專利名稱:一種移動WiMAX網(wǎng)絡(luò)中EAP認證快速切換方法
技術(shù)領(lǐng)域:
本發(fā)明主要涉及移動WiMAX網(wǎng)絡(luò)切換認證技術(shù)領(lǐng)域��,特別涉及到一種在高速移動 環(huán)境下支持快速EAP (Extensible Authentication Protocol�����,可擴展的鑒權(quán)協(xié)議)切換認 證的方法��。
背景技術(shù):
WiMAX(World Interoperability for Microwave Access,^itit^SK^A) Mi 一項基于IEEE 802. 16標準的新興的寬帶無線接入技術(shù)���,能提供面向互聯(lián)網(wǎng)的高速連接�����, 數(shù)據(jù)傳輸距離最遠可達50km���。WiMAX還具有QoS保障、傳輸速率高��、業(yè)務(wù)豐富多樣等優(yōu)點�。 WiMAX的技術(shù)起點較高,采用了代表未來通信技術(shù)發(fā)展方向的0FDM/0FDMA���、AAS�、MIMO等先 進技術(shù)����,隨著技術(shù)標準的發(fā)展,WiMAX將逐步實現(xiàn)寬帶業(yè)務(wù)的移動化���。IEEE 802. 16系列標準的發(fā)展始于2001年��,但是其第一個版本正式發(fā)布是在2002 年��。2004年6月被IEEE正式批準的IEEE 802. 16d標準是802. 16標準系列的一個修訂版 本����,是相對比較成熟并且最具有實用性的一個標準版本。為了既能提供高速數(shù)據(jù)業(yè)務(wù)又使 用戶具有移動性的寬帶無線接入解決方案���,IEEE工作組發(fā)布了 802. 16e標準���。該標準規(guī)定 了可同時支持固定和移動寬帶無線接入的系統(tǒng),它工作在< 6GHz適宜于移動性的許可頻 段�,可支持用戶終端以車輛速度移動。為了滿足全球4G無線通信標準IMT-advanced的需 求�����,從2007年開始��,IEEE802. 16工作組開始制定一個新的802. 16標準(也就是802. 16m)���, 并于2009年7月發(fā)布了第一個IEEE 802.16m標準草案���。特別是在2009年10月,IEEE 802. 16m被提交給了國際電信聯(lián)盟ITU并被正式接受為4G侯選標準之一���。身份認證和密鑰協(xié)商是WiMAX中的一種重要安全機制�����,它是實現(xiàn)安全通信���、保護 用戶和運營商利益的重要保證�。在IEEE 802. 16m之前版本標準中����,同時支持EAP和RSA兩 種身份認證方式�����,但在IEEE 802. 16m標準中���,只支持基于EAP方式的認證���,不再支持基于 RSA的認證方式。EAP是在RFC 3748中定義的一種認證協(xié)議��,它具體包括ΕΑΡ-SIM���、EAP-TLS, EAP-AKA等多種EAP認證方法���。該協(xié)議包含三種角色客戶端���,認證者和認證服務(wù)器。在移 動 WiMAX 中�����,MS (mobile station�,移動終端)是 EAP 客戶端,BS (base station�����,基站)是 認證者�����,家鄉(xiāng)域中的 AAA 服務(wù)器(Authentication����、Authorization、Accounting��,驗證、授權(quán) 和記賬服務(wù)器)是EAP認證服務(wù)器�����。EAP客戶端和認證服務(wù)器通過執(zhí)行EAP方法來交換信 息����,處于它們之間的認證者用來傳遞信息。如果EAP服務(wù)器允許EAP客戶端接入網(wǎng)絡(luò)�,客戶 端和服務(wù)器端會生成共享的密鑰材料主會話密鑰MSKOnaster session key)和擴展主會 話密鑰EMSK (extended MSK)。MSK用來生成MS與BS之間的共享會話密鑰�����。移動WiMAX需要支持車載速度的移動通信業(yè)務(wù)��,在MS移動過程中�,不可避免需 要在BS之間進行切換�����,切換時間的長短嚴重影響著MS的通信質(zhì)量��。圖1為移動WiMAX 用戶切換時的網(wǎng)絡(luò)認證和授權(quán)示意圖���。整個切換過程涉及五個實體移動終端MS��,當 前月艮務(wù) BS�,目標 BS、ASN-GW(Access Service Networks-Gateway���,接入服務(wù)網(wǎng)網(wǎng)關(guān))和
4AAA服務(wù)器�。目前IEEE 802. 16m切換認證的方法是在MS切換之前��,通過服務(wù)BS與目 標BS重新執(zhí)行一次完整的EAP認證�,并在MS和目標BS之間協(xié)商出新的會話密鑰材料, 如 PMK(PairwiseMaster Key,成對主密鑰)�,AK(Authorization Key,授權(quán)密鑰),CMAC key (Cipher-basedMessage Authentication Code,基于密文的消息認證碼密朗)禾口 TEK(Transmission EncryptionKey�,傳輸加密密鑰)等,然后執(zhí)行切換��。但EAP認證過程本 身十分耗時����,這增加了時延,降低了效率�����,導致通信業(yè)務(wù)質(zhì)量受到不同程度的影響,特別是 對于實時性要求比較強的業(yè)務(wù)�����,如VoIP��、多媒體業(yè)務(wù)等���,影響更為嚴重��,用戶可以感覺到停 頓�����、斷續(xù)等業(yè)務(wù)質(zhì)量明顯下降問題�����。因此�,為了保證移動WiMAX網(wǎng)絡(luò)業(yè)務(wù)質(zhì)量�����,減少切換時延����,有必要為移動WiMAX網(wǎng) 絡(luò)提供一種快速切換認證機制。
發(fā)明內(nèi)容
本發(fā)明的目的是為移動WiMAX網(wǎng)絡(luò)提供一種基于票據(jù)的EAP切換認證方法�����,能夠 在高速運動場景下支持快速切換�����。為實現(xiàn)上述目的���,本發(fā)明的技術(shù)解決方案是在MS首次接入移動WiMAX網(wǎng)絡(luò)�,并與 AAA服務(wù)器成功完成EAP認證后��,接入BS利用多播BS組密鑰為MS生成一個類似于居民身 份證的信用票據(jù)���;當MS由于移動需要切換到一個新的BS時����,它只需要提供其信用票據(jù)就能 通過目標BS的身份認證�,從而能夠避免重新進行EAP認證,進而實現(xiàn)安全快速切換�。本發(fā)明具體包括MS信用票據(jù)的創(chuàng)建與分發(fā)�、MS信用票據(jù)的使用兩部分����。 MS信用票據(jù)的創(chuàng)建與分發(fā)的目的是在MS首次接入移動WiMAX網(wǎng)絡(luò),并與AAA服務(wù) 器成功完成EAP認證后���,由接入BS利用其多播BS組密鑰為MS創(chuàng)建一個類似于居民身份證 的信用票據(jù)����,并分發(fā)給MS,使得MS在切換時只需要向目標BS提供其信用票據(jù)���,就可以快速 通過身份認證����。MS信用票據(jù)的創(chuàng)建與分發(fā)具體方法如下1)在接收到AAA服務(wù)器傳輸來的256比特MSK后�����,接入BS提取MSK的后128比 特作為 TCK (Temporary Cipher-based message authentication code Key,臨時的基于密 文的消息認證碼密鑰)����;接入BS也可以提取MSK的前128比特或其他位置的128比特作為 TCK ��;2)接入 BS 使用 MGK(multi-BS group key,多播 BS 組密鑰)對 MS 的 MAC (Media AccessControl,介質(zhì)訪問控制)地址MSID���、MSK和票據(jù)有效期Texp等信息加密生成信用票 據(jù)TMS�����,即公式(1)Tms = ENCmgk (MSID�����,MSK, Texp)(1)3)接入BS利用TCK對消息(GID�,MSID, Texp�����,Tms���,Nbs)進行加密生成基于密文的消 息認證碼CMAC�����,然后將生成的CMAC碼添加在(GID��,MSID, Texp���,Tms�����,Nbs)后一起作為票據(jù)通 知消息Ticket_iss�,如公式(2)Ticket_iss = {(GID, MSID, Texp�,Tms, Nbs) (CMACtck) }(2)其中GID是多播BS組標示符,Nbs是BS產(chǎn)生的隨機數(shù)���;4)接入BS將票據(jù)通知消息Ticketjss直接發(fā)送給MS ���;5) MS接收到Ticketjss后,像接入BS —樣生成TCK (即MS也是提取MSK中的后 128比特生成TCK)�,然后驗證Ticketjss中的CMAC值,如果驗證正確���,MS給接入BS發(fā)送一個確認消息ACK����,如果驗證不正確�,則給接入BS發(fā)送一個重傳請求���。MS信用票據(jù)的使用 目的是當MS需要切換到一個多播BS組內(nèi)新的目標BS接入移動WiMAX網(wǎng)絡(luò)時,只需要向目 標BS發(fā)送一個帶有其信用票據(jù)的切換請求���,就可以很快獲得目標BS的認證,從而可以避免 重新執(zhí)行費時的EAP認證���,進而實現(xiàn)快速切換�����。如果MS需要切換到的目標BS不是多播BS 組內(nèi)的BS時��,則MS需要重新進行EAP認證����。MS信用票據(jù)的使用具體方法如下1)MS利用TCK對消息(GID����,MSID,BSID, Tms��,Nms)進行加密生成基于密文的消息認 證碼CMAC�,然后將生成的CMAC碼添加在(GID,MSID,BSID, Tms�����,Nms)后一起作為切換認證請 求信息THR_req����,如公式(3)THR_req = {(GID, MSID, BSID, Tms, Nms) (CMACtck) }(3)其中BSID是BS的MAC地址,Nms是MS產(chǎn)生的隨機數(shù)����;2) MS將切換認證請求信息THR_req發(fā)送給目標BS ;3)目標BS接收到THR_req后����,利用MGK驗證該切換認證請求的有效性。如果有 效��,目標BS認為該MS是合法的���,容許其接入移動WiMAX網(wǎng)絡(luò)����,否則�,拒絕其接入��。進一步地����, 目標BS具體使用如下步驟驗證切換認證請求信息TffiLreq的有效性1)目標BS檢查THR_req中的GID����、BSID和Nms�����,看該GID和BSID是否與自身的相
一致以及Nms是否與其記錄的Nms相同���;2)如果該GID和BSID與自身的相一致����,并且Nms與其記錄的Nms不同����,目標BS使 用MGK解密Tms,從而能夠獲取MSID���,MSK和Texp等信息����;3)目標BS成功解密Tms后,首先檢驗解密獲取的MSID與THR_req中攜帶的MSID 是否一致����,如果一致,就繼續(xù)檢驗Trap��,從而判斷該MS的信用票據(jù)Tms是否過期�;4)如果MS的信用票據(jù)Tms沒有過期,目標BS從解密獲得的MSK中提取后128比 特作為TCK����,并使用TCK對THR_req消息中的(GID,MSID, BSID, Tms����,Nms)進行加密生成基于 密文的消息認證碼CMAC,然后與TffiLreq消息后附帶的CMAC值進行比較�,看其是否一致;5)如果CMAC值一致��,目標BS認為MS是合法的用戶�����,并接受MS的切換認證請求, 容許其接入移動WiMAX網(wǎng)絡(luò)����。與現(xiàn)有技術(shù)相比,本發(fā)明的積極效果為1)切換認證框架簡單本發(fā)明的基于票據(jù)的快速EAP切換認證方法只需要目標BS使用其多播BS組密鑰 MGK驗證MS的信用票據(jù)�,就可以實現(xiàn)MS和BS之間的雙向認證,整個切換認證過程不需要其 它任何第三方的參與(比如之前的服務(wù)BS����、AAA服務(wù)器等)。2)切換認證速度快當切換到一個新的BS時��,原有方法要求重新執(zhí)行EAP認證�����,而EAP認證過程本身 十分耗時�,這增加了切換時延��。采用本發(fā)明的快速切換認證方法可以避免耗時的EAP認證����, 并且對MS信用票據(jù)的驗證不需要涉及到任何第三方,可以大大加快切換認證進程����,滿足車 速移動情況下的快速切換要求���,實時性業(yè)務(wù)的質(zhì)量不受影響。
圖1是移動WiMAX用戶切換時的網(wǎng)絡(luò)認證和授權(quán)示意6
圖2是本發(fā)明的基于票據(jù)的快速EAP切換認證方法的實施基本流程圖�;圖3是本發(fā)明的基于票據(jù)的快速EAP切換認證方法的實施示例。
具體實施例方式下面結(jié)合附圖及實施示例對本發(fā)明作進一步詳細描述����。如圖2所示,本發(fā)明的基于票據(jù)的快速EAP切換認證方法實施的基本流程圖包含 以下步驟步驟201 =MS首次接入移動WiMAX網(wǎng)絡(luò)時�,通過接入BS與AAA服務(wù)器執(zhí)行完整的 EAP認證,并與AAA服務(wù)器建立起共享的主會話密鑰MSK ���;步驟202 接入BS在接收到AAA服務(wù)器傳來的MSK后�,利用MGK為MS創(chuàng)建信用票 據(jù)Tms����,然后創(chuàng)建票據(jù)通知消息Ticketjss,并將Ticketjss發(fā)送給MS ���;MS接收到票據(jù)通知 消息Ticketjss后��,驗證Ticketjss中的CMAC值���,如果驗證正確�,MS給接入BS發(fā)送一個 確認消息ACK�,如果驗證不正確,則給接入BS發(fā)送一個重傳請求�;步驟203 接入BS將信用票據(jù)Tms成功傳輸給MS后,使用IEEE 802. 16標準中定 義的會話密鑰協(xié)商協(xié)議與MS協(xié)商PMK�、AK、CMAC key和TEK等會話密鑰��;步驟204 當MS由于移動�����,需要切換到新的BS接入移動WiMAX網(wǎng)絡(luò)時��,MS通過檢 查目標BS廣播的GID號����,判斷目標BS是否為多播BS組內(nèi)的BS�。如果目標BS是多播組內(nèi) 的BS,則可以使用信用票據(jù)Tms執(zhí)行快速切換����,否則需要重新進行EAP認證�;步驟205 如果目標BS是多播組內(nèi)的BS��,MS向目標BS發(fā)送一個包含信用票據(jù)Tms 的快速切換認證請求����,目標BS接收到MS的快速切換認證請求后,使用其對應(yīng)的MGK解密與 驗證MS的信用票據(jù)��,如果驗證通過��,目標BS認為MS是合法的用戶���;步驟206 目標BS成功驗證MS的切換認證請求后�,使用IEEE 802. 16標準中定義 的會話密鑰協(xié)商協(xié)議與MS協(xié)商PMK��、AK��、CMAC key和TEK等會話密鑰���。本發(fā)明可以應(yīng)用于移動WiMAX網(wǎng)絡(luò)�����,具體不僅適用于正在制定的下一代移 動 WiMAX( S卩 IEEE802. 16m)網(wǎng)絡(luò)���,也適用于已經(jīng)發(fā)布的 IEEE 802. 16e_2005����、IEEE 802. 16j-2009等所有移動WiMAX網(wǎng)絡(luò)�����。圖3為本發(fā)明的基于票據(jù)的快速EAP切換認證方法在IEEE 802. 16m網(wǎng)絡(luò)環(huán)境下 的一個具體實施示例���。該實施示例的工作過程描述如下步驟301 =MS首次接入IEEE 802. 16m網(wǎng)絡(luò)時���,通過BS1與AAA服務(wù)器執(zhí)行完整的 EAP認證,并與AAA服務(wù)器建立起共享的主會話密鑰MSK �����;步驟302 =AAA服務(wù)器通過接入服務(wù)網(wǎng)絡(luò)網(wǎng)關(guān)ASN-GW將MSK安全傳輸給BS1 ��;
步驟303 =BS1利用MGK為MS創(chuàng)建信用票據(jù)Tms �����;步驟304 =BS1將包含信用票據(jù)Tms的通知消息Ticketjss發(fā)送給MS �����;步驟305 =MS接收到Ticketjss后����,使用TCK驗證消息的正確性,如果驗證通過���, 則給BS1發(fā)送一條確認消息ACK (該消息可省略)�;步驟306 =BS1給MS發(fā)送挑戰(zhàn)消息(N0NCE_BS)�����,其中N0NCE_BS是BS1創(chuàng)建的隨機 數(shù)���;步驟307 =MS 利用 IEEE 802. 16m 定義的方法產(chǎn)生 PMK����、AK 和 CMAC key ����;步驟308 =MS 給 BS1 發(fā)送請求消息(MSID*����,N0NCE_BS����,N0NCE_MS) (CMAC),其中 MSID*
7是MS的MAC地址的一個變換���,N0NCE_MS是MS創(chuàng)建的一個隨機數(shù)�;步驟309 =BS1利用IEEE 802. 16m定義的方法產(chǎn)生PMK��、AK和CMAC key�,然后使用 CMAC key驗證請求消息的有效性;步驟310 =BS1 給 MS 發(fā)送響應(yīng)消息(N0NCE_BS���,N0NCE_MS) (CMAC)�����;步驟311 =MS利用IEEE 802. 16m定義的方法產(chǎn)生TEK ��;步驟312 =BS1利用IEEE 802. 16m定義的方法產(chǎn)生TEK ����;步驟313 當MS由于移動�����,需要切換到新的BS接入移動WiMAX網(wǎng)絡(luò)時�����,MS通過檢 查目標BS廣播的GID號�����,判斷目標BS是否為多播BS組內(nèi)的BS����。如果目標BS不是多播組 內(nèi)的BS,需要重新進行EAP認證�,否則就繼續(xù)使用下述步驟執(zhí)行快速切換;步驟314 =MS向BS2發(fā)送一個快速切換認證請求消息THR_req�����,該消息包含MS的信
用票據(jù)Tms �;步驟315 =BS2使用其多播BS組密鑰MGK解密Tms并驗證THR_req的有效性,如果 驗證通過����,則認為MS是合法的用戶并接受其接入請求����;步驟316 =BS2給MS發(fā)送挑戰(zhàn)消息(N0NCE_BS)��,其中N0NCE_BS是BS2創(chuàng)建的隨機 數(shù)�;步驟317 =MS 利用 IEEE 802. 16m 定義的方法產(chǎn)生 PMK、AK 和 CMAC key ����;步驟318 =MS 給 BS2 發(fā)送請求消息(MSID*,N0NCE_BS�,N0NCE_MS) (CMAC),其中 MSID* 是MS的MAC地址的一個變換��,N0NCE_MS是MS創(chuàng)建的一個隨機數(shù)�����;步驟319 =BS2利用IEEE 802. 16m定義的方法產(chǎn)生PMK��、AK和CMAC key�,然后使用 CMAC key驗證請求消息的有效性;步驟320 =BS2 給 MS 發(fā)送響應(yīng)消息(N0NCE_BS���,N0NCE_MS) (CMAC)��;步驟321 =MS利用IEEE 802. 16m定義的方法產(chǎn)生TEK ��;步驟322 =BS2利用IEEE 802. 16m定義的方法產(chǎn)生TEK����。
權(quán)利要求
一種移動WiMAX網(wǎng)絡(luò)中EAP認證快速切換方法�����,其步驟為1)客戶端MS首次接入移動WiMAX網(wǎng)絡(luò)時�,與EAP認證服務(wù)器進行EAP認證并建立主會話密鑰MSK;2)接入認證者BS利用其多播BS組密鑰MGK為該MS創(chuàng)建一信用票據(jù)TMS�,并分發(fā)給該MS;所述信用票據(jù)包括MS的MAC地址MSID�、MSK、票據(jù)有效期Texp���;3)當該MS切換到多播BS組內(nèi)一目標BS時�,向該目標BS發(fā)送一個帶有其信用票據(jù)的切換請求THR_req�;所述切換請求THR_req包括目標BS的MAC地址BSID、MS的MAC地址MSID�����、MS產(chǎn)生的隨機數(shù)NMS、多播BS組標示符GID��、信用票據(jù)TMS����;4)目標BS接收到THR_req后,利用MGK驗證該切換認證請求的有效性�;如果有效,目標BS認為該MS是合法的�����,容許其接入移動WiMAX網(wǎng)絡(luò)���,否則�,拒絕其接入�。
2.如權(quán)利要求1所述的方法,其特征在于接入認證者BS對所述信用票據(jù)進行加密���, 生成一票據(jù)通知消息Ticketjss發(fā)送給該MS ���;其中����,所述票據(jù)通知消息為=Ticketjss = {(GID, MSID, Texp���,Tms��,Nbs) (CMACtck) }, CMACtck 為利用密鑰 TCK 對消息(GID�,MSID���,Texp,Tms�, Nbs)進行加密生成的基于密文的消息認證碼。
3.如權(quán)利要求2所述的方法��,其特征在于所述密鑰TCK的生成方法為提取主會話密 鑰MSK的后128比特作為臨時的基于密文的消息認證碼密鑰TCK��。
4.如權(quán)利要求2所述的方法�,其特征在于所述密鑰TCK的生成方法為提取主會話密 鑰MSK的前128比特作為臨時的基于密文的消息認證碼密鑰TCK。
5.如權(quán)利要求2或3或4所述的方法����,其特征在于MS接收到Ticketjss后,利用生成 的所述密鑰TCK驗證所述Ticketjss中的CMAC值,如果驗證正確�����,MS給接入BS發(fā)送一個 確認消息ACK��,如果驗證不正確���,則給接入BS發(fā)送一個重傳請求�。
6.如權(quán)利要求2或3或4所述的方法�����,其特征在于所述切換請求TffiLreq的生成方法 為MS利用密鑰TCK對消息(GID��,MSID, BSID, Tms����,Nms)進行加密生成基于密文的消息認證 碼CMAC,然后將生成的CMAC碼添加在(GID��,MSID, BSID, Tms�,Nms)后一起作為切換認證請求 信息 THR_req。
7.如權(quán)利要求6所述的方法����,其特征在于目標BS接收到TffiLreq后�����,利用MGK驗證該 切換認證請求的有效性的方法為1)目標BS檢查THR_req中的GID�、BSID和Nms是否與自身GID�、BSID和Nms對應(yīng)一致;2)如果該GID��、BSID與自身GID��、BSID相一致��,并且Nms與其記錄的Nms不同�,目標BS使 用MGK解密Tms����,獲取MSID、MSK���、Texp信息����;3)目標BS解密出Tms后,首先檢驗解密獲取的MSID與THR_req中攜帶的MSID是否一 致�,如果一致,就繼續(xù)檢驗Trap����,判斷該MS的信用票據(jù)Tms是否過期;4)如果MS的信用票據(jù)Tms沒有過期�����,目標BS生成密鑰TCK���,并使用TCK對THR_req消 息中的(GID��,MSID, BSID, Tms�,Nms)進行加密生成基于密文的消息認證碼CMAC��,然后與THR_ req消息后附帶的CMAC值進行比較����,看其是否一致;5)如果CMAC值一致����,目標BS接受MS的切換認證請求��,否則該切換認證請求無效�����。
8.如權(quán)利要求1或2或3或4所述的方法���,其特征在于所述EAP認證服務(wù)器通過接入 服務(wù)網(wǎng)絡(luò)網(wǎng)關(guān)將MSK安全傳輸給所述接入認證者BS。
9.如權(quán)利要求1或2或3或4所述的方法��,其特征在于所述移動WiMAX網(wǎng)絡(luò)包括IEEE802. 16m 移動 WiMAX 網(wǎng)絡(luò)�、IEEE 802. 16e_2005 移動 WiMAX 網(wǎng)絡(luò)、IEEE 802. 16j_2009 移動WiMAX網(wǎng)絡(luò)���。
全文摘要
本發(fā)明公開了一種移動WiMAX網(wǎng)絡(luò)中EAP認證快速切換方法����,屬于移動WiMAX網(wǎng)絡(luò)切換認證技術(shù)領(lǐng)域��。本方法為在MS首次接入移動WiMAX網(wǎng)絡(luò)�����,并與AAA服務(wù)器成功完成EAP認證后��,接入BS利用多播BS組密鑰為MS生成一個信用票據(jù)���;當MS由于移動需要切換到一個新的BS時���,它只需要提供其信用票據(jù)就能通過目標BS的身份認證,從而能夠避免重新進行EAP認證�,進而實現(xiàn)安全快速切換。
文檔編號H04W12/04GK101958898SQ20101029469
公開日2011年1月26日 申請日期2010年9月28日 優(yōu)先權(quán)日2010年9月28日
發(fā)明者付安民, 劉奇旭, 張玉清 申請人:中國科學院研究生院