CN102014380A - 基于wapi的鉴证加速装置及高速鉴别认证方法 - Google Patents
基于wapi的鉴证加速装置及高速鉴别认证方法 Download PDFInfo
- Publication number
- CN102014380A CN102014380A CN2010105963676A CN201010596367A CN102014380A CN 102014380 A CN102014380 A CN 102014380A CN 2010105963676 A CN2010105963676 A CN 2010105963676A CN 201010596367 A CN201010596367 A CN 201010596367A CN 102014380 A CN102014380 A CN 102014380A
- Authority
- CN
- China
- Prior art keywords
- authentication
- certificate
- request
- accelerator
- wapi
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Mobile Radio Communication Systems (AREA)
Abstract
本发明涉及认证鉴别安全相关技术领域,更具体而言,涉及一种基于WAPI的认证加速装置及基于WAPI的鉴别认证方式,所述装置包括依次连接的随机数生成模块、验证签名模块和通讯模块:随机数生成模块用于生成随机数;验证签名模块采用随机数生成模块生成的随机数生成的公钥和私钥对,并通过通讯模块与一个或多个WAPI鉴证服务器通讯,向一个或多个认证服务器发送公钥及完成签名验证。本发明通过鉴证加速装置,很好地将认证的业务与运算分开,利用加密和数字签名技术保护认证鉴别设备的私钥,大幅度提升认证鉴别设备签名和演算效率,有效地提高了WAPI系统吞吐率,使WAPI系统有更高的运行速度,提高了WAPI认证系统的安全性和整体性能。
Description
技术领域
本发明涉及鉴证安全相关技术领域,更具体而言,涉及一种基于WAPI的鉴别加速装置及基于WAPI的鉴别认证方式。
背景技术
移动宽带化和宽带移动化的趋势已经愈加明显。同时无线通信领域的技术发展速度加快,技术竞争加剧,未来的移动/无线通信将呈现网络日趋融合、多种接入技术综合应用、新业务不断推出的发展趋势。无线通信技术的发展,无线网络逐渐进入人们的生活,通信运营企业之间的竞争也越来越激烈,主要是通过提高通信运营企业的运作效率,为客户提供方便快捷和丰富多彩的服务,增强通信企业的发展能力和影响力来实现的,并且势必为通信企业的发展带来巨大的经济效益。安全问题一直是困扰在WLAN 灵活便捷的优势之上的阴影,已成为阻碍WLAN 进入信息化应用领域的最大障碍。随着应用的不断增加,网络安全风险也会不断暴露出来。
无线局域网鉴别与保密基础结构WAPI(WLAN Authentication and Privacy Infrastructure)由无线局域网鉴别基础结构WAI(WLAN Authentication Infrastructure)和无线局域网保密基础结构WPI(WLAN Privacy Infrastructure)组成。其中,WAI采用基于椭圆曲线的公钥证书体制ECC(Elliptic Curve CryptogrAEhy),无线客户端STA和接入点AE通过AS鉴别服务器进行双向身份鉴别。而在对传输数据的保密方面,WPI采用了国家商用密码管理委员会办公室提供的对称密码算法进行加密和解密,充分保障了数据传输的安全
WAPI 技术的应用为企业无线应用的安全增加了一个保障,AS服务器作为WAPI 体系中的核心设备,在性能和安全性的要求上提出了更高的要求。AS 可以通过证书鉴别实现了“合法的用户使用合法的网络”。对于AS 的密钥管理与性能等提出了更大的挑战。对私钥的管理是非对称密码和公钥基础设施PKI 的核心组成部分。PKI 体系的安全性完全假设在于,私钥仅仅由他们的所有者得到。如果,预谋者能得到参加信息交换任何一方的私钥,这就意味着,他很容易解密这方发出的所有报文。此外,他还能够以合法用户的名义签署任何报文,并成功地利用他在信息交换中的角色。也就是说,任何安全性都没有了。
特别是当运营级或大型企业AS 接收大量的认证请求时,保证AS存储密钥的安全和性能要求就更高,因此既要提高运算速度又要兼顾和安全性首先要解决的问题。
发明内容
本发明的第一个发明目的,在于提供一种基于WAPI的鉴证加速装置,以解决现有技术中鉴证服务器保密性不高的技术问题。
为了实现本发明的第一个发明目的,采用的技术方案如下:
一种基于WAPI的鉴证加速装置,所述装置包括依次连接的随机数生成模块、验证签名模块和通讯模块:
随机数生成模块用于生成随机数;
验证签名模块采用随机数生成模块生成的随机数生成的公钥和私钥对,并通过通讯模块与一个或多个WAPI鉴证服务器(AS)通讯,向一个或多个鉴证服务器发送公钥及完成签名验证;
通讯模块,用于与一个或多个 WAPI鉴证服务器进行通讯。
本发明把验证签名的数学计算独立出来,通过一个鉴别加速装置完成验证签名的操作,对验证签名进行统一管理,同时,由于无需与AE直接接触,因此避免了预谋者采用假AE从AS服务器获取消息从而解密AS的信息。再者,实现业务与大量复杂的数学运算分离,提高认证鉴别性能。
作为一种优选方案,所述随机数生成模块采用噪声源随机数发生器芯片产生随机数。
作为一种优选方案,所述装置还包括权限管理模块,包括管理员子模块和操作员子模块:
管理员子模块用于管理公钥和私钥对;
操作员子模块用于使用公钥和私钥对。
鉴别加速机管理模式采用分级权限管理,设置密钥管理员和操作员,分别赋予不同的权限,实行分割管理和权限控制。密钥管理员负责管理密钥,但没有使用权限,操作员有负责使用密钥的权限,但没有管理密钥的权利。这样的管理方式有效的增强了密钥的安全性。
作为一种优选方案,所述装置还包括与验证签名模块连接的密钥备份模块,密钥备份模块通过密文的方式,输出验证签名模块生成的公钥和私钥对到存储设备。
本发明的第二个发明目的在于提供一种基于WAPI的鉴别认证方式,将数学计算与业务处理分离,以应用本发明的第一个发明目的所提供的鉴别加速装置,提高接入认证性能。
为了实现本发明的第二个发明目的,采用的技术方案如下:
一种基于WAPI的鉴别认证方式,采用本发明第一个发明目的所述的鉴别加速装置,所述方法包括:
(11)鉴别加速装置通过通讯模块向一个或多个认证鉴别服务器发送公钥;
(12)当鉴别服务器收到接入端发送的证书鉴别请求分组包,使用公钥对证书鉴别请求分组包进行加密,并向鉴别加速装置发送采用公钥加密后的证书鉴别请求分组包;
(13)鉴别加速装置收到采用公钥加密后的证书鉴别请求分组包,通过私钥进行签名验证,得到请求鉴别结果,并将请求鉴别结果发给认证鉴别服务器;
(14)鉴别服务器将请求鉴别结果通过证书鉴别响应分组返回给接入端。
作为一种优选方案,所述方法还包括:
(21)鉴别加速装置通过通讯模块向第一认证鉴别服务器和第二认证鉴别服务器发送公钥;
(22)当第一认证鉴别服务器收到接入端发送的证书鉴别请求分组包,使用公钥对证书鉴别请求分组包进行加密,并向鉴别加速装置发送采用公钥加密后的证书鉴别请求分组包;
(23)鉴别加速装置收到采用公钥加密后的证书鉴别请求分组包,通过私钥进行签名验证,并得到请求鉴别结果,并将请求鉴别结果发给第一认证鉴别服务器;
(24)第一认证鉴别服务器根据请求鉴别结果检查证书鉴别请求分组包是否漫游包,如果证书鉴别请求分组包属于第二认证鉴别服务器,则构造漫游包,并发送给第二认证鉴别服务器,执行步骤(25),否则第一认证鉴别服务器将请求鉴别结果通过证书鉴别响应分组返回给接入端;
(25)第二认证鉴别服务器向第一认证鉴别服务器返回漫游响应包;
(26)第一认证鉴别服务器收到漫游响应包,生成漫游证书鉴别请求分组包,并通过公钥进行加密,发送给鉴证加速机;
(27)鉴别加速装置收到采用公钥加密后的漫游证书鉴别请求分组包,通过私钥进行签名验证,并得到漫游证书鉴别请求结果,并返回给第一认证鉴别服务器;
(28)第一认证鉴别服务器将漫游证书鉴别请求结果通过证书鉴别响应分组返回给接入端。
作为进一步的优选方案,所述客户端为无线接入端,用于接收无线客户端的认证请求。
本发明通过鉴别加速装置,很好地将鉴证的业务与运算分开,利用加密和数字签名技术保护鉴证设备的私钥,并大幅度提升鉴证设备签名和演算效率,有效地提高了WAPI系统吞吐率,使WAPI系统有更高的运行速度,提高了WAPI 认证系统的安全性和整体性能。本发明安全密钥存储,密钥不以明文形式出现在磁盘及内存中,即使受到攻击, 也能保证密钥的安全。
附图说明
图1 认证鉴别服务器与鉴别加速机的通信;
图2 鉴别加速机的的执行过程流程图;
图3 安全权限管理框图
图4 安全有效的密钥备份;
图5 认证鉴别服务器与鉴别加速机的通信用于本地认证鉴别处理流程;
图6 认证鉴别服务器与鉴别加速机的通信用于漫游请求鉴别处理流程。
具体实施方式
下面结合附图通过具体实施方式对本发明作进一步详细的说明。
用户私钥的安全性应该在它生命周期的每个阶段都得到保障:在产生密钥对的阶段(公钥和私钥),在私钥保存时期,在使用私钥(完成要求使用私钥加密、签名业务,例如形成电子数字签名)和销毁私钥的时候。密钥对在安全的环境下产生,排除预谋者对产生过程施加影响或得到到任何私钥信息的可能,以及在后来恢复利用的企图。在保存私钥时,保障它的机密性和完整性——密钥应得到可靠保护,防止未经批准地随意存取,以及其他异常行为。在使用私钥时,排除被截取的可能,以及非法利用(非密钥掌握者的意志和愿望)。最后,在销毁私钥阶段,必须保障完全销毁信息,排除重复使用的可能。重复使用会造成很多漏洞和问题。
WAPI 属于第二层鉴别,所有的终端均是采用接入即认证,特别是在手机产品中,如果手机的WLAN 功能没有关闭,在用户移动过程中将是每经过一个AE 点就需要一次完整的WAPI 认证过程,即使用户根本没有使用网络也是如此;同时, 由于无线信号的飘移和不稳定,用户终端在连接的过程中出现断开重新连接的现象也是常见的。故此WAPI 的认证模型不能参照有线网络的计费认证模型考虑, 通常50 次/秒的鉴别效率在普通的鉴证服务器中已经可以支撑10 万用户级别的设计,但无线局域网的第二层认证设计最低应考虑1000 次/秒的鉴别效率才可能以支撑10 万用户级的设计。对于提高AS 性能,提供WAPI AS 加速机,配合AS 服务器进行WAPI 算法签名、算法验证和本地认证。WAPI AS 加速机,主要是为运营级和大型企业的AS 服务器提供私钥保护和ECC 签名和验签算法硬件加速服务。密钥可保存到ECC 硬件内部,不可导出,并承担ECC 硬件算法运算,最终将运算结果通知AS 服务器。AS 运营级服务器如果通过增强CPU 的计算能力,而非使用鉴别加速机来提高认证效率,将对服务器的要求极高,性能也差于配合WAPI AS 加速机。通过WAPI AS 加速机,可以很好的将AS 的业务与运算分开,提高WAPI 认证的性能,同时密钥也得到充分的保护。
参见图1和图2,本发明实施例提供了一种基于WAPI的AS加速机,AS加速机的的执行过程是:
1、高质量随机数的产生
随机数的质量直接影响到整个系统的安全性,WAPI 的AS加速机采用国产的噪声源随机数发生器芯片产生高质量的随机数,生成公私钥对。这样生成的公私钥保证数据的低重复率,最大限度的保证了随机数的随机性,满足了整个系统对庞大数量的公私钥的需要。
2、完成签名和验证签名等ECC基本算法
完成基于椭圆曲线密码体制(elliptic curve cryptosystem ,ECC)算法的签名和验证签名,以及密钥对的生成等。签名和验证签名在AS加速机中实现,减轻了AS服务器系统的负担,能有效提高AS服务器的运行速率。
3、与AS服务器进行安全通信
得到的运算结果通知AS 服务器。AS加速机与AS认证服务器通过TCP/IP协议进行通信,通信过程简单易行。
参见图3, 安全权限管理:
AS加速机管理模式采用分级权限管理,设置密钥管理员和操作员,分别赋予不同的权限,实行分割管理和权限控制。密钥管理员负责管理密钥,但没有使用权限,操作员有负责使用密钥的权限,但没有管理密钥的权利。这样的管理方式有效的增强了密钥的安全性。
图4给出密钥备份过程:
备份密钥信息存储在主加速机以外的其他存储介质中,并且是以密文形式输出。加密备份密钥信息的密钥是使用门限秘密共享的方式分别输出到存储介质中,保证密钥本身的安全性。
综上,本发明所提供的AS加速机功能包括:
. 生成公私钥对:使用的物理噪声源产生器芯片生成随机数,生成密钥速度快;
. 公私钥对存储:可以存储生成的多个私钥。私钥存储安全,非法者不能获得私钥。
. 私钥备份和恢复:符合国家密码管理局私钥管理流程;
. 完成签名、验签、公私钥对生成等ECC 基本算法;
. 安全的通信协议。
如图5所示,AS服务器与AS加速机的通信用于本地认证过程,包括下列步骤:
步骤1:AS服务器收到接入点AE的证书鉴别请求分组包,使用AS服务器公钥对信息进行加密,发送鉴别请求分组;
步骤2:AS加速机收到鉴别请求分组包,进行基于椭圆曲线加密算法ECC的签名验证;
步骤3:AS加速机将请求鉴别响应结果发给AS服务器;
步骤4:AS服务器进行验签,并将鉴别响应分组发给接入点的鉴别器实体(authenticator entity,AE)。
AE是实现WLAN设备中的AP/AC;另外:AS服务器就是认证鉴别服务器;AS加速机就是鉴别加速装置。
如图6所示,AS服务器与AS加速机的通信用于漫游请求鉴别处理流程,包括下列步骤:
1:AS服务器收到接入点AE的证书鉴别请求分组包,使用AS服务器公钥对信息进行加密,发送鉴别请求分组;
2:AS加速机收到鉴别请求分组包,进行基于椭圆曲线加密算法ECC的签名验证;
3:AS加速机将请求鉴别响应结果发给AS服务器;
4:AS服务器根据AS加速机回送的数据包,判断是否漫游包,确认终端客户不属于本地,AS服务器构造漫游包,发送给外地AS服务器;
5:AS服务器收到漫游响应包,将数据包通过AS公钥进行加密,发送给AS加速机;
6:AS加速机进行数据包解析,并应用AS服务器私钥进行签名,并将响应包发送给AS服务器;
7:AS服务器进行验签,并将鉴别响应分组发给接入点AE。
以上所述仅是本发明的优选实施方式,应当指出,对于本领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。
Claims (7)
1.一种基于WAPI的鉴别加速装置,其特征在于,所述装置包括依次连接的随机数生成模块、验证签名模块和通讯模块:
随机数生成模块用于生成随机数;
验证签名模块采用随机数生成模块生成的随机数生成的公钥和私钥对,提供签名与验签服务,并通过通讯模块与一个或多个WAPI认证服务器通讯,向一个或多个认证服务器发送公钥,进行签名、验签和数据加密;
通讯模块,用于与一个或多个WAPI鉴证服务器进行通讯。
2.根据权利要求1所述的鉴别加速装置,其特征在于,所述随机数生成模块采用噪声源随机数发生器芯片产生随机数。
3.根据权利要求1所述的鉴别加速装置,其特征在于,所述装置还包括权限管理模块,包括管理员子模块和操作员子模块:
管理员子模块用于管理公钥和私钥对;
操作员子模块用于使用公钥和私钥对。
4.根据权利要求1所述的鉴证加速装置,其特征在于,所述装置还包括与验证签名模块连接的密钥备份模块,密钥备份模块通过密文的方式,输出验证签名模块生成的公钥和私钥对到存储设备。
5.一种基于WAPI的鉴别认证方式,采用权利要求1~4任一项所述的鉴别加速装置,其特征在于,所述方法包括:
(11)鉴别加速装置通过通讯模块向一个或多个认证鉴别服务器发送公钥;
(12)当鉴别服务器收到接入端发送的证书鉴别请求分组包,使用公钥对证书鉴别请求分组包进行加密,并向鉴别加速装置发送采用公钥加密后的证书鉴别请求分组包;
(13)鉴别加速装置收到采用公钥加密后的证书鉴别请求分组包,通过私钥进行签名验证,得到请求鉴别结果,并将请求鉴别结果发给认证鉴别服务器;
(14)鉴别服务器将请求鉴别结果通过证书鉴别响应分组返回给接入端。
6.根据权利要求5所述的鉴别认证方式,其特征在于,所述方法还包括:
(21)鉴别加速装置通过通讯模块向第一认证鉴别服务器和第二认证鉴别服务器发送公钥;
(22)当第一认证鉴别服务器收到接入端发送的证书鉴别请求分组包,使用公钥对证书鉴别请求分组包进行加密,并向鉴别加速装置发送采用公钥加密后的证书鉴别请求分组包;
(23)鉴别加速装置收到采用公钥加密后的证书鉴别请求分组包,通过私钥进行签名验证,并得到请求鉴别结果,并将请求鉴别结果发给第一认证鉴别服务器;
(24)第一认证鉴别服务器根据请求鉴别结果检查证书鉴别请求分组包是否漫游包,如果证书鉴别请求分组包属于第二认证鉴别服务器,则构造漫游包,并发送给第二认证鉴别服务器,执行步骤(25),否则第一认证鉴别服务器将请求鉴别结果通过证书鉴别响应分组返回给接入端;
(25)第二认证鉴别服务器向第一认证鉴别服务器返回漫游响应包;
(26)第一认证鉴别服务器收到漫游响应包,生成漫游证书鉴别请求分组包,并通过公钥进行加密,发送给鉴证加速机;
(27)鉴别加速装置收到采用公钥加密后的漫游证书鉴别请求分组包,通过私钥进行签名验证,并得到漫游证书鉴别请求结果,并返回给第一认证鉴别服务器;
(28)第一认证鉴别服务器将漫游证书鉴别请求结果通过证书鉴别响应分组返回给接入端。
7.根据权利要求5或6所述的鉴别认证方式,其特征在于,所述客户端为无线接入端,用于接收无线客户端的认证请求。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201010596367.6A CN102014380B (zh) | 2010-12-20 | 2010-12-20 | 基于wapi的鉴证加速装置及高速鉴别认证方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201010596367.6A CN102014380B (zh) | 2010-12-20 | 2010-12-20 | 基于wapi的鉴证加速装置及高速鉴别认证方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102014380A true CN102014380A (zh) | 2011-04-13 |
| CN102014380B CN102014380B (zh) | 2014-04-30 |
Family
ID=43844350
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201010596367.6A Expired - Fee Related CN102014380B (zh) | 2010-12-20 | 2010-12-20 | 基于wapi的鉴证加速装置及高速鉴别认证方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102014380B (zh) |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2003092190A1 (en) * | 2002-04-23 | 2003-11-06 | Sk Telecom Co., Ltd | Authentication system and method having mobility in public wireless local area network |
| CN1665183A (zh) * | 2005-03-23 | 2005-09-07 | 西安电子科技大学 | Wapi认证机制中的密钥协商方法 |
| CN1725685A (zh) * | 2004-07-22 | 2006-01-25 | 中兴通讯股份有限公司 | 无线局域网移动终端的安全重认证方法 |
-
2010
- 2010-12-20 CN CN201010596367.6A patent/CN102014380B/zh not_active Expired - Fee Related
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2003092190A1 (en) * | 2002-04-23 | 2003-11-06 | Sk Telecom Co., Ltd | Authentication system and method having mobility in public wireless local area network |
| CN1725685A (zh) * | 2004-07-22 | 2006-01-25 | 中兴通讯股份有限公司 | 无线局域网移动终端的安全重认证方法 |
| CN1665183A (zh) * | 2005-03-23 | 2005-09-07 | 西安电子科技大学 | Wapi认证机制中的密钥协商方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102014380B (zh) | 2014-04-30 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| WO2020133655A1 (zh) | 边缘计算场景下支持异构终端匿名接入的轻量级认证方法 | |
| Li et al. | An efficient merkle-tree-based authentication scheme for smart grid | |
| Chen et al. | Security enhancement on an improvement on two remote user authentication schemes using smart cards | |
| EP2416524B1 (en) | System and method for secure transaction of data between wireless communication device and server | |
| CN111935714B (zh) | 一种移动边缘计算网络中身份认证方法 | |
| CN102036238B (zh) | 一种基于公钥实现用户与网络认证和密钥分发的方法 | |
| CN102685749B (zh) | 面向移动终端的无线安全身份验证方法 | |
| CN109951513B (zh) | 基于量子密钥卡的抗量子计算智能家庭量子云存储方法和系统 | |
| CN109787761A (zh) | 一种基于物理不可克隆函数的设备认证与密钥分发系统和方法 | |
| CN104754581A (zh) | 一种基于公钥密码体制的lte无线网络的安全认证方法 | |
| CN111416715B (zh) | 基于秘密共享的量子保密通信身份认证系统及方法 | |
| CN102547688A (zh) | 一种基于虚拟专用信道的高可信手机安全通信信道的建立方法 | |
| CN112020038A (zh) | 一种适用于轨道交通移动应用的国产加密终端 | |
| CN101192927B (zh) | 基于身份保密的授权与多重认证方法 | |
| CN111416712B (zh) | 基于多个移动设备的量子保密通信身份认证系统及方法 | |
| CN110224816A (zh) | 基于密钥卡和序列号的抗量子计算应用系统以及近距离节能通信方法和计算机设备 | |
| Bansal et al. | Lightweight authentication protocol for inter base station communication in heterogeneous networks | |
| CN106230840B (zh) | 一种高安全性的口令认证方法 | |
| KR101366442B1 (ko) | 스마트 미터와 디바이스 간 인증 방법 | |
| CN112054905B (zh) | 一种移动终端的安全通信方法及系统 | |
| CN112423295B (zh) | 一种基于区块链技术的轻量级安全认证方法及系统 | |
| CN110048920B (zh) | 基于密钥卡的抗量子计算智能家庭近距离节能通信方法和系统 | |
| CN102014380B (zh) | 基于wapi的鉴证加速装置及高速鉴别认证方法 | |
| US20240048559A1 (en) | Rendering endpoint connection without authentication dark on network | |
| US20240064012A1 (en) | Authentication cryptography operations, exchanges and signatures |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20140430 Termination date: 20201220 |