ＷＡＰＩ漫游接入认证方法、系统和接入地ＡＳ服务器技术方案

本发明专利技术公开一种ＷＡＰＩ漫游接入认证方法、系统和接入地ＡＳ服务器。该方法包括：ＡＰ将自身和ＳＴＡ的证书发送给接入地ＡＳ；当接入地ＡＳ确定不是所述ＳＴＡ的开户地ＡＳ时，接入地ＡＳ判断ＳＴＡ的证书与自身的证书是否属于同一根证书，如果是，则将ＳＴＡ、ＡＰ的证书以及接入地ＡＳ的签名转发给根ＡＳ，如果不是，则通知ＡＰ拒绝该ＳＴＡ关联；根ＡＳ将ＳＴＡ、ＡＰ的证书转发给开户地ＡＳ进行证书认证。本发明专利技术的ＷＡＰＩ漫游接入认证方法和系统，判断ＳＴＡ与ＡＳ是否属于同一根证书，如果是才将漫游认证请求转发到根ＡＳ，从而减轻了根ＡＳ服务器的压力，提高了认证效率，并可以防止被一些黑客利用攻击根ＡＳ服务器，提高了安全性。

【技术实现步骤摘要】

本专利技术涉及 WAPI ( WLAN Authentication and Privacy Infrastructure,无线局域网鉴别和保密基础结构)技术，尤其涉及一 种WAPI漫游接入认证方法、系统和接入地AS服务器。背景纟支术WAPI是WAI ( WLAN Authentication Infrastructure,无线局i或网 鉴别基础结构)和WPI (WLAN Privacy Infrastructure,无线局i或网併: 密基础结构)两个协议统称，是我国无线局域网国家标准GB15629.il-2003提出的实现无线局域网安全的协议。其中WAI协议解决无线局域 网中的身份识别问题，WPI协议解决无线局域网中信息的保密传输问 题。WAI协议中利用ECC (Elliptic Curve Cryptography,椭圆曲线 密码体制)的数字签名功能(ECDSA)解决了身份认证问题。WAI协 议是WAPI协议中最重要和最基础的部分，只有实现了身份的认证才可 以进行数据的传输。WAI用ECC技术实现了身份的双向认证问题，即 无线终端对接入点(Access Point, AP)的认证，和接入点对无线终端 的认证，只有这两个认证都通过了，即无线终端确认接入点为合法接入 点和接入点确认无线终端为合法无线终端后双方才可以进行通信。经过 可信的第三方——鉴别服务单元实现认证。在WAPI协议中，无线终端和AP之间必须相互认证才能完成接入 过程，而这个认证过程必须通过证书认证实现。在AP和AS (Authentication Server,鉴别服务器)交互过程中，WAI协i义才艮文是 直接封装在UDP协议基础的，服务器的端口号是3810。WAPI标准对对漫游用户的身份鉴别没有提出解决方案。按照现有技术，当WAPI用户在异地接入时，接入地AS查测用户是非本地用户时，就会将证书请求报文转发给根AS，由根AS将证书 请求报文转发给开户地AS认证。正常的异地漫游用户会完成开户地 AS的认证，但也会使一些非法用户的证书请求报文由接入地AS转发 给根AS，由根AS检测并丢弃，由于根AS面对众多的接入地AS，将 会有大量的非法用户证书请求报文转发给AS，造成对根AS服务器的 压力，降低认证效率，同时也会被一些黑客利用，持续地发送认证请求 报文，攻击根AS服务器。
技术实现思路
本专利技术要解决的一个技术问题是提供一种WAPI漫游接入认证方法 和系统，可以緩解根AS的压力，提高认证效率。本专利技术提供一种WAPI漫游接入认证方法，包括AP将自身和 STA (Station,无线终端)的证书发送给接入地AS;当接入地AS确定 不是所述STA的开户地AS时，接入地AS判断STA的证书与自身的 证书是否属于同一根证书，如果是，则将STA 、 AP的证书以及接入地 AS的签名转发给根AS,如果不是，则通知AP拒绝该STA关联；根 AS将STA、 AP的证书转发给开户地AS进行证书认证。才艮据本专利技术的WAPI漫游接入i人证方法的一个实施例，该还包括 由WAPI证书管理中心统一为STA、 WLAN设备、AS服务器签发 WAPI证书，以便不同实体证书具有同一个根证书。本专利技术还提供一种WAPI漫游4秦入认证系统，包括AP，用于向 接入地AS发送证书鉴别请求分组，该证书鉴别请求分組包括AP和 STA的证书；接入地AS，用于接收证书鉴别请求分组，确定AP的证 书的合法性；判断STA的证书与自身的证书是否属于同一根证书，如 果是，则向根AS发送漫游证书鉴别请求分組，将STA 、 AP的证书以 及接入地AS的签名转发给根AS,如果不是，则通知AP拒绝STA关 联；根AS,用于将漫游证书鉴别请求分组转发给开户地AS，以将 STA、 AP的证书转发给开户地AS进行证书认证；开户地AS,用于接 收漫游证书鉴别请求分組，对STA的证书进行认证。根据本专利技术的WAPI漫游接入认证方法的一个实施例，还包括证 书管理中心，用于统一为STA、 WLAN设备、AS服务器签发WAPI证 书，以便不同实体证书具有同一个才艮证书。本专利技术的WAPI漫游接入认证方法和系统，当接入地AS接收到来 自AP的漫游证书认证请求时，首先判断STA与AS是否属于同一根证 书，如果是才将漫游认证请求转发到根AS,从而减轻了根AS服务器 的压力，提高了认证效率。附图说明图l是本专利技术的WAPI证书签发示意图2是本专利技术的WAPI漫游接入认证方法的一个实施例的流程图； 图3是本专利技术的接入地AS增加对证书请求分组判断功能的示意图4是本专利技术的WAPI漫游接入认证方法的另一个实施例的流程图5是本专利技术的接入地AS服务器的一个实施例的框图。具体实施例方式下面参照附图对本专利技术进行更全面的描述，其中说明本专利技术的示例 性实施例。本专利技术的基本思想是，将WAPI证收签发与鉴别分离，所有的用 户终端证书、WLAN设备证书、AS服务器证书统一由WAPI证书管 理中心签发，确保不同实体证书的根证书相同；在接入地AS接到证 书鉴别请求分组时增加判断功能，当STA不是本地用户时，判断 STA与AS是否属于同一根证书，若是则转发给根AS，若不是则通 知AP拒绝STA关联。图1是本专利技术的WAPI证书签发示意图。如图1所示，由WAPI 证书管理中心统一为接入地1、…、接入地N的STA (用户终 端)、WLAN设备、AS服务器签发WAPI证书，以便确保不同实体证书是同一个根证书。图2是本专利技术的WAPI漫游接入认证方法的一个实施例的流程图。如图2所示，在步骤202, AP将自身和STA的证书发送给接入 地AS。在步骤204,接入地AS判断自身是否是STA的开户地AS。当接 入地AS不是STA的开户地AS时，则继续下面的步骤206。在步骤206，接入地AS判断STA的证书与自身的证书是否属于同 一根证书，如果是，则继续执行步骤208，如果不是，则通知所述AP 拒绝所述STA关联(步骤212 ),认证结束。接入地AS通过查看STA 证书的证书链，获取STA的根证书，并与其自身的根证书比较，以判 断是否属于同一个根证书。在步骤208，接入地AS将STA 、 AP的证书以及接入地AS的签 名转发给根AS。在步骤210，根AS将STA、 AP的证书转发给开户地(归属地) AS进4亍证书认证。图3是本专利技术的接入地AS增加对证书请求分组判断功能的示意图。如图3所示，在步骤302， AP向STA发送鉴别激活分组，该分组 中包括AP的证书。当STA关联或重新关联至AP，如果需要进行证书 鉴别过程，或者AP收到了无线终端的预鉴别开始分组，则AP向无线 终端发送鉴别激活分组，激活无线终端进行双向证书鉴别过程。在步骤304， STA向AP发送接入鉴别请求分组，该分组中包括 STA的证书。无线终端接收到由AP发送的鉴别激活分组后，则根据鉴 别激活分组中的AP信任的ASU (Authentication Service Unit,鉴别月艮 务单元)身份选择由该ASU颁发的证书或本地策略选择证书，产生用 于ECDH交换的临时私钥x、临时公钥x P和无线终端挑战，生成接 入鉴别请求分组，发送给AP在步骤306， AP向接入地AS发送证书鉴别请求分组，证书鉴别请求分组本文档来自技高网...

【技术保护点】
一种ＷＡＰＩ漫游接入认证方法，其特征在于，包括：　　　　接入点ＡＰ将自身和无线终端ＳＴＡ的证书发送给接入地ＡＳ；　　　　当所述接入地ＡＳ确定不是所述ＳＴＡ的开户地ＡＳ时，所述接入地ＡＳ判断所述ＳＴＡ的证书与自身的证书是否属于同一根证书，如果是，则将所述ＳＴＡ、ＡＰ的证书以及所述接入地ＡＳ的签名转发给根ＡＳ，如果不是，则通知所述ＡＰ拒绝所述ＳＴＡ关联；　　　　所述根ＡＳ将所述ＳＴＡ、ＡＰ的证书转发给开户地ＡＳ进行证书认证。

【技术特征摘要】
1.一种WAPI漫游接入认证方法，其特征在于，包括接入点AP将自身和无线终端STA的证书发送给接入地AS；当所述接入地AS确定不是所述STA的开户地AS时，所述接入地AS判断所述STA的证书与自身的证书是否属于同一根证书，如果是，则将所述STA、AP的证书以及所述接入地AS的签名转发给根AS，如果不是，则通知所述AP拒绝所述STA关联；所述根AS将所述STA、AP的证书转发给开户地AS进行证书认证。2. 根据权利要求1所述的WAPI漫游接入认证方法，其特征在 于，还包括由WAPI证书管理中心统一为STA、 WLAN接入设备、AS放务器 签发WAPI证书，以便不同实体证书具有同一个才艮证书。3. 根据权利要求1所述的WAPI漫游接入认证方法，其特征在 于，在所述接入地AS判断所述STA的证书与自身的证书是否属于同一 根证书之前，还包括所述接入地AS判断自身是否为所迷STA的开户地AS，如果是， 则所述接入地AS判断所述STA证书的合法性，并将判断结果返回所述 AP。4. 根据权利要求1所述的WAPI漫游接入认证方法，其特征在 于，在AP将自身和STA的证书发送给接入地AS之前，还包括步骤所述AP向所述STA发送鉴别激活分组，鉴别激活分组中包括所述 AP的证书；所述STA向所述AP发送接入鉴别请求分组，接入鉴别请求分组中 包括所述STA的证书。5. 根据权利要求4所述的WAPI漫游接入认证方法，其特征在 于，还包括步骤所述开户地AS完成证书认证后，向所述根AS发送漫游证书鉴别响应分组；所述根AS向所述接入地AS转发所述漫游证书鉴别响应分组； 所述接入地AS向所述AP发送证书鉴别响应分组； 所述AP向所述STA发送接入鉴别响应分组。6. —种WAPI漫游接入认证系统，其特征在于，包括AP,用于向接入地AS发送证书鉴别请求分组，所述证书鉴别请求 分组包j舌所述AP和STA的证书；所述接入地AS，用于接收所述证书鉴别请求分...

【专利技术属性】
技术研发人员：王波，高波，潘毅明，
申请(专利权)人：中国电信股份有限公司，
类型：发明
国别省市：11[中国|北京]