專利名稱:一種無線蜂窩網(wǎng)絡(luò)中網(wǎng)絡(luò)層安全認證方法
技術(shù)領(lǐng)域:
本發(fā)明涉及網(wǎng)絡(luò)安全認證技術(shù),特別是指一種無線蜂窩網(wǎng)絡(luò)中網(wǎng)絡(luò)層安 全認證方法。
背景技術(shù):
現(xiàn)有技術(shù)中位于網(wǎng)絡(luò)層也就是互聯(lián)網(wǎng)協(xié)議(IP)層用于完成安全認證功
能的協(xié)議主要有兩個網(wǎng)絡(luò)接入認證承載協(xié)議(PANA, Protocol for Carrying Authentication for Network Access)禾口密鑰交換(IKE, Internet Key Exchange Internet)協(xié)議。
PANA嚴格來說不是一種新的安全協(xié)議,而是作為承載,將現(xiàn)有的機制, 如可擴展認證協(xié)議(EAP, Extensible Authentication Protocol)重用,完成網(wǎng) 絡(luò)層的接入認證。重用了現(xiàn)有的安全技術(shù),如EAP、認證和密鑰協(xié)商(AKA, Authentication and Key Agreement )、 傳輸層安全(TLS, Transport Layer Security)等來實現(xiàn)客戶端與服務器間的雙向認證,也可利用EAP方法協(xié)商 后續(xù)的保護兩者之間數(shù)據(jù)的會話密鑰。該協(xié)議使得認證在網(wǎng)絡(luò)層進行,而與 具體的鏈路層技術(shù)無關(guān),并為未來能支持多種IP接入能力的終端提供了統(tǒng)一 的認證和授權(quán)機制。
IKE協(xié)議也可以提供認證功能,但它的主要目的是為通信的雙方協(xié)商IP 安全(IPsec, IP security)的安全關(guān)聯(lián)(SA, Security Association),從而保護 后續(xù)的數(shù)據(jù)流,而不是一個專門的接入認證協(xié)議。它可以利用雙方擁有的預 共享密鑰或者基于公鑰基礎(chǔ)設(shè)施(PKI, Public Key Infrastructure)完成身份 的認證,使得對方相信正在通信的實體的身份。
雖然都可提供認證,但這兩種協(xié)議的側(cè)重點不同,PANA側(cè)重接入認證 和授權(quán),IKE協(xié)議則側(cè)重SA的協(xié)商。
另外,AKA是3G網(wǎng)絡(luò)采用的主要認證技術(shù)。該機制基于預共享密鑰實 現(xiàn)網(wǎng)絡(luò)與終端的雙向認證。現(xiàn)有的流程中,終端會首先將身份發(fā)給網(wǎng)絡(luò),讓
網(wǎng)絡(luò)通過身份査詢必要的信息,生成認證向量(AV)。 AV由隨機數(shù)(RAND, Random challenge)、認證值(AUTN, Authentication Token)、期待的響應 (XRES, Expected Response )、完整性密鑰(IK, Integrity Key)和加密密鑰 (CK, Cipher Key)組成。網(wǎng)絡(luò)會把RAND和AUTN發(fā)給終端,終端會根據(jù) RAND、 AUTN中的序列號(SQN, Sequence Number)以及共享密鑰生成相 同的AV,并比較生成的AUTN是否與接收到的AUTN相同,如果相同,則 成功認證網(wǎng)絡(luò)。并且會將自己生成的響應(RES, Response)發(fā)給網(wǎng)絡(luò),同樣 網(wǎng)絡(luò)會將XRES和RES對比,如果相同,說明終端是合法的。由于AKA也 是EAP協(xié)議的一種認證方法,因此也可以用在PANA框架下。
近年來在3GPP2組織的會議中,提出了使用PANA協(xié)議作為未來 CDMA2000網(wǎng)絡(luò)分組域無PPP操作(PFO, PPP Free Operation)中認證方式 的建議。這是考慮到PANA的一些優(yōu)勢,如與鏈路層技術(shù)無關(guān)等。在提案中 使用了標準的PANA流程。
然而,PANA協(xié)議要求客戶端也就是PANA客戶端(PaC, PANA Client) 在執(zhí)行PANA之前已經(jīng)獲得了IP地址,這個要求在一般的局域網(wǎng)(LAN)或 者無線局域網(wǎng)(WLAN)容易滿足。但對于無線蜂窩網(wǎng)絡(luò),如CDMA2000和 WCDMA的分組域,由于資源的限制,運營商對IP地址的控制會更嚴格一些。 以CDMA2000 lx EVDO (Evolution Data Optimization演進數(shù)據(jù)優(yōu)化)為例, 網(wǎng)絡(luò)會在接入終端(AT, Access Terminal)與分組數(shù)據(jù)服務節(jié)點(PDSN, Packet Data Serving Node)間完成認證后,才給AT分配IP地址,這個認證不是在 網(wǎng)絡(luò)層進行的。
如果將PANA應用到未來的無線蜂窩網(wǎng)絡(luò)來實現(xiàn)接入認證和授權(quán),也需 要在執(zhí)行PANA前給移動臺(MS, Mobile Station)分配一個IP地址,但如 果執(zhí)行過程中網(wǎng)絡(luò)不能成功地認證終端,則需要收回原來分配的IP地址或等 待終端主動釋放。通常動態(tài)主機配置協(xié)議(DHCP)會給IP地址設(shè)定生命期, 在生命期內(nèi),如果網(wǎng)絡(luò)不主動收回地址,會造成IP地址資源的消耗,攻擊者
也可利用這一點實施地址耗盡攻擊。
因此,如果使用標準的PANA流程,需要在移動臺MS發(fā)起認證前就獲
得IP地址,由于無線蜂窩網(wǎng)絡(luò)對IP地址的分配控制的比較嚴格,雖然可以
分配一個內(nèi)部地址,但IP地址仍舊是網(wǎng)絡(luò)的一種資源,在MS認證前就分配,
對于蜂窩網(wǎng)是不太合適的,因為如果認證失敗,還需要收回原來分配的地址。 并且也容易導致一些攻擊。
發(fā)明內(nèi)容
本發(fā)明提出了一種在無線蜂窩網(wǎng)絡(luò)網(wǎng)絡(luò)層安全認證方法,避免在安全認 證過程中IP資源的過度消耗。
基于上述目的本發(fā)明提供的一種無線蜂窩網(wǎng)絡(luò)中網(wǎng)絡(luò)層安全認證方法, 包括-
A. 移動臺MS與分組域承擔認證功能的實體之間建立針對該MS的信息 交互專用通道;
B. 當前MS通過所建立的專用通道以及分組域承擔認證功能的實體的轉(zhuǎn) 發(fā),與無線蜂窩網(wǎng)絡(luò)中的網(wǎng)絡(luò)認證實體之間進行安全認證;
C. 如果分組域承擔認證功能的實體收到認證成功的信息,則分組域承擔 認證功能的實體將為當前MS分配的IP地址通過所建立的專用通道發(fā)送給該 MS。
該方法在步驟B所述安全認證過程中,所述當前MS通過多播數(shù)據(jù)包、 或者廣播數(shù)據(jù)包、或者源地址為不確定的數(shù)據(jù)包將安全認證過程中需要交互 的信息從所述專用通道發(fā)送給分組域承擔認證功能的實體;
所述分組域承擔認證功能的實體通過多播數(shù)據(jù)包、或者廣播數(shù)據(jù)包、或 者目的地址為不確定的數(shù)據(jù)包將安全認證過程中需要交互的信息從所述專用 通道發(fā)送給當前MS;
在步驟C所述分組域承擔認證功能的實體通過多播數(shù)據(jù)包、或者廣播數(shù) 據(jù)包、或者目的地址為不確定的數(shù)據(jù)包將為當前MS分配的IP地址通過所建 立的專用通道發(fā)送給該MS。
該方法所述數(shù)據(jù)包為IP數(shù)據(jù)包格式,或者PANA協(xié)議的報文格式。
該方法步驟B中所述安全認證過程包括
all.所述分組域承擔認證功能的實體通過所述專用通道向MS發(fā)送身份 請求;
a12.當前MS接收到身份請求后,通過所述專用通道向分組域承擔認證
功能的實體發(fā)送自身的身份信息;
a13.分組域承擔認證功能的實體將當前MS的身份信息發(fā)送給網(wǎng)絡(luò)認證 實體;
a14.網(wǎng)絡(luò)認證實體根據(jù)所收到的身份信息生成網(wǎng)絡(luò)認證參數(shù),并發(fā)送給 分組域承擔認證功能的實體;
a15.分組域承擔認證功能的實體將網(wǎng)絡(luò)認證參數(shù)通過所述專用通道轉(zhuǎn)發(fā) 給MS;
a16.當前MS根據(jù)分組域承擔認證功能的實體發(fā)送來的網(wǎng)絡(luò)認證參數(shù)驗 證網(wǎng)絡(luò)的合法性,如果驗證通過,當前MS發(fā)送包含有終端認證參數(shù)的認證 響應給分組域承擔認證功能的實體;
a17.分組域承擔認證功能的實體將當前MS的終端認證參數(shù)轉(zhuǎn)發(fā)給網(wǎng)絡(luò) 認證實體;
a18.網(wǎng)絡(luò)認證實體根據(jù)終端認證參數(shù)驗證終端的合法性,如果驗證通過, 網(wǎng)絡(luò)認證實體向分組域承擔認證功能的實體發(fā)送認證成功的結(jié)果。 該方法步驟C包括
a19.分組域承擔認證功能的實體將認證成功的結(jié)果和為當前MS分配的 IP地址通過所述專用通道發(fā)送給當前MS;
a20.當前MS收到認證成功的結(jié)果后,通過所述專用通道向分組域承擔 認證功能的實體回送確認消息。
該方法步驟a20中所述確認消息承載在源地址為所述為當前MS分配的 IP地址的單播數(shù)據(jù)包中發(fā)送。
該方法步驟C包括
al9'.分組域承擔認證功能的實體將認證成功的結(jié)果通過所述專用通道 發(fā)送給當前MS;
a20,.當前MS收到認證成功的結(jié)果后,通過所述專用通道向分組域承擔 認證功能的實體回送確認消息;
a21,.分組域承擔認證功能的實體將為當前MS分配的IP地址通過所述 專用通道發(fā)送給當前MS。
該方法步驟B中所述安全認證由終端側(cè)發(fā)起,所述步驟all前進一步包括當前MS發(fā)送認證請求的消息;分組域承擔認證功能的實體收到該消息
后,執(zhí)行步驟all。
該方法步驟B所述安全認證過程采用認證和密鑰協(xié)商協(xié)議AKA。 該方法所述步驟A包括當前MS與所屬基站BS建立物理層和鏈路層
連接,BS為該MS分配空口無線資源;
所述BS與分組域承擔認證功能的實體之間建立針對當前MS的數(shù)據(jù)鏈路。
該方法所述分組域承擔認證功能的實體是CDMA2000網(wǎng)絡(luò)的接入節(jié)點 AN,或者是分組數(shù)據(jù)業(yè)務網(wǎng)絡(luò)PDSN,或者演進網(wǎng)絡(luò)實體控制接入點CAP, 或通用分組無線服務GPRS網(wǎng)絡(luò)的GPRS業(yè)務支持節(jié)點SGSN。
該方法所述網(wǎng)絡(luò)認證實體是認證、授權(quán)和計費AAA服務器、或認證中心 AuC。
從上面所述可以看出,本發(fā)明提供的無線蜂窩網(wǎng)絡(luò)網(wǎng)絡(luò)層安全認證方法, 認證前不需要給MS分配IP地址,只有在MS被成功認證后,才給它分配IP 地址,從而有效的保護了IP地址資源,同時,地址的分配與認證結(jié)合在一起, 不用執(zhí)行通常復雜而且耗時的地址分配流程,提高了效率,對于減少時延也 是非常有利的。
圖1為本發(fā)明采用IP數(shù)據(jù)包承載認證參數(shù)進行網(wǎng)絡(luò)層安全認證的流程示 意圖2為本發(fā)明采用PANA協(xié)議承載認證參數(shù)進行網(wǎng)絡(luò)層安全認證的流程 示意圖。
具體實施例方式
現(xiàn)有和未來無線蜂窩網(wǎng)的IP分組域基本上都包括移動臺(MS);基站 (BS, Base Station);分組域?qū)嶓w(PDE, Packet Domain Entry),例如 CDMA2000網(wǎng)絡(luò)的接入節(jié)點(AN)、分組數(shù)據(jù)業(yè)務網(wǎng)絡(luò)(PDSN),或者演進 網(wǎng)絡(luò)實體控制接入點(CAP, Controlling Access Point),或者通用分組無線服 務(GPRS)網(wǎng)絡(luò)的GPRS業(yè)務支持節(jié)點(SGSN);以及網(wǎng)絡(luò)認證實體,例如 認證、授權(quán)和計費(AAA)服務器、或認證中心(AuC, Authentication Center)。
通常分組域?qū)嶓w也承擔了與MS進行認證的功能。在后面的描述中,所指的 PDE都具有對移動臺認證的功能。
無線蜂窩網(wǎng)絡(luò)的IP分組域與一般的以太網(wǎng)絡(luò)有一定差別。MS和BS建 立空口連接后,BS會給MS分配空口資源,MS有自己獨立的物理信道和鏈 路。這個信道與其他用戶的信道是獨立的,它不像以太網(wǎng),媒體是共享的。 并且BS會與PDE建立通道,用來傳輸某個MS的數(shù)據(jù),例如CDMA2000中 的A8和A10連接。MS發(fā)送的數(shù)據(jù)包通過空口的無線鏈路,以及BS與PDE 間的通道到達PDE, PDE是MS的IP層第一跳設(shè)備。MS發(fā)送廣播或多播包 時,首先只有PDE能夠接收到,同樣,PDE也可以對MS的廣播或多播包進 行應答。并且這樣的報文對于其他MS是不可見的。本發(fā)明利用了無線蜂窩 網(wǎng)的這種特點,首先,在MS與PDE之間建立針對該MS的信息交互專用通 道;此后MS通過所建立的專用通道以及PDE的轉(zhuǎn)發(fā),與無線蜂窩網(wǎng)絡(luò)中的 網(wǎng)絡(luò)認證實體之間進行安全認證;如果PDE收到認證成功的信息,貝U PDE 將為MS分配的IP地址通過所建立的專用通道發(fā)送給該MS。
下面仍然以采用AKA協(xié)議進行認證為例,對本發(fā)明的幾個較佳的實施例 進行詳細說明。
基于AKA協(xié)議,AV中各種參數(shù)的計算與AKA認證中的相同,MS上的 用戶身份模塊與AAA服務器間存在預共享密鑰K。
參見圖1所示,為采用IP數(shù)據(jù)包承載認證參數(shù)進行網(wǎng)絡(luò)層安全認證的過 程,包括以下步驟
步驟101, MS與BS建立物理層和鏈路層連接,BS為MS分配空口無線 資源。
步驟102, BS與PDE間建立針對當前這個MS的數(shù)據(jù)鏈路。 在經(jīng)過步驟IOI和102后,當前MS與PDE之間建立起了為該MS傳遞 消息的專用通道。
步驟103,如果由網(wǎng)絡(luò)側(cè)首先發(fā)起認證,則PDE通過建立的所述通道向 MS發(fā)送身份請求,由于這個時候MS還沒有IP地址,因此承載該身份請求 的數(shù)據(jù)包是多播、廣播、或者目的地址是不確定的數(shù)據(jù)包。
由于通過所述專用通道發(fā)送的數(shù)據(jù)包對于其他MS來說是不可見的,因
此這些數(shù)據(jù)包只有當前MS能夠接收。
步驟104,當前MS接收到身份請求后,通過建立的通道向PDE回送自 身的身份信息。其中,由于尚未給該MS分配IP地址,因此,用于承載身份 信息的數(shù)據(jù)包是多播、廣播、或者源地址不確定的數(shù)據(jù)包。
由于PDE是MS的IP層第一跳設(shè)備,因此MS通過上述方式發(fā)送數(shù)據(jù)包 時,首先只有PDE能夠接收到。
步驟105, PDE接收到當前MS的身份信息后,將當前MS的身份信息 轉(zhuǎn)發(fā)給AAA服務器。具體可以利用RADIUS協(xié)議通過RADIUS Access-R叫uest消息將當前MS的身份信息轉(zhuǎn)發(fā)給AAA服務器。
步驟106, AAA服務器根據(jù)所收到的身份信息生成網(wǎng)絡(luò)認證參數(shù)。 具體包括AAA服務器根據(jù)所收到的身份信息查詢對應的用戶的密鑰K 以及其他所需要的用戶信息,接著執(zhí)行AKA的算法,生成認證向量五元組 AV,包括RAND、 AUTN、 XRES、 IK和CK。另外,由于需要對EAPAKA 數(shù)據(jù)包進行完整性保護,AAA服務器還會衍生密鑰TEK( Transient EAP Key), TEK中的完整性密鑰用于計算完整性值A(chǔ)T—MAC 。
步驟107, AAA服務器將生成網(wǎng)絡(luò)認證參數(shù)發(fā)送給PDE。 具體包括AAA服務器將計算得到的RAND、 AUTN以及EAP AKA的 消息完整性值A(chǔ)T—MAC利用RADIUS協(xié)議通過該協(xié)議的RADIUS Access-Challenge消息發(fā)給PDE。
步驟108, PDE將網(wǎng)絡(luò)認證參數(shù)通過所述專用通道轉(zhuǎn)發(fā)給MS。 具體包括PDE生成包含有上述RAND、 AUTN,以及AT—MAC的認證 請求,通過所建立的專用通道向MS發(fā)送。其中,承載該認證請求的數(shù)據(jù)包 是多播、廣播、或者目的地址為不確定的數(shù)據(jù)包。
步驟109,當前MS根據(jù)收到的網(wǎng)絡(luò)認證參數(shù)驗證網(wǎng)絡(luò)的合法性。 具體包括當前MS根據(jù)PDE發(fā)送來的RAND和AUTN中的序列號SQN, 以及已知的預共享密鑰K生成對應的AV,然后驗證AUTN是否與自身計算 的相同,并根據(jù)計算的TEK校驗AT一MAC是否正確,如果全部通過,說明 網(wǎng)絡(luò)是合法的;否則,說明是不合法的,認證失敗。另外,為了防止重放攻 擊,當前MS還會檢查序列號是否在正確的范圍內(nèi),如果不正確,還會再執(zhí)
行重同步過程。
步驟IIO,若對網(wǎng)絡(luò)的認證成功,當前MS發(fā)送包含有終端認證參數(shù)的認 證響應給PDE。
具體為當前MS將自身生成的AV中MS側(cè)的認證值響應RES通過所
述專用通道發(fā)送給PDE。其中,承載該RES的數(shù)據(jù)包是多播、廣播、或者源
地址為不確定的數(shù)據(jù)包。
步驟111, PDE將當前MS終端認證參數(shù)轉(zhuǎn)發(fā)給AAA服務器。 具體可利用RADIUS協(xié)議通過該協(xié)議的RADIUS Access-Request消息將
當前MS的RES發(fā)給AAA服務器。
步驟112, AAA服務器利用終端認證參數(shù)驗證終端的合法性。 具體包括AAA服務器將前面計算的AV中的XRES與接收到的RES
做比較,如果相同,說明對當前MS的認證成功;否則,認證失敗。
步驟113,若對當前MS的認證成功,AAA服務器將認證成功的結(jié)果發(fā)
送給PDE。
所述認證成功的結(jié)果具體可以通過RADIUS協(xié)議的RADIUS Access-Accept消息。另外還可以同時將這次AKA協(xié)商好的用于保護后續(xù)通 信的主密鑰(MSK, Master Session Key)發(fā)給PDE。
步驟114, PDE將認證成功的結(jié)果通過所建立的通道發(fā)送給當前MS。另 外,也可以將PDE分配給當前MS的IP地址同時發(fā)送給當前MS。其中,承 載該認證成功結(jié)果的數(shù)據(jù)包是多播、廣播、或者目的地址為不確定的數(shù)據(jù)包。 此外,MS的IP地址的分配也可以在認證結(jié)束后進行,即在收到MS返回的 認證成功的確認消息后,PDE通過所述通道將分配給當前MS的IP地址發(fā)送 給MS。同樣,承載該IP地址的數(shù)據(jù)包是多播、廣播、或者目的地址不確定 的數(shù)據(jù)包。
步驟115,當前MS收到認證成功的結(jié)果后通過所建立的通道向PDE回 送確認消息。如果MS得到了IP地址,則承載這個確認消息的數(shù)據(jù)包是單播 數(shù)據(jù)包,源地址為當前MS得到的IP地址;否則仍采用多播、廣播、或者源 地址不確定的數(shù)據(jù)包發(fā)送。
上述流程中,由于MS在初始認證時還沒有IP地址,因此以上步驟103、
104、 108、 110和114中會使用多播、廣播、或者MS地址不確定的數(shù)據(jù)包, 以IPv4為例如果PDE不知道MS的地址,發(fā)送的數(shù)據(jù)包地址可以是(a.b.c.d —〉255.255.255.255)應答,而MS的應答也可以是(255.255.255.255—> a.b.c.d)最后MS在得到IP地址后,使用(m.n.o.p—>a.b.c.d)發(fā)送確認消息。 本實施例在MS第一次執(zhí)行認證前,是不具有IP地址的,在認證成功后, PDE才會給MS分配IP地址。后續(xù),PDE和MS都還可以再發(fā)起認證,由于 這時MS已獲取了IP地址,因此只是都以單播進行通信,除承載認證信息的 IP數(shù)據(jù)包改為單播數(shù)據(jù)包外,認證流程與上述步驟103至步驟115相同,這 里不在贅述。
上述實施例中初始的安全認證過程都是由網(wǎng)絡(luò)側(cè)發(fā)起的,也可以由終端 側(cè)發(fā)起。在由終端側(cè)發(fā)起時,與網(wǎng)絡(luò)側(cè)發(fā)起的流程相同,也需要首先在MS 和BS之間建立物理層和鏈路層連接,BS為MS分配空口無線資源;BS和 PDE間建立針對這個MS的數(shù)據(jù)鏈路。這時,MS可以首先發(fā)送認證請求的 消息,由于MS此時沒有IP地址,因此該消息也是多播、或廣播、或者源地 址不確定的數(shù)據(jù)包。PDE是網(wǎng)絡(luò)中處理MS的IP包的第一個實體,因此中間 實體如BS不會關(guān)心該IP包的內(nèi)容,只是做轉(zhuǎn)發(fā)。當PDE收到這個消息后, 得知MS希望進行認證,因此會發(fā)送相應的應答消息,請求MS的身份,其 中應答消息也可以通過多播、或廣播、或者目的地址不確定的數(shù)據(jù)包發(fā)送。 后續(xù)的過程與前面所述的網(wǎng)絡(luò)側(cè)發(fā)起的認證過程相同。
以上的實施例中給出了在網(wǎng)絡(luò)層利用IP數(shù)據(jù)包來傳輸認證參數(shù)的方法流 程。另外,也可以利用現(xiàn)有的PANA協(xié)議,采用現(xiàn)有的PANA協(xié)議的報文格 式,或者還可使用其他封裝模式來傳遞認證參數(shù)。下面對采用PANA協(xié)議來 傳遞認證參數(shù)實現(xiàn)安全認證的過程進行具體說明,參見圖2所示。
步驟201, MS與BS建立物理層和鏈路層連接,BS為MS分配空口無線 資源。
步驟202, BS與PDE間建立針對當前這個MS的數(shù)據(jù)鏈路。 至此,當前MS與PDE之間建立起了為該MS傳遞消息的專用通道。 步驟203,如果由網(wǎng)絡(luò)首先發(fā)起認證,則PDE首先利用PANA發(fā)現(xiàn)與握 手階段的Start-Request消息通過所建立的通道向MS發(fā)送身份請求。
步驟204,當前MS接收到身份請求后,通過建立的通道將自身的身份信 息承載在Start-Answer消息中回送給PDE。
步驟205, PDE利用RADIUS協(xié)議通過RADIUS Access-Request消息將 當前MS的身份信息轉(zhuǎn)發(fā)給AAA服務器。
步驟206, AAA服務器根據(jù)MS的身份信息查詢對應的密鑰K以及其他 用戶信息,接著執(zhí)行AKA的算法,生成認證向量五元組AV,包括RAND、 AUTN、 XRES, IK和CK。由于需要對EAP AKA數(shù)據(jù)包進行完整性保護, AAA服務器還會衍生密鑰TEK, TEK中的完整性密鑰用于計算完整性值 AT—MAC 0
步驟207, AAA服務器將計算得到的RAND、 AUTN以及EAP AKA的 消息完整性值A(chǔ)T—MAC利用RADIUS協(xié)議通過該協(xié)議的RADIUS Access-Challenge消息發(fā)給PDE。
步驟208, PDE通過建立的通道向MS發(fā)送PANA的Auth-Request消息, 該消息的EAP參數(shù)中包含了 RAND、 AUTN以及AT一MAC。
步驟209,當前MS根據(jù)收到的隨機數(shù)RAND和AUTN中的序列號SQN, 以及已知的預共享密鑰K計算AV,校驗收到的AUTN是否與自身計算的相 同,并根據(jù)計算的TEK校驗AT—MAC是否正確,如果全部通過,則說明網(wǎng) 絡(luò)是合法的;否則,說明是不合法的,認證失敗。另外,為了防止重放攻擊, 當前MS還會檢査序列號是否在正確的范圍內(nèi),如果不正確,還會在執(zhí)行重 同步過程。
步驟210,若對網(wǎng)絡(luò)的認證成功,當前MS將自身生成的AV中MS側(cè)的 認證值響應RES利用PANA的Auth-Answer消息通過所建立的通道發(fā)給PDE。
步驟211, PDE將當前MS的RES利用RADIUS協(xié)議通過該協(xié)議的 RADIUS Access-Request消息發(fā)給AAA服務器。
步驟212, AAA服務器將前面計算的AV中的XRES與接收到的RES做 比較,如果相同,說明對當前MS的認證成功;否則,認證失敗。
步驟213, AAA服務器通過RADIUS協(xié)議的RADIUS Access-Accept消 息返回認證成功的結(jié)果給PDE。另外,還可以同時將EAP AKA協(xié)商的主會 話密鑰MSK也發(fā)給PDE,用于保護后續(xù)的數(shù)據(jù)。
步驟214, PDE將認證成功的結(jié)果承載在PANA Bind-Request消息中通 過建立的通道發(fā)送給MS。此外,在這個報文中還可包含PPAC參數(shù)、所配置 的IP地址ADDR—CFG參數(shù)、以及消息的完整性值A(chǔ)UTH參數(shù)。PPAC用于 表明分配地址的方式,這里可在原有方式中擴展一種新類型,即直接在PANA 消息中分配,而ADDR—CFG中就包含了所分配的IP地址,地址的類型可以 根據(jù)需要設(shè)置,如IPv4地址、或IPv6地址、或IPv6地址前綴等。
步驟215,當前MS收到認證成功的結(jié)果后通過建立的通道向PDE發(fā)送 Bind-Answer對PDE的消息進行響應。如果MS收到了 PDE分配的地址,在 這個響應消息中也可以包含PPAC和ADDR一CFG,如果MS不能接受所分配 的IP地址,也可以在這條消息中指出原因,這樣地址的分配過程可以在后面 再執(zhí)行。
以上流程中,步驟203、 204、 208、 210和214都不是單播數(shù)據(jù)包,而是 可以采用多播、廣播、或者MS地址不確定的數(shù)據(jù)包傳送。只有步驟215中, 如果MS已獲得了 PDE分配的IP地址,則給PDE發(fā)送單播數(shù)據(jù)包。
在上述流程中,利用PANA中的PPAC和ADDR—CFG參數(shù)進行IP地址 的分配時,需要對現(xiàn)有PANA進行擴展,包括對PPAC的類型進行擴展,增 加直接在PANA消息中分配地址的類型。而ADDR—CFG是新增的AVP (Attribute Value Pairs)。另一種分配地址的方式是利用Notification參數(shù)進行 分配,現(xiàn)有的協(xié)議中,Notification參數(shù)可以用來傳遞一些可顯示的信息,所 以可以將分配給MS的地址利用這個參數(shù)傳遞給MS。當然,也可以使用PANA 本身具有的分配POPA的方法分配IP地址,但這需要在整個PANA認證完成 后才進行。
如果由終端側(cè)首先發(fā)起安全認證,則當MS發(fā)起認證時,它首先會發(fā)送 PANAPAA-Discover消息,但與通常的情況不同,MS采用多播、廣播、或源 地址不確定的數(shù)據(jù)包,而不是單播數(shù)據(jù)包發(fā)送,當PDE收到這個消息后,也 可以通過多播、或廣播、或者目的地址不確定的數(shù)據(jù)包回送PANA Start-Request消息,進而與MS進行后續(xù)的認證過程,后續(xù)的認證過程與前面 所述的網(wǎng)絡(luò)側(cè)發(fā)起的認證過程相同。
除PANA協(xié)議以外,也可以采用其他協(xié)議實現(xiàn)認證參數(shù)的交互完成安全
認證。
以上所述僅為本發(fā)明的較佳實施例而已,并不用以限制本發(fā)明,凡在本 發(fā)明的精神和原則之內(nèi),所作的任何修改、等同替換、改進等,均應包含在 本發(fā)明的保護范圍之內(nèi)。
權(quán)利要求
1.一種無線蜂窩網(wǎng)絡(luò)中網(wǎng)絡(luò)層安全認證方法,其特征在于,包括A.移動臺MS與分組域承擔認證功能的實體之間建立針對該MS的信息交互專用通道;B.當前MS通過所建立的專用通道以及分組域承擔認證功能的實體的轉(zhuǎn)發(fā),與無線蜂窩網(wǎng)絡(luò)中的網(wǎng)絡(luò)認證實體之間進行安全認證;C.如果分組域承擔認證功能的實體收到認證成功的信息,則分組域承擔認證功能的實體將為當前MS分配的IP地址通過所建立的專用通道發(fā)送給該MS。
2. 根據(jù)權(quán)利要求1所述的方法,其特征在于,在步驟B所述安全認證過 程中,所述當前MS通過多播數(shù)據(jù)包、或者廣播數(shù)據(jù)包、或者源地址為不確 定的數(shù)據(jù)包將安全認證過程中需要交互的信息從所述專用通道發(fā)送給分組域 承擔認證功能的實體;所述分組域承擔認證功能的實體通過多播數(shù)據(jù)包、或者廣播數(shù)據(jù)包、或 者目的地址為不確定的數(shù)據(jù)包將安全認證過程中需要交互的信息從所述專用 通道發(fā)送給當前MS;在步驟C所述分組域承擔認證功能的實體通過多播數(shù)據(jù)包、或者廣播數(shù) 據(jù)包、或者目的地址為不確定的數(shù)據(jù)包將為當前MS分配的IP地址通過所建 立的專用通道發(fā)送給該MS。
3. 根據(jù)權(quán)利要求2所述的方法,其特征在于,所述數(shù)據(jù)包為IP數(shù)據(jù)包格 式,或者PANA協(xié)議的報文格式。
4. 根據(jù)權(quán)利要求1至3任意一項所述的方法,其特征在于,步驟B中所 述安全認證過程包括all.所述分組域承擔認證功能的實體通過所述專用通道向MS發(fā)送身份 請求;a12.當前MS接收到身份請求后,通過所述專用通道向分組域承擔認證 功能的實體發(fā)送自身的身份信息;a13.分組域承擔認證功能的實體將當前MS的身份信息發(fā)送給網(wǎng)絡(luò)認證實體;a14.網(wǎng)絡(luò)認證實體根據(jù)所收到的身份信息生成網(wǎng)絡(luò)認證參數(shù),并發(fā)送給 分組域承擔認證功能的實體;a15.分組域承擔認證功能的實體將網(wǎng)絡(luò)認證參數(shù)通過所述專用通道轉(zhuǎn)發(fā) 給MS;a16.當前MS根據(jù)分組域承擔認證功能的實體發(fā)送來的網(wǎng)絡(luò)認證參數(shù)驗 證網(wǎng)絡(luò)的合法性,如果驗證通過,當前MS發(fā)送包含有終端認證參數(shù)的認證 響應給分組域承擔認證功能的實體;a17.分組域承擔認證功能的實體將當前MS的終端認證參數(shù)轉(zhuǎn)發(fā)給網(wǎng)絡(luò) 認證實體;a18.網(wǎng)絡(luò)認證實體根據(jù)終端認證參數(shù)驗證終端的合法性,如果驗證通過, 網(wǎng)絡(luò)認證實體向分組域承擔認證功能的實體發(fā)送認證成功的結(jié)果。
5. 根據(jù)權(quán)利要求4所述的方法,其特征在于,步驟C包括a19.分組域承擔認證功能的實體將認證成功的結(jié)果和為當前MS分配的 IP地址通過所述專用通道發(fā)送給當前MS;a20.當前MS收到認證成功的結(jié)果后,通過所述專用通道向分組域承擔 認證功能的實體回送確認消息。
6. 根據(jù)權(quán)利要求5所述的方法,其特征在于,步驟a20中所述確認消息 承載在源地址為所述為當前MS分配的IP地址的單播數(shù)據(jù)包中發(fā)送。
7. 根據(jù)權(quán)利要求4所述的方法,其特征在于,步驟C包括a19,.分組域承擔認證功能的實體將認證成功的結(jié)果通過所述專用通道 發(fā)送給當前MS;a20,.當前MS收到認證成功的結(jié)果后,通過所述專甩通道向分組域承擔 認證功能的實體回送確認消息;a21,.分組域承擔認證功能的實體將為當前MS分配的IP地址通過所述 專用通道發(fā)送給當前MS。
8. 根據(jù)權(quán)利要求4所述的方法,其特征在于,步驟B中所述安全認證由 終端側(cè)發(fā)起,所述步驟all前進一步包括當前MS發(fā)送認證請求的消息; 分組域承擔認證功能的實體收到該消息后,執(zhí)行步驟all。
9. 根據(jù)權(quán)利要求4所述的方法,其特征在于,步驟B所述安全認證過程采用認證和密鑰協(xié)商協(xié)議AKA。
10. 根據(jù)權(quán)利要求1所述的方法,其特征在于,所述步驟A包括當前MS與所屬基站BS建立物理層和鏈路層連接,BS為該MS分配空口無線資 源;所述BS與分組域承擔認證功能的實體之間建立針對當前MS的數(shù)據(jù)鏈路。
11. 根據(jù)權(quán)利要求1所述的方法,其特征在于,所述分組域承擔認證功 能的實體是CDMA2000網(wǎng)絡(luò)的接入節(jié)點AN,或者是分組數(shù)據(jù)業(yè)務網(wǎng)絡(luò) PDSN,或者演進網(wǎng)絡(luò)實體控制接入點CAP,或通用分組無線服務GPRS網(wǎng) 絡(luò)的GPRS業(yè)務支持節(jié)點SGSN。
12. 根據(jù)權(quán)利要求1所述的方法,其特征在于,所述網(wǎng)絡(luò)認證實體是認 證、授權(quán)和計費AAA服務器、或認證中心AuC。
全文摘要
本發(fā)明公開了一種無線蜂窩網(wǎng)絡(luò)中網(wǎng)絡(luò)層安全認證方法,包括在MS與分組域承擔認證功能之間建立針對該MS的信息交互專用通道;此后MS通過所建立的專用通道以及分組域承擔認證功能的轉(zhuǎn)發(fā),與無線蜂窩網(wǎng)絡(luò)中的網(wǎng)絡(luò)認證實體之間進行安全認證;如果分組域承擔認證功能收到認證成功的信息,則分組域承擔認證功能將為MS分配的IP地址通過所建立的專用通道發(fā)送給該MS。本發(fā)明有效的保護了IP地址資源,同時,地址的分配與認證結(jié)合在一起,不用執(zhí)行通常復雜而且耗時的地址分配流程,提高了效率,對于減少時延也是非常有利的。
文檔編號H04L29/06GK101098221SQ20061009354
公開日2008年1月2日 申請日期2006年6月26日 優(yōu)先權(quán)日2006年6月26日
發(fā)明者潔 趙, 鑫 鐘, 璟 陳 申請人:華為技術(shù)有限公司