CN101742511B - WMAN-SA融合WiMAX设备的方法及无线城域网 - Google Patents
WMAN-SA融合WiMAX设备的方法及无线城域网 Download PDFInfo
- Publication number
- CN101742511B CN101742511B CN2009102138053A CN200910213805A CN101742511B CN 101742511 B CN101742511 B CN 101742511B CN 2009102138053 A CN2009102138053 A CN 2009102138053A CN 200910213805 A CN200910213805 A CN 200910213805A CN 101742511 B CN101742511 B CN 101742511B
- Authority
- CN
- China
- Prior art keywords
- wman
- agreement
- message
- subscriber station
- basic capability
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Mobile Radio Communication Systems (AREA)
Abstract
本发明将IEEE 802.16协议基本能力协商请求和响应消息支持的认证策略字段中预留比特的值置位,表示用户站接入到基站时采用WMAN-SA协议实现用户站、基站与认证服务器的安全接入身份鉴别和会话密钥协商过程,在基本能力协商请求和响应消息中扩充新的类型定义支持的WMAN-SA安全能力信息,包括WMAN-SA协议版本和WMAN-SA策略信息,在用户站、基站的安全接入身份鉴别和会话密钥协商过程中增加新的管理消息类型表示WMAN-SA协议消息,实现WMAN-SA协议与WiMAX设备的有效融合。而WMAN-SA协议采用了基于可信第三方认证服务器的用户站和基站的双向认证,增强了无线城域网实体接入的安全性。
Description
技术领域
本发明涉及无线通信技术领域,特别涉及一种将无线城域网安全协议(WMAN-SA)与基于IEEE 802.16协议的WiMAX设备进行融合的方法、以及一种无线城域网系统。
背景技术
无线城域网作为未来无线接入技术的重要发展方向,备受各界广泛关注,然而,安全问题一直制约着其进一步的推广与发展。在无线城域网IEEE 802.16d标准中,定义了基于公开密钥加密算法RSA和数字证书的认证协议,可以实现基站BS对用户站SS的认证,但是,在这种认证方式中,由于只提供了基站BS对用户站SS的单向认证,而没有提供用户站SS对基站BS的认证,从而导致用户站SS无法确认与之相关联的基站BS是否为意定的合法的基站BS,因此,假冒基站BS对用户站SS进行欺骗就变得非常容易,此外,授权密钥AK和会话密钥TEK都是由基站BS一方产生的,在这种单向认证的条件下,很难使用户站SS信任会话密钥TEK的质量。
IEEE 802.16e在IEEE 802.16d的基础上进行了增强性的修改,引入了可扩展认证协议EAP(Extensible Authentication Protocol),但是在这种认证方式中,要求有可靠的第三方来予以支持,同时,授权密钥是由第三方和用户站SS产生后发送给基站BS,因此需要事先在第三方和基站BS之间建立安全信道,另外,EAP实现的主要是用户站SS和第三方的直接双向认证,而并非用户站SS和基站BS之间的直接双向认证,存在假冒基站BS进行攻击的可能。此外,预授权密钥PAK是由基站BS一方产生的,导致密钥PAK的质量不高。在IEEE802.16e的协议中没有定义密钥必须由高质量的伪随机数生成算法产生,如果密钥的产生不随机,将会是一个严重的安全漏洞。
申请号为200810027930.0的专利申请公开了一种无线城域网的安全接入方法(以下简称为WMAN-SA),其对无线城域网中的安全接入身份鉴别和会话密钥协商过程做了替换性的更改,其他内容则保留了原来的无线城域网中的内容,同时,在安全接入身份鉴别过程中,采用了用户站SS和基站BS的双向认证代替了原有的单向认证,使得用户站SS和基站BS都能够确认与意定的对方通信,使得攻击者冒充合法基站BS来骗取用户站SS的信任成为不可能,避免了中间人攻击的可能性。此外,在密钥协商过程中,密钥是由用户站SS和基站BS共同产生,代替了基站BS的分配,保证了密钥的质量,增强了无线城域网的安全性。因此,改进的该WMAN-SA协议同样可以满足原无线城域网的功能和性能要求,而且更安全。
但是,尽管WMAN-SA协议实现了身份鉴别、密钥管理、数据加密、数据鉴别、重放保护等功能,但对于基于IEEE 802.16技术的WiMAX设备来说,其有一套自己的收发消息数据和消息数据封装的机制,因此无法直接将WMAN-SA协议直接应用到WiMAX设备上,如何将WMAN-SA协议应用到WiMAX设备中、实现与WiMAX设备的融合,从而可以在现有的WiMAX设备中实现对WMAN-SA协议的应用,以提高无线城域网的安全性,同时使得支持WMAN-SA协议的WiMAX设备可以实现互联互通,成为一个亟待解决的问题。
发明内容
针对上述现有技术中存在的问题,本申请的目的在于提供一种WMAN-SA协议与WiMAX设备融合的方法设备以及无线城域网系统,其可以有效实现WMAN-SA协议与WiMAX设备之间的融合,提高无线城域网的安全性,同时使得支持WMAN-SA协议的WiMAX设备可以实现互联互通。
为达到上述目的,本发明采用以下技术方案:
一种WMAN-SA协议与WiMAX设备融合的方法,包括步骤:
用户站SS向基站BS发送基本能力协商请求消息,在该基本能力协商请求消息所支持的认证策略字段中,采用预设的特定比特位的值标识该用户站SS是否支持WMAN-SA协议;
基站BS接收所述基本能力协商请求消息,向用户站SS发送基本能力协商响应消息,在该基本能力协商响应消息所支持的认证策略字段中,采用预设的特定比特位的值标识能力协商后是否采用WMAN-SA协议完成安全接入身份鉴别和会话密钥协商过程;
基站BS与用户站SS完成基于WMAN-SA协议的安全接入身份鉴别和会话密钥协商过程,在该安全接入身份鉴别和会话密钥协商过程中,用户站SS采用预设的第一新管理消息类型来描述由用户站SS向基站BS发送的基于WMAN-SA协议的消息,基站BS采用预设的第二新管理消息类型来描述由基站BS向用户站SS发送的基于WMAN-SA协议的消息。
一种无线城域网系统,包括用户站SS、基站BS和认证服务器AS;
所述用户站SS包括:
第一基本能力协商模块,用于生成基本能力协商请求消息,并将该基本能力协商请求消息向第一数据收发模块发送,在该基本能力协商请求消息所支持的认证策略字段中,采用预设的特定比特位的值标识该用户站SS是否支持WMAN-SA协议;
第一WMAN-SA协议处理模块,用于通过所述第一数据收发模块完成与所述基站BS、认证服务器AS的基于WMAN-SA协议的安全接入身份鉴别过程和会话密钥协商过程,在该安全接入身份鉴别和会话密钥协商过程中,采用预设的第一新管理消息类型来描述由用户站SS向基站BS发送的基于WMAN-SA协议的消息;
第一数据收发模块,用于将所述基本能力协商请求消息向基站BS发送,接收基站BS发送的基本能力协商响应消息并向第一基本能力协商模块转发,并实现与基站BS的安全接入身份鉴别和会话密钥协商过程中的消息交互;
所述基站BS包括:
第二数据收发模块,用于接收所述基本能力协商请求消息并将该基本能力协商请求消息向第二WMAN-SA协议处理模块转发,接收第二基本能力协商模块发送的基本能力协商响应消息并向所述用户站SS转发,并实现与用户站SS的安全接入身份鉴别和会话密钥协商过程中的消息交互;
第二基本能力协商模块,用于接收所述第二数据收发模块转发的基本能力协商请求消息,生成基本能力协商响应消息,并将该基本能力协商响应消息向第二数据收发模块发送,在该基本能力协商响应消息所支持的认证策略字段中,采用预设的特定比特位的值标识能力协商后是否采用WMAN-SA协议完成安全接入身份鉴别和会话密钥协商过程;
第二WMAN-SA协议处理模块,用于通过所述第二数据收发模块完成与所述用户站SS、认证服务器AS的基于WMAN-SA协议的安全接入身份鉴别和会话密钥协商过程,在该安全接入身份鉴别和会话密钥协商过程中,采用预设的第二新管理消息类型来描述由基站BS向用户站SS发送的基于WMAN-SA协议的消息。
根据本发明方案的WMAN-SA协议与WiMAX设备融合的方法及无线城域网系统,其是将IEEE 802.16协议基本能力协商请求消息中支持的认证策略字段中,在用户站SS向基站BS发送的基本能力协商请求消息中,采用预设的特定比特位的值来标识是否支持WMAN-SA协议,在基站BS向用户站SS发送的基本能力协商响应消息的认证策略字段中,采用预设的特定比特位的值来标识能力协商后是否采用WMAN-SA协议,若支持且采用WMAN-SA协议,则在后续的接入过程中,采用WMAN-SA协议来实现用户站SS、基站BS以及认证服务器AS的安全接入身份鉴别过程和会话密钥协商过程。在基本能力协商请求和基本能力协商响应消息中扩充新的管理消息类型来定义由用户站SS向基站BS发送的消息、以及由基站BS向用户站SS发送的消息,从而实现WMAN-SA协议与WiMAX设备之间的有效融合,同时,由于WMAN-SA协议采用了用户站SS和基站BS的双向认证,增强了无线城域网的安全性,同时使得支持WMAN-SA协议的WiMAX设备可以实现互联互通。
附图说明
图1是本发明的无线城域网的结构示例图。
具体实施方式
在将WMAN-SA协议应用到基于IEEE 802.16协议的WiMAX设备上时,由于现有的WiMAX设备在对IEEE 802.16协议的应用中,IEEE 802.16协议已经定义出了相关的信息数据传输格式等内容,WiMAX设备会按照现有的IEEE802.16的协议格式进行数据传输,因此,无法将WMAN-SA协议直接在WiMAX设备上予以应用。
在IEEE 802.16协议中,基站BS与用户站SS之间采取何种接入鉴别方式是在初始化时的基本能力协商过程中予以确定的,在IEEE 802.16协议中,用户站SS通过向基站BS发送基本能力协商请求消息(SBC-REQ)来告知自身的特性,该基本能力协商请求消息的消息格式如下表所示:
属性 | 长度(字节) | 描述 |
SBC-REQ消息格式 | ||
{ | ||
管理消息类型=26 | 1 | IEEE 802.16d和IEEE 802.16e的SBC-REQ类型相同 |
TLV编码信息 | 可变 | SBC-REQ的管理消息数据为TLV描述 |
} |
在基站BS接收到上述基本能力协商请求消息后,向用户站SS发送基本能力协商响应消息(SBC-RSP),该基本能力协商响应消息的消息格式如下表所示:
属性 | 长度(字节) | 描述 |
消息格式 | ||
{ | ||
管理消息类型=27 | 1 | IEEE 802.16d和IEEE 802.16e的SBC-RSP类型相同 |
TLV编码信息 | 可变 | SBC-RSP的管理消息数据为TLV描述 |
} |
其中,在IEEE 802.16d中,基本能力协商请求消息和基本能力协商响应消息中支持的认证策略(Authorization policy support)TLV定义为:
类型 | 长度(字节) | 值 | 描述 |
16 | 1 | 比特0:支持IEEE Std 802.16原有安全策略比特1~7:保留,应设置为0 | 值1为支持,值0为不支持 |
在IEEE 802.16e中,支持的认证策略TLV定义为:
类型 | 长度(字节) | 值 | 描述 |
25.2 | 1 | 比特0:基于RSA的初始网络接入授权比特1:基于EAP的初始网络接入授权比特2:基于已鉴别的EAP的初始网络接入授权比特3:保留,设置为0比特4:基于RSA的重接入授权比特5:基于EAP的重接入授权比特6:基于已鉴别的EAP的重接入授权比特7:保留,设置为0 | 值1为支持,值0为不支持 |
结合上述消息定义内容,为了能够有效地实现与WiMAX设备的融合,本发明采用认证策略字段特定比特位的值来标识是否支持WMAN-SA协议,针对基于IEEE 802.16d的WiMAX设备,本发明采用预留的比特3表示接入网络的时候是否支持WMAN-SA协议,其他位的值予以保留,针对基于IEEE 802.16e的WiMAX设备,本发明采用预留的比特3表示接入网络的时候是否支持WMAN-SA协议,采用预留的比特7表示在重新接入网络的时候是否支持WMAN-SA协议,其他位的值予以保留。
因此,在采用本发明方案后,需要采用WMAN-SA协议来实现基站BS与用户站SS之间的安全接入身份鉴别和会话密钥协商等通信过程时,在用户站SS向基站BS发送基本能力协商请求消息(SBC-REQ)来告知自身的特性时,该基本能力协商请求消息的消息格式仍然可以表示为:
属性 | 长度(字节) | 描述 |
SBC-REQ消息格式 | ||
{ | ||
管理消息类型=26 | 1 | IEEE 802.16d和IEEE 802.16e的SBC-REQ类型相同 |
TLV编码信息 | 可变 | SBC-REQ的管理消息数据为TLV描述 |
} |
当基站BS接收到基本能力协商请求消息,经过基本能力协商,向用户站SS发送基本能力协商响应消息(SBC-RSP)时,该基本能力协商响应消息的消息格式仍然可以表示为:
属性 | 长度(字节) | 描述 |
SBC-RSP消息格式 | ||
{ | ||
管理消息类型=27 | 1 | IEEE 802.16d和IEEE 802.16e的SBC-RSP类型相同 |
TLV编码信息 | 可变 | SBC-RSP的管理消息数据为TLV描述 |
} |
其中,由于在基于IEEE 802.16d协议的WiMAX设备中,对于基本安全能力协商过程,采用了认证策略字段中的比特3来表示接入网络的时候是否支持WMAN-SA协议,因此,在基于IEEE 802.16d协议的WiMAX设备中,支持的认证策略TLV定义为:
类型 | 长度(字节) | 值 | 描述 |
16 | 1 | 比特0:支持IEEE Std 802.16原有安全机制比特1~2:保留,应设置为0比特3:支持WMAN-SA安全机制比特4~7:保留,应设置为0 | 值1为支持,值0为不支持 |
即,当认证策略字段中的比特3为1时,表示用户站SS接入到基站BS时采用WMAN-SA协议来实现接入。
而在基于IEEE 802.16e的WiMAX设备中,支持的认证策略TLV则定义为:
类型 | 长度(字节) | 值 | 描述 |
25.2 | 1 | 比特0:基于RSA的初始网络接入授权比特1:基于EAP的初始网络接入授权比特2:基于已鉴别的EAP的初始网络接入授权比特3:基于WMAN-SA安全机制的初始网络接入授权比特4:基于RSA的重接入授权比特5:基于EAP的重接入授权比特6:基于已鉴别的EAP的重接入授权比特7:基于WMAN-SA安全机制的重接入授权 | 值1为支持,值0为不支持 |
即,当认证策略字段比特3为1时,表示用户站SS接入到基站BS时采用WMAN-SA协议来实现接入,当认证策略字段比特3为1、比特7为1时,表示用户站SS接入到基站BS时采用WMAN-SA协议来实现接入、当用户站SS重新接入到基站BS时采用WMAN-SA协议来实现接入。
其中,与WMAN-SA协议相关的能力协商也是在基本能力协商过程中予以完成,这些与WMAN-SA协议相关的能力包括例如WMAN-SA安全能力信息,WMAN-SA安全能力信息中包括有WMAN-SA协议版本、WMAN-SA策略信息等等,因此,需要对基本能力协商请求消息和基本能力协商响应消息中的TLV进行扩充以对WMAN-SA协议版本和WMAN-SA策略信息进行支持,可以选用基本能力协商请求消息(SBC-REQ)和基本能力协商响应消息(SBC-RSP)中未被使用的TLV类型(Type)来定义支持的WMAN-SA安全能力信息,这里的WMAN-SA安全能力信息包括WMAN-SA协议版本和WMAN-SA策略信息:
针对基于IEEE 802.16d协议的WiMAX设备,本发明采用支持的TLV类型为253的WMAN-SA安全能力信息字段表示WMAN-SA协议版本信息、支持的TLV类型为254的WMAN-SA安全能力信息字段表示WMAN-SA策略信息,即如下表所示:
字段 | 类型 | 长度(字节) | 描述 |
WMAN-SA协议版本 | 253 | 1 | 支持的WMAN-SA协议版本信息 |
WMAN-SA策略信息 | 254 | 1 | 支持的WMAN-SA策略信息 |
其中,上表的定义在用户站SS向基站BS发送的基本能力协商请求消息、以及基站BS向用户站SS发送的基本能力协商响应消息中相同,当应用在用户站SS向基站BS发送的基本能力协商请求消息中时,用于表示该用户站SS所支持的WMAN-SA安全能力信息,该WMAN-SA安全能力信息包括WMAN-SA协议版本和WMAN-SA策略信息,即用户站SS对安全协议的一种支持能力,当应用在基站BS向用户站SS发送的基本能力协商响应消息中时,表示经协商后的基站BS与用户站SS之间应用的WMAN-SA安全能力信息,该WMAN-SA安全能力信息包括WMAN-SA协议版本和WMAN-SA策略信息;
而针对基于IEEE 802.16e协议的WiMAX设备,本发明则采用支持的TLV类型为25.9的WMAN-SA安全能力信息字段表示WMAN-SA协议版本信息、类型25.10的WMAN-SA安全能力信息字段表示WMAN-SA策略信息,即如下表所示:
字段 | 类型 | 长度(字节) | 描述 |
WMAN-SA协议版本 | 25.9 | 1 | 支持的WMAN-SA协议版本信息 |
WMAN-SA策略信息 | 25.10 | 1 | 支持的WMAN-SA策略信息 |
其中,上表的定义在用户站SS向基站BS发送的基本能力协商请求消息、以及基站BS向用户站SS发送的基本能力协商响应消息中相同,当应用在用户站SS向基站BS发送的基本能力协商请求消息中时,用于表示该用户站SS所支持的WMAN-SA安全能力信息,包括WMAN-SA协议版本和WMAN-SA策略信息,即用户站SS对安全协议的一种支持能力,当应用在基站BS向用户站SS发送的基本能力协商响应消息中时,表示经协商后的基站BS与用户站SS之间应用的WMAN-SA协议版本和WMAN-SA策略信息。
当在基于IEEE 802.16d协议的WiMAX设备中,基本能力协商过程中的认证策略字段中的比特3的值置1时,或者是在基于IEEE 802.16e协议的WiMAX设备中,证策略字段中的比特3的值置1或者是比特3和比特7的值置1时,基站BS与用户站SS经过基本能力协商,采用WMAN-SA协议进行认证,基站BS向用户站SS发送接入鉴别激活消息,开始进入安全接入身份鉴别过程,安全接入身份鉴别过程之后,即可进入后续的会话密钥协商等过程。
而为了能够在WiMAX设备中实现基站BS与用户站SS之间的基于WMAN-SA协议的消息的通信,需要将WMAN-SA协议的消息封装成为IEEE802.16协议中所定义的消息格式。
在IEEE 802.16中,MAC层的通用消息中的管理消息格式定义为:
Management Message Type | Management Message Payload |
其中,管理消息包括管理消息类型(Management Message Type)和管理消息数据(Management Message Payload)。管理消息类型,例如上述基本能力协商请求消息(SBC-REQ)的管理消息类型为26、基本能力协商响应消息(SBC-RSP)的管理消息类型为27。而就目前而言,2007年发布的IEEE 802.16协议中的0~69的管理消息类型都已被使用,因此可以选择预留的70~255中的其中两个作为WMAN-SA请求消息(WMAN-SA-REQ,用户站SS向基站BS发送的消息)和WMAN-SA响应消息(WMAN-SA-RSP,基站BS向用户站SS发送的消息)的管理消息类型,在此将WMAN-SA请求消息对应的管理消息类型称之为预设的第一新管理消息类型,将WMAN-SA响应消息对应的管理消息类型称之为预设的第二新管理消息类型,其中,第一新管理消息类型、第二新管理消息类型分别选用99和100。
在选用99、100分别作为WMAN-SA请求消息、WMAN-SA响应消息的管理消息类型后,WMAN-SA请求消息的定义如下:
属性 | 长度(字节) | 描述 |
WMAN-SA-REQ消息格式 | ||
{ | ||
管理消息类型(ManagementMessage Type)=99 | 1 | |
WMAN-SA管理消息数据 | 可变 | 包括:接入鉴别请求、接入鉴别确认、会话密钥请求、会话密钥确认 |
} |
WMAN-SA响应消息定义如下:
属性 | 长度(字节) | 描述 |
WMAN-SA-RSP消息格式 | ||
{ | ||
管理消息类型(ManagementMessage Type)=100 | 1 | |
WMAN-SA管理消息数据 | 可变 | 包括:接入鉴别激活、接入鉴别响应、会话密钥通告、会话密钥响应 |
} |
在上述与WMAN-SA管理消息类型对应的WMAN-SA管理消息数据中,对WMAN-SA管理消息数据的格式做以下定义:
字段 | 长度(字节) | 含义 |
消息索引 | 2 | WMAN-SA消息索引 |
消息数据 | TLV | WMAN-SA消息数据 |
即WMAN-SA管理消息数据包括有消息索引和消息数据。
消息索引字段,其值表示消息序号。第一个消息序号为1,后序消息依次按1递增。消息接收方可以根据消息索引判断当前收到的消息是否有效,如该消息是否被重发、消息的顺序是否符合协议规定等。
消息数据字段,采用TLV编码,其内容根据消息数据类型的值而定,在本发明方案中,对消息数据类型字段做如下定义:
管理消息类型 | 消息数据类型值 | 含义 | 描述 |
100 | 3 | 接入鉴别激活 | 由基站BS发送给用户站SS |
99 | 4 | 接入鉴别请求 | 由用户站SS发送给基站BS |
100 | 7 | 接入鉴别响应 | 由基站BS发送给用户站SS |
99 | 8 | 接入鉴别确认 | 由用户站SS发送给基站BS |
100 | 12 | 会话密钥通告 | 由基站BS发送给用户站SS |
99 | 13 | 会话密钥请求 | 由用户站SS发送给基站BS |
100 | 14 | 会话密钥响应 | 由基站BS发送给用户站SS |
99 | 15 | 会话密钥确认 | 由用户站SS发送给基站BS |
其他值 | 保留 |
如此,本发明方案通过利用IEEE 802.16中的预留字段,并对IEEE 802.16协议进行扩展,有效实现了WMAN-SA协议与WiMAX设备的有效融合,以最小的代价实现了WiMAX设备同时支持WMAN-SA协议和IEEE 802.16协议,从而在后续利用过程中,便于无线城域网在不同的安全协议(如IEEE 802.16支持的PKM和WMAN-SA协议)之间的切换,灵活、方便。
在进行上述各种配置后,用户站SS、基站BS之间的基本能力协商、安全接入身份鉴别、会话密钥协商过程可以是与申请号为200810027930.0的专利申请中所公开的方式相同,包括:
基站BS和用户站SS在经过初始测距同步之后,开始基本能力协商过程,基本能力协商过程包括有:
用户站SS向基站BS发送基本能力协商请求消息,其中,若当前用户站SS是基于IEEE 802.16d协议的WiMAX设备,则在该基本能力协商请求消息中,支持的TLV类型为16的认证策略字段的比特3的值置为1,表示选择基于WMAN-SA协议的认证策略,并在扩展的TLV类型为253、254的WMAN-SA安全能力信息字段中分别写入WMAN-SA协议版本信息、WMAN-SA策略信息,若当前用户站SS是基于IEEE 802.16e协议的WiMAX设备,则在该基本能力协商请求消息中,支持的TLV类型为25.2的认证策略字段的比特3、比特7的值置为1,表示选择基于WMAN-SA协议的认证策略,并在扩展的TLV类型为25.9、25.10的WMAN-SA安全能力信息字段中分别写入WMAN-SA协议版本信息、WMAN-SA策略信息;
基站BS接收基本能力协商请求消息后,根据基站BS的能力进行协商,并构造基本能力协商响应消息,将该基本能力协商响应消息发送给用户站SS,其中,如果基站BS也支持WMAN-SA协议的认证策略且所支持的WMAN-SA协议版本和WMAN-SA策略信息相容,那么,如果当前基站BS是基于IEEE802.16d协议的WiMAX设备,则在该基本能力协商响应消息中,支持的TLV类型为16的认证策略字段的比特3的值置为1,表示选择基于WMAN-SA协议的认证策略,并在扩展的TLV类型为253、254的WMAN-SA安全能力信息字段中分别写入WMAN-SA协议版本信息、WMAN-SA策略信息,若当前基站BS是基于IEEE 802.16e协议的WiMAX设备,则在该基本能力协商响应消息中,支持的TLV类型为25.2的认证策略字段的比特3、比特7的值置为1,表示选择基于WMAN-SA协议的认证策略,并在扩展的TLV类型为25.9、25.10的WMAN-SA安全能力信息字段中分别写入WMAN-SA协议版本信息、WMAN-SA策略信息;
在完成上述基本能力协商过程之后,即可进入后续的安全接入身份鉴别过程,具体包括:
基站BS向用户站SS发送接入鉴别激活消息,该接入鉴别激活消息采用上述WMAN-SA-RSP的消息格式进行封装,即管理消息类型为100,其中WMAN-SA消息类型为接入鉴别激活消息,即消息数据类型值为3,消息数据包括有:基站BS的签名证书、基站BS的消息签名等;
用户站SS接收到接入鉴别激活消息后,使用基站BS的签名证书公钥对接入鉴别激活消息的签名进行验证,若验证通过,则向基站BS发送接入鉴别请求消息,该接入鉴别请求消息采用上述WMAN-SA-REQ的消息格式进行封装,即管理消息类型为99,其中WMAN-SA消息类型为接入鉴别请求消息,即消息数据类型为4,消息数据包括有:用户站SS的签名证书、用户站SS的加密证书、用户站SS的消息签名等,用户站SS的消息签名是用户站SS使用签名证书私钥对加密证书、签名证书的签名;
基站BS接收到接入鉴别请求消息后,使用用户站SS的签名证书公钥对接入鉴别请求消息的消息签名进行验证,若验证通过,则基站BS向认证服务器AS发送证书鉴别请求消息,该消息可封装成UDP进行发送,消息数据包括有:用户站SS的签名证书、用户站SS的加密证书、基站BS的签名证书、基站BS的消息签名等,基站BS的消息签名是基站BS使用签名证书私钥对所发送的消息的签名;
认证服务器AS接收到证书鉴别请求消息后,使用基站BS的签名证书公钥验证基站BS的消息签名,若验证通过,则构造证书鉴别响应消息并发送给基站BS,该消息可封装成UDP进行发送,消息数据包括有:用户站SS的签名证书验证结果、用户站SS的加密证书验证结果、基站BS的签名证书验证结果、认证服务器AS的消息签名等;
基站BS接收到证书鉴别响应消息后,使用认证服务器AS签名证书公钥验证认证服务器AS的消息签名,若验证通过,则根据证书鉴别响应消息判断用户站SS的合法性,若用户站SS合法,就生成授权密钥材料,使用用户站SS的加密证书公钥加密授权密钥材料,向用户站SS发送接入鉴别响应消息,该接入鉴别响应消息采用WMAN-SA-RSP的消息格式进行封装,即管理消息类型为100,WMAN-SA消息类型为接入鉴别响应消息,即消息数据类型为7,消息数据包括有:用户站SS的签名证书验证结果、用户站SS的加密证书验证结果、基站BS的签名证书验证结果、认证服务器AS的消息签名、更新的授权密钥信息、加密的授权密钥材料、基站BS的消息签名等,其中,授权密钥信息可包括密钥有效期、密钥索引、使用授权密钥的密码学算法等,用于推导出授权密钥(AK),基站BS发送的授权密钥材料是基站BS根据授权密钥信息产生的;
用户站SS接收到接入鉴别响应消息后,使用基站BS的签名证书公钥验证基站BS的消息签名,使用认证服务器AS的签名证书公钥验证认证服务器AS的消息签名,若验证通过,根据接入鉴别响应消息判断基站BS的合法性,若基站BS合法,就使用用户站SS的加密证书私钥解密授权密钥材料,向基站BS发送接入鉴别确认消息,该接入鉴别确认消息采用WMAN-SA-REQ的消息格式进行封装,即管理消息类型为99,WMAN-SA消息类型为接入鉴别确认消息,即管理消息类型为8,消息数据包括有:更新的授权密钥信息、消息鉴别码,其中,消息鉴别码用于检验所发送的数据的完整性;
基站BS接收到接入鉴别确认消息后,根据接入鉴别确认消息的消息鉴别码校验数据完整性,若校验通过就启用更新的授权密钥,否则解除与用户站SS的连接。
基站BS与用户站SS完成上述安全接入身份鉴别过程之后,即可开始会话密钥协商过程,该过称与申请号为200810027930.0的专利申请中所公开的相同,具体表现在:
基站BS会话密钥需要更新时,向用户站SS发送会话密钥通告消息,该会话密钥通告消息采用WMAN-SA-RSP的消息格式进行封装,即管理消息类型为100,WMAN-SA消息类型为会话密钥通告消息,即消息数据类型为12,消息数据包括有:基站BS的签名证书以及消息鉴别码;
用户站SS接收到会话密钥通告消息后,验证会话密钥通告消息的消息鉴别码,若验证失败就丢弃该会话密钥通告消息,否则,就构建会话密钥请求消息,向基站BS发送会话密钥请求消息,该会话密钥请求消息采用WMAN-SA-REQ的消息格式进行封装,即管理消息类型为99,WMAN-SA消息类型为会话密钥请求消息,即消息数据类型为13,消息内容包括有:用户站SS随机数、会话密钥安全信息、消息鉴别码等;
基站BS接收到会话密钥请求消息后,向用户站SS发起会话密钥响应消息,该会话密钥响应消息采用WMAN-SA-RSP的消息格式进行封装,即管理消息类型为100,WMAN-SA消息类型为会话密钥响应消息,即消息数据类型为14,消息内容包括有:用户站SS随机数、基站BS随机数、需要更新的会话密钥信息、消息鉴别码等;
用户站SS接收到会话密钥响应消息后,根据授权密钥、基站BS随机数和用户站SS随机数生成新的会话密钥,构造会话密钥确认消息发送给基站BS,该会话密钥确认消息采用WMAN-SA-REQ的消息格式进行封装,即管理消息类型为99,WMAN-SA消息类型为会话密钥确认消息,即消息数据类型为100,消息内容包括有:基站BS随机数、用户站SS随机数、已更新的会话密钥信息、消息鉴别码等;
基站BS接收到会话密钥确认消息后,根据新的会话密钥更新会话密钥信息,启用新的会话密钥。从而完成会话密钥协商过程,建立了安全会话通道。
根据上述本发明的WMAN-SA协议与WiMAX设备融合的方法,本发明还提供一种无线城域网系统,在本发明的无线城域网系统中,包括有用户站SS、基站BS、以及认证服务器AS。
图1是本发明的无线城域网系统的结构示意图,如图所示,本发明方案中的用户站SS包括:
第一基本能力协商模块,用于生成基本能力协商请求消息,并将该基本能力协商请求消息向第一数据收发模块发送,在该基本能力协商请求消息所支持的认证策略字段中,采用预设的特定比特位的值标识该用户站SS是否支持WMAN-SA协议;
第一WMAN-SA协议处理模块,用于通过所述第一数据收发模块完成与所述基站BS、认证服务器AS的基于WMAN-SA协议的安全接入身份鉴别过程和会话密钥协商过程,在该安全接入身份鉴别和会话密钥协商过程中,采用预设的第一新管理消息类型来描述由用户站SS向基站BS发送的基于WMAN-SA协议的消息;
第一数据收发模块,用于将所述基本能力协商请求消息向基站BS发送,接收基站BS发送的基本能力协商响应消息并将该基本能力协商请求消息向第一基本能力协商模块转发,并实现与基站BS的安全接入身份鉴别和会话密钥协商过程中的消息交互;
本发明方案中的基站BS包括:
第二数据收发模块,用于接收所述基本能力协商请求消息并将该基本能力协商请求消息向第二WMAN-SA协议处理模块转发,接收第二基本能力协商模块发送的基本能力协商响应消息并向所述用户站SS转发,并实现与用户站SS的安全接入身份鉴别和会话密钥协商过程中的消息交互;
第二基本能力协商模块,用于接收所述第二数据收发模块转发的基本能力协商请求消息,生成基本能力协商响应消息,并将该基本能力协商响应消息向第二数据收发模块发送,在该基本能力协商响应消息所支持的认证策略字段中,采用预设的特定比特位的值标识能力协商后是否采用WMAN-SA协议完成安全接入身份鉴别和会话密钥协商过程;
第二WMAN-SA协议处理模块,用于通过所述第二数据收发模块完成与所述用户站SS、认证服务器AS的基于WMAN-SA协议的安全接入身份鉴别过程,在该安全接入身份鉴别和会话密钥协商过程中,采用预设的第二新管理消息类型来描述由基站BS向用户站SS发送的基于WMAN-SA协议的消息。
其中,上述特定比特位的值的设定可以参考与上述方法中的相同的方式,即:
第一基本能力协商模块采用预设的特定比特位的值标识该用户站SS是否支持WMAN-SA协议的方式可以是:若所述WiMAX设备为基于IEEE 802.16d协议的设备,在该基本能力协商请求消息所支持的TLV类型为16的认证策略字段中,比特3的值标识在接入网络时用户站SS是否支持WMAN-SA协议;若所述WiMAX设备为基于IEEE 802.16e协议的设备,在该基本能力协商请求消息所支持的TLV类型为25.2的认证策略字段中,比特3的值标识在接入网络时用户站SS是否支持WMAN-SA协议;
第二基本能力协商模块采用预设的特定比特位的值标识能力协商后是否采用WMAN-SA协议完成安全接入身份鉴别和会话密钥协商过程的方式可以是:若所述WiMAX设备为基于IEEE 802.16d协议的设备,在该基本能力协商响应消息所支持的TLV类型为16的认证策略字段中,比特3的值标识在接入网络时是否采用WMAN-SA协议完成安全接入身份鉴别和会话密钥协商过程;若所述WiMAX设备为基于IEEE 802.16e协议的设备,在该基本能力协商响应消息所支持的TLV类型为25.2的认证策略字段中,比特3的值标识在接入网络时是否采用WMAN-SA协议完成安全接入身份鉴别和会话密钥协商过程。
上述第一新管理消息类型、第二新管理消息类型可以从预留的70~255中任意选择两个,以标识是从用户站SS向基站BS发送的消息、以及从基站BS向用户站SS发送的消息,在本发明的一个实际应用方案中,第一新管理消息类型的值选用为99,第二新管理消息类型的值选用100。
此外,若所述WiMAX设备为基于IEEE 802.16e协议的设备,在该基本能力协商请求消息所支持的TLV类型为25.2的认证策略字段中,比特7的值标识在重新接入网络时用户站SS是否支持WMAN-SA协议;在该基本能力协商响应消息所支持的TLV类型为25.2的认证策略字段中,比特7的值标识在重新接入网络时是否采用WMAN-SA协议。
此外,用户站SS的第一基本能力协商模块在生成的基本能力协商请求消息中,还对信息类型字段予以扩充,以写入该用户站SS所支持的安全能力信息,相应地,基站BS的第二基本能力协商模块在生成的基本能力响应消息中,也对信息类型字段予以扩充,以写入该基站BS和用户站SS协商后的安全能力信息,具体可以是:
若所述WiMAX设备为基于IEEE 802.16d协议的设备,在该基本能力协商请求消息所支持的TLV类型为253和254的WMAN-SA安全能力信息字段中,分别包括有该用户站SS所支持的WMAN-SA协议版本信息、该用户站SS所使用的WMAN-SA策略信息,在该基本能力协商响应消息所支持的TLV类型为253和254的WMAN-SA安全能力信息字段中,分别包括有该基站BS和用户站SS协商后的WMAN-SA协议版本信息、该基站BS和用户站SS协商后的WMAN-SA策略信息;
若所述WiMAX设备为基于IEEE 802.16e协议的设备,在该基本能力协商请求消息所支持的TLV类型为25.9和25.10的WMAN-SA安全能力信息字段中,分别包括有该用户站SS所支持的WMAN-SA协议版本信息、该用户站SS所使用的WMAN-SA策略信息,在该基本能力协商响应消息所支持的TLV类型为25.9和25.10的WMAN-SA安全能力信息字段中,分别包括有该基站BS和用户站SS协商后的WMAN-SA协议版本信息、该基站BS和用户站SS协商后的WMAN-SA策略信息。
另外,所述第一WMAN-SA协议处理模块生成的第一新管理消息类型对应的管理消息数据包括第一消息索引和第一消息数据,第一消息数据为TLV结构,第一消息数据的内容由第一消息数据的类型的值确定:
若第一消息数据的类型的值为4,该第一消息数据为接入鉴别请求消息;
若第一消息数据的类型的值为8,该第一消息数据为接入鉴别确认消息;
若第一消息数据的类型的值为13,该第一消息数据为会话密钥请求消息;
若第一消息数据的类型的值为15,该第一消息数据为会话密钥确认消息;
所述第二WMAN-SA协议处理模块生成的第二新管理消息类型对应的管理消息数据包括第二消息索引和第二消息数据,第二消息数据为TLV结构,第二消息数据的内容由第二消息数据的类型的值确定:
若第二消息数据的类型的值为3,该第二消息数据为接入鉴别激活消息;
若第二消息数据的类型的值为7,该第二消息数据为接入鉴别响应消息;
若第二消息数据的类型的值为12,该第二消息数据为会话密钥通告消息;
若第二消息数据的类型的值为14,该第二消息数据为会话密钥响应消息。
在进行上述各种配置后,本发明的无线城域网系统中用户站SS、基站BS之间的基本能力协商、安全接入身份鉴别、会话密钥协商过程可以参考申请号为200810027930.0的专利申请中所公开的方式,包括:
基站BS和用户站SS在经过初始测距同步之后,开始基本能力协商过程,基本能力协商过程包括有:
用户站SS的第一基本能力协商模块生成基本能力协商请求消息,并将该基本能力协商请求消息向第一数据收发模块发送,其中,若当前用户站SS是基于IEEE 802.16d协议的WiMAX设备,则在该基本能力协商请求消息中,支持的TLV类型为16的认证策略字段的比特3的值置为1,表示选择基于WMAN-SA协议的认证策略,并在扩展的TLV类型为253、254的WMAN-SA安全能力信息字段中分别写入WMAN-SA协议版本信息、WMAN-SA策略信息,若当前用户站SS是基于IEEE 802.16e协议的WiMAX设备,则在该基本能力协商请求消息中,支持的TLV类型为25.2的认证策略字段的比特3、比特7的值置为1,表示选择基于WMAN-SA协议的认证策略,并在扩展的TLV类型为25.9、25.10的WMAN-SA安全能力信息字段中分别写入WMAN-SA协议版本信息、WMAN-SA策略信息;
用户站SS的第一数据收发模块接收到上述基本能力协商请求消息,并将该基本能力协商请求消息向基站BS发送;
基站BS的第二数据收发模块接收基本能力协商请求消息后,识别出该基本能力协商请求消息的类型为26,即为由用户站SS向基站BS发送的基本能力协商请求消息,因此将其转发给第二基本能力协商模块进行处理;
基站BS的第二基本能力协商模块接收到第二数据收发模块转发的基本能力协商请求消息后,根据基站BS的能力进行协商,协商成功后,构造基本能力协商响应消息,并将该基本能力协商响应消息发送给第二数据收发模块,其中,如果基站BS也支持WMAN-SA协议的认证策略且所支持的WMAN-SA协议版本和WMAN-SA策略信息与用户站SS的相容,那么,如果当前基站BS是基于IEEE 802.16d协议的WiMAX设备,则在该基本能力协商响应消息中,支持的TLV类型为16的认证策略字段的比特3的值置为1,表示选择基于WMAN-SA协议的认证策略,并在扩展的TLV类型为253、254的WMAN-SA安全能力信息字段中分别写入WMAN-SA协议版本信息、WMAN-SA策略信息,若当前基站BS是基于IEEE 802.16e协议的WiMAX设备,则在该基本能力协商响应消息中,支持的TLV类型为25.2的认证策略字段的比特3、比特7的值置为1,表示选择基于WMAN-SA协议的认证策略,并在扩展的TLV类型为25.9、25.10的WMAN-SA安全能力信息字段中分别写入WMAN-SA协议版本信息、WMAN-SA策略信息;
基站BS的第二数据收发模块接收到该基本能力协商响应消息后,将该基本能力协商响应消息发送给用户站SS;
然后,基站BS的第二基本能力协商模块通知第二WMAN-SA协议模块开始安全接入身份鉴别过程,该安全接入身份鉴别过程具体可以包括:
基站BS的第二WMAN-SA协议处理模块生成接入鉴别激活消息,并将该接入鉴别激活消息发送给第二数据收发模块,该接入鉴别激活消息采用上述WMAN-SA-RSP的消息格式进行封装,即管理消息类型为100,其中WMAN-SA消息类型为接入鉴别激活消息,即消息数据类型为3,消息数据包括有:基站BS的签名证书、基站BS的消息签名等;
基站BS的第二数据收发模块接收到该接入鉴别激活消息后,转发给用户站SS;
用户站SS的第一数据收发模块接收到接入鉴别激活消息后,识别出管理消息类型为100,即是由基站BS向用户站SS发送的基于WMAN-SA协议的消息,因此将该接入鉴别激活消息转发给第一WMAN-SA协议处理模块进行处理;
用户站SS的该第一WMAN-SA协议处理模块接收到第一数据收发模块转发的该接入鉴别激活消息后,使用基站BS的签名证书公钥对接入鉴别激活消息的签名进行验证,若验证通过,则生成接入鉴别请求消息,并将该接入鉴别请求消息发送给第一数据收发模块,该接入鉴别请求消息采用上述WMAN-SA-REQ的消息格式进行封装,即消息管理类型为99,其中WMAN-SA消息类型为接入鉴别请求消息,即消息数据类型为4,消息数据包括有:用户站SS的签名证书、用户站SS的加密证书、用户站SS的消息签名等,用户站SS的消息签名是用户站SS使用签名证书私钥对加密证书、签名证书的签名;
用户站SS的第一数据收发模块接收到该接入鉴别激活消息后,转发给基站BS;
基站BS的第二数据收发模块接收到接入鉴别请求消息后,识别出管理消息类型为99,即是由用户站SS向基站BS发送的基于WMAN-SA协议的消息,因此将该接入鉴别请求消息转发给第二WMAN-SA协议处理模块进行处理;
基站BS的该第二WMAN-SA协议处理模块接收到第二数据收发模块转发的该接入鉴别请求消息后,使用用户站SS的签名证书公钥对接入鉴别请求消息的消息签名进行验证,若验证通过,则向认证服务器AS发送证书鉴别请求消息,该消息可封装成UDP进行发送,消息数据包括有:用户站SS的签名证书、用户站SS的加密证书、基站BS的签名证书、基站BS的消息签名等,基站BS的消息签名是基站BS使用签名证书私钥对所发送的消息的签名;
认证服务器AS接收到证书鉴别请求消息后,使用基站BS的签名证书公钥验证基站BS的消息签名,若验证通过,则构造证书鉴别响应消息并发送给基站BS,该消息可封装成UDP进行发送,消息数据包括有:用户站SS的签名证书验证结果、用户站SS的加密证书验证结果、基站BS的签名证书验证结果、认证服务器AS的消息签名等;
基站BS的第二WMAN-SA协议处理模块接收到证书鉴别响应消息后,使用认证服务器AS签名证书公钥验证认证服务器AS的消息签名,若验证通过,则根据证书鉴别响应消息判断用户站SS的合法性,若用户站SS合法,就生成授权密钥材料,使用用户站SS的加密证书公钥加密授权密钥材料,构造接入鉴别响应消息,并将该接入鉴别响应消息发送给第二数据收发模块,该接入鉴别响应消息采用WMAN-SA-RSP的消息格式进行封装,即管理消息类型为100,WMAN-SA消息类型为接入鉴别响应消息,即消息数据类型为7,消息数据包括有:用户站SS的签名证书验证结果、用户站SS的加密证书验证结果、基站BS的签名证书验证结果、认证服务器AS的消息签名、更新的授权密钥信息、加密的授权密钥材料、基站BS的消息签名等,其中,授权密钥信息可包括密钥有效期、密钥索引、使用授权密钥的密码学算法等,用于推导出授权密钥(AK),基站BS发送的授权密钥材料是基站BS根据授权密钥信息产生的;
基站BS的第二数据收发模块接收到该接入鉴别响应消息后,将该接入鉴别响应消息转发给用户站SS;
用户站SS的第一数据收发模块接收到接入鉴别响应消息后,识别出该接入鉴别响应消息的管理消息类型为100,即是由基站BS向用户站SS发送的基于WMAN-SA协议的消息,因此转发给第一WMAN-SA协议处理模块进行处理;
用户站的该第一WMAN-SA协议处理模块接收到第一数据收发模块转发的该接入鉴别响应消息后,使用基站BS的签名证书公钥验证基站BS的消息签名,使用认证服务器AS的签名证书公钥验证认证服务器AS的消息签名,若验证通过,根据接入鉴别响应消息判断基站BS的合法性,若基站BS合法,就使用用户站SS的加密证书私钥解密授权密钥材料,构造接入鉴别确认消息,并将该接入鉴别确认消息发送给第一数据收发模块,该接入鉴别确认消息采用WMAN-SA-REQ的消息格式进行封装,即管理消息类型为99,WMAN-SA消息类型为接入鉴别确认消息,即消息数据类型为8,消息数据包括有:更新的授权密钥信息、消息鉴别码,其中,消息鉴别码用于检验所发送的数据的完整性;
用户站的第一数据收发模块接收到该接入鉴别确认消息后,转发给基站BS;
基站BS的第二数据收发模块接收到接入鉴别确认消息后,识别出该接入鉴别确认消息的管理消息类型为99,即是由用户站SS向基站BS发送的基于WMAN-SA协议的消息,因此转发给第二WMAN-SA协议处理模块进行处理,;
基站BS的该第二WMAN-SA协议处理模块根据接入鉴别确认消息的消息鉴别码校验数据完整性,若校验通过就启用更新的授权密钥,否则解除与用户站SS的连接。
基站BS与用户站SS完成上述安全接入身份鉴别过程之后,即可开始会话密钥协商过程,该过程可以参考申请号为200810027930.0的专利申请中所公开的方式,具体表现在:
基站BS的第二WMAN-SA协议处理模块在会话密钥需要更新时,生成会话密钥通告消息,并将该会话密钥通告消息发送给第二数据收发模块,该会话密钥通告消息采用WMAN-SA-RSP的消息格式进行封装,即管理消息类型为100,WMAN-SA消息类型为会话密钥通告消息,即消息数据类型为12,消息数据包括有:基站BS的签名证书以及消息鉴别码;
基站BS的第二数据收发模块接收到上述会话密钥通告消息后,转发给用户站SS;
用户站SS的第一数据收发模块接收到会话密钥通告消息后,识别出其管理消息类型为100,即是由基站BS向用户站SS发送的基于WMAN-SA协议的消息,因此转发给第一WMAN-SA协议处理模块进行处理;
用户站SS的该第一WMAN-SA协议处理模块接收到第一数据收发模块转发的该会话密钥通告消息后,验证该会话密钥通告消息的消息鉴别码,若验证失败就丢弃该会话密钥通告消息,否则,就构建会话密钥请求消息,并将该会话密钥请求消息发送给第一数据收发模块,该会话密钥请求消息采用WMAN-SA-REQ的消息格式进行封装,即管理消息类型为99,WMAN-SA消息类型为会话密钥请求消息,即消息数据类型为13,消息内容包括有:用户站SS随机数、会话密钥安全信息、消息鉴别码等;
用户站SS的第一数据收发模块接收到该会话密钥请求消息后,转发给基站BS;
基站BS的第二数据收发模块接收到会话密钥请求消息后,识别出其管理消息类型为99,即是由用户站SS向基站BS发送的基于WMAN-SA协议的消息,因此转发给第二WMAN-SA协议处理模块进行处理;
基站BS的该第二WMAN-SA协议处理模块接收到第二数据收发模块转发的该会话密钥请求消息后,生成会话密钥响应消息,并将该会话密钥响应消息发送给第二数据收发模块,该会话密钥响应消息采用WMAN-SA-RSP的消息格式进行封装,即管理消息数据类型为100,WMAN-SA消息类型为会话密钥响应消息,即消息数据类型为14,消息内容包括有:用户站SS随机数、基站BS随机数、需要更新的会话密钥信息、消息鉴别码等;
基站BS的第二数据收发模块接收到该会话密钥响应消息后,转发给用户站SS;
用户站SS的第一数据收发模块接收到会话密钥响应消息后,识别出其管理消息类型为100,即是由基站BS向用户站SS发送的基于WMAN-SA协议的消息,因此转发给第一WMAN-SA协议处理模块进行处理;
用户站SS的该第一WMAN-SA协议处理模块接收到第一数据收发模块转发的该会话密钥响应消息后,根据授权密钥、基站BS随机数和用户站SS随机数生成新的会话密钥,构造会话密钥确认消息,并将该会话密钥确认消息发送给第一数据收发模块,该会话密钥确认消息采用WMAN-SA-REQ的消息格式进行封装,即管理消息类型为99,WMAN-SA消息类型为会话密钥确认消息,即消息数据类型为15,消息内容包括有:基站BS随机数、用户站SS随机数、已更新的会话密钥信息、消息鉴别码等;
用户站SS的第一数据收发模块接收到该会话密钥确认消息后,转发给基站BS;
基站BS的第二数据收发模块接收到会话密钥确认消息后,识别出其管理消息类型为99,即是由用户站SS向基站BS发送的基于WMAN-SA协议的消息,因此转发给第二WMAN-SA协议处理模块;
基站的该第二WMAN-SA协议处理类模块接收到第二数据收发模块发送的该会话密钥确认消息后,根据新的会话密钥更新会话密钥信息,启用新的会话密钥。从而完成会话密钥协商过程,建立了安全会话通道。
其中,在本发明方案的该无线城域网系统中,对消息的定义、封装方式与上述融合方法中的相同,在此不予赘述。
以上所述的本发明实施方式,并不构成对本发明保护范围的限定。任何在本发明的精神和原则之内所作的修改、等同替换和改进等,均应包含在本发明的权利要求保护范围之内。
Claims (10)
1.一种WMAN-SA协议与WiMAX设备融合的方法,所述WiMAX设备为基于IEEE 802.16协议的WiMAX设备,其特征在于,包括步骤:
用户站SS向基站BS发送基本能力协商请求消息,在该基本能力协商请求消息所支持的认证策略字段中,采用预设的特定比特位的值标识该用户站SS是否支持WMAN-SA协议;
基站BS接收所述基本能力协商请求消息,向用户站SS发送基本能力协商响应消息,在该基本能力协商响应消息所支持的认证策略字段中,采用预设的特定比特位的值标识能力协商后是否采用WMAN-SA协议完成安全接入身份鉴别和会话密钥协商过程;
基站BS与用户站SS完成基于WMAN-SA协议的安全接入身份鉴别和会话密钥协商过程,在该安全接入身份鉴别和会话密钥协商过程中,用户站SS采用预设的第一新管理消息类型来描述由用户站SS向基站BS发送的基于WMAN-SA协议的消息,基站BS采用预设的第二新管理消息类型来描述由基站BS向用户站SS发送的基于WMAN-SA协议的消息。
2.根据权利要求1所述的WMAN-SA协议与WiMAX设备融合的方法,其特征在于:
所述采用预设的特定比特位的值标识该用户站SS是否支持WMAN-SA协议的方式包括:当所述WiMAX设备为基于IEEE 802.16d协议的设备时,在该基本能力协商请求消息所支持的TLV类型为16的认证策略字段中,比特3的值标识在接入网络时用户站SS是否支持WMAN-SA协议;当所述WiMAX设备为基于IEEE 802.16e协议的设备时,在该基本能力协商请求消息所支持的TLV类型为25.2的认证策略字段中,比特3的值标识在接入网络时用户站SS是否支持WMAN-SA协议;
所述采用预设的特定比特位的值标识能力协商后是否采用WMAN-SA协议完成安全接入身份鉴别和会话密钥协商过程的方式包括:当所述WiMAX设备为基于IEEE 802.16d协议的设备时,在该基本能力协商响应消息所支持的TLV类型为16的认证策略字段中,比特3的值标识在接入网络时是否采用WMAN-SA协议完成安全接入身份鉴别和会话密钥协商过程;当所述WiMAX设备为基于IEEE 802.16e协议的设备时,在该基本能力协商响应消息所支持的TLV类型为25.2的认证策略字段中,比特3的值标识在接入网络时是否采用WMAN-SA协议完成安全接入身份鉴别和会话密钥协商过程。
3.根据权利要求1所述的WMAN-SA协议与WiMAX设备融合的方法,其特征在于:所述第一新管理消息类型的值为99;所述第二新管理消息类型的值为100。
4.根据权利要求1或2或3所述的WMAN-SA协议与WiMAX设备融合的方法,其特征在于:
当所述WiMAX设备为基于IEEE 802.16e协议的设备时,在该基本能力协商请求消息所支持的TLV类型为25.2的认证策略字段中,比特7的值标识在重新接入网络时用户站SS是否支持WMAN-SA协议;在该基本能力协商响应消息所支持的TLV类型为25.2的认证策略字段中,比特7的值标识在重新接入网络时是否采用WMAN-SA协议。
5.根据权利要求1或2或3所述的WMAN-SA协议与WiMAX设备融合的方法,其特征在于:
当所述WiMAX设备为基于IEEE 802.16d协议的设备时,在该基本能力协商请求消息所支持的TLV类型为253和254的WMAN-SA安全能力信息字段中,分别包括有该用户站SS所支持的WMAN-SA协议版本信息、该用户站SS所使用的WMAN-SA策略信息,在该基本能力协商响应消息所支持的TLV类型为253和254的WMAN-SA安全能力信息字段中,分别包括有能力协商后的该基站BS和用户站SS的WMAN-SA协议版本信息、能力协商后的该基站BS和用户站SS的WMAN-SA策略信息;
当所述WiMAX设备为基于IEEE 802.16e协议的设备时,在该基本能力协商请求消息所支持的TLV类型为25.9和25.10的WMAN-SA安全能力信息字段中,分别包括有该用户站SS所支持的WMAN-SA协议版本信息、该用户站SS所使用的WMAN-SA策略信息,在该基本能力协商响应消息所支持的TLV类型为25.9和25.10的WMAN-SA安全能力信息字段中,分别包括有能力协商后的该基站BS和用户站SS的WMAN-SA协议版本信息、能力协商后的该基站BS和用户站SS的WMAN-SA策略信息。
6.一种无线城域网系统,其特征在于,该无线城域网系统为WMAN-SA协议与WiMAX设备融合的系统,所述WiMAX设备为基于IEEE 802.16协议的WiMAX设备,该无线城域网系统包括用户站SS、基站BS和认证服务器AS:
所述用户站SS包括:
第一基本能力协商模块,用于生成基本能力协商请求消息,并将该基本能力协商请求消息向第一数据收发模块发送,在该基本能力协商请求消息所支持的认证策略字段中,采用预设的特定比特位的值标识该用户站SS是否支持WMAN-SA协议;
第一WMAN-SA协议处理模块,用于通过所述第一数据收发模块完成与所述基站BS、认证服务器AS的基于WMAN-SA协议的安全接入身份鉴别过程和会话密钥协商过程,在该安全接入身份鉴别和会话密钥协商过程中,采用预设的第一新管理消息类型来描述由用户站SS向基站BS发送的基于WMAN-SA协议的消息;
第一数据收发模块,用于将所述基本能力协商请求消息向基站BS发送,接收基站BS发送的基本能力协商响应消息并向第一基本能力协商模块转发,并实现与基站BS的安全接入身份鉴别和会话密钥协商过程中的消息交互;
所述基站BS包括:
第二数据收发模块,用于接收所述基本能力协商请求消息并将该基本能力协商请求消息向第二WMAN-SA协议处理模块转发,接收第二基本能力协商模块发送的基本能力协商响应消息并向所述用户站SS转发,并实现与用户站SS的安全接入身份鉴别和会话密钥协商过程中的消息交互;
第二基本能力协商模块,用于接收所述第二数据收发模块转发的基本能力协商请求消息,生成基本能力协商响应消息,并将该基本能力协商响应消息向第二数据收发模块发送,在该基本能力协商响应消息所支持的认证策略字段中,采用预设的特定比特位的值标识能力协商后是否采用WMAN-SA协议完成安全接入身份鉴别和会话密钥协商过程;
第二WMAN-SA协议处理模块,用于通过所述第二数据收发模块完成与所述用户站SS、认证服务器AS的基于WMAN-SA协议的安全接入身份鉴别过程和会话密钥协商过程,在该安全接入身份鉴别和会话密钥协商过程中,采用预设的第二新管理消息类型来描述由基站BS向用户站SS发送的基于WMAN-SA协议的消息。
7.根据权利要求6所述的无线城域网系统,其特征在于:
所述第一基本能力协商模块采用预设的特定比特位的值标识该用户站SS是否支持WMAN-SA协议的方式包括:若所述WiMAX设备为基于IEEE802.16d协议的设备,在该基本能力协商请求消息所支持的TLV类型为16的认证策略字段中,比特3的值标识在接入网络时用户站SS是否支持WMAN-SA协议;若所述WiMAX设备为基于IEEE 802.16e协议的设备,在该基本能力协商请求消息所支持的TLV类型为25.2的认证策略字段中,比特3的值标识在接入网络时用户站SS是否支持WMAN-SA协议;
所述第二基本能力协商模块采用预设的特定比特位的值标识能力协商后是否采用WMAN-SA协议完成安全接入身份鉴别和会话密钥协商过程的方式包括:若所述WiMAX设备为基于IEEE 802.16d协议的设备,在该基本能力协商响应消息所支持的TLV类型为16的认证策略字段中,比特3的值标识在接入网络时是否采用WMAN-SA协议完成安全接入身份鉴别和会话密钥协商过程;若所述WiMAX设备为基于IEEE 802.16e协议的设备,在该基本能力协商响应消息所支持的TLV类型为25.2的认证策略字段中,比特3的值标识在接入网络时是否采用WMAN-SA协议完成安全接入身份鉴别和会话密钥协商过程。
8.根据权利要求6所述的无线城域网系统,其特征在于:
所述第一新管理消息类型的值为99;所述第二新管理消息类型的值为100。
9.根据权利要求6或7或8所述的无线城域网系统,其特征在于:
若所述WiMAX设备为基于IEEE 802.16e协议的设备,在第一基本能力协商模块中,其生成的基本能力协商请求消息所支持的TLV类型为25.2的认证策略字段中,比特7的值标识在重新接入网络时用户站SS是否支持WMAN-SA协议;在第二基本能力协商模块中,其生成的基本能力协商响应消息所支持的TLV类型为25.2的认证策略字段中,比特7的值标识在重新接入网络时是否采用WMAN-SA协议。
10.根据权利要求6或7或8所述的无线城域网系统,其特征在于:
若所述WiMAX设备为基于IEEE 802.16d协议的设备,在第一基本能力协商模块中,其生成的基本能力协商请求消息所支持的TLV类型为253和254的WMAN-SA安全能力信息字段中,分别包括有该用户站SS所支持的WMAN-SA协议版本信息、该用户站SS所使用的WMAN-SA策略信息;在第二基本能力协商模块中,其生成的基本能力协商响应消息所支持的TLV类型为253和254的WMAN-SA安全能力信息字段中,分别包括有能力协商后的该基站BS和用户站SS的WMAN-SA协议版本信息、能力协商后的该基站BS和用户站SS的WMAN-SA策略信息;
若所述WiMAX设备为基于IEEE 802.16e协议的设备,在第一基本能力协商模块中,其生成的基本能力协商请求消息所支持的TLV类型为25.9和25.10的WMAN-SA安全能力信息字段中,分别包括有该用户站SS所支持的WMAN-SA协议版本信息、该用户站SS所使用的WMAN-SA策略信息;在第二基本能力协商模块中,其生成的基本能力协商响应消息所支持的TLV类型为25.9和25.10的WMAN-SA安全能力信息字段中,分别包括有能力协商后的该基站BS和用户站SS的WMAN-SA协议版本信息、能力协商后的该基站BS和用户站SS的WMAN-SA策略信息。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2009102138053A CN101742511B (zh) | 2009-12-14 | 2009-12-14 | WMAN-SA融合WiMAX设备的方法及无线城域网 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2009102138053A CN101742511B (zh) | 2009-12-14 | 2009-12-14 | WMAN-SA融合WiMAX设备的方法及无线城域网 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN101742511A CN101742511A (zh) | 2010-06-16 |
CN101742511B true CN101742511B (zh) | 2012-06-13 |
Family
ID=42465227
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN2009102138053A Expired - Fee Related CN101742511B (zh) | 2009-12-14 | 2009-12-14 | WMAN-SA融合WiMAX设备的方法及无线城域网 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN101742511B (zh) |
Families Citing this family (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102036237B (zh) * | 2010-12-20 | 2012-12-12 | 广州杰赛科技股份有限公司 | 一种无线城域网的安全接入方法 |
CN102123158A (zh) * | 2011-04-11 | 2011-07-13 | 深圳市同洲软件有限公司 | 一种实现网络数据处理的方法和系统 |
CN102223636B (zh) * | 2011-07-20 | 2013-10-23 | 广州杰赛科技股份有限公司 | 无线城域网安全接入协议的实现方法及系统 |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1588842A (zh) * | 2004-09-30 | 2005-03-02 | 西安西电捷通无线网络通信有限公司 | 一种增强无线城域网安全性的方法 |
CN101272301A (zh) * | 2008-05-07 | 2008-09-24 | 广州杰赛科技股份有限公司 | 一种无线城域网的安全接入方法 |
-
2009
- 2009-12-14 CN CN2009102138053A patent/CN101742511B/zh not_active Expired - Fee Related
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1588842A (zh) * | 2004-09-30 | 2005-03-02 | 西安西电捷通无线网络通信有限公司 | 一种增强无线城域网安全性的方法 |
CN101272301A (zh) * | 2008-05-07 | 2008-09-24 | 广州杰赛科技股份有限公司 | 一种无线城域网的安全接入方法 |
Also Published As
Publication number | Publication date |
---|---|
CN101742511A (zh) | 2010-06-16 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN101783800B (zh) | 一种嵌入式系统安全通信方法、装置及系统 | |
EP2522100B1 (en) | Secure multi-uim authentication and key exchange | |
CN101500229B (zh) | 建立安全关联的方法和通信网络系统 | |
CN102036242B (zh) | 一种移动通讯网络中的接入认证方法和系统 | |
CN109302412B (zh) | 基于CPK的VoIP通信处理方法、终端、服务器及存储介质 | |
KR101549034B1 (ko) | Can에서 데이터의 기밀성과 무결성을 보장하는 방법 | |
CN101340443A (zh) | 一种通信网络中会话密钥协商方法、系统和服务器 | |
CN100373843C (zh) | 一种无线局域网中密钥协商方法 | |
CN101610514B (zh) | 认证方法、认证系统及认证服务器 | |
CN101640886A (zh) | 鉴权方法、重认证方法和通信装置 | |
TW200948160A (en) | Mobile station and base station and method for deriving traffic encryption key | |
JP2000083018A (ja) | 機密を要する情報を最初は機密化されてない通信を用いて伝送するための方法 | |
CN105323754B (zh) | 一种基于预共享密钥的分布式鉴权方法 | |
CA2257429C (en) | Method for group-based cryptographic code management between a first computer unit and group computer units | |
CN101192927B (zh) | 基于身份保密的授权与多重认证方法 | |
CN102413463B (zh) | 填充序列长度可变的无线媒体接入层鉴权和密钥协商方法 | |
CN111147257A (zh) | 身份认证和信息保密的方法、监控中心和远程终端单元 | |
CN101742511B (zh) | WMAN-SA融合WiMAX设备的方法及无线城域网 | |
CN103905209A (zh) | 基于NTRUSign无源光网络接入双向认证的方法 | |
CN104243452A (zh) | 一种云计算访问控制方法及系统 | |
CN101022330A (zh) | 提高密钥管理授权消息安全性的方法和模块 | |
CN1941695B (zh) | 初始接入网络过程的密钥生成和分发的方法及系统 | |
CN103856463A (zh) | 基于密钥交换协议的轻量目录访问协议实现方法和装置 | |
CN113676448A (zh) | 一种基于对称秘钥的离线设备双向认证方法和系统 | |
CN113115309A (zh) | 车联网的数据处理方法、装置、存储介质和电子设备 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20120613 Termination date: 20201214 |
|
CF01 | Termination of patent right due to non-payment of annual fee |