[发明专利]一种安全认证的方法、系统和装置

说明书

技术领域

本发明涉及网络安全技术领域，特别涉及一种安全认证的方法、系统和装置。 

背景技术

无线局域网鉴别和保密基础结构(WAPI，WLAN Authentication andPrivacy Infrastructure)是实现无线局域网安全的协议。WAPI采用公钥密钥体制的椭圆曲线密码算法和对称密码体制的分组密码算法，用于无线局域网(WLAN，Wireless Local Area Network)设备的数字证书、证书鉴别、密钥协商和传输数据的加解密，从而实现设备的身份鉴别、链路验证，访问控制和用户信息在无线传输状态下的加密保护。 

当移动终端(STA)登录无线接入点(AP)时，在使用或者访问网络之前必须通过鉴别服务器(AS)对STA和AP进行WAPI认证，即进行身份鉴别，验证通过后STA才能通过AP访问网络，这样不仅可以防止非法移动终端接入AP而访问网络并占用网络资源，而且可以防止STA登录非法AP而造成信息泄漏。WAPI认证的流程可以如图1所示，主要包括以下步骤： 

步骤101：STA登录AP并与AC进行802.11链路协商。 

步骤102：AC激活对STA的WAPI认证处理。 

步骤103：AC向AS服务器发送WAPI认证请求，该WAPI认证请求中包含STA和AP的身份信息，AS对两者身份进行认证，将认证结果通过AC发送至STA。 

步骤104：如果认证成功，AC与STA进行密钥协商。 

步骤105：密钥协商完成后，AC授权该STA使用WAPI网络。 

WAPI认证过程是空口认证过程，STA在空口认证通过后，在接入城域网之前通常要进行Portal认证，Portal认证的流程可以如图2所示，主要包括以下步骤： 

步骤201：STA与宽带接入服务器(BRAS)之间进行动态主机配置协议(DHCP)过程，获取IP地址。 

步骤202：STA发送HTTP请求给BRAS。 

步骤203：BRAS将HTTP请求重定向至入口(Portal)服务器。 

步骤204：Portal服务器推送认证页面给STA，并根据STA输入的用户名、密码等认证信息对该STA进行Portal认证。 

步骤205：Portal服务器将认证结果发送给BRAS和STA。 

步骤206：BRAS在认证通过时，允许STA接入城域网访问Internet，并通知Radius服务器开始计费。 

在目前的城域网架构中，如果要实现STA接入城域网，则需要先后执行图1和图2的流程，采用WAPI+Portal认证的方式来实现用户的安全认证，即通过WAPI完成空口认证，用户认证通过后，获取IP地址，再启动Portal方式认证。但是，这种方式使得运营商需要构建并维护两套安全体系，如图3所示，维护复杂，且需要对用户进行两次认证过程，为用户带来较差的用户体验。 

发明内容

有鉴于此，本发明提供了一种安全认证的方法、系统和装置，仅需要运营商构建并维护一套安全体系，进行一次认证过程，便可以实现STA接入城域网的安全认证，为用户带来较好的用户体验。 

一种安全认证的方法，该方法包括： 

A、AC激活对STA的空口认证后，将空口认证请求封装在Radius协议报文中发送给BRAS； 

B、BRAS从封装了空口认证请求的Radius协议报文中获取所述STA的MAC地址和用户标识信息，记录所述STA的MAC地址和用户标识信息的对应关系，将所述封装了空口认证请求的Radius协议报文发送给空口认证服务器， 并将空口认证服务器返回的封装了认证结果的Radius协议报文发送给所述AC； 

C、所述AC确定所述认证结果为认证成功时，授权所述STA接入无线网络；所述BRAS如果确定所述认证结果为认证成功时，则在接收到所述STA发送的动态主机分配协议DHCP请求后，将为所述STA分配的IP地址发送给所述STA，并将所述STA的IP地址加入允许接入城域网的访问控制列表ACL。 

一种接入控制器AC，该AC包括：空口处理单元和Radius处理单元； 

所述空口处理单元，用于激活对STA的空口认证后，将空口认证请求提供给Radius处理单元；在所述Radius处理单元提供的认证结果为认证成功时，授权所述STA接入无线网络；