WO2013159723A1

WO2013159723A1 - 一种数字证书自动申请方法和装置及系统

Info

Publication number: WO2013159723A1
Application number: PCT/CN2013/074735
Authority: WO
Inventors: 胡亚楠; 铁满霞; 童伟刚; 张变玲; 黄振海; 简练; 袁鹏
Original assignee: 西安西电捷通无线网络通信股份有限公司
Priority date: 2012-04-25
Filing date: 2013-04-25
Publication date: 2013-10-31
Also published as: KR101617753B1; EP2843873A4; US9397840B2; JP5856352B2; EP2843873A1; KR20150011364A; JP2015518697A; EP2843873B1; CN102624531B; CN102624531A; US20150333916A1

Abstract

本申请公开了一种数字证书自动申请方法和装置及系统，该方法包括：数字证书申请者将支持的数字证书产生方法通知数字证书颁发者，如果含有数字证书颁发者颁发的数字证书，还将已有的数字证书信息通知数字证书颁发者，否则，还将需要在申请的新数字证书中包含的证书信息通知数字证书颁发者；数字证书颁发者从数字证书申请者支持的数字证书产生方法中选择数字证书产生方法并通知数字证书申请者，确定数字证书申请者需申请新数字证书时，产生新数字证书信息并通知数字证书申请者，否则，将无效的数字证书信息通知数字证书申请者；数字证书申请者根据数字证书颁发者的通知确定使用的数字证书。本申请可以实现数字证书的自动申请、更新和颁发。

Description

一种数字证书自动申请方法和装置及系统本申请要求在 2012年 4月 25日提交中国专利局、申请号为 201210124061.X、发明名称为

"一种数字证书自动申请方法和装置及系统"的中国专利申请的优先权，其全部内容通过引用结合在本申请中。技术领域本申请涉及网络安全技术领域，尤其涉及一种数字证书自动申请方法和装置及系统。背景技术当前的网络环境中，多种技术和设备都需要使用到数字证书，利用数字证书可以实现身份的鉴别和数据加密等功能，但是如何对数字证书自动申请、更新和颁发需要特别的方式来支持。

以无线局域网技术为例，无线局域网技术包含两大类的安全方案：第一类，无线局域网筌别与保密基础结构 ( Wireless LAN Authentication and Privacy Infrastructure, WAPI ), 是中国无线局域网国家标准 GB15629. il 中提出的无线局域网安全解决方案；第二类，健壮安全网络 ( Robust Security Network, RSN ), 是电气和电子工程师协会 ( Institute of Electrical and Electronics Engineers, IEEE )无线局域网标准 ΙΕΕΕ802.1Π中包含的安全解决方案。它们共同的特点是可以釆用基于公钥密码体系的数字证书方案实施鉴别过程，在釆用基于公钥密码体系的数字证书方案实施鉴别过程之前，端站（Station, STA ) 与接入点 ( Access Point, AP )作为数字证书申请者必须提前向作为数字证书颁发者的证书授证中心 ( Certificate Authority, 缩写为 CA ) 申请可以标识自己身份的数字证书，然后将申请到的数字证书安装到设备当中。

为了利用信息交换实现自动申请、更新和颁发不同类型的数字证书，数字证书申请者在数字证书申请和更新过程中需要向数字证书颁发者提供哪些信息，或者数字证书颁发者在数字证书颁发过程中需要向数字证书申请者提供哪些信息，将直接影响到无线局域网技术安全机制能否有效进行。

但是如何利用信息交换自动申请、更新和颁发数字证书方法不在无线局域网技术标准的设计范围之内，目前缺乏一种有效的自动申请、更新和颁发数字证书方法。发明内容本申请提供一种数字证书自动申请方法和装置及系统，用以实现数字证书的自动申请、更新和颁发。

本申请提供一种数字证书自动申请方法，包括：

数字证书申请者将自身支持的数字证书产生方法通知数字证书颁发者，如果数字证书申请者确定已经含有所述数字证书颁发者颁发的数字证书，所述数字证书申请者还将数字证书申请者已有的数字证书信息通知数字证书颁发者，如果确定没有所述数字证书颁发者所颁发的数字证书，所述数字证书申请者还将需要在申请的新数字证书中包含的证书信息通知数字证书颁发者；

数字证书颁发者从数字证书申请者支持的数字证书产生方法中选择数字证书产生方法并通知数字证书申请者，数字证书颁发者确定数字证书申请者需申请新数字证书时，根据选择的数字证书产生方法和数字证书申请者通知的证书信息产生新数字证书信息并通知数字证书申请者，确定数字证书申请者不需申请新数字证书时，将无效的数字证书信息通知数字证书申请者；

数字证书申请者根据数字证书颁发者的通知确定使用的数字证书。

本申请还提供一种数字证书申请装置，包括：

第一通知单元，用于将数字证书申请装置支持的数字证书产生方法通知数字证书颁发者；

第二通知单元，用于确定数字证书申请装置已经含有所述数字证书颁发者颁发的数字证书，将数字证书申请者已有的数字证书信息通知数字证书颁发者，如果确定数字证书申请装置没有所述数字证书颁发者所颁发的数字证书，将需要在申请的新数字证书中包含的证书信息通知数字证书颁发者；

证书确定单元，用于根据数字证书颁发者的通知确定使用的数字证书。

本申请还提供一种数字证书颁发装置，包括：

第一通知单元，用于根据数字证书申请者通知的数字证书申请者支持的数字证书产生方法，从数字证书申请者支持的数字证书产生方法中选择数字证书产生方法并通知数字证书申请者；

第二通知单元，用于确定数字证书申请者需申请新数字证书时，根据选择的数字证书产生方法和数字证书申请者通知的证书信息产生新数字证书信息并通知数字证书申请者，确定数字证书申请者不需申请新数字证书时，将无效的数字证书信息通知数字证书申请者。

本申请还提供一种数字证书自动申请系统，包括：

数字证书申请者，用于将自身支持的数字证书产生方法通知数字证书颁发者，如果确定已经含有所述数字证书颁发者颁发的数字证书，还将数字证书申请者已有的数字证书信息通知数字证书颁发者，如果确定没有所述数字证书颁发者所颁发的数字证书，还将需要在申请的新数字证书中包含的证书信息通知数字证书颁发者，并根据数字证书颁发者的通知确定使用的数字证书；

数字证书颁发者，用于从数字证书申请者支持的数字证书产生方法中选择数字证书产生方法并通知数字证书申请者，确定数字证书申请者需申请新数字证书时，根据选择的数字证书产生方法和数字证书申请者通知的证书信息产生新数字证书信息并通知数字证书申请者，确定数字证书申请者不需申请新数字证书时，将无效的数字证书信息通知数字证书申请者。

利用本申请提供的数字证书自动申请方法和装置系统具有以下有益效果：通过信息交换可以实现数字证书申请者自动申请不同类型的无线局域网数字证书；数字证书申请者自动更新不同类型的无线局域网数字证书；数字证书颁发者自动判断数字证书申请者的证书状态，为数字证书申请者颁发有效的数字证书。附图说明图 1为本申请实施例 1中数字证书自动申请方法流程图；

图 2为本申请实施例 1中数字证书自动申请方法中消息内容示意图；

图 3为本申请实施例 2中数字证书自动申请方法流程图；

图 4为本申请实施例 2中数字证书自动申请方法中消息内容示意图。具体实施方式下面结合附图和实施例对本申请提供的数字证书自动申请方法和装置及系统进行更详细地说明。

本申请实施例提供了一种数字证书自动申请方法和装置及系统，能够安全有效实现数字证书自动申请、更新和颁发。该方法包括：

利用本申请实施例提供的数字证书自动申请方法，可以实现数字证书的自动申请、更新和颁发，在数字证书申请者没有数字证书颁发者颁发的数字证书时，可以自动申请不同类型的无线局域网数字证书，在数字证书申请者没有数字证书或颁发的数字证书无效时，数字证书颁发者在证书本地颁发策略允许向这个数字证书申请者颁发证书时，自动判断数字证书申请者的证书状态，为数字证书申请者颁发有效的数字证书，否则发送无效的数字证书信息，从而实现数字证书的自动申请、更新和颁发，从而保证无线局域网技术安全机制能否有效进行。

本申请实施例对数字证书申请者和数字证书颁发者交互釆用的消息及交互方式不作限定，只要能够实现上述信息交互实现数字证书的自动申请、更新和颁发，都属于本申请实施方式，下面给出本申请优选的消息交互方式。

实施例 1

本实施例提供一种优选的消息交互方式，如图 1所示，数字证书自动申请方法，具体包括如下步骤：

步骤 101 , 数字证书申请者首先向数字证书颁发者发送数字证书产生能力消息，所述数字证书产生能力消息包括所述数字证书申请者支持的数字证书产生方法；

步骤 102, 数字证书颁发者从数字证书申请者支持的数字证书产生方法中选择数字证书产生方法，并通过数字证书产生类型消息通知数字证书申请者；

步骤 103 , 数字证书申请者向数字证书颁发者发送数字证书申请消息，其中，如果数字证书申请者确定已经含有所述数字证书颁发者颁发的数字证书，所述数字证书申请消息中携带数字证书申请者已有的数字证书信息，如果数字证书申请者确定没有所述数字证书颁发者所颁发的数字证书时，所述数字证书申请消息中携带需要在申请的新数字证书中包含的证书信息；

步骤 104, 数字证书颁发者向数字证书申请者发送数字证书确认消息，其中，数字证书颁发者确定数字证书申请者需申请新数字证书时，所述数字证书确认消息包含数字证书颁发者根据选择的数字证书产生方法和数字证书申请消息包含的证书信息产生的新数字证书信息，数字证书颁发者确定数字证书申请者不需申请新数字证书时，所述数字证书确认消息携带无效的数字证书信息；

步骤 105 , 数字证书申请者接收数字证书颁发者发送的数字证书确认消息，根据数字证书确认消息确定使用的数字证书。

本实施例通过四个消息进行交互，实现数字证书的自动申请、更新和颁发。

优选地，步骤 103中，数字证书申请者确定已有所述数字证书颁发者所颁发的数字证书时，在利用数字证书申请消息发送已有的数字证书信息的同时，还发送利用已有数字证书的私钥对已有的数字证书信息的签名；

数字证书颁发者确定接收到数字证书申请者需要在申请的新数字证书中包含的证书信息，或确定接收到数字证书申请者已有的数字证书信息及签名，且验证签名无效时，确定数字证书申请者需申请新数字证书；数字证书颁发者确定接收到数字证书申请者已有的数字证书信息及签名，且验证签名有效时，确定数字证书申请者不需申请新数字证书。

即数字证书颁发者在证书本地颁发策略允许向这个数字证书申请者颁发证书时，为数字证书申请者颁发新数字证书有两种情况：

1 )数字证书申请者没有数字证书颁发者颁发的数字证书，从而实现数字证书申请； 2 )数字证书申请者有数字证书颁发者颁发的数字证书，但该数字证书为无效的数字证书，从而实现数字证书更新。

为了实现本申请实施例提供的方式，上述数字证书申请者和数字证书颁发者交互的消息具体包括的字段这里不作限定，只要能实现上述交互的目的即可，优选地，釆用本申请下面实施例提供的方式。

如图 2所示，本实施例中数字证书自动申请方法包括：

步骤 201 , 数字证书申请者向数字证书颁发者发送数字证书产生能力消息，所述数字证书产生能力消息包括：数字证书申请者身份标识字段、数字证书产生能力标识字段。

优选地，数字证书产生能力消息还包括数字证书申请者随机数。

数字证书申请者身份标识字段标识数字证书申请者的身份，数字证书产生能力标识字段用于标识数字证书申请者支持的数字证书产生方法，优选地，数字证书产生能力标识字段列出了数字证书申请者支持的所有数字证书产生的方法。

本实施例中数字证书产生能力标识字段标识数字证书产生方法的方式釆用但不限于表 1所示方式：

表 1 数字证书产生能力标识字段

其中，最低 1位 bitO取值为 1时表示支持单证书模式公私钥对本地生成能力数字证书产生方法，低 2位 bitl取值为 1时表示支持单证书模式 P12下发能力数字证书产生方法，低 3位 bit2取值为 1时表示支持多证书模式公私钥对本地生成能力数字证书产生方法，低 4位 bit3取值为 1时表示支持多证书模式 P12下发能力数字证书产生方法。当多种能力同时支持，则对应能力标识位同时取值为 1 , 例如取值为 0x03即 00000011表示同时支持上述单证书模式公私钥对本地生成能力和单证书模式 P12下发能力数字证书产生方法。数字证书申请者通过数字证书产生能力标识字段的取值表明支持的数字证书产生方法，供数字证书颁发者选择使用的数字证书产生方法。

步骤 202, 数字证书颁发者收到数字证书产生能力消息后构建数字证书产生类型消息发送给数字证书申请者，所述数字证书产生类型消息包括：数字证书颁发者身份标识字段、数字证书产生类型字段。

优选地，数字证书产生类型消息还包括数字证书颁发者随机数。

数字证书颁发者身份标识字段标识数字证书颁发者的身份，数字证书产生类型字段用于数字证书颁发者选择的数字证书产生方法。具体地，数字证书颁发者收到数字证书申请者发送的数字证书产生能力消息后，根据数字证书申请者和自己共同支持的数字证书产生方法，或者本地策略来确认本次数字证书颁发所使用的数字证书产生方法，并在数字证书产生类型字段中标识。

本实施例中数字证书产生类型字段标识选择的数字证书产生方法的方式釆用但不限于表 2所示的方式：

表 2 数字证书产生类型字段

最低 1位 bitO取值为 1时表示选择单证书模式公私钥对本地生成能力数字证书产生方法，低 2位 bitl取值为 1时表示选择单证书模式 P12下发能力数字证书产生方法，低 3位 bit2取值为 1时表示选择多证书模式公私钥对本地生成能力数字证书产生方法，低 4位 bit3 取值为 1时表示选择多证书模式 P12下发能力数字证书产生方法。数字证书颁发者通过数字证书产生类型字段的取值表明选择的数字证书产生方法即数字证书产生类型，以通知数字证书申请者选择使用相同的数字证书产生类型。

步骤 203 , 数字证书申请者收到数字证书产生类型消息后，向数字证书颁发者发送数字证书申请消息，所述数字证书申请消息具体包括新数字证书申请标识字段、数字证书申请者请求字段。

优选地，数字证书产生类型消息还携带数字证书申请消息完整性校验值 , 数字证书申请消息完整性校验值由数字证书申请者随机数和数字证书颁发者随机数产生的密钥对数字证书申请消息中除申请消息完整性校验值外其它内容加密计算得到。

具体地，数字证书申请者收到数字证书产生类型消息后，根据数字证书产生类型消息中的数字证书产生类型字段取值确认本次证书颁发所使用的数字证书产生方法，并判断是否需要申请新的数字证书，在新数字证书申请标识字段中标识，判断方式如下：

根据数字证书产生类型消息中的数字证书颁发者身份标识字段判断是否已经含有这个数字证书颁发者颁发的数字证书，如果数字证书申请者已经含有这个数字证书颁发者颁发的数字证书，则新数字证书申请标识字段标识不需要申请新的数字证书，如果数字证书申请者没有这个数字证书颁发者颁发的证书，则新数字证书申请标识字段标识需要申请新的数字证书。

新数字证书申请标识字段标识釆用但不限于表 3a所示形式。

表 3a新数字证书申请标识字段格式（布尔型）

数字证书申请者根据新数字证书申请标识字段中的标识，确定数字证书申请者请求字段的内容，确定方式如下：

如果新数字证书申请标识字段中标识需要申请新的数字证书，则数字证书申请者请求字段中具体携带数字证书申请者需要在新申请的数字证书中包含的证书信息；如果新数字证书申请标识字段中标识不需要申请新的数字证书，表示已经含有这个数字证书颁发者颁发的证书，则数字证书申请者请求字段具体携带数字证书申请者已有的数字证书信息和利用已有数字证书的私钥对已有的数字证书信息的签名，以使数字证书颁发者根据数字证书申请者已有的数字证书信息和签名来判断数字证书申请者已有的数字证书是否有效。优选地，如表 4所示，数字证书申请者请求字段包括证书信息字段和签名值字段；数字证书申请者确定没有所述数字证书颁发者所颁发的数字证书时，即需要向数字证书颁发者申请数字证书，证书信息字段具体携带数字证书申请者需要在申请的新数字证书中包含的证书信息，签名值字段无效；

数字证书申请者确定已有所述数字证书颁发者所颁发的数字证书时，即不需要向数字证书颁发者申请数字证书，证书信息字段具体携带数字证书申请者已有的数字证书信息，签名值字段携带利用已有数字证书的私钥对已有的数字证书信息的签名。

数字证书申请者构建数字证书申请消息发送给数字证书颁发者，所述数字证书申请消息包括：新数字证书申请标识（参见表 3a )和数字证书申请者请求字段（参见表 4 )。

表 4: 数字证书申请者请求字段格式

I证书信息 I签名值 I 步骤 204 , 当数字证书颁发者收到数字证书申请消息后，如果数字证书申请消息携带数字证书申请消息完整性校验值，首先判断数字证书申请消息完整性校验值是否正确，如果不正确则丢弃该消息，如果正确向数字证书申请者发送数字证书确认消息，如果数字证书申请消息未携带数字证书申请消息完整性校验值 , 向数字证书申请者发送数字证书确认消息，所述数字证书确认消息具体包括新数字证书颁发标识字段、数字证书申请者证书字段。

优选地，数字证书确认消息还包括数字证书确认消息完整性校验值，数字证书确认消息完整性校验值由数字证书申请者随机数和数字证书颁发者随机数产生的密钥对数字证书确认消息中除数字证书确认消息完整性校验值外内容加密计算得到。

数字证书颁发者在证书本地颁发策略允许向这个数字证书申请者颁发证书且确定数字证书申请者需申请新数字证书时，新数字证书颁发标识字段标识颁发新的数字证书，数字证书申请者证书字段具体携带新数字证书信息；

数字证书颁发者在证书本地颁发策略允许向这个数字证书申请者颁发证书且确定数字证书申请者不需申请新数字证书时，或数字证书颁发者在证书本地颁发策略不允许向这个数字证书申请者颁发证书时，新数字证书颁发标识字段标识未颁发新的数字证书，数字证书申请者证书字段标识为无效。

优选地，数字证书颁发者的证书本地颁发策略允许向这个数字证书申请者颁发证书时, 判断是否需要为数字证书申请者颁发新的数字证书方法如下：

根据数字证书申请消息中的新数字证书申请标识字段判断数字证书申请者是否已经含有这个数字证书颁发者颁发的证书，如果数字证书申请者没有这个数字证书颁发者颁发的证书，则新数字证书颁发标识字段设置为需要颁发新的数字证书，如果数字证书申请者已经含有这个数字证书颁发者颁发的证书，则数字证书颁发者根据数字证书申请者请求字段中数字证书申请者已有的数字证书信息和签名来判断数字证书申请者已有的数字证书是否有效；如果数字证书申请者请求字段中数字证书申请者已有的数字证书信息有效，表示数字证书申请者已有有效的数字证书，则新数字证书颁发标识字段设置为不需要颁发新的数字证书，如果数字证书申请者请求字段中数字证书申请者已有的数字证书信息无效，表示数字证书申请者没有有效的数字证书，则新数字证书颁发标识字段设置为需要颁发新的数字证书。

新数字证书颁发标识字段釆用但不限于表 3b所示的标识方式。

表 3b 新数字证书颁发标识字段格式（布尔型）

根据新数字证书颁发标识字段中标识确定数字证书申请者证书字段的内容，数字证书申请者证书字段确定方法如下：

如果新数字证书颁发标识字段中标识需要颁发新的数字证书，则数字证书申请者证书字段中包含新颁发的数字证书，数字证书申请者证书字段值有效，字段值为根据数字证书申请消息的数字证书申请者请求字段中包含的证书信息和选择的数字证书生成方法生成的数字证书申请者证书；如果新数字证书颁发标识字段中标识不需要申请新的数字证书，表示数字证书申请者已经含有这个数字证书颁发者颁发的有效的数字证书，则数字证书申请者证书字段值标识为无效。

数字证书申请者证书字段值有效时，数字证书申请者证书字段包括证书个数字段和数字证书字段，如表 5所示。

表 5 数字证书申请者证书字段格式

证书个数数字证书第一部分：证书个数，表示一共颁发的证书的个数，与选择的数字证书产生方法有关。第二部分：数字证书，表示颁发的数字证书的格式，与选择的数字证书产生方法有关。优选地，如表 6所示，数字证书字段具体包括标识证书类型、证书标识、长度和值字表 6数字证书字段格式

证书类型证书标识长度值子字段一：证书类型，如表 7所示，列举了颁发的新数字证书的证书类型。

表 7证书类型子字段格式

子字段二：证书标识，如表 8所示，列举了新数字证书的编码方式。

表 8 证书标识子字段格式

子字段三：长度，表示 "值" 子字段的长度，即新数字证书内容长度。

子字段四：值，表示完整的标识新数字证书的证书内容。

步骤 205 , 如果数字证书确认消息携带数字证书确认消息完整性校验值，数字证书申请者首先对发来的数字证书确认消息后判断数字证书确认消息完整性校验值是否正确，如果不正确则丢弃该消息，如果正确进行处理获得使用的数字证书，如果数字证书确认消息未携带数字证书确认消息完整性校验值 , 数字证书申请者根据数字证书确认消息确定使用的数字证书。

优选地，数字证书申请者根据新数字证书颁发标识字段判断数字证书申请者证书字段中是否含有数字证书颁发者颁发的新的数字证书，如果新数字证书颁发标识字段标识颁发新的数字证书，则数字证书申请者安装数字证书申请者证书字段中含有的新的数字证书，如果新数字证书颁发标识字段标识不需要颁发新的数字证书，则数字证书申请者继续使用已经含有这个数字证书颁发者颁发的数字证书。

需说明的是，表 1和 2中示出的值、标识位、含义的对应关系，表 3a和 3b中示出的消息、值、含义的对应关系，以及表 7和 8中示出的值、含义的对应关系仅是举例，在实际实施时可根据实际需要进行调整，例如，表 7中的值 "0x00" 可改为对应含义 "AP证书" 而值 "0x00" 可改为对应含义 "AS 证书"；表 4-6 中字段的顺序是可以根据实际需要进行调整的，例如，可将表 5中的 "证书个数" 及 "数字证书" 进行对调。应当指出的是，上述图 2对应的处理流程只是一种优选的实施方式。如上所述，本发明实施例对上述数字证书申请者和数字证书颁发者交互的消息具体包括的字段不作限定，只要能实现上述交互的目的即可。因此，当数字证书申请消息具体包括新数字证书申请标识字段和数字证书申请者请求字段时，其他三个消息的字段也可以是上述例举字段之外的其他字段；当数字证书确认消息具体包括新数字证书颁发标识字段和数字证书申请者证书字段，其他三个消息的字段也可以是上述例举字段之外的其他字段；数字证书产生能力消息包括数字证书申请者身份标识字段和数字证书产生能力标识字段时，其他三个消息的字段也可以是上述例举字段之外的其他字段；数字证书产生类型消息包括数字证书颁发者身份标识字段和数字证书产生类型字段时， , 其他三个消息的字段也可以是上述例举字段之外的其他字段。

实施例 2

本实施例提供一种优选的消息交互方式，如图 3所示，数字证书自动申请方法，具体包括如下步骤：

步骤 301 , 数字证书申请者首先向数字证书颁发者发送数字证书申请消息；所述数字证书申请消息包括所述数字证书申请者支持的数字证书产生方法，如果数字证书申请者确定已经含有所述数字证书颁发者颁发的数字证书，所述数字证书申请消息中还携带数字证书申请者已有的数字证书信息；如果数字证书申请者确定没有所述数字证书颁发者所颁发的数字证书时，所述数字证书申请消息中还携带需要在申请的新数字证书中包含的证书信息；

步骤 302, 数字证书颁发者向数字证书申请者发送数字证书确认消息；

所述数字证书确认消息包括数字证书颁发者从数字证书申请者支持的数字证书产生方法中选择的数字证书产生方法，数字证书颁发者确定数字证书申请者需申请新数字证书时，所述数字证书确认消息还包含数字证书颁发者根据选择的数字证书产生方法和数字证书申请消息包含的证书信息产生的新数字证书信息，数字证书颁发者确定数字证书申请者不需申请新数字证书时，所述数字证书确认消息还携带无效的数字证书信息；

步骤 303 , 数字证书申请者接收数字证书颁发者发送的数字证书确认消息，根据数字证书确认消息确定使用的数字证书。

本实施例通过两个消息进行交互，实现数字证书的自动申请、更新和颁发。

本实施例与实施例 1相比，具体是将实施例 1的步骤 201与步骤 203合并进行进行步骤 301 , 数字证书申请者仅向数字证书颁发者发送一次消息，将实施例 1的步骤 202与步骤 204合并进行步骤 302, 数字证书颁发者仅向数字证书申请者发送一次消息。

将实施例 1的步骤 201与步骤 203合并进行步骤 301时，如图 4所示，本实施例的步骤 301中，数字证书申请者向数字证书颁发者发送数字证书申请消息，所述数字证书申请消息具体包括数字证书申请者身份标识字段、数字证书产生能力标识字段、新数字证书申请标识字段、数字证书申请者请求字段，还可以包括数字证书申请者随机数。不包括数字证书申请消息完整性校验值。上述各字段的具体内容详见实施例 1的描述，这里不再详述。

将实施例 1中的步骤 202并入步骤 204进行步骤 302时，如图 4所示，本实施例的步骤 302中，当数字证书颁发者收到数字证书申请消息后，数字证书颁发者向数字证书申请者发送数字证书确认消息，所述数字证书确认消息具体包括数字证书颁发者身份标识字段、数字证书产生类型字段、新数字证书颁发标识字段和数字证书申请者证书字段，还可以包括数字证书颁发者随机数和数字证书确认消息完整性校验值。上述各字段的具体内容详见实施例 1的描述，这里不再详述。所述数字证书确认消息完整性校验值由数字证书申请者随机数和数字证书颁发者随机数产生的密钥对数字证书确认消息中除数字证书确认消息完整性校验值外内容加密计算得到；数字证书申请者接收到数字证书确认消息后，确定数字证书确认消息完整性校验值正确时，再根据数字证书确认消息确定使用的数字证书。

实施例 2中还存在其他与实施例 1侧相同或相似的技术特征，例举如下。应当指出的是，每个技术特征的详细描述可以参见实施例 1 , 这里不再赘述。

数字证书申请者确定已有所述数字证书颁发者所颁发的数字证书时，在发送已有的数字证书信息的同时，还发送利用已有数字证书的私钥对已有的数字证书信息的签名；

数字证书颁发者确定接收到数字证书申请者需要在申请的新数字证书中包含的证书信息，或确定接收到数字证书申请者已有的数字证书信息及签名，且验证签名无效时，确定数字证书申请者需申请新数字证书；

数字证书颁发者确定接收到数字证书申请者已有的数字证书信息及签名，且验证签名有效时，确定数字证书申请者不需申请新数字证书。

基于同一发明构思，本申请实施例中还提供了一种数字证书自动申请装置、数字证书颁发装置和数字证书自动申请系统，由于该装置和系统解决问题的原理与一种数字证书自动申请方法相似，因此这些系统的实施可以参见方法的实施，重复之处不再赘述。

本申请实施例的数字证书申请装置，包括：

第二通知单元，用于确定数字证书申请装置已经含有所述数字证书颁发者颁发的数字证书，将数字证书申请者已有的数字证书信息通知数字证书颁发者，如果确定数字证书申请装置没有所述数字证书颁发者所颁发的数字证书，将需要在申请的新数字证书中包含的证书信息通知数字证书颁发者；证书确定单元，用于根据数字证书颁发者的通知确定使用的数字证书。

本申请实施例提供的数字证书颁发装置，包括：

本申请实施例提供的一种数字证书自动申请系统，包括：

优选地，数字证书申请者为端站 STA、接入点 AP或者其他设备，数字证书颁发者为证书授证中心 CA。

本申请提供了一种网络环境中基于数字证书安全机制的实现数字证书自动申请、更新和颁发的数字证书申请方法和系统，利用同一组信息交换实现：

1 )数字证书申请者自动申请不同类型的无线局域网数字证书；

2 )数字证书申请者自动更新不同类型的无线局域网数字证书；

3 )数字证书颁发者自动判断数字证书申请者的证书状态，为数字证书申请者颁发有效的数字证书。

本申请所述数字证书申请者可以是所述数字证书申请装置，也可以是包含了所述数字证书申请装置的任一实体如网络接入点、终端设备等；所述数字证书颁发者可以是所述数字证书颁发装置，也可以是包含了所述数字证书颁发装置的任一实体，如数字证书服务器等。

本领域内的技术人员应明白，本申请的实施例可提供为方法、系统、或计算机程序产品。因此，本申请可釆用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本申请可釆用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介盾（包括但不限于磁盘存储器、 CD-ROM、光学存储器等）上实施的计算机程序产品的形式。

本申请是参照根据本申请实施例的方法、设备 (系统）、和计算机程序产品的流程图和 /或方框图来描述的。应理解可由计算机程序指令实现流程图和 /或方框图中的每一流程和 /或方框、以及流程图和 /或方框图中的流程和 /或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和 /或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和 /或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和 /或方框图一个方框或多个方框中指定的功能的步骤。

尽管已描述了本申请的优选实施例，但本领域内的技术人员一旦得知了基本创造性概念，则可对这些实施例作出另外的变更和修改。所以，所附权利要求意欲解释为包括优选实施例以及落入本申请范围的所有变更和修改。

显然，本领域的技术人员可以对本申请实施例进行各种改动和变型而不脱离本申请实施例的精神和范围。这样，倘若本申请实施例的这些修改和变型属于本申请权利要求及其等同技术的范围之内，则本申请也意图包含这些改动和变型在内。

Claims

权利要求

1、一种数字证书自动申请方法，其特征在于，包括：

2、如权利要求 1所述的方法，其特征在于，

数字证书申请者首先向数字证书颁发者发送数字证书申请消息，所述数字证书申请消息包括所述数字证书申请者支持的数字证书产生方法，如果数字证书申请者确定已经含有所述数字证书颁发者颁发的数字证书，所述数字证书申请消息中还携带数字证书申请者已有的数字证书信息；如果数字证书申请者确定没有所述数字证书颁发者所颁发的数字证书时，所述数字证书申请消息中还携带需要在申请的新数字证书中包含的证书信息；

数字证书颁发者向数字证书申请者发送数字证书确认消息，所述数字证书确认消息包括数字证书颁发者从数字证书申请者支持的数字证书产生方法中选择的数字证书产生方法，数字证书颁发者确定数字证书申请者需申请新数字证书时，所述数字证书确认消息还包含数字证书颁发者根据选择的数字证书产生方法和数字证书申请消息包含的证书信息产生的新数字证书信息，数字证书颁发者确定数字证书申请者不需申请新数字证书时，所述数字证书确认消息还携带无效的数字证书信息；

数字证书申请者接收数字证书颁发者发送的数字证书确认消息，根据数字证书确认消息确定使用的数字证书。

3、如权利要求 1所述的方法，其特征在于，

数字证书申请者首先向数字证书颁发者发送数字证书产生能力消息，所述数字证书产生能力消息包括所述数字证书申请者支持的数字证书产生方法；

数字证书颁发者从数字证书申请者支持的数字证书产生方法中选择数字证书产生方法，并通过数字证书产生类型消息通知数字证书申请者；

数字证书申请者向数字证书颁发者发送数字证书申请消息，其中，如果数字证书申请者确定已经含有所述数字证书颁发者颁发的数字证书，所述数字证书申请消息中携带数字证书申请者已有的数字证书信息，如果数字证书申请者确定没有所述数字证书颁发者所颁发的数字证书时，所述数字证书申请消息中携带需要在申请的新数字证书中包含的证书信息；

数字证书颁发者向数字证书申请者发送数字证书确认消息，其中，数字证书颁发者确定数字证书申请者需申请新数字证书时，所述数字证书确认消息包含数字证书颁发者根据选择的数字证书产生方法和数字证书申请消息包含的证书信息产生的新数字证书信息，数字证书颁发者确定数字证书申请者不需申请新数字证书时，所述数字证书确认消息携带无效的数字证书信息；

4、如权利要求 2或 3所述的方法，其特征在于，

数字证书申请者确定已有所述数字证书颁发者所颁发的数字证书时，在发送已有的数字证书信息的同时，还发送利用已有数字证书的私钥对已有的数字证书信息的签名；数字证书颁发者确定接收到数字证书申请者需要在申请的新数字证书中包含的证书信息，或确定接收到数字证书申请者已有的数字证书信息及签名，且验证签名无效时，确定数字证书申请者需申请新数字证书；

5、如权利要求 4 所述的方法，其特征在于，所述数字证书申请消息具体包括新数字证书申请标识字段和数字证书申请者请求字段；

数字证书申请者确定没有所述数字证书颁发者所颁发的数字证书时，新数字证书申请标识字段标识需要新数字证书，数字证书申请者请求字段具体携带数字证书申请者需要在申请的新数字证书中包含的证书信息；

数字证书申请者确定已有所述数字证书颁发者所颁发的数字证书时，新数字证书申请标识字段标识不需要新数字证书，数字证书申请者请求字段具体携带数字证书申请者已有的数字证书信息和利用已有数字证书的私钥对已有的数字证书信息的签名。

6、如权利要求 5 所述的方法，其特征在于，数字证书申请者请求字段包括证书信息字段和签名值字段；

数字证书申请者确定没有所述数字证书颁发者所颁发的数字证书时，证书信息字段具体携带数字证书申请者需要在申请的新数字证书中包含的证书信息，签名值字段无效；数字证书申请者确定已有所述数字证书颁发者所颁发的数字证书时，证书信息字段具体携带数字证书申请者已有的数字证书信息，签名值字段携带利用已有数字证书的私钥对已有的数字证书信息的签名。

7、如权利要求 2或 3所述的方法，其特征在于，所述数字证书确认消息具体包括新数字证书颁发标识字段和数字证书申请者证书字段；

数字证书颁发者确定数字证书申请者需申请新数字证书时，新数字证书颁发标识字段标识颁发新的数字证书，数字证书申请者证书字段具体携带新数字证书信息；

数字证书颁发者确定数字证书申请者不需申请新数字证书时，新数字证书颁发标识字段标识未颁发新的数字证书，数字证书申请者证书字段标识为无效。

8、如权利要求 7 所述的方法，其特征在于，数字证书申请者证书字段包括证书个数字段和数字证书字段，所述数字证书字段具体包括标识新数字证书类型的证书类型字段、用于标识新数字证书编码方式的证书标识字段、标识新数字证书内容长度的长度字段和表示新数字证书内容的值字段。

9、如权利要求 2或 3所述的方法，其特征在于，用于通知数字证书申请者支持的数字证书产生方法的数字证书产生能力消息或数字证书申请消息，具体包括数字证书申请者身份标识字段和数字证书产生能力标识字段，所述数字证书产生能力标识字段用于标识数字证书申请者支持的数字证书产生方法。

10、如权利要求 2或 3所述的方法，其特征在于，用于通知数字证书颁发者选择的数字证书产生方法的数字证书产生类型消息或数字证书确认消息，具体包括数字证书颁发者身份标识字段和数字证书产生类型字段；

数字证书产生类型字段用于数字证书颁发者选择的数字证书产生方法；

数字证书申请者具体根据数字证书颁发者身份标识字段，确定是否已有所述数字证书颁发者所颁发的数字证书。

11、如权利要求 3所述的方法，其特征在于，

数字证书申请者将自身支持的数字证书产生方法通知数字证书颁发者的同时，还将数字证书申请者产生的数字证书申请者随机数发送给数字证书颁发者；

数字证书颁发者将选择的数字证书产生方法通知数字证书申请者的同时，还将数字证书颁发者产生的数字证书颁发者随机数发送给数字证书申请者；

数字证书申请者向数字证书颁发者发送的数字证书申请消息，还携带数字证书申请消息完整性校验值，所述数字证书申请消息完整性校验值由数字证书申请者随机数和数字证书颁发者随机数产生的密钥对数字证书申请消息中除申请消息完整性校验值外其它内容加密计算得到；

数字证书颁发者接收到数字证书申请消息，确定数字证书申请消息完整性校验值正确时，再向数字证书申请者发送数字证书确认消息，所述数字证书确认消息还包括数字证书确认消息完整性校验值，所述数字证书确认消息完整性校验值由数字证书申请者随机数和数字证书颁发者随机数产生的密钥对数字证书确认消息中除数字证书确认消息完整性校 -验值外内容加密计算得到；

数字证书申请接收到数字证书确认消息后，确定数字证书确认消息完整性校验值正确时，再根据数字证书确认消息确定使用的数字证书。

12、如权利要求 2所述的方法，其特征在于，

数字证书申请者向数字证书颁发者发送的数字证书申请消息还包括数字证书申请者产生的数字证书申请者随机数；

数字证书颁发者接收到数字证书申请消息后，再向数字证书申请者发送数字证书确认消息，所述数字证书确认消息还包括数字证书颁发者产生的数字证书颁发者随机数以及数字证书确认消息完整性校验值，所述数字证书确认消息完整性校验值由数字证书申请者随机数和数字证书颁发者随机数产生的密钥对数字证书确认消息中除数字证书确认消息完整性校验值外内容加密计算得到；

数字证书申请者接收到数字证书确认消息后，确定数字证书确认消息完整性校验值正确时，再根据数字证书确认消息确定使用的数字证书。

13、一种数字证书申请装置，其特征在于，包括：

14、一种数字证书颁发装置，其特征在于，包括：

15、一种数字证书自动申请系统，其特征在于，包括：数字证书申请者，用于将自身支持的数字证书产生方法通知数字证书颁发者，如果确定已经含有所述数字证书颁发者颁发的数字证书，还将数字证书申请者已有的数字证书信息通知数字证书颁发者，如果确定没有所述数字证书颁发者所颁发的数字证书，还将需要在申请的新数字证书中包含的证书信息通知数字证书颁发者，并根据数字证书颁发者的通知确定使用的数字证书；