一种密钥传输方法和装置制造方法及图纸

本发明专利技术实施例公开了一种密钥传输方法和装置，包括：WLAN GW从RADIUS获取第一PMK，所述第一PMK是所述移动终端在与所述第一AP建立数据连接时，与RADIUS计算生成的；根据所述第一PMK生成对应所述第二AP的第二PMK；向所述第二AP发送所述第二PMK，使得所述第二AP根据所述第二PMK生成对应所述第二AP的第一PMK ID，可见，当所述移动终端需要切换AP到第二AP时，由于所述第二AP已经具有了所述第二PMK，不再需要所述移动终端重新与所述RADIUS计算新的PMK便具有与所述移动终端进行重关联的条件，由此使得所述移动终端可以快速切换AP，提高用户体验。

【技术实现步骤摘要】

本专利技术涉及通信领域，特别是涉及一种密钥传输方法和装置。
技术介绍
社区(Community)无线保真(Wireless-Fidelity，Wi-Fi)技术是指一种在家庭Wi-Fi的私人(Private)服务标识集(Service Set Identifier，SSID)的基础上，设定公共(Public)SSID以供他人接入的技术。在Community Wi-Fi的环境下，每一个家庭Wi-Fi的家庭网关(Residential Gateway，RG)可以视为一个网络接入点(Access Point，AP)，各个AP与无线局域网络网关(Wireless Local Area Networks Gateway，WLAN GW)连接，通过WLAN GW连接互联网。在部署有Community Wi-Fi的一种常见应用场景中，网络中不具有控制各个AP的无线接入控制器(Access controller，AC)，并且在这种情况下，各个AP或者说RG之间没有数据交互，相对独立。这种部署有Community Wi-Fi但是不具有AC的网络中的AP可以视为为一种胖AP。移动终端需要经过认证才能接入网络，在Community Wi-Fi的802.1X认证场景的认证流程中，一般AP是认证点，WLAN GW作为远程用户拨号认证系统(Remote Authentication Dial In User Service，RADIUS)代理(Proxy)。当移动终端在部署有Community Wi-Fi但是不具有AC的网络中，移动终端可以通过与RADIUS中的鉴权，授权和记账(Authentication,Authorization and Accounting，AAA)模块交互认证并计算生成用于与AP建立数据连接的成对主密钥(Pairwise Master Key，PMK)，所述移动终端可以使用该PMK与AP建立数据连接达到通过该AP登录互联网的效果。不过由于AP的Wi-Fi范围有限，当移动终端移动时，会出现移动终端离开一个AP范围，进入另一个AP范围的情况。这种情况下就需要移动终端切换连接的AP，以保持连接互联网。在移动终端每次切换AP时，RADIUS都需要重新与移动终端计算生成一个新的PMK，信息交互和计算耗时较长。如果在切换的过程中移动终端在执
行一些需要保证会话连续性的业务时，耗时较长的AP切换会为移动终端执行这类业务带来很大影响，甚至导致这类业务执行失败。带来不好的用户体验。
技术实现思路
为了解决上述技术问题，本专利技术实施例提供了一种密钥传输方法和装置，所述WLAN GW向第二AP发送基于第一PMK生成对应第二AP的第二PMK，以使得所述移动终端在切换AP时，待切换的第二AP已经具有第二PMK，所述移动终端可以不用再与RADIUS重新计算新的PMK，达到了快速切换AP的效果。第一方面，本专利技术实施例提供了一种密钥传输方法，应用于部署了社区无线保真技术但不具有AC的网络中，所述网络中包括互为邻居关系的第一AP和第二AP，所述第一AP和第二AP通过WLAN GW与互联网相连，移动终端与所述第一AP具有数据连接，所述方法包括：所述WLAN GW从RADIUS获取第一PMK，所述第一PMK是所述移动终端在与所述第一AP建立数据连接时，与RADIUS计算生成的；所述WLAN GW根据所述第一PMK生成对应所述第二AP的第二PMK；所述WLAN GW向所述第二AP发送所述第二PMK，使得所述第二AP根据所述第二PMK生成对应所述第二AP的第一PMK ID。在第一方面的第一种可能的实现方式中，在所述WLAN GW根据所述第一PMK生成对应所述第二AP的第二PMK之前，还包括：所述WLAN GW获取所述第一AP发送的包含所述第一AP邻居列表的RADIUS报文，所述第一AP邻居列表包括所述第二AP的地址信息；所述WLAN GW根据所述第一PMK生成对应所述第二AP的第二PMK，具体包括：所述WLAN GW根据所述第一PMK以及所述第二AP的地址信息生成对应所述第二AP的第二PMK。结合第一方面的第一种可能的实现方式，在第二种可能的实现方式中，所述WLAN GW向所述第二AP发送所述第二PMK，具体包括：所述WLAN GW根据所述第二AP的地址信息向所述第二AP发送携带所述第二PMK的第一RADIUS CoA报文。结合第一方面的第二种可能的实现方式，在第三种可能的实现方式中，在所述WLAN GW根据所述第二AP的地址信息向所述第二AP发送携带所述第二PMK的RADIUS CoA报文之后，还包括：所述WLAN GW获取所述第二AP发送的第二RADIUS CoA报文，所述第二RADIUS CoA报文携带所述第二AP获得所述第二PMK的确认信息。在第一方面的第四种可能的实现方式中，在所述WLAN GW根据所述第一PMK生成对应所述第二AP的第二PMK之前，还包括：所述WLAN GW接收到所述第二AP发送的RADIUS接入请求消息，所述RADIUS接入请求消息为所述第二AP接收到所述移动终端在切换AP时发送的携带有第二PMK ID的重关联消息后生成的，所述RADIUS接入请求消息包括所述移动终端标识；所述WLAN GW根据所述移动终端标识以及预先获取的所述移动终端标识与所述第一PMK的对应关系查找到所述第一PMK；所述WLAN GW向所述第二AP发送所述第二PMK，具体包括：所述WLAN GW向所述第二AP返回携带所述第二PMK的RADIUS接入确认消息。结合第一方面或者第一方面的第一种或第二种或第三种或第四种可能的实现方式，在第五种可能的实现方式中，所述第二PMK与第三PMK相同，所述第三PMK为所述移动终端与所述第一AP建立数据连接时所使用的且基于所述第一PMK生成的PMK。第二方面，本专利技术实施例提供了一种密钥传输装置，应用于部署了社区无线保真技术但不具有AC的网络中，所述网络中包括互为邻居关系的第一AP和第二AP，所述第一AP和第二AP通过WLAN GW与互联网相连，移动终端与所述第一AP具有数据连接，所述密钥传输装置包括：第一获取单元，用于从RADIUS获取第一PMK，所述第一PMK是所述移动终端在与所述第一AP建立数据连接时，与RADIUS计算生成的；生成单元，用于根据所述第一PMK生成对应所述第二AP的第二PMK；发送单元，用于向所述第二AP发送所述第二PMK，使得所述第二AP根据所述第二PMK生成对应所述第二AP的第一PMK ID。在第二方面的第一种可能的实现方式中，在触发所述生成单元之前，还包括：第二获取单元，用于获取所述第一AP发送的包含所述第一AP邻居列表的RADIUS报文，所述第一AP邻居列表包括所述第二AP的地址信息；所述生成单元具体用于根据所述第一PMK以及所述第二AP的地址信息生成对应所述第二AP的第二PMK。结合第二方面的第一种可能的实现方式，在第二种可能的实现方式中，所述发送单元具体用于根据所述第二AP的地址信息向所述第二AP发送携带所述第二PMK的第一RADIUS CoA报文。结合第二方面的第二种可能的实现方式，在第三种可能的实现方式中，在触发所述发送单元之后，还包括：第三获取单元，用于获取所述本文档来自技高网...

【技术保护点】
一种密钥传输方法，其特征在于，应用于部署了社区无线保真技术但不具有无线接入控制器AC的网络中，所述网络中包括互为邻居关系的第一网络接入点AP和第二AP，所述第一AP和第二AP通过无线局域网络网关WLAN GW与互联网相连，移动终端与所述第一AP具有数据连接，所述方法包括：所述WLAN GW从远程用户拨号认证系统RADIUS获取第一成对主密钥PMK，所述第一PMK是所述移动终端在与所述第一AP建立数据连接时，与RADIUS计算生成的；所述WLAN GW根据所述第一PMK生成对应所述第二AP的第二PMK；所述WLAN GW向所述第二AP发送所述第二PMK，使得所述第二AP根据所述第二PMK生成对应所述第二AP的第一成对主密钥标识PMK ID。

【技术特征摘要】
1.一种密钥传输方法，其特征在于，应用于部署了社区无线保真技术但不具有无线接入控制器AC的网络中，所述网络中包括互为邻居关系的第一网络接入点AP和第二AP，所述第一AP和第二AP通过无线局域网络网关WLAN GW与互联网相连，移动终端与所述第一AP具有数据连接，所述方法包括：所述WLAN GW从远程用户拨号认证系统RADIUS获取第一成对主密钥PMK，所述第一PMK是所述移动终端在与所述第一AP建立数据连接时，与RADIUS计算生成的；所述WLAN GW根据所述第一PMK生成对应所述第二AP的第二PMK；所述WLAN GW向所述第二AP发送所述第二PMK，使得所述第二AP根据所述第二PMK生成对应所述第二AP的第一成对主密钥标识PMK ID。2.根据权利要求1所述的方法，其特征在于，在所述WLAN GW根据所述第一PMK生成对应所述第二AP的第二PMK之前，还包括：所述WLAN GW获取所述第一AP发送的包含所述第一AP邻居列表的RADIUS报文，所述第一AP邻居列表包括所述第二AP的地址信息；所述WLAN GW根据所述第一PMK生成对应所述第二AP的第二PMK，具体包括：所述WLAN GW根据所述第一PMK以及所述第二AP的地址信息生成对应所述第二AP的第二PMK。3.根据权利要求2所述的方法，其特征在于，所述WLAN GW向所述第二AP发送所述第二PMK，具体包括：所述WLAN GW根据所述第二AP的地址信息向所述第二AP发送携带所述第二PMK的第一RADIUS更改授权CoA报文。4.根据权利要求3所述的方法，其特征在于，在所述WLAN GW根据所述第二AP的地址信息向所述第二AP发送携带所述第二PMK的RADIUSCoA报文之后，还包括：所述WLAN GW获取所述第二AP发送的第二RADIUS CoA报文，所述第二RADIUS CoA报文携带所述第二AP获得所述第二PMK的确认信息。5.根据权利要求1所述的方法，其特征在于，在所述WLAN GW根据
\t所述第一PMK生成对应所述第二AP的第二PMK之前，还包括：所述WLAN GW接收到所述第二AP发送的RADIUS接入请求消息，所述RADIUS接入请求消息为所述第二AP接收到所述移动终端在切换AP时发送的携带有第二PMK ID的重关联消息后生成的，所述RADIUS接入请求消息包括所述移动终端标识；所述WLAN GW根据所述移动终端标识以及预先获取的所述移动终端标识与所述第一PMK的对应关系查找到所述第一PMK；所述WLAN GW向所述第二AP发送所述第二PMK，具体包括：所述WLAN GW向所述第二AP返回携带所述第二PMK的RADIUS接入确认消息。6.根据权利要求1至5任一项所述的方法，其特征在于，所述第二PMK与第三PMK相同，所述第三PMK为所述移动终端与所述第一AP建立数据连接时所使用的且基于所述第一PMK生成的PMK。7.一种密钥传输装置，其特征在于，应用于部署了社区无线保真技术但不具有无线接入控制器AC的网络中，所述网络中包括互为邻居关系的第一网络接入点AP和第二AP，所述第一AP和第二AP通过无线局域网络网关WLAN GW与互联网相连，移动终端与所述第一AP具有数据连接，所述密钥传输装置包括：第一获取单元，用于从远程用户拨号认证系统RADIUS获取第一成对主密钥PMK，所述第一PMK是所述移动终端在与所述第一AP建立数据连接时，与RADIUS计算生成的；生成单元，用于根据所述第一PMK生成对应所述第二AP的第二PMK；发送单元，用于向所述第二AP发送所述第二PMK，使得所述第二AP根据所述第二PMK生成对应所述第二AP的第一成对主密钥标识PMK ID。8.根据权利要求7所述的装置，其特征在于，在触发所述生成单元之前，还包括：第二获取单元，用于获取所述第一AP发送的包含所述第一AP邻居列表的RADIUS报文，所述第一AP邻居列表包括所述第二AP的地址信息；所述生成单元具体用于根据所述第一PMK以及所述第二AP的地址信息
\t生成对应所述第二AP...

【专利技术属性】
技术研发人员：杜宗鹏，薛莉，
申请(专利权)人：北京华为数字技术有限公司，
类型：发明
国别省市：北京;11