一种蜂窝移动通信网络的接入方法和系统
专利汇可以提供一种蜂窝移动通信网络的接入方法和系统专利检索,专利查询,专利分析的服务。并且一种蜂窝 移动通信网络 的接入方法和系统,该方法包括:终端与基站完成测距过程后,与基站进行基本能 力 协商,基本能力协商过程完成后,基站与终端执行WAPI接入认证过程;接入认证过程完成后,终端执行后续的接入流程,接入到蜂窝移动通信网络;所述WAPI接入认证过程包括:终端向基站发送接入 鉴别 请求 分组,该分组中包含:终端的证书及终端的签名;接收到接入鉴别请求分组后,基站对终端的签名进行认证,签名认证成功后,基站将终端的证书包含在证书鉴别请求分组中发送给鉴别 服务器 进行验证;终端的证书验证成功后,基站向终端发送接入鉴别响应分组,并与终端协商得到单播会话密钥。,下面是一种蜂窝移动通信网络的接入方法和系统专利的具体信息内容。
1、一种蜂窝移动通信网络的接入方法,其特征在于,该方法包括: 终端与基站完成测距过程后,与基站进行基本能力协商,基本能力协商过程完成后,基站与终端执行无线局域网鉴别与保密基础结构WAPI接入认证过程;接入认证过程完成后,终端执行后续的接入流程,接入到蜂窝移动通信网络; 所述WAPI接入认证过程包括: 终端向基站发送接入鉴别请求分组,该分组中包含:终端的证书及终端的签名; 接收到接入鉴别请求分组后,基站对终端的签名进行认证,签名认证成功后,基站将终端的证书包含在证书鉴别请求分组中发送给鉴别服务器进行验证; 终端的证书验证成功后,基站向终端发送接入鉴别响应分组,并与终端协商得到单播会话密钥。
2、 如权利要求l所述的方法,其特征在于, 所述证书鉴别请求分组中还包含基站的证书;鉴别服务器还对所述基站的证书进行验证,并将证书验证结果和鉴别服 务器的签名通过基站发送给终端;终端根据证书验证结果和鉴别服务器的签名判断对基站的证书是否验 证成功。
3、 如权利要求l所述的方法,其特征在于,发送所述接入鉴别请求分组前,终端还生成用于椭圓曲线密码体制的戴 菲-赫曼ECDH交换的临时公钥px和临时私钥sx,并将所述px包含在所述 接入鉴别请求分组中发送给基站;对所述终端的证书验证成功后,基站还生成用于ECDH交换的临时私 钥sy和临时公钥py,使用所述px和sy进行ECDH计算,生成基密钥BK,并将所述py包含在所述接入鉴别响应分组中发送给终端;终端接收到所述接入鉴别响应分组后,使用所述py和sx进行ECDH计 算,生成基密钥BK;终端和基站使用所述基密钥BK协商得到所述单播会话密钥。
4、 如权利要求l所述的方法,其特征在于, 终端和基站采用如下方式进行所述基本能力协商:终端向基站发送基本能力请求消息,该消息中包含终端是否支持WAPI 接入认证的信息;基站根据基本能力请求消息中包含的所述信息判断是否启动与终端的 所述WAPI纟妄入i人证过程。
5、 如权利要求l所述的方法,其特征在于, 基站与终端采用如下方式协商单播会话密钥:基站生成随机数N,和用于ECDH交换的临时私钥sy和临时公钥py, 并向终端发送单播密钥协商请求分组,该分组中包含所述N,和py;接收到所述单播密钥协商请求分组后,终端生成随机数N2和用于ECDH 交换的临时私钥sx和临时公钥px,对py和sx进行ECDH计算,得到基密 钥BK,使用基密钥BK、所述N!和N2生成所述单播会话密钥;终端向基站发送单播密钥协商响应分组,该分组中包含所述N2和px;接收到所述单播密钥协商响应分组后,基站对px和sy进行ECDH计算, 得到基密钥BK,使用基密钥BK、所述N,和N2生成所述单播会话密钥。
6、 一种蜂窝移动通信网络的接入系统,该系统包含:终端、基站;其 特征在于,该系统中还包含鉴别服务器;其中:所述基站用于在与所述终端完成测距过程后,与所述终端进行基本能力 协商;基本能力协商过程完成后,所述基站还用于接收所述终端发送的接入鉴 别请求分组,该分组中包含:终端的证书及终端的签名;接收到接入鉴别请求分组后,所述基站还用于对所述终端的签名进行认 证,签名认证成功后,将终端的证书包含在证书鉴别请求分组中发送给所述鉴别服务器进行验证;终端的证书验证成功后,所述基站还向终端发送接入鉴别响应分组,并与终端协商得到单播会话密钥;单播会话密钥协商完成后,所述基站还与终端交互,完成后续的接入流 程,使终端接入到蜂窝移动通信网络。
7、 如权利要求6所述的系统,其特征在于, 所述证书鉴别请求分组中还包含基站的证书;所述鉴别服务器还用于对所述基站的证书进行验证,并将证书验证结果 和鉴别服务器的签名通过所述基站发送给终端。
8、 如权利要求6所述的系统,其特征在于,发送所述接入鉴别请求分组前,所述终端还用于生成用于椭圓曲线密码 体制的戴菲-赫曼ECDH交换的临时/>钥px和临时私钥sx,并将所述px包 含在所述接入鉴别请求分组中发送给所述基站;对所述终端的证书验证成功后,所述基站还生成用于ECDH交换的临 时私钥sy和临时公钥py,使用所述px和sy进行ECDH计算,生成基密钥 BK,并将所述py包含在所述接入鉴别响应分组中发送给所述终端;所述终端接收到所述接入鉴别响应分组后,使用所述py和sx进行 ECDH计算,生成基密钥BK;所述终端和所述基站使用所述基密钥BK协商得到所述单播会话密钥。
9、 如权利要求6所述的系统,其特征在于,所述基站还用于根据所述基本能力协商过程中所述终端发送的基本能 力请求消息中包含的用于标识所述终端是否支持WAPI接入认证的信息来 判断是否启动与所述终端的所述WAPI接入认证过程。
10、 如权利要求6所述的系统,其特征在于,所述基站与所述终端采用如下方式协商单播会话密钥:所述基站生成随机数M和用于ECDH交换的临时私钥sy和临时公钥 py,并向所述终端发送单播密钥协商请求分组,该分组中包含所述Ni和py;接收到所述单播密钥协商请求分组后,所述终端生成随机数N2和用于 ECDH交换的临时私钥sx和临时公钥px,对py和sx进行ECDH计算,得 到基密钥BK,使用基密钥BK、所述N!和N2生成所述单播会话密钥;所述终端向基站发送单播密钥协商响应分组,该分组中包含所述N2和px;接收到所述单播密钥协商响应分组后,所述基站对px和sy进行ECDH 计算,得到基密钥BK,使用基密钥BK、所述N,和N2生成所述单播会话密钥。
一种蜂窝移动通信网络的接入方法和系统
技术领域
背景技术
基于WAPI协议的WLAN安全网络由:ASUE( Authentication Supplicant Entity,鉴别请求者实体,通常驻留在移动终端中)、AE( Authenticator Entity, 鉴别器实体,通常驻留在接入点中)和ASE (Authentication Service Entity, 鉴别服务实体,通常驻留在鉴别服务器中)三个实体组成,利用公开密码体 系完成移动终端和接入点间的双向认证,在认证过程中移动终端和AP采用 椭圓曲线密码算法协商出会话密钥,并对通信过程中的数据采用国家密码主 管部门指定的加密算法完成加密,安全性极高。同时,WAPI还支持在通信 过程中经过一定时间间隔后或传输了 一定数量的数据包后,更新会话密钥, 极大地提高了数据传输的安全性。
根据WAPI协议,鉴别服务器(AS)负责证书的颁发、验证与吊销等 处理,移动终端(MT)与无线接入点(AP)上都安装有AS颁发的公钥i正 书,作为自己的数字身份凭证。当移动终端关联至AP后,在使用或访问网 络之前必须通过鉴别服务器进行双方的身份验证,根据验证的结果,持有合 法证书的移动终端才能接入持有合法证书的AP,也就是说才能通过AP访问网络。这样不^f叉可以防止非法移动终端接入AP访问网络并占用网络资源, 而且还可以防止移动终端接入非法AP而造成信息泄漏。
下一代基于IP (InternetProtocol,因特网协议)的蜂窝移动通信网络系 统,如WiMAX ( Worldwide Interoperability for Microwave Access,微波接入 全球互操作性认证),LTE (Long Term Evolution,长期演进)等系统中, 接入认证由在IP网侧单独设置的 一 台或 一 组AAA ( Authentication Authorization Accounting,鉴权授权计费)服务器来完成,AAA服务器可以 对终端进行单向认证,或基于EAP ( Extensible Authentication Protocol,扩展 认证协议)与终端进4于双向认i正。
目前,有许多运营商同时拥有基于IP的蜂窝移动通信网络系统和无线 局域网系统,由于需要针对不同的系统采用不同的认证机制,运营商需要部 署不同类型的鉴别服务器,增加了运营商的硬件成本,同时也不利于网络融 合、业务融合以及网络和业务的整体管理。
同时,随着双模终端的普及,如果能够采用相同的接入认证机制接入蜂 窝无线通信系统和无线局域网系统,就可以在双模终端中设置单一的接入认 证模块,以降低双模终端的软硬件成本,且更易于实现在不同的接入网络之 间的切换。
将WAPI作为虫奪窝移动通信网络系统和无线局域网系统的统一认证机 制是满足运营商和用户的上述需求的一种可行方案。但是,现有技术中还没 有在基于IP的蜂窝无线通信系统中实现WAPI的技术方案。
发明内容
为了解决上述问题,本发明提供一种蜂窝移动通信网络的接入方法,该 方法包括:
终端与基站完成测距过程后,与基站进行基本能力协商,基本能力协商过程完成后,基站与终端执行无线局域网鉴别与保密基础结构WAPI接入认
证过程;接入认证过程完成后,终端执行后续的接入流程,接入到蜂窝移动 通信网络;
所述WAPI 4妻入认i正过程包括:
终端向基站发送接入鉴别请求分组,该分组中包含:终端的证书及终端 的签名;
接收到接入鉴别请求分组后,基站对终端的签名进行认证,签名认证成 功后,基站将终端的证书包含在证书鉴别请求分组中发送给鉴别服务器进行 验证;
终端的证书验证成功后,基站向终端发送接入鉴别响应分组,并与终端 协商得到单播会话密钥。
此外,所述证书鉴别请求分组中还包含基站的证书;
鉴別服务器还对所述基站的证书进行验证,并将证书验证结果和鉴别服 务器的签名通过基站发送给终端;
终端根据证书验证结果和鉴别服务器的签名判断对基站的证书是否验 证成功。
此外,发送所述接入鉴别请求分组前,终端还生成用于椭圆曲线密码体 制的戴菲-赫曼ECDH交换的临时公钥px和临时私钥sx,并将所述px包含 在所述接入鉴别请求分组中发送给基站;
对所述终端的证书验证成功后,基站还生成用于ECDH交换的临时私 钥sy和临时公钥py,使用所述px和sy进行ECDH计算,生成基密钥BK, 并将所述py包含在所述冲妻入鉴别响应分组中发送给终端;
终端接收到所述接入鉴别响应分组后,使用所述py和sx进行ECDH计 算,生成基密钥BK;
终端和基站使用所述基密钥BK协商得到所述单播会话密钥。
此外,终端和基站采用如下方式进行所述基本能力协商:
终端向基站发送基本能力请求消息,该消息中包含终端是否支持WAPI接入认证的信息;
基站根据基本能力请求消息中包含的所述信息判断是否启动与终端的
所述WAPI接入认证过程。
此外,基站与终端采用如下方式协商单播会话密钥:
基站生成随机数N,和用于ECDH交换的临时私钥sy和临时7>钥py, 并向终端发送单播密钥协商请求分组,该分组中包含所述N,和py;
接收到所述单播密钥协商请求分组后,终端生成随机数N2和用于ECDH 交换的临时私钥sx和临时公钥px,对py和sx进行ECDH计算,得到基密 钥BK,使用基密钥BK、所述N,和N2生成所述单播会话密钥;
终端向基站发送单播密钥协商响应分组,该分组中包含所述N2和px;
接收到所述单播密钥协商响应分组后,基站对px和sy进行ECDH计算, 得到基密钥BK,使用基密钥BK、所述N,和N2生成所述单播会话密钥。
本发明还提供一种蜂窝移动通信网络的接入系统,该系统包含:终端、 基站;该系统中还包含鉴别服务器;其中:
所述基站用于在与所述终端完成测距过程后,与所述终端进行基本能力 协商;
基本能力协商过程完成后,所述基站还用于接收所述终端发送的接入鉴 别请求分组,该分组中包含:终端的证书及终端的签名;
接收到接入鉴别请求分组后,所述基站还用于对所述终端的签名进行认 证,签名认证成功后,将终端的证书包含在证书鉴别请求分组中发送给所述 鉴别服务器进行验证;
终端的证书验证成功后,所述基站还向终端发送接入鉴别响应分组,并 与终端协商得到单播会话密钥;
单播会话密钥协商完成后,所述基站还与终端交互,完成后续的接入流 程,使终端接入到蜂窝移动通信网络。
此外,所述证书鉴别请求分组中还包含基站的证书;所述鉴别服务器还用于对所述基站的证书进行验证,并将证书验证结果 和鉴别服务器的签名通过所述基站发送给终端。
此外,发送所述接入鉴别请求分组前,所述终端还用于生成用于椭圆曲
线密码体制的戴菲-赫曼ECDH交换的临时公钥px和临时私钥sx,并将所述 px包含在所述接入鉴别请求分组中发送给所述基站;
对所述终端的证书验证成功后,所述基站还生成用于ECDH交换的临 时私钥sy和临时公钥py,使用所述px和sy进行ECDH计算,生成基密钥 BK,并将所述py包含在所述接入鉴别响应分组中发送给所述终端;
所述终端接收到所述接入鉴别响应分组后,使用所述py和sx进行 ECDH计算,生成基密钥BK;
所述终端和所述基站使用所述基密钥BK协商得到所述单播会话密钥。
此外,所述基站还用于根据所述基本能力协商过程中所述终端发送的基 本能力请求消息中包含的用于标识所述终端是否支持WAPI接入认证的信
此外,所述基站与所述终端采用如下方式协商单播会话密钥:
所述基站生成随机数N,和用于ECDH交换的临时私钥sy和临时公钥 py,并向所述终端发送单纟番密钥协商请求分组,该分组中包含所述Ni和py;
接收到所述单播密钥协商请求分组后,所述终端生成随机数N2和用于 ECDH交换的临时私钥sx和临时公钥px,对py和sx进行ECDH计算,得 到基密钥BK,使用基密钥BK、所述N,和N2生成所述单播会话密钥;
所述终端向基站发送单播密钥协商响应分组,该分组中包含所述N2和
px;
接收到所述单播密钥协商响应分组后,所述基站对px和sy进行ECDH 计算,得到基密钥BK,使用基密钥BK、所述N,和N2生成所述单播会话密钥。
综上所述,本发明将基站作为WAPI协议中的AE,蜂窝移动通信终端 作为WAPI协议中的ASUE,在蜂窝移动通信网络系统中实现了基于WAPI的接入认证,降低了运营商的运营和管理成本。 附图说明
图l是统一采用WAPI作为接入认证协议的蜂窝移动通信网络系统和无 线局域网系统的结构示意图;
图2是本发明实施例LTE网络的接入方法流程图;
图3是LTE终端与基站和鉴别服务器交互完成WAPI接入认证的方法 流程图。
具体实施方式
此外,为了保持兼容性,需要在蜂窝移动通信网络系统中保留原有的接 入认证方式,因此,基站需要判断终端是否支持WAPI协议,并根据判断结 果启动相应的4妻入iU正方式。
下面将结合附图和实施例对本发明进行详细描述。
图l是统一采用WAPI作为接入认证协议的蜂窝移动通信网络系统和无 线局域网系统的结构示意图;如图1所示,蜂窝移动通信网络系统中采用 WAPI作为接入认证协议时,蜂窝移动通信网络系统可以和无线局域网系统 共用相同的鉴别服务器。
以下将对蜂窝移动通信网络系统中终端接入网络的过程中,终端、基站 和鉴别月良务器的功能,以及相互之间的消息交互关系进行详细描述。无线局 域网系统中终端接入网络的过程与现有技术相同,本文从略。
图2是本发明实施例LTE网络的接入方法流程图,具体包括如下步骤:201: LTE终端搜索下行信道,搜索到下行信道频点后进行下行同步;
202:下行同步完成后,LTE终端利用获取的上行信道参数,开始测距 过程;
203: LTE终端根据测距获得的信息,将其支持基本能力参数包含在基 本能力请求消息(SS Basic Capability Request,简称为SBC-REQ)中发送给 基站,以启动基本能力协商过程;
如果LTE终端同时支持EAP和WAPI,上述基本能力参数中包含WAPI 认证参数和EAP认证参数。
WAPI认证参数中包含:LTE终端支持的WAI ( WLAN Authentication Infrastructure,无线局域网鉴别基础结构)鉴别和密钥管理方式、LTE终端 支持的单播加密算法等,具体描述如下:
WAI鉴别和密钥管理方式分为以下两种:WAI证书鉴别和密钥管理方 式,WAI预共享密钥鉴别和密钥管理方式;
其中,如果采用WAI证书鉴别和密钥管理方式,LTE终端需要向基站 提供数字证书,与基站和鉴别服务器交互完成证书鉴别过程,并在证书鉴别 过程中协商基密钥(BK);如果采用WAI预共享密钥鉴别和密钥管理方式, LTE终端无需进行证书鉴别过程,基密钥由LTE终端和基站的预共享密钥 直接导出。
单播加密算法包含了 LTE终端支持的一种或多种单播加密算法;例如 SMS4算法等;
鉴别服务器列表字段包含了 LTE终端所支持(信任)的筌别服务器的 标识。
204:基站接收到基本能力请求消息后,判断其中是否包含WAPI认证 参数:
如果基本能力请求消息中未包含WAPI认证参数,基站获知该LTE终 端不支持WAPI,因此向LTE终端返回包含EAP认证参数的基本能力应答 消息(SS Basic Capability Response,简称为SBC-RSP ),并在后续步骤中 采用现有4支术中的EAP认证方式对LTE终端进行认证,并完成后续的接入过程,本流程结束;
如果基本能力请求消息中包含WAPI认证参数,则基站判断其是否支持 终端提供的WAPI认证参数,如果不支持,则向LTE终端返回包含EAP认 证参数的基本能力应答消息(SBC-RSP),并在后续步骤中采用现有技术中 的EAP认证方式对LTE终端进行认证,并完成后续的接入过程,本流程结 束;如果基站支持终端提供的WAPI认证参数,则向LTE终端返回包含基 站最终选定的WAPI认证参数(包括基站选定的WAI鉴别和密钥管理方式、 单播加密算法)的基本能力应答消息(SBC-RSP),并在后续步骤中采用 WAPI接入认证方式对LTE终端进行接入认证。
基站支持终端提供的WAPI认证参数是指:基站支持终端提供的WAPI 认证参数中包含的一种或多种鉴别和密钥管理方式;且基站支持终端提供的 WAPI认证参数中包含的一种或多种单播加密算法;且基站可以将后续的证 书鉴别请求转发到LTE终端信任的鉴别服务器。
需要注意的是,虽然WAPI协议中包含WAI预共享密钥鉴别和密钥管 理方式,但该方式的安全性较差,且需要在基站中预先配置每一终端的预共 享密钥,因此基站通常不支持这种鉴别和密钥管理方式。也就是说,如果终 端提供的WAPI认证参数中不包含WAI证书密钥鉴别和密钥管理方式时, 基站通常会选择EAP认证方式与LTE终端完成接入认证。
205:如果LTE终端支持WAPI接入认证方式,且基站支持终端提供的 WAPI认证参数,则基站和LTE终端分别作为WAPI协议中的AE和ASUE, 与鉴别服务器交互完成WAPI接入认证过程;
WAPI接入认证过程的具体步骤如图3所示,将在下文中详细描述。
206:完成WAPI接入认证后,LTE终端进行网络注册,然后启动DHCP (Dynamic Host Configuration Protocol,动态主才几配置协-议)过程以获取IP 地址;
207: LTE终端通过DHCP过程获取到IP地址、网关、DNS( Domain Name System,域名系统)等网络层设置后,尝试进行网络时间同步,以设置终端 时钟;208: LTE终端从基站获取业务参数并进行相应的配置,完成接入过程。
图3是LTE终端与基站和鉴别服务器交互完成WAPI接入认证的方法 流程图,WAPI接入认证方法包括:证书鉴别过程(步骤301 ~ 309 )和单播 密钥协商过程(步骤310~314)两部分,具体包括如下步骤:
301:基站向LTE终端发送鉴别激活分组,发起证书筌别过程;
鉴别激活分组中可以包含:基站的证书等字段。
302:接收到鉴别激活分组后,LTE终端保存基站的证书,并产生用于 ECDH (椭圓曲线密码体制的Di伍e-Hellman (戴菲-赫曼)交换)交换的临 时私钥sx和临时7>钥pX;
303: LTE终端生成接入鉴别请求分组,并发送给基站;
接入鉴别请求分组中包含:临时公钥px、 LTE终端的证书等字段,以 及LTE终端对上述字段的签名值。
304:接收到接入鉴别请求分组后,基站对LTE终端的签名进行验证(使 用LTE终端证书中包含的公钥),若签名验证失败,则丢弃该分组;否则基 站生成证书鉴别请求分组,并将其通过RNC ( Radio Network Controller,无 线网络控制器)和IP网络发送给LTE终端和基站都信任的鉴别服务器;
证书鉴别请求分组中包含:LTE终端的证书和基站的证书。
305:鉴别服务器对LTE终端的证书和基站的证书进行验证;
306:鉴别服务器根据对LTE终端的证书和基站的证书的验证结果,构 造证书鉴别响应分组,并且附加鉴别服务器的签名后将证书鉴别响应分组通 过IP网络和RNC发送给基站;
307:基站验证鉴别服务器的签名,签名^iM功后,进一步验证对LTE 终端的证书的验证结果,验证成功后,执行以下操作:
307a:生成用于ECDH交换的临时私钥sy和临时公钥py;
307b:使用LTE终端发送的临时公钥px和本地生成的临时私钥sy进行 ECDH计算,生成基密钥BK。308:基站向LTE终端发送接入鉴别响应分组;
接入鉴别响应分组中包含:临时公钥py,证书验证结果,鉴别服务器 签名,以及基站对上述字段的签名。
309:接收到接入鉴别响应分组后,LTE终端验证鉴别服务器和基站签 名以及证书验证结果,如果签名正确,并且鉴别服务器对基站的证书验证成 功,则LTE终端使用临时公钥py和临时私钥sx进行ECDH计算生成BK。
需要注意的是,根据ECDH的原理,LTE终端和基站生成的BK相同。
至此,LTE终端和基站完成了 WAPI的证书筌别过程,并在此过程中协 商出了基密钥BK;此后,LTE终端和基站可以使用BK进行单播密钥协商, 生成单播会话密钥,具体包括如下步骤:
310:基站向LTE终端发送单播密钥协商请求分组;
单播密钥协商请求分组中包含:BKID和N,等参数,其中:
BKID为基站和LTE终端先前协商得到基密钥BK的标识符;
N,为基站生成的随机数。
311:接收到单播密钥协商请求分组后,LTE终端生成随机数N2,然后 计算:
KeyHKD画HMAC-SHA256(BK,N,IIN2llString);其中:
BK为上述BKID所标识的基密钥;KD-HMAC-SHA256为基于SHA256 算法的固AC ( Hashed Message Authentication Code,散列信息认证码)算 法,也就是一种带密钥(以BK为密钥)的HASH (哈希)算法;String为 一预先设置的字符串;"li"表示字符串连接操作,"||H||N2||String"为 KD-HMAC-SHA256算法所使用的字符参数。
计算得到Key后,LTE终端将其中的一部分(例如,前16个字节)作 为单播会话密钥USK。图1中以T (.)表示从Key中提取(或称为截取)部 分字符串的操作。
312: LTE终端向基站发送单播密钥协商响应分组;
单播密钥协商响应分组中包含:BKID、随机数N2等参数。313:基站接收到单播密钥协商响应分组后计算:
Key=KD-HMAC-SHA256(BK, ||N,i|N2||String),并从中提取USK。
314:基站向LTE终端发送单播密钥协商确认分组,结束单播密钥的协 商流程。
至此,基站和LTE终端完成了 WAPI证书鉴别和单播密钥协商过程。
由上可知,基站采用上述方式对LTE终端进行接入认证时,鉴别服务 器可以同时为蜂窝移动通信网络系统和无线局域网系统提供服务,降低了运 营商的运营成本。
需要注意的是,除了 LTE以外,本发明的上述接入认证方法还适用于 其它蜂窝移动通信网络系统。
根据本发明的基本原理,上述实施例还可以有多种变换方式,例如:
( 一 )考虑到蜂窝移动通信网络系统与无线局域网系统的不同,在系统 中设置非法基站(假冒基站)的可能性较小,因此,终端可以不对基站进行 证书鉴别;即:步骤301中的鉴别激活分组中可以不包含基站的证书;步骤 304中的证书鉴别请求分组中可以不包含基站的证书;步骤305中也无需对 基站的证书进行验证;步骤308中的接入鉴别响应分组中也可以不包含证书 马全证结果。
(二 )在上述实施例中,基站通过终端发送的基本能力请求消息中包含 的WAPI认证参数判断终端是否支持WAPI;在本发明的其它实施例中,终 端可以在基本能力请求消息中添加一个标识(可以成为WAPI标识)来告知 基站其是否支持WAPI,在这种情况下,基站和终端采用默认的WAPI参数 (例如,采用WAI证书鉴别和密钥管理方式和SMS4单播加密算法)进行 WAPI接入认证及后续的数据加解密;或者当基本能力协商完成后,基站直 接向终端发送鉴别激活分组,并设置定时器,若定时器超时时未接收到终端 发送的接入鉴别请求分组,则认为终端不支持WAPI,进而与终端进行EAP 接入认证。(三)在上述实施例中,基站和终端在WAPI的证书鉴别过程中交换了
ECDH临时公钥,并协商生成了基密钥BK,这样做的优点在于减少了消息 的交互;
在本发明的其他实施例中,可以在WAPI的证书鉴别过程中仅完成证书 的交换和验证,证书验证成功后再进行ECDH临时公钥的交换,并协商生 成基密钥BK。例如:
在步骤310的单播密钥协商请求分组中携带随机数N,和基站的临时公 钥py,以及上述字段的签名值;
在步骤311中,终端生成随机数N2、临时公钥px和临时私钥sx,并使 用py和sx进行ECDH计算,生成基密钥BK,然后使用基密钥BK和随机 数N!和N2生成单播会话密钥USK;
在步骤312中,终端将临时公钥px和随机数N2—起包含在单播密钥协 商响应分组中发送给基站;
在步骤313中,基站先使用px和sy生成BK,然后再使用基密钥BK 和随机数N,和N2生成单播会话密钥USK。
| 标题 | 发布/更新时间 | 阅读量 |
|---|---|---|
| 一种基于伪随机数流密码的光标签防伪方法 | 2020-05-08 | 731 |
| 基于可见光LED矩阵的保密通信方法和系统 | 2020-05-11 | 45 |
| 一种基于信任网络的去中心化公钥管理方法和管理系统 | 2020-05-11 | 716 |
| 一种基于能源区块链的电动汽车安全电力交易和激励系统 | 2020-05-13 | 73 |
| 一种基于无证书批验证的车联网条件隐私保护方法与系统 | 2020-05-15 | 908 |
| 一种基于网络存储资源的安全备份恢复系统及方法 | 2020-05-16 | 768 |
| 一种应用于格密码体制的可重构数论变换单元和方法 | 2020-05-08 | 210 |
| 基于ECC和混沌的非对称图像加密方法 | 2020-05-14 | 769 |
| 一种区块链移动用户终端系统 | 2020-05-13 | 282 |
| 一种网上购物个人信息隐私保护方法及派送方法 | 2020-05-14 | 978 |
高效检索全球专利专利汇是专利免费检索,专利查询,专利分析-国家发明专利查询检索分析平台,是提供专利分析,专利查询,专利检索等数据服务功能的知识产权数据服务商。
我们的产品包含105个国家的1.26亿组数据,免费查、免费专利分析。
专利汇分析报告产品可以对行业情报数据进行梳理分析,涉及维度包括行业专利基本状况分析、地域分析、技术分析、发明人分析、申请人分析、专利权人分析、失效分析、核心专利分析、法律分析、研发重点分析、企业专利处境分析、技术处境分析、专利寿命分析、企业定位分析、引证分析等超过60个分析角度,系统通过AI智能系统对图表进行解读,只需1分钟,一键生成行业专利分析报告。
