CN101043324A - 一种网络中的密钥序列号的生成方法 - Google Patents
一种网络中的密钥序列号的生成方法 Download PDFInfo
- Publication number
- CN101043324A CN101043324A CN 200610070937 CN200610070937A CN101043324A CN 101043324 A CN101043324 A CN 101043324A CN 200610070937 CN200610070937 CN 200610070937 CN 200610070937 A CN200610070937 A CN 200610070937A CN 101043324 A CN101043324 A CN 101043324A
- Authority
- CN
- China
- Prior art keywords
- dibit
- sequence number
- key
- dibit position
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Mobile Radio Communication Systems (AREA)
Abstract
本发明提供了一种网络中的密钥序列号的生成方法,其包括:步骤a.通过两次认证过程,用户设备和网络侧密钥生成器各自生成第一次主密钥序列号RK1_SN和第二次主密钥序列号RK2_SN;步骤b.对所述RK1_SN及RK2_SN中的比特位相加,从而得到用户设备和网络侧的子密钥序列号。本发明提供了由两个父密钥序列号产生子密钥序列号的方法,并可应用于WiMAX等无线网络系统中,提高了网络安全性。
Description
技术领域
本发明涉及网络安全技术,尤其涉及一种网络中的密钥序列号的生成方法。
背景技术
目前网络认证过程中产生的密钥,一般来说是由一个父密钥产生子密钥,子密钥的序列号应该等价于父密钥序列号。但是若子密钥由两个父密钥经过某个算法共同产生,且每个父密钥各自维护自己的密钥序列号,则子密钥的序列号有必要从两个父密钥的序列号产生,而对于如何由两个父密钥序列号产生子密钥序列号,目前并没有给出具体的解决方法。
发明内容
有鉴于此,本发明的目的在于提供一种网络中的密钥序列号的生成方法,通过对两次认证过程产生的两个序列号中的比特位相加,生成网络中的子密钥序列号,以提高网络的安全性。
为了实现所述的目的,本发明的技术方案为:
一种网络中的密钥序列号的生成方法,包括如下步骤:
步骤a.通过两次认证过程,用户设备和网络侧密钥生成器各自生成第一次主密钥序列号RK1_SN和第二次主密钥序列号RK2_SN;
步骤b.对所述RK1_SN及RK2_SN中的比特位相加,从而得到用户设备和网络侧的子密钥序列号。
所述步骤b包括:
使用RK1_SN中的两比特和RK2_SN的两比特,相加之后模4,作为用户设备和网络侧密钥生成器的子密钥序列号。
对RK1_SN,所述两比特位为低两比特位;对RK2_SN,所述两比特位为高两比特位;或
对RK1_SN,所述两比特位为低两比特位;对RK2_SN,所述两比特位为低两比特位;或
对RK1_SN,所述两比特位为高两比特位;对RK2_SN,所述两比特位为低两比特位;或
对RK1_SN,所述两比特位为高两比特位;对RK2_SN,所述两比特位为高两比特位。
生成RK1_SN的过程中,在初始认证时,RK1_SN的值从0,1,2或3开始初始化;重认证时,RK1_SN的值分别加一;
生成RK2_SN的过程中,在初始认证时,RK2_SN的值从0,1,2或3开始初始化;重认证时,RK2_SN的值分别加一。
对所述RK1_SN,使用无意义的两比特,对所述RK2_SN,使用有意义的两比特。
在认证时,所述无意义的两比特的值为从0,1,2或3开始累加后模4;
在认证时,所述有意义的两比特的值为从0,1,2或3开始累加后模4。
所述RK1_SN的无意义的两比特为低两比特位,RK2_SN的有意义的两比特为高两比特位;或
所述RK1_SN的无意义的两比特为低两比特位,RK2_SN的有意义的两比特为低两比特位;或
所述RK1_SN的无意义的两比特为高两比特位,RK2_SN的有意义的两比特为低两比特位;或
所述RK1_SN的无意义的两比特为高两比特位,RK2_SN的有意义的两比特为高两比特位。
所述的方法还包括:
步骤c.网络侧密钥生成器通过密钥材料传输消息向使用器传送子密钥序列号。
所述密钥材料传输消息包含:授权密钥、授权密钥序列号及授权密钥的生命时间。
对于WiMAX网络:
所述终端为移动台MS,所述网络侧密钥生成器为鉴权器,所述RK1为对偶主密钥PMK,RK2为第二次对偶主密钥PMK2;所述PMK与PMK2对应的序列号分别为PMK_SN与PMK2_SN,所述使用器为基站。
本发明的有益效果在于,本发明提供了由两个父密钥序列号产生子密钥序列号的方法,并可应用于WiMAX等无线网络系统中,提高了网络的安全性。
附图说明
图1为本发明的通用密钥序列号生成流程图;
图2为本发明的应用于网络认证过程的密钥序列号生成流程图。
具体实施方式
下面结合具体的实施例对本发明进行详细的说明。
鉴权过程是通过在终端和网络设备之间交互认证消息,从而达到相互确认终端设备和网络设备的目的。本发明主要解决的问题在于从两个父密钥的序列号中得出子密钥的序列号,以提高网络安全性。本发明的基本原理是通过对两次认证产生的密钥序列号进行相加,以得到用户设备和网络侧的授权密钥序列号。
实施例1
假定第一次认证过程在用户设备和密钥生成器产生的密钥RK1,序列号为RK1_SN(4个比特);第二次认证过程在用户设备和密钥生成器产生的密钥RK2,序列号为RK2_SN(4个比特);子密钥为授权密钥AK,授权密钥AK的序列号为AK_SN。当所作的认证过程是初始认证时,RK1_SN和RK2_SN都要从某个初始值开始初始化,如使用0,1,2或者3初始化;重认证时,RK1_SN和RK2_SN的值分别加一。
则得到AK_SN的方法为使用各个序列号的两比特相加后模4,即
AK_SN=(RK1_SN+RK2_SN)模4; (1)
在公式(1)中,仅使用RK1_SN及RK2_SN中的某两比特位相加,如对RK1_SN使用低两比特位,RK2_SN使用高两比特位;或
RK1_SN使用低两比特位,RK2_SN使用低两比特位;或
RK1_SN使用高两比特位,RK2_SN使用高两比特位;或
RK1_SN使用高两比特位,RK2_SN使用低两比特位。
于是,在终端和网络侧的密钥生成器根据上面的公式分别生成了2比特的授权密钥序列号。在终端和网络侧生成序列号的流程图如图1所示。
然后,在网络侧由生成器(如鉴权器)将子密钥的序列号分发到使用器(如基站)。
下面说明本发明的方法在WiMAX网络中的应用。图2为本发明的应用于WiMAX网络认证过程的密钥序列号生成流程图,如图2所示,本实施例的序列号生成方法包括如下步骤:
(1)订阅台和认证服务器之间的进行两次EAP(扩展认证协议)认证过程,此过程之后,在订阅台和鉴权器(Authenticator)上分别各自生成了第一次的对偶主密钥PMK及其序列号PMK_SN和第二次对偶主密钥PMK2及其序列号PMK2_SN,所述的PMK_SN及PMK2_SN都为4个比特。
(2)在订阅台(移动台)和鉴权器上分别根据如下公式生成授权密钥(AK:Authorization Key)的序列号:
使用各个序列号的两比特相加后模4,即:
AK SN=(PMK_SN+PMK2_SN)模4,得到的授权密钥AK的序列号为2个比特。
对于PMK_SN和PMK2_SN中的比特位的选择,可以采用如下几种方式:
PMK_SN使用低两比特位,PMK2_SN使用高两比特位;或
PMK_SN使用低两比特位,PMK2_SN使用低两比特位;或
PMK_SN使用高两比特位,PMK2_SN使用高两比特位;或
PMK_SN使用高两比特位,PMK2_SN使用低两比特位。
例如,如果PMK_SN及PMK2_SN都使用低两比特位,则若PMK_SN低两比特位为01;若PMK2_SN低两比特位为00,则(10+11)模4=01,即得到2比特的授权密钥序列号AK_SN。
如此,就在订阅台及鉴权器上分别得到了授权密钥的序列号。
接着,网络侧鉴权器发送携带授权密钥序列号的密钥材料传输消息给基站,所述消息中还包括授权密钥、及授权密钥的生命时间。
然后,订阅台和基站之间进行新的授权密钥序列号的协商。其具体可以参照IEEE802.16e-D12中定义的标准进行协商。由于密钥序列号的分发及序列号的协商过程与现有技术相同,因此在此不作赘述。
实施例2
假定第一次认证过程产生的密钥RK1,序列号为RK1_SN(4个比特);第二次认证过程产生的密钥RK2,序列号为RK2_SN(4个比特);子密钥为授权密钥AK,授权密钥AK的序列号为AK_SN。当所作的认证过程是初始认证时,RK1_SN和RK2_SN都要从某个初始值开始初始化,如使用0,1,2或者3初始化。RK1_SN总是使用无意义的两比特,而RK2_SN总是使用有意义的两比特。所述RK1_SN的无意义的两比特及所述RK2_SN的有意义的两比特的值为从某个初始值(该初始值可以为0,1,2,或3)开始累加,然后模4。
则得到AK_SN的方法为RK1_SN的无意义的两比特与RK2_SN有意义的两比特相加:
AK_SN=RK1_SN+RK2_SN。
于是,在终端和网络侧根据上面的公式分别生成2比特的密钥序列号。
然后,在网络侧由生成器(如鉴权服务器)将子密钥的序列号分发到使用器(如基站)。
同样对于WiMAX网络,授权密钥序列号的生成方法包括如下步骤:
(1)订阅台(移动台)和认证服务器之间进行两次EAP认证过程,此过程之后,在订阅台和鉴权器上分别生成了第一次的对欧主密钥PMK及其序列号PMK_SN和第二次对欧主密钥PMK2及其序列号PMK2_SN。
在此,对PMK_SN,总是使用无意义的两比特,所述无意义的两比特可以为低两比特位或高两比特位,该两比特的值为从一初始值(如0,1,2,或3)累加后模4;
对PMK2_SN,总是使用有意义的两比特,所述有意义的两比特可以为低两比特位或高两比特位,该两比特的值为从一初始值(如0,1,2,或3)累加后模4。
(2)在订阅台和鉴权器上分别根据如下公式生成授权密钥AK的序列号:
AK的SN等于PMK_SN的无意义的两比特与PMK2_SN有意义的两比特相加,即,AK_SN=PMK_SN+PMK2_SN。
例如,假设PMK_SN的无意义的两比特为低两比特,PMK2_SN的有意义的两比特为高两比特。如果二者认证时初始值分别为0和3,则PMK_SN的无意义的两比特从初始值(0)累加1后模4,即为“01”;PMK2_SN的有意义的两比特从初始值(3)加1后模4,即为“00”,则AK_SN=01+00=01。
如此,就在订阅台及鉴权服务器上分别得到了2比特的授权密钥的序列号。授权序列号生成后的步骤与实施例1相同。
另外,本发明还可以RK1_SN加上RK2_SN,以得到一4比特的子密钥序列号,其中可只使用高两比特或低两比特。
本发明的方法不仅适用于WiMAX网络,同样适用于其它网络系统。
如上所述,本发明提供了由两个父密钥序列号产生子密钥序列号的方法,并可应用于WiMAX等无线网络系统中,保证了网络中数据传输的安全性。
以上具体实施方式仅用于说明本发明,而非用于限定本发明。凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (11)
1.一种网络中的密钥序列号的生成方法,其特征在于包括如下步骤:
步骤a.通过两次认证过程,用户设备和网络侧密钥生成器各自生成第一次主密钥序列号RK1_SN和第二次主密钥序列号RK2_SN;
步骤b.对所述RK1_SN及RK2_SN中的比特位相加,从而得到用户设备和网络侧的子密钥序列号。
2.根据权利要求1所述的方法,其特征在于,所述步骤b包括:
使用RK1_SN中的两比特和RK2_SN的两比特,相加之后模4,作为用户设备和网络侧密钥生成器的子密钥序列号。
3.根据权利要求2所述的方法,其特征在于:
对RK1_SN,所述两比特位为低两比特位;对RK2_SN,所述两比特位为高两比特位;或
对RK1_SN,所述两比特位为低两比特位;对RK2_SN,所述两比特位为低两比特位;或
对RK1_SN,所述两比特位为高两比特位;对RK2_SN,所述两比特位为低两比特位;或
对RK1_SN,所述两比特位为高两比特位;对RK2_SN,所述两比特位为高两比特位。
4.根据权利要求1所述的方法,其特征在于:
生成RK1_SN的过程中,在初始认证时,RK1_SN的值从0,1,2或3开始初始化;重认证时,RK1_SN的值分别加一;
生成RK2_SN的过程中,在初始认证时,RK2_SN的值从0,1,2或3开始初始化;重认证时,RK2_SN的值分别加一。
5.根据权利要求1所述的方法,其特征在于:
对所述RK1_SN,使用无意义的两比特,对所述RK2_SN,使用有意义的两比特。
6.根据权利要求5所述的方法,其特征在于:
在认证时,所述无意义的两比特的值为从0,1,2或3开始累加后模4;
在认证时,所述有意义的两比特的值为从0,1,2或3开始累加后模4。
7.根据权利要求5所述的方法,其特征在于:
所述RK1_SN的无意义的两比特为低两比特位,RK2_SN的有意义的两比特为高两比特位;或
所述RK1_SN的无意义的两比特为低两比特位,RK2_SN的有意义的两比特为低两比特位;或
所述RK1_SN的无意义的两比特为高两比特位,RK2_SN的有意义的两比特为低两比特位;或
所述RK1_SN的无意义的两比特为高两比特位,RK2_SN的有意义的两比特为高两比特位。
8.根据权利要求1所述的方法,其特征在于还包括:
步骤c.网络侧密钥生成器通过密钥材料传输消息向使用器传送子密钥序列号。
9.根据权利要求8所述的方法,其特征在于:
所述密钥材料传输消息包含:授权密钥、授权密钥序列号及授权密钥的生命时间。
10.根据权利要求1-8中任意一项所述的方法,其特征在于,对于WiMAX网络:
所述终端为移动台MS,所述网络侧密钥生成器为鉴权器,所述RK1为对偶主密钥PMK,RK2为第二次对偶主密钥PMK2;所述PMK与PMK2对应的序列号分别为PMK_SN与PMK2_SN。
11.根据权利要求8所述的方法,其特征在于,对于WiMAX网络:
所述使用器为基站。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 200610070937 CN101043324A (zh) | 2006-03-25 | 2006-03-25 | 一种网络中的密钥序列号的生成方法 |
| PCT/CN2007/000973 WO2007109994A1 (fr) | 2006-03-25 | 2007-03-26 | Procédé et appareil permettant de générer un nombre ordinal de la clé de chiffrement dans un réseau |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 200610070937 CN101043324A (zh) | 2006-03-25 | 2006-03-25 | 一种网络中的密钥序列号的生成方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN101043324A true CN101043324A (zh) | 2007-09-26 |
Family
ID=38808559
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN 200610070937 Pending CN101043324A (zh) | 2006-03-25 | 2006-03-25 | 一种网络中的密钥序列号的生成方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101043324A (zh) |
-
2006
- 2006-03-25 CN CN 200610070937 patent/CN101043324A/zh active Pending
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101043328A (zh) | 通用引导框架中密钥更新方法 | |
| CN1324502C (zh) | 鉴别被邀请加入组的潜在成员的方法 | |
| CN1949709A (zh) | 一种网络接入鉴别与授权方法以及授权密钥更新方法 | |
| CN1665183A (zh) | Wapi认证机制中的密钥协商方法 | |
| CN1256594A (zh) | 建立会话密钥协定的方法 | |
| CN1897523A (zh) | 一种实现单点登录的系统及方法 | |
| CN1427554A (zh) | 通信系统及服务器装置及客户端装置、以及相应的控制方法 | |
| CN1949765A (zh) | 获得被管设备的ssh主机公开密钥的方法和系统 | |
| CN1929371A (zh) | 用户和外围设备协商共享密钥的方法 | |
| CN1859414A (zh) | 一种数字版权保护方法及系统 | |
| CN101079696A (zh) | 一种行业监控系统中流媒体加密的系统和方法 | |
| CN1819698A (zh) | 一种目标基站获取鉴权密钥上下文信息的方法 | |
| CN1893381A (zh) | 安全性设定处理系统 | |
| CN101061665A (zh) | 利用用户绑定在家用网络中传送内容的方法 | |
| CN1921682A (zh) | 增强通用鉴权框架中的密钥协商方法 | |
| CN1905734A (zh) | 一种目标基站获取鉴权密钥的方法及系统 | |
| CN101047493A (zh) | 获取简单网络管理协议管理密钥的方法及系统 | |
| CN101047505A (zh) | 一种网络应用push业务中建立安全连接的方法及系统 | |
| CN101039181A (zh) | 防止通用鉴权框架中服务功能实体受攻击的方法 | |
| CN1921379A (zh) | 一种目标鉴权者/密钥提供者获取密钥的方法 | |
| CN1801705A (zh) | 一种预认证方法 | |
| CN1700639A (zh) | 导出和导入无线局域网鉴别与保密基础结构证书信息方法 | |
| CN1260909C (zh) | 一种增强无线城域网安全性的方法 | |
| CN1668000A (zh) | 用于无线网络的鉴别与保密方法 | |
| CN1897520A (zh) | 进行通信安全认证的方法和系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
| WD01 | Invention patent application deemed withdrawn after publication |