[发明专利]一种基于WAPI协议的接入认证方法、系统和服务器

权利要求书

1.一种基于WAPI协议的接入认证方法，其特征在于，包括：

无线接入设备向无线终端发送鉴别激活分组；

所述无线终端向所述无线接入设备发送接入鉴别请求分组；

所述无线接入设备生成证书鉴别请求分组，将所述证书鉴别请求分组封装在RADIUS请求报文中，发送给RADIUS服务器；

所述RADIUS服务器接收并解析所述包含证书鉴别请求分组的RADIUS请求报文获得所述证书鉴别请求分组，通过所述RADUIS服务器中的ASU进行证书验证；根据验证结果构造鉴别响应分组，将所述鉴别响应分组封装在RADIUS挑战报文中，发送给所述无线接入设备；

所述无线接入设备接收并解析所述包含鉴别响应分组的RADIUS挑战报文获得所述鉴别响应分组，向所述无线终端发送接入鉴别响应分组。

2.根据权利要求1所述的接入认证方法，其特征在于，将所述证书鉴别请求分组封装在RADIUS请求报文的Vendor-Specific属性中，将所述鉴别响应分组封装在RADIUS挑战报文的Vendor-Specific属性中。

3.根据权利要求1或2所述的接入认证方法，其特征在于，当所述RADIUS服务器接收到所述无线接入设备发送的证书鉴别请求分组的分片时，所述RADIUS服务器回应一个空报文作为应答，所述应答只包含WAI报文头，不包含数据，报文头中分片序号使用已接收证书鉴别请求分组的的分片的序号；

当所述无线接入设备收到所述RADIUS服务器发送的鉴别响应分组的分片时，所述无线接入设备回应一个空报文作为应答，所述应答只包含WAI报文头，不包含数据，报文头中分片序号使用已接收的鉴别响应分组的分片的序号。

4.根据权利要求1或2所述的接入认证方法，其特征在于，所述无线接入设备接收所述包含鉴别响应分组的RADIUS挑战报文后，向所述RADIUS服务器发送请求报文；

所述RADIUS服务器收到了所述无线接入设备发来的请求报文后，如果确定所述无线终端和所述无线接入设备的证书鉴定结果都为有效，则返回Access-Accept报文，并在报文中携带相关的授权、链路、Session等信息；否则返回Access-Reject报文。

5.一种基于WAPI协议的接入认证系统，其特征在于，包括：

无线接入设备，用于向无线终端发送鉴别激活分组，接收来自所述无线终端的接入鉴别请求分组；生成证书鉴别请求分组，将所述证书鉴别请求分组封装在RADIUS请求报文中，发送给RADIUS服务器；接收并解析包含鉴别响应分组的RADIUS挑战报文获得所述鉴别响应分组，向所述无线终端发送接入鉴别响应分组。

所述RADIUS服务器，用于接收并解析所述包含证书鉴别请求分组的RADIUS请求报文，获得所述证书鉴别请求分组，通过ASU进行证书验证；根据验证结果构造鉴别响应分组，将所述鉴别响应分组封装在RADIUS挑战报文中，发送给所述无线接入设备。

6.根据权利要求5所述的基于WAPI协议的接入认证系统，其特征在于，所述无线接入设备将所述证书鉴别请求分组封装在RADIUS请求报文的Vendor-Specific属性中；所述RADIUS服务器将所述鉴别响应分组封装在RADIUS挑战报文的Vendor-Specific属性中。

7.根据权利要求5或6所述的基于WAPI协议的接入认证系统，其特征在于，当所述RADIUS服务器接收到所述无线接入设备发送的证书鉴别请求分组的分片时，所述RADIUS服务器回应一个空报文作为应答，所述应答只包含WAI报文头，不包含数据，报文头中分片序号使用已接收证书鉴别请求分组的分片的序号；

当所述无线接入设备收到所述RADIUS服务器发送的鉴别响应分组的分片时，所述无线接入设备回应一个空报文作为应答，所述应答只包含WAI报文头，不包含数据，报文头中分片序号使用已接收的鉴别响应分组的分片的序号。