CN101552985B - 一种移动通信系统切换的预认证方法 - Google Patents
一种移动通信系统切换的预认证方法 Download PDFInfo
- Publication number
- CN101552985B CN101552985B CN2009100391983A CN200910039198A CN101552985B CN 101552985 B CN101552985 B CN 101552985B CN 2009100391983 A CN2009100391983 A CN 2009100391983A CN 200910039198 A CN200910039198 A CN 200910039198A CN 101552985 B CN101552985 B CN 101552985B
- Authority
- CN
- China
- Prior art keywords
- base station
- terminal
- target
- security capabilities
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Abstract
一种移动通信系统切换的预认证方法,其在基站与基站之间建立安全通道后,当终端和当前所连接的关联基站到达切换条件时,关联基站与将切换的目标基站通过安全能力协商判断出是否有相匹配的安全能力信息,随后关联基站向目标基站发送安全参数传递通告消息,将终端与关联基站之间的安全参数向目标基站发送,目标基站接收安全参数传递通告消息,向所述终端发送预认证响应消息,与终端通过密钥协商协商出业务密钥。根据本发明方案,当终端需要切换至与目标基站连接时,无需在终端与目标基站之间重新进行一次身份认证过程,而是由关联基站将终端的安全参数传递给目标基站,既降低了切换时的切换时延,也确保了切换时的信息传输的安全性。
Description
技术领域
本发明涉及移动通信技术领域,涉及移动通信系统中的切换技术,提供一种移动通信系统中进行切换时的预认证方法。
背景技术
随着通信技术的日益发展,移动通信技术在人们生活中的应用也日益广泛,人们生活当中的各个方面都几乎应用到了移动通信技术,为了能够保证移动通信系统的正常运营操作、并能够可运营、可管理以及可计费,移动通信系统需要对接入系统的设备和用户进行认证,只有经过了认证的设备和用户,才能被允许接入系统网络、使用系统网络的资源、访问系统网络所提供的服务。在无线宽带接入系统中,一般存在三类实体:终端((Terminal))、基站(Base Station,BS)以及认证服务器(AS),其中,终端属于用户侧,基站与认证服务器属于网络侧,基站完成对终端的接入功能,认证服务器完成对基站和终端的认证。
当终端使用移动通信系统的服务时,终端需要接入网络侧的基站,在终端接入基站时,需要进行认证鉴别,对终端以及基站的身份进行认证,只有经确认是合法的终端和基站才被允许接入网络,现有技术中对终端接入基站的认证方式包括:IEEE802.16PKMv1/PKMv2协议,或者申请号为200810027928.3、200810027930.0的专利申请所公开的接入鉴别方式等等,在进行认证鉴别过程中,一般需要对设备的数字证书进行验证,在验证数字证书的过程中对签名的校验以及鉴别密钥的保密分发均采取了非对称公钥密码学算法进行运算。
终端在使用移动通信系统的服务进行移动通信时,由于终端的用户的移动性,该终端可能会移动到某个基站的覆盖区域的边缘、并进入另外一个基站的覆盖区域,此时,若使得该终端继续通过当前所连接的原基站(以下称为关联基站)接入移动通信网络,由于该关联基站的覆盖区域边缘的信号覆盖能力较弱,势必会影响该终端进行业务通信的通信质量,因此,为了能够保证业务通信的质量,需要对终端所接入的BS进行切换,使将该终端切换至与另外一个信号较强的邻居基站连接。
在现有技术的切换方式中,在进行切换时,终端先并不断开与关联基站之间的连接关系,同时与需切换至的基站(称为目标基站)建立联系,在终端与该目标BS建立联系之后,再断掉与原关联BS之间的连接关系,在软切换过程中,为了确保终端与目标BS之间信息传输的安全性,当终端接入到目标BS时,其中的一种实现方式是在终端与目标BS之间重新进行一次认证过程并建立互信关系,然后在关联基站与目标基站之间进行鉴别密钥等安全参数的共享,在这种方式中,需要终端与目标BS重新进行认证过程,重新建立终端与目标BS之间的业务密钥,如同终端重新接入移动通信网络一样,会造成一定的时延,此外,由于对安全参数的传输需要进行保密传输,目前都是采用非对称公钥密码学算法在关联基站与目标基站之间进行安全参数的保密传输,处理效率较低,切换时延较大,容易造成丢包现象,从而可能会导致终端与移动通信网络之间的通信暂时中断或者上层业务掉线的现象。
发明内容
针对上述现有技术中存在的问题,本发明的目的在于提供一种移动通信系统切换的预认证方法,其可以确保切换时的信息传输的安全性,降低切换时的切换时延,防止业务中断。
为达到上述目的,本发明采用以下技术方案:
一种移动通信系统切换的预认证方法,包括步骤:
终端当前所连接的关联基站与所述终端协商确定所述终端要切换到的目标基站;
所述关联基站向所述目标基站发送第二安全能力协商请求消息,所述第二安全能力协商请求消息中包括所述终端的安全能力信息,所述安全能力信息包括支持的安全协议信息、密码学算法套件信息;
所述目标基站接收所述第二安全能力协商请求消息,判断所述终端的安全能力与该目标基站的安全能力是否相匹配,若相匹配,所述目标基站向所述关联基站发送第二安全能力协商响应消息,所述第二安全能力协商响应消息包括所述目标基站与所述终端相匹配的安全能力信息;
所述关联基站接收所述第二安全能力协商响应消息,向所述目标基站发送安全参数传递通告消息,所述安全参数传递通告消息包括所述终端与所述关联基站之间的安全参数,所述安全参数包括所述终端与所述关联基站之间的鉴别密钥;
所述目标基站接收所述安全参数传递通告消息,向所述终端发送预认证响应消息,与所述终端通过密钥协商过程协商出业务密钥。
根据上述本发明的方案,当终端当前所连接的关联基站达到一定的切换条件时,在选择了需要切换到的目标基站之后,由关联基站与目标基站进行安全能力协商,判断终端与该目标基站的安全能力是否相匹配,若相匹配,由关联基站将终端的相应的安全参数传递给目标基站,在目标基站接收到安全参数、向终端发送预认证响应消息后,该目标基站与终端之间即共享了相同的安全参数,该目标基站即可与终端通过业务密钥协商建立该目标基站与终端之间的业务密钥,结束预认证过程,随后,终端与目标基站即可根据协商出的业务密钥进行后续的切换以及业务数据交互的过程。从而,根据本发明的切换的预认证方案,当终端需要切换至与目标基站连接时,无需在终端与目标基站之间重新进行一次身份认证过程,而是由当前与该终端相连接的关联基站将终端的安全参数传递给目标基站,降低了切换时的切换时延,同时也确保了切换时的信息传输的安全性。
附图说明
图1是本发明的预认证方法的流程示意图;
图2是在基站与基站之间建立安全通道的流程示意图。
具体实施方式
以下针对本发明的一个具体实施方式进行详细描述。
参见图1所示,是本发明的预认证方法的流程示意图,其包括步骤:
步骤S101:判断终端当前所接入的关联基站是否达到了切换条件,若是,进入步骤S102,其中,判断关联基站是否达到了切换条件时,可以是采用现有技术中的各种判断方式,该技术不在本发明的保护范围之内,其中的一种判断方式可以是:检测关联基站在终端当前所处位置处的通信质量,并将所检测的通信质量与预设阈值进行比较,判断所检测的该通信质量是否低于预设阈值,若低于该预设阈值,则判定达到了切换条件;
步骤S102:终端与关联基站通过小区选择、切换决定等协商确定出需要切换到的目标基站,启动预认证过程,进入步骤S103;
步骤S103:关联基站向所选择的目标基站发送第二安全能力协商请求消息,该第二安全能力协商请求消息中包括有该终端的安全能力信息,所述安全能力信息包括有所支持的安全协议、密码学算法套件等信息,安全协议可以是例如IEEE802.16PKMv1/PKMv2协议,或者申请号为200810027928.3、200810027930.0的专利申请所公开的接入鉴别协议等,该密码学算法套件可以是包括对称分组算法、非对称算法、签名算法、完整性校验算法等算法,随后进入步骤S104;
步骤S104:目标基站接收该第二安全能力协商请求消息,判断该第二安全能力协商请求消息中的终端的安全能力与该目标基站的安全能力是否相匹配,若相匹配,该目标基站向关联基站发送第二安全能力协商响应消息,该第二安全能力协商响应消息中包括有该目标基站与终端相匹配的安全能力信息,进入步骤S105;
步骤S105:关联基站接收该第二安全能力协商响应消息,向目标基站发送安全参数传递通告消息,该安全参数传递通告消息中包括有该关联基站与终端之间建立的安全参数,该安全参数包括关联基站与终端之间所协商建立的鉴别密钥等信息,进入步骤S106;
步骤S106:目标基站接收该安全参数传递通告消息,向终端发送预认证响应消息,该预认证响应消息中包括预认证结果,进入步骤S107;
步骤S107:终端接收预认证响应消息,与目标基站通过密钥协商建立共享的业务密钥,结束预认证过程。
根据本发明的方案,当终端当前所连接的关联基站达到了一定的切换条件时,例如通信质量低于了预设阈值时,在终端与该关联基站选择了需要切换到的目标基站之后,由关联基站与目标基站进行安全能力的协商,判断终端与该目标基站的安全能力是否相匹配,若相匹配,由关联基站将相应的安全参数传递给目标基站,在目标基站接收到安全参数、向终端发送预认证响应消息后,该目标基站与终端之间即共享了相同的安全参数,该目标基站即可与终端通过密钥协商建立该目标基站与终端之间的业务密钥,结束预认证过程,随后,终端与目标基站即可根据协商出的业务密钥进行后续的切换以及业务数据交互的过程。从而,根据本发明的切换的预认证方案,当终端需要切换至与目标基站连接时,无需在终端与目标基站之间重新进行一次身份认证过程,而是由关联基站将终端的安全参数通过关联基站与目标基站之间的安全通道传递给目标基站,降低了切换时的切换时延,同时也确保了切换时的信息传输的安全性。
其中,在上述步骤S104中,目标基站判断自身的安全能力是否与该第二安全能力协商请求消息中的终端的安全能力相匹配时,具体的方式可以是:判断该目标基站的安全能力信息与该终端的安全能力信息是否有交集,若有交集,则判定该目标基站的安全能力与该终端的安全能力相匹配,此时,在目标基站向关联基站发送的第二安全能力协商响应消息中,包括有该目标基站与终端的安全能力信息的交集,若无交集,则判定该目标基站的安全能力与该终端的安全能力不相匹配。
在本发明的上述预认证方法中,在关联基站与目标基站之间协商安全能力之后,关联基站向目标基站发送安全参数时,是通过关联基站与目标基站之间所建立的安全通道进行传输,因此,在进行本发明的移动通信系统切换的预认证过程之前,应当先在关联基站与目标基站之间建立信息传递的安全通道。
如图2所示,是基站与基站之间建立信息传递的安全通道的流程示意图,其具体包括步骤:
步骤S201:第一基站向第二基站发送第一安全能力协商请求消息,该第一安全能力协商请求消息中包括有该第一基站的安全能力信息,进入步骤S202;
步骤S202:第二基站接收该第一安全能力协商请求消息,判断自身的安全能力与该第一基站的安全能力是否相匹配,若相匹配,进入步骤S203;
步骤S203:该第二基站向第一基站发送第一安全能力协商响应消息,该第一安全能力协商响应消息中包括有该第二基站与第一基站相匹配的安全能力信息,随后进入步骤S204;
步骤S204:该第一基站接收该第一安全能力协商响应消息,启动接入身份鉴别过程,完成第一基站与第二基站之间的身份鉴别过程,协商出二者之间的安全通道鉴别密钥CAK(Channel Authorization Key),进入步骤S205;
步骤S205:该第一基站、第二基站分别根据该安全通道鉴别密钥CAK推导生成通道加密密钥CEK(Channel Encryption Key)、通道完整性密钥CIK(Channel Integrity Key),建立该第一基站与第二基站之间的安全通道。
其中,当该第一基站是当前的关联基站时,第二基站则为目标基站,当该第一基站是目标基站时,该第二基站则为当前的关联基站,且第一基站向第二基站发送第一安全能力协商请求消息时,可以是通过点对点的方式发送。
此外,考虑到目前的移动通信系统的网络均符合蜂窝结构,基站通常只需要跟其相邻的邻居基站进行通信,因此,基站可以只需要跟其邻居基站建立互信关系和安全通道,而不需要同其他所有的基站建立互信关系和安全通道,以降低建立基站间的互信关系和安全通道的维护资源和成本。鉴于此,上述第一基站与第二基站可以是互为邻居关系。
在上述步骤S202中,第二基站判断自身的安全能力是否与该第一基站的安全能力相匹配时,具体的方式可以是:判断该第二基站的安全能力信息与第一基站的安全能力信息是否有交集,若有交集,则判定该第二基站的安全能力与第一基站的安全能力相匹配,此时,在所述第一安全能力协商响应消息中包括有二者的安全能力信息的交集,若无交集,则判定该第二基站的安全能力与第一基站的安全能力不相匹配。
此外,在步骤S204中,第一基站与第二基站二者之间完成接入身份鉴别、协商建立二者之间的安全通道鉴别密钥的过程可以是与现有技术中的相同,在此不予多加赘述。在步骤S205中,第一基站、第二基站分别根据该安全通道鉴别密钥CAK推导生成通道加密密钥CEK、通道完整性密钥CIK的过程是不可逆操作,且可以是采用与现有技术中相同的方式进行。
以下自相互通信的两个基站之间建立安全通道开始,对本发明的方案进行详细描述,且在下述说明中,以根据关联基站的通信质量来判断是否达到切换条件来进行说明。
根据如上所述,鉴于目前的移动通信系统的网络均符合蜂窝结构,基站通常只需要跟其相邻的邻居基站进行通信,因此,基站可以只需要与其邻居基站建立互信关系和安全通道,而不需要同其他所有的基站建立互信关系和安全通道,以降低建立基站间的互信关系和安全通道的维护资源和成本。因此,在下述说明中,以相邻的两个邻居基站之间建立安全通道进行说明。
当在相邻的两个邻居基站之间建立安全通道时,具体的过程可以是:
第一基站向与其相邻的第二基站发送第一安全能力协商请求消息,该第一安全能力协商请求消息中包括有该第一基站的安全能力信息,这里的安全能力信息包括所支持的安全协议信息以及密码学算法套件信息等信息,该安全协议可以是IEEE 802.16PKMv1/PKMv2协议,或者申请号为200810027928.3、200810027930.0的专利申请所公开的接入鉴别方式等,该密码学算法套件信息可以是包括对称分组算法、非对称算法、签名算法、完整性校验算法等等,其中,第一基站向第二基站发送该第一安全能力协商请求消息时,可以是通过点对点的方式发送,当该第一基站是新接入移动通信网络的基站时,也可以是通过多播的方式发送;
第二基站接收到该第一安全能力协商请求消息后,判断自身的安全能力与该第一安全能力协商请求消息中的该第一基站的安全能力是否相匹配,若相匹配,则向第一基站发送第一安全能力协商响应消息,该第一安全能力协商响应消息中包括有第二基站与第一基站相匹配的安全能力信息,若不相匹配,则向第一基站发送安全能力协商响应失败消息,其中,第二基站判断自身的安全能力与第一基站的安全能力是否相匹配的方式具体可以是:判断自身的安全能力信息与该第一基站的安全能力信息是否有交集,若有交集,则判定二者的安全能力相匹配,此时,该第一安全能力协商响应消息中包括有第一基站与第二基站的安全能力信息的交集,若无交集,则判定二者的安全能力不相匹配;
第一基站接收到第一安全能力协商消息后,启动第一基站与第二基站之间的接入身份鉴别过程,完成第一基站与第二基站之间的身份鉴别,并同时协商建立二者之间的安全通道鉴别密钥CAK,其中,第一基站与第二基站的接入身份鉴别、以及协商安全通道鉴别密钥CAK的方式可以与现有技术中的相同,例如可以采用IEEE 802.16e中的方式、或者申请号为200810027928.3、200810027930.0中所公开的方式进行接入身份鉴别等等;
在第一基站与第二基站通过接入身份鉴别、并协商出安全通道鉴别密钥CAK之后,该第一基站、第二基站分别采用相同的方式根据该安全通道鉴别密钥CAK推导生成通道加密密钥CEK和通道完整性密钥CIK,建立第一基站与第二基站之间的安全通道,该通道加密密钥CEK用于完成对要传输的数据的加密,通道完整性密钥CIK用于保证所传输的数据的完整性以及信息发出者的不可抵赖性。其中,第一基站、第二基站在根据安全通道鉴别密钥CAK推导生成通道加密密钥CEK和通道完整性密钥CIK的过程为不可逆操作,且可以是结合其他的标识性信息,例如随机数、标识性字段等等,通过不可逆的计算操作得到。
在第一基站与第二基站之间通过通道加密密钥CEK、通道完整性密钥CIK建立了二者之间的安全通道之后,在后续的用户移动通信的过程中,即可根据该相邻的两个基站之间所建立的安全通道进行安全参数的传递、进行本发明方法中的切换时的预认证过程,减少切换时的延时。
当终端需要接入移动通信网络以使用移动通信网络的业务时,通过认证鉴别协议(例如IEEE 802.16PKMv1/PKMv2协议,或者申请号为200810027928.3、200810027930.0的专利申请所公开的接入鉴别方式等)完成终端与关联基站之间的身份鉴别,且终端与关联基站协商出二者之间的鉴别密钥AK(AuthorizationKey),从而可以使用该鉴别密钥AK衍生和推导出其他的相关密钥、或者是保护其他密钥的分发,例如关联密钥加密密钥、关联密钥鉴别密钥等等,即当终端接入到关联基站时,就已经协商生成了终端与关联基站之间的该鉴别密钥AK,因此,在下述的描述中,将该鉴别密钥AK称为关联AK。
当用户在移动行进过程中进行移动通信业务的业务数据交互时,该用户所持有的移动终端(称为终端)检测其当前所连接的关联基站的通信质量,并将检测所得的通信质量与预设阈值相比较,当检测所得的通信质量低于预设阈值时,说明用户已经移动行进到当前关联基站的边缘区域,应当对该终端所接入的基站进行切换,以获得更好的通信质量,此时,该终端、关联基站通过小区选择、切换决定等过程协商确定出该终端将要切换到的目标基站,随后启动预认证过程。其中,小区选择、切换决定等确定目标基站的方式与现有技术中的相同。
根据如上所述,当终端接入移动通信网络时,终端即与所连接的关联基站通过认证鉴别协议,并协商出了关联AK,建立了二者之间的互信关系,且关联基站与其相通信的邻居基站也通过相互之间的安全通道建立了互信关系,因此,通过信任传递的理论,在终端接入到关联基站时,终端与关联基站建立了互信关系,就相当于该终端与该关联基站的各邻居基站之间也建立了互信关系,即,在真正进行小区切换之前,终端、关联基站、目标基站之间就已经建立了相互之间的互信关系,所以,在需要进行小区切换时,将终端与关联基站之间的安全参数,例如关联基站与终端之间共享的关联AK及其属性等参数,安全传输到目标基站即可,从而实现终端与目标基站之间的关联参数的共享,以实现快速切换中的预认证。
在选择了要切换到的目标基站之后,该关联基站向该选择的目标基站发送第二安全能力协商请求消息,该第二安全能力协商请求消息中包括有该终端的安全能力信息,这里的安全能力信息包括有支持的安全协议信息以及密码学算法套件信息等信息,所支持的安全协议可以是例如IEEE 802.16PKMv1/PKMv2协议等协议,密码学算法套件可以是包括对称分组算法、非对称算法、签名算法、完整性校验算法等等。
目标基站接收该第二安全能力协商请求消息后,判断该第二安全能力协商请求消息中的终端的安全能力与其自身的安全能力是否相匹配,即判断终端的安全能力与目标基站的安全能力是否相匹配,若相匹配,则向关联基站发送第二安全能力协商响应消息,该第二安全能力协商响应消息中包括有目标基站与终端相匹配的安全能力信息,若不相匹配,则向关联基站发送第二安全能力协商响应失败消息,预认证过程失败,从而,关联基站可以通过其他的方式向目标基站传递安全参数,该方式与本发明的方案无关,在此不予阐述。
其中,目标基站判断终端的安全能力与该目标基站的安全能力是否相匹配时,具体的方式可以是:判断该终端的安全能力信息与该目标基站的安全能力信息是否有交集,若有交集,则判定终端与目标基站二者之间的安全能力相匹配,此时,所述第二安全能力协商响应消息中包括有该终端与该目标基站的安全能力信息的交集,若无交集,则判定终端与目标基站二者之间的安全能力不相匹配。
在关联基站接收到第二安全能力协商响应消息后,该关联基站向目标基站发送安全参数传递通告消息,该安全参数传递通告消息中包括有终端与关联基站之间在接入认证鉴别时所建立的安全参数,这里的安全参数包括终端与关联基站之间的关联AK。
其中,关联基站向目标基站发送该安全参数传递通告消息时,该安全参数传递通告消息是通过关联基站与目标基站之间所建立的安全通道进行传输,该安全参数传递通道消息具体可以包括:终端的身份信息、关联基站的身份信息、目标基站的身份信息、重发计数信息、关联AK密文、关联AK属性、以及安全参数传递通告消息的消息鉴别码等信息。
其中,在通过关联基站与目标基站之间的安全通道发送安全参数传递通告消息时,为了实现安全参数传递的安全性,根据该安全通道传递数据的方式的不同,可以采用不同的方式,例如:
使用该关联基站与目标基站之间的通道完整性密钥对所需要发送的所有的信息计算完整性校验码,并将该计算所得的完整性校验码附加于所述信息、使用通道加密密钥加密后发送给目标基站,目标基站接收后,使用本地计算所得的通道加密密钥进行解密,然后使用本地推导生成的通道完整性密钥对解密后的信息计算完整性校验码,并比较该计算所得的完整性校验码与附加于所述信息的完整性校验码的一致性,若一致,则说明信息被完整接收,未被篡改,若不一致,则说明信息被篡改或者信息传输发生错误,可予以丢弃;
或者是:使用该关联基站与目标基站之间的通道加密密钥对所需要发送的所有的信息进行加密,然后使用二者之间的通道完整性密钥对加密后的信息计算完整性校验码,并将该计算所得的完整性校验码附加于所述加密后的信息后向目标基站发送,目标基站接收后,使用本地推导生成的通道完整性密钥对所接收到的信息计算完整性校验码,比较该计算所得的完整性校验码与附加于所述加密后的信息的完整性校验码的一致性,若一致,则说明信息被完整接收,未被篡改,可使用通道加密密钥对该加密的信息进行解密,以获得安全参数等相关信息,若不一致,则说明信息被篡改或者信息传输发生错误,可将该信息予以丢弃;
或者是:考虑到关联基站向目标基站传送安全参数传递通告消息时,其中所包含的某些类别的信息是关键性信息,需要有较高的安全性,例如关联AK等,而对于某些类别的信息而言,安全性要求相对较低,例如关联基站的身份信息等等,因此,可以仅对其中的关键性信息,例如关联AK等进行加密和附加完整性校验码,在目标基站接收后,仅对该关键性信息进行解密和完整性校验即可。在本发明的其中一种采用该方式的安全参数传递通告消息中,其字段格式具体可以包括:用户端的身份信息、关联基站的身份信息、目标基站的身份信息、使用通道加密密钥CEK对关联AK进行加密所得的关联AK密文、关联AK的属性信息、以及该安全参数传递通告消息的消息鉴别码等信息,其中,该关联AK的属性信息可以是包括该关联AK的SAID、密钥索引、密钥剩余有效期、终端与关联基站的新鲜性标识等信息,该消息鉴别码可以根据前述所有信息、采用通道完整性密钥CIK计算生成,用来验证所发送的消息的完整性以及不可抵赖性。
目标基站接收上述安全参数传递通道消息后,使用通道加密密钥CEK的解密、通道完整性密钥CIK的完整性校验之后,获得关联鉴别密钥(关联AK),具体的解密、完整性校验的先后方式与关联基站的消息生成方式相关,例如针对上述第一种方式,是先解密再对信息完整性进行校验,上述第二种方式则是先进行完整性校验再进行解密,对上述第三种方式,在对完整性校验之后,直接采用通道加密密钥CEK对关联AK密文进行解密即可得到关联AK,在得到关联AK后,该目标基站可根据该关联AK推导生成关联密钥加密密钥(关联KEK)、和关联消息鉴别密钥(关联MAK),该目标基站可以是根据该关联AK,结合用户端与关联基站的新鲜性标识等标识性信息推导生成该KEK和MAK。
在目标基站获得上述关联KEK、关联MAK等安全参数后,向终端发送预认证响应消息,该预认证响应消息中包括有:终端的身份信息、关联基站的身份信息、目标基站的身份信息、重发计数信息、预认证结果信息、以及预认证响应消息的消息鉴别码,其中,重发计数信息用于实现计数功能,用于防止消息的重复发送,该重发计数信息与上述安全参数传递通告消息中的重发计数信息相同,该预认证结果用于标识预认证的结果为成功或者失败,消息鉴别码是使用关联鉴别密钥(关联AK)推导得出的消息鉴别密钥计算得到。
至此,终端与目标基站之间共享了安全参数,终端与目标基站即可通过业务密钥协商建立二者之间的业务密钥,其中,业务密钥协商的具体方式可以是采用现有技术中的方式,例如采用IEEE 802.16PKMv2协议中的方式,或者是申请号为200810027928.3或者200810027930.0中所公开的方式等等,在此不予赘述。
在终端与目标基站之间共享了关联AK等安全参数、协商出业务密钥之后,即完成了本发明的预认证过程,可进入后续的基站切换、以及切换后的业务数据交互等过程。
根据上述本发明具体实施例中的描述,在相互通信的两个基站之间建立了安全通道之后,在进行本发明的预认证方法的过程中,关联基站向目标基站发送安全参数传递通告消息时,是通过关联基站与目标基站之间所建立的安全通道进行传递,即通过通道完整性密钥实现所传输的消息的完整性和不可抵赖性,通过通道加密密钥实现对所传输的消息的加解密,由于关联基站与目标基站是通过二者之间的所建立的相同的通道加密密钥CEK实现加解密过程,采用的是对称的加解密方式,相对于非对称的加解密方式而言,处理效率高,从而消息生成与消息接收时的时延也相对减少,减少了切换时的切换时延,此外,由于是通过关联基站与目标基站之间建立的安全通道进行传输,同时也确保了切换时的信息传输的安全性。
以上所述的本发明实施方式,仅仅是对本发明的其中一个具体实施方式的详细说明,并不构成对本发明保护范围的限定。任何在本发明的精神和原则之内所作的修改、等同替换和改进等,均应包含在本发明的权利要求保护范围之内。
Claims (10)
1.一种移动通信系统切换的预认证方法,包括步骤:
终端当前所连接的关联基站与所述终端协商确定所述终端要切换到的目标基站;
所述关联基站向所述目标基站发送第二安全能力协商请求消息,所述第二安全能力协商请求消息中包括所述终端的安全能力信息,所述安全能力信息包括支持的安全协议信息、密码学算法套件信息;
所述目标基站接收所述第二安全能力协商请求消息,判断所述终端的安全能力与该目标基站的安全能力是否相匹配,若相匹配,所述目标基站向所述关联基站发送第二安全能力协商响应消息,所述第二安全能力协商响应消息包括所述目标基站与所述终端相匹配的安全能力信息;
所述关联基站接收所述第二安全能力协商响应消息,向所述目标基站发送安全参数传递通告消息,所述安全参数传递通告消息包括所述终端与所述关联基站之间的安全参数,所述安全参数包括所述终端与所述关联基站之间的鉴别密钥;
所述目标基站接收所述安全参数传递通告消息,向所述终端发送预认证响应消息,与所述终端通过密钥协商过程协商出业务密钥。
2.根据权利要求1所述的移动通信系统切换的预认证方法,其特征在于:在进行所述预认证方法之前,还包括步骤:
第一基站向第二基站发送第一安全能力协商请求消息,所述第一安全能力协商请求消息包括所述第一基站的安全能力信息;
所述第二基站接收所述第一安全能力协商请求消息,判断该第二基站的安全能力与所述第一基站的安全能力是否相匹配,若相匹配,向所述第一基站发送第一安全能力协商响应消息,所述第一安全能力协商响应消息包括所述第一基站与所述第二基站相匹配的安全能力信息;
所述第一基站接收所述第一安全能力协商响应消息,启动接入身份鉴别过程、与所述第二基站完成接入身份鉴别,并协商出安全通道鉴别密钥;
所述第一基站、所述第二基站分别通过所述安全通道鉴别密钥推导生成通道加密密钥、通道完整性密钥;
所述第一基站为所述关联基站或者所述目标基站,所述第二基站为所述目标基站或者所述关联基站。
3.根据权利要求2所述的移动通信系统切换的预认证方法,其特征在于,还包括:所述关联基站使用所述通道加密密钥对所述安全参数进行加密。
4.根据权利要求1所述的移动通信系统切换的预认证方法,其特征在于,所述判断终端的安全能力与所述目标基站的安全能力是否相匹配的方式包括:
判断所述终端的安全能力信息与所述目标基站的安全能力信息是否有交集,若有交集,判定所述终端的安全能力与所述目标基站的安全能力相匹配,若无交集,判定所述终端的安全能力与所述目标基站的安全能力为不相匹配。
5.根据权利要求2所述的移动通信系统切换的预认证方法,其特征在于:所述第二基站判断该第二基站的安全能力是否与所述第一基站的安全能力相匹配的方式包括:
判断所述第二基站的安全能力信息与所述第一基站的安全能力信息是否有交集,若有交集,则判定所述第二基站的安全能力与所述第一基站的安全能力相匹配,若没有交集,则判定所述第二基站的安全能力与所述第一基站的安全能力不相匹配。
6.根据权利要求2所述的移动通信系统切换的预认证方法,其特征在于:所述通过所述安全通道鉴别密钥推导生成通道加密密钥、通道完整性密钥的过程为不可逆操作。
7.根据权利要求1至6任意一项所述的移动通信系统切换的预认证方法,其特征在于,还包括:
当所述目标基站的判断结果为不相匹配时,向所述关联基站发送安全能力协商失败的消息。
8.根据权利要求1至6任意一项所述的移动通信系统切换的预认证方法,其特征在于,所述密码学算法套件包括:对称分组算法、非对称算法、签名算法、完整性校验算法。
9.根据权利要求1至6任意一项所述的移动通信系统切换的预认证方法,其特征在于:所述安全参数传递通告消息还包括:所述终端的身份信息、所述关联基站的身份信息、所述目标基站的身份信息、重发计数信息、以及该安全参数传递通告消息的消息鉴别码。
10.根据权利要求1至6任意一项所述的移动通信系统切换的预认证方法,其特征在于,所述预认证响应消息包括:所述终端的身份信息、所述关联基站的身份信息、所述目标基站的身份信息、预认证结果、重发计数信息、以及所述预认证响应消息的消息鉴别码。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2009100391983A CN101552985B (zh) | 2009-05-05 | 2009-05-05 | 一种移动通信系统切换的预认证方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2009100391983A CN101552985B (zh) | 2009-05-05 | 2009-05-05 | 一种移动通信系统切换的预认证方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101552985A CN101552985A (zh) | 2009-10-07 |
| CN101552985B true CN101552985B (zh) | 2011-04-06 |
Family
ID=41156904
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2009100391983A Expired - Fee Related CN101552985B (zh) | 2009-05-05 | 2009-05-05 | 一种移动通信系统切换的预认证方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101552985B (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109417470A (zh) * | 2016-09-19 | 2019-03-01 | 华为技术有限公司 | 密钥协商方法及装置 |
Families Citing this family (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101945388A (zh) * | 2010-10-14 | 2011-01-12 | 杭州华三通信技术有限公司 | 无线漫游认证方法、无线漫游方法及其装置 |
| WO2012092858A2 (zh) * | 2012-01-04 | 2012-07-12 | 华为技术有限公司 | X2安全通道建立方法与系统、以及基站 |
| US10624005B2 (en) | 2013-08-08 | 2020-04-14 | Nokia Technologies Oy | Method and apparatus for proxy algorithm identity selection |
| CN105101321B (zh) * | 2014-05-20 | 2020-01-14 | 中兴通讯股份有限公司 | 小区重选方法、装置及系统 |
| CN108271154B (zh) * | 2017-01-03 | 2022-04-15 | 中兴通讯股份有限公司 | 一种认证方法及装置 |
| WO2019019121A1 (zh) * | 2017-07-27 | 2019-01-31 | 华为技术有限公司 | 小区切换方法和装置 |
| US20200205180A1 (en) * | 2017-08-10 | 2020-06-25 | Guangdong Oppo Mobile Telecommunications Corp., Ltd. | Wireless Communication Method and Network Node |
-
2009
- 2009-05-05 CN CN2009100391983A patent/CN101552985B/zh not_active Expired - Fee Related
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109417470A (zh) * | 2016-09-19 | 2019-03-01 | 华为技术有限公司 | 密钥协商方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101552985A (zh) | 2009-10-07 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101552985B (zh) | 一种移动通信系统切换的预认证方法 | |
| CN101682931B (zh) | 移动台、基站及流量加密密钥的产生方法 | |
| CN101552984B (zh) | 一种移动通信系统的基站的安全接入方法 | |
| KR101038096B1 (ko) | 바이너리 cdma에서 키 인증 방법 | |
| CN101600203B (zh) | 一种安全服务的控制方法及无线局域网终端 | |
| CN101222322B (zh) | 一种超级移动宽带系统中安全能力协商的方法 | |
| US20100211790A1 (en) | Authentication | |
| CN101212798B (zh) | 支持快速切换的预认证方法 | |
| CN101867530A (zh) | 基于虚拟机的物联网网关系统及数据交互方法 | |
| CN100373843C (zh) | 一种无线局域网中密钥协商方法 | |
| CN1937489A (zh) | 一种网络密钥管理及会话密钥更新方法 | |
| CN101689990A (zh) | 流量加密密钥的产生方法 | |
| CN105828332A (zh) | 一种无线局域网认证机制的改进方法 | |
| CN105323754B (zh) | 一种基于预共享密钥的分布式鉴权方法 | |
| CN101931955A (zh) | 认证方法、装置及系统 | |
| CN101783800A (zh) | 一种嵌入式系统安全通信方法、装置及系统 | |
| WO2012031510A1 (zh) | 一种实现安全密钥同步绑定的方法及系统 | |
| CN100370772C (zh) | 一种无线局域网移动终端接入的方法 | |
| CN101895882A (zh) | 一种WiMAX系统中的数据传输方法、系统及装置 | |
| CN100544253C (zh) | 无线局域网移动终端的安全重认证方法 | |
| CN101969639B (zh) | 一种多级证书和多种认证模式混合共存接入认证方法和系统 | |
| CN108882233B (zh) | 一种imsi的加密方法、核心网和用户终端 | |
| CN1964259B (zh) | 一种切换过程中的密钥管理方法 | |
| CN101193427A (zh) | 支持快速切换的预认证方法 | |
| CN100499899C (zh) | 一种防止重放攻击的方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20110406 Termination date: 20200505 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |