一种基于WAPI的漫游认证方法转让专利
申请号 : CN200810018166.0
文献号 : CN100593936C
文献日 : 2010-03-10
发明人 : 张变玲 , 曹军 , 赖晓龙
申请人 : 西安西电捷通无线网络通信有限公司
摘要 :
权利要求 :
1、一种基于无线局域网鉴别与保密基础结构WAPI的漫游认证方法,其 特征在于:该方法包括以下步骤:
1)终端和外网鉴别服务器所在网络的无线接入点启用WAPI安全机制, 终端关联到无线接入点,启动WAPI鉴别过程;
2)终端接入的外网鉴别服务器接收到所述无线接入点的证书鉴别请求分 组,根据终端的证书信息判断该终端是本地接入还是漫游接入,若为本地接 入,则鉴别该终端证书的合法性并返回证书鉴别响应分组;若为漫游接入, 则根据终端证书中的信任的家网鉴别服务器信息,在本地的外网鉴别服务器 信任列表中查找该家网鉴别服务器,若在信任列表中查到该家网鉴别服务器, 则发送证书漫游鉴别请求分组到该家网鉴别服务器;若在本地的信任列表中 未查找到终端信任的家网鉴别服务器,则发送证书漫游鉴别请求分组到上一 级中心根鉴别服务器;
3)所述家网鉴别服务器或根鉴别服务器接收到证书漫游鉴别请求分组 后,根据本地存储的策略验证该分组的消息鉴别字段,若验证不通过则丢弃 该分组,若接收鉴别服务器为所述家网鉴别服务器,则验证终端证书的合法 性,并返回证书漫游鉴别响应分组;若接收鉴别服务器为所述根鉴别服务器, 则根据证书漫游鉴别请求分组中终端信任的鉴别服务器信息转发该证书漫游 鉴别请求分组给适合的鉴别服务器,若找不到适合的鉴别服务器,则丢弃证 书漫游鉴别请求分组;
4)所述根鉴别服务器或外网鉴别服务器接收到证书漫游鉴别响应分组 后,根据本地存储的策略验证该分组的消息鉴别字段,若验证不通过则丢弃 该分组,若接收鉴别服务器为根鉴别服务器,则根据证书漫游鉴别响应中接 入地的鉴别服务器信息,重新构造证书漫游鉴别响应分组中的消息鉴别,并 转发重新构造的证书漫游鉴别响应分组给适合的鉴别服务器;若接收鉴别服 务器为外网鉴别服务器,则解析该分组,并按照无线局域网WLAN国标的相 关格式返回证书鉴别响应分组给所述无线接入点;
5)所述无线接入点和终端根据返回的证书鉴别结果进行相应的接入控 制。
说明书 :
技术领域
本发明涉及网络安全接入系统领域,尤其是一种基于WAPI的漫游认证 方法。
背景技术
2003年5月份我国颁布了无线局域网国家标准GB15629.11和 GB15629.1102,这是我国在无线局域网领域首批颁布的标准。2006年,无线 局域网国家标准第1号修改单GB 15629.11-2003/XG1-2006及其他相关子项 标准GB15629.1101、GB/T 15629.1103和GB15629.1104也颁布实施,初步形 成了无线局域网国家标准体系。标准体系中包含了全新的WAPI(WLAN Authentication and Privacy Infrastructure)安全机制。
随着移动计算的业务需求发展,用户漫游上网的需求日益增加。WLAN 提供用户无线的方式接入网络,使用户不再受限于一根上网网线,而是可以 灵活的移动,满足了用户移动访问网络的需求。当在运营环境下应用WLAN 时,网络规模覆盖到全国各个地理区域,用户数量非常大,漫游的情况会频 繁发生。而在漫游的情况下,如何解决认证问题是网络正常运行的关键。WAPI 提供了基于证书和预共享密钥的安全机制,其中证书机制适合于运营应用的 环境,然而WLAN国标中仅定义了AS对证书认证的接口,仍然没有如何实 现证书漫游认证的具体方法。
申请号为200710017450.1的专利公开了一种基于WAPI的证书漫游认证 方法,该方法终端在漫游时,首先必须通过某种机制获取外网鉴别服务器的 证书,建立信任关系,然后进行证书漫游认证,鉴别服务器端也需要获得用 户家网鉴别服务器的证书建立信任关系。这在有些实际情况下是无法满足的, 因为终端可能除无线WLAN接入外,没有其他途径访问网络,无法获取外网 鉴别服务器证书建立信任关系。因此终端可能无法实现漫游认证。
发明内容
本发明的技术解决方案为:本发明为一种基于无线局域网鉴别与保密基 础结构WAPI的漫游认证方法,其特殊之处在于:该方法包括以下步骤:
1)终端和外网鉴别服务器所在网络的无线接入点启用WAPI安全机制, 终端关联到无线接入点,启动WAPI鉴别过程;
2)终端接入的外网鉴别服务器接收到所述无线接入点的证书鉴别请求分 组,根据终端的证书信息判断该终端是本地接入还是漫游接入,若为本地接 入,则鉴别该终端证书的合法性并返回证书鉴别响应分组;若为漫游接入, 则根据终端证书中的信任的家网鉴别服务器信息,在本地的外网鉴别服务器 信任列表中查找该家网鉴别服务器,若在信任列表中查到该家网鉴别服务器, 则发送证书漫游鉴别请求分组到该家网鉴别服务器;若在本地的信任列表中 未查找到终端信任的家网鉴别服务器,则发送证书漫游鉴别请求分组到上一 级中心根鉴别服务器;
3)所述家网鉴别服务器或根鉴别服务器接收到证书漫游鉴别请求分组 后,根据本地存储的策略验证该分组的消息鉴别字段,若验证不通过则丢弃 该分组,若接收鉴别服务器为所述家网鉴别服务器,则验证终端证书的合法 性,并返回证书漫游鉴别响应分组;若接收鉴别服务器为所述根鉴别服务器, 则根据证书漫游鉴别请求分组中终端信任的鉴别服务器信息转发该证书漫游 鉴别请求分组给适合的鉴别服务器,若找不到适合的鉴别服务器,则丢弃证 书漫游鉴别请求分组;
4)所述根鉴别服务器或外网鉴别服务器接收到证书漫游鉴别响应分组 后,根据本地存储的策略验证该分组的消息鉴别字段,若验证不通过则丢弃 该分组,若接收鉴别服务器为根鉴别服务器,则根据证书漫游鉴别响应中接 入地的鉴别服务器信息,重新构造证书漫游鉴别响应分组中的消息鉴别,并 转发重新构造的证书漫游鉴别响应分组给适合的鉴别服务器;若接收鉴别服 务器为外网鉴别服务器,则解析该分组,并按照无线局域网WLAN国标的相 关格式返回证书鉴别响应分组给所述无线接入点;
5)所述无线接入点和终端根据返回的证书鉴别结果进行相应的接入控 制。
步骤1)和5)中的鉴别过程,按照GB15629.11系列国家标准中规定的 WAPI鉴别流程执行。
本发明是在符合无线局域网国家标准的基础上,提供了基于WAPI证书 的漫游过程中的认证方法,其具有以下优点:
1、高安全性:本发明完全基于无线局域网国家标准,在漫游过程中依 然采用完全的双向认证,保障只有合法的用户才能接入合法的网络;同时证 书获得后均通过签名验证,保证了通过网络获取证书的安全性。
2、便捷性:用户漫游时,无需到营业厅更换证书,且无需用户的额外 操作,即可实现无缝的无线网络漫游接入。
附图说明
具体实施方式
1)终端STA和无线接入点启用WAPI安全机制,终端关联到无线接入 点AP2,启动WAPI鉴别过程;
2)终端接入的外网鉴别服务器W-AS接收到无线接入点AP2的证书鉴 别请求分组,根据终端STA的证书信息判断该终端STA是本地接入还是漫游 接入,若为本地接入,则鉴别该终端STA证书的合法性并返回证书鉴别响应 分组;若为漫游接入,则根据终端STA证书中的信任的家网鉴别服务器H-AS 信息,在本地的外网鉴别服务器W-AS信任列表中查找该家网鉴别服务器 H-AS,若在信任列表中查到该家网鉴别服务器H-AS,则发送证书漫游鉴别 请求分组到该家网鉴别服务器H-AS;若在本地的信任列表中未查找到终端 STA信任的家网鉴别服务器H-AS,则发送证书漫游鉴别请求分组到上一级中 心根鉴别服务器R-AS;
3)所述家网鉴别服务器或根鉴别服务器接收到证书漫游鉴别请求分组 后,根据本地存储的策略验证该分组的消息鉴别字段,若验证不通过则丢弃 该分组,若接收鉴别服务器为所述家网鉴别服务器H-AS,则验证终端证书的 合法性,并返回证书漫游鉴别响应分组;若接收鉴别服务器为所述根鉴别服 务器R-AS,则根据证书漫游鉴别请求分组中终端信任的鉴别服务器AS信息 转发该证书漫游鉴别请求分组给适合的鉴别服务器AS,若找不到适合的鉴别 服务器AS,则丢弃证书漫游鉴别请求分组;
4)所述根鉴别服务器或外网鉴别服务器接收到证书漫游鉴别响应分组 后,根据本地存储的策略验证该分组的消息鉴别字段,若验证不通过则丢弃 该分组,若接收鉴别服务器为根鉴别服务器R-AS,则根据证书漫游鉴别响应 中接入地的鉴别服务器信息,重新构造证书漫游鉴别响应分组中的消息鉴别, 并转发重新构造的证书漫游鉴别响应分组给适合的AS;若接收鉴别服务器为 外网鉴别服务器W-AS,则解析该分组,并按照WLAN国标的相关格式返回 证书鉴别响应分组给无线接入点AP2;
5)所述无线接入点AP2和终端STA根据返回的证书鉴别结果进行相应的 接入控制。