專利名稱：Wimax系統(tǒng)中MS與BS的認(rèn)證方法
技術(shù)領(lǐng)域：
本發(fā)明涉及移動(dòng)通信，特別涉及Wimax系統(tǒng)中MS與BS的認(rèn)證方法。
背景技術(shù)：
在Wimax系統(tǒng)中，當(dāng)MS與BS之間鏈路連接完成之后，BS會(huì)向MS 要求MS提交身份，MS在收到這個(gè)請(qǐng)求之后，會(huì)用明文的方式將身份的 相關(guān)信息發(fā)送給BS, BS將這個(gè)信息轉(zhuǎn)發(fā)給后臺(tái)的AAA Server,由AAA Server利用這個(gè)信息完成MS證書的索引，從而完成對(duì)這個(gè)MS的認(rèn)證。 通信的過程如圖l所示，EAP R叫uest/Identity以及EAP Response/Identity 是以明文方式傳送的。這種方式傳遞MS的身份信息，對(duì)于合法的MS 而言是不安全的。 一方面，合法MS的身份信息會(huì)被第三方獲得；另一 方面，這種方式也易于受到中間人攻擊。惡意的第三方，在收到合法MS 發(fā)送的身份信息后，將其篡改為另一個(gè)不能被授權(quán)的MS的身份信息，BS 收到這個(gè)篡改之后的假信息轉(zhuǎn)發(fā)給后臺(tái)的AAA Server, AAA Server會(huì)拒 絕這個(gè)MS的請(qǐng)求，那么，合法的MS在網(wǎng)絡(luò)正常的情況下，卻無法接 入；同時(shí)，AAA Server和BS,以及MS都不能感覺到惡意第三方的存在。

發(fā)明內(nèi)容
本發(fā)明的目的是提供一種Wimax系統(tǒng)中MS與BS的認(rèn)證方法。 為實(shí)現(xiàn)上述目的， 一種Wimax系統(tǒng)中MS與BS的認(rèn)證方法，包括
a) BS上的公私鑰對(duì)發(fā)生器，用于產(chǎn)生多組公私鑰對(duì)；
b) AAA Server對(duì)接收到的公鑰用本身的私鑰進(jìn)行簽名處理，并將簽 名處理后的結(jié)果返回到BS;
c) 在BS和MS之間完成鏈接后，BS向MS提出身份請(qǐng)求的同時(shí)將本身 的私鑰傳送給MS;d) MS利用已知的AAA Server的公鑰對(duì)簽名的信息進(jìn)行確認(rèn)，同時(shí)獲 得合法與其通信的BS的公鑰，MS利用這個(gè)公鑰對(duì)傳送給BS的包含身份 信息的EAP Response進(jìn)行加密處理，并將這個(gè)信息發(fā)送給BS;
e) BS利用它自己才知道的私鑰對(duì)接收的信息進(jìn)行解密。


圖l是現(xiàn)有技術(shù)流程圖； 圖2是本發(fā)明的流程圖。
具體實(shí)施例方式
本發(fā)明的提出的解決思路是建立在AAAServer可信并且不易被偽造 的前提下，AAAServer有CA頒發(fā)的數(shù)字證書，這個(gè)證書對(duì)于每個(gè)與AAA Server屬于同一運(yùn)營(yíng)商的合法的MS都是可以獲得的。獲得證書的途徑可 以在MS與AAAServer初次交互時(shí)，由AAA Server直接下發(fā)。關(guān)于證書的 驗(yàn)證，CA頒發(fā)的數(shù)字證書上會(huì)有用CA的私鑰(PrivateKey)做的簽名， CA的公鑰(Public Key)是公開的，任何MS都可以獲得CA的公鑰，并 利用這個(gè)公鑰判斷AAA Sen/er數(shù)字證書的合法性。關(guān)于AAA Server數(shù)字 證書向MS的傳送，以及對(duì)AAA Server數(shù)字證書合法性的驗(yàn)證不屬于本專 利討論的范圍。
本專利的核心思想就是在MS向BS提交身份信息之前，利用AAA Server的可靠性以及AAA Server對(duì)BS的驗(yàn)證，完成MS對(duì)BS的認(rèn)證。 下面結(jié)合圖2討論本發(fā)明的方法。
1. AAAServer能夠確保每個(gè)與其連接的BS的合法性。在每個(gè)BS上都保 留一個(gè)公私鑰對(duì)發(fā)生器，可以隨機(jī)產(chǎn)生無窮多組公私鑰對(duì)，分別用集 合(PuW和(Prb》來表示，其中，Pub,Prb表示其中某一組公私鑰對(duì)。Pub 可以通過一個(gè)安全的方法傳遞給AAA Server,例如，Ipsec， AAA Server 利用其私鑰Pra對(duì)這個(gè)Pub進(jìn)行簽名處理…Pra(Pub)，并將這個(gè)簽名之 后的結(jié)果回傳給BS。
2. 對(duì)于BS，每當(dāng)一個(gè)MS與之通信時(shí)，就可以利用其公私鑰對(duì)發(fā)生器隨 機(jī)產(chǎn)生一組公私鑰對(duì)，并對(duì)公鑰做上述相應(yīng)的處理(1)。3. 當(dāng)MS與BS之間完成鏈接之后，BS會(huì)向MS提出身份請(qǐng)求…EAP Request/Identity的同時(shí)，將Pra(Pub)也傳送給MS 。
4. MS收到這個(gè)信息后，首先利用已知的AAAServer的公鑰Pua對(duì)簽名的 信息進(jìn)行確認(rèn)---Pua(Pra(Pub))，同時(shí)獲得合法與其通信的BS的公鑰 Pub—Pub= Pua(Pra(Pub))， MS利用這個(gè)Pub對(duì)傳送給BS的包含身份信 息的EAP Response進(jìn)行加密處理一Pub(EAP Response/Identity),并將 這個(gè)信息發(fā)送給BS。
5. BS在收到這個(gè)加密的信息后，利用只有它自己才知道的私鑰Prb進(jìn)行 解密…Prb(Pub(EAP Response/Identity))=EAP Response/Identity,，并 將這個(gè)關(guān)于MS身份的明文信息以一種安全的方式，例如IPSec技術(shù)， 送給AAA Server。
權(quán)利要求
1. 一種Wimax系統(tǒng)中MS與BS的認(rèn)證方法，包括a)BS上的公私鑰對(duì)發(fā)生器，用于產(chǎn)生多組公私鑰對(duì)；b)AAA Server對(duì)接收到的公鑰用本身的私鑰進(jìn)行簽名處理，并將簽名處理后的結(jié)果返回到BS；c)在BS和MS之間完成鏈接后，BS向MS提出身份請(qǐng)求的同時(shí)將本身的私鑰傳送給MS；d)MS利用已知的AAA Server的公鑰對(duì)簽名的信息進(jìn)行確認(rèn)，同時(shí)獲得合法與其通信的BS的公鑰，MS利用這個(gè)公鑰對(duì)傳送給BS的包含身份信息的EAP Response進(jìn)行加密處理，并將這個(gè)信息發(fā)送給BS；e)BS利用它自己才知道的私鑰對(duì)接收的信息進(jìn)行解密。
2. 根據(jù)權(quán)利要求l所述的方法 通過Ipsec方法傳送。
3. 根據(jù)權(quán)利要求l所述的方法 有一組公私鑰對(duì)。
4. 根據(jù)權(quán)利要求l所述的方法 鑰對(duì)發(fā)生器產(chǎn)生不同的公私鑰對(duì)。
5. 根據(jù)權(quán)利要求l所述的方法 處理包括利用AAA Server中與之?dāng)?shù)字證書所對(duì)應(yīng)的私鑰加密處理。
6. 根據(jù)權(quán)利要求l所述的方法，其特征在于還包括 BS將解密的信息通過Ipsec方法傳送給AAA Server。，其特征在于在步驟a)中，所述公鑰 ，其特征在于在步驟a)中，BS上至少 ，其特征在于在步驟a)中，所述公私 ，其特征在于在步驟b)中，所述簽名
全文摘要
一種Wimax系統(tǒng)中MS與BS的認(rèn)證方法，包括BS上的公私鑰對(duì)發(fā)生器，用于產(chǎn)生多組公私鑰對(duì)；AAA Server對(duì)接收到的公鑰用本身的私鑰進(jìn)行簽名處理，并將簽名處理后的結(jié)果返回到BS；在BS和MS之間完成鏈接后，BS向MS提出身份請(qǐng)求的同時(shí)將本身的私鑰傳送給MS；MS利用已知的AAA Server的公鑰對(duì)簽名的信息進(jìn)行確認(rèn)，同時(shí)獲得合法與其通信的BS的公鑰，MS利用這個(gè)公鑰對(duì)傳送給BS的包含身份信息的EAP Response進(jìn)行加密處理，并將這個(gè)信息發(fā)送給BS；BS利用它自己才知道的私鑰對(duì)接收的信息進(jìn)行解密。
文檔編號(hào)H04L9/32GK101471775SQ20071030782
公開日2009年7月1日 申請(qǐng)日期2007年12月28日 優(yōu)先權(quán)日2007年12月28日
發(fā)明者時(shí)憶杰 申請(qǐng)人:三星電子株式會(huì)社;北京三星通信技術(shù)研究有限公司