專利名稱:一種無線局域網(wǎng)移動終端異地接入認證方法
技術(shù)領(lǐng)域:
本發(fā)明屬于WLAN(無線局域網(wǎng))技術(shù)�����,涉及WLAN中移動終端的異地接入認證機制�。
背景技術(shù):
隨著Internet應(yīng)用的迅猛發(fā)展�����,以及便攜機�����、PDA(個人數(shù)字助理)等移動智能終端的使用的日益增長,無線局域網(wǎng)也在迅猛發(fā)展���,并成為新一代高速無線接入網(wǎng)絡(luò)�����。目前����,無線局域網(wǎng)絡(luò)廣泛應(yīng)用于醫(yī)院�����、學(xué)校���、金融服務(wù)��、制造業(yè)�、服務(wù)業(yè)�、公司應(yīng)用、公共訪問等領(lǐng)域�����。但是無線局域網(wǎng)由于傳輸媒介的開放性,使得未授權(quán)用戶可以輕易地接入無線局域網(wǎng)對數(shù)據(jù)進行偵聽�、篡改和偽造,嚴重阻礙了它的推廣與應(yīng)用��。
無線局域網(wǎng)存在的安全問題涉及兩個方面移動終端的安全接入與數(shù)據(jù)保密����。移動終端的安全接入可以通過在STA(移動終端)與AP(訪問接入設(shè)備)之間的相互認證來實現(xiàn)。在無線局域網(wǎng)標(biāo)準(zhǔn)IEEE 802.11中�����,規(guī)定了兩種認證機制開放系統(tǒng)認證和共享密鑰認證��。開放系統(tǒng)認證允許任何終端接入到無線網(wǎng)絡(luò)中�,從這種意義上講,它并沒有保證移動終端接入的安全性�����。而共享密鑰認證需要STA與AP預(yù)先設(shè)置相同的共享密鑰����,這顯然不適于流動性很大的用戶。針對無線局域網(wǎng)中存在的安全問題�����,我國寬帶無線IP工作組于2003年5月發(fā)布了WLAN國家標(biāo)準(zhǔn)GB15629.11����。在WLAN國標(biāo)第8章中提出了WLAN安全機制——WAPI(無線局域網(wǎng)鑒別和保密基礎(chǔ)結(jié)構(gòu))。
WAPI主要包括WAI(無線局域網(wǎng)鑒別基礎(chǔ)結(jié)構(gòu))和WPI(無線局域網(wǎng)保密基礎(chǔ)結(jié)構(gòu))兩部分內(nèi)容�。其中WAI機制通過橢圓曲線密碼證書實現(xiàn)STA和無線網(wǎng)絡(luò)之間的雙向認證,并采用公鑰加密的兩條消息來實現(xiàn)會話密鑰協(xié)商��。但是由于WAI認證過程中對返回給STA的鑒別結(jié)果采用AP歸屬ASU(認證服務(wù)單元)對其進行簽名���,使得STA在異地漫游時還需事先獲取當(dāng)?shù)谹SU的證書����,才能完成其對鑒別響應(yīng)中ASU簽名的鑒別�����,這對于在較大區(qū)域內(nèi)頻繁移動的用戶并不實際��,使得WAPI在實際應(yīng)用中并不能很好地解決STA的漫游問題�。
發(fā)明內(nèi)容
為了解決WAI認證過程中的不足之處�,本發(fā)明提出了一種無線局域網(wǎng)STA的安全接入認證方法����,以一種簡單有效的方法解決了STA的漫游問題。
無線局域網(wǎng)移動終端的安全接入認證方法有兩種情況本地接入認證和異地接入認證�����,本發(fā)明僅涉及異地接入認證���,其步驟如下1)訪問接入設(shè)備向移動終端發(fā)送鑒別激活消息����,啟動鑒別過程����;2)移動終端接入鑒別請求;3)訪問接入設(shè)備發(fā)起證書鑒別請求���;4)訪問接入設(shè)備歸屬認證服務(wù)單元發(fā)起異地證書鑒別請求����;5)移動終端歸屬認證服務(wù)單元異地鑒別,并將鑒別響應(yīng)發(fā)送到訪問接入設(shè)備歸屬認證服務(wù)單元����;6)訪問接入設(shè)備鑒別響應(yīng)��;7)移動終端接入鑒別響應(yīng)����。
所述步驟4)具體包括訪問接入設(shè)備歸屬認證服務(wù)單元收到訪問接入設(shè)備的證書鑒別請求后,驗證訪問接入設(shè)備的簽名和訪問接入設(shè)備證書的有效性以及驗證移動終端證書�����,認證服務(wù)單元根據(jù)移動終端證書中的證書持有者名稱得知移動終端證書是異地證書時����,將移動終端接入鑒別請求、訪問接入設(shè)備證書鑒別結(jié)果信息以及訪問接入設(shè)備歸屬認證服務(wù)單元對它們的簽名構(gòu)成認證服務(wù)單元異地證書鑒別請求通過RADIUS認證系統(tǒng)發(fā)送至移動終端歸屬認證服務(wù)單元�����,其步驟如下1>訪問接入設(shè)備歸屬認證服務(wù)單元將異地鑒別請求封裝在RADIUS的ACCESS-REQUEST報文中�����,并以移動終端證書中證書持有者名字的相關(guān)部分內(nèi)容作為認證用戶標(biāo)識,通過訪問接入設(shè)備歸屬認證服務(wù)單元中內(nèi)嵌的RADIUS服務(wù)將該ACCESS-REQUEST報文發(fā)送給本地RADIUS認證服務(wù)器���;2>RADIUS認證服務(wù)器根據(jù)證書持有者名字與其認證域的對應(yīng)關(guān)系將ACCESS-REQUEST報文經(jīng)過在多個域的RADIUS認證服務(wù)器之間的轉(zhuǎn)發(fā)���,最終轉(zhuǎn)發(fā)到移動終端歸屬地的RADIUS認證服務(wù)器;3>移動終端歸屬地的RADIUS認證服務(wù)器通過ACCESS-REQUEST報文中用戶標(biāo)識信息確定該請求應(yīng)發(fā)往其所在區(qū)域的移動終端歸屬認證服務(wù)單元�,并將該報文轉(zhuǎn)發(fā)給該認證服務(wù)單元。
所述步驟5)中所述的異地鑒別具體包括以下處理過程移動終端歸屬認證服務(wù)單元通過其內(nèi)嵌的RADIUS服務(wù)接收到ACCESS-REQUEST報文后��,從中解析出異地證書鑒別請求���,并從該請求中取出接入鑒別請求�,對其中的移動終端的簽名和證書的有效性進行驗證����,并將移動終端證書鑒別結(jié)果、訪問接入設(shè)備證書鑒別結(jié)果和移動終端歸屬認證服務(wù)單元對它們的簽名構(gòu)成認證服務(wù)單元異地證書鑒別響應(yīng)通過RADIUS認證系統(tǒng)發(fā)回給訪問接入設(shè)備歸屬認證服務(wù)單元��,其步驟如下4>移動終端歸屬認證服務(wù)單元將異地證書鑒別響應(yīng)封裝在ACCESS-ACCEPT或ACCES-REJECT報文中�����,并將其返回給其所在區(qū)域的RADIUS認證服務(wù)器����;5>RADIUS認證服務(wù)器根據(jù)其接收ACCESS-REQUEST報文的路徑將ACCESS-ACCEPT或ACCES-REJECT報文返回給其上級或下級認證服務(wù)器��,如上所述����,ACCESS-ACCEPT或ACCES-REJECT報文經(jīng)過現(xiàn)有認證系統(tǒng)中多個域RADIUS認證服務(wù)器的轉(zhuǎn)發(fā)����,最終返回到現(xiàn)有訪問接入設(shè)備歸屬地的RADIUS認證服務(wù)器��;6>訪問接入設(shè)備歸屬地的RADIUS認證服務(wù)器將ACCESS-ACCEPT或ACCES-REJECT報文返回給訪問接入設(shè)備歸屬地認證服務(wù)單元���。
所述步驟6)具體包括以下處理過程訪問接入設(shè)備歸屬認證服務(wù)單元通過其內(nèi)嵌的RADIUS服務(wù)接收到ACCESS-ACCEPT或ACCES-REJECT報文后�,從中取出認證服務(wù)單元異地證書鑒別響應(yīng)�����,它可以采用兩種方式來處理異地證書鑒別響應(yīng)����。一直接將認證服務(wù)單元異地證書響應(yīng)作為訪問接入設(shè)備鑒別響應(yīng)轉(zhuǎn)發(fā)給訪問接入設(shè)備;二使用訪問接入設(shè)備歸屬認證服務(wù)單元的私鑰對異地證書鑒別響應(yīng)簽名�,并將認證服務(wù)單元異地鑒別響應(yīng)和該簽名構(gòu)成訪問接入設(shè)備證書鑒別響應(yīng)發(fā)給訪問接入設(shè)備。
所述步驟7)中針對步驟6)中訪問接入設(shè)備鑒別響應(yīng)的兩種可能,訪問接入設(shè)備也有對應(yīng)的兩種處理方法�����。一訪問接入設(shè)備從認證服務(wù)單元返回的證書鑒別響應(yīng)中得到移動終端證書的鑒別結(jié)果����,根據(jù)此結(jié)果對移動終端進行接入控制,并將接收到的證書鑒別響應(yīng)作為接入鑒別響應(yīng)發(fā)送至移動終端��;二訪問接入設(shè)備先對認證服務(wù)單元返回的證書鑒別響應(yīng)中的訪問接入設(shè)備歸屬認證服務(wù)單元的簽名進行簽名驗證�,如果驗證通過,則從證書鑒別響應(yīng)中得到移動終端證書的鑒別結(jié)果�,根據(jù)此結(jié)果對移動終端進行接入控制,并從接收到的認證服務(wù)單元證書鑒別響應(yīng)中取出認證服務(wù)單元異地證書鑒別響應(yīng)作為接入鑒別響應(yīng)發(fā)送至移動終端��。移動終端接收到接入鑒別響應(yīng)��,驗證移動終端歸屬認證服務(wù)單元的簽名后��,得到訪問接入設(shè)備證書的鑒別結(jié)果���,根據(jù)該鑒別結(jié)果決定是否接入該訪問接入設(shè)備��。
本發(fā)明與現(xiàn)有技術(shù)相比有如下優(yōu)點在WAI過程中��,分別通過STA和AP各自歸屬ASU對它們證書進行認證�����,并在返回給STA的鑒別響應(yīng)中使用STA歸屬ASU對鑒別響應(yīng)進行簽名代替原標(biāo)準(zhǔn)中利用AP歸屬ASU對鑒別響應(yīng)的簽名���,使得在實際應(yīng)用中STA僅需預(yù)先安裝其歸屬ASU的證書����,而不用每到一地都要預(yù)先安裝當(dāng)?shù)谹SU的證書�����,以一種簡單有效的方法解決了STA的漫游認證問題��。
圖1為RADIUS認證系統(tǒng)拓撲圖���;圖2為本發(fā)明無線局域網(wǎng)移動終端接入網(wǎng)絡(luò)結(jié)構(gòu)拓撲圖;圖3為本發(fā)明無線局域網(wǎng)移動終端異地接入認證流程圖����;圖4為本發(fā)明異地鑒別請求傳送流程圖。
具體實施例方式
在基于RADIUS的漫游認證系統(tǒng)中���,對用戶按其所在組織(域)分級命名�����,每一個域有一認證服務(wù)器(該認證服務(wù)器同時具有認證和區(qū)域認證代理的功能)�����,最上級域認證服務(wù)器稱為根認證服務(wù)器�,圖1表示了只有兩級域的RADIUS認證系統(tǒng)的架構(gòu)。以com.cn域為例���,過本域用戶user@com.cn的認證直接由本域的認證服務(wù)器完成��,對其他域的漫游用戶(如user@edu.cn)的認證���,認證服務(wù)器根據(jù)用戶的名字將認證請求經(jīng)各級認證服務(wù)器(com.cn區(qū)域認證服務(wù)器、cn域根認證服務(wù)器)轉(zhuǎn)發(fā)到漫游用戶所在域(edu.cn)的認證服務(wù)器進行認證����。由于在證書體制中也根據(jù)用戶所在的地域和組織采用分級命名機制,所以在本發(fā)明中充分利用了當(dāng)前的RADIUS認證系統(tǒng)來傳送異地證書鑒別請求�����,有效解決了STA的漫游問題。
圖2是STA在異地接入無線局域網(wǎng)時的網(wǎng)絡(luò)拓撲圖��,異地STA的接入認證過程如附圖3所示����,其步驟如下1.鑒別激活。當(dāng)STA關(guān)聯(lián)或重關(guān)聯(lián)到AP時���,由AP向STA發(fā)送鑒別激活消息以啟動鑒別過程�����。
2.STA接入鑒別請求��。STA向AP發(fā)出接入鑒別請求,即將STA證書��、STA的當(dāng)前系統(tǒng)時間以及STA對它們的簽名發(fā)往AP�,其中系統(tǒng)時間稱為接入鑒別請求時間。
3.AP證書鑒別請求�����。AP接收到移動終端的接入鑒別請求后�,首先記錄鑒別請求時間�,然后將移動終端接入鑒別請求��、AP證書及AP的私鑰對它們的簽名構(gòu)成證書鑒別請求發(fā)送到AP歸屬ASU���。
4.ASU異地證書鑒別請求�。ASU收到AP的證書鑒別請求后�,驗證AP的簽名和AP證書的有效性,若不正確���,則鑒別過程失敗����,否則進一步驗證移動終端證書����。ASU根據(jù)移動終端證書中的證書持有者名稱斷定移動終端證書不是本地證書,則將移動終端接入鑒別請求�、AP證書鑒別結(jié)果信息以及AP歸屬ASU對它們的簽名構(gòu)成ASU異地證書鑒別請求通過RADIUS認證系統(tǒng)發(fā)送至STA歸屬ASU。
本發(fā)明中ASU異地證書鑒別請求在RADIUS認證系統(tǒng)中的傳送�����,通過將該請求承載在RADIUS擴展字段EAP-MESSAGE上實現(xiàn)�。EAP-MESSAGE是RADIUS為傳送EAP協(xié)議數(shù)據(jù)報而擴展的字段����。EAP是一可擴展認證協(xié)議�����,可以承載多種認證機制����,RADIUS為支持EAP協(xié)議增加了EAP-MESSAGE字段。參考圖4所示�����,ASU異地證書鑒別請求通過RADIUS認證系統(tǒng)傳送到STA歸屬ASU要經(jīng)過以幾個步驟a)AP歸屬ASU將異地鑒別請求封裝為EAP-RESPONSE報文�,并將該報文放入ACCES-REQUEST報文的EAP-MESSAGE字段中,同時將移動終端證書中的證書持有者名字放入USER-NAME字段�����,通過AP歸屬ASU中內(nèi)嵌的RADIUS服務(wù)將ACCESS-REQUEST報文發(fā)送給本地RADIUS認證服務(wù)器��。
b)由于證書持有者名字采用分級命名機制����,認證服務(wù)器根據(jù)證書持有者名字與其認證域的對應(yīng)關(guān)系將ACCESS-REQUES報文傳送給其上級或下級域RADIUS認證服務(wù)器。如上所述����,ACCESS-REQUEST報文經(jīng)過在現(xiàn)有認證系統(tǒng)中多個域認證服務(wù)器之間的轉(zhuǎn)發(fā),最終轉(zhuǎn)發(fā)到STA歸屬地的RADIUS認證服務(wù)器��。
c)STA歸屬域的RADIUS認證服務(wù)器通過USER-NAME字段中的名字確定該請求應(yīng)發(fā)往其所在區(qū)域STA歸屬ASU�,將ACCES-REQUEST報文轉(zhuǎn)發(fā)給該ASU。
5.ASU異地鑒別響應(yīng)�。參考圖4所示,STA歸屬ASU通過其內(nèi)嵌的RADIUS服務(wù)接收到ACCESS-REQUEST請求后�����,從中解析出異地鑒別請求�����,并從該請求中取出接入鑒別請求���,對其中的STA的簽名和證書的有效性進行驗證��,并將STA證書鑒別結(jié)果�、AP證書鑒別結(jié)果(從異地鑒別請求中獲取)和STA歸屬ASU對它們的簽名構(gòu)成ASU異地證書鑒別響應(yīng),通過RADIUS認證系統(tǒng)發(fā)回給AP歸屬ASU�,其步驟如下a)STA歸屬ASU將異地證書鑒別響應(yīng)封裝在ACCESS-ACCEPT(或ACCES-REJECT)報文中(鑒別響應(yīng)被封裝為EAP-SUCCESS(EAP-FAIL)報文,承載在EAP-MESSAGE字段中)返回給其所在區(qū)域的RADIUS認證服務(wù)器����。
b)RADIUS認證服務(wù)器根據(jù)其接收ACCESS-REQUEST報文的路徑將ACCESS-ACCEPT(或ACCES-REJECT)報文返回給其上級或下級認證服務(wù)器,如上所述�����,ACCESS-ACCEPT(或ACCES-REJECT)報文經(jīng)過現(xiàn)有認證系統(tǒng)中多個域RADIUS認證服務(wù)器的轉(zhuǎn)發(fā)�,最終返回到現(xiàn)有AP歸屬地的RADIUS認證服務(wù)器c)AP歸屬地的認證服務(wù)器將ACCESS-ACCEPT(或ACCES-REJECT)報文返回給AP歸屬地ASU6.AP鑒別響應(yīng)。AP歸屬ASU通過其內(nèi)嵌的RADIUS服務(wù)接收到ACCESS-ACCEPT(或ACCES-REJECT)報文后����,從中取出ASU異地證書鑒別響應(yīng),它可以采用兩種方式來處理異地證書鑒別響應(yīng)����。一直接將ASU異地證書響應(yīng)作為AP鑒別響應(yīng)轉(zhuǎn)發(fā)給AP;二使用AP歸屬ASU的私鑰對異地證書鑒別響應(yīng)簽名�����,并將ASU異地鑒別響應(yīng)和該簽名構(gòu)成AP證書鑒別響應(yīng)發(fā)給AP�。
7.移動終端接入鑒別響應(yīng)。針對第5步中AP鑒別響應(yīng)的兩種可能���,AP也有對應(yīng)的兩種處理方法�。一AP從ASU返回的證書鑒別響應(yīng)中得到移動終端證書的鑒別結(jié)果��,根據(jù)此結(jié)果對STA進行接入控制�,并將接收到的證書鑒別響應(yīng)作為接入鑒別響應(yīng)發(fā)送至STA;二AP先對ASU返回的證書鑒別響應(yīng)中的AP歸屬ASU的簽名進行簽名驗證�����,如果驗證通過�,則從證書鑒別響應(yīng)中得到STA證書的鑒別結(jié)果,根據(jù)此結(jié)果對STA進行接入控制���,并從接收到的ASU證書鑒別響應(yīng)中取出ASU異地證書鑒別響應(yīng)作為接入鑒別響應(yīng)發(fā)送至STA�。STA接收到接入鑒別響應(yīng)��,驗證STA歸屬ASU的簽名后����,得到AP證書的鑒別結(jié)果,根據(jù)該鑒別結(jié)果決定是否接入該AP���。
權(quán)利要求
1.一種無線局域網(wǎng)移動終端異地接入認證方法�,其特征在于,所述方法包括以下處理步驟1)訪問接入設(shè)備向移動終端發(fā)送鑒別激活消息�,啟動鑒別過程;2)移動終端接入鑒別請求�����;3)訪問接入設(shè)備發(fā)起證書鑒別請求�;4)訪問接入設(shè)備歸屬認證服務(wù)單元發(fā)起異地證書鑒別請求;5)移動終端歸屬認證服務(wù)單元異地鑒別��,并將鑒別響應(yīng)發(fā)送到訪問接入設(shè)備歸屬認證服務(wù)單元��;6)訪問接入設(shè)備鑒別響應(yīng)�����;7)移動終端接入鑒別響應(yīng)����。
2.根據(jù)權(quán)利要求1所述的無線局域網(wǎng)移動終端異地接入認證方法,其特征在于��,所述步驟4)具體包括訪問接入設(shè)備歸屬認證服務(wù)單元收到訪問接入設(shè)備的證書鑒別請求后�,驗證訪問接入設(shè)備的簽名和訪問接入設(shè)備證書的有效性以及驗證移動終端證書����,認證服務(wù)單元根據(jù)移動終端證書中的證書持有者名稱得知移動終端證書是異地證書時����,將移動終端接入鑒別請求����、訪問接入設(shè)備證書鑒別結(jié)果信息以及訪問接入設(shè)備歸屬認證服務(wù)單元對它們的簽名構(gòu)成認證服務(wù)單元異地證書鑒別請求,通過RADIUS認證系統(tǒng)發(fā)送至移動終端歸屬認證服務(wù)單元�。
3. 根據(jù)權(quán)利要求2所述的無線局域網(wǎng)移動終端異地接入認證方法,其特征在于�,所述通過RADIUS認證系統(tǒng)發(fā)送至移動終端歸屬認證服務(wù)單元具體包括以下步驟1>訪問接入設(shè)備歸屬認證服務(wù)單元將異地鑒別請求封裝在RADIUS的ACCESS-REQUEST報文中,并以移動終端證書中證書持有者名字的相關(guān)部分內(nèi)容作為認證用戶標(biāo)識���,通過訪問接入設(shè)備歸屬認證服務(wù)單元中內(nèi)嵌的RADIUS服務(wù)將該ACCESS-REQUEST報文發(fā)送給本地RADIUS認證服務(wù)器�;2>RADIUS認證服務(wù)器根據(jù)證書持有者名字與其認證域的對應(yīng)關(guān)系將ACCESS-REQUEST報文經(jīng)過在多個域的RADIUS認證服務(wù)器之間的轉(zhuǎn)發(fā)���,最終轉(zhuǎn)發(fā)到移動終端歸屬地的RADIUS認證服務(wù)器��;3>移動終端歸屬地的RADIUS認證服務(wù)器通過ACCESS-REQUEST報文中用戶標(biāo)識信息確定該請求應(yīng)發(fā)往其所在區(qū)域的移動終端歸屬認證服務(wù)單元�,并將該報文轉(zhuǎn)發(fā)給該認證服務(wù)單元���。
4.根據(jù)權(quán)利要求1所述的無線局域網(wǎng)移動終端異地接入認證方法����,其特征在于,所述步驟5)中所述的異地鑒別具體包括以下處理過程移動終端歸屬認證服務(wù)單元通過其內(nèi)嵌的RADIUS服務(wù)接收到ACCESS-REQUEST報文后�,從中解析出異地證書鑒別請求,并從該請求中取出接入鑒別請求���,對其中的移動終端的簽名和證書的有效性進行驗證�����,并將移動終端證書鑒別結(jié)果�����、訪問接入設(shè)備證書鑒別結(jié)果和移動終端歸屬認證服務(wù)單元對它們的簽名構(gòu)成認證服務(wù)單元異地證書鑒別響應(yīng)�����,通過RADIUS認證系統(tǒng)發(fā)回給訪問接入設(shè)備歸屬認證服務(wù)單元�。
5.根據(jù)權(quán)利要求4所述的無線局域網(wǎng)移動終端異地接入認證方法���,其特征在于��,所述通過RADIUS認證系統(tǒng)發(fā)回給訪問接入設(shè)備歸屬認證服務(wù)單元具體包括以下步驟4>移動終端歸屬認證服務(wù)單元將異地證書鑒別響應(yīng)封裝在ACCESS-ACCEPT或ACCES-REJECT報文中��,并將其返回給其所在區(qū)域的RADIUS認證服務(wù)器����;5>RADIUS認證服務(wù)器根據(jù)其接收ACCESS-REQUEST報文的路徑將ACCESS-ACCEPT或ACCES-REJECT報文返回給其上級或下級認證服務(wù)器����,如上所述,ACCESS-ACCEPT或ACCES-REJECT報文經(jīng)過現(xiàn)有認證系統(tǒng)中多個域RADIUS認證服務(wù)器的轉(zhuǎn)發(fā)����,最終返回到現(xiàn)有訪問接入設(shè)備歸屬地的RADIUS認證服務(wù)器;6>訪問接入設(shè)備歸屬地的RADIUS認證服務(wù)器將ACCESS-ACCEPT或ACCES-REJECT報文返回給訪問接入設(shè)備歸屬地認證服務(wù)單元����。
6.根據(jù)權(quán)利要求1或5所述的無線局域網(wǎng)移動終端異地接入認證方法,其特征在于��,所述步驟6)具體包括以下處理過程訪問接入設(shè)備歸屬認證服務(wù)單元通過其內(nèi)嵌的RADIUS服務(wù)接收到ACCESS-ACCEPT或ACCES-REJECT報文后�����,從中取出認證服務(wù)單元異地證書鑒別響應(yīng)����,直接將認證服務(wù)單元異地證書響應(yīng)作為訪問接入設(shè)備鑒別響應(yīng)轉(zhuǎn)發(fā)給訪問接入設(shè)備�。
7.根據(jù)權(quán)利要求6所述的無線局域網(wǎng)移動終端異地接入認證方法�,其特征在于,所述步驟7)具體包括以下處理過程訪問接入設(shè)備從認證服務(wù)單元返回的證書鑒別響應(yīng)中得到移動終端證書的鑒別結(jié)果����,根據(jù)此結(jié)果對移動終端進行接入控制,并將接收到的證書鑒別響應(yīng)作為接入鑒別響應(yīng)發(fā)送至移動終端�,移動終端接收到接入鑒別響應(yīng),驗證移動終端歸屬認證服務(wù)單元的簽名后�����,得到訪問接入設(shè)備證書的鑒別結(jié)果��,根據(jù)該鑒別結(jié)果決定是否接入該訪問接入設(shè)備���。
8.根據(jù)權(quán)利要求1或5所述的無線局域網(wǎng)移動終端異地接入認證方法���,其特征在于,所述步驟6)具體包括以下處理過程訪問接入設(shè)備歸屬認證服務(wù)單元通過其內(nèi)嵌的RADIUS服務(wù)接收到ACCESS-ACCEPT或ACCES-REJECT報文后�����,從中取出認證服務(wù)單元異地證書鑒別響應(yīng),使用訪問接入設(shè)備歸屬認證服務(wù)單元的私鑰對異地證書鑒別響應(yīng)簽名�,并將認證服務(wù)單元異地鑒別響應(yīng)和該簽名構(gòu)成訪問接入設(shè)備證書鑒別響應(yīng)發(fā)給訪問接入設(shè)備。
9.根據(jù)權(quán)利要求8所述的無線局域網(wǎng)移動終端異地接入認證方法��,其特征在于�����,所述步驟7)具體包括以下處理過程訪問接入設(shè)備先對認證服務(wù)單元返回的證書鑒別響應(yīng)中的訪問接入設(shè)備歸屬認證服務(wù)單元的簽名進行簽名驗證�,如果驗證通過,則從證書鑒別響應(yīng)中得到移動終端證書的鑒別結(jié)果��,根據(jù)此結(jié)果對移動終端進行接入控制��,并從接收到的認證服務(wù)單元證書鑒別響應(yīng)中取出認證服務(wù)單元異地證書鑒別響應(yīng)作為接入鑒別響應(yīng)發(fā)送至移動終端���,移動終端接收到接入鑒別響應(yīng),驗證移動終端歸屬認證服務(wù)單元的簽名后��,得到訪問接入設(shè)備證書的鑒別結(jié)果��,根據(jù)該鑒別結(jié)果決定是否接入該訪問接入設(shè)備���。
全文摘要
本發(fā)明公開了一種無線局域網(wǎng)移動終端異地接入認證方法�,包括以下處理過程訪問接入設(shè)備鑒別激活移動終端;移動終端接入鑒別請求��;訪問接入設(shè)備發(fā)起證書鑒別請求�����;訪問接入設(shè)備歸屬認證服務(wù)單元發(fā)起異地證書鑒別請求�;移動終端歸屬認證服務(wù)單元異地鑒別,并將鑒別響應(yīng)發(fā)送到訪問接入設(shè)備歸屬認證服務(wù)單元����;訪問接入設(shè)備鑒別響應(yīng);移動終端接入鑒別響應(yīng)����。采用本發(fā)明在實際應(yīng)用中STA僅需預(yù)先安裝其歸屬ASU的證書,而不用每到一地都要預(yù)先安裝當(dāng)?shù)谹SU的證書����,可以簡單有效地解決STA的漫游認證問題。
文檔編號H04L9/32GK1564516SQ200410029790
公開日2005年1月12日 申請日期2004年3月26日 優(yōu)先權(quán)日2004年3月26日
發(fā)明者田峰 申請人:中興通訊股份有限公司