技術(shù)領(lǐng)域

本發(fā)明涉及無(wú)線城域網(wǎng)技術(shù)領(lǐng)域，特別是一種安全的無(wú)線城域網(wǎng)的用戶終端切換方法。

背景技術(shù)

IEEE?802.16無(wú)線城域網(wǎng)作為未來無(wú)線接入技術(shù)的重要發(fā)展方向，備受各界廣泛關(guān)注。然而，安全問題一直制約著其進(jìn)一步的推廣與發(fā)展。IEEE?802.16d中定義了基于公開密鑰加密算法（RSA）和數(shù)字證書的認(rèn)證協(xié)議，可以實(shí)現(xiàn)基站對(duì)用戶終端的認(rèn)證。IEEE?802.16d的主要缺點(diǎn)是：只提供了基站對(duì)用戶終端的單向認(rèn)證，而沒有提供用戶終端對(duì)基站的認(rèn)證，假冒基站欺騙用戶終端非常容易。此外，授權(quán)密鑰（AK）和會(huì)話密鑰（TEK）都是由基站一方產(chǎn)生的，在這種單向認(rèn)證的條件下，很難使得用戶終端對(duì)會(huì)話密鑰TEK的質(zhì)量產(chǎn)生信任。IEEE?802.16e對(duì)IEEE?802.16d進(jìn)行了增強(qiáng)性的修改，引入了可擴(kuò)展認(rèn)證協(xié)議（Extensible?Authentication?Protocol，簡(jiǎn)稱EAP）。但是，仍然只包含了基站對(duì)用戶終端的單向身份認(rèn)證。

申請(qǐng)?zhí)枮?00810027930.0的專利《一種無(wú)線城域網(wǎng)的安全接入方法》（簡(jiǎn)稱WMAN-SA）提供一種無(wú)線城域網(wǎng)的安全接入方法，在認(rèn)證授權(quán)過程中，采用了用戶終端和基站的雙向認(rèn)證代替原有的單向認(rèn)證，攻擊者冒充合法基站騙取用戶終端的信任成為不可能，避免了中間人攻擊的可能性。在密鑰的協(xié)商過程中，密鑰由用戶終端和基站共同產(chǎn)生，代替了由基站分配，保證了密鑰的質(zhì)量，增強(qiáng)了無(wú)線城域網(wǎng)的安全性。因此，改進(jìn)的協(xié)議同樣可以滿足原無(wú)線城域網(wǎng)的功能、性能要求，并且更安全。

隨著移動(dòng)計(jì)算業(yè)務(wù)的不斷發(fā)展，用戶切換的需求日益增加。未來WMAN-SA大規(guī)模部署應(yīng)用時(shí)，用戶終端在不同基站間的切換由接入網(wǎng)關(guān)進(jìn)行管理。而WMAN-SA僅定義了身份鑒別、密鑰管理、數(shù)據(jù)加密、數(shù)據(jù)鑒別和重放保護(hù)等功能，并沒有包含接入網(wǎng)關(guān)對(duì)用戶切換進(jìn)行管理的具體方案。

發(fā)明內(nèi)容

針對(duì)上述現(xiàn)有技術(shù)存在的問題，本發(fā)明提供一種安全的無(wú)線城域網(wǎng)的用戶終端切換方法，以解決在無(wú)線城域網(wǎng)中，能夠?qū)崿F(xiàn)用戶終端從一個(gè)基站安全快速的切換到同一個(gè)接入網(wǎng)關(guān)下的另一個(gè)基站的技術(shù)問題。

為了實(shí)現(xiàn)本發(fā)明的發(fā)明目的，采用的技術(shù)方案如下：

一種安全的無(wú)線城域網(wǎng)的用戶終端切換方法，所述方法包括：

目標(biāo)基站接收到用戶終端發(fā)送的切換請(qǐng)求信息，目標(biāo)基站向接入網(wǎng)關(guān)轉(zhuǎn)發(fā)切換請(qǐng)求信息；

接入網(wǎng)關(guān)向目標(biāo)基站返回切換響應(yīng)信息，目標(biāo)基站向用戶終端轉(zhuǎn)發(fā)切換響應(yīng)信息；

接入網(wǎng)關(guān)向目標(biāo)基站發(fā)送第一加入用戶終端請(qǐng)求信息；

目標(biāo)基站接收到第一加入用戶終端請(qǐng)求信息，為用戶終端配置用于進(jìn)行安全傳輸?shù)?!-- SIPO -->第一受控端口，設(shè)置第一受控端口為關(guān)閉狀態(tài)并向接入網(wǎng)關(guān)返回第一加入用戶終端響應(yīng)信息；

接入網(wǎng)關(guān)通過目標(biāo)基站完成與用戶終端的會(huì)話密鑰協(xié)商過程;

接入網(wǎng)關(guān)更新會(huì)話密鑰并向目標(biāo)基站發(fā)送包括會(huì)話密鑰及消息鑒別碼的第二加入用戶終端請(qǐng)求信息；

目標(biāo)基站接收到第二加入用戶終端請(qǐng)求信息，獲取會(huì)話密鑰，設(shè)置第一受控端口為打開狀態(tài)，向接入網(wǎng)關(guān)返回第二加入用戶終端響應(yīng)信息。

作為一種優(yōu)選方案，所述方法還包括刪除用戶信息步驟，具體包括：

接入網(wǎng)關(guān)向用戶終端在發(fā)送漫游消息時(shí)已成功接入的當(dāng)前基站發(fā)送刪除用戶終端請(qǐng)求信息；

當(dāng)前基站接收到刪除用戶終端請(qǐng)求信息，關(guān)閉與用戶終端相關(guān)聯(lián)的第二受控端口，刪除用戶終端信息，并返回刪除用戶終端響應(yīng)信息，所述第二受控端口為當(dāng)前基站為用戶終端所配置的用于進(jìn)行安全傳輸?shù)亩丝凇?/p>

作為進(jìn)一步的優(yōu)選方案，在接入網(wǎng)關(guān)向目標(biāo)基站發(fā)送第一加入用戶終端請(qǐng)求信息前，執(zhí)行刪除用戶信息步驟。

作為進(jìn)一步的優(yōu)選方案，在目標(biāo)基站向接入網(wǎng)關(guān)返回第二加入用戶終端響應(yīng)信息后，執(zhí)行刪除用戶信息步驟。

作為再進(jìn)一步的優(yōu)選方案，所述目標(biāo)基站和當(dāng)前基站通過基站安全接入?yún)f(xié)議與接入網(wǎng)關(guān)建立信任關(guān)系。

作為一種優(yōu)選方案，所述目標(biāo)基站向接入網(wǎng)關(guān)轉(zhuǎn)發(fā)用戶終端切換請(qǐng)求信息，由接入網(wǎng)關(guān)控制用戶終端加入目標(biāo)基站的具體方法包括：

目標(biāo)基站接收到用戶終端發(fā)送的切換請(qǐng)求信息，目標(biāo)基站向目標(biāo)基站的接入網(wǎng)關(guān)轉(zhuǎn)發(fā)切換請(qǐng)求信息，所述切換請(qǐng)求信息包括當(dāng)前基站標(biāo)識(shí)及用戶終端標(biāo)識(shí)，所述當(dāng)前基站為用戶終端在發(fā)送漫游消息時(shí)已成功接入的基站；

接入網(wǎng)關(guān)向目標(biāo)基站返回切換響應(yīng)信息，目標(biāo)基站向用戶終端轉(zhuǎn)發(fā)切換響應(yīng)信息，所述切換響應(yīng)信息包括當(dāng)前基站標(biāo)識(shí)、用戶終端標(biāo)識(shí)及切換請(qǐng)求處理結(jié)果；