WO2010124490A1 - 获取无线局域网鉴别和保密基础结构证书的方法及系统 - Google Patents

Description

获取无线局域网鉴别和保密基础结构证书的方法及系统

技术领域

本发明涉及无线局域网技术领域， 尤其涉及一种获取无线局域网鉴别和 保密基础结构证书的方法及系统。

背景技术

WAPI ( WLAN Authentication and Privacy Infrastructure , 无线局 i或网鉴别 和保密基础结构）是中国提出的以 802.11无线协议为基础的无线安全标准。 WAPI协议包括两个部分： WAI ( WLAN Authentication Infrastructure， 无线局 域网鉴别基础结构）和 WPI ( WLAN Privacy Infrastructure, 无线局域网保密 基础结构。 WAI是用于无线局域网中身份鉴别和密钥管理的安全方案。 WPI 是用于无线局域网中数据传输保护的安全方案， 包括数据加密、 数据鉴别和 重放保护等功能。

典型的 WAPI系统主要包括鉴别器实体（AE )、鉴别请求者实体（ASUE ) 和鉴别服务器实体（ASE ) ， 其中：

鉴别请求者实体是在接入服务之前请求进行鉴别操作的实体， 驻留在 STA (无线客户端） 中， 可以理解为终端。

鉴别器实体为鉴别请求者实体在接入服务之前提供鉴别操作， 一般驻留 在 AP (接入点）或 STA中。

鉴别服务器实体为鉴别器实体和鉴别请求者实体提供相互鉴别的服务。

WAPI的过程主要包括： 终端与 AP进行 802.11链路协商后， AP为该终 端发起 WAI鉴别过程，配合鉴别服务器完成与终端的双向认证。通过认证后， AP发起与终端的密钥协商， 并使用协商出的密钥通过 WPI向该用户提供加 密和解密服务。

鉴别器实体通过两类方式支持 WAI鉴别及密码管理，一类是基于证书的 方式， 一类是基于共享密钥的方式。 当釆用基于证书的方式时， 鉴别请求者 实体所在的终端在发送给鉴别器实体的接入鉴别请求中， 需要附带自己的

WAPI证书， 鉴别器实体根据接入鉴别请求中的字段， 决定由其自身完成 WAPI证书的验证还是交由鉴别服务单元完成验证， 进而对鉴别请求者实体 进行认证。

WAPI与公开密钥基础设施（ Public Key Infrastructure , ΡΚΙ )相似， WAPI 系统中的鉴别服务单元与 PKI中的认证中心（ Certificate Authority, CA )的作 用相同， 当 WAI釆用 X.509 v3证书时， 鉴别服务单元也必须具有与 CA相同 的证书申请、签发、定期发布证书失效列表和响应用户证书吊销等功能。 WAPI 中终端釆用离线方式获取证书和对应的私有密钥， 需要人工使用存储设备保 存证书， 再将保存的证书存储到终端中， 证书在有效期满失效后， 用户还需 要再次通过离线方式完成证书更新， 使用非常不便。

发明内容

为解决上述技术问题， 本发明提供一种获取 WAPI证书的方法及系统， 解决釆用离线方式获取证书不方便的问题，实现终端便捷地获取 WAPI证书。

本发明提供一种获取无线局域网鉴别和保密基础结构证书的方法，包括： 终端向鉴别服务器发送证书下发请求；

鉴别服务器根据接收到的证书下发请求中携带的终端的用户帐号查找用 户的无线局域网鉴别和保密基础结构 WAPI证书， 并将查找到的 WAPI证书 发送给终端。

进一步地，终端通过 IP多媒体子系统 IMS核心网向鉴别服务器发送证书 下发请求， 鉴别服务器通过 IMS核心网将查找到的 WAPI证书发送给终端。

进一步地， 终端通过 IMS核心网向鉴别服务器发送证书下发请求的过程 包括：

终端将证书下发请求发送给 IMS核心网的注册服务器；

注册服务器接收到证书下发请求后， 从 IMS核心网的归属用户服务器 HSS中查询终端的鉴别服务器地址， 根据查询到的鉴别服务器地址将证书下 发请求转发给鉴别服务器。 进一步地， 鉴别服务器通过 IMS核心网将查找到的 WAPI证书发送给终 端的过程包括：

鉴别服务器将查找到的 WAPI证书发送给注册服务器；

注册服务器将接收到的 WAPI证书转发给终端。

进一步地， 注册服务器从 HSS查询终端的鉴别服务器地址的过程包括： 注册服务器向 HSS发送查询消息， 在查询消息中携带终端的用户帐号；

HSS接收到查询消息后， 从保存的用户帐号与鉴别服务器地址的对应关 系中查找终端的鉴别服务器地址， 并将查找到的地址发送给注册服务器。

进一步地， 终端釆用 HTTP GET消息作为证书下发请求；

鉴别服务器通过 HTTP 200 OK响应消息将 WAPI证书发送给终端，终端 解析接收到的 HTTP 200 OK响应消息， 获得 WAPI证书。

本发明还提供一种支持获取无线局域网鉴别和保密基础结构证书的鉴别 服务器， 所述鉴别服务器设置成根据接收到的证书下发请求中携带的终端的 用户帐号查找用户的 WAPI证书， 并将查找到的 WAPI证书发送给终端。

本发明还提供一种支持获取无线局域网鉴别和保密基础结构证书的系 统， 包括： 如上所述的鉴别服务器、 IMS核心网的注册服务器和 HSS, 其中， 所述注册服务器设置成接收到终端发送的证书下发请求后， 从 IMS核心 网的 HSS中查询终端的鉴别服务器地址， 根据查询到的鉴别服务器地址将证 书下发请求转发给鉴别服务器。

进一步地， 所述鉴别服务器是设置成通过所述注册服务器将查找到的

WAPI证书发送给终端；

所述注册服务器还设置成接收鉴别服务器发送的 WAPI证书， 并将接收 到的 WAPI证书转发给终端。

进一步地， 所述 HSS设置成接收所述注册服务器的查询消息， 从保存的 用户帐号与鉴别服务器地址的对应关系中查找所述终端对应的鉴别服务器地 址， 并将查找到的鉴别服务器地址发送给所述注册服务器； 其中， 所述查询 消息中携带终端的用户帐号。 综上所述， 本发明在终端进行第一次证书鉴别之前， 通过 3G (第三代移 动通信技术 ) RAN (接入网 )接入 IMS ( IP多媒体子系统）网络， 通过 IMS 网络与鉴别服务器进行信令交互获得 WAPI证书， 本发明避免了用户通过离 线方式获取证书的不便， 并简化了用户和运营商的证书管理流程， 终端可以 在后台运行获取证书的过程， 从而提升了用户体验。

附图概述

图 1为本发明获取 WAPI证书的方法的交互图；

图 2为本发明获取 WAPI证书的系统的架构图。

本发明的较佳实施方式

IP多媒体子系统是一组规范，用于描述下一代网络（NGN )的体系结构， NGN用于实现基于 IP的电话和多媒体服务。 IMS定义了一套完整的体系结 构和框架， 允许在基于 IP的基础设施上对声音、 视频、 数据和移动网络技术 进行聚合， 其釆用 SIP (会话初始协议） ， 具有与接入无关的特性。

本发明中， 终端通过 3G RAN接入 IMS网络并在注册成功后， 向注册服 务器发送 HTTP消息获取 WAPI证书， 注册服务器接收到 HTTP消息后， 将 其转发给终端对应的鉴别服务器，鉴别服务器向注册服务器返回 WAPI证书， 注册服务器将 WAPI证书转发给终端， 终端接收到 WAPI证书后， 即可进行 与 AP或鉴别服务器的证书鉴别过程。

下面结合附图对本发明的具体实施方式进行说明。

为保证终端能够通过 IMS系统请求鉴别服务器下发 WAPI证书， 需要在 IMS核心网的归属用户服务器（HSS ) 中配置用户帐号与鉴别服务器地址的 对应关系， 并在终端内配置 IMS网络的注册服务器的地址、 端口以及本地端 口等信息。

图 1所示为本发明中终端获取 WAPI证书的方法， 包括如下步骤：

101 : 终端通过 3G RAN接入 IMS后， 向 IMS核心网的注册服务器发送 注册请求消息 （SIP REGISTER消息） ， 请求进行注册； 102: 注册服务器接收到注册请求消息后， 向终端返回 401应答消息， 要 求对终端进行鉴权；

103: 终端接收到 401应答消息后， 根据 401应答消息中携带的鉴权字段 计算出鉴权信息， 将鉴权信息通过 SIP REGISTER ( SIP 注册）消息发给注册 服务器；

104: 注册服务器接收到携带鉴权信息的 SIP REGISTER消息后， 根据鉴 权信息对终端进行鉴权， 如果对终端鉴权成功， 则向终端返回 200 OK消息， 通知终端注册成功；

105:终端接收到 200 OK消息后，向注册服务器发送证书下发请求（ HTTP GET消息） ， 请求注册服务器下发证书， 在证书下发请求中携带用户帐号；

106: 注册服务器接收到证书下发请求后， 向 HSS发送查询消息， 查询 该终端对应的鉴别服务器地址， 在查询消息中携带用户帐号；

107: HSS接收到查询消息后，在用户帐号与鉴别服务器地址的对应关系 中查找终端的鉴别服务器地址， 查找到对应的鉴别服务器地址后， 将地址发 送给注册服务器；

若 HSS没有查找到对应的鉴别服务器地址， 则向注册服务器返回错误消 息， 注册服务器向终端返回获取证书失败的应答。

108:注册服务器根据接收到的鉴别服务器地址向鉴别服务器转发证书下 发请求；

109: 鉴别服务器将接收到的证书下发请求转发给其证书管理模块， 其证 书管理模块根据用户帐号查找对应的 WAPI证书 ,通过 HTTP 200 OK响应消 息将 WAPI证书发送给注册服务器；

如果证书管理模块未查找到终端的 WAPI证书，则将 HTTP 200 OK响应 消息中的 Content-Length (内容-长度）字段的值置为 0, 发送给注册服务器。

110: 注册服务器接收到 HTTP 200 OK消息后， 将该消息转发至终端；

111 : 终端接收到 HTTP 200 OK消息后， 调用其证书管理模块对该消息 进行解析获取到 WAPI证书， 可以发起与 AP的接入鉴别流程。

图 2所示为本发明获取 WAPI证书的系统， 包括： 终端、 IMS核心网和 鉴别服务器， IMS核心网包括注册服务器和 HSS, 其中：

终端， 用于向注册服务器发送注册请求消息 （SIP REGISTER 消息） ， 请求进行注册； 在接收到 401应答消息后， 根据 401应答消息中携带的鉴权 字段计算出鉴权信息，将鉴权信息通过 SIP REGISTER消息发给注册服务器； 在接收到 200 OK消息后， 向注册服务器发送证书下发请求（HTTP GET消 息） ， 请求注册服务器下发证书， 在证书下发请求中携带用户帐号； 接收到 HTTP 200 OK消息后， 调用证书管理单元对该消息进行解析获取到 WAPI证 书。

注册服务器， 用于在接收到注册请求消息后， 向终端返回 401应答消息， 要求对终端进行鉴权； 接收到携带鉴权信息的 SIP REGISTER消息后， 根据 鉴权信息对终端进行鉴权，如果对终端鉴权成功，则向终端返回 200 OK消息， 通知终端注册成功； 接收到证书下发请求后， 向 HSS发送查询消息， 查询该 终端对应的鉴别服务器的地址； 在接收到鉴别服务器地址后， 根据地址向鉴 别服务器转发证书下发请求； 在接收到 HSS的错误消息后， 向终端返回获取 证书失败的应答； 接收到 HTTP 200 OK消息后， 将该消息转发至终端。

HSS, 用于保存用户帐号与鉴别服务器地址的对应关系； 在接收到查询 消息后， 在用户帐号与鉴别服务器地址的对应关系中查找终端的鉴别服务器 地址， 查找到对应的鉴别服务器地址后， 将地址发送给注册服务器； 若没有 查找到对应的鉴别服务器地址， 则向注册服务器返回错误消息。

鉴别服务器， 用于将接收到的证书下发请求转发给其证书管理模块， 其 证书管理模块根据用户帐号查找对应的 WAPI证书 ,通过 HTTP 200 OK响应 消息将 WAPI证书发送给注册服务器； 如果未查找到终端的 WAPI证书， 则 将 HTTP 200 OK响应消息中的 Content-Length字段的值置为 0 , 发送给注册 服务器。

以上所述， 仅为本发明较佳的具体实现方式， 但本发明的保护范围并不 局限与此， 任何熟悉该技术的人， 在本发明所揭露的技术范围内， 可轻易想 到的变化或替换， 都应涵盖在本发明的保护范围之内。 工业实用性 本发明避免了用户通过离线方式获取证书的不便， 并简化了用户和运营 商的证书管理流程， 终端可以在后台运行获取证书的过程， 从而提升了用户 体验。

Claims

权 利 要 求 书

1、 一种获取无线局域网鉴别和保密基础结构证书的方法， 包括： 终端向鉴别服务器发送证书下发请求；

所述鉴别服务器根据接收到的证书下发请求中携带的终端的用户帐号查 找用户的无线局域网鉴别和保密基础结构 WAPI证书， 并将查找到的 WAPI 证书发送给所述终端。

2、如权利要求 1所述的方法，其中，所述终端通过 IP多媒体子系统 IMS 核心网向鉴别服务器发送所述证书下发请求， 所述鉴别服务器通过所述 IMS 核心网将所述查找到的 WAPI证书发送给所述终端。

3、 如权利要求 2所述的方法， 其中， 所述终端通过所述 IMS核心网向 鉴别服务器发送所述证书下发请求的所述步骤包括：

所述终端将所述证书下发请求发送给所述 IMS核心网的注册服务器； 所述注册服务器接收所述证书下发请求， 从所述 IMS核心网的归属用户 服务器 HSS中查询所述终端对应的鉴别服务器地址， 根据查询到的鉴别服务 器地址将所述证书下发请求转发给所述鉴别服务器。

4、 如权利要求 3所述的方法， 其中， 所述鉴别服务器通过所述 IMS核 心网将查找到的 WAPI证书发送给所述终端的所述步骤包括：

所述鉴别服务器将查找到的 WAPI证书发送给所述注册服务器； 所述注册服务器将接收到的 WAPI证书转发给所述终端。

5、 如权利要求 3所述的方法， 其中， 从所述 IMS核心网的 HSS中查询 所述终端的鉴别服务器地址的所述步骤包括：

所述注册服务器向所述 HSS发送查询消息， 在查询消息中携带所述终端 的用户帐号；

所述 HSS接收到所述查询消息后， 从保存的用户帐号与鉴别服务器地址 的对应关系中查找所述终端的鉴别服务器地址， 并将查找到的地址发送给所 述注册服务器。

6、 如权利要求 4所述的方法， 其中， 所述终端釆用 HTTP GET消息作为所述证书下发请求；

所述鉴别服务器通过 HTTP 200 OK响应消息将查找到的 WAPI证书发送 给所述终端， 所述终端接收并解析所述 HTTP 200 OK响应消息， 获得所述终 端的 WAPI证书。

7、一种支持获取无线局域网鉴别和保密基础结构证书的鉴别服务器， 所 述鉴别服务器设置成接收终端发送的证书下发请求， 根据接收到的证书下发 请求中携带的终端的用户帐号查找用户的 WAPI证书， 并将查找到的 WAPI 证书发送给终端。

8、 一种支持获取无线局域网鉴别和保密基础结构证书的系统， 包括： 根 据权利要求 7所述的鉴别服务器、 IMS核心网的注册服务器和 HSS, 其中， 所述注册服务器设置成接收终端发送的证书下发请求， 从所述 IMS核心 网的 HSS中查询所述终端对应的鉴别服务器地址， 并根据查询到的鉴别服务 器地址将所接收到的证书下发请求转发给所述鉴别服务器。

9、 如权利要求 8所述的系统， 其中，

所述鉴别服务器是设置成通过所述注册服务器将查找到的 WAPI证书发 送给终端；

所述注册服务器还设置成接收鉴别服务器发送的 WAPI证书， 并将接收 到的 WAPI证书转发给终端。

10、 如权利要求 8所述的系统， 其中，

所述 HSS设置成接收所述注册服务器的查询消息， 从保存的用户帐号与 鉴别服务器地址的对应关系中查找所述终端对应的鉴别服务器地址， 并将查 找到的鉴别服务器地址发送给所述注册服务器； 其中， 所述查询消息中携带 终端的用户帐号。