專利名稱:實現(xiàn)wapi協(xié)議與802.1x協(xié)議兼容的方法
技術領域:
本發(fā)明涉及無線局域網(wǎng)技術�,尤其涉及一種實現(xiàn)WAPI協(xié)議與802.1X協(xié)議兼容的方法。
背景技術:
無線局域網(wǎng)(WLAN)主要用于傳輸因特網(wǎng)協(xié)議(IP)分組數(shù)據(jù)包����,即接入點(AP)提供用戶終端的無線接入���,然后通過網(wǎng)絡控制器和連接設備完成IP包的傳輸。
無線局域網(wǎng)包括多種不同技術���,目前應用較為廣泛的一個技術標準是IEEE802.11b�����,它采用2.4GHz頻段�,最高數(shù)據(jù)傳輸速率可達11Mbps��。使用該頻段的還有IEEE 802.11g和藍牙(Bluetooth)技術���,其中����,802.11g最高數(shù)據(jù)傳輸速率可達54Mbps�����。其它新技術諸如IEEE 802.11a和ETSI BRAN Hiperlan2都使用5GHz頻段�����,最高傳輸速率也可達到54Mbps�����。
隨著WLAN技術的興起和發(fā)展��,WLAN與各種無線移動通信網(wǎng)�����,諸如GSM�����、碼分多址(CDMA)系統(tǒng)��、寬帶碼分多址(WCDMA)系統(tǒng)�、時分雙工_同步碼分多址(TD-SCDMA)系統(tǒng)和CDMA2000系統(tǒng)的互通正成為當前研究的重點。對于WLAN用戶接入3GPP/3GPP2網(wǎng)絡���,第三代合作伙伴計劃(3GPP)和第三代合作伙伴計劃2(3GPP2)標準化組織正在進行相關工作�����。
3GPP組織確定了采用EAP-SIM(擴展認證協(xié)議-簽約用戶標識模塊)或EAP-AKA(擴展認證協(xié)議-認證和密鑰協(xié)商)機制實現(xiàn)WLAN網(wǎng)絡和3GPP網(wǎng)絡的接入互通��。
對于WLAN-3GPP2網(wǎng)絡的接入互通��,EAP-AKA�����,EAP-CAVE等機制正在討論中�����。
上述方法均采用基于3GPP/3GPP2現(xiàn)有接入認證機制的基礎上實現(xiàn)WLAN-3GPP/3GPP2網(wǎng)絡的互通����。
中國目前制定了WLAN網(wǎng)絡接入安全規(guī)范,即基于無線局域網(wǎng)鑒別與保密基礎結構(WAPI)體制的接入認證機制�。對于WAPI機制與802.11i(802.11i是基于802.1X的)網(wǎng)絡的兼容,尤其是支持WAPI的AP如何兼容不同類型的STA����,目前是個新問題。
WAPI由無線局域網(wǎng)鑒別基礎結構(WAI)和無線局域網(wǎng)保密基礎結構(WPI)組成���。WAI完成認證功能�����,WPI提供空口加密功能�。WAPI機制采用公鑰密碼技術實現(xiàn)客戶的身份鑒別�����。鑒別服務單元(ASU)為每個用戶分配公鑰證書��。
公鑰認證的格式如下
表中部分字段的含義如下證書的序列號每個由ASU頒發(fā)的公鑰證書都需要分配一個唯一的號碼�����。
證書頒發(fā)者采用的簽名算法指定了證書頒發(fā)者所采用的簽名算法��,包括簽名算法名稱���、簽名長度與簽名者采用的公鑰長度����。
證書的頒發(fā)者名稱指定頒發(fā)者的身份���。
證書持有者名稱指定證書持有者的身份�����。
證書類型表示證書持有者的設備類型�����,即WLAN的終端站點(STA)�����,AP或ASU����。
證書頒發(fā)者對證書的簽名該字段由證書頒發(fā)者對該證書上的所有字段項進行簽名得到。
WAI的具體過程如圖1所示(1)AP給WLAN終端(此處指STA)發(fā)送鑒別激活消息���。
(2)WLAN終端接收到鑒別激活消息后��,將WLAN客戶端的公鑰證書通過接入鑒別請求消息發(fā)送給AP�����。
(3)AP接收到WLAN客戶端發(fā)送來的接入鑒別請求消息后�����,提取出WLAN客戶端的證書�����,并將其連同AP自身的公鑰證書�����、AP的簽名封裝在證書鑒別請求消息中�,發(fā)送給ASU���。
(4)ASU接收到證書鑒別請求消息后�����,驗證AP的簽名和AP證書的有效性���,若不正確,則鑒別過程失?���。环駝t��,進一步驗證WLAN客戶端的證書。
(5)ASU將WLAN客戶端證書鑒別結果����、AP證書鑒別結果和ASU的簽名構成證書鑒別響應消息發(fā)送給AP。
(6)AP對ASU返回的證書鑒別響應進行簽名驗證���,得到WLAN客戶端的鑒別結果�,根據(jù)此結果對WLAN客戶端進行接入控制(即當WLAN客戶端鑒別成功時��,允許WLAN客戶端接入�;否則,拒絕該WLAN客戶端接入)��。同時�,AP將證書鑒別響應發(fā)送到WLAN客戶端,WLAN客戶端驗證ASU的簽名��,得到AP的鑒別結果����,根據(jù)該結果確定是否接入AP(即當AP鑒別成功時,該WLAN客戶端可以接入AP����;否則���,該WLAN客戶端不從該AP接入)。
(7)WLAN客戶端和AP進行密鑰協(xié)商��,得到用于空口加密的密鑰����。
WLAN客戶端的WLAN網(wǎng)絡接入認證采用WAI機制,在此情況下�����,ASU給每個WLAN客戶頒發(fā)公鑰數(shù)字證書���,WLAN客戶端采用公鑰證書標識自身。當WLAN客戶端通過WAI認證后�����,即可以訪問Internet網(wǎng)絡或其它專有網(wǎng)絡�,WLAN客戶端在接入WLAN時,空中接口采用WPI機制進行加密����,以保護WLAN網(wǎng)絡的通信安全��。
對于不支持WAPI的STA����,例如從其它國家漫游到中國的WLAN用戶����,其終端不支持也無法識別WAPI消息,當STA與AP之間建立關聯(lián)關系后�����,支持WAPI的AP還是要下發(fā)一個“鑒別激活”消息�����,此時就無法進行進一步的鑒別和加密協(xié)商了�,導致終端無法接入到WAPI網(wǎng)絡。
WLAN如同目前的GSM/CDMA網(wǎng)絡一樣�����,如果進行運營�,必須支持漫游,滿足國內及海外用戶的接入需求。當WLAN必須采用WAI認證體制時��,如何兼容非WAPI的STA���,是目前急待解決的問題���。
發(fā)明內容
本發(fā)明提供一種實現(xiàn)WAPI協(xié)議與802.1X協(xié)議兼容的方法,以解決非WAPI的終端站點不能接入支持WAPI的無線局域網(wǎng)的問題����。
為解決上述問題,本發(fā)明提供以下技術方案一種實現(xiàn)WAPI協(xié)議與802.1X協(xié)議兼容的方法����,該方法包括步驟支持WAPI協(xié)議和802.1X協(xié)議的無線入點(AP)向終端站點(STA)發(fā)送鑒別激活消息��;AP判斷STA是否支持WAPI協(xié)議���,如果是��,AP與STA按WAPI規(guī)定的流程進行鑒權�����,否則�,AP與STA之間終止WAPI鑒別嘗試,并按802.1X規(guī)定的流程進行鑒權�����。
根據(jù)上述方法當STA判斷本端無法識別收到的鑒別激活消息時�����,主動向AP發(fā)送啟動EAP鑒別流程的消息�����,AP根據(jù)該消息判斷STA不支持WAPI協(xié)議�����。
當AP在發(fā)送鑒別激活消息達到預定次數(shù)時仍未收到STA的WAPI響應消息�,則判斷該STA不支持WAPI協(xié)議,并主動向STA發(fā)送EAP請求消息啟動EAP流程�����;當AP向STA發(fā)送開始EAP鑒別流程達到預定次數(shù)仍未收到STA的響應��,則終止流程并拒絕接入。
AP與STA在鑒權流程中生成密鑰和協(xié)商出加密算法�。
在按802.1X規(guī)定的流程鑒權過程中還承載基于EAP的其他鑒別流程;所述其他鑒別流程包括WLAN與GSM/WCDMA融合協(xié)議的EAP-SIM和EAP-AKA流程����。
本發(fā)明通過增強AP的智能處理能力,具有對STA的能力識別功能�,并根據(jù)STA能力進行相應的認證與加密流程,從而方便各種類型的用戶的接入�。
采用本發(fā)明,在中國強制實施WAPI標準和網(wǎng)絡全面升級后���,如果國內的老用戶沒有來得及升級終端��,也可以接入網(wǎng)絡�。
對于國外的漫游用戶��,按現(xiàn)有的WAPI方式無法實現(xiàn)國際漫游��,采用本發(fā)明則可以幫助運營商解決WAPI如何支持國際漫游的問題���,從而實現(xiàn)收取國際漫游用戶的網(wǎng)絡使用費。
圖1為現(xiàn)有技術中支持WAPI的終端站點接入鑒別流程圖����;圖2為本發(fā)明實施例一的增強型AP的狀態(tài)機示意圖���;圖3為本發(fā)明實施例一的終端站點接入鑒別流程圖;圖4為EAP-SIM認證流程圖����;圖5為EAP-AKA認證流程圖;圖6為本發(fā)明實施例二的增強型AP的狀態(tài)機示意圖��;圖7為本發(fā)明實施例二的終端站點接入鑒別流程圖��。
具體實施例方式
在中國強制實施無線局域網(wǎng)鑒別和保密基礎結構(WAPI)標準后����,如果無線局域網(wǎng)(WLAN)中的所有無線接入點(AP)都升級支持WAPI,則現(xiàn)有的大量終端站點(STA)為了接入WAPI網(wǎng)絡�,也必須升級支持WAPI,對于沒有來得升級或者從國外漫游過來的STA���,則無法接入WAPI網(wǎng)絡�����。
本發(fā)明在AP中增加自動識別STA的辦法���,通過消息內容判斷STA是否支持WAPI�,如果AP下發(fā)WAPI消息給STA后����,沒有得到WAPI消息響應,而且收到的是802.1X消息����,則由此確定該STA不支持WAPI,但可以支持802.1X���,于是啟動802.1X鑒別與加密流程�����。
在STA不支持WAPI功能時���,STA與AP之間進行802.1X鑒別流程可以由STA主動發(fā)起,也可以由AP主動發(fā)起��。以下對這兩種方式分別進行說明�����。
如圖2所求�,在AP協(xié)議處理狀態(tài)機中增加一個處理分支來增強AP的功能(增加部分見框內),使AP除了支持WAPI�,同時還支持802.1X(802.1X是IEEE制定的一種安全協(xié)議,目前802.11i就是基于802.1X的���。)�。對于支持WAPI的終端站點(STA)在接入時走正常的WAPI鑒別和加密流程�����,對于不支持WAPI的STA�,則根據(jù)默認配置主動啟動802.1X的鑒別流程。
參閱圖3并結合圖2所示�����,具體處理流程如下(1)STA與AP之間進行常規(guī)的協(xié)商�,包括探詢(Probe)、認證(Authentication)和關聯(lián)(Association)三次握手過程��。
(2)建立關聯(lián)后���,支持WAPI功能的AP給ST發(fā)送鑒別激活消息�。
(3)WLAN終端(STA)接收到鑒別激活消息后,如果STA本身支持WAPI功能�,則走正常的WAPI鑒別和加密過程(如圖1所示)。
(4)如果STA不支持WAPI��,則無法識別鑒權激活消息�����。此時STA會根據(jù)默認配置啟動802.1X過程�,主動向AP發(fā)起啟動EAP鑒別的EAPoL_Start(局域網(wǎng)承載EAP協(xié)議_開始)消息。
(5)由于AP支持WAPI協(xié)議和802.1X協(xié)議�����,AP根據(jù)終端的EAPoL_Start消息���,得知該STA不支持WAPI��,從而開始按802.1X進行鑒權����。
在按802.1X協(xié)議進行鑒權過程中如果生成密鑰并協(xié)商了相應的加密算法��,則在STA與AP之間啟動加密(WEP、TKIP或者AES)�����。
根據(jù)3GPP/3GPP2定義的WLAN鑒權過程���,在進行802.1X鑒權過程中還可以承載EAP-SIM、EAP-AKA流程����。EAP-SIM、EAP-AKA流程為3GPP定義的WLAN與GSM/WCDMA融合的流程(具體參見3GPP協(xié)議TS 23.234)��。EAP-SIM和EAP-AKA兩個流程與本發(fā)明的接口點均為EAP Request/Identity消息��。
EAP-SIM流程是3GPP定義的WLAN與GSM/GPRS融合實現(xiàn)流程��,通過802.1X承載SIM認證流程����,從而實現(xiàn)用戶通過SIM卡進行認證和計費的目的。在802.1X鑒權過程中承載EAP-SIM流程如圖4所示(圖4中的步驟1為STA與AP之間的三次握手過程)���。
EAP-AKA流程是3GPP定義的一種流程��,通過802.1X承載CAVE認證流程����,從而實現(xiàn)用戶通過USIM卡進行認證和計費的目的,如圖5所示(圖5中的步驟1為STA與AP之間的三次握手過程)��。
參閱圖6所示����,在AP協(xié)議處理狀態(tài)機中對沒有響應消息增加后續(xù)處理流程來增強AP的功能(增加部分見虛框內),使AP除了支持WAPI����,同時還支持802.1X。當AP下發(fā)“鑒別激活”后直至認證超時都沒有收到WAPI響應消息時�����,認為終端不支持WAPI�����,AP主動向STA下發(fā)一個EAP Request/Identity消息�����,嘗試啟動802.1X認證流程;如果收到STA的EAP響應消息����,則AP與STA之間繼續(xù)802.1X流程;如果收不到響應��,且認證沒有超時����,則按規(guī)劃重發(fā)�;如果直至認證超時都沒有得到響應,則終止流程����,拒絕接入。
參閱7所示����,具體的流程如下(1)STA與AP之間進行常規(guī)的協(xié)商,包括Probe���、Authentication和Association三次握手過程�����。
(2)建立關聯(lián)后����,支持WAPI功能的AP給ST發(fā)送鑒別激活消息。
(3)如果在規(guī)定的時間間隔內AP收到WAPI響應消息��,則表明STA支持WAPI功能�,則走正常的WAPI鑒別和加密過程(如圖1所示)。
(4)如果AP側一直得不到STA的回應消息�,根據(jù)默認配置進行幾次重發(fā)后仍得不到回應消息,則確定該STA不支持WAPI消息�����,終止WAPI流程�,下發(fā)一條EAP Request/Identity消息給STA,開始按802.1X進行鑒權��。
(5)如果后流程能夠正常進行����,則根據(jù)3GPP/3GPP2定義的WLAN鑒權過程,在進行802.1X鑒權過程中�����,EAP承載的協(xié)議包括EAP-SIM、EAP-AKA等流程��。
802.1X進行鑒權過程中如果生成密鑰并協(xié)商了相應的加密算法�,則在STA與AP之間啟動加密。
(6)如果AP下發(fā)EAP Request/Identity消息后�����,仍得不STA的正?���;貞?,則終止該認證流程,拒絕接入�。
本發(fā)明通過增強AP的智能處理能力,具有對STA的能力識別功能�����,并根據(jù)STA能力進行相應的認證與加密流程�����,從而方便各種類型的用戶的接入����。國內的老用戶在網(wǎng)絡全面升級后�����,如果沒有來得及升級終端��,也可以接入網(wǎng)絡�����;國外的漫游用戶��,按WAPI方式無法實現(xiàn)國際漫游����,此時如果AP具有智能處理功能���,可以極大方便他們的接入與漫游�����。采用本發(fā)明運營商能夠解決何支持國際漫游的問題�,從而收取國際漫游用戶的網(wǎng)絡使用費���。
權利要求
1.一種實現(xiàn)WAPI協(xié)議與802.1X協(xié)議兼容的方法���,其特征在于該方法包括步驟支持WAPI協(xié)議和802.1X協(xié)議的無線入點(AP)向終端站點(STA)發(fā)送鑒別激活消息����;AP判斷STA是否支持WAPI協(xié)議�,如果是,AP與STA之間按WAPI規(guī)定的流程進行鑒權�����,否則��,AP與STA之間終止WAPI鑒別嘗試��,并按802.1X規(guī)定的流程進行鑒權���。
2.如權利1要求所述的方法,其特征在于�,當STA判斷本端無法識別收到的鑒別激活消息時,主動向AP發(fā)送啟動EAP鑒別流程的消息�����,AP根據(jù)該消息判斷STA不支持WAPI協(xié)議。
3.如權利1要求所述的方法���,其特征在于�,當AP在發(fā)送鑒別激活消息達到預定次數(shù)時仍未收到STA的WAPI響應消息�����,則判斷該STA不支持WAPI協(xié)議�,并主動向STA發(fā)送EAP請求消息,啟動EAP流程���。
4.如權利3要求所述的方法�,其特征在于�,當AP向STA發(fā)送開始EAP鑒別流程達到預定次數(shù)仍未收到STA的響應,則終止流程并拒絕接入��。
5.如權利要求1至3任一項所述的方法���,其特征在于����,AP與STA在鑒權流程中生成密鑰和協(xié)商出加密算法����。
6.如權利5所述的方法��,其特征在于���,在按802.1X規(guī)定的流程鑒權過程中還承載基于EAP的其他鑒別流程。
7.如權利5要求所述的方法�����,其特征在于����,所述其他鑒別流程包括WLAN與GSM/WCDMA融合協(xié)議的EAP-SIM和EAP-AKA流程。
全文摘要
本發(fā)明公開了一種實現(xiàn)WAPI協(xié)議與802.1X協(xié)議兼容的方法�����,以解決非WAPI的終端站點不能接入支持WAPI的無線局域網(wǎng)的問題����。該方法為支持WAPI協(xié)議和802.1X協(xié)議的無線入點(AP)向終端站點(STA)發(fā)送鑒別激活消息��;AP判斷STA是否支持WAPI協(xié)議���,如果是�����,AP與STA之間按WAPI規(guī)定的流程進行鑒權�����,否則����,AP與STA之間終止WAPI鑒別嘗試,并按802.1X規(guī)定的流程進行鑒權�����。
文檔編號H04L9/32GK1691582SQ20041003490
公開日2005年11月2日 申請日期2004年4月24日 優(yōu)先權日2004年4月24日
發(fā)明者陳殿福, 姚忠輝 申請人:華為技術有限公司