技術領域

本發(fā)明涉及無線城域網技術領域，特別是一種安全的無線城域網的用戶終端切換方法。

背景技術

IEEE?802.16無線城域網作為未來無線接入技術的重要發(fā)展方向，備受各界廣泛關注。然而，安全問題一直制約著其進一步的推廣與發(fā)展。IEEE?802.16d中定義了基于公開密鑰加密算法（RSA）和數字證書的認證協(xié)議，可以實現基站對用戶終端的認證。IEEE?802.16d的主要缺點是：只提供了基站對用戶終端的單向認證，而沒有提供用戶終端對基站的認證，假冒基站欺騙用戶終端非常容易。此外，授權密鑰（AK）和會話密鑰（TEK）都是由基站一方產生的，在這種單向認證的條件下，很難使得用戶終端對會話密鑰TEK的質量產生信任。IEEE?802.16e對IEEE?802.16d進行了增強性的修改，引入了可擴展認證協(xié)議（Extensible?Authentication?Protocol，簡稱EAP）。但是，仍然只包含了基站對用戶終端的單向身份認證。

申請?zhí)枮?00810027930.0的專利《一種無線城域網的安全接入方法》（簡稱WMAN-SA）提供一種無線城域網的安全接入方法，在認證授權過程中，采用了用戶終端和基站的雙向認證代替原有的單向認證，攻擊者冒充合法基站騙取用戶終端的信任成為不可能，避免了中間人攻擊的可能性。在密鑰的協(xié)商過程中，密鑰由用戶終端和基站共同產生，代替了由基站分配，保證了密鑰的質量，增強了無線城域網的安全性。因此，改進的協(xié)議同樣可以滿足原無線城域網的功能、性能要求，并且更安全。

隨著移動計算業(yè)務的不斷發(fā)展，用戶切換的需求日益增加。未來WMAN-SA大規(guī)模部署應用時，用戶終端在不同基站間的切換由接入網關進行管理。而WMAN-SA僅定義了身份鑒別、密鑰管理、數據加密、數據鑒別和重放保護等功能，并沒有包含接入網關對用戶切換進行管理的具體方案。

發(fā)明內容

針對上述現有技術存在的問題，本發(fā)明提供一種安全的無線城域網的用戶終端切換方法，以解決在無線城域網中，能夠實現用戶終端從一個基站安全快速的切換到不同接入網關下的另一個基站的技術問題。

為了實現本發(fā)明的發(fā)明目的，采用的技術方案如下：

一種安全的無線城域網的用戶終端切換方法，所述方法包括：

目標基站接收到用戶終端發(fā)送的切換請求信息，目標基站向目標接入網關轉發(fā)切換請求信息；

目標接入網關向目標基站返回切換響應信息，目標基站向用戶終端轉發(fā)切換響應信息；

目標接入網關向目標基站發(fā)送第一加入用戶終端請求信息；

目標基站接收到第一加入用戶終端請求信息，為用戶終端配置用于進行安全傳輸的第一受控端口，設置第一受控端口為關閉狀態(tài)并向目標接入網關返回第一加入用戶終端響應信息；

目標接入網關通過目標基站完成與用戶終端的會話密鑰協(xié)商過程;

目標接入網關獲取會話密鑰并向目標基站發(fā)送包括會話密鑰及消息鑒別碼的第二加入用戶終端請求信息；

目標基站接收到第二加入用戶終端請求信息，設置第一受控端口為打開狀態(tài)，向目標接入網關返回第二加入用戶終端響應信息。

作為一種優(yōu)選方案，所述方法還包括刪除用戶信息步驟：

當前接入網關向當前基站發(fā)送刪除用戶終端請求信息；

當前基站接收到刪除用戶終端請求信息，關閉與用戶終端相關聯(lián)的第二受控端口，刪除用戶終端信息，并返回刪除用戶終端響應信息，所述第二受控端口為當前基站為用戶終端所配置的用于進行安全傳輸的端口。

作為進一步的優(yōu)選方案，在目標接入網關向目標基站發(fā)送第一加入用戶終端請求信息前，執(zhí)行刪除用戶信息步驟。

作為進一步的優(yōu)選方案，在目標基站向目標接入網關返回第二加入用戶終端響應信息后，執(zhí)行刪除用戶信息步驟。

作為再進一步的優(yōu)選方案，所述目標基站通過基站安全接入協(xié)議與目標接入網關建立信任關系，當前基站通過基站安全接入協(xié)議與當前接入網關建立信任關系。

作為進一步的優(yōu)選方案，所述目標基站向目標接入網關轉發(fā)用戶終端切換請求信息，由目標接入網關控制用戶終端加入目標基站的具體方法包括：

目標基站接收到用戶終端發(fā)送的切換請求信息，目標基站向目標接入網關轉發(fā)切換請求信息，所述切換請求信息包括當前基站標識、當前接入網關標識及用戶終端標識；

目標接入網關向目標基站返回切換響應信息，目標基站向用戶終端轉發(fā)切換響應信息，所述切換響應信息包括當前基站標識、當前接入網關標識、用戶終端標識及切換請求處理結果；