一种无线局域网移动终端接入的方法

1.一种无线局域网移动终端接入的方法，其特征在于，该方法包括以下步 骤：
A、STA对AP生成的第一随机数据签名，得到第一签名数据，发送包含 STA证书信息和第一签名数据的接入鉴别请求消息至AP；
B、AP发送包含STA证书信息、AP证书信息、第一随机数据和第一签名 数据的证书鉴别请求消息至ASU，所述证书信息包括证书颁发者名称和证书序 列号；
C、ASU用STA证书的公钥验证第一签名数据，如果验证通过，则转到步 骤D；否则，发送鉴别失败消息至AP，然后结束；
D、ASU验证STA证书和AP证书的合法性和有效性，生成证书鉴别结果， 并发送包含证书鉴别结果的证书鉴别响应消息至AP；
E、AP根据证书鉴别结果判断STA证书是否合法且有效，如果是，则AP 发送包含证书鉴别结果的证书鉴别响应消息至STA，然后转到步骤F；否则， STA接入失败，然后结束；
F、STA根据证书鉴别结果判断AP证书是否合法且有效，如果是，则STA 接入AP；否则，STA接入失败。
2.根据权利要求1所述的无线局域网移动终端接入的方法，其特征在于， 步骤A之前进一步包括：
A1、STA向AP发送请求接入消息；
A2、AP收到该消息后，生成第一随机数据，并将第一随机数据发送至STA。
3.根据权利要求2所述的无线局域网移动终端接入的方法，其特征在于， 步骤A进一步包括：STA生成第二随机数据，
步骤A所述接入鉴别请求消息进一步包括第二随机数据，
步骤B进一步包括：AP用其私钥对第二随机数据签名，得到第二签名数 据，
步骤B所述证书鉴别请求消息进一步包括第二随机数据和第二签名数据，
步骤B和步骤C之间进一步包括：ASU使用AP证书的公钥验证第二签名 数据，如果验证通过，则转到步骤C；否则，发送鉴别失败消息至AP，然后结 束。
4.根据权利要求3所述的无线局域网移动终端接入的方法，其特征在于， 步骤D进一步包括：ASU用其私钥对证书鉴别结果、第一随机数据和第二随机 数据签名，然后发送该签名数据至AP，
步骤D和步骤E之间进一步包括：AP使用ASU证书的公钥验证ASU对 第一随机数据的签名数据，如果验证通过，则转到步骤E；否则，STA的接入 失败，
步骤E和步骤F之间进一步包括：STA使用ASU证书的公钥验证ASU对 第二随机数据的签名数据，如果验证通过，则转到步骤F；否则，STA接入失 败。
5.根据权利要求1或4所述的无线局域网移动终端接入的方法，其特征在 于，所述证书鉴别结果至少包括AP的证书颁发者名称、证书序列号和证书是 否有效，以及STA的证书颁发者名称、证书序列号和证书是否有效。
6.根据权利要求1所述的无线局域网移动终端接入的方法，其特征在于， 步骤F之后进一步包括：STA和AP通过对自身生成的随机数据和对方生成的 随机数据进行计算获得会话密钥，并选择双方均支持的用于对通信数据进行加 密和解密的会话算法。
7.根据权利要求3或4所述的无线局域网移动终端接入的方法，其特征在 于，所述用证书的私钥对随机数据签名的方法是：用证书的签名算法计算随机 数据的摘要，然后用证书的私钥对随机数据的摘要加密，
所述用证书的公钥验证签名数据的方法是：用证书的公钥对签名数据解密， 并用证书的签名算法计算随机数据的摘要，将解密所得的数据与随机数据的摘 要比较，如果相同，则验证通过；否则，验证不通过。
8.根据权利要求1所述的无线局域网移动终端接入的方法，其特征在于， 所述判断证书是否合法的方法是：判断证书的颁发者名称对应的ASU是否是合 法的ASU，如果是，则证书合法；否则，证书不合法，
所述判断证书是否有效的方法是：判断证书是否在证书颁发者名称对应的 ASU的废弃列表内，如果证书不在证书颁发者名称对应的ASU的废弃列表内， 则证书有效；如果在证书颁发者名称对应的ASU的废弃列表之内，则证书无效。

技术领域\n本发明涉及无线局域网技术，特别是涉及一种无线局域网移动终端接入 的方法。\n背景技术\n无线局域网(Wireless Local Area Network，WLAN)以其灵活便捷的优 势引起网络设备制造商、网络运营商和用户的普遍关注，但是，由于WLAN 的安全性较差，也引发了不少问题。依据统计调查的结果，安全性较低已经 成为WLAN广泛应用的最大障碍。\n目前无线局域网络产品主要采用的安全措施是依据IEEE 802.11国际标 准，使用基于RC-4的WEP保密机制对数据进行加密传输。但是该机制已 经被证实存在安全漏洞。2001年8月以色列的研究人员和思科公司进行了 WEP安全测试，他们根据窃听到的一部分数据，不到一个小时就破译出WEP 密钥。AT&T的研究团体也成功地破译出WEP密钥。\n所以，如何对移动终端进行可靠的接入控制，以及如何保证无线通信的 保密性是亟待解决的问题。\n我国宽带无线IP标准工作组制定了WLAN国家标准GB/T 15629.11， 提出了一种新的安全机制：无线局域网鉴别与保密基础结构(WLAN Authentication and Privacy Infrastructure，WAPI)。WAPI机制提供了一种基 于公钥证书机制的无线局域网移动终端安全接入方法。WAPI安全方案中有 无线接入用户终端(Station，STA)、访问接入点(Access Point，AP)和鉴 别服务单元(Authentication Service Unit，ASU)三种设备类型，分别作为鉴 别请求者实体(Authentication Supplicant Entity，ASUE)、鉴别器实体 (Authentication Entity，AE)和鉴别服务实体(Authentication Service Entity， ASE)的载体，其网络结构如图1所示，从图1可以看出，一个ASU连接 若干AP，而一个AP连接若干STA。\nASU对其管理范围内的AP和STA进行管理并提供证书服务。ASU给 每一个合法的AP和STA颁发一个公钥证书(以下简称证书)，作为网络设 备在该WLAN内的数字身份凭证。证书的结构如表1所示：\n表1：证书的结构\n  字段名   说明   证书版本号   指定证书版本   证书序列号   ASU颁发的每个证书有唯一的序列号   签名算法   标识颁发者使用的Hash算法和签名算法   颁发者名称   颁发者身份标识   颁发者公钥   颁发者的公钥信息   有效期   起始时间和截止时间   持有者名称   证书持有者身份标识   持有者公钥   证书持有者的公钥信息   证书类型   设备类型(STA、AP或ASU)   扩展   保留字段   颁发者签名   颁发者对上述所有信息的签名值\n每个证书还应对应一个私钥，也是由证书颁发者指定。和公钥不同，私 钥仅由证书持有者自己持有，并不在证书中公开。\n证书的作用在于建立实体名称和公钥之间的关联，进行身份鉴别时，验 证方可以通过验证证书持有者对某一信息的签名来判断其是否掌握了证书 对应的私钥，从而确定其是否为证书的真实持有者。STA与AP之间在ASU 的协助下根据公钥证书实现身份的相互鉴别和通信密钥的协商。\n利用证书实现接入控制的鉴别系统结构如图2所示。从图2中可以看出， STA包含ASUE，AP包含AE，ASU包含ASE。AP中有两个端口接收来自 STA的连接请求，这两个端口分别是受控端口和非受控端口，STA从未受 控端口向AP发出连接请求，在ASU的协助下双方进行双向身份认证(即 证书鉴别)，若认证成功，AP开放受控端口允许STA接入，否则AP拒绝 STA接入或STA放弃接入AP。\nSTA接入流程如图3所示：STA向AP发出鉴别请求，即将STA证书 发送给AP；AP再将STA证书和自身证书一起发送给ASU，并对数据进行 签名；ASU验证AP的签名、AP证书和STA的证书的真实性和有效性，对 鉴别结果进行签名并发送到AP。STA和AP依据ASU的鉴别结果决定是否 进行连接。STA与AP证书鉴别成功后进行密钥协商，密钥协商成功后，STA 与AP将自己与对方分别产生的随机数据进行相应的运算得到会话密钥，用 协商好的会话算法加、解密通信数据。\n图4是现有技术的STA接入方法流程图，从图4可以看出，STA接入 方法的流程包括如下步骤：\n步骤401：STA向AP发送接入请求。\n步骤402：AP在接收到STA发来的接入请求后，发送鉴别激活消息至 STA。\n步骤403：STA发送接入鉴别请求消息至AP，鉴别请求消息中包括STA 的公钥证书和STA当前系统时间，即接入鉴别时间。\n步骤404：AP接收到STA发来的鉴别请求消息后，记录接入鉴别时间， 并发送证书鉴别请求消息至ASU，证书鉴别请求消息中包括STA的证书、 接入鉴别时间、AP的证书以及AP用其私钥对这些数据的签名。\nAP对数据签名是指AP用私钥对数据进行加密处理。\n步骤405：ASU在接到AP发来的证书鉴别请求消息后，用AP的公钥 验证AP对STA证书、接入鉴别时间和AP证书的签名，如果该签名合法， 则转到步骤406；否则结束。\n步骤406：鉴别AP证书和STA证书是否合法且有效，生成证书鉴别结 果。\n证书的合法性是指证书是否由合法的ASU颁发。\n证书的有效性是指证书是否处于有效期内，以及证书是否在ASU的废 弃列表中。\n如果STA的证书是由当前ASU颁发的，则ASU通过查询自己颁发的 证书废弃列表或者证书状态查询协议来鉴别STA证书的有效性和合法性。\n如果STA的证书是由其它ASU颁发的，表示此时STA处于漫游状态， 则ASU通过查询证书颁发者颁发的证书废弃列表或者证书状态查询协议来 鉴别STA证书的有效性和合法性。\n步骤407：ASU发送证书鉴别响应消息至AP，该证书鉴别响应消息中 包括ASU对AP和STA证书进行鉴别的结果。\n步骤408：AP读取证书鉴别结果，如果STA证书不合法或无效，则拒 绝STA接入，然后结束；否则，转到步骤409。\n步骤409：AP发送证书鉴别响应消息至STA。\n步骤410：STA读取证书鉴别结果，如果AP证书不合法或无效，则放 弃接入AP，然后结束；否则转到步骤411，开始密钥协商。\n步骤411：STA向AP发送密钥协商请求。\n步骤412：AP产生一串随机数据，用STA的公钥对该随机数据加密后 与备选的会话加密算法一起构成密钥协商请求消息，将该密钥协商请求消息 发送至STA。\n步骤413：STA接收到AP发来的密钥协商请求消息后，判断是否支持 至少一种AP提供的备选的会话加密算法，如果是，则转到步骤415；否则， 转到步骤414。\n步骤414：STA发送会话算法协商失败消息至AP，然后结束。\n步骤415：STA从备选算法中选择一种作为会话加密算法，用自己的私 钥解密协商数据，得到AP产生的随机数据。\n步骤416：STA产生一串随机数据，用AP的公钥加密后，发送至AP。\n步骤417：AP用自己的私钥解密协商数据，得到STA产生的随机数据。\n步骤418：STA和AP将自己和对方分别产生的随机数据进行相应的运 算，得到会话密钥。例如，STA和AP可以将自己和对方分别产生的随机数 据进行模2加运算得到会话密钥。\n这样，STA和AP就可以用协商好的会话加密算法和会话密钥对通信数 据进行加密和解密了。\n该接入方法的缺陷是：\n首先，证书鉴别方案缺少验证STA证书私钥的环节。ASU对AP的私 钥进行验证，并检查了AP证书的合法性和有效性，但对于STA证书，只是 检查了其合法性和有效性，而没有验证STA证书私钥。由于证书本身不需 要保密也不可能保密，需要保密的只是证书对应的私钥，而且在无线局域网 环境下，任何一个请求接入者都可以通过监听或其它途径获得合法用户的证 书，所以如果不对STA的私钥进行验证就不能确认STA的真实身份。\n其次，ASU在验证STA和AP证书的合法性和有效性时，需要STA和 AP提供完整的证书，增加了鉴别过程的数据通信量。由于任何一个请求接 入者都可以通过监听或其它途径获得合法用户的证书，所以出示证书并不能 确定STA或AP的真实身份，而且，由于ASU根据证书颁发者名称和证书 序列号就可以唯一确定证书，所以在ASU验证STA和AP证书的合法性和 有效性时，仅知道STA和AP的证书颁发者名称和证书序列号即可，而无需 完整的STA和AP证书。因此，现有技术在发送证书时由于发送整个证书造 成通信的数据量较大。\n发明内容\n本发明的主要目的在于提供一种无线局域网移动终端的接入方法，对 STA证书的私钥进行鉴别，并减少鉴别过程中的通信数据量。\n本发明的目的是通过如下技术方案实现的：\n一种无线局域网移动终端接入的方法，包括以下步骤：\nA、STA对AP生成的第一随机数据签名，得到第一签名数据，发送包含 STA证书信息和第一签名数据的接入鉴别请求消息至AP；\nB、AP发送包含STA证书信息、AP证书信息、第一随机数据和第一签名 数据的证书鉴别请求消息至ASU，所述证书信息包括证书颁发者名称和证书序 列号；\nC、ASU用STA证书的公钥验证第一签名数据，如果验证通过，则转到步 骤D；否则，发送鉴别失败消息至AP，然后结束；\nD、ASU验证STA证书和AP证书的合法性和有效性，生成证书鉴别结果， 并发送包含证书鉴别结果的证书鉴别响应消息至AP；\nE、AP根据证书鉴别结果判断STA证书是否合法且有效，如果是，则AP 发送包含证书鉴别结果的证书鉴别响应消息至STA，然后转到步骤F；否则， STA接入失败，然后结束；\nF、STA根据证书鉴别结果判断AP证书是否合法且有效，如果是，则STA 接入AP；否则，STA接入失败。\n步骤A之前进一步包括：\nA1、STA向AP发送请求接入消息；\nA2、AP收到该消息后，生成第一随机数据，并将第一随机数据发送至STA。\n步骤A进一步包括：STA生成第二随机数据，\n步骤A所述接入鉴别请求消息进一步包括第二随机数据，\n步骤B进一步包括：AP用其私钥对第二随机数据签名，得到第二签名数 据，\n步骤B所述证书鉴别请求消息进一步包括第二随机数据和第二签名数据，\n步骤B和步骤C之间进一步包括：ASU使用AP证书的公钥验证第二签名 数据，如果验证通过，则转到步骤C；否则，发送鉴别失败消息至AP，然后结 束。\n步骤D进一步包括：ASU用其私钥对证书鉴别结果、第一随机数据和第二 随机数据签名，然后发送该签名数据至AP，\n步骤D和步骤E之间进一步包括：AP使用ASU证书的公钥验证ASU对 第一随机数据的签名数据，如果验证通过，则转到步骤E；否则，STA的接入 失败，\n步骤E和步骤F之间进一步包括：STA使用ASU证书的公钥验证ASU对 第二随机数据的签名数据，如果验证通过，则转到步骤F；否则，STA接入失 败。\n所述证书鉴别结果至少包括AP的证书颁发者名称、证书序列号和证书是 否有效，以及STA的证书颁发者名称、证书序列号和证书是否有效。\n步骤F之后进一步包括：STA和AP通过对自身生成的随机数据和对方生 成的随机数据进行计算获得会话密钥，并选择双方均支持的用于对通信数据进 行加密和解密的会话算法。\n所述用证书的私钥对随机数据签名的方法是：用证书的签名算法计算随机 数据的摘要，然后用证书的私钥对随机数据的摘要加密，\n所述用证书的公钥验证签名数据的方法是：用证书的公钥对签名数据解密， 并用证书的签名算法计算随机数据的摘要，将解密所得的数据与随机数据的摘 要比较，如果相同，则验证通过；否则，验证不通过。\n所述判断证书是否合法的方法是：判断证书的颁发者名称对应的ASU是否 是合法的ASU，如果是，则证书合法；否则，证书不合法，\n所述判断证书是否有效的方法是：判断证书是否在证书颁发者名称对应 的ASU的废弃列表内，如果证书不在证书颁发者名称对应的ASU的废弃列 表内，则证书有效；如果在证书颁发者名称对应的ASU的废弃列表之内， 则证书无效。\n通过以上的技术方案可以看出，本发明的无线局域网移动终端的接入方 法在验证无线接入用户终端证书和访问接入点证书的合法性和有效性，并验 证访问接入点证书的私钥的基础上，增加了验证STA证书私钥的步骤；而 现有技术的无线局域网移动终端的接入方法仅验证证书的合法性和有效性， 以及验证访问接入点证书的私钥，并不验证STA证书的私钥。在无线局域 网的环境下，任何一个试图接入者都可以通过监听或其它途径获取一合法用 户的证书，证书本身不可能保密，只有与证书对应的私钥是保密的，如果不 验证STA证书的私钥，则不能确认STA的真实身份。本发明增加了验证STA 私钥的步骤，可以确认STA的真实身份，提供更安全的接入鉴别机制。\n并且，本发明的方法中，AP向ASU发送STA和AP的证书信息时，仅 发送STA和AP证书的证书颁发者名称和证书序列号；而现有技术的方法中， AP向ASU发送完整的STA和AP证书，由于证书不可能保密，所以发送完 整的证书也不能帮助确认STA和AP的身份，而且ASU根据证书的颁发者 名称和证书序列号就可以唯一确认证书，所以，本发明的方法用证书颁发者 名称和证书序列号代替完整的证书，既不影响安全性，同时减少了鉴别过程 的数据通信量。\n在本发明的方法中，ASU对证书鉴别结果和随机数据签名，并将证书 鉴别结果和ASU对证书鉴别结果和随机数据的签名发送至访问接入点；而 在现有技术的方法中，ASU不对证书鉴别结果和随机数据签名，仅发送证 书鉴别结果至访问接入点，这样，该证书鉴别结果有可能被重复使用或被盗 用，而本发明的方法中，ASU对证书鉴别结果和随机数据签名，由于随机 数据重复的可能性非常低，所以可以避免鉴别结果重复使用，进一步提高的 接入方法的安全性。\n附图说明\n图1是无线局域网网络结构示意图。\n图2是利用证书实现接入控制的鉴别系统的结构示意图。\n图3是实现STA接入的流程图。\n图4是现有技术实现STA接入的方法流程图。\n图5是根据本发明实施例一的实现STA接入的方法流程图。\n图6是根据本发明实施例二的实现STA接入的方法流程图。\n具体实施方式\n为了使本发明的目的、技术方案和优点更清楚，下面结合附图和具体实 施方式对本发明作进一步描述。\n本发明的实现STA接入的方法是在鉴别STA和AP证书，以及AP证 书对应的私钥的基础上，验证STA证书对应的私钥。\n具体实施例1：\n图5是根据本发明实施例一的实现STA接入方法流程图，从图5可以 看出，该方法包括如下步骤：\n步骤501：STA向AP发送接入请求。\n步骤502：AP在接收到STA发来的接入请求后，发送鉴别激活消息至 STA，该鉴别激活消息中包括AP生成的一串随机数据RPS。\n步骤503：STA在接收到AP发来的鉴别激活消息后，用自己的私钥对 RPS签名，该签名数据为QRPS，并生成一串随机数据RSP。\nSTA用其私钥对RPS签名的过程是：首先用STA证书中的签名算法对 RPS进行计算，得到RPS的摘要，然后用STA的私钥对摘要加密。\n步骤504：STA发送接入鉴别请求消息至AP，该接入鉴别请求消息中 包括STA用自己的私钥对随机数据RPS的签名、STA生成的随机数据RSP、 STA的证书颁发者名称和STA证书的序列号。\n步骤505：AP接收到STA发来的接入鉴别请求消息后，发送证书鉴别 请求消息至ASU，该证书鉴别请求消息中包括STA的证书颁发者名称、STA 证书序列号、STA生成的随机数据RSP、AP的证书颁发者和AP证书序列号。\n步骤506：ASU在接到AP发来的证书鉴别请求消息后，根据AP和STA 的证书颁发者和证书序列号判断AP和STA证书是否合法且有效，并生成证 书鉴别结果。证书鉴别结果应该包含STA的证书颁发者名称、STA证书序 列号、STA证书是否合法且有效、AP的证书颁发者名称、AP证书序列号、 AP证书是否合法且有效。\n证书的合法性是指证书是否由合法的ASU颁发。\n证书的有效性是指证书是否在ASU的废弃列表中。\n步骤507：ASU用其私钥对AP发送来证书鉴别请求消息中的RSP和鉴 别结果签名。\n步骤508：ASU发送证书鉴别响应消息至AP，该证书鉴别响应消息包 括证书鉴别结果和ASU用其私钥对证书鉴别结果和RSP的签名。\n步骤509：AP在接收到ASU发来的证书鉴别响应消息后，用ASU证 书的公钥验证ASU对证书鉴别结果和RSP的签名，如果验证通过，则说明 该证书鉴别结果是真实的，转到步骤510；否则，转到步骤511。\nAP用ASU证书的公钥验证证书鉴别结果的真实性的方法是：AP用ASU 证书的公钥对ASU对RSP的签名数据解密，并用ASU证书的签名算法计算 的RSP摘要，将解密所得的数据与RSP的摘要比较，如果相同，则说明证书 鉴别结果是真实的；否则说明证书鉴别结果不真实。\n步骤510：AP读取STA证书的鉴别结果，如果STA证书合法且有效，\n则转到步骤512；否则，转到步骤511。\n步骤511：AP拒绝STA的接入，然后结束。\n步骤512：AP用STA的公钥验证STA对RPS的签名QRPS，如果验证\n通过，则转到步骤513；否则，返回步骤511。\nAP用STA的公钥验证STA对RPS的签名QRPS的方法是：AP用STA 的公钥对QRPS解密，并用STA证书的签名算法计算的RPS摘要，如果解密 所得的数据与RPS的摘要相同，则说明该STA的私钥合法；否则，说明该 STA的私钥不合法。\n步骤513：AP用自己的私钥对RSP签名，得到签名数据QRSP，发送证 书鉴别响应消息至STA，该证书鉴别响应消息包括AP对RSP的签名QRSP 和ASU对证书鉴别结果和RSP的签名。\nAP用其私钥对RSP签名的过程是：首先用AP证书中的签名算法对RSP 进行计算，得到RSP的摘要，然后用AP的私钥对摘要加密。\n步骤514：STA在接收到AP发来的证书鉴别响应消息后，用ASU证书 的公钥验证证书鉴别结果的真实性。如果验证通过，则转到步骤516；否则， 转到步骤515。\nSTA用ASU证书的公钥验证证书鉴别结果的真实性的方法是：STA用 ASU证书的公钥对ASU对RSP的签名数据解密，并用ASU证书的公钥计算 RSP的摘要，将解密所得的数据与RSP的摘要相比较，如果相同，则说明证 书鉴别结果是真实的；否则说明证书鉴别结果不真实。\n步骤515：STA放弃接入AP，然后结束。\n步骤516：STA读取ASU对AP证书的鉴定结果，如果AP证书合法且 有效，则转到步骤517；否则，返回步骤515。\n步骤517：STA用AP证书中的公钥验证AP对RSP的签名QRSP，如果 有效，则转到步骤411；否则，返回步骤515。\nSTA用AP的公钥验证AP对RSP的签名QRSP是否合法的方法是：STA 用AP的公钥对QRSP解密，并用AP证书的公钥计算RSP的摘要，如果解密 所得的数据与RSP的摘要相同，则说明该AP的私钥合法；否则，说明该AP 的私钥不合法。\n步骤411至步骤418是AP与STA进行密钥协商的步骤，在协商完毕后， STA和AP就可以用协商好的会话加密算法和会话密钥对通信数据进行加密 和解密了。\n需要注意的是，通常STA保存近期与其关联的AP的证书，AP保存近 期与其关联的STA的证书，在STA或AP保存对方证书的情况下，一般无 需对方专门出示证书以获得对方的公钥。但是，一般情况下STA不会长期 保存与其关联的AP的证书，AP也不会长期保存与其关联的STA的证书， 在这种情况下，STA或AP需要对方专门出示证书以获得对方的公钥，AP 也可以通过向ASU请求获得STA的证书，例如，STA在步骤501向AP请 求证书，AP可以在步骤502和步骤513向STA发送AP证书，STA可以在 步骤504向AP发送证书，或者，AP可以在步骤505向ASU请求STA证书， ASU在步骤508发送STA证书至AP。\n具体实施例2：\n如果STA和AP的计算能力不够，则可由ASU统一对AP和STA的私 钥进行验证。\n图6是根据本发明实施例二的实现STA接入的方法流程图，从图6可 以看出，STA接入方法的流程包括如下步骤：\n步骤601：STA向AP发送接入请求。\n步骤602：AP在接收到STA发来的接入请求后，发送鉴别激活消息至 STA，该鉴别激活消息中包括AP生成的一串随机数据RPS，并向STA发送 AP的证书。\n步骤603：STA在接收到AP发来的鉴别激活消息后，用自己的私钥对 RPS签名，得到签名数据QRPS，并生成一串随机数据RSP。\n步骤604：STA发送鉴别请求消息至AP，鉴别请求消息中包括STA用 自己的私钥对随机数据RPS的签名QRPS、STA生成的随机数据RSP、STA的 证书颁发者名称和STA证书的序列号，并向AP发送STA的证书。\n步骤605：AP接收到STA发来的鉴别请求消息后，发送证书鉴别请求 消息至ASU，该证书鉴别请求消息中包括STA的证书颁发者名称、STA证 书序列号、STA生成的随机数据RSP及AP对RSP的签名QRSP、AP的证书 颁发者、AP证书序列号和AP生成的随机数据RPS及STA对RPS的签名QRPS。\n步骤606：ASU在接到AP发来的证书鉴别请求消息后，用AP证书的 公钥验证AP对RSP的签名QRSP，并用STA证书的公钥验证STA对RPS的 签名QRPS，如果验证通过，则转到步骤607；否则，发送鉴别失败消息至 AP，然后结束。\n步骤607：分别检查AP和STA的证书颁发者和证书序列号所标识的证 书是否合法且有效，并生成证书鉴别结果。证书鉴别结果应该包含STA的 证书颁发者名称、STA证书序列号、STA证书是否合法且有效、AP的证书 颁发者名称、AP证书序列号、AP证书是否合法且有效。\n步骤608：ASU用私钥对AP发送来的证书鉴别请求消息中的RSP、RPS 和鉴别结果签名。\n步骤609：ASU发送证书鉴别响应消息至AP，该证书鉴别响应消息包 括证书鉴别结果和ASU对RSP、RPS和证书鉴别结果的签名。\n步骤610：AP在接收到ASU发来的证书鉴别响应消息后，用ASU证 书的公钥验证证书鉴别结果的真实性，如果验证通过，则转到步骤611；否 则，转到步骤612。\n步骤611：AP读取STA证书的鉴别结果，如果STA证书合法且有效， 则转到步骤613；否则，转到步骤612。\n步骤612：AP拒绝STA的接入，然后结束。\n步骤613：AP发送鉴别响应消息至STA，该鉴别响应消息包括证书鉴 别结果和ASU对RSP的签名。\n步骤614：STA在接收到AP发来的证书鉴别响应消息后，用ASU证书 的公钥验证证书鉴别结果的真实性，如果验证通过，则转到步骤616；否则， 转到步骤615。\n步骤615：STA放弃接入AP，然后结束。\n步骤616：STA读取ASU对AP证书的鉴定结果，如果AP证书合法且 有效，则转到步骤411；否则，返回步骤615。\n步骤411至步骤418是AP与STA进行密钥协商的步骤，协商完毕后， STA和AP就可以用协商好的会话加密算法和会话密钥对通信数据进行加密 和解密了。\n需要注意的是，一般来说ASU保存其颁发的所有证书，所以在验证AP 和STA私钥的时候无需AP提供AP和STA的公钥。\n从以上分析可以看出，本发明的实现STA接入的大致流程也如图3所 示，包括证书鉴别和密钥协商两部分，其中，密钥协商部分与现有技术的方 法完全相同，证书鉴别部分与现有技术的方法在STA、AP和ASU之间传递 的消息相同，所不同的是消息中传递的数据不同，并且在STA、AP和ASU 中所进行的处理也不同。\n在具体的实施过程中可对根据本发明的方法进行适当的改进，以适应具 体情况的具体需要。因此可以理解，根据本发明的具体实施方式只是起示范 作用，并不用以限制本发明的保护范围。