CN101771722B

CN101771722B - 一种WAPI终端访问Web应用站点的系统及方法

Info

Publication number: CN101771722B
Application number: CN200910215322.7A
Authority: CN
Inventors: 施元庆
Original assignee: ZTE Corp Nanjing Branch
Current assignee: ZTE Corp
Priority date: 2009-12-25
Filing date: 2009-12-25
Publication date: 2014-05-28
Anticipated expiration: 2029-12-25
Also published as: WO2010148804A1; CN101771722A

Abstract

本发明提供了一种WAPI终端访问Web应用站点的系统及方法，该方法包括：当WAPI终端访问Web应用站点上受保护的内容时，所述Web应用站点向WAPI终端发送安全断言请求，所述WAPI终端将所述安全断言请求发送至WAPI鉴别服务器，所述WAPI鉴别服务器收到安全断言请求后返回安全断言响应，所述WAPI终端将接收的安全断言响应发送至Web应用站点站，所述Web应用站点站根据安全断言响应向WAPI终端返回授权响应。采用本发明的技术方案，简化了现有SAML中Web应用站点的单点登录过程。

Description

一种WAPI终端访问Web应用站点的系统及方法

技术领域

本发明涉及WAPI(WLAN Authentication and Privacy Infrastructure，无线局域网认证与保密基础结构)技术，具体涉及一种WAPI终端访问Web应用站点的系统及方法。

背景技术

为了解决无线局域网国际标准ISO/IEC 8802-11中定义的WEP(WiredEquivalent Privacy)安全机制存在的安全漏洞，我国颁布了无线局域网国家标准及其第一号修改单，采用无线局域网认证与保密基础结构WAPI替代WEP，解决无线局域网的安全问题。WAPI由无线局域网鉴别基础结构(WAIWLAN Authentication Infrastructure)和无线局域网保密基础结构(WPIWLAN Privacy Infrastructure)组成。WAI采用了公开密钥加密技术，用于WAPI终端与接入点之间的互相身份鉴别；WPI采用国家密码管理委员会办公室批准的用于WLAN的对称密码算法实现数据保护，对MAC(MediaAccess Control，媒体访问控制)子层的MAC服务数据模块(MSDU，MACService Data Unit)进行加、解密处理。规范中介绍的基础结构包括了几个功能实体，接入点(AP，access point)是指任何一个具备站点功能，通过无线媒体为关联的站点提供访问分布式服务的实体；鉴别请求者实体(ASUE，authentication supplicant entity)是在接入服务之前请求进行鉴别操作的实体；鉴别器实体(AE，authenticator entity)为鉴别请求者在接入服务之前提供鉴别操作的实体。该实体主流在接入点或WAPI终端内；鉴别服务模块(ASU，authentication service unit)的基本功能是实现对用户证书的管理和用户身份的鉴别等，是基于公开密钥密码技术的WAI鉴别基础结构中重要的组成部分；鉴别服务实体(ASE，authentication service entity)为鉴别器和鉴别请求者提供身份鉴别服务的实体。该实体驻留在鉴别服务模块中，鉴别服务模块对应网络中的节点为WAPI鉴别服务器。用户证书为公开密钥证书，它是WAI系统构造中重要的环节。公开密钥证书是网络用户的数字身份凭证，通过私有密钥验证可以唯一地确定网络用户的身份。

SAML(Security Assertion Markup Language，安全断言标记语言)基于XML(Extensible Markup Language，可扩展标记语言)实现，是一种控制主体访问资源的安全机制。SAML封装了安全域(security domain)之间交换的鉴别和授权信息，通常安全域是指身份提供者(identity provider)和业务提供者(Service provider)。SAML假定主体(principal)至少由一家身份提供者提供身份，并且提供主体的身份鉴别服务，而具体使用何种鉴别服务，SAML规范并未提及。SAML以提供多个关于主体的断言的形式来表述安全性，由接受请求的应用提供者决定，如果它信任断言，则接受主题的请求或数据。SAML要求在传输断言和消息时使用安全套接字层(SSL，SecureSocket Layer)加密，以防止断言被拦截。此外，SAML还提供了数字签名机制，使得断言具有有效时间范围，防止断言被重播。

随着WAPI的部署和实施，越来越多的移动WAPI终端支持无线局域网接入，同时也将会支持越来越多的互联网业务功能。通过WAPI终端访问互联网上Web应用站点将越来越普遍，众多Web应用站点网站通常会有自己的登录机制，比如要求用户提供用户名密码以辨明身份，移动WAPI终端在接入网络时已经完成了身份鉴别过程，如果Web应用站点可以参考接入过程的鉴别结果，可以简化WAPI终端用户在访问Web应用站点时的操作，也使得部署WAPI的运营商可以充分利用接入设备资源和用户资源，向移动互联网业务提供统一、安全、便捷的用户鉴别服务。

发明内容

本发明要解决的技术问题是提供一种WAPI终端访问Web应用站点的系统及方法，简化了现有SAML中Web应用站点的单点登录过程。

为了解决上述问题，本发明提供了一种WAPI终端访问Web应用站点的方法，包括：当WAPI终端访问Web应用站点上受保护的内容时，所述Web应用站点向WAPI终端发送安全断言请求，所述WAPI终端将所述安全断言请求发送至WAPI鉴别服务器，所述WAPI鉴别服务器收到安全断言请求后返回安全断言响应，所述WAPI终端将接收的安全断言响应发送至Web应用站点站，所述Web应用站点站根据安全断言响应向WAPI终端返回授权响应。

进一步地，所述Web应用站点是在向WAPI终端返回重定向消息时携带安全断言请求，并在所述重定向消息中指定WAPI鉴别服务器的统一资源定位符(URL)以及在所述安全断言请求中携带WAPI终端标识。

进一步地，所述WAPI终端向WAPI鉴别服务器发送HTTP GET消息时将所述安全断言请求经过BASE64编码后以URL参数的方式发送至WAPI鉴别服务器。

进一步地，所述WAPI鉴别服务器收到安全断言请求后根据所述WAPI终端标识查找本地记录的鉴别状态记录，若记录所述WAPI终端已完成鉴别则生成安全断言响应，其中包含对WAPI终端的鉴别结果及对安全断言响应的数字签名。

进一步地，若所述WAPI鉴别服务器收到安全断言请求通过查找本地记录的鉴别状态记录发现未对所述WAPI终端进行鉴别，则向接入网络鉴别授权计费服务器发送鉴别查询请求，其中携带WAPI终端标识，若所述接入网络鉴别授权计费服务器记录显示已完成对所述WAPI终端的鉴别，则向WAPI鉴别服务器返回鉴别查询响应时携带鉴别结果，所述WAPI鉴别服务器收到鉴别查询响应后生成安全断言响应，其中包含对WAPI终端的鉴别结果及对安全断言响应的数字签名。

进一步地，所述Web应用站点收到安全断言响应后对所述数字签名进行验证，验证通过后根据所述鉴别结果及本地生成的规则判定所述WAPI终端是否有权限访问所述受保护的内容，并向所述WAPI终端返回授权响应时携带判定结果。

本发明还提供一种WAPI终端访问Web应用站点的系统，包括WAPI终端、Web应用站点及WAPI鉴别服务器；

所述Web应用站点，用于当WAPI终端访问受保护的内容时向所述WAPI终端发送安全断言请求；以及收到安全断言响应后向所述WAPI终端返回授权响应；

所述WAPI终端，用于将所述安全断言请求发送至WAPI鉴别服务器，以及将接收的安全断言响应发送至所述Web应用站点；

所述WAPI鉴别服务器，用于收到所述安全断言请求后向所述WAPI终端返回安全断言响应。

进一步地，所述Web应用站点包括控制模块及发送模块；

所述控制模块，用于判断WAPI终端访问的内容是否为受保护的内容，判定是则通知发送模块发送安全断言请求；

所述发送模块，用于收到所述发送安全断言请求的通知后向WAPI终端返回重定向消息时携带安全断言请求，并在所述重定向消息中指定WAPI鉴别服务器的统一资源定位符(URL)以及在所述安全断言请求中携带终端标识。

进一步地，所述WAPI终端还用于向WAPI鉴别服务器发送HTTP GET消息时将所述安全断言请求经过BASE64编码，编码后的安全断言请求以URL参数的方式发送至WAPI鉴别服务器。

进一步地，所述WAPI鉴别服务器包括单点登录服务模块；

所述WAPI鉴别服务器收到安全断言请求后向所述WAPI终端返回安全断言响应是指，所述单点登录服务模块提取出所述安全断言请求中的WAPI终端标识，根据所述WAPI终端标识查找本地记录的鉴别状态记录，若记录显示所述WAPI终端已完成鉴别则生成安全断言响应后返回至所述WAPI终端；

所述安全断言响应中包含对所述WAPI终端的鉴别结果及对安全断言响应的数字签名。

进一步地，所述系统还包括接入网络鉴别授权计费服务器；

所述WAPI鉴别服务器还包括远端拨入验证服务模块；

所述远端拨入验证服务模块，用于当所述鉴别状态记录中未包含所述WAPI终端的鉴别记录时向所述接入网络鉴别授权计费服务器发送鉴别查询请求，其中携带WAPI终端标识；

所述接入网络鉴别授权计费服务器，用于收到所述鉴别查询请求后查找本地记录的鉴别状态记录，若记录显示所述WAPI终端已完成鉴别则向所述WAPI鉴别服务器返回鉴别查询响应，其中携带对WAPI终端的鉴别结果；

所述单点登录服务模块还用于收到鉴别查询响应后生成安全断言响应，其中包含对所述WAPI终端的鉴别结果及对安全断言响应的数字签名。

进一步地，所述Web应用站点包括断言验证模块，用于收到所述安全断言响应后对所述数字签名进行验证，并于验证通过后根据预设的访问规则及鉴别结果判定所述WAPI终端是否有权限访问所述受保护的内容，并向所述WAPI终端返回授权响应时携带判定结果。

综上所述，本发明提供一种WAPI终端访问Web应用站点的系统及方法，此方法使用安全断言标记语言SAML(Security Assertion MarkupLanguage)的单点登录技术。Web应用站点服务器利用无线WAPI终端接入鉴别的结果，完成对用户登录的认证。WAPI客户端用户在完成了无线局域网鉴别基础结构WAI(WLAN Authentication Infrastructure)鉴别，通过局域网或者局域网数据传输链路上的某种隧道机制接入到应用服务器之后，无需参与交互即完成登录过程。本发明简化了原有SAML中Web应用站点的单点登录过程，WAPI终端无需增加额外的功能，Web应用站点可将所有用户的登录认证工作委托给独立鉴别机构完成，WAPI鉴别服务器通过扩展功能，将可以充当提供Web应用站点访问鉴别服务的独立机构。另外，WAPI鉴别服务器增加与鉴权授权计费服务器(Authentication，Authorization andAccounting Server)的查询接口，使得WAPI终端在采用其他无线局域网鉴别方式接入或CDMA无线数据链路接入时，可以查询到WAPI终端用户的鉴别状态而无需再次发起对用户的证书鉴别操作。

附图说明

图1是网络结构示意图；

图2是本发明系统结构示意图；

图3是本发明方法WAPI终端实现Web应用站点单点登录流程图。

具体实施方式

下面结合图例详细说明本发明的具体实施过程。

本实施例提供一种WAPI终端访问Web应用站点的系统，如图2所示，包括WAPI终端、Web应用站点、WAPI鉴别服务器及AN-AAA服务器；

Web应用站点，用于当WAPI终端访问受保护的内容时向WAPI终端发送安全断言请求；以及收到安全断言响应后向WAPI终端返回授权响应；

WAPI终端，用于将安全断言请求发送至WAPI鉴别服务器，以及将接收的安全断言响应发送至Web应用站点；

WAPI鉴别服务器，用于收到安全断言请求后向WAPI终端返回安全断言响应。

Web应用站点包括控制模块及发送模块；

控制模块，用于判断WAPI终端访问的内容是否为受保护的内容，判定是则通知发送模块发送安全断言请求；

发送模块，用于收到发送安全断言请求的通知后向WAPI终端返回重定向消息时携带安全断言请求，并在所述重定向消息中指定WAPI鉴别服务器的统一资源定位符(URL)以及在所述安全断言请求中携带终端标识。

WAPI终端还用于向WAPI鉴别服务器发送HTTP GET消息时将安全断言请求经过BASE64编码，编码后的安全断言请求以URL参数的方式发送至WAPI鉴别服务器。

WAPI鉴别服务器包括单点登录服务模块；

WAPI鉴别服务器收到安全断言请求后向WAPI终端返回安全断言响应是指，单点登录服务模块提取出所述安全断言请求中的WAPI终端标识，根据WAPI终端标识查找本地记录的鉴别状态记录，若记录显示WAPI终端已完成鉴别则生成安全断言响应后返回至WAPI终端；

安全断言响应中包含对WAPI终端的鉴别结果及对安全断言响应的数字签名。

WAPI鉴别服务器还包括远端拨入验证服务模块(RADIUS，RemoteAuthentication Dial In User Service)，用于当鉴别状态记录中未包含所述WAPI终端的鉴别记录时向AN-AAA服务器发送鉴别查询请求，其中携带WAPI终端标识；

AN-AAA服务器，用于收到鉴别查询请求后查找本地记录的鉴别状态记录，若记录显示WAPI终端已完成鉴别则向WAPI鉴别服务器返回鉴别查询响应，其中携带对WAPI终端的鉴别结果；

单点登录服务模块还用于收到鉴别查询响应后生成安全断言响应，其中包含对所述WAPI终端的鉴别结果及对安全断言响应的数字签名。

Web应用站点包括断言验证模块，用于收到安全断言响应后对数字签名进行验证，并于验证通过后根据预设的访问规则及鉴别结果判定WAPI终端是否有权限访问所述受保护的内容，并向WAPI终端返回授权响应时携带判定结果。

本实施例提供一种WAPI终端访问Web应用站点的方法，如图3所示，包括以下步骤：

步骤301：WAPI终端上浏览器访问Web应用站点的内容；

步骤302：当请求获取受保护内容时，触发Web应用站点对WAPI终端用户的登录认证过程，应用站点向WAPI终端返回重定向消息，消息状态值为表示重定向响应的302或303。

HTTP重定向消息头部中Location头字段中指定了单点登录服务模块所在的WAPI鉴别服务器的URL(Uniform Resource Locator，统一资源定位符)该Web应用站点认可的WAPI鉴别服务器，并在消息中携带了SAML的安全断言请求，ID字段值标记为移动WAPI终端用户身份标识；示例如下：

<samlp:AuthnRequest

xmlns:samlp＝″urn:oasis:names:tc:SAML:2.0:protocol″

xmlns:saml＝″urn:oasis:names:tc:SAML:2.0:assertion″

ID＝″WAPIUserID″

Version＝″2.0″

IssueInstant＝″2004-12-05T09:21:59Z″

AssertionConsumerServiceIndex＝″1″>

<saml:Issuer>https://sp.example.com/SAML2</saml:Issuer>

<samlp:NameIDPolicy

AllowCreate＝″False″

Format＝″urn:oasis:names:tc:SAML:2.0:nameid-format:transient″/>

</samlp:AuthnRequest>

步骤303：根据HTTP相关协议规定，客户端在接收此重定向消息后，向WAPI鉴别服务器发送HTTP GET消息时携带安全断言请求，按照SAML规范要求，如上述示例的安全断言请求经过BASE64编码后以URL参数的方式发送，示例如下：

https://idp.wapi-server.com/SAML2/SSO/Redirect？SAMLRequest＝request str&RelayState＝token

编码后的数据替换上述URL中request_str部分。在WAPI终端与WAPI鉴别服务器单点登录模块之间的HTTP交互依靠传输层安全(TLS，TransportLayer Security)提供安全保障。TLS基于WAPI证书创建，因为WAPI证书类型即为TLS所要求的X.509v3类型的证书，WAPI终端浏览器需具备创建TLS所需的算法，其具体过程不再详述。

步骤304：WAPI鉴别服务器中的单点登录服务模块在收到请求后，分离出安全断言请求，并根据该安全断言请求获取WAPI终端ID，与正常SAML不同的是，此时单点登录服务模块无需再次和用户交互完成基于WAPI证书的鉴别过程，而是根据WAPI终端标识查找本地记录的鉴别状态记录，若记录显示该WAPI终端已完成鉴别则执行步骤307，若记录显示该WAPI终端未完成鉴别则执行步骤305。

单点登录服务模块可以作为WAPI鉴别服务器上的一个逻辑功能实体，由安全断言请求触发的鉴别状态的查询发生于鉴别服务器本地，无需客户端交互，查询效率和准确性都有保证。安全断言响应通过HTTP GET命令的成功响应带回，并利用规范中提及的客户端浏览器脚本技术。

步骤305：如果WAPI终端通过非WAPI鉴别技术接入无线局域网络，如EAP-TLS或WPA方式进行身份鉴别，在服务器完成鉴别之后，会在接入网络鉴别授权计费(AN-AAA)服务器中记录其鉴别状态，WAPI鉴别服务器向AN-AAA服务器发送鉴别查询请求，其中携带WAPI终端标识。

该步骤中，WAPI鉴别服务器如何选择AN-AAA服务器本发明不作限制，如可以是在WAPI鉴别服务器设置一个或多个AN-AAA服务器的信息，WAPI鉴别服务器可选择向其中任意一个发送鉴别查询请求，也可以是向最近的某个AN-AAA服务器发送鉴别查询请求。

步骤306：AN-AAA服务器收到鉴别查询请求，根据其中的WAPI终端标识查找本地记录的鉴别状态记录判断该WAPI终端是否已通过鉴别，若通过鉴别则执行步骤307，若未通过鉴别则执行步骤311。

步骤307：AN-AAA服务器向WAPI鉴别服务器返回鉴别查询响应时携带鉴别结果，然后执行步骤308。

步骤308：WAPI鉴别服务器生成SAML的安全断言响应后发送至WAPI终端；

安全断言响应包含了WAPI鉴别服务器对用户身份鉴别的结果和WAPI鉴别服务器对此安全断言响应的数字签名。例如，

<samlp:Response

xmlns:samlp＝″urn:oasis:names:tc:SAML:2.0:protocol″

xmlns:saml＝″urn:oasis:names:tc:SAML:2.0:assertion″

ID＝″WAPIUserID″InResponseTo＝″identifier_1″

Version＝″2.0″IssueInstant＝″2004-12-05T09:22:05Z″

Destination＝″https://sp.example.com/SAML2/SSO/POST″>

<saml:Issuer>https://idp.example.org/SAML2</saml:Issuer>

<samlp:Status>

<samlp:StatusCode

Value＝″urn:oasis:names:tc:SAML:2.0:status:Success″/>

</samlp:Status>

<saml:Assertion xmlns:saml＝″urn:oasis:names:tc:SAML:2.0:assertion″

ID＝″WAPI-Server″

Version＝″2.0″IssueInstant＝″2004-12-05T09:22:05Z″>

<saml:Issuer>https://idp.example.org/SAML2</saml:Issuer>

<！--a POSTed assertion MUST be signed-->

<ds:Signature

xmlns:ds＝″http://www.w3.org/2000/09/xmldsig#″>...</ds:Signature>

<saml:Subject>

<saml:NameID

Format＝″urn:oasis:names:tc:SAML:2.0:nameid-format:transient″>

3f7b3dcf-1674-4ecd-92c8-1544f346baf8

</saml:NameID>

<saml:SubjectConfirmation

Method＝″urn:oasis:names:tc:SAML:2.0:cm:bearer″>

<saml:SubjectConfirmationData InResponseTo＝″identifier_1″

Recipient＝″https://sp.example.com/SAML2/SSO/POST″

NotOnOrAfter＝″2004-12-05T09:27:05Z″/>

</saml:SubjectConfirmation>

</saml:Subject>

<saml:Conditions NotBefore＝″2004-12-05T09:17:05Z″

NotOnOrAfter＝″2004-12-05T09:27:05Z″>

<saml:AudienceRestriction>

<saml:Audience>https://sp.example.com/SAML2</saml:Audience>

</saml:AudienceRestriction>

</saml:Conditiohs>

<saml:AuthnStatement AuthnInstant＝″2004-12-05T09:22:00Z″

SessionIndex＝″identifier_3″>

<saml:AuthnContext>

<saml:AuthnContextClassRef>

urn:oasis:names:tc:SAML:2.0:ac:classes:CertficateProtectedTransport

</saml:AuthnContextClassRef>

</saml:AuthnContext>

</saml:AuthnStatement>

</saml:Assertion>

</samlp:Response>

步骤309：WAPI终端将接收的安全断言响应发送至WEB应用站点。

步骤310：WEB应用站点接收到安全断言响应后进行签名验证，验证通过后根据安全断言响应中的鉴别结果查找预设规则判定WAPI终端是否有权限访问指定的资源，并通过200OK消息将访问权限返回给WAPI终端。

设置的规则可以但不限于是所有通过鉴别的WAPI终端均有权限访问某些URL指向的内容，而某些URL指向的内容仅在某些时间段内允许通过鉴别的WAPI终端访问等；Web应用站点可根据实际需要灵活设置此访问规则，本发明对Web应用站点具体如何设置访问规则不作限制。

并解析安全断言响应的具体内容，综合断言响应内容和访问规则，决定如何向访问者提供服务。

步骤311：AN-AAA服务器向WAPI鉴别服务器返回鉴别查询响应时告知该WAPI终端未通过鉴别，然后执行步骤312。

步骤312：WAPI鉴别服务器向WAPI终端返回GET消息的成功响应消息时携带安全断言失败的消息；

步骤313：WAPI终端将安全断言失败的消息发送至Web应用站点。

步骤314：Web应用站点判定用户单点登录过程失败，可以提示用户利用其它验证方法重新登录，或直接给出登录失败提示。

Claims

1.一种WAPI终端访问Web应用站点的方法，包括：

当WAPI终端访问Web应用站点上受保护的内容时，所述Web应用站点向WAPI终端发送安全断言请求，所述WAPI终端将所述安全断言请求发送至WAPI鉴别服务器，所述WAPI鉴别服务器收到安全断言请求后返回安全断言响应，所述WAPI终端将接收的安全断言响应发送至Web应用站点，所述Web应用站点根据安全断言响应向WAPI终端返回授权响应；

所述WAPI鉴别服务器收到安全断言请求后根据所述WAPI终端标识查找本地记录的鉴别状态记录，若记录所述WAPI终端已完成鉴别则生成安全断言响应，其中包含对WAPI终端的鉴别结果及对安全断言响应的数字签名。

2.如权利要求1所述的方法，其特征在于：

所述Web应用站点是在向WAPI终端返回重定向消息时携带安全断言请求，并在所述重定向消息中指定WAPI鉴别服务器的统一资源定位符(URL)以及在所述安全断言请求中携带WAPI终端标识。

3.如权利要求1所述的方法，其特征在于：

所述WAPI终端向WAPI鉴别服务器发送HTTP GET消息时将所述安全断言请求经过BASE64编码后以URL参数的方式发送至WAPI鉴别服务器。

4.如权利要求2所述的方法，其特征在于：

若所述WAPI鉴别服务器收到安全断言请求通过查找本地记录的鉴别状态记录发现未对所述WAPI终端进行鉴别，则向接入网络鉴别授权计费服务器发送鉴别查询请求，其中携带WAPI终端标识，若所述接入网络鉴别授权计费服务器记录显示已完成对所述WAPI终端的鉴别，则向WAPI鉴别服务器返回鉴别查询响应时携带鉴别结果，所述WAPI鉴别服务器收到鉴别查询响应后生成安全断言响应，其中包含对WAPI终端的鉴别结果及对安全断言响应的数字签名。

5.如权利要求1或4所述的方法，其特征在于：

所述Web应用站点收到安全断言响应后对所述数字签名进行验证，验证通过后根据所述鉴别结果及本地生成的规则判定所述WAPI终端是否有权限访问所述受保护的内容，并向所述WAPI终端返回授权响应时携带判定结果。

6.一种WAPI终端访问Web应用站点的系统，包括WAPI终端、Web应用站点及WAPI鉴别服务器；其特征在于：

所述WAPI鉴别服务器，用于收到所述安全断言请求后向所述WAPI终端返回安全断言响应；

所述WAPI鉴别服务器包括单点登录服务模块；

7.如权利要求6所述的系统，其特征在于：

所述Web应用站点包括控制模块及发送模块；

8.如权利要求6所述的系统，其特征在于：

所述WAPI终端还用于向WAPI鉴别服务器发送HTTP GET消息时将所述安全断言请求经过BASE64编码，编码后的安全断言请求以URL参数的方式发送至WAPI鉴别服务器。

9.如权利要求6所述的系统，其特征在于：

所述系统还包括接入网络鉴别授权计费服务器；

所述WAPI鉴别服务器还包括远端拨入验证服务模块；

10.如权利要求6或9所述的系统，其特征在于：

所述Web应用站点包括断言验证模块，用于收到所述安全断言响应后对所述数字签名进行验证，并于验证通过后根据预设的访问规则及鉴别结果判定所述WAPI终端是否有权限访问所述受保护的内容，并向所述WAPI终端返回授权响应时携带判定结果。