技術領域

本發明涉及通訊技術領域，具體涉及切換技術。

背景技術

Wireless?Local?Area?Network(無線局域網，WLAN)技術由于具有高數據傳輸率以及易于部署等優點而逐漸被廣泛應用。在WLAN技術大規模普及過程中，用戶終端即WLAN?UE(WLAN用戶設備，下述簡稱為UE)切換過程中的安全性和認證時延倍受關注。

目前的切換方法為：UE在移動域內完成第一次Extensible?AuthenticationFramework(可擴展認證框架，EAP)認證之后，UE和Home?AAA?Server(歸屬域AAA服務器，HAAA)各自生成了Master?Session?Key(主會話密鑰，MSK)，初始接入Access?Point(接入點，AP)接收HAAA發送的MSK。初始接入AP和UE分別利用MSK派生出Pairwise?Master?Key-R0(對主密鑰-R0，PMK-R0)，初始接入AP可以稱為PMK-R0Key?Holder(PMK-R0密鑰持有者，R0KH)。之后，初始接入AP根據PMK-R0派生PMK-R1，并向其他AP分發PMK-R1，其他AP可以稱為PMK-R1?Key?Holder(PMK-R1密鑰持有者)。當發生切換時，UE和新AP(即目標AP)分別根據PMK-R1派生出Pairwise?Transient?Key(對臨時密鑰PTK)，并通過PTK保護UE和新AP之間的數據通信。

發明人發現：由于每個AP都可能參與主會話密鑰管理，因此，該方法的密鑰管理非常復雜，密鑰管理開銷大；由于PMK-R1由初始接入AP分發，而不是由AAA服務器分發，因此，為保證PMK-R1安全分發，需要在兩個AP之間建立安全關聯，由此可能存在任意兩個AP之間均需要建立安全關聯的情況，使網絡規模受限。另外，由于AP的物理安全通常難以保障，因此，將根密鑰即MSK下推給AP會存在風險，如果根密鑰因AP被攻陷而泄露，則所有派生密鑰均會泄露。

發明內容

本發明實施方式提供的切換方法、裝置和系統，在保證了密鑰安全性和認證時延小的同時，降低了密鑰管理開銷，避免了網絡規模受限問題，實現了快速安全的切換。

本發明實施方式提供的一種切換方法，包括：

在切換過程中，目標接入點AP接收用戶終端發送來的認證請求幀，所述認證請求幀中攜帶有可擴展認證框架EAP開始重認證包；

所述目標AP向可擴展認證框架重認證協議ERP服務器發送所述認證請求幀中攜帶的EAP開始重認證包；

所述目標AP從所述ERP服務器發送來的數據包中獲取重認證主會話密鑰和EAP結束重認證包，并向所述用戶終端發送攜帶有所述EAP結束重認證包的認證響應幀；

所述目標AP接收所述用戶終端發送來的重關聯請求幀，并向所述用戶終端發送重關聯響應幀；

所述目標AP利用所述重認證主會話密鑰派生出用于切換成功后與所述用戶終端進行數據通信的密鑰。

本發明實施方式提供的一種切換裝置，包括：

接收模塊，用于接收在切換過程中用戶終端發送來的認證請求幀和重關聯請求幀，并接收可擴展認證框架重認證協議ERP服務器發送來的數據包，所述認證請求幀中攜帶有可擴展認證框架EAP開始重認證包；

發送模塊，用于向所述ERP服務器發送所述認證請求幀中攜帶的EAP開始重認證包，從所述ERP服務器發送來的數據包中獲取重認證主會話密鑰和EAP結束重認證包，并向所述用戶終端發送封裝有所述EAP結束重認證包的認證響應幀，以及向所述用戶終端發送重關聯響應幀；

密鑰模塊，用于利用所述重認證主會話密鑰派生出用于切換成功后與所述用戶終端進行數據通信的密鑰。

本發明實施方式提供的一種切換系統，包括：

目標接入點AP，用于接收用戶終端發送來的攜帶有可擴展認證框架EAP開始重認證包的認證請求幀，并向可擴展認證框架重認證協議ERP服務器發送所述認證請求幀中攜帶的EAP開始重認證包，從所述ERP服務器發送來的數據包中獲取重認證主會話密鑰和EAP結束重認證包，并向所述用戶終端發送封裝有所述EAP結束重認證包的認證響應幀，接收所述用戶終端發送來的重關聯請求幀，并向所述用戶終端發送重關聯響應幀，以及利用所述重認證主會話密鑰獲得用于切換成功后與用戶終端進行數據通信的密鑰；