技術(shù)領(lǐng)域

本發(fā)明涉及WAPI，具體涉及一種基于WAPI的認(rèn)證系統(tǒng)及方法。

背景技術(shù)

WAPI(WLAN?Authentication?and?Privacy?Infrastructure，無線局域網(wǎng)鑒別與保密基礎(chǔ)架構(gòu))是一種應(yīng)用于WLAN的安全協(xié)議，是由中國提出的具有創(chuàng)新性技術(shù)的標(biāo)準(zhǔn)，解決了目前無線局域網(wǎng)安全機(jī)制存在的漏洞和隱患。

WAPI安全機(jī)制由兩個部分組成：WAI(WLAN?AuthenticationInfrastructure，無線局域網(wǎng)鑒別基礎(chǔ)結(jié)構(gòu))和WPI(WLAN?PrivacyInfrastructure，無線局域網(wǎng)保密基礎(chǔ)架構(gòu))。WAI用于對用戶身份的鑒別，保證了合法用戶訪問合法的網(wǎng)絡(luò)；WPI用于對傳輸數(shù)據(jù)的加密，保證了通信的保密性。WAI利用公鑰密碼體制，利用數(shù)字證書來完成WLAN系統(tǒng)的MT和AP(訪問接入點)之間的相互認(rèn)證，WAI定義了一種名為ASU(Authentication?Service?Unit，鑒別服務(wù)器)的實體，用于管理參與信息交換各方所需要的證書(包括證書的產(chǎn)生、頒發(fā)、吊銷和更新)。證書內(nèi)容包含證書頒發(fā)者(ASU)的公鑰和簽名以及證書持有者的公鑰和簽名(簽名采用的是WAPI特有的橢圓曲線數(shù)字簽名算法)，是網(wǎng)絡(luò)設(shè)備終端MT(MobileTerminal，移動終端)的數(shù)字身份憑證。

WAPI協(xié)議具體的實現(xiàn)包括以下幾個過程：

(1)認(rèn)證激活；當(dāng)MT登陸到AP時，AP向MT發(fā)送認(rèn)證激活，以啟動認(rèn)證過程。

(2)接入認(rèn)證請求；MT向AP發(fā)出認(rèn)證請求，將自己的證書和接入認(rèn)證請求時間發(fā)往AP。

(3)證書認(rèn)證請求；AP收到MT接入認(rèn)證請求后，向ASU發(fā)出認(rèn)證請求。將MT證書、接入認(rèn)證請求時間和AP的證書以及利用AP私鑰對它們的簽名構(gòu)成證書認(rèn)證請求報文信息發(fā)送給ASU。

(4)證書認(rèn)證響應(yīng)；ASU收到AP的認(rèn)證請求后，驗證AP的簽名以及AP和MT證書的合法性。驗證完畢后ASU將MT證書認(rèn)證結(jié)果信息(包括MT證書、認(rèn)證結(jié)果、接入認(rèn)證請求時間和ASU對它們的簽名)、AP證書認(rèn)證結(jié)果信息(包括AP證書、認(rèn)證結(jié)果、接入認(rèn)證請求時間和ASU對它們的簽名)構(gòu)成證書響應(yīng)報文發(fā)回給AP。

(5)接入認(rèn)證響應(yīng)；AP對ASU返回的證書響應(yīng)進(jìn)行驗證，得到MT證書認(rèn)證結(jié)果。AP將MT證書認(rèn)證信息、AP證書認(rèn)證結(jié)果信息以及AP對它們的簽名構(gòu)成接入認(rèn)證響應(yīng)報文發(fā)送至MT。MT驗證ASU的簽名后，得到AP證書的認(rèn)證結(jié)果，MT根據(jù)認(rèn)證結(jié)果決定是否接入該AP。

(6)密鑰協(xié)商；當(dāng)MT和AP的證書都鑒別成功之后，雙方將會進(jìn)行密鑰協(xié)商，然后用協(xié)商的密鑰進(jìn)行通信。

在WAPI中采用了集中化的管理，由單一ASU統(tǒng)一完成證書有效性驗證，同時還擔(dān)任了權(quán)威中心的角色，完成對MT、AP等實體證書的發(fā)放、撤銷和管理等，沒有考慮到ASU在認(rèn)證過程中發(fā)生欺騙的行為和ASU可能會成為系統(tǒng)的瓶頸問題。現(xiàn)有技術(shù)證書的認(rèn)證由單個ASU完成。在一次認(rèn)證過程中，ASU需要進(jìn)行3次簽名驗證和2次簽名，在MT數(shù)量比較大的情況下，會成為系統(tǒng)認(rèn)證的瓶頸。如果ASU被攻擊者控制或者變的不可信，ASU使非法的MT通過認(rèn)證接入網(wǎng)絡(luò)，而合法的MT無法接入網(wǎng)絡(luò)。ASU進(jìn)行惡意的認(rèn)證響應(yīng)行為，任何MT都無法接入網(wǎng)絡(luò)，從而使網(wǎng)絡(luò)陷入癱瘓。

發(fā)明內(nèi)容

本發(fā)明要解決的技術(shù)問題是提供一種基于WAPI的認(rèn)證系統(tǒng)及方法，提高了WAPI認(rèn)證機(jī)制的安全性和效率。

為了解決上述問題，本發(fā)明提供了一種基于無線局域網(wǎng)鑒別與保密基礎(chǔ)架構(gòu)的認(rèn)證方法，包括：當(dāng)訪問接入點和移動終端之間實現(xiàn)證書認(rèn)證時，所述訪問接入點選擇一個或多個鑒別服務(wù)器完成證書的鑒別。

進(jìn)一步地，所述訪問接入點存儲一鑒別服務(wù)器當(dāng)前使用情況表，該使用情況表記錄的各鑒別服務(wù)器的當(dāng)前負(fù)載狀況及是否可用；

所述訪問接入點從可用的鑒別服務(wù)器中選擇當(dāng)前負(fù)載最小的一個或多個鑒別服務(wù)器完成證書的鑒別。

進(jìn)一步地，當(dāng)所述訪問接入點選擇多個鑒別服務(wù)器完成證書的鑒別時，訪問接入點將證書認(rèn)證請求報文發(fā)送至選擇的每個鑒別服務(wù)器，鑒別服務(wù)器均對移動終端的證書進(jìn)行認(rèn)證，并構(gòu)成證書認(rèn)證響應(yīng)報文發(fā)送給訪問接入點；

所述訪問接入點對接收的各證書認(rèn)證響應(yīng)報文進(jìn)行簽名驗證，得到各鑒別服務(wù)器對移動終端證書認(rèn)證結(jié)果，若各鑒別服務(wù)器對移動終端證書認(rèn)證結(jié)果中至少一個正確則允許所述移動終端接入該訪問接入點，若各鑒別服務(wù)器對移動終端證書認(rèn)證結(jié)果均不正確則不允許所述移動終端接入該訪問接入點。