CN102223636A - 无线城域网安全接入协议的实现方法及系统 - Google Patents
无线城域网安全接入协议的实现方法及系统 Download PDFInfo
- Publication number
- CN102223636A CN102223636A CN2011102028169A CN201110202816A CN102223636A CN 102223636 A CN102223636 A CN 102223636A CN 2011102028169 A CN2011102028169 A CN 2011102028169A CN 201110202816 A CN201110202816 A CN 201110202816A CN 102223636 A CN102223636 A CN 102223636A
- Authority
- CN
- China
- Prior art keywords
- base station
- subscriber station
- controlled
- wman
- controlled ports
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Mobile Radio Communication Systems (AREA)
Abstract
本发明公开了一种无线城域网安全接入协议的实现方法及系统,该方法包括:在用户站接入基站的过程中,所述用户站、基站通过非受控端口与认证服务器进行基于WMAN-SA协议的身份鉴别;在所述用户站和基站的身份鉴别结果均合法时,设置所述用户站端的受控端口的状态为“授权”,设置所述基站端的受控端口的状态为“授权”;所述用户站和基站通过授权的受控端口传送受控信息。本发明实施例可在不修改无线城域网设备的软硬件的基础上实现WMAN-SA协议,通用性强。
Description
技术领域
本发明涉及通信技术领域,尤其涉及一种无线城域网安全接入协议的实现方法及系统。
背景技术
IEEE 802.16无线城域网作为未来无线接入技术的发展方向,备受各界关注。然而,安全问题一直制约着其进一步的推广与发展。IEEE 802.16d中定义了基于公开密钥加密算法(RSA)和数字证书的认证协议,可以实现基站对用户终端的认证。IEEE 802.16d的主要缺点是:只提供了基站对用户终端的单向认证,而没有提供用户终端对基站的认证,攻击者容易假冒基站欺骗用户终端。此外,授权密钥(AK)和会话密钥(TEK)都是由基站一方产生的,在这种单向认证的条件下,难以使用户终端对会话密钥TEK的质量产生信任。IEEE 802.16e对IEEE 802.16d进行了增强性的修改,引入了可扩展认证协议(Extensible Authentication Protocol,简称EAP)。但是,仍然只包含了基站对用户终端的单向身份认证。
申请号为200810027930.0的发明专利申请公开了一种无线城域网的安全接入方法(以下简称为WMAN-SA),在认证授权过程中,采用用户终端和基站间双向认证代替原有的单向认证,使攻击者难以冒充合法基站骗取用户终端的信任,避免了中间人攻击的可能性。在密钥的协商过程中,密钥由用户终端和基站共同产生,代替原有的由基站分配,保证了密钥的质量,增强了无线城域网的安全性。因此,改进的协议同样可以满足原无线城域网的功能和性能要求,并且更安全。
申请号为200910213805.3的发明专利申请公开了一种WMAN-SA融合WiMAX设备的方法及无线城域网,提供一种WMAN-SA协议在WiMAX设备中实施的方法,具体为:将原IEEE 802.16定义的PKM协议替换成WMAN-SA协议,来替代802.16协议中MAC安全子层的内容。在SS入网流程中,安全策略设置为WMAN-SA,而不是PKM;当安全能力协商的结果为采用WMAN-SA策略时,启动WMAN-SA的认证机制,并利用双方共同贡献的密钥材料来产生授权密钥(AK);待接入完成后,从AK派生得到的传输加密密钥(TEK)将被用来保护业务流的数据,使得开发支持WMAN-SA协议的无线城域网设备成为可能。
但是,申请号为200910213805.3的发明专利申请所提供的WMAN-SA协议的实现方法,仅限于在WiMAX网络和设备中实现,要开发出实现WMAN-SA协议的设备,需要支持IEEE 802.16协议的基站和用户站的MAC层软件开放相应接口,而且使用WMAN-SA协议模块替换掉原软件中的安全子层,实现较为复杂,不具备通用性。
发明内容
本发明实施例提出一种无线城域网安全接入协议的实现方法及系统,不需要修改网络设备的软硬件,通用性强。
本发明实施例提供的无线城域网安全接入协议的实现方法,包括:
S1、在用户站接入基站的过程中,所述用户站、基站通过非受控端口与认证服务器进行基于WMAN-SA协议的身份鉴别;
S2、在所述用户站和基站的身份鉴别结果均合法时,所述用户站、基站还通过非受控端口进行基于WMAN-SA协议的会话协商,获得会话密钥;
并且,设置所述用户站端的受控端口的状态为“授权”,设置所述基站端的受控端口的状态为“授权”;
S3、所述用户站和基站根据所述会话密钥,通过授权的受控端口对受控信息进行保密传输;
若所述用户站、基站未完成身份鉴别和会话协商,或者用户站和基站任一项的身份鉴别结果为不合法,则所述用户站端的受控端口的状态为“未授权”,所述基站端的受控端口的状态为“未授权”;所述用户站和所述基站之间不能通过未授权的受控端口传送受控信息,只能通过非受控端口传送非受控信息。
本发明实施例提供的无线城域网系统,包括基站、用户站和认证服务器;所述基站包括BS端安全管理模块和BS端通信模块;所述用户站包括SS端安全管理模块和SS端通信模块;
在用户站接入基站的过程中,所述BS端安全管理模块、SS端安全管理模块通过非受控端口与所述认证服务器进行基于WMAN-SA协议的身份鉴别;
在用户站和基站的身份鉴别结果均合法时,所述BS端安全管理模块、SS端安全管理模块还通过非受控端口进行基于WMAN-SA协议的会话协商,获得会话密钥;并且,所述BS端安全管理模块设置基站端的受控端口的状态为“授权”,所述SS端安全管理模块设置用户站端的受控端口的状态为“授权”;
所述BS端通信模块与所述SS端通信模块之间根据所述会话密钥,通过授权的受控端口对受控信息进行保密传输;
若所述用户站、基站未完成身份鉴别和会话协商,或者用户站和基站任一项的身份鉴别结果为不合法,则所述用户站端的受控端口的状态为“未授权”,所述基站端的受控端口的状态为“未授权”;所述BS端通信模块与所述SS端通信模块之间不能通过未授权的受控端口传送受控信息,只能通过非受控端口传送非受控信息。
本发明实施例提供的无线城域网安全接入协议的实现方法及系统,通过在用户站、基站增加安全管理模块,完成基于WMAN-SA协议的身份鉴别和会话协商,并根据身份鉴别结果设置受控端口的状态,使用户站与基站之间通过授权的受控端口传送受控信息。本发明实施例可在不修改无线城域网设备的软硬件的基础上实现WMAN-SA协议,通用性强。
附图说明
图1是本发明实施例一提供的无线城域网安全接入协议的实现方法的流程示意图;
图2是本发明实施例二提供的无线城域网系统的结构示意图;
图3是本发明实施例三提供的无线城域网安全接入协议的实现方法的流程示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明实施例提供的无线城域网安全接入协议的实现方法及系统,能够在不修改无线城域网设备的软硬件的基础上实现WMAN-SA协议。下面仅以IEEE 802.16无线城域网为例进行说明。
本发明实施例在用户站(以下简称SS)和基站(以下简称BS)两侧分别配置非受控端口,用于传输非受控信息。该非受控信息包括WMAN-SA信令、无线城域网接入协议管理类型的信令等,例如,用户站SS和基站BS两者之间基于WMAN-SA协议进行身份鉴别和会话协商的信令均为非受控信息。此外,本发明实施例还在用户站SS和基站BS两侧分别配置受控端口,用于传输受控信息。该受控信息包括视频、音频等业务数据。其中,“非受控信息”、“受控信息”具有特定的数据结构,并使用特定字段表示信令类型,这是本领域的常规技术,在此不予详述。
非受控端口和受控端口均为逻辑端口,可以采用以下方法配置端口的类型:非受控信息采用指定的端口进行通信;而受控信息采用其他端口通信。传输非受控信息所使用的端口即为非受控端口,而传输受控信息所使用的端口即为受控端口。需要说明的是,上述的配置端口类型的方法,是本发明的优选实施方式,并不是唯一的实施例。
其中,非受控端口不具有权限限制,一直打开,用户站SS和基站BS通过非受控端口实现非受控信息的交互传输。而受控端口具有权限限制,需要根据SS和BS的身份鉴别结果来确定受控端口的状态,当SS和BS均合法时,设置受控端口的状态为“授权”,打开受控端口,SS和BS可通过授权的受控端口实现受控信息的交互传输。否则,设置受控端口的状态为“未授权”,未授权的受控端口不能传送受控信息。
参见图1,是本发明实施例一提供的无线城域网安全接入协议的实现方法的流程示意图,该方法包括以下步骤:
S0、用户站搜索基站的信号,准备接入基站;
S1、在用户站接入基站的过程中,用户站、基站通过非受控端口与认证服务器进行基于WMAN-SA协议的身份鉴别;
在步骤S1,还包括:在进行身份鉴别之前,设置用户站端的受控端口的状态为“未授权”,设置基站端的受控端口的状态为“未授权”;未授权的受控端口不能传送受控信息。
S2、在用户站和基站的身份鉴别结果均合法时,用户站、基站还通过非受控端口进行基于WMAN-SA协议的会话协商,获得会话密钥;
并且,设置用户站端的受控端口的状态为“授权”,设置基站端的受控端口的状态为“授权”;
若用户站和基站任一项的身份鉴别结果为不合法,则退出流程。
S3、用户站和基站根据所述会话密钥,通过授权的受控端口对受控信息进行保密传输。
若用户站、基站未完成身份鉴别和会话协商,或者用户站和基站任一项的身份鉴别结果为不合法,则用户站端的受控端口的状态为“未授权”,基站端的受控端口的状态为“未授权”;用户站和基站之间不能通过未授权的受控端口传送受控信息,只能通过非受控端口传送非受控信息。
优选的,用户站和基站通过基于IEEE802.16的通信系统进行通信。
其中,通过非受控端口传送的信息为非受控信息,非受控信息包括WMAN-SA信令和无线城域网接入协议管理类型的信令;通过受控端口传送的受控信息包括业务数据。
需要说明的是,步骤S2中的基于WMAN-SA协议的身份鉴别及会话协商方法,与申请号为“200810027930.0”,发明名称为“一种无线城域网的安全接入方法”的发明专利申请中所公开的身份鉴别及会话协商方法相同,在此不再赘述。
具体实施时,本发明实施例提供的无线城域网安全接入协议的实现方法,可通过在用户站、基站增加安全管理模块,完成基于WMAN-SA协议的身份鉴别和会话协商,并根据身份鉴别结果设置受控端口的状态,使用户站与基站之间通过授权的受控端口传送受控信息。可以在不修改无线城域网设备的软硬件的基础上实现WMAN-SA协议,通用性强。
相应地,本发明实施例还提供一种无线城域网,能够实施上述的无线城域网安全接入协议的实现方法的所有步骤。
参见图2,是本发明实施例二提供的无线城域网系统的结构示意图。
所述无线城域网系统包括基站BS、用户站SS和认证服务器AS;所述基站包括BS端安全管理模块和BS端通信模块;所述用户站包括SS端安全管理模块和SS端通信模块。
优选的,基站BS、用户站SS通过基于IEEE802.16的通信系统进行通信。
BS端通信模块与SS端通信模块组成基于IEEE 802.16的通信系统,它们之间通过基于IEEE802.16协议的空中接口进行通信。通信的信息分为两类:非受控信息(例如WMAN-SA信令、无线城域网接入协议管理类型的信令)以及受控信息(例如视频、音频等业务数据)。受控信息通过受控端口传递,非受控信息通过非受控端口传递。BS安全管理模块与SS安全管理模块通过基于IEEE 802.16的通信系统进行通信,实现WMAN-SA协议。
BS端安全管理模块的功能包括:完成基于WMAN-SA协议的身份鉴别和密钥协商;根据身份鉴别结果设置BS端受控端口的状态;从业务网上传或下载受控信息;加密来自业务网的受控信息;解密来自SS的受控信息。
SS端安全管理模块的功能包括:完成基于WMAN-SA协议的身份鉴别和密钥协商;根据身份鉴别结果设置SS端受控端口的状态;接收或发送受控信息给用户;解密来自BS的受控信息;加密来自用户的受控信息。
在用户站接入基站的过程中,BS端安全管理模块、SS端安全管理模块通过非受控端口与认证服务器进行基于WMAN-SA协议的身份鉴别;在用户站和基站的身份鉴别结果均合法时,BS端安全管理模块、SS端安全管理模块还通过非受控端口进行基于WMAN-SA协议的会话协商,获得会话密钥;并且,BS端安全管理模块设置基站端的受控端口的状态为“授权”,SS端安全管理模块设置用户站端的受控端口的状态为“授权”;BS端通信模块与SS端通信模块之间根据所述会话密钥,通过授权的受控端口对受控信息进行保密传输。
若用户站、基站未完成身份鉴别和会话协商,或者用户站和基站任一项的身份鉴别结果为不合法,则用户站端的受控端口的状态为“未授权”,基站端的受控端口的状态为“未授权”;BS端通信模块与SS端通信模块之间不能通过未授权的受控端口传送受控信息,只能通过非受控端口传送非受控信息。
参见图3,是本发明实施例三提供的无线城域网安全接入协议的实现方法的流程示意图,无线城域网系统的安全接入协议的实现方法的流程如下:
S101、用户站搜索基站的信号,准备接入基站;
S102、在进行身份鉴别之前,BS端安全管理模块设置基站端的受控端口的状态为“未授权”,SS端安全管理模块设置用户站端的受控端口的状态为“未授权”;未授权的受控端口不能传送受控信息;
S103、BS端安全管理模块、SS端安全管理模块通过非受控端口与认证服务器进行基于WMAN-SA协议的身份鉴别;
其中,BS端通信模块与SS端通信模块之间通过非受控端口传送非受控信息,非受控信息包括WMAN-SA信令、无线城域网接入协议管理类型的信令等。受控端口与非受控端口具有不同的端口号;受控信息包括业务数据。
S104、若用户站和基站的身份鉴别结果均合法,则执行S105,否则执行S108;
S105、BS端安全管理模块、SS端安全管理模块通过非受控端口进行基于WMAN-SA协议的会话协商,获得会话密钥;
S106、BS端安全管理模块设置基站端的受控端口的状态为“授权”,SS端安全管理模块设置用户站端的受控端口的状态为“授权”;
S107、BS端通信模块与SS端通信模块之间通过授权的受控端口对受控信息进行保密传输;
S108、结束。
需要说明的是,步骤S103、S105中的基于WMAN-SA协议的身份鉴别及会话协商方法,与申请号为“200810027930.0”,发明名称为“一种无线城域网的安全接入方法”的发明专利申请中所公开的身份鉴别及会话协商方法相同,在此不再赘述。
本发明实施例提供的无线城域网系统,通过在用户站、基站增加安全管理模块,完成基于WMAN-SA协议的身份鉴别和会话协商,并根据身份鉴别结果设置受控端口的状态,使用户站与基站之间通过授权的受控端口传送受控信息。本发明实施例可在不修改无线城域网设备的软硬件的基础上实现WMAN-SA协议,通用性强。
以上所述是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也视为本发明的保护范围。
Claims (6)
1.一种无线城域网安全接入协议的实现方法,其特征在于,包括:
S1、在用户站接入基站的过程中,所述用户站、基站通过非受控端口与认证服务器进行基于WMAN-SA协议的身份鉴别;
S2、在所述用户站和基站的身份鉴别结果均合法时,所述用户站、基站还通过非受控端口进行基于WMAN-SA协议的会话协商,获得会话密钥;
并且,设置所述用户站端的受控端口的状态为“授权”,设置所述基站端的受控端口的状态为“授权”;
S3、所述用户站和基站根据所述会话密钥,通过授权的受控端口对受控信息进行保密传输;
若所述用户站、基站未完成身份鉴别和会话协商,或者用户站和基站任一项的身份鉴别结果为不合法,则所述用户站端的受控端口的状态为“未授权”,所述基站端的受控端口的状态为“未授权”;所述用户站和所述基站之间不能通过未授权的受控端口传送受控信息,只能通过非受控端口传送非受控信息。
2.如权利要求1所述的无线城域网安全接入协议的实现方法,其特征在于,所述用户站和所述基站通过基于IEEE802.16的通信系统进行通信。
3.如权利要求1或2所述的无线城域网安全接入协议的实现方法,其特征在于,所述非受控信息包括WMAN-SA信令和无线城域网接入协议管理类型的信令;所述受控信息包括业务数据。
4.一种无线城域网系统,其特征在于,包括基站、用户站和认证服务器;所述基站包括BS端安全管理模块和BS端通信模块;所述用户站包括SS端安全管理模块和SS端通信模块;
在用户站接入基站的过程中,所述BS端安全管理模块、SS端安全管理模块通过非受控端口与所述认证服务器进行基于WMAN-SA协议的身份鉴别;
在用户站和基站的身份鉴别结果均合法时,所述BS端安全管理模块、SS端安全管理模块还通过非受控端口进行基于WMAN-SA协议的会话协商,获得会话密钥;并且,所述BS端安全管理模块设置基站端的受控端口的状态为“授权”,所述SS端安全管理模块设置用户站端的受控端口的状态为“授权”;
所述BS端通信模块与所述SS端通信模块之间根据所述会话密钥,通过授权的受控端口对受控信息进行保密传输;
若所述用户站、基站未完成身份鉴别和会话协商,或者用户站和基站任一项的身份鉴别结果为不合法,则所述用户站端的受控端口的状态为“未授权”,所述基站端的受控端口的状态为“未授权”;所述BS端通信模块与所述SS端通信模块之间不能通过未授权的受控端口传送受控信息,只能通过非受控端口传送非受控信息。
5.如权利要求4所述无线城域网系统,其特征在于,所述用户站和所述基站通过基于IEEE802.16的通信系统进行通信。
6.如权利要求4或5所述无线城域网系统,其特征在于,所述非受控信息包括WMAN-SA信令和无线城域网接入协议管理类型的信令;所述受控信息包括业务数据。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201110202816.9A CN102223636B (zh) | 2011-07-20 | 2011-07-20 | 无线城域网安全接入协议的实现方法及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201110202816.9A CN102223636B (zh) | 2011-07-20 | 2011-07-20 | 无线城域网安全接入协议的实现方法及系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN102223636A true CN102223636A (zh) | 2011-10-19 |
CN102223636B CN102223636B (zh) | 2013-10-23 |
Family
ID=44780035
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201110202816.9A Expired - Fee Related CN102223636B (zh) | 2011-07-20 | 2011-07-20 | 无线城域网安全接入协议的实现方法及系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN102223636B (zh) |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101272301A (zh) * | 2008-05-07 | 2008-09-24 | 广州杰赛科技股份有限公司 | 一种无线城域网的安全接入方法 |
WO2009089738A1 (fr) * | 2007-12-29 | 2009-07-23 | China Iwncomm Co., Ltd. | Système et procédé d'accès pour authentification destinés à un réseau sans fil à sauts multiples |
CN101741726A (zh) * | 2009-12-18 | 2010-06-16 | 西安西电捷通无线网络通信有限公司 | 一种支持多受控端口的访问控制方法及其系统 |
CN101742511A (zh) * | 2009-12-14 | 2010-06-16 | 广州杰赛科技股份有限公司 | WMAN-SA融合WiMAX设备的方法及无线城域网 |
CN102006587A (zh) * | 2010-12-20 | 2011-04-06 | 广州杰赛科技股份有限公司 | 一种无线城域网的安全接入方法 |
-
2011
- 2011-07-20 CN CN201110202816.9A patent/CN102223636B/zh not_active Expired - Fee Related
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2009089738A1 (fr) * | 2007-12-29 | 2009-07-23 | China Iwncomm Co., Ltd. | Système et procédé d'accès pour authentification destinés à un réseau sans fil à sauts multiples |
CN101272301A (zh) * | 2008-05-07 | 2008-09-24 | 广州杰赛科技股份有限公司 | 一种无线城域网的安全接入方法 |
CN101742511A (zh) * | 2009-12-14 | 2010-06-16 | 广州杰赛科技股份有限公司 | WMAN-SA融合WiMAX设备的方法及无线城域网 |
CN101741726A (zh) * | 2009-12-18 | 2010-06-16 | 西安西电捷通无线网络通信有限公司 | 一种支持多受控端口的访问控制方法及其系统 |
CN102006587A (zh) * | 2010-12-20 | 2011-04-06 | 广州杰赛科技股份有限公司 | 一种无线城域网的安全接入方法 |
Also Published As
Publication number | Publication date |
---|---|
CN102223636B (zh) | 2013-10-23 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
AU2008213766B2 (en) | Method and system for registering and verifying the identity of wireless networks and devices | |
CN106134152B (zh) | 用于加入社交wi-fi网状网络的方法、设备及装置 | |
CN101375243B (zh) | 用于进行无线网络概况提供的系统和方法 | |
CN101136748B (zh) | 一种身份认证方法及系统 | |
CN101212296B (zh) | 基于证书及sim的wlan接入认证方法及系统 | |
EP1629655A1 (en) | Methods and systems of remote authentication for computer networks | |
JP2011166796A (ja) | Caveアルゴリズムに即したhrpdネットワークアクセス認証方法 | |
CN107820239A (zh) | 信息处理方法及装置 | |
CN110808830A (zh) | 一种基于5G网络切片的IoT安全验证框架及其服务方法 | |
CN109768861A (zh) | 一种海量d2d匿名发现认证与密钥协商方法 | |
KR100707805B1 (ko) | 사용자 및 인증자별로 제어할 수 있는 인증 시스템 | |
CN101282215A (zh) | 证书鉴别方法和设备 | |
CN101877852B (zh) | 用户接入控制方法和系统 | |
CN110876142B (zh) | 一种基于标识的wifi认证方法 | |
CN102223636B (zh) | 无线城域网安全接入协议的实现方法及系统 | |
CN109743716A (zh) | 一种基于nfc的无线局域网络认证系统与方法 | |
CN101765110A (zh) | 一种用户和无线接入点之间的专有加密保护方法 | |
CN110149215A (zh) | 网络认证方法、装置以及电子设备 | |
CN205610679U (zh) | 一种具有签名和加密功能的车联网通信设备 | |
CN101917722B (zh) | 一种无线城域网终端非归属地接入身份鉴别的方法 | |
CN102612027B (zh) | 一种无线通讯系统中数据的安全传输方法 | |
CN116709338B (zh) | 一种能防御中间人MitM攻击的Wi-Fi存取点 | |
Chee et al. | Improving security in the IEEE 802.16 Standards | |
CN102006587B (zh) | 一种无线城域网的安全接入方法 | |
CN101925061B (zh) | 一种无线城域网终端非归属地接入身份鉴别的方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
CF01 | Termination of patent right due to non-payment of annual fee | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20131023 Termination date: 20200720 |