專利名稱:支持快速切換的預(yù)認(rèn)證方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種移動通信領(lǐng)域的認(rèn)證方法,尤其涉及一種移動通信中支持移動用戶站實(shí) 現(xiàn)快速切換的預(yù)認(rèn)證機(jī)制。
背景技術(shù):
隨著計(jì)算機(jī)技術(shù)和通信技術(shù)的發(fā)展,移動通信已深入人們的生活。為了保證通信系統(tǒng)的 可運(yùn)營、可管理和可計(jì)費(fèi),防止非法的用戶訪問網(wǎng)絡(luò)提供的服務(wù),通信系統(tǒng)必須對接入的設(shè) 備和用戶進(jìn)行認(rèn)證,只有通過認(rèn)證的設(shè)備和用戶,才被允許接入網(wǎng)絡(luò),使用網(wǎng)絡(luò)的資源,訪 問網(wǎng)絡(luò)提供的服務(wù)。在移動通信中,通常存在三類實(shí)體MSS (移動用戶站)、BS (基站)和 ASA (認(rèn)證服務(wù)器),其中BS完成接入功能,ASA完成對MSS的認(rèn)證。MSS屬于用戶側(cè),BS和 ASA屬于網(wǎng)絡(luò)側(cè)。
認(rèn)證按其認(rèn)證的層次可以分為單重認(rèn)證和多重認(rèn)證。在單重認(rèn)證中,用戶側(cè)和網(wǎng)絡(luò)側(cè)認(rèn) 證雙方只需要進(jìn)行一次認(rèn)證。在多重認(rèn)證中,認(rèn)證雙方先后要進(jìn)行多次認(rèn)證,每次認(rèn)證可能 分別基于不同的目的,針對不同的對象。例如在某些通信系統(tǒng)中,設(shè)備進(jìn)入網(wǎng)絡(luò)時,網(wǎng)絡(luò)端 通常要認(rèn)證接入用戶端的設(shè)備和用戶,只有在接入用戶端使用合法設(shè)備并具備合法用戶身份 的情況下,才允許其接入網(wǎng)絡(luò),使用網(wǎng)絡(luò)資源,訪問網(wǎng)絡(luò)提供的服務(wù)。
在多重認(rèn)證過程中,認(rèn)證雙方在每一重認(rèn)證中都可能會協(xié)商出一個共享的密鑰pre-SK(預(yù) 共享密鑰),然后根據(jù)需要再由pre-SK推演出共享的SK (共享密鑰)。在多重認(rèn)證完成后, 雙方再從這些SK推演出一個共享的密鑰AK (授權(quán)密鑰)。在移動通信中,上述認(rèn)證過程通常 發(fā)生在MSS和ASA之間,BS位于MSS和ASA之間,轉(zhuǎn)發(fā)MSS和ASA之間的認(rèn)證信息。ASA在 認(rèn)證結(jié)束后會將AK或者各重認(rèn)證中生成的SK發(fā)送給BS,然后MSS與BS之間的后續(xù)通信過 程就是直接或間接在AK的保護(hù)下進(jìn)行的。
當(dāng)MSS在進(jìn)行移動通信時,不可避免地要在BS之間進(jìn)行切換。在切換過程中,當(dāng)MSS接 入到目標(biāo)BS (移動用戶站當(dāng)前要切換到的基站)時,要進(jìn)行網(wǎng)絡(luò)重入,此時MSS與目標(biāo)BS 之間要重新建立信任關(guān)系,網(wǎng)絡(luò)重新認(rèn)證MSS的身份。在認(rèn)證過程中,MSS與網(wǎng)絡(luò)之間的通 信將被暫時中斷,如果認(rèn)證時間過長,很可能會造成上層業(yè)務(wù)掉線。
為了解決上述問題,在當(dāng)前的移動通信系統(tǒng)中引入了預(yù)認(rèn)證機(jī)制。預(yù)認(rèn)證機(jī)制是基于這
種構(gòu)想如果MSS在切換前,MSS和目標(biāo)BS擁有了一個共享的密鑰,那么在切換過程中,MSS
和目標(biāo)BS之間就可以利用這個共享的密鑰,快速建立起信任關(guān)系,而不需要進(jìn)行一次完整的
重認(rèn)證。但是,由于目前移動通信系統(tǒng)的預(yù)認(rèn)證機(jī)制基本上是將MSS和服務(wù)BS (當(dāng)前正與移 動用戶站進(jìn)行通信的基站)當(dāng)前使用的AK或者AK的密鑰素材直接傳送給目標(biāo)BS,以達(dá)到MSS 與目標(biāo)BS建立共享密鑰的目的,這樣使得目標(biāo)BS可以解密MSS和服務(wù)BS先前的通信,不符
合安全原則。另外,當(dāng)前的預(yù)認(rèn)證機(jī)制基本上是基于單重認(rèn)證,不能適用于多重認(rèn)證的情況, 因?yàn)樵诙嘀卣J(rèn)證中涉及到復(fù)雜的密鑰結(jié)構(gòu),因此需要設(shè)計(jì)一種預(yù)認(rèn)證方法,使得在基于單重 或多重認(rèn)證的通信系統(tǒng)中,MSS能夠安全地進(jìn)行快速切換。
發(fā)明內(nèi)容
針對現(xiàn)有技術(shù)存在的缺陷和不足,本發(fā)明提供一種在基于單重或多重認(rèn)證的通信系統(tǒng)中 快速、安全的支持快速切換的預(yù)認(rèn)證方法。
為達(dá)到上述目的,本發(fā)明采用以下技術(shù)方案;支持快速切換的預(yù)認(rèn)證方法,包括如下步
驟
歩驟A,預(yù)認(rèn)證信息發(fā)送端與目標(biāo)基站通過有線網(wǎng)絡(luò)連接在一起,并通過有線網(wǎng)絡(luò)的安 全機(jī)制建立起全連接;
歩驟B,預(yù)認(rèn)證信息發(fā)送端推演出預(yù)認(rèn)證信息;
歩驟C,預(yù)認(rèn)證信息發(fā)送端將預(yù)認(rèn)證信息發(fā)送給目標(biāo)基站。
優(yōu)選的在所述的支持快速切換的預(yù)認(rèn)證方法,還包括
步驟D,目標(biāo)基站在接收到預(yù)認(rèn)證信息后向ASA發(fā)送響應(yīng)消息,該響應(yīng)消息為確認(rèn)目標(biāo) 基站已經(jīng)收到了預(yù)認(rèn)證信息發(fā)送端發(fā)送的預(yù)認(rèn)證信息,或目標(biāo)BS拒絕接收預(yù)認(rèn)證信息發(fā)送端
發(fā)送的預(yù)認(rèn)證信息。
優(yōu)選的在所述的支持快速切換的預(yù)認(rèn)證方法,所述預(yù)認(rèn)證信息發(fā)送端為服務(wù)基站或認(rèn) 證服務(wù)器,預(yù)認(rèn)證信息為移動用戶站與目標(biāo)基站使用的授權(quán)密鑰或者授權(quán)密鑰的密鑰素材信 息。
優(yōu)選的在所述的支持快速切換的預(yù)認(rèn)證方法,步驟B具體為服務(wù)基站從移動用戶站 和服務(wù)基站當(dāng)前正在使用的授權(quán)密鑰推演出移動用戶站和目標(biāo)BS要使用的授權(quán)密鑰,推演出 來的授權(quán)密鑰被包含在預(yù)認(rèn)證信息中。
優(yōu)選的在所述的支持快速切換的預(yù)認(rèn)證方法,所述移動用戶站和目標(biāo)BS要使用的授權(quán) 密鑰通過一偽隨機(jī)數(shù)生成函數(shù)由移動用戶站和服務(wù)基站當(dāng)前正在使用的授權(quán)密鑰推演來的。
優(yōu)選的在所述的支持快速切換的預(yù)認(rèn)證方法,步驟B具體為服務(wù)基站從移動用戶站
與服務(wù)BS當(dāng)前使用的共享密鑰集合中推演出移動用戶站和目標(biāo)BS要使用的共享密鑰集合。
優(yōu)選的在所述的支持快速切換的預(yù)認(rèn)證方法,所述移動用戶站和目標(biāo)BS要使用的授權(quán)
密鑰通過一偽隨機(jī)數(shù)生成函數(shù)由移動用戶站和服務(wù)基站當(dāng)前正在使用的認(rèn)證協(xié)商的共享密鑰 推演來的。
優(yōu)選的在所述的支持快速切換的預(yù)認(rèn)證方法,步驟B具體為認(rèn)證服務(wù)器推演出移動 用戶站和目標(biāo)基站要使用的授權(quán)密鑰,并將授權(quán)密鑰包含在預(yù)認(rèn)證信息中。
優(yōu)選的在所述的支持快速切換的預(yù)認(rèn)證方法,步驟B具體為認(rèn)證服務(wù)器推演出移動 用戶站和目標(biāo)基站要使用的共享密鑰。
在支持單重認(rèn)證的移動通信系統(tǒng)中,本發(fā)明通過一偽隨機(jī)數(shù)生成函數(shù)由服務(wù)基站與移動 用戶站使用的授權(quán)密鑰推演出目標(biāo)基站與移動用戶站使用的授權(quán)密鑰,服務(wù)基站將該新生成 的授權(quán)密鑰傳送給目標(biāo)基站,相對于現(xiàn)有技術(shù)中服務(wù)基站將其當(dāng)前使用的舊的授權(quán)密鑰直接 傳送給目標(biāo)基站,更符合安全原則。
本發(fā)明還可應(yīng)用于支持多重認(rèn)證的移動通信系統(tǒng)中,認(rèn)證服務(wù)器或服務(wù)基站可以通過多 種策略推演移動用戶站和目標(biāo)基站使用的授權(quán)密鑰,認(rèn)證服務(wù)器或服務(wù)基站將該新生成的授 權(quán)密鑰傳送給目標(biāo)基站,相對于現(xiàn)有技術(shù)中認(rèn)證服務(wù)器或服務(wù)基站將其當(dāng)前使用的舊的授權(quán) 密鑰直接傳送給目標(biāo)基站,更符合安全原則。
服務(wù)基站、目標(biāo)基站以及認(rèn)證服務(wù)器之間通過有線網(wǎng)絡(luò)連接在一起,它們之間通過有線 網(wǎng)絡(luò)的安全機(jī)制建立起安全連接,可以充分保證服務(wù)基站、目標(biāo)基站以及服務(wù)器之間交換的 消息的安全性。
通過步驟B、 C預(yù)認(rèn)證信息發(fā)送端將預(yù)認(rèn)證信息,發(fā)送給目標(biāo)基站,簡單快捷;歩驟D通 過確認(rèn)的通信方式將預(yù)認(rèn)證信息,發(fā)送給目標(biāo)基站,過程更安全。
圖1為預(yù)認(rèn)證中預(yù)認(rèn)證信息推演以及傳送流程;
圖2為預(yù)認(rèn)證中預(yù)認(rèn)證信息推演以及傳送流程,其中預(yù)認(rèn)證信息包含AK,且預(yù)認(rèn)證信息 從服務(wù)BS發(fā)送給目標(biāo)BS;
圖3為預(yù)認(rèn)證中預(yù)認(rèn)證信息推演以及傳送流程,其中預(yù)認(rèn)證信息包含AK的密鑰素材 (SK1, SK2, ".., SKn),且預(yù)認(rèn)證信息從服務(wù)BS發(fā)送給目標(biāo)BS;
圖4為預(yù)認(rèn)證中預(yù)認(rèn)證信息推演以及傳送流程,其中預(yù)認(rèn)證信息包含AK,且預(yù)認(rèn)證信息 從ASA發(fā)送給目標(biāo)BS;
圖5為預(yù)認(rèn)證中預(yù)認(rèn)證信息推演以及傳送流程,其中預(yù)認(rèn)證信息包含AK的密鑰素材 (SK1, SK2, ".., SKn),且預(yù)認(rèn)證信息從ASA發(fā)送給目標(biāo)BS;
圖6為802. 16e中MSS切換圖7為802. 16e中的預(yù)認(rèn)證流程,其中預(yù)認(rèn)證信息由服務(wù)BS發(fā)送給目標(biāo)BS。該預(yù)認(rèn)證流 程由MSS發(fā)起,并且服務(wù)BS將預(yù)認(rèn)證信息發(fā)送給目標(biāo)BS時,采用的是有確認(rèn)的通信方式;
圖8為802. 16e中的預(yù)認(rèn)證流程圖,其中預(yù)認(rèn)證信息由服務(wù)BS發(fā)送給目標(biāo)BS;該預(yù)認(rèn) 證流程由服務(wù)基站發(fā)起,并且服務(wù)BS將預(yù)認(rèn)證信息發(fā)送給目標(biāo)BS時,采用的是有確認(rèn)的通 信方式
圖9為802. 16e中的預(yù)認(rèn)證流程圖,其中預(yù)認(rèn)證信息由ASA發(fā)送給目標(biāo)BS。
具體實(shí)施例方式
本發(fā)明支持快速切換的預(yù)認(rèn)證方法,使得在基于單重或多重認(rèn)證的通信系統(tǒng)中,MSS能 夠安全地進(jìn)行快速切換。參照附圖1,本發(fā)明支持快速切換的預(yù)認(rèn)證方法包括如下歩驟
首先,服務(wù)BS、目標(biāo)BS以及ASA之間通過有線網(wǎng)絡(luò)連接在一起,它們之間通過有線網(wǎng) 絡(luò)的安全機(jī)制建立起安全連接,可以充分保證服務(wù)BS、目標(biāo)BS以及ASA之間交換的消息的 安全性。
服務(wù)BS和ASA作為預(yù)認(rèn)證信息發(fā)送端,根據(jù)使用過的AK或者AK的密鑰素材,推演出移 動用戶站和目標(biāo)基站使用的AK或者AK的密鑰素材。使用該新生成的AK或者AK的密鑰素材 稱為預(yù)認(rèn)證信息,不會泄漏MSS與其它BS使用的密鑰信息。
預(yù)認(rèn)證信息發(fā)送端將預(yù)認(rèn)證信息發(fā)送給目標(biāo)基站。
目標(biāo)基站在接收到預(yù)認(rèn)證信息后向ASA發(fā)送響應(yīng)消息,該響應(yīng)消息為確認(rèn)目標(biāo)基站己經(jīng) 收到了預(yù)認(rèn)證信息發(fā)送端發(fā)送的預(yù)認(rèn)證信息,或目標(biāo)BS拒絕接收預(yù)認(rèn)證信息發(fā)送端發(fā)送的預(yù) 認(rèn)證信息。
下面針對不同的預(yù)認(rèn)證信息發(fā)送端和不同的預(yù)認(rèn)證信息,對本發(fā)明支持快速切換的預(yù)認(rèn) 證方法作具體詳細(xì)的說明
需要說明的是在本發(fā)明中,我們假定本發(fā)明針對的是一個基于N重認(rèn)證的系統(tǒng)(其中 N〉二l),并且將MSS與目標(biāo)BS使用的AK或者AK的密鑰素材等信息稱為預(yù)認(rèn)證信息。在本發(fā) 明中預(yù)認(rèn)證信息可能由服務(wù)BS或者ASA發(fā)送給目標(biāo)BS。
在下面對發(fā)明內(nèi)容的描述中,AKserving標(biāo)識MSS和服務(wù)BS當(dāng)前正在使用的AK,
SKiserving標(biāo)識MSS和服務(wù)BS當(dāng)前正在使用的第i重認(rèn)證協(xié)商的SK, pre—SKi是第i重認(rèn)
證中協(xié)商出來的pre-SK, SKi是從pre-SKi推演出來的SK。由于并非所有的SK都被用來推
演AK,本發(fā)明中所說的SK集合(SK1, SK2,……,SKn)只涉及那些用作AK密鑰素材的SK。
本發(fā)明主要涉及預(yù)認(rèn)證過程中預(yù)認(rèn)證信息的處理與傳送,其過程一般發(fā)生在服務(wù)BS或者
ASA接收到其它實(shí)體發(fā)送來的相關(guān)預(yù)認(rèn)證請求消息之后,該消息指明了 MSS要切換到的目標(biāo) BS。由于服務(wù)BS在一定情況下也可以主動發(fā)起預(yù)認(rèn)證,所以當(dāng)預(yù)認(rèn)證信息是由服務(wù)BS發(fā)送 給目標(biāo)BS時,本發(fā)明的過程也可以發(fā)生在服務(wù)BS主動決定發(fā)起預(yù)認(rèn)證過程之后。
預(yù)認(rèn)證信息發(fā)送端為服務(wù)基站,發(fā)送預(yù)認(rèn)證信息給目標(biāo)基站的分為兩種情況 參照附圖2,預(yù)認(rèn)證信息包含AK,且預(yù)認(rèn)證信息從服務(wù)BS發(fā)送給目標(biāo)BS的具體流程為
1、 首先服務(wù)BS推演出它要傳送的預(yù)認(rèn)證信息。
如果預(yù)認(rèn)證信息中包含AK,服務(wù)BS從AKserving推演出MSS和目標(biāo)BS要使用的AK,例 如,AK可能是通過一偽隨機(jī)數(shù)生成函數(shù)由AKserving推演來的。推演出來的AK被包含在預(yù) 認(rèn)證信息中。
2、 服務(wù)BS將預(yù)認(rèn)證信息發(fā)送給目標(biāo)BS。
3、 目標(biāo)BS在接收到預(yù)認(rèn)證信息后向服務(wù)BS發(fā)送響應(yīng)消息,該響應(yīng)消息可能是確認(rèn)目標(biāo) BS已經(jīng)收到了服務(wù)BS發(fā)送的預(yù)認(rèn)證信息,也可能表示目標(biāo)BS拒絕接收服務(wù)BS發(fā)送的預(yù)認(rèn) 證信息。
參照附圖3,預(yù)認(rèn)證信息包含AK的密鑰素材(SK1, SK2,.., SKn),且預(yù)認(rèn)證信息從 服務(wù)BS發(fā)送給目標(biāo)BS的具體流程為
1、 首先服務(wù)BS推演出它要傳送的預(yù)認(rèn)證信息。
如果預(yù)認(rèn)證信息中包含AK的密鑰素材(即各重認(rèn)證中協(xié)商的SK(SK1, SK2,……,SKn)), 那么服務(wù)BS通過一定策略從MSS與服務(wù)BS當(dāng)前使用的SK集合(SKlserving, SK2serving,……,SKnserving)中分別推演出MSS和目標(biāo)BS要使用的SK集合(SK1 , SK2,……, SKn)。 SKi是從SKiserving推演出來的,例如,SKi可能是通過一偽隨機(jī)數(shù)生成函數(shù)由 SKiserving推演來的。
2、 服務(wù)BS將預(yù)認(rèn)證信息發(fā)送給目標(biāo)BS。
3、 目標(biāo)BS在接收到預(yù)認(rèn)證信息后向服務(wù)BS發(fā)送響應(yīng)消息,該響應(yīng)消息可能是確認(rèn)目標(biāo) BS已經(jīng)收到了服務(wù)BS發(fā)送的預(yù)認(rèn)證信息,也可能表示目標(biāo)BS拒絕接收服務(wù)BS發(fā)送的預(yù)認(rèn) 證信息。
預(yù)認(rèn)證信息發(fā)送端為認(rèn)證服務(wù)器,發(fā)送預(yù)認(rèn)證信息給目標(biāo)基站的分為兩種情況 參照附圖4,預(yù)認(rèn)證信息包含AK,且預(yù)認(rèn)證信息從ASA發(fā)送給目標(biāo)BS的具體流程為-1、首先ASA推演出它要傳送的預(yù)認(rèn)證信息。
如果ASA在預(yù)認(rèn)證信息中包含AK, ASA按照一定策略推演出MSS和目標(biāo)BS要使用的AK, 并將AK包含在預(yù)認(rèn)證信息中。AK可以采用多種策略進(jìn)行推演,例如,AK從SK集合(SK1, SK2,……,SKn)、 MSS標(biāo)識以及BS標(biāo)識推演出來,相應(yīng)的,預(yù)認(rèn)證信息中的AK是從其密鑰 素材SK (SK1, SK2,……,SKn)、 MSS標(biāo)識以及目標(biāo)BS標(biāo)識推演出來的。MSS標(biāo)識和BS標(biāo) 識分別唯一標(biāo)識一個MSS和BS。
2 、 ASA將預(yù)認(rèn)證信息發(fā)送給目標(biāo)BS 。
3、目標(biāo)BS在接收到預(yù)認(rèn)證信息后向ASA發(fā)送響應(yīng)消息,該響應(yīng)消息可能是確認(rèn)目標(biāo)BS 已經(jīng)收到了 ASA發(fā)送的預(yù)認(rèn)證信息,也可能表示目標(biāo)BS拒絕接收ASA發(fā)送的預(yù)認(rèn)證信息。
參照附圖5,預(yù)認(rèn)證信息包含AK的密鑰素材(SK1, SK2,.., SKn),且預(yù)認(rèn)證信息從 ASA發(fā)送給目標(biāo)BS的具體流程為
1、首先ASA推演出它要傳送的預(yù)認(rèn)證信息。
如果ASA在預(yù)認(rèn)證信息中包含SK, ASA分別按照一定的策略推演出MSS和目標(biāo)BS要使用 的各重SK (SK1, SK2,……,SKn)。各重SK的推演也可以有多種方法,可以采用本發(fā)明中 所發(fā)明的SK推演方法,MSS和BS使用的SK是從AAA-KEY、 MSS標(biāo)識以及BS標(biāo)識推演出來的, 相應(yīng)的,MSS和目標(biāo)BS使用的SKi是從pre-SKi 、 MSS標(biāo)識以及目標(biāo)BS標(biāo)識推演出來的。
下面結(jié)合附圖和802. 16e中預(yù)認(rèn)證的實(shí)施例,對本發(fā)明作進(jìn)一歩詳細(xì)說明
基于IEEE 802. 16的無線城域網(wǎng)(麵AN)是一項(xiàng)新興的寬帶無線接入技術(shù),是針對2 — 66GHz 頻段提出的一種新的空中接口標(biāo)準(zhǔn)。在802. 16系列標(biāo)準(zhǔn)中,802. 16e是對當(dāng)前802. 16系列 標(biāo)準(zhǔn)增強(qiáng),它支持移動用戶站以車載速度接入網(wǎng)絡(luò)。802. 16e支持設(shè)備認(rèn)證和用戶認(rèn)證兩種 認(rèn)證方式,目前802. 16e對設(shè)備認(rèn)證采用的是RSA認(rèn)證,在該認(rèn)證過程中,通信雙方會協(xié)商 一個共享的pre-PAK (primary master key,主授權(quán)密鑰),然后雙方通過pre-PAK推演出一 共享的PAK。對用戶的認(rèn)證采用的是基于EAP的認(rèn)證方法,EAP是一種可擴(kuò)展的認(rèn)證框架,它 支持多種標(biāo)準(zhǔn)EAP認(rèn)證方法,在該過程中,雙方可能會生成一個共享的AAA-KEY,然后從 AAA-KEY推演出PMK (在EAP認(rèn)證過程中也可能不會協(xié)商出共享的密鑰AM-KEY、 PMK,這由 雙方采用的具體EAP認(rèn)證方法決定)。在認(rèn)證過程結(jié)束后,移動終端和BS會根據(jù)上述認(rèn)證過 程中協(xié)商的密鑰PAK和PMK推演出一個AK (authorization key,授權(quán)密鑰),只有移動終端 和BS推演出的AK相一致時,它們才能正常進(jìn)行后續(xù)的通信過程。
參照附圖6,描述了一個MSS切換的場景, 一個MSS正連接在BS1 (此時BSl為服務(wù)BS)
上,并且向BS2覆蓋區(qū)域移動。MSS在接入服務(wù)BS時,分別通過RSA認(rèn)證生成PAK,通過基于EAP的認(rèn)證生成AAA-KEY,進(jìn)而從AAA—KEY推演出PMK。當(dāng)MSS移動到BSl的覆蓋區(qū)域的 邊界附近,并檢測到BS1下行鏈路的通信質(zhì)量低于一定的閾值時,開始掃描BS1的鄰居BS。 在隨后的過程中,MSS和BSl經(jīng)過小區(qū)選擇、切換決定等階段協(xié)商了 MSS要切換到BS2 (目標(biāo) BS),此時MSS或者BSl發(fā)起預(yù)認(rèn)證。
在圖7、圖8所示的實(shí)施例中,預(yù)認(rèn)證信息由服務(wù)BS發(fā)送給目標(biāo)BS,且預(yù)認(rèn)證信息中包 含的是AK的密鑰素材(PAK、 PMK)。
參照附圖7,當(dāng)預(yù)認(rèn)證過程由MSS發(fā)起時,其過程如下
1、 預(yù)認(rèn)證請求。MSS向BS1發(fā)送預(yù)認(rèn)證請求消息,該消息中包含BS2的標(biāo)識號。
2、 BS1利用一偽隨機(jī)數(shù)生成函數(shù)(PRF)從其當(dāng)前使用的PAKserving和PMKserving推 演出MSS與BS2使用的PAK和PMK。
3、 BS1將預(yù)認(rèn)證信息發(fā)送給BS2 。該預(yù)認(rèn)證信息包含的內(nèi)容包含有MSS的標(biāo)識號及其對 應(yīng)的PAK和PMK。其中PAK和PMK是上述第2步推演出來的。
4、 BS2在接收到BS1的預(yù)認(rèn)證信息后,向BS1發(fā)送確認(rèn)消息,標(biāo)識其已經(jīng)收到從BS1發(fā) 來的預(yù)認(rèn)證信息。
5、 預(yù)認(rèn)證響應(yīng)。BS1接收到BS2的確認(rèn)消息后,向MSS回應(yīng)預(yù)認(rèn)證響應(yīng)消息,該消息中 包含BS2的標(biāo)識號。
參照附圖8當(dāng)預(yù)認(rèn)證過程由BS1主動發(fā)起時,其過程如下
1、 BS1利用一偽隨機(jī)數(shù)生成函數(shù)(PRF)從其當(dāng)前使用的PAKserving和PMKserving推 演出MSS與BS2使用的PAK和PMK。
2、 BS1將預(yù)認(rèn)證信息發(fā)送給BS2 。該預(yù)認(rèn)證信息包含的內(nèi)容包含有MSS的標(biāo)識號及其對 應(yīng)的PAK和PMK。其中PAK和PMK是上述第2步推演出來的。
3、 BS2在接收到BS1的預(yù)認(rèn)證信息后,向BS1發(fā)送確認(rèn)消息。
4、 預(yù)認(rèn)證響應(yīng)。BS1接收到BS2的確認(rèn)消息后,向MSS發(fā)送預(yù)認(rèn)證響應(yīng)消息,該消息中 包含BS2的標(biāo)識號。
在上述過程中,BS2獲取了 AK的密鑰素材PAK和PMK,那么它就可以從PAK和PMK推演 出AK。由于MSS本來就擁有PAKserving和PMKserving,它可以直接分別從PAKserving和 PMKserving推演出PAK和PMK,然后從PAK和PMK推演出AK。這樣MSS和BS2快速擁有了一 個共享的AK,它們之間通過AK建立起信任關(guān)系,從而避免執(zhí)行完整的認(rèn)證過程,實(shí)現(xiàn)了快 速切換。
參照附圖9,預(yù)認(rèn)證信息由ASA發(fā)送給目標(biāo)BS,且預(yù)認(rèn)證信息中包含的是AK的密鑰素材 (PAK、 PMK)。 1、 預(yù)認(rèn)證請求。ASA接收到其它實(shí)體發(fā)送來的預(yù)認(rèn)證請求消息(該消息可能是從BS1轉(zhuǎn) 發(fā)過來的MSS的預(yù)認(rèn)證消息),該消息中包含要進(jìn)行切換的MSS的標(biāo)識號、MSS要切換的目標(biāo) 基站BS2的標(biāo)識號。
2、 ASA在本地査找MSS對應(yīng)的pre-PAK和MA-KEY,并通過本地策略從pre-PAK、 BS2標(biāo) 識、MSS標(biāo)識推演出MSS與BS2使用的PAK,從AAA-KEY、 BS2標(biāo)識、MSS標(biāo)識推演出MSS與 BS2使用的PMK。
3、 ASA將預(yù)認(rèn)證信息發(fā)送給BS2 。該預(yù)認(rèn)證信息包含的內(nèi)容包含有MSS的標(biāo)識號及其對 應(yīng)的PAK和PMK。其中PAK和PMK是上述第2步推演出來的。
4、 BS2在接收到ASA的預(yù)認(rèn)證信息后,向ASA發(fā)送確認(rèn)消息,標(biāo)識其已經(jīng)收到從ASA發(fā) 來的預(yù)認(rèn)證信息。
5、 預(yù)認(rèn)證響應(yīng)。ASA接收到BS2的確認(rèn)消息后,向其它實(shí)體(該實(shí)體是向ASA發(fā)送預(yù)認(rèn) 證請求消息的實(shí)體)發(fā)送預(yù)認(rèn)證響應(yīng)消息,該消息中包含BS2的標(biāo)識號。
在上述過程中,BS2獲取了 AK的密鑰素材PAK和PMK,那么它就可以從PAK和PMK推演 出AK。由于MSS本來就擁有pre-PAK和AAA-KEY,它可以直接從pre-PAK、 BS2標(biāo)識、MSS標(biāo) 識推演出PAK,從AAA-KEY、 BS2標(biāo)識、MSS標(biāo)識推演出PMK,然后從PAK和PMK推演出AK。 這樣MSS和BS2快速擁有了一個共享的AK,它們之間通過AK建立起信任關(guān)系,從而避免執(zhí) 行完整的認(rèn)證過程,實(shí)現(xiàn)了快速切換。
權(quán)利要求
1、支持快速切換的預(yù)認(rèn)證方法,包括如下步驟步驟A,預(yù)認(rèn)證信息發(fā)送端與目標(biāo)基站通過有線網(wǎng)絡(luò)連接在一起,并通過有線網(wǎng)絡(luò)的安全機(jī)制建立起全連接;步驟B,預(yù)認(rèn)證信息發(fā)送端推演出預(yù)認(rèn)證信息;步驟C,預(yù)認(rèn)證信息發(fā)送端將預(yù)認(rèn)證信息發(fā)送給目標(biāo)基站。
2、 根據(jù)權(quán)利要求1所述的支持快速切換的預(yù)認(rèn)證方法,其特征在于還包括歩驟D,目標(biāo)基站在接收到預(yù)認(rèn)證信息后向ASA發(fā)送響應(yīng)消息,該響應(yīng)消息為確認(rèn)目標(biāo)B S己經(jīng)收到了預(yù)認(rèn)證信息發(fā)送端發(fā)送的預(yù)認(rèn)證信息,或目標(biāo)BS拒絕接收預(yù)認(rèn)證信息發(fā)送端發(fā) 送的預(yù)認(rèn)證信息。
3、 根據(jù)權(quán)利要求1或2所述的支持快速切換的預(yù)認(rèn)證方法,其特征在于,所述預(yù)認(rèn)證信 息發(fā)送端為服務(wù)基站或認(rèn)證服務(wù)器,預(yù)認(rèn)證信息為移動用戶站與目標(biāo)基站使用的授權(quán)密鑰或 者授權(quán)密鑰的密鑰素材信息。
4、 根據(jù)權(quán)利要求1或2所述的支持快速切換的預(yù)認(rèn)證方法,其特征在于步驟B具體為 服務(wù)基站從移動用戶站和服務(wù)基站當(dāng)前正在使用的授權(quán)密鑰推演出移動用戶站和目標(biāo)BS要 使用的授權(quán)密鑰,推演出來的授權(quán)密鑰被包含在預(yù)認(rèn)證信息中。
5、 根據(jù)權(quán)利要求4所述的支持快速切換的預(yù)認(rèn)證方法,其特征在于,所述移動用戶站和 目標(biāo)BS要使用的授權(quán)密鑰通過一偽隨機(jī)數(shù)生成函數(shù)由移動用戶站和服務(wù)基站當(dāng)前正在使用 的授權(quán)密鑰推演來的。
6、 根據(jù)權(quán)利要求1或2所述的支持快速切換的預(yù)認(rèn)證方法,其特征在于步驟B具體為 服務(wù)基站從移動用戶站與服務(wù)BS當(dāng)前使用的共享密鑰集合中推演出移動用戶站和目標(biāo)BS要 使用的共享密鑰集合。
7、 根據(jù)權(quán)利要求6所述的支持快速切換的預(yù)認(rèn)證方法,其特征在于,所述移動用戶站和 目標(biāo)BS要使用的授權(quán)密鑰通過一偽隨機(jī)數(shù)生成函數(shù)由移動用戶站和服務(wù)基站當(dāng)前正在使用 的認(rèn)證協(xié)商的共享密鑰推演來的。
8、 根據(jù)權(quán)利要求1或2所述的支持快速切換的預(yù)認(rèn)證方法,其特征在于步驟B具體為 認(rèn)證服務(wù)器推演出移動用戶站和目標(biāo)基站要使用的授權(quán)密鑰,并將授權(quán)密鑰包含在預(yù)認(rèn)證信 息中。
9、 根據(jù)權(quán)利要求1或2所述的支持快速切換的預(yù)認(rèn)證方法,其特征在于步驟B具體為 認(rèn)證服務(wù)器推演出移動用戶站和目標(biāo)基站要使用的共享密鑰。
全文摘要
本發(fā)明公開了一種支持快速切換的預(yù)認(rèn)證方法,解決了MSS和服務(wù)BS當(dāng)前使用的AK或者AK的密鑰素材直接傳送給目標(biāo)BS,不符合安全原則的問題。包括預(yù)認(rèn)證信息發(fā)送端與目標(biāo)基站通過有線網(wǎng)絡(luò)連接在一起,并通過有線網(wǎng)絡(luò)的安全機(jī)制建立起全連接;預(yù)認(rèn)證信息發(fā)送端推演出預(yù)認(rèn)證信息;預(yù)認(rèn)證信息發(fā)送端將預(yù)認(rèn)證信息發(fā)送給目標(biāo)基站。目標(biāo)基站在接收到預(yù)認(rèn)證信息后向ASA發(fā)送響應(yīng)消息,該響應(yīng)消息為確認(rèn)目標(biāo)基站已經(jīng)收到了預(yù)認(rèn)證信息發(fā)送端發(fā)送的預(yù)認(rèn)證信息,或目標(biāo)BS拒絕接收預(yù)認(rèn)證信息發(fā)送端發(fā)送的預(yù)認(rèn)證信息。本發(fā)明相對于現(xiàn)有技術(shù)中認(rèn)證服務(wù)器或服務(wù)基站將其當(dāng)前使用的舊的授權(quán)密鑰直接傳送給目標(biāo)基站,更符合安全原則。
文檔編號H04W12/04GK101193427SQ20061014533
公開日2008年6月4日 申請日期2006年11月24日 優(yōu)先權(quán)日2006年11月24日
發(fā)明者睿 李, 峰 田 申請人:中興通訊股份有限公司