专利名称:实现wapi协议与802.1x协议兼容的方法
技术领域:
本发明涉及无线局域网技术,尤其涉及一种实现WAPI协议与802.1X协议兼容的方法。
背景技术:
无线局域网(WLAN)主要用于传输因特网协议(IP)分组数据包,即接入点(AP)提供用户终端的无线接入,然后通过网络控制器和连接设备完成IP包的传输。
无线局域网包括多种不同技术,目前应用较为广泛的一个技术标准是IEEE802.11b,它采用2.4GHz频段,最高数据传输速率可达11Mbps。使用该频段的还有IEEE 802.11g和蓝牙(Bluetooth)技术,其中,802.11g最高数据传输速率可达54Mbps。其它新技术诸如IEEE 802.11a和ETSI BRAN Hiperlan2都使用5GHz频段,最高传输速率也可达到54Mbps。
随着WLAN技术的兴起和发展,WLAN与各种无线移动通信网,诸如GSM、码分多址(CDMA)系统、宽带码分多址(WCDMA)系统、时分双工_同步码分多址(TD-SCDMA)系统和CDMA2000系统的互通正成为当前研究的重点。对于WLAN用户接入3GPP/3GPP2网络,第三代合作伙伴计划(3GPP)和第三代合作伙伴计划2(3GPP2)标准化组织正在进行相关工作。
3GPP组织确定了采用EAP-SIM(扩展认证协议-签约用户标识模块)或EAP-AKA(扩展认证协议-认证和密钥协商)机制实现WLAN网络和3GPP网络的接入互通。
对于WLAN-3GPP2网络的接入互通,EAP-AKA,EAP-CAVE等机制正在讨论中。
上述方法均采用基于3GPP/3GPP2现有接入认证机制的基础上实现WLAN-3GPP/3GPP2网络的互通。
中国目前制定了WLAN网络接入安全规范,即基于无线局域网鉴别与保密基础结构(WAPI)体制的接入认证机制。对于WAPI机制与802.11i(802.11i是基于802.1X的)网络的兼容,尤其是支持WAPI的AP如何兼容不同类型的STA,目前是个新问题。
WAPI由无线局域网鉴别基础结构(WAI)和无线局域网保密基础结构(WPI)组成。WAI完成认证功能,WPI提供空口加密功能。WAPI机制采用公钥密码技术实现客户的身份鉴别。鉴别服务单元(ASU)为每个用户分配公钥证书。
公钥认证的格式如下
表中部分字段的含义如下证书的序列号每个由ASU颁发的公钥证书都需要分配一个唯一的号码。
证书颁发者采用的签名算法指定了证书颁发者所采用的签名算法,包括签名算法名称、签名长度与签名者采用的公钥长度。
证书的颁发者名称指定颁发者的身份。
证书持有者名称指定证书持有者的身份。
证书类型表示证书持有者的设备类型,即WLAN的终端站点(STA),AP或ASU。
证书颁发者对证书的签名该字段由证书颁发者对该证书上的所有字段项进行签名得到。
WAI的具体过程如图1所示(1)AP给WLAN终端(此处指STA)发送鉴别激活消息。
(2)WLAN终端接收到鉴别激活消息后,将WLAN客户端的公钥证书通过接入鉴别请求消息发送给AP。
(3)AP接收到WLAN客户端发送来的接入鉴别请求消息后,提取出WLAN客户端的证书,并将其连同AP自身的公钥证书、AP的签名封装在证书鉴别请求消息中,发送给ASU。
(4)ASU接收到证书鉴别请求消息后,验证AP的签名和AP证书的有效性,若不正确,则鉴别过程失败;否则,进一步验证WLAN客户端的证书。
(5)ASU将WLAN客户端证书鉴别结果、AP证书鉴别结果和ASU的签名构成证书鉴别响应消息发送给AP。
(6)AP对ASU返回的证书鉴别响应进行签名验证,得到WLAN客户端的鉴别结果,根据此结果对WLAN客户端进行接入控制(即当WLAN客户端鉴别成功时,允许WLAN客户端接入;否则,拒绝该WLAN客户端接入)。同时,AP将证书鉴别响应发送到WLAN客户端,WLAN客户端验证ASU的签名,得到AP的鉴别结果,根据该结果确定是否接入AP(即当AP鉴别成功时,该WLAN客户端可以接入AP;否则,该WLAN客户端不从该AP接入)。
(7)WLAN客户端和AP进行密钥协商,得到用于空口加密的密钥。
WLAN客户端的WLAN网络接入认证采用WAI机制,在此情况下,ASU给每个WLAN客户颁发公钥数字证书,WLAN客户端采用公钥证书标识自身。当WLAN客户端通过WAI认证后,即可以访问Internet网络或其它专有网络,WLAN客户端在接入WLAN时,空中接口采用WPI机制进行加密,以保护WLAN网络的通信安全。
对于不支持WAPI的STA,例如从其它国家漫游到中国的WLAN用户,其终端不支持也无法识别WAPI消息,当STA与AP之间建立关联关系后,支持WAPI的AP还是要下发一个“鉴别激活”消息,此时就无法进行进一步的鉴别和加密协商了,导致终端无法接入到WAPI网络。
WLAN如同目前的GSM/CDMA网络一样,如果进行运营,必须支持漫游,满足国内及海外用户的接入需求。当WLAN必须采用WAI认证体制时,如何兼容非WAPI的STA,是目前急待解决的问题。
发明内容
本发明提供一种实现WAPI协议与802.1X协议兼容的方法,以解决非WAPI的终端站点不能接入支持WAPI的无线局域网的问题。
为解决上述问题,本发明提供以下技术方案一种实现WAPI协议与802.1X协议兼容的方法,该方法包括步骤支持WAPI协议和802.1X协议的无线入点(AP)向终端站点(STA)发送鉴别激活消息;AP判断STA是否支持WAPI协议,如果是,AP与STA按WAPI规定的流程进行鉴权,否则,AP与STA之间终止WAPI鉴别尝试,并按802.1X规定的流程进行鉴权。
根据上述方法当STA判断本端无法识别收到的鉴别激活消息时,主动向AP发送启动EAP鉴别流程的消息,AP根据该消息判断STA不支持WAPI协议。
当AP在发送鉴别激活消息达到预定次数时仍未收到STA的WAPI响应消息,则判断该STA不支持WAPI协议,并主动向STA发送EAP请求消息启动EAP流程;当AP向STA发送开始EAP鉴别流程达到预定次数仍未收到STA的响应,则终止流程并拒绝接入。
AP与STA在鉴权流程中生成密钥和协商出加密算法。
在按802.1X规定的流程鉴权过程中还承载基于EAP的其他鉴别流程;所述其他鉴别流程包括WLAN与GSM/WCDMA融合协议的EAP-SIM和EAP-AKA流程。
本发明通过增强AP的智能处理能力,具有对STA的能力识别功能,并根据STA能力进行相应的认证与加密流程,从而方便各种类型的用户的接入。
采用本发明,在中国强制实施WAPI标准和网络全面升级后,如果国内的老用户没有来得及升级终端,也可以接入网络。
对于国外的漫游用户,按现有的WAPI方式无法实现国际漫游,采用本发明则可以帮助运营商解决WAPI如何支持国际漫游的问题,从而实现收取国际漫游用户的网络使用费。
图1为现有技术中支持WAPI的终端站点接入鉴别流程图;图2为本发明实施例一的增强型AP的状态机示意图;图3为本发明实施例一的终端站点接入鉴别流程图;图4为EAP-SIM认证流程图;图5为EAP-AKA认证流程图;图6为本发明实施例二的增强型AP的状态机示意图;图7为本发明实施例二的终端站点接入鉴别流程图。
具体实施例方式
在中国强制实施无线局域网鉴别和保密基础结构(WAPI)标准后,如果无线局域网(WLAN)中的所有无线接入点(AP)都升级支持WAPI,则现有的大量终端站点(STA)为了接入WAPI网络,也必须升级支持WAPI,对于没有来得升级或者从国外漫游过来的STA,则无法接入WAPI网络。
本发明在AP中增加自动识别STA的办法,通过消息内容判断STA是否支持WAPI,如果AP下发WAPI消息给STA后,没有得到WAPI消息响应,而且收到的是802.1X消息,则由此确定该STA不支持WAPI,但可以支持802.1X,于是启动802.1X鉴别与加密流程。
在STA不支持WAPI功能时,STA与AP之间进行802.1X鉴别流程可以由STA主动发起,也可以由AP主动发起。以下对这两种方式分别进行说明。
如图2所求,在AP协议处理状态机中增加一个处理分支来增强AP的功能(增加部分见框内),使AP除了支持WAPI,同时还支持802.1X(802.1X是IEEE制定的一种安全协议,目前802.11i就是基于802.1X的。)。对于支持WAPI的终端站点(STA)在接入时走正常的WAPI鉴别和加密流程,对于不支持WAPI的STA,则根据默认配置主动启动802.1X的鉴别流程。
参阅图3并结合图2所示,具体处理流程如下(1)STA与AP之间进行常规的协商,包括探询(Probe)、认证(Authentication)和关联(Association)三次握手过程。
(2)建立关联后,支持WAPI功能的AP给ST发送鉴别激活消息。
(3)WLAN终端(STA)接收到鉴别激活消息后,如果STA本身支持WAPI功能,则走正常的WAPI鉴别和加密过程(如图1所示)。
(4)如果STA不支持WAPI,则无法识别鉴权激活消息。此时STA会根据默认配置启动802.1X过程,主动向AP发起启动EAP鉴别的EAPoL_Start(局域网承载EAP协议_开始)消息。
(5)由于AP支持WAPI协议和802.1X协议,AP根据终端的EAPoL_Start消息,得知该STA不支持WAPI,从而开始按802.1X进行鉴权。
在按802.1X协议进行鉴权过程中如果生成密钥并协商了相应的加密算法,则在STA与AP之间启动加密(WEP、TKIP或者AES)。
根据3GPP/3GPP2定义的WLAN鉴权过程,在进行802.1X鉴权过程中还可以承载EAP-SIM、EAP-AKA流程。EAP-SIM、EAP-AKA流程为3GPP定义的WLAN与GSM/WCDMA融合的流程(具体参见3GPP协议TS 23.234)。EAP-SIM和EAP-AKA两个流程与本发明的接口点均为EAP Request/Identity消息。
EAP-SIM流程是3GPP定义的WLAN与GSM/GPRS融合实现流程,通过802.1X承载SIM认证流程,从而实现用户通过SIM卡进行认证和计费的目的。在802.1X鉴权过程中承载EAP-SIM流程如图4所示(图4中的步骤1为STA与AP之间的三次握手过程)。
EAP-AKA流程是3GPP定义的一种流程,通过802.1X承载CAVE认证流程,从而实现用户通过USIM卡进行认证和计费的目的,如图5所示(图5中的步骤1为STA与AP之间的三次握手过程)。
参阅图6所示,在AP协议处理状态机中对没有响应消息增加后续处理流程来增强AP的功能(增加部分见虚框内),使AP除了支持WAPI,同时还支持802.1X。当AP下发“鉴别激活”后直至认证超时都没有收到WAPI响应消息时,认为终端不支持WAPI,AP主动向STA下发一个EAP Request/Identity消息,尝试启动802.1X认证流程;如果收到STA的EAP响应消息,则AP与STA之间继续802.1X流程;如果收不到响应,且认证没有超时,则按规划重发;如果直至认证超时都没有得到响应,则终止流程,拒绝接入。
参阅7所示,具体的流程如下(1)STA与AP之间进行常规的协商,包括Probe、Authentication和Association三次握手过程。
(2)建立关联后,支持WAPI功能的AP给ST发送鉴别激活消息。
(3)如果在规定的时间间隔内AP收到WAPI响应消息,则表明STA支持WAPI功能,则走正常的WAPI鉴别和加密过程(如图1所示)。
(4)如果AP侧一直得不到STA的回应消息,根据默认配置进行几次重发后仍得不到回应消息,则确定该STA不支持WAPI消息,终止WAPI流程,下发一条EAP Request/Identity消息给STA,开始按802.1X进行鉴权。
(5)如果后流程能够正常进行,则根据3GPP/3GPP2定义的WLAN鉴权过程,在进行802.1X鉴权过程中,EAP承载的协议包括EAP-SIM、EAP-AKA等流程。
802.1X进行鉴权过程中如果生成密钥并协商了相应的加密算法,则在STA与AP之间启动加密。
(6)如果AP下发EAP Request/Identity消息后,仍得不STA的正常回应,则终止该认证流程,拒绝接入。
本发明通过增强AP的智能处理能力,具有对STA的能力识别功能,并根据STA能力进行相应的认证与加密流程,从而方便各种类型的用户的接入。国内的老用户在网络全面升级后,如果没有来得及升级终端,也可以接入网络;国外的漫游用户,按WAPI方式无法实现国际漫游,此时如果AP具有智能处理功能,可以极大方便他们的接入与漫游。采用本发明运营商能够解决何支持国际漫游的问题,从而收取国际漫游用户的网络使用费。
权利要求
1.一种实现WAPI协议与802.1X协议兼容的方法,其特征在于该方法包括步骤支持WAPI协议和802.1X协议的无线入点(AP)向终端站点(STA)发送鉴别激活消息;AP判断STA是否支持WAPI协议,如果是,AP与STA之间按WAPI规定的流程进行鉴权,否则,AP与STA之间终止WAPI鉴别尝试,并按802.1X规定的流程进行鉴权。
2.如权利1要求所述的方法,其特征在于,当STA判断本端无法识别收到的鉴别激活消息时,主动向AP发送启动EAP鉴别流程的消息,AP根据该消息判断STA不支持WAPI协议。
3.如权利1要求所述的方法,其特征在于,当AP在发送鉴别激活消息达到预定次数时仍未收到STA的WAPI响应消息,则判断该STA不支持WAPI协议,并主动向STA发送EAP请求消息,启动EAP流程。
4.如权利3要求所述的方法,其特征在于,当AP向STA发送开始EAP鉴别流程达到预定次数仍未收到STA的响应,则终止流程并拒绝接入。
5.如权利要求1至3任一项所述的方法,其特征在于,AP与STA在鉴权流程中生成密钥和协商出加密算法。
6.如权利5所述的方法,其特征在于,在按802.1X规定的流程鉴权过程中还承载基于EAP的其他鉴别流程。
7.如权利5要求所述的方法,其特征在于,所述其他鉴别流程包括WLAN与GSM/WCDMA融合协议的EAP-SIM和EAP-AKA流程。
全文摘要
本发明公开了一种实现WAPI协议与802.1X协议兼容的方法,以解决非WAPI的终端站点不能接入支持WAPI的无线局域网的问题。该方法为支持WAPI协议和802.1X协议的无线入点(AP)向终端站点(STA)发送鉴别激活消息;AP判断STA是否支持WAPI协议,如果是,AP与STA之间按WAPI规定的流程进行鉴权,否则,AP与STA之间终止WAPI鉴别尝试,并按802.1X规定的流程进行鉴权。
文档编号H04L9/32GK1691582SQ20041003490
公开日2005年11月2日 申请日期2004年4月24日 优先权日2004年4月24日
发明者陈殿福, 姚忠辉 申请人:华为技术有限公司