WO2008080351A1 - Procédé d'exploitation de réseau local sans fil basé sur une infrastructure d'authentification et de confidentialité de wlan (wapi) - Google Patents

Description

一种基于 WAPI的无线局域网运营方法 本申请要求于 2006 年 12 月 29 日提交中国专利局、 申请号为 200610105376.4、 发明名称为"一种基于 WAPI 的无线局域网运营方法"的中 国专利申请的优先权， 其全部内容通过引用结合在本申请中。 技术领域

本发明涉及无线局域网领域， 尤其是一种基于无线局域网鉴别与保密 基础结构 WAPI的无线局域网运营方法。 背景技术

无线局域网 WLAN ( Wireless Local Area Network ) 以其构架的灵活性、 快捷性及可扩展性， 近几年发展迅速， 已经广泛应用于热点地区运营、 企 业、 行业和家庭领域。 移动运营商建设无线局域网的目的在于利用 WLAN 结合现有的移动网络和功能， 为用户提供更快捷更广泛的移动语音和数据 接入服务， 同时也作为有线数据接入的补充手段。 作为可运营的 WLAN不 再仅仅为用户提供简单的网络互连， 更重要的是实现电信级运营， 因此要 在基本架构的基础上添加计费、 网管、 认证等一系列功能， 必然要考虑用 户的访问控制方法和计费方式。

对于无线局域网来说， 安全至关重要， 已形成了无线局域网相关运营 标准体系。标准体系中包含了全新的无线局域网鉴别与保密基础结构 WAPI 由 无线局域网鉴别 WAI ( WLAN Authentication Infrastructure )和无线局域 网保密 WPI ( WLAN Privacy Infrastructure ) 两部分组成。

WAPI提供了基于证书和预共享密钥的认证及密钥协商方法，该方法可 以提供很高的安全性， 保证合法的用户接入合法的网络， 保护无线链路上 的数据安全。

当 WLAN在运营环境下应用时， 认证和计费有非常密切的关系。 计费 是在认证的基础上进行， 目前运营商们已经有各自成熟的认证计费方式， 但这些方式不能直接和相关标准的证书认证融合， 如何匹配这些成熟的认 证计费方式和相关的证书认证， 是 WLAN运营的关键问题之一。 目前的认证机制 （如 Radius )仅实现网络对用户的单向认证， 在认证 的基础上实现计费等功能， 该认证计费方式在链路比较安全的情况下是有 效的， 即在有线环境下比较适合。 但无线局域网链路由于其开放特征而非 常不安全， 这些认证计费方式直接应用在无线局域网中会出现较大的安全 问题。 发明内容

本发明提供一种支持目前使用的多种认证、 计费方法的基于 WAPI 的 无线局域网运营方法。

本发明提供一种基于 WAPI 的无线局域网运营方法， 包括帐户信息认 证步骤：

对移动终端的帐户信息进行认证；

服务器查询该用户是否已经通过了链路级双向认证， 如果已经通过， 根据帐户信息认证的结果给出移动终端鉴权信息， 以允许移动终端访问网 络； 如果未通过， 则不进行帐户信息认证， 并向移动终端返回帐户信息认 证失败信息。

在移动终端和无线接入点安装服务器颁发的证书， 在进行帐户信息认 证步骤之前， 该方法还包括所述链路级认证步骤：

当移动终端需要访问网络时， 移动终端关联至无线接入点， 建立链路 连接；

无线接入点向移动终端发送鉴别激活分组， 启动认证过程；

对移动终端和无线接入点的证书进行认证；

如果证书认证成功， 移动终端和无线接入点进行会话密钥协商， 无线 接入点向移动终端通告组播密钥， 以允许移动终端接入无线局域网。

或者， 在进行帐户信息认证步骤之前， 该方法还包括所述链路级认证 步骤：

移动终端和无线接入点设置相同的预共享密钥；

当移动终端需要访问网络时， 移动终端关联至无线接入点，

并在移动终端与所述无线接入点之间建立链路连接；

移动终端和无线接入点进行会话密钥协商， 无线接入点向移动终端通 告组播密钥， 以允许所述移动终端接入。

本发明在链路级认证过程可实现用户和网络之间双向身份鉴别， 又可 与原来的授权、 计费等管理系统兼容， 并且支持相关标准。

另外， 本发明在链路级认证过程釆用基于公钥密码体系的证书机制， 真正实现了移动终端 （MT, Mobile Terminal )与无线接入点 （AP, Access Point ) 间的双向认证， 完全满足运营商对安全接入的要求， 使得无线链路 的安全性得到保证； 而且， 在用户帐户信息认证阶段， 网络对移动终端的 用户身份进行进一步验证， 控制移动终端是否可以访问网络， 并根据认证 的结果控制访问网络以及对用户访问网络进行计费， 有效地保护后续的用 户帐户认证阶段的信息， 因此安全性高。 附图说明 图 1为本发明实施例中提供的无线局域网运营方法的流程图。 具体实施方式 为使本发明的原理、 特性和优点更加清楚， 下面结合具体实施例进行 描述。

本说明书中移动终端 MT为安装有无线网络适配器的终端。

无线接入点 AP为为移动终端提供网络接入服务的设备。

服务器 AS为提供身份鉴别服务和证书管理功能的网络实体。

认证步骤， 当本发明用于基于证书的 WAPI时， 其链路级认证步骤如下： 1 )在移动终端和无线接入点分别安装服务器颁发的证书；

2 ) 当移动终端需要访问网络时， 首先由移动终端关联至无线接入点， 建立链路连接；

3 )移动终端关联至无线接入点后， 无线接入点向移动终端发送鉴别激 活分组， 启动认证过程；

4 )根据相关操作流程通过服务器对移动终端和无线接入点的证书进行 认证， 具体如下：

4.1 )移动终端向无线接入点发送接入鉴别请求， 其中包含移动终端的 证书；

4.2 )无线接入点向服务器发送证书鉴别请求， 其中包含移动终端和无 线接入点的证书；

4.3 )服务器对移动终端和无线接入点的证书进行验证， 并向无线接入 点返回证书鉴别响应， 其中包含移动终端和无线接入点证书的鉴别结果；

4.4 )无线接入点根据服务器返回的移动终端证书鉴别结果确定是否允 许该移动终端接入， 并向移动终端发送接入鉴别响应；

4.5 )移动终端根据接入鉴别响应中服务器对无线接入点的证书鉴别结 果确定是否接入该无线接入点， 若是则进至步骤 5 ), 否则结束。

5 )如果证书认证成功， 移动终端和无线接入点进行会话密钥协商， 无 线接入点向移动终端通告组播密钥； 具体如下：

无线接入点向移动终端发送单播密钥协商请求， 其中包括形成会话密 钥的随记数据； 移动终端收到单播密钥协商请求后， 向无线接入点发送单 播密钥协商响应， 其中包括形成会话密钥的随记数据； 无线接入点收到单 播密钥协商响应后， 向移动终端发送单播密钥协商确认。

无线接入点向移动终端发送组播密钥通告， 其中包含用于组播数据加 密的密钥， 终端收到后向无线接入点发送组播密钥通告响应。

6 )无线接入点允许移动终端接入；

当本发明实施例釆用基于预共享密钥的 WAPI时， 其链路级认证步骤 如下：

1 )移动终端和无线接入点设置相同的预共享密钥；

2 ) 当移动终端需要访问网络时， 移动终端关联至无线接入点， 建立链路连接；

3 )终端关联至无线接入点后， 移动终端和无线接入点进行会话密钥协 商， 无线接入点向移动终端通告组播密钥；

4 )接入点允许移动终端接入。

无论是基于证书还是基于预共享密钥， 其帐户信息认证步骤如下：

21 )接入控制器对移动终端的帐户信息进行认证；

22 )服务器查询该用户是否已经通过了链路级双向认证， 如果已经通 过， 根据帐户信息认证的结果给出移动终端鉴权信息， 移动终端与网络进 行信息数据的交换， 即移动终端可以访问网络； 如果未通过， 则帐户信息 认证失败。

其中步骤 21 ) 中接入控制器对移动终端的帐户信息按如下步骤进行认 证：

当证书认证阶段完成， 用户浏览网络时， 系统自动弹出网页， 提示用 户输入用户名和密码， 服务器根据用户名和密码验证用户的身份， 并根据 认证结果控制网络的访问， 如果认证成功， 移动终端可访问网络。

步骤 21 中接入控制器对移动终端的帐户信息还可按如下步骤进行认 证：

当证书认证阶段完成， 移动终端利用用户识别模块（即 SIM卡） 中的 信息， 通过认证服务器与无线接入点进行身份认证和会话密钥协商， 并根 据认证结果控制网络的访问， 如果认证成功， 移动终端可以访问网络。

从上述实施例可以得知， 本发明在链路级认证过程可实现用户和网络 之间双向身份鉴别， 又可与原来的授权、 计费等管理系统兼容， 并且支持 相关标准。 另外， 本发明在链路级认证过程釆用基于公钥密码体系的证书机制， 真正实现了移动终端 MT与无线接入点 AP间的双向认证，完全满足运营商 对安全接入的要求， 使得无线链路的安全性得到保证； 而且， 在用户帐户 信息认证阶段， 网络对移动终端的用户身份进行进一步验证， 控制移动终 端是否可以访问网络， 并根据认证的结果控制访问网络以及对用户访问网 络进行计费， 有效地保护后续的用户帐户认证阶段的信息， 因此安全性高。 本领域技术人员可以理解， 上述实施例中的各步骤是可以通过程序来 指令相关硬件来实现， 所述程序可存储于计算机可读取存储介质中， 所述 存储介质， 如 ROM/RAM、 磁盘、 光碟等。 或者将它们分别制作成各个集 成电路模块， 或者将它们中的多个模块或步骤制作成单个集成电路模块来 实现。 这样， 本发明不限制于任何特定的硬件和软件结合。 上述实施例是用于说明和解释本发明的原理的。 可以理解， 本发明的 具体实施方式不限于此。 对于本领域技术人员而言， 在不脱离本发明的实 质和范围的前提下， 进行的各种变更和修改均涵盖在本发明的保护范围之 内。

Claims

权 利 要 求

1、 一种基于 WAPI的无线局域网运营方法， 其特征在于， 包括帐户信 息认证步骤：

对移动终端的帐户信息进行认证；

服务器查询该用户是否已经通过了链路级双向认证， 如果已经通过， 根据帐户信息认证的结果给出移动终端鉴权信息， 以允许移动终端访问网 络； 如果未通过， 则不进行帐户信息认证， 并向移动终端返回帐户信息认 证失败信息。

2、 根据权利要求 1所述基于 WAPI的无线局域网运营方法， 其特征在 于， 在移动终端和无线接入点安装服务器颁发的证书， 在进行帐户信息认 证步骤之前， 还包括所述链路级认证步骤：

当移动终端需要访问网络时， 移动终端关联至无线接入点， 建立链路 连接；

无线接入点向移动终端发送鉴别激活分组， 启动认证过程；

对移动终端和无线接入点的证书进行认证；

如果证书认证成功， 移动终端和无线接入点进行会话密钥协商， 无线 接入点向移动终端通告组播密钥， 以允许移动终端接入无线局域网。

3、 根据权利要求 1所述基于 WAPI的无线局域网运营方法， 其特征在 于， 在进行帐户信息认证步骤之前， 还包括链路级认证步骤：

移动终端和无线接入点设置相同的预共享密钥；

当移动终端需要访问网络时， 移动终端关联至无线接入点，

并在移动终端与所述无线接入点之间建立链路连接；

移动终端和无线接入点进行会话密钥协商， 无线接入点向移动终端通 告组播密钥， 以允许所述移动终端接入。

4、 根据权利要求 2所述基于 WAPI的无线局域网运营方法， 其特征在 于， 所述对移动终端和无线接入点的证书进行认证的具体步骤， 包括： 所述无线接入点向移动终端发送鉴别激活；

移动终端向无线接入点发送接入鉴别请求， 该接入鉴别请求携带有移 动终端的证书； 无线接入点向服务器发送证书鉴别请求， 该证书鉴别请求移动终端和 无线接入点的证书；

无线接入点接收服务器对移动终端和无线接入点的证书进行验证后返 回的证书鉴别响应， 其中包含移动终端和无线接入点证书的鉴别结果； 无线接入点根据服务器返回的移动终端证书鉴别结果确定是否允许该 移动终端接入， 并向移动终端发送接入鉴别响应， 以确定是否允许所述移 动终端接入；

若根据所述移动终端证书鉴别结果允许所述移动终端接入该无线接入 点， 则移动终端和无线接入点进行会话密钥协商， 无线接入点向移动终端 通告组播密钥， 以允许移动终端接入无线局域网； 否则结束。

5、 根据权利要求 1至 4中任一项所述基于 WAPI的无线局域网运营方 法， 其特征在于， 所述对移动终端的帐户信息进行认证的步骤， 包括： 当证书认证阶段完成， 提示用户输入用户名和密码， 服务器根据用户 名和密码验证用户的身份， 并根据认证结果控制网络的访问， 当验证通过 后， 允许移动终端访问网络。

6、 根据权利要求 1至 4中任一项所述基于 WAPI的无线局域网运营方 法， 其特征在于， 所述对移动终端的帐户信息进行认证的步骤， 包括： 当证书认证阶段完成， 移动终端利用用户识别模块 SIM卡中的信息， 通过认证服务器与无线接入点进行身份认证和会话密钥协商， 并根据认证 结果控制网络的访问， 如果认证成功， 则允许移动终端访问网络。