[发明专利]保证消息序列号不重复、防止重放攻击的方法及移动终端

说明书

本申请是申请号为CN200510080018.8，申请日为2005年6月24日、发明主题为“一种防止重放攻击的方法”的中国在先申请的分案申请。

技术领域

本发明涉及到提高无线通信系统安全性的技术，特别涉及到一种防止重放攻击的方法。

背景技术

在通信系统中，安全性是评价一个通信系统性能优劣的重要指标，特别是在无线通信系统中，由于无线通信系统具有开放性和移动性的特点，使得无线通信系统的安全性显得尤为重要。随着密码学和密码分析学的发展，可以通过对在无线通信系统的空中接口(简称空口)上传输的数据进行加密的方式提高无线通信系统的安全性。

IEEE 802.16d/e系列协议定义了无线宽带固定和移动接入空口部分的协议标准。为了保证空口数据传输的安全性，上述系列协议定义了一个安全子层(Privacy Sublayer)，用于实现对无线通信系统用户的认证、密钥的分发和管理以及后续的数据加密和认证等等。根据协议规定，在认证方式上，除了可以使用基于数字证书的RSA算法(由Rivest、Shamir、Adleman开发的公开密钥加密算法)实现对接入移动台(MS)和基站(BS)之间的双向认证之外，还可以使用可扩展认证协议(EAP)实现对接入用户的认证。在认证完成后，MS和BS还需要通过密钥管理协议(PKM)生成、分发并管理对空口数据进行加密的密钥，上述PKM过程的结果就是在MS和BS之间生成一个用于派生其他密钥资源的基本密钥——鉴权密钥(AK，Authorization Key)。根据生成的AK，MS和BS可以派生出对数据加密或对信令消息认证所使用的密钥，从而提高MS和BS之间空口数据传输的安全性。

为了进一步增强无线通信系统的安全性，防止网络攻击者恶意破解MS的AK，协议规定MS和BS协商产生的AK仅在一段时间内有效，称为AK的生命周期。因此，在某个AK生命周期终止前，该AK对应的MS和BS需要进行重认证过程，以产生新的AK。除此之外，当MS漫游到新的目标BS时，也需要进行网络重入(Network Re-entry)过程，并根据相应的安全策略，通过重认证产生新的密钥资源或从后端网络获得已有的密钥资源。

上述这种使用AK派生出来的密钥对MS和BS之间空口数据进行加密的方法虽然可以提高无线通信系统的安全性，但是无法防止重放攻击(Replay Attack)。所述的重放攻击是一种常见的网络攻击方法，攻击者首先截获在通信双方在某次交互过程中由其中一方发送的数据包，并在以后某个合适的时机向该数据包的接收端重新发送截获的数据，如果在所述数据包中没有包含足够的信息使接收端能够判断出该数据包是第一次发送的数据包还是重发的数据包，攻击者就能够冒充通信双方中的一方来欺骗另一方，以达到攻击无线通信系统的目的。虽然一般的业务对重放攻击不太敏感，但是，对于一些重要的管理消息而言，重放攻击可能会对系统造成致命的破坏。

为此，IEEE 802.16e在PKM版本2中提供了一种防止管理消息重放攻击的方法，该方法通过协议定义的基于加密的消息认证码(CMAC)的摘要(Digest)实现防重放攻击，同时实现对管理消息的认证。在该方法中，CMACDigest由一个32位的消息序列号(CMAC_PN)及一个CMAC值(CMACValue)组成，通常情况下，消息序列号CMAC_PN是在发送方(MS或BS)递增变化的序列号，用于标识不同的管理消息，在这里，所述的消息序列号CMAC_PN既可以表示上行消息序列号CMAC_PN_U，也可以表示下行消息序列号CMAC_PN_D；CMAC Value是用AK派生出来的密钥对消息序列号CMAC_PN、管理消息体以及其他信息进行加密后得到的信息摘要。在实际的应用中，发送方在发送管理消息时，会首先将CMAC摘要中的消息序列号CMAC_PN递增某一个数值，例如1，再将递增后的消息序列号CMAC_PN与通过加密算法计算得到的CMAC Value一起作为CMAC Digest发送给接收方。接收方(BS或MS)在接收到该管理消息时，首先使用接收端保存的密钥采用和发送端一样的方法计算CMAC Value，并与消息中携带的CMACValue比较，从而实现了对消息的认证，同时根据CMAC_PN判断消息是否为重放消息。