[发明专利]一种抗DoS攻击的通用移动通信系统无线接入方法

说明书

技术领域

本发明涉及通信安全技术领域，特别是涉及一种抗DoS攻击的通用移动通信系统无线接入方法。

背景技术

通用移动通信UMTS系统的无线接入分为两个阶段：RRC（Radio Resource Control，无线资源控制协议）连接建立阶段和接入MS（移动用户）身份认证阶段。在RRC连接建立阶段，当RNC（无线网络控制器）收到MS的RRC连接请求时，会根据请求原因及目前的无线资源情况决定是否接受请求，但不会判断发起该请求的移动设备是否合法。一旦非法MS利用截取的RRC连接请求信令向RNC发起连接请求，RNC也会为其分配相应的无线资源，导致RNC资源短缺从而拒绝合法MS的连接请求，产生DoS攻击。而接入MS身份认证阶段是利用鉴权与密钥协商协议（AKA），通过核心网网元与MS交互认证信息实现MS和网络之间相互认证和协商通信密钥。该协议虽然可以在核心网内部实现MS身份的认证，阻止来自UMTS外部的DoS攻击，但非法MS已经完成了对RNC入侵，此时无线信道资源已经被非法侵占，因此AKA协议无法真正完成阻止DoS攻击的目的，同时，将外部攻击引入核心网内部，对核心网内部安全的威胁也是非常大的。

尽管针对AKA协议，随后出现了X-AKA协议，AP-AKA协议和S-AKA等改进方案，但这些方法无法改变AKA协议固有的缺陷，同样无法阻止非法MS对UMTS无线信道资源的DoS攻击。

发明内容

发明目的：本发明提供一种抗DoS攻击的通用移动通信系统无线接入方法，该方法采用入网凭证、公钥密码体系和随机数等手段验证进入UMTS系统、请求无线资源服务的MS身份，从而阻止了非法MS占用UMTS无线信道资源，抵抗了来自UMTS外部的DoS攻击。

技术方案：

1、在MS首次进入小区或USIM卡中没有保存接入小区的信息时，一种抗DoS攻击的通用移动通信系统无线接入方法，包括如下步骤：

（1）MS向RNC发送初始的RRC连接请求消息，即

RRC CONNECTION REQUEST(PKC_HLR,(ANI||LAI||RAND_R))；MS利用RNC的公钥K_UR加密连接请求信息，RAND_R不定时更新；

（2）RNC接收到连接请求信息后，利用自身私钥进行解密，得到明文的ANI||LAI||RAND_R，然后判断所述请求的合法性：首先，判断该初始的RRC连接请求消息是否为重放；接着，判断入网凭证ANI的正确性；最后，检查字段中的LAI与RNC所在小区标识是否一致；

（3）RNC根据资源情况和请求原因决定是否分配无线资源，并且决定建立在专有信道还是公共信道上；

（4）MS收到RRC连接建立的响应信息，得到RNC分配的临时凭证TANI，更新自身的随机数记录(LAI,RAND_M,TANI)，并为该记录倒计时，完成后向RNC传送RRC CONNECTION SETUP COMPLETE命令表示确认；

（5）RNC收到RRC连接建立完成的命令后立即更新自身的随机数记录（ANI入网标识名,LAI，RAND_M，TANI），并开始对该随机数倒计时。

2、USIM卡中保存有接入小区信息(LAI,RAND_M,TANI)时，一种抗DoS攻击的通用移动通信系统无线接入方法，包括如下步骤：

（1）MS向RNC发送RRC连接请求信息：

RRC CONNECTION REQUEST(TANI,f₁₀(ANI入网标识名,RAND_M))；

MS使用单向函数f₁₀对ANI入网标识名和RAND_M进行处理，得到一个认证数据块f₁₀(ANI入网标识名,RAND_M)；

（2）RNC接收到连接请求信息后，判断该请求的合法性；即RNC需要判断f₁₀(ANI入网标识名，RAND_M)_RNC=f₁₀(ANI入网标识名，RAND_M)_MS是否成立；若成立则判定该用户请求为合法，否则拒绝该RRC连接请求；

（3）RNC根据资源情况和请求原因决定是否分配无线资源，并且决定建立在专有信道还是公共信道上；