国产精品1024永久观看,大尺度欧美暖暖视频在线观看,亚洲宅男精品一区在线观看,欧美日韩一区二区三区视频,2021中文字幕在线观看

  • <option id="fbvk0"></option>
    1. <rt id="fbvk0"><tr id="fbvk0"></tr></rt>
      <center id="fbvk0"><optgroup id="fbvk0"></optgroup></center>
      <center id="fbvk0"></center>

      <li id="fbvk0"><abbr id="fbvk0"><dl id="fbvk0"></dl></abbr></li>

      一種抗DoS攻擊的通用移動(dòng)通信系統(tǒng)無(wú)線(xiàn)接入方法

      文檔序號(hào):7552739閱讀:149來(lái)源:國(guó)知局
      專(zhuān)利名稱(chēng):一種抗DoS攻擊的通用移動(dòng)通信系統(tǒng)無(wú)線(xiàn)接入方法
      技術(shù)領(lǐng)域
      本發(fā)明涉及通信安全技術(shù)領(lǐng)域,特別是涉及一種抗DoS攻擊的通用移動(dòng)通信系統(tǒng)無(wú)線(xiàn)接入方法。
      背景技術(shù)
      通用移動(dòng)通信UMTS系統(tǒng)的無(wú)線(xiàn)接入分為兩個(gè)階段:RRC (Radio ResourceControl,無(wú)線(xiàn)資源控制協(xié)議)連接建立階段和接入MS (移動(dòng)用戶(hù))身份認(rèn)證階段。在RRC連接建立階段,當(dāng)RNC (無(wú)線(xiàn)網(wǎng)絡(luò)控制器)收到MS的RRC連接請(qǐng)求時(shí),會(huì)根據(jù)請(qǐng)求原因及目前的無(wú)線(xiàn)資源情況決定是否接受請(qǐng)求,但不會(huì)判斷發(fā)起該請(qǐng)求的移動(dòng)設(shè)備是否合法。一旦非法MS利用截取的RRC連接請(qǐng)求信令向RNC發(fā)起連接請(qǐng)求,RNC也會(huì)為其分配相應(yīng)的無(wú)線(xiàn)資源,導(dǎo)致RNC資源短缺從而拒絕合法MS的連接請(qǐng)求,產(chǎn)生DoS攻擊。而接入MS身份認(rèn)證階段是利用鑒權(quán)與密鑰協(xié)商協(xié)議(AKA),通過(guò)核心網(wǎng)網(wǎng)元與MS交互認(rèn)證信息實(shí)現(xiàn)MS和網(wǎng)絡(luò)之間相互認(rèn)證和協(xié)商通信密鑰。該協(xié)議雖然可以在核心網(wǎng)內(nèi)部實(shí)現(xiàn)MS身份的認(rèn)證,阻止來(lái)自UMTS外部的DoS攻擊,但非法MS已經(jīng)完成了對(duì)RNC入侵,此時(shí)無(wú)線(xiàn)信道資源已經(jīng)被非法侵占,因此AKA協(xié)議無(wú)法真正完成阻止DoS攻擊的目的,同時(shí),將外部攻擊引入核心網(wǎng)內(nèi)部,對(duì)核心網(wǎng)內(nèi)部安全的威脅也是非常大的。盡管針對(duì)AKA協(xié)議,隨后出現(xiàn)了 X-AKA協(xié)議,AP-AKA協(xié)議和S-AKA等改進(jìn)方案,但這些方法無(wú)法改變AKA協(xié)議固有的缺陷,同樣無(wú)法阻止非法MS對(duì)UMTS無(wú)線(xiàn)信道資源的DoS攻擊。

      發(fā)明內(nèi)容
      發(fā)明目的:本發(fā)明提供一種抗DoS攻擊的通用移動(dòng)通信系統(tǒng)無(wú)線(xiàn)接入方法,該方法采用入網(wǎng)憑證、公鑰密碼體系和隨機(jī)數(shù)等手段驗(yàn)證進(jìn)入U(xiǎn)MTS系統(tǒng)、請(qǐng)求無(wú)線(xiàn)資源服務(wù)的MS身份,從而阻止了非法MS占用UMTS無(wú)線(xiàn)信道資源,抵抗了來(lái)自UMTS外部的DoS攻擊。技術(shù)方案:1、在MS首次進(jìn)入小區(qū)或USM卡中沒(méi)有保存接入小區(qū)的信息時(shí),一種抗DoS攻擊的通用移動(dòng)通信系統(tǒng)無(wú)線(xiàn)接入方法,包括如下步驟:(I) MS向RNC發(fā)送初始的RRC連接請(qǐng)求消息,即RRC CONNECTION REQUEST (PKChle, (ANI | | LAI | | RANDe) ) ;MS 利用 RNC 的公鑰 Kuk加密連接請(qǐng)求信息,RANDe不定時(shí)更新;(2)RNC接收到連接請(qǐng)求信息后,利用自身私鑰進(jìn)行解密,得到明文的ANI LAI I RANDk,然后判斷所述請(qǐng)求的合法性:首先,判斷該初始的RRC連接請(qǐng)求消息是否為重放;接著,判斷入網(wǎng)憑證ANI的正確性;最后,檢查字段中的LAI與RNC所在小區(qū)標(biāo)識(shí)是
      否一致;(3)RNC根據(jù)資源情況和請(qǐng)求原因決定是否分配無(wú)線(xiàn)資源,并且決定建立在專(zhuān)有信道還是公共信道上;
      (4) MS收到RRC連接建立的響應(yīng)信息,得到RNC分配的臨時(shí)憑證TANI,更新自身的隨機(jī)數(shù)記錄(LAI, RANDm, TANI),并為該記錄倒計(jì)時(shí),完成后向RNC傳送RRC CONNECTIONSETUP COMPLETE命令表示確認(rèn);(5)RNC收到RRC連接建立完成的命令后立即更新自身的隨機(jī)數(shù)記錄(ANI入網(wǎng)標(biāo)識(shí)名,LAI,RANDm, TANI),并開(kāi)始對(duì)該隨機(jī)數(shù)倒計(jì)時(shí)。2、US頂卡中保存有接入小區(qū)信息(LAI,RANDm, TANI)時(shí),一種抗DoS攻擊的通用移動(dòng)通信系統(tǒng)無(wú)線(xiàn)接入方法,包括如下步驟:(I) MS向RNC發(fā)送RRC連接請(qǐng)求信息:RRC CONNECTION REQUEST (TANI, f 10 (ANI 入網(wǎng)標(biāo)識(shí)名,RANDm));MS使用單向函數(shù)f1Q對(duì)ANI入網(wǎng)標(biāo)識(shí)名和RANDm進(jìn)行處理,得到一個(gè)認(rèn)證數(shù)據(jù)塊f10(ANI入網(wǎng)標(biāo)識(shí)名,RANDm);(2)RNC接收到連接請(qǐng)求信息后,判斷該請(qǐng)求的合法性;即RNC需要判斷f1(l(ANI入網(wǎng)標(biāo)識(shí)名,RANDm)KNC=f1(l(ANI入網(wǎng)標(biāo)識(shí)名,RANDm)MS是否成立;若成立則判定該用戶(hù)請(qǐng)求為合法,否則拒絕該RRC連接請(qǐng)求;(3)RNC根據(jù)資源情況和請(qǐng)求原因決定是否分配無(wú)線(xiàn)資源,并且決定建立在專(zhuān)有信道還是公共信道上;(4)MS收到RRC連接建立的響應(yīng)信息,更新自身的隨機(jī)數(shù)記錄(LAI,RANDm, TANI),并為該記錄倒計(jì)時(shí),然后向RNC傳送RRC CONNECTION SETUP COMPLETE命令表示確認(rèn);(5) RNC收到RRC連接建立完成的命令后立即更新自身的隨機(jī)數(shù)記錄,(ANI入網(wǎng)標(biāo)識(shí)名,LAI,RANDm, TANI),并開(kāi)始對(duì)該隨機(jī)數(shù)倒計(jì)時(shí)。本發(fā)明采用上述技術(shù)方案,具有以下有益效果:在本發(fā)明中,RRC連接請(qǐng)求階段,RNC需要判斷MS身份合法性,RNC只為擁有合法入網(wǎng)憑證的MS分配無(wú)線(xiàn)資源,建立RRC連接。非法用戶(hù)無(wú)法與RNC建立RRC連接,自然無(wú)法通過(guò)傳送NAS信息發(fā)起對(duì)核心網(wǎng)的DoS攻擊,從而將DoS攻擊的防線(xiàn)從UMTS核心網(wǎng)中遷移出來(lái),最大限度的阻止來(lái)自外部的DoS攻擊。該方法有效克服了現(xiàn)有方案將阻止外部DoS攻擊的機(jī)制放在核心網(wǎng)內(nèi)部執(zhí)行的缺陷,同時(shí)對(duì)現(xiàn)有的無(wú)線(xiàn)資源控制協(xié)議改動(dòng)非常少,僅增加少量通信字段,因此對(duì)UMTS現(xiàn)有的安全機(jī)制是一個(gè)有益的補(bǔ)充。


      圖1為本發(fā)明中實(shí)施例的入網(wǎng)憑證ANI的格式示意圖;圖2為本發(fā)明實(shí)施例的MS首次進(jìn)入小區(qū)的RRC連接建立流程圖;圖3為本發(fā)明實(shí)施例的USM卡中保存有接入小區(qū)信息的RRC連接建立流程圖。
      具體實(shí)施例方式下面結(jié)合具體實(shí)施例,進(jìn)一步闡明本發(fā)明,應(yīng)理解這些實(shí)施例僅用于說(shuō)明本發(fā)明而不用于限制本發(fā)明的范圍,在閱讀了本發(fā)明之后,本領(lǐng)域技術(shù)人員對(duì)本發(fā)明的各種等價(jià)形式的修改均落于本申請(qǐng)所附權(quán)利要求所限定的范圍。本發(fā)明的具體實(shí)施例如下:1、系統(tǒng)的初始化
      圖1為本發(fā)明中實(shí)施例的入網(wǎng)憑證ANI的格式示意圖,每個(gè)MS都擁有一個(gè)不同的入網(wǎng)憑證ANI,該憑證存儲(chǔ)在用戶(hù)的USM卡及所屬的HLR中,為了保證用戶(hù)私密信息的安全性,證書(shū)的根密鑰、加密算法和入網(wǎng)憑證是通過(guò)文件訪(fǎng)問(wèn)控制方式保護(hù),禁止非法用戶(hù)訪(fǎng)問(wèn)。每個(gè)ANI由三個(gè)不同屬性的字段組成,分別是入網(wǎng)標(biāo)識(shí)名、歸屬HLR標(biāo)識(shí)以及HLR的數(shù)字簽名。其中HLR的數(shù)字簽名是指HLR利用自身私鑰對(duì)前兩個(gè)字段進(jìn)行的簽名,HLR的公鑰證書(shū)也會(huì)存儲(chǔ)在USM卡中。用戶(hù)向網(wǎng)絡(luò)提出RRC請(qǐng)求時(shí),會(huì)攜帶入網(wǎng)憑證及HLR公鑰證書(shū),RNC利用HLR的公鑰證書(shū)判斷入網(wǎng)憑證的合法性。2、RRC連接建立過(guò)程RRC連接建立過(guò)程主要分為以下兩種情況:(I)MS首次進(jìn)入小區(qū),或USM卡中沒(méi)有保存該小區(qū)的信息時(shí),其流程如圖2所示:①M(fèi)S向RNC發(fā)送初始的RRC連接請(qǐng)求消息:RRC CONNECTION REQUEST (PKChle, [“ (ANI LAI | RANDe))其中RNC的公鑰Kuk和LAI由RNC廣播獲得。用戶(hù)通過(guò)提交ANI證明自身身份,而RNC可利用HLR產(chǎn)生入網(wǎng)憑證時(shí)的公鑰PKChleR證書(shū)驗(yàn)證入網(wǎng)憑證ANI的正確性。為了防止初始RRC連接請(qǐng)求消息的重放,該消息中會(huì)攜帶一個(gè)不定時(shí)更新RNC廣播的隨機(jī)數(shù)RANDk,使每次由MS發(fā)送的初始RRC連接請(qǐng)求消息都是不同的。ANII I LAII I RANDe需經(jīng)RNC的公鑰Kuk加密后傳輸,保證初始RRC連接請(qǐng)求消息中的入網(wǎng)憑證、隨機(jī)數(shù)等參數(shù)不會(huì)被攻擊者竊取。②RNC收到RRC請(qǐng)求后,利用自身私鑰進(jìn)行解密,得到明文的ANI | | LAI | | RANDro首先需判斷該初始的RRC連接請(qǐng)求消息是否為重放。為此,RNC查詢(xún)所維護(hù)的隨機(jī)數(shù)記錄(RANDtjld, RANDnow), RANDold為MS前一次接入網(wǎng)絡(luò)時(shí)與RNC協(xié)商的隨機(jī)數(shù),RANDnow為RNC為下一次MS接入網(wǎng)絡(luò)分配的新隨機(jī)數(shù)。若RANDk=RANDmw成立,則表示該RRC連接請(qǐng)求消息為非重放的。但由于MS和RNC之間存在傳輸延遲,當(dāng)攜帶當(dāng)前隨機(jī)數(shù)RANDk的RRC連接請(qǐng)求消息到達(dá)RNC之前,RNC已經(jīng)更新廣播的隨機(jī)數(shù),這種情況下RANDk Φ RANDnw,會(huì)使RNC認(rèn)為該條請(qǐng)求消息為重放的,從而拒絕用戶(hù)的RRC連接請(qǐng)求,因此對(duì)于消息中RANDk等于RANDtast且當(dāng)前時(shí)刻與RANDk更新時(shí)刻間隔很短的情況下,也應(yīng)將RRC連接請(qǐng)求消息判斷為非重放的。接著判斷入網(wǎng)憑證ANI的正確性。由于ANI中HLR的數(shù)字簽名字段是指用戶(hù)歸屬的HLR使用自身私鑰對(duì)前兩個(gè)字段的簽名,故RNC可利用初始RRC連接請(qǐng)求消息中攜帶的公鑰證書(shū)PKCliui驗(yàn)證ANI的數(shù)字簽名,從而確定入網(wǎng)憑證是否正確。最后檢查字段中的用戶(hù)所在的位置域標(biāo)識(shí)LAI與RNC所在小區(qū)標(biāo)識(shí)是否一致,若一致則表明該RRC連接請(qǐng)求是合法的,且未經(jīng)修改與重定向,否則拒絕該非法請(qǐng)求。③RNC根據(jù)資源情況和請(qǐng)求原因決定是否分配無(wú)線(xiàn)資源,并且決定建立在專(zhuān)有信道還是公共信道上。RNC若接受MS的請(qǐng)求,則為該MS分配一個(gè)臨時(shí)的入網(wǎng)憑證TANI,用于下次直接發(fā)送RRC連接請(qǐng)求。將異或方式加密的TANI和分配的無(wú)線(xiàn)資源信息通過(guò)RRCCONNECTION SETUP命令傳送給MS,同時(shí)攜帶下一次連接請(qǐng)求時(shí)使用的隨機(jī)數(shù)RANDM。④MS收到RRC連接建立的響應(yīng)信息后,利用異或的方式得到RNC分配的臨時(shí)憑證TANI,更新自身的隨機(jī)數(shù)記錄(LAI,RANDm, TANI),并為該記錄倒計(jì)時(shí),完成后向RNC傳送RRCCONNECTION SETUP COMPLETE 命令表示確認(rèn)。
      ⑤RNC收到RRC連接建立完成的命令后立即更新自身的記錄(ANI入網(wǎng)標(biāo)識(shí)名,LAI,RANDm, TANI),并開(kāi)始對(duì)該隨機(jī)數(shù)倒計(jì)時(shí)。(2)若MS保存有小區(qū)信息(LAI, RANDm, TANI)時(shí),其流程如圖3所示:①M(fèi)S向RNC發(fā)送RRC連接請(qǐng)求信息:RRC CONNECTION REQUEST (TANI,f10 (ANI 入網(wǎng)標(biāo)識(shí)名,RANDm)),其中 f1(l 是對(duì) ANI入網(wǎng)標(biāo)識(shí)名和隨機(jī)數(shù)進(jìn)行處理的特定單向函數(shù)。②RNC接收到連接請(qǐng)求信息后,判斷該請(qǐng)求的合法性:首先根據(jù)TANI查詢(xún)是否存在記錄(ANI入網(wǎng)標(biāo)識(shí)名,LAI,RANDm, TANI)。若存在則使用f1(l函數(shù)對(duì)ANI入網(wǎng)標(biāo)識(shí)名與RANDm進(jìn)行計(jì)算,判斷f1(l(ANI入網(wǎng)標(biāo)識(shí)名,RANDm)fflc=f10 (ANI入網(wǎng)標(biāo)識(shí)名,RANDm)MS是否成立。若成立則判定該MS請(qǐng)求合法,否則拒絕該MS的RRC連接請(qǐng)求。③RNC根據(jù)資源情況和請(qǐng)求原因決定是否分配無(wú)線(xiàn)資源,并且決定建立在專(zhuān)有信道還是公共信道上。然后將分配的無(wú)線(xiàn)資源信息通過(guò)RRCC0NNECT10N SETUP命令傳送給MS,同時(shí)攜帶下一次接入時(shí)使用的隨機(jī)數(shù)RANDm。④MS收到RRC連接建立的響應(yīng)信息,更新自身的隨機(jī)數(shù)記錄(LAI,RANDm, TANI),并為該記錄倒計(jì)時(shí),然后向RNC傳送RRC CONNECT IONSETUP COMPLETE命令表示確認(rèn)。⑤RNC收到RRC連接建立完成的命令后立即更新自身的記錄(ANI入網(wǎng)標(biāo)識(shí)名,LAI,RANDm, TANI),并開(kāi)始對(duì)該隨機(jī)數(shù)倒計(jì)時(shí)。
      權(quán)利要求
      1.一種抗DoS攻擊的通用移動(dòng)通信系統(tǒng)無(wú)線(xiàn)接入方法,其特征在于,包括如下步驟: (1)MS向RNC發(fā)送初始的RRC連接請(qǐng)求,即RRC CONNECTION REQUEST (PKChlk Eh (ANI LAI RANDe)); (2)RNC接收到連接請(qǐng)求信息后,利用自身私鑰進(jìn)行解密,得到明文的ANII I LAII I RANDe,然后判斷所述請(qǐng)求的合法性; (3)RNC根據(jù)資源情況和請(qǐng)求原因決定是否分配無(wú)線(xiàn)資源,并且決定建立在專(zhuān)有信道還是公共信道上; (4)MS收到RRC連接建立的響應(yīng)信息,得到RNC分配的臨時(shí)憑證TANI,更新自身的隨機(jī)數(shù)記錄(LAI, RANDm, TANI),并為該記錄倒計(jì)時(shí),完成后向RNC傳送RRC CONNECTION SETUPCOMPLETE命令表示確認(rèn); (5)RNC收到RRC連接建立完成的命令后立即更新自身的隨機(jī)數(shù)記錄(ANI入網(wǎng)標(biāo)識(shí)名,LAI,RANDm, TANI),并開(kāi)始對(duì)該隨機(jī)數(shù)倒計(jì)時(shí)。
      2.如權(quán)利要求1所述的一種抗DoS攻擊的通用移動(dòng)通信系統(tǒng)無(wú)線(xiàn)接入方法,其特征在于:步驟(I)中MS利用RNC的公鑰Kuk加密連接請(qǐng)求信息,RANDe不定時(shí)更新。
      3.如權(quán)利要求1所述的一種抗DoS攻擊的通用移動(dòng)通信系統(tǒng)無(wú)線(xiàn)接入方法,其特征在于:步驟(2)中判斷初始的RRC連接請(qǐng)求消息的合法性的步驟是: 首先,判斷該初始的RRC連接請(qǐng)求消息是否為重放; 接著,判斷入網(wǎng)憑證ANI的正確性; 最后,檢查字段中的LAI與RNC所`在小區(qū)標(biāo)識(shí)是否一致。
      4.一種抗DoS攻擊的通用移動(dòng)通信系統(tǒng)無(wú)線(xiàn)接入方法,其特征在于,包括如下步驟: (1)MS向RNC發(fā)送RRC連接請(qǐng)求信息:RRC CONNECTION REQUEST (TANI, f1(l (ANI 入網(wǎng)標(biāo)識(shí)名,RANDm)); (2)RNC接收到連接請(qǐng)求信息后,判斷該請(qǐng)求的合法性;即RNC需要判斷f1(l(ANI入網(wǎng)標(biāo)識(shí)名,RANDm)fflC=f10(ANI入網(wǎng)標(biāo)識(shí)名,RANDm)MS是否成立;若成立則判定該用戶(hù)請(qǐng)求為合法,否則拒絕該RRC連接請(qǐng)求; (3)RNC根據(jù)資源情況和請(qǐng)求原因決定是否分配無(wú)線(xiàn)資源,并且決定建立在專(zhuān)有信道還是公共信道上; (4)MS收到RRC連接建立的響應(yīng)信息,更新自身的隨機(jī)數(shù)記錄(LAI,RANDm,TANI),并為該記錄倒計(jì)時(shí),然后向RNC傳送RRC CONNECT IONSETUP COMPLETE命令表示確認(rèn); (5)RNC收到RRC連接建立完成的命令后立即更新自身的隨機(jī)數(shù)記錄,(ANI入網(wǎng)標(biāo)識(shí)名,LAI,RANDm, TANI),并開(kāi)始對(duì)該隨機(jī)數(shù)倒計(jì)時(shí)。
      5.如權(quán)利要求4所述的一種抗DoS攻擊的通用移動(dòng)通信系統(tǒng)無(wú)線(xiàn)接入方法,其特征在于:步驟(I)中,MS使用單向函數(shù)f 1Q對(duì)ANI入網(wǎng)標(biāo)識(shí)名和RANDm進(jìn)行處理,得到一個(gè)認(rèn)證數(shù)據(jù)塊fltl(ANI入網(wǎng)標(biāo)識(shí)名,RANDm)。
      全文摘要
      本發(fā)明公開(kāi)了一種抗DoS攻擊的通用移動(dòng)通信系統(tǒng)無(wú)線(xiàn)接入方法。該方法采用入網(wǎng)憑證、公鑰密碼體系和隨機(jī)數(shù)等手段驗(yàn)證進(jìn)入U(xiǎn)MTS系統(tǒng),請(qǐng)求無(wú)線(xiàn)資源服務(wù)的MS身份,從而阻止了非法MS占用UMTS無(wú)線(xiàn)信道資源,抵抗了來(lái)自UMTS外部的DoS攻擊。該方法有效克服了現(xiàn)有方案將阻止外部DoS攻擊的機(jī)制放在核心網(wǎng)內(nèi)部執(zhí)行的缺陷,同時(shí)對(duì)現(xiàn)有的無(wú)線(xiàn)資源控制協(xié)議改動(dòng)非常少,僅增加少量通信字段,因此對(duì)UMTS現(xiàn)有的安全機(jī)制是一個(gè)有益的補(bǔ)充。
      文檔編號(hào)H04W12/06GK103152730SQ201310061348
      公開(kāi)日2013年6月12日 申請(qǐng)日期2013年2月27日 優(yōu)先權(quán)日2013年2月27日
      發(fā)明者黃杰, 張莎 申請(qǐng)人:東南大學(xué)
      網(wǎng)友詢(xún)問(wèn)留言 已有0條留言
      • 還沒(méi)有人留言評(píng)論。精彩留言會(huì)獲得點(diǎn)贊!
      1