技術(shù)領(lǐng)域

本發(fā)明涉及網(wǎng)絡(luò)安全技術(shù)領(lǐng)域，特別涉及一種安全認(rèn)證的方法、系統(tǒng)和裝置。?

背景技術(shù)

無線局域網(wǎng)鑒別和保密基礎(chǔ)結(jié)構(gòu)(WAPI，WLAN?Authentication?andPrivacy?Infrastructure)是實(shí)現(xiàn)無線局域網(wǎng)安全的協(xié)議。WAPI采用公鑰密鑰體制的橢圓曲線密碼算法和對(duì)稱密碼體制的分組密碼算法，用于無線局域網(wǎng)(WLAN，Wireless?Local?Area?Network)設(shè)備的數(shù)字證書、證書鑒別、密鑰協(xié)商和傳輸數(shù)據(jù)的加解密，從而實(shí)現(xiàn)設(shè)備的身份鑒別、鏈路驗(yàn)證，訪問控制和用戶信息在無線傳輸狀態(tài)下的加密保護(hù)。?

當(dāng)移動(dòng)終端(STA)登錄無線接入點(diǎn)(AP)時(shí)，在使用或者訪問網(wǎng)絡(luò)之前必須通過鑒別服務(wù)器(AS)對(duì)STA和AP進(jìn)行WAPI認(rèn)證，即進(jìn)行身份鑒別，驗(yàn)證通過后STA才能通過AP訪問網(wǎng)絡(luò)，這樣不僅可以防止非法移動(dòng)終端接入AP而訪問網(wǎng)絡(luò)并占用網(wǎng)絡(luò)資源，而且可以防止STA登錄非法AP而造成信息泄漏。WAPI認(rèn)證的流程可以如圖1所示，主要包括以下步驟：?

步驟101：STA登錄AP并與AC進(jìn)行802.11鏈路協(xié)商。?

步驟102：AC激活對(duì)STA的WAPI認(rèn)證處理。?

步驟103：AC向AS服務(wù)器發(fā)送WAPI認(rèn)證請(qǐng)求，該WAPI認(rèn)證請(qǐng)求中包含STA和AP的身份信息，AS對(duì)兩者身份進(jìn)行認(rèn)證，將認(rèn)證結(jié)果通過AC發(fā)送至STA。?

步驟104：如果認(rèn)證成功，AC與STA進(jìn)行密鑰協(xié)商。?

步驟105：密鑰協(xié)商完成后，AC授權(quán)該STA使用WAPI網(wǎng)絡(luò)。?

WAPI認(rèn)證過程是空口認(rèn)證過程，STA在空口認(rèn)證通過后，在接入城域網(wǎng)之前通常要進(jìn)行Portal認(rèn)證，Portal認(rèn)證的流程可以如圖2所示，主要包括以下步驟：?

步驟201：STA與寬帶接入服務(wù)器(BRAS)之間進(jìn)行動(dòng)態(tài)主機(jī)配置協(xié)議(DHCP)過程，獲取IP地址。?

步驟202：STA發(fā)送HTTP請(qǐng)求給BRAS。?

步驟203：BRAS將HTTP請(qǐng)求重定向至入口(Portal)服務(wù)器。?

步驟204：Portal服務(wù)器推送認(rèn)證頁(yè)面給STA，并根據(jù)STA輸入的用戶名、密碼等認(rèn)證信息對(duì)該STA進(jìn)行Portal認(rèn)證。?

步驟205：Portal服務(wù)器將認(rèn)證結(jié)果發(fā)送給BRAS和STA。?

步驟206：BRAS在認(rèn)證通過時(shí)，允許STA接入城域網(wǎng)訪問Internet，并通知Radius服務(wù)器開始計(jì)費(fèi)。?

在目前的城域網(wǎng)架構(gòu)中，如果要實(shí)現(xiàn)STA接入城域網(wǎng)，則需要先后執(zhí)行圖1和圖2的流程，采用WAPI+Portal認(rèn)證的方式來實(shí)現(xiàn)用戶的安全認(rèn)證，即通過WAPI完成空口認(rèn)證，用戶認(rèn)證通過后，獲取IP地址，再啟動(dòng)Portal方式認(rèn)證。但是，這種方式使得運(yùn)營(yíng)商需要構(gòu)建并維護(hù)兩套安全體系，如圖3所示，維護(hù)復(fù)雜，且需要對(duì)用戶進(jìn)行兩次認(rèn)證過程，為用戶帶來較差的用戶體驗(yàn)。?

發(fā)明內(nèi)容

有鑒于此，本發(fā)明提供了一種安全認(rèn)證的方法、系統(tǒng)和裝置，僅需要運(yùn)營(yíng)商構(gòu)建并維護(hù)一套安全體系，進(jìn)行一次認(rèn)證過程，便可以實(shí)現(xiàn)STA接入城域網(wǎng)的安全認(rèn)證，為用戶帶來較好的用戶體驗(yàn)。?

一種安全認(rèn)證的方法，該方法包括：?

A、AC激活對(duì)STA的空口認(rèn)證后，將空口認(rèn)證請(qǐng)求封裝在Radius協(xié)議報(bào)文中發(fā)送給BRAS；?

B、BRAS從封裝了空口認(rèn)證請(qǐng)求的Radius協(xié)議報(bào)文中獲取所述STA的MAC地址和用戶標(biāo)識(shí)信息，記錄所述STA的MAC地址和用戶標(biāo)識(shí)信息的對(duì)應(yīng)關(guān)系，將所述封裝了空口認(rèn)證請(qǐng)求的Radius協(xié)議報(bào)文發(fā)送給空口認(rèn)證服務(wù)器，?并將空口認(rèn)證服務(wù)器返回的封裝了認(rèn)證結(jié)果的Radius協(xié)議報(bào)文發(fā)送給所述AC；?

C、所述AC確定所述認(rèn)證結(jié)果為認(rèn)證成功時(shí)，授權(quán)所述STA接入無線網(wǎng)絡(luò)；所述BRAS如果確定所述認(rèn)證結(jié)果為認(rèn)證成功時(shí)，則在接收到所述STA發(fā)送的動(dòng)態(tài)主機(jī)分配協(xié)議DHCP請(qǐng)求后，將為所述STA分配的IP地址發(fā)送給所述STA，并將所述STA的IP地址加入允許接入城域網(wǎng)的訪問控制列表ACL。?

一種接入控制器AC，該AC包括：空口處理單元和Radius處理單元；?

所述空口處理單元，用于激活對(duì)STA的空口認(rèn)證后，將空口認(rèn)證請(qǐng)求提供給Radius處理單元；在所述Radius處理單元提供的認(rèn)證結(jié)果為認(rèn)證成功時(shí)，授權(quán)所述STA接入無線網(wǎng)絡(luò)；?