一种增强的WLAN证书鉴别方法、装置及系统制造方法及图纸

本发明专利技术实施例公开了一种增强的无线局域网证书鉴别的方法，包括：AP向STA发送鉴别激活消息以触发STA对AP进行身份验证，鉴别激活消息中携带AP证书和第一AP签名信息；AP接收STA对AP进行身份验证之后发送的接入鉴别请求消息，根据STA的公钥和所述接入鉴别请求消息对STA进行身份验证；若AP验证得STA签名信息对应的STA身份与STA证书相匹配并且STA证书有效，则向AS发送证书鉴别请求消息，以触发所述AS进行双向证书鉴别。本技术方案可以在AS进行双向证书鉴别之前，增加STA和AP之间的身份验证功能，从而确保STA和AP身份的唯一性和不可伪造性，提高无线局域网证书鉴别过程的安全性。

【技术实现步骤摘要】

本专利技术涉及通信
，尤其涉及一种增强的WLAN证书鉴别的方法、装置及系统。
技术介绍
随着科技和社会的发展,无线局域网(WLAN，WirelessLocalAccessNetwork)以其方便、快捷等特性应用日益广泛,成为当今IT产业的亮点之一。但是,与此同时WLAN网络的安全威胁也日渐严重,相对于有线网络，无线网络的通信内容更容易遭受窃听和篡改,安全管理和防护更为复杂和困难。为了解决WLAN的安全问题,我国于2003年12月1日颁布了具有鉴别保密机制的无线局域网标准GB15629.11，其中包括无线局域网鉴别和保密基础结构(WAPI，WLANAuthenticationandPrivacyInfrastructure)机制。WAPI分为WLAN鉴别基础架构(WAI，WLANAuthenticationInfrastructure)和WLAN保密基础架构(WPI，WLANPrivacyInfrastructure)两个模块,其中，WAI是基于数字签名的公钥密码技术(PKI，PublicKeyInfrastructure)的双向证书鉴别技术。根据现有的WAI技术，在终端(STA，Station)接入接入点(AP，AccessPoint)过程时缺乏有效的身份验证环节，使网络攻击者可以利用该安全漏洞假冒WLAN设备进行网络攻击。例如，网络攻击者可以假冒AP获取STA的信任得到STA的公钥证书，再利用得到的STA公钥证书假冒STA接入合法AP，再通过鉴别服务器(AS，AuthenticationServer)的证书鉴别而接入网络以达到网络攻击的目的。因此，现有的WLAN证书鉴别技术在STA接入AP过程中容易被网络攻击者击破，安全性较低，存在一定的安全隐患。
技术实现思路
本专利技术实施例公开了一种增强的WLAN证书鉴别的方法及装置，能够在AS对STA和AP进行双向证书鉴别之前增加STA和AP之间的相互身份验证功能，从而确保STA和AP身份的唯一性和不可伪造性，提高了无线局域网证书鉴别过程的安全性。本专利技术实施例第一方面提供了一种增强的WLAN证书鉴别的方法，用于接入点中，所述方法包括：AP向STA发送鉴别激活消息以触发所述STA对所述AP进行身份验证，其中，所述鉴别激活消息中携带AP证书和第一AP签名信息；所述AP接收所述STA对所述AP进行身份验证之后发送的接入鉴别请求消息，根据预先存储的所述STA的公钥和所述接入鉴别请求消息对所述STA进行身份验证，其中，所述接入鉴别请求消息中携带STA证书、接入鉴别请求时间和STA签名信息；若所述AP验证得所述STA签名信息对应的STA身份与所述STA证书相匹配并且所述STA证书有效，则向AS发送证书鉴别请求消息，以触发AS进行双向证书鉴别并发送证书鉴别响应消息；所述AP根据接收到的所述AS发送的证书鉴别响应消息中携带的STA证书鉴别结果对所述STA进行接入控制，并向所述STA发送接入鉴别响应消息。结合第一方面，在第一种可能的实现方式中，所述STA签名信息为STA的私钥对所述STA证书和所述接入鉴别请求时间加密后得到的信息；所述根据预先存储的所述STA的公钥和所述接入鉴别请求消息对所述STA进行身份验证，包括：使用所述预先存储的所述STA的公钥对所述接入鉴别请求消息中的STA签名信息进行解密，以得到所述STA签名信息对应的STA身份；验证所述STA签名信息对应的STA身份与所述STA证书是否匹配，并验证所述STA证书是否有效。结合第一方面或第一方面的第一种可能的实现方式，在第二种可能的实现方式中，所述证书鉴别请求消息携带所述STA证书、所述接入鉴别请求时间、所述STA签名信息、所述AP证书和第二AP签名信息，其中，所述第二AP签名信息为AP的私钥对所述STA证书、所述接入鉴别请求时间、所述STA签名和所述AP证书加密后得到的信息。结合第一方面，在第三种可能的实现方式中，所述鉴别激活消息还携带鉴别激活时间。本专利技术实施例第二方面提供了一种增强的WLAN证书鉴别的方法，用于终端中，所述方法包括：STA接收AP发送的鉴别激活消息，所述STA根据预先存储的所述AP的公钥和所述鉴别激活消息对所述AP进行身份验证，其中，所述鉴别激活消息中携带AP证书和第一AP签名信息；若所述STA验证得所述第一AP签名信息对应的AP身份与所述AP证书相匹配并且所述AP证书有效，则向所述AP发送接入鉴别请求消息以触发所述AP对所述STA进行身份验证，其中，所述接入鉴别请求消息中携带STA证书、接入鉴别请求时间和STA签名信息；当所述STA接收到所述AP对所述STA进行身份验证后触发AS进行双向证书鉴别之后发送的接入鉴别响应消息，从所述接入鉴别响应消息中获取AP证书鉴别结果，根据所述AP证书鉴别结果决定是否接入所述AP。结合第二方面，在第一种可能的实现方式中，所述第一AP签名信息为AP的私钥对所述AP证书加密后得到的信息；所述根据预先存储的所述AP的公钥和所述鉴别激活消息对所述AP进行身份验证，包括：使用所述预先存储的所述AP的公钥对所述鉴别激活消息中的第一AP签名信息进行解密，以得到所述第一AP签名信息对应的STA身份；验证所述第一AP签名信息对应的AP身份与所述AP证书是否匹配，并验证所述AP证书是否有效。结合第二方面，在第二种可能的实现方式中，所述鉴别激活消息还携带鉴别激活时间，所述第一AP签名信息为AP的私钥对所述AP证书和所述鉴别激活时间加密后得到的信息。本专利技术实施例第三方面提供了一种WLAN接入点设备，包括：发送单元，用于向STA发送鉴别激活消息以触发所述STA对所述接入点设备进行身份验证，其中，所述鉴别激活消息中携带AP证书和第一AP签名信息；接收单元，用于接收所述STA对所述接入点设备进行身份验证后发送的接入鉴别请求消息；处理单元，用于在所述接收单元接收到所述接入鉴别请求消息后，根据预先存储的所述STA的公钥和所述接入鉴别请求消息对所述STA进行身份验证，其中，所述接入鉴别请求消息中携带STA证书、接入鉴别请求时间和STA签名信息；所述发送单元还用于，若所述处理单元验证得所述STA签名信息对应的STA身份与所述STA证书相匹配并且所述STA证书有效，则向AS发送证书鉴别请求消息，以触发AS进行双向证书鉴别并发送证书鉴别响应消息；所述接收单元本文档来自技高网...

【技术保护点】
一种增强的无线局域网证书鉴别的方法，用于接入点中，其特征在于，所述方法包括：接入点AP向终端STA发送鉴别激活消息以触发所述STA对所述AP进行身份验证，其中，所述鉴别激活消息中携带AP证书和第一AP签名信息；所述AP接收所述STA对所述AP进行身份验证之后发送的接入鉴别请求消息，根据预先存储的所述STA的公钥和所述接入鉴别请求消息对所述STA进行身份验证，其中，所述接入鉴别请求消息中携带STA证书、接入鉴别请求时间和STA签名信息；若所述AP验证得所述STA签名信息对应的STA身份与所述STA证书相匹配并且所述STA证书有效，则向鉴别服务器AS发送证书鉴别请求消息，以触发所述AS进行双向证书鉴别并发送证书鉴别响应消息；所述AP根据接收到的所述AS发送的证书鉴别响应消息中携带的STA证书鉴别结果对所述STA进行接入控制，并向所述STA发送接入鉴别响应消息。

【技术特征摘要】
1.一种增强的无线局域网证书鉴别的方法，用于接入点中，其特征在于，
所述方法包括：
接入点AP向终端STA发送鉴别激活消息以触发所述STA对所述AP进
行身份验证，其中，所述鉴别激活消息中携带AP证书和第一AP签名信息；
所述AP接收所述STA对所述AP进行身份验证之后发送的接入鉴别请求
消息，根据预先存储的所述STA的公钥和所述接入鉴别请求消息对所述STA
进行身份验证，其中，所述接入鉴别请求消息中携带STA证书、接入鉴别请
求时间和STA签名信息；
若所述AP验证得所述STA签名信息对应的STA身份与所述STA证书
相匹配并且所述STA证书有效，则向鉴别服务器AS发送证书鉴别请求消息，
以触发所述AS进行双向证书鉴别并发送证书鉴别响应消息；
所述AP根据接收到的所述AS发送的证书鉴别响应消息中携带的STA证
书鉴别结果对所述STA进行接入控制，并向所述STA发送接入鉴别响应消
息。
2.根据权利要求1所述的方法，其特征在于，所述STA签名信息为STA
的私钥对所述STA证书和所述接入鉴别请求时间加密后得到的信息；
所述根据预先存储的所述STA的公钥和所述接入鉴别请求消息对所述
STA进行身份验证，包括：
使用所述预先存储的所述STA的公钥对所述接入鉴别请求消息中的STA
签名信息进行解密，以得到所述STA签名信息对应的STA身份；
验证所述STA签名信息对应的STA身份与所述STA证书是否匹配，并
验证所述STA证书是否有效。
3.根据权利要求1或2所述的方法，其特征在于，所述证书鉴别请求消
息携带所述STA证书、所述接入鉴别请求时间、所述STA签名信息、所述
AP证书和第二AP签名信息，其中，所述第二AP签名信息为AP的私钥对
所述STA证书、所述接入鉴别请求时间、所述STA签名和所述AP证书加密
后得到的信息。
4.根据权利要求1所述的方法，其特征在于，所述鉴别激活消息还携带

\t鉴别激活时间。
5.一种增强的无线局域网证书鉴别的方法，用于终端中，其特征在于，
所述方法包括：
终端STA接收接入点AP发送的鉴别激活消息，所述STA根据预先存储的所
述AP的公钥和所述鉴别激活消息对所述AP进行身份验证，其中，所述鉴别激
活消息中携带AP证书和第一AP签名信息；
若所述STA验证得所述第一AP签名信息对应的AP身份与所述AP证书相匹
配并且所述AP证书有效，则向所述AP发送接入鉴别请求消息以触发所述AP
对所述STA进行身份验证，其中，所述接入鉴别请求消息中携带STA证书、接
入鉴别请求时间和STA签名信息；
当所述STA接收到所述AP对所述STA进行身份验证后触发鉴别服务器AS
进行双向证书鉴别之后发送的接入鉴别响应消息，从所述接入鉴别响应消息
中获取AP证书鉴别结果，根据所述AP证书鉴别结果决定是否接入所述AP。
6.根据权利要求5所述的方法，其特征在于，所述第一AP签名信息为AP
的私钥对所述AP证书加密后得到的信息；
所述根据预先存储的所述AP的公钥和所述鉴别激活消息对所述AP进行
身份验证，包括：
使用所述预先存储的所述AP的公钥对所述鉴别激活消息中的第一AP
签名信息进行解密，以得到所述第一AP签名信息对应的STA身份；
验证所述第一AP签名信息对应的AP身份与所述AP证书是否匹配，并验证
所述AP证书是否有效。
7.根据权利要求5所述的方法，其特征在于，所述鉴别激活消息还携带
鉴别激活时间，所述第一AP签名信息为AP的私钥对所述AP证书和所述鉴
别激活时间加密后得到的信息。
8.一种无线局域网接入点设备，其特征在于，包括：
发送单元，用于向终端STA发送鉴别激活消息以触发所述STA对所述

\t接入点设备进行身份验证，其中，所述鉴别激活消息中携带AP证书和第一
AP签名信息；
接收单元，用于接收所述STA对所述接入点设备进行身份验证后发送的
接入鉴别请求消息；<...

【专利技术属性】
技术研发人员：秦严，
申请(专利权)人：宇龙计算机通信科技深圳有限公司，
类型：发明
国别省市：广东;44