在終端上實現共享密鑰保存和使用的共享密鑰管理方法
2023-09-16 23:57:10
專利名稱:在終端上實現共享密鑰保存和使用的共享密鑰管理方法
技術領域:
本發明涉及無線通信領域,更具體地,涉及一種在由PCMCIA 卡和電腦構成的特定終端類型上實現共享密鑰管理的方法。
背景技術:
近年來,無線;成域網(Wireless MAN)技術逐漸變得成熟並得到 實際應用,為了促進無線城域網技術的進一步發展,IEEE成立了 802.16工作組來專門研究寬帶無線接入技術規範,目標是要建立一 個全球統一的寬帶無線接入標準,目前主要形成了兩個標準 IEEE802.16-2004即IEEE802.16d,支持固定寬帶無線接入,目前市 場上已有成熟的產品;另外一個為IEEE802.16e,為支持移動特性 的寬帶無線接入標準,即將有相關的產品4,向市場。同時,全球知 名的運營商和通訊製造商共同成立了孩被存取全球互通技術論壇 (World Interoperability for Micro ware Access , 以下簡稱為 WiMAX ), WiMAX論壇的宗旨是促進和認證符合IEEE 802.16和 ETSI HiperMAN標準的寬帶無線接入設備的兼容性和互^喿作性,只 有通過WiMAX認證的產品才能更好地被運營商和用戶所接受。
IEEE 802.16系列標準針對無線環境系統易受竊取,假冒和攻 擊的特點,在安全性方面做了專門的考慮,特別設置了一個安全子 層,包括鑑權、授權和密鑰管理、加密等功能,對用戶安全的接入 網絡提供了充分保障。其中鑑權支持兩種不同類型的鑑權協議RSA和EAP鑑權,其中後者是為獲得WiMAX認證必須要支持的, EAP是Extensible Authentication Protocol (擴展鑑4又十辦i義)的縮寫, 包括EAP層和EAP方法層,EAP方法層定義了具體的EAP鑑外又方 法,包括EAP-MD5、 EAP-AKA、 EAP-SIM等,不同的鑑才又方法可 分別用於設備鑑權或用戶鑑卄又。
在上述鑑權方法中,有的需要在終端入網時為其分配一個根密 鑰,同時將上述根密鑰保存在鑑權/授權/計費伺服器 (Authentication、 Authorization、以及Accounting,以下簡稱為AAA 伺服器)中,這種同時在終端和AAA伺服器上配置的相同的密鑰, 稱為共享密鑰。例如,上述鑑權方法中用於用戶鑑;^又的4艮密鑰
(Subscriber Root Key,以下簡稱為SRK),或者用於設備鑑權的預 共享密鑰(Preshared Key ,以下簡稱為PSK )。
圖1給出了終端與AAA實現EAP-MD5鑑權的過程。如圖1 所示,終端在網絡初始接入過程中,必須與基站或AAA伺服器進 行鑑權,鑑權過程中執行EAP方法,通常是相互進行一些請求和應 答,根據請求和應答中攜帶的信息連同共享密鑰,最終在終端和 AAA伺服器兩端分別派生出主會話密鑰(Master Session Key,以 下簡稱為MSK)。例如,EAP-MD5就是由AAA伺服器向終端發出 MD5-Challenge,終端給出應答(MD5 Response = MD5 (Identifier, Secret, Challenge)), AAA伺服器完成對終端的鑑權(確認MD5 Response合法)後,雙方可根據共享密鑰Secret和MD5-Challenge 共同派生出MSK。
終端設備(CPE )包括不同的構成形式早期的CPE類似DSL 數據機,目前CPE可集成為上網卡的形式(諸如PCMCIA卡), 可與筆記本電腦配合使用實現上網等多種功能,未來CPE可進一步 縮小成為單獨的PDA或手才幾。
以PCMCIA卡與筆記本電腦構成的終端為例,目前主要以如下 方式實現鑑權,如圖2所示,PCMCIA卡實現802.16e PKMv2消息 的處理,即實現協議棧中的802.16和PKMv2兩層,運行在筆記本 電腦上的撥號軟體完成用戶名(NAI)和密碼(Secret)的輸入,並 實現EAP Method層和EAP層才艮文的處理,即實現協議棧中的EAP Method和EAP層。圖3顯示了 PCMCIA卡與筆記本電腦構成的終 端如何進行共享密碼保存與使用。輸入的密碼可保存在撥號軟體中
(此時,可省略如圖2所示的步艱《1以及步-驟2),或者通過撥號4欠 件與PCMCIA卡^是供的應用程式4姿口 (Application Programme Interface,以下簡稱為API)寫入到PCMCIA卡的非易失性存儲器
(ROM或者FLASH )裡面(參見步驟1 ),每次鑑權時撥號軟體再 通過API接口讀取該Secret (參見步驟2 ),並構造EAP報文,通 過API接口送往PCMCIA卡(參見步驟3 ), PCMCIA卡封裝EAP 報文到密鑰管理協議(PKM)消息中送往基站進行鑑權(參見步驟 4)。
j旦是,上述實現方式存在如下在夾點
(1 ) Secret作為一個密碼,必須要具備一定的隨4幾性,即所謂 "強密碼",不能是一個容易被猜測到的數,例如,EAP-MD5要求 Secret為16位元組的偽隨機數,要求用戶通過撥號軟體輸入一 串隨機 數非常麻煩,同時也不便於記憶;
(2)Secret在入網時同時保存在AAA中,因此不能隨意更改;
(3 ) Secret直4妄保存在PCMCIA卡中,保密性差,容易被獲
取;
(4)不便於多人共享同一PCMCIA卡上網,所謂多人共享, 是指一個合法用戶可以將該PCMCIA卡暫時借用給其他人(臨時用
戶)使用,隨後收回,收回後臨時用戶無法再使用該合法用戶的帳號上網。如果Secret保存在撥號軟體中,則當合法用戶收回PCMCIA 卡後,臨時用戶可以繼續利用保存在撥號軟體的用戶名和密碼構造 合法的EAP報文通過鑑權,產生的費用仍然要由合法用戶承擔;如 果Secret保存在PCMCIA卡中,則任何人只要拿到了該PCMCIA 卡,就可以安裝一個撥號軟體上網,通過API4妾口,無需輸入任何 密碼,就能構造合法的EAP才艮文通過鑑權,產生的費用仍然要由合法用戶承擔。
發明內容
針對無線通信系統終端的共享密鑰的保存和使用中存在的上 述問題,本發明4是供了 一種在終端上實現共享密鑰保存和^f吏用的共 享密鑰管理方法,只有在同時擁有合法的PCMCIA卡和用戶密碼的 情況下,就能完成網絡接入,從而便於多人共享同一 PCMCIA卡上 網;同時,用戶既不用4餘入冗長的共享密石馬,又可隨時》務改用戶密 碼,並且本發明的方法還增強了共享密碼存儲的安全性。
本發明提供了 一種在終端上實現共享密鑰保存和使用的共享 密鑰管理方法,用於在通信系統中的終端上實現共享密鑰保存和使 用,其包括以下步驟步驟S602,在用戶加入網絡時為其分配共享 密鑰,採用一個/>共的初始用戶密碼對共享密鑰加密,並將加密後 的共享密鑰通過PC卡的接口寫入到PC卡的非易失性存儲器中以 及;步驟S604,當用戶初次啟動終端以登陸網絡時,在撥號軟體界 面上|餘入用戶名和7>共的初始用戶密碼;步驟S606,撥號庫欠件對通 過接口讀取的加密後的共享密鑰進行解密,得到共享密鑰,並利用 共享密鑰構造擴展鑑權協議才艮文以通過鑑權;步驟S608,用戶利用 撥號軟體將公共的初始用戶密碼修改為新用戶密碼,並在下次登陸 網絡時使用新用戶密碼;以及步驟S610,撥號軟體使用新用戶密碼對共享密鑰加密,並將加密後的共享密鑰保存在PC卡的非易失性
存儲器中。
根據本發明的通信系統包括IEEE 802.16e無線通信系統,終端 包括IEEE 802.16e無線通信系統終端,以及本發明的終端由 PCMCIA卡和電腦ia成。
另外,根據本發明的PC卡包括PCMCIA卡,以及本發明的接 口為PCMCIA卡的應用程式接口。
因此,本發明的在終端上實現共享密鑰保存和使用的共享密鑰 管理方法實現了以下技術效果
(1 )使得共享密碼可以在用戶入網時, 一次性的加密保存到 PCMCIA卡中,後續不必再輸入,甚至用戶可以完全不用知道共享 密碼,可以有效的避免用戶輸入冗長的共享密碼,而用戶需要上網 時,只需要簡單的輸入一個用戶密碼即可,用戶密碼只要符合普通 的密碼強度即可(通常是6位字符以上);
(2) -使得用戶可隨時方便更的任務改用戶密碼,密碼經常更換, 增強了安全性,同時,共享密碼通過加密存儲在PCMCIA卡內,也 增強了安全性;
(3) 使得多人共享一個PCMCIA卡上網成為可能。合法用戶 通過修改其用戶密碼為臨時用戶密碼,就可以將PCMCIA卡借給其 他人使用,完畢後只需要將臨時用戶密碼修改回原有的用戶密碼或 一個新的用戶密碼,臨時用戶就無法再利用該帳號進行上網;
(4) 可以防止其他人未經許可,而臨時借用該PCMCIA卡進 行網絡登陸,因為只有同時擁有合法的PCMCIA卡和用戶密碼才能完成網結接入,因此,即使PCMCIA卡淨皮盜了 ,盜用者仍然無法直 接使用該PCMCIA卡進行網絡登陸,從而保護了合法用戶的利益。
本發明的其它祠M正和優點爿奪在隨後的"i兌明書中闡述,並且,部 分地從i兌明書中變得顯而易見,或者通過實施本發明而了解。本發 明的目的和其他優點可通過在所寫的說明書、權利要求書、以及附 圖中所特別指出的結構來實現和獲得。
附圖用來提供對本發明的進一步理解,並且構成說明書的 一部 分,與本發明的實施例一起用於解釋本發明,並不構成對本發明的 限制。在附圖中
圖1是背景技術中終端與AAA伺服器實現EAP-MD5鑑權的流程圖2是背景技術中終端實現用戶鑑權的協議棧的視圖3是背景技術中現有終端共享密碼保存與使用的示意圖4是4艮據本發明的實施例的用戶入網時共享密碼分配與保存 的示意圖5是根據本發明的實施例的終端共享密碼保存與使用的示意圖6是根據本發明的在終端上實現共享密鑰保存和使用的共享 密鑰管理方法的流禾呈圖;以及
圖7是根據本發明的在終端上實現共享密鑰保存和使用的共享 密鑰管理裝置的框圖。
具體實施例方式
以下結合附圖對本發明的優選實施例進行說明,應當理解,此 處所描述的優選實施例僅用於說明和解釋本發明,並不用於限定本發明。
圖4是根據本發明的實施例的用戶入網時共享密碼分配與保存 的示意圖。圖5是根據本發明的實施例的終端共享密碼保存與使用 的示意圖。圖6是才艮據本發明的在終端上實現共享密鑰保存和使用 的共享密鑰管理方法的流程圖。
以下將結合圖4及圖5詳細介紹如圖6所示的本發明的共享密 鑰管理方法。根據本發明的實施例,運營商的業務受理終端由業務 受理4欠件以及讀寫卡器組成,通信系統為IEEE602.16e無線通信系 統,終端是由PCMCIA卡及電腦構成的特定終端,以及接口為 PCMCIA卡的應用程式接口。如圖6所示,在終端上實現共享密鑰 保存和使用的共享密鑰管理方法包括以下步驟
步驟S602,在用戶加入網絡時為其分配共享密鑰,採用一個/> 共的初始用戶密碼對共享密鑰加密,並將加密後的共享密鑰通過PC 卡的接口寫入到PC卡的非易失性存儲器中。其具體步驟如圖4所示
步驟l,用戶在入網時,運營商的業務受理終端404為用戶分 配共享密鑰secret,採用 一個7>共的初始用戶密石馬(例如8888, 123456 )對共享密鑰secret進行加密後,通過PCMCIA卡406提供 的API接口寫入到PCMCIA卡406的非易失性存儲器中;
同時,進行如圖4所示的步驟2,將該共享密鑰保存在AAA 伺服器402中。
步驟S604,當用戶初次啟動終端以登陸網絡時,在撥號壽欠4牛界 面上$釙入用戶名和7>共的初始用戶密石馬。其具體步驟參見如圖5所
示的步驟l,用戶在初次啟動終端上網時,將PCMCIA卡506插入 筆記本電腦502或者與電腦連4婁起來,並在撥號軟體界面上輸入用 戶名和〃/^共的初始用戶密石馬。
步驟S606,撥號軟體對通過接口讀取的加密後的共享密鑰進行 解密,得到共享密鑰,並利用共享密鑰構造擴展鑑權協議報文以通 過鑑權。其具體步驟參見如圖5所示的步驟2、步驟3以及步驟4:
步驟2,撥號庫欠件通過PCMCIA卡506提供的API 4妄口 504讀
耳又採用/>共的初始用戶密石馬加密後的共享密鑰secret;
步驟3,解密後得到原始的共享密鑰secret,並利用它構造合法 的EAP才艮文,通過API 4妾口 504送往PCMCIA卡506;
步驟4, PCMCIA卡506封裝EAP才艮文到PKM消息中送往基 站508進4於鑑權。
鑑才又成功後,用戶可以登陸網絡,至此,實現了整個共享密鑰 的初步管理。鑑鬥又成功後,用戶上網時,可以通過如圖6所示的以 下步驟實現共享密鑰的進一步管理
用戶密碼,並在下次登陸網絡時使用新用戶密碼。其對應圖5中步 驟5;
步驟S610,撥號壽欠件^使用新用戶密碼;對共享密鑰加密,並一誇加 密後的共享密鑰保存在PC卡的非易失性存儲器中。
至此,成功實現了完整的共享密鑰的管理。
圖7是根據本發明的在終端上實現共享密鑰保存和使用的共享 密鑰管理裝置的框圖。如圖7所示,共享密鑰的管理裝置700包括:
加密單元702,用於在用戶加入網絡時為其分配共享密鑰,採用一 個公共的初始用戶密碼對共享密鑰加密,並將加密後的共享密鑰通 過PC卡的接口寫入到PC卡的非易失性存儲器中,其中,PC卡包 括PCMCIA卡,4妾口為PCMCIA卡的應用程式4妾口 ;輸入單元704, 用於當用戶初次啟動糹冬端以登陸網糹各時,flT入用戶名和7>共的初始 用戶密碼;以及解密構造單元706,用於對通過接口讀取的加密後 的共享密鑰進行解密,得到共享密鑰,並利用共享密鑰構造擴展鑑 權協議報文以通過鑑權。
此外,在本發明中,共享密鑰管理裝置700還包括密碼修改 單元708,用於將公共的初始用戶密碼修改為新用戶密碼,並在下 次登陸網絡時使用新用戶密碼;以及加密保存單元710,用於使用 新用戶密碼對共享密鑰加密,並將加密後的共享密鑰保存在PC卡 的非易失性存儲器中。
在本發明中,通信系統包括IEEE 802.16e無線通信系統,終端 包括IEEE 802.16e無線通信系統終端。另外,需要指出的是終端由 PCMCIA卡和電腦組成。
如上所示,本發明實現了以下才支術效果 一次性的加密共享密 碼,並4呆存到PC卡中;用戶可隨時方〗更的糹爹改用戶密碼,密碼經 常更換,增強了安全性,同時,共享密碼通過加密存儲在PC卡內, 也增強了安全性;多人可共享一個PC卡上網;同時,防止其他人 未經許可,而臨時借用該PC卡進行網絡登陸,保護了合法用戶的 利益。
以上所述4又為本發明的優選實施例而已,並不用於限制本發 明,對於本領域的技術人員來說,本發明可以有各種更改和變化。 凡在本發明的精神和原則之內,所作的任何4奮改、等同替換、改進 等,均應包含在本發明的保護範圍之內。
權利要求
1.一種在終端上實現共享密鑰保存和使用的共享密鑰管理方法,其特徵在於,包括以下步驟步驟S602,在用戶加入網絡時為其分配所述共享密鑰,採用一個公共的初始用戶密碼對所述共享密鑰加密,並將加密後的共享密鑰通過PC卡的接口寫入到所述PC卡的非易失性存儲器中;步驟S604,當所述用戶初次啟動終端以登陸所述網絡時,在拔號軟體界面上輸入用戶名和所述公共的初始用戶密碼;步驟S606,所述撥號軟體對通過所述接口讀取的加密後的所述共享密鑰進行解密,得到所述共享密鑰,並利用所述共享密鑰構造擴展鑑權協議報文以通過鑑權;步驟S608,所述用戶利用所述撥號軟體將所述公共的初始用戶密碼修改為新用戶密碼,並在下次登陸所述網絡時使用所述新用戶密碼;以及步驟S610,所述撥號軟體使用所述新用戶密碼對所述共享密鑰加密,並將加密後的共享密鑰保存在PC卡的非易失性存儲器中。
2. 根據權利要求1所述的共享密鑰管理方法,其特徵在於,所述 通信系統包括IEEE 802.16e無線通信系統,所述終端包括-IEEE 802.16e無線通信系統終端。
3. 根據權利要求2所述的共享密鑰管理方法,其特徵在於,所述 終端包括PCMCIA卡和電腦。
4. 根據權利要求1所述的共享密鑰管理方法,其特徵在於,所述PC卡包括PCMCIA卡。
5. 根據權利要求2所述的方法,其特徵在於,所述接口為所述 PCMCIA卡的應用程式接口 。
全文摘要
本發明提供了一種在終端上實現共享密鑰保存和使用的共享密鑰的管理方法,其包括步驟S602,為用戶分配共享密鑰,對共享密鑰加密,並將加密後的共享密鑰寫入非易失性存儲器中;步驟S604,當用戶初次啟動終端時,在撥號軟體界面上輸入用戶名和公共的初始用戶密碼;步驟S606,撥號軟體對共享密鑰進行解密,得到共享密鑰,並擴展鑑權協議報文以通過鑑權。步驟S608,用戶將公共的初始用戶密碼修改為新用戶密碼,並在下次登陸網絡時使用新用戶密碼;以及步驟S610,撥號軟體對共享密鑰加密,並將加密後的共享密鑰保存在非易失性存儲器中。因此,既增強了用戶上網的便捷性,又保證了共享密鑰使用的安全性,同時還實現了多人共享一個PC卡上網。
文檔編號H04L9/08GK101202620SQ20061016230
公開日2008年6月18日 申請日期2006年12月11日 優先權日2006年12月11日
發明者劉雲中, 強 周, 宏 陳 申請人:中興通訊股份有限公司