专利名称:无线局域网移动终端的安全接入方法
技术领域:
本发明涉及一种无线局域网移动终端的安全接入方法,它是无线通信技术与密码技术相结合的产物。
个人通信的目标,就是使人们能够在任何时候和其他任何人进行任意的通信联系,自由地享用网络提供的多种业务。宽带无线IP技术将目前最热门的两大技术——IP技术和无线通信技术有机地融合起来,并顺应宽带化的发展趋势,为移动主机或移动终端提供方便、快捷、高速的Internet接入服务,以适应人们对高速网络和多媒体通信业务不断增长的需求。无线局域网WLAN(WirelessLocal Area Network)不仅支持移动计算,而且具有构架的灵活性、快捷性及可扩展性,以无线局域网为基础、基于Internet的宽带无线接入网络结构示意图如
图1所示。它主要由移动终端MT(Mobile Terminal))、无线接入点AP(AccessPoint)及无线接入服务器WAS(Wireless Access Server)等设备组成,其中移动终端MT可在网中任意移动,无线接入点AP实现包括越区切换在内的小区管理、对移动终端MT的管理及桥接功能,无线接入服务器WAS实现无线接入终端的网间漫游管理。从固定接入到移动无线接入Internet,宽带无线IP技术为世界网络环境带来了全新的观念和巨大的冲击。该系统的应用将更加广泛,在商务网络(主要是公司内部网)、机构用户网络(如公安、金融、政府各部门等)、小区网(如学校、医院、住宅区等)、远程监测或集中监控等、临时网络(如临时会议等)、户外移动用户、布线不易的场合、需要经常变动的场合等都非常有用。
对于无线局域网来说,其安全问题远比有线以太网严重的多,为此无线局域网引入了几个层次的手段来解决安全问题。首先是通过对每个无线接入点AP设置不同的业务组标识符SSID(Service Set ID),并强迫移动终端MT接入时提供相应的业务组标识符SSID,从而可以允许不同群组的用户接入,并对资源访问的权限进行区别限制。但利用业务组标识符SSID是最直观的一种认证方式,是较低级的安全认证,因为任何人只要知道业务组标识符SSID就可以接入网络。其次是地址限制,即通过在无线接入点AP上设置被授权的移动终端MT无线网卡的媒体访问控制MAC(Medium Access Control)地址表来杜绝非授权的访问。但是无线网卡的媒体访问控制MAC地址并不难获得,而且可以伪造,因此这也属于较低级别的授权认证。总之,以上两种方式不能有效地控制移动终端MT的接入,更无法保障通信的保密性。
除上述两种方法外,目前更多采用的一种措施是依据无线局域网WLAN的国际标准(IEEE802.11),在无线局域网WLAN中引入基于RC-4的与有线等价的WEP(Wired Equivalent Privacy)保密机制对数据进行加密传输。WEP算法采用单钥体制,即加解密为同一密钥,其长度为64位或128位。其中40位或104位为固定部分,称为初始化密钥,即在无线接入点AP和移动终端MT设置的密钥,余下的24位为可变部分,称为初始化矢量,该矢量在通信过程中由网卡的驱动软件来改变,也就是说用于加密的密钥可变,这在某种程度上保证了无线通信的保密性。但由于初始化矢量变化的规律性,PC-4算法的易受攻性,因此WEP算法的安全程度并不高,这一点由美国加利福尼亚大学一研究小组最先于2001年3月发现,他们指出采用WEP算法的WLAN仅在5个小时即可被攻破。其中的原因解释如下假设初始化矢量值以每帧递增1的速度改变,每帧长度为1500字节,数据发送速率为11兆位/秒,则初始化矢量重复的周期为 ,即每隔5小时就可得到经过同一密钥加密的两帧密文,由此便可猜测到或计算出初始密钥值。这里必须指出的是密钥的长度并不影响具破译的时间,只是增加了猜测或计算的复杂度。2001年8月两名以色列魏兹曼研究所的专家与一位思科公司的研究人员——三位全球顶尖译码专家进行了WEP安全测试,他们根据窃取网络中的一小部分资料,不到一小时即破解了WLAN使用的密钥,同时AT&T实验室研究团体也以同样的方法成功破解。安全问题已成为阻碍无线IP技术应用普及的主要障碍之一,如何安全地接入Internet便成为宽带无线IP系统研究的重中之重。
本发明的目的在于克服上述现有技术的不足,提供一种无线局域网移动终端的安全接入方法。基于公钥证书机制,它解决了无线局域网WLAN中没有对移动终端MT进行有效的安全接入控制以及无线链路上数据通信的保密局限性问题,不仅实现了移动终端MT的接入控制,而且保障了接入的安仝性、通信的高保密性。移动终端MT即可本地也可异地登录,支持移动终端MT的漫游功能。
本发明设计方案如下一种无线局域网移动终端的安全接入方法,其特征在于当移动终端MT登录至无线接入点AP时,采用证书授权中心CA对移动终端MT与无线接入点AP进行双向身份认证,若认证成功,持有合法证书的移动终端MT接入持有合法证书的无线接入点AP,否则无线接入点AP拒绝移动终端MT接入或移动终端MT拒绝登录至无线接入点AP;其主要步骤包括1].证书的认证所述证书的认证是指采用证书授权中心CA对移动终端MT与无线接入点AP进行双向身份认证,它包括本地接入时证书的认证与异地接入时证书的认证;2].移动终端MT的私钥验证所述移动终端MT的私钥验证包括请求验证移动终端MT的私钥、响应私钥验证及验证私钥签名。
上述本地接入时证书的认证是指证书认证请求、接入认证请求、接入认证响应及证书认证响应;所述异地接入时证书的认证是指证书认证请求、接入认证请求、异地认证请求、异地认证响应、接入认证响应及证书认证响应。
上述本地接入时证书的认证是指1].证书认证请求,其包括移动终端MT向无线接入点AP发出证书认证请求报文,将移动终端MT证书与当前系统时间发往无线接入点AP;2].接入认证请求,其包括无线接入点AP收到移动终端MT证书认证请求后,向本地证书授权中心CA服务器发出接入认证请求,将移动终端MT证书、证书认证请求时间、无线接入点AP证书及用无线接入点AP的私钥对其进行的签名信息构成接入请求认证报文发送给本地证书授权中心CA;3].接入认证响应,其包括本地证书授权中心CA收到无线接入点AP的接入认证请求后,验证无线接入点AP的签名,若不正确,则认证过程失败,否则进一步验证移动终端MT证书;服务器判断移动终端MT证书是否在本地证书吊销列表中,若在,则认证过程失败,否则,认证成功;最后本地证书授权中心CA将移动终端MT证书认证结果信息、无线接入点AP证书认证结果信息构成接入认证响应报文发回给无线接入点AP;4].证书认证响应,其包括无线接入点AP对本地证书授权中心CA返回的接入认证响应报文进行签名验证,得到移动终端MT证书的认证结果;无线接入点AP将移动终端MT的认证结果、无线接入点AP证书认证结果信息组成证书认证响应报文回送至移动终端MT,移动终端MT便得到无线接入点AP证书的认证结果,移动终端MT与无线接入点AP之间的本地证书认证过程完成。
上述异地接入时证书的认证是指1].证书认证请求,其是移动终端MT向无线接入点AP发出证书认证请求报文,将移动终端MT证书与当前系统时间发往无线接入点AP;2].接入认证请求,其是无线接入点AP收到移动终端MT证书认证请求后,向本地证书授权中心CA服务器发出接入认证请求,将移动终端MT证书、证书认证请求时间、无线接入点AP证书及用无线接入点AP的私钥对其进行的签名信息构成接入请求认证报文发送给本地CA;3].异地认证请求,其是本地证书授权中心CA收到无线接入点AP的接入认证请求后,验证无线接入点AP的签名,若不正确,则认证过程失败;否则,进一步验证移动终端MT证书,本地证书授权中心CA向外地证书授权中心CA发出异地认证请求,将无线接入点AP证书、移动终端MT证书、本地证书授权中心CA的证书、证书认证请求时间及对其签名通过Internet发送至外地证书授权中心CA;4].异地认证响应,其是外地证书授权中心CA收到报文后验证本地证书授权中心CA的签名,若不正确,则认证失败,否则,判断移动终端MT证书是否在证书吊销列表中;若在,则认证过程失败,否则,认证成功;最后外地证书授权中心CA将移动终端MT证书认证结果信息、无线接入点AP证书认证结果信息、外地证书授权中心CA的证书及对其签名组成异地认证响应报文,再通过Internet发回给本地证书授权中心CA;5].接入认证响应,其是本地证书授权中心CA收到外地证书授权中心CA返回的异地认证响应报文,验证外地证书授权中心CA的签名,若不正确,则认证失败,否则将移动终端MT证书认证结果信息进行改签名后,连同无线接入点AP证书认证结果信息构成接入响应报文传回至无线接入点AP;6].证书认证响应,其是无线接入点AP对本地证书授权中心CA返回的接入认证响应报文进行签名验证,得到移动终端MT证书的认证结果;无线接入点AP将移动终端MT的认证结果、无线接入点AP证书认证结果信息组成证书认证响应报文回送至移动终端MT,移动终端MT便得到无线接入点AP证书的认证结果,移动终端MT与无线接入点AP之间的异地证书认证过程完成。
上述移动终端MT证书认证结果信息是指移动终端MT证书、认证结果以及证书授权中心CA对其签名;所述的无线接入点AP证书认证结果信息包括无线接入点AP证书、认证结果、证书认证请求时间及证书授权中心CA对其签名。
上述移动终端MT私钥的验证中1].所述的请求验证移动终端MT私钥是无线接入点AP随机产生一数据,将其传递给移动终端MT;2].所述的响应私钥验证是移动终端MT收到无线接入点AP的验证私钥请求报文后,对接收到的随机数据利用私钥进行签名,将签名结果返回给无线接入点AP;3].所述的验证私钥签名是无线接入点AP收到移动终端MT的私钥签名,利用移动终端MT证书的公钥验证该签名信息,若验证成功,则无线接入点AP允许移动终端MT接入,否则拒绝其接入,则具有合法证书及其相应私钥的移动终端MT成功地接入具有合法证书的无线接入点AP,无线接入点AP对移动终端MT的安全接入控制完成。
上述移动终端MT登录至无线接入点AP时采用证书授权中心CA对移动终端MT与无线接入点AP进行双向身份认证,其步骤包括会话密钥协商,所述的会话密钥协商是移动终端MT与无线接入点AP证书认证与私钥验证成功之后,双方协商生成会话密钥,用于通信数据报文的加解密。
上述会话密钥协商包括静态协商与动态协商,所述的静态协商是指用对方的公钥与自己的私钥进行会话密钥协商,所述的动态协商包括激活密钥协商、响应密钥协商及会话密钥生成。
上述会话密钥的动态协商中1].所述的激活密钥协商是移动终端MT或无线接入点AP产生一随机数据,利用无线接入点AP或移动终端MT的公钥加密后,向无线接入点AP或移动终端MT发出请求密钥协商报文;2].所述的响应密钥协商是无线接入点AP或移动终端MT收到移动终端MT或无线接入点AP发来的密钥协商激活报文后,利用自己的私钥进行解密,得到对方产生的随机数据,然后,本地产生一随机数据,利用移动终端MT或无线接入点AP的公钥加密后,向移动终端MT或无线接入点AP回应密钥协商响应报文;3].所述的会话密钥生成是移动终端MT与无线接入点AP均在本地利用自己与对方分别产生的两个随机数据生成会话密钥,进行通信数据报文的加解密。
本发明与现有技术相比具有如下优点本发明基于公钥证书机制,解决了无线局域网WLAN中没有对移动终端MT进行有效安全接入控制以及无线链路上数据通信的保密局限性问题,不仅实现了移动终端MT的接入控制,而且保障了接入的安全性、通信的高保密性。移动终端MT即可本地也可异地登录,支持移动终端MT的漫游功能。
附面说明如下图1为已有技术宽带无线IP系统的结构示意图;图2为本发明基于证书授权中心CA的无线局域网安全认证系统的物理结构示意图;图3为本发明移动终端MT本地接入的认证流程图;图4为本发明移动终端MT异地接入的认证流程图。
下面将结合附图及实施例对本发明作进一步详述
图2所示是基于证书授权中心CA(Certification Authorities)的无线局域网安全认证系统的物理结构示意图。其中证书授权中心CA系统为多层结构。采用X.509公钥证书机制,当移动终端MT登录至无线接入点AP时,必须利用证书授权中心CA进行双向身份认证,也就是说,只有持有合法证书的移动终端MT才能接入持有合法证书的无线接入点AP。若认证成功,则无线接入点AP允许移动终端MT接入,否则无线接入点AP拒绝移动终端MT接入或移动终端MT拒绝登录至无线接入点AP。整个认证过程包括证书认证、私钥验证以及会话密钥协商三步,如图3、图4所示。其中采用X.509格式的证书主要包含证书的序列号、证书颁发者的名称、证书的有效期、证书持有者的名称、证书持有者的公钥信息、证书颁发者采用的签名算法以及证书颁发者对证书的签名等内容。1.证书认证1).本地接入时证书的认证过程移动终端MT持有本地证书授权中心CA颁发的证书,本地接入时证书的认证流程如下a).证书认证请求。移动终端MT向无线接入点AP发出证书认证请求报文,即将移动终端MT证书与当前系统时间发往无线接入点AP;b).接入认证请求。无线接入点AP收到移动终端MT证书认证请求后,向本地证书授权中心CA服务器发出接入认证请求,即将移动终端MT证书、证书认证请求时间、无线接入点AP证书及用无线接入点AP的私钥对它们进行的签名信息构成接入请求认证报文发送给本地证书授权中心CA;c).接入认证响应。本地证书授权中心CA收到无线接入点AP的接入认证请求后,验证无线接入点AP的签名,若不正确,则认证过程失败,否则进一步验证移动终端MT证书。服务器判断移动终端MT证书是否在本地证书吊销列表中,若在,则认证过程失败;否则,认证成功。最后本地证书授权中心CA将移动终端MT证书认证结果信息(包括移动终端MT证书、认证结果、证书授权中心CA对它们的签名)与无线接入点AP证书认证结果信息(包括无线接入点AP证书、认证结果、证书认证请求时间、证书授权中心CA对它们进行的签名)构成接入认证响应报文发回给无线接入点AP;d).证书认证响应。无线接入点AP对本地证书授权中心CA返回的接入认证响应报文进行签名验证,便得到移动终端MT证书的认证结果。无线接入点AP将移动终端MT的认证结果、无线接入点AP证书认证结果信息组成证书认证响应报文回送至移动终端MT,终端便得到无线接入点AP证书的认证结果。至此移动终端与无线接入点AP之间完成了本地证书的认证过程。
2).异地接入时证书的认证过程移动终端MT持有外地证书授权中心CA颁发的证书,异地接入时证书的认证流程如下a).证书认证请求。移动终端MT向无线接入点AP发出证书认证请求报文,即将移动终端MT证书与当前系统时间发往无线接入点AP;b).接入认证请求。无线接入点AP收到移动终端MT证书认证请求后,向本地证书授权中心CA服务器发出接入认证请求,即将移动终端MT证书、证书认证请求时间、无线接入点AP证书及用无线接入点AP的私钥对它们进行的签名信息构成接入请求认证报文发送给本地证书授权中心CA;c).异地认证请求。本地证书授权中心CA收到无线接入点AP的接入认证请求后,验证无线接入点AP的签名,若不正确,则认证过程失败;否则进一步验证移动终端MT证书。本地证书授权中心CA向外地证书授权中心CA发出异地认证请求,即将无线接入点AP证书、移动终端MT证书、本地证书授权中心CA的证书、证书认证请求时间及对它们的签名通过Internet发送至外地证书授权中心CA;d).异地认证响应。外地证书授权中心CA收到报文后验证本地证书授权中心CA的签名,若不正确,则认证失败,否则判断移动终端MT证书是否在证书吊销列表中。若在,则认证过程失败;否则,认证成功。最后外地证书授权中心CA将移动终端MT证书认证结果信息(包括移动终端MT证书、认证结果以及外地证书授权中心CA对它们的签名)、无线接入点AP证书认证结果信息(包括无线接入点AP证书、认证结果、证书认证请求时间及外地证书授权中心CA对它们进行的签名)、外地证书授权中心CA的证书以及对它们的签名组成异地认证响应报文,再通过Internet发回给本地证书授权中心CA;e).接入认证响应。本地证书授权中心CA收到外地证书授权中心CA返回的异地认证响应报文,验证外地证书授权中心CA的签名,若不正确,则认证失败,否则将移动终端MT证书认证结果信息进行改签名后,连同无线接入点AP证书认证结果信息构成接入响应报文传回至无线接入点AP;f).证书认证响应。无线接入点AP对本地证书授权中心CA返回的接入认证响应报文进行签名验证,便得到移动终端MT证书的认证结果。无线接入点AP将移动终端MT的认证结果、无线接入点AP证书认证结果信息组成证书认证响应报文回送至移动终端MT,终端便得到无线接入点AP证书的认证结果。至此移动终端与无线接入点AP之间完成了异地证书的认证过程。2.移动终端MT的私钥验证证书认证成功后,并不能完全证明移动终端MT身份的合法性,还必须验证其是否持有与证书相对应的私钥。过程如下a).请求验证移动终端MT的私钥。无线接入点AP随机产生一数据,长度与内容均随机,将其传递给移动终端MT;b).响应私钥验证。移动终端MT收到无线接入点AP的验证私钥请求报文后,对接收到的随机数据利用私钥进行签名,将签名结果返回给无线接入点AP;c).验证私钥签名。无线接入点AP收到移动终端MT的私钥签名,利用移动终端MT证书的公钥验证该签名信息,若验证成功,则无线接入点AP允许移动终端MT接入,否则拒绝其接入。至此,具有合法证书及其相应私钥的移动终端MT才成功地接入具有合法证书的无线接入点AP,从而完成无线接入点AP对移动终端MT的安全接入控制功能。3.会话密钥协商移动终端MT与无线接入点AP证书认证与私钥验证成功之后,即完成了移动终端MT的成功登录。此时双方在本机利用对方的公钥与自己的私钥生成会话密钥,用于通信数据报文的加解密,从而实现移动终端MT与无线接入点AP之间的无线安全保密通信。然而值得注意的是,在证书有效期内,移动终端MT与无线接入点AP对之间的会话密钥始终不变,为了做到每会话每密钥,则需进行会话密钥的动态协商。动态密钥协商的过程如下a).激活密钥协商。移动终端MT或无线接入点AP产生一随机数据,利用无线接入点AP或移动终端MT的公钥加密后,向无线接入点AP或移动终端MT发出请求密钥协商报文;b).响应密钥协商。无线接入点AP或移动终端MT收到移动终端MT或无线接入点AP发来的密钥协商激活报文后,利用自己的私钥进行解密,得到对方产生的随机数据。然后本地产生一随机数据,利用移动终端MT或无线接入点AP的公钥加密后,向移动终端MT或无线接入点AP回应密钥协商响应报文;c).会话密钥生成。移动终端MT与无线接入点AP均在本地利用自己与对方分别产生的两个随机数据生成会话密钥,用于通信数据报文的加解密。
为了进一步提高通信的保密性,在移动终端MT与无线接入点AP通信一段时间或交换一定数量的报文之后,还可以进行会话密钥的重新协商。另外,证书认证与私钥验证完成了无线接入点AP对移动终端MT的安全接入控制,会话密钥协商则充分保证了移动终端MT与无线接入点AP之间的高通信保密性。
特别指出的是在具体实现过程中,证书认证、私钥验证以及会话钥协商三个过程可顺序进行,亦可交叉进行,还可合并进行。
权利要求
1.一种无线局域网移动终端的安全接入方法,其特征在于当移动终端MT登录至无线接入点AP时,采用证书授权中心CA对移动终端MT与无线接入点AP进行双向身份认证,若认证成功,持有合法证书的移动终端MT接入持有合法证书的无线接入点AP,否则无线接入点AP拒绝移动终端MT接入或移动终端MT拒绝登录至无线接入点AP;其主要步骤包括1].证书的认证所述证书的认证是指采用证书授权中心CA对移动终端MT与无线接入点AP进行双向身份认证,它包括本地接入时证书的认证与异地接入时证书的认证;2].移动终端MT的私钥验证所述移动终端MT的私钥验证包括请求验证移动终端MT的私钥、响应私钥验证及验证私钥签名。
2.根据权利要求1所述的无线局域网移动终端的安全接入方法,其特征在于所述本地接入时证书的认证是指证书认证请求、接入认证请求、接入认证响应及证书认证响应;所述异地接入时证书的认证是指证书认证请求、接入认证请求、异地认证请求、异地认证响应、接入认证响应及证书认证响应。
3.根据权利要求1所述的无线局域网移动终端的安全接入方法,其特征在于所述的本地接入时证书的认证是指1].证书认证请求,其包括移动终端MT向无线接入点AP发出证书认证请求报文,将移动终端MT证书与当前系统时间发往无线接入点AP;2].接入认证请求,其包括无线接入点AP收到移动终端MT证书认证请求后,向本地证书授权中心CA服务器发出接入认证请求,将移动终端MT证书、证书认证请求时间、无线接入点AP证书及用无线接入点AP的私钥对其进行的签名信息构成接入请求认证报文发送给本地证书授权中心CA;3].接入认证响应,其包括本地证书授权中心CA收到无线接入点AP的接入认证请求后,验证无线接入点AP的签名,若不正确,则认证过程失败,否则进一步验证移动终端MT证书;服务器判断移动终端MT证书是否在本地证书吊销列表中,若在,则认证过程失败,否则,认证成功;最后本地证书授权中心CA将移动终端MT证书认证结果信息、无线接入点AP证书认证结果信息构成接入认证响应报文发回给无线接入点AP;4].证书认证响应,其包括无线接入点AP对本地证书授权中心CA返回的接入认证响应报文进行签名验证,得到移动终端MT证书的认证结果;无线接入点AP将移动终端MT的认证结果、无线接入点AP证书认证结果信息组成证书认证响应报文回送至移动终端MT,移动终端MT便得到无线接入点AP证书的认证结果,移动终端MT与无线接入点AP之间的本地证书认证过程完成。
4.根据权利要求1所述的无线局域网移动终端的安全接入方法,其特征在于所述的异地接入时证书的认证是指1].证书认证请求,其是移动终端MT向无线接入点AP发出证书认证请求报文,将移动终端MT证书与当前系统时间发往无线接入点AP;2].接入认证请求,其是无线接入点AP收到移动终端MT证书认证请求后,向本地证书授权中心CA服务器发出接入认证请求,将移动终端MT证书、证书认证请求时间、无线接入点AP证书及用无线接入点AP的私钥对其进行的签名信息构成接入请求认证报文发送给本地CA;3].异地认证请求,其是本地证书授权中心CA收到无线接入点AP的接入认证请求后,验证无线接入点AP的签名,若不正确,则认证过程失败;否则,进一步验证移动终端MT证书,本地证书授权中心CA向外地证书授权中心CA发出异地认证请求,将无线接入点AP证书、移动终端MT证书、本地证书授权中心CA的证书、证书认证请求时间及对其签名通过Internet发送至外地证书授权中心CA;4].异地认证响应,其是外地证书授权中心CA收到报文后验证本地证书授权中心CA的签名,若不正确,则认证失败,否则,判断移动终端MT证书是否在证书吊销列表中;若在,则认证过程失败,否则,认证成功;最后外地证书授权中心CA将移动终端MT证书认证结果信息、无线接入点AP证书认证结果信息、外地证书授权中心CA的证书及对其签名组成异地认证响应报文,再通过Internet发回给本地证书授权中心CA;5].接入认证响应,其是本地证书授权中心CA收到外地证书授权中心CA返回的异地认证响应报文,验证外地证书授权中心CA的签名,若不正确,则认证失败,否则将移动终端MT证书认证结果信息进行改签名后,连同无线接入点AP证书认证结果信息构成接入响应报文传回至无线接入点AP;6].证书认证响应,其是无线接入点AP对本地证书授权中心CA返回的接入认证响应报文进行签名验证,得到移动终端MT证书的认证结果;无线接入点AP将移动终端MT的认证结果、无线接入点AP证书认证结果信息组成证书认证响应报文回送至移动终端MT,移动终端MT便得到无线接入点AP证书的认证结果,移动终端MT与无线接入点AP之间的异地证书认证过程完成。
5.根据权利要求3或4所述的无线局域网移动终端的安全接入方法,其特征在于所述的移动终端MT证书认证结果信息是指移动终端MT证书、认证结果以及证书授权中心CA对其签名;所述的无线接入点AP证书认证结果信息包括无线接入点AP证书、认证结果、证书认证请求时间及证书授权中心CA对其签名。
6.根据权利要求1或2或3或4所述的无线局域网移动终端的安全接入方法,其特征在于所述移动终端MT私钥的验证中1].所述的请求验证移动终端MT私钥是无线接入点AP随机产生一数据,将其传递给移动终端MT;2].所述的响应私钥验证是移动终端MT收到无线接入点AP的验证私钥请求报文后,对接收到的随机数据利用私钥进行签名,将签名结果返回给无线接入点AP;3].所述的验证私钥签名是无线接入点AP收到移动终端MT的私钥签名,利用移动终端MT证书的公钥验证该签名信息,若验证成功,则无线接入点AP允许移动终端MT接入,否则拒绝其接入,则具有合法证书及其相应私钥的移动终端MT成功地接入具有合法证书的无线接入点AP,无线接入点AP对移动终端MT的安全接入控制完成。
7.根据权利要求6所述的无线局域网移动终端的安全接入方法,其特征在于所述的移动终端MT登录至无线接入点AP时采用证书授权中心CA对移动终端MT与无线接入点AP进行双向身份认证,其步骤包括会话密钥协商,所述的会话密钥协商是移动终端MT与无线接入点AP证书认证与私钥验证成功之后,双方协商生成会话密钥,用于通信数据报文的加解密。
8.根据权利要求7所述的无线局域网移动终端的安全接入方法,其特征在于所述的会话密钥协商包括静态协商与动态协商,所述的静态协商是指用对方的公钥与自己的私钥进行会话密钥协商,所述的动态协商包括激活密钥协商、响应密钥协商及会话密钥生成。
9.根据权利要求8所述的无线局域网移动终端的安全接入方法,其特征在于所述会话密钥的动态协商中1].所述的激活密钥协商是移动终端MT或无线接入点AP产生一随机数据,利用无线接入点AP或移动终端MT的公钥加密后,向无线接入点AP或移动终端MT发出请求密钥协商报文;2].所述的响应密钥协商是无线接入点AP或移动终端MT收到移动终端MT或无线接入点AP发来的密钥协商激活报文后,利用自己的私钥进行解密,得到对方产生的随机数据,然后,本地产生一随机数据,利用移动终端MT或无线接入点AP的公钥加密后,向移动终端MT或无线接入点AP回应密钥协商响应报文;3].所述的会话密钥生成是移动终端MT与无线接入点AP均在本地利用自己与对方分别产生的两个随机数据生成会话密钥,进行通信数据报文的加解密。
全文摘要
一种无线局域网移动终端的安全接入方法,当移动终端MT登录至无线接入点AP时,采用证书授权中心CA对移动终端MT与无线接入点AP进行双向身份认证,若认证成功,持有合法证书的移动终端MT接入持有合法证书的无线接入点AP,否则无线接入点AP拒绝移动终端MT接入或移动终端MT拒绝登录至无线接入点AP;其主要步骤包括证书的认证及移动终端MT的私钥验证。本发明解决了无线局域网WLAN中没有对移动终端MT进行有效的安全接入控制以及无线链路上数据通信的保密局限性问题,不仅实现了移动终端MT的接入控制,而且保障了接入的安全性、通信的高保密性。移动终端MT即可本地也可异地登录,支持移动终端MT的漫游功能。
文档编号H04W12/08GK1399490SQ0213936
公开日2003年2月26日 申请日期2002年8月15日 优先权日2002年8月15日
发明者铁满霞, 唐厚俭, 张变玲, 叶续茂 申请人:西安西电捷通无线网络通信有限公司