[发明专利]一种认证方法

说明书

技术领域

本发明涉及通信技术领域，特别涉及一种认证方法。

背景技术

随着智能终端的全面普及以及移动互联网业务的迅速发展，无线局域网呈现出快速发展的态势，已经成为用户在家庭和机场、火车站、酒店等公共场所的主要宽带接入方式。大范围覆盖的无线网络也在城市中逐步部署，如中国移动在北京已经部署了近万个热点，为城区重点范围内的用户提供便捷的无线网络接入。

传统WLAN(Wireless Local Area Networks，无线局域网络)的接入，为了安全性用户在接入时需要获知密码，但是对于提供WLAN网络接入服务的公共场所而言，一般不需要接入密码，为了实现监管部门要求用户上网时进行身份认证的要求，通常使用帐号加密码方式进行验证。如，用户使用运营商提供的WLAN网络，需要先获取WLAN帐号和密码，接入时通过Portal页面/客户端输入对应的帐号和密码完成网络认证。密码也可以是动态的短信验证码，如在机场、候车厅等提供短期免费WLAN接入服务的公共场所，接入时访问公共场所的网站首页，输入手机号码，由身份认证系统生成一个验证码，通过移动运营商的短信平台发送给UE，UE使用这个验证码证明自己的身份后接入网络。

WLAN网络中目前的WiFi接入机制只提供对UE身份的单向认证，WAPI机制采用公钥证书技术实现UE和AP的双向认证，UE和AP上都安装认证中心颁发的证书作为自己的身份凭证，接入时通过认证中心对双方身份进行验证，持有合法证书的移动终端才能接入持有合法证书的AP。

现有WLAN网络的WiFi认证机制只能实现对UE身份的单向认证，该方 法无法对AP进行认证，不能识别伪AP，认证过程中需要借助移动运营商的短信平台，网络运营受控于移动运营商。

WAPI的双向认证机制基于PKI架构，认证前UE和AP均需要安装认证中心颁发的证书。认证需要UE、AP和认证中心三方参与，每次启动认证过程，UE、AP需要将各自证书发送到认证中心，由认证中心完成证书有效性验证并将认证结果返回给UE和AP。整个认证过程参与方多，交互流程繁琐，性能开销大，效率低下，用户使用体验差。

发明内容

有鉴于此，本发明提供了一种认证方法，认证过程无需认证中心参与，减少了认证交互流程，提高了认证效率。

为达到上述目的，本发明的技术方案具体是这样实现的：

本发明公开了一种认证方法，用户侧实体设备之间进行双向认证，该方法包括：

用户侧实体设备接收到对方发送的证书后，验证对方发送的证书是否由认证中心签发；

用户侧实体设备在确认对方的证书是由认证中心签发之后，在自身保存的证书吊销列表CRL中查找是否存在对方的证书，如果不存在，则证书验证通过；

用户侧实体设备在确认自身对证书验证通过，且接收到对方对证书验证通过的消息后，启动密钥协商，获取第一随机数和第二随机数；

用户侧实体设备根据第一随机数和第二随机数，协商产生会话密钥，并验证会话密钥的一致性后完成认证。

认证中心向每个用户侧实体设备发送的证书中携带有认证中心采用认证中心私钥对证书加密得到的认证中心的签名；

所述用户侧实体设备验证对方发送的证书是否由认证中心签发的方法包括：

用户侧实体设备采用认证中心公钥验证证书中携带的认证中心的签名，如 果验证通过，则确认该证书由认证中心签发。

用户侧实体设备在自身保存的CRL是在认证前从认证中心获取的。

优选地，所述获取CRL的方法包括：

用户侧实体设备接收认证中心通过广播或组播方式发送的最新签发的CRL；

用户侧实体设备验证该最新签发的CRL是否由认证中心签发；

用户侧实体设备在确认该最新签发的CRL是由认证中心签发之后，将该最新签发的CRL替换原有保存的CRL。

认证中心向每个用户侧实体设备发送的CRL中携带有认证中心采用认证中心私钥对CRL加密得到的认证中心的签名；

所述用户侧实体设备验证该最新签发的CRL是否由认证中心签发的方法包括：

用户侧实体设备采用认证中心公钥验证CRL中携带的认证中心的签名，如果验证通过，则确认该最新签发的CRL由认证中心签发。

优选地，所述获取CRL的方法包括：

用户侧实体设备定期向认证中心发送携带有当前保存的CRL签发时间信息的更新CRL请求；所述当前保存的CRL签发时间信息是采用该用户侧实体设备的私钥进行加密得到的用户侧实体设备私钥签名；