專利名稱:基于證書及sim的wlan接入認證方法及系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及WLAN技術(shù)�,尤其涉及基于證書及SIM的WLAN接入認證 方法及系統(tǒng)。
背景技術(shù):
無線局域網(wǎng)(Wireless Local Area Network,簡稱WLAN )具有可移動性���、 安裝簡單���、高靈活性和擴展能力,作為對傳統(tǒng)有線網(wǎng)絡(luò)的延伸�,在許多特殊 環(huán)境中得到了廣泛的應(yīng)用。隨著無線數(shù)據(jù)網(wǎng)絡(luò)解決方案的不斷推出��,無線局 域網(wǎng)絡(luò)用戶不論在任何時間、任何地點都可以輕+>上網(wǎng)���。{旦是�����,由于無線局 域網(wǎng)采用公共的電磁波作為載體����,任何人都有條件竊聽或干擾信息���,如果 WLAN缺乏安全性保障���,那么會導致網(wǎng)絡(luò)非法操作并繼而影響上層通信內(nèi)容 的安全。WLAN的安全性主要體現(xiàn)在接入控制和數(shù)據(jù)加密兩方面�。接入控制 保證網(wǎng)絡(luò)只能由合法的用戶接入訪問,數(shù)據(jù)加密保證數(shù)據(jù)只能被所期望的目 的端接收和解密?���,F(xiàn)在有一種泛適認證和保密基礎(chǔ)結(jié)構(gòu)(Wide Authentication and Privacy Infrastructure,簡稱WAPI)可實現(xiàn)WLAN終端與WLAN接入點的雙向認證及數(shù)據(jù)保密傳輸���。WAPI采用橢圓曲線密碼算法和秘密密鑰體制的分組密碼算法��,分別用于 WLAN設(shè)備的數(shù)字證書����、密鑰協(xié)商和傳輸數(shù)據(jù)的加解密,從而實現(xiàn)設(shè)備的身 份鑒別����、鏈路驗證��、接入控制和用戶信息在無線傳輸狀態(tài)下的加密保護��。WAPI 安全系統(tǒng)采用公鑰密碼技術(shù)�,認證服務(wù)器(Authentication Server,簡稱AS) 負責證書的頒發(fā)、驗證與吊銷等�����;WLAN終端與WLAN接入點(Access Point, 簡稱AP)上都安裝有AS頒發(fā)的公鑰證書�����,作為自己的數(shù)字身份憑證�。當
WLAN終端登錄至AP時,在接入或使用網(wǎng)絡(luò)之前必須通過AS對雙方進行 身份驗證���。根據(jù)驗證的結(jié)果����,持有合法證書的WLAN終端才能接入持有合法 證書的AP,也就是說才能通過AP訪問網(wǎng)絡(luò)�����。這樣不僅可以防止非法WLAN 終端接入AP而訪問網(wǎng)絡(luò)并占用網(wǎng)絡(luò)資源�����,而且還可以防止WLAN終端登錄 至非法AP而造成信息泄漏�����。這種方式雖然能夠?qū)崿F(xiàn)在WLAN與AP之間建立基于數(shù)據(jù)鏈路層的安全 信道���,保證WLAN終端與AP的合法性以及傳輸數(shù)據(jù)的保密性��,但是����,由于 WAPI并未規(guī)定用戶的計費機制�����,因此無法直接應(yīng)用于移動WLAN網(wǎng)絡(luò)中。 雖然可以基于用戶的公鑰證書識別用戶身份進行計費���,但是由于與現(xiàn)有的 WLAN計費模式差別太大���,需要進行較大的網(wǎng)絡(luò)改造。發(fā)明內(nèi)容本發(fā)明的目的在于針對現(xiàn)有技術(shù)所存在的缺陷��,提供基于證書及SIM的 WLAN接入認證方法及系統(tǒng)���,在對現(xiàn)有網(wǎng)絡(luò)改造較小的前提下,將數(shù)字證書 認證及密鑰協(xié)商應(yīng)用于WLAN用戶的接入控制��,實現(xiàn)基于數(shù)字證書的WLAN 終端與WLAN接入點的雙向認證及數(shù)據(jù)保密傳輸����,并基于SIM實現(xiàn)用戶身 份的識別。為了實現(xiàn)上述目的�,本發(fā)明提供了一種基于證書及SIM的WLAN接入 認證方法,包括如下步驟對WLAN終端證書及接入點證書進行驗證�;WLAN 終端與接入點協(xié)商密鑰;對WLAN終端進行基于SIM的用戶認證���。本發(fā)明還提供了一種基于證書及SIM的WLAN接入認證系統(tǒng)����,包括 安裝有無線網(wǎng)卡和SIM卡的WLAN終端;證書認證服務(wù)器���,用于WLAN終 端證書及接入點證書的認證��;用戶數(shù)據(jù)庫�����,用于存儲用戶數(shù)據(jù)�����;SIM認證服 務(wù)器�,用于根據(jù)用戶數(shù)據(jù)進行基于SIM的用戶認證�����;用戶認證點���,用于檢查 WLAN終端是否已經(jīng)通過認證并與SIM認證服務(wù)器協(xié)同進行基于SIM的用 戶認證��。其中��,用戶認證點可以為接入點或接入控制點�����。
本發(fā)明對現(xiàn)有網(wǎng)絡(luò)改造較小的前提下����,將數(shù)字證書認證及密鑰協(xié)商應(yīng)用于WLAN用戶的接入控制,實現(xiàn)基于數(shù)字證書的WLAN終端與WLAN接入 點的雙向認證及數(shù)據(jù)保密傳輸�����,采用基于SIM的認證方式����,利用現(xiàn)有的用戶 數(shù)據(jù)庫實現(xiàn)了對用戶業(yè)務(wù)數(shù)據(jù)的鑒權(quán)��,從而實現(xiàn)了用戶身份的識別����。下面通過附圖和實施例,對本發(fā)明的技術(shù)方案做進一步的詳細描述��。
圖1為本發(fā)明的基于證書及SIM的WLAN接入認證系統(tǒng)的結(jié)構(gòu)示意圖; 圖2為本發(fā)明的基于證書及SIM的WLAN接入認證方法流程圖��; 圖3為本發(fā)明的基于證書及SIM的WLAN接入認證方法中的建立物理 連接的流程圖���;圖4為本發(fā)明的基于證書及SIM的WLAN接入認證方法中的SIM認證 流程圖�;圖5為本發(fā)明的基于證書及SIM的WLAN接入認證方法實施例一流程 示意圖����;圖6為本發(fā)明的基于證書及SIM的WLAN接入認證方法實施例二流程 示意圖。
具體實施方式
如圖1所示�,為本發(fā)明的基于證書及SIM的WLAN認證系統(tǒng)的結(jié)構(gòu)示 意圖,包括WLAN終端��,用戶認證點�,證書認證服務(wù)器、SIM認證服務(wù)器及 用戶數(shù)據(jù)庫�。WLAN終端安裝有無線網(wǎng)卡和SIM卡;用戶認證點可以是AP或者接入 控制點(Access Controller,簡稱AC),用于檢查用戶是否已通過用戶認證���, 并和SIM認證服務(wù)器協(xié)同工作���,完成對WLAN終端的用戶認證;SIM認證 服務(wù)器用于基于SIM的用戶認證;用戶數(shù)據(jù)庫可以是HLR��,存儲有用戶的簽
約數(shù)據(jù)和鑒權(quán)數(shù)據(jù)���。在整個系統(tǒng)中���,證書認證服務(wù)器和SIM認證服務(wù)器可集成于同一網(wǎng)絡(luò)設(shè) 備之中,也可是獨立設(shè)置的兩個不同的網(wǎng)絡(luò)設(shè)備��。如圖2所示����,為本發(fā)明的基于證書及SIM的WLAN接入認證方法流程 圖,包括如下步驟步驟1 ��、對WLAN終端證書及接入點證書進行驗證��;步驟2��、 WLAN終端與接入點協(xié)商密鑰����;步驟3����、對WLAN終端進行基于SIM的用戶認證���。用戶通過WLAN終端接入時,WLAN終端與WLAN接入點先建立物理 連接�,步驟1及步驟2即為建立物理連接的過程。證書認證服務(wù)器對WLAN 終端和接入點的證書進行認證�,如果二者的證書都通過認證,則繼續(xù)協(xié)商密 鑰�。AP和WLAN終端根據(jù)認證結(jié)果控制網(wǎng)絡(luò)的訪問,如果認證成功�,則 WLAN終端可以通過接入點訪問網(wǎng)絡(luò)。如圖3所示�����,建立物理連接的過程包 括以下步驟步驟101 �、 WLAN終端向AP發(fā)出接入認證請求,將WLAN終端證書與 接入鑒別請求時間發(fā)送至AP;步驟102��、 AP將WLAN終端證書�、接入鑒別請求時間、AP證書以及 AP私鑰對WLAN終端證書��、接入鑒別請求時間及AP證書的簽名生成證書 認證請求�,向證書認證服務(wù)器發(fā)出該證書認證請求;步驟103、證書認證服務(wù)器驗證AP的簽名是否正確���,若不正確����,則鑒別 過程失敗���,若正確�,則驗證AP和WLAN終端證書是否合法�����,將WLAN終 端證書認證結(jié)果信息及AP證書認證結(jié)果信息構(gòu)成證書認證響應(yīng)���,發(fā)送至AP;步驟104��、 AP對證書認證響應(yīng)進行簽名驗證�,得到WLAN終端證書的 認證結(jié)果�����,并將證書認證響應(yīng)發(fā)送至WLAN終端���;WLAN終端對證書認證 響應(yīng)進行簽名驗證�,得到AP證書的認證結(jié)果���;步驟105���、若WLAN終端證書通過認證,AP向WLAN終端發(fā)送密鑰協(xié)
商請求����,該密鑰協(xié)商請求中包括用WLAN終端公鑰加密的協(xié)商數(shù)據(jù)和AP簽 名信息以及算法協(xié)商信息;步驟106���、 WLAN終端對密鑰協(xié)商請求進行簽名驗證���,若驗證通過并且 AP證書通過認證,則生成密鑰協(xié)商數(shù)據(jù)�,利用AP公鑰加密,并向AP發(fā)送����; 雙方利用密鑰協(xié)商數(shù)據(jù)生成單播會話密鑰;步驟107�、單播會話密鑰協(xié)商成功后��,AP向WLAN終端發(fā)送組播密鑰 通告��,該通告中攜帶有AP發(fā)送的組播數(shù)據(jù)信息加密使用的密鑰���;步驟108、 WLAN終端驗證AP發(fā)送的組播密鑰通告的有效性后����,向AP 返回組播密鑰響應(yīng)。至此�����,WLAN終端與AP之間完成了基于數(shù)字證書的認證以及密鑰協(xié)商�, 從而能夠保證WLAN終端和AP的合法性以及WLAN終端與AP之間數(shù)據(jù)傳 輸?shù)陌踩浴>W(wǎng)絡(luò)側(cè)需要繼續(xù)對WLAN終端的用戶身份進行認證�,判斷用戶 SIM卡是否有效。如圖4所示����,SIM認證過程包括以下步驟步驟201、 SIM認證服務(wù)器向WLAN終端發(fā)送認證開始信息�����,WLAN終 端向SIM認證服務(wù)器返回攜帶有終端隨機數(shù)的認證開始信息;步驟202����、 WLAN終端向用戶認證點發(fā)送接入請求���,用戶認證點獲取用 戶標識并發(fā)送至SIM認證服務(wù)器��;步驟203����、 SIM認證服務(wù)器從用戶數(shù)據(jù)庫獲取鑒權(quán)數(shù)據(jù)���,該鑒權(quán)數(shù)據(jù)包 含隨機數(shù)�����,簽名響應(yīng)(Signed Response,簡稱SRES )以及用戶密鑰Kc;步驟204����、 SIM認證服務(wù)器利用鑒權(quán)數(shù)據(jù)中的隨機數(shù)生成用戶挑戰(zhàn)碼�����, 根據(jù)鑒權(quán)數(shù)據(jù)生成簽名響應(yīng)密鑰K—sres,根據(jù)K_sres生成簽名響應(yīng)鑒別碼 (Message Authentication Code-Signed Response, 簡稱MAC—SRES )�, 并通過 用戶認證點向WLAN終端發(fā)送用戶挑戰(zhàn)碼;步驟205����、 WLAN終端根據(jù)用戶挑戰(zhàn)碼以及預先設(shè)定的算法生成K—sres, 根據(jù)K—sres生成MAC—SRES,并通過用戶認證點向SIM認證服務(wù)器SIM認 證服務(wù)器發(fā)送生成的MAC_SRES;
步驟206����、 SIM認證服務(wù)器判斷WLAN終端返回的MAC—SRES與SIM 認證服務(wù)器生成的MAC—SRES是否一致,若一致����,則通過用戶認證點向 WLAN終端返回認證通過消息。在整個接入認證過程中��,WLAN終端和AP的合法性認證以及密鑰協(xié)商 在建立物理連接的過程中完成��,對WLAN終端的用戶身份認證通過SIM認 證而實現(xiàn)�����。在HLR中存儲有用戶的簽約數(shù)據(jù)�����,用戶可以選擇是否開通WLAN業(yè)務(wù), 可在用戶開通了 WLAN業(yè)務(wù)時�,再進行SIM i人"i正。如圖5所示為本發(fā)明的基于證書及SIM的WLAN接入認證方法實施例 一流程示意圖����。本實施例以AC作為用戶認證點����,包括如下步驟步驟301、 WLAN終端向AP發(fā)出接入認證請求�,將WLAN終端證書與 接入鑒別請求時間發(fā)送至AP;步驟302、 AP將WLAN終端證書�、接入鑒別請求時間、AP證書以及 AP私鑰對WLAN終端證書�、接入鑒別請求時間及AP證書的簽名生成證書 認證請求,向證書認證服務(wù)器發(fā)出該證書認證請求��;步驟303���、證書認證服務(wù)器驗證AP的簽名是否正確��,若不正確�����,則鑒別 過程失敗�����,若正確�����,則驗證AP和WLAN終端證書是否合法�,將WLAN終 端證書認證結(jié)果信息及AP證書認證結(jié)果信息構(gòu)成證書認證響應(yīng),發(fā)送至AP; 其中�,WLAN終端證書認證結(jié)果信息包括WLAN終端證書、認證結(jié)果以及 證書認證服務(wù)器對WLAN終端證書及認證結(jié)果的簽名����,AP證書認證結(jié)果信 息包括接入點證書、認證結(jié)果�����、接入認證請求時間以及證書認證服務(wù)器對AP 證書���、認證結(jié)果及接入認證請求時間的簽名�;步驟304、 AP對證書認證響應(yīng)進行簽名驗證�����,得到WLAN終端證書的 認證結(jié)果���,并將證書認證響應(yīng)發(fā)送至WLAN終端�����;WLAN終端對證書認證 響應(yīng)進行簽名驗證����,得到接入點證書的鑒別結(jié)果��;步驟305�����、若WLAN終端證書通過認證�����,AP向WLAN終端發(fā)送密鑰協(xié)
商請求����,該密鑰協(xié)商請求中包括用WLAN終端公鑰加密的協(xié)商數(shù)據(jù)和AP簽 名信息以及算法協(xié)商信息;步驟306��、 WLAN終端對密鑰協(xié)商請求進行簽名驗證�����,若驗證通過并且 AP證書通過認證��,則生成密鑰協(xié)商數(shù)據(jù)���,利用AP公鑰加密�,并向AP發(fā)送�; 雙方利用密鑰協(xié)商數(shù)據(jù)生成單播會話密鑰;步驟307����、單4番會話密鑰協(xié)商成功后,AP向WLAN終端發(fā)送組纟番密鑰 通告���,該通告中攜帶有AP發(fā)送的組播數(shù)據(jù)信息加密使用的密鑰����;步驟308、 WLAN驗證AP發(fā)送的組播密鑰通告的有效性后�����,向AP返回 組播密鑰響應(yīng)���;步驟309�����、 WLAN終端向AC發(fā)送一個EAPoL-Start報文�,開始802. lx 接入的開始�;步驟310、 AC向WLAN終端發(fā)送EAP-Request/Identity報文�,要求WLAN 終端發(fā)送用戶標識�����;步驟311���、 WLAN終端向AC返回EAP-Response/Identity�,其中包括用戶 標識����;用戶標識通過讀取SIM卡獲得��,它通常的格式是KIMSI〉@<realm>���,〈realm〉是運營商的i或名(長口"xxxx.com");步驟312、 AC以EAP Over RADIUS的報文格式將EAP-Response/Identity 發(fā)送給SIM認證服務(wù)器,并且?guī)舷嚓P(guān)的RADIUS的屬性����;步驟313、 SIM認證服務(wù)器根據(jù)配置確定使用EAP-SIM認證��,向AC發(fā) 送RADIUS-Access-Challenge報文����,里面含有SIM服務(wù)器發(fā)送給客戶端的 EAP-Request/SIM/Start的報文,表示希望開始進行EAP-SIM的認證���;步驟314����、 AC設(shè)備將EAP-Request/SIM/Start發(fā)送給WLAN終端����;步驟315��、 WLAN終端收到EAP-Request/SIM/Start報文后�,產(chǎn)生一個長 度為128bit的終端隨機數(shù)�����,在EAP-Response/SIM/Start回應(yīng)中把它發(fā)送給AC;步驟 316 ��、 AC 以 EAP Over RADIUS 的才艮文才各式將 EAP-Response/SIM/Start發(fā)送給SIM認證服務(wù)器,并且?guī)舷嚓P(guān)的RADIUS的 屬性����;步驟317、 AS設(shè)備通過七號信令向HLR發(fā)送Restore—Data報文���,開始 進行RESTORE的流程�����;步驟318��、 HLR將用戶的簽約數(shù)據(jù)通過七號信令以Insert—Subs—Data報文 發(fā)送給SIM認證服務(wù)器;步驟319����、 SM認證服務(wù)器向HLR發(fā)送Insert—Subs—Data—Ack�����,確認收到 了簽約數(shù)據(jù)����;步驟320�、 HLR向SIM認證服務(wù)器發(fā)送Restore—Data—Ack,通知SIM認 證服務(wù)器Restore流程結(jié)束�����;步驟321����、 SIM認證服務(wù)器先檢查從HLR取到的用戶簽約數(shù)據(jù),判斷是 否開通了WLAN的業(yè)務(wù)����;如果開通了WLAN業(yè)務(wù),則通過七號信令向HLR 發(fā)送Send—Auth—Info報文�����,從HLR中取n組鑒權(quán)集�;步驟322����、HLR根據(jù)用戶的IMSI生成鑒權(quán)集后����,通過Send—Auth—Info—Ack 報文將n組鑒權(quán)集(SRES,RAND,Kc)發(fā)送給SIM認證服務(wù)器;其中RAND為 隨機數(shù)�,Kc為用戶密鑰;步驟323�、 SIM認證服務(wù)器依據(jù)配置取N為2或者3,將N組RAND串 起來后生成N氺RAND作為用戶挑戰(zhàn)碼���,并且依據(jù)規(guī)定的算法生成密鑰K一sres, 同時根據(jù)K一sres生成MAC—SRES;步驟324��、 SIM認證服務(wù)器向AC發(fā)送RADIUS-Access-Challenge報文��, 里面含有包含有用戶挑戰(zhàn)碼的EAP-Request/SIM/Challenge報文���;步驟325 、 AC將EAP-Request/SIM/Challenge報文發(fā)送給WLAN終端�;步驟326、 WLAN終端根據(jù)每個RAND為128bit,將N解析出來后�,依 據(jù)和SIM認證服務(wù)器同樣的算法得出K_sres,再利用K_sres作為key用規(guī)定 的算法生成MAC—SRES;步驟327、 WLAN終端向AC發(fā)送EAP-Response/SIM/Challenge報文��,
含有MAC—SRES;步驟328��、 AC以EAP Over RADIUS的報文格式將EAP-Response/SIM/ Challenge發(fā)送給SIM認證服務(wù)器,并且?guī)舷嚓P(guān)的RADIUS的屬性�;步驟329、證書認證服務(wù)器將本端生成的MAC—SRES,和接收到的 MAC—SRES進行比較�����,如果一致�,表示認證通過;步驟330����、 SIM認證服務(wù)器向AC發(fā)送RADIUS-ACCESS-ACCEPT的消 息,里面含有表明認證成功的EAP-SUCCESS的消息�;步驟331 、 AC向WLAN終端發(fā)送EAP-SUCCESS消息���,通知WLAN終 端iU正已通過��。如圖6所示��,為基于證書及SIM的WLAN接入認證方法實施例二流程 示意圖��。本實施例以AP作為用戶認證點�����,其中基于WAPI建立物理連接的 步驟301-步驟308與實施例一相同���,在此之后����,包括如下步驟步驟409�����、 WLAN終端向AP發(fā)送一個EAPoL-Start報文�,開始802. lx 接入的開始;步驟410�����、 AP向WLAN終端發(fā)送EAP-Request/Identity才艮文�,要求WLAN 終端發(fā)送用戶標識;步驟411��、 WLAN終端向AP返回EAP-Response/Identity����,其中包括用戶 標識�����;用戶標識通過讀取SIM卡獲得,它通常的格式是l<IMSI>@<realm〉��,〈realm〉是運營商的域名(如"xxxx.com");步驟412����、 AP以EAP Over RADIUS的報文格式將EAP-Response/Identity 發(fā)送給SIM認證服務(wù)器,并且?guī)舷嚓P(guān)的RADIUS的屬性��;步驟413���、 SIM認證服務(wù)器根據(jù)配置確定使用EAP-SIM認證��,向AP發(fā) 送RADIUS-Access-Challenge報文���,里面含有SIM認證服務(wù)器發(fā)送給客戶端 的EAP-Request/SIM/Start的報文,表示希望開始進行EAP-SIM的認證�����;步驟414、 AP將EAP-Request/SIM/Start發(fā)送給WLAN終端�����;—GSM網(wǎng)用的一樣),
步驟415�����、 WLAN終端收到EAP-Request/SIM/Start報文后���,產(chǎn)生一個長 度為128bit的隨機數(shù)��,在EAP-Response/SIM/Start回應(yīng)中把它發(fā)送給AP;步驟 416 ����、 AP 以 EAP Over RADIUS 的報文才各式將 EAP-Response/SIM/Start發(fā)送給認證服務(wù)器SIM認證服務(wù)器�,并且?guī)舷嚓P(guān)的 RADIUS的屬性;步驟417���、 SM認證服務(wù)器設(shè)備通過七號信令向HLR發(fā)送Restore_Data 報文��,開始進行RESTORE的流程�;步驟418�����、 HLR將用戶的簽約數(shù)據(jù)通過七號信令以Insert—Subs—Data報文 發(fā)送給SIM認證服務(wù)器;步驟419����、 SM認證服務(wù)器向HLR發(fā)送Insert—Subs—Data—Ack,確認收到 了簽約數(shù)據(jù)����;步驟420�、 HLR向SIM認證服務(wù)器發(fā)送Restore—Data—Ack,通知SIM認 證服務(wù)器Restore流程結(jié)束;步驟421����、 SIM認證服務(wù)器先檢查從HLR取到的用戶簽約數(shù)據(jù),判斷是 否開通了WLAN的業(yè)務(wù)����;如果開通了WLAN業(yè)務(wù),則通過七號信令向HLR 發(fā)送Send—Auth—Info報文��,從HLR中取n組鑒權(quán)集��;步驟422����、HLR根據(jù)用戶的IMSI生成鑒權(quán)集后���,通過Send—Auth—Info_Ack 報文將n組鑒權(quán)集(SRES,RAND,Kc)發(fā)送給SIM認證服務(wù)器;步驟423 ��、 SIM認證服務(wù)器依據(jù)配置取N為2或者3�,將N組RAND串 起來后生成一個N*RAND作為用戶挑戰(zhàn)碼,并且依據(jù)規(guī)定的算法生成密鑰 K—sres,同時根據(jù)K—sres生成MAC—SRES;步驟424�、 SIM認證服務(wù)器向AP發(fā)送RADIUS-Access-Challenge報文, 里面含有攜帶有用戶挑戰(zhàn)碼的EAP-Request/SIM/Challenge報文����;步驟425 、 AP將EAP-Request/SIM/Challenge報文發(fā)送給WLAN終端�;步驟426、 WLAN終端根據(jù)每個RAND為128bit��,將N解析出來后���,依 據(jù)和SIM認證服務(wù)器同樣的算法得出K—sres��,再利用K一sres作為key用規(guī)定 的算法生成MAC—SRES;步驟427�����、 WLAN終端向AP發(fā)送EAP-Reponse/SIM/Challenge報文���,含 有MAC—SRES;步驟428����、 AP以EAP Over RADIUS的報文格式將EAP-Response/SIM/ Challenge發(fā)送給SIM認證服務(wù)器,并且?guī)舷嚓P(guān)的RADIUS的屬性��;步驟429�����、 SIM認證服務(wù)器將本端生成的MAC一SRES和接收到的 MAC—SRES進行比較��,如果一致�����,表示認證通過�;步驟430��、 SIM認證服務(wù)器設(shè)備向AP發(fā)送RADIUS-ACCESS-ACCEPT 的消息����,里面含有表明認證成功的EAP-SUCCESS的消息����;步驟431���、 AP向WLAN終端發(fā)送EAP-SUCCESS消息����,通知WLAN終 端認證已通過���。本發(fā)明對現(xiàn)有網(wǎng)絡(luò)改造較小的前提下�,將數(shù)字證書認證及密鑰協(xié)商應(yīng)用 于WLAN用戶的接入控制�,實現(xiàn)基于數(shù)字證書的WLAN終端與WLAN接入 點的雙向認證及數(shù)據(jù)保密傳輸,利用基于SIM的認證方式�����,利用現(xiàn)有的用戶 數(shù)據(jù)庫實現(xiàn)了對用戶業(yè)務(wù)數(shù)據(jù)的鑒權(quán)�����,從而實現(xiàn)了用戶身份的識別�����。最后應(yīng)當說明的是以上實施例僅用以說明本發(fā)明的技術(shù)方案而非對其 限制;盡管參照較佳實施例對本發(fā)明進行了詳細的說明���,所屬領(lǐng)域的普通技術(shù)特征進行等同替換�;而不脫離本發(fā)明技術(shù)方案的精神���,其均應(yīng)涵蓋在本發(fā) 明請求保護的技術(shù)方案范圍當中�����。
權(quán)利要求
1. 一種基于證書及SIM的WLAN接入認證方法��,包括如下步驟對WLAN終端證書及接入點證書進行驗證�;WLAN終端與接入點協(xié)商密鑰��;對WLAN終端進行基于SIM的用戶認證����。
2.根據(jù)權(quán)利要求1所述的基于證書及SIM的WLAN接入認證方法��,其 中所述的對WLAN終端進行基于SIM的用戶認證的步驟具體為WLAN終端向用戶認證點發(fā)送接入請求��,用戶認證點從WLAN終端獲 取用戶標識并發(fā)送至SIM認證服務(wù)器��;SIM認證服務(wù)器向WLAN終端發(fā)送認證開始信息,WLAN終端向SIM 認證服務(wù)器返回攜帶有終端隨機數(shù)的認證開始信息�;SIM認證服務(wù)器從用戶數(shù)據(jù)庫獲取鑒權(quán)數(shù)據(jù),該鑒權(quán)數(shù)據(jù)包含隨機數(shù)�����, 簽名響應(yīng)��,以及用戶密鑰�����;SIM認證服務(wù)器利用鑒權(quán)數(shù)據(jù)中的隨機數(shù)生成用戶挑戰(zhàn)碼����,根據(jù)鑒權(quán)數(shù) 據(jù)生成簽名響應(yīng)密鑰,根據(jù)簽名響應(yīng)密鑰生成簽名響應(yīng)鑒別碼��,并通過用戶 認證點向WLAN終端發(fā)送用戶挑戰(zhàn)碼���;WLAN終端根據(jù)用戶挑戰(zhàn)碼以及預先設(shè)定的算法生成簽名響應(yīng)密鑰���,根 據(jù)簽名響應(yīng)密鑰生成簽名響應(yīng)鑒別碼,并通過用戶認證點向SIM認證服務(wù)器 發(fā)送簽名響應(yīng)鑒別碼;SIM認證服務(wù)器判斷WLAN終端返回的簽名響應(yīng)鑒別碼與SIM認證服 務(wù)器生成的簽名響應(yīng)鑒別碼是否一致�����,若一致�����,則通過用戶認證點向WLAN 終端返回認證通過消息����。
3.根據(jù)權(quán)利要求2所述的基于證書及SIM的WLAN接入認證方法,其中在所述的對WLAN終端進行基于SIM的用戶認證的步驟中還包括SIM 認證服務(wù)器在收到攜帶有終端隨機數(shù)的認證開始信息后�����,根據(jù)用戶標識從用 戶數(shù)據(jù)庫獲取簽約數(shù)據(jù)��,根據(jù)簽約數(shù)據(jù)判斷是否允許用戶使用WLAN業(yè)務(wù)��, 若允許��,則繼續(xù)執(zhí)行從用戶數(shù)據(jù)庫獲取鑒權(quán)數(shù)據(jù)的步驟���。
4、 根據(jù)權(quán)利要求1-3任一所述的基于證書及SIM的WLAN接入認證方 法��,其中所述的對WLAN終端證書及接入點證書進行驗證的步驟具體為WLAN終端向接入點發(fā)出接入認證請求,該接入認證請求中攜帶有 WLAN終端證書與接入鑒別請求時間����;接入點將WLAN終端證書、接入鑒別請求時間���、接入點證書以及接入點 私鑰對WLAN終端證書�、接入鑒別請求時間及接入點證書的簽名生成證書認 證請求�����,并向證書認證服務(wù)器發(fā)送����;證書認證服務(wù)器驗證接入點的簽名是否正確,若不正確��,則鑒別過程失 敗���,若正確�,則驗證接入點和WLAN終端證書是否合法�,將WLAN終端證 書認證結(jié)果信息及接入點證書認證結(jié)果信息構(gòu)成證書認證響應(yīng),發(fā)送至接入點;接入點對證書認證響應(yīng)進行簽名驗證���,得到WLAN終端證書的認證結(jié) 果����,并將證書認證響應(yīng)發(fā)送至WLAN終端�;WLAN終端對證書認證響應(yīng)進 行簽名驗證,得到接入點證書的認證結(jié)果����。
5、 根據(jù)權(quán)利要求1-3任一所述的基于證書及SIM的WLAN接入認證方 法�����,其中所述的WLAN終端與接入點協(xié)商密鑰的步驟包括單播密鑰協(xié)商的步 驟及組^"密鑰通知的步驟����。
6、根據(jù)權(quán)利要求5所述的基于證書及SIM的WLAN接入認證方法���,其中所述的單播密鑰協(xié)商的步驟具體為若WLAN終端證書通過認證��,接入點 向WLAN終端發(fā)送密鑰協(xié)商請求�����,該密鑰協(xié)商請求中包括用WLAN終端解 密的協(xié)商數(shù)據(jù)和接入點簽名信息以及算法協(xié)商信息�;WLAN終端對密鑰協(xié)商 請求進行簽名驗證�,若驗證通過并且接入點證書通過認證,則生成密鑰協(xié)商 數(shù)據(jù)�����,利用接入點公鑰加密�����,并向接入點發(fā)送�;雙方利用密鑰協(xié)商數(shù)據(jù)生成 單播會話密鑰。
7�����、根據(jù)權(quán)利要求5所述的基于證書及SIM的WLAN接入認證方法�,其中所述的組播密鑰通知的步驟具體為接入點向WLAN終端發(fā)送組播密鑰通 告,該通告中攜帶有接入點發(fā)送的組播數(shù)據(jù)信息加密使用的密鑰��;WLAN終 端驗證接入點發(fā)送的組播密鑰通告的有效性后���,向接入點返回組播密鑰響應(yīng)���。
8��、 一種基于證書及SIM的WLAN接入認證系統(tǒng)���,其中包括安裝有無線網(wǎng)卡和SIM卡的WLAN終端;證書認證服務(wù)器�,用于驗證WLAN終端證書及接入點證書;用戶數(shù)據(jù)庫�,用于存儲用戶數(shù)據(jù);SIM認證服務(wù)器�����,用于根據(jù)用戶數(shù)據(jù)進行基于SIM的用戶認證�����; 用戶認證點��,用于檢查WLAN終端是否已經(jīng)通過認證并與SIM認證服 務(wù)器協(xié)同進行基于SIM的用戶認證�。中所述用戶認證點為接入點或接入控制點。
全文摘要
本發(fā)明涉及基于證書及SIM的WLAN接入認證方法��,對WLAN終端證書及接入點證書進行驗證;WLAN終端與接入點協(xié)商密鑰�����;對WLAN終端進行基于SIM的用戶認證��。本發(fā)明還涉及基于證書及SIM的WLAN接入認證系統(tǒng)�����,包括安裝有無線網(wǎng)卡和SIM卡的WLAN終端�����;證書認證服務(wù)器���,用于對WLAN終端及接入點的證書認證;用戶數(shù)據(jù)庫����,用于存儲用戶數(shù)據(jù);SIM認證服務(wù)器�,用于根據(jù)用戶數(shù)據(jù)進行基于SIM的認證;用戶認證點���,用于檢查WLAN終端是否已通過認證����。用戶認證點可為接入點或接入控制點。在對現(xiàn)有網(wǎng)絡(luò)改造較小的前提下����,本發(fā)明實現(xiàn)了基于數(shù)字證書的WLAN終端與WLAN接入點的雙向認證、數(shù)據(jù)保密傳輸以及對用戶業(yè)務(wù)數(shù)據(jù)的鑒權(quán)����。
文檔編號H04L9/32GK101212296SQ20061016978
公開日2008年7月2日 申請日期2006年12月28日 優(yōu)先權(quán)日2006年12月28日
發(fā)明者劉利軍, 周文輝, 邵春菊 申請人:中國移動通信集團公司