authentication Authorization and AccountingServer,认证、授权和计费服务器)发送鉴权回应消息给HSS,鉴权回应消息包括安全参数等信息。其中安全参数包括AAA Server生成安全性保护主密钥、子密钥的算法信息,以及随机数等参数信息。
步骤S310,HSS发送鉴权回应消息给MME。
步骤S311,MME将生成衍生根密钥的算法信息等参数加入到鉴权回应消息的安全参数中,并将安全参数发送给终端设备。MME发送安全参数到终端的方法可以是通过NAS消息的方式与终端设备交互,将安全参数信息发送给终端设备。也可以将安全消息发送给基站,基站通过AS消息的方式发送给终端设备。当然,MME发送安全参数到终端的方法并不局限于以上两种方法。
步骤S312,终端设备根据收到的安全参数内包含的算法信息,分别选择与生成衍生根密钥、安全性主密钥、子密钥相同的算法,结合当前正在使用的根密钥,生成接入目标网络需要的安全密钥,然后切换到目标网络,根据生成的安全密钥建立到目标网络可信非3GPP接入网的连接。
步骤S313,在目标网络可信非3GPP接入网中,终端设备建立到PDNGW的连接,并完成承载的配置。在完成可信非3GPP接入网接入承载配置后,释放源网络3GPP接入网的承载。终端完成到可信非3GPP接入网的连接,在承载上有上行、下行数据传送。由于可信非3GPP接入网与3GPP接入网的网络安全级别不同,所以,可信非3GPP接入网可以从新发起一次完整的鉴权,更新前面生成的安全密钥,使其与可信非3GPP接入网的安全级别等信息保持一致。由于已经与可信非3GPP接入网建立连接,所以这次完整鉴权过程不会影响终端设备与可信非3GPP接入网的连接,不会影响到业务的连续性。
如果HSS与AAA Server是合一的,即为HSS/AAA Server,那么步骤S306,S309不需要,其它步骤不变。
如果由E-UTRAN切换到可信非3GPP接入网是通过HSS有条件共享鉴权根密钥的,在这种情况下,如图4所示,大部分步骤还是与实施例一的步骤相同,具体有以步骤下不同:
步骤S404,MME发送一个安全上下文给HSS。
步骤S405,衍生根密钥生成装置为HSS,HSS根据当前使用的根密钥生成衍生根密钥。
步骤S406,将衍生根密钥添加到MME发送来的安全上下文内,然后将添加了衍生根密钥的安全上下文发送到AAA Server。
步骤S410,HSS将生成衍生根密钥的算法信息放入AAA Server返回的安全参数中,并且将添加了算法信息的安全参数内,发送鉴权回应消息给MME。当然这一步的实现也可以采取以下步骤,HSS在步骤S407将生成衍生根密钥的算法信息发送给AAA Server,由AAA Server直接添加到安全参数内,发送给终端设备。诚然,将生成衍生根密钥的算法信息发送给终端设备的方法并不局限于以上两种方法。
步骤S411,MME直接将鉴权回应消息发送给终端设备。
如果实施例一是直接共享鉴权根密钥,在这种情况下,大部分步骤还是与实施例一的步骤相同,具体有以下不同:
实施例一的步骤S304删除,因为不需要对当前使用根密钥的推演,所以该步骤也不需要。
实施例一的步骤S305替换为,MME或HSS将正在使用的根密钥加入到安全上下文中,发送给AAA Server。
实施例一的步骤S311替换为,MME直接将AAA Server发送来的安全参数发送给终端设备,而不作任何修改。
由UTRAN切换到可信非3GPP接入网与由E-UTRAN切换到可信非3GPP接入网的流程基本上相同,也存在通过MME有条件共享鉴权根密钥,通过HSS有条件共享鉴权根密钥和直接共享鉴权根密钥三种跟密钥共享的方式。主要不同点在于:MME的功能由SGSN实现,MME不参与到切换流程中,衍生根密钥生成装置也变为SGSN。基站的功能由RNC实现。所以只需将以上两点在实施例一里进行替换,即可得到由UTRAN切换到可信非3GPP接入网的流程,因此不再作重复描述。
由可信非3GPP接入网切换到E-UTRAN,其根密钥有两种共享方式,1)AAA server有条件共享鉴权根密钥;2)直接共享鉴权根密钥。
实施例二详细介绍由可信非3GPP接入网切换到E-UTRAN通过AAAServer有条件共享鉴权根密钥的切换流程。图5是本发明实施例的一种可信非3GPP接入网与3GPP接入网的切换流程图。结合图5,对本实施例进行详细描述。
步骤S501,终端设备通过可信非3GPP接入网与PDN GW之间建立连接,并配置承载,并且有上行下行数据的传送,终端设备业务正常。
步骤S502,如果源网络信号低于设定的阈值,源网络或终端设备会选定目标网络,准备进行网络切换。如果是终端设备选定目标网络,其会在确定切换目标网络后,发起到源网络的切换请求,要求进行根密钥共享。如果是源网络选定目标网络,则终端设备提供测量报告给源网络,测量报告包括源网络ID、信号强度等内容。
步骤S503,可信非3GPP接入网中的网络实体通过静态配置或者DNS查询,或者DHCP查询等方式确定目标网络中的MME的地址。
步骤S504,可信非3GPP接入网网络实体发送鉴权请求消息到AAAServer,鉴权请求消息包括MME的地址等消息。如果在漫游的情况下,需要经过一个或多个认证、计费和授权代理AAA Proxy进行消息中转。
步骤S505,本实施例的衍生根密钥生成装置为AAA Server,AAAServer根据当前使用的根密钥通过一定算法生成衍生根密钥,与目标网络E-UTRAN共享。
步骤S506,AAA Server发送鉴权请求消息到HSS,鉴权请求消息包括MME的地址和安全上下文等信息。安全上下文包括可信非3GPP接入网的标识和衍生根密钥等信息。
步骤S507,本实施例的鉴权服务器为HSS,HSS根据收到的安全上下文信息,获取衍生根密钥,根据衍生根密钥,通过一定算法,生成安全性保护主密钥。当然,HSS也可以不生成安全性保护主密钥,而是直接将衍生根密钥看作安全性保护主密钥。
步骤S508,HSS根据接收到的MME的地址信息,分发安全性保护主密钥,生成E-UTRAN接入需要的安全性保护子密钥。
步骤S509,HSS发送鉴权回应消息给AAA Server,鉴权回应消息包括安全参数等信息。其中安全参数包括目标网络生成安全性保护主密钥、子密钥选定的参数,以及随机数等参数信息。
步骤S510,AAA Server将生成衍生根密钥的算法信息等参数加入到鉴权回应消息的安全参数中,并将安全参数发送给可信非3GPP接入网。
步骤S511,可信非3GPP接入网通过切换命令消息将安全参数发送给终端设备。通知终端设备可以进行网络切换了。切换命令消息可以是通过NAS消息,也可以是可信非3GPP接入网的AGW(Access Gateway,接入网关)发送消息给BS基站点,再由BS通过空口信息发送给终端设备。当然,可信非3GPP接入网,发送切换命令消息的方法并不局限于以上两种方法。
步骤S512,终端设备根据收到的安全参数内包含的算法信息,分别利用与生成衍生根密钥、安全性主密钥、子密钥的算法,结合当前正在使用的根密钥,生成接入目标网络E-UTRAN需要的安全性保护子密钥,并发送附着请求消息到目标网络。
步骤S513,MME发起到HSS的Location Update Procedure流程,在此流程中,MME发起到HSS内的注册,HSS返回签约数据给MME。
步骤S514,在目标网络E-UTRAN中,终端设备建立到PDN GW的连接,并完成承载的配置。在完成E-UTRAN接入承载配置后,终端完成到E-UTRAN的连接,在承载上有上行、下行数据传送。由于可信非3GPP接入网与3GPP接入网的网络安全级别不同,所以,E-UTRAN可以从新发起一次AKA鉴权,更新前面生成的安全密钥。由于已经与E-UTRAN建立连接,所以这次完整鉴权过程不会影响终端设备与E-UTRAN的连接,不会影响到业务的连续性。
步骤S515,释放源网络可信非3GPP接入网接入时的承载。
需要指出的是如果HSS与AAA Server是合一的,即为HSS/AAA Server,那么步骤S506,S509不需要,其它步骤不变。另外步骤S507,也可以是,HSS根据收到的安全上下文信息,获取衍生根密钥,不生成安全性保护主密钥,直接将衍生根密钥分发给MME。
如果实施例二是直接共享鉴权根密钥,在这种情况下,大部分步骤与实施例二的步骤相同,具体有以下不同:
实施例二的步骤S505删除,因为不需要对当前使用根密钥的推演,所以该步骤也不需要。
实施例二的步骤S506替换为,AAA Server将正在使用的根密钥加入到安全上下文中,发送给HSS。
实施例二的步骤S510替换为,AAA Server直接将安全参数发送给终端设备,而不作任何修改。
由可信非3GPP接入网切换到UTRAN与由可信非3GPP接入网切换到E-UTRAN的流程基本上相同,也存在通过AAA server有条件共享鉴权根密钥和直接共享鉴权根密钥两种跟密钥共享的方式。主要不同点在于:MME的功能由SGSN实现,MME不参与到切换流程中。所以只需在实施例二里作相应的替换,即可得到由UTRAN切换到可信非3GPP接入网的流程,因此不再作重复描述。
3GPP接入网和不可信非3GPP接入网之间切换,因为3GPP接入网包括UTRAN和E-UTRAN两种接入情况,所以也就存在E-UTRAN和不可信非3GPP接入网之间切换,与UTRAN和不可信非3GPP接入网之间切换切换的情况。
E-UTRAN切换到不可信非3GPP接入网同样也存在通过MME有条件共享鉴权根密钥、通过HSS有条件共享鉴权根密钥和直接共享鉴权根密钥三种共享根密钥的方式。
实施例三详细介绍终端设备从E-UTRAN切换到不可信非3GPP接入网,选择通过MME有条件共享鉴权根密钥的流程。图6是本发明实施例的一种3GPP接入网与不可信非3GPP接入网的切换流程图。结合图6,进行详细描述。
步骤S601,在3GPP接入网中,终端设备与PDN GW之间建立连接,并配置承载,且有上行下行数据的传送,终端设备业务正常。
步骤S602,如果源网络信号低于设定的阈值,源网络或终端设备会选定目标网络,如果是终端设备选定目标网络,则由源网络提供辅助信息以帮助选定目标网络。辅助信息包括网络拓扑、运营商偏好和策略等信息。如果是源网络选定目标网络,则终端设备提供测量报告给源网络,测量报告包括源网络ID、信号强度等内容。
步骤S603,终端设备发送鉴权请求消息给MME,其中鉴权请求消息包括User ID和终端设备的IKEv2参数。IKEv2参数包括协议头IKEHeader,安全关联Security Association,配置静荷Configuration Payload,传输选择器Traffic selector,证书Certification等参数。
步骤S604,MME根据获取的选定的要切换的目标网络信息,获取可信非3GPP接入网中的ePDG的地址。可以通过静态配置或DNS查询或DHCP查询等多种方式来获取ePDG的地址。
步骤S605,本实施例的衍生根密钥生成装置为MME,MME根据当前E-UTRAN接入网正在使用的根密钥通过一定算法推演出一个衍生根密钥。并且发送安全上下文给可信非3GPP接入网。其中安全上下文包括E-UTRAN网路的标识和最新衍生根密钥等信息。
步骤S606,MME发送鉴权请求消息给HSS,其中鉴权请求消息包括可信非3GPP接入网中的ePDG的地址、终端的安全能力、安全上下文等参数和终端设备IKEv2参数。
步骤S607,HSS转发收到的鉴权请求消息给AAA Sercer。
步骤S608,本实施例的鉴权服务器为AAA Sercer,AAA Sercer根据收到的衍生根密钥,通过一定的算法生成可信非3GPP接入网需要的安全性保护主密钥。
步骤S609,AAA Sercer根据收到的可信非3GPP接入网的网络实体的IP地址,将生成的安全性保护主密钥分发到可信非3GPP接入网的其它网络实体,生成其它网络实体需要的安全性保护子密钥。并且,将终端设备的IKEv2参数和User ID等信息发送给ePDG,ePDG根据IKEv2参数中的Configuration Payload分配一个本地的IP地址给终端设备,作为终端的本地地址建立终端到ePDG的出入站SA(Security Association,安全联盟)。ePDG发送其对应的ePDG ID和IKEv2参数给终端设备,IKEv2参数包括ePDG分配给终端设备的IP地址等信息。如果处于漫游状态,需要一个或多个AAA Proxy进行消息的中转。
步骤S610,AAA Sercer发送鉴权回应消息给HSS。其中鉴权回应消息包括安全参数、ePDG ID、ePDG IKEv2参数等信息,以及随机数等参数信息。
步骤S611,HSS发送鉴权回应消息给MME。
步骤S612,MME将生成衍生根密钥的算法信息加入到鉴权回应消息的安全参数中,MME发送包含有安全参数、ePDG ID、ePDG IKEv2参数的鉴权回应消息给终端设备。
步骤S613,终端设备根据收到的安全参数,结合正在使用的根密钥,生成目标网络需要的安全性保护主密钥、子密钥。根据ePDG IKEv2参数建立终端设备到ePDG的出入站SA,即完成终端设备到ePDG之间的IPSEC隧道的配置。然后切换网络到目标网络。
步骤S614,终端设备根据产生的安全性保护子密钥建立到不可信非3GPP接入网的连接,并迁移终端设备和ePDG之间的IPSEC隧道到不可信非3GPP接入网,IPSEC隧道的迁移可以基于MOBIKE协议。
步骤S615,在不可信非3GPP接入网中,终端设备与PDN GW建立连接,并完成乘载配置。释放源网络E-UTRAN的承载。此时,终端完成与不可信非3GPP的网络连接,承载上有上行下行数据传送。由于不可信非3GPP接入网与3GPP接入网的网络安全级别不同,所以,不可信非3GPP接入网可以从新发起一次完整的鉴权,更新前面生成的安全密钥,使其与不可信非3GPP接入网的安全级别等信息保持一致。由于已经与不可信非3GPP接入网建立连接,所以这次完整鉴权过程不会影响终端设备与不可信非3GPP接入网的连接,不会影响到业务的连续性。
如果HSS与AAA Server是合一的,即为HSS/AAA Server,那么步骤S607,S610不需要,其它步骤不变。
如果终端设备从E-UTRAN切换到不可信非3GPP接入网是通过HSS有条件共享鉴权根密钥的,在这种情况下,切换流程如图7所示,大部分步骤还是与实施例三的步骤相同,具体有以下步骤不同:
步骤S705,MME发送一个安全上下文给HSS。但该上下文不包括发送给AAA Server的衍生根密钥。
步骤S706,本实施例的衍生根密钥生成装置为HSS,HSS根据当前使用的根密钥生成衍生根密钥。
步骤S707,将衍生根密钥添加到MME发送来的安全上下文内,然后将添加了衍生根密钥的安全上下文发送到AAA Server。
步骤S711,HSS将生成衍生根密钥的算法信息放入AAA Server返回的安全参数中,并且将添加了算法信息的鉴权回应消息发送给MME。当然这一步的实现也可以采取以下步骤,HSS在步骤S707将生成衍生根密钥的算法信息发送给AAA Server,由AAA Server直接添加到安全参数内,发送给终端设备。诚然,将生成衍生根密钥的算法信息发送给终端设备的方法并不局限于以上两种方法。
步骤S712,MME直接将鉴权回应消息发送给终端设备,不做任何修改。
如果实施例三是直接共享鉴权根密钥,在这种情况下,大部分步骤还是与实施例三的步骤相同,具体有以下不同:
实施例三的步骤S604删除,因为不需要对当前使用根密钥的推演,所以该步骤也不需要。
实施例三的步骤S605替换为,MME或HSS将正在使用的根密钥添加到安全上下文中,发送给AAA Server。
实施例三的步骤S612替换为,MME直接将AAA Server发送来的安全参数发送给终端设备,而不作任何修改。
由UTRAN切换到不可信非3GPP接入网与由E-UTRAN切换到不可信非3GPP接入网的流程基本上相同,也存在通过MME有条件共享鉴权根密钥,通过HSS有条件共享鉴权根密钥和直接共享鉴权根密钥三种跟密钥共享的方式。主要不同点在于:MME的功能由SGSN实现,MME不参与到切换流程中,衍生根密钥生成装置也变为SGSN。基站的功能由RNC实现。所以只需将以上两点在实施例三里进行替换,即可得到由UTRAN切换到不可信非3GPP接入网的流程,因此不再作重复描述。
由不可信非3GPP接入网切换到E-UTRAN,其根密钥有两种共享方式,1)AAA server有条件共享鉴权根密钥;2)直接共享鉴权根密钥。
实施例四详细介绍由不可信非3GPP接入网切换到E-UTRAN通过AAAServer有条件共享鉴权根密钥的切换流程。图8是本发明实施例的一种3GPP接入网与不可信非3GPP接入网的切换流程图。结合图8,对本实施例进行详细描述。
步骤S801,终端设备通过不可信非3GPP接入网与PDN GW之间建立连接,完成承载配置,并且有上行下行数据的传送,终端设备业务正常。
步骤S802,如果源网络信号低于设定的阈值,源网络或终端设备会选定目标网络,准备进行网络切换。如果是终端设备选定目标网络,其会在确定切换目标网络后,发起道源网络的切换请求,要求进行根密钥共享。如果是源网络选定目标网络,则终端设备提供测量报告给源网络,测量报告包括源网络ID、信号强度等内容。
步骤S803,不可信非3GPP接入网中的网络实体通过静态配置或者DNS查询,或者DHCP查询等方式确定目标网络中的MME的地址。
步骤S804,ePDG发送鉴权请求消息到AAA Server,鉴权请求消息包括MME的地址等消息。如果在漫游的情况下,需要经过一个或多个AAA Proxy进行消息中转。
步骤S805,本实施例的衍生根密钥生成装置为AAA Server,AAAServer根据当前使用的根密钥通过一定算法生成衍生根密钥,与目标网络E-UTRAN共享。
步骤S806,AAA Server发送鉴权请求消息到HSS,鉴权请求消息包括MME的地址和安全上下文等信息。安全上下文包括不可信非3GPP接入网的标识和衍生根密钥等信息。
步骤S807,本实施例的目标网络生成装置为HSS,HSS根据收到的安全上下文信息,获取衍生根密钥,通过一定算法,生成安全性保护主密钥。当然,HSS也可以不生成安全性保护主密钥,而是直接将衍生根密钥看作安全性保护主密钥。
步骤S808,HSS根据接收到的MME的地址信息,分发安全性保护主密钥,生成E-UTRAN接入需要的安全性保护子密钥。
步骤S809,HSS发送鉴权回应消息给AAA Server,鉴权回应消息包括安全参数等信息。其中安全参数包括HSS生成安全性保护主密钥、子密钥的算法信息,以及随机数等参数信息。
步骤S810,AAA Server将生成衍生根密钥的算法信息等参数加入到鉴权回应消息的安全参数中,并将安全参数发送给不可信非3GPP接入网。
步骤S811,不可信非3GPP接入网通过切换命令消息将安全参数发送给终端设备。通知终端设备可以进行网络切换了。切换命令消息可以是通过承载IPSEC隧道上进行传送,也可以通过扩展IKE消息来实现。当然,ePDG发送切换命令消息的方法并不局限于以上两种方法。
步骤S812,终端设备根据收到的安全参数内包含的算法信息,分别利用与生成衍生根密钥、安全性主密钥、子密钥的算法,结合当前正在使用的根密钥,生成接入目标网络E-UTRAN需要的安全性保护子密钥,并发送附着请求消息到目标网络。
步骤S813,MME发起到HSS的Location Update Procedure流程,在此流程中,MME发起到HSS内的注册,HSS返回签约数据给MME。
步骤S814,在目标网络E-UTRAN中,终端设备建立到PDN GW的连接,并完成承载的配置。在完成E-UTRAN接入承载配置后,终端完成到E-UTRAN的连接,在承载上有上行、下行数据传送。由于不可信非3GPP接入网与3GPP接入网的网络安全级别不同,所以,E-UTRAN可以从新发起一次AKA鉴权,更新前面生成的安全密钥。由于已经与E-UTRAN建立连接,所以这次完整鉴权过程不会影响终端设备与E-UTRAN的连接,不会影响到业务的连续性。
步骤S815,释放源网络不可信非3GPP接入网接入时的承载。
需要指出的是:如果HSS与AAA Server是合一的,即为HSS/AAA Server,那么步骤S806,S809不需要,其它步骤不变。另外步骤S807,也可以是,HSS根据收到的安全上下文信息,获取衍生根密钥,不生成安全性保护主密钥,直接将衍生根密钥分发给MME。
如果实施例四是直接共享鉴权根密钥,在这种情况下,大部分步骤还是与实施例四的步骤相同,具体有以下不同:
实施例四的步骤S805删除,因为不需要对当前使用根密钥的推演,所以该步骤也不需要。
实施例四的步骤S806替换为,AAA Server将正在使用的根密钥加入到安全上下文中,发送给HSS。
实施例四的步骤S810替换为,AAA Server直接将安全参数发送给终端设备,而不作任何修改。
由不可信非3GPP接入网切换到UTRAN与由不可信非3GPP接入网切换到E-UTRAN的流程基本上相同,也存在通过AAA server有条件共享鉴权根密钥和直接共享鉴权根密钥两种跟密钥共享的方式。主要不同点在于:MME的功能由SGSN实现,MME不参与到切换流程中。所以只需在实施例四里作相应的替换,即可得到由UTRAN切换到不可信非3GPP接入网的流程,因此不再作重复描述。
通过以上实施例可以看出,本发明实施例通过采取根密钥共享的方式,在终端设备从源网络切换到目标网络之前,完成终端设备在目标网络的鉴权和授权过程,减少了终端设备在目标网络的鉴权和授权过程对切换时延的影响,加快了终端设备在网络间的切换速度,保证了终端设备在网络切换过程中业务的连续,实现了源网络到目标网络的无缝切换。
图9是本发明实施例的一种鉴权服务器的结构图。鉴权服务器包括密钥导出单元931、密钥分发单元932和消息发送单元933。密钥导出单元931能够接收衍生根密钥或者源网络正在使用的根密钥,并且根据衍生根密钥或者源网络正在使用的根密钥,通过一定算法生成接入目标网络所需要的安全性主保护主密钥,并发送给密钥分发单元932,同时将生成安全性主保护主密钥的算法信息作为选定参数发送给消息发送单元933。密钥分发单元932将该主密钥分发给目标网络的目标网络实体。消息发送单元933接收标网络实体发送来的生成接入目标网络所需要的安全性主保护子密钥的算法信息参数,并将生成目标网络的安全性保护主密钥的算法信息添加到安全参数内,发送给衍生根密钥生成装置或终端设备。
图10是本发明实施例的一种***结构图。由源网络91、衍生根密钥生成装置92、鉴权服务器93、目标网络实体94和终端设备95组成,其中鉴权服务器93还包括密钥导出单元931、密钥分发单元932和消息发送单元933,终端设备95包括IPSEC隧道处理单元951。源网络91与终端设备95之间建立连接,并完成承载配置,有上下行数据传送。当要由源网络91切换到目标网络时,如果采用有条件共享鉴权根密钥,由衍生根密钥生成装置92获取源网络91正在使用的根密钥,通过一定算法生成衍生根密钥,然后将衍生根密钥添加到安全上下文内发送给鉴权服务器93的密钥导出单元931,密钥导出单元931根据衍生根密钥,通过一定算法生成接入目标网络所需要的安全性主保护主密钥,并发送给密钥分发单元932,同时将生成安全性主保护主密钥的选定参数发送给消息发送单元933。密钥分发单元932将该主密钥分发给目标网络的目标网络实体94,目标网络实体94根据安全性主保护主密钥导出目标网络的安全性保护子密钥。目标网络实体94将生成安全性保护子密钥所选定的参数发送给鉴权服务器93的消息发送单元933,消息发送单元933将生成目标网络的安全性保护主密钥、子密钥的算法信息添加到安全参数内,发送给衍生根密钥生成装置92,衍生根密钥生成装置92在安全参数内添加生成衍生根密钥所对应的算法的信息,然后将修改后的安全参数发送给终端设备95,终端设备95根据安全参数内的信息生成目标网络需要的安全性保护子密钥。如果是3GPP接入网与不可信非3GPP接入网之间的切换,那么终端设备95的IPSEC隧道处理单元951还需要建立终端设备与ePDG之间的IPSEC隧道,并通过MOBIKE协议,将IPSEC隧道迁移到目标网络。这样终端设备95就可以与目标网络建立连接。在终端设备95就可以与目标网络完成承载配置后,终端设备95释放与源网络91的承载。实现了无缝切换。
当要由源网络91切换到目标网络时,如果采用直接共享鉴权根密钥,直接将源网络正在使用的根密钥添加到安全上下文内发送给鉴权服务器93的密钥导出单元931,密钥导出单元931根据衍生根密钥,通过一定算法生成接入目标网络所需要的安全性主保护主密钥,并发送给密钥分发单元932,同时将生成安全性主保护主密钥的选定参数发送给消息发送单元933。密钥分发单元932将该主密钥分发给目标网络的目标网络实体94,目标网络实体94根据安全性主保护主密钥生成目标网络的安全性保护子密钥。目标网络实体94将生成安全性保护子密钥所选定的参数发送给鉴权服务器93的消息发送单元933,消息发送单元933将生成目标网络的安全性保护主密钥、子密钥的算法信息添加到安全参数内,发送终端设备95,终端设备95根据安全参数内的信息生成目标网络需要的安全性保护子密钥,如果是3GPP接入网与不可信非3GPP接入网之间的切换,那么终端设备95的IPSEC隧道处理单元951还需要建立终端设备与ePDG之间的IPSEC隧道,并通过MOBIKE协议,将IPSEC隧道迁移到目标网络。这样终端设备95就可以与目标网络建立连接。在终端设备95就可以与目标网络完成承载配置后,终端设备95释放与源网络91的承载。实现了无缝切换。
通过上述实施例可以看出,本发明实施例通过采取根密钥共享的方式,在终端设备从源网络切换到目标网络之前,完成终端设备在目标网络的鉴权和授权过程,减少了终端设备在目标网络的鉴权和授权过程对切换时延的影响,加快了终端设备在网络间的切换速度,保证了终端设备在网络切换过程中业务的连续,实现了源网络到目标网络的无缝切换。
以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。
Claims (23)
1.一种网络切换的方法,其特征在于,包括以下步骤:
选定要切换的目标网络;
源网络发送共享鉴权根密钥到鉴权服务器;
所述鉴权服务器根据所述共享鉴权根密钥,分发安全性保护主密钥到所述目标网络的对应网络实体;
所述网络实体生成接入所述目标网络需要的安全性保护子密钥,并向所述鉴权服务器发送鉴权回应消息;
所述鉴权服务器发送鉴权回应消息给终端设备,所述终端设备根据所述鉴权回应消息生成所述安全性保护子密钥;
根据所述安全性保护子密钥,所述终端设备由所述源网络切换到所述目标网络。
2.如权利要求1所述网络切换的方法,其特征在于,选定要切换的目标网络具体包括由所述源网络或所述终端设备来选择要切换的目标网络。
3.如权利要求1所述网络切换的方法,其特征在于,在所述源网络发送共享鉴权根密钥到鉴权服务器之前还包括,源网络网络实体根据目标网络的信息,选定所述目标网络的网络实体。
4.如权利要求1所述网络切换的方法,其特征在于,共享鉴权根密钥是
根据所述源网络正在使用的根密钥生成的衍生根密钥,或
所述源网络正在使用的根密钥。
5.如权利要求4所述网络切换的方法,其特征在于,所述根据源网络正在使用的根密钥生成衍生根密钥具体包括:
移动性管理实体MME根据所述源网络正在使用的根密钥生成所述衍生根密钥;
家乡签约服务器HSS根据所述源网络正在使用的根密钥生成所述衍生根密钥;
认证、鉴权和收费服务器AAA Server根据所述源网络正在使用的根密钥生成所述衍生根密钥。
6.如权利要求4所述网络切换的方法,其特征在于,所述源网络发送共享鉴权根密钥到鉴权服务器具体为:
将所述的共享鉴权根密钥加入到安全上下文内发送给所述鉴权服务器。
7.如权利要求6所述网络切换的方法,其特征在于,所述源网络发送共享鉴权根密钥到鉴权服务器具体还包括:
将终端设备的安全能力和/或密钥交换协议IKE参数发送给所述鉴权服务器。
8.如权利要求1所述网络切换的方法,其特征在于,在所述鉴权服务器根据所述共享鉴权根密钥,分发安全性保护主密钥到所述目标网络的对应网络实体之前,还包括:
所述鉴权服务器根据所述共享鉴权根密钥,生成所述目标网络需要的安全性保护主密钥。
9.如权利要求8所述网络切换的方法,其特征在于,所述鉴权服务器将所述共享鉴权根密钥作为目标网络需要的安全性保护主密钥。
10.如权利要求7所述网络切换的方法,其特征在于,在所述网络实体生成接入所述目标网络需要的安全性保护子密钥之后,还包括分组数据网关ePDG根据所述终端设备的密钥交换协议IKE参数,建立所述终端设备到分组数据网关ePDG的安全联盟SA。
11.如权利要求1所述网络切换的方法,其特征在于,所述鉴权回应消息包括生成所述安全性保护子密钥所选定的安全参数信息。
12.如权利要求11所述网络切换的方法,其特征在于,所述鉴权回应消息还包括生成所述安全性保护主密钥所选定的安全参数信息。
13.如权利要求11所述网络切换的方法,其特征在于,所述鉴权回应消息还包括生成衍生根密钥所选定的安全参数信息。
14.如权利要求11所述网络切换的方法,其特征在于,所述鉴权回应消息还包括分组数据网关ePDG的密钥交换协议IKE参数信息。
15.如权利要求11、12、13或14所述网络切换的方法,其特征在于,所述终端设备根据鉴权回应消息生成安全性保护子密钥具体包括:
所述终端设备获取所述鉴权回应消息中包含的信息,结合正在使用的根密钥,生成接入目标网络需要的所述安全性保护子密钥。
16.如权利要求15所述网络切换的方法,其特征在于,在所述终端设备根据鉴权回应消息生成安全性保护子密钥之后,还包括:配置所述终端设备与分组数据网关ePDG的基于IP的安全性保护隧道IP安全协议IPSEC。
17.如权利要求16所述网络切换的方法,其特征在于,在配置所述终端设备与分组数据网关ePDG的IP安全协议IPSEC之后,还包括:通过可移动密钥交换协议MOBIKE协议,将IP安全协议IPSEC隧道从所述源网络迁移到目标网络。
18.如权利要求1所述网络切换的方法,其特征在于,所述终端设备由源网络切换到所述目标网络具体包括:
所述终端设备根据所述安全性保护子密钥与所述目标网络建立连接,并完成承载配置;
所述终端设备释放与源网络的承载配置。
19.如权利要求1所述网络切换的方法,其特征在于,所述终端设备由源网络切换到所述目标网络之后,还包括在所述目标网络中重新发起一次鉴权过程,更新所述安全性保护子密钥。
20.一种网络切换的***,其特征在于,该***包括源网络,终端设备,目标网络实体,鉴权服务器,
所述鉴权服务器,用于根据共享鉴权根密钥生成目标网络需要的安全性保护主密钥,分发给目标网络对应的网络实体,并且返回鉴权回应消息给终端设备;
所述目标网络实体,用于根据所述安全性保护主密钥生成接入所述目标网络需要的安全性保护子密钥,向所述鉴权服务器发送鉴权回应消息;
所述终端设备,用于根据鉴权服务器的返回的鉴权回应消息生成接入目标网络需要的安全性保护子密钥,根据所述安全性保护子密钥由所述源网络切换到所述目标网络。
21.如权利要求20所述网络切换的***,其特征在于,还包括衍生根密 钥生成装置,
所述衍生根密钥生成装置,用于接收所述源网络发送来的源网络正在使用的根密钥,根据所述源网络正在使用的根密钥生成衍生根密钥,并将所述衍生根密钥发送给所述鉴权服务器。
22.如权利要求20所述网络切换的***,其特征在于,所述终端设备还包括IPSEC隧道处理单元,
所述IPSEC隧道处理单元,用于配置所述终端设备与分组数据网关ePDG之间的IP安全协议IPSEC隧道,根据所述IP安全协议IPSEC隧道,切换到所述目标网络;并迁移所述终端设备和分组数据网关ePDG之间的IP安全协议IPSEC隧道到所述目标网络。
23.一种鉴权服务器,其特征在于,包括密钥导出单元、密钥分发单元和消息发送单元;
所述密钥导出单元,用于根据衍生根密钥或源网络正在使用的根密钥生成安全性保护主密钥;
所述密钥分发单元,用于将所述安全性保护主密钥分发给目标网络对应的网络实体;
所述消息发送单元,用于将包含有生成所述安全性保护主密钥所选定的安全参数的鉴权回应消息发送给终端设备。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2007101231802A CN101340708B (zh) | 2007-07-02 | 2007-07-02 | 一种网络切换的方法、***及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2007101231802A CN101340708B (zh) | 2007-07-02 | 2007-07-02 | 一种网络切换的方法、***及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101340708A CN101340708A (zh) | 2009-01-07 |
| CN101340708B true CN101340708B (zh) | 2011-12-21 |
Family
ID=40214638
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2007101231802A Expired - Fee Related CN101340708B (zh) | 2007-07-02 | 2007-07-02 | 一种网络切换的方法、***及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101340708B (zh) |
Families Citing this family (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101730093B (zh) | 2009-02-20 | 2013-01-16 | 中兴通讯股份有限公司 | 安全切换方法及*** |
| CN101931950B (zh) * | 2009-06-19 | 2014-02-05 | 电信科学技术研究院 | 切换时的密钥获取方法、***和设备 |
| CN102546154B (zh) * | 2011-12-19 | 2015-09-16 | 上海顶竹通讯技术有限公司 | 移动通信网络中终端的切换方法 |
| CN102497273B (zh) * | 2011-12-27 | 2018-09-28 | 西安西电捷通无线网络通信股份有限公司 | 一种实体鉴别方法和装置及*** |
| CN104038938A (zh) * | 2013-03-06 | 2014-09-10 | 中兴通讯股份有限公司 | 一种终端切换方法、接入控制器及接入点 |
| CN107820283B (zh) * | 2016-09-13 | 2021-04-09 | 华为技术有限公司 | 一种网络切换保护方法、相关设备及*** |
| CN109391941B (zh) * | 2017-08-03 | 2020-12-25 | 华为技术有限公司 | 一种接入鉴权的方法及装置 |
| CN109391937B (zh) * | 2017-08-04 | 2021-10-19 | 华为技术有限公司 | 公钥的获取方法、设备及*** |
| CN113453230B (zh) * | 2020-03-25 | 2023-11-14 | 中国电信股份有限公司 | 终端管理方法和***以及安全代理 |
| CN115103416B (zh) * | 2022-07-25 | 2023-10-13 | 北京小米移动软件有限公司 | 网络切换的方法、装置、设备和存储介质 |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1905734A (zh) * | 2005-07-25 | 2007-01-31 | 华为技术有限公司 | 一种目标基站获取鉴权密钥的方法及*** |
-
2007
- 2007-07-02 CN CN2007101231802A patent/CN101340708B/zh not_active Expired - Fee Related
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1905734A (zh) * | 2005-07-25 | 2007-01-31 | 华为技术有限公司 | 一种目标基站获取鉴权密钥的方法及*** |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101340708A (zh) | 2009-01-07 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101340708B (zh) | 一种网络切换的方法、***及装置 | |
| Chan et al. | Requirements for distributed mobility management | |
| EP2415288B1 (en) | Mobile communication method, mobile communication system, and corresponding apparatus | |
| US8654716B2 (en) | System and method for name binding for multiple packet data network access | |
| EP2458914B1 (en) | Method for reselecting bearer binding and event report function | |
| EP2338264B1 (en) | Optimization of handovers to untrusted non-3gpp networks | |
| EP2832127B1 (en) | Communications system | |
| AU2007304555B2 (en) | Encryption in a wireless telecommunications | |
| EP2115964B1 (en) | Mechanism to uniquely identify and unify a user's set of packet bearer contexts in a mobile telecommunications network | |
| CN101102600B (zh) | 在不同移动接入***中切换时的密钥处理方法 | |
| CN1989756A (zh) | 用于pana的独立于媒体的预认证支持的框架 | |
| Forsberg | LTE key management analysis with session keys context | |
| WO2004036332A2 (en) | Virtual private network with mobile nodes | |
| CN101897217A (zh) | IPv4支持代理移动IPv6路由优化协议 | |
| Vintilă et al. | Security analysis of LTE access network | |
| CN101336000B (zh) | 协议配置选项传输方法及***、用户终端 | |
| KR20140055857A (ko) | 이종망간 이동성 제공 시스템 및 방법 | |
| CN103796281A (zh) | 分组数据网络类型的管理方法、装置及*** | |
| CN101534496A (zh) | 一种用户获得家乡链路信息的方法 | |
| US20200169885A1 (en) | Method and system for supporting security and information for proximity based service in mobile communication system environment | |
| CN101990312B (zh) | 一种移动网络连接的建立方法及*** | |
| CN101964968A (zh) | 一种移动网络中域名查询的方法及*** | |
| EP2361473A1 (en) | Method and communication system for protecting an authentication connection | |
| EP3195643B1 (en) | Method, server, base station and communication system for configuring security parameters | |
| Zhou et al. | An authentication method for proxy mobile IPv6 and performance analysis |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| ASS | Succession or assignment of patent right |
Owner name: CHANGZHOU XIAOGUO INFORMATION SERVICE CO., LTD. Free format text: FORMER OWNER: HUAWEI TECHNOLOGY CO., LTD. Effective date: 20140313 |
|
| C41 | Transfer of patent application or patent right or utility model | ||
| COR | Change of bibliographic data |
Free format text: CORRECT: ADDRESS; FROM: 518129 SHENZHEN, GUANGDONG PROVINCE TO: 213164 CHANGZHOU, JIANGSU PROVINCE |
|
| TR01 | Transfer of patent right |
Effective date of registration: 20140313 Address after: 213164 building C, building 407-2-6, Tian An Digital City, 588 Chang Wu Road, Wujin hi tech Industrial Development Zone, Changzhou, Jiangsu, China Patentee after: Changzhou Xiaoguo Information Service Co., Ltd. Address before: 518129 Bantian HUAWEI headquarters office building, Longgang District, Guangdong, Shenzhen Patentee before: Huawei Technologies Co., Ltd. |
|
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20111221 Termination date: 20160702 |