[发明专利]基于证书及SIM的WLAN接入认证方法及系统

权利要求书

1.一种基于证书及SIM的WLAN接入认证方法，包括如下步骤：

对WLAN终端证书及接入点证书进行验证；

WLAN终端与接入点协商密钥；

对WLAN终端进行基于SIM的用户认证。

2.根据权利要求1所述的基于证书及SIM的WLAN接入认证方法，其中所述的对WLAN终端进行基于SIM的用户认证的步骤具体为：

WLAN终端向用户认证点发送接入请求，用户认证点从WLAN终端获取用户标识并发送至SIM认证服务器；

SIM认证服务器向WLAN终端发送认证开始信息，WLAN终端向SIM认证服务器返回携带有终端随机数的认证开始信息；

SIM认证服务器从用户数据库获取鉴权数据，该鉴权数据包含随机数，签名响应，以及用户密钥；

SIM认证服务器利用鉴权数据中的随机数生成用户挑战码，根据鉴权数据生成签名响应密钥，根据签名响应密钥生成签名响应鉴别码，并通过用户认证点向WLAN终端发送用户挑战码；

WLAN终端根据用户挑战码以及预先设定的算法生成签名响应密钥，根据签名响应密钥生成签名响应鉴别码，并通过用户认证点向SIM认证服务器发送签名响应鉴别码；

SIM认证服务器判断WLAN终端返回的签名响应鉴别码与SIM认证服务器生成的签名响应鉴别码是否一致，若一致，则通过用户认证点向WLAN终端返回认证通过消息。

3.根据权利要求2所述的基于证书及SIM的WLAN接入认证方法，其中在所述的对WLAN终端进行基于SIM的用户认证的步骤中还包括：SIM认证服务器在收到携带有终端随机数的认证开始信息后，根据用户标识从用户数据库获取签约数据，根据签约数据判断是否允许用户使用WLAN业务，若允许，则继续执行从用户数据库获取鉴权数据的步骤。

4.根据权利要求1-3任一所述的基于证书及SIM的WLAN接入认证方法，其中所述的对WLAN终端证书及接入点证书进行验证的步骤具体为：

WLAN终端向接入点发出接入认证请求，该接入认证请求中携带有WLAN终端证书与接入鉴别请求时间；

接入点将WLAN终端证书、接入鉴别请求时间、接入点证书以及接入点私钥对WLAN终端证书、接入鉴别请求时间及接入点证书的签名生成证书认证请求，并向证书认证服务器发送；

证书认证服务器验证接入点的签名是否正确，若不正确，则鉴别过程失败，若正确，则验证接入点和WLAN终端证书是否合法，将WLAN终端证书认证结果信息及接入点证书认证结果信息构成证书认证响应，发送至接入点；

接入点对证书认证响应进行签名验证，得到WLAN终端证书的认证结果，并将证书认证响应发送至WLAN终端；WLAN终端对证书认证响应进行签名验证，得到接入点证书的认证结果。

5.根据权利要求1-3任一所述的基于证书及SIM的WLAN接入认证方法，其中所述的WLAN终端与接入点协商密钥的步骤包括单播密钥协商的步骤及组播密钥通知的步骤。

6.根据权利要求5所述的基于证书及SIM的WLAN接入认证方法，其中所述的单播密钥协商的步骤具体为：若WLAN终端证书通过认证，接入点向WLAN终端发送密钥协商请求，该密钥协商请求中包括用WLAN终端解密的协商数据和接入点签名信息以及算法协商信息；WLAN终端对密钥协商请求进行签名验证，若验证通过并且接入点证书通过认证，则生成密钥协商数据，利用接入点公钥加密，并向接入点发送；双方利用密钥协商数据生成单播会话密钥。

7.根据权利要求5所述的基于证书及SIM的WLAN接入认证方法，其中所述的组播密钥通知的步骤具体为：接入点向WLAN终端发送组播密钥通告，该通告中携带有接入点发送的组播数据信息加密使用的密钥；WLAN终端验证接入点发送的组播密钥通告的有效性后，向接入点返回组播密钥响应。

8.一种基于证书及SIM的WLAN接入认证系统，其中包括：

安装有无线网卡和SIM卡的WLAN终端；

证书认证服务器，用于验证WLAN终端证书及接入点证书；

用户数据库，用于存储用户数据；

SIM认证服务器，用于根据用户数据进行基于SIM的用户认证；

用户认证点，用于检查WLAN终端是否已经通过认证并与SIM认证服务器协同进行基于SIM的用户认证。

9.根据权利要求8所述的基于证书及SIM的WLAN接入认证系统，其中所述用户认证点为接入点或接入控制点。