CN101925058B - 一种身份认证的方法、系统和鉴别器实体 - Google Patents
一种身份认证的方法、系统和鉴别器实体 Download PDFInfo
- Publication number
- CN101925058B CN101925058B CN200910086655.4A CN200910086655A CN101925058B CN 101925058 B CN101925058 B CN 101925058B CN 200910086655 A CN200910086655 A CN 200910086655A CN 101925058 B CN101925058 B CN 101925058B
- Authority
- CN
- China
- Prior art keywords
- wai
- radius
- certificate
- eap
- request
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Computer And Data Communications (AREA)
Abstract
本发明提供了一种身份认证的方法、系统和鉴别器实体(AE),其中,方法包括:远程拨号用户认证(Radius)服务器接收AE发送的承载在Radius协议上的可扩展认证架构(EAP)协议报文,将该EAP协议报文中封装的无线局域网鉴别基础结构(WAI)证书鉴别请求发送给鉴别服务实体(ASE);接收所述ASE返回的WAI证书鉴别响应,将封装了WAI证书鉴别响应的EAP协议报文承载在Radius协议上发送给所述AE。本发明能够使得WAI身份认证与现有运营网络兼容,减小网络部署的复杂性。
Description
技术领域
本发明涉及网络通信安全技术,特别涉及一种身份认证的方法、系统和鉴别器实体。
背景技术
无线局域网鉴别和保密基础结构(WAPI,WLAN Authentication andPrivacy Infrastructure)是实现无线局域网安全的协议。WAPI采用公钥密钥体制的椭圆曲线密码算法和对称密码体制的分组密码算法,用于无线局域网(WLAN,Wireless Local Area Network)设备的数字证书、证书鉴别、密钥协商和传输数据的加解密,从而实现设备的身份鉴别、链路验证,访问控制和用户信息在无线传输状态下的加密保护。
WAPI是无线局域网鉴别基础结构(WAI,WLAN AuthenticationInfrastructure)和无线局域网保密基础结构(WPI,WLAN PrivacyInfrastructure)两个协议的统称。其中WAI协议解决无线局域网中的身份认证问题,WPI协议解决无线局域网中信息的保密传输问题。WAI协议是WAPI协议中最重要和最基础的部分,只有实现了身份认证才可以进行数据传输。WAI用椭圆曲线加密体制(ECC,Elliptic Curve encryption algorithm)技术实现了身份的双向认证问题,即无线终端对AP(Access Point,接入点)的认证,和AP对无线终端的认证,只有无线终端确认AP为合法接入点和AP确认无线终端为合法无线终端后双方才可以进行通信。
现有技术中,上述身份认证必须经过可信的第三方即鉴别服务实体(ASE,Authentication Service Entity)才可以实现。图1为现有技术中WAPI鉴别流程图,如图1所示,WAPI鉴别流程可以包括以下步骤:
步骤101:移动终端登录AP。
步骤102:AP中的鉴别器实体(AE,Authenticator Entity)激活身份认证过程。
步骤103:AP与应用服务器(AS,Application Service)进行证书鉴别请求和证书鉴别响应的交互,从而进行身份认证。其中,证书鉴别请求中携带移动终端和AP的证书信息,设置在AS服务器中的ASE对证书信息进行鉴别后,将鉴别结果携带在证书鉴别响应中。
步骤104:移动终端与AP进行密钥协商。
步骤105:AP根据鉴别结果对移动终端进行接入控制。
然而,上述现有技术的流程中,WAI协议支持使用用户数据报协议(UDP,User Datagram Protocol)进行传输封装,在步骤103中AP向AS服务器发送的证书鉴别请求,以及AS回复的证书鉴别响应都需要按照额外定义的鉴别控制协议进行传输,与现有运营网络中已经具有认证、授权和计费功能的远程拨号用户认证(Radius)服务器所采用的Radius协议并不兼容,这就造成了WAI和现有网络的融合存在很大困难;并且,如果除了认证过程之外,还需要对用户进行授权和计费处理,则需要同时部署Radius服务器,并额外增加Portal认证过程以与Radius服务器的授权过程相融合,增加了网络部署的复杂性。
发明内容
有鉴于此,本发明提供了一种身份认证的方法、系统和AE,以便于WAI身份认证与现有运营网络兼容,减小网络部署的复杂性。
一种身份认证的方法,该方法包括:
A、Radius服务器接收AE发送的承载在Radius协议上的EAP协议报文,将该EAP协议报文中封装的WAI证书鉴别请求发送给ASE;
B、接收所述ASE发送的WAI证书鉴别响应,将封装了WAI证书鉴别响应的EAP协议报文承载在Radius协议上发送给所述AE,
其中,EAP协议报文在Radius协议上的承载具体为:将所述EAP协议报文携带在Radius报文的扩展属性中;所述WAI证书鉴别请求或所述WAI证书鉴别响应封装在EAP协议报文的数据Data域中,且该EAP协议报文的类型Type域标识WAI协议类型。
一种身份认证的系统,该系统包括:AE、Radius服务器和ASE;
所述AE,用于将封装了WAI证书鉴别请求的EAP协议报文承载在Radius协议上发送给所述Radius服务器;接收所述Radius服务器发送的承载在Radius协议上且封装了WAI证书鉴别响应的EAP协议报文;
所述Radius服务器,用于将所述WAI证书鉴别请求发送给所述ASE;接收来自所述ASE的WAI证书鉴别响应,将封装了WAI证书鉴别响应的EAP协议报文承载在Radius协议上发送给所述AE;
所述ASE,用于接收所述WAI证书鉴别请求,并向所述Radius服务器发送WAI证书鉴别响应,
其中,所述AE将封装了WAI证书鉴别请求的EAP协议报文携带在Radius报文的扩展属性中;所述Radius服务器将封装了WAI证书鉴别响应的EAP协议报文携带在Radius报文的扩展属性中;所述WAI证书鉴别请求或所述WAI证书鉴别响应封装在EAP协议报文的Data域中,且该EAP协议报文的Type域标识WAI协议认证类型。
一种身份认证的方法,该方法包括:
A、AE将封装了WAI证书鉴别请求的EAP协议报文承载在Radius协议上发送给Radius服务器,由Radius服务器将该EAP协议报文中封装的无线局域网鉴别基础结构WAI证书鉴别请求发送给鉴别服务实体ASE、并接收所述ASE发送的WAI证书鉴别响应;
B、接收Radius服务器返回的承载在Radius协议上且封装了WAI证书鉴别响应的EAP协议报文,
其中,EAP协议报文在Radius协议上的承载具体为:将所述EAP协议报文携带在Radius报文的扩展属性中;所述WAI证书鉴别请求或所述WAI证书鉴别响应封装在EAP协议报文的Data域中,且该EAP协议报文的Type域标识WAI协议类型。
一种AE,该AE包括:WAI模块和Radius客户端;
所述WAI模块,用于将WAI证书鉴别请求封装在EAP协议报文中,将该EAP协议报文提供给所述Radius客户端;获取所述Radius客户端提供的EAP协议报文中封装的WAI证书鉴别响应;
所述Radius客户端,用于将所述WAI模块提供的EAP协议报文承载在Radius协议上发送给Radius服务器,由Radius服务器将该EAP协议报文中封装的无线局域网鉴别基础结构WAI证书鉴别请求发送给鉴别服务实体ASE、并接收所述ASE发送的WAI证书鉴别响应;接收Radius服务器返回的承载在Radius协议上的EAP协议报文,并将该EAP协议报文提供给所述WAI模块,
其中,所述WAI模块将所述WAI证书鉴别请求封装在EAP协议报文的Data域中,且该EAP协议报文的Type域标识WAI协议类型;所述Radius客户端将所述WAI模块提供的EAP协议报文携带在Radius报文的扩展属性中。
由以上技术方案可以看出,本发明提供的方法和系统通过将WAI证书鉴别请求封装在EAP协议报文中,利用EAP协议报文能够承载在Radius协议上的特性,将WAI与Radius协议进行耦合,复用现有的Radius协议实现WAI身份认证,以使得WAI身份认证与包含Radius服务器的现有运营网络兼容。并且,由于Radius协议具备承载EAP报文的功能,因此无需对Radius服务器进行特殊的修改和配置,ASE也仅需要按照现有WAI标准进行处理,减小网络部署的复杂性。
附图说明
图1为现有技术中WAPI鉴别流程图;
图2为本发明实施例提供的详细方法流程图;
图3为本发明实施例提供的EAP协议报文格式示意图;
图4为本发明实施例提供的进行分片处理的身份认证过程流程图;
图5为WAI协议报文的格式示意图;
图6为本发明实施例提供的系统结构图。
具体实施方式
为了使本发明的目的、技术方案和优点更加清楚,下面结合附图和具体实施例对本发明进行详细描述。
互联网工程任务组(IETF)的RFC3748定义了可扩展认证构架(EAP)协议,该EAP可以封装多种认证方法,例如已有的EAP-TLS和EAP-MD5等,各认证方法通过EAP封装时,具体认证过程完全对EAP透明,且EAP可以承载在多种传输协议上,例如链路层的802.3、802.11协议、或者应用层的Radius协议等。
基于EAP协议的上述特点,本发明可以利用EAP协议将Radius协议和WAI进行耦合,所提供的方法主要包括:Radius服务器接收AE发送的承载在Radius协议上的EAP协议报文,并将该EAP协议报文中封装的WAI证书鉴别请求发送给ASE;接收ASE返回的WAI证书鉴别响应,并将封装了WAI证书鉴别响应的EAP协议报文承载在Radius协议上发送给AE。
下面结合具体实施例对上述方法进行详细描述。图2为本发明实施例提供的详细方法流程图,如图2所示,该方法可以包括以下步骤:
步骤201:AE中的身份认证过程被激活后,向Radius服务器发送扩展属性中携带EAP协议报文的Radius接入请求报文(Radius Access-Request),其中,EAP协议报文中封装了证书鉴别请求(Certificate AuthenticationRequest)。
本步骤中涉及的AE通常设置在AP中。
由于Radius报文已经很好的支持了EAP属性扩展,即可以利用Radius报文中的EAP-message属性(类型标识为79)来携带EAP协议报文,不需要对Radius服务器进行额外的特殊配置和处理。
在利用EAP协议报文对证书鉴别请求进行封装时,可以对EAP协议报文进行扩展。图3为EAP协议报文的格式示意图,EAP协议报文中的编码(Code)域用于携带EAP类型,置为1时可以标识该EAP协议报文为EAP请求(EAP-Request)报文,置为2时可以标识该EAP协议报文为EAP响应(EAP-Response)报文,置为3时可以标识该EAP协议报文为EAP成功(EAP-Success)报文,置为4时可以标识该EAP协议报文为EAP失败(EAP-Failure)报文。其中,EAP-Request报文和EAP-Response报文中可以携带具体的认证报文,即当code为2时,报文中的数据(Data)域可以携带本发明中涉及的证书鉴别请求,当code为1时EAP协议报文中的Data域可以携带本发明中涉及的证书鉴别响应。类别(Type)域用于标识认证方法类型,每一种类型采用一个整数来唯一标识,本发明中可以采用13来标识WAI协议认证类型,即该EAP报文封装了WAI协议报文。标识符(Identifier)域和长度(Length)域的含义与现有含义相同,不再赘述。
本步骤中封装了证书鉴别请求的EAP协议报文为EAP-Response报文,如图2中所示。
步骤202:Radius服务器接收到Radius Access-Request后,根据其中EAP协议报文的Type域确定该EAP协议报文中封装了WAI协议报文,将EAP协议报文发送给ASE。
Radius服务器接收到Radius Access-Request后,根据其中EAP协议报文的Type域如果确定出该EAP协议报文中封装了WAI协议报文,本步骤中为封装了证书鉴别请求,则确定应由ASE进行处理,如果是该Radius服务器所具备认证功能的认证报文,则Radius服务器直接对该EAP协议报文中携带的认证报文进行认证处理。
本步骤中,Radius服务器将证书鉴别请求发送给ASE的方式可以包括以下几种方式:
其一、当Radius和ASE属于同一个应用进程时,例如ASE设置在Radius服务器中,则Radius服务器可以将Radius Access-Request上承载的EAP协议报文发送给ASE;也可以将证书鉴别请求从EAP协议报文中剥离后发送给ASE。
其二、当Radius服务器和ASE不属于同一个应用进程时,例如Radius服务器和ASE进行分布式设置,则Radius服务器可以将RadiusAccess-Request直接转发给ASE;也可以将EAP协议报文承载在Radius服务器和ASE之间约定的协议上发送给ASE。
本实施例中,以Radius服务器和ASE之间通过EAP协议报文进行交互为例,即Radius服务器之间通过EAP协议报文来交互证书鉴别请求和证书鉴别响应。
步骤203:ASE按照标准的WAI协议对证书鉴别请求进行处理后,将证书鉴别响应封装在EAP协议报文中发送给Radius服务器。
证书鉴别响应也携带在EAP协议报文的Data域中,EAP协议报文的Code域置为1。
同样,如果Radius服务器和ASE属于同一个应用进程,则ASE可以将封装了证书鉴别响应的EAP协议报文发送给Radius服务器;也可以直接将证书鉴别请求发送给Radius服务器。如果Radius服务器和ASE不属于同一个应用进程,则ASE可以将封装了证书鉴别响应的EAP协议报文承载在Radius协议上发送给Radius服务器;也可以将封装了证书鉴别响应的EAP协议报文承载在Radius服务器和ASE之间约定的协议上发送给Radius服务器。
本步骤中,封装了证书鉴别响应的EAP协议报文为EAP-Request报文,如图2所示。
步骤204:Radius服务器将来自ASE的EAP协议报文承载在Radius接入验证报文(Radius Access-Challenge)上发送给AE。
本步骤中,可以利用Radius报文中的EAP-message属性携带封装了证书鉴别响应的EAP协议报文。
步骤205:AE接收到Radius Access-Challenge后,获取证书鉴别响应,向Radius服务器再次发送扩展属性中携带EAP协议报文的RadiusAccess-Request,其中,EAP协议报文中封装了确认消息。
步骤206:Radius服务器接收到Radius Access-Request后,根据其中EAP协议报文的Type域确定该EAP协议报文中封装了WAI协议报文,将EAP协议报文发送给ASE。
步骤205和步骤206中的报文携带方式与步骤201和步骤202中的报文携带方式相同,不再赘述。
步骤207:ASE接收到封装了确认消息的EAP协议报文后,如果鉴别结果为鉴别成功,则将EAP-Success报文发送给Radius服务器。
本步骤中,如果ASE完成的证书鉴别结果为鉴别失败,则将EAP-Failure报文中发送给Radius服务器。
需要说明的是,步骤205和206中涉及的确认消息是AE在接收到证书鉴别响应后发送的,该确认消息封装在EAP协议报文中的方式可以为:data域为空,Type域仍指示该EAP协议报文中封装了WAI协议报文。ASE接收到该封装了确认消息的EAP协议报文后,触发根据鉴别结果发送EAP-Success报文或EAP-Failure报文。
步骤208:Radius服务器将EAP-Success和授权信息承载在Radius协议中发送给AE。
本步骤中,如果鉴别结果为鉴别成功,即Radius服务器接收到EAP-Success报文,则Radius服务器将携带EAP-Success报文和授权信息的Radius Access-Accept报文发送给AE;如果鉴别结果为鉴别失败,即Radius服务器接收到EAP-Failure报文,则Radius服务器将携带EAP-Failure报文的Radius Access-Reject报文发送给AE。图2中以鉴别成功为例。
需要说明的是,由于Radius Access-Accept报文是用于Radius服务器进行授权的报文,在进行身份认证成功后,Radius服务器可以直接平滑地连接授权过程,使WAI协议与Radius服务器的授权过程实现松耦合。
由于在某些情况下,证书鉴别请求和证书鉴别响应中包含较多信息致使证书鉴别请求和证书鉴别响应超过Radius协议中规定的最大传输单元长度,此时需要对证书鉴别请求和证书鉴别响应进行分片处理,使其携带在EAP报文并承载在Radius协议上时不超过规定的最大传输单元长度,这就需要在AE和ASE上实现报文的分片功能。下面对进行分片处理时的身份认证过程进行详细描述,如图4所示,该过程可以包括以下步骤:
步骤401:AE在接收到移动终端的接入鉴别请求报文后,生成证书鉴别请求,按照最大传输单元长度将证书鉴别请求进行分片后,将证书鉴别请求的各分片分别封装在EAP-Response报文中,首先将封装了第一个分片的EAP协议报文携带在Radius Access-Request报文中发送给Radius服务器。
在WAPI标准协议中已经规定了对于WAI协议报文的分片方法,本发明中对于证书鉴别请求的分片只要按照现有协议的方法即可,WAI协议报文的格式如图5所示,其中,分片序号字段和标识字段用于对报文进行分片时使用,其中,分片序号字段中携带分片的顺序编号,例如一个证书鉴别请求的第一个分片序号为0,后续依次加1。标识字段用于标识是否还有后续分片,例如,值为0时可以表示没有后续分片,即该分片为最后一个分片。
本步骤中,接收到移动终端的接入鉴别请求报文后,生成证书鉴别请求,按照最大传输单元长度将证书鉴别请求进行分片后,将证书鉴别请求的各分片分别封装在EAP-Response报文中的操作由AE中的WAI模块执行;将封装了第一个分片的EAP协议报文携带在Radius Access-Request报文中发送给Radius服务器由AE中的Radius客户端执行。
步骤402:Radius服务器根据EAP-Response报文中的Type域识别出需要ASE进行处理,剥离出EAP-Response报文发送给ASE。
步骤403:ASE接收到封装了第一个分片的EAP-Response报文后,将确认报文封装在EAP-Request报文中返回给Radius服务器。
步骤404:Radius服务器将封装了确认报文的EAP-Request报文携带在Radius Access-Challenge报文中返回给AE。
步骤405:AE如果在设定时间内接收到确认报文,则将封装了证书鉴别请求的下一个分片的EAP-Response报文携带在Radius Access-Request报文中发送给Radius服务器。
如果没有在设定时间内接收到该确认报文,则对上一个分片进行重传处理,这样使得某个分片的报文丢失了,只要重传这个丢失的报文即可,能够有效的提高分片报文的传输效率。
按照上面的步骤将证书鉴别请求的所有分片发送完毕后(中间过程不再一一赘述),执行步骤406。
步骤406:ASE对接收到的证书鉴别请求的所有分片进行重组,并按照最大传输单元长度将证书鉴别响应进行分片后,将证书鉴别响应的各分片封装在EAP-Request报文中逐一返回给Radius服务器。
当ASE接收到的证书鉴别请求的标识字段标识后续没有分片时,确定所有分片接收完毕,则可以按照分片序号对接收到的证书鉴别请求的各分片进行重组。
步骤407:Radius服务器接收到封装了证书鉴别响应的分片的EAP-Request报文后,将EAP-Request报文,封装在Radius Access-Challenge报文中发送给AE。
步骤408:AE对证书鉴别响应报文的所有分片进行重组。
同样在步骤406-步骤408的过程中,AE每接收到证书鉴别响应报文的一个分片都会回复一个确认报文,ASE在设定时间内接收到确认报文后,进行下一个分片的发送,否则重传发送的分片,该过程不再具体描述。
另外,AE也可以在步骤410之后进行重组。
步骤409:ASE发送完证书鉴别响应后,如果鉴别成功,则向Radius服务器发送EAP-Success报文。
如果鉴别失败,则向Radius服务器发送EAP-Failure报文
步骤410:Radius服务器接收到EAP-Success报文后,将EAP-Success报文和授权信息携带在Radius Access-Accept报文的扩展属性中发送给AE,从而完成授权过程。
Radius服务器接收到EAP-Failure报文后,将EAP-Failure报文携带在Radius Access-Accept报文的扩展属性中发送给AE。
鉴别成功后,AE就可以利用重组后得到的证书鉴别响应报文,继续协议WAPI协议规定的密钥协商过程。
以上是对本发明所提供的方法进行的详细描述,下面对本发明所提供的系统进行详细描述。图6为本发明实施例提供的系统结构图,如图6所示,该系统可以包括:AE 601、Radius服务器602和ASE 603。
AE 601,用于将封装了WAI证书鉴别请求的EAP协议报文承载在Radius协议上发送给Radius服务器602;接收Radius服务器602发送的承载在Radius协议上且封装了WAI证书鉴别响应的EAP协议报文。
Radius服务器602,用于将WAI证书鉴别请求发送给ASE 603;接收来自ASE 603的WAI证书鉴别响应,将封装了WAI证书鉴别响应的EAP协议报文承载在Radius协议上发送给AE 601。
ASE 603,用于接收WAI证书鉴别请求,并向Radius服务器602返回WAI证书鉴别响应。
上述AE 601可以设置在AP中,ASE 603可以设置在AS服务器中,也可以设置在Radius服务器602中。
具体地,AE 601可以将封装了WAI证书鉴别请求的EAP协议报文携带在Radius报文的扩展属性中,从而实现EAP协议报文在Radius协议上的承载。
Radius服务器602可以将封装了WAI证书鉴别响应的EAP协议报文携带在Radius报文的扩展属性中,从而实现EAP协议报文在Radius协议上的承载。
其中,上述WAI证书鉴别请求或WAI证书鉴别响应可以封装在EAP协议报文的Data域中,且该EAP协议报文的Type域标识WAI协议认证类型。Radius服务器接收到AE 601发送的承载在Radius协议上且封装了WAI证书鉴别请求的EAP协议报文后,如果确定该EAP协议报文的Type域标识WAI协议认证类型,则将WAI证书鉴别请求发送给ASE 603。
AE 601和Radius服务器602之间具体的报文交互过程可以为:
AE 601向Radius服务器602发送Radius Access-Request,该RadiusAccess-Request的扩展属性中携带封装了证书鉴别请求的EAP-Response报文。
Radius服务器602向AE 601发送Radius Access-Challenge报文,该RadiusAccess-Challenge报文的扩展属性中携带封装了证书鉴别响应的EAP-Request报文。
另外,Radius服务器602,还可以用于如果接收到ASE 603返回的EAP-Success报文,则向AE 601发送Radius Access-Accept报文,该RadiusAccess-Accept的扩展属性中携带EAP-Success报文和授权信息;或者,如果接收到ASE 603返回的EAP-Failure报文,则向AE 601发送Radius Access-Reject报文,该Radius Access-Reject报文的扩展属性中携带EAP-Failure报文。
此时,ASE 603,还用于在发送完证书鉴别响应后,如果鉴别成功,则向Radius服务器602返回EAP-Success报文,如果鉴别失败,则向Radius服务器602返回EAP-Failure报文。
Radius服务器602和ASE 603之间交互WAI证书鉴别请求和WAI证书鉴别响应的过程可以为:
Radius服务器602将封装了WAI证书鉴别请求的EAP报文发送给ASE603;或者,将WAI证书鉴别请求从EAP报文中剥离,并将WAI证书鉴别请求发送给ASE 603;或者,将封装了WAI证书鉴别请求的EAP协议报文承载在Radius协议上发送给ASE 603;或者,将封装了WAI证书鉴别请求的EAP协议报文承载在Radius服务器602和ASE 603预先约定的协议上发送给ASE603。
ASE 603将封装了WAI证书鉴别响应的EAP报文发送给Radius服务器602;或者,仅将WAI证书鉴别响应发送给Radius服务器602;或者,将封装了WAI证书鉴别响应的EAP协议报文承载在Radius协议上发送给Radius服务器602;或者,将封装了WAI证书鉴别响应的EAP协议报文承载在Radius服务器602和ASE 603预先约定的协议上发送给Radius服务器602。
其中,上述AE 601可以包括:WAI模块604和Radius客户端605。
WAI模块604,用于将WAI证书鉴别请求封装在EAP协议报文中,将该EAP协议报文提供给Radius客户端605;获取Radius客户端605提供的EAP协议报文中封装的WAI证书鉴别响应。
Radius客户端605,用于将WAI模块604提供的EAP协议报文承载在Radius协议上发送给Radius服务器602;接收Radius服务器602返回的承载在Radius协议上的EAP协议报文,并将该EAP协议报文提供给WAI模块604。
具体地,WAI模块604将WAI证书鉴别请求封装在EAP协议报文的Data域中,且该EAP协议报文的Type域标识WAI协议类型。
Radius客户端605将WAI模块604提供的EAP协议报文携带在Radius报文的扩展属性中。
另外,WAI模块604可以具体将WAI证书鉴别请求封装在EAP-Response报文中;获取Radius客户端605提供的EAP-Request报文中封装的WAI证书鉴别响应。
Radius客户端605将EAP-Response报文携带在Radius Access-Request的扩展属性中;接收扩展属性中携带了EAP-Request报文的Radius Access-challenge报文,将该EAP-Request报文提供给WAI模块604。
当WAI证书鉴别请求和WAI证书鉴别响应需要进行分片处理时,WAI模块604,还可以用于按照最大传输单元长度将WAI证书鉴别请求进行分片后,将WAI证书鉴别请求的各分片分别封装在EAP协议报文中提供给Radius客户端605。
这里的EAP协议报文可以为EAP-Response报文。
Radius客户端605,还可以用于将EAP协议报文承载在Radius协议上逐一发送给Radius服务器。
承载在Radius协议上可以将EAP-Response报文携带在RadiusAccess-Request报文的扩展属性中。
此时,ASE 603,还可以用于对接收到的WAI证书鉴别请求的所有分片进行重组,并按照最大传输单元长度将WAI证书鉴别响应进行分片后,将WAI证书鉴别响应的各分片逐一返回给Radius服务器602。
更优地,Radius客户端605每发送携带WAI证书鉴别请求的一个分片的EAP协议报文后,如果在设定时间内接收到ASE 603经由Radius服务器602返回的确认报文,则发送携带WAI证书鉴别请求的下一个分片的EAP协议报文;如果在设定时间内没有接收到ASE 603经由Radius服务器602返回的确认报文,则重传携带WAI证书鉴别请求的一个分片的EAP报文。该确认报文的传输方式和WAI证书鉴别响应相同。
另外,ASE 603每发送携带WAI证书鉴别响应的一个分片后,如果在设定时间内接收到AE 601经由Radius服务器602返回的确认报文,则发送WAI证书鉴别响应的下一个分片;如果在设定时间内没有接收到AE 601经由Radius服务器602返回的确认报文,则重传该WAI证书鉴别响应的一个分片。该确认报文的传输方式和WAI证书鉴别请求相同。
由以上描述可以看出,本发明提供的方法和系统可以具备以下优点:
1)通过将WAI证书鉴别请求封装在EAP协议报文中,利用EAP协议报文能够承载在Radius协议上的特性,将WAI与Radius协议进行耦合,复用现有的Radius协议实现WAI身份认证,以使得WAI身份认证与包含Radius服务器的现有运营网络兼容。
2)由于Radius协议具备承载EAP报文的功能,因此无需对Radius服务器进行特殊的修改和配置,仅需要增加ASE对EAP报文的处理功能,或增加Radius服务器对EAP报文中封装的WAI报文的剥离功能,然后ASE按照现有WAI标准进行处理,减小网络部署的复杂性。
3)应用本发明所提供的方法实现身份认证后,能够与Radius服务器的授权和计费功能进行平滑地过渡,使WAI协议与Radius服务器的授权过程实现松耦合。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明保护的范围之内。
Claims (20)
1.一种身份认证的方法,其特征在于,该方法包括:
A、远程拨号用户认证Radius服务器接收鉴别器实体AE发送的承载在Radius协议上的可扩展认证架构EAP协议报文,将该EAP协议报文中封装的无线局域网鉴别基础结构WAI证书鉴别请求发送给鉴别服务实体ASE;
B、接收所述ASE发送的WAI证书鉴别响应,将封装了WAI证书鉴别响应的EAP协议报文承载在Radius协议上发送给所述AE,
其中,EAP协议报文在Radius协议上的承载具体为:将所述EAP协议报文携带在Radius报文的扩展属性中;所述WAI证书鉴别请求或所述WAI证书鉴别响应封装在EAP协议报文的数据Data域中,且该EAP协议报文的类型Type域标识WAI协议类型。
2.根据权利要求1所述的方法,其特征在于,步骤A中所述Radius服务器接收AE发送的承载在Radius协议上的EAP协议报文具体为:所述Radius服务器接收所述AE发送的Radius接入请求,该Radius接入请求的扩展属性中携带封装了证书鉴别请求的EAP响应报文;
步骤B中所述将封装了WAI证书鉴别响应的EAP协议报文承载在Radius协议上发送给所述AE具体为:所述Radius服务器向所述AE发送Radius接入验证报文,该Radius接入验证报文的扩展属性中携带封装了证书鉴别响应的EAP请求报文。
3.根据权利要求2所述的方法,其特征在于,在所述步骤B之后还包括:
如果所述Radius服务器接收到所述ASE发送的EAP成功报文,则向所述AE发送扩展属性中携带所述EAP成功报文和授权信息的Radius接入授权报文;
如果所述Radius服务器接收到所述ASE发送的EAP失败报文,则向所述AE发送扩展属性中携带所述EAP失败报文的Radius接入拒绝报文。
4.根据权利要求1所述的方法,其特征在于,步骤A中所述将该EAP协议报文中封装的WAI证书鉴别请求发送给ASE具体包括:所述Radius服务器将封装了WAI证书鉴别请求的EAP报文发送给所述ASE;或者,将WAI证书鉴别请求从EAP报文中剥离,并将WAI证书鉴别请求发送给所述ASE;或者,将封装了WAI证书鉴别请求的EAP协议报文承载在Radius协议上发送给所述ASE;或者,将封装了WAI证书鉴别请求的EAP协议报文承载在所述Radius服务器和ASE预先约定的协议上发送给所述ASE;
步骤B中所述接收所述ASE发送的WAI证书鉴别响应具体包括:所述Radius服务器接收所述ASE发送的封装了WAI证书鉴别响应的EAP报文;或者,接收所述ASE直接发送的WAI证书鉴别响应;或者,接收所述ASE发送的承载在Radius协议上且封装了WAI证书鉴别响应的EAP协议报文;或者,接收所述ASE发送的承载在所述Radius服务器和ASE预先约定的协议上且封装了WAI证书鉴别响应的EAP协议报文。
5.根据权利要求1至4任一权项所述的方法,其特征在于,在所述步骤A之前还包括:所述AE按照最大传输单元长度将WAI证书鉴别请求进行分片后,将WAI证书鉴别请求的各分片分别封装在EAP协议报文中,并将各EAP协议报文承载在Radius协议上逐一发送给所述Radius服务器;
在所述步骤A和步骤B之间还包括:所述ASE对接收到的WAI证书鉴别请求的所有分片进行重组,并按照最大传输单元长度将WAI证书鉴别响应进行分片后,将WAI证书鉴别响应的各分片逐一发送给所述Radius服务器。
6.根据权利要求5所述的方法,其特征在于,该方法还包括:所述AE每发送WAI证书鉴别请求的一个分片后,如果在设定时间内接收到所述ASE经由所述Radius服务器返回的确认报文,则发送WAI证书鉴别请求的下一个分片;如果在设定时间内没有接收到所述ASE经由所述Radius服务器返回的确认报文,则重传所述WAI证书鉴别请求的一个分片;
所述ASE每发送WAI证书鉴别响应的一个分片后,如果在设定时间内接收到所述AE经由所述Radius服务器返回的确认报文,则发送WAI证书鉴别响应的下一个分片;如果在设定时间内没有接收到所述AE经由所述Radius服务器返回的确认报文,则重传所述WAI证书鉴别响应的一个分片。
7.一种身份认证的系统,其特征在于,该系统包括:AE、Radius服务器和ASE;
所述AE,用于将封装了WAI证书鉴别请求的EAP协议报文承载在Radius协议上发送给所述Radius服务器;接收所述Radius服务器发送的承载在Radius协议上且封装了WAI证书鉴别响应的EAP协议报文;
所述Radius服务器,用于将所述WAI证书鉴别请求发送给所述ASE;接收来自所述ASE的WAI证书鉴别响应,将封装了WAI证书鉴别响应的EAP协议报文承载在Radius协议上发送给所述AE;
所述ASE,用于接收所述WAI证书鉴别请求,并向所述Radius服务器发送WAI证书鉴别响应,
其中,所述AE将封装了WAI证书鉴别请求的EAP协议报文携带在Radius报文的扩展属性中;所述Radius服务器将封装了WAI证书鉴别响应的EAP协议报文携带在Radius报文的扩展属性中;所述WAI证书鉴别请求或所述WAI证书鉴别响应封装在EAP协议报文的Data域中,且该EAP协议报文的Type域标识WAI协议认证类型。
8.根据权利要求7所述的系统,其特征在于,所述AE向所述Radius服务器发送Radius接入请求,该Radius接入请求的扩展属性中携带封装了WAI证书鉴别请求的EAP响应报文;
所述Radius服务器向所述AE发送Radius接入验证报文,该Radius接入验证报文的扩展属性中携带封装了WAI证书鉴别响应的EAP请求报文。
9.根据权利要求8所述的系统,其特征在于,所述Radius服务器,还用于如果接收到所述ASE返回的EAP成功报文,则向所述AE发送扩展属性中携带所述EAP成功报文和授权信息的Radius接入授权报文;如果接收到所述ASE返回的EAP失败报文,则向所述AE发送扩展属性中携带所述EAP失败报文的Radius接入拒绝报文;
所述ASE,还用于在发送完所述WAI证书鉴别响应后,如果鉴别成功,则向所述Radius服务器返回EAP成功报文,如果鉴别失败,则向所述Radius服务器返回EAP失败报文。
10.根据权利要求7所述的系统,其特征在于,所述Radius服务器将封装了WAI证书鉴别请求的EAP报文发送给所述ASE;或者,将WAI证书鉴别请求从EAP报文中剥离,并将WAI证书鉴别请求发送给所述ASE;或者,将封装了WAI证书鉴别请求的EAP协议报文承载在Radius协议上发送给所述ASE;或者,将封装了WAI证书鉴别请求的EAP协议报文承载在所述Radius服务器和ASE预先约定的协议上发送给所述ASE;
所述ASE将封装了WAI证书鉴别响应的EAP报文发送给所述Radius服务器;或者,仅将WAI证书鉴别响应发送给所述Radius服务器;或者,将封装了WAI证书鉴别响应的EAP协议报文承载在Radius协议上发送给所述Radius服务器;或者,将封装了WAI证书鉴别响应的EAP协议报文承载在所述Radius服务器和ASE预先约定的协议上发送给所述Radius服务器。
11.根据权利要求7至10任一权项所述的系统,其特征在于,所述AE包括:WAI模块和Radius客户端;
所述WAI模块,用于按照最大传输单元长度将WAI证书鉴别请求进行分片后,将WAI证书鉴别请求的各分片分别封装在EAP协议报文中提供给所述Radius客户端;
所述Radius客户端,用于将所述EAP协议报文承载在Radius协议上逐一发送给所述Radius服务器;
所述ASE,还用于对接收到的WAI证书鉴别请求的所有分片进行重组,并按照最大传输单元长度将WAI证书鉴别响应进行分片后,将WAI证书鉴别响应的各分片逐一返回给所述Radius服务器。
12.根据权利要求11所述的系统,其特征在于,所述Radius客户端每发送携带WAI证书鉴别请求的一个分片的EAP协议报文后,如果在设定时间内接收到所述ASE经由所述Radius服务器返回的确认报文,则发送携带WAI证书鉴别请求的下一个分片的EAP协议报文;如果在设定时间内没有接收到所述ASE经由所述Radius服务器返回的确认报文,则重传携带所述WAI证书鉴别请求的一个分片的EAP报文;
所述ASE每发送WAI证书鉴别响应的一个分片后,如果在设定时间内没有接收到所述AE经由所述Radius服务器返回的确认报文,则发送WAI证书鉴别响应的下一个分片;如果在设定时间内没有接收到所述AE经由所述Radius服务器返回的确认报文,则重传所述WAI证书鉴别响应的一个分片。
13.一种身份认证的方法,其特征在于,该方法包括:
A、AE将封装了WAI证书鉴别请求的EAP协议报文承载在Radius协议上发送给Radius服务器,由Radius服务器将该EAP协议报文中封装的无线局域网鉴别基础结构WAI证书鉴别请求发送给鉴别服务实体ASE、并接收所述ASE发送的WAI证书鉴别响应;
B、接收Radius服务器返回的承载在Radius协议上且封装了WAI证书鉴别响应的EAP协议报文,
其中,EAP协议报文在Radius协议上的承载具体为:将所述EAP协议报文携带在Radius报文的扩展属性中;所述WAI证书鉴别请求或所述WAI证书鉴别响应封装在EAP协议报文的Data域中,且该EAP协议报文的Type域标识WAI协议类型。
14.根据权利要求13所述的方法,其特征在于,所述步骤A具体包括:所述AE向所述Radius服务器发送Radius接入请求,该Radius接入请求的扩展属性中携带封装了WAI证书鉴别请求的EAP响应报文;
所述步骤B具体包括:所述AE接收Radius服务器返回的Radius接入验证报文,该Radius接入验证报文的扩展属性中携带封装了WAI证书鉴别响应的EAP请求报文。
15.根据权利要求13至14任一权项所述的方法,其特征在于,所述步骤A具体包括:所述AE按照最大传输单元长度将WAI证书鉴别请求进行分片后,将WAI证书鉴别请求的各分片分别封装在WAP协议报文中,并将各EAP协议报文承载在Radius协议上逐一发送给所述Radius服务器;
所述步骤B中EAP协议中封装的WAI证书鉴别响应为符合最大传输单元长度的WAI证书鉴别响应的分片。
16.根据权利要求15所述的方法,其特征在于,该方法还包括:所述AE每发送WAI证书鉴别请求的一个分片后,如果在设定时间内接收到确认报文,则发送WAI证书鉴别请求的下一个分片;如果在设定时间内没有接收到所述确认报文,则重传所述WAI证书鉴别请求的一个分片;
所述AE每接收到WAI证书鉴别响应的一个分片,向Radius服务器回复确认报文。
17.一种AE,其特征在于,该AE包括:WAI模块和Radius客户端;
所述WAI模块,用于将WAI证书鉴别请求封装在EAP协议报文中,将该EAP协议报文提供给所述Radius客户端;获取所述Radius客户端提供的EAP协议报文中封装的WAI证书鉴别响应;
所述Radius客户端,用于将所述WAI模块提供的EAP协议报文承载在Radius协议上发送给Radius服务器,由Radius服务器将该EAP协议报文中封装的无线局域网鉴别基础结构WAI证书鉴别请求发送给鉴别服务实体ASE、并接收所述ASE发送的WAI证书鉴别响应;接收Radius服务器返回的承载在Radius协议上的EAP协议报文,并将该EAP协议报文提供给所述WAI模块,
其中,所述WAI模块将所述WAI证书鉴别请求封装在EAP协议报文的Data域中,且该EAP协议报文的Type域标识WAI协议类型;所述Radius客户端将所述WAI模块提供的EAP协议报文携带在Radius报文的扩展属性中。
18.根据权利要求17所述的AE,其特征在于,所述WAI模块具体将所述WAI证书鉴别请求封装在EAP响应报文中;获取所述Radius客户端提供的EAP请求报文中封装的WAI证书鉴别响应;
所述Radius客户端将所述EAP响应报文携带在Radius接入请求的扩展属性中;接收扩展属性中携带了EAP请求报文的Radius接入验证报文,将该EAP请求报文提供给所述WAI模块。
19.根据权利要求17至18任一权项所述的AE,其特征在于,所述WAI模块还用于按照最大传输单元长度将WAI证书鉴别请求进行分片后,将WAI证书鉴别请求的各分片分别封装在EAP协议报文中提供给所述Radius客户端;
所述Radius客户端还用于将所述EAP协议报文承载在Radius协议上逐一发送给所述Radius服务器。
20.根据权利要求19所述的AE,其特征在于,所述Radius客户端每发送WAI证书鉴别请求的一个分片后,如果在设定时间内接收到确认报文,则发送WAI证书鉴别请求的下一个分片;如果在设定时间内没有接收到所述确认报文,则重传所述WAI证书鉴别请求的一个分片。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200910086655.4A CN101925058B (zh) | 2009-06-16 | 2009-06-16 | 一种身份认证的方法、系统和鉴别器实体 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200910086655.4A CN101925058B (zh) | 2009-06-16 | 2009-06-16 | 一种身份认证的方法、系统和鉴别器实体 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101925058A CN101925058A (zh) | 2010-12-22 |
| CN101925058B true CN101925058B (zh) | 2013-03-27 |
Family
ID=43339624
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN200910086655.4A Active CN101925058B (zh) | 2009-06-16 | 2009-06-16 | 一种身份认证的方法、系统和鉴别器实体 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101925058B (zh) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102231729B (zh) * | 2011-05-18 | 2014-09-17 | 浪潮通用软件有限公司 | 支持多种ca身份认证的方法 |
| CN102612031B (zh) * | 2012-03-04 | 2015-04-29 | 黄东 | 一种减小无线网络资源消耗的认证架构 |
| CN105577579B (zh) * | 2014-10-17 | 2020-09-01 | 中兴通讯股份有限公司 | 业务功能链中协议报文的处理方法、系统及业务功能节点 |
| CN106251607B (zh) * | 2016-09-20 | 2019-07-09 | 国网新疆电力公司电力科学研究院 | 主站协议支持透明任务协议扩展的方法和系统 |
-
2009
- 2009-06-16 CN CN200910086655.4A patent/CN101925058B/zh active Active
Also Published As
| Publication number | Publication date |
|---|---|
| CN101925058A (zh) | 2010-12-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111083131B (zh) | 一种用于电力物联网感知终端轻量级身份认证的方法 | |
| CN108270571B (zh) | 基于区块链的物联网身份认证系统及其方法 | |
| USRE36946E (en) | Method and apparatus for privacy and authentication in wireless networks | |
| EP1540878B1 (en) | Linked authentication protocols | |
| US6996714B1 (en) | Wireless authentication protocol | |
| AU2003284144B2 (en) | Lightweight extensible authentication protocol password preprocessing | |
| CN109347809A (zh) | 一种面向自主可控环境下的应用虚拟化安全通信方法 | |
| KR100832893B1 (ko) | 무선 근거리 통신망으로 이동 단말의 보안 접근 방법 및 무선 링크를 통한 보안 데이터 통신 방법 | |
| CN102783080B (zh) | 安全多uim认证与密钥交换 | |
| CN103491540B (zh) | 一种基于身份凭证的无线局域网双向接入认证系统及方法 | |
| CN101286843B (zh) | 点对点模式下单点登录方法 | |
| CN101212296B (zh) | 基于证书及sim的wlan接入认证方法及系统 | |
| US10158636B2 (en) | Method for setting up a secure end-to-end communication between a user terminal and a connected object | |
| CN109714360B (zh) | 一种智能网关及网关通信处理方法 | |
| WO2012048501A1 (zh) | 一种基于对称密码算法的实体鉴别方法及系统 | |
| WO2010012203A1 (zh) | 鉴权方法、重认证方法和通信装置 | |
| CN1984077A (zh) | 移动设备到ip通信网络的接入控制 | |
| CN102487506B (zh) | 一种基于wapi协议的接入认证方法、系统和服务器 | |
| CN108259486B (zh) | 基于证书的端到端密钥交换方法 | |
| WO2023036348A1 (zh) | 一种加密通信方法、装置、设备及介质 | |
| CN1595894A (zh) | 一种无线局域网接入认证的实现方法 | |
| CN101925058B (zh) | 一种身份认证的方法、系统和鉴别器实体 | |
| KR20110061440A (ko) | 무선통신 시스템에서 인증방법 및 시스템 | |
| CN101272379A (zh) | 基于IEEE802.1x安全认证协议的改进方法 | |
| CN103986716B (zh) | Ssl连接的建立方法以及基于ssl连接的通信方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CP03 | Change of name, title or address |
Address after: 310052 Binjiang District Changhe Road, Zhejiang, China, No. 466, No. Patentee after: Xinhua three Technology Co., Ltd. Address before: 310053 Hangzhou hi tech Industrial Development Zone, Zhejiang province science and Technology Industrial Park, No. 310 and No. six road, HUAWEI, Hangzhou production base Patentee before: Huasan Communication Technology Co., Ltd. |
|
| CP03 | Change of name, title or address |