專利名稱:無(wú)線局域網(wǎng)移動(dòng)終端的安全接入方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種無(wú)線局域網(wǎng)移動(dòng)終端的安全接入方法�����,它是無(wú)線通信技術(shù)與密碼技術(shù)相結(jié)合的產(chǎn)物��。
個(gè)人通信的目標(biāo),就是使人們能夠在任何時(shí)候和其他任何人進(jìn)行任意的通信聯(lián)系�����,自由地享用網(wǎng)絡(luò)提供的多種業(yè)務(wù)����。寬帶無(wú)線IP技術(shù)將目前最熱門的兩大技術(shù)——IP技術(shù)和無(wú)線通信技術(shù)有機(jī)地融合起來(lái),并順應(yīng)寬帶化的發(fā)展趨勢(shì)�,為移動(dòng)主機(jī)或移動(dòng)終端提供方便、快捷���、高速的Internet接入服務(wù)��,以適應(yīng)人們對(duì)高速網(wǎng)絡(luò)和多媒體通信業(yè)務(wù)不斷增長(zhǎng)的需求�。無(wú)線局域網(wǎng)WLAN(WirelessLocal Area Network)不僅支持移動(dòng)計(jì)算���,而且具有構(gòu)架的靈活性���、快捷性及可擴(kuò)展性,以無(wú)線局域網(wǎng)為基礎(chǔ)��、基于Internet的寬帶無(wú)線接入網(wǎng)絡(luò)結(jié)構(gòu)示意圖如
圖1所示。它主要由移動(dòng)終端MT(Mobile Terminal))��、無(wú)線接入點(diǎn)AP(AccessPoint)及無(wú)線接入服務(wù)器WAS(Wireless Access Server)等設(shè)備組成�,其中移動(dòng)終端MT可在網(wǎng)中任意移動(dòng),無(wú)線接入點(diǎn)AP實(shí)現(xiàn)包括越區(qū)切換在內(nèi)的小區(qū)管理���、對(duì)移動(dòng)終端MT的管理及橋接功能���,無(wú)線接入服務(wù)器WAS實(shí)現(xiàn)無(wú)線接入終端的網(wǎng)間漫游管理。從固定接入到移動(dòng)無(wú)線接入Internet����,寬帶無(wú)線IP技術(shù)為世界網(wǎng)絡(luò)環(huán)境帶來(lái)了全新的觀念和巨大的沖擊。該系統(tǒng)的應(yīng)用將更加廣泛��,在商務(wù)網(wǎng)絡(luò)(主要是公司內(nèi)部網(wǎng))�、機(jī)構(gòu)用戶網(wǎng)絡(luò)(如公安�、金融、政府各部門等)����、小區(qū)網(wǎng)(如學(xué)校、醫(yī)院�、住宅區(qū)等)、遠(yuǎn)程監(jiān)測(cè)或集中監(jiān)控等、臨時(shí)網(wǎng)絡(luò)(如臨時(shí)會(huì)議等)�、戶外移動(dòng)用戶、布線不易的場(chǎng)合��、需要經(jīng)常變動(dòng)的場(chǎng)合等都非常有用���。
對(duì)于無(wú)線局域網(wǎng)來(lái)說�,其安全問題遠(yuǎn)比有線以太網(wǎng)嚴(yán)重的多�,為此無(wú)線局域網(wǎng)引入了幾個(gè)層次的手段來(lái)解決安全問題。首先是通過對(duì)每個(gè)無(wú)線接入點(diǎn)AP設(shè)置不同的業(yè)務(wù)組標(biāo)識(shí)符SSID(Service Set ID)��,并強(qiáng)迫移動(dòng)終端MT接入時(shí)提供相應(yīng)的業(yè)務(wù)組標(biāo)識(shí)符SSID�����,從而可以允許不同群組的用戶接入����,并對(duì)資源訪問的權(quán)限進(jìn)行區(qū)別限制。但利用業(yè)務(wù)組標(biāo)識(shí)符SSID是最直觀的一種認(rèn)證方式���,是較低級(jí)的安全認(rèn)證����,因?yàn)槿魏稳酥灰罉I(yè)務(wù)組標(biāo)識(shí)符SSID就可以接入網(wǎng)絡(luò)。其次是地址限制����,即通過在無(wú)線接入點(diǎn)AP上設(shè)置被授權(quán)的移動(dòng)終端MT無(wú)線網(wǎng)卡的媒體訪問控制MAC(Medium Access Control)地址表來(lái)杜絕非授權(quán)的訪問。但是無(wú)線網(wǎng)卡的媒體訪問控制MAC地址并不難獲得�����,而且可以偽造���,因此這也屬于較低級(jí)別的授權(quán)認(rèn)證����?���?傊陨蟽煞N方式不能有效地控制移動(dòng)終端MT的接入,更無(wú)法保障通信的保密性��。
除上述兩種方法外�,目前更多采用的一種措施是依據(jù)無(wú)線局域網(wǎng)WLAN的國(guó)際標(biāo)準(zhǔn)(IEEE802.11)�����,在無(wú)線局域網(wǎng)WLAN中引入基于RC-4的與有線等價(jià)的WEP(Wired Equivalent Privacy)保密機(jī)制對(duì)數(shù)據(jù)進(jìn)行加密傳輸。WEP算法采用單鑰體制�����,即加解密為同一密鑰�����,其長(zhǎng)度為64位或128位����。其中40位或104位為固定部分,稱為初始化密鑰���,即在無(wú)線接入點(diǎn)AP和移動(dòng)終端MT設(shè)置的密鑰��,余下的24位為可變部分����,稱為初始化矢量�,該矢量在通信過程中由網(wǎng)卡的驅(qū)動(dòng)軟件來(lái)改變,也就是說用于加密的密鑰可變��,這在某種程度上保證了無(wú)線通信的保密性���。但由于初始化矢量變化的規(guī)律性�,PC-4算法的易受攻性,因此WEP算法的安全程度并不高��,這一點(diǎn)由美國(guó)加利福尼亞大學(xué)一研究小組最先于2001年3月發(fā)現(xiàn)�,他們指出采用WEP算法的WLAN僅在5個(gè)小時(shí)即可被攻破。其中的原因解釋如下假設(shè)初始化矢量值以每幀遞增1的速度改變�����,每幀長(zhǎng)度為1500字節(jié)����,數(shù)據(jù)發(fā)送速率為11兆位/秒,則初始化矢量重復(fù)的周期為 �,即每隔5小時(shí)就可得到經(jīng)過同一密鑰加密的兩幀密文,由此便可猜測(cè)到或計(jì)算出初始密鑰值��。這里必須指出的是密鑰的長(zhǎng)度并不影響具破譯的時(shí)間��,只是增加了猜測(cè)或計(jì)算的復(fù)雜度��。2001年8月兩名以色列魏茲曼研究所的專家與一位思科公司的研究人員——三位全球頂尖譯碼專家進(jìn)行了WEP安全測(cè)試�,他們根據(jù)竊取網(wǎng)絡(luò)中的一小部分資料,不到一小時(shí)即破解了WLAN使用的密鑰��,同時(shí)AT&T實(shí)驗(yàn)室研究團(tuán)體也以同樣的方法成功破解���。安全問題已成為阻礙無(wú)線IP技術(shù)應(yīng)用普及的主要障礙之一��,如何安全地接入Internet便成為寬帶無(wú)線IP系統(tǒng)研究的重中之重���。
本發(fā)明的目的在于克服上述現(xiàn)有技術(shù)的不足,提供一種無(wú)線局域網(wǎng)移動(dòng)終端的安全接入方法����。基于公鑰證書機(jī)制��,它解決了無(wú)線局域網(wǎng)WLAN中沒有對(duì)移動(dòng)終端MT進(jìn)行有效的安全接入控制以及無(wú)線鏈路上數(shù)據(jù)通信的保密局限性問題����,不僅實(shí)現(xiàn)了移動(dòng)終端MT的接入控制,而且保障了接入的安仝性����、通信的高保密性。移動(dòng)終端MT即可本地也可異地登錄�����,支持移動(dòng)終端MT的漫游功能。
本發(fā)明設(shè)計(jì)方案如下一種無(wú)線局域網(wǎng)移動(dòng)終端的安全接入方法��,其特征在于當(dāng)移動(dòng)終端MT登錄至無(wú)線接入點(diǎn)AP時(shí)�,采用證書授權(quán)中心CA對(duì)移動(dòng)終端MT與無(wú)線接入點(diǎn)AP進(jìn)行雙向身份認(rèn)證,若認(rèn)證成功�,持有合法證書的移動(dòng)終端MT接入持有合法證書的無(wú)線接入點(diǎn)AP,否則無(wú)線接入點(diǎn)AP拒絕移動(dòng)終端MT接入或移動(dòng)終端MT拒絕登錄至無(wú)線接入點(diǎn)AP����;其主要步驟包括1].證書的認(rèn)證所述證書的認(rèn)證是指采用證書授權(quán)中心CA對(duì)移動(dòng)終端MT與無(wú)線接入點(diǎn)AP進(jìn)行雙向身份認(rèn)證,它包括本地接入時(shí)證書的認(rèn)證與異地接入時(shí)證書的認(rèn)證�;2].移動(dòng)終端MT的私鑰驗(yàn)證所述移動(dòng)終端MT的私鑰驗(yàn)證包括請(qǐng)求驗(yàn)證移動(dòng)終端MT的私鑰、響應(yīng)私鑰驗(yàn)證及驗(yàn)證私鑰簽名��。
上述本地接入時(shí)證書的認(rèn)證是指證書認(rèn)證請(qǐng)求���、接入認(rèn)證請(qǐng)求��、接入認(rèn)證響應(yīng)及證書認(rèn)證響應(yīng)��;所述異地接入時(shí)證書的認(rèn)證是指證書認(rèn)證請(qǐng)求�、接入認(rèn)證請(qǐng)求�、異地認(rèn)證請(qǐng)求、異地認(rèn)證響應(yīng)、接入認(rèn)證響應(yīng)及證書認(rèn)證響應(yīng)�����。
上述本地接入時(shí)證書的認(rèn)證是指1].證書認(rèn)證請(qǐng)求���,其包括移動(dòng)終端MT向無(wú)線接入點(diǎn)AP發(fā)出證書認(rèn)證請(qǐng)求報(bào)文,將移動(dòng)終端MT證書與當(dāng)前系統(tǒng)時(shí)間發(fā)往無(wú)線接入點(diǎn)AP���;2].接入認(rèn)證請(qǐng)求��,其包括無(wú)線接入點(diǎn)AP收到移動(dòng)終端MT證書認(rèn)證請(qǐng)求后�,向本地證書授權(quán)中心CA服務(wù)器發(fā)出接入認(rèn)證請(qǐng)求�,將移動(dòng)終端MT證書、證書認(rèn)證請(qǐng)求時(shí)間�����、無(wú)線接入點(diǎn)AP證書及用無(wú)線接入點(diǎn)AP的私鑰對(duì)其進(jìn)行的簽名信息構(gòu)成接入請(qǐng)求認(rèn)證報(bào)文發(fā)送給本地證書授權(quán)中心CA��;3].接入認(rèn)證響應(yīng)�,其包括本地證書授權(quán)中心CA收到無(wú)線接入點(diǎn)AP的接入認(rèn)證請(qǐng)求后,驗(yàn)證無(wú)線接入點(diǎn)AP的簽名�����,若不正確,則認(rèn)證過程失敗��,否則進(jìn)一步驗(yàn)證移動(dòng)終端MT證書�����;服務(wù)器判斷移動(dòng)終端MT證書是否在本地證書吊銷列表中�����,若在��,則認(rèn)證過程失敗��,否則��,認(rèn)證成功�;最后本地證書授權(quán)中心CA將移動(dòng)終端MT證書認(rèn)證結(jié)果信息、無(wú)線接入點(diǎn)AP證書認(rèn)證結(jié)果信息構(gòu)成接入認(rèn)證響應(yīng)報(bào)文發(fā)回給無(wú)線接入點(diǎn)AP����;4].證書認(rèn)證響應(yīng),其包括無(wú)線接入點(diǎn)AP對(duì)本地證書授權(quán)中心CA返回的接入認(rèn)證響應(yīng)報(bào)文進(jìn)行簽名驗(yàn)證����,得到移動(dòng)終端MT證書的認(rèn)證結(jié)果���;無(wú)線接入點(diǎn)AP將移動(dòng)終端MT的認(rèn)證結(jié)果、無(wú)線接入點(diǎn)AP證書認(rèn)證結(jié)果信息組成證書認(rèn)證響應(yīng)報(bào)文回送至移動(dòng)終端MT�����,移動(dòng)終端MT便得到無(wú)線接入點(diǎn)AP證書的認(rèn)證結(jié)果�����,移動(dòng)終端MT與無(wú)線接入點(diǎn)AP之間的本地證書認(rèn)證過程完成�。
上述異地接入時(shí)證書的認(rèn)證是指1].證書認(rèn)證請(qǐng)求�����,其是移動(dòng)終端MT向無(wú)線接入點(diǎn)AP發(fā)出證書認(rèn)證請(qǐng)求報(bào)文����,將移動(dòng)終端MT證書與當(dāng)前系統(tǒng)時(shí)間發(fā)往無(wú)線接入點(diǎn)AP;2].接入認(rèn)證請(qǐng)求��,其是無(wú)線接入點(diǎn)AP收到移動(dòng)終端MT證書認(rèn)證請(qǐng)求后�����,向本地證書授權(quán)中心CA服務(wù)器發(fā)出接入認(rèn)證請(qǐng)求,將移動(dòng)終端MT證書�、證書認(rèn)證請(qǐng)求時(shí)間、無(wú)線接入點(diǎn)AP證書及用無(wú)線接入點(diǎn)AP的私鑰對(duì)其進(jìn)行的簽名信息構(gòu)成接入請(qǐng)求認(rèn)證報(bào)文發(fā)送給本地CA�;3].異地認(rèn)證請(qǐng)求,其是本地證書授權(quán)中心CA收到無(wú)線接入點(diǎn)AP的接入認(rèn)證請(qǐng)求后���,驗(yàn)證無(wú)線接入點(diǎn)AP的簽名�����,若不正確�,則認(rèn)證過程失?��?���;否則��,進(jìn)一步驗(yàn)證移動(dòng)終端MT證書�����,本地證書授權(quán)中心CA向外地證書授權(quán)中心CA發(fā)出異地認(rèn)證請(qǐng)求,將無(wú)線接入點(diǎn)AP證書�、移動(dòng)終端MT證書、本地證書授權(quán)中心CA的證書��、證書認(rèn)證請(qǐng)求時(shí)間及對(duì)其簽名通過Internet發(fā)送至外地證書授權(quán)中心CA�;4].異地認(rèn)證響應(yīng),其是外地證書授權(quán)中心CA收到報(bào)文后驗(yàn)證本地證書授權(quán)中心CA的簽名�,若不正確,則認(rèn)證失敗�����,否則�,判斷移動(dòng)終端MT證書是否在證書吊銷列表中����;若在,則認(rèn)證過程失敗��,否則���,認(rèn)證成功�;最后外地證書授權(quán)中心CA將移動(dòng)終端MT證書認(rèn)證結(jié)果信息�、無(wú)線接入點(diǎn)AP證書認(rèn)證結(jié)果信息�、外地證書授權(quán)中心CA的證書及對(duì)其簽名組成異地認(rèn)證響應(yīng)報(bào)文���,再通過Internet發(fā)回給本地證書授權(quán)中心CA�����;5].接入認(rèn)證響應(yīng)���,其是本地證書授權(quán)中心CA收到外地證書授權(quán)中心CA返回的異地認(rèn)證響應(yīng)報(bào)文,驗(yàn)證外地證書授權(quán)中心CA的簽名���,若不正確�,則認(rèn)證失敗�����,否則將移動(dòng)終端MT證書認(rèn)證結(jié)果信息進(jìn)行改簽名后�����,連同無(wú)線接入點(diǎn)AP證書認(rèn)證結(jié)果信息構(gòu)成接入響應(yīng)報(bào)文傳回至無(wú)線接入點(diǎn)AP�����;6].證書認(rèn)證響應(yīng),其是無(wú)線接入點(diǎn)AP對(duì)本地證書授權(quán)中心CA返回的接入認(rèn)證響應(yīng)報(bào)文進(jìn)行簽名驗(yàn)證���,得到移動(dòng)終端MT證書的認(rèn)證結(jié)果����;無(wú)線接入點(diǎn)AP將移動(dòng)終端MT的認(rèn)證結(jié)果���、無(wú)線接入點(diǎn)AP證書認(rèn)證結(jié)果信息組成證書認(rèn)證響應(yīng)報(bào)文回送至移動(dòng)終端MT�����,移動(dòng)終端MT便得到無(wú)線接入點(diǎn)AP證書的認(rèn)證結(jié)果��,移動(dòng)終端MT與無(wú)線接入點(diǎn)AP之間的異地證書認(rèn)證過程完成�。
上述移動(dòng)終端MT證書認(rèn)證結(jié)果信息是指移動(dòng)終端MT證書����、認(rèn)證結(jié)果以及證書授權(quán)中心CA對(duì)其簽名�;所述的無(wú)線接入點(diǎn)AP證書認(rèn)證結(jié)果信息包括無(wú)線接入點(diǎn)AP證書、認(rèn)證結(jié)果�、證書認(rèn)證請(qǐng)求時(shí)間及證書授權(quán)中心CA對(duì)其簽名。
上述移動(dòng)終端MT私鑰的驗(yàn)證中1].所述的請(qǐng)求驗(yàn)證移動(dòng)終端MT私鑰是無(wú)線接入點(diǎn)AP隨機(jī)產(chǎn)生一數(shù)據(jù)��,將其傳遞給移動(dòng)終端MT;2].所述的響應(yīng)私鑰驗(yàn)證是移動(dòng)終端MT收到無(wú)線接入點(diǎn)AP的驗(yàn)證私鑰請(qǐng)求報(bào)文后����,對(duì)接收到的隨機(jī)數(shù)據(jù)利用私鑰進(jìn)行簽名,將簽名結(jié)果返回給無(wú)線接入點(diǎn)AP��;3].所述的驗(yàn)證私鑰簽名是無(wú)線接入點(diǎn)AP收到移動(dòng)終端MT的私鑰簽名��,利用移動(dòng)終端MT證書的公鑰驗(yàn)證該簽名信息��,若驗(yàn)證成功����,則無(wú)線接入點(diǎn)AP允許移動(dòng)終端MT接入,否則拒絕其接入����,則具有合法證書及其相應(yīng)私鑰的移動(dòng)終端MT成功地接入具有合法證書的無(wú)線接入點(diǎn)AP,無(wú)線接入點(diǎn)AP對(duì)移動(dòng)終端MT的安全接入控制完成����。
上述移動(dòng)終端MT登錄至無(wú)線接入點(diǎn)AP時(shí)采用證書授權(quán)中心CA對(duì)移動(dòng)終端MT與無(wú)線接入點(diǎn)AP進(jìn)行雙向身份認(rèn)證,其步驟包括會(huì)話密鑰協(xié)商���,所述的會(huì)話密鑰協(xié)商是移動(dòng)終端MT與無(wú)線接入點(diǎn)AP證書認(rèn)證與私鑰驗(yàn)證成功之后��,雙方協(xié)商生成會(huì)話密鑰����,用于通信數(shù)據(jù)報(bào)文的加解密。
上述會(huì)話密鑰協(xié)商包括靜態(tài)協(xié)商與動(dòng)態(tài)協(xié)商�����,所述的靜態(tài)協(xié)商是指用對(duì)方的公鑰與自己的私鑰進(jìn)行會(huì)話密鑰協(xié)商�����,所述的動(dòng)態(tài)協(xié)商包括激活密鑰協(xié)商�、響應(yīng)密鑰協(xié)商及會(huì)話密鑰生成。
上述會(huì)話密鑰的動(dòng)態(tài)協(xié)商中1].所述的激活密鑰協(xié)商是移動(dòng)終端MT或無(wú)線接入點(diǎn)AP產(chǎn)生一隨機(jī)數(shù)據(jù)����,利用無(wú)線接入點(diǎn)AP或移動(dòng)終端MT的公鑰加密后,向無(wú)線接入點(diǎn)AP或移動(dòng)終端MT發(fā)出請(qǐng)求密鑰協(xié)商報(bào)文�����;2].所述的響應(yīng)密鑰協(xié)商是無(wú)線接入點(diǎn)AP或移動(dòng)終端MT收到移動(dòng)終端MT或無(wú)線接入點(diǎn)AP發(fā)來(lái)的密鑰協(xié)商激活報(bào)文后���,利用自己的私鑰進(jìn)行解密�,得到對(duì)方產(chǎn)生的隨機(jī)數(shù)據(jù)���,然后���,本地產(chǎn)生一隨機(jī)數(shù)據(jù),利用移動(dòng)終端MT或無(wú)線接入點(diǎn)AP的公鑰加密后��,向移動(dòng)終端MT或無(wú)線接入點(diǎn)AP回應(yīng)密鑰協(xié)商響應(yīng)報(bào)文�����;3].所述的會(huì)話密鑰生成是移動(dòng)終端MT與無(wú)線接入點(diǎn)AP均在本地利用自己與對(duì)方分別產(chǎn)生的兩個(gè)隨機(jī)數(shù)據(jù)生成會(huì)話密鑰�,進(jìn)行通信數(shù)據(jù)報(bào)文的加解密。
本發(fā)明與現(xiàn)有技術(shù)相比具有如下優(yōu)點(diǎn)本發(fā)明基于公鑰證書機(jī)制�,解決了無(wú)線局域網(wǎng)WLAN中沒有對(duì)移動(dòng)終端MT進(jìn)行有效安全接入控制以及無(wú)線鏈路上數(shù)據(jù)通信的保密局限性問題,不僅實(shí)現(xiàn)了移動(dòng)終端MT的接入控制�����,而且保障了接入的安全性�、通信的高保密性。移動(dòng)終端MT即可本地也可異地登錄����,支持移動(dòng)終端MT的漫游功能����。
附面說明如下圖1為已有技術(shù)寬帶無(wú)線IP系統(tǒng)的結(jié)構(gòu)示意圖����;圖2為本發(fā)明基于證書授權(quán)中心CA的無(wú)線局域網(wǎng)安全認(rèn)證系統(tǒng)的物理結(jié)構(gòu)示意圖;圖3為本發(fā)明移動(dòng)終端MT本地接入的認(rèn)證流程圖��;圖4為本發(fā)明移動(dòng)終端MT異地接入的認(rèn)證流程圖�。
下面將結(jié)合附圖及實(shí)施例對(duì)本發(fā)明作進(jìn)一步詳述
圖2所示是基于證書授權(quán)中心CA(Certification Authorities)的無(wú)線局域網(wǎng)安全認(rèn)證系統(tǒng)的物理結(jié)構(gòu)示意圖。其中證書授權(quán)中心CA系統(tǒng)為多層結(jié)構(gòu)���。采用X.509公鑰證書機(jī)制���,當(dāng)移動(dòng)終端MT登錄至無(wú)線接入點(diǎn)AP時(shí),必須利用證書授權(quán)中心CA進(jìn)行雙向身份認(rèn)證���,也就是說���,只有持有合法證書的移動(dòng)終端MT才能接入持有合法證書的無(wú)線接入點(diǎn)AP。若認(rèn)證成功����,則無(wú)線接入點(diǎn)AP允許移動(dòng)終端MT接入,否則無(wú)線接入點(diǎn)AP拒絕移動(dòng)終端MT接入或移動(dòng)終端MT拒絕登錄至無(wú)線接入點(diǎn)AP�����。整個(gè)認(rèn)證過程包括證書認(rèn)證����、私鑰驗(yàn)證以及會(huì)話密鑰協(xié)商三步,如圖3�、圖4所示。其中采用X.509格式的證書主要包含證書的序列號(hào)�、證書頒發(fā)者的名稱、證書的有效期��、證書持有者的名稱��、證書持有者的公鑰信息��、證書頒發(fā)者采用的簽名算法以及證書頒發(fā)者對(duì)證書的簽名等內(nèi)容����。1.證書認(rèn)證1).本地接入時(shí)證書的認(rèn)證過程移動(dòng)終端MT持有本地證書授權(quán)中心CA頒發(fā)的證書,本地接入時(shí)證書的認(rèn)證流程如下a).證書認(rèn)證請(qǐng)求��。移動(dòng)終端MT向無(wú)線接入點(diǎn)AP發(fā)出證書認(rèn)證請(qǐng)求報(bào)文,即將移動(dòng)終端MT證書與當(dāng)前系統(tǒng)時(shí)間發(fā)往無(wú)線接入點(diǎn)AP���;b).接入認(rèn)證請(qǐng)求�����。無(wú)線接入點(diǎn)AP收到移動(dòng)終端MT證書認(rèn)證請(qǐng)求后���,向本地證書授權(quán)中心CA服務(wù)器發(fā)出接入認(rèn)證請(qǐng)求,即將移動(dòng)終端MT證書���、證書認(rèn)證請(qǐng)求時(shí)間�、無(wú)線接入點(diǎn)AP證書及用無(wú)線接入點(diǎn)AP的私鑰對(duì)它們進(jìn)行的簽名信息構(gòu)成接入請(qǐng)求認(rèn)證報(bào)文發(fā)送給本地證書授權(quán)中心CA�����;c).接入認(rèn)證響應(yīng)��。本地證書授權(quán)中心CA收到無(wú)線接入點(diǎn)AP的接入認(rèn)證請(qǐng)求后��,驗(yàn)證無(wú)線接入點(diǎn)AP的簽名����,若不正確��,則認(rèn)證過程失敗����,否則進(jìn)一步驗(yàn)證移動(dòng)終端MT證書��。服務(wù)器判斷移動(dòng)終端MT證書是否在本地證書吊銷列表中�����,若在�,則認(rèn)證過程失?。环駝t����,認(rèn)證成功�����。最后本地證書授權(quán)中心CA將移動(dòng)終端MT證書認(rèn)證結(jié)果信息(包括移動(dòng)終端MT證書����、認(rèn)證結(jié)果���、證書授權(quán)中心CA對(duì)它們的簽名)與無(wú)線接入點(diǎn)AP證書認(rèn)證結(jié)果信息(包括無(wú)線接入點(diǎn)AP證書、認(rèn)證結(jié)果�����、證書認(rèn)證請(qǐng)求時(shí)間�、證書授權(quán)中心CA對(duì)它們進(jìn)行的簽名)構(gòu)成接入認(rèn)證響應(yīng)報(bào)文發(fā)回給無(wú)線接入點(diǎn)AP;d).證書認(rèn)證響應(yīng)�����。無(wú)線接入點(diǎn)AP對(duì)本地證書授權(quán)中心CA返回的接入認(rèn)證響應(yīng)報(bào)文進(jìn)行簽名驗(yàn)證��,便得到移動(dòng)終端MT證書的認(rèn)證結(jié)果�。無(wú)線接入點(diǎn)AP將移動(dòng)終端MT的認(rèn)證結(jié)果�、無(wú)線接入點(diǎn)AP證書認(rèn)證結(jié)果信息組成證書認(rèn)證響應(yīng)報(bào)文回送至移動(dòng)終端MT,終端便得到無(wú)線接入點(diǎn)AP證書的認(rèn)證結(jié)果��。至此移動(dòng)終端與無(wú)線接入點(diǎn)AP之間完成了本地證書的認(rèn)證過程��。
2).異地接入時(shí)證書的認(rèn)證過程移動(dòng)終端MT持有外地證書授權(quán)中心CA頒發(fā)的證書����,異地接入時(shí)證書的認(rèn)證流程如下a).證書認(rèn)證請(qǐng)求����。移動(dòng)終端MT向無(wú)線接入點(diǎn)AP發(fā)出證書認(rèn)證請(qǐng)求報(bào)文�����,即將移動(dòng)終端MT證書與當(dāng)前系統(tǒng)時(shí)間發(fā)往無(wú)線接入點(diǎn)AP��;b).接入認(rèn)證請(qǐng)求��。無(wú)線接入點(diǎn)AP收到移動(dòng)終端MT證書認(rèn)證請(qǐng)求后����,向本地證書授權(quán)中心CA服務(wù)器發(fā)出接入認(rèn)證請(qǐng)求,即將移動(dòng)終端MT證書��、證書認(rèn)證請(qǐng)求時(shí)間�����、無(wú)線接入點(diǎn)AP證書及用無(wú)線接入點(diǎn)AP的私鑰對(duì)它們進(jìn)行的簽名信息構(gòu)成接入請(qǐng)求認(rèn)證報(bào)文發(fā)送給本地證書授權(quán)中心CA����;c).異地認(rèn)證請(qǐng)求。本地證書授權(quán)中心CA收到無(wú)線接入點(diǎn)AP的接入認(rèn)證請(qǐng)求后����,驗(yàn)證無(wú)線接入點(diǎn)AP的簽名�����,若不正確�,則認(rèn)證過程失?���。环駝t進(jìn)一步驗(yàn)證移動(dòng)終端MT證書����。本地證書授權(quán)中心CA向外地證書授權(quán)中心CA發(fā)出異地認(rèn)證請(qǐng)求���,即將無(wú)線接入點(diǎn)AP證書����、移動(dòng)終端MT證書���、本地證書授權(quán)中心CA的證書�����、證書認(rèn)證請(qǐng)求時(shí)間及對(duì)它們的簽名通過Internet發(fā)送至外地證書授權(quán)中心CA����;d).異地認(rèn)證響應(yīng)。外地證書授權(quán)中心CA收到報(bào)文后驗(yàn)證本地證書授權(quán)中心CA的簽名���,若不正確����,則認(rèn)證失敗�,否則判斷移動(dòng)終端MT證書是否在證書吊銷列表中。若在�����,則認(rèn)證過程失?�?����;否則����,認(rèn)證成功���。最后外地證書授權(quán)中心CA將移動(dòng)終端MT證書認(rèn)證結(jié)果信息(包括移動(dòng)終端MT證書、認(rèn)證結(jié)果以及外地證書授權(quán)中心CA對(duì)它們的簽名)�、無(wú)線接入點(diǎn)AP證書認(rèn)證結(jié)果信息(包括無(wú)線接入點(diǎn)AP證書、認(rèn)證結(jié)果�����、證書認(rèn)證請(qǐng)求時(shí)間及外地證書授權(quán)中心CA對(duì)它們進(jìn)行的簽名)�、外地證書授權(quán)中心CA的證書以及對(duì)它們的簽名組成異地認(rèn)證響應(yīng)報(bào)文,再通過Internet發(fā)回給本地證書授權(quán)中心CA�����;e).接入認(rèn)證響應(yīng)����。本地證書授權(quán)中心CA收到外地證書授權(quán)中心CA返回的異地認(rèn)證響應(yīng)報(bào)文,驗(yàn)證外地證書授權(quán)中心CA的簽名�,若不正確����,則認(rèn)證失敗,否則將移動(dòng)終端MT證書認(rèn)證結(jié)果信息進(jìn)行改簽名后,連同無(wú)線接入點(diǎn)AP證書認(rèn)證結(jié)果信息構(gòu)成接入響應(yīng)報(bào)文傳回至無(wú)線接入點(diǎn)AP�;f).證書認(rèn)證響應(yīng)。無(wú)線接入點(diǎn)AP對(duì)本地證書授權(quán)中心CA返回的接入認(rèn)證響應(yīng)報(bào)文進(jìn)行簽名驗(yàn)證���,便得到移動(dòng)終端MT證書的認(rèn)證結(jié)果��。無(wú)線接入點(diǎn)AP將移動(dòng)終端MT的認(rèn)證結(jié)果��、無(wú)線接入點(diǎn)AP證書認(rèn)證結(jié)果信息組成證書認(rèn)證響應(yīng)報(bào)文回送至移動(dòng)終端MT�����,終端便得到無(wú)線接入點(diǎn)AP證書的認(rèn)證結(jié)果���。至此移動(dòng)終端與無(wú)線接入點(diǎn)AP之間完成了異地證書的認(rèn)證過程。2.移動(dòng)終端MT的私鑰驗(yàn)證證書認(rèn)證成功后�����,并不能完全證明移動(dòng)終端MT身份的合法性����,還必須驗(yàn)證其是否持有與證書相對(duì)應(yīng)的私鑰。過程如下a).請(qǐng)求驗(yàn)證移動(dòng)終端MT的私鑰�。無(wú)線接入點(diǎn)AP隨機(jī)產(chǎn)生一數(shù)據(jù),長(zhǎng)度與內(nèi)容均隨機(jī),將其傳遞給移動(dòng)終端MT�;b).響應(yīng)私鑰驗(yàn)證。移動(dòng)終端MT收到無(wú)線接入點(diǎn)AP的驗(yàn)證私鑰請(qǐng)求報(bào)文后��,對(duì)接收到的隨機(jī)數(shù)據(jù)利用私鑰進(jìn)行簽名��,將簽名結(jié)果返回給無(wú)線接入點(diǎn)AP��;c).驗(yàn)證私鑰簽名��。無(wú)線接入點(diǎn)AP收到移動(dòng)終端MT的私鑰簽名�����,利用移動(dòng)終端MT證書的公鑰驗(yàn)證該簽名信息�,若驗(yàn)證成功,則無(wú)線接入點(diǎn)AP允許移動(dòng)終端MT接入��,否則拒絕其接入�。至此,具有合法證書及其相應(yīng)私鑰的移動(dòng)終端MT才成功地接入具有合法證書的無(wú)線接入點(diǎn)AP����,從而完成無(wú)線接入點(diǎn)AP對(duì)移動(dòng)終端MT的安全接入控制功能。3.會(huì)話密鑰協(xié)商移動(dòng)終端MT與無(wú)線接入點(diǎn)AP證書認(rèn)證與私鑰驗(yàn)證成功之后��,即完成了移動(dòng)終端MT的成功登錄�。此時(shí)雙方在本機(jī)利用對(duì)方的公鑰與自己的私鑰生成會(huì)話密鑰,用于通信數(shù)據(jù)報(bào)文的加解密����,從而實(shí)現(xiàn)移動(dòng)終端MT與無(wú)線接入點(diǎn)AP之間的無(wú)線安全保密通信。然而值得注意的是����,在證書有效期內(nèi),移動(dòng)終端MT與無(wú)線接入點(diǎn)AP對(duì)之間的會(huì)話密鑰始終不變�,為了做到每會(huì)話每密鑰,則需進(jìn)行會(huì)話密鑰的動(dòng)態(tài)協(xié)商��。動(dòng)態(tài)密鑰協(xié)商的過程如下a).激活密鑰協(xié)商�����。移動(dòng)終端MT或無(wú)線接入點(diǎn)AP產(chǎn)生一隨機(jī)數(shù)據(jù)�,利用無(wú)線接入點(diǎn)AP或移動(dòng)終端MT的公鑰加密后,向無(wú)線接入點(diǎn)AP或移動(dòng)終端MT發(fā)出請(qǐng)求密鑰協(xié)商報(bào)文�;b).響應(yīng)密鑰協(xié)商。無(wú)線接入點(diǎn)AP或移動(dòng)終端MT收到移動(dòng)終端MT或無(wú)線接入點(diǎn)AP發(fā)來(lái)的密鑰協(xié)商激活報(bào)文后�����,利用自己的私鑰進(jìn)行解密,得到對(duì)方產(chǎn)生的隨機(jī)數(shù)據(jù)���。然后本地產(chǎn)生一隨機(jī)數(shù)據(jù)���,利用移動(dòng)終端MT或無(wú)線接入點(diǎn)AP的公鑰加密后,向移動(dòng)終端MT或無(wú)線接入點(diǎn)AP回應(yīng)密鑰協(xié)商響應(yīng)報(bào)文���;c).會(huì)話密鑰生成�。移動(dòng)終端MT與無(wú)線接入點(diǎn)AP均在本地利用自己與對(duì)方分別產(chǎn)生的兩個(gè)隨機(jī)數(shù)據(jù)生成會(huì)話密鑰��,用于通信數(shù)據(jù)報(bào)文的加解密����。
為了進(jìn)一步提高通信的保密性,在移動(dòng)終端MT與無(wú)線接入點(diǎn)AP通信一段時(shí)間或交換一定數(shù)量的報(bào)文之后���,還可以進(jìn)行會(huì)話密鑰的重新協(xié)商����。另外�����,證書認(rèn)證與私鑰驗(yàn)證完成了無(wú)線接入點(diǎn)AP對(duì)移動(dòng)終端MT的安全接入控制,會(huì)話密鑰協(xié)商則充分保證了移動(dòng)終端MT與無(wú)線接入點(diǎn)AP之間的高通信保密性�����。
特別指出的是在具體實(shí)現(xiàn)過程中�����,證書認(rèn)證��、私鑰驗(yàn)證以及會(huì)話鑰協(xié)商三個(gè)過程可順序進(jìn)行�,亦可交叉進(jìn)行���,還可合并進(jìn)行��。
權(quán)利要求
1.一種無(wú)線局域網(wǎng)移動(dòng)終端的安全接入方法��,其特征在于當(dāng)移動(dòng)終端MT登錄至無(wú)線接入點(diǎn)AP時(shí)���,采用證書授權(quán)中心CA對(duì)移動(dòng)終端MT與無(wú)線接入點(diǎn)AP進(jìn)行雙向身份認(rèn)證,若認(rèn)證成功��,持有合法證書的移動(dòng)終端MT接入持有合法證書的無(wú)線接入點(diǎn)AP�����,否則無(wú)線接入點(diǎn)AP拒絕移動(dòng)終端MT接入或移動(dòng)終端MT拒絕登錄至無(wú)線接入點(diǎn)AP;其主要步驟包括1].證書的認(rèn)證所述證書的認(rèn)證是指采用證書授權(quán)中心CA對(duì)移動(dòng)終端MT與無(wú)線接入點(diǎn)AP進(jìn)行雙向身份認(rèn)證���,它包括本地接入時(shí)證書的認(rèn)證與異地接入時(shí)證書的認(rèn)證���;2].移動(dòng)終端MT的私鑰驗(yàn)證所述移動(dòng)終端MT的私鑰驗(yàn)證包括請(qǐng)求驗(yàn)證移動(dòng)終端MT的私鑰、響應(yīng)私鑰驗(yàn)證及驗(yàn)證私鑰簽名�。
2.根據(jù)權(quán)利要求1所述的無(wú)線局域網(wǎng)移動(dòng)終端的安全接入方法,其特征在于所述本地接入時(shí)證書的認(rèn)證是指證書認(rèn)證請(qǐng)求�����、接入認(rèn)證請(qǐng)求�����、接入認(rèn)證響應(yīng)及證書認(rèn)證響應(yīng)����;所述異地接入時(shí)證書的認(rèn)證是指證書認(rèn)證請(qǐng)求、接入認(rèn)證請(qǐng)求���、異地認(rèn)證請(qǐng)求���、異地認(rèn)證響應(yīng)�����、接入認(rèn)證響應(yīng)及證書認(rèn)證響應(yīng)�����。
3.根據(jù)權(quán)利要求1所述的無(wú)線局域網(wǎng)移動(dòng)終端的安全接入方法,其特征在于所述的本地接入時(shí)證書的認(rèn)證是指1].證書認(rèn)證請(qǐng)求���,其包括移動(dòng)終端MT向無(wú)線接入點(diǎn)AP發(fā)出證書認(rèn)證請(qǐng)求報(bào)文����,將移動(dòng)終端MT證書與當(dāng)前系統(tǒng)時(shí)間發(fā)往無(wú)線接入點(diǎn)AP����;2].接入認(rèn)證請(qǐng)求,其包括無(wú)線接入點(diǎn)AP收到移動(dòng)終端MT證書認(rèn)證請(qǐng)求后�,向本地證書授權(quán)中心CA服務(wù)器發(fā)出接入認(rèn)證請(qǐng)求,將移動(dòng)終端MT證書��、證書認(rèn)證請(qǐng)求時(shí)間�、無(wú)線接入點(diǎn)AP證書及用無(wú)線接入點(diǎn)AP的私鑰對(duì)其進(jìn)行的簽名信息構(gòu)成接入請(qǐng)求認(rèn)證報(bào)文發(fā)送給本地證書授權(quán)中心CA����;3].接入認(rèn)證響應(yīng)����,其包括本地證書授權(quán)中心CA收到無(wú)線接入點(diǎn)AP的接入認(rèn)證請(qǐng)求后,驗(yàn)證無(wú)線接入點(diǎn)AP的簽名�����,若不正確���,則認(rèn)證過程失敗���,否則進(jìn)一步驗(yàn)證移動(dòng)終端MT證書;服務(wù)器判斷移動(dòng)終端MT證書是否在本地證書吊銷列表中��,若在�,則認(rèn)證過程失敗,否則����,認(rèn)證成功;最后本地證書授權(quán)中心CA將移動(dòng)終端MT證書認(rèn)證結(jié)果信息、無(wú)線接入點(diǎn)AP證書認(rèn)證結(jié)果信息構(gòu)成接入認(rèn)證響應(yīng)報(bào)文發(fā)回給無(wú)線接入點(diǎn)AP���;4].證書認(rèn)證響應(yīng)�����,其包括無(wú)線接入點(diǎn)AP對(duì)本地證書授權(quán)中心CA返回的接入認(rèn)證響應(yīng)報(bào)文進(jìn)行簽名驗(yàn)證�,得到移動(dòng)終端MT證書的認(rèn)證結(jié)果�;無(wú)線接入點(diǎn)AP將移動(dòng)終端MT的認(rèn)證結(jié)果、無(wú)線接入點(diǎn)AP證書認(rèn)證結(jié)果信息組成證書認(rèn)證響應(yīng)報(bào)文回送至移動(dòng)終端MT�,移動(dòng)終端MT便得到無(wú)線接入點(diǎn)AP證書的認(rèn)證結(jié)果,移動(dòng)終端MT與無(wú)線接入點(diǎn)AP之間的本地證書認(rèn)證過程完成�����。
4.根據(jù)權(quán)利要求1所述的無(wú)線局域網(wǎng)移動(dòng)終端的安全接入方法�����,其特征在于所述的異地接入時(shí)證書的認(rèn)證是指1].證書認(rèn)證請(qǐng)求����,其是移動(dòng)終端MT向無(wú)線接入點(diǎn)AP發(fā)出證書認(rèn)證請(qǐng)求報(bào)文�����,將移動(dòng)終端MT證書與當(dāng)前系統(tǒng)時(shí)間發(fā)往無(wú)線接入點(diǎn)AP;2].接入認(rèn)證請(qǐng)求�����,其是無(wú)線接入點(diǎn)AP收到移動(dòng)終端MT證書認(rèn)證請(qǐng)求后��,向本地證書授權(quán)中心CA服務(wù)器發(fā)出接入認(rèn)證請(qǐng)求��,將移動(dòng)終端MT證書�、證書認(rèn)證請(qǐng)求時(shí)間、無(wú)線接入點(diǎn)AP證書及用無(wú)線接入點(diǎn)AP的私鑰對(duì)其進(jìn)行的簽名信息構(gòu)成接入請(qǐng)求認(rèn)證報(bào)文發(fā)送給本地CA�����;3].異地認(rèn)證請(qǐng)求�����,其是本地證書授權(quán)中心CA收到無(wú)線接入點(diǎn)AP的接入認(rèn)證請(qǐng)求后��,驗(yàn)證無(wú)線接入點(diǎn)AP的簽名�����,若不正確,則認(rèn)證過程失?。环駝t���,進(jìn)一步驗(yàn)證移動(dòng)終端MT證書����,本地證書授權(quán)中心CA向外地證書授權(quán)中心CA發(fā)出異地認(rèn)證請(qǐng)求����,將無(wú)線接入點(diǎn)AP證書、移動(dòng)終端MT證書��、本地證書授權(quán)中心CA的證書��、證書認(rèn)證請(qǐng)求時(shí)間及對(duì)其簽名通過Internet發(fā)送至外地證書授權(quán)中心CA�����;4].異地認(rèn)證響應(yīng)�����,其是外地證書授權(quán)中心CA收到報(bào)文后驗(yàn)證本地證書授權(quán)中心CA的簽名�����,若不正確�����,則認(rèn)證失敗�����,否則�,判斷移動(dòng)終端MT證書是否在證書吊銷列表中;若在����,則認(rèn)證過程失敗,否則���,認(rèn)證成功����;最后外地證書授權(quán)中心CA將移動(dòng)終端MT證書認(rèn)證結(jié)果信息�、無(wú)線接入點(diǎn)AP證書認(rèn)證結(jié)果信息、外地證書授權(quán)中心CA的證書及對(duì)其簽名組成異地認(rèn)證響應(yīng)報(bào)文�����,再通過Internet發(fā)回給本地證書授權(quán)中心CA;5].接入認(rèn)證響應(yīng)�����,其是本地證書授權(quán)中心CA收到外地證書授權(quán)中心CA返回的異地認(rèn)證響應(yīng)報(bào)文�����,驗(yàn)證外地證書授權(quán)中心CA的簽名����,若不正確,則認(rèn)證失敗�����,否則將移動(dòng)終端MT證書認(rèn)證結(jié)果信息進(jìn)行改簽名后�����,連同無(wú)線接入點(diǎn)AP證書認(rèn)證結(jié)果信息構(gòu)成接入響應(yīng)報(bào)文傳回至無(wú)線接入點(diǎn)AP�;6].證書認(rèn)證響應(yīng)�,其是無(wú)線接入點(diǎn)AP對(duì)本地證書授權(quán)中心CA返回的接入認(rèn)證響應(yīng)報(bào)文進(jìn)行簽名驗(yàn)證��,得到移動(dòng)終端MT證書的認(rèn)證結(jié)果����;無(wú)線接入點(diǎn)AP將移動(dòng)終端MT的認(rèn)證結(jié)果�����、無(wú)線接入點(diǎn)AP證書認(rèn)證結(jié)果信息組成證書認(rèn)證響應(yīng)報(bào)文回送至移動(dòng)終端MT���,移動(dòng)終端MT便得到無(wú)線接入點(diǎn)AP證書的認(rèn)證結(jié)果����,移動(dòng)終端MT與無(wú)線接入點(diǎn)AP之間的異地證書認(rèn)證過程完成�����。
5.根據(jù)權(quán)利要求3或4所述的無(wú)線局域網(wǎng)移動(dòng)終端的安全接入方法���,其特征在于所述的移動(dòng)終端MT證書認(rèn)證結(jié)果信息是指移動(dòng)終端MT證書��、認(rèn)證結(jié)果以及證書授權(quán)中心CA對(duì)其簽名�����;所述的無(wú)線接入點(diǎn)AP證書認(rèn)證結(jié)果信息包括無(wú)線接入點(diǎn)AP證書���、認(rèn)證結(jié)果����、證書認(rèn)證請(qǐng)求時(shí)間及證書授權(quán)中心CA對(duì)其簽名�����。
6.根據(jù)權(quán)利要求1或2或3或4所述的無(wú)線局域網(wǎng)移動(dòng)終端的安全接入方法�����,其特征在于所述移動(dòng)終端MT私鑰的驗(yàn)證中1].所述的請(qǐng)求驗(yàn)證移動(dòng)終端MT私鑰是無(wú)線接入點(diǎn)AP隨機(jī)產(chǎn)生一數(shù)據(jù)���,將其傳遞給移動(dòng)終端MT�;2].所述的響應(yīng)私鑰驗(yàn)證是移動(dòng)終端MT收到無(wú)線接入點(diǎn)AP的驗(yàn)證私鑰請(qǐng)求報(bào)文后�����,對(duì)接收到的隨機(jī)數(shù)據(jù)利用私鑰進(jìn)行簽名����,將簽名結(jié)果返回給無(wú)線接入點(diǎn)AP;3].所述的驗(yàn)證私鑰簽名是無(wú)線接入點(diǎn)AP收到移動(dòng)終端MT的私鑰簽名�,利用移動(dòng)終端MT證書的公鑰驗(yàn)證該簽名信息,若驗(yàn)證成功��,則無(wú)線接入點(diǎn)AP允許移動(dòng)終端MT接入����,否則拒絕其接入,則具有合法證書及其相應(yīng)私鑰的移動(dòng)終端MT成功地接入具有合法證書的無(wú)線接入點(diǎn)AP��,無(wú)線接入點(diǎn)AP對(duì)移動(dòng)終端MT的安全接入控制完成�。
7.根據(jù)權(quán)利要求6所述的無(wú)線局域網(wǎng)移動(dòng)終端的安全接入方法,其特征在于所述的移動(dòng)終端MT登錄至無(wú)線接入點(diǎn)AP時(shí)采用證書授權(quán)中心CA對(duì)移動(dòng)終端MT與無(wú)線接入點(diǎn)AP進(jìn)行雙向身份認(rèn)證�,其步驟包括會(huì)話密鑰協(xié)商,所述的會(huì)話密鑰協(xié)商是移動(dòng)終端MT與無(wú)線接入點(diǎn)AP證書認(rèn)證與私鑰驗(yàn)證成功之后���,雙方協(xié)商生成會(huì)話密鑰�����,用于通信數(shù)據(jù)報(bào)文的加解密��。
8.根據(jù)權(quán)利要求7所述的無(wú)線局域網(wǎng)移動(dòng)終端的安全接入方法�����,其特征在于所述的會(huì)話密鑰協(xié)商包括靜態(tài)協(xié)商與動(dòng)態(tài)協(xié)商�,所述的靜態(tài)協(xié)商是指用對(duì)方的公鑰與自己的私鑰進(jìn)行會(huì)話密鑰協(xié)商,所述的動(dòng)態(tài)協(xié)商包括激活密鑰協(xié)商��、響應(yīng)密鑰協(xié)商及會(huì)話密鑰生成��。
9.根據(jù)權(quán)利要求8所述的無(wú)線局域網(wǎng)移動(dòng)終端的安全接入方法��,其特征在于所述會(huì)話密鑰的動(dòng)態(tài)協(xié)商中1].所述的激活密鑰協(xié)商是移動(dòng)終端MT或無(wú)線接入點(diǎn)AP產(chǎn)生一隨機(jī)數(shù)據(jù)���,利用無(wú)線接入點(diǎn)AP或移動(dòng)終端MT的公鑰加密后���,向無(wú)線接入點(diǎn)AP或移動(dòng)終端MT發(fā)出請(qǐng)求密鑰協(xié)商報(bào)文;2].所述的響應(yīng)密鑰協(xié)商是無(wú)線接入點(diǎn)AP或移動(dòng)終端MT收到移動(dòng)終端MT或無(wú)線接入點(diǎn)AP發(fā)來(lái)的密鑰協(xié)商激活報(bào)文后��,利用自己的私鑰進(jìn)行解密����,得到對(duì)方產(chǎn)生的隨機(jī)數(shù)據(jù),然后�,本地產(chǎn)生一隨機(jī)數(shù)據(jù),利用移動(dòng)終端MT或無(wú)線接入點(diǎn)AP的公鑰加密后���,向移動(dòng)終端MT或無(wú)線接入點(diǎn)AP回應(yīng)密鑰協(xié)商響應(yīng)報(bào)文����;3].所述的會(huì)話密鑰生成是移動(dòng)終端MT與無(wú)線接入點(diǎn)AP均在本地利用自己與對(duì)方分別產(chǎn)生的兩個(gè)隨機(jī)數(shù)據(jù)生成會(huì)話密鑰,進(jìn)行通信數(shù)據(jù)報(bào)文的加解密����。
全文摘要
一種無(wú)線局域網(wǎng)移動(dòng)終端的安全接入方法����,當(dāng)移動(dòng)終端MT登錄至無(wú)線接入點(diǎn)AP時(shí),采用證書授權(quán)中心CA對(duì)移動(dòng)終端MT與無(wú)線接入點(diǎn)AP進(jìn)行雙向身份認(rèn)證����,若認(rèn)證成功,持有合法證書的移動(dòng)終端MT接入持有合法證書的無(wú)線接入點(diǎn)AP����,否則無(wú)線接入點(diǎn)AP拒絕移動(dòng)終端MT接入或移動(dòng)終端MT拒絕登錄至無(wú)線接入點(diǎn)AP;其主要步驟包括證書的認(rèn)證及移動(dòng)終端MT的私鑰驗(yàn)證�����。本發(fā)明解決了無(wú)線局域網(wǎng)WLAN中沒有對(duì)移動(dòng)終端MT進(jìn)行有效的安全接入控制以及無(wú)線鏈路上數(shù)據(jù)通信的保密局限性問題����,不僅實(shí)現(xiàn)了移動(dòng)終端MT的接入控制�,而且保障了接入的安全性��、通信的高保密性����。移動(dòng)終端MT即可本地也可異地登錄,支持移動(dòng)終端MT的漫游功能�����。
文檔編號(hào)H04W12/08GK1399490SQ0213936
公開日2003年2月26日 申請(qǐng)日期2002年8月15日 優(yōu)先權(quán)日2002年8月15日
發(fā)明者鐵滿霞, 唐厚儉, 張變玲, 葉續(xù)茂 申請(qǐng)人:西安西電捷通無(wú)線網(wǎng)絡(luò)通信有限公司