[发明专利]一种无线城域网的安全接入方法

说明书

技术领域

本发明涉及无线通信系统领域，尤其涉及一种无线城域网的安全接入方法。

背景技术

IEEE 802.16无线城域网作为未来无线接入技术的重要发展方向，备受各界广泛关注。然而，安全问题一直制约着其进一步的推广与发展。IEEE 802.16d中定义了基于公开密钥加密算法(RSA)和数字证书的认证协议，可以实现基站BS对用户站SS的认证。IEEE 802.16d的主要缺点是：只提供了基站BS对用户站SS的单向认证，而没有提供SS对BS的认证，假冒BS欺骗SS非常容易。此外，授权密钥(AK)和会话密钥(TEK)都是由BS一方产生的，在这种单向认证的条件下，很难使得SS对会话密钥TEK的质量产生信任。IEEE 802.16e对IEEE 802.16d进行了增强性的修改，引入了可扩展认证协议(Extensible Authentication Protocol，简称EAP)。但是，仍然只包含了BS对SS的单向身份认证。

申请号为200810027930.0的专利《一种无线城域网的安全接入方法》(简称WMAN-SA)提供一种无线城域网的安全接入方法，在认证授权过程中，采用了用户站SS和基站BS的双向认证代替原有的单向认证，攻击者冒充合法基站BS骗取用户站SS的信任成为不可能，避免了中间人攻击的可能性。在密钥的协商过程中，密钥由用户站SS和基站BS共同产生，代替了由基站BS分配，保证了密钥的质量，增强了无线城域网的安全性。因此，改进的协议同样可以满足原无线城域网的功能、性能要求，并且更安全。

未来WMAN-SA大规模部署应用时，BS除了对SS进行认证和通信外，还需要网关(GW)对BS本身的WMAN-SA模块进行配置和管理，此时必须在网络中引入用于基站管理的网关设备，而现有方案仅定义了身份鉴别、密钥管理、数据加密、数据鉴别和重放保护等功能，并没有充分说明在引入网关设备之后应用WMAN-SA的具体方法，不能实现WMAN-SA大规模部署。

发明内容

本发明的主要目的在于提出一种安全的无线城域网的实现方法，能够满足WMAN-SA大规模的部署需求。

本发明公开了一种无线城域网的安全接入方法，其特征在于，包括管理控制过程和数据保密传输过程；所述管理控制过程包括：

(1)BS与GW建立安全通道，协商出通道加密密钥CEK和通道完整性密钥CIK；

(2)所述SS通过所述BS向所述GW转发安全能力协商请求消息，所述安全能力协商请求消息包括：WMAN-SA版本和安全策略；

所述GW收到所述安全能力协商请求消息后，判断所述SS与所述BS支持的WMAN-SA版本以及安全策略是否兼容，若均兼容，则设置安全能力协商的结果为成功，并构造安全能力协商响应消息通过所述BS转发给所述SS，所述安全能力协商响应消息包括：安全能力协商结果、协商后双方支持的WMAN-SA版本和协商后双方支持的安全策略；

(3)所述GW向所述BS发送第一BS配置请求消息，所述第一BS配置请求消息包括：关闭SS对应受控端口指令和SS的MAC地址；

所述BS接收所述第一BS配置请求消息，依据所述关闭SS对应受控端口指令和所述SS的MAC地址关闭SS对应的受控端口，并产生关闭受控端口结果码；所述BS向所述GW发送第一BS配置响应消息，所述第一BS配置响应消息包括：所述关闭受控端口结果码、所述关闭SS对应受控端口指令和所述SS的MAC地址；

(4)所述GW、所述SS与AS进行WMAN-SA身份鉴别认证；

(5)所述GW与所述SS通过会话密钥协商得到会话密钥TEK；

(6)所述GW向所述BS发送第二BS配置请求消息；所述第二BS配置请求消息包括：开启SS对应受控端口指令、所述SS的MAC地址、所述会话密钥TEK、会话密钥信息、消息鉴别码，其中所述会话密钥TEK采用所述CEK加密，所述消息鉴别码采用所述CIK计算；所述BS接收所述第二BS配置请求消息，采用所述CIK验证所述消息鉴别码是否正确，若正确，则采用所述CEK解密得到所述会话密钥TEK，依据所述开启SS对应受控端口指令和所述SS的MAC地址开启SS对应的受控端口，并产生开启受控端口结果码；向所述GW发送第二BS配置响应消息，所述第二BS配置响应消息包括：所述开启受控端口结果码、所述开启SS对应受控端口指令和所述SS的MAC地址；

所述数据保密传输过程包括：

(1)所述BS接收来自所述GW的第一业务数据，使用所述会话密钥TEK加密所述第一业务数据后发送给所述SS；