專(zhuān)利名稱(chēng)：無(wú)線(xiàn)城域網(wǎng)安全接入?yún)f(xié)議的實(shí)現(xiàn)方法及系統(tǒng)的制作方法
技術(shù)領(lǐng)域：
本發(fā)明涉及通信技術(shù)領(lǐng)域，尤其涉及一種無(wú)線(xiàn)城域網(wǎng)安全接入?yún)f(xié)議的實(shí)現(xiàn)方法及系統(tǒng)。
背景技術(shù)：
IEEE 802. 16無(wú)線(xiàn)城域網(wǎng)作為未來(lái)無(wú)線(xiàn)接入技術(shù)的發(fā)展方向，備受各界關(guān)注。然而，安全問(wèn)題一直制約著其進(jìn)一步的推廣與發(fā)展。IEEE 802. 16d中定義了基于公開(kāi)密鑰加密算法(RSA)和數(shù)字證書(shū)的認(rèn)證協(xié)議，可以實(shí)現(xiàn)基站對(duì)用戶(hù)終端的認(rèn)證。IEEE 802. 16d 的主要缺點(diǎn)是只提供了基站對(duì)用戶(hù)終端的單向認(rèn)證，而沒(méi)有提供用戶(hù)終端對(duì)基站的認(rèn)證， 攻擊者容易假冒基站欺騙用戶(hù)終端。此外，授權(quán)密鑰(AK)和會(huì)話(huà)密鑰(TEK)都是由基站一方產(chǎn)生的，在這種單向認(rèn)證的條件下，難以使用戶(hù)終端對(duì)會(huì)話(huà)密鑰TEK的質(zhì)量產(chǎn)生信任。 IEEE 802. 16e對(duì)IEEE 802. 16d進(jìn)行了增強(qiáng)性的修改，引入了可擴(kuò)展認(rèn)證協(xié)議(Extensible Authentication Protocol，簡(jiǎn)稱(chēng)ΕΑΡ)。但是，仍然只包含了基站對(duì)用戶(hù)終端的單向身份認(rèn)證。申請(qǐng)?zhí)枮?00810027930. 0的發(fā)明專(zhuān)利申請(qǐng)公開(kāi)了一種無(wú)線(xiàn)城域網(wǎng)的安全接入方法(以下簡(jiǎn)稱(chēng)為WMAN-SA)，在認(rèn)證授權(quán)過(guò)程中，采用用戶(hù)終端和基站間雙向認(rèn)證代替原有的單向認(rèn)證，使攻擊者難以冒充合法基站騙取用戶(hù)終端的信任，避免了中間人攻擊的可能性。 在密鑰的協(xié)商過(guò)程中，密鑰由用戶(hù)終端和基站共同產(chǎn)生，代替原有的由基站分配，保證了密鑰的質(zhì)量，增強(qiáng)了無(wú)線(xiàn)城域網(wǎng)的安全性。因此，改進(jìn)的協(xié)議同樣可以滿(mǎn)足原無(wú)線(xiàn)城域網(wǎng)的功能和性能要求，并且更安全。申請(qǐng)?zhí)枮?00910213805. 3的發(fā)明專(zhuān)利申請(qǐng)公開(kāi)了一種WMAN-SA融合WiMAX設(shè)備的方法及無(wú)線(xiàn)城域網(wǎng)，提供一種WMAN-SA協(xié)議在WiMAX設(shè)備中實(shí)施的方法，具體為將原 IEEE 802. 16定義的PKM協(xié)議替換成WMAN-SA協(xié)議，來(lái)替代802. 16協(xié)議中MAC安全子層的內(nèi)容。在SS入網(wǎng)流程中，安全策略設(shè)置為WMAN-SA，而不是PKM ；當(dāng)安全能力協(xié)商的結(jié)果為采用WMAN-SA策略時(shí)，啟動(dòng)WMAN-SA的認(rèn)證機(jī)制，并利用雙方共同貢獻(xiàn)的密鑰材料來(lái)產(chǎn)生授權(quán)密鑰(AK)；待接入完成后，從AK派生得到的傳輸加密密鑰(TEK)將被用來(lái)保護(hù)業(yè)務(wù)流的數(shù)據(jù)，使得開(kāi)發(fā)支持WMAN-SA協(xié)議的無(wú)線(xiàn)城域網(wǎng)設(shè)備成為可能。但是，申請(qǐng)?zhí)枮?00910213805. 3的發(fā)明專(zhuān)利申請(qǐng)所提供的WMAN-SA協(xié)議的實(shí)現(xiàn)方法，僅限于在WiMAX網(wǎng)絡(luò)和設(shè)備中實(shí)現(xiàn)，要開(kāi)發(fā)出實(shí)現(xiàn)WMAN-SA協(xié)議的設(shè)備，需要支持IEEE 802. 16協(xié)議的基站和用戶(hù)站的MAC層軟件開(kāi)放相應(yīng)接口，而且使用WMAN-SA協(xié)議模塊替換掉原軟件中的安全子層，實(shí)現(xiàn)較為復(fù)雜，不具備通用性。

發(fā)明內(nèi)容
本發(fā)明實(shí)施例提出一種無(wú)線(xiàn)城域網(wǎng)安全接入?yún)f(xié)議的實(shí)現(xiàn)方法及系統(tǒng)，不需要修改網(wǎng)絡(luò)設(shè)備的軟硬件，通用性強(qiáng)。本發(fā)明實(shí)施例提供的無(wú)線(xiàn)城域網(wǎng)安全接入?yún)f(xié)議的實(shí)現(xiàn)方法，包括51、在用戶(hù)站接入基站的過(guò)程中，所述用戶(hù)站、基站通過(guò)非受控端口與認(rèn)證服務(wù)器進(jìn)行基于WMAN-SA協(xié)議的身份鑒別；
52、在所述用戶(hù)站和基站的身份鑒別結(jié)果均合法時(shí)，所述用戶(hù)站、基站還通過(guò)非受控端口進(jìn)行基于WMAN-SA協(xié)議的會(huì)話(huà)協(xié)商，獲得會(huì)話(huà)密鑰；
并且，設(shè)置所述用戶(hù)站端的受控端口的狀態(tài)為“授權(quán)”，設(shè)置所述基站端的受控端口的狀態(tài)為“授權(quán)”；
53、所述用戶(hù)站和基站根據(jù)所述會(huì)話(huà)密鑰，通過(guò)授權(quán)的受控端口對(duì)受控信息進(jìn)行保密傳輸；
若所述用戶(hù)站、基站未完成身份鑒別和會(huì)話(huà)協(xié)商，或者用戶(hù)站和基站任一項(xiàng)的身份鑒別結(jié)果為不合法，則所述用戶(hù)站端的受控端口的狀態(tài)為“未授權(quán)”，所述基站端的受控端口的狀態(tài)為“未授權(quán)”；所述用戶(hù)站和所述基站之間不能通過(guò)未授權(quán)的受控端口傳送受控信息，只能通過(guò)非受控端口傳送非受控信息。本發(fā)明實(shí)施例提供的無(wú)線(xiàn)城域網(wǎng)系統(tǒng)，包括基站、用戶(hù)站和認(rèn)證服務(wù)器；所述基站包括BS端安全管理模塊和BS端通信模塊；所述用戶(hù)站包括SS端安全管理模塊和SS端通信模塊；
在用戶(hù)站接入基站的過(guò)程中，所述BS端安全管理模塊、SS端安全管理模塊通過(guò)非受控端口與所述認(rèn)證服務(wù)器進(jìn)行基于WMAN-SA協(xié)議的身份鑒別；
在用戶(hù)站和基站的身份鑒別結(jié)果均合法時(shí)，所述BS端安全管理模塊、SS端安全管理模塊還通過(guò)非受控端口進(jìn)行基于WMAN-SA協(xié)議的會(huì)話(huà)協(xié)商，獲得會(huì)話(huà)密鑰；并且，所述BS端安全管理模塊設(shè)置基站端的受控端口的狀態(tài)為“授權(quán)”，所述SS端安全管理模塊設(shè)置用戶(hù)站端的受控端口的狀態(tài)為“授權(quán)”；
所述BS端通信模塊與所述SS端通信模塊之間根據(jù)所述會(huì)話(huà)密鑰，通過(guò)授權(quán)的受控端口對(duì)受控信息進(jìn)行保密傳輸；
若所述用戶(hù)站、基站未完成身份鑒別和會(huì)話(huà)協(xié)商，或者用戶(hù)站和基站任一項(xiàng)的身份鑒別結(jié)果為不合法，則所述用戶(hù)站端的受控端口的狀態(tài)為“未授權(quán)”，所述基站端的受控端口的狀態(tài)為“未授權(quán)”；所述BS端通信模塊與所述SS端通信模塊之間不能通過(guò)未授權(quán)的受控端口傳送受控信息，只能通過(guò)非受控端口傳送非受控信息。本發(fā)明實(shí)施例提供的無(wú)線(xiàn)城域網(wǎng)安全接入?yún)f(xié)議的實(shí)現(xiàn)方法及系統(tǒng)，通過(guò)在用戶(hù)站、基站增加安全管理模塊，完成基于WMAN-SA協(xié)議的身份鑒別和會(huì)話(huà)協(xié)商，并根據(jù)身份鑒別結(jié)果設(shè)置受控端口的狀態(tài)，使用戶(hù)站與基站之間通過(guò)授權(quán)的受控端口傳送受控信息。本發(fā)明實(shí)施例可在不修改無(wú)線(xiàn)城域網(wǎng)設(shè)備的軟硬件的基礎(chǔ)上實(shí)現(xiàn)WMAN-SA協(xié)議，通用性強(qiáng)。


圖1是本發(fā)明實(shí)施例一提供的無(wú)線(xiàn)城域網(wǎng)安全接入?yún)f(xié)議的實(shí)現(xiàn)方法的流程示意圖2是本發(fā)明實(shí)施例二提供的無(wú)線(xiàn)城域網(wǎng)系統(tǒng)的結(jié)構(gòu)示意圖； 圖3是本發(fā)明實(shí)施例三提供的無(wú)線(xiàn)城域網(wǎng)安全接入?yún)f(xié)議的實(shí)現(xiàn)方法的流程示意圖。
具體實(shí)施方式
下面將結(jié)合本發(fā)明實(shí)施例中的附圖，對(duì)本發(fā)明實(shí)施例中的技術(shù)方案進(jìn)行清楚、完整地描述，顯然，所描述的實(shí)施例僅僅是本發(fā)明一部分實(shí)施例，而不是全部的實(shí)施例?；诒景l(fā)明中的實(shí)施例，本領(lǐng)域普通技術(shù)人員在沒(méi)有作出創(chuàng)造性勞動(dòng)前提下所獲得的所有其他實(shí)施例，都屬于本發(fā)明保護(hù)的范圍。本發(fā)明實(shí)施例提供的無(wú)線(xiàn)城域網(wǎng)安全接入?yún)f(xié)議的實(shí)現(xiàn)方法及系統(tǒng)，能夠在不修改無(wú)線(xiàn)城域網(wǎng)設(shè)備的軟硬件的基礎(chǔ)上實(shí)現(xiàn)WMAN-SA協(xié)議。下面僅以IEEE 802. 16無(wú)線(xiàn)城域網(wǎng)為例進(jìn)行說(shuō)明。本發(fā)明實(shí)施例在用戶(hù)站(以下簡(jiǎn)稱(chēng)SS)和基站(以下簡(jiǎn)稱(chēng)BS)兩側(cè)分別配置非受控端口，用于傳輸非受控信息。該非受控信息包括WMAN-SA信令、無(wú)線(xiàn)城域網(wǎng)接入?yún)f(xié)議管理類(lèi)型的信令等，例如，用戶(hù)站SS和基站BS兩者之間基于WMAN-SA協(xié)議進(jìn)行身份鑒別和會(huì)話(huà)協(xié)商的信令均為非受控信息。此外，本發(fā)明實(shí)施例還在用戶(hù)站SS和基站BS兩側(cè)分別配置受控端口，用于傳輸受控信息。該受控信息包括視頻、音頻等業(yè)務(wù)數(shù)據(jù)。其中，“非受控信息”、 “受控信息”具有特定的數(shù)據(jù)結(jié)構(gòu)，并使用特定字段表示信令類(lèi)型，這是本領(lǐng)域的常規(guī)技術(shù)， 在此不予詳述。非受控端口和受控端口均為邏輯端口，可以采用以下方法配置端口的類(lèi)型非受控信息采用指定的端口進(jìn)行通信；而受控信息采用其他端口通信。傳輸非受控信息所使用的端口即為非受控端口，而傳輸受控信息所使用的端口即為受控端口。需要說(shuō)明的是，上述的配置端口類(lèi)型的方法，是本發(fā)明的優(yōu)選實(shí)施方式，并不是唯一的實(shí)施例。其中，非受控端口不具有權(quán)限限制，一直打開(kāi)，用戶(hù)站SS和基站BS通過(guò)非受控端口實(shí)現(xiàn)非受控信息的交互傳輸。而受控端口具有權(quán)限限制，需要根據(jù)SS和BS的身份鑒別結(jié)果來(lái)確定受控端口的狀態(tài)，當(dāng)SS和BS均合法時(shí)，設(shè)置受控端口的狀態(tài)為“授權(quán)”，打開(kāi)受控端口，SS和BS可通過(guò)授權(quán)的受控端口實(shí)現(xiàn)受控信息的交互傳輸。否則，設(shè)置受控端口的狀態(tài)為“未授權(quán)”，未授權(quán)的受控端口不能傳送受控信息。參見(jiàn)圖1，是本發(fā)明實(shí)施例一提供的無(wú)線(xiàn)城域網(wǎng)安全接入?yún)f(xié)議的實(shí)現(xiàn)方法的流程示意圖，該方法包括以下步驟
so、用戶(hù)站搜索基站的信號(hào)，準(zhǔn)備接入基站；
Si、在用戶(hù)站接入基站的過(guò)程中，用戶(hù)站、基站通過(guò)非受控端口與認(rèn)證服務(wù)器進(jìn)行基于 WMAN-SA協(xié)議的身份鑒別；
在步驟Si，還包括在進(jìn)行身份鑒別之前，設(shè)置用戶(hù)站端的受控端口的狀態(tài)為“未授權(quán)”，設(shè)置基站端的受控端口的狀態(tài)為“未授權(quán)”；未授權(quán)的受控端口不能傳送受控信息。S2、在用戶(hù)站和基站的身份鑒別結(jié)果均合法時(shí)，用戶(hù)站、基站還通過(guò)非受控端口進(jìn)行基于WMAN-SA協(xié)議的會(huì)話(huà)協(xié)商，獲得會(huì)話(huà)密鑰；
并且，設(shè)置用戶(hù)站端的受控端口的狀態(tài)為“授權(quán)”，設(shè)置基站端的受控端口的狀態(tài)為“授
權(quán)”；
若用戶(hù)站和基站任一項(xiàng)的身份鑒別結(jié)果為不合法，則退出流程。S3、用戶(hù)站和基站根據(jù)所述會(huì)話(huà)密鑰，通過(guò)授權(quán)的受控端口對(duì)受控信息進(jìn)行保密傳輸。若用戶(hù)站、基站未完成身份鑒別和會(huì)話(huà)協(xié)商，或者用戶(hù)站和基站任一項(xiàng)的身份鑒別結(jié)果為不合法，則用戶(hù)站端的受控端口的狀態(tài)為“未授權(quán)”，基站端的受控端口的狀態(tài)為“未授權(quán)”；用戶(hù)站和基站之間不能通過(guò)未授權(quán)的受控端口傳送受控信息，只能通過(guò)非受控端口傳送非受控信息。優(yōu)選的，用戶(hù)站和基站通過(guò)基于IEEE802. 16的通信系統(tǒng)進(jìn)行通信。其中，通過(guò)非受控端口傳送的信息為非受控信息，非受控信息包括WMAN-SA信令和無(wú)線(xiàn)城域網(wǎng)接入?yún)f(xié)議管理類(lèi)型的信令；通過(guò)受控端口傳送的受控信息包括業(yè)務(wù)數(shù)據(jù)。需要說(shuō)明的是，步驟S2中的基于WMAN-SA協(xié)議的身份鑒別及會(huì)話(huà)協(xié)商方法，與申請(qǐng)?zhí)枮椤?00810027930.0”，發(fā)明名稱(chēng)為“一種無(wú)線(xiàn)城域網(wǎng)的安全接入方法”的發(fā)明專(zhuān)利申請(qǐng)中所公開(kāi)的身份鑒別及會(huì)話(huà)協(xié)商方法相同，在此不再贅述。具體實(shí)施時(shí)，本發(fā)明實(shí)施例提供的無(wú)線(xiàn)城域網(wǎng)安全接入?yún)f(xié)議的實(shí)現(xiàn)方法，可通過(guò)在用戶(hù)站、基站增加安全管理模塊，完成基于WMAN-SA協(xié)議的身份鑒別和會(huì)話(huà)協(xié)商，并根據(jù)身份鑒別結(jié)果設(shè)置受控端口的狀態(tài)，使用戶(hù)站與基站之間通過(guò)授權(quán)的受控端口傳送受控信息?？梢栽诓恍薷臒o(wú)線(xiàn)城域網(wǎng)設(shè)備的軟硬件的基礎(chǔ)上實(shí)現(xiàn)WMAN-SA協(xié)議，通用性強(qiáng)。相應(yīng)地，本發(fā)明實(shí)施例還提供一種無(wú)線(xiàn)城域網(wǎng)，能夠?qū)嵤┥鲜龅臒o(wú)線(xiàn)城域網(wǎng)安全接入?yún)f(xié)議的實(shí)現(xiàn)方法的所有步驟。參見(jiàn)圖2，是本發(fā)明實(shí)施例二提供的無(wú)線(xiàn)城域網(wǎng)系統(tǒng)的結(jié)構(gòu)示意圖。所述無(wú)線(xiàn)城域網(wǎng)系統(tǒng)包括基站BS、用戶(hù)站SS和認(rèn)證服務(wù)器AS ；所述基站包括BS 端安全管理模塊和BS端通信模塊；所述用戶(hù)站包括SS端安全管理模塊和SS端通信模塊。優(yōu)選的，基站BS、用戶(hù)站SS通過(guò)基于IEEE802. 16的通信系統(tǒng)進(jìn)行通信。BS端通信模塊與SS端通信模塊組成基于IEEE 802. 16的通信系統(tǒng)，它們之間通過(guò)基于IEEE802. 16協(xié)議的空中接口進(jìn)行通信。通信的信息分為兩類(lèi)非受控信息(例如 WMAN-SA信令、無(wú)線(xiàn)城域網(wǎng)接入?yún)f(xié)議管理類(lèi)型的信令)以及受控信息(例如視頻、音頻等業(yè)務(wù)數(shù)據(jù))。受控信息通過(guò)受控端口傳遞，非受控信息通過(guò)非受控端口傳遞。BS安全管理模塊與 SS安全管理模塊通過(guò)基于IEEE 802. 16的通信系統(tǒng)進(jìn)行通信，實(shí)現(xiàn)WMAN-SA協(xié)議。BS端安全管理模塊的功能包括完成基于WMAN-SA協(xié)議的身份鑒別和密鑰協(xié)商； 根據(jù)身份鑒別結(jié)果設(shè)置BS端受控端口的狀態(tài)；從業(yè)務(wù)網(wǎng)上傳或下載受控信息；加密來(lái)自業(yè)務(wù)網(wǎng)的受控信息；解密來(lái)自SS的受控信息。SS端安全管理模塊的功能包括完成基于WMAN-SA協(xié)議的身份鑒別和密鑰協(xié)商； 根據(jù)身份鑒別結(jié)果設(shè)置SS端受控端口的狀態(tài)；接收或發(fā)送受控信息給用戶(hù)；解密來(lái)自BS 的受控信息；加密來(lái)自用戶(hù)的受控信息。在用戶(hù)站接入基站的過(guò)程中，BS端安全管理模塊、SS端安全管理模塊通過(guò)非受控端口與認(rèn)證服務(wù)器進(jìn)行基于WMAN-SA協(xié)議的身份鑒別；在用戶(hù)站和基站的身份鑒別結(jié)果均合法時(shí)，BS端安全管理模塊、SS端安全管理模塊還通過(guò)非受控端口進(jìn)行基于WMAN-SA協(xié)議的會(huì)話(huà)協(xié)商，獲得會(huì)話(huà)密鑰；并且，BS端安全管理模塊設(shè)置基站端的受控端口的狀態(tài)為“授權(quán)”，SS端安全管理模塊設(shè)置用戶(hù)站端的受控端口的狀態(tài)為“授權(quán)” ；BS端通信模塊與SS端通信模塊之間根據(jù)所述會(huì)話(huà)密鑰，通過(guò)授權(quán)的受控端口對(duì)受控信息進(jìn)行保密傳輸。若用戶(hù)站、基站未完成身份鑒別和會(huì)話(huà)協(xié)商，或者用戶(hù)站和基站任一項(xiàng)的身份鑒別結(jié)果為不合法，則用戶(hù)站端的受控端口的狀態(tài)為“未授權(quán)”，基站端的受控端口的狀態(tài)為 “未授權(quán)” ；BS端通信模塊與SS端通信模塊之間不能通過(guò)未授權(quán)的受控端口傳送受控信息， 只能通過(guò)非受控端口傳送非受控信息。
參見(jiàn)圖3，是本發(fā)明實(shí)施例三提供的無(wú)線(xiàn)城域網(wǎng)安全接入?yún)f(xié)議的實(shí)現(xiàn)方法的流程示意圖，無(wú)線(xiàn)城域網(wǎng)系統(tǒng)的安全接入?yún)f(xié)議的實(shí)現(xiàn)方法的流程如下
5101、用戶(hù)站搜索基站的信號(hào)，準(zhǔn)備接入基站；
5102、在進(jìn)行身份鑒別之前，BS端安全管理模塊設(shè)置基站端的受控端口的狀態(tài)為“未授權(quán)”，SS端安全管理模塊設(shè)置用戶(hù)站端的受控端口的狀態(tài)為“未授權(quán)”;未授權(quán)的受控端口不能傳送受控信息；
5103、BS端安全管理模塊、SS端安全管理模塊通過(guò)非受控端口與認(rèn)證服務(wù)器進(jìn)行基于 WMAN-SA協(xié)議的身份鑒別；
其中，BS端通信模塊與SS端通信模塊之間通過(guò)非受控端口傳送非受控信息，非受控信息包括WMAN-SA信令、無(wú)線(xiàn)城域網(wǎng)接入?yún)f(xié)議管理類(lèi)型的信令等。受控端口與非受控端口具有不同的端口號(hào)；受控信息包括業(yè)務(wù)數(shù)據(jù)。S104、若用戶(hù)站和基站的身份鑒別結(jié)果均合法，則執(zhí)行S105，否則執(zhí)行S108 ；
5105、BS端安全管理模塊、SS端安全管理模塊通過(guò)非受控端口進(jìn)行基于WMAN-SA協(xié)議的會(huì)話(huà)協(xié)商，獲得會(huì)話(huà)密鑰；
5106、BS端安全管理模塊設(shè)置基站端的受控端口的狀態(tài)為“授權(quán)”，SS端安全管理模塊設(shè)置用戶(hù)站端的受控端口的狀態(tài)為“授權(quán)”；
5107、BS端通信模塊與SS端通信模塊之間通過(guò)授權(quán)的受控端口對(duì)受控信息進(jìn)行保密傳輸；
5108、結(jié)束。需要說(shuō)明的是，步驟S103、S105中的基于WMAN-SA協(xié)議的身份鑒別及會(huì)話(huà)協(xié)商方法，與申請(qǐng)?zhí)枮椤?00810027930.0”，發(fā)明名稱(chēng)為“一種無(wú)線(xiàn)城域網(wǎng)的安全接入方法”的發(fā)明專(zhuān)利申請(qǐng)中所公開(kāi)的身份鑒別及會(huì)話(huà)協(xié)商方法相同，在此不再贅述。本發(fā)明實(shí)施例提供的無(wú)線(xiàn)城域網(wǎng)系統(tǒng)，通過(guò)在用戶(hù)站、基站增加安全管理模塊，完成基于WMAN-SA協(xié)議的身份鑒別和會(huì)話(huà)協(xié)商，并根據(jù)身份鑒別結(jié)果設(shè)置受控端口的狀態(tài)， 使用戶(hù)站與基站之間通過(guò)授權(quán)的受控端口傳送受控信息。本發(fā)明實(shí)施例可在不修改無(wú)線(xiàn)城域網(wǎng)設(shè)備的軟硬件的基礎(chǔ)上實(shí)現(xiàn)WMAN-SA協(xié)議，通用性強(qiáng)。以上所述是本發(fā)明的優(yōu)選實(shí)施方式，應(yīng)當(dāng)指出，對(duì)于本技術(shù)領(lǐng)域的普通技術(shù)人員來(lái)說(shuō)，在不脫離本發(fā)明原理的前提下，還可以做出若干改進(jìn)和潤(rùn)飾，這些改進(jìn)和潤(rùn)飾也視為本發(fā)明的保護(hù)范圍。
權(quán)利要求
1.一種無(wú)線(xiàn)城域網(wǎng)安全接入?yún)f(xié)議的實(shí)現(xiàn)方法，其特征在于，包括51、在用戶(hù)站接入基站的過(guò)程中，所述用戶(hù)站、基站通過(guò)非受控端口與認(rèn)證服務(wù)器進(jìn)行基于WMAN-SA協(xié)議的身份鑒別；52、在所述用戶(hù)站和基站的身份鑒別結(jié)果均合法時(shí)，所述用戶(hù)站、基站還通過(guò)非受控端口進(jìn)行基于WMAN-SA協(xié)議的會(huì)話(huà)協(xié)商，獲得會(huì)話(huà)密鑰；并且，設(shè)置所述用戶(hù)站端的受控端口的狀態(tài)為“授權(quán)”，設(shè)置所述基站端的受控端口的狀態(tài)為“授權(quán)”；53、所述用戶(hù)站和基站根據(jù)所述會(huì)話(huà)密鑰，通過(guò)授權(quán)的受控端口對(duì)受控信息進(jìn)行保密傳輸；若所述用戶(hù)站、基站未完成身份鑒別和會(huì)話(huà)協(xié)商，或者用戶(hù)站和基站任一項(xiàng)的身份鑒別結(jié)果為不合法，則所述用戶(hù)站端的受控端口的狀態(tài)為“未授權(quán)”，所述基站端的受控端口的狀態(tài)為“未授權(quán)”；所述用戶(hù)站和所述基站之間不能通過(guò)未授權(quán)的受控端口傳送受控信息，只能通過(guò)非受控端口傳送非受控信息。
2.如權(quán)利要求1所述的無(wú)線(xiàn)城域網(wǎng)安全接入?yún)f(xié)議的實(shí)現(xiàn)方法，其特征在于，所述用戶(hù)站和所述基站通過(guò)基于IEEE802. 16的通信系統(tǒng)進(jìn)行通信。
3.如權(quán)利要求1或2所述的無(wú)線(xiàn)城域網(wǎng)安全接入?yún)f(xié)議的實(shí)現(xiàn)方法，其特征在于，所述非受控信息包括WMAN-SA信令和無(wú)線(xiàn)城域網(wǎng)接入?yún)f(xié)議管理類(lèi)型的信令；所述受控信息包括業(yè)務(wù)數(shù)據(jù)。
4.一種無(wú)線(xiàn)城域網(wǎng)系統(tǒng)，其特征在于，包括基站、用戶(hù)站和認(rèn)證服務(wù)器；所述基站包括 BS端安全管理模塊和BS端通信模塊；所述用戶(hù)站包括SS端安全管理模塊和SS端通信模塊；在用戶(hù)站接入基站的過(guò)程中，所述BS端安全管理模塊、SS端安全管理模塊通過(guò)非受控端口與所述認(rèn)證服務(wù)器進(jìn)行基于WMAN-SA協(xié)議的身份鑒別；在用戶(hù)站和基站的身份鑒別結(jié)果均合法時(shí)，所述BS端安全管理模塊、SS端安全管理模塊還通過(guò)非受控端口進(jìn)行基于WMAN-SA協(xié)議的會(huì)話(huà)協(xié)商，獲得會(huì)話(huà)密鑰；并且，所述BS端安全管理模塊設(shè)置基站端的受控端口的狀態(tài)為“授權(quán)”，所述SS端安全管理模塊設(shè)置用戶(hù)站端的受控端口的狀態(tài)為“授權(quán)”；所述BS端通信模塊與所述SS端通信模塊之間根據(jù)所述會(huì)話(huà)密鑰，通過(guò)授權(quán)的受控端口對(duì)受控信息進(jìn)行保密傳輸；若所述用戶(hù)站、基站未完成身份鑒別和會(huì)話(huà)協(xié)商，或者用戶(hù)站和基站任一項(xiàng)的身份鑒別結(jié)果為不合法，則所述用戶(hù)站端的受控端口的狀態(tài)為“未授權(quán)”，所述基站端的受控端口的狀態(tài)為“未授權(quán)”；所述BS端通信模塊與所述SS端通信模塊之間不能通過(guò)未授權(quán)的受控端口傳送受控信息，只能通過(guò)非受控端口傳送非受控信息。
5.如權(quán)利要求4所述無(wú)線(xiàn)城域網(wǎng)系統(tǒng)，其特征在于，所述用戶(hù)站和所述基站通過(guò)基于 IEEE802. 16的通信系統(tǒng)進(jìn)行通信。
6.如權(quán)利要求4或5所述無(wú)線(xiàn)城域網(wǎng)系統(tǒng)，其特征在于，所述非受控信息包括WMAN-SA 信令和無(wú)線(xiàn)城域網(wǎng)接入?yún)f(xié)議管理類(lèi)型的信令；所述受控信息包括業(yè)務(wù)數(shù)據(jù)。
全文摘要
本發(fā)明公開(kāi)了一種無(wú)線(xiàn)城域網(wǎng)安全接入?yún)f(xié)議的實(shí)現(xiàn)方法及系統(tǒng)，該方法包括在用戶(hù)站接入基站的過(guò)程中，所述用戶(hù)站、基站通過(guò)非受控端口與認(rèn)證服務(wù)器進(jìn)行基于WMAN-SA協(xié)議的身份鑒別；在所述用戶(hù)站和基站的身份鑒別結(jié)果均合法時(shí)，設(shè)置所述用戶(hù)站端的受控端口的狀態(tài)為“授權(quán)”，設(shè)置所述基站端的受控端口的狀態(tài)為“授權(quán)”；所述用戶(hù)站和基站通過(guò)授權(quán)的受控端口傳送受控信息。本發(fā)明實(shí)施例可在不修改無(wú)線(xiàn)城域網(wǎng)設(shè)備的軟硬件的基礎(chǔ)上實(shí)現(xiàn)WMAN-SA協(xié)議，通用性強(qiáng)。
文檔編號(hào)H04W12/06GK102223636SQ20111020281
公開(kāi)日2011年10月19日 申請(qǐng)日期2011年7月20日 優(yōu)先權(quán)日2011年7月20日
發(fā)明者張永強(qiáng), 林凡, 王勝男, 陳璇 申請(qǐng)人:廣州杰賽科技股份有限公司