CN101189826A - 用于无线分布式系统的认证方法 - Google Patents
用于无线分布式系统的认证方法 Download PDFInfo
- Publication number
- CN101189826A CN101189826A CNA2006800165065A CN200680016506A CN101189826A CN 101189826 A CN101189826 A CN 101189826A CN A2006800165065 A CNA2006800165065 A CN A2006800165065A CN 200680016506 A CN200680016506 A CN 200680016506A CN 101189826 A CN101189826 A CN 101189826A
- Authority
- CN
- China
- Prior art keywords
- base station
- target
- mobile radio
- radio station
- station
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/041—Key generation or derivation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W28/00—Network traffic management; Network resource management
- H04W28/02—Traffic management, e.g. flow control or congestion control
- H04W28/08—Load balancing or load distribution
- H04W28/086—Load balancing or load distribution among access entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W84/00—Network topologies
- H04W84/18—Self-organising networks, e.g. ad-hoc networks or sensor networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0464—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload using hop-by-hop encryption, i.e. wherein an intermediate entity decrypts the information and re-encrypts it before forwarding it
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0892—Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/162—Implementing security features at a particular protocol layer at the data link layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/60—Context-dependent security
- H04W12/69—Identity-dependent
- H04W12/72—Subscriber identity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/60—Context-dependent security
- H04W12/69—Identity-dependent
- H04W12/73—Access point logical identity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W84/00—Network topologies
- H04W84/02—Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
- H04W84/04—Large scale networks; Deep hierarchical networks
- H04W84/042—Public Land Mobile systems, e.g. cellular systems
- H04W84/047—Public Land Mobile systems, e.g. cellular systems using dedicated repeater stations
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明涉及一种用于包括向基站的覆盖区域中的移动站提供访问服务的至少一个基站的无线分布式系统的认证方法。在所述认证方法中,未注册基站从移动站接收认证请求,在无线分布式系统组播用于识别移动站的识别请求,从至少一个基站接收响应于识别请求的识别响应,并且基于所述识别响应执行移动站的认证。当安装新的基站或者加入单独的基站时,执行本发明的分布式认证方法,而不需要AAA服务器,从而可以不造成安全度的损失和运营商的人力负担从而允许容易地扩展网络。
Description
技术领域
本发明一般地涉及一种无线分布式系统,具体地讲,涉及一种用于多跳(multi-hop)无线分布式系统的认证方法。
背景技术
用于控制网络装置可以访问何种资源的网络系统叫做认证、授权和计费(authentication,authorization and accounting,AAA)系统。在AAA系统环境中,试图取得网络资源的访问权的网络装置一般被称为“请求者(supplicant)”。通常,系统用户使得请求者请求访问具体的资源。然而,请求者也可自己发起对具体资源的访问尝试。这些请求者通常包括笔记本电脑、台式电脑、IP电话、虚拟专用网络(VPN)客户机、手持装置、以及可请求访问网络资源的任何其他装置。
AAA系统包括AAA客户机和AAA服务器。在AAA系统中,请求者通常试图通过AAA客户机取得对网络资源的访问权。AAA客户机一般驻留在网络元件上,如网络接入服务器(NAS)、路由器、交换机、防火墙、虚拟专用网络(VPN)集中器(concentrator)和无线接入点(WAP)。然而,AAA客户机可驻留在有助于对网络资源的访问的任何装置上。请求者尝试被发送给AAA客户机,所述AAA客户机相应地生成并且向AAA服务器发出访问请求。通常,AAA服务器通过这样的方式来处理由AAA客户机发送的访问网络资源的访问请求:维持用户资料(user profile)数据库、针对访问请求来查询数据库以验证真实性、确定授权使用的资源,以及对网络资源的使用计费。AAA客户机和AAA服务器之间的通信通过AAA消息协议(如远程身份验证拨入用户服务(RADIUS)和终端访问控制器访问控制系统(TACACS+)协议)来完成。
图1是示出传统的AAA系统的示图,在所述AAA系统中,基站(BS)121和122在从移动站(MS)131、132、133和134接收到访问请求时,通过与移动站(MS)131、132、133和134以及AAA服务器110交换消息来执行认证过程。在此传统的AAA系统中,认证功能被集中到AAA服务器110,从而BS 121和122不参与用于MS 131、132、133和134的密钥的创建。
然而,由于随着MS数目的增加,需要附加的中继基站(RBS),所以传统的AAA协议不适于多跳无线分布式系统。此外,传统的AAA系统具有这样一些缺点:在初始注册中应向中央管理器注册MS,并且由于应向中央管理器注册MS,所以附加BS的安装复杂。即使在没有AAA服务器的系统中,由于主BS应起中央管理器的作用,所以主BS承受处理负荷。
发明内容
因此,本发明的目的是解决上述问题。因而,本发明的目的在于提供一种能够由多跳远的基站支持的无线分布式系统的认证方法。
本发明的另一目的在于提供一种能够建立基站和移动站之间的共享秘密而不需要AAA服务器的参与的无线分布式系统的认证方法。
本发明的另一目的在于提供一种通过添加基站而不造成安全度的损失和运营商的人力负担从而允许容易地扩展网络的无线分布式系统的认证方法。
本发明的另一目的在于提供一种能够通过建立连接基站之间的单个共享秘密来容易地结合至少两个单独的系统的无线分布式系统的认证方法。
通过包括向基站覆盖范围内的移动站提供访问服务的至少一个基站的无线分布式系统的认证方法实现上述目的。所述认证方法包括:在未注册基站,从移动站接收认证请求;在无线分布式系统组播用于识别移动站的识别请求;从至少一个基站接收响应于识别请求的识别响应;和基于所述识别响应执行移动站的认证。
优选地,执行移动站的认证的步骤包括:确定是否有距离所述未注册基站一跳远的基站;和如果有至少一个一跳远的基站,则执行邻站支持认证。
优选地,执行移动站的认证的步骤还包括:如果没有一跳远的基站,则执行多跳支持认证。
优选地,执行邻站支持认证的步骤包括:确定所述一跳远的基站的个数是否大于1;如果所述一跳远的基站的个数大于1,则从所述一跳远的基站当中选择一个一跳远的基站为目标基站;和基于从目标基站接收的识别响应创建与MS共享的会话密钥。
优选地,执行邻站支持认证的步骤还包括:如果所述一跳远的基站的个数不大于1,则确定该一跳远的基站为目标基站。
优选地,创建会话密钥的步骤包括:将从目标基站接收的识别响应转送给移动站;从MS接收响应于识别响应的事务请求;将事务请求转送给目标基站;从目标基站接收响应于事务请求的事务响应;将事务响应转送给MS;和在所述未注册基站和移动终端,使用事务响应计算会话密钥。
优选地,事务请求包括:由移动站选择的事务标识符、移动站标识符(ID)、未注册基站ID、目标基站ID和目标基站和移动站之间共享的秘密。优选地,事务标识符是256位长。
优选地,使用由移动终端和目标基站选择的nonce、事务标识符、移动站ID、未注册基站ID和目标基站ID来对目标基站和移动站之间共享的秘密加密。优选地,每个nonce是256位长。
优选地,事务请求还包括目标基站和未注册基站之间共享的秘密。
优选地,使用由未注册基站和目标基站选择的nonce、事务标识符、目标基站ID、移动站ID和未注册基站ID来对目标基站和未注册基站之间共享的秘密加密。
优选地,从目标基站接收事务响应的步骤包括:在目标基站,计算会话密钥;和与事务响应一同发送会话密钥。优选地,事务响应包括目标基站和未注册基站之间共享的秘密以及目标基站和移动站之间共享的秘密。优选地,使用由移动站选择的nonce、目标基站ID、移动站ID和未注册基站ID来对目标基站和未注册基站之间共享的秘密加密。
优选地,使用由未注册基站选择的nonce、目标基站ID、移动站ID和未注册基站ID来对目标基站和移动站之间的秘密加密。
优选地,事务响应包括目标基站和移动站之间共享的秘密。
优选地,使用由未注册基站选择的nonce、目标基站ID、移动站ID和未注册基站ID来对目标基站和移动站之间的秘密加密。
优选地,执行多跳支持认证的步骤包括:确定多跳远的基站的个数是否大于1;如果多跳远的基站的个数不大于1,则选择发送识别响应的基站作为目标基站;确定目标基站是否具有与未注册基站共享的秘密;和如果目标基站具有与未注册基站共享的秘密,则基于从目标基站接收的识别响应创建与移动站共享的会话密钥。
优选地,执行多跳支持认证的步骤还包括:如果多跳远的基站不具有与未注册基站共享的秘密,则建立将与目标基站共享的秘密。
优选地,执行多跳支持认证的步骤还包括:如果多跳远的基站的个数大于1,则确定在发送识别响应的多跳远基站当中是否有具有与未注册基站共享的秘密的任何基站;和如果有至少一个与未注册基站共享秘密的多跳远基站,则在具有与未注册基站共享的秘密的多跳远基站当中,选择所述多跳远基站之一作为目标基站。
优选地,执行多跳支持认证的步骤还包括:如果没有与未注册基站共享秘密的多跳远的基站,则在多个多跳远的基站当中选择最近的基站作为目标基站。
附图说明
提供对本发明的进一步理解而被包括并且构成部分本申请的附图示出本发明的实施例,并且与连同描述起到解释本发明的原理的作用。在附图中:
图1是示出传统AAA系统的示图;
图2是示出根据本发明的无线分布式认证系统的示图;
图3是示出根据本发明的邻站支持(neighbor-supported)认证的示图;
图4是用于示出根据本发明的邻站支持认证方法的消息流示图;
图5是示出根据本发明的多跳支持(multi-hop-supported)认证的示图;
图6是示出根据本发明的无线分布式认证方法的流程图;
图7是详细地示出图6的邻站支持认证过程的流程图;和
图8是详细地示出图6的多跳支持认证过程的流程图。
具体实施方式
下面将参照附图描述本发明的优选实施例。在本发明的以下描述中,当对包含于此的熟知的功能和结构的详细描述因不必要的细节而使得本发明的主题不清楚时,将省略这些描述。
图2是示出根据本发明实施例的无线分布式认证系统的示图。如图2所示,无线分布式系统包括4个基站221、222、223和224,并且在初始注册中移动终端211和212分别注册到最近的基站221和222。也就是,在所述基站当中,每个基站担当认证者,从而认证功能被分布。
在图2的无线分布式系统中,可以考虑两种情形。第一种是当移动站请求与这样的基站连接时:所述移动站与该基站共享可作为共享的秘密或者由共同的认证中心导出的公共密钥证书的安全关联(security association)。第二种是当移动站请求与这样的基站连接时:所述移动站不与该基站共享秘密。在第一种情形中,使用802.11i协议(或其他密钥导出协议(key derivationprotocol))和可扩展认证协议(EAP)。在第二种情形中,本发明的认证方法可与802.11i协议(或其他密钥导出协议)结合使用。
最初将描述无共同安全关联的认证过程。当移动站要求与不共享秘密的基站连接时,基站向无线分布式系统(WDS)广播移动站标识以识别WDS内共享秘密的基站。如果没有找到所述基站,则不能认证移动站。如果找到了共享秘密的基站,则认证基站可以是一跳,即请求基站的至少一个邻站。在此实施例中,将解释两种情况下的认证过程:邻站支持(neighbor-supported)认证(认证基站距离请求基站一跳远)和多跳支持认证(认证基站距离请求基站一跳以外)。
图3是示出根据本发明的邻站支持认证的示图。如图3所示,移动站321找到用于认证移动站310的相邻基站322。
当相邻基站(neighbor base station)322与移动站310共享秘密,并且移动站321与相邻基站322共享秘密时,使用EAP的修改的Otway-Rees协议可用于认证移动站,并导出基站321和移动站310之间的全新秘密。图4是用于示出根据本发明的邻站支持认证的消息流示图。
参照图4,当在步骤S401,从MS接收到EAP-开始(EAP-START)消息时,在步骤S402,具有中继功能的基站BSR将EAP-请求-识别(EAP-REQUEST-IDENTITY)消息返回给MS。响应于EAP-请求-识别消息,在步骤S403,MS将EAP-响应-识别(EAP-RESPONSE-IDENTITY)消息发送给BSR。
当接收到EAP-响应-识别消息时,在步骤S404,BSR在无线分布式系统(WDS)内组播识别请求(Identity Request)消息,以找到所述MS先前向其注册的目标基站BST以便与MS共享秘密。
当接收到识别请求消息时,在步骤S405,BST发送包括BST的ID、在BST和MS之间共享的密钥加密EKTMS(NT,T)以及在BST和BSR之间共享的密钥的加密EKTR(NT,T)的识别响应(Identity Response)消息。E是AES-CCM加密,K是由BST生成的会话密钥,NT是由BST选择的256位nonce。
在接收到识别响应消息后,在步骤S406,BSR将识别报告(Identity Report)消息发送给MS。识别响应消息包括BST的ID以及BST和MS之间共享的密钥加密EKTMS(NT,T)。
随后,在步骤S407,MS将包括由MS选择的256位事务标识符、MS ID、BSR ID、BST ID和密钥加密EKTMS(NMS,NT,M,MS,BSR,BST,T)的事务请求(Transaction Request)消息发送给BST。在步骤S408,BSR将事务请求消息连同BSR和BST之间的密钥的加密EKTR(NMS,NT,M,T,MS,BST)转送给BST。当接收到事务请求消息时,在步骤S409,BST使用TLS-PRF来计算会话密钥k:k=TLS-PRF(M,NMS,NT,NR),然后将包括密钥加密EKTR(NMS,T,MS,BST)和EKTMS(NR,T,MS,BST)的事务响应(Transaction Response)消息发送给BSR。在步骤S410,BSR将仅包含密钥加密EKTMS(NR,T,MS,BST)的事务响应转送给MS。从而,BSR和MS计算k:k=TLS-PRF(M,NMS,NT,NR)。
在完成上述过程之后,BSR和MS执行IEEE 802.11i四次握手(four-wayhandshake)以确保只有BSR和MS知道导出的会话密钥。
如果多于一个BS对BSR做出响应,则BSR可使用任何算法来选择BST。
图5是示出根据本发明的多跳支持认证的示图。如图5所示,在WDS 500中,在距离BSR 521多于一跳远处找到BST 522。
当认证BST处于多于一跳远以外时,必须建立BST和BSR之间的秘密KT<<R(如果其不存在),以导出BSR 521和MS 510之间的全新秘密。如邻站支持认证,MS和BST必须共享秘密KT<<MS。
如果满足这两个前提条件,则多跳支持认证算法如在邻站支持认证中一样工作。如果不满足所述两个前提条件,则多跳支持认证算法必须以适当的EAP失败消息告失败。
当BSR不与请求认证的MS共享秘密时,BSR必须向相邻BS广播具有依赖厂商的跳数的所述MS的标识。每个相邻BS相应地将所述跳数减量,并且将所述消息转送给其邻站。如果WDS的成员接收到第二份所述消息,则其丢弃所述消息。
当与MS共享秘密的BS接收到广播消息时,该BS必须对所述请求BSR做出响应。如果BSR接收到对其广播消息的响应,则其选择已经共享秘密的BS作为BST。另一方面,如果BSR不与任何做出响应的BS共享秘密,则其选择对广播消息做出响应的最近的BS作为BST,并且在对所述MS做出响应之前建立将与所述BST共享的秘密。
在MS知道一些BS与BSR共享秘密的情况下,MS缓存所述结果并且以单播(unicast)而不是组播的方式发送所述请求消息。如果BSR知道一些BS与所述MS共享秘密,则所述BSR缓存所述结果,并且在下一发送将所述请求消息单播给那些BS。此外,所述BSR可缓存MS的认证结果。当所述MS试图访问具有所述认证结果的BSR时,所述BSR可直接通过传统EAP对MS进行认证。
图6是示出根据本发明的分布式认证方法的流程图。参照图6,在步骤S601,一旦BSR从MS接收到EAP开始消息,在步骤S602,BSR将EAP请求消息发送回MS,并且在步骤S603,从所述MS接收作为响应EAP请求消息的EAP响应消息。当接收到EAP响应消息时,在步骤S604,BSR在WDS中组播用于定位BST的识别请求消息。在组播识别请求消息后,在步骤S605,BSR确定是否接收到任何识别响应消息。如果在预定时间段没有识别响应消息,则BSR重发识别请求消息。重发被执行预定次数。如果从至少一个BS接收到识别响应消息,则在步骤S606,BSR确定在发送所述识别响应消息的BS当中,是否有距离BSR一跳远的BS,即相邻BS。如果有相邻BS,则在步骤S607,BSR执行邻站支持认证过程。否则,在步骤S608,BSR执行多跳支持认证过程。
图7是详细地示出图6的邻站支持认证过程的流程图。参照图7,一旦BSR进入邻站支持认证过程,在步骤S701,其对发送识别响应的相邻BS的个数NN计数,并且确定NN消息是否大于1。如果NN大于1,则在步骤S702,BSR在所述多个BS当中选择一个作为BST。可以使用各种选择算法完成BST选择。一旦BST被选择,在步骤S703,BSR将从BST接收的识别响应转送给MS。
随后,在步骤S704,BSR从MS接收事务请求消息。所述事务请求消息包括由MS选择的256位事务标识符、MS ID、BSR ID、BST ID和密钥加密EKTMS(NMS,NT,M,MS,BSR,BST,T)。然后,在步骤S705,BSR将事务请求消息发送给BST。发送的事务请求消息还包括BSR和BST之间的密钥加密EKTR(NMS,NT,M,T,MS,BST)。
当接收到事务请求消息时,在步骤S706,BST使用TLS-PRF来计算会话密钥k:k=TLS-PRF(M,NMS,NT,NR),然后发送包括密钥加密EKTR(NMS,T,MS,BST)和EKTMS(NR,T,MS,BST)的事务响应消息,从而BSR接收到所述事务响应消息,然后在步骤S707,将所述事务响应消息转送给MS。转送的事务响应消息仅包括密钥加密EKTR(NMS,T,MS,BST)。在发送事务响应消息之后,在步骤S708,BSR计算会话密钥。由BSR和MS同时计算所述会话密钥为k=TLS-PRF(M,NMS,NT,NR)。
图8是详细地示出图6的多跳支持认证过程的流程图。参照图8,一旦BSR进入多跳支持认证过程,在步骤S801,其发送识别响应消息的多跳BS的个数NM是否大于1。如果NM大于1,则在步骤S802,BSR确定是否有与自己共享秘密的任何BS。如果有与所述BSR共享秘密的任何BS,则在步骤S804,BSR选择与自己共享所述秘密的BS作为BST,然后在步骤S806,将从BST接收到的识别响应消息发送给MS。在共享秘密的BS的个数大于1的情况下,BSR可按照诸如跳数的选择参数来选择BS之一作为BST。
如果在步骤S802,没有与BSR共享秘密的BS,则在步骤S803,BSR在发送识别响应消息的BS当中选择最近的BS作为BST,然后在步骤S805,建立与BST共享的秘密。在建立所述秘密之后,在步骤S806,BSR将从共享所述秘密的BST接收到的识别响应消息转送给MS。
如果在步骤S801确定NM不大于1,则在步骤S815,BSR选择发送所述识别响应消息的仅有一个BS作为BST,然后在步骤S816,确定BST是否具有与自己共享的秘密。如果BST具有与BSR共享的秘密,则在步骤S806,BSR将从BST接收的识别响应消息转送给MS。
另一方面,如果BST不具有与BSR共享的秘密,则在步骤S805,BSR建立将与BST共享的秘密,然后在步骤S806,将从BST接收的识别响应消息转送给MS。
在转送识别响应消息之后,在步骤S807,BSR等待并且从MS接收事务请求消息。事务请求消息包括由MS选择的256位的事务标识符、MS ID、BSR ID、BST ID和密钥加密EKTMS(NMS,NT,M,MS,BSR,BST,T)。然后,在步骤S808,BSR将事务请求消息转送给BST。转送的事务请求消息还包括BSR和BST之间的密钥的加密EKTR(NMS,NT,M,T,MS,BST)。当接收到事务请求消息时,在步骤S809,BST使用TLS-PRF来计算会话密钥k:k=TLS-PRF(M,NMS,NT,NR),然后发送包括密钥加密EKTR(NMS,T,MS,BST)和EKTMS(NR,T,MS,BST)的事务响应消息,从而BSR接收到事务响应消息,然后在步骤S810,将所述事务响应消息转送给MS。转送的事务响应消息仅包括密钥加密EKTR(NMS,T,MS,BST)。在发送事务响应消息之后,在步骤S811,BSR计算会话密钥。由BSR和MS同时计算所述会话密钥为k=TLS-PRF(M,NMS,NT,NR)。
尽管已结合被认为是最实用和优选的实施例描述了本发明,应该理解本发明不限于公开的实施例,相反,本发明旨在覆盖包括在权利要求的精神和范围内的各种修改和等同配置。如上所述,本发明的分布式认证方法将认证管理发布到基站,从而可以不需要诸如AAA服务器的中心管理器而简化认证过程。
此外,由于当安装新基站或者单独的基站被加入时不需要AAA服务器地执行本发明的分布式认证方法,可以避免安全度的降级和对运营商的附加人力负担,容易地扩展网络。
此外,使用不需中心管理装置的简化认证过程,本发明的分布式认证方法可以通过建立两个基站之间的单个共享秘密来结合无线分布式系统中的至少两个单独的系统。
Claims (35)
1.一种用于包括向基站的覆盖区域中的移动站提供访问服务的至少一个基站的无线分布式系统的认证方法,所述认证方法包括:
在未注册基站,从移动站接收认证请求;
在无线分布式系统组播用于识别移动站的识别请求;
从至少一个基站接收响应于识别请求的识别响应;和
基于所述识别响应执行移动站的认证。
2.如权利要求1所述的方法,其中,执行移动站的认证的步骤包括:
确定是否有距离所述未注册基站一跳远的基站;和
如果有至少一个一跳远的基站,则执行邻站支持认证。
3.如权利要求2所述的方法,其中,执行移动站的认证的步骤还包括:
如果没有一跳远的基站,则使用多于两跳远的基站来执行多跳支持认证。
4.如权利要求2所述的方法,其中,执行邻站支持认证的步骤包括:
确定所述一跳远的基站的个数是否大于1;
如果所述一跳远的基站的个数大于1,则从所述一跳远的基站当中选择一个一跳远的基站为目标基站;和
基于从目标基站接收的识别响应创建与移动站共享的会话密钥。
5.如权利要求4所述的方法,其中,执行邻站支持认证的步骤还包括:
如果所述一跳远的基站的个数不大于1,则确定该一跳远的基站为目标基站。
6.如权利要求5所述的方法,其中,创建会话密钥的步骤包括:
将从目标基站接收的识别响应发送给移动站;
从移动站接收响应于识别响应的事务请求;
将事务请求发送给目标基站;
从目标基站接收响应于事务请求的事务响应;
将事务响应发送给移动站;和
在所述未注册基站和移动终端,使用事务响应计算会话密钥。
7.如权利要求6所述的方法,其中,事务请求包括:由移动站选择的事务标识符、移动站ID、未注册基站ID、目标基站ID和目标基站和移动站之间共享的秘密。
8.如权利要求7所述的方法,其中,事务标识符是256位长。
9.如权利要求7所述的方法,其中,使用由移动终端和目标基站选择的nonce、事务标识符、移动站ID、未注册基站ID和目标基站ID来对目标基站和移动站之间共享的秘密加密。
10.如权利要求9所述的方法,其中,每个nonce是256位长。
11.如权利要求7所述的方法,其中,事务请求还包括目标基站和未注册基站之间共享的秘密。
12.如权利要求11所述的方法,其中,使用由未注册基站和目标基站选择的nonce、事务标识符、目标基站ID、移动站ID和未注册基站ID来对目标基站和未注册基站之间共享的秘密加密。
13.如权利要求6所述的方法,其中,从目标基站接收事务响应的步骤包括:
在目标基站,计算会话密钥;和
与事务响应一同发送会话密钥。
14.如权利要求13所述的方法,其中,事务响应包括目标基站和未注册基站之间共享的秘密以及目标基站和移动站之间共享的秘密。
15.如权利要求14所述的方法,其中,使用由移动站选择的nonce、目标基站ID、移动站ID和未注册基站ID来对目标基站和未注册基站之间共享的秘密加密。
16.如权利要求14所述的方法,其中,使用由未注册基站选择的nonce、目标基站ID、移动站ID和未注册基站ID来对目标基站和移动站之间共享的秘密加密。
17.如权利要求13所述的方法,其中,事务响应包括目标基站和移动站之间共享的秘密。
18.如权利要求17所述的方法,其中,使用由未注册基站选择的nonce、目标基站ID、移动站ID和未注册基站ID来对目标基站和移动站之间共享的秘密加密。
19.如权利要求3所述的方法,其中,执行多跳支持认证的步骤包括:
确定多跳远的基站的个数是否大于1;
如果多跳远的基站的个数不大于1,则选择发送识别响应的基站作为目标基站;
确定目标基站是否具有与未注册基站共享的秘密;和
如果目标基站具有与未注册基站共享的秘密,则基于从目标基站接收的识别响应创建与移动站共享的会话密钥。
20.如权利要求19所述的方法,其中,执行多跳支持认证的步骤还包括:
如果多跳远的基站不具有与未注册基站共享的秘密,则建立将与目标基站共享的秘密。
21.如权利要求20所述的方法,其中,执行多跳支持认证的步骤还包括:
如果多跳远的基站的个数大于1,则确定在发送识别响应的多跳远基站当中是否有具有与未注册基站共享秘密的任何基站;和
如果有至少一个与未注册基站共享秘密的多跳远基站,则在具有与未注册基站共享的秘密的多跳远基站当中,选择所述多跳远基站之一作为目标基站。
22.如权利要求21所述的方法,其中,执行多跳支持认证的步骤还包括:
如果没有与未注册基站共享秘密的多跳远的基站,则在多个多跳远的基站当中选择最近的基站作为目标基站。
23.如权利要求22所述的方法,其中,创建会话密钥的步骤包括:
将从目标基站接收的识别响应转送给移动站;
从移动站接收响应于识别响应的事务请求;
将事务请求转送给目标基站;
从目标基站接收响应于事务请求的事务响应;
将事务响应转送给移动站;和
在未注册基站和移动站,使用事务响应计算会话密钥。
24.如权利要求23所述的方法,其中,事务请求包括:由移动站选择的事务标识符、移动站ID、未注册基站ID、目标基站ID以及目标基站和移动站之间共享的秘密。
25.如权利要求24所述的方法,其中,事务标识符是256位长。
26.如权利要求24所述的方法,其中,使用由移动站和目标基站选择的nonce、事务标识符、移动站ID、未注册基站ID和目标基站ID来对目标基站和移动站之间共享的秘密加密。
27.如权利要求26所述的方法,其中,每个nonce是256位长。
28.如权利要求24所述的方法,其中,事务请求还包括目标基站和未注册基站之间共享的秘密。
29.如权利要求28所述的方法,其中,使用由未注册基站和目标基站选择的nonce、事务标识符、目标基站ID、移动站ID和未注册基站ID来对目标基站和未注册基站之间共享的秘密加密。
30.如权利要求23所述的方法,其中,从目标基站接收事务响应的步骤包括:
在目标基站,计算会话密钥;和
与事务响应一同发送会话密钥。
31.如权利要求30所述的方法,其中,事务响应包括目标基站和未注册基站之间共享的秘密以及目标基站和移动站之间共享的秘密。
32.如权利要求31所述的方法,其中,使用由移动站选择的nonce、目标基站ID、移动站ID和未注册基站ID来对目标基站和未注册基站之间共享的秘密加密。
33.如权利要求31所述的方法,其中,使用由未注册基站选择的nonce、目标基站ID、移动站ID和未注册基站ID来对目标基站和移动站之间共享的秘密加密。
34.如权利要求30所述的方法,其中,事务响应包括目标基站和移动站之间共享的秘密。
35.如权利要求34所述的方法,其中,使用由未注册基站选择的nonce、目标基站ID、移动站ID和未注册基站ID来对目标基站和移动站之间共享的秘密加密。
Applications Claiming Priority (6)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US68058405P | 2005-05-13 | 2005-05-13 | |
| US60/680,584 | 2005-05-13 | ||
| KR1020060041227 | 2006-05-08 | ||
| KR10-2006-0041227 | 2006-05-08 | ||
| KR1020060041227A KR101253352B1 (ko) | 2005-05-13 | 2006-05-08 | 무선 분산 시스템의 단말 인증 방법 |
| PCT/KR2006/001787 WO2006121307A1 (en) | 2005-05-13 | 2006-05-12 | Authentication method for wireless distributed system |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101189826A true CN101189826A (zh) | 2008-05-28 |
| CN101189826B CN101189826B (zh) | 2011-11-16 |
Family
ID=37704840
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2006800165065A Expired - Fee Related CN101189826B (zh) | 2005-05-13 | 2006-05-12 | 用于无线分布式系统的认证方法 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US7756510B2 (zh) |
| JP (1) | JP4824086B2 (zh) |
| KR (1) | KR101253352B1 (zh) |
| CN (1) | CN101189826B (zh) |
Families Citing this family (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP2166792B1 (en) * | 2005-10-13 | 2014-12-10 | Mitsubishi Electric R&D Centre Europe B.V. | Method for enabling a base station to connect to a wireless telecommunication network |
| CN100591011C (zh) * | 2006-08-31 | 2010-02-17 | 华为技术有限公司 | 一种认证方法及系统 |
| KR100819056B1 (ko) | 2006-12-08 | 2008-04-02 | 한국전자통신연구원 | 광대역 무선 접속 시스템에서 초기 접속 방법 |
| US8638668B2 (en) * | 2007-04-03 | 2014-01-28 | Qualcomm Incorporated | Signaling in a cluster |
| US8711768B2 (en) * | 2008-01-16 | 2014-04-29 | Qualcomm Incorporated | Serving base station selection based on backhaul capability |
| KR101572267B1 (ko) * | 2009-06-25 | 2015-11-26 | 삼성전자주식회사 | 센서 네트워크에서 노드와 싱크간의 상호 인증 시스템 및 방법 |
| KR101683286B1 (ko) * | 2009-11-25 | 2016-12-06 | 삼성전자주식회사 | 이동통신망을 이용한 싱크 인증 시스템 및 방법 |
| US8443435B1 (en) * | 2010-12-02 | 2013-05-14 | Juniper Networks, Inc. | VPN resource connectivity in large-scale enterprise networks |
| US8856290B2 (en) * | 2011-10-24 | 2014-10-07 | General Instrument Corporation | Method and apparatus for exchanging configuration information in a wireless local area network |
| US9608962B1 (en) | 2013-07-09 | 2017-03-28 | Pulse Secure, Llc | Application-aware connection for network access client |
| IL229153B (en) * | 2013-10-30 | 2019-02-28 | Verint Systems Ltd | Systems and methods for protocol-based identification of rogue base stations |
| US11152052B1 (en) * | 2020-06-03 | 2021-10-19 | Micron Technology, Inc. | Apparatuses, systems, and methods for fuse array based device identification |
| US11188637B1 (en) * | 2020-06-28 | 2021-11-30 | Mark Lawson | Systems and methods for link device authentication |
Family Cites Families (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5550896A (en) * | 1994-06-30 | 1996-08-27 | Lucent Technologies Inc. | Authentication hierarchical structure of switching nodes for storage of authentication information |
| US7486952B1 (en) | 2000-02-09 | 2009-02-03 | Alcatel-Lucent Usa Inc. | Facilitated security for handoff in wireless communications |
| US20020174335A1 (en) * | 2001-03-30 | 2002-11-21 | Junbiao Zhang | IP-based AAA scheme for wireless LAN virtual operators |
| JP2003348072A (ja) * | 2002-05-30 | 2003-12-05 | Hitachi Ltd | 自律分散網における暗号鍵の管理方法および装置 |
| US7373508B1 (en) * | 2002-06-04 | 2008-05-13 | Cisco Technology, Inc. | Wireless security system and method |
| KR100549918B1 (ko) * | 2002-09-28 | 2006-02-06 | 주식회사 케이티 | 공중 무선랜 서비스를 위한 무선랜 접속장치간 로밍서비스 방법 |
| US7346772B2 (en) * | 2002-11-15 | 2008-03-18 | Cisco Technology, Inc. | Method for fast, secure 802.11 re-association without additional authentication, accounting and authorization infrastructure |
| EP1563665A2 (en) * | 2002-11-18 | 2005-08-17 | Hipaat Inc. | A method and system for access control |
| US7350077B2 (en) * | 2002-11-26 | 2008-03-25 | Cisco Technology, Inc. | 802.11 using a compressed reassociation exchange to facilitate fast handoff |
| CN1172489C (zh) * | 2003-01-28 | 2004-10-20 | 北京朗通环球科技有限公司 | 基于网络之间的数据通信系统及方法 |
| US20060029074A2 (en) * | 2004-02-09 | 2006-02-09 | Packethop, Inc. | ENHANCED MULTICASE FORWARDING CACHE (eMFC) |
| JP2005286989A (ja) * | 2004-03-02 | 2005-10-13 | Ntt Docomo Inc | 通信端末及びアドホックネットワーク経路制御方法 |
| US8050409B2 (en) * | 2004-04-02 | 2011-11-01 | University Of Cincinnati | Threshold and identity-based key management and authentication for wireless ad hoc networks |
| US7451316B2 (en) * | 2004-07-15 | 2008-11-11 | Cisco Technology, Inc. | Method and system for pre-authentication |
| US7477747B2 (en) * | 2005-02-04 | 2009-01-13 | Cisco Technology, Inc. | Method and system for inter-subnet pre-authentication |
| US7814322B2 (en) * | 2005-05-03 | 2010-10-12 | Sri International | Discovery and authentication scheme for wireless mesh networks |
-
2006
- 2006-05-08 KR KR1020060041227A patent/KR101253352B1/ko active IP Right Grant
- 2006-05-12 US US11/433,679 patent/US7756510B2/en active Active
- 2006-05-12 CN CN2006800165065A patent/CN101189826B/zh not_active Expired - Fee Related
- 2006-05-12 JP JP2008509945A patent/JP4824086B2/ja not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| KR101253352B1 (ko) | 2013-04-11 |
| KR20060117205A (ko) | 2006-11-16 |
| US20060276176A1 (en) | 2006-12-07 |
| CN101189826B (zh) | 2011-11-16 |
| US7756510B2 (en) | 2010-07-13 |
| JP2008547245A (ja) | 2008-12-25 |
| JP4824086B2 (ja) | 2011-11-24 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101189826B (zh) | 用于无线分布式系统的认证方法 | |
| EP2553898B1 (en) | Method and system for authenticating a point of access | |
| US7831835B2 (en) | Authentication and authorization in heterogeneous networks | |
| US7783756B2 (en) | Protection for wireless devices against false access-point attacks | |
| US8781123B2 (en) | Method for processing location information relating to a terminal connected to a packet network via a cellular network | |
| JP3869392B2 (ja) | 公衆無線lanサービスシステムにおけるユーザ認証方法および該方法をコンピュータで実行させるためのプログラムを記録した記録媒体 | |
| CN1764107B (zh) | 在建立对等安全上下文时验证移动网络节点的方法 | |
| CN102111766B (zh) | 网络接入方法、装置及系统 | |
| CN1663168B (zh) | 接入网之间互配中可传递的认证、授权和记帐 | |
| US20030084287A1 (en) | System and method for upper layer roaming authentication | |
| JP2006517359A (ja) | 無線ローカルエリアネットワークにより移動局にネットワークサービス情報を提供する方法及び装置 | |
| US8914867B2 (en) | Method and apparatus for redirecting data traffic | |
| KR100919329B1 (ko) | 모바일 네트워크에서 전자 장치들을 인증하는 방법 | |
| US9137661B2 (en) | Authentication method and apparatus for user equipment and LIPA network entities | |
| CN108599968B (zh) | 用于城市物联网的信息广播方法 | |
| JP4206954B2 (ja) | 通信システム、移動無線端末、情報管理サーバ、および無線アクセスポイント装置。 | |
| CN108183925B (zh) | 基于IoT的窄带通信方法 | |
| CN101569160B (zh) | 用于传输dhcp消息的方法 | |
| CN108495292B (zh) | 智能家居短距离设备通信方法 | |
| EP1722589B1 (en) | Authentication method for wireless distributed system | |
| WO2008148348A1 (fr) | Procédé de communication, système et station de base domestique | |
| CN102045648A (zh) | 闭合用户组白列表的发送方法、装置及系统 | |
| WO2006080079A1 (ja) | 無線ネットワークシステムおよびそのユーザ認証方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| C17 | Cessation of patent right | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20111116 Termination date: 20140512 |