一种无线终端接入无线网络的方法及系统.pdf

一种无线终端接入无线网络的方法及系统
    【技术领域】

    本发明涉及无线终端对无线网络的接入技术，尤其涉及支持802.11系列无线协议的无线终端接入支持无线局域网鉴别与保密基础结构(WAPI，Wireless Authentication and Privacy Infrastructure)协议的无线网络的方法及系统。

    背景技术

    目前无线网络包括多种不同技术，其中应用最广泛的是电子和电气工程师学会(IEEE)的802.11系列，而中国也正在推进自主知识产权的无线局域网鉴别与保密基础结构(WAPI，WLAN Authentication and PrivacyInfrastructure)无线网络。

    但是，由于802.11系列协议与WAPI协议不兼容，所以当支持WAPI的无线网络进行规模应用时，对于现存的大量支持802.11系列协议的无线终端而言，除非更换支持WAPI协议的无线模块，否则无法接入和使用WAPI网络。

    WAPI协议主要包括两个部分，无线局域网鉴别基础结构(WAI，WLANAuthentication Infrastructure)和无线局域网保密基础结构(WPI，WLANPrivacy Infrastructure)。其中，WAI提供安全策略协商、用户身份鉴别以及接入控制的功能，它包括安全策略的发现与协商、鉴别和密钥协商协议；WAI采用公钥证书体制对无线客户端和接入点(AP，Access Point)通过鉴权服务器(AS，Authentication Server)进行双向身份鉴别。WPI提供用户通信数据的保密性、完整性，它包括WPI密码封装协议及密码算法，WPI采用对称密码算法对通信数据进行加密和解密，充分保障了数据传输的安全。

    无线终端中支持WAPI协议的无线模块，在搜索到WAPI网络并进行连接时，通过鉴权服务器AS对运营商提供的证书进行鉴别成功后，进入WPI的密匙协商流程，从而使得STA和AP双方均打开受控端口允许利用协商的密钥传输通信数据。

    而仅支持802.11系列协议的无线终端的无线模块由于没有上述运营商提供的证书，故无法通过证书鉴别以及进入WPI的密匙协商流程，因而无法接入使用WAPI网络。虽然，目前已有方案提出同时支持802.11x协议和WAPI协议的双模，但这种方式一方面增加了研发成本，另一方面仍然没有从实质上解决支持802.11系列协议的终端如何接入WAPI网络的问题。

    【发明内容】

    本发明所要解决的技术问题是提供一种无线终端接入无线网络的方法及系统，能够使仅支持802.11系列协议的无线终端也能够接入和使用支持WAPI协议的无线网络。

    为了解决上述技术问题，本发明提供了一种无线终端接入无线网络的方法，涉及支持802.11系列无线协议的无线终端、证书服务器数据库、无线局域网鉴别与保密基础结构(WAPI)接入点(AP)、WAPI鉴权服务器(AS)，该方法包括：

    证书服务器数据库保存支持802.11系列协议的无线终端申请获取的接入WAPI网络的临时证书；

    在无线终端搜索连接WAPI网络时，WAPI AP在WAPI AS通过对临时证书的鉴别后，根据对该临时证书的识别避开无线局域网保密基础结构(WPI)的密钥协商流程，并将该无线终端使用的控制端口设置为非受控状态。

    进一步地，该方法还包括：

    无线终端后续的业务数据流通过非受控状态的控制端口进行传输。

    进一步地，还涉及临时证书申请平台和后台服务器数据库；证书服务器数据库保存临时证书，具体包括：

    临时证书申请平台根据无线终端的申请向后台服务器数据库请求临时证书；后台服务器数据库将为该无线终端产生的临时证书保存，并与无线局域网鉴别基础结构(WAI)实体认证程序一起封装成安装包通过临时证书申请平台返回给该无线终端；同时，通知证书服务器数据库同步保存临时证书；

    或者，后台服务器数据库与证书服务器数据库为同一个服务器数据库；临时证书申请平台根据无线终端的申请向证书服务器数据库请求临时证书；证书服务器数据库将为该无线终端产生的临时证书与无线局域网鉴别基础结构(WAI)实体认证程序一起封装成安装包，通过临时证书申请平台返回给该无线终端；同时，保存该临时证书。

    进一步地，WAPI AP在WAPI AS通过对该临时证书的鉴别后，根据对该临时证书的识别避开WPI密钥协商流程，具体包括：

    WAPI AS用与WAPI网络证书鉴别的流程相同的流程对WAPI AS进行鉴别，并在鉴别通过后将鉴别成功消息发送给WAPI AP；

    WAPI AP根据临时证书的标识识别为临时证书，从而避免进入WPI密钥协商流程。

    进一步地，

    无线终端的用户通过有线或者拨号上网的方式在临时证书申请平台上下载安装包，该安装包中的WAI实体认证程序以动态链接库形式被封装，并最终被安装到该无线终端的系统文件夹内，该临时证书被导入到该无线终端的证书保存目录下保存。

    为了解决上述技术问题，本发明提供了一种无线终端接入无线网络的系统，包括支持802.11系列无线协议的无线终端、证书服务器数据库、无线局域网鉴别与保密基础结构(WAPI)接入点(AP)、WAPI鉴别服务器(AS)，其中：

    支持802.11系列无线协议的无线终端，用于在申请获取到接入WAPI网络的临时证书后，在需要接入WAPI网络时搜索和连接WAPI网络；

    证书服务器数据库，用于保存无线终端申请获取的接入WAPI网络的临时证书；

    WAPI AS，用于在无线终端搜索连接WAPI网络时，对该无线终端的临时证书进行鉴别，并在鉴别成功后通知WAPI AP；

    WAPI AP，用于收到WAPI AS的通知后，根据对临时证书地识别避开无线局域网保密基础结构(WPI)的密钥协商流程，并将该无线终端使用的控制端口设置为非受控状态。

    进一步地，

    无线终端通过该非受控状态的控制端口传输后续的业务数据流。

    进一步地，还包括临时证书申请平台和后台服务器数据库，其中：

    临时证书申请平台根据无线终端的申请向后台服务器数据库请求临时证书；

    后台服务器数据库将为该无线终端产生的临时证书保存，并与无线局域网鉴别基础结构(WAI)实体认证程序一起封装成安装包通过临时证书申请平台返回给该无线终端；同时，通知证书服务器数据库同步保存临时证书；

    或者，当后台服务器数据库与证书服务器数据库为同一个服务器数据库时：

    临时证书申请平台根据无线终端的申请向证书服务器数据库请求临时证书；

    证书服务器数据库将为该无线终端产生的临时证书与无线局域网鉴别基础结构(WAI)实体认证程序一起封装成安装包，通过临时证书申请平台返回给该无线终端；同时，保存该临时证书。

    进一步地，

    WAPI AS用与WAPI网络证书鉴别的流程相同的流程对WAPI AS进行鉴别，并在鉴别成功后通过鉴别成功消息通知WAPI AP；

    WAPI AP根据所述临时证书的标识识别为临时证书，从而避免进入WPI密钥协商流程。

    进一步地，

    无线终端的用户通过有线或者拨号上网的方式在临时证书申请平台上下载安装包，所述安装包中的WAI实体认证程序以动态链接库形式被封装，并最终被安装到该无线终端的系统文件夹内，该临时证书被导入到该无线终端的证书保存目录下保存。

    本发明针对目前市面上存在的对于支持802.11系列协议的无线终端无法接入WAPI无线网络的问题，提出一种折中、经济的解决方案，使仅支持802.11系列协议的无线终端通过一种临时证书也能够接入使用支持WAPI协议的无线网络，由此作为WAPI网络部署过程中的一种补充，既提高了WAPI无线网络利用率，也降低了无线终端产品的研发成本。

    【附图说明】

    图1是本发明的无线终端接入WAPI无线网络的方法实施例的流程图；

    图2是本发明的无线终端接入WAPI无线网络的系统实施例的框图。

    【具体实施方式】

    本发明提出一种无线终端接入无线网络的方法及系统，其发明构思是，为仅支持802.11系列无线协议的无线终端提供一临时证书，同时在WAPI接入点(AP)提供对该临时证书的鉴别，以使这类无线终端在接入WAPI无线网络时能够通过证书鉴别，并避免进入WPI的密钥协商流程，后续的通信数据流则通过无线终端的非受控端口来收发。

    以下结合附图和优选实施例对本发明的技术方案进行详细地阐述。以下例举的实施例仅仅用于说明和解释本发明，而不构成对本发明技术方案的限制。

    如图1所示，为本发明的无线终端接入WAPI无线网络的方法实施例的流程图，包括如下步骤：

    110：支持802.11系列协议的无线终端用户向证书服务器数据库申请获取接入WAPI网络的临时证书；

    该无线终端用户登陆运营商提供的临时证书申请平台(譬如通过网页实现)申请获取上述临时证书。

    上述WAPI网络中与鉴权服务器(AS)连接的证书服务器数据库与临时证书申请平台的后台服务器数据库可以是同一个服务器数据库，也可以是不同的服务器数据库。

    120：证书服务器数据库将临时证书安装包返回给该无线终端用户，其中包括临时证书和WAI实体鉴别程序，同时将该临时证书保存；

    当证书服务器数据库与后台服务器数据库是不同的服务器数据库时，则支持802.11系列协议的无线终端先向后台服务器数据库申请上述临时证书，由后台服务器数据库为该无线终端生成该临时证书并保存，然后由证书服务器数据库进行同步保存。

    该无线终端用户通过有线或者拨号上网的方式在运营商提供的临时证书申请平台中下载临时证书安装包程序，该安装包程序包括WAI实体认证程序和含有标识的临时证书。WAI实体认证程序以动态链接库(DLL，DynamicLink Library)形式被封装，并最终被安装到无线终端系统文件夹内，用于在无线终端上生成密钥数据和随机数，具体程序可参见WAPI协议，该临时证书最终被导入到无线终端的证书保存目录下。

    130：该类无线终端搜索到WAPI网络并进行连接时，由鉴权服务器AS对其临时证书进行鉴别；

    AS对无线终端保存在证书服务器数据库中的临时证书进行鉴别的流程，与对WAPI无线网络证书进行鉴别的流程相同。

    140：AP在鉴别成功后根据对该临时证书的识别避免其进入WPI的密钥协商流程，并将该类无线终端使用的控制端口设置为非受控状态；

    本发明需要在AP中新增一临时证书判断模块，该模块通过识别临时证书的标识判断该证书是临时证书，由此避开WPI的密钥协商流程，且将相应的无线终端使用的控制端口设置为非受控状态，这样，该无线终端后续的业务数据流便可使用该非受控端口进行传输。

    上述步骤完成后，该类无线终端就可以通过WAPI无线网络接入和使用互联网。

    150：该类无线终端后续的业务数据流通过该非受控状态的控制端口进行传输。

    上述本发明提出的无线终端接入无线网络的方法，可以实施在任何内置无线模块或外置无线装置的支持802.11系列协议的无线终端中。

    如图2所示，是本发明提出的无线终端接入无线网络的系统的一实施例，该系统包括：支持802.11系列协议的无线终端(简称802.11系列无线终端)、临时证书申请平台、后台服务器数据库、WAPI接入点(AP)、WAPI鉴权服务器(AS)以及证书服务器数据库，其中：

    802.11系列无线终端，用于在临时证书申请平台上申请临时证书，将临时证书申请平台下传的临时证书安装包下载到本地安装；在需要进行网络业务时搜索WAPI网络并进行连接，通过WAPI AS鉴别其临时证书，并通过WAPI AP开启的非受控状态的控制端口接收后续的业务数据流；

    在上述临时证书安装包安装成功后，其中WAI实体认证程序被安装到无线终端系统文件夹，临时证书最终导入到无线终端证书保存目录下。

    临时证书申请平台，用于根据802.11系列无线终端的申请，向后台服务器数据库发出生成临时证书的请求；将后台服务器数据库返回的临时证书安装包下传给802.11系列无线终端；

    该临时证书申请平台通过运营商提供的临时证书申请网页实现。

    后台服务器数据库，用于根据临时证书申请平台的请求，将生成的临时证书安装包返回给临时证书申请平台，同时将临时证书保存；

    该临时证书安装包包括临时证书以及WAI实体认证程序。

    证书服务器数据库，用于同步保存后台服务器数据库生成的临时证书。

    在另一实施例里，后台服务器数据库与证书服务器数据库可以合并为同一个服务器数据库。

    WAPI AS，用于在802.11系列无线终端搜索WAPI网络并进行连接时，对该无线终端保存在证书服务器数据库中的临时证书进行鉴别，并在鉴别成功后向WAPI AP发出携带有临时证书标识的鉴别成功消息；

    WAPI AP，用于根据鉴别成功消息中的临时证书标识，将该类无线终端使用的控制端口设置为非受控状态。

    WAPI AP根据临时证书标识避开WPI的密钥协商流程。

    综上实施例可以看出，本发明针对目前对于支持802.11系列协议的无线终端无法接入WAPI无线网络的问题，提出了一种折中、经济的解决方案，使支持802.11系列协议的无线终端通过一种临时证书便能够接入使用支持WAPI协议的无线网络，由此作为WAPI网络部署过程中的一种补充，既提高了WAPI无线网络利用率，也降低了无线终端产品的研发成本。

    以上有关本发明的无线终端接入WAPI无线网络的方法及系统的实施例，并不构成对本发明保护范围的限定。任何在本发明原则、精神范围内的修改或替换，都包含在本发明权利保护范围之内。