CN1700636A - 无线局域网移动终端申请证书的方法及证书管理系统 - Google Patents

Abstract

本发明公开了一种无线局域网移动终端申请证书的方法，包括：设置证书申请控制单元，证书申请控制单元收到无线接入终端发送的携带证书申请信息的证书申请后，将其转发至鉴别服务单元；鉴别服务单元根据所述证书申请信息生成证书，并将证书通过证书申请控制单元发送至无线接入用户终端。同时，本发明还公开了一种无线局域网移动终端申请证书的系统。本发明通过增加一个或多个证书申请控制单元来处理用户的证书申请，在不改变原有无线局域网的网络结构的情况下解决了用户申请证书的不便，同时证书申请控制单元还可以用于管理鉴别服务单元系统。

Description

无线局域网移动终端申请证书的方法及证书管理系统

技术领域

本发明涉及无线网络技术，特别是涉及一种无线局域网移动终端申请证书的方法及证书管理系统。

背景技术

无线局域网(Wireless Local Area Network，WLAN)以其灵活便捷的优势引起网络设备制造商、网络运营商和用户的普遍关注，但是，由于WLAN的安全性较差，也引发了不少问题。依据统计调查的结果，安全性较低已经成为WLAN广泛应用的最大障碍。

目前无线局域网络产品主要采用的安全措施是依据IEEE 802.11国际标准，使用基于RC-4的WEP保密机制对数据进行加密传输。但是该机制已经被证实存在安全漏洞。2001年8月以色列的研究人员和思科公司进行了WEP安全测试，他们根据窃听到的一部分数据，不到一个小时就破译出WEP密钥。AT&T的研究团体也成功地破译出WEP密钥。所以，如何保证无线通信的保密性是亟待解决的问题。

我国宽带无线IP标准工作组制定了WLAN国家标准GB/T 15629.11，提出了一种新的安全机制：无线局域网鉴别与保密基础结构(WLANAuthentication and Privacy Infrastructure，WAPI)。WAPI机制提供了一种基于公钥证书机制的无线局域网移动终端安全接入方法。WAPI安全方案中有无线接入用户终端(Station，STA)、访问接入点(Access Point，AP)和鉴别服务单元(Authentication Service Unit，ASU)三种设备类型，分别作为鉴别请求者实体(Authentication Supplicant Entity，ASUE)、鉴别器实体(Authentication Entity，AE)和鉴别服务实体(Authentication Service Entity，ASE)的载体，其网络结构如图1所示，从图1可以看出，一个ASU连接若干AP，而一个AP连接若干STA。

ASU对其管理范围内的AP和STA进行管理并提供证书服务。ASU给每一个合法的AP和STA颁发一个公钥证书(以下简称证书)，作为网络设备在该WLAN内的数字身份凭证。证书的结构如表1所示：

               表1：证书的结构

字段名	说明
		证书版本号	指定证书版本
证书序列号	ASU颁发的每个证书有唯一的序列号
		签名算法	标识颁发者使用的Hash算法和签名算法
颁发者名称	颁发者身份标识
		颁发者公钥	颁发者的公钥信息
有效期	起始时间和截止时间
		持有者名称	证书持有者身份标识
持有者公钥	证书持有者的公钥信息
		证书类型	设备类型(STA、AP或ASU)
扩展	保留字段
		颁发者签名	颁发者对上述所有信息的签名值

每个证书还应对应一个私钥，也是由证书颁发者指定。和公钥不同，私钥仅并由证书持有者自己持有，并不在证书中公开。

证书的作用在于建立实体名称和公钥之间的关联，进行身份鉴别时，验证方可以通过验证证书持有者对某一信息的签名来判断其是否掌握了证书对应的私钥，从而确定其是否为证书的真实持有者。STA与AP之间在ASU的协助下根据公钥证书实现身份的相互鉴别和通信密钥的协商。

利用证书实现接入控制的鉴别系统结构如图2所示。从图2中可以看出，STA包含ASUE，AP包含AE，ASU包含ASE。AP中有两个端口接收来自STA的连接请求，这两个端口分别是受控端口和非受控端口，STA从未受控端口向AP发出连接请求，在ASU的协助下双方进行双向身份认证(即证书鉴别)，若认证成功，AP开放受控端口允许STA接入，否则AP拒绝STA接入或STA放弃接入AP。

STA接入流程如图3所示：STA向AP发出鉴别请求，即将STA证书发送给AP；AP再将STA证书和自身证书一起发送给ASU，并对数据进行签名；ASU验证AP的签名、AP证书和STA的证书的真实性和有效性，对鉴别结果进行签名并发送到AP。STA和AP依据ASU的鉴别结果决定是否进行连接。STA与AP证书鉴别成功后进行密钥协商，密钥协商成功后，STA与AP将自己与对方分别产生的随机数据进行相应的运算得到会话密钥，用协商好的会话算法加、解密通信数据。

由此可见，证书在WAPI体系中发挥着十分关键的作用，因此STA如何申请、获得ASU颁发的证书也是非常重要的一个环节。

WAPI标准中给出的申请证书的方法是申请者先到ASU所在地点登记，ASU的工作人员对证书的申请者的身份进行确认之后，先生成证书的公钥和对应的私钥，然后按照申请者所需的安全等级生成证书，然后通过网络将证书和对应的私钥发送给申请者。

因此，利用该方法申请证书，证书申请者必须到ASU所在地点申请证书，由ASU的操作员来确认申请人的身份，决定是否允许接入并确定其安全登记。这种证书申请方法虽然可以对无线网络的使用者进行较严格的控制，但是操作十分繁琐，灵活性较差。对于网络管理者不限制网络使用者的身份，却需要保障AP和STA之间的无线通信的安全性的无线局域网网络环境，如咖啡馆、机场的无线局域网，该方法则更不适合。

发明内容

本发明的主要目的在于提供一种无线局域网移动终端申请证书的方法，使证书申请操作简单、易行。

本发明的另一个目的是提供一种证书管理系统，使终端申请证书操作简单、易行。

本发明提供的一种无线局域网申请证书的方法包括：

设置证书申请控制单元，且与无线接入用户终端相连，还包括

A.证书申请控制单元收到无线接入终端发送的携带证书申请信息的证书申请后，将其转发至鉴别服务单元；

B.鉴别服务单元根据所述证书申请信息生成证书，并将证书通过证书申请控制单元发送至无线接入用户终端。

所述证书申请信息包括用户名，证书使用期限，公钥算法。

所述证书申请信息进一步包括公钥。

步骤A包括：

A1、无线接入用户终端发送证书申请请求至证书申请控制单元，其中包括证书申请信息；

A2、证书申请控制单元将证书申请请求转发至鉴别服务单元。

步骤A2进一步包括：

A21、证书申请控制单元判断操作员是否批准该申请，如果批准，则执行步骤A2。

步骤B进一步包括：

B1、鉴别服务单元判断证书申请信息中是否包含公钥，如果没有，则鉴别服务单元生成公、私钥对，并根据收到的该请求生成用户证书，并将生成的用户证书以及私钥对发送至证书申请控制单元，否则，执行步骤B。

本发明提供的证书管理系统包括：

鉴别服务单元、至少一个证书申请控制单元，其中证书申请控制单元与无线接入用户终端和鉴别服务器相连；

证书申请控制单元，用于接收无线接入用户终端含有证书申请信息的证书申请，并将其发送至鉴别服务单元，和，接收鉴别服务单元发送的证书，并将其发送给无线接入用户终端；

鉴别服务单元，用于根据接收到的证书申请信息生成证书，并将生成的证书发送至证书申请控制单元。

本发明通过增加一个或多个证书申请控制单元来处理用户的证书申请，在不改变原有WLAN网络结构的情况下解决了用户申请证书的不便，同时证书申请控制单元还可以用于管理ASU系统。

附图说明

图1是现有技术中无线局域网网络结构示意图。

图2是现有技术利用证书实现接入控制的鉴别系统的结构示意图。

图3是现有技术WAPI的证书鉴别方法的流程图。

图4是实现本发明方法的流程示意图。

具体实施方式

为了使本发明的目的、技术方案和优点更清楚，下面结合附图和具体实施方式对本发明作进一步描述。

本发明需要设置一个或多个证书申请控制单元(Console)，用来处理用户的证书申请。Console基本的功能是向ASU转发STA的证书申请，或向STA转发ASU颁发的证书。当然，Console还可以作为证书管理终端，负责鉴别STA用户的身份，审查用户的证书申请是否符合规定，决定是否授予证书以及授予证书的其它(如序列号)参数等，同时还可以扩展Console的功能，用于管理ASU、查询用户证书、废弃证书、查询证书废弃列表。

参见图4所示，实现本发明的网络结构包括一个以上的证书申请控制单元、ASU、AP和STA。其中，一个ASU可以和一个或多个Console建立连接，ASU与多个AP相连，每个AP下可以包括多个STA。这里，由于证书申请控制单元的数目可以大于1，所以要求ASU有两个以上的网络接口。ASU和AP在同一个局域网内，而证书申请控制单元和ASU构成另一个局域网，Console不能直接和AP通信。并且，Console与ASU之间的通信可以采用SSL等机制来保障安全。Console，用于接收STA发送的含有证书申请信息的证书申请，并将其发送至ASU，以及接收ASU发送的用户证书，并将用户证书发送给STA；ASU用于根据接收到的证书申请信息生成证书，并将生成的证书发送至Console。

基于上述网络结构，STA可以通过Console发送证书申请，Console批准后，Console再向ASU发送申请请求，ASU根据请求生成证书后发送到Console，然后Console再将其转发给STA。当然，STA与Console之间可以通过无线或有线进行通信。当然，也可以采用口头、书面或其它方式向Console的管理员提出证书申请，管理员批准后，管理员再从Console发出申请请求到ASU。

参见图5所示，本发明实现证书申请的方法包括以下步骤：

步骤501：STA向Console发送证书申请消息，其中包括用户名、和/或证书使用期限、和/或公钥算法等证书申请信息。其中，证书的持有者名称和证书的公钥是证书申请消息中必须包含的参数，证书的有效期和签名算法标识等参数是证书申请消息中可选的参数。发送证书申请请求的方式可以通过有线、无线通信方式，或采用口头、书面形式等。当然，如果STA本身具备生成密钥的能力，证书申请消息中还可以包括自身生成的公钥。

步骤502：Console收到批准该证书申请消息后，可以直接向ASU发送含有证书申请信息的证书申请。当然，Console也可以根据当前网络条件或用户需要确定是否批准该申请，在批准该申请后，再向ASU发送含有证书申请信息的证书申请，否则，直接向STA发送拒绝证书申请消息。并跳出本流程。

步骤503：ASU收到该申请消息后，判断该用户提供的证书申请信息是否符合要求，如果不符合，则返回证书申请失败消息到Console，执行步骤504，如果符合，执行步骤505。这里，比如，用户名已经被占用、证书使用期限不符合规定等。

证书申请信息是否符合要求是通过判断该证书申请消息中的各参数是否完整且有效确定的。参数完整是指所有参数都有内容，没有参数的内容为空。参数有效是指该参数是否符合ASU对证书中各参数的规定，例如，证书的持有者名称有效是指该名称没有被其它证书占用并且符合对名称的要求(如不少于5个字节，不能包括不可显示字符等)；签名算法标识有效是指该签名算法是ASU支持的签名算法。

步骤504：Console通知STA用户证书申请失败；

步骤505：ASU根据收到的该请求生成用户证书，并将生成的用户证书发送到Console。当然，如果ASU确定证书申请信息中没有公钥，此时ASU也可以生成公私钥对，并将公私钥也发送到Console。

步骤506：Console收到用户证书和公私钥对后，将证书及对应私钥转发至STA。

STA获得证书后，可以采用WLAN国家标准GB/T 15629.11规定的方案进行会话密钥协商，并用生成的会话密钥对STA与AP间的通信进行保密。

本发明在不改变WLAN网络基本结构的情况下，增加一种与ASU相连的控制终端，解决了用户申请证书不方便的问题，而且提供了维护ASU的途径。

以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。

Claims (8)

1、一种无线局域网移动终端申请证书的方法，其特征在于，设置证书申请控制单元，该方法还包括以下步骤：

A.证书申请控制单元收到无线接入用户终端发送的携带证书申请信息的证书申请后，将其转发至鉴别服务单元；

B.鉴别服务单元根据所述证书申请信息生成证书，并将证书通过证书申请控制单元发送至无线接入用户终端。

2、根据权利要求1所述的方法，其特征在于，所述证书申请信息包括用户名、和/或证书使用期限、和/或公钥算法。

3、根据权利要求2所述的方法，其特征在于，所述证书申请信息进一步包括公钥。

4、根据权利要求1所述的方法，其特征在于，步骤A包括：

A1、无线接入用户终端发送证书申请请求至证书申请控制单元，其中包括证书申请信息；

A2、证书申请控制单元将证书申请请求转发至鉴别服务单元。

5、根据权利要求1所述的方法，其特征在于，步骤A2进一步包括：

A21、证书申请控制单元判断操作员是否批准该申请，如果批准，则执行步骤A2。

6、根据权利要求1所述的方法，其特征在于，步骤B进一步包括：

B1、鉴别服务单元判断证书申请信息中是否包含公钥，如果没有，则鉴别服务单元生成公、私钥对，并根据收到的该请求生成用户证书，并将生成的用户证书以及私钥发送至证书申请控制单元，否则，执行步骤B。

7、根据权利要求1所述的方法，其特征在于，

所述鉴别服务单元根据证书申请信息的内容是否完整及是否符合鉴别服务单元对证书申请信息的要求确定是否批准该证书申请。

8、一种证书管理系统，其特征在于，该系统包括：鉴别服务单元、至少一个证书申请控制单元，其中证书申请控制单元与无线接入用户终端和鉴别服务器相连；

证书申请控制单元，用于接收无线接入用户终端含有证书申请信息的证书申请，并将其发送至鉴别服务单元，和，接收鉴别服务单元发送的证书，并将其发送给无线接入用户终端；

鉴别服务单元，用于根据接收到的证书申请信息生成证书，并将生成的证书发送至证书申请控制单元。

Images