专利名称:无线城域网安全接入协议的实现方法及系统的制作方法
技术领域:
本发明涉及通信技术领域,尤其涉及一种无线城域网安全接入协议的实现方法及系统。
背景技术:
IEEE 802. 16无线城域网作为未来无线接入技术的发展方向,备受各界关注。然而,安全问题一直制约着其进一步的推广与发展。IEEE 802. 16d中定义了基于公开密钥加密算法(RSA)和数字证书的认证协议,可以实现基站对用户终端的认证。IEEE 802. 16d 的主要缺点是只提供了基站对用户终端的单向认证,而没有提供用户终端对基站的认证, 攻击者容易假冒基站欺骗用户终端。此外,授权密钥(AK)和会话密钥(TEK)都是由基站一方产生的,在这种单向认证的条件下,难以使用户终端对会话密钥TEK的质量产生信任。 IEEE 802. 16e对IEEE 802. 16d进行了增强性的修改,引入了可扩展认证协议(Extensible Authentication Protocol,简称ΕΑΡ)。但是,仍然只包含了基站对用户终端的单向身份认证。申请号为200810027930. 0的发明专利申请公开了一种无线城域网的安全接入方法(以下简称为WMAN-SA),在认证授权过程中,采用用户终端和基站间双向认证代替原有的单向认证,使攻击者难以冒充合法基站骗取用户终端的信任,避免了中间人攻击的可能性。 在密钥的协商过程中,密钥由用户终端和基站共同产生,代替原有的由基站分配,保证了密钥的质量,增强了无线城域网的安全性。因此,改进的协议同样可以满足原无线城域网的功能和性能要求,并且更安全。申请号为200910213805. 3的发明专利申请公开了一种WMAN-SA融合WiMAX设备的方法及无线城域网,提供一种WMAN-SA协议在WiMAX设备中实施的方法,具体为将原 IEEE 802. 16定义的PKM协议替换成WMAN-SA协议,来替代802. 16协议中MAC安全子层的内容。在SS入网流程中,安全策略设置为WMAN-SA,而不是PKM ;当安全能力协商的结果为采用WMAN-SA策略时,启动WMAN-SA的认证机制,并利用双方共同贡献的密钥材料来产生授权密钥(AK);待接入完成后,从AK派生得到的传输加密密钥(TEK)将被用来保护业务流的数据,使得开发支持WMAN-SA协议的无线城域网设备成为可能。但是,申请号为200910213805. 3的发明专利申请所提供的WMAN-SA协议的实现方法,仅限于在WiMAX网络和设备中实现,要开发出实现WMAN-SA协议的设备,需要支持IEEE 802. 16协议的基站和用户站的MAC层软件开放相应接口,而且使用WMAN-SA协议模块替换掉原软件中的安全子层,实现较为复杂,不具备通用性。
发明内容
本发明实施例提出一种无线城域网安全接入协议的实现方法及系统,不需要修改网络设备的软硬件,通用性强。本发明实施例提供的无线城域网安全接入协议的实现方法,包括51、在用户站接入基站的过程中,所述用户站、基站通过非受控端口与认证服务器进行基于WMAN-SA协议的身份鉴别;
52、在所述用户站和基站的身份鉴别结果均合法时,所述用户站、基站还通过非受控端口进行基于WMAN-SA协议的会话协商,获得会话密钥;
并且,设置所述用户站端的受控端口的状态为“授权”,设置所述基站端的受控端口的状态为“授权”;
53、所述用户站和基站根据所述会话密钥,通过授权的受控端口对受控信息进行保密传输;
若所述用户站、基站未完成身份鉴别和会话协商,或者用户站和基站任一项的身份鉴别结果为不合法,则所述用户站端的受控端口的状态为“未授权”,所述基站端的受控端口的状态为“未授权”;所述用户站和所述基站之间不能通过未授权的受控端口传送受控信息,只能通过非受控端口传送非受控信息。本发明实施例提供的无线城域网系统,包括基站、用户站和认证服务器;所述基站包括BS端安全管理模块和BS端通信模块;所述用户站包括SS端安全管理模块和SS端通信模块;
在用户站接入基站的过程中,所述BS端安全管理模块、SS端安全管理模块通过非受控端口与所述认证服务器进行基于WMAN-SA协议的身份鉴别;
在用户站和基站的身份鉴别结果均合法时,所述BS端安全管理模块、SS端安全管理模块还通过非受控端口进行基于WMAN-SA协议的会话协商,获得会话密钥;并且,所述BS端安全管理模块设置基站端的受控端口的状态为“授权”,所述SS端安全管理模块设置用户站端的受控端口的状态为“授权”;
所述BS端通信模块与所述SS端通信模块之间根据所述会话密钥,通过授权的受控端口对受控信息进行保密传输;
若所述用户站、基站未完成身份鉴别和会话协商,或者用户站和基站任一项的身份鉴别结果为不合法,则所述用户站端的受控端口的状态为“未授权”,所述基站端的受控端口的状态为“未授权”;所述BS端通信模块与所述SS端通信模块之间不能通过未授权的受控端口传送受控信息,只能通过非受控端口传送非受控信息。本发明实施例提供的无线城域网安全接入协议的实现方法及系统,通过在用户站、基站增加安全管理模块,完成基于WMAN-SA协议的身份鉴别和会话协商,并根据身份鉴别结果设置受控端口的状态,使用户站与基站之间通过授权的受控端口传送受控信息。本发明实施例可在不修改无线城域网设备的软硬件的基础上实现WMAN-SA协议,通用性强。
图1是本发明实施例一提供的无线城域网安全接入协议的实现方法的流程示意图2是本发明实施例二提供的无线城域网系统的结构示意图; 图3是本发明实施例三提供的无线城域网安全接入协议的实现方法的流程示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。本发明实施例提供的无线城域网安全接入协议的实现方法及系统,能够在不修改无线城域网设备的软硬件的基础上实现WMAN-SA协议。下面仅以IEEE 802. 16无线城域网为例进行说明。本发明实施例在用户站(以下简称SS)和基站(以下简称BS)两侧分别配置非受控端口,用于传输非受控信息。该非受控信息包括WMAN-SA信令、无线城域网接入协议管理类型的信令等,例如,用户站SS和基站BS两者之间基于WMAN-SA协议进行身份鉴别和会话协商的信令均为非受控信息。此外,本发明实施例还在用户站SS和基站BS两侧分别配置受控端口,用于传输受控信息。该受控信息包括视频、音频等业务数据。其中,“非受控信息”、 “受控信息”具有特定的数据结构,并使用特定字段表示信令类型,这是本领域的常规技术, 在此不予详述。非受控端口和受控端口均为逻辑端口,可以采用以下方法配置端口的类型非受控信息采用指定的端口进行通信;而受控信息采用其他端口通信。传输非受控信息所使用的端口即为非受控端口,而传输受控信息所使用的端口即为受控端口。需要说明的是,上述的配置端口类型的方法,是本发明的优选实施方式,并不是唯一的实施例。其中,非受控端口不具有权限限制,一直打开,用户站SS和基站BS通过非受控端口实现非受控信息的交互传输。而受控端口具有权限限制,需要根据SS和BS的身份鉴别结果来确定受控端口的状态,当SS和BS均合法时,设置受控端口的状态为“授权”,打开受控端口,SS和BS可通过授权的受控端口实现受控信息的交互传输。否则,设置受控端口的状态为“未授权”,未授权的受控端口不能传送受控信息。参见图1,是本发明实施例一提供的无线城域网安全接入协议的实现方法的流程示意图,该方法包括以下步骤
so、用户站搜索基站的信号,准备接入基站;
Si、在用户站接入基站的过程中,用户站、基站通过非受控端口与认证服务器进行基于 WMAN-SA协议的身份鉴别;
在步骤Si,还包括在进行身份鉴别之前,设置用户站端的受控端口的状态为“未授权”,设置基站端的受控端口的状态为“未授权”;未授权的受控端口不能传送受控信息。S2、在用户站和基站的身份鉴别结果均合法时,用户站、基站还通过非受控端口进行基于WMAN-SA协议的会话协商,获得会话密钥;
并且,设置用户站端的受控端口的状态为“授权”,设置基站端的受控端口的状态为“授
权”;
若用户站和基站任一项的身份鉴别结果为不合法,则退出流程。S3、用户站和基站根据所述会话密钥,通过授权的受控端口对受控信息进行保密传输。若用户站、基站未完成身份鉴别和会话协商,或者用户站和基站任一项的身份鉴别结果为不合法,则用户站端的受控端口的状态为“未授权”,基站端的受控端口的状态为“未授权”;用户站和基站之间不能通过未授权的受控端口传送受控信息,只能通过非受控端口传送非受控信息。优选的,用户站和基站通过基于IEEE802. 16的通信系统进行通信。其中,通过非受控端口传送的信息为非受控信息,非受控信息包括WMAN-SA信令和无线城域网接入协议管理类型的信令;通过受控端口传送的受控信息包括业务数据。需要说明的是,步骤S2中的基于WMAN-SA协议的身份鉴别及会话协商方法,与申请号为“200810027930.0”,发明名称为“一种无线城域网的安全接入方法”的发明专利申请中所公开的身份鉴别及会话协商方法相同,在此不再赘述。具体实施时,本发明实施例提供的无线城域网安全接入协议的实现方法,可通过在用户站、基站增加安全管理模块,完成基于WMAN-SA协议的身份鉴别和会话协商,并根据身份鉴别结果设置受控端口的状态,使用户站与基站之间通过授权的受控端口传送受控信息。可以在不修改无线城域网设备的软硬件的基础上实现WMAN-SA协议,通用性强。相应地,本发明实施例还提供一种无线城域网,能够实施上述的无线城域网安全接入协议的实现方法的所有步骤。参见图2,是本发明实施例二提供的无线城域网系统的结构示意图。所述无线城域网系统包括基站BS、用户站SS和认证服务器AS ;所述基站包括BS 端安全管理模块和BS端通信模块;所述用户站包括SS端安全管理模块和SS端通信模块。优选的,基站BS、用户站SS通过基于IEEE802. 16的通信系统进行通信。BS端通信模块与SS端通信模块组成基于IEEE 802. 16的通信系统,它们之间通过基于IEEE802. 16协议的空中接口进行通信。通信的信息分为两类非受控信息(例如 WMAN-SA信令、无线城域网接入协议管理类型的信令)以及受控信息(例如视频、音频等业务数据)。受控信息通过受控端口传递,非受控信息通过非受控端口传递。BS安全管理模块与 SS安全管理模块通过基于IEEE 802. 16的通信系统进行通信,实现WMAN-SA协议。BS端安全管理模块的功能包括完成基于WMAN-SA协议的身份鉴别和密钥协商; 根据身份鉴别结果设置BS端受控端口的状态;从业务网上传或下载受控信息;加密来自业务网的受控信息;解密来自SS的受控信息。SS端安全管理模块的功能包括完成基于WMAN-SA协议的身份鉴别和密钥协商; 根据身份鉴别结果设置SS端受控端口的状态;接收或发送受控信息给用户;解密来自BS 的受控信息;加密来自用户的受控信息。在用户站接入基站的过程中,BS端安全管理模块、SS端安全管理模块通过非受控端口与认证服务器进行基于WMAN-SA协议的身份鉴别;在用户站和基站的身份鉴别结果均合法时,BS端安全管理模块、SS端安全管理模块还通过非受控端口进行基于WMAN-SA协议的会话协商,获得会话密钥;并且,BS端安全管理模块设置基站端的受控端口的状态为“授权”,SS端安全管理模块设置用户站端的受控端口的状态为“授权” ;BS端通信模块与SS端通信模块之间根据所述会话密钥,通过授权的受控端口对受控信息进行保密传输。若用户站、基站未完成身份鉴别和会话协商,或者用户站和基站任一项的身份鉴别结果为不合法,则用户站端的受控端口的状态为“未授权”,基站端的受控端口的状态为 “未授权” ;BS端通信模块与SS端通信模块之间不能通过未授权的受控端口传送受控信息, 只能通过非受控端口传送非受控信息。
参见图3,是本发明实施例三提供的无线城域网安全接入协议的实现方法的流程示意图,无线城域网系统的安全接入协议的实现方法的流程如下
5101、用户站搜索基站的信号,准备接入基站;
5102、在进行身份鉴别之前,BS端安全管理模块设置基站端的受控端口的状态为“未授权”,SS端安全管理模块设置用户站端的受控端口的状态为“未授权”;未授权的受控端口不能传送受控信息;
5103、BS端安全管理模块、SS端安全管理模块通过非受控端口与认证服务器进行基于 WMAN-SA协议的身份鉴别;
其中,BS端通信模块与SS端通信模块之间通过非受控端口传送非受控信息,非受控信息包括WMAN-SA信令、无线城域网接入协议管理类型的信令等。受控端口与非受控端口具有不同的端口号;受控信息包括业务数据。S104、若用户站和基站的身份鉴别结果均合法,则执行S105,否则执行S108 ;
5105、BS端安全管理模块、SS端安全管理模块通过非受控端口进行基于WMAN-SA协议的会话协商,获得会话密钥;
5106、BS端安全管理模块设置基站端的受控端口的状态为“授权”,SS端安全管理模块设置用户站端的受控端口的状态为“授权”;
5107、BS端通信模块与SS端通信模块之间通过授权的受控端口对受控信息进行保密传输;
5108、结束。需要说明的是,步骤S103、S105中的基于WMAN-SA协议的身份鉴别及会话协商方法,与申请号为“200810027930.0”,发明名称为“一种无线城域网的安全接入方法”的发明专利申请中所公开的身份鉴别及会话协商方法相同,在此不再赘述。本发明实施例提供的无线城域网系统,通过在用户站、基站增加安全管理模块,完成基于WMAN-SA协议的身份鉴别和会话协商,并根据身份鉴别结果设置受控端口的状态, 使用户站与基站之间通过授权的受控端口传送受控信息。本发明实施例可在不修改无线城域网设备的软硬件的基础上实现WMAN-SA协议,通用性强。以上所述是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也视为本发明的保护范围。
权利要求
1.一种无线城域网安全接入协议的实现方法,其特征在于,包括51、在用户站接入基站的过程中,所述用户站、基站通过非受控端口与认证服务器进行基于WMAN-SA协议的身份鉴别;52、在所述用户站和基站的身份鉴别结果均合法时,所述用户站、基站还通过非受控端口进行基于WMAN-SA协议的会话协商,获得会话密钥;并且,设置所述用户站端的受控端口的状态为“授权”,设置所述基站端的受控端口的状态为“授权”;53、所述用户站和基站根据所述会话密钥,通过授权的受控端口对受控信息进行保密传输;若所述用户站、基站未完成身份鉴别和会话协商,或者用户站和基站任一项的身份鉴别结果为不合法,则所述用户站端的受控端口的状态为“未授权”,所述基站端的受控端口的状态为“未授权”;所述用户站和所述基站之间不能通过未授权的受控端口传送受控信息,只能通过非受控端口传送非受控信息。
2.如权利要求1所述的无线城域网安全接入协议的实现方法,其特征在于,所述用户站和所述基站通过基于IEEE802. 16的通信系统进行通信。
3.如权利要求1或2所述的无线城域网安全接入协议的实现方法,其特征在于,所述非受控信息包括WMAN-SA信令和无线城域网接入协议管理类型的信令;所述受控信息包括业务数据。
4.一种无线城域网系统,其特征在于,包括基站、用户站和认证服务器;所述基站包括 BS端安全管理模块和BS端通信模块;所述用户站包括SS端安全管理模块和SS端通信模块;在用户站接入基站的过程中,所述BS端安全管理模块、SS端安全管理模块通过非受控端口与所述认证服务器进行基于WMAN-SA协议的身份鉴别;在用户站和基站的身份鉴别结果均合法时,所述BS端安全管理模块、SS端安全管理模块还通过非受控端口进行基于WMAN-SA协议的会话协商,获得会话密钥;并且,所述BS端安全管理模块设置基站端的受控端口的状态为“授权”,所述SS端安全管理模块设置用户站端的受控端口的状态为“授权”;所述BS端通信模块与所述SS端通信模块之间根据所述会话密钥,通过授权的受控端口对受控信息进行保密传输;若所述用户站、基站未完成身份鉴别和会话协商,或者用户站和基站任一项的身份鉴别结果为不合法,则所述用户站端的受控端口的状态为“未授权”,所述基站端的受控端口的状态为“未授权”;所述BS端通信模块与所述SS端通信模块之间不能通过未授权的受控端口传送受控信息,只能通过非受控端口传送非受控信息。
5.如权利要求4所述无线城域网系统,其特征在于,所述用户站和所述基站通过基于 IEEE802. 16的通信系统进行通信。
6.如权利要求4或5所述无线城域网系统,其特征在于,所述非受控信息包括WMAN-SA 信令和无线城域网接入协议管理类型的信令;所述受控信息包括业务数据。
全文摘要
本发明公开了一种无线城域网安全接入协议的实现方法及系统,该方法包括在用户站接入基站的过程中,所述用户站、基站通过非受控端口与认证服务器进行基于WMAN-SA协议的身份鉴别;在所述用户站和基站的身份鉴别结果均合法时,设置所述用户站端的受控端口的状态为“授权”,设置所述基站端的受控端口的状态为“授权”;所述用户站和基站通过授权的受控端口传送受控信息。本发明实施例可在不修改无线城域网设备的软硬件的基础上实现WMAN-SA协议,通用性强。
文档编号H04W12/06GK102223636SQ20111020281
公开日2011年10月19日 申请日期2011年7月20日 优先权日2011年7月20日
发明者张永强, 林凡, 王胜男, 陈璇 申请人:广州杰赛科技股份有限公司