专利名称:一种无线城域网终端非归属地接入身份鉴别的方法
技术领域:
本发明涉及无线通信网络及网络安全的技术领域,特别涉及一种无线城域网中终 端非归属地接入身份鉴别的实现方法。
背景技术:
IEEE 802. 16无线城域网作为未来无线接入技术的重要发展方向,备受各界广泛 关注。然而,安全问题一直制约着其进一步的推广与发展。IEEE 802. 16d中定义了基于公 开密钥加密算法(RSA)和数字证书的认证协议,可以实现基站BS对用户站BS的认证。IEEE 802. 16d的主要缺点是只提供了基站BS对用户站SS的单向认证,而没有提供用户站SS 对基站BS的认证,假冒基站BS欺骗用户站SS非常容易。此外,授权密钥(AK)和会话密钥 (TEK)都是由基站BS —方产生的,在这种单向认证的条件下,很难使得用户站SS对会话密 钥TEK的质量产生信任。IEEE 802. 16e对IEEE 802. 16d进行了增强性的修改,引入了可扩 展认证协议(Extensible Authentication Protocol,简称ΕΑΡ)。但是,仍然只包含了基站 BS对用户站SS的单向身份认证。申请号为200810027930.0的专利《一种无线城域网的安全接入方法》(简称 WMAN-SA)提供一种无线城域网的安全接入方法,在认证授权过程中,采用了用户站SS和基 站BS的双向认证代替原有的单向认证,攻击者冒充合法基站BS骗取用户站SS的信任成为 不可能,避免了中间人攻击的可能性。在密钥的协商过程中,密钥由用户站SS和基站BS共 同产生,代替了由基站BS分配,保证了密钥的质量,增强了无线城域网的安全性。因此,改 进的协议同样可以满足原无线城域网的功能、性能要求,并且更安全。随着移动计算业务的不断发展,用户漫游的需求日益增加。当在运营环境下应用 WMAN-SA时,网络规模覆盖到全国各个地理区域,用户数量非常大,漫游的情况就会频繁发 生。在终端漫游的情况下,如何进行非归属地身份鉴别非常关键。而WMAN-SA仅定义了身 份鉴别、密钥管理、数据加密、数据鉴别和重放保护等功能,并没有包含非归属地身份鉴别 的具体方案,而且用户站SS在不同基站BS间切换需要申请颁发不同的证书,用户体验效果 会变差。
发明内容
本发明的目的是提供一种安全高效的终端非归属地身份鉴别的方法,该方法能够 解决无线城域网中终端基于WMAN-SA的非归属地身份鉴别问题。为解决上述技术问题,本发明的技术方案是
一种无线城域网终端非归属地接入身份鉴别的方法,用户站SS本地存储有用户站SS 证书和若干信任的认证服务器AS证书,基站BS本地存储有基站BS证书和接入地认证服务 器AS证书,其特征在于接入地认证服务器AS和归属地认证服务器AS之间有直接的信任 关系,基站BS请求接入地认证服务器对基站BS和用户站SS进行身份鉴别时,若接入地认证服务器AS确定不能在本地鉴别用户站SS,则根据用户站SS信任的认证服务器AS列表来 选择归属地认证服务器AS,进而对用户站SS进行身份鉴别。信任关系是指相信来自该AS 的消息,认可该AS的身份鉴别结果,可以通过交换各自证书或预置共享密钥等方法来建立 信任关系。 所述的无线城域网终端非归属地接入身份鉴别的方法,其特征在于包括以下步 骤
步骤1 基站BS向用户站SS发送接入鉴别激活消息,所述接入鉴别激活消息包括基站 BS证书和基站BS的消息签名;
步骤2 用户站SS收到接入鉴别激活消息,利用基站BS证书的公钥验证基站BS的消 息签名,若验证通过,则构造接入鉴别请求消息并发送至基站BS,所述接入鉴别请求消息包 括用户站SS证书、用户站SS信任的认证服务器AS列表和用户站SS的消息签名;
步骤3 基站BS收到接入鉴别请求消息,利用用户站SS证书的公钥验证用户站SS的 消息签名,若验证通过,则构造证书鉴别请求消息,发送给接入地认证服务器AS,所述证书 鉴别请求消息包括用户站SS证书、基站BS证书、用户站SS信任的认证服务器AS列表和基 站BS的消息签名;
步骤4 接入地认证服务器AS收到证书鉴别请求消息,利用基站BS证书的公钥验证基 站BS的消息签名,若验证通过,根据用户站SS信任的认证服务器AS列表判断是否需要进 行归属地的身份鉴别,分两种情况
I、若接入地认证服务器AS在用户站SS信任的认证服务器AS列表中,则验证基站BS 证书和用户站SS证书,构造并发送第一证书鉴别响应消息至基站BS,所述第一证书鉴别响 应消息包括基站BS证书验证结果、用户站SS证书验证结果、接入地认证服务器AS证书和 接入地认证服务器AS的消息签名,下一步骤为步骤7 ;
II、若接入地认证服务器AS不在用户站SS信任的认证服务器AS列表中,则验证基站 BS证书,根据用户站SS信任的认证服务器AS列表选择其中一个认证服务器AS,构造并发 送归属地鉴别请求消息,所述归属地鉴别请求消息包括基站BS证书验证结果、用户站SS证 书、接入地认证服务器AS证书、用户站SS信任的认证服务器AS列表和接入地认证服务器 AS的消息签名;
步骤5:接上述步骤4的II,归属地认证服务器AS收到归属地鉴别请求消息,利用接入 地认证服务器AS证书的公钥验证消息签名,若验证通过,则验证用户站SS证书,构造归属 地鉴别响应消息发送至接入地认证服务器AS,所述归属地鉴别响应消息包括基站BS证书 验证结果、用户站SS证书验证结果、接入地认证服务器AS证书、归属地认证服务器AS证书 和归属地认证服务器AS签名;
步骤6 接入地认证服务器AS收到归属地鉴别响应消息后,根据归属地认证服务器AS 证书的公钥验证消息签名,若验证通过,构造并发送第二证书鉴别响应消息至基站BS,所述 第二证书鉴别响应消息包括基站BS证书验证结果、用户站SS证书验证结果、接入地认证服 务器AS证书、归属地认证服务器AS证书、归属地认证服务器AS的消息签名和接入地认证 服务器AS的消息签名,其中归属地认证服务器AS的消息签名与步骤5中所述归属地鉴别 响应消息中的归属地认证服务器AS签名相同;
步骤7 接上述步骤4的I或步骤6,基站BS收到第一证书鉴别响应消息或第二证书鉴别响应消息,利用接入地认证服务器AS证书公钥验证接入地认证服务器AS的消息签名,利 用归属地认证服务器AS证书公钥验证归属地认证服务器AS的消息签名,若验证通过,根据 第一证书鉴别响应消息或第二证书鉴别响应消息判断用户站SS的合法性,若用户站SS合 法,则构造接入鉴别响应消息发送至用户站SS,所述接入鉴别响应消息包括基站BS证书验 证结果、用户站SS证书验证结果、接入地认证服务器AS证书、归属地认证服务器AS证书、 归属地认证服务器AS的消息签名、接入地认证服务器AS的消息签名、更新的授权密钥信 息、加密的授权密钥材料和BS的消息签名;
步骤8 用户站SS收到接入鉴别响应消息,利用基站BS证书公钥验证基站BS的消息签 名,利用接入地认证服务器AS证书公钥验证接入地认证服务器AS的消息签名,利用归属地 认证服务器AS证书公钥验证归属地认证服务器AS的消息签名,若验证通过,根据接入鉴别 响应消息验证基站BS的合法性,若基站BS合法,则构造接入鉴别确认消息发送至基站BS, 所述接入鉴别确认消息包括更新的授权密钥信息和消息鉴别码;
步骤9 基站BS收到接入鉴别确认消息,根据消息鉴别码校验数据完整性,若校验通 过,启用更新的授权密钥材料,否则解除与用户站SS的连接。所述的无线城域网终端非归属地接入身份鉴别的方法,其特征在于步骤5中所 述归属地认证服务器AS验证用户站SS证书、构造归属地鉴别响应消息前先判断该归属地 认证服务器AS是否在用户站SS信任的认证服务器AS列表中,若不在,则设置用户站SS证 书的验证结果为颁发者不明确。所述的无线城域网终端非归属地接入身份鉴别的方法,其特征在于步骤7中所 述基站BS在构造接入鉴别响应消息前生成授权密钥材料,并使用用户站SS证书的公钥加 密授权密钥材料。所述的无线城域网终端非归属地接入身份鉴别的方法,其特征在于步骤8中所 述用户站SS构造接入鉴别确认消息前利用用户站SS证书的私钥解密授权密钥材料。本发明相对于现有技术的有益效果是
本发明解决了无线城域网中终端基于WMAN-SA的非归属地身份鉴别问题,采用基站BS 和用户站SS的双向身份认证,网络安全性较高;而且用户站SS在不同的基站BS间切换时 不需要申请颁发证书,用户体验较好。
图1是本发明的网络拓扑图; 图2是本发明的鉴别流程图。
具体实施例方式下面结合附图通过具体实施方式
对本发明作进一步详细的说明。参见图1,本发明涉及的网络实体包括认证服务器AS,基站BS和用户站SS,其中 认证服务器AS分为接入地认证服务器AS和归属地认证服务器AS。各地区AS之间(AS1、 AS2···)有信任关系。参见图2,本发明的步骤和处理流程如下UBS向SS发送接入鉴别激活消息,消息内容包含BS证书和BS的消息签名。2、SS收到接入鉴别激活消息,利用BS证书的公钥验证BS的消息签名,若验证通 过,构造接入鉴别请求消息并发送至BS,消息内容包含SS证书、SS信任的AS列表和SS的 消息签名。3、BS收到接入鉴别请求消息,利用SS证书的公钥验证SS的消息签名,若验证通 过,构造证书鉴别请求消息,发送给接入地认证服务器AS,消息内容包含SS证书、BS证书、 SS信任的AS列表和BS的消息签名。4、接入地认证服务器AS收到证书鉴别请求消息,利用BS证书的公钥验证BS的消 息签名,若验证通过,根据SS信任的AS列表判断是否需要进行归属地的身份鉴别,若接入 地认证服务器AS在SS信任的AS列表中,则验证BS证书和SS证书,构造并发送第一证书 鉴别响应消息至BS,消息内容包含BS证书验证结果、SS证书验证结果、接入地认证服务器 AS证书和接入地认证服务器AS的消息签名;若接入地认证服务器AS不在SS信任的AS列 表中,则验证BS证书,根据SS信任的AS列表选择其中一个AS,构造归属地鉴别请求消息并 发送,消息内容包含BS证书验证结果、SS证书、接入地认证服务器AS证书、SS信任的AS 列表和接入地认证服务器AS的消息签名。5、归属地认证服务器AS收到归属地鉴别请求消息,利用接入地认证服务器AS证 书的公钥验证消息签名,若验证通过,判断归属地认证服务器AS是否在SS信任的AS列表 中,若不在,则设置SS证书的验证结果为颁发者不明确,否则验证SS证书,构造归属地鉴别 响应消息发送至接入地认证服务器AS,消息内容包含BS证书验证结果、SS证书验证结果、 接入地认证服务器AS证书、归属地认证服务器AS证书和归属地认证服务器AS签名。6、接入地认证服务器AS收到归属地鉴别响应消息后,根据归属地认证服务器AS 证书的公钥验证消息签名,若验证通过,构造并发送第二证书鉴别响应消息至BS,消息内容 包含BS证书验证结果、SS证书验证结果、接入地认证服务器AS证书、归属地认证服务器 AS证书、归属地认证服务器AS的消息签名和接入地认证服务器AS的消息签名,其中归属地 认证服务器AS的消息签名与归属地鉴别响应消息中的归属地认证服务器AS签名相同。7、BS收到第一证书鉴别响应消息或第二证书鉴别响应消息,利用接入地认证服务 器AS证书公钥验证接入地认证服务器AS的消息签名,利用归属地认证服务器AS证书公钥 验证归属地认证服务器AS的消息签名,若验证通过,根据第一证书鉴别响应消息或第二证 书鉴别响应消息判断SS的合法性,若SS合法,生成授权密钥材料,使用SS证书的公钥加密 授权密钥材料,然后构造接入鉴别响应消息发送至SS,消息内容包含BS证书验证结果、SS 证书验证结果、接入地认证服务器AS证书、归属地认证服务器AS证书、归属地认证服务器 AS的消息签名、接入地认证服务器AS的消息签名、更新的授权密钥信息、加密的授权密钥 材料和BS的消息签名。8、SS收到接入鉴别响应消息,利用BS证书公钥验证BS的消息签名,利用接入地 认证服务器AS证书公钥验证接入地认证服务器AS的消息签名,利用归属地认证服务器AS 证书公钥验证归属地认证服务器AS的消息签名,若验证通过,根据接入鉴别响应消息验证 BS的合法性,若BS合法,利用SS证书的私钥解密授权密钥材料,然后构造接入鉴别确认消 息发送至BS,消息内容包含更新的授权密钥信息和消息鉴别码。9、BS收到接入鉴别确认消息,根据消息鉴别码校验数据完整性,若校验通过,启用更新的授权密钥材料,否则解除与SS的连接。 本发明采用基站BS和用户站SS的双向身份认证,网络安全性较高;而且用户站 SS在不同的基站BS间切换时不需要申请颁发证书,用户体验较好;能够了解决无线城域网 中终端基于WMAN-SA的非归属地身份鉴别问题。
权利要求
一种无线城域网终端非归属地接入身份鉴别的方法,其特征在于接入地认证服务器AS和归属地认证服务器AS之间有直接的信任关系,基站BS请求接入地认证服务器对基站BS和用户站SS进行身份鉴别时,若接入地认证服务器AS确定不能在本地鉴别用户站SS,则根据用户站SS信任的认证服务器AS列表来选择归属地认证服务器AS,进而对用户站SS进行身份鉴别。
2.根据权利要求1所述的无线城域网终端非归属地接入身份鉴别的方法,其特征在 于包括以下步骤步骤1 基站BS向用户站SS发送接入鉴别激活消息,所述接入鉴别激活消息包括基站 BS证书和基站BS的消息签名;步骤2 用户站SS收到接入鉴别激活消息,利用基站BS证书的公钥验证基站BS的消 息签名,若验证通过,则构造接入鉴别请求消息并发送至基站BS,所述接入鉴别请求消息包 括用户站SS证书、用户站SS信任的认证服务器AS列表和用户站SS的消息签名;步骤3 基站BS收到接入鉴别请求消息,利用用户站SS证书的公钥验证用户站SS的 消息签名,若验证通过,则构造证书鉴别请求消息,发送给接入地认证服务器AS,所述证书 鉴别请求消息包括用户站SS证书、基站BS证书、用户站SS信任的认证服务器AS列表和基 站BS的消息签名;步骤4 接入地认证服务器AS收到证书鉴别请求消息,利用基站BS证书的公钥验证基 站BS的消息签名,若验证通过,根据用户站SS信任的认证服务器AS列表判断是否需要进 行归属地的身份鉴别,分两种情况I、若接入地认证服务器AS在用户站SS信任的认证服务器AS列表中,则验证基站BS 证书和用户站SS证书,构造并发送第一证书鉴别响应消息至基站BS,所述第一证书鉴别响 应消息包括基站BS证书验证结果、用户站SS证书验证结果、接入地认证服务器AS证书和 接入地认证服务器AS的消息签名,下一步骤为步骤7 ;II、若接入地认证服务器AS不在用户站SS信任的认证服务器AS列表中,则验证基站 BS证书,根据用户站SS信任的认证服务器AS列表选择其中一个认证服务器AS,构造并发 送归属地鉴别请求消息,所述归属地鉴别请求消息包括基站BS证书验证结果、用户站SS证 书、接入地认证服务器AS证书、用户站SS信任的认证服务器AS列表和接入地认证服务器 AS的消息签名;步骤5 接上述步骤4的II,归属地认证服务器AS收到归属地鉴别请求消息,利用接入 地认证服务器AS证书的公钥验证消息签名,若验证通过,则验证用户站SS证书,构造归属 地鉴别响应消息发送至接入地认证服务器AS,所述归属地鉴别响应消息包括基站BS证书 验证结果、用户站SS证书验证结果、接入地认证服务器AS证书、归属地认证服务器AS证书 和归属地认证服务器AS签名;步骤6 接入地认证服务器AS收到归属地鉴别响应消息后,根据归属地认证服务器AS 证书的公钥验证消息签名,若验证通过,构造并发送第二证书鉴别响应消息至基站BS,所述 第二证书鉴别响应消息包括基站BS证书验证结果、用户站SS证书验证结果、接入地认证服 务器AS证书、归属地认证服务器AS证书、归属地认证服务器AS的消息签名和接入地认证 服务器AS的消息签名,其中归属地认证服务器AS的消息签名与步骤5中所述归属地鉴别 响应消息中的归属地认证服务器AS签名相同;步骤7 接上述步骤4的I或步骤6,基站BS收到第一证书鉴别响应消息或第二证书鉴 别响应消息,利用接入地认证服务器AS证书公钥验证接入地认证服务器AS的消息签名,利 用归属地认证服务器AS证书公钥验证归属地认证服务器AS的消息签名,若验证通过,根据 第一证书鉴别响应消息或第二证书鉴别响应消息判断用户站SS的合法性,若用户站SS合 法,则构造接入鉴别响应消息发送至用户站SS,所述接入鉴别响应消息包括基站BS证书验 证结果、用户站SS证书验证结果、接入地认证服务器AS证书、归属地认证服务器AS证书、 归属地认证服务器AS的消息签名、接入地认证服务器AS的消息签名、更新的授权密钥信 息、加密的授权密钥材料和BS的消息签名;步骤8 用户站SS收到接入鉴别响应消息,利用基站BS证书公钥验证基站BS的消息签 名,利用接入地认证服务器AS证书公钥验证接入地认证服务器AS的消息签名,利用归属地 认证服务器AS证书公钥验证归属地认证服务器AS的消息签名,若验证通过,根据接入鉴别 响应消息验证基站BS的合法性,若基站BS合法,则构造接入鉴别确认消息发送至基站BS, 所述接入鉴别确认消息包括更新的授权密钥信息和消息鉴别码;步骤9 基站BS收到接入鉴别确认消息,根据消息鉴别码校验数据完整性,若校验通 过,启用更新的授权密钥材料,否则解除与用户站SS的连接。
3.根据权利要求2所述的无线城域网终端非归属地接入身份鉴别的方法,其特征在 于步骤5中所述归属地认证服务器AS验证用户站SS证书、构造归属地鉴别响应消息前先 判断该归属地认证服务器AS是否在用户站SS信任的认证服务器AS列表中,若不在,则设 置用户站SS证书的验证结果为颁发者不明确。
4.根据权利要求2所述的无线城域网终端非归属地接入身份鉴别的方法,其特征在 于步骤7中所述基站BS在构造接入鉴别响应消息前生成授权密钥材料,并使用用户站SS 证书的公钥加密授权密钥材料。
5.根据权利要求2所述的无线城域网终端非归属地接入身份鉴别的方法,其特征在 于步骤8中所述用户站SS构造接入鉴别确认消息前利用用户站SS证书的私钥解密授权 密钥材料。
全文摘要
本发明涉及一种无线城域网中终端非归属地接入身份鉴别的实现方法。本发明接入地认证服务器AS和归属地认证服务器AS之间有直接的信任关系,基站BS请求认证服务器对基站BS和用户站SS进行身份鉴别时,若接入地认证服务器AS确定不能在本地鉴别用户站SS,则根据用户站SS信任的认证服务器AS列表来选择归属地认证服务器AS,进而对用户站SS进行身份鉴别。本发明解决了无线城域网中终端基于WMAN-SA的非归属地身份鉴别问题。
文档编号H04W12/06GK101917722SQ20101026772
公开日2010年12月15日 申请日期2010年8月31日 优先权日2010年8月31日
发明者张永强, 林凡, 王胜男 申请人:广州杰赛科技股份有限公司