CN1260909C - 一种增强无线城域网安全性的方法 - Google Patents
一种增强无线城域网安全性的方法 Download PDFInfo
- Publication number
- CN1260909C CN1260909C CNB2004100731569A CN200410073156A CN1260909C CN 1260909 C CN1260909 C CN 1260909C CN B2004100731569 A CNB2004100731569 A CN B2004100731569A CN 200410073156 A CN200410073156 A CN 200410073156A CN 1260909 C CN1260909 C CN 1260909C
- Authority
- CN
- China
- Prior art keywords
- base station
- subscriber station
- sends
- certificate
- key
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Mobile Radio Communication Systems (AREA)
Abstract
本发明涉及一种增强无线城域网规范IEEE 802.16安全性的方法。该方法包括以下步骤:1)用户站SS向基站BS发送证书信息报文;2)用户站SS向基站BS发送接入鉴别请求报文;3)基站BS向AS发送证书鉴别请求报文;4)AS向基站BS发送证书鉴别响应报文;5)基站BS向用户站SS发送接入鉴别响应报文;6)用户站SS向基站BS发送授权密钥协商请求报文;7)基站BS向用户站SS发送授权密钥协商响应报文;8)用户站SS向基站BS发送会话密钥协商请求报文;9)基站BS向用户站SS发送会话密钥协商响应报文。本发明解决了目前无线城域网中用户站SS接入基站BS时的认证及会话密钥协商过程安全性差的技术问题。
Description
一、技术领域
本发明涉及一种无线城域网技术,尤其是一种增强无线城域网规范IEEE802.16安全性的方法。
二、背景技术
目前,在无线城域网中,用户站SS(Subscriber Station)和基站BS(BasicStation)的关系类似于客户端和服务器的关系(Client/Server)。当用户站SS接入基站BS时,首先需要向基站BS进行认证,获取授权密钥AK;然后根据该授权密钥AK获取会话密钥TEK,利用TEK进行保密通信。认证过程是通过用户站SS的数字证书实现BS对SS的认证,用户站SS证书的颁发者可以是其生产厂商或其他证书机构CA,也可以理解为我们要用到的AS(认证服务器)。在目前的无线城域网规范IEEE 802.16中,AS只需要为用户站SS颁发数字证书,而不需要为基站BS颁发证书,因为仅需要BS对SS进行认证。在认证过程中,AS可以参与也可以不参与。用户站SS向基站BS进行认证时,其具体认证流程如下:
1)用户站SS向基站BS发送证书信息报文,该证书信息报文包括用户站SS的数字证书。该报文仅用于通知基站BS有关用户站SS的信息,不作为证书鉴别请求;
2)用户站SS向基站BS发送接入鉴别请求报文,该接入鉴别请求报文包括用户站SS的数字证书、支持的会话算法以及用户站SS的连接标识CID等;
3)基站BS验证用户站SS证书的合法性,然后向用户站SS发送接入鉴别响应报文,该接入鉴别响应报文包括对用户站SS授权的一系列安全关联SA、授权密钥AK及其生命期、确认的会话算法等。其中AK是利用SS的公钥加密的。
认证过程完成后,用户站SS和基站BS可利用授权密钥AK,进行会话密钥TEK的协商。对于每一个SA,其会话密钥TEK的协商过程相同,流程如下:
1)用户站SS向基站BS发送会话密钥协商请求报文,该会话密钥协商请求报文包括安全关联标识SAID和所要协商的会话密钥TEK的标识信息;
2)基站BS向用户站SS发送会话密钥协商响应报文,该报文包括安全关联标识SAID、所协商的会话密钥TEK的标识信息、会话密钥TEK及其生命期,其中会话密钥TEK是利用基站BS与用户站SS所共享的授权密钥AK进行加密的。使用会话密钥TEK即可进行用户站SS和基站BS间的保密通信。
然而,在用户站SS接入基站BS时,以上认证机制只提供了基站BS对用户站SS的单向认证,而没有提供用户站SS对基站BS的认证,这样,用户站SS就无法确认与之关联的基站BS是否意定的基站BS,假冒合法的基站BS欺骗用户站SS就变得非常容易。
由于授权密钥AK和会话密钥TEK都是由基站BS独立提供的,因此基站BS的安全性和不可假冒性至关重要。由于基站BS是利用用户站SS的公钥对授权密钥AK加密保护的,而在证书系统中,用户站SS的公钥对网络中的站点(包括基站和其他用户站)而言都是公知的,因此,任何人都可以很容易的冒充合法的基站BS向用户站SS加密发送授权密钥AK,进而冒充合法基站BS向用户站SS发送会话密钥TEK,从而导致用户站SS和合法的基站BS难以察觉。为了克服这种冒充基站BS的攻击,就需要用户站SS对基站BS发送给用户站SS的消息进行消息源认证,但是,由于SS不对BS的身份认证,无法确认与之关联的是否意定的BS,使得冒充BS变得非常容易,也就是说,这种单向的认证方式无法保证用户站SS对基站BS的消息进行有效的消息源认证。而且,所有的密钥,包括授权密钥AK和会话密钥TEK都是由基站BS产生的,在这种单向认证的条件下,很难使得用户站SS对保密密钥TEK的质量产生信任。
因此,目前无线城域网中用户站SS接入基站BS时的认证流程及协商流程仅实现了基站BS对用户站SS的认证,而没有实现用户站SS对基站BS的认证;同时由于单向认证导致用户站SS无法对基站BS进行消息源认证,授权密钥AK的传输容易遭受中间人攻击,进而还可能导致会话密钥TEK被伪造,系统整体安全性差。
三、发明内容
本发明解决了目前无线城域网中用户站SS接入基站BS时的认证及会话密钥协商过程安全性差的技术问题。
本发明的技术解决方案是:一种增强无线城域网安全性的方法,特殊之处在于:该方法包括认证步骤和会话密钥协商步骤,所述认证步骤如下:
1)用户站SS向基站BS发送证书信息报文;
2)用户站SS向基站BS发送接入鉴别请求报文;
3)基站BS向AS发送证书鉴别请求报文;
4)AS向基站BS发送证书鉴别响应报文;
5)基站BS向用户站SS发送接入鉴别响应报文;
6)用户站SS向基站BS发送授权密钥协商请求报文;
7)基站BS向用户站SS发送授权密钥协商响应报文;
所述会话密钥协商步骤如下:
8)用户站SS向基站BS发送会话密钥协商请求报文;
9)基站BS向用户站SS发送会话密钥协商响应报文。
上述步骤1)中的证书信息报文包括用户站SS的数字证书。
上述步骤2)中的接入鉴别请求报文包括用户站SS的数字证书,支持的会话算法以及用户站SS的CID等。
上述步骤3)中的证书鉴别请求报文包括用户站SS的数字证书,基站BS的数字证书,BS的签名等。
上述步骤4)中的证书鉴别响应报文包括用户站SS的数字证书、用户站SS的证书鉴别结果、基站BS的数字证书、基站BS的证书鉴别结果及AS的签名等。
上述步骤5)中的接入鉴别响应报文包括用户站SS的数字证书、用户站SS的证书鉴别结果、基站BS的数字证书、基站BS的证书鉴别结果、AS的签名、对用户站SS授权的一系列SA、确认的会话算法标识及BS的签名等。
上述步骤6)中的授权密钥协商请求报文包括密钥协商数据及SS的签名等,密钥协商数据是由SS以某种方式产生的随机数,对其利用BS的公钥加密后的密文。
上述步骤7)中基站BS向用户站SS发送授权密钥协商响应报文,该授权密钥协商响应报文包括密钥协商数据、授权密钥的生命期及BS的签名等,密钥协商数据是由BS以某种方式产生的随机数,对其利用SS的公钥加密后的密文。
上述步骤8)中的会话密钥协商请求报文包括安全关联标识SAID,所协商的密钥标识信息,密钥协商数据及其完整性校验码等,其中密钥协商数据利用与基站BS所共享的授权密钥AK加密。
上述步骤9)中密钥协商响应报文包括安全关联标识SAID,所协商的密钥标识信息,基站BS产生的密钥协商数据,会话密钥的生命期及其完整性校验码等,其中该密钥协商数据也是利用与用户站SS所共享的授权密钥AK加密。
本发明仅对无线城域网中的认证授权和会话密钥协商过程做了替换性的更改,其他内容严格地保留了原无线城域网规范的内容,因此,改进的协议同样可以满足原无线城域网的功能、性能要求,同时本发明在认证授权过程中,采用了用户站SS和基站BS的双向认证代替原有的单向认证,使得用户站SS和基站BS都能确认与意定的对方通信,攻击者冒充合法基站BS骗取用户站SS的信任成为不可能,避免了中间人攻击的可能性;在密钥的协商过程中,密钥由用户站SS和基站BS共同产生,代替了由基站BS分配,保证了密钥的质量,增强了无线城域网的安全性。
四、附图说明
附图为本发明的原理流程图。
五、具体实施方式
参见附图,本发明包括有认证步骤和会话密钥协商步骤,具体方法流程如下;
认证步骤如下:
1)用户站SS向基站BS发送证书信息报文。该证书信息报文包括用户站SS的数字证书,仅用于通知基站BS有关用户站SS的信息,基站BS可以完全忽略该报文;
2)用户站SS向基站BS发送接入鉴别请求报文。该接入鉴别请求报文包括用户站SS的数字证书、支持的会话算法、以及用户站SS的CID等;
3)基站BS向AS发送证书鉴别请求报文。该证书鉴别请求报文包括用户站SS的数字证书和基站BS的数字证书以及BS对前两项的签名等;
4)AS向基站BS发送证书鉴别响应报文。该证书鉴别响应报文包括用户站SS的证书鉴别结果、基站BS的数字证书、基站BS的证书鉴别结果以及AS对前四项的签名等;
5)基站BS向用户站SS发送接入鉴别响应报文。该接入鉴别响应报文包括用户站SS的数字证书、用户站SS的证书鉴别结果、基站BS的数字证书、基站BS的证书鉴别结果、AS对前四项的签名、对用户站SS授权的一系列SA、确认的会话算法标识以及BS对前面各项的签名。
6)用户站SS向基站BS发送授权密钥协商请求报文。该授权密钥协商请求报文包括密钥协商数据及SS的签名等。密钥协商请求数据是由SS以某种方式产生的随机数,对其利用BS的公钥加密后的密文。
7)基站BS向用户站SS发送授权密钥协商响应报文。该授权密钥协商响应报文包括密钥协商数据、授权密钥的生命期及BS的签名等。密钥协商数据是由BS以某种方式产生的随机数,对其利用SS的公钥加密后的密文。
至此,用户站SS和基站BS的双向认证完成,并且共享一个授权密钥AK,通过AK,用户站SS和基站BS可进行会话密钥TEK的协商,对于每一个SA,其TEK的协商过程相同。
会话密钥协商步骤如下:
8)用户站SS向基站BS发送会话密钥协商请求报文。该会话密钥协商请求报文包括安全关联标识SAID、所协商的密钥标识信息、会话密钥协商数据及完整性校验码,其中会话密钥协商数据是由SS产生的随机数并利用与基站BS所共享的AK加密的密文;
9)基站BS向用户站SS发送会话密钥协商响应报文。该会话密钥协商响应报文包括基站BS产生的安全关联标识SAID、所协商的密钥标识信息、会话密钥协商数据、会话密钥的生命期及完整性校验码等,其中该会话密钥协商数据利用与用户站SS所共享的AK加密。
用户站SS和基站BS可以分别利用对方的会话密钥协商数据和自己的会话密钥协商数据导出会话密钥TEK,利用TEK和相应的SA,用户站SS和基站BS可以进行保密通信。原IEEE 802.16中的数据帧格式可不作改变。
名词解释:
CA:证书机构;
AS:指代认证服务器,即用户站SS和基站BS的证书颁发者,可以是生产厂商或其他机构;
CertSS:用户站SS的数字证书;
CertBS:基站BS的数字证书;
Algorithm:密码算法标识;
SA:安全关联;
SAs:一系列SA,包括一个主SA和多个静态SA;
SAID:安全关联标识;
ResultSS:用户站SS的数字证书的鉴别结果;
ResultBS:基站BS的数字证书的鉴别结果;
KeyIdx:所协商的密钥标识信息;
Lifetime:对应密钥的生命期;
CID:连接标识;
r1,r2:基站BS和用户站SS分别产生的授权密钥AK的协商数据;
Data1,Data2:基站BS和用户站SS分别产生的会话密钥TEK的协商数据;
E( ):对应的加密,并采用相应的密钥;
MIC:完整性校验码;
Sigx:x的签名。
Claims (10)
1、一种增强无线城域网安全性的方法,其特征在于:该方法包括认证步骤和会话密钥协商步骤,所述认证步骤如下:
1)用户站SS向基站BS发送证书信息报文;
2)用户站SS向基站BS发送接入鉴别请求报文;
3)基站BS向AS发送证书鉴别请求报文;
4)AS向基站BS发送证书鉴别响应报文;
5)基站BS向用户站SS发送接入鉴别响应报文;
6)用户站SS向基站BS发送授权密钥协商请求报文;
7)基站BS向用户站SS发送授权密钥协商响应报文;
所述会话密钥协商步骤如下:
8)用户站SS向基站BS发送会话密钥协商请求报文;
9)基站BS向用户站SS发送会话密钥协商响应报文。
2、根据权利要求1所述的增强无线城域网安全性的方法,其特征在于:所述步骤1)中的证书信息报文包括用户站SS的数字证书。
3、根据权利要求1所述的增强无线城域网安全性的方法,其特征在于:所述步骤2)中的接入鉴别请求报文包括用户站SS的数字证书,支持的会话算法以及用户站SS的CID。
4、根据权利要求1所述的增强无线城域网安全性的方法,其特征在于:所述步骤3)中的证书鉴别请求报文包括用户站SS的数字证书,基站BS的数字证书,BS的签名。
5、根据权利要求1所述的增强无线城域网安全性的方法,其特征在于:所述步骤4)中的证书鉴别响应报文包括用户站SS的数字证书、用户站SS的证书鉴别结果、基站BS的数字证书、基站BS的证书鉴别结果及AS的签名。
6、根据权利要求1所述的增强无线城域网安全性的方法,其特征在于:所述步骤5)中的接入鉴别响应报文包括用户站SS的数字证书、用户站SS的证书鉴别结果、基站BS的数字证书、基站BS的证书鉴别结果、AS的签名、对用户站SS授权的一系列SA、确认的会话算法标识及BS的签名。
7、根据权利要求1所述的增强无线城域网安全性的方法,其特征在于:所述步骤6)中的授权密钥协商请求报文包括密钥协商数据及SS的签名,密钥协商数据是由SS以某种方式产生的随机数,对其利用BS的公钥加密后的密文。
8、根据权利要求1所述的增强无线城域网安全性的方法,其特征在于:所述步骤7)中基站BS向用户站SS发送授权密钥协商响应报文,该授权密钥协商响应报文包括密钥协商数据、授权密钥的生命期及BS的签名,密钥协商数据是由BS以某种方式产生的随机数,对其利用SS的公钥加密后的密文。
9、根据权利要求1所述的增强无线城域网安全性的方法,其特征在于:所述步骤8)中的会话密钥协商请求报文包括安全关联标识SAID所协商的密钥标识信息,密钥协商数据及其完整性校验码,其中密钥协商数据利用与基站BS所共享的授权密钥AK加密。
10、根据权利要求1所述的增强无线城域网安全性的方法,其特征在于:所述步骤9)中密钥协商响应报文包括安全关联标识SAID,所协商的密钥标识信息,基站BS产生的密钥协商数据,会话密钥的生命期及其完整性校验码,其中该密钥协商数据也是利用与用户站SS所共享的授权密钥AK加密。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB2004100731569A CN1260909C (zh) | 2004-09-30 | 2004-09-30 | 一种增强无线城域网安全性的方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB2004100731569A CN1260909C (zh) | 2004-09-30 | 2004-09-30 | 一种增强无线城域网安全性的方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1588842A CN1588842A (zh) | 2005-03-02 |
| CN1260909C true CN1260909C (zh) | 2006-06-21 |
Family
ID=34604737
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNB2004100731569A Expired - Fee Related CN1260909C (zh) | 2004-09-30 | 2004-09-30 | 一种增强无线城域网安全性的方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN1260909C (zh) |
Families Citing this family (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1941695B (zh) * | 2005-09-29 | 2011-12-21 | 华为技术有限公司 | 初始接入网络过程的密钥生成和分发的方法及系统 |
| CN100440800C (zh) * | 2005-11-30 | 2008-12-03 | 中兴通讯股份有限公司 | 一种实现城域网wan端口trunk保护的方法 |
| CN100566249C (zh) * | 2005-12-01 | 2009-12-02 | 中国科学院计算技术研究所 | 一种宽带无线城域网中基站准入控制过程的实现方法 |
| CN100433888C (zh) * | 2006-09-18 | 2008-11-12 | 中国联合通信有限公司 | 一种利用多个802.16d基站密集覆盖用户群的方法及系统 |
| CN100488305C (zh) * | 2006-09-23 | 2009-05-13 | 西安西电捷通无线网络通信有限公司 | 一种网络接入鉴别与授权方法以及授权密钥更新方法 |
| CN101222328B (zh) | 2007-12-14 | 2010-11-03 | 西安西电捷通无线网络通信股份有限公司 | 一种实体双向鉴别方法 |
| CN101232419B (zh) * | 2008-01-18 | 2010-12-08 | 西安西电捷通无线网络通信股份有限公司 | 一种基于原语的无线个域网接入方法 |
| CN101567786A (zh) * | 2008-04-25 | 2009-10-28 | 中兴通讯股份有限公司 | 微波接入全球互操作系统的接入鉴权方法及系统 |
| CN101272616B (zh) * | 2008-05-07 | 2012-05-30 | 广州杰赛科技股份有限公司 | 一种无线城域网的安全接入方法 |
| US8255976B2 (en) * | 2008-11-26 | 2012-08-28 | Alcatel Lucent | Prevention of a bidding-down attack in a communication system |
| CN101742511B (zh) * | 2009-12-14 | 2012-06-13 | 广州杰赛科技股份有限公司 | WMAN-SA融合WiMAX设备的方法及无线城域网 |
| CN101931952B (zh) * | 2010-08-25 | 2012-12-12 | 广州杰赛科技股份有限公司 | 一种无线城域网系统及其鉴别认证方法 |
-
2004
- 2004-09-30 CN CNB2004100731569A patent/CN1260909C/zh not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| CN1588842A (zh) | 2005-03-02 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN1191696C (zh) | 一种无线局域网移动设备安全接入及数据保密通信的方法 | |
| CN1124759C (zh) | 无线局域网移动终端的安全接入方法 | |
| CN1191703C (zh) | 宽带无线ip系统移动终端的安全接入方法 | |
| CN1206838C (zh) | 在无线环境中控制网络访问的方法及其记录介质 | |
| US7644275B2 (en) | Pass-thru for client authentication | |
| CN101136748B (zh) | 一种身份认证方法及系统 | |
| CN1805341A (zh) | 跨安全域的网络认证和密钥分配方法 | |
| CN1260909C (zh) | 一种增强无线城域网安全性的方法 | |
| CN1722658A (zh) | 计算机系统的有效的和安全的认证 | |
| CN1859096A (zh) | 一种安全认证系统及方法 | |
| CN1864384A (zh) | 用于保护网络管理帧的系统和方法 | |
| CN1564509A (zh) | 一种无线局域网中密钥协商方法 | |
| CN1665188A (zh) | 具有收发双向不可否认机制的安全电子邮件系统实现方法 | |
| CN1929371A (zh) | 用户和外围设备协商共享密钥的方法 | |
| CN1802017A (zh) | 一种防止重放攻击的认证方法 | |
| CN1620005A (zh) | 一种安全发送传输密钥的方法 | |
| CN1976337A (zh) | 一种三元结构的对等访问控制方法 | |
| CN100525182C (zh) | 用于无线网络的鉴别与保密方法 | |
| CN1725685A (zh) | 无线局域网移动终端的安全重认证方法 | |
| CN1976338A (zh) | 一种三元结构的对等访问控制系统 | |
| CN1534936A (zh) | 一种无线局域网中基于公钥证书机制的密钥分发方法 | |
| CN1700639A (zh) | 导出和导入无线局域网鉴别与保密基础结构证书信息方法 | |
| CN1859149A (zh) | 流媒体业务服务的实现方法 | |
| CN1859772A (zh) | 一种基于通用鉴权框架的安全业务通信方法 | |
| CN1802018A (zh) | 一种消息认证方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| C56 | Change in the name or address of the patentee |
Owner name: XI'AN IWNCOMM CO., LTD. Free format text: FORMER NAME: XIDIAN JIETONG WIRELESS NETWORK COMMUNICATION CO LTD, XI'AN |
|
| CP01 | Change in the name or title of a patent holder |
Address after: 710075 4F.C building, No. 12, No. two, hi tech Road, Shaanxi, Xi'an Patentee after: CHINA IWNCOMM Co.,Ltd. Address before: 710075 4F.C building, No. 12, No. two, hi tech Road, Shaanxi, Xi'an Patentee before: CHINA IWNCOMM Co.,Ltd. |
|
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20060621 Termination date: 20210930 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |