CN101754196A - 一种实现wapi认证的方法及系统 - Google Patents
一种实现wapi认证的方法及系统 Download PDFInfo
- Publication number
- CN101754196A CN101754196A CN200810182877A CN200810182877A CN101754196A CN 101754196 A CN101754196 A CN 101754196A CN 200810182877 A CN200810182877 A CN 200810182877A CN 200810182877 A CN200810182877 A CN 200810182877A CN 101754196 A CN101754196 A CN 101754196A
- Authority
- CN
- China
- Prior art keywords
- wai
- authentication
- message
- access point
- grouping
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Mobile Radio Communication Systems (AREA)
Abstract
本发明公开了一种WAPI认证的方法,应用于包括接入点和认证服务器的系统中,该方法包括:接收接入点发送的WAI认证请求消息,认证请求消息中携带WAI分组信息,其中该WAI认证请求消息被封装在Radius报文中;根据WAI分组信息对所述接入点进行WAI认证,并将WAI认证结果通过WAI分组响应消息返回接入点,WAI分组响应消息被封装在Radius报文中;在WAI认证结束后,继续接收接入点发送的Radius认证请求,并将Radius认证结果返回接入点。本发明中,只需要部署一个认证服务器,可以进行证书认证、对用户授权、计费,系统部署简单,设备处理简单。本发明同时公开了一种WAPI认证的系统。
Description
技术领域
本发明涉及通信技术领域,尤其涉及一种实现WAPI认证的方法及系统。
背景技术
WAPI(WLAN Authentication and Privacy Infrastructure,无线局域网鉴别和保密基础结构)是实现无线局域网安全的协议。WAPI采用公钥密码体制的椭圆曲线密码算法和对称密码体制的分组密码算法,用于WLAN(WirelessLocal Area Network,无线局域网)设备的数字证书、证书鉴别、密钥协商和传输数据的加解密,从而实现设备的身份鉴别、链路验证、访问控制和用户信息在无线传输状态下的加密保护。
WAPI是WAI(WLAN Authentication Infrastructure,无线局域网鉴别基础结构)和WPI(WLAN Privacy Infrastructure,无线局域网保密基础结构)两个协议统称。其中WAI协议解决无线局域网中的身份识别问题,WPI协议解决无线局域网中信息的保密传输问题。WAI协议中利用ECC(Elliptic Curveencryption algorithm,椭圆曲线加密体制)的ECDSA(Elliptic Curve DSA,椭圆曲线数字签名功能)解决了身份认证问题。WAI协议是WAPI协议中最重要和最基础的部分,只有实现了身份认证才可以进行数据传输。WAI用ECC技术实现了身份的双向认证问题,即无线终端对AP(Access Poinit,接入点)前认证,和AP对无线终端的认证,只有无线终端确认AP为合法接入点和AP确认无线终端为合法无线终端后双方才可以进行通信。
现有技术中,上述认证必须经过可信的第三方——ASU(AuthentiationService Unit,鉴别服务单元)才可以实现。ASU是基于ECC技术的WAI鉴别基础结构中重要的组成部分,实现对用户证书的有效性鉴别。WAPI鉴别流程如图1所示,包括以下步骤:
步骤101,移动终端登录到AP;
步骤102,AP激活身份认证过程;
步骤103,AP根据从AS(Appliation Service,应用服务器)获得的鉴别信息对该移动终端进行身份认证;
步骤104,移动终端与AP进行密钥协商;
步骤105,AP根据对移动终端发送信息的密钥的鉴别结果对移动终端进行接入控制。
然而,上述WAPI鉴别流程使用WAPI协议只能支持证书认证,当需要对用户进行授权、计费处理时需要部署一个AAA(Authentication AuthorizationAccounting,认证、授权、计费)服务器。在AS服务器上完成WAPI证书认证,在AAA服务器通过RADIUS(Remote Authentication Dial In User Service,远程用户拨号认证系统)认证完成用户的授权和计费。
现有技术中,WAI协议支持使用UDP(User Datagram Protocol,用户数据报协议)进行传输封装,通过远程证书鉴别请求和远程证书鉴别响应完成对无线客户端和AP的双向证书认证。由于WAI协议只能支持证书认证,如果需要对用户进行授权和计费处理,则除了需要部署AS服务器外还需要部署一个AAA服务器,增加了部署的复杂性,而且由于AAA服务器也有认证功能,同时为避免AAA服务器不需要的认证过程,会增加设备处理的复杂度。
发明内容
本发明提供了一种实现WAPI认证的方法及系统,通过扩展RADIUS协议,在AAA服务器可以完成WAI的证书鉴别、对用户授权和计费,实现WAI与RADIUS协议的完好结合,降低网络部署和设备处理的复杂度。
本发明提供了一种WAPI认证的方法,应用于包括接入点和认证服务器的系统中,所述方法包括以下步骤:
接收接入点发送的WAI认证请求消息,所述认证请求消息中携带WAI分组信息,其中该WAI认证请求消息被封装在Radius报文中;
根据所述WAI分组信息对所述接入点进行WAI认证,并将WAI认证结果通过WAI分组响应消息返回所述接入点,所述WAI分组响应消息被封装在Radius报文中;
在所述WAI认证结束后,继续接收所述接入点发送的Radius认证请求,并将Radius认证结果返回所述接入点。
其中,其特征在于,如果所述WAI认证结果是成功,则返回给所述接入点的Radius认证结果是成功,如果所述WAI认证结果是拒绝,则返回给所述接入点的Radius认证结果是拒绝。
其中,封装所述WAI认证请求消息的Radius报文与封装所述WAI分组响应消息的Radius报文不同。
其中,封装所述WAI认证请求消息的Radius报文是Access-Request报文,封装所述WAI分组响应消息的Radius报文是Access-Challenge报文。
其中,所述根据所述WAI分组信息对所述接入点进行WAI认证,具体包括:
根据所述WAI分组信息中的分片标识确定后续是否有分片,对于没有分片的WAI分组,根据所述WAI分组信息对所述接入点进行WAI认证;或
对于有分片的分组,根据WAI分组信息中的分片序号恢复WAI分组信息,根据所述WAI分组信息对所述接入点进行WAI认证。
其中,所述将WAI认证结果通过WAI分组响应消息返回所述接入点,具体为:
通过有分片的WAI分组响应消息返回所述接入点,所述WAI分组响应消息中包括报文头,不包括数据,所述报文头中分片序号为已接收的分片序号;或
通过没有分片的WAI分组响应消息返回所述接入点。
其中,通过分片标识指示接入点,所述WAI分组响应消息是否为有分片的WAI分组响应消息。
本发明提供了一种WAPI认证的方法,应用于包括接入点和认证服务器的系统中,所述方法包括以下步骤:
向认证服务器发送WAI认证请求消息,所述认证请求消息中携带WAI分组信息;
接收所述认证服务器返回的WAI分组认证响应消息,所述认证响应消息中携带WAI认证结果,所述WAI分组响应消息被封装在Radius报文中;
在所述WAI认证结束后,继续向所述认证服务器发送Radius认证请求,并接收所述认证服务器返回的Radius认证结果。
其中,所述接收所述认证服务器返回的WAI分组认证响应消息之后还包括:
所述WAI分组认证响应消息没有分片,向所述认证服务器发送WAI请求消息,所述WAI请求消息中包括报文头,不包括数据;
所述WAI分组认证响应消息有分片,向所述认证服务器发送WAI请求消息,所述WAI请求消息中包括报文头,不包括数据,所述报文头中分片序号为已接收的分片序号。
本发明提供了一种WAPI认证的系统,包括:
接入点,用于向认证服务器发送WAI认证请求消息,所述认证请求消息中携带WAI分组信息,接收所述认证服务器返回的WAI分组认证响应消息,所述认证响应消息中携带WAI认证结果,所述WAI分组响应消息被封装在Radius报文中,并且在所述WAI认证结束后,继续向所述认证服务器发送Radius认证请求;
认证服务器,用于接收接入点发送的WAI认证请求消息,所述认证请求消息中携带WAI分组信息,其中该WAI认证请求消息被封装在Radius报文中,根据所述WAI分组信息对所述接入点进行WAI认证,将WAI认证结果通过WAI分组响应消息返回所述接入点,所述WAI分组响应消息被封装在Radius报文中;并且在所述WAI认证结束后,继续接收所述接入点发送的Radius认证请求,将Radius认证结果返回所述接入点。
与现有技术相比,本发明具有以下优点:
本发明中,实现了WAPI认证与RADIUS认证的完好结合,只需要部署一个AAA服务器,通过RADIUS协议认证,设备只需要透传WAI报文,不需要关注WAPI细节;同时可以进行证书认证、对用户授权、计费,系统部署简单,设备处理简单。
附图说明
图1是现有技术中WAPI鉴别流程图;
图2是本发明中一种WAPI认证的方法流程图;
图3是本发明中携带WAI分组扩展格式示意图;
图4是本发明中WAI分组格式示意图;
图5是本发明中另一种WAPI认证的方法流程图;
图6是本发明中认证成功、WAI分组没有分片的交互流程图;
图7是本发明中认证成功、WAI分组有分片的交互流程图;
图8是本发明中认证失败、WAI分组没有分片的交互流程图;
图9是本发明中认证失败、WAI分组有分片的交互流程图;
图10是本发明中一种WAPI认证的系统结构图;
图11是本发明中一种认证服务器系统结构图;
图12是本发明中一种接入点系统结构图;
图13是本发明中一种无线局域网的认证方法流程图。
具体实施方式
本发明提供了一种WAPI认证的方法,应用于包括接入点和认证服务器的系统中,如图2所示,包括以下步骤:
步骤201,认证服务器接收接入点发送的WAI认证请求消息,认证请求消息中携带WAI分组信息,其中该WAI认证请求消息被封装在Radius报文中。其中,携带WAI分组信息的方式为:对RADIUS的Vendor-Specific属性进行扩展,在所述Vendor-Specific属性中携带WAI分组请求或响应信息。
具体实现方式是在RADIUS协议中增加一个扩展属性,在该扩展属性中携带WAI分组,当认证服务器接收到接入点发送的携带远程证书鉴别请求的RADIUS认证请求报文,从RADIUS的扩展属性中解析WAI分组,在完成证书鉴别后将鉴别结果组装成WAI远程证书鉴别响应分组放在RADIUS的扩展属性中发给接入点。
对RADIUS协议的Vendor-Specific属性(26)进行扩展,在属性中携带WAI分组,扩展格式如图3所示,包括:Type(类型)字段;Length(长度)字段;Vendor-Id(运营商标识)字段;Vendor-type(运营商类型)字段;Vendor-length(运营商长度)字段;携带WAI分组请求或响应的特殊属性字段。
其中,图3中的WAI分组格式如图4所示,包括:
版本字段,长度为2个八位位组,表示鉴别基础结构的版本号,当前版本为1;
类型字段,长度为1个八位位组,表示协议类型,定义如下:1表示WAI协议分组,其他值保留;
子类型字段,长度为1个八位位组,当类型字段的值为1时,子类型字段值定义如下:6表示证书鉴别请求分组,7表示证书鉴别响应分组;
保留字段,长度为2个八位位组,默认值为0;
长度字段,长度为2个八位位组,表示WAI协议分组所有字段的八位位组数;
分组序号字段,长度为2个八位位组,表示协议分组序号,第一个分组序号为1,后序分组依次按1递增;
分片序号字段,长度为1个八位位组,表示分片的顺序编号,每一个分组的第一个分片序号为0,后序分片依次按1递增;
标识字段,长度为1个八位位组,比特0表示后续是否有分片,值为0表示没有,值为1表示有,比特1至比特7保留;
数据字段,内容根据类型和子类型的值而定,除了包含固定的内容,还可以包含可选的属性,证书鉴别请求或响应分组格式请参照WAPI标准。
另外中,可以将属性定义如表1所示,代表在RADIUS协议中哪个阶段携带该属性,表1中的属性编号为子属性编号,即Vendor type:
表1:
属性名 | 属性编号 | Access-Request | Access-Accept | Access-Reject | Access-Challenge | Accounting-Request | Accounting-Response | Session-Control | 备注 |
H3C_WAI | 200 | 0+ | 0 | 0 | 0+ | 0 | 0 | 0 |
如表1所示,在RADIUS协议中的Access-Request(接入请求)消息、Access-Challenge(挑战访问)消息中携带该属性。当然,也可以根据需要设置在Access-Accept(接入接受)消息、Access-Reject(接入拒绝)消息、Accounting-Request(计费请求)消息、Accounting-Response(计费响应)消息、Session-Control(会话控制)消息中携带该属性。
在RADIUS协议中的WAI扩展属性的具体定义如表2所示:
表2:
属性名 | 属性编号 | 格式(text,string,address,Integertime) | 具体定义 | 公开策略 |
H3C_WAI | 200 | String | 远程证书鉴别请求或响应分组 |
如表2所示,通过字符串、文本、地址、时间等方式表示WAI扩展属性为远程证书鉴别请求或响应分组。
步骤202,认证服务器根据所述WAI分组信息对所述接入点进行WAI认证,并将WAI认证结果通过WAI分组响应消息返回所述接入点,所述WAI分组响应消息被封装在Radius报文中。
其中,根据所述WAI分组信息对所述接入点进行认证,具体包括:根据所述WAI分组信息中的分片标识确定后续是否有分片,对于没有分片的WAI分组,根据所述WAI分组信息对所述接入点进行认证;或对于有分片的分组,根据WAI分组信息中的分片序号恢复WAI分组信息,根据所述WAI分组信息对所述接入点进行认证。
将认证结果通过WAI分组响应消息返回所述接入点,具体为:通过有分片的WAI分组响应消息返回所述接入点,所述WAI分组响应消息中包括报文头,不包括数据,所述报文头中分片序号为已接收的分片序号;或通过没有分片的WAI分组响应消息返回所述接入点。其中,可以通过分片标识指示接入点,所述WAI分组响应消息是否为有分片的WAI分组响应消息。
步骤203,在所述WAI认证结束后,继续接收所述接入点发送的Radius认证请求,并将Radius认证结果返回所述接入点。
其中,如果所述WAI认证结果是成功,则返回给所述接入点的Radius认证结果是成功,如果所述WAI认证结果是拒绝,则返回给所述接入点的Radius认证结果是拒绝。封装所述WAI认证请求消息的Radius报文与封装所述WAI分组响应消息的Radius报文不同。封装所述WAI认证请求消息的Radius报文是Access-Request报文,封装所述WAI分组响应消息的Radius报文是Access-Challenge报文。
本发明还提供了一种WAPI认证的方法,应用于包括接入点和认证服务器的系统中,如图5所示,包括以下步骤:
步骤501,接入点向认证服务器发送WAI认证请求消息,所述认证请求消息中携带WAI分组信息;
步骤502,接入点接收所述认证服务器返回的WAI分组认证响应消息,所述认证响应消息中携带WAI认证结果,所述WAI分组响应消息被封装在Radius报文中。
其中,WAI分组认证响应消息没有分片,向所述认证服务器发送WAI请求消息,所述WAI请求消息中包括报文头,不包括数据;WAI分组认证响应消息有分片,向所述认证服务器发送WAI请求消息,所述WAI请求消息中包括报文头,不包括数据,所述报文头中分片序号为已接收的分片序号。
步骤503,在所述WAI认证结束后,接入点继续向认证服务器发送Radius认证请求,并接收认证服务器返回的Radius认证结果。
本发明中公开了一种实现WAPI认证的方法,如图6所示,采用没有分片的WAI分组进行认证,并且认证成功;该方法包括以下步骤:
步骤601,AP向AAA服务器发送Access-Request(接入请求)消息,由于该Access-Request消息中添加了WAI分组属性,Access-Request消息等同于WAI-Request消息。WAI-Request消息包括:分片序号fragment、标识identifer和数据;其中分片序号fragment表示该消息携带的分片序号,标识identifer表示后续是否有分片,当identifer=0表示后续没有分片。
步骤602,AAA服务器向AP发送Access-Challenge(挑战访问)消息,由于该Access-Challenge消息中添加了WAI分组属性,Access-Challenge消息等同于WAI-Response消息。WAI-Response消息包括:分片序号fragment、标识identifer和数据;其中分片序号fragment=0,identifer=0。
步骤603,AP向AAA服务器发送Access-Request(接入请求)消息,通知AAA服务器已经认证处理完成,由于该Access-Request消息中添加了WAI分组属性,Access-Request消息等同于WAI-Request消息。其中,WAI-Request消息包括:分片序号fragment和标识identifer,fragment=0,identifer=0。
步骤604,AAA服务器将接入请求消息中的用户信息与本地的用户数据库信息进行对比分析完成认证,如果信息匹配,即认证成功,则向AP发送Access-Accept(接入接受)消息,该消息中携带对应用户的权限信息,如发送数据的内容、格式、时间等限制条件,使对应用户根据该限制条件与AAA服务器进行数据交互。
其中,步骤601和步骤602是通过Radius的Request和Challenge的交互完成WAI的request和response;步骤603和步骤604是完成Radius的认证过程。
当然,在认证成功后,还可以进行计费功能,例如,AP确认认证成功后,向AAA服务器发送计费请求,AAA服务器根据计费请求中的用户标识、交互内容等参数进行计费,并向AP返回计费响应。AP也会定时向AAA服务器发送计费更新请求,以保持AAA服务器同步计费,当AAA服务器不能按时收到该计费更新请求时,则认为此次计费完成,停止计费。
本发明中公开了一种实现WAPI认证的方法,如图7所示,采用有分片的WAI分组进行认证,并且认证成功;该方法包括以下步骤:
步骤701,AP向AAA服务器发送Access-Request(接入请求)消息,由于该Access-Request消息中添加了WAI分组属性,Access-Request消息等同于WAI-Request消息。WAI-Request消息包括:分片序号fragment、标识identifer和数据;由于identifer=1,表示该WAI分组后续还有分片数据发送(采用分片形式发送是由于:某些WAI分组数据的长度大于传输通道带宽,无法将整个数据一次发送,只能将该WAI分组数据拆分成多个后分别发送)。
步骤702,AAA服务器向AP发送Access-Challenge(挑战访问)消息,由于该Access-Challenge消息中添加了WAI分组属性,Access-Challenge消息等同于WAI-Response消息。该WAI-Response为一个空报文,只包含WAI报文头没有数据,报文头中分片序号使用已接收的分片的序号fragment=0。
步骤703,AP向AAA服务器发送Access-Request(接入请求)消息,由于该Access-Request消息中添加了WAI分组属性,Access-Request消息等同于WAI-Request消息。WAI-Request消息包括:分片序号fragment=1、标识identifer和数据;由于identifer=1,表示该WAI分组后续还有分片数据发送。
步骤704,AAA服务器向AP发送Access-Challenge(挑战访问)消息,由于该Access-Challenge消息中添加了WAI分组属性,Access-Challenge消息等同于WAI-Response消息。该WAI-Response为一个空报文,只包含WAI报文头没有数据,报文头中分片序号使用已接收的分片的序号fragment=1。
步骤705,AP向AAA服务器发送Access-Request(接入请求)消息,由于该Access-Request消息中添加了WAI分组属性,Access-Request消息等同于WAI-Request消息。WAI-Request消息包括:分片序号fragment=2、标识identifer和数据;由于identifer=0,表示该WAI分组后续没有分片数据发送,整个认证请求数据发送完成。
步骤706,AAA服务器向AP发送Access-Challenge(挑战访问)消息,由于该Access-Challenge消息中添加了WAI分组属性,Access-Challenge消息等同于WAI-Response消息。该WAI-Response携带认证结果,包括:分片序号fragment、标识identifer和数据,其中,fragment=0,标识identifer=1,表示后续还有分片结果。
步骤707,AP向AAA服务器发送Access-Request(接入请求)消息,由于该Access-Request消息中添加了WAI分组属性,Access-Request消息等同于WAI-Request消息。该WAI-Request消息为一个空报文,只包含WAI报文头没有数据,报文头中分片序号使用已接收的分片的序号。证书交互在challenge过程中完成,认证回应报文中不携带WAI分组。
步骤708,AAA服务器向AP发送Access-Challenge(挑战访问)消息,由于该Access-Challenge消息中添加了WAI分组属性,Access-Challenge消息等同于WAI-Response消息。该WAI-Response携带认证结果,包括:分片序号fragment、标识identifir和数据,其中,fragment=1,标识identifer=1,表示后续还有分片结果。
步骤709,AP向AAA服务器发送Access-Request(接入请求)消息,由于该Access-Request消息中添加了WAI分组属性,Access-Request消息等同于WAI-Request消息。
步骤710,AAA服务器向AP发送Access-Challenge(挑战访问)消息,由于该Access-Challenge消息中添加了WAI分组属性,Access-Challenge消息等同于WAI-Response消息。该WAI-Response携带认证结果,包括:分片序号fragment、标识identifir和数据,其中,fragment=2,标识identifer=1,表示后续还有分片结果。
步骤711,AP向AAA服务器发送Access-Request(接入请求)消息,由于该Access-Request消息中添加了WAI分组属性,Access-Request消息等同于WAI-Request消息。
步骤712,AAA服务器将接入请求消息中的用户信息与本地的用户数据库信息进行对比分析完成认证,如果信息匹配,即认证成功,则向AP发送Access-Accept(接入接受)消息,该消息中携带对应用户的权限信息。证书交互在challenge过程中完成,认证回应报文中不携带WAI分组。
其中,步骤701和步骤710是通过Radius的Request和Challenge的交互完成分片WAI的request和response;步骤711和步骤712是完成Radius的认证过程。
本发明中公开了一种实现WAPI认证的方法,如图8所示,采用没有分片的WAI分组进行认证,并且认证失败;该方法包括以下步骤:
其中,步骤801到步骤803与图6中的步骤601到步骤603相同;
步骤804,AAA服务器向AP发送Access-Reject(接入拒绝)消息,表示认证失败。
本发明中公开了一种实现WAPI认证的方法,如图9所示,采用有分片的WAI分组进行认证,并且认证失败;该方法包括以下步骤:
步骤901到步骤911与图7中的步骤701到步骤711相同;
步骤912,AAA服务器向AP发送Access-Reject(接入拒绝)消息,表示认证失败。
本发明提供了一种WAPI认证的系统,如图10所示,包括:接入点1010,用于向认证服务器1020发送WAI认证请求消息,认证请求消息中携带WAI分组信息,接收认证服务器1020返回的WAI分组认证响应消息,认证响应消息中携带WAI认证结果,WAI分组响应消息被封装在Radius报文中,并且在WAI认证结束后,继续向认证服务器发送Radius认证请求;认证服务器1020,用于接收接入点1010发送的WAI认证请求消息,认证请求消息中携带WAI分组信息,其中该WAI认证请求消息被封装在Radius报文中,根据WAI分组信息对接入点1010进行WAI认证,并将WAI认证结果通过WAI分组响应消息返回接入点1010,WAI分组响应消息被封装在Radius报文中;并且在WAI认证结束后,继续接收接入点1010发送的Radius认证请求,将Radius认证结果返回接入点1010。
本发明提供了一种认证服务器,如图11所示,包括:接收单元1110,用于接收接入点发送的WAI认证请求消息,认证请求消息中携带WAI分组信息,其中该WAI认证请求消息被封装在Radius报文中,并且在WAI认证结束后,继续接收接入点发送的Radius认证请求;认证单元1120,用于根据WAI分组信息对接入点进行WAI认证,并根据Radius认证请求对接入点进行Radius认证;发送单元1130,用于将WAI认证结果通过WAI分组响应消息返回接入点,WAI分组响应消息被封装在Radius报文中,将Radius认证结果返回接入点。
其中,发送单元1130具体用于对RADIUS的Vendor-Specific属性进行扩展,在Vendor-Specific属性中携带WAI分组响应信息。
认证单元1120具体包括:判断子单元,用于根据WAI分组信息中的分片标识确定后续是否有分片;认证子单元,用于对于没有分片的WAI分组,根据WAI分组信息对接入点进行WAI认证;对于有分片的分组,根据WAI分组信息中的分片序号恢复WAI分组信息,根据WAI分组信息对接入点进行WAI认证。
发送单元1130具体用于通过有分片的WAI分组响应消息返回接入点,WAI分组响应消息中包括报文头,不包括数据,报文头中分片序号为已接收的分片序号;或用于通过没有分片的WAI分组响应消息返回接入点。
本发明提供了一种接入点,如图12所示,包括:发送单元1210,用于向认证服务器发送WAI认证请求消息,认证请求消息中携带WAI分组信息,并在WAI认证结束后,继续向认证服务器发送Radius认证请求;接收单元1220,用于接收认证服务器返回的WAI分组认证响应消息,认证响应消息中携带WAI认证结果,WAI分组响应消息被封装在Radius报文中,并接收认证服务器返回的Radius认证结果。
其中,发送单元1210还用于WAI分组认证响应消息没有分片,向认证服务器发送WAI请求消息,WAI请求消息中包括报文头,不包括数据;WAI分组认证响应消息有分片,向认证服务器发送WAI请求消息,WAI请求消息中包括报文头,不包括数据,报文头中分片序号为已接收的分片序号。
发送单元1210具体用于对RADIUS的Vendor-Specific属性进行扩展,在Vendor-Specific属性中携带WAI分组请求信息。
本发明还提供了一种无线局域网的认证方法,如图13所示,包括以下步骤:
步骤1301,将基于第一认证协议的认证请求消息封装于第二认证协议的报文中;
步骤1302,将封装好的第二认证协议的报文发送给认证服务器进行认证;
步骤1303,在接收到认证服务器返回的对基于第一认证协议的认证请求消息的响应后,继续发送一个基于第二认证协议的认证请求报文给认证服务器;
步骤1304,接收认证服务器对基于第二认证协议的认证请求报文的响应。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到本发明可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述的方法。
以上公开的仅为本发明的几个具体实施例,但是,本发明并非局限于此,任何本领域的技术人员能思之的变化都应落入本发明的保护范围。
Claims (10)
1.一种WAPI认证的方法,应用于包括接入点和认证服务器的系统中,其特征在于,所述方法包括以下步骤:
接收接入点发送的WAI认证请求消息,所述认证请求消息中携带WAI分组信息,其中该WAI认证请求消息被封装在Radius报文中;
根据所述WAI分组信息对所述接入点进行WAI认证,并将WAI认证结果通过WAI分组响应消息返回所述接入点,所述WAI分组响应消息被封装在Radius报文中;
在所述WAI认证结束后,继续接收所述接入点发送的Radius认证请求,并将Radius认证结果返回所述接入点。
2.如权利要求1所述的方法,其特征在于,如果所述WAI认证结果是成功,则返回给所述接入点的Radius认证结果是成功,如果所述WAI认证结果是拒绝,则返回给所述接入点的Radius认证结果是拒绝。
3.如权利要求1所述的方法,其特征在于,封装所述WAI认证请求消息的Radius报文与封装所述WAI分组响应消息的Radius报文不同。
4.如权利要求3所述的方法,其特征在于,封装所述WAI认证请求消息的Radius报文是Access-Request报文,封装所述WAI分组响应消息的Radius报文是Access-Challenge报文。
5.如权利要求1所述的方法,其特征在于,所述根据所述WAI分组信息对所述接入点进行WAI认证,具体包括:
根据所述WAI分组信息中的分片标识确定后续是否有分片,对于没有分片的WAI分组,根据所述WAI分组信息对所述接入点进行WAI认证;或
对于有分片的分组,根据WAI分组信息中的分片序号恢复WAI分组信息,根据所述WAI分组信息对所述接入点进行WAI认证。
6.如权利要求5所述的方法,其特征在于,所述将WAI认证结果通过WAI分组响应消息返回所述接入点,具体为:
通过有分片的WAI分组响应消息返回所述接入点,所述WAI分组响应消息中包括报文头,不包括数据,所述报文头中分片序号为已接收的分片序号;或
通过没有分片的WAI分组响应消息返回所述接入点。
7.如权利要求6所述的方法,其特征在于,通过分片标识指示接入点,所述WAI分组响应消息是否为有分片的WAI分组响应消息。
8.一种WAPI认证的方法,应用于包括接入点和认证服务器的系统中,其特征在于,所述方法包括以下步骤:
向认证服务器发送WAI认证请求消息,所述认证请求消息中携带WAI分组信息;
接收所述认证服务器返回的WAI分组认证响应消息,所述认证响应消息中携带WAI认证结果,所述WAI分组响应消息被封装在Radius报文中;
在所述WAI认证结束后,继续向所述认证服务器发送Radius认证请求,并接收所述认证服务器返回的Radius认证结果。
9.如权利要求8所述的方法,其特征在于,所述接收所述认证服务器返回的WAI分组认证响应消息之后还包括:
所述WAI分组认证响应消息没有分片,向所述认证服务器发送WAI请求消息,所述WAI请求消息中包括报文头,不包括数据;
所述WAI分组认证响应消息有分片,向所述认证服务器发送WAI请求消息,所述WAI请求消息中包括报文头,不包括数据,所述报文头中分片序号为已接收的分片序号。
10.一种WAPI认证的系统,其特征在于,包括:
接入点,用于向认证服务器发送WAI认证请求消息,所述认证请求消息中携带WAI分组信息,接收所述认证服务器返回的WAI分组认证响应消息,所述认证响应消息中携带WAI认证结果,所述WAI分组响应消息被封装在Radius报文中,并且在所述WAI认证结束后,继续向所述认证服务器发送Radius认证请求;
认证服务器,用于接收接入点发送的WAI认证请求消息,所述认证请求消息中携带WAI分组信息,其中该WAI认证请求消息被封装在Radius报文中,根据所述WAI分组信息对所述接入点进行WAI认证,将WAI认证结果通过WAI分组响应消息返回所述接入点,所述WAI分组响应消息被封装在Radius报文中;并且在所述WAI认证结束后,继续接收所述接入点发送的Radius认证请求,将Radius认证结果返回所述接入点。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN200810182877A CN101754196A (zh) | 2008-12-11 | 2008-12-11 | 一种实现wapi认证的方法及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN200810182877A CN101754196A (zh) | 2008-12-11 | 2008-12-11 | 一种实现wapi认证的方法及系统 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN101754196A true CN101754196A (zh) | 2010-06-23 |
Family
ID=42480416
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN200810182877A Pending CN101754196A (zh) | 2008-12-11 | 2008-12-11 | 一种实现wapi认证的方法及系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN101754196A (zh) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102026197A (zh) * | 2010-12-31 | 2011-04-20 | 东莞宇龙通信科技有限公司 | Wapi数字证书的获取方法和装置 |
CN102340773A (zh) * | 2010-07-28 | 2012-02-01 | 国基电子(上海)有限公司 | Femto存取点及利用其减少用户在IMS网络中认证时间的方法 |
CN106686635A (zh) * | 2015-11-09 | 2017-05-17 | 大唐软件技术股份有限公司 | 基于无线接入点的控制和配置协议的数据传输方法和装置 |
CN107623643A (zh) * | 2017-09-22 | 2018-01-23 | 深圳市盛路物联通讯技术有限公司 | 一种数据包转发方法及装置 |
-
2008
- 2008-12-11 CN CN200810182877A patent/CN101754196A/zh active Pending
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102340773A (zh) * | 2010-07-28 | 2012-02-01 | 国基电子(上海)有限公司 | Femto存取点及利用其减少用户在IMS网络中认证时间的方法 |
CN102026197A (zh) * | 2010-12-31 | 2011-04-20 | 东莞宇龙通信科技有限公司 | Wapi数字证书的获取方法和装置 |
CN106686635A (zh) * | 2015-11-09 | 2017-05-17 | 大唐软件技术股份有限公司 | 基于无线接入点的控制和配置协议的数据传输方法和装置 |
CN106686635B (zh) * | 2015-11-09 | 2020-05-15 | 大唐软件技术股份有限公司 | 基于无线接入点的控制和配置协议的数据传输方法和装置 |
CN107623643A (zh) * | 2017-09-22 | 2018-01-23 | 深圳市盛路物联通讯技术有限公司 | 一种数据包转发方法及装置 |
CN107623643B (zh) * | 2017-09-22 | 2021-10-08 | 深圳市盛路物联通讯技术有限公司 | 一种数据包转发方法及装置 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP5579872B2 (ja) | 安全な複数uim認証および鍵交換 | |
US8265593B2 (en) | Method and system of communication using extended sequence number | |
US8140845B2 (en) | Scheme for authentication and dynamic key exchange | |
TWI307608B (zh) | ||
EP2210437B1 (en) | Secure wireless communication | |
US8094821B2 (en) | Key generation in a communication system | |
US8630414B2 (en) | Inter-working function for a communication system | |
US20030235305A1 (en) | Key generation in a communication system | |
CN100512201C (zh) | 用于处理分组业务的接入-请求消息的方法 | |
CN1842993B (zh) | 提供证书 | |
CN101371491A (zh) | 提供无线网状网络的方法和装置 | |
CN105722013A (zh) | 蓝牙配对方法及装置 | |
CN101401465A (zh) | 用于在移动网络中进行递归认证的方法和系统 | |
CN102487506B (zh) | 一种基于wapi协议的接入认证方法、系统和服务器 | |
CN100334850C (zh) | 一种无线局域网接入认证的实现方法 | |
CN101599967A (zh) | 基于802.1x认证系统的权限控制方法及系统 | |
CN106452763B (zh) | 一种通过远程虚拟usb设备使用密码钥匙方法 | |
CN101754196A (zh) | 一种实现wapi认证的方法及系统 | |
CN101742502B (zh) | 一种实现wapi认证的方法、系统及设备 | |
US20110219428A1 (en) | Electronic apparatus and terminal | |
CN117395001B (zh) | 一种基于量子密钥芯片的车联网安全通信方法及系统 | |
CN101925058B (zh) | 一种身份认证的方法、系统和鉴别器实体 | |
CN101742507B (zh) | 一种WAPI终端访问Web应用站点的系统及方法 | |
JP4009273B2 (ja) | 通信方法 | |
CN103517270A (zh) | 设定预共享密钥的方法、服务器及客户端装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20100623 |