CN102487506B - 一种基于wapi协议的接入认证方法、***和服务器 - Google Patents
一种基于wapi协议的接入认证方法、***和服务器 Download PDFInfo
- Publication number
- CN102487506B CN102487506B CN200910180748.3A CN200910180748A CN102487506B CN 102487506 B CN102487506 B CN 102487506B CN 200910180748 A CN200910180748 A CN 200910180748A CN 102487506 B CN102487506 B CN 102487506B
- Authority
- CN
- China
- Prior art keywords
- authentication
- certificate
- grouping
- request
- radius
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Landscapes
- Mobile Radio Communication Systems (AREA)
- Small-Scale Networks (AREA)
Abstract
本发明公开一种基于WAPI协议的接入认证方法、***和RADIUS服务器。该方法包括无线接入设备将证书鉴别请求分组封装在RADIUS请求报文中发送给RADIUS服务器;RADIUS服务器接收并解析包含证书鉴别请求分组的RADIUS请求报文,进行证书验证,根据验证结果构造鉴别响应分组,将鉴别响应分组封装在RADIUS挑战报文中发送给无线接入设备。通过本发明的WAPI的接入认证方法和***,只需要部署一个RADIUS服务器,既可以进行证书认证又可以对用户授权、计费,用户部署简单,实现了WAPI认证与RADIUS认证的较好结合。
Description
技术领域
本发明涉及WLAN(Wireless Local Access Network,无线局域网)接入技术领域,尤其涉及一种基于WAPI(WLAN Authenticationand Privacy Infrastructure,无线局域网鉴别和保密基础结构)协议的接入认证方法、***和RADIUS(Remote Authentication Dial In UserService,远程用户拨号认证服务)服务器。
背景技术
WAPI是WAI(WLAN Authentication Infrastructure,无线局域网鉴别基础结构)和WPI(WLAN Privacy Infrastructure,无线局域网保密基础结构)两个协议统称,是我国无线局域网国家标准GB15629.11-2003提出的实现无线局域网安全的协议。WAPI采用国家密码管理委员会办公室批准的公钥密码体制的椭圆曲线密码算法和对称密码体制的分组密码算法,分别用于WLAN设备的数字证书、证书鉴别、密钥协商和传输数据的加解密,从而实现设备的身份鉴别、链路验证、访问控制和用户信息在无线传输状态下的加密保护。其中WAI协议解决无线局域网中的身份识别问题,WPI协议解决无线局域网中信息的保密传输问题。WAI协议中利用ECC(Elliptic Curve Cryptography,椭圆曲线密码体制)的数字签名功能(ECDSA)解决了身份认证问题。
WAI协议是WAPI协议中最重要和最基础的部分,只有实现了身份的认证才可以进行数据的传输。WAI用ECC技术实现了身份的双向认证问题,即用户终端对WLAN接入设备的认证,和WLAN接入设备对用户终端的认证,只有这两个认证都通过了,即用户终端确认WLAN接入设备为合法接入点和WLAN接入设备确认用户终端为合法用户终端后双方才可以进行通信。要进行认证必须经过可信的第三方-ASU(Authentication Service Unit,鉴别服务单元)才可以实现。
在WAPI协议中,用户终端和WLAN接入设备之间必须相互认证才能完成接入过程,而这个认证过程必须通过证书认证实现,因此,需要部署单独的ASU服务器(通常称为AS),来完成用户终端对WLAN接入设备的证书认证和WLAN接入设备对用户终端的证书认证。图1是现有技术的WAPI认证架构图,其中示出了用户终端11、WLAN接入设备12和AS(省级AS 13和集团AS 14)三者的关系。此外,从图1中可以看出,现有技术中需要同时部署RADIUS服务器15和AS服务器。在WLAN接入设备和AS交互过程中,WAI协议报文是直接封装在UDP协议基础的,服务器的端口号是3810。
但是,WAI协议报文使用UDP协议进行传输封装,自己定义了一套鉴别控制协议,和现有的RADIUS协议并不兼容。而现有的运营网络中,绝大多数网络中的用户认证是通过AAA(Authentication、Authorization、Accounting,鉴权、授权、计费)/RADIUS服务器来实现的,这就造成了和现有的网络融合存在比较大的困难。此外,WAI协议只为用户终端和WLAN接入设备之间的证书认证定义了过程,如果需要对用户进行授权和计费处理,则需要同时部署AS服务器和AAA服务器,增加了部署的复杂性。
发明内容
本发明要解决的一个技术问题是提供一种基于WAPI协议的接入认证方法,可以简化网络中的设备部署。
本发明提供一种基于WAPI协议的接入认证方法,包括:无线接入设备向无线终端发送鉴别激活分组;无线终端向无线接入设备发送接入鉴别请求分组;无线接入设备生成证书鉴别请求分组,将证书鉴别请求分组封装在RADIUS请求报文中,发送给RADIUS服务器;RADIUS服务器接收并解析包含证书鉴别请求分组的RADIUS请求报文获得证书鉴别请求分组,通过RADUIS服务器中的ASU进行证书验证;根据验证结果构造鉴别响应分组,将鉴别响应分组封装在RADIUS挑战(challenge)报文中,发送给无线接入设备;无线接入设备接收并解析包含鉴别响应分组的RADIUS挑战报文获得鉴别响应分组,向无线终端发送接入鉴别响应分组。
本发明要解决的另一个技术问题是提供一种基于WAPI协议的接入认证***,可以简化网络中的设备部署。
本发明提供一种基于WAPI协议的接入认证***,包括:无线接入设备,用于向无线终端发送鉴别激活分组,接收来自所述无线终端的接入鉴别请求分组;生成证书鉴别请求分组,将所述证书鉴别请求分组封装在RADIUS请求报文中,发送给RADIUS服务器;接收并解析包含鉴别响应分组的RADIUS挑战报文获得所述鉴别响应分组,向所述无线终端发送接入鉴别响应分组。RADIUS服务器,用于接收并解析所述包含证书鉴别请求分组的RADIUS请求报文,获得所述证书鉴别请求分组,通过ASU进行证书验证;根据验证结果构造鉴别响应分组,将所述鉴别响应分组封装在RADIUS挑战报文中,发送给所述无线接入设备。
本发明还提供一种RADIUS服务器,包括:报文解析模块,用于接收并解析包含证书鉴别请求分组的RADIUS请求报文,获得所述证书鉴别请求分组,将所述证书鉴别请求分组发送给ASU;所述ASU,用于接收所述证书鉴别请求分组,进行证书验证,根据验证结果构造鉴别响应分组,发送所述鉴别响应分组;报文封装模块,用于接收来自所述ASU的鉴别响应分组,将所述鉴别响应分组封装在RADIUS挑战报文中,发送给无线接入设备。
本发明提供的基于WAPI协议的接入认证方法和***,对证书鉴别请求分组和鉴别响应分组封装在RADIUS报文中,由接入设备和RADIUS服务器完成接入认证过程,节省了AS服务器,从而简化了网络中设备的部署。
附图说明
图1为现有技术的WAPI认证架构图;
图2示出本发明的基于WAPI协议的接入认证方法的一个实施例的流程图;
图3示出本发明的利用RADIUS属性封装WAI协议分组的格式;
图4示出本发明的基于WAPI协议的接入认证方法的另一个实施例的流程图;
图5示出本发明的一个实施例的WLAN接入设备和AAA服务器之间进行接入认证时WAI分组没有分片的流程图;
图6示出本发明的一个实施例的WLAN接入设备和AAA服务器之间进行接入认证时WAI分组有分片的流程图;
图7示出本发明的另一个实施例的WLAN接入设备和AAA服务器之间进行接入认证时WAI分组有分片时的流程图;
图8示出本发明的基于WAPI协议的接入认证***的一个实施例的结构图。
具体实施方式
下面参照附图对本发明进行更全面的描述,其中说明本发明的示例性实施例。
本发明的基本思想是在AAA/RADIUS服务器上实现WAPI协议的ASU,对WAI分组用RADIUS报文封装,通过AAA/RADIUS服务器实现WAI的证书接入认证。
在说明本发明的技术方案之前,首先介绍WAPI标准定义的WAI协议分组的格式。WAI协议分组的格式具体参见下表1:
| 字段名称 | 版本 | 类型 | 子类型 | 保留 | 长度 | 分组序号 | 分片序号 | 标识 | 数据 |
| 字节数 | 2 | 1 | 1 | 2 | 2 | 2 | 1 | 1 | 可变 |
表1
其中:
——版本字段长度为2个八位位组(字节),表示WAI协议的版本号;当前版本为1;
——类型字段长度为1个八位位组,表示协议类型,定义如下:
1:WAI协议分组;
其他值保留。
——子类型字段的长度为1个八位位组,当类型字段为非1的其他值时,子类型字段值保留;当类型字段的值为1时,子类型字段值定义如下:
1:预鉴别开始分组;
2:站间密钥请求分组;
3:表示鉴别激活分组;
4:表示接入鉴别请求分组;
5:表示接入鉴别响应分组;
6:表示证书鉴别请求分组;
7:表示证书鉴别响应分组;
8:表示单播密钥协商请求分组;
9:表示单播密钥协商响应分组;
10:表示单播密钥协商确认分组;
11:表示组播密钥/站间密钥通告分组;
12:表示组播密钥/站间密钥响应分组;
其他值保留。
——保留字段长度为2个八位位组,默认值为0。
——长度字段长度为2个八位位组,其值表示WAI协议分组所有字段的八位位组数。
——分组序号字段长度为2个八位位组,其值表示协议分组序号。第一个分组序号为1,后序分组依次按1递增。
——分片序号字段长度为1个八位位组,其值表示分片的顺序编号,每一个分组的第一个分片序号为0,后序分片依次按1递增。
——标识字段长度为1个八位位组,比特0表示后续是否有分片,值为0表示没有,值为1表示有。比特1至比特7保留。
——数据字段的内容根据类型和子类型的值而定,它除了包含固定的内容,还可以包含可选的属性。定义WAI协议分组的最大长度为65535个八位位组。
在下面的叙述中,涉及WAPI报文格式中某些具体字段,可参考WAPI标准。
图2示出本发明的基于WAPI协议的接入认证方法的一个实施例的流程图。
如图2所示,在步骤202,无线接入设备向无线终端发送鉴别激活分组;无线终端向无线接入设备发送接入鉴别请求分组。无线接入设备通常为WLAN AP或AC。
在步骤204,无线接入设备生成证书鉴别请求分组,将证书鉴别请求分组封装在RADIUS请求报文中,发送给RADIUS服务器。WAI分组在RADIUS报文中的封装格式可以参见下图3。
在步骤206,RADIUS服务器接收并解析包含证书鉴别请求分组的RADIUS请求报文获得证书鉴别请求分组,通过RADUIS服务器中的ASU进行证书验证;根据验证结果构造鉴别响应分组,将鉴别响应分组封装在RADIUS挑战报文(Access-Challenge)中,发送给无线接入设备;
在步骤208,无线接入设备接收并解析包含鉴别响应分组的RADIUS挑战报文获得鉴别响应分组,向无线终端发送接入鉴别响应分组。
图3示出本发明的利用RADIUS属性封装WAI协议分组的格式。在图3中,利用RADIUS的Vendor-Specific属性(26)携带WAI协议分组,灰色部分表示WAI报文部分,具体字段可以参见表1的描述。
其中:
——Type(类型),属性类型,值为26,表示Vendor-Specific属性开始;
——Length(长度),表示该属性所携带内部部分的长度;
——Vendor-Id(厂商标识),厂商的OUI;
——Vendor type(厂商类型),厂商自定义的类型,用于标识属性内容携带的是WAI协议分组,区分厂商自定义的其他内容;
图4示出本发明的基于WAPI协议的接入认证方法的另一个实施例的流程图,其包括无线终端、AP、AAA/RADIUS服务器之间整个证书鉴别、授权和计费的过程。
如图4所示,在步骤402,AP向无线终端发送鉴别激活分组。当STA关联或重新关联至AP,如果需要进行证书鉴别过程,或者AP收到了无线终端的预鉴别开始分组,则AP向无线终端发送鉴别激活分组,激活无线终端进行双向证书鉴别过程。鉴别激活分组的数据字段格式如下表2所示:
| 字段名称 | 标识FLAG | 鉴别标识 | 本地ASU的身份 | STAAE的证书 | ECDH参数 |
| 字节数 | 1 | 32 | 可变 | 可变 | 可变 |
表2
其中:
——标识字段长度为1个八位位组,定义如前,比特0、1有意义。当STA关联或重新关联至AP时进行证书鉴别过程,比特0(BK更新标识)的值为0;当证书鉴别过程进行BK更新时,比特0(BK更新标识)的值为1。如果不是预鉴别过程,比特1(预鉴别标识)的值为0;如果是预鉴别过程,比特1(预鉴别标识)的值为1。
——鉴别标识字段长度为32个八位位组,若标识字段的比特0(BK更新标识)的值为0,则由AE采用随机数生成算法生成;若标识字段的比特0(BK更新标识)的值为1,则鉴别标识字段的值为上一次证书鉴别过程所协商的鉴别标识。
——本地ASU的身份字段标识AP信任的ASU。
——STAAE(作为AE实体的站)的证书字段表示作为AE实体的站的证书,即AP证书。
——ECDH参数字段由参数标识和参数长度和参数内容组成,参数标识字段长度为1个八位位组参数长度字段为2个八位位组,表示参数内容字段的八位位组数。参数字段的值定义如下:
——参数标识为1时,参数内容以OID方式表示,参数长度字段表示OID标识的八位位组数,参数内容为OID编码。本规范采用值为1.2.156.11235.1.1.2.1的OID表示国家密码管理局批准的ECC域参数,OID编码采用ASN.1/DER。
——参数标识其他值保留。
在步骤404,无线终端向AP发送接入鉴别请求分组。无线终端接收到由AP发送的鉴别激活分组后,则根据鉴别激活分组中的AP信任的ASU身份选择由该ASU颁发的证书或本地策略选择证书,产生用于ECDH交换的临时私钥x、临时公钥x·P和无线终端挑战,生成接入鉴别请求分组,发送给AP。接入鉴别请求分组的数据字段格式如下表3:
| 标识FLAG | 鉴别标识 | ASUE挑战 | ASUE密钥数据 | STAAE的身份 | STAASUE的证书 | ECDH参数 | ASUE信任的ASU列表 | ASUE的签名 |
| 1 | 32 | 32 | 可变 | 可变 | 可变 | 可变 | 可变 | 可变 |
表3
其中:
——标识字段长度为1个八位位组,比特0、1、2、3有意义。本字段中除了比特2(证书验证请求标识)、比特3(可选字段标识)以外,应与AE发送的鉴别激活分组中标识字段值相同。比特2(证书验证请求标识)为1表示ASUE要求验证AE证书的有效性,为0表示不需要验证AE证书的有效性。当在比特0(BK更新标识)为0时,比特2必须为1,即不是进行BK更新时,必须验证AE证书的有效性。比特3(可选字段标识)为1表示分组中有可选字段,为0表示没有。
——鉴别标识字段长度为32个八位位组。本字段的值应该与AE发送的鉴别激活分组中鉴别标识字段值相同。
——ASUE挑战字段长度为32个八位位组,由无线终端采用随机数生成算法生成,记作NASUE。
——ECDH参数字段,和鉴别激活分组中的ECDH参数字段相同。
——ASUE密钥数据格式内容是ASUE生成的用于ECDH交换的临时公钥。
——STAAE的身份字段,和鉴别激活分组中的STAAE的内容相同。
——STAASUE证书字段表示ASUE实体的站的证书,即无线终端的证书。
——STAASUE信任的服务器列表字段,该字段为可选字段,内容包含STAASUE信任的服务器,但不包含STAASUE的证书颁发者。若ASUE除了信任他的证书颁发者以外,还信任其他的某些实体,可以通过该字段通知鉴别服务器。
——ASUE的签名字段,它是对本分组中除本字段之外所有数据字段的签名。
在步骤406,AP生成证书鉴别请求分组,将证书鉴别请求分组封装在Access-Request报文中,发往AAA/RADIUS/ASU服务器。
AP收到无线终端发来的接入鉴别请求分组后,作如下检查:
如果AP没有发送鉴别激活分组,则检查鉴别标识字段值和上一次证书鉴别过程中保存的鉴别标识是否相同,若不相同,则丢弃该分组。如果AP发送了鉴别激活分组,则比较鉴别标识字段值及标识字段的比特0、比特1与AE发送的鉴别激活分组中相应字段的值是否相同,如果不同,则丢弃该分组;
检查STAAE的身份字段是否与自己的身份一致,以及ECDH参数字段是否与自己在鉴别激活分组中的ECDH参数是否一致,若不一致,则丢弃该分组;
验证无线终端的签名,若验证不通过,则丢弃该分组;
如果以上检查都通过,则AP生成证书鉴别请求分组,将构造好的证书鉴别请求分组,封装在RADIUS报文的Vendor-Specific属性中,发往AAA/RADIUS/ASU服务器。具体封装格式参见图3。若在封装RADIUS报文过程中需要分片发送,则AP和AAA/RADIUS/ASU服务器的报文交互过程参见下图6和图7。
证书鉴别请求分组的数据字段格式如下表4:
| 字段名称 | AE挑战 | ASUE挑战 | STAASUE的证书 | STAAE的证书 | ASUE信任的ASU列表 |
| 字节数 | 1 | 32 | 可变 | 可变 | 可变 |
表4
其中:
——ADDID字段长度为12个八位位组,由MACAE||MACASUE组成。
——AE挑战字段长度为32个八位位组。由AE采用随机数生成算法生成。
——ASUE挑战字段长度为32个八位位组。本字段值应与ASUE发送的接入鉴别请求分组中ASUE挑战字段值相同。
——STAASUE的证书字段,和接入鉴别请求分组中STAASUE的证书字段相同。
——STAAE的证书字段,内容包含STAAE的证书。
——ASUE信任的服务器列表字段,该字段为可选字段,如有,应与ASUE发送的接入鉴别请求分组中的ASUE信任的服务器列表字段相同。
在步骤408,AAA/RADIUS/ASU收到证书鉴别请求分组后,参照RFC3280验证无线终端和AP的证书,并根据验证结果构造鉴别响应分组,发送给AP。鉴别响应分组也是封装在RADIUS报文的Vendor-Specific属性中,具体封装格式参见图3。若在封装RADIUS报文过程中需要分片发送,则AP和AAA/RADIUS/ASU服务器的报文交互过程参见下图6和图7。
鉴别响应分组的数据内容格式如下表5:
| 字段名称 | ADDID | 证书的验证结果 | ASUE信任的服务器签名 | AE信任的服务器签名 |
| 字节数 | 12 | 可变 | 可变 | 可变 |
表5
其中:
——证书的验证结果字段,其内容包含了对无线终端证书的验证结果,也包含了对AP证书的验证结果。证书结果定义如下:
0表示证书有效;
1表示证书的颁发者不明确;
2表示证书基于不可信任的根证书;
3表示证书未到生效期或已过期
4表示签名错误;
5表示证书已吊销;
6表示证书未按规定用途使用
7表示证书吊销状态未知
8表示证书错误原因未知
其他值保留。
——ASUE信任的服务器签名字段,其内容是对本分组中证书的验证结果字段的签名。
——AE信任的服务器签名字段,其内容是对本分组中除本字段和ADDID字段之外所有数据字段的签名。
需要注意,若ASUE信任的服务器和AE信任的服务器为同一个,则证书鉴别响应分组中ASUE信任的服务器签名字段和AE信任的服务器签名字段只存在一个;若ASUE证书的验证结果为证书的颁发者不明确,则证书鉴别响应分组不包含ASUE信任的服务器签名字段。
AP收到证书鉴别响应分组后,进行如下处理:
(a1)根据ADDID确定对应的证书鉴别请求分组,检查证书的验证结果字段中的第一个一次性随机数值与自己在证书鉴别请求分组中的AE的挑战是否相同,若相同,则执行(b1)操作;否则,丢弃该证书鉴别响应分组;
(b1)AP查找自身所信任的ASU的签名,验证其签名,若不正确,则丢弃该证书鉴别响应分组;否则执行(c1)操作。
(c1)重新对AAA/RADIUS/ASU服务器发送Access-Request/WAI空报文(即仅包含WAPI报文头,没有数据部分),以便AAA/RADIUS/ASU结束认证过程。
在步骤410,AAA/RADIUS/ASU收到了AP发来的请求报文后,若无线终端和AP的证书鉴定结果都为有效,则发送Access-Accept报文,并在报文中携带相关的授权、链路、Session等信息。否则发送Access-Reject报文。
在步骤414,接入设备向用户终端发送接入鉴别响应分组。AP收到AAA/RADIUS/ASU认证结束报文后,进行如下处理:
(a2)若收到Access-Accept报文,且ASUE证书鉴别结果成功,本地生成用于ECDH交换的临时私钥y和临时公钥y·P,使用自己的临时私钥y和ASUE的临时公钥x·P进行ECDH计算,得到密钥种子(x·y·P)abscissa,对其进行扩展KD-HMAC-SHA256((x·y·P)abscissa,NAE||NASUE||“base key expansion for key andadditional nonce”),生成长度为16个八位位组的基密钥BK和长度为32个八位位组的下一次证书鉴别过程的鉴别标识种子,然后对该鉴别标识种子进行SHA-256运算,得到长度为32个八位位组的下一次证书鉴别过程的鉴别标识并保存。然后设定接入结果为成功,构造接入鉴别响应分组发送给ASUE。若接入鉴别请求分组中ASUE要求验证AE证书,则接入鉴别响应分组中标识字段的比特3(可选字段标识)置为1,表示有可选字段;否则置为0,表示没有可选字段;否则执行(b2)。
(b2)AP设定接入结果为不成功,AP的挑战NAE和AE密钥数据(AP的临时公钥)可设置任意值。构造接入鉴别响应分组发送给ASUE,然后解除与STAASUE的链路验证。若接入鉴别请求分组中ASUE要求验证AE证书,则接入鉴别响应分组中标识字段的比特3(可选字段标识)置为1,表示有可选字段;否则置为0,表示没有可选字段。
接入鉴别响应分组的格式如下表6:
| 标识FLAG | ASUE挑战 | AE挑战 | 接入结果 | ASUE密钥数据 | AE密钥数据 | STAAE的身份 | STAASUE的身份 | 复合证书验证结果 | AE的签名 |
| 1 | 32 | 32 | 1 | 可变 | 可变 | 可变 | 可变 | 可变 | 可变 |
表6
其中:
——标识字段长度为1个八位位组,比特0、1、3有意义。本字段比特0、比特1应与ASUE发送的鉴别接入请求分组中标识字段值相同。比特3(可选字段标识)由ASUE根据上下文环境设置。比特3(可选字段标识)为1表示分组中有可选字段,为0表示没有。
——ASUE挑战字段长度为32个八位位组。本字段值应与ASUE发送的鉴别接入请求分组中ASUE的挑战字段值相同。
——AE挑战字段长度为32个八位位组。字段值应与AP发送的证书鉴别请求分组中AE的挑战字段值相同。
——ASUE密钥数据,内容是ASUE生成的用于ECDH交换的临时公钥,本字段值应与ASUE发送的鉴别接入请求分组中ASUE密钥数据字段值相同。
——AE密钥数据,内容是AE生成的用于ECDH交换的临时公钥。
——STAAE的身份字段。
——STAASUE的身份字段。
——接入结果字段的长度为1个八位位组,具体意义如下:
0表示接入成功,对应证书验证结果值为0;
1表示无法验证证书,对应证书验证结果值为1;
2表示证书错误,对应证书验证结果除0和1之外的其他值;
3表示本地策略禁止。
其他值保留。
——复合的证书验证结果字段是可选的,若存在,则由证书鉴别响应分组中除ADDID外的其他各个字段组成,并且内容和它们相同。
——AE的签名字段,是对本分组中除本字段之外所有数据字段的签名。
无线终端收到AP发来的鉴别响应分组后,进行如下处理:
(a3)根据STAAE的身份和STAASUE的身份判断是否为对应当前接入鉴别请求分组的接入鉴别响应分组,若不是,则丢弃该接入鉴别响应分组;否则,执行(b3)操作。
(b3)检查标识字段的比特0、比特1与自己发送的接入鉴别请求分组中相应字段的值是否相同,若不同,则丢弃该分组;否则执行(c3)操作。
(c3)比较ASUE的挑战与自己在接入鉴别请求分组中发送的ASUE挑战是否相同、比较ASUE密钥数据与ASUE发送的鉴别接入请求分组中ASUE密钥数据是否相同,若不同,则丢弃该接入鉴别响应分组;否则,执行(d3)操作。
(d3)验证AE的签名是否正确,若不正确,则丢弃该接入鉴别响应分组;否则若该接入鉴别响应分组中的接入结果为不成功,则解除与AP的链路验证;否则执行(e3)操作。
(e3)ASUE在复合的证书鉴别结果中查找自身所信任的鉴别服务器的签名,验证ASU签名,若不正确,则丢弃该接入鉴别响应分组;否则检查AE证书的鉴别结果是否为有效,若无效,解除与AP的链路验证;若有效,则执行(f3)操作。
(f3)ASUE使用自己的临时私钥x和AE的临时公钥y·P进行ECDH计算,得到密钥种子(x·y·P)abscissa,对其进行扩展KD-HMAC-SHA256((x·y·P)abscissa,NAE||NASUE||“base keyexpansion for key and additional nonce”),生成长度为16个八位位组的基密钥BK和长度为32个八位位组的下一次证书鉴别过程的鉴别标识种子,然后对该鉴别标识种子进行SHA-256运算,得到长度为32个八位位组的下一次证书鉴别过程的鉴别标识。
在步骤414,无线接入设备和AAA/RADIUS之间进行计费过程。
图5示出本发明的一个实施例WAI分组没有分片的WLAN接入设备和AAA服务器之间进行接入认证的流程图。
如图5所示,在步骤502,WLAN接入设备向AAA服务器发送Access-Request报文,该报文中封装有证书鉴别请求分组WAI-Request(fragment=0,identifier=0,data),分组中包括数据data。证书鉴别请求分组中的标识字段设置为0(identifier=0),以表明该分组没有分片,分片序号字段设为0(fragment=0)。
在步骤504,AAA服务器向WLAN接入设备发送Access-Challenge报文,该报文中封装有证书鉴别响应分组WAI-Response(fragment=0,identifier=0,data),分组中包括数据data。证书鉴别响应分组中的标识字段设置为0(identifier=0),以表明该分组没有分片,分片序号字段设为0(fragment=0)。
在步骤506,WLAN接入设备向AAA服务器发送空Access-Request报文作为应答,即Access-Request报文中封装的WAI分组WAI-Request(fragment=0,identifier=0)只包含WAI报文头而没有数据。
在步骤508,如果证书验证通过,AAA服务器向WLAN接入设备发送Access-Accept报文。
如果证书验证没有通过,AAA服务器向WLAN接入设备发送Access-Reject报文。
从上面的流程可以看出,AAA服务器收到设备发送的WAI分组的分片时回应一个空报文作为应答,该应答只包含WAI报文头没有数据,报文头中分片序号使用已接收的分片的序号。设备收到AAA服务器发送的WAI分组的分片时也回应一个空报文作为应答,该应答只包含WAI报文头没有数据,报文头中分片序号使用已接收的分片的序号。证书交互在challenge过程中完成,认证回应报文中不携带WAI分组。
图6示出本发明的一个实施例WAI分组有分片的WLAN接入设备和AAA服务器之间进行接入认证的流程图。在该实施例中,假设WAI分组有3个分片。
如图6所示,在步骤602,WLAN接入设备向AAA服务器发送Access-Request报文,该报文中封装有证书鉴别请求分组的第一个分片WAI-Request(fragment=0,identifier=1,data),分片中包括数据data。证书鉴别请求分组中的标识字段设置为1(identifier=1),以表明该分组有分片,该分片序号字段为0(fragment=0)。
在步骤604,AAA服务器向接入设备发送一个空报文Access-Challenge/WAI-Response(fragment=0,identifier=0)作为应答,该应答只包含WAI报文头没有数据,报文头中分片序号使用已接收的分片的序号(fragment=0)。
在步骤606,WLAN接入设备向AAA服务器发送Access-Request报文,该报文中封装有证书鉴别请求分组的第二个分片WAI-Request(fragment=1,identifier=1,data),分片中包括数据data。证书鉴别请求分组中的标识字段设置为1(identifier=1),以表明该分组有分片,该分片序号字段为1(fragment=1)。
在步骤608,AAA服务器向接入设备发送一个空报文Access-Challenge/WAI-Response(fragment=1,identifier=0)作为应答,该应答只包含WAI报文头没有数据,报文头中分片序号使用已接收的分片的序号(fragment=1)。
在步骤610,WLAN接入设备向AAA服务器发送Access-Request报文,该报文中封装有证书鉴别请求分组的第三个分片WAI-Request(fragment=2,identifier=0,data),分片中包括数据data。证书鉴别请求分组中的标识字段设置为0(identifier=0),以表明该分组没有后续分片,该分片序号字段为2(fragment=2)。
在步骤612,AAA服务器向WLAN接入设备发送Access-Challenge报文,该报文中封装有证书鉴别响应分组的第一个分片WAI-Response(fragment=0,identifier=1,data),分组中包括数据data。证书鉴别响应分组中的标识字段设置为1(identifier=1),以表明该分组有分片,分片序号字段设为0(fragment=0)。
在步骤614,WLAN接入设备向AAA服务器发送空Access-Request报文作为应答,即Access-Request报文中封装的WAI分组WAI-Request(fragment=0,identifier=0)只包含WAI报文头而没有数据,报文头中分片序号使用接收的WAI分组的分片的序号(fragment=0)。
在步骤616,AAA服务器向WLAN接入设备发送Access-Challenge报文,该报文中封装有证书鉴别响应分组的第二个分片WAI-Response(fragment=1,identifier=1,data),分组中包括数据data。证书鉴别响应分组中的标识字段设置为1(identifier=1),以表明该分组有分片,分片序号字段设为1(fragment=1)。
在步骤618,WLAN接入设备向AAA服务器发送空Access-Request报文作为应答,即Access-Request报文中封装的WAI分组WAI-Request(fragment=1,identifier=0)只包含WAI报文头而没有数据,报文头中分片序号使用接收的WAI分组的分片的序号(fragment=1)。
在步骤620,AAA服务器向WLAN接入设备发送Access-Challenge报文,该报文中封装有证书鉴别响应分组的第三个分片WAI-Response(fragment=2,identifier=0,data),分组中包括数据data。证书鉴别响应分组中的标识字段设置为0(identifier=0),以表明该分组没有后续分片,分片序号字段设为2(fragment=2)。
在步骤622,WLAN接入设备向AAA服务器发送空Access-Request报文作为应答,即Access-Request报文中封装的WAI分组WAI-Request(fragment=2,identifier=0)只包含WAI报文头而没有数据,报文头中分片序号使用接收的WAI分组的分片的序号(fragment=2)。
在步骤624,如果证书验证通过,AAA服务器向WLAN接入设备发送Access-Accept报文。
图7示出本发明另一个实施例的WAI分组有分片的WLAN接入设备和AAA服务器之间进行接入认证的流程图。在该实施例中,假设WAI分组有3个分片。
其中,步骤702至步骤722的流程和图6中步骤602至步骤622的流程相同,为简洁起见,在此不再详细描述。图7流程中最后认证失败,因此AAA服务器向WLAN接入设备发送Access-Reject报文(步骤724)。
需要指出,虽然在图6和图7的实施例中WAI分组有3个分片,本领域的技术人员可以理解,本发明的方法同样适用于2个或者更多个分片的情况。
图8示出本发明的基于WAPI协议的接入认证***的一个实施例的结构图。如图8所示,该接入认证***包括无线接入设备81和RADIUS服务器82。其中,无线接入设备81,用于向无线终端发送鉴别激活分组,接收来自无线终端的接入鉴别请求分组;生成证书鉴别请求分组,将证书鉴别请求分组封装在RADIUS请求报文中,发送给RADIUS服务器82;接收并解析包含鉴别响应分组的RADIUS挑战报文,获得所述鉴别响应分组,向无线终端发送接入鉴别响应分组。RADIUS服务器82用于接收并解析包含证书鉴别请求分组的RADIUS请求报文,获得证书鉴别请求分组,通过ASU进行证书验证;根据验证结果构造鉴别响应分组,将鉴别响应分组封装在RADIUS挑战报文中,发送给无线接入设备81。
根据本发明的认证接入***的一个实施例,RADIUS服务器82包括报文解析模块821、鉴别服务单元822和报文封装模块823。其中,报文解析模块,用于接收并解析包含证书鉴别请求分组的RADIUS请求报文,获得证书鉴别请求分组,将证书鉴别请求分组发送给鉴别服务单元822;鉴别服务单元822用于接收证书鉴别请求分组,进行证书验证,根据验证结果构造鉴别响应分组,发送鉴别响应分组;报文封装模块823,用于接收来自鉴别服务单元822的鉴别响应分组,将鉴别响应分组封装在RADIUS挑战报文中,发送给无线接入设备。
根据本发明的认证接入***的一个实施例,当RADIUS服务器接收到无线接入设备发送的证书鉴别请求分组的分片时,回应一个空报文作为应答,该应答只包含WAI报文头,不包含数据,报文头中分片序号使用已接收证书鉴别请求分组的分片的序号。当无线接入设备收到RADIUS服务器发送的鉴别响应分组的分片时,无线接入设备回应一个空报文作为应答,应答只包含WAI报文头,不包含数据,报文头中分片序号使用已接收的鉴别响应分组的分片的序号。
根据本发明的认证接入***的一个实施例,无线接入设备接收包含鉴别响应分组的RADIUS挑战报文后,向RADIUS服务器发送请求报文;RADIUS服务器收到了无线接入设备发来的请求报文后,如果确定所述无线终端和所述无线接入设备的证书鉴定结果都为有效,则返回Access-Accept报文,并在报文中携带相关的授权、链路、Session等信息;否则返回Access-Reject报文。
本发明提供的WAPI的接入认证方法和***,只需要部署一个RADIUS服务器,既可以进行证书认证又可以对用户授权、计费,用户部署简单,实现了WAPI认证与RADIUS认证的较好结合;通过RADIUS协议认证,设备只需要透传WAI报文,不需要关注WAPI细节,设备处理简单。
本发明的描述是为了示例和描述起见而给出的,而并不是无遗漏的或者将本发明限于所公开的形式。很多修改和变化对于本领域的普通技术人员而言是显然的。选择和描述实施例是为了更好说明本发明的原理和实际应用,并且使本领域的普通技术人员能够理解本发明从而设计适于特定用途的带有各种修改的各种实施例。
Claims (9)
1.一种基于WAPI协议的接入认证方法,其特征在于,包括:
无线接入设备向无线终端发送鉴别激活分组,所述鉴别激活分组的数据字段包括标识字段、鉴别标识字段、本地ASU的身份字段、STAAE的证书字段和ECDH参数字段;
所述无线终端根据鉴别激活分组中的AP信任的ASU身份选择由ASU颁发的证书或本地策略选择证书,产生用于ECDH交换的临时私钥x、临时公钥x·P和无线终端挑战,生成接入鉴别请求分组,向所述无线接入设备发送接入鉴别请求分组;
所述无线接入设备生成证书鉴别请求分组,将所述证书鉴别请求分组封装在RADIUS请求报文中,发送给RADIUS服务器;
所述RADIUS服务器接收并解析所述包含证书鉴别请求分组的RADIUS请求报文获得所述证书鉴别请求分组,通过所述RADUIS服务器中的ASU进行证书验证;根据验证结果构造鉴别响应分组,将所述鉴别响应分组封装在RADIUS挑战报文中,发送给所述无线接入设备;
所述无线接入设备接收并解析所述包含鉴别响应分组的RADIUS挑战报文获得所述鉴别响应分组,向所述无线终端发送接入鉴别响应分组。
2.根据权利要求1所述的接入认证方法,其特征在于,将所述证书鉴别请求分组封装在RADIUS请求报文的Vendor-Specific属性中,将所述鉴别响应分组封装在RADIUS挑战报文的Vendor-Specific属性中。
3.根据权利要求1或2所述的接入认证方法,其特征在于,当所述RADIUS服务器接收到所述无线接入设备发送的证书鉴别请求分组的分片时,所述RADIUS服务器回应一个空报文作为应答,所述应答只包含WAI报文头,不包含数据,报文头中分片序号使用已接收证书鉴别请求分组的分片的序号;
当所述无线接入设备收到所述RADIUS服务器发送的鉴别响应分组的分片时,所述无线接入设备回应一个空报文作为应答,所述应答只包含WAI报文头,不包含数据,报文头中分片序号使用已接收的鉴别响应分组的分片的序号。
4.根据权利要求1或2所述的接入认证方法,其特征在于,所述无线接入设备接收所述包含鉴别响应分组的RADIUS挑战报文后,向所述RADIUS服务器发送请求报文;
所述RADIUS服务器收到了所述无线接入设备发来的请求报文后,如果确定所述无线终端和所述无线接入设备的证书鉴定结果都为有效,则返回Access-Accept报文,并在报文中携带相关的授权、链路、Session等信息;否则返回Access-Reject报文。
5.一种基于WAPI协议的接入认证***,其特征在于,包括:
无线接入设备,用于向无线终端发送鉴别激活分组,所述鉴别激活分组的数据字段包括标识字段、鉴别标识字段、本地ASU的身份字段、STAAE的证书字段和ECDH参数字段,接收来自所述无线终端的接入鉴别请求分组,所述接入鉴别请求分组由所述无线终端根据鉴别激活分组中的AP信任的ASU身份选择由ASU颁发的证书或本地策略选择证书、产生用于ECDH交换的临时私钥x、临时公钥x·P和无线终端挑战而生成;生成证书鉴别请求分组,将所述证书鉴别请求分组封装在RADIUS请求报文中,发送给RADIUS服务器;接收并解析包含鉴别响应分组的RADIUS挑战报文获得所述鉴别响应分组,向所述无线终端发送接入鉴别响应分组;
所述RADIUS服务器,用于接收并解析所述包含证书鉴别请求分组的RADIUS请求报文,获得所述证书鉴别请求分组,通过ASU进行证书验证;根据验证结果构造鉴别响应分组,将所述鉴别响应分组封装在RADIUS挑战报文中,发送给所述无线接入设备。
6.根据权利要求5所述的基于WAPI协议的接入认证***,其特征在于,所述无线接入设备将所述证书鉴别请求分组封装在RADIUS请求报文的Vendor-Specific属性中;所述RADIUS服务器将所述鉴别响应分组封装在RADIUS挑战报文的Vendor-Specific属性中。
7.根据权利要求5或6所述的基于WAPI协议的接入认证***,其特征在于,当所述RADIUS服务器接收到所述无线接入设备发送的证书鉴别请求分组的分片时,所述RADIUS服务器回应一个空报文作为应答,所述应答只包含WAI报文头,不包含数据,报文头中分片序号使用已接收证书鉴别请求分组的分片的序号;
当所述无线接入设备收到所述RADIUS服务器发送的鉴别响应分组的分片时,所述无线接入设备回应一个空报文作为应答,所述应答只包含WAI报文头,不包含数据,报文头中分片序号使用已接收的鉴别响应分组的分片的序号。
8.根据权利要求5或6所述的基于WAPI协议的接入认证***,其特征在于,所述无线接入设备接收所述包含鉴别响应分组的RADIUS挑战报文后,向所述RADIUS服务器发送请求报文;
所述RADIUS服务器收到了所述无线接入设备发来的请求报文后,如果确定所述无线终端和所述无线接入设备的证书鉴定结果都为有效,则返回Access-Accept报文,并在报文中携带相关的授权、链路、Session等信息;否则返回Access-Reject报文。
9.一种RADIUS服务器,其特征在于,包括:
报文解析模块,用于接收并解析包含证书鉴别请求分组的RADIUS请求报文,获得所述证书鉴别请求分组,将所述证书鉴别请求分组发送给ASU;
所述ASU,用于接收所述证书鉴别请求分组,进行证书验证,根据验证结果构造鉴别响应分组,发送所述鉴别响应分组;
报文封装模块,用于接收来自所述ASU的鉴别响应分组,将所述鉴别响应分组封装在RADIUS挑战报文中,发送给无线接入设备。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200910180748.3A CN102487506B (zh) | 2009-10-21 | 2009-10-21 | 一种基于wapi协议的接入认证方法、***和服务器 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200910180748.3A CN102487506B (zh) | 2009-10-21 | 2009-10-21 | 一种基于wapi协议的接入认证方法、***和服务器 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102487506A CN102487506A (zh) | 2012-06-06 |
| CN102487506B true CN102487506B (zh) | 2014-12-17 |
Family
ID=46152950
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN200910180748.3A Active CN102487506B (zh) | 2009-10-21 | 2009-10-21 | 一种基于wapi协议的接入认证方法、***和服务器 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102487506B (zh) |
Families Citing this family (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107360123B (zh) * | 2016-05-10 | 2019-11-12 | 普天信息技术有限公司 | 基于wifi的双向认证方法及***、无线交换机、终端 |
| CN108429726B (zh) * | 2017-07-12 | 2023-09-26 | 深圳市创想网络***有限公司 | 一种安全wifi证书加密验证接入方法及其*** |
| CN107786974A (zh) * | 2017-10-31 | 2018-03-09 | 深圳市鑫宇鹏电子科技有限公司 | 一种局域网内手机app与设备安全通信的方法及*** |
| CN111225376A (zh) * | 2018-11-26 | 2020-06-02 | 中国电信股份有限公司 | 认证方法、***、无线接入点ap和计算机可读存储介质 |
| CN110572804B (zh) * | 2019-08-27 | 2022-04-22 | 暨南大学 | 蓝牙通信认证请求、接收及通信方法、移动端、设备端 |
| CN111866864B (zh) * | 2020-07-17 | 2022-11-11 | 上海市共进通信技术有限公司 | 基于无线ap实现针对云平台证书的加密存储及安全使用管理的方法、装置及存储介质 |
| CN111669756B (zh) * | 2020-07-24 | 2023-07-04 | 广西电网有限责任公司 | 一种wapi网络中传递接入网络信息的***及方法 |
| CN116723509A (zh) * | 2023-06-27 | 2023-09-08 | 深圳市智开科技有限公司 | 一种电力场景的主从证书鉴别方法、设备、鉴别器及*** |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP4796754B2 (ja) * | 2004-06-15 | 2011-10-19 | 日本電気株式会社 | ネットワーク接続システムおよびネットワーク接続方法 |
| CN1805441B (zh) * | 2005-11-23 | 2011-01-05 | 西安电子科技大学 | Wlan网络集成认证体系结构及实现结构层的方法 |
| CN101742502B (zh) * | 2008-11-25 | 2012-10-10 | 杭州华三通信技术有限公司 | 一种实现wapi认证的方法、***及设备 |
-
2009
- 2009-10-21 CN CN200910180748.3A patent/CN102487506B/zh active Active
Also Published As
| Publication number | Publication date |
|---|---|
| CN102487506A (zh) | 2012-06-06 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102487506B (zh) | 一种基于wapi协议的接入认证方法、***和服务器 | |
| KR101485230B1 (ko) | 안전한 멀티 uim 인증 및 키 교환 | |
| CN101931955B (zh) | 认证方法、装置及*** | |
| CN108848112B (zh) | 用户设备ue的接入方法、设备及*** | |
| CN101194529B (zh) | 用于协商至少一个第一通信用户和第二通信用户之间的安全密钥以保护通信连接的安全的方法 | |
| US7707412B2 (en) | Linked authentication protocols | |
| CN103430478B (zh) | 用于在无线通信***中加密短数据的方法和设备 | |
| CN101616410A (zh) | 一种蜂窝移动通信网络的接入方法和*** | |
| JP6122157B2 (ja) | 通信装置およびプログラム | |
| CN111970699B (zh) | 一种基于ipk的终端wifi登录认证方法以及*** | |
| CN102318386A (zh) | 向网络的基于服务的认证 | |
| CN105007163B (zh) | 预共享密钥的发送、获取方法及发送、获取装置 | |
| WO2007102702A2 (en) | Fast re-authentication method in umts | |
| CN100334850C (zh) | 一种无线局域网接入认证的实现方法 | |
| CN115567931A (zh) | 一种密钥生成方法及装置 | |
| US20210165885A1 (en) | Extended Authentication Method And Apparatus For Generic Bootstrapping Architecture, And Storage Medium | |
| CN101192927B (zh) | 基于身份保密的授权与多重认证方法 | |
| CN101132649A (zh) | 一种网络接入鉴权方法及其usim卡 | |
| CN102056168A (zh) | 接入方法及装置 | |
| CN101742502B (zh) | 一种实现wapi认证的方法、***及设备 | |
| CN101925058A (zh) | 一种身份认证的方法、***和鉴别器实体 | |
| CN110226319A (zh) | 用于紧急接入期间的参数交换的方法和设备 | |
| CN101754196A (zh) | 一种实现wapi认证的方法及*** | |
| KR100330418B1 (ko) | 이동통신 환경에서의 가입자 인증 방법 | |
| CN102014385A (zh) | 移动终端的认证方法及移动终端 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |