專利名稱:一種無線局域網(wǎng)移動終端接入的方法
技術(shù)領(lǐng)域:
本發(fā)明涉及無線局域網(wǎng)技術(shù)�,特別是涉及一種無線局域網(wǎng)移動終端接入的方法�。
背景技術(shù):
無線局域網(wǎng)(Wireless Local Area Network,WLAN)以其靈活便捷的優(yōu)勢引起網(wǎng)絡(luò)設(shè)備制造商�����、網(wǎng)絡(luò)運營商和用戶的普遍關(guān)注�,但是,由于WLAN的安全性較差,也引發(fā)了不少問題���。依據(jù)統(tǒng)計調(diào)查的結(jié)果��,安全性較低已經(jīng)成為WLAN廣泛應(yīng)用的最大障礙��。
目前無線局域網(wǎng)絡(luò)產(chǎn)品主要采用的安全措施是依據(jù)IEEE 802.11國際標(biāo)準(zhǔn)���,使用基于RC-4的WEP保密機(jī)制對數(shù)據(jù)進(jìn)行加密傳輸。但是該機(jī)制已經(jīng)被證實存在安全漏洞���。2001年8月以色列的研究人員和思科公司進(jìn)行了WEP安全測試��,他們根據(jù)竊聽到的一部分?jǐn)?shù)據(jù),不到一個小時就破譯出WEP密鑰��。AT&T的研究團(tuán)體也成功地破譯出WEP密鑰�����。
所以�,如何對移動終端進(jìn)行可靠的接入控制,以及如何保證無線通信的保密性是亟待解決的問題����。
我國寬帶無線IP標(biāo)準(zhǔn)工作組制定了WLAN國家標(biāo)準(zhǔn)GB/T 15629.11����,提出了一種新的安全機(jī)制無線局域網(wǎng)鑒別與保密基礎(chǔ)結(jié)構(gòu)(WLANAuthentication and Privacy Infrastructure�����,WAPI)�。WAPI機(jī)制提供了一種基于公鑰證書機(jī)制的無線局域網(wǎng)移動終端安全接入方法。WAPI安全方案中有無線接入用戶終端(Station�,STA)、訪問接入點(Access Point�����,AP)和鑒別服務(wù)單元(Authentication Service Unit�,ASU)三種設(shè)備類型,分別作為鑒別請求者實體(Authentication Supplicant Entity���,ASUE)����、鑒別器實體(Authentication Entity�����,AE)和鑒別服務(wù)實體(Authentication Service Entity,ASE)的載體����,其網(wǎng)絡(luò)結(jié)構(gòu)如圖1所示,從圖1可以看出���,一個ASU連接若干AP�,而一個AP連接若干STA�����。
ASU對其管理范圍內(nèi)的AP和STA進(jìn)行管理并提供證書服務(wù)��。ASU給每一個合法的AP和STA頒發(fā)一個公鑰證書(以下簡稱證書)���,作為網(wǎng)絡(luò)設(shè)備在該WLAN內(nèi)的數(shù)字身份憑證。證書的結(jié)構(gòu)如表1所示表1證書的結(jié)構(gòu)
每個證書還應(yīng)對應(yīng)一個私鑰,也是由證書頒發(fā)者指定�����。和公鑰不同����,私鑰僅由證書持有者自己持有�,并不在證書中公開。
證書的作用在于建立實體名稱和公鑰之間的關(guān)聯(lián),進(jìn)行身份鑒別時�����,驗證方可以通過驗證證書持有者對某一信息的簽名來判斷其是否掌握了證書對應(yīng)的私鑰���,從而確定其是否為證書的真實持有者����。STA與AP之間在ASU的協(xié)助下根據(jù)公鑰證書實現(xiàn)身份的相互鑒別和通信密鑰的協(xié)商。
利用證書實現(xiàn)接入控制的鑒別系統(tǒng)結(jié)構(gòu)如圖2所示�。從圖2中可以看出,STA包含ASUE�����,AP包含AE��,ASU包含ASE����。AP中有兩個端口接收來自STA的連接請求,這兩個端口分別是受控端口和非受控端口����,STA從未受控端口向AP發(fā)出連接請求,在ASU的協(xié)助下雙方進(jìn)行雙向身份認(rèn)證(即證書鑒別)�,若認(rèn)證成功,AP開放受控端口允許STA接入�����,否則AP拒絕STA接入或STA放棄接入AP��。
STA接入流程如圖3所示STA向AP發(fā)出鑒別請求�,即將STA證書發(fā)送給AP;AP再將STA證書和自身證書一起發(fā)送給ASU�����,并對數(shù)據(jù)進(jìn)行簽名�;ASU驗證AP的簽名、AP證書和STA的證書的真實性和有效性��,對鑒別結(jié)果進(jìn)行簽名并發(fā)送到AP�����。STA和AP依據(jù)ASU的鑒別結(jié)果決定是否進(jìn)行連接�。STA與AP證書鑒別成功后進(jìn)行密鑰協(xié)商,密鑰協(xié)商成功后�,STA與AP將自己與對方分別產(chǎn)生的隨機(jī)數(shù)據(jù)進(jìn)行相應(yīng)的運算得到會話密鑰,用協(xié)商好的會話算法加�、解密通信數(shù)據(jù)。
圖4是現(xiàn)有技術(shù)的STA接入方法流程圖���,從圖4可以看出�,STA接入方法的流程包括如下步驟步驟401STA向AP發(fā)送接入請求。
步驟402AP在接收到STA發(fā)來的接入請求后�����,發(fā)送鑒別激活消息至STA�。
步驟403STA發(fā)送接入鑒別請求消息至AP,鑒別請求消息中包括STA的公鑰證書和STA當(dāng)前系統(tǒng)時間����,即接入鑒別時間。
步驟404AP接收到STA發(fā)來的鑒別請求消息后��,記錄接入鑒別時間�����,并發(fā)送證書鑒別請求消息至ASU����,證書鑒別請求消息中包括STA的證書、接入鑒別時間��、AP的證書以及AP用其私鑰對這些數(shù)據(jù)的簽名����。
AP對數(shù)據(jù)簽名是指AP用私鑰對數(shù)據(jù)進(jìn)行加密處理����。
步驟405ASU在接到AP發(fā)來的證書鑒別請求消息后����,用AP的公鑰驗證AP對STA證書��、接入鑒別時間和AP證書的簽名����,如果該簽名合法,則轉(zhuǎn)到步驟406�;否則結(jié)束。
步驟406鑒別AP證書和STA證書是否合法且有效���,生成證書鑒別結(jié)果�����。
證書的合法性是指證書是否由合法的ASU頒發(fā)���。
證書的有效性是指證書是否處于有效期內(nèi),以及證書是否在ASU的廢棄列表中�。
如果STA的證書是由當(dāng)前ASU頒發(fā)的����,則ASU通過查詢自己頒發(fā)的證書廢棄列表或者證書狀態(tài)查詢協(xié)議來鑒別STA證書的有效性和合法性�。
如果STA的證書是由其它ASU頒發(fā)的,表示此時STA處于漫游狀態(tài)���,則ASU通過查詢證書頒發(fā)者頒發(fā)的證書廢棄列表或者證書狀態(tài)查詢協(xié)議來鑒別STA證書的有效性和合法性�。
步驟407ASU發(fā)送證書鑒別響應(yīng)消息至AP�����,該證書鑒別響應(yīng)消息中包括ASU對AP和STA證書進(jìn)行鑒別的結(jié)果��。
步驟408AP讀取證書鑒別結(jié)果����,如果STA證書不合法或無效,則拒絕STA接入����,然后結(jié)束;否則�,轉(zhuǎn)到步驟409。
步驟409AP發(fā)送證書鑒別響應(yīng)消息至STA。
步驟410STA讀取證書鑒別結(jié)果����,如果AP證書不合法或無效,則放棄接入AP�����,然后結(jié)束���;否則轉(zhuǎn)到步驟411,開始密鑰協(xié)商����。
步驟411STA向AP發(fā)送密鑰協(xié)商請求。
步驟412AP產(chǎn)生一串隨機(jī)數(shù)據(jù)����,用STA的公鑰對該隨機(jī)數(shù)據(jù)加密后與備選的會話加密算法一起構(gòu)成密鑰協(xié)商請求消息,將該密鑰協(xié)商請求消息發(fā)送至STA�。
步驟413STA接收到AP發(fā)來的密鑰協(xié)商請求消息后,判斷是否支持至少一種AP提供的備選的會話加密算法�,如果是,則轉(zhuǎn)到步驟415���;否則�����,轉(zhuǎn)到步驟414�����。
步驟414STA發(fā)送會話算法協(xié)商失敗消息至AP����,然后結(jié)束。
步驟415STA從備選算法中選擇一種作為會話加密算法��,用自己的私鑰解密協(xié)商數(shù)據(jù)�����,得到AP產(chǎn)生的隨機(jī)數(shù)據(jù)���。
步驟416STA產(chǎn)生一串隨機(jī)數(shù)據(jù)��,用AP的公鑰加密后����,發(fā)送至AP。
步驟417AP用自己的私鑰解密協(xié)商數(shù)據(jù)���,得到STA產(chǎn)生的隨機(jī)數(shù)據(jù)��。
步驟418STA和AP將自己和對方分別產(chǎn)生的隨機(jī)數(shù)據(jù)進(jìn)行相應(yīng)的運算�,得到會話密鑰�。例如,STA和AP可以將自己和對方分別產(chǎn)生的隨機(jī)數(shù)據(jù)進(jìn)行模2加運算得到會話密鑰��。
這樣�����,STA和AP就可以用協(xié)商好的會話加密算法和會話密鑰對通信數(shù)據(jù)進(jìn)行加密和解密了����。
該接入方法的缺陷是首先�,證書鑒別方案缺少驗證STA證書私鑰的環(huán)節(jié)。ASU對AP的私鑰進(jìn)行驗證��,并檢查了AP證書的合法性和有效性�,但對于STA證書�,只是檢查了其合法性和有效性�����,而沒有驗證STA證書私鑰��。由于證書本身不需要保密也不可能保密��,需要保密的只是證書對應(yīng)的私鑰�,而且在無線局域網(wǎng)環(huán)境下,任何一個請求接入者都可以通過監(jiān)聽或其它途徑獲得合法用戶的證書�,所以如果不對STA的私鑰進(jìn)行驗證就不能確認(rèn)STA的真實身份。
其次��,ASU在驗證STA和AP證書的合法性和有效性時�,需要STA和AP提供完整的證書,增加了鑒別過程的數(shù)據(jù)通信量�����。由于任何一個請求接入者都可以通過監(jiān)聽或其它途徑獲得合法用戶的證書����,所以出示證書并不能確定STA或AP的真實身份,而且�����,由于ASU根據(jù)證書頒發(fā)者名稱和證書序列號就可以唯一確定證書,所以在ASU驗證STA和AP證書的合法性和有效性時�����,僅知道STA和AP的證書頒發(fā)者名稱和證書序列號即可�����,而無需完整的STA和AP證書��。因此�,現(xiàn)有技術(shù)在發(fā)送證書時由于發(fā)送整個證書造成通信的數(shù)據(jù)量較大。
發(fā)明內(nèi)容
本發(fā)明的主要目的在于提供一種無線局域網(wǎng)移動終端的接入方法���,使其能對STA證書的私鑰進(jìn)行鑒別�����,使無線局域網(wǎng)移動終端接入的鑒別機(jī)制更安全。
本發(fā)明的目的是通過如下技術(shù)方案實現(xiàn)的一種無線局域網(wǎng)移動終端接入的方法����,包括以下步驟A、無線接入用戶終端STA對訪問接入點AP生成的第一隨機(jī)數(shù)據(jù)簽名���,得到第一簽名數(shù)據(jù)���,并發(fā)送包含STA證書信息和第一簽名數(shù)據(jù)的接入鑒別請求消息至AP����;B����、AP發(fā)送包含STA證書信息和AP證書信息的證書鑒別請求消息至鑒別服務(wù)單元ASU;C�、ASU驗證STA證書和AP證書的合法性和有效性,生成證書鑒別結(jié)果���,發(fā)送包含證書鑒別結(jié)果的證書鑒別響應(yīng)消息至AP���;D、AP根據(jù)證書鑒別結(jié)果判斷STA證書是否合法且有效���,如果是�,則轉(zhuǎn)到步驟E��,否則��,STA接入失敗,然后結(jié)束�;E、AP使用STA證書的公鑰驗證第一簽名數(shù)據(jù)��,如果驗證通過����,則將證書鑒別結(jié)果發(fā)送至STA;否則�,STA接入失敗,然后結(jié)束�;F、STA根據(jù)證書鑒別結(jié)果判斷AP證書是否合法且有效����,如果是,則STA接入AP��;否則���,STA接入失敗。
步驟A之前進(jìn)一步包括A1��、STA向AP發(fā)送接入請求消息����;A2����、AP收到該消息后�,生成第一隨機(jī)數(shù)據(jù),并將第一隨機(jī)數(shù)據(jù)發(fā)送至STA�。
步驟A進(jìn)一步包括STA生成第二隨機(jī)數(shù)據(jù),步驟A所述接入鑒別請求消息進(jìn)一步包括第二隨機(jī)數(shù)據(jù)��,步驟E進(jìn)一步包括如果解密所得的數(shù)據(jù)與第一隨機(jī)數(shù)據(jù)相同��,AP用其私鑰對第二隨機(jī)數(shù)據(jù)簽名�,得到第二簽名數(shù)據(jù),在將證書鑒別結(jié)果發(fā)送至STA的同時���,將第二簽名數(shù)據(jù)發(fā)送至STA���,步驟F進(jìn)一步包括如果AP證書合法且有效,則STA使用AP證書的公鑰驗證第二簽名數(shù)據(jù)�,如果驗證通過,則STA接入AP����;否則��,STA接入失敗����。
步驟C進(jìn)一步包括在ASU生成證書鑒別結(jié)果之后���,ASU用其私鑰對證書鑒別結(jié)果和第二隨機(jī)數(shù)據(jù)簽名���,然后發(fā)送該簽名數(shù)據(jù)至AP,步驟C和步驟D之間進(jìn)一步包括AP使用ASU證書的公鑰驗證ASU對第二隨機(jī)數(shù)據(jù)的簽名�,如果驗證通過,則轉(zhuǎn)到步驟D�;否則,STA接入失敗���,
步驟E和步驟F之間進(jìn)一步包括STA使用ASU證書的公鑰驗證ASU對第二隨機(jī)數(shù)據(jù)的簽名����,如果驗證通過��,則轉(zhuǎn)到步驟F����;否則,STA接入失敗��。
步驟A1進(jìn)一步包括STA在向AP發(fā)送接入請求消息的同時���,向AP發(fā)送AP證書請求消息��,步驟A2進(jìn)一步包括AP在將第一隨機(jī)數(shù)據(jù)發(fā)送至STA的同時����,發(fā)送AP證書至STA�����。
步驟A1進(jìn)一步包括STA在向AP發(fā)送接入請求消息的同時��,向AP發(fā)送AP證書請求消息�����,步驟E進(jìn)一步包括AP在將證書鑒別結(jié)果和第二簽名數(shù)據(jù)發(fā)送至AP的同時��,發(fā)送AP證書至STA����。
步驟A之前進(jìn)一步包括AP向STA發(fā)送STA證書請求消息����,步驟A進(jìn)一步包括STA在發(fā)送接入鑒別請求消息至AP的同時����,發(fā)送STA證書至AP。
步驟B進(jìn)一步包括AP在發(fā)送證書鑒別請求消息至ASU的同時�,發(fā)送STA證書請求消息至ASU,步驟C進(jìn)一步包括ASU在發(fā)送證書鑒別響應(yīng)消息至AP的同時����,發(fā)送STA證書至AP。
所述證書信息包括證書頒發(fā)者名稱和證書序列號���。
所述證書鑒別結(jié)果至少包括AP的證書頒發(fā)者名稱����、證書序列號和證書是否有效�,以及STA的證書頒發(fā)者名稱、證書序列號和證書是否有效��。
步驟F之后進(jìn)一步包括STA和AP通過對自身生成的隨機(jī)數(shù)據(jù)和對方生成的隨機(jī)數(shù)據(jù)進(jìn)行計算獲得會話密鑰�����,并選擇雙方均支持的用于對通信數(shù)據(jù)進(jìn)行加密和解密的會話算法。
所述用證書的私鑰對隨機(jī)數(shù)據(jù)簽名的方法是用證書的簽名算法計算隨機(jī)數(shù)據(jù)的摘要�����,然后用證書的私鑰對隨機(jī)數(shù)據(jù)的摘要加密����,所述用證書的公鑰驗證簽名數(shù)據(jù)的方法是用證書的公鑰對簽名數(shù)據(jù)解密�����,并用證書的簽名算法計算隨機(jī)數(shù)據(jù)的摘要�����,將解密所得的數(shù)據(jù)與隨機(jī)數(shù)據(jù)的摘要比較���,如果相同�����,則驗證通過�����;否則��,驗證不通過���。
所述判斷證書是否合法的方法是判斷證書的頒發(fā)者名稱對應(yīng)的ASU是否合法的ASU�,如果是�,則證書合法;否則����,證書不合法,所述判斷證書是否有效的方法是判斷證書是否在證書頒發(fā)者名稱對應(yīng)的ASU的廢棄列表內(nèi)��,如果證書不在證書頒發(fā)者名稱對應(yīng)的ASU的廢棄列表內(nèi)�,則證書有效;如果證書在證書頒發(fā)者名稱對應(yīng)的ASU的廢棄列表之內(nèi)�����,則證書無效�����。
一種無線局域網(wǎng)移動終端接入的方法,包括以下步驟A���、STA對AP生成的第一隨機(jī)數(shù)據(jù)簽名����,得到第一簽名數(shù)據(jù)�����,發(fā)送包含STA證書信息和第一簽名數(shù)據(jù)的接入鑒別請求消息至AP�����;B���、AP發(fā)送包含STA證書信息、AP證書信息�、第一隨機(jī)數(shù)據(jù)和第一簽名數(shù)據(jù)的證書鑒別請求消息至ASU;C����、ASU用STA證書的公鑰驗證第一簽名數(shù)據(jù),如果驗證通過�����,則轉(zhuǎn)到步驟D;否則��,發(fā)送鑒別失敗消息至AP���,然后結(jié)束����;D��、ASU驗證STA證書和AP證書的合法性和有效性�,生成證書鑒別結(jié)果,并發(fā)送包含證書鑒別結(jié)果的證書鑒別響應(yīng)消息至AP�����;E����、AP根據(jù)證書鑒別結(jié)果判斷STA證書是否合法且有效,如果是��,則轉(zhuǎn)到步驟F���;否則��,STA接入失敗�����,然后結(jié)束����;F、STA根據(jù)證書鑒別結(jié)果判斷AP證書是否合法且有效�����,如果是���,則STA接入AP;否則����,STA接入失敗。
步驟A之前進(jìn)一步包括A1���、STA向AP發(fā)送請求接入消息�����;A2�、AP收到該消息后,生成第一隨機(jī)數(shù)據(jù)�����,并將第一隨機(jī)數(shù)據(jù)發(fā)送至STA����。
步驟A進(jìn)一步包括STA生成第二隨機(jī)數(shù)據(jù),步驟A所述接入鑒別請求消息進(jìn)一步包括第二隨機(jī)數(shù)據(jù)�,
步驟B進(jìn)一步包括AP用其私鑰對第二隨機(jī)數(shù)據(jù)簽名,得到第二簽名數(shù)據(jù)��,步驟B所述證書鑒別請求消息進(jìn)一步包括第二隨機(jī)數(shù)據(jù)和第二簽名數(shù)據(jù)����,步驟B和步驟C之間進(jìn)一步包括ASU使用AP證書的公鑰驗證第二簽名數(shù)據(jù),如果驗證通過�����,則轉(zhuǎn)到步驟C;否則�����,發(fā)送鑒別失敗消息至AP���,然后結(jié)束�����。
步驟D進(jìn)一步包括ASU用其私鑰對證書鑒別結(jié)果��、第一隨機(jī)數(shù)據(jù)和第二隨機(jī)數(shù)據(jù)簽名�����,然后發(fā)送該簽名數(shù)據(jù)至AP�����,步驟D和步驟E之間進(jìn)一步包括AP使用ASU證書的公鑰驗證ASU對第一隨機(jī)數(shù)據(jù)的簽名數(shù)據(jù),如果驗證通過����,則轉(zhuǎn)到步驟E;否則,STA的接入失敗��,步驟E和步驟F之間進(jìn)一步包括STA使用ASU證書的公鑰驗證ASU對第二隨機(jī)數(shù)據(jù)的簽名數(shù)據(jù)��,如果驗證通過�,則轉(zhuǎn)到步驟F;否則�����,STA接入失敗�。
所述證書信息包括證書頒發(fā)者名稱和證書序列號。
所述證書鑒別結(jié)果至少包括AP的證書頒發(fā)者名稱�����、證書序列號和證書是否有效�,以及STA的證書頒發(fā)者名稱、證書序列號和證書是否有效���。
步驟F之后進(jìn)一步包括STA和AP通過對自身生成的隨機(jī)數(shù)據(jù)和對方生成的隨機(jī)數(shù)據(jù)進(jìn)行計算獲得會話密鑰���,并選擇雙方均支持的用于對通信數(shù)據(jù)進(jìn)行加密和解密的會話算法。
所述用證書的私鑰對隨機(jī)數(shù)據(jù)簽名的方法是用證書的簽名算法計算隨機(jī)數(shù)據(jù)的摘要��,然后用證書的私鑰對隨機(jī)數(shù)據(jù)的摘要加密,所述用證書的公鑰驗證簽名數(shù)據(jù)的方法是用證書的公鑰對簽名數(shù)據(jù)解密���,并用證書的簽名算法計算隨機(jī)數(shù)據(jù)的摘要�,將解密所得的數(shù)據(jù)與隨機(jī)數(shù)據(jù)的摘要比較��,如果相同�����,則驗證通過�;否則,驗證不通過��。
所述判斷證書是否合法的方法是判斷證書的頒發(fā)者名稱對應(yīng)的ASU是否合法的ASU��,如果是�����,則證書合法�����;否則��,證書不合法�����,所述判斷證書是否有效的方法是判斷證書是否在證書頒發(fā)者名稱對應(yīng)的ASU的廢棄列表內(nèi)����,如果證書不在證書頒發(fā)者名稱對應(yīng)的ASU的廢棄列表內(nèi),則證書有效���;如果在證書頒發(fā)者名稱對應(yīng)的ASU的廢棄列表之內(nèi)����,則證書無效���。
通過以上的技術(shù)方案可以看出���,本發(fā)明的無線局域網(wǎng)移動終端的接入方法在驗證無線接入用戶終端證書和訪問接入點證書的合法性和有效性,并驗證訪問接入點證書的私鑰的基礎(chǔ)上��,增加了驗證STA證書私鑰的步驟�����;而現(xiàn)有技術(shù)的無線局域網(wǎng)移動終端的接入方法僅驗證證書的合法性和有效性,以及驗證訪問接入點證書的私鑰����,并不驗證STA證書的私鑰。在無線局域網(wǎng)的環(huán)境下���,任何一個試圖接入者都可以通過監(jiān)聽或其它途徑獲取一合法用戶的證書����,證書本身不可能保密����,只有與證書對應(yīng)的私鑰是保密的,如果不驗證STA證書的私鑰����,則不能確認(rèn)STA的真實身份。本發(fā)明增加了驗證STA私鑰的步驟���,可以確認(rèn)STA的真實身份����,提供更安全的接入鑒別機(jī)制����。
其次,本發(fā)明的方法中�����,AP向ASU發(fā)送STA和AP的證書信息時����,僅發(fā)送STA和AP證書的證書頒發(fā)者名稱和證書序列號;而現(xiàn)有技術(shù)的方法中�,AP向ASU發(fā)送完整的STA和AP證書,由于證書不可能保密��,所以發(fā)送完整的證書也不能幫助確認(rèn)STA和AP的身份����,而且ASU根據(jù)證書的頒發(fā)者名稱和證書序列號就可以唯一確認(rèn)證書,所以��,本發(fā)明的方法用證書頒發(fā)者名稱和證書序列號代替完整的證書����,既不影響安全性,同時減少了鑒別過程的數(shù)據(jù)通信量��。
第三,在本發(fā)明的方法中�,ASU對證書鑒別結(jié)果和隨機(jī)數(shù)據(jù)簽名,并將證書鑒別結(jié)果和ASU對證書鑒別結(jié)果和隨機(jī)數(shù)據(jù)的簽名發(fā)送至訪問接入點����;而在現(xiàn)有技術(shù)的方法中,ASU不對證書鑒別結(jié)果和隨機(jī)數(shù)據(jù)簽名�,僅發(fā)送證書鑒別結(jié)果至訪問接入點,這樣���,該證書鑒別結(jié)果有可能被重復(fù)使用或被盜用���,而本發(fā)明的方法中,ASU對證書鑒別結(jié)果和隨機(jī)數(shù)據(jù)簽名�,由于隨機(jī)數(shù)據(jù)重復(fù)的可能性非常低,所以可以避免鑒別結(jié)果重復(fù)使用�����,進(jìn)一步提高的接入方法的安全性�。
圖1是無線局域網(wǎng)網(wǎng)絡(luò)結(jié)構(gòu)示意圖。
圖2是利用證書實現(xiàn)接入控制的鑒別系統(tǒng)的結(jié)構(gòu)示意圖����。
圖3是實現(xiàn)STA接入的流程圖�。
圖4是現(xiàn)有技術(shù)實現(xiàn)STA接入的方法流程圖�。
圖5是根據(jù)本發(fā)明實施例一的實現(xiàn)STA接入的方法流程圖。
圖6是根據(jù)本發(fā)明實施例二的實現(xiàn)STA接入的方法流程圖���。
具體實施例方式
為了使本發(fā)明的目的、技術(shù)方案和優(yōu)點更清楚��,下面結(jié)合附圖和具體實施方式
對本發(fā)明作進(jìn)一步描述���。
本發(fā)明的實現(xiàn)STA接入的方法是在鑒別STA和AP證書���,以及AP證書對應(yīng)的私鑰的基礎(chǔ)上,驗證STA證書對應(yīng)的私鑰��。
具體實施例1圖5是根據(jù)本發(fā)明實施例一的實現(xiàn)STA接入方法流程圖����,從圖5可以看出,該方法包括如下步驟步驟501STA向AP發(fā)送接入請求����。
步驟502AP在接收到STA發(fā)來的接入請求后,發(fā)送鑒別激活消息至STA��,該鑒別激活消息中包括AP生成的一串隨機(jī)數(shù)據(jù)RPS。
步驟503STA在接收到AP發(fā)來的鑒別激活消息后�,用自己的私鑰對RPS簽名,該簽名數(shù)據(jù)為QRPS����,并生成一串隨機(jī)數(shù)據(jù)RSP。
STA用其私鑰對RPS簽名的過程是首先用STA證書中的簽名算法對RPS進(jìn)行計算���,得到RPS的摘要�����,然后用STA的私鑰對摘要加密����。
步驟504STA發(fā)送接入鑒別請求消息至AP�����,該接入鑒別請求消息中包括STA用自己的私鑰對隨機(jī)數(shù)據(jù)RPS的簽名�、STA生成的隨機(jī)數(shù)據(jù)RSP、STA的證書頒發(fā)者名稱和STA證書的序列號��。
步驟505AP接收到STA發(fā)來的接入鑒別請求消息后,發(fā)送證書鑒別請求消息至ASU�����,該證書鑒別請求消息中包括STA的證書頒發(fā)者名稱��、STA證書序列號���、STA生成的隨機(jī)數(shù)據(jù)RSP�、AP的證書頒發(fā)者和AP證書序列號�。
步驟506ASU在接到AP發(fā)來的證書鑒別請求消息后��,根據(jù)AP和STA的證書頒發(fā)者和證書序列號判斷AP和STA證書是否合法且有效����,并生成證書鑒別結(jié)果。證書鑒別結(jié)果應(yīng)該包含STA的證書頒發(fā)者名稱�����、STA證書序列號��、STA證書是否合法且有效���、AP的證書頒發(fā)者名稱��、AP證書序列號��、AP證書是否合法且有效����。
證書的合法性是指證書是否由合法的ASU頒發(fā)。
證書的有效性是指證書是否在ASU的廢棄列表中����。
步驟507ASU用其私鑰對AP發(fā)送來證書鑒別請求消息中的RSP和鑒別結(jié)果簽名。
步驟508ASU發(fā)送證書鑒別響應(yīng)消息至AP����,該證書鑒別響應(yīng)消息包括證書鑒別結(jié)果和ASU用其私鑰對證書鑒別結(jié)果和RSP的簽名。
步驟509AP在接收到ASU發(fā)來的證書鑒別響應(yīng)消息后��,用ASU證書的公鑰驗證ASU對證書鑒別結(jié)果和RSP的簽名����,如果驗證通過,則說明該證書鑒別結(jié)果是真實的��,轉(zhuǎn)到步驟510����;否則���,轉(zhuǎn)到步驟511。
AP用ASU證書的公鑰驗證證書鑒別結(jié)果的真實性的方法是AP用ASU證書的公鑰對ASU對RSP的簽名數(shù)據(jù)解密�����,并用ASU證書的簽名算法計算的RSP摘要�����,將解密所得的數(shù)據(jù)與RSP的摘要比較��,如果相同�,則說明證書鑒別結(jié)果是真實的��;否則說明證書鑒別結(jié)果不真實��。
步驟510AP讀取STA證書的鑒別結(jié)果����,如果STA證書合法且有效,則轉(zhuǎn)到步驟512�����;否則,轉(zhuǎn)到步驟511��。
步驟511AP拒絕STA的接入��,然后結(jié)束��。
步驟512AP用STA的公鑰驗證STA對RPS的簽名QRPS��,如果驗證通過�,則轉(zhuǎn)到步驟513;否則��,返回步驟511�。
AP用STA的公鑰驗證STA對RPS的簽名QRPS的方法是AP用STA的公鑰對QRPS解密,并用STA證書的簽名算法計算的RPS摘要�,如果解密所得的數(shù)據(jù)與RPS的摘要相同,則說明該STA的私鑰合法����;否則,說明該STA的私鑰不合法�����。
步驟513AP用自己的私鑰對RSP簽名,得到簽名數(shù)據(jù)QRSP��,發(fā)送證書鑒別響應(yīng)消息至STA�,該證書鑒別響應(yīng)消息包括AP對RSP的簽名QRSP和ASU對證書鑒別結(jié)果和RSP的簽名。
AP用其私鑰對RSP簽名的過程是首先用AP證書中的簽名算法對RSP進(jìn)行計算�,得到RSP的摘要,然后用AP的私鑰對摘要加密�����。
步驟514STA在接收到AP發(fā)來的證書鑒別響應(yīng)消息后�����,用ASU證書的公鑰驗證證書鑒別結(jié)果的真實性��。如果驗證通過�,則轉(zhuǎn)到步驟516;否則�,轉(zhuǎn)到步驟515���。
STA用ASU證書的公鑰驗證證書鑒別結(jié)果的真實性的方法是STA用ASU證書的公鑰對ASU對RSP的簽名數(shù)據(jù)解密���,并用ASU證書的公鑰計算RSP的摘要�����,將解密所得的數(shù)據(jù)與RSP的摘要相比較�����,如果相同�,則說明證書鑒別結(jié)果是真實的�����;否則說明證書鑒別結(jié)果不真實����。
步驟515STA放棄接入AP,然后結(jié)束��。
步驟516STA讀取ASU對AP證書的鑒定結(jié)果���,如果AP證書合法且有效����,則轉(zhuǎn)到步驟517�����;否則,返回步驟515��。
步驟517STA用AP證書中的公鑰驗證AP對RSP的簽名QRSP�����,如果有效�,則轉(zhuǎn)到步驟411;否則��,返回步驟515����。
STA用AP的公鑰驗證AP對RSP的簽名QRSP是否合法的方法是STA用AP的公鑰對QRSP解密,并用AP證書的公鑰計算RSP的摘要�����,如果解密所得的數(shù)據(jù)與RSP的摘要相同��,則說明該AP的私鑰合法�����;否則����,說明該AP的私鑰不合法。
步驟411至步驟418是AP與STA進(jìn)行密鑰協(xié)商的步驟����,在協(xié)商完畢后,STA和AP就可以用協(xié)商好的會話加密算法和會話密鑰對通信數(shù)據(jù)進(jìn)行加密和解密了���。
需要注意的是��,通常STA保存近期與其關(guān)聯(lián)的AP的證書��,AP保存近期與其關(guān)聯(lián)的STA的證書�����,在STA或AP保存對方證書的情況下��,一般無需對方專門出示證書以獲得對方的公鑰��。但是��,一般情況下STA不會長期保存與其關(guān)聯(lián)的AP的證書����,AP也不會長期保存與其關(guān)聯(lián)的STA的證書,在這種情況下�����,STA或AP需要對方專門出示證書以獲得對方的公鑰����,AP也可以通過向ASU請求獲得STA的證書,例如���,STA在步驟501向AP請求證書����,AP可以在步驟502和步驟513向STA發(fā)送AP證書����,STA可以在步驟504向AP發(fā)送證書,或者�����,AP可以在步驟505向ASU請求STA證書,ASU在步驟508發(fā)送STA證書至AP�。
具體實施例2如果STA和AP的計算能力不夠,則可由ASU統(tǒng)一對AP和STA的私鑰進(jìn)行驗證����。
圖6是根據(jù)本發(fā)明實施例二的實現(xiàn)STA接入的方法流程圖�,從圖6可以看出,STA接入方法的流程包括如下步驟步驟601STA向AP發(fā)送接入請求��。
步驟602AP在接收到STA發(fā)來的接入請求后�����,發(fā)送鑒別激活消息至STA��,該鑒別激活消息中包括AP生成的一串隨機(jī)數(shù)據(jù)RPS�,并向STA發(fā)送AP的證書。
步驟603STA在接收到AP發(fā)來的鑒別激活消息后�����,用自己的私鑰對RPS簽名����,得到簽名數(shù)據(jù)QRPS,并生成一串隨機(jī)數(shù)據(jù)RSP。
步驟604STA發(fā)送鑒別請求消息至AP����,鑒別請求消息中包括STA用自己的私鑰對隨機(jī)數(shù)據(jù)RPS的簽名QRPS、STA生成的隨機(jī)數(shù)據(jù)RSP�����、STA的證書頒發(fā)者名稱和STA證書的序列號�����,并向AP發(fā)送STA的證書�����。
步驟605AP接收到STA發(fā)來的鑒別請求消息后����,發(fā)送證書鑒別請求消息至ASU,該證書鑒別請求消息中包括STA的證書頒發(fā)者名稱���、STA證書序列號�����、STA生成的隨機(jī)數(shù)據(jù)RSP及AP對RSP的簽名QRSP�、AP的證書頒發(fā)者、AP證書序列號和AP生成的隨機(jī)數(shù)據(jù)RPS及STA對RPS的簽名QRPS�����。
步驟606ASU在接到AP發(fā)來的證書鑒別請求消息后����,用AP證書的公鑰驗證AP對RSP的簽名QRSP��,并用STA證書的公鑰驗證STA對RPS的簽名QRPS�,如果驗證通過,則轉(zhuǎn)到步驟607�;否則,發(fā)送鑒別失敗消息至AP���,然后結(jié)束����。
步驟607分別檢查AP和STA的證書頒發(fā)者和證書序列號所標(biāo)識的證書是否合法且有效�����,并生成證書鑒別結(jié)果。證書鑒別結(jié)果應(yīng)該包含STA的證書頒發(fā)者名稱���、STA證書序列號�����、STA證書是否合法且有效����、AP的證書頒發(fā)者名稱�����、AP證書序列號�、AP證書是否合法且有效。
步驟608ASU用私鑰對AP發(fā)送來的證書鑒別請求消息中的RSP����、RPS和鑒別結(jié)果簽名。
步驟609ASU發(fā)送證書鑒別響應(yīng)消息至AP���,該證書鑒別響應(yīng)消息包括證書鑒別結(jié)果和ASU對RSP����、RPS和證書鑒別結(jié)果的簽名。
步驟610AP在接收到ASU發(fā)來的證書鑒別響應(yīng)消息后����,用ASU證書的公鑰驗證證書鑒別結(jié)果的真實性,如果驗證通過�,則轉(zhuǎn)到步驟611;否則���,轉(zhuǎn)到步驟612��。
步驟611AP讀取STA證書的鑒別結(jié)果���,如果STA證書合法且有效��,則轉(zhuǎn)到步驟613���;否則���,轉(zhuǎn)到步驟612。
步驟612AP拒絕STA的接入���,然后結(jié)束���。
步驟613AP發(fā)送鑒別響應(yīng)消息至STA�,該鑒別響應(yīng)消息包括證書鑒別結(jié)果和ASU對RSP的簽名����。
步驟614STA在接收到AP發(fā)來的證書鑒別響應(yīng)消息后,用ASU證書的公鑰驗證證書鑒別結(jié)果的真實性�,如果驗證通過,則轉(zhuǎn)到步驟616�;否則,轉(zhuǎn)到步驟615����。
步驟615STA放棄接入AP,然后結(jié)束���。
步驟616STA讀取ASU對AP證書的鑒定結(jié)果�����,如果AP證書合法且有效�,則轉(zhuǎn)到步驟411�����;否則,返回步驟615���。
步驟411至步驟418是AP與STA進(jìn)行密鑰協(xié)商的步驟�����,協(xié)商完畢后��,STA和AP就可以用協(xié)商好的會話加密算法和會話密鑰對通信數(shù)據(jù)進(jìn)行加密和解密了��。
需要注意的是���,一般來說ASU保存其頒發(fā)的所有證書,所以在驗證AP和STA私鑰的時候無需AP提供AP和STA的公鑰���。
從以上分析可以看出,本發(fā)明的實現(xiàn)STA接入的大致流程也如圖3所示��,包括證書鑒別和密鑰協(xié)商兩部分�,其中,密鑰協(xié)商部分與現(xiàn)有技術(shù)的方法完全相同�,證書鑒別部分與現(xiàn)有技術(shù)的方法在STA、AP和ASU之間傳遞的消息相同���,所不同的是消息中傳遞的數(shù)據(jù)不同��,并且在STA�、AP和ASU中所進(jìn)行的處理也不同。
在具體的實施過程中可對根據(jù)本發(fā)明的方法進(jìn)行適當(dāng)?shù)母倪M(jìn)�,以適應(yīng)具體情況的具體需要。因此可以理解��,根據(jù)本發(fā)明的具體實施方式
只是起示范作用�,并不用以限制本發(fā)明的保護(hù)范圍。
權(quán)利要求
1.一種無線局域網(wǎng)移動終端接入的方法��,其特征在于����,該方法包括以下步驟A、無線接入用戶終端STA對訪問接入點AP生成的第一隨機(jī)數(shù)據(jù)簽名�����,得到第一簽名數(shù)據(jù)��,并發(fā)送包含STA證書信息和第一簽名數(shù)據(jù)的接入鑒別請求消息至AP��;B、AP發(fā)送包含STA證書信息和AP證書信息的證書鑒別請求消息至鑒別服務(wù)單元ASU����;C、ASU驗證STA證書和AP證書的合法性和有效性��,生成證書鑒別結(jié)果���,發(fā)送包含證書鑒別結(jié)果的證書鑒別響應(yīng)消息至AP���;D、AP根據(jù)證書鑒別結(jié)果判斷STA證書是否合法且有效�,如果是,則轉(zhuǎn)到步驟E�����,否則�����,STA接入失敗�����,然后結(jié)束�����;E����、AP使用STA證書的公鑰驗證第一簽名數(shù)據(jù),如果驗證通過�,則將證書鑒別結(jié)果發(fā)送至STA;否則�����,STA接入失敗����,然后結(jié)束;F�����、STA根據(jù)證書鑒別結(jié)果判斷AP證書是否合法且有效����,如果是,則STA接入AP;否則��,STA接入失敗��。
2.根據(jù)權(quán)利要求1所述的無線局域網(wǎng)移動終端接入的方法����,其特征在于,步驟A之前進(jìn)一步包括A1���、STA向AP發(fā)送接入請求消息��;A2�、AP收到該消息后���,生成第一隨機(jī)數(shù)據(jù)�����,并將第一隨機(jī)數(shù)據(jù)發(fā)送至STA��。
3.根據(jù)權(quán)利要求2所述的無線局域網(wǎng)移動終端接入的方法����,其特征在于�����,步驟A進(jìn)一步包括STA生成第二隨機(jī)數(shù)據(jù)�����,步驟A所述接入鑒別請求消息進(jìn)一步包括第二隨機(jī)數(shù)據(jù)���,步驟E進(jìn)一步包括如果解密所得的數(shù)據(jù)與第一隨機(jī)數(shù)據(jù)相同�,AP用其私鑰對第二隨機(jī)數(shù)據(jù)簽名�,得到第二簽名數(shù)據(jù),在將證書鑒別結(jié)果發(fā)送至STA的同時��,將第二簽名數(shù)據(jù)發(fā)送至STA��,步驟F進(jìn)一步包括如果AP證書合法且有效����,則STA使用AP證書的公鑰驗證第二簽名數(shù)據(jù),如果驗證通過��,則STA接入AP���;否則�����,STA接入失敗�。
4.根據(jù)權(quán)利要求3所述的無線局域網(wǎng)移動終端接入的方法,其特征在于����,步驟C進(jìn)一步包括在ASU生成證書鑒別結(jié)果之后,ASU用其私鑰對證書鑒別結(jié)果和第二隨機(jī)數(shù)據(jù)簽名�,然后發(fā)送該簽名數(shù)據(jù)至AP,步驟C和步驟D之間進(jìn)一步包括AP使用ASU證書的公鑰驗證ASU對第二隨機(jī)數(shù)據(jù)的簽名�,如果驗證通過,則轉(zhuǎn)到步驟D��;否則�,STA接入失敗,步驟E和步驟F之間進(jìn)一步包括STA使用ASU證書的公鑰驗證ASU對第二隨機(jī)數(shù)據(jù)的簽名�,如果驗證通過,則轉(zhuǎn)到步驟F��;否則�,STA接入失敗。
5.根據(jù)權(quán)利要求3所述的無線局域網(wǎng)移動終端接入的方法�,其特征在于��,步驟A1進(jìn)一步包括STA在向AP發(fā)送接入請求消息的同時����,向AP發(fā)送AP證書請求消息����,步驟A2進(jìn)一步包括AP在將第一隨機(jī)數(shù)據(jù)發(fā)送至STA的同時�,發(fā)送AP證書至STA。
6.根據(jù)權(quán)利要求3所述的無線局域網(wǎng)移動終端接入的方法�����,其特征在于���,步驟A1進(jìn)一步包括STA在向AP發(fā)送接入請求消息的同時���,向AP發(fā)送AP證書請求消息,步驟E進(jìn)一步包括AP在將證書鑒別結(jié)果和第二簽名數(shù)據(jù)發(fā)送至AP的同時����,發(fā)送AP證書至STA。
7.根據(jù)權(quán)利要求1所述的無線局域網(wǎng)移動終端接入的方法���,其特征在于�,步驟A之前進(jìn)一步包括AP向STA發(fā)送STA證書請求消息,步驟A進(jìn)一步包括STA在發(fā)送接入鑒別請求消息至AP的同時��,發(fā)送STA證書至AP����。
8.根據(jù)權(quán)利要求1所述的無線局域網(wǎng)移動終端接入的方法,其特征在于���,步驟B進(jìn)一步包括AP在發(fā)送證書鑒別請求消息至ASU的同時�����,發(fā)送STA證書請求消息至ASU�,步驟C進(jìn)一步包括ASU在發(fā)送證書鑒別響應(yīng)消息至AP的同時��,發(fā)送STA證書至AP����。
9.根據(jù)權(quán)利要求1所述的無線局域網(wǎng)移動終端接入的方法,其特征在于�,所述證書信息包括證書頒發(fā)者名稱和證書序列號。
10.根據(jù)權(quán)利要求1�、3����、4或6所述的無線局域網(wǎng)移動終端接入的方法���,其特征在于��,所述證書鑒別結(jié)果至少包括AP的證書頒發(fā)者名稱�、證書序列號和證書是否有效�����,以及STA的證書頒發(fā)者名稱��、證書序列號和證書是否有效���。
11.根據(jù)權(quán)利要求1所述的無線局域網(wǎng)移動終端接入的方法,其特征在于����,步驟F之后進(jìn)一步包括STA和AP通過對自身生成的隨機(jī)數(shù)據(jù)和對方生成的隨機(jī)數(shù)據(jù)進(jìn)行計算獲得會話密鑰,并選擇雙方均支持的用于對通信數(shù)據(jù)進(jìn)行加密和解密的會話算法�����。
12.根據(jù)權(quán)利要求1、3或4所述的無線局域網(wǎng)移動終端接入的方法�,其特征在于,所述用證書的私鑰對隨機(jī)數(shù)據(jù)簽名的方法是用證書的簽名算法計算隨機(jī)數(shù)據(jù)的摘要�,然后用證書的私鑰對隨機(jī)數(shù)據(jù)的摘要加密,所述用證書的公鑰驗證簽名數(shù)據(jù)的方法是用證書的公鑰對簽名數(shù)據(jù)解密����,并用證書的簽名算法計算隨機(jī)數(shù)據(jù)的摘要,將解密所得的數(shù)據(jù)與隨機(jī)數(shù)據(jù)的摘要比較�,如果相同,則驗證通過�;否則,驗證不通過�����。
13.根據(jù)權(quán)利要求1所述的無線局域網(wǎng)移動終端接入的方法�����,其特征在于���,所述判斷證書是否合法的方法是判斷證書的頒發(fā)者名稱對應(yīng)的ASU是否合法的ASU���,如果是�����,則證書合法����;否則����,證書不合法,所述判斷證書是否有效的方法是判斷證書是否在證書頒發(fā)者名稱對應(yīng)的ASU的廢棄列表內(nèi)�,如果證書不在證書頒發(fā)者名稱對應(yīng)的ASU的廢棄列表內(nèi),則證書有效���;如果證書在證書頒發(fā)者名稱對應(yīng)的ASU的廢棄列表之內(nèi),則證書無效�����。
14.一種無線局域網(wǎng)移動終端接入的方法�,其特征在于,該方法包括以下步驟A�、STA對AP生成的第一隨機(jī)數(shù)據(jù)簽名,得到第一簽名數(shù)據(jù),發(fā)送包含STA證書信息和第一簽名數(shù)據(jù)的接入鑒別請求消息至AP���;B�、AP發(fā)送包含STA證書信息���、AP證書信息����、第一隨機(jī)數(shù)據(jù)和第一簽名數(shù)據(jù)的證書鑒別請求消息至ASU��;C��、ASU用STA證書的公鑰驗證第一簽名數(shù)據(jù)��,如果驗證通過���,則轉(zhuǎn)到步驟D�;否則�����,發(fā)送鑒別失敗消息至AP�����,然后結(jié)束;D�����、ASU驗證STA證書和AP證書的合法性和有效性��,生成證書鑒別結(jié)果��,并發(fā)送包含證書鑒別結(jié)果的證書鑒別響應(yīng)消息至AP����;E、AP根據(jù)證書鑒別結(jié)果判斷STA證書是否合法且有效��,如果是����,則轉(zhuǎn)到步驟F����;否則,STA接入失敗�,然后結(jié)束;F、STA根據(jù)證書鑒別結(jié)果判斷AP證書是否合法且有效��,如果是�,則STA接入AP;否則�����,STA接入失敗���。
15.根據(jù)權(quán)利要求14所述的無線局域網(wǎng)移動終端接入的方法��,其特征在于�����,步驟A之前進(jìn)一步包括A1�、STA向AP發(fā)送請求接入消息�����;A2�、AP收到該消息后,生成第一隨機(jī)數(shù)據(jù)���,并將第一隨機(jī)數(shù)據(jù)發(fā)送至STA�。
16.根據(jù)權(quán)利要求15所述的無線局域網(wǎng)移動終端接入的方法,其特征在于��,步驟A進(jìn)一步包括STA生成第二隨機(jī)數(shù)據(jù)�����,步驟A所述接入鑒別請求消息進(jìn)一步包括第二隨機(jī)數(shù)據(jù)�,步驟B進(jìn)一步包括AP用其私鑰對第二隨機(jī)數(shù)據(jù)簽名,得到第二簽名數(shù)據(jù)�����,步驟B所述證書鑒別請求消息進(jìn)一步包括第二隨機(jī)數(shù)據(jù)和第二簽名數(shù)據(jù)��,步驟B和步驟C之間進(jìn)一步包括ASU使用AP證書的公鑰驗證第二簽名數(shù)據(jù)����,如果驗證通過,則轉(zhuǎn)到步驟C��;否則�����,發(fā)送鑒別失敗消息至AP��,然后結(jié)束���。
17.根據(jù)權(quán)利要求16所述的無線局域網(wǎng)移動終端接入的方法���,其特征在于,步驟D進(jìn)一步包括ASU用其私鑰對證書鑒別結(jié)果����、第一隨機(jī)數(shù)據(jù)和第二隨機(jī)數(shù)據(jù)簽名,然后發(fā)送該簽名數(shù)據(jù)至AP�����,步驟D和步驟E之間進(jìn)一步包括AP使用ASU證書的公鑰驗證ASU對第一隨機(jī)數(shù)據(jù)的簽名數(shù)據(jù)�����,如果驗證通過�����,則轉(zhuǎn)到步驟E�����;否則,STA的接入失敗����,步驟E和步驟F之間進(jìn)一步包括STA使用ASU證書的公鑰驗證ASU對第二隨機(jī)數(shù)據(jù)的簽名數(shù)據(jù),如果驗證通過���,則轉(zhuǎn)到步驟F�;否則��,STA接入失敗�����。
18.根據(jù)權(quán)利要求14所述的無線局域網(wǎng)移動終端接入的方法�,其特征在于,所述證書信息包括證書頒發(fā)者名稱和證書序列號�����。
19.根據(jù)權(quán)利要求14或17所述的無線局域網(wǎng)移動終端接入的方法���,其特征在于�,所述證書鑒別結(jié)果至少包括AP的證書頒發(fā)者名稱、證書序列號和證書是否有效����,以及STA的證書頒發(fā)者名稱��、證書序列號和證書是否有效�。
20.根據(jù)權(quán)利要求14所述的無線局域網(wǎng)移動終端接入的方法,其特征在于��,步驟F之后進(jìn)一步包括STA和AP通過對自身生成的隨機(jī)數(shù)據(jù)和對方生成的隨機(jī)數(shù)據(jù)進(jìn)行計算獲得會話密鑰�����,并選擇雙方均支持的用于對通信數(shù)據(jù)進(jìn)行加密和解密的會話算法��。
21.根據(jù)權(quán)利要求14����、16或17所述的無線局域網(wǎng)移動終端接入的方法,其特征在于����,所述用證書的私鑰對隨機(jī)數(shù)據(jù)簽名的方法是用證書的簽名算法計算隨機(jī)數(shù)據(jù)的摘要,然后用證書的私鑰對隨機(jī)數(shù)據(jù)的摘要加密�,所述用證書的公鑰驗證簽名數(shù)據(jù)的方法是用證書的公鑰對簽名數(shù)據(jù)解密����,并用證書的簽名算法計算隨機(jī)數(shù)據(jù)的摘要�,將解密所得的數(shù)據(jù)與隨機(jī)數(shù)據(jù)的摘要比較,如果相同����,則驗證通過;否則��,驗證不通過�����。
22.根據(jù)權(quán)利要求14所述的無線局域網(wǎng)移動終端接入的方法�����,其特征在于��,所述判斷證書是否合法的方法是判斷證書的頒發(fā)者名稱對應(yīng)的ASU是否合法的ASU�,如果是,則證書合法�����;否則,證書不合法��,所述判斷證書是否有效的方法是判斷證書是否在證書頒發(fā)者名稱對應(yīng)的ASU的廢棄列表內(nèi)���,如果證書不在證書頒發(fā)者名稱對應(yīng)的ASU的廢棄列表內(nèi),則證書有效�;如果在證書頒發(fā)者名稱對應(yīng)的ASU的廢棄列表之內(nèi),則證書無效����。
全文摘要
本發(fā)明公開了一種無線局域網(wǎng)移動終端接入的方法,ASU驗證請求接入的STA的證書和所請求的AP的證書的合法性和有效性����,ASU或STA驗證AP證書的私鑰,ASU或AP驗證STA證書的私鑰�;STA和AP根據(jù)各自生成的隨機(jī)數(shù)據(jù)和對方生成的隨機(jī)數(shù)據(jù)進(jìn)行計算獲得會話密鑰,并選擇一種雙方均支持的用于對通信數(shù)據(jù)進(jìn)行加密和解密的會話算法�����。使用該方法可以彌補(bǔ)現(xiàn)有技術(shù)中不驗證STA證書私鑰的安全漏洞�,提供更安全的接入鑒別機(jī)制;其次,ASU根據(jù)證書的頒發(fā)者名稱和證書序列號即可唯一標(biāo)識證書進(jìn)而可以驗證其合法性和有效性����,而無需AP提供完整的STA或AP證書,減少了鑒別過程的數(shù)據(jù)通信量��;由于ASU在鑒別證書之后需要對證書鑒別結(jié)果和隨機(jī)數(shù)據(jù)簽名���,可以避免重復(fù)使用證書鑒別結(jié)果�。
文檔編號H04L12/28GK1708018SQ20041004294
公開日2005年12月14日 申請日期2004年6月4日 優(yōu)先權(quán)日2004年6月4日
發(fā)明者馮凱鋒 申請人:華為技術(shù)有限公司