[发明专利]一种双向接入认证方法

说明书

发明领域

本发明涉及一种双向接入认证方法。

背景技术

对于无线网络来说，如无线局域网或无线城域网等，其安全问题远比有线以太网严重的多。如射频识别标签(RFID)、无线个域网的移动终端和接入点等同样面临安全问题，在进行安全通信之前，必须有效地解决RFID中读写器和电子标签之间的安全认证问题，无线个域网的移动终端和接入点之间的安全认证问题。现在电子标签的信息，只要相同功能的读卡器，都可以进行读取，移动终端和接入点之间也存在同样的问题。目前，在RFID领域还没有有效的安全方案来解决这个问题。

美国IEEE制定了802.11和802.16系列标准来增强无线局域网和无线城域网的安全性，提供移动终端到基站的安全接入。中国在2003年5月和2006年1月颁布了无线局域网国家标准GB15629.11-2003和GB15629.11-2003/XG1-2006，通常称为WAPI协议。

美国IEEE802.11标准通过WEP协议实现无线局域网的安全性，理论及应用都证明WEP协议存在严重的安全漏洞。IEEE虽后补了802.11i标准以解决WEP的安全漏洞。但802.11i标准本身存在下列缺陷：

1、不能实现移动终端与接入点的直接身份鉴别。802.11i标准只实现了移动终端和认证服务器之间的双向认证，没有实现移动终端与接入点的直接身份鉴别。

2、需借助其他安全协议来提高安全性。如，需要在接入点和认证服务器之间借助其它安全协议来建立安全信道。

3、每一个接入点都要和后台认证服务器事先建立一条安全信道，而这条安全信道一般需要手动建立，不利于系统的扩展。

4、安全的可靠性较差。由于每一个接入点都要和认证服务器建立安全信道，该信道的安全性会影响至整个网络系统。

美国IEEE提出的无线城域网标准即IEEE802.16标准，可解决移动终端与基站的认证问题，但不能防止攻击者冒充基站欺骗移动终端。因为授权密钥仅通过移动终端的公钥加密保护，因此，任何人都可以伪造这样的分组而不被发现。

IEEE802.16e标准借鉴IEEE802.11i标准改进了方案，但仍存在以下不足：

1、不能实现移动终端与基站的直接身份鉴别。

2、在基站和认证服务器之间需事先建立安全信道，需借助其他安全协议。

3、密钥管理采用时间同步方式，状态管理复杂。新密钥的启用、禁用都依赖时间判断，在一个分布式系统中维护同步时钟比较复杂。系统状态多，管理复杂。

中国国家标准GB15629.11，克服了上述安全协议的一些弊病，但还不能直接用来解决RFID的安全接入问题，其主要存在以下不足：由于是基于数字证书机制，过大的通信和管理负载不适合RFID领域。

而基于身份的公钥机制很显然能够适合RFID领域。在基于身份的公钥机制中，用户的公钥就是由身份信息ID经Hash运算生成的信息，或者，有时也可以直接使用其身份信息，用户不需要管理公钥簿。在认证过程中，也不再需要像传统公钥系统那样进行证书的传递和验证，只需要知道各参与者的身份信息和一些系统参数即可。

然而，基于身份的公钥机制也有自己的缺点，即对方的身份就是公钥，不能任意更改，缺少有效的机制去进行管理，不能灵活地管理实体身份，难以对用户身份进行有效性验证。

发明内容

本发明为解决背景技术中存在的上述技术问题，而提供一种实现简单、可进行身份有效性验证且应用范围广的基于身份机制的双向认证的接入认证方法。

本发明的技术解决方案是：本发明为一种双向认证的接入认证方法，其特殊之处在于：该方法包括以下步骤：

1)第一实体发送接入认证请求分组给第二实体，第二实体验证第一实体签名是否正确，如果正确，计算出第二实体的共享主密钥；

2)由第二实体生成接入响应分组发送第一实体，第一实体验证接入响应分组的签名是否正确；如果正确，计算出第一实体的共享主密钥；

3)由第一实体发送给第二实体接入认证确认分组，第二实体验证接入认证确认分组的完整性，如果验证通过，则第一实体和第二实体的共享主密钥一致，完成接入认证。

上述步骤1)和步骤2)之间还包括有步骤

11)由第二实体发送身份鉴别请求分组给可信第三方，由可信第三方对第一实体和第二实体的身份有效性进行判别；