专利名称:通信网中的鉴权的制作方法
技术领域:
本发明涉及通信网中的鉴权,更特别地,虽然不是必要的,涉及在被访问的通信网中漫游的无线终端的鉴权。
背景技术:
图1以图表描述了用于移动无线终端的蜂窝通信网的结构。该网络包括一组由IP网12相互连接的接入节点4、6。订户拥有用户设备(UE)1,并具有向“归属”网络3的预订。归属网络具有归属位置寄存器(HLR)10,其包括存储诸如计费信息、服务允许以及订户位置的订户信息的数据库。订户可以带着UE且漫游至一个访问的外国无线网络2,在那里他希望通过第一接入节点4访问某些通信服务,例如语音呼叫(通过电路交换网络路由)、互联网接入、与其它UE的对等数据连接或其它数据业务。在订户被允许通过UE接入这些服务之前,被访问的网络要求鉴权订户,这典型地通过被访问的网络2与归属网络3联系而实现。被访问的网络可以执行某些初始检查以核实UE在进行合法的请求。
被访问的网络2不会准许订户接入任何服务,直到它获知这些接入将被付费为止,且被访问网络因而发送鉴权请求5到归属网络以确定订户是否是归属网络注册的订户,并因而是可信任的。只有在归属网络3在消息5’中确认订户在归属网络中注册,被访问的网络才提供对可用服务的接入。鉴权进程可能需要在被访问网络和归属网络之间交换多于一对消息5、5’。在其花费的时间方面以及在通信网上强加的通信额外开销方面,整个鉴权过程都可能是一个冗长的进程。用于鉴权漫游订户的协议包括MAP、RADIUS和DIAMETER。
在成功鉴权后,情况可能改变,以致于UE必须通过一个替换的接入节点6接入被访问网络。UE用于连接被访问网络的接入节点可能依赖于多种因素,尤其包括物理接近度、带宽容量和现有的运行负载。例如在无线LAN中情况可能如此,这里小区尺寸很小,而UE在接入节点之间的移动很频繁。
每次在UE希望附接到一个新的接入节点时,接入节点必须通过发送请求7到归属网络3并等待来自归属网络的响应7’,而重复由前一接入节点执行的鉴权过程。该第二鉴权过程花费与初始鉴权过程类似长度的时间并消耗类似的网络资源量。在网络中传输过量的信令数据是不希望的;网络操作员被提供给固定的带宽分配,并且只能为服务相关的数据向订户收费。信令数据代表不可收费的带宽使用,并且网络操作员希望将其使用最小化。第二鉴权过程将很可能导致为订户提供的服务的中断。如果例如订户访问网址,这可能不是一个重要问题,这里被提供数据中的较小延迟不会对提供的服务质量造成不利的影响。然而,对于诸如语音呼叫或流播多媒体广播这样的服务来说,对这种服务的中断是不希望的。
因此,希望提供一种减少切换接入节点时的鉴权时间的安全鉴权机制。还希望提供一种安全的鉴权机制,其绕过查询归属网络以确认UE的身份的需要,从而减少归属网络上的信令开销。
已提出一种称为“快速移交(handoff)”的概念用于网络中,其中UE在不同接入节点之间频繁地切换,这个概念提供了一种更快速的手段用于在备选的接入节点之间进行切换。提供了完全的鉴权,但绕过了归属网络。这可以通过以下方式来实现使用来自归属网络的抢先(preemptive)控制,例如在从当前的接入节点切换之前鉴权一个UE以使用一个新接入节点,或通过两个接入节点间的一些上下文传输,从而完全地避开归属网络。
这些快速移交机制的第一点是仍然经受不希望的大量信令开销,从而在UE每次切换接入节点时需要在归属和被访问网络之间的更多信令。进一步考虑这些“快速移交”机制的第二点,已经提出了许多不同的快速移交实现,并且这些实现都通过使用分发给接入节点的某种类型的会话密钥或再次鉴权密钥来避免与归属网络3的过量的通信。这些密钥在初始鉴权期间由归属网络和被访问网络双方商定,而密钥在被访问网络的接入节点间分发。这使得在接入节点之间切换时UE能够快速地再次附接,而并不会使系统受不必要的安全脆弱性的影响,主要的一个脆弱性是单一的泄密(comprised)的接入节点具有对所有这样的会话和再次鉴权密钥的接入。单一的泄密的接入节点因而能够为恶意的第三方提供信息,这将使得该第三方能够模仿UE且在不必提供付费的情况下从被访问网络接入服务。
因此,希望提供一种用于在接入网络的接入节点之间快速切换移动节点的快速移交机制,其避免了单一接入节点可能泄密而允许第三方接入其它接入节点的风险。
发明内容
根据本发明的第一方面,提供了一种向通信系统鉴权移动节点的方法,该通信系统包括多个接入节点,该方法包括(a)使用单向编码函数(one-way coding function)来生成包括一系列值的数值链,使得链内一个给定的值可以很容易地从一个随后的值得到,但该随后的值不能轻易地从那个给定的值得到;(b)从移动节点发送来自第一数值链的一个值到移动节点希望附接的接入节点;并且(c)在接入节点处使用该已发送值来鉴权该移动节点。
根据本发明的第二方面,提供了一种当移动节点根据任意前述权利要求向接入节点鉴权自己时得出安全的鉴权密钥的方法,该方法包括提供由该移动节点和一第一接入节点使用的第一鉴权密钥KS0;发送第一鉴权密钥的散列hash(KS0)到一第二接入节点和该移动节点;以及根据散列hash(KS0)生成新的鉴权密钥KS1。
根据本发明的另一方面,提供了一种移动无线终端,该终端包括用于使用单向编码函数生成并存储第一数值链的装置,该第一数值链包括一系列n个值,使得链内一个给定的值可以很容易地从一个随后的值得到,但该随后的值不能轻易地从那个给定的值得到;以及用于向接入节点公开该数值链的值以允许接入节点鉴权该移动无线终端的装置。
根据本发明的又一方面,提供了一种通信系统的接入节点,具有用于从移动节点接收第一数值链的值的装置,该第一数值链包括一系列n个值,使用单向编码函数使得链内一个给定的值可以很容易地从一个随后的值得到,但该随后的值不能轻易地从那个给定的值得到;以及用来基于该值而鉴权该移动节点的装置。
根据本发明的再一方面,提供了一种通信系统的控制节点,具有用于从移动节点或接入节点接收第一数值链的值的装置,该第一数值链包括一系列n个值,使用单向编码函数使得链内一个给定的值可以很容易地从一个随后的值得到,但该随后的值不能轻易地从那个给定的值得到;以及用来基于该值而鉴权该移动节点的装置。
图1概略地显示了通信网络的结构;图2概略地显示了根据本发明一个实施例的通信网络的结构;以及图3是表明本发明某些实施例的方法的流程图。
具体实施例方式
图2概略地显示了根据本发明第一实施例的用于移动无线终端的蜂窝通信网络的结构,用相似的数字代表与图1中所示的相似的部件。接入节点4、6由网络互相连接。网络可以是蜂窝电信网络,例如3G网络、WLAN、3G和WLAN网络的结合,或任何其它类型的蜂窝网络。归属网络3的订户拥有移动无线终端1,并且试图接入来自被访问的(外国)无线网络2的诸如语音呼叫、互联网接入或其它数据业务的服务。在准许订户接入服务之前,被访问网络需要来自订户的归属网络的授权。为了使订户被鉴权,被访问网络发送鉴权请求到归属网络,归属网络在HLR10中检查订户的详细情况。在MAP、RADIUS和DIAMETER(RFC 3588)协议以及用于无线网络尤其是802.1x、802.11i和EAP(RFC 2298)的协议中定义了鉴权过程。成功鉴权之后,被访问网络在其访问者位置寄存器(VLR)11中存储订户的详细情况。UE进而可以通过第一接入节点4接入从被访问网络可获得的服务。
可以使用某现有的交换协议来产生鉴权密钥或会话密钥,并将其用于在初始鉴权之后加密UE和给定接入节点之间的业务。
在初始鉴权过程(例如消息5、5’的交换)期间,确定一个数值链,其将被用于在移动节点在稍后的阶段中切换接入节点时再次鉴权该移动节点。在某些实施例中,数值链可能对UE来说已知。在一些实施例中(可能更适于应用到现有协议如RADIUS和DIAMETER),数值链对UE和归属网络都是已知的。该链是一系列n个数字,具有值H1、H2…Hn,使得链内一个给定的值可以很容易地从一个随后的值得到,但该随后的值不能轻易地从该给定的值得到。这可以通过使用单向编码函数,例如hash(散列)函数来实现,以得到一个链,其中Hi-1=hash(Hi)。函数hash()以这样的方式定义,使得很难倒转(reverse)该运算,即得到该函数已经对其进行运算的值。所用的单向hash函数可能例如为MD5或SHA-1。函数hash()可以为公知常识;其单向功能性意味着它不必是秘密的。任何在密码学上是安全的单向函数都合适。
数值链从一个作为链的最后一个值的种子值Hn生成。单向hash()函数的接连应用返回该链中在前的值,向下返回至序列中的第一个数字H1。种子值在UE和归属网络之间商定,在两方之间以某种加密形式发送。种子值可以由伪随机数字生成器生成。替换地,种子值可以基于某些仅为UE和归属网络所知或仅可由其得出的值,例如EAP MSK或EMSK值,在该情况中现有鉴权协议将不必被适配以实现这个实施例的协议。根据一个替换实施例,UE自己生成种子值,归属网络对其并不知道,因而也不能获取它。
生成种子值后,UE和归属网络都能通过单向编码函数的接连应用来生成剩余的序列而获取H1。紧跟在订户到被访问网络的初始鉴权之后,值H1与鉴权加密密钥KR一起、通过UE附接的接入节点的第一个接入节点而分发给接入网络中的接入节点。替换地,接入节点从控制节点接收H1的值。UE或归属网络向控制节点提供H1,控制节点随后更新接入节点。
考虑UE移动到一个新的接入节点的情形,UE向第二接入节点6给出鉴权密钥KR,并通过给出数值链中的值H2来确认其身份。第二接入节点6知道该单向编码函数,并将该函数应用于值H2,因而得到值H1,因为hash(H2)=H1。第二接入节点将先前分发给该接入节点的H1的值与通过对由UE提供的值H2“散列”得到的H1的值相比较。由于知道数值链中随后的值的仅有两个设备是UE和归属网络,如果这两个H1的值相等,则认为UE已被鉴权。如果这两个比较的值不匹配,则可能拒绝接入服务的请求。成功鉴权之后,第二接入节点6发送更新通知消息8到接入网络的其它接入节点,使得它们知道UE已经切换了接入节点。更新通知消息可以包括UE提供的最近的H值,或替换地,它可以简单地包括UE已经切换接入节点的指示,在该情况下接入网络中的其它接入节点使计数器递增1。
当UE希望切换至另一个接入节点并要求另一次的再次鉴权时,UE向该另一接入节点提供数值链中的下一个H值。该另一接入节点进而用hash()函数对该公开的H值运算并将其与最近分发的H值进行比较,或者,在仅使一个计数器递增的情况中,它应用hash()函数适当的连续次数并将该结果与存储的H值比较。要求UE在每次请求再次鉴权时它使用序列中比已经使用的那些值更高的H值,以确保泄密的接入节点不能使用它的在UE尚未访问过的接入节点处的KR的知识。
更新通知可以通过本地多播机制发送到接入网络的所有接入节点。该过程和H1和KR的初始分发必须是安全的。在另一个实施例中,涉及多个用户的信息的分发被分批地发送,例如,所有用户信息每10秒更新。
在一个替换实施例中,UE通过控制节点向新AN鉴权。代替向接入节点广播更新通知,控制节点存储新H值。当UE请求在另一接入节点鉴权,该另一接入节点用UE提供的新H值询问控制节点。控制节点将单向函数应用于新H值以便与存储的H值比较。如果两个值匹配,控制节点向另一接入节点鉴权该UE。在该实施例中,接入节点不需要能存储或将单向编码函数应用于所提供的H值。使一个信任的单一位置执行鉴权、而不是在整个通信系统中分发值也潜在地是更安全的。
n个值的数值链是通过对初始种子值进行n-1次散列函数的连续迭代而生成的。通过允许单向编码函数的最大n-1次应用,系统仅允许在接入节点间有限次的转交。在达到接入节点间允许的最大数目的转交之后,必须通过在UE和归属网络处生成一个新的数值链来重新启动该过程。因此,在该系统被第三方损害的事件中,该系统将仅允许此第三方在系统的安全性恢复之前有限次地切换接入节点。因此,为了通过要求对归属网络的更频繁的检查来设置更高级别的安全性,n的值被设定得较低。
图3的流程图中显示了上述实施例的方法的步骤,其中n的值在每次连续的授权尝试时递增1。
在又一实施例中,数值链的值可以用来生成UE的新IP地址,如果不是全部也至少是部分的新IP地址。当UE附接至一新的接入节点时,它必须公开数值链的下一个值。它还可以使用该值根据英国专利No.2367986的方法来生成IP地址的接口标识符部分,其内容在这里引用作为参考。
根据本发明的再一实施例,UE在每次希望将其附接至新的接入节点时,它公开序列中向前的、比下一个更远的H值,例如,如果UE向附接其自己的上一个接入节点公开了H3,那么它可以公开H5(或任何更高的H值,一直到Hn),而不公开H4。在该情况中,新的接入节点必须多于一次地将hash()函数应用于公开的值,以便将其输出与最近分发的公共H值相比较。
任何另外的接入节点可能仅被提供了H1以及来自较早的更新通知的指示UE已经切换接入节点给定数目m次。单独基于该信息,另一个接入节点知道它必须将单向编码函数应用于寻求鉴权的UE提供的H值至少m+1次,最多应用n-1次。如果经过散列的值没有一个与UE提供的相对应,则接入节点必须假定再次鉴权请求是不能许可的。
根据本发明的还一实施例,由UE和归属网络产生多个数值链以便UE可以在多个接口上并行地使用它们。该多个链使用不同的种子值和相同的单向编码函数生成。替换地,多个链可以实现不同的单向编码函数,随后的通信承载了已在一给定链上实现该编码函数的指示。这创建了一种快速的“多归属”机制,其中即使在具有多个接口的节点上也仅需要单一初始鉴权。对每个接口必须使用不同的数值链以避免一个重放攻击。
根据本发明的再一实施例,数值链通过修改单向编码函数而与接入节点接口上的特定MAC地址绑定,使Hi-1=hash(Hi,MAC地址),使得第三方不可能宣称一给定数值链对另一MAC地址有效。即使第三方获取UE的MAC地址,任何模仿UE的尝试都必须加盖第三方自己的MAC地址戳,接入节点将能够因为这是欺骗性的而拒绝该服务请求。
根据本发明的另外的实施例,提供了一种用于得出如上描述的在UE切换接入节点时使用的安全鉴权密钥的方法。初始地假设UE和第一接入节点共享公共鉴权密钥KS0。用于实现这一点的方法是已知的。在另一实施例中,刚一从第一接入节点切换到新接入节点,第一接入节点就发送包含值hash(KS0)的消息到新接入节点,新接入节点发送这些值到UE。UE然后能够通过其自身对KS0进行散列,来确认该消息确实起始自第一接入节点。然后,UE和新接入节点能够使用等式KS1=hash(hash(KS0))来得出新鉴权密钥。新接入节点不能确定原始的鉴权密钥KS0,因为它不能倒转该单向编码函数hash(KS0)来得到KS0。由第一节点发送的消息还可以包括现时(nonce)NP0,在这种情况中该新的鉴权密钥使用等式KS1=hash(hash(KS0),NP0)来生成。
在另一实施例中,第一接入节点发送鉴权密钥的散列hash(KS0)到新接入节点,而移动节点和新接入节点交换现时NC1和NA1,新鉴权密钥使用等式KS1=hash(hash(KS0),NC1,NA1)得出,以便第一接入节点不能获悉新鉴权密钥,除非它截取该现时交换,并且新接入节点不能获悉更早的鉴权密钥,因为它不能倒转该单向编码函数来获取KS0。在还一个实施例中,第一接入节点还可以随hash(KS0)的值一起发送现时NP0,在这种情况中新鉴权密钥使用等式KS1=hash(hash(KS0),NP0,NC1,NA1)生成。
本发明提供了一种向接入网络的接入节点鉴权移动节点的方法。本领域技术人员应该了解对上述实施例可以做出各种修改,而不背离本发明的范围。
权利要求
1.一种向通信系统鉴权移动节点的方法,该通信系统包括多个接入节点,该方法包括(a)使用单向编码函数生成包括一系列值的数值链,使得链内一个给定的值可以很容易地从一个随后的值得到,但该随后的值不能轻易地从那个给定的值得到;(b)从移动节点发送第一数值链的一个值到该移动节点希望附接的接入节点;并且(c)在该接入节点处使用该已发送值来鉴权该移动节点。
2.根据权利要求1的方法,其中为鉴权节点提供序列中比该已发送值早的第一数值链的值,鉴权节点基于将单向编码函数应用于已发送值时的输出与第一数值链的较早值的比较来鉴权该移动节点。
3.根据权利要求2的方法,其中该已发送值与第一数值链的较早值的比较包括将单向编码函数应用于已发送值至少一次的输出与第一数值链的较早值进行比较。
4.根据前述任一权利要求的方法,其中第一数值链的较早值是紧挨在已发送值之前的值。
5.根据权利要求2至4的任一权利要求的方法,其中鉴权节点是移动节点希望附接的接入节点。
6.根据权利要求5的方法,其中鉴权节点在移动节点成功鉴权后发送通知更新到该多个接入节点的剩余接入节点。
7.根据权利要求6的方法,其中更新通知通过安全的本地多播机制来发出。
8.根据权利要求2至4的任一权利要求的方法,其中鉴权节点是与该多个接入节点通信的控制节点。
9.根据权利要求8的方法,其中鉴权节点在移动节点成功鉴权后存储更新通知。
10.根据权利要求6或9的方法,其中通知更新包括移动节点提供的已发送值。
11.根据前述任一权利要求的方法,其中第一数值链的值Hi-1可以从第一数值链的值Hi、通过使用所定义的使得Hi-1=hash(Hi)的单向编码函数获得。
12.根据前述任一权利要求的方法,其中第一数值链通过提供数值链的种子值Hn来生成,所有在前的值通过连续应用单向编码函数而可得到。
13.根据权利要求12的方法,其中种子值Hn基于仅为移动节点和归属网络所知的值。
14.根据权利要求12的方法,其中种子值Hn基于仅为移动节点所知的值。
15.根据权利要求12至14的任一权利要求的方法,其中种子值Hn基于EAP MSK或EMSK值。
16.根据权利要求12至14的任一权利要求的方法,其中种子值Hn基于随机生成的值。
17.根据权利要求12至16的任一权利要求的方法,其中加密种子值以使接入节点不能确定种子值。
18.根据权利要求2至17的任一权利要求的方法,其中通过将单向编码函数接连应用于种子值而得到的数值链的第一个值是通过移动节点或移动节点预订的归属网络来提供给该鉴权节点的。
19.一种向通信系统鉴权移动节点的方法,该通信系统包括多个接入节点和多个接口,该方法包括生成多个数值链,多个数值链的每一个相应于多个接口之一,以及根据权利要求1的方法在该多个接口处鉴权该移动节点。
20.根据权利要求19的方法,其中移动节点并行地向多个接口鉴权它自己。
21.根据前述任一权利要求的方法,其中数值链的值用于至少生成移动节点的一IP地址的部分。
22.根据前述任一权利要求的方法,其中每个数值链与相应于特定接入节点的特定MAC地址绑定。
23.根据前述任一权利要求的方法,其中通信系统包括无线接入网络,以及移动节点是无线终端。
24.一种当移动节点在通信系统中漫游时鉴权移动节点的方法,该方法包括跟随在移动节点从通信系统的第一接入节点切换到第二接入节点之后,使用前述任一权利要求的方法向第二接入节点鉴权该移动节点。
25.根据权利要求25的方法,其中移动节点先前已经通过移动节点的归属网络向所述通信系统鉴权。
26.一种当移动节点根据前述任一权利要求向接入节点鉴权自己时得出安全的鉴权密钥的方法,该方法包括提供第一鉴权密钥KS0,以便由该移动节点和一第一接入节点使用;发送第一鉴权密钥的散列hash(KS0)到一第二接入节点和该移动节点;以及根据散列hash(KS0)生成新的鉴权密钥KS1。
27.根据权利要求26的方法,其中新鉴权密钥是通过根据函数KS1=hash(hash(KS0))来对散列hash(KS0)取散列而生成的。
28.根据权利要求26的方法,进一步包括步骤在移动节点和第二接入节点之间交换由移动节点提供的第一现时NC1和由第二接入节点提供的第二现时NA1;并且其中新鉴权密钥KS1是根据函数KS1=hash(hash(KS0),NC1,NA1)、按照第一会话密钥KS0、第一现时NC1和第二现时NA1的散列来生成。
29.一种移动无线终端,该终端包括用于使用单向编码函数而生成并存储第一数值链的装置,该第一数值链包括一系列n个值,使得链内一个给定的值可以很容易地从一个随后的值得到,但该随后的值不能轻易地从那个给定的值得到;以及用于向接入节点公开数值链的值以允许接入节点鉴权该移动无线终端的装置。
30.一种通信系统的接入节点,具有用于从移动节点接收第一数值链的值的装置,该第一数值链包括一系列n个值,使用单向编码函数,使得链内一个给定的值可以很容易地从一个随后的值得到,但该随后的值不能轻易地从那个给定的值得到;以及用来基于该值鉴权该移动节点的装置。
31.一种通信系统的控制节点,具有用于从移动节点或接入节点接收第一数值链的值的装置,该第一数值链包括一系列n个值,使用单向编码函数使得链内一个给定的值可以很容易地从一个随后的值得到,但该随后的值不能轻易地从那个给定的值得到;以及用来基于该值鉴权该移动节点的装置。
全文摘要
提供了一种向通信系统鉴权移动节点的方法,该通信系统包括多个接入节点,该方法包括以下步骤(a)使用单向编码函数生成包括一系列值的数值链,使得链内一个给定的值可以很容易地从一个随后的值得到,但该随后的值不能轻易地从那个给定的值得到;(b)从移动节点发送第一数值链的一个值到该移动节点希望附接的接入节点;并且(c)在接入节点使用已发送值来鉴权该移动节点。
文档编号H04L29/06GK1887019SQ200380110916
公开日2006年12月27日 申请日期2003年12月24日 优先权日2003年12月24日
发明者J·阿科, P·尼坎德, M·奈斯隆德 申请人:艾利森电话股份有限公司