WO2011075880A1

WO2011075880A1 - 一种适合超宽带网络的握手协议方法

Info

Publication number: WO2011075880A1
Application number: PCT/CN2009/075768
Authority: WO
Inventors: 赖晓龙; 曹军; 肖跃雷; 铁满霞; 黄振海; 张变玲
Original assignee: 西安西电捷通无线网络通信股份有限公司
Priority date: 2009-12-21
Filing date: 2009-12-21
Publication date: 2011-06-30

Abstract

一种适合超宽带网络的握手协议方法，该方法包括：发起者向响应者发送第一消息，所述第一消息包括消息序号、状态码、成对临时密钥标识和主密钥标识，响应者根据所述第一消息向发起者发送第二消息；发起者根据第二消息向响应者发送第三消息，响应者根据第三消息向发起者发送第四消息，发起者根据第四消息利用本地密钥确认密钥重新计算第四消息中除成对临时密钥消息完整性码外的其他参数、发起者的MAC地址和响应者的MAC地址的消息完整性码，并与原第四消息中的成对临时密钥消息完整性码进行比较；以在两者相同时，使得发起者和响应者各自获得相应的成对临时密钥和密钥确认密钥。本发明实施例的方法，可以使得Dos攻击难以实现，安全性高。

Description

一种适合超宽带网络的握手协议方法

技术领域

本发明涉及一种适合超宽带网络的握手协议方法。

背景技术

ECMA368 (欧洲电脑厂商协会， European Computer Manufacturers

Association, ECMA )标准描述的是超宽带网络（ Ultra Wideband )物理层和 MAC 层规范。超宽带网络是一种无载波通信技术，利用纳秒至微秒级的正弦波窄脉冲传输数据。 ECMA368标准中设计了一种握手协议，用于建立超宽带网络设备之间的成对临时密钥 PTK ( Pairwise Temporal Key )。该握手协议的具体实现过程为：

1 )发起者向响应者发送消息 l=MN||SC||PTKID||MKID||I-Nonce||PTK-MIC, 其中消息序号 MN=1 , 状态码 SC = 0, 表示协议处于正常状态，成对临时密钥标识 PTKID是发起者随机选取的值（不与本地存储的、正在进行的握手协议或成组临时密钥 GTK ( Group Temporal Key )分发协议中使用的临时密钥标识 TKID ( Temporal Key Identifier )相同），主密钥标识 MKID是成对主密钥 PMK 的标志， I-Nonce 是发起者产生的随机数，成对临时密钥消息完整性码 PTK-MIC=0 , 表示没有计算成对临时密钥消息完整性码 PTK-MIC；

2 )响应者收到消息 1后，若消息序号 MN=1 , 状态码 SC=0且成对临时密钥消息完整性码 PTK-MIC = 0不成立，则丟弃该消息，否则险证主密钥标识 MKID是否为发起者和响应者预共享的成对主密钥 PMK的标识；若不是，则丟弃该消息，若是，则验证是否存在使用该主密钥标识 MKID正在执行的握手协议；若存在，则丟弃该消息并设置状态码 SC=2 (表示存在使用该主密钥标识 MKID正在执行的握手协议）来向发起者报告协议状态，若不存在，则验证成对临时密钥标识 PTKID; 若成对临时密钥标识 PTKID与本地存储的、正在进行的握手协议或成组临时密钥 GTK分发协议中使用的临时密钥标识 TKID 相同，则丟弃该消息并设置状态码 SC=3 (表示该成对临时密钥标识 PTKID与本地存储的或正在进行的握手协议或成组临时密钥 GTK分发协议中使用的临时密钥标识 TKID相同 )来向发起者报告协议状态，若成对临时密钥标识 PTKID与本地存储的、正在进行的握手协议或成组临时密钥 GTK分发协议中使用的临时密钥标识 TKID不同，则生成随机数 R-Nonce并利用扩展函数对成对主密钥 PMK, I-Nonce, R-Nonce, 发起者的 MAC地址 I-MAC和响应者的 MAC地址 R-MAC进行计算得到成对临时密钥 PTK和密钥确认密钥 KCK ( Key Confirmation Key ) , 然后向发起者发送消息 2 = MN||SC||PTKID||MKID||R-Nonce||PTK-MIC , 其中消息序号 ΜΝ=2 , 状态码 SC=0,成对临时密钥标识 PTKID和主密钥标识 MKID与消息 1中的对应值相同，成对临时密钥消息完整性码 PTK-MIC是利用本地密钥确认密钥 KCK对消息 2 (除成对临时密钥消息完整性码 PTK-MIC 外的其他参数）、发起者的 MAC地址 I-MAC和响应者的 MAC地址 R-MAC计算的消息完整性码 MIC ( Message Integrity Code );

3 )发起者收到消息 2后，若消息序号 MN=2, 状态码 SC=0 , 成对临时密钥标识 PTKID和主密钥标识 MKID是消息 1中的对应值不成立，则丟弃该消息，否则利用扩展函数对成对主密钥 PMK, I-Nonce, R-Nonce,发起者的 MAC 地址 I-MAC和响应者的 MAC地址 R-MAC进行计算得到成对临时密钥 PTK 和密钥确认密钥 KCK, 然后利用本地密钥确认密钥 KCK重新计算消息 2 (除成对临时密钥消息完整性码 PTK-MIC外的其他参数）、发起者的 MAC地址 I-MAC和响应者的 MAC地址 R-MAC的消息完整性码 MIC并与消息 2中的成对临时密钥消息完整性码 PTK-MIC进行比较；若两者不相同，则丟弃该消息并设置状态码 SC=1 (表示安全验证不通过）来向响应者报告协议状态，若两者相同，则向响应者发送消息 3= MN||SC||PTKID||MKID||I-Nonce||PTK-MIC, 其中消息序号 ΜΝ=3 , 状态码 SC=0 , 成对临时密钥标识 PTKID和主密钥标识 MKID与消息 2中的对应值相同，成对临时密钥消息完整性码 PTK-MIC是利用本地密钥确认密钥 KCK对消息 3 (除成对临时密钥消息完整性码 PTK-MIC 外的其他参数）、发起者的 MAC地址 I-MAC和响应者的 MAC地址 R-MAC 计算的消息完整性码 MIC;

4 )响应者收到消息 3后，若消息序号 MN=3 , 状态码 SC=0 , 成对临时密钥标识 PTKID和主密钥标识 MKID是消息 2中的对应值不成立，则丟弃该消息，否则利用本地密钥确认密钥 KCK重新计算消息 3 (除成对临时密钥消息完整性码 PTK-MIC外的其他参数）、发起者的 MAC地址 I-MAC和响应者的 MAC地址 R-MAC的消息完整性码 MIC并与消息 3中的成对临时密钥消息完整性码 PTK-MIC进行比较；若两者不相同，则丟弃该消息并设置状态码 SC=1 (表示安全验证不通过）来向响应者报告协议状态，若两者相同，则向发起者发送消息 4= MN||SC||PTKID||MKID||R-Nonce||PTK-MIC,其中消息序号 MN=4, 状态码 SC=0, 成对临时密钥标识 PTKID和主密钥标识 MKID与消息 3中的对应值相同，成对临时密钥消息完整性码 PTK-MIC是利用本地密钥确认密钥 KCK对消息 4 (除成对临时密钥消息完整性码 PTK-MIC外的其他参数）、发起者的 MAC地址 I-MAC和响应者的 MAC地址 R-MAC计算的消息完整性码 MIC;

5 )发起者收到消息 4后，若消息序号 MN=4, 状态码 SC=0, 成对临时密钥标识 PTKID和主密钥标识 MKID是消息 3中的对应值不成立，则丟弃该消息，否则利用本地密钥确认密钥 KCK重新计算消息 4 (除成对临时密钥消息完整性码 PTK-MIC外的其他参数）、发起者的 MAC地址 I-MAC和响应者的 MAC地址 R-MAC的消息完整性码 MIC并与消息 4中的成对临时密钥消息完整性码 PTK-MIC进行比较；若两者不相同，则丟弃该消息并中止该握手协议，若两者相同，则发起者和响应者成功完成了握手协议，各自获得了相应的成对临时密钥 PTK和密钥确认密钥 KCK。

从上面所述的握手协议，可以发现：攻击者可以冒充发起者发送不同的消息 l = MN||SC||PTKID||MKID||I-Nonce||PTK-MIC给响应者，其中成对临时密钥标识 PTKID是随机生成的 , 主密钥标识 MKID是通过响应者信标帧或通过对响应者的探询获得的， I-Nonce 是随机生成的，成对临时密钥消息完整性码 PTK-MIC=0。由于成对临时密钥标识 PTKID的消息空间为 2²⁴,碰撞的概率很小，主密钥标识 MKID为合法的主密钥标识 MKID, I-Nonce又不能被响应者校验，所以响应者接收攻击者的消息 1并计算成对临时密钥 PTK和密钥确认密钥 KCK,然后计算消息 2(除成对临时密钥消息完整性码 PTK-MIC外的其他参数)、发起者的 MAC地址 I-MAC和响应者的 MAC地址 R-MAC的成对临时密钥消息完整性码 PTK-MIC,最后发送出错误的消息 2。这造成了很大的计算资源浪费，易构成 Dos攻击。

发明内容本发明为解决背景技术中存在的上述技术问题 ,提供一种安全性高的适合超宽带网络的握手协议方法。

本发明的技术解决方案是：本发明为一种适合超宽带网络的握手协议方法，该方法包括以下步骤：

A )发起者向响应者发送第一消息，所述第一消息包括消息序号、状态码、成对临时密钥标识和主密钥标识；

B )响应者根据所述第一消息向发起者发送第二消息所述第二消息包括消息序号、状态码、成对临时密钥标识、主密钥标识和第一随机数，其中消息序号为 2, 状态码为 0, 成对临时密钥标识和主密钥标识与第一消息中的对应值相同；

C )发起者根据第二消息向响应者发送第三消息，，所述第三消息包括消息序号、状态码、成对临时密钥标识、主密钥标识、第一随机数、第二随机数和成对临时密钥消息完整性码，其中消息序号为 3 , 状态码为 0, 成对临时密钥标识和主密钥标识与第二消息中的对应值相同，成对临时密钥消息完整性码是利用本地密钥确认密钥对第三消息中除成对临时密钥消息完整性码外的其他参数、发起者的 MAC地址和响应者的 MAC地址计算的消息完整性码；

D )响应者根据第三消息向发起者发送第四消息，所述第四消息包括消息序号、状态码、成对临时密钥标识、主密钥标识、第二随机数和成对临时密钥消息完整性码，其中消息序号为 4, 状态码为 0, 成对临时密钥标识和主密钥标识与第三消息中的对应值相同，成对临时密钥消息完整性码是利用本地密钥确认密钥对第四消息中除成对临时密钥消息完整性码外的其他参数、发起者的

MAC地址和响应者的 MAC地址计算的消息完整性码；

E )发起者根据第四消息判断消息序号为 4, 状态码为 0, 成对临时密钥标识和主密钥标识是第三消息中的对应值是否成立，若成立，则利用本地密钥确认密钥重新计算第四消息中除成对临时密钥消息完整性码外的其他参数、发起者的 MAC地址和响应者的 MAC地址的消息完整性码，并与原第四消息中的成对临时密钥消息完整性码进行比较；以在两者相同时，使得发起者和响应者各自获得相应的成对临时密钥和密钥确认密钥。

优选的，在所述第一消息中，消息序号为 1 , 所述状态码为 0, 所述成对临时密钥标识为随机值，所述成对临时密钥标识不与本地存储的、正在进行的握手协议或成组临时密钥分发协议中使用的临时密钥标识相同，所述主密钥标识为成对主密钥的标志。

优选的，所述响应者根据所述第一消息向发起者发送第二消息，具体包括：响应者接收到第一消息之后，判断第一消息序号为 1且状态码为 0是否成立，若成立则验证主密钥标识是否为发起者和响应者预共享的成对主密钥的标识；若是，则验证是否存在使用该主密钥标识正在执行的握手协议；若不存在，则验证成对临时密钥标识与本地存储的、正在进行的握手协议或成组临时密钥分发协议中使用的临时密钥标识是否相同，若不相同，则生成第一随机数 R-Nonce并向发起者发送第二消息。

优选的，所述发起者根据第二消息向响应者发送第三消息，具体包括：发起者判断所述第二消息中的消息序号为 2、状态码为 0且成对临时密钥标识和主密钥标识是否为第一消息中的对应值，若是，则生成第二随机数 I-Nonce 并利用扩展函数对成对主密钥， I-Nonce, R-Nonce, 发起者的 MAC 地址和响应者的 MAC地址进行计算得到成对临时密钥和密钥确认密钥，并向发起者发送第三消息。

优选的，所述响应者根据第三消息向发起者发送第四消息，具体包括：响应者判断所述第三消息中的消息序号为 3 , 状态码为 0, 成对临时密钥标识和主密钥标识是第二消息中的对应值是否成立，若成立，则首先利用扩展函数对成对主密钥， I-Nonce, R-Nonce,发起者的 MAC地址和响应者的 MAC 地址进行计算得到成对临时密钥和密钥确认密钥，然后利用本地密钥确认密钥重新计算第三消息中除成对临时密钥消息完整性码外的其他参数、发起者的 MAC地址 I-MAC和响应者的 MAC地址的消息完整性码，并与成对临时密钥消息完整性码进行比较；若两者相同，向发起者发送第四消息。

本发明提供的适合超宽带网络的握手协议方法，响应者收到第 1 条消息后，如果主密钥标识 MKID和 PKID都是合法的，那么生成随机数 R-Nonce 并构造第 2条消息发送给发起者，没有任何计算量，也就是说，即使攻击者伪造不同的第 1条消息发送给响应者，响应者也不用消耗计算资源，从而使 Dos 攻击难以实现，安全性高。

附图说明

图 1为本发明的适合超宽带网络的握手协议方法实施例的流程图。具体实施方式

本发明的具体实现方法如下：

S1 ) 向响应者发送第一消息 (即是消息 1 ) , 所述第一消息包括消息序号、状态码、成对临时密钥标识和主密钥标识；

其中，具体的，消息 1可以包括 MN||SC||PTKID||MKID,其中消息序号 ΜΝ=1 , 状态码 SC=0 , 成对临时密钥标识 PTKID是发起者随机选取的值，不与本地存储的或正在进行的握手协议或成组临时密钥 GTK分发协议中使用的临时密钥标识 TKID相同，主密钥标识 MKID是成对主密钥 PMK的标志；

S2 )响应者收到消息 1后，根据所述消息 1向发起者发送第二消息（即是消息 2 ) ；所述第二消息包括消息序号、状态码、成对临时密钥标识、主密钥标识和第一随机数，其中消息序号为 2 , 状态码为 0, 成对临时密钥标识和主密钥标识与第一消息中的对应值相同；

具体的，响应者发送消息 2的具体过程为：响应者根据消息 1进行判断，若消息序号 MN=1且状态码 SC=0不成立，则丟弃该消息，若成立则验证主密钥标识 MKID是否为发起者和响应者预共享的成对主密钥 PMK的标识；若不是，则丟弃该消息，若是则验证是否存在使用该主密钥标识 MKID正在执行的握手协议；若存在，则丟弃该消息并设置状态码 SC=2来向发起者报告协议状态，若不存在，则验证成对临时密钥标识 PTKID; 若成对临时密钥标识 PTKID与本地存储的或正在进行的握手协议或成组临时密钥 GTK分发协议中使用的临时密钥标识 TKID相同，则丟弃该消息并设置状态码 SC=3来向发起者报告协议状态，若不相同，则生成随机数 R-Nonce并向发起者发送消息 2, 消息 2 包括 MN||SC||PTKID||MKID||R-Nonce, 其中消息序号 MN=2, 状态码 SC=0,成对临时密钥标识 PTKID和主密钥标识 MKID与消息 1中的对应值相同；

S3 )发起者收到消息 2后，根据消息 2向响应者发送第三消息（即是消息

3 ) , 所述第三消息包括：消息序号、状态码、成对临时密钥标识、主密钥标识、第一随机数、第二随机数和成对临时密钥消息完整性码，其中消息序号为 3 , 状态码为 0, 成对临时密钥标识和主密钥标识与第二消息中的对应值相同，成对临时密钥消息完整性码是利用本地密钥确认密钥对第三消息中除成对临时密钥消息完整性码外的其他参数、发起者的 MAC地址和响应者的 MAC地址计算得到的消息完整性码；

具体的，发起者发送消息 3的具体过程为：发起者根据消息 2进行判断，若消息序号 MN=2, 状态码 SC=0, 成对临时密钥标识 PTKID和主密钥标识 MKID是消息 1 中的对应值不成立，则丟弃该消息，若成立，则生成随机数 I-Nonce 并利用扩展函数对成对主密钥 PMK, I-Nonce, R-Nonce, 发起者的 MAC地址 I-MAC和响应者的 MAC地址 R-MAC进行计算得到成对临时密钥 PTK 和密钥确认密钥 KCK , 然后向发起者发送消息 3 , 消息 3 包括 MN||SC||PTKID||MKID||I-Nonce||R-Nonce||PTK-MIC, 其中消息序号 MN=3 , 状态码 SC=0, 成对临时密钥标识 PTKID和主密钥标识 MKID与消息 2中的对应值相同，成对临时密钥消息完整性码 PTK-MIC 是利用本地密钥确认密钥 KCK对消息 3 (除成对临时密钥消息完整性码 PTK-MIC外的其他参数）、发起者的 MAC地址 I-MAC和响应者的 MAC地址 R-MAC计算的消息完整性码 MIC;

S4 )响应者收到消息 3后，根据消息 3向发起者发送第四消息（即是消息

4 ) , 所述第四消息包括：消息序号、状态码、成对临时密钥标识、主密钥标识、第二随机数和成对临时密钥消息完整性码，其中消息序号为 4, 状态码为 0, 成对临时密钥标识和主密钥标识与第三消息中的对应值相同，成对临时密钥消息完整性码是利用本地密钥确认密钥对第四消息中除成对临时密钥消息完整性码 PTK-MIC外的其他参数、发起者的 MAC地址和响应者的 MAC地址计算的消息完整性码；

具体的，响应者发送消息 4的具体过程为：响应者根据消息 3进行判断，若消息序号 MN=3 , 状态码 SC=0, 成对临时密钥标识 PTKID和主密钥标识 MKID是消息 2中的对应值不成立，则丟弃该消息，成立，则首先利用扩展函数对成对主密钥 PMK, I-Nonce, R-Nonce, 发起者的 MAC地址 I-MAC和响应者的 MAC地址 R-MAC进行计算得到成对临时密钥 PTK和密钥确认密钥 KCK, 然后利用本地密钥确认密钥 KCK重新计算消息 3中（除成对临时密钥消息完整性码 PTK-MIC外的其他参数 )、发起者的 MAC地址 I-MAC和响应者的 MAC地址 R-MAC的消息完整性码 MIC并与消息 3中的成对临时密钥消息完整性码 PTK-MIC进行比较；若两者不相同，则丟弃该消息并设置状态码 SC=1 来向响应者告协议状态，否则向发起者发送消息 4 , 消息 4 包括 MN||SC||PTKID||MKID||I-Nonce||PTK-MIC,其中消息序号 MN=4,状态码 SC=0, 成对临时密钥标识 PTKID和主密钥标识 MKID与消息 3中的对应值相同 , 成对临时密钥消息完整性码 PTK-MIC是利用本地密钥确认密钥 KCK对消息 4 (除成对临时密钥消息完整性码 PTK-MIC外的其他参数）、发起者的 MAC 地址 I-MAC和响应者的 MAC地址 R-MAC计算的消息完整性码 MIC;

S5 )发起者收到消息 4后，若消息序号 MN=4, 状态码 SC=0, 成对临时密钥标识 PTKID和主密钥标识 MKID是消息 3中的对应值不成立，则丟弃该消息，成立，则利用本地密钥确认密钥 KCK重新计算消息 4 (除成对临时密钥消息完整性码 PTK-MIC外的其他参数 )、发起者的 MAC地址 I-MAC和响应者的 MAC地址 R-MAC的消息完整性码 MIC并与消息 4中的成对临时密钥消息完整性码 PTK-MIC进行比较；若两者不相同，则丟弃该消息并中止该握手协议，若相同，则发起者和响应者成功完成了握手协议，各自获得了相应的成对临时密钥 PTK和密钥确认密钥 KCK。

Claims

权利要求

1、一种适合超宽带网络的握手协议方法，其特征在于：该方法包括以下步骤：

B )响应者根据所述第一消息向发起者发送第二消息；所述第二消息包括消息序号、状态码、成对临时密钥标识、主密钥标识和第一随机数，其中消息序号为 2, 状态码为 0, 成对临时密钥标识和主密钥标识与第一消息中的对应值相同；

C )发起者根据第二消息向响应者发送第三消息，所述第三消息包括消息序号、状态码、成对临时密钥标识、主密钥标识、第一随机数、第二随机数和成对临时密钥消息完整性码，其中消息序号为 3 , 状态码为 0, 成对临时密钥标识和主密钥标识与第二消息中的对应值相同，成对临时密钥消息完整性码是利用本地密钥确认密钥对第三消息中除成对临时密钥消息完整性码外的其他参数、发起者的 MAC地址和响应者的 MAC地址计算得到的消息完整性码； D ) 响应者根据第三消息向发起者发送第四消息，所述第四消息包括消息序号、状态码、成对临时密钥标识、主密钥标识、第二随机数和成对临时密钥消息完整性码，其中消息序号为 4, 状态码为 0, 成对临时密钥标识和主密钥标识与第三消息中的对应值相同，成对临时密钥消息完整性码是利用本地密钥确认密钥对第四消息中除成对临时密钥消息完整性码 PTK-MIC 外的其他参数、发起者的 MAC地址和响应者的 MAC地址计算的消息完整性码；

2、如权利要求 1所述的方法，其特征在于：在所述第一消息中，消息序号为 1 , 所述状态码为 0, 所述成对临时密钥标识为随机值，所述成对临时密钥标识不与本地存储的、正在进行的握手协议或成组临时密钥分发协议中使用的临时密钥标识相同，所述主密钥标识为成对主密钥的标志。

3、如权利要求 1所述的方法，其特征在于：所述响应者根据所述第一消息向发起者发送第二消息，具体包括：

响应者接收到第一消息之后，判断第一消息序号为 1且状态码为 0是否成立，若成立则验证主密钥标识是否为发起者和响应者预共享的成对主密钥的标识；若是，则验证是否存在使用该主密钥标识正在执行的握手协议；若不存在，则验证成对临时密钥标识与本地存储的、正在进行的握手协议或成组临时密钥分发协议中使用的临时密钥标识是否相同，若不相同，则生成第一随机数 R-Nonce并向发起者发送第二消息。

4、如权利要求 1所述的方法，其特征在于：所述发起者根据第二消息向响应者发送第三消息，具体包括：

发起者判断所述第二消息中的消息序号为 2、状态码为 0且成对临时密钥标识和主密钥标识是否为第一消息中的对应值，若是，则生成第二随机数 I-Nonce 并利用扩展函数对成对主密钥， I-Nonce, R-Nonce, 发起者的 MAC 地址和响应者的 MAC地址进行计算得到成对临时密钥和密钥确认密钥，并向发起者发送第三消息。

5、如权利要求 1所述的方法，其特征在于：所述响应者根据第三消息向发起者发送第四消息，具体包括：

响应者判断所述第三消息中的消息序号为 3 , 状态码为 0, 成对临时密钥标识和主密钥标识是第二消息中的对应值是否成立，若成立，则首先利用扩展函数对成对主密钥， I-Nonce, R-Nonce,发起者的 MAC地址和响应者的 MAC 地址进行计算得到成对临时密钥和密钥确认密钥，然后利用本地密钥确认密钥重新计算第三消息中除成对临时密钥消息完整性码外的其他参数、发起者的 MAC地址 I-MAC和响应者的 MAC地址的消息完整性码，并与成对临时密钥消息完整性码进行比较；若两者相同，向发起者发送第四消息。