[发明专利]多认证域认证方法和装置

说明书

技术领域

本发明涉及无线通信系统安全接入的技术领域，特别涉及对两个以上的认证域的认证方法和装置。

背景技术

近年来，以无线局域网(WLAN)和无线城域网(WMAN)技术为代表的宽带无线网络得到迅猛发展，各种新型无线宽带技术在全球范围内得到广泛应用。对于无线网络而言，其安全性面临的威胁比有线网络更多。网络监听者可能冒充其他用户获取有用信息，也可以通过窃听用户的通信非法获得用户的信息。

中国宽带无线IP标准工作组提出的TePA(Triple-element PeerAuthentication)可信架构，可以有效解决IEEE 802.11协议存在的安全问题。WAPI(Wide Authentication and Privacy Infrastructure)是TePA的一个应用实例，用于解决无线局域网接入安全问题。申请号为200810027930.0的专利《一种无线城域网的安全接入方法》(简称WMAN-SA)是TePA的另一个应用实例，用于解决无线城域网接入安全问题。上述WAPI和WMAN-SA安全网络都包括三个网络单元，分别是终端、接入点和认证服务器，其中，认证服务器的鉴别服务实体(ASE)实现用户证书的生成、分发、维持、吊销、更新和鉴别等服务，终端和接入点各自持有鉴别服务实体颁发的证书，通过鉴别服务实体，形成一个可信任域，又称为认证域。认证过程是：鉴别服务实体收到接入点发送的证书鉴别请求消息，该消息包含终端证书和接入点证书；鉴别服务实体对终端证书和接入点证书的有效性进行验证产生认证结果；根据认证结果构造证书鉴别响应消息发送给接入点。WAPI协议的签名和签名校验采用ECDSA算法，WMAN-SA协议的签名和签名校验可以选用ECDSA或其他算法(例如但不限于RSA算法，下同)。

但是，目前基于TePA可信架构的认证系统，各个终端或者接入点所属的认证域相同。在典型的网络环境下，资源分属于不同的组织，而不同的组织可能处于不同的认证域，这需要实现跨认证域的资源共享和协同计算。基于TePA可信架构的协议特点是一台认证服务器只能构建一个认证域，若需验证多个基于WAPI或WMAN-SA的认证域的证书，则需要多台认证服务器参与。每台认证服务器中的鉴别服务实体使用公钥密码学算法进行数字证书签名和验证等消耗计算资源的操作，需要成本较高的密码学硬件加速设备等计算资源的支持。为了支持多个认证域，需要配备多台内含密码运算设备的认证服务器，每台认证服务器各配备对应认证请求接收模块，各台认证服务器中的密码运算设备可以采用软件方式实现，也可以采用硬件方式实现，不同的认证协议处理操作调用各自的密码运算设备进行的密码运算，这种认证方法需要使用大量密码运算设备及认证请求接收模块，成本较高。

发明内容

本发明的目的是以较低的代价实现同时支持多个认证域。

为解决上述技术问题，本发明的技术方案是：多认证域认证方法，包括接收认证请求和提供认证服务的认证协议处理操作，认证协议处理操作需要进行密码运算，所述的认证协议处理操作具有分别为不同的认证域提供认证服务的多个并行，根据认证请求所属的认证域将其分配给为该认证域提供认证服务的认证协议处理操作，所述多个认证协议处理操作通过调用同一个密码算法模块进行所述的密码运算。

本发明所述多个是指两个以上。

所述的调用同一个密码算法模块的多个认证协议处理操作中至少两个是基于WAPI协议的。

所述的调用同一个密码算法模块的多个认证协议处理操作中至少两个是基于WMAN-SA协议的。

所述的调用同一个密码算法模块的多个认证协议处理操作中至少一个是基于WAPI协议的且至少一个是基于WMAN-SA协议的。

多认证域认证装置，包括认证请求接收模块和提供认证服务的认证协议处理模块，认证协议处理模块需要进行密码运算，所述的认证协议处理模块具有分别为不同的认证域提供认证服务的多个并行，根据认证请求所属的认证域将其分配给为该认证域提供认证服务的认证协议处理模块，所述多个认证协议处理模块通过调用同一个密码算法模块进行所述的密码运算。

所述的调用同一个密码算法模块的多个认证协议处理模块中至少两个是基于WAPI协议的。

所述的调用同一个密码算法模块的多个认证协议处理模块中至少两个是基于WMAN-SA协议的。

所述的调用同一个密码算法模块的多个认证协议处理模块中至少一个是基于WAPI协议的且至少一个是基于WMAN-SA协议的。

本发明相对于现有技术的有益效果是：