[发明专利]一种基于WAPI协议的接入认证方法、系统和服务器

说明书

技术领域

本发明涉及WLAN(Wireless Local Access Network，无线局域网)接入技术领域，尤其涉及一种基于WAPI(WLAN Authenticationand Privacy Infrastructure，无线局域网鉴别和保密基础结构)协议的接入认证方法、系统和RADIUS(Remote Authentication Dial In UserService，远程用户拨号认证服务)服务器。

背景技术

WAPI是WAI(WLAN Authentication Infrastructure，无线局域网鉴别基础结构)和WPI(WLAN Privacy Infrastructure，无线局域网保密基础结构)两个协议统称，是我国无线局域网国家标准GB15629.11-2003提出的实现无线局域网安全的协议。WAPI采用国家密码管理委员会办公室批准的公钥密码体制的椭圆曲线密码算法和对称密码体制的分组密码算法，分别用于WLAN设备的数字证书、证书鉴别、密钥协商和传输数据的加解密，从而实现设备的身份鉴别、链路验证、访问控制和用户信息在无线传输状态下的加密保护。其中WAI协议解决无线局域网中的身份识别问题，WPI协议解决无线局域网中信息的保密传输问题。WAI协议中利用ECC(Elliptic Curve Cryptography，椭圆曲线密码体制)的数字签名功能(ECDSA)解决了身份认证问题。

WAI协议是WAPI协议中最重要和最基础的部分，只有实现了身份的认证才可以进行数据的传输。WAI用ECC技术实现了身份的双向认证问题，即用户终端对WLAN接入设备的认证，和WLAN接入设备对用户终端的认证，只有这两个认证都通过了，即用户终端确认WLAN接入设备为合法接入点和WLAN接入设备确认用户终端为合法用户终端后双方才可以进行通信。要进行认证必须经过可信的第三方-ASU(Authentication Service Unit，鉴别服务单元)才可以实现。

在WAPI协议中，用户终端和WLAN接入设备之间必须相互认证才能完成接入过程，而这个认证过程必须通过证书认证实现，因此，需要部署单独的ASU服务器(通常称为AS)，来完成用户终端对WLAN接入设备的证书认证和WLAN接入设备对用户终端的证书认证。图1是现有技术的WAPI认证架构图，其中示出了用户终端11、WLAN接入设备12和AS(省级AS 13和集团AS 14)三者的关系。此外，从图1中可以看出，现有技术中需要同时部署RADIUS服务器15和AS服务器。在WLAN接入设备和AS交互过程中，WAI协议报文是直接封装在UDP协议基础的，服务器的端口号是3810。

但是，WAI协议报文使用UDP协议进行传输封装，自己定义了一套鉴别控制协议，和现有的RADIUS协议并不兼容。而现有的运营网络中，绝大多数网络中的用户认证是通过AAA(Authentication、Authorization、Accounting，鉴权、授权、计费)/RADIUS服务器来实现的，这就造成了和现有的网络融合存在比较大的困难。此外，WAI协议只为用户终端和WLAN接入设备之间的证书认证定义了过程，如果需要对用户进行授权和计费处理，则需要同时部署AS服务器和AAA服务器，增加了部署的复杂性。

发明内容

本发明要解决的一个技术问题是提供一种基于WAPI协议的接入认证方法，可以简化网络中的设备部署。

本发明提供一种基于WAPI协议的接入认证方法，包括：无线接入设备向无线终端发送鉴别激活分组；无线终端向无线接入设备发送接入鉴别请求分组；无线接入设备生成证书鉴别请求分组，将证书鉴别请求分组封装在RADIUS请求报文中，发送给RADIUS服务器；RADIUS服务器接收并解析包含证书鉴别请求分组的RADIUS请求报文获得证书鉴别请求分组，通过RADUIS服务器中的ASU进行证书验证；根据验证结果构造鉴别响应分组，将鉴别响应分组封装在RADIUS挑战(challenge)报文中，发送给无线接入设备；无线接入设备接收并解析包含鉴别响应分组的RADIUS挑战报文获得鉴别响应分组，向无线终端发送接入鉴别响应分组。

本发明要解决的另一个技术问题是提供一种基于WAPI协议的接入认证系统，可以简化网络中的设备部署。