CN101820620A - 一种安全的WiMAX无线网络认证协议 - Google Patents

一种安全的WiMAX无线网络认证协议 Download PDF

Info

Publication number
CN101820620A
CN101820620A CN200910117525.2A CN200910117525A CN101820620A CN 101820620 A CN101820620 A CN 101820620A CN 200910117525 A CN200910117525 A CN 200910117525A CN 101820620 A CN101820620 A CN 101820620A
Authority
CN
China
Prior art keywords
client
authentication
message
pak
key
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN200910117525.2A
Other languages
English (en)
Other versions
CN101820620B (zh
Inventor
冯涛
张子彬
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Lanzhou University of Technology
Original Assignee
Lanzhou University of Technology
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Lanzhou University of Technology filed Critical Lanzhou University of Technology
Priority to CN200910117525.2A priority Critical patent/CN101820620B/zh
Publication of CN101820620A publication Critical patent/CN101820620A/zh
Application granted granted Critical
Publication of CN101820620B publication Critical patent/CN101820620B/zh
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Abstract

一种安全的WiMAX无线网络认证协议,客户端X向基站Y发送消息M1‘,在认证应答消息M2‘中,基站Y决定所使用的加密算法,为客户端X激活一个PAK,并用客户端X的公钥将其进行加密;基站Y对加密后的预认证密钥(PAK)和客户端X的身份信息IDX进行签名,并以预认证密钥(PAK)为密钥生成消息认证码,将签名和消息认证码与基站Y的证书IDY一并发送给客户端X;客户端X收到认证应答消息M2‘后,进行消息认证;客户端X使用自己的私钥对消息M2‘中用客户端X的公钥加密的信息进行解密,从中得到PAK,之后计算出认证密钥(AK);客户端X通过发送认证确认消息M3‘来表示确认认证应答消息,并且基站Y通过消息M3‘中的消息认证码对客户端X进行身份认证。

Description

一种安全的WiMAX无线网络认证协议
技术领域
本发明涉及WiMAX(Worldwide Interoperability for Microwave Access)无线网络安全接入技术领域。
背景技术
宽带无线接入技术是指以无线传输方式向用户提供接入宽带固定网络的接入技术。WiMAX(全球微波接入互操作性)无线网络基于IEEE 802.16空中接口,是一项新兴的无线城域网(WMAN)技术。其基本目标是提供一种在城域网一点对多点的环境下,可以有效地实现宽带无线接入手段。但是由于无线城域网的传输媒介的开放性,安全问题也备受关注,安全机制完善与否,接入控制策略是否合理,已经成为WiMAX网络产品化和市场化成功与否的关键性因素之一。
2005年2月IEEE 802.16工作组推出了WiMAX无线网络新一代的国际标准IEEE 802.16e-2005,将以前版本中使用的PKM(Privacy and KeyManagement)安全协议升级为PKMv2安全协议。PKMv2安全协议包括安全认证协议和密钥管理协议两个子协议,PKMv2安全认证协议主要解决“鉴别”问题,即完成基站与客户端之间的双向身份认证,以及基站对客户端的授权。只有双方成功完成了身份认证,并且客户端得到了基站对其的授权,客户端才可以通过PKMv2密钥管理协议获取会话密钥,并安全的访问网络资源,PKMv2安全认证协议是该安全协议的基础与核心。
PKMv2安全认证协议的定义如下,其中X代表客户端,Y代表基站:
M1‘X->Y:NX,IDX
M2‘Y->X:SIGY(NX,NY,IDY,EKx(PAK,IDX))
M3‘X->Y:NY,XAddr,MACAK(NY,XAddr)
Kx表示客户端X的公钥,认证密钥(AK)则是客户端得到预认证密钥(PAK)以后,通过计算式AK=MACPAK(NX,NY,XAddr,YAddr,160)计算得出。
攻击者可以利用客户端X计算出消息M3,有效伪装成客户端完成认证,从而完成交错攻击。
发明内容
本发明的目的是提供一种安全的WiMAX无线网络认证协议,也称为FZM-PKMv2安全认证协议。
本发明是一种安全的WiMAX无线网络认证协议,其实施步骤为:
(1)客户端X向基站Y发送消息M1‘,包含随机数NX和客户端证书IDX用于申请初始认证密钥(PAK)认证请求消息;
(2)在认证应答消息M2‘中,基站Y决定所使用的加密算法,为客户端X激活一个PAK,并用客户端X的公钥将其进行加密;
(3)基站Y对加密后的预认证密钥(PAK)和客户端X的身份信息IDX进行签名,并以预认证密钥(PAK)为密钥生成消息认证码,MACPAK(NX,NY,IDX,IDY,EKx(PAK))将签名和消息认证码与基站Y的证书IDY一并发送给客户端X;
(4)客户端X收到认证应答消息M2‘后,进行消息认证,验证发送者身份和消息完整性;
(5)为了得到认证密钥(AK)从而完成互认证,客户端X使用自己的私钥对消息M2‘中用客户端X的公钥加密的信息进行解密,从中得到PAK,之后通过计算公式AK=MACPAK(NX,NY,XAddr,YAddr,160)计算出认证密钥(AK);
(6)客户端X通过发送认证确认消息M3‘来表示确认认证应答消息,并且基站Y通过消息M3‘中的消息认证码对客户端X进行身份认证,从而完成认证。
本发明的有益之处在于:
(1)防御交错攻击
本发明可以有效的防御PKMv2安全认证协议所遭受到的交错攻击,且比其它的协议修改方案发现攻击更早。FZM-PKMv2安全认证协由认证请求,认证应答,认证确认3个部分组成。认证请求:IDX用于表明认证发起者客户端X的身份,并向基站Y提供客户端的公钥Kx。认证应答:EKx(PAK)用客户端X的公钥Kx加密预认证密钥(PAK),以保证预认证密钥(PAK)的安全性.SIGY(NX,NY,EKx(PAK),IDX)用于表明EKx(PAK),IDX等消息是由基站Y发送的。MACPAK(NX,NY,IDX,IDY,EKx(PAK))用于保证所签名消息的完整性,并证明认证应答消息由基站Y发送。IDY用于向客户端X提供基站Y的公钥Ky,以验证基站Y的签名。认证确认:MACAK(NY,XAddr)用于保证消息完整性,并证明认证确认消息由客户端X发送,从而达到双向认证的目的。
(2)基于协议组合逻辑(PCL)的安全
FZM-PKMv2安全认证协议具有两个安全属性:密钥机密性(φWiMAX,sec)和会话认证性(φWiMAX,auth)。这里仅给出Server端的情况,Client端的情况类似。该协议为Server提供密钥机密性是指:
Figure B2009101175252D0000032
其中
Figure B2009101175252D0000033
该协议为Server提供会话认证性是指:
Figure B2009101175252D0000035
其中
Figure B2009101175252D0000036
Figure B2009101175252D0000037
Figure B2009101175252D0000038
具体实施方式
本发明是一种安全的WiMAX无线网络认证协议,其实施步骤为:
(1)客户端X向基站Y发送消息M1‘,包含随机数NX和客户端证书IDX用于申请初始认证密钥(PAK)认证请求消息;
(2)在认证应答消息M2‘中,基站Y决定所使用的加密算法,为客户端X激活一个PAK,并用客户端X的公钥将其进行加密;
(3)基站Y对加密后的预认证密钥(PAK)和客户端X的身份信息IDX进行签名,并以预认证密钥(PAK)为密钥生成消息认证码,MACPAK(NX,NY,IDX,IDY,EKx(PAK))将签名和消息认证码与基站Y的证书IDY一并发送给客户端X;
(4)客户端X收到认证应答消息M2‘后,进行消息认证,验证发送者身份和消息完整性;
(5)为了得到认证密钥(AK)从而完成互认证,客户端X使用自己的私钥对消息M2‘中用客户端X的公钥加密的信息进行解密,从中得到PAK,之后通过计算公式AK=MACPAK(NX,NY,XAddr,YAddr,160)计算出认证密钥(AK);
(6)客户端X通过发送认证确认消息M3‘来表示确认认证应答消息,并且基站Y通过消息M3‘中的消息认证码对客户端X进行身份认证,从而完成认证。
符号说明:
X:客户端
Y:基站
N1:通信方I产生的随机数
ID1:通信方I的证书
IAddr:通信方I的MAC地址
PAK:预认证密钥
AK:认证密钥
EKi:以通信方I的公钥Ki加密
SIG1:通信方I的签名
MACK:以K为密钥的消息认证码
本发明的实施步骤还可以表示为:
M1‘X->Y:NX,IDX
M2‘Y->X:SIGY(NX,NY,EKx(PAK),IDX),MACPAK(NX,NY,IDX,IDY,EKx(PAK)),IDY
M3‘X->Y:NY,XAddr,MACAK(NY,XAddr)
FZM-PKMv2安全认证协议的具体实施方式如下,首先,客户端X向基站Y发送消息M1‘,即认证请求消息。它包含随机数NX和客户端证书IDX,用于申请初始认证密钥(PAK)等安全信息。随后,在认证应答消息M2‘中,基站Y决定所使用的加密算法,为客户端X激活一个PAK,并用客户端X的公钥将其进行加密,之后基站Y对加密后的预认证密钥(PAK)和客户端X的身份信息IDX等进行签名,并以预认证密钥(PAK)为密钥生成消息认证码MACPAK(NX,NY,IDX,IDY,EKx(PAK)),将签名和消息认证码与基站Y的证书IDY一并发送给客户端X。客户端X收到认证应答消息M2‘后,进行消息认证,验证发送者身份和消息完整性。最后,为了得到认证密钥(AK)从而完成互认证,客户端X使用自己的私钥对消息M2‘中用客户端X的公钥加密的信息进行解密,从中得到PAK,之后通过计算公式AK=MACPAK(NX,NY,XAddr,YAddr,160)计算出认证密钥(AK)。客户端X通过发送认证确认消息M3‘来表示确认认证应答消息,并且基站Y通过消息M3‘中的消息认证码对客户端X进行身份认证,从而完成认证。

Claims (1)

1.一种安全的WiMAX无线网络认证协议,其实施步骤为:
(1)客户端X向基站Y发送消息M1‘,包含随机数NX和客户端证书IDX用于申请初始认证密钥(PAK)认证请求消息;
(2)在认证应答消息M2‘中,基站Y决定所使用的加密算法,为客户端X激活一个PAK,并用客户端X的公钥将其进行加密;
(3)基站Y对加密后的预认证密钥(PAK)和客户端X的身份信息IDX进行签名,并以预认证密钥(PAK)为密钥生成消息认证码,MACPAK(NX,NY IDX,/DY,EKx(PAK))将签名和消息认证码与基站Y的证书IDY一并发送给客户端X;
(4)客户端X收到认证应答消息M2‘后,进行消息认证,验证发送者身份和消息完整性;
(5)为了得到认证密钥(AK)从而完成互认证,客户端X使用自己的私钥对消息M2‘中用客户端X的公钥加密的信息进行解密,从中得到PAK,之后通过计算公式AK=MACPAK(NX,NY,XAddr,YAddr,160)计算出认证密钥(AK);
(6)客户端X通过发送认证确认消息M3‘来表示确认认证应答消息,并且基站Y通过消息M3‘中的消息认证码对客户端X进行身份认证,从而完成认证。
CN200910117525.2A 2009-10-19 2009-10-19 一种安全的WiMAX无线网络认证协议 Expired - Fee Related CN101820620B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN200910117525.2A CN101820620B (zh) 2009-10-19 2009-10-19 一种安全的WiMAX无线网络认证协议

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN200910117525.2A CN101820620B (zh) 2009-10-19 2009-10-19 一种安全的WiMAX无线网络认证协议

Publications (2)

Publication Number Publication Date
CN101820620A true CN101820620A (zh) 2010-09-01
CN101820620B CN101820620B (zh) 2013-04-10

Family

ID=42655513

Family Applications (1)

Application Number Title Priority Date Filing Date
CN200910117525.2A Expired - Fee Related CN101820620B (zh) 2009-10-19 2009-10-19 一种安全的WiMAX无线网络认证协议

Country Status (1)

Country Link
CN (1) CN101820620B (zh)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102857911A (zh) * 2012-06-29 2013-01-02 北京邮电大学 一种定位的方法、终端及服务器
CN102917313A (zh) * 2012-10-17 2013-02-06 重庆邮电大学 一种适用于无线传感器网络广播认证的方法
CN103312501A (zh) * 2012-01-26 2013-09-18 英飞凌科技股份有限公司 用于生成消息验证码的装置和方法
CN104272646A (zh) * 2012-05-07 2015-01-07 高通股份有限公司 用于用证书配置实体的方法以及装置

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100704675B1 (ko) * 2005-03-09 2007-04-06 한국전자통신연구원 무선 휴대 인터넷 시스템의 인증 방법 및 관련 키 생성방법

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103312501A (zh) * 2012-01-26 2013-09-18 英飞凌科技股份有限公司 用于生成消息验证码的装置和方法
CN103312501B (zh) * 2012-01-26 2017-04-26 英飞凌科技股份有限公司 用于生成消息验证码的装置和方法
CN104272646A (zh) * 2012-05-07 2015-01-07 高通股份有限公司 用于用证书配置实体的方法以及装置
CN104272646B (zh) * 2012-05-07 2018-09-21 高通股份有限公司 用于用证书配置实体的方法以及装置
CN102857911A (zh) * 2012-06-29 2013-01-02 北京邮电大学 一种定位的方法、终端及服务器
CN102857911B (zh) * 2012-06-29 2015-07-15 北京邮电大学 一种定位的方法、终端及服务器
CN102917313A (zh) * 2012-10-17 2013-02-06 重庆邮电大学 一种适用于无线传感器网络广播认证的方法
CN102917313B (zh) * 2012-10-17 2015-05-27 重庆邮电大学 一种适用于无线传感器网络广播认证的方法

Also Published As

Publication number Publication date
CN101820620B (zh) 2013-04-10

Similar Documents

Publication Publication Date Title
EP2272271B1 (en) Method and system for mutual authentication of nodes in a wireless communication network
CN100558035C (zh) 一种双向认证方法及系统
US8327143B2 (en) Techniques to provide access point authentication for wireless network
JP4545197B2 (ja) 無線ネットワークシステム及びこれを用いる通信方法
CN104158653B (zh) 一种基于商密算法的安全通信方法
CN103095696B (zh) 一种适用于用电信息采集系统的身份认证和密钥协商方法
JP2020202594A (ja) セキュアセッションの確立と暗号化データ交換のためのコンピュータ利用システム及びコンピュータ利用方法
CN103532713B (zh) 传感器认证和共享密钥产生方法和系统以及传感器
CN107105060A (zh) 一种实现电动汽车信息安全的方法
CN107679847B (zh) 一种基于近场通信双向身份认证的移动交易隐私保护方法
CN102394749B (zh) 数据传输的线路保护方法、系统、信息安全设备及应用设备
CN104754581A (zh) 一种基于公钥密码体制的lte无线网络的安全认证方法
CN103079200A (zh) 一种无线接入的认证方法、系统及无线路由器
CN103763356A (zh) 一种安全套接层连接的建立方法、装置及系统
CN103491540A (zh) 一种基于身份凭证的无线局域网双向接入认证系统及方法
WO2016054905A1 (zh) 一种数据处理方法
CN107682152B (zh) 一种基于对称密码的群组密钥协商方法
CN103905384A (zh) 基于安全数字证书的嵌入式终端间会话握手的实现方法
CN103795728A (zh) 一种隐藏身份且适合资源受限终端的eap认证方法
CN111416712B (zh) 基于多个移动设备的量子保密通信身份认证系统及方法
CN111970699A (zh) 一种基于ipk的终端wifi登陆认证方法以及系统
CN102404329A (zh) 用户终端与虚拟社区平台间交互的认证加密方法
CN101820620B (zh) 一种安全的WiMAX无线网络认证协议
CN101272241B (zh) 一种密钥的分配与管理方法
CN113507372A (zh) 一种接口请求的双向认证方法

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant
CF01 Termination of patent right due to non-payment of annual fee

Granted publication date: 20130410

Termination date: 20151019

EXPY Termination of patent right or utility model