专利名称:一种无线局域网接入控制方法及系统的制作方法
技术领域:
本发明属于通信技术领域,尤其涉及一种无线局域网接入控制方法及系统。
背景技术:
目前常用的无线局域网接入认证技术WAPI (WLAN Authentication andPrivacy InfraSTAructure)主要基于 PKI (Public Key InfraSTAructure,公钥基础设施),WAPI 中 AP (Access Point,无线接入节点)、STA (STAation,移动终端)和 AS (Authentication Server,鉴别服务器)间的认证过程如图1所示(1)认证激活当STA关联或重新关联至AP时,由AP发送认证激活以启动整个认 证过程;(2)接入认证请求STA向AP发出认证请求,即将STA证书与STA的当前系统时间 发往AP,其中系统时间称为接入认证请求时间;(3)证书认证请求AP收到STA接入认证请求后,首先记录认证请求时间,然后向 AS发出证书认证请求,即将STAA证书、接入认证请求时间、AP证书,以及AP的私钥对它们 签名共同构成的证书认证请求发送给AS ;(4)证书认证响应AS收到AP的证书认证请求后,验证AP的签名和AP证书的有 效性,若不正确,则认证过程失败,否则进一步验证STA证书。验证完毕后,AS将STA证书 认证结果信息(包括STA证书和认证结果)、AP证书认证结果信息(包括AP证书、认证结 果、接入认证请求时间)和AS对它们的签名而共同构成的证书认证响应报文发回给AP ;(5)接入认证响应AP对AS返回的证书认证响应进行签名验证,得到STA证书的 认证结果,根据此结果对STA进行接入控制。AP将收到的证书认证结果回送至STA。STA验 证AS的签名后,得到AP证书的认证结果,根据认证结果决定是否接入该AP。从上述过程可知,基于PKI的身份认证与接入控制技术在无线局域网环境下的应 用还存在许多不足(1)首先是对公钥证书的依赖,用户在发送信息前需要向鉴别服务器申请公钥证 书;(2)在鉴别服务器需要存储大量的用户公钥证书,给鉴别服务器带来很大负担;(3)公钥证书的传输会占用不少带宽,并且可能会造成带宽受限的无线环境下鉴 别服务器的通信阻塞。因此,在无线局域网环境下PKI身份认证机制并不能很好地发挥其在一个分布广 泛的网络下所具有的优势。此外WAPI在安全性上存在一些缺陷(1)在证书鉴别阶段,由于AP对鉴别请求做了签名,所以AS可以认证AP ;但々5不 能真正认证STAA,因为STAA所提供的只是公钥证书(由于证书是易获取的,所以证书可以 是任何STAA的),AS只是验证该证书的有效性,而不能真正认证STAA的身份,存在中间人 攻击。(2)WAPI的密钥协商部分由STA发起,容易造成DoS(Denial of service,拒绝服务)攻击。非法攻击者为了造成DoS攻击,可以采用同时发起很多“密钥协商请求”的方式, 从数量上来消耗AP资源。(3)WAPI只是对身份进行鉴别,并没有对用户入网和访问应用的权限进行控制,无 法完全满足运营商的需求
发明内容
本发明要解决的技术问题是针对现有技术中存在的上述缺陷,提供一种新的无线 局域网接入控制方法,以实现对无线局域网内移动终端入网和资源访问进行有效控制;本 发明还相应提供了 一种无线局域网接入控制装置。为解决上述技术问题,本发明无线局域网接入控制方法包括如下步骤步骤A、采用IBE (Identity-based Encryption,基于身份的加密技术)技术对要 求入网的移动终端进行身份认证,如果认证不通过则不允许该用户接入网络,如果认证通 过则执行步骤B;步骤B、确定所述移动终端有权访问哪些网络资源,即确定所述移动终端的资源访 问权限,并据此对所述移动终端的网络访问行为进行控制。进一步地,步骤A具体包括Al、移动终端向鉴权中心提交身份标识并注册,鉴权中心利用IBE签名算法生成 相应的私钥;A2、鉴权中心将私钥分发给所述移动终端;A3、所述移动终端生成一个随机数,并采用IBE签名算法,利用所述私钥对该随机 数进行签名,生成一个签名值;A4、所述移动终端发送其身份标识和所述签名值给无线接入节点;A5、无线接入节点验证所述身份标识是否存在于合法移动终端身份标识列表(该 表存储于无线接入节点,相当于白名单)中,若不存在则拒绝接入,若存在则执行步骤A6 ;A6、无线接入节点采用IBE算法,根据移动终端传递过来的所述身份标识生成公 钥,并利用公钥验证所述签名值的有效性,如果验证通过,则认为移动终端身份合法,否则 认为移动终端身份不合法。更进一步地,所述移动终端上安装有用户身份令牌USB-KEY,用于存储所述身份标 识和私钥,并进行所述IBE算法运算。进一步地,步骤A中还包括移动终端采用IBE技术对无线接入节点进行认证,以决定是否与该无线接入节点 建立通信连接。进一步地,步骤B具体包括Bi、移动终端向鉴权中心注册后,鉴权中心为移动终端分配入网权限,并根据移动 终端的身份标识信息,生成权限属性证书并存储于本地以便集中管理,该证书上标明了用 户具有哪些资源访问权限;B2、移动终端向无线接入节点发送入网请求;B3、无线接入节点截获所述入网请求,并将所述移动终端的身份标识和所述入网 请求递交到鉴权中心,请求鉴权中心进行权限判决;
B4、鉴权中心根据所述权限属性证书来判决所述移动终端的权限;B5、鉴权中心将判决结果返回给无线接入节点。 进一步地,步骤B4中,如果所述移动终端为漫游用户,则所述鉴权中心将所述判 决请求中继到所述移动终端注册的鉴权中心,由该移动终端注册的鉴权中心进行权限判 决,然后将判决结果返回所述鉴权中心。为解决上述技术问题,本发明无线局域网接入控制系统包括移动终端、无线接入 节点和鉴权中心;其中,所述移动终端用于向所述无线接入节点发送入网请求;所述无线接入节点用于采用IBE技术对所述请求入网的移动终端进行身份认证, 如果认证不通过则不允许该移动终端接入网络;并对认证通过的移动终端向所述鉴权中心 发出权限判决请求;所述鉴权中心用于在收到所述权限判决请求后,确定所述移动终端的资源访问权 限,并将之返回所述无线接入节点。进一步地,所述移动终端安装有用户身份令牌USB-KEY,该用户身份令牌包含IBE 运算引擎。更进一步地,所述IBE运算引擎包括标识与私钥管理模块,用于存储私钥和移动终端身份标识,该模块在移动终端侧 使用;公钥生成模块,用于将所述移动终端身份标识映射为唯一的公钥,该模块在无线 接入节点侧使用;IBE算法模块,用于进行签名、验证和密钥交换,该模块移动终端和无线接入节点 侧均使用;随机数发生器,用于生成随机数,该模块在移动终端侧使用。进一步地,所述移动终端还用于采用IBE技术对所述无线接入节点进行认证,以 决定是否与所述无线接入节点建立通信连接。本发明的优点在于(1)采用本发明技术方案,无需传输证书,节省了大量带宽,同时避免了鉴别服务 器的通信阻塞;(2)本发明允许多个无线接入节点同时对接入网络的移动终端的身份进行认证, 并在后台集中授权和控制,提高了系统管理效率;(3)本发明引入了对用户访问具体应用资源的授权控制,适应了无线局域网和移 动互联网以应用为中心的发展趋势,并满足了运营商的需求。同时,本发明显著提高了无线局域网接入控制方案本身的安全性(1)用I BE公钥技术取代PKI,避免了由于传输证书带来的性能开销,并且避免了 没有对证书进行签名导致的中间人攻击;(2)用USB-KEY的形式存储密码参数,并进行密码运算,避免了攻击者对密码参数 和软件的攻击,安全强度比WAPI更强;同时用USB-KEY将用户绑定,AP不会接受攻击者的 密钥协商请求,避免了拒绝服务攻击;(3)鉴权中心增加授权管理功能,对用户入网和访问应用的权限进行细粒度控制。
图1为现有的无线局域网接入认证技术WAPI的身份认证过程示意图;图2为本发明无线局域网接入控制方法流程示意图;图3为移动终端接入认证过程示意图;图4为基于用户身份标识的权限控制过程示意图;图5为本发明无线局域网接入控制系统组成示意图;图6为用户身份令牌IBE算法引擎签名过程示意图;图7为无线接入节点中IEB算法引擎签名验证过程示意图;图8为移动终端入网工作流程示意图;图9为移动终端退网工作流程示意图;图10为移动终端连接状态探测流程示意图;图11为移动终端跨域授权访问流程示意图。
具体实施例方式下面结合附图和具体实施方式
对本发明作进一步详细说明。图2为本发明无线局域网接入控制方法流程示意图,如图所示,移动终端通过无 线接入节点实现相互的通信和对网络资源的访问,包括以下两个子过程(1)基于用户身份标识的认证该过程对应WAPI中的认证过程,但在认证过程中 应用IBE基于标识的身份认证技术,并进行安全性增强,对所有接入网络的用户身份进行 认证,只有经过认证用户才可能接入网络。基于用户身份标识的认证过程是一个双向的认 证,即无线接入节点要对移动终端进行鉴别,同时移动终端也要对无线接入节点进行鉴别, 两个过程类似,只是方向相反。(2)基于用户身份的授权该过程为本发明新增的过程,无线接入节点对用户进 行身份认证之后,将向后端鉴权中心发送用户权限请求以确定该用户有权访问哪些网络资 源,并对用户使用网络资源的行为进行监控和审计,以确保网络资源不被非法访问。用户的 授权管理采用多级分层管理模式,每个用户的权限由本域的鉴权中心签发;一旦用户被授 予权限后,可以在任何用户认证节点通过该用户的权限验证判决。本发明无线局域网接入控制方法的实施包括三个阶段(1)初始化阶段一是移动终端向鉴权中心注册;二是注册后鉴权中心为用户分 配入网权限,根据移动终端的身份标识信息(身份标识从无线接入节点获取),生成权限属 性证书并存储于本地以便集中管理,该证书上标明了用户具有哪些资源访问权限;三是注 册后鉴权中心将私钥分发给移动终端;(2)移动终端和无线接入节点间通过鉴权中心进行双向身份认证;(3)移动终端和无线接入节点间通过鉴权中心进行权限控制过程。图3为移动终端接入认证过程示意图,如图所示,无线接入节点对移动终端的接 入认证过程包括如下步骤(1)移动终端向鉴权中心提交身份标识并注册,鉴权中心利用IBE签名算法生成 相应的私钥;
(2)鉴权中心将私钥以离线或在线方式分发给用户身份令牌;(3)由用户身份令牌生成随机数,并利用用户身份令牌上保存的私钥对随机数进行签名并生成签名值,签名算法采用IBE签名算法;(4)移动终端发送身份标识和签名值给无线接入节点;(5)当移动终端请求入网时,无线接入节点首先验证其身份标识是否存在于合法 移动终端身份标识列表(该表存储于无线接入节点,相当于白名单)中,若不存在则拒绝接 入;(5)无线接入节点上的IBE算法引擎根据用户传递过来的身份标识生成公钥,判 断签名值是否能由其公钥进行验证,如果能够,则认证移动终端身份的合法性,否则认证移 动终端身份不合法。无线接入节点对接入网络用户的身份进行认证,只有经过认证的用户才能访问相 应的网络资源。用户身份令牌是一个包含IBE运算引擎的USB-KEY,USB-KEY是一种USB接口的小 巧的硬件设备,它内置了 CPU、存储器、芯片操作系统(COS),能够存储用户的密钥或数字证 书,利用USB-KEY内置的密码算法实现对用户身份的认证。移动终端的授权管理采用多级分层管理模式,每个移动终端的权限由本域的鉴权 中心签发;一旦用户被授予权限后,能够在任何无线接入节点通过该用户的权限验证判决。 基于用户身份标识的权限控制过程如图4所示,具体包括如下步骤(1)移动终端向鉴权中心注册后,鉴权中心为用户分配入网权限,根据移动终端的 身份标识信息(身份标识从无线接入节点获取),生成权限属性证书并存储于本地以便集 中管理,该证书上标明了用户具有哪些资源访问权限;(2)移动终端向无线接入节点发送入网请求;(3)无线接入节点截获入网请求,并将用户的身份标识和入网请求递交到鉴权中 心,请求鉴权中心进行权限判决;(4)鉴权中心根据通过权限属性证书判决用户的权限;如果用户漫游时,则将判 决请求中继到用户注册域的鉴权中心进行权限判决,然后由该用户注册域的鉴权中心将判 决结果传递给用户所在域的鉴权中心;(5)鉴权中心将判决结果返回给无线接入节点,以决定是否通过该用户的权限验 证。图5为本发明无线局域网接入控制系统组成示意图,如图所示,本发明无线局域 网接入控制系统由移动终端、无线接入节点和鉴权中心组成。其中移动终端上安装了用户 身份令牌USB-KEY,用于存储用户标识和私钥,并进行IBE算法运算。无线接入节点即为 无线局域网中的AP,对移动终端进行接入控制。鉴权中心AS实现两个功能,一是充当对应 WAPI中的鉴别服务器,为移动终端的接入认证提供支撑;二是充当授权管理服务器,为移 动终端进行资源访问提供权限控制支撑。本发明无线局域网接入控制系统中,移动终端通过无线接入节点入网并资源访问 的过程,包括基于用户身份标识的认证和授权两个子过程。基于用户身份标识的认证过程 是一个双向的认证,即无线接入节点要对移动终端进行鉴别,同时移动终端也要对无线接 入节点进行鉴别,两个过程类似,只是方向相反。用户的授权管理采用多级分层管理模式,每个用户的权限由本域的鉴权中心签发;一旦用户被授予权限后,可以在任何用户认证节 点通过该用户的权限验证判决。其中,无线接入节点对移动终端的接入认证过程包括如下步骤 (1)移动终端向鉴权中心提交身份标识并注册,鉴权中心利用IBE签名算法生成 相应的私钥;(2)鉴权中心将私钥以离线或在线方式分发给用户身份令牌;(3)由用户身份令牌生成随机数,并利用用户身份令牌上保存的私钥对随机数进 行签名并生成签名值,签名算法采用IBE签名算法;(4)移动终端发送身份标识和签名值给无线接入节点;(5)当移动终端请求入网时,无线接入节点首先验证其身份标识是否存在于合法 移动终端身份标识列表(该表存储于无线接入节点,相当于白名单)中,若不存在则拒绝接 入;(5)无线接入节点上的IBE算法引擎根据用户传递过来的身份标识生成公钥,判 断签名值是否能由其公钥进行验证,如果能够,则认证移动终端身份的合法性,否则认证移 动终端身份不合法。无线接入节点对接入网络用户的身份进行认证,只有经过认证的用户才能访问相 应的网络资源。用户身份令牌是一个包含IBE运算引擎的USB-KEY。IBE运算引擎在移动终端和无线接入节点侧都有,其功能模块如下标识与私钥管理模块用于存储、管理、处理、保护私钥和用户身份标识,该功能主 要在移动终端侧使用;公钥生成模块将移动终端的身份标识映射为唯一的公钥,该功能主要在无线接 入节点侧使用;IBE算法模块进行签名、验证和密钥交换,该功能在移动终端和无线接入节点侧 都要使用;随机数发生器生成随机数,该功能在移动终端侧使用。如图6所示,使用用户身份令牌IBE算法模块进行数字签名的过程如下(1)用户身份令牌中的私钥管理模块提取出私钥(该私钥已经在注册分发阶段分 发到用户身份令牌里);(2)用户身份令牌中的随机数发生器生成随机数用于签名;(3)用户身份令牌中的IBE算法模块用私钥对随机数签名,生成签名值;(4)用户身份令牌将身份标识和签名值传给无线接入节点。如图7所示,无线接入节点中也包含IBE算法引擎,其签名验证过程如下(1)无线接入节点从读取移动终端传送过来的数字签名值和身份标识;(2)公钥生成模块将身份标识ID映射成公钥QID,即QID = Hl (ID),详细描述见下 面IBE签名算法的详细说明;(3) IBE算法模块通过公钥验证数字签名是否有效,并将验证结果返回给用户。以上过程中的IBE签名算法详细说明如下,该算法包含具体的签名及验证过程IBE签名算法采用基于身份的短签名算法,该签名算法的签名值较短(为ieobit),占用网络带宽较小,适合无线通信环境带宽受限的特点。该签名算法由四个步骤 组成Setup (初始化)给定一个安全参数k,密钥管理中心PKG (地位相当于本发明系 统中的鉴权中心)选择具有同样素数阶q的两个群Gl和G2,q > 2k,和一个修正了的Weil 配对e :G1 X Gl — G2。P是群Gl的生成元,设g = e (P,P),然后PKG选择密码哈希函数H1 {0,1}* —Z*q,H2:{0,1}*XG1 —Z*q,然后选择随机数s e Z*q作为它的主密钥,并计算 它的公钥Ppub = sP e Gl0然后,密钥管理中心公布系统参数{k,Gl, G2,e, q,P,g,Ppub, Η1,Η2},并保密主密钥s。 Extract (私钥产生)给定身份标识 ID e (0,1)*, PKG 计算 QID = Hl (ID),dID =(l/(s+QID))P, dID即为身份标识为ID的用户来进行安全通信的私钥。其中Q = P pub+QIDP。Sign(签名)签名之前,签名者先要选取随机数r e Z*q,计算U = rQ = r (Ppub+QIDP),并将U作为公共参数广播,保密r。为了给身份标识ID对应的消息m e (0, 1)* 产生签名,令 h = H2(m,U),计算 S = (l/(r+h))dID = (l/(r+h) (s+QID)) P,那么 S 就 是身份标识ID对应的消息m的签名。Verify (验证)给定身份标识ID对应的消息m的签名S,计算h = H2 (m, U),如果 下述方程成立则接受签名S并返回1 =Ver(m, ID, S) = 1 □ e(S, U+hQ) = g。移动终端的授权管理采用多级分层管理模式,每个移动终端的权限由本域的鉴权 中心签发;一旦用户被授予权限后,能够在任何无线接入节点通过该用户的权限验证判决。 基于用户身份标识的权限控制过程具体包括如下步骤(1)移动终端向鉴权中心注册后,鉴权中心为用户分配入网权限,根据移动终端的 身份标识信息(身份标识从无线接入节点获取),生成权限属性证书并存储于本地以便集 中管理,该证书上标明了用户具有哪些资源访问权限;(2)移动终端向无线接入节点发送入网请求;(3)无线接入节点截获入网请求,并将用户的身份标识和入网请求递交到鉴权中 心,请求鉴权中心进行权限判决;(4)鉴权中心根据通过权限属性证书判决用户的权限;如果用户漫游时,则将判 决请求中继到用户注册域的鉴权中心进行权限判决,然后由该用户注册域的鉴权中心将判 决结果传递给用户所在域的鉴权中心;(5)鉴权中心将判决结果返回给无线接入节点,以决定是否通过该用户的权限验 证。下面通过用户入网、退网、连接状态探测和跨域授权访问四个流程来说明本发明 无线局域网接入控制方法及系统的具体应用过程。图8为移动终端入网工作流程示意图,如图所示,移动终端入网工作流程包括(1)鉴权中心对无线接入节点配置授权策略,允许特定用户入网;(2)当用户请求入网时,在移动终端上插入用户身份令牌(USB-KEY);(3)移动终端从USB-KEY中获取用户身份信息,并将该信息与移动终端身份标识 信息一同携带于入网认证请求中发往无线接入节点;(4)无线接入节点将根据用户提交的身份标识对用户身份进行验证;
(5)若身份验证通过,无线接入节点向鉴权中心发送用户权限判决请求,判断该用 户是否具备相应入网权限;(6)鉴权中心通过查询权限属性证书判决是否允许其接入网络并记录用户的入网 fn息;(7)鉴权中心向无线接入节点返回用户权限判决结果;(8)无线接入节点收到用户权限判决结果后记录客户端信息,若允许用户入网则 产生连接会话参数;(9)无线接入节点向移动终端发送携带会话参数的认证成功消息;
(10)移动终端收到认证成功消息后保存会话参数信息;(11)移动终端入网成功,并开始与无线接入节点的双向数据通信。图9为移动终端退网工作流程示意图,如图所示,移动终端退网工作流程包括(1)用户需要退出网络时,拔出USB-KEY ;(2)监测到USB-KEY被拔出后移动终端向无线接入节点发送退网请求,并申请释 放入网时建立的会话参数信息;(3)无线接入节点首先验证退网请求的合法性,然后清除保存的客户信息及会话 参数;(4)无线接入节点将用户此次网络连接的时间、流量等参数上报鉴权中心,并通知 用户退网信息;(5)鉴权中心接收并记录用户的退网信息;(6)无线接入节点向移动终端返回退网请求成功消息;(7)用户收到退网成功消息后清除本地保存的会话参数;(8)移动终端与无线接入节点的双向数据通信过程移动终端,用户退网过程结束。图10为移动终端连接状态探测流程示意图,如图所示,移动终端连接状态探测流 程包括(1)移动终端入网成功后进入与无线接入节点的双向数据通信过程;(2)无线接入节点在用户入网成功后启动定时器,时间为TI ;(3) TI时间到之后无线接入节点向移动终端发送验证连接会话参数请求,验证用 户是否持有合法的会话参数;(4)移动终端收到请求后取出本地会话参数信息;(5)移动终端向无线接入节点返回验证连接会话参数响应;(6)无线接入节点验证移动终端返回的会话参数信息,若验证通过则重启定时器 TI ;(7)如果在指定的超时时间内未收到用户返回的会话参数或会话参数错误,则中 断移动终端数据通信过程;(8)无线接入节点随后通知鉴权中心连接验证错误和用户退网信息,并要求重新 启动用户接入认证过程或关闭网络连接;(9)鉴权中心记录用户的退网信息;(10)移动终端与无线接入节点间的双向数据通信过程中断。图11为移动终端跨域授权访问流程示意图,如图所示,移动终端跨域授权访问流程包括(1)已在管理域B注册并通过授权的用户漫游到管理域A的接入控制客户端并请 求接入网络;(2)向移动终端管理域A的无线接入节点发送携带用户身份标识的入网认证请 求;(3)无线接入节点验证用户身份合法性;(4)若验证通过则无线接入节点向管理域A的鉴权中心发送用户权限请求;(5)鉴权中心收到请求后查询管理域A的授权数据库,发现该用户为漫游用户;
(6)管理域A的鉴权中心向管理域B的鉴权中心发送跨域权限判决请求;(7)管理域B的鉴权中心收到跨域权限请求后查询管理域B的权限属性证书;(8)管理域B的鉴权中心向管理域A的鉴权中心返回跨域权限判决结果;(9)管理域A的鉴权中心随后向无线接入节点发送权限判决结果;(10)无线接入节点向移动终端返回入网认证成功消息,并携带会话参数信息;(11)移动终端保存收到的会话参数信息;(12)移动终端与无线接入节点开始双向数据通信过程,用户实现跨域授权访问。同时应当理解的是,本发明请求保护范围阐明于所附权利要求书中,而不能以说 明书的上述描述作为限制,凡是在本发明的宗旨之内的显而易见的修改亦应归于本发明的 保护范围之内。
权利要求
一种无线局域网接入控制方法,其特征在于包括如下步骤步骤A、采用基于身份的加密技术即IBE技术对要求入网的移动终端进行身份认证,如果认证不通过则不允许该用户接入网络,如果认证通过则执行步骤B;步骤B、确定所述移动终端有权访问哪些网络资源,即确定所述移动终端的资源访问权限,并据此对所述移动终端的网络访问行为进行控制。
2.根据权利要求1所述的无线局域网接入控制方法,其特征在于,步骤A具体包括 Al、移动终端向鉴权中心提交身份标识并注册,鉴权中心利用IBE签名算法生成相应的私钥;A2、鉴权中心将私钥分发给所述移动终端;A3、所述移动终端生成一个随机数,并采用IBE签名算法,利用所述私钥对该随机数进 行签名,生成一个签名值;A4、所述移动终端发送其身份标识和所述签名值给无线接入节点; A5、无线接入节点验证所述身份标识是否存在于合法移动终端身份标识列表中,若不 存在则拒绝接入,若存在则执行步骤A6 ;A6、无线接入节点采用IBE算法,根据移动终端传递过来的所述身份标识生成公钥,并 利用公钥验证所述签名值的有效性,如果验证通过,则认为移动终端身份合法,否则认为移 动终端身份不合法。
3.根据权利要求2所述的无线局域网接入控制方法,其特征在于所述移动终端上安装有用户身份令牌USB-KEY,用于存储所述身份标识和私钥,并进行 所述IBE算法运算。
4.根据权利要求1所述的无线局域网接入控制方法,其特征在于,步骤A中还包括 移动终端采用IBE技术对无线接入节点进行认证,以决定是否与该无线接入节点建立通信连接。
5.根据权利要求1至4中任一项所述的无线局域网接入控制方法,其特征在于,步骤B 具体包括Bi、移动终端向鉴权中心注册后,鉴权中心为移动终端分配入网权限,并生成权限属性 证书存储于本地,该证书上标明了用户具有哪些资源访问权限; B2、移动终端向无线接入节点发送入网请求;B3、无线接入节点截获所述入网请求,并将所述移动终端的身份标识和所述入网请求 递交到鉴权中心;B4、鉴权中心根据所述权限属性证书来判决所述移动终端的权限; B5、鉴权中心将判决结果返回给无线接入节点。
6.根据权利要求5所述的无线局域网接入控制方法,其特征在于步骤B4中,如果所述移动终端为漫游用户,则所述鉴权中心将所述判决请求中继到所 述移动终端注册的鉴权中心,由该移动终端注册的鉴权中心进行权限判决,然后将判决结 果返回所述鉴权中心。
7.一种无线局域网接入控制系统,其特征在于 包括移动终端、无线接入节点和鉴权中心;其中,所述移动终端用于向所述无线接入节点发送入网请求;所述无线接入节点用于采用IBE技术对所述请求入网的移动终端进行身份认证,如果 认证不通过则不允许该移动终端接入网络;并对认证通过的移动终端向所述鉴权中心发出 权限判决请求;所述鉴权中心用于在收到所述权限判决请求后,确定所述移动终端的资源访问权限, 并将之返回所述无线接入节点。
8.根据权利要求7所述的无线局域网接入控制系统,其特征在于所述移动终端安装有用户身份令牌USB-KEY,该用户身份令牌包含IBE运算引擎。
9.根据权利要求8所述的无线局域网接入控制系统,其特征在于,所述IBE运算引擎包括标识与私钥管理模块,用于存储私钥和移动终端身份标识,该模块在移动终端侧使用;公钥生成模块,用于将所述移动终端身份标识映射为唯一的公钥,该模块在无线接入 节点侧使用;IBE算法模块,用于进行签名、验证和密钥交换,该模块在移动终端和无线接入节点侧 均使用;随机数发生器,用于生成随机数,该模块在移动终端侧使用。
10.根据权利要求7或8或9所述的无线局域网接入控制系统,其特征在于所述移动终端还用于采用IBE技术对所述无线接入节点进行认证,以决定是否与所述 无线接入节点建立通信连接。
全文摘要
本发明公开了一种无线局域网接入控制方法,包括如下步骤步骤A、在移动终端上安装用户身份令牌USB-KEY,用于存储身份标识和私钥,并进行IBE算法运算;步骤B、采用基于身份的加密技术即IBE技术对要求入网的移动终端进行身份认证,如果认证不通过则不允许该用户接入网络;步骤C、确定所述移动终端的资源访问权限,并据此对所述移动终端的网络访问行为进行控制。本发明方法引入了对用户访问具体应用资源的授权控制,适应了无线局域网以应用为中心的发展趋势,同时显著提高了无线局域网接入控制方案本身的安全性,避免了中间人攻击和拒绝服务攻击。本发明还相应公开了一种无线局域网接入控制系统。
文档编号H04W12/06GK101951603SQ201010506780
公开日2011年1月19日 申请日期2010年10月14日 优先权日2010年10月14日
发明者冷冰, 卿昱, 曾梦岐, 杨宇, 肖毅 申请人:中国电子科技集团公司第三十研究所