专利名称:一种目标基站获取鉴权密钥的方法及系统的制作方法
技术领域:
本发明涉及无线网络鉴权领域,具体涉及一种在移动终端进行基站切换而引起鉴权者/密钥提供者改变时,目标基站获取鉴权密钥的方法及系统。
背景技术:
随着因特网业务的蓬勃发展和无线网络的广泛应用,如何提高用户的安全性对无线网络提出了越来越多的要求。除设备鉴权、用户鉴权和服务授权外,无线用户与接入点(AP)或基站(BS)之间、BS和鉴权者(Authenticator)之间以及鉴权者和鉴权服务器之间的安全通道的建立、保密信息的交换等都是以往无线网络所不需考虑、而目前必须极为关注的问题。
图1是集中式微波接入全球互操作(WiMAX)安全网络架构体系,如图1所示,在这种架构下,鉴权者与BS属于不同的物理实体,鉴权者所在的实体实现鉴权和密钥提供功能,其中,鉴权由鉴权者实现,密钥由密钥提供者(Key Distributor)提供;BS所在实体实现鉴权中继和密钥接收功能,其中,鉴权中继由鉴权中继(Authentication Relay)单元实现,密钥由密钥接收者(Key Receiver)接收。图中的鉴权中继单元和鉴权者之间交互的是可扩展认证协议(EAP,Extensible Authentication Protocol)认证过程中的EAP消息,支持EAP认证中继协议;密钥提供者和密钥接收者之间交互的是鉴权密钥(AK)及相关信息,支持AK传送协议;图中的鉴权者向密钥提供者发送的是AK及相关信息。从图1中还可以看出,不同的BS可以共享一个鉴权者/密钥提供者,一个鉴权者/密钥提供者和共享它的所有BS组成一个鉴权域,属于不同鉴权域的鉴权者/密钥提供者之间可能会交互AK及相关信息。
图2是分布式WiMAX安全网络架构体系,如图2所示,该图与图1的区别是鉴权者与BS属于同一物理实体,即鉴权者位于BS中,因此,该实体同时实现鉴权、鉴权中继、密钥提供和密钥接收功能。
另外,作为一个完整的安全网络架构体系,还应包括后端网络的鉴权服务器和移动终端(MSS)。其中,鉴权服务器用于完成MSS的认证、授权和计费功能,以及产生并分发根密钥(PMK)及相关信息到鉴权者/密钥提供者,以便鉴权者/密钥提供者根据该PMK为自身管辖的BS上的MSS产生空口保密所需的AK及相关信息;MSS用于发起认证、授权,与鉴权服务器交互产生PMK所需信息,产生PMK,根据PMK产生空口保密所需的AK及相关信息。
从上述安全架构体系可以看出,当MSS发生BS切换时,可能出现以下两种情况1、鉴权者不变。该情况只会在集中式安全网络架构体系中出现。此时切换后的目标BS只需从自身与切换前的服务BS共享的鉴权者/密钥提供者上获取新的AK即可。BS和鉴权者/密钥提供者之间的安全通道可保证AK分发的安全。
2、鉴权者改变。对分布式安全网络架构体系来说,这种情况是必然的。对于集中式安全网络架构体系,只有当目标BS和服务BS不共享同一个鉴权者/密钥提供者时才会出现这种情况。此时,目标BS如何获取AK及相关信息,以及AK及相关信息迁移的安全性,就成为一个必须解决的问题。
图3是现有技术提供的MSS进行BS切换而引起鉴权者/密钥提供者改变时,目标BS获取AK的消息流程时序图,如图3所示,其具体步骤包括301MSS向自身所属服务BS发送切换请求(MOB_HO_IND),该请求消息携带MSS标识(MSSID)和目标BS标识。
302服务BS收到该请求后,向自身所属服务鉴权者/密钥提供者发送切换请求(HO_Request),该请求消息携带MSS标识和目标BS标识。
303服务鉴权者/密钥提供者收到该请求后,为该请求消息携带的MSS标识对应的MSS产生AK。
当MSS进行BS的切换时,MSS会根据自身的PMK产生一个用于和目标BS进行对话的AK;同时,目标BS也需要向自身所属的目标鉴权者/密钥提供者获取一个用于和该MSS进行对话的AK,具体地,是由服务鉴权者/密钥提供者根据自身保存的该MSS的PMK,产生一个用于该MSS和该目标BS对话的AK,然后将该AK发送给目标鉴权者/密钥提供者,再发送给目标BS的。
304服务鉴权者/密钥提供者与目标BS交互切换准备(HO_Preparation)消息。
305交互完毕,服务鉴权者/密钥提供者向服务BS发送切换响应(HO_Response)。
306交互完毕,目标BS上的密钥接收者向目标BS所属目标鉴权者/密钥提供者发送密钥请求(AK Request),该请求消息携带MSS标识。
307目标鉴权者/密钥提供者收到该请求后,检测到自身没有保存该请求消息携带的MSS标识对应的MSS的AK,向服务鉴权者/密钥提供者发送密钥请求(AK Request),以请求其提供AK。
鉴权者/密钥提供者会保存自身所管辖的BS上的所有MSS的AK,目标鉴权者/密钥提供者在自身没有查找到该MSS的AK,就说明MSS在进行BS的切换过程中发生了鉴权者/密钥提供者的改变。
308服务鉴权者/密钥提供者收到该请求后,将步骤303中产生的AK携带在密钥传送(AK Transfer)消息中,并通过已建立的安全通道发送给目标鉴权者/密钥提供者。
该消息同时还携带MSS标识,AKID,AK生命周期及其它AK相关信息。其中,AKID用于标识AK。
309目标鉴权者/密钥提供者收到该消息后,将该消息通过已建立的安全通道转发给目标BS。
310目标BS收到该消息后,根据该消息携带的AK,恢复切换前对话。
从上述过程可以看出,当鉴权者/密钥提供者改变时,切换前的服务BS所属服务鉴权者/密钥提供者并不将PMK及相关信息发送给目标BS所属目标鉴权者/密钥提供者,因此,目标BS所属目标鉴权者/密钥提供者必须向服务BS所属服务鉴权者/密钥提供者请求AK。这样就会带来以下问题一、上述过程有可能失败,即目标BS可能无法从服务鉴权者/密钥提供者获取到AK。这是因为上述过程的成功必须有一个前提服务鉴权者/密钥提供者必须是最近一次进行认证的鉴权者/密钥提供者,否则,服务鉴权者/密钥提供者就没有保存PMK及相关信息,当然也就无法产生AK了。
二、进行认证的鉴权者/密钥提供者必须保留已切换到非自身所管辖的BS上的MSS的PMK及相关信息。
三、当MSS切换到目标BS,并在目标BS所属的目标鉴权者/密钥提供者上进行了重认证后,或者MSS发生异常突然离开网络时,目标BS所属目标鉴权者/密钥提供者需通知最近一次进行认证的服务鉴权者/密钥提供者删除该MSS的PMK及相关信息。
发明内容
有鉴于此,本发明的主要目的在于提供一种BS获取AK的方法及系统。以保证在MSS进行BS切换而引起鉴权者/密钥提供者改变时,目标BS能成功获取AK,且不必要求进行认证的鉴权者/密钥提供者保留已非自身管辖的BS上的MSS的PMK及相关信息;在目标BS进行了重认证后,或者MSS发生异常突然离开网络时,目标BS所属目标鉴权者/密钥提供者也不必通知最近一次进行认证的服务鉴权者/密钥提供者删除该MSS的PMK及相关信息。
为达到上述目的,本发明的技术方案是这样实现的一种目标BS获取AK的方法,该方法包括A、MSS需要切换到的目标BS所属目标鉴权者/密钥提供者收到目标BS发送的AK请求,且在自身没有查找到该请求消息指定的MSS的AK后,根据目标BS提供的MSS切换前的服务BS所属服务鉴权者/密钥提供者的地址信息,向该服务鉴权者/密钥提供者发送密钥请求;B、服务鉴权者/密钥提供者收到该密钥请求后,根据该请求消息携带的MSS标识,将自身保存的该MSS的PMK发送给目标鉴权者/密钥提供者;C、目标鉴权者/密钥提供者收到该PMK后,根据该PMK产生AK,然后将该AK发送给目标BS。
所述步骤A之前进一步包括MSS向自身所属服务BS发送切换请求,该请求消息携带MSS标识和目标BS标识;服务BS收到该请求后,向自身所属服务鉴权者/密钥提供者发送切换请求;服务鉴权者/密钥提供者收到该请求后,根据该请求消息携带的目标BS标识,与该目标BS交互切换准备消息;切换准备消息交互完毕后,该目标BS向自身所属目标鉴权者/密钥提供者发送AK请求。
所述服务鉴权者/密钥提供者在和目标BS交互完切换准备消息之后,进一步包括服务鉴权者/密钥提供者向服务BS返回切换响应。
步骤A所述AK请求由目标BS上的密钥接收者发送给目标鉴权者/密钥提供者。
步骤A所述目标BS提供MSS切换前的服务BS所属服务鉴权者/密钥提供者的地址信息为目标BS通过所述AK请求将MSS切换前的服务BS所属服务鉴权者/密钥提供者的地址信息发送给目标鉴权者/密钥提供者。
步骤B所述PMK通过已建立的服务鉴权者/密钥提供者和目标鉴权者/密钥提供者之间的安全通道发送给目标鉴权者/密钥提供者。
步骤C所述AK通过已建立的目标鉴权者/密钥提供者和目标BS之间的安全通道发送给目标BS。
一种目标BS获取AK的系统,该系统包括MSS、服务BS、服务鉴权者/密钥提供者、目标BS和目标鉴权者/密钥提供者,其中,MSS用于向自身所属服务BS发起切换请求;
服务BS用于在收到MSS发送的切换请求后,向自身所属服务鉴权者/密钥提供者发送切换请求;服务鉴权者/密钥提供者用于在收到服务BS发送的切换请求后,和目标BS交互切换准备消息,并用于在收到目标鉴权者/密钥提供者发送的密钥请求后,给目标鉴权者/密钥提供者返回PMK;目标BS用于和服务鉴权者/密钥提供者交互切换准备消息,交互完毕后,向自身所属目标鉴权者/密钥提供者发送AK请求,并用于接收目标鉴权者/密钥提供者返回的AK;目标鉴权者/密钥提供者用于在收到目标BS发送的AK请求后,向服务鉴权者/密钥提供者发送密钥请求,并在收到服务鉴权者/密钥提供者返回的PMK后,根据该PMK产生AK,并将该AK发送给目标BS。
所述服务鉴权者/密钥提供者进一步用于,在和目标BS交互完切换准备消息后,向服务BS返回切换响应;所述服务BS进一步用于,接收服务鉴权者/密钥提供者返回的切换响应。
与现有技术相比,本发明在MSS进行BS切换并引起鉴权者/密钥提供者改变时,由切换后的目标BS所属目标鉴权者/密钥提供者向切换前的服务BS所属服务鉴权者/密钥提供者请求PMK,并在收到该PMK后,由切换后的目标BS所属目标鉴权者/密钥提供者根据该PMK产生AK,并发送给目标BS。
本发明保证了目标BS能成功获取AK,且,不论是分布式还是集中式安全网络架构体系,该体系下的服务鉴权者/密钥提供者都不必是最近一次进行认证的鉴权者/密钥提供者,也不需进行认证的鉴权者/密钥提供者保留已切换到非自身管辖的BS上的MSS的PMK及相关信息;当MSS切换到目标BS并在目标BS所属目标鉴权者/密钥提供者上进行了重认证后,或MSS发生异常突然离开网络时,也不需通知最近一次进行认证的服务鉴权者/密钥提供者删除该MSS的PMK及相关信息。
图1为集中式WiMAX安全网络架构体系示意图;图2是分布式WiMAX安全网络架构体系示意图;图3是现有技术提供的MSS进行BS切换而引起鉴权者/密钥提供者改变时,目标BS获取AK的消息流程时序图;图4是本发明提供的MSS进行BS切换而引起鉴权者/密钥提供者改变时,目标BS获取AK的系统框图;图5是本发明提供的MSS进行BS切换而引起鉴权者/密钥提供者改变时,目标BS获取AK的流程图;图6是本发明提供的MSS进行BS切换而引起鉴权者/密钥提供者改变时,目标BS获取AK的具体实施例的消息流程时序图。
具体实施例方式
下面结合附图及具体实施例对本发明再作进一步详细的说明。
本发明的核心思想是在MSS进行BS切换引起鉴权者/密钥提供者改变时,切换前服务BS所属的服务鉴权者/密钥提供者将该MSS的PMK发送给切换后目标BS所属的目标鉴权者/密钥提供者,然后由目标鉴权者/密钥提供者根据该PMK,为该MSS产生新的AK,并发送给目标BS。
图4是本发明提供的BS获取AK的系统框图,如图4所示,其主要包括MSS用于向自身所属服务BS发起切换请求。
服务BS用于在收到MSS发送的切换请求后,向自身所属服务鉴权者/密钥提供者发送切换请求。
进一步地,服务BS用于接收服务鉴权者/密钥提供者返回的切换响应。
服务鉴权者/密钥提供者用于在收到服务BS发送的切换请求后,和目标BS交互切换准备消息,并用于在收到目标鉴权者/密钥提供者发送的密钥请求(Key Request)后,给目标鉴权者/密钥提供者返回PMK。
进一步地,服务鉴权者/密钥提供者用于,在和目标BS交互完切换准备消息后,给服务BS返回切换响应。
目标BS用于和服务鉴权者/密钥提供者交互切换准备消息,交互完毕,向自身所属目标鉴权者/密钥提供者发送AK请求(AK Request),并在收到目标鉴权者/密钥提供者返回的AK后,恢复切换前对话。
目标鉴权者/密钥提供者用于在收到目标BS发送的AK请求后,向服务鉴权者/密钥提供者发送密钥请求,并在收到服务鉴权者/密钥提供者返回的PMK后,根据该PMK产生AK,并将该AK发送给目标BS。
图5是本发明提供的MSS进行BS切换而引起鉴权者/密钥提供者改变时,目标BS获取AK的流程图,如图5所示,其具体步骤包括501MSS需要切换到的目标BS所属目标鉴权者/密钥提供者收到目标BS发送的AK请求后,在自身没有查找到该请求消息携带的MSS标识对应的MSS的AK。
鉴权者/密钥提供者会保存自身管辖的BS上的MSS的AK。
502根据目标BS提供的MSS切换前的服务BS所属服务鉴权者/密钥提供者的地址信息,目标鉴权者/密钥提供者向该服务鉴权者/密钥提供者发送密钥请求(Key Request),请求消息携带MSS标识。
503服务鉴权者/密钥提供者收到该请求后,根据该请求消息携带的MSS标识,将自身保存的该MSS的PMK携带在密钥传送(Key Transfer)消息中,发送给目标鉴权者/密钥提供者。
504目标鉴权者/密钥提供者收到该消息后,根据该PMK为该MSS产生AK,并将AK通过AK传送(AK Transfer)消息发送给目标BS。
图6是本发明提供的MSS进行BS切换而引起鉴权者/密钥提供者改变时,目标BS获取AK的具体实施例的消息流程时序图,如图6所示,其具体步骤包括601MSS向自身所属服务BS发送切换请求,该请求消息携带MSS标识和目标BS标识。
602服务BS收到该请求后,向自身所属服务鉴权者/密钥提供者发送切换请求,该请求消息携带MSS标识和目标BS标识。
603服务鉴权者/密钥提供者收到该请求后,与目标BS交互切换准备消息。
目标BS可通过切换准备消息得知服务鉴权者/密钥提供者的地址。
604交互完毕,服务鉴权者/密钥提供者向服务BS发送切换响应。
605交互完毕,目标BS上的密钥接收者向目标BS所属目标鉴权者/密钥提供者发送AK请求(AK Request),该请求消息携带MSS标识和服务鉴权者/密钥提供者的地址信息。
606目标鉴权者/密钥提供者收到该请求,且在自身没有查找到该请求消息携带的MSS标识对应的MSS的AK,向服务鉴权者/密钥提供者发送密钥请求(Key Request),以请求其提供AK。该请求消息携带MSS标识、消息过程标识(Transaction ID)。
目标鉴权者/密钥提供者没保存该MSS的AK,就说明MSS在BS切换过程中发生了鉴权者/密钥提供者的改变。
607服务鉴权者/密钥提供者收到该请求后,将自身保存的该MSS的PMK携带在密钥传送(Key Transfer)消息中,通过已建立的安全通道发送给目标鉴权者/密钥提供者。
该消息同时还携带MSS标识、PMK生命周期、消息过程标识。
608目标鉴权者/密钥提供者收到该消息后,根据该PMK为该MSS产生AK。
609目标鉴权者/密钥提供者将该AK携带在AK传送(AK Transfer)消息中,并通过已建立的安全通道发送给目标BS。
610目标BS收到该消息后,根据该消息携带的AK,恢复切换前对话。
以上所述仅为本发明的过程及方法实施例,并不用以限制本发明,凡在本发明的精神和原则之内所做的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
权利要求
1.一种目标基站获取鉴权密钥的方法,其特征在于,该方法包括A、移动终端MSS需要切换到的目标基站BS所属目标鉴权者/密钥提供者收到目标BS发送的鉴权密钥AK请求,且在自身没有查找到该请求消息指定的MSS的AK后,根据目标BS提供的MSS切换前的服务BS所属服务鉴权者/密钥提供者的地址信息,向该服务鉴权者/密钥提供者发送密钥请求;B、服务鉴权者/密钥提供者收到该密钥请求后,根据该请求消息携带的MSS标识,将自身保存的该MSS的根密钥PMK发送给目标鉴权者/密钥提供者;C、目标鉴权者/密钥提供者收到该PMK后,根据该PMK产生AK,然后将该AK发送给目标BS。
2.如权利要求1所述的方法,其特征在于,所述步骤A之前进一步包括MSS向自身所属服务BS发送切换请求,该请求消息携带MSS标识和目标BS标识;服务BS收到该请求后,向自身所属服务鉴权者/密钥提供者发送切换请求;服务鉴权者/密钥提供者收到该请求后,根据该请求消息携带的目标BS标识,与该目标BS交互切换准备消息;切换准备消息交互完毕后,该目标BS向自身所属目标鉴权者/密钥提供者发送AK请求。
3.如权利要求2所述的方法,其特征在于,所述服务鉴权者/密钥提供者在和目标BS交互完切换准备消息之后,进一步包括服务鉴权者/密钥提供者向服务BS返回切换响应。
4.如权利要求1、2或3所述的方法,其特征在于,步骤A所述AK请求由目标BS上的密钥接收者发送给目标鉴权者/密钥提供者。
5.如权利要求1所述的方法,其特征在于,步骤A所述目标BS提供MSS切换前的服务BS所属服务鉴权者/密钥提供者的地址信息为目标BS通过所述AK请求将MSS切换前的服务BS所属服务鉴权者/密钥提供者的地址信息发送给目标鉴权者/密钥提供者。
6.如权利要求1所述的方法,其特征在于,步骤B所述PMK通过已建立的服务鉴权者/密钥提供者和目标鉴权者/密钥提供者之间的安全通道发送给目标鉴权者/密钥提供者。
7.如权利要求1所述的方法,其特征在于,步骤C所述AK通过已建立的目标鉴权者/密钥提供者和目标BS之间的安全通道发送给目标BS。
8.一种目标BS获取AK的系统,其特征在于,该系统包括MSS、服务BS、服务鉴权者/密钥提供者、目标BS和目标鉴权者/密钥提供者,其中,MSS用于向自身所属服务BS发起切换请求;服务BS用于在收到MSS发送的切换请求后,向自身所属服务鉴权者/密钥提供者发送切换请求;服务鉴权者/密钥提供者用于在收到服务BS发送的切换请求后,和目标BS交互切换准备消息,并用于在收到目标鉴权者/密钥提供者发送的密钥请求后,给目标鉴权者/密钥提供者返回PMK;目标BS用于和服务鉴权者/密钥提供者交互切换准备消息,交互完毕后,向自身所属目标鉴权者/密钥提供者发送AK请求,并用于接收目标鉴权者/密钥提供者返回的AK;目标鉴权者/密钥提供者用于在收到目标BS发送的AK请求后,向服务鉴权者/密钥提供者发送密钥请求,并在收到服务鉴权者/密钥提供者返回的PMK后,根据该PMK产生AK,并将该AK发送给目标BS。
9.如权利要求8所述的系统,其特征在于,所述服务鉴权者/密钥提供者进一步用于,在和目标BS交互完切换准备消息后,向服务BS返回切换响应;所述服务BS进一步用于,接收服务鉴权者/密钥提供者返回的切换响应。
全文摘要
本发明公开了一种目标BS获取AK的方法,包括在MSS进行BS切换引起鉴权者/密钥提供者改变时,由切换后的目标BS所属目标鉴权者/密钥提供者向切换前的服务BS所属服务鉴权者/密钥提供者请求PMK,并在收到PMK后产生AK,将AK发送给目标BS。本发明同时公开了一种目标BS获取AK的系统,包括MSS、服务BS、服务鉴权者/密钥提供者、目标BS和目标鉴权者/密钥提供者。本发明保证目标BS可成功获取AK,且不需鉴权者/密钥提供者保留已切换到非自身管辖的BS上的MSS的PMK及相关信息;当MSS切换到目标BS并在目标鉴权者/密钥提供者上进行了重认证后,或MSS发生异常突然离开网络时,也不需通知最近一次进行认证的服务鉴权者/密钥提供者删除该MSS的PMK及相关信息。
文档编号H04W12/04GK1905734SQ200510085548
公开日2007年1月31日 申请日期2005年7月25日 优先权日2005年7月25日
发明者肖正飞, 吴建军 申请人:华为技术有限公司