專(zhuān)利名稱(chēng):安全訪問(wèn)wapi網(wǎng)絡(luò)的方法���、裝置及系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及到通信領(lǐng)域�����,特別涉及到一種安全訪問(wèn)WAPI網(wǎng)絡(luò)的方法��、裝置及系 統(tǒng)�。
背景技術(shù):
無(wú)線局域網(wǎng)�,簡(jiǎn)稱(chēng)WLAN�,使用 WAPI (Wireless LANAuthentication and Privacy Infrastructure)協(xié)議�����,是采用無(wú)線傳輸媒體的計(jì)算機(jī)網(wǎng)絡(luò)�。由于無(wú)線局域網(wǎng)具有安裝 方便,靈活性好����,經(jīng)濟(jì)節(jié)約和易于擴(kuò)展等優(yōu)點(diǎn),最近幾年其發(fā)展非常迅速�����,已經(jīng)由最初的 802. 11,802. Ilb等協(xié)議發(fā)展到今天的802. lln�����,傳輸速度可以達(dá)到100M以上�。隨著技術(shù)不 斷成熟�,產(chǎn)品成本不斷下降,無(wú)線局域網(wǎng)的應(yīng)用越來(lái)越多����,范圍越來(lái)越廣,使廣大人民享受 到便捷、簡(jiǎn)單�、方便的網(wǎng)絡(luò)服務(wù)。特別是無(wú)線數(shù)字家庭網(wǎng)絡(luò)�����,用戶隨時(shí)隨地可以通過(guò)無(wú)線局 域網(wǎng)訪問(wèn)互聯(lián)網(wǎng)等資源�。然而,無(wú)線局域網(wǎng)在給大家?guī)?lái)便利的同時(shí)����,也存在安全缺陷,在 現(xiàn)有技術(shù)中��,無(wú)線局域網(wǎng)一般都沒(méi)有采用任何信息安全保護(hù)措施��,容易受到攻擊���。
發(fā)明內(nèi)容
本發(fā)明的主要目的為提供一種安全訪問(wèn)WAPI網(wǎng)絡(luò)的方法����、裝置及系統(tǒng)��,通過(guò)雙重 認(rèn)證�,提高WAPI網(wǎng)絡(luò)訪問(wèn)的安全性�����。本發(fā)明提出一種安全訪問(wèn)WAPI網(wǎng)絡(luò)的方法��,包括WAPI網(wǎng)絡(luò)的無(wú)線訪問(wèn)節(jié)點(diǎn)AP根據(jù)源終端發(fā)送的認(rèn)證請(qǐng)求���,對(duì)源終端進(jìn)行認(rèn)證;當(dāng)認(rèn)證通過(guò)時(shí)����,所述源終端向AP發(fā)送和目標(biāo)終端進(jìn)行會(huì)話的會(huì)話請(qǐng)求;AP根據(jù)所述會(huì)話請(qǐng)求����,對(duì)目標(biāo)終端進(jìn)行認(rèn)證;當(dāng)認(rèn)證通過(guò)時(shí)�,AP允許源終端接入目標(biāo)終端�。優(yōu)選地,所述WAPI網(wǎng)絡(luò)的AP根據(jù)源終端發(fā)送的認(rèn)證請(qǐng)求����,對(duì)源終端進(jìn)行認(rèn)證包 括當(dāng)源終端遠(yuǎn)程訪問(wèn)AP時(shí)�����,移動(dòng)通訊網(wǎng)絡(luò)的AAA服務(wù)器根據(jù)源終端發(fā)送的認(rèn)證請(qǐng) 求���,對(duì)源終端進(jìn)行認(rèn)證;當(dāng)認(rèn)證通過(guò)時(shí)���,源終端向AAA服務(wù)器發(fā)送和AP進(jìn)行會(huì)話的WLAN訪問(wèn)請(qǐng)求��;AAA服務(wù)器根據(jù)所述WLAN訪問(wèn)請(qǐng)求和源終端的WLAN訪問(wèn)權(quán)限��,對(duì)AP進(jìn)行認(rèn)證����;當(dāng)認(rèn)證通過(guò)時(shí)����,AAA服務(wù)器允許源終端接入AP。優(yōu)選地����,在執(zhí)行所述AP允許源終端接入目標(biāo)終端之后,還包括源終端和目標(biāo)終端進(jìn)行會(huì)話協(xié)商�。本發(fā)明還提出一種終端,包括認(rèn)證請(qǐng)求模塊�,用于向WAPI網(wǎng)絡(luò)的無(wú)線訪問(wèn)節(jié)點(diǎn)AP發(fā)送認(rèn)證請(qǐng)求���;會(huì)話請(qǐng)求模塊,用于當(dāng)AP認(rèn)證通過(guò)時(shí)��,向AP發(fā)送和目標(biāo)終端進(jìn)行會(huì)話的會(huì)話請(qǐng) 求�����,以便AP根據(jù)該會(huì)話請(qǐng)求對(duì)目標(biāo)終端進(jìn)行認(rèn)證�,并在認(rèn)證通過(guò)后允許本端接入目標(biāo)終端。
優(yōu)選地���,所述終端還包括會(huì)話協(xié)商模塊�����,用于在AP允許本端接入目標(biāo)終端之后���,和目標(biāo)終端進(jìn)行會(huì)話協(xié) 商。本發(fā)明還提出一種終端����,包括接收請(qǐng)求模塊�,用于接收WAPI網(wǎng)絡(luò)的無(wú)線訪問(wèn)節(jié)點(diǎn)AP發(fā)送的鑒別激活請(qǐng)求�;發(fā)送模塊�,用于根據(jù)所述鑒別激活請(qǐng)求發(fā)送認(rèn)證請(qǐng)求,以便AP對(duì)本端進(jìn)行認(rèn)證�����, 并在認(rèn)證通過(guò)后允許源終端接入本端��。優(yōu)選地�����,所述終端還包括會(huì)話協(xié)商模塊�,用于在AP允許源終端接入本端之后,和源終端進(jìn)行會(huì)話協(xié)商���。本發(fā)明還提出一種WAPI網(wǎng)絡(luò)的無(wú)線訪問(wèn)節(jié)點(diǎn)AP��,包括第一認(rèn)證模塊�����,用于根據(jù)源終端發(fā)送的認(rèn)證請(qǐng)求�,對(duì)源終端進(jìn)行認(rèn)證��;接收模塊,用于對(duì)源終端認(rèn)證通過(guò)后����,接收源終端發(fā)送和目標(biāo)終端進(jìn)行會(huì)話的會(huì) 話請(qǐng)求;第二認(rèn)證模塊����,用于根據(jù)所述會(huì)話請(qǐng)求,對(duì)目標(biāo)終端進(jìn)行認(rèn)證��;接入模塊���,用于當(dāng)認(rèn)證通過(guò)時(shí)���,允許源終端接入目標(biāo)終端。本發(fā)明還提出一種安全訪問(wèn)WAPI網(wǎng)絡(luò)的系統(tǒng)����,包括源終端、目標(biāo)終端和WAPI網(wǎng)絡(luò) 的無(wú)線訪問(wèn)節(jié)點(diǎn)AP�����,其中�����,所述AP���,用于根據(jù)源終端發(fā)送的認(rèn)證請(qǐng)求�����,對(duì)源終端進(jìn)行認(rèn)證����;以及當(dāng)對(duì)源終端 認(rèn)證通過(guò)后�����,接收源終端發(fā)送和目標(biāo)終端進(jìn)行會(huì)話的會(huì)話請(qǐng)求�,根據(jù)所述會(huì)話請(qǐng)求,對(duì)目標(biāo) 終端進(jìn)行認(rèn)證��;以及當(dāng)對(duì)目標(biāo)終端認(rèn)證通過(guò)時(shí)�,允許源終端接入目標(biāo)終端。所述源終端�����,用于向AP發(fā)送認(rèn)證請(qǐng)求;以及當(dāng)AP認(rèn)證通過(guò)時(shí)���,向AP發(fā)送和目標(biāo)終 端進(jìn)行會(huì)話的會(huì)話請(qǐng)求����,以便AP根據(jù)該會(huì)話請(qǐng)求對(duì)目標(biāo)終端進(jìn)行認(rèn)證���,并在認(rèn)證通過(guò)后允 許本端接入目標(biāo)終端�����。所述目標(biāo)終端����,用于接收AP發(fā)送的鑒別激活請(qǐng)求��;以及根據(jù)所述鑒別激活請(qǐng)求發(fā) 送認(rèn)證請(qǐng)求���,以便AP對(duì)本端進(jìn)行認(rèn)證��,并在認(rèn)證通過(guò)后允許源終端接入本端�����。優(yōu)選地�,所述源終端包括認(rèn)證請(qǐng)求模塊,用于向WAPI網(wǎng)絡(luò)的無(wú)線訪問(wèn)節(jié)點(diǎn)AP發(fā)送認(rèn)證請(qǐng)求��;會(huì)話請(qǐng)求模塊�����,用于當(dāng)AP認(rèn)證通過(guò)時(shí)���,向AP發(fā)送和目標(biāo)終端進(jìn)行會(huì)話的會(huì)話請(qǐng) 求,以便AP根據(jù)該會(huì)話請(qǐng)求對(duì)目標(biāo)終端進(jìn)行認(rèn)證��,并在認(rèn)證通過(guò)后允許本端接入目標(biāo)終端����。優(yōu)選地,所述源終端還包括會(huì)話協(xié)商模塊�,用于在AP允許本端接入目標(biāo)終端之后,和目標(biāo)終端進(jìn)行會(huì)話協(xié) 商���。所述目標(biāo)終端包括接收請(qǐng)求模塊����,用于接收WAPI網(wǎng)絡(luò)的無(wú)線訪問(wèn)節(jié)點(diǎn)AP發(fā)送的鑒別激活請(qǐng)求;發(fā)送模塊���,用于根據(jù)所述鑒別激活請(qǐng)求發(fā)送認(rèn)證請(qǐng)求���,以便AP對(duì)本端進(jìn)行認(rèn)證, 并在認(rèn)證通過(guò)后允許源終端接入本端��。優(yōu)選地�,所述目標(biāo)終端還包括會(huì)話協(xié)商模塊,用于在AP允許源終端接入本端之后���,和源終端進(jìn)行會(huì)話協(xié)商���。
所述AP包括第一認(rèn)證模塊,用于根據(jù)源終端發(fā)送的認(rèn)證請(qǐng)求�,對(duì)源終端進(jìn)行認(rèn)證;接收模塊��,用于對(duì)源終端認(rèn)證通過(guò)后�����,接收源終端發(fā)送和目標(biāo)終端進(jìn)行會(huì)話的會(huì) 話請(qǐng)求;第二認(rèn)證模塊�,用于根據(jù)所述會(huì)話請(qǐng)求,對(duì)目標(biāo)終端進(jìn)行認(rèn)證�;接入模塊,用于當(dāng)認(rèn)證通過(guò)時(shí)�,允許源終端接入目標(biāo)終端。本發(fā)明提出的一種安全訪問(wèn)WAPI網(wǎng)絡(luò)的方法�����、裝置及系統(tǒng)��,通過(guò)對(duì)源終端和目標(biāo) 終端的雙重認(rèn)證����,不僅可以保證接入過(guò)程中兩個(gè)終端和無(wú)線訪問(wèn)節(jié)點(diǎn)(Access Point, AP) 之間的身份安全性��,而且還可以保證源終端和被訪問(wèn)的目標(biāo)終端之間���、AP和終端之間會(huì)話 的數(shù)據(jù)保密性����,確保本地?zé)o線局域網(wǎng)的安全��。
圖1為本發(fā)明一種安全訪問(wèn)WAPI網(wǎng)絡(luò)的方法一實(shí)施例的流程示意圖;圖2為本發(fā)明一種安全訪問(wèn)WAPI網(wǎng)絡(luò)的方法一實(shí)施例的系統(tǒng)架構(gòu)圖��;圖3為本發(fā)明一種安全訪問(wèn)WAPI網(wǎng)絡(luò)的方法一實(shí)施例的信令示意圖��;圖4為本發(fā)明一種安全訪問(wèn)WAPI網(wǎng)絡(luò)的方法一實(shí)施例中遠(yuǎn)程訪問(wèn)的流程示意 圖�;圖5為本發(fā)明一種安全訪問(wèn)WAPI網(wǎng)絡(luò)的方法一實(shí)施例中遠(yuǎn)程訪問(wèn)的信令示意 圖;圖6為本發(fā)明一種安全訪問(wèn)WAPI網(wǎng)絡(luò)的方法又一實(shí)施例的流程示意圖���;圖7為本發(fā)明一種終端一實(shí)施例的結(jié)構(gòu)示意圖��;圖8為本發(fā)明一種終端又一實(shí)施例的結(jié)構(gòu)示意圖�����;圖9為本發(fā)明另一終端一實(shí)施例的結(jié)構(gòu)示意圖����;圖10為本發(fā)明另一終端又一實(shí)施例的結(jié)構(gòu)示意圖�����;圖11為本發(fā)明AP —實(shí)施例的結(jié)構(gòu)示意圖�����;圖12為本發(fā)明一種安全訪問(wèn)WAPI網(wǎng)絡(luò)的系統(tǒng)一實(shí)施例的結(jié)構(gòu)示意圖。本發(fā)明目的的實(shí)現(xiàn)��、功能特點(diǎn)及優(yōu)點(diǎn)將結(jié)合實(shí)施例����,參照附圖做進(jìn)一步說(shuō)明。
具體實(shí)施例方式應(yīng)當(dāng)理解���,此處所描述的具體實(shí)施例僅僅用以解釋本發(fā)明�����,并不用于限定本發(fā)明。參照?qǐng)D1至圖3����,提出本發(fā)明一種安全訪問(wèn)WAPI網(wǎng)絡(luò)的方法一實(shí)施例,包括S10, AP根據(jù)源終端發(fā)送的認(rèn)證請(qǐng)求����,對(duì)源終端進(jìn)行認(rèn)證;本實(shí)施例中的無(wú)線局域網(wǎng)可以是無(wú)線家庭數(shù)字網(wǎng)絡(luò)��,即一般意義上的家庭網(wǎng)絡(luò)�����, 例如用戶可以通過(guò)無(wú)線局域網(wǎng)操作和管理家電系統(tǒng)以及獲取門(mén)窗煤氣管道等的安全狀態(tài)。 圖2所示為整個(gè)無(wú)線局域網(wǎng)的結(jié)構(gòu)����,用戶可使用計(jì)算機(jī)或手機(jī)等移動(dòng)終端接入無(wú)線局域 網(wǎng),訪問(wèn)網(wǎng)絡(luò)資源��,即操作和管理本地網(wǎng)絡(luò)的各節(jié)點(diǎn)��。其中��,網(wǎng)絡(luò)中心包括AP�,訪問(wèn)無(wú)線局域 網(wǎng)的移動(dòng)終端或者計(jì)算機(jī)以及無(wú)線局域網(wǎng)中的各節(jié)點(diǎn)均作為終端,這些元素組成了有結(jié)構(gòu) 的無(wú)線局域網(wǎng)�。當(dāng)源終端訪問(wèn)無(wú)線局域網(wǎng)的目標(biāo)終端時(shí),源終端向AP發(fā)送認(rèn)證請(qǐng)求即接入鑒別請(qǐng)求����,同時(shí)將自己的證書(shū)發(fā)送給AP進(jìn)行認(rèn)證,AP對(duì)源終端的證書(shū)進(jìn)行認(rèn)證��,具體可以通過(guò) 與AP連接的認(rèn)證服務(wù)器AS進(jìn)行認(rèn)證AP將源終端的證書(shū)以及AP自己的證書(shū)放入證書(shū)鑒 別請(qǐng)求中�,發(fā)送到AS進(jìn)行證書(shū)鑒別,AS首先鑒別AP的證書(shū)是否有效,如果有效則繼續(xù)驗(yàn)證 源終端的證書(shū)���。驗(yàn)證完畢后��,AS將驗(yàn)證結(jié)果放入證書(shū)鑒別響應(yīng)中�����,并將該證書(shū)鑒別響應(yīng)發(fā) 回至AP���。AP通過(guò)證書(shū)鑒別響應(yīng)中AS的簽名,得到對(duì)源終端的證書(shū)鑒別結(jié)果��,根據(jù)該結(jié)果決 定對(duì)源終端的認(rèn)證是否通過(guò)�����,同時(shí)��,將該證書(shū)鑒別響應(yīng)發(fā)至源終端����。源終端根據(jù)該證書(shū)鑒別 響應(yīng)決定是否接入AP�,證書(shū)鑒別成功后,源終端和AP之間進(jìn)行會(huì)話密鑰協(xié)商首先由源終 端在本地生成密鑰參數(shù)放入密鑰協(xié)商請(qǐng)求中,并將密鑰協(xié)商請(qǐng)求發(fā)送至AP�,AP收到源終端 發(fā)送的密鑰協(xié)商請(qǐng)求,根據(jù)密鑰協(xié)商請(qǐng)求中源終端的密鑰參數(shù)�����,將本地生成的密鑰參數(shù)放 入密鑰協(xié)商響應(yīng)中反饋至源終端�,源終端收到密鑰協(xié)商響應(yīng)后,根據(jù)其中AP的密鑰參數(shù)并 結(jié)合源終端本地的密鑰參數(shù)��,生成會(huì)話密鑰����,該會(huì)話密鑰僅適于源終端和AP。S11���、當(dāng)認(rèn)證通過(guò)時(shí)���,所述源終端向AP發(fā)送和目標(biāo)終端進(jìn)行會(huì)話的會(huì)話請(qǐng)求;當(dāng)AP對(duì)源終端認(rèn)證通過(guò)后���,即源終端和AP進(jìn)行會(huì)話密鑰協(xié)商后���,源終端根據(jù)需要 向AP發(fā)送和目標(biāo)終端例如無(wú)線局域網(wǎng)內(nèi)的設(shè)備(微波爐等)進(jìn)行會(huì)話的會(huì)話請(qǐng)求。S12、AP根據(jù)所述會(huì)話請(qǐng)求���,對(duì)目標(biāo)終端進(jìn)行認(rèn)證�����;AP根據(jù)源終端發(fā)送的會(huì)話請(qǐng)求�����,對(duì)目標(biāo)終端進(jìn)行認(rèn)證���,認(rèn)證過(guò)程如下Ap根據(jù)會(huì) 話請(qǐng)求,向目標(biāo)終端如微波爐發(fā)送鑒別激活請(qǐng)求�����,開(kāi)啟AP對(duì)目標(biāo)終端的認(rèn)證�,目標(biāo)終端收 到AP發(fā)來(lái)的鑒別激活請(qǐng)求后,將自己的證書(shū)放入認(rèn)證請(qǐng)求�,發(fā)送到AP,由AP對(duì)目標(biāo)終端進(jìn) 行認(rèn)證����,該認(rèn)證過(guò)程同AP對(duì)源終端的認(rèn)證過(guò)程。S13��、當(dāng)認(rèn)證通過(guò)時(shí)�,AP允許源終端接入目標(biāo)終端。當(dāng)AP對(duì)目標(biāo)終端認(rèn)證通過(guò)后�,此時(shí)源終端與AP之間,AP與目標(biāo)終端之間的安全 鏈路已經(jīng)建立����。AP允許源終端接入目標(biāo)終端。本實(shí)施例中��,通過(guò)對(duì)源終端和目標(biāo)終端的雙重認(rèn)證�,不僅可以保證接入過(guò)程中兩 個(gè)終端和AP之間的身份安全性,而且還可以保證源終端和被訪問(wèn)的目標(biāo)終端之間�、AP和終 端之間會(huì)話的數(shù)據(jù)保密性,確保本地?zé)o線局域網(wǎng)的安全�。參照?qǐng)D4、圖5���,在一種安全訪問(wèn)WAPI網(wǎng)絡(luò)的方法一實(shí)施例中�����,步驟SlO可包括步驟S101�、當(dāng)源終端遠(yuǎn)程訪問(wèn)AP時(shí),移動(dòng)通訊網(wǎng)絡(luò)的AAA服務(wù)器根據(jù)源終端發(fā)送 的認(rèn)證請(qǐng)求�,對(duì)源終端進(jìn)行認(rèn)證;當(dāng)源終端遠(yuǎn)程訪問(wèn)AP時(shí)����,需要在AP中嵌入移動(dòng)通信網(wǎng)絡(luò)模塊如3G模塊,通過(guò)該 模塊AP可以接入移動(dòng)通信網(wǎng)絡(luò)���。源終端遠(yuǎn)程訪問(wèn)無(wú)線局域網(wǎng)���,需要首先和無(wú)線局域網(wǎng)的AP建立安全連接,即通過(guò) 建立一條安全隧道����,在該隧道下運(yùn)行WAPI協(xié)議,訪問(wèn)無(wú)線局域網(wǎng)中的目標(biāo)終端�。因此,遠(yuǎn)程 訪問(wèn)無(wú)線局域網(wǎng)的重點(diǎn)在源終端和AP之間安全隧道的建立過(guò)程����,本文中以3GPP EAP-AKA 的安全協(xié)議進(jìn)行隧道建立為例進(jìn)行說(shuō)明。具體步驟如下源終端通過(guò)本地的接入網(wǎng)訪問(wèn)移動(dòng)通信網(wǎng)絡(luò)�,向核心網(wǎng)的AAA服務(wù)器發(fā)送認(rèn)證請(qǐng) 求。AAA服務(wù)器與HLR進(jìn)行交互���,獲取當(dāng)前會(huì)話的認(rèn)證向量����。AAA服務(wù)器根據(jù)此認(rèn)證向量對(duì)源終端進(jìn)行認(rèn)證���,并協(xié)商二者之間的會(huì)話密鑰���。認(rèn)證 通過(guò)后發(fā)送接入鑒別響應(yīng)給源終端。此時(shí)����,源終端和AAA服務(wù)器建立了安全鏈路。
步驟S102�����、當(dāng)認(rèn)證通過(guò)時(shí)����,源終端向AAA服務(wù)器發(fā)送和AP進(jìn)行會(huì)話的WLAN訪問(wèn)請(qǐng) 求;認(rèn)證通過(guò)后���,源終端發(fā)送WLAN訪問(wèn)請(qǐng)求給AAA服務(wù)器���,請(qǐng)求和無(wú)線局域網(wǎng)的AP進(jìn) 行會(huì)話��。步驟S103�、AAA服務(wù)器根據(jù)所述WLAN訪問(wèn)請(qǐng)求和源終端的WLAN訪問(wèn)權(quán)限���,對(duì)AP 進(jìn)行認(rèn)證�;AAA服務(wù)器將源終端的IMSI發(fā)送至HLR����,判斷該源終端是否具有訪問(wèn)無(wú)線局域網(wǎng) 的權(quán)限。如果源終端具有權(quán)限�����,則AAA服務(wù)器直接從HLR處獲得無(wú)線局域網(wǎng)AP的認(rèn)證向量�����。AAA服務(wù)器根據(jù)獲得的認(rèn)證向量和AP進(jìn)行接入認(rèn)證過(guò)程��,同時(shí)協(xié)商二者之間的會(huì) 話密鑰�,此時(shí)AP和AAA服務(wù)器之間建立了安全鏈路。步驟S104�、當(dāng)認(rèn)證通過(guò)時(shí)���,AAA服務(wù)器允許源終端接入AP。AAA服務(wù)器和AP的認(rèn)證成功后�,將返回訪問(wèn)無(wú)線局域網(wǎng)的響應(yīng)給源終端。此時(shí)�,源 終端和AP之間已經(jīng)通過(guò)移動(dòng)通信網(wǎng)建立了一個(gè)安全隧道�����。源終端可以和AAA服務(wù)器進(jìn)行 安全通信��,而AAA服務(wù)器和AP之間可以進(jìn)行安全通信���,這樣便以AAA服務(wù)器為安全中轉(zhuǎn)站 構(gòu)建了一條連接源終端和AP的安全隧道���。源終端通過(guò)該安全隧道,根據(jù)WAPI協(xié)議對(duì)無(wú)線 局域網(wǎng)進(jìn)行接入和會(huì)話鏈路建立����。參照?qǐng)D6,提出本發(fā)明一種安全訪問(wèn)WAPI網(wǎng)絡(luò)的方法又一實(shí)施例��,在上述實(shí)施例 中�����,在執(zhí)行步驟S13之后,還包括步驟S14�、源終端和目標(biāo)終端進(jìn)行會(huì)話協(xié)商。當(dāng)源終端與AP�����,AP與目標(biāo)終端的安全鏈路建立之后����,AP向目標(biāo)終端發(fā)送源終端的 會(huì)話請(qǐng)求。目標(biāo)終端收到源終端的會(huì)話請(qǐng)求�,需要協(xié)商二者之間進(jìn)行會(huì)話的密鑰。目標(biāo)終端 生成自己的密鑰參數(shù)通過(guò)AP轉(zhuǎn)發(fā)至AS��。AS經(jīng)過(guò)AP向源終端發(fā)送會(huì)話密鑰協(xié)商請(qǐng)求�����,希望源終端提供相關(guān)的參數(shù)����,同時(shí)將 目標(biāo)終端的密鑰參數(shù)一起發(fā)送給源終端。源終端生成自己的密鑰參數(shù),并以密文形式經(jīng)由AP發(fā)送給AS�。AS驗(yàn)證該信息成功后,將源終端的密鑰參數(shù)經(jīng)由AP發(fā)送至目標(biāo)終端����。源終端和目標(biāo)終端在本地計(jì)算出會(huì)話密鑰,并開(kāi)始由源終端發(fā)起的會(huì)話����。本實(shí)施例中,源終端和目標(biāo)終端可直接通過(guò)會(huì)話密鑰協(xié)商進(jìn)行會(huì)話�,避免了由AP 進(jìn)行中轉(zhuǎn)而導(dǎo)致的被監(jiān)聽(tīng)�,進(jìn)一步提高了無(wú)線局域網(wǎng)訪問(wèn)的安全性。參照?qǐng)D7��,提出本發(fā)明一種終端10 —實(shí)施例���,包括認(rèn)證請(qǐng)求模塊11���,用于向AP發(fā)送認(rèn)證請(qǐng)求;會(huì)話請(qǐng)求模塊12���,用于當(dāng)AP認(rèn)證通過(guò)時(shí)���,向AP發(fā)送和目標(biāo)終端進(jìn)行會(huì)話的會(huì)話 請(qǐng)求���,以便AP根據(jù)該會(huì)話請(qǐng)求對(duì)目標(biāo)終端進(jìn)行認(rèn)證,并在認(rèn)證通過(guò)后允許本端接入目標(biāo)終端���。本實(shí)施例中的無(wú)線局域網(wǎng)可以是無(wú)線家庭數(shù)字網(wǎng)絡(luò)��,即一般意義上的家庭網(wǎng)絡(luò)����, 例如用戶可以通過(guò)無(wú)線局域網(wǎng)操作和管理家電系統(tǒng)以及獲取門(mén)窗煤氣管道等的安全狀態(tài)���。 圖2所示為整個(gè)無(wú)線局域網(wǎng)的結(jié)構(gòu)�����,用戶可使用計(jì)算機(jī)或手機(jī)等移動(dòng)終端接入無(wú)線局域 網(wǎng)���,訪問(wèn)網(wǎng)絡(luò)資源,即操作和管理本地網(wǎng)絡(luò)的各節(jié)點(diǎn)���。其中���,網(wǎng)絡(luò)中心包括AP�,訪問(wèn)無(wú)線局域網(wǎng)的移動(dòng)終端或者計(jì)算機(jī)以及無(wú)線局域網(wǎng)中的各節(jié)點(diǎn)均作為終端�����,這些元素組成了有結(jié)構(gòu) 的無(wú)線局域網(wǎng)�����。當(dāng)終端10訪問(wèn)無(wú)線局域網(wǎng)的目標(biāo)終端時(shí)����,認(rèn)證請(qǐng)求模塊11向AP發(fā)送認(rèn)證請(qǐng)求, 同時(shí)將自己的證書(shū)發(fā)送給AP進(jìn)行認(rèn)證�����,AP對(duì)終端10的證書(shū)進(jìn)行認(rèn)證����,具體可以通過(guò)與AP 連接的認(rèn)證服務(wù)器AS進(jìn)行認(rèn)證AP將終端10的證書(shū)以及AP自己的證書(shū)放入證書(shū)鑒別請(qǐng) 求中��,發(fā)送到AS進(jìn)行證書(shū)鑒別����,AS首先鑒別AP的證書(shū)是否有效���,如果有效則繼續(xù)驗(yàn)證終端 10的證書(shū)。驗(yàn)證完畢后��,AS將驗(yàn)證結(jié)果放入證書(shū)鑒別響應(yīng)中����,并將該證書(shū)鑒別響應(yīng)發(fā)回至 AP0 AP通過(guò)證書(shū)鑒別響應(yīng)中AS的簽名,得到對(duì)終端10的證書(shū)鑒別結(jié)果�,根據(jù)該結(jié)果決定對(duì) 終端10的認(rèn)證是否通過(guò),同時(shí)�����,將該證書(shū)鑒別響應(yīng)發(fā)至終端10��。終端10根據(jù)該證書(shū)鑒別 響應(yīng)決定是否接入AP����,證書(shū)鑒別成功后,終端10和AP之間進(jìn)行會(huì)話密鑰協(xié)商首先由終端 10在本地生成密鑰參數(shù)放入密鑰協(xié)商請(qǐng)求中��,并將密鑰協(xié)商請(qǐng)求發(fā)送至AP���,AP收到終端10 發(fā)送的密鑰協(xié)商請(qǐng)求��,根據(jù)密鑰協(xié)商請(qǐng)求中終端10的密鑰參數(shù)�,將本地生成的密鑰參數(shù)放 入密鑰協(xié)商響應(yīng)中反饋至終端10,終端10收到密鑰協(xié)商響應(yīng)后�,根據(jù)其中AP的密鑰參數(shù)并 結(jié)合終端10本地的密鑰參數(shù),生成會(huì)話密鑰���,該會(huì)話密鑰僅適于終端10和AP��。當(dāng)AP對(duì)終端10認(rèn)證通過(guò)后���,即終端10和AP進(jìn)行會(huì)話密鑰協(xié)商后,會(huì)話請(qǐng)求模塊 12根據(jù)需要向AP發(fā)送和目標(biāo)終端例如無(wú)線局域網(wǎng)內(nèi)的設(shè)備(微波爐等)進(jìn)行會(huì)話的會(huì)話 請(qǐng)求�。AP根據(jù)終端10發(fā)送的會(huì)話請(qǐng)求,對(duì)目標(biāo)終端進(jìn)行認(rèn)證�����,認(rèn)證過(guò)程如下Ap根據(jù)會(huì) 話請(qǐng)求�����,向目標(biāo)終端如微波爐發(fā)送鑒別激活請(qǐng)求��,開(kāi)啟AP對(duì)目標(biāo)終端的認(rèn)證��,目標(biāo)終端收 到AP發(fā)來(lái)的鑒別激活請(qǐng)求后�����,將自己的證書(shū)放入認(rèn)證請(qǐng)求����,發(fā)送到AP,由AP對(duì)目標(biāo)終端進(jìn) 行認(rèn)證��,該認(rèn)證過(guò)程同AP對(duì)終端10的認(rèn)證過(guò)程�。當(dāng)AP對(duì)目標(biāo)終端認(rèn)證通過(guò)后,此時(shí)終端10與AP之間�����,AP與目標(biāo)終端之間的安全 鏈路已經(jīng)建立�����。AP允許終端10接入目標(biāo)終端�����。本實(shí)施例中,通過(guò)對(duì)終端10和目標(biāo)終端的雙重認(rèn)證�,不僅可以保證接入過(guò)程中兩 個(gè)終端和AP之間的身份安全性,而且還可以保證終端10和被訪問(wèn)的目標(biāo)終端之間�����、AP和 終端之間會(huì)話的數(shù)據(jù)保密性���,確保本地?zé)o線局域網(wǎng)的安全�����。參照?qǐng)D8��,提出本發(fā)明一種終端10又一實(shí)施例���,在上述實(shí)施例中,還包括會(huì)話協(xié)商模塊13�����,用于在AP允許本端接入目標(biāo)終端之后�,和目標(biāo)終端進(jìn)行會(huì)話協(xié) 商�����。當(dāng)終端10與AP,AP與目標(biāo)終端的安全鏈路建立之后�����,AP向目標(biāo)終端發(fā)送終端10 的會(huì)話請(qǐng)求����。目標(biāo)終端收到終端10的會(huì)話請(qǐng)求,需要協(xié)商二者之間進(jìn)行會(huì)話的密鑰����。目標(biāo)終端 生成自己的密鑰參數(shù)通過(guò)AP轉(zhuǎn)發(fā)至AS。AS經(jīng)過(guò)AP向終端10發(fā)送會(huì)話密鑰協(xié)商請(qǐng)求���,希望終端10提供相關(guān)的參數(shù)��,同時(shí) 將目標(biāo)終端的密鑰參數(shù)一起發(fā)送給終端10���。會(huì)話協(xié)商模塊13生成自己的密鑰參數(shù),并以密文形式經(jīng)由AP發(fā)送給AS�����。AS驗(yàn)證該信息成功后,將終端10的密鑰參數(shù)經(jīng)由AP發(fā)送至目標(biāo)終端�。終端10的會(huì)話協(xié)商模塊13和目標(biāo)終端在本地計(jì)算出會(huì)話密鑰,并開(kāi)始由終端10 發(fā)起的會(huì)話��。
本實(shí)施例中����,終端10和目標(biāo)終端可直接通過(guò)會(huì)話密鑰協(xié)商進(jìn)行會(huì)話,避免了由AP 進(jìn)行中轉(zhuǎn)而導(dǎo)致的被監(jiān)聽(tīng)�����,進(jìn)一步提高了無(wú)線局域網(wǎng)訪問(wèn)的安全性���。參照?qǐng)D9����,提出本發(fā)明一種終端20 —實(shí)施例���,包括接收請(qǐng)求模塊21�����,用于接收AP發(fā)送的鑒別激活請(qǐng)求�����;發(fā)送模塊22���,用于根據(jù)所述鑒別激活請(qǐng)求發(fā)送認(rèn)證請(qǐng)求,以便AP對(duì)本端進(jìn)行認(rèn) 證��,并在認(rèn)證通過(guò)后允許源終端接入本端�。本實(shí)施例中的無(wú)線局域網(wǎng)可以是無(wú)線家庭數(shù)字網(wǎng)絡(luò),即一般意義上的家庭網(wǎng)絡(luò)��, 例如用戶可以通過(guò)無(wú)線局域網(wǎng)操作和管理家電系統(tǒng)以及獲取門(mén)窗煤氣管道等的安全狀態(tài)����。 圖2所示為整個(gè)無(wú)線局域網(wǎng)的結(jié)構(gòu),用戶可使用計(jì)算機(jī)或手機(jī)等移動(dòng)終端接入無(wú)線局域 網(wǎng)�,訪問(wèn)網(wǎng)絡(luò)資源,即操作和管理本地網(wǎng)絡(luò)的各節(jié)點(diǎn)�。其中,網(wǎng)絡(luò)中心包括AP��,訪問(wèn)無(wú)線局域 網(wǎng)的移動(dòng)終端或者計(jì)算機(jī)以及無(wú)線局域網(wǎng)中的各節(jié)點(diǎn)均作為終端�,這些元素組成了有結(jié)構(gòu) 的無(wú)線局域網(wǎng)。當(dāng)源終端訪問(wèn)無(wú)線局域網(wǎng)的終端20時(shí),源終端向AP發(fā)送認(rèn)證請(qǐng)求�,同時(shí)將自己的 證書(shū)發(fā)送給AP進(jìn)行認(rèn)證,AP對(duì)源終端的證書(shū)進(jìn)行認(rèn)證�����,具體可以通過(guò)與AP連接的認(rèn)證服務(wù) 器AS進(jìn)行認(rèn)證AP將源終端的證書(shū)以及AP自己的證書(shū)放入證書(shū)鑒別請(qǐng)求中��,發(fā)送到AS進(jìn) 行證書(shū)鑒別��,AS首先鑒別AP的證書(shū)是否有效����,如果有效則繼續(xù)驗(yàn)證源終端的證書(shū)。驗(yàn)證完 畢后����,AS將驗(yàn)證結(jié)果放入證書(shū)鑒別響應(yīng)中,并將該證書(shū)鑒別響應(yīng)發(fā)回至AP�����。AP通過(guò)證書(shū)鑒 別響應(yīng)中AS的簽名���,得到對(duì)源終端的證書(shū)鑒別結(jié)果��,根據(jù)該結(jié)果決定對(duì)源終端的認(rèn)證是否 通過(guò)�����,同時(shí)�����,將該證書(shū)鑒別響應(yīng)發(fā)至源終端���。源終端根據(jù)該證書(shū)鑒別響應(yīng)決定是否接入AP, 證書(shū)鑒別成功后��,源終端和AP之間進(jìn)行會(huì)話密鑰協(xié)商首先由源終端在本地生成密鑰參數(shù) 放入密鑰協(xié)商請(qǐng)求中���,并將密鑰協(xié)商請(qǐng)求發(fā)送至AP����,AP收到源終端發(fā)送的密鑰協(xié)商請(qǐng)求�����, 根據(jù)密鑰協(xié)商請(qǐng)求中源終端的密鑰參數(shù)��,將本地生成的密鑰參數(shù)放入密鑰協(xié)商響應(yīng)中反饋 至源終端,源終端收到密鑰協(xié)商響應(yīng)后�,根據(jù)其中AP的密鑰參數(shù)并結(jié)合源終端本地的密鑰 參數(shù),生成會(huì)話密鑰��,該會(huì)話密鑰僅適于源終端和AP���。當(dāng)AP對(duì)源終端認(rèn)證通過(guò)后����,即源終端和AP進(jìn)行會(huì)話密鑰協(xié)商后��,源終端根據(jù)需要 向AP發(fā)送和終端20例如無(wú)線局域網(wǎng)內(nèi)的設(shè)備(微波爐等)進(jìn)行會(huì)話的會(huì)話請(qǐng)求�。AP根據(jù)源終端發(fā)送的會(huì)話請(qǐng)求,對(duì)終端20進(jìn)行認(rèn)證�����,認(rèn)證過(guò)程如下Ap根據(jù)會(huì)話 請(qǐng)求�����,向終端20如微波爐發(fā)送鑒別激活請(qǐng)求���,開(kāi)啟AP對(duì)終端20的認(rèn)證�����,終端20的接收請(qǐng) 求模塊21收到AP發(fā)來(lái)的鑒別激活請(qǐng)求后�����,將自己的證書(shū)放入認(rèn)證請(qǐng)求��,發(fā)送模塊22該認(rèn) 證請(qǐng)求發(fā)送到AP�,由AP對(duì)終端20進(jìn)行認(rèn)證,該認(rèn)證過(guò)程同AP對(duì)源終端的認(rèn)證過(guò)程�。當(dāng)AP對(duì)終端20認(rèn)證通過(guò)后�����,此時(shí)源終端與AP之間�,AP與終端20之間的安全鏈 路已經(jīng)建立。AP允許源終端接入終端20�����。本實(shí)施例中�,通過(guò)對(duì)源終端和終端20的雙重認(rèn)證,不僅可以保證接入過(guò)程中兩個(gè) 終端和AP之間的身份安全性�����,而且還可以保證源終端和被訪問(wèn)的目標(biāo)終端之間、AP和終端 之間會(huì)話的數(shù)據(jù)保密性���,確保本地?zé)o線局域網(wǎng)的安全�。參照?qǐng)D10�,提出本發(fā)明一種終端20又一實(shí)施例,在上一實(shí)施例中����,還包括會(huì)話協(xié)商模塊23,用于在AP允許源終端接入本端之后�����,和源終端進(jìn)行會(huì)話協(xié)商�����。當(dāng)源終端與AP�,AP與終端20的安全鏈路建立之后,AP向終端20發(fā)送源終端的會(huì) 話請(qǐng)求��。
終端20收到源終端的會(huì)話請(qǐng)求��,會(huì)話協(xié)商模塊23和源終端協(xié)商二者之間進(jìn)行會(huì) 話的密鑰。會(huì)話協(xié)商模塊23生成自己的密鑰參數(shù)通過(guò)AP轉(zhuǎn)發(fā)至AS��。AS經(jīng)過(guò)AP向源終端發(fā)送會(huì)話密鑰協(xié)商請(qǐng)求����,希望源終端提供相關(guān)的參數(shù),同時(shí)將 終端20的密鑰參數(shù)一起發(fā)送給源終端���。源終端生成自己的密鑰參數(shù)����,并以密文形式經(jīng)由AP發(fā)送給AS��。AS驗(yàn)證該信息成功后�,將源終端的密鑰參數(shù)經(jīng)由AP發(fā)送至終端20���。源終端和終端20在本地計(jì)算出會(huì)話密鑰���,并開(kāi)始由源終端發(fā)起的會(huì)話。本實(shí)施例中��,源終端和終端20可直接通過(guò)會(huì)話密鑰協(xié)商進(jìn)行會(huì)話����,避免了由AP進(jìn) 行中轉(zhuǎn)而導(dǎo)致的被監(jiān)聽(tīng)���,進(jìn)一步提高了無(wú)線局域網(wǎng)訪問(wèn)的安全性。參照?qǐng)D11���,提出本發(fā)明一種AP30 —實(shí)施例�,包括第一認(rèn)證模塊31�����,用于根據(jù)源終端發(fā)送的認(rèn)證請(qǐng)求�,對(duì)源終端進(jìn)行認(rèn)證;接收模塊32�����,用于對(duì)源終端認(rèn)證通過(guò)后�����,接收源終端發(fā)送和目標(biāo)終端進(jìn)行會(huì)話的 會(huì)話請(qǐng)求�;第二認(rèn)證模塊33,用于根據(jù)所述會(huì)話請(qǐng)求,對(duì)目標(biāo)終端進(jìn)行認(rèn)證��;接入模塊34��,用于當(dāng)認(rèn)證通過(guò)時(shí)�����,允許源終端接入目標(biāo)終端����。本實(shí)施例中的無(wú)線局域網(wǎng)可以是無(wú)線家庭數(shù)字網(wǎng)絡(luò),即一般意義上的家庭網(wǎng)絡(luò)���, 例如用戶可以通過(guò)無(wú)線局域網(wǎng)操作和管理家電系統(tǒng)以及獲取門(mén)窗煤氣管道等的安全狀態(tài)����。 圖2所示為整個(gè)無(wú)線局域網(wǎng)的結(jié)構(gòu)�,用戶可使用計(jì)算機(jī)或手機(jī)等移動(dòng)終端接入無(wú)線局域 網(wǎng),訪問(wèn)網(wǎng)絡(luò)資源�,即操作和管理本地網(wǎng)絡(luò)的各節(jié)點(diǎn)。其中�����,網(wǎng)絡(luò)中心包括AP30����,訪問(wèn)無(wú)線局 域網(wǎng)的移動(dòng)終端或者計(jì)算機(jī)以及無(wú)線局域網(wǎng)中的各節(jié)點(diǎn)均作為終端,這些元素組成了有結(jié) 構(gòu)的無(wú)線局域網(wǎng)���。當(dāng)源終端訪問(wèn)無(wú)線局域網(wǎng)的目標(biāo)終端時(shí)����,源終端向AP30發(fā)送認(rèn)證請(qǐng)求�,同時(shí)將自 己的證書(shū)發(fā)送給AP30進(jìn)行認(rèn)證,第一認(rèn)證模塊31對(duì)源終端的證書(shū)進(jìn)行認(rèn)證�,具體可以通過(guò) 與AP30連接的認(rèn)證服務(wù)器AS進(jìn)行認(rèn)證AP30將源終端的證書(shū)以及AP30自己的證書(shū)放入 證書(shū)鑒別請(qǐng)求中,發(fā)送到AS進(jìn)行證書(shū)鑒別�����,AS首先鑒別AP30的證書(shū)是否有效���,如果有效則 繼續(xù)驗(yàn)證源終端的證書(shū)�����。驗(yàn)證完畢后�����,AS將驗(yàn)證結(jié)果放入證書(shū)鑒別響應(yīng)中�����,并將該證書(shū)鑒 別響應(yīng)發(fā)回至AP30�����。AP30通過(guò)證書(shū)鑒別響應(yīng)中AS的簽名��,得到對(duì)源終端的證書(shū)鑒別結(jié)果��, 根據(jù)該結(jié)果決定對(duì)源終端的認(rèn)證是否通過(guò)�,同時(shí),將該證書(shū)鑒別響應(yīng)發(fā)至源終端��。源終端根 據(jù)該證書(shū)鑒別響應(yīng)決定是否接入AP30�,證書(shū)鑒別成功后,源終端和AP30之間進(jìn)行會(huì)話密鑰 協(xié)商首先由源終端在本地生成密鑰參數(shù)放入密鑰協(xié)商請(qǐng)求中���,并將密鑰協(xié)商請(qǐng)求發(fā)送至 AP30�,AP30收到源終端發(fā)送的密鑰協(xié)商請(qǐng)求�,根據(jù)密鑰協(xié)商請(qǐng)求中源終端的密鑰參數(shù)�,將本 地生成的密鑰參數(shù)放入密鑰協(xié)商響應(yīng)中反饋至源終端��,源終端收到密鑰協(xié)商響應(yīng)后��,根據(jù) 其中AP30的密鑰參數(shù)并結(jié)合源終端本地的密鑰參數(shù)�����,生成會(huì)話密鑰���,該會(huì)話密鑰僅適于源 終端和AP30。當(dāng)AP30對(duì)源終端認(rèn)證通過(guò)后�����,即源終端和AP30進(jìn)行會(huì)話密鑰協(xié)商后����,源終端根據(jù) 需要向AP30發(fā)送和目標(biāo)終端例如無(wú)線局域網(wǎng)內(nèi)的設(shè)備(微波爐等)進(jìn)行會(huì)話的會(huì)話請(qǐng)求。接收模塊32接收源終端發(fā)送的會(huì)話請(qǐng)求���,第二認(rèn)證模塊33根據(jù)該會(huì)話請(qǐng)求對(duì)目 標(biāo)終端進(jìn)行認(rèn)證���,認(rèn)證過(guò)程如下第二認(rèn)證模塊33根據(jù)會(huì)話請(qǐng)求��,向目標(biāo)終端如微波爐發(fā) 送鑒別激活請(qǐng)求��,開(kāi)啟AP30對(duì)目標(biāo)終端的認(rèn)證��,目標(biāo)終端收到第二認(rèn)證模塊33發(fā)來(lái)的鑒別激活請(qǐng)求后��,將自己的證書(shū)放入認(rèn)證請(qǐng)求�����,發(fā)送到第二認(rèn)證模塊33����,由第二認(rèn)證模塊33對(duì) 目標(biāo)終端進(jìn)行認(rèn)證�,該認(rèn)證過(guò)程同AP30對(duì)源終端的認(rèn)證過(guò)程。當(dāng)?shù)诙J(rèn)證模塊33對(duì)目標(biāo)終端認(rèn)證通過(guò)后���,此時(shí)源終端與AP30之間����,AP30與目 標(biāo)終端之間的安全鏈路已經(jīng)建立�。接入模塊34允許源終端接入目標(biāo)終端。本實(shí)施例中�����,通過(guò)對(duì)源終端和目標(biāo)終端的雙重認(rèn)證,不僅可以保證接入過(guò)程中兩 個(gè)終端和AP30之間的身份安全性����,而且還可以保證源終端和被訪問(wèn)的目標(biāo)終端之間��、AP30 和終端之間會(huì)話的數(shù)據(jù)保密性��,確保本地?zé)o線局域網(wǎng)的安全�����。參照?qǐng)D12�����,提出本發(fā)明一種安全訪問(wèn)WAPI網(wǎng)絡(luò)的系統(tǒng)一實(shí)施例�,包括源終端40、 目標(biāo)終端50和AP60���,其中�����,所述AP60�,用于根據(jù)源終端40發(fā)送的認(rèn)證請(qǐng)求,對(duì)源終端40進(jìn)行認(rèn)證���;以及當(dāng)對(duì) 源終端40認(rèn)證通過(guò)后���,接收源終端40發(fā)送和目標(biāo)終端50進(jìn)行會(huì)話的會(huì)話請(qǐng)求,根據(jù)所述 會(huì)話請(qǐng)求�����,對(duì)目標(biāo)終端50進(jìn)行認(rèn)證��;以及當(dāng)對(duì)目標(biāo)終端50認(rèn)證通過(guò)時(shí)��,允許源終端40接入 目標(biāo)終端50�。所述源終端40,用于向AP60發(fā)送認(rèn)證請(qǐng)求����;以及當(dāng)AP60認(rèn)證通過(guò)時(shí),向AP60發(fā)送 和目標(biāo)終端50進(jìn)行會(huì)話的會(huì)話請(qǐng)求�����,以便AP60根據(jù)該會(huì)話請(qǐng)求對(duì)目標(biāo)終端50進(jìn)行認(rèn)證, 并在認(rèn)證通過(guò)后允許所述源終端40接入目標(biāo)終端50���。所述目標(biāo)終端50�����,用于接收AP60發(fā)送的鑒別激活請(qǐng)求����;以及根據(jù)所述鑒別激活請(qǐng) 求發(fā)送認(rèn)證請(qǐng)求�����,以便AP60對(duì)所述目標(biāo)終端50進(jìn)行認(rèn)證����,并在認(rèn)證通過(guò)后允許源終端40 接入所述目標(biāo)終端50��。源終端40���,其結(jié)構(gòu)和工作原理同圖7或圖8之終端10 �;目標(biāo)終端50�����,其結(jié)構(gòu)和工 作原理同圖9或圖10之終端20 ;AP60�����,其結(jié)構(gòu)和工作原理同11之AP30 ����;此處不再贅述。
本實(shí)施例中����,通過(guò)對(duì)源終端40和目標(biāo)終端50的雙重認(rèn)證,不僅可以保證接入過(guò)程 中兩個(gè)終端和AP60之間的身份安全性�,而且還可以保證源終端40和被訪問(wèn)的目標(biāo)終端50 之間、AP60和終端之間會(huì)話的數(shù)據(jù)保密性���,確保本地?zé)o線局域網(wǎng)的安全�����。 以上所述僅為本發(fā)明的優(yōu)選實(shí)施例���,并非因此限制本發(fā)明的專(zhuān)利范圍��,凡是利用 本發(fā)明說(shuō)明書(shū)及附圖內(nèi)容所作的等效結(jié)構(gòu)或等效流程變換��,或直接或間接運(yùn)用在其他相關(guān) 的技術(shù)領(lǐng)域���,均同理包括在本發(fā)明的專(zhuān)利保護(hù)范圍內(nèi)。
權(quán)利要求
1.一種安全訪問(wèn)WAPI網(wǎng)絡(luò)的方法���,其特征在于��,包括WAPI網(wǎng)絡(luò)的無(wú)線訪問(wèn)節(jié)點(diǎn)AP根據(jù)源終端發(fā)送的認(rèn)證請(qǐng)求��,對(duì)源終端進(jìn)行認(rèn)證; 當(dāng)認(rèn)證通過(guò)時(shí)���,所述源終端向AP發(fā)送和目標(biāo)終端進(jìn)行會(huì)話的會(huì)話請(qǐng)求�; AP根據(jù)所述會(huì)話請(qǐng)求��,對(duì)目標(biāo)終端進(jìn)行認(rèn)證�; 當(dāng)認(rèn)證通過(guò)時(shí),AP允許源終端接入目標(biāo)終端��。
2.如權(quán)利要求1所述的安全訪問(wèn)WAPI網(wǎng)絡(luò)的方法,其特征在于����,所述WAPI網(wǎng)絡(luò)的AP 根據(jù)源終端發(fā)送的認(rèn)證請(qǐng)求,對(duì)源終端進(jìn)行認(rèn)證包括當(dāng)源終端遠(yuǎn)程訪問(wèn)AP時(shí)�,移動(dòng)通訊網(wǎng)絡(luò)的AAA服務(wù)器根據(jù)源終端發(fā)送的認(rèn)證請(qǐng)求,對(duì) 源終端進(jìn)行認(rèn)證�;當(dāng)認(rèn)證通過(guò)時(shí),源終端向AAA服務(wù)器發(fā)送和AP進(jìn)行會(huì)話的WLAN訪問(wèn)請(qǐng)求�����; AAA服務(wù)器根據(jù)所述WLAN訪問(wèn)請(qǐng)求和源終端的WLAN訪問(wèn)權(quán)限�����,對(duì)AP進(jìn)行認(rèn)證����; 當(dāng)認(rèn)證通過(guò)時(shí),AAA服務(wù)器允許源終端接入AP��。
3.如權(quán)利要求1或2所述的安全訪問(wèn)WAPI網(wǎng)絡(luò)的方法����,其特征在于,在執(zhí)行所述AP允 許源終端接入目標(biāo)終端之后,還包括源終端和目標(biāo)終端進(jìn)行會(huì)話協(xié)商��。
4.一種終端�,其特征在于,包括認(rèn)證請(qǐng)求模塊���,用于向WAPI網(wǎng)絡(luò)的無(wú)線訪問(wèn)節(jié)點(diǎn)AP發(fā)送認(rèn)證請(qǐng)求����; 會(huì)話請(qǐng)求模塊��,用于當(dāng)AP認(rèn)證通過(guò)時(shí)�����,向AP發(fā)送和目標(biāo)終端進(jìn)行會(huì)話的會(huì)話請(qǐng)求�,以 便AP根據(jù)該會(huì)話請(qǐng)求對(duì)目標(biāo)終端進(jìn)行認(rèn)證,并在認(rèn)證通過(guò)后允許本端接入目標(biāo)終端���。
5.如權(quán)利要求4所述的終端,其特征在于�����,還包括會(huì)話協(xié)商模塊,用于在AP允許本端接入目標(biāo)終端之后�����,和目標(biāo)終端進(jìn)行會(huì)話協(xié)商����。
6.一種終端,其特征在于���,包括接收請(qǐng)求模塊����,用于接收WAPI網(wǎng)絡(luò)的無(wú)線訪問(wèn)節(jié)點(diǎn)AP發(fā)送的鑒別激活請(qǐng)求�; 發(fā)送模塊,用于根據(jù)所述鑒別激活請(qǐng)求發(fā)送認(rèn)證請(qǐng)求�,以便AP對(duì)本端進(jìn)行認(rèn)證,并在 認(rèn)證通過(guò)后允許源終端接入本端���。
7.如權(quán)利要求6所述的終端���,其特征在于,還包括會(huì)話協(xié)商模塊���,用于在AP允許源終端接入本端之后��,和源終端進(jìn)行會(huì)話協(xié)商�。
8.一種WAPI網(wǎng)絡(luò)的無(wú)線訪問(wèn)節(jié)點(diǎn)AP,其特征在于��,包括第一認(rèn)證模塊�����,用于根據(jù)源終端發(fā)送的認(rèn)證請(qǐng)求��,對(duì)源終端進(jìn)行認(rèn)證��; 接收模塊��,用于對(duì)源終端認(rèn)證通過(guò)后����,接收源終端發(fā)送和目標(biāo)終端進(jìn)行會(huì)話的會(huì)話請(qǐng)求;第二認(rèn)證模塊��,用于根據(jù)所述會(huì)話請(qǐng)求���,對(duì)目標(biāo)終端進(jìn)行認(rèn)證��; 接入模塊���,用于當(dāng)認(rèn)證通過(guò)時(shí),允許源終端接入目標(biāo)終端����。
9.一種安全訪問(wèn)WAPI網(wǎng)絡(luò)的系統(tǒng),其特征在于��,包括源終端����、目標(biāo)終端和WAPI網(wǎng)絡(luò)的 無(wú)線訪問(wèn)節(jié)點(diǎn)AP,其中���,所述AP���,用于根據(jù)源終端發(fā)送的認(rèn)證請(qǐng)求,對(duì)源終端進(jìn)行認(rèn)證�����;以及當(dāng)對(duì)源終端認(rèn)證 通過(guò)后����,接收源終端發(fā)送和目標(biāo)終端進(jìn)行會(huì)話的會(huì)話請(qǐng)求�����,根據(jù)所述會(huì)話請(qǐng)求����,對(duì)目標(biāo)終端 進(jìn)行認(rèn)證�;以及當(dāng)對(duì)目標(biāo)終端認(rèn)證通過(guò)時(shí),允許源終端接入目標(biāo)終端��。所述源終端���,用于向AP發(fā)送認(rèn)證請(qǐng)求�����;以及當(dāng)AP認(rèn)證通過(guò)時(shí)�,向AP發(fā)送和目標(biāo)終端進(jìn)行會(huì)話的會(huì)話請(qǐng)求���,以便AP根據(jù)該會(huì)話請(qǐng)求對(duì)目標(biāo)終端進(jìn)行認(rèn)證��,并在認(rèn)證通過(guò)后允許本 端接入目標(biāo)終端����。所述目標(biāo)終端�,用于接收AP發(fā)送的鑒別激活請(qǐng)求;以及根據(jù)所述鑒別激活請(qǐng)求發(fā)送認(rèn) 證請(qǐng)求�,以便AP對(duì)本端進(jìn)行認(rèn)證,并在認(rèn)證通過(guò)后允許源終端接入本端�����。
10.如權(quán)利要求9所述的一種安全訪問(wèn)WAPI網(wǎng)絡(luò)的系統(tǒng)���,其特征在于��,所述源終端為權(quán) 利要求4或5所述的終端�,所述目標(biāo)終端為權(quán)利要求6或7所述的終端��,所述AP為權(quán)利要 求8所述的AP�。
全文摘要
本發(fā)明揭示了一種安全訪問(wèn)WAPI網(wǎng)絡(luò)的方法,包括WAPI網(wǎng)絡(luò)的無(wú)線訪問(wèn)節(jié)點(diǎn)AP根據(jù)源終端發(fā)送的認(rèn)證請(qǐng)求���,對(duì)源終端進(jìn)行認(rèn)證�;當(dāng)認(rèn)證通過(guò)時(shí)����,所述源終端向AP發(fā)送和目標(biāo)終端進(jìn)行會(huì)話的會(huì)話請(qǐng)求����;AP根據(jù)所述會(huì)話請(qǐng)求�����,對(duì)目標(biāo)終端進(jìn)行認(rèn)證�����;當(dāng)認(rèn)證通過(guò)時(shí)��,AP允許源終端接入目標(biāo)終端�。本發(fā)明還提出了相應(yīng)的裝置和系統(tǒng)。本發(fā)明提出的一種安全訪問(wèn)WAPI網(wǎng)絡(luò)的方法��、裝置及系統(tǒng)��,通過(guò)雙重認(rèn)證�,提高WAPI網(wǎng)絡(luò)訪問(wèn)的安全性。
文檔編號(hào)H04W84/12GK102104872SQ201110044290
公開(kāi)日2011年6月22日 申請(qǐng)日期2011年2月23日 優(yōu)先權(quán)日2011年2月23日
發(fā)明者張嘉偉, 張小軍 申請(qǐng)人:中興通訊股份有限公司