技術領域

本發明涉及網絡通信安全技術，特別涉及一種身份認證的方法、系統和鑒別器實體。

背景技術

無線局域網鑒別和保密基礎結構(WAPI，WLAN?Authentication?andPrivacy?Infrastructure)是實現無線局域網安全的協議。WAPI采用公鑰密鑰體制的橢圓曲線密碼算法和對稱密碼體制的分組密碼算法，用于無線局域網(WLAN，Wireless?Local?Area?Network)設備的數字證書、證書鑒別、密鑰協商和傳輸數據的加解密，從而實現設備的身份鑒別、鏈路驗證，訪問控制和用戶信息在無線傳輸狀態下的加密保護。

WAPI是無線局域網鑒別基礎結構(WAI，WLAN?AuthenticationInfrastructure)和無線局域網保密基礎結構(WPI，WLAN?PrivacyInfrastructure)兩個協議的統稱。其中WAI協議解決無線局域網中的身份認證問題，WPI協議解決無線局域網中信息的保密傳輸問題。WAI協議是WAPI協議中最重要和最基礎的部分，只有實現了身份認證才可以進行數據傳輸。WAI用橢圓曲線加密體制(ECC，Elliptic?Curve?encryption?algorithm)技術實現了身份的雙向認證問題，即無線終端對AP(Access?Point，接入點)的認證，和AP對無線終端的認證，只有無線終端確認AP為合法接入點和AP確認無線終端為合法無線終端后雙方才可以進行通信。

現有技術中，上述身份認證必須經過可信的第三方即鑒別服務實體(ASE，Authentication?Service?Entity)才可以實現。圖1為現有技術中WAPI鑒別流程圖，如圖1所示，WAPI鑒別流程可以包括以下步驟：

步驟101：移動終端登錄AP。

步驟102：AP中的鑒別器實體(AE，Authenticator?Entity)激活身份認證過程。

步驟103：AP與應用服務器(AS，Application?Service)進行證書鑒別請求和證書鑒別響應的交互，從而進行身份認證。其中，證書鑒別請求中攜帶移動終端和AP的證書信息，設置在AS服務器中的ASE對證書信息進行鑒別后，將鑒別結果攜帶在證書鑒別響應中。

步驟104：移動終端與AP進行密鑰協商。

步驟105：AP根據鑒別結果對移動終端進行接入控制。

然而，上述現有技術的流程中，WAI協議支持使用用戶數據報協議(UDP，User?Datagram?Protocol)進行傳輸封裝，在步驟103中AP向AS服務器發送的證書鑒別請求，以及AS回復的證書鑒別響應都需要按照額外定義的鑒別控制協議進行傳輸，與現有運營網絡中已經具有認證、授權和計費功能的遠程撥號用戶認證(Radius)服務器所采用的Radius協議并不兼容，這就造成了WAI和現有網絡的融合存在很大困難；并且，如果除了認證過程之外，還需要對用戶進行授權和計費處理，則需要同時部署Radius服務器，并額外增加Portal認證過程以與Radius服務器的授權過程相融合，增加了網絡部署的復雜性。

發明內容

有鑒于此，本發明提供了一種身份認證的方法、系統和AE，以便于WAI身份認證與現有運營網絡兼容，減小網絡部署的復雜性。

一種身份認證的方法，該方法包括：

A、Radius服務器接收AE發送的承載在Radius協議上的EAP協議報文，將該EAP協議報文中封裝的WAI證書鑒別請求發送給ASE；

B、接收所述ASE發送的WAI證書鑒別響應，將封裝了WAI證書鑒別響應的EAP協議報文承載在Radius協議上發送給所述AE。

一種身份認證的系統，該系統包括：AE、Radius服務器和AS?E；

所述AE，用于將封裝了WAI證書鑒別請求的EAP協議報文承載在Radius協議上發送給所述Radius服務器；接收所述Radius服務器發送的承載在Radius協議上且封裝了WAI證書鑒別響應的EAP協議報文；

所述Radius服務器，用于將所述WAI證書鑒別請求發送給所述ASE；接收來自所述ASE的WAI證書鑒別響應，將封裝了WAI證書鑒別響應的EAP協議報文承載在Radius協議上發送給所述AE；

所述ASE，用于接收所述WAI證書鑒別請求，并向所述Radius服務器發送WAI證書鑒別響應。

一種身份認證的方法，該方法包括：

A、AE將封裝了WAI證書鑒別請求的EAP協議報文承載在Radius協議上發送給Radius服務器；