WO2008080353A1 - Procédé d'exploitation de réseau local sans fil basé sur une infrastructure d'authentification et de confidentialité de réseau wlan (wapi) - Google Patents

Description

基于 WAPI的 WLAN运营的方法

本申请要求于 2006年 12 月 29 日提交中国专利局、 申请号为 200610105378.3、 发明名称为"釆用分类终端证书实现基于 WAPI 的 WLAN运营的方法"的中国专利申请的优先权， 其全部内容通过引用 结合在本申请中。

技术领域

本发明涉及无线局域网领域， 尤其是一种基于 WAPI的 WLAN 运营的方法。

背景技术

无线局域网 WLAN ( Wireless Local Area Network )以其构架的灵 活性、 快捷性及可扩展性， 近几年发展迅速， 已经广泛应用于热点地 区运营、 企业、 行业和家庭领域。

对于无线局域网来说， 安全至关重要。 2003年 5月份我国颁布 了无线局域网国家标准 GB15629.il 和 GB15629.1102, 这是我国在 无线局域网领域首批颁布的标准。 2006年， 无线局域网国家标准第 1 号修改单 GB 15629.11-2003/XG1-2006 及其他相关子项标准 GB15629.1101、 GB/T 15629.1103和 GB15629.1104也颁布实施，初步 形成了无线局域网国家标准体系。标准体系中包含了全新的无线局域 网鉴别与保密基础结构 WAPI ( WLAN Authentication and Privacy Infrastructure )安全机制， 这种安全机制由无线局域网鉴别基础结构 WAI ( WLAN Authentication Infrastructure )和无线局 i或网保密基础结 构 WPI ( WLAN Privacy Infrastructure ) 两部分组成。

WAPI提供了基于证书的认证及密钥协商方法， 该方法可以提供 很高的安全性， 保证合法的用户接入合法的网络， 保护无线链路上的 数据安全。

当 WLAN在运营环境下应用时，认证和计费有非常密切的关系。 计费是在认证的基础上进行， 目前运营商们已经有各自成熟的认证计 费方式，但这些方式不一定可以和国家标准 GB 15629.11及其第 1号 修改单中定义的证书认证融合，如何匹配这些成熟的认证计费方式和 国家标准 GB 15629.11 及其第 1 号修改单中定义的证书认证， 是 WLAN运营的关键问题之一。

目前的认证机制 (如 Radius )仅实现网络对用户的单向认证， 在 认证的基础上实现计费等功能，该认证计费方式在链路比较安全的情 况下是有效的， 即在有线环境下比较适合。但无线局域网链路由于其 开放特征而非常不安全，这些认证计费方式直接应用在无线局域网中 会出现较大的安全问题。

发明内容

本发明提供一种符合国家标准并支持目前使用的多种认证、计费 方法的基于证书的 WAPI标准运营的方法，能够有效解决现有技术中 运营商用于无线局域网运营的认证和计费的方法和国家标准 GB 15629.11及其第 1号修改单中规定的认证方法不兼容的技术问题。

本发明的技术解决方案是：

一种基于 WAPI的 WLAN运营的方法， 包括：

鉴别服务器按照移动终端的分类， 为每一类移动终端颁发证书， 同类的移动终端釆用同一个证书，鉴别服务器为每个无线接入点颁发 证书， 移动终端和无线接入点安装鉴别服务器颁发的证书；

当移动终端需要访问网络时， 移动终端关联至无线接入点， 建立 链路连接； 无线接入点向移动终端发送鉴别激活帧， 启动认证过程； 移动终端和无线接入点根据国标 GB 15629.11及其第 1号修改单 规定， 通过鉴别服务器进行证书认证， 如果证书认证成功， 移动终端 和无线接入点进行会话密钥协商，无线接入点向移动终端通告组播密 钥；

无线接入点允许移动终端接入，根据不同的证书类型的鉴权信息 对终端用户进行接入控制；

以及接入控制器对移动终端的帐户信息进行认证；

服务器根据帐户信息认证的结果给出移动终端鉴权信息，移动终 端与网络进行信息数据的交换。

所述根据国标 GB 15629.11及其第 1号修改单规定， 移动终端和 无线接入点通过接入服务器进行证书认证的具体步骤包括：

无线接入点向移动终端发送鉴别激活；

移动终端向无线接入点发送接入鉴别请求，所述接入鉴别请求包 含移动终端的证书；

无线接入点向鉴别服务器发送证书鉴别请求，所述证书鉴别请求 包含移动终端和无线接入点的证书；

鉴别服务器对移动终端和无线接入点的证书进行验证，根据终端 证书类别和对应的接入控制策略确定相应的鉴权信息，鉴别服务器向 无线接入点返回证书鉴别响应，所述证书鉴别响应包含移动终端和无 线接入点证书的鉴别结果；

无线接入点根据鉴别服务器返回的移动终端证书鉴别结果确定 是否允许所述移动终端接入， 并向移动终端发送接入鉴别响应；

移动终端根据接入鉴别响应中鉴别服务器对无线接入点的证书 鉴别结果确定是否接入所述无线接入点， 若是则确定证书认证成功。

所述接入控制器对移动终端的帐户信息按如下步骤进行认证： 当 证书认证阶段完成， 用户浏览网络时， 系统自动弹出网页， 提示用户 输入用户名和密码， 服务器根据用户名和密码验证用户的身份， 并根 据认证结果控制网络的访问，如果认证成功，移动终端可以访问网络。

所述接入控制器对移动终端的帐户信息按如下步骤进行认证： 当 证书认证阶段完成， 移动终端利用用户识别模块 SIM ( Subscriber Identity Module )卡中的信息， 通过认证服务器与无线接入点进行身 份认证和会话密钥协商， 并根据认证结果控制网络的访问， 如果认证 成功， 移动终端可以访问网络。

本发明通过分离链路级认证和用户级身份鉴别两个相互独立的 过程， 使得无线局域网可作为原来运营网络的扩展， 并且使无线局域 网的运营管理和原来的运营网络相一致， 其中， 链路级认证用于保护 无线链路接入的安全， 用户级身份鉴别用于授权以及计费等管理服 务。

本发明在链路级认证过程釆用符合国家标准的安全接入技术，既 可实现用户和网络之间双向身份鉴别， 又可与原来的授权、计费等管 理 系 统兼容 ， 其 完全符合 国 标 GB15629.11-2003 、 GB 15629.11-2003/XG1-2006及其他子项标准的规定， 符合国家标准。

本发明在链路级认证过程釆用符合国家标准的安全接入技术，利 用基于公钥密码体系的证书机制， 真正实现了移动终端 （MT ) 与无 线接入点 ( AP ) 间的双向认证， 完全满足运营商对安全接入的要求， 使得无线链路的安全性得到保证； 并且其等同于有线链路， 除了保护 无线链路的安全接入和数据通信外，还可以有效地保护后续的用户帐 户认证阶段的信息， 在用户帐户信息认证阶段， 网络对移动终端的用 户身份进行进一步验证， 控制移动终端是否可以访问网络， 并根据认 证的结果控制访问网络以及对用户访问网络进行计费，因此本发明安 全性高。

本发明可以继续使用目前已有的用户认证计费方式， 灵活性好， 无线接入点设置好证书后， 无需再对后台的 AAA服务器进行设置， 安装、 组网便捷， 可用于大规模的热点等地区的运营。 本发明还可以 根据用户应用业务等的不同， 对用户进行分类， 并颁发基于用户类型 的证书， 在保证安全的基础上支持更灵活的用户等级配置策略， 从而 支持更灵活的运营方式。

具体实施方式

本发明通过分离链路级认证和用户级身份鉴别两个相互独立的 过程， 使得无线局域网可作为原来运营网络的扩展， 并且使无线局域 网的运营管理和原来的运营网络相一致。 为使本发明的目的、技术方 案及优点更加清楚明白， 下面举实施例， 对本发明进一步详细说明。

本发明实施例提供一种釆用分类终端证书实现基于 WAPI 的 WLAN运营的方法， 包括： 链路级认证步骤和帐户信息认证步骤， 其中：

链路级认证步骤如下：

1 ) 鉴别服务器 AS(Authentication Server)按照移动终端 MT ( Mobile Terminal ) 的分类， 为每一类移动终端颁发证书， 同类的移 动终端釆用同一个证书， 鉴别服务器为每个无线接入点 AP(Access Point)颁发证书，移动终端和无线接入点安装接入服务器颁发的证书； 其中， AS是提供身份鉴别服务和证书管理功能的网络实体； MT是 安装有无线网络适配器的终端； AP为移动终端提供网络接入服务的 设备；

2 ) 当移动终端需要访问网络时， 首先由移动终端关联至无线接 入点， 建立链路连接；

3 )移动终端关联至无线接入点后， 无线接入点向移动终端发送 鉴别激活帧， 启动认证过程；

4 )根据国标 GB 15629.11及其第 1号修改单规定， 移动终端和 无线接入点通过鉴别服务器进行证书认证；

所述步骤 4 ) 中无线接入点向移动终端发送鉴别激活， 然后可以 按照如下步骤进行证书认证：

4.1 )移动终端向无线接入点发送接入鉴别请求， 其中， 所述接 入鉴别请求包含移动终端的证书；

4.2 )无线接入点向鉴别服务器发送证书鉴别请求， 其中， 所述 证书鉴别请求包含移动终端和无线接入点的证书；

4.3 )鉴别服务器对移动终端和无线接入点的证书进行验证， 并 根据终端证书类别和对应的接入控制策略确定相应的鉴权信息，再由 鉴别服务器向无线接入点返回证书鉴别响应， 其中， 所述证书鉴别响 应包含移动终端和无线接入点证书的鉴别结果；

4.4 )无线接入点根据鉴别服务器返回的移动终端证书鉴别结果 确定是否允许该移动终端接入， 并向移动终端发送接入鉴别响应；

4.5 )移动终端根据接入鉴别响应中鉴别服务器对无线接入点的 证书鉴别结果确定是否接入该无线接入点， 若是则进至步骤 5 ), 否 则结束。

5 )如果证书认证成功， 移动终端和无线接入点进行会话密钥协 商， 无线接入点向移动终端通告组播密钥；

6 )无线接入点允许移动终端接入， 并根据不同的证书类型的鉴 权信息对终端用户进行接入控制；

帐户信息认证步骤如下：

7 )接入控制器 AC(Access Control)对移动终端的帐户信息进行认 证， 其中， AC是对用户访问网络提供接入控制的网络设备；

8 )服务器根据帐户信息认证的结果给出移动终端鉴权信息， 移 动终端与网络进行信息数据的交换， 即移动终端可以访问网络。

在上述实施例中， 所述步骤 7 ) 中接入控制器对移动终端的帐户 信息可以按照如下步骤进行认证： 当证书认证阶段完成， 用户浏览网 络时， 系统自动弹出网页， 提示用户输入用户名和密码， 接入服务器 根据用户名和密码验证用户的身份， 并根据认证结果控制网络的访 问， 如果认证成功， 移动终端可以访问网络。

在上述实施例中， 所述步骤 7 ) 中接入控制器对移动终端的帐户 信息还可以按照如下步骤进行认证： 当证书认证阶段完成， 移动终端 利用 SIM卡中的信息， 通过认证服务器与无线接入点进行身份认证 和会话密钥协商， 并根据认证结果控制网络的访问， 如果认证成功， 移动终端可以访问网络。

Claims

权 利 要 求

1、 一种基于 WAPI的 WLAN运营的方法， 其特征在于， 包括： 鉴别服务器按照移动终端的分类， 为每一类移动终端颁发证书， 同类的移动终端釆用同一个证书，鉴别服务器为每个无线接入点颁发 证书， 移动终端和无线接入点安装鉴别服务器颁发的证书；

当移动终端需要访问网络时， 移动终端关联至无线接入点， 建立 链路连接； 无线接入点向移动终端发送鉴别激活帧， 启动认证过程； 移动终端和无线接入点根据国标 GB 15629.11及其第 1号修改单 规定， 通过鉴别服务器进行证书认证， 如果证书认证成功， 移动终端 和无线接入点进行会话密钥协商，无线接入点向移动终端通告组播密 钥；

无线接入点允许移动终端接入，根据不同的证书类型的鉴权信息 对终端用户进行接入控制；

以及接入控制器对移动终端的帐户信息进行认证；

服务器根据帐户信息认证的结果给出移动终端鉴权信息，移动终 端与网络进行信息数据的交换。

2、根据权利要求 1所述的基于 WAPI的 WLAN运营的方法， 其 特征在于： 所述根据国标 GB 15629.11及其第 1号修改单规定， 移动 终端和无线接入点通过接入服务器进行证书认证的具体步骤包括： 无线接入点向移动终端发送鉴别激活；

移动终端向无线接入点发送接入鉴别请求，所述接入鉴别请求包 含移动终端的证书；

无线接入点向鉴别服务器发送证书鉴别请求，所述证书鉴别请求 包含移动终端和无线接入点的证书；

鉴别服务器对移动终端和无线接入点的证书进行验证，根据终端 证书类别和对应的接入控制策略确定相应的鉴权信息，鉴别服务器向 无线接入点返回证书鉴别响应，所述证书鉴别响应包含移动终端和无 线接入点证书的鉴别结果；

无线接入点根据鉴别服务器返回的移动终端证书鉴别结果确定 是否允许所述移动终端接入， 并向移动终端发送接入鉴别响应； 移动终端根据接入鉴别响应中鉴别服务器对无线接入点的证书 鉴别结果确定是否接入所述无线接入点， 若是则确定证书认证成功。

3、根据权利要求 1或 2所述的基于 WAPI的 WLAN运营的方法， 其特征在于：所述接入控制器对移动终端的帐户信息按如下步骤进行 认证：

当证书认证阶段完成， 用户浏览网络时， 系统自动弹出网页， 提 示用户输入用户名和密码， 服务器根据用户名和密码验证用户的身 份， 并根据认证结果控制网络的访问， 如果认证成功， 移动终端可以 访问网络。

4、根据权利要求 1或 2所述的基于 WAPI的 WLAN运营的方法， 其特征在于：所述接入控制器对移动终端的帐户信息按如下步骤进行 认证：

当证书认证阶段完成， 移动终端利用 SIM卡中的信息， 通过认 证服务器与无线接入点进行身份认证和会话密钥协商，并根据认证结 果控制网络的访问， 如果认证成功， 移动终端可以访问网络。