公开(公告)号：CN100593936C

公开(公告)日：2010-03-10

申请号：CN200810018166.0

申请日：2008-05-09

Applicant: 西安西电捷通无线网络通信有限公司

Inventor： 张变玲 ,  曹军 ,  赖晓龙

IPC: H04L29/08 ,  H04L9/32 ,  H04L12/28

CPC classification number: H04W12/06 ,  H04L63/0823 ,  H04W84/12

Abstract: 本发明涉及一种基于无线局域网鉴别与保密基础结构WAPI的漫游认证方法。本发明采用终端和无线接入点启用WAPI安全机制，终端关联到无线接入点，启动WAPI鉴别过程等步骤，并为了解决如何实现证书漫游认证的具体方法以及无法获取外网鉴别服务器证书建立信任关系，终端可能无法实现漫游认证的技术问题而提供了一种高安全性、便捷性的基于WAPI的漫游认证方法。

公开(公告)号：CN100581171C

公开(公告)日：2010-01-13

申请号：CN200810231654.X

申请日：2008-09-28

Applicant: 西安西电捷通无线网络通信有限公司

Inventor： 赖晓龙 ,  曹军 ,  肖跃雷 ,  铁满霞 ,  黄振海 ,  张变玲

IPC: H04L29/06 ,  H04L12/56

Abstract: 本发明涉及一种适合超宽带网络的握手协议方法，本发明所提供的适合超宽带网络的握手协议方法，响应者收到第1条消息后，如果主密钥标识MKID和PKID都是合法的，那么生成随机数R-Nonce并构造第2条消息发送给发起者，没有任何计算量，也就是说，即使攻击者伪造不同的第1条消息发送给响应者，响应者也不用消耗计算资源，从而使Dos攻击难以实现，安全性高。

公开(公告)号：CN100566252C

公开(公告)日：2009-12-02

申请号：CN200710018414.7

申请日：2007-08-03

Applicant: 西安西电捷通无线网络通信有限公司

Inventor： 肖跃雷 ,  曹军 ,  赖晓龙 ,  黄振海

IPC: H04L9/32 ,  H04L29/06

CPC classification number: H04L63/20 ,  H04L9/321 ,  H04L9/3263 ,  H04L63/061 ,  H04L63/08 ,  H04L63/0869 ,  H04L63/0876 ,  H04L63/10 ,  H04L2209/127

Abstract: 一种基于三元对等鉴别的可信网络连接系统，其访问请求者的网络访问请求者与TNC客户端以数据承载方式连通，TNC客户端与完整性收集者以完整性度量收集接口连通。访问控制器的网络访问控制者与TNC服务端以数据承载方式连通，TNC服务端与完整性收集者以完整性度量收集接口连通。策略管理器的用户鉴别服务单元与平台评估服务单元以数据承载方式连通，平台评估服务单元与完整性校验者以完整性度量校验接口连通。本发明解决了背景技术可扩展性差、密钥协商过程复杂、安全性相对较低等技术问题。本发明在网络访问层和完整性评估层都采用了三元对等鉴别来实现双向的用户鉴别和平台完整性评估，因此，可提高整个可信网络连接架构的安全性。

公开(公告)号：CN100566240C

公开(公告)日：2009-12-02

申请号：CN200710019092.8

申请日：2007-11-16

Applicant: 西安西电捷通无线网络通信有限公司

Inventor： 铁满霞 ,  曹军 ,  庞辽军 ,  赖晓龙 ,  黄振海

IPC: H04L9/08 ,  H04L29/06 ,  H04L12/28

CPC classification number: H04L63/06 ,  H04L9/0844 ,  H04L9/3236 ,  H04L9/3273 ,  H04L63/1458 ,  H04W12/04 ,  H04W12/06 ,  H04W12/12

Abstract: 本发明涉及一种WAPI单播密钥协商方法。该方法步骤如下：1鉴别器实体在单播密钥协商请求分组上添加消息完整性码，发送给鉴别请求者实体；2鉴别请求者实体收到单播密钥协商请求分组后进行验证，不正确则直接丢弃该分组；正确则进行其他验证，验证成功，向鉴别器实体回应单播密钥协商响应分组；3鉴别器实体收到单播密钥协商响应分组后进行验证，验证成功则向鉴别请求者实体回应单播密钥协商确认分组；4鉴别请求者实体收到单播密钥协商确认分组后进行验证，验证成功协商出一致的单播会话密钥。本发明解决了目前WAPI安全机制中单播密钥管理协议存在的DoS攻击问题。

公开(公告)号：CN101577978A

公开(公告)日：2009-11-11

申请号：CN200910021418.X

申请日：2009-02-27

Applicant: 西安西电捷通无线网络通信有限公司

Inventor： 赖晓龙 ,  曹军 ,  杜志强 ,  铁满霞 ,  葛莉 ,  黄振海

IPC: H04W84/12 ,  H04L12/56

CPC classification number: H04W12/06 ,  H04L63/062 ,  H04L63/065 ,  H04L63/08 ,  H04L63/10 ,  H04W12/04 ,  H04W84/12 ,  H04W88/08 ,  H04W88/12 ,  H04W92/12

Abstract: 本发明涉及一种以本地MAC模式实现会聚式WAPI网络架构的方法，该方法包括以下步骤：1)构建本地MAC模式；将无线接入点的MAC功能和WAPI功能分别分离到无线终端点和访问控制器上；2)在本地MAC模式下，实现WAPI协议与会聚式WLAN网络体系架构的融合；2.1)站点与无线终端点以及访问控制器之间的关联连接过程；2.2)访问控制器与无线终端点之间WAI协议开始执行的通告过程；2.3)站点与访问控制器之间WAI协议的执行过程；2.4)访问控制器与无线终端点之间WAI协议执行结束的通告过程；2.5)无线终端点与站点之间利用WPI进行保密通信的过程。本发明不仅能够满足WLAN的大规模部署需求，而且能够保证会聚式体系架构下WLAN的安全性。

公开(公告)号：CN101577905A

公开(公告)日：2009-11-11

申请号：CN200910021423.0

申请日：2009-02-27

Applicant: 西安西电捷通无线网络通信有限公司

Inventor： 杜志强 ,  曹军 ,  铁满霞 ,  赖晓龙 ,  黄振海

IPC: H04W12/04 ,  H04W12/06 ,  H04W48/02 ,  H04W80/04 ,  H04W84/12

CPC classification number: H04W12/06 ,  H04L63/08 ,  H04L63/10 ,  H04W84/12

Abstract: 本发明涉及一种以分离MAC模式实现会聚式WAPI网络架构的方法，该方法包括以下步骤：1)构建由访问控制器实现WPI的分离MAC模式：将无线接入点的MAC功能和WAPI功能分别分离到无线终端点和访问控制器上；2)在由访问控制器实现WPI的分离MAC模式下，实现WAPI与会聚式WLAN网络体系架构的融合；2.1)站点与无线终端点以及访问控制器之间的关联连接过程；2.2)访问控制器与无线终端点之间WAI协议开始执行的通告过程；站点与访问控制器之间WAI协议的执行过程；2.3)站点与访问控制器之间WAI协议的执行过程；2.4)访问控制器与无线终端点之间WAI协议执行结束的通告过程；2.5)访问控制器与站点之间利用WPI进行保密通信的过程。本发明不仅能够满足WLAN的大规模部署需求，而且能够保证会聚式体系架构下WLAN的安全性。

公开(公告)号：CN100534037C

公开(公告)日：2009-08-26

申请号：CN200710018976.1

申请日：2007-10-30

Applicant: 西安西电捷通无线网络通信有限公司

Inventor： 铁满霞 ,  曹军 ,  赖晓龙 ,  李建东 ,  庞辽军 ,  黄振海

IPC: H04L9/32 ,  H04L12/28

CPC classification number: H04W12/06 ,  H04L63/1466 ,  H04L63/162 ,  H04W12/04 ,  H04W84/12

Abstract: 本发明涉及一种适用于IBSS网络的接入认证方法。本发明提供的适用于IBSS网络的接入认证方法包括以下步骤：1)对两实体进行认证角色配置；2)通过WAPI认证协议或RSNA的IEEE 802.1x认证协议对执行角色配置后的认证实体A和请求实体S进行认证和密钥协商过程。本发明提供的适用于IBSS网络的接入认证方法具有安全性更强、执行效率更高的优点。

公开(公告)号：CN100534036C

公开(公告)日：2009-08-26

申请号：CN200710018395.8

申请日：2007-08-01

Applicant: 西安西电捷通无线网络通信有限公司

Inventor： 肖跃雷 ,  曹军 ,  赖晓龙 ,  黄振海

IPC: H04L9/32 ,  H04L29/06

CPC classification number: H04L9/3247 ,  H04L9/3234 ,  H04L9/3263 ,  H04L41/0893 ,  H04L63/0869 ,  H04L63/0876 ,  H04L63/105 ,  H04L63/20

Abstract: 一种基于三元对等鉴别的可信网络连接方法，其预先准备平台完整性信息，制定完整性验证要求，网络访问请求者向网络访问控制者发起访问请求，网络访问控制者启动双向用户鉴别过程，与用户鉴别服务单元执行三元对等鉴别协议。双向用户鉴别成功后，TNC客户端、TNC服务端和平台评估服务单元利用三元对等鉴别方法执行平台完整性评估。网络访问请求者和网络访问控制者依据各自收到的推荐控制端口，实现访问请求者与访问控制器的相互访问控制。本发明解决了背景技术中可扩展性差、密钥协商过程复杂、安全性相对较低、平台完整性评估不对等的技术问题。本发明可简化可信网络连接的密钥管理及完整性校验机制，扩展可信网络连接的适用范围。

公开(公告)号：CN100512110C

公开(公告)日：2009-07-08

申请号：CN200610105377.9

申请日：2006-12-29

Applicant: 中国移动通信集团设计院有限公司 ,  西安西电捷通无线网络通信有限公司

Inventor： 马奔腾 ,  曹军 ,  张变玲 ,  赖晓龙 ,  马向辰

IPC: H04L9/32

CPC classification number: H04L9/3263 ,  H04L9/0841 ,  H04L12/14 ,  H04L63/0823 ,  H04L2209/80 ,  H04W12/06 ,  H04W84/12 ,  H04W88/02 ,  H04W88/08

Abstract: 本发明涉及一种采用一张终端证书实现基于WAPI的无线局域网运营的方法。该方法包括以下步骤：1)服务器为所有移动终端颁发同一个证书，为每个无线接入点颁发证书，安装服务器颁发的证书；2)当移动终端需要访问网络时，建立链路连接；3)启动认证过程；4)根据国标规定，进行证书认证；5)如果证书认证成功，无线接入点向移动终端通告组播密钥；6)无线接入点允许移动终端接入；7)接入控制器对移动终端的帐户信息进行认证；8)服务器根据帐户信息认证的结果给出移动终端鉴权信息，移动终端可以访问网络。本发明为解决背景技术中的技术问题，而提供一种符合国家标准并支持目前使用的多种认证、计费方法的基于证书的WAPI标准运营的方法。

公开(公告)号：CN100496025C

公开(公告)日：2009-06-03

申请号：CN200710019093.2

申请日：2007-11-16

Applicant: 西安西电捷通无线网络通信有限公司

Inventor： 肖跃雷 ,  曹军 ,  赖晓龙 ,  黄振海

IPC: H04L12/56 ,  H04L9/32 ,  H04L29/06

CPC classification number: H04L41/0893 ,  H04L63/0823 ,  H04L63/0876 ,  H04L63/102 ,  H04L63/20

Abstract: 一种基于三元对等鉴别(缩写TePA，Tri-element Peer Authentication)的可信网络接入控制方法，其先对可信性收集者进行初始化，然后网络访问控制层的网络访问请求者、网络访问控制者和鉴别策略服务者之间执行三元对等鉴别协议，实现访问请求者与访问控制器的双向用户鉴别。根据访问控制器和访问请求者的用户鉴别结果对网络访问请求者和网络访问控制者的进行端口控制。之后进行平台可信性评估的操作。最后访问请求者和访问控制器依据用户鉴别结果和平台可信性评估结果对端口进行控制。本发明解决了背景技术中可扩展性差、密钥协商过程复杂、安全性相对较低的技术问题。本发明对受控端口进行多级控制，可提高整个可信网络接入控制的安全性。