WO2006136090A1

WO2006136090A1 - Procede permettant d'empecher une attaque de repetition et procede permettant d'assurer la non repetition de numero de sequence de message

Info

Publication number: WO2006136090A1
Application number: PCT/CN2006/001369
Authority: WO
Inventors: Zhengfei Xiao; Yongmao Li
Original assignee: Huawei Technologies Co., Ltd.
Priority date: 2005-06-24
Filing date: 2006-06-16
Publication date: 2006-12-28
Also published as: CN100571124C; CN1794626A

Description

防止重放攻击的方法以及保证消息序列号不重复的方法技术领域

本发明涉及到提高无线通信系统安全性的技术，特别涉及到一种防止重放攻击的技术。发明背景

在通信系统中，安全性是评价一个通信系统性能优劣的重要指标，特别是在无线通信系统中, 由于无线通信系统具有开放性和移动性的特点，使得无线通信系统的安全性显得尤为重要。随着密码学和密码分析学的发展，可以通过对在无线通信系统的空中接口（简称空口）上传输的数据进行加密的方式提高无线通信系统的安全性。

IEEE 802.16d/e 系列协议定义了无线宽带固定和移动接入空口部分的协议标准。为了保证空口数据传输的安全性，上述系列协议定义了一个安全子层 ( Privacy Sublayer ), 用于实现对无线通信系统用户的认证、密钥的分发和管理以及后续的数据加密和认证等等。根据协议规定，在认证方式上，除了可以使用基于数字证书的 RSA算法（由 Rivest、Shamir、 Adleman开发的公开密钥加密算法）实现对接入移动台（ MS )和基站（ BS ) 之间的双向认证之外，还可以使用可扩展认证协议（EAP ) 实现对接入用户的认证。在认证完成后， MS和 BS还需要通过密钥管理协议（ PKM ) 生成、分发并管理对空口数据进行加密的密钥，上述 PKM过程的结果就是在 MS和 BS之间生成一个用于派生其他密钥资源的基本密钥—— 鉴权密钥（AK, Authorization Key )。根据生成的 AK, MS和 BS可以派生出对数据加密或对信令消息认证所使用的密钥，从而提高 MS和 BS 之间空口数据传输的安全性。为了进一步增强无线通信系统的安全性，防止网络攻击者恶意破解

MS的 AK，协议规定 MS和 BS协商产生的 AK仅在一段时间内有效，称为 AK的生命周期。因此，在某个 AK生命周期终止前，该 AK对应的 MS和 BS需要进行重认证过程，以产生新的 AK。除此之外，当 MS 漫游到新的目标 BS时，也需要进行网絡重入（Network Re-entry )过程，并根据相应的安全策略，通过重认证产生新的密钥资源或从后端网络获得已有的密钥资源。

上述这种使用 AK派生出来的密钥对 MS和 BS之间空口数据进行加密的方法虽然可以提高无线通信系统的安全性，但是无法防止重放攻击（Replay Attack )。所述的重放攻击是一种常见的网络攻击方法，攻击者首先截获在通信双方在某次交互过程中由其中一方发送的数据包，并在以后某个合适的时机向该数据包的接收端重新发送截获的数据，如果在所述数据包中没有包含足够的信息使接收端能够判断出该数据包是第一次发送的数据包还是重发的数据包，攻击者就能够冒充通信双方中的一方来欺骗另一方，以达到攻击无线通信系统的目的。虽然一般的业务对重放攻击不太敏感，但是，对于一些重要的管理消息而言，重放攻击可能会对系统造成致命的破坏。

为此， IEEE 802.16e在 PKM版本 2中提供了一种防止管理消息重放攻击的方法，该方法通过协议定义的基于加密的消息认证码（CMAC ) 的摘要（Digest ) 实现防重放攻击，同时实现对管理消息的认证。在该方法中， CMAC Digest由一个 32位的消息序列号（CMAC— PN )及一个 CMAC值（CMAC Value )组成，通常情况下，消息序列号 CMAC— PN 是在发送方（ MS或 BS )递增变化的序列号，用于标识不同的管理消息，在这里，所述的消息序列号 CMAC— PN 既可以表示上行消息序列号 CMAC PN U，也可以表示下行消息序列号 CMAC PN_D; CMAC Value 是用 AK派生出来的密钥对消息序列号 CMAC— PN、管理消息体以及其他信息进行加密后得到的信息摘要。在实际的应用中，发送方在发送管理消息时，会首先将 CMAC摘要中的消息序列号 CMAC_PN递增某一个数值，例如 1 , 再将递增后的消息序列号 CMAC— PN与通过加密算法计算得到的 CMAC Value—起作为 CMAC Digest发送给接收方。接收方 ( BS或 MS )在接收到该管理消息时，首先使用接收端保存的密钥采用和发送端一样的方法计算 CMAC Value,并与消息中携带的 CMAC Value 比较，从而实现了对消息的认证，同时根据 CMAC— PN判断消息是否为重放消息。

在现有的方法中， CMAC_PN是 32位的无符号整数，其取值空间从 0X00000000 到 0XFFFFFFFF , 如果每次递增值为 1，通常可以保证 CMAC— PN 在很长的周期内不会重复。但是，由于在上述方法中 CMAC_PN与 AK没有直接关系，可能会出现在一个 AK的上下文中， CMAC—PN从一个较大的数值开始计数，并在计数到最大值后又从初始值开始计数的情况，从而不能保证在一个 AK的上下文中 CMAC— PN始终向上递增，导致接收方在根据消息序列号 CMAC JPN判断所接收消息是否为重放消息时的处理非常复杂。发明内容

为了解决上述技术问题，本发明提供了一种防止重放攻击的方法，保证在一个 AK上下文中使用的消息序列号始终不会重复，从而使得接收端可以根据消息序列号判断所接收消息是否为重放消息。

除此之外，本发明还提供了一种保证在一个 AK上下文中所使用的消息序列号不重复的方法，避免在一个 AK上下文中消息序列号从一个较大的数值开始计数，并在计数到最大值后又从初始值开始计数的情况所导致的接收端处理复杂的问题。

本发明所述的防止重放攻击的方法包括：

在 AK上下文中增加消息序列号属性；

在管理消息交互双方之间的认证完成，生成 AK上下文后，管理消息的发送端根据所生成 AK上下文中的消息序列号属性建立消息序列号参数，并将建立的消息序列号参数设置为初始值；

在使用该 AK上下文进行会话的过程中，所述管理消息的发送端发送携带有消息序列号参数的管理消息到该管理消息的接收端 , 所述接收端根据所接收的消息序列号参数判断接收的管理消息是否为重放消息。

如果是重放消息，则需要丢弃该管理消息，否则，接收该管理消息。其中，所述认证既可以是初始接入认证又可以是重认证。

所述根据所接收的消息序列号参数判断接收的管理消息是否为重放消息包括：接收端将接收到的消息序列号参数与自身保存的已接收管理消息的消息序列号进行匹配，如果与所述自身保存的已接收管理消息的消息序列号相同，则确定接收的管理消息为重放的管理消息；否则，确定为不是重放的管理消息。

本发明所述方法进一步包括：在使用该 AK上下文进行会话的过程中，所述管理消息的发送端实时监测所述消息序列号参数的数值，在所述消息序列号达到预定值之前预定的时间内，发起重认证过程，重新将消息序列号参数设置为初始值。

所述发送携带有消息序列号参数的管理消息到该管理消息的接收端为：通过基于加密的消息认证码摘要将所述递增或递减后的消息序列号参数发送到所述接收端。

本发明所述管理消息的发送端为移动台，所述接收端为基站，所述消息序列号为上行消息序列号；或者所述管理消息的发送端为基站，所述接收端为移动台，所述消息序列号为下行消息序列号。

根据本发明的另一方面，所述保证消息序列号不重复的方法，包括：在 AK的上下文中增加消息序列号属性；

在管理消息交互双方之间的认证完成，生成 AK上下文后，管理消息的发送端^^据所生成 AK上下文中的消息序列号属性建立消息序列号参数，并将建立的消息序列号参数设置为初始值。

所述方法进一步包括：在所述管理消息交互双方使用该 AK上下文进行会话的过程中，所述管理消息的发送端实时监测所述消息序列号参数的数值，在所述消息序列号达到预定值之前预定的时间内，发起重认证过程，消息序列号参数设置为初始值。

由此可以看出，本发明所述的防止重放攻击的方法通过将上行消息序列号和下行消息序列号加入 AK上下文，作为 AK上下文的属性，保证在每次认证过程完成后，产生新的 AK时， MS和 BS所使用的上行、下行消息序列号也相应的重置为初始值，从而保证在一个 AK上下文中，上行、下行消息序列号始终是不重复的。

另外，本发明所述的防止重放攻击的方法，通过在所述上行、下行消息序列号到达预定值之前，发起重认证过程，以重置所述上行、下行消息序列号，保证上行、下行消息序列号在一个 AK上下文中不会重复。附图简要说明

图 1为本发明所述防重放攻击方法的流程图。实施本发明的方式

为了解决现有技术中的问题，本发明提供了一种防止重放攻击的方法以及保证所发送管理消息的消息序列号不重复的方法，该方法主要思想是：在 AK的上下文属性中增加上行、下行消息序列号属性，建立 AK 与上行、下行消息序列号之间的关系，使得 MS和 BS之间在初始接入认证或重认证完成，产生新的 AK时，所述上行、下行消息序列号也重新设置为初始值，从而保证在一个 AK上下文中所使用的 CMAC—PN不重复，例如可以始终向上递增或向下递减或存在其它对应关系等等。

本发明所述的防止重放攻击的方法，主要包括：

A、在 AK的上下文属性中增加消息序列号属性。

其中，所述消息序列号包括：用于标识上行管理消息的上行消息序列号 CMAC_PN— U 及用于标识下行管理消息的下行消息序列号 CMAC—PN— D。

B、在 MS和 BS之间的认证完成，生成 AK上下文后，空中接口上管理消息的发送端，包括 MS或 BS,根据该 AK上下文建立消息序列号参数，并将建立的消息序列号参数设置为初始值。

对于上行管理消息来讲，其发送端为 MS, MS 居该 AK上下文建立上行消息序列号 CMAC—PN— U参数，该参数可以采用 32位的无符号整数，其取值空间从 0X00000000到 0XFFFFFFFF, 例如可将初始值设置为 0X00000000或 0XFFFFFFFF; 对下行管理消息来讲，其发送端为 BS, BS根据该 AK上下文建立下行消息序列号 CMAC—PN— D, 该参数也可以采用 32 位的无符号整数，其取值空间从 0X00000000 到 0XFFFFFFFF, 也可将初始值设置为 0X00000000或 0XFFFFFFFF。

由于根据协议规定，在 MS和 BS的认证过程完成后，将为 MS和 BS之间的会话生成一个 AK的上下文，在这里，所述的认证包括初始接入认证和重认证，所述的上下文是指本次会话各个属性的集合，该 AK 上下文至少包括：本次会话使用的 AK、 AK的生命周期及由 MS所维护的上行消息序列号 CMAC—PN—U及由 BS 所维护的下行消息序列号 CMAC— PN— D。由于 AK上下文具有一定的作用域和生命周期。因此， AK上下文在产生后，仅能够在一个有限的作用域内使用，例如仅能够在对应的 MS和 BS之间使用 , 并且它所包含的各个属性仅在其生命周期内有效，即当该 AK生命周期结束时，该 AK上下文中所包含的属性也相应失效。

由此可以看出，通过将上行消息序列号 CMAC— PN— U和下行消息序列号 CMAC_PN— D作为 AK上下文的属性，使得在每次认证过程完成后 (包括初始接入认证过程和重认证过程），由于生成了新的 AK上下文， MS会自动将上行消息序列号 CMAC— PN— U重新设置为初始值，而 BS 会自动将下行消息序列号 CMAC—PN_D重新设置为初始值，从而保证在一个 AK上下文中上行消息序列号 CMAC—PN— U和下行消息序列号 CMACJPN— D始终不重复，例如可以从初始值向上递增或者向下递减，因此，接收端可以通过判断所接收管理消息的消息序列号与自身保存的已接收管理消息的消息序列号相匹配来判断所接收管理消息是否为重放消息，从而大大筒化接收端对消息序列号的处理。

C、在 MS和 BS使用该 AK上下文进行会话的过程中，管理消息的发送端先将消息序列号参数递增或递减一个预定的数值，例如 1 , 再将递增或递减后的消息序列号参数与管理消息一起发送到接收端，所述接收端根据所接收管理消息中的消息序列号参数判断该管理消息是否为重放消息，如果是，则丟弃该管理消息，否则，接收所述管理消息，从而实现防重放攻击的目的。

下面将具体说明在一个 AK上下文的生命周期内， MS和 BS利用上行消息序列号 CMAC— PN— U及下行消息序列号 CMAC— PN— D进行防重放攻击的过程。

MS使用上行消息序列号 CMAC— PNJJ标识所发送的上行管理消息，具体包括： MS 在发送上行管理消息之前，首先将上行消息序号 CMAC— PN— U递增或递减某一个数值，例如 1 , 再将递增或递减后的 CMAC— PN—U与通过加密算法计算得到的 CMAC Value—起作为 CMAC Digest发送给 BS; BS在接收到该管理消息后，首先用本地保存的密钥采用和 MS—样的方法计算 CMAC Value, 并与消息中携带的 CMAC Value 比较，从而实现了对消息的认证，同时根据上行消息序列号 CMAC— PN— U判断消息是否为重放消息。

BS使用下行消息序列号 CMAC—PN— D标识所发送的下行管理消息的方法与上述方法基本相同，包括： BS 在发送下行管理消息之前，首先将下行消息序号 CMAC— PN— D递增或递減某一个数值，再将递增或递减后的 CMAC_PN— D与 CMAC Value一起作为 CMAC Digest发送给 MS; MS 在接收到该下行管理消息后，首先用本地保存的密钥采用和 BS一样的方法计算 CMAC Value,并与消息中携带的 CMAC Value比较，从而实现了对消息的认证。同时根据下行消息序列号 CMAC— PN— D判断消息是否为重放消息。

MS和 BS根据所述上行消息序列号或下行消息序列号判断所接收管理消息是否为重放管理消息的方法有很多种。例如，在本发明的一个优选实施例中，由于发送端所发送管理消息中的消息序列号是递增或递减的，因此，接收端可以将接收到管理消息中的消息序列号与自身保存的已接收管理消息的消息序列号进行比较，如果所述消息序列号是递增的，则当接收的管理消息中的消息序列号小于或等于自身保存的消息序列号时，盘但该管理消息为重放的管理消息；如果所述消息序列号是递减的，则当接收的管理消息中的消息序列号大于或等于自身保存的消息序列号时，判断该管理消息为重放的管理消息。通过这种方法，接收端可以非常简单的识别出重放的管理消息。需要说明的是，本发明并不局限于递增或递减的方式，也可以通过其它的函数关系对消息序列号进行变化，只要通过将接收到的管理消息中的消息序列号与已经保存的管理消息的序列号进行匹配，根据消息序列号是否重复来判断所接收的管理消息是否为重放消息。

在本发明提供的优选实施例中，本发明通过将消息序列号作为 AK 上下文的属性，建立 AK与消息序列号的关联关系，使得 MS和 BS在认证完成后，产生新的 AK时， MS和 BS所维护的消息序列号也能够随之重新置为初始值，并在随后的会话过程中从初始值递增或递减计数，保证在一个 AK上下文中，消息序列号始终递增或递减。

为了避免在某些特殊的情况下出现的由消息序列号的重复周期小于 AK生命周期所导致的在一个 AK上下文内出现消息序列号重复的情况，本发明所述的方法进一步包括：

在上行方向， MS实时监测上行消息序列号 CMAC_PN_U的值，在上行消息序列号 CMAC— PN— U达到预定值之前预定的时间内 ,主动发起重认证过程，在重认证过程完成后，根据所生成的、新的 AK上下文， MS所维护的上行消息序列号 CMAC—PN—U参数及 BS所维护的下行消息序列号 CMAC_PN—D参数将被重新设置为初始值。

在下行方向， BS实时检测下行消息序列号 CMAC—PN— D的值，在下行消息序列号 CMAC—PN— D达到预定值之前预定的时间内，发送鉴权失效（Authentication Invalid ) 消息到 MS, 通知 MS发起重认证过程，在重认证过程完成后，根据所生成、新的 AK上下文， MS所维护的上行消息序列号 CMAC— PN—U 参数和 BS 所维护的下行消息序列号 CMAC_PN_D参数将被重新设置为初始值。

其中，所述的预定时间为完成重认证过程并启用新的 AK上下文所需的时间。这样一来，通过上述方法，就可以保证在上行或下行消息序列号在达到预定值之前 MS和 BS能够启用新的 AK上下文，从而有效的避免所述上行或下行消息序列号出现重复。

需要说明的是，在重认证完成，生成新的 AK之后， MS会立即使用新的 AK对后续的会话进行加密。但 BS不会立即使用新的 AK, 它只有在接收到 MS发送的密钥更新请求（Key Request )消息，并且检测到该 Key Request消息携带的 CMAC Digest中的 CMAC Value是由新的 AK 派生的密钥计算得到的之后，即判断出当前 MS已经成功完成重认证并获得了新的 AK时，才使用新的 AK对后续的会话进行加密和计算消息校验码。

Claims

权利要求书

1、一种防止重放攻击的方法，其特征在于，所述方法包括：在鉴权密钥的上下文中增加消息序列号属性；

在管理消息交互双方之间的认证完成，生成鉴权密钥上下文后，管理消息的发送端根据鉴权密钥上下文中的消息序列号属性建立消息序列号参数，并将建立的消息序列号参数设置为初始值；

在使用该鉴权密钥上下文进行会话的过程中，所述管理消息的发送端发送携带有消息序列号参数的管理消息到该管理消息的接收端，所述接收端根据所接收的消息序列号参数判断接收的管理消息是否为重放消息。

2、根据权利要求 1所述的方法，其特征在于，所述认证为：初始接入认证或重认证。

3、根据权利要求 1所述的方法，其特征在于，所述管理消息的发送端在发送所述管理消息之前，进一步包括：将所述消息序列号递增或递减一个预定的数值。

4、根据权利要求 3所述的方法，其特征在于，所述预定的数值为 1。

5、根据权利要求 1所述的方法，其特征在于，所述根据所接收的消息序列号参数判断接收的管理消息是否为重放消息包括：接收端将接收到的消息序列号参数与自身保存的已接收管理消息的消息序列号进行匹配，如果与所述自身保存的已接收管理消息的消息序列号相同，则确定接收的管理消息为重放的管理消息；否则，确定为不是重放的管理消息。

6、根据权利要求 1或 5所述的方法，其特征在于：所述接收端在确认接收到的管理消息为重放消息时，丟弃该管理消息，否则接收该管理消息。

7、根据权利要求 1所述的方法，其特征在于，所述方法进一步包括: 在使用该鉴权密钥上下文进行会话的过程中，所述管理消息的发送端实时监测所述消息序列号参数的数值，在所述消息序列号达到预定值之前预定的时间内，发起重认证过程，重新将消息序列号参数设置为初始值。

8、根据权利要求 7所述的方法，其特征在于，所述预定时间为完成重认证过程及启用鉴权密钥上下文所需的时间。

9、根据权利要求 1所述的方法，其特征在于，所述发送携带有消息序列号参数的管理消息到该管理消息的接收端为：通过基于加密的消息认证码摘要将所述消息序列号参数发送到所述接收端。

10、根据权利要求 1、 5或 7所述的方法，其特征在于，所述管理消息的发送端为移动台；所述接收端为基站；所述消息序列号为上行消息序列号。

11、根据权利要求 1、 5或 7所述的方法，其特征在于，所述管理消息的发送端为基站；所述接收端为移动台；所述消息序列号为下行消息序列号。

12、一种保证消息序列号不重复的方法，其特征在于，所述方法包括：

在鉴权密钥的上下文中增加消息序列号属性；

在管理消息交互双方之间的认证完成，生成鉴权密钥上下文后，管理消息的发送端根据所生成鉴权密钥上下文中的消息序列号属性建立消息序列号参数，并将建立的消息序列号参数设置为初始值。

13、根据权利要求 12所述的方法，其特征在于，所述方法进一步包括：在所述管理消息交互双方使用该鉴权密钥上下文进行会话的过程中，所述管理消息的发送端实时监测所述消息序列号参数的数值，在所述消息序列号达到预定值之前预定的时间内，发起重认证过程，消息序列号参数设置为初始值。

14、根据权利要求 13所述的方法，其特征在于，所述预定时间为完成重认证过程及启用鉴权密钥上下文所需的时间。

15、根据权利要求 12、 13或 14所述的方法，其特征在于，所述管理消息的发送端为移动台；所述接收端为基站；所述消息序列号为上行消息序列号。

16、根据权利要求 12、 13或 14所述的方法，其特征在于，所述管理消息的发送端为基站；所述接收端为移动台; 所述消息序列号为下行消息序列号。