[发明专利]基于WIFI的双向认证方法及系统、无线交换机、终端

说明书

本发明提供了一种基于WIFI的双向认证方法及系统、无线交换机以及终端，该方法包括：接收终端发送的证书鉴别请求，证书鉴别请求中包含终端数字认证证书；向鉴权服务器发送双向认证请求，双向认证请求中包含该无线交换机和所述终端的数字认证证书；接收鉴权服务器完成鉴权后发送的双向认证响应，双向认证响应包括无线交换机认证结果及终端认证结果；若获知终端的认证结果为通过时，允许该终端接入WLAN网络；向终端发送证书鉴别响应，以使终端获知无线交换机通过时，通过该无线交换机接入WLAN网络；这种双向认证方式可以增强WLAN认证的安全性。且交互的信息帧格式均为WIFI协议的MAC帧格式，从而能够兼容现有的WIFI协议，可广泛用于双向认证中，提高实用性。

技术领域

本发明属于通信技术领域，特别涉及一种基于WIFI的双向认证方法及系统、无线交换机、终端。

背景技术

随着智能终端的全面普及以及移动互联网业务的迅速发展，WLAN(WirelessLocal Area Networks，无线局域网络)呈现出快速发展的态势，已经成为用户在家庭和机场、火车站、酒店等公共场所的主要宽带接入方式。大范围覆盖的WLAN也在城市中逐步部署，如中国移动在北京已经部署了近万个热点以及无线接入点，为城区重点范围内的用户提供便捷的WLAN接入。

目前WLAN应用是基于802.1x系列的WIFI协议，为了验证接入WLAN的用户终端UE以及无线交换机AP(Access Point)的合法性，在接入WLAN之前往往需要进行一个鉴权过程。鉴权过程由鉴权服务器来执行，这一鉴权过程包含企业版和家庭版，家庭版不需接入鉴权，可直接连入网络；企业版需要提供终端身份进行鉴权验证。然而企业版也只是提供了对终端身份的单项认证，加之协议过程都为明文传输，容易存在DOS攻击(Denial of Service的简称，即拒绝服务)、篡改MAC地址(Media Access Control，物理地址)、伪装AP等安全隐患，降低了WLAN的安全性。

此外，近些年还出现了基于WAPI协议(Wireless LAN Authentication andPrivacy Infrastructure，无线局域网鉴别和保密基础结构)的WLAN连接方式。WAPI协议采用公钥证书技术，鉴权服务器AS负责证书的颁发、验证与吊销等，终端与无线交换机AP上都安装有AS颁发的公钥证书，作为自己的数字身份凭证。当终端登录至无线交换机AP时，在访问网络之前必须通过鉴别服务器AS对双方进行身份验证。根据验证的结果，持有合法证书的终端才能接入持有合法证书的无线交换机AP，从而实现了UE和AP的双向认证。然而，由于WAPI协议与WIFI协议的不兼容特性，某些终端无法支持，导致WAPI协议未能在市场上得到广泛应用。因此，WLAN的安全隐患未能解决。

发明内容

本发明的目的是，解决上述技术问题中至少一个技术问题，提供一种基于WIFI的双向认证方法及系统、无线交换机、终端。

第一方面，本发明提供了一种基于WIFI的双向认证方法，包括：

无线交换机接收终端发送的证书鉴别请求，所述证书鉴别请求中包含所述终端的数字认证证书；

无线交换机向鉴权服务器发送双向认证请求，所述双向认证请求中包含该无线交换机的数字认证证书，还包括接收到的所述证书鉴别请求中的终端的数字认证证书；

无线交换机接收鉴权服务器发送的双向认证响应，所述双向认证响应包括无线交换机认证结果以及终端认证结果；

无线交换机在获知所述终端认证结果为通过时，允许所述终端接入WLAN网络；

无线交换机向终端发送证书鉴别响应，所述证书鉴别响应包括所述无线交换机认证结果以及终端认证结果，以使所述终端在获知无线交换机认证结果为通过时，通过所述无线交换机接入WLAN网络；

其中，所述证书鉴别请求、双向认证请求、双向认证响应以及证书鉴别响应的帧格式均为WIFI协议的MAC帧格式。