專利名稱:一種無線蜂窩網(wǎng)絡(luò)中網(wǎng)絡(luò)層安全認(rèn)證方法
技術(shù)領(lǐng)域:
本發(fā)明涉及網(wǎng)絡(luò)安全認(rèn)證技術(shù),特別是指一種無線蜂窩網(wǎng)絡(luò)中網(wǎng)絡(luò)層安 全認(rèn)證方法����。
背景技術(shù):
現(xiàn)有技術(shù)中位于網(wǎng)絡(luò)層也就是互聯(lián)網(wǎng)協(xié)議(IP)層用于完成安全認(rèn)證功
能的協(xié)議主要有兩個(gè)網(wǎng)絡(luò)接入認(rèn)證承載協(xié)議(PANA, Protocol for Carrying Authentication for Network Access)禾口密鑰交換(IKE�, Internet Key Exchange Internet)協(xié)議。
PANA嚴(yán)格來說不是一種新的安全協(xié)議�����,而是作為承載����,將現(xiàn)有的機(jī)制, 如可擴(kuò)展認(rèn)證協(xié)議(EAP�����, Extensible Authentication Protocol)重用�,完成網(wǎng) 絡(luò)層的接入認(rèn)證��。重用了現(xiàn)有的安全技術(shù)�,如EAP、認(rèn)證和密鑰協(xié)商(AKA����, Authentication and Key Agreement )��、 傳輸層安全(TLS���, Transport Layer Security)等來實(shí)現(xiàn)客戶端與服務(wù)器間的雙向認(rèn)證,也可利用EAP方法協(xié)商 后續(xù)的保護(hù)兩者之間數(shù)據(jù)的會(huì)話密鑰��。該協(xié)議使得認(rèn)證在網(wǎng)絡(luò)層進(jìn)行�,而與 具體的鏈路層技術(shù)無關(guān),并為未來能支持多種IP接入能力的終端提供了統(tǒng)一 的認(rèn)證和授權(quán)機(jī)制����。
IKE協(xié)議也可以提供認(rèn)證功能,但它的主要目的是為通信的雙方協(xié)商IP 安全(IPsec����, IP security)的安全關(guān)聯(lián)(SA, Security Association),從而保護(hù) 后續(xù)的數(shù)據(jù)流���,而不是一個(gè)專門的接入認(rèn)證協(xié)議���。它可以利用雙方擁有的預(yù) 共享密鑰或者基于公鑰基礎(chǔ)設(shè)施(PKI, Public Key Infrastructure)完成身份 的認(rèn)證��,使得對(duì)方相信正在通信的實(shí)體的身份。
雖然都可提供認(rèn)證����,但這兩種協(xié)議的側(cè)重點(diǎn)不同,PANA側(cè)重接入認(rèn)證 和授權(quán)�����,IKE協(xié)議則側(cè)重SA的協(xié)商�。
另外,AKA是3G網(wǎng)絡(luò)采用的主要認(rèn)證技術(shù)����。該機(jī)制基于預(yù)共享密鑰實(shí) 現(xiàn)網(wǎng)絡(luò)與終端的雙向認(rèn)證。現(xiàn)有的流程中��,終端會(huì)首先將身份發(fā)給網(wǎng)絡(luò)����,讓
網(wǎng)絡(luò)通過身份査詢必要的信息���,生成認(rèn)證向量(AV)��。 AV由隨機(jī)數(shù)(RAND����, Random challenge)、認(rèn)證值(AUTN���, Authentication Token)�、期待的響應(yīng) (XRES�����, Expected Response )�����、完整性密鑰(IK����, Integrity Key)和加密密鑰 (CK, Cipher Key)組成����。網(wǎng)絡(luò)會(huì)把RAND和AUTN發(fā)給終端,終端會(huì)根據(jù) RAND���、 AUTN中的序列號(hào)(SQN���, Sequence Number)以及共享密鑰生成相 同的AV��,并比較生成的AUTN是否與接收到的AUTN相同����,如果相同���,則 成功認(rèn)證網(wǎng)絡(luò)����。并且會(huì)將自己生成的響應(yīng)(RES���, Response)發(fā)給網(wǎng)絡(luò)�,同樣 網(wǎng)絡(luò)會(huì)將XRES和RES對(duì)比��,如果相同��,說明終端是合法的����。由于AKA也 是EAP協(xié)議的一種認(rèn)證方法�,因此也可以用在PANA框架下�����。
近年來在3GPP2組織的會(huì)議中����,提出了使用PANA協(xié)議作為未來 CDMA2000網(wǎng)絡(luò)分組域無PPP操作(PFO��, PPP Free Operation)中認(rèn)證方式 的建議���。這是考慮到PANA的一些優(yōu)勢(shì)����,如與鏈路層技術(shù)無關(guān)等���。在提案中 使用了標(biāo)準(zhǔn)的PANA流程�����。
然而�,PANA協(xié)議要求客戶端也就是PANA客戶端(PaC��, PANA Client) 在執(zhí)行PANA之前已經(jīng)獲得了IP地址���,這個(gè)要求在一般的局域網(wǎng)(LAN)或 者無線局域網(wǎng)(WLAN)容易滿足�����。但對(duì)于無線蜂窩網(wǎng)絡(luò)����,如CDMA2000和 WCDMA的分組域,由于資源的限制�,運(yùn)營商對(duì)IP地址的控制會(huì)更嚴(yán)格一些。 以CDMA2000 lx EVDO (Evolution Data Optimization演進(jìn)數(shù)據(jù)優(yōu)化)為例���, 網(wǎng)絡(luò)會(huì)在接入終端(AT��, Access Terminal)與分組數(shù)據(jù)服務(wù)節(jié)點(diǎn)(PDSN����, Packet Data Serving Node)間完成認(rèn)證后�,才給AT分配IP地址,這個(gè)認(rèn)證不是在 網(wǎng)絡(luò)層進(jìn)行的�����。
如果將PANA應(yīng)用到未來的無線蜂窩網(wǎng)絡(luò)來實(shí)現(xiàn)接入認(rèn)證和授權(quán)��,也需 要在執(zhí)行PANA前給移動(dòng)臺(tái)(MS, Mobile Station)分配一個(gè)IP地址,但如 果執(zhí)行過程中網(wǎng)絡(luò)不能成功地認(rèn)證終端�,則需要收回原來分配的IP地址或等 待終端主動(dòng)釋放�����。通常動(dòng)態(tài)主機(jī)配置協(xié)議(DHCP)會(huì)給IP地址設(shè)定生命期��, 在生命期內(nèi)���,如果網(wǎng)絡(luò)不主動(dòng)收回地址�����,會(huì)造成IP地址資源的消耗��,攻擊者
也可利用這一點(diǎn)實(shí)施地址耗盡攻擊��。
因此��,如果使用標(biāo)準(zhǔn)的PANA流程�����,需要在移動(dòng)臺(tái)MS發(fā)起認(rèn)證前就獲
得IP地址��,由于無線蜂窩網(wǎng)絡(luò)對(duì)IP地址的分配控制的比較嚴(yán)格�����,雖然可以
分配一個(gè)內(nèi)部地址����,但I(xiàn)P地址仍舊是網(wǎng)絡(luò)的一種資源,在MS認(rèn)證前就分配�,
對(duì)于蜂窩網(wǎng)是不太合適的,因?yàn)槿绻J(rèn)證失敗�,還需要收回原來分配的地址。 并且也容易導(dǎo)致一些攻擊���。
發(fā)明內(nèi)容
本發(fā)明提出了一種在無線蜂窩網(wǎng)絡(luò)網(wǎng)絡(luò)層安全認(rèn)證方法��,避免在安全認(rèn) 證過程中IP資源的過度消耗����。
基于上述目的本發(fā)明提供的一種無線蜂窩網(wǎng)絡(luò)中網(wǎng)絡(luò)層安全認(rèn)證方法����, 包括-
A. 移動(dòng)臺(tái)MS與分組域承擔(dān)認(rèn)證功能的實(shí)體之間建立針對(duì)該MS的信息 交互專用通道;
B. 當(dāng)前MS通過所建立的專用通道以及分組域承擔(dān)認(rèn)證功能的實(shí)體的轉(zhuǎn) 發(fā),與無線蜂窩網(wǎng)絡(luò)中的網(wǎng)絡(luò)認(rèn)證實(shí)體之間進(jìn)行安全認(rèn)證��;
C. 如果分組域承擔(dān)認(rèn)證功能的實(shí)體收到認(rèn)證成功的信息����,則分組域承擔(dān) 認(rèn)證功能的實(shí)體將為當(dāng)前MS分配的IP地址通過所建立的專用通道發(fā)送給該 MS。
該方法在步驟B所述安全認(rèn)證過程中��,所述當(dāng)前MS通過多播數(shù)據(jù)包��、 或者廣播數(shù)據(jù)包�����、或者源地址為不確定的數(shù)據(jù)包將安全認(rèn)證過程中需要交互 的信息從所述專用通道發(fā)送給分組域承擔(dān)認(rèn)證功能的實(shí)體�;
所述分組域承擔(dān)認(rèn)證功能的實(shí)體通過多播數(shù)據(jù)包��、或者廣播數(shù)據(jù)包�����、或 者目的地址為不確定的數(shù)據(jù)包將安全認(rèn)證過程中需要交互的信息從所述專用 通道發(fā)送給當(dāng)前MS;
在步驟C所述分組域承擔(dān)認(rèn)證功能的實(shí)體通過多播數(shù)據(jù)包�����、或者廣播數(shù) 據(jù)包、或者目的地址為不確定的數(shù)據(jù)包將為當(dāng)前MS分配的IP地址通過所建 立的專用通道發(fā)送給該MS�����。
該方法所述數(shù)據(jù)包為IP數(shù)據(jù)包格式���,或者PANA協(xié)議的報(bào)文格式����。
該方法步驟B中所述安全認(rèn)證過程包括
all.所述分組域承擔(dān)認(rèn)證功能的實(shí)體通過所述專用通道向MS發(fā)送身份 請(qǐng)求�����;
a12.當(dāng)前MS接收到身份請(qǐng)求后�����,通過所述專用通道向分組域承擔(dān)認(rèn)證
功能的實(shí)體發(fā)送自身的身份信息��;
a13.分組域承擔(dān)認(rèn)證功能的實(shí)體將當(dāng)前MS的身份信息發(fā)送給網(wǎng)絡(luò)認(rèn)證 實(shí)體�����;
a14.網(wǎng)絡(luò)認(rèn)證實(shí)體根據(jù)所收到的身份信息生成網(wǎng)絡(luò)認(rèn)證參數(shù)��,并發(fā)送給 分組域承擔(dān)認(rèn)證功能的實(shí)體;
a15.分組域承擔(dān)認(rèn)證功能的實(shí)體將網(wǎng)絡(luò)認(rèn)證參數(shù)通過所述專用通道轉(zhuǎn)發(fā) 給MS;
a16.當(dāng)前MS根據(jù)分組域承擔(dān)認(rèn)證功能的實(shí)體發(fā)送來的網(wǎng)絡(luò)認(rèn)證參數(shù)驗(yàn) 證網(wǎng)絡(luò)的合法性�����,如果驗(yàn)證通過����,當(dāng)前MS發(fā)送包含有終端認(rèn)證參數(shù)的認(rèn)證 響應(yīng)給分組域承擔(dān)認(rèn)證功能的實(shí)體;
a17.分組域承擔(dān)認(rèn)證功能的實(shí)體將當(dāng)前MS的終端認(rèn)證參數(shù)轉(zhuǎn)發(fā)給網(wǎng)絡(luò) 認(rèn)證實(shí)體����;
a18.網(wǎng)絡(luò)認(rèn)證實(shí)體根據(jù)終端認(rèn)證參數(shù)驗(yàn)證終端的合法性���,如果驗(yàn)證通過�����, 網(wǎng)絡(luò)認(rèn)證實(shí)體向分組域承擔(dān)認(rèn)證功能的實(shí)體發(fā)送認(rèn)證成功的結(jié)果���。 該方法步驟C包括
a19.分組域承擔(dān)認(rèn)證功能的實(shí)體將認(rèn)證成功的結(jié)果和為當(dāng)前MS分配的 IP地址通過所述專用通道發(fā)送給當(dāng)前MS;
a20.當(dāng)前MS收到認(rèn)證成功的結(jié)果后,通過所述專用通道向分組域承擔(dān) 認(rèn)證功能的實(shí)體回送確認(rèn)消息�。
該方法步驟a20中所述確認(rèn)消息承載在源地址為所述為當(dāng)前MS分配的 IP地址的單播數(shù)據(jù)包中發(fā)送。
該方法步驟C包括
al9'.分組域承擔(dān)認(rèn)證功能的實(shí)體將認(rèn)證成功的結(jié)果通過所述專用通道 發(fā)送給當(dāng)前MS;
a20����,.當(dāng)前MS收到認(rèn)證成功的結(jié)果后�,通過所述專用通道向分組域承擔(dān) 認(rèn)證功能的實(shí)體回送確認(rèn)消息��;
a21����,.分組域承擔(dān)認(rèn)證功能的實(shí)體將為當(dāng)前MS分配的IP地址通過所述 專用通道發(fā)送給當(dāng)前MS。
該方法步驟B中所述安全認(rèn)證由終端側(cè)發(fā)起��,所述步驟all前進(jìn)一步包括當(dāng)前MS發(fā)送認(rèn)證請(qǐng)求的消息�;分組域承擔(dān)認(rèn)證功能的實(shí)體收到該消息
后,執(zhí)行步驟all�����。
該方法步驟B所述安全認(rèn)證過程采用認(rèn)證和密鑰協(xié)商協(xié)議AKA����。 該方法所述步驟A包括當(dāng)前MS與所屬基站BS建立物理層和鏈路層
連接,BS為該MS分配空口無線資源���;
所述BS與分組域承擔(dān)認(rèn)證功能的實(shí)體之間建立針對(duì)當(dāng)前MS的數(shù)據(jù)鏈路�����。
該方法所述分組域承擔(dān)認(rèn)證功能的實(shí)體是CDMA2000網(wǎng)絡(luò)的接入節(jié)點(diǎn) AN��,或者是分組數(shù)據(jù)業(yè)務(wù)網(wǎng)絡(luò)PDSN���,或者演進(jìn)網(wǎng)絡(luò)實(shí)體控制接入點(diǎn)CAP�, 或通用分組無線服務(wù)GPRS網(wǎng)絡(luò)的GPRS業(yè)務(wù)支持節(jié)點(diǎn)SGSN�����。
該方法所述網(wǎng)絡(luò)認(rèn)證實(shí)體是認(rèn)證�、授權(quán)和計(jì)費(fèi)AAA服務(wù)器、或認(rèn)證中心 AuC�。
從上面所述可以看出,本發(fā)明提供的無線蜂窩網(wǎng)絡(luò)網(wǎng)絡(luò)層安全認(rèn)證方法�, 認(rèn)證前不需要給MS分配IP地址,只有在MS被成功認(rèn)證后�,才給它分配IP 地址����,從而有效的保護(hù)了IP地址資源,同時(shí)���,地址的分配與認(rèn)證結(jié)合在一起��, 不用執(zhí)行通常復(fù)雜而且耗時(shí)的地址分配流程�,提高了效率,對(duì)于減少時(shí)延也 是非常有利的�。
圖1為本發(fā)明采用IP數(shù)據(jù)包承載認(rèn)證參數(shù)進(jìn)行網(wǎng)絡(luò)層安全認(rèn)證的流程示 意圖2為本發(fā)明采用PANA協(xié)議承載認(rèn)證參數(shù)進(jìn)行網(wǎng)絡(luò)層安全認(rèn)證的流程 示意圖。
具體實(shí)施例方式
現(xiàn)有和未來無線蜂窩網(wǎng)的IP分組域基本上都包括移動(dòng)臺(tái)(MS);基站 (BS�, Base Station);分組域?qū)嶓w(PDE, Packet Domain Entry),例如 CDMA2000網(wǎng)絡(luò)的接入節(jié)點(diǎn)(AN)��、分組數(shù)據(jù)業(yè)務(wù)網(wǎng)絡(luò)(PDSN)���,或者演進(jìn) 網(wǎng)絡(luò)實(shí)體控制接入點(diǎn)(CAP, Controlling Access Point),或者通用分組無線服 務(wù)(GPRS)網(wǎng)絡(luò)的GPRS業(yè)務(wù)支持節(jié)點(diǎn)(SGSN);以及網(wǎng)絡(luò)認(rèn)證實(shí)體�����,例如 認(rèn)證���、授權(quán)和計(jì)費(fèi)(AAA)服務(wù)器、或認(rèn)證中心(AuC���, Authentication Center)�����。
通常分組域?qū)嶓w也承擔(dān)了與MS進(jìn)行認(rèn)證的功能��。在后面的描述中���,所指的 PDE都具有對(duì)移動(dòng)臺(tái)認(rèn)證的功能����。
無線蜂窩網(wǎng)絡(luò)的IP分組域與一般的以太網(wǎng)絡(luò)有一定差別����。MS和BS建 立空口連接后,BS會(huì)給MS分配空口資源�,MS有自己獨(dú)立的物理信道和鏈 路。這個(gè)信道與其他用戶的信道是獨(dú)立的�,它不像以太網(wǎng),媒體是共享的�。 并且BS會(huì)與PDE建立通道,用來傳輸某個(gè)MS的數(shù)據(jù)��,例如CDMA2000中 的A8和A10連接���。MS發(fā)送的數(shù)據(jù)包通過空口的無線鏈路,以及BS與PDE 間的通道到達(dá)PDE��, PDE是MS的IP層第一跳設(shè)備��。MS發(fā)送廣播或多播包 時(shí),首先只有PDE能夠接收到����,同樣,PDE也可以對(duì)MS的廣播或多播包進(jìn) 行應(yīng)答��。并且這樣的報(bào)文對(duì)于其他MS是不可見的�����。本發(fā)明利用了無線蜂窩 網(wǎng)的這種特點(diǎn)�����,首先�,在MS與PDE之間建立針對(duì)該MS的信息交互專用通 道;此后MS通過所建立的專用通道以及PDE的轉(zhuǎn)發(fā)�����,與無線蜂窩網(wǎng)絡(luò)中的 網(wǎng)絡(luò)認(rèn)證實(shí)體之間進(jìn)行安全認(rèn)證�����;如果PDE收到認(rèn)證成功的信息��,貝U PDE 將為MS分配的IP地址通過所建立的專用通道發(fā)送給該MS。
下面仍然以采用AKA協(xié)議進(jìn)行認(rèn)證為例�����,對(duì)本發(fā)明的幾個(gè)較佳的實(shí)施例 進(jìn)行詳細(xì)說明���。
基于AKA協(xié)議���,AV中各種參數(shù)的計(jì)算與AKA認(rèn)證中的相同,MS上的 用戶身份模塊與AAA服務(wù)器間存在預(yù)共享密鑰K����。
參見圖1所示,為采用IP數(shù)據(jù)包承載認(rèn)證參數(shù)進(jìn)行網(wǎng)絡(luò)層安全認(rèn)證的過 程����,包括以下步驟
步驟101, MS與BS建立物理層和鏈路層連接��,BS為MS分配空口無線 資源��。
步驟102���, BS與PDE間建立針對(duì)當(dāng)前這個(gè)MS的數(shù)據(jù)鏈路��。 在經(jīng)過步驟IOI和102后���,當(dāng)前MS與PDE之間建立起了為該MS傳遞 消息的專用通道。
步驟103��,如果由網(wǎng)絡(luò)側(cè)首先發(fā)起認(rèn)證�,則PDE通過建立的所述通道向 MS發(fā)送身份請(qǐng)求,由于這個(gè)時(shí)候MS還沒有IP地址����,因此承載該身份請(qǐng)求 的數(shù)據(jù)包是多播、廣播�����、或者目的地址是不確定的數(shù)據(jù)包��。
由于通過所述專用通道發(fā)送的數(shù)據(jù)包對(duì)于其他MS來說是不可見的�,因
此這些數(shù)據(jù)包只有當(dāng)前MS能夠接收。
步驟104�,當(dāng)前MS接收到身份請(qǐng)求后,通過建立的通道向PDE回送自 身的身份信息�。其中,由于尚未給該MS分配IP地址,因此��,用于承載身份 信息的數(shù)據(jù)包是多播����、廣播、或者源地址不確定的數(shù)據(jù)包��。
由于PDE是MS的IP層第一跳設(shè)備����,因此MS通過上述方式發(fā)送數(shù)據(jù)包 時(shí),首先只有PDE能夠接收到��。
步驟105����, PDE接收到當(dāng)前MS的身份信息后,將當(dāng)前MS的身份信息 轉(zhuǎn)發(fā)給AAA服務(wù)器���。具體可以利用RADIUS協(xié)議通過RADIUS Access-R叫uest消息將當(dāng)前MS的身份信息轉(zhuǎn)發(fā)給AAA服務(wù)器���。
步驟106, AAA服務(wù)器根據(jù)所收到的身份信息生成網(wǎng)絡(luò)認(rèn)證參數(shù)�。 具體包括AAA服務(wù)器根據(jù)所收到的身份信息查詢對(duì)應(yīng)的用戶的密鑰K 以及其他所需要的用戶信息����,接著執(zhí)行AKA的算法��,生成認(rèn)證向量五元組 AV��,包括RAND���、 AUTN、 XRES����、 IK和CK。另外����,由于需要對(duì)EAPAKA 數(shù)據(jù)包進(jìn)行完整性保護(hù),AAA服務(wù)器還會(huì)衍生密鑰TEK( Transient EAP Key), TEK中的完整性密鑰用于計(jì)算完整性值A(chǔ)T—MAC ���。
步驟107���, AAA服務(wù)器將生成網(wǎng)絡(luò)認(rèn)證參數(shù)發(fā)送給PDE。 具體包括AAA服務(wù)器將計(jì)算得到的RAND���、 AUTN以及EAP AKA的 消息完整性值A(chǔ)T—MAC利用RADIUS協(xié)議通過該協(xié)議的RADIUS Access-Challenge消息發(fā)給PDE���。
步驟108��, PDE將網(wǎng)絡(luò)認(rèn)證參數(shù)通過所述專用通道轉(zhuǎn)發(fā)給MS���。 具體包括PDE生成包含有上述RAND、 AUTN���,以及AT—MAC的認(rèn)證 請(qǐng)求��,通過所建立的專用通道向MS發(fā)送����。其中��,承載該認(rèn)證請(qǐng)求的數(shù)據(jù)包 是多播��、廣播���、或者目的地址為不確定的數(shù)據(jù)包�。
步驟109,當(dāng)前MS根據(jù)收到的網(wǎng)絡(luò)認(rèn)證參數(shù)驗(yàn)證網(wǎng)絡(luò)的合法性�。 具體包括當(dāng)前MS根據(jù)PDE發(fā)送來的RAND和AUTN中的序列號(hào)SQN�����, 以及已知的預(yù)共享密鑰K生成對(duì)應(yīng)的AV�,然后驗(yàn)證AUTN是否與自身計(jì)算 的相同�,并根據(jù)計(jì)算的TEK校驗(yàn)AT一MAC是否正確,如果全部通過�,說明 網(wǎng)絡(luò)是合法的;否則�����,說明是不合法的����,認(rèn)證失敗�����。另外�,為了防止重放攻 擊,當(dāng)前MS還會(huì)檢查序列號(hào)是否在正確的范圍內(nèi)����,如果不正確��,還會(huì)再執(zhí)
行重同步過程���。
步驟IIO,若對(duì)網(wǎng)絡(luò)的認(rèn)證成功����,當(dāng)前MS發(fā)送包含有終端認(rèn)證參數(shù)的認(rèn) 證響應(yīng)給PDE。
具體為當(dāng)前MS將自身生成的AV中MS側(cè)的認(rèn)證值響應(yīng)RES通過所
述專用通道發(fā)送給PDE����。其中,承載該RES的數(shù)據(jù)包是多播��、廣播���、或者源
地址為不確定的數(shù)據(jù)包�����。
步驟111����, PDE將當(dāng)前MS終端認(rèn)證參數(shù)轉(zhuǎn)發(fā)給AAA服務(wù)器����。 具體可利用RADIUS協(xié)議通過該協(xié)議的RADIUS Access-Request消息將
當(dāng)前MS的RES發(fā)給AAA服務(wù)器�����。
步驟112�, AAA服務(wù)器利用終端認(rèn)證參數(shù)驗(yàn)證終端的合法性�。 具體包括AAA服務(wù)器將前面計(jì)算的AV中的XRES與接收到的RES
做比較,如果相同��,說明對(duì)當(dāng)前MS的認(rèn)證成功�;否則,認(rèn)證失敗����。
步驟113�,若對(duì)當(dāng)前MS的認(rèn)證成功,AAA服務(wù)器將認(rèn)證成功的結(jié)果發(fā)
送給PDE���。
所述認(rèn)證成功的結(jié)果具體可以通過RADIUS協(xié)議的RADIUS Access-Accept消息��。另外還可以同時(shí)將這次AKA協(xié)商好的用于保護(hù)后續(xù)通 信的主密鑰(MSK��, Master Session Key)發(fā)給PDE��。
步驟114��, PDE將認(rèn)證成功的結(jié)果通過所建立的通道發(fā)送給當(dāng)前MS��。另 外���,也可以將PDE分配給當(dāng)前MS的IP地址同時(shí)發(fā)送給當(dāng)前MS�。其中���,承 載該認(rèn)證成功結(jié)果的數(shù)據(jù)包是多播����、廣播���、或者目的地址為不確定的數(shù)據(jù)包����。 此外���,MS的IP地址的分配也可以在認(rèn)證結(jié)束后進(jìn)行���,即在收到MS返回的 認(rèn)證成功的確認(rèn)消息后���,PDE通過所述通道將分配給當(dāng)前MS的IP地址發(fā)送 給MS。同樣�,承載該IP地址的數(shù)據(jù)包是多播、廣播��、或者目的地址不確定 的數(shù)據(jù)包�����。
步驟115�����,當(dāng)前MS收到認(rèn)證成功的結(jié)果后通過所建立的通道向PDE回 送確認(rèn)消息�����。如果MS得到了IP地址�����,則承載這個(gè)確認(rèn)消息的數(shù)據(jù)包是單播 數(shù)據(jù)包�����,源地址為當(dāng)前MS得到的IP地址����;否則仍采用多播、廣播�����、或者源 地址不確定的數(shù)據(jù)包發(fā)送��。
上述流程中�����,由于MS在初始認(rèn)證時(shí)還沒有IP地址��,因此以上步驟103����、
104、 108��、 110和114中會(huì)使用多播����、廣播�、或者M(jìn)S地址不確定的數(shù)據(jù)包�����, 以IPv4為例如果PDE不知道MS的地址��,發(fā)送的數(shù)據(jù)包地址可以是(a.b.c.d —〉255.255.255.255)應(yīng)答����,而MS的應(yīng)答也可以是(255.255.255.255—> a.b.c.d)最后MS在得到IP地址后,使用(m.n.o.p—>a.b.c.d)發(fā)送確認(rèn)消息����。 本實(shí)施例在MS第一次執(zhí)行認(rèn)證前,是不具有IP地址的����,在認(rèn)證成功后, PDE才會(huì)給MS分配IP地址�����。后續(xù)�����,PDE和MS都還可以再發(fā)起認(rèn)證�����,由于 這時(shí)MS已獲取了IP地址���,因此只是都以單播進(jìn)行通信�����,除承載認(rèn)證信息的 IP數(shù)據(jù)包改為單播數(shù)據(jù)包外���,認(rèn)證流程與上述步驟103至步驟115相同,這 里不在贅述����。
上述實(shí)施例中初始的安全認(rèn)證過程都是由網(wǎng)絡(luò)側(cè)發(fā)起的,也可以由終端 側(cè)發(fā)起�。在由終端側(cè)發(fā)起時(shí),與網(wǎng)絡(luò)側(cè)發(fā)起的流程相同����,也需要首先在MS 和BS之間建立物理層和鏈路層連接��,BS為MS分配空口無線資源��;BS和 PDE間建立針對(duì)這個(gè)MS的數(shù)據(jù)鏈路����。這時(shí)���,MS可以首先發(fā)送認(rèn)證請(qǐng)求的 消息��,由于MS此時(shí)沒有IP地址����,因此該消息也是多播��、或廣播����、或者源地 址不確定的數(shù)據(jù)包。PDE是網(wǎng)絡(luò)中處理MS的IP包的第一個(gè)實(shí)體�,因此中間 實(shí)體如BS不會(huì)關(guān)心該IP包的內(nèi)容,只是做轉(zhuǎn)發(fā)����。當(dāng)PDE收到這個(gè)消息后���, 得知MS希望進(jìn)行認(rèn)證��,因此會(huì)發(fā)送相應(yīng)的應(yīng)答消息�����,請(qǐng)求MS的身份����,其 中應(yīng)答消息也可以通過多播、或廣播�、或者目的地址不確定的數(shù)據(jù)包發(fā)送。 后續(xù)的過程與前面所述的網(wǎng)絡(luò)側(cè)發(fā)起的認(rèn)證過程相同�����。
以上的實(shí)施例中給出了在網(wǎng)絡(luò)層利用IP數(shù)據(jù)包來傳輸認(rèn)證參數(shù)的方法流 程����。另外,也可以利用現(xiàn)有的PANA協(xié)議�,采用現(xiàn)有的PANA協(xié)議的報(bào)文格 式,或者還可使用其他封裝模式來傳遞認(rèn)證參數(shù)����。下面對(duì)采用PANA協(xié)議來 傳遞認(rèn)證參數(shù)實(shí)現(xiàn)安全認(rèn)證的過程進(jìn)行具體說明�����,參見圖2所示��。
步驟201, MS與BS建立物理層和鏈路層連接��,BS為MS分配空口無線 資源����。
步驟202����, BS與PDE間建立針對(duì)當(dāng)前這個(gè)MS的數(shù)據(jù)鏈路。 至此���,當(dāng)前MS與PDE之間建立起了為該MS傳遞消息的專用通道���。 步驟203,如果由網(wǎng)絡(luò)首先發(fā)起認(rèn)證��,則PDE首先利用PANA發(fā)現(xiàn)與握 手階段的Start-Request消息通過所建立的通道向MS發(fā)送身份請(qǐng)求���。
步驟204���,當(dāng)前MS接收到身份請(qǐng)求后�����,通過建立的通道將自身的身份信 息承載在Start-Answer消息中回送給PDE。
步驟205�, PDE利用RADIUS協(xié)議通過RADIUS Access-Request消息將 當(dāng)前MS的身份信息轉(zhuǎn)發(fā)給AAA服務(wù)器。
步驟206����, AAA服務(wù)器根據(jù)MS的身份信息查詢對(duì)應(yīng)的密鑰K以及其他 用戶信息,接著執(zhí)行AKA的算法�,生成認(rèn)證向量五元組AV,包括RAND�����、 AUTN����、 XRES, IK和CK�����。由于需要對(duì)EAP AKA數(shù)據(jù)包進(jìn)行完整性保護(hù), AAA服務(wù)器還會(huì)衍生密鑰TEK�, TEK中的完整性密鑰用于計(jì)算完整性值 AT—MAC 0
步驟207, AAA服務(wù)器將計(jì)算得到的RAND�����、 AUTN以及EAP AKA的 消息完整性值A(chǔ)T—MAC利用RADIUS協(xié)議通過該協(xié)議的RADIUS Access-Challenge消息發(fā)給PDE��。
步驟208����, PDE通過建立的通道向MS發(fā)送PANA的Auth-Request消息, 該消息的EAP參數(shù)中包含了 RAND��、 AUTN以及AT一MAC���。
步驟209��,當(dāng)前MS根據(jù)收到的隨機(jī)數(shù)RAND和AUTN中的序列號(hào)SQN����, 以及已知的預(yù)共享密鑰K計(jì)算AV,校驗(yàn)收到的AUTN是否與自身計(jì)算的相 同��,并根據(jù)計(jì)算的TEK校驗(yàn)AT—MAC是否正確����,如果全部通過,則說明網(wǎng) 絡(luò)是合法的��;否則��,說明是不合法的�,認(rèn)證失敗�。另外,為了防止重放攻擊���, 當(dāng)前MS還會(huì)檢査序列號(hào)是否在正確的范圍內(nèi)���,如果不正確,還會(huì)在執(zhí)行重 同步過程�。
步驟210,若對(duì)網(wǎng)絡(luò)的認(rèn)證成功�����,當(dāng)前MS將自身生成的AV中MS側(cè)的 認(rèn)證值響應(yīng)RES利用PANA的Auth-Answer消息通過所建立的通道發(fā)給PDE��。
步驟211�����, PDE將當(dāng)前MS的RES利用RADIUS協(xié)議通過該協(xié)議的 RADIUS Access-Request消息發(fā)給AAA服務(wù)器�。
步驟212�, AAA服務(wù)器將前面計(jì)算的AV中的XRES與接收到的RES做 比較,如果相同��,說明對(duì)當(dāng)前MS的認(rèn)證成功��;否則����,認(rèn)證失敗。
步驟213�����, AAA服務(wù)器通過RADIUS協(xié)議的RADIUS Access-Accept消 息返回認(rèn)證成功的結(jié)果給PDE����。另外,還可以同時(shí)將EAP AKA協(xié)商的主會(huì) 話密鑰MSK也發(fā)給PDE���,用于保護(hù)后續(xù)的數(shù)據(jù)�����。
步驟214���, PDE將認(rèn)證成功的結(jié)果承載在PANA Bind-Request消息中通 過建立的通道發(fā)送給MS���。此外,在這個(gè)報(bào)文中還可包含PPAC參數(shù)�、所配置 的IP地址ADDR—CFG參數(shù)、以及消息的完整性值A(chǔ)UTH參數(shù)��。PPAC用于 表明分配地址的方式�,這里可在原有方式中擴(kuò)展一種新類型����,即直接在PANA 消息中分配,而ADDR—CFG中就包含了所分配的IP地址��,地址的類型可以 根據(jù)需要設(shè)置�,如IPv4地址、或IPv6地址�、或IPv6地址前綴等。
步驟215,當(dāng)前MS收到認(rèn)證成功的結(jié)果后通過建立的通道向PDE發(fā)送 Bind-Answer對(duì)PDE的消息進(jìn)行響應(yīng)����。如果MS收到了 PDE分配的地址,在 這個(gè)響應(yīng)消息中也可以包含PPAC和ADDR一CFG��,如果MS不能接受所分配 的IP地址��,也可以在這條消息中指出原因�����,這樣地址的分配過程可以在后面 再執(zhí)行�����。
以上流程中��,步驟203�、 204、 208�����、 210和214都不是單播數(shù)據(jù)包��,而是 可以采用多播、廣播���、或者M(jìn)S地址不確定的數(shù)據(jù)包傳送�。只有步驟215中��, 如果MS已獲得了 PDE分配的IP地址�����,則給PDE發(fā)送單播數(shù)據(jù)包��。
在上述流程中�,利用PANA中的PPAC和ADDR—CFG參數(shù)進(jìn)行IP地址 的分配時(shí),需要對(duì)現(xiàn)有PANA進(jìn)行擴(kuò)展��,包括對(duì)PPAC的類型進(jìn)行擴(kuò)展���,增 加直接在PANA消息中分配地址的類型��。而ADDR—CFG是新增的AVP (Attribute Value Pairs)。另一種分配地址的方式是利用Notification參數(shù)進(jìn)行 分配���,現(xiàn)有的協(xié)議中���,Notification參數(shù)可以用來傳遞一些可顯示的信息���,所 以可以將分配給MS的地址利用這個(gè)參數(shù)傳遞給MS。當(dāng)然����,也可以使用PANA 本身具有的分配POPA的方法分配IP地址,但這需要在整個(gè)PANA認(rèn)證完成 后才進(jìn)行��。
如果由終端側(cè)首先發(fā)起安全認(rèn)證����,則當(dāng)MS發(fā)起認(rèn)證時(shí),它首先會(huì)發(fā)送 PANAPAA-Discover消息�,但與通常的情況不同,MS采用多播����、廣播、或源 地址不確定的數(shù)據(jù)包��,而不是單播數(shù)據(jù)包發(fā)送��,當(dāng)PDE收到這個(gè)消息后���,也 可以通過多播����、或廣播、或者目的地址不確定的數(shù)據(jù)包回送PANA Start-Request消息���,進(jìn)而與MS進(jìn)行后續(xù)的認(rèn)證過程��,后續(xù)的認(rèn)證過程與前面 所述的網(wǎng)絡(luò)側(cè)發(fā)起的認(rèn)證過程相同�。
除PANA協(xié)議以外�����,也可以采用其他協(xié)議實(shí)現(xiàn)認(rèn)證參數(shù)的交互完成安全
認(rèn)證��。
以上所述僅為本發(fā)明的較佳實(shí)施例而已�����,并不用以限制本發(fā)明�,凡在本 發(fā)明的精神和原則之內(nèi),所作的任何修改����、等同替換、改進(jìn)等��,均應(yīng)包含在 本發(fā)明的保護(hù)范圍之內(nèi)�����。
權(quán)利要求
1.一種無線蜂窩網(wǎng)絡(luò)中網(wǎng)絡(luò)層安全認(rèn)證方法���,其特征在于����,包括A.移動(dòng)臺(tái)MS與分組域承擔(dān)認(rèn)證功能的實(shí)體之間建立針對(duì)該MS的信息交互專用通道�����;B.當(dāng)前MS通過所建立的專用通道以及分組域承擔(dān)認(rèn)證功能的實(shí)體的轉(zhuǎn)發(fā)��,與無線蜂窩網(wǎng)絡(luò)中的網(wǎng)絡(luò)認(rèn)證實(shí)體之間進(jìn)行安全認(rèn)證�;C.如果分組域承擔(dān)認(rèn)證功能的實(shí)體收到認(rèn)證成功的信息,則分組域承擔(dān)認(rèn)證功能的實(shí)體將為當(dāng)前MS分配的IP地址通過所建立的專用通道發(fā)送給該MS���。
2. 根據(jù)權(quán)利要求1所述的方法���,其特征在于����,在步驟B所述安全認(rèn)證過 程中�����,所述當(dāng)前MS通過多播數(shù)據(jù)包��、或者廣播數(shù)據(jù)包���、或者源地址為不確 定的數(shù)據(jù)包將安全認(rèn)證過程中需要交互的信息從所述專用通道發(fā)送給分組域 承擔(dān)認(rèn)證功能的實(shí)體��;所述分組域承擔(dān)認(rèn)證功能的實(shí)體通過多播數(shù)據(jù)包���、或者廣播數(shù)據(jù)包、或 者目的地址為不確定的數(shù)據(jù)包將安全認(rèn)證過程中需要交互的信息從所述專用 通道發(fā)送給當(dāng)前MS;在步驟C所述分組域承擔(dān)認(rèn)證功能的實(shí)體通過多播數(shù)據(jù)包����、或者廣播數(shù) 據(jù)包、或者目的地址為不確定的數(shù)據(jù)包將為當(dāng)前MS分配的IP地址通過所建 立的專用通道發(fā)送給該MS�����。
3. 根據(jù)權(quán)利要求2所述的方法,其特征在于�����,所述數(shù)據(jù)包為IP數(shù)據(jù)包格 式�����,或者PANA協(xié)議的報(bào)文格式��。
4. 根據(jù)權(quán)利要求1至3任意一項(xiàng)所述的方法�,其特征在于�,步驟B中所 述安全認(rèn)證過程包括all.所述分組域承擔(dān)認(rèn)證功能的實(shí)體通過所述專用通道向MS發(fā)送身份 請(qǐng)求;a12.當(dāng)前MS接收到身份請(qǐng)求后���,通過所述專用通道向分組域承擔(dān)認(rèn)證 功能的實(shí)體發(fā)送自身的身份信息�����;a13.分組域承擔(dān)認(rèn)證功能的實(shí)體將當(dāng)前MS的身份信息發(fā)送給網(wǎng)絡(luò)認(rèn)證實(shí)體�;a14.網(wǎng)絡(luò)認(rèn)證實(shí)體根據(jù)所收到的身份信息生成網(wǎng)絡(luò)認(rèn)證參數(shù)���,并發(fā)送給 分組域承擔(dān)認(rèn)證功能的實(shí)體�;a15.分組域承擔(dān)認(rèn)證功能的實(shí)體將網(wǎng)絡(luò)認(rèn)證參數(shù)通過所述專用通道轉(zhuǎn)發(fā) 給MS;a16.當(dāng)前MS根據(jù)分組域承擔(dān)認(rèn)證功能的實(shí)體發(fā)送來的網(wǎng)絡(luò)認(rèn)證參數(shù)驗(yàn) 證網(wǎng)絡(luò)的合法性,如果驗(yàn)證通過���,當(dāng)前MS發(fā)送包含有終端認(rèn)證參數(shù)的認(rèn)證 響應(yīng)給分組域承擔(dān)認(rèn)證功能的實(shí)體���;a17.分組域承擔(dān)認(rèn)證功能的實(shí)體將當(dāng)前MS的終端認(rèn)證參數(shù)轉(zhuǎn)發(fā)給網(wǎng)絡(luò) 認(rèn)證實(shí)體;a18.網(wǎng)絡(luò)認(rèn)證實(shí)體根據(jù)終端認(rèn)證參數(shù)驗(yàn)證終端的合法性�,如果驗(yàn)證通過, 網(wǎng)絡(luò)認(rèn)證實(shí)體向分組域承擔(dān)認(rèn)證功能的實(shí)體發(fā)送認(rèn)證成功的結(jié)果�����。
5. 根據(jù)權(quán)利要求4所述的方法�,其特征在于,步驟C包括a19.分組域承擔(dān)認(rèn)證功能的實(shí)體將認(rèn)證成功的結(jié)果和為當(dāng)前MS分配的 IP地址通過所述專用通道發(fā)送給當(dāng)前MS;a20.當(dāng)前MS收到認(rèn)證成功的結(jié)果后�����,通過所述專用通道向分組域承擔(dān) 認(rèn)證功能的實(shí)體回送確認(rèn)消息����。
6. 根據(jù)權(quán)利要求5所述的方法,其特征在于�����,步驟a20中所述確認(rèn)消息 承載在源地址為所述為當(dāng)前MS分配的IP地址的單播數(shù)據(jù)包中發(fā)送。
7. 根據(jù)權(quán)利要求4所述的方法�,其特征在于,步驟C包括a19�,.分組域承擔(dān)認(rèn)證功能的實(shí)體將認(rèn)證成功的結(jié)果通過所述專用通道 發(fā)送給當(dāng)前MS;a20,.當(dāng)前MS收到認(rèn)證成功的結(jié)果后��,通過所述專甩通道向分組域承擔(dān) 認(rèn)證功能的實(shí)體回送確認(rèn)消息���;a21,.分組域承擔(dān)認(rèn)證功能的實(shí)體將為當(dāng)前MS分配的IP地址通過所述 專用通道發(fā)送給當(dāng)前MS���。
8. 根據(jù)權(quán)利要求4所述的方法�,其特征在于�����,步驟B中所述安全認(rèn)證由 終端側(cè)發(fā)起���,所述步驟all前進(jìn)一步包括當(dāng)前MS發(fā)送認(rèn)證請(qǐng)求的消息��; 分組域承擔(dān)認(rèn)證功能的實(shí)體收到該消息后���,執(zhí)行步驟all。
9. 根據(jù)權(quán)利要求4所述的方法,其特征在于����,步驟B所述安全認(rèn)證過程采用認(rèn)證和密鑰協(xié)商協(xié)議AKA。
10. 根據(jù)權(quán)利要求1所述的方法���,其特征在于�,所述步驟A包括當(dāng)前MS與所屬基站BS建立物理層和鏈路層連接�,BS為該MS分配空口無線資 源;所述BS與分組域承擔(dān)認(rèn)證功能的實(shí)體之間建立針對(duì)當(dāng)前MS的數(shù)據(jù)鏈路��。
11. 根據(jù)權(quán)利要求1所述的方法�����,其特征在于��,所述分組域承擔(dān)認(rèn)證功 能的實(shí)體是CDMA2000網(wǎng)絡(luò)的接入節(jié)點(diǎn)AN,或者是分組數(shù)據(jù)業(yè)務(wù)網(wǎng)絡(luò) PDSN��,或者演進(jìn)網(wǎng)絡(luò)實(shí)體控制接入點(diǎn)CAP�,或通用分組無線服務(wù)GPRS網(wǎng) 絡(luò)的GPRS業(yè)務(wù)支持節(jié)點(diǎn)SGSN。
12. 根據(jù)權(quán)利要求1所述的方法���,其特征在于�����,所述網(wǎng)絡(luò)認(rèn)證實(shí)體是認(rèn) 證��、授權(quán)和計(jì)費(fèi)AAA服務(wù)器����、或認(rèn)證中心AuC。
全文摘要
本發(fā)明公開了一種無線蜂窩網(wǎng)絡(luò)中網(wǎng)絡(luò)層安全認(rèn)證方法�,包括在MS與分組域承擔(dān)認(rèn)證功能之間建立針對(duì)該MS的信息交互專用通道;此后MS通過所建立的專用通道以及分組域承擔(dān)認(rèn)證功能的轉(zhuǎn)發(fā)���,與無線蜂窩網(wǎng)絡(luò)中的網(wǎng)絡(luò)認(rèn)證實(shí)體之間進(jìn)行安全認(rèn)證;如果分組域承擔(dān)認(rèn)證功能收到認(rèn)證成功的信息�����,則分組域承擔(dān)認(rèn)證功能將為MS分配的IP地址通過所建立的專用通道發(fā)送給該MS�����。本發(fā)明有效的保護(hù)了IP地址資源����,同時(shí)����,地址的分配與認(rèn)證結(jié)合在一起�,不用執(zhí)行通常復(fù)雜而且耗時(shí)的地址分配流程,提高了效率�,對(duì)于減少時(shí)延也是非常有利的。
文檔編號(hào)H04L29/06GK101098221SQ20061009354
公開日2008年1月2日 申請(qǐng)日期2006年6月26日 優(yōu)先權(quán)日2006年6月26日
發(fā)明者潔 趙, 鑫 鐘, 璟 陳 申請(qǐng)人:華為技術(shù)有限公司