[发明专利]基于WAPI的鉴证加速装置及高速鉴别认证方法

说明书

技术领域

本发明涉及鉴证安全相关技术领域，更具体而言，涉及一种基于WAPI的鉴别加速装置及基于WAPI的鉴别认证方式。

背景技术

移动宽带化和宽带移动化的趋势已经愈加明显。同时无线通信领域的技术发展速度加快，技术竞争加剧，未来的移动/无线通信将呈现网络日趋融合、多种接入技术综合应用、新业务不断推出的发展趋势。无线通信技术的发展，无线网络逐渐进入人们的生活，通信运营企业之间的竞争也越来越激烈，主要是通过提高通信运营企业的运作效率，为客户提供方便快捷和丰富多彩的服务，增强通信企业的发展能力和影响力来实现的，并且势必为通信企业的发展带来巨大的经济效益。安全问题一直是困扰在WLAN 灵活便捷的优势之上的阴影，已成为阻碍WLAN 进入信息化应用领域的最大障碍。随着应用的不断增加，网络安全风险也会不断暴露出来。

无线局域网鉴别与保密基础结构WAPI(WLAN Authentication and Privacy Infrastructure)由无线局域网鉴别基础结构WAI(WLAN Authentication Infrastructure)和无线局域网保密基础结构WPI(WLAN Privacy Infrastructure)组成。其中，WAI采用基于椭圆曲线的公钥证书体制ECC（Elliptic Curve CryptogrAEhy），无线客户端STA和接入点AE通过AS鉴别服务器进行双向身份鉴别。而在对传输数据的保密方面，WPI采用了国家商用密码管理委员会办公室提供的对称密码算法进行加密和解密，充分保障了数据传输的安全

    WAPI 技术的应用为企业无线应用的安全增加了一个保障，AS服务器作为WAPI 体系中的核心设备，在性能和安全性的要求上提出了更高的要求。AS 可以通过证书鉴别实现了“合法的用户使用合法的网络”。对于AS 的密钥管理与性能等提出了更大的挑战。对私钥的管理是非对称密码和公钥基础设施PKI 的核心组成部分。PKI 体系的安全性完全假设在于，私钥仅仅由他们的所有者得到。如果，预谋者能得到参加信息交换任何一方的私钥，这就意味着，他很容易解密这方发出的所有报文。此外，他还能够以合法用户的名义签署任何报文，并成功地利用他在信息交换中的角色。也就是说，任何安全性都没有了。

特别是当运营级或大型企业AS 接收大量的认证请求时，保证AS存储密钥的安全和性能要求就更高，因此既要提高运算速度又要兼顾和安全性首先要解决的问题。

发明内容

本发明的第一个发明目的，在于提供一种基于WAPI的鉴证加速装置，以解决现有技术中鉴证服务器保密性不高的技术问题。

为了实现本发明的第一个发明目的，采用的技术方案如下：

一种基于WAPI的鉴证加速装置，所述装置包括依次连接的随机数生成模块、验证签名模块和通讯模块：

随机数生成模块用于生成随机数；

验证签名模块采用随机数生成模块生成的随机数生成的公钥和私钥对，并通过通讯模块与一个或多个WAPI鉴证服务器（AS）通讯，向一个或多个鉴证服务器发送公钥及完成签名验证；

通讯模块，用于与一个或多个 WAPI鉴证服务器进行通讯。

本发明把验证签名的数学计算独立出来，通过一个鉴别加速装置完成验证签名的操作，对验证签名进行统一管理，同时，由于无需与AE直接接触，因此避免了预谋者采用假AE从AS服务器获取消息从而解密AS的信息。再者，实现业务与大量复杂的数学运算分离，提高认证鉴别性能。

作为一种优选方案，所述随机数生成模块采用噪声源随机数发生器芯片产生随机数。

作为一种优选方案，所述装置还包括权限管理模块，包括管理员子模块和操作员子模块：

管理员子模块用于管理公钥和私钥对；

操作员子模块用于使用公钥和私钥对。

鉴别加速机管理模式采用分级权限管理，设置密钥管理员和操作员，分别赋予不同的权限，实行分割管理和权限控制。密钥管理员负责管理密钥，但没有使用权限，操作员有负责使用密钥的权限，但没有管理密钥的权利。这样的管理方式有效的增强了密钥的安全性。

作为一种优选方案，所述装置还包括与验证签名模块连接的密钥备份模块，密钥备份模块通过密文的方式，输出验证签名模块生成的公钥和私钥对到存储设备。

本发明的第二个发明目的在于提供一种基于WAPI的鉴别认证方式，将数学计算与业务处理分离，以应用本发明的第一个发明目的所提供的鉴别加速装置，提高接入认证性能。

为了实现本发明的第二个发明目的，采用的技术方案如下：