[发明专利]一种无线局域网下实现终端与服务器鉴别的系统及方法

说明书

技术领域

本发明涉及无线局域网通信领域，具体涉及一种无线局域网下实现终端 与服务器鉴别的系统及方法。

背景技术

为了解决无线局域网国际标准ISO/IEC 8802-11中定义的WEP(Wired Equivalent Privacy)安全机制存在的安全漏洞，我国颁布了无线局域网国家标 准及其第一号修改单，采用无线局域网认证与保密基础结构WAPI(Wireless Authentication Privacy Infrastructure，无线验证与保密结构)替代WEP，解决 无线局域网的安全问题。WAPI由无线局域网鉴别基础结构(WAI WLAN Authentication Infrastructure)和无线局域网保密基础结构(WPI WLAN Privacy Infrastructure)组成。WAI采用了公开密钥加密技术，用于终端与接 入点之间的互相身份鉴别；WPI采用国家密码管理委员会办公室批准的用于 WLAN的对称密码算法实现数据保护，对MAC子层的MSDU(Mac Server Data Unit，MAC服务数据单元)进行加、解密处理。规范中介绍的基础结 构包括了几个功能实体，接入点(AP，access point)是指任何一个具备站点 功能，通过无线媒体为关联的站点提供访问分布式服务的实体；鉴别请求者 实体(ASUE，authentication supplicant entity)是在接入服务之前请求进行鉴 别操作的实体；鉴别器实体(AE，authenticator entity)为鉴别请求者在接入 服务之前提供鉴别操作的实体。该实体主流在接入点或终端内；鉴别服务单 元(ASU，authentication service unit)的基本功能是实现对用户证书的管理和 用户身份的鉴别等，是基于公开密钥密码技术的WAI鉴别基础结构中重要 的组成部分；鉴别服务实体(ASE，authentication service entity)为鉴别器和鉴 别请求者提供身份鉴别服务的实体。该实体驻留在鉴别服务单元中，鉴别服 务单元对应网络中的节点为WAPI鉴别服务器。用户证书为公开密钥证书， 它是WAI系统构造中重要的环节。公开密钥证书是网络用户的数字身份凭 证，通过私有密钥验证可以唯一地确定网络用户的身份。

WAPI基础结构中的功能实体对应网络中的终端、接入点和鉴别服务器， 鉴别服务器包含了证书管理单元和鉴别服务单元。对于终端来说，如附图1 所示，需要使用WPI保密基础结构对802.11媒体访问控制子层(MAC， Media Access Control)的MAC协议数据分组(MPDU，MAC Protocol Data Unit)做加密和解密处理，另外，WAI信令在802.3以太网标准协议层中以 太网帧基础上构建，定义了新的帧类型字段，并要求在鉴别过程中丢弃除此 类型之外的其他以太网帧，这意味着已支持802.11的终端如需改造以支持 WAPI，物理层可以不做改动，但在MAC层MPDU数据处理上要增加WPI， 完成对称加密解密算法和对数据的完整性保护。在802.3以太网标准协议层 之上增加WAI功能，对新的以太网帧类型数据做类型筛查，并实现基于 WAPI证书的公开密钥保密机制。

扩展认证协议(EAP，Extensible Authentication Protocol)是基于端口的 网络接入控制协议，已经被IEEE802.1x采纳。EAP不是一个特殊的鉴别机 制，而应被视为一个鉴别框架。它常被用于无线网络或点到点的连接中。EAP 不仅可以用于无线局域网，而且可以用于有线局域网。EAP允许链接双方协 商出所希望的鉴别机制，这些机制被叫做EAP鉴别方法，当EAP被基于 802.1x的网络接入设备(诸如802.11a/b/g，无线接入点)调用时，EAP 可以提供一个安全认证机制，在用户和网络侧接入鉴别服务器之间提供一个 可以安全地协商出会话密钥的方法。诸多的EAP鉴别方法中，EAP-TLS(扩 展认证协议-传输层安全)基于PKI((Public Key Infrastructure，公钥基础设 施)基础上的用户公开密钥证书完成用户和网络的相互鉴别，被视为EAP 最安全的方法之一，EAP-TLS采用的证书类别，同WAPI一样，遵循X.509 标准的数字证书格式。