专利名称:一种宽带无线城域网中基站标识符的分配与安全传送方法
技术领域:
本发明属于宽带无线城域网(IEEE 802.16 Wireless Metropolitan AreaNetwork)技术领域,特别是一种宽带无线城域网中基站标识符的分配与安全传送方法。
背景技术:
宽带无线城域网是一种能够在城域范围内提供高速无线接入的宽带网络。IEEE 802.16标准定义了宽带无线接入的空中接口规范。文献[1]CarlEklund,Roger B.Marks,“IEEE Standard 802.16A Technical Overview of theWirelessMANTM Air Interface for Broadband Wireless Access”,IEEEC802.16-02/05,2002。基站标识符(Base Station Identifier,BSID)是在运营商网络内可以唯一标识一台无线基站的符号。在802.16标准中,当基站向用户站周期性广播下行信道描述信息时,基站标识符表明了下行信息所属的发送方;当用户站移动并越区切换时,用户站也需要使用基站标识符协商和确定切换到哪个目标基站,但是,802.16标准并没有定义基站标识符的格式以及分配、传送标识符的方法,因此,有必要提供一种宽带无线城域网中基站标识符的分配与安全传送方法。
发明内容
本发明的目的是提供一种宽带无线城域网中基站标识符的分配与安全传送方法。
本发明要求宽带无线城域网中的两种实体基站和基站标识符管理服务器共同完成基站标识符分配与安全传送过程。宽带无线城域网的网络拓扑结构如图1所示。核心网由若干个并列的城域核心网构成。城域核心网上配置了认证、注册、管理服务器。用户站在固定模式或者移动模式下接入无线基站,基站通过路由器接入到城域核心网中。各种固定终端则通过以太网接入到城域核心网中。为便于与各种其它网络相连,各城域核心网上还配置了交换网关。
本发明要求在每个省份或者州的核心城域网上都配备一台基站标识符管理服务器,它既是标识符分配与传送服务器,同时也是基站身份认证服务器,因此,它必须保存有基站制造商的CA证书链。
本发明定义了一种能反映地理位置和层次结构的48位基站标识符格式,字节序从高地址开始到低地址结束,如下表所示。
高地址 低地址
48位基站标识符格式国家 8位,用于表示基站所处的国家编号,编号范围0~255州/省 6位,用于表示基站所处的州或省份编号,编号范围0~63运营商编号 10位,用于表示基站所属的运营商编号,编号范围0~1023城市 8位,用于表示基站所处的城市编号,编号范围0~255基站编号 16位,同一个城市范围内的基站编号,编号范围0~65535因为不同的基站可能归不同的运营商所有,所以需要预留运营商编号字段;而无线城域网是以城市作为网络设置的对象,因此定义了国家、州/省份、城市三个字段,既反映了地理位置,也反映了层次结构;同一个城市范围内的基站则采用基站编号字段进行区分。48位的基站标识符可以分为高24位和低24位,其中,高24位称为运营商标识符(OperatorIdentifier),可以唯一标识城域网络范围内的运营商;低24位表示基站编号及其所处的城市编号,16位基站编号的最低8位可以作为扇区标识符(Sector Identifier),用于区分不同的基站扇区。
本发明定义了基站标识符请求消息Bs_Id_Request和基站标识符回复消息Bs_Id_Reply,用于在基站与基站标识符管理服务器之间安全传送标识符。两种消息的报文结构如下表所示
0 7 816
基站标识符请求消息报文结构TimestampingBS基站当前时间戳,16位,用于为基站标识符管理服务器判断接收到的消息是否是重放攻击提供依据SignBS基站X.509证书,是表明基站合法身份的证明,管理服务器只有在对基站的合法身份认证成功之后,才为基站分配标识符。
CertBS基站对消息的数字签名,起保证消息完整性和抗抵赖性的作用0 7 816
基站标识符回复消息报文结构TimestampingServ基站标识符管理服务器当前时间戳,16位,防止重传攻击Result成功标识项,16位,表明分配基站标识符是否成功BS ID 基站标识符,48位,从基站标识符管理服务器的当前未用标识符地址池中分配CertBS基站证书,用于检查回复消息是否与发送的请求消息相对应
CertServ基站标识符管理服务器证书,为基站提供服务器的RSA公钥SignServ基站标识符管理服务器对消息的数字签名,起保证消息完整性和抗抵赖性的作用以上两个消息报文结构中的Type均为8位的消息类型字段,0表示标识符请求消息,1标识标识符回复消息;Resv均为8位的保留字段,用于消息扩展。
基站处理流程如图3所示,基站标识符管理服务器处理流程如图4所示。
分析上述基站标识符的分配与安全传送方法,概括得到本发明的特点如下(1)易于布网。只需在每个州或省份的核心网上配置一台基站标识符管理服务器,就能满足为本州或本省内基站分配标识符的需求。
(2)定义的48位基站标识符格式能够区分不同的运营商,反映基站所处的地理位置和层次结构,易于为基站分配网内唯一的标识符。
(3)采用时间戳、证书和数字签名认证机制,有效防止基站标识符传送过程中的重放攻击和敌手伪造身份非法请求基站标识符等情况的发生。
技术方案一种宽带无线城域网中基站标识符的分配与安全传送方法,基站标识符BSID的分配过程和安全传送过程相结合;为每个省份或州的核心城域网配置一台基站标识符BSID管理服务器,负责处理本省或州范围内的基站标识符BSID申请的获取;定义了一种能反映地理位置和层次结构的基站标识符BSID格式;在初始化阶段,基站BS向基站标识符BSID管理服务器发送标识符分配请求,基站标识符BSID管理服务器在对基站BS证书认证成功之后,才为基站分配并返回标识符。在消息传递过程中,使用时间戳、证书和数字签名认证机制,有效防止重放攻击和敌手伪造身份非法请求基站标识符等情况的发生。
在每个省份或者州的核心城域网上都配备一台基站标识符管理服务器,它既是标识符分配与传送服务器,同时也是基站身份认证服务器。
定义了一种能反映地理位置和层次结构的48位基站标识符格式,格式字节序从高地址到低地址依次为8位表示国家、6位表示州或省份、10位表示运营商ID、8位表示城市、16位表示基站编号。
基站标识符请求消息Bs_Id_Request的属性包括消息类型、保留字段、基站当前时间戳、基站证书和基站对前四项的数字签名。
其中的基站标识符回复消息Bs_Id_Reply的属性包括消息类型、保留字段、服务器当前时间戳、标识项Result、新分配的基站标识符BSID、基站证书、服务器证书以及服务器对以上七项的数字签名。
图1是宽带无线城域网拓扑结构图。
图2是基站标识符的分配与安全传送示意图。
图3是基站处理流程图。
图4是基站标识符管理服务器处理流程图。
具体实施例方式
基站标识符的分配与安全传送流程如图2所示,步骤如下步骤S1在初始化阶段,基站向基站标识符管理服务器发送标识符请求消息Bs_Id_Request,并启动重传定时器T0。
步骤S2基站标识符管理服务器接收到Bs_Id_Request消息之后,如果认证基站的数字签名和证书成功,置标识项Result为1,根据地理位置,从当前未用的基站标识符地址池中为基站分配新的标识符,发送回复消息Bs_Id_Reply;否则,置标识项Result为0,不分配基站标识符,直接发送回复消息Bs_Id_Reply;步骤S3基站接收到回复消息Bs_Id_Request之后,取消重传定时器T0,如果验证基站标识符管理服务器的数字签名成功,并且Result等于1,表明获取基站标识符成功,否则,表明获取基站标识符失败,需要重新发送请求。
宽带无线城域网基站标识符的分配与安全传送方法,其中基站BS的处理流程如图3所示,各事件处理步骤如下S3.1基站获取当前时间戳;S3.2使用基站的RSA私钥对获取的时间戳和基站证书加密,得到这两项属性的数字签名;S3.3生成基站标识符请求消息Bs_Id_Request,并向服务器发送;S3.4启动重传请求定时器T0;S3.5若定时器T0超时,进入S3.1,否则,转入S3.7;S3.6基站接收到基站标识符回复消息Bs_Id_Reply;S3.7取消重传定时器T0;S3.8解析Bs_Id_Reply消息;S3.9若Bs_Id_Reply消息解析成功,进入S3.10,否则,转入S3.1;S3.10从Bs_Id_Reply消息中获取服务器证书中的RSA公钥;S3.11使用服务器的RSA公钥对Bs_Id_Reply消息解密,验证服务器对Bs_Id_Reply消息的数字签名;S3.12若RSA公钥解密成功,说明Bs_Id_Reply消息的数字签名和完整性得到了验证,进入S3.13,否则,转入S3.1;S3.13检查Bs_Id_Reply消息中的基站证书项是否与自己的证书一致;S3.14若消息中的证书与自己的证书一致,说明基站接收到的Bs_Id_Reply消息与本基站之前发送的Bs_Id_Request消息相匹配,进入S3.15,否则,转入S3.1;S3.15检查Bs_Id_Reply消息中的时间戳,确定是新发送消息或者是重放攻击;S3.16若确认是新发送消息,进入S3.17,否则,转入S3.1;S3.17若Bs_Id_Reply消息中的Result项为1,表明服务器分配基站标识符成功,进入S3.18,否则,转入S3.1;
S3.18至此,基站成功获取了基站标识符;S3.19基站获取标识符流程结束。
宽带无线城域网基站标识符的分配与安全传送方法,其中基站标识符管理服务器(BSID Management Server)的处理流程如图4所示,各事件处理步骤如下S4.1基站标识符管理服务器接收到基站发送的Bs_Id_Request消息,解析消息;S4.2若Bs_Id_Request消息解析成功,进入S4.3,否则,转入S4.9;S4.3获取Bs_Id_Request消息中基站证书的RSA公钥;S4.4使用基站的RSA公钥对Bs_Id_Request消息解密,验证基站对Bs_Id_Request消息的数字签名;S4.5若RSA公钥解密成功,说明Bs_Id_Request消息的数字签名和完整性得到了验证,进入S4.6,否则,转入S4.9;S4.6置标识项Resuk为1;S4.7搜索保存在本服务器的基站制造商CA证书链,获取基站制造商的RSA公钥用于对基站证书进行认证;S4.8若服务器对基站的证书认证成功,进入S4.10,否则,转入S4.9;S4.9置标识项Result为0,进入S4.12;S4.10根据地理位置,从当前未用的基站标识符地址池中为基站分配新的标识符;S4.11服务器更新基站标识符和基站证书的绑定关系,便于以后的查找;S4.12根据Result标识项生成基站标识符回复消息Bs_Id_Reply;S4.13服务器对Bs_Id_Reply消息签名,向基站发送;S4.14基站标识符管理服务器分配、发送标识符流程结束。
权利要求
1.一种宽带无线城域网中基站标识符的分配与安全传送方法,其特征在于基站标识符BSID的分配过程和安全传送过程相结合;为每个省份或州的核心城域网配置一台基站标识符BSID管理服务器,负责处理本省或州范围内的基站标识符BSID申请的获取;定义了一种能反映地理位置和层次结构的基站标识符BSID格式;在初始化阶段,基站BS向基站标识符BSID管理服务器发送标识符分配请求,基站标识符BSID管理服务器在对基站BS证书认证成功之后,才为基站分配并返回标识符。
2.根据权利要求1的宽带无线城域网中基站标识符的分配与安全传送方法,其特征在于,在每个省份或者州的核心城域网上都配备一台基站标识符管理服务器,它既是标识符分配与传送服务器,同时也是基站身份认证服务器。
3.根据权利要求1的宽带无线城域网中基站标识符的分配与安全传送方法,其特征在于,定义了一种能反映地理位置和层次结构的48位基站标识符格式,格式字节序从高地址到低地址依次为8位表示国家、6位表示州或省份、10位表示运营商ID、8位表示城市、16位表示基站编号。
4.根据权利要求1的宽带无线城域网中基站标识符的分配与安全传送方法,其特征在于,基站申请获取标识符的流程如下步骤S1在初始化阶段,基站向基站标识符管理服务器发送标识符请求消息Bs_Id_Request,并启动重传定时器TO;步骤S2基站标识符管理服务器接收到Bs_Id_Request消息之后,如果认证基站的数字签名和证书成功,置标识项Result为1;根据地理位置,从当前未用的基站标识符地址池中为基站分配新的标识符,发送回复消息Bs_Id_Reply,否则,置标识项Result为0,不分配基站标识符,直接发送回复消息Bs_Id_Reply;步骤S3基站接收到回复消息Bs_Id_Request之后,取消重传定时器T0,如果验证基站标识符管理服务器的数字签名成功,并且Result等于1,表明获取基站标识符成功,否则,表明获取基站标识符失败,需要重新发送请求。
5.根据权利要求4的宽带无线城域网中基站标识符的分配与安全传送方法,其中的基站标识符请求消息Bs_Id_Request的属性包括消息类型、保留字段、基站当前时间戳、基站证书和基站对前四项的数字签名。
6.根据权利要求4的宽带无线城域网中基站标识符的分配与安全传送方法,其中的基站标识符回复消息Bs_Id_Reply的属性包括消息类型、保留字段、服务器当前时间戳、标识项Result、新分配的基站标识符BSID、基站证书、服务器证书以及服务器对以上七项的数字签名。
7.根据权利要求1的宽带无线城域网中基站标识符的分配与安全传送方法,其特征在于,基站BS的处理流程具体步骤如下S3.1基站获取当前时间戳;S3.2使用基站的RSA私钥对获取的时间戳和基站证书加密,得到这两项属性的数字签名;S3.3生成基站标识符请求消息Bs_Id_Request,并向服务器发送;S3.4启动重传请求定时器T0;S3.5若定时器T0超时,进入S3.1,否则,转入S3.7;S3.6基站接收到基站标识符回复消息Bs_Id_Reply;S3.7取消重传定时器T0;S3.8解析Bs_Id_Reply消息;S3.9若Bs_Id_Reply消息解析成功,进入S3.10,否则,转入S3.1;S3.10从Bs_Id_Reply消息中获取服务器证书中的RSA公钥;S3.11使用服务器的RSA公钥对Bs_Id_Reply消息解密,验证服务器对Bs_Id_Reply消息的数字签名;S3.12若RSA公钥解密成功,说明Bs_Id_Reply消息的数字签名和完整性得到了验证,进入S3.13,否则,转入S3.1;S3.13检查Bs_Id_Reply消息中的基站证书项是否与自己的证书一致;S3.14若消息中的证书与自己的证书一致,说明基站接收到的Bs_Id_Reply消息与本基站之前发送的Bs_Id_Request消息相匹配,进入S3.15,否则,转入S3.1;S3.15检查Bs_Id_Reply消息中的时间戳,确定是新发送消息或者是重放攻击;S3.16若确认是新发送消息,进入S3.17,否则,转入S3.1;S3.17若Bs_Id_Reply消息中的Result项为1,表明服务器分配基站标识符成功,进入S3.18,否则,转入S3.1;S3.18至此,基站成功获取了基站标识符;S3.19基站获取标识符流程结束。
8.根据权利要求1的宽带无线城域网中基站标识符的分配与安全传送方法,其特征在于,基站标识符管理服务器(BSID Management Server)的处理流程具体步骤如下S4.1基站标识符管理服务器接收到基站发送的Bs_Id_Request消息,解析消息;S4.2若Bs_Id_Request消息解析成功,进入S4.3,否则,转入S4.9;S4.3获取Bs_Id_Request消息中基站证书的RSA公钥;S4.4使用基站的RSA公钥对Bs_Id_Request消息解密,验证基站对Bs_Id_Request消息的数字签名;S4.5若RSA公钥解密成功,说明Bs_Id_Request消息的数字签名和完整性得到了验证,进入S4.6,否则,转入S4.9;S4.6置标识项Result为1;S4.7搜索保存在本服务器的基站制造商CA证书链,获取基站制造商的RSA公钥用于对基站证书进行认证;S4.8若服务器对基站的证书认证成功,进入S4.10,否则,转入S4.9;S4.9置标识项Result为0,进入S4.12;S4.10根据地理位置,从当前未用的基站标识符地址池中为基站分配新的标识符;S4.11服务器更新基站标识符和基站证书的绑定关系,便于以后的查找;S4.12根据Result标识项生成基站标识符回复消息Bs_Id_Reply;S4.13服务器对Bs_Id_Reply消息签名,向基站发送;S4.14基站标识符管理服务器分配、发送标识符流程结束。
全文摘要
本发明属于宽带无线城域网技术领域,是一种宽带无线城域网中基站标识符的分配与安全传送方法。本方法将基站标识符的分配过程和安全传送过程相结合。为每个省份或州的核心城域网配置一台基站标识符管理服务器,负责处理本省或州范围内的基站标识符申请。定义了一种能反映地理位置和层次结构的基站标识符格式。在初始化阶段,基站向基站标识符管理服务器发送标识符分配请求,基站标识符管理服务器在对基站证书认证成功之后,才为基站分配并返回标识符。在消息传递过程中,使用时间戳、证书和数字签名认证机制,有效防止重放攻击和敌手伪造身份非法请求基站标识符情况的发生。
文档编号H04L29/12GK1794736SQ20051012570
公开日2006年6月28日 申请日期2005年12月1日 优先权日2005年12月1日
发明者庞迪, 胡金龙, 周继华, 石晶林 申请人:中国科学院计算技术研究所