CN100389555C

CN100389555C - 一种适合有线和无线网络的接入认证方法

Info

Publication number: CN100389555C
Application number: CNB2005100417148A
Authority: CN
Inventors: 赖晓龙; 曹军; 郭宏; 黄振海; 张变玲
Original assignee: China Iwncomm Co Ltd
Current assignee: China Iwncomm Co Ltd
Priority date: 2005-02-21
Filing date: 2005-02-21
Publication date: 2008-05-21
Anticipated expiration: 2025-02-21
Also published as: US8225092B2; JP2008530919A; KR101260536B1; US20110055561A1; KR20070122460A; WO2006086932A1; CN1668005A; EP1852999A4; EP1852999A1; JP4820826B2; EP1852999B1

Abstract

一种适合有线和无线网络的接入认证方法，包括在接入节点的认证服务器和用户端的认证服务器之间预先建立安全信道以及在用户端和接入节点进行认证的过程，该认证过程包括：1)接入节点发送认证激活消息；2)用户端向用户端认证服务器发送请求消息；3)用户端认证服务器向用户端发送响应消息；4)认证完成。本发明方法解决了现有网络用户无法采用同一身份接入多种网络的技术问题，可用于各种网络环境，满足网络用户以同一身份访问多个网络的要求，满足某些网络环境不需要密钥进行加密的要求，消除了接入节点和本地认证服务器之间的强安全关联的需求，增强了扩展性，提高了性能和安全性。

Description

一种适合有线和无线网络的接入认证方法

技术领域

本发明涉及一种网络技术，尤其涉及一种适合有线和无线网络的接入认证方法。

背景技术

目前网络种类数量很多，它们以各种方式提供资源，供使用者使用。从物理介质上来看，网络接入可以分为有ADSL、HomePNA、Cable Modem、VDSL、以太网等多种接入方式，而以太网因其低廉的价格和高带宽的特点逐渐成为宽带接入网主要接入方式，同时利用现有电话线的ADSL接入成为小区用户、小型/家庭办公室的主要接入方式。无线网络接入有无线局域网IEEE 802.11、宽带无线接入IEEE 802.16、移动宽带无线接入IEEE 802.20、移动通信全球系统GSM和第三代移动通信3G等网络形式。

不论是有线网络接入和无线网络接入都需要采用一种用户和网络之间的认证方法。各种接入方式都提供了各自的认证方法，这些方法有共同点也存在着差异。

现在宽带有线接入中，用户认证方法主要有PPPoE、Web/Portal和802.1x三种认证方法，它们都是单向认证，即只对用户进行认证，而用户无条件信任网络，用户对网络的信任是通过物理线路的连接保证的。但是在PPPoE和802.1X认证方法中，已经开始使用可扩展认证协议EAP(Extensible AuthenticationProtocol)认证方法，支持进行双向认证。

目前在有线接入网络中都没有使用链路加密的方法，其中Web/Portal认证方法不能产生会话密钥，不支持用户和会话密钥的绑定以及链路加密，而PPPoE和802.1X认证方式都支持链路加密，但一般并不使用。

对于无线网络，安全问题远比有线网络严重的多，各种无线技术都采用认证及链路加密提供安全。

IEEE 802.11最初采用的是基于静态共享密钥+有线等价保密WEP(WiredEquivalent Privacy)的安全认证及加密方法，IEEE 802.16采用的是基于公钥证书的单向认证方法。它们都已不适应目前的需要，现在IEEE 802.11采用了新的安全方法：WiFi保护接入WPA(WiFi Protected Access)/IEEE 802.11i和无线局域网鉴别与保密基础结构WAPI(WLAN Authentication and PrivacyInfrastructure)，IEEE 802.16也成立新的工作组IEEE 802.16e对原先IEEE 802.16技术进行发展，其中包括安全方法。

WPA/802.11i采用的是802.1x+EAP的安全技术；WAPI安全系统采用公钥密码技术，WAPI中的鉴别服务器负责证书的颁发、验证与吊销等，移动终端与无线接入点上都安装有鉴别服务器颁发的公钥证书，作为自己的数字身份凭证。当移动终端登录至无线接入点时，双方必须通过鉴别服务器进行相互身份验证。

IEEE 802.16e目前还处于草案讨论阶段，其认证方法对IEEE 802.16中的方法作了改进，支持双向认证，但目前采用的具体方法还在讨论。

GSM是第二代移动通信技术，采用的是基于单钥的单向认证技术。3G是第三代移动通信技术，它的认证技术改进了GSM所采用的认证技术，支持双向认证。

从上面的分析可以看出，不论对于有线网络还是无线网络，认证都是非常必要的。目前的趋势是一个用户使用不同的网络接入方式访问网络资源，但希望采用同一个身份来进行认证。采用同一个身份进行认证将要求认证方法趋于一致，这对目前存在的各种各样的认证方法提出了新的要求。因此，对目前的认证方法进行整合，建立一种适合于有线网络和无线网络的认证方法是非常必要的。

而上面所提到的各种认证方法都不适合采用同一个身份来进行认证的要求。以GSM/3G为代表的基于对称钥的认证方法密钥管理复杂，很难满足一个用户以同一个身份访问多个网络的要求。IEEE 802.16认证方式依赖于公钥基础设施PKI(Public Key Infrastructure)系统，在接入系统中应用PKI技术存在一个难点：由于PKI技术隐含着分布式访问，用户可以访问多个不确定资源，而在接入系统中，用户终端在认证没有通过时，是不允许访问资源的，或者仅允许访问有限的、确定的资源。这使IEEE 802.16认证方法只能实现单向认证。

以IEEE 802.11i为代表的802.1x+EAP的认证方法可以支持单钥和公钥认证方法，该方法是认证服务器直接和用户端之间进行密钥协商，然后由认证服务器将协商的出来的密钥发送给接入节点，用户端和接入节点基于动态的共享密钥进行认证与会话密钥协商。这种认证技术目前应用广泛，比较成熟，但是这也存在一些问题：

1、IEEE 802.1x的结构是不对等结构。用户端和接入节点的功能相差很大。用户端没有端口控制功能，而接入节点没有认证功能，认证是在用户端和认证服务器之间进行的。虽然认证服务器可以和接入节点在一个系统中实现，但这将大大减弱IEEE 802.1x对接入节点集中控制的优势。

2、可扩展性差。在每一个在接入节点和认证服务器之间存在预定义的安全通道。安全通道越多，需要耗费的认证服务器系统资源越多，管理也越复杂，因此不宜配置大量的安全通道，网络扩展性受限；

3、密钥协商过程复杂。密钥用于用户端和接入节点之间的数据保护，却要先在用户端和认证服务器之间协商，再在用户端和接入节点之间协商。

4、引入新的攻击点，安全性有所降低。用户端和认证服务器协商出来的主密钥由认证服务器传递给接入节点，密钥在网络上传递，引入了新的安全攻击点。

5、认证端没有独立的身份。对于用户端，同一认证服务器管理下的认证端的身份是不可区分的，在需要区分认证端的应用环境下要增加额外的功能实体，这带来了复杂性。

从上面的分析可以看出，目前的接入认证方法都不能满足我们的需要。

发明内容

本发明目的是提供一种同时适合于有线网络和无线网络的接入认证方法，解决了现有网络用户无法采用同一身份接入多种网络的技术问题。

本发明方法所基于的网络结构图如图1所示，其中User是用户端，AP是接入节点，F-AS和H-AS分别是接入节点的认证服务器和用户端的认证服务器，用户端User和接入节点AP都有各自所属认证服务器颁发的公钥证书和相应的私钥。图中的虚线表示逻辑上的安全连接，实线表示实际的物理连接。用户端的认证服务器H-AS和接入节点的认证服务器F-AS之间存在安全信道A_<F-AS，H-AS>，他们相互信任。在F-AS和H-AS之间要跨越未知网络，安全威胁的不可控因素增多，因此在它们之间预先建立安全信道来保护消息。由于一个F-AS要管理很多AP，而且它们属于同一管理域，从扩展性上考虑，在F-AS和AP之间不预先建立安全信道，在它们之间传递的消息由认证协议本身来保证安全。

本发明的技术解决方案是：一种适合有线和无线网络的接入认证方法，该方法包括以下步骤：

1)建立安全信道：在接入节点的认证服务器F-AS和用户端的认证服务器H-AS之间预先建立安全信道来保护消息；

2)用户端和接入节点进行认证过程，完成相互的身份认证，具体如下：

2.1)接入节点发送认证激活消息：接入节点向用户端发送认证激活消息，消息中包含认证挑战N_CH；

2.2)用户端向用户端认证服务器发送请求消息，具体如下：

2.2.1)用户端发送接入认证请求消息：用户端收到认证激活消息后向接入节点发送接入认证请求消息，消息中包含用户端收到的认证挑战N_CH、用户端的证书Cert_U和用户端随机数N_U及用户端对前述内容的签名；

2.2.2)接入节点发送鉴别请求消息：接入节点收到接入认证请求信息后，若收到的认证挑战N_CH和自己所发送的认证挑战N_CH相同，并且依据用户端的证书验证签名正确，则向接入节点认证服务器发送鉴别请求消息，消息中包含用户端的证书Cert_U、接入节点的证书Cert_AP和接入节点随机数N_AP、用户端随机数N_U，以及接入节点对前述内容的签名；若收到的认证挑战N_CH和自己所发送的认证挑战N_CH不相同，接入节点停止认证过程；

2.2.3)接入节点认证服务器发送漫游鉴别请求消息：接入节点认证服务器收到鉴别请求消息后，根据接入节点的证书验证接入节点的签名，根据验证结果构造接入节点的初次证书验证结果RES_AP，该初次证书验证结果包括接入节点的证书及接入节点证书的有效状态信息；根据用户端的证书确定用户端认证服务器的位置，构造漫游鉴别请求消息发往用户端认证服务器，消息包含接入节点的初次证书验证结果、用户端随机数N_U和用户端的证书Cert_U；

2.3)用户端认证服务器向用户端发送响应消息：

2.3.1)用户端认证服务器发送漫游鉴别响应消息：用户端认证服务器收到漫游鉴别请求消息后，验证用户端的证书，根据验证结果构造用户端的初次证书验证结果RES_U，该初次证书验证结果包括用户端的证书及用户端证书的有效状态信息；然后生成接入节点的最终证书验证结果，该最终证书验证结果包括用户端的初次证书验证结果RES_U、接入节点的初次证书验证结果RES_AP、用户端随机数N_U以及用户端认证服务器对前述内容的签名Sig_H-AS；用户端认证服务器构造漫游鉴别响应消息发送给接入节点认证服务器，消息中包含用户端的初次证书验证结果、用户端的属性和接入节点的最终证书验证结果；

2.3.2)接入节点认证服务器发送鉴别响应消息：接入节点的认证服务器收到漫游鉴别响应消息后，生成用户端的最终证书验证结果，该最终证书验证结果包括用户端的初次证书验证结果RES_U、接入节点的初次证书验证结果RES_AP、接入节点随机数N_AP以及接入节点认证服务器对前述内容的签名Sig_F-AS；接入节点的认证服务器构造鉴别响应消息发送给接入节点，消息中包含用户端的最终证书验证结果和接入节点的最终证书验证结果；

2.3.3)接入节点发送认证响应消息：接入节点收到鉴别响应消息后，把包含接入节点最终证书验证结果的认证响应消息发送给用户端。然后检查用户端的最终证书验证结果，若用户端的最终证书验证结果为合法，则接入节点继续和用户端进行下一步通信；否则，接入节点停止认证过程；

2.4)认证完成：用户端收到消息后，若接入节点的最终证书验证结果为合法，则认证完成，用户端继续和接入节点进行下一步通信；否则，用户端停止认证过程。

上述用户端和接入节点进行认证的步骤包括确定双方进行密钥协商的方法：

1)接入节点向用户端发送的认证激活消息中包含接入节点支持的密钥协商方法的类型；

2)用户端向接入节点发送的接入认证请求消息中包含用户端选择的密钥协商方法的类型，所选择的类型由用户端签名。

上述用户端和接入节点进行认证的步骤包括确定双方所采用的认证方法类型：

1)接入节点向用户端发送的认证激活消息中包含接入节点支持的认证方法类型；

2)用户端向接入节点发送的接入认证请求消息中包含用户端选择的认证方法类型，所选认证方法类型表示采用本发明的认证方法并由用户端签名；

3)所述鉴别请求消息、漫游鉴别请求消息、漫游鉴别响应消息、鉴别响应消息、认证响应消息中均包含用户端选择的认证方法类型，在鉴别请求消息中的所选认证方法类型由接入节点签名。

上述漫游鉴别请求消息包括接入节点的各项属性ATT_AP；所述漫游鉴别响应消息包括用户端的各项属性ATT_U；所述接入节点的最终证书验证结果包括用户端的初次证书验证结果RES_U、接入节点的初次证书验证结果RES_AP、用户端随机数N_U、接入节点的属性ATT_AP以及用户端认证服务器对前述内容的签名Sig_H-AS；所述用户端的最终证书验证结果包括用户端的初次证书验证结果RES_U、接入节点的初次证书验证结果RES_AP、接入节点随机数N_AP、用户端的属性ATT_U以及接入节点认证服务器对前述内容的签名Sig_F-AS；

上述方法包括用户端和接入节点完成认证过程后进行密钥协商的过程：

1)接入节点发送密钥协商挑战消息：接入节点根据用户端和接入节点的身份生成接入节点安全索引SPI_AP，同时产生随机数N1，把包含安全索引SPI_AP和随机数N1的密钥协商挑战消息传送给用户端；

2)用户端发送密钥协商请求消息：用户端收到密钥协商挑战消息后，根据用户端和接入节点的身份生成用户端安全索引SPI_U，检查SPI_AP和SPI_U是否一致，若一致则产生随机数N_KEY作为共享秘密，使用接入节点的公钥加密N_KEY生成密钥协商信息；然后用户端构造密钥协商请求消息发送给接入节点，消息中包含用户端安全索引SPI_U、密钥协商信息、随机数N1以及用户端对前述信息的签名；

3)接入节点发送密钥协商响应消息：接入节点收到密钥协商请求消息后，验证用户端的签名正确后，使用接入节点的私钥解密得到N_KEY；检查SPI_AP和SPI_U是否一致以及收到的随机数N1和自己在密钥挑战消息中发送的随机数N1是否一致，若都一致则利用密钥生成函数f(N_KEY，N1，SPI_AP，“字符串”)计算各个密钥，包括数据单播密钥UK、HMAC密钥和单/组播密钥加密密钥KK；接入节点生成组播密钥GK，根据系统状态设定组播数据序号SN和组播密钥通告序号Gn，然后接入节点使用单/组播密钥加密密钥KK加密组播密钥GK，将其和接入节点安全索引SPI_AP、组播数据序号SN、组播密钥通告序号Gn以及它们的HMAC值一起作为密钥协商响应消息传送给用户端；

4)用户端发送密钥协商确认消息：用户端收到消息后，检查SPI_AP和SPI_U是否一致，若一致则利用密钥生成函数f(N_KEY，N1，SPI_U，“字符串”)计算各个密钥，包括数据单播密钥UK、HMAC密钥和单/组播密钥加密密钥KK；验证收到消息的HMAC值正确后，使用单/组播密钥加密密钥KK解密得到组播密钥GK；将用户端安全索引SPI_U、组播数据序号SN、组播密钥通告序号Gn和它们的HAMC值作为密钥协商确认消息发送给接入节点；用户端打开受控端口，允许和接入节点通信；

5)密钥协商完成：接入节点收到消息后，检查SPI_AP和SPI_U是否一致，若一致则验证组播数据序号SN、组播密钥通告序号Gn和HMAC值正确后，打开受控端口，允许和用户端通信。

上述方法包括用户端和接入节点进行单播密钥更新过程：

1)用户端发送单播密钥更新请求消息：用户端发起单播密钥更新，它产生新的单播密钥UK，产生随机数作为挑战Nonce，选择一个新鲜的单播密钥更新序列号Un，使用单/组播密钥加密密钥KK加密UK，将其和用户端安全索引SPI_U、加密后的单播密钥UK、单播密钥更新序列号Un、挑战Nonce及它们的HMAC值一起作为单播密钥更新请求消息传递给接入节点；

2)接入节点发送单播密钥更新响应消息：接入节点收到消息后，检查SPI_AP和SPI_U是否一致，若一致则验证单播密钥更新序列号Un是新鲜的和HMAC值正确后，解密得到新的单播密钥UK，然后用新的单播密钥UK加密挑战Nonce；将其和接入节点安全索引SPI_AP、单播密钥更新序列号Un及它们的HMAC值一起作为单播密钥更新响应消息传送给用户端；

3)用户端安装新的单播密钥：用户端收到消息后，检查SPI_AP和SPI_U是否一致，若一致则验证单播密钥更新序列号Un和自己发送的值相同，并且验证HMAC值正确后，解密得到Nonce，比较该Nonce与自己在单播密钥更新请求消息中发送Nonce是否一致，若一致则安装新的单播密钥；若上述比较或验证有任何一项没有通过，则重新进行单播密钥更新过程。

上述单播密钥更新可由接入节点发起。

上述方法包括用户端和接入节点进行组播密钥通告过程：

1)接入节点发送组播密钥通告消息：接入节点产生一个新的组播密钥GK，根据系统状态设定组播数据序号SN和新鲜的组播密钥通告序号Gn，使用单/组播密钥加密密钥KK加密新的组播密钥GK，将其和组播数据序号SN、组播密钥通告序号Gn以及它们的HMAC值一起作为组播密钥通告消息传送给用户端；

2)用户端发送组播密钥确认消息：用户端收到消息后，验证组播密钥通告序号Gn是新鲜的，并且HMAC值是正确的，则使用单/组播密钥加密密钥KK解密得到新的组播密钥GK并安装GK，将组播数据序号SN、组播密钥通告序号Gn和它们的HAMC值作为组播密钥确认消息发送给接入节点；

3)组播密钥通告完成：接入节点收到消息后，验证组播密钥通告序号Gn和组播数据序号SN与自己发送的是否一致，若一致并且验证HMAC值是正确的，通告过程结束。

本发明的优点是：

1、本发明方法可用于各种网络环境，可采用同样认证过程，从而满足网络用户以同一身份访问多个网络的要求；

2、本发明方法采用了模块化设计思想，认证过程和密钥协商过程分离，满足了某些网络环境不需要密钥进行加密的要求，而且两个过程可以独立被改进、被替换，具有很大的灵活性；

3、单播密钥更新过程和密钥协商过程独立，当采用不同密钥协商过程时，不影响单播密钥更新过程；

4、本发明采用了对等的思想，赋予了接入节点独立的身份，使接入节点自身有了可区分性，解除了接入节点和本地认证服务器的本质依赖，从而消除了接入节点和本地认证服务器之间的强安全关联的需求，增强了扩展性；

5、密钥协商在用户端和接入节点之间直接进行，提高了性能和安全性。

附图图面说明

图1是本发明的方法所基于的网络结构图。

图2是本发明的认证过程图。

图3是本发明的密钥协商过程图。

图4是本发明的单播密钥更新过程图。

图5是本发明的组播密钥通告过程图。

具体实施方式

本发明所提供的适合有线和无线网络的接入认证方法具体如下：

用户端的认证服务器H-AS和接入节点的认证服务器F-AS之间存在安全信道A_<F-AS，H-AS>，他们相互信任。在F-AS和H-AS之间要跨越未知网络，安全威胁的不可控因素增多，因此在它们之间预先建立安全信道来保护消息。由于一个F-AS要管理很多接入节点AP，而且它们属于同一管理域，从扩展性上考虑，在F-AS和AP之间不预先建立安全信道，在它们之间传递的消息由认证协议本身来保证安全。

1、用户端和接入节点进行认证过程，完成相互的身份认证并确定双方进行密钥协商所采用的方法，参见图2，具体如下：

1.1)接入节点向用户端发送认证激活消息，消息中包含接入节点支持的认证类型、密钥协商类型和认证挑战N_CH；

1.2)用户端收到认证激活消息后向接入节点发送接入认证请求消息，消息包含用户端选择的认证类型和密钥协商类型以及相应的数据内容及用户端对前述内容的签名。所选认证类型表示采用本发明的认证方法，数据内容包括收到的认证挑战N_CH、用户端的证书Cert_U和用户端随机数N_U；

1.3)接入节点收到接入认证请求信息后，若收到的认证挑战N_CH和自己所发送的认证挑战N_CH相同，并且依据用户端的证书验证签名正确，则向接入节点的认证服务器发送鉴别请求消息，消息包含用户端选择的认证类型，用户端的证书Cert_U、接入节点的证书Cert_AP和接入节点随机数N_AP、用户端随机数N_U，以及接入节点对前述内容的签名；否则，接入节点停止认证过程；

1.4)接入节点的认证服务器收到消息后，根据接入节点的证书验证接入节点的签名，根据验证结果构造接入节点的初次证书验证结果RES_AP{接入节点的证书，接入节点证书的有效状态信息}。根据从证书得到的用户端身份，确定用户端认证服务器的位置，构造漫游鉴别请求消息发往用户端的认证服务器，消息包含认证类型、接入节点的初次证书验证结果、接入节点的各项属性ATT_AP(可根据需要包含相应的信息，比如接入节点用于加密的公钥证书等)、用户端随机数N_U和用户端的证书Cert_U；

1.5)用户端的认证服务器收到消息后，验证用户端的证书，根据验证结果构造用户端的初次证书验证结果RES_U{用户端的证书，用户端证书的有效状态信息}。然后生成接入节点的最终证书验证结果{RES_U，RES_AP，N_U，ATT_AP，Sig_H-AS}。用户端的认证服务器中存储用户端的属性ATT_U，属性内容可根据实际应用情况设置。用户端的认证服务器将包含认证类型、用户端的初次证书验证结果、用户端的属性和接入节点的最终证书验证结果的漫游鉴别响应消息发送给接入节点的认证服务器；

1.6)接入节点的认证服务器收到消息后，生成用户端的最终证书验证结果{RES_U，RES_AP，N_AP，ATT_U，Sig_F-AS}。接入节点的认证服务器将包含认证类型、用户端的最终证书验证结果和接入节点的最终证书验证结果的鉴别响应消息发送给接入节点；

1.7)接入节点收到消息后，把包含认证类型、接入节点最终证书验证结果的认证响应消息发送给用户端。然后检查用户端的最终证书验证结果，若用户端的最终证书验证结果为合法，则接入节点继续和用户端进行下一步通信；否则接入节点停止认证过程。如果认证过程后不进行密钥协商过程，则接入节点开放受控端口；否则，接入节点不开放受控端口；

1.8)用户端收到消息后，若接入节点的最终证书验证结果为合法，则用户端继续和接入节点进行下一步通信；否则，用户端停止认证过程。如果认证过程后不进行密钥协商过程，则用户端开放受控端口；否则，用户端不开放受控端口。

2、用户端和接入节点完成认证过程后，它们进行密钥协商过程，完成密钥的协商，参见图3，具体如下。

2.1)接入节点根据用户端和接入节点的身份生成接入节点安全索引SPI_AP，同时产生随机数N1，把包含接入节点安全索引SPI_AP和随机数N1的密钥协商挑战消息传送给用户端；

2.2)用户端收到消息后，根据用户端和接入节点的身份生成用户端安全索引SPI_U，检查SPI_AP和SPI_U是否一致，若一致则产生随机数N_KEY作为共享秘密，使用接入节点的公钥加密N_KEY生成密钥协商信息。然后用户端对用户端安全索引SPI_U、随机数N1和密钥协商信息签名，用户端把包含用户端安全索引SPI_U、密钥协商信息、随机数N1和签名的密钥协商请求消息传递给接入节点；

2.3)接入节点收到消息后，验证用户端的签名正确后，使用接入节点的私钥解密得到N_KEY。检查SPI_AP和SPI_U是否一致以及收到的随机数N1和自己在密钥挑战消息中发送的随机数N1是否一致，若都一致则利用密钥生成函数f(N_KEY，N1，SPI_AP，“字符串”)计算各个密钥，包括数据单播密钥UK、HMAC密钥和单/组播密钥加密密钥KK。接入节点生成组播密钥GK，根据系统状态设定组播数据序号SN和组播密钥通告序号Gn，然后接入节点使用单/组播密钥加密密钥KK加密组播密钥GK，将其和接入节点安全索引SPI_AP、组播数据序号SN、组播密钥通告序号Gn以及它们的HMAC值一起作为密钥协商响应消息传送给用户端；

2.4)用户端收到消息后，检查SPI_AP和SPI_U是否一致，若一致则利用密钥生成函数f(N_KEY，N1，SPI_U，“字符串”)计算各个密钥，包括数据单播密钥UK、HMAC密钥和单/组播密钥加密密钥KK；验证收到消息的HMAC值正确后，使用单/组播密钥加密密钥KK解密得到组播密钥GK；将用户端安全索引SPI_U、组播数据序号SN、组播密钥通告序号Gn和它们的HAMC值作为密钥协商确认消息发送给接入节点；用户端打开受控端口，允许和接入节点通信；

2.5)接入节点收到消息后，检查SPI_AP和SPI_U是否一致，若一致则验证组播数据序号SN、组播密钥通告序号Gn和HMAC值正确后，打开受控端口，允许和用户端通信。

3、用户端和接入节点进行单播密钥更新过程，单播密钥更新过程可以由用户端或接入节点发起，该过程中计算HMAC值采用的密钥是在密钥协商过程中得到的HMAC密钥，使用的单/组播密钥加密密钥是在密钥协商过程中得到的单/组播密钥加密密钥KK，参见图4，具体如下：

3.1)用户端发起单播密钥更新，它产生新的单播密钥UK，产生随机数作为挑战Nonce，选择一个新鲜的单播密钥更新序列号Un，使用单/组播密钥加密密钥KK加密UK，将其和用户端安全索引SPI_U、加密后的单播密钥UK、单播密钥更新序列号Un、挑战Nonce及它们的HMAC值一起作为单播密钥更新请求消息传递给接入节点；

3.2)接入节点收到消息后，检查SPI_AP和SPI_U是否一致，若一致则验证单播密钥更新序列号Un是新鲜的和HMAC值正确后，解密得到新的单播密钥UK，然后用新的单播密钥UK加密挑战Nonce；将其和接入节点安全索引SPI_AP、单播密钥更新序列号Un及它们的HMAC值一起作为单播密钥更新响应消息传送给用户端；

3.3)用户端安装新的单播密钥：用户端收到消息后，检查SPI_AP和SPI_U是否一致，若一致则验证单播密钥更新序列号Un和自己发送的值相同，并且验证HMAC值正确后，解密得到Nonce，比较该Nonce与自己在单播密钥更新请求消息中发送Nonce是否一致，若一致则安装新的单播密钥；若上述比较或验证有任何一项没有通过，则重新进行单播密钥更新过程。

4、用户端和接入节点进行组播密钥通告过程，该过程中计算HMAC值采用的密钥是在密钥协商过程中得到的HMAC密钥，使用的单/组播密钥加密密钥是在密钥协商过程中得到的单/组播密钥加密密钥KK，参见图5，具体如下：

4.1)接入节点产生一个新的组播密钥GK，根据系统状态设定组播数据序号SN和新鲜的组播密钥通告序号Gn，使用单/组播密钥加密密钥KK加密新的组播密钥GK，将其和组播数据序号SN、组播密钥通告序号Gn以及它们的HMAC值一起作为组播密钥通告消息传送给用户端；

4.2)用户端收到消息后，验证组播密钥通告序号Gn是新鲜的，并且HMAC值是正确的，则使用单/组播密钥加密密钥KK解密得到新的组播密钥GK并安装GK，将组播数据序号SN、组播密钥通告序号Gn和它们的HAMC值作为组播密钥确认消息发送给接入节点；

4.3)入节点收到消息后，验证组播密钥通告序号Gn和组播数据序号SN与自己发送的是否一致，若一致并且验证HMAC值是正确的，通告过程结束。

本发明方法的用户端和接入节点间所进行的认证过程、密钥协商过程、单播密钥更新过程、组播密钥通告过程是相互独立的，其中认证过程是必须完成的过程；其余三个过程是可选完成的，且只能在认证过程之后进行；单播密钥更新过程和组播密钥通告过程必须在密钥协商过程完成后才能进行，这两个过程无顺序要求。

本发明所涉及的技术术语解释如下：

ADSL 非对称数字用户线路

HomePNA 家庭电话线网络联盟

Cable Modem 线缆调制解调器

VDSL 甚高速数字用户环路

PPPoE 以太网上的点对点协议

Web/portal 浏览器/门户

802.1x 基于端口的访问控制协议

AP 接入节点

本发明所涉及的技术符号定义如下：

AUTH_Type 认证方法类型

Key_Type 密钥协商方法类型

N_CH 认证挑战

N_U 用户端用于鉴别接入节点证书的随机数

N_AP 接入节点用于鉴别用户端证书的随机数

Cert_U 用户端的公钥证书

Cert_AP 接入节点的公钥证书

RES_U 用户端证书的鉴别结果

RES_AP 接入节点证书的鉴别结果

ATT_U 用户端的属性

ATT_AP 接入节点的属性

Sig_U 用户端的签名

Sig_AP 接入节点的签名

Sig_F-AS 接入节点认证服务器

Sig_H-AS 用户端认证服务器

ENC_AP() 使用接入节点的公钥加密

ENC(Key；) 使用密钥Key的对称密钥算法加密

SPI 安全索引

N_Key 随机共享秘密

N1 随机数

Nonce 随机数

SN 组播数据序列号

Gn 组播密钥序列号

HMAC 带密钥的杂凑函数

(，，，Sig) Sig指对括号内其他内容的签名

Un 单播密钥序列号

GK 组播密钥

UK 单播密钥

KK 单、组播密钥加密密钥

SPI_U 用户端的安全索引

SPI_AP 接入节点的安全索引

Claims

1.一种适合有线和无线网络的接入认证方法，其特征在于：该方法包括以下步骤

1)建立安全信道：在接入节点的认证服务器和用户端的认证服务器之间预先建立安全信道来保护消息；

2.2)用户端向用户端认证服务器发送请求消息，具体如下：

2.2.3)接入节点认证服务器发送漫游鉴别请求消息：接入节点认证服务器收到鉴别请求消息后，根据接入节点的证书验证接入节点的签名，根据验证结果构造接入节点的初次证书验证结果RES_AP，该初次证书验证结果包括接入节点的证书及接入节点证书的有效状态信息；接入节点认证服务器根据用户端的证书确定用户端认证服务器的位置，构造漫游鉴别请求消息发往用户端认证服务器，消息包含接入节点的初次证书验证结果、用户端随机数N_U和用户端的证书Cert_U；

2.3)用户端认证服务器向用户端发送响应消息：

2.根据权利要求1所述的一种适合有线和无线网络的接入认证方法，其特征在于：所述用户端和接入节点进行认证的步骤包括确定双方进行密钥协商的方法类型：

3.根据权利要求1或2所述的一种适合有线和无线网络的接入认证方法，其特征在于：所述用户端和接入节点进行认证的步骤包括确定双方所采用的认证方法类型：

2)用户端向接入节点发送的接入认证请求消息中包含用户端选择的认证方法类型；

4.根据权利要求3所述的一种适合有线和无线网络的接入认证方法，其特征在于：所述漫游鉴别请求消息包括接入节点的各项属性ATT_AP；所述漫游鉴别响应消息包括用户端的各项属性ATT_U；所述接入节点的最终证书验证结果包括用户端的初次证书验证结果RES_U、接入节点的初次证书验证结果RES_AP、用户端随机数N_U、接入节点的属性ATT_AP以及用户端认证服务器对前述内容的签名Sig_H-AS；所述用户端的最终证书验证结果包括用户端的初次证书验证结果RES_U、接入节点的初次证书验证结果RES_AP、接入节点随机数N_AP、用户端的属性ATT_U以及接入节点认证服务器对前述内容的签名Sig_F-AS。

5.根据权利要求2所述的一种适合有线和无线网络的接入认证方法，其特征在于：所述方法包括用户端和接入节点完成认证过程后进行密钥协商的过程：

6.根据权利要求5所述的一种适合有线和无线网络的接入认证方法，其特征在于：所述方法包括用户端和接入节点进行单播密钥更新过程：

7.根据权利要求6所述的一种适合有线和无线网络的接入认证方法，其特征在于：所述单播密钥更新可由接入节点发起。

8.根据权利要求5或6或7所述的一种适合有线和无线网络的接入认证方法，其特征在于：所述方法包括用户端和接入节点进行组播密钥通告过程：