WO2011009317A1

WO2011009317A1 - 认证方法、认证系统及认证服务器

Info

Publication number: WO2011009317A1
Application number: PCT/CN2010/072138
Authority: WO
Inventors: 周伟
Original assignee: 中兴通讯股份有限公司
Priority date: 2009-07-23
Filing date: 2010-04-23
Publication date: 2011-01-27
Also published as: CN101610514A; CN101610514B

Abstract

本发明认证方法包括: 接入点(AP)从N个备选的认证服务器中随机选择n1个认证服务器作为证书认证服务器并通知所选择的认证服务器;各证书认证服务器利用各自的子密钥对AP和移动终端(MT)的公钥信息签名生成AP子证书及MT子证书,与其他证书认证服务器交互生成的AP子证书及MT子证书,并验证各AP子证书及MT子证书的有效性;在AP子证书的有效个数及MT子证书的有效个数均大于或等于门限值t时,各证书认证服务器将有效的AP子证书合并为AP证书以及将有效的MT子证书合并为MT证书;所述证书认证服务器验证AP证书及MT证书的合法性。本发明认证方法、认证系统及认证服务器可以提高证书认证的安全性。

Description

认证方法、认证系统及认证服务器

技术领域

本发明涉及网络通信安全技术，尤其是认证方法、认证系统及认证服务器。背景技术

无线局域网鉴别与保密基础架构（ WLAN Authentication and Privacy Infrastructure , WAPI )是一种应用于 WLAN的安全协议，是由中国提出的具有创新性技术的标准，解决了目前无线局域网安全机制存在的漏洞和隐患。

WAPI 安全机制由两个部分组成：无线局域网鉴别基础结构（WLAN Authentication Infrastructure, WAI)和无线局 i或网保密基础架构（ WLAN Privacy Infrastructure, WPI ) 。 WAI用于对用户身份的鉴别，保证了合法用户访问合法的网络； WPI用于对传输数据的加密，保证了通信的保密性。 WAI利用公钥密码体制，利用数字证书来完成 WLAN系统的移动终端（ Mobile Terminal, MT )和接入点（ Access Point, AP )之间的相互认证， WAI定义了一种名为认证服务单元（Authentication Service Unit, ASU)的实体，用于管理参与信息交换各方所需要的证书，包括证书的产生、颁发、吊销和更新。证书内容包含证书颁发者 (ASU)的公钥和签名以及证书持有者的公钥和签名 (签名釆用的是 WAPI特有的椭圓曲线数字签名算法)，是网络设备终端 MT的数字身份凭证。

WAPI协议具体的实现包括以下几个过程：

(1)认证激活：当 MT登陆到 AP时， AP向 MT发送认证激活，以启动认证过程；

(2)接入认证请求： MT向 AP发出认证请求，将自己的证书和接入认证请求时间发往 AP;

(3)证书认证请求： AP收到 MT接入认证请求后，向 ASU发出认证请求，将 MT证书、接入认证请求时间和 AP的证书以及利用 AP私钥对它们的签名构成证书认证请求 4艮文信息发送给 ASU;

(4)证书认证响应： ASU收到 AP的认证请求后，验证 AP的签名以及 AP和 MT证书的合法性，验证完毕后 ASU将 MT证书认证结果信息（包括 MT证书、认证结果、接入认证请求时间和 ASU对它们的签名）、 AP证书认证结果信息（包括 AP证书、认证结果、接入认证请求时间和 ASU对它们的签名）构成证书响应 ^艮文发回给 AP;

(5)接入认证响应： AP对 ASU返回的证书响应进行验证，得到 MT证书认证结果， AP将 MT证书认证信息、 AP证书认证结果信息以及 AP对它们的签名构成接入认证响应报文发送至 MT, MT验证 ASU的签名后，得到 AP 证书的认证结果， MT根据认证结果决定是否接入该 AP;

(6) 密钥协商：当 MT和 AP的证书都鉴别成功之后，双方将会进行密钥协商，然后用协商的密钥进行通信。

在 WAPI中釆用了集中化的管理，由单一 ASU统一完成证书有效性验证，同时还担任了权威中心的角色，完成对 MT、 AP等实体证书的发放、撤销和管理等，没有考虑到 ASU的权威欺诈、私钥被泄露的安全性问题和 ASU可能会成为系统的瓶颈问题。现有基于可信第三方的方法中，没有考虑到可信第三方发生欺骗的行为，而且没有提供一种很好的对可信第三方和 ASU信息验证机制。现有技术存在以下安全隐患：

(1)证书的签名私钥由单个 ASU保管。 ASU权利过大使签名私钥遭到滥用，签名私钥一旦泄露、丟失或者损害，就会带来很大的损失。

(2)证书的签发由单个 ASU完成。 ASU向 MT发放伪造的证书，产生了 ASU权威欺诈行为，造成合法的 MT无法接入网络。

(3)证书的认证由单个 ASU完成。如果 ASU被攻击者控制或者变的不可信， ASU使非法的 MT通过认证接入网络，而合法的 MT无法接入网络。 ASU 进行恶意的认证响应行为，任何 MT都无法接入网络，从而使网络陷入瘫痪。

(4)存在可信第三方的技术。如果可信第三方或者 ASU发生了欺骗的行为，无法用有效的方法检测出来，从而带来很大的损失。发明内容

本发明要解决的技术问题是提供一种认证方法、认证系统及认证服务器，以提高证书认证的安全性。

为解决以上技术问题，本发明提供了一种认证方法，该方法包括：证书认证服务器选择步骤，接入点（AP )从 N个备选的认证服务器中随机选择 nl个认证服务器作为证书认证服务器并通知所选择的认证服务器，其中 t^nl ^N, t为预先设定的门限值；

第一子证书生成步骤，各证书认证服务器利用各自的子密钥对 AP和移动终端（MT ) 的公钥信息签名生成 AP子证书及 MT子证书；

第一子证书有效性验证步骤，各证书认证服务器与其他证书认证服务器交互生成的 AP子证书及 MT子证书，并验证各 AP子证书及 MT子证书的有效性；

第一子证书合并步骤，在 AP子证书的有效个数及 MT子证书的有效个数均大于或等于门限值 t时，各证书认证服务器将有效的 AP子证书合并为 AP证书以及将有效的 MT子证书合并为 MT证书；

证书合法性验证步骤，所述证书认证服务器验证 AP证书及 MT证书的合法性。

所述 AP和 MT的公钥信息包含在 AP证书和 MT证书中，

所述第一子证书生成步骤中之前，该方法还包括 AP证书或 MT证书生成的步骤，所述 AP证书或 MT证书生成的步骤包括：

证书生成服务器选择步骤， AP或 MT从 N个备选的认证服务器中随机选择 n2 个认证服务器作为证书生成服务器并通知所选择的认证服务器，其中，其中 l<t^ n2<N,

第二子证书生成步骤，各证书生成服务器利用各自的子密钥对 AP或 MT 第二子证书有效性验证步骤，所述 AP或 MT对收到的各子证书进行有效性验证；以及第二子证书合并步骤，在 AP子证书或 MT子证书的有效个数大于或等 AP证书或 MT证书。

所述第一子证书生成步骤或第二子证书生成步骤中，生成的 MT子证书或 AP子证书为 (m SIGO, 其中， m为 MT的公钥信息或 AP的公钥信息，

+¾) mod Ν, G为椭圓曲线的基点，为认证服务器 AS 随机选择的随机整数， Κ^ (Ι,Ν), N为椭圓曲线点的个数， Η为单项函数，为 810₁的子密钥；所述第一子证书有效性验证步骤或第二子证书有效性验证步骤中，认证服务器、 ΜΤ 或 ΑΡ 通过 AS 的公钥验证等式： SIGi G PiH m) Π +Q是否成立, 如果不成立，则认为所述 AP子证书或 MT子证书无效；

所述第一子证书合并步骤或第二子证书合并步骤中，若 ASl^ , ASU₂, ... , ASU_t产生的 MT的子证书为: (m,Ci,SIGi), (m,C₂,SIG₂), . . . ,( m,C_t,SIG_t), 则合成后的证书为 (m,C,SIG), 其中：

+S₂H(m)

所述第一子证书有效性验证步骤或第二子证书有效性验证步骤中，若验证某 AP子证书或 MT子证书无效，则向可信中心（TC )上报生成该 AP子证书或 MT子证书的证书认证服务器发生欺骗行为；

若有效子证书个数小于 t, 则再选择 n3个证书认证服务器执行以上的子证书生成步骤及子证书有效性验证步骤，其中 n3为发生欺骗行为的证书认证服务器的个数，直到有效子证书个数 ^t, 再执行子证书合并步骤。

为解决以上技术问题，本发明还提供一种认证系统，该系统包括相互连接的接入点（AP )及 N个备选的认证服务器；

所述 AP包括服务器选择模块，所述服务器选择模块设置为：从 N个备选的认证服务器中随机选择 nl 个认证服务器作为证书认证服务器并通知所选择的认证服务器，其中 t^nl ^N, t为预先设定的门限值；

所述认证服务器包括相互连接的子证书生成模块、子证书有效性验证模块、子证书合并模块及合法性验证模块，其中：

所述子证书生成模块设置为：当所述认证服务器被选为证书认证服务器时，利用所述认证服务器子密钥对所述 AP及移动终端 MT的公钥信息签名证模块；

所述子证书有效性验证模块设置为：与所述认证服务器之外的其他参与认证服务器交互生成的 AP子证书及 MT子证书，并验证各 AP子证书及 MT 子证书的有效性；所述子证书合并模块设置为：在 AP子证书的有效个数及 MT子证书的有效个数均大于或等于门限值时，将各有效 AP子证书合并为 AP证书以及将各有效 MT子证书合并为 MT证书；

所述合法性验证模块设置为：验证 AP证书及 MT证书的合法性。

所述系统还包括 MT,

所述 MT包括相互连接的服务器选择模块、子证书有效性验证模块及子证书合并模块，

所述服务器选择模块设置为：从 N个备选的认证服务器中随机选择 n2 个认证服务器作为证书生成服务器并通知所选择的认证服务器，其中，其中 Kt≤n2≤N;

所述 MT的所述子证书有效性验证模块设置为：对所述证书生成服务器发送的 MT子证书进行有效性险证；

所述 MT的所述子证书合并模块设置为：在 MT子证书的有效个数大于或等于门限值时，合并所有有效的 MT子证书生成 MT证书；

所述 AP还包括与所述 AP的所述服务器选择模块相互连接的子证书有效性验证模块和子证书合并模块：

所述 AP的服务器选择模块设置为：从 N个备选的认证服务器中随机选择 n2 个认证服务器作为证书生成服务器并通知所选择的认证服务器，其中 Kt≤n2≤N;

所述 AP 的子证书有效性验证模块设置为：对所述证书生成服务器发送的 AP子证书进行有效性验证；

所述 AP的子证书合并模块设置为：在 AP子证书的有效个数大于或等于门限值时，合并所有有效的 AP子证书生成 AP证书；

所述认证服务器的子证书生成模块还设置为：当所述认证服务器被选为生成认证服务器时，将生成的 MT子证书发送给所述 MT的子证书有效性验所述子证书生成模块生成的 MT子证书或 AP子证书为 (m SIGO,其中， m为 MT或 AP的公钥信息， +¾) mod N,

G为椭圓曲线的基点，为认证服务器 AS 随机选择的随机整数， £ (1,Ν), Ν为椭圓曲线点的个数， Η为单项函数，为 810₁的子密钥；

所述 ΑΡ子证书有效性验证模块或 ΜΤ的子证书有效性验证模块是设置为：通过 ASUi的公钥验证等式： SIG₁ G=P₁H(m) ΓΤ —^ID] 是否成立, 如果不成立，则认为所述子证书无效；

所述 MT子证书合并模块或 AP的子证书合并模块是设置为：若 ASl^ , ASU₂ , ASU_t产生的 MT 子证书或 AP 子证书分别为：（n^C^SIGO, (m,C₂,SIG₂), ...,( m,C_t,SIG_t), 则合并所得的 MT证书或 AP证书为 (m,C,SIG), 其中： C = d + C₂ +...+ C_t , SIG _≡ SIGi + SIG₂+... + SIG_t ≡(SiH(m)

Π ~ ^ID] +S₂H(m) FT —^ID] + ...+S_tH(m) ΤΊ ~ ^ID] )+(Ri+R₂

+ ...+R_t)mod N。所述系统还包括与所述 AP、 MT及认证服务器连接的 TC,

所述认证服务器的子证书有效性验证模块、或 AP 的子证书有效性验证模块或 MT的子证书有效性验证模块还设置为：在验证某 AP子证书或 MT 子证书无效时，向 TC上报生成该 AP子证书或 MT子证书的认证服务器发生欺骗行为；若判断有效子证书个数小于门限值 t, 通知对应服务器选择模块再选择 n3个认证服务器作为证书认证服务器。

为解决上述技术问题，本发明还提供一种认证服务器，所述认证服务器包括相互连接的子证书生成模块、子证书有效性验证模块、子证书合并模块及合法性验证模块，其中：

所述子证书生成模块设置为：当所述认证服务器被选为证书认证服务器时，利用所述认证服务器的子密钥对接入点（AP )及移动终端（MT ) 的公钥信息签名生成 AP子证书及 MT子证书，并发送给所述子证书有效性验证模块；

所述子证书有效性验证模块设置为：与所述认证服务器之外的其他证书认证服务器交互生成的 AP子证书及 MT子证书，并验证各 AP子证书及 MT 子证书的有效性；所述子证书合并模块设置为：在 AP子证书的有效个数及 MT子证书的有效个数均大于或等于门限值 t时，用于将各有效 AP子证书合并为 AP证书以及将各有效 MT子证书合并为 MT证书；

所述子证书有效性验证模块还设置为：若判断有效子证书个数小于门限值 t,通知对应服务器选择模块再选择 n3个认证服务器作为证书认证服务器。本发明还提供了一种接入点（AP ) , 应用于认证系统，

所述 AP包括服务器选择模块，所述服务器选择模块设置为：从 N个备选的认证服务器中随机选择 nl 个认证服务器作为证书认证服务器并通知所选择的认证服务器，其中 t^nl ^N, t为预先设定的门限值。所述 AP还包括与所述服务器选择模块相互连接的子证书有效性验证模块和子证书合并模块：

所述服务器选择模块设置为：从 N个备选的认证服务器中随机选择 n2 个认证服务器作为证书生成服务器并通知所选择的认证服务器，其中 l<t^n2 ≤N;

所述子证书有效性验证模块设置为：对所述证书生成服务器发送的 AP 子证书进行有效性验证；所述 AP子证书是当所述认证服务器被选为生成认证服务器时，向所述子证书有效性验证模块发送的；

所述子证书合并模块设置为：在 AP子证书的有效个数大于或等于门限值时，合并所有有效的 AP子证书生成 AP证书。

所述 AP子证书为 (X SIGO, 其中， m为 AP的公钥信息， CfRC

SiH m) Π —^m] +R mod N, G为椭圓曲线的基点，为认证服务器 ASUi随机选择的随机整数， £ (1,Ν), Ν为椭圓曲线点的个数， Η为单项函数，为 SIGi的子密钥;

所述子证书有效性验证模块是设置为：通过 AS 的公钥验证等式： SIG₁ G=P₁H(m) ΤΊ —^ID] +Q是否成立, 如果不成立，则认为所述 AP子证书无效；

所述子证书合并模块是设置为：若 ASl^ , ASU₂, ASU_t产生的 AP 子证书为：（n^C^SIGO, (m,C₂,SIG₂), ...,( m,C_t,SIG_t), 则合并所得的 AP证书为 (m,C,SIG), 其中： C = d + C₂ +...+ C_t, SIG ≡ SIGi + SIG₂+... + SIG_t

≡ (SiH(m) Π— +S₂H(m) + -^+SW

Π— ¾ -) +(Ri+R₂ + · · .+Rt)mod N₀

j=lj 所述子证书有效性验证模块还设置为：在验证某 AP子证书无效时，向可信中心上报生成该 AP子证书的认证服务器发生欺骗行为；若判断有效子证书个数小于门限值 t, 通知服务器选择模块再选择 n3个认证服务器作为证书认证服务器。

一种移动终端（MT ) , 其包括相互连接的服务器选择模块、子证书有效性验证模块及子证书合并模块：

所述子证书有效性验证模块设置为：对所述证书生成服务器发送的 MT 子证书进行有效性验证；所述 MT子证书是当所述认证服务器被选为生成认证服务器时，向所述子证书有效性验证模块发送的；

所述子证书合并模块设置为：在 MT子证书的有效个数大于或等于门限值时，合并所有有效的 MT子证书生成 MT证书。

所述 MT子证书为

所述子证书有效性验证模块是设置为：通过 AS 的公钥验证等式： SIGi G PiH m) ΤΊ —^ID] +Q是否成立, 如果不成立，则认为所述子证书无效；

所述子证书合并模块是设置为：若 ASl^ , ASU₂, ASU_t产生的 MT 子证书为：（n^C^SIGO, (m,C₂,SIG₂), ...,( m,C_t,SIG_t), 则合并所得的 MT证书为 (m,C,SIG), 其中： C = d + C₂ +...+ C_t, SIG ≡ SIGi + SIG₂+... + SIG_t

≡ (SiH(m) Π— +S₂H(m) + -^+SW

Π— ¾ -) +(Ri+R₂ + · · .+Rt)mod N₀

j=lj 所述子证书有效性验证模块还设置为：在验证某 MT子证书无效时，向可信中心上报生成该 MT子证书的认证服务器发生欺骗行为；若判断有效子证书个数小于门限值 t, 通知对应服务器选择模块再选择 n3个认证服务器作为证书认证服务器。

本发明认证方法、认证系统及认证服务器引入门限密码学的基本思想，对签名私钥进行了分割，每个 ASU只拥有签名私钥的一部分， ASU的个数必须至少达到门限值时才能完成 MT证书的产生，有效的防止了签名私钥遭到滥用的行为和保证了签名私钥的安全性；任何少于门限值个数的子密钥都不会得到有关签名私钥的任何信息，克服了现有签名私钥由单一 ASU保管存在的安全性问题，分散了 ASU的权利；发明还提供了验证机制，可以有效的检测出在信息交换过程中 ASU或者可信中心 TC的欺骗行为，克服了现有技术的缺点，提高了安全性；在认证阶段， AP可以选择门限值个服务器，证书的鉴别由多个 ASU相互合作完成，多个 ASU鉴别克服了单个 ASU鉴别的缺点，提高了认证机制的安全性和效率。附图概述

图 1 是本发明基于 WAPI的认证方法的示意图；

图 2是本发明证书生成过程的示意图；

图 3是本发明应用实例 MT证书生成的示意图；

图 4 是本发明应用实例证书认证过程的示意图；

图 5是本发明应用系统结构示意图。

本发明的较佳实施方式

如图 1所示，本发明认证方法包括：

步骤 101 : 认证服务器选择步骤，接入点 AP从 N个备选的认证服务器中随机选择 nl 个认证服务器作为证书认证服务器并通知所选择的认证服务器，其中 Kt^ nl ^N, t为预先设定的门限值；

门限值根据安全级别需要、使用方便性等设定。

步骤 102: 子证书生成步骤，各证书认证服务器利用各自的子密钥对 AP 和移动终端 MT的公钥信息签名生成 AP子证书及 MT子证书；

步骤 103: 子证书有效性验证步骤，各证书认证服务器与其他证书认证服务器交互生成的 AP子证书及 MT子证书，并验证各 AP子证书及 MT子证书的有效性；证书的鉴别由多个认证服务器相互合作完成，多个认证服务器鉴别克服了单个认证服务器鉴别的缺点。

步骤 104: 子证书合并步骤，在 AP子证书的有效个数及 MT子证书的有效个数均大于或等于门限值 t时，各证书认证服务器将有效的 AP子证书合并为 AP证书以及将有效的 MT子证书合并为 MT证书；

步骤 105: 证书合法性验证，认证服务器验证 AP证书及 MT证书的合法性。

所述子证书生成步骤中，所述 AP和 MT的公钥信息包含在 AP证书和 MT证书中的， AP证书或 MT证书生成的过程包括：

步骤 201 : 生成服务器选择步骤， AP或 MT从 N个备选的认证服务器中随机选择 n2个认证服务器作为证书生成服务器并通知所选择的认证服务器，其中 l<t^n2 ^N, n2可以与 nl不同；

步骤 202: 子证书生成步骤，各证书生成服务器利用各自的子密钥对 AP

MT;

步骤 203: 子证书有效性验证步骤，所述 AP或 MT对收到的各子证书进行有效性验证；

步骤 204: 子证书合并步骤，在 AP子证书或 MT子证书的有效个数大于生成 AP证书或 MT证书。

在步骤 103和步骤 203的子证书有效性验证步骤中，若验证某 AP子证书或 MT子证书无效，则向可信中心 TC上^艮生成该 AP子证书或 MT子证书的证书认证服务器发生欺骗行为，若有效子证书个数小于门限值 t, 则再选择 n3个证书认证服务器执行以上的子证书生成步骤及子证书有效性验证步骤，其中 n3为发生欺骗行为的证书认证服务器的个数，直到有效子证书个数 ^t, 再执行子证书合并步骤，且执行证书合法性验证步骤的证书认证服务器是没有发生欺骗行为的证书认证服务器。

优选的， nl<N, 这样当验证发现认证服务器发生欺骗时，保证还有选择其他认证服务器的空间，以尽快地完成认证过程。以下结合公式对生成、验证及合并子证书的过程进行详细说明：

A生成子证书

设 m为 MT或 AP公钥信息， G为椭圓曲线的基点， N为椭圓曲线点的个数， H为单项函数，八811₁为认证服务器，：！^为 AS 的公开身份标识， AS 随机选择一个随机整数 R_l£ (l,N), 保密，计算

为与 G点乘的结果）和 H(m), 计算签名信息 SIG^dH m) f] + ) mod N, 则

(mA^IGO为 AS 利用自己子密钥产生的 MT子证书。

B验证子证书

MT、 AP或 ASUj通过 AS 的公钥验证等式：

SIG₁ G=P₁H(m) \ —^ID] +Q是否成立, 如果不成立，存在欺骗行为，否则，不存在欺骗行为。

C合并子证书设 ASU ASU₂ , ASU_t产生的 MT 的子证书为：（n^C^SIGO,

(m,C₂,SIG₂), ...,( m,C_t,SIG_t),

计算 C = d + C₂ +...+ C_t , SIG ≡ SIGi + SIG₂+... + SIG_{t ≡} (SiH(m)n— _+Rl)₊(S₂H(m) Π +

R_t) ≡ (S_lH(m) Π— +S₂H(m)

Π— ¾ -) +(Ri+R₂ + · · .+Rt)mod N

SIG≡ SH(m)≡ S!HCm) Π— ¾- +S₂H(m) Π — + ...+S_tH(m) + ... +R_t)modN是有拉格朗日插值定理得到的 (S为群签名

私钥)；

则合成后的证书为 (m,C, SIG)。

所述认证服务器的这样获取子密钥的：

N个认证服务器向可信中心 TC注册身份标识；

所述 TC产生签名私钥，并根据 N个认证服务器的身份标识将所述签名私钥利用拉格朗日插值定理分割为 N个子密钥分发给身份标识对应的认证服务器；

N个认证服务器接收所述 TC分发的子密钥，并验证所述子密钥的有效性，若验证不通过，则对所述 TC进行审计或重新选择 TC。

所述 AP、 MT或认证服务器釆用验证信息验证 AP或 MT的子证书的有效性、或子密钥的有效性，所述验证信息由所述 TC计算生成并发送给所述 AP、 MT或认证服务器。本发明釆用公开的验证信息，可以有效的检测出可信第三方和 ASU的欺骗行为，提高了安全性。

具体地可釆用椭圓曲线密码体制，基点为 G, 点的个数为 N,：！^为！^ 的公开身份标识，可信中心 TC在（1 , N )上随机选择 S作为签名私钥，然后随机选择一个 t-1次多项式： f(x) = S + a_lx + a₂x² + ... + a_t__x ^M mod N；

根据 AS 的公开身份 I 计算 ASU 々子密钥 Sff ( IDJ , 计算验证信息 SG, G(i=l,...,t-l);

ASUi通过等式： Sfi = SG + a <3{ID_t ) + a₂G(ID + ... + a_t_ <3{ID_t广¹验证子密钥的有效性，另外， AS 的公钥为 PfSiGn

下面结合附图对本发明基于 WAPI的证书产生和认证方法进行说明，以 N为 5, 门限值 t为 3为例进行说明，其中 AS 表示第 i个 ASU:

1、子密钥分发步骤 A: ASUi , ASU₂、 ASU₃、 ASU₄、 ASU₅首先向可信中心 TC注册自己的身份标识；

步骤 B: 可信中心 TC产生签名私钥，计算签名私钥对应的公钥，然后根据 ASU^ ASU₂、 ASU₃、 ASU₄、 ASU₅的公开的身份标识利用拉格朗日插值定理将签名私钥分割为 5个子密钥，计算验证信息，将子密钥报文信息发送给身份标识相应的 ASU;

步骤 C ： ASUi , ASU₂、 ASU₃、 ASU₄、 ASU₅收到子密钥报文信息后，通过验证信息验证子密钥的正确性；

各 ASU通过主动访问 TC获取验证信息或由 TC在发送子密钥信息时携带验证信息给各 ASU,各 ASU只需要获取一次验证信息，即可完成多次有效性验证。

步骤 D: 如果子密钥验证不通过，则发送报文信息通知其他 ASU, 协议立即终止，对可信中心 TC进行审计或者重新选择可信中心 TC, 转到步骤 1。

2、证书的产生

2.1 MT证书产生

如图 3所示， MT证书产生的流程包括以下步骤：

步骤 301 ： MT随机选择 3个 ASl^ASU^ ASU₃、 ASU₅)注册自己的公钥信息；

步骤 302: ASUi , ASU₃、 ASU₅利用自己的子密钥产生 MT子证书，并将子证书报文信息发送给 MT , MT通过可信中心 TC上的验证信息验证子证书的有效性， MT所有的子证书验证通过， MT根据利用拉格朗日插值定理将子证书进行合并得到自己的证书；

步骤 303 ： ASUi , ASU₃、 ASU₅将子证书报文信息发送给可信中心 TC, MT通过可信中心 TC上的验证信息验证子证书的有效性，可信中心 TC根据验证信息对 ASU^ ASU₃、 ASU₅发来的子证书进行验证，如果所有的子证书验证通过，根据利用拉格朗日插值定理合并子证书得到 MT证书，然后将该 MT证书放人证书库；

步骤 304 ：存在子证书验证不通过， MT发送拒绝接受报文给可信中心 TC, 可信中心 TC将发生欺骗行为的 ASU加入不良记录表进行审计，同时通知相应的 ASU。

可信中心 TC可以对保存的 MT证书进行管理，包括在 MT丟失或损毁 MT证书时，直接将保存的 MT证书发送给 MT ,以及对 MT证书进行吊销等。

以上是以 MT证书产生为例进行说明的， AP证书的产生流程与此相同。

3、认证过程

如图 4所示，认证过程包括以下流程：

步骤 401 : MT登陆到 AP, AP向 MT发送认证激活，以启动认证过程；步骤 402: MT向 AP发出认证请求，将 MT证书和 MT接入认证请求时间发往 AP;

步骤 403: AP收到 MT的接入认证请求后，随机选择 3个 ASU ( ASUi、 ASU₃、 ASU₅ ) , 并将 MT证书、接入认证请求时间、 AP证书并利用 AP的私钥对 MT证书、接入认证请求时间、 AP证书进行签名构成证书认证请求才艮文，发送给 ASU^ ASU₃、 ASU₅;

步骤 404: ASUi、 ASU₃、 ASU₅用自己的子密钥对 AP证书中的 AP公钥信息以及 MT证书中的 MT公钥信息签名生成子证书， ASU^ ASU₃、 ASU₅ 相互交换子证书后，根据验证信息验证子证书的有效性；

步骤 405: 如果存在子证书验证不通过，可信中心 TC将发生欺骗行为的服务器加入不良行为记录表进行审计，如果有 1个 ASU发生欺骗，则 AP需要再选择一个 ASU (如 ASU₂ )并向 ASU₂发送证书认证请求报文，直到没有 ASU可选择，认证失败，流程结束，或者子证书验证通过的个数大于或者等于 3 (门限值）转步骤 406;

例 1 : ASU需要对 ASU₃及 ASU₅生成的 AP子证书及 MT子证书进行有效性验证，若 ASU₃提供的 AP子证书或 MT子证书未通过验证，则认为 ASU₃ 发生欺骗行为，进而上报 TC。例 2: 如果 AS 验证 ASU₃生成的 AP子证书无效， ASU₃验证 ASU₅生成的 AP子证书无效，则 TC记录 ASU₃和 ASU₅都发生欺骗行为

步骤 406: ASUi , ASU₃、 ASU₅合并子证书，并与认证请求报文中的 MT 证书和 AP证书比较得出验证结果后，向 AP发送认证请求响应报文；

步骤 407: AP收到 ASU^ ASU₃、 ASU₅发来的认证响应报文后，根据 ASUi , ASU₃、 ASU₅对 MT的证书验证结果决定是否允许 MT接入网络；如果所有的证书验证请求报文对 MT的证书验证都通过，则允许 MT接入网络 , AP向 MT发送接入认证响应报文， MT根据 ASU^ ASU₃、 ASU₅对 AP证书的验证结果决定是否接入该 AP, 如果所有的接入认证请求报文对 AP的证书马全证通过，则 MT决定接入该 AP;

步骤 408 如果证书认证通过，则 AP和 MT之间进行密钥协商，用协商的密钥进行通信。

为实现以上方法，本发明还提供了一种基于 WAPI的认证系统，如图 5 所示，该系统包括相互连接的移动终端 MT、接入点 AP、 N个备选的认证服务器及可信中心 TC;

所述 AP, 包括服务器选择模块，用于从 N个备选的认证服务器中随机选择 nl个认证服务器作为参与认证服务器并通知所选择的认证服务器，其中 Kt≤nl≤N, t为预先设定的门限值；

MT和 AP均包括相互连接的服务器选择模块、子证书有效性验证模块及子证书合并模块，其中所述服务器选择模块用于从 N个备选的认证服务器中随机选择 n2个认证服务器作为证书生成服务器并通知所选择的认证服务器，其中， l<t^n2 ^N; 所述子证书有效性验证模块还用于对证书生成服务器发送的 MT或 AP子证书进行有效性验证；所述子证书合并模块，用于在 AP子证书或 MT子证书的有效个数大于或等于门限值时，所述 AP或 MT合并所有有效的 AP子证书或 MT子证书生成 AP证书或 MT证书；

所述认证服务器包括相互连接的子证书生成模块、子证书有效性验证模块、子证书合并模块及合法性验证模块及子密钥获取模块，其中，所述子证书生成模块，当所述认证服务器被选为参与认证服务器或证书生成服务器时，用于利用其子密钥对所述 AP及移动终端 MT的公钥信息签名生成 AP子证书及 MT子证书，并在认证过程中将生成的子证书发送给认证服务器的子证书有效性验证模块，在证书生成过程中将生成的子证书发送给 AP或 MT的子证书有效性验证模块；

所述子证书有效性验证模块，用于与其他参与认证服务器交互生成的 AP 子证书及 MT子证书，并验证各 AP子证书及 MT子证书的有效性；

所述子证书合并模块，在 AP子证书的有效个数及 MT子证书的有效个数均大于或等于门限值时，用于将各有效 AP子证书合并为 AP证书以及将各有效 MT子证书合并为 MT证书；

所述合法性验证模块，用于验证 AP证书及 MT证书的合法性。

所述认证服务器的子证书有效性验证模块还用于在验证某 AP子证书或 MT子证书无效时，向可信中心 TC上^艮生成该 AP子证书或 MT子证书的认证服务器发生欺骗行为；

若认证服务器或 AP或 MT的子证书有效性验证模块判断有效子证书个数小于门限值 t, 还用于通知对应的服务器选择模块再选择 n3个证书认证服务器。

如上所述，所述子证书生成模块生成的 MT或 AP的子证书为

R_lG (l,N), N为椭圓曲线点的个数， H为单项函数， Si为 SIGi的子密钥；所述子证书有效性验证模块通过 AS 的公钥验证等式： SIG₁ G=P₁H(m)

Π ~^IDj +Q是否成立, 如果不成立，则认为所述子证书无效；

1 ID₁ -ID_J 若 AS , ASU₂ , ... , ASU_t产生的 MT或 AP的子证书分别为： (m,Ci,SIGi),

(m,C₂,SIG₂) , ...,( m,C_t,SIG_t) , 则所述子证书合并模块合并所得的证书为 (m,C,SIG),其中： C : ^— ^— ...— ^, SIG ≡ SIGi + SIG₂+... + SIG_t≡(SiH(m)

+ ...+R_t)mod N。

子密钥获取模块，用于向可信中心注册身份标识，以及接收所述 TC分发的子密钥并验证所述子密钥的有效性；

可信中心 TC包括相互连接的认证监督模块及子密钥分发模块，其中，所述认证监督模块，用于接收并记录发生欺骗行为的认证服务器。

子密钥分发模块，用于注册认证服务器的身份标识，以及产生签名私钥并根据各认证服务器的身份标识将所述签名私钥分割为对应的子密钥分发给身份标识对应的认证服务器。

所述 AP、 MT或认证服务器釆用验证信息验证 AP或 MT的子证书的有效性、或子密钥的有效性，所述验证信息由所述 TC计算生成并发送给所述 AP、 MT或认证服务器。

另外本发明还提供了一种认证服务器，所述认证服务器包括相互连接的子证书生成模块、子证书有效性验证模块、子证书合并模块及合法性验证模块，其中：

所述子证书生成模块，当所述认证服务器被选为参与认证服务器时，用于利用其子密钥对所述 AP及移动终端 MT的公钥信息签名生成 AP子证书及所述子证书有效性验证模块，用于与其他参与认证服务器交互生成的 AP 子证书及 MT子证书，并验证各 AP子证书及 MT子证书的有效性；

若所述认证服务器的子证书有效性验证模块判断有效子证书个数小于门限值 t, 还用于通知对应服务器选择模块再选择 n3个证书认证服务器。

所述子证书合并模块，在 AP子证书的有效个数及 MT子证书的有效个数均大于或等于门限值 t时，用于将各有效 AP子证书合并为 AP证书以及将各有效 MT子证书合并为 MT证书；

所述合法性验证模块，用于验证 AP证书及 MT证书的合法性。本发明还提供了一种接入点（AP ) , 应用于认证系统，所述 AP包括服务器选择模块，所述服务器选择模块设置为：从 N个备选的认证服务器中随机选择 nl个认证服务器作为证书认证服务器并通知所选择的认证服务器，其中 t^nl ^N, t为预先设定的门限值。所述 AP还包括与所述服务器选择模块相互连接的子证书有效性验证模块和子证书合并模块：

所述 AP子证书为 (X SIGO, 其中， m为 AP的公钥信息， CfRC

SiH m) Π —^m] +R mod N, G为椭圓曲线的基点，为认证服务器

AS 随机选择的随机整数， £ (1,Ν), Ν为椭圓曲线点的个数， Η为单项函数，为 SIGi的子密钥;

所述子证书有效性验证模块是设置为：通过 AS 的公钥验证等式： SIG₁ G=P₁H(m) ΤΊ —^ID] +Q是否成立，如果不成立，则认为所述 AP子证书无效；

所述子证书合并模块是设置为：若 ASl^ , ASU₂, ASU_t产生的 AP 子证书为：（n^C^SIGO, (m,C₂,SIG₂), ...,( m,C_t,SIG_t), 则合并所得的 AP证书为 (m,C,SIG), 其中： C = d + C₂ +...+ C_t, SIG ≡ SIGi + SIG₂+... + SIG_t _≡ (S_lH(m) Π— +S₂H(m) + -^+SW

Π— ¾ -) +(Ri+R₂ + · · .+Rt)mod N₀ 所述子证书有效性验证模块还设置为：在验证某 AP子证书无效时，向可信中心上报生成该 AP子证书的认证服务器发生欺骗行为；若判断有效子证书个数小于门限值 t, 通知服务器选择模块再选择 n3个认证服务器作为证书认证服务器。

所述 MT子证书为 (X SIGO,其中， m为 MT的公钥信息， C^G, SiH m) Π —^m] +R mod N, G为椭圓曲线的基点，为认证服务器

所述子证书合并模块是设置为：若 ASl^ , ASU₂, ASU_t产生的 MT 子证书为：（n^C^SIGO, (m,C₂,SIG₂), ...,( m,C_t,SIG_t), 则合并所得的 MT证书为 (m,C,SIG), 其中： C = d + C₂ +...+ C_t, SIG ≡ SIGi + SIG₂+... + SIG_t _≡ (S_lH(m) Π— +S₂H(m) + -^+SW

Π— ¾ -) +(Ri+R₂ + · · .+Rt)mod N₀ 所述子证书有效性验证模块还设置为：在验证某 MT子证书无效时，向可信中心上报生成该 MT子证书的认证服务器发生欺骗行为；若判断有效子证书个数小于门限值 t, 通知对应服务器选择模块再选择 n3个认证服务器作为证书认证服务器。

以上所述仅为本发明的较佳实施例而已，并不用于限制本发明，凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等，均应包含在本发明的保护范围内。

工业实用性

本发明认证方法、认证系统及认证服务器引入门限密码学的基本思想，对签名私钥进行了分割，每个 ASU只拥有签名私钥的一部分， ASU的个数必须至少达到门限值时才能完成 MT证书的产生，有效的防止了签名私钥遭到滥用的行为和保证了签名私钥的安全性；任何少于门限值个数的子密钥都不会得到有关签名私钥的任何信息，克服了现有签名私钥由单一 ASU保管存在的安全性问题，分散了 ASU的权利；发明还提供了验证机制，可以有效的检测出在信息交换过程中 ASU或者可信中心 TC的欺骗行为，克服了现有技术的缺点，提高了安全性；在认证阶段， AP可以选择门限值个服务器，证书的鉴别由多个 ASU相互合作完成，多个 ASU鉴别克服了单个 ASU鉴别的缺点，提高了认证机制的安全性和效率。

Claims

权利要求书

1、一种认证方法，其包括：

证书认证服务器选择步骤，接入点（AP )从 N个备选的认证服务器中随机选择 nl个认证服务器作为证书认证服务器并通知所选择的认证服务器，其中 t^nl ^N, t为预先设定的门限值；

第一子证书合并步骤，在 AP子证书的有效个数及 MT子证书的有效个数均大于或等于门限值 t时，各证书认证服务器将有效的 AP子证书合并为 AP证书，以及将有效的 MT子证书合并为 MT证书；

2、如权利要求 1所述的方法，其中，所述 AP和 MT的公钥信息包含在 AP证书和 MT证书中，

所述第一子证书生成步骤之前，该方法还包括 AP证书或 MT证书生成的步骤，所述 AP证书或 MT证书生成的步骤包括：

第二子证书生成步骤，各证书生成服务器利用各自的子密钥对 AP或 MT 第二子证书有效性验证步骤，所述 AP或 MT对收到的各子证书进行有效性验证；以及

第二子证书合并步骤，在 AP子证书或 MT子证书的有效个数大于或等于门限值 t时，

AP证书或 MT证书。

3、如权利要求 1或 2所述的方法，其中，

所述第一子证书生成步骤或第二子证书生成步骤中，生成的 MT子证书 AP的子证书为 (m SIGO, 其中， m为 MT的公钥信息或 AP的公钥信息，

+¾) mod Ν, G为椭圓曲线的基点，为认证服务器 AS 随机选择的随机整数， Κ^ (Ι,Ν), N为椭圓曲线点的个数， Η为单项函数，为 810₁的子密钥；

所述第一子证书有效性验证步骤或第二子证书有效性验证步骤中，认证服务器、 ΜΤ 或 ΑΡ 通过 AS 的公钥验证等式： SIGi G PiH m)

Π +Q是否成立, 如果不成立，则认为所述 AP子证书或 MT子证书无效；

+S₂H(m)

4、如权利要求 1或 2所述的方法，其中，所述第一子证书有效性验证步骤或第二子证书有效性验证步骤中，若验证某 AP子证书或 MT子证书无效，则向可信中心（TC )上报生成该 AP子证书或 MT子证书的证书认证服务器发生欺骗行为；若有效子证书个数小于 t, 则再选择 n3个证书认证服务器执行以上的子证书生成步骤及子证书有效性验证步骤，其中 n3为发生欺骗行为的证书认证服务器的个数，直到有效子证书个数 ^t, 再执行子证书合并步骤。

5、一种认证系统，其包括相互连接的接入点（AP )及 N个备选的认证服务器；

所述子证书生成模块设置为：当所述认证服务器被选为证书认证服务器时，利用所述认证服务器的子密钥对所述 AP及移动终端（MT ) 的公钥信息签名生成 AP子证书及 MT子证书并将生成的子证书发送给所述子证书有效性验证模块；

所述子证书有效性验证模块设置为：与所述认证服务器之外的其他参与认证服务器交互生成的 AP子证书及 MT子证书，并验证各 AP子证书及 MT 子证书的有效性；

所述子证书合并模块设置为：在 AP子证书的有效个数及 MT子证书的有效个数均大于或等于门限值时，将各有效 AP子证书合并为 AP证书以及将各有效 MT子证书合并为 MT证书；

6、如权利要求 5所述的系统，其还包括 MT,

所述 MT包括相互连接的服务器选择模块、子证书有效性验证模块及子证书合并模块：所述服务器选择模块设置为：从 N个备选的认证服务器中随机选择 n2 个认证服务器作为证书生成服务器并通知所选择的认证服务器，其中 l<t^n2 ≤N;

所述 MT的所述子证书有效性验证模块设置为：对所述证书生成服务器发送的 MT子证书进行有效性 3全证；所述 MT的所述子证书合并模块设置为：在 MT子证书的有效个数大于或等于门限值时，合并所有有效的 MT子证书生成 MT证书；

所述认证服务器的子证书生成模块还设置为：当所述认证服务器被选为生成认证服务器时，将生成的 MT子证书发送给所述 MT的子证书有效性验

7、如权利要求 5或 6所述的系统，其中，

所述子证书生成模块生成的 MT子证书或 AP子证书为 (m SIGO,其中， m为 MT或 AP的公钥信息， +¾) mod N,

所述 MT子证书合并模块或 AP的子证书合并模块是设置为：若 ASl^ , ASU₂ , ASU_t产生的 MT 子证书或 AP 子证书分别为：（n^C^SIGO, (m,C₂,SIG₂), ...,( m,C_t,SIG_t), 则合并所得的 MT证书或 AP证书为 (m,C,SIG), 其中： C = d + C₂ +...+ C_t , SIG _≡ SIGi + SIG₂+... + SIG_t ≡(SiH(m) Π _ ¹ +S₂H(m) FT ¹ + ...+S_tH(m) ΓΤ ¹ )+(Ri+R₂

+ ...+R_t)mod N。

8、如权利要求 5或 6所述的系统，其还包括与所述 AP、 MT及认证服务器连接的 TC, 所述认证服务器的子证书有效性验证模块、或 AP 的子证书有效性验证模块或 MT的子证书有效性验证模块还设置为：在验证某 AP子证书或 MT 子证书无效时，向 TC上报生成该 AP子证书或 MT子证书的认证服务器发生欺骗行为；若判断有效子证书个数小于门限值 t, 通知对应服务器选择模块再选择 n3个认证服务器作为证书认证服务器。

9、一种认证服务器，其包括相互连接的子证书生成模块、子证书有效性验证模块、子证书合并模块及合法性验证模块，其中：

所述子证书有效性验证模块设置为：与所述认证服务器之外的其他证书认证服务器交互生成的 AP子证书及 MT子证书，并验证各 AP子证书及 MT 子证书的有效性；

所述子证书合并模块设置为：在 AP子证书的有效个数及 MT子证书的有效个数均大于或等于门限值 t时，将各有效 AP子证书合并为 AP证书，以及将各有效 MT子证书合并为 MT证书；

10、如权利要求 9所述的认证服务器，其中，

所述子证书有效性验证模块还设置为：若判断有效子证书个数小于门限值 t,通知对应服务器选择模块再选择 n3个认证服务器作为证书认证服务器。

11、一种接入点（AP ) , 应用于认证系统，其特征在于, 所述 AP包括服务器选择模块，所述服务器选择模块设置为：从 N个备选的认证服务器中随机选择 nl 个认证服务器作为证书认证服务器并通知所选择的认证服务器，其中 t^nl ^N, t为预先设定的门限值。

12、如权利要求 11所述的 AP, 其中，所述 AP还包括与所述服务器选择模块相互连接的子证书有效性验证模块和子证书合并模块：

13、如权利要求 12所述的 AP, 其中，所述 AP子证书为 (m SIGO, 其中， m为 AP的公钥信息， CfRiG, SIQ =(8^(111) \ —^ID] +¾) mod N,

ID_t— ID

G为椭圓曲线的基点，为认证服务器 ASUjl机选择的随机整数， R_ie (l,N), N为椭圓曲线点的个数， H为单项函数，为 810₁的子密钥；

所述子证书有效性验证模块是设置为：通过 AS 的公钥验证等式：

SIG₁ G=P₁H(m) Π +Q是否成立，如果不成立，则认为所述 AP子证

ID_t— ID

书无效;

(SiH(m) Π — .+S_tH(m)

Π )+(Ri+R₂ + ...+R_t)mod N„

ID_t— ID

14、如权利要求 12所述的 AP, 其中，所述子证书有效性验证模块还设置为：在验证某 AP子证书无效时，向可信中心上报生成该 AP子证书的认证服务器发生欺骗行为；若判断有效子证书个数小于门限值 t, 通知服务器选择模块再选择 n3个认证服务器作为证书认证服务器。

15、一种移动终端（MT ) , 其包括相互连接的服务器选择模块、子证书有效性验证模块及子证书合并模块：

16、如权利要求 15所述的 MT, 其中，

所述 MT子证书为

SiH m) Π —^m] +R mod N, G为椭圓曲线的基点，为认证服务器

17、如权利要求 15所述的 MT, 其中，所述子证书有效性验证模块还设置为：在验证某 MT子证书无效时，向可信中心上报生成该 MT子证书的认证服务器发生欺骗行为；若判断有效子证书个数小于门限值 t, 通知对应服务器选择模块再选择 n3个认证服务器作为证书认证服务器。