专利名称:无线局域网接入认证方法及无线局域网系统的制作方法
技术领域:
本发明涉及通信领域,尤其涉及一种自组网模式下的无线局域网(Wireless Local Area Networks,简称WLAN )接入i人证方法和无线局域网系统。
背景技术:
WLAN作为宽带无线IP (Internet Protocol,因特网协议)网络的一种典型的实现形式,是指采用无线传输媒介的计算机局域网络,它能在难以布线的区域进行通信,是传统有线局域网的重要补充。WLAN技术是计算机网络技术与无线通信技术相结合的产物,具有支持移动计算、架构灵活快捷、维护所需费用较低和可扩展性好等优点,为通信的移动化和个人化提供了手段。
WLAN包括两种组网模式
> BSS (Basic Service Set,基本服务组)模式应用该模式时,由AP(Access Point,接入点)对终端(STA)统一进行管理,终端之间互相通信
必须通过AP;
> IBSS (Independent Basic Service Set,独立基本服务组)模式属于一种自组网(ad-hoc);漠式,应用该才莫式时,终端之间可以直接通信,无需经过AP。
由于在采用BSS模式时,AP可以对网络中的终端进行统一管理和控制,并且AP可以作为无线局域网与有线局域网、乃至广域网的连4妻点,因此BSS模式是无线局域网中最为常用的组网模式。
而IBSS模式的优势在于终端之间可以直接通信,无需经过AP的中转,用户可以采用IBSS模式在两个或多个终端之间进行文本、图像或者游戏数据的传输,因此,即使存在可用的AP, IBSS模式也是BSS模式的一种重要
的补充。
对于BSS模式,现有技术中的WAPI(无线局域网鉴别与保密基础结构)采用了基于三元对等鉴别的访问控制方法,通过在终端、AP和鉴别服务器之间的证书鉴别过程,对终端和AP的身份进行双向的认证并协商出基密钥(BK),然后在终端和AP之间进行密钥协商,使用BK生成单播密钥(USK),以保障合法终端通过合法的AP接入网络,并实现终端和AP间的保密通信。
而对于IBSS模式,WAPI中的接入认证方法取消了需要AP和鉴别服务器参与的证书鉴别过程,直接使用预共享密钥导出基密钥,然后使用基密钥进行密钥协商,生成单播密钥。
很显然,由于在IBSS模式下取消了证书鉴别过程,无线局域网的安全性较差,无法有效地对终端之间的通信链路进行加密,也无法有效地防止非法终端接入IBSS网络。
由上可知,现有技术中由于无法有效地保障自组网模式(例如采用IBSS模式自组网)的安全性,影响了基于自组网模式的应用(例如,终端之间直接传送图像、文本等应用)的推广和使用。
发明内容
本发明所要解决的技术问题是,克服现有技术的不足,提供一种自组网才莫式下的接入认证方法及无线局域网系统,以4是高无线局域网自组网的安全性。
为了解决上述问题,本发明提供一种自组网模式下的无线局域网接入认证方法,该方法包括
在两个终端中选择一个可以通过接入点AP与鉴别服务器交互的终端作为鉴别器实体AE,向另 一个作为鉴别请求者实体ASUE的终端发送鉴别激活分组;
接收到鉴别激活分组后,ASUE向AE发送包含ASUE证书的接入鉴别请求分组;接收到接入鉴别请求分组后,AE通过AP向鉴别服务器发送包含ASUE证书和AE证书的证书鉴别请求分组;
鉴别服务器对ASUE证书和AE证书进行验证,并通过AP将证书验证结果以及鉴别服务器对证书验证结果的签名发送给AE和ASUE,由AE和ASUE根据证书验证结果进行相互的认证。
此外,发送所述接入鉴别请求分组前,所述ASUE生成用于椭圓曲线密码体制的戴菲-赫曼ECDH交换的临时公钥px和临时私钥sx,并将px包含在所述接入鉴别请求分组中发送给AE;
接收到鉴别服务器发送的证书验证结果后,AE生成用于ECDH交换的临时公钥py和临时私钥sy,使用sy和px进行ECDH计算,生成基密钥BK,并将py包含在接入鉴别响应分组中发送给ASUE;
接收到所述接入鉴别响应分组后,ASUE使用sx和py进行ECDH计算,生成基密钥BK。
此外,如果所述两个终端都可以通过AP与鉴别服务器交互,则选择与AP之间的信号质量高的终端作为AE,另一个作为ASUE。
此外,采用如下步骤在两个终端中选择一个作为AE:
第一终端向第二终端发送探询请求帧;探询请求帧中包含本地测量得到的当前可连接AP的信号质量等级SI;
接收到探询请求帧后,第二终端将本地测量得到的当前可连接AP的信号质量等级S2与SI进行比较如果S2大于S1,则第二终端向第一终端发送包含AE标识的〗笨询响应帧,表示将第二终端作为AE;如果S2小于SI,则第二终端向第 一终端发送包含ASUE标识的探询响应帧,表示将第二终端作为ASUE,将第一终端作为AE。
此外,所述接入鉴别请求分组中包含ASUE的签名字段,接收到所述接入鉴别请求分组后,AE对ASUE的签名进行验证,^又当验证通过后才通过AP发送所述证书鉴别请求分组。
此外,AE发送的所述i正书鉴别请求分组中包含AE的签名,AP接收到所述证书鉴别请求分组后,对AE的签名进行验证,仅当签名验证通过后才向鉴别服务器转发所述证书鉴别请求分组。本发明还提供一种无线局域网系统,该系统包括第一终端、第二终端、AP和鉴别服务器;其中
将所述第一终端和第二终端中可以通过AP与所述鉴别服务器交互的一个终端作为鉴别器实体AE,另 一个作为鉴别请求者实体ASUE;
所述AE用于向ASUE发送鉴别激活分组;
所述ASUE用于在接收到鉴别激活分组后,向AE发送包含ASUE证书的接入鉴别请求分组;
所述AE还用于在接收到接入鉴别请求分组后,通过AP向鉴别服务器发送包含ASUE证书和AE证书的证书鉴别请求分组;
所述鉴别服务器用于对ASUE证书和AE证书进行验证,并通过AP将证书验证结果以及鉴别服务器对证书验证结果的签名发送给AE和ASUE,完成AE和ASUE之间的相互认证。
此外,所述ASUE还用于在发送所述接入鉴别请求分组前,生成用于ECDH交换的临时公钥px和临时私钥sx,并将px包含在所述接入鉴别请求分组中发送给AE;
所述AE还用于在接收到鉴别服务器发送的证书验证结果后,生成用于ECDH交换的临时公钥py和临时私钥sy,使用sy和px进行ECDH计算,生成基密钥BK,并将py包含在接入鉴别响应分组中发送给ASUE;
所述ASUE还用于在接收到所述接入鉴别响应分组后,使用sx和py进行ECDH计算,生成基密钥BK。
此外,如果所述第一终端和第二终端都可以通过AP与鉴别服务器交互,则将与AP之间的信号质量高的终端作为AE,另一个作为ASUE。
此外,所述第一终端还用于向第二终端发送探询请求帧;探询请求帧中包含本地测量得到的当前可连接AP的信号质量等级Sl;
所述第二终端还用于在接收到探询请求帧后,将本地测量得到的当前可连接AP的信号质量等级S2与Sl进行比较如果S2大于S1,则第二终端向第一终端发送包含AE标识的探询响应帧,表示将第二终端作为AE;如果S2小于Sl,则第二终端向第一终端发送包含ASUE标识的探询响应帧,表示将第二终端作为ASUE,将第一终端作为AE。
综上所述,采用本发明的方法及系统,可以将基于证书的接入i人证方法应用于自组网模式,使得无线局域网终端可以方便、快捷、且安全地进行自组网模式的通信,有效地防止了非授权终端的接入;此外,终端还可以在基于证书的接入认证过程中进行基密钥的协商,进一步提高了终端之间的通信安全性。
图1是本发明实施例无线局域网系统的结构示意图2是本发明实施例自组网模式下的无线局域网接入认证方法流程图。
具体实施例方式
本发明的核心思想是,在两个准备自组网的终端中选择 一 个可以通过AP与鉴别服务器连接的终端作为鉴别器实体(Authenticator Entity,简称AE),向另一个作为筌别请求者实体(Authentication SUpplicant Entity,简称ASUE)的终端发起鉴别激活分组,启动WAPI的证书鉴别过程,使两个终端通过与鉴别服务器的交互实现双方的身份认证;身份认证完成后两个终端进行密钥的协商,并使用协商得到的密钥进行数据的加密传输。
下面将结合附图和实施例对本发明进行详细描述。
图l是本发明实施例无线局域网系统的结构示意图,该系统包括第一终端、第二终端、AP和鉴别服务器;其中
将所述第一终端和第二终端中可以通过所述AP与所述鉴别服务器交互的一个终端作为鉴别器实体AE,另 一个作为鉴别请求者实体ASUE;
所述AE用于向ASUE发送鉴别激活分组;
所述ASUE用于在接收到鉴别激活分组后,向AE发送包含ASUE证书的接入鉴别请求分组;所述AE还用于在接收到所述接入鉴别请求分组后,通过AP向鉴别服 务器发送包含ASUE证书和AE证书的证书鉴别请求分组;
所述鉴别服务器用于对ASUE证书和AE证书进行验证,并通过AP将 证书验证结果以及鉴别服务器对证书验证结果的签名发送给AE和ASUE, 完成AE和ASUE之间的相互认证。
下面将结合本发明的自组网模式下的无线局域网接入认证方法对上述 各网元的具体功能及连接关系(消息交互关系)进行详细描述。
图2是本发明实施例自组网才莫式下的无线局域网接入认证方法流程图, 该方法包括如下步骤
201:终端STAl向终端STA2发送探询请求帧;
探询请求帧中包含自组网标识、AP信号质量等级S1;其中
自组网标识用于指示希望与对端进行自组网模式的接入认证及通信;
AP的信号质量等级用于标识本地测量得到的当前可连接AP的信号质 量等级(如果有多个可连接的AP,则选择最大值);如果当前没有可连接 的AP,则AP的信号质量等级值SI为0。
202:接收到探询请求帧后,STA2将本地测量得到的AP信号质量等级 S2与SI 十比
如果S2大于S1,则选定STA2作为鉴别器实体(AE) , STA2向STAl 发送包含AE标识的4果询响应帧;
如果S2小于S1,则选定STA1作为鉴别器实体(AE) , STA2向STA1 发送包含ASUE标识的探询响应帧;
如果S2等于S1,且S2和S1都不为0,则任意选择一个作为鉴别器实 体(AE) , STA2向STAl发送包含AE标识或ASUE标识的探询响应帧;
如果S2和SI都为0,则表明STAl和STA2都无法与AP连4妻,无法 进行自组网模式的接入认证,STA2向STAl发送包含自组网接入认证失败 标识的纟笨询响应帧,本流程结束。接收到探询响应帧后,STA1获知是否可进行自组网模式的接入认证, 并获知哪一终端作为鉴别器实体(AE)发起证书鉴别过程;本实施例中, 探询响应帧中包含AE标识,即STA1作为鉴别请求者实体(ASUE ) 、 STA2 作为(AE)。
203: STA2向STA1发送鉴别激活分组,发起证书鉴别过程;
鉴別激活分组中可以包含STA2的证书、ECDH (椭圆曲线密码体制 的Diffie-Hellman (戴菲-赫曼)交换)参数等字段。
如果STA1和STA2已预先设置了相同的ECDH参数,则鉴别激活分组 中可以不包含ECDH参数字段。
204:接收到鉴别激活分组后,STA1保存STA2的证书,用于后续对 STA2的签名进行验证,并产生用于ECDH交换的临时私钥sx和临时公钥 px;
205: STA1生成接入鉴别请求分组,发送给STA2;
接入鉴别请求分组中包含临时公钥px、STAl的证书等字段,以及STA1 对上述字段的签名值。
206:接收到接入鉴别请求分组后,STA2对STA1的签名进行验证(使 用STA1证书中包含的公钥),若验证不通过,则丟弃该分组;否则STA2生 成证书鉴别请求分组,通过AP发送给鉴别服务器;
证书鉴别请求分组中包含STA1的证书和STA2的证书。
207:鉴别服务器对STA1的证书和STA2的i正书进行-险证;
208:鉴别服务器根据对STA1的证书和STA2的证书的验证结果,构造 证书鉴别响应分组,并且附加鉴别服务器的签名,通过AP发往STA2;
209: STA2验证鉴别服务器的签名,签名马&i^功后,进一步验证对STA1 的证书的验证结果,验证成功后,执行以下操作
209a:生成用于ECDH交换的临时私钥sy和临时公钥py;
20%:使用STA1发送的临时公钥px和本地生成的临时私钥sy进行 ECDH计算,生成基密钥BK。210: STA2向STA1发送接入鉴别响应分组;
接入鉴别响应分组中包含临时公钥py,证书验证结果,鉴别服务器 签名,以及STA2对上述字段的签名。
211:接收到接入鉴别响应分组后,STA1验证STA2签名及证书验证结 果,如果STA2签名正确,并且鉴别服务器对STA2的证书验证成功,则STA1 使用临时公钥py和临时私钥sx进行ECDH计算生成BK。
需要注意的是,根据ECDH的原理,STA1和STA2生成的BK相同。
212: STA1和STA2使用BK进行密钥协商,生成单播密钥,并使用单 播密钥进行数据的加密传输。
根据本发明的基本原理,上述实施例还可以有多种变换方式,例如
(一)在步骤202中,当两个终端都可以与AP相连时(即Sl和S2都 大于0时),除了以测量得到的信号质量等级为依据来判断由哪一终端作为 AE与AP相连外,还可以以MAC ( Media Access Control,介质访问控制) 地址的大小(将MAC地址作为无符号整数来比较)为依据来判断由哪一终 端作为AE与AP相连。
(二 )除了使用步骤204 ~ 211的方法协商得到基密钥BK外,STA1和 STA2之间也可以采用预共享密钥直接导出基密钥BK。
(三) 在步骤206中,如果STA1的证书和STA2的证书的颁发者相同, 则AP根据证书包含的证书颁发者名称向对应的鉴别服务器转发证书鉴别请 求分组;如果STA1的证书和STA2的证书的颁发者不同,则AP向对应的 鉴别服务器分别发送包含STA1的证书和STA2的证书的证书鉴别请求分 组,并当接收到两个鉴别服务器返回的证书鉴别响应分组,将两个鉴别服务 器分别对STA1的证书和STA2的证书的验证结果以及各自的签名包含在接 入筌别响应分组中发送给STA2;如果有必要,AP也可以在接入鉴别响应分 组中添加自身的签名。
(四) 步骤206中,证书鉴别请求分组中还可以包含STA2的签名字段, AP接收到该证书鉴别请求分组后,还可以对STA2的签名进行验证,签名验证通过后才向鉴别服务器转发证书鉴别请求分组。
综上所述,采用本发明的方法及系统,可以将基于证书的接入认证方法 应用于自组网模式,使得无线局域网终端可以方便、快捷、且安全地进行自
组网模式的通信,有效地防止了非授权终端的接入;此外,终端还可以在基 于证书的接入认证过程中进行基密钥的协商,进一步提高了终端之间的通信 安全性。
权利要求
1、一种自组网模式下的无线局域网接入认证方法,其特征在于,该方法包括在两个终端中选择一个可以通过接入点AP与鉴别服务器交互的终端作为鉴别器实体AE,向另一个作为鉴别请求者实体ASUE的终端发送鉴别激活分组;接收到鉴别激活分组后,ASUE向AE发送包含ASUE证书的接入鉴别请求分组;接收到接入鉴别请求分组后,AE通过AP向鉴别服务器发送包含ASUE证书和AE证书的证书鉴别请求分组;鉴别服务器对ASUE证书和AE证书进行验证,并通过AP将证书验证结果以及鉴别服务器对证书验证结果的签名发送给AE和ASUE,由AE和ASUE根据证书验证结果进行相互的认证。
2、 如权利要求l所述的方法,其特征在于,发送所述接入鉴别请求分组前,所述ASUE生成用于椭圓曲线密码体制 的戴菲-赫曼ECDH交换的临时公钥px和临时私钥sx,并将px包含在所述 接入鉴别请求分组中发送给AE;接收到鉴别服务器发送的证书验证结果后,AE生成用于ECDH交换的 临时公钥py和临时私钥sy,使用sy和px进行ECDH计算,生成基密钥BK, 并将py包含在接入鉴别响应分组中发送给ASUE;接收到所述接入鉴别响应分组后,ASUE使用sx和py进行ECDH计算, 生成基密钥BK。
3、 如权利要求l所述的方法,其特征在于,如果所述两个终端都可以通过AP与鉴别服务器交互,则选择与AP之 间的信号质量高的终端作为AE,另一个作为ASUE。
4、 如权利要求3所述的方法,其特征在于, 采用如下步骤在两个终端中选择一个作为AE:第一终端向第二终端发送探询请求帧;探询请求帧中包含本地测量得到 的当前可连接AP的信号质量等级SI;接收到探询请求帧后,第二终端将本地测量得到的当前可连接AP的信 号质量等级S2与SI进行比较如果S2大于S1,则第二终端向第一终端发 送包含AE标识的探询响应帧,表示将第二终端作为AE;如果S2小于S1, 则第二终端向第 一终端发送包含ASUE标识的^:询响应帧,表示将第二终端 作为ASUE,将第一终端作为AE。
5、 如权利要求l所述的方法,其特征在于,所述接入鉴别请求分组中包含ASUE的签名字段,接收到所述接入鉴别 请求分组后,AE对ASUE的签名进行验证,仅当验证通过后才通过AP发 送所述证书鉴别请求分组。
6、 如权利要求5所述的方法,其特征在于,AE发送的所述证书鉴别请求分组中包含AE的签名,AP接收到所述证 书鉴别请求分组后,对AE的签名进行验证,仅当签名验证通过后才向鉴别 服务器转发所述证书鉴别请求分组。
7、 一种无线局域网系统,该系统包括第一终端、第二终端、AP和鉴 别服务器;其中将所述第一终端和第二终端中可以通过AP与所述鉴别服务器交互的一 个终端作为鉴别器实体AE,另 一个作为鉴别请求者实体ASUE;所述AE用于向ASUE发送鉴别激活分组;所述ASUE用于在接收到鉴别激活分组后,向AE发送包含ASUE证书 的接入鉴别请求分组;所述AE还用于在接收到接入鉴別请求分组后,通过AP向鉴別服务器 发送包含ASUE证书和AE证书的证书鉴别请求分组;所述鉴别服务器用于对ASUE证书和AE证书进行验证,并通过AP将 完成AE和ASUE之间的相互认证。
8、 如权利要求7所述的系统,其特征在于,所述ASUE还用于在发送所述接入鉴别请求分组前,生成用于ECDH 交换的临时公钥px和临时私钥sx,并将px包含在所述接入鉴别请求分组中 发送给AE;所述AE还用于在接收到鉴别服务器发送的证书验证结果后,生成用于 ECDH交换的临时公钥py和临时私钥sy,使用sy和px进行ECDH计算, 生成基密钥BK,并将py包含在接入鉴别响应分组中发送给ASUE;所述ASUE还用于在接收到所述接入鉴别响应分组后,使用sx和py进 行ECDH计算,生成基密钥BK。
9、 如权利要求7所述的系统,其特征在于,如果所述第一终端和第二终端都可以通过AP与鉴别服务器交互,则将 与AP之间的信号质量高的终端作为AE,另一个作为ASUE。
10、 如权利要求9所述的系统,其特征在于,所述第一终端还用于向第二终端发送探询请求帧;^:询请求帧中包含本 地测量得到的当前可连接AP的信号质量等级SI;所述第二终端还用于在接收到探询请求帧后,将本地测量得到的当前可 连接AP的信号质量等级S2与SI进行比较如果S2大于S1,则第二终端 向第一终端发送包含AE标识的探询响应帧,表示将第二终端作为AE;如 果S2小于S1 ,则第二终端向第 一终端发送包含ASUE标识的探询响应帧, 表示将第二终端作为ASUE,将第一终端作为AE。
全文摘要
一种自组网模式下的无线局域网接入认证方法,该方法包括在两个终端中选择一个可以通过接入点AP与鉴别服务器交互的终端作为鉴别器实体AE,向另一个作为鉴别请求者实体ASUE的终端发送鉴别激活分组;接收到鉴别激活分组后,ASUE向AE发送包含ASUE证书的接入鉴别请求分组;接收到接入鉴别请求分组后,AE通过AP向鉴别服务器发送包含ASUE证书和AE证书的证书鉴别请求分组;鉴别服务器对ASUE证书和AE证书进行验证,并通过AP将证书验证结果以及鉴别服务器对证书验证结果的签名发送给AE和ASUE,由AE和ASUE根据证书验证结果进行相互的认证。
文档编号H04W12/06GK101527907SQ200910129180
公开日2009年9月9日 申请日期2009年3月31日 优先权日2009年3月31日
发明者建 刘 申请人:建 刘