一种多级证书和多种认证模式混合共存接入认证方法和系统

摘要

本发明涉及WAPI、通信接入认证领域，提供一种多级证书和多种认证模式混合共存接入认证方法和系统，本发明系统包括通过网络互相连接的认证服务器AS、WLAN接入设备AP、用户终端STA和证书管理中心CA，本发明方法是当认证服务器AS接收到来自WLAN接入设备AP的证书鉴别请求分组时，首先对终端证书进行解析，取得颁发者证书名称，判断用户终端STA信任的服务器证书，根据用户终端STA证书颁发者名称，确定对用户终端STA证书的合法性进行鉴别；如果颁发者为证书管理中心CA，即为三证书模式，接入认证和漫游方式按照三证书模式进行；如果颁发者为认证服务器AS，即为两证书模式，接入认证和漫游方式按照两证书模式进行。

说明书

技术领域

本发明涉WAPI、通信接入认证领域，更具体而言，涉及通信过程中接入网络时认证文件认证的多级证书和多种认证模式混合共存接入认证方法和系统。

背景技术

WLAN(Wireless Local Access Network，无线局域网)提供了一种高速的无线数据接入服务，WLAN是目前IT行业比较热门的技术之一。无线局域网(WLAN)的基本结构由接入点(AP)、接入控制器(AC)和用户终端(STA)构成。由WLAN的基本结构结合INTERNET或其他网络已有的认证服务器(AS)，用户可以最终实现移动数据的接入服务。

无线局域网(WLAN)具有安装便捷、使用灵活、易于扩展等特点，因此无线局域网得到越来越广泛的应用。由于无线局域网信道开放的特点，用户数据在空中传播时容易被窃取，恶意修改并转发，因此公众WLAN网络安全性是WLAN发展中需要考虑的问题。这些安全性问题，已成为阻碍WLAN进入信息化应用领域的最大障碍。我国在2003年5月份提出了无线局域网国家标准GB15629.11，采用WAPI作为WLAN的的安全机制。无线局域网鉴别与保密基础结构WAPI(WLAN Authentication and Privacy Infrastructure)由无线局域网鉴别基础结构WAI(WLAN Authentication Infrastructure)和无线局域网保密基础结构WPI(WLAN Privacy Infrastructure)组成。其中，WAI采用基于椭圆曲线的公钥证书体制ECC(Elliptic Curve Cryptography)，基于三元结构和对等鉴别的访问控制方法，无线客户端STA和接入点AP通过鉴别服务器AS进行双向身份鉴别。而在对传输数据的保密方面，WPI采用了国家商用密码管理委员会办公室提供的对称密码算法进行加密和解密，充分保障了数据传输的安全。

WAPI与现行的试验项目只支持两证书或者三证书其中的一种，无法达到兼容两种模式共存，同时只能实现单个上级服务器证书对用户证书进行验证。

发明内容

本发明要解决的技术问题是提供一种通信过程中本地接入网络时认证与漫游接入认证中，能够兼容两证书和三证书两种模式方法和系统，同时本发明方法和系统共同兼容多级证书，实现二证书和三证书共存混合的接入认证，以解决两种证书与三种证书的认证兼容问题，提高对各类终端与接入网络设备的支持。

为解决上述技术问题，本发明的技术方案是：

一种多级证书和多种认证模式混合共存接入认证方法，当认证服务器AS接收到来自WLAN接入设备AP的证书鉴别请求分组时，首先对终端证书进行解析，取得颁发者证书名称，判断用户终端STA信任的服务器证书，根据用户终端STA证书颁发者名称，确定对用户终端STA证书的合法性进行鉴别；如果颁发者为证书管理中心CA，即为三证书模式，接入认证和漫游方式按照三证书模式进行；如果颁发者为认证服务器AS，即为两证书模式，接入认证和漫游方式按照两证书模式进行。

上述多级证书和多种认证模式混合共存接入认证方法中：两证书模式下的证书颁发过程是：先由认证服务器AS生成自签名证书，然后给WLAN接入设备AP及用户终端STA颁发证书。

上述多级证书和多种认证模式混合共存接入认证方法中：三证书模式下证书的颁发过程是：由证书管理中心CA为认证服务器AS，WLAN接入设备AP及用户终端STA颁发证书。

本发明实现多级证书和多种认证模式混合共存接入认证方法的系统，包括通过网络互相连接的认证服务器AS、WLAN接入设备AP、用户终端STA和证书管理中心CA，两证书模式下认证服务器AS生成自签名证书后给WLAN接入设备AP及用户终端STA颁发证书，三证书模式下证书管理中心CA为认证服务器AS，WLAN接入设备AP及用户终端STA颁发证书。

上述实现多级证书和多种认证模式混合共存接入认证方法的系统，认证服务器AS包括：

用来接收与发送带有证书数据的分组数据包的数据通讯模块；

用来解析证书信息，提取数据字段进行比较的证书解析模块；

用来验证证书的合法性，实现对用户证书进行验证，并达到用户终端STA和WLAN接入设备AP身份的互相认证的目的的证书验证模块；

根据解析后的证书信息，对证书的颁发者字段内容进行判断收到的用户证书属于哪一个服务器证书所颁发，同时根据服务器证书来判断属于两证书还是三证书模式的证书判断模块。

本发明相对于现有技术的有益效果是：

本发明既实现两证书与三证书模式共存混合的接入认证，也实现多级服务器证书认证，本发明系统简单、方便、可靠。

附图说明

图1应用架构示意图

图2两证书模式证书颁发；

图3三证书模式证书颁发；

图4认证服务器AS系统框架示意图；

图5证书鉴别过程序列图；

图6多级多种证书和多种认证模式共存接入认证方法的验证过程的流程图。

具体实施方式

下面结合附图通过具体实施方式对本发明作进一步详细的说明。

本发明实现多级证书和多种认证模式混合共存接入认证方法的系统包括如下设备：

WLAN接入设备(AP)，用于向认证服务器(AS)发送证书鉴别请求分组，该证书鉴别请求分组包括AP和用户终端(STA)的证书。

认证服务器(AS)，用于接收证明书鉴别请求分组，鉴别AP的合法性；判断STA的证书是否为本地证书，属于哪一个级别证书和两证书模式还是三证书模式。

用户终端(STA)，装有本身证书，及信任服务器证书，用于向AP发起接入鉴别请求分组数据包，进行接入认证；

证书管理中心(CA)，提供证书颁发、证书吊销等证书管理功能；在三证书模式下存在，如果属于两证书情况，证书管理功能由AS本身自管理。

参见图1，应用流程描述如下：

1)证书管理系统为AS签发证书(AS设备证书)；

2)证书管理系统为WLAN接入设备签发证书(WLAN设备证书)；

3)证书管理系统为用户终端签发证书(用户终端证书)；

4)用户终端和WLAN接入设备的证书通过AS进行相互认证；

5)用户终端通过WLAN接入设备访问网络，并在空中接口实现数据加密。

参见图2和图3，图2给出了两证书模式下的证书颁发过程，首先由AS系统生成自签名证书，然后给WLAN接入设备AP及用户终端STA颁发证书。

图3给出了三证书模式下证书的颁发过程，由证书管理中心CA为认证服务器AS，WLAN接入设备AP及用户终端STA颁发证书。

由图2和图3所描述的过程可以看出两证书体系的AS认证服务器同时具有三证书模式下的认证服务器AS的证书鉴别及证书颁发功能。即两证书体系下，认证服务器AS除了具有鉴别证书的功能外，同时还兼具管理证书的功能；而三证书体系下，认证服务器AS只提供鉴别服务功能，证书颁发功能由证书管理中心CA机构执行。

本发明多级证书和多种认证模式混合共存接入认证方法是：当认证服务器AS接收到来自WLAN接入设备AP的证书鉴别请求分组时，首先对终端证书进行解析，取得颁发者证书名称，判断用户终端STA信任的服务器证书，根据用户终端STA证书颁发者名称，确定对用户终端STA证书的合法性进行鉴别；如果颁发者为证书管理中心CA，即为三证书模式，接入认证和漫游方式按照三证书模式进行；如果颁发者为认证服务器AS，即为两证书模式，接入认证和漫游方式按照两证书模式进行。

图4是本发明的AS服务器的系统框架图，包括数据通讯模块401、证书解析模块402、证书验证模块403、证书判断模块404。

数据通讯模块401用来接收与发送带有证书数据的分组数据包；

证书解析模块402用来解析证书信息，提取数据字段进行比较；

证书验证模块403用来验证证书的合法性，实现对用户证书进行验证，并达到STA终端用户和WLAN接入设备身份的互相认证的目的；

证书判断模块404根据解析后的证书信息，对证书的颁发者字段内容进行判断收到的用户证书属于哪一个服务器证书所颁发，同时根据服务器证书来判断属于两证书还是三证书模式。

参见图5，

1、证书鉴别过程，其中，鉴别服务单元ASU是基于公钥密码技术的WAI鉴别基础结构中重要的组成部分，它的基本功能是实现对用户终端证书的有效鉴别，通过ASU完成STA与AP的双向身份鉴别。AP提供STA连接到ASU的端口，确保只有鉴别成功的STA才能使用AP提供的数据端口访问网络，STA提供通过AP连接到ASU的端口，确保只有AP鉴别成功，STA才能使用数据端口收发数据。

如图5，AP向用户终端STA发送“鉴别激活”，用户终端STA将自己的证书和当前时间发送到AP，当AP发现STA提交的“接入鉴别请求”时，AP将STA提交的证书，时间以及自己的证书添加到消息中，并用自己的私钥进行签名作为“证书鉴别请求”，发送给ASU，通过ASU相互认证对方。其中两证书模式下STA端需存储认证服务器AS证书，以及认证服务器AS颁发的STA证书；AP端需存储认证服务器AS证书及认证服务器AS颁发的AP证书；三证书模式下STA端存储证书颁发中心CA证书，CA颁发的认证服务器AS证书，及CA颁发的STA证书；AP端需存储证书颁发中心CA证书，认证服务器AS证书，及CA颁发的AP证书。如需漫游，ASU则向漫游AS或者直接信任AS发送漫游证书鉴别请求，进行漫游处理。

ASU收到“证书鉴别请求”，经ASU“证书服务确认”确认后，进行“证书验证”，若验证成功，则继续进行“模式确认”，确认是两证书还是三证书模式，最后向AP发送“证书鉴别响应”，其中包括：用户终端STA证书的鉴别结果、WLAN接入设备证书的鉴别结果，并加上ASU签名。验证过程除了对证书的合法性进行验证外，对STA需要启动数字签名。

若AP请求通过ASU验证，ASU则向WLAN接入设备发出“证书鉴别响应”。其中包括：用户终端证书的鉴别结果，AP证书的鉴别结果，ASU的签名。

AP收到“证书鉴别响应“后向STA发出“接入鉴别响应”，也同样包括：用户终端证书的鉴别结果，AP证书的鉴别结果，ASU的签名。此时STA终端和WLAN接入设备AP相互认证过程完成，并在互相认证成功的基础上进行密钥协商。证书鉴别的安全性会直接延续到密钥协商过程，所以证书鉴别至关重要。

2、单播密钥协商过程：密钥协商是建立在上一步的证书鉴别基础之上。

WLAN接入设备AP向STA终端发出“单播密钥协商请求”，等待STA终端回应。由WLAN接入设备AP发起密钥协商请求，在一定程度上避免了假冒STA终端对WLAN资源造成的浪费。

STA终端向WLAN接入设备发出“单播密钥协商响应”，等待WLAN设备确认。

WLAN接入设备AP向STA终端发出“单播密钥协商确认”信号，用于对STA终端与WLAN接入设备之间已有会话密钥进行确认。

3、在上述单播密钥协商过程的基础上，进行组播密钥通告过程：

单播密钥协商成功后，AP向STA发起“组播密钥通告”，等待组播用户STA的回应。

组播用户STA发出“组播密钥响应”。

参见图6，多级多种证书和多种认证模式共存接入认证方法的验证过程：

1)验证设备AS接到证书鉴别请求分组数据包。此数据包包含的是证书信息。以数据包的形式传送到验证服务器端。

2)验证端AS解析数据包，提取出终端证书。此步中将数据包中的证书提取出来。

3)采用解析证书的方式解析每张证书，读取并记录颁发者字段。颁发者字段为认证服务器AS则将证书归类到两证书验证模式下；颁发者为证书颁发中心CA则将证书归类到三证书验证模式下。

4)根据3)得到的鉴别结果，确认接入认证服务器级别，即确认是属于两证书体系还是三证书体系。

5)将区分开的证书分别放到对应的证书鉴别与漫游系统下进行鉴别处理。验证成功则提供接入及漫游服务，验证失败则拒绝服务。

在接到验证证书数据包之前两种证书验证模式(两证书和三证书体系)都存储相应的根证书。即两证书模式下存储的是AS根证书，三证书模式下存储的是CA根证书。