[发明专利]一种单向接入认证方法

说明书

技术领域

本发明涉及一种单向接入认证方法。

背景技术

对于无线网络来说，如无线局域网或无线城域网等，其安全问题远比有线以太网严重的多。射频识别标签(RFID)同样面临安全问题，在进行安全通信之前，必须有效地解决RFID中读写器和电子标签之间的安全认证及密钥协商问题。在RFID中，由于在一些应用场合中，电子标签新能较差，计算和通信能力弱，这时只需要对电子标签进行单向认证即可，这就需要实现安全且高效的单向认证来解决这个问题。同样，在一些特殊的应用场合中，网络接入点往往只需要对移动终端进行认证，同样需要安全的单向认证协议。

美国IEEE制定了802.11和802.16系列标准来增强无线局域网和无线城域网的安全性，提供移动终端到基站的安全接入。中国在2003年5月和2006年1月颁布了无线局域网国家标准GB15629.11-2003和GB15629.11-2003/XG1-2006，通常称为WAPI协议。

美国IEEE802.11标准采用WEP协议实现无线局域网的安全性，理论及应用都证明WEP协议存在严重的安全漏洞。IEEE虽后提出802.11i标准以缓解WEP的安全漏洞，尽管802.11i标准支持单向认证，但它存在下面的缺点：

1、不能实现接入点对移动终端的直接单向认证。802.11i标准是通过认证服务器来实现对移动终端的单向认证，不能实现接入点对移动终端的直接单向认证。

2、需借助其他安全协议来提高安全性。如，需要在接入点和认证服务器之间借助其它安全协议来建立安全信道。

3、每一个接入点都要和后台认证服务器事先建立一条安全信道，而这条安全信道一般需要手动建立，不利于系统的扩展。

4、安全的可靠性较差。由于每一个接入点都要和认证服务器建立安全信道，该信道的安全性会影响至整个网络系统。

美国IEEE提出的无线城域网标准即IEEE802.16标准，提供了基站对移动终端的单向认证，但它是基于公钥证书和PKI技术的，存在证书传送和证书管理以及公钥验证等问题，不适合性能差的电子标签应用。

IEEE802.16e标准借鉴IEEE802.11i标准改进了方案，但存在以下不足：

1、不能实现移动终端与基站的直接身份鉴别。

2、在基站和认证服务器之间需事先建立安全信道，需借助其他安全协议。

3、密钥管理采用时间同步方式，状态管理复杂。新密钥的启用、禁用都依赖时间判断，在一个分布式系统中维护同步时钟比较复杂。系统状态多，管理复杂。

中国国家标准GB15629.11仅支持双向认证，而不支持单向认证。而且基于数字证书和PKI技术，也存在以下不足：基于数字证书机制，过大的通信和管理负载不适合RFID领域。

而基于身份的公钥机制很显然能够适合RFID领域。在基于身份的公钥机制中，用户的公钥就是由身份信息ID经Hash运算生成的信息，或者，有时也可以直接使用其身份信息，用户不需要管理公钥簿。在认证过程中，也不再需要像传统公钥系统那样进行证书的传递和验证，只需要知道各参与者的身份信息和一些系统参数即可。

然而，基于身份的公钥机制也有自己的缺点，不能灵活地管理实体身份，难以对用户身份进行有效性验证。

发明内容

本发明为解决背景技术中存在的上述技术问题，而提供一种实现简单，可进行身份有效性验证的基于身份机制的单向接入认证方法。

本发明的技术解决方案是：本发明为一种单向接入认证方法，其特殊之处在于：该方法包括以下步骤：

1)第二实体发送认证请求及密钥分发分组给第一实体，由第一实体验证第二实体发送的消息是否有效，如果有效，进行步骤2)；

2)由第一实体生成认证及密钥响应分组发送给第二实体，由第二实体验证第一实体发送的消息是否有效，如果有效，由第二实体生成认证及密钥确认分组发给第一实体；

3)当第一实体收到认证及密钥确认分组后，认证成功且密钥为协商的主密钥。

上述步骤2)和步骤3)之间还包括有步骤    

21)由第二实体发送身份鉴别请求分组给可信第三方，由可信第三方对第一实体的身份有效性进行判别；

31)由可信第三方根据判别结果生成身份鉴别响应分组发送给第二实体，第二实体根据身份鉴别响应分组验证第一实体的身份是否正确，正确则进至步骤3)。

上述步骤1)之前还包括有通过可信第三方建立系统参数的步骤。