| 发明名称 | 一种切换过程中的密钥管理方法 | ||
| 摘要 | 本发明公开了一种切换过程中的密钥管理方法,该方法包括:A、移动台在从第一基站切换到第二基站后,为第一基站保留鉴权密钥AK及上下行管理消息的序列号;对应地在第一基站,当移动台切换到其他基站后,为该移动台保留AK及上下行管理消息的序列号;B、所述移动台再重新切换回所述第一基站后,根据所述移动台和所述第一基站中保存的对应AK及上下行管理消息的序列号进行通信。本发明中通过移动台再重新切换回第一基站后,使用移动台和基站中保存的AK及上下行管理消息的序列号与第一基站进行通信,因此在通信过程中上下行管理消息的序列号在原有序列号的基础上增加,保证了不会出现相同的序列号,防止了重放攻击。 | ||
| 申请公布号 | CN1964259B | 申请公布日期 | 2011.02.16 |
| 申请号 | CN200510115591.8 | 申请日期 | 2005.11.07 |
| 申请人 | 华为技术有限公司 | 发明人 | 李永茂;张俊;吴建军 |
| 分类号 | H04L9/32(2006.01)I;H04L9/00(2006.01)I;H04L29/06(2006.01)I;H04L12/28(2006.01)I | 主分类号 | H04L9/32(2006.01)I |
| 代理机构 | 北京德琦知识产权代理有限公司 11018 | 代理人 | 宋志强;麻海明 |
| 主权项 | 一种切换过程中的密钥管理方法,其特征在于,该方法包括以下步骤:移动台在切换到目标基站之前,存储当前基站的授权密钥AK及上下文;当前基站为该移动台记录对应的AK及上下文;移动台切换到目标基站时,首先判断移动台在本次认证周期内是否曾经与该目标基站进行连接,若否,移动台为该目标基站生成AK及上下文,并利用生成的AK及上下文与该目标基站进行通信;如果是,移动台判断自身中是否有为该目标基站存储的AK及上下文,如果是,移动台使用其中为目标基站存储的AK及上下文与目标基站进行加密通信;否则发起重认证,并删除自身中为所有基站存储的AK及上下文;当移动台接入目标基站通过认证,且认证装置创建AK及部分上下文,并发送给目标基站后,执行如下两类操作中的任一类:第一类操作:认证装置为该移动台记录该基站标识,表示已经将为该终端生成的AK及上下文发送给该目标基站;在移动台切换到目标基站后,所述目标基站执行如下操作:步骤301、移动台通过切换接入目标基站后,目标基站向认证装置发送消息,请求获得该移动台的AK,该请求消息中至少包括移动台标识和基站标识;步骤302、认证装置接收到该请求后,判断自身中是否存储有对应移动台的认证信息,如果是,执行步骤303;否则执行步骤310;步骤303、认证装置判断为该移动台记录的基站标识中是否有发送请求的基站,如果是执行步骤304;否则执行步骤308;步骤304、认证装置向目标基站返回请求响应消息,其中包括的信息为:已提供,即已经向该目标基站提供过移动台的AK及上下文信息;步骤305、目标基站接收到已提供的响应信息后,判断自身中是否存储了该移动台的AK及上下文,如果是则执行步骤306,使用存储的AK及上 下文与移动台进行通信,然后结束本流程;否则执行步骤307,发起重认证然后结束本流程;步骤308、认证装置根据记录的该移动台的认证信息,生成AK及部分上下文,并将生成的AK及上下文发送给目标基站;步骤309、目标基站接收到AK及上下文后,使用接收的AK及上下文,并生成其他相关的上下文,同时删除此前曾为该移动台存储的AK及上下文,然后结束本流程;步骤310、认证装置向目标基站返回请求响应消息拒绝该请求;步骤311、目标基站发起重认证,如果其中存储有该移动台的AK及上下文信息,则删除,然后结束本流程;或者,第二类操作:当移动台接入目标基站,通过认证后,认证装置创建AK及部分上下文,并发送给目标基站后,目标基站在预先设置的“曾创建AK的移动台列表”中加入该移动台标识;在移动台切换到目标基站后,所述目标基站执行如下操作:步骤401、移动台通过切换接入目标基站后,目标基站首先判断是否存储有该移动台的AK及其上下文,如果是执行步骤402;否则执行步骤403;步骤402、目标基站使用其中存储的AK及其上下文与移动台进行通信,然后结束本流程;步骤403、目标基站判断在“曾创建AK的移动台列表”中是否有该移动台标识,如果是执行步骤404;否则执行步骤405;步骤404、发起重认证,在移动台进行重认证的过程中,认证装置删除该移动台的认证信息,并通过消息通知所有基站,或者通过记录信息通知曾得到该移动台AK及其上下文的基站删除为该移动台存储的AK及其上下文,基站根据该通知删除其中为该移动台存储的AK及其上下文,并在“曾创建AK的移动台列表”中删除该移动台标识,然后结束本流程;步骤405、目标基站向认证装置发送消息,请求获取该移动台的AK; 步骤406、认证装置接收到上述请求后,判断其中是否存储有该移动台的认证信息,如果是执行步骤407;否则执行步骤409;步骤407、认证装置创建AK及部分上下文,并将创建的AK及上下文通过请求响应消息发送给目标基站,并为该移动台记录该基站标识,表明已经为该目标基站创建过该终端的AK及部分上下文;步骤408、目标基站接收到包含有AK及上下文的响应消息后,使用接收的AK及其上下文,创建其他的上下文,根据接收的AK及其上下文和创建的上下文与移动台进行通信,并将该移动台标识加入“曾创建AK的移动台列表”中,然后结束本流程;步骤409、认证装置向目标基站返回请求响应消息拒绝该请求;步骤410、目标基站接收到拒绝的响应消息后,发起对该移动台的重认证流程,在移动台进行重认证的过程中,认证装置删除该移动台的认证信息,并通过消息通知所有基站,或者通过记录信息通知曾得到该移动台AK及其上下文的基站删除为该移动台存储的AK及其上下文,基站根据该通知删除其中为该移动台存储的AK及其上下文,并在“曾创建AK的移动台列表”中删除该移动台标识,然后结束本流程。 | ||
| 地址 | 518129 广东省深圳市龙岗区坂田华为总部办公楼 | ||