一种PKI双向鉴权认证方法及系统技术方案

本发明专利技术涉及无线通信网络认证鉴权技术领域，公开了一种PKI双向鉴权认证方法及系统，该方法，在接入鉴权过程中保护设备身份信息，基于可信第三方鉴权服务的PKI双向鉴权协议，利用可信第三方鉴权服务的PKI双向鉴权得到的安全参数作为安全标签产生与验证的因子，为无线通信系统提供数据完整性、真实性保护。本发明专利技术解决了现有技术存在的设备身份信息的泄露威胁、开销较大、数据伪造或损坏等问题。数据伪造或损坏等问题。数据伪造或损坏等问题。

【技术实现步骤摘要】
一种PKI双向鉴权认证方法及系统


[0001]本专利技术涉及无线通信网络认证鉴权
，具体是一种PKI双向鉴权认证方法及系统。

技术介绍

[0002]无线通信网络总是存在安全漏洞的，利用各种对抗手段可以对无线通信网络进行渗透、扰乱、欺骗。与有线网络相比，无线网络具有开放性、移动性、传输带宽有限的特点，使其面临的安全威胁相对有线网络而言更加严峻。利用无线信道的开放性，攻击者假冒无线用户接入无线通信网络，可能进行各种越权访问和非法操作等。针对这些问题，需要对接入无线通信网络的设备进行身份鉴别，防止假冒设备接入。同时还应考虑防止假冒接入台站诱骗无线设备接入。
[0003]现有的基于密码学的无线通信网络认证鉴权技术主要有基于对称算法的认证体制和基于非对称算法的认证体制。采用对称密码体制作为无线环境下的鉴权体制是目前许多无线通信系统常用的解决方案，通过通信的双方持有相同的密钥，产生鉴权码和验证鉴权码。在这种体制下人们往往有三种手段：一是为每个设备分配端
‑
端密钥，保证每两个设备之间共享一个唯一的密钥；二是采用集团密钥的方案，在一个集团或单位内部共享密钥；三是采用密钥分发中心来分发鉴权密钥，这种方案下需要一个共同的可信第三方参与鉴权的过程。基于对称算法的认证体制在认证交互过程中，传输数据量小、时延低，适用于信道速率低、实时性要求较高的无线通信系统。基于非对称算法的认证体制主要有基于IBC的认证体制和基于PKI的认证体制等。基于IBC的认证体制无需证书颁发机构CA中心，无需证书的发布与查询，使用简单，部署方便，尤其适用于拥有海量用户的无线通信系统，但产业化不太成熟、运算量大。基于PKI的认证体制是一种遵循既定标准的密钥管理平台,它能够为所有网络应用提供加密和数字签名等密码服务及所必需的密钥和证书管理体系，技术成熟，并且具有标准化、支持广泛、离线鉴权、应用层次灵活等诸多优点。PKI的体制缺点在于结构复杂，鉴权过程中的证书处理工作过于繁重，尤其是证书状态查询和证书路径构造，造成较大的计算负担和时间延迟，在鉴权过程中需要交换双方证书链，造成了较大的通信开销。
[0004]在无线通信网络接入鉴权过程中，待接入节点电台不能有效获取到待验证接入点电台身份合法性的鉴权要素，使用设备信息标识作为鉴权标识存在泄漏风险。并且，无线通信网络往往信息带宽较低，通信量不大，通信时间不长，为了减少认证证书的传递，需要根据无线通信系统通信带宽低、丢包率高的特点进行优化改进以降低开销。
[0005]综上，现有技术存在以下问题：1)设备身份信息的泄露威胁问题；传统基于PKI的认证鉴权技术在认证过程中需要交换公钥证书或证书链，开销较大的问题；3)无线网络传输报文的数据伪造或损坏问题。

技术实现思路

[0006]为克服现有技术的不足，本专利技术提供了一种PKI双向鉴权认证方法及系统，解决现有技术存在的设备身份信息的泄露威胁、开销较大、数据伪造或损坏等问题。
[0007]本专利技术解决上述问题所采用的技术方案是：
[0008]一种PKI双向鉴权认证方法，在接入鉴权过程中保护设备身份信息，基于可信第三方鉴权服务的PKI双向鉴权协议，利用可信第三方鉴权服务的PKI双向鉴权得到的安全参数作为安全标签产生与验证的因子，为无线通信系统提供数据完整性、真实性保护。
[0009]作为一种优选的技术方案，包括以下步骤：
[0010]S1，设备身份保护：基于设备标识号的身份保护技术进行设备身份保护；
[0011]S2，鉴权：基于可信第三方鉴权服务的PKI双向鉴权方法进行设备的双向认证鉴权；
[0012]S3，数据报文保护：完成鉴权后，进行数据传输时，在原报文中增加安全标签的方式实现数据报文真实性和完整性保护。
[0013]作为一种优选的技术方案，步骤S2中，签名验证过程采用ECC椭圆曲线密码体制，提供公私钥对的产生、数据的签名验证。
[0014]作为一种优选的技术方案，步骤S2包括以下步骤：
[0015]S21，设备A产生一个会话随机数N
A1
，然后将N
A1
和自身的身份标识信息DID
A
发送给设备B；
[0016]S22，设备B在收到设备A传送的数据后，产生一个会话随机数N
B1
，然后将N
A1
||DID
A
||N
B1
||DID
B
发送给无线接入鉴权服务器T；其中，||表示拼接；
[0017]S23，无线接入鉴权服务器T收到设备B传送的数据后，根据DID
A
检索到设备A的公钥P
A
、DID
B
检索到设备B的公钥P
B
，分别对N
A1
||DID
B
||P
B
、N
B1
||DID
A
||P
A
进行签名并发送给设备B；
[0018]S24，设备B收到无线接入鉴权服务器T传送的数据后，根据预存的T的公钥P
T
对签名的有效性进行验证，然后验证N
B1
是否正确，验证通过后保存设备A的公钥P
A
；然后向设备A发送第二次产生的会话随机数N
B2
和无线接入鉴权服务器T返回的设备B的身份信息N
A1
||DID
B
||P
B
及签名发送给设备A；
[0019]S25，设备A收到设备B传送的数据后，根据预存的T的公钥P
T
对签名的有效性进行验证，然后验证N
A1
是否正确，验证通过后保存设备B的公钥P
B
；设备A依靠无线接入鉴权服务器T的断言确认设备B的身份合法性；设备A通过ECDH算法计算A、B间共享的私有安全参数K
AB
；
[0020]S26，设备A向设备B发送N
B2
和DID
B
并签名；
[0021]S27，设备B收到数据后对签名的有效性进行验证，然后验证N
B2
是否正确，验证通过后确认设备A的身份合法性；设备B计算A、B间共享的私有安全参数K
BA
。
[0022]作为一种优选的技术方案，S22中，设备B与无线接入鉴权服务器T之间先前已通过有线通信网络进行了双向鉴权，建立了安全传输通道。
[0023]作为一种优选的技术方案，S27中，设备B通过ECDH算法计算A、B间共享的私有安全参数K
BA
。
[0024]作为一种优选的技术方案，步骤S3中，在完成鉴权后，通信双方建立起了信任关
系，在进行数据传输时，利用协商的安全参数K对传输数据提供真实性和完整性保护；其中，协商的安全参数K作为安全标签产生与验证的因子，任何第三方都无法知晓，安全标签利本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种PKI双向鉴权认证方法，其特征在于，在接入鉴权过程中保护设备身份信息，基于可信第三方鉴权服务的PKI双向鉴权协议，利用可信第三方鉴权服务的PKI双向鉴权得到的安全参数作为安全标签产生与验证的因子，为无线通信系统提供数据完整性、真实性保护。2.根据权利要求1所述的一种PKI双向鉴权认证方法，其特征在于，包括以下步骤：S1，设备身份保护：基于设备标识号的身份保护技术进行设备身份保护；S2，鉴权：基于可信第三方鉴权服务的PKI双向鉴权方法进行设备的双向认证鉴权；S3，数据报文保护：完成鉴权后，进行数据传输时，在原报文中增加安全标签的方式实现数据报文真实性和完整性保护。3.根据权利要求2所述的一种PKI双向鉴权认证方法，其特征在于，步骤S2中，签名验证过程采用ECC椭圆曲线密码体制，提供公私钥对的产生、数据的签名验证。4.根据权利要求2所述的一种PKI双向鉴权认证方法，其特征在于，步骤S2包括以下步骤：S21，设备A产生一个会话随机数N
A1
，然后将N
A1
和自身的身份标识信息DID
A
发送给设备B；S22，设备B在收到设备A传送的数据后，产生一个会话随机数N
B1
，然后将N
A1
||DID
A
||N
B1
||DID
B
发送给无线接入鉴权服务器T；其中，||表示拼接；S23，无线接入鉴权服务器T收到设备B传送的数据后，根据DID
A
检索到设备A的公钥P
A
、DID
B
检索到设备B的公钥P
B
，分别对N
A1
||DID
B
||P
B
、N
B1
||DID
A
||P
A
进行签名并发送给设备B；S24，设备B收到无线接入鉴权服务器T传送的数据后，根据预存的T的公钥P
T
对签名的有效性进行验证，然后验证N
B1
是否正确，验证通过后保存设备A的公钥P
A
；然后向设备A发送第二次产生的会话随机数N
B2
和无线接入鉴权服务器T返回的设备B的身份信息N
A1
||DID
B
||P
B
及签名发送给设备A；S25，设备A收到设备B传送的数据后，根据预存...

【专利技术属性】
技术研发人员：曾梦岐，范晓霞，唐晋，杨正东，
申请(专利权)人：中国电子科技集团公司第三十研究所，
类型：发明
国别省市：