專利名稱:一種對漂移用戶進行無線網(wǎng)絡通用認證的方法
一種對漂移用戶進行無線網(wǎng)絡通用認證的方法技術領域
本發(fā)明屬于無線通信技術領域,特別是涉及到無線網(wǎng)絡中的漂移認證過程。
技術背景
無線網(wǎng)絡和移動設備正逐步地改善著我們的日常生活。為了讓移動用戶不受地域 限制而跨區(qū)域進行無縫的連接,應當建立漂移服務。典型的漂移服務包括三個部分漂移 用戶,用戶要訪問的外地服務器和家鄉(xiāng)服務器(用戶所注冊的服務器)。當用戶進入外地服 務器的服務區(qū)域的時候,漂移服務可以使用戶通過該外部網(wǎng)絡訪問他所注冊的服務。在用 戶和外地服務器,外地服務器和家鄉(xiāng)服務器之間分別建立直接通信,但是在用戶和家鄉(xiāng)服 務器之間并沒有直接的通信。為了防止濫用服務,用戶認證是一個強制要求。另外,由于漂 移方法在其認證過程中有可能泄露用戶的身份及地理等隱私信息,在漂移服務中的用戶隱 私也變成了一個十分嚴重的問題。這些客觀情況使得基于隱私保護的用戶認證成為一種必 要。發(fā)明內(nèi)容
本發(fā)明的目的在于提供一種對漂移用戶進行無線網(wǎng)絡通用認證方法。
為實現(xiàn)上述目的,本發(fā)明所采取的技術方案是外地服務器對漂移用戶進行無線 網(wǎng)絡通用認證方法包括家鄉(xiāng)服務器和外地服務器事先獲得數(shù)字證書且家鄉(xiāng)服務器為家鄉(xiāng)服務器的合法用戶 生成密鑰,并且家鄉(xiāng)服務器將所有外地服務器的數(shù)字證書廣播給家鄉(xiāng)服務器的所有合法用 戶;外地服務器周期性地從家鄉(xiāng)服務器下載撤銷用戶名單。
當漂移用戶向外地服務器提出登錄請求信息時,利用家鄉(xiāng)服務器為家鄉(xiāng)服務器的 合法用戶所生成的密鑰對登錄請求信息進行組簽名,外地服務器根據(jù)從家鄉(xiāng)服務器下載的 所述撤銷用戶名單和所述數(shù)字證書對該漂移用戶的所述組簽名后的登錄請求信息進行組 簽名認證,以判斷該漂移用戶是否是家鄉(xiāng)服務器的合法用戶若不是合法用戶,則外地服務 器拒絕該漂移用戶的登錄請求信息;若是合法用戶,則外地服務器和漂移用戶各自生成會 話密鑰并利用所生成的會話密鑰相互建立通信。
進一步地,漂移用戶生成登錄請求信息并對該登錄請求信息進行組簽名,接著漂 移用戶將組簽名后的登錄請求信息發(fā)送給外地服務器,所述登錄請求信息包括隨機數(shù)和臨 時身份信息。
外地服務器收到所述組簽名后的登錄請求信息后,根據(jù)從家鄉(xiāng)服務器下載的所述 撤銷用戶名單對該組簽名后的登錄請求信息進行組簽名認證,以判斷該漂移用戶是否是家 鄉(xiāng)服務器的合法用戶若不是合法用戶,外地服務器拒絕該登錄請求;若是合法用戶,則外 地服務器生成隨機數(shù)并利用該隨機數(shù)和所述登錄請求信息中的隨機數(shù)生成與漂移用戶的 第一會話密鑰,同時外地服務器生成響應信息(包括隨機數(shù)),接著外地服務器對所述響應 進行組簽名,并將組簽名后的響應信息發(fā)送給漂移用戶,漂移用戶根據(jù)所述數(shù)字證書對該2/4頁組簽名后的響應信息進行組簽名認證如果組簽名認證成功,則漂移用戶使用所述登錄請 求信息中的隨機數(shù)和所述響應信息中的隨機數(shù)生成與外地服務器的第二會話密鑰,所述第 二會話密鑰與第一會話密鑰相同;漂移用戶和外地服務器利用各自生成的會話密鑰相互建 立通信。
進一步地,本發(fā)明在家鄉(xiāng)服務器為家鄉(xiāng)服務器的合法用戶生成密鑰后,若有新用 戶加入,則該新用戶向家鄉(xiāng)服務器發(fā)送注冊申請,家鄉(xiāng)服務器檢查該新用戶的信息是否合 法,若不合法,則家鄉(xiāng)服務器拒絕該新用戶的注冊請求;若合法,則家鄉(xiāng)服務器為該新用戶 生成密鑰,并將該密鑰發(fā)送給該新用戶。
與現(xiàn)有技術相比,本發(fā)明的優(yōu)點是(1)本發(fā)明所提出的認證過程之前,外地服務器周期性的從家鄉(xiāng)服務器下載撤銷用戶 名單,故認證過程可以在外地服務器本地完成,并不需要家鄉(xiāng)服務器保持在線狀態(tài);(2)本發(fā)明在漂移用戶的家鄉(xiāng)服務器和外地服務器中所使用的認證方法和通信的信號 流是相同的,這二者不會隨漂移用戶所在區(qū)域的不同而改變,因此本方法是一種通用的認 證方法;(3)本發(fā)明通過對向后不可連接性的本地認證撤銷的組簽名技術的利用保證了漂移用 戶與外地服務器之間的通信過程的安全;(4)本發(fā)明通過對向后不可連接性的本地認證撤銷的組簽名技術的利用保證了漂移用 戶行為的匿名性和不可追蹤性;(5)本發(fā)明通過如下改進克服了向后不可連接性的本地認證撤銷的組簽名技術在無線 網(wǎng)絡用戶認證應用中家鄉(xiāng)服務器不支持新用戶加入的弊端該新用戶向家鄉(xiāng)服務器發(fā)送注 冊申請,家鄉(xiāng)服務器檢查該新用戶的信息是否合法,若不合法,則家鄉(xiāng)服務器拒絕該新用戶 的注冊請求;若合法,則家鄉(xiāng)服務器為該新用戶生成密鑰,并將該密鑰發(fā)送給該新用戶。
圖1是現(xiàn)有技術的無線網(wǎng)絡認證方法的流程示意圖; 圖2是本發(fā)明的無線網(wǎng)絡通用認證方法的流程示意圖。
具體實施方式
有關的技術術語如下 H -家鄉(xiāng)服務器V -外地服務器Ui -家鄉(xiāng)服務器為H的用戶ECDSA -橢圓曲線乘法的公鑰操作(Elliptic Curve Scalar Multiplication) VLR-GS-BU -向后不可連接的本地認證撤銷的組簽名方法(Verifier-Local Revocation Group Signature with Backward Unlinkability) mpk -數(shù)字證書包含的主公鑰(Master Public Key) usk[i]-用戶 i 的密鑰(User Secret Key) RL -撤銷名單(Revocation List) P - 一個大素數(shù)G -包含ρ個元素的循環(huán)群hj - G的一個元素g -密鑰生成器(generator)alias -用戶登錄請求時使用的臨時身份Il -兩個位串的串聯(lián)操作{χ)χ -使用對稱密鑰κ對內(nèi)容χ進行加密{χγ被標為Jf的信息Ζ* -小于P的數(shù)字集合(排除1以及P的公約數(shù))Ejt -隨機屬于運算 σ -組簽名信息α, β ,δ -組簽名過程中用到的隨機數(shù) Ru -用戶登錄請求信息包含的隨機數(shù) Rv -外地服務器V產(chǎn)生的響應信息中包含的隨機數(shù) SK -會話密鑰urt[i][j]-在時間段j對用戶i的撤銷符號(User Revocation token) 本發(fā)明所涉及的家鄉(xiāng)服務器和外地服務器事先在證書認證機構(gòu)獲得數(shù)字證書,(其中 家鄉(xiāng)服務器的數(shù)字證書中包含主公鑰mpk),之后家鄉(xiāng)服務器H為它的所有用戶計算密鑰,H 的每個注冊用戶Ui的密鑰為usk[i]。之后家鄉(xiāng)服務器向所有的用戶廣播所有服務器的數(shù) 字證書。每個時間間隔的開始,外地服務器從家鄉(xiāng)服務器H處下載撤銷用戶列表。作為獨 立的VLR-GS-BU系統(tǒng)的組管理員,每一個服務器都可以設置時間間隔,在每一個時間間隔j的開始,家鄉(xiāng)服務器H的所有的外地服務器在H上下載最新的被撤銷用戶的符號列表JZj= {urt[kl][j],…,urt[ki][j],…,urtDd][j]},其中 1 if < N ,
家鄉(xiāng)服務器為H的漂移用戶Ui與外地服務器V之間的認證過程如下1)漂移用戶Ui生成登錄請求信息(包括選擇一個隨機數(shù)Ru和一個臨時身份alias),接著使用自己的密鑰usk[i],對該請求信息進行組簽名(計算£7f, =VLR-GS. Sign (mpkE! L'sKi],j, H V alias,并將{H,alias, gEu, ts, ◎ }發(fā)送到外地服務器V。其中時間戳ts的使用抵御了重放攻擊。
2)外地服務器V在收到組簽名后的登錄請求信息以后使用從家鄉(xiāng)服務器下載的 撤銷用戶名單和VLR-GS. Verify對登陸請求信息進行組簽名認證,認證不通過則表明該漂 移用戶不是合法用戶,拒絕該登錄請求信息。否則外地服務器V計算會話密鑰31(=(#11)“并刪除Rv,之后外地服務器V選擇一個隨機數(shù)Rv并使用密鑰Skv生成響應信息OV =E⑶SA.Sig (s~,mv)并對其進行組簽名,}發(fā)送給漂移用戶Ui。4/4頁說明書_其中mv =孖ν alias gMu產(chǎn),然后將{V,g1
3)收到{V,gEv, σν }之后,漂移用戶Ui利用外地服務器ν的公鑰pip運行E⑶SA. Ver ( ply , mv, )來對O^進行簽名認證。如果返回值為0,表示簽名認證不成功,漂移用戶Ui拒絕建立會話密鑰。如果返回值為1,表明簽名認證成功,漂移用戶Ui產(chǎn)生 會話密鑰SK= (gKv)Ku并刪除Ru。
由于外地服務器V生成的會話密鑰SK與漂移用戶Ui生成的會話密鑰SK相同 ((gEv)Eu= (gEu)Kv),兩者使用各自生成的會話密鑰相互建立通信。
在家鄉(xiāng)服務器為所有用戶生成了密鑰之后,如果又有新用戶加入,則運行如下過 程新用戶Un向家鄉(xiāng)服務器發(fā)出注冊申請,家鄉(xiāng)服務器認證了新用戶Un的用戶信息,如 果新用戶Un不是合法用戶,則拒絕該申請;否則家鄉(xiāng)服務器H作為一個獨立的VLR-GS-BU的組管理員,計算在時間段j新用戶Un的撤銷符號urik] [j] = (對所有的 j e計算萬耶=<·),之后選擇&4<并計算毛=苕"k+d,則計算出的新用戶Un的密鑰為usk [n] = (4^- ),并將該密鑰usk [η]發(fā)送給新用戶Un,如此新用 戶便成功注冊到了家鄉(xiāng)服務器H。
權(quán)利要求
1.一種對漂移用戶進行無線網(wǎng)絡通用認證的方法,其特征是,包括家鄉(xiāng)服務器和外地服務器事先獲得數(shù)字證書且家鄉(xiāng)服務器為家鄉(xiāng)服務器的合法用戶 生成密鑰,并且家鄉(xiāng)服務器將所有外地服務器的數(shù)字證書廣播給家鄉(xiāng)服務器的所有合法用 戶;外地服務器周期性地從家鄉(xiāng)服務器下載撤銷用戶名單;當漂移用戶向外地服務器提出登錄請求信息時,利用家鄉(xiāng)服務器為家鄉(xiāng)服務器的合法 用戶所生成的密鑰對登錄請求信息進行組簽名,外地服務器根據(jù)從家鄉(xiāng)服務器下載的所述 撤銷用戶名單和所述數(shù)字證書對該漂移用戶的所述組簽名后的登錄請求信息進行組簽名 認證,以判斷該漂移用戶是否是家鄉(xiāng)服務器的合法用戶若不是合法用戶,則外地服務器拒 絕該漂移用戶的登錄請求信息;若是合法用戶,則外地服務器和漂移用戶各自生成會話密 鑰并利用所生成的會話密鑰相互建立通信。
2.根據(jù)權(quán)利要求1所述的對漂移用戶進行無線網(wǎng)絡通用認證的方法,其特征是,所述 “當漂移用戶向外地服務器提出登錄請求信息時,利用家鄉(xiāng)服務器為家鄉(xiāng)服務器的合法用 戶所生成的密鑰對登錄請求信息進行組簽名,外地服務器根據(jù)從家鄉(xiāng)服務器下載的所述撤 銷用戶名單對該漂移用戶的所述組簽名后的登錄請求信息進行組簽名認證,以判斷該漂移 用戶是否是家鄉(xiāng)服務器的合法用戶若不是合法用戶,則外地服務器拒絕該漂移用戶的登 錄請求信息;若是合法用戶,則外地服務器和漂移用戶各自生成會話密鑰并利用所生成的 會話密鑰相互建立通信”的方法如下漂移用戶生成登錄請求信息并對該登錄請求信息進行組簽名,接著漂移用戶將組簽名 后的登錄請求信息發(fā)送給外地服務器,所述登錄請求信息包括隨機數(shù)和臨時身份信息;外地服務器收到所述組簽名后的登錄請求信息后,根據(jù)從家鄉(xiāng)服務器下載的所述用戶 信息對該組簽名后的登錄請求信息進行組簽名認證,以判斷該漂移用戶是否是家鄉(xiāng)服務器 的合法用戶若不是合法用戶,外地服務器拒絕該登錄請求;若是合法用戶,則外地服務器 生成隨機數(shù)并利用該隨機數(shù)和所述登錄請求信息中的隨機數(shù)生成與漂移用戶的第一會話 密鑰,同時外地服務器生成響應信息(包括隨機數(shù)),接著外地服務器對所述響應進行組簽 名,并將組簽名后的響應信息發(fā)送給漂移用戶,漂移用戶根據(jù)所述數(shù)字證書對該組簽名后 的響應信息進行組簽名認證如果組簽名認證成功,則漂移用戶使用所述登錄請求信息中 的隨機數(shù)和所述響應信息中的隨機數(shù)生成與外地服務器的第二會話密鑰,所述第二會話密 鑰與第一會話密鑰相同;漂移用戶和外地服務器利用各自生成的會話密鑰相互建立通信。
3.根據(jù)權(quán)利要求1或2所述的對漂移用戶進行無線網(wǎng)絡通用認證的方法,其特征在于 在家鄉(xiāng)服務器為家鄉(xiāng)服務器的合法用戶生成密鑰后,組簽名若有新用戶加入,則該新用戶 向家鄉(xiāng)服務器發(fā)送注冊申請,家鄉(xiāng)服務器檢查該新用戶的信息是否合法,若不合法,則家鄉(xiāng) 服務器拒絕該新用戶的注冊請求;若合法,則家鄉(xiāng)服務器為該新用戶生成撤銷符號和密鑰, 并將該密鑰發(fā)送給該新用戶。
全文摘要
本發(fā)明公開一種對漂移用戶進行無線網(wǎng)絡通用認證方法,包括家鄉(xiāng)服務器和外地服務器獲得數(shù)字證書且家鄉(xiāng)服務器為其合法用戶生成密鑰,并且家鄉(xiāng)服務器將所有外地服務器的數(shù)字證書廣播給所有合法用戶;外地服務器周期性地從家鄉(xiāng)服務器下載撤銷用戶名單。當漂移用戶移動到外地服務器的區(qū)域時,使用家鄉(xiāng)服務器生成的密鑰對登錄請求信息進行組簽名,外地服務器根據(jù)從家鄉(xiāng)服務器下載的撤銷用戶名單對該漂移用戶的組簽名后的登錄請求信息進行組簽名認證,以判斷該漂移用戶是否家鄉(xiāng)服務器的合法用戶若非合法用戶,則外地服務器拒絕該漂移用戶的登錄請求信息;若是合法用戶,則外地服務器和漂移用戶各自生成會話密鑰并利用所生成的會話密鑰相互建立通信。
文檔編號H04W12/08GK102045719SQ20101059164
公開日2011年5月4日 申請日期2010年12月16日 優(yōu)先權(quán)日2010年12月16日
發(fā)明者何道敬, 卜佳俊, 尹明劍, 趙志為, 陳純, 高藝 申請人:浙江大學