多认证域认证方法和装置 【技术领域】
本发明涉及无线通信系统安全接入的技术领域,特别涉及对两个以上的认证域的认证方法和装置。
背景技术
近年来,以无线局域网(WLAN)和无线城域网(WMAN)技术为代表的宽带无线网络得到迅猛发展,各种新型无线宽带技术在全球范围内得到广泛应用。对于无线网络而言,其安全性面临的威胁比有线网络更多。网络监听者可能冒充其他用户获取有用信息,也可以通过窃听用户的通信非法获得用户的信息。
中国宽带无线IP标准工作组提出的TePA(Triple-element PeerAuthentication)可信架构,可以有效解决IEEE 802.11协议存在的安全问题。WAPI(Wide Authentication and Privacy Infrastructure)是TePA的一个应用实例,用于解决无线局域网接入安全问题。申请号为200810027930.0的专利《一种无线城域网的安全接入方法》(简称WMAN-SA)是TePA的另一个应用实例,用于解决无线城域网接入安全问题。上述WAPI和WMAN-SA安全网络都包括三个网络单元,分别是终端、接入点和认证服务器,其中,认证服务器的鉴别服务实体(ASE)实现用户证书的生成、分发、维持、吊销、更新和鉴别等服务,终端和接入点各自持有鉴别服务实体颁发的证书,通过鉴别服务实体,形成一个可信任域,又称为认证域。认证过程是:鉴别服务实体收到接入点发送的证书鉴别请求消息,该消息包含终端证书和接入点证书;鉴别服务实体对终端证书和接入点证书的有效性进行验证产生认证结果;根据认证结果构造证书鉴别响应消息发送给接入点。WAPI协议的签名和签名校验采用ECDSA算法,WMAN-SA协议的签名和签名校验可以选用ECDSA或其他算法(例如但不限于RSA算法,下同)。
但是,目前基于TePA可信架构的认证系统,各个终端或者接入点所属的认证域相同。在典型的网络环境下,资源分属于不同的组织,而不同的组织可能处于不同的认证域,这需要实现跨认证域的资源共享和协同计算。基于TePA可信架构的协议特点是一台认证服务器只能构建一个认证域,若需验证多个基于WAPI或WMAN-SA的认证域的证书,则需要多台认证服务器参与。每台认证服务器中的鉴别服务实体使用公钥密码学算法进行数字证书签名和验证等消耗计算资源的操作,需要成本较高的密码学硬件加速设备等计算资源的支持。为了支持多个认证域,需要配备多台内含密码运算设备的认证服务器,每台认证服务器各配备对应认证请求接收模块,各台认证服务器中的密码运算设备可以采用软件方式实现,也可以采用硬件方式实现,不同的认证协议处理操作调用各自的密码运算设备进行的密码运算,这种认证方法需要使用大量密码运算设备及认证请求接收模块,成本较高。
【发明内容】
本发明的目的是以较低的代价实现同时支持多个认证域。
为解决上述技术问题,本发明的技术方案是:多认证域认证方法,包括接收认证请求和提供认证服务的认证协议处理操作,认证协议处理操作需要进行密码运算,所述的认证协议处理操作具有分别为不同的认证域提供认证服务的多个并行,根据认证请求所属的认证域将其分配给为该认证域提供认证服务的认证协议处理操作,所述多个认证协议处理操作通过调用同一个密码算法模块进行所述的密码运算。
本发明所述多个是指两个以上。
所述的调用同一个密码算法模块的多个认证协议处理操作中至少两个是基于WAPI协议的。
所述的调用同一个密码算法模块的多个认证协议处理操作中至少两个是基于WMAN-SA协议的。
所述的调用同一个密码算法模块的多个认证协议处理操作中至少一个是基于WAPI协议的且至少一个是基于WMAN-SA协议的。
多认证域认证装置,包括认证请求接收模块和提供认证服务的认证协议处理模块,认证协议处理模块需要进行密码运算,所述的认证协议处理模块具有分别为不同的认证域提供认证服务的多个并行,根据认证请求所属的认证域将其分配给为该认证域提供认证服务的认证协议处理模块,所述多个认证协议处理模块通过调用同一个密码算法模块进行所述地密码运算。
所述的调用同一个密码算法模块的多个认证协议处理模块中至少两个是基于WAPI协议的。
所述的调用同一个密码算法模块的多个认证协议处理模块中至少两个是基于WMAN-SA协议的。
所述的调用同一个密码算法模块的多个认证协议处理模块中至少一个是基于WAPI协议的且至少一个是基于WMAN-SA协议的。
本发明相对于现有技术的有益效果是:
本发明有多个认证协议处理模块,根据认证请求所属的不同认证域分配给不同的认证协议处理模块,因此能够在一台认证服务器实现对多个认证域的支持;而且多个不同认证域的认证请求由一个认证请求接收模块接收、判别及分配给为该认证域提供认证服务的认证协议处理操作,多个认证协议处理模块通过调用同一个密码算法模块进行密码运算,因此节省了大量的认证请求接收模块及密码运算设备,能够低成本地实现多域认证。本发明认证方法不仅能够实现同一协议的多域认证,还能实现不同协议的多域认证,如WAPI协议和WMAN-SA协议,本发明对不同协议的多域认证提供简便灵活的实现方法。
【附图说明】
图1为本发明中基于WAPI协议的多认证域认证过程的示意图;
图2本发明中基于WMAN-SA协议的多认证域认证过程示意图;
图3本发明中基于WAPI和WMAN-SA两种协议的多认证域认证过程示意图。
【具体实施方式】
下面结合附图通过具体实施方式对本发明作进一步详细的说明。
参照图1、图2和图3,本发明认证方法既可以实现基于WAPI协议的多域认证,又可以实现基于WMAN-SA协议的多域认证,还可以实现基于WAPI和WMAN-SA两种协议的多域认证。为实现多域认证,本发明方法所采用的认证服务器包括收发模块、认证协议处理模块和密码算法模块,其中,收发模块分为认证请求接收模块和认证响应发送模块,本发明认证域名称是指认证服务器中颁发终端证书和接入点证书的鉴别服务实体的区分名称(DN),每一个认证域对应一个认证协议处理模块。
图1所示,基于WAPI协议的多域认证,接入点采用基于WAPI协议的认证方式,所有的WAPI认证协议处理模块分时调用一个密码算法模块,初始化时,WAPI收发模块创建认证域对应认证协议处理模块信息表,保存认证服务实体中所有基于WAPI协议的认证域及WAPI认证协议处理模块标识的对应关系。
WAPI认证协议处理模块创建事务缓存表,用于保存接入点信息以及证书鉴别请求消息,表项包括:事务索引、接入点地址、接入点证书、接入点证书验证结果、终端证书、终端证书验证结果、证书鉴别响应消息签名等。事务索引用于区别不同的WAPI接入点的证书鉴别请求消息。
接入点发送证书鉴别请求消息后,认证服务实体的处理流程如下:
1)WAPI收发模块的认证请求接收模块收到证书鉴别请求消息,消息中包含:接入点证书、终端证书等,根据终端证书包含的颁发者DN信息确定对应的认证域,查找认证域对应认证协议处理模块信息表,得到该认证域对应的WAPI认证协议处理模块标识,构造WAPI认证协议处理请求消息,发送给该认证协议处理模块,消息中包含:接入点地址、接入点证书、终端证书等;
2)WAPI认证协议处理模块收到对应于该模块的证书鉴别请求消息,解析该消息,得到接入点地址、接入点证书、终端证书等,将这些信息保存到事务缓存表中,分别构造接入点证书验证请求消息和终端证书验证请求消息,发送给密码算法模块,消息中包含:WAPI认证协议处理模块标识、颁发者证书公钥、事务索引、待验证证书(接入点证书或终端证书)标识、待验证证书(接入点证书或终端证书)等;
3)密码算法模块收到证书验证请求消息后,利用颁发者证书公钥验证证书,并构造证书验证响应消息,根据WAPI认证协议处理模块标识发送给相应的认证协议处理模块,消息中包含:WAPI认证协议处理模块标识、事务索引、待验证证书(接入点证书或终端证书)标识、证书验证结果等;
4)WAPI认证协议处理模块收到密码算法响应消息后,根据事务索引,保存验证结果到事务缓存表,若接入点证书和终端证书的验证响应消息都已经收到,根据验证结果构造证书鉴别响应数据,包括:接入点证书、接入点证书验证结果、终端证书、终端证书验证结果等,并构造证书鉴别响应数据签名请求消息,发送给密码算法模块,消息中包含:WAPI认证协议处理模块标识、事务索引、颁发证书私钥、签名标识、证书鉴别响应数据等;
5)密码算法模块收到签名请求消息后,利用颁发者证书私钥对证书鉴别响应数据签名,构造签名响应消息,根据WAPI认证协议处理模块标识发送给相应的认证协议处理模块,消息内容包括:WAPI认证协议处理模块标识、事务索引、签名标识、签名结果等;
6)WAPI认证协议处理模块收到证书鉴别响应数据签名响应消息后,构造证书鉴别响应消息,发送给WAPI收发模块的认证响应发送模块,证书鉴别响应消息包括:接入点地址、接入点证书、接入点证书验证结果、终端证书、终端证书验证结果、消息签名等;
7)WAPI收发模块的认证响应发送模块收到证书鉴别响应消息,根据接入点的地址,将证书鉴别响应消息返回给接入点。
上述WAPI协议的签名和签名校验采用ECDSA算法。
在上述认证过程中,假如有多个基于WAPI协议的认证域同时要求认证处理,先通过认证请求接收模块判别不同的认证域再分配给为该认证域提供认证服务的WAPI认证协议处理模块,多个WAPI认证协议处理模块通过调用同一个密码算法模块进行密码运算,即是说,认证多个WAPI协议的认证域只需一个认证请求接收模块和一个密码算法模块,这样与现有技术相比节省了大量的密码运算设备及认证请求接收模块,因此本发明能够低成本地实现多个认证域的认证。
图2所示,基于WMAN-SA协议的多认证域认证,接入点采用基于WMAN-SA协议的认证方式,所有的WMAN-SA认证协议处理模块调用一个密码算法模块,初始化时,WMAN-SA收发模块创建认证域对应认证协议处理模块信息表,保存认证服务实体中所有基于WMAN-SA协议的认证域及WMAN-SA认证协议处理模块标识的对应关系。
WMAN-SA认证协议处理模块创建事务缓存表,用于保存接入点信息以及证书鉴别请求消息,表项包括:事务索引、接入点地址、接入点证书、接入点证书验证结果、终端证书、终端证书验证结果、证书鉴别响应消息签名等。事务索引用于区别不同的WMAN-SA接入点的证书鉴别请求消息。
接入点发送证书鉴别请求消息后,认证服务实体的处理流程如下:
1)WMAN-SA收发模块的认证请求接收模块收到证书鉴别请求消息,消息中包含:接入点证书、终端签名证书、终端加密证书、证书鉴别请求消息签名等,根据终端签名证书得到对应的认证域,查找认证域对应认证协议处理模块信息表,得到该认证域对应的WMAN-SA认证协议处理模块标识,构造WMAN-SA认证协议处理请求消息,发送给该认证协议处理模块,消息中包含:接入点地址、接入点证书、终端签名证书、终端加密证书、证书鉴别请求消息签名等;
2)WMAN-SA认证协议处理模块收到对应于该模块的证书鉴别请求消息,解析该消息,得到接入点地址、接入点证书、终端签名证书、终端加密证书、证书鉴别请求消息签名等,将这些信息保存到事务缓存表中,构造证书鉴别请求签名验证请求消息,发送给密码算法模块,消息中包含:WMAN-SA认证协议处理模块标识、事务索引、接入点证书公钥、签名验证标识、待验证证书鉴别请求数据、待验证证书鉴别请求消息签名等;
3)密码算法模块收到证书鉴别请求签名验证请求消息后,利用接入点证书公钥验证证书鉴别请求消息签名,并构造证书鉴别请求签名验证响应消息根据WMAN-SA认证协议处理模块标识发送给相应的认证协议处理模块,消息中包含:WMAN-SA认证协议处理模块标识、事务索引、签名验证标识、证书鉴别请求签名验证结果等;
4)WMAN-SA认证协议处理模块收到证书鉴别请求签名验证响应消息后,若验证不通过,不再进行任何处理,否则执行5);
5)WMAN-SA认证协议处理模块分别构造接入点证书、终端签名证书和终端加密证书验证请求消息,发送给密码算法模块,消息中包含:WMAN-SA认证协议处理模块标识、颁发者证书公钥、事务索引、待验证证书(接入点证书、终端签名证书或终端加密证书)标识、待验证证书(接入点证书、终端签名证书或终端加密证书)等;
6)密码算法模块收到证书验证请求消息后,利用颁发者证书公钥验证证书,并构造证书验证响应消息,根据WMAN-SA认证协议处理模块标识发送给相应的认证协议处理模块,消息中包含:WMAN-SA认证协议处理模块标识、事务索引、待验证证书(接入点证书、终端签名证书或终端加密证书)标识、验证结果等;
7)WMAN-SA认证协议处理模块收到证书验证响应消息后,根据事务索引,保存验证结果到事务缓存表,若接入点证书、终端签名证书和终端加密证书的验证响应消息都已经收到,根据验证结果构造证书鉴别响应数据,包括:接入点证书验证结果、终端签名证书验证结果、终端加密证书验证结果、接入点身份、终端身份等,并构造证书鉴别响应数据签名请求消息,发送给密码算法模块,消息中包含:WMAN-SA认证协议处理模块标识、事务索引、颁发证书私钥、签名标识、证书鉴别响应数据等;
8)密码算法模块收到签名请求消息后,利用颁发者证书私钥对证书鉴别响应数据签名,构造签名响应消息,根据WMAN-SA认证协议处理模块标识发送给相应的认证协议处理模块,消息内容包括:WMAN-SA认证协议处理模块标识、事务索引、签名标识、签名结果等;
9)WMAN-SA认证协议处理模块收到证书鉴别响应数据签名响应消息后,构造证书鉴别响应消息,发送给WMAN-SA收发模块的认证响应发送模块,证书鉴别响应消息包括:接入点地址、接入点证书验证结果、终端签名证书验证结果、终端加密证书验证结果、接入点身份、终端身份、消息签名等;
10)WMAN-SA收发模块的认证响应发送模块收到证书鉴别响应消息,根据接入点的地址,将证书鉴别响应消息返回给接入点。
上述WMAN-SA的签名和签名校验可以选用ECDSA或其他算法。
在上述认证过程中,假如有多个基于WMAN-SA协议的认证域同时要求认证处理,先通过认证请求接收模块判别不同的认证域再分配给为该认证域提供认证服务的WMAN-SA认证协议处理模块,多个WMAN-SA认证协议处理模块通过调用同一个密码算法模块进行密码运算,即是说,认证多个WMAN-SA协议的认证域只需一个认证请求接收模块和一个密码算法模块,这样与现有技术相比节省了大量的密码运算设备及认证请求接收模块,因此本发明能够低成本地实现多个认证域的认证。
图3所示,基于WAPI和WMAN-SA两种协议的多认证域认证,WAPI协议和WMAN-SA协议采用不同的UDP(User Datagram Protocol用户数据报协议)端口与接入点通信,所以收发模块又分为WAPI收发模块和WMAN-SA收发模块。WAPI收发模块负责侦听WAPI协议定义的端口,收到证书鉴别请求消息后,转发给WAPI认证协议处理模块,WAPI认证协议处理模块收到对应于该模块的证书鉴别请求消息后,后续的处理过程参照关于图1的流程2)流程至7);WMAN-SA收发模块负责侦听WMAN-SA技术方案定义的端口,收到证书鉴别请求消息后,转发给WMAN-SA认证协议处理模块,WMAN-SA认证协议处理模块收到对应于该模块的证书鉴别请求消息后,后续的处理过程参照关于图2的流程2)至流程10)。
因为WAPI协议的签名和签名校验采用ECDSA算法,WMAN-SA的签名和签名校验可以选用ECDSA或其他算法,因此对于基于WAPI和WMAN-SA两种协议的多认证域认证时,WAPI协议及WMAN-SA协议的签名和签名校验需统一采用ECDSA算法。
WAPI协议配备一个认证请求接收模块,WMAN-SA协议也配备一个认证请求接收模块,所有的WAPI认证协议处理模块和WMAN-SA认证协议处理模块共用一个密码算法模块。假如有多个基于WAPI协议和多个基于WMAN-SA协议的认证域同时要求认证处理,通过WAPI收发模块的认证请求接收模块判别不同的WAPI协议认证域再分配给为该认证域提供认证服务的WAPI认证协议处理模块及通过WMAN-SA收发模块的认证请求接收模块判别不同的WMAN-SA协议认证域再分配给为该认证域提供认证服务的WMAN-SA认证协议处理模块。