CN102104872A - 安全访问wapi网络的方法、装置及系统 - Google Patents
安全访问wapi网络的方法、装置及系统 Download PDFInfo
- Publication number
- CN102104872A CN102104872A CN2011100442906A CN201110044290A CN102104872A CN 102104872 A CN102104872 A CN 102104872A CN 2011100442906 A CN2011100442906 A CN 2011100442906A CN 201110044290 A CN201110044290 A CN 201110044290A CN 102104872 A CN102104872 A CN 102104872A
- Authority
- CN
- China
- Prior art keywords
- terminal
- source terminal
- authentication
- request
- target terminal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/069—Authentication using certificates or pre-shared keys
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W84/00—Network topologies
- H04W84/02—Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
- H04W84/10—Small scale networks; Flat hierarchical networks
- H04W84/12—WLAN [Wireless Local Area Networks]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Mobile Radio Communication Systems (AREA)
- Small-Scale Networks (AREA)
Abstract
本发明揭示了一种安全访问WAPI网络的方法,包括:WAPI网络的无线访问节点AP根据源终端发送的认证请求,对源终端进行认证;当认证通过时,所述源终端向AP发送和目标终端进行会话的会话请求;AP根据所述会话请求,对目标终端进行认证;当认证通过时,AP允许源终端接入目标终端。本发明还提出了相应的装置和系统。本发明提出的一种安全访问WAPI网络的方法、装置及系统,通过双重认证,提高WAPI网络访问的安全性。
Description
技术领域
本发明涉及到通信领域,特别涉及到一种安全访问WAPI网络的方法、装置及系统。
背景技术
无线局域网,简称WLAN,使用WAPI(Wireless LANAuthentication and Privacy Infrastructure)协议,是采用无线传输媒体的计算机网络。由于无线局域网具有安装方便,灵活性好,经济节约和易于扩展等优点,最近几年其发展非常迅速,已经由最初的802.11、802.11b等协议发展到今天的802.11n,传输速度可以达到100M以上。随着技术不断成熟,产品成本不断下降,无线局域网的应用越来越多,范围越来越广,使广大人民享受到便捷、简单、方便的网络服务。特别是无线数字家庭网络,用户随时随地可以通过无线局域网访问互联网等资源。然而,无线局域网在给大家带来便利的同时,也存在安全缺陷,在现有技术中,无线局域网一般都没有采用任何信息安全保护措施,容易受到攻击。
发明内容
本发明的主要目的为提供一种安全访问WAPI网络的方法、装置及系统,通过双重认证,提高WAPI网络访问的安全性。
本发明提出一种安全访问WAPI网络的方法,包括:
WAPI网络的无线访问节点AP根据源终端发送的认证请求,对源终端进行认证;
当认证通过时,所述源终端向AP发送和目标终端进行会话的会话请求;
AP根据所述会话请求,对目标终端进行认证;
当认证通过时,AP允许源终端接入目标终端。
优选地,所述WAPI网络的AP根据源终端发送的认证请求,对源终端进行认证包括:
当源终端远程访问AP时,移动通讯网络的AAA服务器根据源终端发送的认证请求,对源终端进行认证;
当认证通过时,源终端向AAA服务器发送和AP进行会话的WLAN访问请求;
AAA服务器根据所述WLAN访问请求和源终端的WLAN访问权限,对AP进行认证;
当认证通过时,AAA服务器允许源终端接入AP。
优选地,在执行所述AP允许源终端接入目标终端之后,还包括:
源终端和目标终端进行会话协商。
本发明还提出一种终端,包括:
认证请求模块,用于向WAPI网络的无线访问节点AP发送认证请求;
会话请求模块,用于当AP认证通过时,向AP发送和目标终端进行会话的会话请求,以便AP根据该会话请求对目标终端进行认证,并在认证通过后允许本端接入目标终端。
优选地,所述终端还包括:
会话协商模块,用于在AP允许本端接入目标终端之后,和目标终端进行会话协商。
本发明还提出一种终端,包括:
接收请求模块,用于接收WAPI网络的无线访问节点AP发送的鉴别激活请求;
发送模块,用于根据所述鉴别激活请求发送认证请求,以便AP对本端进行认证,并在认证通过后允许源终端接入本端。
优选地,所述终端还包括:
会话协商模块,用于在AP允许源终端接入本端之后,和源终端进行会话协商。
本发明还提出一种WAPI网络的无线访问节点AP,包括:
第一认证模块,用于根据源终端发送的认证请求,对源终端进行认证;
接收模块,用于对源终端认证通过后,接收源终端发送和目标终端进行会话的会话请求;
第二认证模块,用于根据所述会话请求,对目标终端进行认证;
接入模块,用于当认证通过时,允许源终端接入目标终端。
本发明还提出一种安全访问WAPI网络的系统,包括源终端、目标终端和WAPI网络的无线访问节点AP,其中,
所述AP,用于根据源终端发送的认证请求,对源终端进行认证;以及当对源终端认证通过后,接收源终端发送和目标终端进行会话的会话请求,根据所述会话请求,对目标终端进行认证;以及当对目标终端认证通过时,允许源终端接入目标终端。
所述源终端,用于向AP发送认证请求;以及当AP认证通过时,向AP发送和目标终端进行会话的会话请求,以便AP根据该会话请求对目标终端进行认证,并在认证通过后允许本端接入目标终端。
所述目标终端,用于接收AP发送的鉴别激活请求;以及根据所述鉴别激活请求发送认证请求,以便AP对本端进行认证,并在认证通过后允许源终端接入本端。
优选地,所述源终端包括:
认证请求模块,用于向WAPI网络的无线访问节点AP发送认证请求;
会话请求模块,用于当AP认证通过时,向AP发送和目标终端进行会话的会话请求,以便AP根据该会话请求对目标终端进行认证,并在认证通过后允许本端接入目标终端。
优选地,所述源终端还包括:
会话协商模块,用于在AP允许本端接入目标终端之后,和目标终端进行会话协商。
所述目标终端包括:
接收请求模块,用于接收WAPI网络的无线访问节点AP发送的鉴别激活请求;
发送模块,用于根据所述鉴别激活请求发送认证请求,以便AP对本端进行认证,并在认证通过后允许源终端接入本端。
优选地,所述目标终端还包括:
会话协商模块,用于在AP允许源终端接入本端之后,和源终端进行会话协商。
所述AP包括:
第一认证模块,用于根据源终端发送的认证请求,对源终端进行认证;
接收模块,用于对源终端认证通过后,接收源终端发送和目标终端进行会话的会话请求;
第二认证模块,用于根据所述会话请求,对目标终端进行认证;
接入模块,用于当认证通过时,允许源终端接入目标终端。
本发明提出的一种安全访问WAPI网络的方法、装置及系统,通过对源终端和目标终端的双重认证,不仅可以保证接入过程中两个终端和无线访问节点(Access Point,AP)之间的身份安全性,而且还可以保证源终端和被访问的目标终端之间、AP和终端之间会话的数据保密性,确保本地无线局域网的安全。
附图说明
图1为本发明一种安全访问WAPI网络的方法一实施例的流程示意图;
图2为本发明一种安全访问WAPI网络的方法一实施例的系统架构图;
图3为本发明一种安全访问WAPI网络的方法一实施例的信令示意图;
图4为本发明一种安全访问WAPI网络的方法一实施例中远程访问的流程示意图;
图5为本发明一种安全访问WAPI网络的方法一实施例中远程访问的信令示意图;
图6为本发明一种安全访问WAPI网络的方法又一实施例的流程示意图;
图7为本发明一种终端一实施例的结构示意图;
图8为本发明一种终端又一实施例的结构示意图;
图9为本发明另一终端一实施例的结构示意图;
图10为本发明另一终端又一实施例的结构示意图;
图11为本发明AP一实施例的结构示意图;
图12为本发明一种安全访问WAPI网络的系统一实施例的结构示意图。
本发明目的的实现、功能特点及优点将结合实施例,参照附图做进一步说明。
具体实施方式
应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
参照图1至图3,提出本发明一种安全访问WAPI网络的方法一实施例,包括:
S10、AP根据源终端发送的认证请求,对源终端进行认证;
本实施例中的无线局域网可以是无线家庭数字网络,即一般意义上的家庭网络,例如用户可以通过无线局域网操作和管理家电系统以及获取门窗煤气管道等的安全状态。图2所示为整个无线局域网的结构,用户可使用计算机或手机等移动终端接入无线局域网,访问网络资源,即操作和管理本地网络的各节点。其中,网络中心包括AP,访问无线局域网的移动终端或者计算机以及无线局域网中的各节点均作为终端,这些元素组成了有结构的无线局域网。
当源终端访问无线局域网的目标终端时,源终端向AP发送认证请求即接入鉴别请求,同时将自己的证书发送给AP进行认证,AP对源终端的证书进行认证,具体可以通过与AP连接的认证服务器AS进行认证:AP将源终端的证书以及AP自己的证书放入证书鉴别请求中,发送到AS进行证书鉴别,AS首先鉴别AP的证书是否有效,如果有效则继续验证源终端的证书。验证完毕后,AS将验证结果放入证书鉴别响应中,并将该证书鉴别响应发回至AP。AP通过证书鉴别响应中AS的签名,得到对源终端的证书鉴别结果,根据该结果决定对源终端的认证是否通过,同时,将该证书鉴别响应发至源终端。源终端根据该证书鉴别响应决定是否接入AP,证书鉴别成功后,源终端和AP之间进行会话密钥协商:首先由源终端在本地生成密钥参数放入密钥协商请求中,并将密钥协商请求发送至AP,AP收到源终端发送的密钥协商请求,根据密钥协商请求中源终端的密钥参数,将本地生成的密钥参数放入密钥协商响应中反馈至源终端,源终端收到密钥协商响应后,根据其中AP的密钥参数并结合源终端本地的密钥参数,生成会话密钥,该会话密钥仅适于源终端和AP。
S11、当认证通过时,所述源终端向AP发送和目标终端进行会话的会话请求;
当AP对源终端认证通过后,即源终端和AP进行会话密钥协商后,源终端根据需要向AP发送和目标终端例如无线局域网内的设备(微波炉等)进行会话的会话请求。
S12、AP根据所述会话请求,对目标终端进行认证;
AP根据源终端发送的会话请求,对目标终端进行认证,认证过程如下:Ap根据会话请求,向目标终端如微波炉发送鉴别激活请求,开启AP对目标终端的认证,目标终端收到AP发来的鉴别激活请求后,将自己的证书放入认证请求,发送到AP,由AP对目标终端进行认证,该认证过程同AP对源终端的认证过程。
S13、当认证通过时,AP允许源终端接入目标终端。
当AP对目标终端认证通过后,此时源终端与AP之间,AP与目标终端之间的安全链路已经建立。AP允许源终端接入目标终端。
本实施例中,通过对源终端和目标终端的双重认证,不仅可以保证接入过程中两个终端和AP之间的身份安全性,而且还可以保证源终端和被访问的目标终端之间、AP和终端之间会话的数据保密性,确保本地无线局域网的安全。
参照图4、图5,在一种安全访问WAPI网络的方法一实施例中,步骤S10可包括:
步骤S101、当源终端远程访问AP时,移动通讯网络的AAA服务器根据源终端发送的认证请求,对源终端进行认证;
当源终端远程访问AP时,需要在AP中嵌入移动通信网络模块如3G模块,通过该模块AP可以接入移动通信网络。
源终端远程访问无线局域网,需要首先和无线局域网的AP建立安全连接,即通过建立一条安全隧道,在该隧道下运行WAPI协议,访问无线局域网中的目标终端。因此,远程访问无线局域网的重点在源终端和AP之间安全隧道的建立过程,本文中以3GPP EAP-AKA的安全协议进行隧道建立为例进行说明。具体步骤如下:
源终端通过本地的接入网访问移动通信网络,向核心网的AAA服务器发送认证请求。
AAA服务器与HLR进行交互,获取当前会话的认证向量。
AAA服务器根据此认证向量对源终端进行认证,并协商二者之间的会话密钥。认证通过后发送接入鉴别响应给源终端。此时,源终端和AAA服务器建立了安全链路。
步骤S102、当认证通过时,源终端向AAA服务器发送和AP进行会话的WLAN访问请求;
认证通过后,源终端发送WLAN访问请求给AAA服务器,请求和无线局域网的AP进行会话。
步骤S103、AAA服务器根据所述WLAN访问请求和源终端的WLAN访问权限,对AP进行认证;
AAA服务器将源终端的IMSI发送至HLR,判断该源终端是否具有访问无线局域网的权限。如果源终端具有权限,则AAA服务器直接从HLR处获得无线局域网AP的认证向量。
AAA服务器根据获得的认证向量和AP进行接入认证过程,同时协商二者之间的会话密钥,此时AP和AAA服务器之间建立了安全链路。
步骤S104、当认证通过时,AAA服务器允许源终端接入AP。
AAA服务器和AP的认证成功后,将返回访问无线局域网的响应给源终端。此时,源终端和AP之间已经通过移动通信网建立了一个安全隧道。源终端可以和AAA服务器进行安全通信,而AAA服务器和AP之间可以进行安全通信,这样便以AAA服务器为安全中转站构建了一条连接源终端和AP的安全隧道。源终端通过该安全隧道,根据WAPI协议对无线局域网进行接入和会话链路建立。
参照图6,提出本发明一种安全访问WAPI网络的方法又一实施例,在上述实施例中,在执行步骤S13之后,还包括:
步骤S14、源终端和目标终端进行会话协商。
当源终端与AP,AP与目标终端的安全链路建立之后,AP向目标终端发送源终端的会话请求。
目标终端收到源终端的会话请求,需要协商二者之间进行会话的密钥。目标终端生成自己的密钥参数通过AP转发至AS。
AS经过AP向源终端发送会话密钥协商请求,希望源终端提供相关的参数,同时将目标终端的密钥参数一起发送给源终端。
源终端生成自己的密钥参数,并以密文形式经由AP发送给AS。
AS验证该信息成功后,将源终端的密钥参数经由AP发送至目标终端。
源终端和目标终端在本地计算出会话密钥,并开始由源终端发起的会话。
本实施例中,源终端和目标终端可直接通过会话密钥协商进行会话,避免了由AP进行中转而导致的被监听,进一步提高了无线局域网访问的安全性。
参照图7,提出本发明一种终端10一实施例,包括:
认证请求模块11,用于向AP发送认证请求;
会话请求模块12,用于当AP认证通过时,向AP发送和目标终端进行会话的会话请求,以便AP根据该会话请求对目标终端进行认证,并在认证通过后允许本端接入目标终端。
本实施例中的无线局域网可以是无线家庭数字网络,即一般意义上的家庭网络,例如用户可以通过无线局域网操作和管理家电系统以及获取门窗煤气管道等的安全状态。图2所示为整个无线局域网的结构,用户可使用计算机或手机等移动终端接入无线局域网,访问网络资源,即操作和管理本地网络的各节点。其中,网络中心包括AP,访问无线局域网的移动终端或者计算机以及无线局域网中的各节点均作为终端,这些元素组成了有结构的无线局域网。
当终端10访问无线局域网的目标终端时,认证请求模块11向AP发送认证请求,同时将自己的证书发送给AP进行认证,AP对终端10的证书进行认证,具体可以通过与AP连接的认证服务器AS进行认证:AP将终端10的证书以及AP自己的证书放入证书鉴别请求中,发送到AS进行证书鉴别,AS首先鉴别AP的证书是否有效,如果有效则继续验证终端10的证书。验证完毕后,AS将验证结果放入证书鉴别响应中,并将该证书鉴别响应发回至AP。AP通过证书鉴别响应中AS的签名,得到对终端10的证书鉴别结果,根据该结果决定对终端10的认证是否通过,同时,将该证书鉴别响应发至终端10。终端10根据该证书鉴别响应决定是否接入AP,证书鉴别成功后,终端10和AP之间进行会话密钥协商:首先由终端10在本地生成密钥参数放入密钥协商请求中,并将密钥协商请求发送至AP,AP收到终端10发送的密钥协商请求,根据密钥协商请求中终端10的密钥参数,将本地生成的密钥参数放入密钥协商响应中反馈至终端10,终端10收到密钥协商响应后,根据其中AP的密钥参数并结合终端10本地的密钥参数,生成会话密钥,该会话密钥仅适于终端10和AP。
当AP对终端10认证通过后,即终端10和AP进行会话密钥协商后,会话请求模块12根据需要向AP发送和目标终端例如无线局域网内的设备(微波炉等)进行会话的会话请求。
AP根据终端10发送的会话请求,对目标终端进行认证,认证过程如下:Ap根据会话请求,向目标终端如微波炉发送鉴别激活请求,开启AP对目标终端的认证,目标终端收到AP发来的鉴别激活请求后,将自己的证书放入认证请求,发送到AP,由AP对目标终端进行认证,该认证过程同AP对终端10的认证过程。
当AP对目标终端认证通过后,此时终端10与AP之间,AP与目标终端之间的安全链路已经建立。AP允许终端10接入目标终端。
本实施例中,通过对终端10和目标终端的双重认证,不仅可以保证接入过程中两个终端和AP之间的身份安全性,而且还可以保证终端10和被访问的目标终端之间、AP和终端之间会话的数据保密性,确保本地无线局域网的安全。
参照图8,提出本发明一种终端10又一实施例,在上述实施例中,还包括:
会话协商模块13,用于在AP允许本端接入目标终端之后,和目标终端进行会话协商。
当终端10与AP,AP与目标终端的安全链路建立之后,AP向目标终端发送终端10的会话请求。
目标终端收到终端10的会话请求,需要协商二者之间进行会话的密钥。目标终端生成自己的密钥参数通过AP转发至AS。
AS经过AP向终端10发送会话密钥协商请求,希望终端10提供相关的参数,同时将目标终端的密钥参数一起发送给终端10。
会话协商模块13生成自己的密钥参数,并以密文形式经由AP发送给AS。
AS验证该信息成功后,将终端10的密钥参数经由AP发送至目标终端。
终端10的会话协商模块13和目标终端在本地计算出会话密钥,并开始由终端10发起的会话。
本实施例中,终端10和目标终端可直接通过会话密钥协商进行会话,避免了由AP进行中转而导致的被监听,进一步提高了无线局域网访问的安全性。
参照图9,提出本发明一种终端20一实施例,包括:
接收请求模块21,用于接收AP发送的鉴别激活请求;
发送模块22,用于根据所述鉴别激活请求发送认证请求,以便AP对本端进行认证,并在认证通过后允许源终端接入本端。
本实施例中的无线局域网可以是无线家庭数字网络,即一般意义上的家庭网络,例如用户可以通过无线局域网操作和管理家电系统以及获取门窗煤气管道等的安全状态。图2所示为整个无线局域网的结构,用户可使用计算机或手机等移动终端接入无线局域网,访问网络资源,即操作和管理本地网络的各节点。其中,网络中心包括AP,访问无线局域网的移动终端或者计算机以及无线局域网中的各节点均作为终端,这些元素组成了有结构的无线局域网。
当源终端访问无线局域网的终端20时,源终端向AP发送认证请求,同时将自己的证书发送给AP进行认证,AP对源终端的证书进行认证,具体可以通过与AP连接的认证服务器AS进行认证:AP将源终端的证书以及AP自己的证书放入证书鉴别请求中,发送到AS进行证书鉴别,AS首先鉴别AP的证书是否有效,如果有效则继续验证源终端的证书。验证完毕后,AS将验证结果放入证书鉴别响应中,并将该证书鉴别响应发回至AP。AP通过证书鉴别响应中AS的签名,得到对源终端的证书鉴别结果,根据该结果决定对源终端的认证是否通过,同时,将该证书鉴别响应发至源终端。源终端根据该证书鉴别响应决定是否接入AP,证书鉴别成功后,源终端和AP之间进行会话密钥协商:首先由源终端在本地生成密钥参数放入密钥协商请求中,并将密钥协商请求发送至AP,AP收到源终端发送的密钥协商请求,根据密钥协商请求中源终端的密钥参数,将本地生成的密钥参数放入密钥协商响应中反馈至源终端,源终端收到密钥协商响应后,根据其中AP的密钥参数并结合源终端本地的密钥参数,生成会话密钥,该会话密钥仅适于源终端和AP。
当AP对源终端认证通过后,即源终端和AP进行会话密钥协商后,源终端根据需要向AP发送和终端20例如无线局域网内的设备(微波炉等)进行会话的会话请求。
AP根据源终端发送的会话请求,对终端20进行认证,认证过程如下:Ap根据会话请求,向终端20如微波炉发送鉴别激活请求,开启AP对终端20的认证,终端20的接收请求模块21收到AP发来的鉴别激活请求后,将自己的证书放入认证请求,发送模块22该认证请求发送到AP,由AP对终端20进行认证,该认证过程同AP对源终端的认证过程。
当AP对终端20认证通过后,此时源终端与AP之间,AP与终端20之间的安全链路已经建立。AP允许源终端接入终端20。
本实施例中,通过对源终端和终端20的双重认证,不仅可以保证接入过程中两个终端和AP之间的身份安全性,而且还可以保证源终端和被访问的目标终端之间、AP和终端之间会话的数据保密性,确保本地无线局域网的安全。
参照图10,提出本发明一种终端20又一实施例,在上一实施例中,还包括:
会话协商模块23,用于在AP允许源终端接入本端之后,和源终端进行会话协商。
当源终端与AP,AP与终端20的安全链路建立之后,AP向终端20发送源终端的会话请求。
终端20收到源终端的会话请求,会话协商模块23和源终端协商二者之间进行会话的密钥。会话协商模块23生成自己的密钥参数通过AP转发至AS。
AS经过AP向源终端发送会话密钥协商请求,希望源终端提供相关的参数,同时将终端20的密钥参数一起发送给源终端。
源终端生成自己的密钥参数,并以密文形式经由AP发送给AS。
AS验证该信息成功后,将源终端的密钥参数经由AP发送至终端20。
源终端和终端20在本地计算出会话密钥,并开始由源终端发起的会话。
本实施例中,源终端和终端20可直接通过会话密钥协商进行会话,避免了由AP进行中转而导致的被监听,进一步提高了无线局域网访问的安全性。
参照图11,提出本发明一种AP30一实施例,包括:
第一认证模块31,用于根据源终端发送的认证请求,对源终端进行认证;
接收模块32,用于对源终端认证通过后,接收源终端发送和目标终端进行会话的会话请求;
第二认证模块33,用于根据所述会话请求,对目标终端进行认证;
接入模块34,用于当认证通过时,允许源终端接入目标终端。
本实施例中的无线局域网可以是无线家庭数字网络,即一般意义上的家庭网络,例如用户可以通过无线局域网操作和管理家电系统以及获取门窗煤气管道等的安全状态。图2所示为整个无线局域网的结构,用户可使用计算机或手机等移动终端接入无线局域网,访问网络资源,即操作和管理本地网络的各节点。其中,网络中心包括AP30,访问无线局域网的移动终端或者计算机以及无线局域网中的各节点均作为终端,这些元素组成了有结构的无线局域网。
当源终端访问无线局域网的目标终端时,源终端向AP30发送认证请求,同时将自己的证书发送给AP30进行认证,第一认证模块31对源终端的证书进行认证,具体可以通过与AP30连接的认证服务器AS进行认证:AP30将源终端的证书以及AP30自己的证书放入证书鉴别请求中,发送到AS进行证书鉴别,AS首先鉴别AP30的证书是否有效,如果有效则继续验证源终端的证书。验证完毕后,AS将验证结果放入证书鉴别响应中,并将该证书鉴别响应发回至AP30。AP30通过证书鉴别响应中AS的签名,得到对源终端的证书鉴别结果,根据该结果决定对源终端的认证是否通过,同时,将该证书鉴别响应发至源终端。源终端根据该证书鉴别响应决定是否接入AP30,证书鉴别成功后,源终端和AP30之间进行会话密钥协商:首先由源终端在本地生成密钥参数放入密钥协商请求中,并将密钥协商请求发送至AP30,AP30收到源终端发送的密钥协商请求,根据密钥协商请求中源终端的密钥参数,将本地生成的密钥参数放入密钥协商响应中反馈至源终端,源终端收到密钥协商响应后,根据其中AP30的密钥参数并结合源终端本地的密钥参数,生成会话密钥,该会话密钥仅适于源终端和AP30。
当AP30对源终端认证通过后,即源终端和AP30进行会话密钥协商后,源终端根据需要向AP30发送和目标终端例如无线局域网内的设备(微波炉等)进行会话的会话请求。
接收模块32接收源终端发送的会话请求,第二认证模块33根据该会话请求对目标终端进行认证,认证过程如下:第二认证模块33根据会话请求,向目标终端如微波炉发送鉴别激活请求,开启AP30对目标终端的认证,目标终端收到第二认证模块33发来的鉴别激活请求后,将自己的证书放入认证请求,发送到第二认证模块33,由第二认证模块33对目标终端进行认证,该认证过程同AP30对源终端的认证过程。
当第二认证模块33对目标终端认证通过后,此时源终端与AP30之间,AP30与目标终端之间的安全链路已经建立。接入模块34允许源终端接入目标终端。
本实施例中,通过对源终端和目标终端的双重认证,不仅可以保证接入过程中两个终端和AP30之间的身份安全性,而且还可以保证源终端和被访问的目标终端之间、AP30和终端之间会话的数据保密性,确保本地无线局域网的安全。
参照图12,提出本发明一种安全访问WAPI网络的系统一实施例,包括源终端40、目标终端50和AP60,其中,
所述AP60,用于根据源终端40发送的认证请求,对源终端40进行认证;以及当对源终端40认证通过后,接收源终端40发送和目标终端50进行会话的会话请求,根据所述会话请求,对目标终端50进行认证;以及当对目标终端50认证通过时,允许源终端40接入目标终端50。
所述源终端40,用于向AP60发送认证请求;以及当AP60认证通过时,向AP60发送和目标终端50进行会话的会话请求,以便AP60根据该会话请求对目标终端50进行认证,并在认证通过后允许所述源终端40接入目标终端50。
所述目标终端50,用于接收AP60发送的鉴别激活请求;以及根据所述鉴别激活请求发送认证请求,以便AP60对所述目标终端50进行认证,并在认证通过后允许源终端40接入所述目标终端50。
源终端40,其结构和工作原理同图7或图8之终端10;目标终端50,其结构和工作原理同图9或图10之终端20;AP60,其结构和工作原理同11之AP30;此处不再赘述。
本实施例中,通过对源终端40和目标终端50的双重认证,不仅可以保证接入过程中两个终端和AP60之间的身份安全性,而且还可以保证源终端40和被访问的目标终端50之间、AP60和终端之间会话的数据保密性,确保本地无线局域网的安全。
以上所述仅为本发明的优选实施例,并非因此限制本发明的专利范围,凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均同理包括在本发明的专利保护范围内。
Claims (10)
1.一种安全访问WAPI网络的方法,其特征在于,包括:
WAPI网络的无线访问节点AP根据源终端发送的认证请求,对源终端进行认证;
当认证通过时,所述源终端向AP发送和目标终端进行会话的会话请求;
AP根据所述会话请求,对目标终端进行认证;
当认证通过时,AP允许源终端接入目标终端。
2.如权利要求1所述的安全访问WAPI网络的方法,其特征在于,所述WAPI网络的AP根据源终端发送的认证请求,对源终端进行认证包括:
当源终端远程访问AP时,移动通讯网络的AAA服务器根据源终端发送的认证请求,对源终端进行认证;
当认证通过时,源终端向AAA服务器发送和AP进行会话的WLAN访问请求;
AAA服务器根据所述WLAN访问请求和源终端的WLAN访问权限,对AP进行认证;
当认证通过时,AAA服务器允许源终端接入AP。
3.如权利要求1或2所述的安全访问WAPI网络的方法,其特征在于,在执行所述AP允许源终端接入目标终端之后,还包括:
源终端和目标终端进行会话协商。
4.一种终端,其特征在于,包括:
认证请求模块,用于向WAPI网络的无线访问节点AP发送认证请求;
会话请求模块,用于当AP认证通过时,向AP发送和目标终端进行会话的会话请求,以便AP根据该会话请求对目标终端进行认证,并在认证通过后允许本端接入目标终端。
5.如权利要求4所述的终端,其特征在于,还包括:
会话协商模块,用于在AP允许本端接入目标终端之后,和目标终端进行会话协商。
6.一种终端,其特征在于,包括:
接收请求模块,用于接收WAPI网络的无线访问节点AP发送的鉴别激活请求;
发送模块,用于根据所述鉴别激活请求发送认证请求,以便AP对本端进行认证,并在认证通过后允许源终端接入本端。
7.如权利要求6所述的终端,其特征在于,还包括:
会话协商模块,用于在AP允许源终端接入本端之后,和源终端进行会话协商。
8.一种WAPI网络的无线访问节点AP,其特征在于,包括:
第一认证模块,用于根据源终端发送的认证请求,对源终端进行认证;
接收模块,用于对源终端认证通过后,接收源终端发送和目标终端进行会话的会话请求;
第二认证模块,用于根据所述会话请求,对目标终端进行认证;
接入模块,用于当认证通过时,允许源终端接入目标终端。
9.一种安全访问WAPI网络的系统,其特征在于,包括源终端、目标终端和WAPI网络的无线访问节点AP,其中,
所述AP,用于根据源终端发送的认证请求,对源终端进行认证;以及当对源终端认证通过后,接收源终端发送和目标终端进行会话的会话请求,根据所述会话请求,对目标终端进行认证;以及当对目标终端认证通过时,允许源终端接入目标终端。
所述源终端,用于向AP发送认证请求;以及当AP认证通过时,向AP发送和目标终端进行会话的会话请求,以便AP根据该会话请求对目标终端进行认证,并在认证通过后允许本端接入目标终端。
所述目标终端,用于接收AP发送的鉴别激活请求;以及根据所述鉴别激活请求发送认证请求,以便AP对本端进行认证,并在认证通过后允许源终端接入本端。
10.如权利要求9所述的一种安全访问WAPI网络的系统,其特征在于,所述源终端为权利要求4或5所述的终端,所述目标终端为权利要求6或7所述的终端,所述AP为权利要求8所述的AP。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2011100442906A CN102104872A (zh) | 2011-02-23 | 2011-02-23 | 安全访问wapi网络的方法、装置及系统 |
| PCT/CN2011/079469 WO2012113225A1 (zh) | 2011-02-23 | 2011-09-08 | 安全访问wapi网络的方法、装置及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2011100442906A CN102104872A (zh) | 2011-02-23 | 2011-02-23 | 安全访问wapi网络的方法、装置及系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN102104872A true CN102104872A (zh) | 2011-06-22 |
Family
ID=44157321
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2011100442906A Pending CN102104872A (zh) | 2011-02-23 | 2011-02-23 | 安全访问wapi网络的方法、装置及系统 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN102104872A (zh) |
| WO (1) | WO2012113225A1 (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2012113225A1 (zh) * | 2011-02-23 | 2012-08-30 | 中兴通讯股份有限公司 | 安全访问wapi网络的方法、装置及系统 |
| CN104243467A (zh) * | 2014-09-10 | 2014-12-24 | 珠海市君天电子科技有限公司 | 局域网终端的认证方法和装置 |
| CN108989270A (zh) * | 2017-06-02 | 2018-12-11 | 华为技术有限公司 | 认证方法、设备以及系统 |
| CN115604705A (zh) * | 2022-08-31 | 2023-01-13 | 云南电网有限责任公司(Cn) | 一种基于wapi技术的通信系统 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2003096554A2 (en) * | 2002-05-13 | 2003-11-20 | Thomson Licensing S.A. | Seamless public wireless local area network user authentication |
| CN101115003A (zh) * | 2006-05-05 | 2008-01-30 | 美国博通公司 | 支持传送带有媒体内容的数据包的通信设施及其方法 |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP4796754B2 (ja) * | 2004-06-15 | 2011-10-19 | 日本電気株式会社 | ネットワーク接続システムおよびネットワーク接続方法 |
| CN101217372B (zh) * | 2008-01-02 | 2011-06-15 | 刘小鹏 | 一种结合网络地址的身份交互认证系统及方法 |
| CN102104872A (zh) * | 2011-02-23 | 2011-06-22 | 中兴通讯股份有限公司 | 安全访问wapi网络的方法、装置及系统 |
-
2011
- 2011-02-23 CN CN2011100442906A patent/CN102104872A/zh active Pending
- 2011-09-08 WO PCT/CN2011/079469 patent/WO2012113225A1/zh active Application Filing
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2003096554A2 (en) * | 2002-05-13 | 2003-11-20 | Thomson Licensing S.A. | Seamless public wireless local area network user authentication |
| CN101115003A (zh) * | 2006-05-05 | 2008-01-30 | 美国博通公司 | 支持传送带有媒体内容的数据包的通信设施及其方法 |
Non-Patent Citations (1)
| Title |
|---|
| 厉丹,张永平,刘莘: "无线局域网中WAPI安全机制分析", 《计算机工程与设计》 * |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2012113225A1 (zh) * | 2011-02-23 | 2012-08-30 | 中兴通讯股份有限公司 | 安全访问wapi网络的方法、装置及系统 |
| CN104243467A (zh) * | 2014-09-10 | 2014-12-24 | 珠海市君天电子科技有限公司 | 局域网终端的认证方法和装置 |
| CN108989270A (zh) * | 2017-06-02 | 2018-12-11 | 华为技术有限公司 | 认证方法、设备以及系统 |
| CN115604705A (zh) * | 2022-08-31 | 2023-01-13 | 云南电网有限责任公司(Cn) | 一种基于wapi技术的通信系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2012113225A1 (zh) | 2012-08-30 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP3408988B1 (en) | Method and apparatus for network access | |
| CN107079007B (zh) | 用于基于证书的认证的方法、装置和计算机可读介质 | |
| CN101056177B (zh) | 基于无线局域网安全标准wapi的无线网状网重认证方法 | |
| CN101212297B (zh) | 基于web的wlan接入认证方法及系统 | |
| CN101500229B (zh) | 建立安全关联的方法和通信网络系统 | |
| CN106105134B (zh) | 用于改进端到端数据保护的方法和装置 | |
| CN103581184B (zh) | 移动终端访问企业内网服务器的方法和系统 | |
| CN102111766B (zh) | 网络接入方法、装置及系统 | |
| CN105027529B (zh) | 用于验证对网络资源的用户接入的方法和设备 | |
| US20110320802A1 (en) | Authentication method, key distribution method and authentication and key distribution method | |
| CN105101206A (zh) | 一种设备的wifi自动接入方法及系统 | |
| CN103596173A (zh) | 无线网络认证方法、客户端及服务端无线网络认证装置 | |
| KR20100085185A (ko) | 통신시스템을 위한 상호동작 기능 | |
| CN103609154A (zh) | 一种无线局域网接入鉴权方法、设备及系统 | |
| CN101867928A (zh) | 移动用户通过家庭基站接入核心网的认证方法 | |
| CN102223634A (zh) | 一种用户终端接入互联网方式的控制方法及装置 | |
| CN101420695B (zh) | 一种基于无线局域网的3g用户快速漫游认证方法 | |
| CN101969639B (zh) | 一种多级证书和多种认证模式混合共存接入认证方法和系统 | |
| CN107820242A (zh) | 一种认证机制的协商方法及装置 | |
| CN102104872A (zh) | 安全访问wapi网络的方法、装置及系统 | |
| CN107659935A (zh) | 一种认证方法、认证服务器、网管系统及认证系统 | |
| CN105873059A (zh) | 配电通信无线专网的联合身份认证方法和系统 | |
| CN107786978B (zh) | 基于量子加密的nfc认证系统 | |
| CN101877852B (zh) | 用户接入控制方法和系统 | |
| CN101436931A (zh) | 无线通信系统中提供安全通信的方法、系统、基站与中继站 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C12 | Rejection of a patent application after its publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20110622 |