CN101212296B - 基于证书及sim的wlan接入认证方法及系统 - Google Patents
基于证书及sim的wlan接入认证方法及系统 Download PDFInfo
- Publication number
- CN101212296B CN101212296B CN200610169783A CN200610169783A CN101212296B CN 101212296 B CN101212296 B CN 101212296B CN 200610169783 A CN200610169783 A CN 200610169783A CN 200610169783 A CN200610169783 A CN 200610169783A CN 101212296 B CN101212296 B CN 101212296B
- Authority
- CN
- China
- Prior art keywords
- certificate
- sim
- authentication
- wlan terminal
- user
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Abstract
本发明涉及基于证书及SIM的WLAN接入认证方法,对WLAN终端证书及接入点证书进行验证;WLAN终端与接入点协商密钥;对WLAN终端进行基于SIM的用户认证。本发明还涉及基于证书及SIM的WLAN接入认证系统,包括安装有无线网卡和SIM卡的WLAN终端;证书认证服务器,用于对WLAN终端及接入点的证书认证;用户数据库,用于存储用户数据;SIM认证服务器,用于根据用户数据进行基于SIM的认证;用户认证点,用于检查WLAN终端是否已通过认证。用户认证点可为接入点或接入控制点。在对现有网络改造较小的前提下,本发明实现了基于数字证书的WLAN终端与WLAN接入点的双向认证、数据保密传输以及对用户业务数据的鉴权。
Description
技术领域
本发明涉及WLAN技术,尤其涉及基于证书及SIM的WLAN接入认证方法及系统。
背景技术
无线局域网(Wireless Local Area Network,简称WLAN)具有可移动性、安装简单、高灵活性和扩展能力,作为对传统有线网络的延伸,在许多特殊环境中得到了广泛的应用。随着无线数据网络解决方案的不断推出,无线局域网络用户不论在任何时间、任何地点都可以轻松上网。但是,由于无线局域网采用公共的电磁波作为载体,任何人都有条件窃听或干扰信息,如果WLAN缺乏安全性保障,那么会导致网络非法操作并继而影响上层通信内容的安全。WLAN的安全性主要体现在接入控制和数据加密两方面。接入控制保证网络只能由合法的用户接入访问,数据加密保证数据只能被所期望的目的端接收和解密。
现在有一种泛适认证和保密基础结构(Wide Authentication and PrivacyInfrastructure,简称WAPI)可实现WLAN终端与WLAN接入点的双向认证及数据保密传输。
WAPI采用椭圆曲线密码算法和秘密密钥体制的分组密码算法,分别用于WLAN设备的数字证书、密钥协商和传输数据的加解密,从而实现设备的身份鉴别、链路验证、接入控制和用户信息在无线传输状态下的加密保护。WAPI安全系统采用公钥密码技术,认证服务器(Authentication Server,简称AS)负责证书的颁发、验证与吊销等;WLAN终端与WLAN接入点(Access Point,简称AP)上都安装有AS颁发的公钥证书,作为自己的数字身份凭证。当
WLAN终端登录至AP时,在接入或使用网络之前必须通过AS对双方进行身份验证。根据验证的结果,持有合法证书的WLAN终端才能接入持有合法证书的AP,也就是说才能通过AP访问网络。这样不仅可以防止非法WLAN终端接入AP而访问网络并占用网络资源,而且还可以防止WLAN终端登录至非法AP而造成信息泄漏。
这种方式虽然能够实现在WLAN与AP之间建立基于数据链路层的安全信道,保证WLAN终端与AP的合法性以及传输数据的保密性,但是,由于WAPI并未规定用户的计费机制,因此无法直接应用于移动WLAN网络中。虽然可以基于用户的公钥证书识别用户身份进行计费,但是由于与现有的WLAN计费模式差别太大,需要进行较大的网络改造。
发明内容
本发明的目的在于针对现有技术所存在的缺陷,提供基于证书及SIM的WLAN接入认证方法及系统,在对现有网络改造较小的前提下,将数字证书认证及密钥协商应用于WLAN用户的接入控制,实现基于数字证书的WLAN终端与WLAN接入点的双向认证及数据保密传输,并基于SIM实现用户身份的识别。
为了实现上述目的,本发明提供了一种基于证书及SIM的WLAN接入认证方法,包括如下步骤:对WLAN终端证书及接入点证书进行验证;WLAN终端与接入点协商密钥;对WLAN终端进行基于SIM的用户认证;具体为:WLAN终端向用户认证点发送接入请求,用户认证点从WLAN终端获取用户标识并发送至SIM认证服务器;SIM认证服务器向WLAN终端发送认证开始信息,WLAN终端向SIM认证服务器返回携带有终端随机数的认证开始信息;SIM认证服务器从用户数据库获取鉴权数据,该鉴权数据包含随机数,签名响应,以及用户密钥;SIM认证服务器利用鉴权数据中的随机数生成用户挑战码,根据鉴权数据生成签名响应密钥,根据签名响应密钥生成签名响应鉴别码,并通过用户认证点向WLAN终端发送用户挑战码;WLAN终端根据用户挑战码以及预先设定的算法生成签名响应密钥,根据签名响应密钥生成签名响应鉴别码,并通过用户认证点向SIM认证服务器发送签名响应鉴别码;SIM认证服务器判断WLAN终端返回的签名响应鉴别码与SIM认证服务器生成的签名响应鉴别码是否一致,若一致,则通过用户认证点向WLAN终端返回认证通过消息。
本发明还提供了一种基于证书及SIM的WLAN接入认证系统,包括:安装有无线网卡和SIM卡的WLAN终端;证书认证服务器,用于WLAN终端证书及接入点证书的认证;用户数据库,用于存储用户数据;SIM认证服务器,用于根据用户数据进行基于SIM的用户认证;具体用于,从用户数据库获取鉴权数据,该鉴权数据包含随机数,签名响应,以及用户密钥;利用鉴权数据中的随机数生成用户挑战码,根据鉴权数据生成签名响应密钥,根据签名响应密钥生成签名响应鉴别码,并通过用户认证点向WLAN终端发送用户挑战码;并由WLAN终端根据用户挑战码以及预先设定的算法生成签名响应密钥,根据签名响应密钥生成签名响应鉴别码,并通过用户认证点向SIM认证服务器发送签名响应鉴别码;用户认证点,用于检查WLAN终端是否已经通过认证并与SIM认证服务器协同进行基于SIM的用户认证。其中,用户认证点可以为接入点或接入控制点。
本发明对现有网络改造较小的前提下,将数字证书认证及密钥协商应用于WLAN用户的接入控制,实现基于数字证书的WLAN终端与WLAN接入点的双向认证及数据保密传输,采用基于SIM的认证方式,利用现有的用户数据库实现了对用户业务数据的鉴权,从而实现了用户身份的识别。
下面通过附图和实施例,对本发明的技术方案做进一步的详细描述。
附图说明
图1为本发明的基于证书及SIM的WLAN接入认证系统的结构示意图;
图2为本发明的基于证书及SIM的WLAN接入认证方法流程图;
图3为本发明的基于证书及SIM的WLAN接入认证方法中的建立物理连接的流程图;
图4为本发明的基于证书及SIM的WLAN接入认证方法中的SIM认证流程图;
图5为本发明的基于证书及SIM的WLAN接入认证方法实施例一流程示意图;
图6为本发明的基于证书及SIM的WLAN接入认证方法实施例二流程示意图。
具体实施方式
如图1所示,为本发明的基于证书及SIM的WLAN认证系统的结构示意图,包括WLAN终端,用户认证点,证书认证服务器、SIM认证服务器及用户数据库。
WLAN终端安装有无线网卡和SIM卡;用户认证点可以是AP或者接入控制点(Access Controller,简称AC),用于检查用户是否已通过用户认证,并和SIM认证服务器协同工作,完成对WLAN终端的用户认证;SIM认证服务器用于基于SIM的用户认证;用户数据库可以是HLR,存储有用户的签约数据和鉴权数据。
在整个系统中,证书认证服务器和SIM认证服务器可集成于同一网络设备之中,也可是独立设置的两个不同的网络设备。
如图2所示,为本发明的基于证书及SIM的WLAN接入认证方法流程图,包括如下步骤:
步骤1、对WLAN终端证书及接入点证书进行验证;
步骤2、WLAN终端与接入点协商密钥;
步骤3、对WLAN终端进行基于SIM的用户认证。
用户通过WLAN终端接入时,WLAN终端与WLAN接入点先建立物理连接,步骤1及步骤2即为建立物理连接的过程。证书认证服务器对WLAN终端和接入点的证书进行认证,如果二者的证书都通过认证,则继续协商密钥。AP和WLAN终端根据认证结果控制网络的访问,如果认证成功,则WLAN终端可以通过接入点访问网络。如图3所示,建立物理连接的过程包括以下步骤:
步骤101、WLAN终端向AP发出接入认证请求,将WLAN终端证书与接入鉴别请求时间发送至AP;
步骤102、AP将WLAN终端证书、接入鉴别请求时间、AP证书以及AP私钥对WLAN终端证书、接入鉴别请求时间及AP证书的签名生成证书认证请求,向证书认证服务器发出该证书认证请求;
步骤103、证书认证服务器验证AP的签名是否正确,若不正确,则鉴别过程失败,若正确,则验证AP和WLAN终端证书是否合法,将WLAN终端证书认证结果信息及AP证书认证结果信息构成证书认证响应,发送至AP;
步骤104、AP对证书认证响应进行签名验证,得到WLAN终端证书的认证结果,并将证书认证响应发送至WLAN终端;WLAN终端对证书认证响应进行签名验证,得到AP证书的认证结果;
步骤105、若WLAN终端证书通过认证,AP向WLAN终端发送密钥协商请求,该密钥协商请求中包括用WLAN终端公钥加密的协商数据和AP签名信息以及算法协商信息;
步骤106、WLAN终端对密钥协商请求进行签名验证,若验证通过并且AP证书通过认证,则生成密钥协商数据,利用AP公钥加密,并向AP发送;双方利用密钥协商数据生成单播会话密钥;
步骤107、单播会话密钥协商成功后,AP向WLAN终端发送组播密钥通告,该通告中携带有AP发送的组播数据信息加密使用的密钥;
步骤108、WLAN终端验证AP发送的组播密钥通告的有效性后,向AP返回组播密钥响应。
至此,WLAN终端与AP之间完成了基于数字证书的认证以及密钥协商,从而能够保证WLAN终端和AP的合法性以及WLAN终端与AP之间数据传输的安全性。网络侧需要继续对WLAN终端的用户身份进行认证,判断用户SIM卡是否有效。如图4所示,SIM认证过程包括以下步骤:
步骤201、SIM认证服务器向WLAN终端发送认证开始信息,WLAN终端向SIM认证服务器返回携带有终端随机数的认证开始信息;
步骤202、WLAN终端向用户认证点发送接入请求,用户认证点获取用户标识并发送至SIM认证服务器;
步骤203、SIM认证服务器从用户数据库获取鉴权数据,该鉴权数据包含随机数,签名响应(Signed Response,简称SRES)以及用户密钥Kc;
步骤204、SIM认证服务器利用鉴权数据中的随机数生成用户挑战码,根据鉴权数据生成签名响应密钥K_sres,根据K_sres生成签名响应鉴别码(Message Authentication Code-Signed Response,简称MAC_SRES),并通过用户认证点向WLAN终端发送用户挑战码;
步骤205、WLAN终端根据用户挑战码以及预先设定的算法生成K_sres,根据K_sres生成MAC_SRES,并通过用户认证点向SIM认证服务器SIM认证服务器发送生成的MAC_SRES;
步骤206、SIM认证服务器判断WLAN终端返回的MAC_SRES与SIM认证服务器生成的MAC_SRES是否一致,若一致,则通过用户认证点向WLAN终端返回认证通过消息。
在整个接入认证过程中,WLAN终端和AP的合法性认证以及密钥协商在建立物理连接的过程中完成,对WLAN终端的用户身份认证通过SIM认证而实现。
在HLR中存储有用户的签约数据,用户可以选择是否开通WLAN业务,可在用户开通了WLAN业务时,再进行SIM认证。
如图5所示为本发明的基于证书及SIM的WLAN接入认证方法实施例一流程示意图。本实施例以AC作为用户认证点,包括如下步骤:
步骤301、WLAN终端向AP发出接入认证请求,将WLAN终端证书与接入鉴别请求时间发送至AP;
步骤302、AP将WLAN终端证书、接入鉴别请求时间、AP证书以及AP私钥对WLAN终端证书、接入鉴别请求时间及AP证书的签名生成证书认证请求,向证书认证服务器发出该证书认证请求;
步骤303、证书认证服务器验证AP的签名是否正确,若不正确,则鉴别过程失败,若正确,则验证AP和WLAN终端证书是否合法,将WLAN终端证书认证结果信息及AP证书认证结果信息构成证书认证响应,发送至AP;其中,WLAN终端证书认证结果信息包括WLAN终端证书、认证结果以及证书认证服务器对WLAN终端证书及认证结果的签名,AP证书认证结果信息包括接入点证书、认证结果、接入认证请求时间以及证书认证服务器对AP证书、认证结果及接入认证请求时间的签名;
步骤304、AP对证书认证响应进行签名验证,得到WLAN终端证书的认证结果,并将证书认证响应发送至WLAN终端;WLAN终端对证书认证响应进行签名验证,得到接入点证书的鉴别结果;
步骤305、若WLAN终端证书通过认证,AP向WLAN终端发送密钥协商请求,该密钥协商请求中包括用WLAN终端公钥加密的协商数据和AP签名信息以及算法协商信息;
步骤306、WLAN终端对密钥协商请求进行签名验证,若验证通过并且AP证书通过认证,则生成密钥协商数据,利用AP公钥加密,并向AP发送;双方利用密钥协商数据生成单播会话密钥;
步骤307、单播会话密钥协商成功后,AP向WLAN终端发送组播密钥通告,该通告中携带有AP发送的组播数据信息加密使用的密钥;
步骤308、WLAN验证AP发送的组播密钥通告的有效性后,向AP返回组播密钥响应;
步骤309、WLAN终端向AC发送一个EAPoL-Start报文,开始802.1x接入的开始;
步骤310、AC向WLAN终端发送EAP-Request/Identity报文,要求WLAN终端发送用户标识;
步骤311、WLAN终端向AC返回EAP-Response/Identity,其中包括用户标识;用户标识通过读取SIM卡获得,它通常的格式是1<IMSI>@<realm>,其中<IMSI>是International Mobile Subscriber Identity(和GSM网用的一样),<realm>是运营商的域名(如“xxxx.com”);
步骤312、AC以EAP Over RADIUS的报文格式将EAP-Response/Identity发送给SIM认证服务器,并且带上相关的RADIUS的属性;
步骤313、SIM认证服务器根据配置确定使用EAP-SIM认证,向AC发送RADIUS-Access-Challenge报文,里面含有SIM服务器发送给客户端的EAP-Request/SIM/Start的报文,表示希望开始进行EAP-SIM的认证;
步骤314、AC设备将EAP-Request/SIM/Start发送给WLAN终端;
步骤315、WLAN终端收到EAP-Request/SIM/Start报文后,产生一个长度为128bit的终端随机数,在EAP-Response/SIM/Start回应中把它发送给AC;
步骤316、AC以EAP Over RADIUS的报文格式将EAP-Response/SIM/Start发送给SIM认证服务器,并且带上相关的RADIUS的属性;
步骤317、AS设备通过七号信令向HLR发送Restore_Data报文,开始进行RESTORE的流程;
步骤318、HLR将用户的签约数据通过七号信令以Insert_Subs_Data报文发送给SIM认证服务器;
步骤319、SIM认证服务器向HLR发送Insert_Subs_Data_Ack,确认收到了签约数据;
步骤320、HLR向SIM认证服务器发送Restore_Data_Ack,通知SIM认证服务器Restore流程结束;
步骤321、SIM认证服务器先检查从HLR取到的用户签约数据,判断是否开通了WLAN的业务;如果开通了WLAN业务,则通过七号信令向HLR发送Send_Auth_Info报文,从HLR中取n组鉴权集;
步骤322、HLR根据用户的IMSI生成鉴权集后,通过Send_Auth_Info_Ack报文将n组鉴权集(SRES,RAND,Kc)发送给SIM认证服务器;其中RAND为随机数,Kc为用户密钥;
步骤323、SIM认证服务器依据配置取N为2或者3,将N组RAND串起来后生成N*RAND作为用户挑战码,并且依据规定的算法生成密钥K_sres,同时根据K_sres生成MAC_SRES;
步骤324、SIM认证服务器向AC发送RADIUS-Access-Challenge报文,里面含有包含有用户挑战码的EAP-Request/SIM/Challenge报文;
步骤325、AC将EAP-Request/SIM/Challenge报文发送给WLAN终端;
步骤326、WLAN终端根据每个RAND为128bit,将N解析出来后,依据和SIM认证服务器同样的算法得出K_sres,再利用K_sres作为key用规定的算法生成MAC_SRES;
步骤327、WLAN终端向AC发送EAP-Response/SIM/Challenge报文,含有MAC_SRES;
步骤328、AC以EAP Over RADIUS的报文格式将EAP-Response/SIM/Challenge发送给SIM认证服务器,并且带上相关的RADIUS的属性;
步骤329、证书认证服务器将本端生成的MAC_SRES,和接收到的MAC_SRES进行比较,如果一致,表示认证通过;
步骤330、SIM认证服务器向AC发送RADIUS-ACCESS-ACCEPT的消息,里面含有表明认证成功的EAP-SUCCESS的消息;
步骤331、AC向WLAN终端发送EAP-SUCCESS消息,通知WLAN终端认证已通过。
如图6所示,为基于证书及SIM的WLAN接入认证方法实施例二流程示意图。本实施例以AP作为用户认证点,其中基于WAPI建立物理连接的步骤301-步骤308与实施例一相同,在此之后,包括如下步骤:
步骤409、WLAN终端向AP发送一个EAPoL-Start报文,开始802.1x接入的开始;
步骤410、AP向WLAN终端发送EAP-Request/Identity报文,要求WLAN终端发送用户标识;
步骤411、WLAN终端向AP返回EAP-Response/Identity,其中包括用户标识;用户标识通过读取SIM卡获得,它通常的格式是1<IMSI>@<realm>,其中<IMSI>是International Mobile Subscriber Identity(和GSM网用的一样),<realm>是运营商的域名(如“xxxx.com”);
步骤412、AP以EAP Over RADIUS的报文格式将EAP-Response/Identity发送给SIM认证服务器,并且带上相关的RADIUS的属性;
步骤413、SIM认证服务器根据配置确定使用EAP-SIM认证,向AP发送RADIUS-Access-Challenge报文,里面含有SIM认证服务器发送给客户端的EAP-Request/SIM/Start的报文,表示希望开始进行EAP-SIM的认证;
步骤414、AP将EAP-Request/SIM/Start发送给WLAN终端;
步骤415、WLAN终端收到EAP-Request/SIM/Start报文后,产生一个长度为128bit的随机数,在EAP-Response/SIM/Start回应中把它发送给AP;
步骤416、AP以EAP Over RADIUS的报文格式将EAP-Response/SIM/Start发送给认证服务器SIM认证服务器,并且带上相关的RADIUS的属性;
步骤417、SIM认证服务器设备通过七号信令向HLR发送Restore_Data报文,开始进行RESTORE的流程;
步骤418、HLR将用户的签约数据通过七号信令以Insert_Subs_Data报文发送给SIM认证服务器;
步骤419、SIM认证服务器向HLR发送Insert_Subs_Data_Ack,确认收到了签约数据;
步骤420、HLR向SIM认证服务器发送Restore_Data_Ack,通知SIM认证服务器Restore流程结束;
步骤421、SIM认证服务器先检查从HLR取到的用户签约数据,判断是否开通了WLAN的业务;如果开通了WLAN业务,则通过七号信令向HLR发送Send_Auth_Info报文,从HLR中取n组鉴权集;
步骤422、HLR根据用户的IMSI生成鉴权集后,通过Send_Auth_Info_Ack报文将n组鉴权集(SRES,RAND,Kc)发送给SIM认证服务器;
步骤423、SIM认证服务器依据配置取N为2或者3,将N组RAND串起来后生成一个N*RAND作为用户挑战码,并且依据规定的算法生成密钥K_sres,同时根据K_sres生成MAC_SRES;
步骤424、SIM认证服务器向AP发送RADIUS-Access-Challenge报文,里面含有携带有用户挑战码的EAP-Request/SIM/Challenge报文;
步骤425、AP将EAP-Request/SIM/Challenge报文发送给WLAN终端;
步骤426、WLAN终端根据每个RAND为128bit,将N解析出来后,依据和SIM认证服务器同样的算法得出K_sres,再利用K_sres作为key用规定的算法生成MAC_SRES;
步骤427、WLAN终端向AP发送EAP-Reponse/SIM/Challenge报文,含有MAC_SRES;
步骤428、AP以EAP Over RADIUS的报文格式将EAP-Response/SIM/Challenge发送给SIM认证服务器,并且带上相关的RADIUS的属性;
步骤429、SIM认证服务器将本端生成的MAC_SRES和接收到的MAC_SRES进行比较,如果一致,表示认证通过;
步骤430、SIM认证服务器设备向AP发送RADIUS-ACCESS-ACCEPT的消息,里面含有表明认证成功的EAP-SUCCESS的消息;
步骤431、AP向WLAN终端发送EAP-SUCCESS消息,通知WLAN终端认证已通过。
本发明对现有网络改造较小的前提下,将数字证书认证及密钥协商应用于WLAN用户的接入控制,实现基于数字证书的WLAN终端与WLAN接入点的双向认证及数据保密传输,利用基于SIM的认证方式,利用现有的用户数据库实现了对用户业务数据的鉴权,从而实现了用户身份的识别。
最后应当说明的是:以上实施例仅用以说明本发明的技术方案而非对其限制;尽管参照较佳实施例对本发明进行了详细的说明,所属领域的普通技术人员应当理解,依然可以对本发明的具体实施方式进行修改或者对部分技术特征进行等同替换;而不脱离本发明技术方案的精神,其均应涵盖在本发明请求保护的技术方案范围当中。
Claims (8)
1.一种基于证书及SIM的WLAN接入认证方法,包括如下步骤:
对WLAN终端证书及接入点证书进行验证;
WLAN终端与接入点协商密钥;
对WLAN终端进行基于SIM的用户认证;具体为:
WLAN终端向用户认证点发送接入请求,用户认证点从WLAN终端获取用户标识并发送至SIM认证服务器;
SIM认证服务器向WLAN终端发送认证开始信息,WLAN终端向SIM认证服务器返回携带有终端随机数的认证开始信息;
SIM认证服务器从用户数据库获取鉴权数据,该鉴权数据包含随机数,签名响应,以及用户密钥;
SIM认证服务器利用鉴权数据中的随机数生成用户挑战码,根据鉴权数据生成签名响应密钥,根据签名响应密钥生成签名响应鉴别码,并通过用户认证点向WLAN终端发送用户挑战码;
WLAN终端根据用户挑战码以及预先设定的算法生成签名响应密钥,根据签名响应密钥生成签名响应鉴别码,并通过用户认证点向SIM认证服务器发送签名响应鉴别码;
SIM认证服务器判断WLAN终端返回的签名响应鉴别码与SIM认证服务器生成的签名响应鉴别码是否一致,若一致,则通过用户认证点向WLAN终端返回认证通过消息。
2.根据权利要求1所述的基于证书及SIM的WLAN接入认证方法,其中在所述的对WLAN终端进行基于SIM的用户认证的步骤中还包括:SIM认证服务器在收到携带有终端随机数的认证开始信息后,根据用户标识从用户数据库获取签约数据,根据签约数据判断是否允许用户使用WLAN业务,若允许,则继续执行从用户数据库获取鉴权数据的步骤。
3.根据权利要求1或2所述的基于证书及SIM的WLAN接入认证方法,其中所述的对WLAN终端证书及接入点证书进行验证的步骤具体为:
WLAN终端向接入点发出接入认证请求,该接入认证请求中携带有WLAN终端证书与接入鉴别请求时间;
接入点将WLAN终端证书、接入鉴别请求时间、接入点证书以及接入点私钥对WLAN终端证书、接入鉴别请求时间及接入点证书的签名生成证书认证请求,并向证书认证服务器发送;
证书认证服务器验证接入点的签名是否正确,若不正确,则鉴别过程失败,若正确,则验证接入点和WLAN终端证书是否合法,将WLAN终端证书认证结果信息及接入点证书认证结果信息构成证书认证响应,发送至接入点;
接入点对证书认证响应进行签名验证,得到WLAN终端证书的认证结果,并将证书认证响应发送至WLAN终端;WLAN终端对证书认证响应进行签名验证,得到接入点证书的认证结果。
4.根据权利要求1或2所述的基于证书及SIM的WLAN接入认证方法,其中所述的WLAN终端与接入点协商密钥的步骤包括单播密钥协商的步骤及组播密钥通知的步骤。
5.根据权利要求4所述的基于证书及SIM的WLAN接入认证方法,其中所述的单播密钥协商的步骤具体为:若WLAN终端证书通过认证,接入点向WLAN终端发送密钥协商请求,该密钥协商请求中包括用WLAN终端解密的协商数据和接入点签名信息以及算法协商信息;WLAN终端对密钥协商请求进行签名验证,若验证通过并且接入点证书通过认证,则生成密钥协商数据,利用接入点公钥加密,并向接入点发送;双方利用密钥协商数据生成单播会话密钥。
6.根据权利要求4所述的基于证书及SIM的WLAN接入认证方法,其中所述的组播密钥通知的步骤具体为:接入点向WLAN终端发送组播密钥通告,该通告中携带有接入点发送的组播数据信息加密使用的密钥;WLAN终端验证接入点发送的组播密钥通告的有效性后,向接入点返回组播密钥响应。
7.一种基于证书及SIM的WLAN接入认证系统,其中包括:
安装有无线网卡和SIM卡的WLAN终端;
证书认证服务器,用于验证WLAN终端证书及接入点证书;
用户数据库,用于存储用户数据;
SIM认证服务器,用于根据用户数据进行基于SIM的用户认证;具体用于,从用户数据库获取鉴权数据,该鉴权数据包含随机数,签名响应,以及用户密钥;利用鉴权数据中的随机数生成用户挑战码,根据鉴权数据生成签名响应密钥,根据签名响应密钥生成签名响应鉴别码,并通过用户认证点向WLAN终端发送用户挑战码;并由WLAN终端根据用户挑战码以及预先设定的算法生成签名响应密钥,根据签名响应密钥生成签名响应鉴别码,并通过用户认证点向SIM认证服务器发送签名响应鉴别码;
用户认证点,用于检查WLAN终端是否已经通过认证并与SIM认证服务器协同进行基于SIM的用户认证。
8.根据权利要求7所述的基于证书及SIM的WLAN接入认证系统,其中所述用户认证点为接入点或接入控制点。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200610169783A CN101212296B (zh) | 2006-12-28 | 2006-12-28 | 基于证书及sim的wlan接入认证方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200610169783A CN101212296B (zh) | 2006-12-28 | 2006-12-28 | 基于证书及sim的wlan接入认证方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101212296A CN101212296A (zh) | 2008-07-02 |
| CN101212296B true CN101212296B (zh) | 2010-05-26 |
Family
ID=39612006
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN200610169783A Expired - Fee Related CN101212296B (zh) | 2006-12-28 | 2006-12-28 | 基于证书及sim的wlan接入认证方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101212296B (zh) |
Families Citing this family (18)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101883361B (zh) * | 2009-05-08 | 2015-05-27 | 华为技术有限公司 | 一种用户设备在接入网之间的切换方法、设备及系统 |
| CN102014384A (zh) * | 2009-09-04 | 2011-04-13 | 黄金富 | 通过移动电话网络验证wapi无线网络终端身份的方法 |
| TWI554067B (zh) * | 2009-12-16 | 2016-10-11 | 諾基亞科技公司 | 用以執行可靠網路、功能及服務發現之系統、方法及裝置 |
| CN101800984A (zh) * | 2010-01-14 | 2010-08-11 | 宇龙计算机通信科技(深圳)有限公司 | 获取wapi证书的方法、服务器端及wapi认证系统 |
| CN102014385A (zh) * | 2010-11-22 | 2011-04-13 | 中兴通讯股份有限公司 | 移动终端的认证方法及移动终端 |
| CN102740291A (zh) * | 2011-04-12 | 2012-10-17 | 广州盛华信息技术有限公司 | 一种实现wapi鉴证的系统及方法 |
| CN103164669B (zh) * | 2011-12-12 | 2016-01-13 | 北京北大千方科技有限公司 | 一种电子标签二次发行的方法及装置 |
| CN102711109B (zh) * | 2012-06-12 | 2016-08-03 | 中国电力科学研究院 | 一种移动终端身份认证的方法 |
| CN104244241B (zh) * | 2013-06-08 | 2019-03-12 | 中兴通讯股份有限公司 | 接入网络的认证方法、装置与终端设备 |
| CN104349315B (zh) * | 2013-07-31 | 2018-01-05 | 普天信息技术有限公司 | 一种保障基站与用户设备信息安全的方法和系统 |
| CN104469770B (zh) * | 2014-11-27 | 2018-03-20 | 中国联合网络通信集团有限公司 | 面向第三方应用的wlan认证方法、平台和系统 |
| CN105187398B (zh) * | 2015-08-12 | 2018-01-30 | 四川神琥科技有限公司 | 一种身份认证识别方法 |
| CN105554747B (zh) * | 2016-01-29 | 2018-09-04 | 腾讯科技(深圳)有限公司 | 无线网络连接方法、装置及系统 |
| WO2017129089A1 (zh) * | 2016-01-29 | 2017-08-03 | 腾讯科技(深圳)有限公司 | 无线网络连接方法、装置及存储介质 |
| CN107360123B (zh) * | 2016-05-10 | 2019-11-12 | 普天信息技术有限公司 | 基于wifi的双向认证方法及系统、无线交换机、终端 |
| CN107360124A (zh) * | 2016-05-10 | 2017-11-17 | 普天信息技术有限公司 | 接入认证方法及装置、无线接入点和用户终端 |
| CN108449759B (zh) * | 2018-03-28 | 2021-05-04 | 湖南东方华龙信息科技有限公司 | 无线接入方法和无线接入认证方法 |
| CN110234110B (zh) * | 2019-06-26 | 2021-11-02 | 恒宝股份有限公司 | 一种移动网络自动切换方法 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1426200A (zh) * | 2002-11-06 | 2003-06-25 | 西安西电捷通无线网络通信有限公司 | 无线局域网移动终端的安全接入与无线链路的数据保密通信方法 |
| CN1567879A (zh) * | 2003-07-03 | 2005-01-19 | 华为技术有限公司 | 无线局域网中用户终端网络选择信息的处理方法 |
-
2006
- 2006-12-28 CN CN200610169783A patent/CN101212296B/zh not_active Expired - Fee Related
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1426200A (zh) * | 2002-11-06 | 2003-06-25 | 西安西电捷通无线网络通信有限公司 | 无线局域网移动终端的安全接入与无线链路的数据保密通信方法 |
| CN1567879A (zh) * | 2003-07-03 | 2005-01-19 | 华为技术有限公司 | 无线局域网中用户终端网络选择信息的处理方法 |
Non-Patent Citations (3)
| Title |
|---|
| 韩佑臻.WLAN网络的接入认证技术研究.中国优秀硕士学位论文全文数据库.2006,24-28. * |
| 黄振海等.无线局域网鉴别与保密基础结构WAPI综述.移动通信 2005年05期.2006,(2005年05期),31-36. |
| 黄振海等.无线局域网鉴别与保密基础结构WAPI综述.移动通信 2005年05期.2006,(2005年05期),31-36. * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101212296A (zh) | 2008-07-02 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101212296B (zh) | 基于证书及sim的wlan接入认证方法及系统 | |
| CN101212297B (zh) | 基于web的wlan接入认证方法及系统 | |
| CN101005359B (zh) | 一种实现终端设备间安全通信的方法及装置 | |
| EP1540878B1 (en) | Linked authentication protocols | |
| CN101156352B (zh) | 基于移动网络端到端通信的认证方法、系统及认证中心 | |
| CN101640886B (zh) | 鉴权方法、重认证方法和通信装置 | |
| US20070178885A1 (en) | Two-phase SIM authentication | |
| CN100407868C (zh) | 一种在移动用户和应用服务器之间建立安全信道的方法 | |
| CN101536480A (zh) | 用于网络接入的设备和/或用户认证 | |
| CN103428001A (zh) | 一种隐式增强便捷web身份认证方法 | |
| CN103491540A (zh) | 一种基于身份凭证的无线局域网双向接入认证系统及方法 | |
| CN102111766A (zh) | 网络接入方法、装置及系统 | |
| CN100370772C (zh) | 一种无线局域网移动终端接入的方法 | |
| CN106713279A (zh) | 一种视频终端身份认证系统 | |
| CN100334850C (zh) | 一种无线局域网接入认证的实现方法 | |
| CN101192927B (zh) | 基于身份保密的授权与多重认证方法 | |
| CN100544253C (zh) | 无线局域网移动终端的安全重认证方法 | |
| CN102088699A (zh) | 一种基于信任列表的系统及方法 | |
| CN101483870A (zh) | 跨平台的移动通信安全体系的实现方法 | |
| CN100450305C (zh) | 一种基于通用鉴权框架的安全业务通信方法 | |
| CN101272379A (zh) | 基于IEEE802.1x安全认证协议的改进方法 | |
| CN101282215A (zh) | 证书鉴别方法和设备 | |
| CN101877852B (zh) | 用户接入控制方法和系统 | |
| WO2006079953A1 (en) | Authentication method and device for use in wireless communication system | |
| CN102905258B (zh) | 自有业务认证方法及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20100526 Termination date: 20201228 |