无线局域网的认证方法、系统及服务器、终端的制作方法

专利名称：无线局域网的认证方法、系统及服务器、终端的制作方法
技术领域：
本发明实施例涉及网络通信技术领域，尤其涉及一种无线局域网的认证 方法、无线局域网终端、无线局域网关的服务器、认证、授权和记账服务器 及无线局域网的认证系统。
背景技术：
目前，无线局域网(Wireless Local Area Network,以下简称WLAN) 技术和移动通信网络技术都已经得到了普遍的应用，很多综合运营商都在 同时运营这两种网络，但是这两种网络无论在运行机制上，还是在认证体 制上，都存在很大的不同，运营商往往需要两套不同的用户管理、鉴权、 计费和业务提供方法。因此，如何将两种网络融合在一起，实现两种网络 的统一认证、授权和计费，成为了近年来网络通信领域的研究热点。
对于WLAN网络而言，用户的身份识别和鉴权一般依赖于网络内唯 一的账号与对应的密码，需要通过用户在IE浏览器中输入相应的账号和 密石马,由i人i正/授4又"己账(Authentication/Authorization/Accounting, 以下 简称AAA)服务器对用户的身份进行确认和鉴权；而对于移动通信网络 而言，对用户身份的识别和鉴权则依赖于用户身份识别模块(Subscriber Identity Module,以下筒称SIM)，每个SIM卡中都标识了用户的唯一身 份，即国际移动用户识别码(International Mobile Subscriber Identity,以 下筒称IMSI),因此SIM卡用户无需再手动输入账号和密码，只需通过 其唯一的IMSI标识便能完成认证的过程。因此，如果WLAN网络能将现 有的通过SIM来完成认证的机制运用到自身的认证体制中，无需用户手 动的输入账号和密码，由此实现两种网络的统一认证、授权和计费，将会是一种理想的方案。
现有技术中，为了实现上述的目标，互联网工程任务组(Internet Engineering Task Force,简称IETF )提出了 一种基于SIM卡认证技术的可 扩展iU正协i义(Extensible Authentication Protocol,以下简称EAP协i义)， 简称为EAP-SIM协议。通过此协议，WLAN网络从理论上实现了借用SIM 卡完成认证的过程。
但是，发明人在实现本发明的过程中发现EAP-SIM协议虽然从理论 上能实现WLAN网络基于SIM卡的认证，但是在实际应用中，却存在着 诸多缺陷由于EAP-SIM协议处于开力文系统互连才莫型(Open System Interconnection,以下筒称OSI)中层次相对较低的"网络层"，而PC操 作系统自身已经内置了 TCP/IP协议栈，因此为了能在PC机的操作系统上 实现EAP-SIM，对于程序开发人员而言，就必须完成TCP/IP协议层与OSI 模型的"网络层"之间的数据交互，而这个数据交互的过程非常复杂，在 技术实现上非常困难；另外，为了能实现EAP-SIM协议，WLAN运营商 还必须为用户提供能够透传EAP-SIM消息的接入点，则必须对原有的 WLAN网络接入点进行更改。

发明内容
本发明实施例提供一种无线局域网的认证方法、系统及服务器、终端， 用以针对现有技术中通过使用EAP-SIM协议实现WLAN网络的SIM卡认证 时，不仅技术上实现非常复杂，而且需要运营商对WLAN网络的接入点进行 更改缺陷，实现无线局域网的技术实现相对简单的、基于SIM卡的认证方式。
本发明实施例提供一种无线局域网的认证方法，包括
将无线局域网终端发送的超文本传输协议请求消息重定向为无线局域网 的登录网页的地址，返回给所述无线局域网终端；
将所述无线局域网终端发送的携带有用户识别模块的用户标识的认证请求信息，发送给与所述无线局域网的登录网页的地址对应的认证、授权和记 账服务器，以使所述认证、授权和记账服务器根据所述用户标识进行认证。
本发明实施例提供一种无线局域网终端，包括
第一接收模块，用于接收无线局域网关发送的包含无线局域网的登录网 页的地址的重定向消息；
第一发送模块，用于向所述无线局域网的登录网页的地址发送携带有用 户识别模块的用户标识的认证请求信息，以使与所述无线局域网的登录网页 的地址对应的认证、授权和记账服务器才艮据所述用户标识进行认证。
本发明实施例提供一种无线局域网关的服务器，包括
重定向模块，用于将无线局域网终端的超文本传输协议请求消息重定向 为包含无线局域网的登录网页的地址的重定向消息，返回给所述无线局域网 终端；
转发模块，用于将所述无线局域网终端发送的携带有用户识别模块的用 户标识的认证请求信息，发送给与所述无线局域网的登录网页的地址对应的 认证、授权和记账服务器，以使所述认证、授权和记账服务器根据所述用户 标识进行认证。
本发明实施例提供一种认证、授权和记账服务器，包括 第二接收模块，用于接收无线局域网关发送的携带有用户识别模块的用
户标识的认证请求信息；
第一获取模块，用于根据所述用户标识向第二代移动网络鉴权中心获取 第一鉴权数据，所述第一鉴权数据包括第一随机数，第一签名响应和第一加 密密钥，并根据所述第一随机数通过所述无线局域网关向无线局域网终端获 取第二签名响应和第二加密密钥；
第二认证模块，用于根据所述第一签名响应和第一加密密钥、以及所述 第二签名响应和第二加密密钥对所述无线局域网终端进行认证，若一致，则 通过所述无线局域网关向无线局域网终端发送认证成功的认证结果，若不一
9本发明实施例提供一种认证、授权和记账服务器，包括
第三接收模块，用于接收无线局域网关发送的携带有用户识別模块的用 户标识的认证请求信息；
第三获取模块，用于根据所述用户标识向第三代移动网络鉴权中心获取 第二鉴权数据，所述第二鉴权数据包括第三随机数、第一期望响应、第一密 钥、第一完整性密钥和鉴权令牌，并根据所述第三随才几数和鉴权令牌通过所 述无线局域网关向无线局域网终端获取第二期望响应；
第三认证;漠块，用于根据所述第一期望响应和第二期望响应对所述无线 局域网终端进行认证，若一致，则通过所述无线局域网关向无线局域网终端 发送认证成功的认证结果，若不一致，则通过所述无线局域网关向无线局域 网终端发送认证失败的认证结果。
本发明实施例提供一种无线局域网的认证系统，包括上述的无线局域 网终端、无线局域网关的服务器和认证、授权和记账服务器。
本发明实施例的无线局域网的认证方法、系统及服务器、终端，通过在 WLAN用户终端与认证服务器之间添加能将终端发送的超文本传输协议请求 消息重定向到WLAN网络的登录网址上的WLAN网关，给WLAN终端用户 提供了一种基于Web网页的、通过移动通信网络的用户识别才莫块进行认证的 平台，从而使得对WLAN网络的认证能在OSI模型中层次最高的"应用层" 实现，大大降低了程序开发人员的软件开发难度，也无需运营商对WLAN网 络的接入点进行相应的修改。


图1为本发明实施例一提供的无线局域网的认证方法流程图； 图2为本发明实施例二提供的无线局域网的认证方法流程图； 图3为本发明实施例三提供的无线局域网的认证方法流程图；图4为本发明实施例四提供的无线局域网终端的结构示意图； 图5为本发明实施例五提供的无线局域网关的服务器的结构示意图； 图6为本发明实施例六提供的认证、授权和记账服务器的结构示意图； 图7为本发明实施例七提供的认证、授权和记账服务器的结构示意图； 图8为本发明实施例八提供的无线局域网的认证系统的结构示意图。
具体实施例方式
下面结合附图和具体实施例进一步说明本发明实施例的技术方案。 目前，在基于SIM卡的基础上完成WLAN网络的认证这一方式，已经 成为公认的解决WLAN网络与移动通信网络的融合的最理想的方案。但是现 有技术中，此方案却并没有得到广泛的、真正的实现，其原因在于现有技 术中虽然提出了理论上能实现WLAN使用SIM卡认证的EAP-SIM协议，但 是该EAP-SIM协议处于OSI七层模型中较低的"网络层"，对于程序开发人 员而言，其软件实现太复杂，对于运营商而言，则需要其对WLAN网络进行 接入点的改造，同时EAP-SIM还不能解决不同WLAN网络之间的漫游问题， 因此整体而言，EAP-SIM协议并不是解决WLAN网络实现SIM卡认证的理 想方案。
因此，为了克服上述缺陷，本发明实施例提出了一种基于Web网页实现 的无线局域网的认证方法，在WLAN用户终端与iU正月l务器之间添加一类似 于网页服务器的WLAN网关，使得认证服务器对WLAN网络的认证通过Web 网页实现，即实现在OSI模型中的层次最高的"应用层"，从而大大降低了程 序开发人员的软件开发的难度，而且对于运营商而言，也无需对AP接入点 进行相应的〗f改。
另外需说明的是，本发明实施例所提出的无线局域网的认证方法，不仅 可以用于现在的用户广泛使用的第二代移动通信网络(即2G网络)中，还 可以用于即将得以推广的第三代移动通信网络(即3G网络)中。而由于在3G网络中，用户所使用的用户识别模块不再为SIM卡，而是与3G网络匹配 的USIM卡或UIM卡，因此，在本发明实施例中，当所指代的为2G网络的 SIM卡与3G网络的USIM卡或UIM卡的统称时，将用(U)SIM的简称来予以 替代，以避免出现概念上的混淆。
图1为本发明实施例一提供的无线局域网的认证方法流程图，如图1所 示，本方法包括如下步骤
步骤100,将无线局域网终端发送的超文本传输协议请求消息重定向为 无线局域网的登录网页的地址，返回给无线局域网终端；
WLAN终端的用户在通过WLAN网络的接入点接入到WLAN网络后， 在正浏览器上访问任何一个网页(不限于在浏览器上访问网页，还包含其它 任何的访问因特网的操作)，都会给HTTP网页服务器发送一个HTTP请求消 息，该HTTP请求消息内包含了任一网页的地址，而在本实施例中，由于在 WLAN终端和WLAN网络的服务器之间设置了 一个WLAN网关，该WLAN 网关具体为一个接入控制网关，相当于一个HTTP网页服务器，当WLAN终 端接入到WLAN网络的接入点AP之后，其发送的包含任一网页的地址的 HTTP请求消息都会^皮该WLAN网关截获。
WLAN网关截获到WLAN终端发送的任意HTTP请求消息后，首先将 判断该WLAN终端是否已经进行过认证，若是，则将该HTTP请求消息转发 到相应网址对应的服务器，但是若该WLAN终端在访问网页之前尚未经过认 证，WLAN网关则会将WLAN终端访问网页的操作重定向到访问WLAN网 络的登录页面的操作。具体地，当WLAN网关查证到发送HTTP请求消息的 WLAN终端并没有进行过认证，则将会将接收到的HTTP请求消息中的任一 网页的地址，重新定向到WLAN网络的登录网页的地址，并将包含该登录网 页的地址的重定向消息发送给WLAN终端，使得WLAN终端的用户能够在 该登录网页上输入需要认证的用户标识，或者将预设的用户标识发送给该登 录网页以进行认证。
12步骤101，将无线局域网终端发送的携带有用户识别才莫块的用户标识的
认证请求信息，发送给与无线局域网的登录网页的地址对应的认证、授权和 记账服务器，以使认证、授权和记账服务器根据用户标识进行认证。
WLAN终端在接收到WLAN网关发送的定向消息后，将会查询当前是 否有(U)SIM卡与其连接，即其是否能与(U)SIM卡进行通信，若查询到当前 连接有(U)SIM卡，WLAN终端则将从与之连接的(U)SIM卡中获取该(U)SIM 的唯一的用户标识，即IMSI标识，并将该IMSI标识发送给WLAN网络的 登录网页的网址，以进行认证。也就是说，WLAN网关4妄收到的WLAN终 端发送的携带有IMSI标识的认证请求信息，是当WLAN终端4企测到当前连 接有(U)SIM卡时，从(U)SIM卡中获取得到的。
具体地，该IMSI标识可以为第二代移动通信网络中的IMSI标识，即GSM 网络中的SIM卡的唯一 IMSI标识，其也可以为第三代移动通信网络中的唯 一的IMSI标识，即3G网络中的USIM卡或UIM卡的唯一 IMSI标识。而 WLAN网关无论是接收到携带有2G网络的IMSI标识的认证请求信息，还是 接收到携带有3G网络的IMSI标识的认证请求信息后，都将会将该认证请求 信息发送给AAA服务器，以使AAA服务器通过2G或者3G的鉴权中心对 其进行认证。因此，在本发明实施例中，AAA服务器除了能对各个用户的 WLAN网络账号和密码进行认证外，还能通过移动通信网络的鉴权中心对 (U)SIM卡的唯一用户标识进行认证，并且由于对(U)SIM卡中包含的唯一 IMSI标识进行的认证已经能够证实该用户的合法性，因此在本实施例中， AAA服务器只需根据IMSI标识便能确认WLAN终端用户的合法身份，而无 需再对WLAN终端的账号和密码进4于再一次的iU正。
此外，在本实施例中，若WLAN终端并没有连接有(U)SIM卡，即WLAN 终端没有查询到当前能与连接的(U)SIM卡进行通信，WLAN终端将会通过 WLAN网关重新定向的登录网页，将预设的WLAN网络内用户的唯一账号 和密码发送给WLAN网关，WLAN网关将其转发给AAA服务器，以使AAA服务器对该账号和密码进行认i正。
本实施例提供了 一种无线局域网的认证方法，通过在WLAN用户终端与 认证服务器之间添加能将终端发送的超文本传输协议请求消息重定向到 WLAN网络的登录网址上的WLAN网关，给WLAN终端用户提供了一种基 于Web网页的、使用(U)SIM卡进行认证的平台，从而使得WLAN网络的 (U)SIM卡认证能在OSI模型中层次最高的"应用层"实现，大大降低了程序 开发人员的软件开发难度，也无需运营商对WLAN网络的接入点进行相应的 修改。
图2为本发明实施例二提供的无线局域网的认证方法流程图。本实施例 主要针对的是WLAN网络使用2G网络中的SIM卡进行认证的方法，因此， 在本实施例中，AAA服务器将才艮据接收到的2G网络SIM卡用户的IMSI标 识，对WLAN终端的用户进41S人证，且该认i正过程是AAA服务器通过2G 网络的鉴权中心，即归属位置寄存器/鉴权中心(Home Location Register/Authentication Centre,以下简称HLR/AuC )而实现的。如图2所示， 本方法包括如下步骤
步骤200， WLAN网关截获WLAN终端发送的HTTP请求消息，该HTTP 消息中携带有任一 网页的地址；
步骤201, WLAN网关将4壬一网页的地址重新定向为WLAN网络登录网 页的地址，并将包含WLAN网络登录网页的地址的定向消息发送给WLAN 终端；
步骤202， WLAN终端查询当前是否有SIM卡与其连接，若有，则从SIM 卡中获取IMSI标识；
具体地，WLAN终端接收到WLAN网关发送的包含WLAN网络登录网 页的地址的定向消息后，将查询当前是否有SIM卡与之连接，若有，则从SIM 卡中获取IMSI标识，且在本实施例中，此处获取的IMSI标识为2G网络中 各SIM用户唯一的标识，即GSM网络中各SIM用户唯一的IMSI标识。步骤203 ， WLAN终端将携带有IMSI标识的认证请求信息发送给WLAN 网关；
WLAN终端从SIM卡中获取到IMSI标识后，将携带有该IMSI标识的 认证请求信息发送给WLAN网关，而且在WLAN终端发送该认i正请求信息 时，可以将其直接发送给WLAN网关，也可以将认证请求信息通过安全套接 字层(Secure Socket Layer,以下简称SSL )加密算法进行加密之后，再发送 给WLAN网关，且将认证请求信息经过SSL加密后再发送给WLAN网关的 目的是为了保证WLAN网关接收到认证请求信息的安全性与保密性。SSL加 密算法是一种专用于保护登录用户私有信息及交互信息的机密性的算法，由 于在WLAN网络的认证过程中，从WLAN终端侧发送的信息最容易被窃取， 安全性能最低，因此，将WLAN终端发送的认证请求信息进行SSL加密后 再发送给WLAN网关，能提高认证请求信息的安全度，避免认证请求信息中 包含的IMSI标识被非法用户窃取，从而保护服务器的安全。
另外，在本实施例中，若WLAN终端发现当前并没有SIM卡与其连接， 即当前不具备SIM认证的能力时，则将会将用户的WLAN网络中的唯一账 号和密码发送给WLAN网关，WLAN网关将其转发至AAA服务器，从而使 AAA服务器对用户的账号和密码进行认证。而且在对用户的账号和密码进行 认证之后，本发明实施例的WLAN网络的认证流程将结束。
步骤204, WLAN网关将接收到的认证请求信息转发给AAA服务器；
具体地，若WLAN网关接收到的认证请求信息是WLAN终端经过SSL 加密算法加密后的信息，WLAN网关将对其进行与SSL加密算法对应的SSL 解密运算，重新得到IMSI标识，再发送给AAA服务器，以使AAA服务器 根据IMSI标识对WLAN终端进行身份认证。
步骤205， AAA服务器向HLR/AuC发送携带有IMSI标识的鉴权数据请 求信息；
AAA认证服务器从WLAN网关接收到包含IMSI标识的认证请求信息后，将通过HLR/AuC进行对SIM卡的认证。首先，AAA服务器向HLR/AuC 发送鉴权数据请求信息，请求HLR/AuC返回与IMSI标识对应的鉴权数据， 该鉴权数据请求信息中携带有IMSI标识。由于对于综合运营商而言，他们同 时管理2G网络和WLAN网络，因此，WLAN网络中的AAA服务器与2G 网络中的HLR/AuC进行数据通信，从HLR/AuC中请求并获取鉴权数据，并 不难实现。
步骤206， HLR/AuC根据接收到的IMSI标识生成第一鉴权数据，并发 送给AAA服务器；
HLR/AuC中存储了所有的SIM卡的根密钥Ki,每个根密钥Ki都与SIM 卡的唯一的IMSI标识——对应，且HLR/AuC中也存储了这种对应关系，因 此，HLR/AuC在接收到SIM卡的IMSI标识后，很容易能从其存储的所有根 密钥的集合中查询到与接收到的IMSI标识对应的根密钥Ki。此外，HLR/AuC 响应AAA服务器发送的鉴权数据请求信息，将生成一个任意的随机数 RAND,在本实施例中，称之为第一随机数。HLR/AuC根据查询到的根密钥 Ki，以及第一随机数RAND，通过预设的GSM算法，计算得到与IMSI标识 对应的鉴权三元组数据，在本实施例中，称该鉴权三元组数据为第一鉴权数 据，该第一鉴权数据中包括了第一随机数RAND,第一签名响应SRES,以 及第 一加密密钥Kc，该第 一签名响应SRES及第 一加密密钥Kc便是通过GSM 算法，根据第一随才;U数RAND和与IMSI标识对应的根密钥Ki计算得来的。 HLR/AuC计算得到第 一鉴权数据后，将第 一鉴权数据发送给AAA服务器， AAA服务器将对该第一鉴权数据进行相应的处理。
需要说明的是，该第一鉴权数据可以不仅仅为一组数据，为了使认-〖正的 结果更加准确，第一鉴权数据可以为三组，即包括了三组不同的第一随机数 RAND，第一签名响应SRES和第一加密密钥Kc，而其中每组第一鉴权数据 中的第一签名响应SRES和第一加密密钥Kc，都是由HLR/AuC根据该组的 第一随机数RAND和与IMSI标识对应的根密钥Ki，通过预设的GSM算法计算得到的。
步骤207, AAA服务器将第 一鉴权数据中的第 一随机数通过WLAN网关 发送给WLAN终端，向WLAN终端发起认证44战；
AAA服务器接收到第一鉴权数据后，对其中的第一签名响应SRES和第 一加密密钥Kc进行暂存，以便于进行之后的认证，而对于其中的第一随机数 RAND,则将其通过WLAN网关发送至WLAN终端。需要说明的是，若AAA 服务器接收到的HLR/AuC发送第一鉴权数据为三组时，将同时将这三组第一 鉴权数据中的三个不同的第一随机数RAND都通过WLAN网关发送给 WLAN终端。
步骤208, WLAN终端根据第一随机数，从SIM卡获取与第一随机数对 应的第二签名响应和第二加密密钥；
WLAN终端从WLAN网关接收到第一随机数RAND后，将其发送给与 之连接的SIM卡，由SIM卡根据第一随机数RAND和自身存储的根密钥Ki， 通过与HLR/AuC中同样的GSM算法，计算得到第二签名响应SRES，和第 二加密密钥Kc，。由于对于每一个合法的SIM卡用户而言，在SIM卡内部 都保存有唯一的根密钥Ki，且该根密钥Ki与SIM卡自身的IMSI标识是—— 对应的，因此若该SIM卡用户是合法的，其自身保存的根密钥Ki应与 HLR/AuC查询到的与该SIM卡的IMSI标识对应的4艮密钥Ki是一致的，而 且由于SIM卡也通过与HLR/AuC中同样的GSM算法，对第二签名响应 SRES，和第二加密密钥Kc，进行计算，因此，若该SIM卡用户是合法的， 其计算得到的第二签名响应SRES，和第二加密密钥Kc，也应该与HLR/AuC 计算得到的第一签名响应SRES和第一加密密钥Kc一致。
步骤209, WLAN终端响应AAA服务器发起的认证挑战，将第二签名响 应和第二加密密钥通过WLAN网关发送给AAA服务器；
WLAN终端在从SIM卡获取到第二签名响应SRES，和第二加密密钥Kc， 后，将会将SRES，和Kc，通过WLAN网关发送给AAA服务器。具体地，在本实施例中，WLAN终端除了可以直接将SRES，和Kc，通过WLAN网 关发送给AAA服务器外，还可以将SRES，和Kc，经过特殊的算法计算后， 得到AT-MAC参数再通过WLAN网关发送给AAA服务器，其目的是为了提 高传输的安全性，保证认证结果的准确性。
步骤210， AAA服务器将接收到的第二签名响应和第二加密密钥，分别 与暂存的第一签名响应和第一加密密钥进行比较，若一致，得到认证成功的 认证结果，若不一致，得到认证失败的认证结果；
AAA服务器接收到第二签名响应SRES，和第二加密密钥Kc，后，将该 第二签名响应SRES，和第二加密密钥Kc，分别与第一签名响应SRES和第 一加密密钥Kc进行比较，若两者相等，则说明网络侧通过接收到的IMSI标 识计算得到的鉴权数据与用户侧通过SIM卡计算得到的鉴权数据是相等的， 即WLAN终端发送的SIM卡的IMSI标识是合法的，因此也说明了该WLAN 终端的用户是合法的，于是AAA服务器得到认证成功的认证结果；但是若两 者不相等，则说明网络侧通过接收到的IMSI标识计算得到的鉴权数据与用户 侧通过SIM卡计算得到的鉴权数据并不相等，也代表WLAN终端发送的SIM 卡的IMSI标识是不合法的，于是，AAA服务器得到认证不通过的认证结果。
此外，若AAA服务器接收到的为经过特殊算法计算后的AT-MAC参数 时，则将对AT-MAC参数进行与特殊算法对应的逆算法的计算，重新解算出 第二签名响应SRES，和第二加密密钥Kc，，再与第一签名响应SRES和第 一加密密钥Kc进行比较，得到认证结果。
AAA服务器经过认证后，将认证结果通过WLAN网关转发给WLAN终 端，且若认证成功，AAA服务器将继续对WLAN终端进行授权及计费的功 能，WLAN终端也将由此成功地通过SIM卡的认证接入到因特网中。
本实施例提供了一种无线局域网的认证方法，主要提供了一种基于2G 网络的SIM卡进行认证的方法，其中，不仅通过在WLAN用户终端与认证
18服务器之间添加能将终端发送的超文本传输请求消息重定向到WLAN网络 的登录网址上的WLAN网关，给WLAN终端用户提供了使用Web进行SIM 卡认证的平台，使得WLAN网络基于SIM卡的认证能在OSI模型中层次最 高的"应用层"实现，大大降低了程序开发人员的开发难度，也无需运营商 对接入点进行相应的修改，而且通过设置统一的AAA服务器，对WLAN客 户端获取的SIM卡的用户标识进行统一的认证，还实现了不同WLAN网络 之间的漫游问题。
在上述技术方案的基础上，进一步地，在本实施例中，步骤lc中WLAN 终端发送的认证请求信息中还可以包括第二随机数RAND，，该第二随机数 由WLAN终端随机生成。且若WLAN终端发送的认证请求信息中包括了第 二随机数RAND，，该第二随机数RAND，会在上述的步骤le中伴随着IMSI 标识一起通过WLAN网关发送给AAA服务器，并在步骤If中伴随着IMSI 标识一起发送给HLR/AuC，以使HLR/AuC根据第二随机数RAND，和与IMSI 标识对应的根密钥Ki,通过预设的GSM算法计算得到第三签名响应和第三 加密密钥，并将第三签名响应和第三加密密钥在步骤lg中伴随第一鉴权数据 一起，发送给AAA服务器，而AAA服务器接收到第三签名响应和第三加密 密钥后，又会在步骤lh中将其通过WLAN网关发送至WLAN终端。
这样，WLAN终端便能通过将SIM卡生成的第二随机数伴随IMSI标识 发送给AAA服务器，使得AAA服务器能够根据该第二随机数从HLR/AuC 处请求获取与第二随机数对应的鉴权数据，从而使得WLAN终端能够对该鉴 权数据进行检验，完成用户侧对网络侧的身份的"认证"。具体地，与WLAN 终端连接的SIM卡将在步骤li中，在根据第一随机数RAND及自身的根密 钥Ki计算第二签名响应和第二加密密钥之前，对接收到的第三签名响应和第 三加密密钥进行检验，即同样根据从WLAN终端获取的第二随机数和自身的 根密钥，通过与HLR/AuC同样的GSM算法，计算出另一组签名响应和加密 密钥，将之与第三签名响应和第三加密密钥进行对比，从而对网络端的服务器的身份进行验证。且该步骤在WLAN终端发送第二签名响应和第二加密密 钥之前进行，只有终端对网络的认证通过，才计算第二签名响应和第二加密 密钥，并通过WLAN网关发送给AAA服务器，否则WLAN终端将认为AAA 服务器发起的认证挑战为恶意网站的攻击，将结束这次认证的过程，不再进 行之后的操作。
本实施例的上述技术方案通过在认证过程中添加了客户端对网络侧发来 的参数的检验，使得WLAN终端也能对网络侧的AAA服务器进行相对应的 身份的认证，更加提高了认证过程的安全性，有效地避免了恶意网站对客户 端的攻击。
图3为本发明实施例三提供的无线局域网的认证方法流程图。本实施例 主要针对的是WLAN网络使用3G网络中的SIM卡进行认证的方法，因此， 在本实施例中，AAA服务器将根据接收到的3G网络USIM卡或UIM用户的 IMSI标识，对WLAN终端的用户进4亍认证，且该认证过程是AAA服务器通 过3G网络的鉴权中心，即本地环境/归属位置寄存器(Home Environment/Home Location Register,以下简称HE/HLR)而实现的。另外需 说明的是，由于在3G网络中，用户端所使用的用户识别模块为USIM卡或 UIM卡，具体根据不同运营商提供的不同网络而有所不同，但无论是USIM 卡还是UIM卡，其基本原理与功能都一致，因此，在本实施例中，只以USIM 卡为例啦文出说明，而对于WLAN网络基于UIM卡的i人证方法也在本发明实 施例的保护范围之内。如图3所示，本实施例的方法包括如下步骤
步骤300， WLAN网关截获WLAN终端发送的任一 HTTP请求消息，该 HTTP消息中携带有任一网页的地址；
步骤301, WLAN网关将任一网页的地址重新定向为WLAN网络登陆网 页的地址，并将包含登陆网页的地址的定向消息发送给WLAN终端；
步骤302, WLAN终端判断当前是否有USIM卡与其连接，若有，则从 USIM中获取IMSI标识；步骤303, WLAN终端将携带有IMSI标识的认证请求信息发送给WLAN 网关；
上述四个步骤与实施例二中的步骤一样，唯一区别在于，在本实施例中， WLAN终端从USIM卡获取到的IMSI标识为3G网络中各USIM用户唯一的 标识。而在WLAN终端发送携带有IMSI标识的认证请求信息时，同样，WLAN 终端在发送包含3G网络中的IMSI标识的认证请求信息时，可以将其直接发 送给WLAN网关，也可以将其通过SSL加密算法进行加密后再发送给WLAN 网关，而将认证请求信息经过SSL加密后再发送给WLAN网关的目的同样 是为了 ，保证WLAN网关接收到的认证请求信息的安全性与保密性。
此外，与实施例二一样，若WLAN终端发现当前并没有USIM卡与其连 接，即当前不具备USIM认证的能力时，将会将WLAN终端用户在WLAN 网络中的唯一账号和密码发送给WLAN网关，使WLAN网关将其转发至 AAA服务器，以使AAA服务器对用户的账号和密码进行认证。
步骤304, WLAN网关将接收到的认证请求信息转发给AAA服务器；
具体地，若WLAN网关接收到的认证请求信息是经过SSL加密算法加 密后的信息，WLAN网关将对其进行与SSL加密算法对应的SSL解密运算后， 重新得到IMSI标识，再发送给AAA服务器，以使AAA服务器对其中包含 的IMSI标识进4亍iU正。
步骤305， AAA服务器向HE/HLR发送携带有IMSI标识的鉴权数据请 求信息；
AAA iU正服务器从WLAN网关接收到包含IMSI标识的iU正请求信息 后，通过3G网络的鉴权中心，即HE/HLR进行对USIM卡的认证。首先， AAA服务器向3G网络的HE/HLR发送鉴权数据请求信息，请求HE/HLR返 回与IMSI标识对应的鉴权数据，该鉴权数据请求信息中携带有IMSI标识。 由于对于综合运营商而言，他们同时管理3G网络和WLAN网络，因此， WLAN网络中的AAA服务器与3G网络中的HE/HLR进行数据通信，从
21HE/HLR中请求并获取鉴权数据，并不难实现。
步骤306, HE/HLR根据接收到的IMSI标识生成第二鉴权数据，并发送 给AAA服务器；
HE/HLR中存储了所有USIM卡的根密钥Ki，每个根密钥Ki都与USIM 卡的唯一的IMSI标识——对应，且HE/HLR中也存储了这种对应关系，因 此，HE/HLR在接收到USIM卡的IMSI标识后，很容易地能从其存储的所有 根密钥的集合中查询到与接收到的IMSI标识对应的根密钥Ki。此外，HE/HLR 响应AAA服务器发送的鉴权数据请求信息，将生成一个任意的随机数，在本 实施例中，称之为第三随机数。HE/HLR根据查询到的根密钥Ki，以及第三 随机数，通过预设的算法，将计算得到与接收到的IMSI标识对应的鉴权五元 组数据，在本实施例中，称该鉴权五元组数据为第二鉴权数据，该第二鉴权 数据中包括了第三随机数RAND,第一期望响应XRES、第一密钥CK、第一 完整性密钥IK,以及第一鉴权令牌AUTN，该第一期望响应XRES、第一密 钥CK、第一完整性密钥IK和第一鉴权令牌AUTN都是通过预设的算法，根 据第三随机数RAND和与IMSI标识对应的才艮密钥Ki计算得来的，在本实施 例中，称该预设的算法为3G算法。HE/HLR计算得到第二鉴权数据后，将第 二鉴权数据发送给AAA服务器，AAA服务器将对该第二鉴权数据进行相应 的处理。
需要说明的是，该第二鉴权数据可以不仅仅为一组数据，为了使认证的 结果更加准确，第二鉴4又数据可以为多组，即包括了多组不同的第三随机数 RAND"，第一期望响应XRES、第一密钥CK、第一完整性密钥IK和第一鉴 权令牌AUTN，其中每组第二鉴权数据中的第一期望响应XRES、第一密钥 CK、第一完整性密钥IK和第一鉴权令牌AUTN，都是由HE/HLR根据自动 生成的不同的第三随机数RAND"和与IMSI标识对应的根密钥Ki，通过预设 的3G算法计算得到的。
步骤307, AAA服务器将第二鉴权数据中的第三随机数和鉴权令牌通过WLAN网关发送给WLAN终端，向WLAN终端发起认证挑战；
AAA服务器接收到第二鉴权数据后，对其中的第一期望响应XRES进行 暂存，以便于进行之后的认证，而对于其中的第三随机数RAND"和鉴权令 牌AUTN，则将其通过WLAN网关发送给WLAN终端。此处的鉴权令牌 AUTN用于使WLAN终端对AAA服务器进行认证，即在3G网络的SIM卡 认证过程中，鉴权五元组数据中不仅包括了网络侧对客户端的认证参数，还 包括了客户端对网络侧的认证参数，且在鉴权数据中设置客户端对网络侧的 认证参数的目的在于，使得客户端对网络側服务器的身份进行识别与鉴权， 避免客户端遭受恶意网站的攻击。
此外，需要说明的是，在本实施例的认证方法中，与WLAN通过2G网 络的SIM卡进行认证的方式不同的是，若AAA服务器接收到的为HE/HLR 发送的多组第二鉴权数据，AAA服务器则会选择其中任意一组的第二鉴权数 据，将其中的第三随机数RAND"和鉴权令牌AUTN通过WLAN网关发送给 WLAN终端，即AAA服务器无论接收到多少组第二鉴权数据，都只会选择 其中的 一组进行认证及鉴权。
步骤308， WLAN终端根据第一鉴权令牌对AAA服务器进行认证，若认 证成功，则根据第三随机数，从USIM卡获取第二期望响应；
WLAN终端从WLAN网关接收到第三随机数RAND和鉴权令牌AUTN 后，将其发送给与之连接的USIM卡，USIM卡首先根据第三随机数RAND" 和第一鉴权令牌AUTN对网络侧的AAA服务器进行认证。此处对第一鉴权 令牌AUTN进行认证的过程具体为，USIM卡根据第三随机数RAND"和自 身的根密钥Ki，通过与HE/HLR中同样的3G算法，计算得到第二鉴权令牌 AUTN，，并将第二鉴权令牌AUTN'与HE/HLR计算的第一鉴权令牌AUTN 进行比较，若两者一致，则证明此时发起认证挑战的AAA服务器为合法的认 证服务器，否则，WLAN终端将认为AAA服务器发起的认证挑战为恶意网 站的攻击，将结束这次认证的过程，不再进行之后的操作。USIM卡根据第一鉴权令牌AUTN对网络侧进行完iU正，且认证成功之 后，将根据第三随机数RAND"和自身存储的根密钥，通过与HE/HLR中同 样的3G算法，计算得到第二期望响应RES，并将RES发送给WLAN终端。
步骤309, WLAN终端响应AAA服务器发起的认证挑战，将第二期望响 应RES通过WLAN网关发送给AAA服务器；
具体地，WLAN终端在从SIM卡获取到第二期望响应RES后，会将RES 通过WLAN网关发送给AAA服务器，由AAA服务器来对其进行检测。
步骤310， AAA服务器将接收到的第二期望响应与第一期望响应进行比 较，若一致，得到认证成功的认证结果，若不一致，得到认证失败的认证结 果；
AAA服务器接收到第二期望响应RES后，将该第二期望响应RES和第 与第一期望响应XRES进行比较，若两者相等，则说明步骤2c中WLAN终 端发送的USIM卡的IMSI标识是合法的，网络侧通过接收到的IMSI标识计 算得到的鉴权数据与用户侧通过USIM卡计算得到的鉴权数据是相等的,于 是AAA服务器得到认证通过的认证结果；而若两者不相等，则说明步骤2c 中WLAN终端发送的USIM卡的IMSI标识是不合法的，网络侧通过接收到 的IMSI标识计算得到的鉴权数据与用户侧通过USIM卡计算得到的鉴权数据 并不相等，于是，AAA服务器得到认证不通过的认证结果。
步骤311, AAA服务器将认证结果通过WLAN网关发送给WLAN终端。
AAA服务器经过认证后，将认证结果通过WLAN网关转发给WLAN终 端，且若认证成功，AAA服务器将继续对WLAN终端进行授权及计费的功 能，WLAN终端也将由此成功地通过USIM卡的认证接入到因特网中。
本实施例提供了一种无线局域网的认证方法，主要提供了一种基于3G 网络的USIM卡进行认证的方法，其中，不仅通过在用户终端与认证服务器 之间添加WLAN网关，给WLAN用户终端提供了基于Web网页进行的、对 3G网络的用户识别模块进行认证的平台，使得WLAN网络基于USIM卡或
24UIM卡的认证能在OSI模型中层次最高的"应用层"实现，大大P争低了程序 开发人员的开发难度，而且也无需运营商对接入点进行相应的修改，进一步 地，本发明实施例通过设置统一的AAA服务器，能对WLAN客户端获取的 SIM卡的用户标识进行统一的认证，还实现了不同WLAN网络之间的漫游问 题。
本领域普通技术人员可以理解实现上述方法实施例的全部或部分步骤 可以通过程序指令相关的硬件来完成，前述的程序可以存储于一计算机可读 取存储介质中，该程序在执行时，执行包括上述方法实施例的步骤；而前述 的存储介质包括ROM、 RAM、磁碟或者光盘等各种可以存储程序代码的介质。
图4为本发明实施例四提供的无线局域网终端的结构示意图，如图4所 示，本实施例的无线局域网终端包括
第 一接收模块11 ，用于接收WLAN网关发送的包含WLAN网络的登录 网页的地址的重定向消息；
第一发送模块12,用于向WLAN网络的登录网页的地址发送携带有用 户识别模块的IMSI标识的认证请求信息，以使与WLAN网络的登录网页的 地址对应的AAA服务器根据IMSI标识进行认证。
进一步地，本实施例的无线局域网终端还可以包括查询模块13,用于 查询当前是否连接有(U)SIM卡，若有，则向WLAN网络的登录网页的地址 发送携带有(U)SIM卡的IMSI标识的认证请求信息，若无，则向WLAN网络 的登录网页的地址发送携带有WLAN网络的用户标识的认证请求信息。且上 述第一发送模块12具体用于当查询模块13查询到当前连接有(U)SIM卡时， 发送携带有IMSI标识的认证请求信息。
本实施例提供了 一种无线局域网终端，通过将与之连接的用户识别模块 的用户标识，发送给WLAN网络的登录网页的地址，佳_得WLAN终端的用 能通过Web网页进行(U)SIM卡的认证，从而使得WLAN网络的(U)SIM卡认证能在OSI模型中层次最高的"应用层"实现，大大降低了程序开发人员的
软件开发难度，也无需运营商对WLAN网络的接入点进行相应的修改。
在上述技术方案的基础上，进一步地，本实施例还可以包括第一认证 模块14,用于当认证请求信息还包括第二随机数时，根据AAA服务器返回 的、与第二随机数对应的第三签名响应和第三加密密钥，对AAA服务器进行 认证，且若认证成功，则向WLAN网关发送第二签名响应和第二加密密钥。 且该第一认证模块14主要应用于基于2G网络的SIM卡的认证方法中，由于 在2G网络的SIM卡认证中，并不具备客户端对网络侧的认证的功能，因此， 在WLAN终端设置第二认证模块，且在WLAN，终端发送的认证请求信息中 添加第二随机数，使得本实施例的WLAN网络基于2G网络的SIM卡的认证 中，也能具备客户端对网络侧的认证的功能。
本实施例的上述技术方案通过在认证过程中添加了客户端对网络侧发来 的参数的检验，使得WLAN终端也能对网络侧的AAA服务器进行相对应的 身份的认证，更加提高了认证过程的安全性，有效地避免了恶意网站对客户 端的攻击。'
图5为本发明实施例五提供的无线局域网关的服务器的结构示意图，如 图5所示，本实施例的无线局域网关的服务器包括
重定向模块21,用于将WLAN终端的HTTP请求消息重定向为包含 WLAN网络的登录网页的地址的重定向消息，返回给WLAN终端；
转发模块22，用于将WLAN网终端发送的携带有用户识别模块的IMSI 标识的认证请求信息，发送给与WLAN网络的昼录网页的地址对应的AAA 服务器，以使AAA服务器根据IMSI标识对WLAN终端进行认证。
本实施例提供了一种无线局域网关的服务器，设置在无线局域网关侧， 通过在WLAN用户终端与认证服务器之间将终端发送的因特网访问请求消 息重定向到WLAN网络的登录网址，给WLAN终端用户提供了 一种基于Web 网页进行(U)SIM卡认证的平台，从而使得WLAN网络的(U)SIM卡认证能在OSI模型中层次最高的"应用层"实现，大大降低了程序开发人员的软件开 发难度，也无需运营商对WLAN网络的接入点进行相应的修改。
在本实施例的上述技术方案的基础上，进一步地，WLAN终端发送的认 证请求信息中还可以为经过SSL加密后的认证请求信息，此时，上述转发才莫 块22还用于将所述认证请求信息进行与SSL加密算法对应的解密算法的计 算，再发送给AAA服务器。由于在WLAN网络的认证过程中，从WLAN终 端侧发送的信息最容易被窃取，安全性能最低，因此，将WLAN终端发送的 认证请求信息进行SSL加密后再发送给WLAN网关，能提高认证请求信息 的安全度，避免认证请求信息中包含的IMSI标识被非法用户窃取，从而保护 服务器的安全。
图6为本发明实施例六提供的认证、授权和记账服务器的结构示意图。 如图6所示，本实施例的认证、授权和记账服务器包括
第二接收模块31,用于接收WLAN网关发送的携带有2G网络的SIM卡 的用户标识IMSI标识的认证请求信息；
第一获取4莫块32，用于根据IMSI标识向第三代移动网络鉴权中心获取 第一鉴权数据，所述第一鉴权数据包括第一随机数，第一签名响应和第一加 密密钥，并根据所述第一随机数通过WLAN网关向WLAN终端获取第二签 名响应和第二加密密钥；
第二认ii^莫块33，用于根据第一签名响应和第一加密密钥、以及第二签 名响应和第二加密密钥对所述无线局域网终端进行认证，若一致，则通过 WLAN网关向WLAN终端发送认证成功的认i正结果，若不一致，则通过 WLAN网关向WLAN终端发送认证失败的认证结果。
本实施例提供了一种认证、授权和记账服务器，主要提供了一种能与2G 网络鉴权中心进行通信交互的认证、授权和记账服务器，通过对WLAN终端 发送给WLAN网络的登录网页的地址的、携带有2G网络的SIM卡的IMSI 标识的i人证请求信息进行iU正，给WLAN终端用户提供了一种基于Web进行SIM卡认证的平台，从而使得WLAN网络的SIM卡认证能在OSI模型中 层次最高的"应用层，，实现，大大降低了程序开发人员的软件开发难度，也 无需运营商对WLAN网络的接入点进行相应的修改。
在本实施例的上述技术方案的基础上，进一步地，若WLAN终端发送的 认证请求信息中还包括第二随机数时，认证、授权和记账服务器还可以包括 第二获取模块34，用于根据IMSI标识和第二随机数，向所述2G网络鉴权中 心请求并获取与所述第二随机数对应的第三签名响应和第三加密密钥，并通 过WLAN网关发送给WLAN终端，并接收无线局域网终端认证成功后，通 过WLAN网关发送的所述第二签名响应和第二加密密钥。
本实施例的上述技术方案通过在认证过程中添加了客户端对网络侧发来 的参数的检验，使得WLAN终端也能对网络侧的AAA服务器进行相对应的 身份的认证，更加提高了认证过程的安全性，有效地避免了恶意网站对客户 端的攻击。
图7为本发明实施例七提供的认证、授权和记账服务器的结构示意图， 且在本实施例中，只以对3G网络中的USIM卡的认证为例做出说明，而对 于认证、授权和记账服务器对UIM卡进行认证的认证、授权和记账服务器也 在本发明实施例的保护范围之内。如图7所示，本实施例的认证、授权和记 账服务器包括
第三接收模块31'，用于接收WLAN网关发送的携带有3G网络的USIM 卡的IMSI标识的^人i正请求信息；
第三获取才莫块32，，用于根据IMSI标识向3G网络鉴权中心获取第二鉴 权数据，所述第二鉴权数据包括第三随机数、第一期望响应、第一密钥、第 一完整性密钥和鉴权令牌，并根据所述第三随机数和鉴权令牌通过WLAN网 关向WLAN终端获取第二期望响应；
第三认证模块33，，用于根据所述第一期望响应和第二期望响应对所述无 线局域网终端进行认证，若一致，则通过WLAN网关向WLAN终端发送认
28证成功的认证结果，若不一致，则通过WLAN网关向WLAN终端发送认证 失败的认证结果。
本实施例提供了一种认证、授权和记账服务器，主要提供了一种能与3G 网络鉴权中心进行通信交互的认证、授权和记账服务器，通过对WLAN终端 发送给WLAN网络的登录网页的地址的、携带有3G网络的USIM或UIM卡 的IMSI标识的认证请求信息进行认证，给WLAN终端用户提供了 一种基于 Web网页进行USIM卡或UIM认证的平台，从而使得WLAN网络的基于用 户识别模块认证能在OSI模型中层次最高的"应用层"实现，大大降低了程 序开发人员的软件开发难度，也无需运营商对WLAN网络的接入点进行相应 的<奮改。
图8为本发明实施例八提供的无线局域网的认证系统的结构示意图，如 图8所示，本实施例的无线局域网的认证系统包括
无线局域网终端1，与无线局域网终端1相连接的无线局域网关的服务 器2，与无线局域网关的服务器2连接的认证、授权和记账服务器3，以及与 认证、授权和记账服务器3连接的移动网络鉴权中心4。
具体地，无线局域网终端1为上述实施例四中所述的无线局域网终端， 无线局域网关的服务器2为上述实施例五中所述的无线局域网关的服务器， 且设置在无线局域网关端，认证、授权和记账服务器3为上述实施例六或实 施例七所述的认证、授权和记账服务器，即其可以为基于2G的SIM卡的认 证方法中的AAA服务器，也可以为基于3G的(U)SIM卡的认证方法中的AAA 服务器。在本实施例中，当认证、授权和记账服务器为基于2G的SIM卡的 认证方法中的AAA服务器时，移动网络鉴权中心4为第二代移动网络鉴权中 心，即HLR/AuC，当认证、授权和记账服务器为基于3G的(U)SIM卡的认证 方法中的AAA服务器时，移动网络鉴权中心4为第三代移动网络鉴权中心， 即HE/HLR。
本发明实施例了 一种无线局域网的认证系统，通过在WLAN用户终端与认证服务器之间添加WLAN网关，该WLAN网关中设置有能将终端发送的 因特网访问请求消息重定向到WLAN网络的登录网址上的WLAN网关的服 务器，给WLAN终端用户提供了一种基于Web网页进行(U)SIM卡认证的平 台，从而使得WLAN网络的(U)SIM卡认证能在OSI模型中层次最高的"应 用层"实现，大大降低了程序开发人员的软件开发难度，也无需运营商对 WLAN网络的接入点进行相应的修改。
最后应说明的是以上实施例仅用以说明本发明的技术方案，而非对其 限制；尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术 人员应当理解其依然可以对前述各实施例所记载的技术方案进行修改，或 者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技
术方案的本质脱离本发明各实施例技术方案的精神和范围。
权利要求
1、一种无线局域网的认证方法，其特征在于，包括将无线局域网终端发送的超文本传输协议请求消息重定向为无线局域网的登录网页的地址，返回给所述无线局域网终端；将所述无线局域网终端发送的携带有用户识别模块的用户标识的认证请求信息，发送给与所述无线局域网的登录网页的地址对应的认证、授权和记账服务器，以使所述认证、授权和记账服务器根据所述用户标识进行认证。
2、 根据权利要求1所述的无线局域网的认证方法，其特征在于，所述用 户标识具体为所述无线局域网终端在检测到当前连接有所述用户识别模块 时，从所述用户识别模块中获取得到。
3、 根据权利要求2所述的无线局域网的认证方法，其特征在于，在将所 述认证请求信息发送给认证、授权和记账服务器之前，所述方法还包括若所述认证请求信息为所述无线局域网终端经过安全套接字层加密算法 计算后得到的认证请求信息，将所述认证请求信息进行与所述安全套接字层加密算法对应的解密算法的计算。
4、 根据权利要求2或3所述的无线局域网的i/a正方法，其特征在于，所 述将所述认证请求信息发送给与所述无线局域网的登录网页的地址对应的认 证、授权和记账服务器，以使所述认证、授权和记账服务器根据所述用户标 识进行认证，包括将所述认证请求信息发送给认证、授权和记账服务器，以使所述认证、 授权和记账服务器通过所述用户标识，向第二代移动网络鉴权中心请求并获 取与所述用户标识对应的第一鉴权数据，所述第 一鉴权数据包括第 一随机数， 第一签名响应和第一加密密钥；将所述认证、授权和记账服务器发送的所述第一随机数转发给所述无线 局域网终端，以使所述无线局域网终端根据所述第一随机数，从所述用户识 别模块获取与所述第 一 随机数对应的第二签名响应和第二加密密钥；将所述无线局域网终端发送的所述第二签名响应和第二加密密钥转发给 所述认证、授权和记账服务器，以使所述认证、授权和记账服务器将所述第 二签名响应和第二加密密钥分别与所述第一签名响应和所述第一加密密钥进 行比较，若一致，得到认证成功的认证结果，若不一致，得到认证失败的认证结果；将所述认证、授权和记账服务器发送的所述认证结果转发给所述无线局 J成网终端。
5、 根据所述权利要求4所述的无线局域网的认证方法，其特征在于，在 将所述无线局域网终端发送的所述第二签名响应和第二加密密钥转发给所述 认证、授权和记账服务器之前，所述方法还包括若所述认证请求信息中还包括第二随机数，根据所述用户标识和第二随 机数，向所述第二代移动网络鉴权中心请求并获取与所述第二随机数对应的 第三签名响应和第三加密密钥，将所述认证、授权和记账服务器发送的所述第三签名响应和第三加密密 钥转发给所述无线局域网终端，以使所述无线局域网终端根据所述第二随机 数、第三签名响应和第三加密密钥，通过所述用户识别模块对所述认证、授 权和记账服务器进行认证；若认证成功，则接收所述无线局域网终端发送的所述第二签名响应和第 二加密密钥。
6、 根据权利要求2或3所述的无线局域网的认证方法，其特征在于，所 述将所述认证请求信息发送给与所述无线局域网的登录网页的地址对应的认 证、授权和记账服务器，以使所述认证、授权和记账服务器对所述用户标识 进行认证，包括将所述认证请求信息发送给认证、授权和记账服务器，以使所述认证、 授权和记账服务器通过所述用户标识，向第三代移动网络鉴权中心请求并获 取与所述用户标识对应的第二鉴权数据，所述第二鉴权数据包括第三随机数、第一期望响应、第一密钥、第一完整性密钥和鉴4又令牌；将所述认证、授权和记账服务器发送的所述第三随机数和鉴权令牌转发 给所述无线局域网终端，以^使所述无线局域网终端通过所迷用户识别才莫块对 所述鉴权令牌进行认证，并在认证成功后，根据所述第三随机数，从所述用 户识别模块获取与所述述第三随机数对应的第二期望响应；将所述无线局域网终端发送的所述第二期望响应转发给所述认证、授权 和记账服务器，以使所述认证、授权和记账服务器将所述第二期望响应与所 述第一期望响应比较，若一致，得到认证成功的i人^汪结果，若不一致，得到 认证失败的认证结果；将所述认证、授权和记账服务器发送的所述认证结果转发给所述无线局 域网终端。
7、 一种无线局域网终端，其特征在于，包括第一接收模块，用于接收无线局域网关发送的包含无线局域网的登录网 页的地址的重定向消息；第一发送模块，用于向所述无线局域网的登录网页的地址发送携带有用 户识别模块的用户标识的认证请求信息，以使与所述无线局域网的登录网页 的地址对应的认证、授权和记账服务器根据所述用户标识进行认证。
8、 根据权利要求7所述的无线局域网终端，其特征在于，还包括 查询模块，用于查询当前是否连接有用户识别模块，若有，则向所述无线局域网的登录网页的地址发送携带有用户识别^f莫块的用户标识的认证请求 信息，若无，贝' 的用户标识的iU正-清求信息；所述第一发送模块具体用于当所述查询模块查询到当前连接有用户识别 模块时，发送所述携带有所述用户识别模块的用户标识的认证请求信息。
9、 根据权利要求8所述的无线局域网终端，其特征在于，还包括 第一认证模块，用于当所述认证请求信息还包括第二随机数时，才艮据所述认证、授权和记账服务器返回的、与所述第二随机数对应的第三签名响应 和第三加密密钥，对所述认证、授权和记账服务器进行认证，若认证成功， 则向所述无线局域网关发送所述第二签名响应和第二加密密钥。
10、 一种无线局域网关的服务器，其特征在于，包括重定向模块，用于将无线局域网终端的超文本传输协议请求消息重定向 为包含无线局域网的登录网页的地址的重定向消息，返回给所述无线局域网 终端；转发模块，用于将所述无线局域网终端发送的携带有用户识别模块的用 户标识的认证请求信息，发送给与所述无线局域网的登录网页的地址对应的 认证、授权和记账服务器，以使所述认证、授权和记账服务器根据所述用户 标识进行认证。
11、 根据权利要求IO所述的无线局域网关的服务器，其特征在于，所述 转发模块还用于所述认i正请求信息为所述无线局域网终端经过安全套4妄字层加密算法计 算后得到的认证请求信息，将所述认证请求信息进行与所述安全套接字层加 密算法对应的解密算法的计算，再发送给所述认证、授权和记账服务器。
12、 一种认证、授权和记账服务器，其特征在于，包括 第二接收模块，用于接收无线局域网关发送的携带有用户识别模块的用户标识的认证请求信息；第 一获取模块，用于根据所述用户标识向第二代移动网络鉴权中心获取 第一鉴权数据，所述第一鉴权数据包括第一随机数，第一签名响应和第一加 密密钥，并根据所述第一随机数通过所述无线局域网关向无线局域网终端获 取第二签名响应和第二加密密钥；第二认证模块，用于根据所述第一签名响应和第一加密密钥、以及所述 第二签名响应和第二加密密钥对所述无线局域网终端进行认证，若一致，则 通过所述无线局域网关向无线局域网终端发送认证成功的认证结果，若不一
13、 根据权利要求12所述的认证、授权和记账服务器，其特征在于，还 包括第二获取模块，用于若所述认证请求信息中还包括第二随机数，根据所 述用户标识和第二随机数，向所述第二代移动网络鉴权中心请求并获取与所 述第二随机数对应的第三签名响应和第三加密密钥，并接收无线局域网终端 认证成功后，通过所述无线局域网关发送的所述第二签名响应和第二加密密 钥。
14、 一种认证、授权和记账服务器，其特征在于，包括第三接收模块，用于接收无线局域网关发送的携带有用户识别模块的用 户标识的认证请求信息；第三获取模块，用于根据所述用户标识向第三代移动网络鉴权中心获取 第二鉴权数据，所述第二鉴权数据包括第三随机数、第一期望响应、第一密 钥、第一完整性密钥和鉴权令牌，并根据所述第三随机数和鉴权令牌通过所 述无线局域网关向无线局域网终端获取第二期望响应；第三认证模块，用于根据所述第一期望响应和第二期望响应对所述无线 局域网终端进行认证，若一致，则通过所述无线局域网关向无线局域网终端 发送认证成功的认证结果，若不一致，则通过所述无线局域网关向无线局域 网终端发送认证失败的认证结果。
15、 一种无线局域网的认证系统，其特征在于，包括权利要求7 9中 任一权利要求所述的无线局域网终端、权利要求10~ 11中任一权利要求所述 的无线局域网关的服务器，以及权利要求12~14中任一权利要求所述的认 证、授权和记账服务器。
全文摘要
本发明提供一种无线局域网的认证方法、系统及服务器、终端，方法包括将WLAN终端发送的HTTP请求消息重定向为WLAN网络的登录网页的地址，返回给WLAN终端；将WLAN网终端发送的携带有SIM卡的IMSI标识的认证请求信息，发送给与WLAN网络的登录网页的地址对应的AAA服务器，使AAA服务器根据IMSI标识进行认证。本发明实施例通过在WLAN用户终端与认证服务器之间添加能将终端重定向到访问WLAN网络的登录网址的WLAN网关，使得基于移动通信网络中的用户标识模块的WLAN网络的认证能在OSI模型的应用层实现，大大降低了开发人员的开发难度，且无需运营商对WLAN网络的接入点进行相应的修改。
文档编号H04W12/06GK101621801SQ20091009117
公开日2010年1月6日 申请日期2009年8月11日 优先权日2009年8月11日
发明者振 钟 申请人:深圳华为通信技术有限公司