CN101018175A - 基于wapi的实现互联网接入认证的网络系统和方法 - Google Patents
基于wapi的实现互联网接入认证的网络系统和方法 Download PDFInfo
- Publication number
- CN101018175A CN101018175A CN 200710064436 CN200710064436A CN101018175A CN 101018175 A CN101018175 A CN 101018175A CN 200710064436 CN200710064436 CN 200710064436 CN 200710064436 A CN200710064436 A CN 200710064436A CN 101018175 A CN101018175 A CN 101018175A
- Authority
- CN
- China
- Prior art keywords
- public key
- asu
- key certificate
- sta
- hasu
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Mobile Radio Communication Systems (AREA)
Abstract
一种基于WAPI的实现互联网接入认证的网络系统和方法,系统包括:因特网,电信网,AAA服务器,归属地认证服务器HASU,各本地网的多个ASU,接入控制器AC,无线接入点AP和装有WAPI无线网卡的终端STA;STA藉由AP和AC接入网络时,ASU与STA之间通过用户公钥证书进行身份鉴别后,才允许STA接入当地网络;其创新点是该系统还包括全网唯一的、给全网所有ASU和自己颁发公钥证书的根认证服务器RASU,藉由该公钥证书在各个ASU之间建立信任关系,并使得ASU与漫游终端STA间建立信任关系。本发明网络系统结构简单,实现方法步骤简单;但是,能实现用户对当地网络的信任和不同地区的WAPI网络间的互相信任,更好地为用户、尤其是异地漫游用户提供无线接入认证服务。
Description
技术领域
本发明涉及一种无线局域网的安全技术,确切地说,涉及一种基于WAPI的实现互联网接入认证的网络系统和方法,属于无线通信技术领域。
背景技术
随着无线局域网的迅速发展,其安全问题日益受到人们的关注。国际标准ISO IEC 8802-11定义的开放系统与共享密钥两种链路验证机制及有线加强等效保密WEP(Wired Equivalency Privacy)安全协议来解决安全问题,但是,安全漏洞依然存在。为了弥补ISO IEC 8802-11中安全协议存在的漏洞,中国分别于2003年和2006年颁发了一系列无线局域网的国家标准GB 15629.11/1102与GB 15629.11-2003/XG1-2006/1101/1103/1104。GB 15629.11来克服传统安全方案的不足。这些标准是由中国宽带无线IP标准工作组制订和提出的具有自主知识产权的安全协议-无线局域网鉴别与保密基础结构WAPI(WLANAuthentication and Privacy Infrastructure),它是用于规范现行的802.11相关传输协议的安全加密标准。其主要技术特征包括:采用公钥密码技术,实现访问控制,数据机密性和数据完整性等。WAPI协议包含两个部分:无线局域网鉴别基础结构WAI(WLAN Authentication Infrastructure)和无线局域网保密基础结构WPI(WLAN Privacy Infrastructure),其中,WAI用于完成用户的身份鉴别与密钥管理,是实现WAPI的基础。
基于WAPI的互联网接入运营的技术方案,对于运营商来说,必须易于部署,符合现有业务开展和管理流程;同时必须与现有WLAN接入业务无缝集成,例如:必须支持WAPI作为现有WLAN业务的附加业务,必须支持WAPI作为独立于WLAN业务的接入业务。对于用户来说,办理业务的程序必须简单,且符合现有业务的办理习惯;必须提供用户安全快捷、方便使用和管理的宽带无线接入业务的使用方式;使用界面必须友好,操作简单。
WAPI是一种安全认证保密基础结构,它可以为用户提供安全的服务,但是,在WLAN引入WAPI标准解决数据的传输安全性能后,WAPI标准也为基于WLAN的宽带互联网接入业务部署带来了以下困难:电子证书的颁发与管理问题和用户漫游时与当地网络之间的信任问题仍然未得到解决。下面简要说明之:
(1)证书的管理:因为网络中每个用户终端都有唯一的证书。公钥证书作为用户终端使用WAPI网络时表明身份的凭证,需要进行安全的管理。公钥证书的管理包括网络上保存的公钥证书管理和用户计算机上的公钥证书管理。
(2)用户的异地漫游;全网在进行WAPI网络部署时,随着用户的增长,可能会设置多个认证服务器ASU。用户终端在颁发公钥证书后,在异地可使用WAPI互联网接入业务。在WAPI标准中要求ASU能鉴别用户终端的公钥证书。由于该用户终端的公钥证书不是当前漫游地认证服务器ASU颁发的,漫游地ASU无法对该用户进行鉴别,无法完成对该用户身份的认证。
因此,如何设计一种基于WAPI的实现互联网接入认证的技术方案,使其能够更好地为用户(尤其是异地漫游用户)提供服务已经成为目前WAPI领域技术人员所关注和研究的热点之一。
发明内容
有鉴于此,本发明的目的是提供一种基于WAPI的实现互联网接入认证的网络系统和方法,本发明的网络系统结构简单,实现方法的操作步骤也比较简单;但是,功效明显:能够实现用户对当地网络的信任和实现不同地区的WAPI网络间的互相信任,从而更好地为用户、尤其是异地漫游用户提供无线接入认证服务。
为了达到上述目的,本发明提供了一种基于WAPI的实现互联网接入认证的网络系统,包括:因特网,电信网,位于电信网中的为用户提供身份验证、授权和计费服务的AAA服务器、用户归属地的认证服务器HASU和分别位于各个本地网的多个认证服务器ASU、以及与AAA服务器、各个认证服务器ASU和所有网络直接相连的接入控制器AC、无线接入点AP和装有WAPI无线网卡的终端STA;STA藉由AP和AC接入网络时,ASU与STA之间通过用户公钥证书进行身份鉴别后,才允许STA接入当地网络;其特征在于:所述系统还包括有:
全网唯一的根认证服务器RASU,用于给全网所有认证服务器ASU颁发公钥证书,也为自己颁发公钥证书,以便藉由该公钥证书在各个ASU之间建立相互信任关系,并使得ASU与漫游到本地的终端STA之间建立相互信任关系。
所述全网唯一的根认证服务器RASU的公钥证书是随同客户端软件一起安装在终端STA中,STA利用该RASU公钥证书对从认证服务器获取的HASU或ASU公钥证书进行真伪鉴别,以获取对本地和异地网络的信任,进而实现终端的异地漫游功能。
所述归属认证服务器HASU和多个位于各本地网的认证服务器ASU都分别存储有RASU所颁发的公钥证书,以便使用该RASU公钥证书来鉴别获取的其它某个ASU的公钥证书的真伪,判断是否信任该ASU,进而鉴别接收该ASU所颁发的用户公钥证书的STA是否合法。
所述各个认证服务器ASU都分别存储、维护有各自信任的ASU列表,当漫游到本地的STA的归属地的认证服务器HASU不在本地ASU信任的ASU列表中时,所述STA需要获取其归属地的认证服务器HASU的公钥证书。
所述终端STA都分别存储、维护有各自所信任的ASU列表,当该终端STA漫游地的ASU不在该终端STA信任的ASU列表中时,需要获取漫游地的ASU的公钥证书,以便利用该终端STA中已有的RASU公钥证书来判断漫游地的ASU的合法性,进而判断当前网络的合法性。
为了达到上述目的,本发明还提供了一种基于WAPI的实现互联网接入认证的网络系统的接入认证的实现方法,其特征在于:终端STA进行WAPI连接之前的证书认证流程包括下列操作步骤:
(1)RASU为自己颁发RASU公钥证书;
(2)RASU为全网所有的ASU服务器颁发ASU公钥证书:颁发过程是先判断ASU是否已有ASU公钥证书,若没有,则由ASU重新生成私钥和对应ASU公钥证书,请求RASU为其颁发ASU公钥证书,即RASU利用私钥为ASU公钥证书签名;否则,进入后续操作;如果ASU丢失ASU公钥证书,则请求RASU重新给ASU颁发ASU公钥证书;
(3)全网所有的ASU服务器各自分别存储有RASU公钥证书,若某个ASU服务器没有RASU公钥证书,则由该ASU向网络请求下载RASU公钥证书;否则,进入后续操作;如果ASU丢失RASU公钥证书,则向网络请求重新下载RASU公钥证书;
(4)STA利用RASU公钥证书验证本地HASU合法性:终端STA在安装客户端软件的同时,也安装全网唯一的RASU公钥证书,以便该STA接入网络时先请求归属地认证服务器HASU的公钥证书,并利用该RASU公钥证书对HASU公钥证书进行鉴别;且如果HASU公钥证书鉴别成功,则STA保存HASU公钥证书;
(5)STA利用RASU公钥证书验证漫游地ASU的合法性:终端STA漫游到异地时,必须先与当地网络建立信任关系,即验证当前网络的合法性,则STA请求当前漫游地认证服务器ASU的公钥证书,并利用RASU公钥证书对当地的ASU公钥证书进行鉴别;且如果ASU公钥证书鉴别成功,则STA保存该ASU公钥证书;
(6)漫游地ASU利用RASU公钥证书验证HASU公钥证书的合法性:当STA漫游到异地时,漫游地的网络要验证该STA的合法性,即该漫游地的ASU要求获取该STA归属地的HASU公钥证书,并利用RASU公钥证书对该HASU公钥证书进行鉴别;若鉴别成功,则认为该HASU公钥证书合法,就将该HASU添加至可信任的ASU列表中;如果该HASU公钥证书鉴别失败,则丢弃该HASU证书,并认为该STA为非法用户。
所述步骤(4)进一步包括下列操作内容:
(41)STA先判断归属地认证服务器HASU是否在其存储、维护的可信任ASU列表中,如果是,则认为该网络可信任,可以接入;否则对该网络不信任,并获取该HASU的公钥证书;
(42)STA利用已安装的根认证服务器RASU公钥证书对所获取的HASU公钥证书进行鉴别,如果鉴别成功,则将该HASU添加至可信任ASU列表中;若鉴别失败,则丢弃HASU公钥证书。
所述步骤(5)进一步包括下列操作内容:
(51)STA先判断漫游地认证服务器ASU是否在其存储、维护的可信任ASU列表中,如果是,则认为该网络可信任,可以接入;否则对该网络不信任,并获取该ASU的公钥证书;
(52)STA利用已安装的根认证服务器RASU公钥证书对所获取的ASU公钥证书进行鉴别,如果鉴别成功,则将该ASU添加至可信任ASU列表中;若鉴别失败,则丢弃HASU公钥证书。
所述步骤(6)进一步包括下列操作内容:
(61)漫游地的ASU先判断该STA所归属的HASU是否在可信任ASU列表中,如果是,则认为该HASU可信任,同时利用已有的HASU公钥证书对STA公钥证书进行鉴别,如果鉴别成功,则判断STA可信任,允许接入;如果鉴别失败,则判断STA不可信任,不允许接入;
(62)如果STA所归属的HASU不存在于漫游地的ASU可信任列表中,则漫游地的ASU从网络获取该HASU公钥证书;
(63)ASU利用已存储的RASU公钥证书对刚刚获取的HASU公钥证书进行鉴别,如果鉴别成功,则将该HASU添加至ASU信任列表中;若鉴别失败,则丢弃HASU公钥证书,并认为该STA为非法用户。
本发明是一种基于WAPI的实现互联网接入认证的网络系统和方法,它的技术创新点和有益效果是:本发明的网络系统引入全网唯一的根认证服务器RASU,负责为全网所有ASU服务器发放RASU公钥证书,并以此建立各个ASU之间的信任关系,且使得ASU能够对漫游到本地的STA建立信任关系。RASU公钥证书随客户端软件一起同时安装在STA上,辅助用户完成对归属地HASU服务器和漫游地ASU服务器的身份鉴别,以获取对本地和异地无线局域网的信任,从而实现用户终端的异地漫游功能。总之,本发明的实施可以更好地为用户终端、尤其是异地漫游用户终端提供安全、方便的接入认证服务,具有很好的推广应用前景。
附图说明
图1是本发明基于WAPI的实现互联网接入认证的网络系统结构组成示意图。
图2是本发明基于WAPI的实现互联网接入认证的网络系统的接入认证的实现方法流程方框图。
图3是图2中步骤(2)的具体操作步骤方框图。
图4是图2中步骤(3)的具体操作步骤方框图。
图5是图2中步骤(4)或(5)的具体操作步骤方框图。
图6是图2中步骤(6)的具体操作步骤方框图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面结合附图对本发明作进一步的详细描述。
参见图1,具体介绍本发明基于WAPI的实现互联网接入认证的网络系统的结构组成,包括:因特网,电信网,位于电信网中的AAA服务器、用户归属地的HASU认证服务器和分别位于各个本地网的多个ASU认证服务器、以及与AAA服务器、各个认证服务器ASU和所有网络直接相连的接入控制器AC、无线接入点AP和装有WAPI无线网卡的终端STA(例如:笔记本电脑、PDA等);STA藉由AP和AC接入网络时,ASU与STA之间通过用户公钥证书进行身份鉴别后,才允许STA接入当地网络;其特点是系统还包括有:一个全网唯一的、用于给全网所有认证服务器ASU(包括自身)颁发RASU公钥证书的根认证服务器RASU,藉由该RASU公钥证书在各个ASU之间建立相互信任关系,并使得ASU与漫游到本地的终端STA之间建立相互信任关系。
RASU的公钥证书是随同客户端软件一起安装在终端STA上的,辅助用户终端完成对HASU和ASU的身份鉴别,以获取对本地和异地网络的信任,从而实现用户的异地漫游功能。终端STA都分别存储、维护有各自信任的ASU列表,当该终端STA所在地的ASU不在信任列表中时,则STA要获取该ASU的公钥证书,以便利用该终端STA中已安装的RASU公钥证书对从认证服务器获取的HASU或ASU公钥证书进行真伪鉴别,以获取对本地和异地无线网络的信任,进而实现终端的异地漫游功能。
各个认证服务器HASU或ASU都分别存储、维护有各自信任的ASU列表,当漫游到本地的STA的归属地HASU不在本地ASU信任的ASU列表中时,该STA需要获取其归属地HASU的公钥证书,以便该ASU与该漫游到本地的STA之间通过证书进行身份鉴别,使得用户能够接入当地网络。也就是说,用户终端漫游到异地时,异地ASU通过鉴别该漫游终端归属地HASU身份来确认STA身份的合法性。
此外,归属地认证服务器HASU和多个位于各本地网的认证服务器ASU都分别存储有RASU的公钥证书,以便使用该RASU公钥证书来鉴别其它某个ASU的公钥证书的真伪,判断是否信任该ASU,进而鉴别该ASU网内的STA是否合法。
下面参见图2~图6,说明本发明基于WAPI的实现互联网接入认证的网络系统的接入认证的实现方法,即用户终端进行WAPI连接之前的证书认证流程:
(1)RASU为自己颁发RASU公钥证书,并为全网所有的ASU服务器颁发ASU公钥证书:该操作步骤主要是由全网唯一的根认证服务器RASU为所有ASU服务器颁发ASU公钥证书。颁发过程(参见图3)是:先判断ASU是否已有ASU公钥证书,若没有,则由ASU重新生成私钥和对应的ASU公钥证书,请求RASU为其颁发ASU公钥证书;否则,顺序执行后续操作;如果ASU丢失ASU公钥证书,则RASU要重新给ASU颁发ASU公钥证书。
(2)全网所有的ASU服务器各自分别存储RASU公钥证书:该步骤是ASU服务器向网络请求下载全网唯一的RASU公钥证书。下载过程(参见图4)是:先判断ASU服务器是否存储有RASU公钥证书,若没有,则由ASU向网络请求下载RASU公钥证书;否则,顺序执行后续操作;如果ASU丢失RASU公钥证书,则向网络重新请求下载RASU公钥证书。
(3)STA利用RASU公钥证书验证本地HASU合法性;终端STA在安装客户端软件的同时,也安装了全网唯一的RASU公钥证书,用于该STA接入网络时先请求归属地HASU的公钥证书,并利用该RASU公钥证书对HASU公钥证书进行鉴别;如果HASU公钥证书鉴别成功,则STA保存HASU公钥证书。下面参见图5,说明该步骤的具体操作内容:
(31)STA先判断归属地HASU认证服务器是否在其存储、维护的可信任ASU列表中,如果是,则认为该网络可信任,可以接入;否则对该网络不信任,并获取该HASU的公钥证书。
(32)STA利用已安装的RASU公钥证书对所获取的HASU公钥证书进行鉴别,如果鉴别成功,则将该HASU添加至可信任ASU列表中;若鉴别失败,则丢弃HASU公钥证书。
(4)STA利用RASU公钥证书验证漫游地ASU的合法性:终端STA漫游到异地时,必须先与当地网络建立信任关系,即验证漫游地网络的合法性,则STA请求当前漫游地ASU的公钥证书,并利用RASU公钥证书鉴别当地的ASU公钥证书;如果ASU公钥证书鉴别成功,则STA保存该ASU公钥证书。该步骤证书鉴别的具体操作流程与图5所示的STA鉴别HASU公钥证书的步骤相同,其区别只是将其中的归属地HASU改为漫游地ASU。
(5)漫游地ASU利用RASU公钥证书验证HASU公钥证书的合法性:STA与HASU之间建立的信任关系只能保证在本地接入安全WAPI网络,但无法保证在漫游地接入安全WAPI网络。当STA漫游到异地时,漫游地的网络要验证该STA的合法性,即该漫游地的ASU要求获取该STA归属地的HASU公钥证书,并利用RASU公钥证书对该HASU公钥证书进行鉴别;若鉴别成功,则认为该HASU公钥证书合法,就将该HASU添加至可信任的ASU列表中;如果该HASU公钥证书鉴别失败,则丢弃该HASU证书,并认为该STA为非法用户。下面参见图6,说明该步骤的具体操作内容:
(51)漫游地的ASU先判断该STA所归属的HASU是否位于可信任ASU列表中,如果是,则认为该HASU可信任,同时利用已存储的HASU公钥证书对STA公钥证书进行鉴别,如果鉴别成功,则判断STA可信任,允许接入;如果鉴别失败,则判断STA不可信任,不允许接入;
(52)如果STA所归属的HASU不存在于漫游地的ASU可信任列表中,则漫游地的ASU从网络获取该HASU公钥证书;
(53)ASU利用已存储的RASU公钥证书对刚刚获取的该HASU公钥证书进行鉴别,如果鉴别成功,则将该HASU添加至ASU信任列表中;若鉴别失败,则丢弃HASU公钥证书,并认为该STA为非法用户。
因此,当STA对用户终端公钥证书、ASU公钥证书下载完毕后,用户终端STA即可信任当前网络;当漫游地ASU对HASU公钥证书进行鉴别成功后,即可信任HASU,从而对STA进行信任;当STA与ASU建立了信任关系后,用户终端STA即可在漫游地使用WAPI网络,使得用户在漫游地仍可得到安全、方便的服务。
Claims (10)
1、一种基于WAPI的实现互联网接入认证的网络系统,包括:因特网,电信网,位于电信网中的为用户提供身份验证、授权和计费服务的AAA服务器、用户归属地的认证服务器HASU和分别位于各个本地网的多个认证服务器ASU、以及与AAA服务器、各个认证服务器ASU和所有网络直接相连的接入控制器AC、无线接入点AP和装有WAPI无线网卡的终端STA;STA藉由AP和AC接入网络时,ASU与STA之间通过用户公钥证书进行身份鉴别后,才允许STA接入当地网络;其特征在于:所述系统还包括有:
全网唯一的根认证服务器RASU,用于给全网所有认证服务器ASU颁发公钥证书,也为自己颁发公钥证书,以便藉由该公钥证书在各个ASU之间建立相互信任关系,并使得ASU与漫游到本地的终端STA之间建立相互信任关系。
2、根据权利要求1所述的网络系统,其特征在于:所述全网唯一的根认证服务器RASU的公钥证书是随同客户端软件一起安装在终端STA中,STA利用该RASU公钥证书对从认证服务器获取的HASU或ASU公钥证书进行真伪鉴别,以获取对本地和异地网络的信任,进而实现终端的异地漫游功能。
3、根据权利要求1所述的网络系统,其特征在于:所述归属认证服务器HASU和多个位于各本地网的认证服务器ASU都分别存储有RASU公钥证书,以便使用该RASU公钥证书来鉴别获取的其它某个ASU的公钥证书的真伪,判断是否信任该ASU,进而鉴别接收该ASU所颁发的用户公钥证书的STA是否合法。
4、根据权利要求1或3所述的网络系统,其特征在于:所述各个认证服务器ASU都分别存储、维护有各自信任的ASU列表,当漫游到本地的STA的归属地的认证服务器HASU不在本地ASU信任的ASU列表中时,所述STA需要获取其归属地的认证服务器HASU的公钥证书。
5、根据权利要求1所述的网络系统,其特征在于:所述终端STA都分别存储、维护有各自所信任的ASU列表,当该终端STA漫游地的ASU不在该终端STA信任的ASU列表中时,需要获取漫游地的ASU的公钥证书,以便利用该终端STA中已有的RASU公钥证书来判断漫游地的ASU的合法性,进而判断当前网络的合法性。
6、一种采用权利要求1所述网络系统的接入认证的实现方法,其特征在于:终端STA进行WAPI连接之前的证书认证流程包括下列操作步骤:
(1)RASU为自己颁发RASU公钥证书;
(2)RASU为全网所有的ASU服务器颁发ASU公钥证书:颁发过程是先判断ASU是否已有ASU公钥证书,若没有,则由ASU重新生成私钥和对应ASU公钥证书,请求RASU为其颁发ASU公钥证书,即RASU利用私钥为ASU公钥证书签名;否则,顺序执行后续操作;如果ASU丢失ASU公钥证书,则请求RASU重新给ASU颁发ASU公钥证书;
(3)全网所有的ASU服务器各自分别存储RASU公钥证书,若某个ASU服务器没有RASU公钥证书,则由该ASU向网络请求下载RASU公钥证书;否则,顺序执行后续操作;如果ASU丢失RASU公钥证书,则向网络请求重新下载RASU公钥证书;
(4)STA利用RASU公钥证书验证本地HASU合法性;终端STA在安装客户端软件的同时,也安装全网唯一的RASU公钥证书,以便该STA接入网络时先请求归属地认证服务器HASU的公钥证书,并利用该RASU公钥证书对HASU公钥证书进行鉴别;且如果HASU公钥证书鉴别成功,则STA保存HASU公钥证书;
(5)STA利用RASU公钥证书验证漫游地ASU的合法性:终端STA漫游到异地时,必须先与当地网络建立信任关系,即验证当前网络的合法性,则STA请求当前漫游地认证服务器ASU的公钥证书,并利用RASU公钥证书对当地的ASU公钥证书进行鉴别;且如果ASU公钥证书鉴别成功,则STA保存该ASU公钥证书。
7、根据权利要求6所述的网络系统的接入认证的实现方法,其特征在于:
终端STA进行WAPI连接之前的证书认证流程进一步包括下列操作步骤:
(6)漫游地ASU利用RASU公钥证书验证HASU公钥证书的合法性:当STA漫游到异地时,漫游地的网络要验证该STA的合法性,即该漫游地的ASU要求获取该STA归属地的HASU公钥证书,并利用RASU公钥证书对该HASU公钥证书进行鉴别;若鉴别成功,则认为该HASU公钥证书合法,就将该HASU添加至可信任的ASU列表中;如果该HASU公钥证书鉴别失败,则丢弃该HASU证书,并认为该STA为非法用户。
8、根据权利要求6所述的网络系统的接入认证的实现方法,其特征在于:所述步骤(4)进一步包括下列操作内容:
(41)STA先判断归属地认证服务器HASU是否在其存储、维护的可信任ASU列表中,如果是,则认为该网络可信任,可以接入;否则对该网络不信任,并获取该HASU的公钥证书;
(42)STA利用已安装的根认证服务器RASU公钥证书对所获取的HASU公钥证书进行鉴别,如果鉴别成功,则将该HASU添加至可信任ASU列表中;若鉴别失败,则丢弃HASU公钥证书。
9、根据权利要求6所述的网络系统的接入认证的实现方法,其特征在于:所述步骤(5)进一步包括下列操作内容:
(51)STA先判断漫游地认证服务器ASU是否在其存储、维护的可信任ASU列表中,如果是,则认为该网络可信任,可以接入;否则对该网络不信任,并获取该ASU的公钥证书;
(52)STA利用已安装的根认证服务器RASU公钥证书对所获取的ASU公钥证书进行鉴别,如果鉴别成功,则将该ASU添加至可信任ASU列表中;若鉴别失败,则丢弃HASU公钥证书。
10、根据权利要求6所述的网络系统的接入认证的实现方法,其特征在于:所述步骤(6)进一步包括下列操作内容:
(61)漫游地的ASU先判断该STA所归属的HASU是否在可信任ASU列表中,如果是,则认为该HASU可信任,同时利用已有的HASU公钥证书对STA公钥证书进行鉴别,如果鉴别成功,则判断STA可信任,允许接入;如果鉴别失败,则判断STA不可信任,不允许接入;
(62)如果STA所归属的HASU不存在于漫游地的ASU可信任列表中,则漫游地的ASU从网络获取该HASU公钥证书;
(63)ASU利用已存储的RASU公钥证书对刚刚获取的HASU公钥证书进行鉴别,如果鉴别成功,则将该HASU添加至ASU信任列表中;若鉴别失败,则丢弃HASU公钥证书,并认为该STA为非法用户。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CNB2007100644367A CN100456726C (zh) | 2007-03-15 | 2007-03-15 | 基于wapi的互联网接入认证的实现方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CNB2007100644367A CN100456726C (zh) | 2007-03-15 | 2007-03-15 | 基于wapi的互联网接入认证的实现方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN101018175A true CN101018175A (zh) | 2007-08-15 |
CN100456726C CN100456726C (zh) | 2009-01-28 |
Family
ID=38726940
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CNB2007100644367A Expired - Fee Related CN100456726C (zh) | 2007-03-15 | 2007-03-15 | 基于wapi的互联网接入认证的实现方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN100456726C (zh) |
Cited By (13)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2010102496A1 (zh) * | 2009-03-11 | 2010-09-16 | 西安西电捷通无线网络通信股份有限公司 | 一种实现wapi系统终端零干预计费的方法 |
CN101917722A (zh) * | 2010-08-31 | 2010-12-15 | 广州杰赛科技股份有限公司 | 一种无线城域网终端非归属地接入身份鉴别的方法 |
CN101925061A (zh) * | 2010-08-31 | 2010-12-22 | 广州杰赛科技股份有限公司 | 一种无线城域网终端非归属地接入身份鉴别的方法 |
CN101217386B (zh) * | 2008-01-16 | 2011-01-19 | 中兴通讯股份有限公司 | 鉴权授权计费服务器及计费方法 |
CN101616407B (zh) * | 2008-06-25 | 2011-04-27 | 华为技术有限公司 | 预认证的方法和认证系统 |
WO2011116617A1 (zh) * | 2010-03-23 | 2011-09-29 | 中兴通讯股份有限公司 | 结合网络及无线传感器网络终端加入网络的方法 |
CN102246199A (zh) * | 2008-12-11 | 2011-11-16 | 微软公司 | 使用连接交换来提供普遍存在的无线连接和用于交换无线连接的市场 |
CN101605140B (zh) * | 2009-07-16 | 2012-10-03 | 阿里巴巴集团控股有限公司 | 网络用户的身份核实认证系统和核实认证方法 |
CN101765110B (zh) * | 2009-12-21 | 2012-11-21 | 苏州汉明科技有限公司 | 一种用户和无线接入点之间的专有加密保护方法 |
US8417951B2 (en) | 2008-05-09 | 2013-04-09 | China Iwncomm Co., Ltd. | Roaming authentication method based on WAPI |
CN103905533A (zh) * | 2014-03-13 | 2014-07-02 | 广州杰赛科技股份有限公司 | 基于云存储的分布式告警监控方法和系统 |
CN106331175A (zh) * | 2016-10-27 | 2017-01-11 | 苏州云融信息技术有限公司 | 一种面向云ap的多控制代理统一管理系统和方法 |
CN106777915A (zh) * | 2016-11-29 | 2017-05-31 | 清华大学 | 基于植入式医疗系统的数据处理方法及装置 |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101699894B (zh) * | 2009-11-10 | 2012-07-25 | 广州杰赛科技股份有限公司 | 在认证服务器集群中处理认证请求的方法和装置 |
Family Cites Families (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20030235305A1 (en) * | 2002-06-20 | 2003-12-25 | Hsu Raymond T. | Key generation in a communication system |
CN100401670C (zh) * | 2004-03-26 | 2008-07-09 | 中兴通讯股份有限公司 | 一种无线局域网移动终端异地接入认证方法 |
CN100496156C (zh) * | 2007-02-16 | 2009-06-03 | 西安西电捷通无线网络通信有限公司 | 一种基于wapi的证书漫游认证方法 |
-
2007
- 2007-03-15 CN CNB2007100644367A patent/CN100456726C/zh not_active Expired - Fee Related
Cited By (18)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101217386B (zh) * | 2008-01-16 | 2011-01-19 | 中兴通讯股份有限公司 | 鉴权授权计费服务器及计费方法 |
US8417951B2 (en) | 2008-05-09 | 2013-04-09 | China Iwncomm Co., Ltd. | Roaming authentication method based on WAPI |
US8407474B2 (en) | 2008-06-25 | 2013-03-26 | Huawei Technologies Co., Ltd. | Pre-authentication method, authentication system and authentication apparatus |
CN101616407B (zh) * | 2008-06-25 | 2011-04-27 | 华为技术有限公司 | 预认证的方法和认证系统 |
CN102246199B (zh) * | 2008-12-11 | 2016-06-08 | 微软技术许可有限责任公司 | 使用连接交换来提供普遍存在的无线连接和用于交换无线连接的市场 |
US9049595B2 (en) | 2008-12-11 | 2015-06-02 | Microsoft Technology Licensing, Llc | Providing ubiquitous wireless connectivity and a marketplace for exchanging wireless connectivity using a connectivity exchange |
CN102246199A (zh) * | 2008-12-11 | 2011-11-16 | 微软公司 | 使用连接交换来提供普遍存在的无线连接和用于交换无线连接的市场 |
WO2010102496A1 (zh) * | 2009-03-11 | 2010-09-16 | 西安西电捷通无线网络通信股份有限公司 | 一种实现wapi系统终端零干预计费的方法 |
CN101605140B (zh) * | 2009-07-16 | 2012-10-03 | 阿里巴巴集团控股有限公司 | 网络用户的身份核实认证系统和核实认证方法 |
CN101765110B (zh) * | 2009-12-21 | 2012-11-21 | 苏州汉明科技有限公司 | 一种用户和无线接入点之间的专有加密保护方法 |
WO2011116617A1 (zh) * | 2010-03-23 | 2011-09-29 | 中兴通讯股份有限公司 | 结合网络及无线传感器网络终端加入网络的方法 |
CN101925061B (zh) * | 2010-08-31 | 2013-02-13 | 广州杰赛科技股份有限公司 | 一种无线城域网终端非归属地接入身份鉴别的方法 |
CN101917722B (zh) * | 2010-08-31 | 2013-05-08 | 广州杰赛科技股份有限公司 | 一种无线城域网终端非归属地接入身份鉴别的方法 |
CN101925061A (zh) * | 2010-08-31 | 2010-12-22 | 广州杰赛科技股份有限公司 | 一种无线城域网终端非归属地接入身份鉴别的方法 |
CN101917722A (zh) * | 2010-08-31 | 2010-12-15 | 广州杰赛科技股份有限公司 | 一种无线城域网终端非归属地接入身份鉴别的方法 |
CN103905533A (zh) * | 2014-03-13 | 2014-07-02 | 广州杰赛科技股份有限公司 | 基于云存储的分布式告警监控方法和系统 |
CN106331175A (zh) * | 2016-10-27 | 2017-01-11 | 苏州云融信息技术有限公司 | 一种面向云ap的多控制代理统一管理系统和方法 |
CN106777915A (zh) * | 2016-11-29 | 2017-05-31 | 清华大学 | 基于植入式医疗系统的数据处理方法及装置 |
Also Published As
Publication number | Publication date |
---|---|
CN100456726C (zh) | 2009-01-28 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN100456726C (zh) | 基于wapi的互联网接入认证的实现方法 | |
CN100456725C (zh) | 用于wapi的获取公钥证书的网络系统和方法 | |
CN112073379B (zh) | 一种基于边缘计算的轻量级物联网安全密钥协商方法 | |
JP3869392B2 (ja) | 公衆無線lanサービスシステムにおけるユーザ認証方法および該方法をコンピュータで実行させるためのプログラムを記録した記録媒体 | |
CN110267270B (zh) | 一种变电站内传感器终端接入边缘网关身份认证方法 | |
CN100493247C (zh) | 高速分组数据网中接入认证方法 | |
CN105027529B (zh) | 用于验证对网络资源的用户接入的方法和设备 | |
US20070098176A1 (en) | Wireless LAN security system and method | |
US8732458B2 (en) | Method, system and terminal device for realizing locking network by terminal device | |
CN103686709A (zh) | 一种无线网格网认证方法和系统 | |
WO2008034361A1 (fr) | Procédé d'acquisition et authentification du statut du certificat d'une clef publique | |
DK2924944T3 (en) | Presence authentication | |
CN103460736A (zh) | 在无线网络中管理数字证书的灵活系统和方法 | |
CN101695022B (zh) | 一种服务质量管理方法及装置 | |
US20070165582A1 (en) | System and method for authenticating a wireless computing device | |
WO2012094841A1 (zh) | 网络接入方法、装置及系统 | |
WO2008101426A1 (fr) | Procédé d'identification d'itinérance en fonction du certificat wapi | |
CN101640685A (zh) | 一种传递私有属性信息的方法及系统 | |
WO2015154555A1 (zh) | 一种数字证书的状态处理方法、装置及系统 | |
CN111741468A (zh) | 基于mec的amf及其身份认证方法、构建方法和装置 | |
JP4536051B2 (ja) | 無線lan端末を認証する認証システム、認証方法、認証サーバ、無線lan端末、及びプログラム | |
CN113972995B (zh) | 一种网络配置方法及装置 | |
CN104518874A (zh) | 一种网络接入控制方法和系统 | |
WO2010139147A1 (zh) | 用户接入方法及系统、闭合用户组用户管理方法及系统 | |
WO2011015091A1 (zh) | 用于家用基站的接入方法、装置、系统及aaa服务器 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20090128 Termination date: 20160315 |
|
CF01 | Termination of patent right due to non-payment of annual fee |