一種無線城域網的安全接入方法

專利名稱：一種無線城域網的安全接入方法
技術領域：
本發明涉及無線通信系統領域，尤其涉及一種無線城域網的安全接入方法。
背景技術：
IEEE 802. 16無線城域網作為未來無線接入技術的重要發展方向，備受各界廣泛 關注。然而，安全問題一直制約著其進一步的推廣與發展。IEEE 802. 16d中定義了基于 公開密鑰加密算法(RSA)和數字證書的認證協議，可以實現基站BS對用戶站SS的認證。 IEEE 802. 16d的主要缺點是只提供了基站BS對用戶站SS的單向認證，而沒有提供SS 對BS的認證，假冒BS欺騙SS非常容易。此外，授權密鑰(AK)和會話密鑰(TEK)都是由 BS 一方產生的，在這種單向認證的條件下，很難使得SS對會話密鑰TEK的質量產生信任。 IEEE 802. 16e對IEEE 802. 16d進行了增強性的修改，引入了可擴展認證協議(Extensible Authentication Protocol，簡稱ΕΑΡ)。但是，仍然只包含了 BS對SS的單向身份認證。申請號為200810027930.0的專利《一種無線城域網的安全接入方法》(簡稱 WMAN-SA)提供一種無線城域網的安全接入方法，在認證授權過程中，采用了用戶站SS和基 站BS的雙向認證代替原有的單向認證，攻擊者冒充合法基站BS騙取用戶站SS的信任成為 不可能，避免了中間人攻擊的可能性。在密鑰的協商過程中，密鑰由用戶站SS和基站BS共 同產生，代替了由基站BS分配，保證了密鑰的質量，增強了無線城域網的安全性。因此，改 進的協議同樣可以滿足原無線城域網的功能、性能要求，并且更安全。未來WMAN-SA大規模部署應用時，BS除了對SS進行認證和通信外，還需要網關 (Gff)對BS本身的WMAN-SA模塊進行配置和管理，此時必須在網絡中弓丨入用于基站管理的網 關設備，而現有方案僅定義了身份鑒別、密鑰管理、數據加密、數據鑒別和重放保護等功能， 并沒有充分說明在引入網關設備之后應用WMAN-SA的具體方法，不能實現WMAN-SA大規模 部署ο

發明內容
本發明的主要目的在于提出一種無線城域網的安全接入方法，能夠滿足WMAN-SA 大規模的部署需求。本發明公開了一種無線城域網的安全接入方法，其特征在于，包括管理控制過程 和數據保密傳輸過程；所述管理控制過程包括(1)所述SS通過所述BS向所述GW轉發安全能力協商請求消息，所述安全能力協 商請求消息包括=WMAN-SA版本和安全策略；所述GW收到所述安全能力協商請求消息后，判斷所述SS與所述BS支持的 WMAN-SA版本是否兼容以及安全策略是否兼容，若均兼容，則設置安全能力協商的結果為成 功，并構造安全能力協商響應消息通過所述BS轉發給所述SS，所述安全能力協商響應消息 包括安全能力協商結果、協商后雙方支持的WMAN-SA版本和協商后雙方支持的安全策略；(2)所述GW向所述BS發送第一 BS配置請求消息，所述第一 BS配置請求消息包括關閉SS對應受控端口指令和SS的MAC地址； 所述BS接收所述第一 BS配置請求消息，依據所述關閉SS對應受控端口指令和所 述SS的MAC地址關閉SS對應的受控端口，并產生關閉受控端口結果碼；所述BS向所述GW 發送第一 BS配置響應消息，所述第一 BS配置響應消息包括關閉受控端口結果碼、所述關 閉SS對應受控端口指令和SS的MAC地址；
(3)所述GW、所述SS與AS進行WMAN-SA身份鑒別認證；(4)所述GW與所述SS通過會話密鑰協商得到會話密鑰TEK ；(5)所述GW向所述BS發送第二 BS配置請求消息；所述第二 BS配置請求消息包 括開啟SS對應受控端口指令和SS的MAC地址；所述BS接收所述第二 BS配置請求消息， 依據所述開啟SS對應受控端口指令和所述SS的MAC地址開啟SS對應的受控端口，并產生 開啟受控端口結果碼；向所述GW發送第二 BS配置響應消息，所述第二 BS配置響應消息包 括開啟受控端口結果碼、所述開啟SS對應受控端口指令和SS的MAC地址；所述數據保密傳輸過程包括(1)所述GW使用所述會話密鑰TEK加密第一業務數據，并通過所述BS轉發給所述 SS ；(2)所述GW接收并使用所述會話密鑰TEK解密所述SS通過所述BS轉發的第二業 務數據。本發明提出一種無線城域網的安全接入方法，用GW實現對所有BS的WMAN-SA集 中控制和管理，由GW實現業務數據加密，能夠滿足WMAN-SA大規模的部署需求。


圖1是本發明的一個實施例示意圖。
具體實施例方式目前典型的無線城域網技術是基于IEEE802. 16標準。本發明以IEEE802. 16為例 對本發明進行說明。本發明涉及的模塊包括SS(SubSCriberStati0n，用戶站)、BS(Base Station，基站)、GW(Gateway，網關)、AS (Authentication Server，認證服務器)，本發明涉 及安全能力協商、BS配置、鑒別認證、密鑰協商和業務數據保密傳輸等步驟，把上述步驟歸 為2個過程管理控制過程和保密傳輸過程；為方便說明，參考圖1，管理控制過程包括步驟101 105 ；具體如下101、進行安全能力協商；Gff與SS進行安全能力協商；首先該SS通過該BS向該GW轉發安全能力協商請求 消息，該安全能力協商請求消息包括:WMAN-SA版本和安全策略；該GW收到該安全能力協商請求消息后，判斷該SS與該BS支持的WMAN-SA版本以 及安全策略是否兼容，若均兼容，則設置安全能力協商的結果為成功，并構造安全能力協商 響應消息通過該BS轉發給該SS，該安全能力協商響應消息包括安全能力協商結果、協商 后雙方支持的WMAN-SA版本和協商后雙方支持的安全策略。102、第一 BS 配置；Gff與BS進行第一 BS配置，該GW向該BS發送第一 BS配置請求消息，該第一 BS配置請求消息包括關閉SS對應受控端口指令和SS的MAC地址；該BS接收該第一 BS配置請求消息，依據該關閉SS對應受控端口指令和該SS的 MAC地址關閉SS對應的受控端口，并產生關閉受控端口結果碼；該BS向該GW發送第一 BS 配置響應消息，該第一 BS配置響應消息包括關閉受控端口結果碼、該關閉SS對應受控端 口指令和SS的MAC地址。103、WMAN-SA身份鑒別認證；該GW、該SS與AS進行WMAN-SA身份鑒別認證，由BS進行消息的轉發。104、會話密鑰協商；該GW與該SS通過會話密鑰協商得到會話密鑰TEK，由BS進行消息的轉發。105、第二 BS 配置；該GW向該BS發送第二 BS配置請求消息；該第二 BS配置請求消息包括開啟SS 對應受控端口指令和SS的MAC地址；該BS接收該第二 BS配置請求消息，依據該開啟SS對 應受控端口指令和該SS的MAC地址開啟SS對應的受控端口，并產生開啟受控端口結果碼； 向該GW發送第二 BS配置響應消息，該第二 BS配置響應消息包括開啟受控端口結果碼、該 開啟SS對應受控端口指令和SS的MAC地址。數據保密傳輸過程包括步驟106、數據保密傳輸。該GW使用該會話密鑰TEK加密第一業務數據，并通過該BS轉發給該SS ；該GW接 收并使用該會話密鑰TEK解密該SS通過該BS轉發的第二業務數據。本發明實施例中，用GW實現對所有BS的WMAN-SA集中控制和管理，由GW實現業 務數據加密，能夠滿足WMAN-SA大規模的部署需求。其中步驟101，在構造安全能力協商響應消息的步驟之前，還可以包括步驟若該 SS與該BS支持的WMAN-SA版本不兼容，則設置安全能力協商的結果為失敗；或，若該SS與該BS支持的安全策略不兼容，則設置安全能力協商的結果為失敗。其中步驟102，該GW接收該第一 BS配置響應消息后，若SS對應的受控端口關閉失 敗，則分析失敗原因。 關閉SS受控端的目的是BS只能轉發WMAN-SA消息。其中步驟106，還可以包括步驟該GW接收該第二 BS配置響應消息，若SS對應的 受控端口開啟失敗，則分析失敗原因。開啟SS受控端的目的是BS除了可以轉發WMAN-SA消息外，還可以轉發業務數據等。以上所述的本發明實施方式，并不構成對本發明保護范圍的限定。任何在本發明 的精神和原則之內所作的修改、等同替換和改進等，均應包含在本發明的權利要求保護范 圍之內。
權利要求
1.一種無線城域網的安全接入方法，其特征在于，包括管理控制過程和數據保密傳輸 過程；所述管理控制過程包括(1)所述SS通過所述BS向所述GW轉發安全能力協商請求消息，所述安全能力協商請 求消息包括:WMAN-SA版本和安全策略；所述GW收到所述安全能力協商請求消息后，判斷所述SS與所述BS支持的WMAN-SA版 本是否兼容以及安全策略是否兼容，若均兼容，則設置安全能力協商的結果為成功，并構造 安全能力協商響應消息通過所述BS轉發給所述SS，所述安全能力協商響應消息包括安全 能力協商結果、協商后雙方支持的WMAN-SA版本和協商后雙方支持的安全策略；(2)所述GW向所述BS發送第一BS配置請求消息，所述第一 BS配置請求消息包括關 閉SS對應受控端口指令和SS的MAC地址；所述BS接收所述第一 BS配置請求消息，依據所述關閉SS對應受控端口指令和所述SS 的MAC地址關閉SS對應的受控端口，并產生關閉受控端口結果碼；所述BS向所述GW發送 第一 BS配置響應消息，所述第一 BS配置響應消息包括所述關閉受控端口結果碼、所述關 閉SS對應受控端口指令和所述SS的MAC地址；(3)所述GW、所述SS與AS進行WMAN-SA身份鑒別認證；(4)所述GW與所述SS通過會話密鑰協商得到會話密鑰TEK；(5)所述GW向所述BS發送第二BS配置請求消息；所述第二 BS配置請求消息包括開 啟SS對應受控端口指令和所述SS的MAC地址；所述BS接收所述第二 BS配置請求消息，依 據所述開啟SS對應受控端口指令和所述SS的MAC地址開啟SS對應的受控端口，并產生開 啟受控端口結果碼；向所述GW發送第二BS配置響應消息，所述第二 BS配置響應消息包括 所述開啟受控端口結果碼、所述開啟SS對應受控端口指令和所述SS的MAC地址；所述數據保密傳輸過程包括(1)所述GW使用所述會話密鑰TEK加密第一業務數據，并通過所述BS轉發給所述SS；(2)所述GW接收并使用所述會話密鑰TEK解密所述SS通過所述BS轉發的第二業務數據。
2.根據權利要求1所述的無線城域網的安全接入方法，其特征在于，在所述構造安全 能力協商響應消息的步驟之前，若所述SS與所述BS支持的WMAN-SA版本不兼容，則設置安 全能力協商的結果為失敗；或，若所述SS與所述BS支持的安全策略不兼容，則設置安全能力協商的結果為失敗。
3.根據權利要求1所述的無線城域網的安全接入方法，其特征在于，所述GW接收所述 第一 BS配置響應消息，若SS對應的受控端口關閉失敗，則分析失敗原因。
4.根據權利要求1所述的無線城域網的安全接入方法，其特征在于，所述GW接收所述 第二 BS配置響應消息，若SS對應的受控端口開啟失敗，則分析失敗原因。
全文摘要
本發明公開了一種無線城域網的安全接入方法，包括步驟GW與SS完成安全能力協商；GW對BS進行第一次配置，BS關閉SS對應的受控端口；GW、SS與AS完成基于WMAN-SA的身份鑒別協議；GW與SS協商出會話密鑰TEK；GW對BS進行第二次配置，BS打開SS對應的受控端口；GW利用TEK進行業務數據的加密和解密。本發明中用接入網關GW對BS的WMAN-SA進行控制和管理，能夠滿足WMAN-SA的大規模部署需求。
文檔編號H04W12/00GK102006587SQ20101059710
公開日2011年4月6日 申請日期2010年12月20日 優先權日2010年12月20日
發明者張永強, 林凡, 王勝男 申請人:廣州杰賽科技股份有限公司