CN103152730A - 一种抗DoS攻击的通用移动通信系统无线接入方法 - Google Patents

一种抗DoS攻击的通用移动通信系统无线接入方法 Download PDF

Info

Publication number
CN103152730A
CN103152730A CN2013100613487A CN201310061348A CN103152730A CN 103152730 A CN103152730 A CN 103152730A CN 2013100613487 A CN2013100613487 A CN 2013100613487A CN 201310061348 A CN201310061348 A CN 201310061348A CN 103152730 A CN103152730 A CN 103152730A
Authority
CN
China
Prior art keywords
rnc
rand
ani
rrc
lai
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN2013100613487A
Other languages
English (en)
Other versions
CN103152730B (zh
Inventor
黄杰
张莎
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Southeast University
Original Assignee
Southeast University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Southeast University filed Critical Southeast University
Priority to CN201310061348.7A priority Critical patent/CN103152730B/zh
Publication of CN103152730A publication Critical patent/CN103152730A/zh
Application granted granted Critical
Publication of CN103152730B publication Critical patent/CN103152730B/zh
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Mobile Radio Communication Systems (AREA)

Abstract

本发明公开了一种抗DoS攻击的通用移动通信系统无线接入方法。该方法采用入网凭证、公钥密码体系和随机数等手段验证进入UMTS系统,请求无线资源服务的MS身份,从而阻止了非法MS占用UMTS无线信道资源,抵抗了来自UMTS外部的DoS攻击。该方法有效克服了现有方案将阻止外部DoS攻击的机制放在核心网内部执行的缺陷,同时对现有的无线资源控制协议改动非常少,仅增加少量通信字段,因此对UMTS现有的安全机制是一个有益的补充。

Description

一种抗DoS攻击的通用移动通信系统无线接入方法
技术领域
本发明涉及通信安全技术领域,特别是涉及一种抗DoS攻击的通用移动通信系统无线接入方法。
背景技术
通用移动通信UMTS系统的无线接入分为两个阶段:RRC(Radio ResourceControl,无线资源控制协议)连接建立阶段和接入MS(移动用户)身份认证阶段。在RRC连接建立阶段,当RNC(无线网络控制器)收到MS的RRC连接请求时,会根据请求原因及目前的无线资源情况决定是否接受请求,但不会判断发起该请求的移动设备是否合法。一旦非法MS利用截取的RRC连接请求信令向RNC发起连接请求,RNC也会为其分配相应的无线资源,导致RNC资源短缺从而拒绝合法MS的连接请求,产生DoS攻击。而接入MS身份认证阶段是利用鉴权与密钥协商协议(AKA),通过核心网网元与MS交互认证信息实现MS和网络之间相互认证和协商通信密钥。该协议虽然可以在核心网内部实现MS身份的认证,阻止来自UMTS外部的DoS攻击,但非法MS已经完成了对RNC入侵,此时无线信道资源已经被非法侵占,因此AKA协议无法真正完成阻止DoS攻击的目的,同时,将外部攻击引入核心网内部,对核心网内部安全的威胁也是非常大的。
尽管针对AKA协议,随后出现了X-AKA协议,AP-AKA协议和S-AKA等改进方案,但这些方法无法改变AKA协议固有的缺陷,同样无法阻止非法MS对UMTS无线信道资源的DoS攻击。
发明内容
发明目的:本发明提供一种抗DoS攻击的通用移动通信系统无线接入方法,该方法采用入网凭证、公钥密码体系和随机数等手段验证进入UMTS系统、请求无线资源服务的MS身份,从而阻止了非法MS占用UMTS无线信道资源,抵抗了来自UMTS外部的DoS攻击。
技术方案:
1、在MS首次进入小区或USIM卡中没有保存接入小区的信息时,一种抗DoS攻击的通用移动通信系统无线接入方法,包括如下步骤:
(1)MS向RNC发送初始的RRC连接请求消息,即
RRC CONNECTION REQUEST(PKCHLR,
Figure BDA00002865527500021
(ANI||LAI||RANDR));MS利用RNC的公钥KUR加密连接请求信息,RANDR不定时更新;
(2)RNC接收到连接请求信息后,利用自身私钥进行解密,得到明文的ANI||LAI||RANDR,然后判断所述请求的合法性:首先,判断该初始的RRC连接请求消息是否为重放;接着,判断入网凭证ANI的正确性;最后,检查字段中的LAI与RNC所在小区标识是否一致;
(3)RNC根据资源情况和请求原因决定是否分配无线资源,并且决定建立在专有信道还是公共信道上;
(4)MS收到RRC连接建立的响应信息,得到RNC分配的临时凭证TANI,更新自身的随机数记录(LAI,RANDM,TANI),并为该记录倒计时,完成后向RNC传送RRC CONNECTION SETUP COMPLETE命令表示确认;
(5)RNC收到RRC连接建立完成的命令后立即更新自身的随机数记录(ANI入网标识名,LAI,RANDM,TANI),并开始对该随机数倒计时。
2、USIM卡中保存有接入小区信息(LAI,RANDM,TANI)时,一种抗DoS攻击的通用移动通信系统无线接入方法,包括如下步骤:
(1)MS向RNC发送RRC连接请求信息:
RRC CONNECTION REQUEST(TANI,f10(ANI入网标识名,RANDM));
MS使用单向函数f10对ANI入网标识名和RANDM进行处理,得到一个认证数据块f10(ANI入网标识名,RANDM);
(2)RNC接收到连接请求信息后,判断该请求的合法性;即RNC需要判断f10(ANI入网标识名,RANDM)RNC=f10(ANI入网标识名,RANDM)MS是否成立;若成立则判定该用户请求为合法,否则拒绝该RRC连接请求;
(3)RNC根据资源情况和请求原因决定是否分配无线资源,并且决定建立在专有信道还是公共信道上;
(4)MS收到RRC连接建立的响应信息,更新自身的随机数记录(LAI,RANDM,TANI),并为该记录倒计时,然后向RNC传送RRC CONNECTIONSETUP COMPLETE命令表示确认;
(5)RNC收到RRC连接建立完成的命令后立即更新自身的随机数记录,(ANI入网标识名,LAI,RANDM,TANI),并开始对该随机数倒计时。
本发明采用上述技术方案,具有以下有益效果:在本发明中,RRC连接请求阶段,RNC需要判断MS身份合法性,RNC只为拥有合法入网凭证的MS分配无线资源,建立RRC连接。非法用户无法与RNC建立RRC连接,自然无法通过传送NAS信息发起对核心网的DoS攻击,从而将DoS攻击的防线从UMTS核心网中迁移出来,最大限度的阻止来自外部的DoS攻击。该方法有效克服了现有方案将阻止外部DoS攻击的机制放在核心网内部执行的缺陷,同时对现有的无线资源控制协议改动非常少,仅增加少量通信字段,因此对UMTS现有的安全机制是一个有益的补充。
附图说明
图1为本发明中实施例的入网凭证ANI的格式示意图;
图2为本发明实施例的MS首次进入小区的RRC连接建立流程图;
图3为本发明实施例的USIM卡中保存有接入小区信息的RRC连接建立流程图。
具体实施方式
下面结合具体实施例,进一步阐明本发明,应理解这些实施例仅用于说明本发明而不用于限制本发明的范围,在阅读了本发明之后,本领域技术人员对本发明的各种等价形式的修改均落于本申请所附权利要求所限定的范围。
本发明的具体实施例如下:
1、系统的初始化
图1为本发明中实施例的入网凭证ANI的格式示意图,每个MS都拥有一个不同的入网凭证ANI,该凭证存储在用户的USIM卡及所属的HLR中,为了保证用户私密信息的安全性,证书的根密钥、加密算法和入网凭证是通过文件访问控制方式保护,禁止非法用户访问。每个ANI由三个不同属性的字段组成,分别是入网标识名、归属HLR标识以及HLR的数字签名。其中HLR的数字签名是指HLR利用自身私钥对前两个字段进行的签名,HLR的公钥证书也会存储在USIM卡中。用户向网络提出RRC请求时,会携带入网凭证及HLR公钥证书,RNC利用HLR的公钥证书判断入网凭证的合法性。
2、RRC连接建立过程
RRC连接建立过程主要分为以下两种情况:
(1)MS首次进入小区,或USIM卡中没有保存该小区的信息时,其流程如图2所示:
①MS向RNC发送初始的RRC连接请求消息:
RRC CONNECTION REQUEST(PKCHLR,
Figure BDA00002865527500041
(ANI||LAI|RANDR))
其中RNC的公钥KUR和LAI由RNC广播获得。
用户通过提交ANI证明自身身份,而RNC可利用HLR产生入网凭证时的公钥PKCHLRR证书验证入网凭证ANI的正确性。为了防止初始RRC连接请求消息的重放,该消息中会携带一个不定时更新RNC广播的随机数RANDR,使每次由MS发送的初始RRC连接请求消息都是不同的。ANI||LAI||RANDR需经RNC的公钥KUR加密后传输,保证初始RRC连接请求消息中的入网凭证、随机数等参数不会被攻击者窃取。
②RNC收到RRC请求后,利用自身私钥进行解密,得到明文的ANI||LAI||RANDR
首先需判断该初始的RRC连接请求消息是否为重放。为此,RNC查询所维护的随机数记录(RANDold,RANDnow),RANDold为MS前一次接入网络时与RNC协商的随机数,RANDnow为RNC为下一次MS接入网络分配的新随机数。若RANDR=RANDnow成立,则表示该RRC连接请求消息为非重放的。但由于MS和RNC之间存在传输延迟,当携带当前随机数RANDR的RRC连接请求消息到达RNC之前,RNC已经更新广播的随机数,这种情况下RANDR≠RANDnow,会使RNC认为该条请求消息为重放的,从而拒绝用户的RRC连接请求,因此对于消息中RANDR等于RANDtast且当前时刻与RANDR更新时刻间隔很短的情况下,也应将RRC连接请求消息判断为非重放的。
接着判断入网凭证ANI的正确性。由于ANI中HLR的数字签名字段是指用户归属的HLR使用自身私钥对前两个字段的签名,故RNC可利用初始RRC连接请求消息中携带的公钥证书PKCHLR验证ANI的数字签名,从而确定入网凭证是否正确。
最后检查字段中的用户所在的位置域标识LAI与RNC所在小区标识是否一致,若一致则表明该RRC连接请求是合法的,且未经修改与重定向,否则拒绝该非法请求。
③RNC根据资源情况和请求原因决定是否分配无线资源,并且决定建立在专有信道还是公共信道上。RNC若接受MS的请求,则为该MS分配一个临时的入网凭证TANI,用于下次直接发送RRC连接请求。将异或方式加密的TANI和分配的无线资源信息通过RRC CONNECTION SETUP命令传送给MS,同时携带下一次连接请求时使用的随机数RANDM
④MS收到RRC连接建立的响应信息后,利用异或的方式得到RNC分配的临时凭证TANI,更新自身的随机数记录(LAI,RANDM,TANI),并为该记录倒计时,完成后向RNC传送RRC CONNECTION SETUP COMPLETE命令表示确认。
⑤RNC收到RRC连接建立完成的命令后立即更新自身的记录(ANI入网标识名,LAI,RANDM,TANI),并开始对该随机数倒计时。
(2)若MS保存有小区信息(LAI,RANDM,TANI)时,其流程如图3所示:
①MS向RNC发送RRC连接请求信息:
RRC CONNECTION REQUEST(TANI,f10(ANI入网标识名,RANDM)),其中f10是对ANI入网标识名和随机数进行处理的特定单向函数。
②RNC接收到连接请求信息后,判断该请求的合法性:
首先根据TANI查询是否存在记录(ANI入网标识名,LAI,RANDM,TANI)。若存在则使用f10函数对ANI入网标识名与RANDM进行计算,判断f10(ANI入网标识名,RANDM)RNC=f10(ANI入网标识名,RANDM)MS是否成立。若成立则判定该MS请求合法,否则拒绝该MS的RRC连接请求。
③RNC根据资源情况和请求原因决定是否分配无线资源,并且决定建立在专有信道还是公共信道上。然后将分配的无线资源信息通过RRCCONNECTION SETUP命令传送给MS,同时携带下一次接入时使用的随机数RANDM
④MS收到RRC连接建立的响应信息,更新自身的随机数记录(LAI,RANDM,TANI),并为该记录倒计时,然后向RNC传送RRC CONNECTIONSETUP COMPLETE命令表示确认。
⑤RNC收到RRC连接建立完成的命令后立即更新自身的记录(ANI入网标识名,LAI,RANDM,TANI),并开始对该随机数倒计时。

Claims (5)

1.一种抗DoS攻击的通用移动通信系统无线接入方法,其特征在于,包括如下步骤:
(1)MS向RNC发送初始的RRC连接请求,即
RRC CONNECTION REQUEST(PKCHLR,
Figure FDA00002865527400011
(ANI||LAI||RANDR));
(2)RNC接收到连接请求信息后,利用自身私钥进行解密,得到明文的ANI||LAI||RANDR,然后判断所述请求的合法性;
(3)RNC根据资源情况和请求原因决定是否分配无线资源,并且决定建立在专有信道还是公共信道上;
(4)MS收到RRC连接建立的响应信息,得到RNC分配的临时凭证TANI,更新自身的随机数记录(LAI,RANDM,TANI),并为该记录倒计时,完成后向RNC传送RRC CONNECTION SETUP COMPLETE命令表示确认;
(5)RNC收到RRC连接建立完成的命令后立即更新自身的随机数记录(ANI入网标识名,LAI,RANDM,TANI),并开始对该随机数倒计时。
2.如权利要求1所述的一种抗DoS攻击的通用移动通信系统无线接入方法,其特征在于:步骤(1)中MS利用RNC的公钥KUR加密连接请求信息,RANDR不定时更新。
3.如权利要求1所述的一种抗DoS攻击的通用移动通信系统无线接入方法,其特征在于:步骤(2)中判断初始的RRC连接请求消息的合法性的步骤是:
首先,判断该初始的RRC连接请求消息是否为重放;
接着,判断入网凭证ANI的正确性;
最后,检查字段中的LAI与RNC所在小区标识是否一致。
4.一种抗DoS攻击的通用移动通信系统无线接入方法,其特征在于,包括如下步骤:
(1)MS向RNC发送RRC连接请求信息:
RRC CONNECTION REQUEST(TANI,f10(ANI入网标识名,RANDM));
(2)RNC接收到连接请求信息后,判断该请求的合法性;即RNC需要判断f10(ANI入网标识名,RANDM)RNC=f10(ANI入网标识名,RANDM)MS是否成立;若成立则判定该用户请求为合法,否则拒绝该RRC连接请求;
(3)RNC根据资源情况和请求原因决定是否分配无线资源,并且决定建立在专有信道还是公共信道上;
(4)MS收到RRC连接建立的响应信息,更新自身的随机数记录(LAI,RANDM,TANI),并为该记录倒计时,然后向RNC传送RRC CONNECTIONSETUP COMPLETE命令表示确认;
(5)RNC收到RRC连接建立完成的命令后立即更新自身的随机数记录,(ANI入网标识名,LAI,RANDM,TANI),并开始对该随机数倒计时。
5.如权利要求4所述的一种抗DoS攻击的通用移动通信系统无线接入方法,其特征在于:步骤(1)中,MS使用单向函数f10对ANI入网标识名和RANDM进行处理,得到一个认证数据块f10(ANI入网标识名,RANDM)。
CN201310061348.7A 2013-02-27 2013-02-27 一种抗DoS攻击的通用移动通信系统无线接入方法 Expired - Fee Related CN103152730B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201310061348.7A CN103152730B (zh) 2013-02-27 2013-02-27 一种抗DoS攻击的通用移动通信系统无线接入方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201310061348.7A CN103152730B (zh) 2013-02-27 2013-02-27 一种抗DoS攻击的通用移动通信系统无线接入方法

Publications (2)

Publication Number Publication Date
CN103152730A true CN103152730A (zh) 2013-06-12
CN103152730B CN103152730B (zh) 2015-05-06

Family

ID=48550548

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201310061348.7A Expired - Fee Related CN103152730B (zh) 2013-02-27 2013-02-27 一种抗DoS攻击的通用移动通信系统无线接入方法

Country Status (1)

Country Link
CN (1) CN103152730B (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109756261A (zh) * 2019-02-03 2019-05-14 飞牛智能科技(南京)有限公司 基于移动运营商网络的无人机身份标识告警与通知方法
CN112383565A (zh) * 2020-12-07 2021-02-19 珠海市鸿瑞信息技术股份有限公司 一种ipsec通信用抗dos攻击系统

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2001063853A1 (en) * 2000-02-22 2001-08-30 Nokia Networks Oy Method of checking amount of transmitted data
CN102487501A (zh) * 2010-12-03 2012-06-06 华为技术有限公司 非确认模式下的上行加密参数同步方法和设备

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2001063853A1 (en) * 2000-02-22 2001-08-30 Nokia Networks Oy Method of checking amount of transmitted data
CN102487501A (zh) * 2010-12-03 2012-06-06 华为技术有限公司 非确认模式下的上行加密参数同步方法和设备

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
LEE, P.P.C.: "《INFOCOM 2007. 26th IEEE International Conference on Computer Communications. IEEE》", 31 December 2007 *
黄杰: "《无线传感器网络中一种基于公钥的密钥分配方案》", 《通信学报》 *

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109756261A (zh) * 2019-02-03 2019-05-14 飞牛智能科技(南京)有限公司 基于移动运营商网络的无人机身份标识告警与通知方法
CN109756261B (zh) * 2019-02-03 2022-03-11 飞牛智能科技(南京)有限公司 基于移动运营商网络的无人机身份标识告警与通知方法
CN112383565A (zh) * 2020-12-07 2021-02-19 珠海市鸿瑞信息技术股份有限公司 一种ipsec通信用抗dos攻击系统

Also Published As

Publication number Publication date
CN103152730B (zh) 2015-05-06

Similar Documents

Publication Publication Date Title
EP2950506B1 (en) Method and system for establishing a secure communication channel
US20190281449A1 (en) Secure ble just works pairing method against man-in-the-middle attack
EP2630816B1 (en) Authentication of access terminal identities in roaming networks
US8769289B1 (en) Authentication of a user accessing a protected resource using multi-channel protocol
EP3422630B1 (en) Access control to a network device from a user device
CN112640385B (zh) 用于在si系统中使用的非si设备和si设备以及相应的方法
JP7337912B2 (ja) コアネットワークへの非3gppデバイスアクセス
CN110519304A (zh) 基于tee的https双向认证方法
CN103152730B (zh) 一种抗DoS攻击的通用移动通信系统无线接入方法
EP3123758B1 (en) User equipment proximity requests authentication
JP2015111440A (ja) 信頼できる認証およびログオンのための方法および装置
CN111869249B (zh) 针对中间人攻击的安全ble just works配对方法
US12034870B2 (en) Method for securely diversifying a generic application stored in a secure processor of a terminal
EP4094174B1 (en) A method for securely diversifying a generic application stored in a secure processor of a terminal
RU2779029C1 (ru) Доступ не отвечающего спецификациям 3gpp устройства к базовой сети
CN116996298A (zh) 一种证书签发方法、装置、车辆及存储介质

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant
CF01 Termination of patent right due to non-payment of annual fee

Granted publication date: 20150506

Termination date: 20200227

CF01 Termination of patent right due to non-payment of annual fee