專利名稱:一種多級證書和多種認證模式混合共存接入認證方法和系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉WAPI、通信接入認證領(lǐng)域,更具體而言,涉及通信過程中接入網(wǎng)絡(luò)時認證 文件認證的多級證書和多種認證模式混合共存接入認證方法和系統(tǒng)。
背景技術(shù):
WLAN(ffireless Local Access Network,無線局域網(wǎng))提供了一種高速的無線數(shù) 據(jù)接入服務(wù),WLAN是目前IT行業(yè)比較熱門的技術(shù)之一。無線局域網(wǎng)(WLAN)的基本結(jié)構(gòu)由 接入點(AP)、接入控制器(AC)和用戶終端(STA)構(gòu)成。由WLAN的基本結(jié)構(gòu)結(jié)合INTERNET 或其他網(wǎng)絡(luò)已有的認證服務(wù)器(AS),用戶可以最終實現(xiàn)移動數(shù)據(jù)的接入服務(wù)。無線局域網(wǎng)(WLAN)具有安裝便捷、使用靈活、易于擴展等特點,因此無線局域網(wǎng) 得到越來越廣泛的應(yīng)用。由于無線局域網(wǎng)信道開放的特點,用戶數(shù)據(jù)在空中傳播時容易被 竊取,惡意修改并轉(zhuǎn)發(fā),因此公眾WLAN網(wǎng)絡(luò)安全性是WLAN發(fā)展中需要考慮的問題。這些 安全性問題,已成為阻礙WLAN進入信息化應(yīng)用領(lǐng)域的最大障礙。我國在2003年5月份提 出了無線局域網(wǎng)國家標準GB15629. 11,采用WAPI作為WLAN的的安全機制。無線局域網(wǎng)鑒 Mj^WAPI (WLAN Authentication and Privacy Infrastructure) fi^c^j^ 域網(wǎng)鑒別基礎(chǔ)結(jié)構(gòu)WAI(WLAN Authentication Infrastructure)和無線局域網(wǎng)保密基礎(chǔ)結(jié) 構(gòu)WPI (WLAN Privacy Infrastructure)組成。其中,WAI采用基于橢圓曲線的公鑰證書體 制ECC (Elliptic Curve Cryptography),基于三元結(jié)構(gòu)和對等鑒別的訪問控制方法,無線 客戶端STA和接入點AP通過鑒別服務(wù)器AS進行雙向身份鑒別。而在對傳輸數(shù)據(jù)的保密方 面,WPI采用了國家商用密碼管理委員會辦公室提供的對稱密碼算法進行加密和解密,充分 保障了數(shù)據(jù)傳輸?shù)陌踩?。WAPI與現(xiàn)行的試驗項目只支持兩證書或者三證書其中的一種,無法達到兼容兩種 模式共存,同時只能實現(xiàn)單個上級服務(wù)器證書對用戶證書進行驗證。
發(fā)明內(nèi)容
本發(fā)明要解決的技術(shù)問題是提供一種通信過程中本地接入網(wǎng)絡(luò)時認證與漫游接 入認證中,能夠兼容兩證書和三證書兩種模式方法和系統(tǒng),同時本發(fā)明方法和系統(tǒng)共同兼 容多級證書,實現(xiàn)二證書和三證書共存混合的接入認證,以解決兩種證書與三種證書的認 證兼容問題,提高對各類終端與接入網(wǎng)絡(luò)設(shè)備的支持。為解決上述技術(shù)問題,本發(fā)明的技術(shù)方案是一種多級證書和多種認證模式混合共存接入認證方法,當(dāng)認證服務(wù)器AS接收到 來自WLAN接入設(shè)備AP的證書鑒別請求分組時,首先對終端證書進行解析,取得頒發(fā)者證書 名稱,判斷用戶終端STA信任的服務(wù)器證書,根據(jù)用戶終端STA證書頒發(fā)者名稱,確定對用 戶終端STA證書的合法性進行鑒別;如果頒發(fā)者為證書管理中心CA,即為三證書模式,接入 認證和漫游方式按照三證書模式進行;如果頒發(fā)者為認證服務(wù)器AS,即為兩證書模式,接入認證和漫游方式按照兩證書模式進行。上述多級證書和多種認證模式混合共存接入認證方法中兩證書模式下的證書頒 發(fā)過程是先由認證服務(wù)器AS生成自簽名證書,然后給WLAN接入設(shè)備AP及用戶終端STA 頒發(fā)證書。上述多級證書和多種認證模式混合共存接入認證方法中三證書模式下證書的頒 發(fā)過程是由證書管理中心CA為認證服務(wù)器AS,WLAN接入設(shè)備AP及用戶終端STA頒發(fā)證 書。本發(fā)明實現(xiàn)多級證書和多種認證模式混合共存接入認證方法的系統(tǒng),包括通過網(wǎng) 絡(luò)互相連接的認證服務(wù)器AS、WLAN接入設(shè)備AP、用戶終端STA和證書管理中心CA,兩證書 模式下認證服務(wù)器AS生成自簽名證書后給WLAN接入設(shè)備AP及用戶終端STA頒發(fā)證書,三 證書模式下證書管理中心CA為認證服務(wù)器AS,WLAN接入設(shè)備AP及用戶終端STA頒發(fā)證 書。 上述實現(xiàn)多級證書和多種認證模式混合共存接入認證方法的系統(tǒng),認證服務(wù)器AS 包括用來接收與發(fā)送帶有證書數(shù)據(jù)的分組數(shù)據(jù)包的數(shù)據(jù)通訊模塊;用來解析證書信息,提取數(shù)據(jù)字段進行比較的證書解析模塊;用來驗證證書的合法性,實現(xiàn)對用戶證書進行驗證,并達到用戶終端STA和WLAN 接入設(shè)備AP身份的互相認證的目的的證書驗證模塊;根據(jù)解析后的證書信息,對證書的頒發(fā)者字段內(nèi)容進行判斷收到的用戶證書屬于 哪一個服務(wù)器證書所頒發(fā),同時根據(jù)服務(wù)器證書來判斷屬于兩證書還是三證書模式的證書 判斷模塊。本發(fā)明相對于現(xiàn)有技術(shù)的有益效果是本發(fā)明既實現(xiàn)兩證書與三證書模式共存混合的接入認證,也實現(xiàn)多級服務(wù)器證書 認證,本發(fā)明系統(tǒng)簡單、方便、可靠。
圖1應(yīng)用架構(gòu)示意2兩證書模式證書頒發(fā);圖3三證書模式證書頒發(fā);圖4認證服務(wù)器AS系統(tǒng)框架示意圖;圖5證書鑒別過程序列圖;圖6多級多種證書和多種認證模式共存接入認證方法的驗證過程的流程圖。
具體實施例方式下面結(jié)合附圖通過具體實施方式
對本發(fā)明作進一步詳細的說明。本發(fā)明實現(xiàn)多級證書和多種認證模式混合共存接入認證方法的系統(tǒng)包括如下設(shè) 備WLAN接入設(shè)備(AP),用于向認證服務(wù)器(AS)發(fā)送證書鑒別請求分組,該證書鑒別 請求分組包括AP和用戶終端(STA)的證書。
認證服務(wù)器(AS),用于接收證明書鑒別請求分組,鑒別AP的合法性;判斷STA的 證書是否為本地證書,屬于哪一個級別證書和兩證書模式還是三證書模式。用戶終端(STA),裝有本身證書,及信任服務(wù)器證書,用于向AP發(fā)起接入鑒別請求 分組數(shù)據(jù)包,進行接入認證;證書管理中心(CA),提供證書頒發(fā)、證書吊銷等證書管理功能;在三證書模式下 存在,如果屬于兩證書情況,證書管理功能由AS本身自管理。參見圖1,應(yīng)用流程描述如下1)證書管理系統(tǒng)為AS簽發(fā)證書(AS設(shè)備證書);2)證書管理系統(tǒng)為WLAN接入設(shè)備簽發(fā)證書(WLAN設(shè)備證書);3)證書管理系統(tǒng)為用戶終端簽發(fā)證書(用戶終端證書);4)用戶終端和WLAN接入設(shè)備的證書通過AS進行相互認證;5)用戶終端通過WLAN接入設(shè)備訪問網(wǎng)絡(luò),并在空中接口實現(xiàn)數(shù)據(jù)加密。參見圖2和圖3,圖2給出了兩證書模式下的證書頒發(fā)過程,首先由AS系統(tǒng)生成自 簽名證書,然后給WLAN接入設(shè)備AP及用戶終端STA頒發(fā)證書。圖3給出了三證書模式下證書的頒發(fā)過程,由證書管理中心CA為認證服務(wù)器AS, WLAN接入設(shè)備AP及用戶終端STA頒發(fā)證書。由圖2和圖3所描述的過程可以看出兩證書體系的AS認證服務(wù)器同時具有三證 書模式下的認證服務(wù)器AS的證書鑒別及證書頒發(fā)功能。即兩證書體系下,認證服務(wù)器AS除 了具有鑒別證書的功能外,同時還兼具管理證書的功能;而三證書體系下,認證服務(wù)器AS 只提供鑒別服務(wù)功能,證書頒發(fā)功能由證書管理中心CA機構(gòu)執(zhí)行。本發(fā)明多級證書和多種認證模式混合共存接入認證方法是當(dāng)認證服務(wù)器AS接 收到來自WLAN接入設(shè)備AP的證書鑒別請求分組時,首先對終端證書進行解析,取得頒發(fā) 者證書名稱,判斷用戶終端STA信任的服務(wù)器證書,根據(jù)用戶終端STA證書頒發(fā)者名稱,確 定對用戶終端STA證書的合法性進行鑒別;如果頒發(fā)者為證書管理中心CA,即為三證書模 式,接入認證和漫游方式按照三證書模式進行;如果頒發(fā)者為認證服務(wù)器AS,即為兩證書 模式,接入認證和漫游方式按照兩證書模式進行。圖4是本發(fā)明的AS服務(wù)器的系統(tǒng)框架圖,包括數(shù)據(jù)通訊模塊401、證書解析模塊 402、證書驗證模塊403、證書判斷模塊404。數(shù)據(jù)通訊模塊401用來接收與發(fā)送帶有證書數(shù)據(jù)的分組數(shù)據(jù)包;證書解析模塊402用來解析證書信息,提取數(shù)據(jù)字段進行比較;證書驗證模塊403用來驗證證書的合法性,實現(xiàn)對用戶證書進行驗證,并達到STA 終端用戶和WLAN接入設(shè)備身份的互相認證的目的;證書判斷模塊404根據(jù)解析后的證書信息,對證書的頒發(fā)者字段內(nèi)容進行判斷收 到的用戶證書屬于哪一個服務(wù)器證書所頒發(fā),同時根據(jù)服務(wù)器證書來判斷屬于兩證書還是 三證書模式。參見圖5,1、證書鑒別過程,其中,鑒別服務(wù)單元ASU是基于公鑰密碼技術(shù)的WAI鑒別基礎(chǔ)結(jié) 構(gòu)中重要的組成部分,它的基本功能是實現(xiàn)對用戶終端證書的有效鑒別,通過ASU完成STA 與AP的雙向身份鑒別。AP提供STA連接到ASU的端口,確保只有鑒別成功的STA才能使用AP提供的數(shù)據(jù)端口訪問網(wǎng)絡(luò),STA提供通過AP連接到ASU的端口,確保只有AP鑒別成功, STA才能使用數(shù)據(jù)端口收發(fā)數(shù)據(jù)。如圖5,AP向用戶終端STA發(fā)送“鑒別激活”,用戶終端STA將自己的證書和當(dāng)前 時間發(fā)送到AP,當(dāng)AP發(fā)現(xiàn)STA提交的“接入鑒別請求”時,AP將STA提交的證書,時間以及 自己的證書添加到消息中,并用自己的私鑰進行簽名作為“證書鑒別請求”,發(fā)送給ASU,通 過ASU相互認證對方。其中兩證書模式下STA端需存儲認證服務(wù)器AS證書,以及認證服務(wù) 器AS頒發(fā)的STA證書;AP端需存儲認證服務(wù)器AS證書及認證服務(wù)器AS頒發(fā)的AP證書; 三證書模式下STA端存儲證書頒發(fā)中心CA證書,CA頒發(fā)的認證服務(wù)器AS證書,及CA頒發(fā) 的STA證書;AP端需存儲證書頒發(fā)中心CA證書,認證服務(wù)器AS證書,及CA頒發(fā)的AP證書。 如需漫游,ASU則向漫游AS或者直接信任AS發(fā)送漫游證書鑒別請求,進行漫游處理。ASU收到“證書鑒別請求”,經(jīng)ASU “證書服務(wù)確認”確認后,進行“證書驗證”,若驗 證成功,則繼續(xù)進行“模式確認”,確認是兩證書還是三證書模式,最后向AP發(fā)送“證書鑒別 響應(yīng)”,其中包括用戶終端STA證書的鑒別結(jié)果、WLAN接入設(shè)備證書的鑒別結(jié)果,并加上 ASU簽名。驗證過程除了對證書的合法性進行驗證外,對STA需要啟動數(shù)字簽名。若AP請求通過ASU驗證,ASU則向WLAN接入設(shè)備發(fā)出“證書鑒別響應(yīng)”。其中包 括用戶終端證書的鑒別結(jié)果,AP證書的鑒別結(jié)果,ASU的簽名。AP收到“證書鑒別響應(yīng)“后向STA發(fā)出“接入鑒別響應(yīng)”,也同樣包括用戶終端證 書的鑒別結(jié)果,AP證書的鑒別結(jié)果,ASU的簽名。此時STA終端和WLAN接入設(shè)備AP相互認 證過程完成,并在互相認證成功的基礎(chǔ)上進行密鑰協(xié)商。證書鑒別的安全性會直接延續(xù)到 密鑰協(xié)商過程,所以證書鑒別至關(guān)重要。2、單播密鑰協(xié)商過程密鑰協(xié)商是建立在上一步的證書鑒別基礎(chǔ)之上。WLAN接入設(shè)備AP向STA終端發(fā)出“單播密鑰協(xié)商請求”,等待STA終端回應(yīng)。由 WLAN接入設(shè)備AP發(fā)起密鑰協(xié)商請求,在一定程度上避免了假冒STA終端對WLAN資源造成 的浪費。STA終端向WLAN接入設(shè)備發(fā)出“單播密鑰協(xié)商響應(yīng)”,等待WLAN設(shè)備確認。WLAN接入設(shè)備AP向STA終端發(fā)出“單播密鑰協(xié)商確認”信號,用于對STA終端與 WLAN接入設(shè)備之間已有會話密鑰進行確認。3、在上述單播密鑰協(xié)商過程的基礎(chǔ)上,進行組播密鑰通告過程單播密鑰協(xié)商成功后,AP向STA發(fā)起“組播密鑰通告”,等待組播用戶STA的回應(yīng)。組播用戶STA發(fā)出“組播密鑰響應(yīng)”。參見圖6,多級多種證書和多種認證模式共存接入認證方法的驗證過程1)驗證設(shè)備AS接到證書鑒別請求分組數(shù)據(jù)包。此數(shù)據(jù)包包含的是證書信息。以 數(shù)據(jù)包的形式傳送到驗證服務(wù)器端。2)驗證端AS解析數(shù)據(jù)包,提取出終端證書。此步中將數(shù)據(jù)包中的證書提取出來。3)采用解析證書的方式解析每張證書,讀取并記錄頒發(fā)者字段。頒發(fā)者字段為認 證服務(wù)器AS則將證書歸類到兩證書驗證模式下;頒發(fā)者為證書頒發(fā)中心CA則將證書歸類 到三證書驗證模式下。4)根據(jù)3)得到的鑒別結(jié)果,確認接入認證服務(wù)器級別,即確認是屬于兩證書體系 還是三證書體系。
6
5)將區(qū)分開的證書分別放到對應(yīng)的證書鑒別與漫游系統(tǒng)下進行鑒別處理。驗證成 功則提供接入及漫游服務(wù),驗證失敗則拒絕服務(wù)。在接到驗證證書數(shù)據(jù)包之前兩種證書驗證模式(兩證書和三證書體系)都存儲相 應(yīng)的根證書。即兩證書模式下存儲的是AS根證書,三證書模式下存儲的是CA根證書。
權(quán)利要求
一種多級證書和多種認證模式混合共存接入認證方法,其特征在于當(dāng)認證服務(wù)器AS接收到來自WLAN接入設(shè)備AP的證書鑒別請求分組時,首先對終端證書進行解析,取得頒發(fā)者證書名稱,判斷用戶終端STA信任的服務(wù)器證書,根據(jù)用戶終端STA證書頒發(fā)者名稱,確定對用戶終端STA證書的合法性進行鑒別;如果頒發(fā)者為證書管理中心CA,即為三證書模式,接入認證和漫游方式按照三證書模式進行;如果頒發(fā)者為認證服務(wù)器AS,即為兩證書模式,接入認證和漫游方式按照兩證書模式進行。
2.根據(jù)權(quán)利要求1所述的多級證書和多種認證模式混合共存接入認證方法,其特征在 于兩證書模式下的證書頒發(fā)過程是先由認證服務(wù)器AS生成自簽名證書,然后給WLAN接 入設(shè)備AP及用戶終端STA頒發(fā)證書。
3.根據(jù)權(quán)利要求1所述的多級證書和多種認證模式混合共存接入認證方法,其特征在 于三證書模式下證書的頒發(fā)過程是由證書管理中心CA為認證服務(wù)器AS,WLAN接入設(shè)備 AP及用戶終端STA頒發(fā)證書。
4.一種實現(xiàn)權(quán)利要求1所述的多級證書和多種認證模式混合共存接入認證方法的系 統(tǒng),其特征在于包括通過網(wǎng)絡(luò)互相連接的認證服務(wù)器AS、WLAN接入設(shè)備AP、用戶終端STA 和證書管理中心CA,兩證書模式下認證服務(wù)器AS生成自簽名證書后給WLAN接入設(shè)備AP及 用戶終端STA頒發(fā)證書,三證書模式下證書管理中心CA為認證服務(wù)器AS,WLAN接入設(shè)備AP 及用戶終端STA頒發(fā)證書。
5.根據(jù)權(quán)利要求4所述的實現(xiàn)多級證書和多種認證模式混合共存接入認證方法的系 統(tǒng),其特征在于認證服務(wù)器AS包括用來接收與發(fā)送帶有證書數(shù)據(jù)的分組數(shù)據(jù)包的數(shù)據(jù)通訊模塊(401);用來解析證書信息,提取數(shù)據(jù)字段進行比較的證書解析模塊(402);用來驗證證書的合法性,實現(xiàn)對用戶證書進行驗證,并達到用戶終端STA和WLAN接入 設(shè)備AP身份的互相認證的目的的證書驗證模塊(403);根據(jù)解析后的證書信息,對證書的頒發(fā)者字段內(nèi)容進行判斷收到的用戶證書屬于哪一 個服務(wù)器證書所頒發(fā),同時根據(jù)服務(wù)器證書來判斷屬于兩證書還是三證書模式的證書判斷 模塊(404)。全文摘要
本發(fā)明涉及WAPI、通信接入認證領(lǐng)域,提供一種多級證書和多種認證模式混合共存接入認證方法和系統(tǒng),本發(fā)明系統(tǒng)包括通過網(wǎng)絡(luò)互相連接的認證服務(wù)器AS、WLAN接入設(shè)備AP、用戶終端STA和證書管理中心CA,本發(fā)明方法是當(dāng)認證服務(wù)器AS接收到來自WLAN接入設(shè)備AP的證書鑒別請求分組時,首先對終端證書進行解析,取得頒發(fā)者證書名稱,判斷用戶終端STA信任的服務(wù)器證書,根據(jù)用戶終端STA證書頒發(fā)者名稱,確定對用戶終端STA證書的合法性進行鑒別;如果頒發(fā)者為證書管理中心CA,即為三證書模式,接入認證和漫游方式按照三證書模式進行;如果頒發(fā)者為認證服務(wù)器AS,即為兩證書模式,接入認證和漫游方式按照兩證書模式進行。
文檔編號H04W12/04GK101969639SQ201010512679
公開日2011年2月9日 申請日期2010年10月19日 優(yōu)先權(quán)日2010年10月19日
發(fā)明者劉娜, 張越, 楊峰, 羅旭光, 蘇若常, 陳康先 申請人:廣州杰賽科技股份有限公司