專利名稱:一種無(wú)線局域網(wǎng)移動(dòng)終端申請(qǐng)證書的方法
技術(shù)領(lǐng)域:
本發(fā)明涉及無(wú)線網(wǎng)絡(luò)技術(shù),特別是涉及一種無(wú)線局域網(wǎng)移動(dòng)終端申請(qǐng)證書的方法。
背景技術(shù):
無(wú)線局域網(wǎng)(Wireless Local Area Network,WLAN)以其靈活便捷的優(yōu)勢(shì)引起網(wǎng)絡(luò)設(shè)備制造商、網(wǎng)絡(luò)運(yùn)營(yíng)商和用戶的普遍關(guān)注,但是,由于WLAN的安全性較差,也引發(fā)了不少問(wèn)題。依據(jù)統(tǒng)計(jì)調(diào)查的結(jié)果,安全性較低已經(jīng)成為WLAN廣泛應(yīng)用的最大障礙。
目前無(wú)線局域網(wǎng)絡(luò)產(chǎn)品主要采用的安全措施是依據(jù)IEEE 802.11國(guó)際標(biāo)準(zhǔn),使用基于RC-4的WEP保密機(jī)制對(duì)數(shù)據(jù)進(jìn)行加密傳輸。但是該機(jī)制已經(jīng)被證實(shí)存在安全漏洞。2001年8月以色列的研究人員和思科公司進(jìn)行了WEP安全測(cè)試,他們根據(jù)竊聽到的一部分?jǐn)?shù)據(jù),不到一個(gè)小時(shí)就破譯出WEP密鑰。AT&T的研究團(tuán)體也成功地破譯出WEP密鑰。
所以,如何保證無(wú)線通信的保密性是亟待解決的問(wèn)題。
我國(guó)寬帶無(wú)線IP標(biāo)準(zhǔn)工作組制定了WLAN國(guó)家標(biāo)準(zhǔn)GB/T 15629.11,提出了一種新的安全機(jī)制無(wú)線局域網(wǎng)鑒別與保密基礎(chǔ)結(jié)構(gòu)(WLANAuthentication and Privacy Infrastructure,WAPI)。WAPI機(jī)制提供了一種基于公鑰證書機(jī)制的無(wú)線局域網(wǎng)移動(dòng)終端安全接入方法。WAPI安全方案中有無(wú)線接入用戶終端(Station,STA)、訪問(wèn)接入點(diǎn)(Access Point,AP)和鑒別服務(wù)單元(Authentication Service Unit,ASU)三種設(shè)備類型,分別作為鑒別請(qǐng)求者實(shí)體(Authentication Supplicant Entity,ASUE)、鑒別器實(shí)體(Authentication Entity,AE)和鑒別服務(wù)實(shí)體(Authentication Service Entity,ASE)的載體,其網(wǎng)絡(luò)結(jié)構(gòu)如圖1所示,從圖1可以看出,一個(gè)ASU連接若干AP,而一個(gè)AP連接若干STA。
ASU對(duì)其管理范圍內(nèi)的AP和STA進(jìn)行管理并提供證書服務(wù)。ASU給每一個(gè)合法的AP和STA頒發(fā)一個(gè)公鑰證書(以下簡(jiǎn)稱證書),作為網(wǎng)絡(luò)設(shè)備在該WLAN內(nèi)的數(shù)字身份憑證。證書的結(jié)構(gòu)如表1所示表1證書的結(jié)構(gòu)
每個(gè)證書還應(yīng)對(duì)應(yīng)一個(gè)私鑰,也是由證書頒發(fā)者指定。和公鑰不同,私鑰僅并由證書持有者自己持有,并不在證書中公開。
證書的作用在于建立實(shí)體名稱和公鑰之間的關(guān)聯(lián),進(jìn)行身份鑒別時(shí),驗(yàn)證方可以通過(guò)驗(yàn)證證書持有者對(duì)某一信息的簽名來(lái)判斷其是否掌握了證書對(duì)應(yīng)的私鑰,從而確定其是否為證書的真實(shí)持有者。STA與AP之間在ASU的協(xié)助下根據(jù)公鑰證書實(shí)現(xiàn)身份的相互鑒別和通信密鑰的協(xié)商。
利用證書實(shí)現(xiàn)接入控制的鑒別系統(tǒng)結(jié)構(gòu)如圖2所示。從圖2中可以看出,STA包含ASUE,AP包含AE,ASU包含ASE。AP中有兩個(gè)端口接收來(lái)自STA的連接請(qǐng)求,這兩個(gè)端口分別是受控端口和非受控端口,STA從未受控端口向AP發(fā)出連接請(qǐng)求,在ASU的協(xié)助下雙方進(jìn)行雙向身份認(rèn)證(即證書鑒別),若認(rèn)證成功,AP開放受控端口允許STA接入,否則AP拒絕STA接入或STA放棄接入AP。
STA接入流程如圖3所示STA向AP發(fā)出鑒別請(qǐng)求,即將STA證書發(fā)送給AP;AP再將STA證書和自身證書一起發(fā)送給ASU,并對(duì)數(shù)據(jù)進(jìn)行簽名;ASU驗(yàn)證AP的簽名、AP證書和STA的證書的真實(shí)性和有效性,對(duì)鑒別結(jié)果進(jìn)行簽名并發(fā)送到AP。STA和AP依據(jù)ASU的鑒別結(jié)果決定是否進(jìn)行連接。STA與AP證書鑒別成功后進(jìn)行密鑰協(xié)商,密鑰協(xié)商成功后,STA與AP將自己與對(duì)方分別產(chǎn)生的隨機(jī)數(shù)據(jù)進(jìn)行相應(yīng)的運(yùn)算得到會(huì)話密鑰,用協(xié)商好的會(huì)話算法加、解密通信數(shù)據(jù)。
由此可見,證書在WAPI體系中發(fā)揮著十分關(guān)鍵的作用,因此STA如何申請(qǐng)、獲得ASU頒發(fā)的證書也是非常重要的一個(gè)環(huán)節(jié)。
WAPI標(biāo)準(zhǔn)中給出的申請(qǐng)證書的方法是申請(qǐng)者先到ASU所在地點(diǎn)登記,ASU的工作人員對(duì)證書的申請(qǐng)者的身份進(jìn)行確認(rèn)之后,先生成證書的公鑰和對(duì)應(yīng)的私鑰,然后按照申請(qǐng)者所需的安全等級(jí)生成證書,然后通過(guò)網(wǎng)絡(luò)將證書和對(duì)應(yīng)的私鑰發(fā)送給申請(qǐng)者。
該申請(qǐng)證書的方法的缺陷是首先,證書申請(qǐng)者必須到ASU所在地點(diǎn)申請(qǐng)證書,由ASU的操作員來(lái)確認(rèn)申請(qǐng)人的身份,決定是否允許接入并確定其安全登記。這種證書申請(qǐng)方法雖然可以對(duì)無(wú)線網(wǎng)絡(luò)的使用者進(jìn)行較嚴(yán)格的控制,但是操作十分繁瑣,靈活性較差。對(duì)于網(wǎng)絡(luò)管理者不限制網(wǎng)絡(luò)使用者的身份,卻需要保障AP和STA之間的無(wú)線通信的安全性的無(wú)線局域網(wǎng)網(wǎng)絡(luò)環(huán)境,如咖啡館、機(jī)場(chǎng)的無(wú)線局域網(wǎng),該方法則更不適合。
其次,ASU生成證書的公鑰和對(duì)應(yīng)的私鑰,并且必須將證書和對(duì)應(yīng)的私鑰通過(guò)網(wǎng)絡(luò)發(fā)送給申請(qǐng)者,這個(gè)過(guò)程很可能會(huì)造成用戶私鑰泄漏的隱患。
發(fā)明內(nèi)容
本發(fā)明的主要目的在于提供一種無(wú)線局域網(wǎng)移動(dòng)終端申請(qǐng)證書的方法,使證書申請(qǐng)更加簡(jiǎn)單易行,并能提高證書申請(qǐng)的安全性。
本發(fā)明的目的是通過(guò)如下技術(shù)方案實(shí)現(xiàn)的
一種無(wú)線局域網(wǎng)移動(dòng)終端申請(qǐng)證書的方法,該方法包括以下步驟A、無(wú)線接入用戶終端生成證書的公鑰和對(duì)應(yīng)的私鑰;B、無(wú)線接入用戶終端經(jīng)由訪問(wèn)接入點(diǎn)的未受控端口發(fā)送證書申請(qǐng)信息至鑒別服務(wù)單元;C、鑒別服務(wù)單元根據(jù)所述證書申請(qǐng)信息生成證書,并經(jīng)由訪問(wèn)接入點(diǎn)的未受控端口發(fā)送證書至無(wú)線接入用戶終端。
步驟B包括B1、無(wú)線接入用戶終端發(fā)送證書申請(qǐng)信息至訪問(wèn)接入點(diǎn)的未受控端口;B2、訪問(wèn)接入點(diǎn)從未受控端口接收證書申請(qǐng)信息,并將該證書申請(qǐng)信息轉(zhuǎn)發(fā)至鑒別服務(wù)單元。
步驟B和步驟C之間進(jìn)一步包括鑒別服務(wù)單元根據(jù)證書申請(qǐng)信息判斷是否批準(zhǔn)該證書申請(qǐng),如果是,則執(zhí)行步驟C;否則,鑒別服務(wù)單元經(jīng)由訪問(wèn)接入點(diǎn)的未受控端口將證書申請(qǐng)失敗消息發(fā)送至無(wú)線接入用戶終端。
所述鑒別服務(wù)單元根據(jù)證書申請(qǐng)信息判斷是否批準(zhǔn)該證書申請(qǐng)的方法是判斷證書申請(qǐng)信息的內(nèi)容是否完整,并判斷證書申請(qǐng)信息是否符合鑒別服務(wù)單元對(duì)證書申請(qǐng)信息的要求。
所述證書申請(qǐng)信息至少包括證書的持有者名稱和步驟A生成的證書的公鑰。
所述證書申請(qǐng)信息進(jìn)一步包括證書的有效期和/或簽名算法標(biāo)識(shí)。
步驟C包括C1、鑒別服務(wù)單元發(fā)送證書至訪問(wèn)接入點(diǎn)的未受控端口;C2、訪問(wèn)接入點(diǎn)從未受控端口接收證書,并將該證書轉(zhuǎn)發(fā)至無(wú)線接入用戶終端。
所述鑒別服務(wù)單元經(jīng)由訪問(wèn)接入點(diǎn)的未受控端口將證書申請(qǐng)失敗消息發(fā)送至無(wú)線接入用戶終端的方法是鑒別服務(wù)單元發(fā)送證書申請(qǐng)失敗消息至訪問(wèn)接入點(diǎn)的未受控端口;
訪問(wèn)接入點(diǎn)從未受控端口接收證書申請(qǐng)失敗消息,并將該證書申請(qǐng)失敗消息轉(zhuǎn)發(fā)至無(wú)線接入用戶終端。
所述證書申請(qǐng)失敗消息至少包括鑒別服務(wù)單元拒絕無(wú)線接入用戶終端的證書申請(qǐng)的原因。
通過(guò)以上的技術(shù)方案可以看出,本發(fā)明的無(wú)線局域網(wǎng)移動(dòng)終端申請(qǐng)證書的方法是由提出證書申請(qǐng)的STA生成證書的公鑰和對(duì)應(yīng)的私鑰,并通過(guò)AP的未受控端口向ASU發(fā)送證書申請(qǐng)消息,ASU按照證書申請(qǐng)消息生成證書之后,通過(guò)AP的未受控端口將證書發(fā)送給STA。而現(xiàn)有技術(shù)的方法是用戶到ASU所在地點(diǎn)申請(qǐng),由ASU的操作員確認(rèn)申請(qǐng)人的身份并確定其安全等級(jí)之后再頒發(fā)證書。所以,本發(fā)明的方法應(yīng)用比較簡(jiǎn)便靈活,適用面廣,尤其適用于諸如咖啡館、機(jī)場(chǎng)之類不限制使用者身份,卻需要保證無(wú)線通信安全得無(wú)線局域網(wǎng)環(huán)境。
本發(fā)明的方法由STA生成證書的公鑰和對(duì)應(yīng)的私鑰,而現(xiàn)有技術(shù)的方法由ASU生成證書的公鑰和對(duì)應(yīng)的私鑰,然后ASU通過(guò)網(wǎng)絡(luò)將證書和對(duì)應(yīng)私鑰發(fā)送給申請(qǐng)者。所以,本發(fā)明的方法可以消除通過(guò)網(wǎng)絡(luò)發(fā)送私鑰而造成私鑰泄漏的隱患,使證書申請(qǐng)更加安全可靠。
圖1是無(wú)線局域網(wǎng)網(wǎng)絡(luò)結(jié)構(gòu)示意圖。
圖2是利用證書實(shí)現(xiàn)接入控制的鑒別系統(tǒng)的結(jié)構(gòu)示意圖。
圖3是WAPI的證書鑒別方法的流程圖。
圖4是根據(jù)本發(fā)明的移動(dòng)終端申請(qǐng)證書的方法流程圖。
具體實(shí)施例方式
為了使本發(fā)明的目的、技術(shù)方案和優(yōu)點(diǎn)更清楚,下面結(jié)合附圖和具體實(shí)施方式
對(duì)本發(fā)明作進(jìn)一步描述。
在本發(fā)明的方法中,STA生成證書的公鑰和對(duì)應(yīng)的私鑰之后,通過(guò)AP的未受控端口提交證書申請(qǐng),AP將證書申請(qǐng)轉(zhuǎn)發(fā)至ASU,ASU生成證書之后,將證書發(fā)送到AP,AP從未受控端口將證書轉(zhuǎn)發(fā)至STA。圖4是根據(jù)本發(fā)明的移動(dòng)終端申請(qǐng)證書的方法流程圖,從圖4可以看出,本發(fā)明包括如下步驟步驟401STA生成證書的公鑰和對(duì)應(yīng)的私鑰。
步驟402STA向AP的未受控端口發(fā)送證書申請(qǐng)消息,該證書申請(qǐng)消息中包括證書的持有者名稱、證書的有效期、簽名算法標(biāo)識(shí)和STA生成的證書的公鑰等參數(shù)。
證書的持有者名稱和證書的公鑰是證書申請(qǐng)消息中必須包含的參數(shù),證書的有效期和簽名算法標(biāo)識(shí)等參數(shù)是證書申請(qǐng)消息中可選的參數(shù)。
步驟403AP從未受控端口接收到STA發(fā)來(lái)的證書申請(qǐng)消息之后,將該證書申請(qǐng)消息轉(zhuǎn)發(fā)至ASU。
步驟404ASU接收到AP轉(zhuǎn)發(fā)來(lái)的證書申請(qǐng)消息之后,判斷該證書申請(qǐng)消息中的各參數(shù)是否完整且有效,如果參數(shù)不完整或無(wú)效,則轉(zhuǎn)到步驟405;否則,轉(zhuǎn)到步驟407。
參數(shù)完整是指所有參數(shù)都有內(nèi)容,沒(méi)有參數(shù)的內(nèi)容為空。
參數(shù)有效是指該參數(shù)是否符合ASU對(duì)證書中各參數(shù)的規(guī)定,例如,證書的持有者名稱有效是指該名稱沒(méi)有被其它證書占用并且符合對(duì)名稱的要求(如不少于5個(gè)字節(jié),不能包括不可顯示字符等);簽名算法標(biāo)識(shí)有效是指該簽名算法是ASU支持的簽名算法。
步驟405ASU發(fā)送證書申請(qǐng)失敗消息至AP,該證書申請(qǐng)失敗消息包括ASU拒絕該證書申請(qǐng)的原因值,例如,未輸入證書的公鑰,或者證書的持有者名稱已被其它證書占用。
步驟406AP通過(guò)未受控端口將該證書申請(qǐng)失敗消息轉(zhuǎn)發(fā)至STA,然后結(jié)束。
步驟407ASU根據(jù)證書申請(qǐng)消息中的證書的持有者名稱、證書的有效期、簽名算法標(biāo)識(shí)和證書的公鑰等參數(shù)生成用戶證書。
ASU生成的證書的結(jié)構(gòu)如表1所示。除了證書的持有者名稱和證書的公鑰必須由證書申請(qǐng)消息中的參數(shù)確定以外,證書中其余內(nèi)容可以由ASU指定。由于STA負(fù)責(zé)生成證書的公鑰和對(duì)應(yīng)的私鑰,所以ASU不生成證書的公鑰和對(duì)應(yīng)的私鑰。
步驟408ASU將生成的用戶證書發(fā)送至AP。
由于ASU不生成證書的公鑰和對(duì)應(yīng)的私鑰,所以,ASU發(fā)送的證書中不包含該證書對(duì)應(yīng)的私鑰,從而消除了網(wǎng)絡(luò)傳輸過(guò)程中私鑰泄漏的隱患。
步驟409AP通過(guò)未受控端口將用戶證書轉(zhuǎn)發(fā)至STA。
STA獲得證書后,可以采用WLAN國(guó)家標(biāo)準(zhǔn)GB/T 15629.11規(guī)定的方案進(jìn)行會(huì)話密鑰協(xié)商,并用生成的會(huì)話密鑰對(duì)STA與AP間的通信進(jìn)行保密。
在具體的實(shí)施過(guò)程中可對(duì)根據(jù)本發(fā)明的方法進(jìn)行適當(dāng)?shù)母倪M(jìn),以適應(yīng)具體情況的具體需要。因此可以理解,根據(jù)本發(fā)明的具體實(shí)施方式
只是起示范作用,并不用以限制本發(fā)明的保護(hù)范圍。
權(quán)利要求
1.一種無(wú)線局域網(wǎng)移動(dòng)終端申請(qǐng)證書的方法,其特征在于,該方法包括以下步驟A、無(wú)線接入用戶終端生成證書的公鑰和對(duì)應(yīng)的私鑰;B、無(wú)線接入用戶終端經(jīng)由訪問(wèn)接入點(diǎn)的未受控端口發(fā)送證書申請(qǐng)信息至鑒別服務(wù)單元;C、鑒別服務(wù)單元根據(jù)所述證書申請(qǐng)信息生成證書,并經(jīng)由訪問(wèn)接入點(diǎn)的未受控端口發(fā)送證書至無(wú)線接入用戶終端。
2.根據(jù)權(quán)利要求1所述的無(wú)線局域網(wǎng)移動(dòng)終端申請(qǐng)證書的方法,其特征在于,步驟B包括B1、無(wú)線接入用戶終端發(fā)送證書申請(qǐng)信息至訪問(wèn)接入點(diǎn)的未受控端口;B2、訪問(wèn)接入點(diǎn)從未受控端口接收證書申請(qǐng)信息,并將該證書申請(qǐng)信息轉(zhuǎn)發(fā)至鑒別服務(wù)單元。
3.根據(jù)權(quán)利要求1所述的無(wú)線局域網(wǎng)移動(dòng)終端申請(qǐng)證書的方法,其特征在于,步驟B和步驟C之間進(jìn)一步包括鑒別服務(wù)單元根據(jù)證書申請(qǐng)信息判斷是否批準(zhǔn)該證書申請(qǐng),如果是,則執(zhí)行步驟C;否則,鑒別服務(wù)單元經(jīng)由訪問(wèn)接入點(diǎn)的未受控端口將證書申請(qǐng)失敗消息發(fā)送至無(wú)線接入用戶終端。
4.根據(jù)權(quán)利要求3所述的無(wú)線局域網(wǎng)移動(dòng)終端申請(qǐng)證書的方法,其特征在于,所述鑒別服務(wù)單元根據(jù)證書申請(qǐng)信息判斷是否批準(zhǔn)該證書申請(qǐng)的方法是判斷證書中請(qǐng)信息的內(nèi)容是否完整,并判斷證書申請(qǐng)信息是否符合鑒別服務(wù)單元對(duì)證書申請(qǐng)信息的要求。
5.根據(jù)權(quán)利要求1至4中任一權(quán)利要求所述的無(wú)線局域網(wǎng)移動(dòng)終端申請(qǐng)證書的方法,其特征在于,所述證書申請(qǐng)信息至少包括證書的持有者名稱和步驟A生成的證書的公鑰。
6.根據(jù)權(quán)利要求5所述的無(wú)線局域網(wǎng)移動(dòng)終端中請(qǐng)證書的方法,其特征在于,所述證書申請(qǐng)信息進(jìn)一步包括證書的有效期和/或簽名算法標(biāo)識(shí)。
7.根據(jù)權(quán)利要求1或3所述的無(wú)線局域網(wǎng)移動(dòng)終端申請(qǐng)證書的方法,其特征在于,步驟C包括C1、鑒別服務(wù)單元發(fā)送證書至訪問(wèn)接入點(diǎn)的未受控端口;C2、訪問(wèn)接入點(diǎn)從未受控端口接收證書,并將該證書轉(zhuǎn)發(fā)至無(wú)線接入用戶終端。
8.根據(jù)權(quán)利要求3所述的無(wú)線局域網(wǎng)移動(dòng)終端申請(qǐng)證書的方法,其特征在于,所述鑒別服務(wù)單元經(jīng)由訪問(wèn)接入點(diǎn)的未受控端口將證書申請(qǐng)失敗消息發(fā)送至無(wú)線接入用戶終端的方法是鑒別服務(wù)單元發(fā)送證書申請(qǐng)失敗消息至訪問(wèn)接入點(diǎn)的未受控端口;訪問(wèn)接入點(diǎn)從未受控端口接收證書申請(qǐng)失敗消息,并將該證書申請(qǐng)失敗消息轉(zhuǎn)發(fā)至無(wú)線接入用戶終端。
9.根據(jù)權(quán)利要求3或8所述的無(wú)線局域網(wǎng)移動(dòng)終端申請(qǐng)證書的方法,其特征在于,所述證書申請(qǐng)失敗消息至少包括鑒別服務(wù)單元拒絕無(wú)線接入用戶終端的證書申請(qǐng)的原因。
全文摘要
本發(fā)明公開了一種無(wú)線局域網(wǎng)移動(dòng)終端申請(qǐng)證書的方法,該方法由提出證書申請(qǐng)的STA生成證書的公鑰和對(duì)應(yīng)的私鑰,并通過(guò)AP的未受控端口向ASU發(fā)送證書申請(qǐng)消息,ASU按照證書申請(qǐng)消息生成證書之后,通過(guò)AP的未受控端口將證書發(fā)送給STA。而現(xiàn)有技術(shù)的方法是申請(qǐng)者到ASU所在地點(diǎn)申請(qǐng),由ASU的操作員確認(rèn)申請(qǐng)者的身份并確定其安全等級(jí)之后再頒發(fā)證書,并通過(guò)網(wǎng)絡(luò)將證書和私鑰發(fā)送給申請(qǐng)者。本發(fā)明的方法應(yīng)用比較簡(jiǎn)便靈活,適用面廣,尤其適用于諸如咖啡館、機(jī)場(chǎng)之類不限制使用者身份,卻需要保證無(wú)線通信安全的無(wú)線局域網(wǎng)環(huán)境。并且,本發(fā)明的方法可以消除通過(guò)網(wǎng)絡(luò)發(fā)送證書和對(duì)應(yīng)的私鑰而造成私鑰泄漏的隱患,使證書申請(qǐng)更加安全可靠。
文檔編號(hào)H04L9/12GK1697370SQ200410038000
公開日2005年11月16日 申請(qǐng)日期2004年5月14日 優(yōu)先權(quán)日2004年5月14日
發(fā)明者馮凱鋒, 劉廷永 申請(qǐng)人:華為技術(shù)有限公司