专利名称:一种无线局域网移动终端异地接入认证方法
技术领域:
本发明属于WLAN(无线局域网)技术,涉及WLAN中移动终端的异地接入认证机制。
背景技术:
随着Internet应用的迅猛发展,以及便携机、PDA(个人数字助理)等移动智能终端的使用的日益增长,无线局域网也在迅猛发展,并成为新一代高速无线接入网络。目前,无线局域网络广泛应用于医院、学校、金融服务、制造业、服务业、公司应用、公共访问等领域。但是无线局域网由于传输媒介的开放性,使得未授权用户可以轻易地接入无线局域网对数据进行侦听、篡改和伪造,严重阻碍了它的推广与应用。
无线局域网存在的安全问题涉及两个方面移动终端的安全接入与数据保密。移动终端的安全接入可以通过在STA(移动终端)与AP(访问接入设备)之间的相互认证来实现。在无线局域网标准IEEE 802.11中,规定了两种认证机制开放系统认证和共享密钥认证。开放系统认证允许任何终端接入到无线网络中,从这种意义上讲,它并没有保证移动终端接入的安全性。而共享密钥认证需要STA与AP预先设置相同的共享密钥,这显然不适于流动性很大的用户。针对无线局域网中存在的安全问题,我国宽带无线IP工作组于2003年5月发布了WLAN国家标准GB15629.11。在WLAN国标第8章中提出了WLAN安全机制——WAPI(无线局域网鉴别和保密基础结构)。
WAPI主要包括WAI(无线局域网鉴别基础结构)和WPI(无线局域网保密基础结构)两部分内容。其中WAI机制通过椭圆曲线密码证书实现STA和无线网络之间的双向认证,并采用公钥加密的两条消息来实现会话密钥协商。但是由于WAI认证过程中对返回给STA的鉴别结果采用AP归属ASU(认证服务单元)对其进行签名,使得STA在异地漫游时还需事先获取当地ASU的证书,才能完成其对鉴别响应中ASU签名的鉴别,这对于在较大区域内频繁移动的用户并不实际,使得WAPI在实际应用中并不能很好地解决STA的漫游问题。
发明内容
为了解决WAI认证过程中的不足之处,本发明提出了一种无线局域网STA的安全接入认证方法,以一种简单有效的方法解决了STA的漫游问题。
无线局域网移动终端的安全接入认证方法有两种情况本地接入认证和异地接入认证,本发明仅涉及异地接入认证,其步骤如下1)访问接入设备向移动终端发送鉴别激活消息,启动鉴别过程;2)移动终端接入鉴别请求;3)访问接入设备发起证书鉴别请求;4)访问接入设备归属认证服务单元发起异地证书鉴别请求;5)移动终端归属认证服务单元异地鉴别,并将鉴别响应发送到访问接入设备归属认证服务单元;6)访问接入设备鉴别响应;7)移动终端接入鉴别响应。
所述步骤4)具体包括访问接入设备归属认证服务单元收到访问接入设备的证书鉴别请求后,验证访问接入设备的签名和访问接入设备证书的有效性以及验证移动终端证书,认证服务单元根据移动终端证书中的证书持有者名称得知移动终端证书是异地证书时,将移动终端接入鉴别请求、访问接入设备证书鉴别结果信息以及访问接入设备归属认证服务单元对它们的签名构成认证服务单元异地证书鉴别请求通过RADIUS认证系统发送至移动终端归属认证服务单元,其步骤如下1>访问接入设备归属认证服务单元将异地鉴别请求封装在RADIUS的ACCESS-REQUEST报文中,并以移动终端证书中证书持有者名字的相关部分内容作为认证用户标识,通过访问接入设备归属认证服务单元中内嵌的RADIUS服务将该ACCESS-REQUEST报文发送给本地RADIUS认证服务器;2>RADIUS认证服务器根据证书持有者名字与其认证域的对应关系将ACCESS-REQUEST报文经过在多个域的RADIUS认证服务器之间的转发,最终转发到移动终端归属地的RADIUS认证服务器;3>移动终端归属地的RADIUS认证服务器通过ACCESS-REQUEST报文中用户标识信息确定该请求应发往其所在区域的移动终端归属认证服务单元,并将该报文转发给该认证服务单元。
所述步骤5)中所述的异地鉴别具体包括以下处理过程移动终端归属认证服务单元通过其内嵌的RADIUS服务接收到ACCESS-REQUEST报文后,从中解析出异地证书鉴别请求,并从该请求中取出接入鉴别请求,对其中的移动终端的签名和证书的有效性进行验证,并将移动终端证书鉴别结果、访问接入设备证书鉴别结果和移动终端归属认证服务单元对它们的签名构成认证服务单元异地证书鉴别响应通过RADIUS认证系统发回给访问接入设备归属认证服务单元,其步骤如下4>移动终端归属认证服务单元将异地证书鉴别响应封装在ACCESS-ACCEPT或ACCES-REJECT报文中,并将其返回给其所在区域的RADIUS认证服务器;5>RADIUS认证服务器根据其接收ACCESS-REQUEST报文的路径将ACCESS-ACCEPT或ACCES-REJECT报文返回给其上级或下级认证服务器,如上所述,ACCESS-ACCEPT或ACCES-REJECT报文经过现有认证系统中多个域RADIUS认证服务器的转发,最终返回到现有访问接入设备归属地的RADIUS认证服务器;6>访问接入设备归属地的RADIUS认证服务器将ACCESS-ACCEPT或ACCES-REJECT报文返回给访问接入设备归属地认证服务单元。
所述步骤6)具体包括以下处理过程访问接入设备归属认证服务单元通过其内嵌的RADIUS服务接收到ACCESS-ACCEPT或ACCES-REJECT报文后,从中取出认证服务单元异地证书鉴别响应,它可以采用两种方式来处理异地证书鉴别响应。一直接将认证服务单元异地证书响应作为访问接入设备鉴别响应转发给访问接入设备;二使用访问接入设备归属认证服务单元的私钥对异地证书鉴别响应签名,并将认证服务单元异地鉴别响应和该签名构成访问接入设备证书鉴别响应发给访问接入设备。
所述步骤7)中针对步骤6)中访问接入设备鉴别响应的两种可能,访问接入设备也有对应的两种处理方法。一访问接入设备从认证服务单元返回的证书鉴别响应中得到移动终端证书的鉴别结果,根据此结果对移动终端进行接入控制,并将接收到的证书鉴别响应作为接入鉴别响应发送至移动终端;二访问接入设备先对认证服务单元返回的证书鉴别响应中的访问接入设备归属认证服务单元的签名进行签名验证,如果验证通过,则从证书鉴别响应中得到移动终端证书的鉴别结果,根据此结果对移动终端进行接入控制,并从接收到的认证服务单元证书鉴别响应中取出认证服务单元异地证书鉴别响应作为接入鉴别响应发送至移动终端。移动终端接收到接入鉴别响应,验证移动终端归属认证服务单元的签名后,得到访问接入设备证书的鉴别结果,根据该鉴别结果决定是否接入该访问接入设备。
本发明与现有技术相比有如下优点在WAI过程中,分别通过STA和AP各自归属ASU对它们证书进行认证,并在返回给STA的鉴别响应中使用STA归属ASU对鉴别响应进行签名代替原标准中利用AP归属ASU对鉴别响应的签名,使得在实际应用中STA仅需预先安装其归属ASU的证书,而不用每到一地都要预先安装当地ASU的证书,以一种简单有效的方法解决了STA的漫游认证问题。
图1为RADIUS认证系统拓扑图;图2为本发明无线局域网移动终端接入网络结构拓扑图;图3为本发明无线局域网移动终端异地接入认证流程图;图4为本发明异地鉴别请求传送流程图。
具体实施例方式
在基于RADIUS的漫游认证系统中,对用户按其所在组织(域)分级命名,每一个域有一认证服务器(该认证服务器同时具有认证和区域认证代理的功能),最上级域认证服务器称为根认证服务器,图1表示了只有两级域的RADIUS认证系统的架构。以com.cn域为例,过本域用户user@com.cn的认证直接由本域的认证服务器完成,对其他域的漫游用户(如user@edu.cn)的认证,认证服务器根据用户的名字将认证请求经各级认证服务器(com.cn区域认证服务器、cn域根认证服务器)转发到漫游用户所在域(edu.cn)的认证服务器进行认证。由于在证书体制中也根据用户所在的地域和组织采用分级命名机制,所以在本发明中充分利用了当前的RADIUS认证系统来传送异地证书鉴别请求,有效解决了STA的漫游问题。
图2是STA在异地接入无线局域网时的网络拓扑图,异地STA的接入认证过程如附图3所示,其步骤如下1.鉴别激活。当STA关联或重关联到AP时,由AP向STA发送鉴别激活消息以启动鉴别过程。
2.STA接入鉴别请求。STA向AP发出接入鉴别请求,即将STA证书、STA的当前系统时间以及STA对它们的签名发往AP,其中系统时间称为接入鉴别请求时间。
3.AP证书鉴别请求。AP接收到移动终端的接入鉴别请求后,首先记录鉴别请求时间,然后将移动终端接入鉴别请求、AP证书及AP的私钥对它们的签名构成证书鉴别请求发送到AP归属ASU。
4.ASU异地证书鉴别请求。ASU收到AP的证书鉴别请求后,验证AP的签名和AP证书的有效性,若不正确,则鉴别过程失败,否则进一步验证移动终端证书。ASU根据移动终端证书中的证书持有者名称断定移动终端证书不是本地证书,则将移动终端接入鉴别请求、AP证书鉴别结果信息以及AP归属ASU对它们的签名构成ASU异地证书鉴别请求通过RADIUS认证系统发送至STA归属ASU。
本发明中ASU异地证书鉴别请求在RADIUS认证系统中的传送,通过将该请求承载在RADIUS扩展字段EAP-MESSAGE上实现。EAP-MESSAGE是RADIUS为传送EAP协议数据报而扩展的字段。EAP是一可扩展认证协议,可以承载多种认证机制,RADIUS为支持EAP协议增加了EAP-MESSAGE字段。参考图4所示,ASU异地证书鉴别请求通过RADIUS认证系统传送到STA归属ASU要经过以几个步骤a)AP归属ASU将异地鉴别请求封装为EAP-RESPONSE报文,并将该报文放入ACCES-REQUEST报文的EAP-MESSAGE字段中,同时将移动终端证书中的证书持有者名字放入USER-NAME字段,通过AP归属ASU中内嵌的RADIUS服务将ACCESS-REQUEST报文发送给本地RADIUS认证服务器。
b)由于证书持有者名字采用分级命名机制,认证服务器根据证书持有者名字与其认证域的对应关系将ACCESS-REQUES报文传送给其上级或下级域RADIUS认证服务器。如上所述,ACCESS-REQUEST报文经过在现有认证系统中多个域认证服务器之间的转发,最终转发到STA归属地的RADIUS认证服务器。
c)STA归属域的RADIUS认证服务器通过USER-NAME字段中的名字确定该请求应发往其所在区域STA归属ASU,将ACCES-REQUEST报文转发给该ASU。
5.ASU异地鉴别响应。参考图4所示,STA归属ASU通过其内嵌的RADIUS服务接收到ACCESS-REQUEST请求后,从中解析出异地鉴别请求,并从该请求中取出接入鉴别请求,对其中的STA的签名和证书的有效性进行验证,并将STA证书鉴别结果、AP证书鉴别结果(从异地鉴别请求中获取)和STA归属ASU对它们的签名构成ASU异地证书鉴别响应,通过RADIUS认证系统发回给AP归属ASU,其步骤如下a)STA归属ASU将异地证书鉴别响应封装在ACCESS-ACCEPT(或ACCES-REJECT)报文中(鉴别响应被封装为EAP-SUCCESS(EAP-FAIL)报文,承载在EAP-MESSAGE字段中)返回给其所在区域的RADIUS认证服务器。
b)RADIUS认证服务器根据其接收ACCESS-REQUEST报文的路径将ACCESS-ACCEPT(或ACCES-REJECT)报文返回给其上级或下级认证服务器,如上所述,ACCESS-ACCEPT(或ACCES-REJECT)报文经过现有认证系统中多个域RADIUS认证服务器的转发,最终返回到现有AP归属地的RADIUS认证服务器c)AP归属地的认证服务器将ACCESS-ACCEPT(或ACCES-REJECT)报文返回给AP归属地ASU6.AP鉴别响应。AP归属ASU通过其内嵌的RADIUS服务接收到ACCESS-ACCEPT(或ACCES-REJECT)报文后,从中取出ASU异地证书鉴别响应,它可以采用两种方式来处理异地证书鉴别响应。一直接将ASU异地证书响应作为AP鉴别响应转发给AP;二使用AP归属ASU的私钥对异地证书鉴别响应签名,并将ASU异地鉴别响应和该签名构成AP证书鉴别响应发给AP。
7.移动终端接入鉴别响应。针对第5步中AP鉴别响应的两种可能,AP也有对应的两种处理方法。一AP从ASU返回的证书鉴别响应中得到移动终端证书的鉴别结果,根据此结果对STA进行接入控制,并将接收到的证书鉴别响应作为接入鉴别响应发送至STA;二AP先对ASU返回的证书鉴别响应中的AP归属ASU的签名进行签名验证,如果验证通过,则从证书鉴别响应中得到STA证书的鉴别结果,根据此结果对STA进行接入控制,并从接收到的ASU证书鉴别响应中取出ASU异地证书鉴别响应作为接入鉴别响应发送至STA。STA接收到接入鉴别响应,验证STA归属ASU的签名后,得到AP证书的鉴别结果,根据该鉴别结果决定是否接入该AP。
权利要求
1.一种无线局域网移动终端异地接入认证方法,其特征在于,所述方法包括以下处理步骤1)访问接入设备向移动终端发送鉴别激活消息,启动鉴别过程;2)移动终端接入鉴别请求;3)访问接入设备发起证书鉴别请求;4)访问接入设备归属认证服务单元发起异地证书鉴别请求;5)移动终端归属认证服务单元异地鉴别,并将鉴别响应发送到访问接入设备归属认证服务单元;6)访问接入设备鉴别响应;7)移动终端接入鉴别响应。
2.根据权利要求1所述的无线局域网移动终端异地接入认证方法,其特征在于,所述步骤4)具体包括访问接入设备归属认证服务单元收到访问接入设备的证书鉴别请求后,验证访问接入设备的签名和访问接入设备证书的有效性以及验证移动终端证书,认证服务单元根据移动终端证书中的证书持有者名称得知移动终端证书是异地证书时,将移动终端接入鉴别请求、访问接入设备证书鉴别结果信息以及访问接入设备归属认证服务单元对它们的签名构成认证服务单元异地证书鉴别请求,通过RADIUS认证系统发送至移动终端归属认证服务单元。
3. 根据权利要求2所述的无线局域网移动终端异地接入认证方法,其特征在于,所述通过RADIUS认证系统发送至移动终端归属认证服务单元具体包括以下步骤1>访问接入设备归属认证服务单元将异地鉴别请求封装在RADIUS的ACCESS-REQUEST报文中,并以移动终端证书中证书持有者名字的相关部分内容作为认证用户标识,通过访问接入设备归属认证服务单元中内嵌的RADIUS服务将该ACCESS-REQUEST报文发送给本地RADIUS认证服务器;2>RADIUS认证服务器根据证书持有者名字与其认证域的对应关系将ACCESS-REQUEST报文经过在多个域的RADIUS认证服务器之间的转发,最终转发到移动终端归属地的RADIUS认证服务器;3>移动终端归属地的RADIUS认证服务器通过ACCESS-REQUEST报文中用户标识信息确定该请求应发往其所在区域的移动终端归属认证服务单元,并将该报文转发给该认证服务单元。
4.根据权利要求1所述的无线局域网移动终端异地接入认证方法,其特征在于,所述步骤5)中所述的异地鉴别具体包括以下处理过程移动终端归属认证服务单元通过其内嵌的RADIUS服务接收到ACCESS-REQUEST报文后,从中解析出异地证书鉴别请求,并从该请求中取出接入鉴别请求,对其中的移动终端的签名和证书的有效性进行验证,并将移动终端证书鉴别结果、访问接入设备证书鉴别结果和移动终端归属认证服务单元对它们的签名构成认证服务单元异地证书鉴别响应,通过RADIUS认证系统发回给访问接入设备归属认证服务单元。
5.根据权利要求4所述的无线局域网移动终端异地接入认证方法,其特征在于,所述通过RADIUS认证系统发回给访问接入设备归属认证服务单元具体包括以下步骤4>移动终端归属认证服务单元将异地证书鉴别响应封装在ACCESS-ACCEPT或ACCES-REJECT报文中,并将其返回给其所在区域的RADIUS认证服务器;5>RADIUS认证服务器根据其接收ACCESS-REQUEST报文的路径将ACCESS-ACCEPT或ACCES-REJECT报文返回给其上级或下级认证服务器,如上所述,ACCESS-ACCEPT或ACCES-REJECT报文经过现有认证系统中多个域RADIUS认证服务器的转发,最终返回到现有访问接入设备归属地的RADIUS认证服务器;6>访问接入设备归属地的RADIUS认证服务器将ACCESS-ACCEPT或ACCES-REJECT报文返回给访问接入设备归属地认证服务单元。
6.根据权利要求1或5所述的无线局域网移动终端异地接入认证方法,其特征在于,所述步骤6)具体包括以下处理过程访问接入设备归属认证服务单元通过其内嵌的RADIUS服务接收到ACCESS-ACCEPT或ACCES-REJECT报文后,从中取出认证服务单元异地证书鉴别响应,直接将认证服务单元异地证书响应作为访问接入设备鉴别响应转发给访问接入设备。
7.根据权利要求6所述的无线局域网移动终端异地接入认证方法,其特征在于,所述步骤7)具体包括以下处理过程访问接入设备从认证服务单元返回的证书鉴别响应中得到移动终端证书的鉴别结果,根据此结果对移动终端进行接入控制,并将接收到的证书鉴别响应作为接入鉴别响应发送至移动终端,移动终端接收到接入鉴别响应,验证移动终端归属认证服务单元的签名后,得到访问接入设备证书的鉴别结果,根据该鉴别结果决定是否接入该访问接入设备。
8.根据权利要求1或5所述的无线局域网移动终端异地接入认证方法,其特征在于,所述步骤6)具体包括以下处理过程访问接入设备归属认证服务单元通过其内嵌的RADIUS服务接收到ACCESS-ACCEPT或ACCES-REJECT报文后,从中取出认证服务单元异地证书鉴别响应,使用访问接入设备归属认证服务单元的私钥对异地证书鉴别响应签名,并将认证服务单元异地鉴别响应和该签名构成访问接入设备证书鉴别响应发给访问接入设备。
9.根据权利要求8所述的无线局域网移动终端异地接入认证方法,其特征在于,所述步骤7)具体包括以下处理过程访问接入设备先对认证服务单元返回的证书鉴别响应中的访问接入设备归属认证服务单元的签名进行签名验证,如果验证通过,则从证书鉴别响应中得到移动终端证书的鉴别结果,根据此结果对移动终端进行接入控制,并从接收到的认证服务单元证书鉴别响应中取出认证服务单元异地证书鉴别响应作为接入鉴别响应发送至移动终端,移动终端接收到接入鉴别响应,验证移动终端归属认证服务单元的签名后,得到访问接入设备证书的鉴别结果,根据该鉴别结果决定是否接入该访问接入设备。
全文摘要
本发明公开了一种无线局域网移动终端异地接入认证方法,包括以下处理过程访问接入设备鉴别激活移动终端;移动终端接入鉴别请求;访问接入设备发起证书鉴别请求;访问接入设备归属认证服务单元发起异地证书鉴别请求;移动终端归属认证服务单元异地鉴别,并将鉴别响应发送到访问接入设备归属认证服务单元;访问接入设备鉴别响应;移动终端接入鉴别响应。采用本发明在实际应用中STA仅需预先安装其归属ASU的证书,而不用每到一地都要预先安装当地ASU的证书,可以简单有效地解决STA的漫游认证问题。
文档编号H04L9/32GK1564516SQ200410029790
公开日2005年1月12日 申请日期2004年3月26日 优先权日2004年3月26日
发明者田峰 申请人:中兴通讯股份有限公司