本申请实施例提供了一种AP接入AC的方法和装置。该方法可以应用于AP,包括:若来自AP确定的待接入AC的发现响应报文中携带有签名认证标识,则向AC发送随机字请求报文;接收来自AC的携带有随机字的随机字响应报文;依据随机字响应报文中的随机字,生成AP对应的签名值;向AC发送携带有接入认证信息的接入请求报文;若接收到AC根据接入认证信息获取到AP的认证结果为认证通过后返回的接入成功响应报文,则确定成功接入AC。本申请实施例可以防止通过修改未被允许的AP的序列号或者MAC地址,即可实现AP自动接入AC的情况发生,可以进一步提高AP接入AC的安全性。
1.一种接入点AP接入接入控制器AC的方法,其特征在于,应用于AP,所述方法包括:若来自所述AP确定的待接入AC的发现响应报文中携带有签名认证标识,则向所述AC发送随机字请求报文;
接收来自所述AC的携带有随机字的随机字响应报文;其中,所述随机字为所述AC在接收到所述随机字请求报文后生成的;
依据所述随机字响应报文中的随机字,生成所述AP对应的签名值;
向所述AC发送携带有接入认证信息的接入请求报文;其中,所述接入认证信息至少包括所述AP的数字证书序列号和所述签名值;
若接收到所述AC根据所述接入认证信息获取到所述AP的认证结果为认证通过后返回的接入成功响应报文,则确定成功接入所述AC;
其中,所述向所述AC发送携带有接入认证信息的接入请求报文的步骤,包括:从所述AP对应的数字证书中获取所述AP对应的数字证书序列号;
在所述签名认证字段中存储所述AP的数字证书序列号和所述签名值;
向所述AC发送增加签名认证字段的所述接入请求报文。
2.根据权利要求1所述的方法,其特征在于,所述依据所述随机字响应报文中的随机字,生成所述AP对应的签名值的步骤,包括:获取所述AP对应的数字证书中的证书私钥;
依据所述证书私钥,按照预置签名算法对所述随机字响应报文中的随机字进行签名,得到所述AP对应的签名值。
3.一种接入点AP接入接入控制器AC的方法,其特征在于,应用于AC,所述方法包括:接收来自AP的随机字请求报文;其中,所述随机字请求报文为所述AP在确定出所述AC为自身的待接入AC,且判断出来自所述AC的发现响应报文中携带有签名认证标识时发过来的;
向所述AP发送随机字响应报文;其中,所述随机字响应报文中携带有所述AC在接收到所述随机字请求报文后生成的随机字;
接收来自所述AP的接入请求报文;其中,所述接入请求报文中携带有接入认证信息,所述接入认证信息至少包括所述AP的数字证书序列号和所述AP依据所述随机字生成得到的签名值;
根据所述接入认证信息获取所述AP的认证结果,并在获取的认证结果为认证通过时,向所述AP发送接入成功响应报文;
其中,所述接入请求报文为所述AP从所述AP对应的数字证书中获取所述AP对应的数字证书序列号;在所述接入请求报文中增加签名认证字段;并在所述签名认证字段中存储所述AP的数字证书序列号和所述签名值之后发送给所述AC的。
4.根据权利要求3所述的方法,其特征在于,当所述接入接入认证信息仅包括所述AP的数字证书序列号和所述AP依据所述随机字生成得到的签名值时,所述根据所述接入认证信息获取所述AP的认证结果的步骤,包括:获取所述数字证书序列号对应的数字证书中的证书公钥;
依据所述证书公钥,按照预置验证签名算法对所述签名值进行验证,得到明文;
判断所述明文是否与所述随机字一致,并在判断为是时,确定所述AP的认证结果为认证通过;在判断为否时,确定所述AP的认证结果为认证不通过;或者,向认证服务器发送认证请求报文,所述认证请求报文中携带有所述数字证书序列号和所述签名值;
其中,所述认证响应报文为所述认证服务器依据所述数字证书序列号对应的数字证书中的证书公钥,按照预置验证签名算法对所述签名值进行验证得到明文,并在判断出所述明文与所述随机字一致时,确定所述AP的认证结果为认证通过后返回的,或者在判断出所述明文与所述随机字不一致时,确定所述AP的认证结果为认证不通过后返回的。
5.根据权利要求3所述的方法,其特征在于,当所述接入认证信息包括所述AP的数字证书序列号、所述AP依据所述随机字生成得到的签名值以及所述AP的标识时,所述根据所述接入认证信息获取所述AP的认证结果的步骤,包括:获取所述数字证书序列号对应的数字证书中的证书公钥;
依据所述证书公钥,按照预置验证签名算法对所述签名值进行验证,得到明文;
判断所述明文是否与所述随机字一致,以及所述AP的标识是否与所述数字证书中的AP标识一致;
在判断出所述明文与所述随机字一致且所述AP的标识与所述数字证书中的AP标识一致时,确定所述AP的认证结果为认证通过;
在判断出所述明文与所述随机字一致但所述AP的标识与所述数字证书中的AP标识不一致、所述明文与所述随机字不一致但所述AP的标识与所述数字证书中的AP标识一致或者所述明文与所述随机字不一致且所述AP的标识与所述数字证书中的AP标识不一致时,确定所述AP的认证结果为认证不通过;或者,向认证服务器发送认证报文,所述认证报文中携带有所述数字证书序列号、所述签名值和所述AP的标识;
其中,所述认证响应报文为所述认证服务器依据所述AP的数字证书序列号对应的数字证书中的证书公钥,按照预置验证签名算法对所述签名值进行验证得到明文,并在判断出所述明文与所述随机字一致且所述AP的标识与所述数字证书中的AP标识一致时,确定所述AP的认证结果为认证通过后返回的,或者在判断出所述明文与所述随机字一致但所述AP的标识与所述数字证书中的AP标识不一致、所述明文与所述随机字不一致但所述AP的标识与所述数字证书中的AP标识一致或者所述明文与所述随机字不一致且所述AP的标识与所述数字证书中的AP标识不一致时,确定所述AP的认证结果为认证不通过后返回的。
6.一种接入点AP接入接入控制器AC的装置,其特征在于,应用于AP,所述装置包括:随机字请求报文发送模块,用于若来自所述AP确定的待接入AC的发现响应报文中携带有签名认证标识,则向所述AC发送随机字请求报文;
随机字响应报文接收模块,用于接收来自所述AC的携带有随机字的随机字响应报文;
其中,所述随机字为所述AC在接收到所述随机字请求报文后生成的;
签名值生成模块,用于依据所述随机字响应报文中的随机字,生成所述AP对应的签名值;
接入请求报文发送模块,用于向所述AC发送携带有接入认证信息的接入请求报文;其中,所述接入认证信息至少包括所述AP的数字证书序列号和所述签名值;
接入模块,用于若接收到所述AC根据所述接入认证信息获取到所述AP的认证结果为认证通过后返回的接入成功响应报文,则确定成功接入所述AC;
其中,所述接入请求报文发送模块,具体用于从所述AP对应的数字证书中获取所述AP对应的数字证书序列号;在所述接入请求报文中增加签名认证字段;在所述签名认证字段中存储所述AP的数字证书序列号和所述签名值;向所述AC发送增加签名认证字段的所述接入请求报文。
7.根据权利要求6所述的装置,其特征在于,所述签名值生成模块,包括:私钥获取子模块,用于获取所述AP对应的数字证书中的证书私钥;
签名子模块,用于依据所述证书私钥,按照预置签名算法对所述随机字响应报文中的随机字进行签名,得到所述AP对应的签名值。
8.一种接入点AP接入接入控制器AC的装置,其特征在于,应用于AC,所述装置包括:随机字请求报文接收模块,用于接收来自AP的随机字请求报文;其中,所述随机字请求报文为所述AP在确定出所述AC为自身的待接入AC,且判断出来自所述AC的发现响应报文中携带有签名认证标识时发过来的;
随机字响应报文发送模块,用于向所述AP发送随机字响应报文;其中,所述随机字响应报文中携带有所述AC在接收到所述随机字请求报文后生成的随机字;
接入请求报文接收模块,用于接收来自所述AP的接入请求报文;其中,所述接入请求报文中携带有接入认证信息,所述接入认证信息至少包括所述AP的数字证书序列号和所述AP依据所述随机字生成得到的签名值;
认证结果获取模块,用于根据所述接入认证信息获取所述AP的认证结果,并在获取的认证结果为认证通过时,向所述AP发送接入成功响应报文;
其中,所述接入请求报文为所述AP从所述AP对应的数字证书中获取所述AP对应的数字证书序列号;在所述接入请求报文中增加签名认证字段;并在所述签名认证字段中存储所述AP的数字证书序列号和所述签名值之后发送给所述AC的。
9.根据权利要求8所述的装置,其特征在于,当所述接入接入认证信息仅包括所述AP的数字证书序列号和所述AP依据所述随机字生成得到的签名值时,所述认证结果获取模块,包括:公钥获取子模块,用于获取所述数字证书序列号对应的数字证书中的证书公钥;
明文获取子模块,用于依据所述证书公钥,按照预置验证签名算法对所述签名值进行验证,得到明文;
第一认证子模块,用于判断所述明文是否与所述随机字一致,并在判断为是时,确定所述AP的认证结果为认证通过;在判断为否时,确定所述AP的认证结果为认证不通过;或者,第一认证请求报文发送子模块,用于向认证服务器发送认证请求报文,所述认证请求报文中携带有所述数字证书序列号和所述签名值;
第一认证响应报文接收子模块,用于接收所述认证服务器返回的认证响应报文;
其中,所述认证响应报文为所述认证服务器依据所述数字证书序列号对应的数字证书中的证书公钥,按照预置验证签名算法对所述签名值进行验证得到明文,并在判断出所述明文与所述随机字一致时,确定所述AP的认证结果为认证通过后返回的,或者在判断出所述明文与所述随机字不一致时,确定所述AP的认证结果为认证不通过后返回的。
10.根据权利要求8所述的装置,其特征在于,当所述接入认证信息包括所述AP的数字证书序列号、所述AP依据所述随机字生成得到的签名值以及所述AP的标识时,所述认证结果获取模块,包括:公钥获取子模块,用于获取所述数字证书序列号对应的数字证书中的证书公钥;
明文获取子模块,用于依据所述证书公钥,按照预置验证签名算法对所述签名值进行验证,得到明文;
判断所述明文是否与所述随机字一致,以及所述AP的标识是否与所述数字证书中的AP标识一致;
第二认证子模块,用于在判断出所述明文与所述随机字一致且所述AP的标识与所述数字证书中的AP标识一致时,确定所述AP的认证结果为认证通过;
所述第二认证子模块,还用于在判断出所述明文与所述随机字一致但所述AP的标识与所述数字证书中的AP标识不一致、所述明文与所述随机字不一致但所述AP的标识与所述数字证书中的AP标识一致或者所述明文与所述随机字不一致且所述AP的标识与所述数字证书中的AP标识不一致时,确定所述AP的认证结果为认证不通过;或者,第二认证请求报文发送子模块,用于向认证服务器发送认证报文,所述认证报文中携带有所述数字证书序列号、所述签名值和所述AP的标识;
第二认证响应报文接收子模块,用于接收所述认证服务器返回的认证响应报文;
其中,所述认证响应报文为所述认证服务器依据所述AP的数字证书序列号对应的数字证书中的证书公钥,按照预置验证签名算法对所述签名值进行验证得到明文,并在判断出所述明文与所述随机字一致且所述AP的标识与所述数字证书中的AP标识一致时,确定所述AP的认证结果为认证通过后返回的,或者在判断出所述明文与所述随机字一致但所述AP的标识与所述数字证书中的AP标识不一致、所述明文与所述随机字不一致但所述AP的标识与所述数字证书中的AP标识一致或者所述明文与所述随机字不一致且所述AP的标识与所述数字证书中的AP标识不一致时,确定所述AP的认证结果为认证不通过后返回的。
一种AP接入AC的方法和装置
技术领域
[0001] 本申请涉及通信技术领域,特别是涉及一种AP接入AC的方法和装置。
背景技术
[0002] 随着无线网络规模的不断扩大,同一台AC(Access Controller,接入控制器)管理的AP(Access Point,接入点)数量日益增多。如果为每一台AP手工进行配置,则配置的工作量十分庞大。因此,大部分厂商都提供了AP的自动配置方式,即AC允许未进行配置的AP自动接入AC。
[0003] 为了防止未被允许的AP接入带来安全隐患,在AP自动接入的过程中,还可以对AP进行认证,只有认证通过的AP才允许接入,以实现对接入的AP进行管控。目前主要通过AP的序列号或者MAC地址实现AP的认证。例如,在AP请求加入AC时,向AC发送加入请求并携带有AP的序列号,AC通过将接收到的AP的序列号与预先设置的允许接入的AP的序列号进行匹配,若匹配,则认为认证通过,可以允许AP接入,否则拒绝AP接入。
[0004] 然而,现有的AP认证方式仅对AP的序列号或者MAC地址进行简单的匹配,通过修改未被允许的AP的序列号或者MAC地址,即可实现该AP的自动接入,因此仍然存在较大的安全隐患。
发明内容
[0005] 鉴于上述问题,提出了本申请实施例以便提供一种克服上述问题或者至少部分地解决上述问题的AP接入AC的方法和装置,能够提高AP接入AC的安全性。
[0006] 本申请实施例公开了一种AP接入AC的方法,应用于AP,所述方法包括:
[0007] 若来自所述AP确定的待接入AC的发现响应报文中携带有签名认证标识,则向所述AC发送随机字请求报文;
[0008] 接收来自所述AC的携带有随机字的随机字响应报文;其中,所述随机字为所述AC在接收到所述随机字请求报文后生成的;
[0009] 依据所述随机字响应报文中的随机字,生成所述AP对应的签名值;
[0010] 向所述AC发送携带有接入认证信息的接入请求报文;其中,所述接入认证信息至少包括所述AP的数字证书序列号和所述签名值;
[0011] 若接收到所述AC根据所述接入认证信息获取到所述AP的认证结果为认证通过后返回的接入成功响应报文,则确定成功接入所述AC。
[0012] 另一方面,本申请实施例公开了一种AP接入AC的方法,应用于AC,所述方法包括:
[0013] 接收来自AP的随机字请求报文;其中,所述随机字请求报文为所述AP在确定出所述AC为自身的待接入AC,且判断出来自所述AC的发现响应报文中携带有签名认证标识时发过来的;
[0014] 向所述AP发送随机字响应报文;其中,所述随机字响应报文中携带有所述AC在接收到所述随机字请求报文后生成的随机字;
[0015] 接收来自所述AP的接入请求报文;其中,所述接入请求报文中携带有接入认证信息,所述接入认证信息至少包括所述AP的数字证书序列号和所述AP依据所述随机字生成得到的签名值;
[0016] 根据所述接入认证信息获取所述AP的认证结果,并在获取的认证结果为认证通过时,向所述AP发送接入成功响应报文。
[0017] 又一方面,本申请实施例公开了一种AP接入AC的装置,应用于AP,所述装置包括:
[0018] 随机字请求报文发送模块,用于若来自所述AP确定的待接入AC的发现响应报文中携带有签名认证标识,则向所述AC发送随机字请求报文;
[0019] 随机字响应报文接收模块,用于接收来自所述AC的携带有随机字的随机字响应报文;其中,所述随机字为所述AC在接收到所述随机字请求报文后生成的;
[0020] 签名值生成模块,用于依据所述随机字响应报文中的随机字,生成所述AP对应的签名值;
[0021] 接入请求报文发送模块,用于向所述AC发送携带有接入认证信息的接入请求报文;其中,所述接入认证信息至少包括所述AP的数字证书序列号和所述签名值;
[0022] 接入模块,用于若接收到所述AC根据所述接入认证信息获取到所述AP的认证结果为认证通过后返回的接入成功响应报文,则确定成功接入所述AC。
[0023] 再一方面,本申请实施例公开了一种AP接入AC的装置,应用于AC,所述装置包括:
[0024] 随机字请求报文接收模块,用于接收来自AP的随机字请求报文;其中,所述随机字请求报文为所述AP在确定出所述AC为自身的待接入AC,且判断出来自所述AC的发现响应报文中携带有签名认证标识时发过来的;
[0025] 随机字响应报文发送模块,用于向所述AP发送随机字响应报文;其中,所述随机字响应报文中携带有所述AC在接收到所述随机字请求报文后生成的随机字;
[0026] 接入请求报文接收模块,用于接收来自所述AP的接入请求报文;其中,所述接入请求报文中携带有接入认证信息,所述接入认证信息至少包括所述AP的数字证书序列号和所述AP依据所述随机字生成得到的签名值;
[0027] 认证结果获取模块,用于根据所述接入认证信息获取所述AP的认证结果,并在获取的认证结果为认证通过时,向所述AP发送接入成功响应报文。
[0028] 本申请实施例包括以下优点:
[0029] 本申请实施例在AP接入AC的过程中,如果接收到来自AP确定的待接入AC的发现响应报文中携带有签名认证标识,则向所述AC发送随机字请求报文,以接收来自所述AC的携带有随机字的随机字响应报文,从而可以对所述随机字生成所述AP对应的签名值;然后将自身的数字证书序列号和签名值发送给所述AC,以使所述AC可以对所述数字证书序列号和签名值进行验证,如果所述AP接收到所述AC返回的接入成功响应报文,说明所述AP的数字证书序列号和签名值均通过验证,则可以成功接入所述AC。本申请实施例在现有的基于AP的序列号或者MAC地址认证的基础上,增加了签名认证,从而可以防止通过修改未被允许的AP的序列号或者MAC地址,即可实现AP自动接入AC的情况发生,可以进一步提高AP接入AC的安全性。
附图说明
[0030] 图1是本申请其中一个实施例的一种AP接入AC的方法的步骤流程图;
[0031] 图2是本申请另一实施例的一种AP接入AC的方法的步骤流程图;
[0032] 图3是本申请一示例性实施例示出的AP接入AC的装置所应用的设备的硬件结构示意图;
[0033] 图4是本申请其中一个实施例的一种AP接入AC的装置的结构框图;
[0034] 图5是本申请另一实施例的一种AP接入AC的装置的结构框图。
具体实施方式
[0035] 为使本申请的上述目的、特征和优点能够更加明显易懂,下面结合附图和具体实施方式对本申请作进一步详细的说明。
[0036] 参照图1,示出了本申请其中一个实施例的一种AP接入AC的方法的步骤流程图,应用于AP,所述方法具体可以包括:
[0037] 步骤101、若来自所述AP确定的待接入AC的发现响应报文中携带有签名认证标识,则向所述AC发送随机字请求报文;
[0038] 在WLAN(Wireless Local Area Network,无线局域网)网络中,AP接入AC是指AP与AC之间通过CAPWAP(Control And Provisioning of Wireless Access Point,无线接入点控制与配置)隧道传递数据报文和控制报文。本申请实施例可适用于AP和AC建立CAPWAP隧道的过程中,AC可以对AP进行签名认证,若所述AP通过签名认证,则所述AP和所述AC可以成功建立CAPWAP隧道。
[0039] 在具体应用中,CAPWAP隧道建立的第一个阶段为AC发现阶段,即AP发现待接入AC的阶段,首先,AP获取AC的地址信息(可通过静态配置等多种现有获取方式获得);然后,向获取的地址信息对应的AC发送发现请求报文;最后,按照一定的选取策略,从收到的发现响应报文的来源AC中选择一个AC,作为待接入AC。之后,继续执行后续与待接入AC建立CAPWAP隧道的过程。
[0040] 如果所述AP发现来自待接入AC的发现响应报文中携带有签名认证标识,则可知所述待接入AC需要对所述AP进行签名认证。
[0041] 在具体应用中,所述发现响应报文中可以包括所述AC的描述符、名称、IP地址以及属性等信息。本申请实施例可以在所述AC的描述符中增加扩展字段,以存储签名认证标识,用于表示需要对AP进行签名认证。例如,所述签名认证标识可以携带在所述AC的Descriptor(描述符)字段中,为AC信息子类型,类型号为6,且在该标识的值为1时,表示AC的认证方式为签名认证。
[0042] 在本发明实施例中,在所述AP解析所述发现响应报文,得到AC的认证方法信息子类型的值为1时,则可以得知该AC需要对AP进行签名认证。此时,所述AP可以向该AC发送随机字请求(Join Request challenge)报文,以获取AC回复的随机字(challenge),并依据所述challenge生成签名值。
[0043] 步骤102、接收来自所述AC的携带有随机字的随机字响应报文;其中,所述随机字为所述AC在接收到所述随机字请求报文后生成的;
[0044] 在所述AP向所述AC发送随机字请求报文之后,可以接收到来自所述AC的随机字响应(Join Response challenge)报文,且所述随机字响应报文中携带有challenge,所述challenge为所述AC在接收到所述随机字请求报文后生成的。所述AP通过解析所述随机字响应报文,可以提取得到challenge。步骤103、依据所述随机字响应报文中的随机字,生成所述AP对应的签名值;
[0045] 在所述AP从所述随机字响应报文中提取得到challenge之后,可以按照预置签名算法对所述随机字进行签名,得到所述AP对应的签名值,该签名值可用于对所述AP进行签名认证,以提高AP认证的安全性。
[0046] 在具体应用中,数字证书利用一对互相匹配的密钥进行加密、解密。每个用户可以设定一把特定的仅为本人所知的私有密钥(私钥),用于进行签名;同时,设定一把公共密钥(公钥),用于验证签名。在本申请实施例中,可以通过证书服务器为每一台合法的AP颁发对应的数字证书,该数字证书中包括有AP对应的数字证书序列号和证书私钥。为了进一步保证数字证书的安全性,可以将数字证书保存在USBKey(优盾)中,每一台AP可以有一个对应的USBKey。
[0047] 在本申请的一种可选实施例中,所述依据所述随机字响应报文中的随机字,生成所述AP对应的签名值的步骤,具体可以包括:
[0048] 步骤S21、获取所述AP对应的数字证书中的证书私钥;
[0049] 步骤S22、依据所述证书私钥,按照预置签名算法对所述随机字响应报文中的随机字进行签名,得到所述AP对应的签名值。
[0050] 在所述AP接收到来自AC的随机字响应报文,并且从中提取得到challenge之后,可以通过自身的USB接口从USBKey中读取所述AP对应的数字证书中的证书私钥,并且依据所述证书私钥,按照预置签名算法对所述随机字进行签名,得到所述随机字对应的签名值。其中,所述预置签名算法具体可以为RSA签名算法。可以理解,本申请实施例对于所述预置签名算法的具体算法不加以限制。
[0051] 步骤104、向所述AC发送携带有接入认证信息的接入请求报文;其中,所述接入认证信息至少包括所述AP的数字证书序列号和所述签名值;
[0052] 步骤105、若接收到所述AC根据所述接入认证信息获取到所述AP的认证结果为认证通过后返回的接入成功响应报文,则确定成功接入所述AC。
[0053] 本申请实施例为了提高AP认证的安全性,在现有的基于AP的序列号或者MAC地址认证的基础上,增加了对AP进行签名认证的过程。为了使得AP可以将自身产生的签名值发送给对应的AC,本申请实施例可以在现有的接入请求(Join Request)报文中增加签名认证字段,以存储需要验证的数字证书序列号和签名值。在本申请的一种可选实施例中,所述AP向所述AC发送接入请求报文的步骤,具体可以包括:
[0054] 步骤S31、从所述AP对应的数字证书中获取所述AP对应的数字证书序列号;
[0055] 步骤S32、在所述接入请求报文中增加签名认证字段;
[0056] 步骤S33、在所述签名认证字段中存储所述AP的数字证书序列号和所述签名值;
[0057] 步骤S34、向所述AC发送增加签名认证字段的所述接入请求报文。
[0058] 在本申请实施例中,所述AP可以将自身的数字证书序列号和签名值通过接入请求报文发送给对应的AC,具体地,所述签名认证字段可以包括用户名字段和签名值字段,其中,所述用户名字段中可存储从数字证书中读取的所述AP的数字证书序列号,长度不超过32个字节;所述签名值字段中可存储对challenge进行签名计算得到的签名值,长度不超过
128,一般为8的整数倍。
[0059] 在具体应用中,所述接入请求报文中可以包括AP的描述符、MAC地址等信息。因此,本发明实施例可以在所述接入请求报文的AP的描述符中增加所述签名认证字段,以使AC在接收到所述接入请求报文之后,可以至少依据所述接入请求报文中携带的所述AP的数字证书序列号和签名值进行验证,在所述AP通过认证时,可以向所述AP发送接入成功响应报文,如返回值(Result Code)为成功的接入响应(Join Response)报文,所述AP才可以接入所述AC,并且和所述AC成功建立CAPWAP隧道。从而可以避免通过修改未被允许的AP的序列号或者MAC地址,即可实现该AP自动接入AC的情况发生,提高了AP认证的安全性。
[0060] 综上,本申请实施例在AP接入AC的过程中,如果接收到来自AP确定的待接入AC的发现响应报文中携带有签名认证标识,则向所述AC发送随机字请求报文,以接收来自所述AC的携带有随机字的随机字响应报文,从而可以对所述随机字生成所述AP对应的签名值;然后将自身的数字证书序列号和签名值发送给所述AC,以使所述AC可以对所述数字证书序列号和签名值进行验证,如果所述AP接收到所述AC返回的接入成功响应报文,说明所述AP的数字证书序列号和签名值均通过验证,则可以成功接入所述AC。本申请实施例在现有的AP的列号或者MAC地址认证的基础上,增加了签名认证,从而可以防止通过修改未被允许的AP的序列号或者MAC地址,即可实现AP自动接入AC的情况发生,可以进一步提高AP接入AC的安全性。
[0061] 参照图2,示出了本申请另一实施例的一种AP接入AC的方法的步骤流程图,可以应用于AC,所述方法具体可以包括:
[0062] 步骤201、接收来自AP的随机字请求报文;其中,所述随机字请求报文为所述AP在确定出所述AC为自身的待接入AC,且判断出来自所述AC的发现响应报文中携带有签名认证标识时发过来的;
[0063] 为了提高AP接入AC的安全性,本申请可以在AC上配置AP认证策略,例如可以配置AP认证策略为普通认证或者签名认证,其中,普通认证可以为现有的通过AP的序列号或者MAC地址进行认证。在所述AC接收到来自AP的发现请求报文时,可以查看本地配置的AP认证策略,如果是签名认证,则向所述AP回复携带有签名认证标识的发现响应报文,以使所述AP接收到所述发现响应报文后得知需要进行签名认证。
[0064] 步骤202、向所述AP发送随机字响应报文;其中,所述随机字响应报文中携带有所述AC在接收到所述随机字请求报文后生成的随机字;
[0065] 在向所述AP回复携带有签名认证字段的发现响应报文之后,所述AC会接收到来自所述AP的随机字请求报文,说明所述AP同意进行签名认证,此时,所述AC可以生成一个随机字,并且向所述AP发送携带有所述随机字的随机字响应报文。
[0066] 在本申请的一种可选实施例中,所述AC生成的随机字与所述AP的随机字请求报文的报文序号可以具有对应关系。
[0067] 为了使得AP可以获得与其自身对应的随机字,在本申请实施例中,所述AC生成的随机字与所述AP的随机字请求报文的报文序号具有对应关系。例如,所述AC在接收到所述AP的随机字请求报文之后,可以获取所述随机字请求报文的报文序号,并且生成随机字,以及将该随机字和所述随机字请求报文的报文序号封装在随机字响应报文中发送给所述AP,在所述AP接收到该随机字响应报文之后,通过匹配该随机字响应报文中的随机字请求报文的报文序号,即可得知该随机字响应报文中的随机字为发送给自身的随机字。
[0068] 步骤203、接收来自所述AP的接入请求报文;其中,所述接入请求报文中携带有接入认证信息,所述接入认证信息至少包括所述AP的数字证书序列号和所述AP依据所述随机字生成得到的签名值;
[0069] 在向所述AP发送随机字响应报文之后,所述AC可以接收到来自所述AP的接入请求报文;其中,所述接入请求报文中携带有所述AP的数字证书序列号和签名值,所述签名值为所述AP依据所述随机字生成得到;此时,所述AC可以根据所述数字证书序列号和签名值获取所述AP的认证结果,以判断所述AP是否可以通过认证。
[0070] 步骤204、根据所述接入认证信息获取所述AP的认证结果,并在获取的认证结果为认证通过时,向所述AP发送接入成功响应报文。
[0071] 本申请可以提供两种方式获取所述AP的认证结果,在所述AC获取所述AP的接入认证信息之后,可以在所述AC的本地对所述AP的接入认证信息进行验证;或者,还可以将所述AP的接入认证信息发送至认证服务器进行验证。
[0072] 具体地,当所述接入认证信息仅包括所述AP的数字证书序列号和所述AP依据所述随机字生成得到的签名值时,所述根据所述接入认证信息获取所述AP的认证结果的步骤,包括:
[0073] 步骤S41、获取所述数字证书序列号对应的数字证书中的证书公钥;
[0074] 步骤S42、依据所述证书公钥,按照预置验证签名算法对所述签名值进行验证,得到明文;
[0075] 步骤S43、判断所述明文是否与所述随机字一致,并在判断为是时,确定所述AP的认证结果为认证通过;在判断为否时,确定所述AP的认证结果为认证不通过。
[0076] 在所述AC对所述AP的数字证书序列号和签名值进行验证时,首先获取所述数字证书序列号对应的数字证书中的证书公钥,其中,所述证书公钥用于对所述签名值进行签名验证,具体地,依据所述证书公钥,按照预置验证签名算法对所述签名值进行验证,可以得到所述签名值对应的明文,如果所述明文与所述AC生成的随机字一致,也即所述明文与所述AC向所述AP发送的随机字响应报文中携带的随机字一致,则认为所述AP通过认证。
[0077] 可选地,所述根据所述接入认证信息获取所述AP的认证结果的步骤,具体可以包括:
[0078] 步骤S51、向认证服务器发送认证请求报文;其中,所述认证请求报文中携带有所述数字证书序列号和所述签名值;
[0079] 步骤S52、接收所述认证服务器返回的认证响应报文;
[0080] 其中,所述认证响应报文为所述认证服务器依据所述数字证书序列号对应的数字证书中的证书公钥,按照预置验证签名算法对所述签名值进行验证得到明文,并在判断出所述明文与所述随机字一致时,确定所述AP的认证结果为认证通过后返回的,或者在判断出所述明文与所述随机字不一致时,确定所述AP的认证结果为认证不通过后返回的。
[0081] 在所述AC获取到所述AP的数字证书序列号和签名值之后,可以向认证服务器(Radius服务器)发送认证请求报文(Access-Request报文),该认证请求报文中携带有所述AP的数字证书序列号和签名值。
[0082] Radius服务器在接收到所述AC发送的认证请求报文之后,可以提取其中所述AP的数字证书序列号和签名值;然后通过证书服务器获取该数字证书序列号对应的证书公钥,通过该证书公钥获取所述签名值对应的明文,如果该明文和所述随机字一致,则认为所述AP通过认证,可以向所述AC返回认证通过的认证结果。
[0083] 在本申请实施例中,为了防止USBKey被盗还能通过认证的情况发生,所述接入认证信息可以包括所述AP的数字证书序列号、所述AP依据所述随机字生成得到的签名值以及所述AP的标识,以使可以进一步验证所述AP的标识是否合法,其中所述AP的标识具体可以为所述AP的序列号、MAC地址等。所述根据所述接入认证信息获取所述AP的认证结果的步骤,具体可以包括:
[0084] 步骤S61、获取所述数字证书序列号对应的数字证书中的证书公钥;
[0085] 步骤S62、依据所述证书公钥,按照预置验证签名算法对所述签名值进行验证,得到明文;
[0086] 步骤S63、判断所述明文是否与所述随机字一致,以及所述AP的标识是否与所述数字证书中的AP标识一致;
[0087] 步骤S64、在判断出所述明文与所述随机字一致且所述AP的标识与所述数字证书中的AP标识一致时,确定所述AP的认证结果为认证通过;
[0088] 步骤S65、在判断出所述明文与所述随机字一致但所述AP的标识与所述数字证书中的AP标识不一致、所述明文与所述随机字不一致但所述AP的标识与所述数字证书中的AP标识一致或者所述明文与所述随机字不一致且所述AP的标识与所述数字证书中的AP标识不一致时,确定所述AP的认证结果为认证不通过。
[0089] 或者,所述根据所述接入认证信息获取所述AP的认证结果的步骤,具体可以包括:
[0090] 步骤S71、向认证服务器发送认证报文,所述认证报文中携带有所述数字证书序列号、所述签名值和所述AP的标识;
[0091] 步骤S72、接收所述认证服务器返回的认证响应报文;
[0092] 在本申请实施例中,在所述接入认证信息可以包括所述AP的数字证书序列号、所述AP依据所述随机字生成得到的签名值以及所述AP的标识时,同样可以采用在AC本地进行验证和通过认证服务器进行验证两种方式。
[0093] 其中,所述认证响应报文为所述认证服务器依据所述AP的数字证书序列号对应的数字证书中的证书公钥,按照预置验证签名算法对所述签名值进行验证得到明文,并在判断出所述明文与所述随机字一致且所述AP的标识与所述数字证书中的AP标识一致时,确定所述AP的认证结果为认证通过后返回的,或者在判断出所述明文与所述随机字一致但所述AP的标识与所述数字证书中的AP标识不一致、所述明文与所述随机字不一致但所述AP的标识与所述数字证书中的AP标识一致或者所述明文与所述随机字不一致且所述AP的标识与所述数字证书中的AP标识不一致时,确定所述AP的认证结果为认证不通过后返回的。
[0094] 所述AC获取接入请求报文中的接入认证信息之后,可以向Radius服务器发送认证请求报文,并且在UserName(用户名)属性中填写所述AP的标识,如所述AP的序列号。在具体应用中,所述数字证书中的AP标识,具体可以为证书服务器向所述AP颁发数字证书时,与所述数字证书绑定的AP的序列号。只有在判断出所述明文与所述随机字一致且所述AP的序列号与所述数字证书中的AP的序列号一致时,才确定所述AP的认证结果为认证通过;而在判断出所述明文与所述随机字一致但所述AP的序列号与所述数字证书中的AP的序列号不一致、所述明文与所述随机字不一致但所述AP的序列号与所述数字证书中的AP的序列号一致或者所述明文与所述随机字不一致且所述AP的序列号与所述数字证书中的AP的序列号不一致时,都确定所述AP的认证结果为认证不通过。
[0095] 在USBKey被盗时,由于该USBKey被插入非法AP,而该非法AP的序列号与数字证书绑定的AP的序列号不一致,因此无法通过认证,从而可以防止USBKey被盗还能通过认证的情况发生。
[0096] 在所述AC接收到来自Radius服务器的认证通过的认证结果之后,可以向所述AP发送接入成功响应报文,以通知所述AP认证通过,允许所述AP接入所述AC,可以和所述AP建立CAPWAP隧道。
[0097] 综上,本申请实施例可以在AC上设置AP的认证策略为签名认证。并且向对应AP回复携带有随机生成的随机字,以使所述AP可以生成对应的签名值,AC在接收到来自所述AP的携带有所述AP的数字证书序列号和签名值的接入请求报文之后,对所述AP的数字证书序列号和签名值进行验证,在所述AP的数字证书序列号和签名值均通过验证时,才可以确认所述AP通过认证,可以向所述AP发送返回值为成功的接入响应报文,允许所述AP接入所述AC,并且可以和所述AP建立CAPWAP隧道。因此,通过本申请实施例,可以控制接入AC的AP均为合法AP,防止通过修改AP的数字证书序列号或者MAC地址非法接入AC的情况发生,从而可以提高AP接入AC的安全性。
[0098] 此外,本申请实施例可以进一步验证所述AP的标识是否合法,只有在所述AP的数字证书序列号、签名值以及所述AP的标识都通过验证时,才可以确定所述AP的认证结果为认证通过,可以防止USBKey被盗还能通过认证的情况发生。
[0099] 需要说明的是,对于方法实施例,为了简单描述,故将其都表述为一系列的动作组合,但是本领域技术人员应该知悉,本申请实施例并不受所描述的动作顺序的限制,因为依据本申请实施例,某些步骤可以采用其他顺序或者同时进行。其次,本领域技术人员也应该知悉,说明书中所描述的实施例均属于优选实施例,所涉及的动作并不一定是本申请实施例所必须的。
[0100] 与前述AP接入AC的方法实施例相对应,本申请还提供了AP接入AC的装置实施例。请参考图3,本申请AP接入AC的装置60的实施例可以应用在AP或者AC上。装置实施例可以通过软件实现,也可以通过硬件或者软硬件结合的方式实现。以软件实现为例,作为一个逻辑意义上的装置,是通过其所在AP或者AC的处理器10将非易失性存储器50中对应的计算机程序指令读取到内存40中运行形成的。从硬件层面而言,如图3所示,为本申请AP接入AC的装置60所在AP或者AC的一种硬件结构图,除了图3所示的处理器10、内部总线20、网络接口30、内存40、以及非易失性存储器50之外,实施例中装置所在的AP或者AC通常根据其实际功能,还可以包括其他硬件,对此不再赘述。
[0101] 参照图4,示出了本申请其中一个实施例的一种AP接入AC的装置的结构框图,所述装置应用于AP。在本申请实施例中,所述装置具体可以包括:
[0102] 随机字请求报文发送模块401,用于若来自所述AP确定的待接入AC的发现响应报文中携带有签名认证标识,则向所述AC发送随机字请求报文;
[0103] 随机字响应报文接收模块402,用于接收来自所述AC的携带有随机字的随机字响应报文;其中,所述随机字为所述AC在接收到所述随机字请求报文后生成的;
[0104] 签名值生成模块403,用于依据所述随机字响应报文中的随机字,生成所述AP对应的签名值;
[0105] 接入请求报文发送模块404,用于向所述AC发送携带有接入认证信息的接入请求报文;其中,所述接入认证信息至少包括所述AP的数字证书序列号和所述签名值;
[0106] 接入模块405,用于若接收到所述AC根据所述接入认证信息获取到所述AP的认证结果为认证通过后返回的接入成功响应报文,则确定成功接入所述AC。
[0107] 在本申请的一种可选实施例中,所述签名值生成模块403,具体可以包括:
[0108] 私钥获取子模块,用于获取所述AP对应的数字证书中的证书私钥;
[0109] 签名子模块,用于依据所述证书私钥,按照预置签名算法对所述随机字响应报文中的随机字进行签名,得到所述AP对应的签名值。
[0110] 参照图5,示出了本申请另一实施例的一种AP接入AC的装置的结构框图,所述装置应用于AC。在本申请实施例中,所述装置具体可以包括:
[0111] 随机字请求报文接收模块501,用于接收来自AP的随机字请求报文;其中,所述随机字请求报文为所述AP在确定出所述AC为自身的待接入AC,且判断出来自所述AC的发现响应报文中携带有签名认证标识时发过来的;
[0112] 随机字响应报文发送模块502,用于向所述AP发送随机字响应报文;其中,所述随机字响应报文中携带有所述AC在接收到所述随机字请求报文后生成的随机字;
[0113] 接入请求报文接收模块503,用于接收来自所述AP的接入请求报文;其中,所述接入请求报文中携带有接入认证信息,所述接入认证信息至少包括所述AP的数字证书序列号和所述AP依据所述随机字生成得到的签名值;
[0114] 认证结果获取模块504,用于根据所述接入认证信息获取所述AP的认证结果,并在获取的认证结果为认证通过时,向所述AP发送接入成功响应报文。
[0115] 在本申请的一种可选实施例中,当所述接入接入认证信息仅包括所述AP的数字证书序列号和所述AP依据所述随机字生成得到的签名值时,所述认证结果获取模块504,具体可以包括:
[0116] 公钥获取子模块,用于获取所述数字证书序列号对应的数字证书中的证书公钥;
[0117] 明文获取子模块,用于依据所述证书公钥,按照预置验证签名算法对所述签名值进行验证,得到明文;
[0118] 第一认证子模块,用于判断所述明文是否与所述随机字一致,并在判断为是时,确定所述AP的认证结果为认证通过;在判断为否时,确定所述AP的认证结果为认证不通过;或者,
[0119] 第一认证请求报文发送子模块,用于向认证服务器发送认证请求报文,所述认证请求报文中携带有所述数字证书序列号和所述签名值;
[0120] 第一认证响应报文接收子模块,用于接收所述认证服务器返回的认证响应报文;
[0121] 其中,所述认证响应报文为所述认证服务器依据所述数字证书序列号对应的数字证书中的证书公钥,按照预置验证签名算法对所述签名值进行验证得到明文,并在判断出所述明文与所述随机字一致时,确定所述AP的认证结果为认证通过后返回的,或者在判断出所述明文与所述随机字不一致时,确定所述AP的认证结果为认证不通过后返回的。
[0122] 在本申请的另一种可选实施例中,当所述接入认证信息包括所述AP的数字证书序列号、所述AP依据所述随机字生成得到的签名值以及所述AP的标识时,所述认证结果获取模块504,具体可以包括:
[0123] 公钥获取子模块,用于获取所述数字证书序列号对应的数字证书中的证书公钥;
[0124] 明文获取子模块,用于依据所述证书公钥,按照预置验证签名算法对所述签名值进行验证,得到明文;
[0125] 判断所述明文是否与所述随机字一致,以及所述AP的标识是否与所述数字证书中的AP标识一致;
[0126] 第二认证子模块,用于在判断出所述明文与所述随机字一致且所述AP的标识与所述数字证书中的AP标识一致时,确定所述AP的认证结果为认证通过;
[0127] 所述第二认证子模块,还用于在判断出所述明文与所述随机字一致但所述AP的标识与所述数字证书中的AP标识不一致、所述明文与所述随机字不一致但所述AP的标识与所述数字证书中的AP标识一致或者所述明文与所述随机字不一致且所述AP的标识与所述数字证书中的AP标识不一致时,确定所述AP的认证结果为认证不通过;或者,[0128] 第二认证请求报文发送子模块,用于向认证服务器发送认证报文,所述认证报文中携带有所述数字证书序列号、所述签名值和所述AP的标识;
[0129] 第二认证响应报文接收子模块,用于接收所述认证服务器返回的认证响应报文;
[0130] 其中,所述认证响应报文为所述认证服务器依据所述AP的数字证书序列号对应的数字证书中的证书公钥,按照预置验证签名算法对所述签名值进行验证得到明文,并在判断出所述明文与所述随机字一致且所述AP的标识与所述数字证书中的AP标识一致时,确定所述AP的认证结果为认证通过后返回的,或者在判断出所述明文与所述随机字一致但所述AP的标识与所述数字证书中的AP标识不一致、所述明文与所述随机字不一致但所述AP的标识与所述数字证书中的AP标识一致或者所述明文与所述随机字不一致且所述AP的标识与所述数字证书中的AP标识不一致时,确定所述AP的认证结果为认证不通过后返回的。
[0131] 本说明书中的各个实施例均采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似的部分互相参见即可。
[0132] 关于上述实施例中的装置,其中各个模块执行操作的具体方式已经在有关该方法的实施例中进行了详细描述,此处将不做详细阐述说明。
[0133] 以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本申请方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
[0134] 本领域技术人员在考虑说明书及实践这里公开的发明后,将容易想到本申请的其它实施方案。本申请旨在涵盖本申请的任何变型、用途或者适应性变化,这些变型、用途或者适应性变化遵循本申请的一般性原理并包括本公开未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的,本申请的真正范围和精神由下面的权利要求指出。
[0135] 应当理解的是,本申请并不局限于上面已经描述并在附图中示出的精确结构,并且可以在不脱离其范围进行各种修改和改变。本申请的范围仅由所附的权利要求来限制[0136] 以上所述仅为本申请的较佳实施例,并不用以限制本申请,凡在本申请的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本申请的保护范围之内。
[0137] 以上对本申请所提供的一种AP接入AC的方法和装置,进行了详细介绍,本文中应用了具体个例对本申请的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本申请的方法及其核心思想;同时,对于本领域的一般技术人员,依据本申请的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本申请的限制。
