CN101610515A - 一种基于wapi的认证系统及方法 - Google Patents
一种基于wapi的认证系统及方法 Download PDFInfo
- Publication number
- CN101610515A CN101610515A CNA2009101606520A CN200910160652A CN101610515A CN 101610515 A CN101610515 A CN 101610515A CN A2009101606520 A CNA2009101606520 A CN A2009101606520A CN 200910160652 A CN200910160652 A CN 200910160652A CN 101610515 A CN101610515 A CN 101610515A
- Authority
- CN
- China
- Prior art keywords
- authentication
- certificate
- access point
- mobile terminal
- access
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/069—Authentication using certificates or pre-shared keys
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明提供了一种基于无线局域网鉴别与保密基础架构的认证系统及方法,该方法包括:当访问接入点和移动终端之间实现证书认证时,所述访问接入点选择一个或多个鉴别服务器完成证书的鉴别。采用本发明的技术方案,证书的鉴别可以根据实际情况灵活的选择由单个鉴别服务器完成还是有多个鉴别服务器完成,访问接入点根据其维护的鉴别服务器当前使用情况表选择参与证书鉴别的鉴别服务器,多个鉴别服务器鉴别克服了单个鉴别服务器鉴别的缺点,而且可以有效的检测出发生欺骗的鉴别服务器,而且能提高鉴别的效率。
Description
技术领域
本发明涉及WAPI,具体涉及一种基于WAPI的认证系统及方法。
背景技术
WAPI(WLAN Authentication and Privacy Infrastructure,无线局域网鉴别与保密基础架构)是一种应用于WLAN的安全协议,是由中国提出的具有创新性技术的标准,解决了目前无线局域网安全机制存在的漏洞和隐患。
WAPI安全机制由两个部分组成:WAI(WLAN AuthenticationInfrastructure,无线局域网鉴别基础结构)和WPI(WLAN PrivacyInfrastructure,无线局域网保密基础架构)。WAI用于对用户身份的鉴别,保证了合法用户访问合法的网络;WPI用于对传输数据的加密,保证了通信的保密性。WAI利用公钥密码体制,利用数字证书来完成WLAN系统的MT和AP(访问接入点)之间的相互认证,WAI定义了一种名为ASU(Authentication Service Unit,鉴别服务器)的实体,用于管理参与信息交换各方所需要的证书(包括证书的产生、颁发、吊销和更新)。证书内容包含证书颁发者(ASU)的公钥和签名以及证书持有者的公钥和签名(签名采用的是WAPI特有的椭圆曲线数字签名算法),是网络设备终端MT(MobileTerminal,移动终端)的数字身份凭证。
WAPI协议具体的实现包括以下几个过程:
(1)认证激活;当MT登陆到AP时,AP向MT发送认证激活,以启动认证过程。
(2)接入认证请求;MT向AP发出认证请求,将自己的证书和接入认证请求时间发往AP。
(3)证书认证请求;AP收到MT接入认证请求后,向ASU发出认证请求。将MT证书、接入认证请求时间和AP的证书以及利用AP私钥对它们的签名构成证书认证请求报文信息发送给ASU。
(4)证书认证响应;ASU收到AP的认证请求后,验证AP的签名以及AP和MT证书的合法性。验证完毕后ASU将MT证书认证结果信息(包括MT证书、认证结果、接入认证请求时间和ASU对它们的签名)、AP证书认证结果信息(包括AP证书、认证结果、接入认证请求时间和ASU对它们的签名)构成证书响应报文发回给AP。
(5)接入认证响应;AP对ASU返回的证书响应进行验证,得到MT证书认证结果。AP将MT证书认证信息、AP证书认证结果信息以及AP对它们的签名构成接入认证响应报文发送至MT。MT验证ASU的签名后,得到AP证书的认证结果,MT根据认证结果决定是否接入该AP。
(6)密钥协商;当MT和AP的证书都鉴别成功之后,双方将会进行密钥协商,然后用协商的密钥进行通信。
在WAPI中采用了集中化的管理,由单一ASU统一完成证书有效性验证,同时还担任了权威中心的角色,完成对MT、AP等实体证书的发放、撤销和管理等,没有考虑到ASU在认证过程中发生欺骗的行为和ASU可能会成为系统的瓶颈问题。现有技术证书的认证由单个ASU完成。在一次认证过程中,ASU需要进行3次签名验证和2次签名,在MT数量比较大的情况下,会成为系统认证的瓶颈。如果ASU被攻击者控制或者变的不可信,ASU使非法的MT通过认证接入网络,而合法的MT无法接入网络。ASU进行恶意的认证响应行为,任何MT都无法接入网络,从而使网络陷入瘫痪。
发明内容
本发明要解决的技术问题是提供一种基于WAPI的认证系统及方法,提高了WAPI认证机制的安全性和效率。
为了解决上述问题,本发明提供了一种基于无线局域网鉴别与保密基础架构的认证方法,包括:当访问接入点和移动终端之间实现证书认证时,所述访问接入点选择一个或多个鉴别服务器完成证书的鉴别。
进一步地,所述访问接入点存储一鉴别服务器当前使用情况表,该使用情况表记录的各鉴别服务器的当前负载状况及是否可用;
所述访问接入点从可用的鉴别服务器中选择当前负载最小的一个或多个鉴别服务器完成证书的鉴别。
进一步地,当所述访问接入点选择多个鉴别服务器完成证书的鉴别时,访问接入点将证书认证请求报文发送至选择的每个鉴别服务器,鉴别服务器均对移动终端的证书进行认证,并构成证书认证响应报文发送给访问接入点;
所述访问接入点对接收的各证书认证响应报文进行签名验证,得到各鉴别服务器对移动终端证书认证结果,若各鉴别服务器对移动终端证书认证结果中至少一个正确则允许所述移动终端接入该访问接入点,若各鉴别服务器对移动终端证书认证结果均不正确则不允许所述移动终端接入该访问接入点。
进一步地,所述判断鉴别服务器对移动终端证书认证结果的方法为,若各鉴别服务器对移动终端证书认证结果一致则认证各鉴别服务器对移动终端证书认证结果均正确,若存在移动终端证书认证结果不一致认为存在欺骗行为,所述访问接入点将各鉴别服务器对移动终端证书认证结果发送至可信中心,所述可信中心验证各鉴别服务器对移动终端证书认证结果,检测出存在欺骗行为的鉴别服务器,并通知给访问接入点。
进一步地,所述访问接入点将不存在欺骗行为的鉴别服务器产生的移动终端证书认证结果信息、访问接入点证书认证结果信息以及访问接入点对所述移动终端证书认证结果信息及访问接入点证书认证结果信息的签名构成接入认证响应报文,并将所述接入认证响应报文发送给移动终端;
所述移动终端收到所述接入认证响应报文后,验证其中的访问接入点的签名及鉴别服务器的签名,得到访问接入点的证书验证结果,并判断访问接入点证书认证结果是否均正确,是则决定接入该访问接入点,否则不接入该访问接入点。
进一步地,所述访问接入点按照鉴别服务器的数量对移动终端的安全级别进行划分,移动终端的安全级别的等级数与鉴别服务器的数量一致;
当选择进行证书鉴别的鉴别服务器时,所述访问接入点根据移动终端的安全级别选择完成证书鉴别的鉴别服务器的数量,当移动终端的安全级别为n时,选择n个鉴别服务器进行证书鉴别,若当前可用的鉴别服务器小于n,则选择所有可用的鉴别服务器进行证书鉴别。
本发明还提供一种基于无线局域网鉴别与保密基础架构的认证系统,包括访问接入点、移动终端及鉴别服务器;
所述访问接入点用于和移动终端实现证书认证时,选择一个或多个鉴别服务器完成证书的鉴别;
所述鉴别服务器用于对访问接入点证书及移动终端证书进行认证。
进一步地,所述访问接入点还用于存储一鉴别服务器当前使用情况表,该使用情况表记录的各鉴别服务器的当前负载状况及是否可用;
所述访问接入点从可用的鉴别服务器中选择当前负载最小的一个或多个鉴别服务器完成证书的鉴别。
进一步地,当所述访问接入点选择多个鉴别服务器完成证书的鉴别时,访问接入点将证书认证请求报文发送至选择的每个鉴别服务器,各鉴别服务器均对移动终端的证书进行认证,并构成证书认证响应报文发送给访问接入点;
所述访问接入点对接收的各证书认证响应报文进行签名验证,得到各鉴别服务器对移动终端证书认证结果,若各鉴别服务器对移动终端证书认证结果中至少一个正确则允许所述移动终端接入该访问接入点,若各鉴别服务器对移动终端证书认证结果均不正确则不允许所述移动终端接入该访问接入点。
进一步地,所述系统还包括可信中心;
所述判断鉴别服务器对移动终端证书认证结果是否正确是指,访问接入点判断各鉴别服务器对移动终端证书认证结果一致,若一致则认证各鉴别服务器对移动终端证书认证结果均正确,若存在移动终端证书认证结果不一致认为存在欺骗行为,所述访问接入点将各鉴别服务器对移动终端证书认证结果发送至可信中心,所述可信中心验证各鉴别服务器对移动终端证书认证结果,检测出存在欺骗行为的鉴别服务器,并通知给访问接入点。
进一步地,所述访问接入点还用于将不存在欺骗行为的鉴别服务器产生的移动终端证书认证结果信息、访问接入点证书认证结果信息以及访问接入点对所述移动终端证书认证结果信息及访问接入点证书认证结果信息的签名构成接入认证响应报文,并将所述接入认证响应报文发送给移动终端;
所述移动终端用于收到所述接入认证响应报文后,验证其中的访问接入点的签名及鉴别服务器的签名,得到访问接入点的证书验证结果,并判断访问接入点证书认证结果是否均正确,是则决定接入该访问接入点,否则不接入该访问接入点。
综上所述,本发明提出了一种基于WAPI的认证系统及方法,证书的鉴别可以根据实际情况灵活的选择由单个ASU完成还是有多个ASU完成,AP根据其维护的ASU当前使用情况表选择参与证书鉴别的ASU,多个ASU鉴别克服了单个ASU鉴别的缺点,而且可以有效的检测出发生欺骗的ASU。选择单个ASU鉴别,由于多个ASU的存在,从而提高了鉴别的效率。
附图说明
图1是本发明证书认证系统结构示意图;
图2是本发明的证书认证方法的流程图。
具体实施方式
本发明提供一种基于WAPI的认证系统,如图1所示,该认证系统包括AP、MT、TC及多个ASU;
MT用于收到AP发来的认证激活后向AP发送认证请求,携带MT证书和MT接入认证请求时间;
MT还收到AP发来的接入认证响应报文后,验证AP的签名及ASU的签名得到AP的证书验证结果,根据对AP证书的验证结果决定是否接入该AP;
AP用于收到MT发来的接入认证请求后,根据MT的安全级别选择进行证书鉴别的ASU数量,当该MT的安全级别较低时可以只选择1个ASU进行证书鉴别,当该MT的安全级别较高时可选择多个ASU进行证书鉴别;具体地,AP可以按照ASU的数量对MT的安全级别进行划分,如可以但不限于是,MT的安全级别的等级数与ASU的数量一致,当MT的安全级别为1时,选择1个ASU进行证书鉴别,当MT的安全级别为2时,选择2个ASU进行证书鉴别......当MT的安全级别为n时,选择n个ASU进行证书鉴别,有可能存在MT的安全级别为n,但当前可用的ASU不足n的情形,此时可以选择所有可用的ASU进行证书鉴别;当然还存在其它多种划分方式,本发明对此不作限制。
当需要选择m个ASU时,从所有可用ASU中选择当前负载最小的m个ASU;
AP还用于利用AP私钥对MT证书、接入认证请求时间和AP证书进行签名构成证书认证请求报文,并将该证书认证请求报文发送给选择的m个进行证书鉴别ASU;以及收到该m个ASU返回的证书认证响应报文后对这m个认证响应报文进行签名验证,得到m个对MT证书认证结果,并判断这m个认证结果是否正确,若这m个认证结果中至少一个正确则允许该MT接入,若这m个认证结果均不正确则不允许该MT接入;
判断这m个认证结果是否正确这指,AP先比较这m个认证结果是否一致,若均一致则认为ASU不存在欺骗行为,即m个认证结果均正确,若这m个认证结果不完全一致,则将这m个认证结果发送至TC,以及根据TC的反馈信息判断是否存在正确的认证结果;
AP还用于将正确的MT证书认证结果信息、AP证书认证结果信息以及AP对上述信息(包括MT证书认证结果信息及AP证书认证结果信息)的签名构成接入认证响应报文,并将该接入认证响应报文发送给MT;
TC用于收到AP发来的m个认证结果后依次验证m个认证结果,检测出存在欺骗行为的ASU,即不正确的认证结果,还用于将存在欺骗行为的ASU(或不正确的认证结果)发送至AP。
本发明还提供一种基于WAPI的认证方法,如图2所示,包括以下步骤:
在证书认证请求阶段,AP根据网络的安全级别选择鉴别ASU的个数,AP中维护者一个ASU当前使用情况表,根据当前使用情况表来选择当前负载最小的一个或多个ASU完成证书的鉴别。
步骤201,AP收到MT接入认证请求后,根据MT的安全级别选择进行证书鉴别的ASU数量,当该MT的安全级别较低时可以只选择1个ASU进行证书鉴别,当该MT的安全级别较高时可选择多个ASU进行证书鉴别;
具体地,AP可以按照ASU的数量对MT的安全级别进行划分,如可以但不限于是,MT的安全级别的等级数与ASU的数量一致,当MT的安全级别为1时,选择1个ASU进行证书鉴别,当MT的安全级别为2时,选择2个ASU进行证书鉴别......当MT的安全级别为n时,选择n个ASU进行证书鉴别,有可能存在MT的安全级别为n,但当前可用的ASU不足n的情形,此时可以选择所有可用的ASU进行证书鉴别;当然还存在其它多种划分方式,本发明对此不作限制。
若需要选择m个ASU时,AP从所有可用ASU中选择当前负载最小的m个ASU;
之后AP利用AP私钥对MT证书、接入认证请求时间和AP证书进行签名构成证书认证请求报文,并将该证书认证请求报文发送给选择的m个ASU;
步骤202,收到证书认证请求报文的ASU,根据公钥和可信中心TC上的验证信息验证AP签名、AP证书以及MT证书的合法性,验证完毕后,该m个ASU将MT证书认证结果信息和AP证书认证结果信息构成证书认证响应报文发送给AP;
MT证书认证结果信息包括MT证书、认证结果、接入认证请求时间及ASU对上述信息的签名,AP证书认证结果信息包括AP证书、认证结果、接入认证请求时间及ASU对上述信息的签名;
步骤203,AP收到m个ASU的证书认证响应报文后对每个认证响应报文进行签名验证得到每个ASU对MT证书认证结果,并判断是否存在正确的MT证书认证结果,若存在则执行步骤204,否则执行步骤208;
判断这m个认证结果是否正确的方法为,AP先比较这m个认证结果是否一致,若均一致则认为ASU不存在欺骗行为,即m个认证结果均正确,若这m个认证结果不完全一致,则将这m个认证结果发送至TC,TC依次验证m个认证结果,检测出存在欺骗行为的ASU,即不正确的认证结果,并将存在欺骗行为的ASU(或不正确的认证结果)发送至AP。
步骤204,AP允许MT接入网络;
步骤205,AP将不存在欺骗行为的ASU产生的MT证书认证结果信息、AP证书认证结果信息以及AP对上述信息(包括MT证书认证结果信息及AP证书认证结果信息)的签名构成接入认证响应报文发送给MT,当有多个ASU不存在欺骗时,则每个MT证书认证结果信息及AP证书认证结果信息均对应一个AP的签名,即存在多个接入认证响应报文;
步骤206,MT收到AP发来的接入认证响应报文后,验证AP的签名及ASU的签名,得到AP证书的验证结果(当收到多个接入认证响应报文时,将得到多个AP证书的验证结果),并判断AP证书的验证结果是否均正确,是则执行步骤207,否则执行步骤209;
步骤207,决定接入该AP;
步骤208,AP不允许该MT接入网络;
步骤209,决定不接入该AP。
与现有技术比较,本发明在认证阶段,AP根据实际情况选择认证服务器的个数,根据其维护的ASU当前使用情况表,选择当前负载最小且工作状态良好的ASU完成认证,提高了认证的效率。由多个ASU进行认证,克服了现有技术中ASU认证存在的权威欺诈行为,提高了安全性。在无线局域网MT数量比较大的情况下,选择单个ASU认证,由于存在多个ASU,提高了认证的效率。
下面通过应用实例进一步说明本发明方法,以5个ASU为例
AP可以任意的选择1至5个服务器来完成证书鉴别,AP中维护着一个ASU当前使用情况表,根据当前使用情况表来选择当前负载最小的服务器完成证书的鉴别。下面以选择两个ASU为例。
步骤1,认证激活;MT登陆到AP,AP向MT发送认证激活;以启动认证过程;
步骤2,接入认证请求;MT向AP发出认证请求,将MT证书和MT接入认证请求时间发往AP;
步骤3,AP收到MT接入认证请求后,根据该MT的安全级别确定需要选择2个ASU进行证书的鉴别ASU数量,如表1所示,ASU2当前不可用,因此只能从剩余的4个ASU中选择当前负载最小(即待处理的认证数量最少)的2个ASU进行证书鉴别,即ASU1和ASU5;
之后AP利用AP私钥对MT证书、接入认证请求时间和AP证书进行签名构成证书认证请求报文,并将该证书认证请求报文发送给ASU1和ASU5;
表1:AP存储的ASU当前使用情况表
| 鉴别服务器 | 已处理的认证数量 | 待处理的认证数量 | 服务器状态 |
| ASU1 | 64 | 10 | 可用 |
| ASU2 | 130 | 9 | 不可用 |
| ASU3 | 80 | 17 | 可用 |
| ASU4 | 92 | 19 | 可用 |
| ASU5 | 75 | 12 | 可用 |
步骤4,ASU1和ASU5收到AP的证书认证请求报文后,验证AP签名、AP证书以及MT证书的合法性;
验证完毕后,ASU1和ASU5分别将MT证书认证结果信息(包括MT证书、认证结果、接入认证请求时间及ASU1和ASU5分别对它们的签名)和AP证书认证结果信息(包括AP证书、认证结果、接入认证请求时间及ASU1和ASU5分别对它们的签名)构成证书认证响应报文发送给AP;
步骤5,AP收到ASU1和ASU5的认证响应报文后,对认证响应报文进行签名验证,得到ASU1和ASU5对MT证书认证结果;
步骤6,AP收到ASU1和ASU5的报文对证书的认证结果进行比较,若两个认证结果一致则认为不存在欺骗行为,并执行步骤8,若两个认证结果不一致,则认为存在欺骗行为,并将ASU1和ASU5的报文对证书的认证结果发送至TC;
步骤7,可信中心TC验证ASU1和ASU5的报文对证书的认证结果,将存在欺骗行为的ASU放入不良记录表进行审计,并将存在欺骗行为的ASU通知给AP;然后执行步骤8;
步骤8,AP根据ASU1和ASU5对MT证书的认证结果来决定是否允许MT接入网络,具体地,当ASU1和ASU5对MT证书的认证结果中至少一个正确时,AP则允许MT接入网络,反正,当ASU1和ASU5对MT证书的认证结果均不正确时,AP则不允许MT接入网络;
AP将正确的MT证书认证结果信息、AP证书认证结果信息以及AP对上述信息(包括MT证书认证结果信息及AP证书认证结果信息)的签名构成接入认证响应报文发送给MT;
步骤9,MT收到AP发来的接入认证响应报文后,验证AP的签名及ASU的签名,得到AP的证书验证结果,根据对AP证书的验证结果决定是否接入该AP(AP证书的验证结果均正确时决定接入,否则不接入);
步骤10,如果证书认证通过,则AP和MT之间进行密钥协商,使用协商的密钥进行通信。
Claims (11)
1、一种基于无线局域网鉴别与保密基础架构的认证方法,包括:当访问接入点和移动终端之间实现证书认证时,所述访问接入点选择一个或多个鉴别服务器完成证书的鉴别。
2、如权利要求1所述的方法,其特征在于:
所述访问接入点存储一鉴别服务器当前使用情况表,该使用情况表记录的各鉴别服务器的当前负载状况及是否可用;
所述访问接入点从可用的鉴别服务器中选择当前负载最小的一个或多个鉴别服务器完成证书的鉴别。
3、如权利要求1所述的方法,其特征在于:
当所述访问接入点选择多个鉴别服务器完成证书的鉴别时,访问接入点将证书认证请求报文发送至选择的每个鉴别服务器,鉴别服务器均对移动终端的证书进行认证,并构成证书认证响应报文发送给访问接入点;
所述访问接入点对接收的各证书认证响应报文进行签名验证,得到各鉴别服务器对移动终端证书认证结果,若各鉴别服务器对移动终端证书认证结果中至少一个正确则允许所述移动终端接入该访问接入点,若各鉴别服务器对移动终端证书认证结果均不正确则不允许所述移动终端接入该访问接入点。
4、如权利要求3所述的方法,其特征在于:
所述判断鉴别服务器对移动终端证书认证结果的方法为,若各鉴别服务器对移动终端证书认证结果一致则认证各鉴别服务器对移动终端证书认证结果均正确,若存在移动终端证书认证结果不一致认为存在欺骗行为,所述访问接入点将各鉴别服务器对移动终端证书认证结果发送至可信中心,所述可信中心验证各鉴别服务器对移动终端证书认证结果,检测出存在欺骗行为的鉴别服务器,并通知给访问接入点。
5、如权利要求1所述的方法,其特征在于:
所述访问接入点将不存在欺骗行为的鉴别服务器产生的移动终端证书认证结果信息、访问接入点证书认证结果信息以及访问接入点对所述移动终端证书认证结果信息及访问接入点证书认证结果信息的签名构成接入认证响应报文,并将所述接入认证响应报文发送给移动终端;
所述移动终端收到所述接入认证响应报文后,验证其中的访问接入点的签名及鉴别服务器的签名,得到访问接入点的证书验证结果,并判断访问接入点证书认证结果是否均正确,是则决定接入该访问接入点,否则不接入该访问接入点。
6、如权利要求1所述的方法,其特征在于:
所述访问接入点按照鉴别服务器的数量对移动终端的安全级别进行划分,移动终端的安全级别的等级数与鉴别服务器的数量一致;
当选择进行证书鉴别的鉴别服务器时,所述访问接入点根据移动终端的安全级别选择完成证书鉴别的鉴别服务器的数量,当移动终端的安全级别为n时,选择n个鉴别服务器进行证书鉴别,若当前可用的鉴别服务器小于n,则选择所有可用的鉴别服务器进行证书鉴别。
7、一种基于无线局域网鉴别与保密基础架构的认证系统,包括访问接入点、移动终端及鉴别服务器;其特征在于:
所述访问接入点用于和移动终端实现证书认证时,选择一个或多个鉴别服务器完成证书的鉴别;
所述鉴别服务器用于对访问接入点证书及移动终端证书进行认证。
8、如权利要求7所述的系统,其特征在于:
所述访问接入点还用于存储一鉴别服务器当前使用情况表,该使用情况表记录的各鉴别服务器的当前负载状况及是否可用;
所述访问接入点从可用的鉴别服务器中选择当前负载最小的一个或多个鉴别服务器完成证书的鉴别。
9、如权利要求7所述的系统,其特征在于:
当所述访问接入点选择多个鉴别服务器完成证书的鉴别时,访问接入点将证书认证请求报文发送至选择的每个鉴别服务器,各鉴别服务器均对移动终端的证书进行认证,并构成证书认证响应报文发送给访问接入点;
所述访问接入点对接收的各证书认证响应报文进行签名验证,得到各鉴别服务器对移动终端证书认证结果,若各鉴别服务器对移动终端证书认证结果中至少一个正确则允许所述移动终端接入该访问接入点,若各鉴别服务器对移动终端证书认证结果均不正确则不允许所述移动终端接入该访问接入点。
10、如权利要求9所述的系统,其特征在于:
所述系统还包括可信中心;
所述判断鉴别服务器对移动终端证书认证结果是否正确是指,访问接入点判断各鉴别服务器对移动终端证书认证结果一致,若一致则认证各鉴别服务器对移动终端证书认证结果均正确,若存在移动终端证书认证结果不一致认为存在欺骗行为,所述访问接入点将各鉴别服务器对移动终端证书认证结果发送至可信中心,所述可信中心验证各鉴别服务器对移动终端证书认证结果,检测出存在欺骗行为的鉴别服务器,并通知给访问接入点。
11、如权利要求7所述的系统,其特征在于:
所述访问接入点还用于将不存在欺骗行为的鉴别服务器产生的移动终端证书认证结果信息、访问接入点证书认证结果信息以及访问接入点对所述移动终端证书认证结果信息及访问接入点证书认证结果信息的签名构成接入认证响应报文,并将所述接入认证响应报文发送给移动终端;
所述移动终端用于收到所述接入认证响应报文后,验证其中的访问接入点的签名及鉴别服务器的签名,得到访问接入点的证书验证结果,并判断访问接入点证书认证结果是否均正确,是则决定接入该访问接入点,否则不接入该访问接入点。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNA2009101606520A CN101610515A (zh) | 2009-07-22 | 2009-07-22 | 一种基于wapi的认证系统及方法 |
| PCT/CN2009/075687 WO2011009268A1 (zh) | 2009-07-22 | 2009-12-17 | 一种基于wapi的认证系统及方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNA2009101606520A CN101610515A (zh) | 2009-07-22 | 2009-07-22 | 一种基于wapi的认证系统及方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN101610515A true CN101610515A (zh) | 2009-12-23 |
Family
ID=41484045
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNA2009101606520A Pending CN101610515A (zh) | 2009-07-22 | 2009-07-22 | 一种基于wapi的认证系统及方法 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN101610515A (zh) |
| WO (1) | WO2011009268A1 (zh) |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101795239A (zh) * | 2010-04-14 | 2010-08-04 | 杭州华三通信技术有限公司 | 一种认证方法和设备 |
| WO2011009268A1 (zh) * | 2009-07-22 | 2011-01-27 | 中兴通讯股份有限公司 | 一种基于wapi的认证系统及方法 |
| CN101783753B (zh) * | 2010-02-09 | 2012-04-25 | 工业和信息化部电信传输研究所 | 无线局域网鉴别和保密基础结构协议分析方法和系统 |
| CN101795463B (zh) * | 2010-02-09 | 2012-10-31 | 工业和信息化部电信传输研究所 | 无线局域网鉴别和保密基础结构协议分析方法和系统 |
| CN103795694A (zh) * | 2012-10-31 | 2014-05-14 | 中国电信股份有限公司 | 许可控制方法及系统 |
| CN106330828A (zh) * | 2015-06-25 | 2017-01-11 | 联芯科技有限公司 | 网络安全接入的方法、终端设备及认证服务器 |
| CN107360572A (zh) * | 2016-05-10 | 2017-11-17 | 普天信息技术有限公司 | 一种基于wifi的安全增强认证方法以及装置 |
| CN111669756A (zh) * | 2020-07-24 | 2020-09-15 | 广西电网有限责任公司 | 一种wapi网络中传递接入网络信息的系统及方法 |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102404736B (zh) * | 2011-12-28 | 2014-07-02 | 西安西电捷通无线网络通信股份有限公司 | 一种wai 证书鉴别方法及装置 |
| WO2025000379A1 (zh) * | 2023-06-29 | 2025-01-02 | 新华三技术有限公司 | 一种终端认证方法、装置、接入设备及介质 |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1191703C (zh) * | 2001-12-31 | 2005-03-02 | 西安西电捷通无线网络通信有限公司 | 宽带无线ip系统移动终端的安全接入方法 |
| CN1141822C (zh) * | 2002-01-08 | 2004-03-10 | 广东省电信科学技术研究院 | 分布式认证/计费服务器系统及其实现方法 |
| US20040181692A1 (en) * | 2003-01-13 | 2004-09-16 | Johanna Wild | Method and apparatus for providing network service information to a mobile station by a wireless local area network |
| US7690026B2 (en) * | 2005-08-22 | 2010-03-30 | Microsoft Corporation | Distributed single sign-on service |
| CN101610515A (zh) * | 2009-07-22 | 2009-12-23 | 中兴通讯股份有限公司 | 一种基于wapi的认证系统及方法 |
-
2009
- 2009-07-22 CN CNA2009101606520A patent/CN101610515A/zh active Pending
- 2009-12-17 WO PCT/CN2009/075687 patent/WO2011009268A1/zh active Application Filing
Cited By (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2011009268A1 (zh) * | 2009-07-22 | 2011-01-27 | 中兴通讯股份有限公司 | 一种基于wapi的认证系统及方法 |
| CN101783753B (zh) * | 2010-02-09 | 2012-04-25 | 工业和信息化部电信传输研究所 | 无线局域网鉴别和保密基础结构协议分析方法和系统 |
| CN101795463B (zh) * | 2010-02-09 | 2012-10-31 | 工业和信息化部电信传输研究所 | 无线局域网鉴别和保密基础结构协议分析方法和系统 |
| CN101795239A (zh) * | 2010-04-14 | 2010-08-04 | 杭州华三通信技术有限公司 | 一种认证方法和设备 |
| CN101795239B (zh) * | 2010-04-14 | 2012-10-17 | 杭州华三通信技术有限公司 | 一种认证方法和设备 |
| CN103795694A (zh) * | 2012-10-31 | 2014-05-14 | 中国电信股份有限公司 | 许可控制方法及系统 |
| CN106330828A (zh) * | 2015-06-25 | 2017-01-11 | 联芯科技有限公司 | 网络安全接入的方法、终端设备及认证服务器 |
| CN106330828B (zh) * | 2015-06-25 | 2020-02-18 | 联芯科技有限公司 | 网络安全接入的方法、终端设备 |
| CN107360572A (zh) * | 2016-05-10 | 2017-11-17 | 普天信息技术有限公司 | 一种基于wifi的安全增强认证方法以及装置 |
| CN107360572B (zh) * | 2016-05-10 | 2019-11-12 | 普天信息技术有限公司 | 一种基于wifi的安全增强认证方法以及装置 |
| CN111669756A (zh) * | 2020-07-24 | 2020-09-15 | 广西电网有限责任公司 | 一种wapi网络中传递接入网络信息的系统及方法 |
| CN111669756B (zh) * | 2020-07-24 | 2023-07-04 | 广西电网有限责任公司 | 一种wapi网络中传递接入网络信息的系统及方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2011009268A1 (zh) | 2011-01-27 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110581854B (zh) | 基于区块链的智能终端安全通信方法 | |
| CN108270571B (zh) | 基于区块链的物联网身份认证系统及其方法 | |
| CN108810895B (zh) | 基于区块链的无线Mesh网络身份认证方法 | |
| CN110535628B (zh) | 通过证书签发进行多方安全计算的方法及装置 | |
| CN101189827B (zh) | 综合认证和管理服务提供者、终端和用户身份模块的方法以及使用该方法的系统和终端 | |
| CN101610515A (zh) | 一种基于wapi的认证系统及方法 | |
| JP4599852B2 (ja) | データ通信装置および方法、並びにプログラム | |
| US8756675B2 (en) | Systems and methods for security in a wireless utility network | |
| EP1536609B1 (en) | Systems and methods for authenticating communications in a network | |
| CN101951603B (zh) | 一种无线局域网接入控制方法及系统 | |
| CN101453476B (zh) | 一种跨域认证方法和系统 | |
| CN101631113B (zh) | 一种有线局域网的安全访问控制方法及其系统 | |
| US20090240941A1 (en) | Method and apparatus for authenticating device in multi domain home network environment | |
| WO2009050324A1 (en) | Credential provisioning | |
| CN111783068A (zh) | 设备认证方法、系统、电子设备及存储介质 | |
| WO2017185450A1 (zh) | 终端的认证方法及系统 | |
| JP2023544529A (ja) | 認証方法およびシステム | |
| CN101902476A (zh) | 移动p2p用户身份认证方法 | |
| CN110493237A (zh) | 身份管理方法、装置、计算机设备及存储介质 | |
| WO2011009317A1 (zh) | 认证方法、认证系统及认证服务器 | |
| CN115021958B (zh) | 一种雾计算与区块链融合的智能家居身份认证方法与系统 | |
| CN101631114B (zh) | 一种基于公钥证书的身份鉴别方法及其系统 | |
| CN101534192A (zh) | 一种提供跨域令牌的系统和方法 | |
| CN106027251A (zh) | 一种身份证读卡终端与云认证平台数据传输方法和系统 | |
| CN110929231A (zh) | 数字资产的授权方法、装置和服务器 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C12 | Rejection of a patent application after its publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20091223 |