專利名稱:支持快速切換的預(yù)認(rèn)證過(guò)程的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種認(rèn)證方法,尤其涉及一種寬帶無(wú)線接入系統(tǒng)中支持移動(dòng)用戶站實(shí)現(xiàn)快速 切換的預(yù)認(rèn)證方法。
背景技術(shù):
隨著計(jì)算機(jī)技術(shù)和通信技術(shù)的發(fā)展,無(wú)線通信己深入人們的生活。為了保證通信系統(tǒng)的 可運(yùn)營(yíng)、可管理和可計(jì)費(fèi),防止非法的用戶訪問(wèn)網(wǎng)絡(luò)提供的服務(wù),通信系統(tǒng)必須對(duì)接入的設(shè) 備和用戶身份進(jìn)行認(rèn)證,只有通過(guò)認(rèn)證的設(shè)備和用戶,才被允許接入網(wǎng)絡(luò),使用網(wǎng)絡(luò)的資源, 訪問(wèn)網(wǎng)絡(luò)提供的服務(wù)。在寬帶無(wú)線接入系統(tǒng)中,存在三類實(shí)體MSS (移動(dòng)用戶站)、BS (基 站)和ASA (認(rèn)證服務(wù)器),其中BS完成接入功能,ASA完成對(duì)MSS的認(rèn)證。MSS屬于用戶側(cè), BS和ASA屬于網(wǎng)絡(luò)側(cè)。此系統(tǒng)有兩種基本的認(rèn)證機(jī)制, 一種是RSA認(rèn)證,另一種是EAP認(rèn)證。 RSA認(rèn)證主要是網(wǎng)絡(luò)側(cè)針對(duì)移動(dòng)用戶站設(shè)備的認(rèn)證,而EAP認(rèn)證主要是網(wǎng)絡(luò)側(cè)針對(duì)移動(dòng)用戶 站使用的用戶身份的認(rèn)證。RSA認(rèn)證成功后,用戶側(cè)和網(wǎng)絡(luò)側(cè)得到一個(gè)共享的主授權(quán)密鑰PAK (Primary Authorization Key)。寬帶無(wú)線接入系統(tǒng)的EAP認(rèn)證框架可支持多種EAP認(rèn)證方 式,有些EAP認(rèn)證方式在認(rèn)證成功后,雙方不生成共享的PMK (Pairwise Master Key);有 些EAP認(rèn)證方式在認(rèn)證成功后,雙方生成共享的PMK。根據(jù)上述兩種基本的認(rèn)證機(jī)制,寬帶 無(wú)線接入系統(tǒng)的認(rèn)證過(guò)程存在下面四種方式的組合1. 僅RSA認(rèn)證2. 僅EAP認(rèn)證3. RSA認(rèn)證和EAP認(rèn)證,但是EAP認(rèn)證不生成PMK4. RSA認(rèn)證和EAP認(rèn)證,EAP認(rèn)證生成PMK在上述認(rèn)證過(guò)程組合中,第一種和第三種認(rèn)證成功后,用戶側(cè)和網(wǎng)絡(luò)側(cè)最終得到一個(gè)共享的主授權(quán)密鑰PAK,雙方根據(jù)PAK采用相同的策略推演出授權(quán)密鑰AK(Authorization Key)。在第二種認(rèn)證過(guò)程中,雙方協(xié)商出一個(gè)共享的PMK,并根據(jù)PMK采用相同的策略推演出授權(quán)密鑰AK。在第四種認(rèn)證過(guò)程中,MSS與網(wǎng)絡(luò)側(cè)首先進(jìn)行RSA認(rèn)證,認(rèn)證成功后,雙方協(xié)商出一個(gè)共享的預(yù)主授權(quán)密鑰pre-PAK。雙方根據(jù)pre-PAK采用相同的策略推演出PAK和E:[K(EAPIntegrity Key)。其次,MSS與網(wǎng)絡(luò)側(cè)進(jìn)行EAP認(rèn)證,EAP認(rèn)證過(guò)程受到EIK的完整性保護(hù)。認(rèn)證成功后,雙方協(xié)商出一個(gè)共享的PMK。根據(jù)PAK和PMK雙方將推演出一個(gè)共享的AK。當(dāng)MSS在進(jìn)行移動(dòng)通信時(shí),不可避免地要在BS之間進(jìn)行切換。在切換過(guò)程中,當(dāng)MSS接 入到目標(biāo)BS (移動(dòng)用戶站當(dāng)前要切換到的基站)時(shí),要進(jìn)行網(wǎng)絡(luò)重入,此時(shí)MSS與目標(biāo)BS 之間要重新建立信任關(guān)系,網(wǎng)絡(luò)重新認(rèn)證MSS的身份。在認(rèn)證過(guò)程中,MSS與網(wǎng)絡(luò)之間的通 信將被暫時(shí)中斷,如果認(rèn)證時(shí)間過(guò)長(zhǎng),很可能會(huì)造成上層業(yè)務(wù)掉線。為了解決上述問(wèn)題,在當(dāng)前的移動(dòng)通信系統(tǒng)中引入了預(yù)認(rèn)證的安全機(jī)制。預(yù)認(rèn)證安全機(jī) 制是基于這種構(gòu)想如果MSS在切換過(guò)程中,MSS和目標(biāo)BS擁有了一個(gè)共享的密鑰,那么 MSS和目標(biāo)BS之間就可以利用這個(gè)共享的密鑰,快速建立起信任關(guān)系,而不需要進(jìn)行一次 完整的重認(rèn)證。但是,由于目前正EE 802.16e的標(biāo)準(zhǔn)中對(duì)于預(yù)認(rèn)證過(guò)程沒有明確完整的描述, 并且預(yù)認(rèn)證流程需要針對(duì)這四種不同組合的認(rèn)證過(guò)程,所以需要設(shè)計(jì)一種思路清晰、統(tǒng)一的 預(yù)認(rèn)證過(guò)程。發(fā)明內(nèi)容針對(duì)現(xiàn)有技術(shù)存在的缺陷和不足,本發(fā)明提供一種支持快速切換的預(yù)認(rèn)證過(guò)程。在寬帶 無(wú)線接入系統(tǒng)中,對(duì)于不同組合的認(rèn)證過(guò)程下實(shí)現(xiàn)MSS在不同的BS之間進(jìn)行快速切換。 為達(dá)到上述目的,本發(fā)明采用以下技術(shù)方案支持快速切換的預(yù)認(rèn)證過(guò)程,包括如下步驟步驟A,服務(wù)基站發(fā)送預(yù)認(rèn)證通知消息給認(rèn)證服務(wù)器;步驟B,認(rèn)證服務(wù)器推算出新的授權(quán)密鑰或者授權(quán)密鑰素材,并將推算后的授權(quán)密鑰或 者授權(quán)密鑰素材發(fā)送給目標(biāo)基站;步驟C,認(rèn)證服務(wù)器或目標(biāo)基站向服務(wù)基站發(fā)送預(yù)認(rèn)證通知響應(yīng)消息,告知目標(biāo)基站已 獲得授權(quán)密鑰或者授權(quán)密鑰素材;步驟D,服務(wù)基站接收到預(yù)認(rèn)證通知響應(yīng)消息,向移動(dòng)用戶站發(fā)送預(yù)認(rèn)證響應(yīng)消息;步驟E,移動(dòng)用戶站接收到服務(wù)基站發(fā)送來(lái)的預(yù)認(rèn)證響應(yīng)消息后,移動(dòng)用戶站推演授權(quán) 密鑰或者授權(quán)密鑰素材。優(yōu)選的在所述支持快速切換的預(yù)認(rèn)證過(guò)程中,在所述歩驟A之前還包括步驟A',移動(dòng)用戶站向服務(wù)基站發(fā)送預(yù)認(rèn)證請(qǐng)求消息,該消息中包含目標(biāo)基站的標(biāo)識(shí)號(hào) 和對(duì)此消息的采用密鑰塊加密方式的消息摘要算法的摘要。優(yōu)選的在所述支持快速切換的預(yù)認(rèn)證過(guò)程中,所述歩驟A具體為步驟A1-1,服務(wù)基站接收到移動(dòng)用戶站的預(yù)認(rèn)證請(qǐng)求消息,則對(duì)該消息進(jìn)行完整性校驗(yàn);步驟A1-2,校驗(yàn)通過(guò)后,服務(wù)基站向目標(biāo)基站發(fā)送預(yù)認(rèn)證通知消息;步驟Al-3,目標(biāo)基站接收到服務(wù)基站發(fā)送來(lái)的預(yù)認(rèn)證通知消息后,向認(rèn)證服務(wù)器發(fā)送授權(quán)密鑰材料的請(qǐng)求消息,該消息中包含移動(dòng)用戶站的標(biāo)識(shí)號(hào)和目標(biāo)基站的標(biāo)識(shí)號(hào)。
優(yōu)選的在所述支持快速切換的預(yù)認(rèn)證過(guò)程中,所述步驟B具體為步驟B1-1,認(rèn)證服務(wù)器接收到目標(biāo)基站發(fā)送的授權(quán)密鑰材料的請(qǐng)求后,根據(jù)移動(dòng)用戶站 標(biāo)識(shí)號(hào)查找其授權(quán)密鑰材料;步驟Bl-2,如果沒有査到,表明MSS在預(yù)認(rèn)證之前沒有經(jīng)過(guò)認(rèn)證授權(quán),認(rèn)證服務(wù)器向目 標(biāo)基站發(fā)送授權(quán)密鑰拒絕消息;步驟B1-3,如果査到,認(rèn)證服務(wù)器推算出新的授權(quán)密鑰或者授權(quán)密鑰素材,并將推算后 的授權(quán)密鑰或者授權(quán)密鑰素材發(fā)送給目標(biāo)基站。優(yōu)選的在所述支持快速切換的預(yù)認(rèn)證過(guò)程中,所述步驟C具體為步驟C1-1,如果目標(biāo)基站接收到認(rèn)證服務(wù)器發(fā)送來(lái)的授權(quán)密鑰材料后,向服務(wù)基站發(fā)送 預(yù)認(rèn)證通知響應(yīng)消息,告知其已經(jīng)得到授權(quán)密鑰材料;步驟Cl-2,如果目標(biāo)基站接收到認(rèn)證服務(wù)器發(fā)送來(lái)的授權(quán)密鑰拒絕消息,則向服務(wù)基站 發(fā)送預(yù)認(rèn)證通知拒絕消息。優(yōu)選的在所述支持快速切換的預(yù)認(rèn)證過(guò)程中,所述歩驟D具體為步驟D1-1,如果服務(wù)基站接收到目標(biāo)基站發(fā)送來(lái)的預(yù)認(rèn)證通知響應(yīng)消息后,向移動(dòng)用戶 站發(fā)送預(yù)認(rèn)證響應(yīng)消息,告知目標(biāo)基站己經(jīng)得到授權(quán)密鑰材料;步驟D1-2,如果服務(wù)基站接收到目標(biāo)基站發(fā)送來(lái)的預(yù)認(rèn)證通知拒絕消息后,則向移動(dòng)用 戶站發(fā)送預(yù)認(rèn)證拒絕消息。優(yōu)選的在所述支持快速切換的預(yù)認(rèn)證過(guò)程中,所述歩驟A具體為步驟A2-1,服務(wù)基站接收到移動(dòng)用戶站的預(yù)認(rèn)證請(qǐng)求消息,則對(duì)該消息進(jìn)行完整性校驗(yàn);步驟A2-2,校驗(yàn)通過(guò)后,服務(wù)基站向認(rèn)證服務(wù)器發(fā)送預(yù)認(rèn)證通知消息。優(yōu)選的在所述支持快速切換的預(yù)認(rèn)證過(guò)程中,所述歩驟B具體為歩驟B2-1,認(rèn)證服務(wù)器接收到服務(wù)基站發(fā)送的授權(quán)密鑰材料的請(qǐng)求后,根據(jù)移動(dòng)用戶站 標(biāo)識(shí)號(hào)査找其授權(quán)密鑰材料;步驟B2-2,如果沒有查到,表明移動(dòng)用戶站在預(yù)認(rèn)證之前沒有經(jīng)過(guò)認(rèn)證授權(quán),認(rèn)證服務(wù) 器向目標(biāo)基站發(fā)送授權(quán)密鑰拒絕消息;步驟B2-3,如果查到,認(rèn)證服務(wù)器推算出新的授權(quán)密鑰或者授權(quán)密鑰素材,并將推算后 的授權(quán)密鑰或者授權(quán)密鑰素材發(fā)送給目標(biāo)基站。優(yōu)選的在所述支持快速切換的預(yù)認(rèn)證過(guò)程中,所述步驟C具體為目標(biāo)基站被動(dòng)接收 到認(rèn)證服務(wù)器發(fā)送來(lái)的授權(quán)密鑰材料后,向服務(wù)基站發(fā)送預(yù)認(rèn)證通知響應(yīng)消息,告知其已獲 得授權(quán)密鑰材料。優(yōu)選的在所述支持快速切換的預(yù)認(rèn)證過(guò)程中,所述步驟D具體為
步驟D2-1,如果服務(wù)基站接收到目標(biāo)基站發(fā)送來(lái)的預(yù)認(rèn)證通知響應(yīng)消息后,則服務(wù)基站向移動(dòng)用戶站發(fā)送預(yù)認(rèn)證響應(yīng)消息,告知目標(biāo)基站已獲得授權(quán)密鑰材料;步驟D2-2,如果服務(wù)基站接收到認(rèn)證服務(wù)器發(fā)送來(lái)的預(yù)認(rèn)證通知拒絕消息后,則服務(wù)基站向移動(dòng)用戶站發(fā)送預(yù)認(rèn)證拒絕消息。優(yōu)選的在所述支持快速切換的預(yù)認(rèn)證過(guò)程中,所述步驟A具體為步驟A3-1,服務(wù)基站接收到移動(dòng)用戶站的預(yù)認(rèn)證請(qǐng)求消息,則對(duì)該消息進(jìn)行完整性校驗(yàn);步驟A3-2,校驗(yàn)通過(guò)后,服務(wù)基站向認(rèn)證服務(wù)器發(fā)送預(yù)認(rèn)證通知消息。優(yōu)選的在所述支持快速切換的預(yù)認(rèn)證過(guò)程中,所述步驟B具體為步驟B3-1,認(rèn)證服務(wù)器接收到服務(wù)基站發(fā)送的授權(quán)密鑰材料的請(qǐng)求后,根據(jù)移動(dòng)用戶站標(biāo)識(shí)號(hào)査找其授權(quán)密鑰材料;步驟B3-2,如果沒有査到,表明移動(dòng)用戶站在預(yù)認(rèn)證之前沒有經(jīng)過(guò)認(rèn)證授權(quán),認(rèn)證服務(wù)器向目標(biāo)基站發(fā)送授權(quán)密鑰拒絕消息;步驟B3-3,如果査到,認(rèn)證服務(wù)器推算出新的授權(quán)密鑰或者授權(quán)密鑰素材,并將推算后的授權(quán)密鑰或者授權(quán)密鑰素材發(fā)送給目標(biāo)基站。優(yōu)選的在所述支持快速切換的預(yù)認(rèn)證過(guò)程中,所述歩驟C具體為目標(biāo)基站被動(dòng)接收到認(rèn)證服務(wù)器發(fā)送來(lái)的授權(quán)密鑰材料后,向認(rèn)證服務(wù)器發(fā)送授權(quán)密鑰材料響應(yīng)消息,告知其 已獲得授權(quán)密鑰材料。優(yōu)選的在所述支持快速切換的預(yù)認(rèn)證過(guò)程中,所述步驟D具體為步驟D3-1,認(rèn)證服務(wù)器接收到目標(biāo)基站發(fā)送來(lái)的授權(quán)密鑰材料響應(yīng)消息后,則認(rèn)證服務(wù) 器向服務(wù)基站發(fā)送預(yù)認(rèn)證通知響應(yīng)消息,告知目標(biāo)基站己獲得授權(quán)密鑰材料;步驟D3-2,服務(wù)基站接收到認(rèn)證服務(wù)器發(fā)送來(lái)的預(yù)認(rèn)證通知拒絕消息后,則服務(wù)基站向 移動(dòng)用戶站發(fā)送預(yù)認(rèn)證拒絕消息;步驟D3-3,服務(wù)基站接收到認(rèn)證服務(wù)器發(fā)送來(lái)的預(yù)認(rèn)證通知響應(yīng)消息,則向移動(dòng)用戶站 發(fā)送預(yù)認(rèn)證響應(yīng)消息。優(yōu)選的在所述支持快速切換的預(yù)認(rèn)證過(guò)程中,所述步驟E具體為步驟E1,移動(dòng)用戶站接收到服務(wù)基站發(fā)送來(lái)的預(yù)認(rèn)證響應(yīng)消息后,移動(dòng)用戶站對(duì)AK或 PMK進(jìn)行推演;步驟E2,移動(dòng)用戶站接收到服務(wù)基站發(fā)送來(lái)的預(yù)認(rèn)證拒絕消息,則表明此移動(dòng)用戶站的 預(yù)認(rèn)證過(guò)程失敗。優(yōu)選的在所述支持快速切換的預(yù)認(rèn)證過(guò)程中,服務(wù)基站、目標(biāo)基站以及認(rèn)證服務(wù)器之間通過(guò)有線網(wǎng)絡(luò)連接在一起,它們之間通過(guò)有線網(wǎng)絡(luò)的安全機(jī)制建立起安全連接。
當(dāng)MSS切入到目標(biāo)BS時(shí),服務(wù)基站發(fā)送預(yù)認(rèn)證通知消息給認(rèn)證服務(wù)器;認(rèn)證服務(wù)器推算 出新的授權(quán)密鑰或者授權(quán)密鑰素材,并將推算后的授權(quán)密鑰或者授權(quán)密鑰素材發(fā)送給目標(biāo)基 站;此時(shí),目標(biāo)基站擁有了授權(quán)密鑰或者授權(quán)密鑰素材;授權(quán)密鑰或者授權(quán)密鑰素材擁有者 (認(rèn)證服務(wù)器或目標(biāo)基站)向服務(wù)基站告知目標(biāo)基站已獲得授權(quán)密鑰或者授權(quán)密鑰素材,服 務(wù)基站通知移動(dòng)用戶站進(jìn)行預(yù)認(rèn)證,MSS按照和ASA Server同樣的策略推算出授權(quán)密鑰AK 或者授權(quán)密鑰素材(PMK)。此時(shí),移動(dòng)用戶站也擁有授權(quán)密鑰或者授權(quán)密鑰素材。MSS與 目標(biāo)BS之間都擁有一個(gè)共享的AK或者PMK。根據(jù)這個(gè)共享的密鑰,MSS與目標(biāo)BS之間 將建立快速的信任關(guān)系,因此不需要重新進(jìn)行一次完整的認(rèn)證過(guò)程。而且,預(yù)認(rèn)證流程的思 路清晰,與具體的認(rèn)證過(guò)程無(wú)關(guān),報(bào)文交互簡(jiǎn)單,適用于移動(dòng)通信系統(tǒng)中快速切換的預(yù)認(rèn)證。在上述過(guò)程中,服務(wù)BS、目標(biāo)BS以及ASA之間通過(guò)有線網(wǎng)絡(luò)連接在一起,它們之間 通過(guò)有線網(wǎng)絡(luò)的安全機(jī)制建立起安全連接,可以充分保證服務(wù)BS、目標(biāo)BS以及認(rèn)證服務(wù)器 之間交換的消息的安全性。
圖1為MSS快速切換的網(wǎng)絡(luò)圖;圖2為目標(biāo)BS主動(dòng)獲取授權(quán)密鑰材料的預(yù)認(rèn)證流程圖;圖3為目標(biāo)BS被動(dòng)接收授權(quán)密鑰材料后,向服務(wù)BS發(fā)送回復(fù)信息的預(yù)認(rèn)證流程圖; 圖4為目標(biāo)BS被動(dòng)接收授權(quán)密鑰材料后,向ASA Server發(fā)送回復(fù)信息的預(yù)認(rèn)證流程圖。
具體實(shí)施方式
本發(fā)明的構(gòu)思為MSS在從當(dāng)前基站切換到目標(biāo)基站過(guò)程中,如果MSS和目標(biāo)BS擁有 了一個(gè)共享的密鑰,那么MSS和目標(biāo)BS之間就可以利用這個(gè)共享的密鑰,快速建立起信任 關(guān)系,而不需要進(jìn)行一次完整的重認(rèn)證。下面結(jié)合
802.16e的預(yù)認(rèn)證流程。首先描述802.16e中MSS切換的場(chǎng)景(如附圖1所示), 一個(gè)MSS正連接在BS1 (此時(shí) BS1為服務(wù)BS)上,并且向BS2覆蓋區(qū)域移動(dòng)。MSS在接入服務(wù)BS時(shí),分別通過(guò)RSA認(rèn) 證生成PAK,通過(guò)基于EAP的認(rèn)證生成AAA-KEY,進(jìn)而從AAA—KEY推演出PMK。 MSS 與網(wǎng)絡(luò)側(cè)通過(guò)PAK和PMK推演出共享的授權(quán)密鑰AK。當(dāng)MSS移動(dòng)到BS1的覆蓋區(qū)域的邊 界附近,并檢測(cè)到BS1下行鏈路的通信質(zhì)量低于一定的閾值時(shí),開始掃描BS1的鄰居BS。 在隨后的過(guò)程中,MSS和BS1經(jīng)過(guò)小區(qū)選擇、切換決定等階段協(xié)商了 MSS要切換到BS2 (目 標(biāo)BS),此時(shí)MSS或BS1發(fā)起預(yù)認(rèn)證過(guò)程。本發(fā)明中的預(yù)認(rèn)證過(guò)程涉及到MSS、服務(wù)BS (在
切換前一直給MSS提供服務(wù)的基站)、目標(biāo)BS和ASA Server這四個(gè)網(wǎng)絡(luò)實(shí)體。為了在預(yù)認(rèn) 證過(guò)程中MSS與目標(biāo)BS之間建立一個(gè)共享的密鑰,這四個(gè)網(wǎng)絡(luò)實(shí)體之間需要完成一系列的 預(yù)認(rèn)證消息交換過(guò)程。具體的預(yù)認(rèn)證過(guò)程有三種方式第一種,目標(biāo)BS主動(dòng)獲取與MSS共享的授權(quán)密鑰材料。(如附圖2所示),其過(guò)程如下1、 發(fā)起預(yù)認(rèn)證過(guò)程。預(yù)認(rèn)證過(guò)程可以由MSS或服務(wù)BS發(fā)起。如果由MSS發(fā)起,則 MSS向服務(wù)BS發(fā)送請(qǐng)求消息,告知需要進(jìn)行預(yù)認(rèn)證。該消息中包含目標(biāo)BS的標(biāo)識(shí)號(hào)和對(duì) 此消息的OMAC摘要。如果由服務(wù)BS發(fā)起,預(yù)認(rèn)證過(guò)程是由第二步開始。2、 如果預(yù)認(rèn)證過(guò)程由服務(wù)BS發(fā)起,則服務(wù)BS直接向目標(biāo)BS發(fā)送預(yù)認(rèn)證通知消息。 如果服務(wù)BS接收到MSS的預(yù)認(rèn)證請(qǐng)求,則對(duì)消息進(jìn)行完整性校驗(yàn)。校驗(yàn)通過(guò)后,服務(wù)BS 向目標(biāo)BS發(fā)送預(yù)認(rèn)證通知消息。該消息的主要目的是告知目標(biāo)BS進(jìn)行預(yù)認(rèn)證,并需要向 ASA Server獲取授權(quán)密鑰材料。3、 目標(biāo)BS接收到服務(wù)BS發(fā)送來(lái)的預(yù)認(rèn)證通知消息后,向ASA Server發(fā)送授權(quán)密鑰材 料的請(qǐng)求消息。該消息中包含MSS的標(biāo)識(shí)號(hào)和目標(biāo)BS的標(biāo)識(shí)號(hào)。4、 ASA Server接收到目標(biāo)BS發(fā)送的授權(quán)密鑰材料的請(qǐng)求后,根據(jù)MSS[D查找其授權(quán) 密鑰材料,如果沒有查到,表明此MSS在預(yù)認(rèn)證之前沒有經(jīng)過(guò)認(rèn)證授權(quán),則ASA Server向 目標(biāo)BS發(fā)送授權(quán)密鑰拒絕消息;如果查到,則ASA Server按照一定的策略推算出新的授權(quán) 密鑰AK或者授權(quán)密鑰素材(PMK),并將推算后的授權(quán)密鑰或者授權(quán)密鑰素材發(fā)送給目標(biāo) BS。5、 如果目標(biāo)BS接收到ASA Server發(fā)送來(lái)的授權(quán)密鑰材料后,向服務(wù)BS發(fā)送預(yù)認(rèn)證通 知響應(yīng)消息,告知其已經(jīng)得到授權(quán)密鑰材料。如果目標(biāo)BS接收到ASA Server發(fā)送來(lái)的授權(quán) 密鑰拒絕消息,則向服務(wù)BS發(fā)送預(yù)認(rèn)證通知拒絕消息。6、 如果服務(wù)BS接收到目標(biāo)BS發(fā)送來(lái)的預(yù)認(rèn)證通知響應(yīng)消息后,則向MSS發(fā)送預(yù)認(rèn)證 響應(yīng)消息,告知目標(biāo)BS已經(jīng)得到授權(quán)密鑰材料。如果服務(wù)BS接收到目標(biāo)BS發(fā)送來(lái)的預(yù)認(rèn) 證通知拒絕消息,則向MSS發(fā)送預(yù)認(rèn)證拒絕消息。7、 如果MSS接收到服務(wù)BS發(fā)送來(lái)的預(yù)認(rèn)證響應(yīng)消息后,MSS按照和ASA Server同樣 的策略對(duì)授權(quán)密鑰AK或者授權(quán)密鑰素材(PMK)進(jìn)行推算。如果MSS接收到服務(wù)BS發(fā)送 來(lái)的預(yù)認(rèn)證拒絕消息,則表明此MSS的預(yù)認(rèn)證過(guò)程失敗。第二種,目標(biāo)BS被動(dòng)接收與MSS共享的授權(quán)密鑰材料后,向服務(wù)BS發(fā)送回復(fù)信息。 (如附圖2所示),其過(guò)程如下-1、發(fā)起預(yù)認(rèn)證過(guò)程。預(yù)認(rèn)證過(guò)程可以由MSS或服務(wù)BS發(fā)起。如果由MSS發(fā)起,則 MSS向服務(wù)BS發(fā)送請(qǐng)求消息,告知服務(wù)BS需要預(yù)認(rèn)證。如果由服務(wù)BS發(fā)起,預(yù)認(rèn)證過(guò)程 由第二步開始。2、 預(yù)認(rèn)證通知。如果預(yù)認(rèn)證過(guò)程由服務(wù)BS發(fā)起,則服務(wù)BS直接發(fā)送預(yù)認(rèn)證通知消息 給ASAServer。如果服務(wù)BS接收到MSS發(fā)送的預(yù)認(rèn)證請(qǐng)求,則對(duì)此消息進(jìn)行完整性校驗(yàn)。 校驗(yàn)通過(guò)后,服務(wù)BS發(fā)送預(yù)認(rèn)證通知消息給ASA Server。3、 密鑰材料的獲取。ASA Server接收到服務(wù)BS發(fā)送來(lái)的預(yù)認(rèn)證通知消息后,判斷此 MSS是否能夠預(yù)認(rèn)證。判斷的依據(jù)有很多,比如根據(jù)MSSID査找其授權(quán)密鑰材料,如果沒 有査到,表明此MSS在預(yù)認(rèn)證之前沒有經(jīng)過(guò)認(rèn)證授權(quán),則不進(jìn)行預(yù)認(rèn)證。如果ASA Server 判斷此MSS不進(jìn)行預(yù)認(rèn)證,則ASAServer向目標(biāo)BS發(fā)送預(yù)認(rèn)證通知拒絕消息,直接跳到第 五步執(zhí)行;如果此MSS進(jìn)行預(yù)認(rèn)證,則ASA Server按照一定的策略推算出新的授權(quán)密鑰AK 或授權(quán)密鑰素材(PMK),并將推算后的AK或PMK發(fā)送給目標(biāo)BS。4、 預(yù)認(rèn)證通知的回復(fù)。目標(biāo)BS被動(dòng)接收到ASA Server發(fā)送來(lái)的授權(quán)密鑰材料后,向服 務(wù)BS發(fā)送預(yù)認(rèn)證通知響應(yīng)消息,告知其已獲得授權(quán)密鑰材料。5、 預(yù)認(rèn)證請(qǐng)求的回復(fù)。如果服務(wù)BS接收到目標(biāo)BS發(fā)送來(lái)的預(yù)認(rèn)證通知響應(yīng)消息后, 則服務(wù)BS向MSS發(fā)送預(yù)認(rèn)證響應(yīng)消息,告知目標(biāo)BS已獲得授權(quán)密鑰材料。如果服務(wù)BS 接收到ASA Server發(fā)送來(lái)的預(yù)認(rèn)證通知拒絕消息后,則服務(wù)BS向MSS發(fā)送預(yù)認(rèn)證拒絕消息。6、 預(yù)認(rèn)證過(guò)程的結(jié)束。如果MSS接收到服務(wù)BS發(fā)送來(lái)的預(yù)認(rèn)證響應(yīng)消息后,則MSS 按照和ASA Server同樣的策略對(duì)AK或PMK進(jìn)行推演。如果MSS接收到服務(wù)BS發(fā)送來(lái)的 預(yù)認(rèn)證拒絕消息,則表明此MSS的預(yù)認(rèn)證過(guò)程失敗。第三種,目標(biāo)BS被動(dòng)接收與MSS共享的授權(quán)密鑰材料后,向ASAServer發(fā)送回復(fù)信息。 (如附圖4所示),其過(guò)程如下1、 發(fā)起預(yù)認(rèn)證過(guò)程。預(yù)認(rèn)證過(guò)程可以由MSS或服務(wù)BS發(fā)起。如果由MSS發(fā)起,則 MSS向服務(wù)BS發(fā)送請(qǐng)求消息,告知服務(wù)BS需要預(yù)認(rèn)證。如果由服務(wù)BS發(fā)起,預(yù)認(rèn)證過(guò)程 由第二步開始。2、 預(yù)認(rèn)證通知。如果預(yù)認(rèn)證過(guò)程由服務(wù)BS發(fā)起,則服務(wù)BS直接發(fā)送預(yù)認(rèn)證通知消息 給ASAServer。如果服務(wù)BS接收到MSS發(fā)送的預(yù)認(rèn)證請(qǐng)求,則對(duì)此消息進(jìn)行完整性校驗(yàn)。 校驗(yàn)通過(guò)后,服務(wù)BS發(fā)送預(yù)認(rèn)證通知消息給ASAServer。3、 密鑰材料的獲取。ASA Server接收到服務(wù)BS發(fā)送來(lái)的預(yù)認(rèn)證通知消息后,判斷此MSS是否能夠預(yù)認(rèn)證。判斷的依據(jù)有很多,比如根據(jù)MSSID査找其授權(quán)密鑰材料,如果沒有査到,表明此MSS在預(yù)認(rèn)證之前沒有經(jīng)過(guò)認(rèn)證授權(quán),則不進(jìn)行預(yù)認(rèn)證。如果ASA Server 判斷此MSS不進(jìn)行預(yù)認(rèn)證,則ASA Server向目標(biāo)BS發(fā)送預(yù)認(rèn)證通知拒絕消息,直接跳到第 六步執(zhí)行;如果此MSS進(jìn)行預(yù)認(rèn)證,則ASA Server按照一定的策略推算出新的授權(quán)密鑰AK 或授權(quán)密鑰素材(PMK),并將推算后的AK或PMK發(fā)送給目標(biāo)BS。4、 密鑰材料的響應(yīng)。目標(biāo)BS被動(dòng)接收到ASA Server發(fā)送來(lái)的授權(quán)密鑰材料后,向ASA Server發(fā)送授權(quán)密鑰材料響應(yīng)消息,告知其已獲得授權(quán)密鑰材料。5、 預(yù)認(rèn)證通知的回復(fù)。如果ASA Server接收到目標(biāo)BS發(fā)送來(lái)的授權(quán)密鑰材料響應(yīng)消息 后,則ASAServer向服務(wù)BS發(fā)送預(yù)認(rèn)證通知響應(yīng)消息,告知目標(biāo)BS己獲得授權(quán)密鑰材料。6、 預(yù)認(rèn)證請(qǐng)求的回復(fù)。如果服務(wù)BS接收到ASA Server發(fā)送來(lái)的預(yù)認(rèn)證通知拒絕消息后, 則服務(wù)BS向MSS發(fā)送預(yù)認(rèn)證拒絕消息。如果服務(wù)BS接收到ASA Server發(fā)送來(lái)的預(yù)認(rèn)證通 知響應(yīng)消息,則向MSS發(fā)送預(yù)認(rèn)證響應(yīng)消息。7、 預(yù)認(rèn)證過(guò)程的結(jié)束。如果MSS接收到服務(wù)BS發(fā)送來(lái)的預(yù)認(rèn)證響應(yīng)消息后,則MSS 按照和ASA Server同樣的策略對(duì)AK或PMK進(jìn)行推演。如果MSS接收到服務(wù)BS發(fā)送來(lái)的 預(yù)認(rèn)證拒絕消息,則表明此MSS的預(yù)認(rèn)證過(guò)程失敗。本發(fā)明預(yù)認(rèn)證流程的思路清晰,與具體的認(rèn)證過(guò)程無(wú)關(guān),報(bào)文交互簡(jiǎn)單,適用于移動(dòng)通 信系統(tǒng)中快速切換的預(yù)認(rèn)證。
權(quán)利要求
1. 支持快速切換的預(yù)認(rèn)證過(guò)程,包括如下步驟步驟A,服務(wù)基站發(fā)送預(yù)認(rèn)證通知消息給認(rèn)證服務(wù)器;步驟B,認(rèn)證服務(wù)器推算出新的授權(quán)密鑰或者授權(quán)密鑰素材,并將推算后的授權(quán)密鑰或者授權(quán)密鑰素材發(fā)送給目標(biāo)基站;步驟C,認(rèn)證服務(wù)器或目標(biāo)基站向服務(wù)基站發(fā)送預(yù)認(rèn)證通知響應(yīng)消息,告知目標(biāo)基站已獲得授權(quán)密鑰或者授權(quán)密鑰素材;步驟D,服務(wù)基站接收到預(yù)認(rèn)證通知響應(yīng)消息,向移動(dòng)用戶站發(fā)送預(yù)認(rèn)證響應(yīng)消息;步驟E,移動(dòng)用戶站接收到服務(wù)基站發(fā)送來(lái)的預(yù)認(rèn)證響應(yīng)消息后,移動(dòng)用戶站推演授權(quán)密鑰或者授權(quán)密鑰素材。
2、 根據(jù)權(quán)利要求1所述的支持快速切換的預(yù)認(rèn)證過(guò)程,其特征在于在所述步驟A之前還 包括步驟A',移動(dòng)用戶站向服務(wù)基站發(fā)送預(yù)認(rèn)證請(qǐng)求消息,該消息中包含目標(biāo)基站的標(biāo)識(shí)號(hào) 和對(duì)此消息的采用密鑰塊加密方式的消息摘要算法的摘要。
3、 根據(jù)權(quán)利要求2所述的支持快速切換的預(yù)認(rèn)證過(guò)程,其特征在于所述步驟A具體為 步驟A1-1,服務(wù)基站接收到移動(dòng)用戶站的預(yù)認(rèn)證請(qǐng)求消息,則對(duì)該消息進(jìn)行完整性校驗(yàn); 步驟A1-2,校驗(yàn)通過(guò)后,服務(wù)基站向目標(biāo)基站發(fā)送預(yù)認(rèn)證通知消息;步驟A1-3,目標(biāo)基站接收到服務(wù)基站發(fā)送來(lái)的預(yù)認(rèn)證通知消息后,向認(rèn)證服務(wù)器發(fā)送授 權(quán)密鑰材料的請(qǐng)求消息,該消息中包含移動(dòng)用戶站的標(biāo)識(shí)號(hào)和目標(biāo)基站的標(biāo)識(shí)號(hào)。
4、 根據(jù)權(quán)利要求2所述的支持快速切換的預(yù)認(rèn)證過(guò)程,其特征在于所述步驟B具體為 步驟B1-1,認(rèn)證服務(wù)器接收到目標(biāo)基站發(fā)送的授權(quán)密鑰材料的請(qǐng)求后,根據(jù)移動(dòng)用戶站標(biāo)識(shí)號(hào)查找其授權(quán)密鑰材料;歩驟Bl-2,如果沒有査到,表明MSS在預(yù)認(rèn)證之前沒有經(jīng)過(guò)認(rèn)證授權(quán),認(rèn)證服務(wù)器向目 標(biāo)基站發(fā)送授權(quán)密鑰拒絕消息;步驟B1-3,如果査到,認(rèn)證服務(wù)器推算出新的授權(quán)密鑰或者授權(quán)密鑰素材,并將推算后 的授權(quán)密鑰或者授權(quán)密鑰素材發(fā)送給目標(biāo)基站。
5、 根據(jù)權(quán)利要求2所述的支持快速切換的預(yù)認(rèn)證過(guò)程,其特征在于所述歩驟C具體為 步驟C1-1,如果目標(biāo)基站接收到認(rèn)證服務(wù)器發(fā)送來(lái)的授權(quán)密鑰材料后,向服務(wù)基站發(fā)送預(yù)認(rèn)證通知響應(yīng)消息,告知其已經(jīng)得到授權(quán)密鑰材料;步驟C1-2,如果目標(biāo)基站接收到認(rèn)證服務(wù)器發(fā)送來(lái)的授權(quán)密鑰拒絕消息,則向服務(wù)基站 發(fā)送預(yù)認(rèn)證通知拒絕消息。
6、 根據(jù)權(quán)利要求2所述的支持快速切換的預(yù)認(rèn)證過(guò)程,其特征在于所述步驟D具體為步驟D1-1,如果服務(wù)基站接收到目標(biāo)基站發(fā)送來(lái)的預(yù)認(rèn)證通知響應(yīng)消息后,向移動(dòng)用戶 站發(fā)送預(yù)認(rèn)證響應(yīng)消息,告知目標(biāo)基站已經(jīng)得到授權(quán)密鑰材料;步驟Dl-2,如果服務(wù)基站接收到目標(biāo)基站發(fā)送來(lái)的預(yù)認(rèn)證通知拒絕消息后,則向移動(dòng)用 戶站發(fā)送預(yù)認(rèn)證拒絕消息。
7、 根據(jù)權(quán)利要求2所述的支持快速切換的預(yù)認(rèn)證過(guò)程,其特征在于所述歩驟A具體為 步驟A2-1,服務(wù)基站接收到移動(dòng)用戶站的預(yù)認(rèn)證請(qǐng)求消息,則對(duì)該消息進(jìn)行完整性校驗(yàn); 步驟A2-2,校驗(yàn)通過(guò)后,服務(wù)基站向認(rèn)證服務(wù)器發(fā)送預(yù)認(rèn)證通知消息。
8、 根據(jù)權(quán)利要求2所述的支持快速切換的預(yù)認(rèn)證過(guò)程,其特征在于所述步驟B具體為 步驟B2-1,認(rèn)證服務(wù)器接收到服務(wù)基站發(fā)送的授權(quán)密鑰材料的請(qǐng)求后,根據(jù)移動(dòng)用戶站標(biāo)識(shí)號(hào)查找其授權(quán)密鑰材料;步驟B2-2,如果沒有査到,表明移動(dòng)用戶站在預(yù)認(rèn)證之前沒有經(jīng)過(guò)認(rèn)證授權(quán),認(rèn)證服務(wù) 器向目標(biāo)基站發(fā)送授權(quán)密鑰拒絕消息;步驟B2-3,如果査到,認(rèn)證服務(wù)器推算出新的授權(quán)密鑰或者授權(quán)密鑰素材,并將推算后 的授權(quán)密鑰或者授權(quán)密鑰素材發(fā)送給目標(biāo)基站。
9、 根據(jù)權(quán)利要求2所述的支持快速切換的預(yù)認(rèn)證過(guò)程,其特征在于所述歩驟C具體為目標(biāo)基站被動(dòng)接收到認(rèn)證服務(wù)器發(fā)送來(lái)的授權(quán)密鑰材料后,向服務(wù)基站發(fā)送預(yù)認(rèn)證通知響應(yīng) 消息,告知其已獲得授權(quán)密鑰材料。
10、 根據(jù)權(quán)利要求2所述的支持快速切換的預(yù)認(rèn)證過(guò)程,其特征在于所述歩驟D具體為 步驟D2-1,如果服務(wù)基站接收到目標(biāo)基站發(fā)送來(lái)的預(yù)認(rèn)證通知響應(yīng)消息后,則服務(wù)基站向移動(dòng)用戶站發(fā)送預(yù)認(rèn)證響應(yīng)消息,告知目標(biāo)基站己獲得授權(quán)密鑰材料;步驟D2-2,如果服務(wù)基站接收到認(rèn)證服務(wù)器發(fā)送來(lái)的預(yù)認(rèn)證通知拒絕消息后,則服務(wù)基 站向移動(dòng)用戶站發(fā)送預(yù)認(rèn)證拒絕消息。
11、 根據(jù)權(quán)利要求2所述的支持快速切換的預(yù)認(rèn)證過(guò)程,其特征在于所述歩驟A具體為 歩驟A3-1,服務(wù)基站接收到移動(dòng)用戶站的預(yù)認(rèn)證請(qǐng)求消息,則對(duì)該消息進(jìn)行完整性校驗(yàn); 步驟A3-2,校驗(yàn)通過(guò)后,服務(wù)基站向認(rèn)證服務(wù)器發(fā)送預(yù)認(rèn)證通知消息。
12、 根據(jù)權(quán)利要求2所述的支持快速切換的預(yù)認(rèn)證過(guò)程,其特征在于所述步驟B具體為 歩驟B3-1,認(rèn)證服務(wù)器接收到服務(wù)基站發(fā)送的授權(quán)密鑰材料的請(qǐng)求后,根據(jù)移動(dòng)用戶站標(biāo)識(shí)號(hào)査找其授權(quán)密鑰材料;步驟B3-2,如果沒有査到,表明移動(dòng)用戶站在預(yù)認(rèn)證之前沒有經(jīng)過(guò)認(rèn)證授權(quán),認(rèn)證服務(wù)器向目標(biāo)基站發(fā)送授權(quán)密鑰拒絕消息;步驟B3-3,如果査到,認(rèn)證服務(wù)器推算出新的授權(quán)密鑰或者授權(quán)密鑰素材,并將推算后的授權(quán)密鑰或者授權(quán)密鑰素材發(fā)送給目標(biāo)基站。
13、 根據(jù)權(quán)利要求2所述的支持快速切換的預(yù)認(rèn)證過(guò)程,其特征在于所述步驟C具體為 目標(biāo)基站被動(dòng)接收到認(rèn)證服務(wù)器發(fā)送來(lái)的授權(quán)密鑰材料后,向認(rèn)證服務(wù)器發(fā)送授權(quán)密鑰材料 響應(yīng)消息,告知其己獲得授權(quán)密鑰材料。
14、 根據(jù)權(quán)利要求2所述的支持快速切換的預(yù)認(rèn)證過(guò)程,其特征在于所述步驟D具體為 步驟D3-l,認(rèn)證服務(wù)器接收到目標(biāo)基站發(fā)送來(lái)的授權(quán)密鑰材料響應(yīng)消息后,則認(rèn)證服務(wù)器向服務(wù)基站發(fā)送預(yù)認(rèn)證通知響應(yīng)消息,告知目標(biāo)基站已獲得授權(quán)密鑰材料;步驟D3-2,服務(wù)基站接收到認(rèn)證服務(wù)器發(fā)送來(lái)的預(yù)認(rèn)證通知拒絕消息后,則服務(wù)基站向移動(dòng)用戶站發(fā)送預(yù)認(rèn)證拒絕消息;步驟D3-3,服務(wù)基站接收到認(rèn)證服務(wù)器發(fā)送來(lái)的預(yù)認(rèn)證通知響應(yīng)消息,則向移動(dòng)用戶站發(fā)送預(yù)認(rèn)證響應(yīng)消息。
15、 根據(jù)權(quán)利要求2所述的支持快速切換的預(yù)認(rèn)證過(guò)程,其特征在于所述歩驟E具體為 歩驟E1,移動(dòng)用戶站接收到服務(wù)基站發(fā)送來(lái)的預(yù)認(rèn)證響應(yīng)消息后,移動(dòng)用戶站對(duì)AK或PMK進(jìn)行推演;步驟E2,移動(dòng)用戶站接收到服務(wù)基站發(fā)送來(lái)的預(yù)認(rèn)證拒絕消息,則表明此移動(dòng)用戶站的 預(yù)認(rèn)證過(guò)程失敗。
16、 根據(jù)權(quán)利要求1-15所述的任一支持快速切換的預(yù)認(rèn)證過(guò)程,其特征在于服務(wù)基站、 目標(biāo)基站以及認(rèn)證服務(wù)器之間通過(guò)有線網(wǎng)絡(luò)連接在一起,它們之間通過(guò)有線網(wǎng)絡(luò)的安全機(jī)制 建立起安全連接。
全文摘要
本發(fā)明公開了一種支持快速切換的預(yù)認(rèn)證過(guò)程,解決了現(xiàn)有目前IEEE 802.16e的標(biāo)準(zhǔn)中對(duì)于預(yù)認(rèn)證過(guò)程沒有明確完整的描述的問(wèn)題。包括服務(wù)基站發(fā)送預(yù)認(rèn)證通知消息給認(rèn)證服務(wù)器;認(rèn)證服務(wù)器推算出新的AK或者PMK,并將其發(fā)送給目標(biāo)基站;AK或者PMK擁有者向服務(wù)基站告知目標(biāo)基站已獲得AK或者PMK,服務(wù)基站通知移動(dòng)用戶站進(jìn)行預(yù)認(rèn)證,MSS推算出AK或者PMK。MSS與目標(biāo)BS之間都擁有一個(gè)共享的AK或者PMK。根據(jù)這個(gè)共享的密鑰,MSS與目標(biāo)BS之間將建立快速的信任關(guān)系,因此不需要重新進(jìn)行一次完整的認(rèn)證過(guò)程。本發(fā)明預(yù)認(rèn)證流程的思路清晰,報(bào)文交互簡(jiǎn)單,適用于移動(dòng)通信系統(tǒng)中快速切換的預(yù)認(rèn)證。
文檔編號(hào)H04Q7/38GK101212798SQ200610170279
公開日2008年7月2日 申請(qǐng)日期2006年12月26日 優(yōu)先權(quán)日2006年12月26日
發(fā)明者睿 李, 峰 田, 陳劍勇 申請(qǐng)人:中興通訊股份有限公司