专利名称:一种目标鉴权者/密钥提供者获取密钥的方法
技术领域:
本发明涉及无线网络鉴权领域,具体涉及一种目标鉴权者/密钥提供者获取密钥的方法。
背景技术:
随着因特网业务的蓬勃发展和无线网络的广泛应用,如何提高用户的安全性对无线网络提出了越来越多的要求。除设备鉴权、用户鉴权和服务授权外,无线用户与接入点(AP)或基站(BS,Base Station)之间、BS和鉴权者(Authenticator)之间以及鉴权者和鉴权服务器之间的安全通道的建立、保密信息的交换等都是以往无线网络所不需考虑、而目前必须极为关注的问题。
图1是集中式微波接入全球互操作(WIMAX,Worldwide Interoperabilityfor Microwave Access)安全网络架构体系,如图1所示,在这种架构下,鉴权者/密钥提供者(Key Distributor)与鉴权中继(Authentication Relay)/密钥接收者(Key Receiver)位于不同的物理实体中,且鉴权中继/密钥接收者位于BS中。其中,鉴权者实现鉴权功能,密钥提供者提供密钥,鉴权中继实现鉴权中继功能,密钥接收者接收密钥。图中的鉴权中继和鉴权者之间交互的是可扩展认证协议(EAP,Extensible Authentication Protocol)认证过程中的EAP消息,支持EAP认证中继协议;密钥提供者和密钥接收者之间交互的是鉴权密钥(AK,Authentication Key)及相关信息,支持AK传送协议;图中的鉴权者向密钥提供者发送的是AK及相关信息。从图1中还可以看出,位于不同BS中的鉴权中继/密钥接收者可以共享一个鉴权者/密钥提供者,属于不同接入服务网络(ASN,Access Service Network)如ASN1和ASN2上的鉴权者/密钥提供者之间可能会交互AK及相关信息。
图2是分布式WIMAX安全网络架构体系,如图2所示,该图与图1的区别是鉴权者/密钥提供者与鉴权中继/密钥接收者都位于同一物理实体即BS中,因此,该物理实体同时实现鉴权、密钥提供、鉴权中继和密钥接收功能。
另外,作为一个完整的安全网络架构体系,还应包括后端网络的鉴权服务器和移动终端。其中,鉴权服务器用于完成移动终端的认证、授权和计费功能,以及产生并分发根密钥如基本会话密钥(MSK,Master Session Key)及相关信息到鉴权者/密钥提供者,以便鉴权者/密钥提供者根据该根密钥为自身管辖的BS上的移动终端产生空口保密所需的密钥如AK、EAP完整性校验密钥(EIK,EAP Integrated Key)及相关信息;移动终端用于发起认证、授权,与鉴权服务器交互产生根密钥所需信息,产生根密钥,根据根密钥产生空口保密所需的密钥及相关信息。
从上述安全架构体系可以看出,当移动终端发生BS切换时,可能出现以下两种情况1、鉴权者/密钥提供者不变。该情况只会在集中式安全网络架构体系中出现。此时切换后的目标BS只需从自身与切换前的服务BS共享的鉴权者/密钥提供者上获取所需的移动终端的密钥及相关信息即可。BS和鉴权者/密钥提供者之间的安全通道可保证密钥及相关信息分发的安全。
2、鉴权者/密钥提供者改变。对分布式安全网络架构体系来说,这种情况是必然的。对于集中式安全网络架构体系,只有当目标BS和服务BS不共享同一个鉴权者/密钥提供者时才会出现这种情况。此时,目标BS如何获取移动终端的密钥及相关信息,以及密钥及相关信息迁移的安全性,就成为一个必须解决的问题。
需要指出的是,本文所述的服务鉴权者/密钥提供者具体指MSS切换前所在的服务BS所属的鉴权者/密钥提供者;本文所述的目标鉴权者/密钥提供者具体指MSS切换后所在的目标BS所属的鉴权者/密钥提供者。
图3是现有技术提供的移动订阅用户(MSS,Mobile Subscriber Station)进行BS切换时,目标BS获取AK和EIK的消息流程时序图,在本实施例中,移动终端具体指MSS,密钥具体指AK和EIK,如图3所示,其具体步骤包括301MSS向自身所属服务BS发送切换请求(MOB_HO_IND),该请求消息携带MSS标识(MSSID)和目标BS标识(BSID)。
302服务BS收到切换请求后,向自身所属服务鉴权者/密钥提供者发送切换请求(HO_Request),该请求消息携带MSSID和目标BS标识。
303服务鉴权者/密钥提供者收到切换请求后,产生该请求消息携带的MSSID对应的MSS的AK和EIK。
当MSS进行BS的切换时,MSS会根据自身保存的MSK及其上下文信息产生一个用于和目标BS进行对话的AK,同时产生一个用于发起EAP认证过程的EIK;同时,目标BS也需要向自身所属的目标鉴权者/密钥提供者获取一个用于和该MSS进行对话的AK,以及用于发起MSS的EAP认证过程的EIK,具体地,是由服务鉴权者/密钥提供者根据自身保存的该MSS的MSK及其上下文信息,产生一个用于该MSS和该目标BS对话的AK,同时产生一个用于发起MSS的EAP认证过程的EIK,然后将所产生的AK和EIK发送给目标鉴权者/密钥提供者,再发送给目标BS的。
MSK的上下文信息包括MSK的生命周期等。
304服务鉴权者/密钥提供者与目标BS交互切换准备(HO_Preparation)消息。
305交互完毕,服务鉴权者/密钥提供者向服务BS发送切换响应(HO_Response);同时,目标BS上的密钥接收者向目标BS所属目标鉴权者/密钥提供者发送AK请求(AK Request),该请求消息携带MSSID。
306目标鉴权者/密钥提供者收到AK请求后,检测到自身没有保存该请求消息携带的MSSID对应的MSS的AK,则向服务鉴权者/密钥提供者发送AK请求(AK Request),以请求服务鉴权者/密钥提供者提供AK和EIK。
每个鉴权者/密钥提供者会保存自身所管辖的BS上的所有MSS的AK和EIK,目标鉴权者/密钥提供者在自身没有查找到该MSS的AK,就说明MSS切换前所在的服务BS所属的服务鉴权者/密钥提供者与MSS切换后所在的目标BS所属的目标鉴权者/密钥提供者不是同一个鉴权者/密钥提供者。
307服务鉴权者/密钥提供者收到AK请求后,将步骤303中产生的AK和EIK携带在AK传送(AK Transfer)消息中,并通过已建立的安全通道发送给目标鉴权者/密钥提供者。
AK传送消息还携带MSSID和AK上下文信息等。AK上下文信息包括EIK、AK生命周期、AKID等,其中,AKID用于标识AK。
308目标鉴权者/密钥提供者收到AK传送消息后,将该AK传送消息通过已建立的安全通道转发给目标BS。
309目标BS收到AK传送消息后,根据该AK传送消息携带的AK和MSSID,恢复切换前与MSS的对话;根据该AK传送消息携带的EIK和MSSID,发起MSS的EAP认证过程。
从上述过程可以看出,当移动终端切换前所在的服务BS所属的服务鉴权者/密钥提供者与移动终端切换后所在的目标BS所属的目标鉴权者/密钥提供者不为同一个鉴权者/密钥提供者时,服务鉴权者/密钥提供者并不将MSK及相关信息发送给目标鉴权者/密钥提供者,因此,目标鉴权者/密钥提供者必须向服务鉴权者/密钥提供者请求移动终端的密钥。这样就会带来以下问题一、上述过程有可能失败,即目标鉴权者/密钥提供者可能无法从服务鉴权者/密钥提供者获取到移动终端的密钥。这是因为移动终端的MSK及相关信息是在移动终端向鉴权服务器发起认证时,由鉴权服务器发送给移动终端当前所在BS所属的鉴权者/密钥提供者的,因此,上述过程的成功必须有一个前提服务鉴权者/密钥提供者必须是最近一次进行认证的鉴权者/密钥提供者,否则,服务鉴权者/密钥提供者就没有保存移动终端的MSK及相关信息,当然也就无法产生AK等密钥。
二、进行认证的各鉴权者/密钥提供者必须保留已切换到非自身所管辖的BS上的移动终端的MSK及相关信息。
三、当移动终端切换到目标BS,并在目标BS所属的目标鉴权者/密钥提供者上进行了重认证后,或者移动终端发生异常突然离开网络时,目标鉴权者/密钥提供者需通知最近一次进行认证的服务鉴权者/密钥提供者删除该移动终端的MSK及相关信息。
发明内容
有鉴于此,本发明的主要目的在于提供一种目标鉴权者/密钥提供者获取密钥的方法,以保证目标鉴权者/密钥提供者能成功获取移动终端的密钥。
为达到上述目的,本发明的技术方案是这样实现的一种目标鉴权者/密钥提供者获取密钥的方法,该方法包括A、目标基站BS所属目标鉴权者/密钥提供者收到目标BS发送的携带移动终端标识的密钥请求后,获取服务鉴权者/密钥提供者的地址信息,并根据所获取的地址信息,向服务鉴权者/密钥提供者发送根密钥请求,该根密钥请求消息携带移动终端标识;B、服务鉴权者/密钥提供者收到根密钥请求后,根据该请求消息携带的移动终端标识,将自身保存的该移动终端标识对应的移动终端的基本会话密钥MSK发送给目标鉴权者/密钥提供者;C、目标鉴权者/密钥提供者收到该MSK后,根据该MSK产生所需的密钥。
步骤A所述目标鉴权者/密钥提供者收到密钥请求之后、获取服务鉴权者/密钥提供者的地址信息之前,进一步包括目标鉴权者/密钥提供者判断自身是否保存了所收到的密钥请求携带的移动终端标识对应的移动终端的密钥,若是,本流程结束;否则,获取服务鉴权者/密钥提供者的地址信息。
步骤C所述密钥为鉴权密钥和/或可扩展认证协议完整性校验密钥。
步骤C所述密钥为鉴权密钥,且步骤A所述密钥请求由目标BS上的密钥接收者发送给目标鉴权者/密钥提供者。
步骤A所述目标鉴权者/密钥提供者获取服务鉴权者/密钥提供者的地址信息具体为A1、移动终端向自身所属服务BS发送切换请求,该请求消息携带移动终端标识和目标BS标识;A2、服务BS收到切换请求后,向自身所属服务鉴权者/密钥提供者发送切换请求,该请求消息携带移动终端标识和目标BS标识;A3、服务鉴权者/密钥提供者收到切换请求后,根据该请求消息携带的目标BS标识,与该目标BS交互切换准备消息,该切换准备消息携带服务鉴权者/密钥提供者的地址信息;A4、切换准备消息交互完毕后,目标BS向自身所属目标鉴权者/密钥提供者发送密钥请求,该请求消息携带移动终端标识和服务鉴权者/密钥提供者的地址信息。
步骤A4所述服务鉴权者/密钥提供者在和目标BS交互完切换准备消息之后,进一步包括服务鉴权者/密钥提供者向服务BS返回切换响应。
步骤B所述服务鉴权者/密钥提供者将MSK发送给目标鉴权者/密钥提供者具体为服务鉴权者/密钥提供者通过自身与目标鉴权者/密钥提供者之间的安全通道将MSK发送给目标鉴权者/密钥提供者。
步骤B所述服务鉴权者/密钥提供者将MSK发送给目标鉴权者/密钥提供者的同时,进一步包括服务鉴权者/密钥提供者将MSK的上下文信息发送给目标鉴权者/密钥提供者;步骤C所述目标鉴权者/密钥提供者根据该MSK产生所需的密钥的同时,进一步包括目标鉴权者/密钥提供者根据所述MSK的上下文信息产生密钥的上下文信息。
所述MSK的上下文信息至少包括MSK的生命周期。
所述密钥的上下文信息至少包括密钥的生命周期。
与现有技术相比,本发明在目标鉴权者/密钥提供者收到目标BS发送来的密钥请求后,由目标鉴权者/密钥提供者向服务鉴权者/密钥提供者请求MSK,并在收到该MSK后,由目标鉴权者/密钥提供者根据该MSK产生移动终端的密钥。
本发明保证了目标鉴权者/密钥提供者能成功获取移动终端的密钥,且,不论是分布式还是集中式安全网络架构体系,该体系下的服务鉴权者/密钥提供者都不必是最近一次进行认证的鉴权者/密钥提供者,也不需进行认证的各鉴权者/密钥提供者保留已切换到非自身管辖的移动终端的MSK及相关信息。当移动终端切换到目标鉴权者/密钥提供者上进行了重认证后,或移动终端发生异常突然离开网络时,也不需通知最近一次进行认证的服务鉴权者/密钥提供者删除该移动终端的MSK及相关信息。
图1为集中式WIMAX安全网络架构体系示意图;图2是分布式WIMAX安全网络架构体系示意图;图3是现有技术提供的MSS进行BS切换时,目标BS获取AK和EIK的消息流程时序图;图4是本发明提供的目标鉴权者/密钥提供者获取移动终端的密钥的流程图;图5是本发明提供的目标鉴权者/密钥提供者获取MSS的密钥的消息流程时序图。
具体实施例方式
本发明的核心思想是目标鉴权者/密钥提供者收到目标BS发送的密钥请求后,向服务鉴权者/密钥提供者发送携带移动终端标识的根密钥请求,服务鉴权者/密钥提供者将该移动终端标识对应的移动终端的MSK发送给目标鉴权者/密钥提供者,然后由目标鉴权者/密钥提供者根据该MSK,产生该移动终端的密钥。
下面结合附图及具体实施例对本发明再作进一步详细的说明。
图4是本发明提供的目标鉴权者/密钥提供者获取移动终端的密钥的流程图,如图4所示,其具体步骤包括步骤401目标BS所属目标鉴权者/密钥提供者接收目标BS发送的携带移动终端标识和服务鉴权者/密钥提供者地址信息的密钥请求。
步骤402目标鉴权者/密钥提供者收到密钥请求后,判断自身是否保存了该请求消息携带的移动终端标识对应的移动终端的密钥,若是,本流程结束;否则,执行步骤403。
每个鉴权者/密钥提供者会保存自身管辖的BS上的移动终端的密钥及相关信息。
步骤402可以省略,即执行完步骤401后,也可直接执行步骤403。
步骤403根据密钥请求消息携带的服务鉴权者/密钥提供者的地址信息,目标鉴权者/密钥提供者向该服务鉴权者/密钥提供者发送根密钥请求,请求消息携带移动终端标识。
步骤404服务鉴权者/密钥提供者收到根密钥请求后,根据该请求消息携带的移动终端标识,将自身保存的该移动终端标识对应的移动终端的MSK携带在根密钥传送消息中,发送给目标鉴权者/密钥提供者。
服务鉴权者/密钥提供者同时也可将MSK的上下文信息发送给目标鉴权者/密钥提供者,以便目标鉴权者/密钥提供者根据该MSK上下文信息产生密钥的上下文信息。
步骤405目标鉴权者/密钥提供者收到根密钥传送消息后,根据该根密钥传送消息携带的MSK产生所需的密钥。
图5是本发明提供的目标鉴权者/密钥提供者获取MSS的密钥的具体实施例的消息流程时序图,在本实施例中,移动终端具体指MSS,如图5所示,其具体步骤包括
步骤501MSS向自身所属服务BS发送切换请求,该请求消息携带MSSID和目标BS标识。
步骤502服务BS收到切换请求后,向自身所属服务鉴权者/密钥提供者发送切换请求,该请求消息携带MSSID和目标BS标识。
步骤503服务鉴权者/密钥提供者收到切换请求后,与目标BS交互切换准备消息。
服务鉴权者/密钥提供者向目标BS发送的切换准备消息中携带服务鉴权者/密钥提供者的地址信息。
步骤504交互完毕,服务鉴权者/密钥提供者向服务BS发送切换响应;同时,目标BS向自身所属目标鉴权者/密钥提供者发送密钥请求,该请求消息携带MSSID和服务鉴权者/密钥提供者的地址信息。
这里,若目标BS只需请求AK,那么,该密钥请求是由目标BS上的密钥接收者发送给目标鉴权者/密钥提供者的。
步骤505目标鉴权者/密钥提供者收到密钥请求,且在自身没有查找到该请求消息携带的MSSID对应的MSS的密钥及相关信息时,向服务鉴权者/密钥提供者发送根密钥请求。该请求消息携带MSSID,还可以携带消息事务标识(Transaction ID)。
这里,目标鉴权者/密钥提供者收到密钥请求后,也可不在自身查找MSS的密钥及相关信息,而直接向服务鉴权者/密钥提供者发送根密钥请求。
步骤506服务鉴权者/密钥提供者收到根密钥请求后,将自身保存的该请求消息携带的MSSID对应的MSS的MSK及相关信息携带在根密钥传送消息中,通过已建立的安全通道发送给目标鉴权者/密钥提供者。
根密钥传送消息还携带MSSID,还可以携带消息事务标识、MSK上下文信息等。MSK上下文信息包括MSK生命周期等。
步骤507目标鉴权者/密钥提供者收到根密钥传送消息后,根据该根密钥传送消息携带的MSK及其上下文信息产生MSSID对应的MSS的密钥及其上下文信息。
密钥上下文信息包括密钥的生命周期等。
步骤508目标鉴权者/密钥提供者将MSS的密钥及相关信息携带在密钥传送消息中,并通过已建立的安全通道发送给目标BS,该密钥传送消息携带MSSID。
密钥相关信息包括密钥的上下文信息等。密钥的上下文信息指密钥的生命周期等。
密钥可包括AK和/或EIK等。目标BS可根据AK恢复切换前与MSS的对话,可根据EIK发起MSS的EAP认证过程。
以上所述仅为本发明的过程及方法实施例,并不用以限制本发明,凡在本发明的精神和原则之内所做的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
权利要求
1.一种目标鉴权者/密钥提供者获取密钥的方法,其特征在于,该方法包括A、目标基站BS所属目标鉴权者/密钥提供者收到目标BS发送的携带移动终端标识的密钥请求后,获取服务鉴权者/密钥提供者的地址信息,并根据所获取的地址信息,向服务鉴权者/密钥提供者发送根密钥请求,该根密钥请求消息携带移动终端标识;B、服务鉴权者/密钥提供者收到根密钥请求后,根据该请求消息携带的移动终端标识,将自身保存的该移动终端标识对应的移动终端的基本会话密钥MSK发送给目标鉴权者/密钥提供者;C、目标鉴权者/密钥提供者收到该MSK后,根据该MSK产生所需的密钥。
2.如权利要求1所述的方法,其特征在于,步骤A所述目标鉴权者/密钥提供者收到密钥请求之后、获取服务鉴权者/密钥提供者的地址信息之前,进一步包括目标鉴权者/密钥提供者判断自身是否保存了所收到的密钥请求携带的移动终端标识对应的移动终端的密钥,若是,本流程结束;否则,获取服务鉴权者/密钥提供者的地址信息。
3.如权利要求1所述的方法,其特征在于,步骤C所述密钥为鉴权密钥和/或可扩展认证协议完整性校验密钥。
4.如权利要求1所述的方法,其特征在于,步骤C所述密钥为鉴权密钥,且步骤A所述密钥请求由目标BS上的密钥接收者发送给目标鉴权者/密钥提供者。
5.如权利要求1所述的方法,其特征在于,步骤A所述目标鉴权者/密钥提供者获取服务鉴权者/密钥提供者的地址信息具体为A1、移动终端向自身所属服务BS发送切换请求,该请求消息携带移动终端标识和目标BS标识;A2、服务BS收到切换请求后,向自身所属服务鉴权者/密钥提供者发送切换请求,该请求消息携带移动终端标识和目标BS标识;A3、服务鉴权者/密钥提供者收到切换请求后,根据该请求消息携带的目标BS标识,与该目标BS交互切换准备消息,该切换准备消息携带服务鉴权者/密钥提供者的地址信息;A4、切换准备消息交互完毕后,目标BS向自身所属目标鉴权者/密钥提供者发送密钥请求,该请求消息携带移动终端标识和服务鉴权者/密钥提供者的地址信息。
6.如权利要求5所述的方法,其特征在于,步骤A4所述服务鉴权者/密钥提供者在和目标BS交互完切换准备消息之后,进一步包括服务鉴权者/密钥提供者向服务BS返回切换响应。
7.如权利要求1所述的方法,其特征在于,步骤B所述服务鉴权者/密钥提供者将MSK发送给目标鉴权者/密钥提供者具体为服务鉴权者/密钥提供者通过自身与目标鉴权者/密钥提供者之间的安全通道将MSK发送给目标鉴权者/密钥提供者。
8.如权利要求1所述的方法,其特征在于,步骤B所述服务鉴权者/密钥提供者将MSK发送给目标鉴权者/密钥提供者的同时,进一步包括服务鉴权者/密钥提供者将MSK的上下文信息发送给目标鉴权者/密钥提供者;步骤C所述目标鉴权者/密钥提供者根据该MSK产生所需的密钥的同时,进一步包括目标鉴权者/密钥提供者根据所述MSK的上下文信息产生密钥的上下文信息。
9.如权利要求8所述的方法,其特征在于,所述MSK的上下文信息至少包括MSK的生命周期。
10.如权利要求8所述的方法,其特征在于,所述密钥的上下文信息至少包括密钥的生命周期。
全文摘要
本发明公开了一种目标鉴权者/密钥提供者获取密钥的方法,包括目标鉴权者/密钥提供者在收到目标BS发送的密钥请求后,向服务鉴权者/密钥提供者发送根密钥请求,并在收到服务鉴权者/密钥提供者发送的MSK后,根据MSK产生所需密钥。本发明保证目标鉴权者/密钥提供者可成功获取密钥,且不需各鉴权者/密钥提供者保留已切换到非自身管辖的移动终端的MSK及相关信息;当移动终端切换到目标BS并在目标鉴权者/密钥提供者上进行了重认证后,或移动终端发生异常突然离开网络时,也不需通知最近一次进行认证的鉴权者/密钥提供者删除该移动终端的MSK及相关信息。
文档编号H04L9/12GK1921379SQ200510093080
公开日2007年2月28日 申请日期2005年8月25日 优先权日2005年8月25日
发明者吴建军, 肖正飞 申请人:华为技术有限公司