專利名稱:一種識(shí)別重放管理消息的方法
技術(shù)領(lǐng)域:
本發(fā)明涉及到提高無線通信系統(tǒng)安全性的技術(shù),特別涉及到接收端識(shí)別重放管理消息的方法����。
背景技術(shù):
在通信系統(tǒng)中�����,安全性是評(píng)價(jià)一個(gè)通信系統(tǒng)性能優(yōu)劣的重要指標(biāo)�,特別是在無線通信系統(tǒng)中��,由于無線通信系統(tǒng)具有開放性和移動(dòng)性的特點(diǎn)�,使得無線通信系統(tǒng)的安全性顯得尤為重要。
IEEE 802.16d/e系列協(xié)議定義了無線寬帶固定和移動(dòng)接入空中接口部分的協(xié)議標(biāo)準(zhǔn)�����。為了保證空中接口數(shù)據(jù)傳輸?shù)陌踩?��,上述系列協(xié)議定義了一個(gè)安全子層(Privacy Sublayer),用于實(shí)現(xiàn)對(duì)無線通信系統(tǒng)用戶的認(rèn)證�����、密鑰的分發(fā)和管理以及后續(xù)的數(shù)據(jù)加密和認(rèn)證等等��。根據(jù)協(xié)議規(guī)定�����,在認(rèn)證方式上,除了可以使用基于數(shù)字證書的RSA算法(由Rivest��、Shamir����、Adleman開發(fā)的公開密鑰加密算法)實(shí)現(xiàn)移動(dòng)終端(MS)和基站(BS)之間的雙向認(rèn)證之外,還可以使用可擴(kuò)展認(rèn)證協(xié)議(EAP)實(shí)現(xiàn)對(duì)接入用戶的認(rèn)證�。在認(rèn)證完成后,MS和BS還需要通過密鑰管理協(xié)議(PKM)生成��、分發(fā)并管理對(duì)空中接口數(shù)據(jù)進(jìn)行加密的密鑰���,上述PKM過程的結(jié)果就是在MS和BS之間生成一個(gè)用于派生其他密鑰資源的基本密鑰——鑒權(quán)密鑰(AK��,Authorization Key)�����。根據(jù)生成的AK�,MS和BS可以派生出對(duì)數(shù)據(jù)加密或?qū)π帕钕⒄J(rèn)證所使用的密鑰�,從而提高M(jìn)S和BS之間空中接口數(shù)據(jù)傳輸?shù)陌踩浴?br>
上述這種使用AK派生出來的密鑰對(duì)MS和BS之間空中接口數(shù)據(jù)進(jìn)行加密的方法雖然可以提高無線通信系統(tǒng)的安全性,但是無法防止重放攻擊(Replay Attack)�����。所述的重放攻擊是一種常見的網(wǎng)絡(luò)攻擊方法,攻擊者首先截獲在通信雙方在某次交互過程中由其中一方發(fā)送的數(shù)據(jù)包��,并在以后某個(gè)合適的時(shí)機(jī)向該數(shù)據(jù)包的接收端重新發(fā)送截獲的數(shù)據(jù)����,如果在所述數(shù)據(jù)包中沒有包含足夠的信息使接收端能夠判斷出該數(shù)據(jù)包是第一次發(fā)送的數(shù)據(jù)包還是重發(fā)的數(shù)據(jù)包,攻擊者就能夠冒充通信雙方中的一方來欺騙另一方��,以達(dá)到攻擊無線通信系統(tǒng)的目的���。雖然一般的業(yè)務(wù)對(duì)重放攻擊不太敏感��,但是�����,對(duì)于一些重要的管理消息而言,重放攻擊可能會(huì)對(duì)系統(tǒng)造成致命的破壞���。
為此����,IEEE 802.16e在PKM版本2中提供了一種防止管理消息重放攻擊的方法��,該方法通過協(xié)議定義的基于加密的消息認(rèn)證碼(CMAC)的摘要(Digest)實(shí)現(xiàn)防重放攻擊,同時(shí)實(shí)現(xiàn)對(duì)管理消息的認(rèn)證��。在該方法中����,CMACDigest由一個(gè)32位的消息序列號(hào)及一個(gè)CMAC值(CMAC Value)組成,通常情況下�,消息序列號(hào)是在發(fā)送方(MS或BS)遞增變化的序列號(hào),用于標(biāo)識(shí)不同的管理消息���;CMAC Value是用AK派生出來的密鑰對(duì)消息序列號(hào)���、管理消息體以及其他信息進(jìn)行加密后得到的信息摘要,用于管理消息的認(rèn)證�。
在實(shí)際的應(yīng)用中,發(fā)送方在發(fā)送管理消息時(shí)�����,會(huì)首先將CMAC摘要中的消息序列號(hào)遞增某一個(gè)數(shù)值��,例如1���,再將遞增后的消息序列號(hào)與通過加密算法計(jì)算得到的CMAC Value一起作為CMAC Digest發(fā)送給接收方�����。接收方(BS或MS)在接收到該管理消息時(shí)�,一方面根據(jù)消息序列號(hào)判斷所接收的管理消息是否為重放消息;另一方面使用接收端保存的密鑰采用和發(fā)送端一樣的方法計(jì)算CMAC Value����,并與消息中攜帶的CMAC Value比較,從而實(shí)現(xiàn)對(duì)管理消息的認(rèn)證��。
為了保證消息序列號(hào)在一個(gè)AK上下文內(nèi)遞增性及單一性���,可以將消息序列號(hào)作為AK上下文中的一個(gè)屬性�����,這樣���,在MS和BS之間認(rèn)證完成生成新的AK上下文后�,管理消息發(fā)送端的消息序列號(hào)可以自動(dòng)重置為初始值。
通過上述方法�����,接收端可以根據(jù)發(fā)送端所發(fā)送的消息序列號(hào)來避免重放攻擊,但是現(xiàn)有方法并沒有對(duì)接收端如何判斷和處理重放消息進(jìn)行描述�����。
發(fā)明內(nèi)容
為了解決上述技術(shù)問題����,本發(fā)明提供了管理消息的接收端識(shí)別重放管理消息的方法,使所述接收端可以根據(jù)管理消息中的消息序列號(hào)簡(jiǎn)單的判斷出所接收的管理消息是否為重放的管理消息�,從而實(shí)現(xiàn)防重放攻擊的目的。
本發(fā)明所述識(shí)別重放管理消息的方法�,包括a、在產(chǎn)生新的鑒權(quán)密鑰上下文時(shí)�,管理消息的接收端建立消息接收窗,并對(duì)該消息接收窗進(jìn)行初始化��;b��、所述接收端接收管理消息���,從中提取消息序列號(hào)���,并與自身消息接收窗的窗頭值進(jìn)行比較,如果小于所述窗頭值����,則判定接收到的管理消息為重放管理消息�����,丟棄所述該管理消息����,然后返回本步驟�,否則,執(zhí)行步驟c�。
c、接收該管理消息�,并將所述消息序列號(hào)與自身消息接收窗的窗尾值進(jìn)行比較,如果大于所述窗尾值��,則在保持所述消息接收窗窗口大小不變的情況下����,滑動(dòng)所述消息接收窗,令該消息接收窗的窗尾值等于當(dāng)前所接收管理消息的消息序列號(hào)����,然后返回步驟b��;否則,直接返回步驟b�。
步驟a所述初始化為確定所述消息接收窗的窗頭值及窗尾值的初始值及窗口大小。
本發(fā)明所述確定窗頭初始值為確定所述窗頭初始值小于發(fā)送端所設(shè)置的消息序列號(hào)初始值���。
本發(fā)明所述窗尾初始值為窗頭初始值與窗口大小之和減1�����。
本發(fā)明所述窗口大小為系統(tǒng)預(yù)先配置的值或通過信息交換過程由管理消息的發(fā)送端和接收端協(xié)商確定�。
本發(fā)明所述通過信息交換過程由管理消息的發(fā)送端和接收端協(xié)商確定包括a1�����、在基本能力協(xié)商消息中增加消息接收窗窗口大小屬性���。
a2�����、管理消息的接收端發(fā)送攜帶有消息接收窗窗口大小屬性的基本能力協(xié)商請(qǐng)求消息到管理消息的發(fā)送端�,通知管理消息的發(fā)送端自身所支持的消息接收窗的窗口大?����。籥3�、所述發(fā)送端接收到基本能力協(xié)商請(qǐng)求消息,獲知接收端所支持的消息接收窗的窗口大小后�����,返回基本能力協(xié)商響應(yīng)消息到所述接收端��。
本發(fā)明所述管理消息的接收端為移動(dòng)終端��;所述管理消息的發(fā)送端為基站�����。
本發(fā)明所述管理消息中攜帶用于對(duì)管理消息進(jìn)行認(rèn)證的基于加密的消息認(rèn)證碼值����;在執(zhí)行步驟c所述接收管理消息之前進(jìn)一步包括用本地保存的密鑰,采用和發(fā)送端一樣的加密算法計(jì)算另一基于加密的消息認(rèn)證碼值��,并與所接收管理消息中攜帶的基于加密的下行認(rèn)證碼值進(jìn)行比較���,如果一致��,則接著執(zhí)行步驟c�����;否則����,丟棄所接收的管理消息�,直接返回步驟b由此可以看出,本發(fā)明所述的方法通過比較所接收管理消息中攜帶的消息序列號(hào)與所述消息接收窗當(dāng)前窗頭值的大小����,可以通過簡(jiǎn)單的計(jì)數(shù)方式識(shí)別出重放的管理消息,有效地避免重放攻擊���。
另外�,通過設(shè)置合適的消息接收窗窗口大小�,即使在因調(diào)度原因造成管理消息到達(dá)接收端的順序與發(fā)送端發(fā)送的順序不一致的情況下,接收端也能正確接收并處理所述管理消息����。
圖1為本發(fā)明一個(gè)優(yōu)選實(shí)施例所述的識(shí)別重放管理消息的流程圖;圖2為本發(fā)明又一個(gè)優(yōu)選實(shí)施例所述的識(shí)別重放管理消息的流程圖�。
具體實(shí)施例方式
為了解決現(xiàn)有技術(shù)存在的問題�,本發(fā)明提供了一種識(shí)別重放管理消息的方法����,該方法的主要思想是利用滑動(dòng)窗口機(jī)制,在接收端建立一個(gè)消息接收窗���,用于標(biāo)識(shí)接收端當(dāng)前希望接收的管理消息序列號(hào)范圍�����,這樣���,接收端在接收到管理消息后,就可以通過所接收管理消息中的消息序列號(hào)與消息接收窗的關(guān)系來判斷該管理消息是否為重放的管理消息��,從而避免重放攻擊����。
圖1顯示了本發(fā)明一個(gè)優(yōu)選實(shí)施例所述的接收端識(shí)別重放消息的流程圖。如圖1所示�����,該方法主要包括A�����、在產(chǎn)生新的AK上下文時(shí),管理消息的接收端(MS或BS)建立一個(gè)消息接收窗����,并對(duì)該消息接收窗進(jìn)行初始化。
所述的消息接收窗用于表示接收端希望接收的管理消息序列號(hào)的范圍�,通常��,消息接收窗可以使用窗頭值����,窗尾值以及窗口大小三個(gè)參數(shù)來標(biāo)識(shí)。這三個(gè)參數(shù)具有如下關(guān)系窗尾值等于窗頭值與窗口大小之和減1����。為了與協(xié)議定義的消息序列號(hào)表達(dá)方式一致,消息接收窗的窗頭值���、窗尾值也用32位無符號(hào)整數(shù)來表示�,其取值空間為0X00000000~0XFFFFFFFF���。
一般來說�,消息序列號(hào)小于消息接收窗窗頭值的管理消息為已被接收端接收的管理消息,而消息序列號(hào)大于所述消息接收窗窗尾值的管理消息為尚未被接收端接收的管理消息��。因此�,接收端可以簡(jiǎn)單地通過判斷所接收管理消息的消息序列號(hào)是否小于所述的消息接收窗的窗頭值來判斷該管理消息是否為重放消息。
已知在生成新的AK上下文時(shí)�,管理消息發(fā)送端的消息序列號(hào)會(huì)重新置為初始值,因此�����,為了準(zhǔn)確標(biāo)識(shí)已接收管理消息的消息序列號(hào)�,在生成新的AK上下文時(shí),接收端的消息接收窗口也要進(jìn)行相應(yīng)的初始化����。
步驟A所述初始化主要包括確定該消息接收窗的窗頭初始值、窗尾初始值及窗口大小�。其中,為了標(biāo)識(shí)已接收的管理消息���,所確定的窗頭初始值要小于或等于發(fā)送端發(fā)送消息序列號(hào)的初始值��,例如當(dāng)發(fā)送端所設(shè)置的消息序列號(hào)的初始值設(shè)置為0X00000001時(shí)���,所述的窗頭初始值可以設(shè)置為0X00000000����。所述消息接收窗的窗口大小可以根據(jù)系統(tǒng)配置的值預(yù)先確定或者通過信息交換過程由管理消息的發(fā)送端和接收端協(xié)商確定�。在確定了消息接收窗的窗頭值和窗口大小之后,該消息接收窗的窗尾值也就隨之確定了�����。
在本發(fā)明一個(gè)優(yōu)選實(shí)施例中�����,所述消息接收窗的窗口大小的協(xié)商是利用IEEE 802.16e協(xié)議定義基本能力協(xié)商(SBC)消息來實(shí)現(xiàn)的�。具體方法包括A1����、在SBC消息中增加消息接收窗的窗口大小(CMAC_PN_WINDOW_SIZE)屬性。
根據(jù)IEEE 802.16e協(xié)議規(guī)定的屬性格式�,該屬性需要包括三個(gè)部分屬性的類型、屬性的長(zhǎng)度及屬性的值���。其中��,屬性的類型為協(xié)議定義的不同屬性的編碼值�,接收端通過所接收的屬性類型編碼值判斷出所接收的屬性為哪一個(gè)屬性,CMAC_PN_WINDOW_SIZE屬性的類型可以設(shè)置為協(xié)議定義的任意保留值�����;CMAC_PN_WINDOW_SIZE屬性的長(zhǎng)度通常為2個(gè)字節(jié)��;CMAC_PN_WINDOW_SIZE屬性的值就是管理消息交互雙方協(xié)商的消息接收窗的窗口大小���。
A2��、管理消息的接收端發(fā)送攜帶有CMAC_PN_WINDOW_SIZE屬性的SBC請(qǐng)求消息到管理消息的發(fā)送端�����,通過CMAC_PN_WINDOW_SIZE屬性通知管理消息的發(fā)送端自身所支持的消息接收窗的窗口大?����?���;A3����、管理消息的發(fā)送端接收到SBC請(qǐng)求消息后�,獲知接收端所支持的消息接收窗的窗口大小后�����,返回?cái)y帶有CMAC_PN_WINDOW_SIZE屬性的SBC響應(yīng)消息到管理消息的接收端����。
通過上述步驟A1~A3,管理消息的交互雙方����,即移動(dòng)終端和基站通過基本能力協(xié)商消息完成消息接收窗窗口大小的協(xié)商,此后����,移動(dòng)終端和基站都使用該值作為自身消息接收窗窗口的大小����。
為了與目前協(xié)議規(guī)定的協(xié)商流程保持一致,在本發(fā)明的一個(gè)優(yōu)選實(shí)施例中���,將由移動(dòng)終端發(fā)送攜帶有CMAC_PN_WINDOW_SIZE屬性的SBC請(qǐng)求消息到基站�����,通知基站自身所支持的消息接收窗的窗口大?。辉诨窘邮盏皆揝BC請(qǐng)求消息����,獲知移動(dòng)終端所支持的消息接收窗的窗口大小后,返回?cái)y帶有CMAC_PN_WINDOW_SIZE屬性的SBC響應(yīng)消息到移動(dòng)終端����,完成所述消息接收窗窗口大小的協(xié)商,此后��,移動(dòng)終端和基站都將使用該值作為自身消息接收窗窗口的大小���。
在確定了消息接收窗的窗頭值��、窗尾值和窗口大小參數(shù)之后�,接收端就可以利用該消息接收窗接收管理消息了�。
B、在使用所述AK上下文進(jìn)行管理消息交互的過程中�,所述接收端接收到管理消息后,從中提取消息序列號(hào)�,并將該消息序列號(hào)與自身消息接收窗窗頭值進(jìn)行比較,如果小于所述窗頭值,則執(zhí)行步驟C�,否則執(zhí)行步驟D。
C����、判定接收到的管理消息為重放管理消息,并丟棄該管理消息�,然后返回步驟B。
根據(jù)消息接收窗的定義�����,消息序列號(hào)小于消息接收窗口窗頭值的管理消息為已被接收端接收的管理消息���,因此�����,當(dāng)所接收管理消息中攜帶的消息序列號(hào)小于所述窗頭值時(shí)����,接收端可以直接判定該管理消息為重放管理消息����。
D、接收該管理消息����,并將該管理消息中的消息序列號(hào)與所述消息接收窗的窗尾值進(jìn)行比較,如果大于消息接收窗的窗尾值�,則執(zhí)行步驟E;否則��,返回步驟B�����;在該步驟D中����,無論所接收管理消息的消息序列號(hào)是在消息接收窗口內(nèi)部還是大于所述消息接收窗口窗尾值,只要其消息序列號(hào)大于或等于消息接收窗口的窗頭值����,就認(rèn)為該管理消息不是重放管理消息,因此���,接收端應(yīng)當(dāng)接收該管理消息���。
E��、在保持所述消息接收窗窗口大小不變的情況下�����,向前滑動(dòng)所述消息接收窗���,令該消息接收窗的窗尾值等于當(dāng)前所接收管理消息的消息序列號(hào),然后返回步驟B�。
由于在滑動(dòng)所述消息接收窗的過程中保持窗口大小不變,因此該消息接收窗的窗頭值也隨之不斷增大����。
由此可以看出,本實(shí)施例所述的方法在防止重放攻擊的同時(shí)��,通過設(shè)置合適的消息接收窗口大小����,在因調(diào)度原因造成管理消息到達(dá)接收端的順序與發(fā)送端發(fā)送的順序不一致的情況下,接收端也能正確接收處理管理消息�。并且由于使用了消息接收窗,發(fā)送端在重發(fā)的時(shí)候��,不需要修改所發(fā)送管理消息的序列號(hào)以及校驗(yàn)信息�,只要該管理消息的消息序列號(hào)位于消息接收窗內(nèi)�,接收端就可以重新接收����。
為了保證所接收管理消息的準(zhǔn)確性�,管理消息的交互雙方可以使用CMAC Value值對(duì)管理消息進(jìn)行認(rèn)證。本發(fā)明的另一個(gè)優(yōu)選實(shí)施例給出了一種包括對(duì)所接收管理消息進(jìn)行認(rèn)證的重放消息識(shí)別方法�。如圖2所示,該方法主要包括以下步驟A�����、在產(chǎn)生新的AK上下文時(shí)��,管理消息的接收端建立一個(gè)消息接收窗���,并對(duì)該消息接收窗進(jìn)行初始化�;B�����、在使用所述AK上下文進(jìn)行管理消息交互的過程中����,所述接收端接收到管理消息后���,從中提取消息序列號(hào),并將該消息序列號(hào)與自身消息接收窗窗頭值進(jìn)行比較�����,如果小于所述窗頭值�����,則執(zhí)行步驟C����,否則執(zhí)行步驟F;C�����、判定接收到的管理消息為重放管理消息���,并丟棄該管理消息�����,然后返回步驟B�����;F����、用本地保存的密鑰�����,采用和發(fā)送端一樣的加密算法計(jì)算CMACValue��,并與管理消息中攜帶的CMAC Value比較����,如果一致,則執(zhí)行步驟D��,否則����,執(zhí)行步驟G;由于發(fā)送端在發(fā)送所述管理消息之前���,會(huì)用AK派生出來的密鑰對(duì)消息序列號(hào)��、管理消息體以及其他信息進(jìn)行加密���,得到CMAC Value后����,再將CMAC Value與消息序列號(hào)組合為CMAC摘要�����,與管理消息一起發(fā)送給接收端���,因此�����,接收端所接收的管理消息中還將攜帶有用于對(duì)管理消息進(jìn)行認(rèn)證的CMAC Value�;D��、接收該管理消息�,并將該管理消息中的消息序列號(hào)與所述消息接收窗的窗尾值進(jìn)行比較,如果大于消息接收窗的窗尾值�����,則執(zhí)行步驟E;否則��,返回步驟B����;E、在保持所述消息接收窗窗口大小不變的情況下��,向前滑動(dòng)所述消息接收窗���,令該消息接收窗的窗尾值等于當(dāng)前所接收管理消息的消息序列號(hào),然后返回步驟B����;G、丟棄所接收的管理消息����,然后返回步驟B。
比較以上兩個(gè)實(shí)施例�����,圖2所示的方法與圖1所示的方法相比,基本相同(兩個(gè)圖中使用相同附圖標(biāo)記標(biāo)識(shí)的步驟是相同的)��,不同之處僅在于�����,接收端在接收到非重放管理消息時(shí)����,不執(zhí)行步驟D,而首先根據(jù)接收的CMAC Value對(duì)所接收管理消息進(jìn)行認(rèn)證�����,在認(rèn)證通過后才執(zhí)行步驟D�,而在認(rèn)證不通過時(shí),丟棄所接收的管理消息����。
從上述過程可以看出,圖2所示的方法除了具有與圖1所示實(shí)施例相同的優(yōu)點(diǎn)�,還可以保證接收管理消息的準(zhǔn)確性。
權(quán)利要求
1.一種識(shí)別重放管理消息的方法���,其特征在于���,所述方法包括a���、在產(chǎn)生新的鑒權(quán)密鑰上下文時(shí),管理消息的接收端建立消息接收窗���,并對(duì)該消息接收窗進(jìn)行初始化�;b���、所述接收端接收管理消息�����,從中提取消息序列號(hào),并與自身消息接收窗的窗頭值進(jìn)行比較�����,如果小于所述窗頭值����,則判定接收到的管理消息為重放管理消息,丟棄所述該管理消息�,然后返回本步驟,否則,執(zhí)行步驟c���;c���、接收該管理消息,并將所述消息序列號(hào)與自身消息接收窗的窗尾值進(jìn)行比較���,如果大于所述窗尾值�,則在保持所述消息接收窗窗口大小不變的情況下���,滑動(dòng)所述消息接收窗�����,令該消息接收窗的窗尾值等于當(dāng)前所接收管理消息的消息序列號(hào)�����,然后返回步驟b���;否則,直接返回步驟b���。
2.如權(quán)利要求1所述的方法�����,其特征在于�����,步驟a所述初始化為確定所述消息接收窗的窗頭值及窗尾值的初始值及窗口大小����。
3.如權(quán)利要求2所述的方法,其特征在于�����,所述確定窗頭初始值為確定所述窗頭初始值小于發(fā)送端所設(shè)置的消息序列號(hào)初始值��。
4.如權(quán)利要求2所述的方法�����,其特征在于��,所述窗尾初始值為窗頭初始值與窗口大小之和減1�����。
5.如權(quán)利要求2所述的方法�����,其特征在于����,所述窗口大小為系統(tǒng)預(yù)先配置的值或通過信息交換過程由管理消息的發(fā)送端和接收端協(xié)商確定。
6.如權(quán)利要求5所述的方法���,其特征在于�,所述通過信息交換過程由管理消息的發(fā)送端和接收端協(xié)商確定包括a1�、在基本能力協(xié)商消息中增加消息接收窗窗口大小屬性;a2�、管理消息的接收端發(fā)送攜帶有消息接收窗窗口大小屬性的基本能力協(xié)商請(qǐng)求消息到管理消息的發(fā)送端,通知管理消息的發(fā)送端自身所支持的消息接收窗的窗口大?���。籥3��、所述發(fā)送端接收到基本能力協(xié)商請(qǐng)求消息�,獲知接收端所支持的消息接收窗的窗口大小后�����,返回基本能力協(xié)商響應(yīng)消息到所述接收端�����。
7.如權(quán)利要求6所述的方法�,其特征在于����,所述管理消息的接收端為移動(dòng)終端;所述管理消息的發(fā)送端為基站��。
8.如權(quán)利要求1所述的方法��,其特征在于���,所述管理消息中攜帶用于對(duì)管理消息進(jìn)行認(rèn)證的基于加密的消息認(rèn)證碼值�;在執(zhí)行步驟c所述接收管理消息之前進(jìn)一步包括用本地保存的密鑰�����,采用和發(fā)送端一樣的加密算法計(jì)算另一基于加密的消息認(rèn)證碼值����,并與所接收管理消息中攜帶的基于加密的下行認(rèn)證碼值進(jìn)行比較,如果一致�,則接著執(zhí)行步驟c;否則����,丟棄所接收的管理消息,直接返回步驟b�����。
9.如權(quán)利要求1所述的方法���,其特征在于�,所述管理消息的接收端為移動(dòng)終端或基站��。
全文摘要
本發(fā)明公開了一種識(shí)別重放管理消息的方法�,包括在產(chǎn)生新的鑒權(quán)密鑰上下文時(shí),管理消息的接收端建立消息接收窗����,并對(duì)該消息接收窗進(jìn)行初始化;所述接收端接收管理消息�,從中提取消息序列號(hào)�,并與自身消息接收窗的窗頭值進(jìn)行比較�����,如果小于所述窗頭值�,則判定接收到的管理消息為重放管理消息,丟棄所述該管理消息�����,否則�,接收該管理消息,并將所述消息序列號(hào)與自身消息接收窗的窗尾值進(jìn)行比較����,如果大于所述窗尾值,則在保持所述消息接收窗窗口大小不變的情況下�,滑動(dòng)所述消息接收窗,令該消息接收窗的窗尾值等于當(dāng)前所接收管理消息的消息序列號(hào)�����。通過本發(fā)明所述方法接收端可以通過簡(jiǎn)單的計(jì)數(shù)方式識(shí)別出重放的管理消息�,有效地避免重放攻擊。
文檔編號(hào)H04L12/24GK1794648SQ200510079989
公開日2006年6月28日 申請(qǐng)日期2005年6月27日 優(yōu)先權(quán)日2005年6月27日
發(fā)明者肖正飛 申請(qǐng)人:華為技術(shù)有限公司