CN103402201B - 一种基于预认证的WiFi-WiMAX异构无线网络认证方法 - Google Patents
一种基于预认证的WiFi-WiMAX异构无线网络认证方法 Download PDFInfo
- Publication number
- CN103402201B CN103402201B CN201310332793.2A CN201310332793A CN103402201B CN 103402201 B CN103402201 B CN 103402201B CN 201310332793 A CN201310332793 A CN 201310332793A CN 103402201 B CN103402201 B CN 103402201B
- Authority
- CN
- China
- Prior art keywords
- wimax
- wifi
- network
- authentication
- msk
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
- 238000000034 method Methods 0.000 title claims abstract description 29
- 238000004064 recycling Methods 0.000 claims abstract description 8
- 230000000717 retained effect Effects 0.000 claims abstract description 5
- 230000007246 mechanism Effects 0.000 claims description 10
- 230000006855 networking Effects 0.000 claims description 4
- 230000008569 process Effects 0.000 description 9
- 238000012795 verification Methods 0.000 description 6
- XQVWYOYUZDUNRW-UHFFFAOYSA-N N-Phenyl-1-naphthylamine Chemical compound C=1C=CC2=CC=CC=C2C=1NC1=CC=CC=C1 XQVWYOYUZDUNRW-UHFFFAOYSA-N 0.000 description 2
- 230000009471 action Effects 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 2
- 238000013461 design Methods 0.000 description 2
- 238000012546 transfer Methods 0.000 description 2
- 230000015556 catabolic process Effects 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 230000007423 decrease Effects 0.000 description 1
- 238000006731 degradation reaction Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 238000007689 inspection Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000001172 regenerating effect Effects 0.000 description 1
- 238000011160 research Methods 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Landscapes
- Mobile Radio Communication Systems (AREA)
Abstract
本发明提供的一种基于预认证的WiFi‑WiMAX异构无线网络认证方法,首先采用预认证的构想,在用户设备初次入网执行完全EAP认证后,保留切换网络时所需要的MSK;再利用密钥重复使用,把MSK提前送至信号覆盖范围内将来可能切换至的目标网络;最后通过网络切换时直接使用WiFi接入点或WiMAX基站中保留的MSK对移动终端进行认证。本发明解决了现有技术成本高的技术问题。本发明具有认证快,效率高等优点。
Description
技术领域
本发明涉及通信系统领域,具体涉及一种基于预认证的WiFi-WiMAX异构无线网络认证方法。
背景技术
由于在异构无线网络漫游过程中执行完全EAP认证所产生的延迟会造成上层的应用软件中断服务以及传输品质下降等问题,因此多数研究致力于降低完全EAP认证时间过长的问题,来达到快速切换的目的。
WiMAX网络工作群组NWG制订了WiFi-WiMAX互联标准,标准规范了网络服务提供者同时部署了WiFi和WiMAX时的网络架构。NWG在WiFi和WiMAX网络中增加了各自独立的逻辑实体WIF和SFF,其中利用WIF元件来实现AAA认证和DHCP认证等功能。当STA/MS在服务网络里侦测到信号过低、误码率过高或其他因素超过系统所设定的阈值时,在网络切换前事先和后端核心网络执行完全EAP,在目标网络上重新产生MSK,使得当STA/MS在切换至目标网络时避免了完全EAP认证时间过长所造成的延迟问题,但是在WiMAX切换至WiFi网络时需要额外的模块WiMAX/WiFi SFF,另外增加了需要客户端和WiMAX、WiFi都要支持的协议。
Network Working Group为解决执行完全EAP认证时间过长所引起切换延迟问题,提出了预认证的机制,STA/MS通过PANA网络接入认证承载协议来承载EAP封包,切换前首先探索所有的候选目标网络,通过802.21协议来获得候选目标网络的相关信息,如认证代理、配置代理、接入路由等信息,STA/MS事先和候选目标网络的认证代理进行EAP认证,并通过网络接入认证承载协议传输EAP信息,随后通过预配置切换前通道,在切换前实现和候选目标网络的认证过程。和NWG制定的WiFi-WiMAX互联标准类似,都是采用与认证的方式来避免STA/MS在切换时执行完全EAP所造成认证时间过长的问题,但是在STA/MS端必须新增PANA协议来进行EAP认证。
针对在WiFi和WiMAX异构网络切换的环境下,Hung-Min Sun等人假设WiFi网络以及WiMAX网络拥有各自的AS来提出一套有效的切换机制达成缩短STA/MS认证时间来符合无缝漫游的特性,当切换发生时STA/MS并没有和后端核心网络的AS重新进行完全EAP,而是重复使用之前STA/MS第一次入网时执行完全EAP所产生的MSK,重复使用MSK取代了再生密钥的机制,将MSK安全的由服务网络传送至可能切换至的目标网络,从而大幅的改善STA/MS的认证时间。但是作者所假设的网络环境是WiFi网络和WiMAX网络需要拥有各自的AS,这样对于一个网络服务提供商同时部署了WiFi及WiMAX存取网络就不能共用AS,增加了额外设备的布置和管理成本。
发明内容
为了解决现有技术成本高的技术问题,本发明提供一种基于预认证的WiFi-WiMAX异构无线网络认证方法。
本发明的具体方案如下:
一种基于预认证的WiFi-WiMAX异构无线网络认证方法,其特征在于:所述方法包括以下步骤:
1)采用预认证的构想,在用户设备初次入网执行完全EAP认证后,保留切换网络时所需要的MSK;
2)再利用密钥重复使用,把MSK提前送至信号覆盖范围内将来可能切换至的目标网络;
3)网络切换时直接使用WiFi接入点或WiMAX基站中保留的MSK对移动终端进行认证。
优选地,上述步骤2中再利用密钥为使用新的快速切换机制在移动终端进行网络切换时采用再利用密钥的方法,使移动终端和AS可以重复使用入网时完全EAP认证时产生的MSK。
优选地,上述步骤3中WiFi和WiMAX都是采用802.1X的EAP认证机制。
优选地,上述WiFi和WiMAX网络均使用MSK作为密钥阶层的根密码来产生各自网络所需要的安全关联。
优选地,上述WiFi和WiMAX共用一个认证服务器。
实施本发明具有以下优点:
1、本发明中新的快速切换机制在移动终端进行网络切换的时候采用再利用密钥的方法,移动终端和AS可以重复使用入网时完全EAP认证时产生的MSK,避免了在切换网络时再次执行完全EAP认证,从而达到快速认证的目的。
2、本发明只用到交互工作功能中的WIF元件,而不再需要WiFi/WiMAXSFF信号转发功能元件,因此可以使得WiFi和WiMAX共用一个AS。无需STA/MN和后端AS的参与,从而提高了切换服务的效率。
附图说明
图1为本发明中WiMAX至WiFi的切换程序图;
图2为本发明中MS初次入网WiFi时的认证过程图;
图3为本发明中WiFi至WiMAX的切换程序图。
具体实施方式
本发明为实现多种无线网络用户可以在任何时间、任何地点,快速、安全地访问网络服务,WiFi-WiMAX异构无线网络组网环境下移动设备之间的互联互通,提出一种快速认证机制。本发明采用预认证的构想,在用户设备初次入网执行完全EAP认证后,保留切换网络时所需要的MSK,再利用密钥重复使用,把MSK提前送至信号覆盖范围内将来可能切换至的目标网络,网络切换时直接使用WiFi接入点或WiMAX基站中保留的MSK对移动终端进行认证,如此避免了在切换网络时再次执行完全EAP认证,减少了切换认证的延迟,从而达到快速认证的目的。此方案WiFi和WiMAX共用一个认证服务器,无需用户设备和后端认证服务器的参与,提高了切换服务的效率,为用户提供了更好的QoS保证。
由于STA或MS与AS完成完全EAP认证会产生MSK,且WiFi和WiMAX网络均使用MSK作为密钥阶层的根密码来产生各自网络所需要的安全关联,因此在切换到目标网络时如何生成MSK便尤其重要。WiFi和WiMAX都是采用802.1X的EAP认证机制,整个认证过程取决于网络环境和采用的认证方式,且在切换前还是切换时进行完全EAP认证有较大区别。完全EAP认证所需要的认证时间可能超过一秒,因此在STA/MN初次入网执行完全EAP认证后,在WIF里保留将要进行切换网络时所需要的MSK,对于信号覆盖范围内可能切换至的目标网络,使用预认证的方法把MSK提前送至可能的目标网络,需要进行切换时直接使WiFi AP或WiMAX BS与WIF中保留的MSK认证,直接切换至目标网络即可。如此避免了在切换网络时再次执行完全EAP认证,且无需用户设备和后端认证服务器的参与,从而达到快速认证的目的。本发明分别设计了终端由WiMAX切换至WiFi和由WiFi切换至WiMAX的认证过程。当预认证成功之后,行动节点和目标无线存取点会持有同样一把成对主密钥,而双方会用PMKSA的数据结构储存,之后行动节点切换到该目标无线存取点,就可以利用PMKSA而省略IEEE802.1X身份认证,直接进行四次握手的程序。
本发明的具体实施例如下:
终端由WiMAX切换至WiFi,WiMAX至WiFi网络的切换关键在于PMK,获得WiFi AP对PMK的验证便可完成对移动终端的验证。移动终端第一次入网产生MSK后,由AS再利用MSK导出PMK,随后将PMK传送至WiFi AP和WIF中,当WiMAX至WiFi网络的切换开始时只需要执行关联程序和4次握手来完成切换程序。WiMAX至WiFi的切换过程如图1所示:MN在进入WiMAX网络后,首先执行PKMv2EAP认证,MN和AS便拥有一把相同的密钥MSK。当WiMAX网络信号变弱或误码率过高时,MN准备切换至WiFi网络。首先,MN通过802.21通知AS可能切换至的目标网络,然后AS由MSK导出WiFi认证所需的PMK,并将PMK传送到WiFi AP和WIF。当WiMAX信号强度低于系统的门槛值时,由MN携MSK导出PMK,随后MN和WiFi AP进行关联程序,并由WiFi AP检验PMKID是否正确。检验无误后,即表示MN和WiFi AP拥有相同的PMK,遵循802.11i的标准即可省去EAP认证程序。最后,MN和WiFiAP进行四次握手程序导出PTK完成切换程序。
终端由WiFi切换至WiMAX为:WiFi至WiMAX网络的切换程序稍有区别,因为移动终端进入WiMAX网络认证时,WiMAX AS和MN除了需要AK外还需要次频带编码和注册文件(SBC/REG)安全关联描述信息和业务流信息等认证信息,所以在认证过程中需要考虑额外的认证信息如何获得。因此,终端初次进入WiFi网络获得必要认证信息的过程和随后快速切换至WiMAX网络的过程以下将分两个部分描述。根据NWG的规范终端进入WiMAX网络时,认证成功后会由AS送出业务流信息,所以本方案设计在终端初次进入WiFi网络认证成功后同时发送安全关联描述信息和业务流信息到WIF元件中。在MN通过WIF的DHCP功能获取IP地址的同时,取得进入WiMAX网络时所需要的对应的安全关联描述信息和业务流信息,同时将SBC/REG发至WIF,再由WIF转发至AS,使得MN和WiMAX BS在快速切换前获得了必要的认证信息。
如图2所示的MS初次入网WiFi时的认证过程,终端初次入网阶段,MN和WiFi AP执行关联程序后,开始EAP认证过程,WiFi AP通过WIF传递EAP信息到AS,认证完成后,AS从ASN-GW获得安全关联描述信息和业务流信息之后,回应Radius访问接受信息(包括安全关联描述和业务流信息信息和PMK)至WIF,随后WIF转送Radius访问接受信息至WiFi AP但只携带PMK,最后由WiFi AP向MN发出EAP认证成功的信息完成EAP认证。WiFi AP和MN完成四次握手后,通过DHCP过程不仅从WIF元件中取得IP地址,也一并获得MS的信息,而WIF也从MN获得了WiMAX SBC/REG,在通过上下文传递把SBC/REG传送至AS。
如图3所示的WiFi至WiMAX的切换过程,MN成功链接WiFi AP后MN和AS个拥有一个相同的MSK,在MN进行网络切换前,实现通过802.21协议事先通知AS,目标基站和ASN-GW。AS先用重用MSK的方法将MSK和MS信息安全的传送到ASN-GW,ASN-GW再将MSK导出AK加上原先的MS信息一起送到WiMAX BS,WiMAX BS在快速切换时就可以通过AS获得必要的认证信息。当MN的WiMAX信号低于设定的门槛值时,事先由认证成功所产生的MSK导出AK,切换时由WiMAX BS和MN互相验证哈希信息验证码和控制移动衰减码,验证无误后表示WiMAX BS和MN拥有相同的AK,因此省略了EAP认证程序。完成了WiFi切换至WiMAX网络的程序。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (4)
1.一种基于预认证的WiFi-WiMAX异构无线网络认证方法,其特征在于:所述方法包括以下步骤:
1)采用预认证的构想,在用户设备初次入网执行完全PKMv2EAP认证后,保留切换网络时所需要的MSK;
2)再利用密钥重复使用,把MSK提前送至信号覆盖范围内将来可能切换至的目标网络;
所述再利用密钥为使用新的快速切换机制在移动终端进行网络切换时采用再利用密钥的方法,使移动终端和AS可以重复使用入网时完全PKMv2EAP认证时产生的MSK;
3)网络切换时直接使用WiFi接入点或WiMAX基站中保留的MSK对移动终端进行认证。
2.根据权利要求1所述的基于预认证的WiFi-WiMAX异构无线网络认证方法,其特征在于:所述步骤3中WiFi和WiMAX都是采用802.1X的EAP认证机制。
3.根据权利要求2所述的基于预认证的WiFi-WiMAX异构无线网络认证方法,其特征在于:所述WiFi和WiMAX网络均使用MSK作为密钥阶层的根密码来产生各自网络所需要的安全关联。
4.根据权利要求3所述的基于预认证的WiFi-WiMAX异构无线网络认证方法,其特征在于:所述WiFi和WiMAX共用一个认证服务器。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201310332793.2A CN103402201B (zh) | 2013-08-01 | 2013-08-01 | 一种基于预认证的WiFi-WiMAX异构无线网络认证方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201310332793.2A CN103402201B (zh) | 2013-08-01 | 2013-08-01 | 一种基于预认证的WiFi-WiMAX异构无线网络认证方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN103402201A CN103402201A (zh) | 2013-11-20 |
CN103402201B true CN103402201B (zh) | 2016-08-17 |
Family
ID=49565700
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201310332793.2A Expired - Fee Related CN103402201B (zh) | 2013-08-01 | 2013-08-01 | 一种基于预认证的WiFi-WiMAX异构无线网络认证方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN103402201B (zh) |
Families Citing this family (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9609666B2 (en) * | 2014-03-03 | 2017-03-28 | Futurewei Technologies, Inc. | System and method for reserving a channel for coexistence of U-LTE and Wi-Fi |
EP3182665A1 (en) * | 2014-08-13 | 2017-06-21 | Yulong Computer Telecommunication Scientific (Shenzhen) Co., Ltd. | Switching method and switching system between heterogeneous networks |
CN105491093B (zh) * | 2014-09-19 | 2019-06-25 | 中国移动通信集团公司 | 终端认证、网络访问的方法、服务器、无线接入点及终端 |
KR102304147B1 (ko) | 2015-06-05 | 2021-09-23 | 콘비다 와이어리스, 엘엘씨 | 통합된 스몰 셀 및 wi-fi 네트워크를 위한 통합 인증 |
CN105188057B (zh) * | 2015-08-26 | 2018-07-06 | 上海斐讯数据通信技术有限公司 | 一种提高网络接入认证安全的方法及系统 |
CN106211281A (zh) * | 2016-08-26 | 2016-12-07 | 北京小米移动软件有限公司 | Wlan启动优化方法及装置 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101394281A (zh) * | 2008-09-27 | 2009-03-25 | 上海交通大学 | 基于无线局域网的无线网状网络接入安全认证方法 |
CN101841811A (zh) * | 2009-03-18 | 2010-09-22 | 华为技术有限公司 | 一种预认证方法、设备及系统 |
CN102111761A (zh) * | 2009-12-28 | 2011-06-29 | 深圳华为通信技术有限公司 | 密钥管理方法及设备 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101321396B (zh) * | 2008-04-14 | 2014-03-12 | 中兴通讯股份有限公司 | 移动台的切换实现方法及构建安全接入服务网络的方法 |
-
2013
- 2013-08-01 CN CN201310332793.2A patent/CN103402201B/zh not_active Expired - Fee Related
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101394281A (zh) * | 2008-09-27 | 2009-03-25 | 上海交通大学 | 基于无线局域网的无线网状网络接入安全认证方法 |
CN101841811A (zh) * | 2009-03-18 | 2010-09-22 | 华为技术有限公司 | 一种预认证方法、设备及系统 |
CN102111761A (zh) * | 2009-12-28 | 2011-06-29 | 深圳华为通信技术有限公司 | 密钥管理方法及设备 |
Also Published As
Publication number | Publication date |
---|---|
CN103402201A (zh) | 2013-11-20 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11895157B2 (en) | Network security management method, and apparatus | |
CN103402201B (zh) | 一种基于预认证的WiFi-WiMAX异构无线网络认证方法 | |
CN101946536B (zh) | 演进网络中的应用特定的主密钥选择 | |
US8731194B2 (en) | Method of establishing security association in inter-rat handover | |
CN101536463B (zh) | 在下一代移动网络中生成用于保护的密钥 | |
US8145195B2 (en) | Mobility related control signalling authentication in mobile communications system | |
US9942210B2 (en) | Key derivation method and apparatus for local access under control of a cellular network | |
US20150104020A1 (en) | Method, Network Element, and Mobile Station for Negotiating Encryption Algorithms | |
KR101002799B1 (ko) | 이동통신 네트워크 및 상기 이동통신 네트워크에서 이동 노드의 인증을 수행하는 방법 및 장치 | |
KR20060067263A (ko) | Wlan-umts 연동망 시스템과 이를 위한 인증 방법 | |
JP2010521932A (ja) | 無線通信ネットワークにおけるユーザ・プロファイル、ポリシー及びpmipキーの配布 | |
CN100469196C (zh) | 一种多模终端在异质接入技术网络之间漫游的认证方法 | |
JP2008547304A (ja) | 無線携帯インターネットシステム用の認証キー識別子の割り当て方法 | |
WO2007082060A2 (en) | Apparatus and method for protection of management frames | |
KR20110138548A (ko) | 응급 콜을 지원하는 이동 통신 시스템에서 보안 관리 방법 및 장치와 그 시스템 | |
CN109906624A (zh) | 支持无线通信网络中的认证的方法以及相关网络节点和无线终端 | |
CN103781069A (zh) | 一种双向认证的方法、设备及系统 | |
CN101785343A (zh) | 快速转换资源协商 | |
CN1941695B (zh) | 初始接入网络过程的密钥生成和分发的方法及系统 | |
WO2013163846A1 (zh) | 一种对移动设备验证的方法、装置及系统 | |
CN102892114A (zh) | 一种设备合法性检验的方法及装置 | |
US10959097B1 (en) | Method and system for accessing private network services | |
US9307402B2 (en) | Method of protecting an identity of a mobile station in a communications network | |
KR100668660B1 (ko) | 휴대 인터넷 망과 3g 망간의 로밍을 위한 사용자 인증처리 방법 및 이를 수행하는 라우터 | |
CN101730093B (zh) | 安全切换方法及系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20160817 |