一种密钥传输方法和装置制造方法及图纸

本发明专利技术实施例公开了一种密钥传输方法和装置，应用于部署了社区无线保真技术和PMIP，但不具有AC的网络中，WLAN GW从RADIUS获取第一PMK，根据所述第一PMK生成对应所述第二AP的第二PMK，向所述第二AP发送所述第二PMK和IP地址，使得所述移动终端在切换AP时与所述第二AP重关联的过程中，通过所述IP地址，以及所述第二AP与所述WLAN GW之间的PMIP隧道接入网络，可见，当所述移动终端需要切换AP到第二AP时，由于所述第二AP已经具有了所述第二PMK和所述WLAN GW为所述移动终端分配的IP地址，具有为所述移动终端提供网络接入服务的条件，由此使得所述移动终端可以快速切换AP。

【技术实现步骤摘要】

本专利技术涉及通信领域，特别是涉及一种密钥传输方法和装置。
技术介绍
社区(Community)无线保真(Wireless-Fidelity，Wi-Fi)技术是指一种在家庭Wi-Fi的私人(Private)服务标识集(Service Set Identifier，SSID)的基础上，设定公共(Public)SSID以供他人接入的技术。在Community Wi-Fi的环境下，每一个家庭Wi-Fi的家庭网关(Residential Gateway，RG)可以视为一个网络接入点(Access Point，AP)，各个AP与无线局域网络网关(Wireless Local Area Networks Gateway，WLAN GW)连接，通过WLAN GW连接互联网。在部署有Community Wi-Fi的一种常见应用场景中，网络中不具有控制各个AP的无线接入控制器(Access controller，AC)，并且在这种情况下，各个AP或者说RG之间没有数据交互，相对独立。这种部署有Community Wi-Fi但是不具有AC的网络中的AP可以视为为一种胖AP。移动终端需要经过认证才能接入网络，在Community Wi-Fi的802.1X认证场景的认证流程中，一般AP是认证点，WLAN GW作为远程用户拨号认证系统(Remote Authentication Dial In User Service，RADIUS)代理(Proxy)。当移动终端在部署有Community Wi-Fi但是不具有AC的网络中，移动终端可以通过与RADIUS中的鉴权，授权和记账(Authentication,Authorization and Accounting，AAA)模块交互认证并计算生成用于与AP建立数据连接的成对主密钥(Pairwise Master Key，PMK)，所述移动终端可以使用该PMK与AP建立数据连接达到通过该AP登录互联网的效果。在Community Wi-Fi技术中，代理移动互联网协议(Proxy Mobile Internet Protocol，PMIP)是一种常用协议，移动终端在完成密钥协商后，通过动态主机配置协议(Dynamic Host Configuration Protocol，DHCP)请求触发AP与WLAN GW之间建立PMIP隧道，使得所述移动终端可以经由AP，通过建立的PMIP隧道登录互联网。不过由于AP的Wi-Fi范围有限，当移动终端移动时，会出现移动终端离开一
个AP范围，进入另一个AP范围的情况。这种情况下就需要移动终端切换连接的AP，以保持连接互联网。移动终端每次切换AP时，RADIUS都需要重新与移动终端计算生成一个新的PMK，WLAN GW还需要重新为该移动终端将要切换的AP分配对应所述移动终端的IP地址。信息交互和计算耗时较长。如果在切换的过程中移动终端在执行一些需要保证会话连续性的业务时，耗时较长的AP切换会为移动终端执行这类业务带来很大影响，甚至导致这类业务执行失败。带来不好的用户体验。
技术实现思路
为了解决上述技术问题，本专利技术实施例提供了一种密钥传输方法和装置，所述WLAN GW向第二AP发送IP地址以及基于第一PMK生成对应第二AP的第二PMK，以使得所述移动终端在切换AP时，待切换的第二AP已经具有第二PMK和所述WLAN GW分配给所述移动终端的IP地址，所述移动终端可以不用再与RADIUS重新计算新的PMK，所述第二AP也不用重新获取IP地址，达到了移动终端快速切换AP的效果。第一方面，本专利技术实施例提供了一种密钥传输方法，应用于部署了社区无线保真技术和PMIP，但不具有AC的网络中，所述网络中包括互为邻居关系的第一AP和第二AP，所述第一AP和第二AP通过WLAN GW与互联网相连，移动终端与所述第一AP具有数据连接，所述方法包括：所述WLAN GW从RADIUS获取第一PMK，所述第一PMK是所述移动终端在与所述第一AP建立数据连接时，与RADIUS计算生成的；所述WLAN GW根据所述第一PMK生成对应所述第二AP的第二PMK；所述WLAN GW向所述第二AP发送所述第二PMK和互联网协议IP地址，使得所述第二AP根据所述第二PMK生成对应所述移动终端的第一PMK ID，所述IP地址为所述移动终端与所述第一AP建立数据连接过程中所述WLAN GW为所述移动终端分配的IP地址，使得所述移动终端在切换AP时与所述第二AP重关联的过程中，通过所述IP地址，以及所述第二AP与所述WLAN GW之间的PMIP隧道接入网络。在第一方面的第一种可能的实现方式中，在所述WLAN GW根据所述第
一PMK生成对应所述第二AP的第二PMK之前，还包括：所述WLAN GW获取所述第一AP发送的包含所述第一AP邻居列表的PMIP报文，所述第一AP邻居列表包括所述第二AP的地址信息；所述WLAN GW根据所述第一PMK生成对应所述第二AP的第二PMK，具体包括：所述WLAN GW根据所述第一PMK以及所述第二AP的地址信息生成对应所述第二AP的第二PMK。结合第一方面的第一种可能的实现方式，在第二种可能的实现方式中，所述WLAN GW向所述第二AP发送所述第二PMK和IP地址，具体包括：所述WLAN GW根据所述第二AP的地址信息向所述第二AP发送携带所述第二PMK和所述IP地址的Pre-PBU消息。结合第一方面的第二种可能的实现方式，在第三种可能的实现方式中，在所述WLAN GW根据所述第二AP的地址信息向所述第二AP发送携带所述第二PMK和所述IP地址的Pre-PBU消息之后，还包括：所述WLAN GW获取所述第二AP发送的Pre-PBA消息，所述Pre-PBA消息携带所述第二AP获得所述第二PMK和所述IP地址的确认信息。在第一方面的第四种可能的实现方式中，在所述WLAN GW根据所述第一PMK生成对应所述第二AP的第二PMK之前，还包括：所述WLAN GW接收到所述第二AP发送的PBU消息，所述PBU消息为所述第二AP接收到所述移动终端在切换AP时发送的携带有第二PMK ID的重关联消息后生成的，所述PBU消息包括所述移动终端标识，所述第二PMK ID为所述移动终端对应所述第二AP生成的PMK ID；所述WLAN GW根据所述移动终端标识以及预先获取的所述移动终端标识与所述第一PMK的对应关系查找到所述第一PMK；所述WLAN GW向所述第二AP发送所述第二PMK和IP地址，具体包括：所述WLAN GW向所述第二AP返回携带所述第二PMK和IP地址的代理绑定确认PBA消息。结合第一方面或者第一方面的第一种或第二种或第三种或第四种可能的
实现方式，在第五种可能的实现方式中，所述第二PMK与第三PMK相同，所述第三PMK为所述移动终端与所述第一AP建立数据连接时所使用的且基于所述第一PMK生成的PMK。结合第一方面或者第一方面的第一种或第二种或第三种或第四种可能的实现方式，在第六种可能的实现方式中，在所述WLAN GW向所述第二AP发送所述第二PMK和IP地址时，还包括：使得所述移动终端通过切换AP与所述第二AP重关联的过程中，所述第本文档来自技高网...

【技术保护点】
一种密钥传输方法，其特征在于，应用于部署了社区无线保真技术和代理移动互联网协议PMIP，但不具有无线接入控制器AC的网络中，所述网络中包括互为邻居关系的第一网络接入点AP和第二AP，所述第一AP和第二AP通过无线局域网络网关WLAN GW与互联网相连，移动终端与所述第一AP具有数据连接，所述方法包括：所述WLAN GW从远程用户拨号认证系统RADIUS获取第一成对主密钥PMK，所述第一PMK是所述移动终端在与所述第一AP建立数据连接时，与RADIUS计算生成的；所述WLAN GW根据所述第一PMK生成对应所述第二AP的第二PMK；所述WLAN GW向所述第二AP发送所述第二PMK和互联网协议IP地址，使得所述第二AP根据所述第二PMK生成对应所述移动终端的第一成对主密钥标识PMK ID，所述IP地址为所述移动终端与所述第一AP建立数据连接过程中所述WLAN GW为所述移动终端分配的IP地址，使得所述移动终端在切换AP时与所述第二AP重关联的过程中，通过所述IP地址，以及所述第二AP与所述WLAN GW之间的PMIP隧道接入网络。

【技术特征摘要】
1.一种密钥传输方法，其特征在于，应用于部署了社区无线保真技术和代理移动互联网协议PMIP，但不具有无线接入控制器AC的网络中，所述网络中包括互为邻居关系的第一网络接入点AP和第二AP，所述第一AP和第二AP通过无线局域网络网关WLAN GW与互联网相连，移动终端与所述第一AP具有数据连接，所述方法包括：所述WLAN GW从远程用户拨号认证系统RADIUS获取第一成对主密钥PMK，所述第一PMK是所述移动终端在与所述第一AP建立数据连接时，与RADIUS计算生成的；所述WLAN GW根据所述第一PMK生成对应所述第二AP的第二PMK；所述WLAN GW向所述第二AP发送所述第二PMK和互联网协议IP地址，使得所述第二AP根据所述第二PMK生成对应所述移动终端的第一成对主密钥标识PMK ID，所述IP地址为所述移动终端与所述第一AP建立数据连接过程中所述WLAN GW为所述移动终端分配的IP地址，使得所述移动终端在切换AP时与所述第二AP重关联的过程中，通过所述IP地址，以及所述第二AP与所述WLAN GW之间的PMIP隧道接入网络。2.根据权利要求1所述的方法，其特征在于，在所述WLAN GW根据所述第一PMK生成对应所述第二AP的第二PMK之前，还包括：所述WLAN GW获取所述第一AP发送的包含所述第一AP邻居列表的PMIP报文，所述第一AP邻居列表包括所述第二AP的地址信息；所述WLAN GW根据所述第一PMK生成对应所述第二AP的第二PMK，具体包括：所述WLAN GW根据所述第一PMK以及所述第二AP的地址信息生成对应所述第二AP的第二PMK。3.根据权利要求2所述的方法，其特征在于，所述WLAN GW向所述第二AP发送所述第二PMK和IP地址，具体包括：所述WLAN GW根据所述第二AP的地址信息向所述第二AP发送携带所述第二PMK和所述IP地址的预备代理绑定更新Pre-PBU消息。4.根据权利要求3所述的方法，其特征在于，在所述WLAN GW根据所述第二AP的地址信息向所述第二AP发送携带所述第二PMK和所述IP地
\t址的预备代理绑定更新Pre-PBU消息之后，还包括：所述WLAN GW获取所述第二AP发送的预备代理绑定确认Pre-PBA消息，所述Pre-PBA消息携带所述第二AP获得所述第二PMK和所述IP地址的确认信息。5.根据权利要求1所述的方法，其特征在于，在所述WLAN GW根据所述第一PMK生成对应所述第二AP的第二PMK之前，还包括：所述WLAN GW接收到所述第二AP发送的PBU消息，所述PBU消息为所述第二AP接收到所述移动终端在切换AP时发送的携带有第二PMK ID 的重关联消息后生成的，所述PBU消息包括所述移动终端标识，所述第二PMK ID为所述移动终端对应所述第二AP生成的PMK ID；所述WLAN GW根据所述移动终端标识以及预先获取的所述移动终端标识与所述第一PMK的对应关系查找到所述第一PMK；所述WLAN GW向所述第二AP发送所述第二PMK和IP地址，具体包括：所述WLAN GW向所述第二AP返回携带所述第二PMK和IP地址的代理绑定确认PBA消息。6.根据权利要求1至5任一项所述的方法，其特征在于，所述第二PMK与第三PMK相同，所述第三PMK为所述移动终端与所述第一AP建立数据连接时所使用的且基于所述第一PMK生成的PMK。7.根据权利要求1至5任一项所述的方法，其特征在于，在所述WLAN GW向所述第二AP发送所述第二PMK和IP地址时，还包括：使得所述移动终端通过切换AP与所述第二AP重关联的过程中，所述第二AP为所述移动终端建立所述第二AP与所述WLAN GW的PMIP隧道。8.一种密钥传输装置，其特征在于，应用于部署了社区无线保真技术和代理移动互联网协议PMIP，但不具有无线接入控制器AC的网络中，所述网络中包括互为邻居关系的第一网络接入点AP和第二AP，所述第一AP和第二AP通过无线局域网络网关WLAN GW与互联网相连，移动终端与所述第一AP具有数据连接，包括：第一获取单元，用于从远程用户拨号认证系统RADIUS获取第一成对主
\t密钥PMK，所述第一PMK是所述移动终端在与所述第一AP建立数据连接时，与RADIUS计算生成的；生成单元，用于根据所述第一PMK生成对应所述第二AP的第二PMK；发送单元，用于向所述第二AP发送所述第二PMK和互联网协议IP地址，使得所述第二AP根据所述第二PMK生成对应所述移动终端的第一成对主密钥标识PMK ID，所述IP地址为所述移动终端与所述第一AP建立数据连接过程中所述WLAN GW为所述移动终端分配的IP地址，使得所述移动终端在切换AP时与所述第二AP重关联的过程中，通过所述IP地址，以及所述第二AP与所述WLAN GW之间的PMIP隧道接入网络。9.根据权利要求8所述的装置，其特征在于，在触发所述生成单元之前，还包括：第二获取单元，用于获取所述第一AP发送的包含所述第一AP邻居列表的PMIP报文，所述第一AP邻居列表包括所述第二AP的地址信息；所述生成单元...

【专利技术属性】
技术研发人员：杜宗鹏，薛莉，
申请(专利权)人：华为技术有限公司，
类型：发明
国别省市：广东;44