專利名稱:全局信任的無線ip系統(tǒng)移動終端的漫游接入方法
技術領域:
本發(fā)明屬于無線IP系統(tǒng)領域,具體地說是一種全局信任的無線IP系統(tǒng)移動終端的漫游接入方法。
背景技術:
無線IP網絡(Wireless IP Network)不僅支持移動計算,而且具有構架的靈活性、快捷性及可擴展性。它主要由移動終端MT(Mobile Terminal)、無線接入點AP(Access Point)及認證服務器AS(Authentication Server)等設備組成,其中移動終端MT可在無線IP網絡中任意移動,無線接入點AP實現(xiàn)包括越區(qū)切換在內的小區(qū)管理、對移動終端MT的管理及橋接功能,認證服務器AS實現(xiàn)對無線接入終端的認證和網間漫游管理,其應用非常廣泛。
對于無線IP網絡來說,其安全問題遠比有線網嚴重得多。無線局域網是無線IP網絡的重要實現(xiàn)形式,我國在2003年5月份頒布了無線局域網國家標準GB 15629.11,這是目前我國在無線IP系統(tǒng)領域惟一獲得批準的標準。標準中包含了無線局域網鑒別和保密基礎結構WAPI(WLAN Authenticationand Privacy Infrastructure)安全機制,這種安全機制由無線局域網鑒別基礎結構WAI(WLAN Authentication Infrastructure)和無線局域網保密基礎結構WPI(WLAN Privacy Infrastructure)兩部分組成,WAI和WPI分別實現(xiàn)對用戶身份的鑒別和對傳輸數(shù)據(jù)的加密。
WAI的工作過程如下1)移動終端MT關聯(lián)到接入節(jié)點AP后,接入節(jié)點AP把鑒別激活消息發(fā)給移動終端MT;
2)移動終端MT向接入節(jié)點AP發(fā)送接入鑒別請求消息,消息包括移動終端MT的證書和接入鑒別請求時間;3)接入節(jié)點AP收到消息后,將移動終端MT的證書、接入鑒別請求時間和自己的證書一起用自己的私鑰形成簽名,并將這個簽名連同移動終端MT的證書、接入鑒別請求時間和接入節(jié)點AP的證書一起形成證書鑒別請求消息發(fā)給認證服務器AS;4)當認證服務器AS收到接入節(jié)點AP發(fā)來的證書鑒別請求消息后,驗證接入節(jié)點AP的簽名和接入節(jié)點AP的證書以及移動終端MT的證書。驗證完成之后,構造證書鑒別響應消息,包括接入節(jié)點AP的證書鑒別結果信息、移動終端MT的證書鑒別結果信息和認證服務器AS對前兩者的簽名,發(fā)送給接入節(jié)點AP;5)接入節(jié)點AP驗證認證服務器AS的簽名并判斷證書鑒別響應消息中的移動終端MT的證書鑒別結果信息,若證書鑒別結果成功,則根據(jù)證書鑒別響應消息生成接入鑒別響應消息,消息內容和證書鑒別響應消息相同,發(fā)送給移動終端MT,然后進入密鑰協(xié)商階段;否則解除與移動終端MT的鏈路驗證;6)移動終端MT收到消息后,驗證認證服務器AS的簽名并判斷接入節(jié)點AP的證書鑒別結果信息,成功后進入密鑰協(xié)商階段;否則解除與接入節(jié)點AP的鏈路驗證。
從上面的過程可以看出,移動終端MT和接入節(jié)點AP在收到響應后,都要驗證認證服務器AS的簽名。而在證書鑒別響應消息和接入鑒別響應消息中,只允許一個認證服務器AS進行簽名,這隱含要求移動終端MT和接入節(jié)點AP信任同一個認證服務器AS。
隨著無線IP技術的發(fā)展,無線IP網絡在實際應用中越來越普遍。無線IP系統(tǒng)的建設者們在很多地方建設了無線IP網絡,這些網絡可以屬于不同的建設者或管理者。用戶在某個網絡建設者處注冊后,可以在該建設者所屬的區(qū)域(家鄉(xiāng)域)使用網絡資源。當用戶到了一個他沒有注冊的建設者的區(qū)域(拜訪域)時,如果拜訪域和用戶的家鄉(xiāng)域有相應的合約,用戶就可以使用拜訪域的網絡資源,這種情況稱為漫游。
在漫游時,移動終端MT和接入節(jié)點AP分屬不同的管理域,信任的認證服務器AS是不同的,如何建立移動終端MT和接入節(jié)點AP共同信任的認證服務器AS是一個關鍵問題。這個問題對于無線IP系統(tǒng)的應用具有重大影響,目前還沒有針對此問題的解決方法。
發(fā)明內容
本發(fā)明要解決的問題是提供一種全局信任的無線IP系統(tǒng)移動終端的漫游接入方法,該方法在保持對移動終端MT透明的情況下,在接入節(jié)點AP中建立全局認證服務器信任列表,解決移動終端MT和接入節(jié)點AP共同信任認證服務器的問題。
解決上述問題所采用的技術方案是所提供的全局信任的無線IP系統(tǒng)移動終端的漫游接入方法包括接入節(jié)點AP自動更新協(xié)議APAU(Access PointAuto Update protocol)和漫游認證協(xié)議RWAI(Roaming WLAN AuthenticationInfrastructure)兩個部分。接入節(jié)點AP自動更新協(xié)議APAU用于接入節(jié)點AP從本地認證服務器獲得信任的認證服務器列表,在接入節(jié)點AP和本地認證服務器的安全信道的保護下運行。漫游認證協(xié)議用于移動終端MT接入無線IP網絡時的鑒別過程,移動終端MT不需要區(qū)分漫游狀態(tài)(漫游中或者非漫游),漫游時的鑒別過程和非漫游時的鑒別過程對移動終端MT而言是相同的。
其中接入節(jié)點AP自動更新協(xié)議APAU參見圖2如下1)當本地認證服務器通過AS之間的信任維護協(xié)議更新信任的認證服務器列表后,使用更新通知消息通知接入節(jié)點AP認證服務器列表已經發(fā)生改變;2)接入節(jié)點AP收到更新通知消息后,或由于它的信任的認證服務器列表到達定時刷新時間后,發(fā)送更新請求消息給本地認證服務器;
3)本地認證服務器將更新響應消息發(fā)送給接入節(jié)點AP,消息中包含最新的信任的認證服務器列表。
漫游認證協(xié)議RWAI參見圖3如下1)移動終端MT關聯(lián)到接入節(jié)點AP后,接入節(jié)點AP把鑒別激活消息發(fā)給移動終端MT;2)移動終端MT將移動終端MT的證書通過接入鑒別請求消息發(fā)往接入節(jié)點AP;3)接入節(jié)點AP將移動終端MT的證書和接入節(jié)點AP的證書通過證書鑒別請求消息發(fā)給外地認證服務器F-AS;4)外地認證服務器F-AS驗證證書鑒別請求消息中接入節(jié)點AP的簽名和接入節(jié)點AP的證書,并判斷移動終端MT是否為本地節(jié)點。若移動終端MT是本地節(jié)點,則外地認證服務器F-AS即為家鄉(xiāng)認證服務器H-AS,執(zhí)行步驟5);否則外地認證服務器F-AS將接入節(jié)點AP的證書鑒別結果信息和移動終端MT的證書構成漫游證書鑒別請求消息發(fā)送到移動終端MT的家鄉(xiāng)認證服務器H-AS5)家鄉(xiāng)認證服務器H-AS驗證移動終端MT的證書,構造漫游證書鑒別響應消息,通過外地認證服務器F-AS發(fā)送給接入節(jié)點AP。
若移動終端MT為本地節(jié)點,則家鄉(xiāng)認證服務器H-AS構造證書鑒別響應消息,直接發(fā)送給接入節(jié)點AP;6)接入節(jié)點AP根據(jù)移動終端MT的證書的頒發(fā)者信息,在信任的認證服務器列表中查詢對應的公鑰,若移動終端MT的證書的頒發(fā)者在列表中且家鄉(xiāng)認證服務器H-AS的簽名通過驗證,并且證書鑒別響應消息中的移動終端MT的證書鑒別結果為成功,則根據(jù)證書鑒別響應消息生成接入鑒別響應消息,消息內容和證書鑒別響應消息一樣,將接入鑒別響應消息發(fā)送給移動終端MT,然后進入密鑰協(xié)商階段;否則與移動終端MT解除鏈路驗證;7)移動終端MT收到接入鑒別響應消息后,驗證家鄉(xiāng)認證服務器H-AS的簽名并判斷接入節(jié)點AP的證書鑒別結果信息,成功后進入密鑰協(xié)商階段;否則與接入節(jié)點AP解除鏈路驗證。
上述2)中的接入鑒別請求消息是指移動終端MT將移動終端MT證書與接入鑒別請求時間組成接入鑒別請求消息發(fā)往接入節(jié)點AP。
上述3)中的證書鑒別請求消息是指接入節(jié)點AP收到接入鑒別請求消息后,將移動終端MT的證書、接入鑒別請求時間、接入節(jié)點AP的證書及接入節(jié)點AP對前述移動終端MT證書、接入鑒別請求時間和接入節(jié)點AP的證書的簽名構成證書鑒別請求消息,發(fā)給外地認證服務器F-AS。
前述的接入鑒別請求時間可以是當前時間,也可以是一串隨機數(shù)據(jù)。
上述4)中的漫游證書鑒別請求消息包括接入節(jié)點AP的證書鑒別結果信息和移動終端MT的證書。
上述5)中的漫游證書鑒別響應消息包括接入節(jié)點AP的證書鑒別結果信息、移動終端MT的證書鑒別結果信息和家鄉(xiāng)認證服務器H-AS對前述接入節(jié)點AP的證書鑒別結果信息和移動終端MT的證書鑒別結果信息的簽名。
上述5)中的證書鑒別響應消息包括接入節(jié)點AP的證書鑒別結果信息、移動終端MT的證書鑒別結果信息和家鄉(xiāng)認證服務器H-AS對接入節(jié)點AP的證書鑒別結果信息和移動終端MT的證書鑒別結果信息的簽名。
上述6)中的接入鑒別響應消息包括接入節(jié)點AP的證書鑒別結果信息、移動終端MT的證書鑒別結果信息和家鄉(xiāng)認證服務器H-AS對接入節(jié)點AP的證書鑒別結果信息和移動終端MT的證書鑒別結果信息的簽名。
圖1是本發(fā)明的系統(tǒng)邏輯結構圖。
圖2是本發(fā)明的接入節(jié)點AP自動更新協(xié)議APAU過程圖。
圖3是本發(fā)明的漫游認證協(xié)議RWAI過程圖。
具體實施例方式
如圖1所示,其中MT是移動終端,AP是接入節(jié)點,F(xiàn)-AS和H-AS分別是外地認證服務器和家鄉(xiāng)認證服務器。圖中的虛線表示邏輯上的安全連接,實線表示實際的物理連接。移動終端MT和它的家鄉(xiāng)認證服務器H-AS共享安全聯(lián)系K_<MT,H-AS>。接入節(jié)點AP和外地認證服務器F-AS存在安全信道A_<AP,F(xiàn)-AS>,接入節(jié)點AP和外地認證服務器F-AS相互信任;外地認證服務器F-AS和家鄉(xiāng)認證服務器H-AS也存在安全信道A_<F-AS,H-AS>,外地認證服務器F-AS是被家鄉(xiāng)認證服務器H-AS信任的。在所有的認證服務器AS中都有本網絡域所信任的其他認證服務器的列表,當信任關系發(fā)生變化時,認證服務器AS之間的信任維護協(xié)議會自動更新該列表。
圖2給出了接入節(jié)點AP自動更新協(xié)議APAU的過程。接入節(jié)點AP自動更新協(xié)議APAU用于接入節(jié)點AP從本地認證服務器獲得信任的認證服務器列表,該過程在接入節(jié)點AP和本地認證服務器的安全信道的保護下進行。另外,接入節(jié)點AP中的信任的認證服務器列表要設置定時刷新超時。
圖3給出了漫游認證協(xié)議RWAI的過程。漫游認證協(xié)議RWAI用于移動終端MT接入無線IP網絡時的鑒別過程,移動終端MT不需要區(qū)分其漫游狀態(tài),漫游時的鑒別過程和非漫游時的鑒別過程對移動終端MT而言是相同的。
圖3中符號CertAP、CertMT、SigAP、SigH-AS、Time、RESAP、RESMT為消息內容,其說明為CertAP——接入節(jié)點AP的公鑰證書;CertMT——移動終端MT的公鑰證書;SigAP——接入節(jié)點AP的簽名;SigH-AS——家鄉(xiāng)認證服務器H-AS的簽名;Time——接入鑒別請求時間;RESAP——接入節(jié)點AP的證書鑒別結果信息,包括CertAP、接入節(jié)點AP的證書鑒別結果和Time;RESMT——移動終端MT的證書鑒別結果信息,包括CertMT和移動終端MT證書鑒別結果。
本發(fā)明方案基于中國無線局域網國家標準GB 15629.11,移動終端MT和接入節(jié)點AP以及外地認證服務器F-AS之間的消息和GB 15629.11中規(guī)定的一致,外地認證服務器F-AS和家鄉(xiāng)認證服務器H-AS之間定義的消息在無線局域網國家標準GB15629.11中沒有定義。該方案兼容無線局域網國家標準GB 15629.11。
本發(fā)明基于無線局域網國家標準GB 15629.11中的WAPI(無線局域網鑒別和保密基礎結構)安全機制,其安全性程度等同于無線局域網國家標準GB 15629.11中的WAPI安全機制。因為1)外地認證服務器F-AS和家鄉(xiāng)認證服務器H-AS之間存在信任關系和安全信道,所以在證書鑒別響應消息中家鄉(xiāng)認證服務器H-AS的簽名能夠保證鑒別結果的有效性;2)證書鑒別響應消息中的簽名是移動終端MT的家鄉(xiāng)認證服務器H-AS的簽名,但是因為接入節(jié)點AP通過自動更新協(xié)議APAU,保存有所有信任的認證服務器列表,所以接入節(jié)點AP可以對證書鑒別響應消息進行有效驗證;3)對于移動終端MT,接入鑒別響應消息在漫游和非漫游時是相同的,并且與無線局域網國家標準GB 15629.11中的WAPI安全機制規(guī)定的一致。
本發(fā)明在證書鑒別響應消息中的簽名由移動終端MT的家鄉(xiāng)認證服務器H-AS生成。通過自動更新協(xié)議APAU,接入節(jié)點AP獲得所有信任的認證服務器列表,可以驗證移動終端MT的家鄉(xiāng)認證服務器H-AS的簽名;而移動終端MT也信任其家鄉(xiāng)認證服務器H-AS,也可以驗證H-AS的簽名。這即保證了與無線局域網國家標準GB 15629.11的兼容性,又支持了移動終端MT的漫游。
權利要求
1.一種全局信任的無線IP系統(tǒng)移動終端的漫游接入方法,包括接入節(jié)點AP自動更新協(xié)議和漫游認證協(xié)議,其中接入節(jié)點AP自動更新協(xié)議如下1)當本地認證服務器通過AS之間的信任維護協(xié)議更新信任的認證服務器列表后,使用更新通知消息通知接入節(jié)點AP認證服務器列表已經發(fā)生改變;2)接入節(jié)點AP收到更新通知消息后,或由于它的信任的認證服務器列表到達定時刷新時間后,發(fā)送更新請求消息給本地認證服務器;3)本地認證服務器將更新響應消息發(fā)送給接入節(jié)點AP,消息中包含最新的信任的認證服務器列表;漫游認證協(xié)議如下1)移動終端MT關聯(lián)到接入節(jié)點AP后,接入節(jié)點AP把鑒別激活消息發(fā)給移動終端MT;2)移動終端MT將移動終端MT的證書通過接入鑒別請求消息發(fā)往接入節(jié)點AP;3)接入節(jié)點AP將移動終端MT的證書和接入節(jié)點AP的證書通過證書鑒別請求消息發(fā)給外地認證服務器F-AS;4)外地認證服務器F-AS驗證證書鑒別請求消息中接入節(jié)點AP的簽名和接入節(jié)點AP的證書,并判斷移動終端MT是否為本地節(jié)點,若移動終端MT是本地節(jié)點,則外地認證服務器F-AS即為家鄉(xiāng)認證服務器H-AS,執(zhí)行步驟5);否則外地認證服務器F-AS將接入節(jié)點AP的證書鑒別結果信息和移動終端MT的證書構成漫游證書鑒別請求消息發(fā)送到移動終端MT的家鄉(xiāng)認證服務器H-AS;5)家鄉(xiāng)認證服務器H-AS驗證移動終端MT的證書,構造漫游證書鑒別響應消息,通過外地認證服務器F-AS發(fā)送給接入節(jié)點AP;若移動終端MT為本地節(jié)點,則家鄉(xiāng)認證服務器H-AS構造證書鑒別響應消息,直接發(fā)送給接入節(jié)點AP;6)接入節(jié)點AP根據(jù)移動終端MT的證書的頒發(fā)者信息,在信任的認證服務器列表中查詢對應的公鑰,若移動終端MT的證書的頒發(fā)者在列表中且家鄉(xiāng)認證服務器H-AS的簽名通過驗證,并且證書鑒別響應消息中的移動終端MT的證書鑒別結果為成功,則根據(jù)證書鑒別響應消息生成接入鑒別響應消息,消息內容和證書鑒別響應消息一樣,將接入鑒別響應消息發(fā)送給移動終端MT,然后進入密鑰協(xié)商階段;否則與移動終端MT解除鏈路驗證;7)移動終端MT收到接入鑒別響應消息后,驗證家鄉(xiāng)認證服務器H-AS的簽名并判斷接入節(jié)點AP的證書鑒別結果信息,成功后進入密鑰協(xié)商階段;否則與接入節(jié)點AP解除鏈路驗證。
2.根據(jù)權利要求1所述的方法,其特征在于所述的接入鑒別請求消息是指移動終端MT將移動終端MT證書與接入鑒別請求時間組成接入鑒別請求消息發(fā)往接入節(jié)點AP。
3.根據(jù)權利要求1所述的方法,其特征在于所述的證書鑒別請求消息是指接入節(jié)點AP收到接入鑒別請求消息后,將移動終端MT的證書、接入鑒別請求時間、接入節(jié)點AP的證書及接入節(jié)點AP對前述移動終端MT證書、接入鑒別請求時間和接入節(jié)點AP的證書的簽名構成證書鑒別請求消息,發(fā)給外地認證服務器F-AS。
4.根據(jù)權利要求1所述的方法,其特征在于所述的漫游證書鑒別請求消息包括接入節(jié)點AP的證書鑒別結果信息和移動終端MT的證書。
5.根據(jù)權利要求1所述的方法,其特征在于所述的漫游證書鑒別響應消息包括接入節(jié)點AP的證書鑒別結果信息、移動終端MT的證書鑒別結果信息和家鄉(xiāng)認證服務器H-AS對前述接入節(jié)點AP的證書鑒別結果信息和移動終端MT的證書鑒別結果信息的簽名。
6.根據(jù)權利要求1所述的方法,其特征在于所述的證書鑒別響應消息包括接入節(jié)點AP的證書鑒別結果信息、移動終端MT的證書鑒別結果信息和家鄉(xiāng)認證服務器H-AS對接入節(jié)點AP的證書鑒別結果信息和移動終端MT的證書鑒別結果信息的簽名。
7.根據(jù)權利要求1所述的方法,其特征在于所述的接入鑒別響應消息包括接入節(jié)點AP的證書鑒別結果信息、移動終端MT的證書鑒別結果信息和家鄉(xiāng)認證服務器H-AS對接入節(jié)點AP的證書鑒別結果信息和移動終端MT的證書鑒別結果信息的簽名。
8.根據(jù)權利要求2或3所述的方法,其特征在于所述的接入鑒別請求時間是當前時間或一串隨機數(shù)據(jù)。
全文摘要
本發(fā)明是一種全局信任的無線IP系統(tǒng)移動終端的漫游接入方法,包括接入節(jié)點自動更新協(xié)議和漫游認證協(xié)議兩部分。自動更新協(xié)議用于接入節(jié)點從本地認證服務器獲得信任的認證服務器列表,在接入節(jié)點和本地認證服務器的安全信道的保護下運行;漫游認證協(xié)議用于移動終端接入無線IP網絡時的鑒別過程,移動終端不需要區(qū)分漫游狀態(tài)。本發(fā)明在證書鑒別響應消息中的簽名由移動終端的家鄉(xiāng)認證服務器生成,通過自動更新協(xié)議,接入節(jié)點獲得所有信任的認證服務器列表,可以驗證移動終端MT的家鄉(xiāng)認證服務器的簽名。這既保證了與無線局域網國家標準GB 15629.11的兼容性,又支持了移動終端的漫游。
文檔編號H04W8/00GK1602108SQ200410073230
公開日2005年3月30日 申請日期2004年11月4日 優(yōu)先權日2004年11月4日
發(fā)明者賴曉龍, 顏湘, 張變玲, 郭宏, 黃振海, 曹軍 申請人:西安西電捷通無線網絡通信有限公司