專利名稱:寬帶無線ip系統(tǒng)移動終端的安全接入方法
技術(shù)領域:
本發(fā)明涉及一種寬帶無線IP系統(tǒng)移動終端的安全接入方法,它是無線通信技術(shù)與密碼技術(shù)相結(jié)合的產(chǎn)物����。
個人通信的目標�����,就是使人們能夠在任何時候和其他任何人進行任意的通信聯(lián)系���,自由地享用網(wǎng)絡提供的多種業(yè)務。寬帶無線IP技術(shù)將目前最熱門的兩大技術(shù)——IP技術(shù)和無線通信技術(shù)有機地融合起來���,并順應寬帶化的發(fā)展趨勢��,為移動主機或移動終端提供方便�、快捷�����、高速的Internet接入服務���,以適應人們對高速網(wǎng)絡和多媒體通信業(yè)務不斷增長的需求�����。無線局域網(wǎng)WLAN(Wireless Local Area Network)不僅支持移動計算���,而且具有構(gòu)架的靈活性、快捷性及可擴展性���,以WLAN為基礎��、基于Internet的寬帶無線接入網(wǎng)絡結(jié)構(gòu)示意圖如
圖1所示�����。它主要由寬帶無線接入終端(無線客戶端��、移動終端MT(Mobile Terminal)�、無線接入點AP(Acces s Point)及無線接入服務器WAS(Wireless Access Server)等設備組成�����,其中無線接入終端可在網(wǎng)中任意移動��,無線接入點實現(xiàn)包括越區(qū)切換在內(nèi)的小區(qū)管理���、對無線接入終端的管理及橋接功能��,無線接入服務器實現(xiàn)無線接入終端的網(wǎng)間漫游管理���。從固定接入到移動無線接入Internet��,寬帶無線IP技術(shù)為世界網(wǎng)絡環(huán)境帶來了全新的觀念和巨大的沖擊�。該系統(tǒng)的應用將更加廣泛��,在商務網(wǎng)絡(主要是公司內(nèi)部網(wǎng))�、機構(gòu)用戶網(wǎng)絡(如公安、金融�、政府各部門等)、小區(qū)網(wǎng)(如學校���、醫(yī)院���、住宅區(qū)等)、遠程監(jiān)測或集中監(jiān)控等��、臨時網(wǎng)絡(如臨時會議等)���、戶外移動用戶����、布線不易的場合���、需要經(jīng)常變動的場合等都非常有用��。由于必須考慮到在銀行�����、證券���、公安等有安全要求的環(huán)境下應用寬帶無線IP系統(tǒng),因此��,其安全保密性非常重要�。
對于無線局域網(wǎng)來說,其安全問題遠比有線以太網(wǎng)嚴重的多��,為此WLAN引入了幾個層次的手段來解決安全問題�����。首先是利用業(yè)務組標識符SSID(Service Set ID)��,又稱為網(wǎng)絡組標識符����,這是最直觀的一種認證方式��,通過對每個無線接入點AP設置不同的SSID�,并強迫移動終端接入時提供SSID���,從而可以允許不同群組的用戶接入����,并對資源訪問的權(quán)限進行區(qū)別限制�����。但這是較低級別的安全認證��,因為任何人只要知道SSID就可以接入網(wǎng)絡�。其次是地址限制,即通過在無線接入點AP上設置被授權(quán)的移動終端無線網(wǎng)卡的MAC地址表來杜絕非授權(quán)的訪問�。但是無線網(wǎng)卡的MAC地址并不難獲得,而且在理論上可以偽造�����,因此這也屬于較低級別的授權(quán)認證��。總之���,以上兩種方式不能有效地控制移動終端的接入�����,更無法保障通信的保密性�����。
除上述兩種方法外,目前更多采用的一種措施是依據(jù)WLAN的國際標準(IEEE802.11)��,在無線局域網(wǎng)中引入基于RC-4的與有線等價的WEP(WiredEquivalent Privacy)保密機制對數(shù)據(jù)進行加密傳輸�����。WEP算法采用單鑰體制����,即加解密為同一密鑰,其長度為64位或128位��。其中40位或104位為固定部分����,稱為初始化密鑰����,即在無線接入點AP和移動終端MT設置的密鑰����,余下的24位為可變部分,稱為初始化矢量�,該矢量在通信過程中由網(wǎng)卡的驅(qū)動軟件來改變,也就是說用于加密的密鑰可變����,這在某種程度上保證了無線通信的保密性。但由于初始化矢量變化的規(guī)律性����,PC-4算法的易受功性,因此WEP算法的安全程度并不高��,這一點由美國加利福尼亞大學一研究小組最先于2001年3月發(fā)現(xiàn)��,他們指出采用WEP算法的WLAN僅在5個小時即可被攻破�。其中的原因解釋如下假設初始化矢量值以每幀遞增1的速度改變,每幀長度為1500字節(jié)�����,數(shù)據(jù)發(fā)送速率為11兆位/秒,則初始化矢量重復的周期為1500字節(jié)/幀×8位/字節(jié)×1秒/(11×106位)×224幀≈18300秒≈5小時����,即每隔5小時就可得到經(jīng)過同一密鑰加密的兩幀密文,由此便可猜測到或計算出初始密鑰值�。這里必須指出的是密鑰的長度并不影響其破譯的時間,只是增加了猜測或計算的復雜度�����。據(jù)資料表明���,已指出存在安全漏洞的WLAN最近又遭受到更嚴重的打擊,2001年8月兩名以色列魏茲曼研究所的專家與一位思科公司的研究人員——三位全球頂尖譯碼專家進行了WEP安全測試�,他們根據(jù)竊取網(wǎng)絡中的一小部分資料,不到一小時即破解了WLAN使用的密鑰�,同時AT&T實驗室研究團體也以同樣的方法成功破解。因此��,安全問題成為阻礙無線IP技術(shù)應用普及的主要障礙之一�����,如何安全地接入Internet便成為寬帶無線IP系統(tǒng)研究的重中之重。
本發(fā)明的目的在于克服上述現(xiàn)有技術(shù)中的不足之處����,而提供一種寬帶無線IP系統(tǒng)移動終端的安全接入方法。它解決了無線IP系統(tǒng)中移動終端沒有接入控制與安全接入問題����,不僅實現(xiàn)了移動終端的接入控制,而且保障了接入的安全性�、通信的保密性。移動終端MT即可本地也可異地登錄���,從而保障了移動終端MT的漫游功能����。
本發(fā)明設計方案如下一種寬帶無線IP系統(tǒng)移動終端的安全接入方法����,其主要步驟是1.建立證書管理系統(tǒng)證書管理系統(tǒng)包括根證書服務器和子級證書服務器組成,子級證書服務器包括一級子證書服務器���、二級子證書服務器或多級子證書服務器��。其中根證書服務器負責所有一級子證書服務器證書的管理��,一級子證書服務器負責二級子證書服務器證書的管理�����,同時具有上級證書服務器即根證書服務器證書的公鑰信息��。
證書服務器位置可在局域網(wǎng)內(nèi)或網(wǎng)關(guān)處�����,其上安裝有證書管理軟件��,構(gòu)成一個子級證書服務器����,該服務器對無線接入點AP進行管理并提供服務,同時各無線接入點AP均知曉本地證書服務器的公鑰信息��。
2.申請證書移動終端想接入Internet�,首先必須通過無線接入點AP向本地證書服務器申請證書�。證書申請過程如下(1).移動終端MT在本地產(chǎn)生一對原始公私鑰;(2).請求本地證書服務器的公鑰���;(3).證書申請����。首先,移動終端MT將申請信息用證書服務器的公鑰加密�,形成密文,將此密文與自己的公鑰一同發(fā)往無線接入點AP�。無線接入點AP收到后上交至證書服務器,證書服務器用自己的私鑰解開申請者的信息���,生成移動終端MT的有效證書與通信私鑰信息�,并將此用申請者的原始公鑰加密���,再由無線接入點AP回送至移動終端MT�。移動終端MT收到后用自己的原始私鑰解開報文���,則得到有效證書與自己的私鑰信息����,此時新的公私鑰將替換掉原始的一對公私鑰����。
3.無線接入點AP與移動終端MT之間的認證。
上述無線接入點AP與移動終端MT的相互認證可采用移動終端MT本地接入認證�����,其流程流程包括①.接入請求。移動終端MT向無線接入點AP發(fā)出接入請求�����,將自己的證書傳遞給無線接入點AP�;②.認證請求。無線接入點AP收到移動終端MT接入請求后�����,向本地證書服務器發(fā)出認證請求��,將移動終端MT證書����、無線接入點AP證書及用無線接入點AP的私鑰對它們進行的簽名信息一并傳遞給本地證書服務器;③.驗證無線接入點AP與移動終端MT��。本地證書服務器收到無線接入點AP的認證請求后���,驗證無線接入點AP的簽名,若不正確����,則認證過程失敗����,若正確���,則進一步驗證移動終端MT證書��,服務器判斷移動終端MT證書是否在本地證書列表中��,若不在�����,則認證過程失敗���,若在,則將無線接入點AP證書�、移動終端MT證書、認證結(jié)果及對它們進行的簽名信息一并發(fā)回給無線接入點AP����;④.獲得認證結(jié)果。無線接入點AP對本地證書服務器返回的報文進行簽名驗證���,便得到移動終端MT證書��,知曉移動終端MT的公鑰�,并允許移動終端MT接入;無線接入點AP將AP證書�、認證結(jié)果及簽名回送至移動終端MT,終端得到無線接入點AP的證書����,知曉無線接入點AP的公鑰。至此移動終端MT便接入無線接入點AP��。
上述無線接入點AP與移動終端MT的相互認證可采用移動終端MT異地接入認證�����,其流程流程包括①.接入請求���。移動終端MT向無線接入點AP發(fā)出接入請求����,將自己的證書傳遞給無線接入點AP����;②.認證請求�����。無線接入點AP收到移動終端MT接入請求后,向本地證書服務器發(fā)出認證請求��,將移動終端MT證書���、無線接入點AP證書及用無線接入點AP的私鑰對它們進行的簽名信息一并傳遞給本地證書服務器����;③.驗證無線接入點AP與移動終端MT���。本地證書服務器收到無線接入點AP的認證請求后���,驗證無線接入點AP的簽名,若不正確�,則認證過程失敗,否則進一步驗證移動終端MT證書��。本地證書服務器向外地證書服務器發(fā)出認證請求�,即將無線接入點AP證書、移動終端MT證書、本地證書服務器的證書及對它們的簽名通過Internet發(fā)送至外地證書服務器���。外地證書服務器收到報文后驗證本地證書服務器的簽名���,若不正確,則認證失敗���,否則判斷移動終端MT證書是否在證書列表中�����。若不在����,則認證過程失敗���,若在將無線接入點AP證書�、移動終端MT證書�����、認證結(jié)果����、外地證書服務器的證書及對它們的簽名再通過Internet發(fā)回給本地證書服務器�;④.獲得認證結(jié)果�。本地證書服務器收到外地證書服務器返回的報文,對此進行改簽名�����,傳回至無線接入點AP����。無線接入點AP收到回傳報文后進行簽名驗證�,便得到移動終端MT的證書,即知曉終端的公鑰���,允許移動終端MT接入���。然后無線接入點AP將AP證書認證結(jié)果與簽名回送至移動終端MT,移動終端MT便得到無線接入點AP的證書����,即知曉無線接入點AP的公鑰。至此移動終端MT便成功接入無線接入點AP�����。
上述請求本地證書服務器的公鑰是移動終端MT向無線接入點AP發(fā)出公鑰請求信息,無線接入點AP收到后即返回本地證書服務器的公鑰���。
本發(fā)明與現(xiàn)有技術(shù)相比具有如下優(yōu)點公鑰密碼體制的認證系統(tǒng)將成為未來網(wǎng)絡安全系統(tǒng)的主要發(fā)展方向�����,因此本發(fā)明采用公鑰證書來實現(xiàn)WLAN移動終端的安全接入��。它解決了無線IP系統(tǒng)中移動終端沒有接入控制與安全接入問題�����,不僅實現(xiàn)了移動終端的接入控制���,而且保障了接入的安全性、通信的保密性���。移動終端MT即可本地也可異地登錄���,從而保障了移動終端MT的漫游功能。
附面說明如下圖1為本發(fā)明寬帶無線IP系統(tǒng)結(jié)構(gòu)示意圖����;圖2為本發(fā)明證書服務器系統(tǒng)結(jié)構(gòu)示意圖�;圖3為本發(fā)明證書格式����;圖4為本發(fā)明證書申請流程圖;圖5為本發(fā)明本地接入認證原理圖�����;圖6為本發(fā)明異地接入認證原理圖��;圖7為本發(fā)明本地接入認證流程圖�;圖8為本發(fā)明異地接入認證流程圖����。
下面將結(jié)合附圖及實施例對本發(fā)明作進一步詳述本發(fā)明基于公鑰證書機制,當移動終端MT登錄至無線接入點AP時必須進行身份認證�����,若認證成功�,則無線接入點AP允許移動終端MT接入,否則拒絕其登錄�����。當成功接入后,雙方均在本地由自己的私鑰與對方的公鑰產(chǎn)生會話密鑰�����,依此對數(shù)據(jù)報文進行加解密傳輸����。本專利技術(shù)不僅完成了移動終端的接入控制,而且實現(xiàn)了WLAN的通信保密功能��。持有證書的移動終端MT不僅可以本地接入�,而且可以異地登錄,保障了移動終端MT的通信漫游功能�。
實現(xiàn)本發(fā)明的主要步驟如下1.建立證書管理系統(tǒng)證書管理系統(tǒng)主要完成證書的生成、頒發(fā)�����、注銷��、查詢等管理功能�����。本發(fā)明建立的證書管理系統(tǒng)具有嚴格的層次結(jié)構(gòu),如圖2所示���。其中根證書服務器負責所有一級子證書服務器證書的管理���,一級子服務器負責二級子服務器證書的管理,同時具有上級服務器即根證書服務器證書的公鑰信息��。整個證書管理系統(tǒng)最少為兩級����,隨著規(guī)模的擴大,它可以變得更加復雜����,層數(shù)更多���。
當新購置一批無線網(wǎng)卡與無線接入點AP時����,同時即得到一個證書管理軟件�����。證書服務器應為一臺獨立的服務器,其位置可在局域網(wǎng)內(nèi)或網(wǎng)關(guān)處���,服務器上安裝證書管理軟件�,即構(gòu)成一個子級證書服務器�,該服務器對這批無線接入點AP進行管理并提供服務,譬如為無線接入點AP頒發(fā)證書等�����,同時各無線接入點AP均知曉本地證書服務器的公鑰信息�����。本專利使用的證書主要內(nèi)容���,如圖3所示�。其中簽名算法采用橢圓曲線ECC算法�����。
2.申請證書用戶即移動終端想接入Internet�,則首先必須通過無線接入點AP向本地證書服務器(證書服務器)申請證書。證書申請過程流程圖如圖4所示��,解釋如下(1).移動終端MT在本地產(chǎn)生一對原始公私鑰,用于本地證書服務器對有效證書進行密文發(fā)放���。
(2).請求本地證書服務器的公鑰�,用于移動終端MT申請信息的密文傳輸��。移動終端MT向無線接入點AP發(fā)出公鑰請求信息����,無線接入點AP收到后即返回本地證書服務器的公鑰。
(3).證書申請���。首先�����,移動終端MT將申請信息(如用戶的身份證號碼���、姓名�����、出生年月日等)用證書服務器的公鑰加密��,將此密文與自己的公鑰一同發(fā)往無線接入點AP。無線接入點AP收到后上交至證書服務器�����,證書服務器用自己的私鑰解開申請者的信息�,據(jù)此生成移動終端MT的有效證書與私鑰信息,并將此用申請者的原始公鑰加密�,再由無線接入點AP回送至移動終端MT。移動終端MT收到后用自己的原始私鑰解開報文����,則得到有效證書與自己的私鑰信息,此時新的公私鑰將替換掉原始的一對公私鑰����。證書可如上所述網(wǎng)上申請,也可到證書服務器的營業(yè)點辦理��。
3.無線接入點AP與移動終端MT之間的認證移動終端持有的證書不論是從本地還是從外地申請的����,均可通過與本地無線接入點AP之間的相互認證,實現(xiàn)安全接入�,即移動終端MT即可本地也可異地登錄,從而保障了移動終端MT的漫游功能。
無線接入點AP與移動終端MT相互認證的原理如圖5�、圖6所示。本地證書服務器與外地證書服務器可以通過上級證書服務器甚至根證書服務器實現(xiàn)相互信任�,無線接入點AP證書由本地證書服務器頒發(fā),故無線接入點AP與本地證書服務器相互信任����,移動終端MT與本地證書服務器(若持有本地證書)或外地證書服務器(持有外地證書)相互信任,因此最終得到無線接入點AP與移動終端MT可以相互信任��。無線接入點AP與移動終端MT相互認證的具體過程如下1)移動終端MT本地接入認證流程如圖7所示����,解釋如下①.接入請求。移動終端MT向無線接入點AP發(fā)出接入請求����,即將自己的證書傳遞給無線接入點AP。
②.認證請求��。無線接入點AP收到移動終端MT接入請求后���,向本地證書服務器發(fā)出認證請求�,即將移動終端MT證書����、無線接入點AP證書及用無線接入點AP的私鑰對它們進行的簽名信息一并傳遞給本地證書服務器。
③.驗證無線接入點AP與移動終端MT����。本地證書服務器收到無線接入點AP的認證請求后,驗證無線接入點AP的簽名�����,若不正確�,則認證過程失敗,否則進一步驗證移動終端MT證書�。服務器判斷移動終端MT證書是否在本地證書列表中,若不在���,則認證過程失敗���,若在,將無線接入點AP證書����、移動終端MT證書、認證結(jié)果及對它們進行的簽名信息一并發(fā)回給無線接入點AP��。
④.獲得認證結(jié)果。無線接入點AP對本地證書服務器返回的報文進行簽名驗證���,便得到移動終端MT證書��,即知曉移動終端MT的公鑰�,并允許移動終端MT接入����。無線接入點AP將AP證書、認證結(jié)果及簽名回送至移動終端MT���,終端驗證簽名成功后���,得到無線接入點AP的證書,即知曉無線接入點AP的公鑰�。至此移動終端MT便成功接入無線接入點AP。
2)移動終端MT外地認證流程圖如圖8所示���,解釋如下①.接入請求�。移動終端MT向無線接入點AP發(fā)出接入請求��,即將自己的證書傳遞給無線接入點AP����。
②.認證請求���。無線接入點AP收到移動終端MT接入請求后���,向本地證書服務器發(fā)出認證請求���,即將移動終端MT證書、無線接入點AP證書及用無線接入點AP的私鑰對它們進行的簽名信息一并傳遞給本地證書服務器�。
③.驗證無線接入點AP與移動終端MT。本地證書服務器收到無線接入點AP的認證請求后��,驗證無線接入點AP的簽名�����,若不正確��,則認證過程失敗���,否則進一步驗證移動終端MT證書�����。本地證書服務器向外地證書服務器發(fā)出認證請求���,即將無線接入點AP證書�����、移動終端MT證書��、本地證書服務器的證書及對它們的簽名通過Internet發(fā)送至外地證書服務器���。外地證書服務器收到報文后驗證本地證書服務器的簽名,若不正確�,則認證失敗,否則判斷移動終端MT證書是否在證書列表中����。若不在,則認證過程失敗���,若在�����。將無線接入點AP證書����、移動終端MT證書、認證結(jié)果�、外地證書服務器的證書及對它們的簽名再通過Internet發(fā)回給本地證書服務器。
④.獲得認證結(jié)果��。本地證書服務器收到外地證書服務器返回的報文��,對此進行改簽名���,傳回至無線接入點AP。無線接入點AP收到回傳報文后進行簽名驗證�,便得到移動終端MT的證書,即知曉終端的公鑰�,允許移動終端MT接入。然后無線接入點AP將AP證書認證結(jié)果與簽名回送至移動終端MT��,移動終端MT驗證簽名成功后����,便得到無線接入點AP的證書,即知曉無線接入點AP的公鑰��。至此移動終端MT便成功接入無線接入點AP�����。
移動終端MT與無線接入點AP認證成功之后,即完成了移動終端MT的成功登錄����。此時雙方均在本機利用對方的公鑰與自己的私鑰生成會話密鑰,用于通信數(shù)據(jù)報文的加解密�,從而實現(xiàn)移動終端MT與無線接入點AP之間的無線安全保密通信。當然通信過程中也可以不用會話密鑰對稱加解密���,而是采用對方的公鑰加密發(fā)送����、自己的私鑰解密接收�����,同樣可以實現(xiàn)保密通信�����。
迄今��,有三類體制被證明是安全和有效的,即整數(shù)因式分解體制(RSA)����、離散對數(shù)體制(DSA)以及橢圓曲線密碼體制(ECC)。
橢圓曲線密碼體制有兩個顯著的優(yōu)點(1)密鑰位數(shù)少�����,(2)在與基于乘法群密碼體制相同的條件下能夠提供更高的安全性�����。160位的橢圓曲線密碼體制可以提供與1024位的RSA或DSA同樣的安全度�,從而允許設計出密鑰更短的公鑰密碼體制��。目前ECC密碼體制才被破獲到最長108位��,而且花費的代價非常昂貴�。根據(jù)目前計算機CPU的發(fā)展速度,密碼專家估計160位的ECC需10年時間才能破譯��,192位大約需20年�����,224位需50年�����,256位則需更長的時間。本專利采用ECC密碼體制���,完全可以保證寬帶無線IP系統(tǒng)中無線移動終端的安全接入���,并相比目前現(xiàn)狀獲得無可比擬的安全效果。
權(quán)利要求
1.一種寬帶無線IP系統(tǒng)移動終端的安全接入方法�,其特征在于它的主要步驟是1).建立證書管理系統(tǒng)證書管理系統(tǒng)包括根證書服務器和子級證書服務器,子級證書服務器包括一級子證書服務器����、二級子證書服務器或多級子證書服務器,所述根證書服務器負責所有一級子證書服務器證書的管理�,一級子證書服務器負責二級子證書服務器證書的管理,同時具有上級證書服務器即根證書服務器證書的公鑰信息�;證書服務器位置可在局域網(wǎng)內(nèi)或網(wǎng)關(guān)處,其上安裝有證書管理軟件����,構(gòu)成一個子級證書服務器,該服務器對無線接入點AP進行管理并提供服務�����,同時各無線接入點AP均知曉本地證書服務器的公鑰信息;2).申請證書移動終端接入Internet��,首先必須通過無線接入點AP向本地證書服務器申請證書���,證書申請過程如下(1).移動終端MT在本地產(chǎn)生一對原始公私鑰��;(2).請求本地證書服務器的公鑰����;(3).證書申請�,首先,移動終端MT將申請信息用證書服務器的公鑰加密�����,形成密文���,將此密文與自己的公鑰一同發(fā)往無線接入點AP,無線接入點AP收到后上交至證書服務器���,證書服務器用自己的私鑰解開申請者的信息����,生成移動終端MT的有效證書與通信私鑰信息,并將此用申請者的原始公鑰加密�,再由無線接入點AP回送至移動終端MT,移動終端MT收到后用自己的原始私鑰解開報文�,則得到有效證書與自己的私鑰信息,此時新的公私鑰將替換掉原始的一對公私鑰�����;3).無線接入點AP與移動終端MT之間的認證���。
2.根據(jù)權(quán)利要求1所述的寬帶無線IP系統(tǒng)移動終端的安全接入方法���,其特征在于所述無線接入點AP與移動終端MT的相互認證為本地接入認證,具體接入認證流程包括①.接入請求移動終端MT向無線接入點AP發(fā)出接入請求�,將自己的證書傳遞給無線接入點AP;②.認證請求無線接入點AP收到移動終端MT接入請求后��,向本地證書服務器發(fā)出認證請求�����,將移動終端MT證書�����、無線接入點無線接入點AP證書及用無線接入點AP的私鑰對它們進行的簽名信息一并傳遞給本地證書服務器���;③.驗證無線接入點AP與移動終端MT����,本地證書服務器收到無線接入點AP的認證請求后�,驗證無線接入點AP的簽名,若不正確���,則認證過程失敗�����,若正確����,則進一步驗證移動終端MT證書�����,服務器判斷移動終端MT證書是否在本地證書列表中�����,若不在����,則認證過程失敗,若在�,則將無線接入點AP證書����、移動終端MT證書、認證結(jié)果及對它們進行的簽名信息一并發(fā)回給無線接入點AP��;④.獲得認證結(jié)果,無線接入點AP對本地證書服務器返回的報文進行簽名驗證��,便得到移動終端MT證書�����,知曉移動終端MT的公鑰,并允許移動終端MT接入��;無線接入點AP將AP證書����、認證結(jié)果及簽名回送至移動終端MT,終端得到無線接入點AP的證書�,知曉無線接入點AP的公鑰,至此移動終端MT便接入無線接入點AP����。
3.根據(jù)權(quán)利要求1所述的寬帶無線IP系統(tǒng)移動終端的安全接入方法,其特征在于所述無線接入點AP與移動終端MT的相互認證為異地接入認證����,具體接入認證流程包括①.接入請求移動終端MT向無線接入點AP發(fā)出接入請求,將自己的證書傳遞給無線接入點AP�����;②.認證請求無線接入點AP收到移動終端MT接入請求后��,向本地證書服務器發(fā)出認證請求�����,將移動終端MT證書���、無線接入點AP證書及用無線接入點AP的私鑰對它們進行的簽名信息一并傳遞給本地證書服務器;③.驗證無線接入點AP與移動終端MT���,本地證書服務器收到無線接入點AP的認證請求后�����,驗證無線接入點AP的簽名����,若不正確�,則認證過程失敗,否則進一步驗證移動終端MT證書�,本地證書服務器向外地證書服務器發(fā)出認證請求,即將無線接入點AP證書�����、移動終端MT證書�、本地證書服務器的證書及對它們的簽名通過Internet發(fā)送至外地證書服務器,外地證書服務器收到報文后驗證本地證書服務器的簽名��,若不正確����,則認證失敗����,否則判斷移動終端MT證書是否在證書列表中�����,若不在�����,則認證過程失敗�,否則將無線接入點AP證書、移動終端MT證書�����、認證結(jié)果���、外地證書服務器的證書及對它們的簽名再通過Internet發(fā)回給本地證書服務器��;④.獲得認證結(jié)果�,本地證書服務器收到外地證書服務器返回的報文,對此進行改簽名�,傳回至無線接入點AP,無線接入點AP收到回傳報文后進行簽名驗證��,便得到移動終端MT的證書����,即知曉終端的公鑰�,允許移動終端MT接入,然后無線接入點AP將AP證書認證結(jié)果與簽名回送至移動終端MT�,移動終端MT便得到無線接入點AP的證書,即知曉無線接入點AP的公鑰���,至此移動終端MT便成功接入無線接入點AP�����。
4.根據(jù)權(quán)利要求1或2或3所述的寬帶無線IP系統(tǒng)移動終端的安全接入方法���,其特征在于請求本地證書服務器的公鑰是移動終端MT向無線接入點AP發(fā)出公鑰請求信息,無線接入點AP收到后即返回本地證書服務器的公鑰���。
全文摘要
一種寬帶無線IP系統(tǒng)移動終端的安全接入方法���,其基于公鑰證書機制��,當移動終端MT登錄至無線接入點AP時必須進行身份認證����,若認證成功��,則無線接入點AP允許移動終端MT接入���,否則拒絕其登錄��。當成功接入后���,雙方均在本地由自己的私鑰與對方的公鑰產(chǎn)生會話密鑰,依此對數(shù)據(jù)報文進行加解密傳輸�����。本發(fā)明在無線局域網(wǎng)中���,依據(jù)證書進行身份認證��,從而實現(xiàn)移動終端的接入控制與通信保密�����。不僅完成了移動終端的接入控制���,而且實現(xiàn)了WLAN的通信保密功能����。持有證書的移動終端MT不僅可以本地接入�����,而且可以異地登錄��,保障了移動終端MT的通信漫游功能�。在無線局域網(wǎng)中�,依據(jù)證書進行身份認證,從而實現(xiàn)移動終端的接入控制與通信保密����。
文檔編號H04L9/00GK1444386SQ0114539
公開日2003年9月24日 申請日期2001年12月31日 優(yōu)先權(quán)日2001年12月31日
發(fā)明者王育民, 鐵滿霞, 唐厚儉, 熊靜, 李延偉, 張變玲 申請人:西安西電捷通無線網(wǎng)絡通信有限公司