[发明专利]一种无线城域网的安全接入方法

说明书

技术领域

本发明涉及无线网络以及信息安全，更具体地，涉及无线城域网的安全接入方法。

背景技术

在无线城域网领域，目前的主流技术和标准主要是IEEE组织的IEEE802.16系列标准。现有的无线城域网中，用户站(Subscriber Station，简称SS)接入基站(Base Station，简称BS)时，需要进行鉴别认证、密钥协商等步骤。在鉴别认证过程中，基站BS通过鉴别认证用户站SS的数字证书来鉴别认证用户站SS，以防止不合法的用户站SS接入无线城域网。具体的鉴别认证过程包括：

1)用户站SS向基站BS发送接入鉴别请求消息，该接入鉴别请求消息包括用户站SS的数字证书、支持的密码学算法等；

2)基站BS验证用户站SS的数字证书的有效性，如用户站SS的数字证书有效，就使用用户站SS的数字证书的公钥加密授权密钥材料，并向用户站SS发送接入鉴别响应消息，该接入鉴别响应消息包括用户站SS的数字证书的验证结果、所述授权密钥等；

3)用户站SS接收接入鉴别响应消息，使用用户站SS的数字证书的私钥解密授权密钥。

现有的无线城域网的接入方法的一个缺陷在于，对于每一个发送接入鉴别请求的用户站SS，基站BS都要消耗计算资源去检验用户站SS的数字证书和消息签名以确定用户站SS的身份和消息的有效性，从而极大地增加了基站BS的计算负担，导致基站BS负载能力低。例如，短时间内用户站SS发送的接入鉴别请求数量较为庞大时，基站BS将会无法及时响应导致无线城域网瘫痪。换言之，恶意第三人很容易对基站BS发起DOS(拒绝服务)或者DDOS(分布式拒绝服务)攻击，使无线城域网瘫痪。

发明内容

本发明的目的是提供一种无线城域网的安全接入方法，该安全接入方法能提高基站BS的负载能力。

为实现上述发明目的，本发明基于供一个总的构思提供两种技术方案，第一种技术方案为：无线城域网的另一种安全接入方法，包括鉴别认证步骤和会话密钥协商步骤，所述鉴别认证步骤包括：基站BS向用户站SS发送接入鉴别激活信息，记录被发送所述接入鉴别激活信息的用户站SS；用户站SS接收所述接入鉴别激活消息，向所述基站BS发送接入鉴别请求消息，所述接入鉴别请求消息包括所述用户站SS的数字证书和消息签名；所述基站BS接收所述接入鉴别请求消息，判断是否给所述用户站SS发送过接入鉴别激活信息，如果未发送过，就丢弃所接收的接入鉴别请求消息；如果发送过，基站BS就向认证服务器AS发送证书鉴别请求消息，所述证书鉴别请求消息包括所述用户站SS的数字证书、所述基站BS的数字证书和消息签名；所述认证服务器AS接收所述证书鉴别请求消息，构造证书鉴别响应消息，向所述基站BS发送所述证书鉴别响应消息，所述证书鉴别响应消息包括所述用户站SS的数字证书验证结果、基站BS的数字证书验证结果以及认证服务器AS的消息签名；所述基站BS接收认所述证书鉴别响应消息，根据所述证书鉴别响应消息判断用户站SS的合法性，若用户站SS合法就向用户站SS发送接入鉴别响应消息，所述接入鉴别响应消息包括所述用户站SS的和基站BS的数字证书验证结果、认证服务器AS的消息签名；用户站SS接收所述接入鉴别响应消息，验证所述基站BS的消息签名，若验证通过就根据所述接入鉴别响应消息验证基站BS，若验证失败就解除与所述基站BS的连接。

本发明提供的第二种技术方案为：一种无线城域网的安全接入方法，包括鉴别认证步骤和会话密钥协商步骤，所述鉴别认证步骤包括：基站BS向用户站SS发送接入鉴别激活信息，记录被发送所述接入鉴别激活信息的用户站SS；用户站SS接收所述接入鉴别激活消息，向所述基站BS发送接入鉴别请求消息，所述接入鉴别请求消息包括所述用户站SS的数字证书和消息签名；所述基站BS接收所述接入鉴别请求消息，判断是否给所述用户站SS发送过接入鉴别激活信息，如果未发送过，就丢弃所接收的接入鉴别请求消息；如果发送过，所述基站BS就使用所述用户站SS的签名证书公钥验证所述用户站SS的消息签名，若验证通过，就鉴别所述用户站的数字证书；若鉴别通过就向用户站SS发送接入鉴别响应消息，所述接入鉴别响应消息包括用于授权密钥协商的授权密钥信息以及所述基站BS的消息签名。