專利名稱:一種基于wapi的證書漫游認(rèn)證方法
技術(shù)領(lǐng)域:
本發(fā)明涉及網(wǎng)絡(luò)安全接入系統(tǒng)領(lǐng)域,尤其是一種基于WAPI的證書漫游認(rèn)證的方法�。
背景技術(shù):
IP網(wǎng)絡(luò)承載的業(yè)務(wù)種類日益繁多,已介入到國民經(jīng)濟和社會生活的各個層面��,特別是無線IP網(wǎng)絡(luò)通過無線電波傳輸數(shù)據(jù)����,更使網(wǎng)絡(luò)物理的開放性達(dá)到新的階段,由此���,安全接入問題成為網(wǎng)絡(luò)安全運行的關(guān)鍵問題�。
2003年5月份我國頒布了無線局域網(wǎng)(WLAN)國家標(biāo)準(zhǔn)GB15629.11和GB15629.1102���,這是我國在無線局域網(wǎng)領(lǐng)域首批頒布的標(biāo)準(zhǔn)�����。2006年�,無線局域網(wǎng)國家標(biāo)準(zhǔn)第1號修改單GB 15629.11-2003/XG1-2006及其他相關(guān)子項標(biāo)準(zhǔn)GB15629.1101�、GB/T 15629.1103和GB15629.1104也頒布實施,初步形成了無線局域網(wǎng)國家標(biāo)準(zhǔn)體系�����。標(biāo)準(zhǔn)體系采用了WAPI(WLANAuthentication and Privacy Infrastructure)安全機制來保障合法用戶接入合法網(wǎng)絡(luò),并實現(xiàn)用戶和網(wǎng)絡(luò)間的保密通信�。
隨著移動計算的業(yè)務(wù)需求發(fā)展,用戶漫游上網(wǎng)的需求日益增加�。WLAN提供用戶無線的方式接入網(wǎng)絡(luò),使用戶不再受限于一根上網(wǎng)網(wǎng)線�,而是可以靈活的移動,滿足了用戶移動訪問網(wǎng)絡(luò)的需求���。當(dāng)在運營環(huán)境下應(yīng)用WLAN時,網(wǎng)絡(luò)規(guī)模覆蓋到全國各個地理區(qū)域��,用戶數(shù)量非常大��,漫游的情況會頻繁發(fā)生�。而在漫游的情況下,如何解決認(rèn)證問題是網(wǎng)絡(luò)正常運行的關(guān)鍵�����。WAPI提供了基于證書和預(yù)共享密鑰的安全機制�,其中證書機制適合于運營應(yīng)用的環(huán)境;然而���,包括WLAN國標(biāo)在內(nèi)��,現(xiàn)有技術(shù)中僅包含AS對證書認(rèn)證的接口的定義和實現(xiàn)方法��,目前仍缺乏如何實現(xiàn)證書漫游認(rèn)證的具體實現(xiàn)方案���。
發(fā)明內(nèi)容
本發(fā)明為解決背景技術(shù)中應(yīng)用WAPI安全機制時的證書漫游認(rèn)證問題��,提供一種安全性高����、高效�����、便捷的基于WAPI的證書漫游認(rèn)證方法�。
本發(fā)明的技術(shù)解決方案為本發(fā)明為一種基于WAPI的證書漫游認(rèn)證方法,其特殊之處在于該方法包括以下步驟1)終端獲取外網(wǎng)服務(wù)器證書���,建立信任關(guān)系��;1.1)用戶漫游到異地網(wǎng)絡(luò)后��,啟動終端�����,啟用WAPI安全機制�,關(guān)聯(lián)到無線接入點;1.2)無線接入點發(fā)送鑒別激活分組�����,終端根據(jù)鑒別激活分組中無線接入點AP信任的服務(wù)器身份判斷是否信任外網(wǎng)服務(wù)器�;1.3)如果該外網(wǎng)服務(wù)器未在終端的信任服務(wù)器列表中,則向證書服務(wù)器申請該外網(wǎng)服務(wù)器證書�����,獲取到外網(wǎng)服務(wù)器證書后�����,終端利用本地存貯的根服務(wù)器證書對外網(wǎng)服務(wù)器證書進(jìn)行驗證��,如果合法�,則加入終端的信任服務(wù)器列表中����,進(jìn)至步驟2);如果該證書非法����,則丟棄該證書���;2)WAPI漫游認(rèn)證;2.1)外網(wǎng)服務(wù)器證書加入到終端的信任服務(wù)列表中后�,再次關(guān)聯(lián)到無線接入點,并在接入鑒別請求分組中的“ASUE信任的ASU列表”字段中添加外網(wǎng)服務(wù)器F-AS的身份�����;2.2)無線接入點收到接入鑒別請求分組后���,發(fā)送證書鑒別請求給外網(wǎng)服務(wù)器�,外網(wǎng)服務(wù)器根據(jù)客戶端證書獲得客戶端的家網(wǎng)服務(wù)器信息���,外網(wǎng)服務(wù)器判斷該家網(wǎng)服務(wù)器是否在外網(wǎng)服務(wù)器的信任列表中��,當(dāng)外網(wǎng)服務(wù)器含有合法的家網(wǎng)服務(wù)器證書時�,則直接進(jìn)至步驟2.3)��;當(dāng)家網(wǎng)服務(wù)器不在信任列表中�,外網(wǎng)服務(wù)器向證書服務(wù)器申請該家網(wǎng)服務(wù)器證書,獲取到家網(wǎng)服務(wù)器證書后,外網(wǎng)服務(wù)器利用本地存貯的根服務(wù)器證書對家網(wǎng)服務(wù)器證書進(jìn)行驗證��,如果合法�,則加入外網(wǎng)服務(wù)器信任的服務(wù)器列表中,進(jìn)至步驟2.3)���;如果該證書非法���,則丟棄該證書;2.3)外網(wǎng)服務(wù)器利用合法的家網(wǎng)服務(wù)器證書驗證終端STA證書的合法性�����,并查詢證書吊銷列表服務(wù)器���,設(shè)置終端和無線接入點證書的鑒別結(jié)果�����,并對鑒別結(jié)果進(jìn)行簽名,按照國家標(biāo)準(zhǔn)規(guī)定的協(xié)議格式向無線接入點返回證書鑒別響應(yīng)分組��;2.4)無線接入點和終端驗證外網(wǎng)服務(wù)器簽名�,并根據(jù)證書鑒別結(jié)果進(jìn)行相應(yīng)的接入控制。
本發(fā)明在符合無線局域網(wǎng)國家標(biāo)準(zhǔn)的基礎(chǔ)上���,提供了基于WAPI的證書漫游過程中的認(rèn)證方法���,其具有以下優(yōu)點1���、安全性高本發(fā)明完全基于無線局域網(wǎng)國家標(biāo)準(zhǔn),在漫游過程中依然采用完全的雙向認(rèn)證����,保障只有合法的用戶才能接入合法的網(wǎng)絡(luò);同時證書獲得后均通過簽名驗證����,保證了通過網(wǎng)絡(luò)獲取證書的安全性。
2�、高效性本發(fā)明在漫游認(rèn)證時,只需要在本地即可完成認(rèn)證過程�����,且證書鑒別響應(yīng)中僅需要一個服務(wù)器的簽名�����,縮短了鑒別時間,提高了鑒別效率�。
3、便捷性用戶漫游時�����,無需到營業(yè)廳更換證書��,即可實現(xiàn)無縫的網(wǎng)絡(luò)漫游接入�。
圖1為WLAN運營應(yīng)用網(wǎng)絡(luò)拓?fù)鋱D。
具體實施例方式
參見圖1����,WLAN運營的公共網(wǎng)絡(luò)環(huán)境中,一般包括根服務(wù)器R-AS��、證書服務(wù)器CS和吊銷列表服務(wù)器CLRS�,其中根服務(wù)器R-AS為網(wǎng)內(nèi)所有服務(wù)器AS頒發(fā)證書;證書服務(wù)器CS存貯所有服務(wù)器AS證書����;吊銷列表服務(wù)器CLRS存儲全網(wǎng)所有已吊銷的證書。
WLAN運營的本地網(wǎng)內(nèi)一般包括服務(wù)器AS�、鑒別服務(wù)器AC��、RADIUS服務(wù)器、無線接入點AP和終端STA�����,其中服務(wù)器AS為本網(wǎng)終端STA和無線接入點AP頒發(fā)證書�,鑒別服務(wù)器AC對用戶實現(xiàn)業(yè)務(wù)訪問控制、RADIUS服務(wù)器實現(xiàn)用戶賬戶信息存儲和計費等功能�。
當(dāng)終端STA從家網(wǎng)到外網(wǎng)漫游時,其漫游認(rèn)證的具體步驟如下1)終端STA獲取外網(wǎng)服務(wù)器F-AS證書��,建立信任關(guān)系����;1.1)用戶漫游到異地網(wǎng)絡(luò)后,啟動終端STA����,啟用WAPI安全機制,關(guān)聯(lián)到無線接入點AP2����;
1.2)無線接入點AP2發(fā)送鑒別激活分組,終端STA根據(jù)鑒別激活分組中無線接入點AP2信任的服務(wù)器身份判斷是否信任外網(wǎng)服務(wù)器F-AS���;1.3)如果該外網(wǎng)服務(wù)器F-AS未在終端STA的信任服務(wù)器列表中���,則向證書服務(wù)器CS申請該外網(wǎng)服務(wù)器F-AS證書�,獲取到外網(wǎng)服務(wù)器F-AS證書后���,終端STA利用本地存貯的根服務(wù)器R-AS證書對外網(wǎng)服務(wù)器F-AS證書進(jìn)行驗證�����,如果合法�,則加入終端STA的信任服務(wù)器列表中�,進(jìn)至步驟2);如果該證書非法�,則丟棄該證書;2)WAPI漫游認(rèn)證����;2.1)外網(wǎng)服務(wù)器F-AS證書加入到終端STA的信任服務(wù)列表中后,再次關(guān)聯(lián)到無線接入點AP2���,并在接入鑒別請求分組中的“ASUE信任的ASU列表”字段中添加外網(wǎng)服務(wù)器F-AS的身份��;2.2)無線接入點AP2收到接入鑒別請求分組后���,發(fā)送證書鑒別請求給外網(wǎng)服務(wù)F-AS�����,外網(wǎng)服務(wù)器F-AS根據(jù)終端STA證書獲得終端STA的家網(wǎng)服務(wù)器H-AS信息,外網(wǎng)服務(wù)器F-AS判斷該家網(wǎng)服務(wù)器H-AS是否在外網(wǎng)服務(wù)器F-AS的信任列表中����,當(dāng)外網(wǎng)服務(wù)器F-AS含有合法的家網(wǎng)服務(wù)器H-AS證書時,則直接進(jìn)至步驟2.3)�;當(dāng)家網(wǎng)服務(wù)器H-AS不在信任列表中,外網(wǎng)服務(wù)器F-AS向證書服務(wù)器CS申請該家網(wǎng)服務(wù)器證書���,獲取到家網(wǎng)服務(wù)器H-AS證書后�����,外網(wǎng)服務(wù)器F-AS利用本地存貯的根服務(wù)器R-AS證書對家網(wǎng)服務(wù)器H-AS證書進(jìn)行驗證��,如果合法�����,則加入外網(wǎng)服務(wù)器F-AS信任的服務(wù)器列表中��,進(jìn)至步驟2.3)�����;如果該證書非法�����,則丟棄該證書�;2.3)外網(wǎng)服務(wù)器F-AS利用合法的家網(wǎng)服務(wù)器H-AS證書驗證終端STA證書的合法性,并查詢證書吊銷列表服務(wù)器CRLS����,設(shè)置終端STA和無線接入點AP2證書的鑒別結(jié)果,并對鑒別結(jié)果進(jìn)行簽名��,按照國標(biāo)規(guī)定的協(xié)議格式向無線接入點AP2和終端STA返回證書鑒別響應(yīng)分組����;2.4)無線接入點AP2和終端STA驗證外網(wǎng)服務(wù)器F-AS簽名,并根據(jù)證書鑒別結(jié)果進(jìn)行相應(yīng)的接入控制�����。
權(quán)利要求
1.一種基于WAPI的證書漫游認(rèn)證方法�����,其特征在于該方法包括以下步驟1)、終端獲取外網(wǎng)服務(wù)器證書�,建立信任關(guān)系;1.1)用戶漫游到異地網(wǎng)絡(luò)后����,啟動終端��,啟用WAPI安全機制�,關(guān)聯(lián)到無線接入點;1.2)無線接入點發(fā)送鑒別激活分組���,終端根據(jù)鑒別激活分組中無線接入點AP信任的服務(wù)器身份判斷是否信任外網(wǎng)服務(wù)器����;1.3)如果該外網(wǎng)服務(wù)器未在終端的信任服務(wù)器列表中�����,則向證書服務(wù)器申請該外網(wǎng)服務(wù)器證書��,獲取到外網(wǎng)服務(wù)器證書后���,終端利用本地存貯的根服務(wù)器證書對外網(wǎng)服務(wù)器證書進(jìn)行驗證��,如果合法�,則加入終端的信任服務(wù)器列表中,進(jìn)至步驟2)�����;如果該證書非法��,則丟棄該證書���;2)WAPI漫游認(rèn)證����;2.1)外網(wǎng)服務(wù)器證書加入到終端的信任服務(wù)列表中后���,再次關(guān)聯(lián)到無線接入點�,并在接入鑒別請求分組中的“ASUE信任的ASU列表”字段中添加外網(wǎng)服務(wù)器F-AS的身份�����;2.2)無線接入點收到接入鑒別請求分組后�,發(fā)送證書鑒別請求給外網(wǎng)服務(wù)器,外網(wǎng)服務(wù)器根據(jù)客戶端證書獲得客戶端的家網(wǎng)服務(wù)器信息,外網(wǎng)服務(wù)器判斷該家網(wǎng)服務(wù)器是否在外網(wǎng)服務(wù)器的信任列表中�����,當(dāng)外網(wǎng)服務(wù)器含有合法的家網(wǎng)服務(wù)器證書時���,則直接進(jìn)至步驟2.3)��;當(dāng)家網(wǎng)服務(wù)器不在信任列表中��,外網(wǎng)服務(wù)器向證書服務(wù)器申請該家網(wǎng)服務(wù)器證書��,獲取到家網(wǎng)服務(wù)器證書后,外網(wǎng)服務(wù)器利用本地存貯的根服務(wù)器證書對家網(wǎng)服務(wù)器證書進(jìn)行驗證�����,如果合法��,則加入外網(wǎng)服務(wù)器信任的服務(wù)器列表中����,進(jìn)至步驟2.3);如果該證書非法�,則丟棄該證書;2.3)外網(wǎng)服務(wù)器利用合法的家網(wǎng)服務(wù)器證書驗證終端STA證書的合法性,并查詢證書吊銷列表服務(wù)器��,設(shè)置終端和無線接入點證書的鑒別結(jié)果�����,并對鑒別結(jié)果進(jìn)行簽名�,按照國標(biāo)規(guī)定的協(xié)議格式向無線接入點和終端返回證書鑒別響應(yīng)分組;2.4)無線接入點和終端驗證外網(wǎng)服務(wù)器簽名����,并根據(jù)證書鑒別結(jié)果進(jìn)行相應(yīng)的接入控制。
全文摘要
本發(fā)明涉及一種基于WAPI的證書漫游認(rèn)證的方法����。該方法包括以下步驟1)終端獲取外網(wǎng)服務(wù)器證書,建立信任關(guān)系��;2)WAPI漫游認(rèn)證�����。本發(fā)明為解決背景技術(shù)中應(yīng)用WAPI安全機制時的證書漫游認(rèn)證問題���,而提供一種安全性高����、高效、便捷的基于WAPI的證書漫游認(rèn)證方法�����。
文檔編號H04W12/08GK101018411SQ200710017450
公開日2007年8月15日 申請日期2007年2月16日 優(yōu)先權(quán)日2007年2月16日
發(fā)明者張變玲, 曹軍, 賴曉龍, 黃振海, 馬奔騰, 蔣遠(yuǎn) 申請人:西安西電捷通無線網(wǎng)絡(luò)通信有限公司, 中國移動通信集團設(shè)計院有限公司