专利名称:无线通信网络中实现位置更新的方法
技术领域:
本发明涉及无线通信技术领域:
,尤其涉及一种无线通信网络中实现位置更新的方法。
背景技术:
在无线通信网络中,根据802.16协议可知,移动终端要与基站通信,必须建立相同的AK(授权密钥)上下文,所述的AK上下文包括AK、AKID(授权密钥标识)、AKSequence Number(授权密钥序列号)、AKLifetime(授权密钥生存期)、PMK Sequence Number(对偶主密钥序列号)、HMAC/CMAC_KEY_U(上行链路消息完整性保护密钥)、HMAC/CMAC_PN_U(上行链路消息防止重放攻击包序列号,简称PN_U)、HMAC/CMAC_KEY_D(下行链路消息完整性保护密钥)、HMAC/CMAC_PN_D(下行链路消息防止重放攻击包序列号,简称PM_D)、KEK(密钥加密密钥)、EIK(完整性加密密钥)。
在AK上下文中,HMAC/CMAC_KEY_U和HMAC/CMAC_KEY_D由基站根据AK、终端MAC(媒体接入控制)地址、BSID(基站标识)计算得到,分别用于对上下行链路消息提供完整性保护。PN_U和PN_D是两个32位计数器,在AK上下文建立时,这两个计数器的值都为0,之后每使用HMAC/CMAC_KEY_U对上行消息提供一次完整性保护,移动终端就将PN_U的值增加1;每使用HMAC/CMAC_KEY_D对下行消息提供一次完整性保护,基站就将PN_D的值增加1。如果PN_U或PN_D的数值空间耗尽(即这两个值中任一个到达2^32-1),或是AK上下文中AK生存期到期,都意味着该AK生存期结束,在此之前应当申请新的AK。
在无线通信网络中,所述的AK上下文的建立过程如图1所示,具体包括以下处理步骤步骤11终端与基站建立好通信链路;步骤12终端与AAA(鉴权、认证、计费)服务器通过EAP(可扩展认证协议)认证方式,在两侧建立起共享的MSK(主会话密钥);步骤13AAA服务器将MSK传递给终端所在ASN内的鉴权器;步骤14终端和鉴权器获得MSK后,分别各自进行如下处理终端从MSK产生PMK,从PMK产生AK,继而生成全部AK上下文;鉴权器从MSK产生PMK,从PMK产生部分AK上下文,包括AK,AK标识,AK序列号,AK生存期,PMK序列号,EIK;对于HMAC/CMAC_PN_U和HMAC/CMAC_PN_D的值可以在此置为零或者空。
步骤15鉴权器把已产生的部分AK上下文发送给基站;步骤16基站根据AK产生剩余部分AK上下文,包括HMAC/CMAC_KEY_U,HMAC/CMAC_PN_U,HMAC/CMAC_KEY_D,HMAC/CMAC_PN_D,KEK;初始时HMAC/CMAC_PN_U和HMAC/CMAC_PN_D的值为零。
步骤17终端和基站用建立的AK上下文保护后续通信中的空口消息和业务加密密钥的传输。
在无线通信网络中,当空闲模式下的终端向基站发送的位置更新请求时,首先需要向PC/LR发起位置更新,更新完成后再来做消息合法性检查。相应的具体处理过程如图2所示,包括以下步骤步骤21移动终端MS向基站上的PA发送RNG-REQ(参数调整请求)消息,消息中会指明是进行位置更新过程的参数调整。
步骤22PA收到此位置更新请求时,直接向移动终端所在的网关上的寻呼中继Paging Relay发送位置更新请求。
步骤23所述的Paging Relay向PC/LR发送位置更新请求。
步骤24PC给该移动终端分配新的PGID(寻呼组标识),并给其回复位置更新响应消息。
步骤25Paging Relay将该位置更新响应消息转发给PA;此时,如果PA上没有安全上下文信息,即AK上下文信息,则应该向锚定鉴权器请求此移动终端的安全上下文信息,获得相应的AK上下文信息后,执行步骤26。
步骤26PA用此移动终端的安全上下文信息对RNG-REQ消息进行判断,如果消息合法,则回复RNG-RSP消息,并使用得到的AK上下文,对此消息作摘要HMAC/CMAC-Digest(哈希消息认证码/密文消息认证码-摘要),执行步骤27,若判断出此消息非法,则丢弃该消息。
步骤27PA向Paging Relay发送位置更新确认消息。
步骤28Paging Relay向PC/LR转发此位置更新确认消息。
可以看出,在上述位置更新处理过程中,相应的安全信息请求消息和位置更新过程为相互独立进行,这必然增加消息交互的冗余和骨干网的负担。而且,即使当BS上可以缓存AK信息时,也没有对终端发来的位置更新请求进行合法性判断,此时,如果发送位置更新请求的终端是一个攻击者,在不断发送位置请求消息的情况下,若BS不进行任何判断,而不停地向PC/LR发送位置更新请求,将导致骨干网的网络拥塞。
因此,上述现有技术中的位置更新处理过程,即可能会增加网络负担,还使得网络存在一定的安全隐患。
发明内容本发明的目的是提供一种无线信网络中实现位置更新的方法,从而可以在进行位置更新处理的过程中能够有效降低网络负担,避免消息交互冗余,以提高网络性能。
本发明的目的是通过以下技术方案实现的本发明提供了一种无线通信网络中实现位置更新的方法,包括A、基站向寻呼控制器PC发送位置更新请求消息,所述的消息中包含有请求授权密钥AK上下文的指示信息;B、PC接收所述位置更新请求消息,并根据所述的指示信息控制鉴权器将AK上下文信息发送给基站。
所述的步骤A包括基站通过寻呼中继网关向PC发送位置更新请求消息。
本发明中,在执行所述的步骤A之前还包括基站中的寻呼代理接收用户终端发送来的位置更新请求消息,并判断本地是否保存对应的有效AK信息,如果有相应的有效AK信息,则根据AK信息判断该位置更新请求消息的合法性,若合法,则发送不携带请求AK上下文的指示信息的位置更新请求,若不合法,则丢弃该位置更新请求消息;如果没有相应的有效AK信息,则执行步骤A。
所述的步骤B包括B1、PC接收所述承载有请求AK上下文的指示信息的位置更新请求消息后,构造AK上下文请求消息发送给鉴权器;B2、鉴权器接收所述请求消息后生成相应的AK上下文并返回给PC,并由PC将其发送给基站。
所述的步骤B1还包括当PC无法确定移动终端的当前基站标识是否发生改变或确定发生改变时,则构造AK上下文请求消息发送给鉴权器,并执行步骤B2。
所述的步骤B还包括
鉴权器判断移动终端的当前基站标识是否改变,如果是,则生成新的AK上下文,否则,不生成新的AK上下文。
所述的步骤B还包括B3、PC接收所述的承载有请求AK上下文的指示信息的位置更新请求消息后,将本地保存的鉴权器标识信息发送给基站;B4、所述的基站根据鉴权器标识直接或间接与所述鉴权器进行交互获取AK上下文信息。
本发明中,在执行所述的步骤B3之前还包括PC判断其是否可以与鉴权器直接通信,如果可以,则执行步骤B1,否则,执行步骤B3。
所述的方法还包括基站接收获得所述的移动终端的AK上下文信息后,对接收到的位置更新请求信息的合法性进行验证,并在验证合法后,继续位置更新处理,否则,位置更新处理过程结束。
所述的继续位置更新处理包括基站向移动终端返回位置更新响应消息,并通过寻呼中继或直接向寻呼控制器发送位置更新确认消息;寻呼控制器收到所述的消息后与鉴权器进行信息交互进行AK信息更新。
所述的方法还包括所述的寻呼中继或寻呼控制接收到位置更新确认消息后返回位置更新确认响应消息。
所述的方法还包括基站向移动终端发送参数调整请求响应消息后,基站上报最新的安全上下文中的上下行消息包序列号信息。
由上述本发明提供的技术方案可以看出,本发明中,将位置更新过程与基站的安全信息的获取过程合并在一起执行,而不再采用各自独立的处理方式实现,因此,本发明可以避免冗余消息交互,从而有效降低网络负担,提高网络利用率。
同时,还由于本发明能够在基站上根据已经保存的移动终端的安全信息,即AK上下文对收到的消息进行合法性判断,从而可以进一步提高网络的安全性能。
另外,在基站发送RNG-RSP之后,基站还上报最新的安全上下文中的HMAC/CMAC_PN_U和HMAC/CMAC_PN_D信息,从而保持网络侧安全上下文保持一致,减少因为其不一致导致的重认证。
图1为现有技术中的AK上下文建立过程示意图;图2为现有技术中的位置更新处理过程示意图;图3为本发明提供的位置更新处理过程的具体实现方式示意图。
具体实施方式本发明的核心是在基站上未缓存最新的AK或者锚定鉴权器的信息时,将相应的获取安全信息的处理流程和位置更新的消息结合在一起,从而简化整个位置更新过程的处理流程,减轻网络负担。
本发明中,如果基站上没有缓存最新的AK或者锚定鉴权器的信息,则将安全信息的获取和位置更新的流程合并在一起进行,具体包括(1)若PC与锚定鉴权器之间可以通信,则由PC直接向锚定鉴权器获取安全信息,然后将此信息在位置更新响应消息中传给MSS。
(2)若PC与锚定鉴权器之间不能直接通信,则PC可以将锚定鉴权器的标识符传给基站,然后由基站直接或者间接找锚定鉴权器索取安全信息。
本发明中,如果基站上已经缓存了最新的AK信息,则基站可以根据所述的AK信息对移动终端发来的RNG-REQ消息的合法性直接进行判定,而不再需要向PC或者鉴权器请求最新的AK信息。
本发明中,若基站上缓存了最新的锚定鉴权器的信息,而未缓存最新的AK信息,则基站首先要找到锚定鉴权器,并从该锚定鉴权器获取最新的AK信息,然后对RNG-REQ消息进行合法性判定。
另外,本发明中,在基站发送RNG-RSP之后,基站还需要上报最新的安全上下文中的上下行消息包序列号(HMAC/CMAC_PN_U和HMAC/CMAC_PN_D),从而可以保证相应的包序列号的一致性。
为对本发明有进一步的理解,下面将结合附图对本发明提供的位置更新处理流程的具体实现方式进行详细说明。
本发明所述方法的具体实现方式如图3所示,包括以下步骤步骤31MSS向PA发送位置更新请求消息,请求位置更新,在所述的位置更新请求消息中携带MSID和PCID;在WiMAX(微波接入全球互通)网络中,具体可以采用RNG-REQ(功率等参数调整)消息作为位置更新请求消息;在空闲模式下,若PA上面可以缓存安全上下文的信息(即AK上下文信息),则需要先对从MSS发过来的空口消息RNG-REQ进行合法性判断,若判断不合法,就直接丢弃此条消息,过程结束,若合法,则继续后续的位置更新处理过程,但无需进行安全信息的获取处理;若PA不能缓存安全上下文的信息,则直接进行步骤32。
步骤32PA向Paging Relay发送AK上下文和位置更新请求消息,所述的消息中携带MSID、BSID和PCID,同时还要包含请求AK上下文的标识,该标识用于指示在位置更新过程中需要进行AK上下文的获取处理。
步骤33Paging Relay向PC/LR发送AK上下文和位置更新请求消息,所述的消息中包含MSID和BSID,同时,还要包含请求AK上下文的标识。
步骤34PC/LR找到此MSS对应的锚定Authenticator,并向Authenticator发送AK上下文请求,消息中包含MSID和BSID;在执行步骤34之前,如果确定PC无法直接与锚定Authenticator通信,则可以将其标识信息返回给基站中的PA,由基站中的PA向所述锚定Authenticator发起获取AK上下文的处理过程,此时,图3中相应的步骤显然需要进行适应性调整,在该步骤以及后续处理中是以PC可以与锚定Authenticator直接通信为例进行的说明;另外,在PC上执行步骤34之前,还可以根据收到的消息中的BSID信息判断确定移动终端的基站是否发生变化,如果发生变化,则继续后续的处理过程,否则,仍采用原有的AK上下文即可,而无需执行步骤34至步骤36。
步骤35锚定Authenticator利用MSID、BSID和为此MSS缓存的PMK,为此MSS生成新的AK及其上下文。
步骤36Authenticator通过更新回复消息向PC/LR发送新生成的AK及其上下文(即AK上下文),所述的回复消息中包含MSID信息。
步骤37PC/LR接收到所述的AK上下文信息后为该MSS分配新的PGID,并将收到的AK及其上下文的信息合并进位置更新响应消息(即位置更新回复消息)中,发送给Paging Relay,此时,所述的位置更新响应消息中包含BSID、MSID、PGID和锚定Authenticator的ID、PCID。
步骤38Paging Relay将接收到的位置更新响应消息转发给PA。
步骤39PA收到以后,为AK补充剩余部分的上下文,之后判断消息的合法性,如果消息非法,则直接丢弃,整个位置更新处理过程到此终止,如果消息合法,则继续后续的位置更新处理过程,即执行步骤310。
步骤310PA使用RNG-RSP消息给MSS回复位置更新成功消息,该位置更新成功消息中包含该MSS当前的PGID。
步骤311PA向Paging Relay发送位置更新确认消息和会话信息报告,消息中要包含MSID、BSID、位置更新成功指示和安全上下文中上下行消息包序列号(即HMAC/CMAC_PN_U和HMAC/CMAC_PN_D)。
步骤312Paging Relay还向PA发送位置更新确认响应消息,以表示其已经收到位置更新确认消息;步骤313Paging Relay向PC/LR转发位置更新确认消息会话信息报告,表示位置更新成功,然后PC/LR就可以更新此MSS的PGID字段和对应的安全上下文中的上下行消息包序列号(即HMAC/CMAC_PN_U和HMAC/CMAC_PN_D);步骤314PC还向Paging Relay发送位置更新确认响应消息,以表示其收到了位置更新确认消息。
需要说明的是当PA直接将所述的位置更新确认消息发送给PC时,则PC直接将相应的位置更新确认响应消息返回给基站中的PA;另外,所述的步骤312和步骤314之间无先后时序关系,也可以在执行完成步骤314后,再执行步骤312;本发明在具体实现过程中,若选择将AK的信息存储在PC/LR,则后续的步骤315和步骤316可以省略,否则继续后续的处理步骤步骤315PC/LR向锚定鉴权器发送AK信息更新请求,以更新鉴权器上的HMAC/CMAC_PN_U和HMAC/CMAC_PN_D信息。
步骤316锚定鉴权器接收所述请求并更新AK的信息,即HMAC/CMAC_PN_U和HMAC/CMAC_PN_D信息,然后回复确认消息。
另外,由于在实际应用本发明过程中,可以出现多种可能的应用环境,例如,PC/LR和Authenticator(鉴权器)处于同一个物理网元上,或者,MSS所在的ASN当前的PC就是其锚定PC,等等。此时,具体实现过程将与图3给出的实现流程有所区别,具体为在图3所示的具体实现方案中如果PC/LR和Authenticator处于同一个物理网元上,则步骤34、36和步骤315、316可以省略;如果MSS所在的ASN当前的PC就是其锚定PC,则步骤33、37和步骤313可以省略。
综上所述,本发明将相应的获取安全信息的处理流程和位置更新的消息结合在一起,从而简化整个位置更新过程的处理流程,减轻网络负担。
以上所述,仅为本发明较佳的具体实施方式
,但本发明的保护范围并不局限于此,任何熟悉本技术领域:
的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应该以权利要求
的保护范围为准。
权利要求
1.一种无线通信网络中实现位置更新的方法,其特征在于,包括A、基站向寻呼控制器PC发送位置更新请求消息,所述的消息中包含有请求授权密钥AK上下文的指示信息;B、PC接收所述位置更新请求消息,并根据所述的指示信息控制鉴权器将AK上下文信息发送给基站。
2.根据权利要求
1所述的无线通信网络中实现位置更新的方法,其特征在于,所述的步骤A包括基站通过寻呼中继网关向PC发送位置更新请求消息。
3.根据权利要求
1所述的无线通信网络中实现位置更新的方法,其特征在于,执行所述的步骤A之前还包括基站中的寻呼代理接收用户终端发送来的位置更新请求消息,并判断本地是否保存对应的有效AK信息,如果有相应的有效AK信息,则根据AK信息判断该位置更新请求消息的合法性,若合法,则发送不携带请求AK上下文的指示信息的位置更新请求,若不合法,则丢弃该位置更新请求消息;如果没有相应的有效AK信息,则执行步骤A。
4.根据权利要求
1所述的无线通信网络中实现位置更新的方法,其特征在于,所述的步骤B包括B1、PC接收所述承载有请求AK上下文的指示信息的位置更新请求消息后,构造AK上下文请求消息发送给鉴权器;B2、鉴权器接收所述请求消息后生成相应的AK上下文并返回给PC,并由PC将其发送给基站。
5.根据权利要求
4所述的无线通信网络中实现位置更新的方法,其特征在于,所述的步骤B1还包括当PC无法确定移动终端的当前基站标识是否发生改变或确定发生改变时,则构造AK上下文请求消息发送给鉴权器,并执行步骤B2。
6.根据权利要求
4所述的无线通信网络中实现位置更新的方法,其特征在于,所述的步骤B还包括鉴权器判断移动终端的当前基站标识是否改变,如果是,则生成新的AK上下文,否则,不生成新的AK上下文。
7.根据权利要求
1至6任一项所述的无线通信网络中实现位置更新的方法,其特征在于,所述的步骤B还包括B3、PC接收所述的承载有请求AK上下文的指示信息的位置更新请求消息后,将本地保存的鉴权器标识信息发送给基站;B4、所述的基站根据鉴权器标识直接或间接与所述鉴权器进行交互获取AK上下文信息。
8.根据权利要求
7所述的无线通信网络中实现位置更新的方法,其特征在于,在执行所述的步骤B3之前还包括PC判断其是否可以与鉴权器直接通信,如果可以,则执行步骤B1,否则,执行步骤B3。
9.根据权利要求
1至6任一项所述的无线通信网络中实现位置更新的方法,其特征在于,所述的方法还包括基站接收获得所述的移动终端的AK上下文信息后,对接收到的位置更新请求信息的合法性进行验证,并在验证合法后,继续位置更新处理,否则,位置更新处理过程结束。
10.根据权利要求
9所述的无线通信网络中实现位置更新的方法,其特征在于,所述的继续位置更新处理包括基站向移动终端返回位置更新响应消息,并通过寻呼中继或直接向寻呼控制器发送位置更新确认消息;寻呼控制器收到所述的消息后与鉴权器进行信息交互进行AK信息更新。
11.根据权利要求
10所述的无线通信网络中实现位置更新的方法,其特征在于,所述的方法还包括所述的寻呼中继或寻呼控制接收到位置更新确认消息后返回位置更新确认响应消息。
12.根据权利要求
1至6任一项所述的无线通信网络中实现位置更新的方法,其特征在于,所述的方法还包括基站向移动终端发送参数调整请求响应消息后,基站上报最新的安全上下文中的上下行消息包序列号信息。
专利摘要
本发明涉及一种无线通信网络中实现位置更新的方法。本发明主要包括首先,基站向PC(寻呼控制器)发送位置更新请求消息,所述的消息中包含有请求AK(授权密钥)上下文的指示信息;PC接收所述位置更新请求消息,并根据所述的指示信息控制鉴权器将AK上下文信息发送给基站。本发明中,将位置更新过程与基站的安全信息的获取过程合并在一起执行,而不再采用各自独立的处理方式实现,因此,本发明可以避免冗余消息交互,从而有效降低网络负担,提高网络利用率。
文档编号H04W12/04GK1997212SQ200610000490
公开日2007年7月11日 申请日期2006年1月5日
发明者单长虹, 林志斌 申请人:华为技术有限公司导出引文BiBTeX, EndNote, RefMan