專利名稱:一種避免重鑒權失敗的方法及基站的制作方法
技術領域:
本發(fā)明涉及 WiMAX (Worldwide Interoperability for Microwave Access,全球微波
互聯(lián)接入)技術��,特別涉及一種避免重鑒權失敗的方法及基站���。
背景技術:
WiMAX標準是IEEE標準組織制定的寬帶無線接入標準,在WiMAX網(wǎng)絡中��, 主要由移動終端(MS)���,基站(BS)�,接入網(wǎng)關(AGW)�����,鑒權授權計費(AAA)等網(wǎng)元組 成,如圖1所示�,其中,BS通過R6接口和AGW聯(lián)接����,AGW和AAA通過R3 口進行連接。在WiMAX系統(tǒng)中���,終端和AAA之間通過EAP (可擴展的身份驗證協(xié)議)進行 鑒權和重鑒權�。鑒權和重鑒權成功后���,AAA和MS之間產(chǎn)生主會話密鑰(MSK)�����,AAA 通過標準的Radius報文將MSK傳遞給位于AGW上的鑒權者(Authenticator)功能實體�。 Authenticator功能實體通過特定算法從MSK上推導出成對主密鑰(PMK)����,從PMK上 推導出鑒權密鑰(AK)并通過R6報文將AK傳遞給BS。當MS和BS之間完成空口的 SA-TEKRequest/Response消息的三步握手后�,終端和BS相互確認了 AK的有效性。MS 和BS分別激活本地保存的鑒權密鑰AK����。在重鑒權過程中����,在完成三步握手后�,BS會 通過消息通知Authenticator激活新的AK,同時刪除老的PMK�。在終端和BS的三步握手過程中,由于空口的不可靠性或者其它異常��,有可能最 后一條消息SA-TEK-Response消息發(fā)送失敗或者消息校驗失敗��,從而導致了 MS和BS以 及Authenticator之間對于新產(chǎn)生的AK可能存在不一致的狀態(tài)�。在此期間�,如果終端恰 好發(fā)生了切換,此時由于MS和Authenticator之間AK的不一致���,將必然導致后續(xù)所有切 換�,重接入的失敗����。
發(fā)明內(nèi)容
本發(fā)明所要解決的技術問題是,提供一種避免重鑒權失敗的方法及基站�,可以 保證重鑒權流程正常��。為了解決上述問題���,本發(fā)明公開了一種避免重鑒權失敗的方法,適用于全球微 波互聯(lián)接入系統(tǒng)����,該方法包括在重鑒權過程中,基站向終端發(fā)送狀態(tài)回退保護的觸發(fā)消息后��,若所述基站在 設定時間內(nèi)收到所述終端對所述觸發(fā)消息的重傳請求�����,則所述基站確認當前操作異常�, 重新向所述終端發(fā)送所述觸發(fā)消息以進行狀態(tài)回退保護,若所述基站在設定時間內(nèi)未收 到所述終端對所述觸發(fā)消息的重傳請求��,則確認當前操作正常�,進入后續(xù)流程。進一步地���,上述方法中��,所述基站在設定時間內(nèi)收到所述終端對所述觸發(fā)消息的重傳請求時����,所述基站進一步判斷在所述設定時間內(nèi)收到所述重傳請求的次數(shù)是否達 到設定值,如果是�����,則確認當前操作失敗���,否則確認當前操作異常�����,重新向所述終端發(fā) 送所述觸發(fā)消息以進行狀態(tài)回退保護���。
進一步地,上述方法中���,所述狀回退保護的觸發(fā)消息指,重鑒權過程中無需反 饋響應的消息�。
其中,所述狀回退保護的觸發(fā)消息為SA-TEK-Resp0nse消息����。
所述基站確認當前操作正常���,進入的后續(xù)流程指
所述基站通知鑒權者功能實體重鑒權成功,并激活重鑒權過程中生成的新的鑒 權密鑰�����。
或者�,所述狀回退保護的觸發(fā)消息為可擴展的身份驗證協(xié)議(EAP)傳送消息。
所述基站確認當前操作正常��,進入的后續(xù)流程指
所述基站通知所述終端啟動三步握手流程�����。
本發(fā)明還公開了一種避免重鑒權失敗的基站���,適用于全球微波互聯(lián)接入系統(tǒng)�, 該基站包括判斷單元以及處理單元���,其中
判斷單元����,用于判斷在設定時間內(nèi)本基站是否收到所述終端對所述觸發(fā)消息的 重傳請求,并將判斷結果發(fā)送給所述處理單元����;
所述處理單元,用于在重鑒權過程中�����,向終端發(fā)送狀態(tài)回退保護的觸發(fā)消息���, 以及用于接收所述判斷結果發(fā)送的判斷結果�����,若所接收的判斷結果是本基站在設定時間 內(nèi)收到所述終端對所述觸發(fā)消息的重傳請求�����,則確認當前操作異常��,重新向所述終端發(fā) 送所述觸發(fā)消息以進行狀態(tài)回退保護�,若所接收的判斷結果是本基站在設定時間內(nèi)未收 到所述終端對所述觸發(fā)消息的重傳請求�����,則確認當前操作正常���,進入后續(xù)流程��。
進一步地�,上述基站中����,所述判斷單元,還用于判斷本基站在所述設定時間內(nèi) 收到所述重傳請求的次數(shù)是否達到設定值��,并將判斷結果發(fā)送給所述處理單元��;
所述處理單元��,若接收的判斷結果是本基站在所述設定時間內(nèi)收到所述重傳請 求的次數(shù)達到設定值���,則確認當前操作失敗����,若接收的判斷結果是本基站在所述設定時 間內(nèi)收到所述重傳請求的次數(shù)未達到設定值���,則確認當前操作異常��,重新向所述終端發(fā) 送所述觸發(fā)消息以進行狀態(tài)回退保護���。
進一步地�,上述基站中���,所述狀回退保護的觸發(fā)消息指���,重鑒權過程中無需反 饋響應的消息。
其中��,所述狀回退保護的觸發(fā)消息為SA-TEK-Response消息���。
所述處理單元確認當前操作正常���,進入的后續(xù)流程指
通知鑒權者功能實體重鑒權成功,并激活重鑒權過程中生成的新的鑒權密鑰�����。
或者����,所述狀回退保護的觸發(fā)消息為可擴展的身份驗證協(xié)議(EAP)傳送消息�。
所述處理單元確認當前操作正常����,進入的后續(xù)流程指
通知所述終端啟動三步握手流程����。
采用本發(fā)明技術方案,可以使得重鑒權后����,終端發(fā)起切換時,不會因為鑒權密 鑰不一致而導致切換失敗����。
圖1為現(xiàn)有WiMAX系統(tǒng)的網(wǎng)絡架構示意圖2為本發(fā)明主要構思的示意圖3為本實施例中重鑒權流程圖。具體實 施方式本發(fā)明的主要構思是��,在重鑒權過程中���,當基站向終端發(fā)送狀態(tài)回退保護的觸 發(fā)消息(即現(xiàn)有標準中規(guī)定收到該消息的終端無需返回空口響應消息)時�����,基站通過判斷 在設定時間內(nèi)是否收到終端發(fā)送的重傳請求以進行狀態(tài)回退保護��,如圖2所示���,即當基 站收到重傳請求時�����,基站則認為當前操作異常了��,基站向終端重新發(fā)送狀態(tài)回退保護的 觸發(fā)消息以達到狀態(tài)回退保護��,當前流程暫時不再繼續(xù)����;當基站未收到重傳請求時���,基 站則認為當前操作正常��,按照現(xiàn)有流程進入下一步驟的操作�。下面結合附圖及具體實施例對本發(fā)明技術方案作進一步詳細說明����。一種避免重鑒權失敗的基站,應用于WiMAX系統(tǒng)����,該基站至少包括判斷單元 以及處理單元����。下面介紹各單元的功能���。判斷單元,用于判斷在設定時間內(nèi)(本實施例中采用定時器實現(xiàn))本基站是否收 到終端對狀態(tài)回退保護的觸發(fā)消息的重傳請求�����,并將判斷結果發(fā)送給所述處理單元��;處理單元�����,用于在重鑒權過程中�����,向終端發(fā)送狀態(tài)回退保護的觸發(fā)消息�����,以及 用于接收判斷結果發(fā)送的判斷結果,若所接收的判斷結果是本基站在設定時間內(nèi)收到終 端對觸發(fā)消息的重傳請求��,則確認當前操作異常��,重新向終端發(fā)送觸發(fā)消息以進行狀態(tài) 回退保護���,若所接收的判斷結果是本基站在設定時間內(nèi)未收到終端對觸發(fā)消息的重傳請 求����,則確認當前操作正常���,進入后續(xù)流程�����;在具體應用中�,上述狀態(tài)回退保護的觸發(fā)消息是指重鑒權過程中無需反饋響應 的消息�����,如SA-TEK-Response消息�、EAP Transfer(傳送)消息等。在其他實施例中��,當判斷單元判斷在設定時間內(nèi)本基站收到終端對所述觸發(fā)消 息的重傳請求時,判斷單元還可以進一步地判斷本基站在所述設定時間內(nèi)收到所述重傳 請求的次數(shù)是否達到設定值�����,并將判斷結果發(fā)送給所述處理單元��,此時����,當處理單元接 收的判斷結果是本基站在設定時間內(nèi)收到重傳請求的次數(shù)達到設定值時��,處理單元則確 認當前操作失?�?;當處理單元接收的判斷結果是本基站在設定時間內(nèi)收到重傳請求的次 數(shù)未達到設定值,處理單元則確認當前操作異常���,重新向終端發(fā)送觸發(fā)消息以進行狀態(tài) 回退保護�。下面以終端開機后選擇上述BS接入WiMAX網(wǎng)絡為例���,說明在鑒權密鑰的生命 周期內(nèi)�,MS����,BS或者Authenticat0r功能實體之間的重鑒權過程����,該過程如圖3所示��,包 括以下步驟步驟301����,MS通過EAP Start消息發(fā)起重鑒權流程;在其他實施例中�����,如果是BS或者Authenticator功能實體發(fā)起的重鑒權的��,該步
驟可以省略����;步驟302,BS將MS發(fā)送的EAP Start消息轉發(fā)給Authenticator功能實體���;在其他實施例中����,如果是Authenticator功能實體發(fā)起的重鑒權,可以省略該步 驟���,如果是BS發(fā)起的重鑒權��,BS則可以直接向Authenticat0r功能實體發(fā)送EAP Start消 息�;步驟303和步驟304��,Authenticator功能實體收到EAP Start消息時�����,通過BS將 EAP Transfer (傳送)消息發(fā)送給MS�,該EAP Transfer消息中封裝了含有Identity字段的EAP Request 消息����;
步驟305和步驟306,MS收到EAP Transfer消息后����,通過BS發(fā)送EAPTransfer 消息給Authenticator功能實體,該EAP Transferr消息中封裝了帶有Identity以及網(wǎng)絡接 入標示符(NAI)的EAP Response消息��,其中,NAI可以用于Authenticator功能實體尋址 AAA ���;
步驟306操作完成后����,進入EAP Procedure�,該過程中,終端和AAA之間進行 EAP方法的協(xié)商�,完成標準的EAP鑒權流程,其中EAP鑒權流程因不同的EAP方法而 有所不同���,常見的EAP鑒權方法有MD5���,EAP-TLS, EAP-TTLS等。
步驟307和步驟308���,MS和AAA之間完成EAP鑒權后�����,Authenticator功能實 體通過BS將EAP Transfer消息發(fā)送給MS����,EAP Transfer消息中指示了鑒權結果;
步驟309�,Authenticator功能實體通過Key_Change_Directive消息將鑒權完成后 產(chǎn)生的鑒權上下文(AKCantext)發(fā)送給BS ;
步驟310�����,BS 收到 Key_Change_Directive 消息后�����,向 Authenticator 功能實體進行確認���;
在上述步驟308中����,當BS向MS發(fā)送前向EAP Transfer消息之后�����,同時啟動TO 定時器用于啟動鑒權結果通知狀態(tài)回退保護�,并在定時器TO的定時時間內(nèi)��,判斷是否收 到MS重傳的反向EAP Transfer消息的請求����,如果是����,則確認當前操作異常�,BS重新向 MS發(fā)送前向EAP Transfer,否則確認當前操作正常,BS向MS發(fā)送SA-TEK-Challenge消息啟動三步握流程���,即進入步驟311�。
在其他實施例中�,BS經(jīng)過上述步驟208的操作向MS發(fā)送前向EAPTransfer 消息之后,可以先不啟動TO定時器�����,而是在BS向MS發(fā)送SA-TEK-Challenge消息 后�,啟動TO定時器,用于啟動鑒權結果通知狀態(tài)回退保護����,這樣,在定時器TO的定 時時間內(nèi)���,BS若判斷收到MS重傳的反向EAP Transfer消息和/或SA-TEK-Challenge 消息的請求時�,則確認當前操作異常,BS重新向MS發(fā)送前向EAP Transfer和/ 或SA-TEK-Challenge消息����,BS若判斷未收到MS重傳的反向EAP Transfer消息 和/或SA-TEK-Challenge消息的請求時,則確認當前操作正常�,BS向MS發(fā)送 SA-TEK-Response消息,即進入步驟313�。
步驟311,BS向MS發(fā)送SA-TEK-Challenge消息�����,用于通知MS啟動三步握 手消息���,該SA-TEK-Challenge消息中攜帶了 BS的隨機數(shù)以及AK的相關信息(AKSN�����, AKID�,AK Lifetime 等)�;
步驟312,MS向BS發(fā)送SA-TEK-Request (授權-業(yè)務密鑰請求)消息����,用于 通知BS已啟動三步握手消息,該SA-TEK-Request消息中攜帶了 MS和BS的隨機數(shù)��, MS的加密套件��,安全能力參數(shù)等�����;
步驟313����,BS向MS發(fā)送SA-TEK-Response消息,通知MS安全能力和的協(xié)商結果��,并確認MS發(fā)送的SA-TEK-Response消息摘要通過校驗��,同時啟動Tl定時器用于 重鑒權狀態(tài)回退保護�����;
步驟314����,在定時器Tl的定時時間內(nèi),判斷是否收到MS對SA-TEK-Request消息的重傳請求�����,如果是,進入步驟315�,否則進入步驟316;
該步驟中,當BS判斷在Tl的定時時間內(nèi)收到MS對SA-TEK-Request消息的重傳請求����,則認為當前操作異常,進入步驟315�,以進行狀態(tài)回退保護。 步驟315��,BS向MS重發(fā)SA-TEK-Response消息�����,重置定時器Tl��,返回步驟 314 �;步驟316,BS向Authenticator功能實體發(fā)送Key_Change_Cnf消息���,用于通知 Authenticator功能實體三步握手成功��,同時激活新的AK ����;步驟317和步驟318��,Authenticator功能實體向BS發(fā)送Key_Change_Ack消息確
認激活AK�����,同時刪除舊的PMK���。在優(yōu)選的實施例中�����,BS還進一步檢測在鑒權狀態(tài)回退保護狀態(tài)下(即定時器 Tl的定時時間內(nèi))���,MS向BS發(fā)送SA-TEK-Request消息的重傳請求的次數(shù)是否達到 指定次數(shù),如果是���,則認為SA-TEK三步握手失敗(即當前操作失敗)����,BS結束鑒權狀 態(tài)保護處理�����,向Authenticator功能實體發(fā)送帶有失敗指示的Key_Change_Cnf消息,而 Authenticator功能實體收到該Key_Change_Cnf消息后��,將觸發(fā)新一輪的重鑒權����。從上述實施例可以看出,在重鑒權前�,舊PMK尚未過期之前,保證即使出現(xiàn)了 由于安全關聯(lián)業(yè)務加密密鑰響應消息(SA-TEK-Resp0nse)消息導致三步握手失敗�。也可 以繼續(xù)使用舊PMK推導出來的AK進行相關的切換處理。同時通過主動觸發(fā)重鑒權等方 式��,保證終端業(yè)務可以保證繼續(xù)�����。以上所述僅為本發(fā)明的優(yōu)選實施例而已����,并不用于限制本發(fā)明,對于本領域的 技術人員來說�����,本發(fā)明可以有各種更改和變化。凡在本發(fā)明的精神和原則之內(nèi)����,所作的 任何修改、等同替換�、改進等��,均應包含在本發(fā)明的保護范圍之內(nèi)��。
權利要求
1.一種避免重鑒權失敗的方法����,適用于全球微波互聯(lián)接入系統(tǒng),其特征在于����,該方 法包括在重鑒權過程中,基站向終端發(fā)送狀態(tài)回退保護的觸發(fā)消息后���,若所述基站在設定 時間內(nèi)收到所述終端對所述觸發(fā)消息的重傳請求���,則所述基站確認當前操作異常,重新 向所述終端發(fā)送所述觸發(fā)消息以進行狀態(tài)回退保護,若所述基站在設定時間內(nèi)未收到所 述終端對所述觸發(fā)消息的重傳請求�����,則確認當前操作正常��,進入后續(xù)流程��。
2.如權利要求1所述的方法���,其特征在于�����,所述基站在設定時間內(nèi)收到所述終端對所述觸發(fā)消息的重傳請求時����,所述基站進一 步判斷在所述設定時間內(nèi)收到所述重傳請求的次數(shù)是否達到設定值���,如果是�,則確認當 前操作失敗����,否則確認當前操作異常�����,重新向所述終端發(fā)送所述觸發(fā)消息以進行狀態(tài)回 退保護���。
3.如權利要求1所述的方法,其特征在于�,所述狀回退保護的觸發(fā)消息指,重鑒權過程中無需反饋響應的消息����。
4.如權利要求1��、2或3所述的方法�����,其特征在于�����,所述狀回退保護的觸發(fā)消息為SA-TEK-Response消息��。
5.如權利要求4所述的方法�,其特征在于���,所述基站確認當前操作正常,進入的后續(xù)流程指所述基站通知鑒權者功能實體重鑒權成功���,并激活重鑒權過程中生成的新的鑒權密鑰����。
6.如權利要求1��、2或3所述的方法�,其特征在于,所述狀回退保護的觸發(fā)消息為可擴展的身份驗證協(xié)議(EAP)傳送消息����。
7.如權利要求6所述的方法,其特征在于�����,所述基站確認當前操作正常����,進入的后續(xù)流程指所述基站通知所述終端啟動三步握手流程。
8.—種避免重鑒權失敗的基站���,適用于全球微波互聯(lián)接入系統(tǒng)���,其特征在于��,該基 站包括判斷單元以及處理單元����,其中判斷單元���,用于判斷在設定時間內(nèi)本基站是否收到所述終端對所述觸發(fā)消息的重傳 請求���,并將判斷結果發(fā)送給所述處理單元;所述處理單元���,用于在重鑒權過程中,向終端發(fā)送狀態(tài)回退保護的觸發(fā)消息����,以及 用于接收所述判斷結果發(fā)送的判斷結果,若所接收的判斷結果是本基站在設定時間內(nèi)收 到所述終端對所述觸發(fā)消息的重傳請求���,則確認當前操作異常��,重新向所述終端發(fā)送所 述觸發(fā)消息以進行狀態(tài)回退保護�����,若所接收的判斷結果是本基站在設定時間內(nèi)未收到所 述終端對所述觸發(fā)消息的重傳請求���,則確認當前操作正常�,進入后續(xù)流程�����。
9.如權利要求8所述的基站��,其特征在于����,所述判斷單元,還用于判斷本基站在所述設定時間內(nèi)收到所述重傳請求的次數(shù)是否 達到設定值����,并將判斷結果發(fā)送給所述處理單元;所述處理單元��,若接收的判斷結果是本基站在所述設定時間內(nèi)收到所述重傳請求的 次數(shù)達到設定值�,則確認當前操作失敗���,若接收的判斷結果是本基站在所述設定時間內(nèi) 收到所述重傳請求的次數(shù)未達到設定值,則確認當前操作異常���,重新向所述終端發(fā)送所述觸發(fā)消息以進行狀態(tài)回退保護��。
10.如權利要求8所述的基站����,其特征在于����,所述狀回退保護的觸發(fā)消息指,重鑒權過程中無需反饋響應的消息����。
11.如權利要求8、9或10所述的基站����,其特征在于����, 所述狀回退保護的觸發(fā)消息為SA-TEK-Response消息��。
12.如權利要求11所述的基站�,其特征在于��, 所述處理單元確認當前操作正常��,進入的后續(xù)流程指通知鑒權者功能實體重鑒權成功�����,并激活重鑒權過程中生成的新的鑒權密鑰�。
13.如權利要求8、9或10所述的基站�����,其特征在于�,所述狀回退保護的觸發(fā)消息為可擴展的身份驗證協(xié)議(EAP)傳送消息。
14.如權利要求13所述的基站�����,其特征在于����, 所述處理單元確認當前操作正常�����,進入的后續(xù)流程指 通知所述終端啟動三步握手流程�����。
全文摘要
本發(fā)明公開了一種避免重鑒權失敗的方法及基站����,涉及WiMAX技術�����。本發(fā)明方法����,適用于全球微波互聯(lián)接入系統(tǒng),該方法包括在重鑒權過程中���,基站向終端發(fā)送狀態(tài)回退保護的觸發(fā)消息后���,若所述基站在設定時間內(nèi)收到所述終端對所述觸發(fā)消息的重傳請求����,則所述基站確認當前操作異常�,重新向所述終端發(fā)送所述觸發(fā)消息以進行狀態(tài)回退保護��,若所述基站在設定時間內(nèi)未收到所述終端對所述觸發(fā)消息的重傳請求�����,則確認當前操作正常�,進入后續(xù)流程。采用本發(fā)明技術方案�����,可以使得重鑒權后����,終端發(fā)起切換時,不會因為鑒權密鑰不一致而導致切換失敗����。
文檔編號H04W92/10GK102026191SQ20091017149
公開日2011年4月20日 申請日期2009年9月21日 優(yōu)先權日2009年9月21日
發(fā)明者王寧 申請人:中興通訊股份有限公司