CN101123501A - 一种wapi认证和密钥协商方法和系统 - Google Patents

Abstract

本发明提供一种WAPI中的认证和密钥协商方法和系统。所述WAPI中包括一认证机构，该方法包括步骤：客户端和/或接入点向所述认证机构申请自验证公钥证书；所述客户端和接入点之间利用自验证公钥证书进行身份验证和密钥协商。通过本发明，减少了数据传输量和在线计算量，提高了认证体系的安全性；解决了WAPI中身份认证和密钥协商过程中存在的问题，进一步提高WAPI认证机制的安全强度。

Description

一种WAPI认证和密钥协商方法和系统

技术领域

本发明涉及无线通信技术领域，特别涉及无线局域网WLAN的安全技术，具体地讲，涉及一种WAPI认证和密钥协商方法和系统，以解决移动设备接入WAPI网络时的身份认证及密钥协商问题。

背景技术

2003年中国知识产权局公开了申请号为02139508.X的发明专利申请，名称为《无线局域网移动终端的安全接入与无线链路的数据保密通信方法》。此申请所涉及的专利在中国无线局域网国家标准GB15629.11-无线局域网鉴别与保密基础结构(WAPI：WLAN Authentication and Privacy Infrastructure)，中应用，其中的无线局域网鉴别基础结构简称为WAI(WLAN AuthenticationInfrastructure)。WAI采用类似于IEEE 802.1X结构的基于端口的认证模型，整个系统由客户端STA(Station)、接入点(AP：Access Point)和认证服务单元(ASU：Authentication Service Unit)组成；采用公钥证书进行认证和密钥协商，目标在于实现客户端STA与接入点AP间的双向鉴别，对于采用“假”接入的AP的攻击方式具有很强的抵御能力。不仅可以防止非法客户端STA接入接入点AP而占用网络资源，而且还可以防止客户端STA登录至非法接入点AP而造成信息泄漏。

国标GB15629.11中WAI的协议交互过程如图1所示，它主要由证书鉴别和密钥协商两个部分组成。

如图1所示，所述的证书鉴别部分按如下过程进行协议交互：

第一步，客户端STA将自己的证书和当前时间提交给接入点AP；

第二步，接入点AP将客户端STA的证书、提交时间和自己的证书一起用自己的私钥进行签名，并将这个签名连同这三部分一起发给认证服务单元(ASU：Authentication Service Unit)；

第三步，当认证服务单元ASU收到接入点AP提交来的鉴别请求之后，首先验证接入点AP的签名和证书。当鉴别成功之后，进一步验证客户端STA的证书；

第四步，认证服务单元ASU将客户端STA和接入点AP的鉴别结果信息用自己的私钥进行签名，并将这个签名连同这两个结果发回给接入点AP。

接入点AP对收到的结果进行签名验证，并得到对客户端STA的鉴别结果，根据这一结果来决定是否允许该客户端STA接入。同时接入点AP需要将认证服务单元ASU的验证结果转发给客户端STA，客户端STA也要对认证服务单元ASU的签名进行验证，并得到接入点AP的鉴别结果，根据这一结果来决定是否接入接入点AP。

如图2所示，所述密钥协商部分按如下过程进行协议交互：

第一步，客户端STA向接入点AP发送密钥协商请求，双方首先进行密钥算法协商，随后，客户端STA产生一个随机数r₀，用接入点AP的公钥PK_AP加密之后传输给对方；

第二步，接入点AP向客户端STA发送密钥协商响应，接入点AP用自己的私钥将对方所产生的随机数r₀还原，也产生一个随机数r₁，用客户端STA的公钥PK_STA加密后传输给对方，并计算会话密钥K＝r₀r₁；

第三步，客户端STA用自己的私钥将对方产生的随机数r₁还原，也计算会话密钥K＝r₀r₁。

上述国家标准中的WAI存在如下缺陷：

1.密钥协商协议不安全。由于在WAI的密钥协商过程中，一个攻击者可以首先将接入点AP发送给客户端STA的第二条消息给丢弃，然后可以假冒接入点AP给客户端STA发送ENC(PK_STA，r)(用公钥加密算法中加密密钥为STA的公钥加密随机数r)，其中r为攻击者任意选择的一个随机数。这样当协议结束的时候，客户端STA得到的会话密钥是K_l＝r₀r，而接入点AP得到的会话密钥是K₂＝r₀r₁。也就是说在协议结束时，接入点AP和客户端STA得到了不相同的会话密钥，因此该密钥协商协议是不安全的。

2.没有实现接入点AP对客户端STA的身份认证功能。在WAPI中，只有当接入点AP确认客户端STA拥有与其自身出示的公钥证书相对应的私钥时，才能够实现对客户端STA的身份认证。但从WAI的执行过程看出，一个攻击者只要知道一个合法用户的证书，就可以顺利的通过证书鉴别；而且该WAI的密钥协商过程是隐式的密钥认证，接入点AP不能够确认客户端STA拥有与其自身出示的公钥证书相对应的私钥，这样就可使该攻击者不被发现地完成密钥协商协议，所以WAI没有实现对客户端STA的身份认证功能。

3.客户端STA在没完成身份认证的情况下就被允许访问网络。由于在该WAI中，一个攻击者只要提交一个合法用户的证书就可以假冒该用户接入网络，因此在网络是计时收费的情况下，就可能导致误收费。同时攻击者一旦接入网络就有可能发动许多的攻击，对网络的安全造成严重的威胁。

4.协议执行效率太低，客户端STA和接入点AP必须通过资源有限的无线信道传送各自的公钥证书，并且要通过认证服务单元ASU来验证对方证书的合法性和有效性，严重增加了网络负载、计算负担和传输时延，尤其是客户端STA需要做繁重的签名及签名验证运算，影响了用户接入的实时性。

为了克服上述的缺陷，2004年全国信息技术标准化技术委员会宽带无线IP标准工作组颁布了WAPI的实施指南。该实施指南中WAI的交互过程同国家标准中WAI的交互过程基本一样，都是由证书鉴别和密钥协商两部分组成。这两者中的证书鉴别过程完全一样，而且实施指南中的单播密钥协商与国标中的密钥协商过程大体相同，都是由客户端STA和接入点AP分别产生随机数后用对方的公钥加密后传送给对方，并通过这两个随机数计算得到会话密钥。不同的是：(1)实施指南中的密钥协商请求是由接入点AP发出，而且在协商请求中增加了接入点AP对加密后的随机数、鉴别请求时间、客户端STA和接入点AP的身份标示等数据的一个数字签名；(2)密钥协商应答是由客户端STA发出，而且在该协商应答中，增加了客户端STA对加密后的随机数、鉴别请求时间、客户端STA和接入点AP的身份标示等数据计算出的一个消息认证码。

WAPI实施指南中单播密钥协商交互过程的安全性相对于国家标准中原方案的安全性有一定的提高，但没有从根本上解决原来存在的安全缺陷，没能达到足够的安全强度。

发明内容

鉴于现有技术中存在的问题，本发明提供一种WAPI中认证和密钥协商方法和系统。该方法基于自验证公钥，使得在不改变原WAI基本框架的基础上，客户端STA和接入点AP无须在空中接口传送自己的公钥证书及验证对方证书的合法性，并且双方可以利用自验证公钥证书进行密钥协商。因此，减少了数据传输量和在线计算量，提高了认证体系的安全性；解决了WAPI中身份认证和密钥协商过程中存在的问题，进一步提高WAPI认证机制的安全强度。

本发明提供一种WAPI中的认证和密钥协商方法，所述WAPI中包括一认证机构，该方法包括步骤：

客户端和/或接入点向所述认证机构申请自验证公钥证书；

所述客户端和接入点之间利用自验证公钥证书进行身份验证和密钥协商。

根据该方法，所述客户端和接入点之间利用自验证公钥证书进行身份验证和密钥协商，包括步骤：

客户端向接入点发送认证和密钥协商请求消息；

接入点向客户端发送认证和密钥协商应答响应消息；

客户端给接入点发送应答消息；

接入点给客户端发送应答响应消息；

客户端验证应答响应消息。

根据该方法，所述客户端或接入点申请自验证公钥证书，包括步骤：

所述客户端或接入点向认证机构提出申请；

认证机构为客户端或接入点颁发自验证公钥证书。

根据该方法，所述认证机构为客户端或接入点颁发自验证公钥证书，包括步骤：

认证机构产生系统密钥数据，该系统密钥数据包括系统参数和系统私钥；

认证机构公开所述系统参数，并秘密保存系统私钥；

所述客户端或接入点根据所述系统密钥数据建立自验证公钥证书。

根据该方法，所述系统参数至少包括：公开模数、公开指数和公开元素。

根据该方法，所述客户端或接入点根据系统密钥数据建立自验证公钥证书，包括步骤：

步骤1，客户端或接入点随机选择一整数作为私钥；

步骤2，客户端或接入点向认证机构证明所述客户端或接入点知道该私钥，并且不泄漏该私钥，并且发送身份给认证机构；

步骤3，认证机构发送公钥至所述客户端或接入点。

根据该方法，所述客户端或接入点以及认证机构均利用自验证公钥时，所述步骤2中客户端或接入点向认证机构证明所述客户端或接入点知道该私钥，并且不泄漏该私钥，包括：

步骤21，客户端或接入点计算密秘信息，产生一个客户端或接入点随机数，并将秘密信息、身份、随机数发送给认证机构；

步骤22，认证机构收到客户端或接入点发送的秘密信息、身份、随机数后，计算客户端或接入点的消息认证码，并将认证机构的身份、公钥、认证机构随机数和消息认证码发送给客户端或接入点；

步骤23，客户端或接入点给认证机构发送应答消息；

步骤24，认证机构给客户端或接入点发送应答响应消息。

根据该方法，所述步骤22包括：

认证机构计算客户端或接入点的公钥；

认证机构根据客户端或接入点的公钥、身份和所述认证机构的私钥，计算共享密钥；

认证机构产生一个认证机构随机数，开利用共亭密钥计算出消息认证码密钥；

认证机构用该消息认证码密钥对认证机构以及客户端或接入点的身份、字符数据“1”进行计算，得到客户端或接入点的消息认证码；

然后，将认证机构身份、公钥、认证机构随机数和消息认证码发送给客户端或接入点。

根据该法发，所述步骤23包括：

客户端或接入点根据接收到的认证机构的公钥、身份和所述客户端或接入点的私钥，计算共享密钥；

客户端或接入点利用共享密钥计算出消息认证码密钥；

客户端或接入点验证认证机构发送过来的消息认证码是否正确；

若验证结果为正确，则确定认证机构的身份是真实可信的；

客户端或接入点用消息认证码密钥对客户端或接入点以及认证机构的身份、字符数据“0”进行计算，得到认证机构的消息认证码；

将所述消息认证码发送给认证机构。

根据该方法，若验证的结果不正确，则发送出错消息。

根据该方法，所述步骤24包括：

认证机构验证客户端或接入点发来的消息认证码的真伪；

若验证结果为真，则确定客户端或接入点的身份是真实可信的，并且确信对方拥有对应的私钥。

根据该方法，只有客户端或接入点利用自验证公钥时，所述步骤2中客户端或接入点向认证机构证明所述客户端或接入点知道该私钥，并且不泄漏该私钥，包括：

步骤21，客户端或接入点产生一个客户端或接入点随机数N_A∈[0，A]，利用该随机数计算客户端或接入点秘密数据；利用认证机构的公钥加密客户端或接入点身份和秘密数据的级联，得到级联加密数据；然后，将级联加密数据发送给认证机构；

步骤22，认证机构利用其私钥解密级联加密数据，获得客户端或接入点秘密数据和身份值；认证机构计算客户端或接入点的公钥；认证机构产生一个认证机构随机数N_V∈[0，B]，计算级联秘密数据；然后，将级联秘密数据发送给客户端或接入点；

步骤23，客户端或接入点给认证机构发送应答消息；

步骤24，认证机构给客户端或接入点发送应答响应消息。

根据该方法，所述步骤23包括：

客户端或接入点利用客户端或接入点秘密数据还原出认证机构随机数和客户端或接入点身份；

判断所述客户端或接入点身份是否与该客户端或接入点发送的一致；

若判断结果为一致，则确定认证机构的身份是真实可信的；

客户端或接入点计算验证数据，发送级联验证数据给认证机构。

根据该方法，若判断结果不一致，则发送出错消息。

根据该方法，所述步骤24包括：

认证机构利用其随机数还原出验证数据；

判断是否满足一定的条件；

若判断结果为满足条件，则认证机构确定客户端或接入点的身份是真实可信的，并且确信对方拥有对应的私钥。

根据该方法，所述满足一定的条件是指：下面两个条件是否均成立：

$\left(g^y{(I_A+P_A^e)}^{N_V}\mathrm{mod}N\right)\stackrel{?}{=}x$

$\stackrel{?}{y\∈}[0,A+(B-1)(S-1)]$

其中，N：公开模数；A、B、S：安全的参数范围；y：验证数据；x：秘密数据；Nv：认证机构随机数；I_A：客户端或接入点身份；P_A：客户端或接入点公钥；g：公开元素；e：公开指数。

根据该方法，若判断结果为不满足条件，则停止协议，发送出错消息。

根据该方法，所述私钥为客户端或接入点随机选择的长度为160比特的整数。

根据该方法，当客户端和接入点均向认证机构申请自验证公钥证书时，所述客户端向接入点发送认证和密钥协商请求消息，包括步骤：

客户端产生一客户端随机数；

将客户端身份、公钥和所述客户端随机数置于所述认证和密钥协商请求消息的“密钥协商数据”字段，并发给接入点。

根据该方法，所述接入点向客户端发送认证和密钥协商应答响应消息，包括步骤：

接入点接收所述认证和密钥协商请求消息，按照该请求进行会话算法的协商；

接入点产生一接入点随机数；

将接入点身份、公钥和接入点随机数置于认证和密钥协商应答响应消息的“密钥协商数据”字段，并发送给客户端。

根据该方法，所述客户端给接入点发送应答消息，包括步骤：

客户端根据接入点的公钥和客户端的私钥计算共享密钥；

客户端利用所述共享密钥计算会话密钥和消息认证码密钥；

客户端根据该消息认证码密钥得到接入点的消息认证码，并发送给接入点。

根据该方法，接入点给客户端发送应答响应消息，包括步骤：

接入点根据客户端的公钥和接入点的私钥计算共享密钥；

接入点利用所述共享密钥计算会话密钥和消息认证码密钥；

接入点验证客户端发来的消息认证码的真伪；

若接入点验证客户端发来的消息认证码为真，则利用所述消息认证码密钥得到客户端的消息认证码，并发送给客户端。

根据该方法，还包括步骤：若所述接入点验证客户端发来的消息认证码为假，则发送出错消息。

根据该方法，所述客户端验证应答响应消息，包括步骤：

客户端收到接入点发送来的应答响应消息后，对该消息中的消息认证码进行验证；

若验证的结果为真，则客户端准备接入网络。

根据该方法，还包括步骤：若验证的结果为假，则客户端发送出错消息。

根据该方法，当只有客户端申请自验证公钥证书时，该客户端申请自验证公钥证书之前还包括步骤：接入点向WAPI中的认证服务单元申请公钥证书；

所述接入点将该WAPI中的认证服务单元对其证书的鉴定结果和签名值预先发送给客户端；

客户端通过验证签名以确定该接入点证书的真实有效。

根据该方法，所述客户端向接入点发送认证和密钥协商请求消息，包括步骤：

客户端产生客户端随机数N_A∈[0，A]并利用该客户端随机数计算出客户端秘密数据；其中，A是一个安全的参数范围；

客户端利用接入点的公钥加密客户端身份和客户端秘密数据的级联，得到级联加密数据；

客户端将客户端的公钥和级联加密数据置于所述认证和密钥协商请求消息的“密钥协商数据”字段，并发送给接入点。

根据该方法，所述接入点向客户端发送认证和密钥协商应答响应消息，包括步骤：

接入点在接收到客户端发送来的认证和密钥协商请求消息后，进行会话算法的协商；

接入点利用其私钥解密所述认证和密钥协商请求消息中包括的级联加密数据；

接入点产生接入点随机数N_C∈[0，B]，并计算级联秘密数据；其中，B是一个安全的参数范围；

将级联秘密数据置于认证和密钥协商应答响应消息的“密钥协商数据”字段，并发送给客户端。

根据该方法，所述客户端给接入点发送应答消息，包括步骤：

客户端利用客户端秘密数据还原出接入点随机数和客户端身份，并判断还原出的客户端身份与客户端发送的身份是否一致；

若判断结果为一致，则确定所述接入点身份为真，计算验证数据，并发送级联验证数据给接入点。

根据该方法，所述接入点给客户端发送应答响应消息，包括步骤：

接入点利用接入点随机数还原出验证数据，判断是否满足一定的条件；

若满足，则接入点利用验证数据得到共享密钥；

接入点利用所述共享密钥得到会话密钥和消息认证码密钥；

接入点利用所述消息认证码密钥得到客户端的消息认证码，并发送给客户端。

根据该方法，所述判断是否满足一定的条件是指：判断是否同时满足两个条件，所述两个条件用公式表示为： $H\left(g^y{(I_A+P_A^e)}^{N_C}\mathrm{mod}N\right)\stackrel{?}{=}x$ 和 $y\stackrel{?}{\∈}[0,A+(B-1)(S-1)];$ 其中，

g：公开元素；y：验证数据；e：公开指数；I_A：客户端身份；P_A：客户端公钥；N：公开模数；N_C：接入点随机数；x：客户端秘密数据；A、B、S是安全的参数范围。

根据该方法，还包括步骤：若不满足条件，则发送出错消息。

根据该方法，所述客户端验证应答响应消息，包括步骤：

客户端利用验证数据y得到共享密钥；

客户端利用所述共享密钥得到会话密钥和消息认证码密钥；

客户端验证接入点发来的消息认证码的真伪；

若验证结果为真，则客户端准备接入网络。

根据该方法，还包括步骤：若所述客户端验证接入点发来的消息认证码为假，则发送出错消息。

根据该方法，所述认证机构为认证服务单元。

本发明还提供一种WAPI中的认证和密钥协商系统，包括客户端、接入点和认证机构；其中，

认证机构，用于产生系统密钥数据，其中所述系统密钥数据包括系统参数和系统私钥；并公开所述系统参数，秘密保存系统私钥；

客户端和接入点，用于向认证机构申请自验证公钥证书，利用认证机构产生的系统密钥数据建立自验证公钥证书，并利用该自验证公钥证书进行身份验证和密钥协商。

根据该系统，所述自验证公钥证书包括：身份和公钥数据。

根据该系统，客户端或接入点利用认证机构产生的系统密钥数据建立自验证公钥证书，是指：客户端或接入点随机选择一整数作为私钥；客户端或接入点向认证机构证明所述客户端或接入点知道该私钥，并且不泄漏该私钥，并且发送身份给认证机构；认证机构发送公钥至所述客户端或接入点。

根据该系统，客户端或接入点向认证机构证明其知道该私钥，并且不泄漏该私钥，是指：

客户端或接入点发送消息至认证机构，其中该消息中包括秘密信息、身份、随机数；

认证机构收到消息后，发送响应消息至客户端或接入点，所述响应消息包括该认证机构的身份、公钥、认证机构随机数和认证机构消息认证码；

客户端或接入点给认证机构发送应答消息，该应答消息包括认证机构消息认证码；

认证机构给客户端或接入点发送应答响应消息。

根据该系统，客户端或接入点向认证机构证明其知道该私钥，并且不泄漏该私钥，是指：

客户端或接入点发送消息至认证机构，其中该消息中包括利用认证机构的公钥加密客户端或接入点身份和秘密数据的级联而得到的级联加密数据；

认证机构收到消息后，发送响应消息至客户端或接入点，所述响应消息包括该级联秘密数据；

客户端或接入点给认证机构发送应答消息，该应答消息包括级联验证数据；

认证机构给客户端或接入点发送应答响应消息。

根据该系统，所述客户端和接入点利用自验证公钥证书进行身份验证和密钥协商，是指：

客户端向接入点发送认证和密钥协商请求消息，该密钥协商请求消息包括客户端随机数、身份、公钥；

接入点向客户端发送认证和密钥协商应答响应消息，该应答响应消息包括接入点随机数、身份、公钥；

客户端给接入点发送应答消息，该应答消息包括接入点消息认证码；

接入点给客户端发送应答响应消息，该应答响应消息包括客户端的消息认证码；

客户端验证应答响应消息。

本发明还提供一种WAPI中的认证和密钥协商系统，包括认证服务单元，还包括客户端、认证机构、接入点；其中，

认证机构，用于产生系统密钥数据，其中所述系统密钥数据包括系统参数和系统私钥；并公开所述系统参数，秘密保存系统私钥；

客户端，用于向认证机构申请自验证公钥证书，利用认证机构产生的系统密钥数据建立自验证公钥证书，并利用该自验证公钥证书与接入点之间进行身份验证和密钥协商；

接入点，用于向认证服务单元申请公钥证书，并利用该公钥证书与客户端之间进行身份验证和密钥协商。

根据该系统，所述自验证公钥证书包括：身份和公钥数据。

根据该系统，所述认证机构为认证服务单元。

根据该系统，客户端利用认证机构产生的系统密钥数据建立自验证公钥证书，是指：

客户端随机选择一整数作为私钥；客户端向认证机构证明所述客户端知道该私钥，并且不泄漏该私钥，并且发送身份给认证机构；认证机构发送公钥至所述客户端。

根据该系统，客户端向认证机构证明其知道该私钥，并且不泄漏该私钥，是指：

客户端发送消息至认证机构，其中该消息中包括秘密信息、身份、随机数；

认证机构收到消息后，发送响应消息至客户端，所述响应消息包括该认证机构的身份、公钥、认证机构随机数和认证机构消息认证码；

客户端给认证机构发送应答消息，该应答消息包括认证机构消息认证码；

认证机构给客户端发送应答响应消息。

根据该系统，客户端向认证机构证明其知道该私钥，并且不泄漏该私钥，是指：

客户端发送消息至认证机构，其中该消息中包括利用认证机构的公钥加密客户端身份和秘密数据的级联而得到的级联加密数据；

认证机构收到消息后，发送响应消息至客户端，所述响应消息包括该级联秘密数据；

客户端给认证机构发送应答消息，该应答消息包括级联验证数据；

认证机构给客户端发送应答响应消息。

根据该系统，所述客户端利用自验证公钥证书进行身份验证和密钥协商，是指：

客户端向接入点发送认证和密钥协商请求消息，该密钥协商请求消息包括客户端公钥和客户端秘密数据的级联；

接入点向客户端发送认证和密钥协商应答响应消息，该应答响应消息包括级联秘密数据；

客户端给接入点发送应答消息，该应答消息包括级联验证数据；

接入点给客户端发送应答响应消息，该应答响应消息包括客户端的消息认证码；

客户端验证应答响应消息。

本发明的有益效果在于：

1.保持了国标中WAI的框架。

虽然本发明采用了自验证的公钥证书进行身份认证及密钥协商，但依然保持了WAI的体系结构，即客户端STA和接入点AP双方直接进行身份认证和密钥协商，因此不需要对原方案做大的改动就可以达到安全的目的。

2.本发明提供了两个认证实施方式，增加了认证的灵活性。

为了与现有的公钥基础设施PKI系统相兼容，本发明提供了两个认证和密钥协商实施方式，即双方都采用自验证公钥证书和仅客户端采用自验证公钥证书(AP采用传统的公钥证书)的认证和密钥协商方式，因此可以适用多种场景，更具灵活性。

3.身份认证和密钥协商实现了有机的结合，达到了客户端STA和接入点AP双向认证和密钥协商的目的。

原国家标准中，身份认证和密钥协商是作为两部分独立实现的，因此存在一些安全缺陷。本发明采用的身份认证和密钥协商过程安全地实现了客户端STA和接入点AP双向显式的密钥认证，只有拥有与声明的身份和公钥相对应私钥的实体(STA或AP)才能够计算出对应的消息认证码；对于采用传统公钥证书的接入点AP而言，只有拥有与经过合法检验过的证书相对应私钥的接入点AP才能够计算出对应的消息认证码，因而防止了国家标准中WAI方案中可能出现的攻击：一个合法的实体通过了证书鉴别，但攻击者却在密钥协商过程中取代该合法实体来完成密钥协商的问题，安全地实现了客户端STA和接入点AP在密钥协商过程中的身份认证目的。

4.客户端STA只有通过了身份认证和密钥协商之后才能够被允许接入网络。

由于本发明采用只有通过了身份认证和密钥协商之后才允许客户端STA接入网络的方法，因此避免了国家标准中WAI中一些攻击者利用合法用户的证书来通过证书鉴别接入网络，而导致误收费以及对网络造成安全威胁的弊端。

5.改进的方案相对于国标及实施方案中的WAI具有更高的效率。

由于本发明采用了自验证的公钥证书，因此在身份认证时，不需要在无线信道上传送公钥证书，也不需要认证服务单元ASU验证证书的合法性和有效性，从而省略了签名及签名验证等公钥算法，减少了网络负载、计算负担和传输时延，相对于国标及实施方案中WAI的密钥协商协议而言，具有更高的效率。

附图说明

图1为国家标准GB15629.11中WAI的协议交互流程图；

图2为国家标准GB15629.11中WAI的密钥协商协议流程图；

图3为本发明客户端或接入点向认证机构证明其知道私钥并不泄漏私钥的验证过程流程图；

图4为本发明客户端或接入点向认证机构证明其知道私钥并不泄漏私钥的另一验证过程流程图；

图5为本发明实施例一身份认证和密钥协商流程图；

图6为本发明实施例二身份认证和密钥协商流程图。

具体实施方式

本发明提供一种WAPI中的认证和密钥协商方法，在该WAPI中包括一认证机构(CA：Certificate Authority)，该方法包括步骤：客户端STA和/或接入点AP向所述认证机构CA申请自验证公钥证书；所述客户端STA和接入点AP之间利用自验证公钥证书进行身份验证和密钥协商。

该方法基于自验证公钥，使得在不改变原WAI基本框架的基础上，客户端STA和接入点AP无须在空中接口传送自己的公钥证书及验证对方证书的合法性，并且双方可以利用自验证公钥证书进行密钥协商。因此，减少了数据传输量和在线计算量，提高了认证体系的安全性；解决了WAPI中身份认证和密钥协商过程中存在的问题，进一步提高WAPI认证机制的安全强度。

所述客户端STA和接入点AP之间利用自验证公钥证书进行身份验证和密钥协商，其中，该客户端STA和接入点AP均向认证机构CA申请自验证公钥证书；另外，只有客户端向认证机构CA申请自验证公钥证书，而接入点AP还采用传统的X.509公钥证书。

本实施例中，认证机构CA为认证服务单元ASU。另外所述认证机构CA和认证服务单元ASU也可分别设置。

实施例一

本实施例中，客户端STA和接入点AP均采用自验证公钥证书的身份认证及密钥协商协议。

此时对应的WAPI中的认证和密钥协商系统，包括客户端、接入点和认证机构；其中，认证机构，用于产生系统密钥数据，其中所述系统密钥数据包括系统参数和系统私钥；并公开所述系统参数，秘密保存系统私钥；客户端和接入点，用于向认证机构申请自验证公钥证书，利用认证机构产生的系统密钥数据建立自验证公钥证书，并利用该自验证公钥证书进行身份验证和密钥协商。以下结合附图对该系统中的认证和密钥协商方法进行详细说明。

客户端STA和接入点AP分别向认证服务单元ASU申请自验证公钥证书；然后，客户端STA和接入点AP均采用自验证证书的身份认证及密钥协商。

本实施例中，客户端STA和接入点AP分别向认证服务单元ASU申请自验证证书，由该认证服务单元ASU分别向客户端STA和接入点AP颁发自验证证书，该自验证证书的内容包括公钥和身份。本实施例中，设客户端STA的公钥数据为(s_A，P_A，I_A)，接入点AP的公钥数据为(s_C，P_C，I_C)。

其中，建立客户端STA和接入点AP的自验证证书的过程相同，以客户端为例对认证服务单元ASU颁发自验证公钥证书的过程进行说明。

在执行无线局域网鉴别与保密基础结构WAPI时，首先，由认证服务单元ASU生成系统密钥数据，即RSA密钥数据，其中RSA的命名取自Rivest、Shamir和Adelman；包括：

一个公开模数N＝PQ，其中P、Q是长度相等的大素数，如|P|＝|Q|＝512；

一个公开指数e，与φ(N)互素，其中φ(N)＝(P-1)(Q-1)；

一个秘密指数d，满足ed≡1(mod φ(N))，该至少作为系统私钥；

一个公开元素g属于乘法群Z_N ^*，即 $g\∈Z_N^{*}$ 具有最大的乘法阶；为了计算g，认证服务单元ASU找g_P户作为模P的生成元，并找g_Q作为模Q的生成元，然后认证服务单元ASU可以运用中国剩余定理来构造g。

然后，认证服务单元ASU公开系统参数(N，e，g)，并秘密保存系统私钥d。

客户端STA随机选择一个长度为160比特的整数s_A作为私钥，然后，运用下述的的两种认证协议之一向ASU证明其知道s_A，且不泄漏s_A，并将其身份I_A发给认证服务单元ASU。

如图3所示为第一种认证情况。

认证服务单元ASU也采用自验证公钥证书，假设其自验证公钥证书为I_B、P_B。

步骤1，客户端STA计算秘密信息 $v\←g^{{-s}_A}\left(\mathrm{mod}N\right),$ 产生一个随机数R_A，并将秘密信息v、身份I_A、随机数R_A发送给认证服务单元ASU；

步骤2，认证服务单元ASU计算客户端STA的公钥，为v-I_A的RSA签名：P_A←(v-I_A)^d(mod N)，下面的等式成立， $I_A\≡P_A^e-v\left(\mathrm{mod}N\right);$

认证服务单元ASU根据计算出来的客户端STA的公钥数据和自己的私钥s_B，计算共享密钥 $K_{\mathrm{AB}}\≡{(P_A^e+I_A)}^{s_B}\left(\mathrm{mod}N\right);$

认证服务单元ASU产生一个随机数R_B，并利用共享密钥K_AB计算出消息认证码密钥k_a，计算方法为： $k_a=f_{K_{\mathrm{AB}}}\left(0\right|\left|R_A\right|\left|R_B\right),$ 其中，f为伪随机函数；

认证服务单元ASU用该消息认证码密钥k_a对认证服务单元ASU以及客户端STA的身份、字符数据“1”进行计算，得到客户端STA的消息认证码MIC_ka(″1″，I_B，I_A)，将身份I_B，公钥P_B，、随机数R_B和消息认证码MIC_ka(″1″，I_B，I_A)发送给客户端STA。

步骤3，客户端STA给认证服务单元ASU发送应答消息。其中，包括步骤：

客户端STA根据接收到的认证服务单元ASU的公钥数据和自己的私钥s_A，计算共享密钥 $K_{\mathrm{AB}}\≡{(P_B^e+I_B)}^{s_A}\left(\mathrm{mod}N\right);$

客户端STA利用共享密钥K_AB计算出消息认证码密钥k_a，计算方法为： $k_a=f_{K_{\mathrm{AB}}}\left(0\right|\left|R_A\right|\left|R_B\right),$ 其中，f为伪随机函数；

客户端STA验证认证服务单元ASU发送过来的消息认证码MIC_ka(″1″，I_B，I_A)，如果正确，则确定对方的身份是真实可信的；

客户端STA用消息认证码密钥k_a对客户端STA以及认证服务单元ASU的身份、字符数据“0”进行计算，得到认证服务单元ASU的消息认证码，将该消息认证码MIC_ka(″0″，I_B，I_A)发送给认证服务单元ASU。

步骤4，认证服务单元ASU给客户端STA发送的应答响应消息。包括步骤：

认证服务单元ASU验证客户端STA发来的消息认证码MIC_ka(″0″，I_B，I_A)的真伪，如果通过验证，则可以确定对方的身份是真实可信的，并且确信对方拥有对应的私钥。

认证服务单元ASU发送P_A给客户端STA作为其公钥的一部分。

如图4所示，为第二种认证情况。

认证服务单元ASU采用传统的X.509公钥证书，假设其对应公、私钥为PK_ASU、sk_ASU。

步骤1，客户端STA产生一个随机数N_A∈[0，A]，计算客户端秘密数据x，其中 $x=H\left(g^{N_A}\mathrm{mod}N\right),$ 利用认证服务单元ASU的公钥加密其身份I_A和秘密数据x的级联，得到级联加密数据，即{x||I_A}_PKASU；其中，A是一个安全的参数范围，本实施例中为|A|≥272；

然后，将级联加密数据{x||I_A}_PKASU发送给认证服务单元ASU。

步骤2，认证服务单元ASU利用其私钥sk_ASU解密级联加密数据{x||I_A}_PKASU，获得客户端秘密数据x和I_A值；

认证服务单元ASU计算客户端STA的公钥为v-I_A的RSA签名：P_A←(v-I_A)^d(mod N)，下面的等式成立， $I_A\≡P_A^e-v\left(\mathrm{mod}N\right);$

认证服务单元ASU也产生一个随机数N_V∈[0，B]，计算级联秘密数据(N_V‖I_A)x′，其中，x′为x的低128bits；B是一个安全参数范围，本实施例中|B|≥32；

然后，将级联秘密数据(N_V‖I_A)x′发送给客户端STA。

步骤3，客户端STA给认证服务单元ASU发送应答消息。包括步骤：

客户端STA利用客户端秘密数据x还原出认证服务单元随机数N_V和客户端身份I_A，判断身份I_A是否与自己发送的一致，如果一致的话，则可以确定认证服务单元ASU的身份是真实可信的；

客户端STA计算验证数据y，y＝N_A+N_V×s_A，发送级联验证数据yN_V给认证服务单元ASU。

步骤4，认证服务单元ASU给客户端STA发送应答响应消息。包括步骤：

认证服务单元ASU利用随机数N_V还原出验证数据y，判断是否满足一定的条件，本实施例中，满足一定的条件是指：下面两个条件是否都成立：

$H\left(g^y{(I_A+P_A^e)}^{N_V}\mathrm{mod}N\right)\stackrel{?}{=}x---\left(1\right)$

$y\stackrel{?}{\∈}[0,A+(B-1)(S-1)]---\left(2\right)$

上式中，N是公开模数，A、B、S是安全的参数范围，本实施例中分别为|N|≥1024、|B|≥32、|S|≥160、|A|≥|S|+|B|+80；

如果上述任意一条条件不成立，则中止协议，并发送出错消息；否则认证服务单元ASU可以确定对方的身份是真实可信的，并且确信对方拥有对应的私钥。当然，并不限于上述条件，还可采用其它条件判断。

最后，认证服务单元ASU发送P_A给客户端STA作为其公钥的一部分。

因此，客户端STA获得自验证公钥证书，该自验证公钥证书中包括两部份内容，一是用户的身份I_A，二是公钥数据，即P_A。

接入点AP自验证公钥证书建立过程和客户端STA的建立过程一样，此处不再赘述。另外，接入点AP也可以采用无线局域网国家标准GB15629.11中规定的公钥证书格式，即X.509格式的公钥证书，AP需要通过密钥生成算法得到公私钥对，再从ASU申请它的公钥证书。

以下，参照附图5详细说明客户端STA和接入点AP双方均采用自验证公钥证书的身份认证及密钥协商过程。

步骤1，客户端STA向接入点AP发送认证和密钥协商请求消息。该请求消息中包括客户端STA身份I_A、公钥P_A和客户端STA选取的随机数R_A。其中，产生该请求内容的过程包括：

客户端STA采用国家密码管理委员会办公室批准的WLAN随机数产生算法产生一个随机数R_A；

然后，将数据I_A，P_A，R_A置于密钥协商请求分组中的“密钥协商数据”字段。

步骤2，接入点AP向客户端STA发送认证和密钥协商应答响应消息。该响应内容包括接入点AP身份I_C，公钥P_C和AP选取的随机数R_C。产生该响应内容的具体过程包括：

接入点AP在收到客户端STA发送过来的密钥协商请求后，首先按照该请求进行会话算法的协商，在客户端STA提供的备选算法中选择一种自己支持的算法；

然后，接入点AP也利用随机数产生算法来产生一个随机数R_C，然后，将数据I_C，P_C，R_C置于密钥协商响应分组中的“密钥协商数据”字段。

步骤3，客户端STA给接入点AP发送应答消息。其中，包括步骤：

客户端STA根据接收到的接入点AP的公钥数据和自己的私钥s_A，计算共享密钥 $K_{\mathrm{AC}}\≡{(P_C^e+I_C)}^{s_A}\left(\mathrm{mod}N\right);$

客户端STA利用共享密钥K_AC计算出会话密钥k_d′和消息认证码密钥k_a′，计算方法为： ${k_a}^{\′}=f_{K_{\mathrm{AC}}}\left(0\right|\left|R_A\right|\left|R_C\right),$ ${k_d}^{\′}=f_{K_{\mathrm{AC}}}\left(0\right|\left|R_A\right|\left|R_C\right),$ 其中，f为伪随机函数。

客户端STA用消息认证码密钥k_a′对客户端STA以及接入点AP的身份、字符数据“0”进行计算，得到接入点AP的消息认证码，将该消息认证码MIC_ka′(″0″，I_C，I_A)发送给接入点AP。

步骤4，接入点AP给客户端STA发送的应答响应消息。包括步骤：

接入点AP根据接收到的客户端STA的公钥数据和自己的私钥s_C，计算共享密钥 $K_{\mathrm{AC}}\≡{(P_A^e+I_A)}^{s_C}\left(\mathrm{mod}N\right);$

接入点AP利用共享密钥K_AC计算出会话密钥k_d′和消息认证码密钥k_a′，计算方法为： ${k_a}^{\′}=f_{K_{\mathrm{AC}}}\left(0\right|\left|R_A\right|\left|R_C\right),$ ${k_d}^{\′}=f_{K_{\mathrm{AC}}}\left(1\right|\left|R_A\right|\left|R_C\right),$ 其中，f为伪随机函数。

接入点AP验证客户端STA发来的消息认证码MIC_ka′(″0″，I_C，I_A)的真伪，如果通过验证，则可以确定对方的身份是真实可信的，接入点AP用该消息认证码密钥k_a′对接入点AP以及客户端STA的身份等数据进行计算，得到客户端STA的消息认证码，将该消息认证码MIC_ka′(″1″，I_C，I_A)发送给STA，否则发送出错消息。

步骤5，客户端STA验证应答响应消息。包括步骤：

客户端STA在收到接入点AP发送过来的应答响应消息后，对该消息中的消息认证码MIC_ka′(″1″，I_C，I_A)进行验证，如果正确，则确定对方的身份是真实可信的，且对方已经与自己协商好了一致的会话密钥k_d′，客户端STA准备接入网络；否则发送出错消息。

实施例二

对于仅客户端STA采用自验证公钥证书的身份认证及密钥协商协议，而接入点AP拥有传统的X.509公钥证书。

此时对应的WAPI中的认证和密钥协商系统，包括认证服务单元，还包括客户端、认证机构、接入点；其中，认证机构，用于产生系统密钥数据，其中所述系统密钥数据包括系统参数和系统私钥；并公开所述系统参数，秘密保存系统私钥；客户端，用于向认证机构申请自验证公钥证书，利用认证机构产生的系统密钥数据建立自验证公钥证书，并利用该自验证公钥证书与接入点之间进行身份验证和密钥协商；接入点，用于向认证服务单元申请公钥证书，并利用该公钥证书与客户端之间进行身份验证和密钥协商。以下结合附图对该系统的认证和密钥协商进行详细说明。其中，所述认证机构和认证服务单元集成。

在客户端STA申请自验证公钥证书之前，接入点AP需要向认证服务单元ASU申请公钥证书；然后，将认证服务单元ASU对其证书的鉴定结果和签名值预先发送给客户端STA，客户端STA通过验证签名，确定接入点AP证书的真实有效。

客户端STA申请自验证公钥证书，该过程在实施例一中已经说明，此处不再赘述。

以下，参照附图6详细说明客户端STA采用自验证公钥证书和接入点AP采用传统的公钥证书的身份认证及密钥协商过程。

步骤1，客户端STA向接入点AP发送认证和密钥协商请求。包括步骤：

客户端STA采用国家密码管理委员会办公室批准的WLAN随机数产生算法产生一个随机数N_A∈[0，A]，计算客户端秘密数据x，其中 $x=H\left(g^{N_A}\mathrm{mod}N\right),$ 利用接入点AP的公钥加密其身份I_A和x的级联，得到级联加密数据，即{x||I_A}_PKAP；其中，A是一个安全的参数范围，本实施例中为|A|≥272；

然后，将其公钥P_A和级联加密数据{x||I_A}_PKAP置于密钥协商请求分组中的“密钥协商数据”字段。

步骤2，接入点AP向客户端STA发送认证和密钥协商应答响应。包括步骤：

接入点AP在收到客户端STA发送过来的密钥协商请求后，首先按照该请求进行会话算法的协商，在客户端STA提供的备选算法中选择一种自己支持的算法；

然后，接入点AP利用其私钥sk_AP户解密级联加密数据{x||I_A}_PKAP，获得客户端秘密数据x和I_A值，接入点AP也利用随机数产生算法来产生一个随机数N_C∈[0，B]，计算级联秘密数据(N_C||I_A)x′，其中，x′为x的低128bits；B是一个安全参数范围，本实施例中|B|≥32；

然后，将级联秘密数据(N_C||I_A)x′置于密钥协商响应分组中的“密钥协商数据”字段，并发送给客户端。

步骤3，客户端STA给接入点AP发送应答消息。包括步骤：

客户端STA利用客户端秘密数据还原出N_C和I_A，判断身份I_A是否与自己发送的一致，如果一致的话，则可以确定认证器AP的身份是真实可信的，STA计算验证数据y’，y′＝N_A+N_C×s_A，发送级联验证数据y′N_C给认证器AP。

步骤4，接入点AP给客户端STA发送的应答响应消息。包括步骤：

接入点AP利用N_C还原出验证数据y′，判断是否满足一定的条件，本实施例中，满足一定的条件是指：下面两个条件是否都成立：

$H\left(g^{y^{\′}}{(I_A+P_A^e)}^{N_C}\mathrm{mod}N\right)\stackrel{?}{=}x---\left(1\right)$

$y^{\′}\stackrel{?}{\∈}[0,A+(B-1)(S-1)]---\left(2\right)$

上式中，N是公开模数，A、B、S是安全的参数范围，本实施例中分别为|N|≥1024、|B|≥32、|S|≥160、|A|≥|S|+|B|+80；

如果上述任意一条条件不成立，则中止协议，并发送出错消息；当然，并不限于上述条件，还可采用其它条件判断。

否则客户端STA通过身份认证，接入点AP将共享密钥K_AC取为y′的低128bits，接入点AP利用共享密钥K_AC计算出会话密钥k_d′和消息认证码密钥k_a′，计算方法为： ${k_a}^{\′}=f_{K_{\mathrm{AC}}}\left(0\right),$ ${k_d}^{\′}=f_{K_{\mathrm{AC}}}\left(1\right),$ 其中，f为伪随机函数。

接入点AP用该消息认证码密钥k_a′对客户端STA以及接入点AP的身份、字符数据“1”进行计算，得到客户端STA的消息认证码，将消息认证码MIC_ka′(″1″，I_C，I_A)发送给客户端STA；

步骤5，客户端STA验证应答响应消息。包括步骤：客户端STA将共享密钥K_AC取为y′的低128bits，利用K_AC计算出会话密钥k_d′和消息认证码密钥k_a′，计算方法为： ${k_a}^{\′}=f_{K_{\mathrm{AC}}}\left(0\right),$ ${k_d}^{\′}=f_{K_{\mathrm{AC}}}\left(1\right),$ 其中，f为伪随机函数；

客户端STA验证应答响应消息，即验证接入点AP发来的消息认证码的真伪，如果通过验证，则可以确定对方的身份是真实可信的，且对方已经与自己协商好了一致的会话密钥，STA准备接入网络；否则STA发送出错消息。

通过本发明，减少了数据传输量和在线计算量，提高了认证体系的安全性；解决了WAPI中身份认证和密钥协商过程中存在的问题，进一步提高WAPI认证机制的安全强度。

下面对本发明的安全性进行分析。

本发明的安全性是基于GPS(是指Girault-Poupard-Stern)识别方案。该方案由Girault提出，并由Poupard和Stern证明了其安全性。GPS方案是群的阶和基的阶均被证明者秘密拥有的离散对数问题，且在一次运行后攻击者假冒成功的概率是1/(2_|B|)，安全的参数范围为|N|≥1024、|B|≥32、|S|≥160、|A|≥|S|+|B|+80。本文提出的方案具有GPS的安全性，且可实现单纯GPS方案所不能完成的双向认证及密钥协商功能。对提出方案的安全性分析如下：

1.双向认证

对于双方都采用自验证公钥的认证方式，如果能够证明自己知道以g为底模N的离散对数，即值-s_A，这就保证了公钥P_A是由认证机构CA发行的。

而当双方能够确定协商了一致的会话密钥时，那么他们就知道另一方已经证明了自己的身份。对于只有客户端STA采用自验证公钥的认证方式(接入点AP仍采用传统的公钥证书)，鉴于公钥加密算法的安全性，只有拥有正确私钥的接入点AP才可解密消息{x‖I_A}_PKAP并获得客户端身份I_A和x，因此，若客户端STA收到消息(N_C||I_A)x′中隐含的I_A与自己的I_A一致，则可确认接入点AP的身份。而接入点AP可根据上述条件式(1)和(2)是否成立来判别STA身份的合法性。

2.抵御重放攻击

对于双方都采用自验证公钥的认证方式，由于协议中各条消息分别包含了随机数R_A和R_C，以及由此构造的密钥k_a′和k_d′，保证消息具有新鲜性和不可预测性，客户端STA和接入点AP可以通过验证消息认证码来检测重放攻击的发生。对于只有客户端采用自验证公钥的认证方式(接入点AP仍采用传统的公钥证书)，协议中各条消息分别包含了随机数N_A和N_C，以及由此构造的x和y′，因此所有消息均具有新鲜性和不可预测性。重放攻击可在协议执行至步骤4由客户端STA检测出来，或在协议执行至步骤5因条件式(2)不成立而被接入点AP察觉。

3.不可抵赖性

对于双方都采用自验证公钥的认证方式，如果随机选取P_A并根据式 $I_A\≡P_A^e-v\left(\mathrm{mod}N\right)$ 用P_A ^e和I_A计算v，则不能知道它以g为底模N的离散对数，因此自验证证书无法伪造。

密钥交换协议是一个DH(Diffue-Hellman)交换协议，只有拥有对应私钥的用户才可以计算出正确的共享密钥K_AC，因此只要双方协商了一致的会话密钥，就不能否认自己的注册过程。

对于只有客户端采用自验证公钥的认证方式(接入点AP仍采用传统的公钥证书)，基于计算|S|≥160bit的短指数离散对数问题的困难性，现有算法无法在有效时间内依据等式 $x=H\left(g^{N_A}\mathrm{mod}N\right)$ 从x推出N_A，而AP也无法根据等式y′＝N_A+N_C×s_A由y′算出s_A，因此，整个系统中只有拥有正确s_A的STA才可构造出合法的y′。所以，一旦STA通过了认证，则不能否认自己的注册过程。

4.密钥协商

对于双方都采用自验证公钥的认证方式，由于消息认证码密钥k_a′和会话密钥k_d′是通过双方协商的共享密钥K_AC和各自产生的随机数R_A和R_C计算出来的，因此客户端STA和接入点AP都相信k_a′和k_d′是新鲜、随机的、且由客户端STA和接入点AP共同产生，符合密钥协商的公平性。

对于只有客户端采用自验证公钥的认证方式(接入点AP仍采用传统的公钥证书)，由于y′同时包含了客户端STA产生的随机数N_A和AP生成的随机数N_C，因此客户端STA和接入点AP都相信由y′生成的共享密钥K_AC是新鲜、随机的、且由STA和AP共同产生，符合密钥协商的公平性，并可防止因任何一方提供弱密钥而带来的安全隐患。

以下对本发明的性能进行分析。

由于计算资源的限制，客户端STA是协议效率的瓶颈，因此，以下从客户端STA的角度出发来分析认证协议性能，并与现有国家标准进行比较。如表1所示，为本发明与WAPI国家标准效率的定性比较。第2列表示协议是否传递了证书；第3、4列分别表示可预计算和必须在线完成的指数运算的次数。第5、6列表明了协议需要进行的公钥加密和解密运算次数。协议需要的签名和验证运算次数分别在第7、8列中表示。9、10两列为协议需要做的Hash和异或运算次数。

表1

协议	证书	预计算	指数运算	公钥加密	公钥解密	签名	验证	哈希	异或
										WAPI	Y	0	0	1	1	1	2	1	1
双自验证	N	0	2	0	0	0	0	2	0
										单自验证	N	1	0	1	0	0	1	2	2

从表1可以看到，在本方案所提的两种认证方式中，客户端STA均不需要传递证书，并且指数运算和公钥运算次数非常少，分别为2次和3次，对于只有客户端采用自验证公钥的认证方式，客户端STA可以通过离线方式预计算x，并存储(N_U，x)，进一步减少计算量。相比之下，WAPI国家标准在不传递证书的前提下根本无法完成对STA的认证，指数运算和公钥运算次数多达5次，因此效率非常低。

为进一步提高协议效率，在实际应用中可选择g＝2(并不减弱安全性)，其优点在于使用“平方乘”算法做模指数运算时，开始的那些平方运算无须做模约简，而且乘g的运算就是移位操作。同时，可选用小常数PK_AP作为接入点AP的加密公钥，如PK_AP＝3，使得协议的效率得到进一步提高。

上述实施例仅用于说明本发明，而非用于限定本发明。

Claims (39)

1.一种WAPI中的认证和密钥协商方法，其特征在于，所述WAPI中包括一认证机构，该方法包括步骤：

客户端和/或接入点向所述认证机构申请自验证公钥证书；

所述客户端和接入点之间利用自验证公钥证书进行身份验证和密钥协商。

2.根据权利要求1所述的WAPI中的认证和密钥协商方法，其特征在于，所述客户端和接入点之间利用自验证公钥证书进行身份验证和密钥协商，包括步骤：

客户端向接入点发送认证和密钥协商请求消息；

接入点向客户端发送认证和密钥协商应答响应消息；

客户端给接入点发送应答消息；

接入点给客户端发送应答响应消息；

客户端验证应答响应消息。

3.根据权利要求1所述的WAPI中的认证和密钥协商方法，其特征在于，所述客户端或接入点申请自验证公钥证书，包括步骤：

所述客户端或接入点向认证机构提出申请；

认证机构为客户端或接入点颁发自验证公钥证书。

4.根据权利要求3所述的WAPI中的认证和密钥协商方法，其特征在于，所述认证机构为客户端或接入点颁发自验证公钥证书，包括步骤：

认证机构产生系统密钥数据，该系统密钥数据包括系统参数和系统私钥；

认证机构公开所述系统参数，并秘密保存系统私钥；

所述客户端或接入点根据所述系统密钥数据建立自验证公钥证书。

5.根据权利要求4所述的WAPI中的认证和密钥协商方法，其特征在于，所述系统参数至少包括：公开模数、公开指数和公开元素。

6.根据权利要求5所述的WAPI中的认证和密钥协商方法，其特征在于，所述客户端或接入点根据系统密钥数据建立自验证公钥证书，包括步骤：

步骤1，客户端或接入点随机选择一整数作为私钥；

步骤2，客户端或接入点向认证机构证明所述客户端或接入点知道该私钥，并且不泄漏该私钥，并且发送身份给认证机构；

步骤3，认证机构发送公钥至所述客户端或接入点。

7.根据权利要求6所述的WAPI中的认证和密钥协商方法，其特征在于，所述客户端或接入点以及认证机构均利用自验证公钥时，所述步骤2中客户端或接入点向认证机构证明所述客户端或接入点知道该私钥，并且不泄漏该私钥，包括：

步骤21，客户端或接入点计算密秘信息，产生一个客户端或接入点随机数，并将秘密信息、身份、随机数发送给认证机构；

步骤22，认证机构收到客户端或接入点发送的秘密信息、身份、随机数后，计算客户端或接入点的消息认证码，并将认证机构的身份、公钥、认证机构随机数和消息认证码发送给客户端或接入点；

步骤23，客户端或接入点给认证机构发送应答消息；

步骤24，认证机构给客户端或接入点发送应答响应消息。

8.根据权利要求7所述的WAPI中的认证和密钥协商方法，其特征在于，所述步骤22包括：

认证机构计算客户端或接入点的公钥；

认证机构根据客户端或接入点的公钥、身份和所述认证机构的私钥，计算共享密钥；

认证机构产生一个认证机构随机数，并利用共享密钥计算出消息认证码密钥；

认证机构用该消息认证码密钥对认证机构以及客户端或接入点的身份、字符数据“1”进行计算，得到客户端或接入点的消息认证码；

然后，将认证机构身份、公钥、认证机构随机数和消息认证码发送给客户端或接入点。

9.根据权利要求7所述的WAPI中的认证和密钥协商方法，其特征在于，所述步骤23包括：

客户端或接入点根据接收到的认证机构的公钥、身份和所述客户端或接入点的私钥，计算共享密钥；

客户端或接入点利用共享密钥计算出消息认证码密钥；

客户端或接入点验证认证机构发送过来的消息认证码是否正确；

若验证结果为正确，则确定认证机构的身份是真实可信的；

客户端或接入点用消息认证码密钥对客户端或接入点以及认证机构的身份、字符数据“0”进行计算，得到认证机构的消息认证码；

将所述消息认证码发送给认证机构。

10.根据权利要求7所述的WAPI中的认证和密钥协商方法，其特征在于，所述步骤24包括：

认证机构验证客户端或接入点发来的消息认证码的真伪；

若验证结果为真，则确定客户端或接入点的身份是真实可信的，并且确信对方拥有对应的私钥。

11.根据权利要求6所述的WAPI中的认证和密钥协商方法，其特征在于，只有客户端或接入点利用自验证公钥时，所述步骤2中客户端或接入点向认证机构证明所述客户端或接入点知道该私钥，并且不泄漏该私钥，包括：

步骤21，客户端或接入点产生一个客户端或接入点随机数N_A∈[O，A]，利用该随机数计算客户端或接入点秘密数据；利用认证机构的公钥加密客户端或接入点身份和秘密数据的级联，得到级联加密数据；然后，将级联加密数据发送给认证机构；

步骤22，认证机构利用其私钥解密级联加密数据，获得客户端或接入点秘密数据和身份值；认证机构计算客户端或接入点的公钥；认证机构产生一个认证机构随机数N_V∈[O，B]，计算级联秘密数据；然后，将级联秘密数据发送给客户端或接入点；

步骤23，客户端或接入点给认证机构发送应答消息；

步骤24，认证机构给客户端或接入点发送应答响应消息。

12.根据权利要求11所述的WAPI中的认证和密钥协商方法，其特征在于，所述步骤23包括：

客户端或接入点利用客户端或接入点秘密数据还原出认证机构随机数和客户端或接入点身份；

判断所述客户端或接入点身份是否与该客户端或接入点发送的一致；

若判断结果为一致，则确定认证机构的身份是真实可信的；

客户端或接入点计算验证数据，发送级联验证数据给认证机构。

13.根据权利要求11所述的WAPI中的认证和密钥协商方法，其特征在于，所述步骤24包括：

认证机构利用其随机数还原出验证数据；

判断是否满足一定的条件；

若判断结果为满足条件，则认证机构确定客户端或接入点的身份是真实可信的，并且确信对方拥有对应的私钥。

14.根据权利要求13所述的WAPI中的认证和密钥协商方法，其特征在于，所述满足一定的条件是指：下面两个条件是否均成立：

$H\left(g^y{(I_A+P_A^e)}^{N_V}\mathrm{mod}N\right)\stackrel{?}{=}x$

$y\stackrel{?}{\∈}[0,A+(B-1)(S-1)]$

其中，N：公开模数；A、B、S：安全的参数范围；y：验证数据；x：秘密数据；N_V：认证机构随机数；I_A：客户端或接入点身份；P_A：客户端或接入点公钥；g：公开元素；e：公开指数。

15.根据权利要求2所述的WAPI中的认证和密钥协商方法，其特征在于，当客户端和接入点均向认证机构申请自验证公钥证书时，所述客户端向接入点发送认证和密钥协商请求消息，包括步骤：

客户端产生一客户端随机数；

将客户端身份、公钥和所述客户端随机数置于所述认证和密钥协商请求消息的“密钥协商数据”字段，并发给接入点。

16.根据权利要求15所述的WAPI中的认证和密钥协商方法，其特征在于，所述接入点向客户端发送认证和密钥协商应答响应消息，包括步骤：

接入点接收所述认证和密钥协商请求消息，按照该请求进行会话算法的协商；

接入点产生一接入点随机数；

将接入点身份、公钥和接入点随机数置于认证和密钥协商应答响应消息的“密钥协商数据”字段，并发送给客户端。

17.根据权利要求16所述的WAPI中的认证和密钥协商方法，其特征在于，所述客户端给接入点发送应答消息，包括步骤：

客户端根据接入点的公钥和客户端的私钥计算共享密钥；

客户端利用所述共享密钥计算会话密钥和消息认证码密钥；

客户端根据该消息认证码密钥得到接入点的消息认证码，并发送给接入点。

18.根据权利要求17所述的WAPI中的认证和密钥协商方法，其特征在于，接入点给客户端发送应答响应消息，包括步骤：

接入点根据客户端的公钥和接入点的私钥计算共享密钥；

接入点利用所述共享密钥计算会话密钥和消息认证码密钥；

接入点验证客户端发来的消息认证码的真伪；

若接入点验证客户端发来的消息认证码为真，则利用所述消息认证码密钥得到客户端的消息认证码，并发送给客户端。

19.根据权利要求18所述的WAPI中的认证和密钥协商方法，其特征在于，所述客户端验证应答响应消息，包括步骤：

客户端收到接入点发送来的应答响应消息后，对该消息中的消息认证码进行验证；

若验证的结果为真，则客户端准备接入网络。

20.根据权利要求2所述的WAPI中的认证和密钥协商方法，其特征在于，

当只有客户端申请自验证公钥证书时，该客户端申请自验证公钥证书之前还包括步骤：接入点向WAPI中的认证服务单元申请公钥证书；

所述接入点将该WAPI中的认证服务单元对其证书的鉴定结果和签名值预先发送给客户端；

客户端通过验证签名以确定该接入点证书的真实有效。

21.根据权利要求20所述的WAPI中的认证和密钥协商方法，其特征在于，所述客户端向接入点发送认证和密钥协商请求消息，包括步骤：

客户端产生客户端随机 N_A∈[O，A]并利用该客户端随机数计算出客户端秘密数据；其中，A是一个安全的参数范围；

客户端利用接入点的公钥加密客户端身份和客户端秘密数据的级联，得到级联加密数据；

客户端将客户端的公钥和级联加密数据置于所述认证和密钥协商请求消息的“密钥协商数据”字段，并发送给接入点。

22.根据权利要求21所述的WAPI中的认证和密钥协商方法，其特征在于，所述接入点向客户端发送认证和密钥协商应答响应消息，包括步骤：

接入点在接收到客户端发送来的认证和密钥协商请求消息后，进行会话算法的协商；

接入点利用其私钥解密所述认证和密钥协商请求消息中包括的级联加密数据；

接入点产生接入点随机数N_C∈[O，B]，并计算级联秘密数据；其中，B是一个安全的参数范围；

将级联秘密数据置于认证和密钥协商应答响应消息的“密钥协商数据”字段，并发送给客户端。

23.根据权利要求22所述的WAPI中的认证和密钥协商方法，其特征在于，所述客户端给接入点发送应答消息，包括步骤：

客户端利用客户端秘密数据还原出接入点随机数和客户端身份，并判断还原出的客户端身份与客户端发送的身份是否一致；

若判断结果为一致，则确定所述接入点身份为真，计算验证数据，并发送级联验证数据给接入点。

24.根据权利要求23所述的WAPI中的认证和密钥协商方法，其特征在于，所述接入点给客户端发送应答响应消息，包括步骤：

接入点利用接入点随机数还原出验证数据，判断是否满足一定的条件；

若满足，则接入点利用验证数据得到共享密钥；

接入点利用所述共享密钥得到会话密钥和消息认证码密钥；

接入点利用所述消息认证码密钥得到客户端的消息认证码，并发送给客户端。

25.根据权利要求24所述的WAPI中的认证和密钥协商方法，其特征在于，所述判断是否满足一定的条件是指：判断是否同时满足两个条件，所述两个条件用公式表示为： $H\left(g^y{(I_A+P_A^e)}^{N_C}\mathrm{mod}N\right)\stackrel{?}{=}x$ 和 $y\stackrel{?}{\∈}[0,A+(B-1)(S-1)];$ 其中，

g：公开元素；y：验证数据；e：公开指数；I_A：客户端身份；P_A：客户端公钥；N：公开模数；N_C：接入点随机数；x：客户端秘密数据；A、B、S是安全的参数范围。

26.根据权利要求24所述的WAPI中的认证和密钥协商方法，其特征在于，所述客户端验证应答响应消息，包括步骤：

客户端利用验证数据y得到共享密钥；

客户端利用所述共享密钥得到会话密钥和消息认证码密钥；

客户端验证接入点发来的消息认证码的真伪；

若验证结果为真，则客户端准备接入网络。

27.一种WAPI中的认证和密钥协商系统，其特征在于，包括客户端、接入点和认证机构；其中，

认证机构，用于产生系统密钥数据，其中所述系统密钥数据包括系统参数和系统私钥；并公开所述系统参数，秘密保存系统私钥；

客户端和接入点，用于向认证机构申请自验证公钥证书，利用认证机构产生的系统密钥数据建立自验证公钥证书，并利用该自验证公钥证书进行身份验证和密钥协商。

28.根据权利要求27所述的WAPI中的认证和密钥协商系统，其特征在于，所述自验证公钥证书包括：身份和公钥数据。

29.根据权利要求27所述的WAPI中的认证和密钥协商系统，其特征在于，客户端或接入点利用认证机构产生的系统密钥数据建立自验证公钥证书，是指：客户端或接入点随机选择一整数作为私钥；客户端或接入点向认证机构证明所述客户端或接入点知道该私钥，并且不泄漏该私钥，并且发送身份给认证机构；认证机构发送公钥至所述客户端或接入点。

30.根据权利要求29所述的WAPI中的认证和密钥协商系统，其特征在于，客户端或接入点向认证机构证明其知道该私钥，并且不泄漏该私钥，是指：

客户端或接入点发送消息至认证机构，其中该消息中包括秘密信息、身份、随机数；

认证机构收到消息后，发送响应消息至客户端或接入点，所述响应消息包括该认证机构的身份、公钥、认证机构随机数和认证机构消息认证码；

客户端或接入点给认证机构发送应答消息，该应答消息包括认证机构消息认证码；

认证机构给客户端或接入点发送应答响应消息。

31.根据权利要求29所述的WAPI中的认证和密钥协商系统，其特征在于，客户端或接入点向认证机构证明其知道该私钥，并且不泄漏该私钥，是指：

客户端或接入点发送消息至认证机构，其中该消息中包括利用认证机构的公钥加密客户端或接入点身份和秘密数据的级联而得到的级联加密数据；

认证机构收到消息后，发送响应消息至客户端或接入点，所述响应消息包括该级联秘密数据；

客户端或接入点给认证机构发送应答消息，该应答消息包括级联验证数据；

认证机构给客户端或接入点发送应答响应消息。

32.根据权利要求27所述的WAPI中的认证和密钥协商系统，其特征在于，所述客户端和接入点利用自验证公钥证书进行身份验证和密钥协商，是指：

客户端向接入点发送认证和密钥协商请求消息，该密钥协商请求消息包括客户端随机数、身份、公钥；

接入点向客户端发送认证和密钥协商应答响应消息，该应答响应消息包括接入点随机数、身份、公钥；

客户端给接入点发送应答消息，该应答消息包括接入点消息认证码；

接入点给客户端发送应答响应消息，该应答响应消息包括客户端的消息认证码；

客户端验证应答响应消息。

33.一种WAPI中的认证和密钥协商系统，包括认证服务单元，其特征在于，包括客户端、认证机构、接入点；其中，

认证机构，用于产生系统密钥数据，其中所述系统密钥数据包括系统参数和系统私钥；并公开所述系统参数，秘密保存系统私钥；

客户端，用于向认证机构申请自验证公钥证书，利用认证机构产生的系统密钥数据建立自验证公钥证书，并利用该自验证公钥证书与接入点之间进行身份验证和密钥协商；

接入点，用于向认证服务单元申请公钥证书，并利用该公钥证书与客户端之间进行身份验证和密钥协商。

34.根据权利要求33所述的WAPI中的认证和密钥协商系统，其特征在于，所述自验证公钥证书包括：身份和公钥数据。

35.根据权利要求33所述的WAPI中的认证和密钥协商系统，其特征在于，所述认证机构为认证服务单元。

36.根据权利要求33所述的WAPI中的认证和密钥协商系统，其特征在于，客户端利用认证机构产生的系统密钥数据建立自验证公钥证书，是指：

客户端随机选择一整数作为私钥；客户端向认证机构证明所述客户端知道该私钥，并且不泄漏该私钥，并且发送身份给认证机构；认证机构发送公钥至所述客户端。

37.根据权利要求36所述的WAPI中的认证和密钥协商系统，其特征在于，客户端向认证机构证明其知道该私钥，并且不泄漏该私钥，是指：

客户端发送消息至认证机构，其中该消息中包括秘密信息、身份、随机数；

认证机构收到消息后，发送响应消息至客户端，所述响应消息包括该认证机构的身份、公钥、认证机构随机数和认证机构消息认证码；

客户端给认证机构发送应答消息，该应答消息包括认证机构消息认证码；

认证机构给客户端发送应答响应消息。

38.根据权利要求36所述的WAPI中的认证和密钥协商系统，其特征在于，客户端向认证机构证明其知道该私钥，并且不泄漏该私钥，是指：

客户端发送消息至认证机构，其中该消息中包括利用认证机构的公钥加密客户端身份和秘密数据的级联而得到的级联加密数据；

认证机构收到消息后，发送响应消息至客户端，所述响应消息包括该级联秘密数据；

客户端给认证机构发送应答消息，该应答消息包括级联验证数据；

认证机构给客户端发送应答响应消息。

39.根据权利要求33所述的WAPI中的认证和密钥协商系统，其特征在于，所述客户端利用自验证公钥证书进行身份验证和密钥协商，是指：

客户端向接入点发送认证和密钥协商请求消息，该密钥协商请求消息包括客户端公钥和客户端秘密数据的级联；

接入点向客户端发送认证和密钥协商应答响应消息，该应答响应消息包括级联秘密数据；

客户端给接入点发送应答消息，该应答消息包括级联验证数据；

接入点给客户端发送应答响应消息，该应答响应消息包括客户端的消息认证码；

客户端验证应答响应消息。

Images