无线IP系统移动节点的漫游接入方法.pdf

摘要
申请专利号：	CN200410073229.4	申请日：	2004.11.04
公开号：	CN1602107A	公开日：	2005.03.30
当前法律状态：	授权	有效性：	有权
法律详情：	专利实施许可合同备案的生效IPC(主分类):H04Q 7/38合同备案号:2017990000497让与人:西安西电捷通无线网络通信股份有限公司受让人:阿尔派株式会社发明名称:无线IP系统移动节点的漫游接入方法申请日:20041104申请公布日:20050330授权公告日:20051102许可种类:普通许可备案日期:20171222\|\|\|专利实施许可合同备案的生效IPC(主分类):H04Q 7/38合同备案号:2017610000028让与人:西安西电捷通无线网络通信股份有限公司受让人:北京华信傲天网络技术有限公司发明名称:无线IP系统移动节点的漫游接入方法申请日:20041104申请公布日:20050330授权公告日:20051102许可种类:普通许可备案日期:20171122\|\|\|专利实施许可合同备案的生效IPC(主分类):H04Q 7/38合同备案号:2017610000015让与人:西安西电捷通无线网络通信股份有限公司受让人:海能达通信股份有限公司发明名称:无线IP系统移动节点的漫游接入方法申请日:20041104申请公布日:20050330授权公告日:20051102许可种类:普通许可备案日期:20170602\|\|\|专利实施许可合同备案的生效IPC(主分类):H04Q 7/38合同备案号:2017610000014让与人:西安西电捷通无线网络通信股份有限公司受让人:北京比邻科技有限公司发明名称:无线IP系统移动节点的漫游接入方法申请日:20041104申请公布日:20050330授权公告日:20051102许可种类:普通许可备案日期:20170601\|\|\|专利实施许可合同备案的生效IPC(主分类):H04Q 7/38合同备案号:2017610000005让与人:西安西电捷通无线网络通信股份有限公司受让人:上海宇飞来星河科技有限公司发明名称:无线IP系统移动节点的漫游接入方法申请日:20041104申请公布日:20050330授权公告日:20051102许可种类:普通许可备案日期:20170317\|\|\|专利实施许可合同备案的生效IPC(主分类):H04Q 7/38合同备案号:2017610000001让与人:西安西电捷通无线网络通信股份有限公司受让人:北京烽火联拓科技有限公司发明名称:无线IP系统移动节点的漫游接入方法申请日:20041104申请公布日:20050330授权公告日:20051102许可种类:普通许可备案日期:20170106\|\|\|专利实施许可合同备案的生效IPC(主分类):H04Q 7/38合同备案号:2016610000049让与人:西安西电捷通无线网络通信股份有限公司受让人:北京智享科技有限公司发明名称:无线IP系统移动节点的漫游接入方法申请日:20041104申请公布日:20050330授权公告日:20051102许可种类:普通许可备案日期:20161117\|\|\|专利权人的姓名或者名称、地址的变更IPC(主分类):H04Q 7/38变更事项:专利权人变更前:西安西电捷通无线网络通信有限公司变更后:西安西电捷通无线网络通信股份有限公司变更事项:地址变更前:710075 陕西省西安市高新二路12号协同大厦4F.C座变更后:710075 陕西省西安市高新二路12号协同大厦4F.C座\|\|\|授权\|\|\|实质审查的生效\|\|\|公开
IPC分类号：	H04Q7/38; H04L29/06	主分类号：	H04Q7/38; H04L29/06
申请人：	西安西电捷通无线网络通信有限公司;
发明人：	黄振海; 赖晓龙; 颜湘; 郭宏; 张变玲; 曹军
地址：	710075陕西省西安市高新二路12号协同大厦4F.C座
优先权：
专利代理机构：	西安智邦专利商标代理有限公司	代理人：	徐秦中
PDF下载：	PDF下载

内容摘要

本发明是一种无线IP网络移动节点的漫游接入方法。本发明基于无线局域网国家标准GB 15629.11，移动节点MN和接入节点AP以及外地认证服务器F－AS之间的消息和无线局域网国家标准GB 15629.11中规定的一致。本发明在外地认证服务器和家乡认证服务器之间交互的消息为1轮，使认证过程的时延达到最小。同时，在证书鉴别响应消息中的签名由移动节点MN的家乡认证服务器H－AS生成，由接入节点AP的认证服务器F－AS替接入节点AP完成对移动节点MN身份的鉴别，这既保证了与无线局域网国家标准GB 15629.11的兼容性，又不损失安全性。

权利要求书

1、  一种无线IP系统移动节点的漫游接入方法，其特征在于，所述的移动节点MN内设置有家乡认证服务器H-AS颁发的证书信息，漫游接入过程包括如下步骤：
1)移动节点MN关联到接入节点AP后，接入节点AP把鉴别激活消息发给移动节点MN；
2)移动节点MN将移动节点MN的证书通过接入鉴别请求消息发往接入节点AP；
3)接入节点AP将移动节点MN的证书和接入节点AP的证书通过证书鉴别请求消息发给外地认证服务器F-AS；
4)外地认证服务器F-AS验证证书鉴别请求消息中接入节点AP的签名和接入节点AP的证书，并判断移动节点MN是否为本地节点，若移动节点MN是本地节点，则外地认证服务器F-AS即为家乡认证服务器H-AS，执行步骤5)；否则外地认证服务器F-AS将接入节点AP的证书鉴别结果信息和移动节点MN的证书构成漫游证书鉴别请求消息发送到移动节点MN的家乡认证服务器H-AS；
5)家乡认证服务器H-AS验证移动节点MN的证书，完成之后，构造漫游证书鉴别响应消息发送给外地认证服务器F-AS；
若移动节点MN为本地节点，则家乡认证服务器H-AS构造证书鉴别响应消息发送给接入节点AP，执行步骤7)；
6)外地认证服务器F-AS验证家乡认证服务器H-AS的签名，若签名验证成功，则根据漫游证书鉴别响应消息生成证书鉴别响应消息，消息内容和漫游证书鉴别响应消息相同，发送给接入节点AP；否则，外地认证服务器将消息中的移动节点MN的证书鉴别结果改为“证书的颁发者不明确”，构造证书鉴别响应消息，发送给接入节点AP；
7)接入节点AP判断证书鉴别响应消息中的移动节点MN的证书鉴别结果信息，若证书鉴别结果成功，则发送接入鉴别响应消息给移动节点MN；否则解除与移动节点MN的链路验证；
8)移动节点MN收到接入鉴别响应消息后，验证家乡认证服务器H-AS的签名并判断接入节点AP的证书鉴别结果信息，成功后进入密钥协商阶段；否则解除与接入节点AP的链路验证。

2、  根据权利要求1所述的方法，其特征在于，所述的接入鉴别请求消息是指移动节点MN将移动节点MN证书与接入鉴别请求时间组成接入鉴别请求消息发往接入节点AP。

3、  根据权利要求1所述的方法，其特征在于，所述的证书鉴别请求消息是指接入节点AP收到接入鉴别请求消息后，将移动节点MN的证书、接入鉴别请求时间、接入节点AP的证书及接入节点AP对前述移动节点MN证书、接入鉴别请求时间和接入节点AP的证书的签名构成证书鉴别请求消息，发给外地认证服务器F-AS。

4、  根据权利要求1所述的方法，其特征在于，所述的漫游证书鉴别请求消息包括接入节点AP的证书鉴别结果信息和移动节点MN的证书。

5、  根据权利要求1所述的方法，其特征在于，所述的漫游证书鉴别响应消息包括接入节点AP的证书鉴别结果信息、移动节点MN的证书鉴别结果信息和家乡认证服务器H-AS对前述接入节点AP的证书鉴别结果信息和移动节点MN的证书鉴别结果信息的签名。

6、  根据权利要求1所述的方法，其特征在于，所述的证书鉴别响应消息包括接入节点AP的证书鉴别结果信息、移动节点MN的证书鉴别结果信息和家乡认证服务器H-AS对接入节点AP的证书鉴别结果信息和移动节点MN的证书鉴别结果信息的签名。

7、  根据权利要求1所述的方法，其特征在于，所述的接入鉴别响应消息包括接入节点AP的证书鉴别结果信息、移动节点MN的证书鉴别结果信息和家乡认证服务器H-AS对接入节点AP的证书鉴别结果信息和移动节点MN的证书鉴别结果信息的签名。

8、  根据权利要求2或3所述的方法，其特征在于，所述的接入鉴别请求时间是当前时间或一串随机数据。

说明书

无线IP系统移动节点的漫游接入方法
技术领域
本发明属于无线IP系统领域，具体地说是一种无线IP系统移动节点的漫游接入方法。
背景技术
随着无线IP技术的发展，无线IP网络在实际应用中越来越普遍。无线IP系统的建设者们在很多地方建设了无线IP网络，这些网络可以属于不同的建设者或管理者。用户在某个网络建设者处注册后，可以在该建设者所属的区域(家乡域)使用网络资源。当用户到了一个他没有注册的建设者的区域(拜访域)时，如果拜访域和用户的家乡域有相应的合约，用户就可以使用拜访域的网络资源，这种情况称之为漫游。
用户在使用无线IP网络的网络资源时，要和网络相互确认身份，进行认证。目前在无线IP网络中使用的认证方法主要有PEAP(Protected EAP)和Web重定向。
PEAP消除了对客户公钥证书的要求，其认证过程分为两个阶段：第一阶段建立服务器认证的TLS(传输层安全)协议单向隧道；第二阶段在该隧道保护下，由认证服务器对客户端进行认证。该协议具有较好的扩展性和适应性，对于不同的客户可以采用相应的认证方式。其认证过程如下：
1)请求者发出EAP(扩展认证协议)开始消息给认证者；
2)认证者回复请求者以EAP请求身份消息；
3)请求者发送包括其NAI(网络访问标识)的EAP响应消息给认证者；
4)认证者把网络访问标识NAI封装在RADIUS(远程认证拨号用户服务)访问请求消息中转发给认证服务器；
5)认证服务器回复请求者一个PEAP开始包；
6)请求者和认证服务器之间进行两轮消息交互，完成传输层安全TLS协议过程，双方均推导出会话密钥，从而建立一个加密信道，该信道为请求者的认证提供保护；
7)认证服务器初始化一个新的EAP认证；
8)新的交换过程根据新的EAP认证的要求完成对请求者的认证；
9)认证服务器给认证者发送RADIUS_ACCEPT消息，其中包括认证服务器和请求者协商出来的会话主密钥并指示成功的认证。
该认证方法具有较好的扩展性和适应性，而且由于其第一部分通过传输层安全TLS协议建立了安全信道，在此安全信道的保护下，完成了对请求者的认证，请求者的身份可以得到保密；但该认证方法交互轮数要大于等于5轮，在漫游情况下，外地认证服务器和家乡认证服务器之间的交互轮数大于等于2轮，另外，上述方法与作为无线IP系统重要实现形式的无线局域网的现有的国家标准GB 15629.11中的认证方法不兼容。
Web重定向是基于应用层的认证方式，通过http协议获取用户输入的用户名和密码，无须专门安装客户端软件，应用范围广。其用户名和密码是以明文(采用http1.0)或弱加密(采用http1.1中的MD5算法)方法传输，不适用于无线环境。其改进方法是使用安全套接层SSL技术保护用户名和密码，其假定前提是用户要正确的验证网络服务器的证书，而这在通常情况下是不现实的。即使用户检查服务器的证书，由于基于浏览器的CA系统并不专为接入系统设计，证书域庞杂，证书颁发不严格，因此恶意的服务器获得一个大多数浏览器信任的根CA颁发的证书是很容易的。该方法的另外一个问题是TLS安全连接是在用户和拜访域的Web门户之间，在漫游情况下，用户的用户名和密码都被拜访域所得知，这不符合实际的要求。
因为外地认证服务器和家乡认证服务器在不同的管理域内，所以现有的认证方法的最大时延存在于外地认证服务器和家乡认证服务器之间，为了使认证的时延最小，应要求它们之间交互的消息为1轮。同时其安全性不能降低，不能把用户的密码泄漏给拜访域。从以上可以看出，现有的认证方法Web重定向和PEAP都不能同时满足这些要求。另外，它们与无线局域网国家标准GB 15629.11都不兼容。
无线局域网国家标准GB15629.11是目前我国在这一领域惟一获得批准的标准。标准中包含了全新的无线局域网鉴别与保密基础结构，这种安全机制由无线局域网鉴别基础结构和无线局域网保密基础结构两部分组成，分别实现对用户身份的鉴别和对传输的数据加密。
发明内容
本发明要解决的问题是提供一种无线IP系统移动节点的漫游接入方法，该方法在保证安全性和与无线局域网国家标准GB 15629.11兼容性的前提下，使认证过程在外地认证服务器和家乡认证服务器之间交互的消息为1轮。
解决上述问题的技术方案是：所提供的无线IP系统移动节点的漫游接入方法参见图2如下：
移动节点MN内设置有家乡认证服务器H-AS颁发的证书信息，漫游接入过程包括如下步骤：
1)移动节点MN关联到接入节点AP后，接入节点AP把鉴别激活消息发给移动节点MN；
2)移动节点MN将移动节点MN的证书通过接入鉴别请求消息发往接入节点AP；
3)接入节点AP将移动节点MN地证书和接入节点AP的证书通过证书鉴别请求消息发给外地认证服务器F-AS；
4)外地认证服务器F-AS验证证书鉴别请求消息中接入节点AP的签名和接入节点AP的证书，并判断移动节点MN是否为本地节点。若移动节点MN是本地节点，则外地认证服务器F-AS即为家乡认证服务器H-AS，执行步骤5)；否则外地认证服务器F-AS将接入节点AP的证书鉴别结果信息和移动节点MN的证书构成漫游证书鉴别请求消息发送到移动节点MN的家乡认证服务器H-AS：
5)家乡认证服务器H-AS验证移动节点MN的证书，完成之后，构造漫游证书鉴别响应消息发送给外地认证服务器F-AS；
若移动节点MN为本地节点，则家乡认证服务器H-AS构造证书鉴别响应消息发送给接入节点AP，执行步骤7)；
6)外地认证服务器F-AS验证家乡认证服务器H-AS的签名，若签名验证成功，则根据漫游证书鉴别响应消息生成证书鉴别响应消息，消息内容和漫游证书鉴别响应消息相同，发送给接入节点AP；否则，外地认证服务器将消息中的移动节点MN的证书鉴别结果改为“证书的颁发者不明确”，构造证书鉴别响应消息，发送给接入节点AP；
7)接入节点AP判断证书鉴别响应消息中的移动节点MN的证书鉴别结果信息，若证书鉴别结果成功，则发送接入鉴别响应消息给移动节点MN；否则解除与移动节点MN的链路验证；
8)移动节点MN收到接入鉴别响应消息后，验证家乡认证服务器H-AS的签名并判断接入节点AP的证书鉴别结果信息，成功后进入密钥协商阶段；否则解除与接入节点AP的链路验证。
至此，无线IP系统移动节点的漫游接入过程完成。
上述2)中的接入鉴别请求消息是指移动节点MN将移动节点MN证书与接入鉴别请求时间组成接入鉴别请求消息发往接入节点AP。
上述3)中的证书鉴别请求消息是指接入节点AP收到接入鉴别请求消息后，将移动节点MN的证书、接入鉴别请求时间、接入节点AP的证书及接入节点AP对前述移动节点MN证书、接入鉴别请求时间和接入节点AP证书的签名构成证书鉴别请求消息，发给外地认证服务器F-AS。
前述的接入鉴别请求时间可以是当前时间，也可以是一串随机数据。
上述4)中的漫游证书鉴别请求消息包括接入节点AP的证书鉴别结果信息和移动节点MN的证书。
上述5)中的漫游证书鉴别响应消息包括接入节点AP的证书鉴别结果信息、移动节点MN的证书鉴别结果信息和家乡认证服务器H-AS对接入节点AP的证书鉴别结果信息和移动节点MN的证书鉴别结果信息的签名。
上述5)中的证书鉴别响应消息包括接入节点AP的证书鉴别结果信息、移动节点MN的证书鉴别结果信息和家乡认证服务器H-AS对接入节点AP的证书鉴别结果信息和移动节点MN的证书鉴别结果信息的签名。
上述7)中的接入鉴别响应消息包括接入节点AP的证书鉴别结果信息、移动节点MN的证书鉴别结果信息和家乡认证服务器H-AS对接入节点AP的证书鉴别结果信息和移动节点MN的证书鉴别结果信息的签名。
本发明在外地认证服务器和家乡认证服务器之间交互的消息为1轮，所以效率更高。因为在证书鉴别响应消息中的签名是由移动节点MN的家乡认证服务器H-AS生成，所以接入节点AP无法验证移动节点MN身份，而由其认证服务器F-AS完成。但由于外地认证服务器F-AS和接入节点AP是相互信任的，接入节点AP信任外地认证服务器的鉴别结果，因此不损失安全性，同时保证了证书鉴别响应消息中的签名由一个认证服务器生成，与无线局域网国家标准GB15629.11兼容。
附图说明
图1是本发明所基于的系统逻辑结构图。
图2是本发明的流程图。
具体实施方式
在图1中MN是移动节点，AP是接入节点，F-AS和H-AS分别是外地和家乡认证服务器，并要求移动节点MN和接入节点AP都有各自所属认证服务器颁发的公钥证书和相应的私钥。图中的虚线表示逻辑上的安全连接，实线表示实际的物理连接。移动节点MN和它的家乡认证服务器H-AS共享安全联系K_<MN，H-AS>。接入节点AP和外地认证服务器F-AS存在安全信道A_<AP，F-AS>，接入节点AP和外地认证服务器F-AS相互信任；外地认证服务器F-AS和家乡认证服务器H-AS也存在安全信道A_<F-AS，H-AS>，外地认证服务器F-AS是被家乡认证服务器H-AS信任的。
图2给出了本发明的流程，其过程如前所述。图2中符号：Cert_AP、Cert_MN、Sig_AP、Sig_H-AS、Time、RES_AP、RES_MN为消息内容，其说明为：
Cert_AP——接入节点AP的公钥证书；Cert_MN——移动节点MN的公钥证书；Sig_AP——接入节点AP的签名；Sig_H-AS——家乡认证服务器H-AS的签名；Time——接入鉴别请求时间；RES_AP——接入节点AP的证书鉴别结果信息，包括接入节点AP的公钥证书、接入节点AP证书鉴别结果和Time；RES_MN——移动节点MN的证书鉴别结果信息，包括移动节点MN的公钥证书和移动节点MN证书鉴别结果。
除外地认证服务器F-AS和家乡认证服务器H-AS之间的漫游证书鉴别请求消息和漫游证书鉴别响应消息外，本发明中规定的移动节点MN和接入节点AP以及外地认证服务器F-AS之间的消息和无线局域网国家标准GB15629.11中规定的一致。所以本发明与无线局域网国家标准GB15629.11兼容。
本发明的安全性基于无线局域网国家标准GB15629.11中的无线局域网鉴别和保密基础结构，但接入节点AP对家乡认证服务器H-AS发送的漫游证书鉴别响应消息中的家乡认证服务器H-AS签名并不验证，而由外地认证服务器F-AS替接入节点AP进行验证。由于外地认证服务器F-AS和家乡认证服务器H-AS存在信任关系和安全信道，接入节点AP和外地认证服务器F-AS存在信任关系和安全信道，所以外地认证服务器F-AS替接入节点AP验证漫游证书鉴别响应消息中的H-AS的签名，不会损失安全性。
本发明所涉及的其它技术术语如下：
TLS-传输层安全(Transport Layer Security)
EAP-扩展认证协议(Extensible Authentication Protocol)；
RADIUS-远程认证拨号用户服务(Remote Authentication Dial In UserService)；
PEAP-保护可扩展身份验证协议(Protected EAP)。