CN101610514B - 认证方法、认证系统及认证服务器 - Google Patents

Abstract

本发明认证方法包括：AP从N个备选的认证服务器中随机选择n1个认证服务器作为证书认证服务器并通知所选择的认证服务器，其中1＜t≤n1≤N，t为门限值；各证书认证服务器利用各自的子密钥对AP和MT的公钥信息签名生成AP子证书及MT子证书；各证书认证服务器与其他证书认证服务器交互生成的AP及MT子证书，并验证各AP及MT子证书的有效性；在AP子证书的有效个数及MT子证书的有效个数均大于或等于门限值t时，各证书认证服务器将有效的AP子证书合并为AP证书以及将有效的MT子证书合并为MT证书；所述证书认证服务器验证AP及MT证书的合法性。本发明认证方法、认证系统及认证服务器可以提高证书认证的安全性。

Description

认证方法、认证系统及认证服务器

技术领域

本发明涉及网络通信安全技术，尤其是认证方法、认证系统及认证服务器。 

背景技术

WAPI(WLAN Authentication and Privacy Infrastructure，无线局域网鉴别与保密基础架构)是一种应用于WLAN的安全协议，是由中国提出的具有创新性技术的标准，解决了目前无线局域网安全机制存在的漏洞和隐患。 

WAPI安全机制由两个部分组成：WAI(WLAN AuthenticationInfrastructure，无线局域网鉴别基础结构)和WPI(WLAN PrivacyInfrastructure，无线局域网保密基础架构)。WAI用于对用户身份的鉴别，保证了合法用户访问合法的网络；WPI用于对传输数据的加密，保证了通信的保密性。WAI利用公钥密码体制，利用数字证书来完成WLAN系统的MT(Mobile Terminal，移动终端)和AP(Access Point，接入点)之间的相互认证，WAI定义了一种名为ASU(Authentication Service Unit，认证服务单元)的实体，用于管理参与信息交换各方所需要的证书(包括证书的产生、颁发、吊销和更新)。证书内容包含证书颁发者(ASU)的公钥和签名以及证书持有者的公钥和签名(签名采用的是WAPI特有的椭圆曲线数字签名算法)，是网络设备终端MT的数字身份凭证。 

WAPI协议具体的实现包括以下几个过程： 

(1)认证激活：当MT登陆到AP时，AP向MT发送认证激活，以启动认证过程； 

(2)接入认证请求：MT向AP发出认证请求，将自己的证书和接入认证请求时间发往AP； 

(3)证书认证请求：AP收到MT接入认证请求后，向ASU发出认证请求，将MT证书、接入认证请求时间和AP的证书以及利用AP私钥对它们的签名构成证书认证请求报文信息发送给ASU； 

(4)证书认证响应：ASU收到AP的认证请求后，验证AP的签名以及AP和MT证书的合法性，验证完毕后ASU将MT证书认证结果信息(包括MT证书、认证结果、接入认证请求时间和ASU对它们的签名)、AP证书认证结果信息(包括AP证书、认证结果、接入认证请求时间和ASU对它们的签名)构成证书响应报文发回给AP； 

(5)接入认证响应：AP对ASU返回的证书响应进行验证，得到MT证书认证结果，AP将MT证书认证信息、AP证书认证结果信息以及AP对它们的签名构成接入认证响应报文发送至MT，MT验证ASU的签名后，得到AP证书的认证结果，MT根据认证结果决定是否接入该AP； 

(6)密钥协商：当MT和AP的证书都鉴别成功之后，双方将会进行密钥协商，然后用协商的密钥进行通信。 

在WAPI中采用了集中化的管理，由单一ASU统一完成证书有效性验证，同时还担任了权威中心的角色，完成对MT、AP等实体证书的发放、撤销和管理等，没有考虑到ASU的权威欺诈、私钥被泄露的安全性问题和ASU可能会成为系统的瓶颈问题。现有基于可信第三方的方法中，没有考虑到可信第三方发生欺骗的行为，而且没有提供一种很好的对可信第三方和ASU信息验证机制。现有技术存在以下安全隐患： 

(1)证书的签名私钥由单个ASU保管。ASU权利过大使签名私钥遭到滥用，签名私钥一旦泄露、丢失或者损害，就会带来很大的损失。 

(2)证书的签发由单个ASU完成。ASU向MT发放伪造的证书，产生了ASU权威欺诈行为，造成合法的MT无法接入网络。 

(3)证书的认证由单个ASU完成。如果ASU被攻击者控制或者变的不可信，ASU使非法的MT通过认证接入网络，而合法的MT无法接入网络。ASU进行恶意的认证响应行为，任何MT都无法接入网络，从而使网络陷入瘫痪。 

(4)存在可信第三方的技术。如果可信第三方或者ASU发生了欺骗的行为，无法用有效的方法检测出来，从而带来很大的损失。 

发明内容

本发明要解决的技术问题是提供一种认证方法、认证系统及认证服务器，以提高证书认证的安全性。 

为解决以上技术问题，本发明提供了一种认证方法，该方法包括： 

认证服务器选择步骤，接入点AP从N个备选的认证服务器中随机选择n1个认证服务器作为证书认证服务器并通知所选择的认证服务器，其中1＜t≤n1≤N，t为预先设定的门限值； 

子证书生成步骤，各证书认证服务器利用各自的子密钥对AP和移动终端MT的公钥信息签名生成AP子证书及MT子证书； 

子证书有效性验证步骤，各证书认证服务器与其他证书认证服务器相互交换所述AP及MT子证书，并验证各AP及MT子证书的有效性； 

子证书合并步骤，在AP子证书的有效个数及MT子证书的有效个数均大于或等于门限值t时，各证书认证服务器将有效的AP子证书合并为AP证书以及将有效的MT子证书合并为MT证书； 

证书合法性验证步骤，所述证书认证服务器验证AP及MT证书的合法性。 

进一步地，所述子证书生成步骤中，所述AP的公钥信息包含在AP证书中，MT的公钥信息包含在MT证书中，所述AP证书或MT证书生成的过程包括： 

认证服务器选择步骤，AP或MT从N个备选的认证服务器中随机选择n2个认证服务器作为证书生成服务器并通知所选择的认证服务器，其中，其中1＜t≤n2＜N， 

子证书生成步骤，各证书生成服务器利用各自的子密钥对AP或MT的公钥信息进行签名生成AP或MT子证书并发送给所述AP或MT； 

子证书有效性验证步骤，所述AP或MT对收到的各子证书进行有效性验证； 

子证书合并步骤，在AP或MT子证书的有效个数大于或等于门限值t时，所述AP或MT合并所有有效的AP或MT子证书生成AP或MT证书。 

进一步地， 

所述子证书生成步骤中，m为MT或AP的公钥信息时，生成的MT或AP的子证书为(m，C_i，SIG_i)，其中，C_i＝R_iG， 

mod N，G为椭圆曲线的基点，R_i为认证服务器ASU_i随机选择的随机整数，R_i∈(1，N)，N为椭圆曲线点的个数，H为单项函数，Si为SIG_i的子密钥，其中ID_i为认证服务器ASU_i的公开身份标识，ID_j为认证服务器ASU_j的公开身份标识； 

所述子证书有效性验证步骤中，认证服务器、MT或AP通过ASU_i的公钥P_i验证等式： 是否成立，如果不成立，则认为所述子证书无效； 

所述子证书合并步骤中，若ASU₁，ASU₂，…，ASU_t产生的MT的子证书为：(m，C₁，SIG₁)，(m，C₂，SIG₂)，...，(m，C_t，SIG_t)，则合成后的证书为(m，C，SIG)，其中： 

$C=C_1+C_2+...+C_t,\mathrm{SIG}\≡{\mathrm{SIG}}_1+{\mathrm{SIG}}_2+...+{\mathrm{SIG}}_t\≡(S_{1}H\left(m\right)$

$\underset{j=2}{\overset{t}{\mathrm{\Π}}}\frac{{-\mathrm{ID}}_j}{{\mathrm{ID}}_1-{\mathrm{ID}}_j}+S_{2}H\left(m\right)\underset{j=1,j\≠2}{\overset{t}{\mathrm{\Π}}}\frac{{-\mathrm{ID}}_j}{{\mathrm{ID}}_2-{\mathrm{ID}}_j}+...+S_{t}H\left(m\right)\underset{j=1,j\≠t}{\overset{t}{\mathrm{\Π}}}\frac{{-\mathrm{ID}}_j}{{\mathrm{ID}}_t-{\mathrm{ID}}_j})+(R_1+R_2$

$+...+R_t)\mathrm{mod}N.$

进一步地，所述子证书有效性验证步骤中，若验证某AP或MT子证书无效，则向可信中心TC上报生成该AP或MT子证书的证书认证服务器发生欺骗行为，若有效子证书个数小于t，则再选择n3个证书认证服务器执行以上的子证书生成步骤及子证书有效性验证步骤，其中n3为发生欺骗行为的证书认证服务器的个数，直到有效子证书个数≥t，再执行子证书合并步骤。 

为解决以上技术问题，本发明还提供一种认证系统，该系统包括相互连接的接入点AP及N个备选的认证服务器； 

所述AP，包括服务器选择模块，用于从N个备选的认证服务器中随机选择n1个认证服务器作为参与认证服务器并通知所选择的认证服务器，其中1＜t≤n1≤N，t为预先设定的门限值； 

所述认证服务器包括相互连接的子证书生成模块、子证书有效性验证模块、子证书合并模块及合法性验证模块，其中： 

所述子证书生成模块，当所述认证服务器被选为参与认证服务器时，用于利用其子密钥对所述AP及移动终端MT的公钥信息签名生成AP子证书及MT子证书并将生成的子证书发送给所述子证书有效性验证模块； 

所述子证书有效性验证模块，用于与其他参与认证服务器相互交换所述AP及MT子证书，并验证各AP及MT子证书的有效性； 

所述子证书合并模块，在AP子证书的有效个数及MT子证书的有效个数均大于或等于门限值时，用于将各有效AP子证书合并为AP证书以及将各有效MT子证书合并为MT证书； 

所述合法性验证模块，用于验证AP及MT证书的合法性。 

进一步地，所述系统还包括移动终端MT，所述MT和所述AP均包括相互连接的服务器选择模块、子证书有效性验证模块及子证书合并模块，其中所述服务器选择模块用于从N个备选的认证服务器中随机选择n2个认证服务器作为证书生成服务器并通知所选择的认证服务器，其中，其中1＜t≤n2≤N；所述子证书有效性验证模块还用于对证书生成服务器发送的MT或AP子证书进行有效性验证；所述子证书合并模块，用于在AP或MT子证书的有效个数大于或等于门限值时，所述AP或MT合并所有有效的AP或MT子证书生成AP或MT证书； 

当所述认证服务器被选为参与认证服务器时，所述认证服务器的子证书生成模块，还用于将生成的AP或MT子证书发送给所述AP或MT的子证书有效性验证模块。 

进一步地，所述子证书生成模块生成的MT或AP的子证书为 (m，C_i，SIG_i)，其中，m为MT或AP的公钥信息，C_i＝R_iG， 

G为椭圆曲线的基点，R_i为认证服务器ASU_i随机选择的随机整数，R_i∈(1，N)，N为椭圆曲线点的个数，H为单项函数，Si为SIG_i的子密钥，其中ID_i为认证服务器ASU_i的公开身份标识，ID_j为认证服务器ASU_j的公开身份标识； 

所述子证书有效性验证模块通过ASUi的公钥P_i验证等式： 

是否成立，如果不成立，则认为所述子证书无效； 

若ASU₁，ASU₂，...，ASU_t产生的MT或AP的子证书分别为：(m，C₁，SIG₁)，(m，C₂，SIG₂)，…，(m，C_t，SIG_t)，则所述子证书合并模块合并所得的证书为(m，C，SIG)，其中： 

进一步地，所述系统还包括与所述AP、MT及认证服务器连接的可信中心TC，所述子证书有效性验证模块还用于在验证某AP或MT子证书无效时，向可信中心TC上报生成该AP或MT子证书的认证服务器发生欺骗行为；若认证服务器或AP或MT的子证书有效性验证模块判断有效子证书个数小于门限值t，还用于通知对应服务器选择模块再选择n3个证书认证服务器。 

为解决上述技术问题，本发明还提供一种认证服务器，所述认证服务器包括相互连接的子证书生成模块、子证书有效性验证模块、子证书合并模块及合法性验证模块，其中： 

所述子证书生成模块，当所述认证服务器被选为参与认证服务器时，用于利用其子密钥对所述AP及移动终端MT的公钥信息签名生成AP子证书及MT子证书并将生成的子证书发送给所述子证书有效性验证模块； 

所述子证书有效性验证模块，用于与其他参与认证服务器相互交换所述AP及MT子证书，并验证各AP及MT子证书的有效性； 

所述子证书合并模块，在AP子证书的有效个数及MT子证书的有效个数均大于或等于门限值t时，用于将各有效AP子证书合并为AP证书以及将各有效MT子证书合并为MT证书； 

所述合法性验证模块，用于验证AP及MT证书的合法性。 

进一步地，若所述认证服务器的子证书有效性验证模块判断有效子证书个数小于门限值t，还用于通知对应服务器选择模块再选择n3个证书认证服务器。 

本发明认证方法、认证系统及认证服务器引入门限密码学的基本思想，对签名私钥进行了分割，每个ASU只拥有签名私钥的一部分，ASU的个数必须至少达到门限值时才能完成MT证书的产生，有效的防止了签名私钥遭到滥用的行为和保证了签名私钥的安全性；任何少于门限值个数的子密钥都不会得到有关签名私钥的任何信息，克服了现有签名私钥由单一ASU保管存在的安全性问题，分散了ASU的权利；发明还提供了验证机制，可以有效的检测出在信息交换过程中ASU或者可信中心TC的欺骗行为，克服了现有技术的缺点，提高了安全性；在认证阶段，AP可以选择门限值个服务器，证书的鉴别由多个ASU相互合作完成，多个ASU鉴别克服了单个ASU鉴别的缺点，提高了认证机制的安全性和效率。 

附图说明

图1是本发明基于WAPI的认证方法的示意图。 

图2是本发明证书生成过程的示意图。 

图3是本发明应用实例MT证书生成的示意图。 

图4是本发明应用实例证书认证过程的示意图。 

具体实施方式

如图1所示，本发明认证方法包括： 

步骤101：认证服务器选择步骤，接入点AP从N个备选的认证服务器 中随机选择n1个认证服务器作为证书认证服务器并通知所选择的认证服务器，其中1＜t≤n1≤N，t为预先设定的门限值； 

门限值根据安全级别需要、使用方便性等设定。 

步骤102：子证书生成步骤，各证书认证服务器利用各自的子密钥对AP和移动终端MT的公钥信息签名生成AP子证书及MT子证书； 

步骤103：子证书有效性验证步骤，各证书认证服务器与其他证书认证服务器交互生成的AP及MT子证书，并验证各AP及MT子证书的有效性； 

证书的鉴别由多个认证服务器相互合作完成，多个认证服务器鉴别克服了单个认证服务器鉴别的缺点。 

步骤104：子证书合并步骤，在AP子证书的有效个数及MT子证书的有效个数均大于或等于门限值t时，各证书认证服务器将有效的AP子证书合并为AP证书以及将有效的MT子证书合并为MT证书； 

步骤105：证书合法性验证，认证服务器验证AP及MT证书的合法性。 

所述子证书生成步骤中，所述AP和MT的公钥信息包含在AP证书和MT证书中的，AP证书或MT证书生成的过程包括： 

步骤201：认证服务器选择步骤，AP或MT从N个备选的认证服务器中随机选择n2个认证服务器作为证书生成服务器并通知所选择的认证服务器，其中1＜t≤n2≤N，n2可以与n1不同； 

步骤202：子证书生成步骤，各证书生成服务器利用各自的子密钥对AP或MT的公钥信息进行签名生成AP或MT子证书并发送给所述AP或MT； 

步骤203：子证书有效性验证步骤，所述AP或MT对收到的各子证书进行有效性验证； 

步骤204：子证书合并步骤，在AP或MT子证书的有效个数大于或等于门限值t时，所述AP或MT合并所有有效的AP或MT子证书生成AP或MT证书。 

在步骤103和步骤203的子证书有效性验证步骤中，若验证某AP或MT子证书无效，则向可信中心TC上报生成该AP或MT子证书的证书认证服务器发生欺骗行为，若有效子证书个数小于门限值t，则再选择n3个证书认证服务器执行以上的子证书生成步骤及子证书有效性验证步骤，其中n3为发生欺骗行为的证书认证服务器的个数，直到有效子证书个数≥t，再执行子证书合并步骤，且执行证书合法性验证步骤的证书认证服务器是没有发生欺骗行为的证书认证服务器。 

优选的，n1＜N，这样当验证发现认证服务器发生欺骗时，保证还有选择其他认证服务器的空间，以尽快地完成认证过程。 

以下结合公式对生成、验证及合并子证书的过程进行详细说明： 

A生成子证书 

设m为MT或AP公钥信息，G为椭圆曲线的基点，N为椭圆曲线点的个数，H为单项函数，ASU_i为认证服务器，ASU_i随机选择一个随机整数R_i∈(1，N)，R_i保密，计算C_i＝R_iG(C_i为R_i与G点乘的结果)和H(m)，计算签名信息 

则(m，C_i，SIG_i)为ASU_i利用自己子密钥S_i产生的MT子证书。 

B验证子证书 

MT、AP或ASU_j通过ASU_i的公钥P_i验证等式： 

是否成立，如果不成立，存在欺骗行为，否则，不存在欺骗行为。 

C合并子证书 

设ASU₁，ASU₂，…，ASU_t产生的MT的子证书为：(m，C₁，SIG₁)，(m，C₂，SIG₂)，…，(m，C_t，SIG_t)， 

计算 $C=C_1+C_2+...+C_t,\mathrm{SIG}\≡{\mathrm{SIG}}_1+{\mathrm{SIG}}_2+...+{\mathrm{SIG}}_t\≡$ $(S_{1}H\left(m\right)\underset{j=2}{\overset{t}{\mathrm{\Π}}}\frac{{-\mathrm{ID}}_j}{{\mathrm{ID}}_1-{\mathrm{ID}}_j}+R_1)+(S_{2}H\left(m\right)\underset{j=1,j\≠2}{\overset{t}{\mathrm{\Π}}}\frac{{-\mathrm{ID}}_j}{{\mathrm{ID}}_2-{\mathrm{ID}}_j}+R_2)+...+(S_{t}H\left(m\right)\underset{j=1,j\≠t}{\overset{t}{\mathrm{\Π}}}\frac{{-\mathrm{ID}}_j}{{\mathrm{ID}}_t-{\mathrm{ID}}_j}$ $+R_t)\≡(S_{1}H\left(m\right)\underset{j=2}{\overset{t}{\mathrm{\Π}}}\frac{{-\mathrm{ID}}_j}{{\mathrm{ID}}_1-{\mathrm{ID}}_j}+S_{2}H\left(m\right)\underset{j=1,j\≠2}{\overset{t}{\mathrm{\Π}}}\frac{{-\mathrm{ID}}_j}{{\mathrm{ID}}_2-{\mathrm{ID}}_j}+...+S_{t}H\left(m\right)$ $\underset{j=1,j\≠t}{\overset{t}{\mathrm{\Π}}}\frac{{-\mathrm{ID}}_j}{{\mathrm{ID}}_t-{\mathrm{ID}}_j})+(R_1+R_2+...+R_t)\mathrm{mod}N$

是有拉格朗日插值定理得到的(S为群签名私钥)； 

则合成后的证书为(m，C，SIG)。 

所述认证服务器的这样获取子密钥的： 

N个认证服务器向可信中心TC注册身份标识； 

所述TC产生签名私钥，并根据N个认证服务器的身份标识将所述签名私钥利用拉格朗日插值定理分割为N个子密钥分发给身份标识对应的认证服务器； 

N个认证服务器接收所述TC分发的子密钥，并验证所述子密钥的有效性，若验证不通过，则对所述TC进行审计或重新选择TC。 

所述AP、MT或认证服务器采用验证信息验证AP或MT的子证书的有效性、或子密钥的有效性，所述验证信息由所述TC计算生成并发送给所述AP、MT或认证服务器。本发明采用公开的验证信息，可以有效的检测出可信第三方和ASU的欺骗行为，提高了安全性。 

具体地可采用椭圆曲线密码体制，基点为G，点的个数为N，ID_i为ASU_i的公开身份标识，可信中心TC在(1，N)上随机选择S作为签名私钥，然后随机选择一个t-1次多项式：f(x)＝S+a₁x+a₂x²+…+a_t-1x^t-1modN； 

根据ASU_i的公开身份ID_i计算ASUi的子密钥S_i＝f(ID_i)，计算验证信息SG，aiG(i＝1，...，t-1)； 

ASUi通过等式：S_iG＝SG+a₁G(ID_i)+a₂G(ID_i)²+...+a_t-1G(ID_i)^t-1验证子密钥S_i的有效性，另外，ASUi的公钥为P_i＝S_iG。 

下面结合附图对本发明基于WAPI的证书产生和认证方法进行说明，以N为5，门限值t为3为例进行说明，其中ASUi表示第i个ASU： 

1、子密钥分发 

步骤A：ASU1、ASU2、ASU3、ASU4、ASU5首先向可信中心TC注册自己的身份标识； 

步骤B：可信中心TC产生签名私钥，计算签名私钥对应的公钥，然后根据ASU1、ASU2、ASU3、ASU4、ASU5的公开的身份标识利用拉格朗日插值定理将签名私钥分割为5个子密钥，计算验证信息，将子密钥报文信息发送给身份标识相应的ASU； 

步骤C：ASU1、ASU2、ASU3、ASU4、ASU5收到子密钥报文信息后，通过验证信息验证子密钥的正确性； 

各ASU通过主动访问TC获取验证信息或由TC在发送子密钥报文信息时携带验证信息给各ASU，各ASU只需要获取一次验证信息，即可完成多次有效性验证。 

步骤D：如果子密钥验证不通过，则发送报文信息通知其他ASU，协议立即终止，对可信中心TC进行审计或者重新选择可信中心TC，转到步骤1。 

2、证书的产生 

2.1MT证书产生 

如图3所示，MT证书产生的流程包括以下步骤： 

步骤301：MT随机选择3个ASU(ASU1、ASU3、ASU5)注册自己的公钥信息； 

步骤302：ASU1、ASU3、ASU5利用自己的子密钥产生MT子证书， 并将子证书报文信息发送给MT，MT通过可信中心TC上的验证信息验证子证书的有效性，MT所有的子证书验证通过，MT根据利用拉格朗日插值定理将子证书进行合并得到自己的证书； 

步骤303：ASU1、ASU3、ASU5将子证书报文信息发送给可信中心TC，MT通过可信中心TC上的验证信息验证子证书的有效性，可信中心TC根据验证信息对ASU1、ASU3、ASU5发来的子证书进行验证，如果所有的子证书验证通过，根据利用拉格朗日插值定理合并子证书得到MT证书，然后将该MT证书放入证书库； 

步骤304：存在子证书验证不通过，MT发送拒绝接受报文给可信中心TC，可信中心TC将发生欺骗行为的ASU加入不良记录表进行审计。 

可信中心TC可以对保存的MT证书进行管理，包括在MT丢失或损毁MT证书时，直接将保存的MT证书发送给MT，以及对MT证书进行吊销等。 

以上是以MT证书产生为例进行说明的，AP证书的产生流程与此相同。 

3、认证过程 

如图4所示，认证过程包括以下流程： 

步骤401：MT登陆到AP，AP向MT发送认证激活，以启动认证过程； 

步骤402：MT向AP发出认证请求，将MT证书和MT接入认证请求时间发往AP； 

步骤403：AP收到MT的接入认证请求后，随机选择3个ASU(ASU1、ASU3、ASU5)，并将MT证书、接入认证请求时间、AP证书并利用AP的私钥对MT证书、接入认证请求时间、AP证书进行签名构成证书认证请求报文，发送给ASU1、ASU3、ASU5； 

步骤404：ASU1、ASU3、ASU5用自己的子密钥对AP证书中的AP公钥信息以及MT证书中的MT公钥信息签名生成子证书，ASU1、ASU3、ASU5相互交换子证书后，根据验证信息验证子证书的有效性； 

步骤405：如果存在子证书验证不通过，可信中心TC将发生欺骗行为的服务器加入不良行为记录表进行审计，如果有1个ASU发生欺骗，则AP需要再选择一个ASU(如ASU2)并向ASU2发送证书认证请求报文，直到没有ASU可选择，认证失败，流程结束，或者子证书验证通过的个数大于或者等于3(门限值)转步骤406； 

例1：ASU1需要对ASU3及ASU5生成的AP子证书及MT子证书进行有效性验证，若ASU3提供的AP子证书或MT子证书未通过验证，则认为ASU3发生欺骗行为，进而上报TC。 

例2：如果ASU1验证ASU3生成的AP子证书无效，ASU3验证ASU5生成的AP子证书无效，则TC记录ASU3和ASU5都发生欺骗行为 

步骤406：ASU1、ASU3、ASU5合并子证书，并与认证请求报文中的MT证书和AP证书比较得出验证结果后，向AP发送认证请求响应报文； 

步骤407：AP收到ASU1、ASU3、ASU5发来的认证响应报文后，根据ASU1、ASU3、ASU5对MT的证书验证结果决定是否允许MT接入网络；如果所有的证书验证请求报文对MT的证书验证都通过，则允许MT接入网络，AP向MT发送接入认证响应报文，MT根据ASU1、ASU3、ASU5对AP证书的验证结果决定是否接入该AP，如果所有的接入认证请求报文对AP的证书验证通过，则MT决定接入该AP； 

步骤408如果证书认证通过，则AP和MT之间进行密钥协商，用协商的密钥进行通信。 

为实现以上方法，本发明还提供了一种基于WAPI的认证系统，该系统包括相互连接的移动终端MT、接入点AP、N个备选的认证服务器及可信中心TC； 

所述AP，包括服务器选择模块，用于从N个备选的认证服务器中随机选择n1个认证服务器作为参与认证服务器并通知所选择的认证服务器，其中1＜t≤n1≤N，t为预先设定的门限值； 

MT和AP均包括相互连接的服务器选择模块、子证书有效性验证模块及子证书合并模块，其中所述服务器选择模块用于从N个备选的认证服务器中随机选择n2个认证服务器作为证书生成服务器并通知所选择的认证服务器，其中，其中1＜t≤n2≤N；所述子证书有效性验证模块还用于对证书生成服务器发送的MT或AP子证书进行有效性验证；所述子证书合并模块，用于在AP或MT子证书的有效个数大于或等于门限值时，所述AP或MT合并所有有效的AP或MT子证书生成AP或MT证书； 

所述认证服务器包括相互连接的子证书生成模块、子证书有效性验证模块、子证书合并模块及合法性验证模块及子密钥获取模块，其中， 

所述子证书生成模块，当所述认证服务器被选为参与认证服务器或证书生成服务器时，用于利用其子密钥对所述AP及移动终端MT的公钥信息签名生成AP子证书及MT子证书，并在认证过程中将生成的子证书发送给认证服务器的子证书有效性验证模块，在证书生成过程中将生成的子证书发送给AP或MT的子证书有效性验证模块； 

所述有效性验证模块，用于与其他参与认证服务器交互生成的AP及MT子证书，并验证各AP及MT子证书的有效性； 

所述子证书合并模块，在AP子证书的有效个数及MT子证书的有效个数均大于或等于门限值时，用于将各有效AP子证书合并为AP证书以及将各有效MT子证书合并为MT证书； 

所述合法性验证模块，用于验证AP及MT证书的合法性。 

所述认证服务器的子证书有效性验证模块还用于在验证某AP或MT子证书无效时，向可信中心TC上报生成该AP或MT子证书的认证服务器发生欺骗行为； 

若认证服务器或AP或MT的子证书有效性验证模块判断有效子证书个数小于门限值t，还用于通知对应的服务器选择模块再选择n3个证书认证服务器。 

如上所述，所述子证书生成模块生成的MT或AP的子证书为 (m，C_i，SIG_i)，其中，m为MT或AP的公钥信息，C_i＝R_iG， 

G为椭圆曲线的基点，R_i为认证服务器ASU_i随机选择的随机整数，R_i∈(1，N)，N为椭圆曲线点的个数，H为单项函数，Si为SIG_i的子密钥； 

所述子证书有效性验证模块通过ASU_i的公钥P_i验证等式： 

是否成立，如果不成立，则认为所述子证书无效； 

若ASU₁，ASU₂，...，ASU_t产生的MT或AP的子证书分别为：(m，C₁，SIG₁)，(m，C₂，SIG₂)，…，(m，C_t，SIG_t)，则所述子证书合并模块合并所得的证书为(m，C，SIG)，其中： 

子密钥获取模块，用于向可信中心注册身份标识，以及接收所述TC分发的子密钥并验证所述子密钥的有效性； 

可信中心TC包括相互连接的认证监督单元及子密钥分发单元，其中， 

所述认证监督模块，用于接收并记录发生欺骗行为的认证服务器。 

子密钥分发模块，用于注册认证服务器的身份标识，以及产生签名私钥并根据各认证服务器的身份标识将所述签名私钥分割为对应的子密钥分发给身份标识对应的认证服务器。 

所述AP、MT或认证服务器采用验证信息验证AP或MT的子证书的有效性、或子密钥的有效性，所述验证信息由所述TC计算生成并发送给所述AP、MT或认证服务器。 

另外本发明还提供了一种认证服务器，所述认证服务器包括相互连接的子证书生成模块、子证书有效性验证模块、子证书合并模块及合法性验证模块，其中： 

所述子证书生成模块，当所述认证服务器被选为参与认证服务器时，用 于利用其子密钥对所述AP及移动终端MT的公钥信息签名生成AP子证书及MT子证书并将生成的子证书发送给所述子证书有效性验证模块； 

所述子证书有效性验证模块，用于与其他参与认证服务器交互生成的AP及MT子证书，并验证各AP及MT子证书的有效性； 

若所述认证服务器的子证书有效性验证模块判断有效子证书个数小于门限值t，还用于通知对应服务器选择模块再选择n3个证书认证服务器。 

所述子证书合并模块，在AP子证书的有效个数及MT子证书的有效个数均大于或等于门限值t时，用于将各有效AP子证书合并为AP证书以及将各有效MT子证书合并为MT证书； 

所述合法性验证模块，用于验证AP及MT证书的合法性。 

以上所述仅为本发明的较佳实施例而已，并不用于限制本发明，凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等，均应包含在本发明的保护范围内。 

本发明认证方法、认证系统及认证服务器引入门限密码学的基本思想，对签名私钥进行了分割，每个ASU只拥有签名私钥的一部分，ASU的个数必须至少达到门限值时才能完成MT证书的产生，有效的防止了签名私钥遭到滥用的行为和保证了签名私钥的安全性；任何少于门限值个数的子密钥都不会得到有关签名私钥的任何信息，克服了现有签名私钥由单一ASU保管存在的安全性问题，分散了ASU的权利；发明还提供了验证机制，可以有效的检测出在信息交换过程中ASU或者可信中心TC的欺骗行为，克服了现有技术的缺点，提高了安全性；在认证阶段，AP可以选择门限值个服务器，证书的鉴别由多个ASU相互合作完成，多个ASU鉴别克服了单个ASU鉴别的缺点，提高了认证机制的安全性和效率。 

Claims (10)

1.一种认证方法，其特征在于，该方法包括：

认证服务器选择步骤，接入点AP从N个备选的认证服务器中随机选择n1个认证服务器作为证书认证服务器并通知所选择的认证服务器，其中1＜t≤n1≤N，t为预先设定的门限值；

子证书生成步骤，各证书认证服务器利用各自的子密钥对AP的公钥信息和移动终端MT的公钥信息签名生成AP子证书及MT子证书；

子证书有效性验证步骤，各证书认证服务器与其他证书认证服务器相互交换所述AP子证书及MT子证书，并验证各AP子证书及MT子证书的有效性；

子证书合并步骤，在AP子证书的有效个数及MT子证书的有效个数均大于或等于门限值t时，各证书认证服务器将有效的AP子证书合并为AP证书以及将有效的MT子证书合并为MT证书；

证书合法性验证步骤，所述证书认证服务器验证AP证书及MT证书的合法性。

2.如权利要求1所述的方法，其特征在于：所述子证书生成步骤中，所述AP的公钥信息包含在AP证书中，MT的公钥信息包含在MT证书中，所述AP证书或MT证书生成的过程包括：

认证服务器选择步骤，AP或MT从N个备选的认证服务器中随机选择n2个认证服务器作为证书生成服务器并通知所选择的认证服务器，其中1＜t≤n2＜N，

子证书生成步骤，各证书生成服务器利用各自的子密钥对AP的公钥信息或MT的公钥信息进行签名生成AP子证书或MT子证书并发送给所述AP或MT；

子证书有效性验证步骤，所述AP或MT对收到的各子证书进行有效性验证；

子证书合并步骤，在AP子证书或MT子证书的有效个数大于或等于门 限值t时，所述AP或MT合并所有有效的AP子证书或MT子证书生成AP证书或MT证书。

3.如权利要求1或2所述的方法，其特征在于：

所述子证书生成步骤中，m为MT的公钥信息或AP的公钥信息时，生成的MT的子证书或AP的子证书为(m，C_i，SIG_i)，其中，C_i＝R_iG， 

G为椭圆曲线的基点，R_i为认证服务器ASU_i随机选择的随机整数，R_i∈(1，N)，N为椭圆曲线点的个数，H为单项函数，Si为SIG_i的子密钥，其中ID_i为认证服务器ASU_i的公开身份标识，ID_j为认证服务器ASU_j的公开身份标识；

所述子证书有效性验证步骤中，认证服务器、MT或AP通过ASU_i的公钥P_i验证等式： 是否成立，如果不成立，则认为所述子证书无效；

所述子证书合并步骤中，若ASU₁，ASU₂，…，ASU_t产生的MT的子证书为：(m，C₁，SIG₁)，(m，C₂，SIG₂)，...，(m，C_t，SIG_t)，则合成后的证书为(m，C，SIG)，其中：

4.如权利要求1或2所述的方法，其特征在于：所述子证书有效性验证步骤中，若验证某AP子证书或MT子证书无效，则向可信中心TC上报生成该AP子证书或MT子证书的证书认证服务器发生欺骗行为，若有效子证书个数小于t，则再选择n3个证书认证服务器执行以上的子证书生成步骤及子证书有效性验证步骤，其中n3为发生欺骗行为的证书认证服务器的个数，直到有效子证书个数≥t，再执行子证书合并步骤。

5.一种认证系统，其特征在于，该系统包括相互连接的接入点AP及N 个备选的认证服务器；

所述AP，包括服务器选择模块，用于从N个备选的认证服务器中随机选择n1个认证服务器作为参与认证服务器并通知所选择的认证服务器，其中1＜t≤n1≤N，t为预先设定的门限值；

所述认证服务器包括相互连接的子证书生成模块、子证书有效性验证模块、子证书合并模块及合法性验证模块，其中：

所述子证书生成模块，当所述认证服务器被选为参与认证服务器时，用于利用其子密钥对所述AP的公钥信息及移动终端MT的公钥信息签名生成AP子证书及MT子证书并将生成的子证书发送给所述子证书有效性验证模块；

所述子证书有效性验证模块，用于与其他参与认证服务器相互交换所述AP子证书及MT子证书，并验证各AP子证书及MT子证书的有效性；

所述子证书合并模块，在AP子证书的有效个数及MT子证书的有效个数均大于或等于门限值时，用于将各有效AP子证书合并为AP证书以及将各有效MT子证书合并为MT证书；

所述合法性验证模块，用于验证AP证书及MT证书的合法性。

6.如权利要求5所述的系统，其特征在于：所述系统还包括移动终端MT，所述MT和所述AP均包括相互连接的服务器选择模块、子证书有效性验证模块及子证书合并模块，其中所述服务器选择模块用于从N个备选的认证服务器中随机选择n2个认证服务器作为证书生成服务器并通知所选择的认证服务器，其中1＜t≤n2≤N；所述子证书有效性验证模块还用于对证书生成服务器发送的MT或AP子证书进行有效性验证；所述子证书合并模块，用于在AP或MT子证书的有效个数大于或等于门限值时，所述AP或MT合并所有有效的AP或MT子证书生成AP或MT证书；

当所述认证服务器被选为参与认证服务器时，所述认证服务器的子证书生成模块，还用于将生成的AP或MT子证书发送给所述AP或MT的子证书有效性验证模块。 

7.如权利要求5或6所述的系统，其特征在于：

所述子证书生成模块生成的MT或AP的子证书为(m，C_i，SIG_i)，其中，m为MT或AP的公钥信息，C_i＝R_iG， 

G为椭圆曲线的基点，R_i为认证服务器ASU_i随机选择的随机整数，R_i∈(1，N)，N为椭圆曲线点的个数，H为单项函数，Si为SIG_i的子密钥，其中ID_i为认证服务器ASU_i的公开身份标识，ID_j为认证服务器ASU_j的公开身份标识；

所述子证书有效性验证模块通过ASU_i的公钥P_i验证等式： 

是否成立，如果不成立，则认为所述子证书无效；

若ASU₁，ASU₂，...，ASU_t产生的MT或AP的子证书分别为：(m，C₁，SIG₁)，(m，C₂，SIG₂)，…，(m，C_t，SIG_t)，则所述子证书合并模块合并所得的证书为(m，C，SIG)，其中： 

8.如权利要求5或6所述的系统，其特征在于：所述系统还包括与所述AP、MT及认证服务器连接的可信中心TC，所述子证书有效性验证模块还用于在验证某AP或MT子证书无效时，向可信中心TC上报生成该AP或MT子证书的认证服务器发生欺骗行为；若认证服务器或AP或MT的子证书有效性验证模块判断有效子证书个数小于门限值t，还用于通知对应服务器选择模块再选择n3个证书认证服务器。

9.一种认证服务器，其特征在于，所述认证服务器包括相互连接的子证书生成模块、子证书有效性验证模块、子证书合并模块及合法性验证模块，其中：

所述子证书生成模块，当所述认证服务器被选为参与认证服务器时，用于利用其子密钥对所述AP的公钥信息及移动终端MT的公钥信息签名生成AP子证书及MT子证书并将生成的子证书发送给所述子证书有效性验证模块； 

所述子证书有效性验证模块，用于与其他参与认证服务器相互交换所述AP子证书及MT子证书，并验证各AP子证书及MT子证书的有效性；

所述子证书合并模块，在AP子证书的有效个数及MT子证书的有效个数均大于或等于门限值t时，用于将各有效AP子证书合并为AP证书以及将各有效MT子证书合并为MT证书；

所述合法性验证模块，用于验证AP证书及MT证书的合法性。

10.如权利要求9所述的认证服务器，其特征在于：若所述认证服务器的子证书有效性验证模块判断有效子证书个数小于门限值t，还用于通知对应服务器选择模块再选择n3个证书认证服务器。 

Images