專利名稱:一種實(shí)現(xiàn)wapi鑒證的系統(tǒng)及方法
技術(shù)領(lǐng)域:
本發(fā)明涉及無線局域網(wǎng)絡(luò)(Wireless Local Area Networks, WLAN)技術(shù)領(lǐng)域,更具體的說�����,本發(fā)明涉及一種實(shí)現(xiàn)WAPI鑒權(quán)的系統(tǒng)及方法��。
背景技術(shù):
WLAN技術(shù)具有靈活便捷的優(yōu)勢���,但卻深受安全問題的困擾,已成為阻礙WLAN進(jìn)入信息化應(yīng)用領(lǐng)域的最大障礙���。國際標(biāo)準(zhǔn)為此采用了有線等效保密(Wired EquivalentPrivacy, WEP) ,Wi-Fi 網(wǎng)絡(luò)安全存取(Wi-Fi Protected Access, WPA) ,802. 1χ��、802· lli�����、虛擬專用網(wǎng)絡(luò)(Virtual Private Network,VPN)等方式來保證WLAN的安全,但都沒有從根本上解決WLAN的安全問題�。針對這種情況,我國在2003年5月份提出了無線局域網(wǎng)國家標(biāo)準(zhǔn)GB15629. 11����,引入一種全新的安全機(jī)制無線局域網(wǎng)鑒證與保密基礎(chǔ)架構(gòu)(Wireless LANAuthentication and Privacy Infrastructure, WAPI)。WAPI 通過雙重認(rèn)證和密鑰管理���, 達(dá)到了保證信息安全的目的�。其中����,數(shù)字證書的分發(fā)和保存是該技術(shù)的一個關(guān)鍵點(diǎn)。WAPI定義了一種名為鑒權(quán)服務(wù)(Authentication Service,AS)的實(shí)體,用于管理參與信息交換各方所需要的證書(包括證書的產(chǎn)生�����、頒發(fā)、吊銷和更新)��。證書里面包含有證書頒發(fā)者(AS)的公鑰和簽名以及證書持有者的公鑰和簽名(這里的簽名采用的是WAPI特有的橢圓曲線數(shù)字簽名算法)�,是網(wǎng)絡(luò)設(shè)備的數(shù)字身份憑證。參考圖1�����,該圖為完整的WAPI鑒證協(xié)議交互過程,具體如下(I)無線客戶端首先和WLAN設(shè)備進(jìn)行802. 11鏈路協(xié)商該過程遵循802. 11標(biāo)準(zhǔn)中定義的協(xié)商過程����。無線客戶端主動發(fā)送探測請求消息或偵聽WLAN設(shè)備發(fā)送的Beacon幀,藉此查找可用的網(wǎng)絡(luò)�����,支持WAPI安全機(jī)制的AP將會回應(yīng)或發(fā)送攜帶有WAPI信息的探測應(yīng)答消息或Beacon幀��。在搜索到可用網(wǎng)絡(luò)后��,無線客戶端繼續(xù)發(fā)起鏈路認(rèn)證交互和關(guān)聯(lián)交互��。(2)無線接入點(diǎn)(Access Point, AP)接入點(diǎn)觸發(fā)對無線客戶端的鑒證處理無線客戶端成功關(guān)聯(lián)到AP接入點(diǎn)設(shè)備后�,設(shè)備在判定該用戶為WAPI用戶時,則會向無線客戶端發(fā)送鑒證激活觸發(fā)消息�,觸發(fā)無線客戶端發(fā)起WAPI鑒證交互過程��。(3)鑒別服務(wù)器進(jìn)行證書鑒別無線客戶端在發(fā)起接入鑒別后,AP設(shè)備會向遠(yuǎn)端的鑒別服務(wù)器發(fā)起證書鑒別��,鑒別請求消息中同時包含有無線客戶端和AP設(shè)備的證書信息�����。鑒別服務(wù)器對二者身份進(jìn)行鑒別���,并將驗(yàn)證結(jié)果發(fā)給AP設(shè)備��。AP設(shè)備和無線客戶端任何一方如果發(fā)現(xiàn)對方身份非法�����,將主動中止無線連接����。(4)無線客戶端和AP設(shè)備進(jìn)行密鑰協(xié)商AP設(shè)備經(jīng)鑒別服務(wù)器認(rèn)證成功后����,AP設(shè)備會發(fā)起與無線客戶端的密鑰協(xié)商交互過程,先協(xié)商出用于加密單播報文的單播密鑰�,然后再協(xié)商出用于加密組播報文的組播密鑰����。
發(fā)明內(nèi)容
本發(fā)明解決的技術(shù)問題是提供一種實(shí)現(xiàn)WAPI鑒權(quán)的系統(tǒng)及方法�,其具有安全保證和方便營運(yùn)的特點(diǎn)。為解決上述問題�,本發(fā)明采用如下技術(shù)方案一種實(shí)現(xiàn)WAPI鑒權(quán)的系統(tǒng),包括有無線客戶端�����、無線接入點(diǎn)及鑒別服務(wù)器����,其中所述無線客戶端包括有射頻用戶身份識別卡RF-SIM,所述射頻用戶身份識別卡RF-SIM保存有無線客戶端的數(shù)字證書���;所述鑒別服務(wù)器包括有射頻讀卡裝置��,在無線接入點(diǎn)觸發(fā)鑒權(quán)過程后��,所述射頻讀卡裝置與所述射頻用戶身份識別卡RF-SIM進(jìn)行射頻通信��,讀取所述射頻用戶身份識別卡RF-SM中保存的數(shù)字證書進(jìn)行鑒權(quán)���。
可選地�����,所述射頻用戶身份識別卡RF-SM保存的數(shù)字證書為I個或多個�?���?蛇x地��,所述鑒別服務(wù)器為獨(dú)立的設(shè)備或集成在無線接入點(diǎn)中�����。一種實(shí)現(xiàn)WAPI鑒權(quán)的方法�,其包括預(yù)先將無線客戶端的數(shù)字證書保存在射頻用戶身份識別卡RF-SIM中;無線客戶端與無線接入點(diǎn)進(jìn)行鏈路鏈接���;無線接入點(diǎn)與鑒別服務(wù)器通過數(shù)字證書進(jìn)行鑒權(quán)并觸發(fā)鑒別服務(wù)器與無線客戶端進(jìn)行鑒權(quán)�����;鑒別服務(wù)器中的射頻讀卡裝置與射頻用戶身份識別卡RF-SM進(jìn)行射頻通信�,讀取所述射頻用戶身份識別卡RF-SIM中保存的數(shù)字證書進(jìn)行鑒權(quán)���。其中�����,鑒別服務(wù)器中的射頻讀卡裝置與射頻用戶身份識別卡RF-S頂進(jìn)行射頻通信�����,讀取所述射頻用戶身份識別卡RF-SIM中保存的數(shù)字證書進(jìn)行鑒權(quán)包括鑒別服務(wù)器向射頻讀卡裝置發(fā)出讀取指令���,射頻讀卡裝置處于讀取狀態(tài)��;當(dāng)射頻用戶身份識別卡RF-SM進(jìn)入射頻讀卡裝置的讀卡范圍后���,射頻讀卡裝置從射頻用戶身份識別卡RF-SIM讀取其中保存的數(shù)字證書;鑒別服務(wù)器根據(jù)所述讀取的數(shù)字證書進(jìn)行鑒別�����。其中�����,無線客戶端與無線接入點(diǎn)進(jìn)行鏈路鏈接采用802. 11標(biāo)準(zhǔn)協(xié)議�。其中����,保存在射頻用戶身份識別卡RF-SIM中的數(shù)字證書為一個或多個��。與現(xiàn)有技術(shù)相比���,本發(fā)明具有以下有益效果本發(fā)明實(shí)現(xiàn)WAPI鑒權(quán)的系統(tǒng)中無線客戶端包括有射頻用戶身份識別卡RF-SM�����,所述射頻用戶身份識別卡RF-SIM保存有無線客戶端的數(shù)字證書;而鑒別服務(wù)器包括有射頻讀卡裝置���,在無線接入點(diǎn)觸發(fā)鑒權(quán)過程后�,所述射頻讀卡裝置與所述射頻用戶身份識別卡RF-SM進(jìn)行射頻通信����,讀取所述射頻用戶身份識別卡RF-SM中保存的數(shù)字證書進(jìn)行鑒權(quán)。通過利用RFID SM卡的主要特性�,能夠保存一個或多個數(shù)字證書,并利用RFID SM卡的通信功能��,可以與WAPI的鑒別服務(wù)器進(jìn)行數(shù)據(jù)通信��,增加了一種WAPI鑒權(quán)方法,具有安全保證和方便營運(yùn)的特點(diǎn)�����。
圖I是現(xiàn)有技術(shù)WAPI鑒證協(xié)議交互過程示意圖�����;圖2是本發(fā)明實(shí)現(xiàn)WAPI鑒權(quán)的系統(tǒng)進(jìn)行鑒證的示意圖3是本發(fā)明實(shí)現(xiàn)WAPI鑒權(quán)的系統(tǒng)的具體實(shí)施例示意圖����;圖4是本發(fā)明實(shí)現(xiàn)WAPI鑒權(quán)的方法涉及的一種WAPI鑒證協(xié)議交互過程的具體實(shí)施例示意圖;圖5是本發(fā)明射頻識別用戶身份識別卡保存有多個數(shù)字證書進(jìn)行鑒權(quán)的示意圖�����。
具體實(shí)施例方式參考圖2�����,與WAPI技術(shù)實(shí)現(xiàn)中不同點(diǎn)在于其中密鑰鑒別和密鑰協(xié)商的過程����,在這個過程中,通過RFID SM卡的射頻識別RF功能,與鑒別服務(wù)器的RF讀卡功能����,進(jìn)行密鑰交換,實(shí)現(xiàn)安全鑒證功能��。參考圖3����,該圖是本發(fā)明實(shí)現(xiàn)WAPI鑒權(quán)的系統(tǒng)的具體實(shí)施例示意圖。
本實(shí)施例中實(shí)現(xiàn)WAPI鑒證的系統(tǒng)包括有無線客戶端I����、無線接入點(diǎn)2及鑒別服務(wù)器3,其中所述無線客戶端I即STA�����,一種WAPI協(xié)議定義的實(shí)體��,指需要接入到無線網(wǎng)絡(luò)的客戶端設(shè)備本實(shí)施例中無線客戶端I包括有射頻用戶身份識別卡RF-SM 11����,所述射頻用戶身份識別卡RF-SIM 11保存有無線客戶端的數(shù)字證書�;所述鑒別服務(wù)器3,即AS��,提供無線鑒權(quán)服務(wù),是一種WAPI協(xié)議定義的實(shí)體�,本實(shí)施例中鑒別服務(wù)器3包括有射頻讀卡裝置31,在無線接入點(diǎn)2觸發(fā)鑒權(quán)過程后���,所述射頻讀卡裝置31與所述射頻用戶身份識別卡RF-SIM 11進(jìn)行射頻通信����,讀取所述射頻用戶身份識別卡RF-SM 11中保存的數(shù)字證書進(jìn)行鑒權(quán)�����。下面以完整的WAPI鑒證協(xié)議交互過程進(jìn)行說明�。參考圖4,本實(shí)施例中WAPI鑒證協(xié)議交互過程包括如下步驟(1)802. 11 鏈路關(guān)聯(lián)STA無線客戶端安裝著RFID SM卡���,RFID SM卡內(nèi)保存有該無線客戶端的數(shù)字證書�����。當(dāng)需要連接到AP的時候�����,通過802. 11的物理鏈路與無線接入點(diǎn)AP進(jìn)行鏈路鏈接��。AS服務(wù)器是WAPI中引入的一個可信任第三方����,根據(jù)不同應(yīng)用場景,可以是單獨(dú)一個設(shè)備����,也可以是與AP接入點(diǎn)結(jié)合的一個安全組件。(2) AP接入點(diǎn)觸發(fā)對無線客戶端的鑒證處理AP無線接入點(diǎn)與AS服務(wù)器通過數(shù)字證書實(shí)現(xiàn)鑒證過程�,保證了 AP無線接入點(diǎn)的合法性。同時����,并通知AS服務(wù)器準(zhǔn)備與STA無線客戶端進(jìn)行鑒證。(3)鑒別服務(wù)器進(jìn)行證書鑒別AS服務(wù)器內(nèi)裝有RF讀卡裝置��,當(dāng)STA無線客戶端靠近AS服務(wù)器時�,則由AS服務(wù)器通過RF讀卡器讀取RFID SIM卡中的數(shù)字證書����,數(shù)字證書唯一性保證了 STA無線客戶端的合法性。(4)無線客戶端和AP設(shè)備進(jìn)行密鑰協(xié)商 STA無線客戶端和AP接入點(diǎn)通過AS服務(wù)器鑒證后�����,雙方進(jìn)行密鑰協(xié)商過程。這個過程與WAPI實(shí)現(xiàn)過程相同���。需要說明的��,上述STA與AS服務(wù)器的RF通訊實(shí)現(xiàn)鑒證過程�����,RFID SIM卡裝在STA客戶端中�,具體實(shí)現(xiàn)時�,無線客戶端可通過與SIM卡專用接口讀取鑒權(quán)狀態(tài)、數(shù)字證書等信息���。AS鑒別服務(wù)器裝有RF讀卡裝置�,可通過該裝置與RFID SM卡進(jìn)行RF通訊���,讀取RFIDSM卡內(nèi)的數(shù)字證書���。RF通訊方式采用近距離非接觸式方式,保證了安全性同時具有方便性���。當(dāng)STA客戶端與AS服務(wù)器開始進(jìn)行鑒證時�,由AS服務(wù)器向RF讀卡裝置發(fā)出讀取指令,RF讀卡裝置處于讀取狀態(tài)�。當(dāng)RFID SIM卡靠近RF讀卡裝置進(jìn)入讀卡范圍后,RF讀卡裝置通過專用讀卡指令從RFID SM卡中讀取其數(shù)字證書�����。AS服務(wù)器讀取到數(shù)字證書后��,進(jìn)行鑒證��。另外�����,參考圖5��,RFID SM卡可保存多個數(shù)字證書��,以適應(yīng)在不同的應(yīng)用場景��。以上所述僅是本發(fā)明的具體實(shí)施方式
�����,應(yīng)當(dāng)指出��,對于本技術(shù)領(lǐng)域的普通技術(shù)人員來說��,在不脫離本發(fā)明原理的前提下��,還可以做出若干改進(jìn)和潤飾�����,這些改進(jìn)和潤飾也應(yīng) 視為本發(fā)明的保護(hù)范圍�����。
權(quán)利要求
1.一種實(shí)現(xiàn)WAPI鑒證的系統(tǒng)�����,包括有無線客戶端��、無線接入點(diǎn)及鑒別服務(wù)器���,其特征在于�,所述無線客戶端包括有射頻用戶身份識別卡RF-SIM�����,所述射頻用戶身份識別卡RF-SIM保存有無線客戶端的數(shù)字證書; 所述鑒別服務(wù)器包括有射頻讀卡裝置�,在無線接入點(diǎn)觸發(fā)鑒權(quán)過程后,所述射頻讀卡裝置與所述射頻用戶身份識別卡RF-SIM進(jìn)行射頻通信��,讀取所述射頻用戶身份識別卡RF-SIM中保存的數(shù)字證書進(jìn)行鑒權(quán)��。
2.根據(jù)權(quán)利要求I所述的系統(tǒng)�����,其特征在于����,所述射頻用戶身份識別卡RF-SIM保存的數(shù)字證書為I個或多個。
3.根據(jù)權(quán)利要求I所述的系統(tǒng)��,其特征在于����,所述鑒別服務(wù)器為獨(dú)立的設(shè)備或集成在無線接入點(diǎn)中。
4.一種實(shí)現(xiàn)WAPI鑒權(quán)的方法�,其特征在于,包括 預(yù)先將無線客戶端的數(shù)字證書保存在射頻用戶身份識別卡RF-SIM中�; 無線客戶端與無線接入點(diǎn)進(jìn)行鏈路鏈接���; 無線接入點(diǎn)與鑒別服務(wù)器通過數(shù)字證書進(jìn)行鑒權(quán)并觸發(fā)鑒別服務(wù)器與無線客戶端進(jìn)行鑒權(quán)�����; 鑒別服務(wù)器中的射頻讀卡裝置與射頻用戶身份識別卡RF-SM進(jìn)行射頻通信�����,讀取所述射頻用戶身份識別卡RF-SIM中保存的數(shù)字證書進(jìn)行鑒權(quán)���。
5.根據(jù)權(quán)利要求4所述的方法���,其特征在于,無鑒別服務(wù)器中的射頻讀卡裝置與射頻用戶身份識別卡RF-SIM進(jìn)行射頻通信�,讀取所述射頻用戶身份識別卡RF-SIM中保存的數(shù)字證書進(jìn)行鑒權(quán)包括 鑒別服務(wù)器向射頻讀卡裝置發(fā)出讀取指令,射頻讀卡裝置處于讀取狀態(tài)�����; 當(dāng)射頻用戶身份識別卡RF-SIM進(jìn)入射頻讀卡裝置的讀卡范圍后�����,射頻讀卡裝置從射頻用戶身份識別卡RF-SIM讀取其中保存的數(shù)字證書; 鑒別服務(wù)器根據(jù)所述讀取的數(shù)字證書進(jìn)行鑒別����。
6.根據(jù)權(quán)利要求4所述的方法,其特征在于�����,無線客戶端與無線接入點(diǎn)進(jìn)行鏈路鏈接采用802. 11標(biāo)準(zhǔn)協(xié)議��。
7.根據(jù)權(quán)利要求4所述的方法����,其特征在于,保存在射頻用戶身份識別卡RF-SIM中的數(shù)字證書為一個或多個�����。
全文摘要
本發(fā)明提供一種實(shí)現(xiàn)WAPI鑒證的系統(tǒng)及方法�,其中該系統(tǒng)中無線客戶端包括有射頻用戶身份識別卡RF-SIM,所述射頻用戶身份識別卡RF-SIM保存有無線客戶端的數(shù)字證書�;而鑒別服務(wù)器包括有射頻讀卡裝置,在無線接入點(diǎn)觸發(fā)鑒權(quán)過程后����,所述射頻讀卡裝置與所述射頻用戶身份識別卡RF-SIM進(jìn)行射頻通信�,讀取所述射頻用戶身份識別卡RF-SIM中保存的數(shù)字證書進(jìn)行鑒證�。通過利用RFID SIM卡的主要特性,能夠保存一個或多個數(shù)字證書�,并利用RFIDSIM卡的通信功能,可以與WAPI的鑒別服務(wù)器進(jìn)行數(shù)據(jù)通信�����,增加了一種WAPI鑒證方法���,具有安全保證和方便營運(yùn)的特點(diǎn)。
文檔編號H04W12/06GK102740291SQ20111009080
公開日2012年10月17日 申請日期2011年4月12日 優(yōu)先權(quán)日2011年4月12日
發(fā)明者劉顯陽, 張鍵, 張齊治, 李廣 申請人:廣州盛華信息技術(shù)有限公司