專(zhuān)利名稱(chēng):一種基于wapi的漫游認(rèn)證方法
技術(shù)領(lǐng)域:
本發(fā)明涉及網(wǎng)絡(luò)安全接入系統(tǒng)領(lǐng)域��,尤其是一種基于WAPI的漫游認(rèn)證 方法�。
背景技術(shù):
IP網(wǎng)絡(luò)承載的業(yè)務(wù)種類(lèi)日益繁多����,己介入到國(guó)民經(jīng)濟(jì)和社會(huì)生活的各個(gè) 層面�����,特別是無(wú)線IP網(wǎng)絡(luò)通過(guò)無(wú)線電波傳輸數(shù)據(jù)��,更使網(wǎng)絡(luò)物理的開(kāi)放性達(dá) 到新的階段���,由此�,安全接入問(wèn)題成為網(wǎng)絡(luò)安全運(yùn)行的關(guān)鍵問(wèn)題��。
2003年5月份我國(guó)頒布了無(wú)線局域網(wǎng)國(guó)家標(biāo)準(zhǔn)GB15629.il和 GB15629.1102����,這是我國(guó)在無(wú)線局域網(wǎng)領(lǐng)域首批頒布的標(biāo)準(zhǔn)�。2006年�,無(wú)線 局域網(wǎng)國(guó)家標(biāo)準(zhǔn)第1號(hào)修改單GB 15629.11-2003/XGl-2006及其他相關(guān)子項(xiàng) 標(biāo)準(zhǔn)GB15629.1101、 GB/T 15629.1103和GB15629.1104也頒布實(shí)施��,初步形 成了無(wú)線局域網(wǎng)國(guó)家標(biāo)準(zhǔn)體系���。標(biāo)準(zhǔn)體系中包含了全新的WAPI (WLAN Authentication and Privacy Infrastructure)安全機(jī)制��。
隨著移動(dòng)計(jì)算的業(yè)務(wù)需求發(fā)展����,用戶(hù)漫游上網(wǎng)的需求日益增加���。WLAN 提供用戶(hù)無(wú)線的方式接入網(wǎng)絡(luò)����,使用戶(hù)不再受限于一根上網(wǎng)網(wǎng)線�����,而是可以 靈活的移動(dòng)����,滿(mǎn)足了用戶(hù)移動(dòng)訪問(wèn)網(wǎng)絡(luò)的需求����。當(dāng)在運(yùn)營(yíng)環(huán)境下應(yīng)用WLAN 時(shí)����,網(wǎng)絡(luò)規(guī)模覆蓋到全國(guó)各個(gè)地理區(qū)域,用戶(hù)數(shù)量非常大��,漫游的情況會(huì)頻 繁發(fā)生�����。而在漫游的情況下���,如何解決認(rèn)證問(wèn)題是網(wǎng)絡(luò)正常運(yùn)行的關(guān)鍵。WAPI 提供了基于證書(shū)和預(yù)共享密鑰的安全機(jī)制��,其中證書(shū)機(jī)制適合于運(yùn)營(yíng)應(yīng)用的 環(huán)境����,然而WLAN國(guó)標(biāo)中僅定義了 AS對(duì)證書(shū)認(rèn)證的接口,仍然沒(méi)有如何實(shí) 現(xiàn)證書(shū)漫游認(rèn)證的具體方法�����。
申請(qǐng)?zhí)枮?00710017450.1的專(zhuān)利公開(kāi)了一種基于WAPI的證書(shū)漫游認(rèn)證 方法,該方法終端在漫游時(shí)�����,首先必須通過(guò)某種機(jī)制獲取外網(wǎng)鑒別服務(wù)器的 證書(shū)��,建立信任關(guān)系��,然后進(jìn)行證書(shū)漫游認(rèn)證��,鑒別服務(wù)器端也需要獲得用 戶(hù)家網(wǎng)鑒別服務(wù)器的證書(shū)建立信任關(guān)系����。這在有些實(shí)際情況下是無(wú)法滿(mǎn)足的,因?yàn)榻K端可能除無(wú)線WLAN接入外�����,沒(méi)有其他途徑訪問(wèn)網(wǎng)絡(luò)���,無(wú)法獲取外網(wǎng) 鑒別服務(wù)器證書(shū)建立信任關(guān)系���。因此終端可能無(wú)法實(shí)現(xiàn)漫游認(rèn)證。
發(fā)明內(nèi)容
本發(fā)明為解決背景技術(shù)中應(yīng)用WAPI安全機(jī)制時(shí)的證書(shū)漫游認(rèn)證問(wèn)題�, 而提供一種高安全性�、便捷性的基于WAPI的漫游認(rèn)證方法��。
本發(fā)明的技術(shù)解決方案為本發(fā)明為一種基于WAPI的漫游認(rèn)證方法����, 其特殊之處在于該方法包括以下步驟
1) 終端和無(wú)線接入點(diǎn)啟用WAPI安全機(jī)制,終端關(guān)聯(lián)到無(wú)線接入點(diǎn)�,啟 動(dòng)WAPI鑒別過(guò)程;
2) 終端接入的外網(wǎng)鑒別服務(wù)器接收到無(wú)線接入點(diǎn)的證書(shū)鑒別請(qǐng)求分組����,
根據(jù)終端的證書(shū)信息判斷該終端是本地接入還是漫游接入,若為本地接入�,
則鑒別該終端證書(shū)的合法性并返回證書(shū)鑒別響應(yīng)分組;若為漫游接入��,則根 據(jù)終端證書(shū)中的信任的家網(wǎng)鑒別服務(wù)器信息����,在本地的外網(wǎng)鑒別服務(wù)器信任 列表中査找該家網(wǎng)鑒別服務(wù)器��,若在信任列表中查到該家網(wǎng)鑒別服務(wù)器�,則 發(fā)送證書(shū)漫游鑒別請(qǐng)求分組到該家網(wǎng)鑒別服務(wù)器;若在本地的信任列表中未 查找到終端信任的家網(wǎng)鑒別服務(wù)器��,則發(fā)送證書(shū)漫游鑒別請(qǐng)求分組到上一級(jí) 中心根鑒別服務(wù)器;
3) 鑒別服務(wù)器接收到證書(shū)漫游鑒別請(qǐng)求分組后�,根據(jù)本地存儲(chǔ)的策略驗(yàn) 證該分組的消息鑒別字段,若驗(yàn)證不通過(guò)則丟棄該分組��,若接收鑒別服務(wù)器 為家網(wǎng)鑒別服務(wù)器���,則驗(yàn)證終端證書(shū)的合法性���,并返回證書(shū)漫游鑒別響應(yīng)分 組;若接收鑒別服務(wù)器為根鑒別服務(wù)器�����,則根據(jù)證書(shū)漫游鑒別請(qǐng)求分組中終 端信任的鑒別服務(wù)器信息轉(zhuǎn)發(fā)證書(shū)漫游鑒別響應(yīng)分組給適合的鑒別服務(wù)器����, 若找不到適合的鑒別服務(wù)器,則丟棄證書(shū)漫游鑒別請(qǐng)求分組�;
4) 鑒別服務(wù)器接收到證書(shū)漫游鑒別響應(yīng)分組后,根據(jù)本地存儲(chǔ)的策略驗(yàn) 證該分組的消息鑒別字段���,若驗(yàn)證不通過(guò)則丟棄該分組�����,若接收鑒別服務(wù)器 為根鑒別服務(wù)器�,則根據(jù)證書(shū)漫游鑒別響應(yīng)中接入地的鑒別服務(wù)器信息,重 新構(gòu)造證書(shū)漫游鑒別響應(yīng)分組中的消息鑒別���,并轉(zhuǎn)發(fā)重新構(gòu)造的證書(shū)漫游鑒 別響應(yīng)分組給適合的鑒別服務(wù)器�����;若接收鑒別服務(wù)器為外網(wǎng)鑒別服務(wù)器���,則解析該分組,并按照WLAN國(guó)標(biāo)的相關(guān)格式返回證書(shū)鑒別響應(yīng)分組給無(wú)線接 入點(diǎn)���;
5)無(wú)線接入點(diǎn)和終端根據(jù)返回的證書(shū)鑒別結(jié)果進(jìn)行相應(yīng)的接入控制���。 步驟l)和5)中的鑒別過(guò)程,按照GB15629.il系列國(guó)家標(biāo)準(zhǔn)中規(guī)定的
WAPI鑒別流程執(zhí)行�����。
本發(fā)明是在符合無(wú)線局域網(wǎng)國(guó)家標(biāo)準(zhǔn)的基礎(chǔ)上��,提供了基于WAPI證書(shū)
的漫游過(guò)程中的認(rèn)證方法����,其具有以下優(yōu)點(diǎn)
1、 高安全性本發(fā)明完全基于無(wú)線局域網(wǎng)國(guó)家標(biāo)準(zhǔn)���,在漫游過(guò)程中依 然采用完全的雙向認(rèn)證�����,保障只有合法的用戶(hù)才能接入合法的網(wǎng)絡(luò)���;同時(shí)證 書(shū)獲得后均通過(guò)簽名驗(yàn)證,保證了通過(guò)網(wǎng)絡(luò)獲取證書(shū)的安全性��。
2��、 便捷性用戶(hù)漫游時(shí)�����,無(wú)需到營(yíng)業(yè)廳更換證書(shū)�����,且無(wú)需用戶(hù)的額外 操作,即可實(shí)現(xiàn)無(wú)縫的無(wú)線網(wǎng)絡(luò)漫游接入���。
圖1為WLAN運(yùn)營(yíng)應(yīng)用網(wǎng)絡(luò)拓?fù)鋱D��。
具體實(shí)施例方式
參見(jiàn)圖l�����,當(dāng)終端STA從家網(wǎng)到外網(wǎng)漫游時(shí)�����,其漫游認(rèn)證的具體過(guò)程如
下
1) 終端STA和無(wú)線接入點(diǎn)啟用WAPI安全機(jī)制����,終端關(guān)聯(lián)到無(wú)線接入 點(diǎn)AP2����,啟動(dòng)WAPI鑒別過(guò)程;
2) 終端接入的外網(wǎng)鑒別服務(wù)器W-AS接收到無(wú)線接入點(diǎn)AP2的證書(shū)鑒 別請(qǐng)求分組���,根據(jù)終端STA的證書(shū)信息判斷該終端STA是本地接入還是漫游 接入�����,若為本地接入��,則鑒別該終端STA證書(shū)的合法性并返回證書(shū)鑒別響應(yīng) 分組�;若為漫游接入�����,則根據(jù)終端STA證書(shū)中的信任的家網(wǎng)鑒別服務(wù)器H-AS 信息�����,在本地的外網(wǎng)鑒別服務(wù)器W-AS信任列表中査找該家網(wǎng)鑒別服務(wù)器 H-AS��,若在信任列表中査到該家網(wǎng)鑒別服務(wù)器H-AS����,則發(fā)送證書(shū)漫游鑒別 請(qǐng)求分組到該家網(wǎng)鑒別服務(wù)器H-AS;若在本地的信任列表中未查找到終端 STA信任的家網(wǎng)鑒別服務(wù)器H-AS,則發(fā)送證書(shū)漫游鑒別請(qǐng)求分組到上一級(jí)中 心根鑒別服務(wù)器R-AS;3) 鑒別服務(wù)器接收到證書(shū)漫游鑒別請(qǐng)求分組后,根據(jù)本地存儲(chǔ)的策略驗(yàn) 證該分組的消息鑒別字段����,若驗(yàn)證不通過(guò)則丟棄該分組,若接收鑒別服務(wù)器 為家網(wǎng)鑒別服務(wù)器H-AS�����,則驗(yàn)證終端證書(shū)的合法性,并返回證書(shū)漫游鑒別響 應(yīng)分組���;若接收鑒別服務(wù)器為根鑒別服務(wù)器R-AS,則根據(jù)證書(shū)漫游鑒別請(qǐng)求 分組中終端信任的鑒別服務(wù)器AS信息轉(zhuǎn)發(fā)證書(shū)漫游鑒別響應(yīng)分組給適合的 鑒別服務(wù)器AS�,若找不到適合的鑒別服務(wù)器AS�����,則丟棄證書(shū)漫游鑒別請(qǐng)求 分組����;
4) 鑒別服務(wù)器接收到證書(shū)漫游鑒別響應(yīng)分組后,根據(jù)本地存儲(chǔ)的策略驗(yàn) 證該分組的消息鑒別字段����,若驗(yàn)證不通過(guò)則丟棄該分組,若接收鑒別服務(wù)器 為根鑒別服務(wù)器R-AS���,則根據(jù)證書(shū)漫游鑒別響應(yīng)中接入地的鑒別服務(wù)器信 息����,重新構(gòu)造證書(shū)漫游鑒別響應(yīng)分組中的消息鑒別��,并轉(zhuǎn)發(fā)重新構(gòu)造的證書(shū) 漫游鑒別響應(yīng)分組給適合的AS;若接收鑒別服務(wù)器為外網(wǎng)鑒別服務(wù)器W-AS��, 則解析該分組,并按照WLAN國(guó)標(biāo)的相關(guān)格式返回證書(shū)鑒別響應(yīng)分組給無(wú)線 接入點(diǎn)AP2;
5)無(wú)線接入點(diǎn)AP2和終端STA根據(jù)返回的證書(shū)鑒別結(jié)果進(jìn)行相應(yīng)的接入控制���。
權(quán)利要求
1. 一種基于WAPI的漫游認(rèn)證方法�,其特征在于該方法包括以下步驟1)終端和無(wú)線接入點(diǎn)啟用WAPI安全機(jī)制����,終端關(guān)聯(lián)到無(wú)線接入點(diǎn)�����,啟動(dòng)WAPI鑒別過(guò)程��;2)終端接入的外網(wǎng)鑒別服務(wù)器接收到無(wú)線接入點(diǎn)的證書(shū)鑒別請(qǐng)求分組�,根據(jù)終端的證書(shū)信息判斷該終端是本地接入還是漫游接入,若為本地接入�����,則鑒別該終端證書(shū)的合法性并返回證書(shū)鑒別響應(yīng)分組�����;若為漫游接入�,則根據(jù)終端證書(shū)中的信任的家網(wǎng)鑒別服務(wù)器信息���,在本地的外網(wǎng)鑒別服務(wù)器信任列表中查找該家網(wǎng)鑒別服務(wù)器,若在信任列表中查到該家網(wǎng)鑒別服務(wù)器�,則發(fā)送證書(shū)漫游鑒別請(qǐng)求分組到該家網(wǎng)鑒別服務(wù)器;若在本地的信任列表中未查找到終端信任的家網(wǎng)鑒別服務(wù)器�,則發(fā)送證書(shū)漫游鑒別請(qǐng)求分組到上一級(jí)中心根鑒別服務(wù)器;3)鑒別服務(wù)器接收到證書(shū)漫游鑒別請(qǐng)求分組后���,根據(jù)本地存儲(chǔ)的策略驗(yàn)證該分組的消息鑒別字段����,若驗(yàn)證不通過(guò)則丟棄該分組��,若接收鑒別服務(wù)器為家網(wǎng)鑒別服務(wù)器�,則驗(yàn)證終端證書(shū)的合法性,并返回證書(shū)漫游鑒別響應(yīng)分組�;若接收鑒別服務(wù)器為根鑒別服務(wù)器,則根據(jù)證書(shū)漫游鑒別請(qǐng)求分組中終端信任的鑒別服務(wù)器信息轉(zhuǎn)發(fā)證書(shū)漫游鑒別響應(yīng)分組給適合的鑒別服務(wù)器���,若找不到適合的鑒別服務(wù)器��,則丟棄證書(shū)漫游鑒別請(qǐng)求分組�;4)鑒別服務(wù)器接收到證書(shū)漫游鑒別響應(yīng)分組后,根據(jù)本地存儲(chǔ)的策略驗(yàn)證該分組的消息鑒別字段����,若驗(yàn)證不通過(guò)則丟棄該分組,若接收鑒別服務(wù)器為根鑒別服務(wù)器��,則根據(jù)證書(shū)漫游鑒別響應(yīng)中接入地的鑒別服務(wù)器信息���,重新構(gòu)造證書(shū)漫游鑒別響應(yīng)分組中的消息鑒別��,并轉(zhuǎn)發(fā)重新構(gòu)造的證書(shū)漫游鑒別響應(yīng)分組給適合的鑒別服務(wù)器;若接收鑒別服務(wù)器為外網(wǎng)鑒別服務(wù)器�,則解析該分組,并按照WLAN國(guó)標(biāo)的相關(guān)格式返回證書(shū)鑒別響應(yīng)分組給無(wú)線接入點(diǎn)���;5)無(wú)線接入點(diǎn)和終端根據(jù)返回的證書(shū)鑒別結(jié)果進(jìn)行相應(yīng)的接入控制�����。
全文摘要
本發(fā)明涉及一種基于WAPI的漫游認(rèn)證方法���。本發(fā)明采用終端和無(wú)線接入點(diǎn)啟用WAPI安全機(jī)制,終端關(guān)聯(lián)到無(wú)線接入點(diǎn)�,啟動(dòng)WAPI鑒別過(guò)程等步驟,并為了解決如何實(shí)現(xiàn)證書(shū)漫游認(rèn)證的具體方法以及無(wú)法獲取外網(wǎng)鑒別服務(wù)器證書(shū)建立信任關(guān)系��,終端可能無(wú)法實(shí)現(xiàn)漫游認(rèn)證的技術(shù)問(wèn)題而提供了一種高安全性、便捷性的基于WAPI的漫游認(rèn)證方法���。
文檔編號(hào)H04L29/08GK101282352SQ20081001816
公開(kāi)日2008年10月8日 申請(qǐng)日期2008年5月9日 優(yōu)先權(quán)日2008年5月9日
發(fā)明者張變玲, 軍 曹, 賴(lài)曉龍 申請(qǐng)人:西安西電捷通無(wú)線網(wǎng)絡(luò)通信有限公司