[发明专利]一种无线城域网终端非归属地接入身份鉴别的方法

说明书

技术领域

本发明涉及无线通信网络及网络安全的技术领域，特别涉及一种无线城域网中终端非归属地接入身份鉴别的实现方法。

背景技术

IEEE 802.16无线城域网作为未来无线接入技术的重要发展方向，备受各界广泛关注。然而，安全问题一直制约着其进一步的推广与发展。IEEE 802.16d中定义了基于公开密钥加密算法（RSA）和数字证书的认证协议，可以实现基站BS对用户站BS的认证。IEEE 802.16d的主要缺点是：只提供了基站BS对用户站SS的单向认证，而没有提供用户站SS对基站BS的认证，假冒基站BS欺骗用户站SS非常容易。此外，授权密钥（AK）和会话密钥（TEK）都是由基站BS一方产生的，在这种单向认证的条件下，很难使得用户站SS对会话密钥TEK的质量产生信任。IEEE 802.16e对IEEE 802.16d进行了增强性的修改，引入了可扩展认证协议（Extensible Authentication Protocol，简称EAP）。但是，仍然只包含了基站BS对用户站SS的单向身份认证。

申请号为200810027930.0的专利《一种无线城域网的安全接入方法》（简称WMAN-SA）提供一种无线城域网的安全接入方法，在认证授权过程中，采用了用户站SS和基站BS的双向认证代替原有的单向认证，攻击者冒充合法基站BS骗取用户站SS的信任成为不可能，避免了中间人攻击的可能性。在密钥的协商过程中，密钥由用户站SS和基站BS共同产生，代替了由基站BS分配，保证了密钥的质量，增强了无线城域网的安全性。因此，改进的协议同样可以满足原无线城域网的功能、性能要求，并且更安全。

随着移动计算业务的不断发展，用户漫游的需求日益增加。当在运营环境下应用WMAN-SA时，网络规模覆盖到全国各个地理区域，用户数量非常大，漫游的情况就会频繁发生。在终端漫游的情况下，如何进行非归属地身份鉴别非常关键。而WMAN-SA仅定义了身份鉴别、密钥管理、数据加密、数据鉴别和重放保护等功能，并没有包含非归属地身份鉴别的具体方案，而且用户站SS在不同基站BS间切换需要申请颁发不同的证书，用户体验效果会变差。

发明内容

本发明的目的是提供一种安全高效的终端非归属地身份鉴别的方法，该方法能够解决无线城域网中终端基于WMAN-SA的非归属地身份鉴别问题。

为解决上述技术问题，本发明的技术方案是：

一种无线城域网终端非归属地接入身份鉴别的方法，用户站SS本地存储有用户站SS证书和若干信任的认证服务器AS证书，基站BS本地存储有基站BS证书和接入地认证服务器AS证书，其特征在于：接入地认证服务器AS和归属地认证服务器AS无直接信任关系，均信任中心认证服务器AS，并持有中心认证服务器AS的证书；基站BS请求认证服务器对基站BS和用户站SS进行身份鉴别时，若接入地认证服务器AS确定不能在本地鉴别用户站SS，则将归属地鉴别请求消息发送给中心认证服务器AS，中心认证服务器AS再把归属地鉴别请求消息发送给归属地认证服务器AS进行认证。

所述的无线城域网终端非归属地接入身份鉴别的方法，其特征在于：包括以下步骤：

步骤1：基站BS向用户站SS发送接入鉴别激活消息，所述接入鉴别激活消息包括基站BS证书和基站BS的消息签名；

步骤2：用户站SS收到接入鉴别激活消息，利用基站BS证书的公钥验证基站BS的消息签名，若验证通过，则构造接入鉴别请求消息并发送至基站BS，所述接入鉴别请求消息包括用户站SS证书、用户站SS信任的认证服务器AS列表和用户站SS的消息签名；

步骤3：基站BS收到接入鉴别请求消息，利用用户站SS证书的公钥验证用户站SS的消息签名，若验证通过，则构造证书鉴别请求消息，发送给接入地认证服务器AS，所述证书鉴别请求消息包括用户站SS证书、基站BS证书、用户站SS信任的认证服务器AS列表和基站BS的消息签名；

步骤4：接入地认证服务器AS收到证书鉴别请求消息，利用基站BS证书的公钥验证基站BS的消息签名，若验证通过，根据用户站SS信任的认证服务器AS列表判断是否需要进行归属地的身份鉴别，分两种情况：

I、若接入地认证服务器AS在用户站SS信任的认证服务器AS列表中，则验证基站BS证书和用户站SS证书，构造并发送第一证书鉴别响应消息至基站BS，所述第一证书鉴别响应消息包括基站BS证书验证结果、用户站SS证书验证结果、接入地认证服务器AS证书和接入地认证服务器AS的消息签名，下一步骤为步骤9；