[发明专利]一种基于身份凭证的无线局域网双向接入认证系统及方法

说明书

技术领域

本发明属于无线网络安全领域，特别涉及一种基于身份凭证的无线局域网双向接入认证系统及方法。

背景技术

随着计算机网络和移动通信技术的飞速发展，大量移动设备涌现，人们对无处不在的泛在网络接入需求越发迫切。作为Internet的扩展和延伸，IEEE802.11无线局域网(Wireless Local Area Network,WLAN)以其部署灵活、异构兼容、低成本、带宽丰富等优势成为“最后一公里”接入领域的最佳解决方案。

然而随着WLAN的广泛部署，其安全性问题开始凸现。下一代无线通信系统要求WLAN能够在开放性环境中为用户提供高效安全的接入服务，接入安全是确保WLAN安全的关键。当移动用户接入WLAN时，访问网络需要认证移动用户的身份以防止其对网络资源的非法使用，另一方面移动用户需认证访问网络从而获得可靠的接入服务。访问网络和移动用户间的双向认证是实现WLAN安全接入的基础。

现有的针对WLAN安全接入的解决方案主要包括：基于802.11i框架的集中式接入认证方法、基于PKI体系的分布式接入认证方法和基于身份密码体制的接入认证方法。(1)在基于802.11i的集中式认证方法中，当移动用户接入访问网络时，首先向接入路由器提出认证请求，接入路由器中转认证请求至中心认证服务器，由中心认证服务器认证移动用户身份并完成移动用户与接入路由器间的密钥协商。集中式认证模式需要认证实体同远程中心认证服务器进行大量消息交互，降低了接入认证效率。(2)在基于PKI的分布式接入认证方法中，数字证书权威(Certificate Authority,CA)分别为移动用户和接入路由器颁发X.509数字证书,当移动用户接入WLAN时，移动用户与接入路由器交换并验证对方数字证书从而实现本地双向接入认证。然而移动用户和接入路由器对数字证书的管理和维护代价限制了相关方案的实用性。(3)基于身份密码体制(IBC)近年兴起并开始被应用到WLAN接入认证领域，以身份作为实体公钥能够减轻PKI体系下的数字证书管理和维护代价。移动用户和接入路由器可以通过验证对方的基于身份的签名实现双向接入认证。但实体的私钥由私钥生成中心(Private Key Generator,PKG)分配，导致密钥托管和密钥传输等一系列安全问题产生，使得此类方案仅局限于小范围可信网络内应用。

可见上述WLAN安全机制在认证消息交互延迟、数字证书维护代价和适用性等方面存在缺陷，更为重要的是当移动用户在访问网络的不同接入路由器间切换时，完整的接入认证过程需重新执行，进一步降低了接入认证效率。

发明内容

针对现有技术存在的不足，本发明提供一种基于身份凭证的无线局域网双向接入认证系统及方法。

本发明的技术方案是：

一种基于身份凭证的无线局域网双向接入认证系统，包括接入路由器，设置在安全域内，还包括身份凭证管理服务器和认证服务器；

所述身份凭证管理服务器用于对安全域内实体的身份凭证进行管理，包括颁发身份凭证和维护身份凭证；所述身份凭证包括颁发者身份、颁发者公钥、用户身份、用户公钥、用户身份证书和身份凭证有效期；所述安全域内实体包括：移动用户和接入路由器；

所述认证服务器用于验证移动用户的接入认证申请并完成与移动用户间的共享密钥协商；

所述接入路由器用于根据认证服务器返回的验证结果控制移动用户是否接入无线局域网，同时接入路由器接收和转发移动用户与认证服务器间的认证消息。

采用所述的基于身份凭证的无线局域网双向接入认证系统进行无线局域网双向接入认证的方法，包括以下步骤：

步骤1：身份凭证管理服务器根据选择的安全参数生成系统公共参数并发布系统公共参数；

所述系统公共参数包括循环群G1和循环群G2、双线性对e、循环群G1上的基点P和G，字符集至循环群G1的单向哈希函数H1，循环群G2至的单向哈希函数H2：为1到q-1范围的正整数，q为身份凭证管理服务器选择的安全参数，身份凭证管理服务器的公钥；

步骤2：身份凭证管理服务器对实体身份进行审核，并为实体颁发身份凭证；

步骤2.1：在实体申请身份凭证前，基于系统公共参数生成实体的公钥私钥对，其中，实体的私钥由实体随机选择，实体的公钥PK_EN=SK_EN·P，即循环群G1上的基点P与实体的私钥SK_EN的乘积；

步骤2.2：实体向身份凭证管理服务器发送身份信息和实体的公钥，向身份凭证管理服务器申请身份凭证；