一种网络中的密钥序列号的生成方法

文档序号:7959211阅读:159来源:国知局
专利名称:一种网络中的密钥序列号的生成方法
技术领域
本发明涉及网络安全技术,尤其涉及一种网络中的密钥序列号的生成方法。
背景技术
目前网络认证过程中产生的密钥,一般来说是由一个父密钥产生子密钥,子密钥的序列号应该等价于父密钥序列号。但是若子密钥由两个父密钥经过某个算法共同产生,且每个父密钥各自维护自己的密钥序列号,则子密钥的序列号有必要从两个父密钥的序列号产生,而对于如何由两个父密钥序列号产生子密钥序列号,目前并没有给出具体的解决方法。

发明内容
有鉴于此,本发明的目的在于提供一种网络中的密钥序列号的生成方法,通过对两次认证过程产生的两个序列号中的比特位相加,生成网络中的子密钥序列号,以提高网络的安全性。
为了实现所述的目的,本发明的技术方案为一种网络中的密钥序列号的生成方法,包括如下步骤步骤a.通过两次认证过程,用户设备和网络侧密钥生成器各自生成第一次主密钥序列号RK1_SN和第二次主密钥序列号RK2_SN;步骤b.对所述RK1_SN及RK2_SN中的比特位相加,从而得到用户设备和网络侧的子密钥序列号。
所述步骤b包括使用RK1_SN中的两比特和RK2_SN的两比特,相加之后模4,作为用户设备和网络侧密钥生成器的子密钥序列号。
对RK1_SN,所述两比特位为低两比特位;对RK2_SN,所述两比特位为高两比特位;或对RK1_SN,所述两比特位为低两比特位;对RK2_SN,所述两比特位为低两比特位;或对RK1_SN,所述两比特位为高两比特位;对RK2_SN,所述两比特位为低两比特位;或对RK1_SN,所述两比特位为高两比特位;对RK2_SN,所述两比特位为高两比特位。
生成RK1_SN的过程中,在初始认证时,RK1_SN的值从0,1,2或3开始初始化;重认证时,RK1_SN的值分别加一;生成RK2_SN的过程中,在初始认证时,RK2_SN的值从0,1,2或3开始初始化;重认证时,RK2_SN的值分别加一。
对所述RK1_SN,使用无意义的两比特,对所述RK2_SN,使用有意义的两比特。
在认证时,所述无意义的两比特的值为从0,1,2或3开始累加后模4;在认证时,所述有意义的两比特的值为从0,1,2或3开始累加后模4。
所述RK1_SN的无意义的两比特为低两比特位,RK2_SN的有意义的两比特为高两比特位;或所述RK1_SN的无意义的两比特为低两比特位,RK2_SN的有意义的两比特为低两比特位;或所述RK1_SN的无意义的两比特为高两比特位,RK2_SN的有意义的两比特为低两比特位;或所述RK1_SN的无意义的两比特为高两比特位,RK2_SN的有意义的两比特为高两比特位。
所述的方法还包括步骤c.网络侧密钥生成器通过密钥材料传输消息向使用器传送子密钥序列号。
所述密钥材料传输消息包含授权密钥、授权密钥序列号及授权密钥的生命时间。
对于WiMAX网络所述终端为移动台MS,所述网络侧密钥生成器为鉴权器,所述RK1为对偶主密钥PMK,RK2为第二次对偶主密钥PMK2;所述PMK与PMK2对应的序列号分别为PMK_SN与PMK2_SN,所述使用器为基站。
本发明的有益效果在于,本发明提供了由两个父密钥序列号产生子密钥序列号的方法,并可应用于WiMAX等无线网络系统中,提高了网络的安全性。


图1为本发明的通用密钥序列号生成流程图;图2为本发明的应用于网络认证过程的密钥序列号生成流程图。
具体实施例方式
下面结合具体的实施例对本发明进行详细的说明。
鉴权过程是通过在终端和网络设备之间交互认证消息,从而达到相互确认终端设备和网络设备的目的。本发明主要解决的问题在于从两个父密钥的序列号中得出子密钥的序列号,以提高网络安全性。本发明的基本原理是通过对两次认证产生的密钥序列号进行相加,以得到用户设备和网络侧的授权密钥序列号。
实施例1假定第一次认证过程在用户设备和密钥生成器产生的密钥RK1,序列号为RK1_SN(4个比特);第二次认证过程在用户设备和密钥生成器产生的密钥RK2,序列号为RK2_SN(4个比特);子密钥为授权密钥AK,授权密钥AK的序列号为AK_SN。当所作的认证过程是初始认证时,RK1_SN和RK2_SN都要从某个初始值开始初始化,如使用0,1,2或者3初始化;重认证时,RK1_SN和RK2_SN的值分别加一。
则得到AK_SN的方法为使用各个序列号的两比特相加后模4,即AK_SN=(RK1_SN+RK2_SN)模4; (1)在公式(1)中,仅使用RK1_SN及RK2_SN中的某两比特位相加,如对RK1_SN使用低两比特位,RK2_SN使用高两比特位;或RK1_SN使用低两比特位,RK2_SN使用低两比特位;或RK1_SN使用高两比特位,RK2_SN使用高两比特位;或RK1_SN使用高两比特位,RK2_SN使用低两比特位。
于是,在终端和网络侧的密钥生成器根据上面的公式分别生成了2比特的授权密钥序列号。在终端和网络侧生成序列号的流程图如图1所示。
然后,在网络侧由生成器(如鉴权器)将子密钥的序列号分发到使用器(如基站)。
下面说明本发明的方法在WiMAX网络中的应用。图2为本发明的应用于WiMAX网络认证过程的密钥序列号生成流程图,如图2所示,本实施例的序列号生成方法包括如下步骤(1)订阅台和认证服务器之间的进行两次EAP(扩展认证协议)认证过程,此过程之后,在订阅台和鉴权器(Authenticator)上分别各自生成了第一次的对偶主密钥PMK及其序列号PMK_SN和第二次对偶主密钥PMK2及其序列号PMK2_SN,所述的PMK_SN及PMK2_SN都为4个比特。
(2)在订阅台(移动台)和鉴权器上分别根据如下公式生成授权密钥(AKAuthorization Key)的序列号使用各个序列号的两比特相加后模4,即AK SN=(PMK_SN+PMK2_SN)模4,得到的授权密钥AK的序列号为2个比特。
对于PMK_SN和PMK2_SN中的比特位的选择,可以采用如下几种方式PMK_SN使用低两比特位,PMK2_SN使用高两比特位;或PMK_SN使用低两比特位,PMK2_SN使用低两比特位;或
PMK_SN使用高两比特位,PMK2_SN使用高两比特位;或PMK_SN使用高两比特位,PMK2_SN使用低两比特位。
例如,如果PMK_SN及PMK2_SN都使用低两比特位,则若PMK_SN低两比特位为01;若PMK2_SN低两比特位为00,则(10+11)模4=01,即得到2比特的授权密钥序列号AK_SN。
如此,就在订阅台及鉴权器上分别得到了授权密钥的序列号。
接着,网络侧鉴权器发送携带授权密钥序列号的密钥材料传输消息给基站,所述消息中还包括授权密钥、及授权密钥的生命时间。
然后,订阅台和基站之间进行新的授权密钥序列号的协商。其具体可以参照IEEE802.16e-D12中定义的标准进行协商。由于密钥序列号的分发及序列号的协商过程与现有技术相同,因此在此不作赘述。
实施例2假定第一次认证过程产生的密钥RK1,序列号为RK1_SN(4个比特);第二次认证过程产生的密钥RK2,序列号为RK2_SN(4个比特);子密钥为授权密钥AK,授权密钥AK的序列号为AK_SN。当所作的认证过程是初始认证时,RK1_SN和RK2_SN都要从某个初始值开始初始化,如使用0,1,2或者3初始化。RK1_SN总是使用无意义的两比特,而RK2_SN总是使用有意义的两比特。所述RK1_SN的无意义的两比特及所述RK2_SN的有意义的两比特的值为从某个初始值(该初始值可以为0,1,2,或3)开始累加,然后模4。
则得到AK_SN的方法为RK1_SN的无意义的两比特与RK2_SN有意义的两比特相加AK_SN=RK1_SN+RK2_SN。
于是,在终端和网络侧根据上面的公式分别生成2比特的密钥序列号。
然后,在网络侧由生成器(如鉴权服务器)将子密钥的序列号分发到使用器(如基站)。
同样对于WiMAX网络,授权密钥序列号的生成方法包括如下步骤
(1)订阅台(移动台)和认证服务器之间进行两次EAP认证过程,此过程之后,在订阅台和鉴权器上分别生成了第一次的对欧主密钥PMK及其序列号PMK_SN和第二次对欧主密钥PMK2及其序列号PMK2_SN。
在此,对PMK_SN,总是使用无意义的两比特,所述无意义的两比特可以为低两比特位或高两比特位,该两比特的值为从一初始值(如0,1,2,或3)累加后模4;对PMK2_SN,总是使用有意义的两比特,所述有意义的两比特可以为低两比特位或高两比特位,该两比特的值为从一初始值(如0,1,2,或3)累加后模4。
(2)在订阅台和鉴权器上分别根据如下公式生成授权密钥AK的序列号AK的SN等于PMK_SN的无意义的两比特与PMK2_SN有意义的两比特相加,即,AK_SN=PMK_SN+PMK2_SN。
例如,假设PMK_SN的无意义的两比特为低两比特,PMK2_SN的有意义的两比特为高两比特。如果二者认证时初始值分别为0和3,则PMK_SN的无意义的两比特从初始值(0)累加1后模4,即为“01”;PMK2_SN的有意义的两比特从初始值(3)加1后模4,即为“00”,则AK_SN=01+00=01。
如此,就在订阅台及鉴权服务器上分别得到了2比特的授权密钥的序列号。授权序列号生成后的步骤与实施例1相同。
另外,本发明还可以RK1_SN加上RK2_SN,以得到一4比特的子密钥序列号,其中可只使用高两比特或低两比特。
本发明的方法不仅适用于WiMAX网络,同样适用于其它网络系统。
如上所述,本发明提供了由两个父密钥序列号产生子密钥序列号的方法,并可应用于WiMAX等无线网络系统中,保证了网络中数据传输的安全性。
以上具体实施方式
仅用于说明本发明,而非用于限定本发明。凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
权利要求
1.一种网络中的密钥序列号的生成方法,其特征在于包括如下步骤步骤a.通过两次认证过程,用户设备和网络侧密钥生成器各自生成第一次主密钥序列号RK1_SN和第二次主密钥序列号RK2_SN;步骤b.对所述RK1_SN及RK2_SN中的比特位相加,从而得到用户设备和网络侧的子密钥序列号。
2.根据权利要求1所述的方法,其特征在于,所述步骤b包括使用RK1_SN中的两比特和RK2_SN的两比特,相加之后模4,作为用户设备和网络侧密钥生成器的子密钥序列号。
3.根据权利要求2所述的方法,其特征在于对RK1_SN,所述两比特位为低两比特位;对RK2_SN,所述两比特位为高两比特位;或对RK1_SN,所述两比特位为低两比特位;对RK2_SN,所述两比特位为低两比特位;或对RK1_SN,所述两比特位为高两比特位;对RK2_SN,所述两比特位为低两比特位;或对RK1_SN,所述两比特位为高两比特位;对RK2_SN,所述两比特位为高两比特位。
4.根据权利要求1所述的方法,其特征在于生成RK1_SN的过程中,在初始认证时,RK1_SN的值从0,1,2或3开始初始化;重认证时,RK1_SN的值分别加一;生成RK2_SN的过程中,在初始认证时,RK2_SN的值从0,1,2或3开始初始化;重认证时,RK2_SN的值分别加一。
5.根据权利要求1所述的方法,其特征在于对所述RK1_SN,使用无意义的两比特,对所述RK2_SN,使用有意义的两比特。
6.根据权利要求5所述的方法,其特征在于在认证时,所述无意义的两比特的值为从0,1,2或3开始累加后模4;在认证时,所述有意义的两比特的值为从0,1,2或3开始累加后模4。
7.根据权利要求5所述的方法,其特征在于所述RK1_SN的无意义的两比特为低两比特位,RK2_SN的有意义的两比特为高两比特位;或所述RK1_SN的无意义的两比特为低两比特位,RK2_SN的有意义的两比特为低两比特位;或所述RK1_SN的无意义的两比特为高两比特位,RK2_SN的有意义的两比特为低两比特位;或所述RK1_SN的无意义的两比特为高两比特位,RK2_SN的有意义的两比特为高两比特位。
8.根据权利要求1所述的方法,其特征在于还包括步骤c.网络侧密钥生成器通过密钥材料传输消息向使用器传送子密钥序列号。
9.根据权利要求8所述的方法,其特征在于所述密钥材料传输消息包含授权密钥、授权密钥序列号及授权密钥的生命时间。
10.根据权利要求1-8中任意一项所述的方法,其特征在于,对于WiMAX网络所述终端为移动台MS,所述网络侧密钥生成器为鉴权器,所述RK1为对偶主密钥PMK,RK2为第二次对偶主密钥PMK2;所述PMK与PMK2对应的序列号分别为PMK_SN与PMK2_SN。
11.根据权利要求8所述的方法,其特征在于,对于WiMAX网络所述使用器为基站。
全文摘要
本发明提供了一种网络中的密钥序列号的生成方法,其包括步骤a.通过两次认证过程,用户设备和网络侧密钥生成器各自生成第一次主密钥序列号RK1_SN和第二次主密钥序列号RK2_SN;步骤b.对所述RK1_SN及RK2_SN中的比特位相加,从而得到用户设备和网络侧的子密钥序列号。本发明提供了由两个父密钥序列号产生子密钥序列号的方法,并可应用于WiMAX等无线网络系统中,提高了网络安全性。
文档编号H04L9/16GK101043324SQ20061007093
公开日2007年9月26日 申请日期2006年3月25日 优先权日2006年3月25日
发明者单长虹 申请人:华为技术有限公司
网友询问留言 已有0条留言
  • 还没有人留言评论。精彩留言会获得点赞!
1