[发明专利]无线局域网接入认证方法及无线局域网系统

说明书

技术领域

本发明涉及通信领域，尤其涉及一种自组网模式下的无线局域网 (Wireless Local Area Networks，简称WLAN)接入认证方法和无线局域网 系统。

背景技术

WLAN作为宽带无线IP(Internet Protocol，因特网协议)网络的一种 典型的实现形式，是指采用无线传输媒介的计算机局域网络，它能在难以布 线的区域进行通信，是传统有线局域网的重要补充。WLAN技术是计算机 网络技术与无线通信技术相结合的产物，具有支持移动计算、架构灵活快捷、 维护所需费用较低和可扩展性好等优点，为通信的移动化和个人化提供了手 段。

WLAN包括两种组网模式：

BSS(Basic Service Set，基本服务组)模式：应用该模式时，由AP (Access Point，接入点)对终端(STA)统一进行管理，终端之间互相通信 必须通过AP；

IBSS(Independent Basic Service Set，独立基本服务组)模式：属于 一种自组网(ad-hoc)模式，应用该模式时，终端之间可以直接通信，无需 经过AP。

由于在采用BSS模式时，AP可以对网络中的终端进行统一管理和控制， 并且AP可以作为无线局域网与有线局域网、乃至广域网的连接点，因此 BSS模式是无线局域网中最为常用的组网模式。

而IBSS模式的优势在于终端之间可以直接通信，无需经过AP的中转， 用户可以采用IBSS模式在两个或多个终端之间进行文本、图像或者游戏数 据的传输，因此，即使存在可用的AP，IBSS模式也是BSS模式的一种重要 的补充。

对于BSS模式，现有技术中的WAPI(无线局域网鉴别与保密基础结构) 采用了基于三元对等鉴别的访问控制方法，通过在终端、AP和鉴别服务器 之间的证书鉴别过程，对终端和AP的身份进行双向的认证并协商出基密钥 (BK)，然后在终端和AP之间进行密钥协商，使用BK生成单播密钥(USK)， 以保障合法终端通过合法的AP接入网络，并实现终端和AP间的保密通信。

而对于IBSS模式，WAPI中的接入认证方法取消了需要AP和鉴别服务 器参与的证书鉴别过程，直接使用预共享密钥导出基密钥，然后使用基密钥 进行密钥协商，生成单播密钥。

很显然，由于在IBSS模式下取消了证书鉴别过程，无线局域网的安全 性较差，无法有效地对终端之间的通信链路进行加密，也无法有效地防止非 法终端接入IBSS网络。

由上可知，现有技术中由于无法有效地保障自组网模式(例如采用IBSS 模式自组网)的安全性，影响了基于自组网模式的应用(例如，终端之间直 接传送图像、文本等应用)的推广和使用。

发明内容

本发明所要解决的技术问题是，克服现有技术的不足，提供一种自组网 模式下的接入认证方法及无线局域网系统，以提高无线局域网自组网的安全 性。

为了解决上述问题，本发明提供一种自组网模式下的无线局域网接入认 证方法，该方法包括：

在两个终端中选择一个可以通过接入点AP与鉴别服务器交互的终端作 为鉴别器实体AE，向另一个作为鉴别请求者实体ASUE的终端发送鉴别激 活分组；

接收到鉴别激活分组后，ASUE向AE发送包含ASUE证书的接入鉴别 请求分组；接收到接入鉴别请求分组后，AE通过AP向鉴别服务器发送包 含ASUE证书和AE证书的证书鉴别请求分组；

鉴别服务器对ASUE证书和AE证书进行验证，并通过AP将证书验证 结果以及鉴别服务器对证书验证结果的签名发送给AE和ASUE，由AE和 ASUE根据证书验证结果进行相互的认证。

此外，发送所述接入鉴别请求分组前，所述ASUE生成用于椭圆曲线密 码体制的戴菲-赫曼ECDH交换的临时公钥px和临时私钥sx，并将px包含 在所述接入鉴别请求分组中发送给AE；

接收到鉴别服务器发送的证书验证结果后，AE生成用于ECDH交换的 临时公钥py和临时私钥sy，使用sy和px进行ECDH计算，生成基密钥BK， 并将py包含在接入鉴别响应分组中发送给ASUE；

接收到所述接入鉴别响应分组后，ASUE使用sx和py进行ECDH计算， 生成基密钥BK。