得STA簽名信息對應(yīng)的STA身份與STA證書相匹配并且STA證書有效,則向AS發(fā)送證書鑒別請求消息,以觸發(fā)AS進(jìn)行雙向證書鑒別并發(fā)送證書鑒別響應(yīng)消息。
[0082]若STA簽名驗(yàn)證通過并且STA證書驗(yàn)證通過,即AP驗(yàn)證得STA簽名信息對應(yīng)的STA身份與STA證書相匹配并且STA證書有效,說明該STA的身份得到充分驗(yàn)證。STA的身份通過驗(yàn)證后,AP先記錄接入鑒別請求消息中攜帶的接入鑒別請求時(shí)間和STA證書,再向AS發(fā)送證書鑒別請求消息,以觸發(fā)AS進(jìn)行雙向證書鑒別并發(fā)送證書鑒別響應(yīng)消息。其中,證書鑒別請求消息攜帶STA證書、接入鑒別請求時(shí)間、AP證書和第二 AP簽名信息。第二 AP簽名信息為AP的私鑰對STA證書、接入鑒別請求時(shí)間和AP證書進(jìn)行簽名算法加密后得到的信息,關(guān)于AS雙向證書鑒別的具體實(shí)施可參考現(xiàn)有技術(shù)。
[0083]在一些可行的實(shí)施方式中,AP向AS發(fā)送的證書鑒別請求消息中還可攜帶STA簽名信息,該STA簽名信息是AP從STA發(fā)送的接入鑒別請求消息中獲取的,即證書鑒別請求消息中攜帶STA證書、接入鑒別請求時(shí)間、STA簽名信息、AP證書和第二 AP簽名信息。第二AP簽名信息為AP的私鑰對STA證書、接入鑒別請求時(shí)間、STA簽名和AP證書進(jìn)行簽名算法加密后得到的信息。AS收到AP發(fā)送的證書鑒別請求消息后,使用預(yù)先存儲(chǔ)的AP的公鑰對證書鑒別請求消息中第二 AP簽名信息進(jìn)行簽名算法解密,從解密后的信息中獲取第二 AP簽名信息對應(yīng)的AP身份。若第二 AP簽名信息對應(yīng)的AP身份與AP證書相匹配,則第二 AP簽名驗(yàn)證通過,再使用預(yù)先存儲(chǔ)的STA的公鑰對證書鑒別請求消息中的STA簽名信息進(jìn)行簽名算法解密,從解密后的信息中獲取STA簽名信息對應(yīng)的STA身份,若STA簽名信息對應(yīng)的STA身份與STA證書相匹配,則STA簽名驗(yàn)證通過。AS再驗(yàn)證AP證書和STA證書是否為有效證書。其中,簽名驗(yàn)證可以證實(shí)AP和STA的聲明身份是否與真實(shí)身份一致,證書驗(yàn)證可以證實(shí)AP和STA是否是合法用戶。若第二 AP簽名通過驗(yàn)證并且AP證書通過驗(yàn)證,則AS判斷AP證書鑒別成功,否則AP證書鑒別失?。蝗鬝TA簽名通過驗(yàn)證并且STA證書通過驗(yàn)證,則AS判斷STA證書鑒別成功,否則STA證書鑒別失敗。AS根據(jù)雙向證書鑒別結(jié)果生成證書鑒別響應(yīng)消息發(fā)送給AP。
[0084]S104、AP根據(jù)接收到的AS發(fā)送的證書鑒別響應(yīng)消息中攜帶的STA證書鑒別結(jié)果對STA進(jìn)行接入控制,并向STA發(fā)送接入鑒別響應(yīng)消息。
[0085]AS向AP發(fā)送的證書鑒別響應(yīng)消息中攜帶STA證書鑒別結(jié)果(包括STA證書和STA鑒別結(jié)果)、AP證書鑒別結(jié)果信息(包括AP證書、AP鑒別結(jié)果和接入鑒別請求時(shí)間)和AS的私鑰對以上信息進(jìn)行簽名算法加密后得到的AS簽名信息,當(dāng)AP接收到AS發(fā)送的證書鑒別響應(yīng)消息后,使用預(yù)先存儲(chǔ)的AS的公鑰對AS進(jìn)行簽名驗(yàn)證并進(jìn)行接入鑒別請求時(shí)間驗(yàn)證。若未通過AS簽名驗(yàn)證或接入鑒別請求時(shí)間驗(yàn)證,則證書鑒別過程失敗,否則從證書鑒別響應(yīng)消息中獲取STA證書鑒別結(jié)果,AP根據(jù)此結(jié)果對STA進(jìn)行接入控制,并向STA發(fā)送接入鑒別響應(yīng)消息。
[0086]在本發(fā)明實(shí)施例的技術(shù)方案中,當(dāng)STA關(guān)聯(lián)至AP時(shí),AP向STA發(fā)送攜帶AP證書和第一 AP簽名的鑒別激活消息;當(dāng)STA接收到AP發(fā)送的鑒別激活消息后,STA根據(jù)預(yù)先存儲(chǔ)的AP的公鑰和鑒別激活消息對AP進(jìn)行身份驗(yàn)證,若STA驗(yàn)證得AP簽名信息對應(yīng)的AP身份與AP證書相匹配并且AP證書有效,則向AP發(fā)送接入鑒別請求消息以觸發(fā)AP對STA進(jìn)行身份驗(yàn)證,其中,接入鑒別請求消息中攜帶STA證書、接入鑒別請求時(shí)間和STA簽名信息;當(dāng)AP接收到STA發(fā)送的接入鑒別請求消息后,根據(jù)預(yù)先存儲(chǔ)的STA的公鑰和接入鑒別請求消息對STA進(jìn)行身份驗(yàn)證,若AP驗(yàn)證得STA簽名信息對應(yīng)的STA身份與STA證書相匹配并且STA證書有效,則向AS發(fā)送證書鑒別請求消息,以觸發(fā)AS進(jìn)行雙向證書鑒別并發(fā)送證書鑒別響應(yīng)消息??梢?,本發(fā)明實(shí)施例提出的技術(shù)方案可以在AS對STA和AP進(jìn)行雙向證書鑒別之前,即STA接入AP的過程中,增加STA和AP之間的相互身份驗(yàn)證功能,從而確保STA和AP身份的唯一性和不可偽造性,提高了無線局域網(wǎng)證書鑒別過程的安全性。
[0087]本發(fā)明實(shí)施例二提供了一種增強(qiáng)的WLAN證書鑒別方法,參見圖3,圖3為本發(fā)明實(shí)施例二提供的一種增強(qiáng)的WLAN證書鑒別方法的流程示意圖,如圖3所示,本發(fā)明實(shí)施例二提供的方法可包括以下步驟:
[0088]S201、STA接收AP發(fā)送的鑒別激活消息,STA根據(jù)預(yù)先存儲(chǔ)的AP的公鑰和鑒別激活消息對AP進(jìn)行身份驗(yàn)證,其中,鑒別激活消息中攜帶AP證書和第一 AP簽名信息。
[0089]當(dāng)STA關(guān)聯(lián)至AP時(shí),由AP向STA發(fā)送鑒別激活消息以啟動(dòng)證書鑒別過程,在本發(fā)明實(shí)施例提出的方案中,鑒別激活消息還用于觸發(fā)STA對AP進(jìn)行身份驗(yàn)證,STA接收AP發(fā)送的鑒別激活消息,STA根據(jù)預(yù)先存儲(chǔ)的AP的公鑰和鑒別激活消息對AP進(jìn)行身份驗(yàn)證。
[0090]鑒別激活消息中攜帶AP的身份標(biāo)識(shí)信息,即攜帶AP證書和第一 AP簽名信息。其中,AP證書是AS頒發(fā)的,可以用于證明AP的實(shí)體身份,第一 AP簽名信息為AP使用私鑰對AP證書進(jìn)行簽名算法加密后得到的信息,用于保證AP實(shí)體身份不被篡改,具有不可偽造性。
[0091 ] 具體來說,STA首先使用預(yù)先存儲(chǔ)的AP的公鑰對鑒別激活消息中的第一 AP簽名信息進(jìn)行簽名算法解密,解密后得到的信息為第一 AP簽名信息對應(yīng)的STA身份,STA驗(yàn)證該第一 AP簽名信息對應(yīng)的AP身份與鑒別激活消息中的AP證書是否匹配。若驗(yàn)證得第一 AP簽名信息對應(yīng)的AP身份與AP證書相匹配,則第一 AP簽名驗(yàn)證通過,可確認(rèn)AP聲明的身份跟AP的真實(shí)身份一致,再驗(yàn)證AP證書的有效性,若AP證書為有效證書,則AP證書驗(yàn)證通過,可以證實(shí)AP是合法用戶。若AP簽名或AP證書未通過驗(yàn)證,說明該AP為非法接入點(diǎn),中止證書鑒別過程。
[0092]在一些可行的實(shí)施方式中,AP向STA發(fā)送的鑒別激活消息里還可包括鑒別激活時(shí)間,用于指示AP發(fā)送鑒別激活消息的時(shí)間以使STA區(qū)分不同的鑒別過程。
[0093]S202、若STA驗(yàn)證得AP簽名信息對應(yīng)的AP身份與AP證書相匹配并且AP證書有效,則向AP發(fā)送接入鑒別請求消息以觸發(fā)AP對STA進(jìn)行身份驗(yàn)證,其中,接入鑒別請求消息中攜帶STA證書、接入鑒別請求時(shí)間和STA簽名信息。
[0094]在本發(fā)明實(shí)施例提出的方案中,第一 AP簽名與AP證書都通過驗(yàn)證后,即驗(yàn)證得AP簽名信息對應(yīng)的AP身份與AP證書相匹配并且AP證書有效,說明該AP的身份得到充分驗(yàn)證,STA向AP發(fā)送接入鑒別請求消息。接入鑒別請求消息中攜帶STA證書、接入鑒別請求時(shí)間和STA簽名信息。其中,STA證書是AS頒發(fā)的,可以用于證明STA的實(shí)體身份,STA簽名信息為STA使用私鑰對STA證書和接入鑒別請求時(shí)間進(jìn)行簽名算法加密后得到的信息,用于保證STA實(shí)體身份不被篡改,具有不可偽造性。當(dāng)AP收到該接入鑒別請求消息,AP根據(jù)預(yù)先存儲(chǔ)的STA的公鑰和接入鑒別請求消息對STA進(jìn)行身份驗(yàn)證,關(guān)于AP對STA進(jìn)行身份驗(yàn)證的具體實(shí)施可參考本發(fā)明實(shí)施例一的步驟S102,此處不再贅述。
[0095]S203、當(dāng)STA接收到AP對STA進(jìn)行身份驗(yàn)證后觸發(fā)AS進(jìn)行雙向證書鑒別之后發(fā)送的接入鑒別響應(yīng)消息,從接入鑒別響應(yīng)消息中獲取AP證書鑒別結(jié)果,根據(jù)AP證書鑒別結(jié)果決定是否接入AP。
[0096]若AP對STA的身份驗(yàn)證通過,AP記錄接入鑒別請求消息中的接入鑒別請求時(shí)間和STA證書后向AS發(fā)送證書鑒別請求消息以觸發(fā)AS進(jìn)行雙向證書鑒別并發(fā)送證書鑒別響應(yīng)消息。其中,證書鑒別請求消息攜帶STA證書、接入鑒別請求時(shí)間、AP證書和第二 AP簽名信息。第二 AP簽名信息為AP的私鑰對STA證書、接入鑒別請求時(shí)間和AP證書進(jìn)行簽名算法加密后得到的信息,關(guān)于AS雙向證書鑒別的具體實(shí)施可參考現(xiàn)有技術(shù)。
[0097]在一些可行的實(shí)施方式中,AP向AS發(fā)送的證書鑒別請求消息中還可攜帶STA簽名信息,該STA簽名信息是AP從STA發(fā)送的接入鑒別請求消息中獲取的,即證書鑒別請求消息中攜帶STA證書、接入鑒別請求時(shí)間、STA簽名信息、AP證書和第二 AP簽名信息。第二AP簽名信息為AP的私鑰對STA證書、接入鑒別請求時(shí)間、STA簽名和AP證書進(jìn)行簽名算法加密后得到的信息。關(guān)于AS根據(jù)該證書鑒別請求消息進(jìn)行雙向證書鑒別的具體實(shí)施可參考本發(fā)明實(shí)施例一的步驟S103,此處不再贅述。
[0098]AS向AP發(fā)送的證書鑒別響應(yīng)消息中攜帶STA證書鑒別結(jié)果(包括STA證書和STA鑒別結(jié)果)、AP證書鑒別結(jié)果信息(包括AP證書、AP鑒別結(jié)果和接入鑒別請求時(shí)間)和AS的私鑰對以上信息進(jìn)行簽名算法加密后得到的簽名信息,當(dāng)AP接收到AS發(fā)送的證書鑒別響應(yīng)消息后,從證書鑒別響應(yīng)消息中獲取STA證書鑒別結(jié)果,AP根據(jù)此結(jié)果對STA進(jìn)行接入控制,并向STA發(fā)送接入鑒別響應(yīng)消息。
[0099]接入鑒別響應(yīng)消息中攜帶STA證書鑒別結(jié)果(包括STA證書和STA鑒別結(jié)果)、AP證書鑒別結(jié)果信息(包括AP證書、AP鑒別結(jié)果和接入鑒別請求時(shí)間)和AP的私鑰對以上信息進(jìn)行簽名算法加密后得到的第三AP簽名信息。當(dāng)STA接收到AP發(fā)送的接入鑒別響應(yīng)消息后,使用預(yù)先存儲(chǔ)的AP的公鑰對AP進(jìn)行簽名驗(yàn)證并進(jìn)行接入鑒別請求時(shí)間驗(yàn)證,若未通過AP簽名驗(yàn)證或接入鑒別時(shí)間驗(yàn)證,則中止證書鑒別過程,否則從接入鑒別響應(yīng)消息中獲取AP證書鑒別結(jié)果,STA根據(jù)AP證書鑒別結(jié)果決定是否接入AP。
[0100]在本發(fā)明實(shí)施例的技術(shù)方案中,當(dāng)STA關(guān)聯(lián)至AP時(shí),AP向STA發(fā)送攜帶AP證書和第一 AP簽名的鑒別激活消息;當(dāng)STA接收到AP發(fā)送的鑒別激活消息后,STA根據(jù)預(yù)先存儲(chǔ)的AP的公鑰和鑒別激活消息對AP進(jìn)行身份驗(yàn)證,若STA驗(yàn)證得AP簽名信息對應(yīng)的AP身份與AP證書相匹配并且AP證書有效,則向AP發(fā)送接入鑒別請求消息以觸發(fā)AP對STA進(jìn)行身份驗(yàn)證,其中,接入鑒別請求消息中攜帶STA證書、接入鑒別請求時(shí)間和STA簽名信息;當(dāng)AP接收到STA發(fā)送的接入鑒別請求消息后,根據(jù)預(yù)先存儲(chǔ)的STA的公鑰和接入鑒別請求消息對STA進(jìn)行身份驗(yàn)證,若AP驗(yàn)證得STA簽名信息對應(yīng)的STA身份與STA證書相匹配并且STA證書有效,則向AS發(fā)送證書鑒別請求消息,以觸發(fā)AS進(jìn)行雙向證書鑒別并發(fā)送證書鑒別響應(yīng)消息??梢姡景l(fā)明實(shí)施例提出的技術(shù)方案可以在AS對STA和AP進(jìn)行雙向證書鑒別之前,即在STA接入A