亚洲成年人黄色一级片,日本香港三级亚洲三级,黄色成人小视频,国产青草视频,国产一区二区久久精品,91在线免费公开视频,成年轻人网站色直接看

填充序列長度可變的無線媒體接入層鑒權(quán)和密鑰協(xié)商方法

文檔序號(hào):7937700閱讀:207來源:國知局
專利名稱:填充序列長度可變的無線媒體接入層鑒權(quán)和密鑰協(xié)商方法
技術(shù)領(lǐng)域
本發(fā)明涉及一種無線寬帶城域網(wǎng)技術(shù),尤其是涉及一種完成對(duì)寬帶無線城域網(wǎng)媒體接入層即MAC層的安全技術(shù),包括身份雙向鑒權(quán)(Authentification),信息完整性保護(hù) (informationlntegrity protection),密鑰分配(Key Allocation)禾口信息力口、角軍密(Data Encryption, Decryption)技術(shù)。
背景技術(shù)
無線寬帶城域網(wǎng)的典型是IEEE802. 16系列標(biāo)準(zhǔn),用戶接入基站時(shí),首先要向基站進(jìn)行鑒權(quán),獲取鑒權(quán)密鑰;然后根據(jù)鑒權(quán)密鑰使用算法推導(dǎo)出會(huì)話加密密鑰,使用會(huì)話加密密鑰進(jìn)行保密通信。鑒權(quán)的過程實(shí)際上就是通過用戶站的數(shù)字證書實(shí)現(xiàn)基站對(duì)用戶站的鑒權(quán),用戶站證書的頒發(fā)者是一個(gè)可信的第三方。在目前的IEEE802. 16中,引入了一個(gè)認(rèn)證服務(wù)器代替基站對(duì)用戶站進(jìn)行認(rèn)證。當(dāng)用戶站向基站進(jìn)行鑒權(quán)時(shí),其具體的鑒權(quán)流程如下1)用戶站向基站發(fā)送證書報(bào)文,該報(bào)文包括用戶站的數(shù)字證書。該報(bào)文僅用于通知基站有關(guān)該用戶站的信息,基站可以忽略該報(bào)文。2)用戶站向基站發(fā)送注冊(cè)鑒權(quán)請(qǐng)求報(bào)文,該信息包括用戶站的數(shù)字證書,支持會(huì)話算法和用戶站的連接標(biāo)識(shí)等信息。3)基站驗(yàn)證用戶站證書的合法性(通過認(rèn)證服務(wù)器來驗(yàn)證),然后發(fā)送注冊(cè)鑒權(quán)請(qǐng)求確認(rèn)消息給用戶站,該消息包括基站對(duì)用戶站授權(quán)的一系列安全關(guān)聯(lián)標(biāo)識(shí)、授權(quán)密鑰、 鑒權(quán)密鑰以及確認(rèn)的會(huì)話算法等。認(rèn)證完成之后,用戶站和基站可以利用鑒權(quán)密鑰協(xié)商出會(huì)話加密密鑰。產(chǎn)生會(huì)話加密密鑰的協(xié)商過程如下1)用戶站向基站發(fā)送會(huì)話加密密鑰協(xié)商請(qǐng)求報(bào)文,該報(bào)文包括安全關(guān)聯(lián)標(biāo)識(shí)和所要協(xié)商的會(huì)話加密密鑰的標(biāo)識(shí)信息;2)基站向用戶站發(fā)送會(huì)話加密密鑰協(xié)商請(qǐng)求確認(rèn)報(bào)文,該報(bào)文包括安全關(guān)聯(lián)標(biāo)識(shí)、所要協(xié)商的會(huì)話加密密鑰的標(biāo)識(shí)信息、會(huì)話加密密鑰和其生命周期。通信中使用會(huì)話加密密鑰來保證用戶站和基站之間傳輸信息的安全。以上認(rèn)證機(jī)制中所有的密鑰都是由基站提供的,使用可信的第三方提供的數(shù)字證書來證明用戶站的合法性。信息交互通過公鑰加密算法加密通信信息,以保證信息的機(jī)密性。因?yàn)槭褂脝蜗蛘J(rèn)證,基站認(rèn)證用戶站,用戶站不認(rèn)證基站,因而上述認(rèn)證機(jī)制容易受到偽基站的攻擊。由于使用公鑰加密,其運(yùn)算速度遠(yuǎn)低于對(duì)稱加密技術(shù),在鑒權(quán)和密鑰協(xié)商過程中傳輸了數(shù)字證書、鑒權(quán)密鑰和會(huì)話加密密鑰,占用了很多無線帶寬。在實(shí)際運(yùn)用中,可以發(fā)現(xiàn),由于受公共信道承載能力和認(rèn)證密鑰信息長度的影響,通常需要對(duì)鑒權(quán)信息進(jìn)行分段傳輸,并且占用過多的無線資源也會(huì)加劇網(wǎng)絡(luò)中的碰撞情況。如果發(fā)生碰撞會(huì)話加密密鑰丟失,將會(huì)導(dǎo)致密鑰不同步,通信無法正常進(jìn)行。同時(shí)由于密鑰更新的時(shí)間由基站管理,若用戶站無法與基站同步也將導(dǎo)致密鑰失效造成通信中斷。更加嚴(yán)重的是,一旦密鑰丟失后,基站和用戶站將無法通過自啟動(dòng)方式回復(fù)通信。值得注意的是,相同的鑒權(quán)方式、控制信令或數(shù)據(jù)信息通過會(huì)話加密密鑰加密后得到傳輸?shù)母袷蕉家恢拢舯粋谓K端捕捉到該信息后,雖然其無法破譯信息內(nèi)容,但采用重復(fù)發(fā)送攻擊方式也會(huì)導(dǎo)致網(wǎng)絡(luò)癱瘓。所以,在設(shè)計(jì)加密鑒權(quán)協(xié)議的時(shí)候,即要考慮密鑰同步問題,同時(shí)也需要防止泛洪攻擊。中國專利CN101707773A公開一種WLAN接入網(wǎng)關(guān)、移動(dòng)網(wǎng)與無線寬帶網(wǎng)的融合方法和系統(tǒng),涉及通信領(lǐng)域。其中一種移動(dòng)網(wǎng)與無線寬帶網(wǎng)的融合方法包括:WLAN接入網(wǎng)關(guān)接收用戶設(shè)備發(fā)送的接入無線寬帶網(wǎng)的注冊(cè)請(qǐng)求,注冊(cè)請(qǐng)求中包括插入用戶設(shè)備中的用戶識(shí)別卡的用戶標(biāo)識(shí)碼和X_CT_Timnel信息;WLAN接入網(wǎng)關(guān)向用戶設(shè)備返回隨機(jī)數(shù);用戶設(shè)備基于用戶識(shí)別卡根據(jù)隨機(jī)數(shù)進(jìn)行接入鑒權(quán),生成鑒權(quán)碼;用戶設(shè)備將鑒權(quán)碼和隨機(jī)數(shù)發(fā)送給WLAN接入網(wǎng)關(guān);WJVN接入網(wǎng)關(guān)根據(jù)鑒權(quán)碼和注冊(cè)請(qǐng)求的信息,與移動(dòng)網(wǎng)中的認(rèn)證服務(wù)器完成用戶設(shè)備的接入認(rèn)證;WLAN接入網(wǎng)關(guān)根據(jù)認(rèn)證結(jié)果,響應(yīng)用戶設(shè)備的注冊(cè)請(qǐng)求。該發(fā)明基于WLAN接入網(wǎng)關(guān)實(shí)現(xiàn)了移動(dòng)網(wǎng)與寬帶互聯(lián)網(wǎng)的網(wǎng)絡(luò)融合。

發(fā)明內(nèi)容
本發(fā)明的目的在于提供一種填充序列長度可變的無線媒體接入(MAC)層鑒權(quán)和密鑰協(xié)商方法。本發(fā)明包括以下步驟1)初始化用戶站和基站使用共同的16比特的隨機(jī)加密參數(shù)和128比特的密鑰加密密鑰,由密鑰導(dǎo)出算法導(dǎo)出控制信息加密密鑰、業(yè)務(wù)數(shù)據(jù)加密密鑰和加密方式;2)基站向用戶站周期性地發(fā)送廣播消息,用戶站解析廣播消息,得到基站的MAC 地址等信息;當(dāng)用戶站鑒權(quán)基站合法時(shí),自動(dòng)生成注冊(cè)鑒權(quán)請(qǐng)求消息,若信息長度不足傳輸數(shù)據(jù)塊的最大長度,則使用填充算法計(jì)算出填充序列后補(bǔ)足到該數(shù)據(jù)塊的末尾,再使用控制信息加密密鑰和相應(yīng)的加密方式加密該信息,通過公共控制信道傳遞給基站;3)基站收到用戶站的注冊(cè)鑒權(quán)請(qǐng)求消息后,通過公共信道的控制信息加密密鑰、 加密方式和填充算法解析出該信息,發(fā)送注冊(cè)鑒權(quán)請(qǐng)求信息給注冊(cè)鑒權(quán)模塊,注冊(cè)鑒權(quán)模塊從數(shù)據(jù)庫中檢索對(duì)應(yīng)的用戶站的MAC地址,若沒找到,則認(rèn)為該用戶站不合法;反之,認(rèn)為合法;不論用戶站是否合法注冊(cè)鑒權(quán)模塊都要生成注冊(cè)鑒權(quán)確認(rèn)消息給基站;基站根據(jù)來自注冊(cè)鑒權(quán)模塊的注冊(cè)鑒權(quán)確認(rèn)信息生成不同的注冊(cè)鑒權(quán)回復(fù)信息,經(jīng)過加密后,通過公共控制信道傳遞到用戶站;4)用戶站利用公共信道的控制信息加密密鑰、加密方式和填充算法解析來自基站的注冊(cè)鑒權(quán)回復(fù)信息,首先讀取允許注冊(cè)的標(biāo)志位,若有效,則從該消息中抽取出用戶站的網(wǎng)絡(luò)臨時(shí)號(hào)號(hào)、加密隨機(jī)參數(shù)、基站的MAC地址,導(dǎo)入到密鑰生成算法得到相應(yīng)的控制信息加密密鑰,業(yè)務(wù)信息加密密鑰和加密方式;反之,不做任何處理同時(shí)關(guān)閉周期注冊(cè)定時(shí)器等待新的小區(qū)配置廣播信息;5)在周期注冊(cè)時(shí),基站會(huì)根據(jù)密鑰計(jì)時(shí)器對(duì)密鑰進(jìn)行周期性的更新,當(dāng)更新密鑰信息部能及時(shí)傳遞給用戶站時(shí),基站仍可以使用舊的密鑰信息來解密用戶站的信息,只有當(dāng)基站能用備用的密鑰信息正確解密信息的時(shí)候,才替代正在使用的密鑰信息,從而保證在沒有握手機(jī)制的條件下(即減少控制信息交互條件下),進(jìn)行密鑰信息的同步更新;6)使用推導(dǎo)出來的控制信息加密密鑰、隨機(jī)加密參數(shù)和加密方式對(duì)控制信息進(jìn)行加密,使用業(yè)務(wù)數(shù)據(jù)加密密鑰高級(jí)加密標(biāo)準(zhǔn)算法算法對(duì)業(yè)務(wù)數(shù)據(jù)進(jìn)行加密。在步驟2)中,所述廣播消息可包括基站MAC地址、配置信息內(nèi)容和資源調(diào)度信息寸。所述基站和用戶站發(fā)送的所有消息都是經(jīng)過加密的,包括廣播消息,注冊(cè)鑒權(quán)請(qǐng)求消息,注冊(cè)確認(rèn)消息等消息。所述基站和用戶站由共同的16比特的隨機(jī)加密參數(shù)和128比特的密鑰加密密鑰通過密鑰導(dǎo)出算法計(jì)算出控制信息加密密鑰、業(yè)務(wù)數(shù)據(jù)加密密鑰和加密方式這三個(gè)參數(shù), 因此加密密鑰的協(xié)商是由基站和用戶站使用算法分別計(jì)算出來的,不用通過無線信道的傳輸,避免了被竊聽的危險(xiǎn)。并且使用多種的加密算法對(duì)控制信息進(jìn)行加密。所述基站和用戶站發(fā)送的控制信息長度未達(dá)到傳輸數(shù)據(jù)塊長度時(shí),使用填充序列算法生成填充比特串,補(bǔ)足到控制信息的尾部。引入填充算法的目的,一是檢驗(yàn)數(shù)據(jù)的完整性,接收方解密接收的信息之后,使用填充序列算法計(jì)算出原信息的填充序列,然后和接收到的信息中的填充序列進(jìn)行比較,如果不一樣就說明信息在傳輸過程中被篡改了。另一個(gè)是防止泛洪攻擊,若有個(gè)偽終端截獲該信息不斷地重發(fā)將會(huì)導(dǎo)致網(wǎng)絡(luò)癱瘓。所以在進(jìn)行填充算法過程的時(shí)候,將填充得到的序列和前一次得到填充序列進(jìn)行比較,若相同則通過取反算法獲得新的填充序列。在接收端, 對(duì)每種接收控制信息都存放對(duì)應(yīng)的填充序列信息,若解密后的填充序列信息與前一次解密的填充序列信息相同,則認(rèn)為該信息為攻擊信息直接丟棄。所述基站使用三套密鑰解析來自用戶站的消息,一個(gè)是當(dāng)前使用的密鑰,一個(gè)是備用的密鑰,一個(gè)是初始化的密鑰。若當(dāng)前使用的密鑰解析錯(cuò)誤,則用備用的密鑰解析;若備用密鑰可以正確解析,則用備用密鑰替換當(dāng)前使用的密鑰。這樣既可以減少交互的次數(shù)又保證了密鑰的及時(shí)更新。為了保證用戶站重新初始化注冊(cè),同時(shí)也需要保存初始化密鑰對(duì)信息進(jìn)行解析。引入備用密鑰的機(jī)制,可以減少握手機(jī)制。當(dāng)密鑰在無線鏈路傳輸過程中丟失,基站也不需要立刻重新發(fā)送更新的隨機(jī)加密參數(shù)信息。而是使用先前的密鑰進(jìn)行解密,等到下次用戶站注冊(cè)鑒權(quán)的時(shí)候再次發(fā)送更新密鑰信息。這樣不僅減少回復(fù)確認(rèn)機(jī)制信息的傳遞減少網(wǎng)絡(luò)的負(fù)載,而且也保證密鑰的同步更新。所述基站周期性的發(fā)送加密之后的廣播包給用戶站,用戶站解析廣播包后更新關(guān)于基站的相關(guān)參數(shù),并根據(jù)當(dāng)前的注冊(cè)狀態(tài)判斷是否發(fā)起注冊(cè)請(qǐng)求。用戶站的注冊(cè)鑒權(quán)請(qǐng)求消息中包含了用戶站的MAC地址,用戶站注冊(cè)時(shí)所處狀態(tài)標(biāo)志和當(dāng)前所處的基站的MAC 地址。所述基站收到用戶站的注冊(cè)請(qǐng)求信息之后,發(fā)送一個(gè)驗(yàn)證用戶站合法性的請(qǐng)求消息給注冊(cè)鑒權(quán)模塊,由注冊(cè)鑒權(quán)模塊判斷用戶站是否合法。注冊(cè)鑒權(quán)模塊可以是一臺(tái)專門的認(rèn)證服務(wù)器,認(rèn)證服務(wù)器查詢數(shù)據(jù)庫中請(qǐng)求注冊(cè)用戶站的記錄,如果不存在則認(rèn)為該用戶站非法,拒絕其注冊(cè)。如果用戶站合法,返回一個(gè)合法的響應(yīng)信息。驗(yàn)證用戶站合法性的請(qǐng)求消息包括基站的MAC地址、用戶站的MAC地址。基站發(fā)送給用戶站的注冊(cè)鑒權(quán)請(qǐng)求消息包含用戶站的MAC地址、是否允許注冊(cè)標(biāo)志、隨機(jī)加密參數(shù)、用戶站的網(wǎng)絡(luò)臨時(shí)號(hào)號(hào)、基站的MAC地址。當(dāng)從認(rèn)證服務(wù)器得到基站合法的響應(yīng)信息之后,使用確認(rèn)信息的隨機(jī)數(shù)和密鑰導(dǎo)
6出算法計(jì)算出加密密鑰控制信息加密密鑰,業(yè)務(wù)數(shù)據(jù)加密密鑰和加密方式。本發(fā)明的技術(shù)方案包括1、進(jìn)行用戶站和基站雙向注冊(cè)鑒權(quán)分析,包括(1)需要用戶站和基站都有注冊(cè)鑒權(quán)和密鑰分配列表,注冊(cè)鑒權(quán)表用于存放合法的基站信息;密鑰分配表存放公共信道,廣播信道的16比特的隨機(jī)加密參數(shù)和128比特的密鑰加密密鑰的初始化信息,鑒權(quán)的第一步是用戶站向基站發(fā)出鑒權(quán)請(qǐng)求,請(qǐng)求中包含了用戶站的唯一識(shí)別號(hào);(2)基站回復(fù)給用戶站的注冊(cè)確認(rèn)信息中,包含用戶站在基站注冊(cè)的網(wǎng)絡(luò)臨時(shí)號(hào), 隨機(jī)加密參數(shù)等注冊(cè)鑒權(quán)加密信息;這樣縮短了信息長度保證在一個(gè)幀內(nèi)傳遞完成;(3)基站內(nèi)存放兩個(gè)計(jì)數(shù)器,一個(gè)是記錄用戶站注冊(cè)持續(xù)時(shí)間,另一個(gè)是記錄用戶站隨機(jī)加密參數(shù)修改時(shí)間,前者的作用當(dāng)該計(jì)算器超時(shí),基站會(huì)把用戶站注銷,取回網(wǎng)絡(luò)的網(wǎng)絡(luò)臨時(shí)號(hào);后者的作用周期性為注冊(cè)用戶站進(jìn)行隨機(jī)加密參數(shù)的修改,增強(qiáng)加密性能;(4)基站管理密鑰分配,當(dāng)基站更新隨機(jī)加密參數(shù)的時(shí)候,不是立刻更新隨機(jī)加密參數(shù),而是將其暫時(shí)存放到將要使用隨機(jī)加密參數(shù)的緩存中,若用戶站沒有及時(shí)更新隨機(jī)加密參數(shù)導(dǎo)致密鑰更新失步,就會(huì)把信息按照先前的加密方式進(jìn)行加密,這個(gè)時(shí)候基站應(yīng)保留先前的隨機(jī)加密參數(shù),這樣基站還能正確解密,同時(shí)也減少交互隨機(jī)加密參數(shù)的握手過程;2、控制信息填充算法分析,包括(1)隨機(jī)加密參數(shù)和控制信息進(jìn)行異或,移位等操作后,計(jì)算出填充序列補(bǔ)充到數(shù)據(jù)塊中未填滿控制信息的部分,再使用控制信息加密密鑰對(duì)其進(jìn)行加密,這樣就可以防止控制信息在傳遞的過程中被篡改;(2)對(duì)相同控制信息進(jìn)行填充的時(shí)候,需要保證填充序列以一定規(guī)律進(jìn)行變化。比如,相鄰的兩個(gè)相同信息,對(duì)填充序列取反,接收端再根據(jù)填充序列的變化情況決定對(duì)控制信息進(jìn)行接收;這樣就能很好地抵制偽終端重復(fù)發(fā)送截獲信息的泛洪攻擊;3、加密算法分析,包括(1)對(duì)A3A8算法進(jìn)行改進(jìn),把隨機(jī)加密參數(shù)和密鑰加密密鑰作為該算法的輸入, 輸出為控制信息加密密鑰,業(yè)務(wù)數(shù)據(jù)加密密鑰和加密方式(數(shù)據(jù)的排序方式);(2)數(shù)據(jù)按照不同的字節(jié)交換方式構(gòu)成不同加密方式,多變的加密方式增加破譯信息的難度。本發(fā)明通過認(rèn)證鑒權(quán)的方式,基站為注冊(cè)的用戶站分配私有密鑰,然后雙方把共有的密鑰通過加密算法對(duì)控制或數(shù)據(jù)信息進(jìn)行加密的通信過程。本發(fā)明采用雙向注冊(cè)鑒權(quán)來完成相互認(rèn)證,在保障密鑰及時(shí)更新條件下減少基站和用戶站交互的握手狀態(tài)數(shù)目。利用可變長的填充比特算法代替直接傳遞證書機(jī)制從而防止傳遞信息被篡改,也達(dá)到阻止泛洪攻擊的目的。同時(shí)采用傳遞隨機(jī)加密參數(shù)代替長的密鑰信息來減少加密鑒權(quán)信息的長度,減少數(shù)據(jù)的分段,降低碰撞。為了簡化密鑰的管理,把所有的管理機(jī)制都設(shè)置在基站處, 保證密鑰同步更新。本發(fā)明的優(yōu)點(diǎn)在于(1)本發(fā)明的協(xié)議采用雙向鑒權(quán)的方式,不僅防止偽終端對(duì)基站的接入問題,而且避免偽基站對(duì)終端的竊聽、錯(cuò)誤操作的危險(xiǎn)。(2)使用控制信息填充算法對(duì)控制信息的不足比特進(jìn)行填充,進(jìn)而利用該填充序列實(shí)現(xiàn)信息的完整性驗(yàn)證和抵抗泛洪攻擊。(3)控制信息加密密鑰、業(yè)務(wù)數(shù)據(jù)加密密鑰和加密方式都是通過密鑰導(dǎo)出算法計(jì)算出來的,不需要在無線信道上傳輸,既節(jié)省了帶寬資源又避免了被竊聽的危險(xiǎn)。(4)密鑰的所有管理機(jī)制都設(shè)置在基站側(cè),同時(shí)增加密鑰存放空間,既保存當(dāng)前更新密鑰也保存當(dāng)前使用密鑰。一旦隨機(jī)加密參數(shù)在注冊(cè)鑒權(quán)確認(rèn)過程中丟失,基站仍可以采用當(dāng)前使用密鑰解析出正確的信息,保持正常的通信。用戶站只需要通過周期性注冊(cè)獲得更新密鑰的信息。當(dāng)基站能通過更新密鑰解密信息的時(shí)候,就會(huì)把更新密鑰代替當(dāng)前使用密鑰,而不需要添加復(fù)雜的握手機(jī)制得到更新密鑰,減少傳遞狀態(tài),增加工程上的實(shí)現(xiàn)性。(5)使用對(duì)稱加密技術(shù),提高了加解密的速度,減輕基站和用戶站的負(fù)擔(dān)。本發(fā)明提供了多種的控制信息加密算法,并且使用高級(jí)加密標(biāo)準(zhǔn)算法加密業(yè)務(wù)數(shù)據(jù),極大的提高了通信的安全性。


圖1是本發(fā)明所述的基站和用戶站注冊(cè)鑒權(quán)流程圖。圖2是本發(fā)明所述的加密密鑰導(dǎo)出算法圖。圖3是本發(fā)明所述的隨機(jī)序列填充算法圖。圖4是本發(fā)明所述的加密過程圖
具體實(shí)施例方式本發(fā)明的一種填充序列長度可變的無線通信MAC層鑒權(quán)和密鑰協(xié)商方法,主要內(nèi)容包括用戶站、基站的雙向鑒權(quán)和加密密鑰的協(xié)商。其步驟詳細(xì)介紹如下步驟(1)初始化時(shí),用戶站和基站從各自的配置文件中獲得注冊(cè)和加密的相應(yīng)信息(即合法注冊(cè)用戶信息,包括公共信道,廣播信道的16比特的隨機(jī)加密參數(shù)和128比特的密鑰加密密鑰的初始化信息),并將隨機(jī)加密參數(shù)和密鑰加密密鑰由密鑰導(dǎo)出算法導(dǎo)出控制信息初始加密密鑰、業(yè)務(wù)數(shù)據(jù)初始加密密鑰和初始加密方式,并將上述的密鑰加密信息存放起來。步驟( 用戶站通過廣播信道的控制信息加密密鑰解析出廣播信道上的小區(qū)配置信息,把獲得基站信息和注冊(cè)配置信息相比較。若認(rèn)為該基站為合法基站,首先利用填充算法把計(jì)算出來的填充信息補(bǔ)充到數(shù)據(jù)塊中未填滿注冊(cè)鑒權(quán)信息控制信息的部分,利用控制信息加密密鑰和加密方式對(duì)其進(jìn)行加密,通過公共信道傳遞到基站,并啟動(dòng)周期注冊(cè)鑒權(quán)定時(shí)器。步驟(3)基站通過當(dāng)前公共信道使用的控制信息加密密鑰,加密方式和填充算法解析出相應(yīng)的用戶站注冊(cè)鑒權(quán)信息,然后發(fā)送注冊(cè)鑒權(quán)請(qǐng)求信息給注冊(cè)鑒權(quán)模塊。注冊(cè)鑒權(quán)模塊收到來自基站的注冊(cè)鑒權(quán)請(qǐng)求消息后解析出該消息中的用戶站識(shí)別號(hào)。從數(shù)據(jù)庫中檢索該用戶站識(shí)別號(hào)。如果該用戶站識(shí)別號(hào)存在則認(rèn)為此用戶站是合法的,允許其進(jìn)行注冊(cè)鑒權(quán)。如果數(shù)據(jù)庫中不存在該用戶站識(shí)別號(hào)則認(rèn)為此用戶站不是合法用戶,通知基站拒絕該用戶站的注冊(cè)請(qǐng)求。步驟(4)基站收到來自注冊(cè)鑒權(quán)模塊的注冊(cè)鑒權(quán)確認(rèn)信息。若注冊(cè)成功,基站為該用戶站分配網(wǎng)絡(luò)臨時(shí)號(hào),同時(shí)重新生成新的隨機(jī)加密參數(shù)封裝到注冊(cè)鑒權(quán)回復(fù)信息中。 若注冊(cè)不成功,基站不對(duì)該用戶站做任何操作只是在注冊(cè)鑒權(quán)回復(fù)信息中把注冊(cè)成功標(biāo)識(shí)設(shè)置為不成功。然后先使用填充算法補(bǔ)足控制信息,再使用當(dāng)前的控制信息加密密鑰和相應(yīng)的加密方式加密該信息,通過公共信道傳遞給用戶站。同時(shí)對(duì)注冊(cè)成功的用戶站,基站開啟修改隨機(jī)加密參數(shù)計(jì)數(shù)器和注冊(cè)持續(xù)定時(shí)器。步驟( 用戶站通過當(dāng)前公共信道使用的控制信息加密密鑰,加密方式和填充算法解析出相應(yīng)的注冊(cè)鑒權(quán)確認(rèn)信息。若注冊(cè)失敗,用戶站只能繼續(xù)接收廣播信息獲得其它基站的接入權(quán)。若注冊(cè)成功,用戶站從注冊(cè)鑒權(quán)確認(rèn)信息中取出網(wǎng)絡(luò)的網(wǎng)絡(luò)臨時(shí)號(hào)號(hào),隨機(jī)加密參數(shù)和當(dāng)前網(wǎng)絡(luò)的基站的識(shí)別號(hào)。把隨機(jī)加密參數(shù)帶入密鑰導(dǎo)出算法得到相應(yīng)的控制信息加密密鑰,業(yè)務(wù)信息加密密鑰和加密方式,并保存到用戶站的注冊(cè)緩存中以便后續(xù)傳遞控制信息使用。步驟(6)用戶站注冊(cè)鑒權(quán)成功后,修改當(dāng)前的狀態(tài)為注冊(cè)狀態(tài),等待周期注冊(cè)定時(shí)器超時(shí)則重新發(fā)起注冊(cè)鑒權(quán)請(qǐng)求。當(dāng)基站接收到重新注冊(cè)鑒權(quán)請(qǐng)求信息,重新修改注冊(cè)持續(xù)定時(shí)器的時(shí)間和增加隨機(jī)加密參數(shù)計(jì)數(shù)器的值。當(dāng)計(jì)算器的值到達(dá)一定數(shù)值的時(shí)候, 基站就會(huì)更新隨機(jī)加密參數(shù)。若基站在很長一段時(shí)間沒有收到用戶站的重新注冊(cè)鑒權(quán)請(qǐng)求信息,當(dāng)注冊(cè)持續(xù)定時(shí)器超時(shí)就刪除大部分和該用戶站相關(guān)的信息,只保留控制信息初始加密密鑰、業(yè)務(wù)數(shù)據(jù)初始加密密鑰和初始加密方式。步驟(7)基站更新隨機(jī)加密參數(shù)的時(shí)候,不是立刻同時(shí)更新正在使用的加密密鑰、業(yè)務(wù)數(shù)據(jù)加密密鑰和加密方式。而是把更新后加密密鑰、業(yè)務(wù)數(shù)據(jù)加密密鑰和加密方式存放到備用的空間中。只有當(dāng)基站能用備用的密鑰信息正確解密信息的時(shí)候,才替代正在使用的密鑰信息。在沒有握手機(jī)制的條件下(即減少控制信息交互條件下),保證密鑰信息的同步更新。步驟(8)對(duì)相同控制信息通過填充算法得到相同的填充信息,若有個(gè)偽終端截獲該信息不斷地重發(fā)將會(huì)導(dǎo)致網(wǎng)絡(luò)癱瘓。所以在進(jìn)行填充算法過程的時(shí)候,將填充得到的序列和前一次得到填充序列進(jìn)行比較,若相同則通過取反算法獲得新的填充序列。在接收端, 對(duì)每種接收控制信息都存放對(duì)應(yīng)的填充序列信息,若解密后的填充序列信息與前一次解密的填充序列信息相同,則認(rèn)為該信息為攻擊信息直接丟棄。步驟(9)對(duì)于分段的控制信息,由于前幾段控制信息沒有多余的空間進(jìn)行填充, 只能把填充的序列放置最后一段。接收端在接收完整的信息后再計(jì)算填充序列進(jìn)行比較。至此,使用推導(dǎo)出來的控制信息加密密鑰加密控制信息,使用業(yè)務(wù)數(shù)據(jù)加密密鑰加密業(yè)務(wù)數(shù)據(jù),根據(jù)加密方式加密控制信息和基站進(jìn)行通信。使用高級(jí)加密標(biāo)準(zhǔn)算法算法對(duì)業(yè)務(wù)數(shù)據(jù)進(jìn)行加密,完成了系統(tǒng)控制信息和業(yè)務(wù)數(shù)據(jù)信息的加密過程。名詞解釋控制信息加密密鑰控制信息加密密鑰,專門用來加密控制信息;業(yè)務(wù)信息加密密鑰業(yè)務(wù)數(shù)據(jù)加密密鑰;認(rèn)證服務(wù)器認(rèn)證服務(wù)器,認(rèn)證用戶站和基站的合法性。
權(quán)利要求
1.填充序列長度可變的無線媒體接入層鑒權(quán)和密鑰協(xié)商方法,其特征在于包括以下步驟1)初始化用戶站和基站使用共同的16比特的隨機(jī)加密參數(shù)和128比特的密鑰加密密鑰,由密鑰導(dǎo)出算法導(dǎo)出控制信息加密密鑰、業(yè)務(wù)數(shù)據(jù)加密密鑰和加密方式;2)基站向用戶站周期性地發(fā)送廣播消息,用戶站解析廣播消息,得到基站的MAC地址等信息;當(dāng)用戶站鑒權(quán)基站合法時(shí),自動(dòng)生成注冊(cè)鑒權(quán)請(qǐng)求消息,若信息長度不足傳輸數(shù)據(jù)塊的最大長度,則使用填充算法計(jì)算出填充序列后補(bǔ)足到該數(shù)據(jù)塊的末尾,再使用控制信息加密密鑰和相應(yīng)的加密方式加密該信息,通過公共控制信道傳遞給基站;3)基站收到用戶站的注冊(cè)鑒權(quán)請(qǐng)求消息后,通過公共信道的控制信息加密密鑰、加密方式和填充算法解析出該信息,發(fā)送注冊(cè)鑒權(quán)請(qǐng)求信息給注冊(cè)鑒權(quán)模塊,注冊(cè)鑒權(quán)模塊從數(shù)據(jù)庫中檢索對(duì)應(yīng)的用戶站的MAC地址,若沒找到,則認(rèn)為該用戶站不合法;反之,認(rèn)為合法;不論用戶站是否合法注冊(cè)鑒權(quán)模塊都要生成注冊(cè)鑒權(quán)確認(rèn)消息給基站;基站根據(jù)來自注冊(cè)鑒權(quán)模塊的注冊(cè)鑒權(quán)確認(rèn)信息生成不同的注冊(cè)鑒權(quán)回復(fù)信息,經(jīng)過加密后,通過公共控制信道傳遞到用戶站;4)用戶站利用公共信道的控制信息加密密鑰、加密方式和填充算法解析來自基站的注冊(cè)鑒權(quán)回復(fù)信息,首先讀取允許注冊(cè)的標(biāo)志位,若有效,則從該消息中抽取出用戶站的網(wǎng)絡(luò)臨時(shí)號(hào)號(hào)、加密隨機(jī)參數(shù)、基站的MAC地址,導(dǎo)入到密鑰生成算法得到相應(yīng)的控制信息加密密鑰,業(yè)務(wù)信息加密密鑰和加密方式;反之,不做任何處理同時(shí)關(guān)閉周期注冊(cè)定時(shí)器等待新的小區(qū)配置廣播信息;5)在周期注冊(cè)時(shí),基站會(huì)根據(jù)密鑰計(jì)時(shí)器對(duì)密鑰進(jìn)行周期性的更新,當(dāng)更新密鑰信息部能及時(shí)傳遞給用戶站時(shí),基站仍可以使用舊的密鑰信息來解密用戶站的信息,只有當(dāng)基站能用備用的密鑰信息正確解密信息的時(shí)候,才替代正在使用的密鑰信息,從而保證在沒有握手機(jī)制的條件下,進(jìn)行密鑰信息的同步更新;6)使用推導(dǎo)出來的控制信息加密密鑰、隨機(jī)加密參數(shù)和加密方式對(duì)控制信息進(jìn)行加密,使用業(yè)務(wù)數(shù)據(jù)加密密鑰高級(jí)加密標(biāo)準(zhǔn)算法算法對(duì)業(yè)務(wù)數(shù)據(jù)進(jìn)行加密。
2.如權(quán)利要求1所述的填充序列長度可變的無線媒體接入層鑒權(quán)和密鑰協(xié)商方法,其特征在于所述基站和用戶站發(fā)送的所有消息都是經(jīng)過加密的,包括廣播消息、注冊(cè)鑒權(quán)請(qǐng)求消息、注冊(cè)確認(rèn)消息。
3.如權(quán)利要求1或2所述的填充序列長度可變的無線媒體接入層鑒權(quán)和密鑰協(xié)商方法,其特征在于所述廣播消息包括基站MAC地址、配置信息內(nèi)容和資源調(diào)度信息。
4.如權(quán)利要求1所述的填充序列長度可變的無線媒體接入層鑒權(quán)和密鑰協(xié)商方法,其特征在于所述基站和用戶站由共同的16比特的隨機(jī)加密參數(shù)和128比特的密鑰加密密鑰通過密鑰導(dǎo)出算法計(jì)算出控制信息加密密鑰、業(yè)務(wù)數(shù)據(jù)加密密鑰和加密方式這三個(gè)參數(shù), 加密密鑰的協(xié)商由基站和用戶站使用算法分別計(jì)算出來。
5.如權(quán)利要求1所述的填充序列長度可變的無線媒體接入層鑒權(quán)和密鑰協(xié)商方法,其特征在于所述基站和用戶站發(fā)送的控制信息長度未達(dá)到傳輸數(shù)據(jù)塊長度時(shí),使用填充序列算法生成填充比特串,補(bǔ)足到控制信息的尾部。
6.如權(quán)利要求1所述的填充序列長度可變的無線媒體接入層鑒權(quán)和密鑰協(xié)商方法,其特征在于所述基站使用三套密鑰解析來自用戶站的消息,一個(gè)是當(dāng)前使用的密鑰,一個(gè)是備用的密鑰,一個(gè)是初始化的密鑰;若當(dāng)前使用的密鑰解析錯(cuò)誤,則用備用的密鑰解析;若備用密鑰可以正確解析,則用備用密鑰替換當(dāng)前使用的密鑰。
7.如權(quán)利要求1所述的填充序列長度可變的無線媒體接入層鑒權(quán)和密鑰協(xié)商方法,其特征在于所述基站周期性的發(fā)送加密之后的廣播包給用戶站,用戶站解析廣播包后更新關(guān)于基站的相關(guān)參數(shù),并根據(jù)當(dāng)前的注冊(cè)狀態(tài)判斷是否發(fā)起注冊(cè)請(qǐng)求。
8.如權(quán)利要求1所述的填充序列長度可變的無線媒體接入層鑒權(quán)和密鑰協(xié)商方法,其特征在于用戶站的注冊(cè)鑒權(quán)請(qǐng)求消息中包含用戶站的MAC地址、用戶站注冊(cè)時(shí)所處狀態(tài)標(biāo)志和當(dāng)前所處的基站的MAC地址。
9.如權(quán)利要求1所述的填充序列長度可變的無線媒體接入層鑒權(quán)和密鑰協(xié)商方法,其特征在于所述基站收到用戶站的注冊(cè)請(qǐng)求信息之后,發(fā)送一個(gè)驗(yàn)證用戶站合法性的請(qǐng)求消息給注冊(cè)鑒權(quán)模塊,由注冊(cè)鑒權(quán)模塊判斷用戶站是否合法。
10.如權(quán)利要求9所述的填充序列長度可變的無線媒體接入層鑒權(quán)和密鑰協(xié)商方法, 其特征在于所述注冊(cè)鑒權(quán)模塊是一臺(tái)專門的認(rèn)證服務(wù)器,認(rèn)證服務(wù)器查詢數(shù)據(jù)庫中請(qǐng)求注冊(cè)用戶站的記錄,若不存在,則認(rèn)為該用戶站非法,拒絕其注冊(cè);若用戶站合法,則返回一個(gè)合法的響應(yīng)信息;驗(yàn)證用戶站合法性的請(qǐng)求消息包括基站的MAC地址、用戶站的MAC地址; 基站發(fā)送給用戶站的注冊(cè)鑒權(quán)請(qǐng)求消息包含用戶站的MAC地址、是否允許注冊(cè)標(biāo)志、隨機(jī)加密參數(shù)、用戶站的網(wǎng)絡(luò)臨時(shí)號(hào)號(hào)、基站的MAC地址。
全文摘要
填充序列長度可變的無線媒體接入層鑒權(quán)和密鑰協(xié)商方法,涉及一種無線寬帶城域網(wǎng)技術(shù)。提出對(duì)控制信息進(jìn)行可變長度填充的方案,利用該方案實(shí)現(xiàn)信息的完整性驗(yàn)證和抵抗泛洪攻擊。同時(shí),利用加密密鑰導(dǎo)出算法導(dǎo)出加密控制信息的控制信息加密密鑰、業(yè)務(wù)數(shù)據(jù)加密密鑰和加密方式。在周期注冊(cè)的同時(shí)實(shí)現(xiàn)加密密鑰的更新。此協(xié)議可以更好地保證鑒權(quán)和通信的可靠性和安全性,從而提高系統(tǒng)安全。該方法更加全面地考慮了基站和客戶端的鑒權(quán)認(rèn)證安全。
文檔編號(hào)H04W12/06GK102413463SQ20111030862
公開日2012年4月11日 申請(qǐng)日期2011年10月12日 優(yōu)先權(quán)日2011年10月12日
發(fā)明者傅建新, 張潤福, 翁躍鑫, 郭丹, 高子龍, 黃聯(lián)芬 申請(qǐng)人:廈門大學(xué)
網(wǎng)友詢問留言 已有0條留言
  • 還沒有人留言評(píng)論。精彩留言會(huì)獲得點(diǎn)贊!
1