[发明专利]一种基于公钥证书的身份鉴别方法及其系统

说明书

技术领域

本发明涉及一种基于公钥证书的身份鉴别方法及其系统，特别涉及有线局域网LAN(Local Area Network)中用户接入网络时一种基于三元对等鉴别TePA(Tri-element Peer Authentication)机制的身份鉴别方法及其系统。

背景技术

三元对等鉴别TePA技术是我国首次提出的一种用户与网络间对等鉴别的技术思想和框架方法，该技术定义了一种三元实体鉴别架构，基于对等鉴别的思想，可完成用户与网络之间的双向对等鉴别。

在有线局域网中，目前IEEE通过对IEEE802.3进行安全增强来实现链路层的安全，采用典型的安全接入架构协议IEEE 802.1x，其基本方法是在终端和接入点设备之外增加鉴别服务器，接入点设备利用鉴别服务器对终端的身份进行鉴别，从而实现对终端的安全接入控制。接入点设备直接转发终端和鉴别服务器间的鉴别信息，并不作为独立实体参与身份鉴别过程。这种模式仅能实现网络对终端身份的合法性鉴别，却不能满足终端对接入网络的合法性鉴别需求，无法实现终端与网络间的双向鉴别。终端无法对接入点设备的身份予以确认，即使后期在此类安全架构上通过增加安全补丁等措施来弥补安全漏洞，但也不能彻底解决诸如中间人攻击、终端接入非法的网络等安全问题。这类安全接入技术协议延用至今，已经对产业发展造成严重的障碍。

发明内容

为了解决背景技术中存在的上述技术问题，本发明提供了一种有线局域网LAN中用户接入网络时基于三元对等鉴别TePA机制的身份鉴别方法，可实现用户与网络之间的双向(单向)鉴别、快速更新认证、支持多证书等功能，其中鉴别过程基于公钥证书进行。

本发明的技术解决方案是：本发明提供了一种基于公钥证书的身份鉴别方法，其特殊之处在于：所述基于公钥证书的身份鉴别方法包括以下步骤：

1)鉴别访问控制器AAC向请求者REQ发送鉴别激活分组；

2)请求者REQ收到鉴别激活分组后向鉴别访问控制器AAC接入鉴别请求分组；

3)鉴别访问控制器AAC收到接入鉴别请求分组后向鉴别服务器AS发送证书鉴别请求分组；

4)鉴别服务器AS收到证书鉴别请求分组后向鉴别访问控制器AAC发送证书鉴别响应分组；

5)鉴别访问控制器AAC收到证书鉴别响应分组后向请求者REQ发送接入鉴别响应分组；

6)请求者REQ收到接入鉴别响应分组后向鉴别访问控制器AAC发送接入鉴别确认分组。

上述步骤1)的具体实现方式是：鉴别访问控制器AAC向请求者REQ发送鉴别激活以激活请求者REQ进行证书鉴别过程，该鉴别激活分组的主要内容包括：SNonce、ID_AS-AAC、Cert_AAC、Para_ECDH、TIE_AAC以及SIG_AAC；

其中：

SNonce字段：表示鉴别标识，若为首次身份鉴别，则该字段为由鉴别访问控制器AAC产生的随机数；若为更新的身份鉴别过程，则该字段的值是上一次身份鉴别过程中协商生成的鉴别标识值；

ID_AS-AAC字段：表示鉴别访问控制器AAC所信任的鉴别服务器AS的身份标识ID(identity)，是鉴别访问控制器AAC证书Cert_AAC的颁发者鉴别服务器AS的身份标识ID；

Cert_AAC字段：表示鉴别访问控制器AAC的证书；

Para_ECDH字段：表示椭圆曲线密码体制的Diffie-Hellman交换ECDH参数，是请求者REQ和鉴别访问控制器AAC进行ECDH计算时采用的椭圆曲线密码参数；

TIE_AAC字段：表示鉴别访问控制器AAC所支持的鉴别和密钥管理套件及密码套件，本字段为可选字段；

SIG_AAC字段：表示鉴别访问控制器AAC的签名，是鉴别访问控制器AAC利用自己的私钥对本分组中除本字段之外所有字段进行的签名，本字段为可选字段。

上述步骤2)的具体实现方式是：请求者REQ收到鉴别激活分组后，进行如下处理：

2.1)如果此次鉴别过程为身份鉴别的更新过程，则请求者REQ检查鉴别激活分组中的鉴别标识字段与上一次身份鉴别过程中计算的鉴别标识是否一致，如果不一致，则丢弃该分组，如果一致，则执行2.2)；如果此次鉴别过程不是身份鉴别的更新过程，为首次身份鉴别过程，则直接执行2.2)；