一种WAPI鉴别方法以及系统技术方案

本申请实施例提供了一种WAPI鉴别方法以及系统，该方法应用于接入地根AS，包括：响应于接入地区域AS发送的跨根第一鉴别请求报文，确定跨根第一鉴别请求报文对应的归属地根AS的信息；跨根第一鉴别请求报文是接入地区域AS在确定WAPI终端对应的属性为跨根AS漫游用户后触发的；将归属地根AS的信息，与接入地根AS的可信根AS信息进行比对；可信根AS信息包括与接入地根AS相互信任的一个或多个其他根AS的信息；若基于比对结果确定归属地根AS可信，则向归属地根AS发送跨根第二鉴别请求报文，以使归属地根AS基于跨根第二鉴别请求报文向归属地区域AS发送跨根第三鉴别请求报文，归属地区域AS基于跨根第三鉴别请求报文对WAPI终端进行鉴别，完成跨根AS的WAPI漫游鉴别。完成跨根AS的WAPI漫游鉴别。完成跨根AS的WAPI漫游鉴别。

【技术实现步骤摘要】
一种WAPI鉴别方法以及系统


[0001]本申请涉及无线局域网鉴别和保密基础结构(Wireless LAN Authentication and Privacy Infrastructure，WAPI)
，特别涉及一种WAPI鉴别方法以及系统。

技术介绍

[0002]WAPI是一种安全协议，同时也是中国无线局域网安全强制性标准，WAPI包含两部分：无线局域网鉴别基础结构(Wireless Local Area Networks Authentication Infrastructure，WAI)以及无线局域网保密基础结构(Wireless Local Area Networks Privacy Infrastructure，WPI)。WAI协议是WAPI协议中重要的基础部分，只有实现了身份的认证才可以进行数据的传输。
[0003]基于WAI协议可以进行身份的双向认证，即WAPI终端对无线局域网(Wireless Local Area Networks，WLAN)接入设备的认证，和WLAN接入设备对WAPI终端的认证，只有双向认证都通过了，WAPI终端与接入点之间才可以进行通信，从而保证传输的安全性。
[0004]相关技术中，针对漫游用户的身份鉴别，接入地区域鉴别服务器(Authentication Server，AS)将鉴别请求发送给归属地(漫游用户归属地)区域AS，通过归属地区域AS进行鉴别。
[0005]然而，上述针对漫游用户的身份鉴别方式，只能在同一中心AS(也就是根AS)下进行，不同根AS下属的区域AS之间相互不可信，即接入地区域AS只能向同根AS下的归属地区域AS发送漫游证书鉴别请求，无法进行跨根AS的WAPI漫游鉴别。

技术实现思路

[0006]本申请实施例提供了一种WAPI鉴别方法以及系统，用以实现跨根AS的WAPI漫游鉴别。
[0007]第一方面，本申请实施例提供了第一种WAPI鉴别方法，应用于接入地根AS，该方法包括：
[0008]响应于接入地区域AS发送的跨根第一鉴别请求报文，确定所述跨根第一鉴别请求报文对应的WAPI终端归属地根AS的信息；其中，所述跨根第一鉴别请求报文是所述接入地区域AS在收到WLAN接入设备发送的接入鉴别请求报文后，基于所述接入鉴别请求报文中的归属地根AS的信息，确定WAPI终端对应的属性为跨根AS漫游用户后触发的；
[0009]将所述归属地根AS的信息，与所述接入地根AS的可信根AS信息进行比对；其中，所述可信根AS信息包括与所述接入地根AS互相信任的一个或多个其他根AS的信息；
[0010]若基于比对结果确定所述归属地根AS可信，则基于所述跨根第一鉴别请求报文向所述归属地根AS发送跨根第二鉴别请求报文，以使所述归属地根AS基于所述跨根第二鉴别请求报文向所述归属地区域AS发送跨根第三鉴别请求报文，所述归属地区域AS基于所述跨根第三鉴别请求报文对所述WAPI终端进行鉴别。
[0011]一些可选的实施方式中，在将所述归属地根AS的信息，与所述接入地根AS的可信
根AS信息进行比对之后，还包括：
[0012]若基于比对结果确定所述归属地根AS不可信，则向所述接入地区域AS发送鉴别失败的信息，以使所述接入地区域AS将所述鉴别失败的信息发送给所述WLAN接入设备，所述WLAN接入设备基于所述鉴别失败的信息拒绝接收所述WAPI终端的关联。
[0013]一些可选的实施方式中，向所述归属地根AS发送跨根第二鉴别请求报文之后，还包括：
[0014]接收所述归属地根AS发送的针对所述跨根第二鉴别请求报文的跨根第二鉴别响应报文；其中，所述跨根第二鉴别响应报文是所述归属地根AS基于跨根第三鉴别响应报文生成的，所述跨根第三鉴别响应报文是所述归属地区域AS在对所述WAPI终端进行鉴别后生成，并发送给所述归属地根AS的；
[0015]基于所述跨根第二鉴别响应报文向所述接入地区域AS发送跨根第一鉴别响应报文，以使所述接入地区域AS基于所述跨根第一鉴别响应报文生成针对所述接入鉴别请求报文的接入鉴别响应报文，并将所述接入鉴别响应报文发送给所述WLAN接入设备。
[0016]第二方面，本申请实施例提供了第二种WAPI鉴别方法，应用于接入地区域AS，该方法包括：
[0017]在收到WLAN接入设备发送的接入鉴别请求报文后，基于所述接入鉴别请求报文中的WAPI终端归属地根AS的信息以及归属地区域AS的信息，确定WAPI终端对应的属性；
[0018]若所述WAPI终端对应的属性为跨根AS漫游用户，则向所述接入地区域AS对应的接入地根AS发送跨根第一鉴别请求报文，以使所述接入地根AS在收到所述跨根第一鉴别请求报文后，若基于可信根AS信息确定归属地根AS可信，则向所述归属地根AS发送跨根第二鉴别请求报文，所述归属地根AS基于所述跨根第二鉴别请求报文向所述归属地区域AS发送跨根第三鉴别请求报文，所述归属地区域AS基于所述跨根第三鉴别请求报文对所述WAPI终端进行鉴别；其中，所述可信根AS信息包括与所述接入地根AS互相信任的一个或多个其他根AS的信息。
[0019]一些可选的实施方式中，在向所述接入地区域AS对应的接入地根AS发送跨根第一鉴别请求报文之后，还包括：
[0020]接收所述接入地根AS发送的针对所述跨根第一鉴别请求报文的跨根第一鉴别响应报文；其中，所述跨根第一鉴别响应报文是所述接入地根AS基于跨根第二鉴别响应报文生成的，所述跨根第二鉴别响应报文是所述归属地根AS基于跨根第三鉴别响应报文生成并发送给所述的归属地根AS，所述跨根第三鉴别响应报文是所述归属地区域AS在对所述WAPI终端进行鉴别后生成，并发送给所述归属地根AS的；
[0021]基于所述跨根第一鉴别响应报文生成针对所述接入鉴别请求报文的接入鉴别响应报文，并将所述接入鉴别响应报文发送给所述WLAN接入设备。
[0022]一些可选的实施方式中，基于所述接入鉴别请求报文中的归属地根AS的信息以及归属地区域AS的信息，确定WAPI终端对应的属性，包括：
[0023]基于所述归属地区域AS的信息，确定所述接入地区域AS是否为所述归属地区域AS；以及，基于所述归属地根AS的信息，确定所述接入地根AS是否为所述归属地根AS；
[0024]若所述接入地区域AS为所述归属地区域AS，则确定所述WAPI终端对应的属性为本地用户；
[0025]若所述接入地区域AS不是所述归属地区域AS，且所述接入地根AS是所述归属地根AS，则确定所述WAPI终端对应的属性为同根AS漫游用户；
[0026]若所述接入地区域AS不是所述归属地区域AS，且所述接入地根AS不是所述归属地根AS，则确定所述WAPI终端对应的属性为跨根AS漫游用户。
[0027]一些可选的实施方式中，基于所述接入鉴别请求报文中的归属地根AS的信息以及归属地区域AS的信息，确定WAPI终端对应的属性之后，还包括：
[0028]若本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种无线局域网鉴别和保密基础结构WAPI鉴别方法，其特征在于，应用于接入地根鉴别服务器AS，该方法包括：响应于接入地区域AS发送的跨根第一鉴别请求报文，确定所述跨根第一鉴别请求报文对应的WAPI终端归属地根AS的信息；其中，所述跨根第一鉴别请求报文是所述接入地区域AS在收到无线局域网WLAN接入设备发送的接入鉴别请求报文后，基于所述接入鉴别请求报文中的归属地根AS的信息，确定WAPI终端对应的属性为跨根AS漫游用户后触发的；将所述归属地根AS的信息，与所述接入地根AS的可信根AS信息进行比对；其中，所述可信根AS信息包括与所述接入地根AS互相信任的一个或多个其他根AS的信息；若基于比对结果确定所述归属地根AS可信，则基于所述跨根第一鉴别请求报文向所述归属地根AS发送跨根第二鉴别请求报文，以使所述归属地根AS基于所述跨根第二鉴别请求报文向所述归属地区域AS发送跨根第三鉴别请求报文，所述归属地区域AS基于所述跨根第三鉴别请求报文对所述WAPI终端进行鉴别。2.如权利要求1所述的方法，其特征在于，在将所述归属地根AS的信息，与所述接入地根AS的可信根AS信息进行比对之后，还包括：若基于比对结果确定所述归属地根AS不可信，则向所述接入地区域AS发送鉴别失败的信息，以使所述接入地区域AS将所述鉴别失败的信息发送给所述WLAN接入设备，所述WLAN接入设备基于所述鉴别失败的信息拒绝接收与所述WAPI终端的关联。3.如权利要求1所述的方法，其特征在于，向所述归属地根AS发送跨根第二鉴别请求报文之后，还包括：接收所述归属地根AS发送的针对所述跨根第二鉴别请求报文的跨根第二鉴别响应报文；其中，所述跨根第二鉴别响应报文是所述归属地根AS基于跨根第三鉴别响应报文生成的，所述跨根第三鉴别响应报文是所述归属地区域AS在对所述WAPI终端进行鉴别后生成，并发送给所述归属地根AS的；基于所述跨根第二鉴别响应报文向所述接入地区域AS发送跨根第一鉴别响应报文，以使所述接入地区域AS基于所述跨根第一鉴别响应报文生成针对所述接入鉴别请求报文的接入鉴别响应报文，并将所述接入鉴别响应报文发送给所述WLAN接入设备。4.一种无线局域网鉴别和保密基础结构WAPI鉴别方法，其特征在于，应用于接入地区域鉴别服务器AS，该方法包括：在收到无线局域网WLAN接入设备发送的接入鉴别请求报文后，基于所述接入鉴别请求报文中的WAPI终端归属地根AS的信息以及归属地区域AS的信息，确定WAPI终端对应的属性；若所述WAPI终端对应的属性为跨根AS漫游用户，则向所述接入地区域AS对应的接入地根AS发送跨根第一鉴别请求报文，以使所述接入地根AS在收到所述跨根第一鉴别请求报文后，若基于可信根AS信息确定归属地根AS可信，则向所述归属地根AS发送跨根第二鉴别请求报文，所述归属地根AS基于所述跨根第二鉴别请求报文向所述归属地区域AS发送跨根第三鉴别请求报文，所述归属地区域AS基于所述跨根第三鉴别请求报文对所述WAPI终端进行鉴别；其中，所述可信根AS信息包括与所述接入地根AS互相信任的一个或多个其他根AS的信息。5.如权利要求4所述的方法，其特征在于，在向所述接入地区域AS对应的接入地根AS发
送跨根第一鉴别请求报文之后，还包括：接收所述接入地根AS发送的针对所述跨根第一鉴别请求报文的跨根第一鉴别响应报文；其中，所述跨根第一鉴别响应报文是所述接入地根AS基于跨根第二鉴别响应报文生成的，所述跨根第二鉴别响应报文是所述归属地根AS基于跨根第三鉴别响应报文生成并发送给所述的归属地根AS，所述跨根第三鉴别响应报文是所述归属地区域AS在对所述WAPI终端进行鉴别后生成，并发送给所述归属地根AS的；基于所述跨根第一鉴别响应报文生成针对所述接入鉴别请求报文的接入鉴别响应报文，并将所述接入鉴别响应报文发送给所述WLAN接入设备。6.如权利要求4所述的方法，其特征在于，基于所述接入鉴别请求报文中的WAPI终端归属地根AS的信息以及归属地区域AS的信息，确定WAPI终端对应的属性，包括：基于所述归属地区域AS的信息，确定所述接入地区域AS是否为所述归属地...

【专利技术属性】
技术研发人员：高波，
申请(专利权)人：中国电信股份有限公司，
类型：发明
国别省市：