CN101043325B - 一种网络认证方法 - Google Patents
一种网络认证方法 Download PDFInfo
- Publication number
- CN101043325B CN101043325B CN200610070939.0A CN200610070939A CN101043325B CN 101043325 B CN101043325 B CN 101043325B CN 200610070939 A CN200610070939 A CN 200610070939A CN 101043325 B CN101043325 B CN 101043325B
- Authority
- CN
- China
- Prior art keywords
- key
- dibit
- sequence number
- dibit position
- sub
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
- 238000000034 method Methods 0.000 title claims abstract description 51
- 238000013475 authorization Methods 0.000 claims description 22
- 101100083745 Caenorhabditis elegans pmk-2 gene Proteins 0.000 claims description 6
- 239000000463 material Substances 0.000 claims description 5
- 238000012546 transfer Methods 0.000 claims description 5
- 238000012795 verification Methods 0.000 description 8
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000015572 biosynthetic process Effects 0.000 description 1
- 230000002452 interceptive effect Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
Images
Landscapes
- Mobile Radio Communication Systems (AREA)
Abstract
本发明提供一种网络认证方法,其包括:步骤a.通过两次认证过程,用户设备和网络侧密钥生成器各自生成第一次主密钥序列号RK1_SN和第二次主密钥序列号RK2_SN;步骤b.对所述RK1_SN及RK2_SN中的两比特位相连接,从而得到用户设备和网络侧的子密钥序列号;步骤c.网络侧密钥生成器向使用器传送所述子密钥序列号;步骤d.所述使用器利用所述子密钥序列号进行网络认证。本发明提供了网络中由两个父密钥序列号产生子密钥序列号的方法,并可应用于WiMAX等无线网络系统中,提高了网络的安全性。
Description
技术领域
本发明涉及网络安全技术,尤其涉及一种网络认证方法。
背景技术
目前网络认证过程中产生的密钥,一般来说是由一个父密钥产生子密钥,子密钥的序列号应该等价于父密钥序列号。但是若子密钥由两个父密钥经过某个算法共同产生,且每个父密钥各自维护自己的密钥序列号,则子密钥的序列号有必要从两个父密钥的序列号产生,而对于如何由两个父密钥序列号产生子密钥序列号,目前并没有给出具体的解决方法。
发明内容
有鉴于此,本发明的目的在于提供一种网络认证方法,通过对两次认证过程产生的两个序列号中两比特相连接,生成网络中的子密钥序列号,从而提高网络安全性。
为了实现所述的目的,本发明的技术方案为:
一种网络中的密钥序列号的生成方法,包括如下步骤:
步骤a.通过两次认证过程,用户设备和网络侧密钥生成器各自生成第一次主密钥序列号RK1_SN和第二次主密钥序列号RK2_SN;
步骤b.对所述RK1_SN及RK2_SN中的两比特位相连接,从而得到用户设备和网络侧的子密钥序列号;
步骤c.网络侧密钥生成器向使用器传送所述子密钥序列号;
步骤d.所述使用器利用所述子密钥序列号进行网络认证。
步骤b中,使用RK1_SN中的两比特和RK2_SN的两比特,相连接之后模4,作为用户设备和网络侧密钥生成器的子密钥序列号。
对RK1_SN,所述两比特位为低两比特位;对RK2_SN,所述两比特位为高两比特位;或
对RK1_SN,所述两比特位为低两比特位;对RK2_SN,所述两比特位为低两比特位;或
对RK1_SN,所述两比特位为高两比特位;对RK2_SN,所述两比特位为低两比特位;或
对RK1_SN,所述两比特位为高两比特位;对RK2_SN,所述两比特位为高两比特位。
生成RK1_SN的过程中,在初始认证时,RK1_SN的值从0,1,2或3开始初始化;重认证时,RK1_SN的值分别加一;
生成RK2_SN的过程中,在初始认证时,RK2_SN的值从0,1,2或3开始初始化;重认证时,RK2_SN的值分别加一。
所述的方法的步骤c具体包括:
网络侧密钥生成器通过密钥材料传输消息向使用器传送子密钥序列号。
所述密钥材料传输消息包含:授权子密钥、授权子密钥序列号及授权子密钥的生命时间。
对于WiMAX网络,所述用户设备为移动台MS,所述网络侧密钥生成器为鉴权器,所述RK1_SN对应的第一次主密钥RK1为对偶主密钥PMK,RK2_SN对应的第二次主密钥RK2为第二次对偶主密钥PMK2;所述PMK与PMK2对应的序列号分别为PMK_SN与PMK2_SN,所述使用器为基站。
本发明的有益效果在于,本发明提供了网络中由两个父密钥序列号产生子密钥序列号的方法,并可应用于WiMAX等无线网络系统中,从而提高了网络安全性。
附图说明
图1为本发明的通用密钥序列号生成流程图;
图2为本发明的应用于网络认证过程的密钥序列号生成流程图。
具体实施方式
下面结合具体的实施例对本发明进行详细的说明。
鉴权过程是通过在终端和网络设备之间交互认证消息,从而达到相互确认终端设备和网络设备的目的。本发明主要解决的问题在于如何在二次认证过程中从两个父密钥的序列号中得出授权密钥的序列号,以提高网络安全性。图1为本发明的密钥序列号生成方法(包括序列号的分发),如图1所示。具体操作如下。
实施例1
假定第一次认证过程产生的密钥RK1,序列号为RK1_SN;第二次认证过程产生的密钥RK2,序列号为RK2_SN;子密钥为授权密钥AK,授权密钥AK的序列号为AK_SN。所述序列号都为4个比特。当所作的认证过程是初始认证时,RK1_SN和RK2_SN都要从某个初始值开始初始化,如使用0,1,2或者3初始化。对RK1_SN总是使用无意义的两比特,而RK2_SN总是使用有意义的两比特。所述RK1_SN的无意义的两比特及所述RK2_SN的有意义的两比特的值为从某个初始值(该初始值可以为0,1,2,或3)开始累加,然后模4。
则得到AK_SN的方法为RK1_SN的无意义的两比特与RK2_SN有意义的两比特相连接:
AK_SN=RK1_SN+RK2_SN,这里的“+”为连接符 (1)。
于是,在终端和网络侧根据上面的公式(1)分别生成4比特的密钥序列号,其中可只使用高两比特或低两比特。
然后,在网络侧由生成器(如鉴权服务器)将子密钥的序列号分发到使用器(如基站)。
下面说明本发明的方法在WiMAX网络中的应用。图2为本发明的应用于WiMAX网络认证过程的密钥序列号生成流程图,如图2所示,本实施例的序列号生成方法包括如下步骤:
(1)订阅台(移动台)和认证服务器之间进行两次EAP(扩展认证协议)认证过程,此过程之后,在订阅台和鉴权器上分别生成了第一次的对欧主密钥PMK及其序列号PMK_SN和第二次对欧主密钥PMK2及其序列号PMK2_SN。
在此,对PMK_SN,总是使用无意义的两比特,所述无意义的两比特可以为低两比特位或高两比特位,该两比特的值为从一初始值(如0,1,2,或3)累加后模4;
对PMK2_SN,总是使用有意义的两比特,所述有意义的两比特可以为低两比特位或高两比特位,该两比特的值为从一初始值(如0,1,2,或3)累加后模4。
(2)在订阅台和鉴权器上分别根据如下公式生成授权密钥AK的序列号:
AK的SN等于PMK_SN的无意义的两比特与PMK2_SN有意义的两比特相连接,即,AK_SN=PMK_SN+PMK2_SN,这里的“+”为连接符。
例如,假设PMK_SN的无意义的两比特为低两比特,PMK2_SN的有意义的两比特为高两比特。如果认证时二者初始值分别为0和3,则PMK_SN的无意义的两比特从初始值(0)累加1后模4,即为“01”;PMK2_SN的有意义的两比特从初始值(3)加1后模4,即为“00”,则AK_SN=01+00=0100,即得到4个比特的授权密钥序列号,其中可只使用高两比特或低两比特。
接着,网络侧鉴权服务器发送携带授权密钥序列号的密钥材料传输消息给基站,所述消息中还包括授权密钥、及授权密钥的生命时间。
然后,订阅台和基站之间进行新的授权密钥序列号的协商。其具体可以参照IEEE802.16e-D12中定义的标准进行协商。由于密钥序列号的分发及序列号的协商过程与现有技术相同,因此在此不作赘述。
实施例2
假定第一次认证过程在用户设备和密钥生成器产生的密钥RK1,序列号为RK1_SN;第二次认证过程在用户设备和密钥生成器产生的密钥RK2,序列号为RK2_SN;子密钥为授权密钥AK,授权密钥AK的序列号为AK_SN。所述序列号都为4个比特。当所作的认证过程是初始认证时,RK1_SN和RK2_SN都要从某个初始值开始初始化,如使用0,1,2或者3初始化;重认证时,RK1_SN和RK2_SN的值分别加一。
则得到AK_SN的方法为使用各个序列号的两比特相连接后模4,即
AK_SN=(RK1_SN+RK2_SN)模4,其中“+”为连接符 (2)
在公式(2)中,仅使用RK1_SN及RK2_SN中的某两比特位相连接,如对RK1_SN使用低两比特位,RK2_SN使用高两比特位;或
RK1_SN使用低两比特位,RK2_SN使用低两比特位;或
RK1_SN使用高两比特位,RK2_SN使用高两比特位;或
RK1_SN使用高两比特位,RK2_SN使用低两比特位。
于是,在终端和网络侧的密钥生成器根据分别生成了4比特的授权密钥序列号,其中只使用高两比特或低两比特。在终端和网络侧生成序列号的流程图如图1所示。
然后,在网络侧由生成器(如鉴权器)将子密钥的序列号分发到使用器(如基站)。
同样,对于WiMAX网络(如图2所示),授权密钥序列号生成方法包括如下步骤:
(1)订阅台和认证服务器之间的进行两次EAP(扩展认证协议)认证过程,此过程之后,在订阅台和鉴权器(Authenticator)上分别各自生成了第一次的对偶主密钥PMK及其序列号PMK_SN和第二次对偶主密钥PMK2及其序列号PMK2_SN,所述的PMK_SN及PMK2_SN都为4个比特。
(2)在订阅台(移动台)和鉴权器上分别根据如下公式生成授权密钥(AK:Authorization Key)的序列号:
使用各个序列号的两比特相加后模4,即:
AK SN=(PMK_SN+PMK2_SN)模4,得到的授权密钥AK的序列号为2个比特。
对于PMK_SN和PMK2_SN中的比特位的选择,可以采用如下几种方式:
PMK_SN使用低两比特位,PMK2_SN使用高两比特位;或
PMK_SN使用低两比特位,PMK2_SN使用低两比特位;或
PMK_SN使用高两比特位,PMK2_SN使用高两比特位;或
PMK_SN使用高两比特位,PMK2_SN使用低两比特位。
例如,如果PMK_SN及PMK2_SN都使用低两比特位,则若PMK_SN低两比特位为01;若PMK2_SN低两比特位为00,则(10+11)模4=0011,即得到4比特的授权密钥序列号AK_SN,其中可只使用高两比特或低两比特。
授权序列号生成后的步骤与实施例1相同。
本发明的方法不仅适用于WiMAX网络,同样适用于其它网络系统。
如上所述,本发明提供了由两个父密钥序列号产生子密钥序列号的方法,并可应用于WiMAX等无线网络系统中,提高网络的安全性。
以上具体实施方式仅用于说明本发明,而非用于限定本发明。凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (8)
1.一种网络认证方法,其特征在于包括如下步骤:
步骤a.通过两次认证过程,用户设备和网络侧密钥生成器各自生成第一次主密钥序列号RK1_SN和第二次主密钥序列号RK2_SN;
步骤b.对所述RK1_SN及RK2_SN中的两比特位相连接,从而得到用户设备和网络侧的子密钥序列号;
步骤c.网络侧密钥生成器向使用器传送所述子密钥序列号;
步骤d.所述使用器利用所述子密钥序列号进行网络认证。
2.根据权利要求1所述的方法,其特征在于步骤b中:
使用RK1_SN中的两比特和RK2_SN的两比特,相连接之后模4,作为用户设备和网络侧密钥生成器的子密钥序列号。
3.根据权利要求2所述的方法,其特征在于:
对RK1_SN,所述两比特位为低两比特位;对RK2_SN,所述两比特位为高两比特位;或
对RK1_SN,所述两比特位为低两比特位;对RK2_SN,所述两比特位为低两比特位;或
对RK1_SN,所述两比特位为高两比特位;对RK2_SN,所述两比特位为低两比特位;或
对RK1_SN,所述两比特位为高两比特位;对RK2_SN,所述两比特位为高两比特位。
4.根据权利要求1所述的方法,其特征在于:
生成RK1_SN的过程中,在初始认证时,RK1_SN的值从0,1,2或3开始初始化;重认证时,RK1_SN的值分别加一;
生成RK2_SN的过程中,在初始认证时,RK2_SN的值从0,1,2或3开始初始化;重认证时,RK2_SN的值分别加一。
5.根据权利要求1所述的方法,其特征在于,所述步骤c具体包括:
网络侧密钥生成器通过密钥材料传输消息向使用器传送子密钥序列号。
6.根据权利要求5所述的方法,其特征在于:
所述密钥材料传输消息包含:授权子密钥、授权子密钥序列号及授权子密钥的生命时间。
7.根据权利要求1-5中任意一项所述的方法,其特征在于,对于WiMAX网络:
所述用户设备为移动台MS,所述网络侧密钥生成器为鉴权器,所述RK1_SN对应的第一次主密钥RK1为对偶主密钥PMK,RK2_SN对应的第二次主密钥RK2为第二次对偶主密钥PMK2;所述PMK与PMK2对应的序列号分别为PMK_SN与PMK2_SN。
8.根据权利要求5所述的方法,其特征在于:所述使用器为基站。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200610070939.0A CN101043325B (zh) | 2006-03-25 | 2006-03-25 | 一种网络认证方法 |
| PCT/CN2007/000973 WO2007109994A1 (fr) | 2006-03-25 | 2007-03-26 | Procédé et appareil permettant de générer un nombre ordinal de la clé de chiffrement dans un réseau |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200610070939.0A CN101043325B (zh) | 2006-03-25 | 2006-03-25 | 一种网络认证方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101043325A CN101043325A (zh) | 2007-09-26 |
| CN101043325B true CN101043325B (zh) | 2010-05-12 |
Family
ID=38808560
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN200610070939.0A Expired - Fee Related CN101043325B (zh) | 2006-03-25 | 2006-03-25 | 一种网络认证方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101043325B (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102378175A (zh) | 2011-10-08 | 2012-03-14 | 华为终端有限公司 | 一种无线局域网络认证方法及移动终端 |
| CN106034019B (zh) * | 2015-03-09 | 2019-03-22 | 深圳华智融科技股份有限公司 | 一种密钥发散方法及装置 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5850444A (en) * | 1996-09-09 | 1998-12-15 | Telefonaktienbolaget L/M Ericsson (Publ) | Method and apparatus for encrypting radio traffic in a telecommunications network |
| CN1459724A (zh) * | 2002-05-25 | 2003-12-03 | 三星电子株式会社 | 用于生成序列号的方法和装置 |
| CN1502186A (zh) * | 2001-04-12 | 2004-06-02 | 国际商业机器公司 | 在计算机网络中有控制地分发应用程序代码和内容数据 |
| CN1592175A (zh) * | 2003-09-04 | 2005-03-09 | 华为技术有限公司 | 一种用于集群业务的长码掩码的生成方法 |
| US6889328B1 (en) * | 1999-05-28 | 2005-05-03 | Telefonaktiebolaget Lm Ericsson (Publ) | Method and apparatus for secure communication |
-
2006
- 2006-03-25 CN CN200610070939.0A patent/CN101043325B/zh not_active Expired - Fee Related
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5850444A (en) * | 1996-09-09 | 1998-12-15 | Telefonaktienbolaget L/M Ericsson (Publ) | Method and apparatus for encrypting radio traffic in a telecommunications network |
| US6889328B1 (en) * | 1999-05-28 | 2005-05-03 | Telefonaktiebolaget Lm Ericsson (Publ) | Method and apparatus for secure communication |
| CN1502186A (zh) * | 2001-04-12 | 2004-06-02 | 国际商业机器公司 | 在计算机网络中有控制地分发应用程序代码和内容数据 |
| CN1459724A (zh) * | 2002-05-25 | 2003-12-03 | 三星电子株式会社 | 用于生成序列号的方法和装置 |
| CN1592175A (zh) * | 2003-09-04 | 2005-03-09 | 华为技术有限公司 | 一种用于集群业务的长码掩码的生成方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101043325A (zh) | 2007-09-26 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN105684344B (zh) | 一种密钥配置方法和装置 | |
| CN105554747B (zh) | 无线网络连接方法、装置及系统 | |
| CN104754581B (zh) | 一种基于公钥密码体制的lte无线网络的安全认证方法 | |
| US8745695B2 (en) | Hybrid networking master passphrase | |
| CN103747012B (zh) | 网络交易的安全验证方法、装置及系统 | |
| CN102916869B (zh) | 即时通信方法和系统 | |
| CN109617675B (zh) | 一种充放电设施与用户端间的双方标识认证方法及系统 | |
| US20110320802A1 (en) | Authentication method, key distribution method and authentication and key distribution method | |
| CN103688563A (zh) | 执行组认证和密钥协商过程 | |
| JP2003005641A (ja) | 無線lanシステムにおける認証方法と認証装置 | |
| CN100488281C (zh) | 一种目标基站获取鉴权密钥上下文信息的方法 | |
| CN102036236A (zh) | 一种对移动终端认证的方法和装置 | |
| CN106452750B (zh) | 一种用于移动设备的量子加密通信方法 | |
| CN102333309B (zh) | 一种无线局域网中密钥传递的方法、设备和系统 | |
| CN103313242A (zh) | 密钥的验证方法及装置 | |
| CN105897784A (zh) | 物联网终端设备加密通信方法和装置 | |
| CN107094138A (zh) | 一种智能家居安全通信系统及通信方法 | |
| CN1905734B (zh) | 一种目标基站获取鉴权密钥的方法及系统 | |
| CN111416712B (zh) | 基于多个移动设备的量子保密通信身份认证系统及方法 | |
| CN104244373B (zh) | 一种无线终端加入无线网络的方法 | |
| CN102404329A (zh) | 用户终端与虚拟社区平台间交互的认证加密方法 | |
| CN110212991B (zh) | 量子无线网络通信系统 | |
| CN101616407A (zh) | 预认证的方法和认证系统 | |
| CN101043325B (zh) | 一种网络认证方法 | |
| CN103313244A (zh) | 一种基于gba的认证方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| C17 | Cessation of patent right | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20100512 Termination date: 20130325 |