亚洲成年人黄色一级片,日本香港三级亚洲三级,黄色成人小视频,国产青草视频,国产一区二区久久精品,91在线免费公开视频,成年轻人网站色直接看

無線ip系統(tǒng)移動節(jié)點的漫游接入方法

文檔序號:7596771閱讀:180來源:國知局
專利名稱:無線ip系統(tǒng)移動節(jié)點的漫游接入方法
技術(shù)領(lǐng)域
本發(fā)明屬于無線IP系統(tǒng)領(lǐng)域,具體地說是一種無線IP系統(tǒng)移動節(jié)點的漫游接入方法。
背景技術(shù)
隨著無線IP技術(shù)的發(fā)展,無線IP網(wǎng)絡(luò)在實際應(yīng)用中越來越普遍。無線IP系統(tǒng)的建設(shè)者們在很多地方建設(shè)了無線IP網(wǎng)絡(luò),這些網(wǎng)絡(luò)可以屬于不同的建設(shè)者或管理者。用戶在某個網(wǎng)絡(luò)建設(shè)者處注冊后,可以在該建設(shè)者所屬的區(qū)域(家鄉(xiāng)域)使用網(wǎng)絡(luò)資源。當(dāng)用戶到了一個他沒有注冊的建設(shè)者的區(qū)域(拜訪域)時,如果拜訪域和用戶的家鄉(xiāng)域有相應(yīng)的合約,用戶就可以使用拜訪域的網(wǎng)絡(luò)資源,這種情況稱之為漫游。
用戶在使用無線IP網(wǎng)絡(luò)的網(wǎng)絡(luò)資源時,要和網(wǎng)絡(luò)相互確認身份,進行認證。目前在無線IP網(wǎng)絡(luò)中使用的認證方法主要有PEAP(Protected EAP)和Web重定向。
PEAP消除了對客戶公鑰證書的要求,其認證過程分為兩個階段第一階段建立服務(wù)器認證的TLS(傳輸層安全)協(xié)議單向隧道;第二階段在該隧道保護下,由認證服務(wù)器對客戶端進行認證。該協(xié)議具有較好的擴展性和適應(yīng)性,對于不同的客戶可以采用相應(yīng)的認證方式。其認證過程如下1)請求者發(fā)出EAP(擴展認證協(xié)議)開始消息給認證者;2)認證者回復(fù)請求者以EAP請求身份消息;3)請求者發(fā)送包括其NAI(網(wǎng)絡(luò)訪問標(biāo)識)的EAP響應(yīng)消息給認證者;4)認證者把網(wǎng)絡(luò)訪問標(biāo)識NAI封裝在RADIUS(遠程認證撥號用戶服務(wù))訪問請求消息中轉(zhuǎn)發(fā)給認證服務(wù)器;5)認證服務(wù)器回復(fù)請求者一個PEAP開始包;
6)請求者和認證服務(wù)器之間進行兩輪消息交互,完成傳輸層安全TLS協(xié)議過程,雙方均推導(dǎo)出會話密鑰,從而建立一個加密信道,該信道為請求者的認證提供保護;7)認證服務(wù)器初始化一個新的EAP認證;8)新的交換過程根據(jù)新的EAP認證的要求完成對請求者的認證;9)認證服務(wù)器給認證者發(fā)送RADIUS_ACCEPT消息,其中包括認證服務(wù)器和請求者協(xié)商出來的會話主密鑰并指示成功的認證。
該認證方法具有較好的擴展性和適應(yīng)性,而且由于其第一部分通過傳輸層安全TLS協(xié)議建立了安全信道,在此安全信道的保護下,完成了對請求者的認證,請求者的身份可以得到保密;但該認證方法交互輪數(shù)要大于等于5輪,在漫游情況下,外地認證服務(wù)器和家鄉(xiāng)認證服務(wù)器之間的交互輪數(shù)大于等于2輪,另外,上述方法與作為無線IP系統(tǒng)重要實現(xiàn)形式的無線局域網(wǎng)的現(xiàn)有的國家標(biāo)準(zhǔn)GB 15629.11中的認證方法不兼容。
Web重定向是基于應(yīng)用層的認證方式,通過http協(xié)議獲取用戶輸入的用戶名和密碼,無須專門安裝客戶端軟件,應(yīng)用范圍廣。其用戶名和密碼是以明文(采用http1.0)或弱加密(采用http1.1中的MD5算法)方法傳輸,不適用于無線環(huán)境。其改進方法是使用安全套接層SSL技術(shù)保護用戶名和密碼,其假定前提是用戶要正確的驗證網(wǎng)絡(luò)服務(wù)器的證書,而這在通常情況下是不現(xiàn)實的。即使用戶檢查服務(wù)器的證書,由于基于瀏覽器的CA系統(tǒng)并不專為接入系統(tǒng)設(shè)計,證書域龐雜,證書頒發(fā)不嚴格,因此惡意的服務(wù)器獲得一個大多數(shù)瀏覽器信任的根CA頒發(fā)的證書是很容易的。該方法的另外一個問題是TLS安全連接是在用戶和拜訪域的Web門戶之間,在漫游情況下,用戶的用戶名和密碼都被拜訪域所得知,這不符合實際的要求。
因為外地認證服務(wù)器和家鄉(xiāng)認證服務(wù)器在不同的管理域內(nèi),所以現(xiàn)有的認證方法的最大時延存在于外地認證服務(wù)器和家鄉(xiāng)認證服務(wù)器之間,為了使認證的時延最小,應(yīng)要求它們之間交互的消息為1輪。同時其安全性不能降低,不能把用戶的密碼泄漏給拜訪域。從以上可以看出,現(xiàn)有的認證方法Web重定向和PEAP都不能同時滿足這些要求。另外,它們與無線局域網(wǎng)國家標(biāo)準(zhǔn)GB 15629.11都不兼容。
無線局域網(wǎng)國家標(biāo)準(zhǔn)GB15629.11是目前我國在這一領(lǐng)域惟一獲得批準(zhǔn)的標(biāo)準(zhǔn)。標(biāo)準(zhǔn)中包含了全新的無線局域網(wǎng)鑒別與保密基礎(chǔ)結(jié)構(gòu),這種安全機制由無線局域網(wǎng)鑒別基礎(chǔ)結(jié)構(gòu)和無線局域網(wǎng)保密基礎(chǔ)結(jié)構(gòu)兩部分組成,分別實現(xiàn)對用戶身份的鑒別和對傳輸?shù)臄?shù)據(jù)加密。

發(fā)明內(nèi)容
本發(fā)明要解決的問題是提供一種無線IP系統(tǒng)移動節(jié)點的漫游接入方法,該方法在保證安全性和與無線局域網(wǎng)國家標(biāo)準(zhǔn)GB 15629.11兼容性的前提下,使認證過程在外地認證服務(wù)器和家鄉(xiāng)認證服務(wù)器之間交互的消息為1輪。
解決上述問題的技術(shù)方案是所提供的無線IP系統(tǒng)移動節(jié)點的漫游接入方法參見圖2如下移動節(jié)點MN內(nèi)設(shè)置有家鄉(xiāng)認證服務(wù)器H-AS頒發(fā)的證書信息,漫游接入過程包括如下步驟1)移動節(jié)點MN關(guān)聯(lián)到接入節(jié)點AP后,接入節(jié)點AP把鑒別激活消息發(fā)給移動節(jié)點MN;2)移動節(jié)點MN將移動節(jié)點MN的證書通過接入鑒別請求消息發(fā)往接入節(jié)點AP;3)接入節(jié)點AP將移動節(jié)點MN的證書和接入節(jié)點AP的證書通過證書鑒別請求消息發(fā)給外地認證服務(wù)器F-AS;4)外地認證服務(wù)器F-AS驗證證書鑒別請求消息中接入節(jié)點AP的簽名和接入節(jié)點AP的證書,并判斷移動節(jié)點MN是否為本地節(jié)點。若移動節(jié)點MN是本地節(jié)點,則外地認證服務(wù)器F-AS即為家鄉(xiāng)認證服務(wù)器H-AS,執(zhí)行步驟5);否則外地認證服務(wù)器F-AS將接入節(jié)點AP的證書鑒別結(jié)果信息和移動節(jié)點MN的證書構(gòu)成漫游證書鑒別請求消息發(fā)送到移動節(jié)點MN的家鄉(xiāng)認證服務(wù)器H-AS5)家鄉(xiāng)認證服務(wù)器H-AS驗證移動節(jié)點MN的證書,完成之后,構(gòu)造漫游證書鑒別響應(yīng)消息發(fā)送給外地認證服務(wù)器F-AS;若移動節(jié)點MN為本地節(jié)點,則家鄉(xiāng)認證服務(wù)器H-AS構(gòu)造證書鑒別響應(yīng)消息發(fā)送給接入節(jié)點AP,執(zhí)行步驟7);6)外地認證服務(wù)器F-AS驗證家鄉(xiāng)認證服務(wù)器H-AS的簽名,若簽名驗證成功,則根據(jù)漫游證書鑒別響應(yīng)消息生成證書鑒別響應(yīng)消息,消息內(nèi)容和漫游證書鑒別響應(yīng)消息相同,發(fā)送給接入節(jié)點AP;否則,外地認證服務(wù)器將消息中的移動節(jié)點MN的證書鑒別結(jié)果改為“證書的頒發(fā)者不明確”,構(gòu)造證書鑒別響應(yīng)消息,發(fā)送給接入節(jié)點AP;7)接入節(jié)點AP判斷證書鑒別響應(yīng)消息中的移動節(jié)點MN的證書鑒別結(jié)果信息,若證書鑒別結(jié)果成功,則發(fā)送接入鑒別響應(yīng)消息給移動節(jié)點MN;否則解除與移動節(jié)點MN的鏈路驗證;8)移動節(jié)點MN收到接入鑒別響應(yīng)消息后,驗證家鄉(xiāng)認證服務(wù)器H-AS的簽名并判斷接入節(jié)點AP的證書鑒別結(jié)果信息,成功后進入密鑰協(xié)商階段;否則解除與接入節(jié)點AP的鏈路驗證。
至此,無線IP系統(tǒng)移動節(jié)點的漫游接入過程完成。
上述2)中的接入鑒別請求消息是指移動節(jié)點MN將移動節(jié)點MN證書與接入鑒別請求時間組成接入鑒別請求消息發(fā)往接入節(jié)點AP。
上述3)中的證書鑒別請求消息是指接入節(jié)點AP收到接入鑒別請求消息后,將移動節(jié)點MN的證書、接入鑒別請求時間、接入節(jié)點AP的證書及接入節(jié)點AP對前述移動節(jié)點MN證書、接入鑒別請求時間和接入節(jié)點AP證書的簽名構(gòu)成證書鑒別請求消息,發(fā)給外地認證服務(wù)器F-AS。
前述的接入鑒別請求時間可以是當(dāng)前時間,也可以是一串隨機數(shù)據(jù)。
上述4)中的漫游證書鑒別請求消息包括接入節(jié)點AP的證書鑒別結(jié)果信息和移動節(jié)點MN的證書。
上述5)中的漫游證書鑒別響應(yīng)消息包括接入節(jié)點AP的證書鑒別結(jié)果信息、移動節(jié)點MN的證書鑒別結(jié)果信息和家鄉(xiāng)認證服務(wù)器H-AS對接入節(jié)點AP的證書鑒別結(jié)果信息和移動節(jié)點MN的證書鑒別結(jié)果信息的簽名。
上述5)中的證書鑒別響應(yīng)消息包括接入節(jié)點AP的證書鑒別結(jié)果信息、移動節(jié)點MN的證書鑒別結(jié)果信息和家鄉(xiāng)認證服務(wù)器H-AS對接入節(jié)點AP的證書鑒別結(jié)果信息和移動節(jié)點MN的證書鑒別結(jié)果信息的簽名。
上述7)中的接入鑒別響應(yīng)消息包括接入節(jié)點AP的證書鑒別結(jié)果信息、移動節(jié)點MN的證書鑒別結(jié)果信息和家鄉(xiāng)認證服務(wù)器H-AS對接入節(jié)點AP的證書鑒別結(jié)果信息和移動節(jié)點MN的證書鑒別結(jié)果信息的簽名。
本發(fā)明在外地認證服務(wù)器和家鄉(xiāng)認證服務(wù)器之間交互的消息為1輪,所以效率更高。因為在證書鑒別響應(yīng)消息中的簽名是由移動節(jié)點MN的家鄉(xiāng)認證服務(wù)器H-AS生成,所以接入節(jié)點AP無法驗證移動節(jié)點MN身份,而由其認證服務(wù)器F-AS完成。但由于外地認證服務(wù)器F-AS和接入節(jié)點AP是相互信任的,接入節(jié)點AP信任外地認證服務(wù)器的鑒別結(jié)果,因此不損失安全性,同時保證了證書鑒別響應(yīng)消息中的簽名由一個認證服務(wù)器生成,與無線局域網(wǎng)國家標(biāo)準(zhǔn)GB15629.11兼容。


圖1是本發(fā)明所基于的系統(tǒng)邏輯結(jié)構(gòu)圖。
圖2是本發(fā)明的流程圖。
具體實施例方式
在圖1中MN是移動節(jié)點,AP是接入節(jié)點,F(xiàn)-AS和H-AS分別是外地和家鄉(xiāng)認證服務(wù)器,并要求移動節(jié)點MN和接入節(jié)點AP都有各自所屬認證服務(wù)器頒發(fā)的公鑰證書和相應(yīng)的私鑰。圖中的虛線表示邏輯上的安全連接,實線表示實際的物理連接。移動節(jié)點MN和它的家鄉(xiāng)認證服務(wù)器H-AS共享安全聯(lián)系K_<MN,H-AS>。接入節(jié)點AP和外地認證服務(wù)器F-AS存在安全信道A_<AP,F(xiàn)-AS>,接入節(jié)點AP和外地認證服務(wù)器F-AS相互信任;外地認證服務(wù)器F-AS和家鄉(xiāng)認證服務(wù)器H-AS也存在安全信道A_<F-AS,H-AS>,外地認證服務(wù)器F-AS是被家鄉(xiāng)認證服務(wù)器H-AS信任的。
圖2給出了本發(fā)明的流程,其過程如前所述。圖2中符號CertAP、CertMN、SigAP、SigH-AS、Time、RESAP、RESMN為消息內(nèi)容,其說明為
CertAP——接入節(jié)點AP的公鑰證書;CertMN——移動節(jié)點MN的公鑰證書;SigAP——接入節(jié)點AP的簽名;SigH-AS——家鄉(xiāng)認證服務(wù)器H-AS的簽名;Time——接入鑒別請求時間;RESAP——接入節(jié)點AP的證書鑒別結(jié)果信息,包括接入節(jié)點AP的公鑰證書、接入節(jié)點AP證書鑒別結(jié)果和Time;RESMN——移動節(jié)點MN的證書鑒別結(jié)果信息,包括移動節(jié)點MN的公鑰證書和移動節(jié)點MN證書鑒別結(jié)果。
除外地認證服務(wù)器F-AS和家鄉(xiāng)認證服務(wù)器H-AS之間的漫游證書鑒別請求消息和漫游證書鑒別響應(yīng)消息外,本發(fā)明中規(guī)定的移動節(jié)點MN和接入節(jié)點AP以及外地認證服務(wù)器F-AS之間的消息和無線局域網(wǎng)國家標(biāo)準(zhǔn)GB15629.11中規(guī)定的一致。所以本發(fā)明與無線局域網(wǎng)國家標(biāo)準(zhǔn)GB15629.11兼容。
本發(fā)明的安全性基于無線局域網(wǎng)國家標(biāo)準(zhǔn)GB15629.11中的無線局域網(wǎng)鑒別和保密基礎(chǔ)結(jié)構(gòu),但接入節(jié)點AP對家鄉(xiāng)認證服務(wù)器H-AS發(fā)送的漫游證書鑒別響應(yīng)消息中的家鄉(xiāng)認證服務(wù)器H-AS簽名并不驗證,而由外地認證服務(wù)器F-AS替接入節(jié)點AP進行驗證。由于外地認證服務(wù)器F-AS和家鄉(xiāng)認證服務(wù)器H-AS存在信任關(guān)系和安全信道,接入節(jié)點AP和外地認證服務(wù)器F-AS存在信任關(guān)系和安全信道,所以外地認證服務(wù)器F-AS替接入節(jié)點AP驗證漫游證書鑒別響應(yīng)消息中的H-AS的簽名,不會損失安全性。
本發(fā)明所涉及的其它技術(shù)術(shù)語如下TLS-傳輸層安全(Transport Layer Security)EAP-擴展認證協(xié)議(Extensible Authentication Protocol);RADIUS-遠程認證撥號用戶服務(wù)(Remote Authentication Dial In UserService);PEAP-保護可擴展身份驗證協(xié)議(Protected EAP)。
權(quán)利要求
1.一種無線IP系統(tǒng)移動節(jié)點的漫游接入方法,其特征在于,所述的移動節(jié)點MN內(nèi)設(shè)置有家鄉(xiāng)認證服務(wù)器H-AS頒發(fā)的證書信息,漫游接入過程包括如下步驟1)移動節(jié)點MN關(guān)聯(lián)到接入節(jié)點AP后,接入節(jié)點AP把鑒別激活消息發(fā)給移動節(jié)點MN;2)移動節(jié)點MN將移動節(jié)點MN的證書通過接入鑒別請求消息發(fā)往接入節(jié)點AP;3)接入節(jié)點AP將移動節(jié)點MN的證書和接入節(jié)點AP的證書通過證書鑒別請求消息發(fā)給外地認證服務(wù)器F-AS;4)外地認證服務(wù)器F-AS驗證證書鑒別請求消息中接入節(jié)點AP的簽名和接入節(jié)點AP的證書,并判斷移動節(jié)點MN是否為本地節(jié)點,若移動節(jié)點MN是本地節(jié)點,則外地認證服務(wù)器F-AS即為家鄉(xiāng)認證服務(wù)器H-AS,執(zhí)行步驟5);否則外地認證服務(wù)器F-AS將接入節(jié)點AP的證書鑒別結(jié)果信息和移動節(jié)點MN的證書構(gòu)成漫游證書鑒別請求消息發(fā)送到移動節(jié)點MN的家鄉(xiāng)認證服務(wù)器H-AS;5)家鄉(xiāng)認證服務(wù)器H-AS驗證移動節(jié)點MN的證書,完成之后,構(gòu)造漫游證書鑒別響應(yīng)消息發(fā)送給外地認證服務(wù)器F-AS;若移動節(jié)點MN為本地節(jié)點,則家鄉(xiāng)認證服務(wù)器H-AS構(gòu)造證書鑒別響應(yīng)消息發(fā)送給接入節(jié)點AP,執(zhí)行步驟7);6)外地認證服務(wù)器F-AS驗證家鄉(xiāng)認證服務(wù)器H-AS的簽名,若簽名驗證成功,則根據(jù)漫游證書鑒別響應(yīng)消息生成證書鑒別響應(yīng)消息,消息內(nèi)容和漫游證書鑒別響應(yīng)消息相同,發(fā)送給接入節(jié)點AP;否則,外地認證服務(wù)器將消息中的移動節(jié)點MN的證書鑒別結(jié)果改為“證書的頒發(fā)者不明確”,構(gòu)造證書鑒別響應(yīng)消息,發(fā)送給接入節(jié)點AP;7)接入節(jié)點AP判斷證書鑒別響應(yīng)消息中的移動節(jié)點MN的證書鑒別結(jié)果信息,若證書鑒別結(jié)果成功,則發(fā)送接入鑒別響應(yīng)消息給移動節(jié)點MN;否則解除與移動節(jié)點MN的鏈路驗證;8)移動節(jié)點MN收到接入鑒別響應(yīng)消息后,驗證家鄉(xiāng)認證服務(wù)器H-AS的簽名并判斷接入節(jié)點AP的證書鑒別結(jié)果信息,成功后進入密鑰協(xié)商階段;否則解除與接入節(jié)點AP的鏈路驗證。
2.根據(jù)權(quán)利要求1所述的方法,其特征在于,所述的接入鑒別請求消息是指移動節(jié)點MN將移動節(jié)點MN證書與接入鑒別請求時間組成接入鑒別請求消息發(fā)往接入節(jié)點AP。
3.根據(jù)權(quán)利要求1所述的方法,其特征在于,所述的證書鑒別請求消息是指接入節(jié)點AP收到接入鑒別請求消息后,將移動節(jié)點MN的證書、接入鑒別請求時間、接入節(jié)點AP的證書及接入節(jié)點AP對前述移動節(jié)點MN證書、接入鑒別請求時間和接入節(jié)點AP的證書的簽名構(gòu)成證書鑒別請求消息,發(fā)給外地認證服務(wù)器F-AS。
4.根據(jù)權(quán)利要求1所述的方法,其特征在于,所述的漫游證書鑒別請求消息包括接入節(jié)點AP的證書鑒別結(jié)果信息和移動節(jié)點MN的證書。
5.根據(jù)權(quán)利要求1所述的方法,其特征在于,所述的漫游證書鑒別響應(yīng)消息包括接入節(jié)點AP的證書鑒別結(jié)果信息、移動節(jié)點MN的證書鑒別結(jié)果信息和家鄉(xiāng)認證服務(wù)器H-AS對前述接入節(jié)點AP的證書鑒別結(jié)果信息和移動節(jié)點MN的證書鑒別結(jié)果信息的簽名。
6.根據(jù)權(quán)利要求1所述的方法,其特征在于,所述的證書鑒別響應(yīng)消息包括接入節(jié)點AP的證書鑒別結(jié)果信息、移動節(jié)點MN的證書鑒別結(jié)果信息和家鄉(xiāng)認證服務(wù)器H-AS對接入節(jié)點AP的證書鑒別結(jié)果信息和移動節(jié)點MN的證書鑒別結(jié)果信息的簽名。
7.根據(jù)權(quán)利要求1所述的方法,其特征在于,所述的接入鑒別響應(yīng)消息包括接入節(jié)點AP的證書鑒別結(jié)果信息、移動節(jié)點MN的證書鑒別結(jié)果信息和家鄉(xiāng)認證服務(wù)器H-AS對接入節(jié)點AP的證書鑒別結(jié)果信息和移動節(jié)點MN的證書鑒別結(jié)果信息的簽名。
8.根據(jù)權(quán)利要求2或3所述的方法,其特征在于,所述的接入鑒別請求時間是當(dāng)前時間或一串隨機數(shù)據(jù)。
全文摘要
本發(fā)明是一種無線IP網(wǎng)絡(luò)移動節(jié)點的漫游接入方法。本發(fā)明基于無線局域網(wǎng)國家標(biāo)準(zhǔn)GB 15629.11,移動節(jié)點MN和接入節(jié)點AP以及外地認證服務(wù)器F-AS之間的消息和無線局域網(wǎng)國家標(biāo)準(zhǔn)GB 15629.11中規(guī)定的一致。本發(fā)明在外地認證服務(wù)器和家鄉(xiāng)認證服務(wù)器之間交互的消息為1輪,使認證過程的時延達到最小。同時,在證書鑒別響應(yīng)消息中的簽名由移動節(jié)點MN的家鄉(xiāng)認證服務(wù)器H-AS生成,由接入節(jié)點AP的認證服務(wù)器F-AS替接入節(jié)點AP完成對移動節(jié)點MN身份的鑒別,這既保證了與無線局域網(wǎng)國家標(biāo)準(zhǔn)GB 15629.11的兼容性,又不損失安全性。
文檔編號H04W80/04GK1602107SQ200410073229
公開日2005年3月30日 申請日期2004年11月4日 優(yōu)先權(quán)日2004年11月4日
發(fā)明者黃振海, 賴曉龍, 顏湘, 郭宏, 張變玲, 曹軍 申請人:西安西電捷通無線網(wǎng)絡(luò)通信有限公司
網(wǎng)友詢問留言 已有0條留言
  • 還沒有人留言評論。精彩留言會獲得點贊!
1