CN101754203B - 一种wapi证书获取方法、装置及网络系统 - Google Patents
一种wapi证书获取方法、装置及网络系统 Download PDFInfo
- Publication number
- CN101754203B CN101754203B CN200910189481.4A CN200910189481A CN101754203B CN 101754203 B CN101754203 B CN 101754203B CN 200910189481 A CN200910189481 A CN 200910189481A CN 101754203 B CN101754203 B CN 101754203B
- Authority
- CN
- China
- Prior art keywords
- wapi
- certificate
- imsi
- wapi certificate
- mobile terminal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Abstract
本发明适用于移动通信领域,提供了一种WAPI证书获取方法、装置及网络系统,所述方法包括下述步骤:移动终端判断不存在与IMSI对应的WAPI证书时,利用预置的通用WAPI证书向接入点发起网络接入请求;接入点接收移动终端利用所述通用WAPI证书发起的网络接入请求,向认证服务器请求WAPI证书鉴权;认证服务器接收接入点的WAPI证书鉴权请求,从所述通用WAPI证书中提取移动终端的IMSI,向网络服务器请求IMSI验证;认证服务器根据网络服务器验证有效的IMSI生成专用WAPI证书,分发给移动终端。本发明获取证书的过程方便安全,不需要用户以及运营商员工的参与,且方便运营商管理和计费。
Description
技术领域
本发明属于移动通信领域,尤其涉及一种WAPI证书获取方法、装置及网络系统。
背景技术
无线局域网鉴别与保密基础结构(WLAN Authentication and PrivacyInfrastructure,WAPI)是针对IEEE802.11中有线等效保密(Wired EquivalentPrivacy,WEP)协议安全问题,经多方参加,反复论证,充分考虑各种应用模式,在中国无线局域网国家标准GB15629.11中提出的WLAN安全解决方案。WAPI采用基于公钥密码体系的证书机制,真正实现了移动终端(Station,STA)与无线接入点(Access Point,AP)间的双向鉴别。用户只要安装一张证书就可在覆盖WLAN的不同地区漫游,方便用户使用。接入点设置好证书后,无须再对后台的验证、授权和记账(Authentication、Authorization、Accounting,AAA)服务器进行设置,安装、组网便捷,易于扩展。WAPI证书支持Windows98/2000/XP、Linux等操作系统,提供与现有计费技术兼容的服务,可实现按时计费、按流量计费、包月等多种计费方式。
目前,移动终端可以通过几种方式获取WAPI证书,一种方式是先获取用户名及口令,利用非加密的无线接入点进行连接,通过强制PORTAL的WEB认证方式进行用户名及口令认证,认证成功,移动终端可通过无线接入点访问Internet网,移动终端通过认证服务器(Authentication server,AS)的IP,访问认证服务器请求分发证书,证书分发后移动终端就下载该用户证书和服务器证书进行安装。第二种方式是利用网络中的电脑访问认证服务器,并请求分发证书,将证书下载到电脑上,然后拷贝到移动终端上进行安装。第三种就是移动终端用户到营业厅申请WAPI证书。
在上述方案中,第一种方案需要事先注册用户名及口令,并且通过强制PORTAL的WEB认证,在非加密方式下无线接入网络,存在安全隐患。第二种方式中用户需要有可以上网的电脑,并且不适合运营商对WAPI网络进行计费管理。第三种方式需要用户和营运商员工的参与,操作复杂。
发明内容
本发明实施例的目的在于提供一种WAPI证书获取方法,旨在解决现有移动终端在获取WAPI证书时操作不方便、不安全的问题。
本发明实施例是这样实现的,一种WAPI证书获取方法,所述方法包括下述步骤:
移动终端判断不存在与IMSI对应的WAPI证书时,利用预置的通用WAPI证书向接入点发起网络接入请求;
接入点接收移动终端利用所述通用WAPI证书发起的网络接入请求,向认证服务器请求WAPI证书鉴权;
认证服务器接收接入点的WAPI证书鉴权请求,从所述通用WAPI证书中提取移动终端的IMSI,向网络服务器请求IMSI验证;
认证服务器根据网络服务器验证有效的IMSI生成专用WAPI证书,分发给移动终端。
本发明实施例的另一目的在于提供一种基于WAPI协议的WLAN网络系统,所述系统包括:
至少一个移动终端,其预置有通用WAPI证书,用于在判断不存在与IMSI对应的WAPI证书时,利用所述通用WAPI证书发起网络接入请求;
至少一个接入点,用于接收所述移动终端利用所述通用WAPI证书发起的网络接入请求,发起WAPI证书鉴权请求;以及
认证服务器,用于接收所述接入点发起的WAPI证书鉴权请求,从所述通用WAPI证书中提取所述移动终端的IMSI,向网络服务器请求IMSI验证,接收网络服务器返回的IMSI验证结果信息,IMSI验证通过后,根据有效的IMSI生成专用WAPI证书,分发给所述移动终端。
本发明实施例的另一目的在于提供一种WAPI证书获取装置,所述装置包括:
通用WAPI证书存储单元,用于存储预置的通用WAPI证书;
网络接入判断单元,用于在向接入点发起网络接入时,判断是否存在与IMSI对应的专用WAPI证书;
专用WAPI证书接收单元,用于接收认证服务器分发的专用WAPI证书;以及
网络接入单元,用于利用所述通用WAPI证书或者专用WAPI证书向接入点发起网络接入请求。
本发明实施例的另一目的在于提供一种包含上述WAPI证书获取装置的移动终端。
本发明实施例的另一目的在于提供一种WAPI证书分发装置,所述装置包括:
IMSI验证单元,用于从移动终端的通用WAPI证书中提取移动终端的IMSI,向网络服务器发送IMSI验证请求,接收网络服务器返回的IMSI验证结果信息;
专用WAPI证书生成单元,用于在IMSI验证通过后,根据验证有效的IMSI生成专用WAPI证书;以及
WAPI证书分发单元,用于将所述专用WAPI证书分发给对应的移动终端。
本发明实施例的另一目的在于提供一种包含上述WAPI证书分发装置的认证服务器。
本发明实施例的另一目的在于提供一种包含上述认证服务器的WLAN网络系统。
本发明实施例中在WAPI证书获取中增加IMSI验证,使得移动终端可以利用预置的通用WAPI证书获取专有WAPI证书,获取证书的过程方便安全,不需要用户以及运营商员工的参与,且方便运营商管理和计费。
附图说明
图1是本发明实施例提供的基于WAPI协议的WLAN安全网络的结构图;
图2是本发明实施例提供的WAPI证书获取方法的实现流程图;
图3是本发明实施例提供的WAPI证书获取装置的结构图;
图4是本发明实施例提供的WAPI证书分发装置的结构图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
本发明实施例将移动终端的IMSI作为生成专用WAPI证书的一个信息,移动终端通过通用WAPI证书请求接入网络,认证服务器从通用WAPI证书中提取移动终端的IMSI,生成专用WAPI证书,分发给移动终端,可以同时满足营运商移动终端的管理,以及用户操作的便利性和安全性
图1示出了本发明实施例提供的基于WAPI协议的WLAN网络系统的结构,为了便于说明,仅示出了本发明实施例相关的部分。
该网络系统由移动终端I、接入点2和认证服务器3三个实体组成,网络系统中的移动终端1和接入点2往往有多个。
认证服务器3负责WAPI证书的颁发、验证与吊销等。移动终端1与接入点2上都安装有认证服务器3颁发的公钥WAPI证书,作为自身的数字身份凭证。
当移动终端1登录至接入点2时,在使用或访问Internet网络之前必须通过认证服务器3对双方进行身份验证。根据身份验证的结果,持有合法WAPI证书的移动终端才能接入持有合法WAPI证书的接入点,通过接入点2访问网络。这样,不仅可以防止非法移动终端接入接入点2而访问网络并占用网络资源,而且还可以防止移动终端1登录至非法接入点而造成信息泄漏。
在本发明实施例中,移动终端1中预置有一个通用WAPI证书,一般由移动终端制造商在生产时实现。移动终端1在判断不存在与IMSI对应的WAPI证书时,利用该通用WAPI证书向接入点2发起网络接入请求,连接到接入点2。
接入点2接收移动终端1利用该通用WAPI证书发起的网络接入请求,向认证服务器3发起WAPI证书鉴权请求,将移动终端1的通用WAPI证书和自身的WAPI证书到认证服务器3申请鉴权。
认证服务器3接收接入点2发起的WAPI证书鉴权请求,从通用WAPI证书中提取移动终端1的国际移动用户识别码(International Mobile SubscriberIdentity,IMSI),将该IMSI发送到网络服务器4,向网络服务器4请求IMSI验证,接收网络服务器4返回的IMSI验证结果信息。
网络服务器4验证该IMSI是否有效,如果网络服务器4验证该IMSI有效,则通知认证服务器3。
认证服务器3根据该有效的IMSI生成专用WAPI证书,分发给移动终端1。
移动终端1收到该专用WAPI证书后,安装该专用WAPI证书,重新发起连接。认证服务器3将该专用WAPI证书对应的IMSI发送给网络服务器4,网络服务器4对移动终端1进行管理和计费。
图2示出了本发明实施例提供的WAPI证书获取方法的实现流程,详述如下:
1.移动终端启动WAPI,搜索接入点;
作为本发明的一个实施例,移动终端在申请接入接入点时,判断是否存在与IMSI对应的专用WAPI证书,是则利用该WAPI证书连接接入点,否则执行第2步。
2.移动终端读取IMSI,利用移动终端预置的通用WAPI证书向接入点发起网络接入请求;
3.接入点向认证服务器请求WAPI证书鉴权,将移动终端的通用WAPI证书和自身的WAPI证书发送到认证服务器申请鉴权;
4.认证服务器从移动终端的通用WAPI证书中提取移动终端的IMSI,向网络服务器请求ISMI验证;
5.网络服务器对IMSI进行验证,向认证服务器返回验证结果信息;
在本发明实施例中,网络服务器验证IMSI是否有效,如果验证通过,则向认证服务器返回IMSI验证有效的验证结果信息,并执行第6步;如果验证未通过,则向认证服务器返回IMSI验证无效的验证结果信息,认证服务器将IMSI验证无效的验证结果信息通知接入点,接入点通知移动终端,并断开与移动终端的连接。
6.认证服务器根据验证有效的IMSI生成对应的专用WAPI证书;
7.认证服务器将生成的专用WAPI证书返回接入点;
8.接入点将该专用WAPI证书返回移动终端。
移动终端获得该专用WAPI证书后,利用该专用WAPI证书重新向接入点发起网络接入请求。
图3示出了本发明实施例提供的WAPI证书获取装置的结构,为了便于说明,仅示出了与本发明实施例相关的部分。
该WAPI证书获取装置可以用于具备将利用WAPI证书接入网络的移动终端中,可以是运行于这些移动终端内的软件单元、硬件单元,或者软硬结合的单元,也可以作为独立的挂件集成到这些移动终端中或者运行于这些移动终端的应用系统中,其中:
通用WAPI证书存储单元31存储预置的通用WAPI证书。
网络接入判断单元32在向接入点发起网络接入时,判断是否存在与IMSI对应的专用WAPI证书。
网络接入单元33在网络接入判断单元32判断不存在与IMSI对应的专用WAPI证书时,利用该通用WAPI证书向接入点发起网络接入请求。
专用WAPI证书接收单元34接收认证服务器分发的专用WAPI证书,移动终端安装该专用WAPI证书后,网络接入单元33可以利用该专用WAPI证书重新向接入点发起网络接入请求。
图4示出了本发明实施例提供的WAPI证书分发装置的结构,为了便于说明,仅示出了与本发明实施例相关的部分。
该WAPI证书分发装置可以用于WLAN网络系统中的认证服务器中,可以是运行于认证服务器内的软件单元、硬件单元,或者软硬结合的单元,也可以作为独立的挂件集成到认证服务器中或者运行于认证服务器的应用系统中,其中:
IMSI验证单元41从移动终端的通用WAPI证书中提取移动终端的IMSI,向网络服务器发送IMSI验证请求,接收网络服务器返回的IMSI验证结果信息。
专用WAPI证书生成单元42在IMSI验证通过后,根据验证有效的IMSI生成专用WAPI证书。
WAPI证书分发单元43将该专用WAPI证书分发给对应的移动终端。
本发明实施例中在WAPI证书获取中增加IMSI验证,使得移动终端可以利用预置的通用WAPI证书获取专有WAPI证书,获取证书的过程方便安全,不需要用户以及运营商员工的参与,且方便运营商管理和计费。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明的保护范围之内。
Claims (10)
1.一种WAPI证书获取方法,其特征在于,所述方法包括下述步骤:
移动终端在申请接入接入点,判断不存在与IMSI对应的WAPI证书时,利用预置的通用WAPI证书向接入点发起网络接入请求;
接入点接收移动终端利用所述通用WAPI证书发起的网络接入请求,向认证服务器请求WAPI证书鉴权;
认证服务器接收接入点的WAPI证书鉴权请求,从所述通用WAPI证书中提取移动终端的IMSI,向网络服务器请求IMSI验证;
认证服务器根据网络服务器验证有效的IMSI生成专用WAPI证书,分发给移动终端。
2.如权利要求1所述的方法,其特征在于,所述方法进一步包括下述步骤:
在移动终端预置通用WAPI证书。
3.一种基于WAPI协议的WLAN网络系统,其特征在于,所述系统包括:
至少一个移动终端,其预置有通用WAPI证书,用于在申请接入接入点,判断不存在与IMSI对应的WAPI证书时,利用所述通用WAPI证书发起网络接入请求;
至少一个接入点,用于接收所述移动终端利用所述通用WAPI证书发起的网络接入请求,发起WAPI证书鉴权请求;以及
认证服务器,用于接收所述接入点发起的WAPI证书鉴权请求,从所述通用WAPI证书中提取所述移动终端的IMSI,向网络服务器请求IMSI验证,接收网络服务器返回的IMSI验证结果信息,IMSI验证通过后,根据有效的IMSI生成专用WAPI证书,分发给所述移动终端。
4.如权利要求3所述的系统,其特征在于,所述移动终端包括:
通用WAPI证书存储单元,用于存储预置的通用WAPI证书;
网络接入判断单元,用于在向所述接入点发起网络接入时,判断是否存在与IMSI对应的专用WAPI证书;
专用WAPI证书接收单元,用于接收所述认证服务器分发的专用WAPI证书;以及
网络接入单元,用于利用所述通用WAPI证书或者专用WAPI证书向所述接入点发起网络接入请求。
5.如权利要求3所述的系统,其特征在于,所述认证服务器包括:
IMSI验证单元,用于从所述通用WAPI证书中提取移动终端的IMSI,向网络服务器发送IMSI验证请求,接收网络服务器返回的IMSI验证结果信息;
专用WAPI证书生成单元,用于在IMSI验证通过后,根据验证有效的IMSI生成专用WAPI证书;以及
WAPI证书分发单元,用于将所述专用WAPI证书分发给对应的移动终端。
6.一种WAPI证书获取装置,其特征在,所述装置包括:
通用WAPI证书存储单元,用于存储预置的通用WAPI证书;
网络接入判断单元,用于在向接入点发起网络接入时,判断是否存在与IMSI对应的专用WAPI证书;
专用WAPI证书接收单元,用于接收认证服务器分发的专用WAPI证书;以及
网络接入单元,用于当不存在与IMSI对应的专用WAPI证书时,利用所述通用WAPI证书向接入点发起网络接入请求或者利用专用WAPI证书向接入点发起网络接入请求。
7.一种包含权利要求6的WAPI证书获取装置的移动终端。
8.一种WAPI证书分发装置,其特征在于,所述装置包括:
IMSI验证单元,用于从移动终端利用的向接入点发起网络接入请求的通用WAPI证书中提取移动终端的IMSI,向网络服务器发送IMSI验证请求,接收网络服务器返回的IMSI验证结果信息;
专用WAPI证书生成单元,用于在IMSI验证通过后,根据验证有效的IMSI生成专用WAPI证书;以及
WAPI证书分发单元,用于将所述专用WAPI证书分发给对应的移动终端。
9.一种包含权利要求8的WAPI证书分发装置的认证服务器。
10.一种包含权利要求9的认证服务器的WLAN网络系统。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200910189481.4A CN101754203B (zh) | 2009-12-25 | 2009-12-25 | 一种wapi证书获取方法、装置及网络系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200910189481.4A CN101754203B (zh) | 2009-12-25 | 2009-12-25 | 一种wapi证书获取方法、装置及网络系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101754203A CN101754203A (zh) | 2010-06-23 |
| CN101754203B true CN101754203B (zh) | 2014-04-09 |
Family
ID=42480422
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN200910189481.4A Active CN101754203B (zh) | 2009-12-25 | 2009-12-25 | 一种wapi证书获取方法、装置及网络系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101754203B (zh) |
Families Citing this family (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102158849A (zh) * | 2010-12-21 | 2011-08-17 | 东莞宇龙通信科技有限公司 | 一种获取证书的方法及移动终端 |
| CN102833744B (zh) * | 2012-06-28 | 2016-01-13 | 宇龙计算机通信科技(深圳)有限公司 | 获取wapi证书的方法及系统 |
| JP6299047B2 (ja) * | 2014-05-08 | 2018-03-28 | 華為技術有限公司Huawei Technologies Co.,Ltd. | 証明取得方法及び装置 |
| CN108134675B (zh) * | 2017-12-18 | 2020-11-10 | 北京特立信电子技术股份有限公司 | 基于sdn网络的控制、数据平面设备及其认证方法与系统 |
| CN108449759B (zh) * | 2018-03-28 | 2021-05-04 | 湖南东方华龙信息科技有限公司 | 无线接入方法和无线接入认证方法 |
| CN112312395B (zh) * | 2019-07-17 | 2023-03-31 | 中国电信股份有限公司 | Wapi证书集中分发方法和系统 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1674497A (zh) * | 2004-03-26 | 2005-09-28 | 华为技术有限公司 | Wlan终端接入移动网络的认证方法 |
| CN101018174A (zh) * | 2007-03-15 | 2007-08-15 | 北京安拓思科技有限责任公司 | 用于wapi的获取公钥证书的网络系统和方法 |
| CN101252434A (zh) * | 2008-02-29 | 2008-08-27 | 北京中电华大电子设计有限责任公司 | 在无线局域网中实现手机接入认证的设备及方法 |
| CN101562814A (zh) * | 2009-05-15 | 2009-10-21 | 中兴通讯股份有限公司 | 一种第三代网络的接入方法及系统 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101557588B (zh) * | 2009-05-08 | 2011-10-26 | 中兴通讯股份有限公司 | 一种用户证书的管理及使用方法及移动终端 |
-
2009
- 2009-12-25 CN CN200910189481.4A patent/CN101754203B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1674497A (zh) * | 2004-03-26 | 2005-09-28 | 华为技术有限公司 | Wlan终端接入移动网络的认证方法 |
| CN101018174A (zh) * | 2007-03-15 | 2007-08-15 | 北京安拓思科技有限责任公司 | 用于wapi的获取公钥证书的网络系统和方法 |
| CN101252434A (zh) * | 2008-02-29 | 2008-08-27 | 北京中电华大电子设计有限责任公司 | 在无线局域网中实现手机接入认证的设备及方法 |
| CN101562814A (zh) * | 2009-05-15 | 2009-10-21 | 中兴通讯股份有限公司 | 一种第三代网络的接入方法及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101754203A (zh) | 2010-06-23 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101150594B (zh) | 一种移动蜂窝网络和无线局域网的统一接入方法及系统 | |
| US7702915B2 (en) | Access authentication system | |
| CN102111766B (zh) | 网络接入方法、装置及系统 | |
| KR101044210B1 (ko) | 루스 커플링 연동을 위한 인증서 기반 인증 인가 과금 방식 | |
| CA2656919C (en) | Method and system for controlling access to networks | |
| US8265599B2 (en) | Enabling and charging devices for broadband services through nearby SIM devices | |
| KR100494558B1 (ko) | 공중 무선랜 서비스 시스템의 사용자 인증방법 및 시스템 | |
| CN101754203B (zh) | 一种wapi证书获取方法、装置及网络系统 | |
| CN101990202B (zh) | 更新用户策略的方法及应用服务器 | |
| CN100499536C (zh) | 无线局域网中选定业务的解析接入处理方法 | |
| CN101111075B (zh) | 移动通信系统中准入判断和寻呼用户的方法、系统及装置 | |
| CN105491093B (zh) | 终端认证、网络访问的方法、服务器、无线接入点及终端 | |
| CN100493247C (zh) | 高速分组数据网中接入认证方法 | |
| CN103220669A (zh) | 私有wlan共享方法、系统、服务器、终端及网关管理服务器 | |
| JP2016506152A (ja) | タグ付けによるデバイスの認証 | |
| CN101711022A (zh) | 一种wlan接入终端、认证服务器和认证方法 | |
| CN101662768B (zh) | 基于个人手持电话系统的用户标识模块的认证方法和设备 | |
| CN103916853A (zh) | 一种无线局域网中接入节点的控制方法及通信系统 | |
| CN103297968A (zh) | 一种无线终端认证的方法、设备及系统 | |
| US20080194229A1 (en) | Method For Wireless Access To The Internet For Pre-Paid Users | |
| WO2010130118A1 (zh) | 一种对家用基站用户实施鉴权的系统及方法 | |
| CN101425909B (zh) | 一种实现wapi系统终端零干预计费的方法 | |
| CN101800984A (zh) | 获取wapi证书的方法、服务器端及wapi认证系统 | |
| CN102833744B (zh) | 获取wapi证书的方法及系统 | |
| KR100610865B1 (ko) | 이동 통신망을 이용한 무선랜 서비스 제공 방법 및 시스템 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |