专利名称:一种身份认证的方法、系统和鉴别器实体的制作方法
技术领域:
本发明涉及网络通信安全技术,特别涉及一种身份认证的方法、系统和鉴别器实 体。
背景技术:
无线局域网鉴别和保密基础结构(WAPI,WLAN Authentication andPrivacy Infrastructure)是实现无线局域网安全的协议。WAPI采用公钥密钥体制的椭圆曲线密 码算法和对称密码体制的分组密码算法,用于无线局域网(WLAN,Wireless Local Area Network)设备的数字证书、证书鉴别、密钥协商和传输数据的加解密,从而实现设备的身份 鉴别、链路验证,访问控制和用户信息在无线传输状态下的加密保护。WAPI 是无线局域网鉴别基础结构(WAI,WLAN AuthenticationInfrastructure) 和无线局域网保密基础结构(WPI,WLAN PrivacyInfrastructure)两个协议的统称。其中 WAI协议解决无线局域网中的身份认证问题,WPI协议解决无线局域网中信息的保密传输 问题。WAI协议是WAPI协议中最重要和最基础的部分,只有实现了身份认证才可以进行数 据传输。WAI用椭圆曲线加密体制(ECC,Elliptic Curve encryption algorithm)技术实 现了身份的双向认证问题,即无线终端对AP (Access Point,接入点)的认证,和AP对无线 终端的认证,只有无线终端确认AP为合法接入点和AP确认无线终端为合法无线终端后双 方才可以进行通信。现有技术中,上述身份认证必须经过可信的第三方即鉴别服务实体(ASE, Authentication Service Entity)才可以实现。图1为现有技术中WAPI鉴别流程图,如图 1所示,WAPI鉴别流程可以包括以下步骤步骤101 移动终端登录AP。步骤102 =AP中的鉴别器实体(AE,Authenticator Entity)激活身份认证过程。步骤103 :AP与应用服务器(AS,Application Service)进行证书鉴别请求和证书 鉴别响应的交互,从而进行身份认证。其中,证书鉴别请求中携带移动终端和AP的证书信 息,设置在AS服务器中的ASE对证书信息进行鉴别后,将鉴别结果携带在证书鉴别响应中。步骤104 移动终端与AP进行密钥协商。步骤105 =AP根据鉴别结果对移动终端进行接入控制。然而,上述现有技术的流程中,WAI协议支持使用用户数据报协议(UDP,User Datagram Protocol)进行传输封装,在步骤103中AP向AS服务器发送的证书鉴别请求, 以及AS回复的证书鉴别响应都需要按照额外定义的鉴别控制协议进行传输,与现有运营 网络中已经具有认证、授权和计费功能的远程拨号用户认证(Radius)服务器所采用的 Radius协议并不兼容,这就造成了 WAI和现有网络的融合存在很大困难;并且,如果除了认 证过程之外,还需要对用户进行授权和计费处理,则需要同时部署Radius服务器,并额外 增加Portal认证过程以与Radius服务器的授权过程相融合,增加了网络部署的复杂性。
发明内容
有鉴于此,本发明提供了一种身份认证的方法、系统和AE,以便于WAI身份认证与 现有运营网络兼容,减小网络部署的复杂性。一种身份认证的方法,该方法包括A、Radius服务器接收AE发送的承载在Radius协议上的EAP协议报文,将该EAP 协议报文中封装的WAI证书鉴别请求发送给ASE ;B、接收所述ASE发送的WAI证书鉴别响应,将封装了 WAI证书鉴别响应的EAP协 议报文承载在Radius协议上发送给所述AE。一种身份认证的系统,该系统包括AE、Radius服务器和AS E ;所述AE,用于将封装了 WAI证书鉴别请求的EAP协议报文承载在Radius协议上 发送给所述Radius服务器;接收所述Radius服务器发送的承载在Radius协议上且封装了 WAI证书鉴别响应的EAP协议报文;所述Radius服务器,用于将所述WAI证书鉴别请求发送给所述ASE ;接收来自所 述ASE的WAI证书鉴别响应,将封装了 WAI证书鉴别响应的EAP协议报文承载在Radius协 议上发送给所述AE;所述ASE,用于接收所述WAI证书鉴别请求,并向所述Radius服务器发送WAI证书 鉴别响应。一种身份认证的方法,该方法包括A、AE将封装了 WAI证书鉴别请求的EAP协议报文承载在Radius协议上发送给 Radius服务器;B、接收Radius服务器返回的承载在Radius协议上且封装了 WAI证书鉴别响应的 EAP协议报文。一种AE,该AE包括WAI模块和Radius客户端;所述WAI模块,用于将WAI证书鉴别请求封装在EAP协议报文中,将该EAP协议报 文提供给所述Radius客户端;获取所述Radius客户端提供的EAP协议报文中封装的WAI 证书鉴别响应;所述Radius客户端,用于将所述WAI模块提供的EAP协议报文承载在Radius协 议上发送给Radius服务器;接收Radius服务器返回的承载在Radius协议上的EAP协议报 文,并将该EAP协议报文提供给所述WAI模块。由以上技术方案可以看出,本发明提供的方法和系统通过将WAI证书鉴别请求封 装在EAP协议报文中,利用EAP协议报文能够承载在Radius协议上的特性,将WAI与Radius 协议进行耦合,复用现有的Radius协议实现WAI身份认证,以使得WAI身份认证与包含 Radius服务器的现有运营网络兼容。并且,由于Radius协议具备承载EAP报文的功能,因 此无需对Radius服务器进行特殊的修改和配置,ASE也仅需要按照现有WAI标准进行处理, 减小网络部署的复杂性。
图1为现有技术中WAPI鉴别流程图;图2为本发明实施例提供的详细方法流程图3为本发明实施例提供的EAP协议报文格式示意图;图4为本发明实施例提供的进行分片处理的身份认证过程流程图;图5为WAI协议报文的格式示意图;图6为本发明实施例提供的系统结构图。
具体实施例方式为了使本发明的目的、技术方案和优点更加清楚,下面结合附图和具体实施例对 本发明进行详细描述。互联网工程任务组(IETF)的RFC3748定义了可扩展认证构架(EAP)协议,该EAP 可以封装多种认证方法,例如已有的EAP-TLS和EAP-MD5等,各认证方法通过EAP封装时, 具体认证过程完全对EAP透明,且EAP可以承载在多种传输协议上,例如链路层的802. 3、 802. 11协议、或者应用层的Radius协议等。基于EAP协议的上述特点,本发明可以利用EAP协议将Radius协议和WAI进行耦 合,所提供的方法主要包括=Radius服务器接收AE发送的承载在Radius协议上的EAP协 议报文,并将该EAP协议报文中封装的WAI证书鉴别请求发送给ASE ;接收ASE返回的WAI 证书鉴别响应,并将封装了 WAI证书鉴别响应的EAP协议报文承载在Radius协议上发送给 AE。下面结合具体实施例对上述方法进行详细描述。图2为本发明实施例提供的详细 方法流程图,如图2所示,该方法可以包括以下步骤步骤201 =AE中的身份认证过程被激活后,向Radius服务器发送扩展属性中携带 EAP协议报文的Radius接入请求报文(Radius Access-Request),其中,EAP协议报文中封 装了证书鉴另lJi青求(Certificate AuthenticationRequest)。本步骤中涉及的AE通常设置在AP中。由于Radius报文已经很好的支持了 EAP属性扩展,即可以利用Radius报文中的 ΕΑΡ-message属性(类型标识为79)来携带EAP协议报文,不需要对Radius服务器进行额 外的特殊配置和处理。在利用EAP协议报文对证书鉴别请求进行封装时,可以对EAP协议报文进行扩展。 图3为EAP协议报文的格式示意图,EAP协议报文中的编码(Code)域用于携带EAP类型,置 为1时可以标识该EAP协议报文为EAP请求(ΕΑΡ-Request)报文,置为2时可以标识该EAP 协议报文为EAP响应(ΕΑΡ-Response)报文,置为3时可以标识该EAP协议报文为EAP成功 (ΕΑΡ-Success)报文,置为4时可以标识该EAP协议报文为EAP失败(ΕΑΡ-Failure)报文。 其中,ΕΑΡ-Request报文和ΕΑΡ-Response报文中可以携带具体的认证报文,即当code为2 时,报文中的数据(Data)域可以携带本发明中涉及的证书鉴别请求,当code为1时EAP协 议报文中的Data域可以携带本发明中涉及的证书鉴别响应。类别(Type)域用于标识认证 方法类型,每一种类型采用一个整数来唯一标识,本发明中可以采用13来标识WAI协议认 证类型,即该EAP报文封装了 WAI协议报文。标识符(Identifier)域和长度(Length)域 的含义与现有含义相同,不再赘述。本步骤中封装了证书鉴别请求的EAP协议报文为ΕΑΡ-Response报文,如图2中所
7J\ ο
步骤202 =Radius服务器接收到Radius Access-Request后,根据其中EAP协议报 文的Type域确定该EAP协议报文中封装了 WAI协议报文,将EAP协议报文发送给ASE。Radius服务器接收到Radius Access-Request后,根据其中EAP协议报文的Type 域如果确定出该EAP协议报文中封装了 WAI协议报文,本步骤中为封装了证书鉴别请求,则 确定应由ASE进行处理,如果是该Radius服务器所具备认证功能的认证报文,则Radius服 务器直接对该EAP协议报文中携带的认证报文进行认证处理。本步骤中,Radius服务器将证书鉴别请求发送给ASE的方式可以包括以下几种方 式其一、当Radius和ASE属于同一个应用进程时,例如ASE设置在Radius服务器中, 则Radius服务器可以将Radius Access-Request上承载的EAP协议报文发送给ASE ;也可 以将证书鉴别请求从EAP协议报文中剥离后发送给ASE。其二、当Radius服务器和ASE不属于同一个应用进程时,例如Radius服务器和 ASE进行分布式设置,则Radius服务器可以将RadiusAccess-Request直接转发给ASE ;也 可以将EAP协议报文承载在Radius服务器和ASE之间约定的协议上发送给ASE。本实施例中,以Radius服务器和ASE之间通过EAP协议报文进行交互为例,即 Radius服务器之间通过EAP协议报文来交互证书鉴别请求和证书鉴别响应。步骤203 =ASE按照标准的WAI协议对证书鉴别请求进行处理后,将证书鉴别响应 封装在EAP协议报文中发送给Radius服务器。证书鉴别响应也携带在EAP协议报文的Data域中,EAP协议报文的Code域置为 1。同样,如果Radius服务器和ASE属于同一个应用进程,则ASE可以将封装了证 书鉴别响应的EAP协议报文发送给Radius服务器;也可以直接将证书鉴别请求发送给 Radius服务器。如果Radius服务器和ASE不属于同一个应用进程,则ASE可以将封装了 证书鉴别响应的EAP协议报文承载在Radius协议上发送给Radius服务器;也可以将封 装了证书鉴别响应的EAP协议报文承载在Radius服务器和ASE之间约定的协议上发送给 Radius服务器。本步骤中,封装了证书鉴别响应的EAP协议报文为ΕΑΡ-Request报文,如图2所
7J\ ο 步骤204 =Radius服务器将来自ASE的EAP协议报文承载在Radius接入验证报文 (Radius Access-Challenge)上发送给 AE0本步骤中,可以利用Radius报文中的ΕΑΡ-message属性携带封装了证书鉴别响应 的EAP协议报文。步骤205 =AE接收到Radius Access-Challenge后,获取证书鉴别响应,向Radius 服务器再次发送扩展属性中携带EAP协议报文的RadiusAccess-Request,其中,EAP协议报 文中封装了确认消息。步骤206 =Radius服务器接收到Radius Access-Request后,根据其中EAP协议报 文的Type域确定该EAP协议报文中封装了 WAI协议报文,将EAP协议报文发送给ASE。步骤205和步骤206中的报文携带方式与步骤201和步骤202中的报文携带方式 相同,不再赘述。
步骤207 =ASE接收到封装了确认消息的EAP协议报文后,如果鉴别结果为鉴别成 功,则将ΕΑΡ-Success报文发送给Radius服务器。本步骤中,如果ASE完成的证书鉴别结果为鉴别失败,则将ΕΑΡ-Failure报文中发 送给Radius服务器。需要说明的是,步骤205和206中涉及的确认消息是AE在接收到证书鉴别响应后 发送的,该确认消息封装在EAP协议报文中的方式可以为data域为空,Type域仍指示该 EAP协议报文中封装了 WAI协议报文。ASE接收到该封装了确认消息的EAP协议报文后,触 发根据鉴别结果发送ΕΑΡ-Success报文或ΕΑΡ-Failure报文。步骤208 =Radius服务器将EAP-Success和授权信息承载在Radius协议中发送给 AE。本步骤中,如果鉴别结果为鉴别成功,即Radius服务器接收到ΕΑΡ-Success报文, 则Radius服务器将携带ΕΑΡ-Success报文和授权信息的Radius Access-Accept报文发送 给AE ;如果鉴别结果为鉴别失败,即Radius服务器接收到ΕΑΡ-Failure报文,则Radius服 务器将携带ΕΑΡ-Failure报文的Radius Access-Reject报文发送给AE。图2中以鉴别成 功为例。需要说明的是,由于Radius Access-Acc印t报文是用于Radius服务器进行授权 的报文,在进行身份认证成功后,Radius服务器可以直接平滑地连接授权过程,使WAI协议 与Radius服务器的授权过程实现松耦合。由于在某些情况下,证书鉴别请求和证书鉴别响应中包含较多信息致使证书鉴别 请求和证书鉴别响应超过Radius协议中规定的最大传输单元长度,此时需要对证书鉴别 请求和证书鉴别响应进行分片处理,使其携带在EAP报文并承载在Radius协议上时不超过 规定的最大传输单元长度,这就需要在AE和ASE上实现报文的分片功能。下面对进行分片 处理时的身份认证过程进行详细描述,如图4所示,该过程可以包括以下步骤步骤401 :AE在接收到移动终端的接入鉴别请求报文后,生成证书鉴别请求, 按照最大传输单元长度将证书鉴别请求进行分片后,将证书鉴别请求的各分片分别封 装在ΕΑΡ-Response报文中,首先将封装了第一个分片的EAP协议报文携带在Radius Access-Request报文中发送给Radius服务器。在WAPI标准协议中已经规定了对于WAI协议报文的分片方法,本发明中对于证书 鉴别请求的分片只要按照现有协议的方法即可,WAI协议报文的格式如图5所示,其中,分 片序号字段和标识字段用于对报文进行分片时使用,其中,分片序号字段中携带分片的顺 序编号,例如一个证书鉴别请求的第一个分片序号为0,后续依次加1。标识字段用于标识 是否还有后续分片,例如,值为0时可以表示没有后续分片,即该分片为最后一个分片。本步骤中,接收到移动终端的接入鉴别请求报文后,生成证书鉴别请求,按照 最大传输单元长度将证书鉴别请求进行分片后,将证书鉴别请求的各分片分别封装在 ΕΑΡ-Response报文中的操作由AE中的WAI模块执行;将封装了第一个分片的EAP协议报 文携带在Radius Access-Request报文中发送给Radius服务器由AE中的Radius客户端 执行。步骤402 =Radius服务器根据ΕΑΡ-Response报文中的Type域识别出需要ASE进 行处理,剥离出ΕΑΡ-Response报文发送给ASE。
步骤403 =ASE接收到封装了第一个分片的ΕΑΡ-Response报文后,将确认报文封装 在ΕΑΡ-Request报文中返回给Radius服务器。步骤404 =Radius服务器将封装了确认报文的ΕΑΡ-Request报文携带在Radius Access-Challenge 报文中返回给 AE。步骤405 =AE如果在设定时间内接收到确认报文,则将封装了证书鉴别请求的下 一个分片的ΕΑΡ-Response报文携带在Radius Access-Request报文中发送给Radius服务
ο如果没有在设定时间内接收到该确认报文,则对上一个分片进行重传处理,这样 使得某个分片的报文丢失了,只要重传这个丢失的报文即可,能够有效的提高分片报文的 传输效率。按照上面的步骤将证书鉴别请求的所有分片发送完毕后(中间过程不再一一赘 述),执行步骤406。步骤406 =ASE对接收到的证书鉴别请求的所有分片进行重组,并按照最大传输单 元长度将证书鉴别响应进行分片后,将证书鉴别响应的各分片封装在ΕΑΡ-Request报文中 逐一返回给Radius服务器。当ASE接收到的证书鉴别请求的标识字段标识后续没有分片时,确定所有分片接 收完毕,则可以按照分片序号对接收到的证书鉴别请求的各分片进行重组。步骤407 =Radius服务器接收到封装了证书鉴别响应的分片的ΕΑΡ-Request报文 后,将ΕΑΡ-Request报文,封装在Radius Access-Challenge报文中发送给AE。步骤408 =AE对证书鉴别响应报文的所有分片进行重组。同样在步骤406-步骤408的过程中,AE每接收到证书鉴别响应报文的一个分片 都会回复一个确认报文,ASE在设定时间内接收到确认报文后,进行下一个分片的发送,否 则重传发送的分片,该过程不再具体描述。另外,AE也可以在步骤410之后进行重组。步骤409 :ASE发送完证书鉴别响应后,如果鉴别成功,则向Radius服务器发送 ΕΑΡ-Success 报文。如果鉴别失败,则向Radius服务器发送ΕΑΡ-Failure报文步骤410 =Radius服务器接收到EAP-Success报文后,将EAP-Success报文和授权 信息携带在Radius Access-Accept报文的扩展属性中发送给AE,从而完成授权过程。Radius服务器接收到EAP-Failure报文后,将ΕΑΡ-Failure报文携带在Radius Access-Accept报文的扩展属性中发送给AE。鉴别成功后,AE就可以利用重组后得到的证书鉴别响应报文,继续协议WAPI协议 规定的密钥协商过程。以上是对本发明所提供的方法进行的详细描述,下面对本发明所提供的系统进行 详细描述。图6为本发明实施例提供的系统结构图,如图6所示,该系统可以包括:AE 601、 Radius 服务器 602 和 ASE 603。AE 601,用于将封装了 WAI证书鉴别请求的EAP协议报文承载在Radius协议上 发送给Radius服务器602 ;接收Radius服务器602发送的承载在Radius协议上且封装了 WAI证书鉴别响应的EAP协议报文。
Radius服务器602,用于将WAI证书鉴别请求发送给ASE 603 ;接收来自ASE 603 的WAI证书鉴别响应,将封装了 WAI证书鉴别响应的EAP协议报文承载在Radius协议上发 送给AE 601。ASE 603,用于接收WAI证书鉴别请求,并向Radius服务器602返回WAI证书鉴别 响应。上述AE 601可以设置在AP中,ASE 603可以设置在AS服务器中,也可以设置在 Radius服务器602中。具体地,AE 601可以将封装了 WAI证书鉴别请求的EAP协议报文携带在Radius报 文的扩展属性中,从而实现EAP协议报文在Radius协议上的承载。Radius服务器602可以将封装了 WAI证书鉴别响应的EAP协议报文携带在Radius 报文的扩展属性中,从而实现EAP协议报文在Radius协议上的承载。其中,上述WAI证书鉴别请求或WAI证书鉴别响应可以封装在EAP协议报文的 Data域中,且该EAP协议报文的Type域标识WAI协议认证类型。Radius服务器接收到AE 601发送的承载在Radius协议上且封装了 WAI证书鉴别请求的EAP协议报文后,如果确定 该EAP协议报文的Type域标识WAI协议认证类型,则将WAI证书鉴别请求发送给ASE 603。AE 601和Radius服务器602之间具体的报文交互过程可以为AE 601 向 Radius 月艮务器 602 发送 Radius Access-Request,该 RadiusAccess-Request的扩展属性中携带封装了证书鉴别请求的ΕΑΡ-Response报文。Radius 服务器 602 向 AE 601 发送 Radius Access-Challenge 报文,该 RadiusAccess-Challenge报文的扩展属性中携带封装了证书鉴别响应的ΕΑΡ-Request报 文。另外,Radius服务器602,还可以用于如果接收到ASE 603返回的EAP-Success报 文,则向AE 601发送Radius Access-Acc印t报文,该RadiusAccess-Acc^pt的扩展属性中 携带EAP-Success报文和授权信息;或者,如果接收到ASE 603返回的ΕΑΡ-Failure报文, 则向 AE 601 发送 Radius Access-Reject 报文,该 Radius Access-Reject 报文的扩展属性 中携带ΕΑΡ-Failure报文。此时,ASE 603,还用于在发送完证书鉴别响应后,如果鉴别成功,则向Radius服 务器602返回ΕΑΡ-Success报文,如果鉴别失败,则向Radius服务器602返回EAP-Failure 报文。Radius服务器602和ASE 603之间交互WAI证书鉴别请求和WAI证书鉴别响应的 过程可以为Radius服务器602将封装了 WAI证书鉴别请求的EAP报文发送给ASE603 ;或者, 将WAI证书鉴别请求从EAP报文中剥离,并将WAI证书鉴别请求发送给ASE 603 ;或者,将 封装了 WAI证书鉴别请求的EAP协议报文承载在Radius协议上发送给ASE 603 ;或者,将 封装了 WAI证书鉴别请求的EAP协议报文承载在Radius服务器602和ASE 603预先约定 的协议上发送给ASE603。ASE 603将封装了 WAI证书鉴别响应的EAP报文发送给Radius服务器602 ;或者, 仅将WAI证书鉴别响应发送给Radius服务器602 ;或者,将封装了 WAI证书鉴别响应的EAP 协议报文承载在Radius协议上发送给Radius服务器602 ;或者,将封装了 WAI证书鉴别响应的EAP协议报文承载在Radius服务器602和ASE 603预先约定的协议上发送给Radius 服务器602。其中,上述AE 601可以包括WAI模块604和Radius客户端605。WAI模块604,用于将WAI证书鉴别请求封装在EAP协议报文中,将该EAP协议报 文提供给Radius客户端605 ;获取Radius客户端605提供的EAP协议报文中封装的WAI证 书鉴别响应。Radius客户端605,用于将WAI模块604提供的EAP协议报文承载在Radius协议 上发送给Radius服务器602 ;接收Radius服务器602返回的承载在Radius协议上的EAP 协议报文,并将该EAP协议报文提供给WAI模块604。具体地,WAI模块604将WAI证书鉴别请求封装在EAP协议报文的Data域中,且 该EAP协议报文的Type域标识WAI协议类型。Radius客户端605将WAI模块604提供的EAP协议报文携带在Radius报文的扩
展属性中。另外,WAI模块604可以具体将WAI证书鉴别请求封装在ΕΑΡ-Response报文中; 获取Radius客户端605提供的ΕΑΡ-Request报文中封装的WAI证书鉴别响应。Radius 客户端 605 将 ΕΑΡ-Response 报文携带在 Radius Access-Request 的扩展 属性中;接收扩展属性中携带了 ΕΑΡ-Request报文的Radius Access-chal 1 enge报文,将该 ΕΑΡ-Request报文提供给WAI模块604。当WAI证书鉴别请求和WAI证书鉴别响应需要进行分片处理时,WAI模块604,还 可以用于按照最大传输单元长度将WAI证书鉴别请求进行分片后,将WAI证书鉴别请求的 各分片分别封装在EAP协议报文中提供给Radius客户端605。这里的EAP协议报文可以为ΕΑΡ-Response报文。Radius客户端605,还可以用于将EAP协议报文承载在Radius协议上逐一发送给 Radius服务器。承载在 Radius 协议上可以将 ΕΑΡ-Response 报文携带在 RadiusAccess-Request 报文的扩展属性中。此时,ASE 603,还可以用于对接收到的WAI证书鉴别请求的所有分片进行重组, 并按照最大传输单元长度将WAI证书鉴别响应进行分片后,将WAI证书鉴别响应的各分片 逐一返回给Radius服务器602。更优地,Radius客户端605每发送携带WAI证书鉴别请求的一个分片的EAP协 议报文后,如果在设定时间内接收到ASE 603经由Radius服务器602返回的确认报文,则 发送携带WAI证书鉴别请求的下一个分片的EAP协议报文;如果在设定时间内没有接收到 ASE 603经由Radius服务器602返回的确认报文,则重传携带WAI证书鉴别请求的一个分 片的EAP报文。该确认报文的传输方式和WAI证书鉴别响应相同。另外,ASE 603每发送携带WAI证书鉴别响应的一个分片后,如果在设定时间内接 收到AE 601经由Radius服务器602返回的确认报文,则发送WAI证书鉴别响应的下一个 分片;如果在设定时间内没有接收到AE 601经由Radius服务器602返回的确认报文,则重 传该WAI证书鉴别响应的一个分片。该确认报文的传输方式和WAI证书鉴别请求相同。由以上描述可以看出,本发明提供的方法和系统可以具备以下优点
1)通过将WAI证书鉴别请求封装在EAP协议报文中,利用EAP协议报文能够承载 在Radius协议上的特性,将WAI与Radius协议进行耦合,复用现有的Radius协议实现WAI 身份认证,以使得WAI身份认证与包含Radius服务器的现有运营网络兼容。2)由于Radius协议具备承载EAP报文的功能,因此无需对Radius服务器进行特 殊的修改和配置,仅需要增加ASE对EAP报文的处理功能,或增加Radius服务器对EAP报 文中封装的WAI报文的剥离功能,然后ASE按照现有WAI标准进行处理,减小网络部署的复 杂性。3)应用本发明所提供的方法实现身份认证后,能够与Radius服务器的授权和计 费功能进行平滑地过渡,使WAI协议与Radius服务器的授权过程实现松耦合。以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精 神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明保护的范围之内。
权利要求
一种身份认证的方法,其特征在于,该方法包括A、远程拨号用户认证Radius服务器接收鉴别器实体AE发送的承载在Radius协议上的可扩展认证架构EAP协议报文,将该EAP协议报文中封装的无线局域网鉴别基础结构WAI证书鉴别请求发送给鉴别服务实体ASE;B、接收所述ASE发送的WAI证书鉴别响应,将封装了WAI证书鉴别响应的EAP协议报文承载在Radius协议上发送给所述AE。
2.根据权利要求1所述的方法,其特征在于,EAP协议报文在Radius协议上的承载具 体为将所述EAP协议报文携带在Radius报文的扩展属性中。
3.根据权利要求1所述的方法,其特征在于,所述WAI证书鉴别请求或所述WAI证书 鉴别响应封装在EAP协议报文的数据Data域中,且该EAP协议报文的类型Type域标识WAI 协议类型。
4.根据权利要求1所述的方法,其特征在于,步骤A中所述Radius服务器接收AE发 送的承载在Radius协议上的EAP协议报文具体为所述Radius服务器接收所述AE发送的 Radius接入请求,该Radius接入请求的扩展属性中携带封装了证书鉴别请求的EAP响应报 文;步骤B中所述将封装了 WAI证书鉴别响应的EAP协议报文承载在Radius协议上发送 给所述AE具体为所述Radius服务器向所述AE发送Radius接入验证报文,该Radius接 入验证报文的扩展属性中携带封装了证书鉴别响应的EAP请求报文。
5.根据权利要求4所述的方法,其特征在于,在所述步骤B之后还包括如果所述Radius服务器接收到所述ASE发送的EAP成功报文,则向所述AE发送扩展 属性中携带所述EAP成功报文和授权信息的Radius接入授权报文;如果所述Radius服务器接收到所述ASE发送的EAP失败报文,则向所述AE发送扩展 属性中携带所述EAP失败报文的Radius接入拒绝报文。
6.根据权利要求1所述的方法,其特征在于,步骤A中所述将该EAP协议报文中封装的 WAI证书鉴别请求发送给ASE具体包括所述Radius服务器将封装了 WAI证书鉴别请求的 EAP报文发送给所述ASE ;或者,将WAI证书鉴别请求从EAP报文中剥离,并将WAI证书鉴别 请求发送给所述ASE ;或者,将封装了 WAI证书鉴别请求的EAP协议报文承载在Radius协 议上发送给所述ASE ;或者,将封装了 WAI证书鉴别请求的EAP协议报文承载在所述Radius 服务器和ASE预先约定的协议上发送给所述ASE ;步骤B中所述接收所述ASE发送的WAI证书鉴别响应具体包括所述Radius服务器 接收所述ASE发送的封装了 WAI证书鉴别响应的EAP报文;或者,接收所述ASE直接发送的 WAI证书鉴别响应;或者,接收所述ASE发送的承载在Radius协议上且封装了 WAI证书鉴 别响应的EAP协议报文;或者,接收所述ASE发送的承载在所述Radius服务器和ASE预先 约定的协议上且封装了 WAI证书鉴别响应的EAP协议报文。
7.根据权利要求1至6任一权项所述的方法,其特征在于,在所述步骤A之前还包括 所述AE按照最大传输单元长度将WAI证书鉴别请求进行分片后,将WAI证书鉴别请求的各 分片分别封装在EAP协议报文中,并将各EAP协议报文承载在Radius协议上逐一发送给所 述Radius服务器;在所述步骤A和步骤B之间还包括所述ASE对接收到的WAI证书鉴别请求的所有分片进行重组,并按照最大传输单元长度将WAI证书鉴别响应进行分片后,将WAI证书鉴别响 应的各分片逐一发送给所述Radius服务器。
8.根据权利要求7所述的方法,其特征在于,该方法还包括所述AE每发送WAI证书 鉴别请求的一个分片后,如果在设定时间内接收到所述ASE经由所述Radius服务器返回的 确认报文,则发送WAI证书鉴别请求的下一个分片;如果在设定时间内没有接收到所述ASE 经由所述Radius服务器返回的确认报文,则重传所述WAI证书鉴别请求的一个分片;所述ASE每发送WAI证书鉴别响应的一个分片后,如果在设定时间内接收到所述AE经 由所述Radius服务器返回的确认报文,则发送WAI证书鉴别响应的下一个分片;如果在设 定时间内没有接收到所述AE经由所述Radius服务器返回的确认报文,则重传所述WAI证 书鉴别响应的一个分片。
9.一种身份认证的系统,其特征在于,该系统包括AE、Radius服务器和ASE ;所述AE,用于将封装了 WAI证书鉴别请求的EAP协议报文承载在Radius协议上发送 给所述Radius服务器;接收所述Radius服务器发送的承载在Radius协议上且封装了 WAI 证书鉴别响应的EAP协议报文;所述Radius服务器,用于将所述WAI证书鉴别请求发送给所述ASE ;接收来自所述ASE 的WAI证书鉴别响应,将封装了 WAI证书鉴别响应的EAP协议报文承载在Radius协议上发 送给所述AE;所述ASE,用于接收所述WAI证书鉴别请求,并向所述Radius服务器发送WAI证书鉴别 响应。
10.根据权利要求9所述的系统,其特征在于,所述AE将封装了WAI证书鉴别请求的 EAP协议报文携带在Radius报文的扩展属性中;所述Radius服务器将封装了 WAI证书鉴别响应的EAP协议报文携带在Radius报文的 扩展属性中。
11.根据权利要求9所述的系统,其特征在于,所述WAI证书鉴别请求或所述WAI证书 鉴别响应封装在EAP协议报文的Data域中,且该EAP协议报文的Type域标识WAI协议认 证类型。
12.根据权利要求9所述的系统,其特征在于,所述AE向所述Radius服务器发送 Radius接入请求,该Radius接入请求的扩展属性中携带封装了 WAI证书鉴别请求的EAP响 应报文;所述Radius服务器向所述AE发送Radius接入验证报文,该Radius接入验证报文的 扩展属性中携带封装了 WAI证书鉴别响应的EAP请求报文。
13.根据权利要求12所述的系统,其特征在于,所述Radius服务器,还用于如果接收到 所述ASE返回的EAP成功报文,则向所述AE发送扩展属性中携带所述EAP成功报文和授权 信息的Radius接入授权报文;如果接收到所述ASE返回的EAP失败报文,则向所述AE发送 扩展属性中携带所述EAP失败报文的Radius接入拒绝报文;所述ASE,还用于在发送完所述WAI证书鉴别响应后,如果鉴别成功,则向所述Radius 服务器返回EAP成功报文,如果鉴别失败,则向所述Radius服务器返回EAP失败报文。
14.根据权利要求9所述的系统,其特征在于,所述Radius服务器将封装了WAI证书 鉴别请求的EAP报文发送给所述ASE ;或者,将WAI证书鉴别请求从EAP报文中剥离,并将WAI证书鉴别请求发送给所述ASE ;或者,将封装了 WAI证书鉴别请求的EAP协议报文承载 在Radius协议上发送给所述ASE ;或者,将封装了 WAI证书鉴别请求的EAP协议报文承载 在所述Radius服务器和ASE预先约定的协议上发送给所述ASE ;所述ASE将封装了 WAI证书鉴别响应的EAP报文发送给所述Radius服务器;或者,仅 将WAI证书鉴别响应发送给所述Radius服务器;或者,将封装了 WAI证书鉴别响应的EAP 协议报文承载在Radius协议上发送给所述Radius服务器;或者,将封装了 WAI证书鉴别响 应的EAP协议报文承载在所述Radius服务器和ASE预先约定的协议上发送给所述Radius 服务器。
15.根据权利要求9至14任一权项所述的系统,其特征在于,所述AE包括WAI模块和 Radius客户端;所述WAI模块,用于按照最大传输单元长度将WAI证书鉴别请求进行分片后,将WAI证 书鉴别请求的各分片分别封装在EAP协议报文中提供给所述Radius客户端;所述Radius客户端,用于将所述EAP协议报文承载在Radius协议上逐一发送给所述 Radius服务器;所述ASE,还用于对接收到的WAI证书鉴别请求的所有分片进行重组,并按照最大传输 单元长度将WAI证书鉴别响应进行分片后,将WAI证书鉴别响应的各分片逐一返回给所述 Radius服务器。
16.根据权利要求15所述的系统,其特征在于,所述Radius客户端每发送携带WAI证 书鉴别请求的一个分片的EAP协议报文后,如果在设定时间内接收到所述ASE经由所述 Radius服务器返回的确认报文,则发送携带WAI证书鉴别请求的下一个分片的EAP协议报 文;如果在设定时间内没有接收到所述ASE经由所述Radius服务器返回的确认报文,则重 传携带所述WAI证书鉴别请求的一个分片的EAP报文;所述ASE每发送WAI证书鉴别响应的一个分片后,如果在设定时间内没有接收到所述 AE经由所述Radius服务器返回的确认报文,则发送WAI证书鉴别响应的下一个分片;如果 在设定时间内没有接收到所述AE经由所述Radius服务器返回的确认报文,则重传所述WAI 证书鉴别响应的一个分片。
17.一种身份认证的方法,其特征在于,该方法包括A、AE将封装了WAI证书鉴别请求的EAP协议报文承载在Radius协议上发送给Radius 服务器;B、接收Radius服务器返回的承载在Radius协议上且封装了WAI证书鉴别响应的EAP 协议报文。
18.根据权利要求17所述的方法,其特征在于,EAP协议报文在Radius协议上的承载 具体为将所述EAP协议报文携带在Radius报文的扩展属性中。
19.根据权利要求17所述的方法,其特征在于,所述WAI证书鉴别请求或所述WAI证书 鉴别响应封装在EAP协议报文的Data域中,且该EAP协议报文的Type域标识WAI协议类 型。
20.根据权利要求17所述的方法,其特征在于,所述步骤A具体包括所述AE向所述 Radius服务器发送Radius接入请求,该Radius接入请求的扩展属性中携带封装了 WAI证 书鉴别请求的EAP响应报文;所述步骤B具体包括所述AE接收Radius服务器返回的Radius接入验证报文,该 Radius接入验证报文的扩展属性中携带封装了 WAI证书鉴别响应的EAP请求报文。
21.根据权利要求17至20任一权项所述的方法,其特征在于,所述步骤A具体包括 所述AE按照最大传输单元长度将WAI证书鉴别请求进行分片后,将WAI证书鉴别请求的各 分片分别封装在WAP协议报文中,并将各EAP协议报文承载在Radius协议上逐一发送给所 述Radius服务器;所述步骤B中EAP协议中封装的WAI证书鉴别响应为符合最大传输单元长度的WAI证 书鉴别响应的分片。
22.根据权利要求21所述的方法,其特征在于,该方法还包括所述AE每发送WAI证 书鉴别请求的一个分片后,如果在设定时间内接收到确认报文,则发送WAI证书鉴别请求 的下一个分片;如果在设定时间内没有接收到所述确认报文,则重传所述WAI证书鉴别请 求的一个分片;所述AE每接收到WAI证书鉴别响应的一个分片,向Radius服务器回复确认报文。
23.—种AE,其特征在于,该AE包括WAI模块和Radius客户端;所述WAI模块,用于将WAI证书鉴别请求封装在EAP协议报文中,将该EAP协议报文提 供给所述Radius客户端;获取所述Radius客户端提供的EAP协议报文中封装的WAI证书 鉴别响应;所述Radius客户端,用于将所述WAI模块提供的EAP协议报文承载在Radius协议上 发送给Radius服务器;接收Radius服务器返回的承载在Radius协议上的EAP协议报文, 并将该EAP协议报文提供给所述WAI模块。
24.根据权利要求23所述的AE,其特征在于,所述WAI模块将所述WAI证书鉴别请求 封装在EAP协议报文的Data域中,且该EAP协议报文的Type域标识WAI协议类型;所述Radius客户端将所述WAI模块提供的EAP协议报文携带在Radius报文的扩展属 性中。
25.根据权利要求23所述的AE,其特征在于,所述WAI模块具体将所述WAI证书鉴别 请求封装在EAP响应报文中;获取所述Radius客户端提供的EAP请求报文中封装的WAI证 书鉴别响应;所述Radius客户端将所述EAP响应报文携带在Radius接入请求的扩展属性中;接收 扩展属性中携带了 EAP请求报文的Radius接入验证报文,将该EAP请求报文提供给所述 WAI模块。
26.根据权利要求23至15任一权项所述的AE,其特征在于,所述WAI模块还用于按照 最大传输单元长度将WAI证书鉴别请求进行分片后,将WAI证书鉴别请求的各分片分别封 装在EAP协议报文中提供给所述Radius客户端;所述Radius客户端还用于将所述EAP协议报文承载在Radius协议上逐一发送给所述 Radius服务器。
27.根据权利要求26所述的AE,其特征在于,所述Radius客户端每发送WAI证书鉴别 请求的一个分片后,如果在设定时间内接收到确认报文,则发送WAI证书鉴别请求的下一 个分片;如果在设定时间内没有接收到所述确认报文,则重传所述WAI证书鉴别请求的一 个分片。
全文摘要
本发明提供了一种身份认证的方法、系统和鉴别器实体(AE),其中,方法包括远程拨号用户认证(Radius)服务器接收AE发送的承载在Radius协议上的可扩展认证架构(EAP)协议报文,将该EAP协议报文中封装的无线局域网鉴别基础结构(WAI)证书鉴别请求发送给鉴别服务实体(ASE);接收所述ASE返回的WAI证书鉴别响应,将封装了WAI证书鉴别响应的EAP协议报文承载在Radius协议上发送给所述AE。本发明能够使得WAI身份认证与现有运营网络兼容,减小网络部署的复杂性。
文档编号H04W28/06GK101925058SQ20091008665
公开日2010年12月22日 申请日期2009年6月16日 优先权日2009年6月16日
发明者史扬, 王飓, 蔡自彬 申请人:杭州华三通信技术有限公司