专利名称:重认证方法、系统及鉴权装置的制作方法
技术领域:
本发明涉及移动通信技术,尤其涉及一种重认证方法、系统及鉴权装置。
背景技术:
随着技术的发展,现代通信对移动性的要求越来越高,当前的移动通信要 求终端在移动或漫游场景下能正常地进行通信。所谓移动,就是指终端的接入
点(Attach Point, AP )随着终端的移动而发生变化。终端从旧的接入点移动到 新的接入点需要执行一系列的步骤,包括离开原来的接入点,进行新的接入 认证,在新的接入点处建立相应的配置关系。在终端从旧的接入点到新的接入 点切换的这段时间里,通信将出现暂时的中断或者延时,对于一些对实时性要 求很高的业务(例如即时通信)而言,中断是难以忍受的,且延时越短越好。 然而在现实的应用中,通常这个延时远远超出了实时性业务所能承受的极限。 出现这一结果很大程度上是因为执行新的入网认证需要花费较长的时间,而入 网认证耗时较长的直接原因包括
1. 目前采用的认证方式需要终端与认证服务器之间执行多轮交互;
2. 当终端在外地时,认证依然需要在家乡认证、授权和计费服务器 (Authentication, Authorization and Accounting, AAA)处^丸4亍。
为了提高用户的体验,不同的通信系统采取不同的措施来减少这些时延。 目前提出的解决认证耗时过长的基本方法包括通过认证的本地化来减少每个 认证交互消息的往返时间(Round Trip Time, RTT)和通过减少认证流程中的消 息交互次数来减少时延。
目前常用的减少认证时延的方法是快速重认证,所谓快速重认证就是通过移动节点与网络侧的认证服务器的身份认证,将以前认证所产生的授权或配置 信息继承下来,由于无需重新生成授权及配置信息,因此快速重认证所需的交 互及所做的工作少于普通的认证,节省了认证时间。如图1所示,为现有技术
中一种快速重认证方法流程图,采用了 EAP (Extensible Authentication Protocol, EAP)快速重iU正协议(EAP Re-authentication Protocol),该方法包括
步骤IOI、移动节点MN在初次进4亍入网认证时,与其家乡AAA共同产生 用于快速重认证的重认证材料,该重认证材料包括用于快速重认证的重认证根 密钥rRK。
步骤102、移动节点MN的家乡AAA将生成的重认证材料发送给Hokey服 务器,所述Hokey服务器位于MN的潜在拜访网络内。
步骤103、当移动节点MN通过认证服务器接入拜访网络的时候,认证服务 器向MN发送重iU正触发消息EAP-initial/re-auth-start。
步骤104、如果MN支持重认证,则MN根据之前与家乡AAA产生的重认证根 密钥rRK生成重认证响应消息EAP-initial/response ,并通过认证服务器将该 EAP-initial/response发送给Hokey服务器。该响应消息中包括由重认证完整性保 护密钥(re-authentication integrity key , rIK)生成的第一验证信息,其中rIK是 由重认证根密钥rRK根据一定的规则生成的。
步骤105 、 Hokey服务器收到MN发出的EAP-initial/response后,验证其中的 第一验证信息,验证通过后,即Hokey服务器认为EAP该移动节点MN通过了网 络接入认证后,Hokey服务器构造EAP结束消息EAP-fmish,该EAP结束消息中 携带由rIK生成的第二验证信息以及由rRK生成的重认证主会话密钥 (re-authentication master session key, rMSK)。
步骤106、 Hokey^务器向认证服务器发送该EAP结束消息。 步骤107、认"i正月l务器收到该EAP结束消息后,保存其中的rMSK。 步骤108、认证服务器向移动节点MN发送该EAP结束消息。 步骤109、移动节点MN收到该EAP结束消息后,验证其中的第二验证信息, 如果验证通过,则意味着移动节点MN和Hokey服务器拥有相同的rRK, MN与Hokey服务器之间的验证过程完成。
步骤IIO、 MN将与认证服务器之间通过四次握手(4-way-handshake)进行 相互认证。
上述步骤104中,如果MN不支持重认证,那么认证服务器不会收到MN发送 的EAP响应消息,这时可以设置认证服务器经过一定间隔后,向MN发送EAP请 求消息,请求MN的ID,这个过程与重认证无关,这里不再进行介绍。
上述方式虽然能够实现重认证,但是,需要重新构建EAP-initial消息和 EAP-fmish消息,对现有的标准框架是个冲突,而且需要对现有的认证服务器进 行升级,增加了实现的难度。
发明内容
本发明实施例提供了一种重认证方法、系统及鉴权装置,在不改变现有网 络框架的基础上,实现对移动节点的重认证。
所述重认证方法,应用于移动领域,包括判断接入本地网络的移动节点 是否支持重认证;当所述移动节点支持重认证时,获取根据所述移动节点的重 认证材料生成的重认证主会话密钥rMSK;才艮据所述rMSK生成成对主用密钥 PMK;才艮据所述PMK与所述移动节点进行相互认证。
所述鉴权装置包括
判断单元,用于判断接入本地网络的移动节点是否支持重认证;
获取单元,用于当判断单元判断出所述移动节点支持重认证时,获取所述 移动的重认证材料生成的重认证主会话密钥rMSK;
密钥生成单元,用于根据所述获取单元获取的重认证主会话密钥rMSK生 成成乂十主用密钥PMK;
认证单元,用于根据所述PMK与所述移动节点进4亍相互认证。
所述重认证系统包括 鉴权装置,用于判断接入本地网络的移动节点是否支持重认证,并在所述移动节 点支持重认证时,获取根据所述移动节点的重认证材料生成的重认证主会话密
7钥rMSK;根据所述rMSK生成成对主用密钥PMK;根据所述PMK对所述移动 节点进行认证;
所述移动节点,用于根据自身的重认证材料生成重认证主会话密钥rMSK, 根据所述rMSK生成成对主用密钥PMK,根据所述PMK对所述鉴权装置进行 认证。
本发明实施例通过由鉴权装置在移动节点接入拜访网络时对移动节点进行 重认证,避免了对现有标准框架的冲击和对网络设备尤其是鉴权装置的大规模 升级改造,有效缩短了重认证的时延,降低了重认证的实现复杂度。
图1是现有技术提供的一种快速重认证方法流程图; 图2为本发明实施例提供的一种快速重认证方法流程图; 图3为本发明实施例提供的快速重认证系统结构示意图; 图4为本发明实施例提供的鉴权装置的结构示意图。
具体实施例方式
本发明实施例通过由拜访网络鉴权装置对支持重认证的移动节点MN进行 一次认证,避免了重认证过程中对现有网络设备和现有协议框架的改变,提高 了重认证效率。
如图2所示,为本发明实施例提供的一种重认证方法的流程图。本发明实 施例中的重认证,是指移动节点MN从家乡网络移动到拜访网络之后,在拜访 网络所进行的再次认证。为了实现重认证,需要移动节点在接入家乡网络的时 候,与家乡AAA已经完成了首次接入认证,并且在MN与家乡AAA之间产生 了用于进行重认证的重认证材料(步骤201)。其中,重认证材料主要包括重认 证根密钥rRK,还可以包括用于移动节点快速重认证的标识(ID)。
家乡AAA将生成的重认证材料发送给移动节点MN潜在的拜访网络内的本 地AAA (步骤202 )。为了便于实现,该本地AAA可以为该拜访网络内的AAA服务器VAAA,或者为设置于VAAA上的存储单元,或者为拜访网络内的Hokey 服务器。
拜访网络的鉴权装置感知到移动节点MN4妄入到本地网络后,向MN发送 通知消息,通知MN在该拜访网络中的重认证信息(203 )。这些重认证信息至 少包括存储重认证材料的本地AAA的信息。然后,拜访网络的鉴权装置向MN 发送EAP请求消息,请求MN的ID,该ID为可以用于该MN进行快速重认证 的ID (步骤204 )。
MN向拜访网络的鉴权装置发送EAP响应消息,该EAP响应消息携带MN 在步骤201中生成的ID,还可以包括是否支持快速重^人证的信息(步骤205 )。 拜访网络的鉴权装置收到EAP响应消息后,通过该EAP响应消息确定MN是否 支持快速重认证。当MN支持快速重认证时,向存储重认证材料的本地AAA转 发该EAP响应消息(步骤206 )。
拜访网络的本地AAA收到该EAP响应消息后,根据MN的ID找到MN相 应的重认证材料,根据该重认证材料中的重认证根密钥生成重认证主会话密钥 rMSK (步骤207 ),并将该rMSK发送给拜访网络鉴权装置(步骤208 )。拜 访网络鉴权装置收到该rMSK ,就认为本地AAA对MN的认证已经完成。
MN与拜访网络的鉴权装置分别根据rMSK生成PMK,并基于PMK进行 相互认证,本实施例中为四次握手认证(步骤210)。在步骤210之前,MN还 需要根据rRK生成rMSK (步骤209)。但是,这个步骤并没有严格的实现顺序 的限制,只要是在和家乡AAA认证生成重认证材料之后,与拜访网络鉴权装置 进行四次握手认证之前执行就能满足本发明实施例的要求。
MN与拜访网络的鉴权装置基于PMK进行四次握手认证(4-way-handshake) 的具体过程包括
1 )鉴权装置将自己产生的随机数Anonce及相关关键字发送给移动节点MN;
2 )移动节点MN根据rMSK, Anonce及自身产生的随机数Snonce生成对成对 主用密钥(Pairwise master key, PMK)。移动节点MN将Snonce,相关关键字以 及MIC发送给鉴权装置,并附代一个消息完整性保护码(Message Integrity Code,MIC)。
3) 鉴权装置验证MIC的正确性,验证通过后,向移动节点发出加载成对临 时密钥(Pairwise Transient Key, PTK)的信息,同样附带一个MIC,其中,PTK 是^4居PMK生成的子密钥。
4) 移动节点收到该消息后,验证鉴权装置发送的MIC的正确性,验证通过 后,向鉴权装置发送确认消息,完成与鉴权装置之间的相互认证。
在上述实施例中,由于MN与鉴权装置的四次握手认证成功就意味着MN 与鉴权装置拥有相同的rMSK,而rMSK的生成方式如下 rMSK=prf+ ( K, S )
其中,K=rRK, S = rMSK label + "\0" + SEQ + length,由于S部分是公开的, 因此MN与鉴权装置拥有相同的rMSK即意味着双方拥有相同的rRK,即 4-way-handshake的成功执行代表着MN与鉴权装置间拥有相同的rRK,那么 MN在整个拜访网络的重认证是成功的。
如图3所示,本发明实施例还公开了一种重认证系统,包括移动节点31 (MN),鉴权装置32和本地AAA33。其中,所述鉴权装置32和本地AAA33 位于移动节点31的拜访网络中。
当MN接入拜访网络时,感知到MN接入本地网络的鉴权装置32向MN发 送重认证信息,也就是向MN发送本网络内负责管理重认证材料的本地AAA33 的信息。然后,鉴权装置向MN发送EAP请求消息,请求MN的ID,该ID可 用于MN的快速重认证。并在接收到MN发送的携带ID的EAP响应消息后, 判断MN是否支持快速重认证。当MN支持快速重认证的时候,鉴权装置32向 本地AAA33发送MN发出的EAP响应消息。之后,鉴权装置接收本地AAA发 送的MN的rMSK。根据该rMSK生成PMK,利用该PMK对MN进4亍四次握 手认证。
本地AAA33用于管理MN的重认证材料,并在收到鉴权装置32发送的携 带MN的ID的EAP响应消息后,找到该ID对应的重认证材料,根据该重认证 材料中的rRK生成rMSK,将该rMSK发送给鉴权装置。
10MN用于在收到鉴权装置发送的EAP请求消息后,生成EAP响应消息,该 EAP响应消息中携带MN的ID。该MN还要根据自身的重认证材料中的rRK生 成rMSK,然后利用该rMSK生成PMK,基于该PMK与鉴权装置进行四次握手 认证。
此外,本发明实施例系统还包括了 MN家乡网络内的鉴权装置家乡AAA34, 该家乡AAA34用于在MN首次接入网络时对MN进行i人证,产生重认证材料; 并用于监测MN潜在的拜访网络,然后将与MN之间在认证过程中产生的重认 证材料发送给MN潜在的拜访网络的本地AAA33。
本发明实施例中,上述拜访网络的本地AAA33可以是拜访网络的AAA服 务器VAAA或者Hokey服务器。
如图4所示,为本发明实施例提供的鉴权装置结构示意图。该鉴权装置32 包括
消息生成单元326,用于在移动节点接入本地网络时,生成通知消息和EAP 请求消息,并将生成的通知消息和EAP请求消息发送给发送单元325,由发送 单元发送给移动节点。其中,通知消息用于向移动节点发送本地的重认证信息, EAP请求消息用于请求移动节点的ID,所述ID为专用于所述移动节点的快速 重认证的ID。
接收单元321 ,用于接收移动节点发送的EAP响应消息,该EAP响应消息 中携带移动节点的ID。
判断单元322,用于判断该移动节点是否支持重认证,当确定移动节点支持 重认证的时候,通知发送单元325将接收单元接收的EAP响应消息发送给本地 AAA。
获取单元327,用于获取本地AAA发送的根据该移动节点的重认证材料生 成的rMSK,并将该rMSK发送给密钥生成单元323,密钥生成单元323根据该 rMSK生成PMK,并将生成的PMK发送给认证单元324,认证单元324基于该 PMK与移动节点之间进行相互认证,该相互认证可以是四次握手认证。
本发明实施例通过由鉴权装置在移动节点接入拜访网络时对移动节点进行重认证,避免了对现有标准框架的沖击和对网络设备尤其是鉴权装置的大规模 升级改造,有效缩短了重认证的时延,降低了实现复杂度。
以上所述仅为本发明的优选实施方式,对于本技术领域的普通技术人员来 说,在不脱离本发明原理的前提下,所做出的任何修改、等同替换和改进,均 应该涵盖在本发明的保护范围之内。
权利要求
1、一种重认证方法,应用于移动领域,其特征在于,包括判断接入本地网络的移动节点是否支持重认证;当所述移动节点支持重认证时,获取根据所述移动节点的重认证材料生成的重认证主会话密钥rMSK;根据所述rMSK生成成对主用密钥PMK;根据所述PMK与所述移动节点进行相互认证。
2、 根据权利要求1所述的方法,其特征在于,所述判断接入本地的移动节 点是否支持重认证之前,所述方法还包括向所述移动节点发送EAP请求消息,请求所述移动节点的ID。
3、 根据权利要求2所述的方法,其特征在于,所述判断接入本地的移动节 点是否支持重认证具体包括接收所述移动节点发送的EAP响应消息,所述EAP响应消息中携带所述移 动节点的ID;根据所述EAP响应消息判断所述移动节点是否支持重认证。
4、 根据权利要求1所述的方法,其特征在于,所述获取纟艮据所述移动节 点的重认证材料生成的重认证主会话密钥rMSK具体包括发送所述EAP响应消息给本地AAA,以使所述本地AAA根据所述移动节 点的重认证材料生成重认证主会话密钥rMSK; 接收所述本地AAA发送的所述rMSK。
5、 根据权利要求4所述的方法,其特征在于,所述判断接入本地移动节点 是否支持重认证之前,所述方法还包括,所述本地AAA从所述移动节点的家乡 AAA处获得并存储所述移动节点的重认证材料。
6、 一种鉴权装置,其特征在于,包括判断单元,用于判断接入本地网络的移动节点是否支持重认证;获取单元,用于当判断单元判断出所述移动节点支持重认证时,获取所述移动的重认证材料生成的重认证主会话密钥rMSK;密钥生成单元,用于根据所述获取单元获取的重认证主会话密钥rMSK生 成成对主用密钥PMK;认证单元,用于根据所述PMK与所述移动节点进行相互认证。
7、 根据权利要求6所述的鉴权装置,其特征在于,还包括 消息生成单元,用于当所述移动节点接入本地网络时,生成EAP请求消息,所述EAP请求消息用于请求所述移动节点专的ID。
8、 根据权利要求7所述的鉴权装置,其特征在于,还包括发送单元,用于将所述消息生成单元生成的EAP请求消息发送给所述移动 节点。
9、 根据权利要求8所述的鉴权装置,其特征在于,还包括寸妄收单元,用于接收所述移动节点发送的EAP响应消息,并将所述EAP响 应消息发送给所述判断单元;所述判断单元判断接入本地的移动节点是否支持重认证具体包括 判断单元根据所述EAP响应消息判断所述移动节点是否支持重认证。
10、 一种重认证系统,其特征在于,包括鉴权装置,用于判断接入本地网络的移动节点是否支持重认证,并在所述移 动节点支持重认证时,获取根据所述移动节点的重认证材料生成的重认证主会 话密钥rMSK;根据所述rMSK生成成对主用密钥PMK;根据所述PMK对所述 移动节点进行认证;所述移动节点,用于根据自身的重认证材料生成重认证主会话密钥rMSK, 根据所述rMSK生成成对主用密钥PMK,根据所述PMK对所述鉴权装置进行 认证。
11、 根据权利要求IO所述的重认证系统,其特征在于,还包括 本地AAA,用于接收并存储所述移动节点的重认证材料,根据所述重认证材料生成重认证主会话密钥rMSK,并将所述rMSK发送给所述鉴权装置。
12、根据权利要求11所述的重认证系统,其特征在于,还包括家乡AAA,用于在所述移动节点首次接入网络时,对所述移动节点进行认 证,生成重认证材冲十,并将所述重认证材料发送纟会所述本地AAA。
全文摘要
本发明实施例公开了一种重认证方法、系统及鉴权装置。所述方法包括判断接入本地网络的移动节点是否支持重认证;当所述移动节点支持重认证时,获取根据所述移动节点的重认证材料生成的重认证主会话密钥rMSK;根据所述rMSK生成成对主用密钥PMK;根据所述PMK与所述移动节点进行相互认证。通过实施本发明,能够避免对现有标准框架的冲击和对网络设备尤其是鉴权装置的大规模升级改造,有效缩短了重认证的时延,降低了重认证的实现复杂度。
文档编号H04L29/06GK101599878SQ20081006771
公开日2009年12月9日 申请日期2008年6月6日 优先权日2008年6月6日
发明者李春强, 潘云波, 黄志钢 申请人:华为技术有限公司