一種基于身份憑證的無線局域網雙向接入認證系統及方法
【專利摘要】一種基于身份憑證的無線局域網雙向接入認證系統及方法屬于無線網絡安全領域,該系統包括接入路由器,設置在安全域內,還包括身份憑證管理服務器和認證服務器;身份憑證管理服務器用于對安全域內實體的身份憑證進行管理,包括頒發(fā)身份憑證和維護身份憑證;認證服務器用于驗證移動用戶的接入認證申請并完成與移動用戶間的共享密鑰協商;接入路由器用于根據認證服務器返回的驗證結果控制移動用戶是否接入無線局域網,同時接入路由器接收和轉發(fā)移動用戶與認證服務器間的認證消息。本發(fā)明在一個自治安全域內,既能實現移動用戶與訪問網絡間的雙向接入認證和密鑰協商,又支持移動用戶于不同接入路由器間切換時的高效接入認證,提高了接入認證效率。
【專利說明】—種基于身份憑證的無線局域網雙向接入認證系統及方法
【技術領域】
[0001]本發(fā)明屬于無線網絡安全領域,特別涉及一種基于身份憑證的無線局域網雙向接入認證系統及方法。
【背景技術】
[0002]隨著計算機網絡和移動通信技術的飛速發(fā)展,大量移動設備涌現,人們對無處不在的泛在網絡接入需求越發(fā)迫切。作為Internet的擴展和延伸,IEEE802.11無線局域網(Wireless Local Area Network, WLAN)以其部署靈活、異構兼容、低成本、帶寬豐富等優(yōu)勢成為“最后一公里”接入領域的最佳解決方案。
[0003]然而隨著WLAN的廣泛部署,其安全性問題開始凸現。下一代無線通信系統要求WLAN能夠在開放性環(huán)境中為用戶提供高效安全的接入服務,接入安全是確保WLAN安全的關鍵。當移動用戶接入WLAN時,訪問網絡需要認證移動用戶的身份以防止其對網絡資源的非法使用,另一方面移動用戶需認證訪問網絡從而獲得可靠的接入服務。訪問網絡和移動用戶間的雙向認證是實現WLAN安全接入的基礎。
[0004]現有的針對WLAN安全接入的解決方案主要包括:基于802.1li框架的集中式接入認證方法、基于PKI體系的分布式接入認證方法和基于身份密碼體制的接入認證方法。(I)在基于802.1li的集中式認證方法中,當移動用戶接入訪問網絡時,首先向接入路由器提出認證請求,接入路由器中轉認證請求至中心認證服務器,由中心認證服務器認證移動用戶身份并完成移動用戶與接入路由器間的密鑰協商。集中式認證模式需要認證實體同遠程中心認證服務器進行大量消息交互,降低了接入認證效率。(2)在基于PKI的分布式接入認證方法中,數字證書權威(Certificate Authority, CA)分別為移動用戶和接入路由器頒發(fā)X.509數字證書,當移動用戶接入WLAN時,移動用戶與接入路由器交換并驗證對方數字證書從而實現本地雙向接入認證。然而移動用戶和接入路由器對數字證書的管理和維護代價限制了相關方案的實用性。(3)基于身份密碼體制(IBC)近年興起并開始被應用到WLAN接入認證領域,以身份作為實體公鑰能夠減輕PKI體系下的數字證書管理和維護代價。移動用戶和接入路由器可以通過驗證對方的基于身份的簽名實現雙向接入認證。但實體的私鑰由私鑰生成中心(Private Key Generator, PKG)分配,導致密鑰托管和密鑰傳輸等一系列安全問題產生,使得此類方案僅局限于小范圍可信網絡內應用。
[0005]可見上述WLAN安全機制在認證消息交互延遲、數字證書維護代價和適用性等方面存在缺陷,更為重要的是當移動用戶在訪問網絡的不同接入路由器間切換時,完整的接入認證過程需重新執(zhí)行,進一步降低了接入認證效率。
【發(fā)明內容】
[0006]針對現有技術存在的不足,本發(fā)明提供一種基于身份憑證的無線局域網雙向接入認證系統及方法。
[0007]本發(fā)明的技術方案是:[0008]一種基于身份憑證的無線局域網雙向接入認證系統,包括接入路由器,設置在安全域內,還包括身份憑證管理服務器和認證服務器;
[0009]所述身份憑證管理服務器用于對安全域內實體的身份憑證進行管理,包括頒發(fā)身份憑證和維護身份憑證;所述身份憑證包括頒發(fā)者身份、頒發(fā)者公鑰、用戶身份、用戶公鑰、用戶身份證書和身份憑證有效期;所述安全域內實體包括:移動用戶和接入路由器;
[0010]所述認證服務器用于驗證移動用戶的接入認證申請并完成與移動用戶間的共享密鑰協商;
[0011]所述接入路由器用于根據認證服務器返回的驗證結果控制移動用戶是否接入無線局域網,同時接入路由器接收和轉發(fā)移動用戶與認證服務器間的認證消息。
[0012]采用所述的基于身份憑證的無線局域網雙向接入認證系統進行無線局域網雙向接入認證的方法,包括以下步驟:
[0013]步驟1:身份憑證管理服務器根據選擇的安全參數生成系統公共參數并發(fā)布系統公共參數;
[0014]所述系統公共參數包括循環(huán)群Gl和循環(huán)群G2、雙線性對e、循環(huán)群Gl上的基點
P和G,字符集至循環(huán)群Gl的單向哈希函數Hl,循環(huán)群G2至Z:的單向哈希函數H2 Xq為I
到q_l范圍的正整數,q為身份憑證管理服務器選擇的安全參數,身份憑證管理服務器的公鑰;
[0015]步驟2:身份憑證管理服務器對實體身份進行審核,并為實體頒發(fā)身份憑證;
[0016]步驟2.1:在實體申請身份憑證前,基于系統公共參數生成實體的公鑰私鑰對,其中,實體的私鑰SKENe Z;,由實體隨機選擇,實體的公鑰PKen=SKen -P,即循環(huán)群Gl上的基點P與實體的私鑰SKen的乘積;
[0017]步驟2.2:實體向身份憑證管理服務器發(fā)送身份信息和實體的公鑰,向身份憑證管理服務器申請身份憑證;
[0018]所述身份信息為網絡地址標識符;
[0019]步驟2.3:身份憑證管理服務器在接收到實體的身份憑證申請后,驗證該實體身份信息的合法性,如果身份信息合法,則生成身份憑證頒發(fā)給該實體,否則不向該實體頒發(fā)身份憑證;
[0020]所述身份憑證包括頒發(fā)者身份、頒發(fā)者公鑰、用戶身份、用戶公鑰、用戶身份證書和身份憑證有效期,其中,用戶身份證書由基于證書簽名算法CBS生成;
[0021]步驟2.4:實體接收到身份憑證后,使用實體的私鑰和身份憑證內的實體身份證書生成實體的簽名密鑰;
[0022]步驟3:當移動用戶移動至安全域內,并請求接入某接入路由器時,移動用戶、接入路由器和認證服務器之間進行雙向接入認證;
[0023]步驟3.1:移動用戶向接入路由器發(fā)送身份憑證出示消息,接入路由器將該消息轉發(fā)至認證服務器;
[0024]步驟3.1.1:移動用戶發(fā)送路由器請求消息以尋找當前所在安全域內的接入路由器;
[0025]步驟3.1.2:接入路由器收到移動用戶發(fā)送的路由器請求消息后進行接入認證;[0026]步驟3.1.3:接入路由器向移動用戶發(fā)送路由器應答消息,請求移動用戶的身份憑證;
[0027]步驟3.1.4:移動用戶發(fā)送身份憑證出示消息給接入路由器,該消息包含移動用戶的身份憑證、當前時間戳、移動用戶密鑰協商參數及基于移動用戶的簽名密鑰使用CBS算法對身份憑證出示消息的CBS簽名結果;
[0028]所述移動用戶密鑰協商參數即移動用戶的公鑰與隨機數的乘積;
[0029]步驟3.1.5:接入路由器接收到移動用戶的身份憑證出示消息后,將該消息轉發(fā)至認證服務器;步驟3.2:認證服務器接收到移動用戶的身份憑證出示消息后,對移動用戶的身份憑證進行驗證:若驗證成功,則執(zhí)行步驟3.3 ;若驗證失敗,則拒絕移動用戶接入,并將驗證失敗消息發(fā)送給接入路由器;
[0030]步驟3.2.1:驗證移動用戶的身份憑證出示消息中的時間戳的新鮮性以防止重放攻擊:如果時間戳新鮮,則認證服務器驗證身份憑證的有效期,執(zhí)行步驟3.2.2,否則驗證失敗,拒絕移動用戶接入,將驗證失敗消息發(fā)送給接入路由器;
[0031]步驟3.2.2:如果身份憑證處于有效期內,則認證服務器對身份憑證出示消息的CBS簽名結果進行驗證,執(zhí)行步驟3.2.3,如果身份憑證過期,將驗證失敗消息發(fā)送給接入路由器;
[0032]步驟3.2.3:認證服務器根據身份憑證中的頒發(fā)者公鑰和用戶公鑰對身份憑證出示消息的CBS簽名結果進行驗證:如果驗證通過,則認證服務器確認移動用戶為合法接入用戶;如果驗證失敗,則拒絕移動用戶接入,將驗證失敗消息發(fā)送給接入路由器;
[0033]步驟3.3:認證服務器將對移動用戶身份憑證驗證成功消息發(fā)送給移動用戶;
[0034]步驟3.3.1:認證服務器發(fā)送驗證成功消息給接入路由器,此消息包含認證服務器密鑰協商參數;
[0035]所述認證服務器密鑰協商參數即認證服務器的公鑰與隨機數的乘積;
[0036]步驟3.3.2:接入路由器接收到認證服務器發(fā)送的驗證成功消息后,在消息中插入接入路由器的身份憑證和當前時間戳;
[0037]步驟3.3.3:接入路由器基于接入路由器的簽名密鑰使用CBS算法對驗證成功消息進行CBS簽名,接入路由器將驗證成功消息和對驗證成功消息的CBS簽名結果發(fā)送給移動用戶;
[0038]步驟3.4:移動用戶接收到接入路由器的驗證成功消息后,對接入路由器的身份憑證進行驗證:若驗證成功,接入當前接入路由器,完成雙向接入認證;若驗證失敗,則拒絕接入當前接入路由器;
[0039]步驟4:認證服務器與移動用戶基于密鑰協商參數進行共享密鑰協商;
[0040]步驟4.1:認證服務器基于移動用戶密鑰協商參數計算認證服務器與移動用戶間的共享密鑰;
[0041]步驟4.2:移動用戶基于認證服務器密鑰協商參數計算移動用戶與認證服務器間的共享密鑰;
[0042]步驟5:當移動用戶在安全域內繼續(xù)移動并接入新的接入路由器時,利用移動用戶與認證服務器之間的共享密鑰進行切換接入認證;
[0043]步驟5.1:當移動用戶在安全域內繼續(xù)移動并接入新的接入路由器時,移動用戶向接入路由器發(fā)送身份憑證出示消息,接入路由器將該消息轉發(fā)至認證服務器;
[0044]步驟5.1.1:移動用戶發(fā)送路由器請求消息以尋找當前所在安全域內的接入路由器;
[0045]步驟5.1.2:接入路由器收到移動用戶發(fā)送的路由器請求消息后進行接入認證;
[0046]步驟5.1.3:接入路由器向移動用戶發(fā)送路由器應答消息,請求移動用戶的身份憑證;
[0047]步驟5.1.4:移動用戶發(fā)送身份憑證出示消息給接入路由器,該消息包含移動用戶的身份憑證、當前時間戳和基于移動用戶與認證服務器所協商的共享密鑰使用HMAC算法對身份憑證出示消息的HMAC認證結果;
[0048]步驟5.1.5:接入路由器接收到移動用戶的身份憑證出示消息后,將該消息轉發(fā)至認證服務器;
[0049]步驟5.2:認證服務器接收到移動用戶的身份憑證出示消息后,對移動用戶的身份憑證進行驗證:若驗證成功,則執(zhí)行步驟5.3 ;若驗證失敗,則拒絕移動用戶接入,并將驗證失敗消息發(fā)送給接入路由器;
[0050]步驟5.3:認證服務器將對移動用戶的身份憑證驗證成功消息發(fā)送給移動用戶;
[0051]步驟5.3.1:認證服務器發(fā)送驗證成功消息給接入路由器,此消息包含認證服務器通過接入路由器公鑰對共享密鑰的加密結果;
[0052]步驟5.3.2:接入路由器接收到認證服務器發(fā)送的驗證成功消息后,利用接入路由器私鑰對共享密鑰進行解密,提取出共享密鑰;
[0053]步驟5.3.3:接入路由器在驗證成功消息中插入接入路由器的身份憑證和當前時間戳,接入路由器利用共享密鑰使用HMAC算法對驗證成功消息進行HAMC認證,接入路由器將驗證成功消息和對驗證成功消息的HMAC認證結果發(fā)送給移動用戶;
[0054]步驟5.4:移動用戶利用其與認證服務器協商的共享密鑰驗證接入路由器的合法性,若接入路由器合法,則移動用戶切換接入該合法接入路由器,完成切換接入認證;若接入路由器不合法,則移動用戶拒絕接入該接入路由器。
[0055]所述步驟3.4移動用戶接收到接入路由器的驗證成功消息后,對接入路由器的身份憑證進行驗證,具體步驟如下:
[0056]步驟3.4.1:移動用戶驗證接收到的驗證成功消息中的時間戳新鮮性,以防止重放攻擊:如果時間戳新鮮,則驗證接入路由器身份憑證的有效期,執(zhí)行步驟3.4.2 ;否則驗證失敗,拒絕接入當前接入路由器;
[0057]步驟3.4.2:如果身份憑證處于有效期內,則移動用戶對驗證成功消息的CBS簽名結果進行驗證,執(zhí)行步驟3.4.3 ;如果身份憑證過期,則拒絕接入當前接入路由器;
[0058]步驟3.4.3:移動用戶根據身份憑證中的頒發(fā)者公鑰和用戶公鑰對驗證成功消息的CBS簽名結果進行驗證:如果驗證通過,則移動用戶確認接入該合法接入路由器,完成雙向接入認證;若驗證失敗,則移動用戶拒絕接入當前接入路由器。
[0059]所述步驟4.1認證服務器基于移動用戶密鑰協商參數計算認證服務器與移動用戶間的共享密鑰,具體步驟如下:
[0060]步驟4.1.1:認證服務器以移動用戶密鑰協商參數和循環(huán)群Gl上的基點G與認證服務器私鑰的乘積為輸入,利用雙線性對e計算認證服務器共享密鑰值;[0061]步驟4.1.2:認證服務器以認證服務器共享密鑰值為輸入,利用單向哈希函數H2計算其與移動用戶的共享密鑰。
[0062]所述步驟4.2移動用戶基于認證服務器密鑰協商參數計算移動用戶與認證服務器間的共享密鑰,具體步驟如下:
[0063]步驟4.2.1:移動用戶以認證服務器密鑰協商參數和循環(huán)群Gl上基點G與移動用戶私鑰的乘積為輸入,利用雙線性對e計算移動用戶共享密鑰值;
[0064]步驟4.2.2:移動用戶以移動用戶共享密鑰值為輸入,利用單向哈希函數H2計算其與認證服務器的共享密鑰。
[0065]所述步驟5.2認證服務器接收到移動用戶的身份憑證出示消息后,對移動用戶的身份憑證進行驗證,具體步驟如下:
[0066]步驟5.2.1:驗證移動用戶的身份憑證出示消息中時間戳的新鮮性以防止重放攻擊:如果時間戳新鮮,則認證服務器驗證身份憑證的有效期,執(zhí)行步驟5.2.2,否則驗證失敗,拒絕移動用戶接入,將驗證失敗消息發(fā)送給接入路由器;
[0067]步驟5.2.2:如果身份憑證處于有效期內,則認證服務器對身份憑證出示消息的HMAC認證結果進行驗證,執(zhí)行步驟5.2.3,如果身份憑證過期,將驗證失敗消息發(fā)送給接入路由器;
[0068]步驟5.2.3:認證服務器根據其與移動用戶協商的共享密鑰對身份憑證出示消息的HMAC認證結果進行驗證:如果驗證通過,則認證服務器確認移動用戶為合法接入用戶;如果驗證失敗,則拒絕移動用戶接入,將驗證失敗消息發(fā)送給接入路由器。
[0069]所述步驟5.4移動用戶利用其與認證服務器協商的共享密鑰驗證接入路由器的合法性,具體步驟如下:
[0070]步驟5.4.1:移動用戶驗證接收到的驗證成功消息中的時間戳新鮮性,以防止重放攻擊:如果時間戳新鮮,則驗證接入路由器身份憑證的有效期,執(zhí)行步驟5.4.2 ;否則驗證失敗,拒絕接入當前接入路由器;
[0071]步驟5.4.2:如果身份憑證處于有效期內,則移動用戶對驗證成功消息的HMAC認證結果進行驗證,執(zhí)行步驟5.4.3 ;如果身份憑證過期,拒絕接入當前接入路由器;
[0072]步驟5.4.3:移動用戶根據其與認證服務器協商的共享密鑰對驗證成功消息的HMAC認證結果進行驗證:如果驗證通過,則移動用戶確認接入該合法接入路由器,完成切換接入認證;若驗證失敗,則移動用戶拒絕接入當前接入路由器。
[0073]有益效果:
[0074]本發(fā)明的系統及方法在一個自治安全域內,既能實現移動用戶與訪問網絡間的雙向接入認證和密鑰協商,又支持移動用戶于不同接入路由器間切換時的高效接入認證,提高了接入認證效率。
【專利附圖】
【附圖說明】
[0075]圖1為本發(fā)明【具體實施方式】的基于身份憑證的無線局域網雙向接入認證系統示意圖;
[0076]圖2為本發(fā)明【具體實施方式】的對實體身份進行審核并為實體頒發(fā)身份憑證流程圖;[0077]圖3為本發(fā)明【具體實施方式】的移動用戶向認證服務器發(fā)送身份憑證出示消息過程不意圖;
[0078]圖4為本發(fā)明【具體實施方式】的認證服務器對移動用戶認證流程圖;
[0079]圖5為本發(fā)明【具體實施方式】的認證服務器向移動用戶發(fā)送驗證成功消息過程示意圖;
[0080]圖6為本發(fā)明【具體實施方式】的移動用戶對接入路由器認證流程圖;
[0081]圖7為本發(fā)明【具體實施方式】的切換認證過程示意圖;
[0082]圖8為本發(fā)明【具體實施方式】的系統模塊通信流程圖;
[0083]圖9為本發(fā)明【具體實施方式】的無線局域網雙向接入認證的方法流程圖。
【具體實施方式】
[0084]下面結合附圖對本發(fā)明的【具體實施方式】做詳細說明。
[0085]本實施方式是將基于身份憑證的無線局域網雙向接入認證系統及方法應用于某無線局域網接入認證環(huán)節(jié)。實施過程中采用成熟的802.1li認證框架,對于認證消息的承載,移動用戶與接入路由器間采用EAP協議,接入路由器與認證服務器間采用RADIUS協議。
[0086]如圖1所示,基于身份憑證的無線局域網雙向接入認證系統,包括若干接入路由器(包括ARl和AR2),設置在一個自治安全域內,還包括一個身份憑證管理服務器(ICM)和一個認證服務器(AS);
[0087]身份憑證管理服務器用于對安全域內實體(接入路由器AR和移動用戶MN)的身份憑證(Identity Credential, IC)進行管理,包括頒發(fā)身份憑證和維護身份憑證;
[0088]身份憑證是雙向接入認證過程中的重要依據,此憑證與PKI體系下的X.509數字證書有著本質區(qū)別。X.509數字證書主要實現了用戶身份信息與所持公鑰的綁定,而本實施方式的身份憑證包括頒發(fā)者身份、頒發(fā)者公鑰、用戶身份、用戶公鑰、用戶身份證書和身份憑證有效期;
[0089]認證服務器用于驗證移動用戶的接入認證申請并完成與移動用戶間的共享密鑰協商;
[0090]接入路由器用于根據認證服務器返回的驗證結果控制是否允許移動用戶接入無線局域網,同時接入路由器接收和轉發(fā)移動用戶與認證服務器間的認證消息。
[0091]為便于后續(xù)描述,給出如表I所示的標識及說明。
[0092]表I標識及說明
【權利要求】
1.一種基于身份憑證的無線局域網雙向接入認證系統,包括接入路由器,設置在安全域內,其特征在于:還包括身份憑證管理服務器和認證服務器; 所述身份憑證管理服務器用于對安全域內實體的身份憑證進行管理,包括頒發(fā)身份憑證和維護身份憑證;所述身份憑證包括頒發(fā)者身份、頒發(fā)者公鑰、用戶身份、用戶公鑰、用戶身份證書和身份憑證有效期;所述安全域內實體包括:移動用戶和接入路由器; 所述認證服務器用于驗證移動用戶的接入認證申請并完成與移動用戶間的共享密鑰協商; 所述接入路由器用于根據認證服務器返回的驗證結果控制移動用戶是否接入無線局域網,同時接入路由器接收和轉發(fā)移動用戶與認證服務器間的認證消息。
2.采用權利要求1所述的基于身份憑證的無線局域網雙向接入認證系統進行無線局域網雙向接入認證的方法,其特征在于:包括以下步驟: 步驟1:身份憑證管理服務器根據選擇的安全參數生成系統公共參數并發(fā)布系統公共參數; 所述系統公共參數包括循環(huán)群Gl和循環(huán)群G2、雙線性對e、循環(huán)群Gl上的基點P和G,字符集至循環(huán)群Gl的單向哈希函數Hl,循環(huán)群G2至 < 的單向哈希函數H2 為I到q-1范圍的正整數,q為身份憑證管理服務器選擇的安全參數,身份憑證管理服務器的公鑰;步驟2:身份憑證管理服務器對實體身份進行審核,并為實體頒發(fā)身份憑證; 步驟2.1:在實體申請身份憑證前,基于系統公共參數生成實體的公鑰私鑰對,其中,實體的私鑰SKENe Z;,由實體隨機選擇,實體的公鑰PKen=SKen.P,即循環(huán)群Gl上的基點P與實體的私鑰SKen的乘積; 步驟2.2:實體向身份憑證管理服務器發(fā)送身份信息和實體的公鑰,向身份憑證管理服務器申請身份憑證; 所述身份信息為網絡地址標識符; 步驟2.3:身份憑證管理服務器在接收到實體的身份憑證申請后,驗證該實體身份信息的合法性,如果身份信息合法,則生成身份憑證頒發(fā)給該實體,否則不向該實體頒發(fā)身份憑證; 所述身份憑證包括頒發(fā)者身份、頒發(fā)者公鑰、用戶身份、用戶公鑰、用戶身份證書和身份憑證有效期,其中,用戶身份證書由基于證書簽名算法CBS生成; 步驟2.4:實體接收到身份憑證后,使用實體的私鑰和身份憑證內的實體身份證書生成實體的簽名密鑰; 步驟3:當移動用戶移動至安全域內,并請求接入某接入路由器時,移動用戶、接入路由器和認證服務器之間進行雙向接入認證; 步驟3.1:移動用戶向接入路由器發(fā)送身份憑證出示消息,接入路由器將該消息轉發(fā)至認證服務器; 步驟3.1.1:移動用戶發(fā)送路由器請求消息以尋找當前所在安全域內的接入路由器; 步驟3.1.2:接入路由器收到移動用戶發(fā)送的路由器請求消息后進行接入認證; 步驟3.1.3:接入路由器向移動用戶發(fā)送路由器應答消息,請求移動用戶的身份憑證; 步驟3.1.4:移動用戶發(fā)送身份憑證出示消息給接入路由器,該消息包含移動用戶的身份憑證、當前時間戳、移動用戶密鑰協商參數及基于移動用戶的簽名密鑰使用CBS算法對身份憑證出示消息的CBS簽名結果; 所述移動用戶密鑰協商參數即移動用戶的公鑰與隨機數的乘積; 步驟3.1.5:接入路由器接收到移動用戶的身份憑證出示消息后,將該消息轉發(fā)至認證服務器; 步驟3.2:認證服務器接收到移動用戶的身份憑證出示消息后,對移動用戶的身份憑證進行驗證:若驗證成功,則執(zhí)行步驟3.3 ;若驗證失敗,則拒絕移動用戶接入,并將驗證失敗消息發(fā)送給接入路由器; 步驟3.2.1:驗證移動用戶的身份憑證出示消息中的時間戳的新鮮性以防止重放攻擊:如果時間戳新鮮,則認證服務器驗證身份憑證的有效期,執(zhí)行步驟3.2.2,否則驗證失敗,拒絕移動用戶接入,將驗證失敗消息發(fā)送給接入路由器; 步驟3.2.2:如果身份憑證處于有效期內,則認證服務器對身份憑證出示消息的CBS簽名結果進行驗證,執(zhí)行步驟3.2.3,如果身份憑證過期,將驗證失敗消息發(fā)送給接入路由器; 步驟3.2.3:認證服務器根據身份憑證中的頒發(fā)者公鑰和用戶公鑰對身份憑證出示消息的CBS簽名結果進行驗證:如果驗證通過,則認證服務器確認移動用戶為合法接入用戶;如果驗證失敗,則拒絕移動用戶接入,將驗證失敗消息發(fā)送給接入路由器; 步驟3.3:認證服務器將對移動用戶身份憑證驗證成功消息發(fā)送給移動用戶; 步驟3.3.1:認證服務器發(fā)送驗證成 功消息給接入路由器,此消息包含認證服務器密鑰協商參數; 所述認證服務器密鑰協商參數即認證服務器的公鑰與隨機數的乘積; 步驟3.3.2:接入路由器接收到認證服務器發(fā)送的驗證成功消息后,在消息中插入接入路由器的身份憑證和當前時間戳; 步驟3.3.3:接入路由器基于接入路由器的簽名密鑰使用CBS算法對驗證成功消息進行CBS簽名,接入路由器將驗證成功消息和對驗證成功消息的CBS簽名結果發(fā)送給移動用戶; 步驟3.4:移動用戶接收到接入路由器的驗證成功消息后,對接入路由器的身份憑證進行驗證:若驗證成功,接入當前接入路由器,完成雙向接入認證;若驗證失敗,則拒絕接入當前接入路由器; 步驟4:認證服務器與移動用戶基于密鑰協商參數進行共享密鑰協商; 步驟4.1:認證服務器基于移動用戶密鑰協商參數計算認證服務器與移動用戶間的共享密鑰; 步驟4.2:移動用戶基于認證服務器密鑰協商參數計算移動用戶與認證服務器間的共享密鑰; 步驟5:當移動用戶在安全域內繼續(xù)移動并接入新的接入路由器時,利用移動用戶與認證服務器之間的共享密鑰進行切換接入認證; 步驟5.1:當移動用戶在安全域內繼續(xù)移動并接入新的接入路由器時,移動用戶向接入路由器發(fā)送身份憑證出示消息,接入路由器將該消息轉發(fā)至認證服務器; 步驟5.1.1:移動用戶發(fā)送路由器請求消息以尋找當前所在安全域內的接入路由器;步驟5.1.2:接入路由器收到移動用戶發(fā)送的路由器請求消息后進行接入認證; 步驟5.1.3:接入路由器向移動用戶發(fā)送路由器應答消息,請求移動用戶的身份憑證;步驟5.1.4:移動用戶發(fā)送身份憑證出示消息給接入路由器,該消息包含移動用戶的身份憑證、當前時間戳和基于該移動用戶與認證服務器所協商的共享密鑰使用HMAC算法對身份憑證出示消息的HMAC認證結果; 步驟5.1.5:接入路由器接收到移動用戶的身份憑證出示消息后,將該消息轉發(fā)至認證服務器; 步驟5.2:認證服務器接收到移動用戶的身份憑證出示消息后,對移動用戶的身份憑證進行驗證:若驗證成功,則執(zhí)行步驟5.3 ;若驗證失敗,則拒絕移動用戶接入,并將驗證失敗消息發(fā)送給接入路由器; 步驟5.3:認證服務器將對移動用戶的身份憑證驗證成功消息發(fā)送給移動用戶; 步驟5.3.1:認證服務器發(fā)送驗證成功消息給接入路由器,此消息包含認證服務器通過接入路由器公鑰對共享密鑰的加密結果; 步驟5.3.2:接入路由器接收到認證服務器發(fā)送的驗證成功消息后,利用接入路由器私鑰對共享密鑰進行解密,提取出共享密鑰; 步驟5.3.3:接入路由器在驗證成功消息中插入接入路由器的身份憑證和當前時間戳,接入路由器利用共享密鑰使用HMAC算法對驗證成功消息進行HAMC認證,接入路由器將驗證成功消息和對驗證成功消息的HMAC認證結果發(fā)送給移動用戶; 步驟5.4:移動用戶利用其與認證服務器協商的共享密鑰驗證接入路由器的合法性,若接入路由器合法,則移動`用戶切換接入該合法接入路由器,完成切換接入認證;若接入路由器不合法,則移動用戶拒絕接入該接入路由器。
3.根據權利要求2所述的基于身份憑證的無線局域網雙向接入認證方法,其特征在于:所述步驟3.4移動用戶接收到接入路由器的驗證成功消息后,對接入路由器的身份憑證進行驗證,具體步驟如下: 步驟3.4.1:移動用戶驗證接收到的驗證成功消息中的時間戳新鮮性,以防止重放攻擊:如果時間戳新鮮,則驗證接入路由器身份憑證的有效期,執(zhí)行步驟3.4.2 ;否則驗證失敗,拒絕接入當前接入路由器; 步驟3.4.2:如果身份憑證處于有效期內,則移動用戶對驗證成功消息的CBS簽名結果進行驗證,執(zhí)行步驟3.4.3 ;如果身份憑證過期,則拒絕接入當前接入路由器; 步驟3.4.3:移動用戶根據身份憑證中的頒發(fā)者公鑰和用戶公鑰對驗證成功消息的CBS簽名結果進行驗證:如果驗證通過,則移動用戶確認接入該合法接入路由器,完成雙向接入認證;若驗證失敗,則移動用戶拒絕接入當前接入路由器。
4.根據權利要求2所述的基于身份憑證的無線局域網雙向接入認證方法,其特征在于:所述步驟4.1認證服務器基于移動用戶密鑰協商參數計算認證服務器與移動用戶間的共享密鑰,具體步驟如下: 步驟4.1.1:認證服務器以移動用戶密鑰協商參數和循環(huán)群Gl上的基點G與認證服務器私鑰的乘積為輸入,利用雙線性對e計算認證服務器共享密鑰值; 步驟4.1.2:認證服務器以認證服務器共享密鑰值為輸入,利用單向哈希函數H2計算其與移動用戶的共享密鑰。
5.根據權利要求2所述的基于身份憑證的無線局域網雙向接入認證方法,其特征在于:所述步驟4.2移動用戶基于認證服務器密鑰協商參數計算移動用戶與認證服務器間的共享密鑰,具體步驟如下: 步驟4.2.1:移動用戶以認證服務器密鑰協商參數和循環(huán)群Gl上基點G與移動用戶私鑰的乘積為輸入,利用雙線性對e計算移動用戶共享密鑰值; 步驟4.2.2:移動用戶以移動用戶共享密鑰值為輸入,利用單向哈希函數H2計算其與認證服務器的共享密鑰。
6.根據權利要求2所述的基于身份憑證的無線局域網雙向接入認證方法,其特征在于:所述步驟5.2認證服務器接收到移動用戶的身份憑證出示消息后,對移動用戶的身份憑證進行驗證,具體步驟如下: 步驟5.2.1:驗證移動用戶的身份憑證出示消息中時間戳的新鮮性以防止重放攻擊:如果時間戳新鮮,則認證服務器驗證身份憑證的有效期,執(zhí)行步驟5.2.2,否則驗證失敗,拒絕移動用戶接入,將驗證失敗消息發(fā)送給接入路由器; 步驟5.2.2:如果身份憑證處于有效期內,則認證服務器對身份憑證出示消息的HMAC認證結果進行驗證,執(zhí)行步驟5.2.3,如果身份憑證過期,將驗證失敗消息發(fā)送給接入路由器; 步驟5.2.3:認證服務器根據其與移動用戶協商的共享密鑰對身份憑證出示消息的HMAC認證結果進行驗證:如果驗證通過,則認證服務器確認移動用戶為合法接入用戶;如果驗證失敗,則拒絕移動用戶接入,將驗證失敗消息發(fā)送給接入路由器。
7.根據權利要求2所述的基于身份憑證的無線局域網雙向接入認證方法,其特征在于:所述步驟5.4移動用戶利用其與認證服務器協商的共享密鑰驗證接入路由器的合法性,具體步驟如下:` 步驟5.4.1:移動用戶驗證接收到的驗證成功消息中的時間戳新鮮性,以防止重放攻擊:如果時間戳新鮮,則驗證接入路由器身份憑證的有效期,執(zhí)行步驟5.4.2 ;否則驗證失敗,拒絕接入當前接入路由器; 步驟5.4.2:如果身份憑證處于有效期內,則移動用戶對驗證成功消息的HMAC認證結果進行驗證,執(zhí)行步驟5.4.3 ;如果身份憑證過期,拒絕接入當前接入路由器; 步驟5.4.3:移動用戶根據其與認證服務器協商的共享密鑰對驗證成功消息的HMAC認證結果進行驗證:如果驗證通過,則移動用戶確認接入該合法接入路由器,完成切換接入認證;若驗證失敗,則移動用戶拒絕接入當前接入路由器。
【文檔編號】H04W12/06GK103491540SQ201310429993
【公開日】2014年1月1日 申請日期:2013年9月18日 優(yōu)先權日:2013年9月18日
【發(fā)明者】高天寒 申請人:東北大學