专利名称:一种基于wapi的证书漫游认证方法
技术领域:
本发明涉及网络安全接入系统领域,尤其是一种基于WAPI的证书漫游认证的方法。
背景技术:
IP网络承载的业务种类日益繁多,已介入到国民经济和社会生活的各个层面,特别是无线IP网络通过无线电波传输数据,更使网络物理的开放性达到新的阶段,由此,安全接入问题成为网络安全运行的关键问题。
2003年5月份我国颁布了无线局域网(WLAN)国家标准GB15629.11和GB15629.1102,这是我国在无线局域网领域首批颁布的标准。2006年,无线局域网国家标准第1号修改单GB 15629.11-2003/XG1-2006及其他相关子项标准GB15629.1101、GB/T 15629.1103和GB15629.1104也颁布实施,初步形成了无线局域网国家标准体系。标准体系采用了WAPI(WLANAuthentication and Privacy Infrastructure)安全机制来保障合法用户接入合法网络,并实现用户和网络间的保密通信。
随着移动计算的业务需求发展,用户漫游上网的需求日益增加。WLAN提供用户无线的方式接入网络,使用户不再受限于一根上网网线,而是可以灵活的移动,满足了用户移动访问网络的需求。当在运营环境下应用WLAN时,网络规模覆盖到全国各个地理区域,用户数量非常大,漫游的情况会频繁发生。而在漫游的情况下,如何解决认证问题是网络正常运行的关键。WAPI提供了基于证书和预共享密钥的安全机制,其中证书机制适合于运营应用的环境;然而,包括WLAN国标在内,现有技术中仅包含AS对证书认证的接口的定义和实现方法,目前仍缺乏如何实现证书漫游认证的具体实现方案。
发明内容
本发明为解决背景技术中应用WAPI安全机制时的证书漫游认证问题,提供一种安全性高、高效、便捷的基于WAPI的证书漫游认证方法。
本发明的技术解决方案为本发明为一种基于WAPI的证书漫游认证方法,其特殊之处在于该方法包括以下步骤1)终端获取外网服务器证书,建立信任关系;1.1)用户漫游到异地网络后,启动终端,启用WAPI安全机制,关联到无线接入点;1.2)无线接入点发送鉴别激活分组,终端根据鉴别激活分组中无线接入点AP信任的服务器身份判断是否信任外网服务器;1.3)如果该外网服务器未在终端的信任服务器列表中,则向证书服务器申请该外网服务器证书,获取到外网服务器证书后,终端利用本地存贮的根服务器证书对外网服务器证书进行验证,如果合法,则加入终端的信任服务器列表中,进至步骤2);如果该证书非法,则丢弃该证书;2)WAPI漫游认证;2.1)外网服务器证书加入到终端的信任服务列表中后,再次关联到无线接入点,并在接入鉴别请求分组中的“ASUE信任的ASU列表”字段中添加外网服务器F-AS的身份;2.2)无线接入点收到接入鉴别请求分组后,发送证书鉴别请求给外网服务器,外网服务器根据客户端证书获得客户端的家网服务器信息,外网服务器判断该家网服务器是否在外网服务器的信任列表中,当外网服务器含有合法的家网服务器证书时,则直接进至步骤2.3);当家网服务器不在信任列表中,外网服务器向证书服务器申请该家网服务器证书,获取到家网服务器证书后,外网服务器利用本地存贮的根服务器证书对家网服务器证书进行验证,如果合法,则加入外网服务器信任的服务器列表中,进至步骤2.3);如果该证书非法,则丢弃该证书;2.3)外网服务器利用合法的家网服务器证书验证终端STA证书的合法性,并查询证书吊销列表服务器,设置终端和无线接入点证书的鉴别结果,并对鉴别结果进行签名,按照国家标准规定的协议格式向无线接入点返回证书鉴别响应分组;2.4)无线接入点和终端验证外网服务器签名,并根据证书鉴别结果进行相应的接入控制。
本发明在符合无线局域网国家标准的基础上,提供了基于WAPI的证书漫游过程中的认证方法,其具有以下优点1、安全性高本发明完全基于无线局域网国家标准,在漫游过程中依然采用完全的双向认证,保障只有合法的用户才能接入合法的网络;同时证书获得后均通过签名验证,保证了通过网络获取证书的安全性。
2、高效性本发明在漫游认证时,只需要在本地即可完成认证过程,且证书鉴别响应中仅需要一个服务器的签名,缩短了鉴别时间,提高了鉴别效率。
3、便捷性用户漫游时,无需到营业厅更换证书,即可实现无缝的网络漫游接入。
图1为WLAN运营应用网络拓扑图。
具体实施例方式
参见图1,WLAN运营的公共网络环境中,一般包括根服务器R-AS、证书服务器CS和吊销列表服务器CLRS,其中根服务器R-AS为网内所有服务器AS颁发证书;证书服务器CS存贮所有服务器AS证书;吊销列表服务器CLRS存储全网所有已吊销的证书。
WLAN运营的本地网内一般包括服务器AS、鉴别服务器AC、RADIUS服务器、无线接入点AP和终端STA,其中服务器AS为本网终端STA和无线接入点AP颁发证书,鉴别服务器AC对用户实现业务访问控制、RADIUS服务器实现用户账户信息存储和计费等功能。
当终端STA从家网到外网漫游时,其漫游认证的具体步骤如下1)终端STA获取外网服务器F-AS证书,建立信任关系;1.1)用户漫游到异地网络后,启动终端STA,启用WAPI安全机制,关联到无线接入点AP2;
1.2)无线接入点AP2发送鉴别激活分组,终端STA根据鉴别激活分组中无线接入点AP2信任的服务器身份判断是否信任外网服务器F-AS;1.3)如果该外网服务器F-AS未在终端STA的信任服务器列表中,则向证书服务器CS申请该外网服务器F-AS证书,获取到外网服务器F-AS证书后,终端STA利用本地存贮的根服务器R-AS证书对外网服务器F-AS证书进行验证,如果合法,则加入终端STA的信任服务器列表中,进至步骤2);如果该证书非法,则丢弃该证书;2)WAPI漫游认证;2.1)外网服务器F-AS证书加入到终端STA的信任服务列表中后,再次关联到无线接入点AP2,并在接入鉴别请求分组中的“ASUE信任的ASU列表”字段中添加外网服务器F-AS的身份;2.2)无线接入点AP2收到接入鉴别请求分组后,发送证书鉴别请求给外网服务F-AS,外网服务器F-AS根据终端STA证书获得终端STA的家网服务器H-AS信息,外网服务器F-AS判断该家网服务器H-AS是否在外网服务器F-AS的信任列表中,当外网服务器F-AS含有合法的家网服务器H-AS证书时,则直接进至步骤2.3);当家网服务器H-AS不在信任列表中,外网服务器F-AS向证书服务器CS申请该家网服务器证书,获取到家网服务器H-AS证书后,外网服务器F-AS利用本地存贮的根服务器R-AS证书对家网服务器H-AS证书进行验证,如果合法,则加入外网服务器F-AS信任的服务器列表中,进至步骤2.3);如果该证书非法,则丢弃该证书;2.3)外网服务器F-AS利用合法的家网服务器H-AS证书验证终端STA证书的合法性,并查询证书吊销列表服务器CRLS,设置终端STA和无线接入点AP2证书的鉴别结果,并对鉴别结果进行签名,按照国标规定的协议格式向无线接入点AP2和终端STA返回证书鉴别响应分组;2.4)无线接入点AP2和终端STA验证外网服务器F-AS签名,并根据证书鉴别结果进行相应的接入控制。
权利要求
1.一种基于WAPI的证书漫游认证方法,其特征在于该方法包括以下步骤1)、终端获取外网服务器证书,建立信任关系;1.1)用户漫游到异地网络后,启动终端,启用WAPI安全机制,关联到无线接入点;1.2)无线接入点发送鉴别激活分组,终端根据鉴别激活分组中无线接入点AP信任的服务器身份判断是否信任外网服务器;1.3)如果该外网服务器未在终端的信任服务器列表中,则向证书服务器申请该外网服务器证书,获取到外网服务器证书后,终端利用本地存贮的根服务器证书对外网服务器证书进行验证,如果合法,则加入终端的信任服务器列表中,进至步骤2);如果该证书非法,则丢弃该证书;2)WAPI漫游认证;2.1)外网服务器证书加入到终端的信任服务列表中后,再次关联到无线接入点,并在接入鉴别请求分组中的“ASUE信任的ASU列表”字段中添加外网服务器F-AS的身份;2.2)无线接入点收到接入鉴别请求分组后,发送证书鉴别请求给外网服务器,外网服务器根据客户端证书获得客户端的家网服务器信息,外网服务器判断该家网服务器是否在外网服务器的信任列表中,当外网服务器含有合法的家网服务器证书时,则直接进至步骤2.3);当家网服务器不在信任列表中,外网服务器向证书服务器申请该家网服务器证书,获取到家网服务器证书后,外网服务器利用本地存贮的根服务器证书对家网服务器证书进行验证,如果合法,则加入外网服务器信任的服务器列表中,进至步骤2.3);如果该证书非法,则丢弃该证书;2.3)外网服务器利用合法的家网服务器证书验证终端STA证书的合法性,并查询证书吊销列表服务器,设置终端和无线接入点证书的鉴别结果,并对鉴别结果进行签名,按照国标规定的协议格式向无线接入点和终端返回证书鉴别响应分组;2.4)无线接入点和终端验证外网服务器签名,并根据证书鉴别结果进行相应的接入控制。
全文摘要
本发明涉及一种基于WAPI的证书漫游认证的方法。该方法包括以下步骤1)终端获取外网服务器证书,建立信任关系;2)WAPI漫游认证。本发明为解决背景技术中应用WAPI安全机制时的证书漫游认证问题,而提供一种安全性高、高效、便捷的基于WAPI的证书漫游认证方法。
文档编号H04W12/08GK101018411SQ200710017450
公开日2007年8月15日 申请日期2007年2月16日 优先权日2007年2月16日
发明者张变玲, 曹军, 赖晓龙, 黄振海, 马奔腾, 蒋远 申请人:西安西电捷通无线网络通信有限公司, 中国移动通信集团设计院有限公司