采用一张终端证书实现基于WAPI的WLAN运营的方法

摘要

本发明涉及一种采用一张终端证书实现基于WAPI的WLAN运营的方法。该方法包括以下步骤：1)服务器为所有移动终端颁发同一个证书，为每个无线接入点颁发证书，安装服务器颁发的证书；2)当移动终端需要访问网络时，建立链路连接；3)启动认证过程；4)根据国标规定，进行证书认证；5)如果证书认证成功，无线接入点向移动终端通告组播密钥；6)无线接入点允许移动终端接入；7)接入控制器对移动终端的帐户信息进行认证；8)服务器根据帐户信息认证的结果给出移动终端鉴权信息，移动终端可以访问网络。本发明为解决背景技术中的技术问题，而提供一种符合国家标准并支持目前使用的多种认证、计费方法的基于证书的WAPI标准运营的方法。

说明书

技术领域

本发明涉及无线局域网领域，尤其是一种采用一张终端证书实现基于WAPI的WLAN运营的方法。

背景技术

无线局域网WLAN(Wireless Local Area Network)以其构架的灵活性、快捷性及可扩展性，近几年发展迅速，已经广泛应用于热点地区运营、企业、行业和家庭领域。

对于无线局域网来说，安全至关重要。2003年5月份我国颁布了无线局域网国家标准GB15629.11和GB15629.1102，这是我国在无线局域网领域首批颁布的标准。2006年，无线局域网国家标准第1号修改单GB15629.11-2003/XG1-2006及其他相关子项标准GB15629.1101、GB/T15629.1103和GB15629.1104也颁布实施，初步形成了无线局域网国家标准体系。标准体系中包含了全新的WAPI(WLAN Authentication and PrivacyInfrastructure)安全机制，这种安全机制由WAI(WLAN AuthenticationInfrastructure)和WPI(WLAN Privacy Infrastructure)两部分组成。

WAPI提供了基于证书的认证及密钥协商方法，该方法可以提供很高的安全性，保证合法的用户接入合法的网络，保护无线链路上的数据安全。

当WLAN在运营环境下应用时，认证和计费有非常密切的关系。计费是在认证的基础上进行，目前运营商们已经有各自成熟的认证计费方式，但这些方式不一定可以和国家标准GB15629.11及其第1号修改单中定义的证书认证融合，如何匹配这些成熟的认证计费方式和国家标准GB15629.11及其第1号修改单中定义的证书认证，是WLAN运营的关键问题之一。

目前的认证机制(如Radius)仅实现网络对用户的单向认证，在认证的基础上实现计费等功能，该认证计费方式在链路比较安全的情况下是有效的，即在有线环境下比较适合。但无线局域网链路由于其开放特征而非常不安全，这些认证计费方式直接应用在无线局域网中会出现较大的安全问题。

发明内容

本发明为解决背景技术中运营商用于无线局域网运营的认证和计费的方法和国家标准GB15629.11及其第1号修改单中规定的认证方法不兼容的技术问题，而提供一种符合国家标准并支持目前使用的多种认证、计费方法的基于证书的WAPI标准运营的方法。

本发明的技术解决方案是：本发明为一种采用一张终端证书实现基于WAPI的WLAN运营的方法，其特殊之处在于：该方法包括链路级认证步骤和帐户信息认证步骤，所述链路级认证步骤如下：

1)服务器为所有移动终端颁发同一个证书，为每个无线接入点颁发证书，移动终端和无线接入点安装服务器颁发的证书；

2)当移动终端需要访问网络时，首先由移动终端关联至无线接入点，建立链路连接；

3)移动终端关联至无线接入点后，无线接入点向移动终端发送鉴别激活帧，启动认证过程；

4)根据国标GB15629.11及其第1号修改单规定，移动终端和无线接入点通过服务器进行证书认证；

5)如果证书认证成功，移动终端和无线接入点进行会话密钥协商，无线接入点向移动终端通告组播密钥；

6)无线接入点允许移动终端接入；

所述帐户信息认证步骤如下：

7)接入控制器对移动终端的帐户信息进行认证；

8)服务器根据帐户信息认证的结果给出移动终端鉴权信息，移动终端与网络进行信息数据的交换，即移动终端可以访问网络。

上述步骤4)中证书认证的具体步骤如下：

4.1)移动终端向无线接入点发送接入鉴别请求，其中包含移动终端的证书；

4.2)无线接入点向服务器发送证书鉴别请求，其中包含移动终端和无线接入点的证书；

4.3)服务器对移动终端和无线接入点的证书进行验证，并向无线接入点返回证书鉴别响应，其中包含移动终端和无线接入点证书的鉴别结果；

4.4)无线接入点根据服务器返回的移动终端证书鉴别结果确定是否允许该移动终端接入，并向移动终端发送接入鉴别响应；

4.5)移动终端根据接入鉴别响应中服务器对无线接入点的证书鉴别结果确定是否接入该无线接入点，若是则进至步骤5)，否则结束。

上述步骤7)中接入控制器对移动终端的帐户信息按如下步骤进行认证：当证书认证阶段完成，用户浏览网络时，系统自动弹出网页，提示用户输入用户名和密码，服务器根据用户名和密码验证用户的身份，并根据认证结果控制网络的访问，如果认证成功，移动终端可访问网络。

上述步骤7)中接入控制器对移动终端的帐户信息按如下步骤进行认证：当证书认证阶段完成，移动终端利用SIM卡中的信息，通过认证服务器与无线接入点进行身份认证和会话密钥协商，并根据认证结果控制网络的访问，如果认证成功，移动终端可以访问网络。

本发明通过分离链路级认证和用户级身份鉴别为两个相互独立的过程，链路级认证用于保护无线链路接入的安全，用户级身份鉴别用于授权以及计费等管理服务，使得无线局域网可作为原来运营网络的扩展，并且使无线局域网的运营管理和原来的运营网络相一致，因此本发明具有以下优点：

1、符合国家标准。本发明在链路级认证过程采用符合国家标准的安全接入技术，即可实现用户和网络之间双向身份鉴别，又可与原来的授权、计费等管理系统兼容，其完全符合国标GB15629.11-2003、GB15629.11-2003/XG1-2006及其子项标准的规定。

2、安全性高。本发明在链路级认证过程采用符合国家标准的安全接入技术，利用基于公钥密码体系的证书机制，真正实现了移动终端(MT)与无线接入点(AP)间的双向认证，完全满足运营商对安全接入的要求，使得无线链路的安全性得到保证；并且其等同于有线链路，除了保护无线链路的安全接入和数据通信外，还可以有效地保护后续的用户帐户认证阶段的信息，在用户帐户信息认证阶段，网络对移动终端的用户身份进行进一步验证，控制移动终端是否可以访问网络，并根据认证的结果控制访问网络以及对用户访问网络进行计费，因此本发明安全性高。

3、本发明可以继续使用目前已有的用户认证计费方式，灵活性好，无线接入点设置好证书后，无需再对后台的AAA服务器进行设置，安装、组网便捷，可用于大规模的热点等地区的运营，同时用户只需安装一张证书就可在覆盖WLAN的不同地区漫游，方便用户使用。

4、本发明在保证安全接入的基础上，采用同一个终端证书，使运营维护操作和流程简化，大大降低了成本。

具体实施方式

本发明包括链路级认证步骤和帐户信息认证步骤，其中链路级认证步骤如下：

1)服务器为所有移动终端颁发同一个证书，为每个无线接入点颁发证书，其中不同的无线接入点颁发不同的证书，移动终端和无线接入点安装服务器颁发的证书；

2)当移动终端需要访问网络时，首先由移动终端关联至无线接入点，建立链路连接；

3)移动终端关联至无线接入点后，无线接入点向移动终端发送鉴别激活帧，启动认证过程；

4)根据国标GB15629.11及其第1号修改单规定，移动终端和无线接入点通过服务器进行证书认证；

4.1)移动终端向无线接入点发送接入鉴别请求，其中包含移动终端的证书；

4.2)无线接入点向服务器发送证书鉴别请求，其中包含移动终端和无线接入点的证书；

4.3)服务器对移动终端和无线接入点的证书进行验证，验证移动终端的证书是否是为网络中所有移动终端颁发的统一合法证书，验证无线接入点的证书是否为合法的证书(无线接入点的证书不能与网络中为移动终端颁发的证书相同)。并向无线接入点返回证书鉴别响应，其中包含移动终端和无线接入点证书的鉴别结果；

4.4)无线接入点根据服务器返回的移动终端证书鉴别结果确定是否允许该移动终端接入，并向移动终端发送接入鉴别响应；

4.5)移动终端根据接入鉴别响应中服务器对无线接入点的证书鉴别结果确定是否接入该无线接入点，若是则进至步骤5)，否则结束。

5)如果证书认证成功，移动终端和无线接入点进行会话密钥协商，无线接入点向移动终端通告组播密钥；

6)无线接入点允许移动终端接入；

帐户信息认证步骤如下：

7)接入控制器对移动终端的帐户信息进行认证；

8)服务器根据帐户信息认证的结果给出移动终端鉴权信息，移动终端与网络进行信息数据的交换，即移动终端可以访问网络。

其中步骤7)中接入控制器对移动终端的帐户信息按如下步骤进行认证：当证书认证阶段完成，用户浏览网络时，系统自动弹出网页，提示用户输入用户名和密码，服务器根据用户名和密码验证用户的身份，并根据认证结果控制网络的访问，如果认证成功，移动终端可访问网络。

步骤7)中接入控制器对移动终端的帐户信息还可按如下步骤进行认证：当证书认证阶段完成，移动终端利用SIM卡中的信息，通过认证服务器与无线接入点进行身份认证和会话密钥协商，并根据认证结果控制网络的访问，如果认证成功，移动终端可以访问网络。

名词解释：

1、移动终端(MT)：安装有无线网络适配器的终端。

2、无线接入点(AP)：为移动终端提供网络接入服务的设备。

3、服务器(AS)：提供身份鉴别服务和证书管理功能的网络实体。

4、接入控制器(AC)：对用户访问网络提供接入控制的网络设备。

5、SIM：用户识别模块。