專利名稱:一種無線城域網(wǎng)終端非歸屬地接入身份鑒別的方法
技術(shù)領(lǐng)域:
本發(fā)明涉及無線通信網(wǎng)絡(luò)及網(wǎng)絡(luò)安全的技術(shù)領(lǐng)域,特別涉及一種無線城域網(wǎng)中終 端非歸屬地接入身份鑒別的實(shí)現(xiàn)方法。
背景技術(shù):
IEEE 802. 16無線城域網(wǎng)作為未來無線接入技術(shù)的重要發(fā)展方向,備受各界廣泛 關(guān)注。然而,安全問題一直制約著其進(jìn)一步的推廣與發(fā)展。IEEE 802. 16d中定義了基于公 開密鑰加密算法(RSA)和數(shù)字證書的認(rèn)證協(xié)議,可以實(shí)現(xiàn)基站BS對用戶站BS的認(rèn)證。IEEE 802. 16d的主要缺點(diǎn)是只提供了基站BS對用戶站SS的單向認(rèn)證,而沒有提供用戶站SS 對基站BS的認(rèn)證,假冒基站BS欺騙用戶站SS非常容易。此外,授權(quán)密鑰(AK)和會話密鑰 (TEK)都是由基站BS —方產(chǎn)生的,在這種單向認(rèn)證的條件下,很難使得用戶站SS對會話密 鑰TEK的質(zhì)量產(chǎn)生信任。IEEE 802. 16e對IEEE 802. 16d進(jìn)行了增強(qiáng)性的修改,引入了可擴(kuò) 展認(rèn)證協(xié)議(Extensible Authentication Protocol,簡稱ΕΑΡ)。但是,仍然只包含了基站 BS對用戶站SS的單向身份認(rèn)證。申請?zhí)枮?00810027930.0的專利《一種無線城域網(wǎng)的安全接入方法》(簡稱 WMAN-SA)提供一種無線城域網(wǎng)的安全接入方法,在認(rèn)證授權(quán)過程中,采用了用戶站SS和基 站BS的雙向認(rèn)證代替原有的單向認(rèn)證,攻擊者冒充合法基站BS騙取用戶站SS的信任成為 不可能,避免了中間人攻擊的可能性。在密鑰的協(xié)商過程中,密鑰由用戶站SS和基站BS共 同產(chǎn)生,代替了由基站BS分配,保證了密鑰的質(zhì)量,增強(qiáng)了無線城域網(wǎng)的安全性。因此,改 進(jìn)的協(xié)議同樣可以滿足原無線城域網(wǎng)的功能、性能要求,并且更安全。隨著移動計算業(yè)務(wù)的不斷發(fā)展,用戶漫游的需求日益增加。當(dāng)在運(yùn)營環(huán)境下應(yīng)用 WMAN-SA時,網(wǎng)絡(luò)規(guī)模覆蓋到全國各個地理區(qū)域,用戶數(shù)量非常大,漫游的情況就會頻繁發(fā) 生。在終端漫游的情況下,如何進(jìn)行非歸屬地身份鑒別非常關(guān)鍵。而WMAN-SA僅定義了身 份鑒別、密鑰管理、數(shù)據(jù)加密、數(shù)據(jù)鑒別和重放保護(hù)等功能,并沒有包含非歸屬地身份鑒別 的具體方案,而且用戶站SS在不同基站BS間切換需要申請頒發(fā)不同的證書,用戶體驗(yàn)效果 會變差。
發(fā)明內(nèi)容
本發(fā)明的目的是提供一種安全高效的終端非歸屬地身份鑒別的方法,該方法能夠 解決無線城域網(wǎng)中終端基于WMAN-SA的非歸屬地身份鑒別問題。為解決上述技術(shù)問題,本發(fā)明的技術(shù)方案是
一種無線城域網(wǎng)終端非歸屬地接入身份鑒別的方法,用戶站SS本地存儲有用戶站SS 證書和若干信任的認(rèn)證服務(wù)器AS證書,基站BS本地存儲有基站BS證書和接入地認(rèn)證服務(wù) 器AS證書,其特征在于接入地認(rèn)證服務(wù)器AS和歸屬地認(rèn)證服務(wù)器AS之間有直接的信任 關(guān)系,基站BS請求接入地認(rèn)證服務(wù)器對基站BS和用戶站SS進(jìn)行身份鑒別時,若接入地認(rèn)證服務(wù)器AS確定不能在本地鑒別用戶站SS,則根據(jù)用戶站SS信任的認(rèn)證服務(wù)器AS列表來 選擇歸屬地認(rèn)證服務(wù)器AS,進(jìn)而對用戶站SS進(jìn)行身份鑒別。信任關(guān)系是指相信來自該AS 的消息,認(rèn)可該AS的身份鑒別結(jié)果,可以通過交換各自證書或預(yù)置共享密鑰等方法來建立 信任關(guān)系。 所述的無線城域網(wǎng)終端非歸屬地接入身份鑒別的方法,其特征在于包括以下步 驟
步驟1 基站BS向用戶站SS發(fā)送接入鑒別激活消息,所述接入鑒別激活消息包括基站 BS證書和基站BS的消息簽名;
步驟2 用戶站SS收到接入鑒別激活消息,利用基站BS證書的公鑰驗(yàn)證基站BS的消 息簽名,若驗(yàn)證通過,則構(gòu)造接入鑒別請求消息并發(fā)送至基站BS,所述接入鑒別請求消息包 括用戶站SS證書、用戶站SS信任的認(rèn)證服務(wù)器AS列表和用戶站SS的消息簽名;
步驟3 基站BS收到接入鑒別請求消息,利用用戶站SS證書的公鑰驗(yàn)證用戶站SS的 消息簽名,若驗(yàn)證通過,則構(gòu)造證書鑒別請求消息,發(fā)送給接入地認(rèn)證服務(wù)器AS,所述證書 鑒別請求消息包括用戶站SS證書、基站BS證書、用戶站SS信任的認(rèn)證服務(wù)器AS列表和基 站BS的消息簽名;
步驟4 接入地認(rèn)證服務(wù)器AS收到證書鑒別請求消息,利用基站BS證書的公鑰驗(yàn)證基 站BS的消息簽名,若驗(yàn)證通過,根據(jù)用戶站SS信任的認(rèn)證服務(wù)器AS列表判斷是否需要進(jìn) 行歸屬地的身份鑒別,分兩種情況
I、若接入地認(rèn)證服務(wù)器AS在用戶站SS信任的認(rèn)證服務(wù)器AS列表中,則驗(yàn)證基站BS 證書和用戶站SS證書,構(gòu)造并發(fā)送第一證書鑒別響應(yīng)消息至基站BS,所述第一證書鑒別響 應(yīng)消息包括基站BS證書驗(yàn)證結(jié)果、用戶站SS證書驗(yàn)證結(jié)果、接入地認(rèn)證服務(wù)器AS證書和 接入地認(rèn)證服務(wù)器AS的消息簽名,下一步驟為步驟7 ;
II、若接入地認(rèn)證服務(wù)器AS不在用戶站SS信任的認(rèn)證服務(wù)器AS列表中,則驗(yàn)證基站 BS證書,根據(jù)用戶站SS信任的認(rèn)證服務(wù)器AS列表選擇其中一個認(rèn)證服務(wù)器AS,構(gòu)造并發(fā) 送歸屬地鑒別請求消息,所述歸屬地鑒別請求消息包括基站BS證書驗(yàn)證結(jié)果、用戶站SS證 書、接入地認(rèn)證服務(wù)器AS證書、用戶站SS信任的認(rèn)證服務(wù)器AS列表和接入地認(rèn)證服務(wù)器 AS的消息簽名;
步驟5:接上述步驟4的II,歸屬地認(rèn)證服務(wù)器AS收到歸屬地鑒別請求消息,利用接入 地認(rèn)證服務(wù)器AS證書的公鑰驗(yàn)證消息簽名,若驗(yàn)證通過,則驗(yàn)證用戶站SS證書,構(gòu)造歸屬 地鑒別響應(yīng)消息發(fā)送至接入地認(rèn)證服務(wù)器AS,所述歸屬地鑒別響應(yīng)消息包括基站BS證書 驗(yàn)證結(jié)果、用戶站SS證書驗(yàn)證結(jié)果、接入地認(rèn)證服務(wù)器AS證書、歸屬地認(rèn)證服務(wù)器AS證書 和歸屬地認(rèn)證服務(wù)器AS簽名;
步驟6 接入地認(rèn)證服務(wù)器AS收到歸屬地鑒別響應(yīng)消息后,根據(jù)歸屬地認(rèn)證服務(wù)器AS 證書的公鑰驗(yàn)證消息簽名,若驗(yàn)證通過,構(gòu)造并發(fā)送第二證書鑒別響應(yīng)消息至基站BS,所述 第二證書鑒別響應(yīng)消息包括基站BS證書驗(yàn)證結(jié)果、用戶站SS證書驗(yàn)證結(jié)果、接入地認(rèn)證服 務(wù)器AS證書、歸屬地認(rèn)證服務(wù)器AS證書、歸屬地認(rèn)證服務(wù)器AS的消息簽名和接入地認(rèn)證 服務(wù)器AS的消息簽名,其中歸屬地認(rèn)證服務(wù)器AS的消息簽名與步驟5中所述歸屬地鑒別 響應(yīng)消息中的歸屬地認(rèn)證服務(wù)器AS簽名相同;
步驟7 接上述步驟4的I或步驟6,基站BS收到第一證書鑒別響應(yīng)消息或第二證書鑒別響應(yīng)消息,利用接入地認(rèn)證服務(wù)器AS證書公鑰驗(yàn)證接入地認(rèn)證服務(wù)器AS的消息簽名,利 用歸屬地認(rèn)證服務(wù)器AS證書公鑰驗(yàn)證歸屬地認(rèn)證服務(wù)器AS的消息簽名,若驗(yàn)證通過,根據(jù) 第一證書鑒別響應(yīng)消息或第二證書鑒別響應(yīng)消息判斷用戶站SS的合法性,若用戶站SS合 法,則構(gòu)造接入鑒別響應(yīng)消息發(fā)送至用戶站SS,所述接入鑒別響應(yīng)消息包括基站BS證書驗(yàn) 證結(jié)果、用戶站SS證書驗(yàn)證結(jié)果、接入地認(rèn)證服務(wù)器AS證書、歸屬地認(rèn)證服務(wù)器AS證書、 歸屬地認(rèn)證服務(wù)器AS的消息簽名、接入地認(rèn)證服務(wù)器AS的消息簽名、更新的授權(quán)密鑰信 息、加密的授權(quán)密鑰材料和BS的消息簽名;
步驟8 用戶站SS收到接入鑒別響應(yīng)消息,利用基站BS證書公鑰驗(yàn)證基站BS的消息簽 名,利用接入地認(rèn)證服務(wù)器AS證書公鑰驗(yàn)證接入地認(rèn)證服務(wù)器AS的消息簽名,利用歸屬地 認(rèn)證服務(wù)器AS證書公鑰驗(yàn)證歸屬地認(rèn)證服務(wù)器AS的消息簽名,若驗(yàn)證通過,根據(jù)接入鑒別 響應(yīng)消息驗(yàn)證基站BS的合法性,若基站BS合法,則構(gòu)造接入鑒別確認(rèn)消息發(fā)送至基站BS, 所述接入鑒別確認(rèn)消息包括更新的授權(quán)密鑰信息和消息鑒別碼;
步驟9 基站BS收到接入鑒別確認(rèn)消息,根據(jù)消息鑒別碼校驗(yàn)數(shù)據(jù)完整性,若校驗(yàn)通 過,啟用更新的授權(quán)密鑰材料,否則解除與用戶站SS的連接。所述的無線城域網(wǎng)終端非歸屬地接入身份鑒別的方法,其特征在于步驟5中所 述歸屬地認(rèn)證服務(wù)器AS驗(yàn)證用戶站SS證書、構(gòu)造歸屬地鑒別響應(yīng)消息前先判斷該歸屬地 認(rèn)證服務(wù)器AS是否在用戶站SS信任的認(rèn)證服務(wù)器AS列表中,若不在,則設(shè)置用戶站SS證 書的驗(yàn)證結(jié)果為頒發(fā)者不明確。所述的無線城域網(wǎng)終端非歸屬地接入身份鑒別的方法,其特征在于步驟7中所 述基站BS在構(gòu)造接入鑒別響應(yīng)消息前生成授權(quán)密鑰材料,并使用用戶站SS證書的公鑰加 密授權(quán)密鑰材料。所述的無線城域網(wǎng)終端非歸屬地接入身份鑒別的方法,其特征在于步驟8中所 述用戶站SS構(gòu)造接入鑒別確認(rèn)消息前利用用戶站SS證書的私鑰解密授權(quán)密鑰材料。本發(fā)明相對于現(xiàn)有技術(shù)的有益效果是
本發(fā)明解決了無線城域網(wǎng)中終端基于WMAN-SA的非歸屬地身份鑒別問題,采用基站BS 和用戶站SS的雙向身份認(rèn)證,網(wǎng)絡(luò)安全性較高;而且用戶站SS在不同的基站BS間切換時 不需要申請頒發(fā)證書,用戶體驗(yàn)較好。
圖1是本發(fā)明的網(wǎng)絡(luò)拓?fù)鋱D; 圖2是本發(fā)明的鑒別流程圖。
具體實(shí)施例方式下面結(jié)合附圖通過具體實(shí)施方式
對本發(fā)明作進(jìn)一步詳細(xì)的說明。參見圖1,本發(fā)明涉及的網(wǎng)絡(luò)實(shí)體包括認(rèn)證服務(wù)器AS,基站BS和用戶站SS,其中 認(rèn)證服務(wù)器AS分為接入地認(rèn)證服務(wù)器AS和歸屬地認(rèn)證服務(wù)器AS。各地區(qū)AS之間(AS1、 AS2···)有信任關(guān)系。參見圖2,本發(fā)明的步驟和處理流程如下UBS向SS發(fā)送接入鑒別激活消息,消息內(nèi)容包含BS證書和BS的消息簽名。2、SS收到接入鑒別激活消息,利用BS證書的公鑰驗(yàn)證BS的消息簽名,若驗(yàn)證通 過,構(gòu)造接入鑒別請求消息并發(fā)送至BS,消息內(nèi)容包含SS證書、SS信任的AS列表和SS的 消息簽名。3、BS收到接入鑒別請求消息,利用SS證書的公鑰驗(yàn)證SS的消息簽名,若驗(yàn)證通 過,構(gòu)造證書鑒別請求消息,發(fā)送給接入地認(rèn)證服務(wù)器AS,消息內(nèi)容包含SS證書、BS證書、 SS信任的AS列表和BS的消息簽名。4、接入地認(rèn)證服務(wù)器AS收到證書鑒別請求消息,利用BS證書的公鑰驗(yàn)證BS的消 息簽名,若驗(yàn)證通過,根據(jù)SS信任的AS列表判斷是否需要進(jìn)行歸屬地的身份鑒別,若接入 地認(rèn)證服務(wù)器AS在SS信任的AS列表中,則驗(yàn)證BS證書和SS證書,構(gòu)造并發(fā)送第一證書 鑒別響應(yīng)消息至BS,消息內(nèi)容包含BS證書驗(yàn)證結(jié)果、SS證書驗(yàn)證結(jié)果、接入地認(rèn)證服務(wù)器 AS證書和接入地認(rèn)證服務(wù)器AS的消息簽名;若接入地認(rèn)證服務(wù)器AS不在SS信任的AS列 表中,則驗(yàn)證BS證書,根據(jù)SS信任的AS列表選擇其中一個AS,構(gòu)造歸屬地鑒別請求消息并 發(fā)送,消息內(nèi)容包含BS證書驗(yàn)證結(jié)果、SS證書、接入地認(rèn)證服務(wù)器AS證書、SS信任的AS 列表和接入地認(rèn)證服務(wù)器AS的消息簽名。5、歸屬地認(rèn)證服務(wù)器AS收到歸屬地鑒別請求消息,利用接入地認(rèn)證服務(wù)器AS證 書的公鑰驗(yàn)證消息簽名,若驗(yàn)證通過,判斷歸屬地認(rèn)證服務(wù)器AS是否在SS信任的AS列表 中,若不在,則設(shè)置SS證書的驗(yàn)證結(jié)果為頒發(fā)者不明確,否則驗(yàn)證SS證書,構(gòu)造歸屬地鑒別 響應(yīng)消息發(fā)送至接入地認(rèn)證服務(wù)器AS,消息內(nèi)容包含BS證書驗(yàn)證結(jié)果、SS證書驗(yàn)證結(jié)果、 接入地認(rèn)證服務(wù)器AS證書、歸屬地認(rèn)證服務(wù)器AS證書和歸屬地認(rèn)證服務(wù)器AS簽名。6、接入地認(rèn)證服務(wù)器AS收到歸屬地鑒別響應(yīng)消息后,根據(jù)歸屬地認(rèn)證服務(wù)器AS 證書的公鑰驗(yàn)證消息簽名,若驗(yàn)證通過,構(gòu)造并發(fā)送第二證書鑒別響應(yīng)消息至BS,消息內(nèi)容 包含BS證書驗(yàn)證結(jié)果、SS證書驗(yàn)證結(jié)果、接入地認(rèn)證服務(wù)器AS證書、歸屬地認(rèn)證服務(wù)器 AS證書、歸屬地認(rèn)證服務(wù)器AS的消息簽名和接入地認(rèn)證服務(wù)器AS的消息簽名,其中歸屬地 認(rèn)證服務(wù)器AS的消息簽名與歸屬地鑒別響應(yīng)消息中的歸屬地認(rèn)證服務(wù)器AS簽名相同。7、BS收到第一證書鑒別響應(yīng)消息或第二證書鑒別響應(yīng)消息,利用接入地認(rèn)證服務(wù) 器AS證書公鑰驗(yàn)證接入地認(rèn)證服務(wù)器AS的消息簽名,利用歸屬地認(rèn)證服務(wù)器AS證書公鑰 驗(yàn)證歸屬地認(rèn)證服務(wù)器AS的消息簽名,若驗(yàn)證通過,根據(jù)第一證書鑒別響應(yīng)消息或第二證 書鑒別響應(yīng)消息判斷SS的合法性,若SS合法,生成授權(quán)密鑰材料,使用SS證書的公鑰加密 授權(quán)密鑰材料,然后構(gòu)造接入鑒別響應(yīng)消息發(fā)送至SS,消息內(nèi)容包含BS證書驗(yàn)證結(jié)果、SS 證書驗(yàn)證結(jié)果、接入地認(rèn)證服務(wù)器AS證書、歸屬地認(rèn)證服務(wù)器AS證書、歸屬地認(rèn)證服務(wù)器 AS的消息簽名、接入地認(rèn)證服務(wù)器AS的消息簽名、更新的授權(quán)密鑰信息、加密的授權(quán)密鑰 材料和BS的消息簽名。8、SS收到接入鑒別響應(yīng)消息,利用BS證書公鑰驗(yàn)證BS的消息簽名,利用接入地 認(rèn)證服務(wù)器AS證書公鑰驗(yàn)證接入地認(rèn)證服務(wù)器AS的消息簽名,利用歸屬地認(rèn)證服務(wù)器AS 證書公鑰驗(yàn)證歸屬地認(rèn)證服務(wù)器AS的消息簽名,若驗(yàn)證通過,根據(jù)接入鑒別響應(yīng)消息驗(yàn)證 BS的合法性,若BS合法,利用SS證書的私鑰解密授權(quán)密鑰材料,然后構(gòu)造接入鑒別確認(rèn)消 息發(fā)送至BS,消息內(nèi)容包含更新的授權(quán)密鑰信息和消息鑒別碼。9、BS收到接入鑒別確認(rèn)消息,根據(jù)消息鑒別碼校驗(yàn)數(shù)據(jù)完整性,若校驗(yàn)通過,啟用更新的授權(quán)密鑰材料,否則解除與SS的連接。 本發(fā)明采用基站BS和用戶站SS的雙向身份認(rèn)證,網(wǎng)絡(luò)安全性較高;而且用戶站 SS在不同的基站BS間切換時不需要申請頒發(fā)證書,用戶體驗(yàn)較好;能夠了解決無線城域網(wǎng) 中終端基于WMAN-SA的非歸屬地身份鑒別問題。
權(quán)利要求
一種無線城域網(wǎng)終端非歸屬地接入身份鑒別的方法,其特征在于接入地認(rèn)證服務(wù)器AS和歸屬地認(rèn)證服務(wù)器AS之間有直接的信任關(guān)系,基站BS請求接入地認(rèn)證服務(wù)器對基站BS和用戶站SS進(jìn)行身份鑒別時,若接入地認(rèn)證服務(wù)器AS確定不能在本地鑒別用戶站SS,則根據(jù)用戶站SS信任的認(rèn)證服務(wù)器AS列表來選擇歸屬地認(rèn)證服務(wù)器AS,進(jìn)而對用戶站SS進(jìn)行身份鑒別。
2.根據(jù)權(quán)利要求1所述的無線城域網(wǎng)終端非歸屬地接入身份鑒別的方法,其特征在 于包括以下步驟步驟1 基站BS向用戶站SS發(fā)送接入鑒別激活消息,所述接入鑒別激活消息包括基站 BS證書和基站BS的消息簽名;步驟2 用戶站SS收到接入鑒別激活消息,利用基站BS證書的公鑰驗(yàn)證基站BS的消 息簽名,若驗(yàn)證通過,則構(gòu)造接入鑒別請求消息并發(fā)送至基站BS,所述接入鑒別請求消息包 括用戶站SS證書、用戶站SS信任的認(rèn)證服務(wù)器AS列表和用戶站SS的消息簽名;步驟3 基站BS收到接入鑒別請求消息,利用用戶站SS證書的公鑰驗(yàn)證用戶站SS的 消息簽名,若驗(yàn)證通過,則構(gòu)造證書鑒別請求消息,發(fā)送給接入地認(rèn)證服務(wù)器AS,所述證書 鑒別請求消息包括用戶站SS證書、基站BS證書、用戶站SS信任的認(rèn)證服務(wù)器AS列表和基 站BS的消息簽名;步驟4 接入地認(rèn)證服務(wù)器AS收到證書鑒別請求消息,利用基站BS證書的公鑰驗(yàn)證基 站BS的消息簽名,若驗(yàn)證通過,根據(jù)用戶站SS信任的認(rèn)證服務(wù)器AS列表判斷是否需要進(jìn) 行歸屬地的身份鑒別,分兩種情況I、若接入地認(rèn)證服務(wù)器AS在用戶站SS信任的認(rèn)證服務(wù)器AS列表中,則驗(yàn)證基站BS 證書和用戶站SS證書,構(gòu)造并發(fā)送第一證書鑒別響應(yīng)消息至基站BS,所述第一證書鑒別響 應(yīng)消息包括基站BS證書驗(yàn)證結(jié)果、用戶站SS證書驗(yàn)證結(jié)果、接入地認(rèn)證服務(wù)器AS證書和 接入地認(rèn)證服務(wù)器AS的消息簽名,下一步驟為步驟7 ;II、若接入地認(rèn)證服務(wù)器AS不在用戶站SS信任的認(rèn)證服務(wù)器AS列表中,則驗(yàn)證基站 BS證書,根據(jù)用戶站SS信任的認(rèn)證服務(wù)器AS列表選擇其中一個認(rèn)證服務(wù)器AS,構(gòu)造并發(fā) 送歸屬地鑒別請求消息,所述歸屬地鑒別請求消息包括基站BS證書驗(yàn)證結(jié)果、用戶站SS證 書、接入地認(rèn)證服務(wù)器AS證書、用戶站SS信任的認(rèn)證服務(wù)器AS列表和接入地認(rèn)證服務(wù)器 AS的消息簽名;步驟5 接上述步驟4的II,歸屬地認(rèn)證服務(wù)器AS收到歸屬地鑒別請求消息,利用接入 地認(rèn)證服務(wù)器AS證書的公鑰驗(yàn)證消息簽名,若驗(yàn)證通過,則驗(yàn)證用戶站SS證書,構(gòu)造歸屬 地鑒別響應(yīng)消息發(fā)送至接入地認(rèn)證服務(wù)器AS,所述歸屬地鑒別響應(yīng)消息包括基站BS證書 驗(yàn)證結(jié)果、用戶站SS證書驗(yàn)證結(jié)果、接入地認(rèn)證服務(wù)器AS證書、歸屬地認(rèn)證服務(wù)器AS證書 和歸屬地認(rèn)證服務(wù)器AS簽名;步驟6 接入地認(rèn)證服務(wù)器AS收到歸屬地鑒別響應(yīng)消息后,根據(jù)歸屬地認(rèn)證服務(wù)器AS 證書的公鑰驗(yàn)證消息簽名,若驗(yàn)證通過,構(gòu)造并發(fā)送第二證書鑒別響應(yīng)消息至基站BS,所述 第二證書鑒別響應(yīng)消息包括基站BS證書驗(yàn)證結(jié)果、用戶站SS證書驗(yàn)證結(jié)果、接入地認(rèn)證服 務(wù)器AS證書、歸屬地認(rèn)證服務(wù)器AS證書、歸屬地認(rèn)證服務(wù)器AS的消息簽名和接入地認(rèn)證 服務(wù)器AS的消息簽名,其中歸屬地認(rèn)證服務(wù)器AS的消息簽名與步驟5中所述歸屬地鑒別 響應(yīng)消息中的歸屬地認(rèn)證服務(wù)器AS簽名相同;步驟7 接上述步驟4的I或步驟6,基站BS收到第一證書鑒別響應(yīng)消息或第二證書鑒 別響應(yīng)消息,利用接入地認(rèn)證服務(wù)器AS證書公鑰驗(yàn)證接入地認(rèn)證服務(wù)器AS的消息簽名,利 用歸屬地認(rèn)證服務(wù)器AS證書公鑰驗(yàn)證歸屬地認(rèn)證服務(wù)器AS的消息簽名,若驗(yàn)證通過,根據(jù) 第一證書鑒別響應(yīng)消息或第二證書鑒別響應(yīng)消息判斷用戶站SS的合法性,若用戶站SS合 法,則構(gòu)造接入鑒別響應(yīng)消息發(fā)送至用戶站SS,所述接入鑒別響應(yīng)消息包括基站BS證書驗(yàn) 證結(jié)果、用戶站SS證書驗(yàn)證結(jié)果、接入地認(rèn)證服務(wù)器AS證書、歸屬地認(rèn)證服務(wù)器AS證書、 歸屬地認(rèn)證服務(wù)器AS的消息簽名、接入地認(rèn)證服務(wù)器AS的消息簽名、更新的授權(quán)密鑰信 息、加密的授權(quán)密鑰材料和BS的消息簽名;步驟8 用戶站SS收到接入鑒別響應(yīng)消息,利用基站BS證書公鑰驗(yàn)證基站BS的消息簽 名,利用接入地認(rèn)證服務(wù)器AS證書公鑰驗(yàn)證接入地認(rèn)證服務(wù)器AS的消息簽名,利用歸屬地 認(rèn)證服務(wù)器AS證書公鑰驗(yàn)證歸屬地認(rèn)證服務(wù)器AS的消息簽名,若驗(yàn)證通過,根據(jù)接入鑒別 響應(yīng)消息驗(yàn)證基站BS的合法性,若基站BS合法,則構(gòu)造接入鑒別確認(rèn)消息發(fā)送至基站BS, 所述接入鑒別確認(rèn)消息包括更新的授權(quán)密鑰信息和消息鑒別碼;步驟9 基站BS收到接入鑒別確認(rèn)消息,根據(jù)消息鑒別碼校驗(yàn)數(shù)據(jù)完整性,若校驗(yàn)通 過,啟用更新的授權(quán)密鑰材料,否則解除與用戶站SS的連接。
3.根據(jù)權(quán)利要求2所述的無線城域網(wǎng)終端非歸屬地接入身份鑒別的方法,其特征在 于步驟5中所述歸屬地認(rèn)證服務(wù)器AS驗(yàn)證用戶站SS證書、構(gòu)造歸屬地鑒別響應(yīng)消息前先 判斷該歸屬地認(rèn)證服務(wù)器AS是否在用戶站SS信任的認(rèn)證服務(wù)器AS列表中,若不在,則設(shè) 置用戶站SS證書的驗(yàn)證結(jié)果為頒發(fā)者不明確。
4.根據(jù)權(quán)利要求2所述的無線城域網(wǎng)終端非歸屬地接入身份鑒別的方法,其特征在 于步驟7中所述基站BS在構(gòu)造接入鑒別響應(yīng)消息前生成授權(quán)密鑰材料,并使用用戶站SS 證書的公鑰加密授權(quán)密鑰材料。
5.根據(jù)權(quán)利要求2所述的無線城域網(wǎng)終端非歸屬地接入身份鑒別的方法,其特征在 于步驟8中所述用戶站SS構(gòu)造接入鑒別確認(rèn)消息前利用用戶站SS證書的私鑰解密授權(quán) 密鑰材料。
全文摘要
本發(fā)明涉及一種無線城域網(wǎng)中終端非歸屬地接入身份鑒別的實(shí)現(xiàn)方法。本發(fā)明接入地認(rèn)證服務(wù)器AS和歸屬地認(rèn)證服務(wù)器AS之間有直接的信任關(guān)系,基站BS請求認(rèn)證服務(wù)器對基站BS和用戶站SS進(jìn)行身份鑒別時,若接入地認(rèn)證服務(wù)器AS確定不能在本地鑒別用戶站SS,則根據(jù)用戶站SS信任的認(rèn)證服務(wù)器AS列表來選擇歸屬地認(rèn)證服務(wù)器AS,進(jìn)而對用戶站SS進(jìn)行身份鑒別。本發(fā)明解決了無線城域網(wǎng)中終端基于WMAN-SA的非歸屬地身份鑒別問題。
文檔編號H04W12/06GK101917722SQ20101026772
公開日2010年12月15日 申請日期2010年8月31日 優(yōu)先權(quán)日2010年8月31日
發(fā)明者張永強(qiáng), 林凡, 王勝男 申請人:廣州杰賽科技股份有限公司