WO2012113225A1

WO2012113225A1 - 安全访问wapi网络的方法、装置及系统

Info

Publication number: WO2012113225A1
Application number: PCT/CN2011/079469
Authority: WO
Inventors: 张嘉伟; 张小军
Original assignee: 中兴通讯股份有限公司
Priority date: 2011-02-23
Filing date: 2011-09-08
Publication date: 2012-08-30
Also published as: CN102104872A

Abstract

本发明揭示了一种安全访问WAPI网络的方法、装置及系统，可由WAPI网络的无线AP根据源终端发送的认证请求，对源终端进行认证；当认证通过时，所述源终端向AP发送和目标终端进行会话的会话请求；AP根据所述会话请求，对目标终端进行认证；当认证通过时，AP允许源终端接入目标终端。本发明提出的安全访问WAPI网络的方法、装置及系统，通过双重认证，提高WAPI网络访问的安全性。

Description

安全访问 WAPI网络的方法、装置及系统技术领域

本发明涉及到通信领域，特别涉及到一种安全访问 WAPK Wireless LAN Authentication and Privacy Infrastructure , 无线局域网鉴别和保密安全 )网络的方法、装置及系统。背景技术

无线局域网（WLAN )使用 WAPI协议，是采用无线传输媒体的计算机网络。由于无线局域网具有安装方便，灵活性好，经济节约和易于扩展等优点，最近几年其发展非常迅速，已经由最初的 802.11、 802.11b等协议发展到今天的 802.11η,传输速度可以达到 100M以上。随着技术不断成熟，产品成本不断下降，无线局域网的应用越来越多，范围越来越广，使广大人民享受到便捷、简单、方便的网络服务。特别是无线数字家庭网络，用户随时随地可以通过无线局域网访问互联网等资源。然而，无线局域网在给大家带来便利的同时，也存在安全缺陷，在现有技术中，无线局域网一般都没有采用任何信息安全保护措施，容易受到攻击。发明内容

本发明的主要目的为提供一种安全访问 WAPI 网络的方法、装置及系统，通过双重认证，提高 WAPI网络访问的安全性。

为了达到上述目的，本发明的技术方案是这样实现的：

一种安全访问 WAPI网络的方法，包括：

WAPI网络的无线 AP根据源终端发送的认证请求，对源终端进行认证；当认证通过时，所述源终端向 AP发送和目标终端进行会话的会话请求； AP根据所述会话请求，对目标终端进行认证；当认证通过时， AP允许源终端接入目标终端。

其中，所述 WAPI网络的 AP根据源终端发送的认证请求，对源终端进行认证的过程包括：

当源终端远程访问 AP时，移动通讯网络的 AAA服务器根据源终端发送的认证请求，对源终端进行认证；当认证通过时，源终端向 AAA服务器发送和 AP进行会话的 WLAN访问请求；

AAA服务器根据所述 WLAN访问请求和源终端的 WLAN访问权限，对 AP进行认证；当认证通过时， AAA服务器允许源终端接入 AP。

其中，在执行所述 AP允许源终端接入目标终端之后，所述方法还包括：源终端和目标终端进行会话协商。

一种终端，包括：

认证请求模块，用于向 WAPI网络的无线 AP发送认证请求；

会话请求模块，用于当 AP认证通过时，向 AP发送和目标终端进行会话的会话请求，以便 AP根据该会话请求对目标终端进行认证，并在认证通过后允许本端接入目标终端。

其中，该终端还包括：

会话协商模块，用于在 AP允许本端接入目标终端之后，和目标终端进行会话协商。

一种终端，包括：

接收请求模块，用于接收 WAPI网络的无线 AP发送的鉴别激活请求；发送模块，用于根据所述鉴别激活请求发送认证请求，以便 AP对本端进行认证，并在认证通过后允许源终端接入本端。

其中，还包括：

会话协商模块，用于在 AP允许源终端接入本端之后，和源终端进行会话协商。

一种 WAPI网络的无线 AP, 包括：

第一认证模块，用于根据源终端发送的认证请求，对源终端进行认证；接收模块，用于在所述第一认证模块对源终端认证通过后，接收源终端发送和目标终端进行会话的会话请求；

第二认证模块，用于根据所述会话请求，对目标终端进行认证；接入模块，用于在所述第二认证模块对目标终端认证通过时，允许源终端接入目标终端。

一种安全访问 WAPI网络的系统，包括源终端、目标终端和 WAPI网络的无线 AP, 其中，

所述 AP, 用于根据源终端发送的认证请求，对源终端进行认证；以及当对源终端认证通过后，接收源终端发送和目标终端进行会话的会话请求，根据所述会话请求，对目标终端进行认证；以及当对目标终端认证通过时，允许源终端接入目标终端；

所述源终端，用于向 AP发送认证请求；以及当 AP认证通过时，向 AP发送和目标终端进行会话的会话请求，以便 AP根据该会话请求对目标终端进行认证，并在认证通过后允许本端接入目标终端；

所述目标终端，用于接收 AP发送的鉴别激活请求；以及根据所述鉴别激活请求发送认证请求，以便 AP对本端进行认证，并在认证通过后允许源终端接入本端。

其中，所述源终端包括：

认证请求模块，用于向 WAPI网络的无线 AP发送认证请求；

会话请求模块，用于当 AP认证通过时，向 AP发送和目标终端进行会话的会话请求，以便 AP根据该会话请求对目标终端进行认证，并在认证通过后允许本端接入目标终端；或，所述源终端还包括：会话协商模块，用于在 AP允许本端接入目标终端之后，和目标终端进行会话协商；

所述目标终端包括：

接收请求模块，用于接收 WAPI网络的无线 AP发送的鉴别激活请求；发送模块，用于根据所述鉴别激活请求发送认证请求，以便 AP对本端进行认证，并在认证通过后允许源终端接入本端；或，

所述目标终端还包括：

会话协商模块，用于在 AP允许源终端接入本端之后，和源终端进行会话协商；

所述 AP包括：

本发明提出的一种安全访问 WAPI 网络的方法、装置及系统，通过对源终端和目标终端的双重认证，不仅可以保证接入过程中两个终端和无线访问节点（Access Point, AP )之间的身份安全性，而且还可以保证源终端和被访问的目标终端之间、 AP和终端之间会话的数据保密性，确保本地无线局域网的安全。附图说明

图 1为本发明实施例的流程示意图；

图 2为本发明实施例的系统架构图；

图 3为本发明实施例的信令示意图；图 4为本发明实施例中远程访问的流程示意图；

图 5为本发明实施例中远程访问的信令示意图；

图 6为本发明另一实施例的流程示意图；

图 7为本发明实施例的终端结构示意图；

图 8为本发明又一实施例的终端结构示意图；

图 9为本发明另一实施例的终端结构示意图；

图 10为本发明再一实施例的终端结构示意图；

图 11为本发明实施例的 AP结构示意图；

图 12为本发明实施例的安全访问 WAPI网络的系统结构示意图。具体实施方式

参照图 1至图 3,提出本发明安全访问 WAPI网络的方法实施例，包括： S10、 AP根据源终端发送的认证请求，对源终端进行认证；

本实施例中的无线局域网可以是无线家庭数字网络，即一般意义上的家庭网络，例如用户可以通过无线局域网操作和管理家电系统以及获取门窗煤气管道等的安全状态。图 2所示为整个无线局域网的结构，用户可使用计算机或手机等移动终端接入无线局域网，访问网络资源，即操作和管理本地网络的各节点。其中，网络中心包括 AP, 访问无线局域网的移动终端或者计算机以及无线局域网中的各节点均作为终端，这些元素组成了有结构的无线局域网。

当源终端访问无线局域网的目标终端时 ,源终端向 AP发送认证请求即接入鉴别请求，同时将自己的证书发送给 AP进行认证， AP对源终端的证书进行认证，具体可以通过与 AP连接的认证服务器 AS进行认证： AP将源终端的证书以及 AP自己的证书放入证书鉴别请求中，发送到 AS进行证书鉴别， AS首先鉴别 AP的证书是否有效，如果有效则继续验证源终端的证书。验证完毕后， AS将验证结果放入证书鉴别响应中，并将该证书鉴别响应发回至 AP。 AP通过证书鉴别响应中 AS的签名，得到对源终端的证书鉴别结果，根据该结果决定对源终端的认证是否通过，同时，将该证书鉴别响应发至源终端。源终端根据该证书鉴别响应决定是否接入 AP, 证书鉴别成功后，源终端和 AP之间进行会话密钥协商：首先由源终端在本地生成密钥参数放入密钥协商请求中，并将密钥协商请求发送至 AP, AP收到源终端发送的密钥协商请求，根据密钥协商请求中源终端的密钥参数，将本地生成的密钥参数放入密钥协商响应中反馈至源终端，源终端收到密钥协商响应后，根据其中 AP的密钥参数并结合源终端本地的密钥参数，生成会话密钥，该会话密钥仅适于源终端和 AP。

511、当认证通过时，所述源终端向 AP发送和目标终端进行会话的会话请求；

当 AP对源终端认证通过后，即源终端和 AP进行会话密钥协商后，源终端根据需要向 AP发送和目标终端例如无线局域网内的设备 (微波炉等 ) 进行会话的会话请求。

512、 AP根据所述会话请求，对目标终端进行认证；

AP根据源终端发送的会话请求，对目标终端进行认证，认证过程如下： Ap根据会话请求，向目标终端如微波炉发送鉴别激活请求，开启 AP对目标终端的认证，目标终端收到 AP发来的鉴别激活请求后，将自己的证书放入认证请求，发送到 AP, 由 AP对目标终端进行认证，该认证过程同 AP 对源终端的认证过程。

513、当认证通过时， AP允许源终端接入目标终端。

当 AP对目标终端认证通过后 , 此时源终端与 AP之间， AP与目标终端之间的安全链路已经建立。 AP允许源终端接入目标终端。

本实施例中，通过对源终端和目标终端的双重认证，不仅可以保证接入过程中两个终端和 AP之间的身份安全性，而且还可以保证源终端和被访问的目标终端之间、 AP和终端之间会话的数据保密性，确保本地无线局域网的安全。

参照图 4、图 5, 在安全访问 WAPI网络的方法实施例中，步驟 S10可包括：

步驟 S101、当源终端远程访问 AP时，移动通讯网络的 AAA服务器根据源终端发送的认证请求 , 对源终端进行认证；

当源终端远程访问 AP时，需要在 AP中嵌入移动通信网络模块如 3G 模块，通过该模块 AP可以接入移动通信网络。

源终端远程访问无线局域网，需要首先和无线局域网的 AP建立安全连接，即通过建立一条安全隧道，在该隧道下运行 WAPI协议，访问无线局域网中的目标终端。因此，远程访问无线局域网的重点在源终端和 AP之间安全隧道的建立过程，本文中以 3GPP EAP-AKA的安全协议进行隧道建立为例进行说明。具体步驟如下：

源终端通过本地的接入网访问移动通信网络，向核心网的 AAA服务器发送认证请求。

AAA服务器与 HLR进行交互，获取当前会话的认证向量。

AAA服务器根据此认证向量对源终端进行认证，并协商二者之间的会话密钥。认证通过后发送接入鉴别响应给源终端。此时，源终端和 AAA服务器建立了安全链路。

步驟 S102、当认证通过时，源终端向 AAA服务器发送和 AP进行会话的 WLAN访问请求；

认证通过后，源终端发送 WLAN访问请求给 AAA服务器，请求和无线局域网的 AP进行会话。

步驟 S 103、 AAA服务器根据所述 WLAN访问请求和源终端的 WLAN 访问权限，对 AP进行认证； AAA服务器将源终端的 IMSI发送至 HLR, 判断该源终端是否具有访问无线局域网的权限。如果源终端具有权限，则 AAA服务器直接从 HLR 处获得无线局域网 AP的认证向量。

AAA服务器根据获得的认证向量和 AP进行接入认证过程，同时协商二者之间的会话密钥，此时 AP和 AAA服务器之间建立了安全链路。

步驟 S104、当认证通过时， AAA服务器允许源终端接入 AP。

AAA服务器和 AP的认证成功后，将返回访问无线局域网的响应给源终端。此时，源终端和 AP之间已经通过移动通信网建立了一个安全隧道。源终端可以和 AAA服务器进行安全通信，而 AAA服务器和 AP之间可以进行安全通信，这样便以 AAA服务器为安全中转站构建了一条连接源终端和 AP的安全隧道。源终端通过该安全隧道，根据 WAPI协议对无线局域网进行接入和会话链路建立。

参照图 6, 提出本发明安全访问 WAPI网络的另一方法实施例，在执行前述的步驟 S13之后，还包括：

步驟 S14、源终端和目标终端进行会话协商。

当源终端与 AP, AP与目标终端的安全链路建立之后， AP向目标终端发送源终端的会话请求。

目标终端收到源终端的会话请求，需要协商二者之间进行会话的密钥。目标终端生成自己的密钥参数通过 AP转发至 AS。

AS经过 AP向源终端发送会话密钥协商请求，希望源终端提供相关的参数，同时将目标终端的密钥参数一起发送给源终端。

源终端生成自己的密钥参数，并以密文形式经由 AP发送给 AS。

AS验证该信息成功后，将源终端的密钥参数经由 AP发送至目标终端。源终端和目标终端在本地计算出会话密钥，并开始由源终端发起的会话。本实施例中，源终端和目标终端可直接通过会话密钥协商进行会话，避免了由 AP进行中转而导致的被监听，进一步提高了无线局域网访问的安全性。

参照图 7, 提出本发明终端的实施例，包括：

认证请求模块 11 , 用于向 AP发送认证请求；

会话请求模块 12, 用于当 AP认证通过时，向 AP发送和目标终端进行会话的会话请求，以便 AP根据该会话请求对目标终端进行认证，并在认证通过后允许本端接入目标终端。

当终端 10访问无线局域网的目标终端时，认证请求模块 11向 AP发送认证请求，同时将自己的证书发送给 AP进行认证， AP对终端 10的证书进行认证，具体可以通过与 AP连接的认证服务器 AS进行认证： AP将终端 10的证书以及 AP自己的证书放入证书鉴别请求中，发送到 AS进行证书鉴别， AS首先鉴别 AP的证书是否有效，如果有效则继续验证终端 10的证书。验证完毕后， AS将验证结果放入证书鉴别响应中，并将该证书鉴别响应发回至 AP。 AP通过证书鉴别响应中 AS的签名，得到对终端 10的证书鉴别结果，根据该结果决定对终端 10的认证是否通过，同时，将该证书鉴别响应发至终端 10。终端 10根据该证书鉴别响应决定是否接入 AP, 证书鉴别成功后，终端 10和 AP之间进行会话密钥协商：首先由终端 10在本地生成密钥参数放入密钥协商请求中，并将密钥协商请求发送至 AP, AP收到终端 10发送的密钥协商请求，根据密钥协商请求中终端 10的密钥参数，将本地生成的密钥参数放入密钥协商响应中反馈至终端 10,终端 10收到密钥协商响应后，根据其中 AP的密钥参数并结合终端 10本地的密钥参数，生成会话密钥，该会话密钥仅适于终端 10和 AP。

当 AP对终端 10认证通过后，即终端 10和 AP进行会话密钥协商后，会话请求模块 12根据需要向 AP发送和目标终端例如无线局域网内的设备 (微波炉等）进行会话的会话请求。

AP根据终端 10发送的会话请求，对目标终端进行认证，认证过程如下： Ap根据会话请求，向目标终端如微波炉发送鉴别激活请求，开启 AP 对目标终端的认证，目标终端收到 AP发来的鉴别激活请求后，将自己的证书放入认证请求，发送到 AP, 由 AP对目标终端进行认证，该认证过程同 AP对终端 10的认证过程。

当 AP对目标终端认证通过后，此时终端 10与 AP之间， AP与目标终端之间的安全链路已经建立。 AP允许终端 10接入目标终端。

本实施例中，通过对终端 10和目标终端的双重认证，不仅可以保证接入过程中两个终端和 AP之间的身份安全性，而且还可以保证终端 10和被访问的目标终端之间、 AP和终端之间会话的数据保密性，确保本地无线局域网的安全。

参照图 8 , 提出本发明终端的又一实施例，在针对图 7的实施例中，还可以包括：

会话协商模块 13, 用于在 AP允许本端接入目标终端之后，和目标终端进行会话协商。

当终端 10与 AP, AP与目标终端的安全链路建立之后， AP向目标终端发送终端 10的会话请求。目标终端收到终端 10的会话请求，需要协商二者之间进行会话的密钥。目标终端生成自己的密钥参数通过 AP转发至 AS。

AS经过 AP向终端 10发送会话密钥协商请求，希望终端 10提供相关的参数，同时将目标终端的密钥参数一起发送给终端 10。

会话协商模块 13生成自己的密钥参数，并以密文形式经由 AP发送给

AS。

AS险证该信息成功后，将终端 10的密钥参数经由 AP发送至目标终端。终端 10的会话协商模块 13和目标终端在本地计算出会话密钥，并开始由终端 10发起的会话。

本实施例中，终端 10和目标终端可直接通过会话密钥协商进行会话，避免了由 AP进行中转而导致的被监听，进一步提高了无线局域网访问的安全性。

参照图 9, 提出本发明终端的另一实施例，包括：

接收请求模块 21 , 用于接收 AP发送的鉴别激活请求；

发送模块 22, 用于根据所述鉴别激活请求发送认证请求，以便 AP对本端进行认证，并在认证通过后允许源终端接入本端。

当源终端访问无线局域网的终端 20时，源终端向 AP发送认证请求，同时将自己的证书发送给 AP进行认证， AP对源终端的证书进行认证，具体可以通过与 AP连接的认证服务器 AS进行认证： AP将源终端的证书以及 AP自己的证书放入证书鉴别请求中，发送到 AS进行证书鉴别， AS首先鉴别 AP的证书是否有效，如果有效则继续验证源终端的证书。验证完毕后， AS将验证结果放入证书鉴别响应中，并将该证书鉴别响应发回至 AP。 AP通过证书鉴别响应中 AS的签名，得到对源终端的证书鉴别结果，根据该结果决定对源终端的认证是否通过，同时，将该证书鉴别响应发至源终端。源终端根据该证书鉴别响应决定是否接入 AP, 证书鉴别成功后，源终端和 AP之间进行会话密钥协商：首先由源终端在本地生成密钥参数放入密钥协商请求中，并将密钥协商请求发送至 AP, AP收到源终端发送的密钥协商请求，根据密钥协商请求中源终端的密钥参数，将本地生成的密钥参数放入密钥协商响应中反馈至源终端，源终端收到密钥协商响应后，根据其中 AP的密钥参数并结合源终端本地的密钥参数，生成会话密钥，该会话密钥仅适于源终端和 AP。

当 AP对源终端认证通过后，即源终端和 AP进行会话密钥协商后，源终端根据需要向 AP发送和终端 20例如无线局域网内的设备 (微波炉等 ) 进行会话的会话请求。

AP根据源终端发送的会话请求，对终端 20进行认证，认证过程如下： Ap根据会话请求，向终端 20如微波炉发送鉴别激活请求，开启 AP对终端 20的认证，终端 20的接收请求模块 21收到 AP发来的鉴别激活请求后，将自己的证书放入认证请求，发送模块 22该认证请求发送到 AP, 由 AP 对终端 20进行认证 , 该认证过程同 AP对源终端的认证过程。

当 AP对终端 20认证通过后，此时源终端与 AP之间， AP与终端 20 之间的安全链路已经建立。 AP允许源终端接入终端 20。

本实施例中，通过对源终端和终端 20的双重认证，不仅可以保证接入过程中两个终端和 AP之间的身份安全性，而且还可以保证源终端和被访问的目标终端之间、 AP和终端之间会话的数据保密性，确保本地无线局域网的安全。

参照图 10, 提出本发明终端的再一实施例，在针对图 9的实施例中，还可以包括：

会话协商模块 23 , 用于在 AP允许源终端接入本端之后，和源终端进行会话协商。

当源终端与 AP, AP与终端 20的安全链路建立之后， AP向终端 20发送源终端的会话请求。

终端 20收到源终端的会话请求，会话协商模块 23和源终端协商二者之间进行会话的密钥。会话协商模块 23生成自己的密钥参数通过 AP转发至 AS。

AS经过 AP向源终端发送会话密钥协商请求，希望源终端提供相关的参数，同时将终端 20的密钥参数一起发送给源终端。

AS 3 证该信息成功后，将源终端的密钥参数经由 AP发送至终端 20。源终端和终端 20在本地计算出会话密钥 ,并开始由源终端发起的会话。本实施例中，源终端和终端 20可直接通过会话密钥协商进行会话，避免了由 AP进行中转而导致的被监听，进一步提高了无线局域网访问的安全性。

参照图 11 , 提出本发明 AP的实施例，包括：

第一认证模块 31 , 用于根据源终端发送的认证请求，对源终端进行认证；

接收模块 32, 用于对源终端认证通过后，接收源终端发送和目标终端进行会话的会话请求；

第二认证模块 33 , 用于根据所述会话请求，对目标终端进行认证；接入模块 34, 用于当认证通过时，允许源终端接入目标终端。

本实施例中的无线局域网可以是无线家庭数字网络，即一般意义上的家庭网络，例如用户可以通过无线局域网操作和管理家电系统以及获取门窗煤气管道等的安全状态。图 2所示为整个无线局域网的结构，用户可使用计算机或手机等移动终端接入无线局域网，访问网络资源，即操作和管理本地网络的各节点。其中，网络中心包括 AP30, 访问无线局域网的移动终端或者计算机以及无线局域网中的各节点均作为终端，这些元素组成了有结构的无线局域网。

当源终端访问无线局域网的目标终端时，源终端向 AP30发送认证请求，同时将自己的证书发送给 AP30进行认证，第一认证模块 31对源终端的证书进行认证，具体可以通过与 AP30连接的认证服务器 AS进行认证： AP30将源终端的证书以及 AP30自己的证书放入证书鉴别请求中，发送到 AS进行证书鉴别， AS首先鉴别 AP30的证书是否有效，如果有效则继续验证源终端的证书。验证完毕后， AS将验证结果放入证书鉴别响应中，并将该证书鉴别响应发回至 AP30。 AP30通过证书鉴别响应中 AS的签名，得到对源终端的证书鉴别结果，根据该结果决定对源终端的认证是否通过，同时，将该证书鉴别响应发至源终端。源终端根据该证书鉴别响应决定是否接入 AP30, 证书鉴别成功后，源终端和 AP30之间进行会话密钥协商：首先由源终端在本地生成密钥参数放入密钥协商请求中，并将密钥协商请求发送至 AP30, AP30收到源终端发送的密钥协商请求，根据密钥协商请求中源终端的密钥参数，将本地生成的密钥参数放入密钥协商响应中反馈至源终端，源终端收到密钥协商响应后，根据其中 AP30的密钥参数并结合源终端本地的密钥参数，生成会话密钥，该会话密钥仅适于源终端和 AP30。

当 AP30对源终端认证通过后，即源终端和 AP30进行会话密钥协商后，源终端根据需要向 AP30发送和目标终端例如无线局域网内的设备（微波炉等）进行会话的会话请求。

接收模块 32接收源终端发送的会话请求，第二认证模块 33根据该会话请求对目标终端进行认证，认证过程如下：第二认证模块 33根据会话请求，向目标终端如微波炉发送鉴别激活请求，开启 AP30对目标终端的认证，目标终端收到第二认证模块 33发来的鉴别激活请求后，将自己的证书放入认证请求，发送到第二认证模块 33 , 由第二认证模块 33对目标终端进行认证，该认证过程同 AP30对源终端的认证过程。

当第二认证模块 33对目标终端认证通过后，此时源终端与 AP30之间， AP30与目标终端之间的安全链路已经建立。接入模块 34允许源终端接入目标终端。

本实施例中，通过对源终端和目标终端的双重认证，不仅可以保证接入过程中两个终端和 AP30之间的身份安全性，而且还可以保证源终端和被访问的目标终端之间、 AP30和终端之间会话的数据保密性，确保本地无线局域网的安全。

参照图 12, 提出本发明安全访问 WAPI网络的系统实施例，包括源终端 40、目标终端 50和 AP60, 其中，

所述 AP60, 用于根据源终端 40发送的认证请求，对源终端 40进行认证；以及当对源终端 40认证通过后，接收源终端 40发送和目标终端 50进行会话的会话请求，根据所述会话请求，对目标终端 50进行认证；以及当对目标终端 50认证通过时，允许源终端 40接入目标终端 50。

所述源终端 40,用于向 AP60发送认证请求；以及当 AP60认证通过时，向 AP60发送和目标终端 50进行会话的会话请求，以便 AP60根据该会话请求对目标终端 50进行认证，并在认证通过后允许所述源终端 40接入目标终端 50。

所述目标终端 50, 用于接收 AP60发送的鉴别激活请求；以及根据所述鉴别激活请求发送认证请求，以便 AP60对所述目标终端 50进行认证，并在认证通过后允许源终端 40接入所述目标终端 50。

源终端 40, 其结构和工作原理同图 7或图 8之终端 10; 目标终端 50, 其结构和工作原理同图 9或图 10之终端 20; AP60, 其结构和工作原理同 11之 AP30; 此处不再赘述。

本实施例中，通过对源终端 40和目标终端 50的双重认证，不仅可以保证接入过程中两个终端和 AP60之间的身份安全性，而且还可以保证源终端 40和被访问的目标终端 50之间、 AP60和终端之间会话的数据保密性，确保本地无线局域网的安全。

以上所述仅为本发明的优选实施例，并非因此限制本发明的专利范围 , 凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换，或直接或间接运用在其他相关的技术领域，均同理包括在本发明的专利保护范围内。

Claims

1、一种安全访问无线局域网鉴别和保密安全 WAPI网络的方法，包括： WAPI网络的无线访问节点 AP根据源终端发送的认证请求，对源终端进行认证；当认证通过时，所述源终端向 AP发送和目标终端进行会话的会话请求；

AP根据所述会话请求，对目标终端进行认证；当认证通过时， AP允许源终端接入目标终端。

2、如权利要求 1所述的方法，其中，所述 WAPI网络的 AP根据源终端发送的认证请求 , 对源终端进行认证的过程包括：

当源终端远程访问 AP时，移动通讯网络的 AAA服务器根据源终端发送的认证请求，对源终端进行认证；当认证通过时，源终端向 AAA服务器发送和 AP进行会话的无线局域网 WLAN访问请求；

3、如权利要求 1或 2所述的方法，其中，在执行所述 AP允许源终端接入目标终端之后，所述方法还包括：

源终端和目标终端进行会话协商。

4、一种终端，包括：

认证请求模块，用于向 WAPI网络的无线 AP发送认证请求；

5、如权利要求 4所述的终端，其中，该终端还包括：

6、一种终端，包括：

7、如权利要求 6所述的终端，其中，还包括：

8、一种 WAPI网络的无线 AP, 包括：

9、一种安全访问 WAPI网络的系统 , 包括源终端、目标终端和 WAPI 网络的无线 AP, 其中，

10、如权利要求 9所述的系统，其中，

所述源终端包括：

认证请求模块，用于向 WAPI网络的无线 AP发送认证请求；

会话请求模块，用于当 AP认证通过时，向 AP发送和目标终端进行会话的会话请求，以便 AP根据该会话请求对目标终端进行认证，并在认证通过后允许本端接入目标终端；或，

所述源终端还包括：会话协商模块，用于在 AP允许本端接入目标终端之后，和目标终端进行会话协商；

所述目标终端包括：

所述目标终端还包括：

所述 AP包括：