亚洲成年人黄色一级片,日本香港三级亚洲三级,黄色成人小视频,国产青草视频,国产一区二区久久精品,91在线免费公开视频,成年轻人网站色直接看

一種無線城域網(wǎng)終端非歸屬地接入身份鑒別的方法

文檔序號(hào):7758483閱讀:140來源:國(guó)知局
專利名稱:一種無線城域網(wǎng)終端非歸屬地接入身份鑒別的方法
技術(shù)領(lǐng)域
本發(fā)明涉及無線通信網(wǎng)絡(luò)及網(wǎng)絡(luò)安全的技術(shù)領(lǐng)域,特別涉及一種無線城域網(wǎng)中終 端非歸屬地接入身份鑒別的實(shí)現(xiàn)方法。
背景技術(shù)
IEEE 802. 16無線城域網(wǎng)作為未來無線接入技術(shù)的重要發(fā)展方向,備受各界廣泛 關(guān)注。然而,安全問題一直制約著其進(jìn)一步的推廣與發(fā)展。IEEE 802. 16d中定義了基于公 開密鑰加密算法(RSA)和數(shù)字證書的認(rèn)證協(xié)議,可以實(shí)現(xiàn)基站BS對(duì)用戶站BS的認(rèn)證。IEEE 802. 16d的主要缺點(diǎn)是只提供了基站BS對(duì)用戶站SS的單向認(rèn)證,而沒有提供用戶站SS 對(duì)基站BS的認(rèn)證,假冒基站BS欺騙用戶站SS非常容易。此外,授權(quán)密鑰(AK)和會(huì)話密鑰 (TEK)都是由基站BS —方產(chǎn)生的,在這種單向認(rèn)證的條件下,很難使得用戶站SS對(duì)會(huì)話密 鑰TEK的質(zhì)量產(chǎn)生信任。IEEE 802. 16e對(duì)IEEE 802. 16d進(jìn)行了增強(qiáng)性的修改,引入了可擴(kuò) 展認(rèn)證協(xié)議(Extensible Authentication Protocol,簡(jiǎn)稱ΕΑΡ)。但是,仍然只包含了基站 BS對(duì)用戶站SS的單向身份認(rèn)證。申請(qǐng)?zhí)枮?00810027930.0的專利《一種無線城域網(wǎng)的安全接入方法》(簡(jiǎn)稱 WMAN-SA)提供一種無線城域網(wǎng)的安全接入方法,在認(rèn)證授權(quán)過程中,采用了用戶站SS和基 站BS的雙向認(rèn)證代替原有的單向認(rèn)證,攻擊者冒充合法基站BS騙取用戶站SS的信任成為 不可能,避免了中間人攻擊的可能性。在密鑰的協(xié)商過程中,密鑰由用戶站SS和基站BS共 同產(chǎn)生,代替了由基站BS分配,保證了密鑰的質(zhì)量,增強(qiáng)了無線城域網(wǎng)的安全性。因此,改 進(jìn)的協(xié)議同樣可以滿足原無線城域網(wǎng)的功能、性能要求,并且更安全。隨著移動(dòng)計(jì)算業(yè)務(wù)的不斷發(fā)展,用戶漫游的需求日益增加。當(dāng)在運(yùn)營(yíng)環(huán)境下應(yīng)用 WMAN-SA時(shí),網(wǎng)絡(luò)規(guī)模覆蓋到全國(guó)各個(gè)地理區(qū)域,用戶數(shù)量非常大,漫游的情況就會(huì)頻繁發(fā) 生。在終端漫游的情況下,如何進(jìn)行非歸屬地身份鑒別非常關(guān)鍵。而WMAN-SA僅定義了身 份鑒別、密鑰管理、數(shù)據(jù)加密、數(shù)據(jù)鑒別和重放保護(hù)等功能,并沒有包含非歸屬地身份鑒別 的具體方案,而且用戶站SS在不同基站BS間切換需要申請(qǐng)頒發(fā)不同的證書,用戶體驗(yàn)效果 會(huì)變差。

發(fā)明內(nèi)容
本發(fā)明的目的是提供一種安全高效的終端非歸屬地身份鑒別的方法,該方法能夠 解決無線城域網(wǎng)中終端基于WMAN-SA的非歸屬地身份鑒別問題。為解決上述技術(shù)問題,本發(fā)明的技術(shù)方案是
一種無線城域網(wǎng)終端非歸屬地接入身份鑒別的方法,用戶站SS本地存儲(chǔ)有用戶站SS 證書和若干信任的認(rèn)證服務(wù)器AS證書,基站BS本地存儲(chǔ)有基站BS證書和接入地認(rèn)證服務(wù) 器AS證書,其特征在于接入地認(rèn)證服務(wù)器AS和歸屬地認(rèn)證服務(wù)器AS無直接信任關(guān)系, 均信任中心認(rèn)證服務(wù)器AS,并持有中心認(rèn)證服務(wù)器AS的證書;基站BS請(qǐng)求認(rèn)證服務(wù)器對(duì)基站BS和用戶站SS進(jìn)行身份鑒別時(shí),若接入地認(rèn)證服務(wù)器AS確定不能在本地鑒別用戶站 SS,則將歸屬地鑒別請(qǐng)求消息發(fā)送給中心認(rèn)證服務(wù)器AS,中心認(rèn)證服務(wù)器AS再把歸屬地鑒 別請(qǐng)求消息發(fā)送給歸屬地認(rèn)證服務(wù)器AS進(jìn)行認(rèn)證。 所述的無線城域網(wǎng)終端非歸屬地接入身份鑒別的方法,其特征在于包括以下步 驟
步驟1 基站BS向用戶站SS發(fā)送接入鑒別激活消息,所述接入鑒別激活消息包括基站 BS證書和基站BS的消息簽名;
步驟2 用戶站SS收到接入鑒別激活消息,利用基站BS證書的公鑰驗(yàn)證基站BS的消 息簽名,若驗(yàn)證通過,則構(gòu)造接入鑒別請(qǐng)求消息并發(fā)送至基站BS,所述接入鑒別請(qǐng)求消息包 括用戶站SS證書、用戶站SS信任的認(rèn)證服務(wù)器AS列表和用戶站SS的消息簽名;
步驟3 基站BS收到接入鑒別請(qǐng)求消息,利用用戶站SS證書的公鑰驗(yàn)證用戶站SS的 消息簽名,若驗(yàn)證通過,則構(gòu)造證書鑒別請(qǐng)求消息,發(fā)送給接入地認(rèn)證服務(wù)器AS,所述證書 鑒別請(qǐng)求消息包括用戶站SS證書、基站BS證書、用戶站SS信任的認(rèn)證服務(wù)器AS列表和基 站BS的消息簽名;
步驟4 接入地認(rèn)證服務(wù)器AS收到證書鑒別請(qǐng)求消息,利用基站BS證書的公鑰驗(yàn)證基 站BS的消息簽名,若驗(yàn)證通過,根據(jù)用戶站SS信任的認(rèn)證服務(wù)器AS列表判斷是否需要進(jìn) 行歸屬地的身份鑒別,分兩種情況
I、若接入地認(rèn)證服務(wù)器AS在用戶站SS信任的認(rèn)證服務(wù)器AS列表中,則驗(yàn)證基站BS 證書和用戶站SS證書,構(gòu)造并發(fā)送第一證書鑒別響應(yīng)消息至基站BS,所述第一證書鑒別響 應(yīng)消息包括基站BS證書驗(yàn)證結(jié)果、用戶站SS證書驗(yàn)證結(jié)果、接入地認(rèn)證服務(wù)器AS證書和 接入地認(rèn)證服務(wù)器AS的消息簽名,下一步驟為步驟9 ;
II、若接入地認(rèn)證服務(wù)器AS不在用戶站SS信任的認(rèn)證服務(wù)器AS列表中,則驗(yàn)證基站 BS證書,構(gòu)造第一歸屬地鑒別請(qǐng)求消息并發(fā)送至中心認(rèn)證服務(wù)器AS,所述第一歸屬地鑒別 請(qǐng)求消息包括基站BS證書驗(yàn)證結(jié)果、用戶站SS證書、接入地認(rèn)證服務(wù)器AS證書、用戶站SS 信任的認(rèn)證服務(wù)器AS列表和接入地認(rèn)證服務(wù)器AS的消息簽名;
步驟5 接上述步驟4的II,中心認(rèn)證服務(wù)器AS收到第一歸屬地鑒別請(qǐng)求消息后,利用 接入地認(rèn)證服務(wù)器AS證書的公鑰驗(yàn)證消息簽名,若驗(yàn)證通過,根據(jù)用戶站SS信任的認(rèn)證服 務(wù)器AS列表選擇其中一個(gè)認(rèn)證服務(wù)器AS,發(fā)送第二歸屬地鑒別請(qǐng)求消息,所述第二歸屬地 鑒別請(qǐng)求消息的消息內(nèi)容來自收到的第一歸屬地鑒別請(qǐng)求消息,將其中的接入地認(rèn)證服務(wù) 器AS的消息簽名換成中心認(rèn)證服務(wù)器AS的消息簽名;
步驟6:歸屬地認(rèn)證服務(wù)器AS收到第二歸屬地鑒別請(qǐng)求消息后,利用中心認(rèn)證服務(wù)器 AS證書的公鑰驗(yàn)證消息簽名,若驗(yàn)證通過,則驗(yàn)證用戶站SS證書,構(gòu)造第一歸屬地鑒別響 應(yīng)消息發(fā)送至中心認(rèn)證服務(wù)器AS,所述第一歸屬地鑒別響應(yīng)消息包括基站BS證書驗(yàn)證結(jié) 果、用戶站SS證書驗(yàn)證結(jié)果、接入地認(rèn)證服務(wù)器AS證書、歸屬地認(rèn)證服務(wù)器AS證書和歸屬 地認(rèn)證服務(wù)器AS簽名;
步驟7 中心認(rèn)證服務(wù)器AS收到第一歸屬地鑒別響應(yīng)消息后,利用歸屬地認(rèn)證服務(wù)器 AS證書的公鑰驗(yàn)證簽名,若驗(yàn)證通過,構(gòu)造第二歸屬地鑒別響應(yīng)消息發(fā)送至接入地認(rèn)證服 務(wù)器AS,所述第二歸屬地鑒別響應(yīng)消息的消息內(nèi)容來自收到的第一歸屬地鑒別響應(yīng)消息, 并增加中心認(rèn)證服務(wù)器AS的消息簽名;步驟8 接入地認(rèn)證服務(wù)器AS收到第二歸屬地鑒別響應(yīng)消息后,根據(jù)中心認(rèn)證服務(wù)器 AS證書的公鑰驗(yàn)證中心認(rèn)證服務(wù)器AS的消息簽名,根據(jù)歸屬地認(rèn)證服務(wù)器AS證書的公鑰 驗(yàn)證歸屬地認(rèn)證服務(wù)器AS的消息簽名,若驗(yàn)證通過,構(gòu)造并發(fā)送第二證書鑒別響應(yīng)消息至 基站BS,所述第二證書鑒別響應(yīng)消息包括BS證書驗(yàn)證結(jié)果、SS證書驗(yàn)證結(jié)果、接入地認(rèn)證 服務(wù)器AS證書、歸屬地認(rèn)證服務(wù)器AS證書、歸屬地認(rèn)證服務(wù)器AS的消息簽名和接入地認(rèn) 證服務(wù)器AS的消息簽名,其中歸屬地認(rèn)證服務(wù)器AS的消息簽名與第二歸屬地鑒別響應(yīng)消 息中的歸屬地認(rèn)證服務(wù)器AS簽名相同;
步驟9 接上述步驟4的I或步驟8,基站BS收到第一證書鑒別響應(yīng)消息或第二證書鑒 別響應(yīng)消息,利用接入地認(rèn)證服務(wù)器AS證書公鑰驗(yàn)證接入地認(rèn)證服務(wù)器AS的消息簽名,利 用歸屬地認(rèn)證服務(wù)器AS證書公鑰驗(yàn)證歸屬地認(rèn)證服務(wù)器AS的消息簽名,若驗(yàn)證通過,根據(jù) 第一證書鑒別響應(yīng)消息或第二證書鑒別響應(yīng)消息判斷用戶站SS的合法性,若用戶站SS合 法,則構(gòu)造接入鑒別響應(yīng)消息發(fā)送至用戶站SS,所述接入鑒別響應(yīng)消息包括基站BS證書驗(yàn) 證結(jié)果、用戶站SS證書驗(yàn)證結(jié)果、接入地認(rèn)證服務(wù)器AS證書、歸屬地認(rèn)證服務(wù)器AS證書、 歸屬地認(rèn)證服務(wù)器AS的消息簽名、接入地認(rèn)證服務(wù)器AS的消息簽名、更新的授權(quán)密鑰信 息、加密的授權(quán)密鑰材料和BS的消息簽名;
步驟10 用戶站SS收到接入鑒別響應(yīng)消息,利用基站BS證書公鑰驗(yàn)證基站BS的消息 簽名,利用接入地認(rèn)證服務(wù)器AS證書公鑰驗(yàn)證接入地認(rèn)證服務(wù)器AS的消息簽名,利用歸屬 地認(rèn)證服務(wù)器AS證書公鑰驗(yàn)證歸屬地認(rèn)證服務(wù)器AS的消息簽名,若驗(yàn)證通過,根據(jù)接入鑒 別響應(yīng)消息驗(yàn)證基站BS的合法性,若基站BS合法,則構(gòu)造接入鑒別確認(rèn)消息發(fā)送至基站 BS,所述接入鑒別確認(rèn)消息包括更新的授權(quán)密鑰信息和消息鑒別碼;
步驟11 基站BS收到接入鑒別確認(rèn)消息,根據(jù)消息鑒別碼校驗(yàn)數(shù)據(jù)完整性,若校驗(yàn)通 過,啟用更新的授權(quán)密鑰材料,否則解除與用戶站SS的連接。所述的無線城域網(wǎng)終端非歸屬地接入身份鑒別的方法,其特征在于步驟6中所 述歸屬地認(rèn)證服務(wù)器AS驗(yàn)證用戶站SS證書、構(gòu)造歸屬地鑒別響應(yīng)消息前先判斷該歸屬地 認(rèn)證服務(wù)器AS是否在用戶站SS信任的認(rèn)證服務(wù)器AS列表中,若不在,則設(shè)置用戶站SS證 書的驗(yàn)證結(jié)果為頒發(fā)者不明確。所述的無線城域網(wǎng)終端非歸屬地接入身份鑒別的方法,其特征在于步驟9中所 述基站BS在構(gòu)造接入鑒別響應(yīng)消息前生成授權(quán)密鑰材料,并使用用戶站SS證書的公鑰加 密授權(quán)密鑰材料。所述的無線城域網(wǎng)終端非歸屬地接入身份鑒別的方法,其特征在于步驟10中所 述用戶站SS構(gòu)造接入鑒別確認(rèn)消息前利用用戶站SS證書的私鑰解密授權(quán)密鑰材料。本發(fā)明相對(duì)于現(xiàn)有技術(shù)的有益效果是
本發(fā)明解決了無線城域網(wǎng)中終端基于WMAN-SA的非歸屬地身份鑒別問題,采用基站BS 和用戶站SS的雙向身份認(rèn)證,網(wǎng)絡(luò)安全性較高;而且用戶站SS在不同的基站BS間切換時(shí) 不需要申請(qǐng)頒發(fā)證書,用戶體驗(yàn)較好。


圖1是本發(fā)明的網(wǎng)絡(luò)拓?fù)鋱D;圖2是本發(fā)明的鑒別流程圖。
具體實(shí)施例方式下面結(jié)合附圖通過具體實(shí)施方式
對(duì)本發(fā)明作進(jìn)一步詳細(xì)的說明。參見圖1,本發(fā)明涉及的網(wǎng)絡(luò)實(shí)體包括認(rèn)證服務(wù)器AS,基站BS和用戶站SS,其中 認(rèn)證服務(wù)器AS分為接入地認(rèn)證服務(wù)器AS、中心認(rèn)證服務(wù)器AS (ASO)和歸屬地認(rèn)證服務(wù)器 AS。接入地認(rèn)證服務(wù)器AS和歸屬地認(rèn)證服務(wù)器AS之間無直接的信任關(guān)系,均信任中心認(rèn) 證服務(wù)器AS (AS0),并持有中心認(rèn)證服務(wù)器AS (ASO)的證書。參見圖2,本發(fā)明的步驟和處理流程如下
UBS向SS發(fā)送接入鑒別激活消息,消息內(nèi)容包含BS證書和BS的消息簽名。2、SS收到接入鑒別激活消息,利用BS證書的公鑰驗(yàn)證BS的消息簽名,若驗(yàn)證通 過,構(gòu)造接入鑒別請(qǐng)求消息并發(fā)送至BS,消息內(nèi)容包含SS證書、SS信任的AS列表和SS的 消息簽名。3、BS收到接入鑒別請(qǐng)求消息,利用SS證書的公鑰驗(yàn)證SS的消息簽名,若驗(yàn)證通 過,構(gòu)造證書鑒別請(qǐng)求消息,發(fā)送給接入地認(rèn)證服務(wù)器AS,消息內(nèi)容包含SS證書、BS證書、 SS信任的AS列表和BS的消息簽名。4、接入地認(rèn)證服務(wù)器AS收到證書鑒別請(qǐng)求消息,利用基站BS證書的公鑰驗(yàn)證基 站BS的消息簽名,若驗(yàn)證通過,根據(jù)用戶站SS信任的認(rèn)證服務(wù)器AS列表判斷是否需要進(jìn) 行歸屬地的身份鑒別,分兩種情況
I、若接入地認(rèn)證服務(wù)器AS在用戶站SS信任的認(rèn)證服務(wù)器AS列表中,則驗(yàn)證基站BS 證書和用戶站SS證書,構(gòu)造并發(fā)送第一證書鑒別響應(yīng)消息至基站BS,所述第一證書鑒別響 應(yīng)消息包括基站BS證書驗(yàn)證結(jié)果、用戶站SS證書驗(yàn)證結(jié)果、接入地認(rèn)證服務(wù)器AS證書和 接入地認(rèn)證服務(wù)器AS的消息簽名,下一步驟為步驟9 ;
II、若接入地認(rèn)證服務(wù)器AS不在用戶站SS信任的認(rèn)證服務(wù)器AS列表中,則驗(yàn)證基站 BS證書,構(gòu)造第一歸屬地鑒別請(qǐng)求消息并發(fā)送至中心認(rèn)證服務(wù)器AS,所述第一歸屬地鑒別 請(qǐng)求消息包括基站BS證書驗(yàn)證結(jié)果、用戶站SS證書、接入地認(rèn)證服務(wù)器AS證書、用戶站SS 信任的認(rèn)證服務(wù)器AS列表和接入地認(rèn)證服務(wù)器AS的消息簽名。5、接上述4的II,中心認(rèn)證服務(wù)器AS收到第一歸屬地鑒別請(qǐng)求消息后,利用接入 地認(rèn)證服務(wù)器AS證書的公鑰驗(yàn)證消息簽名,若驗(yàn)證通過,根據(jù)用戶站SS信任的認(rèn)證服務(wù)器 AS列表選擇其中一個(gè)認(rèn)證服務(wù)器AS,發(fā)送第二歸屬地鑒別請(qǐng)求消息,所述第二歸屬地鑒別 請(qǐng)求消息的消息內(nèi)容來自收到的第一歸屬地鑒別請(qǐng)求消息,將其中的接入地認(rèn)證服務(wù)器AS 的消息簽名換成中心認(rèn)證服務(wù)器AS的消息簽名。6、歸屬地認(rèn)證服務(wù)器AS收到第二歸屬地鑒別請(qǐng)求消息后,利用中心認(rèn)證服務(wù)器 AS證書的公鑰驗(yàn)證消息簽名,若驗(yàn)證通過,判斷該歸屬地認(rèn)證服務(wù)器AS是否在用戶站SS信 任的認(rèn)證服務(wù)器AS列表中,若不在,則設(shè)置用戶站SS證書的驗(yàn)證結(jié)果為頒發(fā)者不明確。否 則驗(yàn)證用戶站SS證書,構(gòu)造第一歸屬地鑒別響應(yīng)消息發(fā)送至中心認(rèn)證服務(wù)器AS,所述第一 歸屬地鑒別響應(yīng)消息包括基站BS證書驗(yàn)證結(jié)果、用戶站SS證書驗(yàn)證結(jié)果、接入地認(rèn)證服務(wù) 器AS證書、歸屬地認(rèn)證服務(wù)器AS證書和歸屬地認(rèn)證服務(wù)器AS簽名。7、中心認(rèn)證服務(wù)器AS收到第一歸屬地鑒別響應(yīng)消息后,利用歸屬地認(rèn)證服務(wù)器AS證書的公鑰驗(yàn)證簽名,若驗(yàn)證通過,構(gòu)造第二歸屬地鑒別響應(yīng)消息發(fā)送至接入地認(rèn)證服 務(wù)器AS,所述第二歸屬地鑒別響應(yīng)消息的消息內(nèi)容來自收到的第一歸屬地鑒別響應(yīng)消息, 并增加中心認(rèn)證服務(wù)器AS的消息簽名。8、接入地認(rèn)證服務(wù)器AS收到第二歸屬地鑒別響應(yīng)消息后,根據(jù)中心認(rèn)證服務(wù)器 AS證書的公鑰驗(yàn)證中心認(rèn)證服務(wù)器AS的消息簽名,根據(jù)歸屬地認(rèn)證服務(wù)器AS證書的公鑰 驗(yàn)證歸屬地認(rèn)證服務(wù)器AS的消息簽名,若驗(yàn)證通過,構(gòu)造并發(fā)送第二證書鑒別響應(yīng)消息至 基站BS,所述第二證書鑒別響應(yīng)消息包括BS證書驗(yàn)證結(jié)果、SS證書驗(yàn)證結(jié)果、接入地認(rèn)證 服務(wù)器AS證書、歸屬地認(rèn)證服務(wù)器AS證書、歸屬地認(rèn)證服務(wù)器AS的消息簽名和接入地認(rèn) 證服務(wù)器AS的消息簽名,其中歸屬地認(rèn)證服務(wù)器AS的消息簽名與第二歸屬地鑒別響應(yīng)消 息中的歸屬地認(rèn)證服務(wù)器AS簽名相同。9、接上述4的I或8,基站BS收到第一證書鑒別響應(yīng)消息或第二證書鑒別響應(yīng)消 息,利用接入地認(rèn)證服務(wù)器AS證書公鑰驗(yàn)證接入地認(rèn)證服務(wù)器AS的消息簽名,利用歸屬地 認(rèn)證服務(wù)器AS證書公鑰驗(yàn)證歸屬地認(rèn)證服務(wù)器AS的消息簽名,若驗(yàn)證通過,根據(jù)第一證書 鑒別響應(yīng)消息或第二證書鑒別響應(yīng)消息判斷用戶站SS的合法性,若用戶站SS合法,生成授 權(quán)密鑰材料,并使用用戶站SS證書的公鑰加密授權(quán)密鑰材料,然后構(gòu)造接入鑒別響應(yīng)消息 發(fā)送至用戶站SS,所述接入鑒別響應(yīng)消息包括基站BS證書驗(yàn)證結(jié)果、用戶站SS證書驗(yàn)證結(jié) 果、接入地認(rèn)證服務(wù)器AS證書、歸屬地認(rèn)證服務(wù)器AS證書、歸屬地認(rèn)證服務(wù)器AS的消息簽 名、接入地認(rèn)證服務(wù)器AS的消息簽名、更新的授權(quán)密鑰信息、加密的授權(quán)密鑰材料和BS的 消息簽名。10、用戶站SS收到接入鑒別響應(yīng)消息,利用基站BS證書公鑰驗(yàn)證基站BS的消息 簽名,利用接入地認(rèn)證服務(wù)器AS證書公鑰驗(yàn)證接入地認(rèn)證服務(wù)器AS的消息簽名,利用歸屬 地認(rèn)證服務(wù)器AS證書公鑰驗(yàn)證歸屬地認(rèn)證服務(wù)器AS的消息簽名,若驗(yàn)證通過,根據(jù)接入鑒 別響應(yīng)消息驗(yàn)證基站BS的合法性,若基站BS合法,利用用戶站SS證書的私鑰解密授權(quán)密 鑰材料,然后構(gòu)造接入鑒別確認(rèn)消息發(fā)送至基站BS,所述接入鑒別確認(rèn)消息包括更新的授 權(quán)密鑰信息和消息鑒別碼。11、基站BS收到接入鑒別確認(rèn)消息,根據(jù)消息鑒別碼校驗(yàn)數(shù)據(jù)完整性,若校驗(yàn)通 過,啟用更新的授權(quán)密鑰材料,否則解除與用戶站SS的連接。本發(fā)明采用基站BS和用戶站SS的雙向身份認(rèn)證,網(wǎng)絡(luò)安全性較高;而且用戶站 SS在不同的基站BS間切換時(shí)不需要申請(qǐng)頒發(fā)證書,用戶體驗(yàn)較好;能夠了解決無線城域網(wǎng) 中終端基于WMAN-SA的非歸屬地身份鑒別問題。
8
權(quán)利要求
一種無線城域網(wǎng)終端非歸屬地接入身份鑒別的方法,其特征在于接入地認(rèn)證服務(wù)器AS和歸屬地認(rèn)證服務(wù)器AS無直接信任關(guān)系,均信任中心認(rèn)證服務(wù)器AS,并持有中心認(rèn)證服務(wù)器AS的證書;基站BS請(qǐng)求接入地認(rèn)證服務(wù)器對(duì)基站BS和用戶站SS進(jìn)行身份鑒別時(shí),若接入地認(rèn)證服務(wù)器AS確定不能在本地鑒別用戶站SS,則將歸屬地鑒別請(qǐng)求消息發(fā)送給中心認(rèn)證服務(wù)器AS,中心認(rèn)證服務(wù)器AS再把歸屬地鑒別請(qǐng)求消息發(fā)送給歸屬地認(rèn)證服務(wù)器AS進(jìn)行認(rèn)證。
2.根據(jù)權(quán)利要求1所述的無線城域網(wǎng)終端非歸屬地接入身份鑒別的方法,其特征在 于包括以下步驟步驟1 基站BS向用戶站SS發(fā)送接入鑒別激活消息,所述接入鑒別激活消息包括基站 BS證書和基站BS的消息簽名;步驟2 用戶站SS收到接入鑒別激活消息,利用基站BS證書的公鑰驗(yàn)證基站BS的消 息簽名,若驗(yàn)證通過,則構(gòu)造接入鑒別請(qǐng)求消息并發(fā)送至基站BS,所述接入鑒別請(qǐng)求消息包 括用戶站SS證書、用戶站SS信任的認(rèn)證服務(wù)器AS列表和用戶站SS的消息簽名;步驟3 基站BS收到接入鑒別請(qǐng)求消息,利用用戶站SS證書的公鑰驗(yàn)證用戶站SS的 消息簽名,若驗(yàn)證通過,則構(gòu)造證書鑒別請(qǐng)求消息,發(fā)送給接入地認(rèn)證服務(wù)器AS,所述證書 鑒別請(qǐng)求消息包括用戶站SS證書、基站BS證書、用戶站SS信任的認(rèn)證服務(wù)器AS列表和基 站BS的消息簽名;步驟4 接入地認(rèn)證服務(wù)器AS收到證書鑒別請(qǐng)求消息,利用基站BS證書的公鑰驗(yàn)證基 站BS的消息簽名,若驗(yàn)證通過,根據(jù)用戶站SS信任的認(rèn)證服務(wù)器AS列表判斷是否需要進(jìn) 行歸屬地的身份鑒別,分兩種情況I、若接入地認(rèn)證服務(wù)器AS在用戶站SS信任的認(rèn)證服務(wù)器AS列表中,則驗(yàn)證基站BS 證書和用戶站SS證書,構(gòu)造并發(fā)送第一證書鑒別響應(yīng)消息至基站BS,所述第一證書鑒別響 應(yīng)消息包括基站BS證書驗(yàn)證結(jié)果、用戶站SS證書驗(yàn)證結(jié)果、接入地認(rèn)證服務(wù)器AS證書和 接入地認(rèn)證服務(wù)器AS的消息簽名,下一步驟為步驟9 ;II、若接入地認(rèn)證服務(wù)器AS不在用戶站SS信任的認(rèn)證服務(wù)器AS列表中,則驗(yàn)證基站 BS證書,構(gòu)造第一歸屬地鑒別請(qǐng)求消息并發(fā)送至中心認(rèn)證服務(wù)器AS,所述第一歸屬地鑒別 請(qǐng)求消息包括基站BS證書驗(yàn)證結(jié)果、用戶站SS證書、接入地認(rèn)證服務(wù)器AS證書、用戶站SS 信任的認(rèn)證服務(wù)器AS列表和接入地認(rèn)證服務(wù)器AS的消息簽名;步驟5 接上述步驟4的II,中心認(rèn)證服務(wù)器AS收到第一歸屬地鑒別請(qǐng)求消息后,利用 接入地認(rèn)證服務(wù)器AS證書的公鑰驗(yàn)證消息簽名,若驗(yàn)證通過,根據(jù)用戶站SS信任的認(rèn)證服 務(wù)器AS列表選擇其中一個(gè)認(rèn)證服務(wù)器AS,發(fā)送第二歸屬地鑒別請(qǐng)求消息,所述第二歸屬地 鑒別請(qǐng)求消息的消息內(nèi)容來自收到的第一歸屬地鑒別請(qǐng)求消息,將其中的接入地認(rèn)證服務(wù) 器AS的消息簽名換成中心認(rèn)證服務(wù)器AS的消息簽名;步驟6:歸屬地認(rèn)證服務(wù)器AS收到第二歸屬地鑒別請(qǐng)求消息后,利用中心認(rèn)證服務(wù)器 AS證書的公鑰驗(yàn)證消息簽名,若驗(yàn)證通過,則驗(yàn)證用戶站SS證書,構(gòu)造第一歸屬地鑒別響 應(yīng)消息發(fā)送至中心認(rèn)證服務(wù)器AS,所述第一歸屬地鑒別響應(yīng)消息包括基站BS證書驗(yàn)證結(jié) 果、用戶站SS證書驗(yàn)證結(jié)果、接入地認(rèn)證服務(wù)器AS證書、歸屬地認(rèn)證服務(wù)器AS證書和歸屬 地認(rèn)證服務(wù)器AS簽名;步驟7 中心認(rèn)證服務(wù)器AS收到第一歸屬地鑒別響應(yīng)消息后,利用歸屬地認(rèn)證服務(wù)器AS證書的公鑰驗(yàn)證簽名,若驗(yàn)證通過,構(gòu)造第二歸屬地鑒別響應(yīng)消息發(fā)送至接入地認(rèn)證服 務(wù)器AS,所述第二歸屬地鑒別響應(yīng)消息的消息內(nèi)容來自收到的第一歸屬地鑒別響應(yīng)消息, 并增加中心認(rèn)證服務(wù)器AS的消息簽名;步驟8:接入地認(rèn)證服務(wù)器AS收到第二歸屬地鑒別響應(yīng)消息后,根據(jù)中心認(rèn)證服務(wù)器 AS證書的公鑰驗(yàn)證中心認(rèn)證服務(wù)器AS的消息簽名,根據(jù)歸屬地認(rèn)證服務(wù)器AS證書的公鑰 驗(yàn)證歸屬地認(rèn)證服務(wù)器AS的消息簽名,若驗(yàn)證通過,構(gòu)造并發(fā)送第二證書鑒別響應(yīng)消息至 基站BS,所述第二證書鑒別響應(yīng)消息包括BS證書驗(yàn)證結(jié)果、SS證書驗(yàn)證結(jié)果、接入地認(rèn)證 服務(wù)器AS證書、歸屬地認(rèn)證服務(wù)器AS證書、歸屬地認(rèn)證服務(wù)器AS的消息簽名和接入地認(rèn) 證服務(wù)器AS的消息簽名,其中歸屬地認(rèn)證服務(wù)器AS的消息簽名與第二歸屬地鑒別響應(yīng)消 息中的歸屬地認(rèn)證服務(wù)器AS簽名相同;步驟9 接上述步驟4的I或步驟8,基站BS收到第一證書鑒別響應(yīng)消息或第二證書鑒 別響應(yīng)消息,利用接入地認(rèn)證服務(wù)器AS證書公鑰驗(yàn)證接入地認(rèn)證服務(wù)器AS的消息簽名,利 用歸屬地認(rèn)證服務(wù)器AS證書公鑰驗(yàn)證歸屬地認(rèn)證服務(wù)器AS的消息簽名,若驗(yàn)證通過,根據(jù) 第一證書鑒別響應(yīng)消息或第二證書鑒別響應(yīng)消息判斷用戶站SS的合法性,若用戶站SS合 法,則構(gòu)造接入鑒別響應(yīng)消息發(fā)送至用戶站SS,所述接入鑒別響應(yīng)消息包括基站BS證書驗(yàn) 證結(jié)果、用戶站SS證書驗(yàn)證結(jié)果、接入地認(rèn)證服務(wù)器AS證書、歸屬地認(rèn)證服務(wù)器AS證書、 歸屬地認(rèn)證服務(wù)器AS的消息簽名、接入地認(rèn)證服務(wù)器AS的消息簽名、更新的授權(quán)密鑰信 息、加密的授權(quán)密鑰材料和BS的消息簽名;步驟10 用戶站SS收到接入鑒別響應(yīng)消息,利用基站BS證書公鑰驗(yàn)證基站BS的消息 簽名,利用接入地認(rèn)證服務(wù)器AS證書公鑰驗(yàn)證接入地認(rèn)證服務(wù)器AS的消息簽名,利用歸屬 地認(rèn)證服務(wù)器AS證書公鑰驗(yàn)證歸屬地認(rèn)證服務(wù)器AS的消息簽名,若驗(yàn)證通過,根據(jù)接入鑒 別響應(yīng)消息驗(yàn)證基站BS的合法性,若基站BS合法,則構(gòu)造接入鑒別確認(rèn)消息發(fā)送至基站 BS,所述接入鑒別確認(rèn)消息包括更新的授權(quán)密鑰信息和消息鑒別碼;步驟11 基站BS收到接入鑒別確認(rèn)消息,根據(jù)消息鑒別碼校驗(yàn)數(shù)據(jù)完整性,若校驗(yàn)通 過,啟用更新的授權(quán)密鑰材料,否則解除與用戶站SS的連接。
3.根據(jù)權(quán)利要求2所述的無線城域網(wǎng)終端非歸屬地接入身份鑒別的方法,其特征在 于步驟6中所述歸屬地認(rèn)證服務(wù)器AS驗(yàn)證用戶站SS證書、構(gòu)造歸屬地鑒別響應(yīng)消息前先 判斷該歸屬地認(rèn)證服務(wù)器AS是否在用戶站SS信任的認(rèn)證服務(wù)器AS列表中,若不在,則設(shè) 置用戶站SS證書的驗(yàn)證結(jié)果為頒發(fā)者不明確。
4.根據(jù)權(quán)利要求2所述的無線城域網(wǎng)終端非歸屬地接入身份鑒別的方法,其特征在 于步驟9中所述基站BS在構(gòu)造接入鑒別響應(yīng)消息前生成授權(quán)密鑰材料,并使用用戶站SS 證書的公鑰加密授權(quán)密鑰材料。
5.根據(jù)權(quán)利要求2所述的無線城域網(wǎng)終端非歸屬地接入身份鑒別的方法,其特征在 于步驟10中所述用戶站SS構(gòu)造接入鑒別確認(rèn)消息前利用用戶站SS證書的私鑰解密授權(quán) 密鑰材料。
全文摘要
本發(fā)明涉及一種無線城域網(wǎng)中終端非歸屬地接入身份鑒別的實(shí)現(xiàn)方法。本發(fā)明接入地認(rèn)證服務(wù)器AS和歸屬地認(rèn)證服務(wù)器AS無直接信任關(guān)系,均信任中心認(rèn)證服務(wù)器AS,并持有中心認(rèn)證服務(wù)器AS的證書;基站BS請(qǐng)求認(rèn)證服務(wù)器對(duì)基站BS和用戶站SS進(jìn)行身份鑒別時(shí),若接入地認(rèn)證服務(wù)器AS確定不能在本地鑒別用戶站SS,則將歸屬地鑒別請(qǐng)求消息發(fā)送給中心認(rèn)證服務(wù)器AS,中心認(rèn)證服務(wù)器AS再把歸屬地鑒別請(qǐng)求消息發(fā)送給歸屬地認(rèn)證服務(wù)器AS進(jìn)行認(rèn)證。
文檔編號(hào)H04W12/04GK101925061SQ20101026771
公開日2010年12月22日 申請(qǐng)日期2010年8月31日 優(yōu)先權(quán)日2010年8月31日
發(fā)明者張永強(qiáng), 林凡, 王勝男 申請(qǐng)人:廣州杰賽科技股份有限公司
網(wǎng)友詢問留言 已有0條留言
  • 還沒有人留言評(píng)論。精彩留言會(huì)獲得點(diǎn)贊!
1