专利名称:支持快速切换的预认证过程的制作方法
技术领域:
本发明涉及一种认证方法,尤其涉及一种宽带无线接入系统中支持移动用户站实现快速 切换的预认证方法。
背景技术:
随着计算机技术和通信技术的发展,无线通信己深入人们的生活。为了保证通信系统的 可运营、可管理和可计费,防止非法的用户访问网络提供的服务,通信系统必须对接入的设 备和用户身份进行认证,只有通过认证的设备和用户,才被允许接入网络,使用网络的资源, 访问网络提供的服务。在宽带无线接入系统中,存在三类实体MSS (移动用户站)、BS (基 站)和ASA (认证服务器),其中BS完成接入功能,ASA完成对MSS的认证。MSS属于用户侧, BS和ASA属于网络侧。此系统有两种基本的认证机制, 一种是RSA认证,另一种是EAP认证。 RSA认证主要是网络侧针对移动用户站设备的认证,而EAP认证主要是网络侧针对移动用户 站使用的用户身份的认证。RSA认证成功后,用户侧和网络侧得到一个共享的主授权密钥PAK (Primary Authorization Key)。宽带无线接入系统的EAP认证框架可支持多种EAP认证方 式,有些EAP认证方式在认证成功后,双方不生成共享的PMK (Pairwise Master Key);有 些EAP认证方式在认证成功后,双方生成共享的PMK。根据上述两种基本的认证机制,宽带 无线接入系统的认证过程存在下面四种方式的组合1. 仅RSA认证2. 仅EAP认证3. RSA认证和EAP认证,但是EAP认证不生成PMK4. RSA认证和EAP认证,EAP认证生成PMK在上述认证过程组合中,第一种和第三种认证成功后,用户侧和网络侧最终得到一个共享的主授权密钥PAK,双方根据PAK采用相同的策略推演出授权密钥AK(Authorization Key)。在第二种认证过程中,双方协商出一个共享的PMK,并根据PMK采用相同的策略推演出授权密钥AK。在第四种认证过程中,MSS与网络侧首先进行RSA认证,认证成功后,双方协商出一个共享的预主授权密钥pre-PAK。双方根据pre-PAK采用相同的策略推演出PAK和E:[K(EAPIntegrity Key)。其次,MSS与网络侧进行EAP认证,EAP认证过程受到EIK的完整性保护。认证成功后,双方协商出一个共享的PMK。根据PAK和PMK双方将推演出一个共享的AK。当MSS在进行移动通信时,不可避免地要在BS之间进行切换。在切换过程中,当MSS接 入到目标BS (移动用户站当前要切换到的基站)时,要进行网络重入,此时MSS与目标BS 之间要重新建立信任关系,网络重新认证MSS的身份。在认证过程中,MSS与网络之间的通 信将被暂时中断,如果认证时间过长,很可能会造成上层业务掉线。为了解决上述问题,在当前的移动通信系统中引入了预认证的安全机制。预认证安全机 制是基于这种构想如果MSS在切换过程中,MSS和目标BS拥有了一个共享的密钥,那么 MSS和目标BS之间就可以利用这个共享的密钥,快速建立起信任关系,而不需要进行一次 完整的重认证。但是,由于目前正EE 802.16e的标准中对于预认证过程没有明确完整的描述, 并且预认证流程需要针对这四种不同组合的认证过程,所以需要设计一种思路清晰、统一的 预认证过程。发明内容针对现有技术存在的缺陷和不足,本发明提供一种支持快速切换的预认证过程。在宽带 无线接入系统中,对于不同组合的认证过程下实现MSS在不同的BS之间进行快速切换。 为达到上述目的,本发明采用以下技术方案支持快速切换的预认证过程,包括如下步骤步骤A,服务基站发送预认证通知消息给认证服务器;步骤B,认证服务器推算出新的授权密钥或者授权密钥素材,并将推算后的授权密钥或 者授权密钥素材发送给目标基站;步骤C,认证服务器或目标基站向服务基站发送预认证通知响应消息,告知目标基站已 获得授权密钥或者授权密钥素材;步骤D,服务基站接收到预认证通知响应消息,向移动用户站发送预认证响应消息;步骤E,移动用户站接收到服务基站发送来的预认证响应消息后,移动用户站推演授权 密钥或者授权密钥素材。优选的在所述支持快速切换的预认证过程中,在所述歩骤A之前还包括步骤A',移动用户站向服务基站发送预认证请求消息,该消息中包含目标基站的标识号 和对此消息的采用密钥块加密方式的消息摘要算法的摘要。优选的在所述支持快速切换的预认证过程中,所述歩骤A具体为步骤A1-1,服务基站接收到移动用户站的预认证请求消息,则对该消息进行完整性校验;步骤A1-2,校验通过后,服务基站向目标基站发送预认证通知消息;步骤Al-3,目标基站接收到服务基站发送来的预认证通知消息后,向认证服务器发送授权密钥材料的请求消息,该消息中包含移动用户站的标识号和目标基站的标识号。
优选的在所述支持快速切换的预认证过程中,所述步骤B具体为步骤B1-1,认证服务器接收到目标基站发送的授权密钥材料的请求后,根据移动用户站 标识号查找其授权密钥材料;步骤Bl-2,如果没有査到,表明MSS在预认证之前没有经过认证授权,认证服务器向目 标基站发送授权密钥拒绝消息;步骤B1-3,如果査到,认证服务器推算出新的授权密钥或者授权密钥素材,并将推算后 的授权密钥或者授权密钥素材发送给目标基站。优选的在所述支持快速切换的预认证过程中,所述步骤C具体为步骤C1-1,如果目标基站接收到认证服务器发送来的授权密钥材料后,向服务基站发送 预认证通知响应消息,告知其已经得到授权密钥材料;步骤Cl-2,如果目标基站接收到认证服务器发送来的授权密钥拒绝消息,则向服务基站 发送预认证通知拒绝消息。优选的在所述支持快速切换的预认证过程中,所述歩骤D具体为步骤D1-1,如果服务基站接收到目标基站发送来的预认证通知响应消息后,向移动用户 站发送预认证响应消息,告知目标基站己经得到授权密钥材料;步骤D1-2,如果服务基站接收到目标基站发送来的预认证通知拒绝消息后,则向移动用 户站发送预认证拒绝消息。优选的在所述支持快速切换的预认证过程中,所述歩骤A具体为步骤A2-1,服务基站接收到移动用户站的预认证请求消息,则对该消息进行完整性校验;步骤A2-2,校验通过后,服务基站向认证服务器发送预认证通知消息。优选的在所述支持快速切换的预认证过程中,所述歩骤B具体为歩骤B2-1,认证服务器接收到服务基站发送的授权密钥材料的请求后,根据移动用户站 标识号査找其授权密钥材料;步骤B2-2,如果没有查到,表明移动用户站在预认证之前没有经过认证授权,认证服务 器向目标基站发送授权密钥拒绝消息;步骤B2-3,如果查到,认证服务器推算出新的授权密钥或者授权密钥素材,并将推算后 的授权密钥或者授权密钥素材发送给目标基站。优选的在所述支持快速切换的预认证过程中,所述步骤C具体为目标基站被动接收 到认证服务器发送来的授权密钥材料后,向服务基站发送预认证通知响应消息,告知其已获 得授权密钥材料。优选的在所述支持快速切换的预认证过程中,所述步骤D具体为
步骤D2-1,如果服务基站接收到目标基站发送来的预认证通知响应消息后,则服务基站向移动用户站发送预认证响应消息,告知目标基站已获得授权密钥材料;步骤D2-2,如果服务基站接收到认证服务器发送来的预认证通知拒绝消息后,则服务基站向移动用户站发送预认证拒绝消息。优选的在所述支持快速切换的预认证过程中,所述步骤A具体为步骤A3-1,服务基站接收到移动用户站的预认证请求消息,则对该消息进行完整性校验;步骤A3-2,校验通过后,服务基站向认证服务器发送预认证通知消息。优选的在所述支持快速切换的预认证过程中,所述步骤B具体为步骤B3-1,认证服务器接收到服务基站发送的授权密钥材料的请求后,根据移动用户站标识号査找其授权密钥材料;步骤B3-2,如果没有査到,表明移动用户站在预认证之前没有经过认证授权,认证服务器向目标基站发送授权密钥拒绝消息;步骤B3-3,如果査到,认证服务器推算出新的授权密钥或者授权密钥素材,并将推算后的授权密钥或者授权密钥素材发送给目标基站。优选的在所述支持快速切换的预认证过程中,所述歩骤C具体为目标基站被动接收到认证服务器发送来的授权密钥材料后,向认证服务器发送授权密钥材料响应消息,告知其 已获得授权密钥材料。优选的在所述支持快速切换的预认证过程中,所述步骤D具体为步骤D3-1,认证服务器接收到目标基站发送来的授权密钥材料响应消息后,则认证服务 器向服务基站发送预认证通知响应消息,告知目标基站己获得授权密钥材料;步骤D3-2,服务基站接收到认证服务器发送来的预认证通知拒绝消息后,则服务基站向 移动用户站发送预认证拒绝消息;步骤D3-3,服务基站接收到认证服务器发送来的预认证通知响应消息,则向移动用户站 发送预认证响应消息。优选的在所述支持快速切换的预认证过程中,所述步骤E具体为步骤E1,移动用户站接收到服务基站发送来的预认证响应消息后,移动用户站对AK或 PMK进行推演;步骤E2,移动用户站接收到服务基站发送来的预认证拒绝消息,则表明此移动用户站的 预认证过程失败。优选的在所述支持快速切换的预认证过程中,服务基站、目标基站以及认证服务器之间通过有线网络连接在一起,它们之间通过有线网络的安全机制建立起安全连接。
当MSS切入到目标BS时,服务基站发送预认证通知消息给认证服务器;认证服务器推算 出新的授权密钥或者授权密钥素材,并将推算后的授权密钥或者授权密钥素材发送给目标基 站;此时,目标基站拥有了授权密钥或者授权密钥素材;授权密钥或者授权密钥素材拥有者 (认证服务器或目标基站)向服务基站告知目标基站已获得授权密钥或者授权密钥素材,服 务基站通知移动用户站进行预认证,MSS按照和ASA Server同样的策略推算出授权密钥AK 或者授权密钥素材(PMK)。此时,移动用户站也拥有授权密钥或者授权密钥素材。MSS与 目标BS之间都拥有一个共享的AK或者PMK。根据这个共享的密钥,MSS与目标BS之间 将建立快速的信任关系,因此不需要重新进行一次完整的认证过程。而且,预认证流程的思 路清晰,与具体的认证过程无关,报文交互简单,适用于移动通信系统中快速切换的预认证。在上述过程中,服务BS、目标BS以及ASA之间通过有线网络连接在一起,它们之间 通过有线网络的安全机制建立起安全连接,可以充分保证服务BS、目标BS以及认证服务器 之间交换的消息的安全性。
图1为MSS快速切换的网络图;图2为目标BS主动获取授权密钥材料的预认证流程图;图3为目标BS被动接收授权密钥材料后,向服务BS发送回复信息的预认证流程图; 图4为目标BS被动接收授权密钥材料后,向ASA Server发送回复信息的预认证流程图。
具体实施方式
本发明的构思为MSS在从当前基站切换到目标基站过程中,如果MSS和目标BS拥有 了一个共享的密钥,那么MSS和目标BS之间就可以利用这个共享的密钥,快速建立起信任 关系,而不需要进行一次完整的重认证。下面结合
802.16e的预认证流程。首先描述802.16e中MSS切换的场景(如附图1所示), 一个MSS正连接在BS1 (此时 BS1为服务BS)上,并且向BS2覆盖区域移动。MSS在接入服务BS时,分别通过RSA认 证生成PAK,通过基于EAP的认证生成AAA-KEY,进而从AAA—KEY推演出PMK。 MSS 与网络侧通过PAK和PMK推演出共享的授权密钥AK。当MSS移动到BS1的覆盖区域的边 界附近,并检测到BS1下行链路的通信质量低于一定的阈值时,开始扫描BS1的邻居BS。 在随后的过程中,MSS和BS1经过小区选择、切换决定等阶段协商了 MSS要切换到BS2 (目 标BS),此时MSS或BS1发起预认证过程。本发明中的预认证过程涉及到MSS、服务BS (在
切换前一直给MSS提供服务的基站)、目标BS和ASA Server这四个网络实体。为了在预认 证过程中MSS与目标BS之间建立一个共享的密钥,这四个网络实体之间需要完成一系列的 预认证消息交换过程。具体的预认证过程有三种方式第一种,目标BS主动获取与MSS共享的授权密钥材料。(如附图2所示),其过程如下1、 发起预认证过程。预认证过程可以由MSS或服务BS发起。如果由MSS发起,则 MSS向服务BS发送请求消息,告知需要进行预认证。该消息中包含目标BS的标识号和对 此消息的OMAC摘要。如果由服务BS发起,预认证过程是由第二步开始。2、 如果预认证过程由服务BS发起,则服务BS直接向目标BS发送预认证通知消息。 如果服务BS接收到MSS的预认证请求,则对消息进行完整性校验。校验通过后,服务BS 向目标BS发送预认证通知消息。该消息的主要目的是告知目标BS进行预认证,并需要向 ASA Server获取授权密钥材料。3、 目标BS接收到服务BS发送来的预认证通知消息后,向ASA Server发送授权密钥材 料的请求消息。该消息中包含MSS的标识号和目标BS的标识号。4、 ASA Server接收到目标BS发送的授权密钥材料的请求后,根据MSS[D查找其授权 密钥材料,如果没有查到,表明此MSS在预认证之前没有经过认证授权,则ASA Server向 目标BS发送授权密钥拒绝消息;如果查到,则ASA Server按照一定的策略推算出新的授权 密钥AK或者授权密钥素材(PMK),并将推算后的授权密钥或者授权密钥素材发送给目标 BS。5、 如果目标BS接收到ASA Server发送来的授权密钥材料后,向服务BS发送预认证通 知响应消息,告知其已经得到授权密钥材料。如果目标BS接收到ASA Server发送来的授权 密钥拒绝消息,则向服务BS发送预认证通知拒绝消息。6、 如果服务BS接收到目标BS发送来的预认证通知响应消息后,则向MSS发送预认证 响应消息,告知目标BS已经得到授权密钥材料。如果服务BS接收到目标BS发送来的预认 证通知拒绝消息,则向MSS发送预认证拒绝消息。7、 如果MSS接收到服务BS发送来的预认证响应消息后,MSS按照和ASA Server同样 的策略对授权密钥AK或者授权密钥素材(PMK)进行推算。如果MSS接收到服务BS发送 来的预认证拒绝消息,则表明此MSS的预认证过程失败。第二种,目标BS被动接收与MSS共享的授权密钥材料后,向服务BS发送回复信息。 (如附图2所示),其过程如下-1、发起预认证过程。预认证过程可以由MSS或服务BS发起。如果由MSS发起,则 MSS向服务BS发送请求消息,告知服务BS需要预认证。如果由服务BS发起,预认证过程 由第二步开始。2、 预认证通知。如果预认证过程由服务BS发起,则服务BS直接发送预认证通知消息 给ASAServer。如果服务BS接收到MSS发送的预认证请求,则对此消息进行完整性校验。 校验通过后,服务BS发送预认证通知消息给ASA Server。3、 密钥材料的获取。ASA Server接收到服务BS发送来的预认证通知消息后,判断此 MSS是否能够预认证。判断的依据有很多,比如根据MSSID査找其授权密钥材料,如果没 有査到,表明此MSS在预认证之前没有经过认证授权,则不进行预认证。如果ASA Server 判断此MSS不进行预认证,则ASAServer向目标BS发送预认证通知拒绝消息,直接跳到第 五步执行;如果此MSS进行预认证,则ASA Server按照一定的策略推算出新的授权密钥AK 或授权密钥素材(PMK),并将推算后的AK或PMK发送给目标BS。4、 预认证通知的回复。目标BS被动接收到ASA Server发送来的授权密钥材料后,向服 务BS发送预认证通知响应消息,告知其已获得授权密钥材料。5、 预认证请求的回复。如果服务BS接收到目标BS发送来的预认证通知响应消息后, 则服务BS向MSS发送预认证响应消息,告知目标BS已获得授权密钥材料。如果服务BS 接收到ASA Server发送来的预认证通知拒绝消息后,则服务BS向MSS发送预认证拒绝消息。6、 预认证过程的结束。如果MSS接收到服务BS发送来的预认证响应消息后,则MSS 按照和ASA Server同样的策略对AK或PMK进行推演。如果MSS接收到服务BS发送来的 预认证拒绝消息,则表明此MSS的预认证过程失败。第三种,目标BS被动接收与MSS共享的授权密钥材料后,向ASAServer发送回复信息。 (如附图4所示),其过程如下1、 发起预认证过程。预认证过程可以由MSS或服务BS发起。如果由MSS发起,则 MSS向服务BS发送请求消息,告知服务BS需要预认证。如果由服务BS发起,预认证过程 由第二步开始。2、 预认证通知。如果预认证过程由服务BS发起,则服务BS直接发送预认证通知消息 给ASAServer。如果服务BS接收到MSS发送的预认证请求,则对此消息进行完整性校验。 校验通过后,服务BS发送预认证通知消息给ASAServer。3、 密钥材料的获取。ASA Server接收到服务BS发送来的预认证通知消息后,判断此MSS是否能够预认证。判断的依据有很多,比如根据MSSID査找其授权密钥材料,如果没有査到,表明此MSS在预认证之前没有经过认证授权,则不进行预认证。如果ASA Server 判断此MSS不进行预认证,则ASA Server向目标BS发送预认证通知拒绝消息,直接跳到第 六步执行;如果此MSS进行预认证,则ASA Server按照一定的策略推算出新的授权密钥AK 或授权密钥素材(PMK),并将推算后的AK或PMK发送给目标BS。4、 密钥材料的响应。目标BS被动接收到ASA Server发送来的授权密钥材料后,向ASA Server发送授权密钥材料响应消息,告知其已获得授权密钥材料。5、 预认证通知的回复。如果ASA Server接收到目标BS发送来的授权密钥材料响应消息 后,则ASAServer向服务BS发送预认证通知响应消息,告知目标BS己获得授权密钥材料。6、 预认证请求的回复。如果服务BS接收到ASA Server发送来的预认证通知拒绝消息后, 则服务BS向MSS发送预认证拒绝消息。如果服务BS接收到ASA Server发送来的预认证通 知响应消息,则向MSS发送预认证响应消息。7、 预认证过程的结束。如果MSS接收到服务BS发送来的预认证响应消息后,则MSS 按照和ASA Server同样的策略对AK或PMK进行推演。如果MSS接收到服务BS发送来的 预认证拒绝消息,则表明此MSS的预认证过程失败。本发明预认证流程的思路清晰,与具体的认证过程无关,报文交互简单,适用于移动通 信系统中快速切换的预认证。
权利要求
1. 支持快速切换的预认证过程,包括如下步骤步骤A,服务基站发送预认证通知消息给认证服务器;步骤B,认证服务器推算出新的授权密钥或者授权密钥素材,并将推算后的授权密钥或者授权密钥素材发送给目标基站;步骤C,认证服务器或目标基站向服务基站发送预认证通知响应消息,告知目标基站已获得授权密钥或者授权密钥素材;步骤D,服务基站接收到预认证通知响应消息,向移动用户站发送预认证响应消息;步骤E,移动用户站接收到服务基站发送来的预认证响应消息后,移动用户站推演授权密钥或者授权密钥素材。
2、 根据权利要求1所述的支持快速切换的预认证过程,其特征在于在所述步骤A之前还 包括步骤A',移动用户站向服务基站发送预认证请求消息,该消息中包含目标基站的标识号 和对此消息的采用密钥块加密方式的消息摘要算法的摘要。
3、 根据权利要求2所述的支持快速切换的预认证过程,其特征在于所述步骤A具体为 步骤A1-1,服务基站接收到移动用户站的预认证请求消息,则对该消息进行完整性校验; 步骤A1-2,校验通过后,服务基站向目标基站发送预认证通知消息;步骤A1-3,目标基站接收到服务基站发送来的预认证通知消息后,向认证服务器发送授 权密钥材料的请求消息,该消息中包含移动用户站的标识号和目标基站的标识号。
4、 根据权利要求2所述的支持快速切换的预认证过程,其特征在于所述步骤B具体为 步骤B1-1,认证服务器接收到目标基站发送的授权密钥材料的请求后,根据移动用户站标识号查找其授权密钥材料;歩骤Bl-2,如果没有査到,表明MSS在预认证之前没有经过认证授权,认证服务器向目 标基站发送授权密钥拒绝消息;步骤B1-3,如果査到,认证服务器推算出新的授权密钥或者授权密钥素材,并将推算后 的授权密钥或者授权密钥素材发送给目标基站。
5、 根据权利要求2所述的支持快速切换的预认证过程,其特征在于所述歩骤C具体为 步骤C1-1,如果目标基站接收到认证服务器发送来的授权密钥材料后,向服务基站发送预认证通知响应消息,告知其已经得到授权密钥材料;步骤C1-2,如果目标基站接收到认证服务器发送来的授权密钥拒绝消息,则向服务基站 发送预认证通知拒绝消息。
6、 根据权利要求2所述的支持快速切换的预认证过程,其特征在于所述步骤D具体为步骤D1-1,如果服务基站接收到目标基站发送来的预认证通知响应消息后,向移动用户 站发送预认证响应消息,告知目标基站已经得到授权密钥材料;步骤Dl-2,如果服务基站接收到目标基站发送来的预认证通知拒绝消息后,则向移动用 户站发送预认证拒绝消息。
7、 根据权利要求2所述的支持快速切换的预认证过程,其特征在于所述歩骤A具体为 步骤A2-1,服务基站接收到移动用户站的预认证请求消息,则对该消息进行完整性校验; 步骤A2-2,校验通过后,服务基站向认证服务器发送预认证通知消息。
8、 根据权利要求2所述的支持快速切换的预认证过程,其特征在于所述步骤B具体为 步骤B2-1,认证服务器接收到服务基站发送的授权密钥材料的请求后,根据移动用户站标识号查找其授权密钥材料;步骤B2-2,如果没有査到,表明移动用户站在预认证之前没有经过认证授权,认证服务 器向目标基站发送授权密钥拒绝消息;步骤B2-3,如果査到,认证服务器推算出新的授权密钥或者授权密钥素材,并将推算后 的授权密钥或者授权密钥素材发送给目标基站。
9、 根据权利要求2所述的支持快速切换的预认证过程,其特征在于所述歩骤C具体为目标基站被动接收到认证服务器发送来的授权密钥材料后,向服务基站发送预认证通知响应 消息,告知其已获得授权密钥材料。
10、 根据权利要求2所述的支持快速切换的预认证过程,其特征在于所述歩骤D具体为 步骤D2-1,如果服务基站接收到目标基站发送来的预认证通知响应消息后,则服务基站向移动用户站发送预认证响应消息,告知目标基站己获得授权密钥材料;步骤D2-2,如果服务基站接收到认证服务器发送来的预认证通知拒绝消息后,则服务基 站向移动用户站发送预认证拒绝消息。
11、 根据权利要求2所述的支持快速切换的预认证过程,其特征在于所述歩骤A具体为 歩骤A3-1,服务基站接收到移动用户站的预认证请求消息,则对该消息进行完整性校验; 步骤A3-2,校验通过后,服务基站向认证服务器发送预认证通知消息。
12、 根据权利要求2所述的支持快速切换的预认证过程,其特征在于所述步骤B具体为 歩骤B3-1,认证服务器接收到服务基站发送的授权密钥材料的请求后,根据移动用户站标识号査找其授权密钥材料;步骤B3-2,如果没有査到,表明移动用户站在预认证之前没有经过认证授权,认证服务器向目标基站发送授权密钥拒绝消息;步骤B3-3,如果査到,认证服务器推算出新的授权密钥或者授权密钥素材,并将推算后的授权密钥或者授权密钥素材发送给目标基站。
13、 根据权利要求2所述的支持快速切换的预认证过程,其特征在于所述步骤C具体为 目标基站被动接收到认证服务器发送来的授权密钥材料后,向认证服务器发送授权密钥材料 响应消息,告知其己获得授权密钥材料。
14、 根据权利要求2所述的支持快速切换的预认证过程,其特征在于所述步骤D具体为 步骤D3-l,认证服务器接收到目标基站发送来的授权密钥材料响应消息后,则认证服务器向服务基站发送预认证通知响应消息,告知目标基站已获得授权密钥材料;步骤D3-2,服务基站接收到认证服务器发送来的预认证通知拒绝消息后,则服务基站向移动用户站发送预认证拒绝消息;步骤D3-3,服务基站接收到认证服务器发送来的预认证通知响应消息,则向移动用户站发送预认证响应消息。
15、 根据权利要求2所述的支持快速切换的预认证过程,其特征在于所述歩骤E具体为 歩骤E1,移动用户站接收到服务基站发送来的预认证响应消息后,移动用户站对AK或PMK进行推演;步骤E2,移动用户站接收到服务基站发送来的预认证拒绝消息,则表明此移动用户站的 预认证过程失败。
16、 根据权利要求1-15所述的任一支持快速切换的预认证过程,其特征在于服务基站、 目标基站以及认证服务器之间通过有线网络连接在一起,它们之间通过有线网络的安全机制 建立起安全连接。
全文摘要
本发明公开了一种支持快速切换的预认证过程,解决了现有目前IEEE 802.16e的标准中对于预认证过程没有明确完整的描述的问题。包括服务基站发送预认证通知消息给认证服务器;认证服务器推算出新的AK或者PMK,并将其发送给目标基站;AK或者PMK拥有者向服务基站告知目标基站已获得AK或者PMK,服务基站通知移动用户站进行预认证,MSS推算出AK或者PMK。MSS与目标BS之间都拥有一个共享的AK或者PMK。根据这个共享的密钥,MSS与目标BS之间将建立快速的信任关系,因此不需要重新进行一次完整的认证过程。本发明预认证流程的思路清晰,报文交互简单,适用于移动通信系统中快速切换的预认证。
文档编号H04Q7/38GK101212798SQ200610170279
公开日2008年7月2日 申请日期2006年12月26日 优先权日2006年12月26日
发明者睿 李, 峰 田, 陈剑勇 申请人:中兴通讯股份有限公司