CN111669756B - 一种wapi网络中传递接入网络信息的系统及方法 - Google Patents

一种wapi网络中传递接入网络信息的系统及方法 Download PDF

Info

Publication number
CN111669756B
CN111669756B CN202010719935.0A CN202010719935A CN111669756B CN 111669756 B CN111669756 B CN 111669756B CN 202010719935 A CN202010719935 A CN 202010719935A CN 111669756 B CN111669756 B CN 111669756B
Authority
CN
China
Prior art keywords
information
wapi
access network
network
certificate authentication
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202010719935.0A
Other languages
English (en)
Other versions
CN111669756A (zh
Inventor
彭舜杰
俞晓民
唐元
蓝天宝
黄一霖
潘信宏
马晓燕
王力
张国翊
磨正坤
杨康萍
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Guangxi Power Grid Co Ltd
Original Assignee
Guangxi Power Grid Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Guangxi Power Grid Co Ltd filed Critical Guangxi Power Grid Co Ltd
Priority to CN202010719935.0A priority Critical patent/CN111669756B/zh
Publication of CN111669756A publication Critical patent/CN111669756A/zh
Application granted granted Critical
Publication of CN111669756B publication Critical patent/CN111669756B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/009Security arrangements; Authentication; Protecting privacy or anonymity specially adapted for networks, e.g. wireless sensor networks, ad-hoc networks, RFID networks or cloud networks
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D30/00Reducing energy consumption in communication networks
    • Y02D30/70Reducing energy consumption in communication networks in wireless communication networks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

本发明公开了一种WAPI网络中传递接入网络信息的系统及方法,包括无线接入点AP,除具备一般WAPI网络终端接入控制与通信功能外,还具有收集和传递接入网络信息的功能;证书鉴别服务器ASU,除具备一般WAPI网络证书鉴别功能外,还具有判断接入认证报文是否包括接入网络信息并根据这些信息进行安全策略检查的能力。本发明通过扩展WAPI认证请求信息,可以方便地实现由AP向证书鉴别服务单元传递接入网络的多项信息,从而证书鉴别服务器可以根据这些信息进行更多的安全策略检查,从而获得更充分的安全管控。同时,本发明所述方法不破坏现有WAPI认证的协议定义与过程,具有良好的协议兼容性。

Description

一种WAPI网络中传递接入网络信息的系统及方法
技术领域
本发明涉及一种网络系统,具体涉及一种WAPI网络中传递接入网络信息的系统及方法。
背景技术
WAPI(Wireless LAN Authentication and Privacy Infrastructure,无线局域网鉴别和保密基础结构)是针对IEEE802.11中有线等效保密协议安全问题,在中国无线局域网国家标准GB15629.11中规定的的WLAN安全解决方案。随着无线网络在包括家庭、办公、工业现场等领域的应用越来越多,对于高网络安全性安全的应用场合,WAPI技术也得到越来越多的应用。
WAPI采用三元认证技术,即在终端接入过程中,终端(ASUE)将终端的证书等信息发送给鉴别实体(AE)AP,AP将自己的证书和终端的证书一起发送给鉴别服务单元(ASU)进行证书认证,AP根据ASU证书鉴别的结果确定是否允许终端接入,终端根据ASU证书鉴别的结果确定是否接入AP进行通信。
在前述WAPI三元认证过程中,当前终端和AP只能向证书鉴别实体(ASU)传递证书信息。实际应用中,除了对终端(ASUE)的证书进行鉴别外,还可能需要对终端所接入的网络环境进行检查以实施相应的安全策略。这些网络环境信息,典型的比如接入网络的无线SSID,又如接入场所(地点、位置等)、网络状态(网络载荷、干扰状态、安全措施、网络安全态势等)等信息,具体信息与实际应用相关,包括但不限于前述信息。但现有WAPI认证体系统中,不支持包括此类信息,ASU无法实施接入网络环境相关的安全检查。
发明内容
针对上述缺陷,本发明的目的在于提供WAPI网络中一种传递接入网络信息的方法,为WAPI网络认证过程中传递更多网络信息提供了一种更加可行的方法。
本发明是通过以下技术方案来实现的:一种WAPI网络中传递接入网络信息的系统,包括无线接入点AP,除具备一般WAPI网络终端接入控制与通信功能外,还具有收集和传递接入网络信息的功能;
证书鉴别服务器ASU,除具备一般WAPI网络证书鉴别功能外,还具有判断接入认证报文是否包括接入网络信息并根据这些信息进行安全策略检查的能力。
一种WAPI网络中传递接入网络信息的方法,具有如下步骤:
终端关联AP后,AP收集所处接入网络相关的信息,在WAPI证书认证过程中,当AP向ASU发送证书鉴别请求报文时,在现有协议报文的尾部填入前述相关信息。
作为优选的技术方案,其中,相关信息,采用TLV格式编码,其中的信息类型(T)根据具体业务系统确定。
作为优选的技术方案,为了表明证书鉴别请求分组中包括有接入网络信息,在AP发给ASU的协议报文头部预留双字节中选择一个BIT置1。
作为优选的技术方案,鉴别服务单元ASU收到AP所发送的证书鉴别请求消息后,通过检查消息头部的前述WAI协议分组中的保留双字节相关BIT位是否是1;
若是1则表明消息中包括中STA接入网络环境信息,ASU可以基于这些信息进行安全策略检查。
本发明的有益效果是:本发明通过扩展WAPI认证请求信息,可以方便地实现由AP向证书鉴别服务单元传递接入网络的多项信息,从而证书鉴别服务器可以根据这些信息进行更多的安全策略检查,从而获得更充分的安全管控。同时,本发明所述方法不破坏现有WAPI认证的协议定义与过程,具有良好的协议兼容性。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明的标准的WAPI证书鉴别请求消息报文定义图;
图2为本发明的扩展后的WAPI证书鉴别请求消息报文定义图;
图3为本发明的WAPI消息报文头部定义图。
具体实施方式
本说明书中公开的所有特征,或公开的所有方法或过程中的步骤,除了互相排斥的特征和/或步骤以外,均可以以任何方式组合。
本说明书(包括任何附加权利要求、摘要和附图)中公开的任一特征,除非特别叙述,均可被其他等效或具有类似目的的替代特征加以替换。即,除非特别叙述,每个特征只是一系列等效或类似特征中的一个例子而已。
在本发明的描述中,需要理解的是,术语“一端”、“另一端”、“外侧”、“上”、“内侧”、“水平”、“同轴”、“中央”、“端部”、“长度”、“外端”等指示的方位或位置关系为基于附图所示的方位或位置关系,仅是为了便于描述本发明和简化描述,而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作,因此不能理解为对本发明的限制。
此外,在本发明的描述中,“多个”的含义是至少两个,例如两个,三个等,除非另有明确具体的限定。
本发明使用的例如“上”、“上方”、“下”、“下方”等表示空间相对位置的术语是出于便于说明的目的来描述如附图中所示的一个单元或特征相对于另一个单元或特征的关系。空间相对位置的术语可以旨在包括设备在使用或工作中除了图中所示方位以外的不同方位。例如,如果将图中的设备翻转,则被描述为位于其他单元或特征“下方”或“之下”的单元将位于其他单元或特征“上方”。因此,示例性术语“下方”可以囊括上方和下方这两种方位。设备可以以其他方式被定向(旋转90度或其他朝向),并相应地解释本文使用的与空间相关的描述语
在本发明中,除非另有明确的规定和限定,术语“设置”、“套接”、“连接”、“贯穿”、“插接”等术语应做广义理解,例如,可以是固定连接,也可以是可拆卸连接,或成一体;可以是机械连接,也可以是电连接;可以是直接相连,也可以通过中间媒介间接相连,可以是两个元件内部的连通或两个元件的相互作用关系,除非另有明确的限定。对于本领域的普通技术人员而言,可以根据具体情况理解上述术语在本发明中的具体含义。
本发明的一种WAPI网络中传递接入网络信息的系统,包括无线接入点AP,除具备一般WAPI网络终端接入控制与通信功能外,还具有收集和传递接入网络信息的功能;
证书鉴别服务器ASU,除具备一般WAPI网络证书鉴别功能外,还具有判断接入认证报文是否包括接入网络信息并根据这些信息进行安全策略检查的能力。
具有如下步骤:
终端关联AP后,AP收集所处接入网络相关的信息,在WAPI证书认证过程中,当AP向ASU发送证书鉴别请求报文时,在现有协议报文的尾部填入前述相关信息。
其中,相关信息,采用TLV格式编码,其中的信息类型(T)根据具体业务系统确定。
为了表明证书鉴别请求分组中包括有接入网络信息,在AP发给ASU的协议报文头部预留双字节中选择一个BIT置1,鉴别服务单元ASU收到AP所发送的证书鉴别请求消息后,通过检查消息头部的前述WAI协议分组中的保留双字节相关BIT位是否是1;
若是1则表明消息中包括中STA接入网络环境信息,ASU可以基于这些信息进行安全策略检查。
图1是标准的WAPI证书鉴别请求消息报文定义,在此报文定义的尾部增加接一或多项接入网络信息,图2是扩展后的WAPI证书鉴别请求消息报文定义。为了表征WAPI证书鉴别请求消息中包括中接入网络信息,在图3所示的WAPI消息报文头部定义的保留2字节中某一个BIT设置为1,如将第1个BIT设置为1。
本发明的有益效果是:本发明通过扩展WAPI认证请求信息,可以方便地实现由AP向证书鉴别服务单元传递接入网络的多项信息,从而证书鉴别服务器可以根据这些信息进行更多的安全策略检查,从而获得更充分的安全管控。同时,本发明所述方法不破坏现有WAPI认证的协议定义与过程,具有良好的协议兼容性。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何不经过创造性劳动想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应该以权利要求书所限定的保护范围为准。

Claims (1)

1.一种WAPI网络中传递接入网络信息的系统,其特征在于:包括无线接入点AP,除具备一般WAPI网络终端接入控制与通信功能外,还具有收集和传递接入网络信息的功能;
证书鉴别服务器ASU,除具备一般WAPI网络证书鉴别功能外,还具有判断接入认证报文是否包括接入网络信息并根据接入网络信息进行安全策略检查的能力;
具体步骤如下:
终端关联AP后,AP收集所处接入网络相关的信息,在WAPI证书认证过程中,当AP向ASU发送证书鉴别请求报文时,在现有协议报文的尾部填入所述接入网络的相关信息;
其中,相关信息,采用TLV格式编码,其中的信息类型(T)根据具体业务系统确定;
为了表明证书鉴别请求分组中包括有接入网络信息,在AP发给ASU的协议报文头部预留双字节中选择一个BIT置1;
鉴别服务单元ASU收到AP所发送的证书鉴别请求消息后,通过检查消息头部的WAI协议分组中的保留双字节相关BIT位是否是1;
若是1则表明消息中包括中STA接入网络环境信息,ASU可以基于接入网络环境信息进行安全策略检查。
CN202010719935.0A 2020-07-24 2020-07-24 一种wapi网络中传递接入网络信息的系统及方法 Active CN111669756B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010719935.0A CN111669756B (zh) 2020-07-24 2020-07-24 一种wapi网络中传递接入网络信息的系统及方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010719935.0A CN111669756B (zh) 2020-07-24 2020-07-24 一种wapi网络中传递接入网络信息的系统及方法

Publications (2)

Publication Number Publication Date
CN111669756A CN111669756A (zh) 2020-09-15
CN111669756B true CN111669756B (zh) 2023-07-04

Family

ID=72392209

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010719935.0A Active CN111669756B (zh) 2020-07-24 2020-07-24 一种wapi网络中传递接入网络信息的系统及方法

Country Status (1)

Country Link
CN (1) CN111669756B (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115604705A (zh) * 2022-08-31 2023-01-13 云南电网有限责任公司(Cn) 一种基于wapi技术的通信系统

Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1674497A (zh) * 2004-03-26 2005-09-28 华为技术有限公司 Wlan终端接入移动网络的认证方法
CN101123501A (zh) * 2006-08-08 2008-02-13 西安电子科技大学 一种wapi认证和密钥协商方法和系统
CN101478753A (zh) * 2009-01-16 2009-07-08 中兴通讯股份有限公司 Wapi终端接入ims网络的安全管理方法及系统
CN101527908A (zh) * 2009-04-08 2009-09-09 中兴通讯股份有限公司 一种无线局域网终端的预鉴别方法及无线局域网系统
CN101610515A (zh) * 2009-07-22 2009-12-23 中兴通讯股份有限公司 一种基于wapi的认证系统及方法
CN102131199A (zh) * 2011-03-21 2011-07-20 华为技术有限公司 一种wapi认证方法和接入点
CN101557588B (zh) * 2009-05-08 2011-10-26 中兴通讯股份有限公司 一种用户证书的管理及使用方法及移动终端
CN102487506A (zh) * 2009-10-21 2012-06-06 中国电信股份有限公司 一种基于wapi协议的接入认证方法、系统和服务器
CN105578464A (zh) * 2015-07-31 2016-05-11 宇龙计算机通信科技(深圳)有限公司 一种增强的wlan证书鉴别方法、装置及系统

Patent Citations (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1674497A (zh) * 2004-03-26 2005-09-28 华为技术有限公司 Wlan终端接入移动网络的认证方法
CN101123501A (zh) * 2006-08-08 2008-02-13 西安电子科技大学 一种wapi认证和密钥协商方法和系统
CN101478753A (zh) * 2009-01-16 2009-07-08 中兴通讯股份有限公司 Wapi终端接入ims网络的安全管理方法及系统
WO2010081313A1 (zh) * 2009-01-16 2010-07-22 中兴通讯股份有限公司 Wapi终端接入ims网络的安全管理方法及系统
CN101527908A (zh) * 2009-04-08 2009-09-09 中兴通讯股份有限公司 一种无线局域网终端的预鉴别方法及无线局域网系统
CN101557588B (zh) * 2009-05-08 2011-10-26 中兴通讯股份有限公司 一种用户证书的管理及使用方法及移动终端
CN101610515A (zh) * 2009-07-22 2009-12-23 中兴通讯股份有限公司 一种基于wapi的认证系统及方法
CN102487506A (zh) * 2009-10-21 2012-06-06 中国电信股份有限公司 一种基于wapi协议的接入认证方法、系统和服务器
CN102131199A (zh) * 2011-03-21 2011-07-20 华为技术有限公司 一种wapi认证方法和接入点
CN105578464A (zh) * 2015-07-31 2016-05-11 宇龙计算机通信科技(深圳)有限公司 一种增强的wlan证书鉴别方法、装置及系统

Non-Patent Citations (3)

* Cited by examiner, † Cited by third party
Title
WAPI证书鉴别与密钥管理协议;铁满霞等;《移动通信》;20060525(第05期);全文 *
基于国家标准GB15629.11的无线局域网鉴别技术;陈寿齐等;《无线通信技术》;20050530(第02期);全文 *
基于瘦AP架构实现WAPI;史扬等;《信息通信技术》;20090615(第03期);全文 *

Also Published As

Publication number Publication date
CN111669756A (zh) 2020-09-15

Similar Documents

Publication Publication Date Title
US10972970B2 (en) Method for capability negotiation and slice information mapping between network and terminal in 5G system
US9654907B2 (en) System, method and apparatus for wireless network connection using near field communication
US10057770B2 (en) Deauthenticate a client device during an association validation phase based on a plurality of capabilities associated with the client device
KR101146893B1 (ko) 터널 다이렉트 링크 설정 무선 네트워크에서의 다이렉트 링크 설정 절차 및 이를 지원하는 스테이션
ES2751167T3 (es) Mecanismo para posibilitar el descubrimiento de características de enlace/red en redes WLAN
US8908862B2 (en) Method, system, and devices for fast session transfer of wireless devices from one frequency band to another
TWI334715B (en) Native wi-fi architecture for 802.11 networks
EP2158731A2 (en) Scanning procedure in wireless lan, station supporting the same, and frame format therefor
CN102415072A (zh) 在无线网络环境中发现认证信息的方法和设备
KR20110003370A (ko) 터널 다이렉트 링크 설정 무선 네트워크에서의 다이렉트 링크 설정 절차 및 이를 지원하는 스테이션
WO2012083825A1 (zh) 物联网与电信网络融合的方法、系统及设备
EP2161962B1 (en) Ad-hoc connection in communications system
NO342167B1 (no) Autentisering i mobilsamvirkesystemer
CN102223634A (zh) 一种用户终端接入互联网方式的控制方法及装置
EP3314945B1 (en) Method for discovering handover capabilities of a mobile communication network, system for discovering handover capabilities of a mobile communication network, user equipment, program and computer program product
CN111669756B (zh) 一种wapi网络中传递接入网络信息的系统及方法
JPWO2006101048A1 (ja) 通信管理装置、通信制御装置および無線通信システム
US20200036715A1 (en) Mobile terminal, network node server, method and computer program
CN107277808B (zh) 一种无线终端使用独立动态密钥接入无线网络的方法
KR20170137347A (ko) 무선랜에서 동적 연결 변경 방법 및 장치
JP5175898B2 (ja) 無線通信装置、接続解除方法、およびプログラム
WO2022097614A1 (ja) 情報処理装置、及び、情報処理方法
KR20040045998A (ko) 무선랜 망간 시스템의 가입자 인증 제공 장치 및 방법
CN104661222A (zh) 新型扩展网络包传输的无线网络的接入设备控制装置
KR20030064100A (ko) 범용 컴퓨터장치를 이용한 무선랜 억세스 포인트 및 그구현 방법

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant