CN101917718A - 无线城域网实体退出网络的方法和系统 - Google Patents
无线城域网实体退出网络的方法和系统 Download PDFInfo
- Publication number
- CN101917718A CN101917718A CN201010267724.4A CN201010267724A CN101917718A CN 101917718 A CN101917718 A CN 101917718A CN 201010267724 A CN201010267724 A CN 201010267724A CN 101917718 A CN101917718 A CN 101917718A
- Authority
- CN
- China
- Prior art keywords
- terminal
- base station
- network
- message
- certificate server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Abstract
本发明涉及无线通信网络及网络安全的技术领域,特别涉及一种无线城域网实体退出网络的方法和系统。本发明包括以下步骤:终端通过认证服务器的鉴别接入到网络侧的基站,认证服务器记录终端和接入基站的身份及其对应关系;基站与终端进行业务通信;认证服务器吊销该终端的证书;认证服务器根据本地记录的终端和接入基站的身份及其对应关系,向基站发送“终端退出通告消息”;基站对待退出网络的终端解除业务连接,中断业务通信;基站向认证服务器发送“终端退出响应消息”。本发明中,当无线城域网某个终端的身份失效,或者是管理人员设置某个终端为非法用户,能将及时地将该终端退出正在通信的网络,保证通信网络的安全。
Description
技术领域
本发明涉及无线通信网络及网络安全的技术领域,特别涉及一种无线城域网实体退出网络的方法和系统。
背景技术
无线城域网作为未来无线接入技术的重要发展方向,备受各界广泛关注。然而,安全问题一直制约着其进一步的推广与发展。IEEE 802.16d中定义了基于公开密钥加密算法(RSA)和数字证书的认证协议,可以实现基站BS对用户站BS的认证。申请号为200810027930.0的专利《一种无线城域网的安全接入方法》(下文简称WMAN-SA)提供了一种无线城域网的安全接入方法,在认证授权过程中,采用了用户站SS和基站BS的双向认证代替原有的单向认证,攻击者冒充合法基站BS骗取用户站SS的信任成为不可能,避免了中间人攻击的可能性。在密钥的协商过程中,密钥由用户站SS和基站BS共同产生,代替了由基站BS分配,保证了密钥的质量,增强了无线城域网的安全性。
但是根据WMAN-SA的定义,终端只有在接入网络时,才进行身份鉴别,一旦通过身份鉴别成功接入网络后,终端和网络在通信过程中,则不再进行身份鉴别,这样就造成了安全上的威胁:如果在通信过程中,认证服务器认为某个终端的身份失效,或者是管理人员设置某个终端为非法用户,由于目前WMAN-SA没有定义相关的处理流程,虽然认证服务器吊销了终端代表身份合法性的证书,但是在网络侧的基站并没有收到相关通告,该终端仍将以合法身份存在于网络中,并继续与基站进行通信,因为通信过程中周期性的密钥协商不再涉及身份鉴别,因此在通信中基站始终无法识别出该终端的身份问题。
如果需要解决这个安全问题,则在通信过程中,如果认证服务器认为某个终端的身份失效,或者是管理人员设置某个终端为非法用户,则需要采用一种方法将该终端及时退出正在进行通信的网络。
发明内容
本发明的目的是提供一种无线城域网实体退出网络的实现方法,以解决通信过程中终端身份失效而持续与网络进行通信带来的安全威胁的问题。本发明的另一目的是提供一种实现无线城域网实体退出网络的实现方法的系统。
为解决上述技术问题,本发明的技术方案是:
一种无线城域网实体退出网络的方法,其特征在于:包括以下步骤:
步骤1:终端通过认证服务器的鉴别接入到网络侧的基站,认证服务器记录终端和接入基站的身份及其对应关系;
步骤2:基站与终端进行业务通信;
步骤3:认证服务器吊销该终端的证书;
步骤4:认证服务器根据本地记录的终端和接入基站的身份及其对应关系,向基站发送“终端退出通告消息”;
步骤5:基站对待退出网络的终端解除业务连接,中断业务通信;
步骤6:基站向认证服务器发送“终端退出响应消息”。
上述无线城域网实体退出网络的方法,其特征在于:步骤4中所述“终端退出通告消息”包含:接入基站的身份,待退出网络的终端身份、认证服务器挑战、认证服务器签名字段。这里的认证服务器挑战可以为随机数,序列号或时戳。
上述无线城域网实体退出网络的方法,其特征在于:步骤6中所述“终端退出响应消息”包含:已退出网络的终端身份、基站挑战和基站签名字段。
上述无线城域网实体退出网络的方法,其特征在于:所述基站挑战和“终端退出通告消息”中的“认证服务器挑战”值相同。
上述无线城域网实体退出网络的方法,其特征在于:步骤5为:
基站收到“终端退出通告消息”后,根据认证服务器挑战确定该消息是否为重放消息,如确定为重放消息,则忽略该消息;如确定不是重放消息则验证认证服务器签名,如验证不通过,忽略该消息;如验证通过,则根据待退出网络的终端身份查找是否有该终端正接入该基站进行业务通信,如无该终端,则忽略该消息;如存在该终端,则基站对待退出网络的终端解除业务连接,中断业务通信。
上述无线城域网实体退出网络的方法,其特征在于:所述认证服务器收到“终端退出响应消息”后,根据基站挑战确定该消息是否为重放消息,如确定为重放消息,则忽略该消息;如确定不是重放消息则验证基站签名,如验证不通过,忽略该消息,并重新生成“终端退出通告消息”发送至基站。
实现上述无线城域网实体退出网络的方法的系统,包括终端、认证服务器和基站,其特征在于:所述终端通过认证服务器的鉴别接入或退出网络侧的基站。
所述终端包括第一无线城域网安全接入模块、第一网络实体退出模块和与第一无线城域网安全接入模块连接的第一业务通信模块,所述基站包括第二无线城域网安全接入模块、第二网络实体退出模块和与第二无线城域网安全接入模块连接的第二业务通信模块,所述认证服务器包括第三无线城域网安全接入模块和第三网络实体退出模块;
所述终端第一无线城域网安全接入模块通过所述认证服务器第三无线城域网安全接入模块的鉴别接入到网络侧的基站,所述认证服务器第三无线城域网安全接入模块记录终端和接入基站的身份及其对应关系;
所述基站第二业务通信模块与所述终端第一业务通信模块进行业务通信;
所述认证服务器第三无线城域网安全接入模块吊销该终端的证书;
所述认证服务器第三网络实体退出模块根据本地记录的终端和接入基站的身份及其对应关系,向基站发送“终端退出通告消息”;
所述基站第二网络实体退出模块对待退出网络的终端解除业务连接,所述终端第一业务通信模块和所述基站第二业务通信模块中断业务通信;
所述基站第二网络实体退出模块向认证服务器发送“终端退出响应消息”。
附图说明
图1 是本发明无线城域网实体退出网络的流程图;
图2 是本发明实现无线城域网实体退出网络的系统结构图。
具体实施方式
下面结合附图通过具体实施方式对本发明作进一步详细的说明。
参见图1,本发明涉及的网络实体包括:认证服务器,基站和终端;本发明的步骤和处理流程如下:
1、基站和终端通过认证服务器完成200810027930.0的专利《一种无线城域网的安全接入方法》定义的接入鉴别后,认证服务器侧记录终端和以及接入基站的身份及其对应关系,基站和终端进行业务通信。
2、在通信过程中,如果认证服务器认为某个终端的身份失效,或者是管理人员认定某个终端为非法用户,则在认证服务器侧吊销该终端的证书。认证服务器根据本地记录的终端和接入基站的身份信息及其对应关系,认证服务器产生“终端退出通告消息”并对该消息签名后,认证服务器向该终端接入的基站发送“终端退出通告消息”。“终端退出通告消息”包含:接入基站的身份,待退出网络的终端身份、认证服务器挑战、认证服务器签名等字段。这里的认证服务器挑战可以为随机数,序列号或时戳。
3、基站收到“终端退出通告消息”后,根据认证服务器挑战确定该消息是否为重放消息,如确定为重放消息,则忽略该消息;如确定不是重放消息则验证认证服务器签名,如验证不通过,忽略该消息。如验证通过,则根据待退出网络的终端身份查找是否有该终端正接入该基站进行业务通信,如无该终端,则忽略该消息。如存在该终端,则基站对待退出网络的终端解除业务连接,中断业务通信。
4、基站对待退出网络的终端解除业务连接后,产生“终端退出响应消息”并签名后,向认证服务器发送“终端退出响应消息”。“终端退出响应消息”包含:已退出网络的终端身份、基站挑战和基站签名等字段。基站挑战和“终端退出通告消息”中的“认证服务器挑战”值相同。
5、认证服务器收到“终端退出响应消息”后,根据基站挑战确定该消息是否为重放消息,如确定为重放消息,则忽略该消息;如确定不是重放消息则验证基站签名,如验证不通过,忽略该消息,并重新生成“终端退出通告消息”发送至基站。
参见图2,本发明实现无线城域网实体退出网络的系统包括终端、认证服务器和基站,终端通过认证服务器的鉴别接入到网络侧的基站。
所述终端包括第一无线城域网安全接入模块、第一网络实体退出模块和与第一无线城域网安全接入模块连接的第一业务通信模块,所述基站包括第二无线城域网安全接入模块、第二网络实体退出模块和与第二无线城域网安全接入模块连接的第二业务通信模块,所述认证服务器包括第三无线城域网安全接入模块和第三网络实体退出模块。
具体的实现过程为:
1、基站的第二无线城域网安全接入模块和终端的第一无线城域网安全接入模块通过认证服务器完成200810027930.0的专利《一种无线城域网的安全接入方法》定义的接入鉴别后,认证服务器的第三无线城域网安全接入模块记录终端和以及接入基站的身份及其对应关系,基站的第二业务通信模块和终端的第一业务通信模块进行业务通信。
2、在通信过程中,如果认证服务器的第三无线城域网安全接入模块认为某个终端的身份失效,或者是管理人员认定某个终端为非法用户,则第三无线城域网安全接入模块吊销该终端的证书。第三网络实体退出模块根据本地记录的终端和接入基站的身份信息及其对应关系,第三网络实体退出模块产生“终端退出通告消息”并对该消息签名后,第三网络实体退出模块向该终端接入的基站发送“终端退出通告消息”。“终端退出通告消息”包含:接入基站的身份,待退出网络的终端身份、认证服务器挑战、认证服务器签名等字段。这里的认证服务器挑战可以为随机数,序列号或时戳。
3、基站的第二网络实体退出模块收到“终端退出通告消息”后,根据认证服务器挑战确定该消息是否为重放消息,如确定为重放消息,则忽略该消息;如确定不是重放消息则验证认证服务器签名,如验证不通过,忽略该消息。如验证通过,则根据待退出网络的终端身份查找是否有该终端正接入该基站进行业务通信,如无该终端,则忽略该消息。如存在该终端,则基站的第二网络实体退出模块控制第二业务通信模块,对待退出网络终端的第一业务通信模块解除业务连接,中断业务通信。
4、基站对待退出网络的终端解除业务连接后,第二网络实体退出模块产生“终端退出响应消息”并签名后,向认证服务器发送“终端退出响应消息”。“终端退出响应消息”包含:已退出网络的终端身份、基站挑战(和“终端退出通告消息”中的“认证服务器挑战”值相同)、基站签名等字段。
5、认证服务器的第三网络实体退出模块收到“终端退出响应消息”后,根据基站挑战确定该消息是否为重放消息,如确定为重放消息,则忽略该消息;如确定不是重放消息则验证基站签名,如验证不通过,忽略该消息,并重新生成“终端退出通告消息”发送至基站。
Claims (9)
1.一种无线城域网实体退出网络的方法,其特征在于:包括以下步骤:
步骤1:终端通过认证服务器的鉴别接入到网络侧的基站,认证服务器记录终端和接入基站的身份及其对应关系;
步骤2:基站与终端进行业务通信;
步骤3:认证服务器吊销该终端的证书;
步骤4:认证服务器根据本地记录的终端和接入基站的身份及其对应关系,向基站发送“终端退出通告消息”;
步骤5:基站对待退出网络的终端解除业务连接,中断业务通信;
步骤6:基站向认证服务器发送“终端退出响应消息”。
2.根据权利要求1所述的无线城域网实体退出网络的方法,其特征在于:步骤4中所述“终端退出通告消息”包含:接入基站的身份,待退出网络的终端身份、认证服务器挑战和认证服务器签名字段;所述认证服务器挑战为随机数或序列号或时戳。
3.根据权利要求1所述的无线城域网实体退出网络的方法,其特征在于:步骤6中所述“终端退出响应消息”包含:已退出网络的终端身份、基站挑战和基站签名字段。
4.根据权利要求3所述的无线城域网实体退出网络的方法,其特征在于:所述基站挑战和“终端退出通告消息”中的“认证服务器挑战”值相同。
5.根据权利要求1所述的无线城域网实体退出网络的方法,其特征在于:步骤5为:
基站收到“终端退出通告消息”后,根据认证服务器挑战确定该消息是否为重放消息,如确定为重放消息,则忽略该消息;如确定不是重放消息则验证认证服务器签名,如验证不通过,忽略该消息;如验证通过,则根据待退出网络的终端身份查找是否有该终端正接入该基站进行业务通信,如无该终端,则忽略该消息;如存在该终端,则基站对待退出网络的终端解除业务连接,中断业务通信。
6.根据权利要求1至5任一项所述的无线城域网实体退出网络的方法,其特征在于:所述认证服务器收到“终端退出响应消息”后,根据基站挑战确定该消息是否为重放消息,如确定为重放消息,则忽略该消息;如确定不是重放消息则验证基站签名,如验证不通过,忽略该消息,并重新生成“终端退出通告消息”发送至基站。
7.一种实现权利要求1所述的无线城域网实体退出网络的方法的系统,包括终端、认证服务器和基站,其特征在于:所述终端通过认证服务器的鉴别接入或退出网络侧的基站。
8.根据权利要求7所述的实现无线城域网实体退出网络的方法的系统,其特征在于:所述终端包括第一无线城域网安全接入模块、第一网络实体退出模块和与第一无线城域网安全接入模块连接的第一业务通信模块,所述基站包括第二无线城域网安全接入模块、第二网络实体退出模块和与第二无线城域网安全接入模块连接的第二业务通信模块,所述认证服务器包括第三无线城域网安全接入模块和第三网络实体退出模块。
9.根据权利要求7至8所述的实现无线城域网实体退出网络的方法的系统,其特征在于:
所述终端第一无线城域网安全接入模块通过所述认证服务器第三无线城域网安全接入模块的鉴别接入到网络侧的基站,所述认证服务器第三无线城域网安全接入模块记录终端和接入基站的身份及其对应关系;
所述基站第二业务通信模块与所述终端第一业务通信模块进行业务通信;
所述认证服务器第三无线城域网安全接入模块吊销该终端的证书;
所述认证服务器第三网络实体退出模块根据本地记录的终端和接入基站的身份及其对应关系,向基站发送“终端退出通告消息”;
所述基站第二网络实体退出模块对待退出网络的终端解除业务连接,所述终端第一业务通信模块和所述基站第二业务通信模块中断业务通信;
所述基站第二网络实体退出模块向认证服务器发送“终端退出响应消息”。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201010267724.4A CN101917718B (zh) | 2010-08-31 | 2010-08-31 | 无线城域网实体退出网络的方法和系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201010267724.4A CN101917718B (zh) | 2010-08-31 | 2010-08-31 | 无线城域网实体退出网络的方法和系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101917718A true CN101917718A (zh) | 2010-12-15 |
| CN101917718B CN101917718B (zh) | 2013-05-22 |
Family
ID=43325077
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201010267724.4A Expired - Fee Related CN101917718B (zh) | 2010-08-31 | 2010-08-31 | 无线城域网实体退出网络的方法和系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101917718B (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102420817A (zh) * | 2011-11-28 | 2012-04-18 | 广州杰赛科技股份有限公司 | 应用服务管理系统及服务禁用方法 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1933657A (zh) * | 2005-09-15 | 2007-03-21 | 华为技术有限公司 | 一种在rsa认证过程中抵抗冒充合法移动台实施攻击的方法 |
| CN1951141A (zh) * | 2004-03-31 | 2007-04-18 | 日本电气株式会社 | 无线通信网络系统、该系统中的通信服务提供方法、程序、以及存储介质 |
| CN101043731A (zh) * | 2006-03-25 | 2007-09-26 | 华为技术有限公司 | 终端退网过程中的信息处理方法及系统 |
| JP2008015696A (ja) * | 2006-07-04 | 2008-01-24 | Softbank Mobile Corp | 認証方法、移動通信端末装置、ドメインシステム、ホームドメインシステム及び認証システム |
-
2010
- 2010-08-31 CN CN201010267724.4A patent/CN101917718B/zh not_active Expired - Fee Related
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1951141A (zh) * | 2004-03-31 | 2007-04-18 | 日本电气株式会社 | 无线通信网络系统、该系统中的通信服务提供方法、程序、以及存储介质 |
| CN1933657A (zh) * | 2005-09-15 | 2007-03-21 | 华为技术有限公司 | 一种在rsa认证过程中抵抗冒充合法移动台实施攻击的方法 |
| CN101043731A (zh) * | 2006-03-25 | 2007-09-26 | 华为技术有限公司 | 终端退网过程中的信息处理方法及系统 |
| JP2008015696A (ja) * | 2006-07-04 | 2008-01-24 | Softbank Mobile Corp | 認証方法、移動通信端末装置、ドメインシステム、ホームドメインシステム及び認証システム |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102420817A (zh) * | 2011-11-28 | 2012-04-18 | 广州杰赛科技股份有限公司 | 应用服务管理系统及服务禁用方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101917718B (zh) | 2013-05-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101136748B (zh) | 一种身份认证方法及系统 | |
| CN101212297B (zh) | 基于web的wlan接入认证方法及系统 | |
| CN101631113B (zh) | 一种有线局域网的安全访问控制方法及其系统 | |
| CN100373843C (zh) | 一种无线局域网中密钥协商方法 | |
| CN101272301B (zh) | 一种无线城域网的安全接入方法 | |
| CN101610514B (zh) | 认证方法、认证系统及认证服务器 | |
| CN107148788A (zh) | 用于认证无基础设施对等网络中的对等体的方法 | |
| CN100456884C (zh) | 无线通信系统中的重认证方法 | |
| CN103079200A (zh) | 一种无线接入的认证方法、系统及无线路由器 | |
| Hu et al. | Smart grid mesh network security using dynamic key distribution with merkle tree 4-way handshaking | |
| CN103346888A (zh) | 一种基于密码、智能卡和生物特征的远程身份认证方法 | |
| CN101610515A (zh) | 一种基于wapi的认证系统及方法 | |
| Khalil et al. | Sybil attack prevention through identity symmetric scheme in vehicular ad-hoc networks | |
| CN105450623A (zh) | 一种电动汽车的接入认证方法 | |
| CN101192927B (zh) | 基于身份保密的授权与多重认证方法 | |
| Lipiński et al. | Towards effective security framework for vehicular ad-hoc networks | |
| CN1725685A (zh) | 无线局域网移动终端的安全重认证方法 | |
| CN101860861B (zh) | 基于分层结构的认知无线电网络的实体认证系统及其方法 | |
| CN115038084A (zh) | 一种面向蜂窝基站的去中心化可信接入方法 | |
| Tiwari et al. | A novel secure authentication scheme for VANETs | |
| CN101282215A (zh) | 证书鉴别方法和设备 | |
| Bouassida | Authentication vs. Privacy within Vehicular Ad Hoc Networks. | |
| CN101931952B (zh) | 一种无线城域网系统及其鉴别认证方法 | |
| CN101917718B (zh) | 无线城域网实体退出网络的方法和系统 | |
| CN1953445A (zh) | 解决wapi中证书吊销安全问题的方法和装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20130522 Termination date: 20200831 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |