一种无线城域网系统及其鉴别认证方法

文档序号:7758189阅读:272来源:国知局
导航: X技术> 最新专利>电子通信装置的制造及其应用技术
专利名称:一种无线城域网系统及其鉴别认证方法
技术领域
本发明涉及无线通信技术领域,特别涉及一种无线城域网系统及其鉴别认证方法。
背景技术
无线城域网作为目前宽带无线接入技术的主要技术之一,备受各界广泛关注。 然而,安全问题一直制约着其进一步的推广与发展。IEEE 802. 16d标准中定义了基于公 开密钥加密算法(RSA)和数字证书的认证协议,可以实现BS(Base Station,基站)对 SS (Subscriber Station,用户站)的认证,然而,IEEE802. 16d存在的主要缺点是只提供 了 BS对SS的单向认证,而没有提供SS对BS的认证,假冒BS欺骗SS非常容易。此外,授权 密钥(AK)和会话密钥(TEK)都是由BS—方产生的,在这种单向认证的条件下,使得SS很 难对会话密钥TEK的质量产生信任。IEEE 802. 16e标准对IEEE 802. 16d进行了安全的增 强性的修改,引入了可扩展认证协议(Extensible Authentication Protocol,简称ΕΑΡ), 但是,其仍然只包含了 BS对SS的单向身份认证。申请人:在申请号为200810027930. 0、发明名称为《一种无线城域网的安全接入方 法》的专利申请中提供了一种无线城域网的安全接入方法(以下简称为WMAN-SA),其是在 认证授权过程中,采用SS和BS的双向认证代替了原有的单向认证,从而使攻击者冒充合法 BS骗取SS的信任成为不可能,避免了中间人攻击的可能性。在密钥的协商过程中,密钥由 SS和BS共同产生,代替了由BS分配,保证了密钥的质量,增强了无线城域网的安全性。因 此,改进的协议同样可以满足原无线城域网的功能、性能要求,并且更安全。然而,在上述申请号为200810027930. 0的专利申请公开的方案中,BS证书和SS 证书的颁发和鉴别均是由认证服务器完成的,认证服务器既充当证书颁发服务器(CA),又 充当身份鉴别服务器(AS);而目前的网络中证书颁发服务器(CA)是独立的设施,申请号为 200810027930. 0的专利申请公开的方案并没有考虑到WMAN-SA大规模运用时是否能兼容 现有网络,即证书颁发服务器和身份鉴别服务器需要分离的情形。WMAN-SA的大规模运营势 必要利用现有的网络设施,因此需要分离证书颁发服务器(CA)和身份鉴别服务器(AS)。

发明内容
针对上述现有技术中存在的问题,本发明的目的在于提供一种无线城域网系统以 及无线城域网的鉴别认证方法,其将证书颁发和身份鉴别分布式部署,以兼容现有的证书 颁发服务器CA等基础设施,可以满足大规模运营的需求。为达到上述目的,本发明采用以下技术方案—种无线城域网系统,包括证书颁发服务器CA、身份鉴别服务器AS,所述证书颁 发服务器CA利用CA签名证书和私钥为身份鉴别服务器AS、BS和SS颁发证书,BS安装有 BS签名证书、信任的AS签名证书、CA签名证书,SS安装有SS签名证书、SS加密证书、信任 的AS签名证书和CA签名证书,身份鉴别服务器AS安装有AS签名证书、CA签名证书,所述身份鉴别服务器AS使用CA签名证书公钥对BS和SS的证书进行鉴别。一种无线城域网的鉴别认证方法,所述无线城域网包括证书颁发服务器CA、身份 鉴别服务器AS,所述证书颁发服务器CA利用CA签名证书和私钥为身份鉴别服务器AS、BS 和SS颁发证书,所述鉴别认证方法包括BS向SS发送接入鉴别激活消息,该接入鉴别激活消息中包括BS签名证书、BS信 任的AS列表和BS的消息签名;SS接收接入鉴别激活消息,利用BS签名证书的公钥验证BS的消息签名,若验证通 过,判断是否有与BS相同的信任的AS,若有,构造接入鉴别请求消息并发送至BS,该接入鉴 别请求消息中包括SS签名证书、SS加密证书、SS信任的AS列表和SS的消息签名;BS接收接入鉴别请求消息,利用SS签名证书的公钥验证SS的消息签名,若验证通 过,构造证书鉴别请求消息,并选定BS和SS共同信任的一个AS发送,该证书鉴别请求消息 中包括SS签名证书、SS加密证书、BS签名证书、SS信任的AS列表和BS的消息签名;AS接收证书鉴别请求消息,利用BS签名证书的公钥验证BS的消息签名,若验证通 过,判断自己是否在SS信任的AS列表中,若在,验证BS签名证书、SS签名证书和SS加密 证书,并利用CA签名证书公钥验证BS证书和SS证书的签名,构造证书鉴别响应消息发送 至BS,证书鉴别响应消息中包括SS签名证书验证结果、SS加密证书验证结果、BS签名证 书验证结果和AS的消息签名;BS接收证书鉴别响应消息,利用AS签名证书公钥验证AS的消息签名,若验证通 过,根据证书鉴别响应消息判断SS的合法性,若合法,生成授权密钥材料,使用SS加密证书 的公钥加密授权密钥材料,构造接入鉴别响应消息并发送至SS,该接入鉴别响应消息中包 括SS签名证书验证结果、SS加密证书验证结果、BS签名证书验证结果、AS的消息签名、更 新的授权密钥信息、加密的授权密钥材料和BS的消息签名;SS接收接入鉴别响应消息,利用BS签名证书公钥验证BS的消息签名,若验证通 过,利用AS签名证书公钥验证AS的消息签名,若验证通过,根据接入鉴别响应消息验证BS 的合法性,若BS合法,利用SS加密证书的私钥解密授权密钥材料,构造接入鉴别确认消息 并发送至BS,该接入鉴别确认消息中包括更新的授权密钥信息和消息鉴别码;BS接收接入鉴别确认消息,根据消息鉴别码校验数据完整性,若校验通过,启用更 新的授权密钥材料。根据本发明的方案,是对证书颁发与身份鉴别进行了有效分离,由统一的证书颁 发服务器为各身份鉴别服务器AS、BS和SS颁发管理证书,由身份鉴别服务器AS统一实现 对BS、SS鉴别认证,使得无线城域网WMAN-SA系统可以兼容现有的证书颁发服务器CA等基 础设施,可以满足大规模运营的需求。


图1是本发明无线城域网的鉴别认证方法的流程示意图。
具体实施例方式以下以一个具体实施方式
为例对本发明方案进行详细阐述。本发明的根本目的,是要将证书颁发与身份鉴别相分离,从而使WMAN-SA大规模运用时可以兼容现有网络,以满足WMAN-SA发展的需要。本发明的方案,是将证书颁发与身份鉴别分离开来,由独立的证书颁发服务器CA 利用自身的证书(CA签名证书)和私钥为身份鉴别服务器AS、BS、SS颁发所有的证书。BS 需安装BS签名证书、信任的AS签名证书和CA签名证书。SS需安装SS签名证书、SS加密 证书、信任的AS签名证书和CA签名证书。身份鉴别系统AS需安装AS签名证书和CA签名 证书,利用CA签名证书公钥对BS和SS证书进行鉴别。BS可以根据安装的CA签名证书初 步验证BS签名证书的有效性,同理,SS可以根据安装的CA签名证书初步验证SS签名证书 的有效性,在进行具体的身份鉴别等过程时,由身份鉴别服务器AS来对基站BS、用户站SS 的证书进行验证。此外,出于对WMAN-SA大规模发展、以及有效分担处理任务量的考虑,证书颁发服 务器CA可以有多个,身份鉴别服务器AS也可以是具有多个,一个证书颁发服务器CA可以 对应多个身份鉴别服务器AS,相应地,一个基站BS也可以与多个身份鉴别服务器AS相对 应、安装多个身份鉴别服务器AS的AS签名证书,即一个基站BS可以信任多个身份鉴别服 务器AS,信任身份鉴别服务器AS的身份鉴别结果,实现这种信任的方式,可以通过安装签 名证书来实现,即BS安装了某个身份鉴别服务器AS的签名证书,就说明该BS信任该AS,同 理,一个用户站SS也可以信任多个身份鉴别服务器AS。据此,本发明提供的无线城域网系统,包括有证书颁发服务器CA、身份鉴别服务器 AS、BS和SS,证书颁发服务器CA利用CA签名证书和私钥为身份鉴别服务器AS、BS和SS颁 发证书,BS安装有BS签名证书、信任的AS签名证书、CA签名证书,SS安装有SS签名证书、 SS加密证书、信任的AS签名证书和CA签名证书,身份鉴别服务器AS安装有AS签名证书、 CA签名证书,身份鉴别服务器AS使用CA签名证书公钥对BS和SS的证书进行鉴别。其中, BS安装有至少一个信任的AS签名证书,SS安装有至少一个信任的AS签名证书。在此基础上,本发明还提供一种无线城域网的鉴别认证方法,在身份鉴别服务器 AS、基站BS、用户站SS均安装了所需的证书之后,可以进入后续的鉴别认证过程。如图1所示,是本发明的无线城域网的鉴别认证方法的流程示意图,其具体包括 步骤BS向SS发送接入鉴别激活消息,该接入鉴别激活消息包括BS签名证书、BS信任 的AS列表和BS的消息签名;SS接收到接入鉴别激活消息,利用BS签名证书的公钥验证BS的消息签名,若验 证通过,判断BS信任的AS列表中是否有与其共同信任的AS,若无,则丢弃该接入鉴别激活 消息,若有,则构造接入鉴别请求消息并发送至BS,该接入鉴别请求消息中包括SS签名证 书、SS加密证书、SS信任的AS列表和SS的消息签名;BS接收到接入鉴别请求消息,利用SS签名证书的公钥验证SS的消息签名,若验证 通过,构造证书鉴别请求消息,并向选定的BS与SS共同信任的一个身份鉴别服务器AS发 送,该证书鉴别请求消息中包括SS签名证书、SS加密证书、BS签名证书、SS信任的AS列 表和BS的消息签名;身份鉴别服务器AS接收到证书鉴别请求消息,利用BS签名证书的公钥验证BS的 消息签名,若验证通过,判断自己是否在SS信任的AS列表中,若在列表中,则验证BS签名 证书、SS签名证书和SS加密证书(可以是按照RFC3280的流程进行验证),并利用CA签名证书公钥验证BS证书和SS证书的签名,验证通过后,构造证书鉴别响应消息并发送至BS, 该证书鉴别响应消息中包括SS签名证书验证结果、SS加密证书验证结果、BS签名证书验 证结果和AS的消息签名;BS接收到证书鉴别响应消息,利用AS签名证书公钥验证AS的消息签名,若验证通 过,根据证书鉴别响应消息判断SS的合法性,若SS合法,生成授权密钥材料,使用SS加密 征书的公钥加密授权密钥材料,然后构造接入鉴别响应消息发送至SS,该接入鉴别响应消 息中包括SS签名证书验证结果、SS加密证书验证结果、BS签名证书验证结果、AS的消息 签名、更新的授权密钥信息、加密的授权密钥材料和BS的消息签名;SS接收到接入鉴别响应消息,利用BS签名证书公钥验证BS的消息签名,若验证通 过,利用AS签名证书公钥验证AS的消息签名,若验证通过,根据接入鉴别响应消息验证BS 的合法性,若BS合法,利用SS加密证书的私钥解密授权密钥材料,然后构造接入鉴别确认 消息发送至BS,该接入鉴别确认消息中包括更新的授权密钥信息和消息鉴别码;BS接收到接入鉴别确认消息,根据消息鉴别码校验数据完整性,若校验通过,启用 更新的授权密钥材料,否则解除与SS的连接。以上所述的本发明实施方式,仅仅是对本发明的一个具体实施例的详细说明,并 不构成对本发明保护范围的限定。任何在本发明的精神和原则之内所作的修改、等同替换 和改进等,均应包含在本发明的权利要求保护范围之内。
权利要求
一种无线城域网系统,其特征在于,包括证书颁发服务器CA、身份鉴别服务器AS,所述证书颁发服务器CA利用CA签名证书和私钥为身份鉴别服务器AS、BS和SS颁发证书,BS安装有BS签名证书、信任的AS签名证书、CA签名证书,SS安装有SS签名证书、SS加密证书、信任的AS签名证书和CA签名证书,身份鉴别服务器AS安装有AS签名证书、CA签名证书,所述身份鉴别服务器AS使用CA签名证书公钥对BS和SS的证书进行鉴别。
2.根据权利要求1所述的无线城域网系统,所述BS安装有至少一个AS签名证书,使该 些AS成为该BS信任的AS,所述SS安装有至少一个AS签名证书,使该些AS成为该SS信任 的AS。
3.根据权利要求1或2所述的无线城域网系统,其特征在于,所述身份鉴别服务器AS 对基站BS和用户站SS进行鉴别认证,所述鉴别认证过程包括BS向SS发送接入鉴别激活消息,该接入鉴别激活消息中包括BS签名证书、BS信任的 AS列表和BS的消息签名;SS接收接入鉴别激活消息,利用BS签名证书的公钥验证BS的消息签名,若验证通过, 判断是否有与BS相同的信任的AS,若有,构造接入鉴别请求消息并发送至BS,该接入鉴别 请求消息中包括=SS签名证书、SS加密证书、SS信任的AS列表和SS的消息签名;BS接收接入鉴别请求消息,利用SS签名证书的公钥验证SS的消息签名,若验证通过, 构造证书鉴别请求消息,并选定BS和SS共同信任的一个AS发送,该证书鉴别请求消息中 包括有SS签名证书、SS加密证书、BS签名证书、SS信任的AS列表和BS的消息签名;AS接收证书鉴别请求消息,利用BS签名证书的公钥验证BS的消息签名,若验证通过, 判断自己是否在SS信任的AS列表中,若在,验证BS签名证书、SS签名证书和SS加密证书, 并利用CA签名证书公钥验证BS证书和SS证书的签名,构造证书鉴别响应消息发送至BS, 证书鉴别响应消息中包含SS签名证书验证结果、SS加密证书验证结果、BS签名证书验证 结果和AS的消息签名;BS接收证书鉴别响应消息,利用AS签名证书公钥验证AS的消息签名,若验证通过,根 据证书鉴别响应消息判断SS的合法性,若SS合法,生成授权密钥材料,使用SS加密证书的 公钥加密授权密钥材料,构造接入鉴别响应消息并发送至SS,该接入鉴别响应消息中包括 SS签名证书验证结果、SS加密证书验证结果、BS签名证书验证结果、AS的消息签名、更新 的授权密钥信息、加密的授权密钥材料和BS的消息签名;SS接收接入鉴别响应消息,利用BS签名证书公钥验证BS的消息签名,若验证通过,利 用AS签名证书公钥验证AS的消息签名,若验证通过,根据接入鉴别响应消息验证BS的合 法性,若BS合法,利用SS加密证书的私钥解密授权密钥材料,构造接入鉴别确认消息并发 送至BS,该接入鉴别确认消息中包括有更新的授权密钥信息和消息鉴别码;BS接收接入鉴别确认消息,根据消息鉴别码校验数据完整性,若校验通过,启用更新的 授权密钥材料。
4.根据权利要求3所述的无线城域网系统,其特征在于,身份鉴别服务器AS按照 RFC3280的流程验证BS签名证书、SS签名证书和SS加密证书。
5.一种无线城域网的鉴别认证方法,其特征在于,所述无线城域网包括证书颁发服务 器CA、身份鉴别服务器AS,所述证书颁发服务器CA利用CA签名证书和私钥为身份鉴别服 务器AS、BS和SS颁发证书,所述鉴别认证方法包括BS向SS发送接入鉴别激活消息,该接入鉴别激活消息中包括BS签名证书、BS信任的 AS列表和BS的消息签名;SS接收接入鉴别激活消息,利用BS签名证书的公钥验证BS的消息签名,若验证通过, 判断是否有与BS相同的信任的AS,若有,构造接入鉴别请求消息并发送至BS,该接入鉴别 请求消息中包括=SS签名证书、SS加密证书、SS信任的AS列表和SS的消息签名;BS接收接入鉴别请求消息,利用SS签名证书的公钥验证SS的消息签名,若验证通过, 构造证书鉴别请求消息,并选定BS和SS共同信任的一个AS发送,该证书鉴别请求消息中 包括SS签名证书、SS加密证书、BS签名证书、SS信任的AS列表和BS的消息签名;AS接收证书鉴别请求消息,利用BS签名证书的公钥验证BS的消息签名,若验证通过, 判断自己是否在SS信任的AS列表中,若在,验证BS签名证书、SS签名证书和SS加密证书, 并利用CA签名证书公钥验证BS证书和SS证书的签名,构造证书鉴别响应消息发送至BS, 证书鉴别响应消息中包括SS签名证书验证结果、SS加密证书验证结果、BS签名证书验证 结果和AS的消息签名;BS接收证书鉴别响应消息,利用AS签名证书公钥验证AS的消息签名,若验证通过, 根据证书鉴别响应消息判断SS的合法性,若合法,生成授权密钥材料,使用SS加密证书的 公钥加密授权密钥材料,构造接入鉴别响应消息并发送至SS,该接入鉴别响应消息中包括 SS签名证书验证结果、SS加密证书验证结果、BS签名证书验证结果、AS的消息签名、更新 的授权密钥信息、加密的授权密钥材料和BS的消息签名;SS接收接入鉴别响应消息,利用BS签名证书公钥验证BS的消息签名,若验证通过,利 用AS签名证书公钥验证AS的消息签名,若验证通过,根据接入鉴别响应消息验证BS的合 法性,若BS合法,利用SS加密证书的私钥解密授权密钥材料,构造接入鉴别确认消息并发 送至BS,该接入鉴别确认消息中包括更新的授权密钥信息和消息鉴别码;BS接收接入鉴别确认消息,根据消息鉴别码校验数据完整性,若校验通过,启用更新的 授权密钥材料。
6.根据权利要求5所述的无线城域网的鉴别认证方法,其特征在于,所述BS安装有至 少一个AS签名证书,使该些AS成为该BS信任的AS,所述SS安装有至少一个AS签名证书, 使该些AS成为该SS信任的AS。
7.根据权利要求5或6所述的无线城域网的鉴别认证方法,其特征在于,还包括SS在 判断出与BS不具有相同的信任的AS时,丢弃该接入鉴别激活消息。
8.根据权利要求5或6所述的无线城域网的鉴别认证方法,其特征在于,身份鉴别服务 器AS按照RFC3280的流程验证BS签名证书、SS签名证书和SS加密证书。
全文摘要
无线城域网系统及无线城域网的鉴别认证方法,该无线城域网系统包括证书颁发服务器CA、身份鉴别服务器AS,证书颁发服务器CA利用CA签名证书和私钥为身份鉴别服务器AS、BS和SS颁发证书,BS安装有BS签名证书、信任的AS签名证书、CA签名证书,SS安装有SS签名证书、SS加密证书、信任的AS签名证书和CA签名证书,身份鉴别服务器AS安装有AS签名证书、CA签名证书,身份鉴别服务器AS使用CA签名证书公钥对BS和SS的证书进行鉴别。本发明的方案对证书颁发与身份鉴别进行了有效分离,使该无线城域网系统可以兼容现有的证书颁发服务器CA等基础设施。
文档编号H04W12/04GK101931952SQ20101026418
公开日2010年12月29日 申请日期2010年8月25日 优先权日2010年8月25日
发明者张永强, 林凡, 王胜男 申请人:广州杰赛科技股份有限公司
完整全部详细技术资料下载
  • 该技术已申请专利。仅供学习研究,如用于商业用途,请联系技术所有人。
  • 技术研发人员:王胜男;林凡;张永强
  • 技术所有人:广州杰赛科技股份有限公司
  • 我是此专利的发明人
相关技术
网友询问留言 已有0条留言
  • 还没有人留言评论。精彩留言会获得点赞!
1
精彩留言,会给你点赞!
无线城域网的应用相关技术
wifi无线收费认证系统相关技术
无线认证系统相关技术

使用协议| 关于我们| 联系X技术

© 2008-2024 【X技术】 版权所有,并保留所有权利。津ICP备16005673号-2