无线城域网系统及无线城域网的鉴别认证方法,该无线城域网系统包括证书颁发服务器CA、身份鉴别服务器AS,证书颁发服务器CA利用CA签名证书和私钥为身份鉴别服务器AS、BS和SS颁发证书,BS安装有BS签名证书、信任的AS签名证书、CA签名证书,SS安装有SS签名证书、SS加密证书、信任的AS签名证书和CA签名证书,身份鉴别服务器AS安装有AS签名证书、CA签名证书,身份鉴别服务器AS使用CA签名证书公钥对BS和SS的证书进行鉴别。本发明的方案对证书颁发与身份鉴别进行了有效分离,使该无线城域网系统可以兼容现有的证书颁发服务器CA等基础设施。
1.一种无线城域网系统,其特征在于,包括证书颁发服务器CA、身份鉴别服务器AS,所述证书颁发服务器CA利用CA签名证书和私钥为身份鉴别服务器AS、基站BS和用户站SS颁发证书,BS安装有BS签名证书、信任的AS签名证书、CA签名证书,SS安装有SS签名证书、SS加密证书、信任的AS签名证书和CA签名证书,身份鉴别服务器AS安装有AS签名证书、CA签名证书,所述身份鉴别服务器AS使用CA签名证书公钥对BS和SS的证书进行鉴别;
所述身份鉴别服务器AS对基站BS和用户站SS进行鉴别认证,所述鉴别认证过程包括:
BS向SS发送接入鉴别激活消息,该接入鉴别激活消息中包括:BS签名证书、BS信任的AS列表和BS的消息签名;
SS接收接入鉴别激活消息,利用BS签名证书的公钥验证BS的消息签名,若验证通过,判断是否有与BS相同的信任的AS,若有,构造接入鉴别请求消息并发送至BS,该接入鉴别请求消息中包括:SS签名证书、SS加密证书、SS信任的AS列表和SS的消息签名;
BS接收接入鉴别请求消息,利用SS签名证书的公钥验证SS的消息签名,若验证通过,构造证书鉴别请求消息,并选定BS和SS共同信任的一个AS发送,该证书鉴别请求消息中包括有:SS签名证书、SS加密证书、BS签名证书、SS信任的AS列表和BS的消息签名;
AS接收证书鉴别请求消息,利用BS签名证书的公钥验证BS的消息签名,若验证通过,判断自己是否在SS信任的AS列表中,若在,验证BS签名证书、SS签名证书和SS加密证书,并利用CA签名证书公钥验证BS证书和SS证书的签名,构造证书鉴别响应消息发送至BS,证书鉴别响应消息中包含:SS签名证书验证结果、SS加密证书验证结果、BS签名证书验证结果和AS的消息签名;
BS接收证书鉴别响应消息,利用AS签名证书公钥验证AS的消息签名,若验证通过,根据证书鉴别响应消息判断SS的合法性,若SS合法,生成授权密钥材料,使用SS加密证书的公钥加密授权密钥材料,构造接入鉴别响应消息并发送至SS,该接入鉴别响应消息中包括:SS签名证书验证结果、SS加密证书验证结果、BS签名证书验证结果、AS的消息签名、更新的授权密钥信息、加密的授权密钥材料和BS的消息签名;
SS接收接入鉴别响应消息,利用BS签名证书公钥验证BS的消息签名,若验证通过,利用AS签名证书公钥验证AS的消息签名,若验证通过,根据接入鉴别响应消息验证BS的合法性,若BS合法,利用SS加密证书的私钥解密授权密钥材料,构造接入鉴别确认消息并发送至BS,该接入鉴别确认消息中包括有:更新的授权密钥信息和消息鉴别码;
BS接收接入鉴别确认消息,根据消息鉴别码校验数据完整性,若校验通过,启用更新的授权密钥材料。
2.根据权利要求1所述的无线城域网系统,所述BS安装有至少一个AS签名证书,使该至少一个AS成为该BS信任的AS,所述SS安装有至少一个AS签名证书,使该至少一个AS成为该SS信任的AS。
3.根据权利要求2所述的无线城域网系统,其特征在于,身份鉴别服务器AS按照RFC3280的流程验证BS签名证书、SS签名证书和SS加密证书。
4.一种无线城域网的鉴别认证方法,其特征在于,所述无线城域网包括证书颁发服务器CA、身份鉴别服务器AS,所述证书颁发服务器CA利用CA签名证书和私钥为身份鉴别服务器AS、基站BS和用户站SS颁发证书,所述鉴别认证方法包括:BS向SS发送接入鉴别激活消息,该接入鉴别激活消息中包括:BS签名证书、BS信任的AS列表和BS的消息签名;
SS接收接入鉴别激活消息,利用BS签名证书的公钥验证BS的消息签名,若验证通过,判断是否有与BS相同的信任的AS,若有,构造接入鉴别请求消息并发送至BS,该接入鉴别请求消息中包括:SS签名证书、SS加密证书、SS信任的AS列表和SS的消息签名;
BS接收接入鉴别请求消息,利用SS签名证书的公钥验证SS的消息签名,若验证通过,构造证书鉴别请求消息,并选定BS和SS共同信任的一个AS发送,该证书鉴别请求消息中包括:SS签名证书、SS加密证书、BS签名证书、SS信任的AS列表和BS的消息签名;
AS接收证书鉴别请求消息,利用BS签名证书的公钥验证BS的消息签名,若验证通过,判断自己是否在SS信任的AS列表中,若在,验证BS签名证书、SS签名证书和SS加密证书,并利用CA签名证书公钥验证BS证书和SS证书的签名,构造证书鉴别响应消息发送至BS,证书鉴别响应消息中包括:SS签名证书验证结果、SS加密证书验证结果、BS签名证书验证结果和AS的消息签名;
BS接收证书鉴别响应消息,利用AS签名证书公钥验证AS的消息签名,若验证通过,根据证书鉴别响应消息判断SS的合法性,若合法,生成授权密钥材料,使用SS加密证书的公钥加密授权密钥材料,构造接入鉴别响应消息并发送至SS,该接入鉴别响应消息中包括:SS签名证书验证结果、SS加密证书验证结果、BS签名证书验证结果、AS的消息签名、更新的授权密钥信息、加密的授权密钥材料和BS的消息签名;
SS接收接入鉴别响应消息,利用BS签名证书公钥验证BS的消息签名,若验证通过,利用AS签名证书公钥验证AS的消息签名,若验证通过,根据接入鉴别响应消息验证BS的合法性,若BS合法,利用SS加密证书的私钥解密授权密钥材料,构造接入鉴别确认消息并发送至BS,该接入鉴别确认消息中包括:更新的授权密钥信息和消息鉴别码;
BS接收接入鉴别确认消息,根据消息鉴别码校验数据完整性,若校验通过,启用更新的授权密钥材料。
5.根据权利要求4所述的无线城域网的鉴别认证方法,其特征在于,所述BS安装有至少一个AS签名证书,使该至少一个AS成为该BS信任的AS,所述SS安装有至少一个AS签名证书,使该至少一个AS成为该SS信任的AS。
6.根据权利要求4或5所述的无线城域网的鉴别认证方法,其特征在于,还包括:SS在判断出与BS不具有相同的信任的AS时,丢弃该接入鉴别激活消息。
7.根据权利要求4或5所述的无线城域网的鉴别认证方法,其特征在于,身份鉴别服务器AS按照RFC3280的流程验证BS签名证书、SS签名证书和SS加密证书。
一种无线城域网系统及其鉴别认证方法
技术领域
[0001] 本发明涉及无线通信技术领域,特别涉及一种无线城域网系统及其鉴别认证方法。
背景技术
[0002] 无线城域网作为目前宽带无线接入技术的主要技术之一,备受各界广泛关注。然而,安全问题一直制约着其进一步的推广与发展。IEEE 802.16d标准中定义了基于公开密钥加密算法(RSA)和数字证书的认证协议,可以实现BS(Base Station,基站)对SS(Subscriber Station,用户站)的认证,然而,IEEE802.16d存在的主要缺点是:只提供了BS对SS的单向认证,而没有提供SS对BS的认证,假冒BS欺骗SS非常容易。此外,授权密钥(AK)和会话密钥(TEK)都是由BS一方产生的,在这种单向认证的条件下,使得SS很难对会话密钥TEK的质量产生信任。IEEE 802.16e标准对IEEE 802.16d进行了安全的增强性的修改,引入了可扩展认证协议(Extensible Authentication Protocol,简称EAP),但是,其仍然只包含了BS对SS的单向身份认证。
[0003] 申请人在申请号为200810027930.0、发明名称为《一种无线城域网的安全接入方法》的专利申请中提供了一种无线城域网的安全接入方法(以下简称为WMAN-SA),其是在认证授权过程中,采用SS和BS的双向认证代替了原有的单向认证,从而使攻击者冒充合法BS骗取SS的信任成为不可能,避免了中间人攻击的可能性。在密钥的协商过程中,密钥由SS和BS共同产生,代替了由BS分配,保证了密钥的质量,增强了无线城域网的安全性。因此,改进的协议同样可以满足原无线城域网的功能、性能要求,并且更安全。
[0004] 然而,在上述申请号为200810027930.0的专利申请公开的方案中,BS证书和SS证书的颁发和鉴别均是由认证服务器完成的,认证服务器既充当证书颁发服务器(CA),又充当身份鉴别服务器(AS);而目前的网络中证书颁发服务器(CA)是独立的设施,申请号为200810027930.0的专利申请公开的方案并没有考虑到WMAN-SA大规模运用时是否能兼容现有网络,即证书颁发服务器和身份鉴别服务器需要分离的情形。WMAN-SA的大规模运营势必要利用现有的网络设施,因此需要分离证书颁发服务器(CA)和身份鉴别服务器(AS)。
发明内容
[0005] 针对上述现有技术中存在的问题,本发明的目的在于提供一种无线城域网系统以及无线城域网的鉴别认证方法,其将证书颁发和身份鉴别分布式部署,以兼容现有的证书颁发服务器CA等基础设施,可以满足大规模运营的需求。
[0006] 为达到上述目的,本发明采用以下技术方案:
[0007] 一种无线城域网系统,包括证书颁发服务器CA、身份鉴别服务器AS,所述证书颁发服务器CA利用CA签名证书和私钥为身份鉴别服务器AS、BS和SS颁发证书,BS安装有BS签名证书、信任的AS签名证书、CA签名证书,SS安装有SS签名证书、SS加密证书、信任的AS签名证书和CA签名证书,身份鉴别服务器AS安装有AS签名证书、CA签名证书,所述身份鉴别服务器AS使用CA签名证书公钥对BS和SS的证书进行鉴别。
[0008] 一种无线城域网的鉴别认证方法,所述无线城域网包括证书颁发服务器CA、身份鉴别服务器AS,所述证书颁发服务器CA利用CA签名证书和私钥为身份鉴别服务器AS、BS和SS颁发证书,所述鉴别认证方法包括:
[0009] BS向SS发送接入鉴别激活消息,该接入鉴别激活消息中包括:BS签名证书、BS信任的AS列表和BS的消息签名;
[0010] SS接收接入鉴别激活消息,利用BS签名证书的公钥验证BS的消息签名,若验证通过,判断是否有与BS相同的信任的AS,若有,构造接入鉴别请求消息并发送至BS,该接入鉴别请求消息中包括:SS签名证书、SS加密证书、SS信任的AS列表和SS的消息签名;
[0011] BS接收接入鉴别请求消息,利用SS签名证书的公钥验证SS的消息签名,若验证通过,构造证书鉴别请求消息,并选定BS和SS共同信任的一个AS发送,该证书鉴别请求消息中包括:SS签名证书、SS加密证书、BS签名证书、SS信任的AS列表和BS的消息签名;
[0012] AS接收证书鉴别请求消息,利用BS签名证书的公钥验证BS的消息签名,若验证通过,判断自己是否在SS信任的AS列表中,若在,验证BS签名证书、SS签名证书和SS加密证书,并利用CA签名证书公钥验证BS证书和SS证书的签名,构造证书鉴别响应消息发送至BS,证书鉴别响应消息中包括:SS签名证书验证结果、SS加密证书验证结果、BS签名证书验证结果和AS的消息签名;
[0013] BS接收证书鉴别响应消息,利用AS签名证书公钥验证AS的消息签名,若验证通过,根据证书鉴别响应消息判断SS的合法性,若合法,生成授权密钥材料,使用SS加密证书的公钥加密授权密钥材料,构造接入鉴别响应消息并发送至SS,该接入鉴别响应消息中包括:SS签名证书验证结果、SS加密证书验证结果、BS签名证书验证结果、AS的消息签名、更新的授权密钥信息、加密的授权密钥材料和BS的消息签名;
[0014] SS接收接入鉴别响应消息,利用BS签名证书公钥验证BS的消息签名,若验证通过,利用AS签名证书公钥验证AS的消息签名,若验证通过,根据接入鉴别响应消息验证BS的合法性,若BS合法,利用SS加密证书的私钥解密授权密钥材料,构造接入鉴别确认消息并发送至BS,该接入鉴别确认消息中包括:更新的授权密钥信息和消息鉴别码;
[0015] BS接收接入鉴别确认消息,根据消息鉴别码校验数据完整性,若校验通过,启用更新的授权密钥材料。
[0016] 根据本发明的方案,是对证书颁发与身份鉴别进行了有效分离,由统一的证书颁发服务器为各身份鉴别服务器AS、BS和SS颁发管理证书,由身份鉴别服务器AS统一实现对BS、SS鉴别认证,使得无线城域网WMAN-SA系统可以兼容现有的证书颁发服务器CA等基础设施,可以满足大规模运营的需求。
附图说明
[0017] 图1是本发明无线城域网的鉴别认证方法的流程示意图。
具体实施方式
[0018] 以下以一个具体实施方式为例对本发明方案进行详细阐述。
[0019] 本发明的根本目的,是要将证书颁发与身份鉴别相分离,从而使WMAN-SA大规模运用时可以兼容现有网络,以满足WMAN-SA发展的需要。
[0020] 本发明的方案,是将证书颁发与身份鉴别分离开来,由独立的证书颁发服务器CA利用自身的证书(CA签名证书)和私钥为身份鉴别服务器AS、BS、SS颁发所有的证书。BS需安装BS签名证书、信任的AS签名证书和CA签名证书。SS需安装SS签名证书、SS加密证书、信任的AS签名证书和CA签名证书。身份鉴别系统AS需安装AS签名证书和CA签名证书,利用CA签名证书公钥对BS和SS证书进行鉴别。BS可以根据安装的CA签名证书初步验证BS签名证书的有效性,同理,SS可以根据安装的CA签名证书初步验证SS签名证书的有效性,在进行具体的身份鉴别等过程时,由身份鉴别服务器AS来对基站BS、用户站SS的证书进行验证。
[0021] 此外,出于对WMAN-SA大规模发展、以及有效分担处理任务量的考虑,证书颁发服务器CA可以有多个,身份鉴别服务器AS也可以是具有多个,一个证书颁发服务器CA可以对应多个身份鉴别服务器AS,相应地,一个基站BS也可以与多个身份鉴别服务器AS相对应、安装多个身份鉴别服务器AS的AS签名证书,即一个基站BS可以信任多个身份鉴别服务器AS,信任身份鉴别服务器AS的身份鉴别结果,实现这种信任的方式,可以通过安装签名证书来实现,即BS安装了某个身份鉴别服务器AS的签名证书,就说明该BS信任该AS,同理,一个用户站SS也可以信任多个身份鉴别服务器AS。
[0022] 据此,本发明提供的无线城域网系统,包括有证书颁发服务器CA、身份鉴别服务器AS、BS和SS,证书颁发服务器CA利用CA签名证书和私钥为身份鉴别服务器AS、BS和SS颁发证书,BS安装有BS签名证书、信任的AS签名证书、CA签名证书,SS安装有SS签名证书、SS加密证书、信任的AS签名证书和CA签名证书,身份鉴别服务器AS安装有AS签名证书、CA签名证书,身份鉴别服务器AS使用CA签名证书公钥对BS和SS的证书进行鉴别。其中,BS安装有至少一个信任的AS签名证书,SS安装有至少一个信任的AS签名证书。
[0023] 在此基础上,本发明还提供一种无线城域网的鉴别认证方法,在身份鉴别服务器AS、基站BS、用户站SS均安装了所需的证书之后,可以进入后续的鉴别认证过程。
[0024] 如图1所示,是本发明的无线城域网的鉴别认证方法的流程示意图,其具体包括步骤:
[0025] BS向SS发送接入鉴别激活消息,该接入鉴别激活消息包括:BS签名证书、BS信任的AS列表和BS的消息签名;
[0026] SS接收到接入鉴别激活消息,利用BS签名证书的公钥验证BS的消息签名,若验证通过,判断BS信任的AS列表中是否有与其共同信任的AS,若无,则丢弃该接入鉴别激活消息,若有,则构造接入鉴别请求消息并发送至BS,该接入鉴别请求消息中包括:SS签名证书、SS加密证书、SS信任的AS列表和SS的消息签名;
[0027] BS接收到接入鉴别请求消息,利用SS签名证书的公钥验证SS的消息签名,若验证通过,构造证书鉴别请求消息,并向选定的BS与SS共同信任的一个身份鉴别服务器AS发送,该证书鉴别请求消息中包括:SS签名证书、SS加密证书、BS签名证书、SS信任的AS列表和BS的消息签名;
[0028] 身份鉴别服务器AS接收到证书鉴别请求消息,利用BS签名证书的公钥验证BS的消息签名,若验证通过,判断自己是否在SS信任的AS列表中,若在列表中,则验证BS签名证书、SS签名证书和SS加密证书(可以是按照RFC3280的流程进行验证),并利用CA签名证书公钥验证BS证书和SS证书的签名,验证通过后,构造证书鉴别响应消息并发送至BS,该证书鉴别响应消息中包括:SS签名证书验证结果、SS加密证书验证结果、BS签名证书验证结果和AS的消息签名;
[0029] BS接收到证书鉴别响应消息,利用AS签名证书公钥验证AS的消息签名,若验证通过,根据证书鉴别响应消息判断SS的合法性,若SS合法,生成授权密钥材料,使用SS加密征书的公钥加密授权密钥材料,然后构造接入鉴别响应消息发送至SS,该接入鉴别响应消息中包括:SS签名证书验证结果、SS加密证书验证结果、BS签名证书验证结果、AS的消息签名、更新的授权密钥信息、加密的授权密钥材料和BS的消息签名;
[0030] SS接收到接入鉴别响应消息,利用BS签名证书公钥验证BS的消息签名,若验证通过,利用AS签名证书公钥验证AS的消息签名,若验证通过,根据接入鉴别响应消息验证BS的合法性,若BS合法,利用SS加密证书的私钥解密授权密钥材料,然后构造接入鉴别确认消息发送至BS,该接入鉴别确认消息中包括:更新的授权密钥信息和消息鉴别码;
[0031] BS接收到接入鉴别确认消息,根据消息鉴别码校验数据完整性,若校验通过,启用更新的授权密钥材料,否则解除与SS的连接。
[0032] 以上所述的本发明实施方式,仅仅是对本发明的一个具体实施例的详细说明,并不构成对本发明保护范围的限定。任何在本发明的精神和原则之内所作的修改、等同替换和改进等,均应包含在本发明的权利要求保护范围之内。
