CN101483866B - Wapi终端证书的管理方法、装置及系统 - Google Patents
Wapi终端证书的管理方法、装置及系统 Download PDFInfo
- Publication number
- CN101483866B CN101483866B CN2009100062844A CN200910006284A CN101483866B CN 101483866 B CN101483866 B CN 101483866B CN 2009100062844 A CN2009100062844 A CN 2009100062844A CN 200910006284 A CN200910006284 A CN 200910006284A CN 101483866 B CN101483866 B CN 101483866B
- Authority
- CN
- China
- Prior art keywords
- wapi
- terminal
- authentication server
- wapi terminal
- certificate
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0442—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
Abstract
本发明公开了一种WAPI终端证书的管理方法、装置及系统,其中,WAPI鉴别服务器和WAPI终端协商会话密钥;WAPI鉴别服务器接收来自WAPI终端的订阅请求消息,其中,订阅请求消息用于非首次请求WAPI终端的公开密钥证书和私有密钥;WAPI鉴别服务器向WAPI终端发送携带有加密的公开密钥证书和私有密钥的通知消息,以供WAPI终端进行更新,其中,利用会话密钥加密公开密钥证书和私有密钥。通过本发明,能够采用在线方式更新用户证书,提高了工作效率和用户体验。
Description
技术领域
本发明涉及通信领域,具体而言,涉及一种WAPI终端证书的管理方法、装置及系统。
背景技术
为了解决无线局域网国际标准ISO/IEC 802.11中定义的有线等效保密(Wired Equivalent Privacy,简称为WEP)安全机制存在的安全漏洞,我国颁布了无线局域网国家标准及其第一号修改单,该标准采用无线局域网认证与保密基础结构(WLAN Authenticationand Privacy Infrastructure,简称为WAPI)替代WEP,解决无线局域网的安全问题。
WAPI由无线局域网鉴别基础结构(WLAN AuthenticationInfrastructure,简称为WAI)和无线局域网保密基础结构(WLANPrivacy Infrastructure,简称为WPI)组成。其中,WAI采用了公开密钥加密技术,用于终端与接入点之间互相身份鉴别;WPI采用国家密码管理委员会办公室批准的用于WLAN的对称密码算法实现数据保护,对MAC子层的MAC服务数据单元(MAC Service DataUnit,简称为MSDU)进行加、解密处理。
图1是根据相关技术的WAPI基础结构的结构示意图,如图1所示,包括:接入点(Access Point,简称为AP)是指任何一个具备站点功能,通过无线媒体为关联的站点提供访问分布式服务的实体;鉴别请求者实体(Authentication Supplicant Entity,简称为ASUE)是在接入服务之前请求进行鉴别操作的实体,该实体主要设置在终端内;鉴别器实体(Authenticator Entity,简称为AE)为鉴别请求者在接入服务之前提供鉴别操作的实体,该实体主要设置在接入点内;鉴别服务单元(Authentication Service Unit,简称为ASU)的基本功能是实现对用户证书的管理和用户身份的鉴别等,是基于公开密钥密码技术的WAI鉴别基础结构中重要的组成部分;鉴别服务实体(Authentication Service Entity,简称为ASE)为鉴别器和鉴别请求者提供身份鉴别服务的实体,该实体驻留在ASU中。其中,用户证书为公开密钥证书,它是WAI系统构造中重要的环节。公开密钥证书是网络用户的数字身份凭证,通过私有密钥验证可以唯一地确定网络用户的身份。
站点通过两类方式支持WAI鉴别及密码管理,一是基于证书的方式,一是基于共享密钥的方式。两种类型内按照网络类型分为基本服务组(Basic Service Set,简称为BSS)下认证与独立基本服务组(Independent Basic Service Set,简称为IBSS)下认证。当采用基于证书的方式时,鉴别请求者实体所在的站点,即终端在接入鉴别请求中,需要附带自己的证书,鉴别器实体会根据请求中字段,决定是由他自己完成证书验证还是交由鉴别服务单元完成验证,以此完成接入点对鉴别请求者的认证。
WAPI可以看作是无线局域网中的公开密钥基础设施(PublicKey Infrastructure,简称为PKI),鉴别服务单元起到了PKI中的认证中心(Certificate Authority,简称为CA)的作用,当WAI采用基于X.509v3的证书时,鉴别服务单元也必须具有CA有关证书申请、签发、定期发布证书失效列表、响应用户证书吊销等功能。
一般地,PKI中用户申请或注销证书以及对应的私有密钥都采用离线、外带的方式进行,以避免在传输过程中被窃取、篡改。证书在有效期满后失效,用户也必须主动通过离线方式完成本地证书更新,非常不方便。
因此,针对用户申请证书及私有密钥必须采用效率较低的离线方式的问题,相关技术中尚未提出有效的解决方案。
发明内容
考虑到相关技术中用户申请证书及私有密钥必须采用离线方式的问题而提出本发明,为此,本发明的主要目的在于提供一种WAPI终端证书的管理方法、装置及系统,以解决相关技术中存在的上述问题至少之一。
为了实现上述目的,根据本发明的一个方面,提供了一种WAPI终端证书的管理方法,用于基于SIP管理WAPI终端的公开密钥证书。
根据本发明的管理方法包括:WAPI鉴别服务器和WAPI终端协商会话密钥;WAPI鉴别服务器接收来自WAPI终端的订阅请求消息,其中,订阅请求消息用于非首次请求WAPI终端的公开密钥证书和私有密钥;WAPI鉴别服务器向WAPI终端发送携带有加密的公开密钥证书和私有密钥的通知消息,以供WAPI终端进行更新,其中,利用会话密钥加密公开密钥证书和私有密钥。
优选地,在WAPI鉴别服务器和WAPI终端协商会话密钥之前,该方法还包括:接入点对WAPI终端进行接入鉴别,并在WAPI终端通过鉴别的情况下,允许WAPI鉴别服务器和WAPI终端协商会话密钥。
优选地,WAPI鉴别服务器和WAPI终端协商会话密钥的处理包括:WAPI鉴别服务器接收来自WAPI终端的注册请求消息,其中,注册请求消息中携带有WAPI终端生成的第一随机数;WAPI鉴别服务器向WAPI终端发送注册拒绝消息,其中,注册拒绝消息中携带有WAPI鉴别服务器生成的第二随机数;WAPI鉴别服务器接收来自WAPI终端的新的注册请求消息,在注册成功的情况下,WAPI鉴别服务器和WAPI终端根据第一随机数和第二随机数计算会话密钥,其中,会话密钥为第二随机数与第一随机数做串接后进行哈希运算得到。
优选地,WAPI终端发送的第一随机数由WAPI终端利用WAPI鉴别服务器的公开密钥加密。
优选地,WAPI鉴别服务器发送的第二随机数由WAPI鉴别服务器利用WAPI终端的公开密钥加密。
优选地,在WAPI鉴别服务器向WAPI终端发送通知消息之后,该方法进一步包括:WAPI终端接收通知消息,利用会话密钥解密公开密钥证书和私有密钥,并利用解密的公开密钥证书和私有密钥更新WAPI终端本地的公开密钥证书和私有密钥。
优选地,在WAPI终端的公开密钥证书为非法或失效的情况下,在WAPI鉴别服务器吊销WAPI终端的公开密钥证书,具体包括:WAPI鉴别服务器向WAPI终端发送用于吊销WAPI终端的公开密钥证书的通知消息,以通知WAPI终端重新进行接入鉴别,其中,吊销WAPI终端的公开密钥证书的通知消息的消息体的长度被配置为0。
优选地,在WAPI鉴别服务器和WAPI终端协商会话密钥之前,该方法还包括:WAPI鉴别服务器向公共认证中心预先请求获取、或由WAPI鉴别服务器预先保存公开密钥证书和所述私有密钥。
根据本发明的另一方面,还提供了一种WAPI终端证书的管理装置,该装置设置于WAPI鉴别服务器。
根据本发明的管理装置包括:协商模块,用于和WAPI终端协商会话密钥;接收模块,用于接收来自WAPI终端的订阅请求消息,其中,订阅请求消息用于非首次请求WAPI终端的公开密钥证书和私有密钥;加密模块,用于利用会话密钥加密公开密钥证书和私有密钥;发送模块,用于向WAPI终端发送携带有加密的公开密钥证书和私有密钥的通知消息,以供WAPI终端进行更新。
根据本发明的再一方面,还提供了一种WAPI终端证书的管理系统。
根据本发明的管理系统包括:WAPI鉴别服务器、WAPI终端,其中,WAPI鉴别服务器包括:第一接收模块,用于接收来自WAPI终端的订阅请求消息,其中,订阅请求消息用于非首次请求WAPI终端的公开密钥证书和私有密钥;加密模块,用于利用预先生成的会话密钥加密公开密钥证书和私有密钥;第一发送模块,用于向WAPI终端发送携带有加密的公开密钥证书和私有密钥的通知消息,以供WAPI终端进行更新;WAPI终端包括:第二发送模块,用于向WAPI鉴别服务器发送订阅请求消息;第二接收模块,用于接收来自WAPI鉴别服务器的携带有加密的公开密钥证书和私有密钥的通知消息;解密模块,用于利用预先生成的会话密钥解密加密的公开密钥证书和私有密钥;更新模块,用于利用解密的公开密钥证书和私有密钥更新WAPI终端本地的公开密钥证书和私有密钥。
借助于本发明的上述技术方案,通过预先协商会话密钥并利用该会话密钥加密终端的公钥证书和私钥,并将WAPI终端的公钥证书和私钥使用SIP机制发送至WAPI终端,能够采用在线方式更新用户证书,解决了离线申请证书及私有密钥所导致的处理效率低的问题,提高了工作效率和用户体验。
附图说明
此处所说明的附图用来提供对本发明的进一步理解,构成本申请的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
图1是根据相关技术的WAPI基础结构的结构示意图;
图2是根据本发明实施例的WAPI鉴别服务器和WAPI终端的结构的示意图;
图3是根据本发明实施例的WAPI终端证书的管理方法的流程图;
图4是根据本发明实施例的WAPI终端生成会话密钥流程的流程图;
图5是根据本发明实施例的WAPI鉴别服务器生成会话密钥流程的流程图;
图6是根据本发明实施例的WAPI终端对订阅及通知消息处理的流程图;
图7是根据本发明实施例的WAPI鉴别服务器对订阅及通知消息处理的流程图;
图8是根据本发明实施例的WAPI鉴别服务器获取WAPI终端证书的结构示意图;
图9是根据本发明实施例的WAPI终端证书的管理方法的SIP信令处理的流程图;
图10是根据本发明实施例的WAPI终端证书的管理装置的框图;
图11是根据本发明实施例的WAPI终端证书的管理系统的框图。
具体实施方式
功能概述
本发明的主要思想是:本发明提出一种由扩展的服务器证书管理单元主动发送证书,由扩展的终端证书管理模块自动更新证书的技术方案。用户无需通过离线方式进行操作。扩展的服务器证书管理功能,引入会话初始协议(Session Initiation Protocol,简称为SIP),用户可以利用SIP中的Subscribe消息(订阅消息)完成对自己公有密钥(公钥)证书的订阅,当证书管理单元更新证书并重新分配私有密钥时,可以根据用户订阅,通过SIP的Notify消息(通知消息),发送证书及私有密钥。用户第一次使用终端时的证书和私有密钥(私钥),仍然是通过离线方式申请。在终端完成接入鉴别之后,SIP信令均在已经加密的数据通道上进行,避免了证书与密码遭窃听的可能。采用根据本发明实施例的技术方案,用户无需在每次更新证书时都采用离线方式,无需主动操作,提高了用户体验;运营商的证书维护工作也可以节省大量时间,更新过程交由SIP的订阅及通知机制自动完成,提高了处理效率。
以下结合附图对本发明的优选实施例进行说明,应当理解,此处所描述的优选实施例仅用于说明和解释本发明,并不用于限定本发明。如果不冲突,本发明实施例及实施例中特征可以相互组合。
方法实施例
根据本发明实施例,提供了一种WAPI终端证书的管理方法。
图2是根据本发明实施例的WAPI鉴别服务器和WAPI终端的结构的示意图,如图2所示,在WAPI终端增加证书管理单元,此功能单元实现了SIP客户端功能,WAPI服务器和WAPI终端通过端口5060收发SIP消息,实现基于SIP协议的注册、订阅与通知处理功能;
WAPI鉴别服务器包括:鉴别请求服务单元和服务器证书管理单元,服务器侧证书管理单元作为终端的SIP注册服务器,实现了SIP服务器部分功能,在端口5060上收发SIP消息,接收处理终端的基于SIP协议的注册和订阅请求、向WAPI终端发送基于SIP协议的通知消息。SIP消息基于用户数据报协议(User DatagramProtocol,简称为UDP)或传输控制协议(Transmission ControlProtocol,简称为TCP)的方式传输。
在进行根据本发明实施例所提供的方法之前,AP对WAPI终端进行接入鉴别,在WAPI终端通过鉴别的情况下,允许WAPI终端接入AP。AP与终端之间协商生成单播会话密钥,此会话密钥能够确保WAPI终端与AP之间的数据传输的安全。
图3是根据本发明实施例的WAPI终端证书的管理方法的流程图。需要说明的是,在以下方法中描述的步骤可以在诸如一组计算机可执行指令的计算机系统中执行,并且,虽然在图3中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。如图3所示,该方法包括以下处理:
步骤S302,WAPI鉴别服务器和WAPI终端协商会话密钥;
步骤S304,WAPI鉴别服务器接收来自WAPI终端的订阅请求消息,其中,订阅请求消息用于非首次请求WAPI终端的公开密钥证书和私有密钥;
步骤S306,WAPI鉴别服务器向WAPI终端发送携带有加密的公开密钥证书和私有密钥的通知消息,以供WAPI终端进行更新,其中,利用会话密钥加密公开密钥证书和私有密钥。
基于上述处理,WAPI终端可以进行在线方式的证书更新。
下面详细描述上述各处理的细节。
(一)步骤S302
首先,WAPI终端随机生成一个128位随机数rand_asue(第一随机数),利用WAPI鉴别服务器发布的公开密钥证书中的公开密钥和公开密钥算法,加密rand_asue并将结果作为SIP注册消息中新增头域字段Cert-Rand的值,随即终端向WAPI服务器发送此SIP注册请求消息。
其次,AP将请求消息转发给WAPI服务器上的服务器证书管理单元,后者接收该注册请求消息,并利用其私有密钥和公开密钥算法解密Cert-Rand字段中的rand_asue;再随机生成一个128位随机数rand_ca(第二随机数),并利用WAPI终端的公开密钥对rand_ca进行公开钥密加密运算,将结果作为注册拒绝消息(401)中的WWW-Authentication头域中nonce参数的值,将该注册拒绝消息发送WAPI到WAPI终端。
之后,WAPI终端接收该注册拒绝消息,并从WWW-Authentication中提取nonce参数及其他参数,利用WAPI终端的私有密钥将nonce解密得到rand_ca,再利用此头域所示鉴权算法,进行摘要(Digest)计算,此处用户名可以使用用户的电话号码,密码可以为之前通过随机数生成得到的rand_asue。Digest计算结果用来赋值新的注册请求中Authorization头域中response参数值,WAPI终端向WAPI鉴别服务器发送新的注册请求消息。
WAPI鉴别服务器收到新的注册请求后,利用参数做Digest计算并将结果与response参数值比较,如果结果一致,则WAPI鉴别服务器向WAPI终端返回200OK消息。注册成功后WAPI终端的证书管理单元与WAPI鉴别服务器上的证书管理单元使用同样的SHA-128杂凑算法,以rand_ca后串接rand_asue的结果为输入,计算出128位长度的会话密钥。
下面结合附图详细描述步骤S302。图4是根据本发明实施例的用户证书管理单元生成会话密钥流程的流程图,如图4所示,该流程包括:
S402,WAPI终端完成接入鉴别过程与单播密钥协商;
S404,WAPI终端生成128位随机数rand_asue;
S406,WAPI终端用WAPI服务器的公钥加密rand_asue,给Cert-Rand赋值;
S408,WAPI终端发送SIP注册请求;
S410,WAPI终端收到注册失败响应,利用其私钥解密nonce字段,得到rand_ca;
S412,WAPI终端使用失败响应中指定算法计算摘要,用户名为号码,密码为rand_asue;
S414,WAPI终端用摘要赋值response字段并重新发送注册请求;
S416,WAPI终端接收到注册成功响应后,rand_ca与rand_asue做串接后进行SHA-128计算,生成会话密钥,此会话密钥用于解密通知消息中加密的证书与密钥信息。
图5是根据本发明实施例的服务器证书管理单元生成会话密钥流程的流程图,如图5所示,该流程包括:
S502,WAPI鉴别服务器接收SIP注册请求利用自己的私钥解密得到ruan_asue,并产生随机数rand_ca;
S504,WAPI鉴别服务器利用终端用户的公钥加密rand_ca,给注册失败响应中WWW-Authenticate头域中nonce赋值,并回送失败消息;
S506,WAPI鉴别服务器接收到新的注册消息,解析Authorization字段中参数,计算摘要,将结果与response字段比较,返回成功或失败消息;
S508,如果成功,则WAPI鉴别服务器将rand_ca与rand_asue做串接后进行SHA-128计算,生成会话密钥,此会话密钥用于加密通知消息中携带的证书与密钥信息。
图4和图5所示的流程对应于图3中的步骤S302。
(二)步骤S304至S306
在WAPI终端成功完成SIP注册后,随即发起证书订阅请求,向WAPI终端鉴别服务器的证书管理单元发送SIP Subscribe消息,服务器证书管理单元根据用户的身份标识找到其当前有效的公开密钥证书和私有密钥,通过Notify消息发送至WAPI终端,公钥证书与私有密钥先通过XML格式组合,再通过会话密钥进行加密。
WAPI终端解密证书及密钥信息后,对比本地备份证书与私有密钥,如果不一致则发起AP去关联操作并重新发起AP关联,关联过程中进行基于新的证书的鉴别过程。
需要说明,Subscribe可以通过头域字段Event指示事件类型,本发明对事件命名不做具体限定,例如可定义为cert-event;头域字段Accept指示通知消息中消息体格式,本发明对格式命名不做具体限定,例如此处可以定义为application/cert-info,用于定义加密后的证书和密钥内容;本发明对证书与密码的基于XML的格式不做具体限定,Notify消息中的头域字段Event和Content-Type将分别使用Subscribe中Event与Accept头域所对应的值。用户证书管理单元在收到Notify消息时,判断这两个头域字段,并根据Content-Type类型和具体的证书、私有密码组合方式解析内容。
下面结合附图详细描述步骤S304至S306。图6是根据本发明实施例的WAPI终端对订阅及通知消息处理的流程图,如图6所示,该流程包括:
S602,WAPI终端得到成功注册响应;
S604,WAPI终端生成订阅请求消息并发送至WAPI鉴别服务器;
S606,WAPI终端接收到来自WAPI鉴别服务器的订阅成功消息(200OK),准备处理证书通知消息;
S608,WAPI终端判断通知消息体是否为空,如果不是则执行步骤S610,否则执行步骤S614;
S610,WAPI终端利用预先生成的会话密钥通过常规加密算法解密证书及密钥信息;
S612,WAPI终端判断是否证书已更新,如更新则重新发起接入鉴别流程。
S614,WAPI终端的订阅证书已被吊销,重新发起接入鉴别流程。
图7是根据本发明实施例的服务器证书管理单元对订阅及通知消息处理的流程图,如图7所示,该流程包括:
S702,WAPI鉴别服务器接收来自WAPI终端的订阅请求消息;
S704,如果WAPI鉴别服务器接受订阅,则向WAPI终端返回成功消息(200OK);
S706,WAPI鉴别服务器利用会话密钥加密当前有效的证书及私有密钥,并生成携带有加密的公钥证书及私有密钥的通知消息发送给WAPI终端;
S708,在订阅有效期内,证书管理单元用户证书发生更新或吊销时触发通知流程;
S710,证书更新后,利用之前生成的会话密钥加密证书与私有密钥,生成通知消息附带加密后信息发送给客户端;
S712,证书被吊销,生成通知消息,头域字段中指示消息长度为0。
图6和图7所示的流程对应于图3中的步骤S304至S306。
在具体实施过程中,WAPI鉴别服务器中的证书管理单元具体执行WAPI鉴别服务器的处理工作。
图8是根据本发明实施例的WAPI鉴别服务器获取WAPI终端证书的结构示意图。如图8所示,在上述的步骤S706中,WAPI鉴别服务器(鉴别服务器1)向WAPI终端发送的当前有效的WAPI终端的公有密钥证书及私有密钥,可以是该WAPI鉴别服务器预先保存的,也可以是由该WAPI鉴别服务器和与之相连的其他公共认证中心(CA)通过请求证书或响应证书查询获取的,或者由该WAPI鉴别服务器通过更高一级的公共认证中心请求其他的WAPI鉴别服务器(鉴别服务器2)上管理的证书。
图9是根据本发明实施例的WAPI终端证书的管理方法的SIP信令处理的流程图。如图9所示,该流程包括以下处理:
步骤S902,WAPI终端向WAPI鉴别服务器发送SIP注册请求(Register)消息,该Register消息中携带有该WAPI终端生成的第一随机数;
步骤S904,WAPI鉴别服务器向WAPI终端返回注册拒绝消息(401消息),该拒绝消息中携带WAPI鉴别服务器生成的第二随机数;
步骤S906,WAPI终端向WAPI鉴别服务器发送新的Register消息;
步骤S908,WAPI鉴别服务器向WAPI终端返回成功注册响应消息(200OK),确认成功后WAPI鉴别服务器和WAPI终端根据第一随机数和第二随机数生成会话密钥;
步骤S910,WAPI终端向WAPI鉴别服务器发送订阅(Subscribe)消息;
步骤S912,WAPI鉴别服务器向WAPI终端返回成功确认消息(200OK);
步骤S914,WAPI鉴别服务器向WAPI终端发送通知(Notify)消息,该通知消息中携带有利用会话密钥加密的WAPI终端的公开密钥证书和私有密钥;
步骤S916,WAPI终端向WAPI鉴别服务器发送成功确认消息(200OK);
在当用户证书被吊销或失效时,还可以包括以下步骤:
步骤S918,WAPI鉴别服务器向WAPI终端发送通知(Notify)消息,该消息体内容为空,长度指示Content-Length头域的值为0。
步骤S920,WAPI终端接收到该Notify消息后,不再保持接入鉴别状态,而重新发起接入鉴别过程,并向WAPI鉴别服务器返回成功确认消息(200OK)。
装置实施例
根据本发明实施例,还提供了一种WAPI终端证书的管理装置。该装置可以用于实现上述方法实施例所提供的WAPI终端证书的管理方法。
图10是根据本发明实施例的WAPI终端证书的管理装置的框图,该装置可以设置于WAPI鉴别服务器。
如图10所示,根据本发明实施例的WAPI终端证书的管理装置包括:协商模块110,接收模块120,加密模块130,发送模块140,具体地:
协商模块110,用于和WAPI终端协商会话密钥;
接收模块120,连接至协商模块110,用于接收来自WAPI终端的订阅请求消息,其中,订阅请求消息用于非首次请求WAPI终端的公开密钥证书和私有密钥;
加密模块130,连接至接收模块120,用于利用会话密钥加密公开密钥证书和私有密钥;
发送模块140,连接至加密模块130,用于向WAPI终端发送携带有加密的公开密钥证书和私有密钥的通知消息,以供WAPI终端进行更新。
优选地,WAPI终端证书的管理装置为WAPI鉴别服务器中的证书管理单元。
在具体实施过程中,根据本发明实施例提供的装置同样可以完成图2至图9中所示的处理,具体处理过程此处不再重复描述。
系统实施例
根据本发明实施例,还提供了一种WAPI终端证书的管理系统。该系统可以用于实现上述方法实施例所提供的WAPI终端证书的管理方法。
图11是根据本发明实施例的WAPI终端证书的管理系统的框图,如图11所示,该系统包括:WAPI鉴别服务器10、WAPI终端20,其中:
WAPI鉴别服务器10包括:
第一接收模块120,用于接收来自WAPI终端的订阅请求消息,其中,订阅请求消息用于非首次请求WAPI终端的公开密钥证书和私有密钥;
加密模块130,连接至第一接收模块120,用于利用预先生成的会话密钥加密公开密钥证书和私有密钥;
第一发送模块140,连接至加密模块130,用于向WAPI终端发送携带有加密的公开密钥证书和私有密钥的通知消息,以供WAPI终端进行更新;
WAPI终端20包括:
第二发送模块210,用于向WAPI鉴别服务器发送订阅请求消息;
第二接收模块220,用于接收来自WAPI鉴别服务器的携带有加密的公开密钥证书和私有密钥的通知消息;
解密模块230,连接至第二接收模块220,用于利用预先生成的会话密钥解密加密的公开密钥证书和私有密钥;
更新模块240,连接至解密模块230,用于利用解密的公开密钥证书和私有密钥更新WAPI终端本地的公开密钥证书和私有密钥。
在具体实施过程中,根据本发明实施例提供的系统同样可以完成图2至图9中所示的处理,具体处理过程此处不再重复描述。
综上所述,借助于本发明的上述技术方案,通过预先协商会话密钥并利用该会话密钥加密终端的公钥证书和私钥,并将WAPI终端的公钥证书和私钥使用SIP机制发送至WAPI终端,达到了采用在线方式更新用户证书的目的,提高了工作效率,并提高了用户体验。
显然,本领域的技术人员应该明白,上述的本发明的各模块或各步骤可以用通用的计算装置来实现,它们可以集中在单个的计算装置上,或者分布在多个计算装置所组成的网络上,可选地,它们可以用计算装置可执行的程序代码来实现,从而,可以将它们存储在存储装置中由计算装置来执行,或者将它们分别制作成各个集成电路模块,或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样,本发明不限制于任何特定的硬件和软件结合。
以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (10)
1.一种无线局域网认证与保密基础结构WAPI终端证书的管理方法,用于基于会话初始协议SIP管理WAPI终端的公开密钥证书,其特征在于,所述方法包括:
WAPI鉴别服务器和所述WAPI终端协商会话密钥;
所述WAPI鉴别服务器接收来自所述WAPI终端的订阅请求消息,其中,所述订阅请求消息用于非首次请求所述WAPI终端的公开密钥证书和私有密钥;
所述WAPI鉴别服务器向所述WAPI终端发送携带有加密的所述公开密钥证书和所述私有密钥的通知消息,以供所述WAPI终端进行更新,其中,利用所述会话密钥加密所述公开密钥证书和所述私有密钥。
2.根据权利要求1所述的方法,其特征在于,在所述WAPI鉴别服务器和所述WAPI终端协商所述会话密钥之前,所述方法还包括:
接入点对所述WAPI终端进行接入鉴别,并在所述WAPI终端通过鉴别的情况下,允许所述WAPI鉴别服务器和所述WAPI终端协商所述会话密钥。
3.根据权利要求1所述的方法,其特征在于,所述WAPI鉴别服务器和所述WAPI终端协商所述会话密钥的处理包括:
所述WAPI鉴别服务器接收来自所述WAPI终端的注册请求消息,其中,所述注册请求消息中携带有所述WAPI终端生成的第一随机数;
所述WAPI鉴别服务器向所述WAPI终端发送注册拒绝消息,其中,所述注册拒绝消息中携带有所述WAPI鉴别服务器生成的第二随机数;
所述WAPI鉴别服务器接收来自所述WAPI终端的新的注册请求消息,在注册成功的情况下,所述WAPI鉴别服务器和所述WAPI终端根据所述第一随机数和所述第二随机数计算所述会话密钥,其中,所述会话密钥为所述第二随机数与所述第一随机数做串接后进行哈希运算得到。
4.根据权利要求3所述的方法,其特征在于,所述WAPI终端发送的所述第一随机数由所述WAPI终端利用所述WAPI鉴别服务器的公开密钥加密。
5.根据权利要求3所述的方法,其特征在于,所述WAPI鉴别服务器发送的所述第二随机数由所述WAPI鉴别服务器利用所述WAPI终端的公开密钥加密。
6.根据权利要求1所述的方法,其特征在于,在所述WAPI鉴别服务器向所述WAPI终端发送所述通知消息之后,所述方法进一步包括:
所述WAPI终端接收所述通知消息,利用所述会话密钥解密所述公开密钥证书和所述私有密钥,并利用解密的所述公开密钥证书和所述私有密钥更新所述WAPI终端本地的公开密钥证书和私有密钥。
7.根据权利要求1所述的方法,其特征在于,在所述WAPI终端的公开密钥证书为非法或失效的情况下,在所述WAPI鉴别服务器吊销所述WAPI终端的公开密钥证书,具体包括:
所述WAPI鉴别服务器向所述WAPI终端发送用于吊销所述WAPI终端的公开密钥证书的通知消息,以通知所述WAPI终端重新进行接入鉴别,其中,所述吊销所述WAPI终端的公开密钥证书的通知消息的消息体的长度被配置为0。
8.根据权利要求1至7中任一项所述的方法,其特征在于,在所述WAPI鉴别服务器和所述WAPI终端协商所述会话密钥之前,所述方法还包括:
所述WAPI鉴别服务器向公共认证中心预先请求获取、或由所述WAPI鉴别服务器预先保存所述公开密钥证书和所述私有密钥。
9.一种WAPI终端证书的管理装置,设置于WAPI鉴别服务器,其特征在于,所述装置包括:
协商模块,用于和WAPI终端协商会话密钥;
接收模块,用于接收来自所述WAPI终端的订阅请求消息,其中,所述订阅请求消息用于非首次请求所述WAPI终端的公开密钥证书和私有密钥;
加密模块,用于利用所述会话密钥加密所述公开密钥证书和所述私有密钥;
发送模块,用于向所述WAPI终端发送携带有加密的所述公开密钥证书和所述私有密钥的通知消息,以供所述WAPI终端进行更新。
10.一种WAPI终端证书的管理系统,其特征在于,包括:WAPI鉴别服务器、WAPI终端,其中,
所述WAPI鉴别服务器包括:
第一接收模块,用于接收来自所述WAPI终端的订阅请求消息,其中,所述订阅请求消息用于非首次请求所述WAPI终端的公开密钥证书和私有密钥;
加密模块,用于利用预先生成的会话密钥加密所述公开密钥证书和所述私有密钥;
第一发送模块,用于向所述WAPI终端发送携带有加密的所述公开密钥证书和所述私有密钥的通知消息,以供所述WAPI终端进行更新;
WAPI终端包括:
第二发送模块,用于向所述WAPI鉴别服务器发送所述订阅请求消息;
第二接收模块,用于接收来自所述WAPI鉴别服务器的携带有加密的所述公开密钥证书和所述私有密钥的所述通知消息;
解密模块,用于利用预先生成的会话密钥解密加密的所述公开密钥证书和所述私有密钥;
更新模块,用于利用解密的所述公开密钥证书和所述私有密钥更新所述WAPI终端本地的公开密钥证书和私有密钥。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2009100062844A CN101483866B (zh) | 2009-02-11 | 2009-02-11 | Wapi终端证书的管理方法、装置及系统 |
| PCT/CN2009/072692 WO2010091563A1 (zh) | 2009-02-11 | 2009-07-08 | Wapi终端证书的管理方法、装置及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2009100062844A CN101483866B (zh) | 2009-02-11 | 2009-02-11 | Wapi终端证书的管理方法、装置及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101483866A CN101483866A (zh) | 2009-07-15 |
| CN101483866B true CN101483866B (zh) | 2011-03-16 |
Family
ID=40880753
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2009100062844A Active CN101483866B (zh) | 2009-02-11 | 2009-02-11 | Wapi终端证书的管理方法、装置及系统 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN101483866B (zh) |
| WO (1) | WO2010091563A1 (zh) |
Families Citing this family (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101483866B (zh) * | 2009-02-11 | 2011-03-16 | 中兴通讯股份有限公司 | Wapi终端证书的管理方法、装置及系统 |
| CN102035797B (zh) * | 2009-09-29 | 2013-06-05 | 中兴通讯股份有限公司 | 一种基于wapi的媒体传输系统及方法 |
| CN101895884B (zh) * | 2010-06-29 | 2012-12-12 | 北京星网锐捷网络技术有限公司 | 一种wapi证书更新的方法、系统及装置 |
| CN101902371A (zh) * | 2010-07-26 | 2010-12-01 | 华为技术有限公司 | 安全监控方法、签名密钥发送方法、终端、服务器及系统 |
| US9338159B2 (en) * | 2012-03-19 | 2016-05-10 | Nokia Technologies Oy | Method and apparatus for sharing wireless network subscription services |
| CN105491567B (zh) * | 2014-09-18 | 2020-06-16 | 中兴通讯股份有限公司 | Sip信令解密参数的获取方法及装置 |
| CN107517184A (zh) * | 2016-06-16 | 2017-12-26 | 中兴通讯股份有限公司 | 报文传输方法、装置及系统 |
| EP3282638A1 (en) * | 2016-08-11 | 2018-02-14 | Gemalto Sa | A method for provisioning a first communication device by using a second communication device |
| CN107404476B (zh) * | 2017-06-20 | 2020-11-10 | 北京东方棱镜科技有限公司 | 一种大数据云环境中数据安全的保护方法与装置 |
| EP3518489A1 (de) * | 2018-01-26 | 2019-07-31 | Siemens Aktiengesellschaft | Verfahren und system zur offenlegung mindestens eines kryptographischen schlüssels |
| CN108494733B (zh) * | 2018-02-11 | 2021-10-29 | 上海全程玖玖健康服务有限公司 | 一种健康管理系统间通讯的消息队列订阅方法 |
| CN110247884B (zh) * | 2018-11-21 | 2023-05-19 | 浙江大华技术股份有限公司 | 一种更新证书的方法、装置、系统及计算机可读存储介质 |
| CN109743176B (zh) * | 2018-12-28 | 2020-07-28 | 百富计算机技术(深圳)有限公司 | 一种pos终端的证书更新方法、服务器及pos终端 |
| CN112312395B (zh) * | 2019-07-17 | 2023-03-31 | 中国电信股份有限公司 | Wapi证书集中分发方法和系统 |
Family Cites Families (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR100844436B1 (ko) * | 2006-04-28 | 2008-07-07 | 주식회사 리미트정보통신 | 지역적인 공개키 기반 구조를 갖는 지역분포형 로컬 씨에이시스템 |
| CN101123501A (zh) * | 2006-08-08 | 2008-02-13 | 西安电子科技大学 | 一种wapi认证和密钥协商方法和系统 |
| CN100512110C (zh) * | 2006-12-29 | 2009-07-08 | 中国移动通信集团设计院有限公司 | 采用一张终端证书实现基于wapi的wlan运营的方法 |
| CN101039182B (zh) * | 2007-03-07 | 2010-08-11 | 广东南方信息安全产业基地有限公司 | 基于标识的公钥密码认证系统及标识证书发放方法 |
| JP2008219787A (ja) * | 2007-03-07 | 2008-09-18 | Toshiba Corp | 鍵管理システム、鍵管理プログラムおよびicカード |
| CN101483866B (zh) * | 2009-02-11 | 2011-03-16 | 中兴通讯股份有限公司 | Wapi终端证书的管理方法、装置及系统 |
-
2009
- 2009-02-11 CN CN2009100062844A patent/CN101483866B/zh active Active
- 2009-07-08 WO PCT/CN2009/072692 patent/WO2010091563A1/zh active Application Filing
Also Published As
| Publication number | Publication date |
|---|---|
| CN101483866A (zh) | 2009-07-15 |
| WO2010091563A1 (zh) | 2010-08-19 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101483866B (zh) | Wapi终端证书的管理方法、装置及系统 | |
| CN110035433B (zh) | 采用共享密钥、公钥和私钥的验证方法及装置 | |
| US11228442B2 (en) | Authentication method, authentication apparatus, and authentication system | |
| CN109428875B (zh) | 基于服务化架构的发现方法及装置 | |
| CN109699031B (zh) | 采用共享密钥、公钥和私钥的验证方法及装置 | |
| CN101090316B (zh) | 离线状态下存储卡与终端设备之间的身份认证方法 | |
| US8559642B2 (en) | Cryptographic communication with mobile devices | |
| KR100610317B1 (ko) | 홈 네트워크를 구성하는 기기들에 대한 인증 장치 및 방법 | |
| EP3726797A1 (en) | Key distribution method, device and system | |
| CN113497778B (zh) | 一种数据的传输方法和装置 | |
| CN108683501B (zh) | 基于量子通信网络的以时间戳为随机数的多次身份认证系统和方法 | |
| KR20170139093A (ko) | 네트워크 액세스 디바이스가 무선 네트워크 액세스 포인트를 액세스하게 하기 위한 방법, 네트워크 액세스 디바이스, 애플리케이션 서버 및 비휘발성 컴퓨터 판독가능 저장 매체 | |
| US20090240941A1 (en) | Method and apparatus for authenticating device in multi domain home network environment | |
| WO2019041809A1 (zh) | 基于服务化架构的注册方法及装置 | |
| CN102404347A (zh) | 一种基于公钥基础设施的移动互联网接入认证方法 | |
| CN101616410A (zh) | 一种蜂窝移动通信网络的接入方法和系统 | |
| CN108650028B (zh) | 基于量子通信网络与真随机数的多次身份认证系统和方法 | |
| CN108964897B (zh) | 基于群组通信的身份认证系统和方法 | |
| CN102884756B (zh) | 通信装置和通信方法 | |
| CN108259486B (zh) | 基于证书的端到端密钥交换方法 | |
| US20230208621A1 (en) | Preparation of a control device for secure communication | |
| CN109995723B (zh) | 一种域名解析系统dns信息交互的方法、装置及系统 | |
| CN110752934B (zh) | 拓扑结构下网络身份交互认证的方法 | |
| KR20130051636A (ko) | M2m 환경에서의 상호 인증 및 보안 방법 | |
| CN101568116A (zh) | 一种证书状态信息的获取方法及证书状态管理系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |