国产精品1024永久观看,大尺度欧美暖暖视频在线观看,亚洲宅男精品一区在线观看,欧美日韩一区二区三区视频,2021中文字幕在线观看 

  • 

    • <option id="fbvk0"></option>
    1. <rt id="fbvk0"><tr id="fbvk0"></tr></rt>

      <center id="fbvk0"><optgroup id="fbvk0"></optgroup></center>
      <center id="fbvk0"></center>
      <li id="fbvk0"><abbr id="fbvk0"><dl id="fbvk0"></dl></abbr></li>
      




      
      
      
          
      
            
      
                
      
                    
      
                        
      
                            
      
                                一種基于wapi協(xié)議的接入認證方法、系統(tǒng)和服務器的制作方法
                            
      
                            
      文檔序號:7714536閱讀:129來源:國知局
      
                            
                        
      
                        
      
                        
      
                            專利名稱:一種基于wapi協(xié)議的接入認證方法、系統(tǒng)和服務器的制作方法
      
技術領域
      本發(fā)明涉及WLAN(Wireless Local Access Network,無線局域網(wǎng))接入技術領域,
      
WAPI (WLAN Authenticationand Privacy Infrastructure, ^^]  N 鑒別和保密基礎結構)協(xié)議的接入認證方法、系統(tǒng)和RADIUS (Remote Authentication Dial In herkrvice,遠程用戶撥號認證服務)服務器。
      
背景技術
      WAPI 是 WAI (WLAN Authentication hfrastructure,無線局域網(wǎng)鑒別基礎結構) 和WPI(WLAN Privacy hfrastructure,無線局域網(wǎng)保密基礎結構)兩個協(xié)議統(tǒng)稱,是我國無線局域網(wǎng)國家標準GB15629. 11-2003提出的實現(xiàn)無線局域網(wǎng)安全的協(xié)議。WAPI采用國家密碼管理委員會辦公室批準的公鑰密碼體制的橢圓曲線密碼算法和對稱密碼體制的分組密碼算法,分別用于WLAN設備的數(shù)字證書、證書鑒別、密鑰協(xié)商和傳輸數(shù)據(jù)的加解密,從而實現(xiàn)設備的身份鑒別、鏈路驗證、訪問控制和用戶信息在無線傳輸狀態(tài)下的加密保護。其中WAI協(xié)議解決無線局域網(wǎng)中的身份識別問題,WPI協(xié)議解決無線局域網(wǎng)中信息的保密傳輸問題。WAI協(xié)議中利用ECC(Elliptic Curve Cryptography,橢圓曲線密碼體制)的數(shù)字簽名功能(EOTSA)解決了身份認證問題。WAI協(xié)議是WAPI協(xié)議中最重要和最基礎的部分,只有實現(xiàn)了身份的認證才可以進行數(shù)據(jù)的傳輸。WAI用ECC技術實現(xiàn)了身份的雙向認證問題,即用戶終端對WLAN接入設備的認證,和WLAN接入設備對用戶終端的認證,只有這兩個認證都通過了,即用戶終端確認 WLAN接入設備為合法接入點和WLAN接入設備確認用戶終端為合法用戶終端后雙方才可以進行通信。要進行認證必須經(jīng)過可信的第三方-ASU(Authenticatic)n Service Unit,鑒別服務單元)才可以實現(xiàn)。在WAPI協(xié)議中,用戶終端和WLAN接入設備之間必須相互認證才能完成接入過程, 而這個認證過程必須通過證書認證實現(xiàn),因此,需要部署單獨的ASU服務器(通常稱為AS), 來完成用戶終端對WLAN接入設備的證書認證和WLAN接入設備對用戶終端的證書認證。圖 1是現(xiàn)有技術的WAPI認證架構圖,其中示出了用戶終端11、WLAN接入設備12和AS (省級AS 13和集團AS 14)三者的關系。此外,從圖1中可以看出,現(xiàn)有技術中需要同時部署RADIUS 服務器15和AS服務器。在WLAN接入設備和AS交互過程中,WAI協(xié)議報文是直接封裝在 UDP協(xié)議基礎的,服務器的端口號是3810。但是,WAI協(xié)議報文使用UDP協(xié)議進行傳輸封裝,自己定義了一套鑒別控制協(xié)議, 和現(xiàn)有的RADIUS協(xié)議并不兼容。而現(xiàn)有的運營網(wǎng)絡中,絕大多數(shù)網(wǎng)絡中的用戶認證是通過八4々仏11讓6肽化3衍011、411讓01^23衍011、4(^01111衍1^,鑒權、授權、計費)/1^01舊服務器來實現(xiàn)的,這就造成了和現(xiàn)有的網(wǎng)絡融合存在比較大的困難。此外,WAI協(xié)議只為用戶終端和 WLAN接入設備之間的證書認證定義了過程,如果需要對用戶進行授權和計費處理,則需要同時部署AS服務器和AAA服務器,增加了部署的復雜性。
      

      發(fā)明內(nèi)容
      
本發(fā)明要解決的一個技術問題是提供一種基于WAPI協(xié)議的接入認證方法,可以簡化網(wǎng)絡中的設備部署。本發(fā)明提供一種基于WAPI協(xié)議的接入認證方法,包括無線接入設備向無線終端發(fā)送鑒別激活分組;無線終端向無線接入設備發(fā)送接入鑒別請求分組;無線接入設備生成證書鑒別請求分組,將證書鑒別請求分組封裝在RADIUS請求報文中,發(fā)送給RADIUS服務器;RADIUS服務器接收并解析包含證書鑒別請求分組的RADIUS請求報文獲得證書鑒別請求分組,通過RADUIS服務器中的ASU進行證書驗證;根據(jù)驗證結果構造鑒別響應分組,將鑒別響應分組封裝在RADIUS挑戰(zhàn)(challenge)報文中,發(fā)送給無線接入設備;無線接入設備接收并解析包含鑒別響應分組的RADIUS挑戰(zhàn)報文獲得鑒別響應分組,向無線終端發(fā)送接入鑒別響應分組。本發(fā)明要解決的另一個技術問題是提供一種基于WAPI協(xié)議的接入認證系統(tǒng),可以簡化網(wǎng)絡中的設備部署。本發(fā)明提供一種基于WAPI協(xié)議的接入認證系統(tǒng),包括無線接入設備,用于向無線終端發(fā)送鑒別激活分組,接收來自所述無線終端的接入鑒別請求分組;生成證書鑒別請求分組,將所述證書鑒別請求分組封裝在RADIUS請求報文中,發(fā)送給RADIUS服務器;接收并解析包含鑒別響應分組的RADIUS挑戰(zhàn)報文獲得所述鑒別響應分組,向所述無線終端發(fā)送接入鑒別響應分組。RADIUS服務器,用于接收并解析所述包含證書鑒別請求分組的 RADIUS請求報文,獲得所述證書鑒別請求分組,通過ASU進行證書驗證;根據(jù)驗證結果構造鑒別響應分組,將所述鑒別響應分組封裝在RADIUS挑戰(zhàn)報文中,發(fā)送給所述無線接入設備。本發(fā)明還提供一種RADIUS服務器,包括報文解析模塊,用于接收并解析包含證書鑒別請求分組的RADIUS請求報文,獲得所述證書鑒別請求分組,將所述證書鑒別請求分組發(fā)送給ASU ;所述ASU,用于接收所述證書鑒別請求分組,進行證書驗證,根據(jù)驗證結果構造鑒別響應分組,發(fā)送所述鑒別響應分組;報文封裝模塊,用于接收來自所述ASU的鑒別響應分組,將所述鑒別響應分組封裝在RADIUS挑戰(zhàn)報文中,發(fā)送給無線接入設備。本發(fā)明提供的基于WAPI協(xié)議的接入認證方法和系統(tǒng),對證書鑒別請求分組和鑒別響應分組封裝在RADIUS報文中,由接入設備和RADIUS服務器完成接入認證過程,節(jié)省了 AS服務器,從而簡化了網(wǎng)絡中設備的部署。
      

      

      
圖1為現(xiàn)有技術的WAPI認證架構圖;圖2示出本發(fā)明的基于WAPI協(xié)議的接入認證方法的一個實施例的流程圖;圖3示出本發(fā)明的利用RADIUS屬性封裝WAI協(xié)議分組的格式;圖4示出本發(fā)明的基于WAPI協(xié)議的接入認證方法的另一個實施例的流程圖;圖5示出本發(fā)明的一個實施例的WLAN接入設備和AAA服務器之間進行接入認證時WAI分組沒有分片的流程圖;圖6示出本發(fā)明的一個實施例的WLAN接入設備和AAA服務器之間進行接入認證時WAI分組有分片的流程圖7示出本發(fā)明的另一個實施例的WLAN接入設備和AAA服務器之間進行接入認證時WAI分組有分片時的流程圖;圖8示出本發(fā)明的基于WAPI協(xié)議的接入認證系統(tǒng)的一個實施例的結構圖。 
      
具體實施例方式下面參照附圖對本發(fā)明進行更全面的描述,其中說明本發(fā)明的示例性實施例。 
      
 本發(fā)明的基本思想是在AAA/RADIUS服務器上實現(xiàn)WAPI協(xié)議的ASU,對WAI分組用 RADIUS報文封裝,通過AAA/RADIUS服務器實現(xiàn)WAI的證書接入認證。在說明本發(fā)明的技術方案之前,首先介紹WAPI標準定義的WAI協(xié)議分組的格式。 WAI協(xié)議分組的格式具體參見下表1 
      
權利要求
      
1.一種基于WAPI協(xié)議的接入認證方法,其特征在于,包括無線接入設備向無線終端發(fā)送鑒別激活分組;所述無線終端向所述無線接入設備發(fā)送接入鑒別請求分組;所述無線接入設備生成證書鑒別請求分組,將所述證書鑒別請求分組封裝在RADIUS 請求報文中,發(fā)送給RADIUS服務器;所述RADIUS服務器接收并解析所述包含證書鑒別請求分組的RADIUS請求報文獲得所述證書鑒別請求分組,通過所述RADUIS服務器中的ASU進行證書驗證;根據(jù)驗證結果構造鑒別響應分組,將所述鑒別響應分組封裝在RADIUS挑戰(zhàn)報文中,發(fā)送給所述無線接入設備;所述無線接入設備接收并解析所述包含鑒別響應分組的RADIUS挑戰(zhàn)報文獲得所述鑒別響應分組,向所述無線終端發(fā)送接入鑒別響應分組。
      
2.根據(jù)權利要求1所述的接入認證方法,其特征在于,將所述證書鑒別請求分組封裝在RADIUS請求報文的Vendor-Specific屬性中,將所述鑒別響應分組封裝在RADIUS挑戰(zhàn)報文的Vendor-Specific屬性中。
      
3.根據(jù)權利要求1或2所述的接入認證方法,其特征在于,當所述RADIUS服務器接收到所述無線接入設備發(fā)送的證書鑒別請求分組的分片時,所述RADIUS服務器回應一個空報文作為應答,所述應答只包含WAI報文頭,不包含數(shù)據(jù),報文頭中分片序號使用已接收證書鑒別請求分組的的分片的序號;當所述無線接入設備收到所述RADIUS服務器發(fā)送的鑒別響應分組的分片時,所述無線接入設備回應一個空報文作為應答,所述應答只包含WAI報文頭,不包含數(shù)據(jù),報文頭中分片序號使用已接收的鑒別響應分組的分片的序號。
      
4.根據(jù)權利要求1或2所述的接入認證方法,其特征在于,所述無線接入設備接收所述包含鑒別響應分組的RADIUS挑戰(zhàn)報文后,向所述RADIUS服務器發(fā)送請求報文;所述RADIUS服務器收到了所述無線接入設備發(fā)來的請求報文后,如果確定所述無線終端和所述無線接入設備的證書鑒定結果都為有效,則返回Access-Acc印t報文,并在報文中攜帶相關的授權、鏈路、Session等信息;否則返回Access-Reject報文。
      
5.一種基于WAPI協(xié)議的接入認證系統(tǒng),其特征在于,包括無線接入設備,用于向無線終端發(fā)送鑒別激活分組,接收來自所述無線終端的接入鑒別請求分組;生成證書鑒別請求分組,將所述證書鑒別請求分組封裝在RADIUS請求報文中,發(fā)送給RADIUS服務器;接收并解析包含鑒別響應分組的RADIUS挑戰(zhàn)報文獲得所述鑒別響應分組,向所述無線終端發(fā)送接入鑒別響應分組。所述RADIUS服務器,用于接收并解析所述包含證書鑒別請求分組的RADIUS請求報文, 獲得所述證書鑒別請求分組,通過ASU進行證書驗證;根據(jù)驗證結果構造鑒別響應分組,將所述鑒別響應分組封裝在RADIUS挑戰(zhàn)報文中,發(fā)送給所述無線接入設備。
      
6.根據(jù)權利要求5所述的基于WAPI協(xié)議的接入認證系統(tǒng),其特征在于,所述無線接入設備將所述證書鑒別請求分組封裝在RADIUS請求報文的Vendor-Specific屬性中;所述 RADIUS服務器將所述鑒別響應分組封裝在RADIUS挑戰(zhàn)報文的Vendor-Specific屬性中。
      
7.根據(jù)權利要求5或6所述的基于WAPI協(xié)議的接入認證系統(tǒng),其特征在于,當所述 RADIUS服務器接收到所述無線接入設備發(fā)送的證書鑒別請求分組的分片時,所述RADIUS服務器回應一個空報文作為應答,所述應答只包含WAI報文頭,不包含數(shù)據(jù),報文頭中分片序號使用已接收證書鑒別請求分組的分片的序號;當所述無線接入設備收到所述RADIUS服務器發(fā)送的鑒別響應分組的分片時,所述無線接入設備回應一個空報文作為應答,所述應答只包含WAI報文頭,不包含數(shù)據(jù),報文頭中分片序號使用已接收的鑒別響應分組的分片的序號。
      
8.根據(jù)權利要求5或6所述的基于WAPI協(xié)議的接入認證系統(tǒng),其特征在于,所述無線接入設備接收所述包含鑒別響應分組的RADIUS挑戰(zhàn)報文后,向所述RADIUS服務器發(fā)送請求報文;所述RADIUS服務器收到了所述無線接入設備發(fā)來的請求報文后,如果確定所述無線終端和所述無線接入設備的證書鑒定結果都為有效,則返回Access-Acc印t報文,并在報文中攜帶相關的授權、鏈路、Session等信息;否則返回Access-Reject報文。
      
9.一種RADIUS服務器,其特征在于,包括報文解析模塊,用于接收并解析包含證書鑒別請求分組的RADIUS請求報文,獲得所述證書鑒別請求分組,將所述證書鑒別請求分組發(fā)送給ASU ;所述ASU,用于接收所述證書鑒別請求分組,進行證書驗證,根據(jù)驗證結果構造鑒別響應分組,發(fā)送所述鑒別響應分組;報文封裝模塊,用于接收來自所述ASU的鑒別響應分組,將所述鑒別響應分組封裝在 RADIUS挑戰(zhàn)報文中,發(fā)送給無線接入設備。
      
全文摘要
      
本發(fā)明公開一種基于WAPI協(xié)議的接入認證方法、系統(tǒng)和RADIUS服務器。該方法包括無線接入設備將證書鑒別請求分組封裝在RADIUS請求報文中發(fā)送給RADIUS服務器;RADIUS服務器接收并解析包含證書鑒別請求分組的RADIUS請求報文,進行證書驗證,根據(jù)驗證結果構造鑒別響應分組,將鑒別響應分組封裝在RADIUS挑戰(zhàn)報文中發(fā)送給無線接入設備。通過本發(fā)明的WAPI的接入認證方法和系統(tǒng),只需要部署一個RADIUS服務器,既可以進行證書認證又可以對用戶授權、計費,用戶部署簡單,實現(xiàn)了WAPI認證與RADIUS認證的較好結合。
      
文檔編號H04W12/06GK102487506SQ200910180748
      
公開日2012年6月6日 申請日期2009年10月21日 優(yōu)先權日2009年10月21日
      
發(fā)明者潘毅明, 高波 申請人:中國電信股份有限公司
      
                        
      
                        
      
                        
      
                            
                        
      

                        
                            
                    
      
                    
                    


                     
                        
                        
                    

                
      

                
                
      
                    
      
                        網(wǎng)友詢問留言
                        已有0條留言
                    
      
                    
      
                        
      
                            
                            
        

                                								

						

      • 還沒有人留言評論。精彩留言會獲得點贊!
        • 


                            
      
                        
      
                        
      
                         1