【技术实现步骤摘要】
本专利技术涉及通信领域,尤其涉及一种终端移动管理的方法、装置和系统。
技术介绍
无线网络以其频带免费、组网灵活、不受地形限制、易于迁移等优点,引起人们越来越多的关注。然而,由于无线网络中的数据是通过射频无线电传输,这样恶意的攻击者就容易窃听。与有线网络比较,无线网络难以采用物理手段控制,因此,目前,在终端漫游到新的传输设备下时,终端设备需要与新的传输设备相互认证和密钥协商,建立安全关联。通常,终端移动管理的过程中,安全性越高,耗费的步骤和资源就会越多,切换效率也越低。IEEE颁布的IEEE802.11r标准,是目前较为通用的无线局域网中的终端快速漫游的标准,该标准涉及到快速初始接入和快速切换认证两部分。其中,快速切换认证流程较简便,也能满足一定的安全性要求,但是此方案安全性差,容易受到攻击。
技术实现思路
有鉴于此,本专利技术实施例提供了一种终端移动管理的方法、装置和系统,在终端漫游到新的传输设备的移动管理过程中,提高了现行终端移动管理的安全性的同时,移动管理过程中的切换效率也能得到保障。第一方面,本专利技术实施例提供了一种终端移动管理的系统,所述系统包括:源传输设备和目标传输设备,以及与所述目标传输设备对应的目标服务器,其中:所述源传输设备用于向所述目标传输设备发送切换请求,所述切换请求包括终端标识,所述终端标识对应的终端由所述源传输设备管理待切换到所述目标传输设备管理;所述...
【技术保护点】
一种终端移动管理的系统,其特征在于,所述系统包括:源传输设备和目标传输设备,以及与所述目标传输设备对应的目标服务器,其中:所述源传输设备用于向所述目标传输设备发送切换请求,所述切换请求包括终端标识,所述终端标识对应的终端由所述源传输设备管理待切换到所述目标传输设备管理;所述目标传输设备用于基于所述切换请求向所述目标服务器发送接入请求;所述目标服务器用于向所述目标传输设备发送与所述接入请求对应的接入响应,所述接入响应包括与所述目标传输设备对应的切换子密钥;所述目标传输设备还用于根据所述接入响应,向所述终端发送认证触发命令,所述认证触发命令包括目标传输设备标识和目标传输设备密钥协商参数;所述目标传输设备标识和所述目标传输设备密钥协商参数被所述终端用于向所述目标传输设备发送认证请求,所述认证请求包括终端校验码、子密钥确定标识和终端密钥协商参数,其中,所述目标传输设备标识和所述目标传输设备密钥协商参数被所述终端用于计算所述终端校验码;所述目标传输设备还用于接收所述认证请求,并根据与所述认证请求中的所述子密钥确定标识对应的所述切换子密钥以及所述认证请求中的所述终端密钥协商参数和所述终端校验码对所...
【技术特征摘要】
1.一种终端移动管理的系统,其特征在于,所述系统包括:源传输设备和目
标传输设备,以及与所述目标传输设备对应的目标服务器,其中:
所述源传输设备用于向所述目标传输设备发送切换请求,所述切换请求包
括终端标识,所述终端标识对应的终端由所述源传输设备管理待切换到所述目
标传输设备管理;
所述目标传输设备用于基于所述切换请求向所述目标服务器发送接入请
求;
所述目标服务器用于向所述目标传输设备发送与所述接入请求对应的接入
响应,所述接入响应包括与所述目标传输设备对应的切换子密钥;
所述目标传输设备还用于根据所述接入响应,向所述终端发送认证触发命
令,所述认证触发命令包括目标传输设备标识和目标传输设备密钥协商参数;
所述目标传输设备标识和所述目标传输设备密钥协商参数被所述终端用于向所
述目标传输设备发送认证请求,所述认证请求包括终端校验码、子密钥确定标
识和终端密钥协商参数,其中,所述目标传输设备标识和所述目标传输设备密
钥协商参数被所述终端用于计算所述终端校验码;
所述目标传输设备还用于接收所述认证请求,并根据与所述认证请求中的
所述子密钥确定标识对应的所述切换子密钥以及所述认证请求中的所述终端密
钥协商参数和所述终端校验码对所述终端进行认证,并向所述终端发送与所述
认证请求对应的认证响应以及向所述源传输设备发送与所述切换请求对应的切
换响应。
2.根据权利要求1所述的系统,其特征在于,所述目标传输设备还用于判断
所述终端是否为首次接入所述目标传输设备,
相应的,在所述目标传输设备根据所述接入响应,向与所述终端发送认证
触发命令的方面,所述目标传输设备具体用于在所述终端为首次接入所述目标
传输设备的情况下,根据所述接入响应,向所述终端发送认证触发命令。
3.根据权利要求1或2所述的系统,其特征在于,所述终端标识包括终端用
\t户标识或终端设备标识中的至少一个。
4.根据权利要求1到3任一项所述的系统,其特征在于,所述目标传输设备
还用于向所述目标服务器发送传输设备更新请求,所述传输设备更新请求包括
所述终端标识以及所述目标传输设备标识;
所述目标服务器还用于接收所述目标传输设备发送的所述传输设备更新请
求;将所述终端标识以及所述源传输设备标识间的映射关系更新为所述终端用
标识以及所述目标传输设备标识间的映射关系;以及向所述目标传输设备发送
与所述传输设备更新请求对应的传输设备更新响应;
所述目标传输设备还用于接收所述目标服务器发送来的所述传输设备更新
响应,以及将包括所述终端标识的信息进行缓存或管理,所述信息用于判断所
述终端是否为首次接入所述目标传输设备。
5.根据权利要求1到4任一项所述的系统,其特征在于,在所述源传输设
备与所述目标传输设备都对应于所述目标服务器的情况下,
在所述基于所述目标传输设备发来的所述接入请求向所述目标传输设备发
送与所述接入请求对应的接入响应的方面,
所述目标服务器具体用于基于所述目标传输设备发来的所述接入请求向所
述目标传输设备发送与所述接入请求对应的接入响应,所述接入响应包括与所
述目标传输设备对应的切换子密钥,其中,所述切换子密钥由所述目标服务器
管理的与所述终端对应的切换根密钥计算得来。
6.根据权利要求1到4任一项所述系统,其特征在于,在所述源传输设备对
应于源服务器,所述目标传输设备对应与所述目标服务器的情况下,
在基于所述目标传输设备发来的所述接入请求向所述目标传输设备发送与
所述接入请求对应的接入响应的方面,
所述目标服务器具体用于基于所述目标传输设备发来的所述接入请求向全
局服务器发送终端位置服务器查询请求;
接收所述全局服务器发送来的与所述终端位置服务器查询请求对应的终端
位置服务器查询响应;根据所述终端位置服务器查询响应中携带的管理所述终
\t端的切换根密钥的源服务器的源服务器标识,向所述源服务器发送终端位置服
务器接入请求;
接收所述源服务器发送来的与所述终端位置服务器接入请求对应的终端位
置服务器接入响应,所述终端位置服务器接入响应包括所述终端的切换根密钥,
所述切换根密钥用于计算与所述目标传输设备对应的切换子密钥;
向所述目标传输设备发送与所述接入请求对应的接入响应,所述接入响应
包括所述切换子密钥。
7.根据权利要求1至6任一项所述的系统,其特征在于,所述认证响应包
括目标传输设备校验码,所述终端还用于根据所述认证响应中的所述目标传输
设备校验码对所述目标传输设备进行认证。
8.根据权利要求1至7任一项所述的系统,其特征在于,在所述源传输设备
向所述目标传输设备发送切换请求的方面,所述源传输设备具体用于根据所述
待切换的终端的位置信息,确定所述目标传输设备,所述目标传输设备的服务
范围包括与所述位置信息对应的子服务范围;并向确定的所述目标传输设备发
送切换请求。
9.一种终端移动管理的方法,其中,其特征在于,所述方法由目标传输设备
执行,包括:
接收源传输设备发送来的切换请求,所述切换请求包括待切换的终端的终
端标识;
根据所述切换请求,向目标服务器发送接入请求;
接收所述目标服务器发来的与所述接入请求对应的接入响应,所述接入响
应包括与所述目标传输设备对应的切换子密钥;
根据所述接入响应,向所述终端发送认证触发命令,所述认证触发命令包
括所述目标传输设备的目标传输设备标识和所述目标传输设备管理的目标传输
设备密钥协商参数,所述目标传输设备密钥协商参数和所述目标传输设备标识
被所述终端用于计算终端校验码;
接收所述终端响应于所述认证触发命令所发送的认证请求,根据所述认证
\t请求中包括的所述终端管理的子密钥确定标识对应的所述切换子密钥、所述认
证请求中包括的终端密钥协商参数和所述终端校验码对所述终端进行认证;
向所述终端发送与所述认证请求对应的认证响应,所述认证响应表示所述
目标传输设备对所述终端认证成功,以及,向所述源传输设备发送与所述切换
请求对应的切换响应。
10.根据权利要求9所述的方法,其特征在于,所述向所述源传输设备发送
与所述切换请求对应的切换响应前,所述方法还包括:
向所述目标服务器发送传输设备更新请求,所述传输设备更新请求包括所
述终端标识以及所述目标传输设备标识;
接收所述目标服务器发送来的与所述传输设备更新请求对应的传输设备更
新响应,将包括所述终端标识的信息进行缓存或管理,所述信息用于判断所述
终端是否为首次接入所述目标传输设备。
11.根据权利要求9或10所述的方法,其特征在于,所述终端标识包括终端
用户标识或终端设备标识中的至少一个。
12.根据权利要求9到11任一所述的方法,其特征在于,所述根据所述接入
响应,向所述终端发送认证触发命令,包括:
根据所述切换子密钥和所述目标传输设备管理的目标传输设备密钥协商参
数,计算消息完整性校验码;
向所述终端发送认证触发命令,所述认证触发命令包括所述消息完整性校
验码、所述目标传输设备管理的目标传输设备标识和目标传输设备密钥协商参
数,所述消息完整性校验码被所述终端用于校验所述认证触发命令的完整性。
13.根据权利要求9到12任一所述的方法,其特征在于,所述认证请求中的
所述终端管理的子密钥确定标识包括所述终端标识,相应的,所述根据所述认
证请求中包括的所述终端管理的子密钥确定标识对应的所述切换子密钥、所述
认证请求中包括的终端密钥协商参数和所述终端校验码对所述终端进行认证,
包括:
根据所述终端标识,获得所述目标传输设备管理的与所述目标传输设备对
\t应的切换子密钥;
根据所述切换子密钥、所述认证请求中的终端密钥协商参数以及所述目标
传输设备管理的目标传输设备密钥协商参数计算会话密钥;
根据所述会话密钥,采用与所述终端相同的计算算法计算第二终端校验码;
在所述第二终端校验码与所述认证请求中携带的终端校验码一致的情况
下,确定对所述终端的认证成功。
14.根据权利要求9到12任一项所述的方法,其特征在于,
所述认证请求中的所述终端管理的子密钥确定标识包括所述终端管理的切
换子密钥标识,相应的,所述根据所述认证请求中包括的所述终端管理的子密
钥确定标识对应的所述切换子密钥、所述认证请求中包括的终端密钥协商参数
和所述终端校验码对所述终端进行认证,包括:
根据所述认证请求中的切换子密钥标识,获得与所述目标传输设备对应的
切换子密钥;
根据所述切换子密钥、所述认证请求中的终端密钥协商参数以及所述目标
传输设备管理的目标传输设备密钥协商参数计算会话密钥;
根据所述会话密钥,采用与所述终端相同的计算算法计算第二终端校验码;
在第二终端校验码与所述认证请求中携带的终端校验码一致的情况下,确
定对所述终端的认证成功。
15.根据权利要求9到11任一项所述的方法,其特征在于,所述切换请求还
包括所述终端与所述源传输设备对应的安全上下文;
相应的,所述根据所述接入响应,向所述终端发送认证触发命令,包括:
根据所述接入响应,向所述终端发送认证触发命令,所述认证触发命令被
所述安全上下文所保护,所述安全上下文被所述终端用于验证所述认证触发命
令的合法性;
相应的,所述根据所述认证请求中包括的所述终端管理的子密钥确定标识
对应的所述切换子密钥、所述认证请求中包括的终端密钥协商参数和所述终端
校验码对所述终端进行认证,包括:
根据保护所述认证请求的安全上下文和所述目标传输设备管理的安全上下
文,验证所述认证请求的合法性;
在所述认证请求的合法性验证通过的情况下,根据所述认证请求中的所述
终端管理的子密钥确定标识对应的所述切换子密钥、所述认证请求中包括的终
端密钥协商参数和所述终端校验码对所述终端进行认证;
相应的,所述向所述终端发送与所述认证请求对应的认证响应,包括:
向所述终端发送认证响应,所述认证响应被所述安全上下文所保护,所述
认证响应包括所述目标传输设备管理的目标传输设备校验码,所述认证响应包
括的所述目标传输设备校验码被所述终端用于对所述目标传输设备进行认证。
16.根据权利要求9到15任一项所述的方法,其特征在于,所述方法还包括:
判断所述终端是否为首次接入所述目标传输设备;
相应的,所述根据所述接入响应,向所述终端发送认证触发命令,包括:
在判断出所述终端为首次接入所述目标传输设备的情况下,根据所述接入响应,
向所述终端发送认证触发命令。
17.根据权利要求9到16任一项所述的方法,其特征在于,所述向所述源传
输设备发送与所述切换请求对应的切换响应后,所述方法还包括:
接收所述源传输设备发送的在所述移动管理过程中产生的有关所述终端的
缓存数据。
18.一种终端移动管理的方法,其特征在于,所述方法由源传输设备执行,
所述方法包括:
向所述目标传输设备发送切换请求,所述切换请求被所述目标传输设备用
于向目标服务器请求下发待切换的终端与所述目标传输设备间的切换子密钥,
所述切换子密钥与所述目标传输设备对应,所述切换子密钥被所述目标传输设
备用于向所述终端发送认证触发命令,所述认证触发命令被所述终端用于向所
述目标传输设备发送认证请求,所述认证请求被所述目标传输设备用于对所述
终端进行认证之后,向所述终端发送与所述认证请求对应的认证响应以及向所
述源传输设备发送与所述切换请求对应的切换响应,所述认证响应表示对所述
\t终端认证成功;其中,所述切换请求包括所述终端的终端标识;
接收所述目标传输设备发来的所述切换响应。
19.根据权利要求18所述的方法,其特征在于,所述向所述目标传输设备发
送切换请求,包括:
获取所述待切换的终端的位置信息;
根据所述终端的位置信息,确定所述目标传输设备,所述目标传输设备的
服务范围包括与所述位置信息对应的子服务范围;
向确定的所述目标传输设备发送切换请求。
20.根据权利要求18或19所述的方法,其特征在于,所述接收所述目标传
输设备向所述终端发送认证响应后发来的与所述切换请求相应的切换响应后,
还包括:
向所述目标传输设备传输在移动管理过程中产生的有关所述终端的缓存数
据。
21.根据权利要求18到20任一项所述的方法,其特征在于,所述终端标识
包括终端用户标识或终端设备标识中的至少一个。
22.一种终端移动管理的方法,其中,其特征在于,所述方法由终端执行,
所述方法包括:
接收所述目标传输设备发送的认证触发命令,所述认证触发命令包括所述
目标传输设备管理的目标传输设备标识和目标传输设备密钥协商参数,所述目
标传输设备标识和所述目标传输设备密钥协商参数用于计算终端校验码;
根据所述认证触发命令,向所述目标传输设备发送认证请求,所述认证请
求中的所述终端校验码、子密钥确定标识和终端密钥协商参数用于所述目标传
输设备对所述终端进行认证,以及在认证之后向所述终端发送认证响应以及向
所述源传输设备发送切换响应,其中所述子密钥确定标识用于表示与所述目标
传输设备对应的切换子密钥;
接收所述目标传输设备发送的与所述认证请求对应的认证响应,所述认证
\t响应表示所述目标传输设备对所述终端认证成功。
23.根据权利要求22所述的方法,其特征在于,所述认证响应包括目标传输
设备校验码,所述方法还包括:
根据所述认证响应中的目标传输设备校验码对所述目标传输设备进行认
证。
24.根据权利要求23所述的方法,其特征在于,
在接收到的目标传输设备发送的认证触发被所述终端与所述源传输设备对
应的安全上下文所保护的情况下,所述向所述目标传输设备发送认证请求,包
括:
向所述目标传输设备发送认证请求,所述认证请求被所述终端管理的与所
述源传输设备对应的安全上下文所保护,所述认证请求中的所述终端管理的子
密钥确定标识、所述终端密钥协商参数和所述终端校验码被所述目标传输设备
用于对所述终端进行认证;
相应的,所述接收所述目标传输设备发送的与所述认证请求对应的认证响
应,包括:
接收所述目标传输设备发送的与所述认证请求对应的认证响应,所述认证
响应被所述终端与所述源传输设备对应的安全上下文所保护;
所述方法还包括:根据所述终端上管理的与所述源传输设备对应的安全上
下文,验证所述认证响应的合法性;
所述根据所述认证响应中的目标传输设备校验码对所述目标传输设备进行
认证,包括:在所述认证响应的合法性通过验证的情况下,根据所述认证响应
中的目标传输设备校验码对所述目标传输设备进行认证。
25.根据权利要求23或24所述的方法,其特征在于,所述根据所述认证响
应中的目标传输设备校验码对所述目标传输设备进行认证,包括:
根据所述终端管理的会话子密钥,采用与所述目标传输设备相同的计算算
法计算第二目标传输设备校验码,在所述终端计算的第二目标传输设备校验码
与所述认证响应中的目标传输设备校验码一致的情况下,对所述目标传输设备
\t的认证成功。
26.根据权利要求22至25任一项所述的方法,其特征在于,所述根据所述
认证触发命令,向所述目标传输设备发送认证请求,包括:
根据所述认证触发命令中包括的目标传输设备标识和所述终端管理的切换
根密钥,计算与所述目标传输设备对应的切换子密钥;
根据所述切换子密钥、所述认证触发命令中的所述目标传输设备密钥协商
参数和所述终端管理的终端密钥协商参数计算会话密钥;
根据所述会话密钥,计算所述终端校验码;
向所述目标传输设备发送认证请求,所述认证请求包括所述终端校验码、
所述终端管理的子密钥确定标识和所述终端密钥协商参数。
27.根据权利要求26所述的方法,其特征在于,所述认证触发命令还包括消
息完整性校验码,
所述方法还包括:
根据所述切换子密钥和所述认证触发命令中包括的目标传输设备密钥协商
参数,采用与所述目标传输设备相同的计算算法计算第二消息完整性校验码;
所述根据所述切换子密钥、所述认证触发命令中的所述目标传输设备密钥
协商参数和所述终端管理的终端密钥协商参数计算会话密钥包括:
在所述认证触发命令中携带的消息完整性校验码与所述计算的第二消息完
整性校验码一致的情况下,根据所述切换子密钥、所述终端管理的终端密钥协
商参数以及所述目标传输设备密钥协商参数计算会话密钥。
28.根据权利要求26或27所述的方法,其特征在于,所述认证触发命令
被所述终端与所述源传输设备对应的安全上下文所保护,
所述方法还包括:
根据所述终端上管理的与所述源传输设备对应的安全上下文,验证所述认
证触发命令的合法性;
所述根据所述认证触发命令中包括的目标传输设备标识和所述终端管理的
切换根密钥,计算与所述目标传输设备对应的切换子密钥,包括:在所述认证
\t触发命令通过验证的情况下,根据所述认证触发命令中包括的目标传输设备标
识和所述终端管理的切换根密钥,计算与所述目标传输设备对应的切换子密钥。
29.根据权利要求22到28任一项所述的方法,其特征在于,所述终端管理
的子密钥确定标识包括所述终端管理的终端标识,所述终端标识包括终端用户
标识或终端设备标识中的至少一个;
所述向所述目标传输设备发送认证请求,包括:
向所述目标传输设备发送认证请求,所述认证请求包括所述终端校验码、
所述终端管理的所述终端标识和所述终端密钥协商参数。
30.根据权利要求22到28任一项所述的方法,其特征在于,所述终端管理
的子密钥确定标识包括所述终端管理的切换子密钥标识,相应的,所述向所述
目标传输设备发送认证请求,包括:
向所述目标传输设备发送认证请求,所述认证请求包括所述终端校验码、
所述终端管理的切换子密钥标识和所述终端密钥协商参数。
31.一种终端移动管理的方法,其中,其特征在于,所述方法由与目标传输
设备对应的目标服务器执行,所述方法包括:
接收所述目标传输设备发送来的接入请求,所述接入请求包括请求接入所
述目标传输设备的终端的终端标识;
向所述目标传输设备发送与所述接入请求对应的接入响应,所述接入响应
包括所述目标服务器管理的与所述目标传输设备对应的所述终端与所述...
【专利技术属性】
技术研发人员:李兴华,刘会博,何承东,
申请(专利权)人:华为技术有限公司,
类型:发明
国别省市:广东;44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。