专利名称:基于wapi的实现互联网接入认证的网络系统和方法
技术领域:
本发明涉及一种无线局域网的安全技术,确切地说,涉及一种基于WAPI的实现互联网接入认证的网络系统和方法,属于无线通信技术领域。
背景技术:
随着无线局域网的迅速发展,其安全问题日益受到人们的关注。国际标准ISO IEC 8802-11定义的开放系统与共享密钥两种链路验证机制及有线加强等效保密WEP(Wired Equivalency Privacy)安全协议来解决安全问题,但是,安全漏洞依然存在。为了弥补ISO IEC 8802-11中安全协议存在的漏洞,中国分别于2003年和2006年颁发了一系列无线局域网的国家标准GB 15629.11/1102与GB 15629.11-2003/XG1-2006/1101/1103/1104。GB 15629.11来克服传统安全方案的不足。这些标准是由中国宽带无线IP标准工作组制订和提出的具有自主知识产权的安全协议-无线局域网鉴别与保密基础结构WAPI(WLANAuthentication and Privacy Infrastructure),它是用于规范现行的802.11相关传输协议的安全加密标准。其主要技术特征包括采用公钥密码技术,实现访问控制,数据机密性和数据完整性等。WAPI协议包含两个部分无线局域网鉴别基础结构WAI(WLAN Authentication Infrastructure)和无线局域网保密基础结构WPI(WLAN Privacy Infrastructure),其中,WAI用于完成用户的身份鉴别与密钥管理,是实现WAPI的基础。
基于WAPI的互联网接入运营的技术方案,对于运营商来说,必须易于部署,符合现有业务开展和管理流程;同时必须与现有WLAN接入业务无缝集成,例如必须支持WAPI作为现有WLAN业务的附加业务,必须支持WAPI作为独立于WLAN业务的接入业务。对于用户来说,办理业务的程序必须简单,且符合现有业务的办理习惯;必须提供用户安全快捷、方便使用和管理的宽带无线接入业务的使用方式;使用界面必须友好,操作简单。
WAPI是一种安全认证保密基础结构,它可以为用户提供安全的服务,但是,在WLAN引入WAPI标准解决数据的传输安全性能后,WAPI标准也为基于WLAN的宽带互联网接入业务部署带来了以下困难电子证书的颁发与管理问题和用户漫游时与当地网络之间的信任问题仍然未得到解决。下面简要说明之(1)证书的管理因为网络中每个用户终端都有唯一的证书。公钥证书作为用户终端使用WAPI网络时表明身份的凭证,需要进行安全的管理。公钥证书的管理包括网络上保存的公钥证书管理和用户计算机上的公钥证书管理。
(2)用户的异地漫游;全网在进行WAPI网络部署时,随着用户的增长,可能会设置多个认证服务器ASU。用户终端在颁发公钥证书后,在异地可使用WAPI互联网接入业务。在WAPI标准中要求ASU能鉴别用户终端的公钥证书。由于该用户终端的公钥证书不是当前漫游地认证服务器ASU颁发的,漫游地ASU无法对该用户进行鉴别,无法完成对该用户身份的认证。
因此,如何设计一种基于WAPI的实现互联网接入认证的技术方案,使其能够更好地为用户(尤其是异地漫游用户)提供服务已经成为目前WAPI领域技术人员所关注和研究的热点之一。
发明内容
有鉴于此,本发明的目的是提供一种基于WAPI的实现互联网接入认证的网络系统和方法,本发明的网络系统结构简单,实现方法的操作步骤也比较简单;但是,功效明显能够实现用户对当地网络的信任和实现不同地区的WAPI网络间的互相信任,从而更好地为用户、尤其是异地漫游用户提供无线接入认证服务。
为了达到上述目的,本发明提供了一种基于WAPI的实现互联网接入认证的网络系统,包括因特网,电信网,位于电信网中的为用户提供身份验证、授权和计费服务的AAA服务器、用户归属地的认证服务器HASU和分别位于各个本地网的多个认证服务器ASU、以及与AAA服务器、各个认证服务器ASU和所有网络直接相连的接入控制器AC、无线接入点AP和装有WAPI无线网卡的终端STA;STA藉由AP和AC接入网络时,ASU与STA之间通过用户公钥证书进行身份鉴别后,才允许STA接入当地网络;其特征在于所述系统还包括有全网唯一的根认证服务器RASU,用于给全网所有认证服务器ASU颁发公钥证书,也为自己颁发公钥证书,以便藉由该公钥证书在各个ASU之间建立相互信任关系,并使得ASU与漫游到本地的终端STA之间建立相互信任关系。
所述全网唯一的根认证服务器RASU的公钥证书是随同客户端软件一起安装在终端STA中,STA利用该RASU公钥证书对从认证服务器获取的HASU或ASU公钥证书进行真伪鉴别,以获取对本地和异地网络的信任,进而实现终端的异地漫游功能。
所述归属认证服务器HASU和多个位于各本地网的认证服务器ASU都分别存储有RASU所颁发的公钥证书,以便使用该RASU公钥证书来鉴别获取的其它某个ASU的公钥证书的真伪,判断是否信任该ASU,进而鉴别接收该ASU所颁发的用户公钥证书的STA是否合法。
所述各个认证服务器ASU都分别存储、维护有各自信任的ASU列表,当漫游到本地的STA的归属地的认证服务器HASU不在本地ASU信任的ASU列表中时,所述STA需要获取其归属地的认证服务器HASU的公钥证书。
所述终端STA都分别存储、维护有各自所信任的ASU列表,当该终端STA漫游地的ASU不在该终端STA信任的ASU列表中时,需要获取漫游地的ASU的公钥证书,以便利用该终端STA中已有的RASU公钥证书来判断漫游地的ASU的合法性,进而判断当前网络的合法性。
为了达到上述目的,本发明还提供了一种基于WAPI的实现互联网接入认证的网络系统的接入认证的实现方法,其特征在于终端STA进行WAPI连接之前的证书认证流程包括下列操作步骤(1)RASU为自己颁发RASU公钥证书;(2)RASU为全网所有的ASU服务器颁发ASU公钥证书颁发过程是先判断ASU是否已有ASU公钥证书,若没有,则由ASU重新生成私钥和对应ASU公钥证书,请求RASU为其颁发ASU公钥证书,即RASU利用私钥为ASU公钥证书签名;否则,进入后续操作;如果ASU丢失ASU公钥证书,则请求RASU重新给ASU颁发ASU公钥证书;(3)全网所有的ASU服务器各自分别存储有RASU公钥证书,若某个ASU服务器没有RASU公钥证书,则由该ASU向网络请求下载RASU公钥证书;否则,进入后续操作;如果ASU丢失RASU公钥证书,则向网络请求重新下载RASU公钥证书;(4)STA利用RASU公钥证书验证本地HASU合法性终端STA在安装客户端软件的同时,也安装全网唯一的RASU公钥证书,以便该STA接入网络时先请求归属地认证服务器HASU的公钥证书,并利用该RASU公钥证书对HASU公钥证书进行鉴别;且如果HASU公钥证书鉴别成功,则STA保存HASU公钥证书;(5)STA利用RASU公钥证书验证漫游地ASU的合法性终端STA漫游到异地时,必须先与当地网络建立信任关系,即验证当前网络的合法性,则STA请求当前漫游地认证服务器ASU的公钥证书,并利用RASU公钥证书对当地的ASU公钥证书进行鉴别;且如果ASU公钥证书鉴别成功,则STA保存该ASU公钥证书;(6)漫游地ASU利用RASU公钥证书验证HASU公钥证书的合法性当STA漫游到异地时,漫游地的网络要验证该STA的合法性,即该漫游地的ASU要求获取该STA归属地的HASU公钥证书,并利用RASU公钥证书对该HASU公钥证书进行鉴别;若鉴别成功,则认为该HASU公钥证书合法,就将该HASU添加至可信任的ASU列表中;如果该HASU公钥证书鉴别失败,则丢弃该HASU证书,并认为该STA为非法用户。
所述步骤(4)进一步包括下列操作内容(41)STA先判断归属地认证服务器HASU是否在其存储、维护的可信任ASU列表中,如果是,则认为该网络可信任,可以接入;否则对该网络不信任,并获取该HASU的公钥证书;(42)STA利用已安装的根认证服务器RASU公钥证书对所获取的HASU公钥证书进行鉴别,如果鉴别成功,则将该HASU添加至可信任ASU列表中;若鉴别失败,则丢弃HASU公钥证书。
所述步骤(5)进一步包括下列操作内容(51)STA先判断漫游地认证服务器ASU是否在其存储、维护的可信任ASU列表中,如果是,则认为该网络可信任,可以接入;否则对该网络不信任,并获取该ASU的公钥证书;(52)STA利用已安装的根认证服务器RASU公钥证书对所获取的ASU公钥证书进行鉴别,如果鉴别成功,则将该ASU添加至可信任ASU列表中;若鉴别失败,则丢弃HASU公钥证书。
所述步骤(6)进一步包括下列操作内容(61)漫游地的ASU先判断该STA所归属的HASU是否在可信任ASU列表中,如果是,则认为该HASU可信任,同时利用已有的HASU公钥证书对STA公钥证书进行鉴别,如果鉴别成功,则判断STA可信任,允许接入;如果鉴别失败,则判断STA不可信任,不允许接入;(62)如果STA所归属的HASU不存在于漫游地的ASU可信任列表中,则漫游地的ASU从网络获取该HASU公钥证书;(63)ASU利用已存储的RASU公钥证书对刚刚获取的HASU公钥证书进行鉴别,如果鉴别成功,则将该HASU添加至ASU信任列表中;若鉴别失败,则丢弃HASU公钥证书,并认为该STA为非法用户。
本发明是一种基于WAPI的实现互联网接入认证的网络系统和方法,它的技术创新点和有益效果是本发明的网络系统引入全网唯一的根认证服务器RASU,负责为全网所有ASU服务器发放RASU公钥证书,并以此建立各个ASU之间的信任关系,且使得ASU能够对漫游到本地的STA建立信任关系。RASU公钥证书随客户端软件一起同时安装在STA上,辅助用户完成对归属地HASU服务器和漫游地ASU服务器的身份鉴别,以获取对本地和异地无线局域网的信任,从而实现用户终端的异地漫游功能。总之,本发明的实施可以更好地为用户终端、尤其是异地漫游用户终端提供安全、方便的接入认证服务,具有很好的推广应用前景。
图1是本发明基于WAPI的实现互联网接入认证的网络系统结构组成示意图。
图2是本发明基于WAPI的实现互联网接入认证的网络系统的接入认证的实现方法流程方框图。
图3是图2中步骤(2)的具体操作步骤方框图。
图4是图2中步骤(3)的具体操作步骤方框图。
图5是图2中步骤(4)或(5)的具体操作步骤方框图。
图6是图2中步骤(6)的具体操作步骤方框图。
具体实施例方式
为使本发明的目的、技术方案和优点更加清楚,下面结合附图对本发明作进一步的详细描述。
参见图1,具体介绍本发明基于WAPI的实现互联网接入认证的网络系统的结构组成,包括因特网,电信网,位于电信网中的AAA服务器、用户归属地的HASU认证服务器和分别位于各个本地网的多个ASU认证服务器、以及与AAA服务器、各个认证服务器ASU和所有网络直接相连的接入控制器AC、无线接入点AP和装有WAPI无线网卡的终端STA(例如笔记本电脑、PDA等);STA藉由AP和AC接入网络时,ASU与STA之间通过用户公钥证书进行身份鉴别后,才允许STA接入当地网络;其特点是系统还包括有一个全网唯一的、用于给全网所有认证服务器ASU(包括自身)颁发RASU公钥证书的根认证服务器RASU,藉由该RASU公钥证书在各个ASU之间建立相互信任关系,并使得ASU与漫游到本地的终端STA之间建立相互信任关系。
RASU的公钥证书是随同客户端软件一起安装在终端STA上的,辅助用户终端完成对HASU和ASU的身份鉴别,以获取对本地和异地网络的信任,从而实现用户的异地漫游功能。终端STA都分别存储、维护有各自信任的ASU列表,当该终端STA所在地的ASU不在信任列表中时,则STA要获取该ASU的公钥证书,以便利用该终端STA中已安装的RASU公钥证书对从认证服务器获取的HASU或ASU公钥证书进行真伪鉴别,以获取对本地和异地无线网络的信任,进而实现终端的异地漫游功能。
各个认证服务器HASU或ASU都分别存储、维护有各自信任的ASU列表,当漫游到本地的STA的归属地HASU不在本地ASU信任的ASU列表中时,该STA需要获取其归属地HASU的公钥证书,以便该ASU与该漫游到本地的STA之间通过证书进行身份鉴别,使得用户能够接入当地网络。也就是说,用户终端漫游到异地时,异地ASU通过鉴别该漫游终端归属地HASU身份来确认STA身份的合法性。
此外,归属地认证服务器HASU和多个位于各本地网的认证服务器ASU都分别存储有RASU的公钥证书,以便使用该RASU公钥证书来鉴别其它某个ASU的公钥证书的真伪,判断是否信任该ASU,进而鉴别该ASU网内的STA是否合法。
下面参见图2~图6,说明本发明基于WAPI的实现互联网接入认证的网络系统的接入认证的实现方法,即用户终端进行WAPI连接之前的证书认证流程(1)RASU为自己颁发RASU公钥证书,并为全网所有的ASU服务器颁发ASU公钥证书该操作步骤主要是由全网唯一的根认证服务器RASU为所有ASU服务器颁发ASU公钥证书。颁发过程(参见图3)是先判断ASU是否已有ASU公钥证书,若没有,则由ASU重新生成私钥和对应的ASU公钥证书,请求RASU为其颁发ASU公钥证书;否则,顺序执行后续操作;如果ASU丢失ASU公钥证书,则RASU要重新给ASU颁发ASU公钥证书。
(2)全网所有的ASU服务器各自分别存储RASU公钥证书该步骤是ASU服务器向网络请求下载全网唯一的RASU公钥证书。下载过程(参见图4)是先判断ASU服务器是否存储有RASU公钥证书,若没有,则由ASU向网络请求下载RASU公钥证书;否则,顺序执行后续操作;如果ASU丢失RASU公钥证书,则向网络重新请求下载RASU公钥证书。
(3)STA利用RASU公钥证书验证本地HASU合法性;终端STA在安装客户端软件的同时,也安装了全网唯一的RASU公钥证书,用于该STA接入网络时先请求归属地HASU的公钥证书,并利用该RASU公钥证书对HASU公钥证书进行鉴别;如果HASU公钥证书鉴别成功,则STA保存HASU公钥证书。下面参见图5,说明该步骤的具体操作内容(31)STA先判断归属地HASU认证服务器是否在其存储、维护的可信任ASU列表中,如果是,则认为该网络可信任,可以接入;否则对该网络不信任,并获取该HASU的公钥证书。
(32)STA利用已安装的RASU公钥证书对所获取的HASU公钥证书进行鉴别,如果鉴别成功,则将该HASU添加至可信任ASU列表中;若鉴别失败,则丢弃HASU公钥证书。
(4)STA利用RASU公钥证书验证漫游地ASU的合法性终端STA漫游到异地时,必须先与当地网络建立信任关系,即验证漫游地网络的合法性,则STA请求当前漫游地ASU的公钥证书,并利用RASU公钥证书鉴别当地的ASU公钥证书;如果ASU公钥证书鉴别成功,则STA保存该ASU公钥证书。该步骤证书鉴别的具体操作流程与图5所示的STA鉴别HASU公钥证书的步骤相同,其区别只是将其中的归属地HASU改为漫游地ASU。
(5)漫游地ASU利用RASU公钥证书验证HASU公钥证书的合法性STA与HASU之间建立的信任关系只能保证在本地接入安全WAPI网络,但无法保证在漫游地接入安全WAPI网络。当STA漫游到异地时,漫游地的网络要验证该STA的合法性,即该漫游地的ASU要求获取该STA归属地的HASU公钥证书,并利用RASU公钥证书对该HASU公钥证书进行鉴别;若鉴别成功,则认为该HASU公钥证书合法,就将该HASU添加至可信任的ASU列表中;如果该HASU公钥证书鉴别失败,则丢弃该HASU证书,并认为该STA为非法用户。下面参见图6,说明该步骤的具体操作内容(51)漫游地的ASU先判断该STA所归属的HASU是否位于可信任ASU列表中,如果是,则认为该HASU可信任,同时利用已存储的HASU公钥证书对STA公钥证书进行鉴别,如果鉴别成功,则判断STA可信任,允许接入;如果鉴别失败,则判断STA不可信任,不允许接入;(52)如果STA所归属的HASU不存在于漫游地的ASU可信任列表中,则漫游地的ASU从网络获取该HASU公钥证书;(53)ASU利用已存储的RASU公钥证书对刚刚获取的该HASU公钥证书进行鉴别,如果鉴别成功,则将该HASU添加至ASU信任列表中;若鉴别失败,则丢弃HASU公钥证书,并认为该STA为非法用户。
因此,当STA对用户终端公钥证书、ASU公钥证书下载完毕后,用户终端STA即可信任当前网络;当漫游地ASU对HASU公钥证书进行鉴别成功后,即可信任HASU,从而对STA进行信任;当STA与ASU建立了信任关系后,用户终端STA即可在漫游地使用WAPI网络,使得用户在漫游地仍可得到安全、方便的服务。
权利要求
1.一种基于WAPI的实现互联网接入认证的网络系统,包括因特网,电信网,位于电信网中的为用户提供身份验证、授权和计费服务的AAA服务器、用户归属地的认证服务器HASU和分别位于各个本地网的多个认证服务器ASU、以及与AAA服务器、各个认证服务器ASU和所有网络直接相连的接入控制器AC、无线接入点AP和装有WAPI无线网卡的终端STA;STA藉由AP和AC接入网络时,ASU与STA之间通过用户公钥证书进行身份鉴别后,才允许STA接入当地网络;其特征在于所述系统还包括有全网唯一的根认证服务器RASU,用于给全网所有认证服务器ASU颁发公钥证书,也为自己颁发公钥证书,以便藉由该公钥证书在各个ASU之间建立相互信任关系,并使得ASU与漫游到本地的终端STA之间建立相互信任关系。
2.根据权利要求1所述的网络系统,其特征在于所述全网唯一的根认证服务器RASU的公钥证书是随同客户端软件一起安装在终端STA中,STA利用该RASU公钥证书对从认证服务器获取的HASU或ASU公钥证书进行真伪鉴别,以获取对本地和异地网络的信任,进而实现终端的异地漫游功能。
3.根据权利要求1所述的网络系统,其特征在于所述归属认证服务器HASU和多个位于各本地网的认证服务器ASU都分别存储有RASU公钥证书,以便使用该RASU公钥证书来鉴别获取的其它某个ASU的公钥证书的真伪,判断是否信任该ASU,进而鉴别接收该ASU所颁发的用户公钥证书的STA是否合法。
4.根据权利要求1或3所述的网络系统,其特征在于所述各个认证服务器ASU都分别存储、维护有各自信任的ASU列表,当漫游到本地的STA的归属地的认证服务器HASU不在本地ASU信任的ASU列表中时,所述STA需要获取其归属地的认证服务器HASU的公钥证书。
5.根据权利要求1所述的网络系统,其特征在于所述终端STA都分别存储、维护有各自所信任的ASU列表,当该终端STA漫游地的ASU不在该终端STA信任的ASU列表中时,需要获取漫游地的ASU的公钥证书,以便利用该终端STA中已有的RASU公钥证书来判断漫游地的ASU的合法性,进而判断当前网络的合法性。
6.一种采用权利要求1所述网络系统的接入认证的实现方法,其特征在于终端STA进行WAPI连接之前的证书认证流程包括下列操作步骤(1)RASU为自己颁发RASU公钥证书;(2)RASU为全网所有的ASU服务器颁发ASU公钥证书颁发过程是先判断ASU是否已有ASU公钥证书,若没有,则由ASU重新生成私钥和对应ASU公钥证书,请求RASU为其颁发ASU公钥证书,即RASU利用私钥为ASU公钥证书签名;否则,顺序执行后续操作;如果ASU丢失ASU公钥证书,则请求RASU重新给ASU颁发ASU公钥证书;(3)全网所有的ASU服务器各自分别存储RASU公钥证书,若某个ASU服务器没有RASU公钥证书,则由该ASU向网络请求下载RASU公钥证书;否则,顺序执行后续操作;如果ASU丢失RASU公钥证书,则向网络请求重新下载RASU公钥证书;(4)STA利用RASU公钥证书验证本地HASU合法性;终端STA在安装客户端软件的同时,也安装全网唯一的RASU公钥证书,以便该STA接入网络时先请求归属地认证服务器HASU的公钥证书,并利用该RASU公钥证书对HASU公钥证书进行鉴别;且如果HASU公钥证书鉴别成功,则STA保存HASU公钥证书;(5)STA利用RASU公钥证书验证漫游地ASU的合法性终端STA漫游到异地时,必须先与当地网络建立信任关系,即验证当前网络的合法性,则STA请求当前漫游地认证服务器ASU的公钥证书,并利用RASU公钥证书对当地的ASU公钥证书进行鉴别;且如果ASU公钥证书鉴别成功,则STA保存该ASU公钥证书。
7.根据权利要求6所述的网络系统的接入认证的实现方法,其特征在于终端STA进行WAPI连接之前的证书认证流程进一步包括下列操作步骤(6)漫游地ASU利用RASU公钥证书验证HASU公钥证书的合法性当STA漫游到异地时,漫游地的网络要验证该STA的合法性,即该漫游地的ASU要求获取该STA归属地的HASU公钥证书,并利用RASU公钥证书对该HASU公钥证书进行鉴别;若鉴别成功,则认为该HASU公钥证书合法,就将该HASU添加至可信任的ASU列表中;如果该HASU公钥证书鉴别失败,则丢弃该HASU证书,并认为该STA为非法用户。
8.根据权利要求6所述的网络系统的接入认证的实现方法,其特征在于所述步骤(4)进一步包括下列操作内容(41)STA先判断归属地认证服务器HASU是否在其存储、维护的可信任ASU列表中,如果是,则认为该网络可信任,可以接入;否则对该网络不信任,并获取该HASU的公钥证书;(42)STA利用已安装的根认证服务器RASU公钥证书对所获取的HASU公钥证书进行鉴别,如果鉴别成功,则将该HASU添加至可信任ASU列表中;若鉴别失败,则丢弃HASU公钥证书。
9.根据权利要求6所述的网络系统的接入认证的实现方法,其特征在于所述步骤(5)进一步包括下列操作内容(51)STA先判断漫游地认证服务器ASU是否在其存储、维护的可信任ASU列表中,如果是,则认为该网络可信任,可以接入;否则对该网络不信任,并获取该ASU的公钥证书;(52)STA利用已安装的根认证服务器RASU公钥证书对所获取的ASU公钥证书进行鉴别,如果鉴别成功,则将该ASU添加至可信任ASU列表中;若鉴别失败,则丢弃HASU公钥证书。
10.根据权利要求6所述的网络系统的接入认证的实现方法,其特征在于所述步骤(6)进一步包括下列操作内容(61)漫游地的ASU先判断该STA所归属的HASU是否在可信任ASU列表中,如果是,则认为该HASU可信任,同时利用已有的HASU公钥证书对STA公钥证书进行鉴别,如果鉴别成功,则判断STA可信任,允许接入;如果鉴别失败,则判断STA不可信任,不允许接入;(62)如果STA所归属的HASU不存在于漫游地的ASU可信任列表中,则漫游地的ASU从网络获取该HASU公钥证书;(63)ASU利用已存储的RASU公钥证书对刚刚获取的HASU公钥证书进行鉴别,如果鉴别成功,则将该HASU添加至ASU信任列表中;若鉴别失败,则丢弃HASU公钥证书,并认为该STA为非法用户。
全文摘要
一种基于WAPI的实现互联网接入认证的网络系统和方法,系统包括因特网,电信网,AAA服务器,归属地认证服务器HASU,各本地网的多个ASU,接入控制器AC,无线接入点AP和装有WAPI无线网卡的终端STA;STA藉由AP和AC接入网络时,ASU与STA之间通过用户公钥证书进行身份鉴别后,才允许STA接入当地网络;其创新点是该系统还包括全网唯一的、给全网所有ASU和自己颁发公钥证书的根认证服务器RASU,藉由该公钥证书在各个ASU之间建立信任关系,并使得ASU与漫游终端STA间建立信任关系。本发明网络系统结构简单,实现方法步骤简单;但是,能实现用户对当地网络的信任和不同地区的WAPI网络间的互相信任,更好地为用户、尤其是异地漫游用户提供无线接入认证服务。
文档编号H04L9/32GK101018175SQ20071006443
公开日2007年8月15日 申请日期2007年3月15日 优先权日2007年3月15日
发明者胡鹤飞, 袁东明, 刘元安, 唐碧华 申请人:北京安拓思科技有限责任公司