CN101911742A

CN101911742A - 用于交互rat切换的预认证方法

Info

Publication number: CN101911742A
Application number: CN2009801019873A
Authority: CN
Inventors: 韩镇百
Original assignee: LG Electronics Inc
Current assignee: LG Electronics Inc
Priority date: 2008-01-09
Filing date: 2009-01-09
Publication date: 2010-12-08
Anticipated expiration: 2029-01-09
Also published as: KR20090076755A; KR101467784B1; CN101911742B

Abstract

公开了一种用于交互RAT切换的预认证方法。该预认证方法涉及无线接入***，并且提供了一种用于在由不同的管理域管理的交互RAT切换的情况中执行预认证。用于在切换之前执行预认证以便于快速地执行交互无线电接入技术(交互RAT)切换的方法包括：向目标认证服务器传送具有预认证所需要的终端信息的报文；从目标认证服务器接收目标网络的安全关联信息，其中目标网络安全关联信息是通过移动终端信息生成的；以及使用目标网络的安全关联信息生成将由移动终端在目标网络中使用的安全关联信息；以及执行预认证。

Description

用于交互RAT切换的预认证方法

技术领域

本发明涉及一种无线接入***，更具体地，涉及一种用于由不同管理域管理的交互无线电接入技术(Inter-RAT)切换的预认证方法。

背景技术

下面将详细描述基于IEEE 802.16标准中规定的秘密和密钥管理子层(PKM)的一般的切换过程和认证过程。

图1是图示用于执行切换和初始网络进入处理的方法的流程图。

参照图1，在步骤S101和S102中移动站(MS)选择小区以进入初始网络或者执行切换。在该小区选择期间，移动站(MS)执行扫描或测距(ranging)以寻找至少一个基站以便于搜索用于网络连接或切换的适当的基站。移动站(MS)可以调度扫描时段或休眠时段以确定移动站(MS)是否能够进入用于基站或目标基站的初始网络。

当移动站(MS)进入初始网络时，在步骤S103中移动站可以在从服务基站(SBS)获取下行链路参数的同时，同时地与服务基站同步。在该情况中，SBS可以在MS所期望的网络上提供服务。在步骤S104中MS建立与SBS的同步，并且随后获取关于SBS的上行链路参数。在步骤S105中MS执行与SBS的测距处理，并且与SBS一同调节上行链路参数。通过上述步骤，在步骤S106中MS和SBS形成用于通信的基本功能。在步骤S107中SBS对移动站(MS)授权并且与该MS交换密钥。因此，在步骤S108中MS登记在SBS中，并且在步骤S109中建立到SBS的IP连接。

在步骤S110中SBS向MS传送操作参数，使得其可以与MS通信。在步骤S111中建立MS和SBS之间的连接，使得在步骤S112中MS和SBS可以执行正常操作。在步骤S113中在SBS执行正常操作的同时MS可以连续地搜索相邻基站。当MS在运动中变得远离SBS时，从SBS提供的服务质量(QoS)逐渐降低，使得移动站(MS)必须连续地搜索能够提供更好的服务的相邻基站。在该情况中，提供优于SBS的服务的相邻基站被称为目标基站(TBS)，并且MS搜索TBS，使得该MS可以切换到搜索到的TBS。

通常，当MS从服务基站(SBS)移动到目标基站(TBS)时执行切换。也就是，当MS的无线电接口、服务流和网络接入点从SBS转移到TBS时执行切换。在步骤S114中如果MS、SBS或网络管理员决定切换，则切换开始操作。

在步骤S115中MS选择TBS，在步骤S116中可以建立与TBS的同步，并且还可以从TBS获取下行链路参数。在步骤S117中MS从TBS获取上行链路参数，在步骤S118中执行与TBS的测距处理，并且与TBS一同调节上行链路参数。在该情况中，如果MS已接收到包括TBS的标识符、频率和上行链路/下行链路信道描述符(UCD/DCD)的NBR-ADV报文，则扫描处理和同步处理可以被简化。如果TBS在骨干网络上从SBS接收到切换通知报文，则非竞争初始测距机会可以被提供给上行链路MAP(UL-MAP)。

通过上述过程，在步骤S119中MS和TBS形成基本功能。MS和TBS执行测距处理以开始重新进入网络。而且，在步骤120中MS重新登记在TBS中，并且建立到TBS的重新连接。因此，在步骤S121中MS登记在TBS中，并且在步骤S122中在MS中重新建立来自TBS的IP连接。结果，TBS用作SBS，使得其可以向MS提供必要的服务。

下面将详细描述图1的切换。MS基于通过扫描获取的相邻基站信息来重新选择小区，并且从SBS切换到TBS。因此，MS与TBS建立同步并且执行与TBS的测距处理。随后，TBS执行关于MS的重新授权。这里，TBS可以在骨干网络上从SBS请求MS的信息。

根据TBS拥有的MS关联信息可以极大地简化切换和网络重新进入处理。根据TBS拥有的MS关联信息量可以省略一些网络进入处理。

图2是图示用于允许IEEE 802.16***对移动站(MS)进行认证的方法的流程图。

图2示出了当前的认证过程，并且呈现了信息传送格式和报文流。然而，具有MS 200、基站(BS)200或者认证、授权、计费(AAA)服务器240的传送/接收(Tx/Rx)信息的这些报文可以具有多种格式。

参照图2，如果MS 200期望进入网络，则MS 200从BS 220获取同步，并且执行与BS 220的测距。随后，在步骤S201中MS 200使用SBC-REG-/RSP报文与BS 200就它们的基本能力进行协商。也就是，在步骤S201中MS 200和BS执行基本能力协商。

下面的表1示出了关于MS和BS之间的基本能力协商的示例性SBC-REG/RSP报文。

[表1]

SBC-REQ/RSP{
	必需参数
所支持的物理参数
	带宽分配支持
选择性参数
	用于构造和传送MAC PDU的能力
PKM流控制
	授权策略支持
所支持的安全关联的最大数目
	安全协商参数
HMAC-CMAC元组
	}

在表1中，在初始化期间由移动站(MS)传输订户站基本请求(SBC-REQ)报文。响应于SBC-REQ报文，基站(BS)向移动站(MS)传送订户站基本响应(SBC-RSP)报文。SBC-REG/RSP报文用于MS和BS之间的基本能力协商。

在测距处理之后执行基本能力协商，使得MS可以通过该基本能力协商向BS传输其自身的基本能力。在表1中，SBC-REG/RSP报文不仅可以包括强制参数，而且可以包括可选参数。

安全关联(SA)指示了BS和至少一个MS之间共享的安全信息单元的集合，以便于向基于IEEE 802.16的网络提供安全通信。可以与表1的安全关联(SA)相关联地使用授权策略支持字段和安全协商参数。

授权策略支持字段是SBC-REG/RSP报文中包含的字段中的一个，并且描述了必须在MS和BS之间协商的授权策略，并且MS和BS之间必须建立授权策略的同步。如果省略了授权策略支持字段，则MS和BS必须使用具有X.509证书的IEEE 802.16安全和RSA公钥算法。

下面的表2示出了一般的授权策略支持字段的示例。

[表2]

安全协商参数字段指示了是否支持安全能力，该安全能力必须在初始授权过程或重新授权过程之前协商。

下面的表3示出了一般的安全协商参数字段的示例。

[表3]

同时，表3的PKM版本支持字段描述了PKM版本。也就是，移动站(MS)和基站(BS)彼此协商以仅使用一个PKM版本。

下面的表4示出了一般的PKM版本支持字段的示例。

[表4]

类型	长度	值
			25.1	1	位#0：PKM版本1 位#1：PKM版本2 位#2-7：预留的值，设定为0

回来参照图2，MS 200经由BS 220从AAA服务器240请求可扩展认证协议(EAP)。响应于来自MS 200的该请求，在步骤202中AAA服务器240通过向MS 200应用EAP认证方法来执行用户认证。

作为EAP认证方法的示例，EAP-TLS可以使用X.509证书。EAP-SIM可以使用具有诸如订户身份模块(SIM)的特定格式的信用担保。然而，也可以根据***要求使用RSA认证方法，该RSA认证方法使用基于公钥算法的加密算法。

在步骤S202中，如果已成功执行MS认证(或者用户认证)，则AAA服务器240使用基于EAP的认证方法生成主会话密钥(MSK)。在步骤S203和S204中AAA服务器向MS和BS传送MSK。

在步骤205中可以根据PMK方案(即，基于EAP的认证方案)从MS 200和BS 220生成授权密钥(AK)。MS 200和BS 220可以使用MSK生成AK，并且可以使用AK生成业务加密密钥(TEK)用于MS 200和BS 220之间的通信。

在步骤S206中MS 200和BS 220通过三向握手来共享TEK。该三向握手是通过三步骤握手来执行的，该三步骤握手是由SA-TEK挑战步骤、SA-TEK请求步骤和SA-TEK响应步骤组成的。在该情况中，生成用于对实际数据进行加密的TEK，使得MS 200和BS 200共享所生成的TEK。

在步骤S207中已使用认证过程生成AK的BS 220和MS 200共享TEK并且随后执行网络进入过程。

发明内容

技术问题

通常，无线接入***不了解与异类无线接入网络之间的切换(即，交互RAT切换)相关联的安全关联的细节。例如，如果使用IEEE 802.16网络的MS被切换到另一无线接入***，则上述无线接入***不具有用于建立认证和安全关联(SA)的方法。

如果在一般的通信环境下执行多模式MS的交互RAT切换，则多模式MS必须在执行朝向新的网络的第二层切换的同时执行新的认证和加密密钥获取过程。该获取过程可能遇到用户服务提供中的相当大的延迟，并且有可能丢失数据。

如果移动站从一个无线接入网络切换到另一无线接入网络并且其接入点改变为另一接入点，则该切换可能破坏服务连续性。接入点的该改变可能致使管理域的改变。该管理域的改变需要新的认证过程，并且认证过程生成的处理时间的延迟使切换过程的完成延迟，使得在当前接收到的多媒体会话中可能不期望地出现严重的问题。

本发明已被设计用于解决上述的技术问题。也就是，本发明提供了一种用于在数个管理域管理的交互RAT切换期间通过预认证来建立安全关联(DA)的方法。

本发明的目的在于提供一种在多个管理域管理的通信网络之间的交互RAT切换期间的预认证方法。

本发明的另一目的在于提供一种用于允许不同的接入网络之间的接入的方法，以支持异类网络之间的切换(即，交互RAT切换)，导致用户环境的改进。

技术方案

为了解决上述的技术问题，本发明涉及一种无线接入***，更具体地，涉及一种用于不同的管理域管理的交互RAT切换的预认证方法。

为了实现这些目的和其他优点并且根据本发明的目的，如这里体现和广泛描述的，一种用于在切换之前执行预认证以便于快速地执行交互无线电接入技术(交互RAT)切换的方法，该方法包括：a)向目标认证服务器传送包括预认证所需要的移动终端信息的报文；b)从目标认证服务器接收第一安全关联信息，其中第一安全关联信息是通过目标认证服务器使用移动终端信息生成的；以及c)使用第一安全关联信息生成第二安全关联信息，其中第二安全关联信息将由移动终端在目标网络中使用；以及d)执行预认证。

移动终端信息可以包括定义预认证的特定信息、服务网络的标识符、服务认证服务器的标识符、目标网络的标识符、和移动终端的标识符、以及移动终端的媒体接入控制(MAC)地址中的至少一个。

第一安全关联信息可以包括随机数(RAND)、认证令牌(AUTN)、报文认证代码(MAC)和受保护的假名信息中的至少一个。

第二安全关联信息是通过移动终端中的完整性密钥和密码密钥生成的。

在本发明的另一方面，提供了一种用于在切换之前执行预认证以便于快速地执行交互无线电接入技术(交互RAT)切换的方法，该方法包括：向目标认证服务器传送预认证所需要的移动终端信息，其中移动终端信息是从移动终端接收到的；向移动终端传送第一安全关联信息，其中第一安全关联信息是从目标认证服务器接收的；以及向目标认证服务器传送第二安全关联信息，其中第二安全关联信息是从移动终端接收的。

在本发明的另一方面，提供了一种用于在切换之前执行预认证以便于快速地执行交互无线电接入技术(交互RAT)切换的方法，该方法包括：a)接收具有终端信息的报文；b)从归属订户服务器(HSS)提取可用于目标网络的认证信息；c)使用移动终端信息和认证信息生成目标网络的第一安全关联信息；d)向移动终端传输目标网络的安全关联信息。

该方法可以进一步包括：在执行步骤d)之后，e)接收移动终端的安全关联信息，其中安全关联信息是使用目标网络的安全关联信息生成的；f)向目标网络认证器传输具有目标网络的安全关联信息的报文；以及g)执行移动终端和目标网络之间的切换。

包括第一安全关联信息的报文可以经由目标网络认证器被清楚地传输到移动终端。

包括第二安全关联信息的报文可以经由目标网络认证器和服务认证器被传输到移动终端。

第一安全关联信息与目标认证服务器相关联，而第二安全关联信息与移动终端相关联。

有利效果

本发明具有如下第一和第二效果。

根据第一效果，如果移动站执行异类网络之间的切换(即，交互RAT切换)，在切换之前执行消耗长时间段的认证过程，使得可以建立关于有线或无线通信的迅速的安全关联(SA)。结果，本发明提供了无缝服务，使得其可以防止服务质量(QoS)劣化。

根据第二效果，如果多模式移动站从第一基于IEEE的网络移动到第二基于IEEE的网络或者执行从第一基于IEEE的网络到非基于IEEE的网络的交互RAT切换，则本发明提供了一种用于执行预认证并且获取安全关联密钥资料(keying material)的方法。因此，本发明支持快速地执行切换过程，使得其可以向用户提供无缝服务。

附图说明

所包括的用于提供对本发明的进一步的理解的附图图示了本发明的实施例并且连同描述一起用于解释本发明的原理。

在附图中：

图1是图示用于执行切换和初始网络进入处理的方法的流程图；

图2是图示用于允许一般的IEEE 802.16***对移动站(MS)进行认证的方法的流程图；

图3是图示根据本发明的一个实施例的用于允许移动终端在交互RAT切换期间执行间接预认证的方法的流程图；

图4是图示根据本发明的一个实施例的用于允许移动终端在交互RAT切换期间执行直接预认证的方法的流程图；

图5是图示根据本发明的另一实施例的用于允许移动终端在交互RAT切换期间执行间接预认证的方法的流程图；以及

图6是图示根据本发明的另一实施例的用于允许移动终端在交互RAT切换期间执行直接预认证的方法的流程图。

具体实施方式

现将详细参照本发明的优选实施例，在附图中图示了这些优选实施例的示例。

下面的本发明的实施例涉及一种无线接入***，并且涉及一种用于由不同的管理域管理的交互RAT切换的预认证方法。

通过根据预定的格式组合本发明的组成元件和特征，提出了下面的实施例。如果不存在另外的注释，则各个组成元件或特征应被视为是可选的因素。如果需要，各个组成元件或特征可以不与其他元件或特征组合。而且，一些组成元件和/或特征可以被组合以实现本发明的实施例。本发明的实施例中公开的操作的顺序可以改变为另一顺序。任何实施例的一些元件或特征也可以包括在其他实施例中，或者可以按照需要用其他实施例的元件或特征替换。

上述的本发明的实施例是基于基站和移动站之间的数据通信关系而公开的。在该情况中，基站被用作网络的终端节点，基站经由该网络可以直接与移动站通信。本发明中的将由基站进行的特定操作也可以按照需要由基站的上节点进行。

换言之，对于本领域的技术人员显而易见的是，用于使基站能够在由包括该基站的数个网络节点组成的网络中与移动站通信的各种操作将由基站或者基站以外的其他网络节点进行。术语“基站”可以按照需要由固定站、Node-B、eNode-B(eNB)或接入点替换。术语“移动站”可以按照需要由用户设备(UE)、移动站(MS)、移动订户站(MSS)和移动节点(MN)替换。

下面的本发明的实施例可以通过多种手段实现，例如硬件、固件、软件或者它们的组合。

在通过硬件实现本发明的情况中，本发明可以通过专用集成电路(ASIC)、数字信号处理器(DSP)、数字信号处理器件(DSPD)、可编程逻辑器件(PLD)、现场可编程门阵列(FPGA)、处理器、控制器、微控制器、微处理器等实现。

如果本发明的操作或功能由固件或软件实现，则本发明可以被实现为具有各种格式的形式，例如，模块、进程、函数等。软件代码可以存储在存储器单元中，从而其可由处理器驱动。存储器单元位于处理器内部或外部，从而其可以经由各种公知的部件与前述处理器通信。

本发明的实施例可以由作为无线接入***的IEEE 802***、3GPP***、3GPP LTE***和3GPP2***中的至少一个的标准文献支持。就是说，出于清楚地描述本发明的技术思想的目的而未在本发明的实施例中描述的步骤或部分可由标准文献支持。对于本公开中使用的所有术语，可以参照标准文献。特别地，本发明的实施例可以由作为IEEE802.16***的标准文献的P802.16-2004、P802.16e-2005和P802.16Rev2中的至少一个支持。

在描述本发明之前，应注意到，本发明中公开的特定术语被提出用于便于描述以及更好地理解本发明，并且在本发明的技术范围或精神内这些特定术语的使用可以变为另一种格式。

下面的本发明的实施例涉及预认证方法。根据该预认证方法，如果移动站执行交互RAT切换，则移动站在切换到目标接入点(用于链路层中的切换)之前执行预认证，使得服务质量(QoS)不太受到该预认证的影响。

在由单个管理域管理的同类通信环境下，本发明可以在不使用AAA服务器的情况下支持切换。然而，在由数个管理域管理的异类通信环境下，由于根据认证类型和AAA服务器能力可能生成不同的认证结果，因此本发明必须使用AAA服务器执行切换。例如，如果在基于基于EAP认证的IEEE 802.11网络和IEEE 802.16网络之间生成切换，并且这两个接入网络由单个管理域操作，则该切换没有问题。然而，如果由数个管理域管理异类网络，则不存在不需要通过每个管理域的AAA服务器的切换机制。因此，应针对其中由数个管理域管理异类网络的特定情况定义灵活的和有效的认证机制。

因此，根据下面的本发明的实施例，如果移动站从基于EAP认证架构的IEEE 802.16无线接入网络切换到诸如适应基于EAP的认证架构的无线LAN的基于IEEE 802的无线接入网络或者未将EAP选作基本认证架构的非基于IEEE的无线接入网络(例如，3GPP网络)，则移动站在执行朝向目标网络接入点的链路层切换之前执行预认证，并且建立用于通信的密钥资料。换言之，根据本发明，如果移动站执行异类网络之间的切换(即，交互RAT切换)，则其在进入新的接入点之前执行消耗长时间段的认证过程，使得其可以建立用于通信的迅速安全关联。

根据预认证的基本概念，移动站在执行切换之前向当前接入点和相邻接入点传送认证请求，并且从数个接入点接收认证信息。也就是，根据本发明的预认证方法，如果通过常规概念的延伸而发生交互RAT切换，则可以在当前接入网络和相邻目标接入点中对移动站执行预认证。因此，在预认证的最后的步骤中，目标接入网络可以获取与相应的移动站关联的密钥资料。而且，可以在具有切换可能性的目标接入网络中对移动站进行预认证，并且同时移动站可以获得密钥资料。

根据本发明的实施例的预认证方法被设计用于由数个管理域管理的交互RAT切换。也就是，其中将执行来自服务网络的切换的目标网络基于不同的管理域而基于不同的接入技术。因此，服务网络和目标网络必须基本地支持交互RAT切换操作。

根据该预认证方法，在移动站获得对目标网络的接入之前，需要对移动站进行预认证并且所有接入技术需要支持EAP。不支持EAP认证框架的接入技术必须使用认证、认证和计费(AAA)服务器用于接替上述的接入技术，并且服务网络的第一AAA服务器和目标网络的第二AAA服务器必须支持预认证过程。

根据本发明的实施例，异类网络不仅可以包括具有IEEE 802.16网络的适应EAP认证架构的基于IEEE 802的网络，而且可以包括非IEEE网络(例如，3GPP和3GPP2网络)中规定的链路。移动站使用的多模式提供了数个无线电标准，并且同时支持到一个或多个无线电接口的连接。

IEEE 802.16m***必须满足关于异类网络之间的切换的要求。在该情况中，具有数个无线电接口的多模式移动站可以辨认将执行到其的切换的相邻网络的类型或者切换关联信息。基于所辨认的信息，移动站可以从其中将执行切换的目标网络请求预认证。而且，如果本发明已被成功实施，则移动站可以从相应的网络获取可用的密钥资料。

在测距结束之后，通过在移动站和基站之间交换SBC-REQ和SBC-RSP报文，执行IEEE 802.16***的基本能力协商。在该情况中，移动站可以使用SBC-REQ报文向服务网络通知其自身的基本能力。响应于SBC-REQ报文，基站向移动站传送SBC-RSP报文，使得其可以向移动站通知移动站和基站之间的共同能力信息。

为了执行本发明提出的预认证方法，在SBC-REQ和SBC-RSP报文中的每一个中可以进一步包含“交互RAT重新授权策略支持”参数。

下面的表5示例性地示出了根据本发明的经修改的SBC-REQ和SBC-RSP报文。

[表5]

SBC-REQ/RSP{
	必需参数
所支持的物理参数
	带宽分配支持
选择性参数
	用于构造和传送MAC PDU的能力
PKM流控制
	授权策略支持
交互RAT预认证策略支持
	所支持的安全关联的最大数目
安全协商参数
	HMAC-CMAC元组
}

在表5中，添加到SBC-REQ和SBC-RSP报文中的每一个的“交互RAT预授权策略支持”参数定义了在将移动站切换到其他管理域的不同的无线接入网络时的预认证策略。必须在移动站和基站之间对预认证策略进行协商，并且必须通过该预认证策略调整移动站和基站之间的同步。本发明的“交互RAT预授权策略支持”参数按与常规的授权策略支持参数中相同的方式包含在SBC-REQ和SBC-RSP报文的编码处理中。

如果“交互RAT预授权策略支持”参数被省略，则移动站和服务网络不支持预认证方法。在该情况中，移动站和基站不执行预认证方法，使得它们执行一般的授权方法。换言之，移动站和基站使用IEEE 802.16安全作为基本授权策略，其中IEEE 802.16安全使用X.509证书、RSA公钥加密算法或者EAP。因此，如果移动站被切换到除IEEE 802.16网络以外的另一接入网络，则其必须在最初由目标网络的AAA服务器进行认证并且必须获取安全关联的密钥资料。

下面的表6示例性地示出了根据本发明的“交互RAT预授权策略支持”参数的类型、长度和值(TLV)。

[表6]

类型	长度	值	范围
					1	位0：支持IEEE 802.16m私密位1-7：预留，将被设定为0	SBC-REQ， SBC-RSP

在表5中，当移动站执行到异类网络的切换时，“安全协商参数”字段应包括必须在预授权过程之前进行协商的安全能力信息。因此，可以如下面的表7中所示修改“安全协商参数”字段。

下面的表7呈现了本发明的实施例使用的“安全协商参数”字段的TLV。

[表7]

下面的表8示出了经修改的“交互RAT授权策略支持”字段的TLV。

[表8]

类型	长度	值
				1	位#0：交互RAT切换时的基于RSA的预授权位#1：交互RAT切换时的基于EAP的预授权位#2-7：预留的值，将被设定为0

参照图8，经修改的“授权策略支持”字段可以指示在交互RAT切换期间是否可以支持基于RSA的预认证策略，或者可以指示是否可以支持基于EAP的预认证策略。

下面的表9呈现了表7中包含的“私密密钥管理(PKM)版本支持”字段的TLV。

[表9]

类型	长度	值
			25.1	1	位#0：PKM版本1 位#1：PKM版本2 位#2：PKM版本3 位#3-7：将被设定为0

通过扫描操作实现将执行到其的切换的相邻网络的类型或相邻网络信息。扫描操作或扫描时段的起点可以根据实际网络的实现方案或者其操作策略而改变为另一起点。假设本发明可以支持移动站的多个模式(即，多模式)，使得移动站可以同时使用数个无线电标准，并且同时可以支持到一个或多个无线电接口的连接。

为了实现本发明的实施例，需要一些安全要求。例如，多模式移动站可以使用用于支持交互RAT切换的IEEE 802.16网络关联信息，并且还可以使用与除了IEEE 802.16网络以外的3GPP网络关联的信息。在除了IEEE 802.16网络以外的异类网络(例如，3GPP网络)的情况中，在移动站和网络之间在长时间段中共享的安全上下文(例如，私钥)必须被稳定地存储在移动站的SIM或UICC卡中。而且，非IEEE网络(例如，3GPP网络)必须与能够支持受保护的认证的成功或失败的基于EAP的AAA服务器关联。而且，IEEE 802.16网络必须具有关于3GPP网络或其他异类网络的漫游协定，使得其可以与3GPP网络或其他异类网络交互。而且，在服务网络的第一AAA服务器和目标网络的第二AAA服务器之间交换的指示认证的成功或失败或者任何安全上下文的信息必须受到保护。换言之，授权关联信息必须在第一和第二AAA服务器之间安全地交换。此外，为了保护用户标识符(例如，IMSI、TMSI)，不需要暴露用户标识符。

为了执行关于交互RAT切换的预认证过程，可以实现各种PKM报文(例如，PKM请求(PKM-REQ)和PKM响应(PKM-RSP)报文)。

下面的表10～12呈现了示例性PKM报文。

下面的表10示例性地示出了PKM MAC报文。

[表10]

类型值	报文名称	报文描述
			9	PKM-REQ	私钥管理请求[SS-＞BS]
10	PKM-RSP	私钥管理响应[BS-＞SS}

参照表10，当订户站(SS)从基站(BS)请求PKM时使用PKM-REQ报文。当基站(BS)响应于PKM-REQ报文生成PKM响应时使用PKM-RSP报文。

下面的表11示例性地示出了可用于本发明的实施例的PKM-REQ报文。

[表11]

语法	尺寸	内容
			PKM-REQ报文格式(){
管理报文类型＝9	8位
			代码	8位
PKM标识符	8位
			TLV编码属性	可变	特定于TLV
}

参照表11，“管理报文类型”参数具有8位的尺寸，并且表示相应的报文是PKM-REQ报文。“代码”参数具有1个字节，并且可以表示PKM分组的类型。在从订户站(SS)接收到具有不适当的代码的PKM-REQ报文时，基站(BS)可以无任何改变地删除该PKM-REQ报文。“PKM标识符”参数具有1个字节的长度，使得订户站(SS)可以使用“PKM标识符”参数回答PKM-REQ报文。

“TLV编码属性”参数使用TLV(类型、长度、值)信息指示PKM-REQ报文的属性。因此，可以使用“TLV编码属性”参数在订户站(SS)和基站(BS)之间交换认证、授权和密钥管理数据。各个PKM分组类型具有唯一的强制性或选择性属性。如果在PKM属性中未明确地描述PKM报文中包含的属性的顺序，则可以可选地决定PKM报文中包含的属性的顺序。

下面的表12示例性地示出了可用于本发明的实施例的PKM-RSP报文。

[表12]

语法	尺寸	内容
			PKM-RSP报文格式(){
管理报文类型＝10	8位
			代码	8位
PKM标识符	8位
			TLV编码属性	可变	特定于TLV
}

表12中包含的参数的内容与表11中的相似。

参照表12，“管理报文类型”参数具有8位的尺寸，并且表示相应的报文是PKM-RSP报文。“代码”参数可以表示PKM类型，如果基站(BS)从基站(BS)接收到具有任何不适当的代码的PKM分组，则其可以无任何改变地删除接收到的PKM分组。通过“PKM标识符”参数，基站(BS)的PKM-RSP报文可以与订户站(SS)的PKM-REQ报文相关。“TLV编码属性”参数可以适于表示PKM-RSP报文的属性。

下面的表13示出了针对可用于本发明的实施例的预认证方法添加的PKM报文代码。

[表13]

代码	PKM报文类型	MAC管理报文
			0-2	预留	-
3	SA添加	PKM-RSP
			4	认证请求	PKM-REQ
5	认证答复	PKM-RSP
			6	认证拒绝	PKM-RSP
...	...	...
			26	PKMv2SA添加	PKM-RSP
27	PKMv2TEK无效	PKM-RSP
			28	PKMv2群组密钥更新命令	PKM-RSP
29	PKMv2EAP完成	PKM-RSP
			30	PKMv2认证EAP开始	PKM-REQ
31	PKMv3EAP预认证开始	PKM-REQ
			32	PKMv3EAP预认证传输	PKM-RSP
33	PKMv3密钥请求	PKM-RSP
			34	PKMv3密钥答复	PKM-REQ
35	PKMv3密钥拒绝	PKM-REQ/ PKM-RSP

36	PKMv3认证EAP预认证开始	PKM-REQ
			37	PKMv3认证EAP预认证传输	PKM-REQ/ PKM-RSP
38	PKMv3EAP预认证完成	PKM-RSP
			39-255	预留

如表13中所示，一些新定义的报文被添加到PKM报文代码。具有0至30的代码编号的PKM报文代码指示一般的PKM报文。在该情况中，用于本发明的实施例中的PKM报文代码编号等于31至38的代码编号。也就是，用于本发明中的PKM报文代码等于第30至第38PKM报文。

第31PKM报文代码指示PKM报文是“PKMv3EAP预认证开始”报文，而第32PKM报文代码指示用于本发明中的关于“PKMv3EAP 传输”的PKM报文。而且，第33PKM报文代码可以适于表示关于“PKMv3密钥请求”的PKM报文。第34PKM报文代码指示关于密钥答复的PKM报文。第35PKM报文代码指示关于密钥拒绝的PKM报文。第36PKM报文代码指示“PKMv3认证的EAP预认证开始”。第37报文代码指示“PKMv3认证的EAP预认证传输”。第38PKM报文代码指示“PKMv3EAP预认证完成”。

根据本发明的实施例，服务网络的订户站(SS)可以在切换到目标网络之前执行预认证过程。每个目标网络操作和管理唯一的AAA服务器，并且认证功能包含在AAA服务器中。根据本发明的用于执行SS、服务网络和AAA服务器之间的预认证的方法可以被分类为间接预认证方法和直接预认证方法。也就是，上述的预认证方法可以根据用于控制服务AAA服务器参与预认证信令的各种方法而改变。

当服务网络参与预认证信令时执行间接预认证方法。当由于安全问题不允许目标网络和SS之间的IP通信时，需要间接预认证方法。间接预认证信令方法可以被分类为订户站(SS)和服务网络之间的信令方法以及服务网络和目标网络之间的另一信令方法。在该情况中，服务网络和目标网络之间的信令方法可以包括服务网络的AAA服务器和目标网络的另一AAA服务器。

当服务网络未参与预认证信令时执行直接预认证方法。请求直接预认证指示了移动节点(MN)经由服务AAA服务器向目标网络传送预认证请求，并且服务AAA服务器用作报文的中继而不参与预认证过程。因此，预认证信令可以经由服务AAA服务器从移动节点(MN)传输到目标AAA服务器。

在下面的附图中，每个箭头的起点指示从其传输每个报文的实体，而每个箭头的终点指示接收每个报文的目的地的另一实体。然而，移动终端或者接入网络中包含的实体之间的所有报文传送路径将不会被描述，并且为了便于描述将有选择地描述实体之间的仅仅一些报文传送路径。毋庸置言，应当注意，通过参照附图将容易地理解其他未被解释的部分。

图3是图示根据本发明的一个实施例的用于允许移动终端在交互RAT切换期间执行间接预认证的方法的流程图。

参照图3，根据本发明的***可以包括移动节点(MN)300、用作服务网络的IEEE 802.16认证器320、用作服务AAA服务器的IEEE802.16AAA服务器(802.16AAA服务器)340、用作目标AAA服务器的3GPP AAA服务器360、目标网络的归属订户服务器(HSS)380、以及用作目标网络的3GPP接入网络390。

在该情况中，移动节点(MN)300还可以被称为移动站(MS)或移动终端等。服务网络指示正在向移动节点(MN)提供服务的网络，而目标网络指示移动节点(MN)将切换到的目标网络。

在图3中，每个***的组成元件可以包括一个或多个实体。例如，移动节点(MN)300可以包括安全实体、IP实体、802.16链路实体和3GPP链路实体。在该情况中，移动节点(MN)300包括UICC/USIM以支持交互RAT切换，使得其可以使用可与IEEE 802.16网络互操作的特定信息和关于3GPP网络的信息。

而且，服务网络(802.16认证器)320可以包括802.16链路实体、网络控制和管理***(NCMS)实体和安全实体。而且，目标网络(3GPP认证器)390可以包括3GPP链路实体和安全实体。

在图3中，每个箭头的起点指示从其传输每个报文的实体，而每个箭头的终点指示接收每个报文的目的地的另一实体。将仅在本发明的特征部分中描述每个报文的传送路径。毋庸置言，应当注意，通过参照附图将容易地理解其他未被解释的部分。

在图3中，移动节点(MN)在当前服务网络上向目标网络的AAA服务器传送预认证开始报文(预认证开始)。目标AAA服务器对移动节点(MN)进行预认证，并且将预认证结果传送到服务网络和目标网络。为了执行上述的预认证，假设本发明使用EAP认证和密钥协定(EAP-AKA)方法，并且下面将详细描述EAP-AKA方法的详细描述。

参照图3，在步骤S301中，移动节点(MN)300获得到服务网络320的访问，并且可以经由基于EAP的认证来执行主会话密钥(MSK)和授权密钥(AK)共享处理并且经由3向握手来执行业务加密密钥(TEK)共享处理。

上述步骤S301与图2的认证过程相似，使得将参照图2描述其详细描述。如果服务网络不是IEEE 802.16网络而是另一基于IEEE 802的网络，则可以执行基于EAP的相似的初始认证过程。

已与服务网络执行认证过程的移动节点(MN)300通过扫描操作从相邻异类网络接收信号，检测相邻网络，并且选择所检测到的相邻网络。

通过上述步骤S302的扫描结果，假设移动节点(MN)将由另一管理域管理的网络确定为潜在的切换目标网络。在该实施例中，假设3GPP网络将被用作异类网络。

为了执行移动节点(MN)和目标网络390之间的预认证，移动节点(MN)能够向服务网络320传输“PKM EAP预认证开始”报文。

例如，用作移动节点(MN)300的上实体的安全实体向802.16链路实体传送预认证请求，移动节点(MN)的802.16链路实体向服务网络320的802.16链路实体传送预认证请求报文，并且服务网络320的 802.16链路实体向服务网络320的安全实体传送预认证请求报文。而且，在步骤S303中服务网络320的安全实体可以经由服务网络的AAA服务器向目标网络的AAA服务器360传输预认证请求报文。

在步骤S303中，EAP关联报文被利用IEEE 802.16网络中的服务网络的独特协议封装，并且经由服务网络接口被传输到移动节点(MN)。EAP报文被利用在从服务网络认证器到目标网络认证器和目标AAA服务器的范围中的AAA协议封装，并且所封装的EAP报文被传输。

下面的表14示出了可用于上述步骤S303的PKM预认证开始(PKM预认证开始)报文的属性。

[表14]

属性	内容
		服务网络标识符	当前接入网络标识符
服务AS标识符	当前服务网络AAA服务器的标识符
		目标网络标识符	目标接入网络的标识符
SS标识符	国际移动订户身份(IMSI)
		SS MAC地址	订户站(SS)的MAC地址
安全能力	诸如SS支持的认证方法的安全能力
		安全协商参数	应在预认证之前协商的安全能力
密钥序列号	AK序列号
		HAMC/CMAC摘要	AK计算的报文摘要

表14示出了用于允许订户站(SS)或移动节点(MN)请求预认证的PKM预认证开始报文。用作PKM报文中的一个的PKM预认证开始报文可以包括各种信息(即移动节点信息)，例如，“当前接入网络标识符”、“当前接入网络AAA服务器的标识符”、“目标接入网络的标识符”、“国际移动订户身份(IMSI)”、“订户站的MAC地址”、订户站(SS)支持的“安全能力”、和“在‘预认证’之前协商的安全能力”。

在步骤S303中已接收到预认证开始(预认证开始)报文的目标AAA服务器(3GPP AAA服务器)360向服务网络320传送“EAP预认证请求/身份”报文。而且，服务网络320向移动节点(MN)300传送“EAP预认证请求/身份”报文。在该情况中，利用服务网络320的独特协议封装“EAP预认证请求/身份”报文，并且经由IEEE 802.16接口将封装的“EAP预认证请求/身份”报文传输到移动节点(MN)300。

移动节点(MN)300可以经由“EAP预认证响应/身份”报文传输其自身的标识符。移动节点(MN)标识符的该传输与3GPP TS 23.003中规定的网络接入标识符(NAI)匹配。“EAP预认证响应/身份”报文可以包括定义预认证的值、当前接入网络320的标识符、当前接入网络AAA服务器340的标识符、和移动节点(MN)300的MAC地址。“EAP响应/身份”报文经由移动节点(MN)300的802.16链路被从移动节点(MN)300的安全实体传输到服务网络(802.16认证器)320的802.16链路。而且，在步骤S305中“EAP预认证响应/身份”报文经由服务网络的802.16链路通过服务网络的安全实体和服务AAA服务器，并且随后被传输到目标AAA服务器。

在步骤S305中，根据NAI的领域(realm)部分经由当前服务AAA服务器340向相邻3GPP AAA服务器传输报文，并且该报文的传送路径可以包括一个或多个AAA服务器。

在步骤S305中，目标AAA服务器(3GPP AAA服务器)360接收具有移动节点(MN)300的标识符的“EAP预认证响应/身份”报文。在该情况中，如果目标AAA服务器350辨认出来自移动节点(MN)300的“EAP预认证开始”报文中包含的认证方法而未辨认出移动节点 (MN)300的标识符，则目标AAA服务器360可以要求移动节点(MN)300使用移动节点(MN)300定义的EAP方法传输新的标识符。

在该情况中，如果目标AAA服务器360辨认出移动节点(MN)300的标识符，则其可以检查未被用于执行关于相应终端的EAK-AKA认证的认证参数的存在或不存在。如果不存在认证参数，则在步骤S306中目标AAA服务器360可以提取新的认证参数。

在步骤S306中，目标AAA服务器360执行关于移动节点(MN)300的临时移动订户身份(TMSI)/国际移动订户身份(IMSI)和MAC地址的映射。在执行一次认证之后，通过EAP-AKA方法选择的IMSI可以被用作移动节点(MN)300的标识符。

在步骤S307中目标AAA服务器360可以经由“EAP预认证请求/AKA身份”报文再次请求移动节点标识符。

在步骤S307中，当经由“EAP预认证响应/身份”报文接收到的移动节点(MN)标识符被中间节点改变为另一标识符时，执行“EAP预认证请求/AKA身份”报文的上述操作。如果移动节点(MN)标识符未被这些中间节点改变为另一标识符，则可以省略“EAP预认证请求/AKA身份”报文的操作。“EAP预认证请求/AKA身份”报文可以经由服务网络320被传输到移动节点(MN)300。

移动节点(MN)300使用与“EAP预认证响应/身份”报文相同的标识符来回答“EAP预认证请求/AKA身份”报文。在该情况中，在步骤S308中服务网络320向目标AAA服务器360传送“EAP预认证响应/AKA身份”报文，并且在目标AAA服务器360的下一个认证过程中可以使用上述报文中包含的标识符。

步骤S307的报文中包含的标识符可能不同于步骤S308的报文中包含的标识符。在该情况中，不能使用已从HSS 380(或HLR)提取的用户简档和认证简档，从而必须从HSS 380提取新的简档和新的认证向量。

目标AAA服务器360从完整性密钥(IK)和密码密钥(CK)生成新的密钥资料。密钥资料指示EAP-AKA请求的安全关联上下文，并且用于保护目标网络(即，3GPP网络)技术的独特的机密性或完整性。而且，在步骤S309中生成将被分配给已认证用户的新的假名。

在步骤S309之前可以再次执行步骤S306。当目标AAA服务器360不具有用以将用户识别为EAP-AKA用户的足够信息时，在提取用户简档和认证向量之前必须执行用于性能最优化的标识符重新请求步骤S307至S308。

目标AAA服务器360包括“EAP预认证请求/AKA挑战”报文中的随机数(RAND)、认证令牌(AUTN)、报文认证代码(MAC)和受保护的假名，并且得到的“EAP预认证请求/AKA挑战”报文可以被传输到服务网络320。在步骤S310中“EAP预认证请求/AKA挑战”报文可以在服务网络30上被传输到移动节点(MN)300。

在步骤S310中，目标AAA服务器360包括“EAP预认证请求/AKA挑战”报文中的“结果指示”参数，使得得到的“EAP预认证请求/AKA挑战”报文可以被传输到移动节点(MN)300。“结果指示”参数指示在认证过程结束时是否将保护“成功结果”报文。结果报文的保护或不保护取决于运营商策略。如果在各个结果报文中包含CK和IK并且得到的报文被传输到服务网络的AAA服务器340，则服务AAA服务器生成另外的密钥资料，使得通过另外的密钥资料可以确保服务网络的独特机密性或完整性。

移动节点(MN)300可以执行其自身的USIM中包含的UMTS算法。移动节点(MN)的通用订户身份模块(USIM)确定AUTN是否是正确的，并且根据确定结果执行网络认证。如果AUTN是错误的，则移动节点(MN)300未能执行认证。换言之，如果序列号不是同步的(即，非同步)，则移动节点(MN)300开始执行同步过程。如果AUTN是正确的，则USIM生成RES、IK和Kc。移动节点(MN)300使用USIM中计算的“IK”和“Kc”值生成另外的密钥资料，使得移动节点可以使用另外的密钥资料来检查接收到的MAC。在步骤S311中在接收到受保护的假名时，移动节点(MN)存储接收到的假名以执行下一认证过程。

在移动节点(MN)300使用新的密钥资料计算与EAP报文关联的新的MAC值时，其向服务网络320传送具有所计算的RES和MAC值的“EAP预认证响应/AKA挑战”报文。如果移动节点(MN)300从目标AAA服务器360接收到相同的“结果指示”参数，则该“结果指示”参数包含在“EAP预认证响应/AKA挑战”报文中。在该情况中，在步骤S312中“EAP预认证响应/AKA挑战”报文在服务网络320上被传送到目标AAA服务器360。

目标AAA服务器360检查接收到的MAC，并且将XRES与接收到的RES比较。结果，在步骤S313中目标AAA服务器360可以在移动节点(MN)300执行切换之前对移动节点(MN)300进行认证。

如果步骤S313的所有检查已被成功执行，则在步骤S314中目标AAA服务器360可以向目标网络390传送“3GPP特定安全上下文传输”报文以便于传输目标网络390中使用的安全上下文。

在步骤S314中，将目标网络390的安全关联参数从目标AAA服务器360传输到目标网络390。目标网络的安全关联参数指示在步骤S311中已关于相应的MN生成的认证向量。安全关联参数可以进一步包括与移动节点(MN)的IMSI和TMSI关联的信息，并且可以经由移动应用部分(MAP)协议传输。当目标网络390在未来将执行认证过程时，使用目标网络的独特的安全关联参数。不仅可以包括经由“3GPP特定安全上下文传输”报文传输的信息，而且可以另外包含用于保护目标网络390的独特机密性或者完整性的密钥资料。目标AAA服务器360经由AAA协议报文向目标网络390传输密钥资料。目标网络390存储密钥资料，使得其使用所存储的密钥资料与移动节点(MN)300通信。

如果目标AAA服务器360预先接收到使用受保护的“成功结果指示”的请求，则其在传送EAP成功报文之前在服务网络上向移动节点(MN)传送“EAP预认证请求/AKA通知”报文。在步骤S315中“EAP预认证请求/AKA通知”报文可以通过MAC保护。

在步骤S316中响应于“EAP预认证请求/AKA通知”报文，移动节点(MN)300可以向服务网络320传输“EAP预认证响应/AKA通知”报文。

在步骤S316中，服务网络320向目标AAA服务器传输“EAP预认证响应/AKA通知”报文，并且目标AAA服务器360可以忽视该“EAP预认证响应/AKA通知”报文的内容。

如果移动节点(MN)300已在目标网络390中被成功认证，则目标AAA服务器360向服务网络320传送“EAP成功”报文。而且，在步骤S317中服务网络320使用“EAP成功”报文向移动节点(MN)300通知认证成功。

如果“EAP AKA”过程已成功完成，则移动节点(MN)300执行到目标网络390的L2切换。在该情况中，移动节点(MN)可以基于在服务和目标网络的实体之间通过预认证而预先交换的信息来快速地执行上述的L2切换。换言之，当移动节点(MN)登记在目标网络390 中时，可以新执行其认证，并且可以省略密钥设置处理。如果L2切换已完成，则在步骤S318中移动节点(MN)的MAC层建立与接入点的安全关联(SA)并且准备好与接入点通信。

图4是图示根据本发明的一个实施例的用于允许移动终端在交互RAT切换期间执行直接预认证的方法的流程图。

参照图4，根据本发明的***可以包括移动节点(MN)400、用作服务网络的IEEE 802.16接入网络(802.16认证器)420、用作服务AAA服务器的IEEE 802.16AAA服务器(802.16AAA服务器)440、用作目标AAA服务器的3GPP AAA服务器460、目标网络的归属订户服务器(HSS)480、以及用作目标网络的3GPP接入网络(3GPP认证器)490。

在该情况中，移动节点(MN)400还可以被称为移动站(MS)或移动终端等。服务网络指示正在向移动节点(MN)提供服务的网络，而目标网络指示移动节点(MN)将切换到的目标网络。

在图4中，每个***的组成元件可以包括一个或多个实体。例如，移动节点(MN)400可以包括安全实体、IP实体、802.16链路实体和3GPP链路实体。在该情况中，移动节点(MN)400包括UICC/USIM以支持交互RAT切换，使得其可以使用可与IEEE 802.16网络互操作的特定信息和关于3GPP网络的信息。

而且，服务网络420可以包括802.16链路实体、网络控制和管理***(NCMS)实体和安全实体。而且，目标网络490可以包括3GPP链路实体和安全实体。

图4示出了其中移动节点(MN)向目标网络传送直接预认证请求的示例性情况。该请求直接认证指示了移动节点(MN)经由服务AAA 服务器向目标网络传送预认证请求，并且服务AAA服务器用作报文的中继而不参与预认证过程。在该情况中，预认证结果可以从目标AAA服务器传输到目标网络认证器。而且，假设本发明使用EAP-AKA认证方法来执行图4的前述预认证。

参照图4，在步骤S401中执行移动节点(MN)400和服务网络420之间的认证。也就是，在步骤S401中，多模式移动节点400获得到IEEE 802.16网络420的访问，并且可以经由基于EAP的认证来执行主会话密钥(MSK)和认证密钥(AK)共享处理并且经由3向握手来执行TEK共享处理。

上述步骤S401与图2的认证过程相似，使得将参照图2描述其详细描述。而且，如果IEEE 802.16认证器420被确定为另一基于IEEE 802的网络，则可以执行基于EAP的相似的初始认证过程。

随后，移动节点(MN)400通过扫描操作从相邻网络接收信号，检测相邻网络，并且选择所检测到的相邻网络。在步骤S402中，通过扫描结果，假设移动节点(MN)400将由另一管理域管理的3GPP网络确定为潜在的切换目标网络。

根据本发明的另一实施例，移动节点(MN)400可以直接向3GPP认证器490传输“PKM EAP预认证开始”报文。PKM EAP预认证开始报文包括移动节点信息。

而且，目标网络(3GPP认证器)490可以将从移动节点(MN)400接收到的“PKM EAP预认证开始”报文传输到目标AAA服务器460。该“PKM EAP预认证开始”报文可以包括各种信息(即移动节点信息)，例如，移动节点标识符、MAC地址、移动节点支持的认证方法、当前接入网络标识符、当前接入网络AAA服务器的标识符、移动节点支持的安全能力、以及将在预认证之前协商的安全能力信息。在该情况中，在步骤S403中，移动节点(MN)先前已拥有目标接入网络的标识符，使得不需要上述标识符包含在“PKM EAP预认证开始”报文中。

可用于上述步骤S403的EAP预认证开始报文可以在IEEE 802.16网络和3GPP网络中使用。因此，表14的PKM报文或者可用于3GPP网络的一般格式报文可以被用作预认证开始报文。移动节点(MN)400包括与“EAP预认证开始”报文中的3GPP TS 23.003中规定的网络接入标识符(NAI)匹配的标识符，使得得到的“EAP预认证开始”报文可以被传输到目标网络490。“EAP预认证开始”报文根据NAI的领域部分被传输到适当的目标AAA服务器460(例如，3GPP AAA服务器)，并且该报文的传送路径可以包括一个或多个AAA服务器。在步骤S403中，目标AAA服务器460可以接收具有移动节点(MN)400的标识符的“EAP预认证开始”报文。

在步骤S404中，在服务AAA服务器接收到上述“EAP预认证开始”报文之后，其可以经由目标网络认证器和服务网络认证器将“EAP预认证请求/身份”报文传输到移动节点(MN)400。

移动节点(MN)400能够经由“EAP预认证响应/身份”报文向目标AAA服务器传输其自身的标识符。在该情况中，假设移动节点标识符满足3GPP TS 20.003中规定的NAI。此外，指示预认证的值、当前接入网络的标识符、当前接入网络AAA服务器的标识符、目标接入网络的标识符和MN的MAC地址可以包含在“EAP预认证响应/身份”报文中。

“EAP预认证响应/身份”报文可以根据NAI的领域部分经由服务AAA服务器440被传输到目标AAA服务器460，并且其传送路径可以包括一个或多个AAA服务器。在步骤S405中，目标AAA服务器460可以接收具有NAI的“EAP预认证响应/身份”分组。

如果目标AAA服务器460辨认出关于从移动节点(MN)传输的预认证请求的认证方法而未辨认出移动节点标识符，则其可以使用移动节点(MN)中规定的认证方法来向移动节点(MN)400传输新的标识符。如果目标AAA服务器460辨认出移动节点(MN)400的标识符，则其确定接收到的MN标识符是否包括用于AKA认证的认证参数。如果不存在用于AKA认证的认证参数，则目标AAA服务器460可以向HSS 480传输“认证数据请求”报文。结果，目标AAA服务器460可以从HSS 480提取关于移动节点(MN)400的新的认证参数。

而且，在从3GPP AAA服务器460接收到“认证数据请求”报文时，HSS 480可以生成用于双向认证的新的认证数据。从HSS 480生成的认证数据的传送可以通过3GPP的独特的MAP协议来执行。而且，HSS 480执行关于移动节点(MN)400的TMSI和IMSI的映射。在步骤S406中，在执行一次认证之后，通过AKA方法选择的IMSI可以被用作移动节点(MN)400的标识符。

3GPP AAA服务器可以经由“EAP预认证请求/AKA身份”报文来再次请求移动节点标识符。当经由“EAP预认证响应/身份”报文接收到的移动节点标识符被中间节点改变为另一标识符时，执行该请求动作。如果移动节点标识符未被这些中间节点改变为另一标识符，则可以省略该请求动作。在步骤S407中可以经由3GPP认证器和IEEE802.16认证器420将“EAP预认证请求/AKA身份”报文传输到移动节点。

移动节点(MN)400使用与“预认证响应/身份”报文相同的NAI来回答“EAP预认证请求/AKA身份”报文。IEEE 802.16网络的认证器可以经由3GPP认证器将“EAP预认证响应/AKA身份”报文传输到3GPP AAA服务器。在步骤S408中3GPP AAA服务器可以在下一个认证过程中使用“EAP预认证响应/AKA身份”报文中包含的标识符。

如果经由“EAP预认证请求/AKA身份”报文接收到的标识符不同于经由“EAP预认证响应/AKA身份”报文接收到的其他标识符，则不能使用已从HSS/HLR提取的用户简档和认证简档，从而必须从HSS/HLR提取新的简档和新的认证向量。在步骤S409之前可以再次执行步骤S406。当3GPP AAA服务器不具有用以将用户识别为EAP_AKA用户的足够信息时，在提取用户简档和认证向量之前必须执行用于性能最优化的标识符重新请求步骤S407至S408。

3GPP AAA服务器从完整性密钥(IK)和密码密钥(CK)生成新的密钥资料。密钥资料指示EAP-AKA请求的安全关联上下文，并且用于保护3GPP网络的独特的机密性或完整性。而且，生成将被分配给已认证用户的新的假名。

3GPP AAA服务器460包括“EAP预认证请求/AKA挑战”报文中的随机数(RAND)、认证令牌(AUTN)、报文认证代码(MAC)和受保护的假名，并且得到的“EAP预认证请求/AKA挑战”报文可以被传输到IEEE 802.16认证器。上述“EAP预认证请求/AKA挑战”报文经由3GPP网络的认证器和IEEE 802.16网络的其他认证器被传输到移动节点(MN)400。而且，3GPP AAA服务器向移动节点(MN)传送“结果指示”参数。“结果指示”参数指示在认证过程结束时是否将保护“成功结果”报文。该结果报文的保护或不保护取决于运营商策略。如果“EAK预认证请求/AKA挑战”报文中包含CK和IK并且得到的“EAK预认证请求/AKA挑战”报文被传输到IEEE 802.16AAA服务器440，则IEEE 802.16AAA服务器440生成另外的密钥资料，使得通过另外的密钥资料可以确保IEEE 802.16网络的独特机密性或完整性。

移动节点(MN)执行其自身的USIM中包含的UMTS算法。通用订户身份模块(USIM)确定AUTN是否是正确的，并且根据确定结果执行网络认证。如果AUTN是错误的，则移动节点(MN)未能执行认证。换言之，如果序列号不是同步的，则移动节点(MN)开始执行同步过程。如果AUTN是正确的，则USIM生成RES、IK和CK。移动节点(MN)使用USIM中计算的“IK”和“Kc”值生成另外的密钥资料，使得其可以使用另外的密钥资料来检查接收到的MAC。在步骤S411中在接收到受保护的假名时，移动节点(MN)存储接收到的假名以执行下一认证过程。

在移动节点(MN)使用新的密钥资料计算与EAP报文关联的新的MAC值之后，其向IEEE 802.16认证器传送具有所计算的RES和MAC值的“EAP预认证响应/AKA挑战”报文。如果移动节点(MN)从3GPP AAA服务器460接收到相同的“结果指示”参数，则该“结果指示”参数包含在“EAP预认证响应/AKA挑战”报文中。否则，如果移动节点(MN)未从AAA服务器460接收到相同的“结果指示”参数，则“结果指示”参数未包含在“EAP预认证响应/AKA挑战”报文中。在步骤S412中经由IEEE 802.16认证器420和3GPP认证器490将“EAP预认证响应/AKA挑战”分组传送到3GPP AAA服务器460。

在步骤S413中，3GPP AAA服务器460检查接收到的MAC，并且将XRES与接收到的RES比较，使得其执行用户认证。

假设3GPP AAA服务器460预先接收到使用受保护的“成功结果指示”的请求，如果步骤S413的所有检查已被成功执行，则3GPP AAA服务器460在传送EAP成功报文之前传送“EAP预认证请求/AKA通知”报文。“EAP预认证请求/AKA通知”报文通过MAC保护。而且，将3GPP网络的独特的安全关联参数从3GPP AAA服务器传输到3GPP认证器。安全关联参数指示在步骤S406中已关于相应的MN生成的认证向量，可以进一步包括与移动节点(MN)的IMSI或TMSI关联的信息，并且可以经由移动应用部分(MAP)协议传输。当3GPP网络在未来将执行认证过程时，使用上述独特的安全关联参数。“EAP预认证请求/AKA通知”报文不仅可以包括安全信息，而且可以包括为保护3GPP网络的独特机密性或完整性而生成的密钥资料。3GPP AAA服务器460经由认证协议报文向3GPP认证器传送“EAP预认证请求/AKA通知”报文。在步骤S414中，3GPP认证器存储安全关联参数和密钥资料，并且可以使用所存储的信息与已认证的移动节点通信。

响应于“EAP预认证请求/AKA通知”报文，移动节点(MN)可以向IEEE 802.16认证器420传输“EAP预认证响应/AKA通知”报文。在步骤S415中，IEEE 802.16认证器420经由3GPP认证器490向3GPPAAA服务器460传输“EAP预认证响应/AKA通知”报文，并且3GPPAAA服务器460可以忽视该“EAP预认证响应/AKA通知”报文的内容。

3GPP AAA服务器460向IEEE 802.16认证器420传输EAP成功报文。经由3GPP认证器490将EAP成功报文传输到IEEE 802.16认证器420。IEEE 802.16认证器420使用“EAP预认证成功”报文向移动节点(MN)通知认证成功。在步骤S416中，如果EAP AKA过程已成功完成，则移动节点(MN)和3GPP网络在执行L2切换之后共享认证向量和密钥资料，使得移动节点(MN)可以稳定地与3GPP网络通信。

在步骤S403至S410中已执行与目标网络490的预认证过程的移动节点(MN)可以执行到目标网络490的L2切换。因此，在上述切换之后，可以省略移动节点(MN)和目标网络之间的新的认证过程和密钥设置过程。在步骤S417中，如果L2切换(即，第二层(L2)切换)，则移动节点(MN)400的MAC建立与目标网络490的接入点的安全关联(SA)，并且准备好与接入点通信。

图5是图示根据本发明的另一实施例的用于允许移动终端在交互RAT切换期间执行间接预认证的方法的流程图。

参照图5，根据本发明的***可以包括移动节点(MN)500、用作服务网络的IEEE 802.16接入网络(802.16认证器)520、用作服务AAA服务器的IEEE 802.16AAA服务器540、用作目标AAA服务器的3GPP AAA服务器560、目标网络的归属订户服务器(HSS)580、以及用作目标网络的3GPP接入网络(3GPP认证器)590。在该情况中，移动节点(MN)500还可以被称为移动站(MS)或移动终端等。服务网络指示正在向移动节点(MN)提供服务的网络，而目标网络指示移动节点(MN)将切换到的目标网络。

在图5中，每个***的组成元件可以包括一个或多个实体。例如，移动节点(MN)500可以包括安全实体、IP实体、802.16链路实体和3GPP链路实体。在该情况中，移动节点(MN)500包括UICC/USIM以支持交互RAT切换，使得其可以使用可与IEEE 802.16网络互操作的特定信息和关于3GPP网络的信息。

而且，服务网络520可以包括802.16链路实体、网络控制和管理***(NCMS)实体和安全实体。而且，目标网络590可以包括3GPP链路实体和安全实体。

在图5中，每个箭头的起点指示从其传输每个报文的实体，而每个箭头的终点指示接收每个报文的目的地的另一实体。将仅在本发明的特征部分中描述每个报文的传送路径。毋庸置言，应当注意，通过参照附图将容易地理解其他未被解释的部分。

根据本发明的另一实施例，移动节点(MN)500可以经由服务AAA服务器540向目标AAA服务器560传输预认证请求开始报文。已接收到预认证请求报文的目标AAA服务器540可以执行关于移动节点(MN)500的预认证，并且可以向服务网络520和目标网络590传输预认证结果。在该情况中，目标网络590可以向移动节点(MN)500 传输将由目标网络使用的密钥资料，其中密钥资料被用作预认证结果。而且，根据另一实施例，假设EAP-SIM认证方法用于预认证。

参照图5，在步骤S501中，多模式移动节点500获得对用作服务网络的IEEE 802.16网络520的访问，并且可以经由基于EAP的认证来执行主会话密钥(MSK)和认证密钥(AK)共享处理并且经由3向握手来执行TEK共享处理。如果服务网络520被确定为另一基于IEEE802的网络而非IEEE 802.16网络，则可以执行基于EAP的相似的初始认证过程。

随后，移动节点(MN)500通过扫描操作从相邻网络接收信号，执行网络检测，并且选择所检测到的网络。结果，假设移动节点(MN)500将由另一管理域管理的网络确定为用作潜在的切换目标网络的目标网络。根据本发明的另一实施例，在步骤S502中假设目标网络被确定为3GPP网络。

移动节点(MN)500可以向IEEE 802.16网络520传输“EAP预认证开始”报文。而且，服务网络520可以向目标AAA服务器560传输“EAP预认证开始”报文。在该情况中，“EAP预认证开始”报文还可以被设定为表14的“EAP预认证开始”报文。因此，“EAP预认证开始”报文可以包括移动节点(MN)标识符和MAC地址。而且，在步骤S503中“EAP预认证开始”报文可以包括各种信息，例如，移动节点支持的认证方法、当前接入网络标识符、当前接入网络AAA服务器的标识符、目标接入网络标识符、移动节点支持的安全能力、以及将由移动节点协商的安全能力信息。

为了请求认证移动节点(MN)500所需要的参数，目标AAA服务器560可以向服务网络520传输“EAP预认证请求/身份”报文。而且，服务网络520可以向移动节点(MN)500传输“EAP预认证请求/身份”报文。在步骤S504中可以利用服务网络(例如，IEEE 802.16 网络)520的独特的协议对EAP分组进行封装，并且可以经由IEEE802.16接口传输所封装的EAP分组。

移动节点(MN)500可以经由“EAP预认证响应/身份”报文传输其自身的标识符。在该情况中，移动节点(MN)标识符与3GPP TS23.003中规定的网络接入标识符(NAI)匹配。此外，“EAP预认证响应/身份”报文可以包括定义预认证的值、当前接入网络的标识符、当前接入网络AAA服务器的标识符、目标接入网络标识符、和移动节点(MN)的MAC地址。“EAP预认证响应/身份”报文被传输到目标AAA服务器(3GPP AAA服务器)560。在步骤S505中根据NAI的领域部分经由当前服务AAA服务器540向适当的目标AAA服务器560传输“EAP预认证响应/身份”报文，并且该报文的传送路径可以包括一个或多个AAA服务器。

在步骤S505中，目标AAA服务器560接收具有移动节点(MN)500的标识符的“EAP预认证响应/身份”报文。在该情况中，如果目标AAA服务器560辨认出从移动节点(MN)500传输的预认证请求报文中包含的认证方法而未辨认出移动节点(MN)500的标识符，则目标AAA服务器560可以要求移动节点(MN)300使用移动节点(MN)500定义的EAP方法传输新的标识符。在步骤S506中目标AAA服务器(3GPP AAA服务器)560可以经由“EAP预认证请求/SIM开始”报文再次请求移动节点标识符。

在步骤S506中，当移动节点(MN)500的标识符被中间节点改变为另一标识符时，可以执行用于在目标AAA服务器中使用“EAP请求/SIM开始”报文请求移动节点标识符的上述动作。如果移动节点(MN)500的标识符未改变为另一标识符，则步骤S506可以被省略。“EAP预认证响应/身份”报文在IEEE 802.16网络上被传输到移动节点(MN)。

移动节点(MN)500选择新的随机数(NONCE_MT)，并且该“NONCE_MT”可以用于执行网络认证。移动节点(MN)500包括“EAP预认证响应/SIM开始”报文中的与“EAP预认证响应/身份”报文中相同的标识符和“NONCE_MT”，并且得到的“EAP预认证响应/SIM开始”报文可以被传输到服务网络520。在步骤S507中服务网络520向目标AAA服务器560传送“EAP预认证响应/SIM开始”报文，并且“EAP预认证响应/SIM开始”报文中包含的标识符可以由目标AAA服务器560在下一个认证过程中使用。

如果步骤S506的报文中包含的标识符可能不同于步骤S507的报文中包含的标识符，则不能使用已从HSS(或HLR)580提取的用户简档和认证简档，从而必须从HSS(或HLR)提取新的简档和新的认证向量。

目标AAA服务器560确定关于移动节点(MN)500的EAP-SIM认证的N个认证参数的存在或不存在。如果确定N个认证参数不存在，则目标AAA服务器560从HSS/HLR提取一系列新的认证参数。而且，目标AAA服务器560执行关于TMSI、IMSI和MAC地址的映射。在步骤S508中，在执行一次认证之后，通过EAP-AKA方法选择的临时标识符可以被用作移动节点(MN)的标识符。

尽管上述步骤S508是在步骤S507中服务网络520向目标AAA服务器560传送“EAP预认证响应/SIM开始”报文之后执行的，但是应当注意，该步骤S508也可以在步骤S506或S509之后执行。

目标AAA服务器560可以从“NONCE_MT”参数和N个新的密码密钥(Kc)生成新的密钥资料。密钥资料指示EAP-SIM请求的安全关联上下文，并且用于保护3GPP技术的独特机密性或完整性。而且，生成将分配给已认证的用户的新的假名。该假名通过由EAP-SIM生成的密钥资料而进行加密，并且其完整性受到保护。同时，在步骤S509 中，使用由EAP-SIM生成的密钥计算关于EAP报文的报文认证代码(MAC)，使得所计算的MAC可以被用作网络认证值。

目标AAA服务器560在“EAP预认证请求/SIM挑战”报文上加载RAND、MAC和受保护的假名，使得得到的“EAP预认证请求/SIM挑战”报文被传输到服务网络520。“EAP预认证请求/SIM挑战”报文在服务网络520上被传输到移动节点(MN)500。而且，目标AAA服务器560在“EAP预认证请求/SIM挑战”报文中包括“结果指示”参数，使得得到的“EAP预认证请求/SIM挑战”报文可以被传输到移动节点(MN)。“结果指示”参数指示在认证过程结束时是否将保护“成功结果”报文。该结果报文的保护或不保护取决于运营商策略。在步骤S510中，如果目标AAA服务器560在“EAP预认证请求/SIM挑战”报文中包括“Kc”值并且将得到的“EAP预认证请求/SIM挑战”报文传送到服务网络的AAA服务器540，则服务AAA服务器540生成另外的密钥资料，使得通过另外的密钥资料可以确保服务网络520的独特机密性或完整性。

移动节点(MN)500数次(即，N次)对每个接收到的RAND执行SIM中包含的GSM A3/A8算法，使得可以生成N个SRES和Kc值。移动节点(MN)500可以从N个Kc和NONCE_MT值生成另外的密钥资料。移动节点(MN)500使用新生成的密钥资料计算网络认证MAC，并且确定所计算的网络认证MAC是否等于接收到的MAC。如果MAC是错误的，则网络认证失败，并且移动节点(MN)500取消该认证。如果MAC是正确的，则移动节点(MN)500继续执行认证过程。移动节点(MN)500可以使用新的密钥资料计算关于具有N个SRES的EAP报文的新的MAC。在步骤S511中，在接收到的受保护的假名时，移动节点(MN)500存储接收到的假名用于未来的认证。

移动节点(MN)500可以向服务网络520传输具有所计算的RES和MAC值的“EAP预认证响应/SIM挑战”报文。在从目标AAA服务器560接收到相同的指示参数时，移动节点(MN)500在“EAP预认证响应/SIM挑战”报文中包括“结果指示”参数。如果未从目标AAA服务器接收到相同的指示参数，则移动节点(MN)500在“EAP预认证响应/SIM挑战”报文中不包括“结果指示”参数。在步骤S512中服务网络520可以向目标AAA服务器560传输“EAP预认证响应/SIM挑战”报文。

在步骤S513中目标AAA服务器560将其自身的响应MAC与接收到的MAC比较，使得其可以执行用户认证。

目标AAA服务器560的独特的安全关联参数可以从目标AAA服务器560被传输到目标网络590。独特的安全关联参数指示在步骤S511中已关于相应MN生成的认证向量。安全关联参数可以进一步包括IMSI或TMSI关联信息，并且可以经由移动应用部分(MAP)协议传送或接收。当目标网络(例如，3GPP网络)在未来将执行认证过程时，使用安全关联参数。不仅可以包括经由“3GPP特定安全上下文传输”报文传输的信息，而且可以另外包含用于保护目标网络(例如，3GPP网络)的独特机密性或完整性的密钥资料。目标AAA服务器560经由AAA协议报文向目标网络传输特定的“3GPP特定安全上下文传输”报文。在步骤S514中，网络存储密钥资料，使得其使用所存储的密钥资料与已认证的移动节点(MN)通信。

如果步骤S513中的比较结果是成功的，则目标AAA服务器(即，3GPP AAA服务器)560可以预先请求目标网络590使用“成功结果指示”参数。在该情况中，在步骤S515中，3GPP AAA服务器560在传送“EAP预认证成功”报文之前传送“EAP预认证请求/SIM通知”报文，并且该“EAP预认证请求/SIM通知”报文可以通过MAC保护。

响应于“EAP预认证请求/SIM通知”报文，移动节点(MN)500可以向服务网络520传输“EAP预认证响应/SIM通知”报文。在步骤 S516中服务网络520向3GPP AAA服务器560传输“EAP预认证响应/SIM通知”报文。

然而，在步骤S516中，3GPP AAA服务器560可以忽视“EAP预认证响应/SIM通知”报文的内容。

如果移动节点(MN)500和3GPP AAA服务器560之间的预认证已被成功执行，则3GPP AAA服务器560可以向服务网络520传输“EAP预认证成功”报文。在步骤S517中，服务网络520向移动节点(MN)500传送“EAP预认证成功”报文，使得其可以向移动节点(MN)500通知成功的预认证。

如果EAP SIM认证过程已被成功完成，则移动节点(MN)和3GPP网络共享认证向量和密钥资料，并且移动节点(MN)可以稳定地与目标网络通信。也就是，在步骤S518中，移动节点(MN)500可以执行到目标网络的L2切换。

在步骤S518中，作为步骤S514至S517的预认证结果，当服务和目标网络520和590的实体基于它们的通信信息而被登记在目标网络中时，它们可以省略新的认真处理和新的密钥设置处理。如果L2切换(即，第二层切换)完成，则移动节点(MN)500的MAC建立与目标网络560的接入点的安全关联(SA)，并且准备好与接入点通信。

参照图6，根据本发明的***可以包括移动节点(MN)600、用作服务网络的IEEE 802.16接入网络(802.16认证器)620、用作服务AAA服务器的IEEE 802.16AAA服务器640、用作目标AAA服务器的3GPP AAA服务器660、目标网络的归属订户服务器(HSS)680、以及用作目标网络的3GPP接入网络(3GPP认证器)690。在该情况中，移动节点(MN)500还可以被称为移动站(MS)或移动终端等。服务网络指示正在向移动节点(MN)提供服务的网络，而目标网络指示移动节点(MN)将切换到的目标网络。

在图6中，每个***的组成元件可以包括一个或多个实体。例如，移动节点(MN)600可以包括安全实体、IP实体、802.16链路实体和3GPP链路实体。在该情况中，移动节点(MN)600包括UICC/USIM以支持交互RAT切换，使得其可以使用可与IEEE 802.16网络互操作的特定信息和关于3GPP网络的信息。

而且，服务网络620可以包括802.16链路实体、网络控制和管理***(NCMS)实体和安全实体。而且，目标网络690可以包括3GPP链路实体和安全实体。

在图6中，每个箭头的起点指示从其传输每个报文的实体，而每个箭头的终点指示接收每个报文的目的地的另一实体。将仅在本发明的特征部分中描述每个报文的传送路径。毋庸置言，应当注意，通过参照附图将容易地理解其他未被解释的部分。

图6示出了其中移动节点(MN)向目标网络传送直接预认证请求的示例性情况。这种请求直接认证指示了移动节点(MN)经由服务AAA服务器向目标网络传送预认证请求，并且服务AAA服务器用作报文的中继而不参与预认证过程。在该情况中，预认证结果可以从目标AAA服务器传输到目标网络。而且，预认证结果可以经由服务认证服务器被直接传输到移动节点(MN)。而且，假设本发明使用EAP-AKA认证方法来执行图6的前述预认证。

参照图6，在步骤S601中，多模式移动节点600获得对服务网络(即IEEE 802.16网络)620的接入，并且可以经由基于EAP的认证来执行主会话密钥(MSK)和认证密钥(AK)共享处理并且经由3向握手来执行TEK共享处理。在步骤S601中，如果确定服务网络620是不同于服务网络的另一基于IEEE 802的网络，则可以执行基于EAP的相似的初始认证过程。

随后，移动节点(MN)600通过扫描操作从相邻网络接收信号，执行网络检测，并且选择所检测到的网络。在步骤S602中，通过该扫描结果，假设移动节点(MN)600将由另一管理域管理的网络确定为用作潜在的切换目标网络的目标网络。

移动节点(MN)600可以直接向3GPP网络690传输“EAP预认证开始”报文。在步骤S603中，“EAP预认证开始”报文可以包括各种信息，例如，移动节点标识符、MAC地址、移动节点支持的认证方法、当前接入网络标识符、当前接入网络AAA服务器的标识符、移动节点支持的安全能力、以及将在预认证之前协商的安全能力信息。

在步骤S603中，目标接入网络的标识符先前由移动节点(MN)拥有，使得不需要上述移动节点标识符包含在“EAP预认证开始”报文中。“EAP预认证开始”报文未用作图14的PKM报文，并且可以用于3GPP网络。移动节点(MN)600向目标接入网络690传送与3GPPTS 23.003中规定的网络接入标识符(NAI)匹配的标识符。“EAP预认证开始”报文根据NAI的领域部分被传输到适当的3GPP AAA服务器，并且该报文的传送路径可以包括一个或多个AAA服务器。也就是，目标AAA服务器660可以从目标网络690接收具有移动节点(MN)600的标识符的“EAP预认证开始”报文。

在步骤S604中，目标AAA服务器660可以经由目标网络认证器690和服务网络认证器620将“EAP预认证请求/身份”报文传输到移动节点(MN)。

移动节点(MN)600能够经由“EAP预认证响应/身份”报文向目标AAA服务器660传输其自身的标识符。在该情况中，假设移动节点标识符满足3GPP TS 20.003中规定的NAI。“EAP预认证响应/身份”报文可以包括指示预认证的值、当前接入网络的标识符、当前接入网络AAA服务器的标识符、目标接入网络的标识符和MN的MAC地址。在步骤S605中，“EAP预认证响应/身份”报文可以根据NAI的领域部分被传输到目标AAA服务器660，并且其传送路径可以包括一个或多个AAA服务器。

目标AAA服务器660可以接收具有NAI的“EAP预认证响应/身份”分组。如果目标AAA服务器660辨认出关于从移动节点(MN)600传输的预认证请求的认证方法而未辨认出移动节点标识符，则其使用移动节点(MN)中规定的认证方法(例如，EAP-SIM)来向移动节点(MN)600传输新的标识符。例如，3GPP AAA服务器可以经由“EAP预认证请求/SIM开始”报文再次请求移动节点标识符。当经由“EAP预认证响应/身份”报文接收到的移动节点标识符被中间节点改变为另一标识符时，执行该请求动作。如果移动节点标识符未被这些中间节点改变为另一标识符，则可以省略该请求动作。在步骤S606中可以经由IEEE 802.16认证器620将“EAP预认证响应/身份”报文传输到移动节点。

移动节点(MN)600选择新的随机数(NONCE_MT)，并且该“NONCE_MT”可以用于执行网络认证。移动节点(MN)600包括“EAP预认证响应/SIM开始”报文中的与“EAP预认证响应/身份”报文中相同的标识符和“NONCE_MT”，并且得到的“EAP预认证响应/SIM开始”报文可以被传输到IEEE 802.16认证器620。IEEE 802.16认证器620经由3GPP认证器690向3GPP AAA服务器660传送“EAP预认证响应/SIM开始”报文。“EAP预认证响应/SIM开始”报文中包含的标识符可以由3GPP AAA服务器在下一个认证过程中使用。如果“EAP预认证响应/身份”报文中包含的标识符可能不同于“EAP预认证响应 /SIM开始”报文中包含的标识符，则不能使用已从HSS(或HLR)提取的用户简档和认证简档。因此，在步骤S607中3GPP AAA服务器从HSS(或HLR)提取新的简档和新的认证向量。

3GPP AAA服务器660确定还未被用于移动节点(MN)600的EAP-SIM认证的N个认证参数的存在或不存在。如果确定N个认证参数不存在，则3GPP AAA服务器660从HSS/HLR 680提取一系列新的认证参数。而且，3GPP AAA服务器660还可以执行关于TMSI、IMSI和MAC地址的映射。在步骤S608中，在执行一次认证之后，通过EAP-SIM选择的临时标识符可以被用作移动节点(MN)的标识符。

尽管上述步骤S608是在IEEE 802.16认证器620经由3GPP认证器690向3GPP AAA服务器660传送“EAP预认证响应/SIM开始”报文之后执行的，但是应当注意，该步骤S608也可以在步骤S606或S609之后执行。

3GPP AAA服务器660可以从“NONCE_MT”参数和N个新的Kc值生成新的密钥资料。密钥资料指示EAP-SIM请求的安全关联上下文，并且用于保护3GPP技术的独特机密性或完整性。而且，生成将分配给已认证的用户的新的假名。该假名通过由EAP-SIM生成的密钥资料而进行加密，并且其完整性受到保护。同时，在步骤S609中，使用由EAP-SIM生成的密钥计算关于EAP报文的报文认证代码(MAC)，使得所计算的MAC可以被用作网络认证值。

3GPP AAA服务器660在“EAP预认证请求/SIM挑战”报文上加载RAND、MAC和受保护的假名，使得得到的“EAP预认证请求/SIM挑战”报文经由IEEE 802.16AAA服务器640被传输到IEEE 802.16认证器620。“EAP预认证请求/SIM挑战”报文最终经由IEEE 802.16认证器620传输到移动节点(MN)。而且，3GPP AAA服务器660包括针对移动节点(MN)的“结果指示”报文。“结果指示”报文指示在认证过程结束时是否将保护“成功结果”报文。该结果报文的保护或不保护取决于运营商策略。3GPP AAA服务器660在“EAP预认证请求/SIM挑战”报文中包括“Kc”值并且将得到的“EAP预认证请求/SIM挑战”报文传送到IEEE 802.16AAA服务器640。在步骤S610中，IEEE 802.16AAA服务器640生成另外的密钥资料，使得通过另外的密钥资料可以确保IEEE 802.16AAA服务器640的独特机密性或完整性。

移动节点(MN)600数次(即，N次)对每个接收到的RAND执行SIM中包含的GSM A3/A8算法，使得可以生成N个SRES和Kc值。移动节点(MN)可以从N个Kc和NONCE_MT值生成另外的密钥资料。移动节点(MN)使用新生成的密钥资料计算网络认证MAC，并且确定所计算的网络认证MAC是否等于接收到的MAC。

如果MAC是错误的，则网络认证失败，并且移动节点(MN)取消该认证。如果MAC是正确的，则移动节点(MN)继续执行认证过程。移动节点(MN)可以使用新的密钥资料计算关于具有N个SRES的EAP报文的新的MAC。在步骤S611中，在接收到的受保护的假名时，移动节点(MN)存储接收到的假名用于未来的认证。

移动节点(MN)可以向IEEE 802.16认证器620传输具有所计算的RES和MAC值的“EAP预认证响应/SIM挑战”报文。在从3GPP AAA服务器660接收到相同的指示参数时，移动节点(MN)在“EAP预认证响应/SIM挑战”报文中包括“结果指示”参数。如果未从IEEE 802.16认证器620接收到相同的指示参数，则移动节点(MN)在“EAP预认证响应/SIM挑战”报文中不包括“结果指示”参数。在步骤S612中IEEE802.16认证器620可以经由IEEE 802.16AAA服务器640向3GPP AAA服务器660传输“EAP预认证响应/SIM挑战”报文。

在步骤S613中3GPP AAA服务器660将其自身的MAC与接收到的MAC比较，使得其可以执行用户认证。

如果步骤S613中的比较结果是成功的，则3GPP AAA服务器660可以在传送“EAP预认证成功”报文之前传送“EAP预认证请求/SIM通知”报文。在步骤S614中“EAP预认证请求/SIM通知”报文可以通过MAC保护。

可以将3GPP网络的独特的安全关联参数从3GPP AAA服务器660传输到3GPP认证器690。独特的安全关联参数指示在步骤S606中已关于相应的MN生成的认证向量。安全关联参数可以进一步包括IMSI或TMSI关联信息，并且可以经由移动应用部分(MAP)协议传输。当3GPP网络在未来将执行认证过程时，使用上述安全关联参数。

“EAP预认证请求/SIM通知”报文不仅可以包括安全信息，而且可以包括用于保护3GPP网络的独特机密性或完整性的密钥资料。3GPPAAA服务器660经由AAA协议报文向3GPP网络传输所得到的报文。在步骤S615中，3GPP网络存储密钥资料，使得其使用所存储的密钥资料与已认证的移动节点(MN)通信。

响应于“EAP预认证请求/SIM通知”报文，移动节点(MN)可以向IEEE 802.16认证器620传输“EAP预认证响应/SIM通知”报文。在步骤S616中，IEEE 802.16认证器620经由3GPP认证器690向3GPPAAA服务器660传输“EAP预认证响应/SIM通知”报文。然而在步骤S616中，3GPP AAA服务器660可以忽视“EAP预认证响应/SIM通知”报文的内容。

3GPP AAA服务器660向IEEE 802.16认证器620传输指示EAP的成功或失败的特定信息。该特定信息可以经由3GPP认证器被传输到IEEE 802.16认证器620，并且IEEE 802.16认证器620使用“EAP预认证成功”报文向移动节点(MN)通知认证成功。

在步骤S617中，如果EAP SIM过程已成功完成，则移动节点(MN)和3GPP网络在执行L2切换之后共享认证向量和密钥资料，使得移动节点(MN)可以稳定地与3GPP网络通信。

在步骤S614至S617中已执行与目标网络认证器690的预认证过程的移动节点(MN)可以执行到目标网络690的L2切换。因此，在上述切换之后，可以按照需要省略移动节点(MN)和目标网络之间的新的认证过程和密钥设置过程。在步骤S617中，如果L2切换(即，第二层(L2)切换)，则移动节点(MN)600的MAC建立与目标网络认证器690的接入点的安全关联(SA)，并且准备好与接入点通信。

对于本领域的技术人员将显而易见的是，在不偏离本发明的精神和范围的情况下，可以在本发明中进行各种修改和变化。因此，意在使本发明涵盖落入所附权利要求及其等同物的范围内的本发明的各种修改和变化。因此，上述详细描述必须被视为仅用于说明的目的而非限制的目的。本发明的范围必须通过对权利要求的合理分析来决定，并且本发明的等同范围内的所有修改包含在本发明的范围内。对于本领域的技术人员显而易见的是，在不偏离本发明的精神和范围的情况下，可以将不具有明确的引用关系的权利要求彼此组合以实现实施例，或者通过专利申请之后进行的修改而获得的新的权利要求也可以包含在本发明内。

工业适用性

由以上描述显而易见的是，本发明的实施例可以应用于各种无线接入***，例如，第三代伙伴项目(3GPP)、3GPP2和/或IEEE 802.xx(电气电子工程师协会802)***。本发明的实施例不仅可以应用于各种无线接入***而且还可以应用于通过应用这些无线接入***而获得的所有技术领域。

Claims

1.一种用于在切换之前执行预认证以便于快速地执行交互无线电接入技术(交互RAT)切换的方法，所述方法包括：

a)向目标认证服务器传送包括所述预认证所需要的移动终端信息的报文；

b)从所述目标认证服务器接收第一安全关联信息，其中，所述第一安全关联信息是通过所述目标认证服务器使用所述移动终端信息生成的；以及

c)使用所述第一安全关联信息生成第二安全关联信息，其中，所述第二安全关联信息将由所述移动终端在所述目标网络中使用；以及

d)执行所述预认证。

2.如权利要求1所述的方法，其中，所述移动终端信息包括定义所述预认证的特定信息、服务网络的标识符、服务认证服务器的标识符、所述目标网络的标识符、所述移动终端的标识符、以及所述移动终端的媒体接入控制(MAC)地址中的至少一个。

3.如权利要求1所述的方法，其中，所述第一安全关联信息包括随机数(RAND)、认证令牌(AUTN)、报文认证代码(MAC)和受保护的假名信息中的至少一个。

4.如权利要求1所述的方法，其中，所述第二安全关联信息是通过所述移动终端中的完整性密钥和密码密钥生成的。

5.如权利要求1所述的方法，进一步包括：

在执行步骤d)之后，

e)向所述目标认证服务器传输所述第二安全关联信息；以及

f)执行到所述目标网络的切换。

6.如权利要求1所述的方法，其中，包括所述移动终端信息的所述报文经由目标网络认证器被透明地传输到所述目标认证服务器。

7.如权利要求1所述的方法，其中，包括所述移动终端信息的所述报文经由服务认证器和目标网络认证器被传输到所述目标认证服务器。

8.如权利要求1所述的方法，其中，所述第一安全关联信息与所述目标认证服务器关联；以及

所述第二安全关联信息与所述移动终端关联。

9.一种用于在切换之前执行预认证以便于快速地执行交互无线电接入技术(交互RAT)切换的方法，所述方法包括：

向目标认证服务器传送所述预认证所需要的移动终端信息，其中，所述移动终端信息是从移动终端接收的；

向所述移动终端传送第一安全关联信息，其中，所述第一安全关联信息是从所述目标认证服务器接收的；以及

向所述目标认证服务器传送第二安全关联信息，其中所述第二安全关联信息是从所述移动终端接收的。

10.如权利要求9所述的方法，其中，所述第一安全关联信息与所述目标认证服务器关联；以及

所述第二安全关联信息与所述移动终端关联。

11.一种用于在切换之前执行预认证以便于快速地执行交互无线电接入技术(交互RAT)切换的方法，所述方法包括：

a)接收包括终端信息的报文；

b)从归属订户服务器(HSS)提取在目标网络处使用的认证信息；

c)使用所述移动终端信息和所述认证信息生成第一安全关联信息；

d)向所述移动终端传输所述第一安全关联信息。

12.如权利要求11所述的方法，其中，所述移动终端信息包括定义所述预认证的特定信息、服务网络的标识符、服务认证服务器的标识符、所述目标网络的标识符、所述移动终端的标识符、以及所述移动终端的媒体接入控制(MAC)地址中的至少一个。

13.如权利要求11所述的方法，其中，所述第一安全关联信息包括随机数(RAND)、认证令牌(AUTN)、报文认证代码(MAC)和受保护的假名信息中的至少一个。

14.如权利要求11所述的方法，进一步包括：

在执行步骤d)之后，

e)接收第二安全关联信息，其中，所述第二安全关联信息是使用所述第一安全关联信息生成的；

f)向目标网络认证器传送包括所述第一安全关联信息的报文；以及

g)执行所述移动终端和所述目标网络之间的切换。

15.如权利要求11所述的方法，其中，包括所述第一安全关联信息的所述报文经由目标网络认证器被透明地传输到所述移动终端。

16.如权利要求11所述的方法，其中，包括所述第一安全关联信息的所述报文经由目标网络认证器和服务认证器被传输到所述移动终端。

17.如权利要求14所述的方法，其中，所述第一安全关联信息与所述目标认证服务器关联；以及

所述第二安全关联信息与所述移动终端关联。