一種增強的wlan證書鑒別方法、裝置及系統(tǒng)的制作方法
【技術領域】
[0001]本發(fā)明涉及通信技術領域,尤其涉及一種增強的WLAN證書鑒別的方法、裝置及系統(tǒng)。
【背景技術】
[0002]隨著科技和社會的發(fā)展,無線局域網(WLAN,Wireless Local Access Network)以其方便、快捷等特性應用日益廣泛,成為當今IT產業(yè)的亮點之一。但是,與此同時WLAN網絡的安全威脅也日漸嚴重,相對于有線網絡,無線網絡的通信內容更容易遭受竊聽和篡改,安全管理和防護更為復雜和困難。
[0003]為了解決WLAN的安全問題,我國于2003年12月I日頒布了具有鑒別保密機制的無線局域網標準GB15629.11,其中包括無線局域網鑒別和保密基礎結構(WAPI,WLANAuthenticat1n and Privacy Infrastructure)機制。WAPI 分為 WLAN 鑒別基礎架構(WAI, WLAN Authenticat1n Infrastructure)和 WLAN 保密基礎架構(WPI,WLAN PrivacyInfrastructure)兩個模塊,其中,WAI是基于數字簽名的公鑰密碼技術(PKI,Public KeyInfrastructure)的雙向證書鑒別技術。
[0004]根據現有的WAI技術,在終端(STA,Stat1n)接入接入點(AP,Access Point)過程時缺乏有效的身份驗證環(huán)節(jié),使網絡攻擊者可以利用該安全漏洞假冒WLAN設備進行網絡攻擊。例如,網絡攻擊者可以假冒AP獲取STA的信任得到STA的公鑰證書,再利用得到的STA公鑰證書假冒STA接入合法AP,再通過鑒別服務器(AS,Authenticat1n Server)的證書鑒別而接入網絡以達到網絡攻擊的目的。因此,現有的WLAN證書鑒別技術在STA接入AP過程中容易被網絡攻擊者擊破,安全性較低,存在一定的安全隱患。
【發(fā)明內容】
[0005]本發(fā)明實施例公開了一種增強的WLAN證書鑒別的方法及裝置,能夠在AS對STA和AP進行雙向證書鑒別之前增加STA和AP之間的相互身份驗證功能,從而確保STA和AP身份的唯一性和不可偽造性,提高了無線局域網證書鑒別過程的安全性。
[0006]本發(fā)明實施例第一方面提供了一種增強的WLAN證書鑒別的方法,用于接入點中,所述方法包括:
[0007]AP向STA發(fā)送鑒別激活消息以觸發(fā)所述STA對所述AP進行身份驗證,其中,所述鑒別激活消息中攜帶AP證書和第一 AP簽名信息;
[0008]所述AP接收所述STA對所述AP進行身份驗證之后發(fā)送的接入鑒別請求消息,根據預先存儲的所述STA的公鑰和所述接入鑒別請求消息對所述STA進行身份驗證,其中,所述接入鑒別請求消息中攜帶STA證書、接入鑒別請求時間和STA簽名信息;
[0009]若所述AP驗證得所述STA簽名信息對應的STA身份與所述STA證書相匹配并且所述STA證書有效,則向AS發(fā)送證書鑒別請求消息,以觸發(fā)AS進行雙向證書鑒別并發(fā)送證書鑒別響應消息;
[0010]所述AP根據接收到的所述AS發(fā)送的證書鑒別響應消息中攜帶的STA證書鑒別結果對所述STA進行接入控制,并向所述STA發(fā)送接入鑒別響應消息。
[0011 ] 結合第一方面,在第一種可能的實現方式中,所述STA簽名信息為STA的私鑰對所述STA證書和所述接入鑒別請求時間加密后得到的信息;
[0012]所述根據預先存儲的所述STA的公鑰和所述接入鑒別請求消息對所述STA進行身份驗證,包括:
[0013]使用所述預先存儲的所述STA的公鑰對所述接入鑒別請求消息中的STA簽名信息進行解密,以得到所述STA簽名信息對應的STA身份;
[0014]驗證所述STA簽名信息對應的STA身份與所述STA證書是否匹配,并驗證所述STA證書是否有效。
[0015]結合第一方面或第一方面的第一種可能的實現方式,在第二種可能的實現方式中,所述證書鑒別請求消息攜帶所述STA證書、所述接入鑒別請求時間、所述STA簽名信息、所述AP證書和第二 AP簽名信息,其中,所述第二 AP簽名信息為AP的私鑰對所述STA證書、所述接入鑒別請求時間、所述STA簽名和所述AP證書加密后得到的信息。
[0016]結合第一方面,在第三種可能的實現方式中,所述鑒別激活消息還攜帶鑒別激活時間。
[0017]本發(fā)明實施例第二方面提供了一種增強的WLAN證書鑒別的方法,用于終端中,所述方法包括:
[0018]STA接收AP發(fā)送的鑒別激活消息,所述STA根據預先存儲的所述AP的公鑰和所述鑒別激活消息對所述AP進行身份驗證,其中,所述鑒別激活消息中攜帶AP證書和第一 AP簽名信息;
[0019]若所述STA驗證得所述第一 AP簽名信息對應的AP身份與所述AP證書相匹配并且所述AP證書有效,則向所述AP發(fā)送接入鑒別請求消息以觸發(fā)所述AP對所述STA進行身份驗證,其中,所述接入鑒別請求消息中攜帶STA證書、接入鑒別請求時間和STA簽名信息;
[0020]當所述STA接收到所述AP對所述STA進行身份驗證后觸發(fā)AS進行雙向證書鑒別之后發(fā)送的接入鑒別響應消息,從所述接入鑒別響應消息中獲取AP證書鑒別結果,根據所述AP證書鑒別結果決定是否接入所述AP。
[0021 ] 結合第二方面,在第一種可能的實現方式中,所述第一 AP簽名信息為AP的私鑰對所述AP證書加密后得到的信息;
[0022]所述根據預先存儲的所述AP的公鑰和所述鑒別激活消息對所述AP進行身份驗證,包括:
[0023]使用所述預先存儲的所述AP的公鑰對所述鑒別激活消息中的第一 AP簽名信息進行解密,以得到所述第一 AP簽名信息對應的STA身份;
[0024]驗證所述第一 AP簽名信息對應的AP身份與所述AP證書是否匹配,并驗證所述AP證書是否有效。
[0025]結合第二方面,在第二種可能的實現方式中,所述鑒別激活消息還攜帶鑒別激活時間,所述第一 AP簽名信息為AP的私鑰對所述AP證書和所述鑒別激活時間加密后得到的
?目息O
[0026]本發(fā)明實施例第三方面提供了一種WLAN接入點設備,包括:
[0027]發(fā)送單元,用于向STA發(fā)送鑒別激活消息以觸發(fā)所述STA對所述接入點設備進行身份驗證,其中,所述鑒別激活消息中攜帶AP證書和第一 AP簽名信息;
[0028]接收單元,用于接收所述STA對所述接入點設備進行身份驗證后發(fā)送的接入鑒別請求消息;
[0029]處理單元,用于在所述接收單元接收到所述接入鑒別請求消息后,根據預先存儲的所述STA的公鑰和所述接入鑒別請求消息對所述STA進行身份驗證,其中,所述接入鑒別請求消息中攜帶STA證書、接入鑒別請求時間和STA簽名信息;
[0030]所述發(fā)送單元還用于,若所述處理單元驗證得所述STA簽名信息對應的STA身份與所述STA證書相匹配并且所述STA證書有效,則向AS發(fā)送證書鑒別請求消息,以觸發(fā)AS進行雙向證書鑒別并發(fā)送證書鑒別響應消息;
[0031]所述接收單元還用于,接收所述AS發(fā)送的證書鑒別響應消息;
[0032]所述處理單元還用于,根據所述接收單元接收到的證書鑒別響應消息中攜帶的STA證書鑒別結果對所述STA進行接入控制;
[0033]所述發(fā)送單元還用于,向所述STA發(fā)送接入鑒別響應消息。
[0034]結合第三方面,在第一種可能的實現方式中,所述STA簽名信息為STA的私鑰對所述STA證書和所述接入鑒別請求時間加密后得到的信息;
[0035]所述處理單元具體用于:
[0036]使用所述預先存儲的所述STA的公鑰對所述接入鑒別請求消息中的STA簽名信息進行解密,以得到所述STA簽名信息對應的STA身份;
[0037]驗證所述STA簽名信息對應的STA身份與所述STA證書是否匹配,并驗證所述STA證書是否有效。
[0038]結合第三方面或第三方面的第一種可能的實現方式,在第二種可能的實現方式中,所述證書鑒別請求消息攜帶所述STA證書、所述接入鑒別請求時間、所述STA簽名信息、所述AP證書和第二 AP簽名信息,其中,所述第二 AP簽名信息為AP的私鑰對所述STA證書、所述接入鑒別請求時間、所述STA簽名和所述AP證書加密后得到的信息。
[0039]結合第三方面,在第三種可能的實現方式中,所述鑒別激活消息還攜帶鑒別激活時間。
[0040]本發(fā)明實施例第四方面提供了一種WLAN終端設備,包括:
[0041]接收單元,用于接收AP發(fā)送的鑒別激活消息;
[0042]處理單元,用于所述接收單元接收到所述AP發(fā)送的鑒別激活消息后,根據預先存儲的所述AP的公鑰和所述鑒別激活消息對所述AP進行身份驗證,其中,所述鑒別激活消息中攜帶AP證書和第一 AP簽名信息;
[0043]發(fā)送單元,用于在所述處理單元驗證得所述AP簽名信息對應的AP身份與所述AP證書相匹配并且所述AP證書有效之后,向所述AP發(fā)送接入鑒別請求消息以觸發(fā)所述AP對所述STA進行身份驗證,其中,所述接入鑒別請求消息中攜帶STA證書、接入鑒別請求時間和STA簽名信息;
[0044]所述接收單元還用于,接收所述AP對所述STA進行身份驗證后觸發(fā)AS進行雙向證書鑒別之后發(fā)送的接入鑒別響應消息;
[0045]所述處理單元還用于,當所述接收單元接收到所述AP發(fā)送的接入鑒別響應消息后,從所述接入鑒別響應消息中獲取AP證書鑒別結果,根據所述AP證書鑒別結果決定是否接入所述AP。
[0046]結合第四方面,在第一種可能的實現方式中,所述第一 AP簽名信息為AP的私鑰對所述AP證書加密后得到的信息;
[0047]所述處理單元具體用于:
[0048]使用所述預先存儲的所述AP的公鑰對所述鑒別激活消息中的第一 AP簽名信息進行解密,以得到所述第一 AP簽名信息對應的STA身份;
[0049]驗證所述第一 AP簽名信息對應的AP身份與所述AP證書是否匹配,并驗證所述AP證書是否有效。
[0050]結合第四方面,在第二種可能的實現方式中,所述接收單元接收的鑒別激活消息還攜帶鑒別激活時間,所述第一 AP簽名信息為AP的私鑰對所述AP證書和所述鑒別激活時間加密后得到的信息。
[0051]本發(fā)明實施例第五方面提供了一種W