一种实现wapi认证的方法、系统及设备的制作方法

专利名称：：一种实现wapi认证的方法、系统及设备的制作方法
技术领域：
：本发明涉及通信
技术领域：
，尤其涉及一种实现WAPI认证的方法、系统及设备。
背景技术：
：WAPI(WLANAuthenticationandPrivacyInfrastructure,无线局域网鉴别禾口保密基础结构)是实现无线局域网安全的协议。WAPI采用公钥密码体制的椭圆曲线密码算法和对称密码体制的分组密码算法，用于WLAN(WirelessLocalAreaNetwork,无线局域网)设备的数字证书、证书鉴别、密钥协商和传输数据的加解密，从而实现设备的身份鉴别、链路验证、访问控制和用户信息在无线传输状态下的加密保护。WAPI是WAI(WLANAuthenticationInfrastructure,无线局域网鉴别基础结构)和WPI(WLANPrivacyInfrastructure,无线局域网保密基础结构)两个协议统称。其中WAI协议解决无线局域网中的身份识别问题，WPI协议解决无线局域网中信息的保密传输问题。WAI协议中利用ECC(EllipticCurveencryptionalgorithm,椭圆曲线加密体制)的ECDSA(EllipticCurveDSA，椭圆曲线数字签名功能)解决了身份认证问题。WAI协议是WAPI协议中最重要和最基础的部分，只有实现了身份认证才可以进行数据传输。WAI用ECC技术实现了身份的双向认证问题，即无线终端对AP(AccessPoint,接入点)的认证，和AP对无线终端的认证，只有无线终端确认AP为合法接入点和AP确认无线终端为合法无线终端后双方才可以进行通信。现有技术中，上述认证必须经过可信的第三方-ASU(AuthenticationServiceUnit，鉴别服务单元)才可以实现。ASU是基于ECC技术的WAI鉴别基础结构中重要的组成部分，实现对用户证书的有效性鉴别。图1是现有技术中WAPI鉴别流程图，如图1所示，WAPI鉴别流程包括以下步骤步骤101，移动终端登录到AP;步骤102，AP激活身份认证过程；步骤103，AP根据从AS(A卯liationService,应用服务器)获得的鉴别信息对该移动终端进行身份认证；步骤104，移动终端与AP进行密钥协商；步骤105，AP根据对移动终端发送信息的密钥的鉴别结果对移动终端进行接入控制。然而，上述WAPI鉴别流程使用WAPI协议只能支持证书认证，当需要对用户进行授权、计费处理时需要部署一个AAA(AuthenticationAuthorizationAcco皿ting，认证、授权、计费)服务器。在AS服务器上完成WAPI证书认证，在AAA服务器通过RADIUS(RemoteAuthenticationDialInUserService,远程用户拨号认证系统)认证完成用户的授权和计费。现有技术中，WAI协议支持使用UDP(UserDatagramProtocol,用户数据报协议)进行传输封装，通过远程证书鉴别请求和远程证书鉴别响应完成对无线客户端和AP的双向证书认证。由于WAI协议只能支持证书认证，如果需要对用户进行授权和计费处理，则除了需要部署AS服务器外还需要部署一个AAA服务器，增加了部署的复杂性，而且由于AAA服务器也有认证功能，同时为避免AAA服务器不需要的认证过程，会增加设备处理的复杂度。
发明内容本发明提供了实现WAPI认证的方法、系统及设备，通过扩展RADIUS协议，在AAA服务器可以完成WAI的证书鉴别、对用户授权和计费，实现WAI与RADIUS协议的完好结合，降低网络部署和设备处理的复杂度。本发明提供了一种WAPI认证的方法，由认证服务器执行，其中该方法的应用环境包括认证设备和认证服务器，所述方法包括以下步骤接收认证设备发送的WAI认证请求消息，所述认证请求消息中携带WAI分组信息，其中该WAI认证请求消息被封装在RADIUS报文中；根据所述WAI分组信息对所述认证设备进行WAI认证，并将WAI认证结果通过WAI分组响应消息返回所述认证设备，所述WAI分组响应消息被封装在RADIUS报文中。本发明提供了一种WAPI认证的方法，由认证设备执行，其中该方法的应用环境包括认证设备和认证服务器，所述方法包括以下步骤向认证服务器发送WAI认证请求消息，所述认证请求消息中携带WAI分组信息，所述WAI认证请求消息被封装在RADIUS报文中；接收所述认证服务器返回的WAI分组认证响应消息，所述认证响应消息中携带WAI认证结果，所述WAI分组响应消息被封装在RADIUS报文中。本发明提供了一种WAPI认证的系统，包括认证设备，用于向认证服务器发送WAI认证请求消息，所述认证请求消息中携带WAI分组信息，接收所述认证服务器返回的WAI分组认证响应消息，所述认证响应消息中携带WAI认证结果，所述WAI分组响应消息被封装在RADIUS报文中；认证服务器，用于接收认证设备发送的WAI认证请求消息，所述认证请求消息中携带WAI分组信息，其中该WAI认证请求消息被封装在RADIUS报文中，根据所述WAI分组信息对所述认证设备进行WAI认证，将WAI认证结果通过WAI分组响应消息返回所述认证设备，所述WAI分组响应消息被封装在RADIUS报文中。本发明提供了一种认证服务器，包括接收单元，用于接收认证设备发送的WAI认证请求消息，所述认证请求消息中携带WAI分组信息，其中该WAI认证请求消息被封装在RADIUS报文中；认证单元，用于根据所述WAI分组信息对所述认证设备进行WAI认证；发送单元，用于将WAI认证结果通过WAI分组响应消息返回所述认证设备，所述WAI分组响应消息被封装在RADIUS报文中。本发明提供了一种认证设备，包括发送单元，用于向认证服务器发送WAI认证请求消息，所述WAI认证请求消息中携带WAI分组信息，所述WAI认证请求消息被封装在远程用户拨号认证系统RADIUS报文中；接收单元，用于接收所述认证服务器返回的WAI分组认证响应消息，所述认证响应消息中携带WAI认证结果，所述WAI分组响应消息被封装在RADIUS报文中。本发明提供了一种无线局域网的认证方法，包括将基于第一认证协议的认证请求消息封装于第二认证协议的报文中；将封装好的第二认证协议的报文发送给认证服务器进行认证；接收所述认证服务器返回的对所述基于第一认证协议的认证请求消息的响应消息；所述响应消息封装于第二认证协议的报文中。与现有技术相比，本发明具有以下优点本发明中，实现了WAPI认证与RADIUS认证的完好结合，只需要部署一个AAA服务器，通过RADIUS协议认证，设备只需要透传WAI报文，不需要关注WAPI细节；同时可以进行证书认证、对用户授权、计费，系统部署简单，设备处理简单。图具体实施例方式图2是本发明中一种WAPI认证的方法流程图。该WAPI认证的方法，应用于包括接入点和认证服务器的系统中，其中接入点可以视为认证设备的一种(也可视为通常所说的认证客户端)，如图2所示，包括以下步骤步骤201，认证服务器接收接入点发送的WAI认证请求消息，认证请求消息中携带WAI分组信息，其中该WAI认证请求消息被封装在RADIUS报文中。其中，携带WAI分组信息的方式为对RADIUS的Vendor-Specific属性进行扩展，在所述Vendor-Specific属性中携带WAI分组请求或响应信息。具体实现方式是在RADIUS协议中增加一个扩展属性，在该扩展属性中携带WAI分组，当认证服务器接收到接入点发送的携带远程证书鉴别请求的RADIUS认证请求报文，从RADIUS的扩展属性中解析WAI分组，在完成证书鉴别后将鉴别结果组装成WAI远程证书鉴9别响应分组放在RADIUS的扩展属性中发给接入点。对RADIUS协议的Vendor-Specific属性(26)进行扩展，在属性中携带WAI分组，扩展格式如图3所示，包括类型(Type)字段；长度(Length)字段；运营商标识(Vendor-Id)字段；运营商类型(Vendor-type)字段；运营商长度(Vendor-length)字段；携带WAI分组请求或响应的特殊属性(Attribute-Specofic)字段。其中，图3中的WAI分组格式如图4所示，包括版本字段，长度为2个八位位组，表示鉴别基础结构的版本号，当前版本为1;类型字段，长度为1个八位位组，表示协议类型，定义如下1表示WAI协议分组，其他值保留；子类型字段，长度为1个八位位组，当类型字段的值为1时，子类型字段值定义如下6表示证书鉴别请求分组，7表示证书鉴别响应分组；保留字段，长度为2个八位位组，默认值为0;长度字段，长度为2个八位位组，表示WAI协议分组所有字段的八位位组数；分组序号字段，长度为2个八位位组，表示协议分组序号，第一个分组序号为l，后序分组依次按1递增；分片序号字段，长度为1个八位位组，表示分片的顺序编号，每一个分组的第一个分片序号为O，后序分片依次按1递增；标识字段，长度为1个八位位组，比特0表示后续是否有分片，值为0表示没有，值为1表示有，比特1至比特7保留；数据字段，内容根据类型和子类型的值而定，除了包含固定的内容，还可以包含可选的属性，证书鉴别请求或响应分组格式请参照WAPI标准。另外中，可以将属性定义如表l所示，代表在RADIUS协议中哪个阶段携带该属性，表1中的属性编号为子属性编号，即Vendortype:表1:属性名属ACC6SACC6SACC6SACC6SAccouAccouSessio备性s_Reqs_Accs_Rejes-Chalnting-nting-n_Gon注编uesteptctlengeRequeRespotrol号Stns6H3C—WAI2000+000+000如表1所示，在RADIUS协议中的接入请求(Access-Request)消息、挑战访问(Access-Challenge)消息中携带该属性。在RADIUS协议中的WAI扩展属性的具体定义如表2所示表2:10<table>tableseeoriginaldocumentpage11</column></row><table>如表2所示，通过字符串、文本、地址、时间等方式表示WAI扩展属性为远程证书鉴别请求或响应分组。步骤202，认证服务器根据所述WAI分组信息对所述接入点进行WAI认证，并将WAI认证结果通过WAI分组响应消息返回所述接入点，所述WAI分组响应消息被封装在RADIUS报文中。其中，根据所述WAI分组信息对所述接入点进行认证，具体包括根据所述WAI分组信息中的分片标识确定后续是否有分片，对于没有分片的WAI分组，根据所述WAI分组信息对所述接入点进行认证；或对于有分片的分组，根据WAI分组信息中的分片序号恢复WAI分组信息，根据所述WAI分组信息对所述接入点进行认证。将认证结果通过WAI分组响应消息返回所述接入点，具体为通过有分片的WAI分组响应消息返回所述接入点，所述WAI分组响应消息中包括报文头，不包括数据，所述报文头中分片序号为已接收的分片序号；或通过没有分片的WAI分组响应消息返回所述接入点。其中，可以通过分片标识指示接入点，所述WAI分组响应消息是否为有分片的WAI分组响应消息。步骤203，在所述WAI认证结束后，继续接收所述接入点发送的RADIUS认证请求，并将RADIUS认证结果返回所述接入点。其中，本步骤的RADIUS认证请求中可以携带空的WAI分组(即只有报文头，而无数据)，以告知认证服务器即将进行的是WAI认证完成后的后续的RADIUS认证工作，比如说RADIUS认证中剩下的绑定等信息的确认工作。此时认证服务器在进行RADIUS后续认证时会先查看当前用户的WAI认证状态，如果所述WAI认证结果是成功，且后续的RADIUS认证也成功，则返回给所述接入点的RADIUS认证结果是成功(相当于AAA中的Authentication成功)，即认证服务器将发出Acc印t报文，这一报文可以让网络接入设备(比如网络中的接入交换机)完成授权(相当于AAA中的Authorization)工作，接入设备接下来把认证通过的结果通知接入点；后续的计费(相当于AAA中的Accounting)过程由网络接入设备处理，不再赘述；如果WAI认证成功，但RADIUS认证的后续工作不成功，则RADIUS的认证结果是拒绝。如果所述WAI认证结果是拒绝，则返回给所述接入点的RADIUS认证结果是拒绝。以上是WAI认证后的处理，以下实施方式中将不再重复介绍。封装所述WAI认证请求消息的RADIUS报文与封装所述WAI分组响应消息的RADIUS报文不同。封装所述WAI认证请求消息的RADIUS报文是Access-Request报文，封装所述WAI分组响应消息的RADIUS报文是Access-Challenge报文。需要说明的是，上述图2所示的流程只描述了接入点和认证服务器之间的认证过程，这也是本发明的关键点。然而实际当中的完整认证流程还包括无线客户端与AP之间的交换过程，但是本发明的方案对无线客户端与AP之间的交互过程无扩展或改变，即在本发明中无线客户端与AP的交互过程与现有技术相同，因此这里为了突出本发明的重点，不再对这部分内容进行复述。在图2所描述的上述方案中，由接入点AP与认证服务器(如AAA服务器)进行交互完成WAPIOVERRADIUS的WAPI认证过程，显然该AP为FatAP(胖AP)。但是本申请的发明人考虑到，在原有电信架构中，网络接入服务器(NAS，NetAccessServer)和RASIUS服务器都是在电信的安全网络之中，因此，在连接上的安全性是可信赖的。但是如果采用如图2所示的WAPI认证过程，RADIUS协议将延伸到AP，这可能会直接威胁到原有RADIUS服务器的安全以及原有认证体系的安全。有鉴于此，在本发明的另一个实施例中采用"FitAP(瘦AP)+AC(接入控制器)"的电信组网方式，承载WAPI分组的RADIUS报文只在AC和RADIUS服务器间交互，这样，由于AC—般放在局方机房，且RADIUS提供的共享密钥(sharekey)等认证机制，因此能够避免上述安全隐患问题。由此本发明的另一个实施例中的一种WAPI认证的方法包括以下步骤步骤1，认证服务器接收AC发送的WAI认证请求消息，认证请求消息中携带WAI分组信息，其中该WAI认证请求消息被封装在RADIUS报文中。其中，携带WAI分组信息的方式为对RADIUS的Vendor-Specific属性进行扩展，在所述Vendor-Specific属性中携带WAI分组请求或响应信息。步骤2，认证服务器根据所述WAI分组信息对所述AC进行WAI认证，并将WAI认证结果通过WAI分组响应消息返回所述AC，所述WAI分组响应消息被封装在RADIUS报文中。步骤3，在所述WAI认证结束后，继续接收所述AC发送的RADIUS认证请求，并将RADIUS认证结果返回所述AC。同样，这里也重点描述了WAPI认证过程中AC与认证服务器之间的交互，至于无线客户端与FitAP，以及FitAP与AC之间的交互过程均为现有技术，这里不再详述。本发明还提供了一种WAPI认证的方法，应用于包括接入点和认证服务器的系统中，如图5所示，包括以下步骤步骤501，接入点向认证服务器发送WAI认证请求消息，所述认证请求消息中携带WAI分组信息；步骤502，接入点接收所述认证服务器返回的WAI分组认证响应消息，所述认证响应消息中携带WAI认证结果，所述WAI分组响应消息被封装在RADIUS报文中。其中，WAI分组认证响应消息没有分片，向所述认证服务器发送WAI请求消息，所述WAI请求消息中包括报文头，不包括数据；WAI分组认证响应消息有分片，向所述认证服务器发送WAI请求消息，所述WAI请求消息中包括报文头，不包括数据，所述报文头中分片序号为已接收的分片序号。步骤503，在所述WAI认证结束后，接入点继续向认证服务器发送RADIUS认证请求，并接收认证服务器返回的RADIUS认证结果。与图5所示的方法对应，在"FitAP+AC"的组网场景下，本发明的另一个实施例也提供了一种WAPI认证的方法，应用于包括AC和认证服务器的系统中，该方法包括以下步骤步骤1，AC向认证服务器发送WAI认证请求消息，所述认证请求消息中携带WAI分组信息。步骤2，AC接收所述认证服务器返回的WAI分组认证响应消息，所述认证响应消息中携带WAI认证结果，所述WAI分组响应消息被封装在RADIUS报文中；其中，WAI分组认证响应12消息没有分片，向所述认证服务器发送WAI请求消息，所述WAI请求消息中包括报文头，不包括数据；WAI分组认证响应消息有分片，向所述认证服务器发送WAI请求消息，所述WAI请求消息中包括报文头，不包括数据，所述报文头中分片序号为已接收的分片序号。步骤3，在所述WAI认证结束后，AC继续向认证服务器发送RADIUS认证请求，并接收认证服务器返回的RADIUS认证结果。本发明中公开了一种实现WAPI认证的方法，如图6所示，采用没有分片的WAI分组进行认证，并且认证成功；该方法包括以下步骤步骤601，AP向AAA服务器发送Access-Request(接入请求)消息，由于该Access-Request消息中添力口了WAI分组属性，Access-Request消息等同于WAI-Request消息。WAI-Request消息包括分片序号fragment、标识identifer和数据；其中分片序号fragment表示该消息携带的分片序号，标识identifer表示后续是否有分片，当identifer=0表示后续没有分片。步骤602，AAA服务器向AP发送Access-Challenge(挑战访问)消息，由于该Access-Challenge消息中添加了WAI分组属性，Access-Challenge消息等同于WAI-Response消息。WAI-Response消息包括分片序号fragment、标识identifer禾口数据；其中分片序号fragment=0，identifer=0。步骤603，AP向AAA服务器发送Access-Request(接入请求)消息，向AAA服务器请求RADIUS认证。本步骤中，由于该Access-Request消息中添加了WAI分组属性，所以能够通知AAA服务器WAI认证处理已经完成，现在请求RADIUS认证。其中，Access-Request消息中的WAI分组属性信息包括分片序号fragment和标识identifer,且fragment=0，identifer=O，但不包括数据date。步骤604，AAA服务器将接入请求消息中的用户信息与本地的用户数据库信息进行对比分析完成认证，如果信息匹配，即认证成功，则向AP发送Access-Acc印t(接入接受)消息，该消息中携带对应用户的权限信息，如发送数据的内容、格式、时间等限制条件，使对应用户根据该限制条件与AAA服务器进行数据交互。本步骤中，由于AAA服务器在步骤603中接收的Access-Request消息中携带有WAI分组属性，因此AAA服务器在进行RADIUS认证时还会查看用户的WAI认证状态，如果该用户的WAI认证结果是成功，且RADIUS认证也成功，则AAA返回给接入点的RADIUS认证结果是成功，如果该用户的WAI认证结果是拒绝，则即使RADIS认证成功，返回给接入点的RADIUS认证结果仍是拒绝。这里的用户是步骤603中的Access-Request消息中携带的用户标识所对应的用户。其中，步骤601和步骤602是通过RADIUS的Request和Challenge的交互完成WAI的request和response;步骤603和步骤604是完成RADIUS的认证过程。当然，在认证成功后，还可以进行计费功能，例如，AP确认认证成功后，向AAA服务器发送计费请求，AAA服务器根据计费请求中的用户标识、交互内容等参数进行计费，并向AP返回计费响应。AP也会定时向AAA服务器发送计费更新请求，以保持AAA服务器同步计费。与图6所示的方法对应，在"FitAP+AC"的组网场景下，本发明的另一个实施例也提供了一种采用没有分片的WAPI分组进行认证的方法，该方法与图6中的方法相同，只是将接入点AP替换为AC即可，这里不再复述。本发明中公开了一种实现WAPI认证的方法，如图7所示，采用有分片的WAI分组进行认证，并且认证成功；该方法包括以下步骤步骤701，AP向AAA服务器发送Access-Request(接入请求)消息，由于该Access-Request消息中添加了WAI分组属性，Access-Request消息等同于WAI-Request消息。WAI-Request消息包括分片序号fragment、标识identifer和数据；由于identifer=l，表示该WAI分组后续还有分片数据发送。采用分片形式发送是由于某些WAI分组数据的长度大于一个PADIUS报文所能承载的WAI分组数据的长度，无法将整个数据一次发送(WAI协议分组支持的最大长度为65535个八位位组，而PADIUS报文最大只能是4k，其vendor-specific属性的最大长度为253字节)，此时只能将该WAI分组数据拆分成多个分片后分别发送。步骤702，AAA服务器向AP发送Access-Challenge(挑战访问)消息，由于该Access-Challenge消息中添加了WAI分组属性，Access-Challenge消息等同于WAI-Response消息。该WAI-Response为一个空报文，只包含WAI报文头没有数据，报文头中分片序号使用已接收的分片的序号fragment=0。步骤703，AP向AAA服务器发送Access-Request(接入请求)消息，由于该Access-Request消息中添力口了WAI分组属性，Access-Request消息等同于WAI-Request消息。WAI-Request消息包括分片序号fragment=1、标识identifer和数据；由于identifer=l，表示该WAI分组后续还有分片数据发送。步骤704，AAA服务器向AP发送Access-Challenge(挑战访问)消息，由于该Access-Challenge消息中添加了WAI分组属性，Access-Challenge消息等同于WAI-Response消息。该WAI-Response为一个空报文，只包含WAI报文头没有数据，报文头中分片序号使用已接收的分片的序号fragment=1。步骤705，AP向AAA服务器发送Access-Request(接入请求)消息，由于该Access-Request消息中添力口了WAI分组属性，Access-Request消息等同于WAI-Request消息。WAI-Request消息包括分片序号fragment=2、标识identifer和数据；由于identifer=O，表示该WAI分组后续没有分片数据发送，整个认证请求数据发送完成。[O103]步骤706，AAA服务器向AP发送Access-Challenge(挑战访问)消息，由于该Access-Challenge消息中添加了WAI分组属性，Access-Challenge消息等同于WAI-Response消息。该WAI-Response携带认证结果，包括分片序号fragment、标识identifer和数据，其中，fragment=O，标识identifer=1，表示后续还有分片结果。步骤707，AP向AAA服务器发送Access-Request(接入请求)消息，由于该Access-Request消息中添加了WAI分组属性，Access-Request消息等同于WAI-Request消息。该WAI-Request消息为一个空报文，只包含WAI报文头没有数据，报文头中分片序号使用已接收的分片的序号。证书交互在challenge过程中完成，认证回应报文中不携带WAI分组。步骤708，AAA服务器向AP发送Access-Challenge(挑战访问)消息，由于该Access-Challenge消息中添加了WAI分组属性，Access-Challenge消息等同于WAI-Response消息。该WAI-Response携带认证结果，包括分片序号fragment、标识identifer和数据，其中，fragment=l，标识identifer=1，表示后续还有分片结果。步骤709，AP向AAA服务器发送Access-Request(接入请求)消息，由于该Access-Request消息中添加了WAI分组属性，Access-Request消息等同于WAI-Request消息。步骤710，AAA服务器向AP发送Access-Challenge(挑战访问)消息，由于该Access-Challenge消息中添加了WAI分组属性，Access-Challenge消息等同于WAI-Response消息。该WAI-Response携带认证结果，包括分片序号fragment、标识identifer和数据，其中，fragment=2，标识identifer=1，表示后续还有分片结果。步骤711，AP向AAA服务器发送Access-Request(接入请求)消息，由于该Access-Request消息中添加了WAI分组属性，Access-Request消息等同于WAI-Request消息。步骤712，AAA服务器将接入请求消息中的用户信息与本地的用户数据库信息进行对比分析完成认证，如果信息匹配，即认证成功，则向AP发送Access-Acc印t(接入接受)消息，该消息中携带对应用户的权限信息。证书交互在challenge过程中完成，认证回应报文中不携带WAI分组。其中，步骤701和步骤710是通过RADIUS的Request和Challenge的交互完成分片WAI的request和response;步骤711和步骤712是完成RADIUS的认证过程。与图7所示的方法对应，在"FitAP+AC"的组网场景下，本发明的另一个实施例也提供了一种采用没有分片的WAPI分组进行认证的方法，该方法与图7中的方法相同，只是将接入点AP替换为AC即可，这里不再复述。本发明中公开了一种实现WAPI认证的方法，如图8所示，采用没有分片的WAI分组进行认证，并且认证失败；该方法包括以下步骤其中，步骤801到步骤803与图6中的步骤601到步骤603相同；步骤804，AAA服务器向AP发送Access-Reject(接入拒绝)消息，表示认证失败。本发明中公开了一种实现WAPI认证的方法，如图9所示，采用有分片的WAI分组进行认证，并且认证失败；该方法包括以下步骤步骤901到步骤911与图7中的步骤701到步骤711相同；步骤912，AAA服务器向AP发送Access-Reject(接入拒绝)消息，表示认证失败。同样，在"FitAP+AC"的组网场景下，AC与AAA进行WAPI认证的过程与图8和图9中的流程相同，只需将AP替换为AC即可。本发明提供了一种WAPI认证的系统，如图IO所示，包括接入点(AP)1010，用于向认证服务器1020发送WAI认证请求消息，认证请求消息中携带WAI分组信息，接收认证服务器1020返回的WAI分组认证响应消息，认证响应消息中携带WAI认证结果，WAI分组响应消息被封装在RADIUS报文中，并且在WAI认证结束后，继续向认证服务器发送RADIUS认证请求；认证服务器1020，用于接收接入点1010发送的WAI认证请求消息，认证请求消息中携带WAI分组信息，其中该WAI认证请求消息被封装在RADIUS报文中，根据WAI分组信息对接入点1010进行WAI认证，并将WAI认证结果通过WAI分组响应消息返回接入点1010，WAI分组响应消息被封装在RADIUS报文中；并且在WAI认证结束后，继续接收接入点101015发送的RADIUS认证请求，将RADIUS认证结果返回接入点1010。在图10中，所述接入点1010继续向所述认证服务器1020发送的RADIUS认证请求中携带有WAI分组；相应地，认证服务器1020返回RADIUS认证结果之前进一步查看认证设备的WAI认证结果，并根据认证设备的WAI认证结果向接入点1010返回RADIUS认证结果。本发明还提供了另一种WAPI认证的系统，如图ll所示，包括接入控制器(AC)lllO，用于向认证服务器1120发送WAI认证请求消息，认证请求消息中携带WAI分组信息，接收认证服务器1120返回的WAI分组认证响应消息，认证响应消息中携带WAI认证结果，WAI分组响应消息被封装在RADIUS报文中，并且在WAI认证结束后，继续向认证服务器发送RADIUS认证请求；认证服务器1120，用于接收接入控制器1110发送的WAI认证请求消息，认证请求消息中携带WAI分组信息，其中该WAI认证请求消息被封装在RADIUS报文中，根据WAI分组信息对接入控制器1110进行WAI认证，并将WAI认证结果通过WAI分组响应消息返回接入控制器1110，WAI分组响应消息被封装在RADIUS报文中；并且在WAI认证结束后，继续接收接入控制器1110发送的RADIUS认证请求，将RADIUS认证结果返回接入控制器1110。在图11中，所述接入控制器1110继续向所述认证服务器1120发送的RADIUS认证请求中携带有WAI分组；相应地，认证服务器l120返回RADIUS认证结果之前进一步查看认证设备的WAI认证结果，并根据认证设备的WAI认证结果向接入控制器1110返回RADIUS认证结果。本发明提供了一种认证服务器，如图12所示，包括接收单元1210，用于接收接入点(或接入控制器)发送的WAI认证请求消息，并通知认证单元1220，该认证请求消息中携带WAI分组信息，其中该WAI认证请求消息被封装在RADIUS报文中，并且在WAI认证结束后，继续接收接入点(或接入控制器)发送的携带WAI分组的RADIUS认证请求，并通知认证单元1220;认证单元1220，用于根据WAI分组信息对接入点进行WAI认证，将WAI认证结果通知发送单元1230，并根据RADIUS认证请求对接入点(或接入控制器)进行RADIUS认证，其中会查看接入点(或接入控制器)的WAI认证结果，将RADIUS认证结果通知发送单元1230;发送单元1230，用于将WAI认证结果通过WAI分组响应消息返回接入点(或接入控制器)，WAI分组响应消息被封装在RADIUS报文中，将RADIUS认证结果返回接入点(或接入控制器)，其中RADIUS认证结果会参考WAI认证结果，这在前面已描述过。其中，接收单元1210接收的所述认证设备发送的RADIUS认证请求中的所述WAI分组无数据；发送单元1230，用于综合认证设备的WAI认证结果和RADIUS认证结果向认证设备返回RADIUS认证结果，其中所述返回的RADIUS认证结果是通过接入接受Access-Acc印t报文发送的，且该Access-Acc印t报文中未携带WAI分组。其中，发送单元1230具体用于对RADIUS的Vendor-Specific属性进行扩展，在Vendor-Specific属性中携带WAI分组响应信息。认证单元1220具体包括判断子单元，用于根据WAI分组信息中的分片标识确定后续是否有分片；认证子单元，用于对于没有分片的WAI分组，根据WAI分组信息对接入点(或接入控制器)进行WAI认证；对于有分片的分组，根据WAI分组信息中的分片序号恢复WAI分组信息，根据WAI分组信息对接入点(或接入控制器)进行WAI认证。发送单元1230具体用于通过有分片的WAI分组响应消息返回接入点(或接入控制器)，WAI分组响应消息中包括报文头，不包括数据，报文头中分片序号为已接收的分片序号；或用于通过没有分片的WAI分组响应消息返回接入点(或接入控制器)。接收单元1210接收的认证设备发送的WAI认证请求消息被封装在Access-Request报文中；发送单元1230将WAI认证结果通过WAI分组响应消息返回所述认证设备，所述WAI分组响应消息被封装在Access-Challenge报文中。本发明提供了一种接入点，如图13所示，包括发送单元1310，用于向认证服务器发送WAI认证请求消息，认证请求消息中携带WAI分组信息，并在WAI认证结束后，继续向认证服务器发送携带WAI分组的RADIUS认证请求；所述认证请求消息中携带的WAI分组用于指示认证服务器进行后续的RADIUS认证处理。接收单元1320，用于接收认证服务器返回的WAI分组认证响应消息，认证响应消息中携带WAI认证结果，WAI分组响应消息被封装在RADIUS报文中，并接收认证服务器返回的RADIUS认证结果，该RADIUS认证结果认证服务器根据认证设备的WAI认证结果以及RADIUS认证返回的。其中，所述发送单元1310在所述WAI认证结束后继续向所述认证服务器发送的RADIUS认证请求中的所述WAI分组无数据；相应地，所述接收单元1320，用于接收认证服务器综合认证设备的WAI认证结果以及RADIUS认证结果后返回的RADIUS认证结果；该RADIUS认证结果是认证服务器通过Access-Acc印t报文返回的RADIUS认证结果，且该Access-Acc印t报文中未携带WAI分组。其中，发送单元1310将发送给认证服务器的WAI认证请求消息封装在Access-Request报文中；接收单元1320接收所述认证服务器返回的WAI分组认证响应消息，所述WAI分组响应消息被封装在Access-Challenge报文中。其中，发送单元1310还用于在WAI分组认证响应消息没有分片时，向认证服务器发送WAI请求消息，WAI请求消息中包括报文头，不包括数据；在WAI分组认证响应消息有分片时，向认证服务器发送WAI请求消息，WAI请求消息中包括报文头，不包括数据，报文头中分片序号为已接收的分片序号。发送单元1310具体用于对RADIUS的Vendor-Specific属性进行扩展，在Vendor-Specific属性中携带WAI分组请求信息。图14是本发明中一种接入控制器系统结构图。如图14所示，本发明提供了一种接入控制器包括发送单元1410，用于向认证服务器发送WAI认证请求消息，认证请求消息中携带WAI分组信息，并在WAI认证结束后，继续向认证服务器发送携带WAI分组属性信息的RADIUS认证请求；所述认证请求消息中携带的WAI分组用于指示认证服务器进行后续的RADIUS认证处理。接收单元1420，用于接收认证服务器返回的WAI分组认证响应消息，认证响应消息中携带WAI认证结果，WAI分组响应消息被封装在RADIUS报文中，并接收认证服务器返回的RADIUS认证结果，该RADIUS认证结果认证服务器根据认证设备的WAI认证结果以及RADIUS认证返回的。其中，所述发送单元1410在所述WAI认证结束后继续向所述认证服务器发送的RADIUS认证请求中的所述WAI分组无数据。相应地，所述接收单元1420，用于接收认证服务器综合认证设备的WAI认证结果以及RADIUS认证结果后返回的RADIUS认证结果；该RADIUS认证结果是认证服务器通过Access-Acc印t报文返回的RADIUS认证结果，且该17Access-Acc印t报文中未携带WAI分组。其中，发送单元1410将发送给认证服务器的WAI认证请求消息封装在Access-Request报文中；接收单元1420接收所述认证服务器返回的WAI分组认证响应消息，所述WAI分组响应消息被封装在Access-Challenge报文中。其中，发送单元1410还用于在WAI分组认证响应消息没有分片时，向认证服务器发送WAI请求消息，WAI请求消息中包括报文头，不包括数据；在WAI分组认证响应消息有分片时，向认证服务器发送WAI请求消息，WAI请求消息中包括报文头，不包括数据，报文头中分片序号为已接收的分片序号。发送单元1410具体用于对RADIUS的Vendor-Specific属性进行扩展，在Vendor-Specific属性中携带WAI分组请求信息。本发明还提供了一种无线局域网的认证方法，如图15所示，包括以下步骤步骤1501，将基于第一认证协议的认证请求消息封装于第二认证协议的报文中；步骤1502，将封装好的第二认证协议的报文发送给认证服务器进行认证；步骤1503，在接收到认证服务器返回的对基于第一认证协议的认证请求消息的响应消息后，继续发送一个基于第二认证协议的认证请求报文给认证服务器；其中该请求报文携带有指示基于第一认证协议的认证过程已经结束的信息，且所述响应消息封装于第二认证协议的报文中。步骤1504，接收认证服务器对基于第二认证协议的认证请求报文的响应。通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到本发明可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件，但很多情况下前者是更佳的实施方式。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本发明各个实施例所述的方法。以上公开的仅为本发明的几个具体实施例，但是，本发明并非局限于此，任何本领域的技术人员能思之的变化都应落入本发明的保护范围。权利要求一种无线局域网鉴别和保密基础结构WAPI认证的方法，由认证服务器执行，其中该方法的应用环境包括认证设备和认证服务器，其特征在于，所述方法包括以下步骤接收认证设备发送的无线局域网鉴别基础结构WAI认证请求消息，所述认证请求消息中携带WAI分组信息，其中该WAI认证请求消息被封装在远程用户拨号认证系统RADIUS报文中；根据所述WAI分组信息对所述认证设备进行WAI认证，并将WAI认证结果通过WAI分组响应消息返回所述认证设备，所述WAI分组响应消息被封装在RADIUS报文中。2.如权利要求1所述的方法，其特征在于，该方法进一步包括在所述WAI认证结束后，继续接收所述认证设备发送的RADIUS认证请求，并将RADIUS认证结果返回所述认证设备。3.如权利要求2所述的方法，其特征在于，所述认证设备继续发送的RADIUS认证请求中携带有WAI分组；相应地，认证服务器在返回RADIUS认证结果之前进一步查看认证设备的WAI认证结果，并根据认证设备的WAI认证结果向认证设备返回RADIUS认证结果。4.如权利要求3所述的方法，其特征在于，所述认证设备继续发送的RADIUS认证请求中携带WAI分组，但该WAI分组无数据。5.如权利要求3所述的方法，其特征在于，所述认证服务器在检查完WAI认证结果之后，进一步进行后续的RADIUS认证工作，并综合WAI认证结果以及后续的RADIUS认证结果向认证设备返回RADIUS认证结果。6.如权利要求5所述的方法，其特征在于，所述RADIUS认证结果是通过接入接受Access-Acc印t报文发送的，其中该报文中未携带WAI分组。7.如权利要求1所述的方法，其特征在于，封装所述WAI认证请求消息的RADIUS报文与封装所述WAI分组响应消息的RADIUS报文不同。8.如权利要求7所述的方法，其特征在于，封装所述WAI认证请求消息的RADIUS报文是接入请求Access-Request报文，封装所述WAI分组响应消息的RADIUS报文是挑战访问Access-Challenge报文。9.如权利要求1所述的方法，其特征在于，所述根据所述WAI分组信息对所述认证设备进行WAI认证，具体包括根据所述WAI分组信息中的分片标识确定后续是否有分片，对于没有分片的WAI分组，根据所述WAI分组信息对所述认证设备进行WAI认证；或对于有分片的分组，根据WAI分组信息中的分片序号恢复WAI分组信息，根据所述WAI分组信息对所述认证设备进行WAI认证。10.如权利要求9所述的方法，其特征在于，所述将WAI认证结果通过WAI分组响应消息返回所述认证设备，具体为通过有分片的WAI分组响应消息返回所述认证设备，所述WAI分组响应消息中包括报文头，不包括数据，所述报文头中的分片序号为已接收的分片序号；或通过没有分片的WAI分组响应消息返回所述认证设备。11.如权利要求10所述的方法，其特征在于，通过分片标识指示认证设备，所述WAI分组响应消息是否为有分片的WAI分组响应消息。12.如权利要求1至11中任一项所述的方法，其特征在于，所述认证设备为接入点AP或接入控制器AC。13.—种WAPI认证的方法，由认证设备执行，其中该方法的应用环境包括认证设备和认证服务器，其特征在于，所述方法包括以下步骤向认证服务器发送WAI认证请求消息，所述认证请求消息中携带WAI分组信息，所述WAI认证请求消息被封装在RADIUS报文中；接收所述认证服务器返回的WAI分组认证响应消息，所述认证响应消息中携带WAI认证结果，所述WAI分组响应消息被封装在RADIUS报文中。14.如权利要求13所述的方法，其特征在于，该方法进一步包括在所述WAI认证结束后，继续向所述认证服务器发送RADIUS认证请求，并接收所述认证服务器返回的RADIUS认证结果。15.如权利要求14所述的方法，其特征在于，所述继续向认证服务器发送的RADIUS认证请求中携带有WAI分组；相应地，所述认证服务器返回的RADIUS认证结果，是认证服务器根据认证设备的WAI认证结果以及RADIUS认证返回的。16.如权利要求15所述的方法，其特征在于，所述继续向认证服务器发送的RADIUS认证请求中携带有WAI分组，但该WAI分组无数据；所述认证服务器返回的RADIUS认证结果，是认证服务器综合认证设备的WAI认证结果以及RADIUS认证结果返回的。17.如权利要求16所述的方法，其特征在于，所述认证服务器返回的RADIUS认证结果，是通过接入接受Access-Acc印t报文发送的，其中该报文中未携带WAI分组。18.如权利要求13所述的方法，其特征在于，封装所述WAI认证请求消息的RADIUS报文是接入请求Access-Request报文，封装所述WAI分组响应消息的RADIUS报文是挑战访问Access-Challenge报文。19.如权利要求13所述的方法，其特征在于，所述接收所述认证服务器返回的WAI分组认证响应消息之后还包括所述WAI分组认证响应消息没有分片，向所述认证服务器发送WAI请求消息，所述WAI请求消息中包括报文头，不包括数据；所述WAI分组认证响应消息有分片，向所述认证服务器发送WAI请求消息，所述WAI请求消息中包括报文头，不包括数据，所述报文头中分片序号为已接收的分片序号。20.如权利要求13至19中任一项所述的方法，其特征在于，所述认证设备为AP或AC。21.—种WAPI认证的系统，其特征在于，包括认证设备，用于向认证服务器发送WAI认证请求消息，所述认证请求消息中携带WAI分组信息，接收所述认证服务器返回的WAI分组认证响应消息，所述认证响应消息中携带WAI认证结果，所述WAI分组响应消息被封装在RADIUS报文中；认证服务器，用于接收认证设备发送的WAI认证请求消息，所述认证请求消息中携带WAI分组信息，其中该WAI认证请求消息被封装在RADIUS报文中，根据所述WAI分组信息对所述认证设备进行WAI认证，将WAI认证结果通过WAI分组响应消息返回所述认证设备，所述WAI分组响应消息被封装在RADIUS报文中。22.如权利要求21所述的系统，其特征在于，认证设备，进一步用于在WAI认证结束后，继续向所述认证服务器发送RADIUS认证请求；认证服务器，进一步用于接收所述认证设备发送的RADIUS认证请求，将RADIUS认证结果返回所述认证设备。23.如权利要求22所述的系统，其特征在于，所述认证设备继续向所述认证服务器发送的RADIUS认证请求中携带有WAI分组；相应地，认证服务器返回RADIUS认证结果之前进一步查看认证设备的WAI认证结果，并根据认证设备的WAI认证结果向认证设备返回RADIUS认证结果。24.如权利要求21、22或23所述的系统，其特征在于，所述认证设备为AP或AC。25.—种认证服务器，其特征在于，包括接收单元，用于接收认证设备发送的WAI认证请求消息，所述认证请求消息中携带WAI分组信息，其中该WAI认证请求消息被封装在RADIUS报文中；认证单元，用于根据所述WAI分组信息对所述认证设备进行WAI认证；发送单元，用于将WAI认证结果通过WAI分组响应消息返回所述认证设备，所述WAI分组响应消息被封装在RADIUS报文中。26.如权利要求25所述的认证服务器，其特征在于，接收单元，进一步在所述WAI认证结束后，继续接收所述认证设备发送的RADIUS认证请求，并通知认证单元；认证单元，进一步用于根据所述RADIUS认证请求对所述认证设备进行RADIUS认证，并将RADIUS认证结果通知发送单元；发送单元，进一步用于将RADIUS认证结果返回所述认证设备。27.如权利要求26所述的认证服务器，其特征在于，接收单元，在所述WAI认证结束后，继续接收所述认证设备发送的携带WAI分组的RADIUS认证请求，并通知认证单元；认证单元，进一步用于查看认证设备的WAI认证结果，并通知发送单元；发送单元，进一步用于根据认证设备的WAI认证结果向认证设备返回RADIUS认证结果。28.如权利要求27所述的认证服务器，其特征在于，接收单元，在所述WAI认证结束后，继续接收所述认证设备发送的携带WAI分组的RADIUS认证请求，并通知认证单元；其中所述WAI分组无数据；发送单元，用于综合认证设备的WAI认证结果和RADIUS认证结果向认证设备返回RADIUS认证结果；其中所述返回的RADIUS认证结果是通过接入接受Access-Acc印t报文发送的，且该Access-Acc印t报文中未携带WAI分组。29.如权利要求25所述的认证服务器，其特征在于，所述发送单元具体用于对RADIUS的Vendor-Specific属性进行扩展，在所述Vendor-Specific属性中携带WAI分组响应信息。30.如权利要求25所述的认证服务器，其特征在于，所述认证单元具体包括判断子单元，用于根据所述WAI分组信息中的分片标识确定后续是否有分片；认证子单元，用于对于没有分片的WAI分组，根据所述WAI分组信息对所述认证设备进行WAI认证；对于有分片的分组，根据WAI分组信息中的分片序号恢复WAI分组信息，根据所述WAI分组信息对所述认证设备进行WAI认证。31.如权利要求25所述的认证服务器，其特征在于，所述发送单元，具体用于通过有分片的WAI分组响应消息返回所述认证设备，所述WAI分组响应消息中包括报文头，不包括数据，所述报文头中分片序号为已接收的分片序号；或用于通过没有分片的WAI分组响应消息返回所述认证设备。32.如权利要求25至31中任一项所述的认证服务器，其特征在于，所述认证设备为AP或AC。33.如权利要求25至31中任一项所述的认证服务器，其特征在于，所述接收单元接收的认证设备发送的WAI认证请求消息被封装在Access-Request报文中；所述发送单元将WAI认证结果通过WAI分组响应消息返回所述认证设备，所述WAI分组响应消息被封装在Access-Challenge报文中。34.—种认证设备，其特征在于，包括发送单元，用于向认证服务器发送WAI认证请求消息，所述WAI认证请求消息中携带WAI分组信息，所述WAI认证请求消息被封装在远程用户拨号认证系统RADIUS报文中；接收单元，用于接收所述认证服务器返回的WAI分组认证响应消息，所述认证响应消息中携带WAI认证结果，所述WAI分组响应消息被封装在RADIUS报文中。35.如权利要求34所述的认证设备，其特征在于，发送单元，用于在所述WAI认证结束后，继续向所述认证服务器发送RADIUS认证请求；接收单元，进一步用于接收所述认证服务器返回的RADIUS认证结果。36.如权利要求35所述的认证设备，其特征在于，其中所述发送单元继续发送的RADIUS认证请求中携带WAI分组，以指示认证服务器进行后续的RADIUS认证处理；相应地，所述接收单元，用于接收认证服务器根据认证设备的WAI认证结果以及RADIUS认证返回的RADIUS认证结果。37.如权利要求36所述的认证设备，其特征在于，其中所述发送单元继续发送的RADIUS认证请求中的WAI分组无数据。38.如权利要求37所述的认证设备，其特征在于，所述接收单元，用于接收认证服务器通过Access-Acc印t报文返回的RADIUS认证结果，其中该Access-Acc印t报文中未携带WAI分组。39.如权利要求34所述的认证设备，其特征在于，所述发送单元将发送给认证服务器的WAI认证请求消息封装在Access-Request报文中；所述接收单元接收所述认证服务器返回的WAI分组认证响应消息，所述WAI分组响应消息被封装在Access-Challenge报文中。40.如权利要求34所述的认证设备，其特征在于，所述发送单元还用于在WAI分组认证响应消息没有分片时，向所述认证服务器发送WAI请求消息，所述WAI请求消息中包括报文头，不包括数据；在所述WAI分组认证响应消息有分片时，向所述认证服务器发送WAI请求消息，所述WAI请求消息中包括报文头，不包括数据，所述报文头中分片序号为已接收的分片序号。41.如权利要求34所述的认证设备，其特征在于，所述发送单元具体用于对RADIUS报文的Vendor-Specific属性进行扩展，在所述Vendor-Specific属性中携带WAI分组请求信息。42.如权利要求34至41中任一项所述的认证设备，其特征在于，该认证设备为AP或AC。43.—种无线局域网的认证方法，其特征在于，包括将基于第一认证协议的认证请求消息封装于第二认证协议的报文中；将封装好的第二认证协议的报文发送给认证服务器进行认证；接收所述认证服务器返回的对所述基于第一认证协议的认证请求消息的响应消息；所述响应消息封装于第二认证协议的报文中。44.如权利要求43所述的方法，其特征在于，该方法进一步包括继续发送一个基于第二认证协议的认证请求报文给所述认证服务器，其中该请求报文携带有指示基于第一认证协议的认证过程已经结束的信息；接收所述认证服务器对所述基于第二认证协议的认证请求报文的响应。全文摘要本发明公开了一种WAPI认证的方法，应用于包括认证设备和认证服务器的系统中，包括接收认证设备发送的WAI认证请求消息，认证请求消息中携带WAI分组信息，其中该WAI认证请求消息被封装在RADIUS报文中；根据WAI分组信息对所述认证设备进行WAI认证，并将WAI认证结果通过WAI分组响应消息返回认证设备，WAI分组响应消息被封装在RADIUS报文中。本发明中，只需要部署一个认证服务器，可以进行证书认证、对用户授权、计费，系统部署简单，设备处理简单。本发明同时公开了一种WAPI认证的系统及设备。文档编号H04W12/04GK101742502SQ200810172758公开日2010年6月16日申请日期2008年12月12日优先权日2008年11月25日发明者张海涛,漆昱申请人:杭州华三通信技术有限公司