[发明专利]一种身份认证的方法、系统和鉴别器实体

说明书

技术领域

本发明涉及网络通信安全技术，特别涉及一种身份认证的方法、系统和鉴别器实体。

背景技术

无线局域网鉴别和保密基础结构(WAPI，WLAN Authentication andPrivacy Infrastructure)是实现无线局域网安全的协议。WAPI采用公钥密钥体制的椭圆曲线密码算法和对称密码体制的分组密码算法，用于无线局域网(WLAN，Wireless Local Area Network)设备的数字证书、证书鉴别、密钥协商和传输数据的加解密，从而实现设备的身份鉴别、链路验证，访问控制和用户信息在无线传输状态下的加密保护。

WAPI是无线局域网鉴别基础结构(WAI，WLAN AuthenticationInfrastructure)和无线局域网保密基础结构(WPI，WLAN PrivacyInfrastructure)两个协议的统称。其中WAI协议解决无线局域网中的身份认证问题，WPI协议解决无线局域网中信息的保密传输问题。WAI协议是WAPI协议中最重要和最基础的部分，只有实现了身份认证才可以进行数据传输。WAI用椭圆曲线加密体制(ECC，Elliptic Curve encryption algorithm)技术实现了身份的双向认证问题，即无线终端对AP(Access Point，接入点)的认证，和AP对无线终端的认证，只有无线终端确认AP为合法接入点和AP确认无线终端为合法无线终端后双方才可以进行通信。

现有技术中，上述身份认证必须经过可信的第三方即鉴别服务实体(ASE，Authentication Service Entity)才可以实现。图1为现有技术中WAPI鉴别流程图，如图1所示，WAPI鉴别流程可以包括以下步骤：

步骤101：移动终端登录AP。

步骤102：AP中的鉴别器实体(AE，Authenticator Entity)激活身份认证过程。

步骤103：AP与应用服务器(AS，Application Service)进行证书鉴别请求和证书鉴别响应的交互，从而进行身份认证。其中，证书鉴别请求中携带移动终端和AP的证书信息，设置在AS服务器中的ASE对证书信息进行鉴别后，将鉴别结果携带在证书鉴别响应中。

步骤104：移动终端与AP进行密钥协商。

步骤105：AP根据鉴别结果对移动终端进行接入控制。

然而，上述现有技术的流程中，WAI协议支持使用用户数据报协议(UDP，User Datagram Protocol)进行传输封装，在步骤103中AP向AS服务器发送的证书鉴别请求，以及AS回复的证书鉴别响应都需要按照额外定义的鉴别控制协议进行传输，与现有运营网络中已经具有认证、授权和计费功能的远程拨号用户认证(Radius)服务器所采用的Radius协议并不兼容，这就造成了WAI和现有网络的融合存在很大困难；并且，如果除了认证过程之外，还需要对用户进行授权和计费处理，则需要同时部署Radius服务器，并额外增加Portal认证过程以与Radius服务器的授权过程相融合，增加了网络部署的复杂性。

发明内容

有鉴于此，本发明提供了一种身份认证的方法、系统和AE，以便于WAI身份认证与现有运营网络兼容，减小网络部署的复杂性。

一种身份认证的方法，该方法包括：

A、Radius服务器接收AE发送的承载在Radius协议上的EAP协议报文，将该EAP协议报文中封装的WAI证书鉴别请求发送给ASE；

B、接收所述ASE发送的WAI证书鉴别响应，将封装了WAI证书鉴别响应的EAP协议报文承载在Radius协议上发送给所述AE。

一种身份认证的系统，该系统包括：AE、Radius服务器和AS E；

所述AE，用于将封装了WAI证书鉴别请求的EAP协议报文承载在Radius协议上发送给所述Radius服务器；接收所述Radius服务器发送的承载在Radius协议上且封装了WAI证书鉴别响应的EAP协议报文；

所述Radius服务器，用于将所述WAI证书鉴别请求发送给所述ASE；接收来自所述ASE的WAI证书鉴别响应，将封装了WAI证书鉴别响应的EAP协议报文承载在Radius协议上发送给所述AE；

所述ASE，用于接收所述WAI证书鉴别请求，并向所述Radius服务器发送WAI证书鉴别响应。

一种身份认证的方法，该方法包括：

A、AE将封装了WAI证书鉴别请求的EAP协议报文承载在Radius协议上发送给Radius服务器；