CN101557588B - 一种用户证书的管理及使用方法及移动终端 - Google Patents
一种用户证书的管理及使用方法及移动终端 Download PDFInfo
- Publication number
- CN101557588B CN101557588B CN2009101364470A CN200910136447A CN101557588B CN 101557588 B CN101557588 B CN 101557588B CN 2009101364470 A CN2009101364470 A CN 2009101364470A CN 200910136447 A CN200910136447 A CN 200910136447A CN 101557588 B CN101557588 B CN 101557588B
- Authority
- CN
- China
- Prior art keywords
- user certificate
- certificate
- user
- cipher
- imsi
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/069—Authentication using certificates or pre-shared keys
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
Abstract
一种用户证书的管理及使用方法及移动终端,该方法包括:移动终端使用用户密码对用户证书进行本地加密后保存;需要使用所述用户证书时,移动终端提取所述经过本地加密的用户证书,并使用用户密码对其进行解密,得到所述用户证书。采用本发明的方法及移动终端,在没有设置SIM卡插槽的移动终端上可以实现用户证书的载入,既扩展了WAPI的应用范围,又不会增加运营的难度,并且提高了便携性。此外,由于对外接存储器中存储的用户证书在终端本地完成一次加密,比以往使用SIM卡作为存储介质不对用户证书加密的安全性提高了很多,尤其在存储有用户证书的存储介质(外接存储器、SIM卡)丢失时,本地加密存储的安全性优势更加明显。
Description
技术领域
本发明涉及无线局域网领域,尤其一种无线局域网鉴别与保密基础结构用户证书的管理及使用方法及移动终端。
背景技术
无线局域网(Wireless Local Area Networks,简称WLAN)的出现以其便携、灵活的特点,越来越广泛地应用于企业和家庭中。由此引发的对信息安全的要求已是无线局域网发展的重点方向,WAPI(Wireless Local AreaNetwork Authentication and Privacy Infrastructure,无线局域网鉴别与保密基础结构)技术的出现使得无线局域网在安全性方面有了质的改变。
WAPI由WAI(WLAN Authentication Infrastructure,无线局域网鉴别基础结构)和WPI(WLAN Privacy Infrastructure,无线局域网保密基础结构)组成,该安全机制实现了对用户身份的认证和对传输数据的加密等功能。WAI负责鉴别和密钥管理,基于对等访问控制,通过STA(STAtion,无线站点)、AP(Access Point,接入点)、ASU(Authentication Service Unit,鉴别服务单元)三物理实体的对等访问控制,实现了STA和AP的双向身份鉴别和密钥协商,从而保证了安全的接入控制。
WAI中基于无线站点(或称为无线局域网终端、或简称终端)的用户证书进行无线站点的身份鉴别。用户证书为公钥证书,是网络用户的数字身份凭证,通过私钥签名和公钥验证可以唯一地确定网络用户的身份。鉴别服务单元的基本功能是对用户证书的有效性进行鉴别。
引入证书机制需要使用相应的证书管理方式。现有技术中的证书管理方式主要分为两类:一是将用户证书直接写入终端的认证模块中,二是将用户证书写入运营商提供的SIM(Subscriber Identification Module,用户识别模块)卡中。第一种证书管理方式使得运营商对WAPI的管理、计费变得复杂且难以操作,且在用户更换终端后,还要重新获取用户证书。第二种证书管理方式在没有SIM卡插槽的终端(例如笔记本电脑、便携式游戏机等)上无法使用,不便于WAPI应用的推广。
因此需要引入一种在保证安全性的前提下可提高便携性、可推广性、可运营性的证书管理方法。
发明内容
本发明所要解决的技术问题是,克服现有技术的不足,提供一种在保证安全性的前提下可提高便携性的证书管理方法。
为了解决上述问题,本发明提供一种用户证书的管理及使用方法,该方法包括:
无线局域网终端使用用户密码对用户证书进行本地加密后保存;
需要使用所述用户证书时,无线局域网终端提取所述经过本地加密的用户证书,并使用用户密码对其进行解密,得到所述用户证书。
此外,将所述经过本地加密的用户证书保存在与所述无线局域网终端连接的外接存储器中。
此外,所述用户证书更新后,使用用户密码对更新后的用户证书进行本地加密,并在所述外接存储器连接到所述无线局域网终端时,将经过本地加密的已更新用户证书保存到所述外接存储器中。
此外,对所述用户证书进行本地加密时,还使用所述用户密码对所述用户证书对应的国际移动用户识别码IMSI进行加密并保存。
此外,使用所述用户证书进行无线局域网鉴别与保密基础结构的接入认证的过程中,所述无线局域网终端还将经过解密的所述IMSI发送给接入点;
所述接入点将经过解密的IMSI发送给用于计费的网元,以进行基于IMSI的无线局域网业务的计费、和/或将所述经过解密的IMSI与所述用户证书一起发送给用于进行证书鉴别的网元,以进行IMSI与所述用户证书的对应关系的验证。
本发明还提供一种移动终端;所述移动终端中设置有:证书管理模块,其中:
所述证书管理模块用于使用用户密码对用户证书进行本地加密后保存;并在需要使用所述用户证书时,提取所述经过本地加密的用户证书,并使用用户密码对其进行解密,得到所述用户证书。
此外,所述移动终端中还包含与移动终端连接的外接存储器;
所述证书管理模块将所述经过本地加密的用户证书保存在所述外接存储器中。
此外,所述证书管理模块还用于在所述用户证书更新后,使用用户密码对更新后的用户证书进行本地加密,并在所述外接存储器连接到所述移动终端时,将所述经过本地加密的已更新用户证书保存到所述外接存储器中。
此外,所述证书管理模块还用于在对所述用户证书进行本地加密时,使用所述用户密码对所述用户证书对应的IMSI进行加密并保存。
此外,所述无线局域网终端中还设置有接入认证模块;
所述接入认证模块用于使用所述证书管理模块输出的所述用户证书进行无线局域网鉴别与保密基础结构的接入认证,并在进行所述接入认证的过程中,将经过解密的所述IMSI通过接入点发送给无线局域网系统的计费网元,以进行基于IMSI的无线局域网业务的计费、和/或将经过解密的所述IMSI与所述用户证书一起通过接入点发送给无线局域网系统的证书鉴别的网元,以进行IMSI与所述用户证书的对应关系的验证。
综上所述,采用本发明的方法及移动终端,在没有设置SIM卡插槽的移动终端上可以实现用户证书的载入,既扩展了WAPI的应用范围,又不会增加运营的难度,并且提高了便携性。
此外,由于对外接存储器中存储的用户证书在终端本地完成一次加密,比以往使用SIM卡作为存储介质不对用户证书加密的安全性提高了很多,尤其在存储有用户证书的存储介质(外接存储器、SIM卡)丢失时,本地加密存储的安全性优势更加明显。
此外,将IMSI与用户证书一起使用(例如在接入认证过程中一起发送给网络侧),一方面便于运营商基于IMSI进行计费,另一方面可以进一步增加接入的安全性,也就是说用户不仅需要提供正确的用户证书,同时还要提供相应的IMSI才能正确接入WLAN。
附图说明
图1是本发明实施例用户证书的管理及使用方法流程图;
图2是WAPI的证书鉴别过程流程图;
图3是本发明实施例无线局域网系统的结构示意图。
具体实施方式
本发明的核心思想是,无线局域网终端使用用户密码对用户证书进行本地加密后保存在与无线局域网终端连接的外接存储器中;需要使用用户证书时,无线局域网终端从外接存储器提取经过本地加密的用户证书,并使用用户密码对其进行解密,得到所述用户证书。
此外,用户证书更新后,使用用户密码对更新后的用户证书进行本地加密,并在外接存储器连接到所述无线局域网终端时,将经过本地加密的已更新用户证书保存到外接存储器中。
下面将结合附图和实施例对本发明进行详细描述。
图1是本发明实施例用户证书的管理及使用方法流程图,如图1所示,该方法包括:
101:用户向运营商申请WAPI用户证书(简称用户证书);
用户可以使用运营商已经提供的SIM卡所对应的IMSI(InternationalMobile Subscriber Identifier,国际移动用户识别码)来申请用户证书,用户证书的申请可以在营业厅进行,也可以通过网络申请。运营商可以保存IMSI与用户证书的对应关系,以便于对移动通信业务和无线局域网业务统一管理和计费。
在申请用户证书时,运营商可以通过PGP(Pretty Good Privacy,优秀加密)软件对证书进行加密,加密所使用的初始密码会在申请证书的同时提供给用户。
102:使用初始密码对申请到的用户证书解密后,再使用用户设置的密码(简称用户密码)对用户证书以及对应的IMSI进行本地加密,并将加密后的用户证书和IMSI保存到外接存储器中的指定存储区域中。
所述外接存储器可以是T-Flash卡(简称T卡)。T卡的接口转换技术已经非常成熟,即使移动台没有T卡插槽,也可以通过其它转换接口将T卡与移动台相连。同时由于支持热插拔,存储证书的T卡有很大的便携性。
上述使用初始密码进行解密、以及使用用户密码进行本地加密的处理都可以使用PGP软件完成。
此外,由于用户证书文件以及IMSI本身的数据量很小,且内容极为重要,因此可以使用RSA(Rivest-Shmir-Adleman)算法对其进行非对称加密。用户可以通过运行PGP软件设置加密所使用的用户密码,并记忆解密所使用的用户密码。如果使用对称加密算法,用于加密的用户密码和用于解密的用户密码相同。
上述用户密码可以在需要时由用户输入,也可以通过PGP等软件以安全的方式进行保存。
103:在需要使用用户证书时,将存储有用户证书文件的T卡插入终端的插槽,或通过转接装置将T卡连接到终端支持的接口上,证书管理模块读取保存在T卡中指定存储区域的用户证书及IMSI,并使用用户密码(用于解密的用户密码)进行解密,将解密后的用户证书和IMSI载入终端内部存储器中证书管理模块所管理的缓存(简称证书管理模块缓存)中。
104:终端使用用户证书进行WLAN的接入认证(即WAPI的证书鉴别过程),具体描述如下:
当终端收到AP广播的证书鉴别激活分组时,向AP发送携带用户证书的接入鉴别请求,启动WAPI的证书鉴别过程;之后AP将AP的证书与用户证书一起包含在证书鉴别请求中发给ASU,ASU对AP的证书和用户证书鉴别完成后,将证书验证结果以及ASU对该验证结果的签名包含在证书鉴别响应报文中发送给AP,AP根据该验证结果获知用户证书是否有效;如果用户证书有效,AP对ASU发送的证书验证结果进行签名,并将证书验证结果、ASU的签名以及AP的签名发给终端,终端验证AP发送的证书验证结果、ASU的签名以及AP的签名,如果证书验证结果以及ASU和AP的签名都正确则成功接入WLAN,否则接入失败。
WAPI的证书鉴别过程的具体流程如图2所示,该流程的详细描述可参考WAPI文档。
此外,在证书鉴别过程中终端可以将解密后的IMSI发送给AP(例如,终端可以将解密后的IMSI包含在接入鉴别请求中发送给AP),AP将该终端的IMSI发送给系统中用于计费的网元,该网元可根据IMSI对用户进行无线局域网业务的计费。例如,AP将该终端的流量信息和IMSI发送给用于计费的网元,该用于计费的网元将该流量所对应的费用计入该IMSI对应的账户中。
此外,AP也可以将终端的IMSI包含在证书鉴别请求中发送给ASU,ASU验证用户证书的有效性的同时,还验证用户证书和IMSI的对应关系,当用户证书与IMSI不对应时,同样认为用户证书无效。
105:完成WLAN的接入认证后,用户可以将T卡拔出终端。
106:证书管理模块可以与AP等网络侧设备交互进行用户证书的更新。
107:完成证书的更新后,证书管理模块使用用户密码(用于加密的用户密码)对更新的用户证书进行加密,并将加密的用户证书保存在终端的固定存储空间或证书管理模块缓存中。
108:当用户再次插入T卡时,证书管理模块将本地加密的已更新用户证书写入T卡的指定存储区域。
图3是本发明实施例无线局域网系统的结构示意图,如图3所示,该系统包含:无线局域网终端、AP、用于进行证书鉴别的网元(ASU)、计费网元以及与无线局域网终端相连的外接存储器。其中,无线局域网终端中设置有:证书管理模块、内部存储器、接入认证模块。
证书管理模块用于使用用户密码对用户证书进行本地加密后保存到外接存储器中;并且在需要使用所述用户证书时,从外接存储器中提取所述经过本地加密的用户证书,并使用用户密码对其进行解密,得到所述用户证书。
此外,所述用户证书更新后,证书管理模块使用用户密码对更新后的用户证书进行本地加密,如果此时外接存储器未与终端连接,则将经过本地加密的已更新用户证书保存在内部存储器中,并在所述外接存储器连接到所述无线局域网终端时,将经过本地加密的已更新用户证书保存到所述外接存储器中。
此外,对所述用户证书进行本地加密时,证书管理模块还使用所述用户密码对所述用户证书对应的IMSI进行加密并保存到外接存储器中。
当然,对便携性没有要求的用户可以将加密后的用户证书和IMSI保存在内部存储器中。
接入认证模块用于使用证书管理模块输出的所述用户证书进行WAPI的接入认证,并在此过程中,将经过解密的所述IMSI发送给接入点。
所述接入点用于将所述经过解密的IMSI发送给所述计费网元以进行基于IMSI的无线局域网业务的计费、和/或将所述经过解密的IMSI和用户证书一起发送给ASU以进行IMSI与所述用户证书的对应关系的验证。
综上所述,采用本发明的方法及系统,在没有设置SIM卡插槽的移动便携设备上可以实现用户证书的载入,既扩展了WAPI的应用范围,又不会增加运营的难度。
此外,由于对外接存储器中存储的用户证书在本地完成加密,比以往使用SIM卡作为存储介质安全性提高了很多,尤其在存储有用户证书的存储介质(外接存储器、SIM卡)丢失时,本地加密存储的安全性优势更加明显。
Claims (6)
1.一种用户证书的管理及使用方法,其特征在于,该方法包括:
无线局域网终端使用用户密码对用户证书和与所述用户证书对应的国际移动用户识别码IMSI进行本地加密后保存;
需要使用所述用户证书进行无线局域网鉴别与保密基础结构的接入认证时,无线局域网终端提取所述经过本地加密的用户证书,并使用用户密码对其进行解密,得到所述用户证书;
所述无线局域网终端将经过解密的所述IMSI发送给接入点;
所述接入点将经过解密的IMSI发送给用于计费的网元,以进行基于IMSI的无线局域网业务的计费,和/或将所述经过解密的IMSI与所述用户证书一起发送给用于进行证书鉴别的网元,以进行IMSI与所述用户证书的对应关系的验证。
2.如权利要求1所述的方法,其特征在于,
将所述经过本地加密的用户证书保存在与所述无线局域网终端连接的外接存储器中。
3.如权利要求2所述的方法,其特征在于,
所述用户证书更新后,使用用户密码对更新后的用户证书进行本地加密,并在所述外接存储器连接到所述无线局域网终端时,将经过本地加密的已更新用户证书保存到所述外接存储器中。
4.一种移动终端;所述移动终端中设置有:证书管理模块和接入认证模块,其中:
所述证书管理模块用于使用用户密码对用户证书和与所述用户证书对应的IMSI进行本地加密后保存;并在需要使用所述用户证书时,提取所述经过本地加密的用户证书,并使用用户密码对其进行解密,得到所述用户证书;
所述接入认证模块用于使用所述证书管理模块输出的所述用户证书进行无线局域网鉴别与保密基础结构的接入认证,并在进行所述接入认证的过程中,将经过解密的所述IMSI通过接入点发送给无线局域网系统的计费网元,以进行基于IMSI的无线局域网业务的计费,和/或将经过解密的所述IMSI与所述用户证书一起通过接入点发送给无线局域网系统的证书鉴别的网元,以进行IMSI与所述用户证书的对应关系的验证。
5.如权利要求4所述的移动终端,其特征在于,
所述移动终端与外接存储器连接;
所述证书管理模块将所述经过本地加密的用户证书保存在所述外接存储器中。
6.如权利要求5所述的移动终端,其特征在于,
所述证书管理模块还用于在所述用户证书更新后,使用用户密码对更新后的用户证书进行本地加密,并在所述外接存储器连接到所述移动终端时,将所述经过本地加密的已更新用户证书保存到所述外接存储器中。
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2009101364470A CN101557588B (zh) | 2009-05-08 | 2009-05-08 | 一种用户证书的管理及使用方法及移动终端 |
PCT/CN2009/075632 WO2010127545A1 (zh) | 2009-05-08 | 2009-12-16 | 一种用户证书的管理及使用方法及移动终端 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2009101364470A CN101557588B (zh) | 2009-05-08 | 2009-05-08 | 一种用户证书的管理及使用方法及移动终端 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN101557588A CN101557588A (zh) | 2009-10-14 |
CN101557588B true CN101557588B (zh) | 2011-10-26 |
Family
ID=41175478
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN2009101364470A Active CN101557588B (zh) | 2009-05-08 | 2009-05-08 | 一种用户证书的管理及使用方法及移动终端 |
Country Status (2)
Country | Link |
---|---|
CN (1) | CN101557588B (zh) |
WO (1) | WO2010127545A1 (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111669756B (zh) * | 2020-07-24 | 2023-07-04 | 广西电网有限责任公司 | 一种wapi网络中传递接入网络信息的系统及方法 |
Families Citing this family (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101557588B (zh) * | 2009-05-08 | 2011-10-26 | 中兴通讯股份有限公司 | 一种用户证书的管理及使用方法及移动终端 |
CN101754203B (zh) * | 2009-12-25 | 2014-04-09 | 宇龙计算机通信科技(深圳)有限公司 | 一种wapi证书获取方法、装置及网络系统 |
CN101800984A (zh) * | 2010-01-14 | 2010-08-11 | 宇龙计算机通信科技(深圳)有限公司 | 获取wapi证书的方法、服务器端及wapi认证系统 |
EP3541106A1 (en) * | 2012-02-14 | 2019-09-18 | Apple Inc. | Methods and apparatus for euicc certificate management |
CN107070648B (zh) * | 2017-03-01 | 2020-09-18 | 北京信安世纪科技股份有限公司 | 一种密钥保护方法及pki系统 |
Family Cites Families (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7242676B2 (en) * | 2002-10-17 | 2007-07-10 | Herman Rao | Wireless LAN authentication, authorization, and accounting system and method utilizing a telecommunications network |
CN1581775A (zh) * | 2004-05-14 | 2005-02-16 | 上海华曼信息技术有限公司 | 一种实现无线局域网安全的装置及工作方法 |
CN1700639A (zh) * | 2004-05-21 | 2005-11-23 | 华为技术有限公司 | 导出和导入无线局域网鉴别与保密基础结构证书信息方法 |
CN100505658C (zh) * | 2004-09-02 | 2009-06-24 | 北京握奇数据系统有限公司 | 一种实现无线局域网接入的方法 |
CN101252434B (zh) * | 2008-02-29 | 2011-12-21 | 北京中电华大电子设计有限责任公司 | 在无线局域网中实现手机接入认证的设备及方法 |
CN101557588B (zh) * | 2009-05-08 | 2011-10-26 | 中兴通讯股份有限公司 | 一种用户证书的管理及使用方法及移动终端 |
-
2009
- 2009-05-08 CN CN2009101364470A patent/CN101557588B/zh active Active
- 2009-12-16 WO PCT/CN2009/075632 patent/WO2010127545A1/zh active Application Filing
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111669756B (zh) * | 2020-07-24 | 2023-07-04 | 广西电网有限责任公司 | 一种wapi网络中传递接入网络信息的系统及方法 |
Also Published As
Publication number | Publication date |
---|---|
CN101557588A (zh) | 2009-10-14 |
WO2010127545A1 (zh) | 2010-11-11 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN105050081B (zh) | 网络接入设备接入无线网络接入点的方法、装置和系统 | |
CN107358441B (zh) | 支付验证的方法、系统及移动设备和安全认证设备 | |
CN101777978B (zh) | 一种基于无线终端的数字证书申请方法、系统及无线终端 | |
CN108924147B (zh) | 通信终端数字证书签发的方法、服务器以及通信终端 | |
WO2013182154A1 (zh) | 一种对通讯终端上应用程序加、解密的方法、系统和终端 | |
US9445269B2 (en) | Terminal identity verification and service authentication method, system and terminal | |
CN106227503A (zh) | 安全芯片cos固件更新方法、服务端、终端及系统 | |
WO2006083125A1 (en) | Wireless network system and communication method for external device to temporarily access wireless network | |
CN101557588B (zh) | 一种用户证书的管理及使用方法及移动终端 | |
US20150020180A1 (en) | Wireless two-factor authentication, authorization and audit system with close proximity between mass storage device and communication device | |
CN101783800A (zh) | 一种嵌入式系统安全通信方法、装置及系统 | |
CN102866960A (zh) | 一种在存储卡中实现加密的方法、解密的方法和装置 | |
WO2012075904A1 (zh) | 一种验证绑定数据卡和移动主机的方法、装置及系统 | |
CN105376059A (zh) | 基于电子钥匙进行应用签名的方法和系统 | |
CN103632081A (zh) | 加密存储设备及其认证系统、认证方法 | |
CN101895881A (zh) | 一种实现gba密钥的方法及终端可插拔设备 | |
CN112507296A (zh) | 一种基于区块链的用户登录验证方法及系统 | |
CN101296231A (zh) | 一种数据卡操作的方法及数据卡 | |
KR101680536B1 (ko) | 기업용 모바일 업무데이터 보안 서비스 방법 및 그 시스템 | |
CN117041956A (zh) | 通信认证方法、装置、计算机设备和存储介质 | |
KR20140063014A (ko) | 생체 인식을 이용한 인증서 비밀번호 대체 방법 | |
KR20160146090A (ko) | 스마트홈 시스템에서의 통신 방법 및 그 장치 | |
CN108322907B (zh) | 一种开卡方法及终端 | |
KR101172876B1 (ko) | 사용자 단말기와 서버 간의 상호 인증 방법 및 시스템 | |
CN101621795A (zh) | 一种实现无线数据终端私有性的方法、系统及装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant |