[发明专利]WAPI漫游接入认证方法、系统和接入地AS服务器

说明书

技术领域

本发明涉及WAPI(WLAN Authentication and Privacy Infrastructure，无线局域网鉴别和保密基础结构)技术，尤其涉及一 种WAPI漫游接入认证方法、系统和接入地AS服务器。

背景技术

WAPI是WAI(WLAN Authentication Infrastructure，无线局域网 鉴别基础结构)和WPI(WLAN Privacy Infrastructure，无线局域网保 密基础结构)两个协议统称，是我国无线局域网国家标准GB15629.11- 2003提出的实现无线局域网安全的协议。其中WAI协议解决无线局域 网中的身份识别问题，WPI协议解决无线局域网中信息的保密传输问 题。WAI协议中利用ECC(Elliptic Curve Cryptography，椭圆曲线 密码体制)的数字签名功能(ECDSA)解决了身份认证问题。WAI协 议是WAPI协议中最重要和最基础的部分，只有实现了身份的认证才可 以进行数据的传输。WAI用ECC技术实现了身份的双向认证问题，即 无线终端对接入点(Access Point，AP)的认证，和接入点对无线终端 的认证，只有这两个认证都通过了，即无线终端确认接入点为合法接入 点和接入点确认无线终端为合法无线终端后双方才可以进行通信。经过 可信的第三方——鉴别服务单元实现认证。

在WAPI协议中，无线终端和AP之间必须相互认证才能完成接入 过程，而这个认证过程必须通过证书认证实现。在AP和AS (Authentication Server，鉴别服务器)交互过程中，WAI协议报文是 直接封装在UDP协议基础的，服务器的端口号是3810。

WAPI标准对对漫游用户的身份鉴别没有提出解决方案。

按照现有技术，当WAPI用户在异地接入时，接入地AS查测用户 是非本地用户时，就会将证书请求报文转发给根AS，由根AS将证书 请求报文转发给开户地AS认证。正常的异地漫游用户会完成开户地 AS的认证，但也会使一些非法用户的证书请求报文由接入地AS转发 给根AS，由根AS检测并丢弃，由于根AS面对众多的接入地AS，将 会有大量的非法用户证书请求报文转发给AS，造成对根AS服务器的 压力，降低认证效率，同时也会被一些黑客利用，持续地发送认证请求 报文，攻击根AS服务器。

发明内容

本发明要解决的一个技术问题是提供一种WAPI漫游接入认证方法 和系统，可以缓解根AS的压力，提高认证效率。

本发明提供一种WAPI漫游接入认证方法，包括：AP将自身和 STA(Station，无线终端)的证书发送给接入地AS；当接入地AS确定 不是所述STA的开户地AS时，接入地AS判断STA的证书与自身的 证书是否属于同一根证书，如果是，则将STA、AP的证书以及接入地 AS的签名转发给根AS，如果不是，则通知AP拒绝该STA关联；根 AS将STA、AP的证书转发给开户地AS进行证书认证。

根据本发明的WAPI漫游接入认证方法的一个实施例，该还包括： 由WAPI证书管理中心统一为STA、WLAN设备、AS服务器签发 WAPI证书，以便不同实体证书具有同一个根证书。

本发明还提供一种WAPI漫游接入认证系统，包括：AP，用于向 接入地AS发送证书鉴别请求分组，该证书鉴别请求分组包括AP和 STA的证书；接入地AS，用于接收证书鉴别请求分组，确定AP的证 书的合法性；判断STA的证书与自身的证书是否属于同一根证书，如 果是，则向根AS发送漫游证书鉴别请求分组，将STA、AP的证书以 及接入地AS的签名转发给根AS，如果不是，则通知AP拒绝STA关 联；根AS，用于将漫游证书鉴别请求分组转发给开户地AS，以将 STA、AP的证书转发给开户地AS进行证书认证；开户地AS，用于接 收漫游证书鉴别请求分组，对STA的证书进行认证。

根据本发明的WAPI漫游接入认证方法的一个实施例，还包括：证 书管理中心，用于统一为STA、WLAN设备、AS服务器签发WAPI证 书，以便不同实体证书具有同一个根证书。

本发明的WAPI漫游接入认证方法和系统，当接入地AS接收到来 自AP的漫游证书认证请求时，首先判断STA与AS是否属于同一根证 书，如果是才将漫游认证请求转发到根AS，从而减轻了根AS服务器 的压力，提高了认证效率。

附图说明