WO2010091563A1

WO2010091563A1 - Wapi终端证书的管理方法、装置及系统

Info

Publication number: WO2010091563A1
Application number: PCT/CN2009/072692
Authority: WO
Inventors: 施元庆; 康望星; 刘家兵
Original assignee: 中兴通讯股份有限公司
Priority date: 2009-02-11
Filing date: 2009-07-08
Publication date: 2010-08-19
Also published as: CN101483866A; CN101483866B

Description

WAPI终端证书的管理方法、装置及系统技术领域本发明涉及通信领域，具体而言，涉及一种 WAPI终端证书的管理方法、装置及系统。背景技术为了解决无线局域网国际标准 ISO/IEC 802.11 中定义的有线等效保密 ( Wired Equivalent Privacy, 筒称为 WEP ) 安全机制存在的安全漏洞，我国颁布了无线局域网国家标准及其第一号修丈单，该标准采用无线局域网认证与保密基础结构 ( WLAN Authentication and Privacy Infrastructure, 筒称为 WAPI ) 替代 WEP, 解决无线局域网的安全问题。

WAPI由无线局 i或网鉴别基础结构（ WLAN Authentication Infrastructure , 筒称为 WAI )和无线局 i或网保密基础结构（WLAN Privacy Infrastructure, 筒称为 WPI )组成。其中， WAI采用了公开密钥加密技术，用于终端与接入点之间互相身份鉴别； WPI采用国家密码管理委员会办公室批准的用于 WLAN 的对称密码算法实现数据保护，对 MAC子层的 MAC服务数据单元（ MAC Service Data Unit , 筒称为 MSDU ) 进行力口、解密处理。图 1是根据相关技术的 WAPI基础结构的结构示意图，如图 1所示，包括：接入点（Access Point, 筒称为 AP ) 是指任何一个具备站点功能，通过无线媒体为关联的站点提供访问分布式服务的实体；鉴别请求者实体 ( Authentication Supplicant Entity, 筒称为 ASUE )是在接入月务之前请求进行鉴别操作的实体，该实体主要设置在终端内；鉴别器实体（ Authenticator Entity , 筒称为 ΑΕ ) 为鉴别请求者在接入服务之前提供鉴别操作的实体，该实体主要设置在接入点内；鉴另' J服务单元（ Authentication Service Unit, 筒称为 ASU )的基本功能是实现对用户证书的管理和用户身份的鉴别等 , 是基于公开密钥密码技术的 WAI 鉴别基础结构中重要的组成部分；鉴别服务实体 ( Authentication Service Entity, 筒称为 ASE ) 为鉴别器和鉴别请求者提供身份鉴别月务的实体，该实体驻留在 ASU 中。其中，用户证书为公开密钥证书，它是 WAI系统构造中重要的环节。公开密钥证书是网络用户的数字身份凭证，通过私有密钥验证可以唯一地确定网络用户的身份。站点通过两类方式支持 WAI鉴别及密码管理，一是基于证书的方式，一是基于共享密钥的方式。两种类型内按照网络类型分为基本服务组（Basic Service Set,筒称为 BSS )下认证与独立基本月务组（ Independent Basic Service Set, 筒称为 IBSS ) 下认证。当采用基于证书的方式时，鉴别请求者实体所在的站点，即终端在接入鉴别请求中，需要附带自己的证书，鉴别器实体会才艮据请求中字段，决定是由他自己完成证书验证还是交由鉴别服务单元完成 -险证 , 以 jt匕完成接入点对鉴别请求者的认证。

WAPI 可以看作是无线局域网中的公开密钥基础设施 ( Public Key Infrastructure , 筒称为 ΡΚΙ ) , 鉴别月务单元起到了 PKI 中的认证中心 ( Certificate Authority, 筒称为 CA ) 的作用 , 当 WAI采用基于 X.509 v3的证书时，鉴别服务单元也必须具有 CA有关证书申请、签发、定期发布证书失效列表、响应用户证书吊销等功能。一般地， PKI中用户申请或注销证书以及对应的私有密钥都采用离线、外带的方式进行，以避免在传输过程中被窃取、篡改。证书在有效期满后失效，用户也必须主动通过离线方式完成本地证书更新，非常不方便。因此，针对用户申请证书及私有密钥必须采用效率较低的离线方式的问题，相关技术中尚未提出有效的解决方案。发明内容针对相关技术中用户申请证书及私有密钥必须采用离线方式的问题而提出本发明，为此，本发明的主要目的在于提供一种 WAPI终端证书的管理方法、装置及系统，以解决相关技术中存在的上述问题至少之一。为了实现上述目的 , 根据本发明的一个方面，提供了一种 WAPI终端证书的管理方法 , 用于基于 SIP管理 WAPI终端的公开密钥证书。根据本发明的 WAPI 终端证书的管理方法包括： WAPI 鉴别服务器和 WAPI终端协商会话密钥； WAPI鉴另¹ J服务器接收来自 WAPI终端的订阅请求消息，其中，订阅请求消息用于非首次请求 WAPI终端的公开密钥证书和私有密钥； WAPI鉴别务器向 WAPI终端发送携带有加密的公开密钥证书和私有密钥的通知消息，以供 WAPI终端进行更新，其中，利用会话密钥加密公开密钥证书和私有密钥。优选地，在 WAPI鉴另服务器和 WAPI终端协商会话密钥之前，该方法还包括：接入点对 WAPI终端进行接入鉴别 , 并在 WAPI终端通过鉴别的情况下，允许 WAPI鉴别服务器和 WAPI终端协商会话密钥。优选地， WAPI 鉴别服务器和 WAPI 终端协商会话密钥的处理包括： WAPI鉴别服务器接收来自 WAPI终端的注册请求消息，其中，注册请求消息中携带有 WAPI终端生成的第一随机数； WAPI鉴别月务器向 WAPI终端发送注册拒绝消息，其中，注册拒绝消息中携带有 WAPI鉴别月务器生成的第二随机数； WAPI鉴别服务器接收来自 WAPI终端的新的注册请求消息，在注册成功的情况下， WAPI鉴别务器和 WAPI终端才艮据第一随机数和第二随机数计算会话密钥，其中，会话密钥为第二随机数与第一随机数做串接后进行哈希运算得到。优选地 , WAPI终端发送的第一随机数由 WAPI终端利用 WAPI鉴别月务器的公开密钥加密。优选地， WAPI鉴别服务器发送的第二随机数由 WAPI鉴别服务器利用 WAPI终端的公开密钥力口密。优选地，在 WAPI鉴另' 务器向 WAPI终端发送通知消息之后，该方法进一步包括： WAPI 终端接收通知消息，利用会话密钥解密公开密钥证书和私有密钥 , 并利用解密的公开密钥证书和私有密钥更新 WAPI终端本地的公开密钥证书和私有密钥。优选地，在 WAPI终端的公开密钥证书为非法或失效的情况下，在 WAPI 鉴别服务器吊销 WAPI终端的公开密钥证书，具体包括： WAPI鉴别服务器向 WAPI终端发送用于吊销 WAPI终端的公开密钥证书的通知消息，以通知 WAPI终端重新进行接入鉴别，其中，吊销 WAPI终端的公开密钥证书的通知消息的消息体的长度被配置为 0。优选地，在 WAPI鉴另务器和 WAPI终端协商会话密钥之前，该方法还包括： WAPI鉴别服务器向公共认证中心预先请求获取、或由 WAPI鉴别月务器预先保存公开密钥证书和私有密钥。才艮据本发明的另一方面 , 还提供了一种 WAPI终端证书的管理装置，该装置设置于 WAPI鉴别服务器。根据本发明的 WAPI终端证书的管理装置包括：协商模块 ,用于和 WAPI 终端协商会话密钥；接收模块，用于接收来自 WAPI终端的订阅请求消息，其中，订阅请求消息用于非首次请求 WAPI终端的公开密钥证书和私有密钥；加密模块，用于利用会话密钥加密公开密钥证书和私有密钥；发送模块，用于向 WAPI终端发送携带有加密的公开密钥证书和私有密钥的通知消息，以供 WAPI终端进行更新。根据本发明的再一方面，还提供了一种 WAPI终端证书的管理系统。根据本发明的 WAPI 终端证书的管理系统包括： WAPI 鉴别服务器、 WAPI终端。其中， WAPI鉴别服务器包括：第一接收模块，用于接收来自 WAPI终端的订阅请求消息，其中，订阅请求消息用于非首次请求 WAPI终端的公开密钥证书和私有密钥；加密模块，用于利用预先生成的会话密钥加密公开密钥证书和私有密钥；第一发送模块，用于向 WAPI终端发送携带有加密的公开密钥证书和私有密钥的通知消息，以供 WAPI终端进行更新。其中， WAPI终端包括：第二发送模块，用于向 WAPI鉴别服务器发送订阅请求消息；第二接收模块 , 用于接收来自 WAPI鉴别服务器的携带有加密的公开密钥证书和私有密钥的通知消息；解密模块，用于利用预先生成的会话密钥解密加密的公开密钥证书和私有密钥；更新模块，用于利用解密的公开密钥证书和私有密钥更新 WAPI终端本地的公开密钥证书和私有密钥。借助于本发明的上述技术方案，通过预先协商会话密钥并利用该会话密钥加密终端的公钥证书和私钥，并将 WAPI终端的公钥证书和私钥使用 SIP 机制发送至 WAPI终端 , 能够采用在线方式更新用户证书 , 解决了离线申请证书及私有密钥所导致的处理效率低的问题，提高了工作效率和用户体验。本发明的其它特征和优点将在随后的说明书中阐述，并且，部分地从说明书中变得显而易见，或者通过实施本发明而了解。本发明的目的和其他优点可通过在所写的说明书、权利要求书、以及附图中所特别指出的结构来实现和获得。附图说明此处所说明的附图用来提供对本发明的进一步理解，构成本申请的一部分，本发明的示意性实施例及其说明用于解释本发明，并不构成对本发明的不当限定。在附图中：图 1是才艮据相关技术的 WAPI基础结构的结构示意图；图 2是根据本发明实施例的 WAPI鉴别服务器和 WAPI终端的结构的示意图；图 3是才艮据本发明实施例的 WAPI终端证书的管理方法的流程图；图 4是才艮据本发明实施例的 WAPI终端生成会话密钥流程的流程图；图 5是根据本发明实施例的 WAPI鉴别服务器生成会话密钥流程的流程图；图 6是才艮据本发明实施例的 WAPI终端对订阅及通知消息处理的流程图；图 7是根据本发明实施例的 WAPI鉴别服务器对订阅及通知消息处理的流程图；图 8是根据本发明实施例的 WAPI鉴别服务器获取 WAPI终端证书的结构示意图；图 9是才艮据本发明实施例的 WAPI终端证书的管理方法的 SIP信令处理的¾¾程图；图 10是居本发明实施例的 WAPI终端证书的管理装置的框图；图 11是才艮据本发明实施例的 WAPI终端证书的管理系统的框图。具体实施方式功能相克述本发明的主要思想是：本发明提出一种由扩展的服务器证书管理单元主动发送证书，由扩展的终端证书管理模块自动更新证书的技术方案。用户无需通过离线方式进行操作。扩展的服务器证书管理功能，引入会话初始协议

( Session Initiation Protocol , 筒称为 SIP ) , 用户可以利用 SIP中的 Subscribe 消息（订阅消息）完成对自己公有密钥（公钥）证书的订阅，当证书管理单元更新证书并重新分配私有密钥时 , 可以才艮据用户订阅 , 通过 SIP的 Notify 消息（通知消息），发送证书及私有密钥。用户第一次使用终端时的证书和私有密钥（私钥），仍然是通过离线方式申请。在终端完成接入鉴别之后， SIP 信令均在已经加密的数据通道上进行，避免了证书与密码遭窃听的可能。采用才艮据本发明实施例的技术方案 , 用户无需在每次更新证书时都采用离线方式，无需主动操作，提高了用户体验；运营商的证书维护工作也可以节省大量时间 , 更新过程交由 SIP的订阅及通知机制自动完成，提高了处理效率。以下结合附图对本发明的优选实施例进行说明，应当理解，此处所描述的优选实施例仅用于说明和解释本发明，并不用于限定本发明。如果不冲突，本发明实施例及实施例中特征可以相互组合。方法实施例根据本发明实施例，提供了一种 WAPI终端证书的管理方法。图 2是根据本发明实施例的 WAPI鉴别服务器和 WAPI终端的结构的示意图，如图 2所示，在 WAPI终端增加证书管理单元，此功能单元实现了 SIP 客户端功能， WAPI月务器和 WAPI终端通过端口 5060收发 SIP消息 , 实现基于 SIP协议的注册、订阅与通知处理功能； WAPI鉴别服务器包括：鉴别请求服务单元和服务器证书管理单元，月务器侧证书管理单元作为终端的 SIP注册^^务器，实现了 SIP 务器部分功能，在端口 5060上收发 SIP消息，接收处理终端的基于 SIP协议的注册和订阅请求、向 WAPI终端发送基于 SIP协议的通知消息。 SIP消息基于用户数据艮协议 ( User Datagram Protocol , 筒称为 UDP ) 或传输控制协议 ( Transmission Control Protocol , 筒称为 TCP ) 的方式传输。在进行居本发明实施例所提供的方法之前， AP对 WAPI终端进行接入鉴别，在 WAPI终端通过鉴别的情况下，允许 WAPI终端接入 AP。 AP与终端之间协商生成单播会话密钥，此会话密钥能够确保 WAPI终端与 AP之间的数据传输的安全。图 3是根据本发明实施例的 WAPI终端证书的管理方法的流程图。需要说明的是，在以下方法中描述的步骤可以在诸如一组计算机可执行指令的计算机系统中执行，并且，虽然在图 3中示出了逻辑顺序，但是在某些情况下，可以以不同于此处的顺序执行所示出或描述的步骤。如图 3所示 , 该方法包括以下处理：步骤 S302, WAPI鉴别服务器和 WAPI终端协商会话密钥；步骤 S304, WAPI鉴别服务器接收来自 WAPI终端的订阅请求消息，其中 , 订阅请求消息用于非首次请求 WAPI终端的公开密钥证书和私有密钥；步骤 S306, WAPI鉴别服务器向 WAPI终端发送携带有加密的公开密钥证书和私有密钥的通知消息，以供 WAPI终端进行更新，其中，利用会话密钥加密公开密钥证书和私有密钥。基于上述处理 , WAPI终端可以进行在线方式的证书更新。下面详细描述上述各处理的细节。 (一）步骤 S302 首先， WAPI终端随机生成一个 128位随机数 rand asue (第一随机数 ), 利用 WAPI鉴别服务器发布的公开密钥证书中的公开密钥和公开密钥算法，加密 rand— asue并将结果作为 SIP注册消息中新增头域字段 Cert-Rand的值，随即终端向 WAPI服务器发送此 SIP注册请求消息。其次， AP将请求消息转发给 WAPI服务器上的服务器证书管理单元 , 后者接收该注册请求消息，并利用其私有密钥和公开密钥算法解密 Cert-Rand 字段中的 rand— asue; 再随机生成一个 128位随机数 rand ca (第二随机数 ), 并利用 WAPI终端的公开密钥对 rand ca进行公开钥密加密运算，将结果作为注册拒绝消息（ 401 ) 中的 WWW-Authentication头 i或中 nonce参数的值，将该注册拒绝消息发送 WAPI到 WAPI终端。之后， WAPI终端接收该注册拒绝消息，并从 WWW- Authentication中提取 nonce参数及其他参数，利用 WAPI终端的私有密钥将 nonce解密得到 rand_ca, 再利用此头域所示鉴权算法，进行摘要 ( Digest ) 计算，此处用户名可以使用用户的电话号码，密码可以为之前通过随机数生成得到的 rand— asue。 Digest 计算结果用来 I武值新的注册请求中 Authorization 头域中 response参数值 , WAPI终端向 WAPI鉴别服务器发送新的注册请求消息。 WAPI鉴别务器收到新的注册请求后 , 利用参数 ^故 Digest计算并将结果与 response参数值比较，如果结果一致，则 WAPI鉴别服务器向 WAPI终端返回 200 OK消息。注册成功后 WAPI终端的证书管理单元与 WAPI鉴别服务器上的证书管理单元使用同样的 SHA-128杂凑算法，以 rand— ca后串接 rand— asue的结果为输入，计算出 128位长度的会话密钥。下面结合附图详细描述步骤 S302。图 4是居本发明实施例的用户证书管理单元生成会话密钥流程的流程图，如图 4所示，该流程包括：

S402 , WAPI终端完成接入鉴别过程与单播密钥协商；

S404, WAPI终端生成 128位随机数 rand— asue;

S406 , WAPI终端用 WAPI月务器的公钥力。密 rand— asue, 给 Cert-Rand 赋值；

S408 , WAPI终端发送 SIP注册请求；

S410 , WAPI终端^：到注册失败响应，利用其私钥解密 nonce字段，得到 rand— ca;

S412 , WAPI终端使用失败响应中指定算法计算摘要，用户名为号码，密码为 rand asue;

S414, WAPI终端用摘要赋值 response字段并重新发送注册请求；

S416 , WAPI终端接收到注册成功响应后， rand— ca与 rand— asue ^故串接后进行 SHA-128计算，生成会话密钥，此会话密钥用于解密通知消息中加密的证书与密钥信息。图 5 是根据本发明实施例的服务器证书管理单元生成会话密钥流程的流程图，如图 5所示，该流程包括：

S502 , WAPI 鉴别服务器接收 SIP 注册请求利用自己的私钥解密得到 ruan asue , 并产生随机数 rand— ca;

S504, WAPI鉴另服务器利用终端用户的公钥加密 rand— ca, 给注册失败响应中 WWW- Authenticate头 i或中 nonce赋值 , 并回送失败消息； S506, WAPI鉴另' J服务器接收到新的注册消息 , 解析 Authorization字段中参数，计算摘要，将结果与 response字段比较，返回成功或失败消息；

S508 , 如果成功，贝' J WAPI鉴另' J服务器将 rand— ca与 rand— asue ^故串接后进行 SHA-128计算，生成会话密钥，此会话密钥用于加密通知消息中携带的证书与密钥信息。图 4和图 5所示的流程对应于图 3中的步骤 S302。

(二 ) 步骤 S304至 S306 在 WAPI终端成功完成 SIP注册后 , 随即发起证书订阅请求，向 WAPI 终端鉴别服务器的证书管理单元发送 SIP Subscribe消息，服务器证书管理单元才艮据用户的身份标识找到其当前有效的公开密钥证书和私有密钥，通过 Notify消息发送至 WAPI终端，公钥证书与私有密钥先通过 XML格式组合，再通过会话密钥进行加密。

WAPI终端解密证书及密钥信息后，对比本地备份证书与私有密钥，如果不一致则发起 AP去关联操作并重新发起 AP关联，关联过程中进行基于新的证书的鉴别过程。需要说明， Subscribe可以通过头域字段 Event指示事件类型，本发明对事件命名不做具体限定，例如可定义为 cert-event; 头域字段 Accept指示通知消息中消息体格式，本发明对格式命名不做具体限定，例如此处可以定义为 application/cert-info, 用于定义力。密后的证书和密钥内容；本发明对证书与密码的基于 XML的格式不 ^故具体限定， Notify消息中的头域字段 Event和 Content- Type 4夺分别使用 Subscribe中 Event与 Accept头域 ^所对应的值。用户证书管理单元在收到 Notify 消息时，判断这两个头域字段，并根据 Content-Type类型和具体的证书、私有密码组合方式解析内容。下面结合附图详细描述步骤 S304至 S306。图 6是才艮据本发明实施例的 WAPI终端对订阅及通知消息处理的流程图，如图 6所示，该流程包括：

S602 , WAPI终端得到成功注册响应；

S604, WAPI终端生成订阅请求消息并发送至 WAPI鉴别月务器； S606, WAPI终端接收到来自 WAPI鉴另 ' 务器的订阅成功消息（200 OK ) , 准备处理证书通知消息；

S608 , WAPI终端判断通知消息体是否为空，如果不是则执行步骤 S610, 否则执行步骤 S614;

S610, WAPI终端利用预先生成的会话密钥通过常规加密算法解密证书及密钥信息；

S612, WAPI终端判断是否证书已更新，如更新则重新发起接入鉴别流程。

S614, WAPI终端的订阅证书已被吊销 , 重新发起接入鉴别流程。图 7 是居本发明实施例的服务器证书管理单元对订阅及通知消息处理的¾¾程图，如图 7所示，该¾¾程包括：

S702 , WAPI鉴别服务器接收来自 WAPI终端的订阅请求消息；

S704 , 如果 WAPI鉴别服务器接受订阅 , 则向 WAPI终端返回成功消息 ( 200 OK );

S706 , WAPI 鉴别服务器利用会话密钥加密当前有效的证书及私有密钥，并生成携带有力 p密的公钥证书及私有密钥的通消息发送给 WAPI终端；

S708 , 在订阅有效期内，证书管理单元用户证书发生更新或吊销时触发通知流程；

S710, 证书更新后，利用之前生成的会话密钥加密证书与私有密钥，生成通知消息附带加密后信息发送给客户端； S712, 证书被吊销，生成通知消息，头域字段中指示消息长度为 0。图 6和图 7所示的流程对应于图 3中的步骤 S304至 S306。在具体实施过程中， WAPI 鉴别服务器中的证书管理单元具体执行 WAPI鉴别务器的处理工作。图 8是根据本发明实施例的 WAPI鉴别服务器获取 WAPI终端证书的结构示意图。如图 8所示，在上述的步骤 S706中， WAPI鉴别服务器（鉴别服务器 1 ) 向 WAPI终端发送的当前有效的 WAPI终端的公有密钥证书及私有密钥，可以是该 WAPI鉴别服务器预先保存的，也可以是由该 WAPI鉴别服务器和与之相连的其他公共认证中心（ CA )通过请求证书或响应证书查询获取的 , 或者由该 WAPI鉴别服务器通过更高一级的公共认证中心请求其他的 WAPI鉴别服务器（鉴别服务器 2 ) 上管理的证书。图 9是才艮据本发明实施例的 WAPI终端证书的管理方法的 SIP信令处理的流程图。如图 9所示，该流程包括以下处理：步骤 S902 , WAPI终端向 WAPI鉴另' J服务器发送 SIP注册请求（ Register ) 消息，该 Register消息中携带有该 WAPI终端生成的第一随机数；步骤 S904, WAPI鉴别月务器向 WAPI终端返回注册拒绝消息（ 401消息 ), 该拒绝消息中携带 WAPI鉴别服务器生成的第二随机数；步骤 S906, WAPI终端向 WAPI鉴另' J服务器发送新的 Register消息；步骤 S908 , WAPI鉴别服务器向 WAPI终端返回成功注册响应消息（ 200 OK ), 确认成功后 WAPI鉴别务器和 WAPI终端才艮据第一随机数和第二随机数生成会话密钥；步骤 S910 , WAPI终端向 WAPI鉴别服务器发送订阅（ Subscribe )消息；步骤 S912 , WAPI 鉴别月务器向 WAPI 终端返回成功确认消息（200

OK ); 步骤 S914, WAPI鉴别月务器向 WAPI终端发送通知（ Notify ) 消息，该通知消息中携带有利用会话密钥加密的 WAPI终端的公开密钥证书和私有密钥；步骤 S916 , WAPI 终端向 WAPI 鉴另' j服务器发送成功确认消息（200

OK ); 在当用户证书被吊销或失效时，还可以包括以下步骤：步骤 S918 , WAPI鉴别服务器向 WAPI终端发送通知（ Notify ) 消息 , 该消息体内容为空 , 长度指示 Content-Length头域的值为 0。步骤 S920, WAPI终端接收到该 Notify消息后，不再保持接入鉴别状态，而重新发起接入鉴别过程，并向 WAPI鉴另服务器返回成功确认消息（ 200 οκ )。装置实施例才艮据本发明实施例 , 还提供了一种 WAPI终端证书的管理装置。该装置可以用于实现上述方法实施例所提供的 WAPI终端证书的管理方法。图 10是根据本发明实施例的 WAPI终端证书的管理装置的框图 , 该装置可以设置于 WAPI鉴别服务器。如图 10所示，才艮据本发明实施例的 WAPI终端证书的管理装置包括：协商模块 110, 接收模块 120 , 加密模块 130 , 发送模块 140, 具体地：十办商模块 110, 用于和 WAPI终端†办商会话密钥；接收模块 120, 连接至协商模块 110, 用于接收来自 WAPI终端的订阅请求消息，其中，订阅请求消息用于非首次请求 WAPI终端的公开密钥证书和私有密钥；加密模块 130, 连接至接收模块 120, 用于利用会话密钥加密公开密钥证书和私有密钥；发送模块 140 , 连接至加密模块 130 , 用于向 WAPI终端发送携带有加密的公开密钥证书和私有密钥的通知消息，以供 WAPI终端进行更新。优选地 , WAPI终端证书的管理装置为 WAPI鉴别服务器中的证书管理单元。在具体实施过程中，才艮据本发明实施例提供的装置同样可以完成图 2 至图 9中所示的处理，具体处理过程此处不再重复描述。系统实施例根据本发明实施例 , 还提供了一种 WAPI终端证书的管理系统。该系统可以用于实现上述方法实施例所提供的 WAPI终端证书的管理方法。图 11是才艮据本发明实施例的 WAPI终端证书的管理系统的框图，如图 11所示，该系统包括： WAPI鉴别月务器 10、 WAPI终端 20 , 其中： WAPI鉴别服务器 10包括: 第一接收模块 120 , 用于接收来自 WAPI终端的订阅请求消息，其中，订阅请求消息用于非首次请求 WAPI终端的公开密钥证书和私有密钥；加密模块 130, 连接至第一接收模块 120, 用于利用预先生成的会话密钥加密公开密钥证书和私有密钥；第一发送模块 140 , 连接至加密模块 130 , 用于向 WAPI终端发送携带有加密的公开密钥证书和私有密钥的通知消息，以供 WAPI终端进行更新；

WAPI终端 20包括：第二发送模块 210, 用于向 WAPI鉴别服务器发送订阅请求消息；第二接收模块 220, 用于接收来自 WAPI鉴别服务器的携带有加密的公开密钥证书和私有密钥的通知消息；解密模块 230, 连接至第二接收模块 220, 用于利用预先生成的会话密钥解密加密的公开密钥证书和私有密钥；更新模块 240, 连接至解密模块 230, 用于利用解密的公开密钥证书和私有密钥更新 WAPI终端本地的公开密钥证书和私有密钥。在具体实施过程中，根据本发明实施例提供的系统同样可以完成图 2 至图 9中所示的处理，具体处理过程 jt匕处不再重复描述。综上所述，借助于本发明的上述技术方案，通过预先协商会话密钥并利用该会话密钥力。密终端的公钥证书和私钥 , 并将 WAPI终端的公钥证书和私钥使用 SIP机制发送至 WAPI终端 , 达到了采用在线方式更新用户证书的目的，解决了离线申请证书及私有密钥所导致的处理效率低的问题 , 既提高了工作效率，又提高了用户体 -险。显然，本领域的技术人员应该明白，上述的本发明的各模块或各步骤可以用通用的计算装置来实现，它们可以集中在单个的计算装置上，或者分布在多个计算装置所组成的网络上，可选地，它们可以用计算装置可执行的程序代码来实现，从而，可以将它们存储在存储装置中由计算装置来执行，或者将它们分别制作成各个集成电路模块，或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样，本发明不限制于任何特定的硬件和软件结合。以上所述仅为本发明的优选实施例而已，并不用于限制本发明，对于本领域的技术人员来说，本发明可以有各种更改和变化。凡在本发明的精神和原则之内，所作的任何修改、等同替换、？丈进等，均应包含在本发明的保护范围之内。

Claims

权利要求书一种无线局域网认证与保密基础结构 WAPI终端证书的管理方法，用于基于会话初始协议 SIP管理 WAPI终端的公开密钥证书，其特征在于，所述方法包括：

WAPI鉴别服务器和所述 WAPI终端协商会话密钥；

所述 WAPI鉴别月务器接收来自所述 WAPI终端的订阅请求消息，其中，所述订阅请求消息用于非首次请求所述 WAPI终端的公开密钥证书和私有密钥；

所述 WAPI鉴别务器向所述 WAPI终端发送携带有加密的所述公开密钥证书和所述私有密钥的通知消息，以供所述 WAPI终端进行更新，其中，利用所述会话密钥加密所述公开密钥证书和所述私有密钥。根据权利要求 1所述的方法，其特征在于，在所述 WAPI鉴别服务器和所述 WAPI终端协商所述会话密钥之前，所述方法还包括：

接入点对所述 WAPI终端进行接入鉴别，并在所述 WAPI终端通过鉴别的情况下，允许所述 WAPI鉴别服务器和所述 WAPI终端协商所述会话密钥。根据权利要求 1所述的方法，其特征在于，所述 WAPI鉴别服务器和所述 WAPI终端协商所述会话密钥的处理包括：

所述 WAPI鉴别务器接收来自所述 WAPI终端的注册请求消息，其中，所述注册请求消息中携带有所述 WAPI终端生成的第一随机数；所述 WAPI鉴另服务器向所述 WAPI终端发送注册拒绝消息，其中，所述注册拒绝消息中携带有所述 WAPI鉴别服务器生成的第二随机数；所述 WAPI鉴别务器接收来自所述 WAPI终端的新的注册请求消息，在注册成功的情况下，所述 WAPI鉴别务器和所述 WAPI终端才艮据所述第一随机数和所述第二随机数计算所述会话密钥，其中，所述会话密钥为所述第二随机数与所述第一随机数 ^故串接后进行哈希运算得到。

4. -据权利要求 3所述的方法，其特征在于，所述 WAPI终端发送的所述第一随机数由所述 WAPI终端利用所述 WAPI鉴另J服务器的公开密钥加密。

5. 根据权利要求 3所述的方法，其特征在于，所述 WAPI鉴别服务器发送的所述第二随机数由所述 WAPI鉴另¹ J服务器利用所述 WAPI终端的公开密钥加密。

6. 根据权利要求 1所述的方法，其特征在于，在所述 WAPI鉴别服务器向所述 WAPI终端发送所述通知消息之后 , 所述方法进一步包括：

所述 WAPI终端接收所述通知消息 , 利用所述会话密钥解密所述公开密钥证书和所述私有密钥，并利用解密的所述公开密钥证书和所述私有密钥更新所述 WAPI终端本地的公开密钥证书和私有密钥。

7. 根据权利要求 1所述的方法，其特征在于，在所述 WAPI终端的公开密钥证书为非法或失效的情况下，在所述 WAPI鉴别服务器吊销所述 WAPI 终端的公开密钥证书，具体包括：

所述 WAPI鉴另J服务器向所述 WAPI终端发送用于吊销所述 WAPI 终端的公开密钥证书的通知消息，以通知所述 WAPI终端重新进行接入鉴别，其中，所述吊销所述 WAPI终端的公开密钥证书的通消息的消息体的长度被配置为 0。

8. 根据权利要求 1至 Ί 中任一项所述的方法，其特征在于，在所述 WAPI 鉴别服务器和所述 WAPI终端协商所述会话密钥之前，所述方法还包括：所述 WAPI 鉴别服务器向公共认证中心预先请求获取、或由所述 WAPI鉴别服务器预先保存所述公开密钥证书和所述私有密钥。

9. 一种 WAPI终端证书的管理装置，设置于 WAPI鉴别服务器，其特征在于，所述装置包括：

协商模块 , 用于和 WAPI终端协商会话密钥；

接收模块 , 用于接收来自所述 WAPI终端的订阅请求消息，其中，所述订阅请求消息用于非首次请求所述 WAPI终端的公开密钥证书和私有密钥；力口密模块，用于利用所述会话密钥加密所述公开密钥证书和所述私有密钥；

发送模块，用于向所述 WAPI终端发送携带有加密的所述公开密钥证书和所述私有密钥的所述通知消息 , 以供所述 WAPI终端进行更新。一种 WAPI终端证书的管理系统 , 其特征在于 , 包括： WAPI鉴别服务器、 WAPI终端，其中，

所述 WAPI鉴别服务器包括：

第一接收模块 , 用于接收来自所述 WAPI终端的订阅请求消息，其中，所述订阅请求消息用于非首次请求所述 WAPI 终端的公开密钥证书和私有密钥；

加密模块，用于利用预先生成的会话密钥加密所述公开密钥证书和所述私有密钥；

第一发送模块 , 用于向所述 WAPI终端发送携带有加密的所述公开密钥证书和所述私有密钥的所述通知消息，以供所述 WAPI 终端进行更新；

WAPI终端包括：

第二发送模块 , 用于向所述 WAPI鉴别服务器发送所述订阅请求消息；

第二接收模块，用于接收来自所述 WAPI鉴别服务器的携带有加密的所述公开密钥证书和所述私有密钥的所述通知消息；解密模块，用于利用预先生成的会话密钥解密加密的所述公开密钥证书和所述私有密钥；

更新模块，用于利用解密的所述公开密钥证书和所述私有密钥更新所述 WAPI终端本地的公开密钥证书和私有密钥。