專利名稱:無線城域網(wǎng)安全接入?yún)f(xié)議的實(shí)現(xiàn)方法及系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及通信技術(shù)領(lǐng)域�,尤其涉及一種無線城域網(wǎng)安全接入?yún)f(xié)議的實(shí)現(xiàn)方法及系統(tǒng)。
背景技術(shù):
IEEE 802. 16無線城域網(wǎng)作為未來無線接入技術(shù)的發(fā)展方向���,備受各界關(guān)注�����。然而�,安全問題一直制約著其進(jìn)一步的推廣與發(fā)展。IEEE 802. 16d中定義了基于公開密鑰加密算法(RSA)和數(shù)字證書的認(rèn)證協(xié)議��,可以實(shí)現(xiàn)基站對用戶終端的認(rèn)證�。IEEE 802. 16d 的主要缺點(diǎn)是只提供了基站對用戶終端的單向認(rèn)證,而沒有提供用戶終端對基站的認(rèn)證���, 攻擊者容易假冒基站欺騙用戶終端�����。此外�����,授權(quán)密鑰(AK)和會話密鑰(TEK)都是由基站一方產(chǎn)生的�����,在這種單向認(rèn)證的條件下��,難以使用戶終端對會話密鑰TEK的質(zhì)量產(chǎn)生信任��。 IEEE 802. 16e對IEEE 802. 16d進(jìn)行了增強(qiáng)性的修改�����,引入了可擴(kuò)展認(rèn)證協(xié)議(Extensible Authentication Protocol����,簡稱ΕΑΡ)。但是�,仍然只包含了基站對用戶終端的單向身份認(rèn)證。申請?zhí)枮?00810027930. 0的發(fā)明專利申請公開了一種無線城域網(wǎng)的安全接入方法(以下簡稱為WMAN-SA)�,在認(rèn)證授權(quán)過程中,采用用戶終端和基站間雙向認(rèn)證代替原有的單向認(rèn)證�,使攻擊者難以冒充合法基站騙取用戶終端的信任,避免了中間人攻擊的可能性�����。 在密鑰的協(xié)商過程中�,密鑰由用戶終端和基站共同產(chǎn)生��,代替原有的由基站分配���,保證了密鑰的質(zhì)量����,增強(qiáng)了無線城域網(wǎng)的安全性。因此����,改進(jìn)的協(xié)議同樣可以滿足原無線城域網(wǎng)的功能和性能要求,并且更安全��。申請?zhí)枮?00910213805. 3的發(fā)明專利申請公開了一種WMAN-SA融合WiMAX設(shè)備的方法及無線城域網(wǎng)����,提供一種WMAN-SA協(xié)議在WiMAX設(shè)備中實(shí)施的方法,具體為將原 IEEE 802. 16定義的PKM協(xié)議替換成WMAN-SA協(xié)議�����,來替代802. 16協(xié)議中MAC安全子層的內(nèi)容�。在SS入網(wǎng)流程中,安全策略設(shè)置為WMAN-SA����,而不是PKM ;當(dāng)安全能力協(xié)商的結(jié)果為采用WMAN-SA策略時(shí)���,啟動WMAN-SA的認(rèn)證機(jī)制�,并利用雙方共同貢獻(xiàn)的密鑰材料來產(chǎn)生授權(quán)密鑰(AK);待接入完成后��,從AK派生得到的傳輸加密密鑰(TEK)將被用來保護(hù)業(yè)務(wù)流的數(shù)據(jù)�����,使得開發(fā)支持WMAN-SA協(xié)議的無線城域網(wǎng)設(shè)備成為可能����。但是,申請?zhí)枮?00910213805. 3的發(fā)明專利申請所提供的WMAN-SA協(xié)議的實(shí)現(xiàn)方法����,僅限于在WiMAX網(wǎng)絡(luò)和設(shè)備中實(shí)現(xiàn),要開發(fā)出實(shí)現(xiàn)WMAN-SA協(xié)議的設(shè)備�,需要支持IEEE 802. 16協(xié)議的基站和用戶站的MAC層軟件開放相應(yīng)接口,而且使用WMAN-SA協(xié)議模塊替換掉原軟件中的安全子層��,實(shí)現(xiàn)較為復(fù)雜�,不具備通用性。
發(fā)明內(nèi)容
本發(fā)明實(shí)施例提出一種無線城域網(wǎng)安全接入?yún)f(xié)議的實(shí)現(xiàn)方法及系統(tǒng)�����,不需要修改網(wǎng)絡(luò)設(shè)備的軟硬件����,通用性強(qiáng)。本發(fā)明實(shí)施例提供的無線城域網(wǎng)安全接入?yún)f(xié)議的實(shí)現(xiàn)方法�,包括51、在用戶站接入基站的過程中��,所述用戶站�����、基站通過非受控端口與認(rèn)證服務(wù)器進(jìn)行基于WMAN-SA協(xié)議的身份鑒別�;
52、在所述用戶站和基站的身份鑒別結(jié)果均合法時(shí)��,所述用戶站�����、基站還通過非受控端口進(jìn)行基于WMAN-SA協(xié)議的會話協(xié)商���,獲得會話密鑰�����;
并且�,設(shè)置所述用戶站端的受控端口的狀態(tài)為“授權(quán)”,設(shè)置所述基站端的受控端口的狀態(tài)為“授權(quán)”�����;
53���、所述用戶站和基站根據(jù)所述會話密鑰�����,通過授權(quán)的受控端口對受控信息進(jìn)行保密傳輸�����;
若所述用戶站�、基站未完成身份鑒別和會話協(xié)商���,或者用戶站和基站任一項(xiàng)的身份鑒別結(jié)果為不合法���,則所述用戶站端的受控端口的狀態(tài)為“未授權(quán)”,所述基站端的受控端口的狀態(tài)為“未授權(quán)”��;所述用戶站和所述基站之間不能通過未授權(quán)的受控端口傳送受控信息,只能通過非受控端口傳送非受控信息�。本發(fā)明實(shí)施例提供的無線城域網(wǎng)系統(tǒng),包括基站�����、用戶站和認(rèn)證服務(wù)器����;所述基站包括BS端安全管理模塊和BS端通信模塊�����;所述用戶站包括SS端安全管理模塊和SS端通信模塊�����;
在用戶站接入基站的過程中���,所述BS端安全管理模塊��、SS端安全管理模塊通過非受控端口與所述認(rèn)證服務(wù)器進(jìn)行基于WMAN-SA協(xié)議的身份鑒別����;
在用戶站和基站的身份鑒別結(jié)果均合法時(shí)��,所述BS端安全管理模塊、SS端安全管理模塊還通過非受控端口進(jìn)行基于WMAN-SA協(xié)議的會話協(xié)商�,獲得會話密鑰;并且����,所述BS端安全管理模塊設(shè)置基站端的受控端口的狀態(tài)為“授權(quán)”,所述SS端安全管理模塊設(shè)置用戶站端的受控端口的狀態(tài)為“授權(quán)”����;
所述BS端通信模塊與所述SS端通信模塊之間根據(jù)所述會話密鑰,通過授權(quán)的受控端口對受控信息進(jìn)行保密傳輸���;
若所述用戶站����、基站未完成身份鑒別和會話協(xié)商�����,或者用戶站和基站任一項(xiàng)的身份鑒別結(jié)果為不合法��,則所述用戶站端的受控端口的狀態(tài)為“未授權(quán)”����,所述基站端的受控端口的狀態(tài)為“未授權(quán)”�;所述BS端通信模塊與所述SS端通信模塊之間不能通過未授權(quán)的受控端口傳送受控信息���,只能通過非受控端口傳送非受控信息�����。本發(fā)明實(shí)施例提供的無線城域網(wǎng)安全接入?yún)f(xié)議的實(shí)現(xiàn)方法及系統(tǒng),通過在用戶站����、基站增加安全管理模塊,完成基于WMAN-SA協(xié)議的身份鑒別和會話協(xié)商��,并根據(jù)身份鑒別結(jié)果設(shè)置受控端口的狀態(tài)�����,使用戶站與基站之間通過授權(quán)的受控端口傳送受控信息�����。本發(fā)明實(shí)施例可在不修改無線城域網(wǎng)設(shè)備的軟硬件的基礎(chǔ)上實(shí)現(xiàn)WMAN-SA協(xié)議�,通用性強(qiáng)。
圖1是本發(fā)明實(shí)施例一提供的無線城域網(wǎng)安全接入?yún)f(xié)議的實(shí)現(xiàn)方法的流程示意圖2是本發(fā)明實(shí)施例二提供的無線城域網(wǎng)系統(tǒng)的結(jié)構(gòu)示意圖; 圖3是本發(fā)明實(shí)施例三提供的無線城域網(wǎng)安全接入?yún)f(xié)議的實(shí)現(xiàn)方法的流程示意圖�����。
具體實(shí)施方式
下面將結(jié)合本發(fā)明實(shí)施例中的附圖���,對本發(fā)明實(shí)施例中的技術(shù)方案進(jìn)行清楚��、完整地描述�����,顯然����,所描述的實(shí)施例僅僅是本發(fā)明一部分實(shí)施例�����,而不是全部的實(shí)施例���?��;诒景l(fā)明中的實(shí)施例����,本領(lǐng)域普通技術(shù)人員在沒有作出創(chuàng)造性勞動前提下所獲得的所有其他實(shí)施例�,都屬于本發(fā)明保護(hù)的范圍。本發(fā)明實(shí)施例提供的無線城域網(wǎng)安全接入?yún)f(xié)議的實(shí)現(xiàn)方法及系統(tǒng)�,能夠在不修改無線城域網(wǎng)設(shè)備的軟硬件的基礎(chǔ)上實(shí)現(xiàn)WMAN-SA協(xié)議。下面僅以IEEE 802. 16無線城域網(wǎng)為例進(jìn)行說明����。本發(fā)明實(shí)施例在用戶站(以下簡稱SS)和基站(以下簡稱BS)兩側(cè)分別配置非受控端口,用于傳輸非受控信息�����。該非受控信息包括WMAN-SA信令��、無線城域網(wǎng)接入?yún)f(xié)議管理類型的信令等��,例如���,用戶站SS和基站BS兩者之間基于WMAN-SA協(xié)議進(jìn)行身份鑒別和會話協(xié)商的信令均為非受控信息。此外�����,本發(fā)明實(shí)施例還在用戶站SS和基站BS兩側(cè)分別配置受控端口,用于傳輸受控信息����。該受控信息包括視頻、音頻等業(yè)務(wù)數(shù)據(jù)�����。其中�,“非受控信息”、 “受控信息”具有特定的數(shù)據(jù)結(jié)構(gòu)�,并使用特定字段表示信令類型,這是本領(lǐng)域的常規(guī)技術(shù)��, 在此不予詳述�。非受控端口和受控端口均為邏輯端口,可以采用以下方法配置端口的類型非受控信息采用指定的端口進(jìn)行通信�����;而受控信息采用其他端口通信�。傳輸非受控信息所使用的端口即為非受控端口,而傳輸受控信息所使用的端口即為受控端口��。需要說明的是�����,上述的配置端口類型的方法,是本發(fā)明的優(yōu)選實(shí)施方式�����,并不是唯一的實(shí)施例��。其中��,非受控端口不具有權(quán)限限制�,一直打開,用戶站SS和基站BS通過非受控端口實(shí)現(xiàn)非受控信息的交互傳輸���。而受控端口具有權(quán)限限制��,需要根據(jù)SS和BS的身份鑒別結(jié)果來確定受控端口的狀態(tài),當(dāng)SS和BS均合法時(shí)���,設(shè)置受控端口的狀態(tài)為“授權(quán)”���,打開受控端口,SS和BS可通過授權(quán)的受控端口實(shí)現(xiàn)受控信息的交互傳輸�。否則�����,設(shè)置受控端口的狀態(tài)為“未授權(quán)”����,未授權(quán)的受控端口不能傳送受控信息�。參見圖1,是本發(fā)明實(shí)施例一提供的無線城域網(wǎng)安全接入?yún)f(xié)議的實(shí)現(xiàn)方法的流程示意圖��,該方法包括以下步驟
so���、用戶站搜索基站的信號�,準(zhǔn)備接入基站����;
Si、在用戶站接入基站的過程中�����,用戶站��、基站通過非受控端口與認(rèn)證服務(wù)器進(jìn)行基于 WMAN-SA協(xié)議的身份鑒別�;
在步驟Si����,還包括在進(jìn)行身份鑒別之前���,設(shè)置用戶站端的受控端口的狀態(tài)為“未授權(quán)”����,設(shè)置基站端的受控端口的狀態(tài)為“未授權(quán)”����;未授權(quán)的受控端口不能傳送受控信息。S2���、在用戶站和基站的身份鑒別結(jié)果均合法時(shí)�����,用戶站�、基站還通過非受控端口進(jìn)行基于WMAN-SA協(xié)議的會話協(xié)商��,獲得會話密鑰����;
并且,設(shè)置用戶站端的受控端口的狀態(tài)為“授權(quán)”�,設(shè)置基站端的受控端口的狀態(tài)為“授
權(quán)”;
若用戶站和基站任一項(xiàng)的身份鑒別結(jié)果為不合法��,則退出流程���。S3�、用戶站和基站根據(jù)所述會話密鑰����,通過授權(quán)的受控端口對受控信息進(jìn)行保密傳輸。若用戶站�、基站未完成身份鑒別和會話協(xié)商,或者用戶站和基站任一項(xiàng)的身份鑒別結(jié)果為不合法���,則用戶站端的受控端口的狀態(tài)為“未授權(quán)”����,基站端的受控端口的狀態(tài)為“未授權(quán)”��;用戶站和基站之間不能通過未授權(quán)的受控端口傳送受控信息�,只能通過非受控端口傳送非受控信息。優(yōu)選的,用戶站和基站通過基于IEEE802. 16的通信系統(tǒng)進(jìn)行通信�����。其中�,通過非受控端口傳送的信息為非受控信息,非受控信息包括WMAN-SA信令和無線城域網(wǎng)接入?yún)f(xié)議管理類型的信令�;通過受控端口傳送的受控信息包括業(yè)務(wù)數(shù)據(jù)。需要說明的是��,步驟S2中的基于WMAN-SA協(xié)議的身份鑒別及會話協(xié)商方法�����,與申請?zhí)枮椤?00810027930.0”�,發(fā)明名稱為“一種無線城域網(wǎng)的安全接入方法”的發(fā)明專利申請中所公開的身份鑒別及會話協(xié)商方法相同,在此不再贅述�����。具體實(shí)施時(shí)�����,本發(fā)明實(shí)施例提供的無線城域網(wǎng)安全接入?yún)f(xié)議的實(shí)現(xiàn)方法���,可通過在用戶站�、基站增加安全管理模塊�,完成基于WMAN-SA協(xié)議的身份鑒別和會話協(xié)商,并根據(jù)身份鑒別結(jié)果設(shè)置受控端口的狀態(tài)���,使用戶站與基站之間通過授權(quán)的受控端口傳送受控信息���。可以在不修改無線城域網(wǎng)設(shè)備的軟硬件的基礎(chǔ)上實(shí)現(xiàn)WMAN-SA協(xié)議��,通用性強(qiáng)���。相應(yīng)地����,本發(fā)明實(shí)施例還提供一種無線城域網(wǎng)�,能夠?qū)嵤┥鲜龅臒o線城域網(wǎng)安全接入?yún)f(xié)議的實(shí)現(xiàn)方法的所有步驟。參見圖2����,是本發(fā)明實(shí)施例二提供的無線城域網(wǎng)系統(tǒng)的結(jié)構(gòu)示意圖。所述無線城域網(wǎng)系統(tǒng)包括基站BS�����、用戶站SS和認(rèn)證服務(wù)器AS ;所述基站包括BS 端安全管理模塊和BS端通信模塊���;所述用戶站包括SS端安全管理模塊和SS端通信模塊���。優(yōu)選的,基站BS����、用戶站SS通過基于IEEE802. 16的通信系統(tǒng)進(jìn)行通信。BS端通信模塊與SS端通信模塊組成基于IEEE 802. 16的通信系統(tǒng)����,它們之間通過基于IEEE802. 16協(xié)議的空中接口進(jìn)行通信。通信的信息分為兩類非受控信息(例如 WMAN-SA信令�、無線城域網(wǎng)接入?yún)f(xié)議管理類型的信令)以及受控信息(例如視頻、音頻等業(yè)務(wù)數(shù)據(jù))�。受控信息通過受控端口傳遞,非受控信息通過非受控端口傳遞�。BS安全管理模塊與 SS安全管理模塊通過基于IEEE 802. 16的通信系統(tǒng)進(jìn)行通信,實(shí)現(xiàn)WMAN-SA協(xié)議�����。BS端安全管理模塊的功能包括完成基于WMAN-SA協(xié)議的身份鑒別和密鑰協(xié)商; 根據(jù)身份鑒別結(jié)果設(shè)置BS端受控端口的狀態(tài)�;從業(yè)務(wù)網(wǎng)上傳或下載受控信息;加密來自業(yè)務(wù)網(wǎng)的受控信息���;解密來自SS的受控信息。SS端安全管理模塊的功能包括完成基于WMAN-SA協(xié)議的身份鑒別和密鑰協(xié)商��; 根據(jù)身份鑒別結(jié)果設(shè)置SS端受控端口的狀態(tài)����;接收或發(fā)送受控信息給用戶;解密來自BS 的受控信息����;加密來自用戶的受控信息。在用戶站接入基站的過程中�����,BS端安全管理模塊����、SS端安全管理模塊通過非受控端口與認(rèn)證服務(wù)器進(jìn)行基于WMAN-SA協(xié)議的身份鑒別;在用戶站和基站的身份鑒別結(jié)果均合法時(shí)��,BS端安全管理模塊、SS端安全管理模塊還通過非受控端口進(jìn)行基于WMAN-SA協(xié)議的會話協(xié)商�����,獲得會話密鑰���;并且�,BS端安全管理模塊設(shè)置基站端的受控端口的狀態(tài)為“授權(quán)”���,SS端安全管理模塊設(shè)置用戶站端的受控端口的狀態(tài)為“授權(quán)” ��;BS端通信模塊與SS端通信模塊之間根據(jù)所述會話密鑰����,通過授權(quán)的受控端口對受控信息進(jìn)行保密傳輸���。若用戶站���、基站未完成身份鑒別和會話協(xié)商,或者用戶站和基站任一項(xiàng)的身份鑒別結(jié)果為不合法���,則用戶站端的受控端口的狀態(tài)為“未授權(quán)”���,基站端的受控端口的狀態(tài)為 “未授權(quán)” ��;BS端通信模塊與SS端通信模塊之間不能通過未授權(quán)的受控端口傳送受控信息�����, 只能通過非受控端口傳送非受控信息�����。
參見圖3,是本發(fā)明實(shí)施例三提供的無線城域網(wǎng)安全接入?yún)f(xié)議的實(shí)現(xiàn)方法的流程示意圖�����,無線城域網(wǎng)系統(tǒng)的安全接入?yún)f(xié)議的實(shí)現(xiàn)方法的流程如下
5101���、用戶站搜索基站的信號��,準(zhǔn)備接入基站��;
5102、在進(jìn)行身份鑒別之前���,BS端安全管理模塊設(shè)置基站端的受控端口的狀態(tài)為“未授權(quán)”����,SS端安全管理模塊設(shè)置用戶站端的受控端口的狀態(tài)為“未授權(quán)”;未授權(quán)的受控端口不能傳送受控信息���;
5103���、BS端安全管理模塊、SS端安全管理模塊通過非受控端口與認(rèn)證服務(wù)器進(jìn)行基于 WMAN-SA協(xié)議的身份鑒別�;
其中�,BS端通信模塊與SS端通信模塊之間通過非受控端口傳送非受控信息��,非受控信息包括WMAN-SA信令、無線城域網(wǎng)接入?yún)f(xié)議管理類型的信令等�。受控端口與非受控端口具有不同的端口號;受控信息包括業(yè)務(wù)數(shù)據(jù)�����。S104����、若用戶站和基站的身份鑒別結(jié)果均合法����,則執(zhí)行S105�,否則執(zhí)行S108 ����;
5105���、BS端安全管理模塊����、SS端安全管理模塊通過非受控端口進(jìn)行基于WMAN-SA協(xié)議的會話協(xié)商����,獲得會話密鑰;
5106��、BS端安全管理模塊設(shè)置基站端的受控端口的狀態(tài)為“授權(quán)”���,SS端安全管理模塊設(shè)置用戶站端的受控端口的狀態(tài)為“授權(quán)”�;
5107���、BS端通信模塊與SS端通信模塊之間通過授權(quán)的受控端口對受控信息進(jìn)行保密傳輸���;
5108、結(jié)束�。需要說明的是,步驟S103、S105中的基于WMAN-SA協(xié)議的身份鑒別及會話協(xié)商方法�,與申請?zhí)枮椤?00810027930.0”,發(fā)明名稱為“一種無線城域網(wǎng)的安全接入方法”的發(fā)明專利申請中所公開的身份鑒別及會話協(xié)商方法相同�����,在此不再贅述�����。本發(fā)明實(shí)施例提供的無線城域網(wǎng)系統(tǒng)�,通過在用戶站、基站增加安全管理模塊��,完成基于WMAN-SA協(xié)議的身份鑒別和會話協(xié)商�,并根據(jù)身份鑒別結(jié)果設(shè)置受控端口的狀態(tài)�, 使用戶站與基站之間通過授權(quán)的受控端口傳送受控信息。本發(fā)明實(shí)施例可在不修改無線城域網(wǎng)設(shè)備的軟硬件的基礎(chǔ)上實(shí)現(xiàn)WMAN-SA協(xié)議��,通用性強(qiáng)���。以上所述是本發(fā)明的優(yōu)選實(shí)施方式,應(yīng)當(dāng)指出���,對于本技術(shù)領(lǐng)域的普通技術(shù)人員來說��,在不脫離本發(fā)明原理的前提下���,還可以做出若干改進(jìn)和潤飾�����,這些改進(jìn)和潤飾也視為本發(fā)明的保護(hù)范圍�����。
權(quán)利要求
1.一種無線城域網(wǎng)安全接入?yún)f(xié)議的實(shí)現(xiàn)方法��,其特征在于���,包括51���、在用戶站接入基站的過程中��,所述用戶站�、基站通過非受控端口與認(rèn)證服務(wù)器進(jìn)行基于WMAN-SA協(xié)議的身份鑒別����;52����、在所述用戶站和基站的身份鑒別結(jié)果均合法時(shí),所述用戶站���、基站還通過非受控端口進(jìn)行基于WMAN-SA協(xié)議的會話協(xié)商���,獲得會話密鑰;并且�,設(shè)置所述用戶站端的受控端口的狀態(tài)為“授權(quán)”,設(shè)置所述基站端的受控端口的狀態(tài)為“授權(quán)”�����;53、所述用戶站和基站根據(jù)所述會話密鑰�,通過授權(quán)的受控端口對受控信息進(jìn)行保密傳輸��;若所述用戶站�����、基站未完成身份鑒別和會話協(xié)商����,或者用戶站和基站任一項(xiàng)的身份鑒別結(jié)果為不合法�����,則所述用戶站端的受控端口的狀態(tài)為“未授權(quán)”�����,所述基站端的受控端口的狀態(tài)為“未授權(quán)”��;所述用戶站和所述基站之間不能通過未授權(quán)的受控端口傳送受控信息��,只能通過非受控端口傳送非受控信息�。
2.如權(quán)利要求1所述的無線城域網(wǎng)安全接入?yún)f(xié)議的實(shí)現(xiàn)方法,其特征在于��,所述用戶站和所述基站通過基于IEEE802. 16的通信系統(tǒng)進(jìn)行通信�。
3.如權(quán)利要求1或2所述的無線城域網(wǎng)安全接入?yún)f(xié)議的實(shí)現(xiàn)方法,其特征在于�,所述非受控信息包括WMAN-SA信令和無線城域網(wǎng)接入?yún)f(xié)議管理類型的信令�;所述受控信息包括業(yè)務(wù)數(shù)據(jù)。
4.一種無線城域網(wǎng)系統(tǒng)�����,其特征在于�,包括基站、用戶站和認(rèn)證服務(wù)器����;所述基站包括 BS端安全管理模塊和BS端通信模塊�;所述用戶站包括SS端安全管理模塊和SS端通信模塊;在用戶站接入基站的過程中,所述BS端安全管理模塊��、SS端安全管理模塊通過非受控端口與所述認(rèn)證服務(wù)器進(jìn)行基于WMAN-SA協(xié)議的身份鑒別;在用戶站和基站的身份鑒別結(jié)果均合法時(shí)����,所述BS端安全管理模塊��、SS端安全管理模塊還通過非受控端口進(jìn)行基于WMAN-SA協(xié)議的會話協(xié)商�,獲得會話密鑰�����;并且����,所述BS端安全管理模塊設(shè)置基站端的受控端口的狀態(tài)為“授權(quán)”,所述SS端安全管理模塊設(shè)置用戶站端的受控端口的狀態(tài)為“授權(quán)”��;所述BS端通信模塊與所述SS端通信模塊之間根據(jù)所述會話密鑰���,通過授權(quán)的受控端口對受控信息進(jìn)行保密傳輸�����;若所述用戶站、基站未完成身份鑒別和會話協(xié)商��,或者用戶站和基站任一項(xiàng)的身份鑒別結(jié)果為不合法����,則所述用戶站端的受控端口的狀態(tài)為“未授權(quán)”����,所述基站端的受控端口的狀態(tài)為“未授權(quán)”;所述BS端通信模塊與所述SS端通信模塊之間不能通過未授權(quán)的受控端口傳送受控信息,只能通過非受控端口傳送非受控信息��。
5.如權(quán)利要求4所述無線城域網(wǎng)系統(tǒng)�,其特征在于,所述用戶站和所述基站通過基于 IEEE802. 16的通信系統(tǒng)進(jìn)行通信���。
6.如權(quán)利要求4或5所述無線城域網(wǎng)系統(tǒng),其特征在于����,所述非受控信息包括WMAN-SA 信令和無線城域網(wǎng)接入?yún)f(xié)議管理類型的信令;所述受控信息包括業(yè)務(wù)數(shù)據(jù)��。
全文摘要
本發(fā)明公開了一種無線城域網(wǎng)安全接入?yún)f(xié)議的實(shí)現(xiàn)方法及系統(tǒng)�����,該方法包括在用戶站接入基站的過程中���,所述用戶站�、基站通過非受控端口與認(rèn)證服務(wù)器進(jìn)行基于WMAN-SA協(xié)議的身份鑒別�����;在所述用戶站和基站的身份鑒別結(jié)果均合法時(shí)��,設(shè)置所述用戶站端的受控端口的狀態(tài)為“授權(quán)”���,設(shè)置所述基站端的受控端口的狀態(tài)為“授權(quán)”;所述用戶站和基站通過授權(quán)的受控端口傳送受控信息。本發(fā)明實(shí)施例可在不修改無線城域網(wǎng)設(shè)備的軟硬件的基礎(chǔ)上實(shí)現(xiàn)WMAN-SA協(xié)議���,通用性強(qiáng)����。
文檔編號H04W12/06GK102223636SQ20111020281
公開日2011年10月19日 申請日期2011年7月20日 優(yōu)先權(quán)日2011年7月20日
發(fā)明者張永強(qiáng), 林凡, 王勝男, 陳璇 申請人:廣州杰賽科技股份有限公司