專利名稱：全球微波接入互通系統(tǒng)接入設(shè)備的鑒權(quán)方法
技術(shù)領(lǐng)域：
本發(fā)明涉及寬帶無線接入領(lǐng)域，并且特別地，涉及一種全球微波接入互通系統(tǒng)(World Interoperability for Microwave Access, 以下 簡稱WiMAX)接入設(shè)備的鑒權(quán)方法。
背景技術(shù)：
全球微波接入互操作性是一項基于IEEE 802.16系列標(biāo)準(zhǔn)的寬 帶無線接入城域網(wǎng)技術(shù)。WiMAX的基本目標(biāo)是在城域網(wǎng)接入環(huán)境 下，確^呆不同廠商的無線i殳備互連互通，主要用于為家庭、企業(yè)以 及移動通信網(wǎng)絡(luò)高速寬帶接入，以及將來的個人移動通信。WiMAX 可以替代現(xiàn)有的有線和H字用戶線路(Digital Subscriber Line ，簡稱 DSL)的連接方式，提供最后一英里的無線寬帶接入業(yè)務(wù)。相比于 其他寬帶無線接入技術(shù)，WiMAX具有覆蓋范圍廣、可擴(kuò)展性強(qiáng)以 及業(yè)務(wù)質(zhì)量(Quality of Service,簡稱QoS)可控制等優(yōu)點。圖1為WiMAX無線網(wǎng)卡的軟件架構(gòu)才匡圖。目前，WiMAX無 線網(wǎng)卡的^:件架構(gòu)基本都采用圖1所示的結(jié)構(gòu)。如圖1所示，WiMAX無線網(wǎng)卡的專欠4?？煞譃閮刹糠种鞑艓讉?cè) 軟件和設(shè)備側(cè)軟件。其中，主機(jī)側(cè)軟件包括用戶軟件(GUI)、設(shè)備 API、設(shè)備驅(qū)動程序；設(shè)備側(cè)軟件主要為固件(Firmware )、固件實 現(xiàn)IEEE802.16e部分協(xié)議、特定接口 ( USB/PCMCIA/Express等)、芯片啟動自舉、固件下載等功能。出于節(jié)省存儲空間的考慮， 一般都使用EEPROM作為非易失性存儲器。固件存》丈在主才幾中，當(dāng)WiMAX無線網(wǎng)卡^皮插入主才幾中時，主 機(jī)中的操作系統(tǒng)驅(qū)動程序就會自動將固件下載到WiMAX無線網(wǎng)卡 的RAM中。當(dāng)網(wǎng)卡被拔出后，RAM中的固件會因為掉電自動消失。 下次再4翁入i殳備時，驅(qū)動一呈序又會自動3尋固4牛下載到WiMAX無線 網(wǎng)卡的RAM中。目前，在WiMAX網(wǎng)絡(luò)系統(tǒng)中常用的鑒權(quán)方式是用戶名/口令 (密碼)方式，用戶通過向WiMAX網(wǎng)絡(luò)運(yùn)營商注冊登記或者購買 預(yù)付費(fèi)卡的方式成為合法的用戶，獲得固定的用戶名/口令(密碼)， 當(dāng)用戶i青求4妄入WiMAX網(wǎng)會各的時候，用戶通過壽欠件輸入用戶名和 口令(密碼)接入服務(wù)網(wǎng)關(guān)(ASNGW)，并由服務(wù)網(wǎng)關(guān)(ASNGW) 將用戶輸入的用戶名和口令(密碼)發(fā)送到自治系統(tǒng)(AS)，由AS 完成用戶接入的鑒權(quán)認(rèn)證，判定用戶的合法性。網(wǎng)絡(luò)運(yùn)營商只對合 法用戶提供WiMAX接入業(yè)務(wù)服務(wù)，但這種固定用戶名和口令(密 碼)方式對于非法的WiMAX網(wǎng)卡設(shè)備的入網(wǎng)沒有任何的限制，這 將地嚴(yán)重?fù)p害通訊設(shè)備制造商、網(wǎng)絡(luò)運(yùn)營商的利益。目前，在現(xiàn)有技術(shù)中，尚未提出能夠解決上述問題的技術(shù)方案。發(fā)明內(nèi)容考慮到上述問題而做出本發(fā)明，為此，本發(fā)明的主要目的在于 提供一種WiMAX接入設(shè)備的鑒權(quán)方法，以解決相關(guān)技術(shù)中WiMAX 網(wǎng)卡設(shè)備鑒權(quán)的問題。根據(jù)本發(fā)明的一個實施例，提供了 一種WiMAX接入設(shè)備的筌 權(quán)方法。該方法包括步驟S202,在接入設(shè)備接入網(wǎng)絡(luò)時，網(wǎng)絡(luò)側(cè)獲取 接入設(shè)備中存儲的數(shù)字證書，其中，數(shù)字證書包括第一標(biāo)識；步驟 S204 ，網(wǎng)絡(luò)側(cè)根據(jù)本地存儲的第二標(biāo)識和數(shù)字證書對設(shè)備進(jìn)行鑒權(quán) 處理。其中，在步驟S202之前，進(jìn)一步包括接入設(shè)備讀取其本地 存儲的第三標(biāo)識，并判斷第三標(biāo)識和數(shù)字證書中的第 一標(biāo)識是否相 同，并在判斷為是的情況下才丸行步驟S202。其中，第一標(biāo)識、第二標(biāo)識、以及第三標(biāo)識為接入設(shè)備的唯一 且不可Y奮改的信息。另夕卜，該方法可進(jìn)一步包括接入設(shè)備利用數(shù)字證書和第二標(biāo) i口、只寸網(wǎng)全各側(cè)進(jìn)4亍iU正。此外，在進(jìn)行鑒權(quán)處理之前，進(jìn)一步包括將接入設(shè)備的應(yīng)用 程序接口鎖定，以禁止應(yīng)用程序接口被調(diào)用；在進(jìn)行鑒權(quán)處理之后， 進(jìn)一步包括將接入設(shè)備的應(yīng)用程序接口的鎖定解除。其中，上述數(shù)字證書可以為X.509證書。上述指定存儲器為電 可才察除只讀存儲器。通過本發(fā)明的上述纟支術(shù)方案，能夠有效防止仿制或非法的 WiMAX無線網(wǎng)卡設(shè)備接入網(wǎng)絡(luò)，提升了設(shè)備接口的安全性，有效 保障了設(shè)備制造商、網(wǎng)絡(luò)運(yùn)營商、以及終端用戶的安全性和利益。本發(fā)明的其它特征和優(yōu)點將在隨后的i兌明書中闡述，并且，部 分地從說明書中變得顯而易見，或者通過實施本發(fā)明而了解。本發(fā) 明的目的和其他優(yōu)點可通過在所寫的il明書、權(quán)利要求書、以及附 圖中所特別指出的結(jié)構(gòu)來實現(xiàn)和獲得。


附圖用來提供對本發(fā)明的進(jìn)一步理解，并且構(gòu)成i兌明書的一部 分，與本發(fā)明的實施例一起用于解釋本發(fā)明，并不構(gòu)成對本發(fā)明的限制。在附圖中圖1是才艮據(jù)相關(guān)4支術(shù)的WiMAX無線網(wǎng)卡的架構(gòu)框圖；的流程圖；的信令流程圖；以及圖4是根據(jù)本發(fā)明方法實施例的方法中實現(xiàn)設(shè)備驅(qū)動與基站的 三向認(rèn)證的信令流程圖。
具體實施方式
以下結(jié)合附圖對本發(fā)明的優(yōu)選實施例進(jìn)行說明，應(yīng)當(dāng)理解，此 處所描述的優(yōu)選實施例〗又用于i兌明和解釋本發(fā)明，并不用于限定本 發(fā)明。方法實施例在本實施例中，提供了 一種WiMAX接入設(shè)備的鑒權(quán)方法。流程圖。如圖2所示，根據(jù)本W(wǎng)iMAX接入設(shè)備的鑒權(quán)方法包括 步驟S202,在接入設(shè)備接入網(wǎng)絡(luò)時，網(wǎng)絡(luò)側(cè)獲取接入設(shè)備中存儲的 數(shù)字證書，其中，數(shù)字證書包括第一標(biāo)識；步驟S204,網(wǎng)絡(luò)側(cè)根據(jù) 本地存4渚的第二標(biāo)識和凄t字證書對i殳備進(jìn)4于鑒4又處理。其中，在步驟S202之前，進(jìn)一步包括接入設(shè)備讀耳又其本地 存儲的第三標(biāo)識，并判斷第三標(biāo)識和數(shù)字證書中的第 一標(biāo)識是否相 同，并在判斷為是的情況下執(zhí)行步驟S202。其中，第一標(biāo)識、第二標(biāo)識、以及第三標(biāo)識為^妄入"i殳備的唯一 且不可修改的信息。接入設(shè)備利用數(shù)字證書和第二標(biāo)識對網(wǎng)絡(luò)側(cè)進(jìn) 行認(rèn)證。此外，在進(jìn)行鑒權(quán)處理之前，進(jìn)一步包括將接入設(shè)備的應(yīng)用 程序接口鎖定，以禁止應(yīng)用程序接口被調(diào)用；在進(jìn)行鑒權(quán)處理之后， 進(jìn)一步包括將接入設(shè)備的應(yīng)用程序接口的鎖定解除。其中，lt字i正書為X.509證書。指定存〗渚器為電可纟察除只讀存 儲器。具體的說，i殳備制造商預(yù)先將包含設(shè)備ID的X.509證書存放 于網(wǎng)卡上的非易失性存儲器(EEPROM)中，設(shè)備ID使用網(wǎng)卡處 理器芯片序列號等不可更改且唯一的信息作為設(shè)備ID。當(dāng)網(wǎng)卡接入 計算才幾，下載固^牛并正常啟動后，由主才幾驅(qū)動禾呈序讀耳又網(wǎng)卡X.509 證書文件，并發(fā)起設(shè)備鑒權(quán)過程。圖1示出了實現(xiàn)才艮據(jù)本實施例的方法的WiMAX 4妄入i殳備框 圖。下面將結(jié)合圖1所示的接入設(shè)備并進(jìn)一步結(jié)合圖3對本發(fā)明對 才艮據(jù)本實施例的WiMAX網(wǎng)卡設(shè)備鑒權(quán)的方法進(jìn)行描述。的信令流程圖(UML序列圖)，如圖3所示，根據(jù)本實施例的設(shè)備 鑒卄又方法包含3口下步艱纟步-驟1:在主才幾側(cè)，i殳備驅(qū)動(Device Driver )向i殳備應(yīng)用程序 <接口 ( Device API)發(fā)送Lock消息，禁止API :帔調(diào)用，此時所有的 設(shè)備API調(diào)用不被執(zhí)行而直接返回正在設(shè)備鑒權(quán)的信息；步驟2:設(shè)備驅(qū)動向設(shè)備固件(Device Firmware )請求設(shè)備的 ;X.509證書；步驟3:固件讀取非易失性存儲器EEPROM中的設(shè)備X.509證 書，并發(fā)送給設(shè)備驅(qū)動程序；步艱《4: "i殳備驅(qū)動向i殳備固件索耳又"i殳備ID ( Device ID );步驟5:固件讀取的設(shè)備ID (即，上述的第三標(biāo)識)，并發(fā)送 ' 給i殳備驅(qū)動；步驟6:設(shè)備驅(qū)動比較設(shè)備ID與X.509證書內(nèi)容(上述第一標(biāo) 識)，鑒別X.509證書中的設(shè)備ID是否與實際設(shè)備ID匹配；步驟7:設(shè)備驅(qū)動程序向基站發(fā)起X.509三向身份驗證過程， 互相確認(rèn)身份，基站通過提取收到X.509證書中的設(shè)備ID,并與鑒 權(quán)服務(wù)器(AS)數(shù)據(jù)庫做比較，返回設(shè)備鑒權(quán)結(jié)果，其中，數(shù)據(jù)庫 中預(yù)先存儲有設(shè)備的標(biāo)識(即，上述的第二標(biāo)識)；步驟8:在主機(jī)側(cè)，設(shè)備驅(qū)動程序依據(jù)基站設(shè)備鑒權(quán)結(jié)果，決 定是否向設(shè)備API發(fā)送UnLock消息，當(dāng)設(shè)備鑒權(quán)通過，驅(qū)動程序 向設(shè)備設(shè)備API發(fā)送UnLock消息，解鎖后，設(shè)備API調(diào)用才能被 >執(zhí)行，應(yīng)用程序(GUI)通過設(shè)備API,設(shè)備驅(qū)動訪問網(wǎng)絡(luò)服務(wù)， 或繼續(xù)才丸4亍用戶鑒4又。下面將結(jié)合附圖詳細(xì)說明設(shè)備驅(qū)動程序向基站發(fā)起X.509的認(rèn) i正的處J里。其中，i人i正的方式可以包4舌單向iU正、乂又向iU正、以及 三向認(rèn)證。下面將結(jié)合圖4,以三向身份驗證為例進(jìn)行描述。如圖4所示，在4吏用X.509三向身4分-瞼i正方法時，X.509 ^人i正 協(xié)議采用了數(shù)字簽名(基于公鑰體制)的方法，并且認(rèn)證雙方都已 經(jīng)獲得了對方的7>鑰_汪書。如圖4所示，三向身〗分-瞼i正方法包^舌以 下處理首先，設(shè)備驅(qū)動(Device Driver )向基站(BS )發(fā)送包含X.509 i正書以及Eb ( Ca， Da ( M ))認(rèn)i正請求，其中，M = ( Ta, Ra， Ia， d),表示時間戳、隨機(jī)數(shù)、設(shè)備身份證明、隨機(jī)信息的散列值，Da (M)表示用設(shè)備私鑰證書加密的M數(shù)據(jù)信息，Eb(Ca, Da ( M )) 為使用基站公鑰加密的設(shè)備證書、Da ( M )數(shù)據(jù)信息。其次，基站4吏用自己的私鑰i正書(Db)角竿密4尋到Ca、 Da (M), 繼而得到i殳備/仝鑰文件(Ea),然后求出M,這樣就-驗i正了這個消 息是設(shè)備簽名的，此時，基站與鑒權(quán)服務(wù)器驗證設(shè)備證書中的設(shè)備 ID信息是否合法。之后，基5占向^殳備馬區(qū)動回復(fù)Ea (Db (Mm)),其中Mm:(Tb, Rb， Ia, Ra, d)， Mm表示新的時間戳、新的隨才幾凄t、 4妄4欠到的i殳 備身份證明，隨機(jī)數(shù)，隨機(jī)信息的散列值，Db(Mm)表示使用基 站私鑰加密的Mm信息，Ea ( Db ( Mm ))經(jīng)過設(shè)備公鑰加密的數(shù) 據(jù)信息。然后，設(shè)備驅(qū)動收到基站回復(fù)后，處理方法同步驟2，進(jìn)而驗 證了這個消息完整，并且是經(jīng)過基站簽名的信息，已經(jīng)驗證了設(shè)備 ID合法；最后，設(shè)備驅(qū)動向基站回復(fù)Eb (Rb),確認(rèn)設(shè)備鑒權(quán)完成。其中，上述C為i正書，D為私鑰，E為y^鑰，T為時間戳，R 為隨機(jī)數(shù)，I為身份證明，d為隨機(jī)信息，a標(biāo)示設(shè)備信息，b標(biāo)示 基站信息。綜上所述，借助于本發(fā)明的技術(shù)方案，能夠有效防止仿制或非 法的WiMAX無線網(wǎng)卡設(shè)備接入網(wǎng)絡(luò)，提升了設(shè)備接口的安全性， 有效保障了設(shè)備制造商、網(wǎng)絡(luò)運(yùn)營商、以及終端用戶的安全性和利益。以上所述僅為本發(fā)明的優(yōu)選實施例而已，并不用于限制本發(fā)明， 對于本領(lǐng)域的才支術(shù)人員來說，本發(fā)明可以有各種更改和變化。凡在 本發(fā)明的精神和原則之內(nèi)，所作的任何修改、等同替換、改進(jìn)等， 均應(yīng)包含在本發(fā)明的保護(hù)范圍之內(nèi)。
權(quán)利要求
1.一種全球微波接入互通系統(tǒng)接入設(shè)備的鑒權(quán)方法，其特征在于，包括步驟S202，在接入設(shè)備接入網(wǎng)絡(luò)時，網(wǎng)絡(luò)側(cè)獲取所述接入設(shè)備中存儲的數(shù)字證書，其中，所述數(shù)字證書包括第一標(biāo)識；步驟S204，所述網(wǎng)絡(luò)側(cè)根據(jù)本地存儲的第二標(biāo)識和所述數(shù)字證書對所述設(shè)備進(jìn)行鑒權(quán)處理。
2. 根據(jù)權(quán)利要求1所述的方法，其特征在于，在所述步驟S202 之前，進(jìn)一步包括所述^妄入i殳備讀耳又其本地存〗諸的第三標(biāo)識，并判斷所述第 三標(biāo)識和所述數(shù)字證書中的所述第一標(biāo)識是否相同，并在判斷 為是的情況下執(zhí)行所述步驟S202。
3. 才艮據(jù)片又利要求2所述方法，其特征在于，所述第一標(biāo)識、所述 第二標(biāo)識、以及所述第三標(biāo)識為所述4妄入i殳備的唯一且不可i奮 改的信息。
4. 根據(jù)權(quán)利要求1所述方法，其特征在于，在所述步驟S204中， 進(jìn)一步包括所述4妄入i殳備利用所述l欠字證書和所述第二標(biāo)識對所述 網(wǎng)絡(luò)側(cè)進(jìn)行認(rèn)證。
5. 根據(jù)權(quán)利要求l所述方法，其特征在于，在進(jìn)4于所述鑒纟又處理之前，進(jìn)一步包括將所述4妄入i殳備 的應(yīng)用禾呈序接口鎖定，以禁止所述應(yīng)用禾呈序4妾口—皮調(diào)用；在進(jìn)行所述鑒權(quán)處理之后，進(jìn)一步包括將所述接入設(shè)備 的應(yīng)用程序接口的鎖定解除。
6. 根據(jù)權(quán)利要求1至5中任一項所述方法，其特征在于，所述數(shù) 字i正書為X.509i正書。
7. 根據(jù)權(quán)利要求1至5中任一項所述方法，其特征在于，所述指 定存儲器為電可擦除只讀存儲器。
全文摘要
本發(fā)明公開了一種全球微波接入互通系統(tǒng)接入設(shè)備的鑒權(quán)方法，該方法包括步驟S202，在接入設(shè)備接入網(wǎng)絡(luò)時，網(wǎng)絡(luò)側(cè)獲取接入設(shè)備中存儲的數(shù)字證書，其中，數(shù)字證書包括第一標(biāo)識；步驟S204，網(wǎng)絡(luò)側(cè)根據(jù)本地存儲的第二標(biāo)識和數(shù)字證書對設(shè)備進(jìn)行鑒權(quán)處理。借助于本發(fā)明的技術(shù)方案，能夠有效防止仿制或非法的WiMAX無線網(wǎng)卡設(shè)備接入網(wǎng)絡(luò)，提升了設(shè)備接口的安全性，有效保障了設(shè)備制造商、網(wǎng)絡(luò)運(yùn)營商、以及終端用戶的安全性和利益。
文檔編號H04L9/32GK101272253SQ20081008830
公開日2008年9月24日 申請日期2008年3月25日 優(yōu)先權(quán)日2008年3月25日
發(fā)明者濤 李 申請人:中興通訊股份有限公司