專利名稱:一種無線城域網系統(tǒng)及其鑒別認證方法
技術領域:
本發(fā)明涉及無線通信技術領域,特別涉及一種無線城域網系統(tǒng)及其鑒別認證方法。
背景技術:
無線城域網作為目前寬帶無線接入技術的主要技術之一,備受各界廣泛關注。 然而,安全問題一直制約著其進一步的推廣與發(fā)展。IEEE 802. 16d標準中定義了基于公 開密鑰加密算法(RSA)和數(shù)字證書的認證協(xié)議,可以實現(xiàn)BS(Base Station,基站)對 SS (Subscriber Station,用戶站)的認證,然而,IEEE802. 16d存在的主要缺點是只提供 了 BS對SS的單向認證,而沒有提供SS對BS的認證,假冒BS欺騙SS非常容易。此外,授權 密鑰(AK)和會話密鑰(TEK)都是由BS—方產生的,在這種單向認證的條件下,使得SS很 難對會話密鑰TEK的質量產生信任。IEEE 802. 16e標準對IEEE 802. 16d進行了安全的增 強性的修改,引入了可擴展認證協(xié)議(Extensible Authentication Protocol,簡稱ΕΑΡ), 但是,其仍然只包含了 BS對SS的單向身份認證。申請人:在申請?zhí)枮?00810027930. 0、發(fā)明名稱為《一種無線城域網的安全接入方 法》的專利申請中提供了一種無線城域網的安全接入方法(以下簡稱為WMAN-SA),其是在 認證授權過程中,采用SS和BS的雙向認證代替了原有的單向認證,從而使攻擊者冒充合法 BS騙取SS的信任成為不可能,避免了中間人攻擊的可能性。在密鑰的協(xié)商過程中,密鑰由 SS和BS共同產生,代替了由BS分配,保證了密鑰的質量,增強了無線城域網的安全性。因 此,改進的協(xié)議同樣可以滿足原無線城域網的功能、性能要求,并且更安全。然而,在上述申請?zhí)枮?00810027930. 0的專利申請公開的方案中,BS證書和SS 證書的頒發(fā)和鑒別均是由認證服務器完成的,認證服務器既充當證書頒發(fā)服務器(CA),又 充當身份鑒別服務器(AS);而目前的網絡中證書頒發(fā)服務器(CA)是獨立的設施,申請?zhí)枮?200810027930. 0的專利申請公開的方案并沒有考慮到WMAN-SA大規(guī)模運用時是否能兼容 現(xiàn)有網絡,即證書頒發(fā)服務器和身份鑒別服務器需要分離的情形。WMAN-SA的大規(guī)模運營勢 必要利用現(xiàn)有的網絡設施,因此需要分離證書頒發(fā)服務器(CA)和身份鑒別服務器(AS)。
發(fā)明內容
針對上述現(xiàn)有技術中存在的問題,本發(fā)明的目的在于提供一種無線城域網系統(tǒng)以 及無線城域網的鑒別認證方法,其將證書頒發(fā)和身份鑒別分布式部署,以兼容現(xiàn)有的證書 頒發(fā)服務器CA等基礎設施,可以滿足大規(guī)模運營的需求。為達到上述目的,本發(fā)明采用以下技術方案—種無線城域網系統(tǒng),包括證書頒發(fā)服務器CA、身份鑒別服務器AS,所述證書頒 發(fā)服務器CA利用CA簽名證書和私鑰為身份鑒別服務器AS、BS和SS頒發(fā)證書,BS安裝有 BS簽名證書、信任的AS簽名證書、CA簽名證書,SS安裝有SS簽名證書、SS加密證書、信任 的AS簽名證書和CA簽名證書,身份鑒別服務器AS安裝有AS簽名證書、CA簽名證書,所述身份鑒別服務器AS使用CA簽名證書公鑰對BS和SS的證書進行鑒別。一種無線城域網的鑒別認證方法,所述無線城域網包括證書頒發(fā)服務器CA、身份 鑒別服務器AS,所述證書頒發(fā)服務器CA利用CA簽名證書和私鑰為身份鑒別服務器AS、BS 和SS頒發(fā)證書,所述鑒別認證方法包括BS向SS發(fā)送接入鑒別激活消息,該接入鑒別激活消息中包括BS簽名證書、BS信 任的AS列表和BS的消息簽名;SS接收接入鑒別激活消息,利用BS簽名證書的公鑰驗證BS的消息簽名,若驗證通 過,判斷是否有與BS相同的信任的AS,若有,構造接入鑒別請求消息并發(fā)送至BS,該接入鑒 別請求消息中包括SS簽名證書、SS加密證書、SS信任的AS列表和SS的消息簽名;BS接收接入鑒別請求消息,利用SS簽名證書的公鑰驗證SS的消息簽名,若驗證通 過,構造證書鑒別請求消息,并選定BS和SS共同信任的一個AS發(fā)送,該證書鑒別請求消息 中包括SS簽名證書、SS加密證書、BS簽名證書、SS信任的AS列表和BS的消息簽名;AS接收證書鑒別請求消息,利用BS簽名證書的公鑰驗證BS的消息簽名,若驗證通 過,判斷自己是否在SS信任的AS列表中,若在,驗證BS簽名證書、SS簽名證書和SS加密 證書,并利用CA簽名證書公鑰驗證BS證書和SS證書的簽名,構造證書鑒別響應消息發(fā)送 至BS,證書鑒別響應消息中包括SS簽名證書驗證結果、SS加密證書驗證結果、BS簽名證 書驗證結果和AS的消息簽名;BS接收證書鑒別響應消息,利用AS簽名證書公鑰驗證AS的消息簽名,若驗證通 過,根據證書鑒別響應消息判斷SS的合法性,若合法,生成授權密鑰材料,使用SS加密證書 的公鑰加密授權密鑰材料,構造接入鑒別響應消息并發(fā)送至SS,該接入鑒別響應消息中包 括SS簽名證書驗證結果、SS加密證書驗證結果、BS簽名證書驗證結果、AS的消息簽名、更 新的授權密鑰信息、加密的授權密鑰材料和BS的消息簽名;SS接收接入鑒別響應消息,利用BS簽名證書公鑰驗證BS的消息簽名,若驗證通 過,利用AS簽名證書公鑰驗證AS的消息簽名,若驗證通過,根據接入鑒別響應消息驗證BS 的合法性,若BS合法,利用SS加密證書的私鑰解密授權密鑰材料,構造接入鑒別確認消息 并發(fā)送至BS,該接入鑒別確認消息中包括更新的授權密鑰信息和消息鑒別碼;BS接收接入鑒別確認消息,根據消息鑒別碼校驗數(shù)據完整性,若校驗通過,啟用更 新的授權密鑰材料。根據本發(fā)明的方案,是對證書頒發(fā)與身份鑒別進行了有效分離,由統(tǒng)一的證書頒 發(fā)服務器為各身份鑒別服務器AS、BS和SS頒發(fā)管理證書,由身份鑒別服務器AS統(tǒng)一實現(xiàn) 對BS、SS鑒別認證,使得無線城域網WMAN-SA系統(tǒng)可以兼容現(xiàn)有的證書頒發(fā)服務器CA等基 礎設施,可以滿足大規(guī)模運營的需求。
圖1是本發(fā)明無線城域網的鑒別認證方法的流程示意圖。
具體實施例方式以下以一個具體實施方式
為例對本發(fā)明方案進行詳細闡述。本發(fā)明的根本目的,是要將證書頒發(fā)與身份鑒別相分離,從而使WMAN-SA大規(guī)模運用時可以兼容現(xiàn)有網絡,以滿足WMAN-SA發(fā)展的需要。本發(fā)明的方案,是將證書頒發(fā)與身份鑒別分離開來,由獨立的證書頒發(fā)服務器CA 利用自身的證書(CA簽名證書)和私鑰為身份鑒別服務器AS、BS、SS頒發(fā)所有的證書。BS 需安裝BS簽名證書、信任的AS簽名證書和CA簽名證書。SS需安裝SS簽名證書、SS加密 證書、信任的AS簽名證書和CA簽名證書。身份鑒別系統(tǒng)AS需安裝AS簽名證書和CA簽名 證書,利用CA簽名證書公鑰對BS和SS證書進行鑒別。BS可以根據安裝的CA簽名證書初 步驗證BS簽名證書的有效性,同理,SS可以根據安裝的CA簽名證書初步驗證SS簽名證書 的有效性,在進行具體的身份鑒別等過程時,由身份鑒別服務器AS來對基站BS、用戶站SS 的證書進行驗證。此外,出于對WMAN-SA大規(guī)模發(fā)展、以及有效分擔處理任務量的考慮,證書頒發(fā)服 務器CA可以有多個,身份鑒別服務器AS也可以是具有多個,一個證書頒發(fā)服務器CA可以 對應多個身份鑒別服務器AS,相應地,一個基站BS也可以與多個身份鑒別服務器AS相對 應、安裝多個身份鑒別服務器AS的AS簽名證書,即一個基站BS可以信任多個身份鑒別服 務器AS,信任身份鑒別服務器AS的身份鑒別結果,實現(xiàn)這種信任的方式,可以通過安裝簽 名證書來實現(xiàn),即BS安裝了某個身份鑒別服務器AS的簽名證書,就說明該BS信任該AS,同 理,一個用戶站SS也可以信任多個身份鑒別服務器AS。據此,本發(fā)明提供的無線城域網系統(tǒng),包括有證書頒發(fā)服務器CA、身份鑒別服務器 AS、BS和SS,證書頒發(fā)服務器CA利用CA簽名證書和私鑰為身份鑒別服務器AS、BS和SS頒 發(fā)證書,BS安裝有BS簽名證書、信任的AS簽名證書、CA簽名證書,SS安裝有SS簽名證書、 SS加密證書、信任的AS簽名證書和CA簽名證書,身份鑒別服務器AS安裝有AS簽名證書、 CA簽名證書,身份鑒別服務器AS使用CA簽名證書公鑰對BS和SS的證書進行鑒別。其中, BS安裝有至少一個信任的AS簽名證書,SS安裝有至少一個信任的AS簽名證書。在此基礎上,本發(fā)明還提供一種無線城域網的鑒別認證方法,在身份鑒別服務器 AS、基站BS、用戶站SS均安裝了所需的證書之后,可以進入后續(xù)的鑒別認證過程。如圖1所示,是本發(fā)明的無線城域網的鑒別認證方法的流程示意圖,其具體包括 步驟BS向SS發(fā)送接入鑒別激活消息,該接入鑒別激活消息包括BS簽名證書、BS信任 的AS列表和BS的消息簽名;SS接收到接入鑒別激活消息,利用BS簽名證書的公鑰驗證BS的消息簽名,若驗 證通過,判斷BS信任的AS列表中是否有與其共同信任的AS,若無,則丟棄該接入鑒別激活 消息,若有,則構造接入鑒別請求消息并發(fā)送至BS,該接入鑒別請求消息中包括SS簽名證 書、SS加密證書、SS信任的AS列表和SS的消息簽名;BS接收到接入鑒別請求消息,利用SS簽名證書的公鑰驗證SS的消息簽名,若驗證 通過,構造證書鑒別請求消息,并向選定的BS與SS共同信任的一個身份鑒別服務器AS發(fā) 送,該證書鑒別請求消息中包括SS簽名證書、SS加密證書、BS簽名證書、SS信任的AS列 表和BS的消息簽名;身份鑒別服務器AS接收到證書鑒別請求消息,利用BS簽名證書的公鑰驗證BS的 消息簽名,若驗證通過,判斷自己是否在SS信任的AS列表中,若在列表中,則驗證BS簽名 證書、SS簽名證書和SS加密證書(可以是按照RFC3280的流程進行驗證),并利用CA簽名證書公鑰驗證BS證書和SS證書的簽名,驗證通過后,構造證書鑒別響應消息并發(fā)送至BS, 該證書鑒別響應消息中包括SS簽名證書驗證結果、SS加密證書驗證結果、BS簽名證書驗 證結果和AS的消息簽名;BS接收到證書鑒別響應消息,利用AS簽名證書公鑰驗證AS的消息簽名,若驗證通 過,根據證書鑒別響應消息判斷SS的合法性,若SS合法,生成授權密鑰材料,使用SS加密 征書的公鑰加密授權密鑰材料,然后構造接入鑒別響應消息發(fā)送至SS,該接入鑒別響應消 息中包括SS簽名證書驗證結果、SS加密證書驗證結果、BS簽名證書驗證結果、AS的消息 簽名、更新的授權密鑰信息、加密的授權密鑰材料和BS的消息簽名;SS接收到接入鑒別響應消息,利用BS簽名證書公鑰驗證BS的消息簽名,若驗證通 過,利用AS簽名證書公鑰驗證AS的消息簽名,若驗證通過,根據接入鑒別響應消息驗證BS 的合法性,若BS合法,利用SS加密證書的私鑰解密授權密鑰材料,然后構造接入鑒別確認 消息發(fā)送至BS,該接入鑒別確認消息中包括更新的授權密鑰信息和消息鑒別碼;BS接收到接入鑒別確認消息,根據消息鑒別碼校驗數(shù)據完整性,若校驗通過,啟用 更新的授權密鑰材料,否則解除與SS的連接。以上所述的本發(fā)明實施方式,僅僅是對本發(fā)明的一個具體實施例的詳細說明,并 不構成對本發(fā)明保護范圍的限定。任何在本發(fā)明的精神和原則之內所作的修改、等同替換 和改進等,均應包含在本發(fā)明的權利要求保護范圍之內。
權利要求
一種無線城域網系統(tǒng),其特征在于,包括證書頒發(fā)服務器CA、身份鑒別服務器AS,所述證書頒發(fā)服務器CA利用CA簽名證書和私鑰為身份鑒別服務器AS、BS和SS頒發(fā)證書,BS安裝有BS簽名證書、信任的AS簽名證書、CA簽名證書,SS安裝有SS簽名證書、SS加密證書、信任的AS簽名證書和CA簽名證書,身份鑒別服務器AS安裝有AS簽名證書、CA簽名證書,所述身份鑒別服務器AS使用CA簽名證書公鑰對BS和SS的證書進行鑒別。
2.根據權利要求1所述的無線城域網系統(tǒng),所述BS安裝有至少一個AS簽名證書,使該 些AS成為該BS信任的AS,所述SS安裝有至少一個AS簽名證書,使該些AS成為該SS信任 的AS。
3.根據權利要求1或2所述的無線城域網系統(tǒng),其特征在于,所述身份鑒別服務器AS 對基站BS和用戶站SS進行鑒別認證,所述鑒別認證過程包括BS向SS發(fā)送接入鑒別激活消息,該接入鑒別激活消息中包括BS簽名證書、BS信任的 AS列表和BS的消息簽名;SS接收接入鑒別激活消息,利用BS簽名證書的公鑰驗證BS的消息簽名,若驗證通過, 判斷是否有與BS相同的信任的AS,若有,構造接入鑒別請求消息并發(fā)送至BS,該接入鑒別 請求消息中包括=SS簽名證書、SS加密證書、SS信任的AS列表和SS的消息簽名;BS接收接入鑒別請求消息,利用SS簽名證書的公鑰驗證SS的消息簽名,若驗證通過, 構造證書鑒別請求消息,并選定BS和SS共同信任的一個AS發(fā)送,該證書鑒別請求消息中 包括有SS簽名證書、SS加密證書、BS簽名證書、SS信任的AS列表和BS的消息簽名;AS接收證書鑒別請求消息,利用BS簽名證書的公鑰驗證BS的消息簽名,若驗證通過, 判斷自己是否在SS信任的AS列表中,若在,驗證BS簽名證書、SS簽名證書和SS加密證書, 并利用CA簽名證書公鑰驗證BS證書和SS證書的簽名,構造證書鑒別響應消息發(fā)送至BS, 證書鑒別響應消息中包含SS簽名證書驗證結果、SS加密證書驗證結果、BS簽名證書驗證 結果和AS的消息簽名;BS接收證書鑒別響應消息,利用AS簽名證書公鑰驗證AS的消息簽名,若驗證通過,根 據證書鑒別響應消息判斷SS的合法性,若SS合法,生成授權密鑰材料,使用SS加密證書的 公鑰加密授權密鑰材料,構造接入鑒別響應消息并發(fā)送至SS,該接入鑒別響應消息中包括 SS簽名證書驗證結果、SS加密證書驗證結果、BS簽名證書驗證結果、AS的消息簽名、更新 的授權密鑰信息、加密的授權密鑰材料和BS的消息簽名;SS接收接入鑒別響應消息,利用BS簽名證書公鑰驗證BS的消息簽名,若驗證通過,利 用AS簽名證書公鑰驗證AS的消息簽名,若驗證通過,根據接入鑒別響應消息驗證BS的合 法性,若BS合法,利用SS加密證書的私鑰解密授權密鑰材料,構造接入鑒別確認消息并發(fā) 送至BS,該接入鑒別確認消息中包括有更新的授權密鑰信息和消息鑒別碼;BS接收接入鑒別確認消息,根據消息鑒別碼校驗數(shù)據完整性,若校驗通過,啟用更新的 授權密鑰材料。
4.根據權利要求3所述的無線城域網系統(tǒng),其特征在于,身份鑒別服務器AS按照 RFC3280的流程驗證BS簽名證書、SS簽名證書和SS加密證書。
5.一種無線城域網的鑒別認證方法,其特征在于,所述無線城域網包括證書頒發(fā)服務 器CA、身份鑒別服務器AS,所述證書頒發(fā)服務器CA利用CA簽名證書和私鑰為身份鑒別服 務器AS、BS和SS頒發(fā)證書,所述鑒別認證方法包括BS向SS發(fā)送接入鑒別激活消息,該接入鑒別激活消息中包括BS簽名證書、BS信任的 AS列表和BS的消息簽名;SS接收接入鑒別激活消息,利用BS簽名證書的公鑰驗證BS的消息簽名,若驗證通過, 判斷是否有與BS相同的信任的AS,若有,構造接入鑒別請求消息并發(fā)送至BS,該接入鑒別 請求消息中包括=SS簽名證書、SS加密證書、SS信任的AS列表和SS的消息簽名;BS接收接入鑒別請求消息,利用SS簽名證書的公鑰驗證SS的消息簽名,若驗證通過, 構造證書鑒別請求消息,并選定BS和SS共同信任的一個AS發(fā)送,該證書鑒別請求消息中 包括SS簽名證書、SS加密證書、BS簽名證書、SS信任的AS列表和BS的消息簽名;AS接收證書鑒別請求消息,利用BS簽名證書的公鑰驗證BS的消息簽名,若驗證通過, 判斷自己是否在SS信任的AS列表中,若在,驗證BS簽名證書、SS簽名證書和SS加密證書, 并利用CA簽名證書公鑰驗證BS證書和SS證書的簽名,構造證書鑒別響應消息發(fā)送至BS, 證書鑒別響應消息中包括SS簽名證書驗證結果、SS加密證書驗證結果、BS簽名證書驗證 結果和AS的消息簽名;BS接收證書鑒別響應消息,利用AS簽名證書公鑰驗證AS的消息簽名,若驗證通過, 根據證書鑒別響應消息判斷SS的合法性,若合法,生成授權密鑰材料,使用SS加密證書的 公鑰加密授權密鑰材料,構造接入鑒別響應消息并發(fā)送至SS,該接入鑒別響應消息中包括 SS簽名證書驗證結果、SS加密證書驗證結果、BS簽名證書驗證結果、AS的消息簽名、更新 的授權密鑰信息、加密的授權密鑰材料和BS的消息簽名;SS接收接入鑒別響應消息,利用BS簽名證書公鑰驗證BS的消息簽名,若驗證通過,利 用AS簽名證書公鑰驗證AS的消息簽名,若驗證通過,根據接入鑒別響應消息驗證BS的合 法性,若BS合法,利用SS加密證書的私鑰解密授權密鑰材料,構造接入鑒別確認消息并發(fā) 送至BS,該接入鑒別確認消息中包括更新的授權密鑰信息和消息鑒別碼;BS接收接入鑒別確認消息,根據消息鑒別碼校驗數(shù)據完整性,若校驗通過,啟用更新的 授權密鑰材料。
6.根據權利要求5所述的無線城域網的鑒別認證方法,其特征在于,所述BS安裝有至 少一個AS簽名證書,使該些AS成為該BS信任的AS,所述SS安裝有至少一個AS簽名證書, 使該些AS成為該SS信任的AS。
7.根據權利要求5或6所述的無線城域網的鑒別認證方法,其特征在于,還包括SS在 判斷出與BS不具有相同的信任的AS時,丟棄該接入鑒別激活消息。
8.根據權利要求5或6所述的無線城域網的鑒別認證方法,其特征在于,身份鑒別服務 器AS按照RFC3280的流程驗證BS簽名證書、SS簽名證書和SS加密證書。
全文摘要
無線城域網系統(tǒng)及無線城域網的鑒別認證方法,該無線城域網系統(tǒng)包括證書頒發(fā)服務器CA、身份鑒別服務器AS,證書頒發(fā)服務器CA利用CA簽名證書和私鑰為身份鑒別服務器AS、BS和SS頒發(fā)證書,BS安裝有BS簽名證書、信任的AS簽名證書、CA簽名證書,SS安裝有SS簽名證書、SS加密證書、信任的AS簽名證書和CA簽名證書,身份鑒別服務器AS安裝有AS簽名證書、CA簽名證書,身份鑒別服務器AS使用CA簽名證書公鑰對BS和SS的證書進行鑒別。本發(fā)明的方案對證書頒發(fā)與身份鑒別進行了有效分離,使該無線城域網系統(tǒng)可以兼容現(xiàn)有的證書頒發(fā)服務器CA等基礎設施。
文檔編號H04W12/04GK101931952SQ20101026418
公開日2010年12月29日 申請日期2010年8月25日 優(yōu)先權日2010年8月25日
發(fā)明者張永強, 林凡, 王勝男 申請人:廣州杰賽科技股份有限公司