專利名稱:終端私密性的保護(hù)方法及裝置的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及通信領(lǐng)域�����,具體而言�,涉及一種終端私密性的保護(hù) 方法及裝置。
背景技術(shù):
電子電才幾工禾呈十辦會(huì)(Institute of Electrical and Electronic Engineers,簡稱為IEEE) 802.16標(biāo)準(zhǔn)體系主要是針對J成域網(wǎng)�����,其 主要目標(biāo)是開發(fā)工作于2 ~ 66GHz頻帶的無線接入系統(tǒng)空中接口物 理層(Physical,簡稱為PHY)和J 某質(zhì)4妄入控制層(Media Access Control,簡稱為MAC)規(guī)范��,同時(shí)還有與空中接口協(xié)議相關(guān)的一 致性測試以及不同無線接入系統(tǒng)之間的共存規(guī)范��。
根據(jù)是否支持移動(dòng)特性����,IEEE 802.16標(biāo)準(zhǔn)可以分為固定寬帶無 線4妄入空中4妄口標(biāo)準(zhǔn)和移動(dòng)寬帶無線4妄入空中4妄口標(biāo)準(zhǔn),其中���, 802.16d是屬于固定無線接入空中接口標(biāo)準(zhǔn)�,已經(jīng)于2004年6月在 IEEE 802委員會(huì)獲得通過�,以IEEE 802.16-2004的名稱發(fā)布。而 802.16e屬于移動(dòng)寬帶無線4妄入空中4妄口標(biāo)準(zhǔn)�����,于2005年11月在 IEEE 802委員會(huì)獲得通過��,以IEEE 802.16-2005的名稱發(fā)布。微波 接入全球互操作性認(rèn)證聯(lián)盟(Worldwide Interoperability for Microwave Access,簡稱為WiMAX )即是基于IEEE 802.16空中接 口的井見范���,目前已成為國際上影響力最大的寬帶無線4矣入4支術(shù)��。目前���,IEEE正在制i丁 802.16m才示準(zhǔn)。該才示準(zhǔn)是為了研究WiMAX 下一步演進(jìn)i 各線�����,目標(biāo)是成為下一代移動(dòng)通信才支術(shù)�,并最終向國際 電信聯(lián)盟(International Telecommunication Unit, 簡稱為ITU)提交 沖支術(shù)4是案成為ITU的高級國際無線通信系統(tǒng)(International Mobile Telecommunication Advance, 簡稱為IMT-Advanced )標(biāo)準(zhǔn)之一。該 標(biāo)準(zhǔn)將兼容現(xiàn)有的802.16e失見范���。
802.16m的系纟充需,��,文沖當(dāng)(System Requirement Document, 簡 稱為SRD)規(guī)定需要對終端的私密性進(jìn)行保護(hù),即�,需要保護(hù)終端 々某體接入控制地址(AMS MAC Address )在空口明文傳輸,以避免 攻擊者可以獲得該地址從而威脅終端的私密性��。為了實(shí)現(xiàn)這一 目標(biāo)�, 16m的系纟克4葛述文沖當(dāng)(System Description Document,簡 一爾為SDD ) 定義了兩種類型的移動(dòng)站標(biāo)識-即,臨時(shí)移動(dòng)臺標(biāo)識(Temporary Station ID,簡稱為TSTID )和正式的移動(dòng)臺標(biāo)識(Station ID��,簡稱 為STID)����, 二個(gè)標(biāo)識符均在基站范圍內(nèi)唯一。TSTID在終端初始入 網(wǎng)的ranging過程中由基站為終端唯一分配用于臨時(shí)標(biāo)識終端����,具 體來i兌,即���,終端在測距請求(RNG-REQ)消息中�,將自己的AMS MAC Address上才艮給基站��,基站在測距響應(yīng)(RNG-RSP)消息中將 為終端分配的TSTID發(fā)送^^終端���,此后的消息交互就用TSTID來 標(biāo)識終端��,直到注冊過程中基站將為終端分配的STID分發(fā)鄉(xiāng)合終端 為止�。STID的傳送需要有保護(hù)機(jī)制���。然后����,基站釋放TSTID,使 用STID用于在后續(xù)的流程中標(biāo)識終端��。
但是�����,該方法l又保護(hù)了 AMS MAC Address和STID的映射關(guān)系����, 仍然沒有解決AMS MAC Address明文傳輸所帶來的風(fēng)險(xiǎn)。由于攻 擊者可以截獲該地址����,因此��,會(huì)偽造或者J 艮蹤用戶的行蹤���。
發(fā)明內(nèi)容
4十^f相關(guān)4支術(shù)中沒有解決AMS MAC Address明文4專llr所帶來 的風(fēng)險(xiǎn)的問題而提出本發(fā)明��,為此,本發(fā)明的主要目的在于提供一 種終端私密性的保護(hù)方案�,以解決上述問題。
為了實(shí)現(xiàn)上述目的�,才艮據(jù)本發(fā)明的一個(gè)方面,才是供了一種終端 私密性的保護(hù)方法���。
才艮據(jù)本發(fā)明的終端私密性的保護(hù)方法包括在終端初始入網(wǎng)或 重入網(wǎng)時(shí),基站接收來自該終端的測距請求消息�����,其中�����,上述測距 請求消息中攜帶有終端計(jì)算得到的媒體接入控制地址的安全計(jì)算 值�,該安全計(jì)算值用于保護(hù)真實(shí)的終端々某體4妄入控制地址并標(biāo)識該 終端;在上述終端成功完成認(rèn)證/授權(quán)之后�,基站使用上述安全計(jì)算 值計(jì)算空口密鑰�����。
優(yōu)選地�����,在基站接收來自終端的測距請求消息之前,上述方法 還包括終端計(jì)算媒體接入控制地址的安全計(jì)算值����,并向基站發(fā)送 測3巨i青,夂消息�。
優(yōu)選地,終端根據(jù)終端媒體接入控制地址以及至少以下之一計(jì) 算媒體接入控制地址的安全計(jì)算值終端生成的隨機(jī)數(shù)����、基站生成 的隨才幾凄t、基站標(biāo)"i只��。
優(yōu)選地�����,在基站4妄收來自終端的測距i青求消息之后��,上述方法 還包括基站向終端發(fā)送測距響應(yīng)消息����,并在其中攜帶安全計(jì)算值 以指示測距響應(yīng)消息屬于終端����。
優(yōu)選;也,在終端成功完成iU正"受一又之后���,上述方法還包4舌終 端使用安全計(jì)算值計(jì)算空口密鑰。優(yōu)選地�����,在基站使用安全計(jì)算值計(jì)算空口密鑰之后�,上述方法
還包括基站接收來自終端的注冊請求消息,其中���,注冊請求消息 中攜帶有終端的媒體接入控制地址��,注冊請求消息由終端才艮據(jù)空口
密鑰進(jìn)4于加密。
優(yōu)選地���,在終端需要進(jìn)行基站之間的切換時(shí)�����,基站作為終端進(jìn) 行切換的目標(biāo)基站�,目標(biāo)基站接收來自終端的測距請求消息�����,其中, 測距請求消息中攜帶有安全計(jì)算值�����。
優(yōu)選地����,在終端需要進(jìn)行基站之間的切換,且基站作為終端進(jìn) 4亍切4奐的目標(biāo)基站時(shí)���,目標(biāo)基站4妾收終端經(jīng)由"良務(wù)基站在切4奐命令 消息中發(fā)送的安全計(jì)算值���。
優(yōu)選地,在終端進(jìn)行退出空閑模式重入網(wǎng)時(shí)����,基站接收來自終 端的測距請求消息,其中�����,測距請求消息中攜帶有安全計(jì)算值。
優(yōu)選地�,安全計(jì)算值至少包括以下之一哈希值����、加密運(yùn)算值, 其中�����,哈希值根據(jù)以下算法之一進(jìn)行計(jì)算信消摘要算法���、安全的 哈希算法、密文分組鏈接消息認(rèn)證碼算法���、Dotl6KDF算法�。
優(yōu)選地�����,空口密鑰至少包4舌以下之一授j又密鑰����、消息完整性 ^f呆護(hù)密鑰、傳^T加密密鑰、密鑰加密密鑰����。
為了實(shí)現(xiàn)上述目的,根據(jù)本發(fā)明的另一方面���,提供了一種終端 私密性的保護(hù)裝置���。
根據(jù)本發(fā)明的終端私密性的保護(hù)裝置包括第一接收模塊,設(shè) 置在基站側(cè)��,用于在終端初始入網(wǎng)或重入網(wǎng)時(shí)����,4妻收來自終端的測 距請求消息,其中����,測距請求消息中攜帶有終端計(jì)算得到的媒體接 入控制地址的安全計(jì)算值,安全計(jì)算值用于保護(hù)真實(shí)的終端媒體接 入控制地址并標(biāo)識終端����;第一計(jì)算模塊,設(shè)置在基站側(cè)�����,用于在終端成功完成認(rèn)證/授權(quán)之后,使用第一接收模塊接收的安全計(jì)算值計(jì) 算空口密鑰�����。
優(yōu)選地����,上述裝置還包括第一發(fā)送模塊,設(shè)置在基站側(cè)�����,用 于向終端發(fā)送測距響應(yīng)消息��,并在其中攜帶安全計(jì)算值以指示測距 響應(yīng)消息屬于終端���;第二接收模塊,設(shè)置在基站側(cè)����,用于接收來自 終端的注冊請求消息,其中��,注冊請求消息中攜帶有終端的媒體接 入控制地址,注冊請求消息由終端根據(jù)空口密鑰進(jìn)行加密���;第二計(jì) 算模塊����,設(shè)置在終端側(cè)��,用于計(jì)算媒體接入控制地址的安全計(jì)算值�����; 第二發(fā)送模塊��,設(shè)置在終端側(cè)����,用于向基站發(fā)送測距請求消息;第 三計(jì)算模塊��,設(shè)置在終端側(cè)�����,用于使用安全計(jì)算值計(jì)算空口密鑰��。
通過本發(fā)明,采用基站使用接收來自終端的攜帶有終端計(jì)算得 到的媒體接入控制地址的安全計(jì)算值計(jì)算空口密鑰的方法�,解決了 相關(guān)才支術(shù)中沒有解決AMS MAC Address明文傳l命所帶來的風(fēng)險(xiǎn)的 問題,進(jìn)而提高了系統(tǒng)的安全性��。
此處所說明的附圖用來4是供對本發(fā)明的進(jìn)一步理解��,構(gòu)成本申 請的一部分���,本發(fā)明的示意性實(shí)施例及其"i兌明用于解釋本發(fā)明��,并 不構(gòu)成對本發(fā)明的不當(dāng)限定���。在附圖中
圖1是才艮據(jù)本發(fā)明實(shí)施例的終端私密性的4呆護(hù)方法的流程圖2是^4居本發(fā)明實(shí)施例的無線通信系統(tǒng)中終端私密性保護(hù)的 實(shí)現(xiàn)方法的交互流禾呈圖3是根據(jù)本發(fā)明實(shí)施例的產(chǎn)生空中派生密鑰的示意圖4是根據(jù)本發(fā)明實(shí)施例三的交互流程圖;圖5是才艮據(jù)本發(fā)明實(shí)施例四的交互流程圖�����; 圖6是4艮據(jù)本發(fā)明實(shí)施例五的交互流程圖�; 圖7是根據(jù)本發(fā)明實(shí)施例的終端私密性的保護(hù)裝置的結(jié)構(gòu)框
圖8是根據(jù)本發(fā)明實(shí)施例的終端私密性的保護(hù)裝置的優(yōu)選結(jié)構(gòu)框圖���。
具體實(shí)施例方式
功能和克述
考慮到802.16m現(xiàn)在定義的終端私密性(AMS Privacy)中沒 有解決AMS MAC Address明文傳輸所帶來的風(fēng)險(xiǎn)的問題�,本發(fā)明 實(shí)施例提供了一種終端私密性的保護(hù)方案���,在終端初始入網(wǎng)或重入 網(wǎng)時(shí)���,終端計(jì)算終端MAC地址的安全運(yùn)算值����,并將該終端MAC 地址安全運(yùn)算值在測距請求消息中發(fā)送給基站����。當(dāng)終端成功完成認(rèn) 證/授權(quán)后,終端和網(wǎng)絡(luò)側(cè)在計(jì)算空中接口的派生密鑰時(shí)��,用該終端 MAC地址安全運(yùn)算值計(jì)算相關(guān)空口密鑰���。
需要說明的是��,在不沖突的情況下���,本申請中的實(shí)施例及實(shí)施 例中的特征可以相互組合。下面將參考附圖并結(jié)合實(shí)施例來詳細(xì)說 明本發(fā)明�����。
方法實(shí)施例
根據(jù)本發(fā)明的實(shí)施例��,提供了一種終端私密性的保護(hù)方法。圖 1是根據(jù)本發(fā)明實(shí)施例的終端私密性的保護(hù)方法的流程圖�����,如圖1 所示����,該方法包4舌如下的步驟S102至步艱《S104:步-驟S102,在纟冬端初始入網(wǎng)或重入網(wǎng)時(shí)����,基站4妄收來自終端的 測距請求消息,其中���,測距請求消息中攜帶有終端計(jì)算得到的媒體 接入控制地址的安全計(jì)算值�,安全計(jì)算值用于保護(hù)真實(shí)的終端MAC 地址并標(biāo)識終端����。其中�,安全計(jì)算值可以至少包4舌以下之一,哈希 (Hash)^直��、加密運(yùn)算值等��。
在此之前,終端計(jì)算4某體接入控制地址的安全計(jì)算值���,并向基 站發(fā)送測距請求消息����,然后�,基站向終端發(fā)送測距響應(yīng)消息,并在 其中攜帶安全計(jì)算值以指示測距響應(yīng)消息屬于終端�����。
其中���,計(jì)算終端MAC地址安全運(yùn)算值的輸入?yún)?shù)為終端MAC 地址���,和/或終端生成的隨枳4t Random—AMS,和/或基站生成的隨 才幾凄史Random—ABS,和/或基站標(biāo)識ABSID,也就是"i兌���,終端可以 才艮據(jù)終端MAC地址和上述其它3個(gè)參lt至少之一來計(jì)算安全運(yùn)算值�����。
步驟S104,在終端成功完成認(rèn)證/4受權(quán)之后���,基站使用安全計(jì) 算值計(jì)算空口密鑰�。同時(shí)�����,終端使用安全計(jì)算值計(jì)算空口密鑰����。其 中,空口密鑰可以至少包4舌以下之一4受4又密鑰(Authorization Key, 簡稱為AK )���、消息完整性保護(hù)密鑰(Cipher-based Message Authentication Code ��, 簡稱為CMAC ) KEY �、傳#T力�。密密鑰 (Transmission Encrypt Key,簡稱為TEK )、密鑰力口密密鑰(Key Encrypt Key �,簡稱為KEK )。
此后�,優(yōu)選i也,該方法還可以包括如下纟喿作在成功完成三次 握手過程后�����,終端可以在注冊請求消息REG-REQ中��,將自己的AMS MAC Address上才艮纟合基站���。該AMS AMC Address的4專llr需要加密 保護(hù)��?�;窘邮諄碜越K端的注冊請求消息�����,其中��,注冊請求消息中 攜帶有終端的媒體接入控制地址�,注冊請求消息由終端根據(jù)空口密
鑰進(jìn)行加密�;基站向終端分配移動(dòng)臺標(biāo)識,才艮據(jù)空口密鑰對攜帶有移動(dòng)臺標(biāo)識的注冊響應(yīng)消息進(jìn)4于加密��,并向纟冬端發(fā)送加密后的注冊 響應(yīng)消息���。
下面將結(jié)合實(shí)例對本發(fā)明實(shí)施例的實(shí)現(xiàn)過程進(jìn)行詳細(xì)描述�。 實(shí)施例一
圖2是才艮據(jù)本發(fā)明實(shí)施例的無線通信系統(tǒng)中終端私密性保護(hù)的 實(shí)現(xiàn)方法的交互流禾呈圖,如圖2所示�,無線通信系統(tǒng)中終端私密性 保護(hù)的一種實(shí)現(xiàn)方法包括如下的步驟S201至步驟S211:
步驟S201,終端掃描下行(Down Link,簡稱為DL )信道, 與基站建立同步�,獲取下行/上行(UpLink,簡稱為UL)參數(shù)。
步驟S202����,終端計(jì)算AMS MAC Address的哈希(Hash )值, 即AMS MAC Address* �����,
AMS MAC Address* = F ( AMS MAC Address, ABSID��, 48 )�,
或AMS MAC Address* = F ( AMS MAC Address , RandAMS,
48)���,
或AMS MAC Address* = F ( AMS MAC Address, Rand—ABS,
48)�,
或AMS MAC Address* = F(AMS MAC Address, ABSID| Ra油m—AMS,48 ),
或 AMS MAC Address* - F(AMS MAC Address, Random—AMS I ABSID, 48)�����,或AMS MAC Address* = F(AMS MAC Address, ABSID| Random—ABS�����, 48),
或 AMS MAC Address* = F(AMS MAC Address, Random_ABS|ABSID, 48)�����,
或AMS MAC Address* = F(AMS MAC Address �����, ABSID| Random一AB S|RandomAMS, 48),
或 AMS MAC Address* = F(AMS MAC Address �����, Random—ABS|Random—AMS |ABSID, 48)���。
其中,F(xiàn)可以為4壬意hash函凄t,例如��,4言消4離要(Message-Digest Algorithm 5����,簡稱為MD5 )算法,安全的p合希(Secure Hash Algorithm,簡稱為SHA)算法����,CMAC算法(密文分組一漣接消息 i^i正碼)��,IEEE 802.16定義的Dotl6KDF算法等;Random—ABS是 基站生成的一個(gè)隨機(jī)數(shù)����,該隨機(jī)數(shù)通過映射消息(A-MAP)進(jìn)行廣 4番,或者在終端進(jìn)4于步驟S201時(shí)�����,基站為終端分配��,并在 CDMA—Allocation—IE (該信息元用于基站向終端分配帶寬���,終端在 該帶寬上向基站發(fā)送測3巨"i青求消息)中下發(fā)^合鄉(xiāng)冬端��;Random—AMS 是終端生成的一個(gè)隨初4丈��。Random_ABS和Random—AMS均可以 為16位��、32位��、48位�����、64位���、128位等。
步驟S203,終端向基站發(fā)送RNG-REQ消息��,該RNG-REQ消 息中攜帶有以下參凄t: AMS MAC Address *�����。
步驟S204����,基站向終端發(fā)送RNG-RSP消息,該RNG-RSP消 息中攜帶有參數(shù)AMS MAC Address *,該參數(shù)用于標(biāo)識該測距響應(yīng) 消息屬于p那個(gè)纟冬端��。步驟S205,終端和基站進(jìn)行預(yù)認(rèn)證能力協(xié)商過程���,協(xié)商稍后的 認(rèn)證過程需要用到的參數(shù)��。
步驟S206,終端和網(wǎng)絡(luò)側(cè)進(jìn)行認(rèn)證和授權(quán)操作��。
步驟S207���,終端和基站利用AMSMACAddressH十算空口密鑰 AK�����,并由AK》泉生出CMAC KEY��,和/或KEK����。
步驟S208��,終端和網(wǎng)絡(luò)側(cè)進(jìn)行三次握手過程���,驗(yàn)證授權(quán)密鑰AK�。
步驟S209��,終端和基站生成TEK,用于加密空口的數(shù)據(jù)流����。
步驟S210,終端向基站發(fā)送注冊請求消息���,該注冊請求消息可 選地?cái)y帶參數(shù)AMS MAC Address,該注冊"i青求消息需要用TEK 進(jìn)行加密保護(hù)。
步驟S211,基站向終端發(fā)送注冊響應(yīng)消息����,該注冊響應(yīng)消息攜 帶參數(shù)STID。 STID的傳輸需要加密保護(hù)��。此后的消息交互過程 即可以4吏用STID來標(biāo)識終端�����。
實(shí)施例二
圖3是才艮據(jù)本發(fā)明實(shí)施例的產(chǎn)生空中派生密鑰的示意圖����,如圖 3所示���,AK的生成方式參見下式
AK <= Dotl6KDF ( PMK , AMS MAC Address*|ABSID| "AK" �,160)
其中��,Dotl6KDF為IEEE 802.16中定義的加密算法函數(shù)�。"|,����, 如IEEE 802.16定義���,用于指示級聯(lián)。AMS MAC Address*即為終端 MAC地址的Hash值�����。ABSID是基站的標(biāo)識信息���。""表示其中的內(nèi)容為字符串�����,"AK"即表示AK這一字母組合對應(yīng)的字符串��。"160" 表示AK的長度���,單位為bit。參照背景技術(shù)中的相關(guān)描述PMK 可由MSK推導(dǎo)得出��,而MSK是IEEE 802.16規(guī)范中的根密鑰�,是 移動(dòng)站和基站在初始認(rèn)證過程中在兩端分別生成的。需要說明的是, 在本發(fā)明的實(shí)施例中�,相同的符號代表相同的含義。
CMAC—KEY—U及CMAC_KEY—D的生成方式通過下式實(shí)現(xiàn)
首先����,確定CMAC_PREKEY—U及CMAC—PREKEY—D , CMAC—PREKEY—U及CMAC—PREKEY_D為推導(dǎo)CMAC—KEY—U 及CMAC—KEY_D的 一個(gè)中間參凄史���。其中�����,CMAC—PREKEY—U及 CMAC_PREKEY_D生成方式為
CMAC—PREKEYU | CMAC—PREKEY—D < = Dotl6KDF (AK, AMS MAC Address* | ABSID | "CMAC—KEYS" ���, 256 )。
其中�����,"CMAC—KEYS"為CMAC—KEYS這一字符組合對應(yīng)的 字符串�。256表示推導(dǎo)結(jié)果的長度為256bit��。上式所生成的結(jié)果為 CMAC_PREKEY_U及CMAC—PREKEY—D的級聯(lián)^直����,前后各取 128bit即為CMAC—PREKEY—U及CMAC—PREKEY—D的^直���。
CMAC_PREKEY—U及CMAC—PREKEY—D生成方式也可通過 下式實(shí)現(xiàn)
CMAC—PREKEY—U | CMAC—PREKEY—D|KEK < = Dotl6KDF ( AK, AMS MAC Address* |ABSID| "CMAC—KEYS+KEK��,��, ���, 384 )
與前式不同的是����,該式一并生成了密鑰KEK��,將生成的結(jié)果分 別耳又三次 128bit ��, 將分另'J對應(yīng)于 CMAC_PREKEY—U ����、 CMAC PREKEY D及KEK。CMAC—KEY—U及CMAC—KEY—D的生成方式為
CMAC—KEYU <= AEScmac—prekey—u ( CMAG—KEY—COUNT )
CMAC一KEY—D <= AEScmac—prekey_d ( CMAC—KEY—COUNT )
其中����,AES為高級力口密才示準(zhǔn)(Advanced Encryption Standard ) 算法,通過上述兩式即可確定出CMAC—KEY—U及CMACJCEY_D 。
TEK的生成方式參見下式
TEK <= Dotl6KDF ( AK , SAID |AMS MAC Address*| COUNTER TEK I "TEK", 128)
其中�,AK即前述方式生成的;t受權(quán)密鑰,COUNTER一TEK為一 計(jì)數(shù)器���,該計(jì)數(shù)器在終端每次完成初始或重認(rèn)證/授權(quán)時(shí)重置����,此后 每對TEK進(jìn)行一次更新�����,該值遞增1��。 SAID為安全聯(lián)盟標(biāo)識��,由 基站為移動(dòng)臺分配�����,該參凄t的生成可參見IEEE 802.16m中的相關(guān)夫見 定�,這里不再贅述��。"TEK"即表示TEK這一字母組合對應(yīng)的字符 串���。128表示TEK的長度為128bit�����。
TEK的生成方式也可通過下式實(shí)王見
TEK <= Dotl6KDF (AK, SAID |COUNTER—TEK | "TEK", 128)����。式中的各參數(shù)含義與前述TEK生成式中的完全相同,這里不 再贅述�����。
實(shí)施例三
在終端需要進(jìn)行基站之間的切換時(shí)���,終端將更新的終端MAC 地址安全計(jì)算值發(fā)送給目標(biāo)基站�。圖4是才艮據(jù)本發(fā)明實(shí)施例三的交互流程圖����,具體操作如圖4所示,主要包括以下的步驟S402至步 驟S408:
步驟S402����,終端向當(dāng)前的月良務(wù)基站發(fā)送終端切換命令 (AAI—HO_CMD )消息,以通知服務(wù)基站該終端需要向目標(biāo)基站切換���。
步驟S404���,服務(wù)基站與目標(biāo)基站進(jìn)行切換確認(rèn)消息交互過程���, 向目標(biāo)基站確認(rèn)終端即將要切換過來。
步艱《S406,終端計(jì)算更新的終端MAC地址的安全計(jì)算值(AMS MAC Address* ),并向目標(biāo)基站發(fā)送測距請求(RNG-REQ )消息�����, 該消息攜帶參數(shù)AMS MAC Address* ����。
步驟S408,目標(biāo)基站發(fā)送測距響應(yīng)(RNG-RSP )消息給終端。
實(shí)施j列四
本實(shí)施例示出了終端在進(jìn)4亍切換時(shí)�,向目標(biāo)基站傳送終端MAC 地址的另一種方法,圖5是才艮據(jù)本發(fā)明實(shí)施例四的交互流程圖���,如 圖5所示���,包括如下的步驟S502至步驟S508:
步驟S502,終端向基站發(fā)送切換命令消息之前��,計(jì)算終端MAC 地址的安全計(jì)算值�,并在切換指示消息中���,發(fā)送給服務(wù)基站���。
步驟S504����,服務(wù)基站與目標(biāo)基站進(jìn)行切換確認(rèn)消息交互過程��, 向目標(biāo)基站確認(rèn)終端即將要切換過來���。在該過程中�,服務(wù)基站將終 端MAC地址的安全計(jì)算值發(fā)送給目標(biāo)基站����。
步驟S506,終端向目標(biāo)基站發(fā)送測距請求(RNG-REQ )消息。
步驟S508,目標(biāo)基站發(fā)送測距響應(yīng)(RNG-RSP)消息給終端�����。實(shí)施例五
終端在需要進(jìn)行位置更新或退出空閑(Idle)模式時(shí)���,終端將 更新的終端MAC地址安全計(jì)算值發(fā)送給基站��,圖6是根據(jù)本發(fā)明 實(shí)施例五的交互流程圖���,如圖6所示�����,主要包括以下的步驟S602 至步,腺S604:
步驟S602,在退出Idle模式重入網(wǎng)觸發(fā)條件滿足時(shí)���,終端計(jì)算 終端MAC地址的安全計(jì)算值,并向基站發(fā)送測距請求消息��。該消 息攜帶參數(shù)終端MAC地址的安全計(jì)算值���。
步驟S604���,基站向終端發(fā)送測距響應(yīng)消息。
裝置實(shí)施例
根據(jù)本發(fā)明的實(shí)施例��,提供了一種終端私密性的保護(hù)裝置�����。圖 7是^f艮據(jù)本發(fā)明實(shí)施例的終端私密性的保護(hù)裝置的結(jié)構(gòu)框圖,如圖7 所示�,該裝置的各模塊分別設(shè)置在基站4和終端6兩側(cè),其中���,基 站4側(cè)包括第一4妄收才莫塊42和第一計(jì)算才莫塊44��,下面對上述結(jié) 構(gòu)進(jìn)行描述。
第一4妾收才莫塊42, i殳置在基站44側(cè)�,用于在終端6初始入網(wǎng) 或重入網(wǎng)時(shí),接收來自終端6的測距請求消息�,其中,測距請求消 息中攜帶有終端6計(jì)算得到的媒體接入控制地址的安全計(jì)算值�����,安 全計(jì)算值用于保護(hù)真實(shí)的終端々某體接入控制地址并標(biāo)識終端6;第 一計(jì)算模塊44,連接至第一接收模塊42,設(shè)置在基站4側(cè)�,用于在 終端6成功完成認(rèn)證/授權(quán)之后,使用第一接收才莫塊42接收的安全 計(jì)算值計(jì)算空口密鑰��。
圖8是4艮據(jù)本發(fā)明實(shí)施例的終端私密性的^f呆護(hù)裝置的優(yōu)選結(jié)構(gòu) 框圖���,如圖8所示�,基站4包括第一發(fā)送才莫塊46,第二接收才莫塊48,終端6包括第二計(jì)算模塊62,第二發(fā)送模塊64,第三計(jì)算模 塊66���,下面對上述結(jié)構(gòu)進(jìn)4于描述���。
第一發(fā)送才莫塊46,設(shè)置在基站4側(cè)���,用于向終端6發(fā)送測距響 應(yīng)消息,并在其中攜帶安全計(jì)算值以指示測距響應(yīng)消息屬于終端6; 第二接收模塊48��,設(shè)置在基站4側(cè)����,用于接收來自終端6的注冊請 求消息,其中�,注冊請求消息中攜帶有終端6的^ 某體接入控制地址, 注冊請求消息由終端6根據(jù)空口密鑰進(jìn)行加密��。
第二計(jì)算模塊62,設(shè)置在終端6側(cè)��,用于計(jì)算媒體接入控制地 址的安全計(jì)算值����;第二發(fā)送模塊64,連接至第二計(jì)算模塊62,設(shè)置 在終端6側(cè)����,用于向基站4發(fā)送攜帶有第二計(jì)算模塊62計(jì)算的安全 計(jì)算值的測距請求消息;第三計(jì)算模塊66,連接至第二計(jì)算模塊62, 設(shè)置在終端6側(cè)��,用于使用第二計(jì)算模塊62計(jì)算的安全計(jì)算值計(jì)算 空口密鑰���。
綜上所述����,通過本發(fā)明的上述實(shí)施例���,提供了一種終端私密性 的寸呆護(hù)方案,在纟冬端4刀始入網(wǎng)或重入網(wǎng)時(shí)��,纟冬端計(jì)算鄉(xiāng)冬端MAC ;也 址的安全運(yùn)算值���,并將該終端MAC地址安全運(yùn)算值在測距請求消 息中發(fā)送給基站�。當(dāng)終端成功完成認(rèn)證/授權(quán)后����,終端和網(wǎng)絡(luò)側(cè)在計(jì) 算空中4妄口的派生密鑰時(shí),用該終端MAC地址安全計(jì)算4直計(jì)算相 關(guān)空口密鑰���,解決了 802.16m現(xiàn)在定義的終端私密性(AMS Privacy ) 中沒有解決AMS MAC Address明文傳輸所帶來的風(fēng)險(xiǎn)的問題�����,進(jìn) 而提高了系統(tǒng)的安全性�。
顯然,本領(lǐng)域的技術(shù)人員應(yīng)該明白��,上述的本發(fā)明的各模塊或 各步-驟可以用通用的計(jì)算裝置來實(shí)現(xiàn)���,它們可以集中在單個(gè)的計(jì)算 裝置上�,或者分布在多個(gè)計(jì)算裝置所組成的網(wǎng)絡(luò)上�����,可選地�,它們 可以用計(jì)算裝置可執(zhí)行的程序代碼來實(shí)現(xiàn),從而���,可以將它們存儲(chǔ)
在存儲(chǔ)裝置中由計(jì)算裝置來執(zhí)行�,或者將它們分別制作成各個(gè)集成電路模塊���,或者將它們中的多個(gè)模塊或步驟制作成單個(gè)集成電路模 塊來實(shí)現(xiàn)�����。這樣�����,本發(fā)明不限制于任何特定的硬件和軟件結(jié)合���。
以上所述僅為本發(fā)明的優(yōu)選實(shí)施例而已���,并不限于IEEE 802.16 系統(tǒng),可以將它的相關(guān)模式應(yīng)用于其它無線通信系統(tǒng)中����。對于本領(lǐng) 域的技術(shù)人員來說,本發(fā)明可以有各種更改和變化����。凡在本發(fā)明的 精神和原則之內(nèi)����,所作的任何修改、等同替換���、改進(jìn)等�,均應(yīng)包含 在本發(fā)明的保護(hù)范圍之內(nèi)。
權(quán)利要求
1.一種終端私密性的保護(hù)方法���,其特征在于��,包括在終端初始入網(wǎng)或重入網(wǎng)時(shí)����,基站接收來自所述終端的測距請求消息����,其中,所述測距請求消息中攜帶有所述終端計(jì)算得到的媒體接入控制地址的安全計(jì)算值��,所述安全計(jì)算值用于保護(hù)真實(shí)的終端媒體接入控制地址并標(biāo)識所述終端�;在所述終端成功完成認(rèn)證/授權(quán)之后,所述基站使用所述安全計(jì)算值計(jì)算空口密鑰��。
2. 根據(jù)權(quán)利要求1所述的方法����,其特征在于,在所述基站接收來 自所述終端的所述測距請求消息之前����,所述方法還包括所述終端計(jì)算所述J 某體接入控制地址的所述安全計(jì)算值�����, 并向所述基站發(fā)送測距請求消息��。
3. 才艮據(jù)^又利要求2所述的方法�����,其特征在于����,所述終端才艮據(jù)終端 J 某體接入控制地址以及至少以下之一計(jì)算所述々某體接入控制 地址的所述安全計(jì)算值終端生成的隨機(jī)數(shù)����、基站生成的隨機(jī)數(shù)、基站標(biāo)識�。
4. 根據(jù)權(quán)利要求1所述的方法,其特征在于�����,在所述基站接收來 自所述終端的所述測距請求消息之后���,所述方法還包括所述基站向所述終端發(fā)送測距響應(yīng)消息��,并在其中攜帶所 述安全計(jì)算值以指示所述測距響應(yīng)消息屬于所述終端���。
5. 根據(jù)權(quán)利要求1所述的方法,其特征在于�,在所述終端成功完 成認(rèn)證/授權(quán)之后,所述方法還包括所述終端使用所述安全計(jì)算值計(jì)算所述空口密鑰�����。
6. 才艮據(jù)權(quán)利要求1所述的方法��,其特4正在于��,在所述基站使用所 述安全計(jì)算值計(jì)算所述空口密鑰之后����,所述方法還包4舌所述基站接收來自所述終端的注冊請求消息,其中�,所述 注冊請求消息中攜帶有所述終端的所述媒體接入控制地址,所 述注冊請求消息由所述終端根據(jù)所述空口密鑰進(jìn)4于加密����。
7. 根據(jù)權(quán)利要求1所述的方法,其特征在于���,在所述終端需要進(jìn) 行基站之間的切換時(shí)�,所述基站作為所述終端進(jìn)4亍切4奐的目標(biāo) 基站,所述目標(biāo)基站接收來自所述終端的測距請求消息�,其中, 所述測距請求消息中攜帶有所述安全計(jì)算值�����。
8. 根據(jù)權(quán)利要求1所述的方法����,其特征在于,在所述終端需要進(jìn) 行基站之間的切換���,且所述基站作為所述終端進(jìn)行切換的目標(biāo) 基站時(shí)���,所述目標(biāo)基站接收所述終端經(jīng)由所述服務(wù)基站在切換 命令消息中發(fā)送的所述安全計(jì)算值。
9. 根據(jù)權(quán)利要求1所述的方法����,其特征在于,在所述終端進(jìn)行退 出空閑模式重入網(wǎng)時(shí)�����,所述基站接收來自所述終端的測距請求 消息���,其中�����,所述測距請求消息中攜帶有所述安全計(jì)算值���。
10. 根據(jù)權(quán)利要求1至9中任一項(xiàng)所述的方法,其特征在于����,所述 安全計(jì)算值至少包括以下之一 哈希值、加密運(yùn)算值���,其中��,所述哈希值根據(jù)以下算法之 一進(jìn)行計(jì)算信消摘要算法�、安全的哈希算法���、密文分組鏈接 消息認(rèn)證碼算法����、Dotl6KDF算法。
11. 根據(jù)權(quán)利要求1至9中任一項(xiàng)所述的方法����,其特征在于,所述 空口密鑰至少包4舌以下之一授權(quán)密鑰�、消息完整性保護(hù)密鑰、傳輸加密密鑰����、密鑰加 密密鑰。
12. —種終端私密性的保護(hù)裝置���,其特征在于��,包括第一4妄收才莫塊�,設(shè)置在基站側(cè)�,用于在終端初始入網(wǎng)或重 入網(wǎng)時(shí),接收來自所述終端的測距請求消息����,其中,所述測距 請求消息中攜帶有所述終端計(jì)算得到的々某體接入控制地址的 安全計(jì)算值�,所述安全計(jì)算值用于保護(hù)真實(shí)的終端媒體接入控 制地址并標(biāo)識所述終端;第一計(jì)算模塊,設(shè)置在基站側(cè)���,用于在所述終端成功完成 認(rèn)證/授權(quán)之后,使用所述第 一接收模塊接收的所述安全計(jì)算 值計(jì)算空口密鑰����。
13. 根據(jù)權(quán)利要求12所述的裝置,其特征在于���,還包括第一發(fā)送才莫塊��,i殳置在基站側(cè)�,用于向所述終端發(fā)送測距 響應(yīng)消息��,并在其中攜帶所述安全計(jì)算值以指示所述測距響應(yīng) 消息屬于所述終端���;第二接收模塊��,設(shè)置在基站側(cè)���,用于接收來自所述終端的 注冊請求消息,其中���,所述注冊請求消息中攜帶有所述終端的 所述4某體4妄入控制地址��,所述注冊請求消息由所述終端4艮據(jù)所 述空口密鑰進(jìn)4于加密����;第二計(jì)算模塊,設(shè)置在終端側(cè)����,用于計(jì)算所述媒體接入控 制地址的所述安全計(jì)算值;第二發(fā)送才莫塊���,設(shè)置在終端側(cè)�����,用于向所述基站發(fā)送測距 :清求消息�;第三計(jì)算模塊��,設(shè)置在終端側(cè)��,用于使用所述安全計(jì)算值 計(jì)算所述空口密鑰�����。
全文摘要
本發(fā)明公開了一種終端私密性的保護(hù)方法及裝置。在上述方法中���,在終端初始入網(wǎng)或重入網(wǎng)時(shí)��,基站接收來自該終端的測距請求消息�,其中���,上述測距請求消息中攜帶有終端計(jì)算得到的媒體接入控制地址的安全計(jì)算值,該安全計(jì)算值用于保護(hù)真實(shí)的終端媒體接入控制地址并標(biāo)識終端���;在上述終端成功完成認(rèn)證/授權(quán)之后��,基站使用上述安全計(jì)算值計(jì)算空口密鑰�。根據(jù)本發(fā)明提供的技術(shù)方案�����,解決了相關(guān)技術(shù)中沒有解決AMS MAC Address明文傳輸所帶來的風(fēng)險(xiǎn)的問題����,進(jìn)而提高了系統(tǒng)的安全性。
文檔編號H04L9/00GK101610511SQ20091015934
公開日2009年12月23日 申請日期2009年7月8日 優(yōu)先權(quán)日2009年7月8日
發(fā)明者馮成燕, 滕志猛 申請人:中興通訊股份有限公司