专利名称:Wapi漫游接入认证方法、系统和接入地as服务器的制作方法
技术领域:
本发明涉及 WAPI ( WLAN Authentication and Privacy Infrastructure,无线局域网鉴别和保密基础结构)技术,尤其涉及一 种WAPI漫游接入认证方法、系统和接入地AS服务器。
背景纟支术
WAPI是WAI ( WLAN Authentication Infrastructure,无线局i或网 鉴别基础结构)和WPI (WLAN Privacy Infrastructure,无线局i或网併: 密基础结构)两个协议统称,是我国无线局域网国家标准GB15629.il-2003提出的实现无线局域网安全的协议。其中WAI协议解决无线局域 网中的身份识别问题,WPI协议解决无线局域网中信息的保密传输问 题。WAI协议中利用ECC (Elliptic Curve Cryptography,椭圆曲线 密码体制)的数字签名功能(ECDSA)解决了身份认证问题。WAI协 议是WAPI协议中最重要和最基础的部分,只有实现了身份的认证才可 以进行数据的传输。WAI用ECC技术实现了身份的双向认证问题,即 无线终端对接入点(Access Point, AP)的认证,和接入点对无线终端 的认证,只有这两个认证都通过了,即无线终端确认接入点为合法接入 点和接入点确认无线终端为合法无线终端后双方才可以进行通信。经过 可信的第三方——鉴别服务单元实现认证。
在WAPI协议中,无线终端和AP之间必须相互认证才能完成接入 过程,而这个认证过程必须通过证书认证实现。在AP和AS (Authentication Server,鉴别服务器)交互过程中,WAI协i义才艮文是 直接封装在UDP协议基础的,服务器的端口号是3810。
WAPI标准对对漫游用户的身份鉴别没有提出解决方案。
按照现有技术,当WAPI用户在异地接入时,接入地AS查测用户是非本地用户时,就会将证书请求报文转发给根AS,由根AS将证书 请求报文转发给开户地AS认证。正常的异地漫游用户会完成开户地 AS的认证,但也会使一些非法用户的证书请求报文由接入地AS转发 给根AS,由根AS检测并丢弃,由于根AS面对众多的接入地AS,将 会有大量的非法用户证书请求报文转发给AS,造成对根AS服务器的 压力,降低认证效率,同时也会被一些黑客利用,持续地发送认证请求 报文,攻击根AS服务器。
发明内容
本发明要解决的一个技术问题是提供一种WAPI漫游接入认证方法 和系统,可以緩解根AS的压力,提高认证效率。
本发明提供一种WAPI漫游接入认证方法,包括AP将自身和 STA (Station,无线终端)的证书发送给接入地AS;当接入地AS确定 不是所述STA的开户地AS时,接入地AS判断STA的证书与自身的 证书是否属于同一根证书,如果是,则将STA 、 AP的证书以及接入地 AS的签名转发给根AS,如果不是,则通知AP拒绝该STA关联;根 AS将STA、 AP的证书转发给开户地AS进行证书认证。
才艮据本发明的WAPI漫游接入i人证方法的一个实施例,该还包括 由WAPI证书管理中心统一为STA、 WLAN设备、AS服务器签发 WAPI证书,以便不同实体证书具有同一个根证书。
本发明还提供一种WAPI漫游4秦入认证系统,包括AP,用于向 接入地AS发送证书鉴别请求分组,该证书鉴别请求分組包括AP和 STA的证书;接入地AS,用于接收证书鉴别请求分组,确定AP的证 书的合法性;判断STA的证书与自身的证书是否属于同一根证书,如 果是,则向根AS发送漫游证书鉴别请求分組,将STA 、 AP的证书以 及接入地AS的签名转发给根AS,如果不是,则通知AP拒绝STA关 联;根AS,用于将漫游证书鉴别请求分组转发给开户地AS,以将 STA、 AP的证书转发给开户地AS进行证书认证;开户地AS,用于接 收漫游证书鉴别请求分組,对STA的证书进行认证。根据本发明的WAPI漫游接入认证方法的一个实施例,还包括证 书管理中心,用于统一为STA、 WLAN设备、AS服务器签发WAPI证 书,以便不同实体证书具有同一个才艮证书。
本发明的WAPI漫游接入认证方法和系统,当接入地AS接收到来 自AP的漫游证书认证请求时,首先判断STA与AS是否属于同一根证 书,如果是才将漫游认证请求转发到根AS,从而减轻了根AS服务器 的压力,提高了认证效率。
图l是本发明的WAPI证书签发示意图2是本发明的WAPI漫游接入认证方法的一个实施例的流程图; 图3是本发明的接入地AS增加对证书请求分组判断功能的示意
图4是本发明的WAPI漫游接入认证方法的另一个实施例的流程
图5是本发明的接入地AS服务器的一个实施例的框图。
具体实施例方式
下面参照附图对本发明进行更全面的描述,其中说明本发明的示例 性实施例。
本发明的基本思想是,将WAPI证收签发与鉴别分离,所有的用 户终端证书、WLAN设备证书、AS服务器证书统一由WAPI证书管 理中心签发,确保不同实体证书的根证书相同;在接入地AS接到证 书鉴别请求分组时增加判断功能,当STA不是本地用户时,判断 STA与AS是否属于同一根证书,若是则转发给根AS,若不是则通 知AP拒绝STA关联。
图1是本发明的WAPI证书签发示意图。如图1所示,由WAPI 证书管理中心统一为接入地1、…、接入地N的STA (用户终 端)、WLAN设备、AS服务器签发WAPI证书,以便确保不同实体证书是同一个根证书。
图2是本发明的WAPI漫游接入认证方法的一个实施例的流程图。
如图2所示,在步骤202, AP将自身和STA的证书发送给接入 地AS。
在步骤204,接入地AS判断自身是否是STA的开户地AS。当接 入地AS不是STA的开户地AS时,则继续下面的步骤206。
在步骤206,接入地AS判断STA的证书与自身的证书是否属于同 一根证书,如果是,则继续执行步骤208,如果不是,则通知所述AP 拒绝所述STA关联(步骤212 ),认证结束。接入地AS通过查看STA 证书的证书链,获取STA的根证书,并与其自身的根证书比较,以判 断是否属于同一个根证书。
在步骤208,接入地AS将STA 、 AP的证书以及接入地AS的签 名转发给根AS。
在步骤210,根AS将STA、 AP的证书转发给开户地(归属地) AS进4亍证书认证。
图3是本发明的接入地AS增加对证书请求分组判断功能的示意图。
如图3所示,在步骤302, AP向STA发送鉴别激活分组,该分组 中包括AP的证书。当STA关联或重新关联至AP,如果需要进行证书 鉴别过程,或者AP收到了无线终端的预鉴别开始分组,则AP向无线 终端发送鉴别激活分组,激活无线终端进行双向证书鉴别过程。
在步骤304, STA向AP发送接入鉴别请求分组,该分组中包括 STA的证书。无线终端接收到由AP发送的鉴别激活分组后,则根据鉴 别激活分组中的AP信任的ASU (Authentication Service Unit,鉴别月艮 务单元)身份选择由该ASU颁发的证书或本地策略选择证书,产生用 于ECDH交换的临时私钥x、临时公钥x P和无线终端挑战,生成接 入鉴别请求分组,发送给AP
在步骤306, AP向接入地AS发送证书鉴别请求分组,证书鉴别请求分组中包括AP的证书和STA的证书。
在步骤308,接入地AS根据STA证书判断用户是否为本地用户,如 果是则直接进行认证,如果不是,判定STA和AS是否属于同一根证书,如 果是则转发给根AS,否则通知AP拒绝STA关联。
在步骤310,接入地AS向根AS发送漫游证书鉴别请求分组1。该 分组中主要包括用户终端证书、WLAN接入设备证书、WLAN接入设 备证书的鉴别结果、接入地AS的证书,并加上接入地AS签名。
在步骤312,根AS向归属地AS发送漫游证书鉴别请求分组2。归 属地AS接收到漫游证书鉴别请求分组2后,对STA和AP的证书进行 认证。
在步骤314,归属地AS向根AS发送漫游证书鉴别响应分組2。
在步骤316,根AS向接入地AS发送漫游证书鉴别响应分组1。
在步骤318,接入地AS向AP发送证书鉴别响应分组。
在步骤320, AP向STA发送接入鉴别响应分组。
从图3的流程可以看出,接入地AS接到证书鉴别请求分組时,
增加AS对STA的根证书判断功能,以确定是否需要将证书鉴别请
求分组转发给根AS。
图4是本发明的WAPI漫游接入认证方法的另一个实施例的流程图。
如图4所示,在步骤402, AP将自身和STA的证书发送给4妾入 地AS。
在步骤404,接入地AS确定AP的证书的合法性,检验AP证书的 有效期。如果AP的证书合法,则继续下面的步骤。
在步骤406,接入地AS判断自己是否是开户地AS,如果是,接入 地AS验证STA证书合法性,并返回验证结果给AP (步骤414),否 则,则继续执行步骤408,
在步骤408,接入地AS判断STA的证书与自身的证书是否属于同 一根证书,如果是,则继续执行步骤410,如果不是,则通知所述AP 拒绝所述STA关联(步骤416 ),认证结束。在步骤410,接入地AS将STA 、 AP的证书以及接入地AS的签 名转发给根AS。
在步骤412,根AS将漫游鉴别请求分组转发给开户地AS进行证 书认证。
图5是本发明的接入地AS服务器的一个实施例的框图。如图5所 示,该接入地AS包括证书接收模块51、证书判断模块52、漫游分组 发送模块53和请求响应模块54。其中,证书接收模块51,用于接收证 书鉴别请求分组,该证书鉴别请求分组中包括AP证书和STA证书。证 书判断模块52,用于接收来自证书接收模块51的AP证书和STA证 书,确定AP的证书的合法性;判断STA的证书与自身的证书是否属于 同一根证书,如果是,则将AP证书和STA证书发送给漫游分组发送模 块53,否则,向请求响应模块54发送拒绝消息。漫游分组发送模块 53,用于接收来自证书判断模块52的AP证书和STA证书,向根AS 发送漫游证书鉴别请求分组,将STA 、 AP的证书以及接入地AS的签 名转发给根AS;请求响应模块54,接收来自证书判断模块52的拒绝 消息,通知AP拒绝所述STA关联。
根据本发明的接入地AS服务器的一个实施例,请求响应模块54 还用于接收来自根AS的漫游证书鉴别响应分组,将漫游证书鉴别响应 分组转发给所述AP。
本发明的WAPI漫游接入认证方法和系统,当接入地AS 4妄收到来 自AP的漫游证书认证请求时,首先判断STA与AS是否属于同一根证 书,如果是才将漫游认证请求转发到根AS,从而减轻了根AS服务器 的压力,提高了认证效率,并可以防止被一些黑客利用攻击根AS服务 器,提高了安全性。
本发明的描述是为了示例和描述起见而给出的,而并不是无遗漏的 或者将本发明限于所公开的形式。很多修改和变化对于本领域的普通技 术人员而言是显然的。选择和描述实施例是为了更好说明本发明的原理 和实际应用,并且使本领域的普通技术人员能够理解本发明从而i殳计适 于特定用途的带有各种修改的各种实施例。
权利要求
1.一种WAPI漫游接入认证方法,其特征在于,包括接入点AP将自身和无线终端STA的证书发送给接入地AS;当所述接入地AS确定不是所述STA的开户地AS时,所述接入地AS判断所述STA的证书与自身的证书是否属于同一根证书,如果是,则将所述STA、AP的证书以及所述接入地AS的签名转发给根AS,如果不是,则通知所述AP拒绝所述STA关联;所述根AS将所述STA、AP的证书转发给开户地AS进行证书认证。
2. 根据权利要求1所述的WAPI漫游接入认证方法,其特征在 于,还包括由WAPI证书管理中心统一为STA、 WLAN接入设备、AS放务器 签发WAPI证书,以便不同实体证书具有同一个才艮证书。
3. 根据权利要求1所述的WAPI漫游接入认证方法,其特征在 于,在所述接入地AS判断所述STA的证书与自身的证书是否属于同一 根证书之前,还包括所述接入地AS判断自身是否为所迷STA的开户地AS,如果是, 则所述接入地AS判断所述STA证书的合法性,并将判断结果返回所述 AP。
4. 根据权利要求1所述的WAPI漫游接入认证方法,其特征在 于,在AP将自身和STA的证书发送给接入地AS之前,还包括步骤所述AP向所述STA发送鉴别激活分组,鉴别激活分组中包括所述 AP的证书;所述STA向所述AP发送接入鉴别请求分组,接入鉴别请求分组中 包括所述STA的证书。
5. 根据权利要求4所述的WAPI漫游接入认证方法,其特征在 于,还包括步骤所述开户地AS完成证书认证后,向所述根AS发送漫游证书鉴别响应分组;所述根AS向所述接入地AS转发所述漫游证书鉴别响应分组; 所述接入地AS向所述AP发送证书鉴别响应分组; 所述AP向所述STA发送接入鉴别响应分组。
6. —种WAPI漫游接入认证系统,其特征在于,包括AP,用于向接入地AS发送证书鉴别请求分组,所述证书鉴别请求 分组包j舌所述AP和STA的证书;所述接入地AS,用于接收所述证书鉴别请求分组,确定所述AP 的证书的合法性;判断所述STA的证书与自身的证书是否属于同一根 证书,如果是,则向根AS发送漫游证书鉴别请求分组,将所述 STA 、 AP的证书以及所述接入地AS的签名转发给所述根AS,如果不 是,则通知所述AP拒绝所述STA关联;所述根AS,用于将所述漫游证书鉴别请求分组转发给开户地AS, 以将所述STA、 AP的证书转发给开户地AS进行证书认证;所述开户地AS,用于接收所述漫游证书鉴别请求分组,对所述 STA的证书进行认证。
7. 根据权利要求6所述的WAPI漫游接入认证系统,其特征在 于,还包括证书管理中心,用于统一为STA、 WLAN设备、AS服务器签发 WAPI证书,以便不同实体证书具有同一个根证书。
8. 根据权利要求6所述的WAPI漫游接入认证系统,其特4正在 于,所述接入地AS还用于判断自身是否为所述STA的开户地AS,如 果是,则所述接入地AS判断所述STA证书的合法性,并将判断结果返 回所述AP。
9. 一种接入地AS,其特征在于,包括证书接收模块,用于接收证书鉴别请求分组,所述证书鉴别请求分 組中包括AP证书和STA证书;证书判断模块,用于接收来自所述证书接收模块的AP证书和STA 证书,确定所述AP的证书的合法性;判断所述STA的证书与自身的证书是否属于同一根证书,如果是,则将所述AP证书和STA证书发送给 漫游分组发送模块,否则,向请求响应模块发送拒绝消息;所述漫游分组发送模块,用于接收来自所述证书判断模块的AP证 书和STA证书,向根AS发送漫游证书鉴别请求分组,将所述STA、 AP的证书以及所述接入地AS的签名转发给所述根AS;所述请求响应模块,接收来自所述证书判断模块的拒绝消息,通知 所述AP拒绝所述STA关联。
10.根据权利要求9所述的接入地AS,其特征在于,所述请求响 应模块还用于接收来自所述根AS的漫游证书鉴别响应分组,将所述漫 游证书鉴别响应分组转发给所述AP。
全文摘要
本发明公开一种WAPI漫游接入认证方法、系统和接入地AS服务器。该方法包括AP将自身和STA的证书发送给接入地AS;当接入地AS确定不是所述STA的开户地AS时,接入地AS判断STA的证书与自身的证书是否属于同一根证书,如果是,则将STA、AP的证书以及接入地AS的签名转发给根AS,如果不是,则通知AP拒绝该STA关联;根AS将STA、AP的证书转发给开户地AS进行证书认证。本发明的WAPI漫游接入认证方法和系统,判断STA与AS是否属于同一根证书,如果是才将漫游认证请求转发到根AS,从而减轻了根AS服务器的压力,提高了认证效率,并可以防止被一些黑客利用攻击根AS服务器,提高了安全性。
文档编号H04W12/06GK101668292SQ200910180308
公开日2010年3月10日 申请日期2009年10月23日 优先权日2009年10月23日
发明者潘毅明, 波 王, 波 高 申请人:中国电信股份有限公司