CN102026191A - 一种避免重鉴权失败的方法及基站 - Google Patents
一种避免重鉴权失败的方法及基站 Download PDFInfo
- Publication number
- CN102026191A CN102026191A CN2009101714953A CN200910171495A CN102026191A CN 102026191 A CN102026191 A CN 102026191A CN 2009101714953 A CN2009101714953 A CN 2009101714953A CN 200910171495 A CN200910171495 A CN 200910171495A CN 102026191 A CN102026191 A CN 102026191A
- Authority
- CN
- China
- Prior art keywords
- base station
- message
- triggering message
- terminal
- current operation
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Mobile Radio Communication Systems (AREA)
Abstract
本发明公开了一种避免重鉴权失败的方法及基站,涉及WiMAX技术。本发明方法,适用于全球微波互联接入系统,该方法包括:在重鉴权过程中,基站向终端发送状态回退保护的触发消息后,若所述基站在设定时间内收到所述终端对所述触发消息的重传请求,则所述基站确认当前操作异常,重新向所述终端发送所述触发消息以进行状态回退保护,若所述基站在设定时间内未收到所述终端对所述触发消息的重传请求,则确认当前操作正常,进入后续流程。采用本发明技术方案,可以使得重鉴权后,终端发起切换时,不会因为鉴权密钥不一致而导致切换失败。
Description
技术领域
本发明涉及WiMAX(Worldwide Interoperability for Microwave Access,全球微波互联接入)技术,特别涉及一种避免重鉴权失败的方法及基站。
背景技术
WiMAX标准是IEEE标准组织制定的宽带无线接入标准,在WiMAX网络中,主要由移动终端(MS),基站(BS),接入网关(AGW),鉴权授权计费(AAA)等网元组成,如图1所示,其中,BS通过R6接口和AGW联接,AGW和AAA通过R3口进行连接。
在WiMAX系统中,终端和AAA之间通过EAP(可扩展的身份验证协议)进行鉴权和重鉴权。鉴权和重鉴权成功后,AAA和MS之间产生主会话密钥(MSK),AAA通过标准的Radius报文将MSK传递给位于AGW上的鉴权者(Authenticator)功能实体。Authenticator功能实体通过特定算法从MSK上推导出成对主密钥(PMK),从PMK上推导出鉴权密钥(AK)并通过R6报文将AK传递给BS。当MS和BS之间完成空口的SA-TEKRequest/Response消息的三步握手后,终端和BS相互确认了AK的有效性。MS和BS分别激活本地保存的鉴权密钥AK。在重鉴权过程中,在完成三步握手后,BS会通过消息通知Authenticator激活新的AK,同时删除老的PMK。
在终端和BS的三步握手过程中,由于空口的不可靠性或者其它异常,有可能最后一条消息SA-TEK-Response消息发送失败或者消息校验失败,从而导致了MS和BS以及Authenticator之间对于新产生的AK可能存在不一致的状态。在此期间,如果终端恰好发生了切换,此时由于MS和Authenticator之间AK的不一致,将必然导致后续所有切换,重接入的失败。
发明内容
本发明所要解决的技术问题是,提供一种避免重鉴权失败的方法及基站,可以保证重鉴权流程正常。
为了解决上述问题,本发明公开了一种避免重鉴权失败的方法,适用于全球微波互联接入系统,该方法包括:
在重鉴权过程中,基站向终端发送状态回退保护的触发消息后,若所述基站在设定时间内收到所述终端对所述触发消息的重传请求,则所述基站确认当前操作异常,重新向所述终端发送所述触发消息以进行状态回退保护,若所述基站在设定时间内未收到所述终端对所述触发消息的重传请求,则确认当前操作正常,进入后续流程。
进一步地,上述方法中,所述基站在设定时间内收到所述终端对所述触发消息的重传请求时,所述基站进一步判断在所述设定时间内收到所述重传请求的次数是否达到设定值,如果是,则确认当前操作失败,否则确认当前操作异常,重新向所述终端发送所述触发消息以进行状态回退保护。
进一步地,上述方法中,所述状回退保护的触发消息指,重鉴权过程中无需反馈响应的消息。
其中,所述状回退保护的触发消息为SA-TEK-Response消息。
所述基站确认当前操作正常,进入的后续流程指:
所述基站通知鉴权者功能实体重鉴权成功,并激活重鉴权过程中生成的新的鉴权密钥。
或者,所述状回退保护的触发消息为可扩展的身份验证协议(EAP)传送消息。
所述基站确认当前操作正常,进入的后续流程指:
所述基站通知所述终端启动三步握手流程。
本发明还公开了一种避免重鉴权失败的基站,适用于全球微波互联接入系统,该基站包括判断单元以及处理单元,其中:
判断单元,用于判断在设定时间内本基站是否收到所述终端对所述触发消息的重传请求,并将判断结果发送给所述处理单元;
所述处理单元,用于在重鉴权过程中,向终端发送状态回退保护的触发消息,以及用于接收所述判断结果发送的判断结果,若所接收的判断结果是本基站在设定时间内收到所述终端对所述触发消息的重传请求,则确认当前操作异常,重新向所述终端发送所述触发消息以进行状态回退保护,若所接收的判断结果是本基站在设定时间内未收到所述终端对所述触发消息的重传请求,则确认当前操作正常,进入后续流程。
进一步地,上述基站中,所述判断单元,还用于判断本基站在所述设定时间内收到所述重传请求的次数是否达到设定值,并将判断结果发送给所述处理单元;
所述处理单元,若接收的判断结果是本基站在所述设定时间内收到所述重传请求的次数达到设定值,则确认当前操作失败,若接收的判断结果是本基站在所述设定时间内收到所述重传请求的次数未达到设定值,则确认当前操作异常,重新向所述终端发送所述触发消息以进行状态回退保护。
进一步地,上述基站中,所述状回退保护的触发消息指,重鉴权过程中无需反馈响应的消息。
其中,所述状回退保护的触发消息为SA-TEK-Response消息。
所述处理单元确认当前操作正常,进入的后续流程指:
通知鉴权者功能实体重鉴权成功,并激活重鉴权过程中生成的新的鉴权密钥。
或者,所述状回退保护的触发消息为可扩展的身份验证协议(EAP)传送消息。
所述处理单元确认当前操作正常,进入的后续流程指:
通知所述终端启动三步握手流程。
采用本发明技术方案,可以使得重鉴权后,终端发起切换时,不会因为鉴权密钥不一致而导致切换失败。
附图说明
图1为现有WiMAX系统的网络架构示意图;
图2为本发明主要构思的示意图;
图3为本实施例中重鉴权流程图。
具体实施方式
本发明的主要构思是,在重鉴权过程中,当基站向终端发送状态回退保护的触发消息(即现有标准中规定收到该消息的终端无需返回空口响应消息)时,基站通过判断在设定时间内是否收到终端发送的重传请求以进行状态回退保护,如图2所示,即当基站收到重传请求时,基站则认为当前操作异常了,基站向终端重新发送状态回退保护的触发消息以达到状态回退保护,当前流程暂时不再继续;当基站未收到重传请求时,基站则认为当前操作正常,按照现有流程进入下一步骤的操作。
下面结合附图及具体实施例对本发明技术方案作进一步详细说明。
一种避免重鉴权失败的基站,应用于WiMAX系统,该基站至少包括判断单元以及处理单元。下面介绍各单元的功能。
判断单元,用于判断在设定时间内(本实施例中采用定时器实现)本基站是否收到终端对状态回退保护的触发消息的重传请求,并将判断结果发送给所述处理单元;
处理单元,用于在重鉴权过程中,向终端发送状态回退保护的触发消息,以及用于接收判断结果发送的判断结果,若所接收的判断结果是本基站在设定时间内收到终端对触发消息的重传请求,则确认当前操作异常,重新向终端发送触发消息以进行状态回退保护,若所接收的判断结果是本基站在设定时间内未收到终端对触发消息的重传请求,则确认当前操作正常,进入后续流程;
在具体应用中,上述状态回退保护的触发消息是指重鉴权过程中无需反馈响应的消息,如SA-TEK-Response消息、EAP Transfer(传送)消息等。
在其他实施例中,当判断单元判断在设定时间内本基站收到终端对所述触发消息的重传请求时,判断单元还可以进一步地判断本基站在所述设定时间内收到所述重传请求的次数是否达到设定值,并将判断结果发送给所述处理单元,此时,当处理单元接收的判断结果是本基站在设定时间内收到重传请求的次数达到设定值时,处理单元则确认当前操作失败;当处理单元接收的判断结果是本基站在设定时间内收到重传请求的次数未达到设定值,处理单元则确认当前操作异常,重新向终端发送触发消息以进行状态回退保护。
下面以终端开机后选择上述BS接入WiMAX网络为例,说明在鉴权密钥的生命周期内,MS,BS或者Authenticator功能实体之间的重鉴权过程,该过程如图3所示,包括以下步骤:
步骤301,MS通过EAP Start消息发起重鉴权流程;
在其他实施例中,如果是BS或者Authenticator功能实体发起的重鉴权的,该步骤可以省略;
步骤302,BS将MS发送的EAP Start消息转发给Authenticator功能实体;
在其他实施例中,如果是Authenticator功能实体发起的重鉴权,可以省略该步骤,如果是BS发起的重鉴权,BS则可以直接向Authenticator功能实体发送EAP Start消息;
步骤303和步骤304,Authenticator功能实体收到EAP Start消息时,通过BS将EAP Transfer(传送)消息发送给MS,该EAP Transfer消息中封装了含有Identity字段的EAP Request消息;
步骤305和步骤306,MS收到EAP Transfer消息后,通过BS发送EAPTransfer消息给Authenticator功能实体,该EAP Transferr消息中封装了带有Identity以及网络接入标示符(NAI)的EAP Response消息,其中,NAI可以用于Authenticator功能实体寻址AAA;
步骤306操作完成后,进入EAP Procedure,该过程中,终端和AAA之间进行EAP方法的协商,完成标准的EAP鉴权流程,其中EAP鉴权流程因不同的EAP方法而有所不同,常见的EAP鉴权方法有MD5,EAP-TLS,EAP-TTLS等。
步骤307和步骤308,MS和AAA之间完成EAP鉴权后,Authenticator功能实体通过BS将EAP Transfer消息发送给MS,EAP Transfer消息中指示了鉴权结果;
步骤309,Authenticator功能实体通过Key_Change_Directive消息将鉴权完成后产生的鉴权上下文(AK Context)发送给BS;
步骤310,BS收到Key_Change_Directive消息后,向Authenticator功能实体进行确认;
在上述步骤308中,当BS向MS发送前向EAP Transfer消息之后,同时启动T0定时器用于启动鉴权结果通知状态回退保护,并在定时器T0的定时时间内,判断是否收到MS重传的反向EAP Transfer消息的请求,如果是,则确认当前操作异常,BS重新向MS发送前向EAP Transfer,否则确认当前操作正常,BS向MS发送SA-TEK-Challenge消息启动三步握流程,即进入步骤311。
在其他实施例中,BS经过上述步骤208的操作向MS发送前向EAPTransfer消息之后,可以先不启动T0定时器,而是在BS向MS发送SA-TEK-Challenge消息后,启动T0定时器,用于启动鉴权结果通知状态回退保护,这样,在定时器T0的定时时间内,BS若判断收到MS重传的反向EAP Transfer消息和/或SA-TEK-Challenge消息的请求时,则确认当前操作异常,BS重新向MS发送前向EAP Transfer和/或SA-TEK-Challenge消息,BS若判断未收到MS重传的反向EAP Transfer消息和/或SA-TEK-Challenge消息的请求时,则确认当前操作正常,BS向MS发送SA-TEK-Response消息,即进入步骤313。
步骤311,BS向MS发送SA-TEK-Challenge消息,用于通知MS启动三步握手消息,该SA-TEK-Challenge消息中携带了BS的随机数以及AK的相关信息(AKSN,AKID,AK Lifetime等);
步骤312,MS向BS发送SA-TEK-Request(授权-业务密钥请求)消息,用于通知BS已启动三步握手消息,该SA-TEK-Request消息中携带了MS和BS的随机数,MS的加密套件,安全能力参数等;
步骤313,BS向MS发送SA-TEK-Response消息,通知MS安全能力和的协商结果,并确认MS发送的SA-TEK-Response消息摘要通过校验,同时启动T1定时器用于重鉴权状态回退保护;
步骤314,在定时器T1的定时时间内,判断是否收到MS对SA-TEK-Request消息的重传请求,如果是,进入步骤315,否则进入步骤316;
该步骤中,当BS判断在T1的定时时间内收到MS对SA-TEK-Request消息的重传请求,则认为当前操作异常,进入步骤315,以进行状态回退保护。
步骤315,BS向MS重发SA-TEK-Response消息,重置定时器T1,返回步骤314;
步骤316,BS向Authenticator功能实体发送Key_Change_Cnf消息,用于通知Authenticator功能实体三步握手成功,同时激活新的AK;
步骤317和步骤318,Authenticator功能实体向BS发送Key_Change_Ack消息确认激活AK,同时删除旧的PMK。
在优选的实施例中,BS还进一步检测在鉴权状态回退保护状态下(即定时器T1的定时时间内),MS向BS发送SA-TEK-Request消息的重传请求的次数是否达到指定次数,如果是,则认为SA-TEK三步握手失败(即当前操作失败),BS结束鉴权状态保护处理,向Authenticator功能实体发送带有失败指示的Key_Change_Cnf消息,而Authenticator功能实体收到该Key_Change_Cnf消息后,将触发新一轮的重鉴权。
从上述实施例可以看出,在重鉴权前,旧PMK尚未过期之前,保证即使出现了由于安全关联业务加密密钥响应消息(SA-TEK-Response)消息导致三步握手失败。也可以继续使用旧PMK推导出来的AK进行相关的切换处理。同时通过主动触发重鉴权等方式,保证终端业务可以保证继续。
以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (14)
1.一种避免重鉴权失败的方法,适用于全球微波互联接入系统,其特征在于,该方法包括:
在重鉴权过程中,基站向终端发送状态回退保护的触发消息后,若所述基站在设定时间内收到所述终端对所述触发消息的重传请求,则所述基站确认当前操作异常,重新向所述终端发送所述触发消息以进行状态回退保护,若所述基站在设定时间内未收到所述终端对所述触发消息的重传请求,则确认当前操作正常,进入后续流程。
2.如权利要求1所述的方法,其特征在于,
所述基站在设定时间内收到所述终端对所述触发消息的重传请求时,所述基站进一步判断在所述设定时间内收到所述重传请求的次数是否达到设定值,如果是,则确认当前操作失败,否则确认当前操作异常,重新向所述终端发送所述触发消息以进行状态回退保护。
3.如权利要求1所述的方法,其特征在于,
所述状回退保护的触发消息指,重鉴权过程中无需反馈响应的消息。
4.如权利要求1、2或3所述的方法,其特征在于,
所述状回退保护的触发消息为SA-TEK-Response消息。
5.如权利要求4所述的方法,其特征在于,
所述基站确认当前操作正常,进入的后续流程指:
所述基站通知鉴权者功能实体重鉴权成功,并激活重鉴权过程中生成的新的鉴权密钥。
6.如权利要求1、2或3所述的方法,其特征在于,
所述状回退保护的触发消息为可扩展的身份验证协议(EAP)传送消息。
7.如权利要求6所述的方法,其特征在于,
所述基站确认当前操作正常,进入的后续流程指:
所述基站通知所述终端启动三步握手流程。
8.一种避免重鉴权失败的基站,适用于全球微波互联接入系统,其特征在于,该基站包括判断单元以及处理单元,其中:
判断单元,用于判断在设定时间内本基站是否收到所述终端对所述触发消息的重传请求,并将判断结果发送给所述处理单元;
所述处理单元,用于在重鉴权过程中,向终端发送状态回退保护的触发消息,以及用于接收所述判断结果发送的判断结果,若所接收的判断结果是本基站在设定时间内收到所述终端对所述触发消息的重传请求,则确认当前操作异常,重新向所述终端发送所述触发消息以进行状态回退保护,若所接收的判断结果是本基站在设定时间内未收到所述终端对所述触发消息的重传请求,则确认当前操作正常,进入后续流程。
9.如权利要求8所述的基站,其特征在于,
所述判断单元,还用于判断本基站在所述设定时间内收到所述重传请求的次数是否达到设定值,并将判断结果发送给所述处理单元;
所述处理单元,若接收的判断结果是本基站在所述设定时间内收到所述重传请求的次数达到设定值,则确认当前操作失败,若接收的判断结果是本基站在所述设定时间内收到所述重传请求的次数未达到设定值,则确认当前操作异常,重新向所述终端发送所述触发消息以进行状态回退保护。
10.如权利要求8所述的基站,其特征在于,
所述状回退保护的触发消息指,重鉴权过程中无需反馈响应的消息。
11.如权利要求8、9或10所述的基站,其特征在于,
所述状回退保护的触发消息为SA-TEK-Response消息。
12.如权利要求11所述的基站,其特征在于,
所述处理单元确认当前操作正常,进入的后续流程指:
通知鉴权者功能实体重鉴权成功,并激活重鉴权过程中生成的新的鉴权密钥。
13.如权利要求8、9或10所述的基站,其特征在于,
所述状回退保护的触发消息为可扩展的身份验证协议(EAP)传送消息。
14.如权利要求13所述的基站,其特征在于,
所述处理单元确认当前操作正常,进入的后续流程指:
通知所述终端启动三步握手流程。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200910171495.3A CN102026191B (zh) | 2009-09-21 | 2009-09-21 | 一种避免重鉴权失败的方法及基站 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200910171495.3A CN102026191B (zh) | 2009-09-21 | 2009-09-21 | 一种避免重鉴权失败的方法及基站 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102026191A true CN102026191A (zh) | 2011-04-20 |
| CN102026191B CN102026191B (zh) | 2014-04-09 |
Family
ID=43866907
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN200910171495.3A Expired - Fee Related CN102026191B (zh) | 2009-09-21 | 2009-09-21 | 一种避免重鉴权失败的方法及基站 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102026191B (zh) |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2005020518A1 (en) * | 2003-08-22 | 2005-03-03 | Telefonaktiebolaget Lm Ericsson (Publ) | Co-located radio operation |
| CN101009536A (zh) * | 2006-01-24 | 2007-08-01 | 中兴通讯股份有限公司 | 自动重传请求的状态报告方法 |
| CN101127586A (zh) * | 2007-09-25 | 2008-02-20 | 中兴通讯股份有限公司 | 一种自动重传请求状态报告触发方法 |
-
2009
- 2009-09-21 CN CN200910171495.3A patent/CN102026191B/zh not_active Expired - Fee Related
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2005020518A1 (en) * | 2003-08-22 | 2005-03-03 | Telefonaktiebolaget Lm Ericsson (Publ) | Co-located radio operation |
| CN101009536A (zh) * | 2006-01-24 | 2007-08-01 | 中兴通讯股份有限公司 | 自动重传请求的状态报告方法 |
| CN101127586A (zh) * | 2007-09-25 | 2008-02-20 | 中兴通讯股份有限公司 | 一种自动重传请求状态报告触发方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102026191B (zh) | 2014-04-09 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP5531117B2 (ja) | アンカーオーセンティケータのリロケーション方法及びシステム | |
| JP5662512B2 (ja) | 端末が移動している間の劣化攻撃を防止する方法、移動管理エンティティ、及びユーザ装置 | |
| CN101083839B (zh) | 在不同移动接入系统中切换时的密钥处理方法 | |
| CN101505479B (zh) | 一种认证过程中安全上下文协商方法和系统 | |
| US8433286B2 (en) | Mobile communication network and method and apparatus for authenticating mobile node in the mobile communication network | |
| WO2006131061A1 (fr) | Procede d'authentification et procede de transmission d'informations correspondant | |
| CN106664286B (zh) | 异构网络之间的切换方法及切换系统 | |
| JP6418230B2 (ja) | モバイル通信システム、mtc−iwf、及び方法 | |
| EP2229018B1 (en) | Method and system for authenticating in a communication system | |
| CN101309503A (zh) | 无线切换方法、基站及终端 | |
| CN101926122A (zh) | 建立安全关联的方法和通信系统 | |
| EP3905743B1 (en) | Re-establishing a radio resource control connection | |
| KR101718096B1 (ko) | 무선통신 시스템에서 인증방법 및 시스템 | |
| CN101009910A (zh) | 在无线网络中实现扩展认证协议认证的方法及装置 | |
| CN103402201A (zh) | 一种基于预认证的WiFi-WiMAX异构无线网络认证方法 | |
| CN101026866A (zh) | 一种无线通信系统中ak上下文缓存的方法 | |
| CN101599878A (zh) | 重认证方法、系统及鉴权装置 | |
| CN1964259B (zh) | 一种切换过程中的密钥管理方法 | |
| CN102026191B (zh) | 一种避免重鉴权失败的方法及基站 | |
| CN101009911A (zh) | 在无线通信网络中实现扩展认证协议认证的方法及装置 | |
| CN1997212A (zh) | 无线通信网络中实现位置更新的方法 | |
| CN1997213B (zh) | 无线通信系统中切换后的目标基站获取安全信息的方法 | |
| CN101350748B (zh) | 获取数据摘要计算参数失败后控制终端接入的方法和系统 | |
| CN1997211A (zh) | 移动终端退出空闲模式的处理方法 | |
| JP5530535B2 (ja) | オーセンティケータリロケーション要求の処理方法及びシステム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20140409 Termination date: 20190921 |