CN101366258A - 用于管理分配给一对通信终端设备和基站的计数器状态的方法 - Google Patents
用于管理分配给一对通信终端设备和基站的计数器状态的方法 Download PDFInfo
- Publication number
- CN101366258A CN101366258A CNA2006800468373A CN200680046837A CN101366258A CN 101366258 A CN101366258 A CN 101366258A CN A2006800468373 A CNA2006800468373 A CN A2006800468373A CN 200680046837 A CN200680046837 A CN 200680046837A CN 101366258 A CN101366258 A CN 101366258A
- Authority
- CN
- China
- Prior art keywords
- communication
- communication network
- network element
- advance
- given
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 230000006854 communication Effects 0.000 title claims abstract description 122
- 238000004891 communication Methods 0.000 title claims abstract description 112
- 238000000034 method Methods 0.000 title claims description 16
- 238000012217 deletion Methods 0.000 claims description 7
- 230000037430 deletion Effects 0.000 claims description 7
- 230000033001 locomotion Effects 0.000 claims description 5
- 238000012544 monitoring process Methods 0.000 claims 1
- 230000008901 benefit Effects 0.000 description 4
- 230000002349 favourable effect Effects 0.000 description 3
- 238000012546 transfer Methods 0.000 description 3
- 230000006855 networking Effects 0.000 description 2
- 238000013475 authorization Methods 0.000 description 1
- 230000015556 catabolic process Effects 0.000 description 1
- 238000006731 degradation reaction Methods 0.000 description 1
- 230000001419 dependent effect Effects 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000011664 signaling Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0892—Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W24/00—Supervisory, monitoring or testing arrangements
- H04W24/08—Testing, supervising or monitoring using real traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W84/00—Network topologies
- H04W84/02—Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
- H04W84/10—Small scale networks; Flat hierarchical networks
- H04W84/12—WLAN [Wireless Local Area Networks]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Business, Economics & Management (AREA)
- Accounting & Taxation (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
通常,当相应基站上的存储位置被耗尽时,删除分配给通信终端设备和基站的通信对的计数器状态。本发明通过在出现可预先给定的准则时将计数器状态存储在另一通信网络元件上并且由此可再次调用的方式来解决该问题。
Description
本发明涉及一种用于管理计数器状态的方法。
为了推进宽带有线通信网络的兼容性和互操作性,许多感兴趣的人聚在所谓的WiMax论坛(www.wiMaxforum.org)。该论坛的目的是建立一种标准,该标准能够实现移动通信终端设备可以访问不同的通信网络。
在此规定,在通信用户的网络注册的情况下,例如根据可扩展鉴权协议(Extensible Authentication Protocol),建立成对的主密钥。根据成对的主密钥导出对每对通信终端设备和基站不同的鉴权密钥。该鉴权密钥例如被用于管理消息。在每个通信过程中、也即在从通信终端设备向基站发送消息时或者在由通信终端设备从基站接收消息时(上行链路/下行链路),提高分配给该鉴权密钥的计数器状态。因此,该计数器状态对通信终端设备和基站的确定的对是唯一的,并且因此可以被考虑用以确保通信终端设备的可靠性。这例如用于防止重放(Replay)攻击,其中未被授权的用户可能将被拦截的消息再次引入通信网络中。
为了管理所述计数器状态,基站针对每个鉴权密钥存储所属的计数器状态。然而由于在基站上用于存储所述计数器状态的存储位置有限,所以可能需要删除计数器状态。此外,计数器状态也可能以其他方式、譬如数据损失而丢失。在这样的情况下,移交(Handover)、即通信连接从一个基站向另一基站的转交在使用当前的成对主密钥的情况下不再是可能的,因为否则重放攻击不能被排除。因此,必须借助可扩展鉴权协议进行重新鉴权,以便建立新的成对主密钥,并且接着根据该成对主密钥又能导出新的鉴权密钥。这导致延迟和提高的信令,因为这种重新的鉴权不是本地地进行,而是在通信终端设备的归属网络中考虑AAA服务器(鉴权、授权、计费(Authentication,Authorization,Accouting))的情况下来进行。
因此,本发明所基于的任务是,说明对通信系统网络中的计数器状态的改进的管理,由此能够实现对基站上的有限存储位置的更为有效的管理。
根据本发明,该任务通过具有权利要求1所述特征的方法来解决。在从属权利要求中描述了本发明的有利的改进方案。
根据本发明,在用于在通信网络中管理计数器状态的方法中,计数器状态被分配给第一通信用户和第一通信网络元件。该计数器状态在第一通信用户与第一通信元件之间的通信过程中被提高。在可预先给定的准则出现时可以将计数器状态存储在第二通信网络元件中。计数器状态在此以可分配给第一通信用户和第一通信网络元件的方式被存储在第二通信网络元件中。这具有如下有利的作用:通过将计数器状态从第一通信网络元件调动至第二通信网络元件即使在第一通信网络元件上删除计数器状态之后也不需要通过AAA服务器的重新鉴权。这样,所调动的计数器状态当在移交时被需要时又从第二通信网络元件被传输到第一通信网络元件。
可预先给定的准则例如可以是可预先给定数目的通信过程或者是在第一通信网络元件中仍存在的最小存储位置。后者具有如下优点:在刚刚删除或者超过计数器状态之前仍将计数器状态存储在第二通信网络元件上。
优选地,除了计数器之外,第一通信用户的另外的鉴权信息被存储在第二通信网络元件上。这样,例如可以以有利的方式一同存储鉴权密钥上下文,该鉴权密钥上下文使以后重建鉴权密钥变得容易。
在本发明的另一有利的扩展方案中,第二通信网络元件存储在第一通信用户与第一通信网络元件之间的各个通信过程。第二通信网络元件按照第一通信用户的所存储的通信过程来监控可预先给定的准则。在出现可预先给定的准则时,第二通信网路元件在至少一个第一通信网络元件中删除给第一通信用户所分配的计数器状态或者使其删除。可替代地,第二通信网络元件促使向至少一个第一通信网络元件通知计数器状态。因此,可以以有利的方式优化在第一通信网络元件上的存储位置,因为由第二通信网络元件根据可预先给定的准则决定例如删除第一通信网络元件上的计数器状态何时是有意义的。
可预先给定的准则例如是第一通信用户的鉴权信息的有效性持续时间的可预见的或者已出现的结束。因此,当通信用户—通信网络关系的再鉴权即将来临并且因此新的计数器状态被确定时,在第一通信网络元件上的旧的计数器状态有利地被删除。
此外,可预先给定的准则可被设计为第一通信用户的新的鉴权信息,也就是说,在第一通信网络元件上的旧的鉴权信息和由此旧的计数器状态可以被删除。
此外,可预先给定的准则如此被设计,使得按照第一通信用户的运动分布图来监控该准则。这例如具有如下的有利作用,当第一通信用户的运动方向的趋势指向第一通信网络元件的有效范围之外,在第一通信网络元件上的计数器状态可以被删除,因为对该计数器状态的其它需要可以以大的概率被排除。
可预先给定的准则也可以按照第一通信用户的优先级被监控。这意味着,以有利的方式例如按照所使用的协议或者业务决定,在第一通信网络元件上删除谁的计数器状态。这样,尤其是将时间临界的业务(语音传输)优先化,因为在这样的情况下中断被用户感受为干扰。而在时间非临界的业务(如浏览网络、文件下载)中这很少被觉得是干扰,因为在那里仅仅出现短的中断,这在数据传输时仅仅导致少许较长的持续时间。
以下参照附图对实施例更为详细地阐述了本发明。其中:
图1示出了具有成对主密钥和鉴权密钥的存储位置分配的通信网络的示意图。
图1示出了与通信网络相连的通信终端设备1的示意性结构。在通信终端设备1的网络注册的情况下,在基于可扩展鉴权协议的鉴权的范围中在将AAAA服务器包括在通信终端设备1的归属网络中的情况下建立成对主密钥。该最初的主密钥被存储在所访问的通信网络的ASN-GW(接入服务网络网关(Access Service Network Gateway))5中。基于成对主密钥针对每个通信终端设备1和基站2、3、4对而导出鉴权密钥AK1、AK2、AKn。此外为了管理属于鉴权密钥的计数器,基站2、3、4为了每个鉴权密钥AK1、AK2、AKn提供鉴权密钥上下文。现在,本发明规定,AK上下文被调动到ASN-GW上。尤其是适用于计数器PN-U/D,因为该计数器不能基于成对主密钥从ASN-GW本身导出。例如在可预先给定数目的通信过程之后或者当对于基站用于存储AK上下文的本地存储位置已满时可以将AK上下文从基站对AK调动到ASN-GW上。为此在ASN-GW中设置相应的存储位置。因此,在该实施例中,第一通信用户对应于通信终端设备,第一通信网络元件对应于基站,第二通信网路元件对应于ASN-GW以及计数器状态对应于计数器PN-U和PN-D。
优选地,ASN—GW将成对主密钥分配给所存储的AK上下文,从所述成对主密钥中推导出了相应的AK上下文。如果例如由于再鉴权而删除成对主密钥,则由此导出的AK上下文同样被删除。
根据另一实施例,ASN—GW按照通信用户的所存储的通信过程跟踪通信用户的历史。这例如通过如下方式来进行:ASN—GW发现哪些基站被通信用户寻找。当成对主密钥的有效性被终止或者进行再鉴权时,ASN-GW直接在所寻找到的基站上删除所存储的AK上下文或者发送消息,其中将相应的存储器标记为可释放的。这具有如下优点,在基站上的存储器可能比允许成对主密钥和由此AK上下文的最大寿命更早地被释放。
根据另一实施变形方案,ASN-GW知道,基站最多可以存储多少AK上下文并且当前存储了多少AK上下文。如果存储位置现在变得缺乏,则ASN-GW可以利用通信用户的历史和当前对用户可用的信息作出更好的决定,以便例如找到其AK上下文可被删除的通信用户,该通信用户以比其他用户更高的概率不再回到该基站。可替代地,用于存储AK上下文的其存储位置用完的基站也可以主动将这一点通知给ASN-GW,于是ASN-GW接着将该基站上的AK上下文删除或者引起删除。在该变型方案中,ASN-GW不必一起跟踪:在基站上仍有多少用于存储AK上下文的空闲存储位置可用。
用于选择其AK上下文可以被删除的通信用户的合适准则例如是通信用户在离开基站的方向上的定向运动。此外,当前运动速度、运动空间、所访问的基站的数目或者通信用户的成对主密钥的剩余有效性持续时间可以一起被评估。
另一准则是,对于该通信用户的AK上下文在其他空间上接近的基站上已被删除,使得再鉴权无论如何都变得是必要的。这具有如下优点,在没有充足的存储位置时不必同样差地处理所有通信用户,而是通过合适地选择而保持至少几个AK上下文,所述至少几个AK上下文于是此外在给ASN-GW所分配的所有基站上可供使用。
本发明的另一优点是,所建议的解决方案可以用于迄今的通信网络协议,而不必对通信网络的各个部件进行较大修改。
本发明并不限于在此所描述的实施例。
Claims (11)
1.用于在通信网络中管理计数器状态的方法,其中
-计数器状态被分配给第一通信用户和第一通信网络元件,
-在第一通信用户与第一通信网络元件之间的通信过程中,计数器状态被提高,
-在出现预先给定的准则时能够将计数器状态存储在第二通信网络元件中,
-计数器状态以能分配给第一通信用户和第一通信网络元件的方式被存储在第二通信网络元件中。
2.根据上述权利要求中至少一项所述的方法,其中通信网络是所谓的WiMax、微波存取全球互通、无线电网络。
3.根据上述权利要求中至少一项所述的方法,其中可预先给定的准则是可预先给定数目的通信过程。
4.根据上述权利要求中至少一项所述的方法,其中可预先给定的准则是第一通信网络元件中的仍存在的最小存储位置。
5.根据上述权利要求中至少一项所述的方法,其中除了计时器状态之外,第一通信用户的其他鉴权信息被存储在第二通信网络元件中。
6.根据上述权利要求中至少一项所述的方法,其中
-第二通信网络元件存储在第一通信用户和第一通信网络元件之间的各个通信过程,
-第二通信网络元件按照第一通信用户的所存储的通信过程监控可预先给定的准则,
-以及在出现可预先给定的准则时,在至少一个第一通信网络元件中删除和/或使删除分配给第一通信用户的计数器状态或者将这一点通知给至少第一通信网络元件。
7.根据权利要求6所述的方法,其中可预先给定的准则是第一通信用户的鉴权信息的有效性持续时间的可预见的或者已出现的结束。
8.根据权利要求6所述的方法,其中可预先给定的准则是第一通信用户的新的鉴权信息。
9.根据权利要求6所述的方法,其中可预先给定的准则按照第一通信用户的运动分布图被监控。
10.根据权利要求6所述的方法,其中可预先给定的准则按照第一通信用户的优先级被监控。
11.根据上述权利要求中至少一项所述的方法,其中第一通信用户是移动用户站(MSS),第一通信网络元件是基站(BS)以及第二通信网络元件是根据WiMax标准的接入服务网络网关(ASN-GW)。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| DE200510059827 DE102005059827B4 (de) | 2005-12-14 | 2005-12-14 | Verfahren zum Verwalten eines Zählerstandes in einem Kommunikationsnetz |
| DE102005059827.7 | 2005-12-14 | ||
| PCT/EP2006/069379 WO2007068638A1 (de) | 2005-12-14 | 2006-12-06 | Verfahren zum verwalten eines zählerstandes, der einem paar von einem kommunikationendgerät und einer basisstation zugeordnet ist |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101366258A true CN101366258A (zh) | 2009-02-11 |
| CN101366258B CN101366258B (zh) | 2015-04-01 |
Family
ID=37835269
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN200680046837.3A Expired - Fee Related CN101366258B (zh) | 2005-12-14 | 2006-12-06 | 用于在通信网络中管理计数器状态的方法 |
Country Status (6)
| Country | Link |
|---|---|
| US (1) | US9143935B2 (zh) |
| EP (1) | EP1961184B1 (zh) |
| KR (1) | KR101338216B1 (zh) |
| CN (1) | CN101366258B (zh) |
| DE (1) | DE102005059827B4 (zh) |
| WO (1) | WO2007068638A1 (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| DE102008046563A1 (de) * | 2008-09-10 | 2010-03-11 | Siemens Aktiengesellschaft | Verfahren zur Datenübertragung zwischen Netzwerkknoten |
| US11792288B2 (en) * | 2019-09-09 | 2023-10-17 | Extreme Networks, Inc. | Wireless network device with directional communication functionality |
Family Cites Families (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6188905B1 (en) * | 1997-09-30 | 2001-02-13 | At&T Corp. | Intelligent dynamic channel allocation scheme for a mobile communications network |
| DE19955096B4 (de) * | 1999-11-16 | 2009-10-01 | Siemens Ag | Verfahren zur Authentifikation eines Funk-Kommunikationsnetzes gegenüber einer Mobilstation sowie ein Funk-Kommunikationsnetz und eine Mobilstation |
| US6754482B1 (en) * | 2000-02-02 | 2004-06-22 | Lucent Technologies Inc. | Flexible access authorization feature to enable mobile users to access services in 3G wireless networks |
| US6966003B1 (en) * | 2001-01-12 | 2005-11-15 | 3Com Corporation | System and method for switching security associations |
| US7178041B2 (en) * | 2001-10-18 | 2007-02-13 | Nokia Corporation | Method, system and computer program product for a trusted counter in an external security element for securing a personal communication device |
| DE10162554A1 (de) * | 2001-12-19 | 2003-07-10 | Siemens Ag | Anordnung und Verfahren zur Gebührenabbuchung |
| US7350077B2 (en) * | 2002-11-26 | 2008-03-25 | Cisco Technology, Inc. | 802.11 using a compressed reassociation exchange to facilitate fast handoff |
| CA2509150A1 (en) * | 2002-12-12 | 2004-06-24 | Huawei Technologies Co., Ltd. | A process method about the service connection between the wireless local area network and user terminal |
| KR101020913B1 (ko) * | 2003-07-28 | 2011-03-09 | 소니 주식회사 | 데이터 송신 장치, 데이터 사용 인정 방법, 데이터 수신 장치 및 방법, 및 기록 매체 |
| US20050271209A1 (en) * | 2004-06-07 | 2005-12-08 | Meghana Sahasrabudhe | AKA sequence number for replay protection in EAP-AKA authentication |
| US7596225B2 (en) * | 2005-06-30 | 2009-09-29 | Alcatl-Lucent Usa Inc. | Method for refreshing a pairwise master key |
| US7426190B2 (en) * | 2005-09-30 | 2008-09-16 | Robert Bosch Gmbh | System and method for a communication protocol for wireless sensor systems including systems with high priority asynchronous message and low priority synchronous message |
-
2005
- 2005-12-14 DE DE200510059827 patent/DE102005059827B4/de not_active Expired - Fee Related
-
2006
- 2006-12-06 US US12/086,621 patent/US9143935B2/en not_active Expired - Fee Related
- 2006-12-06 KR KR1020087016939A patent/KR101338216B1/ko active IP Right Grant
- 2006-12-06 WO PCT/EP2006/069379 patent/WO2007068638A1/de active Application Filing
- 2006-12-06 CN CN200680046837.3A patent/CN101366258B/zh not_active Expired - Fee Related
- 2006-12-06 EP EP06830420.3A patent/EP1961184B1/de not_active Not-in-force
Also Published As
| Publication number | Publication date |
|---|---|
| EP1961184B1 (de) | 2016-02-24 |
| DE102005059827A1 (de) | 2007-06-21 |
| EP1961184A1 (de) | 2008-08-27 |
| US20090327475A1 (en) | 2009-12-31 |
| DE102005059827B4 (de) | 2010-09-23 |
| WO2007068638A1 (de) | 2007-06-21 |
| KR101338216B1 (ko) | 2013-12-10 |
| KR20080087818A (ko) | 2008-10-01 |
| CN101366258B (zh) | 2015-04-01 |
| US9143935B2 (en) | 2015-09-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101656668B (zh) | 使用基于核心的节点进行状态传输的方法和装置 | |
| EP1595353B1 (en) | Methods and apparatus for the utilization of core based nodes for state transfer | |
| EP1451974B1 (en) | Policy based mechanisms for selecting access routers and mobile context | |
| CN101400054B (zh) | 保护用户终端的隐私的方法、系统和设备 | |
| EP2213138B1 (en) | Optimized security association database management on home/foreign agent | |
| EP1023474A1 (en) | Crimped multicomponent filaments and spunbond webs made therefrom | |
| CN101043741B (zh) | 一种终端空闲模式下的退网处理方法 | |
| WO1999017459A1 (en) | Method for providing subscriber record for packet data registration of mobile station | |
| US6826166B2 (en) | Wireless access system | |
| US10728744B2 (en) | Transmission outside of a home network of a state of a MEC application | |
| CN101366258B (zh) | 用于在通信网络中管理计数器状态的方法 | |
| CN101651586A (zh) | Csg信息更新的处理方法、装置以及系统 | |
| KR100194771B1 (ko) | 개인통신서비스(pcs)용 가입관리장치 및 그 방법 | |
| US20030036383A1 (en) | Support for massive subscriber profile changes in a telecommunications network | |
| CN113840277A (zh) | 用户签约数据的下载控制方法、系统以及终端、介质 | |
| CN101448289B (zh) | 用于状态传递的利用基于核心节点的方法和装置 | |
| KR20060077459A (ko) | 광대역 무선 통신망 관리 장치 및 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20150401 Termination date: 20191206 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |