技術領域

本發明涉及一種應用于WIMA移動通信系統中的用戶間密鑰同步方法。

背景技術

WIMAX(Worldwide?Interoperability?for?Microwave?Access，微波存取全球互通)網絡可劃分為兩部分，如圖1所示，一部分負責接入，稱為接入網（ASN），如圖1中虛線范圍的ASN-1、ASN-2、ASN-3；另一部分負責認證、核心路由等功能，稱為核心網（CSN），如圖1中的CSN-1、CSN-2。接入網（ASN）通常包括基站（BS）和網關（ASN-GW）兩部分。BS的主要功能是通過空口與終端MS連接，從而使得終端可以連接到WIMAX網絡。ASN-GW是接入網的上行出口，它負責對終端的認證、接入路由等功能。CSN主要包含認證服務器和核心路由。CSN為終端MS提供MIP的家鄉代理，而ASN-GW為終端MS提供MIP外部代理。當兩個終端通信時，它們的數據路徑可能經過多個ASN-GW，并通過CSN轉發，例如圖1中的MS-A和MS-E之間的通信。

對于一個MS來說，它所附著的BS所在的接入網中的ASN-GW稱為服務接入網關（Serving?ASN-GW）。MS的通信數據可能經過Serving?ASN-GW后又經過其它的ASN-GW到達CSN。MS在移動過程中，它所經過的數據傳輸路徑是可以變化的，但也有一個不變點，數據傳輸路徑中不變的那個ASN-GW稱為錨定接入網關（Anchor?ASN-GW），這在WIMAX網絡中稱為“錨定數據路徑”功能。Anchor?ASN-GW通過R3接口與CSN相連。一個MS的Serving?ASN-GW可能同時就是Anchor?ASN-GW，例如MS剛入網時。舉個例子，如圖2所示，對終端MS-C，線201為原數據路徑，線202為MS-C移動至另一接入網的某基站時的數據路徑。顯然，MS-C未移動之前，ASN-GW-1既是其Serving?ASN-GW又是其Anchor?ASN-GW；MS-C移動至圖2中所示的位置時，其Serving?ASN-GW為ASN-GW-2，而其Anchor?ASN-GW仍為ASN-GW-1。

下面簡單介紹一下WIMAX系統中與本方案有關的背景知識。

WIMAX網絡中主要有兩種常用的認證方式：基于RSA的X.509數字認證方式（在PKMv1協議版本中提出，在PKMv2協議版本中繼續使用）和PKMv2協議主要支持的EAP認證方式。不管是哪種方式，經過鑒權、認證后，MS都會獲得合法的授權密鑰（AK），映射到相應的SA（security?association，安全組），每個用戶的服務流都會映射到一個SA，由SA決定加密算法和加密密鑰,并獲得相應的TEK（即終端的密鑰）。

對于RSA認證方式而言，該過程主要分為初始授權過程以及授權過程，如圖3所示。

對圖3作簡單說明：

（1）初始授權期間，BS主要是對客戶終端MS進行簡單的鑒權。BS會對終端MS的數字證書進行驗證，經過驗證后，使用公鑰對AK進行加密，并將加密后的AK發送給請求AK的終端MS。

（2）初始授權之后，終端MS會向BS發送授權請求消息。授權請求消息主要包括：X.509數字證書、終端MS支持的加密算法、終端MS的基本CID。BS對終端MS進行身份鑒別，并選擇相關加密算法和協議，并為終端MS激活AK。BS的授權響應主要包括：使用終端公鑰加密過的AK、密鑰序列號（用于標識連續兩代的AK）、密鑰生存周期、終端MS被授權可以獲取密鑰信息的SA的標識SAID及其屬性信息。終端MS獲得有效的AK并且加入指定的SA之后，終端MS為每個在授權應答消息中標識的SAID啟動一個TEK狀態機，該狀態機通過與BS的交互，最終終端MS獲得業務密鑰TEK。

對于EAP認證方式而言，其認證框架仍然是基于PKMv1協議下的RSA方式，具體過程不再贅述。

MS經過上述鑒權、認證過程后順利接入WIMAX系統。下面介紹，現在WIMAX國際標準中處于同一網關（ASN-GW）的兩個用戶的正常數據包交互過程。

在現有的WIMAX網絡中，如果兩個終端用戶之間進行業務交互，由于BS端的加解密過程比較繁瑣，且加解密過程開銷也比較大，會造成系統的開銷比較大（如時延、功耗等）。如圖4所示，如果同一ASN-GW下的兩個終端用戶MS-A和MS-B通信，其流程如下：

（1）??MS-A用自己的業務加密密鑰TEK-A將通信數據加密，密文送到BS1；