CN101951603B - 一种无线局域网接入控制方法及系统 - Google Patents
一种无线局域网接入控制方法及系统 Download PDFInfo
- Publication number
- CN101951603B CN101951603B CN201010506780.9A CN201010506780A CN101951603B CN 101951603 B CN101951603 B CN 101951603B CN 201010506780 A CN201010506780 A CN 201010506780A CN 101951603 B CN101951603 B CN 101951603B
- Authority
- CN
- China
- Prior art keywords
- mobile terminal
- auc
- radio access
- access node
- ibe
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Abstract
本发明公开了一种无线局域网接入控制方法,包括如下步骤:步骤A、在移动终端上安装用户身份令牌USB-KEY,用于存储身份标识和私钥,并进行IBE算法运算;步骤B、采用基于身份的加密技术即IBE技术对要求入网的移动终端进行身份认证,如果认证不通过则不允许该用户接入网络;步骤C、确定所述移动终端的资源访问权限,并据此对所述移动终端的网络访问行为进行控制。本发明方法引入了对用户访问具体应用资源的授权控制,适应了无线局域网以应用为中心的发展趋势,同时显著提高了无线局域网接入控制方案本身的安全性,避免了中间人攻击和拒绝服务攻击。本发明还相应公开了一种无线局域网接入控制系统。
Description
技术领域
本发明属于通信技术领域,尤其涉及一种无线局域网接入控制方法及系统。
背景技术
目前常用的无线局域网接入认证技术WAPI(WLAN Authentication andPrivacy InfraSTAructure)主要基于PKI(Public Key InfraSTAructure,公钥基础设施),WAPI中AP(Access Point,无线接入节点)、STA(STAation,移动终端)和AS(Authentication Server,鉴别服务器)间的认证过程如图1所示:
(1)认证激活:当STA关联或重新关联至AP时,由AP发送认证激活以启动整个认证过程;
(2)接入认证请求:STA向AP发出认证请求,即将STA证书与STA的当前系统时间发往AP,其中系统时间称为接入认证请求时间;
(3)证书认证请求:AP收到STA接入认证请求后,首先记录认证请求时间,然后向AS发出证书认证请求,即将STAA证书、接入认证请求时间、AP证书,以及AP的私钥对它们签名共同构成的证书认证请求发送给AS;
(4)证书认证响应:AS收到AP的证书认证请求后,验证AP的签名和AP证书的有效性,若不正确,则认证过程失败,否则进一步验证STA证书。验证完毕后,AS将STA证书认证结果信息(包括STA证书和认证结果)、AP证书认证结果信息(包括AP证书、认证结果、接入认证请求时间)和AS对它们的签名而共同构成的证书认证响应报文发回给AP;
(5)接入认证响应:AP对AS返回的证书认证响应进行签名验证,得到STA证书的认证结果,根据此结果对STA进行接入控制。AP将收到的证书认证结果回送至STA。STA验证AS的签名后,得到AP证书的认证结果,根据认证结果决定是否接入该AP。
从上述过程可知,基于PKI的身份认证与接入控制技术在无线局域网环境下的应用还存在许多不足:
(1)首先是对公钥证书的依赖,用户在发送信息前需要向鉴别服务器申请公钥证书;
(2)在鉴别服务器需要存储大量的用户公钥证书,给鉴别服务器带来很大负担;
(3)公钥证书的传输会占用不少带宽,并且可能会造成带宽受限的无线环境下鉴别服务器的通信阻塞。
因此,在无线局域网环境下PKI身份认证机制并不能很好地发挥其在一个分布广泛的网络下所具有的优势。此外WAPI在安全性上存在一些缺陷:
(1)在证书鉴别阶段,由于AP对鉴别请求做了签名,所以AS可以认证AP;但AS不能真正认证STAA,因为STAA所提供的只是公钥证书(由于证书是易获取的,所以证书可以是任何STAA的),AS只是验证该证书的有效性,而不能真正认证STAA的身份,存在中间人攻击。
(2)WAPI的密钥协商部分由STA发起,容易造成DoS(Denial of service,拒绝服务)攻击。非法攻击者为了造成DoS攻击,可以采用同时发起很多“密钥协商请求”的方式,从数量上来消耗AP资源。
(3)WAPI只是对身份进行鉴别,并没有对用户入网和访问应用的权限进行控制,无法完全满足运营商的需求。
发明内容
本发明要解决的技术问题是针对现有技术中存在的上述缺陷,提供一种新的无线局域网接入控制方法,以实现对无线局域网内移动终端入网和资源访问进行有效控制;本发明还相应提供了一种无线局域网接入控制装置。
为解决上述技术问题,本发明无线局域网接入控制方法包括如下步骤:
步骤A、采用IBE(Identity-based Encryption,基于身份的加密技术)技术对要求入网的移动终端进行身份认证,如果认证不通过则不允许该用户接入网络,如果认证通过则执行步骤B;
步骤B、确定所述移动终端有权访问哪些网络资源,即确定所述移动终端的资源访问权限,并据此对所述移动终端的网络访问行为进行控制。
进一步地,步骤A具体包括:
A1、移动终端向鉴权中心提交身份标识并注册,鉴权中心利用IBE签名算法生成相应的私钥;
A2、鉴权中心将私钥分发给所述移动终端;
A3、所述移动终端生成一个随机数,并采用IBE签名算法,利用所述私钥对该随机数进行签名,生成一个签名值;
A4、所述移动终端发送其身份标识和所述签名值给无线接入节点;
A5、无线接入节点验证所述身份标识是否存在于合法移动终端身份标识列表(该表存储于无线接入节点,相当于白名单)中,若不存在则拒绝接入,若存在则执行步骤A6;
A6、无线接入节点采用IBE算法,根据移动终端传递过来的所述身份标识生成公钥,并利用公钥验证所述签名值的有效性,如果验证通过,则认为移动终端身份合法,否则认为移动终端身份不合法。
更进一步地,所述移动终端上安装有用户身份令牌USB-KEY,用于存储所述身份标识和私钥,并进行所述IBE算法运算。
进一步地,步骤A中还包括:
移动终端采用IBE技术对无线接入节点进行认证,以决定是否与该无线接入节点建立通信连接。
进一步地,步骤B具体包括:
B1、移动终端向鉴权中心注册后,鉴权中心为移动终端分配入网权限,并根据移动终端的身份标识信息,生成权限属性证书并存储于本地以便集中管理,该证书上标明了用户具有哪些资源访问权限;
B2、移动终端向无线接入节点发送入网请求;
B3、无线接入节点截获所述入网请求,并将所述移动终端的身份标识和所述入网请求递交到鉴权中心,请求鉴权中心进行权限判决;
B4、鉴权中心根据所述权限属性证书来判决所述移动终端的权限;
B5、鉴权中心将判决结果返回给无线接入节点。
进一步地,步骤B4中,如果所述移动终端为漫游用户,则所述鉴权中心将所述判决请求中继到所述移动终端注册的鉴权中心,由该移动终端注册的鉴权中心进行权限判决,然后将判决结果返回所述鉴权中心。
为解决上述技术问题,本发明无线局域网接入控制系统包括移动终端、无线接入节点和鉴权中心;
其中,所述移动终端用于向所述无线接入节点发送入网请求;
所述无线接入节点用于采用IBE技术对所述请求入网的移动终端进行身份认证,如果认证不通过则不允许该移动终端接入网络;并对认证通过的移动终端向所述鉴权中心发出权限判决请求;
所述鉴权中心用于在收到所述权限判决请求后,确定所述移动终端的资源访问权限,并将之返回所述无线接入节点。
进一步地,所述移动终端安装有用户身份令牌USB-KEY,该用户身份令牌包含IBE运算引擎。
更进一步地,所述IBE运算引擎包括:
标识与私钥管理模块,用于存储私钥和移动终端身份标识,该模块在移动终端侧使用;
公钥生成模块,用于将所述移动终端身份标识映射为唯一的公钥,该模块在无线接入节点侧使用;
IBE算法模块,用于进行签名、验证和密钥交换,该模块移动终端和无线接入节点侧均使用;
随机数发生器,用于生成随机数,该模块在移动终端侧使用。
进一步地,所述移动终端还用于采用IBE技术对所述无线接入节点进行认证,以决定是否与所述无线接入节点建立通信连接。
本发明的优点在于:
(1)采用本发明技术方案,无需传输证书,节省了大量带宽,同时避免了鉴别服务器的通信阻塞;
(2)本发明允许多个无线接入节点同时对接入网络的移动终端的身份进行认证,并在后台集中授权和控制,提高了系统管理效率;
(3)本发明引入了对用户访问具体应用资源的授权控制,适应了无线局域网和移动互联网以应用为中心的发展趋势,并满足了运营商的需求。
同时,本发明显著提高了无线局域网接入控制方案本身的安全性:
(1)用I BE公钥技术取代PKI,避免了由于传输证书带来的性能开销,并且避免了没有对证书进行签名导致的中间人攻击;
(2)用USB-KEY的形式存储密码参数,并进行密码运算,避免了攻击者对密码参数和软件的攻击,安全强度比WAPI更强;同时用USB-KEY将用户绑定,AP不会接受攻击者的密钥协商请求,避免了拒绝服务攻击;
(3)鉴权中心增加授权管理功能,对用户入网和访问应用的权限进行细粒度控制。
附图说明
图1为现有的无线局域网接入认证技术WAPI的身份认证过程示意图;
图2为本发明无线局域网接入控制方法流程示意图;
图3为移动终端接入认证过程示意图;
图4为基于用户身份标识的权限控制过程示意图;
图5为本发明无线局域网接入控制系统组成示意图;
图6为用户身份令牌IBE算法引擎签名过程示意图;
图7为无线接入节点中IEB算法引擎签名验证过程示意图;
图8为移动终端入网工作流程示意图;
图9为移动终端退网工作流程示意图;
图10为移动终端连接状态探测流程示意图;
图11为移动终端跨域授权访问流程示意图。
具体实施方式
下面结合附图和具体实施方式对本发明作进一步详细说明。
图2为本发明无线局域网接入控制方法流程示意图,如图所示,移动终端通过无线接入节点实现相互的通信和对网络资源的访问,包括以下两个子过程:
(1)基于用户身份标识的认证:该过程对应WAPI中的认证过程,但在认证过程中应用IBE基于标识的身份认证技术,并进行安全性增强,对所有接入网络的用户身份进行认证,只有经过认证用户才可能接入网络。基于用户身份标识的认证过程是一个双向的认证,即无线接入节点要对移动终端进行鉴别,同时移动终端也要对无线接入节点进行鉴别,两个过程类似,只是方向相反。
(2)基于用户身份的授权:该过程为本发明新增的过程,无线接入节点对用户进行身份认证之后,将向后端鉴权中心发送用户权限请求以确定该用户有权访问哪些网络资源,并对用户使用网络资源的行为进行监控和审计,以确保网络资源不被非法访问。用户的授权管理采用多级分层管理模式,每个用户的权限由本域的鉴权中心签发;一旦用户被授予权限后,可以在任何用户认证节点通过该用户的权限验证判决。
本发明无线局域网接入控制方法的实施包括三个阶段:
(1)初始化阶段:一是移动终端向鉴权中心注册;二是注册后鉴权中心为用户分配入网权限,根据移动终端的身份标识信息(身份标识从无线接入节点获取),生成权限属性证书并存储于本地以便集中管理,该证书上标明了用户具有哪些资源访问权限;三是注册后鉴权中心将私钥分发给移动终端;
(2)移动终端和无线接入节点间通过鉴权中心进行双向身份认证;
(3)移动终端和无线接入节点间通过鉴权中心进行权限控制过程。
图3为移动终端接入认证过程示意图,如图所示,无线接入节点对移动终端的接入认证过程包括如下步骤:
(1)移动终端向鉴权中心提交身份标识并注册,鉴权中心利用IBE签名算法生成相应的私钥;
(2)鉴权中心将私钥以离线或在线方式分发给用户身份令牌;
(3)由用户身份令牌生成随机数,并利用用户身份令牌上保存的私钥对随机数进行签名并生成签名值,签名算法采用IBE签名算法;
(4)移动终端发送身份标识和签名值给无线接入节点;
(5)当移动终端请求入网时,无线接入节点首先验证其身份标识是否存在于合法移动终端身份标识列表(该表存储于无线接入节点,相当于白名单)中,若不存在则拒绝接入;
(5)无线接入节点上的IBE算法引擎根据用户传递过来的身份标识生成公钥,判断签名值是否能由其公钥进行验证,如果能够,则认证移动终端身份的合法性,否则认证移动终端身份不合法。
无线接入节点对接入网络用户的身份进行认证,只有经过认证的用户才能访问相应的网络资源。
用户身份令牌是一个包含IBE运算引擎的USB-KEY,USB-KEY是一种USB接口的小巧的硬件设备,它内置了CPU、存储器、芯片操作系统(COS),能够存储用户的密钥或数字证书,利用USB-KEY内置的密码算法实现对用户身份的认证。
移动终端的授权管理采用多级分层管理模式,每个移动终端的权限由本域的鉴权中心签发;一旦用户被授予权限后,能够在任何无线接入节点通过该用户的权限验证判决。基于用户身份标识的权限控制过程如图4所示,具体包括如下步骤:
(1)移动终端向鉴权中心注册后,鉴权中心为用户分配入网权限,根据移动终端的身份标识信息(身份标识从无线接入节点获取),生成权限属性证书并存储于本地以便集中管理,该证书上标明了用户具有哪些资源访问权限;
(2)移动终端向无线接入节点发送入网请求;
(3)无线接入节点截获入网请求,并将用户的身份标识和入网请求递交到鉴权中心,请求鉴权中心进行权限判决;
(4)鉴权中心根据通过权限属性证书判决用户的权限;如果用户漫游时,则将判决请求中继到用户注册域的鉴权中心进行权限判决,然后由该用户注册域的鉴权中心将判决结果传递给用户所在域的鉴权中心;
(5)鉴权中心将判决结果返回给无线接入节点,以决定是否通过该用户的权限验证。
图5为本发明无线局域网接入控制系统组成示意图,如图所示,本发明无线局域网接入控制系统由移动终端、无线接入节点和鉴权中心组成。其中移动终端上安装了用户身份令牌USB-KEY,用于存储用户标识和私钥,并进行IBE算法运算。无线接入节点即为无线局域网中的AP,对移动终端进行接入控制。鉴权中心AS实现两个功能,一是充当对应WAPI中的鉴别服务器,为移动终端的接入认证提供支撑;二是充当授权管理服务器,为移动终端进行资源访问提供权限控制支撑。
本发明无线局域网接入控制系统中,移动终端通过无线接入节点入网并资源访问的过程,包括基于用户身份标识的认证和授权两个子过程。基于用户身份标识的认证过程是一个双向的认证,即无线接入节点要对移动终端进行鉴别,同时移动终端也要对无线接入节点进行鉴别,两个过程类似,只是方向相反。用户的授权管理采用多级分层管理模式,每个用户的权限由本域的鉴权中心签发;一旦用户被授予权限后,可以在任何用户认证节点通过该用户的权限验证判决。
其中,无线接入节点对移动终端的接入认证过程包括如下步骤:
(1)移动终端向鉴权中心提交身份标识并注册,鉴权中心利用IBE签名算法生成相应的私钥;
(2)鉴权中心将私钥以离线或在线方式分发给用户身份令牌;
(3)由用户身份令牌生成随机数,并利用用户身份令牌上保存的私钥对随机数进行签名并生成签名值,签名算法采用IBE签名算法;
(4)移动终端发送身份标识和签名值给无线接入节点;
(5)当移动终端请求入网时,无线接入节点首先验证其身份标识是否存在于合法移动终端身份标识列表(该表存储于无线接入节点,相当于白名单)中,若不存在则拒绝接入;
(5)无线接入节点上的IBE算法引擎根据用户传递过来的身份标识生成公钥,判断签名值是否能由其公钥进行验证,如果能够,则认证移动终端身份的合法性,否则认证移动终端身份不合法。
无线接入节点对接入网络用户的身份进行认证,只有经过认证的用户才能访问相应的网络资源。
用户身份令牌是一个包含IBE运算引擎的USB-KEY。
IBE运算引擎在移动终端和无线接入节点侧都有,其功能模块如下:
标识与私钥管理模块:用于存储、管理、处理、保护私钥和用户身份标识,该功能主要在移动终端侧使用;
公钥生成模块:将移动终端的身份标识映射为唯一的公钥,该功能主要在无线接入节点侧使用;
IBE算法模块:进行签名、验证和密钥交换,该功能在移动终端和无线接入节点侧都要使用;
随机数发生器:生成随机数,该功能在移动终端侧使用。
如图6所示,使用用户身份令牌IBE算法模块进行数字签名的过程如下:
(1)用户身份令牌中的私钥管理模块提取出私钥(该私钥已经在注册分发阶段分发到用户身份令牌里);
(2)用户身份令牌中的随机数发生器生成随机数用于签名;
(3)用户身份令牌中的IBE算法模块用私钥对随机数签名,生成签名值;
(4)用户身份令牌将身份标识和签名值传给无线接入节点。
如图7所示,无线接入节点中也包含IBE算法引擎,其签名验证过程如下:
(1)无线接入节点从读取移动终端传送过来的数字签名值和身份标识;
(2)公钥生成模块将身份标识ID映射成公钥QID,即QID=H1(ID),详细描述见下面IBE签名算法的详细说明;
(3)IBE算法模块通过公钥验证数字签名是否有效,并将验证结果返回给用户。
以上过程中的IBE签名算法详细说明如下,该算法包含具体的签名及验证过程:
IBE签名算法采用基于身份的短签名算法,该签名算法的签名值较短(为160bit),占用网络带宽较小,适合无线通信环境带宽受限的特点。该签名算法由四个步骤组成:
Setup(初始化):给定一个安全参数k,密钥管理中心PKG(地位相当于本发明系统中的鉴权中心)选择具有同样素数阶q的两个群G1和G2,q>2k,和一个修正了的Weil配对e:G1×G1→G2。P是群G1的生成元,设g=e(P,P),然后PKG选择密码哈希函数:H1:{0,1}*→Z*q,H2:{0,1}*×G1→Z*q,然后选择随机数s∈Z*q作为它的主密钥,并计算它的公钥Ppub=sP∈G1。然后,密钥管理中心公布系统参数{k,G1,G2,e,q,P,g,Ppub,H1,H2},并保密主密钥s。
Extract(私钥产生):给定身份标识ID∈(0,1)*,PKG计算QID=H1(ID),dID=(1/(s+QID))P,dID即为身份标识为ID的用户来进行安全通信的私钥。其中Q=P pub+QIDP。
Sign(签名):签名之前,签名者先要选取随机数r∈Z*q,计算U=rQ=r(Ppub+QIDP),并将U作为公共参数广播,保密r。为了给身份标识ID对应的消息m∈(0,1)*产生签名,令h=H2(m,U),计算S=(1/(r+h))dID=(1/(r+h)(s+QID))P,那么S就是身份标识ID对应的消息m的签名。
Verify(验证):给定身份标识ID对应的消息m的签名S,计算h=H2(m,U),如果下述方程成立则接受签名S并返回1:Ver(m,ID,S)=1□e(S,U+hQ)=g。
移动终端的授权管理采用多级分层管理模式,每个移动终端的权限由本域的鉴权中心签发;一旦用户被授予权限后,能够在任何无线接入节点通过该用户的权限验证判决。基于用户身份标识的权限控制过程具体包括如下步骤:
(1)移动终端向鉴权中心注册后,鉴权中心为用户分配入网权限,根据移动终端的身份标识信息(身份标识从无线接入节点获取),生成权限属性证书并存储于本地以便集中管理,该证书上标明了用户具有哪些资源访问权限;
(2)移动终端向无线接入节点发送入网请求;
(3)无线接入节点截获入网请求,并将用户的身份标识和入网请求递交到鉴权中心,请求鉴权中心进行权限判决;
(4)鉴权中心根据通过权限属性证书判决用户的权限;如果用户漫游时,则将判决请求中继到用户注册域的鉴权中心进行权限判决,然后由该用户注册域的鉴权中心将判决结果传递给用户所在域的鉴权中心;
(5)鉴权中心将判决结果返回给无线接入节点,以决定是否通过该用户的权限验证。
下面通过用户入网、退网、连接状态探测和跨域授权访问四个流程来说明本发明无线局域网接入控制方法及系统的具体应用过程。
图8为移动终端入网工作流程示意图,如图所示,移动终端入网工作流程包括:
(1)鉴权中心对无线接入节点配置授权策略,允许特定用户入网;
(2)当用户请求入网时,在移动终端上插入用户身份令牌(USB-KEY);
(3)移动终端从USB-KEY中获取用户身份信息,并将该信息与移动终端身份标识信息一同携带于入网认证请求中发往无线接入节点;
(4)无线接入节点将根据用户提交的身份标识对用户身份进行验证;
(5)若身份验证通过,无线接入节点向鉴权中心发送用户权限判决请求,判断该用户是否具备相应入网权限;
(6)鉴权中心通过查询权限属性证书判决是否允许其接入网络并记录用户的入网信息;
(7)鉴权中心向无线接入节点返回用户权限判决结果;
(8)无线接入节点收到用户权限判决结果后记录客户端信息,若允许用户入网则产生连接会话参数;
(9)无线接入节点向移动终端发送携带会话参数的认证成功消息;
(10)移动终端收到认证成功消息后保存会话参数信息;
(11)移动终端入网成功,并开始与无线接入节点的双向数据通信。
图9为移动终端退网工作流程示意图,如图所示,移动终端退网工作流程包括:
(1)用户需要退出网络时,拔出USB-KEY;
(2)监测到USB-KEY被拔出后移动终端向无线接入节点发送退网请求,并申请释放入网时建立的会话参数信息;
(3)无线接入节点首先验证退网请求的合法性,然后清除保存的客户信息及会话参数;
(4)无线接入节点将用户此次网络连接的时间、流量等参数上报鉴权中心,并通知用户退网信息;
(5)鉴权中心接收并记录用户的退网信息;
(6)无线接入节点向移动终端返回退网请求成功消息;
(7)用户收到退网成功消息后清除本地保存的会话参数;
(8)移动终端与无线接入节点的双向数据通信过程移动终端,用户退网过程结束。
图10为移动终端连接状态探测流程示意图,如图所示,移动终端连接状态探测流程包括:
(1)移动终端入网成功后进入与无线接入节点的双向数据通信过程;
(2)无线接入节点在用户入网成功后启动定时器,时间为TI;
(3)TI时间到之后无线接入节点向移动终端发送验证连接会话参数请求,验证用户是否持有合法的会话参数;
(4)移动终端收到请求后取出本地会话参数信息;
(5)移动终端向无线接入节点返回验证连接会话参数响应;
(6)无线接入节点验证移动终端返回的会话参数信息,若验证通过则重启定时器TI;
(7)如果在指定的超时时间内未收到用户返回的会话参数或会话参数错误,则中断移动终端数据通信过程;
(8)无线接入节点随后通知鉴权中心连接验证错误和用户退网信息,并要求重新启动用户接入认证过程或关闭网络连接;
(9)鉴权中心记录用户的退网信息;
(10)移动终端与无线接入节点间的双向数据通信过程中断。
图11为移动终端跨域授权访问流程示意图,如图所示,移动终端跨域授权访问流程包括:
(1)已在管理域B注册并通过授权的用户漫游到管理域A的接入控制客户端并请求接入网络;
(2)向移动终端管理域A的无线接入节点发送携带用户身份标识的入网认证请求;
(3)无线接入节点验证用户身份合法性;
(4)若验证通过则无线接入节点向管理域A的鉴权中心发送用户权限请求;
(5)鉴权中心收到请求后查询管理域A的授权数据库,发现该用户为漫游用户;
(6)管理域A的鉴权中心向管理域B的鉴权中心发送跨域权限判决请求;
(7)管理域B的鉴权中心收到跨域权限请求后查询管理域B的权限属性证书;
(8)管理域B的鉴权中心向管理域A的鉴权中心返回跨域权限判决结果;
(9)管理域A的鉴权中心随后向无线接入节点发送权限判决结果;
(10)无线接入节点向移动终端返回入网认证成功消息,并携带会话参数信息;
(11)移动终端保存收到的会话参数信息;
(12)移动终端与无线接入节点开始双向数据通信过程,用户实现跨域授权访问。
同时应当理解的是,本发明请求保护范围阐明于所附权利要求书中,而不能以说明书的上述描述作为限制,凡是在本发明的宗旨之内的显而易见的修改亦应归于本发明的保护范围之内。
Claims (8)
1.一种无线局域网接入控制方法,其特征在于包括如下步骤:
步骤A1、移动终端向鉴权中心提交身份标识并注册,鉴权中心利用基于身份的加密技术IBE签名算法生成相应的私钥;
步骤A2、鉴权中心将私钥分发给所述移动终端;
步骤A3、所述移动终端生成一个随机数,并采用IBE签名算法,利用所述私钥对该随机数进行签名,生成一个签名值;
步骤A4、所述移动终端发送其身份标识和所述签名值给无线接入节点;
步骤A5、当移动终端请求入网时,无线接入节点验证所述移动终端的身份标识是否存在于合法移动终端身份标识列表中,若不存在则拒绝接入,若存在则执行步骤A6;
步骤A6、无线接入节点采用IBE算法,根据移动终端传递过来的所述身份标识生成公钥,并利用公钥验证所述签名值的有效性,如果验证不通过,则认为移动终端身份不合法,不允许该用户接入网络,如果认证通过则执行步骤B;
步骤B、确定所述移动终端有权访问哪些网络资源,即确定所述移动终端的资源访问权限,并据此对所述移动终端的网络访问行为进行控制。
2.根据权利要求1所述的无线局域网接入控制方法,其特征在于:
所述移动终端上安装有用户身份令牌USB-KEY,用于存储所述身份标识和私钥,并进行所述IBE算法运算。
3.根据权利要求1至2中任一项所述的无线局域网接入控制方法,其特征在于,步骤B具体包括:
B1、移动终端向鉴权中心注册后,鉴权中心为移动终端分配入网权限,并生成权限属性证书存储于本地,该证书上标明了用户具有哪些资源访问权限;
B2、移动终端向无线接入节点发送入网请求;
B3、无线接入节点截获所述入网请求,并将所述移动终端的身份标识和所述入网请求递交到鉴权中心;
B4、鉴权中心根据所述权限属性证书来判决所述移动终端的权限;
B5、鉴权中心将判决结果返回给无线接入节点。
4.根据权利要求3所述的无线局域网接入控制方法,其特征在于:
步骤B4中,如果所述移动终端为漫游用户,则所述移动终端当前所在的鉴权中心将判决请求中继到所述移动终端注册的鉴权中心,由该移动终端注册的鉴权中心进行权限判决,然后将判决结果返回所述移动终端当前所在的鉴权中心。
5.一种无线局域网接入控制系统,其特征在于:包括:移动终端、无线接入节点和鉴权中心;
其中,所述移动终端,用于向鉴权中心提交身份标识并注册,并接收鉴权中心发送的私钥,并在接收到所述私钥后生成一个随机数,采用基于身份的加密技术IBE签名算法,利用所述私钥对该随机数进行签名,生成一个签名值,并将移动终端自身的身份标识和所述签名值发送给无线接入节点;以及,当移动终端请求入网时,向所述无线接入节点发送入网请求;
所述无线接入节点,用于在接收到所述入网请求时,验证所述移动终端的身份标识是否存在于合法移动终端身份标识列表中,若不存在则拒绝接入,若存在,则采用IBE算法,根据移动终端传递过来的所述身份标识生成公钥,并利用公钥验证所述签名值的有效性,如果验证不通过,则认为移动终端身份不合法,不允许该用户接入网络,如果认证通过,则向所述鉴权中心发出权限判决请求;
所述鉴权中心,用于在接收到移动终端提交身份标识及注册请求时,利用IBE签名算法生成相应的私钥,并将私钥分发给所述移动终端;以及在收到所述无线接入节点发送的所述权限判决请求后,确定所述移动终端的资源访问权限,并将之返回所述无线接入节点。
6.根据权利要求5所述的无线局域网接入控制系统,其特征在于:
所述移动终端安装有用户身份令牌USB-KEY,该用户身份令牌包含IBE运算引擎。
7.根据权利要求6所述的无线局域网接入控制系统,其特征在于,所述IBE运算引擎包括:
标识与私钥管理模块,用于存储私钥和移动终端身份标识,该模块在移动终端侧使用;
公钥生成模块,用于将所述移动终端身份标识映射为唯一的公钥,该模块在无线接入节点侧使用;
IBE算法模块,用于进行签名、验证和密钥交换,该模块在移动终端和无线接入节点侧均使用;
随机数发生器,用于生成随机数,该模块在移动终端侧使用。
8.根据权利要求5或6或7所述的无线局域网接入控制系统,其特征在于:
所述移动终端还用于采用IBE技术对所述无线接入节点进行认证,以决定是否与所述无线接入节点建立通信连接。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201010506780.9A CN101951603B (zh) | 2010-10-14 | 2010-10-14 | 一种无线局域网接入控制方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201010506780.9A CN101951603B (zh) | 2010-10-14 | 2010-10-14 | 一种无线局域网接入控制方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101951603A CN101951603A (zh) | 2011-01-19 |
| CN101951603B true CN101951603B (zh) | 2013-05-22 |
Family
ID=43454930
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201010506780.9A Active CN101951603B (zh) | 2010-10-14 | 2010-10-14 | 一种无线局域网接入控制方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101951603B (zh) |
Families Citing this family (41)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102281281A (zh) * | 2011-05-27 | 2011-12-14 | 无锡华御信息技术有限公司 | 一种无线网络环境下智能设备接入和权限控制方法 |
| CN103098502A (zh) * | 2011-08-03 | 2013-05-08 | 华为技术有限公司 | 数据管理方法和装置 |
| CN102316454B (zh) * | 2011-10-12 | 2013-08-14 | 西安新邮通信设备有限公司 | 由无线网络控制器触发的终端差异性分析的方法 |
| CN103139138B (zh) * | 2011-11-22 | 2016-02-03 | 飞塔公司 | 一种基于客户端检测的应用层拒绝服务防护方法及系统 |
| CN102868533B (zh) * | 2012-09-13 | 2016-05-25 | 中科华核电技术研究院有限公司 | 资源访问授权验证方法及系统 |
| CN103036726A (zh) * | 2012-12-17 | 2013-04-10 | 北京网康科技有限公司 | 一种网络用户管理的方法及设备 |
| CN103974238B (zh) | 2013-01-25 | 2018-09-28 | 中兴通讯股份有限公司 | 一种在异构网络中实现安全检测的方法、装置和系统 |
| CN103618613A (zh) * | 2013-12-09 | 2014-03-05 | 北京京航计算通讯研究所 | 网络接入控制系统 |
| CN103841556A (zh) * | 2014-03-21 | 2014-06-04 | 北京航空航天大学 | 无线局域网快速切换方法 |
| CN105577606B (zh) * | 2014-10-09 | 2019-03-01 | 华为技术有限公司 | 一种实现认证器注册的方法和装置 |
| CN104469757B (zh) * | 2014-12-25 | 2018-01-16 | 上海迈外迪网络科技有限公司 | 安全登录方法 |
| CN104469758B (zh) * | 2014-12-25 | 2018-07-27 | 上海迈外迪网络科技有限公司 | 多设备安全登录方法 |
| CN106295404B (zh) * | 2015-06-17 | 2020-04-07 | 北京虎符科技股份有限公司 | 基于安全内核的一体化soc芯片 |
| CN106658495A (zh) * | 2015-10-28 | 2017-05-10 | 中国电信股份有限公司 | 用于登录公共WiFi的方法、移动终端、平台和系统 |
| CN105847287A (zh) * | 2016-05-17 | 2016-08-10 | 中山大学 | 一种基于社区局域网的资源访问控制方法及系统 |
| CN114826673A (zh) | 2016-07-06 | 2022-07-29 | 华为技术有限公司 | 一种传输数据的保护系统、方法及装置 |
| CN106488450B (zh) * | 2016-10-11 | 2019-11-26 | 北京小米移动软件有限公司 | 连接无线网络的方法及装置 |
| EP3550780B1 (en) | 2016-12-30 | 2021-04-14 | Huawei Technologies Co., Ltd. | Verification method and apparatus for key requester |
| CN108696475B (zh) * | 2017-04-06 | 2021-03-16 | 中国电力科学研究院 | 一种带安全认证的配电自动化终端自动注册方法及装置 |
| CN107302535A (zh) * | 2017-06-28 | 2017-10-27 | 深圳市欧乐在线技术发展有限公司 | 一种接入鉴权方法及装置 |
| CN107396350B (zh) * | 2017-07-12 | 2021-04-27 | 西安电子科技大学 | 基于sdn-5g网络架构的sdn组件间安全保护方法 |
| CN109803260B (zh) | 2017-11-17 | 2022-01-11 | 中兴通讯股份有限公司 | 拒绝接入方法、装置及系统 |
| CN108540573A (zh) * | 2018-04-26 | 2018-09-14 | 南京思拜休通信技术有限公司 | 一种基于人机交互的多媒体指挥调度系统及工作方法 |
| CN110446214A (zh) * | 2018-05-03 | 2019-11-12 | 中兴通讯股份有限公司 | 管理网络访问进程的方法、装置及设备、存储介质 |
| CN108959906B (zh) * | 2018-07-13 | 2020-08-21 | Oppo广东移动通信有限公司 | 数据获取方法、移动终端、电子设备、产线标定系统、可读存储介质及计算机设备 |
| CN108966174A (zh) * | 2018-07-27 | 2018-12-07 | 长春草莓科技有限公司 | 一种无人机与地面站的通讯加密方法 |
| CN109088870B (zh) * | 2018-08-14 | 2021-05-04 | 国网甘肃省电力公司电力科学研究院 | 一种新能源厂站发电单元采集终端安全接入平台的方法 |
| CN108900311B (zh) * | 2018-08-15 | 2021-04-27 | 江苏恒宝智能系统技术有限公司 | 一种无证书蓝牙key签名方法及系统 |
| CN109743167A (zh) * | 2019-01-07 | 2019-05-10 | 殷鹏 | 基于区块链的大数据安全识别认证方法 |
| CN109756261B (zh) * | 2019-02-03 | 2022-03-11 | 飞牛智能科技(南京)有限公司 | 基于移动运营商网络的无人机身份标识告警与通知方法 |
| CN110071916A (zh) * | 2019-04-10 | 2019-07-30 | 苏州浪潮智能科技有限公司 | 一种局域网安全认证方法与装置 |
| CN110620782A (zh) * | 2019-09-29 | 2019-12-27 | 深圳市珍爱云信息技术有限公司 | 账户认证方法、装置、计算机设备和存储介质 |
| CN111131416B (zh) * | 2019-12-12 | 2023-09-05 | 京东科技控股股份有限公司 | 业务服务的提供方法和装置、存储介质、电子装置 |
| CN113098743B (zh) * | 2019-12-23 | 2022-12-06 | 北京神经元网络技术有限公司 | 总线型用户节点动态准入控制方法、主节点及存储介质 |
| CN113098737B (zh) * | 2019-12-23 | 2022-12-30 | 北京神经元网络技术有限公司 | 用户节点准入控制方法及装置、电子设备 |
| CN111817854B (zh) * | 2020-06-04 | 2022-03-18 | 中国电子科技集团公司第三十研究所 | 一种基于无中心标识映射同步管理的安全认证方法及系统 |
| CN112182530A (zh) * | 2020-10-14 | 2021-01-05 | 北京安石科技有限公司 | 通过主控系统控制操作系统权限的方法及装置 |
| CN112332992B (zh) * | 2020-10-22 | 2023-05-05 | 杭州涂鸦信息技术有限公司 | 基于无线通信的登陆认证方法及相关设备 |
| CN112580017B (zh) * | 2020-12-25 | 2023-12-29 | 深信服科技股份有限公司 | 认证方法及装置、电子设备、存储介质 |
| CN112989325A (zh) * | 2021-03-12 | 2021-06-18 | 远光软件股份有限公司 | 服务调用方法、装置、存储介质和电子设备 |
| CN114024749B (zh) * | 2021-11-05 | 2022-11-29 | 西北工业大学 | 一种基于中心节点域间协同的工业设备逻辑跨域接入认证方法 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1708018A (zh) * | 2004-06-04 | 2005-12-14 | 华为技术有限公司 | 一种无线局域网移动终端接入的方法 |
| CN101272616A (zh) * | 2008-05-07 | 2008-09-24 | 广州杰赛科技股份有限公司 | 一种无线城域网的安全接入方法 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8966263B2 (en) * | 2006-03-31 | 2015-02-24 | Alcatel Lucent | System and method of network equipment remote access authentication in a communications network |
-
2010
- 2010-10-14 CN CN201010506780.9A patent/CN101951603B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1708018A (zh) * | 2004-06-04 | 2005-12-14 | 华为技术有限公司 | 一种无线局域网移动终端接入的方法 |
| CN101272616A (zh) * | 2008-05-07 | 2008-09-24 | 广州杰赛科技股份有限公司 | 一种无线城域网的安全接入方法 |
Non-Patent Citations (2)
| Title |
|---|
| 一个基于身份的可信平台远程证明方案;周洁等;《工程与应用》;20100630;第2节 * |
| 周洁等.一个基于身份的可信平台远程证明方案.《工程与应用》.2010, |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101951603A (zh) | 2011-01-19 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101951603B (zh) | 一种无线局域网接入控制方法及系统 | |
| CN108270571B (zh) | 基于区块链的物联网身份认证系统及其方法 | |
| CA3005598C (en) | Methods and systems for conjugated authentication and authorization | |
| CN110535628B (zh) | 通过证书签发进行多方安全计算的方法及装置 | |
| CN110581854B (zh) | 基于区块链的智能终端安全通信方法 | |
| US9444803B2 (en) | Authentication method and system oriented to heterogeneous network | |
| US7844818B2 (en) | Authentication apparatus and method for home network devices | |
| US7640430B2 (en) | System and method for achieving machine authentication without maintaining additional credentials | |
| CN110086821A (zh) | 基于区块链的电力物联网网关和电力物联网终端接入的认证方法 | |
| CN101156352B (zh) | 基于移动网络端到端通信的认证方法、系统及认证中心 | |
| US20090240941A1 (en) | Method and apparatus for authenticating device in multi domain home network environment | |
| JP4170912B2 (ja) | ネットワークプロバイダ及びビジネスパートナーに対する遠隔通信加入者の認証及び許可のための端末における公開鍵ペアの利用 | |
| CN105791272A (zh) | 一种物联网中的安全通信方法及装置 | |
| CN109218981B (zh) | 基于位置信号特征共识的Wi-Fi接入认证方法 | |
| TW201019683A (en) | Access control system and method based on hierarchical key, and authentication key exchange thereof | |
| CN101442402B (zh) | 认证接入点设备的方法、系统和装置 | |
| WO2017185450A1 (zh) | 终端的认证方法及系统 | |
| CN114765534B (zh) | 基于国密标识密码算法的私钥分发系统和方法 | |
| CN113572765B (zh) | 一种面向资源受限终端的轻量级身份认证密钥协商方法 | |
| CN101610515A (zh) | 一种基于wapi的认证系统及方法 | |
| CN101192927B (zh) | 基于身份保密的授权与多重认证方法 | |
| WO2008002081A1 (en) | Method and apparatus for authenticating device in multi domain home network environment | |
| CN107786978B (zh) | 基于量子加密的nfc认证系统 | |
| CN107888376B (zh) | 基于量子通信网络的nfc认证系统 | |
| CN110891067B (zh) | 一种可撤销的多服务器隐私保护认证方法及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |