技術(shù)領(lǐng)域

本發(fā)明涉及WAPI，具體涉及一種基于WAPI的認(rèn)證系統(tǒng)及方法。

背景技術(shù)

WAPI(WLAN?Authentication?and?Privacy?Infrastructure，無線局域網(wǎng)鑒別與保密基礎(chǔ)架構(gòu))是一種應(yīng)用于WLAN的安全協(xié)議，是由中國(guó)提出的具有創(chuàng)新性技術(shù)的標(biāo)準(zhǔn)，解決了目前無線局域網(wǎng)安全機(jī)制存在的漏洞和隱患。

WAPI安全機(jī)制由兩個(gè)部分組成：WAI(WLAN?AuthenticationInfrastructure，無線局域網(wǎng)鑒別基礎(chǔ)結(jié)構(gòu))和WPI(WLAN?PrivacyInfrastructure，無線局域網(wǎng)保密基礎(chǔ)架構(gòu))。WAI用于對(duì)用戶身份的鑒別，保證了合法用戶訪問合法的網(wǎng)絡(luò)；WPI用于對(duì)傳輸數(shù)據(jù)的加密，保證了通信的保密性。WAI利用公鑰密碼體制，利用數(shù)字證書來完成WLAN系統(tǒng)的MT和AP(訪問接入點(diǎn))之間的相互認(rèn)證，WAI定義了一種名為ASU(Authentication?Service?Unit，鑒別服務(wù)器)的實(shí)體，用于管理參與信息交換各方所需要的證書(包括證書的產(chǎn)生、頒發(fā)、吊銷和更新)。證書內(nèi)容包含證書頒發(fā)者(ASU)的公鑰和簽名以及證書持有者的公鑰和簽名(簽名采用的是WAPI特有的橢圓曲線數(shù)字簽名算法)，是網(wǎng)絡(luò)設(shè)備終端MT(MobileTerminal，移動(dòng)終端)的數(shù)字身份憑證。

WAPI協(xié)議具體的實(shí)現(xiàn)包括以下幾個(gè)過程：

(1)認(rèn)證激活；當(dāng)MT登陸到AP時(shí)，AP向MT發(fā)送認(rèn)證激活，以啟動(dòng)認(rèn)證過程。

(2)接入認(rèn)證請(qǐng)求；MT向AP發(fā)出認(rèn)證請(qǐng)求，將自己的證書和接入認(rèn)證請(qǐng)求時(shí)間發(fā)往AP。

(3)證書認(rèn)證請(qǐng)求；AP收到MT接入認(rèn)證請(qǐng)求后，向ASU發(fā)出認(rèn)證請(qǐng)求。將MT證書、接入認(rèn)證請(qǐng)求時(shí)間和AP的證書以及利用AP私鑰對(duì)它們的簽名構(gòu)成證書認(rèn)證請(qǐng)求報(bào)文信息發(fā)送給ASU。

(4)證書認(rèn)證響應(yīng)；ASU收到AP的認(rèn)證請(qǐng)求后，驗(yàn)證AP的簽名以及AP和MT證書的合法性。驗(yàn)證完畢后ASU將MT證書認(rèn)證結(jié)果信息(包括MT證書、認(rèn)證結(jié)果、接入認(rèn)證請(qǐng)求時(shí)間和ASU對(duì)它們的簽名)、AP證書認(rèn)證結(jié)果信息(包括AP證書、認(rèn)證結(jié)果、接入認(rèn)證請(qǐng)求時(shí)間和ASU對(duì)它們的簽名)構(gòu)成證書響應(yīng)報(bào)文發(fā)回給AP。

(5)接入認(rèn)證響應(yīng)；AP對(duì)ASU返回的證書響應(yīng)進(jìn)行驗(yàn)證，得到MT證書認(rèn)證結(jié)果。AP將MT證書認(rèn)證信息、AP證書認(rèn)證結(jié)果信息以及AP對(duì)它們的簽名構(gòu)成接入認(rèn)證響應(yīng)報(bào)文發(fā)送至MT。MT驗(yàn)證ASU的簽名后，得到AP證書的認(rèn)證結(jié)果，MT根據(jù)認(rèn)證結(jié)果決定是否接入該AP。

(6)密鑰協(xié)商；當(dāng)MT和AP的證書都鑒別成功之后，雙方將會(huì)進(jìn)行密鑰協(xié)商，然后用協(xié)商的密鑰進(jìn)行通信。

在WAPI中采用了集中化的管理，由單一ASU統(tǒng)一完成證書有效性驗(yàn)證，同時(shí)還擔(dān)任了權(quán)威中心的角色，完成對(duì)MT、AP等實(shí)體證書的發(fā)放、撤銷和管理等，沒有考慮到ASU在認(rèn)證過程中發(fā)生欺騙的行為和ASU可能會(huì)成為系統(tǒng)的瓶頸問題。現(xiàn)有技術(shù)證書的認(rèn)證由單個(gè)ASU完成。在一次認(rèn)證過程中，ASU需要進(jìn)行3次簽名驗(yàn)證和2次簽名，在MT數(shù)量比較大的情況下，會(huì)成為系統(tǒng)認(rèn)證的瓶頸。如果ASU被攻擊者控制或者變的不可信，ASU使非法的MT通過認(rèn)證接入網(wǎng)絡(luò)，而合法的MT無法接入網(wǎng)絡(luò)。ASU進(jìn)行惡意的認(rèn)證響應(yīng)行為，任何MT都無法接入網(wǎng)絡(luò)，從而使網(wǎng)絡(luò)陷入癱瘓。

發(fā)明內(nèi)容

本發(fā)明要解決的技術(shù)問題是提供一種基于WAPI的認(rèn)證系統(tǒng)及方法，提高了WAPI認(rèn)證機(jī)制的安全性和效率。

為了解決上述問題，本發(fā)明提供了一種基于無線局域網(wǎng)鑒別與保密基礎(chǔ)架構(gòu)的認(rèn)證方法，包括：當(dāng)訪問接入點(diǎn)和移動(dòng)終端之間實(shí)現(xiàn)證書認(rèn)證時(shí)，所述訪問接入點(diǎn)選擇一個(gè)或多個(gè)鑒別服務(wù)器完成證書的鑒別。

進(jìn)一步地，所述訪問接入點(diǎn)存儲(chǔ)一鑒別服務(wù)器當(dāng)前使用情況表，該使用情況表記錄的各鑒別服務(wù)器的當(dāng)前負(fù)載狀況及是否可用；

所述訪問接入點(diǎn)從可用的鑒別服務(wù)器中選擇當(dāng)前負(fù)載最小的一個(gè)或多個(gè)鑒別服務(wù)器完成證書的鑒別。

進(jìn)一步地，當(dāng)所述訪問接入點(diǎn)選擇多個(gè)鑒別服務(wù)器完成證書的鑒別時(shí)，訪問接入點(diǎn)將證書認(rèn)證請(qǐng)求報(bào)文發(fā)送至選擇的每個(gè)鑒別服務(wù)器，鑒別服務(wù)器均對(duì)移動(dòng)終端的證書進(jìn)行認(rèn)證，并構(gòu)成證書認(rèn)證響應(yīng)報(bào)文發(fā)送給訪問接入點(diǎn)；

所述訪問接入點(diǎn)對(duì)接收的各證書認(rèn)證響應(yīng)報(bào)文進(jìn)行簽名驗(yàn)證，得到各鑒別服務(wù)器對(duì)移動(dòng)終端證書認(rèn)證結(jié)果，若各鑒別服務(wù)器對(duì)移動(dòng)終端證書認(rèn)證結(jié)果中至少一個(gè)正確則允許所述移動(dòng)終端接入該訪問接入點(diǎn)，若各鑒別服務(wù)器對(duì)移動(dòng)終端證書認(rèn)證結(jié)果均不正確則不允許所述移動(dòng)終端接入該訪問接入點(diǎn)。