專利名稱:在通信系統(tǒng)中防止打壓攻擊的制作方法
技術(shù)領(lǐng)域:
本發(fā)明一般地涉及通信系統(tǒng),具體地說����,涉及確保此類系統(tǒng)內(nèi)的通信安全的技術(shù)。
背景技術(shù):
通信系統(tǒng)通常被配置為根據(jù)規(guī)定標(biāo)準(zhǔn)運(yùn)行��。例如����,為移動(dòng)用戶和其他用戶提供寬帶接入的WiMAX系統(tǒng)根據(jù)IEEE標(biāo)準(zhǔn)802. 16來進(jìn)行配置,在2008年6月的文檔 P802. 16Rev2/D5, "Standard for Local and Metropolitan Area Networks,Part 16 :Air Interface for Broadband Wireless Access Systems” 中描述了 IEEE 標(biāo)準(zhǔn) 802. 16���,該文檔在此引入作為參考。此標(biāo)準(zhǔn)規(guī)定了提供多種服務(wù)的組合式固定和移動(dòng)點(diǎn)對(duì)多點(diǎn)寬帶無線接入(BWA)的接口(包括媒體訪問控制層(MAC)和物理層(PHY))���。規(guī)定WiMAX系統(tǒng)運(yùn)行的其他標(biāo)準(zhǔn)在WiMAX論壇文檔中進(jìn)行描述�����,包括WiMAX論壇網(wǎng)絡(luò)架構(gòu)-第3級(jí)-詳細(xì)協(xié)議和過程-發(fā)布1�,版本1. 2. 3,2008年6月���,該文檔也被在此引入作為參考�。上述IEEE802. 16和WiMAX論壇文檔規(guī)定了旨在確保WiMAX系統(tǒng)內(nèi)的通信安全的消息傳送協(xié)議。但是�����,所述消息傳送協(xié)議允許支持不同級(jí)別的安全性�,從強(qiáng)安全性到低級(jí)安全性到?jīng)]有任何安全性。典型地���,在向系統(tǒng)完全認(rèn)證移動(dòng)站之前�,移動(dòng)站將與基站協(xié)商其基本安全能力的一部分���。在WiMAX系統(tǒng)中��,通過交換用戶站基本能力(SBC)請(qǐng)求(REQ)和響應(yīng)(RSP)消息而發(fā)生移動(dòng)站與基站之間的此初始協(xié)商��。作為此交互的一部分���,移動(dòng)站將在 SBC-REQ消息中向基站標(biāo)識(shí)其基本安全能力,而基站將響應(yīng)以SBC-RSP消息����,該消息指示基站同樣支持移動(dòng)站的這些安全能力中的哪些能力并因此在它們之間的后續(xù)安全協(xié)商中將使用哪些能力。在執(zhí)行擴(kuò)展認(rèn)證協(xié)議(EAP)(其中移動(dòng)站經(jīng)由基站和接入服務(wù)網(wǎng)絡(luò)(ASN) 網(wǎng)關(guān)的認(rèn)證方向WiMAX系統(tǒng)的認(rèn)證、授權(quán)和計(jì)費(fèi)(AAA)服務(wù)器認(rèn)證自身)之前發(fā)生SBC-REQ 和SBC-RSP消息的這種交換����。在上述類型的布置中會(huì)發(fā)生的一個(gè)問題是其易于受到稱為打壓攻擊 (bidding-down)的攻擊。在此類攻擊中�,攻擊者將自身置于移動(dòng)站與基站之間,并假冒移動(dòng)站以與基站協(xié)商低于移動(dòng)站實(shí)際支持的能力的低劣安全能力����。一旦協(xié)商了此類降低的安全性,攻擊者就可以利用此弱點(diǎn)執(zhí)行其他攻擊并以其他方式破壞受害移動(dòng)站的后續(xù)通信的安全性���。一種防止打壓攻擊的已知方式是修改消息傳送協(xié)議����,以便在SBC-REQ和SBC-RSP 消息中協(xié)商基本安全能力之前進(jìn)行EAP認(rèn)證過程��。參見2008年9月�����,IEEE 802. 16寬帶無線接入工作組�,K. Thakare 等人的"Initial Capability Negotiation Procedure for IEEE 802. 16m”���。但是����,這種方式是不希望的,因?yàn)檫@將需要對(duì)WiMAX標(biāo)準(zhǔn)進(jìn)行大量改動(dòng)��,由此必須對(duì)現(xiàn)有設(shè)備進(jìn)行代價(jià)高昂的更改���。
發(fā)明內(nèi)容
本發(fā)明在一個(gè)或多個(gè)示例性實(shí)施例中提供了防止WiMAX系統(tǒng)或其他類型通信系統(tǒng)中的打壓攻擊的技術(shù)���。可以在現(xiàn)有消息傳送協(xié)議框架內(nèi)以簡(jiǎn)單高效的方式實(shí)現(xiàn)所述技術(shù)����,從而無需對(duì)WiMAX標(biāo)準(zhǔn)進(jìn)行大量改動(dòng)。根據(jù)本發(fā)明的一個(gè)方面��,一種通信系統(tǒng)至少包括移動(dòng)站���、基站����、網(wǎng)關(guān)以及服務(wù)器���。 基站被配置為與移動(dòng)站進(jìn)行無線通信�。網(wǎng)關(guān)被配置為在基站和服務(wù)器之間進(jìn)行連接。服務(wù)器存儲(chǔ)指示移動(dòng)站的至少一個(gè)已建立的安全能力的信息����,并可能結(jié)合移動(dòng)站的認(rèn)證過程而將該信息的至少一部分發(fā)送到網(wǎng)關(guān)。網(wǎng)關(guān)使用從服務(wù)器接收的信息來檢驗(yàn)在移動(dòng)站與基站之間協(xié)商的一個(gè)或多個(gè)安全能力與移動(dòng)站的所建立的一個(gè)或多個(gè)安全能力相一致�����。這樣的安排是有益的�,因?yàn)槠湓试S網(wǎng)關(guān)防止其中攻擊者假冒移動(dòng)站以與基站協(xié)商低劣安全能力的打壓攻擊。根據(jù)本發(fā)明的另一個(gè)方面����,網(wǎng)關(guān)可以將包括指示移動(dòng)站的至少一個(gè)已建立的安全能力的所述信息的至少一部分的消息發(fā)送給基站?���;救缓罂梢岳脧木W(wǎng)關(guān)接收的信息促進(jìn)基站與移動(dòng)站之間的后續(xù)安全性協(xié)商。所述消息可以例如包括使用WiMAX通信系統(tǒng)的別的標(biāo)準(zhǔn)類型-長(zhǎng)度-值(TLV)消息傳送格式指定移動(dòng)站的已建立的安全能力的消息�����。有利地����,示例性實(shí)施例可以在WiMAX系統(tǒng)和其他類型的通信系統(tǒng)中提供顯著改善的安全性而不會(huì)過度地增加系統(tǒng)成本或復(fù)雜性。從附圖和以下詳細(xì)說明�,本發(fā)明的這些和其他特性和優(yōu)點(diǎn)將變得更加顯而易見。
圖1是本發(fā)明的一個(gè)示例性實(shí)施例中的通信系統(tǒng)的方塊圖��;圖2示出了圖1的系統(tǒng)的一種可能實(shí)施方式中的網(wǎng)關(guān)和服務(wù)器元素的更詳細(xì)的視圖��;圖3是示出在圖1的系統(tǒng)中防止打壓攻擊的示意性過程的流程圖�����;圖4示出了在圖1的系統(tǒng)中防止打壓攻擊的消息傳送協(xié)議��;以及圖5示出了在圖4的消息傳送協(xié)議中在圖1的各元素之間傳送的移動(dòng)站安全能力消息的示意性格式�。
具體實(shí)施例方式在此將結(jié)合示意性通信系統(tǒng)和用于在此類系統(tǒng)中防止打壓攻擊的相關(guān)技術(shù)說明本發(fā)明。但是應(yīng)理解�,本發(fā)明并不限于與披露的特定類型的通信系統(tǒng)和攻擊防止過程一起使用??梢允褂脗溥x處理步驟在多種其他通信系統(tǒng)中實(shí)現(xiàn)本發(fā)明。例如��,盡管在WiMAX系統(tǒng)的上下文中示出���,但是所披露的技術(shù)可以以直接的方式應(yīng)用于多種其他類型的通信系統(tǒng)�����, 包括蜂窩系統(tǒng)���、多輸入多輸出(MIMO)系統(tǒng)����,Wi-Fi系統(tǒng)等�。圖1示出了 WiMAX通信系統(tǒng)100,WiMAX通信系統(tǒng)100包括多個(gè)移動(dòng)站102-1和 102-2以及多個(gè)基站104-1�����、104-2�、104-3和104-4。移動(dòng)站被配置為經(jīng)由表示為Rl的接口與基站進(jìn)行無線通信���。給定移動(dòng)站可以例如包括移動(dòng)電話�、計(jì)算機(jī)或任何其他類型的通信設(shè)備����。因此,在此使用的術(shù)語“移動(dòng)站”旨在被廣義地理解�,以便包括各種不同類型的訂戶站(或更一般地���,通信設(shè)備)����。基站與系統(tǒng)100的網(wǎng)絡(luò)接入提供商(NAP)部分相關(guān)�。系統(tǒng)的此部分包括接入服務(wù)網(wǎng)絡(luò)(ASN) IlOA和110B。ASN 110與系統(tǒng)100的網(wǎng)絡(luò)服務(wù)提供商(NSP)部分中的連通性服務(wù)網(wǎng)絡(luò)(CSN) 112A禾口 112B通信�。CSN 112A禾口 112B連接到因特網(wǎng)114。
ASN IlOA 包括基站 104-1 和 104-2 以及 ASN 網(wǎng)關(guān)(Gff) 120A���。類似地�,ASN IlOB 包括基站104-3和104-4以及ASN網(wǎng)關(guān)120B�。CSN 112A包括認(rèn)證、授權(quán)和計(jì)費(fèi)(AAA)服務(wù)器112A���、歸屬代理(HA) 124A以及策略功能(PF)單元126A��。類似地��,CSN 112B包括AAA服務(wù)器112B���、HA 1MB以及PF單元126B���。 PF單元126A和126B針對(duì)涉及相應(yīng)CSN 112A和112B的連接控制服務(wù)質(zhì)量(QoQ策略。對(duì)于移動(dòng)站102中的一個(gè)給定移動(dòng)站�,AAA服務(wù)器122A和122B之一可以是歸屬 AAA服務(wù)器,而另一個(gè)AAA服務(wù)器可以是被訪問AAA服務(wù)器�����。移動(dòng)站104-1和104-2經(jīng)由表示為R2的接口與CSN 112A和112B中的相應(yīng)一個(gè)
CSN通信���。ASN IlOA和IlOB經(jīng)由表示為R3的接口與CSN 112A禾口 112B通信�����。此外��,ASN IlOA經(jīng)由表示為R4的接口與ASN IlOB通信��。在以上引用的IEEE P802. 16Rev2/D5和WiMAX論壇文檔中詳細(xì)描述了接口 R1����、R2���、 R3和R4的操作的常規(guī)方面�。這些接口的實(shí)線部分表示載體平面通信,而這些接口的虛線部分表示控制平面通信����。圖1的布置只是WiMAX系統(tǒng)的一種示意性配置�����,可以使用系統(tǒng)單元的大量備選配置���。例如�����,盡管在圖1中示出了特定數(shù)量的移動(dòng)站102����、基站104��、ASN 110以及CSN 112�,但是這只是為了描述的簡(jiǎn)潔和清晰。本發(fā)明的給定備選實(shí)施例當(dāng)然可以包括更多或更少數(shù)量的此類系統(tǒng)單元��。如以下更詳細(xì)說明的�,系統(tǒng)100的當(dāng)前實(shí)施例被如此配置AAA服務(wù)器122中的一個(gè)給定AAA服務(wù)器����,指定為特定移動(dòng)站102的歸屬AAA服務(wù)器�,存儲(chǔ)指示該移動(dòng)站的至少一個(gè)已建立的安全能力的信息。此外���,歸屬AAA服務(wù)器將所存儲(chǔ)信息的至少一部分發(fā)送給ASN 網(wǎng)關(guān)120之一����,以使得網(wǎng)關(guān)能夠檢驗(yàn)在該特定移動(dòng)站與基站104中的一個(gè)基站之間協(xié)商的一個(gè)或多個(gè)安全能力與該特定移動(dòng)站的一個(gè)或多個(gè)已建立的安全能力相一致��?�?梢岳缭?EAP認(rèn)證過程完成之后�,結(jié)合移動(dòng)站的認(rèn)證過程將所述信息從歸屬AAA服務(wù)器發(fā)送到ASN網(wǎng)關(guān)。此布置可以有利地使得ASN網(wǎng)關(guān)120A或120B能夠防止其中攻擊者假冒該特定移動(dòng)站102以與基站104之一協(xié)商低劣安全能力的打壓攻擊��。低劣安全能力在本文中指比在沒有攻擊者時(shí)移動(dòng)站將能夠與基站協(xié)商的安全能力低的安全能力��??梢栽诂F(xiàn)有WiMAX消息傳送協(xié)議框架內(nèi)以簡(jiǎn)單高效的方式實(shí)現(xiàn)防止打壓攻擊的能力而無需對(duì)WiMAX標(biāo)準(zhǔn)進(jìn)行大
量改動(dòng)。圖2示出了給定ASN網(wǎng)關(guān)120A或120B及其與對(duì)應(yīng)歸屬AAA服務(wù)器122A或122B 的接口����。ASN網(wǎng)關(guān)包括與存儲(chǔ)器202和接口電路204耦合的處理器200�。類似地�,歸屬AAA 服務(wù)器包括與存儲(chǔ)器212和接口電路214耦合的處理器210。存儲(chǔ)器202�����、212可用于存儲(chǔ)由相應(yīng)處理器200�����、210執(zhí)行以實(shí)現(xiàn)在此所述的ASN網(wǎng)關(guān)和歸屬AAA服務(wù)器的功能的一個(gè)或多個(gè)軟件程序的相應(yīng)集合���。例如,可以使用由處理器200���、210執(zhí)行的軟件代碼以直接的方式實(shí)現(xiàn)結(jié)合圖3和4所述的消息生成和其他功能��。存儲(chǔ)器202�、212是存儲(chǔ)可執(zhí)行程序代碼的在此更一般地稱為計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)的介質(zhì)的實(shí)例���。接口電路201���、214可以包括允許 ASN網(wǎng)關(guān)120A或120B與AAA服務(wù)器122A和122B之一或兩者通信的收發(fā)器或其他通信硬件或固件��。
從圖2的布置顯而易見的是��,給定ASN網(wǎng)關(guān)120被配置為與歸屬AAA服務(wù)器122 進(jìn)行連接��,并且反之亦然��。在此使用的諸如“連接”����、“之間的連接”以及“耦合到”之類的術(shù)語旨在被廣義地理解并且因此不應(yīng)被理解為要求相關(guān)單元之間的直接連接�����。因此��,在一個(gè)給定實(shí)施例中���,ASN網(wǎng)關(guān)120可以經(jīng)由一個(gè)或多個(gè)其他系統(tǒng)單元與歸屬AAA服務(wù)器122連接��。此外���,諸如網(wǎng)關(guān)120和服務(wù)器122之類的單元無需在單獨(dú)的獨(dú)立處理平臺(tái)上實(shí)現(xiàn)�,而是可以例如表示單個(gè)公共處理平臺(tái)的不同功能部分�����。為了實(shí)現(xiàn)上述打壓攻擊功能����,歸屬AAA服務(wù)器122被配置為在處理器210中包括移動(dòng)站安全能力處理單元230。此單元將多個(gè)移動(dòng)站中的每個(gè)移動(dòng)站的已建立的移動(dòng)站能力存儲(chǔ)在存儲(chǔ)器212的移動(dòng)站安全能力部分232中�����。此外���,ASN網(wǎng)關(guān)120被配置為在處理器 200中包括移動(dòng)站能力檢驗(yàn)單元234,移動(dòng)站能力檢驗(yàn)單元234針對(duì)給定移動(dòng)站將歸屬AAA 服務(wù)器中存儲(chǔ)的已建立的安全能力與在移動(dòng)站和基站之間協(xié)商的安全能力相比較�����。ASN網(wǎng)關(guān)120的存儲(chǔ)器202包括用于支持由單元234執(zhí)行的檢驗(yàn)的移動(dòng)站能力存儲(chǔ)部分236����。可以至少部分地以相關(guān)處理器執(zhí)行的軟件的形式實(shí)現(xiàn)諸如230和234之類的處理單元?�,F(xiàn)在參考圖3,其中示出了用于在系統(tǒng)100中防止打壓攻擊的過程�����。隨后將結(jié)合圖 4的消息傳送協(xié)議圖描述此過程的更詳細(xì)的實(shí)例�����。圖3的過程圖包括步驟300至318�����,它們總體上涉及系統(tǒng)100中的移動(dòng)站102����、基站104、ASN網(wǎng)關(guān)120以及歸屬AAA服務(wù)器122之間的交互�。如前所述,這些過程步驟中的一個(gè)或多個(gè)可以至少部分地以在對(duì)應(yīng)系統(tǒng)單元中執(zhí)行的軟件的形式實(shí)現(xiàn)����,例如,在與ASN網(wǎng)關(guān)120和歸屬AAA服務(wù)器122相關(guān)的操作的情況下�����,可以分別在圖2的處理器200和210中實(shí)現(xiàn)。在步驟300中�����,在特定移動(dòng)站102及其相關(guān)歸屬AAA服務(wù)器122之間建立訂購(gòu)�����??梢砸猿R?guī)方式建立此訂購(gòu)。在步驟302中�,歸屬AAA服務(wù)器122創(chuàng)建訂購(gòu)記錄,訂購(gòu)記錄包括或以其他方式標(biāo)識(shí)了對(duì)應(yīng)移動(dòng)站102的一組已建立的安全能力�����。已建立的安全能力是該特定移動(dòng)站所支持的安全能力并且可以例如包括以下項(xiàng)中的一個(gè)或多個(gè)移動(dòng)站支持的私鑰管理(PKM)版本�、移動(dòng)站支持的授權(quán)策略、移動(dòng)站支持的消息認(rèn)證碼類型��、以及移動(dòng)站支持的EAP認(rèn)證類型�����。移動(dòng)站的每個(gè)此類安全能力可以以對(duì)應(yīng)指示符或其他信息的形式存儲(chǔ)在訂購(gòu)記錄中��。 可以在處理器210的處理單元230的控制下將訂購(gòu)記錄存儲(chǔ)在歸屬AAA服務(wù)器中的存儲(chǔ)器 212的移動(dòng)站安全能力部分232中��。在步驟304中����,移動(dòng)站102與基站協(xié)商至少一個(gè)安全能力。如之前指出的����,此類協(xié)商可以例如涉及移動(dòng)站在SBC-REQ消息中向基站標(biāo)識(shí)其基本安全能力,并且基站響應(yīng)以SBC-RSP消息����,該消息指示基站同樣支持移動(dòng)站的這些安全能力中的哪些能力并因此在它們之間的后續(xù)安全協(xié)商中將使用哪些能力。如前所述�,在執(zhí)行EAP認(rèn)證過程之前發(fā)生 SBC-REQ和SBC-RSP消息的這種交換,在EAP認(rèn)證過程中移動(dòng)站經(jīng)由基站104和ASN網(wǎng)關(guān) 110向歸屬AAA服務(wù)器認(rèn)證自身�。作為在移動(dòng)站與基站之間協(xié)商安全能力的更具體的實(shí)例,假設(shè)系統(tǒng)可提供級(jí)別 0-5的安全性并且基站支持級(jí)別2-4��。因此��,如果移動(dòng)站能夠支持級(jí)別2-5���,則協(xié)商的安全能力將處于級(jí)別4���,級(jí)別4是它們最高的共同支持的級(jí)別�。備選地���,如果移動(dòng)站只能支持級(jí)別 0-2�,則協(xié)商的安全能力將處于級(jí)別2����,級(jí)別2是移動(dòng)站和基站的最高的共同支持的級(jí)別。在此方面�����,應(yīng)指出的是�����,在此使用的術(shù)語“安全能力”旨在被廣義地理解���,以便例如包括上述實(shí)例中的安全級(jí)別�����,或其他類型的安全能力����,如對(duì)特定協(xié)議版本�����、授權(quán)策略����、消息認(rèn)證碼類型、認(rèn)證類型等的支持�。給定安全能力可被視為包括多個(gè)安全級(jí)別,或每個(gè)級(jí)別可以對(duì)應(yīng)于不同的安全能力���。因此���,本發(fā)明對(duì)于可以在移動(dòng)站與基站之間協(xié)商的安全能力的特定類型和配置并沒有限制。在步驟306中��,啟動(dòng)EAP認(rèn)證過程以允許移動(dòng)站向系統(tǒng)認(rèn)證自身��。步驟308判定EAP認(rèn)證過程是否完成�。一旦此認(rèn)證過程完成,流程就繼續(xù)到步驟 310���。在步驟310中����,歸屬AAA服務(wù)器122將指示已建立的移動(dòng)站安全能力的信息發(fā)送給ASN網(wǎng)關(guān)120?�?梢栽跉w屬AAA服務(wù)器中的處理器210的移動(dòng)站安全能力處理單元230 的控制下發(fā)送此信息���。在步驟312中�����,ASN網(wǎng)關(guān)120檢驗(yàn)步驟304中在移動(dòng)站102與基站104之間協(xié)商的每個(gè)安全能力與從歸屬AAA服務(wù)器122傳送到ASN網(wǎng)關(guān)的移動(dòng)站的對(duì)應(yīng)已建立的安全能力相一致�����。因此���,ASN網(wǎng)關(guān)檢驗(yàn)移動(dòng)站已基于與基站的公同能力而在它們之間實(shí)際協(xié)商了一個(gè)或多個(gè)最高安全能力。換言之����,ASN網(wǎng)關(guān)基于移動(dòng)站的已建立的一組安全能力檢測(cè)移動(dòng)站是否協(xié)商了至少一個(gè)比其被授權(quán)的安全能力低的安全能力。這可以基于這樣的假設(shè), 即ASN網(wǎng)關(guān)知道其所關(guān)聯(lián)的基站的安全能力��,盡管此類知識(shí)并非本發(fā)明所必需的�。此外��,可以使用基站能力的總體而非具體知識(shí)���。例如���,ASN網(wǎng)關(guān)可以知道其關(guān)聯(lián)的基站均支持特定的最小安全能力��。步驟312中執(zhí)行的檢驗(yàn)可以由ASN網(wǎng)關(guān)的處理器200中的移動(dòng)站安全能力檢驗(yàn)單元234執(zhí)行,并且可以利用存儲(chǔ)在存儲(chǔ)器202的移動(dòng)站能力存儲(chǔ)部分236中的信肩��、ο步驟314根據(jù)ASN網(wǎng)關(guān)120中的檢驗(yàn)步驟312的結(jié)果判定協(xié)商的能力是否與已建立的能力相一致。不一致指示存在打壓攻擊�,因?yàn)楦鶕?jù)歸屬AAA服務(wù)器122處存儲(chǔ)的訂購(gòu)記錄中反映的移動(dòng)站的已建立的安全能力,在移動(dòng)站與基站之間協(xié)商的基本安全能力低于預(yù)期的安全能力。如果不存在不一致����,則未發(fā)生打壓攻擊�����,如步驟316中所示�����。在此情形下���,ASN網(wǎng)關(guān)120將指示已建立的移動(dòng)站安全能力的信息發(fā)送給基站104�����?��;臼褂么诵畔⒋龠M(jìn)與移動(dòng)站102的后續(xù)安全協(xié)商����。這些后續(xù)安全協(xié)商可以例如包括加密密鑰建立并且在步驟304 中的基本安全能力協(xié)商之后發(fā)生。如果存在不一致�����,則檢測(cè)到打壓攻擊����,如步驟318中所示����。在此情形下,ASN網(wǎng)關(guān) 122采取適當(dāng)防御操作以挫敗攻擊���。例如���,ASN網(wǎng)關(guān)可以在將用于移動(dòng)站102的一組已建立的安全能力提供給基站104之后指示基站重新開始與該移動(dòng)站的基本安全能力協(xié)商。以下將結(jié)合圖4說明防御操作的更多實(shí)例��。所述過程然后以常規(guī)方式繼續(xù)��,包括在移動(dòng)站102與基站104之間協(xié)商加密參數(shù)、 向系統(tǒng)注冊(cè)移動(dòng)站�、服務(wù)建立信令�����,以及建立載體路徑�����。圖4示出了實(shí)現(xiàn)圖3的打壓攻擊防止過程的消息傳送協(xié)議的實(shí)例。所述協(xié)議包括步驟(1)至09)并且涉及移動(dòng)站102、基站104���、ASW網(wǎng)關(guān)120以及兩個(gè)AAA服務(wù)器126和 126’���。ASW網(wǎng)關(guān)被假設(shè)為包括認(rèn)證方組件,可以至少部分地使用處理器200和存儲(chǔ)器202實(shí)現(xiàn)該組件����。AAA服務(wù)器之一是移動(dòng)站102的被訪問服務(wù)器126,并且另一個(gè)是移動(dòng)站102的歸屬AAA服務(wù)器126’。
基本如以上引用的IEEE 802. 16和WiMAX論壇文檔中描述的那樣配置圖4的步驟 (1)至09)�。此類步驟的常規(guī)方面是本領(lǐng)域中公知的并且因而不在此詳細(xì)說明。但是,圖 4中示出的消息傳送協(xié)議通過添加共同實(shí)現(xiàn)上述防止打壓攻擊的功能的步驟13 (a)�����、13(b) 和13(c)并修改步驟(16)而偏離了標(biāo)準(zhǔn)文檔中說明的對(duì)應(yīng)協(xié)議��。在所述協(xié)議的步驟(1)中,移動(dòng)站102從基站104獲取下行鏈路(DL)信道���,執(zhí)行 MAC同步并獲得上行鏈路(UL)信道參數(shù)�。在所述協(xié)議的步驟O)中��,使用RNG-REQ和RNG-RSP消息執(zhí)行初始測(cè)距和PHY調(diào)
整程序����。步驟(3)至(7)總體上涵蓋了移動(dòng)站102與基站104之間的初始基本能力協(xié)商。 在步驟(3)中��,將SBC-REQ消息從移動(dòng)站發(fā)送到基站�����。所述消息包含向基站指示移動(dòng)站能力的配置支持參數(shù)����。這些能力包括在圖3的步驟304中提及的一個(gè)或多個(gè)安全能力。移動(dòng)站將指定的屬性包括在SBC-REQ消息中并設(shè)置每個(gè)單獨(dú)屬性中的指定位����,以便指示其支持哪些特定能力。使用稱為類型-長(zhǎng)度-值(TLV)的消息格式單獨(dú)地對(duì)配置支持參數(shù)進(jìn)行編碼�����。如前所述�����,安全能力可以例如包括PKM版本支持���、授權(quán)策略支持���、消息認(rèn)證碼類型,以及EAP認(rèn)證類型�����。PKM版本支持參數(shù)指示對(duì)PKM版本1 (PKMvl)和PKM版本2 (PKMv2)之一或兩者的支持����。PKMv2通常提供高于PKMvl的安全級(jí)別。授權(quán)策略支持參數(shù)指示在移動(dòng)站進(jìn)入和重新進(jìn)入網(wǎng)絡(luò)時(shí)對(duì)基于RSA的認(rèn)證和基于EAP的認(rèn)證之一或兩者的支持����。基于EAP的認(rèn)證通常提供高于基于RSA的認(rèn)證的安全級(jí)別����。消息認(rèn)證碼類型參數(shù)指示對(duì)用于管理消息的完整性保護(hù)的密文消息認(rèn)證碼 (CMAC)和散列消息認(rèn)證碼(HMAC)方法之一或兩者的支持���,或指示不支持這兩種方法。從短(安全性較小)到長(zhǎng)(安全性較大)指定了 HMAC的若干級(jí)別��,但是CMAC通常提供高于HMAC的安全級(jí)別�����。為“無”的指示將導(dǎo)致沒有管理消息的完整性保護(hù)�。1997年2月,在 H. Krawczyk>M. Bellare>R. Canetti ^ IETF RFC 2104"HMAC =Keyed-Hashing for Message Authentication�,,中詳細(xì)描述了 HMAC��。當(dāng)移動(dòng)站支持基于EAP的認(rèn)證策略時(shí)將包括EAP認(rèn)證類型參數(shù)����。它指示對(duì)設(shè)備認(rèn)證或用戶認(rèn)證的支持。用戶認(rèn)證通常提供高于設(shè)備認(rèn)證的安全級(jí)別����。授權(quán)策略支持TLV被包括在在步驟⑷中由基站104發(fā)送到ASN網(wǎng)關(guān)120處的認(rèn)證方的MS_PreAttachment_Req消息中。在步驟(5)中的MS_PreAttachment_Rsp消息中將對(duì)應(yīng)的ASN網(wǎng)關(guān)能力返回給基站����。在步驟(6)中�����,基站104使用SBC-RSP消息響應(yīng)SBC-REQ消息,所述SBC-RSP消息帶有與SBC-REQ消息相同的屬性����,只是設(shè)置了選定位以指示基站同樣支持移動(dòng)站所支持的能力中的哪些能力。在步驟(7)中��,基站104將MS_PreAttachment_Ack消息發(fā)送到ASN網(wǎng)關(guān)120�。這完成了在移動(dòng)站102與基站104之間的初始安全能力協(xié)商。在圖4的消息傳送協(xié)議的常規(guī)實(shí)施方式中���,ASN網(wǎng)關(guān)120無法檢驗(yàn)該組協(xié)商的安全能力是否反映了移動(dòng)站和基站兩者所支持的最高可能共同配置�����。
在移動(dòng)站已向系統(tǒng)認(rèn)證自身之后����,在步驟(18)至0 中�,在移動(dòng)站102和基站 104之間執(zhí)行后續(xù)安全協(xié)商�����。本實(shí)施例中的認(rèn)證過程利用EAP認(rèn)證���,其涉及步驟(8)至(13)??梢栽贗EEE 802. 16 和 WiMAX 論壇文檔以及在 2004 年 6 月,B. Aboba, L. Blunk, J. Vollbrecht, J. Car 1 son�、H. Levkowetz 的 IETF RFC 3748 "Extensible Authentication Protocol (EAP) ”,中找到EAP認(rèn)證的常規(guī)方面��。所使用的特定EAP認(rèn)證方法可以例如是 EAP-PEAP, EAP-TTLS, EAP-TLS, ΕΑΡ-SIM 或 ΕΑΡ-ΑΚΑ����,它們均是 EAP 認(rèn)證的公知變型。在步驟(13)中����,指示EAP認(rèn)證的成功并獲取安全上下文。這完成了 EAP認(rèn)證��。在完成EAP認(rèn)證之后����,歸屬AAA服務(wù)器126’在步驟(13a)中將移動(dòng)站安全能力 TLV消息發(fā)送給ASN網(wǎng)關(guān)120���。圖5中示出了此TLV消息的示意性格式,在此實(shí)例中�,所述消息包括用于PKM版本支持、授權(quán)策略支持�、消息認(rèn)證碼模式以及分組號(hào)(PN)窗口大小的元素。PN窗口大小是安全能力的另一個(gè)實(shí)例并且用于防止重放攻擊���。圖5的示意圖包括每個(gè)元素是強(qiáng)制(M)還是可選(0)的指示,并且示出的四個(gè)安全能力元素均被示為是強(qiáng)制的�。在移動(dòng)站104建立與歸屬AAA服務(wù)器的訂購(gòu)時(shí),歸屬AAA服務(wù)器先前已存儲(chǔ)指示該移動(dòng)站的已建立的安全能力的信息��。消息傳送步驟(13a)總體上對(duì)應(yīng)于圖3的流程圖中的步驟310����。歸屬AAA服務(wù)器因此使用其對(duì)移動(dòng)站的安全能力的知識(shí)來協(xié)助ASN網(wǎng)關(guān)檢測(cè)打壓攻擊的存在??梢詫⒁苿?dòng)站安全能力TLV與從歸屬AAA服務(wù)器126’傳送到ASN網(wǎng)關(guān)120的其他信息相組合。例如����,可以將移動(dòng)站安全能力TLV與從歸屬AAA服務(wù)器發(fā)送到ASN網(wǎng)關(guān)的 RADIUS Access Acc印t消息中包括的提供方特定屬性(VSA)相組合?�?梢栽?000年6月 C. Rigney 等人的 IETF RFC2865"Remote Authentication Dial In User Service (RADIUS),���, 中找到有關(guān)RADIUS消息傳送的常規(guī)方面的細(xì)節(jié)�����。如圖5的示意圖的描述部分所指出的����,可以在RADIUS Access Accept消息中傳送移動(dòng)站安全能力TLV�����。在步驟(1 )中��,ASN網(wǎng)關(guān)120檢查在TLV中告知的已建立的移動(dòng)站安全能力并將它們與移動(dòng)站102和基站104之間協(xié)商的實(shí)際安全能力相比較��。如果協(xié)商的能力與步驟(13a)中發(fā)送的TLV指示的移動(dòng)站的預(yù)期能力不一致���,則 ASN網(wǎng)關(guān)確定已發(fā)生打壓攻擊并采取適當(dāng)防御操作以挫敗攻擊�。此類防御操作可以例如包括要求移動(dòng)站與基站重新協(xié)商安全能力�����、強(qiáng)制移動(dòng)站返回協(xié)議中的初始網(wǎng)絡(luò)入口點(diǎn),或甚至指示終止與移動(dòng)站的通信����。由ASN網(wǎng)關(guān)在步驟(13c)中將這些實(shí)施移動(dòng)站的已建立的安全能力的操作告知基站。例如����,如果防御操作是終止與移動(dòng)站的通信,則步驟(13c)可以包括指示應(yīng)由基站執(zhí)行認(rèn)證方發(fā)起的網(wǎng)絡(luò)退出程序的命令���。如果協(xié)商的能力與步驟(13a)中發(fā)送的TLV指示的移動(dòng)站102的預(yù)期能力一致, 則ASN網(wǎng)關(guān)120確定未發(fā)生打壓攻擊���。在此情況下�����,ASN網(wǎng)關(guān)將移動(dòng)站安全能力TLV發(fā)送給基站104以便在移動(dòng)站與基站的后續(xù)安全協(xié)商中使用����。更具體地說�,修改了步驟(16)以將移動(dòng)站安全能力TLV結(jié)合到由ASN網(wǎng)關(guān)發(fā)送到移動(dòng)站的Key_Change_Directive消息內(nèi), 如同樣在圖5的示意圖的描述部分中指出的。在備選實(shí)施例中�����,可以使用其他類型的消息傳送來傳送此信息���?����;臼褂脧腁SN網(wǎng)關(guān)接收的有關(guān)移動(dòng)站的已建立的安全能力的信息來在步驟(18)至02)中促進(jìn)其與移動(dòng)站的后續(xù)安全協(xié)商����。如上所述��,在IEEE標(biāo)準(zhǔn)802. 16和WiMAX論壇文檔中詳細(xì)描述了圖4的消息傳送過程的常規(guī)方面�。例如,時(shí)段T1至T6指示發(fā)送特定消息與接收其他消息之間的相應(yīng)預(yù)期時(shí)段�����,如以上引用的文檔中說明的���。上述示例性實(shí)施例有利地提供了用于在WiMAX系統(tǒng)中防止打壓攻擊的技術(shù)���。可以在對(duì)現(xiàn)有WiMAX標(biāo)準(zhǔn)的消息傳送協(xié)議進(jìn)行最少更改的情況下以簡(jiǎn)單高效的方式實(shí)現(xiàn)此功能����。本發(fā)明的備選實(shí)施例可以使用不同于以上在示例性實(shí)施例的上下文中描述的通信系統(tǒng)配置、攻擊防止處理���、消息傳送協(xié)議以及消息格式����。這些以及大量其他在所附權(quán)利要求的范圍之內(nèi)的備選實(shí)施例對(duì)本領(lǐng)域技術(shù)人員將是顯而易見的�。
權(quán)利要求
1.一種用于在包括移動(dòng)站、基站���、網(wǎng)關(guān)以及服務(wù)器的通信系統(tǒng)中使用的方法,所述基站被配置為與所述移動(dòng)站進(jìn)行無線通信��,所述網(wǎng)關(guān)被配置為在所述基站和所述服務(wù)器之間進(jìn)行連接�����,所述方法包括以下步驟將指示所述移動(dòng)站的至少一個(gè)已建立的安全能力的信息存儲(chǔ)在所述服務(wù)器中;以及將所述信息的至少一部分從所述服務(wù)器發(fā)送到所述網(wǎng)關(guān)����;由此使得所述網(wǎng)關(guān)能夠檢驗(yàn)在所述移動(dòng)站與所述基站之間協(xié)商的一個(gè)或多個(gè)安全能力與所述移動(dòng)站的所述至少一個(gè)已建立的安全能力相一致。
2.如權(quán)利要求1所述的方法��,其中存儲(chǔ)在所述服務(wù)器中的所述信息被配置為使得所述網(wǎng)關(guān)能夠防止其中攻擊者假冒所述移動(dòng)站以與所述基站協(xié)商低劣安全能力的打壓攻擊�。
3.如權(quán)利要求1所述的方法,其中將所述信息的至少一部分從所述服務(wù)器發(fā)送到所述網(wǎng)關(guān)的步驟包括結(jié)合所述移動(dòng)站的認(rèn)證過程而發(fā)送所述信息的至少一部分�����。
4.如權(quán)利要求3所述的方法���,其中結(jié)合所述移動(dòng)站的認(rèn)證過程而將所述信息的至少一部分從所述服務(wù)器發(fā)送到所述網(wǎng)關(guān)的步驟進(jìn)一步包括在所述認(rèn)證過程完成之后發(fā)送所述 fn息ο
5.如權(quán)利要求1所述的方法�����,其中將信息存儲(chǔ)在所述服務(wù)器中的步驟進(jìn)一步包括結(jié)合在所述移動(dòng)站與所述服務(wù)器之間建立訂購(gòu)而在所述服務(wù)器中創(chuàng)建訂購(gòu)記錄�����,并且其中所述訂購(gòu)記錄標(biāo)識(shí)了所述移動(dòng)站的多個(gè)安全能力��。
6.如權(quán)利要求1所述的方法���,其中指示所述移動(dòng)站的至少一個(gè)已建立的安全能力的信息包括PKM版本支持指示符�����、認(rèn)證策略支持指示符���、消息認(rèn)證碼類型支持指示符以及EAP認(rèn)證類型指示符中的至少一個(gè)。
7.一種用于在包括移動(dòng)站��、基站以及網(wǎng)關(guān)的通信系統(tǒng)中使用的設(shè)備���,所述基站被配置為與所述移動(dòng)站進(jìn)行無線通信��,所述網(wǎng)關(guān)被配置為連接到所述基站����,所述設(shè)備包括服務(wù)器�,被配置為連接到所述網(wǎng)關(guān),使得所述網(wǎng)關(guān)布置在所述基站與所述服務(wù)器之間���;所述服務(wù)器包括與存儲(chǔ)器耦合的處理器;其中所述服務(wù)器可在所述處理器的控制下操作以將指示所述移動(dòng)站的至少一個(gè)已建立的安全能力的信息存儲(chǔ)在所述存儲(chǔ)器中��,以及將所述信息的至少一部分從所述服務(wù)器發(fā)送到所述網(wǎng)關(guān);其中從所述服務(wù)器發(fā)送到所述網(wǎng)關(guān)的所述信息使得所述網(wǎng)關(guān)能夠檢驗(yàn)在所述移動(dòng)站與所述基站之間協(xié)商的一個(gè)或多個(gè)安全能力與所述移動(dòng)站的所述至少一個(gè)已建立的安全能力相一致��。
8.一種用于在包括移動(dòng)站��、基站�、網(wǎng)關(guān)以及服務(wù)器的通信系統(tǒng)中使用的方法,所述基站被配置為與所述移動(dòng)站進(jìn)行無線通信�,所述網(wǎng)關(guān)被配置為在所述基站和所述服務(wù)器之間進(jìn)行連接,所述服務(wù)器被配置為存儲(chǔ)指示所述移動(dòng)站的至少一個(gè)已建立的安全能力的信息����, 所述方法包括以下步驟所述基站與所述移動(dòng)站協(xié)商一個(gè)或多個(gè)安全能力;在所述基站中經(jīng)由所述網(wǎng)關(guān)接收指示所述移動(dòng)站的至少一個(gè)已建立的安全能力的所述信息的至少一部分��;以及利用所接收的信息促進(jìn)所述基站與所述移動(dòng)站之間的后續(xù)安全協(xié)商�����。
9.一種用于在包括移動(dòng)站����、基站�����、網(wǎng)關(guān)以及服務(wù)器的通信系統(tǒng)中使用的方法��,所述基站被配置為與所述移動(dòng)站進(jìn)行無線通信�,所述網(wǎng)關(guān)被配置為在所述基站和所述服務(wù)器之間進(jìn)行連接�����,所述服務(wù)器被配置為存儲(chǔ)指示所述移動(dòng)站的至少一個(gè)已建立的安全能力的信息���, 所述方法包括以下步驟在所述網(wǎng)關(guān)中從所述服務(wù)器接收指示所述移動(dòng)站的至少一個(gè)已建立的安全能力的所述信息的至少一部分��;以及在所述網(wǎng)關(guān)中檢驗(yàn)在所述移動(dòng)站與所述基站之間協(xié)商的一個(gè)或多個(gè)安全能力與所述移動(dòng)站的所述至少一個(gè)已建立的安全能力相一致�。
10.一種用于在包括移動(dòng)站��、基站以及服務(wù)器的通信系統(tǒng)中使用的設(shè)備��,所述基站被配置為與所述移動(dòng)站進(jìn)行無線通信����,所述服務(wù)器被配置存儲(chǔ)指示所述移動(dòng)站的至少一個(gè)已建立的安全能力的信息,所述設(shè)備包括網(wǎng)關(guān)���,被配置為在所述基站和所述服務(wù)器之間進(jìn)行連接�;所述網(wǎng)關(guān)包括與存儲(chǔ)器耦合的處理器���;其中所述網(wǎng)關(guān)可在所述處理器的控制下操作以從所述服務(wù)器接收指示所述移動(dòng)站的至少一個(gè)已建立的安全能力的所述信息的至少一部分�,以及檢驗(yàn)在所述移動(dòng)站與所述基站之間協(xié)商的一個(gè)或多個(gè)安全能力與所述移動(dòng)站的所述至少一個(gè)已建立的安全能力相一致��。
全文摘要
一種通信系統(tǒng)�,至少包括移動(dòng)站、基站�、網(wǎng)關(guān)(120A、120B)以及服務(wù)器(122A���、122B)���,基站被配置為與所述移動(dòng)站進(jìn)行無線通信,并且網(wǎng)關(guān)被配置為在基站和服務(wù)器之間進(jìn)行連接�。服務(wù)器存儲(chǔ)指示移動(dòng)站(232)的至少一個(gè)已建立的安全能力的信息,并可能結(jié)合移動(dòng)站的認(rèn)證過程而將該信息的至少一部分發(fā)送到所述網(wǎng)關(guān)����。網(wǎng)關(guān)使用從所述服務(wù)器接收的信息(236)來檢驗(yàn)在移動(dòng)站與所述基站之間協(xié)商的一個(gè)或多個(gè)安全能力與所述移動(dòng)站的所建立的一個(gè)或多個(gè)安全能力相一致。這可以有利地允許所述網(wǎng)關(guān)防止其中攻擊者假冒所述移動(dòng)站以與所述基站協(xié)商低劣安全能力的打壓攻擊�����。
文檔編號(hào)H04W12/12GK102227929SQ200980147204
公開日2011年10月26日 申請(qǐng)日期2009年11月17日 優(yōu)先權(quán)日2008年11月26日
發(fā)明者S·B·米茲科夫斯基 申請(qǐng)人:阿爾卡特朗訊美國(guó)公司