專利名稱:填充序列長度可變的無線媒體接入層鑒權和密鑰協商方法
技術領域:
本發明涉及一種無線寬帶城域網技術,尤其是涉及一種完成對寬帶無線城域網媒體接入層即MAC層的安全技術,包括身份雙向鑒權(Authentification),信息完整性保護 (informationlntegrity protection),密鑰分配(Key Allocation)禾口信息力口、角軍密(Data Encryption, Decryption)技術。
背景技術:
無線寬帶城域網的典型是IEEE802. 16系列標準,用戶接入基站時,首先要向基站進行鑒權,獲取鑒權密鑰;然后根據鑒權密鑰使用算法推導出會話加密密鑰,使用會話加密密鑰進行保密通信。鑒權的過程實際上就是通過用戶站的數字證書實現基站對用戶站的鑒權,用戶站證書的頒發者是一個可信的第三方。在目前的IEEE802. 16中,引入了一個認證服務器代替基站對用戶站進行認證。當用戶站向基站進行鑒權時,其具體的鑒權流程如下1)用戶站向基站發送證書報文,該報文包括用戶站的數字證書。該報文僅用于通知基站有關該用戶站的信息,基站可以忽略該報文。2)用戶站向基站發送注冊鑒權請求報文,該信息包括用戶站的數字證書,支持會話算法和用戶站的連接標識等信息。3)基站驗證用戶站證書的合法性(通過認證服務器來驗證),然后發送注冊鑒權請求確認消息給用戶站,該消息包括基站對用戶站授權的一系列安全關聯標識、授權密鑰、 鑒權密鑰以及確認的會話算法等。認證完成之后,用戶站和基站可以利用鑒權密鑰協商出會話加密密鑰。產生會話加密密鑰的協商過程如下1)用戶站向基站發送會話加密密鑰協商請求報文,該報文包括安全關聯標識和所要協商的會話加密密鑰的標識信息;2)基站向用戶站發送會話加密密鑰協商請求確認報文,該報文包括安全關聯標識、所要協商的會話加密密鑰的標識信息、會話加密密鑰和其生命周期。通信中使用會話加密密鑰來保證用戶站和基站之間傳輸信息的安全。以上認證機制中所有的密鑰都是由基站提供的,使用可信的第三方提供的數字證書來證明用戶站的合法性。信息交互通過公鑰加密算法加密通信信息,以保證信息的機密性。因為使用單向認證,基站認證用戶站,用戶站不認證基站,因而上述認證機制容易受到偽基站的攻擊。由于使用公鑰加密,其運算速度遠低于對稱加密技術,在鑒權和密鑰協商過程中傳輸了數字證書、鑒權密鑰和會話加密密鑰,占用了很多無線帶寬。在實際運用中,可以發現,由于受公共信道承載能力和認證密鑰信息長度的影響,通常需要對鑒權信息進行分段傳輸,并且占用過多的無線資源也會加劇網絡中的碰撞情況。如果發生碰撞會話加密密鑰丟失,將會導致密鑰不同步,通信無法正常進行。同時由于密鑰更新的時間由基站管理,若用戶站無法與基站同步也將導致密鑰失效造成通信中斷。更加嚴重的是,一旦密鑰丟失后,基站和用戶站將無法通過自啟動方式回復通信。值得注意的是,相同的鑒權方式、控制信令或數據信息通過會話加密密鑰加密后得到傳輸的格式都一致,若被偽終端捕捉到該信息后,雖然其無法破譯信息內容,但采用重復發送攻擊方式也會導致網絡癱瘓。所以,在設計加密鑒權協議的時候,即要考慮密鑰同步問題,同時也需要防止泛洪攻擊。中國專利CN101707773A公開一種WLAN接入網關、移動網與無線寬帶網的融合方法和系統,涉及通信領域。其中一種移動網與無線寬帶網的融合方法包括:WLAN接入網關接收用戶設備發送的接入無線寬帶網的注冊請求,注冊請求中包括插入用戶設備中的用戶識別卡的用戶標識碼和X_CT_Timnel信息;WLAN接入網關向用戶設備返回隨機數;用戶設備基于用戶識別卡根據隨機數進行接入鑒權,生成鑒權碼;用戶設備將鑒權碼和隨機數發送給WLAN接入網關;WJVN接入網關根據鑒權碼和注冊請求的信息,與移動網中的認證服務器完成用戶設備的接入認證;WLAN接入網關根據認證結果,響應用戶設備的注冊請求。該發明基于WLAN接入網關實現了移動網與寬帶互聯網的網絡融合。
發明內容
本發明的目的在于提供一種填充序列長度可變的無線媒體接入(MAC)層鑒權和密鑰協商方法。本發明包括以下步驟1)初始化用戶站和基站使用共同的16比特的隨機加密參數和128比特的密鑰加密密鑰,由密鑰導出算法導出控制信息加密密鑰、業務數據加密密鑰和加密方式;2)基站向用戶站周期性地發送廣播消息,用戶站解析廣播消息,得到基站的MAC 地址等信息;當用戶站鑒權基站合法時,自動生成注冊鑒權請求消息,若信息長度不足傳輸數據塊的最大長度,則使用填充算法計算出填充序列后補足到該數據塊的末尾,再使用控制信息加密密鑰和相應的加密方式加密該信息,通過公共控制信道傳遞給基站;3)基站收到用戶站的注冊鑒權請求消息后,通過公共信道的控制信息加密密鑰、 加密方式和填充算法解析出該信息,發送注冊鑒權請求信息給注冊鑒權模塊,注冊鑒權模塊從數據庫中檢索對應的用戶站的MAC地址,若沒找到,則認為該用戶站不合法;反之,認為合法;不論用戶站是否合法注冊鑒權模塊都要生成注冊鑒權確認消息給基站;基站根據來自注冊鑒權模塊的注冊鑒權確認信息生成不同的注冊鑒權回復信息,經過加密后,通過公共控制信道傳遞到用戶站;4)用戶站利用公共信道的控制信息加密密鑰、加密方式和填充算法解析來自基站的注冊鑒權回復信息,首先讀取允許注冊的標志位,若有效,則從該消息中抽取出用戶站的網絡臨時號號、加密隨機參數、基站的MAC地址,導入到密鑰生成算法得到相應的控制信息加密密鑰,業務信息加密密鑰和加密方式;反之,不做任何處理同時關閉周期注冊定時器等待新的小區配置廣播信息;5)在周期注冊時,基站會根據密鑰計時器對密鑰進行周期性的更新,當更新密鑰信息部能及時傳遞給用戶站時,基站仍可以使用舊的密鑰信息來解密用戶站的信息,只有當基站能用備用的密鑰信息正確解密信息的時候,才替代正在使用的密鑰信息,從而保證在沒有握手機制的條件下(即減少控制信息交互條件下),進行密鑰信息的同步更新;6)使用推導出來的控制信息加密密鑰、隨機加密參數和加密方式對控制信息進行加密,使用業務數據加密密鑰高級加密標準算法算法對業務數據進行加密。在步驟2)中,所述廣播消息可包括基站MAC地址、配置信息內容和資源調度信息寸。所述基站和用戶站發送的所有消息都是經過加密的,包括廣播消息,注冊鑒權請求消息,注冊確認消息等消息。所述基站和用戶站由共同的16比特的隨機加密參數和128比特的密鑰加密密鑰通過密鑰導出算法計算出控制信息加密密鑰、業務數據加密密鑰和加密方式這三個參數, 因此加密密鑰的協商是由基站和用戶站使用算法分別計算出來的,不用通過無線信道的傳輸,避免了被竊聽的危險。并且使用多種的加密算法對控制信息進行加密。所述基站和用戶站發送的控制信息長度未達到傳輸數據塊長度時,使用填充序列算法生成填充比特串,補足到控制信息的尾部。引入填充算法的目的,一是檢驗數據的完整性,接收方解密接收的信息之后,使用填充序列算法計算出原信息的填充序列,然后和接收到的信息中的填充序列進行比較,如果不一樣就說明信息在傳輸過程中被篡改了。另一個是防止泛洪攻擊,若有個偽終端截獲該信息不斷地重發將會導致網絡癱瘓。所以在進行填充算法過程的時候,將填充得到的序列和前一次得到填充序列進行比較,若相同則通過取反算法獲得新的填充序列。在接收端, 對每種接收控制信息都存放對應的填充序列信息,若解密后的填充序列信息與前一次解密的填充序列信息相同,則認為該信息為攻擊信息直接丟棄。所述基站使用三套密鑰解析來自用戶站的消息,一個是當前使用的密鑰,一個是備用的密鑰,一個是初始化的密鑰。若當前使用的密鑰解析錯誤,則用備用的密鑰解析;若備用密鑰可以正確解析,則用備用密鑰替換當前使用的密鑰。這樣既可以減少交互的次數又保證了密鑰的及時更新。為了保證用戶站重新初始化注冊,同時也需要保存初始化密鑰對信息進行解析。引入備用密鑰的機制,可以減少握手機制。當密鑰在無線鏈路傳輸過程中丟失,基站也不需要立刻重新發送更新的隨機加密參數信息。而是使用先前的密鑰進行解密,等到下次用戶站注冊鑒權的時候再次發送更新密鑰信息。這樣不僅減少回復確認機制信息的傳遞減少網絡的負載,而且也保證密鑰的同步更新。所述基站周期性的發送加密之后的廣播包給用戶站,用戶站解析廣播包后更新關于基站的相關參數,并根據當前的注冊狀態判斷是否發起注冊請求。用戶站的注冊鑒權請求消息中包含了用戶站的MAC地址,用戶站注冊時所處狀態標志和當前所處的基站的MAC 地址。所述基站收到用戶站的注冊請求信息之后,發送一個驗證用戶站合法性的請求消息給注冊鑒權模塊,由注冊鑒權模塊判斷用戶站是否合法。注冊鑒權模塊可以是一臺專門的認證服務器,認證服務器查詢數據庫中請求注冊用戶站的記錄,如果不存在則認為該用戶站非法,拒絕其注冊。如果用戶站合法,返回一個合法的響應信息。驗證用戶站合法性的請求消息包括基站的MAC地址、用戶站的MAC地址。基站發送給用戶站的注冊鑒權請求消息包含用戶站的MAC地址、是否允許注冊標志、隨機加密參數、用戶站的網絡臨時號號、基站的MAC地址。當從認證服務器得到基站合法的響應信息之后,使用確認信息的隨機數和密鑰導
6出算法計算出加密密鑰控制信息加密密鑰,業務數據加密密鑰和加密方式。本發明的技術方案包括1、進行用戶站和基站雙向注冊鑒權分析,包括(1)需要用戶站和基站都有注冊鑒權和密鑰分配列表,注冊鑒權表用于存放合法的基站信息;密鑰分配表存放公共信道,廣播信道的16比特的隨機加密參數和128比特的密鑰加密密鑰的初始化信息,鑒權的第一步是用戶站向基站發出鑒權請求,請求中包含了用戶站的唯一識別號;(2)基站回復給用戶站的注冊確認信息中,包含用戶站在基站注冊的網絡臨時號, 隨機加密參數等注冊鑒權加密信息;這樣縮短了信息長度保證在一個幀內傳遞完成;(3)基站內存放兩個計數器,一個是記錄用戶站注冊持續時間,另一個是記錄用戶站隨機加密參數修改時間,前者的作用當該計算器超時,基站會把用戶站注銷,取回網絡的網絡臨時號;后者的作用周期性為注冊用戶站進行隨機加密參數的修改,增強加密性能;(4)基站管理密鑰分配,當基站更新隨機加密參數的時候,不是立刻更新隨機加密參數,而是將其暫時存放到將要使用隨機加密參數的緩存中,若用戶站沒有及時更新隨機加密參數導致密鑰更新失步,就會把信息按照先前的加密方式進行加密,這個時候基站應保留先前的隨機加密參數,這樣基站還能正確解密,同時也減少交互隨機加密參數的握手過程;2、控制信息填充算法分析,包括(1)隨機加密參數和控制信息進行異或,移位等操作后,計算出填充序列補充到數據塊中未填滿控制信息的部分,再使用控制信息加密密鑰對其進行加密,這樣就可以防止控制信息在傳遞的過程中被篡改;(2)對相同控制信息進行填充的時候,需要保證填充序列以一定規律進行變化。比如,相鄰的兩個相同信息,對填充序列取反,接收端再根據填充序列的變化情況決定對控制信息進行接收;這樣就能很好地抵制偽終端重復發送截獲信息的泛洪攻擊;3、加密算法分析,包括(1)對A3A8算法進行改進,把隨機加密參數和密鑰加密密鑰作為該算法的輸入, 輸出為控制信息加密密鑰,業務數據加密密鑰和加密方式(數據的排序方式);(2)數據按照不同的字節交換方式構成不同加密方式,多變的加密方式增加破譯信息的難度。本發明通過認證鑒權的方式,基站為注冊的用戶站分配私有密鑰,然后雙方把共有的密鑰通過加密算法對控制或數據信息進行加密的通信過程。本發明采用雙向注冊鑒權來完成相互認證,在保障密鑰及時更新條件下減少基站和用戶站交互的握手狀態數目。利用可變長的填充比特算法代替直接傳遞證書機制從而防止傳遞信息被篡改,也達到阻止泛洪攻擊的目的。同時采用傳遞隨機加密參數代替長的密鑰信息來減少加密鑒權信息的長度,減少數據的分段,降低碰撞。為了簡化密鑰的管理,把所有的管理機制都設置在基站處, 保證密鑰同步更新。本發明的優點在于(1)本發明的協議采用雙向鑒權的方式,不僅防止偽終端對基站的接入問題,而且避免偽基站對終端的竊聽、錯誤操作的危險。(2)使用控制信息填充算法對控制信息的不足比特進行填充,進而利用該填充序列實現信息的完整性驗證和抵抗泛洪攻擊。(3)控制信息加密密鑰、業務數據加密密鑰和加密方式都是通過密鑰導出算法計算出來的,不需要在無線信道上傳輸,既節省了帶寬資源又避免了被竊聽的危險。(4)密鑰的所有管理機制都設置在基站側,同時增加密鑰存放空間,既保存當前更新密鑰也保存當前使用密鑰。一旦隨機加密參數在注冊鑒權確認過程中丟失,基站仍可以采用當前使用密鑰解析出正確的信息,保持正常的通信。用戶站只需要通過周期性注冊獲得更新密鑰的信息。當基站能通過更新密鑰解密信息的時候,就會把更新密鑰代替當前使用密鑰,而不需要添加復雜的握手機制得到更新密鑰,減少傳遞狀態,增加工程上的實現性。(5)使用對稱加密技術,提高了加解密的速度,減輕基站和用戶站的負擔。本發明提供了多種的控制信息加密算法,并且使用高級加密標準算法加密業務數據,極大的提高了通信的安全性。
圖1是本發明所述的基站和用戶站注冊鑒權流程圖。圖2是本發明所述的加密密鑰導出算法圖。圖3是本發明所述的隨機序列填充算法圖。圖4是本發明所述的加密過程圖
具體實施例方式本發明的一種填充序列長度可變的無線通信MAC層鑒權和密鑰協商方法,主要內容包括用戶站、基站的雙向鑒權和加密密鑰的協商。其步驟詳細介紹如下步驟(1)初始化時,用戶站和基站從各自的配置文件中獲得注冊和加密的相應信息(即合法注冊用戶信息,包括公共信道,廣播信道的16比特的隨機加密參數和128比特的密鑰加密密鑰的初始化信息),并將隨機加密參數和密鑰加密密鑰由密鑰導出算法導出控制信息初始加密密鑰、業務數據初始加密密鑰和初始加密方式,并將上述的密鑰加密信息存放起來。步驟( 用戶站通過廣播信道的控制信息加密密鑰解析出廣播信道上的小區配置信息,把獲得基站信息和注冊配置信息相比較。若認為該基站為合法基站,首先利用填充算法把計算出來的填充信息補充到數據塊中未填滿注冊鑒權信息控制信息的部分,利用控制信息加密密鑰和加密方式對其進行加密,通過公共信道傳遞到基站,并啟動周期注冊鑒權定時器。步驟(3)基站通過當前公共信道使用的控制信息加密密鑰,加密方式和填充算法解析出相應的用戶站注冊鑒權信息,然后發送注冊鑒權請求信息給注冊鑒權模塊。注冊鑒權模塊收到來自基站的注冊鑒權請求消息后解析出該消息中的用戶站識別號。從數據庫中檢索該用戶站識別號。如果該用戶站識別號存在則認為此用戶站是合法的,允許其進行注冊鑒權。如果數據庫中不存在該用戶站識別號則認為此用戶站不是合法用戶,通知基站拒絕該用戶站的注冊請求。步驟(4)基站收到來自注冊鑒權模塊的注冊鑒權確認信息。若注冊成功,基站為該用戶站分配網絡臨時號,同時重新生成新的隨機加密參數封裝到注冊鑒權回復信息中。 若注冊不成功,基站不對該用戶站做任何操作只是在注冊鑒權回復信息中把注冊成功標識設置為不成功。然后先使用填充算法補足控制信息,再使用當前的控制信息加密密鑰和相應的加密方式加密該信息,通過公共信道傳遞給用戶站。同時對注冊成功的用戶站,基站開啟修改隨機加密參數計數器和注冊持續定時器。步驟( 用戶站通過當前公共信道使用的控制信息加密密鑰,加密方式和填充算法解析出相應的注冊鑒權確認信息。若注冊失敗,用戶站只能繼續接收廣播信息獲得其它基站的接入權。若注冊成功,用戶站從注冊鑒權確認信息中取出網絡的網絡臨時號號,隨機加密參數和當前網絡的基站的識別號。把隨機加密參數帶入密鑰導出算法得到相應的控制信息加密密鑰,業務信息加密密鑰和加密方式,并保存到用戶站的注冊緩存中以便后續傳遞控制信息使用。步驟(6)用戶站注冊鑒權成功后,修改當前的狀態為注冊狀態,等待周期注冊定時器超時則重新發起注冊鑒權請求。當基站接收到重新注冊鑒權請求信息,重新修改注冊持續定時器的時間和增加隨機加密參數計數器的值。當計算器的值到達一定數值的時候, 基站就會更新隨機加密參數。若基站在很長一段時間沒有收到用戶站的重新注冊鑒權請求信息,當注冊持續定時器超時就刪除大部分和該用戶站相關的信息,只保留控制信息初始加密密鑰、業務數據初始加密密鑰和初始加密方式。步驟(7)基站更新隨機加密參數的時候,不是立刻同時更新正在使用的加密密鑰、業務數據加密密鑰和加密方式。而是把更新后加密密鑰、業務數據加密密鑰和加密方式存放到備用的空間中。只有當基站能用備用的密鑰信息正確解密信息的時候,才替代正在使用的密鑰信息。在沒有握手機制的條件下(即減少控制信息交互條件下),保證密鑰信息的同步更新。步驟(8)對相同控制信息通過填充算法得到相同的填充信息,若有個偽終端截獲該信息不斷地重發將會導致網絡癱瘓。所以在進行填充算法過程的時候,將填充得到的序列和前一次得到填充序列進行比較,若相同則通過取反算法獲得新的填充序列。在接收端, 對每種接收控制信息都存放對應的填充序列信息,若解密后的填充序列信息與前一次解密的填充序列信息相同,則認為該信息為攻擊信息直接丟棄。步驟(9)對于分段的控制信息,由于前幾段控制信息沒有多余的空間進行填充, 只能把填充的序列放置最后一段。接收端在接收完整的信息后再計算填充序列進行比較。至此,使用推導出來的控制信息加密密鑰加密控制信息,使用業務數據加密密鑰加密業務數據,根據加密方式加密控制信息和基站進行通信。使用高級加密標準算法算法對業務數據進行加密,完成了系統控制信息和業務數據信息的加密過程。名詞解釋控制信息加密密鑰控制信息加密密鑰,專門用來加密控制信息;業務信息加密密鑰業務數據加密密鑰;認證服務器認證服務器,認證用戶站和基站的合法性。
權利要求
1.填充序列長度可變的無線媒體接入層鑒權和密鑰協商方法,其特征在于包括以下步驟1)初始化用戶站和基站使用共同的16比特的隨機加密參數和128比特的密鑰加密密鑰,由密鑰導出算法導出控制信息加密密鑰、業務數據加密密鑰和加密方式;2)基站向用戶站周期性地發送廣播消息,用戶站解析廣播消息,得到基站的MAC地址等信息;當用戶站鑒權基站合法時,自動生成注冊鑒權請求消息,若信息長度不足傳輸數據塊的最大長度,則使用填充算法計算出填充序列后補足到該數據塊的末尾,再使用控制信息加密密鑰和相應的加密方式加密該信息,通過公共控制信道傳遞給基站;3)基站收到用戶站的注冊鑒權請求消息后,通過公共信道的控制信息加密密鑰、加密方式和填充算法解析出該信息,發送注冊鑒權請求信息給注冊鑒權模塊,注冊鑒權模塊從數據庫中檢索對應的用戶站的MAC地址,若沒找到,則認為該用戶站不合法;反之,認為合法;不論用戶站是否合法注冊鑒權模塊都要生成注冊鑒權確認消息給基站;基站根據來自注冊鑒權模塊的注冊鑒權確認信息生成不同的注冊鑒權回復信息,經過加密后,通過公共控制信道傳遞到用戶站;4)用戶站利用公共信道的控制信息加密密鑰、加密方式和填充算法解析來自基站的注冊鑒權回復信息,首先讀取允許注冊的標志位,若有效,則從該消息中抽取出用戶站的網絡臨時號號、加密隨機參數、基站的MAC地址,導入到密鑰生成算法得到相應的控制信息加密密鑰,業務信息加密密鑰和加密方式;反之,不做任何處理同時關閉周期注冊定時器等待新的小區配置廣播信息;5)在周期注冊時,基站會根據密鑰計時器對密鑰進行周期性的更新,當更新密鑰信息部能及時傳遞給用戶站時,基站仍可以使用舊的密鑰信息來解密用戶站的信息,只有當基站能用備用的密鑰信息正確解密信息的時候,才替代正在使用的密鑰信息,從而保證在沒有握手機制的條件下,進行密鑰信息的同步更新;6)使用推導出來的控制信息加密密鑰、隨機加密參數和加密方式對控制信息進行加密,使用業務數據加密密鑰高級加密標準算法算法對業務數據進行加密。
2.如權利要求1所述的填充序列長度可變的無線媒體接入層鑒權和密鑰協商方法,其特征在于所述基站和用戶站發送的所有消息都是經過加密的,包括廣播消息、注冊鑒權請求消息、注冊確認消息。
3.如權利要求1或2所述的填充序列長度可變的無線媒體接入層鑒權和密鑰協商方法,其特征在于所述廣播消息包括基站MAC地址、配置信息內容和資源調度信息。
4.如權利要求1所述的填充序列長度可變的無線媒體接入層鑒權和密鑰協商方法,其特征在于所述基站和用戶站由共同的16比特的隨機加密參數和128比特的密鑰加密密鑰通過密鑰導出算法計算出控制信息加密密鑰、業務數據加密密鑰和加密方式這三個參數, 加密密鑰的協商由基站和用戶站使用算法分別計算出來。
5.如權利要求1所述的填充序列長度可變的無線媒體接入層鑒權和密鑰協商方法,其特征在于所述基站和用戶站發送的控制信息長度未達到傳輸數據塊長度時,使用填充序列算法生成填充比特串,補足到控制信息的尾部。
6.如權利要求1所述的填充序列長度可變的無線媒體接入層鑒權和密鑰協商方法,其特征在于所述基站使用三套密鑰解析來自用戶站的消息,一個是當前使用的密鑰,一個是備用的密鑰,一個是初始化的密鑰;若當前使用的密鑰解析錯誤,則用備用的密鑰解析;若備用密鑰可以正確解析,則用備用密鑰替換當前使用的密鑰。
7.如權利要求1所述的填充序列長度可變的無線媒體接入層鑒權和密鑰協商方法,其特征在于所述基站周期性的發送加密之后的廣播包給用戶站,用戶站解析廣播包后更新關于基站的相關參數,并根據當前的注冊狀態判斷是否發起注冊請求。
8.如權利要求1所述的填充序列長度可變的無線媒體接入層鑒權和密鑰協商方法,其特征在于用戶站的注冊鑒權請求消息中包含用戶站的MAC地址、用戶站注冊時所處狀態標志和當前所處的基站的MAC地址。
9.如權利要求1所述的填充序列長度可變的無線媒體接入層鑒權和密鑰協商方法,其特征在于所述基站收到用戶站的注冊請求信息之后,發送一個驗證用戶站合法性的請求消息給注冊鑒權模塊,由注冊鑒權模塊判斷用戶站是否合法。
10.如權利要求9所述的填充序列長度可變的無線媒體接入層鑒權和密鑰協商方法, 其特征在于所述注冊鑒權模塊是一臺專門的認證服務器,認證服務器查詢數據庫中請求注冊用戶站的記錄,若不存在,則認為該用戶站非法,拒絕其注冊;若用戶站合法,則返回一個合法的響應信息;驗證用戶站合法性的請求消息包括基站的MAC地址、用戶站的MAC地址; 基站發送給用戶站的注冊鑒權請求消息包含用戶站的MAC地址、是否允許注冊標志、隨機加密參數、用戶站的網絡臨時號號、基站的MAC地址。
全文摘要
填充序列長度可變的無線媒體接入層鑒權和密鑰協商方法,涉及一種無線寬帶城域網技術。提出對控制信息進行可變長度填充的方案,利用該方案實現信息的完整性驗證和抵抗泛洪攻擊。同時,利用加密密鑰導出算法導出加密控制信息的控制信息加密密鑰、業務數據加密密鑰和加密方式。在周期注冊的同時實現加密密鑰的更新。此協議可以更好地保證鑒權和通信的可靠性和安全性,從而提高系統安全。該方法更加全面地考慮了基站和客戶端的鑒權認證安全。
文檔編號H04W12/06GK102413463SQ20111030862
公開日2012年4月11日 申請日期2011年10月12日 優先權日2011年10月12日
發明者傅建新, 張潤福, 翁躍鑫, 郭丹, 高子龍, 黃聯芬 申請人:廈門大學