專利名稱:一種無線局域網(wǎng)移動(dòng)終端異地接入認(rèn)證方法
技術(shù)領(lǐng)域:
本發(fā)明屬于WLAN(無線局域網(wǎng))技術(shù),涉及WLAN中移動(dòng)終端的異地接入認(rèn)證機(jī)制�。
背景技術(shù):
隨著Internet應(yīng)用的迅猛發(fā)展,以及便攜機(jī)�、PDA(個(gè)人數(shù)字助理)等移動(dòng)智能終端的使用的日益增長,無線局域網(wǎng)也在迅猛發(fā)展��,并成為新一代高速無線接入網(wǎng)絡(luò)�����。目前�����,無線局域網(wǎng)絡(luò)廣泛應(yīng)用于醫(yī)院����、學(xué)校、金融服務(wù)�、制造業(yè)、服務(wù)業(yè)���、公司應(yīng)用����、公共訪問等領(lǐng)域。但是無線局域網(wǎng)由于傳輸媒介的開放性�,使得未授權(quán)用戶可以輕易地接入無線局域網(wǎng)對(duì)數(shù)據(jù)進(jìn)行偵聽、篡改和偽造�,嚴(yán)重阻礙了它的推廣與應(yīng)用。
無線局域網(wǎng)存在的安全問題涉及兩個(gè)方面移動(dòng)終端的安全接入與數(shù)據(jù)保密���。移動(dòng)終端的安全接入可以通過在STA(移動(dòng)終端)與AP(訪問接入設(shè)備)之間的相互認(rèn)證來實(shí)現(xiàn)�。在無線局域網(wǎng)標(biāo)準(zhǔn)IEEE 802.11中�����,規(guī)定了兩種認(rèn)證機(jī)制開放系統(tǒng)認(rèn)證和共享密鑰認(rèn)證�����。開放系統(tǒng)認(rèn)證允許任何終端接入到無線網(wǎng)絡(luò)中���,從這種意義上講�����,它并沒有保證移動(dòng)終端接入的安全性�。而共享密鑰認(rèn)證需要STA與AP預(yù)先設(shè)置相同的共享密鑰�����,這顯然不適于流動(dòng)性很大的用戶�����。針對(duì)無線局域網(wǎng)中存在的安全問題�,我國寬帶無線IP工作組于2003年5月發(fā)布了WLAN國家標(biāo)準(zhǔn)GB15629.11。在WLAN國標(biāo)第8章中提出了WLAN安全機(jī)制——WAPI(無線局域網(wǎng)鑒別和保密基礎(chǔ)結(jié)構(gòu))����。
WAPI主要包括WAI(無線局域網(wǎng)鑒別基礎(chǔ)結(jié)構(gòu))和WPI(無線局域網(wǎng)保密基礎(chǔ)結(jié)構(gòu))兩部分內(nèi)容。其中WAI機(jī)制通過橢圓曲線密碼證書實(shí)現(xiàn)STA和無線網(wǎng)絡(luò)之間的雙向認(rèn)證�����,并采用公鑰加密的兩條消息來實(shí)現(xiàn)會(huì)話密鑰協(xié)商���。但是由于WAI認(rèn)證過程中對(duì)返回給STA的鑒別結(jié)果采用AP歸屬ASU(認(rèn)證服務(wù)單元)對(duì)其進(jìn)行簽名��,使得STA在異地漫游時(shí)還需事先獲取當(dāng)?shù)谹SU的證書�����,才能完成其對(duì)鑒別響應(yīng)中ASU簽名的鑒別�,這對(duì)于在較大區(qū)域內(nèi)頻繁移動(dòng)的用戶并不實(shí)際,使得WAPI在實(shí)際應(yīng)用中并不能很好地解決STA的漫游問題����。
發(fā)明內(nèi)容
為了解決WAI認(rèn)證過程中的不足之處,本發(fā)明提出了一種無線局域網(wǎng)STA的安全接入認(rèn)證方法����,以一種簡(jiǎn)單有效的方法解決了STA的漫游問題。
無線局域網(wǎng)移動(dòng)終端的安全接入認(rèn)證方法有兩種情況本地接入認(rèn)證和異地接入認(rèn)證�,本發(fā)明僅涉及異地接入認(rèn)證,其步驟如下1)訪問接入設(shè)備向移動(dòng)終端發(fā)送鑒別激活消息�����,啟動(dòng)鑒別過程�;2)移動(dòng)終端接入鑒別請(qǐng)求;3)訪問接入設(shè)備發(fā)起證書鑒別請(qǐng)求����;4)訪問接入設(shè)備歸屬認(rèn)證服務(wù)單元發(fā)起異地證書鑒別請(qǐng)求;5)移動(dòng)終端歸屬認(rèn)證服務(wù)單元異地鑒別����,并將鑒別響應(yīng)發(fā)送到訪問接入設(shè)備歸屬認(rèn)證服務(wù)單元;6)訪問接入設(shè)備鑒別響應(yīng)��;7)移動(dòng)終端接入鑒別響應(yīng)。
所述步驟4)具體包括訪問接入設(shè)備歸屬認(rèn)證服務(wù)單元收到訪問接入設(shè)備的證書鑒別請(qǐng)求后���,驗(yàn)證訪問接入設(shè)備的簽名和訪問接入設(shè)備證書的有效性以及驗(yàn)證移動(dòng)終端證書,認(rèn)證服務(wù)單元根據(jù)移動(dòng)終端證書中的證書持有者名稱得知移動(dòng)終端證書是異地證書時(shí),將移動(dòng)終端接入鑒別請(qǐng)求�����、訪問接入設(shè)備證書鑒別結(jié)果信息以及訪問接入設(shè)備歸屬認(rèn)證服務(wù)單元對(duì)它們的簽名構(gòu)成認(rèn)證服務(wù)單元異地證書鑒別請(qǐng)求通過RADIUS認(rèn)證系統(tǒng)發(fā)送至移動(dòng)終端歸屬認(rèn)證服務(wù)單元,其步驟如下1>訪問接入設(shè)備歸屬認(rèn)證服務(wù)單元將異地鑒別請(qǐng)求封裝在RADIUS的ACCESS-REQUEST報(bào)文中��,并以移動(dòng)終端證書中證書持有者名字的相關(guān)部分內(nèi)容作為認(rèn)證用戶標(biāo)識(shí)�,通過訪問接入設(shè)備歸屬認(rèn)證服務(wù)單元中內(nèi)嵌的RADIUS服務(wù)將該ACCESS-REQUEST報(bào)文發(fā)送給本地RADIUS認(rèn)證服務(wù)器;2>RADIUS認(rèn)證服務(wù)器根據(jù)證書持有者名字與其認(rèn)證域的對(duì)應(yīng)關(guān)系將ACCESS-REQUEST報(bào)文經(jīng)過在多個(gè)域的RADIUS認(rèn)證服務(wù)器之間的轉(zhuǎn)發(fā)�����,最終轉(zhuǎn)發(fā)到移動(dòng)終端歸屬地的RADIUS認(rèn)證服務(wù)器�����;3>移動(dòng)終端歸屬地的RADIUS認(rèn)證服務(wù)器通過ACCESS-REQUEST報(bào)文中用戶標(biāo)識(shí)信息確定該請(qǐng)求應(yīng)發(fā)往其所在區(qū)域的移動(dòng)終端歸屬認(rèn)證服務(wù)單元��,并將該報(bào)文轉(zhuǎn)發(fā)給該認(rèn)證服務(wù)單元���。
所述步驟5)中所述的異地鑒別具體包括以下處理過程移動(dòng)終端歸屬認(rèn)證服務(wù)單元通過其內(nèi)嵌的RADIUS服務(wù)接收到ACCESS-REQUEST報(bào)文后,從中解析出異地證書鑒別請(qǐng)求�����,并從該請(qǐng)求中取出接入鑒別請(qǐng)求,對(duì)其中的移動(dòng)終端的簽名和證書的有效性進(jìn)行驗(yàn)證���,并將移動(dòng)終端證書鑒別結(jié)果、訪問接入設(shè)備證書鑒別結(jié)果和移動(dòng)終端歸屬認(rèn)證服務(wù)單元對(duì)它們的簽名構(gòu)成認(rèn)證服務(wù)單元異地證書鑒別響應(yīng)通過RADIUS認(rèn)證系統(tǒng)發(fā)回給訪問接入設(shè)備歸屬認(rèn)證服務(wù)單元���,其步驟如下4>移動(dòng)終端歸屬認(rèn)證服務(wù)單元將異地證書鑒別響應(yīng)封裝在ACCESS-ACCEPT或ACCES-REJECT報(bào)文中,并將其返回給其所在區(qū)域的RADIUS認(rèn)證服務(wù)器���;5>RADIUS認(rèn)證服務(wù)器根據(jù)其接收ACCESS-REQUEST報(bào)文的路徑將ACCESS-ACCEPT或ACCES-REJECT報(bào)文返回給其上級(jí)或下級(jí)認(rèn)證服務(wù)器���,如上所述����,ACCESS-ACCEPT或ACCES-REJECT報(bào)文經(jīng)過現(xiàn)有認(rèn)證系統(tǒng)中多個(gè)域RADIUS認(rèn)證服務(wù)器的轉(zhuǎn)發(fā),最終返回到現(xiàn)有訪問接入設(shè)備歸屬地的RADIUS認(rèn)證服務(wù)器;6>訪問接入設(shè)備歸屬地的RADIUS認(rèn)證服務(wù)器將ACCESS-ACCEPT或ACCES-REJECT報(bào)文返回給訪問接入設(shè)備歸屬地認(rèn)證服務(wù)單元。
所述步驟6)具體包括以下處理過程訪問接入設(shè)備歸屬認(rèn)證服務(wù)單元通過其內(nèi)嵌的RADIUS服務(wù)接收到ACCESS-ACCEPT或ACCES-REJECT報(bào)文后,從中取出認(rèn)證服務(wù)單元異地證書鑒別響應(yīng)�,它可以采用兩種方式來處理異地證書鑒別響應(yīng)��。一直接將認(rèn)證服務(wù)單元異地證書響應(yīng)作為訪問接入設(shè)備鑒別響應(yīng)轉(zhuǎn)發(fā)給訪問接入設(shè)備;二使用訪問接入設(shè)備歸屬認(rèn)證服務(wù)單元的私鑰對(duì)異地證書鑒別響應(yīng)簽名�,并將認(rèn)證服務(wù)單元異地鑒別響應(yīng)和該簽名構(gòu)成訪問接入設(shè)備證書鑒別響應(yīng)發(fā)給訪問接入設(shè)備�����。
所述步驟7)中針對(duì)步驟6)中訪問接入設(shè)備鑒別響應(yīng)的兩種可能,訪問接入設(shè)備也有對(duì)應(yīng)的兩種處理方法��。一訪問接入設(shè)備從認(rèn)證服務(wù)單元返回的證書鑒別響應(yīng)中得到移動(dòng)終端證書的鑒別結(jié)果,根據(jù)此結(jié)果對(duì)移動(dòng)終端進(jìn)行接入控制�����,并將接收到的證書鑒別響應(yīng)作為接入鑒別響應(yīng)發(fā)送至移動(dòng)終端�;二訪問接入設(shè)備先對(duì)認(rèn)證服務(wù)單元返回的證書鑒別響應(yīng)中的訪問接入設(shè)備歸屬認(rèn)證服務(wù)單元的簽名進(jìn)行簽名驗(yàn)證,如果驗(yàn)證通過�����,則從證書鑒別響應(yīng)中得到移動(dòng)終端證書的鑒別結(jié)果����,根據(jù)此結(jié)果對(duì)移動(dòng)終端進(jìn)行接入控制�����,并從接收到的認(rèn)證服務(wù)單元證書鑒別響應(yīng)中取出認(rèn)證服務(wù)單元異地證書鑒別響應(yīng)作為接入鑒別響應(yīng)發(fā)送至移動(dòng)終端�。移動(dòng)終端接收到接入鑒別響應(yīng)�����,驗(yàn)證移動(dòng)終端歸屬認(rèn)證服務(wù)單元的簽名后���,得到訪問接入設(shè)備證書的鑒別結(jié)果��,根據(jù)該鑒別結(jié)果決定是否接入該訪問接入設(shè)備�。
本發(fā)明與現(xiàn)有技術(shù)相比有如下優(yōu)點(diǎn)在WAI過程中���,分別通過STA和AP各自歸屬ASU對(duì)它們證書進(jìn)行認(rèn)證����,并在返回給STA的鑒別響應(yīng)中使用STA歸屬ASU對(duì)鑒別響應(yīng)進(jìn)行簽名代替原標(biāo)準(zhǔn)中利用AP歸屬ASU對(duì)鑒別響應(yīng)的簽名�����,使得在實(shí)際應(yīng)用中STA僅需預(yù)先安裝其歸屬ASU的證書����,而不用每到一地都要預(yù)先安裝當(dāng)?shù)谹SU的證書,以一種簡(jiǎn)單有效的方法解決了STA的漫游認(rèn)證問題���。
圖1為RADIUS認(rèn)證系統(tǒng)拓?fù)鋱D�����;圖2為本發(fā)明無線局域網(wǎng)移動(dòng)終端接入網(wǎng)絡(luò)結(jié)構(gòu)拓?fù)鋱D����;圖3為本發(fā)明無線局域網(wǎng)移動(dòng)終端異地接入認(rèn)證流程圖�;圖4為本發(fā)明異地鑒別請(qǐng)求傳送流程圖。
具體實(shí)施例方式
在基于RADIUS的漫游認(rèn)證系統(tǒng)中�����,對(duì)用戶按其所在組織(域)分級(jí)命名�,每一個(gè)域有一認(rèn)證服務(wù)器(該認(rèn)證服務(wù)器同時(shí)具有認(rèn)證和區(qū)域認(rèn)證代理的功能),最上級(jí)域認(rèn)證服務(wù)器稱為根認(rèn)證服務(wù)器�,圖1表示了只有兩級(jí)域的RADIUS認(rèn)證系統(tǒng)的架構(gòu)。以com.cn域?yàn)槔?���,過本域用戶user@com.cn的認(rèn)證直接由本域的認(rèn)證服務(wù)器完成��,對(duì)其他域的漫游用戶(如user@edu.cn)的認(rèn)證���,認(rèn)證服務(wù)器根據(jù)用戶的名字將認(rèn)證請(qǐng)求經(jīng)各級(jí)認(rèn)證服務(wù)器(com.cn區(qū)域認(rèn)證服務(wù)器、cn域根認(rèn)證服務(wù)器)轉(zhuǎn)發(fā)到漫游用戶所在域(edu.cn)的認(rèn)證服務(wù)器進(jìn)行認(rèn)證�。由于在證書體制中也根據(jù)用戶所在的地域和組織采用分級(jí)命名機(jī)制,所以在本發(fā)明中充分利用了當(dāng)前的RADIUS認(rèn)證系統(tǒng)來傳送異地證書鑒別請(qǐng)求��,有效解決了STA的漫游問題����。
圖2是STA在異地接入無線局域網(wǎng)時(shí)的網(wǎng)絡(luò)拓?fù)鋱D,異地STA的接入認(rèn)證過程如附圖3所示���,其步驟如下1.鑒別激活��。當(dāng)STA關(guān)聯(lián)或重關(guān)聯(lián)到AP時(shí)���,由AP向STA發(fā)送鑒別激活消息以啟動(dòng)鑒別過程。
2.STA接入鑒別請(qǐng)求����。STA向AP發(fā)出接入鑒別請(qǐng)求,即將STA證書�����、STA的當(dāng)前系統(tǒng)時(shí)間以及STA對(duì)它們的簽名發(fā)往AP���,其中系統(tǒng)時(shí)間稱為接入鑒別請(qǐng)求時(shí)間����。
3.AP證書鑒別請(qǐng)求�����。AP接收到移動(dòng)終端的接入鑒別請(qǐng)求后�,首先記錄鑒別請(qǐng)求時(shí)間,然后將移動(dòng)終端接入鑒別請(qǐng)求�����、AP證書及AP的私鑰對(duì)它們的簽名構(gòu)成證書鑒別請(qǐng)求發(fā)送到AP歸屬ASU�。
4.ASU異地證書鑒別請(qǐng)求。ASU收到AP的證書鑒別請(qǐng)求后���,驗(yàn)證AP的簽名和AP證書的有效性�����,若不正確���,則鑒別過程失敗���,否則進(jìn)一步驗(yàn)證移動(dòng)終端證書。ASU根據(jù)移動(dòng)終端證書中的證書持有者名稱斷定移動(dòng)終端證書不是本地證書����,則將移動(dòng)終端接入鑒別請(qǐng)求、AP證書鑒別結(jié)果信息以及AP歸屬ASU對(duì)它們的簽名構(gòu)成ASU異地證書鑒別請(qǐng)求通過RADIUS認(rèn)證系統(tǒng)發(fā)送至STA歸屬ASU�����。
本發(fā)明中ASU異地證書鑒別請(qǐng)求在RADIUS認(rèn)證系統(tǒng)中的傳送�����,通過將該請(qǐng)求承載在RADIUS擴(kuò)展字段EAP-MESSAGE上實(shí)現(xiàn)�。EAP-MESSAGE是RADIUS為傳送EAP協(xié)議數(shù)據(jù)報(bào)而擴(kuò)展的字段��。EAP是一可擴(kuò)展認(rèn)證協(xié)議�,可以承載多種認(rèn)證機(jī)制�����,RADIUS為支持EAP協(xié)議增加了EAP-MESSAGE字段�����。參考圖4所示����,ASU異地證書鑒別請(qǐng)求通過RADIUS認(rèn)證系統(tǒng)傳送到STA歸屬ASU要經(jīng)過以幾個(gè)步驟a)AP歸屬ASU將異地鑒別請(qǐng)求封裝為EAP-RESPONSE報(bào)文,并將該報(bào)文放入ACCES-REQUEST報(bào)文的EAP-MESSAGE字段中��,同時(shí)將移動(dòng)終端證書中的證書持有者名字放入U(xiǎn)SER-NAME字段�����,通過AP歸屬ASU中內(nèi)嵌的RADIUS服務(wù)將ACCESS-REQUEST報(bào)文發(fā)送給本地RADIUS認(rèn)證服務(wù)器。
b)由于證書持有者名字采用分級(jí)命名機(jī)制,認(rèn)證服務(wù)器根據(jù)證書持有者名字與其認(rèn)證域的對(duì)應(yīng)關(guān)系將ACCESS-REQUES報(bào)文傳送給其上級(jí)或下級(jí)域RADIUS認(rèn)證服務(wù)器�。如上所述���,ACCESS-REQUEST報(bào)文經(jīng)過在現(xiàn)有認(rèn)證系統(tǒng)中多個(gè)域認(rèn)證服務(wù)器之間的轉(zhuǎn)發(fā)���,最終轉(zhuǎn)發(fā)到STA歸屬地的RADIUS認(rèn)證服務(wù)器��。
c)STA歸屬域的RADIUS認(rèn)證服務(wù)器通過USER-NAME字段中的名字確定該請(qǐng)求應(yīng)發(fā)往其所在區(qū)域STA歸屬ASU,將ACCES-REQUEST報(bào)文轉(zhuǎn)發(fā)給該ASU����。
5.ASU異地鑒別響應(yīng)��。參考圖4所示�����,STA歸屬ASU通過其內(nèi)嵌的RADIUS服務(wù)接收到ACCESS-REQUEST請(qǐng)求后��,從中解析出異地鑒別請(qǐng)求�,并從該請(qǐng)求中取出接入鑒別請(qǐng)求�,對(duì)其中的STA的簽名和證書的有效性進(jìn)行驗(yàn)證,并將STA證書鑒別結(jié)果�����、AP證書鑒別結(jié)果(從異地鑒別請(qǐng)求中獲取)和STA歸屬ASU對(duì)它們的簽名構(gòu)成ASU異地證書鑒別響應(yīng)�,通過RADIUS認(rèn)證系統(tǒng)發(fā)回給AP歸屬ASU�,其步驟如下a)STA歸屬ASU將異地證書鑒別響應(yīng)封裝在ACCESS-ACCEPT(或ACCES-REJECT)報(bào)文中(鑒別響應(yīng)被封裝為EAP-SUCCESS(EAP-FAIL)報(bào)文���,承載在EAP-MESSAGE字段中)返回給其所在區(qū)域的RADIUS認(rèn)證服務(wù)器��。
b)RADIUS認(rèn)證服務(wù)器根據(jù)其接收ACCESS-REQUEST報(bào)文的路徑將ACCESS-ACCEPT(或ACCES-REJECT)報(bào)文返回給其上級(jí)或下級(jí)認(rèn)證服務(wù)器���,如上所述,ACCESS-ACCEPT(或ACCES-REJECT)報(bào)文經(jīng)過現(xiàn)有認(rèn)證系統(tǒng)中多個(gè)域RADIUS認(rèn)證服務(wù)器的轉(zhuǎn)發(fā)��,最終返回到現(xiàn)有AP歸屬地的RADIUS認(rèn)證服務(wù)器c)AP歸屬地的認(rèn)證服務(wù)器將ACCESS-ACCEPT(或ACCES-REJECT)報(bào)文返回給AP歸屬地ASU6.AP鑒別響應(yīng)��。AP歸屬ASU通過其內(nèi)嵌的RADIUS服務(wù)接收到ACCESS-ACCEPT(或ACCES-REJECT)報(bào)文后��,從中取出ASU異地證書鑒別響應(yīng)����,它可以采用兩種方式來處理異地證書鑒別響應(yīng)。一直接將ASU異地證書響應(yīng)作為AP鑒別響應(yīng)轉(zhuǎn)發(fā)給AP���;二使用AP歸屬ASU的私鑰對(duì)異地證書鑒別響應(yīng)簽名�,并將ASU異地鑒別響應(yīng)和該簽名構(gòu)成AP證書鑒別響應(yīng)發(fā)給AP��。
7.移動(dòng)終端接入鑒別響應(yīng)。針對(duì)第5步中AP鑒別響應(yīng)的兩種可能���,AP也有對(duì)應(yīng)的兩種處理方法��。一AP從ASU返回的證書鑒別響應(yīng)中得到移動(dòng)終端證書的鑒別結(jié)果���,根據(jù)此結(jié)果對(duì)STA進(jìn)行接入控制,并將接收到的證書鑒別響應(yīng)作為接入鑒別響應(yīng)發(fā)送至STA���;二AP先對(duì)ASU返回的證書鑒別響應(yīng)中的AP歸屬ASU的簽名進(jìn)行簽名驗(yàn)證�����,如果驗(yàn)證通過�����,則從證書鑒別響應(yīng)中得到STA證書的鑒別結(jié)果��,根據(jù)此結(jié)果對(duì)STA進(jìn)行接入控制���,并從接收到的ASU證書鑒別響應(yīng)中取出ASU異地證書鑒別響應(yīng)作為接入鑒別響應(yīng)發(fā)送至STA�。STA接收到接入鑒別響應(yīng),驗(yàn)證STA歸屬ASU的簽名后��,得到AP證書的鑒別結(jié)果,根據(jù)該鑒別結(jié)果決定是否接入該AP���。
權(quán)利要求
1.一種無線局域網(wǎng)移動(dòng)終端異地接入認(rèn)證方法�,其特征在于���,所述方法包括以下處理步驟1)訪問接入設(shè)備向移動(dòng)終端發(fā)送鑒別激活消息�,啟動(dòng)鑒別過程��;2)移動(dòng)終端接入鑒別請(qǐng)求���;3)訪問接入設(shè)備發(fā)起證書鑒別請(qǐng)求��;4)訪問接入設(shè)備歸屬認(rèn)證服務(wù)單元發(fā)起異地證書鑒別請(qǐng)求�����;5)移動(dòng)終端歸屬認(rèn)證服務(wù)單元異地鑒別�,并將鑒別響應(yīng)發(fā)送到訪問接入設(shè)備歸屬認(rèn)證服務(wù)單元���;6)訪問接入設(shè)備鑒別響應(yīng)����;7)移動(dòng)終端接入鑒別響應(yīng)。
2.根據(jù)權(quán)利要求1所述的無線局域網(wǎng)移動(dòng)終端異地接入認(rèn)證方法��,其特征在于���,所述步驟4)具體包括訪問接入設(shè)備歸屬認(rèn)證服務(wù)單元收到訪問接入設(shè)備的證書鑒別請(qǐng)求后����,驗(yàn)證訪問接入設(shè)備的簽名和訪問接入設(shè)備證書的有效性以及驗(yàn)證移動(dòng)終端證書��,認(rèn)證服務(wù)單元根據(jù)移動(dòng)終端證書中的證書持有者名稱得知移動(dòng)終端證書是異地證書時(shí)���,將移動(dòng)終端接入鑒別請(qǐng)求�、訪問接入設(shè)備證書鑒別結(jié)果信息以及訪問接入設(shè)備歸屬認(rèn)證服務(wù)單元對(duì)它們的簽名構(gòu)成認(rèn)證服務(wù)單元異地證書鑒別請(qǐng)求��,通過RADIUS認(rèn)證系統(tǒng)發(fā)送至移動(dòng)終端歸屬認(rèn)證服務(wù)單元�����。
3. 根據(jù)權(quán)利要求2所述的無線局域網(wǎng)移動(dòng)終端異地接入認(rèn)證方法���,其特征在于���,所述通過RADIUS認(rèn)證系統(tǒng)發(fā)送至移動(dòng)終端歸屬認(rèn)證服務(wù)單元具體包括以下步驟1>訪問接入設(shè)備歸屬認(rèn)證服務(wù)單元將異地鑒別請(qǐng)求封裝在RADIUS的ACCESS-REQUEST報(bào)文中,并以移動(dòng)終端證書中證書持有者名字的相關(guān)部分內(nèi)容作為認(rèn)證用戶標(biāo)識(shí)���,通過訪問接入設(shè)備歸屬認(rèn)證服務(wù)單元中內(nèi)嵌的RADIUS服務(wù)將該ACCESS-REQUEST報(bào)文發(fā)送給本地RADIUS認(rèn)證服務(wù)器;2>RADIUS認(rèn)證服務(wù)器根據(jù)證書持有者名字與其認(rèn)證域的對(duì)應(yīng)關(guān)系將ACCESS-REQUEST報(bào)文經(jīng)過在多個(gè)域的RADIUS認(rèn)證服務(wù)器之間的轉(zhuǎn)發(fā)�����,最終轉(zhuǎn)發(fā)到移動(dòng)終端歸屬地的RADIUS認(rèn)證服務(wù)器���;3>移動(dòng)終端歸屬地的RADIUS認(rèn)證服務(wù)器通過ACCESS-REQUEST報(bào)文中用戶標(biāo)識(shí)信息確定該請(qǐng)求應(yīng)發(fā)往其所在區(qū)域的移動(dòng)終端歸屬認(rèn)證服務(wù)單元��,并將該報(bào)文轉(zhuǎn)發(fā)給該認(rèn)證服務(wù)單元���。
4.根據(jù)權(quán)利要求1所述的無線局域網(wǎng)移動(dòng)終端異地接入認(rèn)證方法,其特征在于����,所述步驟5)中所述的異地鑒別具體包括以下處理過程移動(dòng)終端歸屬認(rèn)證服務(wù)單元通過其內(nèi)嵌的RADIUS服務(wù)接收到ACCESS-REQUEST報(bào)文后,從中解析出異地證書鑒別請(qǐng)求��,并從該請(qǐng)求中取出接入鑒別請(qǐng)求�����,對(duì)其中的移動(dòng)終端的簽名和證書的有效性進(jìn)行驗(yàn)證,并將移動(dòng)終端證書鑒別結(jié)果�、訪問接入設(shè)備證書鑒別結(jié)果和移動(dòng)終端歸屬認(rèn)證服務(wù)單元對(duì)它們的簽名構(gòu)成認(rèn)證服務(wù)單元異地證書鑒別響應(yīng),通過RADIUS認(rèn)證系統(tǒng)發(fā)回給訪問接入設(shè)備歸屬認(rèn)證服務(wù)單元��。
5.根據(jù)權(quán)利要求4所述的無線局域網(wǎng)移動(dòng)終端異地接入認(rèn)證方法���,其特征在于�����,所述通過RADIUS認(rèn)證系統(tǒng)發(fā)回給訪問接入設(shè)備歸屬認(rèn)證服務(wù)單元具體包括以下步驟4>移動(dòng)終端歸屬認(rèn)證服務(wù)單元將異地證書鑒別響應(yīng)封裝在ACCESS-ACCEPT或ACCES-REJECT報(bào)文中����,并將其返回給其所在區(qū)域的RADIUS認(rèn)證服務(wù)器����;5>RADIUS認(rèn)證服務(wù)器根據(jù)其接收ACCESS-REQUEST報(bào)文的路徑將ACCESS-ACCEPT或ACCES-REJECT報(bào)文返回給其上級(jí)或下級(jí)認(rèn)證服務(wù)器,如上所述�,ACCESS-ACCEPT或ACCES-REJECT報(bào)文經(jīng)過現(xiàn)有認(rèn)證系統(tǒng)中多個(gè)域RADIUS認(rèn)證服務(wù)器的轉(zhuǎn)發(fā),最終返回到現(xiàn)有訪問接入設(shè)備歸屬地的RADIUS認(rèn)證服務(wù)器���;6>訪問接入設(shè)備歸屬地的RADIUS認(rèn)證服務(wù)器將ACCESS-ACCEPT或ACCES-REJECT報(bào)文返回給訪問接入設(shè)備歸屬地認(rèn)證服務(wù)單元���。
6.根據(jù)權(quán)利要求1或5所述的無線局域網(wǎng)移動(dòng)終端異地接入認(rèn)證方法�,其特征在于�����,所述步驟6)具體包括以下處理過程訪問接入設(shè)備歸屬認(rèn)證服務(wù)單元通過其內(nèi)嵌的RADIUS服務(wù)接收到ACCESS-ACCEPT或ACCES-REJECT報(bào)文后���,從中取出認(rèn)證服務(wù)單元異地證書鑒別響應(yīng),直接將認(rèn)證服務(wù)單元異地證書響應(yīng)作為訪問接入設(shè)備鑒別響應(yīng)轉(zhuǎn)發(fā)給訪問接入設(shè)備���。
7.根據(jù)權(quán)利要求6所述的無線局域網(wǎng)移動(dòng)終端異地接入認(rèn)證方法��,其特征在于�,所述步驟7)具體包括以下處理過程訪問接入設(shè)備從認(rèn)證服務(wù)單元返回的證書鑒別響應(yīng)中得到移動(dòng)終端證書的鑒別結(jié)果���,根據(jù)此結(jié)果對(duì)移動(dòng)終端進(jìn)行接入控制�,并將接收到的證書鑒別響應(yīng)作為接入鑒別響應(yīng)發(fā)送至移動(dòng)終端�,移動(dòng)終端接收到接入鑒別響應(yīng),驗(yàn)證移動(dòng)終端歸屬認(rèn)證服務(wù)單元的簽名后��,得到訪問接入設(shè)備證書的鑒別結(jié)果��,根據(jù)該鑒別結(jié)果決定是否接入該訪問接入設(shè)備。
8.根據(jù)權(quán)利要求1或5所述的無線局域網(wǎng)移動(dòng)終端異地接入認(rèn)證方法��,其特征在于���,所述步驟6)具體包括以下處理過程訪問接入設(shè)備歸屬認(rèn)證服務(wù)單元通過其內(nèi)嵌的RADIUS服務(wù)接收到ACCESS-ACCEPT或ACCES-REJECT報(bào)文后�,從中取出認(rèn)證服務(wù)單元異地證書鑒別響應(yīng)����,使用訪問接入設(shè)備歸屬認(rèn)證服務(wù)單元的私鑰對(duì)異地證書鑒別響應(yīng)簽名,并將認(rèn)證服務(wù)單元異地鑒別響應(yīng)和該簽名構(gòu)成訪問接入設(shè)備證書鑒別響應(yīng)發(fā)給訪問接入設(shè)備����。
9.根據(jù)權(quán)利要求8所述的無線局域網(wǎng)移動(dòng)終端異地接入認(rèn)證方法,其特征在于��,所述步驟7)具體包括以下處理過程訪問接入設(shè)備先對(duì)認(rèn)證服務(wù)單元返回的證書鑒別響應(yīng)中的訪問接入設(shè)備歸屬認(rèn)證服務(wù)單元的簽名進(jìn)行簽名驗(yàn)證���,如果驗(yàn)證通過�����,則從證書鑒別響應(yīng)中得到移動(dòng)終端證書的鑒別結(jié)果����,根據(jù)此結(jié)果對(duì)移動(dòng)終端進(jìn)行接入控制,并從接收到的認(rèn)證服務(wù)單元證書鑒別響應(yīng)中取出認(rèn)證服務(wù)單元異地證書鑒別響應(yīng)作為接入鑒別響應(yīng)發(fā)送至移動(dòng)終端�����,移動(dòng)終端接收到接入鑒別響應(yīng)�,驗(yàn)證移動(dòng)終端歸屬認(rèn)證服務(wù)單元的簽名后,得到訪問接入設(shè)備證書的鑒別結(jié)果���,根據(jù)該鑒別結(jié)果決定是否接入該訪問接入設(shè)備�����。
全文摘要
本發(fā)明公開了一種無線局域網(wǎng)移動(dòng)終端異地接入認(rèn)證方法,包括以下處理過程訪問接入設(shè)備鑒別激活移動(dòng)終端���;移動(dòng)終端接入鑒別請(qǐng)求����;訪問接入設(shè)備發(fā)起證書鑒別請(qǐng)求���;訪問接入設(shè)備歸屬認(rèn)證服務(wù)單元發(fā)起異地證書鑒別請(qǐng)求�;移動(dòng)終端歸屬認(rèn)證服務(wù)單元異地鑒別�,并將鑒別響應(yīng)發(fā)送到訪問接入設(shè)備歸屬認(rèn)證服務(wù)單元��;訪問接入設(shè)備鑒別響應(yīng)����;移動(dòng)終端接入鑒別響應(yīng)����。采用本發(fā)明在實(shí)際應(yīng)用中STA僅需預(yù)先安裝其歸屬ASU的證書,而不用每到一地都要預(yù)先安裝當(dāng)?shù)谹SU的證書����,可以簡(jiǎn)單有效地解決STA的漫游認(rèn)證問題。
文檔編號(hào)H04L9/32GK1564516SQ200410029790
公開日2005年1月12日 申請(qǐng)日期2004年3月26日 優(yōu)先權(quán)日2004年3月26日
發(fā)明者田峰 申請(qǐng)人:中興通訊股份有限公司