CN117544953A

CN117544953A - 一种wapi接入鉴别方法、***、as及介质

Info

Publication number: CN117544953A
Application number: CN202210916476.4A
Authority: CN
Inventors: 高波
Original assignee: China Telecom Corp Ltd
Current assignee: China Telecom Corp Ltd
Priority date: 2022-08-01
Filing date: 2022-08-01
Publication date: 2024-02-09

Abstract

本公开实施例提供了一种WAPI接入鉴别方法、***、AS及介质，应用于WAPI终端对应的接入地AS，WAPI终端与WLAN接入设备连接，WLAN接入设备与接入地AS连接，该方法包括：接收WLAN接入设备发送的证书鉴别请求分组；利用WLAN接入设备的证书，对WLAN接入设备进行鉴别，并判断接入地AS是否为WAPI终端的归属地AS；若WLAN接入设备成功通过鉴别，且接入地AS不是WAPI终端的归属地AS，则从第一可信AS列表中获取WAPI终端对应的归属地AS的AS信息；若从第一可信AS列表中获取到归属地AS的AS信息，根据归属地AS的AS信息，向归属地AS发送漫游证书鉴别请求分组，以使归属地AS利用WAPI终端的证书，对WAPI终端进行鉴别。采用本公开实施例提供的技术方案，能够实现对支持WAPI协议的漫游STA的身份鉴别。

Description

一种WAPI接入鉴别方法、***、AS及介质

技术领域

本公开涉及无线通信和终端技术领域，特别是涉及一种WAPI接入鉴别方法、***、AS及介质。

背景技术

无线局域网鉴别和保密基础结构(WLAN Authentication and PrivacyInfrastructure，WAPI)协议在站点(Station，STA)的安全接入方面定义的很完善，但对漫游STA的身份鉴别没有提出解决方案。

发明内容

本公开实施例的目的在于提供一种WAPI接入鉴别方法、***、鉴别服务器(Authentication Server，AS)及介质，以实现对支持WAPI协议的漫游STA的身份鉴别。具体技术方案如下：

第一方面，本公开实施例提供了一种WAPI接入鉴别方法，应用于WAPI终端对应的接入地AS，所述WAPI终端与无线局域网(Wireless Local Area Networks WLAN)接入设备连接，所述WLAN接入设备与所述接入地AS连接，所述方法包括：

接收所述WLAN接入设备发送的证书鉴别请求分组，所述证书鉴别请求分组包括所述WLAN接入设备的证书和所述WAPI终端的证书；

利用所述WLAN接入设备的证书，对所述WLAN接入设备进行鉴别，并判断所述接入地AS是否为所述WAPI终端的归属地AS；

若所述WLAN接入设备成功通过鉴别，且所述接入地AS不是所述WAPI终端的归属地AS，则从第一可信AS列表中获取所述WAPI终端对应的归属地AS的AS信息，所述第一可信AS列表中存储有多个区域AS的AS信息；

若从所述第一可信AS列表中获取到所述归属地AS的AS信息，根据所述归属地AS的AS信息，向所述归属地AS发送漫游证书鉴别请求分组，所述漫游证书鉴别请求分组包括所述WAPI终端的证书，以使所述归属地AS利用所述WAPI终端的证书，对所述WAPI终端进行鉴别。

第二方面，本公开实施例提供了一种WAPI接入鉴别方法，应用于WAPI终端对应的归属地AS，所述WAPI终端与WLAN接入设备连接，所述WLAN接入设备与接入地AS连接，所述方法包括：

接收接入地AS发送的漫游证书鉴别请求分组，所述漫游证书鉴别请求分组包括所述WAPI终端的证书，所述漫游证书鉴别请求分组为所述接入地AS根据从第一可信AS列表中获取到的所述归属地AS的AS信息所发送的分组，所述第一可信AS列表中存储有多个区域AS的AS信息；

利用所述WAPI终端的证书，对所述WAPI终端进行鉴别。

第三方面，本公开实施例还提供了一种WAPI接入鉴别***，包括WAPI终端、所述WAPI终端连接的WLAN接入设备、所述WLAN接入设备连接的接入地AS、所述WAPI终端对应的归属地AS、以及所述接入地AS和所述归属地AS连接的根AS；

所述WAPI终端，被配置为向所述WLAN接入设备发送接入鉴别请求分组，所述接入鉴别请求分组包括所述WAPI终端的证书；

所述WLAN接入设备，被配置为在接收到所述接入鉴别请求分组后，向所述接入地AS发送证书鉴别请求分组，所述证书鉴别请求分组包括所述WAPI终端的证书和所述WLAN接入设备的证书；

所述接入地AS，被配置为执行上述应用于接入地AS的WAPI接入鉴别方法步骤；

所述归属地AS，被配置为执行上述应用于归属地AS的WAPI接入鉴别方法步骤。

第四方面，本公开实施例还提供了一种接入地AS，所述接入地AS对应的WAPI终端与WLAN接入设备连接，所述WLAN接入设备与所述接入地AS连接，包括：

接收单元，被配置为接收所述WLAN接入设备发送的证书鉴别请求分组，所述证书鉴别请求分组包括所述WLAN接入设备的证书和所述WAPI终端的证书；

鉴别单元，被配置为利用所述WLAN接入设备的证书，对所述WLAN接入设备进行鉴别，并判断所述接入地AS是否为所述WAPI终端的归属地AS；

获取单元，被配置为若所述WLAN接入设备成功通过鉴别，且所述接入地AS不是所述WAPI终端的归属地AS，则从第一可信AS列表中获取所述WAPI终端对应的归属地AS的AS信息，所述第一可信AS列表中存储有多个区域AS的AS信息；

发送单元，被配置为若从所述第一可信AS列表中获取到所述归属地AS的AS信息，根据所述归属地AS的AS信息，向所述归属地AS发送漫游证书鉴别请求分组，所述漫游证书鉴别请求分组包括所述WAPI终端的证书，以使所述归属地AS利用所述WAPI终端的证书，对所述WAPI终端进行鉴别。

第五方面，本公开实施例还提供了一种归属地AS，所述归属地AS对应的WAPI终端与WLAN接入设备连接，所述WLAN接入设备与接入地AS连接，包括：

接收单元，被配置为接收接入地AS发送的漫游证书鉴别请求分组，所述漫游证书鉴别请求分组包括所述WAPI终端的证书，所述漫游证书鉴别请求分组为所述接入地AS根据从第一可信AS列表中获取到的所述归属地AS的AS信息所发送的分组，所述第一可信AS列表中存储有多个区域AS的AS信息；

鉴别单元，被配置为利用所述WAPI终端的证书，对所述WAPI终端进行鉴别。

第六方面，本公开实施例还提供了一种AS，包括处理器、通信接口、存储器和通信总线，其中，所述处理器、所述通信接口和所述存储器通过所述通信总线完成相互间的通信；

所述存储器，用于存放计算机程序；

所述处理器，用于执行所述存储器上所存放的程序时，实现上述应用于接入地AS的WAPI接入鉴别方法步骤，或实现上述应用于归属地AS的WAPI接入鉴别方法步骤。

第七方面，本公开实施例还提供了一种计算机可读存储介质，所述计算机可读存储介质内存储有计算机程序，所述计算机程序被处理器执行时实现上述应用于接入地AS的WAPI接入鉴别方法步骤，或实现上述应用于归属地AS的WAPI接入鉴别方法步骤。

应当理解，本部分所描述的内容并非旨在标识本公开的实施例的关键或重要特征，也不用于限制本公开的范围。本公开的其它特征将通过以下的说明书而变得容易理解。

附图说明

为了更清楚地说明本公开实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本公开的一些实施例，对于本领域普通技术人员来讲，还可以根据这些附图获得其他的实施例。

图1为相关技术中的组网结构的一种示意图；

图2为本公开实施例提供的接入鉴别***的一种结构示意图；

图3为本公开实施例提供的证书三级架构的一种示意图；

图4为本公开实施例提供的WAPI接入鉴别方法的一种信令示意图；

图5为本公开实施例提供的WAPI接入鉴别方法的第二种信令示意图；

图6为本公开实施例提供的WAPI接入鉴别方法的第三种信令示意图；

图7为本公开实施例提供的WAPI接入鉴别流程的一种示意图；

图8为本公开实施例提供的WAPI接入鉴别方法的第一种流程示意图；

图9为本公开实施例提供的WAPI接入鉴别方法的第二种流程示意图；

图10为本公开实施例提供的接入地AS的一种结构示意图；

图11为本公开实施例提供的归属地AS的一种结构示意图；

图12为本公开实施例提供的AS的一种结构示意图。

具体实施方式

下面将结合本公开实施例中的附图，对本公开实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本公开一部分实施例，而不是全部的实施例。基于本公开中的实施例，本领域普通技术人员基于本申请所获得的所有其他实施例，都属于本公开保护的范围。

为便于理解，下面对本公开实施例中出现的词语进行解释说明。

鉴别：一种服务，用于建立站点(Station，STA)的身份授权，以关联至STA集内的其他成员。

区域AS：在跨AS区域的WLAN组网中，每个区域都部署有AS，这些AS可以称为区域AS，一个区域AS负责本区域的WLAN接入设备和WAPI终端的鉴别。各区域AS的证书由根AS签名颁发。

开户地AS：区域AS的区域范围内的WLAN接入设备的证书和WAPI终端的证书由该区域AS签名颁发，该区域AS可以称为其区域范围内的WLAN接入设备和WAPI终端的开户地AS。

漫游：WAPI终端从开户地AS的覆盖范围移动至其他区域AS的覆盖范围内使用WAPI业务。本公开实施例中，当WAPI终端从开户地AS的覆盖范围漫游至其他区域AS的覆盖范围时，开户地AS为WAPI终端的归属地AS，其他区域AS为WAPI终端的接入地AS。

数字证书：又称证书，是由证书鉴别***签名的包含公钥、公钥拥有者信息、签发者信、有效期以及扩展信息的数字文件。

数字签名：又称签名，附加在数据上的签名数据，或是对数据所做的密码变换，用于确认数据来源及其完整性，防止被他人进行伪造。

无线局域网鉴别和保密基础结构(WLAN Authentication and PrivacyInfrastructure，WAPI)协议是一种实现无线局域网安全的协议。WAPI协议是无线局域网鉴别基础结构(WLAN Authentication Infrastructure，WAI)和无线局域网保密基础结构(WLAN Privacy Infrastructure，WPI)两个协议的统称。其中，WAI协议解决无线局域网中的身份鉴别问题，WPI协议解决无线局域网中信息的保密传输问题。WAI协议是WAPI协议中最重要和最基础的部分，定义了完整的身份鉴别和鉴别过程，只有实现了身份的鉴别才通信双方可以进行数据的传输。

WAI协议使用椭圆曲线密码(Elliptic Curve Cryptography，ECC)技术实现身份的双向鉴别，即WAPI终端对WLAN接入设备的鉴别，以及WLAN接入设备对WAPI终端的鉴别，只有这两个鉴别都通过了，即WAPI终端确认WLAN接入设备为合法设备，以及WLAN接入设备确认WAPI终端为合法STA，WLAN接入设备与WAPI终端才可以进行通信。

目前，WAPI接入鉴别***可以包括WAPI鉴别服务器、WLAN接入设备和WAPI终端。其中，WAPI鉴别服务器可以采用单独的鉴别服务器(Authentication Server，AS)来实现；WLAN接入设备包括两种设备形态：1)胖接入点(Fat Access Point，Fat AP)；2)接入控制器(Access Controller，AC)+瘦接入点(Fit AP)；WAPI终端可以采用STA实现。

以WLAN接入设备为AP，WAPI终端为STA进行举例说明，WAPI接入鉴别***的组网结构如图1所示，在图1所示组网中，STA和AP在AS控制下完成相互身份鉴别，即在AS控制下完成WAPI接入鉴别过程，具体可以包括：

步骤1，STA关联至AP。

STA与AP进行802.11链路协商。在链路协商过程中，STA主动发送探测请求消息或侦听AP发送的信标(Beacon)帧，以搜索可用的网络；支持WAPI安全机制的AP将会回应或发送携带有WAPI信息的探测应答消息或Beacon帧；在搜索到可用的网络后，STA继续发起链路鉴别交互和关联交互，关联至AP。其中，WAPI信息可以包括但不限于支持WAPI的服务集标识(Service Set Identifier，SSID)、WAPI能力集等。

步骤2，AP激活身份鉴别流程。

STA成功关联至AP后，AP在判定STA为WAPI终端时，向STA发送鉴别激活分组，触发STA发起WAPI接入鉴别过程。

步骤3，执行身份鉴别，即执行WAPI接入鉴别。

STA向AP发送接入鉴别请求分组，AP向AS发起证书鉴别请求分组，证书鉴别请求分组包括STA的证书和AP的证书。

AS基于STA的证书和AP的证书，对STA和AP进行身份鉴别，并向AP发送证书鉴别响应分组，证书鉴别响应分组包括STA的身份鉴别结果、AP的身份鉴别结果和AS的签名。

AP在接收到证书鉴别响应分组之后，如果检查到AS的签名非法，即证书鉴别响应分组被篡改，或者STA的身份鉴别结果指示STA身份非法，则中断与STA的无线连接；如果检查到AS的签名合法，或者STA的身份鉴别结果指示STA身份合法，则向STA发送接入鉴别响应分组，接入鉴别响应分组包括STA的身份鉴别结果、AP的身份鉴别结果和AP的签名。

STA在接收到接入鉴别响应分组之后，如果检查到AP的签名非法，即接入鉴别响应分组被篡改，或者AP的身份鉴别结果指示AP身份非法，则中断与AP的无线连接；如果检查到AP的签名合法，或者AP的身份鉴别结果指示AP身份合法，则执行步骤4，进行密钥协商。

步骤4，执行密钥协商。

如果经AS鉴别成功，即步骤3中WAPI接入鉴别成功，具体为：AP检查到AS的签名合法且STA的身份鉴别结果指示STA身份合法，STA检查到AP的签名合法且AP的身份鉴别结果指示AP身份合法，则AP发起与STA的密钥协商交互过程，协商出用于加密单播报文的单播密钥，以及协商出用于加密组播报文的组播密钥。整个密钥协商过程不再需要AS参与。

步骤5，AP对STA进行接入控制。

当步骤3中WAPI接入鉴别成功，且步骤4中密钥协商成功后，AP认为STA完成鉴别，授权STA使用WAPI网络。

在执行步骤1和步骤5之后，完成了WAI协议规定的身份鉴别和WPI协议规定的密钥协商，保证了网络的安全性。

WAPI协议在STA的安全接入方面定义的很完善，但对漫游STA的身份鉴别没有提出解决方案。

为实现对漫游STA的身份鉴别，本公开实施例提供了一种WAPI接入鉴别***，如图2所示，包括一个根AS、多个区域AS、WLAN接入设备和WAPI终端。其中，WLAN接入设备包括图2所示的Fat AP和AC+Fit AP，WAPI终端为支持WAPI协议的终端，如手机或平板电脑等终端，WAPI终端可以采用如图2所示的STA实现。

本公开实施例中，根据设备的类型和所处的位置，证书被分为三级，包括一级证书、二级证书和三级证书。其中，根AS的证书为一级证书，即根证书，根AS连接的各个区域AS的证书为二级证书，WLAN接入设备的证书和WAPI终端的证书为三级证书。例如，WLAN接入设备可以为AP或AC，WAPI终端为STA，上述WAPI接入鉴别***的证书架构，如图3所示。

上述WAPI终端的证书由WAPI终端的开户地AS签名颁发，WLAN接入设备的证书由WLAN接入设备的开户地AS签名颁发，WAPI终端的开户地AS的证书和WLAN接入设备的开户地AS的证书由根AS签名颁发。这样可以确保不同实体具有相同的根证书。

本公开实施例中，当WLAN接入设备为AC+Fit AP时，WLAN接入设备的证书可以安装在AC上，也可以安装在Fit AP上；若安装在AC上，则安装在AC上的一张WLAN接入设备的证书对应该AC所管理的多个Fit AP。

基于上述三种级别的证书架构，WLAN接入设备上可以安装三张证书：WLAN接入设备自身的证书、WLAN接入设备的开户地AS的证书和根AS的证书。WAPI终端上可以安装三张证书：WAPI终端自身证书、WAPI终端的开户地AS的证书和根AS证书。根AS上可以安装：根AS自身的证书和根AS连接的各个区域AS的证书。区域AS上可以安装：区域AS自身的证书和根AS证书。WLAN接入设备上安装有WLAN接入设备自身的证书、WLAN接入设备的开户地AS的证书和根AS的证书，因此，WLAN接入设备可以验证WLAN接入设备的开户地AS的签名，也就是下文中所述的接入地AS的签名，以及根AS的签名。WAPI终端有安装WAPI终端自身证书、WAPI终端的开户地AS的证书和根AS证书，因此，WAPI终端可以验证WAPI终端的开户地AS的签名，也就是下文中所述的归属地AS的签名，以及根AS的签名。区域AS上安装有区域AS自身的证书和根AS证书，并本申请实施例中，区域AS上还安装有包括可信AS的AS信息的可信AS列表，AS信息包括区域AS的名称、互联网协议(Internet Protocol，IP)地址、媒体访问控制(MediaAccess Control，MAC)地址、证书等信息，因此，区域AS可以验证可信AS的签名、以及根AS的签名。

基于上述WAPI接入鉴别***，本公开实施例提供了一种WAPI接入鉴别方法，如图4所示，包括如下步骤：

步骤S41，WAPI终端向WLAN接入设备发送接入鉴别请求分组，接入鉴别请求分组包括WAPI终端的证书。

本公开实施例中，WAPI终端关联至WLAN接入设备后，WLAN接入设备可以向WAPI终端发送鉴别激活分组。WAPI终端接收到鉴别激活分组后，向WLAN接入设备发送接入鉴别请求分组，发起对WAPI终端和WLAN接入设备的鉴别。

WAPI终端关联至WLAN接入设备的过程可以为：WAPI终端与WLAN接入设备进行802.11链路协商；在802.11链路协商过程中，WAPI终端主动发送探测请求消息或侦听WLAN接入设备发送的Beacon帧，以搜索可用的网络；支持WAPI安全机制的WLAN接入设备将会回应或发送携带有WAPI信息的探测应答消息或Beacon帧；在搜索到可用的网络后，WAPI终端继续发起链路鉴别交互和关联交互，关联至WLAN接入设备。其中，WAPI信息可以包括但不限于支持WAPI的SSID、WAPI能力集等。

步骤S42，WLAN接入设备向接入地AS发送证书鉴别请求分组，证书鉴别请求分组包括WAPI终端的证书和WLAN接入设备的证书。

本公开实施中，在接收到接入鉴别请求分组后，WLAN接入设备可以在接入鉴别请求分组添加WLAN接入设备的证书等信息，并将添加信息后的作为证书鉴别请求分组，进而将证书鉴别请求分组发送给接入地AS。

在接收到接入鉴别请求分组后，WLAN接入设备也可以生成一个空的证书鉴别请求分组，从接入鉴别请求分组中获取WAPI终端的证书，并将WAPI终端的证书以及自身的证书添加在证书鉴别请求分组中，进而将证书鉴别请求分组发送给接入地AS。

本公开实施例中，接入鉴别请求分组除包括WAPI终端的证书和WLAN接入设备的证书外，还可以包括WAPI终端的签名和其他信息，如发送接入鉴别请求分组的时间戳等，证书鉴别请求分组还可以包括WAPI终端的签名、WLAN接入设备的签名和其他信息，如发送证书鉴别请求分组的时间戳等，对此不进行限定。这里，证书鉴别请求分组包括的WAPI终端的签名和WAPI终端的证书来源于接入鉴别请求分组。

步骤S43，接入地AS利用WLAN接入设备的证书，对WLAN接入设备进行鉴别，并判断接入地AS是否为WAPI终端的归属地AS。若WLAN接入设备成功通过鉴别，且接入地AS不是WAPI终端的归属地AS，则执行步骤S44。

本公开实施例中，接入地AS为WLAN接入设备的开户地AS。接入地AS在接收到证书鉴别请求分组后，从证书鉴别请求分组中获取WLAN接入设备的证书，利用获取的WLAN接入设备的证书，对WLAN接入设备进行鉴别，并判断接入地AS是否为WAPI终端的归属地AS。

若WLAN接入设备成功通过鉴别，则说明WLAN接入设备为合法设备，接入地AS获得指示WLAN接入设备成功通过鉴别的鉴别结果。若WLAN接入设备未通过鉴别，则说明WLAN接入设备为非法设备，接入地AS获得指示WLAN接入设备未通过鉴别的鉴别结果。若判定接入地AS为WAPI终端的归属地AS，则说明接入地AS为WAPI终端的开户地AS；若判定接入地AS不是WAPI终端的归属地AS，则说明接入地AS不是WAPI终端的开户地AS，WAPI终端为漫游终端。

本公开实施例中，接入地AS利用WLAN接入设备的证书，对WLAN接入设备进行鉴别的步骤，可以为：

接入地AS基于WLAN接入设备的证书中的有效期、签发者等信息，验证WLAN接入设备的证书是否过期、WLAN接入设备的证书的签发者是否正确等。当验证WLAN接入设备的证书未过期，且WLAN接入设备的证书的签发者正确等，则说明WLAN接入设备的证书满足合法条件，WLAN接入设备合法，即WLAN接入设备成功通过鉴别。否则，说明WLAN接入设备的证书不满足合法条件，WLAN接入设备非法，即WLAN接入设备未通过鉴别。

在WLAN接入设备成功通过鉴别，以及判定接入地AS不是WAPI终端的归属地AS的情况下，接入地AS执行步骤S44。

在判定接入地AS为WAPI终端的归属地AS的情况下，接入地AS利用WAPI终端的证书，对WAPI终端进行鉴别。若WAPI终端成功通过鉴别，则说明WAPI终端为合法设备，接入地AS获得指示WAPI终端成功通过鉴别的鉴别结果。若WAPI终端未通过鉴别，则说明WAPI终端为非法设备，接入地AS获得指示WAPI终端未通过鉴别的鉴别结果。本公开实施例提供的技术方案中，在接入地AS是WAPI终端的归属地AS的情况下，由接入地AS直接完成对WAPI终端的鉴别，而无需将漫游鉴别信息转发到根AS，再通过根AS识别并转发到WAPI终端的归属地AS，以对WAPI终端进行鉴别。这降低了对根AS的设备性能要求，并且可以解决因根AS出现故障、或接入地AS至根AS的网络故障，导致WAPI接入鉴别不通过的问题。

本公开实施例中，若接入地AS获取到指示WLAN接入设备未通过鉴别的鉴别结果，和/或指示WAPI终端未通过鉴别的鉴别结果，则接入地AS可以通知WLAN接入设备拒绝与WAPI终端关联，例如，中断WAPI终端与该WLAN接入设备的无线连接。

在一些实施例中，证书鉴别请求分组还可以包括WLAN接入设备的签名。这种情况下，接入地AS在接收到证书鉴别请求分组后，可以从证书鉴别请求分组中获取WLAN接入设备的签名，并验证WLAN接入设备的签名是否正确。若验证WLAN接入设备的签名正确，则接入地AS执行步骤S43；若验证WLAN接入设备的签名错误，则说明证书鉴别请求分组被篡改，接入地AS可以丢弃证书鉴别请求分组，并通知WLAN接入设备拒绝与WAPI终端关联。

本公开实施例中，在证书鉴别请求分组携带WLAN接入设备的签名的情况下，接入地AS在验证WLAN接入设备的签名正确后，再执行步骤S43，提高了WAPI接入鉴别的安全性。

本公开实施例中，证书鉴别请求分组还可以包括WAPI终端的签名。在证书鉴别请求分组包括WAPI终端的签名的情况下，若判定接入地AS自身为WAPI终端的归属地AS，则接入地AS可以先验证WAPI终端的签名是否正确；在验证WAPI终端的签名正确的情况下，再利用WAPI终端的证书，对WAPI终端进行鉴别；若WAPI终端的签名错误，则说明证书鉴别请求分组被篡改，接入地AS可以丢弃证书鉴别请求分组，并通知WLAN接入设备拒绝与WAPI终端关联。这有利于提高WAPI接入鉴别的安全性。

步骤S44，接入地AS从第一可信AS列表中获取WAPI终端对应的归属地AS的AS信息，第一可信AS列表中存储有多个区域AS的AS信息。若从第一可信AS列表中获取到归属地AS的AS信息，则执行步骤S45。

本公开实施例中，接入地A维护了一张可信AS列表，为便于区分和理解，以下将接入地AS维护的可信AS列表称为第一可信AS列表。第一可信AS列表中存储有可信的多个区域AS的AS信息。AS信息可以包括但不限于：区域AS的名称、互联网协议(Internet Protocol，IP)地址、媒体访问控制(Media Access Control，MAC)地址、证书等信息。

在WLAN接入设备成功通过鉴别，以及接入地AS不是WAPI终端的归属地AS的情况下，接入地AS从第一可信AS列表中获取WAPI终端对应的归属地AS的AS信息。若从第一可信AS列表中获取到归属地AS的AS信息，则说明归属地AS为可信的区域AS，接入地AS执行步骤S45。

步骤S45，接入地AS根据归属地AS的AS信息，向归属地AS发送漫游证书鉴别请求分组，漫游证书鉴别请求分组包括WAPI终端的证书。

归属地AS的AS信息包括有IP地址、MAC地址等路由地址。在从第一可信AS列表中获取到归属地AS的AS信息的情况下，接入地AS根据归属地AS的AS信息中的路由地址，向归属地AS发送漫游证书鉴别请求分组。

本公开实施例中，接入地AS可以将证书鉴别请求分组作为漫游证书鉴别请求分组，也可以生成一个空的漫游证书鉴别请求分组，并在该漫游证书鉴别请求分组中添加WAPI终端的证书等信息。

本公开实施例中，漫游证书鉴别请求分组除包括WAPI终端的证书外，还可以包括WAPI终端的签名、接入地AS的证书、接入地AS的签名、WLAN接入设备的证书、WLAN接入设备的签名和WLAN接入设备的鉴别结果中的一种或多种，其中，漫游证书鉴别请求分组包括的WAPI终端的证书、WAPI终端的签名、WLAN接入设备的证书和WLAN接入设备的签名来源于证书鉴别请求分组。

步骤S46，归属地AS利用WAPI终端的证书，对WAPI终端进行鉴别。

归属地AS接收到漫游证书鉴别请求后，从漫游证书鉴别请求中获取WAPI终端的证书，并利用WAPI终端的证书，对WAPI终端进行鉴别。

本公开实施例中，归属地AS利用WAPI终端的证书，对WAPI终端进行鉴别的步骤，可以为：

归属地AS基于WAPI终端的证书中的有效期、签发者等信息，验证WAPI终端的证书是否过期、WAPI终端的证书的签发者是否正确等。当验证WAPI终端的证书未过期，且WAPI终端的证书的签发者正确等，则说明WAPI终端的证书满足合法条件，WAPI终端合法，即WAPI终端成功通过鉴别。否则，说明WAPI终端的证书不满足合法条件，WAPI终端非法，即WAPI终端未通过鉴别。

若WAPI终端成功通过鉴别，则说明WAPI终端为合法设备，归属地AS获得指示WAPI终端成功通过鉴别的鉴别结果。若WAPI终端未通过鉴别，则说明WAPI终端为非法设备，归属地AS获得指示WAPI终端未通过鉴别的鉴别结果。

在一些实施例中，漫游证书鉴别请求分组还可以包括接入地AS的签名；归属地AS接收到漫游证书鉴别请求后，从漫游证书鉴别请求中获取WAPI终端的证书和接入地AS的签名；验证接入地AS的签名是否正确；若验证接入地AS的签名正确，则归属地AS执行步骤S45，利用WAPI终端的证书，对WAPI终端进行鉴别。若验证接入地AS的签名错误，则归属地AS可以通过接入地AS通知WLAN接入设备拒绝与WAPI终端关联。

在一些实施例中，漫游证书鉴别请求分组还可以包括WAPI终端的签名。归属地AS接收到漫游证书鉴别请求后，从漫游证书鉴别请求中获取WAPI终端的证书和WAPI终端的签名；验证WAPI终端的签名是否正确；若WAPI终端的签名正确，则归属地AS执行步骤S45，利用WAPI终端的证书，对WAPI终端进行鉴别。若WAPI终端的签名错误，则归属地AS可以通过接入地AS通知WLAN接入设备拒绝与WAPI终端关联。

本公开实施例提供的技术方案中，在接入地AS不是WAPI终端的归属地AS情况下，也就是，WAPI终端由归属地AS漫游至接入地AS，接入地AS从第一可信AS列表中获取归属地AS的AS信息，基于归属地AS的AS信息，将WAPI终端的证书直接发送给归属地AS，由归属地AS完成对WAPI终端的认证。通过上述方式完成了对支持WAPI协议的漫游WAPI终端的身份鉴别，保证了WAPI终端的安全接入。

另外，本公开实施例提供的技术方案中，WAPI终端的接入地AS在确定WAPI终端为漫游终端时，直接确定WAPI终端的归属地AS，并将WAPI终端的证书发送给归属地AS，无需利用其他设备来确定WAPI终端的归属地AS，也无需其他设备将WAPI终端的证书转发给归属地AS，降低了因其他设备未及时处理，导致身份鉴别时延较大进而导致身份鉴别不通过的问题，提高了用户体验。此外，由于无需其他设备将WAPI终端的证书转发给归属地AS，因此，可以解决因其他设备出现故障、接入地AS至其他设备之间的网络故障、或者其他设备至归属地AS之间的网络故障，导致身份鉴别不通过的问题。

在一些实施例中，接入地AS判断接入地AS是否为WAPI终端的归属地AS的步骤，可以为：接入地AS从证书鉴别请求分组中获取WAPI终端的证书，并判断WAPI终端的证书是否为接入地AS签发的证书；若判定WAPI终端的证书为接入地AS签发的证书，如图3所示的证书架构中，WAPI终端的证书由归属地AS签名颁发，则确定接入地AS是WAPI终端的归属地AS，也就是，接入地AS是WAPI终端的开户地AS；若判定WAPI终端的证书不是接入地AS签发的证书，则确定接入地AS不是WAPI终端的归属地AS，WAPI终端为漫游终端。

本公开实施例中，WAPI终端的证书和WLAN接入设备的证书由相应的开户地AS签名颁发。接入地AS通过判断WAPI终端的证书是否为接入地AS签发的证书，可以精确的确定接入地AS是否为WAPI终端的归属地AS。

在一些实施例中，为提高WAPI终端接入网络的安全性，接入地AS在接收到证书鉴别请求分组之后，除判断接入地AS是否为WAPI终端的归属地AS外，还可以判断WAPI终端的证书和接入地AS的证书是否属于同一根证书；若WAPI终端的证书和接入地AS的证书属于同一根证书，则可以确定WAPI终端的归属地AS与接入地AS处于同一根AS的覆盖范围内，在确定接入地AS是WAPI终端的归属地AS的情况下，执行步骤S44；若WAPI终端的证书和接入地AS的证书不属于同一根证书，则可以确定WAPI终端的归属地AS与接入地AS处于不同根AS的覆盖范围内，则通知WLAN接入设备拒绝与WAPI终端关联。本公开实施例中，可以有效避免跨根AS的漫游通信，提高了WAPI终端接入网络的安全性。

本公开实施例中，接入地AS也可以拒绝执行判断WAPI终端的证书和接入地AS的证书是否属于同一根证书的步骤，如图4所示实施例。这种情况下，接入地AS可以将不同根AS覆盖范围内的可信AS的AS信息接入第一可信AS列表中，实现跨根AS的通信，扩大了通信范围。

在一些实施例中，还提供了一种WAPI接入鉴别方法，如图5所示，可以包括如下步骤：

步骤S51，WAPI终端向WLAN接入设备发送接入鉴别请求分组，接入鉴别请求分组包括WAPI终端的证书。具体可参见步骤S41部分的相关描述。

步骤S52，WLAN接入设备向接入地AS发送证书鉴别请求分组，证书鉴别请求分组包括WAPI终端的证书和WLAN接入设备的证书。具体可参见步骤S42部分的相关描述。

步骤S53，接入地AS利用WLAN接入设备的证书，对WLAN接入设备进行鉴别，并判断接入地AS是否为WAPI终端的归属地AS。若WLAN接入设备成功通过鉴别，且接入地AS不是WAPI终端的归属地AS，则执行步骤S54。具体可参见步骤S43部分的相关描述。

步骤S54，接入地AS从第一可信AS列表中获取WAPI终端对应的归属地AS的AS信息，第一可信AS列表中存储有多个区域AS的AS信息。若从第一可信AS列表中未获取到归属地AS的AS信息，则执行步骤S55。具体可参见步骤S44部分的相关描述。

步骤S55，接入地AS向根AS发送针对归属地AS的查询请求分组。

本公开实施例中，查询请求分组可以包括WAPI终端的证书、接入地AS的签名等信息。

步骤S56，根AS在第二可信AS列表中查询归属地AS的AS信息，第二可信AS列表中存储有多个区域AS的AS信息。若查询到归属地AS的AS信息，则执行步骤S57。

本公开实施例中，根AS维护一张可信AS列表，为便于区分和理解，以下将根AS维护的可信AS列表称为第二可信AS列表。第二可信AS列表中存储有可信的多个区域AS的AS信息。

根AS在接收到查询请求分组后，在第二可信AS列表中查询归属地AS的AS信息，也就是，查询签发WAPI终端的证书的归属地AS的AS信息。若查询到归属地AS的AS信息，则执行步骤S57。

在一些实施例中，查询请求分组可以包括接入地AS的签名。根AS在接收到查询请求分组后，可以先验证接入地AS的签名是否正确；若验证接入地AS的签名正确，则说明查询请求分组未被篡改，执行步骤S56，在第二可信AS列表中查询归属地AS的AS信息；若验证接入地AS的签名错误，则说明查询请求分组被篡改，查询请求分组不是由接入地AS发送的，根AS可以丢弃查询请求分组，不再查询归属地AS的AS信息。

本公开实施例中，在查询请求分组携带接入地AS的签名的情况下，根AS在验证接入地AS的签名正确之后，再执行步骤S56，提高了信息传递的安全性。

步骤S57，根AS向接入地AS反馈归属地AS的AS信息。

根AS向接入地AS反馈携带归属地AS的AS信息的查询响应分组。

步骤S58，接入地AS将归属地AS的AS信息加入第一可信AS列表。

接入地AS将接收的归属地AS的AS信息加入第一可信AS列表，这样，后续接入地AS再次接收到由归属地AS漫游至接入地AS的WAPI终端的证书鉴别请求分组后，可以直接基于第一可信AS列表中的归属地AS的AS信息，向归属地AS发送漫游证书鉴别请求分组，完成对漫游WAPI终端的鉴别，无需在根AS上进行AS信息的查询，提高了WAPI接入鉴别的效率。

在一些实施例中，查询响应分组可以包括根AS的签名。接入地AS在接收到查询响应分组后，可以先验证根AS的签名是否正确；若验证根AS的签名正确，则说明查询响应分组未被篡改，执行步骤S58，将归属地AS的AS信息加入第一可信AS列表；若验证根AS的签名错误，则说明查询响应分组被篡改，查询响应分组不是由根AS发送的，接入地AS可以丢弃查询响应分组，拒绝将归属地AS的AS信息加入第一可信AS列表。

本公开实施例中，在查询响应分组携带根AS的签名的情况下，接入地AS在验证根AS的签名正确之后，再执行步骤S58，提高了信息传递的安全性。

步骤S59，接入地AS根据归属地AS的AS信息，向归属地AS发送漫游证书鉴别请求分组。

接入地AS在接收到根AS反馈的归属地AS的AS信息后，根据归属地AS的AS信息，向归属地AS发送漫游证书鉴别请求分组。具体可参见上述步骤S45部分的相关描述。

步骤S510，归属地AS利用WAPI终端的证书，对WAPI终端进行鉴别。具体可参见上述步骤S46部分的相关描述。

本公开实施例中，接入地AS在接收到根AS反馈的归属地AS的AS信息后，将归属地AS的AS信息加入到第一可信AS列表，以便后续接入地AS利用第一可信AS列表中存储的AS信息，直接向WAPI终端的归属地AS发送漫游证书鉴别请求，无需根AS查询归宿地AS信息，降低了根AS的负担，提升了网络对安全性和健壮性，提高了证书鉴别的效率。

本公开实施例提供的技术方案中，首先由接入地AS确定WAPI终端的归属地AS，在接入地AS无法确定出WAPI终端的归属地AS时，才向根AS发送针对归属地AS的查询请求分组，通过根AS确定WAPI终端的归属地AS。相比于全部通过根AS确定WAPI终端的归属地AS，本公开实施例提供的技术方案，能够降低对根AS的负担，提升了网络对安全性和健壮性，降低对中心AS的设备性能要求，提高身份鉴别的效率。

在一些实施例中，若接入地AS未接收到根AS反馈的归属地AS的AS信息，则通知WLAN接入设备拒绝与WAPI终端关联。

若根AS未在第二可信AS列表中查找到归属地AS的AS信息，或者，根AS未在不可信AS列表中查找到归属地AS的AS信息，则向接入地AS反馈指示归属地AS为不可信的通知；若接入地AS接收到指示归属地AS为不可信的通知，则接入地AS通知WLAN接入设备拒绝与WAPI终端关联。其中，不可信AS列表中包括不可信的多个区域AS的AS信息。

通过上述实施例中，可以避免不可信WAPI终端接入网络，提高了网络的安全性。

在一些实施例中，还提供了一种WAPI接入鉴别方法，如图6所示，可以包括如下步骤：

步骤S61，WAPI终端向WLAN接入设备发送接入鉴别请求分组，接入鉴别请求分组包括WAPI终端的证书。具体可参见步骤S41部分的相关描述。

步骤S62，WLAN接入设备向接入地AS发送证书鉴别请求分组，证书鉴别请求分组包括WAPI终端的证书和WLAN接入设备的证书。具体可参见步骤S42部分的相关描述。

步骤S63，接入地AS利用WLAN接入设备的证书，对WLAN接入设备进行鉴别，并判断接入地AS是否为WAPI终端的归属地AS。若WLAN接入设备成功通过鉴别，且接入地AS不是WAPI终端的归属地AS，则执行步骤S64。具体可参见步骤S43部分的相关描述。

步骤S64，接入地AS从第一可信AS列表中获取WAPI终端对应的归属地AS的AS信息，第一可信AS列表中存储有多个区域AS的AS信息。若从第一可信AS列表中获取到归属地AS的AS信息，则执行步骤S65。具体可参见步骤S44部分的相关描述。

步骤S65，接入地AS根据归属地AS的AS信息，向归属地AS发送漫游证书鉴别请求分组，漫游证书鉴别请求分组包括WAPI终端的证书。具体可参见步骤S45部分的相关描述。

本公开实施例中，参见图5所示，在执行步骤S59之后，也可以执行步骤S510，即步骤S66，进而执行S67-S610，对此不进行限定。

步骤S66，归属地AS利用WAPI终端的证书，对WAPI终端进行鉴别。具体可参见步骤S46部分的相关描述。

在一些实施例中，归属地AS可以维护一张可信AS列表，第三可信AS列表中存储有可信的多个区域AS的AS信息，为便于区分和理解，以下将归属地AS维护的可信AS列表称为第三可信AS列表。漫游证书鉴别请求分组还可以包括接入地AS的证书。这种情况下，归属地AS根据漫游证书鉴别请求分组包括的接入地AS的证书，在第三可信AS列表中查询接入地AS的AS信息；若查询到接入地AS的AS信息，归属地AS执行步骤S66，利用WAPI终端的证书，对WAPI终端进行鉴别。

若在第三可信AS列表中未查询到接入地AS的AS信息，则归属地AS向根AS发送针对接入地AS的查询请求分组；根AS在第二可信AS列表中查询包括接入地AS的AS信息；在查询到接入地AS的AS信息的情况下，根AS向归属地AS反馈接入地AS的AS信息。若接收到根AS反馈的接入地AS的AS信息，则归属地AS将接入地AS的AS信息加入第三可信AS列表，并利用WAPI终端的证书，对WAPI终端进行鉴别。若未接收到根AS反馈的接入地AS的AS信息，或接收到指示接入地AS为不可信的通知，则通过接入地AS，通知WLAN接入设备拒绝与WAPI终端关联。

上述具体可参见步骤S54-S58部分的相关描述，此处不再赘述。

步骤S67，归属地AS向接入地AS反馈漫游证书鉴别响应分组，漫游证书鉴别响应分组包括WLAN接入设备的鉴别结果和WAPI终端的鉴别结果。

本公开实施例中，漫游证书鉴别请求分组还可以包括WLAN接入设备的鉴别结果。在对WAPI终端进行鉴别，获得WAPI终端的鉴别结果后，归属地AS从漫游证书鉴别请求分组中获取WLAN接入设备的鉴别结果，将WLAN接入设备的鉴别结果和WAPI终端的鉴别结果加入漫游证书鉴别响应分组，并将该漫游证书鉴别响应分组反馈给接入地AS。

为辅助WAPI接入鉴别，提高WAPI接入鉴别的精度，漫游证书鉴别请求分组还可以包括接入地AS的证书和WLAN接入设备的证书等。

本公开实施例中，漫游证书鉴别响应分组除包括WLAN接入设备的鉴别结果和WAPI终端的鉴别结果外，还可以包括归属地AS的签名、接入地AS的证书和其他信息，如发送漫游证书鉴别响应分组的时间戳等，对此不进行限定。这里，漫游证书鉴别响应分组包括的WLAN接入设备的鉴别结果和接入地AS的证书来源于证书鉴别请求分组。

步骤S68，接入地AS向WLAN接入设备发送证书鉴别响应分组，证书鉴别响应分组包括WLAN接入设备的鉴别结果和WAPI终端的鉴别结果。

本公开实施例中，接入地AS可以将漫游证书鉴别响应分组作为证书鉴别响应分组，也可以生成一个空的证书鉴别响应分组，并在该证书鉴别响应分组中添加接入地AS的签名等信息。

本公开实施例中，证书鉴别响应分组除包括WLAN接入设备的鉴别结果和WAPI终端的鉴别结果外，还可以包括归属地AS的签名和接入地AS的签名中的一种或多种，其中，证书鉴别响应分组包括的归属地AS的签名、WLAN接入设备的鉴别结果和WAPI终端的鉴别结果来源于漫游证书鉴别响应分组。

在一些实施例中，漫游证书鉴别响应分组还可以包括归属地AS的签名。在接收到漫游证书鉴别响应分组后，接入地AS从漫游证书鉴别响应分组中获取归属地AS的签名、WLAN接入设备的鉴别结果和WAPI终端的鉴别结果；验证归属地AS的签名是否正确；若验证归属地AS的签名正确，则将WLAN接入设备的鉴别结果和WAPI终端的鉴别结果加入证书鉴别响应分组，向WLAN接入设备发送证书鉴别响应分组。若验证归属地AS的签名错误，则接入地AS可以丢弃漫游证书鉴别响应分组，并通知WLAN接入设备拒绝与WAPI终端关联。

本公开实施例中，在漫游证书鉴别响应分组携带归属地AS的签名的情况下，接入地AS在验证归属地AS的签名正确之后，再执行步骤S68，提高了WAPI接入鉴别的安全性。

步骤S69，WLAN接入设备向WAPI终端发送接入鉴别响应分组，接入鉴别响应分组包括WLAN接入设备的鉴别结果和WAPI终端的鉴别结果。

本公开实施例中，WLAN接入设备可以将证书鉴别响应分组作为接入鉴别响应分组，也可以生成一个空的接入鉴别响应分组，并在该接入鉴别响应分组中添加归属地AS的签名、接入地AS的签名和WLAN接入设备的签名等信息。

本公开实施例中，接入鉴别响应分组除包括WLAN接入设备的鉴别结果和WAPI终端的鉴别结果外，还可以包括归属地AS的签名、接入地AS的签名和WLAN接入设备的签名中的一种或多种，其中，接入鉴别响应分组包括的归属地AS的签名、接入地AS的签名、WLAN接入设备的鉴别结果和WAPI终端的鉴别结果来源于证书鉴别响应分组。

在一些实施例中，证书鉴别响应分组还可以包括归属地AS的签名和接入地AS的签名。在接收到证书鉴别响应分组后，WLAN接入设备验证接入地AS的签名是否正确；若验证接入地AS的签名正确，则将WLAN接入设备的鉴别结果和WAPI终端的鉴别结果加入接入鉴别响应分组，向WAPI终端发送接入鉴别响应分组。若验证接入地AS的签名错误，则WLAN接入设备可以丢弃证书鉴别响应分组，并拒绝与WAPI终端关联。

本公开实施例中，在证书鉴别请求分组携带归属地AS的签名和接入地AS的签名的情况下，WLAN接入设备在验证接入地AS的签名正确之后，再执行步骤S69，提高了WAPI接入鉴别的安全性。

步骤S610，WAPI终端根据接入鉴别响应分组包括的WLAN接入设备的鉴别结果，与WLAN接入设备关联。

本公开实施例中，若WLAN接入设备的鉴别结果指示WLAN接入设备成功通过鉴别，WAPI终端的鉴别结果指示WAPI终端成功通过鉴别，则WAPI终端与WLAN接入设备关联，WAPI终端就可以正常上网。

若WLAN接入设备的鉴别结果指示WLAN接入设备未通过鉴别，则WAPI终端拒绝与WLAN接入设备关联；若WAPI终端的鉴别结果指示WAPI终端未通过鉴别，则WLAN接入设备拒绝与WAPI终端关联。此时，WAPI终端不可以上网。

在一些实施例中，接入鉴别响应分组还可以包括归属地AS的签名。在接收到接入鉴别响应分组后，WAPI终端验证归属地AS的签名是否正确；若验证归属地AS的签名正确，则根据WLAN接入设备的鉴别结果与WLAN接入设备关联。若验证归属地AS的签名错误，则WAPI终端可以丢弃接入鉴别响应分组，并拒绝与WLAN接入设备关联。

本公开实施例中，在接入鉴别请求分组携带归属地AS的签名的情况下，WAPI终端在验证归属地AS的签名正确之后，再执行步骤S610，提高了WAPI接入鉴别的安全性。

下面结合图7所示的接入鉴别流程，对本公开实施例提供的接入鉴别方法进行详细说明。以STA1与AP1连接，AP1与区域AS1连接，区域AS1为接入地AS，后续简称为AS1，STA1的归属地AS为区域ASn，后续简称为ASn。基于此，本公开实施例提供的接入鉴别方法可以包括如下步骤：

步骤S71，AP1向AS1发送证书鉴别请求分组，证书鉴别请求分组包括AP1证书、STA1证书、STA1签名和AP1签名。

当STA1进入AS1的所在地时，STA1开启WLAN功能，搜索到支持WAPI的SSID，关联至相应的AP1。STA1接收到AP1发送的鉴别激活分组后，向AP1发送接入鉴别请求分组，该接入鉴别请求分组包括STA1证书和STA1签名。

AP1收到接入鉴别请求分组后，可以加上AP1证书和AP1签名，向AS1发送证书鉴别请求分组。

步骤S72，AS1验证AP1证书是否合法。若合法，执行步骤S73；若不合法，则执行步骤S74，丢弃证书鉴别请求分组。

若证书鉴别请求分组还包括AP1签名和STA1签名，则AS1可以先对AP1签名进行验证，在AP1签名成功通过验证后，验证AP1证书是否合法，即利用AP1证书，对AP1进行验证，若AP1成功通过验证，则说明AP1证书合法，AP1合法。这样可以提高网络的安全性和健壮性。

步骤S73，AS1判断自己是否为STA1的开户地AS。若是，执行步骤S75，若否，执行步骤S76。

在验证AP1证书合法的情况下，AS1查看STA1签名对应的ASn证书是否是AS1证书。若是，则AS1确定自己是STA1的开户地AS，执行步骤S75；否则，AS1确定自己不是STA1的开户地AS，即STA1为漫游STA，执行步骤S76。

步骤S75，AS1验证STA1证书的合法性，并返回鉴别结果给AP1和STA1。

AS1验证STA1证书的合法性可以为：利用STA1证书，对STA1进行验证，若STA1成功通过验证，则说明STA1证书合法，STA1合法。

本公开实施例中，AS1可以先对STA1签名进行验证，在STA1签名成功通过验证后，验证STA1证书是否合法，即利用STA1证书，对STA1进行验证，若STA1成功通过验证，则说明STA1证书合法，STA1合法。这样可以提高网络的安全性和健壮性。

步骤S76，AS1判断AS1中的可信AS列表中是否存储有ASn证书。若存在，执行步骤S77，若不存在，执行步骤S78。

步骤S77，AS1将漫游证书鉴别请求分组发送给ASn，漫游证书鉴别请求分组包括STA1证书、AP1证书、AP1鉴别结果、AS1证书和AS1签名等STA1鉴权信息。之后执行步骤S79。

步骤S78，AS1发送STA1信息到根AS，根AS查询ASn信息，并返回AS1，执行步骤S77。

根AS将查询的ASn信息反馈给AS1。如果反馈是查到ASn信息，则AS1根据查询结果(含ASn证书、ASn的IP地址等信息)，将STA1鉴权信息发给ASn进行鉴权；如果反馈是没有查到ASn信息或ASn为不可信AS，则AS1将鉴权失败的信息通知给AP1和STA1。

步骤S79，ASn验证STA1证书的合法性，并返回鉴别结果给AS1。

步骤S710，AS1将鉴别结果反馈给AP1和STA1。

本公开实施例中，AS1收到的鉴别结果存在如下两种情况：

1)收到的鉴别结果是符合要求的，即鉴权通过，STA1为合法用户，则AS1将鉴权成功的信息发给AP1和STA1，STA1知道关联的AP1和AS1是符合要求的，STA1就可以正常上网；

2)收到的鉴别结果是不符合要求，如STA1证书过期、或其它原因导致鉴权不通过，STA1为非法用户，则AS1将鉴权失败的信息通知AP1和STA1，STA1不能上网。

本公开实施例中，各个区域AS之间可以设置加密接口，用于转发漫游证书鉴别请求分别，以提高信息传递的安全性。

与上述WAPI接入鉴别方法对应，本公开实施例还提供了一种WAPI接入鉴别方法，如图8所示，应用于WAPI终端对应的接入地AS，WAPI终端与WLAN接入设备连接，WLAN接入设备与接入地AS连接，该WAPI接入鉴别方法包括如下步骤：

步骤S81，接入地AS接收WLAN接入设备发送的证书鉴别请求分组，证书鉴别请求分组包括WLAN接入设备的证书和WAPI终端的证书；

步骤S82，接入地AS利用WLAN接入设备的证书，对WLAN接入设备进行鉴别，并判断接入地AS是否为WAPI终端的归属地AS；

步骤S83，若WLAN接入设备成功通过鉴别，且接入地AS不是WAPI终端的归属地AS，则接入地AS从第一可信AS列表中获取WAPI终端对应的归属地AS的AS信息，第一可信AS列表中存储有多个区域AS的AS信息；

步骤S84，若从第一可信AS列表中获取到归属地AS的AS信息，则接入地AS根据归属地AS的AS信息，向归属地AS发送漫游证书鉴别请求分组，漫游证书鉴别请求分组包括WAPI终端的证书，以使归属地AS利用WAPI终端的证书，对WAPI终端进行鉴别。

在一些实施例中，证书鉴别请求分组还包括WLAN接入设备的签名；这种情况下，上述WAPI接入鉴别方法还可以包括：

验证WLAN接入设备的签名是否正确；

若正确，则执行利用WLAN接入设备的证书，对WLAN接入设备进行鉴别的步骤。

在一些实施例中，上述判断接入地AS是否为WAPI终端的归属地AS的步骤，可以包括：

判断WAPI终端的证书是否为接入地AS签发的证书；

若是，则确定接入地AS是WAPI终端的归属地AS；若否，则确定接入地AS不是WAPI终端的归属地AS。

在一些实施例中，上述WAPI接入鉴别方法还可以包括：

若从第一可信AS列表中未获取到归属地AS的AS信息，则向根AS发送针对归属地AS的查询请求分组，以使根AS在第二可信AS列表中查询归属地AS的AS信息，第二可信AS列表中存储有多个区域AS的AS信息；

若接收到根AS反馈的归属地AS的AS信息，则将归属地AS的AS信息加入第一可信AS列表；

根据归属地AS的AS信息，向归属地AS发送漫游证书鉴别请求分组。

在一些实施例中，上述WAPI接入鉴别方法还可以包括：

若未接收到根AS反馈的归属地AS的AS信息，或接收到指示归属地AS为不可信的通知，则通知WLAN接入设备拒绝与WAPI终端关联。

在一些实施例中，上述WAPI接入鉴别方法还可以包括：

若接入地AS是WAPI终端的归属地AS，则利用WAPI终端的证书，对WAPI终端进行鉴别。

在一些实施例中，证书鉴别请求分组还包括WAPI终端的签名，漫游证书鉴别请求分组还包括WAPI终端的签名、接入地AS的签名、接入地AS的证书、WLAN接入设备的证书、WLAN接入设备的签名和WLAN接入设备的鉴别结果中的一种或多种。

在一些实施例中，上述WAPI接入鉴别方法还可以包括：

接收归属地AS反馈的漫游证书鉴别响应分组，漫游证书鉴别响应分组包括WLAN接入设备的鉴别结果和WAPI终端的鉴别结果；

向WLAN接入设备发送证书鉴别响应分组，证书鉴别响应分组包括WLAN接入设备的鉴别结果和WAPI终端的鉴别结果，以使WLAN接入设备向WAPI终端发送接入鉴别响应分组，接入鉴别响应分组包括WLAN接入设备的鉴别结果和WAPI终端的鉴别结果。

在一些实施例中，漫游证书鉴别响应分组还包括归属地AS的签名，证书鉴别响应分组还包括归属地AS的签名和接入地AS的签名，接入鉴别响应分组还包括归属地AS的签名；上述WAPI接入鉴别方法还可以包括：

在接收到漫游证书鉴别响应分组后，验证归属地AS的签名是否正确；若验证归属地AS的签名正确，则执行向WLAN接入设备发送证书鉴别响应分组的步骤；

WLAN接入设备在验证接入地AS的签名正确时，向WAPI终端发送接入鉴别响应分组；

WAPI终端在验证归属地AS的签名正确时，根据WLAN接入设备的鉴别结果，与WLAN接入设备关联。

在一些实施例中，漫游证书鉴别响应分组还包括接入地AS的证书，接入鉴别响应分组还包括接入地AS的签名和WLAN接入设备的签名中的一种或多种。

在一些实施例中，WAPI终端的证书由WAPI终端的开户地AS签名颁发，WLAN接入设备的证书由WLAN接入设备的开户地AS签名颁发，WAPI终端的开户地AS的证书和WLAN接入设备的开户地AS的证书由根AS签名颁发。

与上述WAPI接入鉴别方法对应，本公开实施例还提供了一种WAPI接入鉴别方法，如图9所示，应用于WAPI终端对应的归属地AS，WAPI终端与WLAN接入设备连接，WLAN接入设备与接入地AS连接，该WAPI接入鉴别方法包括如下步骤：

步骤S91，归属地AS接收接入地AS发送的漫游证书鉴别请求分组，漫游证书鉴别请求分组包括WAPI终端的证书，漫游证书鉴别请求分组为接入地AS根据从第一可信AS列表中获取到的归属地AS的AS信息所发送的分组，第一可信AS列表中存储有多个区域AS的AS信息；

步骤S92，归属地AS利用WAPI终端的证书，对WAPI终端进行鉴别。

在一些实施例中，漫游证书鉴别请求分组还包括接入地AS的签名；在利用WAPI终端的证书，对WAPI终端进行鉴别的步骤之前，上述WAPI接入鉴别方法还可以包括：

验证接入地AS的签名是否正确；

若正确，则执行利用WAPI终端的证书，对WAPI终端进行鉴别的步骤。

在一些实施例中，漫游证书鉴别请求分组还包括WAPI终端的签名；在利用所述WAPI终端的证书，对WAPI终端进行鉴别的步骤之前，还包括：

验证WAPI终端的签名是否正确；

若正确，则执行利用所述WAPI终端的证书，对WAPI终端进行鉴别的步骤。

在一些实施例中，漫游证书鉴别请求分组还包括接入地AS的证书；在利用WAPI终端的证书，对WAPI终端进行鉴别的步骤之前，上述WAPI接入鉴别方法还可以包括：

根据接入地AS的证书，在第三可信AS列表中查询接入地AS的AS信息，第三可信AS列表中存储有多个区域AS的AS信息；

若查询到接入地AS的AS信息，则执行利用WAPI终端的证书，对WAPI终端进行鉴别的步骤。

在一些实施例中，上述WAPI接入鉴别方法还可以包括：

若未查询到接入地AS的AS信息，则向根AS发送针对接入地AS的查询请求分组，以使根AS在第二可信AS列表中查询包括接入地AS的AS信息，第二可信AS列表中存储有多个区域AS的AS信息；

若接收到根AS反馈的接入地AS的AS信息，则将接入地AS的AS信息加入第三可信AS列表，执行利用WAPI终端的证书，对WAPI终端进行鉴别的步骤；

若未接收到根AS反馈的接入地AS的AS信息，或接收到指示接入地AS为不可信的通知，则通过接入地AS，通知WLAN接入设备拒绝与WAPI终端关联。

在一些实施例中，漫游证书鉴别请求分组还包括WLAN接入设备的鉴别结果；在对WAPI终端进行鉴别之后，上述WAPI接入鉴别方法还可以包括：

从漫游证书鉴别请求分组中获取WLAN接入设备的鉴别结果；

向接入地AS反馈漫游证书鉴别响应分组，漫游证书鉴别响应分组包括漫游证书鉴别请求分组包括的WLAN接入设备的鉴别结果，以及对WAPI终端进行鉴别得到的WAPI终端的鉴别结果；以使接入地AS向WLAN接入设备发送证书鉴别响应分组，证书鉴别响应分组包括WLAN接入设备的鉴别结果和WAPI终端的鉴别结果。

在一些实施例中，漫游证书鉴别响应分组还包括归属地AS的签名；接入地AS在验证归属地AS的签名正确时，向WLAN接入设备发送证书鉴别响应分组。

在一些实施例中，漫游证书鉴别请求分组还包括WLAN接入设备的证书和WLAN接入设备的签名中的一种或多种，漫游证书鉴别响应分组还包括接入地AS的证书。

与上述WAPI接入鉴别方法对应，本公开实施例还提供了一种接入地AS，如图10所示，接入地AS对应的WAPI终端与WLAN接入设备连接，WLAN接入设备与接入地AS连接，包括：

接收单元101，被配置为接收WLAN接入设备发送的证书鉴别请求分组，证书鉴别请求分组包括WLAN接入设备的证书和WAPI终端的证书；

鉴别单元102，被配置为利用WLAN接入设备的证书，对WLAN接入设备进行鉴别，并判断接入地AS是否为WAPI终端的归属地AS；

获取单元103，被配置为若WLAN接入设备成功通过鉴别，且接入地AS不是WAPI终端的归属地AS，则从第一可信AS列表中获取WAPI终端对应的归属地AS的AS信息，第一可信AS列表中存储有多个区域AS的AS信息；

发送单元104，被配置为若从第一可信AS列表中获取到归属地AS的AS信息，根据归属地AS的AS信息，向归属地AS发送漫游证书鉴别请求分组，漫游证书鉴别请求分组包括WAPI终端的证书，以使归属地AS利用WAPI终端的证书，对WAPI终端进行鉴别。

在一些实施例中，证书鉴别请求分组还包括WLAN接入设备的签名；鉴别单元102，还可以被配置为：

验证WLAN接入设备的签名是否正确；

若正确，则利用WLAN接入设备的证书，对WLAN接入设备进行鉴别。

在一些实施例中，鉴别单元102，具体可以被配置为：

判断WAPI终端的证书是否为接入地AS签发的证书；

在一些实施例中，发送单元104，还可以被配置为：

在一些实施例中，接入地AS还包括通知单元，被配置为：

在一些实施例中，鉴别单元102，还可以被配置为：

在一些实施例中，接入地AS还包括接收单元；

接收单元，被配置为接收归属地AS反馈的漫游证书鉴别响应分组，漫游证书鉴别响应分组包括WLAN接入设备的鉴别结果和WAPI终端的鉴别结果；

发送单元104，还可以被配置为向WLAN接入设备发送证书鉴别响应分组，证书鉴别响应分组包括WLAN接入设备的鉴别结果和WAPI终端的鉴别结果，以使WLAN接入设备向WAPI终端发送接入鉴别响应分组，接入鉴别响应分组包括WLAN接入设备的鉴别结果和WAPI终端的鉴别结果。

在一些实施例中，漫游证书鉴别响应分组还包括归属地AS的签名，证书鉴别响应分组还包括归属地AS的签名和接入地AS的签名，接入鉴别响应分组还包括归属地AS的签名；接入地AS还可以包括：

发送单元104，还可以被配置为在接收到漫游证书鉴别响应分组后，验证归属地AS的签名是否正确；若验证归属地AS的签名正确，则向WLAN接入设备发送证书鉴别响应分组；

与上述WAPI接入鉴别方法对应，本公开实施例还提供了一种归属地AS，如图11所示，归属地AS对应的WAPI终端与WLAN接入设备连接，WLAN接入设备与接入地AS连接，包括：

接收单元111，被配置为接收接入地AS发送的漫游证书鉴别请求分组，漫游证书鉴别请求分组包括WAPI终端的证书，漫游证书鉴别请求分组为接入地AS根据从第一可信AS列表中获取到的归属地AS的AS信息所发送的分组，第一可信AS列表中存储有多个区域AS的AS信息；

鉴别单元112，被配置为利用WAPI终端的证书，对WAPI终端进行鉴别。

在一些实施例中，漫游证书鉴别请求分组还包括接入地AS的签名；鉴别单元112，还可以被配置为：

在利用WAPI终端的证书，对WAPI终端进行鉴别之前，验证接入地AS的签名是否正确；

在一些实施例中，漫游证书鉴别请求分组还包括WAPI终端的签名；鉴别单元112，还可以被配置为：

在利用WAPI终端的证书，对WAPI终端进行鉴别之前，验证WAPI终端的签名是否正确；

在一些实施例中，漫游证书鉴别请求分组还包括接入地AS的证书；鉴别单元112，还可以被配置为：

在利用WAPI终端的证书，对WAPI终端进行鉴别之前，根据接入地AS的证书，在第三可信AS列表中查询接入地AS的AS信息，第三可信AS列表中存储有多个区域AS的AS信息；

在一些实施例中，归属地AS还可以包括发送单元和通知单元；

发送单元，被配置为若未查询到接入地AS的AS信息，则向根AS发送针对接入地AS的查询请求分组，以使根AS在第二可信AS列表中查询包括接入地AS的AS信息，第二可信AS列表中存储有多个区域AS的AS信息；

鉴别单元112，还可以被配置为若接收到根AS反馈的接入地AS的AS信息，则将接入地AS的AS信息加入第三可信AS列表，执行利用WAPI终端的证书，对WAPI终端进行鉴别的步骤；

通知单元，被配置为若未接收到根AS反馈的接入地AS的AS信息，或接收到指示接入地AS为不可信的通知，则通过接入地AS，通知WLAN接入设备拒绝与WAPI终端关联。

在一些实施例中，漫游证书鉴别请求分组还包括WLAN接入设备的鉴别结果；归属地AS还可以包括获取单元和反馈单元；

获取单元，被配置为在对WAPI终端进行鉴别之后，从漫游证书鉴别请求分组中获取WLAN接入设备的鉴别结果；

反馈单元，被配置为向接入地AS反馈漫游证书鉴别响应分组，漫游证书鉴别响应分组包括漫游证书鉴别请求分组包括的WLAN接入设备的鉴别结果，以及对WAPI终端进行鉴别得到的WAPI终端的鉴别结果；以使接入地AS向WLAN接入设备发送证书鉴别响应分组，证书鉴别响应分组包括WLAN接入设备的鉴别结果和WAPI终端的鉴别结果。

本公开实施例还提供了一种AS，如图12所示，包括处理器121、通信接口122、存储器123和通信总线124，其中，处理器121、通信接口122和存储器123通过通信总线124完成相互间的通信；

存储器123，用于存放计算机程序；

处理器121，用于执行存储器123上所存放的程序时，实现上述任一应用于接入地AS的WAPI接入鉴别方法步骤，或实现上述任一应用于归属地AS的WAPI接入鉴别方法步骤。

上述通信总线可以是外设部件互连标准(Peripheral Component Interconnect，PCI)总线或扩展工业标准结构(Extended Industry Standard Architecture，EISA)总线等。该通信总线可以分为地址总线、数据总线、控制总线等。为便于表示，图中仅用一条粗线表示，但并不表示仅有一根总线或一种类型的总线。

通信接口用于上述AS与其他设备之间的通信。

存储器可以包括随机存取存储器(Random Access Memory，RAM)，也可以包括非易失性存储器(Non-Volatile Memory，NVM)，例如至少一个磁盘存储器。可选的，存储器还可以是至少一个位于远离前述处理器的存储装置。

上述的处理器可以是通用处理器，包括中央处理器(Central Processing Unit，CPU)、网络处理器(Network Processor，NP)等；还可以是数字信号处理器(Digital SignalProcessor，DSP)、专用集成电路(Application Specific Integrated Circuit，ASIC)、现场可编程门阵列(Field-Programmable Gate Array，FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。

在本公开提供的又一实施例中，还提供了一种计算机可读存储介质，该计算机可读存储介质内存储有计算机程序，所述计算机程序被处理器执行时实现上述任一应用于接入地AS的WAPI接入鉴别方法步骤，或实现上述任一应用于归属地AS的WAPI接入鉴别方法步骤。

在本公开提供的又一实施例中，还提供了一种包含指令的计算机程序产品，当其在计算机上运行时，使得计算机执行上述任一应用于接入地AS的WAPI接入鉴别方法步骤，或执行上述任一应用于归属地AS的WAPI接入鉴别方法步骤。

在上述实施例中，可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时，可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机程序指令时，全部或部分地产生按照本公开实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中，或者从一个计算机可读存储介质向另一个计算机可读存储介质传输，例如，所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质，(例如，软盘、硬盘、磁带)、光介质(例如，DVD)、或者半导体介质(例如固态硬盘Solid State Disk(SSD))等。

需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。

本说明书中的各个实施例均采用相关的方式描述，各个实施例之间相同相似的部分互相参见即可，每个实施例重点说明的都是与其他实施例的不同之处。尤其，对于***、AS、存储介质、程序产品实施例而言，由于其基本相似于方法实施例，所以描述的比较简单，相关之处参见方法实施例的部分说明即可。

以上所述仅为本公开的较佳实施例，并非用于限定本公开的保护范围。凡在本公开的精神和原则之内所作的任何修改、等同替换、改进等，均包含在本公开的保护范围内。

Claims

1.一种WAPI接入鉴别方法，其特征在于，应用于WAPI终端对应的接入地AS，所述WAPI终端与WLAN接入设备连接，所述WLAN接入设备与所述接入地AS连接，所述方法包括：

若从所述第一可信AS列表中获取到所述归属地AS的AS信息，则根据所述归属地AS的AS信息，向所述归属地AS发送漫游证书鉴别请求分组，所述漫游证书鉴别请求分组包括所述WAPI终端的证书，以使所述归属地AS利用所述WAPI终端的证书，对所述WAPI终端进行鉴别。

2.根据权利要求1所述的方法，其特征在于，所述证书鉴别请求分组还包括所述WLAN接入设备的签名；所述方法还包括：

验证所述WLAN接入设备的签名是否正确；

若正确，则执行所述利用所述WLAN接入设备的证书，对所述WLAN接入设备进行鉴别的步骤。

3.根据权利要求1所述的方法，其特征在于，所述判断所述接入地AS是否为所述WAPI终端的归属地AS的步骤，包括：

判断所述WAPI终端的证书是否为所述接入地AS签发的证书；

若是，则确定所述接入地AS是所述WAPI终端的归属地AS；若否，则确定所述接入地AS不是所述WAPI终端的归属地AS。

4.根据权利要求1所述的方法，其特征在于，所述方法还包括：

若从所述第一可信AS列表中未获取到所述归属地AS的AS信息，则向根AS发送针对所述归属地AS的查询请求分组，以使所述根AS在第二可信AS列表中查询所述归属地AS的AS信息，所述第二可信AS列表中存储有多个区域AS的AS信息；

若接收到所述根AS反馈的所述归属地AS的AS信息，则将所述归属地AS的AS信息加入所述第一可信AS列表；

根据所述归属地AS的AS信息，向所述归属地AS发送所述漫游证书鉴别请求分组。

5.根据权利要求4所述的方法，其特征在于，所述方法还包括：

若未接收到所述根AS反馈的所述归属地AS的AS信息，或接收到指示所述归属地AS为不可信的通知，则通知所述WLAN接入设备拒绝与所述WAPI终端关联。

6.根据权利要求1所述的方法，其特征在于，所述方法还包括：

若所述接入地AS是所述WAPI终端的归属地AS，则利用所述WAPI终端的证书，对所述WAPI终端进行鉴别。

7.根据权利要求1-6任一项所述的方法，其特征在于，所述证书鉴别请求分组还包括所述WAPI终端的签名，所述漫游证书鉴别请求分组还包括所述WAPI终端的签名、所述接入地AS的签名、所述接入地AS的证书、所述WLAN接入设备的证书、所述WLAN接入设备的签名和所述WLAN接入设备的鉴别结果中的一种或多种。

8.根据权利要求1-6任一项所述的方法，其特征在于，所述方法还包括：

接收所述归属地AS反馈的漫游证书鉴别响应分组，所述漫游证书鉴别响应分组包括所述WLAN接入设备的鉴别结果和所述WAPI终端的鉴别结果；

向所述WLAN接入设备发送证书鉴别响应分组，所述证书鉴别响应分组包括所述WLAN接入设备的鉴别结果和所述WAPI终端的鉴别结果，以使所述WLAN接入设备向所述WAPI终端发送接入鉴别响应分组，所述接入鉴别响应分组包括所述WLAN接入设备的鉴别结果和所述WAPI终端的鉴别结果。

9.根据权利要求8所述的方法，其特征在于，所述漫游证书鉴别响应分组还包括所述归属地AS的签名，所述证书鉴别响应分组还包括所述归属地AS的签名和所述接入地AS的签名，所述接入鉴别响应分组还包括所述归属地AS的签名；所述方法还包括：

在接收到漫游证书鉴别响应分组后，验证所述归属地AS的签名是否正确；若验证所述归属地AS的签名正确，则执行所述向所述WLAN接入设备发送证书鉴别响应分组的步骤；

所述WLAN接入设备在验证所述接入地AS的签名正确时，向所述WAPI终端发送接入鉴别响应分组；

所述WAPI终端在验证所述归属地AS的签名正确时，根据所述WLAN接入设备的鉴别结果，与所述WLAN接入设备关联。

10.根据权利要求9所述的方法，其特征在于，所述漫游证书鉴别响应分组还包括所述接入地AS的证书，所述接入鉴别响应分组还包括所述接入地AS的签名和所述WLAN接入设备的签名中的一种或多种。

11.根据权利要求1-6任一项所述的方法，其特征在于，所述WAPI终端的证书由所述WAPI终端的开户地AS签名颁发，所述WLAN接入设备的证书由所述WLAN接入设备的开户地AS签名颁发，所述WAPI终端的开户地AS的证书和所述WLAN接入设备的开户地AS的证书由根AS签名颁发。

12.一种WAPI接入鉴别方法，其特征在于，应用于WAPI终端对应的归属地AS，所述WAPI终端与WLAN接入设备连接，所述WLAN接入设备与接入地AS连接，所述方法包括：

利用所述WAPI终端的证书，对所述WAPI终端进行鉴别。

13.根据权利要求12所述的方法，其特征在于，所述漫游证书鉴别请求分组还包括所述接入地AS的签名；在所述利用所述WAPI终端的证书，对所述WAPI终端进行鉴别的步骤之前，还包括：

验证所述接入地AS的签名是否正确；

若正确，则执行所述利用所述WAPI终端的证书，对所述WAPI终端进行鉴别的步骤。

14.根据权利要求12所述的方法，其特征在于，所述漫游证书鉴别请求分组还包括所述WAPI终端的签名；在所述利用所述WAPI终端的证书，对所述WAPI终端进行鉴别的步骤之前，还包括：

验证所述WAPI终端的签名是否正确；

15.根据权利要求12-14任一项所述的方法，其特征在于，所述漫游证书鉴别请求分组还包括所述接入地AS的证书；在所述利用所述WAPI终端的证书，对所述WAPI终端进行鉴别的步骤之前，还包括：

根据所述接入地AS的证书，在第三可信AS列表中查询所述接入地AS的AS信息，所述第三可信AS列表中存储有多个区域AS的AS信息；

若查询到所述接入地AS的AS信息，则执行所述利用所述WAPI终端的证书，对所述WAPI终端进行鉴别的步骤。

16.根据权利要求15所述的方法，其特征在于，所述方法还包括：

若未查询到所述接入地AS的AS信息，则向根AS发送针对所述接入地AS的查询请求分组，以使所述根AS在第二可信AS列表中查询包括所述接入地AS的AS信息，所述第二可信AS列表中存储有多个区域AS的AS信息；

若接收到所述根AS反馈的所述接入地AS的AS信息，则将所述接入地AS的AS信息加入所述第三可信AS列表，执行所述利用所述WAPI终端的证书，对所述WAPI终端进行鉴别的步骤；

若未接收到所述根AS反馈的所述接入地AS的AS信息，或接收到指示所述接入地AS为不可信的通知，则通过所述接入地AS，通知所述WLAN接入设备拒绝与所述WAPI终端关联。

17.根据权利要求12-14任一项所述的方法，其特征在于，所述漫游证书鉴别请求分组还包括所述WLAN接入设备的鉴别结果；在对所述WAPI终端进行鉴别之后，所述方法还包括：

从所述漫游证书鉴别请求分组中获取所述WLAN接入设备的鉴别结果；

向所述接入地AS反馈漫游证书鉴别响应分组，所述漫游证书鉴别响应分组包括所述漫游证书鉴别请求分组包括的所述WLAN接入设备的鉴别结果，以及对所述WAPI终端进行鉴别得到的所述WAPI终端的鉴别结果；以使所述接入地AS向所述WLAN接入设备发送证书鉴别响应分组，所述证书鉴别响应分组包括所述WLAN接入设备的鉴别结果和所述WAPI终端的鉴别结果。

18.根据权利要求17所述的方法，其特征在于，所述漫游证书鉴别响应分组还包括所述归属地AS的签名；所述接入地AS在验证所述归属地AS的签名正确时，向所述WLAN接入设备发送证书鉴别响应分组。

19.根据权利要求17所述的方法，其特征在于，所述漫游证书鉴别请求分组还包括所述WLAN接入设备的证书和WLAN接入设备的签名中的一种或多种，所述漫游证书鉴别响应分组还包括所述接入地AS的证书。

20.根据权利要求11-16任一项所述的方法，其特征在于，所述WAPI终端的证书由所述WAPI终端的开户地AS签名颁发，所述WLAN接入设备的证书由所述WLAN接入设备的开户地AS签名颁发，所述WAPI终端的开户地AS的证书和所述WLAN接入设备的开户地AS的证书由根AS签名颁发。

21.一种WAPI接入鉴别***，其特征在于，包括WAPI终端、所述WAPI终端连接的WLAN接入设备、所述WLAN接入设备连接的接入地AS、所述WAPI终端对应的归属地AS、以及所述接入地AS和所述归属地AS连接的根AS；

所述接入地AS，被配置为执行权利要求1-11任一项所述的方法步骤；

所述归属地AS，被配置为执行权利要求12-20任一项所述的方法步骤。

22.一种接入地AS，其特征在于，所述接入地AS对应的WAPI终端与WLAN接入设备连接，所述WLAN接入设备与所述接入地AS连接，包括：

23.一种归属地AS，其特征在于，所述归属地AS对应的WAPI终端与WLAN接入设备连接，所述WLAN接入设备与接入地AS连接，包括：

24.一种AS，其特征在于，包括处理器、通信接口、存储器和通信总线，其中，所述处理器、所述通信接口和所述存储器通过所述通信总线完成相互间的通信；

所述存储器，用于存放计算机程序；

所述处理器，用于执行所述存储器上所存放的程序时，实现权利要求1-11任一所述的方法步骤，或实现权利要求12-20任一所述的方法步骤。

25.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质内存储有计算机程序，所述计算机程序被处理器执行时实现权利要求1-11任一所述的方法步骤，或实现权利要求12-20任一所述的方法步骤。