CN1805441B - Wlan网络集成认证体系结构及实现结构层的方法 - Google Patents

Abstract

本发明公开了一种WLAN网络集成认证体系结构。该结构在不改变网络结构的前提下，将WAPI与国际标准IEEE802.11i集成在一起，构建多种认证方案的集成认证平台来完成授权网络的接入认证。该体系结构包括管理子系统、安全子系统、执行子系统以及外部支撑子系统。该管理子系统，用于解析用户指令，并对安全子系统发出操作指令；该安全子系统，接受管理子系统的指令，应用认证模块，并通过执行子系统与底层驱动交互认证数据，完成认证；该外部支撑子系统，为安全子系统提供相关的证书验证服务。该体系结构层在网络系统中的链路层上实现，用户只需提供用户名、密码等基本信息，就能够完成无线网络认证接入操作。本发明可实现WAPI与国际标准兼容，适用于现有的WLAN网络环境。

Description

WLAN网络集成认证体系结构及实现结构层的方法

技术领域

本发明属于通信技术领域，涉及通信安全，具体地说是一种WLAN网络基础结构模式的集成认证体系结构，用于实现异构WLAN网络基础结构模式下的集成安全接入问题。

背景技术

随着互联网络的日益普及和发展，人类社会对于信息的需求量日见其高，同时也对获取信息的方式和手段提出了更高的要求，传统的固定上网方式也因移动通信工具保有量的骤增而受到了严重的挑战——WLAN网络正是迎合这一历史发展的潮流应运而生的产物：它在提供了信息高速获取的同时，更为重要的是赋予了人不受时间和地域环境限制的，无线信息获取能力。在无线环境下，由于通信信道的公开性，如何保证数据不被非法获取、不遭到破坏，以确保通信的安全成为了无线网络环境下至关重要的问题。

1989年国际标准化组织ISO提供了一个通用安全体系结构框架，SIO安全体系结构标准ISO/IEC7498-2称为：信息处理系统中的开放系统互连参考模型第2部分，即安全体系结构。该标准提供了安全服务与有关安全机制的一般描述，确定了在参考模型内部可以提供这些服务与机制的位置。该标准根据网络中可能存在的安全威胁将安全分为四级：链路级安全、网络级安全、端到端级安全和应用级安全。具体实现时用户可以根据自己的安全需求任选一个或多个级别上实现安全功能。该安全框架对安全体系具有理论指导意义，但并未给出具体的实现方法。

现有处于应用中的WLAN网络安全体系结构方案有：由WECA制定的有线等效协议WEP协议、由IEEE制订的第二层链路安全机制802.1x标准，即基于端口的访问控制协议及安全加密标准802.11i协议、GB15629.11/1102-2003无线网络强制安全标准WAPI无线局域网鉴别与保密基础结构、第3代移动通信项目伙伴计划3GPP提出的安全体系结构。这些安全体系应用于各自的适用场合，分别解决了自链路级以上的不同级别的安全，但他们同时又都存在一个普遍的问题，即由于所面临环境不同以及所实现安全强度的差异，每一种安全体系结构在链路级这一重要的、最基础级别的安全控制实现上有其各自的不同，例如：

WEP协议作为当前部署最为广泛的802.11b型网络的安全增强，其接入控制仅在低层采用开放和共享密钥链路验证两种方式；

802.11i协议作为新一代的无线网络安全协议标准，其接入控制采用的是开放式链路验证+802.1x，通过802.1x的EAP方法承载，实现TLS、TTLS、MD5、SIM、AKA等多种具体的高层认证方案；

WAPI协议借鉴了成熟的802.1x标准，其接入控制采用的是开放式链路验证+类802.1x，实现基于证书的身份校验；

3G与无线局域网耦合的网络，其接入控制采用的是802.1x的EAP-SIM或EAP-AKA方法实现。

这些无线网络安全协议的思路总体而言均为对所要保护的通信数据进行加密后传输，虽然采用的加密算法和密钥管理方法会有不同，但有一点是相同的，即安全协议首先要做的均是对访问者、接入点以及后端服务器的身份鉴别阶段。除了身份鉴别的工作外，该阶段通常还会为后续的密钥协商阶段提供协商所需的密钥素材，因此，对于一个合法用户，如需接入安全网络，必须通过第一阶段的身份认证。而上述现有的这些WLAN网络安全体系在结构上是无法实现链路级接入控制，即身份认证的兼容互通，而这种在接入上的差异则造成了客户终端在异构网络中接入的不可行性。即使用户的硬件具有多模的能力，但对于采用不同认证机制的异构网络的接入问题仍然是无能为力的。

由于用户所使用的接入设备，比如网卡，必须得到上层认证软件的支持，而这种支持对于该设备通常是单一的，也就意味着即使有了底层硬件、数据的支持，用户如欲接入不同架构的网络，也需要做更换硬件驱动，安装不同的上层认证软件等工作。当然，这些还要在基于已经获得了相应软件的前提下，这一点在网络架构多样化的今天，不仅对无线网络用户在使用上造成了极大地不便，也对异构网络的统一融合造成了阻碍。同时我们也看到国家标准WAPI与国际标准802.11i在身份认证方式上的差异，就目前而言，这种差异是无法弥补的，如果没有一种行之有效的将两者相结合的办法，对于WAPI国际地位的确立以及国内推行都会造成很大的影响。另外，随着技术的进步，新的网络安全协议会不断出现，类似的问题还会层出不穷，如果没有一种具有扩充性的体系结构方案加以应对，无疑也会对无线网络安全技术的发展造成一定的影响。

发明的内容

本发明的目的就是要解决异构网络的接入，即身份认证问题，提供一种WLAN网络集成认证体系结构及结构层的实现方法，以构建集成多种认证方案的集成认证平台来完成授权网络的接入认证。

本发明是这样实现的：

本发明是在对各种无线网络安全协议完整分析的基础上，应用模块化思想，提出了根据所面对问题及实现功能划分的分层的集成认证体系结构，该体系结构分层设计的依据是动态链接库技术在软件槽技术中的引入，而该软件槽技术的实现，主要依赖于在具有平台移植性的语言环境下的面向对象封装，通过对以上几种技术的融合，可以保证按照该体系结构要求所实现的集成认证平台软件的自适应性、移植性和扩充性。

本发明的WLAN网络集成认证体系结构包括：管理子系统、安全子系统、执行子系统以及外部支撑子系统，

所述的管理子系统，用于解析用户指令，并对安全子系统发出操作指令；

所述的安全子系统，接受管理子系统的指令，应用正确的认证模块，并通过执行子系统与底层驱动交互认证数据，完成认证，该底层是指链路层中与物理层通信的部分；

所述的外部支撑子系统，为安全子系统提供相关的证书验证服务。

上述WLAN网络集成认证体系结构，其中所述的的管理子系统包括：用户界面，为用户提供可视化的管理界面，允许用户通过该界面对认证过程中需要的参数进行配置；

安全管理器，对用户指令进行解析，并按照解析后的指令完成认证所需参数的配置以及策略选择；

调度管理器，对网络认证类型进行识别，并对认证模块进行选择和激活；

配置管理器，通过与用户的交互完成对底层驱动环境的选取和配置，并选择需要加载的认证模块；

异常管理器，将认证过程中出现的异常现象反馈给用户，帮助用户发现并改正错误。

上述WLAN网络集成认证体系结构，其中所述的安全子系统包括：

认证模块数据库，接受调度管理器的指令，从数据库中选择一个已加载的认证模块激活；

认证模块，用于与外部支撑子系统进行信息交互，完成基于证书的鉴别和认证过程；

数据加密模块，完成数据流的加解密工作；

密钥管理模块，完成客户端与接入端的密钥协商工作；

加载管理器，接受配置管理器的指令，加载指定认证模块，并将它们存放在认证模块数据库中，并对新的认证模块进行加载初始化；

策略管理器，接受安全管理器指令，设置网络认证策略；

日志管理器，处理安全体系结构中安全功能组件的日志，为以后的分析问题和决策提供依据。

上述WLAN网络集成认证体系结构，其中所述的执行子系统，包括：

驱动适配层，包含所有支持的驱动程序，为用户提供可选择合适的底层驱动程序；

接口控制引擎，主要完成对底层驱动程序的封装，为所有支持的底层驱动程序提供统一的接口。

上述WLAN网络集成认证体系结构，其中所述的外部安全支撑子系统，包括：

证书颁发机构，接受在线证书请求，证书的签发、审核和制作，证书发布，证书的归档及撤销，证书的更新，密钥的备份与恢复，交叉认证；

授权机构，对合法用户授予使用系统资源的权力；

信用数据库，存放证明用户真实性使用资源的权力及相关信息。

本发明的WLAN网络集成认证体系结构的实现，是在网络系统中的链路层上进行，即在现有链路层数据封装格式下，通过在链路层中设置WLAN网络集成认证体系结构层，对链路层底层硬件上交的认证数据进行处理，用户只需要提供用户名、密码等基本信息，就能够完成无线网络认证接入操作。

用本发明的WLAN网络集成认证体系结构进行认证数据的处理方法，按如下过程进行：

首先，由网络识别模块对不同认证类型的网络进行自动识别，并将识别后的结果交给调度管理器；

然后，由调度管理器根据网络识别的结果来激活具体的认证模块，进行安全认证；

最后，启动身份认证和密钥协商过程，由安全子系统中的安全接入引擎运行已激活的认证模块，并提取策略数据库中存储的用户名、用户密码、用户证书等信息，通过与执行子系统进行通信及非受控端口与外部支撑子系统进行通信，完成用户名、密码以及证书的鉴别，如果认证通过，用户就可以通过底层硬件接入无线网络，访问网络资源。

上述认证数据的处理方法，其中所述的由网络识别模块对不同认证类型的网络进行自动识别，是由网络识别模块通过驱动适配层从网卡上获取当前网络数据，根据收集到的网络数据，依据信标帧中的信息元素，以及关联后是否有链路安全认证帧，判断当前网络类型，判断后若是一种可识别的网络，则生成识别消息通知调度模块，若是一种不可识别的网络类型，则出于保证安全的目的不尝试接入，识别模块时直接报告错误后记录目志，等待用户在应用层给出处理方法。

上述认证数据的处理方法，其中所述的由调度管理器根据网络识别的结果来激活具体的认证模块，进行安全认证，按如下过程进行：

(1)解析执行子系统中的驱动适配层上交的数据，将结果反馈到用户界面，供用户选择，并将用户选择结果存入配置管理器中的配置信息数据库。

(2)通过加载引擎，加载所有用户选择的认证模块，并将成功加载的认证模块存放在安全接入引擎中的认证模块数据库中，如果加载失败，则管理子系统中的异常管理器向用户报警，反馈例如模块加载失败等错误，并记录日志，然后系统退出；如果加载成功，调度管理器根据当前识别出来的网络信息、内部状态以及调度策略综合考虑，实现具体的认证模块调度。

(3)在正常的识别出了网络类型后，自行选择可以用来进行网络接入认证的认证模块，并将这些认证模块加载，最终完成对网络的接入，同时根据内部的状态信息和网络识别消息检索调度选择策略来决定模块调度策略；

(4)若内部状态记录的当前已经激活的认证模块需要被新的认证模块取代时，则进行协议的切换调度，更新内部状态表，否则仍然使用原有的模块。

上述各种技术均具有成熟的理论依据，因而在实现上具有较高的安全性。

本发明具有如下优点：

1)统一性，本发明根据对WLAN网络的安全需求分析，从安全认证的角度出发、针对当前多种安全无线宽带IP网络并存的现状，提出了集成认证体系结构的思想，为异构网络统一认证接入的实现提供了理论依据；

2)扩展性，本发明提出的体系结构在设计时按功能进行了分层，即子系统的划分，在每一个子系统内部的设计时又依据功能细分设置了相关模块，通过这种相对独立模块化的设计，使得该体系结构在实际应用时可根据需要进行相应的扩展，具有一定的向后兼容性。

3)跨平台性，本发明提出的体系结构中设置了执行子系统，作为与下层进行数据交互的接口，同时该子系统中的实现模块也具有一定的扩充性，这也使得该体系结构具有跨平台实现的能力。

4)透明性，本发明通过对整个体系结构的子系统划分，使得体系结构在收到足够的信息后完全可以自适应的进行接入认证，从而使得用户对数据流的干预可能降到最低，不需要用户对已有系统的软硬件环境作太多改动即可完成异构网络的接入认证；同时由于集成认证体系结构在数据链路层的实现是基于对该层数据的采集和分析，并没有修改链路层数据的封装格式，因此对于其上的各层而言也是透明的。

5)鲁棒性，本发明的体系结构在设计上，由于将所有的安全机制集中在链路实现，因而实现了整个结构的分层化安全，并且对数据流进行了过滤，防止针对数据流的各种攻击方式，在认证模块调度时，加入了调度策略数据库以及应用层选择，防止降级攻击。

6)独立性，本发明以传输控制/网络互连协议TCP/IP协议栈为基础，将WLAN网络的集成认证体系结构方案定位于数据链路层来解决，无需对现有的WLAN接入技术加以变动，故保持了其独立性。

本发明在不改变网络结构的前提下，将WAPI与国际标准EEE802.11i集成在一起，并作为一个独立的结构装在移动终端上，由用户选择，不仅增强了系统的安全，而且具备较强的通用性，可以适用于现有的WLAN网络环境，并从网络的安全接入角度进行了完善，对目前已经投入使用的WLAN网络产品的异构网络安全接入问题是一个进行了全面考虑的综合性实现方案。

附图说明

图1是本发明集成认证体系结构实现技术在客户端系统中的位置层次图

图2是本发明集成认证体系结构实现技术在网络系统中的位置层次图

图3是本发明WLAN网络集成认证体系结构模型层次图

图4是本发明认证数据处理流程图

图5是本发明的认证模块调度流程图

图6是本发明实施例集成认证平台系统结构模型图

图7是本发明软插件的体系结构图

图8是本发明集成认证平台系统认证模块加载流程图

图9是本发明接口适配模块结构图

图10是本发明集成认证平台系统总体流程图

图11是现有EAPOL帧帧格式

图12是现有WAPI协议与IEEE802.11协议帧格式的差异；

具体实施方式

本发明在现有宽带无线IP网络接入方式的基础上，结合网络管理功能、密码学计算、公钥基础设施(Public Key Infrastructure，简称PKI)、AAA等安全实现技术，并借鉴了软件工程学中的动态链接库及软件槽技术，以分层，即子系统的方式进行该体系结构的设计，使得整个体系结构的各个部分得以有机的结合成为一个整体，同时能够满足体系结构的灵活性、自适应性、可移植性和扩充性要求。以下参照附图对本发明作进一步详细描述。

1.WLAN网络集成认证体系结构

参照图3，本发明的wLAN网络集成认证体系结构，由管理子系统、安全子系统、执行子系统以及外部支撑子系统4个部分组成。图3中各个虚线框之间是通过接口进行数据调用服务，其中管理子系统解析用户指令，对安全子系统进行操作，而安全子系统通过执行子系统于底层硬件交互数据，完成认证活动，外部支撑子系统则为安全子系统提供相关的证书验证服务。图3中的箭头描述了各个子系统之间的关系，以及数据流走向。各个子系统的具体结构如下：

1)管理子系统

管理子系统由用户界面、安全管理器、调度管理器、配置管理器和异常管理器构成。其中：

用户界面，为用户提供可视化的管理界面，允许用户通过该界面对认证过程中需要的参数进行配置，例如，用户名、密码以及认证方式等信息。用户通过对用户界面的可视化操作，完成参数配置等等工作。这种管理功能的提取，使得管理子系统与安全子系统功能分离，便于模块化实现，也体现了本发明体系结构的灵活性。

安全管理器，由用户指令解析器和安全控制引擎组成，该令解析器依据设定的规则完成对用户指令的解析；该安全控制引擎按照解析后的指令完成认证所需参数的配置以及策略选择等功能。

调度管理器，由调度管理数据库、内部状态表和调度引擎构成。该调度管理数据库中存储了所有认证模块的信息，该内部状态表则存储了现有的网络状态，例如网络类型，正在使用的认证模块及其状态等，该调度引擎通过与调度管理数据库以及内部状态表的交互完成网络认证类型识别、证模块的选择、激活以及添加新的扩展认证模块等工作。

配置管理器，由配置信息数据库和配置引擎组成。该配置管理器通过与用户的交互完成对底层驱动环境的选取和配置，并且选择要加载的认证模块。这种交互可以是即时读取用户提供信息，也可以是通过读配置文件的方式实现。

异常管理器：将认证过程中出现的异常现象，例如参数配置错误、驱动不匹配等反馈给用户，帮助用户发现并改正错误。

2)安全子系统

安全子系统主要完成整个集成认证过程，通过接受管理子系统的指令，安全子系统应用正确的认证模块，与底层驱动交互认证数据，完成认证。安全子系统是整个安全体系结构的核心内容，它包括：

认证模块数据库，包含了所有已加载的认证模块，接受调度管理器的指令，从数据库中选择一个已加载的认证模块激活。该模块数据库设计为具有一定的独立性，这种独立性也对新认证方案的加入提供了可行性支持。数据库中的模块支持某种认证协议与否，决定了能否使用这种认证方法接入。

认证模块，其中包含了认证模块数据库中已激活的认证方案。它与外部支撑子系统进行信息交互，完成基于证书的鉴别和认证过程。认证模块是整个集成认证体系结构的核心，每一个认证模块对应一种网络认证方法。

数据加密模块，完成数据流的加解密工作。例如，对称密钥系统加/解密、非对称密钥系统加/解密、哈希散列运算等。该模块功能的实现依赖于每一种认证方法的特定要求，一般而言，此模块是各认证方法所需加解密功能的合集。因此，该模块设计为具有一定的独立性以便扩充。

密钥管理模块，完成了客户端与接入端的密钥协商工作。整个系统通过密钥管理模块同接入端协商出主密钥、会话密钥等。同数据加密模块一样，该模块功能的实现也是依赖于每一种认证方法的特定要求，一般而言，此模块是各认证方法所需加解密功能的合集。因此，该模块也设计为具有一定的独立性以便扩充。

加载管理器，接受配置管理器的指令，加载指定认证模块，并将它们存放在认证模块数据库中，使多个认证模块处于待机状态，等待调度管理的激活。另外，在系统添加了新的认证模块时，加载管理器也对新的认证模块进行加载初始化，为本发明体系结构的可扩充性提供了支持。

策略管理器，接受安全管理器指令，设置网络认证策略。例如，设置链路认证方式为开放式链路认证或共享密钥认证。另外，策略管理器也能向用户反馈当前可用的网络认证策略，以便于用户选择。

日志管理器，处理安全体系结构中安全功能组件的日志，为以后的分析问题和决策提供依据，如记录认证的过程中可能出现的问题等。

3)执行子系统

执行子系统在集成认证体系结构中处于最低层次，是集成认证体系结构与网络硬件层之间的接口层，主要完成了安全子系统与底层硬件之间的数据交互。它由接口控制引擎和驱动适配层构成。其各自功能如下：

驱动适配层，包含了所有支持的驱动程序。用户可以通过配置管理器选择合适的底层驱动程序。该层的实现取决于用户的需求及当前的软件环境，因此，该层设计为具有一定的独立性以便扩充。

接口控制引擎，主要完成了对底层驱动程序的封装，为所有支持的底层驱动程序提供统一的接口。该模块的实现取决于驱动适配层的实现情况，因此，该模块同样设计为具有一定的独立性以便扩充。

4)外部安全支撑子系统

在本发明的体系结构中，要完成集成认证系统的安全目标与安全功能，需要外部安全支撑子系统，这些支撑系统是公钥基础设施PKI系统的一部分，该子系统包括：

证书颁发机构CA，CA是PKI系统中的核心部件，其功能有：接受在线证书请求，证书的签发、审核和制作，证书发布，证书的归档及撤销，证书的更新，密钥的备份与恢复，交叉认证等。CA的作用是在网络空间中确保用户身份的真实性，是独立于安全体系结构之外的被公认的安全可信机构。

授权机构AA，AA的作用是对合法用户授予使用系统资源的权力，通常是以属性证书的形式进行授权，一个合法用户只能有唯一的CA颁发用户证书，但可以有多个AA颁发属性证书，即该用户可以使用不同的系统资源，这样做的目的是便于实现细粒度的访问控制。

信用数据库CP，信用数据库的作用是存放证明用户真实性使用资源的权力等相关信息，如可以存放公钥证书、属性证书、证书撤消列表CRL等，这种信用数据库CP可以有多种方法实现，如目录服务或Web数据库。引入CP的目的是考虑到移动用户的存贮量有限，当需要对用户进行验证时，用户可以给出存放相关证书的CP地址，由安全接入引擎进行证书查询和下载。

2.本发明体系结构的认证数据操作流程

本发明的目的是使客户端能够接入多种认证类型的无线网络，而不需要为每一种无线网络都单独安装一种接入系统，其主要任务就是为客户端提供安全的网络连接、获得网络中的安全服务；为网络运营商提供可靠的用户身份认证方案，保证信息的授权访问等。

本发明的体系结构处于数据链路层的位置，如图2所示。本发明的数据链路层处于数据链路层中，同802.11b、802.11i、WAPI等等认证方式整合在一起，并通过获取底层网卡提供的信息，判断当前网络类型，并调用相应的认证方式进行用户身份认证。底层硬件上交的认证数据进行处理，而对于用户是完全透明的，用户只需要提供用户名、密码等基本信息，因此能够更好的完成无线网络认证接入操作，其认证数据的处理过程如图4所示。

1)网络识别处理过程

本发明中的集成认证体系结构在实施中，由于要达到集成接入的目的，因此实现对不同认证类型的网络自动识别，以便自适应接入，是整个体系结构的主要部分。集成接入体系结构的网络识别过程流程如下：

网络识别模块，在系统启动时启动。它通过驱动适配层从网卡上获取当前网络数据，这种数据主要是链路层数据，如信标帧，认证帧，关联帧等。网络识别模块根据收集到的网络数据，依据信标帧中的信息元素，以及关联后是否有链路安全认证帧，如EAPOL帧，针对WAPI的鉴别协议分组，判断当前网络类型。若是一种可识别的网络，则生成识别消息通知调度模块。若是一种不可识别的网络类型，则出于保证安全的目的不尝试接入，识别模块直接报告错误后记录日志，等待用户在应用层给出处理方法。

网络识别模块需要驱动适配层提供一个统一的接口，便于从网络适配器上获取各种需要的链路层数据，同时也需要和协议调度模块之间存在一个通讯接口，使得识别结果能够及时的传递给调度模块。

系统完成对网络类型的自动识别后，将识别结果交给调度管理器，开始认证模块调度操作。

2)模块调度过程

认证模块的调度，是本发明所提出的集成认证体系结构所独有的。调度管理器根据网络识别的结果来激活具体的认证模块，进行安全认证。调度管理器存在一个内部状态表IST以及调度策略数据库SPD，其中内部状态数据用来记录当前是否启用了具体的认证模块，以及启用了哪个认证模块，该认证模块完成接入的情况等信息。调度策略数据库主要完成调度策略的存储，数据库以当前的内部状态、网络识别信息为入口进行调度策略的选取。每个SPD入口有一组已识别的网络信息和内部状态定义，类似于IPSec中的“选择子”概念，模块调度流程如图5所示。即

系统初始化后，管理子系统中的配置管理器首先解析执行子系统中的驱动适配层上交的数据，将结果反馈到用户界面，供用户选择，并将用户选择结果存入配置管理器中的配置信息数据库。

配置管理器依据配置信息数据库的信息控制安全子系统中的加载管理器，通过加载引擎，加载所有用户选择的认证模块，并将成功加载的认证模块存放在安全接入引擎中的认证模块数据库中。

如果加载失败，则管理子系统中的异常管理器向用户报警，反馈例如模块加载失败等错误，并记录日志，然后系统退出。

如果加载成功，调度管理器根据当前识别出来的网络信息、内部状态以及调度策略综合考虑，实现具体的认证模块调度。当调度管理器根据网络信息正常的识别出了网络类型后，它会自行选择可以用来进行网络接入认证的认证模块，并将这些认证模块加载，最终完成对网络的接入。同时调度管理器根据内部的状态信息和网络识别消息检索调度选择策略来决定模块调度策略。而协议的调度策略尽量和用户进行交互，即对协议的调度要求与应用层协议进行交互，这意味着要接收用户的选择确认信息，只有实际用户才掌握与期望的网络有关的信息。若用户选择自动则完全由一个内部算法完成模块的调度选择功能。

若内部状态记录的当前已经激活的认证模块需要被新的认证模块取代，则进行协议的切换调度，更新内部状态表，否则仍然使用原有的模块。

至此模块加载调度完成，系统启动身份认证与随后的密钥协商过程。

3)认证及密钥协商过程

本发明的体系结构在现有网络认证协议的基础上，将各种认证方案都作为本系统的模块，并设定外部接口，使新的网络认证方案可以作为模块添加到本系统中，这样就满足了整个体系结构的可扩充性。

系统启动身份认证和密钥协商过程后，安全子系统中的安全接入引擎运行已激活的认证模块，并提取策略数据库中存储的用户名、用户密码、用户证书等等信息，通过与执行子系统进行通信，通过非受控端口与外部支撑子系统进行通信，完成用户名、密码以及证书的鉴别。如果认证失败，则管理子系统中的异常管理器会反馈用户所出现的问题，并记录日志，然后系统退出。如果认证通过，则安全子系统控制执行子系统，将端口设置为已认证。至此用户就可以通过底层硬件接入无线网络，访问网络资源。

3.集成认证体系结构实施方式

本发明集成认证的实现是在用户态，使用高层软件的方式对认证数据类型进行统一识别及管理，而在与底层信息交互的方式上，管理子系统和安全子系统在与执行子系统通信时，都采用统一的接口方式，尽量的做到了上层应用与核心态数据无关、与具体底层设备及驱动软件无关，使运行本体系结构所需的软硬件环境要求降到最低。也就是说，所有能够提交上层结构所需信息的软硬件资源都可以用来作为体系结构在功能及适用范围上做进一步扩充。

4.集成认证体系结构平台系统实施例

(1)集成认证体系结构平台系统的组成

参照图6，采用本发明结构组成的集成认证平台系统划分为五大模块，其底层功能做到了与用户无关，使得集成认证平台系统在使用上易于掌握；在功能扩展及后期维护上，也按照体系结构的设计要求，可以便捷的实现，仅需对相应模块做适当的加载或替换即可，有效地提高了该平台系统的适应能力及生命周期。图6中的双向箭头表示数据在模块中的流动方向，在下方虚线之上的部分即所有用户级的内容，均属于集成认证平台系统，系统内各模块功能详细说明如下：

a)主程序模块

集成平台主程序模块是整个插件系统的基础和主干，结构上属于管理子系统，其完成基本的系统功能，为可扩展的认证模块插件提供插入接口、通过统一插件接口接受插件提供的服务并提供给用户。该模块相当于一个具备通用性的总线结构，能够保证在有新的认证模块加入时，予以准确加载并正确地初始化该模块，但对于某一特定接入网络的认证模块的激活工作是由调度模块在下一步来完成的。集成平台主程序模块的主要功能可归结为：认证模块插件的探测、认证模块插件的加载、配置文件的解析、资源的分配和释放以及认证模块插件功能调用等。

b)调度模块

调度模块由认证调度模块和驱动调度模块两个部分组成，结构上仍然属于管理子系统。

驱动调度模块的功能为：根据用户环境参数的设置，在底层的网卡驱动模块组中选择合适的驱动模块。而对于每一个认证插件，其所能支持的驱动程序的种类取决于其内部定义，具体实现不一而足，这样就允许通过重新编译的方式使已有认证插件模块具有对新驱动程序的支持能力。

认证调度模块的功能为：根据用户配置文件的内容，实现平台认证插件模块的自适应调度。具体而言就是使认证平台具有两种能力：随着认证环境的变化，由用户配置文件预先设置的内容而自动选择相适应的认证模块；当配置文件无法提供有效信息时，由调度模块根据网络数据差异自主判断网络类型，必要时通过人机交互获取接入信息，以使认证申请者获得接入不同的异构网络的机会。

c)系统控制接口

独立的主程序模块和认证插件模块能够互相结合在一起工作，必须有一套规则和协议保证不同来源的程序能够协调运作。实现这些规则和协议的部分称为插件系统的插入接口，该接口层在结构上属于管理子系统和安全子系统的结合部。这是一个逻辑上的接口，在主程序和插件中各完成一部分，它完成插件的插入、调用、中止插件的服务。主程序与插件以及插件和插件之间的交互是插件系统中最重要的部分。

在认证平台中，主程序需要和各个认证平台之间进行信息的交互，这些信息的交互就是通过一系列的接口来实现的。接口从功能上主要分为：完成认证模块的注册、注销系统的注册类接口；实现各模块的加载和资源的分配的初始化接口；完成各个模块之间信息的交互的通讯接口；实现系统功能启用的功能接口。

在设计接口模块时，主要考虑了其扩展功能，使得该模块不仅能够将现有的功能模块有效的加载到平台中并实现正常运行，而且通过接口模块提供的接口能够方便的将新的功能模块加载到系统中，以便于实现认证模块的扩展。

接口模块对于系统来说处于核心地位，所有的数据流都是经过接口来传递的，因此接口的设计关系到系统的可扩展性和系统运行的效率。新的认证协议模块要按照接口的规范来编写，这样才能够保证新的协议模块能够在系统中正常运行。

d)可扩展的认证模块

可被主调度程序自动加载到集成系统中，系统的认证功能由各个认证模块提供服务，是整个集成系统的核心，其中主要包括802.11i模块，WAPI模块，802.1x模块，这些模块均以插件的形式于系统启动时加载。

认证模块在结构上归属于安全子系统，其扩展性是通过动态共享库技术实现的。各个认证模块均被设计为独立的动态链接库，并且利用软插件的体系结构，将其集成到平台中。集成认证平台将认证模块视为系统的插件对待，而认证模块则通过通用的接口模块与系统其它部分进行信息交互。这样，系统的认证功能逻辑上而言就具备了扩展性，当有新的认证方法要集成到系统中时，只要求按照接口规范编写认证模块，将自身作为一个插件加入到集成平台中。这种软插件的体系结构如图7所示。主程序通过系统接口对各个插件模块进行调度，选择适当的认证插件，控制各个认证插件间的通讯；同样，插件也通过系统接口，提供相应认证功能。

在集成认证平台中，认证模块集成和加载的过程如图8所示。系统启动后，先在插件安装目录下寻找插件DLL或者so文件。如果没有，则退出；如果有则调用插件内定义好的入口函数QueryPlugIn。若返回失败，则插件非法，返回继续查询其他插件；若返回成功，则通过查询函数QueryInterface查询该插件是否支持系统接口。若返回失败，则释放该插件，重新查询其他插件；若成功，则开始对该插件进行初始化。然后判断是否还有其他未搜索的插件，若有，则返回继续查询其他插件；若没有，则开始加载调度模块，调度模块根据用户配置，对驱动适配层进行配置，实现对驱动的封装。系统通过底层网卡提供信息，判断接入网络类型，加载对应模块，等待事件发生。该过程可以保证新的认证模块能够方便的加入到系统中并且正常的运行。其中为了满足扩展性的需求，将主程序中负责调度各个插件的工作，提取出来作为一个单独的调度模块。

e)支持扩展的驱动适配层

该模块主要功能是，根据认证协议的需要，对不同的驱动程序提交的数据，按照该协议所要求格式重新进行封装，目的是使每一种协议都能通过该模块按照自身的需求获取数据。同样，对认证协议发出的数据，该层将数据重新封装为指定驱动对应的数据。该模块属于执行子系统，模块功能主要通过数据和接口的封装来实现。该模块的主要特点在于统一了所有经过该层的数据格式，便于上层应用以及驱动层对数据的操作，有利于跨平台运行，也满足了低耦合、高内聚的原则。

接口适配模块的结构如图9所示。即上层认证插件模块可有多个，针对每一种不同的协议插件，例如802.11i，都有一个与之对应的驱动操作集wpai_driver_ops，wpa_driver_ops作为11i的操作集，统一封装了所有支持11i的驱动。同时，由于hostap驱动既支持11i协议，又支持WAPI协议，所以对于WAPI协议，hostap驱动又被wapi_driver_ops用另一种格式所封装，如图9中虚框标注部分所示。

接口适配模块的扩充性则主要体现在两方面：

一是当系统中添加了新的上层认证插件模块时，首先查找该插件模块内部定义所支持的驱动模块组，并将该认证插件信息注入相应的驱动模块中，如当前不存在支持该认证插件的驱动模块，则向用户报错并等待用户指定相应驱动程序路径，如获得所需信息，重复上步操作，否则报错退出。

二是当系统中添加了新的驱动程序时，则首先在这个驱动程序所支持协议的操作集中注册一个操作。当系统启动之后，首先查找操作集中是否注册了实际环境所要求的驱动程序，若有，则直接调用该驱动程序的封装，否则报错退出。

(2)集成认证平台系统认证功能的实现

本发明实施例的集成认证平台系统涉及的认证插件模块有802.11b、802.11i、WAPI和802.1x。下面分别就这几个模块之间的识别机制简要说明如下：

a)IEEE 802.1x机制的识别

IEEE 802.1x协议的体系结构包括三个重要的部分：1、客户端；2、认证系统；3、认证服务器。采用可扩展认证协议EAP，在客户端和认证系统之间传输；认证系统与认证服务器间同样运行EAP协议，EAP帧中封装了认证数据，将该协议承载在其他高层次协议中，如Radius，称为EAP over RADIUS，以便穿越复杂的网络到达认证服务器。

EAP消息封装在IEEE 802.1x消息中，称做EAPOL。EAPOL帧帧格式见图11。图11中，数据域之前的部分被称为EAPOL头，目的地址Destination Address和源地址Source Address分别占6个字节，端口实体的以太类型PAE Ethenet Type占据2个字节，固定为十六进制数0x888E来表明是EAPOL方式。Protocol Version字段占1个字节，表示EAPOL协议的版本。Type字段值用于决定数据包类型。Length字段占2个字节，表示数据段Data的长度。Data字段是EAP数据包，它又包含下面几个字段：Code字段表示该帧是请求帧，还是响应帧；identifier字段表示EAP数据包的类型；Length字段表示了EAP数据包中认证数据的长度；Data字段包含了EAP认证数据。集成认证平台通过检查EAPOL数据帧的头部该类型信息就可判断当前网络是否采用了802.1x机制。

b)IEEE 802.11i网络与IEEE 802.11b网络的识别

IEEE802.11i使用802.1x认证和密钥管理方式，在802.1x的基础上增加了四步握手密钥分发过程。在数据加密方面，定义了TKIP和CCMP两种加密机制；在帧格式上，与802.11b的帧格式基本相同，只有在能力信息字段不同，并增加了RSN信息元素。

如果一个终端设备想要接入802.11i网络，那么它首先要经过扫描、认证(链路认证)、关联三个步骤，这个过程对于802.11系列的网络也是一样的。而在802.11i网络中以上的基本过程完成后，用户并不能开始数据的交互——802.11i网络的接入在关联之后增加了一个上层的身份认证。802.11网络中使用安全关联RSNA的概念来描述安全操作，在一个准备使用RSNA的网络中，STA(AP)要在它的信标帧或探询响应帧中包含一个RSN信息元素。当要接入的目标AP表明了它支持RSNA时，STA的SME初始化一个关联，并将一个RSN信息元素插入到它的关联请求中。平台系统从信标帧或者探询响应帧中提取该RSN信息，这样就可以实现对802.11i网络的识别。

c)WAPI网络与IEEE 802.11b网络的识别

在一个WAPI网络中，除鉴别数据外，系统中AP与STA之间的网络协议数据的交换都是通过一个或多个功能等同于前面802.1X所描述的受控端口来实现的，受控端口状态由系统鉴别控制参数确定。

除上述安全相关部分外，WAPI与802.11在其他方面都是兼容互通的，其中最主要的就是两者在各种类型帧结构上的基本一致，这就对两种不同的无线网络环境下的统一接入通信提供了最基本的支持。

在链路验证阶段，WAPI采用的是开放链路验证模式；而在802.11网络环境中，对于链路的认证则采用两种模式：开放链路验证和共享密钥链路验证。

当802.11网络采用共享密钥链路验证时，可从链路验证帧体获取相关信息，以此来区分不同的网络环境。

当802.11网络也采用开放链路验证时，直到关联过程结束，其与WAPI的过程都是一致的，而遵循WAPI协议的设备随后会发出鉴别协议分组，即属于WAPI的管理帧，该鉴别协议分组则提供了网络环境的区分信息——WAPI的鉴别协议分组类型号0X88B4，即以太类型字段0X88B4，如图12所示。WAI鉴别协议分组帧的前两个字节即为鉴别协议分组类型号0X88B4。随后2个字节为协议版本号，目前都默认为1。鉴别分组类型也占2个字节，其标明该帧为鉴别请求帧或鉴别响应帧等等。保留字段为2字节，目前未使用。数据长度字段为2字节，其标明了数据段的长度。

3)集成认证平台系统工作流程

集成认证平台系统的整体工作流程如图10，具体过程如下：

1)系统准备阶段

a)操作系统启动，调入相应的网卡驱动模块，自动完成网卡的初始化、设置网卡工作在HostAP模式，成功后网卡启动。

b)主程序启动，完成各个认证模块、系统接口模块、驱动适配模块、调度模块的加载并完成各模块的初始化工作。

系统准备阶段完成后，系统的各个模块都已成功加载，主程序模块、相应的驱动模块、驱动适配模块、系统接口模块处于活动状态，但此时认证模块还未被激活。

2)STA被动扫描阶段

在系统准备阶段完成后，系统将执行被动扫描功能，完成对指定或所有可用的AP进行扫描。需要指明的是，链路验证帧总是由STA首先发出的，即链路验证算法总是由STA选取，AP只是接受一种链路验证方式而已。这样，就只能固定设置STA采用开放链路验证，否则，由于STA所面对的环境是未知而需要由集成认证平台来发现。需要接入的是802.11i或WAPI网络时，会因为AP不支持共享链路验证，导致链路验证无法进行，导致接入失败。

3)认证模块调度阶段

当STA接收到指定或可用的AP发出的信标帧后，通过驱动适配接口、系统接口传递到认证调度模块。调度模块通过接收的信标帧是否含有RSNIE，从而判断当前扫描到的网络是否是802.11i网：。

若是，则激活802.11i认证模块，包括802.1x认证，密钥管理及数据安全；

否则，继续接收后续帧直至完成STA与AP间的关联，根据关联成功之后收到的第一帧是否为WAPI鉴别激活帧，即判断依据为WAPI协议数据的以太类型字段0x88B4，来判别当前网络是否是WAPI；

若是，则激活WAPI认证模块；

否则，判断该帧是否是EAPol帧，即判断依据为802.1x协议数据以太类型字段0x888E；

若是则当前网络启用了802.1x认证，调度模块激活802.1x认证模块；

否则当前网络是802.11b网络，认证模块调度部分结束。

4)网络运行阶段

当系统调度模块完成某个认证模块的激活之后，整个系统正常运行。此时数据流向是由被激活的认证模块经系统接口、驱动适配到达硬件；反过程是由硬件通过驱动接口、系统接口送到相应的认证模块的。

5)认证结束

在此主要完成系统清理工作，包括各模块的卸载和相应资源的释放。该平台系统的组织层次和调用关系，实现了最主要的、基本的多认证功能，但对于异常处理、系统日志、计费管理等配套功能以及认证通过后数据传输的加解密实现则未加说明。

对于本领域的专业人员来说，在了解了本发明的技术内容后，都可能在不背离本发明技术方案的情况下，采用不同的实施方式，但这些实施方式仍在本发明的权利要求保护范围之内。

符号说明：

3G(The 3rd Generation)第三代

3GPP(The 3rd Generation Partnership Project)第三代合作伙伴计划

AA(Authorization Authority)授权机构

AAA(Authentication，Authorization and Accounting)鉴别授权和计费

AKA(Authentication and Key Agreement)认证和密钥协商

AP(Access Point)访问接入点

CA(Certificate Authority)证书授权中心

CCMP counter mode(CTR)with CBC-MAC[cipher-block chaining(CBC)with message authentication code(MAC)]Protocol增强的报文封装机制

CP(Credentialed Pository)信用数据库

CRL(Certificate Revocation List)证书撤消列表

EAP(Extensible Authentication Protocol)可扩展认证协议

EAPOL(Extensible Authentication Protocol over LAN)

EAP-AKA(Extensible Authentication Protocol-Authentication and Key Agreement)

EAP-SIM(Extensible Authentication Protocol-Subscriber Identity Module)

Ethenet Type以太类型

GB中华人民共和国国家标准

IEC(International Electrical Commission)国际电工委员会

IEEE(Institute of Electrical and Electronics Enlneers)美国电气与电子工程师学会

IP(Internet Protocol)Internet协议

IPSec(Internet Protocol Security)Internet协议安全性

ISO(International Organization for Standardization)国际标准化组织

IST(Inside State Table)内部状态表

MD5(Message Digest Algorithm5)信息摘要5

OSI(Open System Interconnect)开放式系统互联

PAE(PortAccess Entity)端口访问控制实体

PKI(Public Key Infrastructure)公钥基础设施

RADIUS(Remote Authentication Dial In User Service)远程验证拨号用户服务协议

RSN(Robust Security Network)健壮性安全网络

RSNA(Robust Security Network Association)健壮性安全网络关联

RSN IE(Robust Security Network Information Element)健壮性安全网络信息元素

SIM(Subscriber Identity Module)用户身份模块

SME(Station Management Entity)工作站管理实体

SPD(Security Policy Database)安全策略数据库

STA(Station)工作站

TLS(Transport Layer Security)传输层安全协议(TLS)

TKIP(Temporal Key Integrity Protocol)临时密钥完整性协议

TTLS(Tunnel Transport Layer Security)隧道传输层安全协议

WAPI(Wireless Local Area Network Authentication and Privacy Infrastructure)无线局域网鉴别与保密基础结构

WECA(Wireless Ethernet Compatibility Alliance)无线以太网兼容联盟

WEP(Wired Equivalent Privacy)有线等效加密WEP

WLAN(Wireless Local Area Network)无线局域网

Claims (6)

1.一种WLAN网络集成认证体系结构，包括管理子系统、安全子系统、执行子系统以及外部支撑子系统，其特征在于：

所述的管理子系统包括：

安全管理器，对用户指令进行解析，并按照解析后的指令完成认证所需参数的配置以及策略选择；

调度管理器，对网络认证类型进行识别，并对认证模块进行选择和激活；

配置管理器，通过与用户的交互完成对底层驱动环境的选取和配置，并选择需要加载的认证模块；

所述的安全子系统包括：

认证模块数据库，接受调度管理器的指令，从数据库中选择一个已加载的认证模块激活；

认证模块，用于与外部支撑子系统进行信息交互，完成基于证书的鉴别和认证过程。

2.根据权利要求1所述的WLAN网络集成认证体系结构，其特征在于管理子系统进一步包括：

用户界面，为用户提供可视化的管理界面，允许用户通过该界面对认证过程中需要的参数进行配置；

异常管理器，将认证过程中出现的异常现象反馈给用户，帮助用户发现并改正错误。

3.根据权利要求1所述的WLAN网络集成认证体系结构，其特征在于安全子系统进一步包括：

数据加密模块，完成数据流的加解密工作；

密钥管理模块，完成客户端与接入端的密钥协商工作；

加载管理器，接受配置管理器的指令，加载指定认证模块，并将它们存放在认证模块数据库中，并对新的认证模块进行加载初始化；

策略管理器，接受安全管理器指令，设置网络认证策略。

4.一种用权利要求1结构进行认证数据的处理方法，其过程如下：

首先，由网络识别模块对不同认证类型的网络进行自动识别，并将识别后的结果交给调度管理器；

然后，由调度管理器根据网络识别的结果来激活具体的认证模块，进行安全认证；

最后，启动身份认证和密钥协商过程，由安全子系统中的安全接入引擎运行已激活的认证模块，并提取策略数据库中存储的用户名、用户密码、用户证书信息，通过与执行子系统进行通信及非受控端口与外部支撑子系统进行通信，完成用户名、密码以及证书的鉴别，如果认证通过，用户就可以通过底层硬件接入无线网络，访问网络资源。

5.根据权利要求4所述的认证数据的处理方法，其中所述的由网络识别模块对不同认证类型的网络进行自动识别，是由网络识别模块通过驱动适配层从网卡上获取当前网络数据，根据收集到的网络数据，依据信标帧中的信息元素，以及关联后是否有链路安全认证帧，判断当前网络类型，判断后若是一种可识别的网络，则生成识别消息通知调度模块，若是一种不可识别的网络类型，则出于保证安全的目的不尝试接入，识别模块时直接报告错误后记录日志，等待用户在应用层给出处理方法。

6.根据权利要求4所述的认证数据的处理方法，其中所述的由调度管理器根据网络识别的结果来激活具体的认证模块，进行安全认证，按如下过程进行：

(1)解析执行子系统中的驱动适配层上交的数据，将结果反馈到用户界面，供用户选择，并将用户选择结果存入配置管理器中的配置信息数据库。

(2)通过加载引擎，加载所有用户选择的认证模块，并将成功加载的认证模块存放在安全接入引擎中的认证模块数据库中，如果加载失败，则管理子系统中的异常管理器向用户报警，反馈例如模块加载失败错误，并记录日志，然后系统退出；如果加载成功，调度管理器根据当前识别出来的网络信息、内部状态以及调度策略综合考虑，实现具体的认证模块调度。

(3)在正常的识别出了网络类型后，自行选择可以用来进行网络接入认证的认证模块，并将这些认证模块加载，最终完成对网络的接入，同时根据内部的状态信息和网络识别消息检索调度选择策略来决定模块调度策略；

(4)若内部状态记录的当前已经激活的认证模块需要被新的认证模块取代时，则进行协议的切换调度，更新内部状态表，否则仍然使用原有的模块。

Images