法律状态公告日
法律状态信息
法律状态
2016-12-07
未缴年费专利权终止 IPC(主分类):H04W12/04 授权公告日:20130410 终止日期:20151019 申请日:20091019
专利权的终止
2013-04-10
授权
授权
2010-10-20
实质审查的生效 IPC(主分类):H04W12/04 申请日:20091019
实质审查的生效
2010-09-01
公开
公开
技术领域
本发明涉及WiMAX(Worldwide Interoperability for Microwave Access)无线网络安全接入技术领域。
背景技术
宽带无线接入技术是指以无线传输方式向用户提供接入宽带固定网络的接入技术。WiMAX(全球微波接入互操作性)无线网络基于IEEE 802.16空中接口,是一项新兴的无线城域网(WMAN)技术。其基本目标是提供一种在城域网一点对多点的环境下,可以有效地实现宽带无线接入手段。但是由于无线城域网的传输媒介的开放性,安全问题也备受关注,安全机制完善与否,接入控制策略是否合理,已经成为WiMAX网络产品化和市场化成功与否的关键性因素之一。
2005年2月IEEE 802.16工作组推出了WiMAX无线网络新一代的国际标准IEEE 802.16e-2005,将以前版本中使用的PKM(Privacy and KeyManagement)安全协议升级为PKMv2安全协议。PKMv2安全协议包括安全认证协议和密钥管理协议两个子协议,PKMv2安全认证协议主要解决“鉴别”问题,即完成基站与客户端之间的双向身份认证,以及基站对客户端的授权。只有双方成功完成了身份认证,并且客户端得到了基站对其的授权,客户端才可以通过PKMv2密钥管理协议获取会话密钥,并安全的访问网络资源,PKMv2安全认证协议是该安全协议的基础与核心。
PKMv2安全认证协议的定义如下,其中X代表客户端,Y代表基站:
M1‘X->Y:NX,IDX
M2‘Y->X:SIGY(NX,NY,IDY,EKx(PAK,IDX))
M3‘X->Y:NY,XAddr,MACAK(NY,XAddr)
Kx表示客户端X的公钥,认证密钥(AK)则是客户端得到预认证密钥(PAK)以后,通过计算式AK=MACPAK(NX,NY,XAddr,YAddr,160)计算得出。
攻击者可以利用客户端X计算出消息M3,有效伪装成客户端完成认证,从而完成交错攻击。
发明内容
本发明的目的是提供一种安全的WiMAX无线网络认证协议,也称为FZM-PKMv2安全认证协议。
本发明是一种安全的WiMAX无线网络认证协议,其实施步骤为:
(1)客户端X向基站Y发送消息M1‘,包含随机数NX和客户端证书IDX用于申请初始认证密钥(PAK)认证请求消息;
(2)在认证应答消息M2‘中,基站Y决定所使用的加密算法,为客户端X激活一个PAK,并用客户端X的公钥将其进行加密;
(3)基站Y对加密后的预认证密钥(PAK)和客户端X的身份信息IDX进行签名,并以预认证密钥(PAK)为密钥生成消息认证码,MACPAK(NX,NY,IDX,IDY,EKx(PAK))将签名和消息认证码与基站Y的证书IDY一并发送给客户端X;
(4)客户端X收到认证应答消息M2‘后,进行消息认证,验证发送者身份和消息完整性;
(5)为了得到认证密钥(AK)从而完成互认证,客户端X使用自己的私钥对消息M2‘中用客户端X的公钥加密的信息进行解密,从中得到PAK,之后通过计算公式AK=MACPAK(NX,NY,XAddr,YAddr,160)计算出认证密钥(AK);
(6)客户端X通过发送认证确认消息M3‘来表示确认认证应答消息,并且基站Y通过消息M3‘中的消息认证码对客户端X进行身份认证,从而完成认证。
本发明的有益之处在于:
(1)防御交错攻击
本发明可以有效的防御PKMv2安全认证协议所遭受到的交错攻击,且比其它的协议修改方案发现攻击更早。FZM-PKMv2安全认证协由认证请求,认证应答,认证确认3个部分组成。认证请求:IDX用于表明认证发起者客户端X的身份,并向基站Y提供客户端的公钥Kx。认证应答:EKx(PAK)用客户端X的公钥Kx加密预认证密钥(PAK),以保证预认证密钥(PAK)的安全性.SIGY(NX,NY,EKx(PAK),IDX)用于表明EKx(PAK),IDX等消息是由基站Y发送的。MACPAK(NX,NY,IDX,IDY,EKx(PAK))用于保证所签名消息的完整性,并证明认证应答消息由基站Y发送。IDY用于向客户端X提供基站Y的公钥Ky,以验证基站Y的签名。认证确认:MACAK(NY,XAddr)用于保证消息完整性,并证明认证确认消息由客户端X发送,从而达到双向认证的目的。
(2)基于协议组合逻辑(PCL)的安全
FZM-PKMv2安全认证协议具有两个安全属性:密钥机密性(φWiMAX,sec)和会话认证性(φWiMAX,auth)。这里仅给出Server端的情况,Client端的情况类似。该协议为Server提供密钥机密性是指:其中该协议为Server提供会话认证性是指:其中
具体实施方式
本发明是一种安全的WiMAX无线网络认证协议,其实施步骤为:
(1)客户端X向基站Y发送消息M1‘,包含随机数NX和客户端证书IDX用于申请初始认证密钥(PAK)认证请求消息;
(2)在认证应答消息M2‘中,基站Y决定所使用的加密算法,为客户端X激活一个PAK,并用客户端X的公钥将其进行加密;
(3)基站Y对加密后的预认证密钥(PAK)和客户端X的身份信息IDX进行签名,并以预认证密钥(PAK)为密钥生成消息认证码,MACPAK(NX,NY,IDX,IDY,EKx(PAK))将签名和消息认证码与基站Y的证书IDY一并发送给客户端X;
(4)客户端X收到认证应答消息M2‘后,进行消息认证,验证发送者身份和消息完整性;
(5)为了得到认证密钥(AK)从而完成互认证,客户端X使用自己的私钥对消息M2‘中用客户端X的公钥加密的信息进行解密,从中得到PAK,之后通过计算公式AK=MACPAK(NX,NY,XAddr,YAddr,160)计算出认证密钥(AK);
(6)客户端X通过发送认证确认消息M3‘来表示确认认证应答消息,并且基站Y通过消息M3‘中的消息认证码对客户端X进行身份认证,从而完成认证。
符号说明:
X:客户端
Y:基站
N1:通信方I产生的随机数
ID1:通信方I的证书
IAddr:通信方I的MAC地址
PAK:预认证密钥
AK:认证密钥
EKi:以通信方I的公钥Ki加密
SIG1:通信方I的签名
MACK:以K为密钥的消息认证码
本发明的实施步骤还可以表示为:
M1‘X->Y:NX,IDX
M2‘Y->X:SIGY(NX,NY,EKx(PAK),IDX),MACPAK(NX,NY,IDX,IDY,EKx(PAK)),IDY
M3‘X->Y:NY,XAddr,MACAK(NY,XAddr)
FZM-PKMv2安全认证协议的具体实施方式如下,首先,客户端X向基站Y发送消息M1‘,即认证请求消息。它包含随机数NX和客户端证书IDX,用于申请初始认证密钥(PAK)等安全信息。随后,在认证应答消息M2‘中,基站Y决定所使用的加密算法,为客户端X激活一个PAK,并用客户端X的公钥将其进行加密,之后基站Y对加密后的预认证密钥(PAK)和客户端X的身份信息IDX等进行签名,并以预认证密钥(PAK)为密钥生成消息认证码MACPAK(NX,NY,IDX,IDY,EKx(PAK)),将签名和消息认证码与基站Y的证书IDY一并发送给客户端X。客户端X收到认证应答消息M2‘后,进行消息认证,验证发送者身份和消息完整性。最后,为了得到认证密钥(AK)从而完成互认证,客户端X使用自己的私钥对消息M2‘中用客户端X的公钥加密的信息进行解密,从中得到PAK,之后通过计算公式AK=MACPAK(NX,NY,XAddr,YAddr,160)计算出认证密钥(AK)。客户端X通过发送认证确认消息M3‘来表示确认认证应答消息,并且基站Y通过消息M3‘中的消息认证码对客户端X进行身份认证,从而完成认证。
机译: 移动全球互访问性的微波访问(WIMAX)网络中可扩展认证协议(EAP)认证的快速处理方法
机译: 安全的无线网络,一种在无线网络中进行安全通信的方法
机译: 产生WiMAX激活证明并在WiMAX设置会话期间安全处理断开连接的技术