CN1697370A - 一种无线局域网移动终端申请证书的方法 - Google Patents
一种无线局域网移动终端申请证书的方法 Download PDFInfo
- Publication number
- CN1697370A CN1697370A CN 200410038000 CN200410038000A CN1697370A CN 1697370 A CN1697370 A CN 1697370A CN 200410038000 CN200410038000 CN 200410038000 CN 200410038000 A CN200410038000 A CN 200410038000A CN 1697370 A CN1697370 A CN 1697370A
- Authority
- CN
- China
- Prior art keywords
- certificate
- asu
- service unit
- authentication service
- certificate request
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Small-Scale Networks (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明公开了一种无线局域网移动终端申请证书的方法,该方法由提出证书申请的STA生成证书的公钥和对应的私钥,并通过AP的未受控端口向ASU发送证书申请消息,ASU按照证书申请消息生成证书之后,通过AP的未受控端口将证书发送给STA。而现有技术的方法是申请者到ASU所在地点申请,由ASU的操作员确认申请者的身份并确定其安全等级之后再颁发证书,并通过网络将证书和私钥发送给申请者。本发明的方法应用比较简便灵活,适用面广,尤其适用于诸如咖啡馆、机场之类不限制使用者身份,却需要保证无线通信安全的无线局域网环境。并且,本发明的方法可以消除通过网络发送证书和对应的私钥而造成私钥泄漏的隐患,使证书申请更加安全可靠。
Description
技术领域
本发明涉及无线网络技术,特别是涉及一种无线局域网移动终端申请证书的方法。
背景技术
无线局域网(Wireless Local Area Network,WLAN)以其灵活便捷的优势引起网络设备制造商、网络运营商和用户的普遍关注,但是,由于WLAN的安全性较差,也引发了不少问题。依据统计调查的结果,安全性较低已经成为WLAN广泛应用的最大障碍。
目前无线局域网络产品主要采用的安全措施是依据IEEE 802.11国际标准,使用基于RC-4的WEP保密机制对数据进行加密传输。但是该机制已经被证实存在安全漏洞。2001年8月以色列的研究人员和思科公司进行了WEP安全测试,他们根据窃听到的一部分数据,不到一个小时就破译出WEP密钥。AT&T的研究团体也成功地破译出WEP密钥。
所以,如何保证无线通信的保密性是亟待解决的问题。
我国宽带无线IP标准工作组制定了WLAN国家标准GB/T 15629.11,提出了一种新的安全机制:无线局域网鉴别与保密基础结构(WLANAuthentication and Privacy Infrastructure,WAPI)。WAPI机制提供了一种基于公钥证书机制的无线局域网移动终端安全接入方法。WAPI安全方案中有无线接入用户终端(Station,STA)、访问接入点(Access Point,AP)和鉴别服务单元(Authentication Service Unit,ASU)三种设备类型,分别作为鉴别请求者实体(Authentication Supplicant Entity,ASUE)、鉴别器实体(Authentication Entity,AE)和鉴别服务实体(Authentication Service Entity,ASE)的载体,其网络结构如图1所示,从图1可以看出,一个ASU连接若干AP,而一个AP连接若干STA。
ASU对其管理范围内的AP和STA进行管理并提供证书服务。ASU给每一个合法的AP和STA颁发一个公钥证书(以下简称证书),作为网络设备在该WLAN内的数字身份凭证。证书的结构如表1所示:
表1:证书的结构
| 字段名 | 说明 |
| 证书版本号 | 指定证书版本 |
| 证书序列号 | ASU颁发的每个证书有唯一的序列号 |
| 签名算法 | 标识颁发者使用的Hash算法和签名算法 |
| 颁发者名称 | 颁发者身份标识 |
| 颁发者公钥 | 颁发者的公钥信息 |
| 有效期 | 起始时间和截止时间 |
| 持有者名称 | 证书持有者身份标识 |
| 持有者公钥 | 证书持有者的公钥信息 |
| 证书类型 | 设备类型(STA、AP或ASU) |
| 扩展 | 保留字段 |
| 颁发者签名 | 颁发者对上述所有信息的签名值 |
每个证书还应对应一个私钥,也是由证书颁发者指定。和公钥不同,私钥仅并由证书持有者自己持有,并不在证书中公开。
证书的作用在于建立实体名称和公钥之间的关联,进行身份鉴别时,验证方可以通过验证证书持有者对某一信息的签名来判断其是否掌握了证书对应的私钥,从而确定其是否为证书的真实持有者。STA与AP之间在ASU的协助下根据公钥证书实现身份的相互鉴别和通信密钥的协商。
利用证书实现接入控制的鉴别系统结构如图2所示。从图2中可以看出,STA包含ASUE,AP包含AE,ASU包含ASE。AP中有两个端口接收来自STA的连接请求,这两个端口分别是受控端口和非受控端口,STA从未受控端口向AP发出连接请求,在ASU的协助下双方进行双向身份认证(即证书鉴别),若认证成功,AP开放受控端口允许STA接入,否则AP拒绝STA接入或STA放弃接入AP。
STA接入流程如图3所示:STA向AP发出鉴别请求,即将STA证书发送给AP;AP再将STA证书和自身证书一起发送给ASU,并对数据进行签名;ASU验证AP的签名、AP证书和STA的证书的真实性和有效性,对鉴别结果进行签名并发送到AP。STA和AP依据ASU的鉴别结果决定是否进行连接。STA与AP证书鉴别成功后进行密钥协商,密钥协商成功后,STA与AP将自己与对方分别产生的随机数据进行相应的运算得到会话密钥,用协商好的会话算法加、解密通信数据。
由此可见,证书在WAPI体系中发挥着十分关键的作用,因此STA如何申请、获得ASU颁发的证书也是非常重要的一个环节。
WAPI标准中给出的申请证书的方法是申请者先到ASU所在地点登记,ASU的工作人员对证书的申请者的身份进行确认之后,先生成证书的公钥和对应的私钥,然后按照申请者所需的安全等级生成证书,然后通过网络将证书和对应的私钥发送给申请者。
该申请证书的方法的缺陷是:
首先,证书申请者必须到ASU所在地点申请证书,由ASU的操作员来确认申请人的身份,决定是否允许接入并确定其安全登记。这种证书申请方法虽然可以对无线网络的使用者进行较严格的控制,但是操作十分繁琐,灵活性较差。对于网络管理者不限制网络使用者的身份,却需要保障AP和STA之间的无线通信的安全性的无线局域网网络环境,如咖啡馆、机场的无线局域网,该方法则更不适合。
其次,ASU生成证书的公钥和对应的私钥,并且必须将证书和对应的私钥通过网络发送给申请者,这个过程很可能会造成用户私钥泄漏的隐患。
发明内容
本发明的主要目的在于提供一种无线局域网移动终端申请证书的方法,使证书申请更加简单易行,并能提高证书申请的安全性。
本发明的目的是通过如下技术方案实现的:
一种无线局域网移动终端申请证书的方法,该方法包括以下步骤:
A、无线接入用户终端生成证书的公钥和对应的私钥;
B、无线接入用户终端经由访问接入点的未受控端口发送证书申请信息至鉴别服务单元;
C、鉴别服务单元根据所述证书申请信息生成证书,并经由访问接入点的未受控端口发送证书至无线接入用户终端。
步骤B包括:
B1、无线接入用户终端发送证书申请信息至访问接入点的未受控端口;
B2、访问接入点从未受控端口接收证书申请信息,并将该证书申请信息转发至鉴别服务单元。
步骤B和步骤C之间进一步包括:鉴别服务单元根据证书申请信息判断是否批准该证书申请,如果是,则执行步骤C;否则,鉴别服务单元经由访问接入点的未受控端口将证书申请失败消息发送至无线接入用户终端。
所述鉴别服务单元根据证书申请信息判断是否批准该证书申请的方法是:
判断证书申请信息的内容是否完整,并判断证书申请信息是否符合鉴别服务单元对证书申请信息的要求。
所述证书申请信息至少包括证书的持有者名称和步骤A生成的证书的公钥。
所述证书申请信息进一步包括证书的有效期和/或签名算法标识。
步骤C包括:
C1、鉴别服务单元发送证书至访问接入点的未受控端口;
C2、访问接入点从未受控端口接收证书,并将该证书转发至无线接入用户终端。
所述鉴别服务单元经由访问接入点的未受控端口将证书申请失败消息发送至无线接入用户终端的方法是:
鉴别服务单元发送证书申请失败消息至访问接入点的未受控端口;
访问接入点从未受控端口接收证书申请失败消息,并将该证书申请失败消息转发至无线接入用户终端。
所述证书申请失败消息至少包括鉴别服务单元拒绝无线接入用户终端的证书申请的原因。
通过以上的技术方案可以看出,本发明的无线局域网移动终端申请证书的方法是由提出证书申请的STA生成证书的公钥和对应的私钥,并通过AP的未受控端口向ASU发送证书申请消息,ASU按照证书申请消息生成证书之后,通过AP的未受控端口将证书发送给STA。而现有技术的方法是用户到ASU所在地点申请,由ASU的操作员确认申请人的身份并确定其安全等级之后再颁发证书。所以,本发明的方法应用比较简便灵活,适用面广,尤其适用于诸如咖啡馆、机场之类不限制使用者身份,却需要保证无线通信安全得无线局域网环境。
本发明的方法由STA生成证书的公钥和对应的私钥,而现有技术的方法由ASU生成证书的公钥和对应的私钥,然后ASU通过网络将证书和对应私钥发送给申请者。所以,本发明的方法可以消除通过网络发送私钥而造成私钥泄漏的隐患,使证书申请更加安全可靠。
附图说明
图1是无线局域网网络结构示意图。
图2是利用证书实现接入控制的鉴别系统的结构示意图。
图3是WAPI的证书鉴别方法的流程图。
图4是根据本发明的移动终端申请证书的方法流程图。
具体实施方式
为了使本发明的目的、技术方案和优点更清楚,下面结合附图和具体实施方式对本发明作进一步描述。
在本发明的方法中,STA生成证书的公钥和对应的私钥之后,通过AP的未受控端口提交证书申请,AP将证书申请转发至ASU,ASU生成证书之后,将证书发送到AP,AP从未受控端口将证书转发至STA。图4是根据本发明的移动终端申请证书的方法流程图,从图4可以看出,本发明包括如下步骤:
步骤401:STA生成证书的公钥和对应的私钥。
步骤402:STA向AP的未受控端口发送证书申请消息,该证书申请消息中包括证书的持有者名称、证书的有效期、签名算法标识和STA生成的证书的公钥等参数。
证书的持有者名称和证书的公钥是证书申请消息中必须包含的参数,证书的有效期和签名算法标识等参数是证书申请消息中可选的参数。
步骤403:AP从未受控端口接收到STA发来的证书申请消息之后,将该证书申请消息转发至ASU。
步骤404:ASU接收到AP转发来的证书申请消息之后,判断该证书申请消息中的各参数是否完整且有效,如果参数不完整或无效,则转到步骤405;否则,转到步骤407。
参数完整是指所有参数都有内容,没有参数的内容为空。
参数有效是指该参数是否符合ASU对证书中各参数的规定,例如,证书的持有者名称有效是指该名称没有被其它证书占用并且符合对名称的要求(如不少于5个字节,不能包括不可显示字符等);签名算法标识有效是指该签名算法是ASU支持的签名算法。
步骤405:ASU发送证书申请失败消息至AP,该证书申请失败消息包括ASU拒绝该证书申请的原因值,例如,未输入证书的公钥,或者证书的持有者名称已被其它证书占用。
步骤406:AP通过未受控端口将该证书申请失败消息转发至STA,然后结束。
步骤407:ASU根据证书申请消息中的证书的持有者名称、证书的有效期、签名算法标识和证书的公钥等参数生成用户证书。
ASU生成的证书的结构如表1所示。除了证书的持有者名称和证书的公钥必须由证书申请消息中的参数确定以外,证书中其余内容可以由ASU指定。由于STA负责生成证书的公钥和对应的私钥,所以ASU不生成证书的公钥和对应的私钥。
步骤408:ASU将生成的用户证书发送至AP。
由于ASU不生成证书的公钥和对应的私钥,所以,ASU发送的证书中不包含该证书对应的私钥,从而消除了网络传输过程中私钥泄漏的隐患。
步骤409:AP通过未受控端口将用户证书转发至STA。
STA获得证书后,可以采用WLAN国家标准GB/T 15629.11规定的方案进行会话密钥协商,并用生成的会话密钥对STA与AP间的通信进行保密。
在具体的实施过程中可对根据本发明的方法进行适当的改进,以适应具体情况的具体需要。因此可以理解,根据本发明的具体实施方式只是起示范作用,并不用以限制本发明的保护范围。
Claims (9)
1、一种无线局域网移动终端申请证书的方法,其特征在于,该方法包括以下步骤:
A、无线接入用户终端生成证书的公钥和对应的私钥;
B、无线接入用户终端经由访问接入点的未受控端口发送证书申请信息至鉴别服务单元;
C、鉴别服务单元根据所述证书申请信息生成证书,并经由访问接入点的未受控端口发送证书至无线接入用户终端。
2、根据权利要求1所述的无线局域网移动终端申请证书的方法,其特征在于,步骤B包括:
B1、无线接入用户终端发送证书申请信息至访问接入点的未受控端口;
B2、访问接入点从未受控端口接收证书申请信息,并将该证书申请信息转发至鉴别服务单元。
3、根据权利要求1所述的无线局域网移动终端申请证书的方法,其特征在于,步骤B和步骤C之间进一步包括:鉴别服务单元根据证书申请信息判断是否批准该证书申请,如果是,则执行步骤C;否则,鉴别服务单元经由访问接入点的未受控端口将证书申请失败消息发送至无线接入用户终端。
4、根据权利要求3所述的无线局域网移动终端申请证书的方法,其特征在于,所述鉴别服务单元根据证书申请信息判断是否批准该证书申请的方法是:
判断证书中请信息的内容是否完整,并判断证书申请信息是否符合鉴别服务单元对证书申请信息的要求。
5、根据权利要求1至4中任一权利要求所述的无线局域网移动终端申请证书的方法,其特征在于,所述证书申请信息至少包括证书的持有者名称和步骤A生成的证书的公钥。
6、根据权利要求5所述的无线局域网移动终端中请证书的方法,其特征在于,所述证书申请信息进一步包括证书的有效期和/或签名算法标识。
7、根据权利要求1或3所述的无线局域网移动终端申请证书的方法,其特征在于,步骤C包括:
C1、鉴别服务单元发送证书至访问接入点的未受控端口;
C2、访问接入点从未受控端口接收证书,并将该证书转发至无线接入用户终端。
8、根据权利要求3所述的无线局域网移动终端申请证书的方法,其特征在于,所述鉴别服务单元经由访问接入点的未受控端口将证书申请失败消息发送至无线接入用户终端的方法是:
鉴别服务单元发送证书申请失败消息至访问接入点的未受控端口;
访问接入点从未受控端口接收证书申请失败消息,并将该证书申请失败消息转发至无线接入用户终端。
9、根据权利要求3或8所述的无线局域网移动终端申请证书的方法,其特征在于,所述证书申请失败消息至少包括鉴别服务单元拒绝无线接入用户终端的证书申请的原因。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 200410038000 CN1697370A (zh) | 2004-05-14 | 2004-05-14 | 一种无线局域网移动终端申请证书的方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 200410038000 CN1697370A (zh) | 2004-05-14 | 2004-05-14 | 一种无线局域网移动终端申请证书的方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN1697370A true CN1697370A (zh) | 2005-11-16 |
Family
ID=35349911
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN 200410038000 Pending CN1697370A (zh) | 2004-05-14 | 2004-05-14 | 一种无线局域网移动终端申请证书的方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN1697370A (zh) |
Cited By (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2008098496A1 (fr) * | 2007-02-06 | 2008-08-21 | China Iwncomm Co., Ltd. | Procédé d'application de certificat dans un mécanisme de sécurité wapi d'un réseau local sans-fil |
| CN101212291B (zh) * | 2006-12-28 | 2010-05-26 | 中国移动通信集团公司 | 数字证书分发方法及服务器 |
| WO2010108347A1 (zh) * | 2009-03-23 | 2010-09-30 | 中兴通讯股份有限公司 | 一种数字证书的更新和使用方法及系统 |
| WO2010124490A1 (zh) * | 2009-04-30 | 2010-11-04 | 中兴通讯股份有限公司 | 获取无线局域网鉴别和保密基础结构证书的方法及系统 |
| CN102045716A (zh) * | 2010-12-06 | 2011-05-04 | 西安西电捷通无线网络通信股份有限公司 | 一种无线局域网中端站的安全配置方法和系统 |
| CN102624528A (zh) * | 2012-03-02 | 2012-08-01 | 中国人民解放军总参谋部第六十一研究所 | 一种基于身份的认证密钥协商方法 |
| CN101742507B (zh) * | 2009-12-21 | 2012-09-26 | 中兴通讯股份有限公司 | 一种WAPI终端访问Web应用站点的系统及方法 |
| CN101395951B (zh) * | 2006-03-08 | 2012-11-21 | 空中客车运营简化股份公司 | 检测侵入飞行器和地面站之间的通信链接的企图的方法及系统 |
| CN103491540A (zh) * | 2013-09-18 | 2014-01-01 | 东北大学 | 一种基于身份凭证的无线局域网双向接入认证系统及方法 |
| CN107302544A (zh) * | 2017-08-15 | 2017-10-27 | 迈普通信技术股份有限公司 | 证书申请方法、无线接入控制设备及无线接入点设备 |
| CN112654013A (zh) * | 2019-09-25 | 2021-04-13 | 华为技术有限公司 | 证书发放方法和装置 |
-
2004
- 2004-05-14 CN CN 200410038000 patent/CN1697370A/zh active Pending
Cited By (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101395951B (zh) * | 2006-03-08 | 2012-11-21 | 空中客车运营简化股份公司 | 检测侵入飞行器和地面站之间的通信链接的企图的方法及系统 |
| CN101212291B (zh) * | 2006-12-28 | 2010-05-26 | 中国移动通信集团公司 | 数字证书分发方法及服务器 |
| WO2008098496A1 (fr) * | 2007-02-06 | 2008-08-21 | China Iwncomm Co., Ltd. | Procédé d'application de certificat dans un mécanisme de sécurité wapi d'un réseau local sans-fil |
| WO2010108347A1 (zh) * | 2009-03-23 | 2010-09-30 | 中兴通讯股份有限公司 | 一种数字证书的更新和使用方法及系统 |
| US8762710B2 (en) | 2009-03-23 | 2014-06-24 | Zte Corporation | Method and system for updating and using digital certificates |
| WO2010124490A1 (zh) * | 2009-04-30 | 2010-11-04 | 中兴通讯股份有限公司 | 获取无线局域网鉴别和保密基础结构证书的方法及系统 |
| CN101742507B (zh) * | 2009-12-21 | 2012-09-26 | 中兴通讯股份有限公司 | 一种WAPI终端访问Web应用站点的系统及方法 |
| CN102045716B (zh) * | 2010-12-06 | 2012-11-28 | 西安西电捷通无线网络通信股份有限公司 | 一种无线局域网中端站的安全配置方法和系统 |
| CN102045716A (zh) * | 2010-12-06 | 2011-05-04 | 西安西电捷通无线网络通信股份有限公司 | 一种无线局域网中端站的安全配置方法和系统 |
| CN102624528A (zh) * | 2012-03-02 | 2012-08-01 | 中国人民解放军总参谋部第六十一研究所 | 一种基于身份的认证密钥协商方法 |
| CN103491540A (zh) * | 2013-09-18 | 2014-01-01 | 东北大学 | 一种基于身份凭证的无线局域网双向接入认证系统及方法 |
| CN103491540B (zh) * | 2013-09-18 | 2016-05-25 | 东北大学 | 一种基于身份凭证的无线局域网双向接入认证系统及方法 |
| CN107302544A (zh) * | 2017-08-15 | 2017-10-27 | 迈普通信技术股份有限公司 | 证书申请方法、无线接入控制设备及无线接入点设备 |
| CN107302544B (zh) * | 2017-08-15 | 2019-09-13 | 迈普通信技术股份有限公司 | 证书申请方法、无线接入控制设备及无线接入点设备 |
| CN112654013A (zh) * | 2019-09-25 | 2021-04-13 | 华为技术有限公司 | 证书发放方法和装置 |
| CN112654013B (zh) * | 2019-09-25 | 2022-06-14 | 华为技术有限公司 | 证书发放方法和装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN112073379B (zh) | 一种基于边缘计算的轻量级物联网安全密钥协商方法 | |
| CN1191696C (zh) | 一种无线局域网移动设备安全接入及数据保密通信的方法 | |
| CN1124759C (zh) | 无线局域网移动终端的安全接入方法 | |
| CN101212297B (zh) | 基于web的wlan接入认证方法及系统 | |
| CN1191703C (zh) | 宽带无线ip系统移动终端的安全接入方法 | |
| US7607013B2 (en) | Method and apparatus for access authentication in wireless mobile communication system | |
| CN101212296B (zh) | 基于证书及sim的wlan接入认证方法及系统 | |
| CN1455556A (zh) | 无线局域网安全接入控制方法 | |
| CN101600203B (zh) | 一种安全服务的控制方法及无线局域网终端 | |
| CN1846397A (zh) | 二因子验证式密钥交换方法和使用它的验证方法以及存储包括它的程序的记录媒体 | |
| CN100370772C (zh) | 一种无线局域网移动终端接入的方法 | |
| CN1564509A (zh) | 一种无线局域网中密钥协商方法 | |
| JP2005524262A5 (zh) | ||
| CN102045716B (zh) | 一种无线局域网中端站的安全配置方法和系统 | |
| CN108234119B (zh) | 一种数字证书管理方法和平台 | |
| CN1956376A (zh) | 一种宽带接入用户认证方法 | |
| CN1694570A (zh) | 一种在移动用户和应用服务器之间建立安全信道的方法 | |
| CN101969639B (zh) | 一种多级证书和多种认证模式混合共存接入认证方法和系统 | |
| CN1802017A (zh) | 一种防止重放攻击的认证方法 | |
| CN1697370A (zh) | 一种无线局域网移动终端申请证书的方法 | |
| CN1725685A (zh) | 无线局域网移动终端的安全重认证方法 | |
| CN1534936A (zh) | 一种无线局域网中基于公钥证书机制的密钥分发方法 | |
| CN1700639A (zh) | 导出和导入无线局域网鉴别与保密基础结构证书信息方法 | |
| CN101715190A (zh) | 一种无线局域网下实现终端与服务器鉴别的系统及方法 | |
| CN115835194B (zh) | 一种nb-iot物联网终端安全接入系统及接入方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C12 | Rejection of a patent application after its publication | ||
| RJ01 | Rejection of invention patent application after publication |
Open date: 20051116 |