[发明专利]一种WAPI终端访问Web应用站点的系统及方法

说明书

技术领域

本发明涉及无线局域网技术，具体涉及一种WAPI(WLAN Authentication and Privacy Infrastructure，无线局域网鉴别和保密基础结构) 终端访问Web应用站点的系统及方法。

背景技术

单点登录(Single Sign On，即SSO)是在多个应用系统中，用户只需要 登录一次就可以访问所有相互信任的应用系统。它包括可以将这次主要的登 录映射到其他应用中用于同一个用户的登录的机制。

当用户第一次访问应用系统1的时候，因为还没有登录，会被引导到认 证系统中进行登录；根据用户提供的登录信息，认证系统进行身份校验，如 果通过校验，应该返回给用户一个认证的凭据--ticket；用户再访问别的 应用的时候就会将这个ticket带上，作为自己认证的凭据，应用系统接受到 请求之后会把ticket送到认证系统进行校验，检查ticket的合法性。如果通 过效验，用户就可以在不用再次登录的情况下访问应用系统2和应用系统3 了。

WAPI(WLAN Authentication and Privacy Infrastructure，无线局域网鉴 别和保密基础结构)是中国提出的以802.11无线协议为基础的无线安全标 准。WAPI协议包括两个部分：WAI(WLAN Authentication Infrastructure， 无线局域网鉴别基础结构)和WPI(WLAN Privacy Infrastructure，无线局域 网保密基础结构)。WAI是用于无线局域网中身份鉴别和密钥管理的安全 方案。WPI是用于无线局域网中数据传输保护的安全方案，包括数据加密、 数据鉴别和重放保护等功能。

典型的WAPI系统主要包括鉴别器实体(AE，Authenticator Entity)、 鉴别请求者实体(ASUE：Authentication Supplicant Entity)和鉴别服务器实 体(ASE：Authentication Service Entity)，其中：鉴别请求者实体是在接入 服务之前请求进行鉴别操作的实体，驻留在STA(无线客户端)中，可以理 解为终端；鉴别器实体为鉴别请求者实体在接入服务之前提供鉴别操作，一 般驻留在AP(接入点)或STA中；鉴别服务器实体为鉴别器实体和鉴别请 求者实体提供相互鉴别的服务。

WAPI终端在接入WAPI网络时，要通过鉴别服务器实体的鉴别；若接 入WAPI网络后访问Web应用站点则需重新登录；若要实现单点登录，也 要被引导到认证系统中进行登录。而在WLAN和3G网络融合的网络环境 下，运营商对终端用户签约业务的统一认证管理需求与日俱增，如果沿用单 点登录的现有技术，会大大增加WAPI终端访问Web网页以及实现单点登 录的复杂性，降低用户体验。现有技术无法应对WLAN和3G网络融合的 发展趋势，以及运营商在融合网络下对终端用户签约业务的统一认证管理需 求。

发明内容

本发明要解决的技术问题是提供一种WAPI终端访问Web应用站点的 系统及方法，解决了现有技术中WAPI终端访问每个Web应用站点时均需 重新登录的问题。

为了解决上述问题，本发明提供了一种WAPI终端访问Web应用站点 的方法，包括：

WAPI终端接入WiFi(无线保真)网络时，鉴别服务器实体为所述WAPI 终端生成一个ticket(认证凭据)；当所述WAPI终端访问Web应用站点时 携带所述ticket，所述Web应用站点请求所述鉴别服务器实体对该ticket进 行认证，鉴别服务器实体完成对所述ticket的认证，并将认证结果返回至 Web应用站点，若认证通过则允许所述WAPI终端访问所述Web应用站点。

进一步地，所述WAPI终端接入WiFi网络时，鉴别服务器实体为所述 WAPI终端生成一个ticket是指，若所述WAPI终端通过了鉴别服务器实体 的鉴别，则鉴别服务器实体为所述WAPI终端生成一个ticket，并向鉴别器 实体发送证书鉴别响应分组时携带所述ticket，所述鉴别器实体向WAPI终 端发送接入鉴别响应分组时携带所述ticket，所述WAPI终端保存该ticket。