[发明专利]无线局域网接入认证方法及无线局域网系统

权利要求书

1.一种自组网模式下的无线局域网接入认证方法，其特征在于，该方法 包括：

在两个终端中选择一个可以通过接入点AP与鉴别服务器交互的终端作 为鉴别器实体AE，向另一个作为鉴别请求者实体ASUE的终端发送鉴别激活 分组；

接收到鉴别激活分组后，ASUE向AE发送包含ASUE证书的接入鉴别 请求分组；接收到接入鉴别请求分组后，AE通过AP向鉴别服务器发送包含 ASUE证书和AE证书的证书鉴别请求分组；

鉴别服务器对ASUE证书和AE证书进行验证，并通过AP将证书验证结 果以及鉴别服务器对证书验证结果的签名发送给AE和ASUE，由AE和ASUE 根据证书验证结果进行相互的认证；

发送所述接入鉴别请求分组前，所述ASUE生成用于椭圆曲线密码体制 的戴菲-赫曼ECDH交换的临时公钥px和临时私钥sx，并将px包含在所述接 入鉴别请求分组中发送给AE；

接收到鉴别服务器发送的证书验证结果后，AE生成用于ECDH交换的 临时公钥py和临时私钥sy，使用sy和px进行ECDH计算，生成基密钥BK， 并将py包含在接入鉴别响应分组中发送给ASUE；

接收到所述接入鉴别响应分组后，ASUE使用sx和py进行ECDH计算， 生成基密钥BK。

2.如权利要求1所述的方法，其特征在于，

如果所述两个终端都可以通过AP与鉴别服务器交互，则选择与AP之间 的信号质量高的终端作为AE，另一个作为ASUE。

3.如权利要求2所述的方法，其特征在于，

采用如下步骤在两个终端中选择一个作为AE：

第一终端向第二终端发送探询请求帧；探询请求帧中包含本地测量得到 的当前可连接AP的信号质量等级S1；

接收到探询请求帧后，第二终端将本地测量得到的当前可连接AP的信 号质量等级S2与S1进行比较：如果S2大于S1，则第二终端向第一终端发 送包含AE标识的探询响应帧，表示将第二终端作为AE；如果S2小于S1， 则第二终端向第一终端发送包含ASUE标识的探询响应帧，表示将第二终端 作为ASUE，将第一终端作为AE。

4.如权利要求1所述的方法，其特征在于，

所述接入鉴别请求分组中包含ASUE的签名字段，接收到所述接入鉴别 请求分组后，AE对ASUE的签名进行验证，仅当验证通过后才通过AP发送 所述证书鉴别请求分组。

5.如权利要求4所述的方法，其特征在于，

AE发送的所述证书鉴别请求分组中包含AE的签名，AP接收到所述证 书鉴别请求分组后，对AE的签名进行验证，仅当签名验证通过后才向鉴别 服务器转发所述证书鉴别请求分组。