專利名稱:一種預(yù)認(rèn)證方法
技術(shù)領(lǐng)域:
本發(fā)明涉及無線通信系統(tǒng)的認(rèn)證技術(shù),特別涉及一種無線通信系統(tǒng)的預(yù)認(rèn)證方法��。
背景技術(shù):
固定寬帶無線接入標(biāo)準(zhǔn)IEEE802.16d中定義了基于公開密鑰加密算法(RSA)和數(shù)字證書的認(rèn)證協(xié)議���,可以實(shí)現(xiàn)基站(BS)對移動臺(MSS����,Mobile Subscribe Station)的認(rèn)證���。固定寬帶無線接入標(biāo)準(zhǔn)IEEE802.16e對固定寬帶無線接入標(biāo)準(zhǔn)IEEE802.16d進(jìn)行了增強(qiáng)性的修改���,修改后的RSA的認(rèn)證協(xié)議可以實(shí)現(xiàn)BS和MSS之間的雙向認(rèn)證。同時(shí)����,在固定寬帶無線接入標(biāo)準(zhǔn)IEEE802.16e中還定義了可擴(kuò)展的認(rèn)證協(xié)議(EAP)認(rèn)證方式,在該認(rèn)證方式下��,可以基于數(shù)字證書實(shí)現(xiàn)MSS和BS之間雙向認(rèn)證的EAP-傳輸層安全(TLS)和基于用戶信息模塊(SIM)的EAP-SIM�����。
為了在無線通信系統(tǒng)中的移動環(huán)境下實(shí)現(xiàn)業(yè)務(wù)連續(xù)傳輸���,固定寬帶無線接入標(biāo)準(zhǔn)IEEE802.16e中引入了MSS在不同BS之間進(jìn)行切換的概念�。同時(shí),為了盡可能地加快切換速度�,固定寬帶無線接入標(biāo)準(zhǔn)IEEE802.16e提出了預(yù)認(rèn)證方法。預(yù)認(rèn)證方法就是在切換過程中��,在MSS切換到目標(biāo)BS之前完成認(rèn)證過程��,而只需要進(jìn)行一個業(yè)務(wù)密鑰交換過程即可��。
目前�����,預(yù)認(rèn)證方法的實(shí)現(xiàn)如圖1所示���,其具體步驟為步驟100��、MSS向當(dāng)前為該MSS服務(wù)的服務(wù)BS發(fā)起預(yù)認(rèn)證請求消息��;步驟101��、該服務(wù)BS收到該消息后�����,使用該MSS與該服務(wù)BS通過EAP認(rèn)證得到的密鑰�、MSS信息和目標(biāo)BS的標(biāo)識,計(jì)算得到一個共享密鑰��,向目標(biāo)BS預(yù)分發(fā)該共享密鑰����;
步驟102�、服務(wù)BS通過預(yù)認(rèn)證請求響應(yīng)消息通知MSS,在消息中指定已經(jīng)成功完成了密鑰預(yù)分發(fā)的目標(biāo)BS的標(biāo)識�。
當(dāng)該MSS切換到已成功完成密鑰預(yù)分發(fā)的目標(biāo)BS時(shí),不需要再進(jìn)行完整的認(rèn)證過程�����,只需要根據(jù)MSS預(yù)先存儲的密鑰�、MSS信息和目標(biāo)BS的標(biāo)識,計(jì)算出共享密鑰�����,使用這個共享密鑰進(jìn)行后續(xù)業(yè)務(wù)密鑰的交換過程����。
從圖1所述的方法看出,在MSS和目標(biāo)BS之間進(jìn)行預(yù)認(rèn)證的過程中�����,目標(biāo)BS得到的共享密鑰可能是由服務(wù)BS提供的,也可能時(shí)由一個集中的認(rèn)證服務(wù)器提供的�����。當(dāng)服務(wù)BS和認(rèn)證服務(wù)器發(fā)生共享密鑰的泄漏時(shí)�����,則目標(biāo)BS得到的共享密鑰是不安全的���,這也就是說MSS切換前與所屬BS的共享密鑰的泄漏會導(dǎo)致MSS切換后與所屬BS的共享密鑰安全性降低��,從而使圖1所述的方法不具備前向安全性����。
更進(jìn)一步的��,對于RSA認(rèn)證方式�����,終止于MSS與BS之間�,如果仍然采用上述的預(yù)認(rèn)證方法����,目標(biāo)BS得到的共享密鑰只可能由服務(wù)BS提供���。當(dāng)服務(wù)BS發(fā)生共享密鑰的泄漏時(shí)���,則目標(biāo)BS得到的共享密鑰是不安全的�。因此,這種預(yù)認(rèn)證方法不具備前向安全性�����。
發(fā)明內(nèi)容
有鑒于此���,本發(fā)明的主要目的在于提供一種預(yù)認(rèn)證方法�����,該方法在具備前向安全性的情況下實(shí)現(xiàn)MSS和目標(biāo)BS之間的預(yù)認(rèn)證��。
根據(jù)上述目的���,本發(fā)明的技術(shù)方案是這樣實(shí)現(xiàn)的一種預(yù)認(rèn)證方法�,該方法包括A����、服務(wù)基站BS向目標(biāo)BS發(fā)送移動臺MSS認(rèn)證信息;B���、目標(biāo)BS對MSS認(rèn)證信息進(jìn)行認(rèn)證�����,如果認(rèn)證通過�����,則執(zhí)行步驟C�����;否則���,向MSS返回認(rèn)證失敗消息,結(jié)束�����;C、目標(biāo)BS隨機(jī)產(chǎn)生一個共享密鑰�����,將共享密鑰用所存儲的密鑰加密后發(fā)送給MSS��;D����、MSS用所存儲的私鑰對加密的共享密鑰進(jìn)行解密后,得到共享密鑰���。
步驟C所述的所存儲的密鑰為MSS數(shù)字證書的公鑰;步驟D所述的所存儲的私鑰為MSS數(shù)字證書的私鑰�����。
步驟C所述的所存儲的密鑰為預(yù)先與MSS共同設(shè)置的密鑰��;步驟D所述的所存儲的私鑰為預(yù)先與目標(biāo)BS共同設(shè)置的密鑰���。
步驟A所述的MSS認(rèn)證信息是在服務(wù)BS和MSS認(rèn)證過程中由服務(wù)BS預(yù)先存儲的�。
在步驟A之前,該方法還包括A11��、MSS向服務(wù)BS發(fā)送預(yù)認(rèn)證傳輸消息Pre-Auth Transfer Message�����,該消息攜帶MSS認(rèn)證信息�;步驟A所述的MSS認(rèn)證信息是攜帶在Pre-Auth Transfer Message發(fā)送給目標(biāo)BS的。
在步驟A之前�,該方法還包括A12、MSS向服務(wù)BS發(fā)送預(yù)認(rèn)證請求消息Pre-Auth Request Message����,該消息攜帶MSS認(rèn)證信息;步驟A所述的MSS認(rèn)證信息是攜帶在Pre-Auth Request Message中發(fā)送給目標(biāo)BS的�����。
所述的MSS認(rèn)證信息包括MSS的數(shù)字證書��、MSS支持的預(yù)認(rèn)證算法���。
步驟B所述對MSS認(rèn)證信息進(jìn)行認(rèn)證的過程為目標(biāo)BS判斷是否能夠用預(yù)先存儲的MSS數(shù)字證書的公鑰解開MSS認(rèn)證信息中的MSS的數(shù)字證書�����,如果是���,則認(rèn)證通過���;否則,認(rèn)證不通過����。
步驟C所述的將共享密鑰加密后發(fā)送給MSS是通過服務(wù)BS發(fā)送。
步驟C所述的將共享密鑰加密后通過服務(wù)BS發(fā)送給MSS的過程為C1��、目標(biāo)BS向服務(wù)BS發(fā)送加密后的共享密鑰�����;C2�����、服務(wù)BS收到該加密后的共享密鑰后���,將該加密后的共享密鑰通過設(shè)置的Pre-Auth Transfer Message中、或者將該加密后的共享密鑰攜帶在預(yù)認(rèn)證響應(yīng)消息Pre-Auth Reply Message中發(fā)送給MSS�����。
步驟C所述的將共享密鑰加密后發(fā)送給MSS是在MSS切換到目標(biāo)BS后由目標(biāo)BS發(fā)送。
步驟B所述的認(rèn)證失敗消息是通過服務(wù)BS返回給MSS���。
步驟B所述的認(rèn)證失敗消息是在MSS切換到目標(biāo)BS后由目標(biāo)BS返回給MSS�����。
從上述方案可以看出����,本發(fā)明首先設(shè)置可以攜帶MSS認(rèn)證信息的預(yù)認(rèn)證傳輸消息(Pre-Auth Transfer Message)或者在現(xiàn)有預(yù)認(rèn)證消息中增加MSS認(rèn)證信息的屬性�;其次,MSS將攜帶MSS認(rèn)證請求消息的Pre_Auth TransferMessage或預(yù)認(rèn)證請求消息(Pre_Auth Request Message)發(fā)送給服務(wù)BS���,服務(wù)BS通過骨干網(wǎng)轉(zhuǎn)發(fā)給目標(biāo)BS��;再次�����,目標(biāo)BS隨機(jī)產(chǎn)生一個共享密鑰�����,使用接收到消息中攜帶的MSS的公鑰����,如RSA或EAP-TLS認(rèn)證中的數(shù)字證書中包含的MSS公鑰,或者M(jìn)SS與BS之間預(yù)置的共享密鑰�,如EAP-SIM認(rèn)證中的三元組,加密后得到一個結(jié)果后�����,通過服務(wù)BS發(fā)送給該MSS����;最后,該MSS對接收到的結(jié)果用其私鑰或其與BS之間預(yù)置的共享密鑰進(jìn)行解密��,得到共享密鑰�,預(yù)認(rèn)證過程完成。
由于本發(fā)明由目標(biāo)BS產(chǎn)生共享密鑰����,而不是像現(xiàn)有技術(shù)那樣由服務(wù)BS將共享密鑰發(fā)送給目標(biāo)BS,本發(fā)明的服務(wù)BS僅對攜帶MSS認(rèn)證信息的Pre_Auth Transfer Message或已經(jīng)增加MSS認(rèn)證信息的現(xiàn)有預(yù)認(rèn)證消息進(jìn)行轉(zhuǎn)發(fā)���,從而保證了該預(yù)認(rèn)證方法的前向安全性��。
因此�,本發(fā)明提供的方法在具備前向安全性的情況下實(shí)現(xiàn)MSS和目標(biāo)BS之間的預(yù)認(rèn)證��。
圖1為現(xiàn)有技術(shù)中實(shí)現(xiàn)預(yù)認(rèn)證方法的流程圖��;圖2為本發(fā)明實(shí)現(xiàn)預(yù)認(rèn)證過程的第一個實(shí)施例流程圖�����;圖3為本發(fā)明實(shí)現(xiàn)預(yù)認(rèn)證過程的第二個實(shí)施例流程圖���;圖4為本發(fā)明實(shí)現(xiàn)預(yù)認(rèn)證方法的第三個實(shí)施例流程圖��。
具體實(shí)施例方式
為了使本發(fā)明的目的�、技術(shù)方案和優(yōu)點(diǎn)更加清楚明白�,以下舉具體實(shí)施例并參照附圖,對本發(fā)明進(jìn)行進(jìn)一步詳細(xì)的說明�。
為了實(shí)現(xiàn)具備前向安全性的MSS和目標(biāo)BS之間的預(yù)認(rèn)證,本發(fā)明首先設(shè)置可以攜帶MSS認(rèn)證信息的Pre-Auth Transfer Message或者在現(xiàn)有預(yù)認(rèn)證消息中增加MSS認(rèn)證信息的屬性�;其次,MSS將攜帶MSS認(rèn)證請求消息的Pre-Auth Transfer Message或Pre_Auth Request Message發(fā)送給服務(wù)BS����,服務(wù)BS通過骨干網(wǎng)轉(zhuǎn)發(fā)給目標(biāo)BS���;再次,目標(biāo)BS隨機(jī)產(chǎn)生一個共享密鑰�����,使用接收到消息中攜帶的MSS的公鑰或者M(jìn)SS與BS之間預(yù)置的共享密鑰�,加密后得到一個結(jié)果后,通過服務(wù)BS發(fā)送給該MSS��;最后�,該MSS對接收到的結(jié)果用其私鑰或其與BS之間預(yù)置的共享密鑰進(jìn)行解密,得到共享密鑰��,預(yù)認(rèn)證過程完成����。
由于本發(fā)明由目標(biāo)BS產(chǎn)生共享密鑰,服務(wù)BS僅對攜帶MSS認(rèn)證信息的Pre-Auth Transfer Message或已經(jīng)增加MSS認(rèn)證信息的現(xiàn)有傳輸消息進(jìn)行轉(zhuǎn)發(fā)��,從而保證了該預(yù)認(rèn)證方法的前向安全性�。
以下舉具體實(shí)施例說明本發(fā)明。
實(shí)施例一本發(fā)明所設(shè)置的Pre-Auth Transfer Message的消息格式如表一所示
表一表一所述的消息用于封裝預(yù)認(rèn)證過程中MSS向目標(biāo)BS發(fā)送的認(rèn)證請求消息��、由目標(biāo)BS通過服務(wù)BS向MSS發(fā)送的認(rèn)證響應(yīng)消息以及由目標(biāo)BS通過服務(wù)BS向MSS發(fā)送的認(rèn)證拒絕消息����。消息中的AuthenticationMessage可以是RSA認(rèn)證方式下的認(rèn)證請求、認(rèn)證響應(yīng)或者認(rèn)證拒絕的消息�,也可以為EAP認(rèn)證方式下的認(rèn)證請求或者認(rèn)證響應(yīng)的消息。在用該消息進(jìn)行預(yù)認(rèn)證時(shí)���,服務(wù)BS僅對該消息進(jìn)行轉(zhuǎn)發(fā)�����,并不對該消息攜帶的信息進(jìn)行處理�,服務(wù)BS在認(rèn)證過程中相當(dāng)一個中繼服務(wù)器����。
圖2為本發(fā)明實(shí)現(xiàn)預(yù)認(rèn)證過程的第一個實(shí)施例流程圖,其具體過程為步驟200�、MSS向當(dāng)前為該MSS服務(wù)的服務(wù)BS發(fā)起Pre-Auth TransferMessage,該消息攜帶的Authentication Message為認(rèn)證請求�����,攜帶的TLVEncoded Attributes為認(rèn)證請求下的MSS認(rèn)證信息�����,如MSS的數(shù)字證書和MSS支持的預(yù)認(rèn)證算法,攜帶的Target BSID為要切換到目標(biāo)BS的標(biāo)識���;步驟201����、該服務(wù)BS收到該消息后�����,根據(jù)該消息攜帶的Target BSID確定目標(biāo)BS���,給目標(biāo)BS轉(zhuǎn)發(fā)該消息��;步驟202��、該目標(biāo)BS接收到該消息后���,獲得該消息攜帶的MSS認(rèn)證信息,該目標(biāo)BS用預(yù)先存儲的MSS認(rèn)證信息的公鑰解開MSS認(rèn)證信息�,如用公鑰解開MSS的數(shù)字證書,判斷是否認(rèn)證成功����,如果是���,執(zhí)行步驟203;否則���,執(zhí)行步驟206;判斷是否認(rèn)證成功的過程為判斷是否用預(yù)先存儲的MSS認(rèn)證信息的公鑰解開MSS的數(shù)字證書�;步驟203、該目標(biāo)BS隨機(jī)產(chǎn)生一個共享密鑰�����,根據(jù)MSS認(rèn)證信息中的MSS預(yù)認(rèn)證算法用預(yù)先存儲的該MSS數(shù)字證書的公鑰加密該共享密鑰后����,將加密后的共享密鑰通過無線通信系統(tǒng)的骨干網(wǎng)發(fā)送給服務(wù)BS;該預(yù)先存儲的該MSS數(shù)字證書的公鑰可以為RSA或EAP-TLS認(rèn)證的數(shù)字證書中包含的MSS公鑰��;本發(fā)明也可以用預(yù)先存儲的MSS與BS之間預(yù)置的密鑰加密該共享密鑰����,如EAP-SIM認(rèn)證中的三元組;步驟204�、服務(wù)BS接收到加密后的共享密鑰后,給該MSS發(fā)送Pre-AuthTransfer Message,該消息攜帶的Authentication Message為認(rèn)證響應(yīng)�,攜帶的TLV Encoded Attributes為認(rèn)證響應(yīng)下的MSS認(rèn)證信息,即加密后的共享密鑰����;步驟205、該MSS接收到該消息后����,用該MSS數(shù)字證書中的私鑰進(jìn)行解密,保存得到的與目標(biāo)BS共享的共享密鑰��,結(jié)束預(yù)認(rèn)證過程�;步驟206、該目標(biāo)BS通過服務(wù)BS向該MSS發(fā)送認(rèn)證失敗消息�,結(jié)束預(yù)認(rèn)證過程。
實(shí)施例二固定寬帶無線接入標(biāo)準(zhǔn)IEEE802.16e中定義了與認(rèn)證相關(guān)的請求消息(PKM-REQ)和與認(rèn)證相關(guān)的響應(yīng)消息(PKM-RSP)�,PKM-REQ和PKM-RSP的消息格式分別如表二和表三所示
表二
表三PKM-REQ和PKM-RSP這兩個消息,通過Code來指示不同的消息���,如PKM-REQ中的認(rèn)證請求(Auth-Request)�����,密鑰更新請求(Key-Request)等��,以及PKM-RSP中的認(rèn)證響應(yīng)(Auth-Reply)�,密鑰更新響應(yīng)(Key-Reply)等。
當(dāng)要完成MSS和目標(biāo)BS之間完整的預(yù)認(rèn)證過程時(shí)���,本發(fā)明可以通過修改PKM-REQ的Code中的Pre-Auth Request Message以及PKM-RSP的Code中的預(yù)認(rèn)證響應(yīng)消息(Pre-Auth Reply Message)來完成����。
固定寬帶無線接入標(biāo)準(zhǔn)IEEE802.16e中定義了Pre-Auth RequestMessage和Pre-Auth Reply Message�����,這兩個消息在現(xiàn)有技術(shù)中僅僅是用來讓MSS通過服務(wù)BS和目標(biāo)BS進(jìn)行預(yù)認(rèn)證���,并在預(yù)認(rèn)證完成后對MSS進(jìn)行響應(yīng),但是具體的認(rèn)證過程卻沒有定義��,本發(fā)明分別在Pre-Auth RequestMessage和Pre-Auth Reply Message中增加了MSS認(rèn)證信息�����,從而完成完整的預(yù)認(rèn)證過程�。
本發(fā)明的Pre-Auth Request Message的消息格式如表四所示
表四修改后的預(yù)認(rèn)證請求消息屬性中的Authentication Message,包含了MSS預(yù)認(rèn)證過程中的認(rèn)證信息���。
本發(fā)明的Pre-Auth Reply Message的消息格式如表五所示
表五修改后的預(yù)認(rèn)證響應(yīng)消息屬性中的Authentication Message�����,包含了MSS預(yù)認(rèn)證過程中的認(rèn)證信息����。
圖3為本發(fā)明實(shí)現(xiàn)預(yù)認(rèn)證過程的第二個實(shí)施例流程圖,其具體過程為步驟300�、MSS向當(dāng)前為該MSS服務(wù)的服務(wù)BS發(fā)起Pre-Auth RequestMessage,該消息攜帶的Authentication Message為RSA下的認(rèn)證請求�����,攜帶的TLV Encoded Attributes為MSS認(rèn)證信息��,如MSS的數(shù)字證書和MSS支持的預(yù)認(rèn)證算法��,攜帶的Target BSID為要切換到目標(biāo)BS的標(biāo)識�;步驟301、該服務(wù)BS收到該消息后�����,根據(jù)該消息攜帶的Target BSID確定目標(biāo)BS���,給目標(biāo)BS轉(zhuǎn)發(fā)該消息���;
步驟302���、該目標(biāo)BS接收到該消息后,獲得該消息攜帶的MSS認(rèn)證信息��,該目標(biāo)BS用預(yù)先存儲的MSS認(rèn)證信息的公鑰解開MSS認(rèn)證信息��,如用公鑰解開MSS的數(shù)字證書�����,判斷是否認(rèn)證成功���,如果是,執(zhí)行步驟303�����;否則����,執(zhí)行步驟306�����;步驟303����、該目標(biāo)BS隨機(jī)產(chǎn)生一個共享密鑰�,根據(jù)MSS認(rèn)證消息中的MSS支持的預(yù)認(rèn)證算法用公鑰加密該共享密鑰后,將加密后的共享密鑰通過無線通信系統(tǒng)的骨干網(wǎng)發(fā)送給服務(wù)BS����;步驟304、服務(wù)BS接收到加密后的共享密鑰后�����,給該MSS發(fā)送Pre-AuthReply Message����,該消息攜帶的Authentication Message為RSA下的認(rèn)證響應(yīng),攜帶的TLV Encoded Attributes為MSS認(rèn)證信息�����,即加密后的共享密鑰����;步驟305���、該MSS接收到該消息后,用該MSS數(shù)字證書中的私鑰進(jìn)行解密���,保存得到的與目標(biāo)BS共享的共享密鑰�,結(jié)束預(yù)認(rèn)證過程����;步驟306、該目標(biāo)BS通過服務(wù)BS向該MSS發(fā)送認(rèn)證失敗消息�����,結(jié)束預(yù)認(rèn)證過程�。
圖3的步驟300所述的預(yù)認(rèn)證請求消息攜帶的Authentication Message也可以為EAP認(rèn)證方式下的認(rèn)證請求;相應(yīng)的��,步驟304所述的預(yù)認(rèn)證響應(yīng)消息攜帶的Authentication Message為EAP認(rèn)證方式下的認(rèn)證響應(yīng)�。
實(shí)施例三本發(fā)明也可以不修改與預(yù)認(rèn)證相關(guān)的認(rèn)證請求����,從步驟300到步驟301的預(yù)認(rèn)證請求過程由服務(wù)BS和目標(biāo)BS之間進(jìn)行的交互去完成首先��,服務(wù)BS在和MSS進(jìn)行認(rèn)證時(shí)保存MSS認(rèn)證信息����,如MSS的數(shù)字證書和MSS所支持的預(yù)認(rèn)證算法��;然后�����,當(dāng)MSS和目標(biāo)BS進(jìn)行預(yù)認(rèn)證時(shí)��,服務(wù)BS將所保存的MSS認(rèn)證信息發(fā)送給目標(biāo)BS�����,目標(biāo)BS收到后按照步驟302~306執(zhí)行完預(yù)認(rèn)證過程�。
當(dāng)本發(fā)明不修改與預(yù)認(rèn)證相關(guān)的Pre-Auth Request Message,只修改與認(rèn)證相關(guān)的Pre-Auth Reply Message時(shí)�����,Pre-Auth Reply Message的消息格式如表六所示
表六修改后的預(yù)認(rèn)證響應(yīng)消息屬性中的Authentication Message�����,包含了MSS預(yù)認(rèn)證過程中的認(rèn)證信息。
圖4為本發(fā)明實(shí)現(xiàn)預(yù)認(rèn)證方法的第三個實(shí)施例流程圖����,服務(wù)BS預(yù)先存儲MSS認(rèn)證信息,MSS認(rèn)證信息包括MSS的數(shù)字證書以及MSS支持的預(yù)認(rèn)證算法��,其具體步驟為步驟400����、MSS向當(dāng)前為該MSS服務(wù)的服務(wù)BS發(fā)起Pre-Auth RequestMessage;步驟401����、該服務(wù)BS收到該消息后,將預(yù)先所存儲的MSS的認(rèn)證信息發(fā)送給MSS���;本發(fā)明也可以由服務(wù)BS通過骨干網(wǎng)代替MSS向目標(biāo)BS發(fā)起Pre-AuthRequest Message�,由此直接執(zhí)行步驟402����;步驟402、該目標(biāo)BS接收到MSS的認(rèn)證消息后�,用預(yù)先存儲的MSS認(rèn)證信息的公鑰解開MSS認(rèn)證信息��,如用公鑰解開MSS的數(shù)字證書,判斷是否認(rèn)證成功��,如果是����,執(zhí)行步驟403;否則���,執(zhí)行步驟406���;步驟403、該目標(biāo)BS隨機(jī)產(chǎn)生一個共享密鑰�����,根據(jù)MSS認(rèn)證信息中的MSS支持的預(yù)認(rèn)證算法用公鑰加密該共享密鑰后�,將加密后的共享密鑰通過無線通信系統(tǒng)的骨干網(wǎng)發(fā)送給服務(wù)BS;步驟404�����、服務(wù)BS接收到加密后的共享密鑰后�����,給該MSS發(fā)送Pre-AuthReply Message,該消息攜帶的Authentication Message為RSA下的認(rèn)證響應(yīng)�����,攜帶的TLV Encoded Attributes為MSS認(rèn)證信息�����,即加密后的共享密鑰����;步驟405、該MSS接收到該消息后��,用該MSS數(shù)字證書中的私鑰進(jìn)行解密�����,保存得到的與目標(biāo)BS共享的共享密鑰���,結(jié)束預(yù)認(rèn)證過程�����;步驟406���、該目標(biāo)BS通過服務(wù)BS向該MSS發(fā)送認(rèn)證失敗消息,結(jié)束預(yù)認(rèn)證過程�。
圖4的步驟404所述的預(yù)認(rèn)證響應(yīng)消息攜帶的Authentication Message為EAP認(rèn)證方式下的認(rèn)證響應(yīng)。
以上所有實(shí)施例在目標(biāo)BS完成對MSS的認(rèn)證后�����,也可以不將加密后的共享密鑰通過服務(wù)BS發(fā)送給MSS�,而是在MSS切換到目標(biāo)BS以后,和MSS完成搜索(Ranging)過程后����,由目標(biāo)BS向MSS主動發(fā)送加密后的共享密鑰,MSS用它的私鑰進(jìn)行解密����,得到共享密鑰。在這個過程中����,目標(biāo)BS除了用前述的響應(yīng)消息Pre_Auth Reply Message通知MSS外,也可以在MSS與目標(biāo)BS搜索成功后���,通過搜索響應(yīng)(RNG_RSP)消息攜帶預(yù)認(rèn)證響應(yīng)的結(jié)果���,為此需要在已有協(xié)議的RNG_RSP消息里增加相應(yīng)的關(guān)于認(rèn)證結(jié)果的TLV編碼�����。
同樣地����,本發(fā)明在步驟206�����、步驟306或步驟406發(fā)送的認(rèn)證失敗消息也可以不通過服務(wù)BS發(fā)送��,而是在MSS完成切換到目標(biāo)BS以后����,和MSS完成Ranging過程以后,由目標(biāo)BS向MSS主動發(fā)送認(rèn)證失敗消息�。
以上所有實(shí)施例都是針對RSA認(rèn)證方式,對于EAP認(rèn)證方式�,利用本發(fā)明中提供的機(jī)制,也能夠完成完整的具有完備前向安全性的預(yù)認(rèn)證過程����。
本發(fā)明提供了一個完整的預(yù)認(rèn)證解決方案���,通過完整的預(yù)認(rèn)證過程在加快切換速度的同時(shí)保證了切換過程中的前向安全性。
以上所述僅為本發(fā)明的較佳實(shí)施例而已�����,并不用以限制本發(fā)明�,凡在本發(fā)明的精神和原則之內(nèi)所做的任何修改����、等同替換和改進(jìn)等,均應(yīng)包含在本發(fā)明的保護(hù)范圍之內(nèi)��。
權(quán)利要求
1.一種預(yù)認(rèn)證方法��,其特征在于�,該方法包括A、服務(wù)基站BS向目標(biāo)BS發(fā)送移動臺MSS認(rèn)證信息�����;B�����、目標(biāo)BS對MSS認(rèn)證信息進(jìn)行認(rèn)證,如果認(rèn)證通過�����,則執(zhí)行步驟C��;否則����,向MSS返回認(rèn)證失敗消息,結(jié)束���;C����、目標(biāo)BS隨機(jī)產(chǎn)生一個共享密鑰�����,將共享密鑰用所存儲的密鑰加密后發(fā)送給MSS�;D、MSS用所存儲的私鑰對加密的共享密鑰進(jìn)行解密后�����,得到共享密鑰。
2.如權(quán)利要求1所述的方法�,其特征在于,步驟C所述的所存儲的密鑰為MSS數(shù)字證書的公鑰����;步驟D所述的所存儲的私鑰為MSS數(shù)字證書的私鑰。
3.如權(quán)利要求1所述的方法�����,其特征在于�,步驟C所述的所存儲的密鑰為預(yù)先與MSS共同設(shè)置的密鑰�����;步驟D所述的所存儲的私鑰為預(yù)先與目標(biāo)BS共同設(shè)置的密鑰���。
4.如權(quán)利要求1所述的方法����,其特征在于���,步驟A所述的MSS認(rèn)證信息是在服務(wù)BS和MSS認(rèn)證過程中由服務(wù)BS預(yù)先存儲的����。
5.如權(quán)利要求1所述的方法,其特征在于�,在步驟A之前,該方法還包括A11�����、MSS向服務(wù)BS發(fā)送預(yù)認(rèn)證傳輸消息Pre-Auth Transfer Message���,該消息攜帶MSS認(rèn)證信息�;步驟A所述的MSS認(rèn)證信息是攜帶在Pre-Auth Transfer Message發(fā)送給目標(biāo)BS的����。
6.如權(quán)利要求1所述的方法,其特征在于����,在步驟A之前,該方法還包括A12���、MSS向服務(wù)BS發(fā)送預(yù)認(rèn)證請求消息Pre-Auth Request Message�,該消息攜帶MSS認(rèn)證信息;步驟A所述的MSS認(rèn)證信息是攜帶在Pre-Auth Request Message中發(fā)送給目標(biāo)BS的��。
7.如權(quán)利要求1所述的方法�����,其特征在于���,所述的MSS認(rèn)證信息包括MSS的數(shù)字證書�����、MSS支持的預(yù)認(rèn)證算法�����。
8.如權(quán)利要求7所述的方法,其特征在于���,步驟B所述對MSS認(rèn)證信息進(jìn)行認(rèn)證的過程為目標(biāo)BS判斷是否能夠用預(yù)先存儲的MSS數(shù)字證書的公鑰解開MSS認(rèn)證信息中的MSS的數(shù)字證書���,如果是,則認(rèn)證通過;否則�,認(rèn)證不通過。
9.如權(quán)利要求1所述的方法�����,其特征在于�����,步驟C所述的將共享密鑰加密后發(fā)送給MSS是通過服務(wù)BS發(fā)送����。
10.如權(quán)利要求9所述的方法,其特征在于��,步驟C所述的將共享密鑰加密后通過服務(wù)BS發(fā)送給MSS的過程為C1���、目標(biāo)BS向服務(wù)BS發(fā)送加密后的共享密鑰�����;C2����、服務(wù)BS收到該加密后的共享密鑰后,將該加密后的共享密鑰通過設(shè)置的Pre-Auth Transfer Message中����、或者將該加密后的共享密鑰攜帶在預(yù)認(rèn)證響應(yīng)消息Pre-Auth Reply Message中發(fā)送給MSS。
11.如權(quán)利要求1所述的方法�,其特征在于,步驟C所述的將共享密鑰加密后發(fā)送給MSS是在MSS切換到目標(biāo)BS后由目標(biāo)BS通過Pre-Auth ReplyMessage或搜索響應(yīng)RNG RSP發(fā)送�����。
12.如權(quán)利要求1所述的方法����,其特征在于,步驟B所述的認(rèn)證失敗消息是通過服務(wù)BS返回給MSS�。
13.如權(quán)利要求1所述的方法,其特征在于���,步驟B所述的認(rèn)證失敗消息是在MSS切換到目標(biāo)BS后由目標(biāo)BS返回給MSS�。
全文摘要
本發(fā)明公開了一種預(yù)認(rèn)證方法�,該方法包括A.服務(wù)基站BS向目標(biāo)BS發(fā)送移動臺MSS認(rèn)證信息�;B.目標(biāo)BS對MSS認(rèn)證信息進(jìn)行認(rèn)證,如果認(rèn)證通過���,則執(zhí)行步驟C����;否則,向MSS返回認(rèn)證失敗消息�,結(jié)束;C.目標(biāo)BS隨機(jī)產(chǎn)生一個共享密鑰���,將共享密鑰用預(yù)先存儲的MSS數(shù)字證書的公鑰加密后發(fā)送給MSS�;D.MSS用所存儲的MSS數(shù)字證書的私鑰對加密的共享密鑰進(jìn)行解密后����,得到共享密鑰。本發(fā)明提供的方法在具備前向安全性的情況下實(shí)現(xiàn)MSS和目標(biāo)BS之間的預(yù)認(rèn)證����。
文檔編號H04L9/12GK1801705SQ20051000662
公開日2006年7月12日 申請日期2005年1月7日 優(yōu)先權(quán)日2005年1月7日
發(fā)明者吳建軍, 肖正飛 申請人:華為技術(shù)有限公司