CN101552984B - 一种移动通信系统的基站的安全接入方法 - Google Patents
一种移动通信系统的基站的安全接入方法 Download PDFInfo
- Publication number
- CN101552984B CN101552984B CN2009100391979A CN200910039197A CN101552984B CN 101552984 B CN101552984 B CN 101552984B CN 2009100391979 A CN2009100391979 A CN 2009100391979A CN 200910039197 A CN200910039197 A CN 200910039197A CN 101552984 B CN101552984 B CN 101552984B
- Authority
- CN
- China
- Prior art keywords
- base station
- neighbours
- authentication
- key
- mobile communication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Mobile Radio Communication Systems (AREA)
Abstract
一种移动通信系统的基站的安全接入方法,包括步骤:第一基站向其邻居基站发送安全能力协商请求消息;由邻居基站判断其安全能力与第一基站的安全能力是否相匹配,若相匹配,向第一基站发送安全能力协商响应消息;第一基站与邻居基站完成接入身份鉴别,并协商出安全通道鉴别密钥;第一基站、邻居基站分别通过该安全通道鉴别密钥推导生成通道加密密钥、通道完整性密钥,从而通过通道加密密钥、通道完整性密钥建立第一基站与其邻居基站之间的安全通道,通道加密密钥完成对数据的加密,通道完整性密钥保证数据的完整性以及信息发出者的不可抵赖性,以保证第一基站与其邻居基站之间信息传输的安全性,提高移动通信系统的安全等级。
Description
技术领域
本发明涉及移动通信技术领域,特别涉及一种移动通信系统的基站的安全接入方法。
背景技术
随着通信技术的日益发展,移动通信技术在人们生活中的应用也日益广泛,人们生活当中的各个方面都几乎应用到了无线通信技术,为了能够保证移动通信系统的正常运营操作、并能够可运营、可管理以及可计费,移动通信系统需要对接入系统的设备和用户进行认证,只有经过了认证的设备和用户,才能被允许接入系统网络、使用系统网络的资源、访问系统网络所提供的服务。在无线宽带接入系统中,一般存在三类实体:终端(Terminal)、基站(Base Station,BS)以及认证服务器(AS),其中,终端属于用户侧,基站与认证服务器属于网络侧,基站完成对终端的接入功能,认证服务器完成对基站和终端的认证。对于一个较大的移动通信网络来说,为了保证用户的通信服务,系统网络中将包含有多个BS,使得用户在移动状态下,在当前基站的信号减弱的条件下切换到信号较强的基站,保证通话质量、实现不间断通信。
在移动通信系统的网络侧,基站与基站之间一般定义了相关的接口,可以进行协议信令的交互,在基站与基站之间进行通信时,可以通过有线、无线或者是微波接力的方式进行通信。尤其是在郊区、农村、山区等区域,由于在这些地段区域布设有线电缆不仅不便且会耗费大量的人力物力资源。因此,在这些区域,基站与基站之间通常通过无线方式通信,由于基站与基站之间可以通过无线方式进行传输,使得可以通过伪造基站的方法来非法获取其他基站所发送的信息,或者是非法监听基站与基站之间所传输的内容,影响基站与基站之间传输的内容的安全性。例如,用户在基站之间进行切换时,为了达到降低切换丢包率、无缝平滑切换的目的,需要在基站之间将密钥等敏感数据进行传递,如果不对基站间传输的内容进行保密,关键的信息将会面临被监听的风险,影响安全性。
为了解决移动通信系统传输的安全性问题,现有技术中针对移动通信系统所提出的安全性问题的解决方案,均是针对用户端与基站之间的安全性问题所提出的方案,例如,申请号分别为200810027928.3、200810027930.0的两篇专利申请,分别提供了一种无线城域网的安全接入方法,二者均是针对用户端与基站之间的安全性所提出的解决方案,现有技术中尚未有针对基站与基站之间信息传输的安全性问题提出有效的解决方法。
发明内容
针对上述现有技术中存在的问题,本发明的目的在于提供一种移动通信系统的基站的安全接入方法,以提高基站与基站之间进行信息传输时的安全性,提高移动通信系统的安全等级。
为达到上述目的,本发明采用以下技术方案:
一种移动通信系统的基站的安全接入方法,包括步骤:
第一基站向该第一基站的邻居基站发送安全能力协商请求消息,所述安全能力协商请求消息包括所述第一基站的安全能力信息,所述安全能力信息包括安全协议信息、密码学算法套件信息;
所述邻居基站接收所述安全能力协商请求消息,判断该邻居基站的安全能力与所述第一基站的安全能力是否相匹配,若相匹配,向所述第一基站发送安全能力协商响应消息;
所述第一基站接收所述安全能力协商响应消息,启动接入身份鉴别过程、与所述邻居基站完成接入身份鉴别,并协商出安全通道鉴别密钥;
所述第一基站、所述邻居基站分别通过所述安全通道鉴别密钥推导生成通道加密密钥、通道完整性密钥。
根据上述本发明的方案,首先第一基站通过向其邻居基站发送安全能力协商请求,邻居基站接收后,由邻居基站判断第一基站与该邻居基站的安全能力是否相匹配,若相匹配,则对该第一基站与其邻居基站的接入身份进行鉴别,判断二者身份的有效性,若二者身份均有效,协商出第一基站与该邻居基站之间的安全通道鉴别密钥,并通过该安全通道鉴别密钥推导生成通道加密密钥、通道完整性密钥,从而建立第一基站与其邻居基站之间的安全通道,由通道加密密钥完成对所需要传输的数据的加密,由通道完整性密钥保证所传输的数据的完整性以及信息发出者的不可抵赖性,以保证第一基站与其邻居基站之间信息传输的安全性,提高了移动通信系统的安全等级。
附图说明
图1是本发明移动通信系统的基站的安全接入方法实施例的流程示意图;
图2是本发明的基站间建立安全通道的示意图。
具体实施方式
本发明的移动通信系统的基站的安全接入方法,是为了能够在基站与基站之间传输信息时,保证基站之间所传输的信息的安全性。为了达到这个目的,本发明的方案是通过在需要通信的两个基站之间建立互信关系和安全通道的方式来实现,其中,由于目前的移动通信系统的网络均符合蜂窝结构,基站通常只需要跟其相邻的邻居基站进行通信,因此,基站可以只需要跟其邻居基站建立互信关系和安全通道,而不需要同其他所有的基站建立互信关系和安全通道,以降低建立基站间的互信关系和安全通道的维护资源和成本。
鉴于此,在下述对本发明的具体实施方式的描述中,均是以在相邻的两个基站之间建立互信关系和安全通道进行说明。
参见图1所示,是本发明的移动通信系统的基站的安全接入方法实施例的流程示意图。
如图1所示,本发明的移动通信系统的基站的安全接入方法具体包括步骤:
步骤S101:第一基站向其邻居基站发送安全能力协商请求消息,该安全能力协商请求消息中包括有该第一基站的安全能力信息,该安全能力信息可以是支持的安全协议信息、密码学算法套件信息等信息,进入步骤S102;
步骤S102:邻居基站接收该安全能力协商请求消息,判断其自身的安全能力与该第一基站的安全能力是否相匹配,进入步骤S103;
步骤S103:邻居基站向第一基站发送安全能力协商响应消息,进入步骤S104;
步骤S104:第一基站接收安全能力协商响应消息,启动该第一基站与邻居基站的接入身份鉴别过程,完成第一基站与邻居基站的接入身份鉴别,并协商出第一基站与邻居基站之间的安全通道鉴别密钥CAK(Channel AuthorizationKey),进入步骤S105;
步骤S105:第一基站、邻居基站分别根据该安全通道鉴别密钥CAK推导生成通道加密密钥CEK(channel Encryption Key)、通道完整性密钥CIK(channelIntegrity Key),建立第一基站与邻居基站之间的安全通道。
根据本实施例中的方案,首先第一基站向其邻居基站发送安全能力协商请求消息,由其邻居基站判断该邻居基站与该第一基站的安全能力是否相匹配,若相匹配,则由第一基站启动该第一基站与该邻居基站的接入身份鉴别的过程,判断二者身份的有效性,若二者身份均有效,该第一基站与其邻居基站协商出二者之间的安全通道鉴别密钥CAK,并分别根据该安全通道鉴别密钥CAK推导生成通道加密密钥CEK、通道完整性密钥CIK,从而在第一基站与其邻居基站之间建立安全通道,由通道加密密钥完成对数据的加密,由通道完整性密钥保证所传输的数据的完整性以及信息发出者的不可抵赖性,以保证第一基站与其邻居基站之间信息传输的安全性,提高了移动通信系统的安全等级。
由于无线通信网络的可扩展性,因此,无线通信网络中的基站既可能是已接入无线通信网络的基站,也可能是新接入无线通信网络的基站,鉴于此:
当上述第一基站是已接入无线通信网络的基站时,此时,该第一基站的邻居基站既可能是已接入网络的基站,也可能是新接入网络的基站,在这种情况下,已接入无线通信网络的第一基站向其邻居基站发送安全能力协商请求消息时,可以通过点对点的方式发送;
当上述第一基站是新接入无线通信网络的基站时,此时,该新接入无线通信网络的第一基站的邻居基站则是已接入网络的基站,在这种情况下,由于该第一基站是新接入无线通信网络的基站,尚未与任何一个邻居基站建立安全通道,其需要与其周围的各个邻居基站建立安全通道,因此,该新接入无线通信网络的第一基站可以是以点对点的方式向各邻居基站发送安全能力协商请求消息,也可以是通过广播的方式向各邻居基站发送安全能力协商请求消息。
根据如上所述,由于既可以是由已接入网络的基站发送安全能力协商请求消息,也可以是由新接入网络的基站发送安全能力协商请求消息,因此,有可能会发生新接入网络的基站、以及该新接入网络的基站的邻居基站同时向对方发送安全能力协商请求消息的情况,此时,该新接入无线通信网络的基站接收到该邻居基站发送的安全能力协商请求消息后,可以不进行处理,而是由其邻居基站对接收到的该新接入无线通信网络的基站发送的安全能力协商请求消息进行处理。
以下以无线通信网络中的某个第一基站为例,对该第一基站与其邻居基站建立安全通道的过程进行详细描述。
在移动通信系统的网络架构中,多个基站可以通过网关、路由器、交换机、服务器或者其他网络设备以多种形式建立连接关系。
当该第一基站启动并接入无线通信网络后,该第一基站查询其周围的邻居基站。其中,该第一基站查询周围邻居基站的方式可以与现有技术中的相同,例如:将相邻基站作为邻居基站,构建邻居集合,创建和维护邻居列表,该邻居列表罗列了该第一基站范围内的用户端可能切换至的相邻基站的信息;或者是,该第一基站可以通过各个基站均连接的服务器中发现周围的邻居基站等。其中,针对已经接入无线通信网络的基站,由于其可能已经维持有周围的邻居基站的邻居列表,因此,在执行本发明的方案时,则可以省去上述查询邻居基站的步骤,可以直接以其所维持的邻居列表为基础进行后续过程。
在第一基站启动并查询了其周围的邻居基站后,即可进入后续的安全能力协商、接入身份鉴别以及安全通道鉴别密钥的协商等过程。
两个基站之间建立互信关系与安全通道的前提,是这两个基站都能够支持相容的安全能力,这里的安全能力包括:支持的安全协议以及密码学算法套件等信息,所支持的安全协议可以是例如IEEE802.16e的PKMv2协议、申请号为200810027928.3、200810027930.0的两篇专利申请所公开的协议等,密码学算法套件可以是包括对称分组算法、非对称算法、签名算法、完整性校验算法等等。
为了判断该第一基站与其邻居基站是否能够支持相容的安全能力,该第一基站与其邻居基站应当对安全能力进行协商,以下以由第一基站向其邻居基站发送安全能力协商请求消息进行说明,第一基站与其邻居基站进行安全能力协商的过程可以包括:
第一基站向其邻居基站发送安全能力协商请求消息,该安全能力协商请求消息中包括有该第一基站的安全能力信息,例如该第一基站所支持的安全协议信息、密码学算法套件信息等信息,其中,可以是通过点对点的方式向该邻居基站发送该安全能力协商请求消息;
邻居基站接收到第一基站发送的上述安全能力协商请求消息后,根据该安全能力协商请求消息中的第一基站的安全能力信息、以及自身的安全能力信息进行判断,判断该第一基站的安全能力与自身的安全能力是否相匹配,若相匹配,则安全能力协商成功,邻居基站向该第一基站发送安全能力协商响应消息,该安全能力协商响应消息中包括有该第一基站与该邻居基站相匹配的安全能力信息,若不相匹配,则安全能力协商失败,邻居基站向该第一基站发送安全能力协商失败的消息。
其中,判断该第一基站的安全能力与邻居基站的安全能力是否相匹配的方式可以是:判断第一基站的安全能力信息与该邻居基站的安全能力信息是否有交集,若有交集,则判定第一基站与该邻居基站的安全能力相匹配,此时,所述安全能力协商响应消息中包括有第一基站与邻居基站的安全能力信息的交集;若无交集,则判定第一基站与该邻居基站的安全能力不相匹配。
当第一基站接收到安全能力协商响应消息后,即可进入后续的第一基站与邻居基站之间的接入身份鉴别、协商建立安全通道鉴别密钥的过程,该接入身份鉴别的过程由发出安全能力协商请求消息的基站启动,即,在本示例中,由第一基站启动该接入身份鉴别的过程。
其中,第一基站与邻居基站之间的接入身份鉴别的具体实现方式可以是结合现有技术中已有的身份鉴别方式进行身份鉴别过程,例如结合申请号为200810027928.3、200810027930.0的专利申请中的接入身份鉴别方式、或者是IEEE802.16e中的接入身份鉴别方式等等。
以结合申请号为200810027928.3、200810027930.0的专利申请中的接入身份鉴别方式为例,具体的身份鉴别方式可以是:
第一基站向邻居基站发送接入鉴别激活消息;
邻居基站接收到所述接入鉴别激活消息,向第一基站发送接入鉴别请求消息,该接入鉴别请求消息中包括有该邻居基站的数字证书和消息签名;
第一基站接收到该接入鉴别请求消息,验证该邻居基站的消息签名的有效性,并向认证服务器发送证书鉴别请求消息,该证书鉴别请求消息包括有该邻居基站的数字证书、该第一基站的数字证书、以及该第一基站的消息签名;
认证服务器接收第一基站发送的证书鉴别请求消息,验证该第一基站的消息签名的有效性,验证第一基站的数字证书、邻居基站的数字证书,并根据验证结果构造证书鉴别响应消息,使用认证服务器的证书私钥签名后向第一基站发送;
第一基站接收认证服务器发送的证书鉴别响应消息,验证认证服务器的签名的有效性,根据该证书鉴别响应消息构造接入鉴别响应消息,并将该接入鉴别响应消息向邻居基站发送,该接入鉴别响应消息包括有第一基站的数字证书验证结果、邻居基站的数字证书验证结果等信息;
邻居基站接收该接入鉴别响应消息后,根据该接入鉴别响应消息判断该第一基站的有效性,向第一基站发送接入鉴别确认消息;
随后,第一基站与邻居基站协商生成安全通道鉴别密钥CAK,协商生成安全通道鉴别密钥CAK的具体实现方式可与现有技术中的相同,在此不予赘述。
在结合申请号为200810027928.3、200810027930.0的专利申请中的方式进行接入身份鉴别时,具体的方式还可以是:
第一基站向邻居基站发送接入鉴别激活消息;
邻居基站接收接入鉴别激活消息,产生该邻居基站的第一新鲜性标识并予以储存,并根据该邻居基站的数字证书、该第一新鲜性标识生成接入鉴别请求消息,并附加该邻居基站的消息签名后向第一基站发送;
第一基站接收邻居基站发送的所述接入鉴别请求消息,产生该第一基站的第二新鲜性标识并予以储存,并根据第一基站的数字证书、邻居基站的数字证书、第一新鲜性标识、第二新鲜性标识组建证书鉴别请求消息,并在附加该第一基站的消息签名后向认证服务器发送;
认证服务器接收第一基站发送的上述证书鉴别请求消息,验证该第一基站的消息签名的有效性,验证第一基站的数字证书的有效性、邻居基站的数字证书的有效性,并根据验证结果以及第一新鲜性标识、第二新鲜性标识构建证书鉴别响应消息,并在附加认证服务器的消息签名后向第一基站发送;
第一基站接收认证服务器发送的所述证书鉴别响应消息,验证认证服务器的消息签名的有效性,验证证书鉴别响应消息中的第一新鲜性标识、第二新鲜性标识与其自身所存储的第一新鲜性标识、第二新鲜性标识是否相一致,根据证书鉴别响应构造接入鉴别响应消息,并在附加第一基站的消息签名后向邻居基站发送;
邻居基站接收第一基站发送的所述接入鉴别响应消息,验证第一基站的消息签名的有效性,并判断接入鉴别响应消息中的第一新鲜性标识是否与自身所存储的第一新鲜性标识相一致,构建接入鉴别确认消息,并将该接入鉴别确认消息向第一基站发送。
随后,第一基站与邻居基站协商生成安全通道鉴别密钥CAK,协商生成安全通道鉴别密钥CAK的具体实现方式可与现有技术中的相同,在此不予赘述。
在结合现有技术中的基于IEEE802.16ePKMv2协议进行第一基站与邻居基站之间的接入身份鉴别时,由于在基于IEEE802.16ePKMv2协议中,有两种基本的认证机制,一种是RSA(Rivest Shamir Adlemen,一种因特网加密和认证体系)认证,另一种则是EAP(Extensible Authentication Protocol,可扩展认证协议)认证,而RSA认证成功后,双方会得到一个共享的主鉴别密钥,而宽带无线接入系统的EAP认证框架可支持多种EAP认证方式,其中的一种EAP认证方式是在认证成功后,双方不生成共享的PMK(Pairwise Master Key,配对主密钥),而其中的另一种EAP认证方式则是在认证成功后,双方会生成共享的PMK。因此,根据上述这两种认证方式,可以采用不同的组合对第一基站与邻居基站之间的身份鉴别进行认证,具体可以是下述四种方式:
其一:仅RSA认证
在经过RSA认证后,第一基站与邻居基站之间得到一个共享的主鉴别密钥PAK(Primary Authorization Key),随后,第一基站、邻居基站即可分别根据该PAK采用相同的策略推导出安全通道鉴别密钥CAK;
其二:仅仅是EAP认证
在这种EAP认证方式中,采用认证成功后、双方生成共享的PMK的EAP认证方式,在经过EAP认证成功后,在第一基站与邻居基站之间协商出一个共享的PMK,随后,第一基站、邻居基站即可根据该PMK采用相同的策略推导出安全通道鉴别密钥CAK;
其三:RSA认证与认证成功后、双方之间不生成共享的PMK的EAP认证方式相结合
在这种结合式的认证方式中,认证成功后,在第一基站与邻居基站之间得到一个共享的PAK,随后,第一基站、邻居基站即可分别根据该PAK采用相同的策略推导生成安全通道鉴别密钥CAK;其中,在采用EAP方式进行认证时,对应的AS认证服务器可以是AAA服务器;
其四:RSA认证与认证成功后、双方之间生成共享的PMK的EAP认证方式相结合
在这种结合式的认证方式中,第一基站与邻居基站首先进行RSA认证,认证成功后,第一基站与邻居基站协商出一个共享的预主鉴别密钥pre-PAK,双方根据pre-PAK采用相同的策略推演出PAK和EIK(EAP Integrity Key,EAP完整性密钥),其次,第一基站与邻居基站进行EAP认证,其中EAP认证过程受到EIK的完整性保护,认证成功后,双方协商出一个共享的PMK,随后,第一基站、邻居基站双方即可分别根据该PAK采用相同的策略推导生成共享的通道鉴别密钥CAK。其中,在采用EAP方式进行认证时,对应的AS认证服务器可以是AAA服务器。
其中,在上述通过RSA认证、EAP认证、或者RSA认证与EAP认证相结合的认证方式中,具体的认证实现方式可以与现有技术中的相同,在此不予详加赘述。
在第一基站与邻居基站协商生成安全通道鉴别密钥CAK后,第一基站与邻居基站即可分别使用安全通道鉴别密钥CAK推导生成通道加密密钥CEK和通道完整性密钥CIK,其中该使用CAK推导生成通道加密密钥CEK和通道完整性密钥CIK的过程为不可逆操作。推导生成的通道加密密钥CEK和通道完整性密钥CIK共同构建了第一基站与邻居基站之间的安全通道,其中,通道加密密钥CEK完成对第一基站与邻居基站之间所传输的信息数据的加密,通道完整性密钥CIK保证了所传输的信息数据的完整性以及信息发出者的不可抵赖性。
在使用安全通道鉴别密钥CAK推导生成通道加密密钥CEK和通道完整性密钥CIK时,可以是通过安全通道鉴别密钥CAK以及其他的标识性信息通过不可逆操作推导生成,这里的标识性信息可以是标识性字段、或者所产生的新鲜性标识(例如随机数)等信息,具体的推导方式可以是与现有技术中的相同,在此不予赘述。
其中,在通过使用安全通道加密密钥CAK生成通道加密密钥CEK和通道完整性密钥CIK后,第一基站与邻居基站之间的信息传输即可通过该通道加密密钥CEK和通道完整性密钥CIK实现信息传输的安全性,在需要进行信息的传输时:
发送方的基站首先使用通道完整性密钥CIK对所需要发送的信息计算完整性校验码,并将该计算所得的完整性校验码附加于该需要发送的信息之后,使用通道加密密钥CEK对附加了该计算所得的完整性校验码的信息进行加密处理操作,然后将加密后的信息发送给接收方的基站;
接收方的基站接收到信息后,采用通道加密密钥CEK对加密的信息进行解密,然后根据该接收方的基站其自身推导生成的通道完整性密钥CIK以及所接收到的信息计算完整性校验码,并将该计算所得的完整性校验码与附加于所接收的信息的完整性校验码的一致性判断所接收的信息的完整性,若一致,则所发送的信息被完整接收,未被篡改过,若不一致,则所接收到的信息被篡改过,可将该信息予以丢弃。
或者,第一基站与邻居基站之间通过通道加密密钥CEK和通道完整性密钥CIK实现信息传输的安全性时,也可以是:
发送方的基站首先使用通道加密密钥CEK对所需要发送的信息进行加密,然后使用通道完整性密钥对加密的信息计算完整性校验码,并将该计算所得的完整性校验码附加于该加密后的信息之后向接收方的基站发送;
接收方的基站接收到信息后,采用接收到的该信息以及自身所推导生成的通道完整性密钥CIK计算完整性校验码,并将该计算所得的完整性校验码与附加于所接收的信息的完整性校验码的一致性判断所接收的信息的完整性,若一致,则所发送的信息被完整接收,未被篡改过,随后根据通道加密密钥CEK对加密的信息进行解密,若不一致,则所接收到的信息被篡改过,可将该信息予以丢弃。
从而,根据通道完整性密钥CIK可以确认所接收的消息的完整性,同时,由于安全通道鉴别密钥CAK是第一基站与邻居基站通过安全能力协商、身份鉴别、在二者之间建立的唯一性安全通道鉴别密钥,且通道加密密钥CEK、通道完整性密钥CIK是第一基站与邻居基站二者分别根据安全通道鉴别密钥CAK推导生成的,从而,根据通道完整性密钥CIK可以保证信息发出的发送方的不可抵赖性。
其中,在得到通道加密密钥CEK以及通道完整性密钥CIK后,为了保证CEK与CIK的安全性,避免长期使用这些密钥所造成的安全风险,可以定期对安全通道鉴别密钥CAK进行更新,对安全通道鉴别密钥CAK的更新过程可与现有技术中的相同,在此不予赘述。
如图2所示,是本发明的基站间建立安全通道的示意图。如图所示,在基站BS1与BS2之间建立了安全通道(即建立了互信关系)之后,新接入或启动了一个新的基站BS3,该新基站BS3启动并接入网络后,分别与BS1、BS2通过上述安全能力协商、接入身份鉴别、鉴别密钥协商等过程分别建立安全通道,从而在BS1、BS2、BS3之间分别建立了各自相对应的安全通道,以此类推,从而整个无线通信网络的各相邻的基站之间均建立了相应的安全通道,实现无线通信网络中基站与基站之间信息传输的安全性。
以上所述的本发明实施方式,并不构成对本发明保护范围的限定。任何在本发明的精神和原则之内所作的修改、等同替换和改进等,均应包含在本发明的权利要求保护范围之内。
Claims (9)
1.一种移动通信系统的基站的安全接入方法,包括步骤:
第一基站向该第一基站的邻居基站发送安全能力协商请求消息,所述安全能力协商请求消息包括所述第一基站支持的安全能力信息,所述安全能力信息包括安全协议信息、密码学算法套件信息;
所述邻居基站接收所述安全能力协商请求消息,判断该邻居基站支持的安全能力与所述第一基站支持的安全能力是否相匹配,若相匹配,向所述第一基站发送安全能力协商响应消息;
所述第一基站接收所述安全能力协商响应消息,启动接入身份鉴别过程、与所述邻居基站完成接入身份鉴别,协商出安全通道鉴别密钥;
所述第一基站、所述邻居基站分别通过所述安全通道鉴别密钥推导生成通道加密密钥、通道完整性密钥。
2.根据权利要求1所述的移动通信系统的基站的安全接入方法,其特征在于:所述邻居基站判断该邻居基站支持的安全能力是否与所述第一基站支持的安全能力相匹配的方式包括:
判断所述邻居基站支持的安全能力信息与所述第一基站支持的安全能力信息是否有交集,若有,则相匹配,若没有,则不相匹配。
3.根据权利要求1所述的移动通信系统的基站的安全接入方法,其特征在于:所述通过所述安全通道鉴别密钥推导生成通道加密密钥、通道完整性密钥的过程为不可逆操作。
4.根据权利要求1所述的移动通信系统的基站的安全接入方法,其特征在于:
所述第一基站为新接入所述移动通信系统的新基站,所述邻居基站为已接入所述移动通信系统的基站,所述第一基站通过点对点或者多播的方式向所述邻居基站发送所述安全能力协商请求消息;
在所述第一基站向所述邻居基站发送所述安全能力协商请求消息之前,还包括步骤:
所述第一基站查询该第一基站的各所述邻居基站。
5.根据权利要求1至3任意一项所述的移动通信系统的基站的安全接入方法,其特征在于:
所述第一基站为已接入所述移动通信系统的基站,所述邻居基站为新接入所述移动通信系统的新基站,所述第一基站通过点对点的方式向所述邻居基站发送所述安全能力协商请求消息。
6.根据权利要求1至4任意一项所述的移动通信系统的基站的安全接入方法,其特征在于,所述第一基站启动接入身份鉴别过程、与所述邻居基站完成接入身份鉴别的过程具体包括:
第一基站向邻居基站发送接入鉴别激活消息;
邻居基站接收接入鉴别激活消息,产生该邻居基站的第一新鲜性标识并予以储存,并根据该邻居基站的数字证书、该第一新鲜性标识生成接入鉴别请求消息,并附加该邻居基站的消息签名后向第一基站发送;
第一基站接收邻居基站发送的所述接入鉴别请求消息,产生该第一基站的第二新鲜性标识并予以储存,并根据第一基站的数字证书、邻居基站的数字证书、第一新鲜性标识、第二新鲜性标识组成证书鉴别请求消息,并在附加该第一基站的消息签名后向认证服务器发送;
认证服务器接收第一基站发送的上述证书鉴别请求消息,验证该第一基站的消息签名的有效性,验证第一基站的数字证书的有效性、邻居基站的数字证书的有效性,并根据验证结果以及第一新鲜性标识、第二新鲜性标识构建证书鉴别响应消息,并在附加认证服务器的消息签名后向第一基站发送;
第一基站接收认证服务器发送的所述证书鉴别响应消息,验证认证服务器的消息签名的有效性,判断所述证书鉴别响应消息中的第一新鲜性标识、第二新鲜性标识与所存储的第一新鲜性标识、第二新鲜性标识的一致性,根据所述证书鉴别响应消息构造接入鉴别响应消息,并在附加第一基站的消息签名后向邻居基站发送;
邻居基站接收第一基站发送的所述接入鉴别响应消息,验证第一基站的消息签名的有效性,并判断接入鉴别响应消息中的第一新鲜性标识是否与自身所存储的第一新鲜性标识相一致,构建接入鉴别确认消息,并将该接入鉴别确认消息向第一基站发送。
7.根据权利要求1至4任意一项所述的移动通信系统的基站的安全接入方法,其特征在于,所述第一基站启动接入身份鉴别过程、与所述邻居基站完成接入身份鉴别、并协商出安全通道鉴别密钥的方式包括:
采用一种因特网加密和认证体系RSA认证的方式完成所述第一基站与所述邻居基站之间的身份鉴别;认证完成后,所述第一基站与所述邻居基站得到共享的主鉴别密钥;
所述第一基站与所述邻居基站分别采用相同的方式根据所述主密钥推导生成所述安全通道鉴别密钥。
8.根据权利要求1至4任意一项所述的移动通信系统的基站的安全接入方法,其特征在于,所述第一基站启动接入身份鉴别过程、与所述邻居基站完成接入身份鉴别、并协商出安全通道鉴别密钥的方式包括:
采用生成共享的配对主密钥PMK的可扩展认证协议EAP认证的方式完成所述第一基站与所述邻居基站之间的身份鉴别;认证完成后,所述第一基站与所述邻居基站得到共享的配对主密钥PMK;
所述第一基站与所述邻居基站分别采用相同的方式根据所述配对主密钥PMK推导生成所述安全通道鉴别密钥。
9.根据权利要求1至4任意一项所述的移动通信系统的基站的安全接入方法,其特征在于,所述第一基站启动接入身份鉴别过程、与所述邻居基站完成接入身份鉴别、并协商出安全通道鉴别密钥的方式包括:
所述第一基站与所述邻居基站采用一种因特网加密和认证体系RSA方式进行认证,认证完成后所述第一基站与所述邻居基站协商生成预主鉴别密钥pre-PAK,所述第一基站与所述邻居基站根据所述预主鉴别密钥生成主鉴别密钥PAK和可扩展认证协议EAP完整性密钥EIK;
所述第一基站与所述邻居基站根据所述主鉴别密钥PAK和可扩展认证协议EAP完整性密钥EIK采用可扩展认证协议EAP认证方式进行认证,认证成功后,所述第一基站与所述邻居基站协商生成共享的配对主密钥PMK;
所述第一基站与所述邻居基站分别采用相同的方式根据所述配对主密钥PMK推导生成所述安全通道鉴别密钥。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2009100391979A CN101552984B (zh) | 2009-05-05 | 2009-05-05 | 一种移动通信系统的基站的安全接入方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2009100391979A CN101552984B (zh) | 2009-05-05 | 2009-05-05 | 一种移动通信系统的基站的安全接入方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101552984A CN101552984A (zh) | 2009-10-07 |
| CN101552984B true CN101552984B (zh) | 2011-05-18 |
Family
ID=41156903
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2009100391979A Expired - Fee Related CN101552984B (zh) | 2009-05-05 | 2009-05-05 | 一种移动通信系统的基站的安全接入方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101552984B (zh) |
Families Citing this family (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102065427B (zh) * | 2010-12-28 | 2013-06-12 | 广州杰赛科技股份有限公司 | 一种安全的无线城域网的用户终端切换方法 |
| CN110086764B (zh) * | 2013-09-11 | 2022-04-05 | 三星电子株式会社 | 用于使能用于enb间的传输的安全通信的方法和系统 |
| CN104469814A (zh) * | 2013-09-13 | 2015-03-25 | 中兴通讯股份有限公司 | 基站间通信的方法及装置 |
| WO2016078378A1 (en) * | 2014-11-17 | 2016-05-26 | Huawei Technologies Co., Ltd. | Method, server, base station and communication system for configuring security parameters |
| CN104539437B (zh) * | 2014-12-30 | 2016-08-24 | 北京奇虎科技有限公司 | 资源获取方法及终端设备 |
| CN108347417B (zh) * | 2017-01-24 | 2020-08-07 | 华为技术有限公司 | 一种网络认证方法、用户设备、网络认证节点及系统 |
| CN108737115B (zh) * | 2018-06-20 | 2020-12-18 | 湖北工业大学 | 一种具有隐私保护的私有属性集交集求解方法 |
| CN109831805B (zh) * | 2019-01-17 | 2021-11-23 | 安徽深蓝大健康智能科技有限公司 | 一种提高大数据传输稳定性的方法及计算机可读存储介质 |
-
2009
- 2009-05-05 CN CN2009100391979A patent/CN101552984B/zh not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| CN101552984A (zh) | 2009-10-07 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101552984B (zh) | 一种移动通信系统的基站的安全接入方法 | |
| CN101176295B (zh) | 无线便携式因特网系统中的验证方法和密钥生成方法 | |
| KR101038096B1 (ko) | 바이너리 cdma에서 키 인증 방법 | |
| CN101931955B (zh) | 认证方法、装置及系统 | |
| CN101600203B (zh) | 一种安全服务的控制方法及无线局域网终端 | |
| CN101552985B (zh) | 一种移动通信系统切换的预认证方法 | |
| CN101945386B (zh) | 一种实现安全密钥同步绑定的方法及系统 | |
| CN101114901A (zh) | 非接触式无线数据传输的安全认证系统、设备及方法 | |
| CN101222322B (zh) | 一种超级移动宽带系统中安全能力协商的方法 | |
| US20100211790A1 (en) | Authentication | |
| CN104980928A (zh) | 一种用于建立安全连接的方法、设备及系统 | |
| CN105323754B (zh) | 一种基于预共享密钥的分布式鉴权方法 | |
| CN101500229A (zh) | 建立安全关联的方法和通信网络系统 | |
| CN103002442A (zh) | 无线局域网密钥安全分发方法 | |
| KR20060134774A (ko) | 무선 휴대 인터넷 시스템의 mac 계층에서 보안 기능을 구현하기 위한 장치 및 이를 이용한 인증 방법 | |
| CN101521881A (zh) | 一种无线局域网接入方法及系统 | |
| CN100544253C (zh) | 无线局域网移动终端的安全重认证方法 | |
| CN100525182C (zh) | 用于无线网络的鉴别与保密方法 | |
| CN101635922B (zh) | 无线网状网络安全通信方法 | |
| CN101136741A (zh) | 组播密钥管理方法及用于组播密钥管理的中心节点 | |
| CN104581715B (zh) | 物联网领域的传感系统密钥保护方法及无线接入设备 | |
| CN101022330A (zh) | 提高密钥管理授权消息安全性的方法和模块 | |
| Khan et al. | Secure authentication and key management protocols for mobile multihop WiMAX networks | |
| CN102014385A (zh) | 移动终端的认证方法及移动终端 | |
| WO2010133036A1 (zh) | 一种基站间通信方法、装置及通信系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20110518 Termination date: 20200505 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |