WO2010102497A1 - 一种基于wapi的漫游认证和业务鉴权方法 - Google Patents

Description

一种基于 WAPI的漫游认证和业务鉴权方法

本申请要求于 2009 年 3 月 11 日提交中国专利局、 申请号为 200910021603.9、 发明名称为"一种基于 WAPI的漫游认证和业务鉴权方法"的 中国专利申请的优先权， 其全部内容通过引用结合在本申请中。

技术领域

本发明涉及网络安全接入系统领域，尤其是一种基于 WAPI的漫游认证方 法和业务鉴权方法。

背景技术

IP 网络承载的业务种类日益繁多， 已介入到国民经济和社会生活的各个 层面， 特别是无线 IP网络通过无线电波传输数据， 更使网络物理的开放性达 到新的阶段， 由此， 安全接入问题成为网络安全运行的关键问题。

2003 年 5 月份我国颁布了无线局域网国家标准 GB15629.il 和 GB15629.1102, 这是我国在无线局域网领域首批颁布的标准。 2006 年， 无线 局域网国家标准第 1号修改单 GB 15629.11-2003/XG1-2006及其他相关子项标 准 GB15629.1101、 GB/T 15629.1103和 GB15629.1104也颁布实施， 初步形成 了无线局域网国家标准体系。 标准体系中包含了全新的 WAPI ( WLAN Authentication and Privacy Infrastructure )安全机制。

随着移动计算的业务需求发展， 用户漫游上网的需求日益增加。 WLAN 提供用户无线的方式接入网络，使用户不再受限于一根上网网线， 而是可以灵 活的移动， 满足了用户移动访问网络的需求。 当在运营环境下应用 WLAN时， 网络规模覆盖到全国各个地理区域，用户数量非常大，漫游的情况会频繁发生。 而在漫游的情况下， 如何解决认证问题是网络正常运行的关键。 WAPI提供了 基于证书和预共享密钥的安全机制， 其中证书机制适合于运营应用的环境， 然 而 WLAN国标中仅定义了 AS对证书认证的接口， 仍然没有如何实现证书漫 游认证的具体方法。

申请号 200810018166.0的专利公开了一种基于 WAPI的证书漫游认证方 法，该方法中终端在漫游时，由接入地鉴别服务器把证书发回归属地进行认证， 返回证书鉴别结果，接入地根据证书鉴别结果进行相应的接入控制。该方法中 接入地鉴别服务器未得到用户终端的业务授权信息，不能根据该信息进行下一 步的接入控制。

发明内容

本发明为解决背景技术中应用 WAPI安全机制时的证书漫游认证问题，而 提供一种高安全性、便捷性的基于 WAPI的漫游认证和业务鉴权方法，为安全、 可运营、 可管理 WAPI SOM网络（Secure, Operationable, Manageable WAPI network )解决方案提供了保障。

本发明的技术解决方案为：本发明为一种基于 WAPI的漫游认证和业务鉴 权方法， 其特殊之处在于： 该方法包括以下步骤：

终端和外网鉴别服务器所在网络的无线接入点启用 WAPI安全机制，终端 关联到无线接入点， 启动 WAPI鉴别过程；

所述终端接入的外网鉴别服务器接收到所述无线接入点的证书鉴别请求 分组， 若根据终端的证书信息判断该终端是漫游接入， 则根据终端信任的家网 鉴别服务器信息，若在本地的外网鉴别服务器信任列表中查找到该终端信任的 家网鉴别服务器， 则发送证书漫游鉴别请求分组到该家网鉴别服务器；

所述家网鉴别服务器在接收到所述证书漫游鉴别请求分组后，验证所述证 书漫游鉴别请求分组的消息鉴别字段， 若在验证成功， 则验证终端证书的合法 性， 若合法， 则查询本地保存的用户业务鉴权信息， 并向所述外网鉴别服务器 返回包括所述用户业务鉴权信息的证书漫游鉴别响应分组；

所述外网鉴别服务器在成功验证接收到的所述证书漫游鉴别响应分组后， 解析所述证书漫游鉴别响应分组， 并按照 WLAN国标的相关格式返回证书鉴 别响应分组给所述的无线接入点， 并在本地保存所述用户业务鉴权信息；

所述的无线接入点和终端根据返回的证书鉴别响应分组进行相应的接入 控制。

可选的， 所述方法还包括：

若在本地的外网鉴别服务器信任列表中未查找到终端信任的家网鉴别服 务器， 则发送证书漫游鉴别请求分组到上一级中心根鉴别服务器；

所述根鉴别服务器在接收到所述证书漫游鉴别请求分组后，验证所述证书 漫游鉴别请求分组的消息鉴别字段， 若验证成功， 则根据证书漫游鉴别请求分 组中的终端信任的鉴别服务器信息， 在本地存储的信任鉴别服务器列表查找， 若找到则构造消息鉴别字段并将所述证书漫游鉴别请求分组发送给终端信任 的家网鉴别服务器， 若找不到则将终端的证书鉴别结果设为颁发者不明确，返 回漫游证书鉴别响应分组。

所述家网鉴别服务器在接收到所述证书漫游鉴别请求分组后，验证所述证 书漫游鉴别请求分组的消息鉴别字段， 若在验证成功， 则验证终端证书的合法 性， 若合法， 则查询本地保存的用户业务鉴权信息， 并向所述根鉴别服务器返 回包括所述用户业务鉴权信息的证书漫游鉴别响应分组；

所述根鉴别服务器收到所述证书漫游鉴别响应分组后，验证所述证书漫游 鉴别响应分组的消息鉴别字段， 若验证成功， 则根据证书漫游鉴别响应中的接 入地的鉴别服务器信息， 重新构造证书漫游鉴别响应分组中的消息鉴别， 并将 所述重新构造的证书漫游鉴别响应分组转发给所述外网鉴别服务器；

所述外网鉴别服务器在成功验证接收到的重新构造的所述证书漫游鉴别 响应分组后， 则解析重新构造的所述证书漫游鉴别响应分组， 并按照 WLAN 国标的相关格式返回证书鉴别响应分组给所述的无线接入点，并在本地保存用 户终端的业务鉴权信息。

可选的， 所述方法还包括： 在所述的根鉴别服务器转发漫游鉴别请求分组 时，根据终端信任的鉴别服务器信息， 可能需要把漫游鉴别请求分组转发给另 一个根鉴别服务器，由另一个根鉴别服务器再转发给终端信任的归属地鉴别服 务器。相应的， 漫游证书鉴别响应分组也通过两个根鉴别服务器中转发送给接 入地鉴别服务器。

可选的， 所述方法还包括： 在所述外网鉴别服务器保存所述用户业务鉴权 信息后， 若接收到访问控制器的用户鉴权信息查询请求， 则把保存的用户鉴权 信息返回给访问控制器。

可选的， 所述用户业务鉴权信息包括终端类型； 所述证书漫游鉴别响应分 组还包括： 证书鉴别结果。

可选的， WAPI鉴别过程具体为： 按照 GB15629.il 系列国家标准中规定 的 WAPI鉴别流程执行。

本发明是在符合无线局域网国家标准的基础上， 提供了基于 WAPI证书 的漫游过程中的认证方法，为安全、可运营、可管理 WAPI SOM网络（ Secure, Operationable, Manageable WAPI network )解决方案提供了保障。

其具有以下优点：

1、 高安全性： 本发明完全基于无线局域网国家标准， 在漫游过程中依然 采用完全的双向认证，保障只有合法的用户才能接入合法的网络； 同时证书获 得后均通过签名验证， 保证了通过网络获取证书的安全性。

2、 便捷性： 用户漫游时， 无需到营业厅更换证书， 且无需用户的额外操 作， 即可实现无缝的无线网络漫游接入。

3、本发明的接入地鉴别服务器可以得到用户终端的业务授权信息， 能根 据该信息进行下一步的接入控制。

附图说明

图 1为本发明提供的一种基于 WAPI的漫游认证和业务鉴权方法的流程 图；

图 2为本发明提供的一种 WLAN运营应用网络拓朴图。

具体实施方式

请参阅图 1 , 为本发明提供的一种基于 WAPI的漫游认证和业务鉴权方法 的流程图， 所述方法包括：

步骤 101 : 终端和外网鉴别服务器所在网络的无线接入点启用 WAPI安全 机制， 终端关联到无线接入点， 启动 WAPI鉴别过程；

步骤 102: 所述终端接入的外网鉴别服务器接收到所述无线接入点的证书 鉴别请求分组， 若根据终端的证书信息判断该终端是漫游接入， 则根据终端证 书中的信任的家网鉴别服务器信息，若在本地的外网鉴别服务器信任列表中查 找到该终端信任的家网鉴别服务器，则发送证书漫游鉴别请求分组到该家网鉴 别服务器；

步骤 103: 所述家网鉴别服务器在接收到所述证书漫游鉴别请求分组后， 验证所述证书漫游鉴别请求分组的消息鉴别字段， 若在验证成功， 则验证终端 证书的合法性， 若合法， 则查询本地保存的用户业务鉴权信息， 并向所述外网 鉴别服务器返回包括所述用户业务鉴权信息的证书漫游鉴别响应分组；

步骤 104: 所述外网鉴别服务器在成功验证接收到的所述证书漫游鉴别响 应分组后， 解析所述证书漫游鉴别响应分组， 并按照 WLAN国标的相关格式 返回证书鉴别响应分组给所述的无线接入点，并在本地保存所述用户业务鉴权 信息；

步骤 105: 所述的无线接入点和终端根据返回的证书鉴别响应分组进行相 应的接入控制。

可选的， 所述方法还可以包括：

若在本地的外网鉴别服务器信任列表中未查找到终端信任的家网鉴别服 务器， 则发送证书漫游鉴别请求分组到上一级中心根鉴别服务器；

所述根鉴别服务器在接收到所述证书漫游鉴别请求分组后，验证所述证书 漫游鉴别请求分组的消息鉴别字段， 若验证成功， 则根据证书漫游鉴别请求分 组中的终端信任的鉴别服务器信息， 在本地存储的信任鉴别服务器列表查找， 若找到则构造消息鉴别字段并将所述证书漫游鉴别请求分组发送给终端信任 的家网鉴别服务器， 若找不到则将终端的证书鉴别结果设为颁发者不明确，返 回漫游证书鉴别响应分组。

所述家网鉴别服务器在接收到所述证书漫游鉴别请求分组后，验证所述证 书漫游鉴别请求分组的消息鉴别字段， 若在验证成功， 则验证终端证书的合法 性， 若合法， 则查询本地保存的用户业务鉴权信息， 并向所述根鉴别服务器返 回包括所述用户业务鉴权信息的证书漫游鉴别响应分组；

所述根鉴别服务器收到所述证书漫游鉴别响应分组后，验证所述证书漫游 鉴别响应分组的消息鉴别字段， 若验证成功， 则根据证书漫游鉴别响应中的接 入地的鉴别服务器信息， 重新构造证书漫游鉴别响应分组中的消息鉴别， 并将 所述重新构造的证书漫游鉴别响应分组转发给所述外网鉴别服务器；

所述外网鉴别服务器在成功验证接收到的重新构造的所述证书漫游鉴别 响应分组后， 则解析重新构造的所述证书漫游鉴别响应分组， 并按照 WLAN 国标的相关格式返回证书鉴别响应分组给所述的无线接入点，并在本地保存用 户终端的业务鉴权信息。

可选的， 所述方法还包括： 在所述的根鉴别服务器转发漫游鉴别请求分组 时，根据终端信任的鉴别服务器信息， 可能需要把漫游鉴别请求分组转发给另 一个根鉴别服务器，由另一个根鉴别服务器再转发给终端信任的归属地鉴别服 务器。相应的， 漫游证书鉴别响应分组也通过两个根鉴别服务器中转发送给接 入地鉴别服务器。

可选的， 所述方法还可以包括： 在所述外网鉴别服务器保存所述用户业务 鉴权信息后， 若接收到访问控制器的用户鉴权信息查询请求， 则把保存的用户 鉴权信息返回给访问控制器。

可选的， 在该实施例中， 所述用户业务鉴权信息可以包括终端类型； 所述 证书漫游鉴别响应分组除了包括用户业务鉴权信息外，还可以包括： 证书鉴别 结果， 但并不限于此， 也可以包括其他的信息或参数， 本实施例不作限制。

还请参阅图 2, 为本发明提供的一种 WLAN运营应用网络拓朴图， 在该 网络拓朴图中， 包括： 夕卜网、 家网、 公共网和运营商网络。 夕卜网、 家网和公共 网分别通过运营商网进行通信。 具体如图 2所示， 其中， 所述外网包括： 终端 STA (比如膝上型计算机等）， 无线接入点 （AP, Access Point ) 2, 访问控制 器， 比如， 鉴权中心 （AC, Authenticator Center ) /宽带接入服务器 (BAS), 远 程用户拨号认证系统（ RADIUS , RADIUS :Remote Authentication Dial In User Service ),外网鉴别服务器 F-AS;家网包括：终端 STA(比如膝上型计算机等）、 API , AC/BAS、 RADIUS, 家网鉴别服务器 H-AS, 公共网包括： 根鉴别服务 器 R-AS;

该网络拓朴图的具体实现过程为： 当终端 STA从家网到外网漫游时， 其 漫游认证和鉴权的具体过程如下：

1 )终端 STA和无线接入点启用 WAPI安全机制， 终端关联到无线接入点 AP2, 启动 WAPI鉴别过程；

2 )终端接入的外网鉴别服务器 F-AS接收到所述的无线接入点 AP2的证 书鉴别请求分组， 根据终端 STA的证书信息判断该终端 STA是本地接入还是 漫游接入， 若为本地接入， 则鉴别该终端 STA证书的合法性并返回证书鉴别 响应分组； 若为漫游接入， 则根据终端 STA证书中的信任的家网鉴别服务器 H-AS信息， 在本地的外网鉴别服务器 W-AS信任列表中查找该家网鉴别服务 器 H-AS, 若在信任列表中查到该家网鉴别服务器 H-AS, 则发送证书漫游鉴 别请求分组到该家网鉴别服务器 H-AS; 若在本地的信任列表中未查找到终端 STA信任的家网鉴别服务器 H-AS, 则发送证书漫游鉴别请求分组到上一级中 心根鉴别服务器 R-AS; 3 )所述家网鉴别服务器或根鉴别服务器接收到证书漫游鉴别请求分组后， 根据本地存储的策略验证该分组的消息鉴别字段， 若验证不通过则丟弃该分 组， 若接收鉴别服务器为家网鉴别服务器 H-AS, 则验证终端证书的合法性， 若验证结果为成功， 则查询本地保存的用户业务鉴权信息， 包括终端类型等由 证书鉴别结果和业务鉴权信息构造证书漫游鉴别响应分组，并返回证书漫游鉴 别响应分组； 若接收鉴别服务器为根鉴别服务器 R-AS, 则根据证书漫游鉴别 请求分组中终端信任的鉴别服务器 AS信息转发该证书漫游鉴别请求分组的证 书漫游鉴别请求分组给家网鉴别服务器 H-AS , 若找不到家网鉴别服务器 H-AS, 则设置终端的证书鉴别结果为颁发者不明确， 返回漫游证书鉴别响应 分组给接入地鉴别服务器 F-AS;

4 )所述根鉴别服务器 R-AS或外网鉴别服务器 F-AS接收到证书漫游鉴别 响应分组后，根据本地存储的策略验证该分组的消息鉴别字段， 若验证不通过 则丟弃该分组， 若接收鉴别服务器为根鉴别服务器 R-AS, 则根据证书漫游鉴 别响应中接入地的鉴别服务器信息 F-AS, 重新构造证书漫游鉴别响应分组中 的消息鉴别， 并转发重新构造的证书漫游鉴别响应分组发送给 F- AS; 若接收 鉴别服务器为外网鉴别服务器 F-AS, 则解析该分组， 并按照 WLAN国标的相 关格式返回证书鉴别响应分组给无线接入点 AP2,并在本地保存用户终端的业 务鉴权信息，若接收到访问控制器 AC/BAS的用户鉴权信息查询请求，则把保 存的用户鉴权信息返回给访问控制器 AC/BAS;

5 )所述的无线接入点 AP2和终端 STA根据返回的证书鉴别结果进行相应 的接入控制。

上述步骤 1 )和 5 ) 中的鉴别过程， 可以是按照 GB15629.il系列国家标 准中规定的 WAPI鉴别流程执行，也可以按照其他类似的国家标准中规定的鉴 别流程执行。

Claims

权 利 要 求

1、 一种基于 WAPI的漫游认证和业务鉴权方法， 其特征在于： 该方法 包括以下步骤：

终端和外网鉴别服务器所在网络的无线接入点启用 WAPI安全机制，终端 关联到无线接入点， 启动 WAPI鉴别过程；

所述终端接入的外网鉴别服务器接收到所述无线接入点的证书鉴别请求 分组， 若根据终端的证书信息判断该终端是漫游接入， 则根据终端证书中的信 任的家网鉴别服务器信息，若在本地的外网鉴别服务器信任列表中查找到该终 端信任的家网鉴别服务器， 则发送证书漫游鉴别请求分组到该家网鉴别服务 器；

所述家网鉴别服务器在接收到所述证书漫游鉴别请求分组后，验证所述证 书漫游鉴别请求分组的消息鉴别字段， 若在验证成功， 则验证终端证书的合法 性， 若合法， 则查询本地保存的用户业务鉴权信息， 并向所述外网鉴别服务器 返回包括所述用户业务鉴权信息的证书漫游鉴别响应分组；

所述外网鉴别服务器在成功验证接收到的所述证书漫游鉴别响应分组后， 解析所述证书漫游鉴别响应分组， 并按照 WLAN国标的相关格式返回证书鉴 别响应分组给所述的无线接入点， 并在本地保存所述用户业务鉴权信息； 所述的无线接入点和终端根据返回的证书鉴别响应分组进行相应的接入 控制。

2、 根据权利要求 1所述的基于 WAPI的漫游认证和业务鉴权方法， 其特 征在于： 所述方法还包括：

若在本地的外网鉴别服务器信任列表中未查找到终端信任的家网鉴别服 务器， 则发送证书漫游鉴别请求分组到上一级中心根鉴别服务器；

所述根鉴别服务器在接收到所述证书漫游鉴别请求分组后，验证所述证书 漫游鉴别请求分组的消息鉴别字段， 若验证成功， 则根据证书漫游鉴别请求分 组中的终端信任的鉴别服务器信息， 在本地存储的信任鉴别服务器列表查找， 若找到则构造消息鉴别字段并将所述证书漫游鉴别请求分组发送给终端信任 的家网鉴别服务器， 若找不到则将终端的证书鉴别结果设为颁发者不明确，返 回漫游证书鉴别响应分组； 所述家网鉴别服务器在接收到所述证书漫游鉴别请求分组后，验证所述证 书漫游鉴别请求分组的消息鉴别字段， 若在验证成功， 则验证终端证书的合法 性， 若合法， 则查询本地保存的用户业务鉴权信息， 并向所述根鉴别服务器返 回包括所述用户业务鉴权信息的证书漫游鉴别响应分组；

所述根鉴别服务器收到所述证书漫游鉴别响应分组后，验证所述证书漫游 鉴别响应分组的消息鉴别字段， 若验证成功， 则根据证书漫游鉴别响应中的接 入地的鉴别服务器信息， 重新构造证书漫游鉴别响应分组中的消息鉴别， 并将 所述重新构造的证书漫游鉴别响应分组转发给所述外网鉴别服务器；

所述外网鉴别服务器在成功验证接收到的重新构造的所述证书漫游鉴别 响应分组后， 则解析重新构造的所述证书漫游鉴别响应分组， 并按照 WLAN 国标的相关格式返回证书鉴别响应分组给所述的无线接入点，并在本地保存用 户终端的业务鉴权信息。

3、 根据权利要求 1或 2所述的基于 WAPI的漫游认证和业务鉴权方法， 其特征在于： 所述方法还包括：

在所述的根鉴别服务器转发漫游鉴别请求分组时， 根据终端信任的鉴别 服务器信息， 可能需要把漫游鉴别请求分组转发给另一个根鉴别服务器， 由另 一个根鉴别服务器再转发给终端信任的归属地鉴别服务器。相应的， 漫游证书 鉴别响应分组也通过两个根鉴别服务器中转发送给接入地鉴别服务器。

4、 根据权利要求 1或 2所述的基于 WAPI的漫游认证和业务鉴权方法， 其特征在于： 所述方法还包括：

在所述外网鉴别服务器保存所述用户业务鉴权信息后，若接收到访问控制 器的用户鉴权信息查询请求， 则把保存的用户鉴权信息返回给访问控制器。

5、 根据权利要求 1或 2所述的一种基于 WAPI的漫游认证和业务鉴权方 法， 其特征在于： 所述用户业务鉴权信息包括终端类型； 所述证书漫游鉴别响 应分组还包括： 证书鉴别结果。

6、 根据权利要求 1或 2所述的一种基于 WAPI的漫游认证和业务鉴权方 法， 其特征在于： 所述 WAPI鉴别过程具体为： 按照 GB15629.il系列国家标 准中规定的 WAPI鉴别流程执行。