专利名称:一种移动WiMAX网络中EAP认证快速切换方法
技术领域:
本发明主要涉及移动WiMAX网络切换认证技术领域,特别涉及到一种在高速移动 环境下支持快速EAP (Extensible Authentication Protocol,可扩展的鉴权协议)切换认 证的方法。
背景技术:
WiMAX(World Interoperability for Microwave Access,^itit^SK^A) Mi 一项基于IEEE 802. 16标准的新兴的宽带无线接入技术,能提供面向互联网的高速连接, 数据传输距离最远可达50km。WiMAX还具有QoS保障、传输速率高、业务丰富多样等优点。 WiMAX的技术起点较高,采用了代表未来通信技术发展方向的0FDM/0FDMA、AAS、MIMO等先 进技术,随着技术标准的发展,WiMAX将逐步实现宽带业务的移动化。IEEE 802. 16系列标准的发展始于2001年,但是其第一个版本正式发布是在2002 年。2004年6月被IEEE正式批准的IEEE 802. 16d标准是802. 16标准系列的一个修订版 本,是相对比较成熟并且最具有实用性的一个标准版本。为了既能提供高速数据业务又使 用户具有移动性的宽带无线接入解决方案,IEEE工作组发布了 802. 16e标准。该标准规定 了可同时支持固定和移动宽带无线接入的系统,它工作在< 6GHz适宜于移动性的许可频 段,可支持用户终端以车辆速度移动。为了满足全球4G无线通信标准IMT-advanced的需 求,从2007年开始,IEEE802. 16工作组开始制定一个新的802. 16标准(也就是802. 16m), 并于2009年7月发布了第一个IEEE 802.16m标准草案。特别是在2009年10月,IEEE 802. 16m被提交给了国际电信联盟ITU并被正式接受为4G侯选标准之一。身份认证和密钥协商是WiMAX中的一种重要安全机制,它是实现安全通信、保护 用户和运营商利益的重要保证。在IEEE 802. 16m之前版本标准中,同时支持EAP和RSA两 种身份认证方式,但在IEEE 802. 16m标准中,只支持基于EAP方式的认证,不再支持基于 RSA的认证方式。EAP是在RFC 3748中定义的一种认证协议,它具体包括ΕΑΡ-SIM、EAP-TLS, EAP-AKA等多种EAP认证方法。该协议包含三种角色客户端,认证者和认证服务器。在移 动 WiMAX 中,MS (mobile station,移动终端)是 EAP 客户端,BS (base station,基站)是 认证者,家乡域中的 AAA 服务器(Authentication、Authorization、Accounting,验证、授权 和记账服务器)是EAP认证服务器。EAP客户端和认证服务器通过执行EAP方法来交换信 息,处于它们之间的认证者用来传递信息。如果EAP服务器允许EAP客户端接入网络,客户 端和服务器端会生成共享的密钥材料主会话密钥MSKOnaster session key)和扩展主会 话密钥EMSK (extended MSK)。MSK用来生成MS与BS之间的共享会话密钥。移动WiMAX需要支持车载速度的移动通信业务,在MS移动过程中,不可避免需 要在BS之间进行切换,切换时间的长短严重影响着MS的通信质量。图1为移动WiMAX 用户切换时的网络认证和授权示意图。整个切换过程涉及五个实体移动终端MS,当 前月艮务 BS,目标 BS、ASN-GW(Access Service Networks-Gateway,接入服务网网关)和
4AAA服务器。目前IEEE 802. 16m切换认证的方法是在MS切换之前,通过服务BS与目 标BS重新执行一次完整的EAP认证,并在MS和目标BS之间协商出新的会话密钥材料, 如 PMK(PairwiseMaster Key,成对主密钥),AK(Authorization Key,授权密钥),CMAC key (Cipher-basedMessage Authentication Code,基于密文的消息认证码密朗)禾口 TEK(Transmission EncryptionKey,传输加密密钥)等,然后执行切换。但EAP认证过程本 身十分耗时,这增加了时延,降低了效率,导致通信业务质量受到不同程度的影响,特别是 对于实时性要求比较强的业务,如VoIP、多媒体业务等,影响更为严重,用户可以感觉到停 顿、断续等业务质量明显下降问题。因此,为了保证移动WiMAX网络业务质量,减少切换时延,有必要为移动WiMAX网 络提供一种快速切换认证机制。
发明内容
本发明的目的是为移动WiMAX网络提供一种基于票据的EAP切换认证方法,能够 在高速运动场景下支持快速切换。为实现上述目的,本发明的技术解决方案是在MS首次接入移动WiMAX网络,并与 AAA服务器成功完成EAP认证后,接入BS利用多播BS组密钥为MS生成一个类似于居民身 份证的信用票据;当MS由于移动需要切换到一个新的BS时,它只需要提供其信用票据就能 通过目标BS的身份认证,从而能够避免重新进行EAP认证,进而实现安全快速切换。本发明具体包括MS信用票据的创建与分发、MS信用票据的使用两部分。 MS信用票据的创建与分发的目的是在MS首次接入移动WiMAX网络,并与AAA服务 器成功完成EAP认证后,由接入BS利用其多播BS组密钥为MS创建一个类似于居民身份证 的信用票据,并分发给MS,使得MS在切换时只需要向目标BS提供其信用票据,就可以快速 通过身份认证。MS信用票据的创建与分发具体方法如下1)在接收到AAA服务器传输来的256比特MSK后,接入BS提取MSK的后128比 特作为 TCK (Temporary Cipher-based message authentication code Key,临时的基于密 文的消息认证码密钥);接入BS也可以提取MSK的前128比特或其他位置的128比特作为 TCK ;2)接入 BS 使用 MGK(multi-BS group key,多播 BS 组密钥)对 MS 的 MAC (Media AccessControl,介质访问控制)地址MSID、MSK和票据有效期Texp等信息加密生成信用票 据TMS,即公式(1)Tms = ENCmgk (MSID,MSK, Texp)(1)3)接入BS利用TCK对消息(GID,MSID, Texp,Tms,Nbs)进行加密生成基于密文的消 息认证码CMAC,然后将生成的CMAC码添加在(GID,MSID, Texp,Tms,Nbs)后一起作为票据通 知消息Ticket_iss,如公式(2)Ticket_iss = {(GID, MSID, Texp,Tms, Nbs) (CMACtck) }(2)其中GID是多播BS组标示符,Nbs是BS产生的随机数;4)接入BS将票据通知消息Ticketjss直接发送给MS ;5) MS接收到Ticketjss后,像接入BS —样生成TCK (即MS也是提取MSK中的后 128比特生成TCK),然后验证Ticketjss中的CMAC值,如果验证正确,MS给接入BS发送一个确认消息ACK,如果验证不正确,则给接入BS发送一个重传请求。MS信用票据的使用 目的是当MS需要切换到一个多播BS组内新的目标BS接入移动WiMAX网络时,只需要向目 标BS发送一个带有其信用票据的切换请求,就可以很快获得目标BS的认证,从而可以避免 重新执行费时的EAP认证,进而实现快速切换。如果MS需要切换到的目标BS不是多播BS 组内的BS时,则MS需要重新进行EAP认证。MS信用票据的使用具体方法如下1)MS利用TCK对消息(GID,MSID,BSID, Tms,Nms)进行加密生成基于密文的消息认 证码CMAC,然后将生成的CMAC码添加在(GID,MSID,BSID, Tms,Nms)后一起作为切换认证请 求信息THR_req,如公式(3)THR_req = {(GID, MSID, BSID, Tms, Nms) (CMACtck) }(3)其中BSID是BS的MAC地址,Nms是MS产生的随机数;2) MS将切换认证请求信息THR_req发送给目标BS ;3)目标BS接收到THR_req后,利用MGK验证该切换认证请求的有效性。如果有 效,目标BS认为该MS是合法的,容许其接入移动WiMAX网络,否则,拒绝其接入。进一步地, 目标BS具体使用如下步骤验证切换认证请求信息TffiLreq的有效性1)目标BS检查THR_req中的GID、BSID和Nms,看该GID和BSID是否与自身的相
一致以及Nms是否与其记录的Nms相同;2)如果该GID和BSID与自身的相一致,并且Nms与其记录的Nms不同,目标BS使 用MGK解密Tms,从而能够获取MSID,MSK和Texp等信息;3)目标BS成功解密Tms后,首先检验解密获取的MSID与THR_req中携带的MSID 是否一致,如果一致,就继续检验Trap,从而判断该MS的信用票据Tms是否过期;4)如果MS的信用票据Tms没有过期,目标BS从解密获得的MSK中提取后128比 特作为TCK,并使用TCK对THR_req消息中的(GID,MSID, BSID, Tms,Nms)进行加密生成基于 密文的消息认证码CMAC,然后与TffiLreq消息后附带的CMAC值进行比较,看其是否一致;5)如果CMAC值一致,目标BS认为MS是合法的用户,并接受MS的切换认证请求, 容许其接入移动WiMAX网络。与现有技术相比,本发明的积极效果为1)切换认证框架简单本发明的基于票据的快速EAP切换认证方法只需要目标BS使用其多播BS组密钥 MGK验证MS的信用票据,就可以实现MS和BS之间的双向认证,整个切换认证过程不需要其 它任何第三方的参与(比如之前的服务BS、AAA服务器等)。2)切换认证速度快当切换到一个新的BS时,原有方法要求重新执行EAP认证,而EAP认证过程本身 十分耗时,这增加了切换时延。采用本发明的快速切换认证方法可以避免耗时的EAP认证, 并且对MS信用票据的验证不需要涉及到任何第三方,可以大大加快切换认证进程,满足车 速移动情况下的快速切换要求,实时性业务的质量不受影响。
图1是移动WiMAX用户切换时的网络认证和授权示意6
图2是本发明的基于票据的快速EAP切换认证方法的实施基本流程图;图3是本发明的基于票据的快速EAP切换认证方法的实施示例。
具体实施例方式下面结合附图及实施示例对本发明作进一步详细描述。如图2所示,本发明的基于票据的快速EAP切换认证方法实施的基本流程图包含 以下步骤步骤201 =MS首次接入移动WiMAX网络时,通过接入BS与AAA服务器执行完整的 EAP认证,并与AAA服务器建立起共享的主会话密钥MSK ;步骤202 接入BS在接收到AAA服务器传来的MSK后,利用MGK为MS创建信用票 据Tms,然后创建票据通知消息Ticketjss,并将Ticketjss发送给MS ;MS接收到票据通知 消息Ticketjss后,验证Ticketjss中的CMAC值,如果验证正确,MS给接入BS发送一个 确认消息ACK,如果验证不正确,则给接入BS发送一个重传请求;步骤203 接入BS将信用票据Tms成功传输给MS后,使用IEEE 802. 16标准中定 义的会话密钥协商协议与MS协商PMK、AK、CMAC key和TEK等会话密钥;步骤204 当MS由于移动,需要切换到新的BS接入移动WiMAX网络时,MS通过检 查目标BS广播的GID号,判断目标BS是否为多播BS组内的BS。如果目标BS是多播组内 的BS,则可以使用信用票据Tms执行快速切换,否则需要重新进行EAP认证;步骤205 如果目标BS是多播组内的BS,MS向目标BS发送一个包含信用票据Tms 的快速切换认证请求,目标BS接收到MS的快速切换认证请求后,使用其对应的MGK解密与 验证MS的信用票据,如果验证通过,目标BS认为MS是合法的用户;步骤206 目标BS成功验证MS的切换认证请求后,使用IEEE 802. 16标准中定义 的会话密钥协商协议与MS协商PMK、AK、CMAC key和TEK等会话密钥。本发明可以应用于移动WiMAX网络,具体不仅适用于正在制定的下一代移 动 WiMAX( S卩 IEEE802. 16m)网络,也适用于已经发布的 IEEE 802. 16e_2005、IEEE 802. 16j-2009等所有移动WiMAX网络。图3为本发明的基于票据的快速EAP切换认证方法在IEEE 802. 16m网络环境下 的一个具体实施示例。该实施示例的工作过程描述如下步骤301 =MS首次接入IEEE 802. 16m网络时,通过BS1与AAA服务器执行完整的 EAP认证,并与AAA服务器建立起共享的主会话密钥MSK ;步骤302 =AAA服务器通过接入服务网络网关ASN-GW将MSK安全传输给BS1 ;
步骤303 =BS1利用MGK为MS创建信用票据Tms ;步骤304 =BS1将包含信用票据Tms的通知消息Ticketjss发送给MS ;步骤305 =MS接收到Ticketjss后,使用TCK验证消息的正确性,如果验证通过, 则给BS1发送一条确认消息ACK (该消息可省略);步骤306 =BS1给MS发送挑战消息(N0NCE_BS),其中N0NCE_BS是BS1创建的随机 数;步骤307 =MS 利用 IEEE 802. 16m 定义的方法产生 PMK、AK 和 CMAC key ;步骤308 =MS 给 BS1 发送请求消息(MSID*,N0NCE_BS,N0NCE_MS) (CMAC),其中 MSID*
7是MS的MAC地址的一个变换,N0NCE_MS是MS创建的一个随机数;步骤309 =BS1利用IEEE 802. 16m定义的方法产生PMK、AK和CMAC key,然后使用 CMAC key验证请求消息的有效性;步骤310 =BS1 给 MS 发送响应消息(N0NCE_BS,N0NCE_MS) (CMAC);步骤311 =MS利用IEEE 802. 16m定义的方法产生TEK ;步骤312 =BS1利用IEEE 802. 16m定义的方法产生TEK ;步骤313 当MS由于移动,需要切换到新的BS接入移动WiMAX网络时,MS通过检 查目标BS广播的GID号,判断目标BS是否为多播BS组内的BS。如果目标BS不是多播组 内的BS,需要重新进行EAP认证,否则就继续使用下述步骤执行快速切换;步骤314 =MS向BS2发送一个快速切换认证请求消息THR_req,该消息包含MS的信
用票据Tms ;步骤315 =BS2使用其多播BS组密钥MGK解密Tms并验证THR_req的有效性,如果 验证通过,则认为MS是合法的用户并接受其接入请求;步骤316 =BS2给MS发送挑战消息(N0NCE_BS),其中N0NCE_BS是BS2创建的随机 数;步骤317 =MS 利用 IEEE 802. 16m 定义的方法产生 PMK、AK 和 CMAC key ;步骤318 =MS 给 BS2 发送请求消息(MSID*,N0NCE_BS,N0NCE_MS) (CMAC),其中 MSID* 是MS的MAC地址的一个变换,N0NCE_MS是MS创建的一个随机数;步骤319 =BS2利用IEEE 802. 16m定义的方法产生PMK、AK和CMAC key,然后使用 CMAC key验证请求消息的有效性;步骤320 =BS2 给 MS 发送响应消息(N0NCE_BS,N0NCE_MS) (CMAC);步骤321 =MS利用IEEE 802. 16m定义的方法产生TEK ;步骤322 =BS2利用IEEE 802. 16m定义的方法产生TEK。
权利要求
一种移动WiMAX网络中EAP认证快速切换方法,其步骤为1)客户端MS首次接入移动WiMAX网络时,与EAP认证服务器进行EAP认证并建立主会话密钥MSK;2)接入认证者BS利用其多播BS组密钥MGK为该MS创建一信用票据TMS,并分发给该MS;所述信用票据包括MS的MAC地址MSID、MSK、票据有效期Texp;3)当该MS切换到多播BS组内一目标BS时,向该目标BS发送一个带有其信用票据的切换请求THR_req;所述切换请求THR_req包括目标BS的MAC地址BSID、MS的MAC地址MSID、MS产生的随机数NMS、多播BS组标示符GID、信用票据TMS;4)目标BS接收到THR_req后,利用MGK验证该切换认证请求的有效性;如果有效,目标BS认为该MS是合法的,容许其接入移动WiMAX网络,否则,拒绝其接入。
2.如权利要求1所述的方法,其特征在于接入认证者BS对所述信用票据进行加密, 生成一票据通知消息Ticketjss发送给该MS ;其中,所述票据通知消息为=Ticketjss = {(GID, MSID, Texp,Tms,Nbs) (CMACtck) }, CMACtck 为利用密钥 TCK 对消息(GID,MSID,Texp,Tms, Nbs)进行加密生成的基于密文的消息认证码。
3.如权利要求2所述的方法,其特征在于所述密钥TCK的生成方法为提取主会话密 钥MSK的后128比特作为临时的基于密文的消息认证码密钥TCK。
4.如权利要求2所述的方法,其特征在于所述密钥TCK的生成方法为提取主会话密 钥MSK的前128比特作为临时的基于密文的消息认证码密钥TCK。
5.如权利要求2或3或4所述的方法,其特征在于MS接收到Ticketjss后,利用生成 的所述密钥TCK验证所述Ticketjss中的CMAC值,如果验证正确,MS给接入BS发送一个 确认消息ACK,如果验证不正确,则给接入BS发送一个重传请求。
6.如权利要求2或3或4所述的方法,其特征在于所述切换请求TffiLreq的生成方法 为MS利用密钥TCK对消息(GID,MSID, BSID, Tms,Nms)进行加密生成基于密文的消息认证 码CMAC,然后将生成的CMAC码添加在(GID,MSID, BSID, Tms,Nms)后一起作为切换认证请求 信息 THR_req。
7.如权利要求6所述的方法,其特征在于目标BS接收到TffiLreq后,利用MGK验证该 切换认证请求的有效性的方法为1)目标BS检查THR_req中的GID、BSID和Nms是否与自身GID、BSID和Nms对应一致;2)如果该GID、BSID与自身GID、BSID相一致,并且Nms与其记录的Nms不同,目标BS使 用MGK解密Tms,获取MSID、MSK、Texp信息;3)目标BS解密出Tms后,首先检验解密获取的MSID与THR_req中携带的MSID是否一 致,如果一致,就继续检验Trap,判断该MS的信用票据Tms是否过期;4)如果MS的信用票据Tms没有过期,目标BS生成密钥TCK,并使用TCK对THR_req消 息中的(GID,MSID, BSID, Tms,Nms)进行加密生成基于密文的消息认证码CMAC,然后与THR_ req消息后附带的CMAC值进行比较,看其是否一致;5)如果CMAC值一致,目标BS接受MS的切换认证请求,否则该切换认证请求无效。
8.如权利要求1或2或3或4所述的方法,其特征在于所述EAP认证服务器通过接入 服务网络网关将MSK安全传输给所述接入认证者BS。
9.如权利要求1或2或3或4所述的方法,其特征在于所述移动WiMAX网络包括IEEE802. 16m 移动 WiMAX 网络、IEEE 802. 16e_2005 移动 WiMAX 网络、IEEE 802. 16j_2009 移动WiMAX网络。
全文摘要
本发明公开了一种移动WiMAX网络中EAP认证快速切换方法,属于移动WiMAX网络切换认证技术领域。本方法为在MS首次接入移动WiMAX网络,并与AAA服务器成功完成EAP认证后,接入BS利用多播BS组密钥为MS生成一个信用票据;当MS由于移动需要切换到一个新的BS时,它只需要提供其信用票据就能通过目标BS的身份认证,从而能够避免重新进行EAP认证,进而实现安全快速切换。
文档编号H04W12/04GK101958898SQ20101029469
公开日2011年1月26日 申请日期2010年9月28日 优先权日2010年9月28日
发明者付安民, 刘奇旭, 张玉清 申请人:中国科学院研究生院