专利名称:一种实现wapi认证的方法及系统的制作方法
技术领域:
本发明涉及通信技术领域,尤其涉及一种实现WAPI认证的方法及系统。
背景技术:
WAPI(WLAN Authentication and Privacy Infrastructure,无线局域网鉴别禾口保 密基础结构)是实现无线局域网安全的协议。WAPI采用公钥密码体制的椭圆曲线密码算法 和对称密码体制的分组密码算法,用于WLAN(WirelessLocal Area Network,无线局域网) 设备的数字证书、证书鉴别、密钥协商和传输数据的加解密,从而实现设备的身份鉴别、链 路验证、访问控制和用户信息在无线传输状态下的加密保护。 WAPI是WAI (WLAN Authentication Infrastructure,无线局域网鉴别基础结构) 和WPI(WLAN Privacy Infrastructure,无线局域网保密基础结构)两个协议统称。其中 WAI协议解决无线局域网中的身份识别问题,WPI协议解决无线局域网中信息的保密传输 问题。WAI协议中利用ECC(Elliptic Curveencryption algorithm,椭圆曲线加密体制) 的ECDSA (Elliptic Curve DSA,椭圆曲线数字签名功能)解决了身份认证问题。WAI协议 是WAPI协议中最重要和最基础的部分,只有实现了身份认证才可以进行数据传输。WAI用 ECC技术实现了身份的双向认证问题,即无线终端对AP(Access Poinit,接入点)前认证, 和AP对无线终端的认证,只有无线终端确认AP为合法接入点和AP确认无线终端为合法无 线终端后双方才可以进行通信。现有技术中,上述认证必须经过可信的第三方-ASU(AuthentiationService
Unit,鉴别服务单元)才可以实现。ASU是基于ECC技术的WAI鉴别基础结构中重要的组成 部分,实现对用户证书的有效性鉴别。WAPI鉴别流程如图1所示,包括以下步骤
步骤101 ,移动终端登录到AP ;
步骤102, AP激活身份认证过程; 步骤103, AP根据从AS(A卯liation Service,应用服务器)获得的鉴别信息对该 移动终端进行身份认证; 步骤104,移动终端与AP进行密钥协商; 步骤105, AP根据对移动终端发送信息的密钥的鉴别结果对移动终端进行接入控 制。 然而,上述WAPI鉴别流程使用WAPI协议只能支持证书认证,当需要对用户进行 授权、计费处理时需要部署一个AAA (Authentication AuthorizationAcco皿ting,认证、授 权、计费)服务器。在AS服务器上完成WAPI证书认证,在AAA服务器通过RADIUS (Remote Authentication Dial In User Service,远程用户拨号认证系统)认证完成用户的授权和 计费。 现有技术中,WAI协议支持使用UDP(User Datagram Protocol,用户数据报协议) 进行传输封装,通过远程证书鉴别请求和远程证书鉴别响应完成对无线客户端和AP的双 向证书认证。由于WAI协议只能支持证书认证,如果需要对用户进行授权和计费处理,则除了需要部署AS服务器外还需要部署一个AAA服务器,增加了部署的复杂性,而且由于AAA 服务器也有认证功能,同时为避免AAA服务器不需要的认证过程,会增加设备处理的复杂度。
发明内容
本发明提供了一种实现WAPI认证的方法及系统,通过扩展RADIUS协议,在AAA服 务器可以完成WAI的证书鉴别、对用户授权和计费,实现WAI与RADIUS协议的完好结合,降 低网络部署和设备处理的复杂度。 本发明提供了一种WAPI认证的方法,应用于包括接入点和认证服务器的系统中, 所述方法包括以下步骤 接收接入点发送的WAI认证请求消息,所述认证请求消息中携带WAI分组信息,其 中该WAI认证请求消息被封装在Radius报文中; 根据所述WAI分组信息对所述接入点进行WAI认证,并将WAI认证结果通过WAI 分组响应消息返回所述接入点,所述WAI分组响应消息被封装在Radius报文中;
在所述WAI认证结束后,继续接收所述接入点发送的Radius认证请求,并将 Radius认证结果返回所述接入点。 其中,其特征在于,如果所述WAI认证结果是成功,则返回给所述接入点的Radius 认证结果是成功,如果所述WAI认证结果是拒绝,则返回给所述接入点的Radius认证结果 是拒绝。 其中,封装所述WAI认证请求消息的Radius报文与封装所述WAI分组响应消息的 Radius报文不同。 其中,封装所述WAI认证请求消息的Radius报文是Access-Request报文,封装所 述WAI分组响应消息的Radius报文是Access-Challenge报文。
其中,所述根据所述WAI分组信息对所述接入点进行WAI认证,具体包括
根据所述WAI分组信息中的分片标识确定后续是否有分片,对于没有分片的WAI 分组,根据所述WAI分组信息对所述接入点进行WAI认证;或 对于有分片的分组,根据WAI分组信息中的分片序号恢复WAI分组信息,根据所述 WAI分组信息对所述接入点进行WAI认证。 其中,所述将WAI认证结果通过WAI分组响应消息返回所述接入点,具体为
通过有分片的WAI分组响应消息返回所述接入点,所述WAI分组响应消息中包括 报文头,不包括数据,所述报文头中分片序号为已接收的分片序号;或
通过没有分片的WAI分组响应消息返回所述接入点。 其中,通过分片标识指示接入点,所述WAI分组响应消息是否为有分片的WAI分组 响应消息。 本发明提供了一种WAPI认证的方法,应用于包括接入点和认证服务器的系统中, 所述方法包括以下步骤 向认证服务器发送WAI认证请求消息,所述认证请求消息中携带WAI分组信息;
接收所述认证服务器返回的WAI分组认证响应消息,所述认证响应消息中携带 WAI认证结果,所述WAI分组响应消息被封装在Radius报文中;
在所述WAI认证结束后,继续向所述认证服务器发送Radius认证请求,并接收所 述认证服务器返回的Radius认证结果。 其中,所述接收所述认证服务器返回的WAI分组认证响应消息之后还包括
所述WAI分组认证响应消息没有分片,向所述认证服务器发送WAI请求消息,所述 WAI请求消息中包括报文头,不包括数据; 所述WAI分组认证响应消息有分片,向所述认证服务器发送WAI请求消息,所述 WAI请求消息中包括报文头,不包括数据,所述报文头中分片序号为已接收的分片序号。
本发明提供了一种WAPI认证的系统,包括 接入点,用于向认证服务器发送WAI认证请求消息,所述认证请求消息中携带WAI 分组信息,接收所述认证服务器返回的WAI分组认证响应消息,所述认证响应消息中携带 WAI认证结果,所述WAI分组响应消息被封装在Radius报文中,并且在所述WAI认证结束 后,继续向所述认证服务器发送Radius认证请求; 认证服务器,用于接收接入点发送的WAI认证请求消息,所述认证请求消息中携 带WAI分组信息,其中该WAI认证请求消息被封装在Radius报文中,根据所述WAI分组信 息对所述接入点进行WAI认证,将WAI认证结果通过WAI分组响应消息返回所述接入点,所 述WAI分组响应消息被封装在Radius报文中;并且在所述WAI认证结束后,继续接收所述 接入点发送的Radius认证请求,将Radius认证结果返回所述接入点。
与现有技术相比,本发明具有以下优点 本发明中,实现了 WAPI认证与RADIUS认证的完好结合,只需要部署一个AAA服务 器,通过RADIUS协议认证,设备只需要透传WAI报文,不需要关注WAPI细节;同时可以进行 证书认证、对用户授权、计费,系统部署简单,设备处理简单。
图
具体实施例方式
本发明提供了一种WAPI认证的方法,应用于包括接入点和认证服务器的系统中,CN 如图2所示,包括以下步骤 步骤201,认证服务器接收接入点发送的WAI认证请求消息,认证请求消息中携带 WAI分组信息,其中该WAI认证请求消息被封装在Radius报文中。其中,携带WAI分组信息 的方式为对RADIUS的Vendor-Specific属性进行扩展,在所述Vendor-Specific属性中 携带WAI分组请求或响应信息。 具体实现方式是在RADIUS协议中增加一个扩展属性,在该扩展属性中携带WAI分 组,当认证服务器接收到接入点发送的携带远程证书鉴别请求的RADIUS认证请求报文,从 RADIUS的扩展属性中解析WAI分组,在完成证书鉴别后将鉴别结果组装成WAI远程证书鉴 别响应分组放在RADIUS的扩展属性中发给接入点。 对RADIUS协议的Vendor-Specific属性(26)进行扩展,在属性中携带WAI分组, 扩展格式如图3所示,包括Type(类型)字段;Length(长度)字段;Vendor-Id (运营商标 识)字段;Vendor-type(运营商类型)字段;Vendor-length (运营商长度)字段;携带WAI 分组请求或响应的特殊属性字段。 其中,图3中的WAI分组格式如图4所示,包括 版本字段,长度为2个八位位组,表示鉴别基础结构的版本号,当前版本为1 ;
类型字段,长度为1个八位位组,表示协议类型,定义如下1表示WAI协议分组, 其他值保留; 子类型字段,长度为1个八位位组,当类型字段的值为1时,子类型字段值定义如 下6表示证书鉴别请求分组,7表示证书鉴别响应分组;
保留字段,长度为2个八位位组,默认值为0 ; 长度字段,长度为2个八位位组,表示WAI协议分组所有字段的八位位组数;
分组序号字段,长度为2个八位位组,表示协议分组序号,第一个分组序号为l,后 序分组依次按1递增; 分片序号字段,长度为1个八位位组,表示分片的顺序编号,每一个分组的第一个 分片序号为O,后序分片依次按1递增; 标识字段,长度为1个八位位组,比特0表示后续是否有分片,值为0表示没有,值 为1表示有,比特1至比特7保留; 数据字段,内容根据类型和子类型的值而定,除了包含固定的内容,还可以包含可 选的属性,证书鉴别请求或响应分组格式请参照WAPI标准。 另外中,可以将属性定义如表l所示,代表在RADIUS协议中哪个阶段携带该属性, 表1中的属性编号为子属性编号,即Vendor type :
表1 :
7属性名属 性 编 号ACC6S s_Req uestACC6S s_Acc eptACC6S s_Reje ctACC6S s-Chal lengeAccou nting-Re que StAccou nting-Respo ns6Sessio n_Gon trol备注
H3C—WA I2000+000+000 如表1所示,在RADIUS协议中的Access-Request (接入请求)消
息、Access-Challenge (挑战访问)消息中携带该属性。当然,也可以根据需
要设置在Access-Acc印t(接入接受)消息、Access-Re ject (接入拒绝)消息、
Accounting-Request (计费请求)消息、Accounting-Response (计费口向应)消息、
Session-Control (会话控制)消息中携带该属性。 在RADIUS协议中的WAI扩展属性的具体定义如表2所示 表2:
属性名属性编 号格式(text, string, address, Integertime)具体定义公开策 略
H3C—WAI200String远程证书鉴别请求 或响应分组 如表2所示,通过字符串、文本、地址、时间等方式表示WAI扩展属性为远程证书鉴 别请求或响应分组。 步骤202,认证服务器根据所述WAI分组信息对所述接入点进行WAI认证,并将 WAI认证结果通过WAI分组响应消息返回所述接入点,所述WAI分组响应消息被封装在 Radius矛艮文中。 其中,根据所述WAI分组信息对所述接入点进行认证,具体包括根据所述WAI分 组信息中的分片标识确定后续是否有分片,对于没有分片的WAI分组,根据所述WAI分组信 息对所述接入点进行认证;或对于有分片的分组,根据WAI分组信息中的分片序号恢复WAI 分组信息,根据所述WAI分组信息对所述接入点进行认证。 将认证结果通过WAI分组响应消息返回所述接入点,具体为通过有分片的WAI 分组响应消息返回所述接入点,所述WAI分组响应消息中包括报文头,不包括数据,所述报 文头中分片序号为已接收的分片序号;或通过没有分片的WAI分组响应消息返回所述接入 点。其中,可以通过分片标识指示接入点,所述WAI分组响应消息是否为有分片的WAI分组 响应消息。 步骤203,在所述WAI认证结束后,继续接收所述接入点发送的Radius认证请求, 并将Radius认证结果返回所述接入点。
8
其中,如果所述WAI认证结果是成功,则返回给所述接入点的Radius认证结果是 成功,如果所述WAI认证结果是拒绝,则返回给所述接入点的Radius认证结果是拒绝。封装 所述WAI认证请求消息的Radius报文与封装所述WAI分组响应消息的Radius报文不同。 封装所述WAI认证请求消息的Radius报文是Access-Request报文,封装所述WAI分组响 应消息的Radius报文是Access-Challenge报文。 本发明还提供了一种WAPI认证的方法,应用于包括接入点和认证服务器的系统 中,如图5所示,包括以下步骤 步骤501 ,接入点向认证服务器发送WAI认证请求消息,所述认证请求消息中携带 WAI分组信息; 步骤502,接入点接收所述认证服务器返回的WAI分组认证响应消息,所述认证响
应消息中携带WAI认证结果,所述WAI分组响应消息被封装在Radius报文中。 其中,WAI分组认证响应消息没有分片,向所述认证服务器发送WAI请求消息,所
述WAI请求消息中包括报文头,不包括数据;WAI分组认证响应消息有分片,向所述认证服
务器发送WAI请求消息,所述WAI请求消息中包括报文头,不包括数据,所述报文头中分片
序号为已接收的分片序号。 步骤503,在所述WAI认证结束后,接入点继续向认证服务器发送Radius认证请 求,并接收认证服务器返回的Radius认证结果。 本发明中公开了一种实现WAPI认证的方法,如图6所示,采用没有分片的WAI分 组进行认证,并且认证成功;该方法包括以下步骤 步骤601 , AP向AAA服务器发送Access-Request (接入请求)消息,由于该 Access-Request消息中添力口了 WAI分组属性,Access-Request消息等同于WAI-Request 消息。WAI-Request消息包括分片序号fragment、标识identifer和数据;其中分片序号 fragment表示该消息携带的分片序号,标识identifer表示后续是否有分片,当identifer =0表示后续没有分片。 步骤602, AAA服务器向AP发送Access-Challenge (挑战访问)消息,由于 该Access-Challenge消息中添加了 WAI分组属性,Access-Challenge消息等同于 WAI-Response消息。WAI-Response消息包括分片序号fragment、标识identifer禾口数据; 其中分片序号fragment = 0, identifer = 0。 步骤603, AP向AAA服务器发送Access-Request (接入请求)消息,通知 AAA服务器已经认证处理完成,由于该Access-Request消息中添加了 WAI分组属性, Access-Request消息等同于WAI-Request消息。其中,WAI-Request消息包括分片序号 fragment禾口标识identifer, fragment = 0, identifer = 0。 步骤604, AAA服务器将接入请求消息中的用户信息与本地的用户数据库信息进 行对比分析完成认证,如果信息匹配,即认证成功,则向AP发送Access-Acc印t (接入接受) 消息,该消息中携带对应用户的权限信息,如发送数据的内容、格式、时间等限制条件,使对 应用户根据该限制条件与AAA服务器进行数据交互。 其中,步骤601和步骤602是通过Radius的Request和Challenge的交互完成
WAI的request和response ;步骤603和步骤604是完成Radius的认证过程。 当然,在认证成功后,还可以进行计费功能,例如,AP确认认证成功后,向AAA服务
9器发送计费请求,AAA服务器根据计费请求中的用户标识、交互内容等参数进行计费,并向 AP返回计费响应。AP也会定时向AAA服务器发送计费更新请求,以保持AAA服务器同步计 费,当AAA服务器不能按时收到该计费更新请求时,则认为此次计费完成,停止计费。
本发明中公开了一种实现WAPI认证的方法,如图7所示,采用有分片的WAI分组 进行认证,并且认证成功;该方法包括以下步骤 步骤701, AP向AAA服务器发送Access-Request (接入请求)消息,由于该 Access-Request消息中添加了 WAI分组属性,Access-Request消息等同于WAI-Request消 息。WAI-Request消息包括分片序号fragment、标识identifer和数据;由于identifer =l,表示该WAI分组后续还有分片数据发送(采用分片形式发送是由于某些WAI分组数 据的长度大于传输通道带宽,无法将整个数据一次发送,只能将该WAI分组数据拆分成多 个后分别发送)。 步骤702, AAA服务器向AP发送Access-Challenge (挑战访问)消息,由于 该Access-Challenge消息中添加了 WAI分组属性,Access-Challenge消息等同于 WAI-Response消息。该WAI-Response为一个空报文,只包含WAI报文头没有数据,报文头 中分片序号使用已接收的分片的序号fragment = 0。 步骤703, AP向AAA服务器发送Access-Request (接入请求)消息,由于该 Access-Request消息中添力口了 WAI分组属性,Access-Request消息等同于WAI-Request 消息。WAI-Request消息包括分片序号fragment = 1 、标识identifer和数据;由于 identifer = l,表示该WAI分组后续还有分片数据发送。 步骤704, AAA服务器向AP发送Access-Challenge (挑战访问)消息,由于 该Access-Challenge消息中添加了 WAI分组属性,Access-Challenge消息等同于 WAI-Response消息。该WAI-Response为一个空报文,只包含WAI报文头没有数据,报文头 中分片序号使用已接收的分片的序号fragment = 1。 步骤705, AP向AAA服务器发送Access-Request (接入请求)消息,由于该 Access-Request消息中添力口了 WAI分组属性,Access-Request消息等同于WAI-Request 消息。WAI-Request消息包括分片序号fragment = 2、标识identifer和数据;由于 identifer = O,表示该WAI分组后续没有分片数据发送,整个认证请求数据发送完成。 [OO97] 步骤706, AAA服务器向AP发送Access-Challenge (挑战访问)消息,由于 该Access-Challenge消息中添加了 WAI分组属性,Access-Challenge消息等同于 WAI-Response消息。该WAI-Response携带认证结果,包括分片序号fragment、标识 identifer和数据,其中,fragment = O,标识identifer = 1,表示后续还有分片结果。
步骤707, AP向AAA服务器发送Access-Request (接入请求)消息,由于该 Access-Request消息中添加了 WAI分组属性,Access-Request消息等同于WAI-Request消 息。该WAI-Request消息为一个空报文,只包含WAI报文头没有数据,报文头中分片序号使 用已接收的分片的序号。证书交互在challenge过程中完成,认证回应报文中不携带WAI 分组。 步骤708, AAA服务器向AP发送Access-Challenge (挑战访问)消息,由于 该Access-Challenge消息中添加了 WAI分组属性,Access-Challenge消息等同于 WAI-Response消息。该WAI-Response携带认证结果,包括分片序号fragment、标识identifir和数据,其中,fragment = l,标识identifer = 1,表示后续还有分片结果。
步骤709, AP向AAA服务器发送Access-Request (接入请求)消息,由于该 Access-Request消息中添加了 WAI分组属性,Access-Request消息等同于WAI-Request消息。 步骤710, AAA服务器向AP发送Access-Challenge (挑战访问)消息,由于 该Access-Challenge消息中添加了 WAI分组属性,Access-Challenge消息等同于 WAI-Response消息。该WAI-Response携带认证结果,包括分片序号fragment、标识 identifir和数据,其中,fragment = 2,标识identifer = 1,表示后续还有分片结果。
步骤711, AP向AAA服务器发送Access-Request (接入请求)消息,由于该 Access-Request消息中添加了 WAI分组属性,Access-Request消息等同于WAI-Request消 息。 步骤712, AAA服务器将接入请求消息中的用户信息与本地的用户数据库信息进 行对比分析完成认证,如果信息匹配,即认证成功,则向AP发送Access-Acc印t (接入接受) 消息,该消息中携带对应用户的权限信息。证书交互在challenge过程中完成,认证回应报 文中不携带WAI分组。 其中,步骤701和步骤710是通过Radius的Request和Challenge的交互完成分 片WAI的request和response ;步骤711和步骤712是完成Radius的认证过程。
本发明中公开了一种实现WAPI认证的方法,如图8所示,采用没有分片的WAI分 组进行认证,并且认证失败;该方法包括以下步骤 其中,步骤801到步骤803与图6中的步骤601到步骤603相同; 步骤804, AAA服务器向AP发送Access-Re ject (接入拒绝)消息,表示认证失败。 本发明中公开了一种实现WAPI认证的方法,如图9所示,采用有分片的WAI分组
进行认证,并且认证失败;该方法包括以下步骤 步骤901到步骤911与图7中的步骤701到步骤711相同; 步骤912, AAA服务器向AP发送Access-Re ject (接入拒绝)消息,表示认证失败。
本发明提供了一种WAPI认证的系统,如图IO所示,包括接入点IOIO,用于向认 证服务器1020发送WAI认证请求消息,认证请求消息中携带WAI分组信息,接收认证服务 器1020返回的WAI分组认证响应消息,认证响应消息中携带WAI认证结果,WAI分组响应 消息被封装在Radius报文中,并且在WAI认证结束后,继续向认证服务器发送Radius认证 请求;认证服务器1020,用于接收接入点1010发送的WAI认证请求消息,认证请求消息中 携带WAI分组信息,其中该WAI认证请求消息被封装在Radius报文中,根据WAI分组信息 对接入点1010进行WAI认证,并将WAI认证结果通过WAI分组响应消息返回接入点1010, WAI分组响应消息被封装在Radius报文中;并且在WAI认证结束后,继续接收接入点1010 发送的Radius认证请求,将Radius认证结果返回接入点1010。 本发明提供了一种认证服务器,如图11所示,包括接收单元1110,用于接收接入 点发送的WAI认证请求消息,认证请求消息中携带WAI分组信息,其中该WAI认证请求消息 被封装在Radius报文中,并且在WAI认证结束后,继续接收接入点发送的Radius认证请 求;认证单元1120,用于根据WAI分组信息对接入点进行WAI认证,并根据Radius认证请 求对接入点进行Radius认证;发送单元1130,用于将WAI认证结果通过WAI分组响应消息返回接入点,WAI分组响应消息被封装在Radius报文中,将Radius认证结果返回接入点。
其中,发送单元1130具体用于对RADIUS的Vendor-Specific属性进行扩展,在 Vendor-Specific属性中携带WAI分组响应信息。 认证单元1120具体包括判断子单元,用于根据WAI分组信息中的分片标识确定 后续是否有分片;认证子单元,用于对于没有分片的WAI分组,根据WAI分组信息对接入点 进行WAI认证;对于有分片的分组,根据WAI分组信息中的分片序号恢复WAI分组信息,根 据WAI分组信息对接入点进行WAI认证。 发送单元1130具体用于通过有分片的WAI分组响应消息返回接入点,WAI分组响 应消息中包括报文头,不包括数据,报文头中分片序号为已接收的分片序号;或用于通过没 有分片的WAI分组响应消息返回接入点。 本发明提供了一种接入点,如图12所示,包括发送单元1210,用于向认证服务器 发送WAI认证请求消息,认证请求消息中携带WAI分组信息,并在WAI认证结束后,继续向 认证服务器发送Radius认证请求;接收单元1220,用于接收认证服务器返回的WAI分组认 证响应消息,认证响应消息中携带WAI认证结果,WAI分组响应消息被封装在Radius报文 中,并接收认证服务器返回的Radius认证结果。 其中,发送单元1210还用于WAI分组认证响应消息没有分片,向认证服务器发送 WAI请求消息,WAI请求消息中包括报文头,不包括数据;WAI分组认证响应消息有分片,向 认证服务器发送WAI请求消息,WAI请求消息中包括报文头,不包括数据,报文头中分片序 号为已接收的分片序号。 发送单元1210具体用于对RADIUS的Vendor-Specific属性进行扩展,在 Vendor-Specific属性中携带WAI分组请求信息。 本发明还提供了一种无线局域网的认证方法,如图13所示,包括以下步骤 步骤1301 ,将基于第一认证协议的认证请求消息封装于第二认证协议的报文中; 步骤1302,将封装好的第二认证协议的报文发送给认证服务器进行认证; 步骤1303,在接收到认证服务器返回的对基于第一认证协议的认证请求消息的响
应后,继续发送一个基于第二认证协议的认证请求报文给认证服务器; 步骤1304,接收认证服务器对基于第二认证协议的认证请求报文的响应。 通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到本发明可借助
软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更
佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的
部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若
干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发
明各个实施例所述的方法。 以上公开的仅为本发明的几个具体实施例,但是,本发明并非局限于此,任何本领 域的技术人员能思之的变化都应落入本发明的保护范围。
1权利要求
一种WAPI认证的方法,应用于包括接入点和认证服务器的系统中,其特征在于,所述方法包括以下步骤接收接入点发送的WAI认证请求消息,所述认证请求消息中携带WAI分组信息,其中该WAI认证请求消息被封装在Radius报文中;根据所述WAI分组信息对所述接入点进行WAI认证,并将WAI认证结果通过WAI分组响应消息返回所述接入点,所述WAI分组响应消息被封装在Radius报文中;在所述WAI认证结束后,继续接收所述接入点发送的Radius认证请求,并将Radius认证结果返回所述接入点。
2. 如权利要求1所述的方法,其特征在于,如果所述WAI认证结果是成功,则返回给所 述接入点的Radius认证结果是成功,如果所述WAI认证结果是拒绝,则返回给所述接入点 的Radius认证结果是拒绝。
3. 如权利要求1所述的方法,其特征在于,封装所述WAI认证请求消息的Radius报文 与封装所述WAI分组响应消息的Radius报文不同。
4. 如权利要求3所述的方法,其特征在于,封装所述WAI认证请求消息的Radius报文 是Access-Request报文,封装所述WAI分组响应消息的Radius报文是Access-Challenge 报文。
5. 如权利要求1所述的方法,其特征在于,所述根据所述WAI分组信息对所述接入点进 行WAI认证,具体包括根据所述WAI分组信息中的分片标识确定后续是否有分片,对于没有分片的WAI分组, 根据所述WAI分组信息对所述接入点进行WAI认证;或对于有分片的分组,根据WAI分组信息中的分片序号恢复WAI分组信息,根据所述WAI 分组信息对所述接入点进行WAI认证。
6. 如权利要求5所述的方法,其特征在于,所述将WAI认证结果通过WAI分组响应消息 返回所述接入点,具体为通过有分片的WAI分组响应消息返回所述接入点,所述WAI分组响应消息中包括报文 头,不包括数据,所述报文头中分片序号为已接收的分片序号;或 通过没有分片的WAI分组响应消息返回所述接入点。
7. 如权利要求6所述的方法,其特征在于,通过分片标识指示接入点,所述WAI分组响 应消息是否为有分片的WAI分组响应消息。
8. —种WAPI认证的方法,应用于包括接入点和认证服务器的系统中,其特征在于,所 述方法包括以下步骤向认证服务器发送WAI认证请求消息,所述认证请求消息中携带WAI分组信息; 接收所述认证服务器返回的WAI分组认证响应消息,所述认证响应消息中携带WAI认证结果,所述WAI分组响应消息被封装在Radius报文中;在所述WAI认证结束后,继续向所述认证服务器发送Radius认证请求,并接收所述认证服务器返回的Radius认证结果。
9. 如权利要求8所述的方法,其特征在于,所述接收所述认证服务器返回的WAI分组认 证响应消息之后还包括所述WAI分组认证响应消息没有分片,向所述认证服务器发送WAI请求消息,所述WAI请求消息中包括报文头,不包括数据;所述WAI分组认证响应消息有分片,向所述认证服务器发送WAI请求消息,所述WAI请 求消息中包括报文头,不包括数据,所述报文头中分片序号为已接收的分片序号。
10. —种WAPI认证的系统,其特征在于,包括接入点,用于向认证服务器发送WAI认证请求消息,所述认证请求消息中携带WAI分组 信息,接收所述认证服务器返回的WAI分组认证响应消息,所述认证响应消息中携带WAI认 证结果,所述WAI分组响应消息被封装在Radius报文中,并且在所述WAI认证结束后,继续 向所述认证服务器发送Radius认证请求;认证服务器,用于接收接入点发送的WAI认证请求消息,所述认证请求消息中携带WAI 分组信息,其中该WAI认证请求消息被封装在Radius报文中,根据所述WAI分组信息对所 述接入点进行WAI认证,将WAI认证结果通过WAI分组响应消息返回所述接入点,所述WAI 分组响应消息被封装在Radius报文中;并且在所述WAI认证结束后,继续接收所述接入点 发送的Radius认证请求,将Radius认证结果返回所述接入点。
全文摘要
本发明公开了一种WAPI认证的方法,应用于包括接入点和认证服务器的系统中,该方法包括接收接入点发送的WAI认证请求消息,认证请求消息中携带WAI分组信息,其中该WAI认证请求消息被封装在Radius报文中;根据WAI分组信息对所述接入点进行WAI认证,并将WAI认证结果通过WAI分组响应消息返回接入点,WAI分组响应消息被封装在Radius报文中;在WAI认证结束后,继续接收接入点发送的Radius认证请求,并将Radius认证结果返回接入点。本发明中,只需要部署一个认证服务器,可以进行证书认证、对用户授权、计费,系统部署简单,设备处理简单。本发明同时公开了一种WAPI认证的系统。
文档编号H04W84/02GK101754196SQ20081018287
公开日2010年6月23日 申请日期2008年12月11日 优先权日2008年12月11日
发明者张海涛, 漆昱 申请人:杭州华三通信技术有限公司