WO2010149118A1 - 无线局域网下实现终端与服务器鉴别的系统及方法和终端 - Google Patents

Abstract

本发明提供了一种无线局域网下实现终端与服务器鉴别的方法及系统和终端，其中，无线局域网下实现终端与服务器鉴别的方法包括：终端根据接入点广播的信标帧信息确定进行证书鉴别的方式，并根据确定的证书鉴别的方式完成与网络侧的鉴别。上述无线局域网下实现终端与服务器鉴别的方法及系统，通过在终端上新增接入安全控制模块，改造WAPI鉴别服务器，使得实现本发明方法的终端在没有部署WAPI接入点的无线局域网环境下，也能完成无线局域网内终端与网络间的、基于WAPI证书的互相鉴别。另外，实现本发明的终端仍可在WAPI无线环境下进行正常的WAPI接入鉴别流程。

Description

下 終端 各 別的 統及方法和終端

木領域

本 涉及 通信領域， 休涉及 下 終端 各 別的 統及方法和終端。 背景 木

力了解決 組 O) / 委 C) 8802-11中 的有 等 保密 W edEq vae vacy， P)安全 在的安全漏洞， 我 頒布了 及其第 修 羊，

保密 仰 A A he c o vacy as c , W )替代 P， 解決 的安全 。 W 由

仰 A A he c o as c e, WA)和 保密 仰 A vacy as c e， 1)組成。 WA 了公升 木， 于終端 接 魚 同的互相身份 1 管理委 亦公 室批准的 于 的 算法 ， 休接 控制( AC) 子 的 AC 各教 羊 ( acSe Ve a , ) 、

。 中介紹的 包括了 功能 休， 接 ( ， accesspo ) 是指任何 介 各 功能， 通 休 的 提供 分布 各的 休 者 休 (A ， e c o S pp c e y)是在接 各 前 操作的 休 休 ( ， e c o e y) 者在接 各 前提供 操作的 休。 休駐留在接 或 終端 各羊 A ， e c o Se Vce 的基本功能是 用戶 的管理和用戶身份的 等，是 于公升 木的WA

中重要的組成部分 各 休A ， e c o Se Vcee y) 器和 者提供身份 各的 休。 休駐留在 各羊 中， 各羊 中的 W 各 。 用戶 力公 升 ， 它是WA 統 中重要的林市。公升 是 用戶的 身份 ， 通 私有 可以唯 用戶的身份。 WA 中的功能 休 中的終端、接 和 各 ， 各 包含了 管理羊元和 各羊 。 于終端東說， 1 所示， 需要使用 WP 1保密 802.11 休 控制子 ( AC, edaAccessCo o )12的 AAC 分組( , AC ooco aa ) 和解 ， 另外， WA 令在 802．3 以太 居中 以太 上 ， 了新的 ， 要求在 中 除 此 外的其他以太 ， 意味看已支持802.11的終端 造以支持 WA , 802.11物理 14可以不做 ， 但在 AAC 上 增 P， 完成 算法和 的完整性 。 在 802．3 以太 上增 WA功能， 新的以太 ， 于W 1 的公升 保密 。

( A ， xe sbe A he c o ooco )是 于 的 接 控制 ， 已 和屯子工程 ( ) 802. x 。 A 不是 介特殊的 ， 而 視力 介 框架。 它 于

或 到 的連接中。 A 不 可以用于 ， 而且可以用于有 。 允許 接 出所希望的 ， 叫做 方法， 被 于802. x的 接 各 ( 802.1 b/g ， 接 ) ， A 可以提供 介安全 ， 在用戶和 接

各器 同提供 介可以安全 的方法。 多的

方法中， A -T ( - 居安全) 于 P ( P b c ey as c e ， 公升 ) 上的用戶公升 完成用戶和 的相互 ，被視力 A 最安全的方法 ， A -T 用的 ， 同 WA ， 遵循X．509 的 格式， 現有的 -T 流程 2所示。

通常情況下 中接 各器 同

服各 ( emoeA he ca o a se Se Vc , RA ) ， 其基 本特 是接 各作力RA 的客戶 ， 介RA 各 近可以作 力其他RA 各 的代理 各 。 RA 各器和接 各 同的 消息由 預先分配好的共享 部分信息的 。 RA 支持多 方法。 分組 分組有看相同的 ， A 通 A - 消息 ( essag )和 essage- ( hhe c o ) 在

打包下 終端到 各器 同的 交互， 而能 在 框架下 -T 方法完成基于公升 的 功能。 WA 已 作力 在 安全方面的強制 ， 要求各美元 各 支持W 1 。 最新的WA 內容看， 各 休和 管理功能 休在 各上是 的， 管理功能 休部署 管理 (CA, Ce Hc o A ho y)， 多 管理 居次 的公升 P ， 可以提供包含WA 各在內的多 于公升 別的 需求。 各 休則羊 部署 WA 各 。

WA 商用， 需要大規模部署 WA 接 和 各 ， 而 上 力主流的802． 和WPA安全 作力接 控制的元

， 同 也 大量存在 使用， 本或其他支持

接 能力的 各提供安全的元 。 802． 和

(W-F ) 的WPA ， 了 于 服各 和

的集中式 理方式 解決 中接 。 于

終端東說， 支持各 安全 ， 以 各美元 接 控制方法， 是非 常有必要的。 內容

本 要解決的 木 是提供 下 終端 各 別的 統及方法和終端， 可 終端在沒有部署WA 接 的元

下， 也 完成 內終端 同的、 于WA 的相互 。

了解決上 ， 本 提供了 下 終端 各 別的方法， 包括 終端 接 的信 信息 別的 方式， 的 別的方式完成 各 的 。

， 別的方式 保密 WA 方式或 - 居安全 ( A -T ) 方式。 ， 終端 的信 信息 別的方式 的步驟包括 占所迷信 信息包含WA 信息元素 ， 則 WA 方式 ， 迷信 信息未包含WA 信息元素 ， 則

A -T 方式 。

， 在 的 別的方式完成 各 的 別的步 驟中，

終端 -T 方式 ，且 終端

別的 各 了 服各 的WA 各 ， 終端及服各 WA 算法 接收的 行解 ， 的

。

， 在所 終端及 各 WA 算法 接收的 行 解 ， 的 密的步驟 前， 方法近包括

所迷接 將接收的終端 的 消息 封裝 RA 消息 送至 各 ， 消息的消息內容

息的消息內容 致 以及

接 將接收的 各 的 消息 封裝 A 消息 送至終端， A 消息的消息內容 消息的消息內容 致。

本 近提供 下 終端 各 別的 統， 包括 、 接 及服各 其中

終端 ， 接收接 的信 信息， 迷信 信 息判定 別的方式 以及 別的方式 接

各 完成

接 ， 向終端 信息 各 ， 通 接 終端完成 。

， 別的方式 保密 WA 方式或 - 居安全 ( A -T ) 方式。

， 終端包括接 安全控制 及802.11 休接 控制 AC 802.1 N C ， 將接收的信 信息 以太

送至接 安全控制

接 安全控制 ， 迷信 信息中是否包含 W 信息元素， 若 迷信 信息中包含W 信息元素， 則 W 方 式 ， 若 迷信 信息中未包含W 信息元素， 則

-T 方式 。

， 各 力配置了 服各 的 W 各

終端是 ，若 -T 方式 各

， 則 W 算法 接收的 行解 ， 以及 W 算法 的

各 是 ，若 接 安全控制 -T 方式 各 ， 則 W 算法 接收的 行解 ， 以 及 W 算法 的 。

， 接 近 ， 在 中， 將接收的終端 的 消息 封裝 消息 送至 各 ， 消息的消息內容 消息的消息內容 致 以及

將接收的 各 的 消息 封裝 消息 送至終 ， 消息的消息內容 消息的消息內容 致。

了解決上 ， 本 提供了 終端， 終端 ， 接收接 的信 信息， 迷信 信息判定 別的方式 ， 別的方式 保密 W 方式或 - 居安全 ( -T ) 方式。

， 終端包括接 安全控制 及802.11 休接 控制 C 802.1 N C ， 將接收的信 信息 以太 送至接 安全控制

接 安全控制 ， 迷信 信息中是否包含 WA 信息元素， 若 迷信 信息中包含WA 信息元素， 則 WA 方 式 ， 若 迷信 信息中未包含WA 信息元素， 則

EA -T 方式 。

， 終端是 ， 若 -T 方式 ， 且 終端 別的 各 了 服各

的W 1 各 ， 則 WA 算法 接收的 行解 ， 以及 WA 算法 的 。

上 ， 本 明通 在終端上新增接 安全控制 ， 造WA 各 ， 使得 本 方法的終端在沒有部署WA 接 的元

下， 也 完成 內終端 同的、 于WA 的互相 。 此 的終端仍可在W 1 下的 常的WA 接 流程。

1是現有W 1終端 示意

2是現有 A -T 流程

3是本 終端 示意

4是本 A -T 的方式 別的流程 。 本 的較佳 方式

以下結合 細說明方法的 休 。

本 提供 下 終端 各 別的 統， 包括 、 接 及服各

3所示， 終端包括接 安全控制 31、 管理 32 WA 33 WP 34、 以太 35 802.1 AC 36 及802.11物理 37 802.1 AC ，接收接 的信 信息 以太

送至接 安全控制 近 收到接 安全控制 A -T 方式 別的通 組建 送至接

接 安全控制 ， 接收的信 信息 是 WA

近是 E -T 方式 ， 即 信息包含 WA 信息元素 WA 方式 ， 否則 -T 方式 判定 WA 方式 ， 通 W 組建 信息， 且將 以太 ， 由以太 上 的 ， 將 滿足W 要求的以太 ， 直 WA 。

-T 方式 ，通 802.1 AC 組建 。 接 安全控制 近 ， 收到 包含T 各 (Se Ve ) 好 ( e )信息的 消息， 解析出 各 半信息， 通 管理 服各 是否由CA

接 安全控制 近 ， 通 WA WP 得到 介可

列表、 WA ， 使用用戶 結果 。 將上迷信 息打包作力上 封裝了 T Se Ve e o的 A 的 消息， 通 以 太 及 AC 送至接 。

管理 ， 管理用戶 和 ， 在WA 休 結 下的公 下， 完成 有效性 工作 管理用戶身份 ， 終端同 各 接 能力 身份 不 包含用戶 ， 也包括了 中可唯 用戶身份的 ， 通用移 通信 統 ( T ) /全球 統 (G ) 中的 功用戶 ( )或者用戶 功用戶綜合並各教 ( ) 。 本 于WA 的 ， 而不是 此 提到的用戶身份 的 。

管理 近 ， 收到 服各 的通 ， 通 向 CA 或 CA上周期性 撤銷列表， 判定服各 是否已 ， 將 結果 送至接 安全控制 。

WA ， 將組建的WA 別教 ， 通 以太 AC 按照WAP 要求， 算法 ( C A) -192， 算法(S A -256， 于X．509v3格式 的 和 功能。 以及 WP-分組 算法 (S ) 4 中的分組 算法 4, 在 分組連接 ( B ) - AC模式和 反 (OFB)模式下， 分別完成 完整性 算法工作和 算法工作。

接 ， 向終端 信息

接 近 ， 中， 將接收的終端 的 消息 封裝 RA4 消息 送至 各 ， RA 消息的消息內容

A 消息的消息內容 致 以及

將接收的 各 的RA 消息 封裝 A 消息 送至終 端， A 消息的消息內容 RA 消息的消息內容 致。

各 力配置了RA4 的WA 各 ，增 RA4 令接口， 非 WA 接 的接 各 近 接 終端完成 各 WA 算法 接收的 行解 ， 以 及 W 1算法 的 。

本 提供 下 終端 各 別的方法， 終端 方法不是 WA ， 本 將 A -T 方法 完成基于 WA 的 。 要求， A 消息即 A O 消息在 以太 封裝 ， 0X8 88，此 接 安全控制 將只 此 以太 。 休流程 4所示

以下 中的 各 力配置了 的WA 各

步驟401 終端 接 的信 信息 別的方式， 若判定 A -T 方式 則執行步驟402， 否則 WA 方 式 ， WA 的 方式同現有 木。

方式 別的方法力， 信息包含WA 信 息元素 WA 方式 ，否則 -T 方式

。

步驟402 終端向接 步驟403 接 收到 ， 接受 ， 向終端返 成功 步驟404 終端收到成功 ， 向接 A - ( )消息， 用以通 接 A

步驟405 接 收到 A O - 消息， 向終端 身份 ， 終端提供用戶

步驟 406 終端 其美 及支持的元 接"， 身份信息， 』 送至接 ， 身份信息。

身份信息可以是用戶的

步驟407 接 收到 消息 將 封裝 RA 消息， 各 ， RA 消息 是 、T 消息內容， 即接

方式。

步驟408 各 收到RA 消息 、T 的握手 ， 即 RA ， 封裝 A T S 消息。

步驟409接 將RA 消息 封裝 消息 送至終端， 消息中 、 ( yp )指示 A -T

步驟410 終端接收 、T S 消息 ， 按照 、T 要求組 建 ， 生成 介 生成此次T 的 ( )， 組建T c e he 消息， 封裝 消息， 打包 作力 -T 接

各 。

步驟411 各 收到EA -T 的用戶( e he 消息 ，按照 A -T 要求組建 T Se Ve he 握手信息， 消息包括 各 的 ， 即 WA 和 P 相 ， 介 ， 除了 se Ve he 握手消息 外，近生成 T Se Ve ( e fca )握手消息， 包括 各 的W 1公升 ， 和由其 的 ， 需要說明的是通常的 A -T 流程使用的是 算法R A算法， 本 明中 各 使用的是 算法。 了交 換 ， 近 生成 T Se Ve_ (key) 交換 ( xch ge)握手信息， 向 ， 生成ce fc e eq es )信息。 各 上上 各消息 A T 的 接 終端。 步驟412 終端收到 包含T Se Ve e 信息的 消息，解析 出 各 半信息， 通 向CA 或 CA上周期性 撤銷列表， 判定服各 是否已 。 終端利用 WA的 算法及 算 法， 使用 各 中的公升 消息中的 。

步驟 413 果 ， 則終端完成 各 的 。 終端生成 介可 算法列表、 W ， 使用用戶 結果 ， 將上迷信息打包作力上 封裝了 T Se Ve e o的 的 消息， 通 接 送至 各 。

步驟414 各 收到 -T 消息 ， 終端同 的方法 中的 ， 果 ， 則 各 完成 終端的 ， 則 T 完成 s e )消息。消息中 密密 ，終端接 安全控制 責 T (AC ) 消息， 至此 -T 握手 。

本 的 方法有別于W 中提到的三元安全 ， 去了接 的 立身份 。 本 明中終端和 各 利用教 相互 各 的 身份， 且利用了 完成 ， 接 只 作用， 即使 者 手段， 也 以截取 信息。 另外， 依然使用 W 的 算法， ，使用 - 4算法

， 在算法居 了 令及用戶 安全。

本 要求W 各 增 同 于用戶 ( P) 的 的支持， 即 終端接 的是普通的接 各

-T ， 各 的新增功能使得 各 以 Se Ve 方式 工作， 但 仍是W 各器中 各羊 提供。 此 功能 也使得W 各 可接受其他 Se Ve 于用戶

的 ， 可以提供 W 終端用戶的 、 、 ( ，A he ca o A ho za o Acco g)功能， 和目前 多 L (C A) 中 統融合。

本 近提供了 終端， 上 終端 ， 接收接 的信 信息， 上迷信 信息判定 別的方式 以及 上

別的方式 接 各 完成 。 其中， 上 別的方式可以 保密 WA 方式或 - 居安全 ( A -T ) 方式。

上 終端可以包括接 安全控制 及 802.11 休接 控制 AC 上 802.1 AC ， 將接收的信 信息 以太

送至接 安全控制

上 接 安全控制 ， 上迷信 信息中是否包含 WA 信息元素， 若上迷信 信息中包含WA 信息元素， 則 W 1方 式 ， 若上迷信 信息中未包含WA 信息元素， 則

-T 方式 。

，上 終端是 ，若上 接 安全控制 A -T 方式 ， 且 上 終端 別的 各 了

服各 的W 1 各 ， 則 WA 算法 接收的 行解 ， 以及 WA 算法 的 。

上 終端的功能 統 中終端的功能相同， 在此不 。

上 終端可以在WA 下的 常的WA 接 流程。 指令相 硬件完成， 程序可以存儲于 可 存儲 中， 只 存儲器、 或 等。 可 ， 上 的全部或部分步驟也可以使用 介或多 集成 。 相 ， 上 中的各 /羊 可以 硬件的形式 ， 也可以 軟件功能 的形式 。 本 不限制于任 何特定形式的硬件和軟件的結合。

用性

本 提供的元 下 終端 各 別的方法及 統， 通 在終端上新增接 安全控制 ， 造WA 各 ， 使得 本 方法的終端在沒有部署WA 接 的元 下， 也 完成

內終端 同的、 于WA 的互相 。 另外， 本 的 終端仍可在WA 下 常的WA 接 流程。

Claims

要 求

1、 下 終端 各 別的方法， 包括 終端 接 的信 信息 別的方式， 的 別的 方式完成 各 的 。

2、 要求1 的方法， 其中，

居安全 ( -T ) 方式。

3、 要求2 的方法， 其中，

終端 的信 信息 別的方式的步驟 迷信 信息包含W 信息元素 ， 則 W 方式 ， 迷信 信息未包含W 信息元素 ，則 -T 方式 。

4、 要求2 的方法， 其中， 在 的 別的方式完成 各 的 別的步驟中，

終端 -T 方式 ，且 終端

別的 各 了 服各 的W 各 ， 終端及服各 W 算法 接收的 行解 ， 的

。

5、 要求 4 的方法， 其中， 在所 終端及 各

W 算法 接收的 行解 ， 的 密的步驟 前， 方法近包括

所迷接 將接收的終端 的 消息 封裝 消息 送至 各 ， 消息的消息內容 消 息的消息內容 致 以及

接 將接收的 各 的 消息 封裝 消息 送至終端， 消息的消息內容 消息的消息內容 致。

6、 下 終端 各 別的 統， 包括終端、接 及服各 其中

終端 ， 接收接 的信 信息， 迷信 信 息判定 別的方式 以及 別的方式 接

各 完成

接 ， 向終端 信息 各 ， 通 接 終端完成 。

7、 要求6 的 統， 其中 居安全 ( -T ) 方式。

8、 要求7 的 統， 其中

終端包括接 安全控制 及802.11 休接 控制 C 802.1 N C ， 將接收的信 信息 以太 送至接 安全控制

接 安全控制 ， 迷信 信息中是否包含 W 信息元素， 若 迷信 信息中包含W 信息元素， 則 W 方 式 ， 若 迷信 信息中未包含W 信息元素， 則

-T 方式 。

9、 要求7 的 統， 其中

各 力配置了 服各RA 的W 各 終端是 ，若 -T 方式 各

， 則 WA 算法 接收的數 行解 ， 以及 WA 算法 的

各 是 ，若 接 安全控制 -T 方式 各 ， 則 W 算法 接收的 行解 ， 以 及 W 算法 的 。

10、 要求9 的 統， 其中

接 近 ， 在 將接收的終端 的 A 消息 封裝 RA 消息 送至 各 ， RA 消息的消息內容 A 消息的消息內容 致 以及

將接收的 各 的RA4 消息 封裝 A 消息 送至終 端， A 消息的消息內容 RA4 消息的消息內容 致。

11、 終端， 終端 ， 接收接 的信 信息， 迷信 信息判定 別的方式 以及 別的方式 接 各 完成 。

12、 要求11所述的終端， 其中 居安全 ( -T ) 方式。

13、 要求12所述的終端， 其中

終端包括接 安全控制 及802.11 休接 控制 C 802.1 N C ， 將接收的信 信息 以太 送至接 安全控制

接 安全控制 ， 迷信 信息中是否包含 W 信息元素， 若 迷信 信息中包含W 信息元素， 則 W 方 式 ， 若 迷信 信息中未包含W 信息元素， 則

-T 方式 。

14、 要求12所述的終端， 其中

所 終端是 ，若 接 安全控制 -T 方式 ， 且 終端 別的 各 了 服 各 的W 各 ， 則 W 算法 接收的 行解 ， 以及 W 算法 的 。