一种无线城域网终端非归属地接入身份鉴别的方法技术

本发明专利技术涉及一种无线城域网中终端非归属地接入身份鉴别的实现方法。本发明专利技术接入地认证服务器ＡＳ和归属地认证服务器ＡＳ之间有直接的信任关系，基站ＢＳ请求认证服务器对基站ＢＳ和用户站ＳＳ进行身份鉴别时，若接入地认证服务器ＡＳ确定不能在本地鉴别用户站ＳＳ，则根据用户站ＳＳ信任的认证服务器ＡＳ列表来选择归属地认证服务器ＡＳ，进而对用户站ＳＳ进行身份鉴别。本发明专利技术解决了无线城域网中终端基于ＷＭＡＮ－ＳＡ的非归属地身份鉴别问题。

【技术实现步骤摘要】

本专利技术涉及无线通信网络及网络安全的
，特别涉及一种无线城域网中终 端非归属地接入身份鉴别的实现方法。
技术介绍
IEEE 802. 16无线城域网作为未来无线接入技术的重要发展方向，备受各界广泛 关注。然而，安全问题一直制约着其进一步的推广与发展。IEEE 802. 16d中定义了基于公 开密钥加密算法(RSA)和数字证书的认证协议，可以实现基站BS对用户站BS的认证。IEEE 802. 16d的主要缺点是只提供了基站BS对用户站SS的单向认证，而没有提供用户站SS 对基站BS的认证，假冒基站BS欺骗用户站SS非常容易。此外，授权密钥(AK)和会话密钥 (TEK)都是由基站BS —方产生的，在这种单向认证的条件下，很难使得用户站SS对会话密 钥TEK的质量产生信任。IEEE 802. 16e对IEEE 802. 16d进行了增强性的修改，引入了可扩 展认证协议(Extensible Authentication Protocol，简称ΕΑΡ)。但是，仍然只包含了基站 BS对用户站SS的单向身份认证。申请号为200810027930.0的专利《一种无线城域网的安全接入方法》(简称 WMAN-SA)提供一种无线城域网的安全接入方法，在认证授权过程中，采用了用户站SS和基 站BS的双向认证代替原有的单向认证，攻击者冒充合法基站BS骗取用户站SS的信任成为 不可能，避免了中间人攻击的可能性。在密钥的协商过程中，密钥由用户站SS和基站BS共 同产生，代替了由基站BS分配，保证了密钥的质量，增强了无线城域网的安全性。因此，改 进的协议同样可以满足原无线城域网的功能、性能要求，并且更安全。随着移动计算业务的不断发展，用户漫游的需求日益增加。当在运营环境下应用 WMAN-SA时，网络规模覆盖到全国各个地理区域，用户数量非常大，漫游的情况就会频繁发 生。在终端漫游的情况下，如何进行非归属地身份鉴别非常关键。而WMAN-SA仅定义了身 份鉴别、密钥管理、数据加密、数据鉴别和重放保护等功能，并没有包含非归属地身份鉴别 的具体方案，而且用户站SS在不同基站BS间切换需要申请颁发不同的证书，用户体验效果 会变差。
技术实现思路
本专利技术的目的是提供一种安全高效的终端非归属地身份鉴别的方法，该方法能够 解决无线城域网中终端基于WMAN-SA的非归属地身份鉴别问题。为解决上述技术问题，本专利技术的技术方案是，用户站SS本地存储有用户站SS 证书和若干信任的认证服务器AS证书，基站BS本地存储有基站BS证书和接入地认证服务 器AS证书，其特征在于接入地认证服务器AS和归属地认证服务器AS之间有直接的信任 关系，基站BS请求接入地认证服务器对基站BS和用户站SS进行身份鉴别时，若接入地认证服务器AS确定不能在本地鉴别用户站SS，则根据用户站SS信任的认证服务器AS列表来 选择归属地认证服务器AS，进而对用户站SS进行身份鉴别。信任关系是指相信来自该AS 的消息，认可该AS的身份鉴别结果，可以通过交换各自证书或预置共享密钥等方法来建立 信任关系。 所述的无线城域网终端非归属地接入身份鉴别的方法，其特征在于包括以下步 骤步骤1 基站BS向用户站SS发送接入鉴别激活消息，所述接入鉴别激活消息包括基站 BS证书和基站BS的消息签名；步骤2 用户站SS收到接入鉴别激活消息，利用基站BS证书的公钥验证基站BS的消 息签名，若验证通过，则构造接入鉴别请求消息并发送至基站BS，所述接入鉴别请求消息包 括用户站SS证书、用户站SS信任的认证服务器AS列表和用户站SS的消息签名；步骤3 基站BS收到接入鉴别请求消息，利用用户站SS证书的公钥验证用户站SS的 消息签名，若验证通过，则构造证书鉴别请求消息，发送给接入地认证服务器AS，所述证书 鉴别请求消息包括用户站SS证书、基站BS证书、用户站SS信任的认证服务器AS列表和基 站BS的消息签名；步骤4 接入地认证服务器AS收到证书鉴别请求消息，利用基站BS证书的公钥验证基 站BS的消息签名，若验证通过，根据用户站SS信任的认证服务器AS列表判断是否需要进 行归属地的身份鉴别，分两种情况I、若接入地认证服务器AS在用户站SS信任的认证服务器AS列表中，则验证基站BS 证书和用户站SS证书，构造并发送第一证书鉴别响应消息至基站BS，所述第一证书鉴别响 应消息包括基站BS证书验证结果、用户站SS证书验证结果、接入地认证服务器AS证书和 接入地认证服务器AS的消息签名，下一步骤为步骤7 ；II、若接入地认证服务器AS不在用户站SS信任的认证服务器AS列表中，则验证基站 BS证书，根据用户站SS信任的认证服务器AS列表选择其中一个认证服务器AS，构造并发 送归属地鉴别请求消息，所述归属地鉴别请求消息包括基站BS证书验证结果、用户站SS证 书、接入地认证服务器AS证书、用户站SS信任的认证服务器AS列表和接入地认证服务器 AS的消息签名；步骤5:接上述步骤4的II，归属地认证服务器AS收到归属地鉴别请求消息，利用接入 地认证服务器AS证书的公钥验证消息签名，若验证通过，则验证用户站SS证书，构造归属 地鉴别响应消息发送至接入地认证服务器AS，所述归属地鉴别响应消息包括基站BS证书 验证结果、用户站SS证书验证结果、接入地认证服务器AS证书、归属地认证服务器AS证书 和归属地认证服务器AS签名；步骤6 接入地认证服务器AS收到归属地鉴别响应消息后，根据归属地认证服务器AS 证书的公钥验证消息签名，若验证通过，构造并发送第二证书鉴别响应消息至基站BS，所述 第二证书鉴别响应消息包括基站BS证书验证结果、用户站SS证书验证结果、接入地认证服 务器AS证书、归属地认证服务器AS证书、归属地认证服务器AS的消息签名和接入地认证 服务器AS的消息签名，其中归属地认证服务器AS的消息签名与步骤5中所述归属地鉴别 响应消息中的归属地认证服务器AS签名相同；步骤7 接上述步骤4的I或步骤6，基站BS收到第一证书鉴别响应消息或第二证书鉴别响应消息，利用接入地认证服务器AS证书公钥验证接入地认证服务器AS的消息签名，利 用归属地认证服务器AS证书公钥验证归属地认证服务器AS的消息签名，若验证通过，根据 第一证书鉴别响应消息或第二证书鉴别响应消息判断用户站SS的合法性，若用户站SS合 法，则构造接入鉴别响应消息发送至用户站SS，所述接入鉴别响应消息包括基站BS证书验 证结果、用户站SS证书验证结果、接入地认证服务器AS证书、归属地认证服务器AS证书、 归属地认证服务器AS的消息签名、接入地认证服务器AS的消息签名、更新的授权密钥信 息、加密的授权密钥材料和BS的消息签名；步骤8 用户站SS收到接入鉴别响应消息，利用基站BS证书公钥验证基站BS的消息签 名，利用接入地认证服务器AS证书公钥验证接入地认证服务器AS的消息签名，利用归属地 认证服务器AS证书公钥验证归属地认证服务器AS的消息签名，若验证通过，根据接入鉴别 响应消息验证基站BS的合法性，若基站BS合法，则构造接入鉴别确认消息发送至基站BS， 所述接入鉴别确认消息包括更新的授权密钥信息和消息鉴别码；步骤9 基站BS收到接入鉴别确认消息，根据消息鉴别码校验数据完整性，若校验通本文档来自技高网...

【技术保护点】
一种无线城域网终端非归属地接入身份鉴别的方法，其特征在于：接入地认证服务器ＡＳ和归属地认证服务器ＡＳ之间有直接的信任关系，基站ＢＳ请求接入地认证服务器对基站ＢＳ和用户站ＳＳ进行身份鉴别时，若接入地认证服务器ＡＳ确定不能在本地鉴别用户站ＳＳ，则根据用户站ＳＳ信任的认证服务器ＡＳ列表来选择归属地认证服务器ＡＳ，进而对用户站ＳＳ进行身份鉴别。

【技术特征摘要】
一种无线城域网终端非归属地接入身份鉴别的方法，其特征在于接入地认证服务器AS和归属地认证服务器AS之间有直接的信任关系，基站BS请求接入地认证服务器对基站BS和用户站SS进行身份鉴别时，若接入地认证服务器AS确定不能在本地鉴别用户站SS，则根据用户站SS信任的认证服务器AS列表来选择归属地认证服务器AS，进而对用户站SS进行身份鉴别。2.根据权利要求1所述的无线城域网终端非归属地接入身份鉴别的方法，其特征在 于包括以下步骤步骤1 基站BS向用户站SS发送接入鉴别激活消息，所述接入鉴别激活消息包括基站 BS证书和基站BS的消息签名；步骤2 用户站SS收到接入鉴别激活消息，利用基站BS证书的公钥验证基站BS的消 息签名，若验证通过，则构造接入鉴别请求消息并发送至基站BS，所述接入鉴别请求消息包 括用户站SS证书、用户站SS信任的认证服务器AS列表和用户站SS的消息签名；步骤3 基站BS收到接入鉴别请求消息，利用用户站SS证书的公钥验证用户站SS的 消息签名，若验证通过，则构造证书鉴别请求消息，发送给接入地认证服务器AS，所述证书 鉴别请求消息包括用户站SS证书、基站BS证书、用户站SS信任的认证服务器AS列表和基 站BS的消息签名；步骤4 接入地认证服务器AS收到证书鉴别请求消息，利用基站BS证书的公钥验证基 站BS的消息签名，若验证通过，根据用户站SS信任的认证服务器AS列表判断是否需要进 行归属地的身份鉴别，分两种情况I、若接入地认证服务器AS在用户站SS信任的认证服务器AS列表中，则验证基站BS 证书和用户站SS证书，构造并发送第一证书鉴别响应消息至基站BS，所述第一证书鉴别响 应消息包括基站BS证书验证结果、用户站SS证书验证结果、接入地认证服务器AS证书和 接入地认证服务器AS的消息签名，下一步骤为步骤7 ；II、若接入地认证服务器AS不在用户站SS信任的认证服务器AS列表中，则验证基站 BS证书，根据用户站SS信任的认证服务器AS列表选择其中一个认证服务器AS，构造并发 送归属地鉴别请求消息，所述归属地鉴别请求消息包括基站BS证书验证结果、用户站SS证 书、接入地认证服务器AS证书、用户站SS信任的认证服务器AS列表和接入地认证服务器 AS的消息签名；步骤5 接上述步骤4的II，归属地认证服务器AS收到归属地鉴别请求消息，利用接入 地认证服务器AS证书的公钥验证消息签名，若验证通过，则验证用户站SS证书，构造归属 地鉴别响应消息发送至接入地认证服务器AS，所述归属地鉴别响应消息包括基站BS证书 验证结果、用户站SS证书验证结果、接入地认证服务器AS证书、归属地认证服务器AS证书 和归属地认证服务器A...

【专利技术属性】
技术研发人员：王胜男，林凡，张永强，
申请(专利权)人：广州杰赛科技股份有限公司，
类型：发明
国别省市：81[中国|广州]