一种WAPI终端访问Web应用站点的系统及方法 【技术领域】
本发明涉及无线局域网技术,具体涉及一种WAPI(WLANAuthentication and Privacy Infrastructure,无线局域网鉴别和保密基础结构)终端访问Web应用站点的系统及方法。
背景技术
单点登录(Single Sign On,即SSO)是在多个应用系统中,用户只需要登录一次就可以访问所有相互信任的应用系统。它包括可以将这次主要的登录映射到其他应用中用于同一个用户的登录的机制。
当用户第一次访问应用系统1的时候,因为还没有登录,会被引导到认证系统中进行登录;根据用户提供的登录信息,认证系统进行身份校验,如果通过校验,应该返回给用户一个认证的凭据--ticket;用户再访问别的应用的时候就会将这个ticket带上,作为自己认证的凭据,应用系统接受到请求之后会把ticket送到认证系统进行校验,检查ticket的合法性。如果通过效验,用户就可以在不用再次登录的情况下访问应用系统2和应用系统3了。
WAPI(WLAN Authentication and Privacy Infrastructure,无线局域网鉴别和保密基础结构)是中国提出的以802.11无线协议为基础的无线安全标准。WAPI协议包括两个部分:WAI(WLAN Authentication Infrastructure,无线局域网鉴别基础结构)和WPI(WLAN Privacy Infrastructure,无线局域网保密基础结构)。WAI是用于无线局域网中身份鉴别和密钥管理的安全方案。WPI是用于无线局域网中数据传输保护的安全方案,包括数据加密、数据鉴别和重放保护等功能。
典型的WAPI系统主要包括鉴别器实体(AE,Authenticator Entity)、鉴别请求者实体(ASUE:Authentication Supplicant Entity)和鉴别服务器实体(ASE:Authentication Service Entity),其中:鉴别请求者实体是在接入服务之前请求进行鉴别操作的实体,驻留在STA(无线客户端)中,可以理解为终端;鉴别器实体为鉴别请求者实体在接入服务之前提供鉴别操作,一般驻留在AP(接入点)或STA中;鉴别服务器实体为鉴别器实体和鉴别请求者实体提供相互鉴别的服务。
WAPI终端在接入WAPI网络时,要通过鉴别服务器实体的鉴别;若接入WAPI网络后访问Web应用站点则需重新登录;若要实现单点登录,也要被引导到认证系统中进行登录。而在WLAN和3G网络融合的网络环境下,运营商对终端用户签约业务的统一认证管理需求与日俱增,如果沿用单点登录的现有技术,会大大增加WAPI终端访问Web网页以及实现单点登录的复杂性,降低用户体验。现有技术无法应对WLAN和3G网络融合的发展趋势,以及运营商在融合网络下对终端用户签约业务的统一认证管理需求。
【发明内容】
本发明要解决的技术问题是提供一种WAPI终端访问Web应用站点的系统及方法,解决了现有技术中WAPI终端访问每个Web应用站点时均需重新登录的问题。
为了解决上述问题,本发明提供了一种WAPI终端访问Web应用站点的方法,包括:
WAPI终端接入WiFi(无线保真)网络时,鉴别服务器实体为所述WAPI终端生成一个ticket(认证凭据);当所述WAPI终端访问Web应用站点时携带所述ticket,所述Web应用站点请求所述鉴别服务器实体对该ticket进行认证,鉴别服务器实体完成对所述ticket的认证,并将认证结果返回至Web应用站点,若认证通过则允许所述WAPI终端访问所述Web应用站点。
进一步地,所述WAPI终端接入WiFi网络时,鉴别服务器实体为所述WAPI终端生成一个ticket是指,若所述WAPI终端通过了鉴别服务器实体的鉴别,则鉴别服务器实体为所述WAPI终端生成一个ticket,并向鉴别器实体发送证书鉴别响应分组时携带所述ticket,所述鉴别器实体向WAPI终端发送接入鉴别响应分组时携带所述ticket,所述WAPI终端保存该ticket。
进一步地,鉴别服务器实体收到Web应用站点发来的认证请求后先验证所述ticket是否为本鉴别服务器实体生成的,若是则进一步判断本地是否存储有与该ticket对应的用户证书,若存在则通过对所述ticket的验证,若所述ticket不是本鉴别服务器实体分配的或本地未存储与该ticket对应的用户证书,则对所述ticket的验证未通过,则所述鉴别服务器实体向Web应用站点返回认证失败的响应。
进一步地,若对所述ticket的验证通过,所述鉴别服务器实体根据用户WAPI证书查找本地存储的WAPI用户证书与用户IMSI之间的对应关系获知用户的IMSI(国际移动用户识别码),并根据所述IMSI从归属位置寄存器获取该用户签约的Web业务列表,若Web业务列表中包含申请验证用户身份的Web应用站点则已授权所述用户访问该Web应用站点,所述鉴别服务器实体向Web应用站点返回用户身份认证成功的响应,若Web业务列表中未包含申请验证用户身份的Web应用站点则所述鉴别服务器实体向Web应用站点返回用户身份认证失败的响应。
本发明还提供一种WAPI终端访问Web应用站点的系统,包括WAPI终端、鉴别服务器实体及Web应用站点;
所述鉴别服务器实体,用于当所述WAPI终端接入WiFi(无线保真)网络时为WAPI终端生成一个ticket(认证凭据);以及收到Web应用站点发来的认证请求后完成对WAPI终端的ticket认证,并将认证结果返回至所述Web应用站点;
所述WAPI终端,用于访问所述Web应用站点时携带所述ticket;
所述Web应用站点,用于当所述WAPI终端访问时请求所述鉴别服务器实体对所述ticket进行认证,并对认证通过后允许所述WAPI终端访问该Web应用站点。
进一步地,所述系统还包括鉴别器实体;
所述鉴别服务器实体包括鉴别服务模块及单点接入服务模块;
所述鉴别服务模块用于当所述WAPI终端接入WiFi网络时对WAPI终端进行鉴别,并当鉴别通过时通知单点接入服务模块;以及向鉴别器实体发送证书鉴别相应分组时携带单点接入服务模块为WAPI终端生成的ticket;
所述单点接入服务模块用于当所述WAPI终端通过鉴别后为其生成一个ticket,并将生成的所述ticket发送至所述鉴别服务模块;
所述鉴别器实体用于向WAPI终端发送接入鉴别响应分组时携带所述ticket。
进一步地,所述单点接入服务模块还用于收到Web应用站点发来的认证请求后先验证所述ticket是否为本鉴别服务器实体生成的,若是则进一步判断本地是否存储有与该ticket对应的用户证书,若存在则通过对所述ticket的验证,若所述ticket不是本鉴别服务器实体分配的或本地未存储与该ticket对应的用户证书则对所述ticket的验证未通过,则向Web应用站点返回认证失败的响应。
进一步地,所述单点接入服务模块还用于对ticket地验证通过后根据用户WAPI证书查找本地存储的WAPI用户证书与用户IMSI之间的对应关系获知用户的IMSI(国际移动用户识别码),并根据所述IMSI从归属位置寄存器获取该用户签约的Web业务列表,若Web业务列表中包含申请验证用户身份的Web应用站点则向Web应用站点返回用户身份认证成功的响应,若Web业务列表中未包含申请验证用户身份的Web应用站点则向Web应用站点返回用户身份认证失败的响应。
综上所述,本发明提供一种WAPI终端访问Web应用站点的系统及方法,可以使运营商通过统一的认证服务系统,对使用运营商部署的Web应用站点的WAPI终端进行统一认证,减少了终端用户登录各种Web应用站点的次数,提高了用户使用Web应用站点的安全性以及用户体验。
【附图说明】
图1是ASE的系统结构图;
图2是本发明WAPI终端访问Web应用站点的交互流程图。
【具体实施方式】
本实施例提供一种WAPI终端访问Web应用站点的系统,如图1所示,该系统包括WAPI终端、鉴别服务器实体及Web应用站点;鉴别服务器实体包括鉴别服务模块及单点接入服务模块;
鉴别服务器实体,用于当WAPI终端接入WiFi(wireless fidelity,无线保真)网络时为WAPI终端生成一个ticket(认证凭据);以及收到Web应用站点发来的认证请求后完成对WAPI终端的ticket认证,并将认证结果返回至Web应用站点;
WAPI终端,用于访问Web应用站点时携带ticket;
Web应用站点,用于当WAPI终端访问时请求鉴别服务器实体对ticket进行认证,并对认证通过后允许WAPI终端访问该Web应用站点。
鉴别服务模块用于当WAPI终端接入WiFi网络时对WAPI终端进行鉴别,并当鉴别通过时通知单点接入服务模块;以及向鉴别器实体发送证书鉴别相应分组时携带单点接入服务模块为WAPI终端生成的ticket;
单点接入服务模块用于当WAPI终端通过鉴别后为其生成一个ticket,并将生成的ticket发送至鉴别服务模块;
鉴别器实体用于向WAPI终端发送接入鉴别响应分组时携带ticket。
单点接入服务模块还用于收到Web应用站点发来的认证请求后先验证ticket是否为本鉴别服务器实体生成的,若是则进一步判断本地是否存储有与该ticket对应的用户证书,若存在则通过对ticket的验证,若ticket不是本鉴别服务器实体分配的或本地未存储与该ticket对应的用户证书则对ticket的验证未通过,则向Web应用站点返回认证失败的响应。
单点接入服务模块还用于对ticket的验证通过后根据用户WAPI证书查找本地存储的WAPI用户证书与用户IMSI之间的对应关系获知用户的IMSI(international mobile subscriber identity,国际移动用户识别码),并根据IMSI从的HLR(Home Location Register,归属位置寄存器)获取该用户签约的Web业务列表,若Web业务列表中包含申请验证用户身份的Web应用站点则向Web应用站点返回用户身份认证成功的响应,若Web业务列表中未包含申请验证用户身份的Web应用站点则向Web应用站点返回用户身份认证失败的响应。
本实施例提供一种WAPI终端访问Web应用站点的方法,具体流程如图2所示,包括以下步骤:
步骤201:一个WAPI终端接入WiFi网络的流程中,ASE对AE和ASUE的证书进行鉴别后,向AE发送证书鉴别响应分组。如果ASUE(即该WAPI终端)通过了ASE的鉴别,则ASE为该WAPI终端生成一个ticket,并随证书鉴别相应分组,发送给AE。AE再将这个ticket附在接入鉴别响应分组中发送给ASUE,即WAPI终端。WAPI终端将此次接入WiFi获得的ticket保存,直至断开WiFi网络。
步骤202:WAPI终端在访问Web应用站点时,在访问请求中携带这个ticket。
步骤203:Web应用站点解析访问请求后发现请求中携带了ticket,则向ASE发送认证请求,携带该ticket,请求ASE对该ticket进行验证。
步骤204:ASE在收到Web应用站点发送的认证请求后,先对ticket进行验证。
具体为,ASE首先查看ticket是否合法,即判断该ticket是否为本ASE生成的,之后根据该ticket查找本地是否存在该ticket对应的用户证书,如果不能满足这两个条件则向Web应用站点返回认证失败的响应;如果满足,则通过对ticket的验证,并执行步骤205。
步骤205:ASE根据用户WAPI证书查找本地存储的WAPI用户证书与用户IMSI之间的对应关系获知用户的IMSI;
步骤206:ASE向核心网的HLR发起请求,其中携带用户的IMSI,以获取该用户的签约Web业务。
步骤207:HLR将该用户签约的Web业务列表返回给ASE。
步骤208:ASE根据接收的HLR返回的Web业务列表判断用户是否被授权访问该Web应用站点,即,当Web业务列表中包含申请验证用户身份的Web应用站点时表明已授权该用户访问该Web应用站点,否则未授权该用户访问该Web应用站点;
步骤209:若已授权该用户访问该Web应用站点,ASE向Web应用站点返回用户身份认证成功的响应;若未授权该用户访问该Web应用站点,ASE向Web应用站点返回认证失败响应。
步骤210:如果Web应用站点收到认证成功的响应,则WAPI终端可以直接访问该Web应用站点;如果Web应用站点收到认证失败的响应,则需要让终端用户重新登录才能访问该Web应用站点。