一种身份认证的方法、系统和鉴别器实体的制作方法

文档序号:7700820阅读:179来源:国知局
导航: X技术> 最新专利>电子通信装置的制造及其应用技术
专利名称:一种身份认证的方法、系统和鉴别器实体的制作方法
技术领域
本发明涉及网络通信安全技术,特别涉及一种身份认证的方法、系统和鉴别器实 体。
背景技术
无线局域网鉴别和保密基础结构(WAPI,WLAN Authentication andPrivacy Infrastructure)是实现无线局域网安全的协议。WAPI采用公钥密钥体制的椭圆曲线密 码算法和对称密码体制的分组密码算法,用于无线局域网(WLAN,Wireless Local Area Network)设备的数字证书、证书鉴别、密钥协商和传输数据的加解密,从而实现设备的身份 鉴别、链路验证,访问控制和用户信息在无线传输状态下的加密保护。WAPI 是无线局域网鉴别基础结构(WAI,WLAN AuthenticationInfrastructure) 和无线局域网保密基础结构(WPI,WLAN PrivacyInfrastructure)两个协议的统称。其中 WAI协议解决无线局域网中的身份认证问题,WPI协议解决无线局域网中信息的保密传输 问题。WAI协议是WAPI协议中最重要和最基础的部分,只有实现了身份认证才可以进行数 据传输。WAI用椭圆曲线加密体制(ECC,Elliptic Curve encryption algorithm)技术实 现了身份的双向认证问题,即无线终端对AP (Access Point,接入点)的认证,和AP对无线 终端的认证,只有无线终端确认AP为合法接入点和AP确认无线终端为合法无线终端后双 方才可以进行通信。现有技术中,上述身份认证必须经过可信的第三方即鉴别服务实体(ASE, Authentication Service Entity)才可以实现。图1为现有技术中WAPI鉴别流程图,如图 1所示,WAPI鉴别流程可以包括以下步骤步骤101 移动终端登录AP。步骤102 =AP中的鉴别器实体(AE,Authenticator Entity)激活身份认证过程。步骤103 :AP与应用服务器(AS,Application Service)进行证书鉴别请求和证书 鉴别响应的交互,从而进行身份认证。其中,证书鉴别请求中携带移动终端和AP的证书信 息,设置在AS服务器中的ASE对证书信息进行鉴别后,将鉴别结果携带在证书鉴别响应中。步骤104 移动终端与AP进行密钥协商。步骤105 =AP根据鉴别结果对移动终端进行接入控制。然而,上述现有技术的流程中,WAI协议支持使用用户数据报协议(UDP,User Datagram Protocol)进行传输封装,在步骤103中AP向AS服务器发送的证书鉴别请求, 以及AS回复的证书鉴别响应都需要按照额外定义的鉴别控制协议进行传输,与现有运营 网络中已经具有认证、授权和计费功能的远程拨号用户认证(Radius)服务器所采用的 Radius协议并不兼容,这就造成了 WAI和现有网络的融合存在很大困难;并且,如果除了认 证过程之外,还需要对用户进行授权和计费处理,则需要同时部署Radius服务器,并额外 增加Portal认证过程以与Radius服务器的授权过程相融合,增加了网络部署的复杂性。

发明内容
有鉴于此,本发明提供了一种身份认证的方法、系统和AE,以便于WAI身份认证与 现有运营网络兼容,减小网络部署的复杂性。一种身份认证的方法,该方法包括A、Radius服务器接收AE发送的承载在Radius协议上的EAP协议报文,将该EAP 协议报文中封装的WAI证书鉴别请求发送给ASE ;B、接收所述ASE发送的WAI证书鉴别响应,将封装了 WAI证书鉴别响应的EAP协 议报文承载在Radius协议上发送给所述AE。一种身份认证的系统,该系统包括AE、Radius服务器和AS E ;所述AE,用于将封装了 WAI证书鉴别请求的EAP协议报文承载在Radius协议上 发送给所述Radius服务器;接收所述Radius服务器发送的承载在Radius协议上且封装了 WAI证书鉴别响应的EAP协议报文;所述Radius服务器,用于将所述WAI证书鉴别请求发送给所述ASE ;接收来自所 述ASE的WAI证书鉴别响应,将封装了 WAI证书鉴别响应的EAP协议报文承载在Radius协 议上发送给所述AE;所述ASE,用于接收所述WAI证书鉴别请求,并向所述Radius服务器发送WAI证书 鉴别响应。一种身份认证的方法,该方法包括A、AE将封装了 WAI证书鉴别请求的EAP协议报文承载在Radius协议上发送给 Radius服务器;B、接收Radius服务器返回的承载在Radius协议上且封装了 WAI证书鉴别响应的 EAP协议报文。一种AE,该AE包括WAI模块和Radius客户端;所述WAI模块,用于将WAI证书鉴别请求封装在EAP协议报文中,将该EAP协议报 文提供给所述Radius客户端;获取所述Radius客户端提供的EAP协议报文中封装的WAI 证书鉴别响应;所述Radius客户端,用于将所述WAI模块提供的EAP协议报文承载在Radius协 议上发送给Radius服务器;接收Radius服务器返回的承载在Radius协议上的EAP协议报 文,并将该EAP协议报文提供给所述WAI模块。由以上技术方案可以看出,本发明提供的方法和系统通过将WAI证书鉴别请求封 装在EAP协议报文中,利用EAP协议报文能够承载在Radius协议上的特性,将WAI与Radius 协议进行耦合,复用现有的Radius协议实现WAI身份认证,以使得WAI身份认证与包含 Radius服务器的现有运营网络兼容。并且,由于Radius协议具备承载EAP报文的功能,因 此无需对Radius服务器进行特殊的修改和配置,ASE也仅需要按照现有WAI标准进行处理, 减小网络部署的复杂性。


图1为现有技术中WAPI鉴别流程图;图2为本发明实施例提供的详细方法流程图3为本发明实施例提供的EAP协议报文格式示意图;图4为本发明实施例提供的进行分片处理的身份认证过程流程图;图5为WAI协议报文的格式示意图;图6为本发明实施例提供的系统结构图。
具体实施例方式为了使本发明的目的、技术方案和优点更加清楚,下面结合附图和具体实施例对 本发明进行详细描述。互联网工程任务组(IETF)的RFC3748定义了可扩展认证构架(EAP)协议,该EAP 可以封装多种认证方法,例如已有的EAP-TLS和EAP-MD5等,各认证方法通过EAP封装时, 具体认证过程完全对EAP透明,且EAP可以承载在多种传输协议上,例如链路层的802. 3、 802. 11协议、或者应用层的Radius协议等。基于EAP协议的上述特点,本发明可以利用EAP协议将Radius协议和WAI进行耦 合,所提供的方法主要包括=Radius服务器接收AE发送的承载在Radius协议上的EAP协 议报文,并将该EAP协议报文中封装的WAI证书鉴别请求发送给ASE ;接收ASE返回的WAI 证书鉴别响应,并将封装了 WAI证书鉴别响应的EAP协议报文承载在Radius协议上发送给 AE。下面结合具体实施例对上述方法进行详细描述。图2为本发明实施例提供的详细 方法流程图,如图2所示,该方法可以包括以下步骤步骤201 =AE中的身份认证过程被激活后,向Radius服务器发送扩展属性中携带 EAP协议报文的Radius接入请求报文(Radius Access-Request),其中,EAP协议报文中封 装了证书鉴另lJi青求(Certificate AuthenticationRequest)。本步骤中涉及的AE通常设置在AP中。由于Radius报文已经很好的支持了 EAP属性扩展,即可以利用Radius报文中的 ΕΑΡ-message属性(类型标识为79)来携带EAP协议报文,不需要对Radius服务器进行额 外的特殊配置和处理。在利用EAP协议报文对证书鉴别请求进行封装时,可以对EAP协议报文进行扩展。 图3为EAP协议报文的格式示意图,EAP协议报文中的编码(Code)域用于携带EAP类型,置 为1时可以标识该EAP协议报文为EAP请求(ΕΑΡ-Request)报文,置为2时可以标识该EAP 协议报文为EAP响应(ΕΑΡ-Response)报文,置为3时可以标识该EAP协议报文为EAP成功 (ΕΑΡ-Success)报文,置为4时可以标识该EAP协议报文为EAP失败(ΕΑΡ-Failure)报文。 其中,ΕΑΡ-Request报文和ΕΑΡ-Response报文中可以携带具体的认证报文,即当code为2 时,报文中的数据(Data)域可以携带本发明中涉及的证书鉴别请求,当code为1时EAP协 议报文中的Data域可以携带本发明中涉及的证书鉴别响应。类别(Type)域用于标识认证 方法类型,每一种类型采用一个整数来唯一标识,本发明中可以采用13来标识WAI协议认 证类型,即该EAP报文封装了 WAI协议报文。标识符(Identifier)域和长度(Length)域 的含义与现有含义相同,不再赘述。本步骤中封装了证书鉴别请求的EAP协议报文为ΕΑΡ-Response报文,如图2中所
7J\ ο
步骤202 =Radius服务器接收到Radius Access-Request后,根据其中EAP协议报 文的Type域确定该EAP协议报文中封装了 WAI协议报文,将EAP协议报文发送给ASE。Radius服务器接收到Radius Access-Request后,根据其中EAP协议报文的Type 域如果确定出该EAP协议报文中封装了 WAI协议报文,本步骤中为封装了证书鉴别请求,则 确定应由ASE进行处理,如果是该Radius服务器所具备认证功能的认证报文,则Radius服 务器直接对该EAP协议报文中携带的认证报文进行认证处理。本步骤中,Radius服务器将证书鉴别请求发送给ASE的方式可以包括以下几种方 式其一、当Radius和ASE属于同一个应用进程时,例如ASE设置在Radius服务器中, 则Radius服务器可以将Radius Access-Request上承载的EAP协议报文发送给ASE ;也可 以将证书鉴别请求从EAP协议报文中剥离后发送给ASE。其二、当Radius服务器和ASE不属于同一个应用进程时,例如Radius服务器和 ASE进行分布式设置,则Radius服务器可以将RadiusAccess-Request直接转发给ASE ;也 可以将EAP协议报文承载在Radius服务器和ASE之间约定的协议上发送给ASE。本实施例中,以Radius服务器和ASE之间通过EAP协议报文进行交互为例,即 Radius服务器之间通过EAP协议报文来交互证书鉴别请求和证书鉴别响应。步骤203 =ASE按照标准的WAI协议对证书鉴别请求进行处理后,将证书鉴别响应 封装在EAP协议报文中发送给Radius服务器。证书鉴别响应也携带在EAP协议报文的Data域中,EAP协议报文的Code域置为 1。同样,如果Radius服务器和ASE属于同一个应用进程,则ASE可以将封装了证 书鉴别响应的EAP协议报文发送给Radius服务器;也可以直接将证书鉴别请求发送给 Radius服务器。如果Radius服务器和ASE不属于同一个应用进程,则ASE可以将封装了 证书鉴别响应的EAP协议报文承载在Radius协议上发送给Radius服务器;也可以将封 装了证书鉴别响应的EAP协议报文承载在Radius服务器和ASE之间约定的协议上发送给 Radius服务器。本步骤中,封装了证书鉴别响应的EAP协议报文为ΕΑΡ-Request报文,如图2所
7J\ ο 步骤204 =Radius服务器将来自ASE的EAP协议报文承载在Radius接入验证报文 (Radius Access-Challenge)上发送给 AE0本步骤中,可以利用Radius报文中的ΕΑΡ-message属性携带封装了证书鉴别响应 的EAP协议报文。步骤205 =AE接收到Radius Access-Challenge后,获取证书鉴别响应,向Radius 服务器再次发送扩展属性中携带EAP协议报文的RadiusAccess-Request,其中,EAP协议报 文中封装了确认消息。步骤206 =Radius服务器接收到Radius Access-Request后,根据其中EAP协议报 文的Type域确定该EAP协议报文中封装了 WAI协议报文,将EAP协议报文发送给ASE。步骤205和步骤206中的报文携带方式与步骤201和步骤202中的报文携带方式 相同,不再赘述。
步骤207 =ASE接收到封装了确认消息的EAP协议报文后,如果鉴别结果为鉴别成 功,则将ΕΑΡ-Success报文发送给Radius服务器。本步骤中,如果ASE完成的证书鉴别结果为鉴别失败,则将ΕΑΡ-Failure报文中发 送给Radius服务器。需要说明的是,步骤205和206中涉及的确认消息是AE在接收到证书鉴别响应后 发送的,该确认消息封装在EAP协议报文中的方式可以为data域为空,Type域仍指示该 EAP协议报文中封装了 WAI协议报文。ASE接收到该封装了确认消息的EAP协议报文后,触 发根据鉴别结果发送ΕΑΡ-Success报文或ΕΑΡ-Failure报文。步骤208 =Radius服务器将EAP-Success和授权信息承载在Radius协议中发送给 AE。本步骤中,如果鉴别结果为鉴别成功,即Radius服务器接收到ΕΑΡ-Success报文, 则Radius服务器将携带ΕΑΡ-Success报文和授权信息的Radius Access-Accept报文发送 给AE ;如果鉴别结果为鉴别失败,即Radius服务器接收到ΕΑΡ-Failure报文,则Radius服 务器将携带ΕΑΡ-Failure报文的Radius Access-Reject报文发送给AE。图2中以鉴别成 功为例。需要说明的是,由于Radius Access-Acc印t报文是用于Radius服务器进行授权 的报文,在进行身份认证成功后,Radius服务器可以直接平滑地连接授权过程,使WAI协议 与Radius服务器的授权过程实现松耦合。由于在某些情况下,证书鉴别请求和证书鉴别响应中包含较多信息致使证书鉴别 请求和证书鉴别响应超过Radius协议中规定的最大传输单元长度,此时需要对证书鉴别 请求和证书鉴别响应进行分片处理,使其携带在EAP报文并承载在Radius协议上时不超过 规定的最大传输单元长度,这就需要在AE和ASE上实现报文的分片功能。下面对进行分片 处理时的身份认证过程进行详细描述,如图4所示,该过程可以包括以下步骤步骤401 :AE在接收到移动终端的接入鉴别请求报文后,生成证书鉴别请求, 按照最大传输单元长度将证书鉴别请求进行分片后,将证书鉴别请求的各分片分别封 装在ΕΑΡ-Response报文中,首先将封装了第一个分片的EAP协议报文携带在Radius Access-Request报文中发送给Radius服务器。在WAPI标准协议中已经规定了对于WAI协议报文的分片方法,本发明中对于证书 鉴别请求的分片只要按照现有协议的方法即可,WAI协议报文的格式如图5所示,其中,分 片序号字段和标识字段用于对报文进行分片时使用,其中,分片序号字段中携带分片的顺 序编号,例如一个证书鉴别请求的第一个分片序号为0,后续依次加1。标识字段用于标识 是否还有后续分片,例如,值为0时可以表示没有后续分片,即该分片为最后一个分片。本步骤中,接收到移动终端的接入鉴别请求报文后,生成证书鉴别请求,按照 最大传输单元长度将证书鉴别请求进行分片后,将证书鉴别请求的各分片分别封装在 ΕΑΡ-Response报文中的操作由AE中的WAI模块执行;将封装了第一个分片的EAP协议报 文携带在Radius Access-Request报文中发送给Radius服务器由AE中的Radius客户端 执行。步骤402 =Radius服务器根据ΕΑΡ-Response报文中的Type域识别出需要ASE进 行处理,剥离出ΕΑΡ-Response报文发送给ASE。
步骤403 =ASE接收到封装了第一个分片的ΕΑΡ-Response报文后,将确认报文封装 在ΕΑΡ-Request报文中返回给Radius服务器。步骤404 =Radius服务器将封装了确认报文的ΕΑΡ-Request报文携带在Radius Access-Challenge 报文中返回给 AE。步骤405 =AE如果在设定时间内接收到确认报文,则将封装了证书鉴别请求的下 一个分片的ΕΑΡ-Response报文携带在Radius Access-Request报文中发送给Radius服务
ο如果没有在设定时间内接收到该确认报文,则对上一个分片进行重传处理,这样 使得某个分片的报文丢失了,只要重传这个丢失的报文即可,能够有效的提高分片报文的 传输效率。按照上面的步骤将证书鉴别请求的所有分片发送完毕后(中间过程不再一一赘 述),执行步骤406。步骤406 =ASE对接收到的证书鉴别请求的所有分片进行重组,并按照最大传输单 元长度将证书鉴别响应进行分片后,将证书鉴别响应的各分片封装在ΕΑΡ-Request报文中 逐一返回给Radius服务器。当ASE接收到的证书鉴别请求的标识字段标识后续没有分片时,确定所有分片接 收完毕,则可以按照分片序号对接收到的证书鉴别请求的各分片进行重组。步骤407 =Radius服务器接收到封装了证书鉴别响应的分片的ΕΑΡ-Request报文 后,将ΕΑΡ-Request报文,封装在Radius Access-Challenge报文中发送给AE。步骤408 =AE对证书鉴别响应报文的所有分片进行重组。同样在步骤406-步骤408的过程中,AE每接收到证书鉴别响应报文的一个分片 都会回复一个确认报文,ASE在设定时间内接收到确认报文后,进行下一个分片的发送,否 则重传发送的分片,该过程不再具体描述。另外,AE也可以在步骤410之后进行重组。步骤409 :ASE发送完证书鉴别响应后,如果鉴别成功,则向Radius服务器发送 ΕΑΡ-Success 报文。如果鉴别失败,则向Radius服务器发送ΕΑΡ-Failure报文步骤410 =Radius服务器接收到EAP-Success报文后,将EAP-Success报文和授权 信息携带在Radius Access-Accept报文的扩展属性中发送给AE,从而完成授权过程。Radius服务器接收到EAP-Failure报文后,将ΕΑΡ-Failure报文携带在Radius Access-Accept报文的扩展属性中发送给AE。鉴别成功后,AE就可以利用重组后得到的证书鉴别响应报文,继续协议WAPI协议 规定的密钥协商过程。以上是对本发明所提供的方法进行的详细描述,下面对本发明所提供的系统进行 详细描述。图6为本发明实施例提供的系统结构图,如图6所示,该系统可以包括:AE 601、 Radius 服务器 602 和 ASE 603。AE 601,用于将封装了 WAI证书鉴别请求的EAP协议报文承载在Radius协议上 发送给Radius服务器602 ;接收Radius服务器602发送的承载在Radius协议上且封装了 WAI证书鉴别响应的EAP协议报文。
Radius服务器602,用于将WAI证书鉴别请求发送给ASE 603 ;接收来自ASE 603 的WAI证书鉴别响应,将封装了 WAI证书鉴别响应的EAP协议报文承载在Radius协议上发 送给AE 601。ASE 603,用于接收WAI证书鉴别请求,并向Radius服务器602返回WAI证书鉴别 响应。上述AE 601可以设置在AP中,ASE 603可以设置在AS服务器中,也可以设置在 Radius服务器602中。具体地,AE 601可以将封装了 WAI证书鉴别请求的EAP协议报文携带在Radius报 文的扩展属性中,从而实现EAP协议报文在Radius协议上的承载。Radius服务器602可以将封装了 WAI证书鉴别响应的EAP协议报文携带在Radius 报文的扩展属性中,从而实现EAP协议报文在Radius协议上的承载。其中,上述WAI证书鉴别请求或WAI证书鉴别响应可以封装在EAP协议报文的 Data域中,且该EAP协议报文的Type域标识WAI协议认证类型。Radius服务器接收到AE 601发送的承载在Radius协议上且封装了 WAI证书鉴别请求的EAP协议报文后,如果确定 该EAP协议报文的Type域标识WAI协议认证类型,则将WAI证书鉴别请求发送给ASE 603。AE 601和Radius服务器602之间具体的报文交互过程可以为AE 601 向 Radius 月艮务器 602 发送 Radius Access-Request,该 RadiusAccess-Request的扩展属性中携带封装了证书鉴别请求的ΕΑΡ-Response报文。Radius 服务器 602 向 AE 601 发送 Radius Access-Challenge 报文,该 RadiusAccess-Challenge报文的扩展属性中携带封装了证书鉴别响应的ΕΑΡ-Request报 文。另外,Radius服务器602,还可以用于如果接收到ASE 603返回的EAP-Success报 文,则向AE 601发送Radius Access-Acc印t报文,该RadiusAccess-Acc^pt的扩展属性中 携带EAP-Success报文和授权信息;或者,如果接收到ASE 603返回的ΕΑΡ-Failure报文, 则向 AE 601 发送 Radius Access-Reject 报文,该 Radius Access-Reject 报文的扩展属性 中携带ΕΑΡ-Failure报文。此时,ASE 603,还用于在发送完证书鉴别响应后,如果鉴别成功,则向Radius服 务器602返回ΕΑΡ-Success报文,如果鉴别失败,则向Radius服务器602返回EAP-Failure 报文。Radius服务器602和ASE 603之间交互WAI证书鉴别请求和WAI证书鉴别响应的 过程可以为Radius服务器602将封装了 WAI证书鉴别请求的EAP报文发送给ASE603 ;或者, 将WAI证书鉴别请求从EAP报文中剥离,并将WAI证书鉴别请求发送给ASE 603 ;或者,将 封装了 WAI证书鉴别请求的EAP协议报文承载在Radius协议上发送给ASE 603 ;或者,将 封装了 WAI证书鉴别请求的EAP协议报文承载在Radius服务器602和ASE 603预先约定 的协议上发送给ASE603。ASE 603将封装了 WAI证书鉴别响应的EAP报文发送给Radius服务器602 ;或者, 仅将WAI证书鉴别响应发送给Radius服务器602 ;或者,将封装了 WAI证书鉴别响应的EAP 协议报文承载在Radius协议上发送给Radius服务器602 ;或者,将封装了 WAI证书鉴别响应的EAP协议报文承载在Radius服务器602和ASE 603预先约定的协议上发送给Radius 服务器602。其中,上述AE 601可以包括WAI模块604和Radius客户端605。WAI模块604,用于将WAI证书鉴别请求封装在EAP协议报文中,将该EAP协议报 文提供给Radius客户端605 ;获取Radius客户端605提供的EAP协议报文中封装的WAI证 书鉴别响应。Radius客户端605,用于将WAI模块604提供的EAP协议报文承载在Radius协议 上发送给Radius服务器602 ;接收Radius服务器602返回的承载在Radius协议上的EAP 协议报文,并将该EAP协议报文提供给WAI模块604。具体地,WAI模块604将WAI证书鉴别请求封装在EAP协议报文的Data域中,且 该EAP协议报文的Type域标识WAI协议类型。Radius客户端605将WAI模块604提供的EAP协议报文携带在Radius报文的扩
展属性中。另外,WAI模块604可以具体将WAI证书鉴别请求封装在ΕΑΡ-Response报文中; 获取Radius客户端605提供的ΕΑΡ-Request报文中封装的WAI证书鉴别响应。Radius 客户端 605 将 ΕΑΡ-Response 报文携带在 Radius Access-Request 的扩展 属性中;接收扩展属性中携带了 ΕΑΡ-Request报文的Radius Access-chal 1 enge报文,将该 ΕΑΡ-Request报文提供给WAI模块604。当WAI证书鉴别请求和WAI证书鉴别响应需要进行分片处理时,WAI模块604,还 可以用于按照最大传输单元长度将WAI证书鉴别请求进行分片后,将WAI证书鉴别请求的 各分片分别封装在EAP协议报文中提供给Radius客户端605。这里的EAP协议报文可以为ΕΑΡ-Response报文。Radius客户端605,还可以用于将EAP协议报文承载在Radius协议上逐一发送给 Radius服务器。承载在 Radius 协议上可以将 ΕΑΡ-Response 报文携带在 RadiusAccess-Request 报文的扩展属性中。此时,ASE 603,还可以用于对接收到的WAI证书鉴别请求的所有分片进行重组, 并按照最大传输单元长度将WAI证书鉴别响应进行分片后,将WAI证书鉴别响应的各分片 逐一返回给Radius服务器602。更优地,Radius客户端605每发送携带WAI证书鉴别请求的一个分片的EAP协 议报文后,如果在设定时间内接收到ASE 603经由Radius服务器602返回的确认报文,则 发送携带WAI证书鉴别请求的下一个分片的EAP协议报文;如果在设定时间内没有接收到 ASE 603经由Radius服务器602返回的确认报文,则重传携带WAI证书鉴别请求的一个分 片的EAP报文。该确认报文的传输方式和WAI证书鉴别响应相同。另外,ASE 603每发送携带WAI证书鉴别响应的一个分片后,如果在设定时间内接 收到AE 601经由Radius服务器602返回的确认报文,则发送WAI证书鉴别响应的下一个 分片;如果在设定时间内没有接收到AE 601经由Radius服务器602返回的确认报文,则重 传该WAI证书鉴别响应的一个分片。该确认报文的传输方式和WAI证书鉴别请求相同。由以上描述可以看出,本发明提供的方法和系统可以具备以下优点
1)通过将WAI证书鉴别请求封装在EAP协议报文中,利用EAP协议报文能够承载 在Radius协议上的特性,将WAI与Radius协议进行耦合,复用现有的Radius协议实现WAI 身份认证,以使得WAI身份认证与包含Radius服务器的现有运营网络兼容。2)由于Radius协议具备承载EAP报文的功能,因此无需对Radius服务器进行特 殊的修改和配置,仅需要增加ASE对EAP报文的处理功能,或增加Radius服务器对EAP报 文中封装的WAI报文的剥离功能,然后ASE按照现有WAI标准进行处理,减小网络部署的复 杂性。3)应用本发明所提供的方法实现身份认证后,能够与Radius服务器的授权和计 费功能进行平滑地过渡,使WAI协议与Radius服务器的授权过程实现松耦合。以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精 神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明保护的范围之内。
权利要求
一种身份认证的方法,其特征在于,该方法包括A、远程拨号用户认证Radius服务器接收鉴别器实体AE发送的承载在Radius协议上的可扩展认证架构EAP协议报文,将该EAP协议报文中封装的无线局域网鉴别基础结构WAI证书鉴别请求发送给鉴别服务实体ASE;B、接收所述ASE发送的WAI证书鉴别响应,将封装了WAI证书鉴别响应的EAP协议报文承载在Radius协议上发送给所述AE。
2.根据权利要求1所述的方法,其特征在于,EAP协议报文在Radius协议上的承载具 体为将所述EAP协议报文携带在Radius报文的扩展属性中。
3.根据权利要求1所述的方法,其特征在于,所述WAI证书鉴别请求或所述WAI证书 鉴别响应封装在EAP协议报文的数据Data域中,且该EAP协议报文的类型Type域标识WAI 协议类型。
4.根据权利要求1所述的方法,其特征在于,步骤A中所述Radius服务器接收AE发 送的承载在Radius协议上的EAP协议报文具体为所述Radius服务器接收所述AE发送的 Radius接入请求,该Radius接入请求的扩展属性中携带封装了证书鉴别请求的EAP响应报 文;步骤B中所述将封装了 WAI证书鉴别响应的EAP协议报文承载在Radius协议上发送 给所述AE具体为所述Radius服务器向所述AE发送Radius接入验证报文,该Radius接 入验证报文的扩展属性中携带封装了证书鉴别响应的EAP请求报文。
5.根据权利要求4所述的方法,其特征在于,在所述步骤B之后还包括如果所述Radius服务器接收到所述ASE发送的EAP成功报文,则向所述AE发送扩展 属性中携带所述EAP成功报文和授权信息的Radius接入授权报文;如果所述Radius服务器接收到所述ASE发送的EAP失败报文,则向所述AE发送扩展 属性中携带所述EAP失败报文的Radius接入拒绝报文。
6.根据权利要求1所述的方法,其特征在于,步骤A中所述将该EAP协议报文中封装的 WAI证书鉴别请求发送给ASE具体包括所述Radius服务器将封装了 WAI证书鉴别请求的 EAP报文发送给所述ASE ;或者,将WAI证书鉴别请求从EAP报文中剥离,并将WAI证书鉴别 请求发送给所述ASE ;或者,将封装了 WAI证书鉴别请求的EAP协议报文承载在Radius协 议上发送给所述ASE ;或者,将封装了 WAI证书鉴别请求的EAP协议报文承载在所述Radius 服务器和ASE预先约定的协议上发送给所述ASE ;步骤B中所述接收所述ASE发送的WAI证书鉴别响应具体包括所述Radius服务器 接收所述ASE发送的封装了 WAI证书鉴别响应的EAP报文;或者,接收所述ASE直接发送的 WAI证书鉴别响应;或者,接收所述ASE发送的承载在Radius协议上且封装了 WAI证书鉴 别响应的EAP协议报文;或者,接收所述ASE发送的承载在所述Radius服务器和ASE预先 约定的协议上且封装了 WAI证书鉴别响应的EAP协议报文。
7.根据权利要求1至6任一权项所述的方法,其特征在于,在所述步骤A之前还包括 所述AE按照最大传输单元长度将WAI证书鉴别请求进行分片后,将WAI证书鉴别请求的各 分片分别封装在EAP协议报文中,并将各EAP协议报文承载在Radius协议上逐一发送给所 述Radius服务器;在所述步骤A和步骤B之间还包括所述ASE对接收到的WAI证书鉴别请求的所有分片进行重组,并按照最大传输单元长度将WAI证书鉴别响应进行分片后,将WAI证书鉴别响 应的各分片逐一发送给所述Radius服务器。
8.根据权利要求7所述的方法,其特征在于,该方法还包括所述AE每发送WAI证书 鉴别请求的一个分片后,如果在设定时间内接收到所述ASE经由所述Radius服务器返回的 确认报文,则发送WAI证书鉴别请求的下一个分片;如果在设定时间内没有接收到所述ASE 经由所述Radius服务器返回的确认报文,则重传所述WAI证书鉴别请求的一个分片;所述ASE每发送WAI证书鉴别响应的一个分片后,如果在设定时间内接收到所述AE经 由所述Radius服务器返回的确认报文,则发送WAI证书鉴别响应的下一个分片;如果在设 定时间内没有接收到所述AE经由所述Radius服务器返回的确认报文,则重传所述WAI证 书鉴别响应的一个分片。
9.一种身份认证的系统,其特征在于,该系统包括AE、Radius服务器和ASE ;所述AE,用于将封装了 WAI证书鉴别请求的EAP协议报文承载在Radius协议上发送 给所述Radius服务器;接收所述Radius服务器发送的承载在Radius协议上且封装了 WAI 证书鉴别响应的EAP协议报文;所述Radius服务器,用于将所述WAI证书鉴别请求发送给所述ASE ;接收来自所述ASE 的WAI证书鉴别响应,将封装了 WAI证书鉴别响应的EAP协议报文承载在Radius协议上发 送给所述AE;所述ASE,用于接收所述WAI证书鉴别请求,并向所述Radius服务器发送WAI证书鉴别 响应。
10.根据权利要求9所述的系统,其特征在于,所述AE将封装了WAI证书鉴别请求的 EAP协议报文携带在Radius报文的扩展属性中;所述Radius服务器将封装了 WAI证书鉴别响应的EAP协议报文携带在Radius报文的 扩展属性中。
11.根据权利要求9所述的系统,其特征在于,所述WAI证书鉴别请求或所述WAI证书 鉴别响应封装在EAP协议报文的Data域中,且该EAP协议报文的Type域标识WAI协议认 证类型。
12.根据权利要求9所述的系统,其特征在于,所述AE向所述Radius服务器发送 Radius接入请求,该Radius接入请求的扩展属性中携带封装了 WAI证书鉴别请求的EAP响 应报文;所述Radius服务器向所述AE发送Radius接入验证报文,该Radius接入验证报文的 扩展属性中携带封装了 WAI证书鉴别响应的EAP请求报文。
13.根据权利要求12所述的系统,其特征在于,所述Radius服务器,还用于如果接收到 所述ASE返回的EAP成功报文,则向所述AE发送扩展属性中携带所述EAP成功报文和授权 信息的Radius接入授权报文;如果接收到所述ASE返回的EAP失败报文,则向所述AE发送 扩展属性中携带所述EAP失败报文的Radius接入拒绝报文;所述ASE,还用于在发送完所述WAI证书鉴别响应后,如果鉴别成功,则向所述Radius 服务器返回EAP成功报文,如果鉴别失败,则向所述Radius服务器返回EAP失败报文。
14.根据权利要求9所述的系统,其特征在于,所述Radius服务器将封装了WAI证书 鉴别请求的EAP报文发送给所述ASE ;或者,将WAI证书鉴别请求从EAP报文中剥离,并将WAI证书鉴别请求发送给所述ASE ;或者,将封装了 WAI证书鉴别请求的EAP协议报文承载 在Radius协议上发送给所述ASE ;或者,将封装了 WAI证书鉴别请求的EAP协议报文承载 在所述Radius服务器和ASE预先约定的协议上发送给所述ASE ;所述ASE将封装了 WAI证书鉴别响应的EAP报文发送给所述Radius服务器;或者,仅 将WAI证书鉴别响应发送给所述Radius服务器;或者,将封装了 WAI证书鉴别响应的EAP 协议报文承载在Radius协议上发送给所述Radius服务器;或者,将封装了 WAI证书鉴别响 应的EAP协议报文承载在所述Radius服务器和ASE预先约定的协议上发送给所述Radius 服务器。
15.根据权利要求9至14任一权项所述的系统,其特征在于,所述AE包括WAI模块和 Radius客户端;所述WAI模块,用于按照最大传输单元长度将WAI证书鉴别请求进行分片后,将WAI证 书鉴别请求的各分片分别封装在EAP协议报文中提供给所述Radius客户端;所述Radius客户端,用于将所述EAP协议报文承载在Radius协议上逐一发送给所述 Radius服务器;所述ASE,还用于对接收到的WAI证书鉴别请求的所有分片进行重组,并按照最大传输 单元长度将WAI证书鉴别响应进行分片后,将WAI证书鉴别响应的各分片逐一返回给所述 Radius服务器。
16.根据权利要求15所述的系统,其特征在于,所述Radius客户端每发送携带WAI证 书鉴别请求的一个分片的EAP协议报文后,如果在设定时间内接收到所述ASE经由所述 Radius服务器返回的确认报文,则发送携带WAI证书鉴别请求的下一个分片的EAP协议报 文;如果在设定时间内没有接收到所述ASE经由所述Radius服务器返回的确认报文,则重 传携带所述WAI证书鉴别请求的一个分片的EAP报文;所述ASE每发送WAI证书鉴别响应的一个分片后,如果在设定时间内没有接收到所述 AE经由所述Radius服务器返回的确认报文,则发送WAI证书鉴别响应的下一个分片;如果 在设定时间内没有接收到所述AE经由所述Radius服务器返回的确认报文,则重传所述WAI 证书鉴别响应的一个分片。
17.一种身份认证的方法,其特征在于,该方法包括A、AE将封装了WAI证书鉴别请求的EAP协议报文承载在Radius协议上发送给Radius 服务器;B、接收Radius服务器返回的承载在Radius协议上且封装了WAI证书鉴别响应的EAP 协议报文。
18.根据权利要求17所述的方法,其特征在于,EAP协议报文在Radius协议上的承载 具体为将所述EAP协议报文携带在Radius报文的扩展属性中。
19.根据权利要求17所述的方法,其特征在于,所述WAI证书鉴别请求或所述WAI证书 鉴别响应封装在EAP协议报文的Data域中,且该EAP协议报文的Type域标识WAI协议类 型。
20.根据权利要求17所述的方法,其特征在于,所述步骤A具体包括所述AE向所述 Radius服务器发送Radius接入请求,该Radius接入请求的扩展属性中携带封装了 WAI证 书鉴别请求的EAP响应报文;所述步骤B具体包括所述AE接收Radius服务器返回的Radius接入验证报文,该 Radius接入验证报文的扩展属性中携带封装了 WAI证书鉴别响应的EAP请求报文。
21.根据权利要求17至20任一权项所述的方法,其特征在于,所述步骤A具体包括 所述AE按照最大传输单元长度将WAI证书鉴别请求进行分片后,将WAI证书鉴别请求的各 分片分别封装在WAP协议报文中,并将各EAP协议报文承载在Radius协议上逐一发送给所 述Radius服务器;所述步骤B中EAP协议中封装的WAI证书鉴别响应为符合最大传输单元长度的WAI证 书鉴别响应的分片。
22.根据权利要求21所述的方法,其特征在于,该方法还包括所述AE每发送WAI证 书鉴别请求的一个分片后,如果在设定时间内接收到确认报文,则发送WAI证书鉴别请求 的下一个分片;如果在设定时间内没有接收到所述确认报文,则重传所述WAI证书鉴别请 求的一个分片;所述AE每接收到WAI证书鉴别响应的一个分片,向Radius服务器回复确认报文。
23.—种AE,其特征在于,该AE包括WAI模块和Radius客户端;所述WAI模块,用于将WAI证书鉴别请求封装在EAP协议报文中,将该EAP协议报文提 供给所述Radius客户端;获取所述Radius客户端提供的EAP协议报文中封装的WAI证书 鉴别响应;所述Radius客户端,用于将所述WAI模块提供的EAP协议报文承载在Radius协议上 发送给Radius服务器;接收Radius服务器返回的承载在Radius协议上的EAP协议报文, 并将该EAP协议报文提供给所述WAI模块。
24.根据权利要求23所述的AE,其特征在于,所述WAI模块将所述WAI证书鉴别请求 封装在EAP协议报文的Data域中,且该EAP协议报文的Type域标识WAI协议类型;所述Radius客户端将所述WAI模块提供的EAP协议报文携带在Radius报文的扩展属 性中。
25.根据权利要求23所述的AE,其特征在于,所述WAI模块具体将所述WAI证书鉴别 请求封装在EAP响应报文中;获取所述Radius客户端提供的EAP请求报文中封装的WAI证 书鉴别响应;所述Radius客户端将所述EAP响应报文携带在Radius接入请求的扩展属性中;接收 扩展属性中携带了 EAP请求报文的Radius接入验证报文,将该EAP请求报文提供给所述 WAI模块。
26.根据权利要求23至15任一权项所述的AE,其特征在于,所述WAI模块还用于按照 最大传输单元长度将WAI证书鉴别请求进行分片后,将WAI证书鉴别请求的各分片分别封 装在EAP协议报文中提供给所述Radius客户端;所述Radius客户端还用于将所述EAP协议报文承载在Radius协议上逐一发送给所述 Radius服务器。
27.根据权利要求26所述的AE,其特征在于,所述Radius客户端每发送WAI证书鉴别 请求的一个分片后,如果在设定时间内接收到确认报文,则发送WAI证书鉴别请求的下一 个分片;如果在设定时间内没有接收到所述确认报文,则重传所述WAI证书鉴别请求的一 个分片。
全文摘要
本发明提供了一种身份认证的方法、系统和鉴别器实体(AE),其中,方法包括远程拨号用户认证(Radius)服务器接收AE发送的承载在Radius协议上的可扩展认证架构(EAP)协议报文,将该EAP协议报文中封装的无线局域网鉴别基础结构(WAI)证书鉴别请求发送给鉴别服务实体(ASE);接收所述ASE返回的WAI证书鉴别响应,将封装了WAI证书鉴别响应的EAP协议报文承载在Radius协议上发送给所述AE。本发明能够使得WAI身份认证与现有运营网络兼容,减小网络部署的复杂性。
文档编号H04W28/06GK101925058SQ20091008665
公开日2010年12月22日 申请日期2009年6月16日 优先权日2009年6月16日
发明者史扬, 王飓, 蔡自彬 申请人:杭州华三通信技术有限公司
完整全部详细技术资料下载
  • 该技术已申请专利。仅供学习研究,如用于商业用途,请联系技术所有人。
  • 技术研发人员:史扬;王飓;蔡自彬
  • 技术所有人:杭州华三通信技术有限公司
  • 我是此专利的发明人
相关技术
网友询问留言 已有0条留言
  • 还没有人留言评论。精彩留言会获得点赞!
1
精彩留言,会给你点赞!
身份认证系统相关技术
中通身份认证系统相关技术
统一身份认证系统相关技术
浙大统一身份认证系统相关技术
中通快递身份认证系统相关技术
公安部身份认证系统相关技术
eid身份认证系统相关技术
养老保险身份认证系统相关技术
身份认证管理系统相关技术

使用协议| 关于我们| 联系X技术

© 2008-2024 【X技术】 版权所有,并保留所有权利。津ICP备16005673号-2