[发明专利]一种无线城域网的安全接入方法

摘要

本发明公开了一种无线城域网的安全接入方法，包括步骤：BS与GW建立安全通道，协商得到通道加密密钥CEK和通道完整性密钥CIK；GW与SS完成安全能力协商；GW对BS进行第一次配置，BS关闭SS对应的受控端口；GW、SS与AS完成基于WMAN-SA的身份鉴别协议；GW与SS协商出会话密钥TEK；GW对BS进行第二次配置，通过第二BS配置请求消息，把TEK传送给BS，BS打开SS对应的受控端口；BS利用TEK进行业务数据的加密和解密。本发明中用接入网关GW对BS的WMAN-SA进行控制和管理，能够满足WMAN-SA的大规模部署需求。

主权项

一种无线城域网的安全接入方法，其特征在于，包括管理控制过程和数据保密传输过程；所述管理控制过程包括：(1)BS与GW建立安全通道，协商出通道加密密钥CEK和通道完整性密钥CIK；(2)所述SS通过所述BS向所述GW转发安全能力协商请求消息，所述安全能力协商请求消息包括：WMAN‑SA版本和安全策略；所述GW收到所述安全能力协商请求消息后，判断所述SS与所述BS支持的WMAN‑SA版本以及安全策略是否兼容，若均兼容，则设置安全能力协商的结果为成功，并构造安全能力协商响应消息通过所述BS转发给所述SS，所述安全能力协商响应消息包括：安全能力协商结果、协商后双方支持的WMAN‑SA版本和协商后双方支持的安全策略；(3)所述GW向所述BS发送第一BS配置请求消息，所述第一BS配置请求消息包括：关闭SS对应受控端口指令和SS的MAC地址；所述BS接收所述第一BS配置请求消息，依据所述关闭SS对应受控端口指令和所述SS的MAC地址关闭SS对应的受控端口，并产生关闭受控端口结果码；所述BS向所述GW发送第一BS配置响应消息，所述第一BS配置响应消息包括：所述关闭受控端口结果码、所述关闭SS对应受控端口指令和所述SS的MAC地址；(4)所述GW、所述SS与AS进行WMAN‑SA身份鉴别认证；(5)所述GW与所述SS通过会话密钥协商得到会话密钥TEK；(6)所述GW向所述BS发送第二BS配置请求消息；所述第二BS配置请求消息包括：开启SS对应受控端口指令、所述SS的MAC地址、所述会话密钥TEK、会话密钥信息、消息鉴别码，其中所述会话密钥TEK采用所述CEK加密，所述消息鉴别码采用所述CIK计算；所述BS接收所述第二BS配置请求消息，采用所述CIK验证所述消息鉴别码是否正确，若正确，则采用所述CEK解密得到所述会话密钥TEK，依据所述开启SS对应受控端口指令和所述SS的MAC地址开启SS对应的受控端口，并产生开启受控端口结果码；向所述GW发送第二BS配置响应消息，所述第二BS配置响应消息包括：所述开启受控端口结果码、所述开启SS对应受控端口指令和所述SS的MAC地址；所述数据保密传输过程包括：(1)所述BS接收来自所述GW的第一业务数据，使用所述会话密钥TEK加密所述第一业务数据后发送给所述SS；(2)所述BS接收来自所述SS发送的加密的第二业务数据，使用所述会话密钥TEK解密所述第二业务数据。