[发明专利]一种实现WAPI鉴证的系统及方法

说明书

技术领域

本发明涉及无线局域网络(Wireless Local Area Networks，WLAN)技术领域，更具体的说，本发明涉及一种实现WAPI鉴权的系统及方法。

背景技术

WLAN技术具有灵活便捷的优势，但却深受安全问题的困扰，已成为阻碍WLAN进入信息化应用领域的最大障碍。国际标准为此采用了有线等效保密(Wired Equivalent Privacy，WEP)、Wi-Fi网络安全存取(Wi-Fi Protected Access，WPA)、802.1x、802.11i、虚拟专用网络(Virtual Private Network，VPN)等方式来保证WLAN的安全，但都没有从根本上解决WLAN的安全问题。针对这种情况，我国在2003年5月份提出了无线局域网国家标准GB15629.11，引入一种全新的安全机制无线局域网鉴证与保密基础架构(Wireless LAN Authentication and Privacy Infrastructure，WAPI)。WAPI通过双重认证和密钥管理，达到了保证信息安全的目的。其中，数字证书的分发和保存是该技术的一个关键点。

WAPI定义了一种名为鉴权服务(Authentication Service，AS)的实体，用于管理参与信息交换各方所需要的证书(包括证书的产生、颁发、吊销和更新)。证书里面包含有证书颁发者(AS)的公钥和签名以及证书持有者的公钥和签名(这里的签名采用的是WAPI特有的椭圆曲线数字签名算法)，是网络设备的数字身份凭证。

参考图1，该图为完整的WAPI鉴证协议交互过程，具体如下：

(1)无线客户端首先和WLAN设备进行802.11链路协商

该过程遵循802.11标准中定义的协商过程。无线客户端主动发送探测请求消息或侦听WLAN设备发送的Beacon帧，藉此查找可用的网络，支持WAPI安全机制的AP将会回应或发送携带有WAPI信息的探测应答消息或Beacon帧。在搜索到可用网络后，无线客户端继续发起链路认证交互和关联交互。

(2)无线接入点(Access Point，AP)接入点触发对无线客户端的鉴证处理

无线客户端成功关联到AP接入点设备后，设备在判定该用户为WAPI用户时，则会向无线客户端发送鉴证激活触发消息，触发无线客户端发起WAPI鉴证交互过程。

(3)鉴别服务器进行证书鉴别

无线客户端在发起接入鉴别后，AP设备会向远端的鉴别服务器发起证书鉴别，鉴别请求消息中同时包含有无线客户端和AP设备的证书信息。鉴别服务器对二者身份进行鉴别，并将验证结果发给AP设备。AP设备和无线客户端任何一方如果发现对方身份非法，将主动中止无线连接。

(4)无线客户端和AP设备进行密钥协商

AP设备经鉴别服务器认证成功后，AP设备会发起与无线客户端的密钥协商交互过程，先协商出用于加密单播报文的单播密钥，然后再协商出用于加密组播报文的组播密钥。

发明内容

本发明解决的技术问题是提供一种实现WAPI鉴权的系统及方法，其具有安全保证和方便营运的特点。

为解决上述问题，本发明采用如下技术方案：

一种实现WAPI鉴权的系统，包括有无线客户端、无线接入点及鉴别服务器，其中所述无线客户端包括有射频用户身份识别卡RF-SIM，所述射频用户身份识别卡RF-SIM保存有无线客户端的数字证书；

所述鉴别服务器包括有射频读卡装置，在无线接入点触发鉴权过程后，所述射频读卡装置与所述射频用户身份识别卡RF-SIM进行射频通信，读取所述射频用户身份识别卡RF-SIM中保存的数字证书进行鉴权。

可选地，所述射频用户身份识别卡RF-SIM保存的数字证书为1个或多个。

可选地，所述鉴别服务器为独立的设备或集成在无线接入点中。

一种实现WAPI鉴权的方法，其包括：

预先将无线客户端的数字证书保存在射频用户身份识别卡RF-SIM中；

无线客户端与无线接入点进行链路链接；

无线接入点与鉴别服务器通过数字证书进行鉴权并触发鉴别服务器与无线客户端进行鉴权；

鉴别服务器中的射频读卡装置与射频用户身份识别卡RF-SIM进行射频通信，读取所述射频用户身份识别卡RF-SIM中保存的数字证书进行鉴权。

其中，鉴别服务器中的射频读卡装置与射频用户身份识别卡RF-SIM进行射频通信，读取所述射频用户身份识别卡RF-SIM中保存的数字证书进行鉴权包括：