一种WAPI实现方法和集中型接入控制器设备 【技术领域】
本发明涉及WAPI(WLAN Authentication and PrivacyInfrastructure,无线局域网鉴别与保密基础结构)技术,尤其涉及一种基于集中控制型AC(Access Controller,接入控制器)和AP(AccessPoint,无线接入点)架构下的WAPI实现方法和AC设备。
背景技术
传统的无线接入点将多种功能集为一身,如:物理层、链路层、用户数据加密、用户的认证、QoS(服务质量)、安全策略、用户的管理及其他应用层功能。这类无线接入点俗称为“胖”AP。其特点是配置灵活、安装简单、性价比高,但AP之间相互独立,无法适合用户密度高、多个AP连续覆盖等环境复杂的场所。为此产生集中控制型AC+AP设备,通过集中控制器AC和轻量级AP配合,实现“胖”AP设备的功能。
WAPI技术,就是实现对WAPI终端、无线接入点AP、AS服务器(WAPI认证服务器)三者之间相互进行身份鉴别,只有身份都鉴别通过后,WAPI终端才能被允许接入网络,即合法的用户接入合法的AP设备和合法的网络,WAPI用户才能正常使用WLAN业务,保证了WAPI用户使用的安全性和数据传输的安全性。为了使用WAPI技术,WAPI终端必须安装AS服务器颁发的用户证书和AS服务器证书,AP设备必须安装AS服务器颁发的设备证书和AS服务器证书,其中用户证书和设备证书分别作为WAPI终端和AP设备的数字身份凭证。
目前基于集中控制型AC+AP(轻量级AP)架构实现的WAPI技术,设备证书是安装在AC设备上,然后通过AC将证书下发给轻量级AP设备,WAPI终端认证通过后产生的点播和组播基密钥是在轻量级AP设备上,对每个空口报文都需要在轻量级AP设备上进行解密或加密。
这里会存在如下问题:AC设备下发证书通道的安全性以及AP设备本身的安全性,使得AP证书存在被盗用的可能;AP设备与AC设备间业务的数据安全性依赖于厂商自定义隧道,不能保证其有足够的安全性和私密性;轻量级AP设备的性能有限,因此当一个轻量级AP设备下关联的WAPI终端较多时,会影响轻量级AP设备的性能,最终会影响用户的体验;每个轻量级AP设备都要维护二张证书(设备证书、AS服务器证书),日常维护管理比较困难。
【发明内容】
本发明要解决的一个技术问题是提供一种WAPI实现方法,具有较高的安全性、维护的方便性和提升用户体验。
本发明提供一种WAPI实现方法,在AC设备上存储WAPI证书,该方法包括:终端关联AP设备,AP设备向AC设备通告终端关联事件;AC设备与终端进行接入鉴权;AC设备与AS完成证书鉴权;终端和AC设备交互的接入鉴权消息由AP设备转发。
根据本发明的WAPI实现方法的一个实施例,还包括:AC设备和终端进行单播密钥协商,终端和AC设备交互的单播密钥协商消息由AP设备转发;AC设备向终端通告广播密钥,终端和AC交互的广播密钥通告消息由AP设备转发。AC设备对发往/来自所述终端的业务数据进行加密/解密,通过AP设备实现AC设备与终端间的加密业务数据的转发。
本发明提供的WAPI实现方法,在AC设备上存储WAPI证书,由AC与终端实现WAPI接入认证,可以避免现有技术的WAPI实现方法中由于AP导致的安全性问题,具有较高的安全性。
本发明还提供一种应用上述方法的AC设备,该AC设备包括:存储模块,用于存储WAPI证书;接入鉴权模块,用于接收终端关联事件,向终端发送鉴别激活指示,接收来自终端的接入鉴别请求,向终端发送接入鉴别响应;证书鉴权模块,用于向AS发送证书鉴别请求,证书鉴别请求中包括存储模块中存储的WAPI证书,接收来自AS的证书鉴别响应。
根据本发明的AC设备的一个实施例,该AC设备还包括:单播密钥协商模块,用于和所述终端进行单播密钥协商;广播密钥通告模块,用于向所述终端通告广播密钥;业务报文处理模块,对发往/来自所述终端的业务数据进行加密/解密。
【附图说明】
图1示出本发明的WAPI实现方法一个实施例的流程图;
图2示出本发明的WAPI实现方法另一个实施例的流程图;
图3示出本发明的WAPI实现方法又一个实施例的流程图;
图4示出本发明的AC设备的一个实施例的结构图;
图5示出本发明的AC设备的另一个实施例的结构图。
【具体实施方式】
下面参照附图对本发明进行更全面的描述,其中说明本发明的示例性实施例。在附图中,相同的标号表示相同或者相似的组件或者元素。
本发明的基本思想是,在AC设备上存放轻量级AP的WAPI证书;当轻量级AP与AC建立隧道后,与现有技术中AC将AP的WAPI证书下发给AP不同,AC并不向轻量级AP下发AP地WAPI证书,终端通过AC与AS完成WAPI证书鉴权工作。
WAI采用公开密钥密码体制,利用证书来对WLAN系统中的STA和AP进行认证。WAI定义了一种名为ASU(Authentication ServiceUnit,验证服务单元)的实体,该实体通常位于AS服务器中,用于管理参与信息交换各方所需要的证书(包括证书的产生、颁发、吊销和更新)。证书里面包含有证书颁发者(ASU)的公钥和签名以及证书持有者的公钥和签名(签名采用的是WAPI特有的椭圆曲线数字签名算法),是网络设备的数字身份凭证。
图1示出本发明的WAPI实现方法一个实施例的流程图。在图中,AC设备处理终端鉴权认证流程,并协商基密钥的流程。具体流程如下:
在步骤102,终端关联AP设备,AP设备向AC设备通告终端关联事件。终端在关联到AP之后,AP将关联事件通告给AC,终端和AC必须相互进行身份鉴别。先由STA将自己的证书和当前时间提交给AP,然后AP将STA的证书、提交时间转发给AC。
在步骤104,AC设备存取AP设备关联的WAPI证书,发起接入鉴别流程,终端和AC设备交互的鉴别消息由轻量级AP设备转发。AC设备存取AP设备关联的WAPI证书,然后将STA的证书、提交时间以及对应AP设备关联的WAPI证书一起用对应AP设备的私钥形成签名,并将这个签名连同该3部分一起发送给AS。
在步骤106,AC设备与AS交互进行证书鉴权。证书鉴别由AS来完成,当其收到AC提交来的鉴别请求之后,会先验证AP的签名和AP的证书。当鉴别成功之后,进一步验证终端的证书。最后,AS将终端的鉴别结果信息和AP的鉴别结果信息用自己的私钥进行签名,并将这个签名连同这两个结果发回给AC。
AC对收到的结果进行签名验证,并得到对终端的鉴别结果,根据这一结果来决定是否允许该终端接入。同时AC需要将AS的验证结果转发给终端,终端也要对AS的签名进行验证,并得到AP的鉴别结果,根据这一结果来决定是否接入AP。
图2示出本发明的WAPI实现方法另一个实施例的流程图。
如图2所示,在步骤202,在AC上安装从AS颁发的WAPI证书,配置轻量级AP与WAPI证书的关联关系,AC配置WAPI能力信息至轻量级AP;
在步骤204,轻量级AP通过Beacon/Probe Request向终端通告它的WAPI能力;
在步骤206,WAPI终端关联/去关联至轻量级AP;
在步骤208,轻量级AP将终端关联/去关联事件上报至AC;
在步骤210~212,AC与终端进行接入鉴权。AC建立终端上下文,并获取AP关联的WAPI证书,发起鉴别流程。AC直接与AS交互获取证书鉴别结果。AC与终端间的WAI报文通过与AP的控制通道进行转发;通过鉴别流程,AC与终端协商出基密钥,并保存在AC上的终端上下文中;基密钥用于协商单播密钥和组播密钥。
在步骤214,AC发起与终端的单播密钥协商流程,单播密钥协商结果,即单播密钥保存在AC上的终端上下文中,用于用户数据的加密和解密。
在步骤216,AC发起与终端的广播密钥通告流程;通告流程结束后,AC与终端交互加密报文。
在步骤218,AC对发往/来自终端的业务数据进行加密/解密。
终端发往AC的业务报文处理流程包括:AP接收终端的无线加密的业务报文;AP直接向AC转发无线加密的业务报文;AC根据终端上下文获取密钥;根据WPI协议,AC对无线加密报文解密,并验证MIC等处理。
AC发往终端的业务报文处理流程包括:AC获取终端关联的轻量级AP的上下文,构建业务报文的无线帧头;AC根据终端上下文获取密钥;根据WPI协议,AC对无线业务报文构建MIC(MessageIntegrity Code,消息完整性码),并对数据进行加密等处理;AC对经WPI处理的无线加密的业务报文转发至终端关联的轻量级AP;AP直接在空口发送该无线加密的业务报文。
图3示出本发明的WAPI实现方法又一个实施例的流程图。
在步骤302,轻量级AP向终端发送Beacon消息,消息中包括SSID和WAPI能力集信息。
在步骤304,终端向轻量级AP发送认证Authentication消息。
在步骤306,轻量级AP向终端发送Association消息,消息中包括关联的SSID和WAPI能力集信息。
在步骤308,AC设备向终端发送鉴别激活指示。该指示经过轻量级AP转发到终端。
在步骤310,、终端向AC设备发送接入鉴别请求。该请求经过轻量级AP转发到AC。
在步骤312,AC设备向AS发送证书鉴别请求。
在步骤314,AS向AC设备发送证书鉴别响应。
在步骤316,AC设备向终端返回接入鉴别响应。该响应经过轻量级AP转发到终端。
在步骤318,AC设备向终端发送单播密钥协商请求。该请求经过轻量级AP转发到终端。
在步骤320,终端向AC设备发送单播密钥协商响应。该响应经过轻量级AP转发到AC。
在步骤322,AC设备向终端发送单播密钥协商确认。该确认经过轻量级AP转发到终端。
在步骤324,AC设备向终端发送组播密钥/站间密钥通告。
在步骤326,终端向AC设备发送组播密钥/站间密钥响应。
图3中的步骤302~306属于802.11链路协商过程31,步骤318~322属于单播密钥协商流程32,步骤324~326属于组播密钥协商流程33,步骤308~326属于WAPI接入控制流程34。
根据本发明的一个实施例,多个轻量级AP设备共用WAPI证书。在同一个AC管理的众多AP中,根据业务需要,同时有多种WAPI证书运用方式,例如一个AP用一张WAPI证书、多个AP共用同一张WAPI证书。在多个AP共用WAPI证书的情况下,便于AC对于AP的管理和维护。
为实现WAPI技术,本发明的AC设备主要实现以下功能:配置AP的WAPI能力信息;安装WAPI证书,并与AP建立关联关系;处理终端关联/去关联事件;发起终端鉴别流程,协商与终端的基密钥;发起终端单播密钥协商流程;发起终端广播密钥通告流程;对发往/来自终端的业务数据进行加密/解密。本发明的轻量级AP设备主要实现如下功能:通告AP的WAPI能力信息;终端的WAPI关联;向AC报告终端的关联/去关联事件;转发AC与终端间的WAI协议;转发发往/来自终端的加密业务数据。轻量级AP分为二个逻辑端口:受控端口、非受控端口。当用户WAPI认证通过之前,只有用户的认证报文通过轻量级AP的非受控端口传送到AC进行处理;当用户WAPI认证通过后,轻量级AP的受控端口打开,允许用户的业务报文通过受控端口传输。
图4示出本发明的AC设备的一个实施例的结构图。如图4所示,该AC设备包括存储模块41、接入鉴权模块42和证书鉴权模块43。其中,存储模块,用于存储WAPI证书。接入鉴权模块42,用于接收终端关联事件,向终端发送鉴别激活指示,接收来自终端的接入鉴别请求,向终端发送接入鉴别响应,从而完成接入鉴权流程。证书鉴权模块43,用于向AS发送证书鉴别请求,证书鉴别请求中包括存储模块41中存储的WAPI证书,接收来自AS的证书鉴别响应,和AS完成证书鉴权流程。
图5示出本发明的AC设备的另一个实施例的结构图。图5的实施例除了包括图4中的存储模块41、接入鉴权模块42和证书鉴权模块43外,还包括单播密钥协商模块54、广播密钥通告模块55和业务报文处理模块56。其中,单播密钥协商模块54用于和终端进行单播密钥协商。单播密钥协商模块54向终端发送单播密钥协商请求,该请求经过轻量级AP转发到终端。单播密钥协商模块54接收来自终端的单播密钥协商响应,该响应经过轻量级AP转发到AC。单播密钥协商模块54向终端发送单播密钥协商确认,该确认经过轻量级AP转发到终端。广播密钥通告模块55,用于向终端通告广播密钥。广播密钥通告模块55向终端发送组播密钥/站间密钥通告;广播密钥通告模块55接收终端向AC设备发送的组播密钥/站间密钥响应。业务报文处理模块56,对发往/来自终端的业务数据进行加密/解密。业务报文处理模块56接收来自终端的业务数据,根据终端上下文获取与该终端对应的密钥,根据WPI协议对无线加密报文解密,并验证MIC等处理。业务报文处理模块56获取终端关联的轻量级AP的上下文,构建业务报文的无线帧头;根据终端上下文获取密钥;根据WPI协议对无线业务报文构建MIC,并对数据进行加密等处理;业务报文处理模块56对经WPI处理的无线加密的业务报文转发至终端关联的轻量级AP。
本发明的WAPI实现方法和AC设备,WAPI证书安装在AC设备上,而不是在通过AC设备下发给轻量级AP设备上;终端认证通过后,协商产生的点播和组播密钥,都放在AC设备上,而不是在轻量级AP设备上;证书维护方便,且能保证证书的安全性。用户空口报文的加解密是在AC设备上进行,而不是在轻量级AP设备上进行;提高加解密效率,提高用户业务体验。用户空口报文的加密从WAPI终端到轻量级AP设备之间延伸到从WAPI终端到AC设备,进一步提升了AP与AC间业务的数据安全性。轻量级AP设备与WAPI证书不需要一一对应,多个AP设备也可共用WAPI证书;便于对证书和AP设备进行管理。现有技术中在AP上保留了无线链路层的功能(例如,802.11协议),WAPI技术属于无线链路层的加密技术,所以现有技术中是由AP来完成的,本发明将无线链路层的WAPI功能移到了AC上来完成,同样实现了WAPI加密,并带来了如上所述的多个有益效果。
本发明的描述是为了示例和描述起见而给出的,而并不是无遗漏的或者将本发明限于所公开的形式。很多修改和变化对于本领域的普通技术人员而言是显然的。选择和描述实施例是为了更好说明本发明的原理和实际应用,并且使本领域的普通技术人员能够理解本发明从而设计适于特定用途的带有各种修改的各种实施例。