专利名称:锚定鉴权器重定位方法及系统的制作方法
技术领域:
本发明涉及微波接入全球互通(WiMAX, Worldwide Interoperability forMicrowave Access)网络技术,尤其涉及一种锚定鉴权器重定位方法及系统。
背景技术:
WiMAX作为新的4G标准,已成为全球电信运营商和设备制造商关注的热点,其在无线宽带领域中占据优势。图1为现有WiMAX网络的组成架构示意图,如图1所示,在 WiMAX网络中,主要由移动终端(MS),基站(BS),接入网关(AGW,图1中未示出),鉴权器 (Authenticator),鉴权授权计费服务器(AAA Server)等网元组成。其中,AGW、BS和鉴权器位于接入服务网络(ASN),AAA服务器位于连接服务网络(CSN)。在MS初始进入网络时,网络会在ASN中指派一个鉴权器与家乡AAA服务器(HAAA) 一起为该MS进行鉴权,为MS的锚定鉴权器。当一些安全参数生命期或定时器到期前,MS或网络侧会发起重鉴权,此时,可能会伴随鉴权器重定位的发生,随之新的鉴权器成为MS的锚定鉴权器。在现有锚定鉴权器重定位中,有些场景伴随有重鉴权发生,有些场景没有重鉴权发生。例如,针对锚定鉴权器、锚定数据通道功能体以及锚定寻呼控制器位于同一实体网关上的情况,会发生锚定数据通道功能体以及没有重鉴权伴随的锚定寻呼控制器的重定位。而实际应用中,有些场景可能需要锚定鉴权器重定位,而不一定需要其他逻辑实体的重定位,比如,数据通道功能体以及锚定寻呼控制器。目前,还没有对单独的、不需要进行重鉴权的锚定鉴权器重定位的实现方案。
发明内容
有鉴于此,本发明的主要目的在于提供一种锚定鉴权器重定位方法及系统,能够实现不需要进行重鉴权的锚定鉴权器重定位。为达到上述目的,本发明的技术方案是这样实现的一种锚定鉴权器重定位方法,该方法包括在旧的鉴权器同意MS的锚定鉴权器重定位请求后,新的鉴权器向AAA服务器发送鉴权器重定位请求;AAA服务器对新的鉴权器校验成功,且旧的鉴权器确认新的鉴权器可信任后,锚定鉴权器重定位到新的鉴权器。在该方法之前,或者,在所述旧的鉴权器同意MS的锚定鉴权器重定位请求后,所述新的鉴权器向AAA服务器发送鉴权器重定位请求之前,该方法还包括所述旧的鉴权器向AAA服务器发送通知消息,通知AAA服务器将要切换到新的鉴权器,将新的鉴权器信息或旧的鉴权器所提供的安全参数X1通知给AAA服务器,用于AAA服务器对新的鉴权器进行校验。
所述锚定鉴权器重定位请求由所述新的鉴权器发起,或者由所述旧的鉴权器发起。该方法还包括如果所述旧的鉴权器感知存在正在进行的重鉴权或鉴权器重定位,则拒绝该锚定鉴权器重定位请求。所述旧的鉴权器感知是否存在正在进行的重鉴权或鉴权器重定位的方法为在所述旧的鉴权器中,为所述MS设置锚定鉴权器重定位锁定状态标识,当锚定鉴权器重定位锁定状态标识显示为锁定状态时,不再接受后续其他新的鉴权器重定位请求和 /或重鉴权请求,直到鉴权器重定位锁定状态被解除;或者,在所述旧的鉴权器中,为所述MS设置计数器,当计数器为奇数时,不再接受后续其他新的鉴权器重定位请求和/或重鉴权请求;或者,当所述旧的鉴权器中存在所述MS的鉴权器重定位发生时,在旧的鉴权器为所述MS设置一定时器,在定时器未超时时,不再接受后续其他新的鉴权器重定位请求和/ 或重鉴权请求,直至该定时器超时。该方法还包括所述旧的鉴权器设置当前MS为重鉴权锁定状态;所述重鉴权锁定状态为不再接受后续其他新的重鉴权请求。如果所述旧的鉴权器感知存在正在进行的重鉴权或鉴权器重定位,该方法还包括所述旧的鉴权器拒绝所述锚定鉴权器重定位请求。所述AAA服务器对新的鉴权器校验成功为所述AAA服务器通过远端用拨入验证服务RADIUS协议或Diameter协议,利用安全参数对新的鉴权器进行验证如果来自所述旧的鉴权器的安全参数与来自所述新的鉴权器的安全参数相同,则校验成功。所述校验具体包括所述新的鉴权器向AAA服务器发送鉴权器重定位的请求,其中携带MSNAI,或旧的鉴权器所提供的安全参数Z,或者利用安全参数Z计算出的安全参数W,并请求AAA服务器的验证;所述AAA服务器比较自身可得到的安全参数,或者AAA服务器本地安全参数Z1,或者通过本地安全参数Z1所计算出的W,与来自新的鉴权器的安全参数是否相同,若相同,则校验成功。所述新的鉴权器向AAA服务器发送鉴权器重定位的请求中还携带有新的鉴权器的FQDN,或者旧的鉴权器所提供的安全参数X,或者根据旧的鉴权器所提供的安全参数X计算出的安全参数Y;所述校验还包括根据所述旧的鉴权器所提供的新鉴权器的FQDN,或者旧的鉴权器所提供的安全参数X1,或根据安全参数X1计算出的安全参数Y1,比较从新的鉴权器收到的X与从旧的鉴权器收到的安全参数X1,或者比较安全参数Y1与安全参数Y,若相同,则校验成功。所述旧的鉴权器确认新的鉴权器可信任后,锚定鉴权器重定位到新的鉴权器包括所述新的鉴权器向旧的鉴权器请求当前移动终端MS上下文;在旧的鉴权器确认新的鉴权器可信任后,向新的鉴权器返回MS上下文。
所述旧的鉴权器还将所述MS对应的旧的MSK返回给新的鉴权器。所述确认新的鉴权器可信任包括所述新的鉴权器向旧的鉴权器返回从AAA服务器获得的安全参数U或安全参数 V ;所述旧的鉴权器利用本地获得的安全参数U1或根据本地安全参数U1计算出的安全参数V1,分别与来自新的鉴权器的安全参数U或安全参数V进行比较,若相同,则确认该新的鉴权器可信任。如果之前设置有鉴权器重定位锁定状态,该方法还包括解除所述MS的鉴权器重定位锁定状态;如果之前设置有重鉴权锁定状态,该方法还包括解除所述MS的重鉴权锁定状态。该方法还包括所述新的鉴权器向旧的鉴权器发送鉴权器重定位完成确认消息; 所述旧的鉴权器在确认重定位成功完成后,清除当前MS的相关信息。一种锚定鉴权器重定位系统,至少包括新的鉴权器、旧的鉴权器和AAA服务器,其中,新的鉴权器,用于与旧的鉴权器交互,在旧的鉴权器同意MS的锚定鉴权器重定位请求,向AAA服务器发送鉴权器重定位请求;接收到来自AAA服务器的校验成功响应,请求旧的鉴权器完成鉴权器重定位;旧的鉴权器,用于与新的鉴权器交互,确定同意MS的锚定鉴权器重定位请求;确定新的鉴权器是可信任的,向新的鉴权器发送鉴权器重定位成功或完成响应,锚定鉴权器重定位到新的鉴权器;AAA服务器,用于对新的鉴权器进行校验,并在校验成功向新的鉴权器发送检验成功响应。所述旧的鉴权器,还用于感知存在正在进行的重鉴权或鉴权器重定位,拒绝该锚定鉴权器重定位请求。所述旧的鉴权器,还用于在同意所述锚定鉴权器重定位请求时,设置当前MS为鉴权器重定位锁定状态,相应地,在旧的鉴权器确认新的鉴权器可信任后,解除MS的鉴权器重定位锁定状态。所述旧的鉴权器,具体用于,为所述MS设置锚定鉴权器重定位锁定状态标识,当锚定鉴权器重定位锁定状态标识显示为锁定状态时,不再接受后续其他新的鉴权器重定位请求和/或重鉴权请求,直到鉴权器重定位锁定状态被解除;或者,为所述MS设置计数器,当计数器为奇数时,不再接受后续其他新的鉴权器重定位请求和/或重鉴权请求;或者,当所述旧的鉴权器中存在所述MS的鉴权器重定位发生时,在旧的鉴权器为所述MS设置一定时器,在定时器未超时时,不再接受后续其他新的鉴权器重定位请求和/ 或重鉴权请求,直至该定时器超时。还用于设置所述MS为重鉴权锁定状态,相应地,在旧的鉴权器确认新的鉴权器可信任后,解除MS的重鉴权锁定状态。
所述旧的鉴权器,还用于向所述AAA服务器发送通知消息,通知AAA服务器将切换到新的鉴权器,并将新的鉴权器相关信息或旧的鉴权器所提供的安全参数通知给AAA服务器,用于AAA服务器对新的鉴权器进行校验。所述新的鉴权器,还用于向旧的鉴权器发送鉴权器重定位完成确认消息。所述旧的鉴权器,还用于在确认鉴权器重定位成功完成后,清除所述MS的相关信肩、ο所述旧的鉴权器,还用于在存在任何拒绝或失败响应时,发起所述MS退出网络的流程。从上述本发明提供的技术方案可以看出,包括在旧的鉴权器同意MS的锚定鉴权器重定位请求后,新的鉴权器向AAA服务器发送鉴权器重定位请求;AAA服务器对新的鉴权器校验成功,且旧的鉴权器确认新的鉴权器可信任后,锚定鉴权器重定位到新的鉴权器。通过本发明方法,为实现不需要进行重鉴权的锚定鉴权器重定位,提供了详细的方案。
图1为现有WiMAX网络的组成架构示意图;图2为本发明锚定鉴权器重定位方法的流程图;图3为本发明锚定鉴权器重定位系统的组成结构示意图;图4为本发明锚定鉴权器重定位方法的第一实施例的流程图;图5为本发明锚定鉴权器重定位方法的第二实施例的流程图;图6为本发明锚定鉴权器重定位方法的第三实施例的流程图;图7为本发明锚定鉴权器重定位方法的第四实施例的流程图。
具体实施例方式图2为本发明锚定鉴权器重定位方法的流程图,如图2所示,包括步骤200 在旧的鉴权器同意MS的锚定鉴权器重定位请求后,新的鉴权器向AAA 服务器发送鉴权器重定位请求。本步骤中,锚定鉴权器重定位请求可以由新的鉴权器发起(PULL模式),也可以由旧的鉴权器发起(PUSH模式)。新的鉴权器可以是服务基站(servingBS)所对应的缺省鉴权器。本发明中的AAA服务器指HAAA服务器。PULL模式和PUSH模式属于本领域现有技术,这里不再详细描述。如果旧的鉴权器感知存在正在进行的重鉴权或鉴权器重定位,则拒绝该锚定鉴权器重定位请求;否则,同意该锚定鉴权器重定位请求,并设定相应的状态指示(可以有如下具体实现方法)。进一步地,还可以设置该MS为重鉴权锁定状态,即也不再接受后续其他新的重鉴权请求。其中,旧的鉴权器感知是否存在正在进行的重鉴权或鉴权器重定位的具体实现方法可以是在旧的鉴权器中,为该MS设置重定位锁定状态标识,当重定位锁定状态标识显示为锁定状态时,不再接受后续其他新的鉴权器重定位请求和/或重鉴权请求,直到鉴权器重定位锁定状态被解除。
或者,在旧的鉴权器中,为该MS设置计数器计数器的初始值为0,当旧的鉴权器中有该MS的鉴权器重定位发生时,该计数器加1,即为1,当鉴权器重定位完成时,该计数器加1,即为2 ;依次递加,每完成一次鉴权器重定位,该计数器增加2 ;直到达到最大值,则重新设置为初始值0 ;这样,当计数器为奇数时,表示存在正在进行的鉴权器重定位,不再接受后续其他新的鉴权器重定位请求和/或重鉴权请求;当计数器为偶数时,表示不存在正在进行的鉴权器重定位。或者,当旧的鉴权器中存在该MS的鉴权器重定位发生时,在旧的鉴权器为该MS设置一定时器,直到鉴权器重定位完成则停止定时器。如果定时器超时,但是鉴权器重定位还未完成,那么,旧的鉴权器中止该鉴权器重定位流程,认为鉴权器重定位失败。也就是说,在定时器未超时时,不再接受后续其他新的鉴权器重定位请求和/或重鉴权请求,直至该定时器超时。在旧的鉴权器同意锚定鉴权器重定位请求后,新的鉴权器向AAA服务器发送鉴权器重定位请求,可以是远端用拨入验证服务(RADIUS)消息或Diameter消息,在消息中可携带MS网络接入标识(NAI)。本步骤中,在旧的鉴权器同意MS的锚定鉴权器重定位请求后,新的鉴权器向AAA 服务器发送鉴权器重定位请求之前,还可包括旧的鉴权器向AAA服务器发送通知消息,通知AAA服务器将要切换到新的鉴权器,并将新的鉴权器相关信息比如,新的鉴权器的完全合格域名/全称域名(FQDN);或旧的鉴权器所提供的安全参数X1通知给AAA服务器,用于 AAA服务器对新的鉴权器进行校验。AAA服务器向旧的鉴权器回复通知响应消息。其中,X1 可以是旧的鉴权器可提供的该MS的相关参数信息,或者可以是新的鉴权器和旧的鉴权器都可获得的安全参数,或者可以是通过新的鉴权器和旧的鉴权器都可获得的参数计算出的安全参数。步骤201 :AAA服务器对新的鉴权器校验成功,且旧的鉴权器确认新的鉴权器可信任后,锚定鉴权器重定位到新的鉴权器。本步骤中,AAA服务器通过RADIUS协议或Diameter协议,利用安全参数对新的鉴权器进行验证(具体实现请参见后面的实施例描述),并在校验成功后,向新的鉴权器返回校验成功响应;新的鉴权器向旧的鉴权器请求MS上下文;在旧的鉴权器确认新的鉴权器可信任(具体实现请参见后面的实施例描述)后,向新的鉴权器返回MS上下文,如果之前设置有鉴权器重定位锁定状态,则解除MS的鉴权器重定位锁定状态;如果之前设置有重鉴权锁定状态,则解除MS的重鉴权锁定状态。进一步地,本发明方法还包括新的鉴权器向旧的鉴权器发送鉴权器重定位完成确认消息。进一步地,本发明方法还包括旧的鉴权器在确认重定位成功完成后,清除该MS 的相关信息。需要说明的是,在本发明图2所示的上述流程中,如果有任何拒绝或失败响应,那么,旧的鉴权器可以发起该MS退出网络的流程。本发明还提供一种锚定鉴权器重定位系统,图3为本发明锚定鉴权器重定位系统的组成结构示意图如图3所示,至少包括新的鉴权器、旧的鉴权器和AAA服务器,其中,新的鉴权器,用于与旧的鉴权器交互,在旧的鉴权器同意MS的锚定鉴权器重定位请求,向AAA服务器发送鉴权器重定位请求;接收到来自AAA服务器的校验成功响应,请求旧的鉴权器完成鉴权器重定位;接收到来自AAA服务器的校验失败响应,请求旧的鉴权器完成鉴权器重定位,其中携带失败指示。旧的鉴权器,用于与新的鉴权器交互,确定同意MS的锚定鉴权器重定位请求;确定新的鉴权器是可信任的,向新的鉴权器发送鉴权器重定位成功或完成响应,锚定鉴权器重定位到新的鉴权器;AAA服务器,用于对新的鉴权器进行校验,并在校验成功向新的鉴权器发送检验成功响应。进一步地,旧的鉴权器,还用于感知存在正在进行的重鉴权或鉴权器重定位,拒绝该锚定鉴权器重定位请求;旧的鉴权器,还用于在同意该锚定鉴权器重定位请求时,设置该MS为鉴权器重定位锁定状态,相应地,在旧的鉴权器确认新的鉴权器可信任后,解除MS的鉴权器重定位锁定状态;进一步地,还用于设置该MS为重鉴权锁定状态,相应地,在旧的鉴权器确认新的鉴权器可信任后,解除MS的重鉴权锁定状态。旧的鉴权器,还用于向AAA服务器发送通知消息,通知AAA服务器将切换到新的鉴权器,并将新的鉴权器相关信息或旧的鉴权器所提供的安全参数通知给AAA服务器,用于 AAA服务器对新的鉴权器进行校验。新的鉴权器,还用于向旧的鉴权器发送鉴权器重定位完成确认消息。旧的鉴权器,还用于在确认鉴权器重定位成功完成后,清除该MS的相关信息。旧的鉴权器,还用于在存在任何拒绝或失败响应时,发起该MS退出网络的流程。下面结合实施例对本发明方法进行详细描述。图4为本发明锚定鉴权器重定位方法的第一实施例的流程图,第一实施例为PULL 模式下的锚定鉴权器重定位方法的流程图,如图4所示,包括步骤400 新的鉴权器向旧的鉴权器发送锚定鉴权器重定位通知消息,请求鉴权器重定位,即发起MS的锚定鉴权器重定位。步骤401 旧的鉴权器向新的鉴权器返回锚定鉴权器重定位通知响应。本步骤中,如果旧的鉴权器查觉已存在有正在进行的重鉴权或鉴权器重定位,则拒绝当前的鉴权器重定位请求;否则,旧的鉴权器设置该MS为鉴权器重定位锁定状态,不再接受后续的所有鉴权器重定位请求和/或重鉴权请求。也可以进一步设置该MS的重鉴权锁定状态,不再接受后续的所有重鉴权请求。如果旧的鉴权器同意当前的鉴权器重定位请求,则可在返回给新的鉴权器的锚定鉴权器重定位通知响应中,携带新的鉴权器所请求的MS Context,可能包括以下的一个或多个终端安全历史(MS Security History)、终端授权上下文(MS Authorization Context)、注册上下文(REG Context)、锚定终端移动性上下文(Anchor MM Context)。进一步地,在锚定鉴权器重定位通知响应中还可以携带安全参数Z。安全参数Z是旧的鉴权器与AAA服务器都可获得的参数信息,或者是可以通过旧的鉴权器与AAA服务器都可获得的参数计算出的安全参数。安全参数可以是基于密码的鉴权码技术密钥(CMAC_C0UNT_KEY), 或主会话密钥(MSK,Master Session Key)。这里由安全参数计算出另一个安全参数的方法可以采用现有多种方法,属于本领域技术人员惯用技术手段,不用于限定本发明的保护范围。步骤402 新的鉴权器收到旧的鉴权器的指示同意的响应后,向AAA服务器发送鉴权器重定位的请求,AAA服务器对新的鉴权器进行校验。本步骤中,向AAA服务器发送鉴权器重定位的请求可以是RADIUS消息或Diameter 消息。该RADIUS消息或Diameter消息可携带MS ΝΑΙ。在新的鉴权器发送给AAA服务器的请求中,包括旧的鉴权器所提供的安全参数Ζ, 或者利用安全参数Z计算出的安全参数W,并请求AAA服务器的验证。本步骤中,AAA服务器的检验包括如果来自新的鉴权器提供的安全参数与AAA服务器上可得到的安全参数相同,或AAA服务器上的安全参数Z1或根据AAA上的安全参数Z1 计算出W与来自新的鉴权器的安全参数相同,则校验成功^是旧的鉴权器与AAA都可以得到或共享的安全参数。进一步地,AAA服务器比较本地安全参数Z1与旧的鉴权器所提供的安全参数Z,或者通过本地Z1所计算出的W1与新的鉴权器锁发送的W进行比较,若相同,则校验成功。本步骤中,在AAA服务器完成对新的鉴权器的校验后,向新的鉴权器响应鉴权器重定位请求。如果同意该鉴权器重定位请求,可在答复的响应消息中携带该MS对应的旧的 MSK,也就是MS当前还在生效的MSK ;进一步地,在同意该鉴权器重定位请求时,在答复的响应消息中还携带AAA服务器与旧的鉴权器都可获得的安全参数U或通过该安全参数U计算出的安全参数V。步骤403 若新的鉴权器收到AAA服务器的指示校验成功的答复,则向旧的鉴权器发送鉴权器重定位完成请求,其中可携带MS Context的请求,进一步地,还可以携带从AAA 服务器获得的安全参数U或安全参数V。步骤404:旧的鉴权器对鉴权器重定位完成请求进行确认,并在确认新的鉴权器可信任后向新的鉴权器返回鉴权器重定位完成响应。进一步地,旧的鉴权器利用本地获得的安全参数U1或根据本地安全参数U1计算出的安全参数V1,分别与来自新的鉴权器的安全参数U或安全参数V进行比较,若相同,则确认该新的鉴权器可信任。此时,旧的鉴权器向新的鉴权器返回携带有新的鉴权器所请求的 MS上下文信息的鉴权器重定位完成响应。进一步,旧的鉴权器在响应消息中携带该MS对应的旧的MSK,也就是MS当前还在生效的MSK。进一步,如果之前设置有鉴权器重定位锁定状态,本步骤还包括旧的鉴权器解除 MS的鉴权器重定位锁定状态;如果之前设置有重鉴权锁定状态,本步骤还包括旧的鉴权器解除MS的重鉴权锁定状态。进一步,还包括步骤405 新的鉴权器向旧的鉴权器发送锚定鉴权器重定位确认消息。图5为本发明锚定鉴权器重定位方法的第二实施例的流程图,第二实施例为PULL 模式下的锚定鉴权器重定位方法的另一实施例的流程图,如图5所示,包括以下步骤步骤500 新的鉴权器向旧的鉴权器发送锚定鉴权器重定位通知消息,请求鉴权器重定位,即发起MS的锚定鉴权器重定位。
步骤501 步骤502 如果旧的鉴权器同意当前的鉴权器重定位请求,则向AAA服务器发送鉴权器重定位通知请求消息,通知AAA服务器将要切换到新的鉴权器,并将新的鉴权器相关信息或旧的鉴权器所提供的安全参数X1通知给AAA服务器,用于AAA服务器对新的鉴权器进行校验。比如,新的鉴权器的完全合格域名/全称域名(FQDN) ;AAA服务器向旧的鉴权器回复鉴权器重定位通知响应消息。其中,X1可以是旧的鉴权器可提供的该MS的相关参数信息,或者可以是新的鉴权器和旧的鉴权器都可获得的安全参数,或者可以是可通过新的鉴权器和旧的鉴权器都可获得的参数计算出的安全参数。AAA服务器向旧的鉴权器回复鉴权器重定位通知响应。步骤503 旧的鉴权器向新的鉴权器返回锚定鉴权器重定位通知响应。本步骤中,如果旧的鉴权器查觉已存在有正在进行的重鉴权或鉴权器重定位,则拒绝当前的鉴权器重定位请求;否则,旧的鉴权器设置该MS为鉴权器重定位锁定状态,不再接受后续的所有鉴权器重定位请求和/或重鉴权请求。也可以进一步设置该MS的重鉴权锁定状态,不再接受后续的所有重鉴权请求。如果旧的鉴权器同意当前的鉴权器重定位请求,则在返回给新的鉴权器的锚定鉴权器重定位通知响应中,携带新的鉴权器所请求的MS Context,可能包括以下的一个或多个:MS Security History、MS Authorization Context REGContext、Anchor MM Context。 进一步地,在锚定鉴权器重定位通知响应中还可以携带安全参数Ζ。安全参数Z是旧的鉴权器与AAA服务器都可获得的参数信息,或者是可以通过旧的鉴权器与AAA服务器都可获得的参数计算出的安全参数。步骤504 新的鉴权器收到旧的鉴权器的指示同意的响应后,向AAA服务器发送鉴权器重定位的请求,AAA服务器对新的鉴权器进行校验。本步骤中,向AAA服务器发送鉴权器重定位的请求可以是RADIUS消息或Diameter 消息。该RADIUS消息或Diameter消息可携带MS ΝΑΙ。进一步地,还可携带新的鉴权器的 FQDN,或者旧的鉴权器所提供的安全参数X,或者根据旧的鉴权器所提供的安全参数X计算出的安全参数Y。在新的鉴权器发送给AAA服务器的请求中,进一步包括旧的鉴权器所提供的安全参数Z,或者利用安全参数Z计算出的安全参数W,并请求AAA服务器的验证。本步骤中,AAA服务器的检验包括如果来自旧的鉴权器的安全参数与来自新的鉴权器的安全参数相同,则校验成功;或者,来自新的鉴权器的安全参数与AAA上可得到的安全参数相同,则校验成功。具体包括根据旧的鉴权器所提供的新鉴权器的FQDN,或者旧的鉴权器所提供的安全参数X1,或根据安全参数X1计算出的安全参数Y1,比较从新的鉴权器收到的X与从旧的鉴权器收到的安全参数X1,或者比较安全参数Y1与安全参数Y,若相同,则校验成功。进一步地,AAA服务器比较本地安全参数Z1与旧的鉴权器所提供的安全参数Z,或者通过本地Z1所计算出的W1与新的鉴权器锁发送的W进行比较,若相同,则校验成功。本步骤中,在AAA服务器完成对新的鉴权器的校验后,向新的鉴权器响应鉴权器重定位请求。如果同意该鉴权器重定位请求,可在答复的响应消息中携带该MS对应的旧的 MSK,也就是MS当前还在生效的MSK ;进一步地,在同意该鉴权器重定位请求时,在答复的响应消息中还携带AAA服务器与旧的鉴权器都可获得的安全参数U或通过该安全参数U计算出的安全参数V。步骤505 若新的鉴权器收到AAA服务器的指示校验成功的答复,则向旧的鉴权器发送鉴权器重定位完成请求,其中可携带MS Context的请求,进一步地,还可以携带从AAA 服务器获得的安全参数U或安全参数V。步骤506 旧的鉴权器鉴权器重定位完成请求进行确认,并在确认新的鉴权器可信任后向新的鉴权器返回鉴权器重定位完成响应。进一步地,旧的鉴权器利用本地获得的安全参数U1或根据本地安全参数U1计算出的安全参数V1,分别与来自新的鉴权器的安全参数U或安全参数V进行比较,若相同,则确认该新的鉴权器可信任。此时,旧的鉴权器向新的鉴权器返回携带有新的鉴权器所请求的 MS上下文信息的鉴权器重定位完成响应。进一步,旧的鉴权器在响应消息中携带该MS对应的旧的MSK,也就是MS当前还在生效的MSK。进一步,如果之前设置有鉴权器重定位锁定状态,本步骤还包括旧的鉴权器解除 MS的鉴权器重定位锁定状态;如果之前设置有重鉴权锁定状态,本步骤还包括旧的鉴权器解除MS的重鉴权锁定状态。进一步,还包括步骤507 新的鉴权器向旧的鉴权器发送锚定鉴权器重定位确认消息。图6为本发明锚定鉴权器重定位方法的第三实施例的流程图,第三实施例为PUSH 模式下的锚定鉴权器重定位方法的流程图,如图6所示,包括步骤600 旧的鉴权器向新的鉴权器发送锚定鉴权器重定位请求,即MS的锚定鉴权器重定位。本步骤中,如果旧的鉴权器查觉已存在有正在进行的重鉴权或鉴权器重定位,则不发起当前的鉴权器重定位请求;否则,旧的鉴权器设置该MS为鉴权器重定位锁定状态,不再接受后续的所有鉴权器重定位请求和/或重鉴权请求。也可以进一步设置该MS的重鉴权锁定状态,不再接受后续的所有重鉴权请求。进一步地,旧的鉴权器在发给新的鉴权器的锚定鉴权器重定位请求消息中, 可以携带有MS部分上下文,可能包括以下的一个或多个MS Security History, MS Authorization Context REG Context,Anchor MM Context。进一步地,旧的鉴权器还携带有安全参数Ζ。安全参数Z是旧的鉴权器与AAA服务器都可获得的参数信息,或者是可以通过旧的鉴权器与AAA服务器都可获得的安全参数计算出的安全参数。步骤601 新的鉴权器向旧的鉴权器发送锚定鉴权器重定位响应,可请求MS的上下文。进一步地,包括步骤602 旧的鉴权器在发给新的鉴权器的锚定鉴权器重定位确认消息中,可以携带有MS部分上下文,可能包括以下的一个或多个MS Security History, MS Authorization Context REG Context,Anchor MMContext。进一步地,旧的鉴权器在回复的消息中还携带有安全参数Z。安全参数Z是旧的鉴权器与AAA服务器都可获得的参数信息,或者是可以通过旧的鉴权器与AAA服务器都可获得的安全参数计算出的安全参数。
步骤603 步骤606的具体实现与步骤402 步骤405完全一致,这里不再赘述。图7为本发明锚定鉴权器重定位方法的第四实施例的流程图,第四实施例为PUSH 模式下的锚定鉴权器重定位方法的另一实施例的流程图,如图6所示,包括以下步骤步骤700 步骤701 如果旧的鉴权器希望发起鉴权器重定位请求并差觉到,则向 AAA服务器发送鉴权器重定位通知请求消息,通知AAA服务器将要切换到新的鉴权器,并将新的鉴权器相关信息或旧的鉴权器所提供的安全参数X1通知给AAA服务器,用于AAA服务器对新的鉴权器进行校验。比如,新的鉴权器的完全合格域名/全称域名(FQDN) ;AAA服务器向旧的鉴权器回复鉴权器重定位通知响应消息。其中,X1可以是旧的鉴权器可提供的该 MS的相关参数信息,或者可以是新的鉴权器和旧的鉴权器都可获得的安全参数,或者可以是可通过新的鉴权器和旧的鉴权器都可获得的参数计算出的安全参数。本步骤中,如果旧的鉴权器查觉已存在有正在进行的重鉴权或鉴权器重定位,则不发起当前的鉴权器重定位请求;否则,旧的鉴权器可设置该MS为鉴权器重定位锁定状态,不再接受后续的所有鉴权器重定位请求和/或重鉴权请求。也可以进一步设置该MS的重鉴权锁定状态,不再接受后续的所有重鉴权请求。步骤702 旧的鉴权器向新的鉴权器发送锚定鉴权器重定位请求,即MS的锚定鉴权器重定位。进一步地,旧的鉴权器在发给新的鉴权器的锚定鉴权器重定位请求消息中, 可以携带有MS部分上下文,可能包括以下的一个或多个MS Security History, MS Authorization Context REG Context,Anchor MM Context。进一步地,旧的鉴权器还携带有安全参数Ζ。安全参数Z是旧的鉴权器与AAA服务器都可获得的参数信息,或者是可以通过旧的鉴权器与AAA服务器都可获得的安全参数计算出的安全参数。步骤703 新的鉴权器向旧的鉴权器发送锚定鉴权器重定位响应,并请求MS的上下文。进一步地,包括步骤704:旧的鉴权器在发给新的鉴权器的锚定鉴权器重定位确认消息中,可以携带有MS部分上下文,可能包括以下的一个或多个MS Security History, MS Authorization Context REG Context,Anchor MMContext。进一步地,旧的鉴权器在回复的消息中还携带有安全参数Z。安全参数Z是旧的鉴权器与AAA服务器都可获得的参数信息,或者是可以通过旧的鉴权器与AAA服务器都可获得的安全参数计算出的安全参数。步骤705 步骤708的具体实现与步骤402 步骤405完全一致,这里不再赘述。以上所述,仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围,凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明的保护范围之内。
权利要求
1.一种锚定鉴权器重定位方法,其特征在于,该方法包括在旧的鉴权器同意MS的锚定鉴权器重定位请求后,新的鉴权器向AAA服务器发送鉴权器重定位请求;AAA服务器对新的鉴权器校验成功,且旧的鉴权器确认新的鉴权器可信任后,锚定鉴权器重定位到新的鉴权器。
2.根据权利要求1所述的锚定鉴权器重定位方法,其特征在于,在该方法之前,或者,在所述旧的鉴权器同意MS的锚定鉴权器重定位请求后,所述新的鉴权器向AAA服务器发送鉴权器重定位请求之前,该方法还包括所述旧的鉴权器向AAA服务器发送通知消息,通知AAA服务器将要切换到新的鉴权器,将新的鉴权器信息或旧的鉴权器所提供的安全参数X1通知给AAA服务器, 用于AAA服务器对新的鉴权器进行校验。
3.根据权利要求1或2所述的锚定鉴权器重定位方法,其特征在于,所述锚定鉴权器重定位请求由所述新的鉴权器发起,或者由所述旧的鉴权器发起。
4.根据权利要求3所述的锚定鉴权器重定位方法,其特征在于,该方法还包括如果所述旧的鉴权器感知存在正在进行的重鉴权或鉴权器重定位,则拒绝该锚定鉴权器重定位请求。
5.根据权利要求4所述的锚定鉴权器重定位方法,其特征在于,所述旧的鉴权器感知是否存在正在进行的重鉴权或鉴权器重定位的方法为在所述旧的鉴权器中,为所述MS设置锚定鉴权器重定位锁定状态标识,当锚定鉴权器重定位锁定状态标识显示为锁定状态时,不再接受后续其他新的鉴权器重定位请求和/或重鉴权请求,直到鉴权器重定位锁定状态被解除;或者,在所述旧的鉴权器中,为所述MS设置计数器,当计数器为奇数时,不再接受后续其他新的鉴权器重定位请求和/或重鉴权请求;或者,当所述旧的鉴权器中存在所述MS的鉴权器重定位发生时,在旧的鉴权器为所述 MS设置一定时器,在定时器未超时时,不再接受后续其他新的鉴权器重定位请求和/或重鉴权请求,直至该定时器超时。
6.根据权利要求5所述的锚定鉴权器重定位方法,其特征在于,该方法还包括所述旧的鉴权器设置当前MS为重鉴权锁定状态;所述重鉴权锁定状态为不再接受后续其他新的重鉴权请求。
7.根据权利要求3所述的锚定鉴权器重定位方法,其特征在于,如果所述旧的鉴权器感知存在正在进行的重鉴权或鉴权器重定位,该方法还包括所述旧的鉴权器拒绝所述锚定鉴权器重定位请求。
8.根据权利要求2所述的锚定鉴权器重定位方法,其特征在于,所述AAA服务器对新的鉴权器校验成功为所述AAA服务器通过远端用拨入验证服务RADIUS协议或Diameter协议,利用安全参数对新的鉴权器进行验证如果来自所述旧的鉴权器的安全参数与来自所述新的鉴权器的安全参数相同,则校验成功。
9.根据权利要求8所述的锚定鉴权器重定位方法,其特征在于,所述校验具体包括所述新的鉴权器向AAA服务器发送鉴权器重定位的请求,其中携带MSNAI,或旧的鉴权器所提供的安全参数Z,或者利用安全参数Z计算出的安全参数W,并请求AAA服务器的验证;所述AAA服务器比较自身可得到的安全参数,或者AAA服务器本地安全参数Z1,或者通过本地安全参数Z1所计算出的W,与来自新的鉴权器的安全参数是否相同,若相同,则校验成功。
10.根据权利要求9所述的锚定鉴权器重定位方法,其特征在于,所述新的鉴权器向 AAA服务器发送鉴权器重定位的请求中还携带有新的鉴权器的FQDN,或者旧的鉴权器所提供的安全参数X,或者根据旧的鉴权器所提供的安全参数X计算出的安全参数Y ;所述校验还包括根据所述旧的鉴权器所提供的新鉴权器的FQDN,或者旧的鉴权器所提供的安全参数X1,或根据安全参数X1计算出的安全参数Y1,比较从新的鉴权器收到的X与从旧的鉴权器收到的安全参数X1,或者比较安全参数Y1与安全参数Y,若相同,则校验成功。
11.根据权利要求1或2所述的锚定鉴权器重定位方法,其特征在于,所述旧的鉴权器确认新的鉴权器可信任后,锚定鉴权器重定位到新的鉴权器包括所述新的鉴权器向旧的鉴权器请求当前移动终端MS上下文;在旧的鉴权器确认新的鉴权器可信任后,向新的鉴权器返回MS上下文。
12.根据权利要求11所述的锚定鉴权器重定位方法,其特征在于,所述旧的鉴权器还将所述MS对应的旧的MSK返回给新的鉴权器。
13.根据权利要求11所述的锚定鉴权器重定位方法,其特征在于,所述确认新的鉴权器可信任包括所述新的鉴权器向旧的鉴权器返回从AAA服务器获得的安全参数U或安全参数V ;所述旧的鉴权器利用本地获得的安全参数U1或根据本地安全参数U1计算出的安全参数V1,分别与来自新的鉴权器的安全参数U或安全参数V进行比较,若相同,则确认该新的鉴权器可信任。
14.根据权利要求13所述的锚定鉴权器重定位方法,其特征在于,如果之前设置有鉴权器重定位锁定状态,该方法还包括解除所述MS的鉴权器重定位锁定状态;如果之前设置有重鉴权锁定状态,该方法还包括解除所述MS的重鉴权锁定状态。
15.根据权利要求1或2所述的锚定鉴权器重定位方法,其特征在于,该方法还包括 所述新的鉴权器向旧的鉴权器发送鉴权器重定位完成确认消息;所述旧的鉴权器在确认重定位成功完成后,清除当前MS的相关信息。
16.一种锚定鉴权器重定位系统,其特征在于,至少包括新的鉴权器、旧的鉴权器和 AAA服务器,其中,新的鉴权器,用于与旧的鉴权器交互,在旧的鉴权器同意MS的锚定鉴权器重定位请求,向AAA服务器发送鉴权器重定位请求;接收到来自AAA服务器的校验成功响应,请求旧的鉴权器完成鉴权器重定位;旧的鉴权器,用于与新的鉴权器交互,确定同意MS的锚定鉴权器重定位请求;确定新的鉴权器是可信任的,向新的鉴权器发送鉴权器重定位成功或完成响应,锚定鉴权器重定位到新的鉴权器;AAA服务器,用于对新的鉴权器进行校验,并在校验成功向新的鉴权器发送检验成功响应。
17.根据权利要求16所述的锚定鉴权器重定位系统,其特征在于,所述旧的鉴权器,还用于感知存在正在进行的重鉴权或鉴权器重定位,拒绝该锚定鉴权器重定位请求。
18.根据权利要求17所述的锚定鉴权器重定位系统,其特征在于,所述旧的鉴权器, 还用于在同意所述锚定鉴权器重定位请求时,设置当前MS为鉴权器重定位锁定状态,相应地,在旧的鉴权器确认新的鉴权器可信任后,解除MS的鉴权器重定位锁定状态。
19.根据权利要求18所述的锚定鉴权器重定位系统,其特征在于,所述旧的鉴权器,具体用于,为所述MS设置锚定鉴权器重定位锁定状态标识,当锚定鉴权器重定位锁定状态标识显示为锁定状态时,不再接受后续其他新的鉴权器重定位请求和/或重鉴权请求,直到鉴权器重定位锁定状态被解除;或者,为所述MS设置计数器,当计数器为奇数时,不再接受后续其他新的鉴权器重定位请求和/或重鉴权请求;或者,当所述旧的鉴权器中存在所述MS的鉴权器重定位发生时,在旧的鉴权器为所述 MS设置一定时器,在定时器未超时时,不再接受后续其他新的鉴权器重定位请求和/或重鉴权请求,直至该定时器超时。还用于设置所述MS为重鉴权锁定状态,相应地,在旧的鉴权器确认新的鉴权器可信任后,解除MS的重鉴权锁定状态。
20.根据权利要求16 19任一项所述的锚定鉴权器重定位系统,其特征在于,所述旧的鉴权器,还用于向所述AAA服务器发送通知消息,通知AAA服务器将切换到新的鉴权器, 并将新的鉴权器相关信息或旧的鉴权器所提供的安全参数通知给AAA服务器,用于AAA服务器对新的鉴权器进行校验。
21.根据权利要求20所述的锚定鉴权器重定位系统,其特征在于,所述新的鉴权器,还用于向旧的鉴权器发送鉴权器重定位完成确认消息。
22.根据权利要求21所述的锚定鉴权器重定位系统,其特征在于,所述旧的鉴权器,还用于在确认鉴权器重定位成功完成后,清除所述MS的相关信息。
23.根据权利要求22所述的锚定鉴权器重定位系统,其特征在于,所述旧的鉴权器,还用于在存在任何拒绝或失败响应时,发起所述MS退出网络的流程。
全文摘要
本发明提供了一种锚定鉴权器重定位方法及系统,包括在旧的鉴权器同意MS的锚定鉴权器重定位请求后,新的鉴权器向AAA服务器发送鉴权器重定位请求;AAA服务器对新的鉴权器校验成功,且旧的鉴权器确认新的鉴权器可信任后,锚定鉴权器重定位到新的鉴权器。通过本发明方法,为实现不需要进行重鉴权的锚定鉴权器重定位,提供了详细的方案。
文档编号H04W12/06GK102196407SQ20101014730
公开日2011年9月21日 申请日期2010年3月18日 优先权日2010年3月18日
发明者冯成燕, 曲红云, 朱戈, 褚丽, 许玲 申请人:中兴通讯股份有限公司