專利名稱:用于wapi的獲取公鑰證書的網(wǎng)絡(luò)系統(tǒng)和方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種無線局域網(wǎng)的安全技術(shù),確切地說,涉及一種用于WAPI的獲取公鑰證書的網(wǎng)絡(luò)系統(tǒng)和方法,屬于無線通信技術(shù)領(lǐng)域。
背景技術(shù):
隨著無線局域網(wǎng)的迅速發(fā)展,其安全問題日益受到人們的關(guān)注。國際標(biāo)準(zhǔn)ISO IEC 8802-11定義的開放系統(tǒng)與共享密鑰兩種鏈路驗(yàn)證機(jī)制及有線加強(qiáng)等效保密WEP(Wired Equivalency Privacy)安全協(xié)議來解決安全問題;但是,安全漏洞依然存在。為了彌補(bǔ)ISO IEC 8802-11中安全協(xié)議存在的漏洞,中國分別于2003年和2006年頒發(fā)了一系列無線局域網(wǎng)的國家標(biāo)準(zhǔn)GB 15629.11/1102與GB 15629.11-2003/XG1-2006/1101/1103/1104。GB 15629.11來克服了傳統(tǒng)安全方案的不足。這些標(biāo)準(zhǔn)是由中國寬帶無線IP標(biāo)準(zhǔn)工作組制訂和提出的具有自主知識產(chǎn)權(quán)的安全協(xié)議無線局域網(wǎng)鑒別與保密基礎(chǔ)結(jié)構(gòu)WAPI(WLANAuthentication and Privacy Infrastructure),它是用于規(guī)范現(xiàn)行的802.11相關(guān)傳輸協(xié)議的安全加密標(biāo)準(zhǔn)。其主要技術(shù)特征包括采用公鑰密碼技術(shù),實(shí)現(xiàn)訪問控制,數(shù)據(jù)機(jī)密性和數(shù)據(jù)完整性等。WAPI協(xié)議包含兩個部分無線局域網(wǎng)鑒別基礎(chǔ)結(jié)構(gòu)WAI(WLAN Authentication Infrastructure)和無線局域網(wǎng)保密基礎(chǔ)結(jié)構(gòu)WPI(WLAN Privacy Infrastructure),其中,WAI用于完成用戶的身份鑒別與密鑰管理,是實(shí)現(xiàn)WAPI的基礎(chǔ)。
基于WAPI的互聯(lián)網(wǎng)接入運(yùn)營的技術(shù)方案,對于運(yùn)營商來說,必須易于部署,符合現(xiàn)有業(yè)務(wù)開展和管理流程;同時(shí)必須與現(xiàn)有WLAN接入業(yè)務(wù)無縫集成,例如必須支持WAPI作為現(xiàn)有WLAN業(yè)務(wù)的附加業(yè)務(wù),必須支持WAPI作為獨(dú)立于WLAN業(yè)務(wù)的接入業(yè)務(wù)。對于用戶來說,辦理業(yè)務(wù)的程序必須簡單,且符合現(xiàn)有業(yè)務(wù)的辦理習(xí)慣;必須提供用戶安全快捷、方便使用和管理的寬帶無線接入業(yè)務(wù)的使用方式;使用界面必須友好,操作簡單。
WAPI是一種安全認(rèn)證保密基礎(chǔ)結(jié)構(gòu),它可以為用戶提供安全的服務(wù),但是,在WLAN引入WAPI標(biāo)準(zhǔn)解決數(shù)據(jù)的傳輸安全性能后,WAPI標(biāo)準(zhǔn)也為基于WLAN的寬帶互聯(lián)網(wǎng)接入業(yè)務(wù)部署帶來了以下新的問題和困難電子證書的獲取及其管理問題,以及用戶漫游時(shí)與漫游地網(wǎng)絡(luò)之間的信任問題。這些問題至今仍然沒有得到解決。下面簡要說明之(1)電子證書的獲取及其管理問題WAPI無線網(wǎng)絡(luò)采用兩個密鑰的非對稱加密算法,即設(shè)有公鑰-公開密鑰和私鑰-私有密鑰;在信息交換過程中,甲方生成一對密鑰并把公鑰傳給乙方,乙方得到該公鑰后,使用該密鑰對信息進(jìn)行加密后再發(fā)送給甲方;甲方再用自己保存的私鑰對加密信息進(jìn)行解密。甲方必須使用其專用密鑰(私鑰)解密由其公鑰加密后的任何信息。網(wǎng)絡(luò)中的每個用戶終端都有其唯一的電子證書-用戶證書。用戶證書是先由認(rèn)證服務(wù)器ASU為該終端頒發(fā)公鑰證書,再由終端的客戶端軟件請求用戶輸入其私鑰保護(hù)密碼,對私鑰進(jìn)行加密后才生成的。因?yàn)橛脩糇C書是用戶終端使用WAPI網(wǎng)絡(luò)時(shí)表明其身份的憑證,必須對這些公鑰證書進(jìn)行管理,以保證安全。公鑰證書的安全管理包括如何管理網(wǎng)絡(luò)上保存的公鑰證書和如何向用戶終端頒發(fā)公鑰證書的問題。但是,由于用戶技術(shù)水平的限制和電子證書載體的實(shí)際限制,無法在用戶辦理業(yè)務(wù)時(shí)就為用戶頒發(fā)公鑰證書。因此首先需要解決用戶電子證書的頒發(fā)問題。
(2)用戶的異地漫游;當(dāng)用戶漫游異地時(shí),需要與漫游地認(rèn)證服務(wù)器ASU建立信任關(guān)系,因此用戶需要持有漫游地ASU公鑰證書,然而,由于用戶的歸屬地認(rèn)證服務(wù)器HASU與漫游地認(rèn)證服務(wù)器ASU兩者之間缺乏相互信任關(guān)系,從而無法完成對該用戶身份的認(rèn)證,也無法給用戶發(fā)放ASU公鑰證書。
因此,如何設(shè)計(jì)一種用于WAPI的獲取公鑰證書的網(wǎng)絡(luò)系統(tǒng)及其實(shí)現(xiàn)方法,使得互聯(lián)網(wǎng)接入認(rèn)證的運(yùn)營技術(shù)方案能夠更好解決用戶電子證書的頒發(fā)和管理問題,為用戶(尤其是異地漫游用戶)提供更加安全、方便的WAPI服務(wù),已經(jīng)成為目前WAPI領(lǐng)域技術(shù)人員所關(guān)注和研究的熱點(diǎn)之一。
發(fā)明內(nèi)容
有鑒于此,本發(fā)明的目的是提供一種用于WAPI的獲取公鑰證書的網(wǎng)絡(luò)系統(tǒng)和實(shí)現(xiàn)方法,該網(wǎng)絡(luò)系統(tǒng)結(jié)構(gòu)簡單,獲取公鑰證書的操作步驟也比較簡單,容易實(shí)現(xiàn);但是,能夠很好地為用戶、尤其是異地漫游用戶提供無線接入認(rèn)證服務(wù)。
為了達(dá)到上述目的,本發(fā)明提供了一種用于WAPI的獲取公鑰證書的網(wǎng)絡(luò)系統(tǒng),包括因特網(wǎng),電信網(wǎng),位于電信網(wǎng)中的為用戶提供身份驗(yàn)證、授權(quán)和計(jì)費(fèi)服務(wù)的AAA服務(wù)器、用戶歸屬地的認(rèn)證服務(wù)器HASU和分別位于各個本地網(wǎng)的多個認(rèn)證服務(wù)器ASU、以及與AAA服務(wù)器、各個認(rèn)證服務(wù)器ASU和各個網(wǎng)絡(luò)直接相連接的接入控制器AC、無線接入點(diǎn)AP和裝有WAPI無線網(wǎng)卡的終端STA;STA藉由AP和AC接入網(wǎng)絡(luò)時(shí),ASU與STA之間通過用戶公鑰證書進(jìn)行身份鑒別后,才允許STA接入當(dāng)?shù)鼐W(wǎng)絡(luò);其特征在于該系統(tǒng)還包括有一個目錄證書服務(wù)器DCS,該證書服務(wù)器DCS內(nèi)存儲有網(wǎng)絡(luò)中的每個認(rèn)證服務(wù)器ASU的公鑰證書及其頒發(fā)用戶公鑰證書的IP地址和端口號,以便向提出HASU公鑰證書獲取請求的ASU返回HASU公鑰證書,使該ASU能夠利用獲取的HASU公鑰證書對STA進(jìn)行鑒別,實(shí)現(xiàn)WAPI網(wǎng)絡(luò)連接;同時(shí)當(dāng)終端STA需要與漫游地的ASU建立信任關(guān)系而向DCS申請?jiān)撀蔚氐腁SU公鑰證書時(shí),DCS向STA返回該漫游地的ASU的公鑰證書,以便終端STA對當(dāng)前網(wǎng)絡(luò)進(jìn)行鑒別,建立對當(dāng)?shù)鼐W(wǎng)絡(luò)的信任,實(shí)現(xiàn)WAPI網(wǎng)絡(luò)連接;而當(dāng)該目錄證書服務(wù)器DCS接收到終端STA請求頒發(fā)用戶公鑰證書時(shí),則該DCS先根據(jù)STA歸屬地選擇其歸屬地認(rèn)證服務(wù)器HASU,再通過該HASU的用戶公鑰證書頒發(fā)接口由該HASU服務(wù)器向提出用戶公鑰證書頒發(fā)請求的終端STA頒發(fā)該用戶的公鑰證書,并返回給終端STA,以使該STA獲取對網(wǎng)絡(luò)的信任,實(shí)現(xiàn)WAPI網(wǎng)絡(luò)連接。
所述DCS服務(wù)器數(shù)據(jù)庫維護(hù)的信息包括有用戶驗(yàn)證終端STA請求頒發(fā)用戶公鑰證書的用戶名及其密碼、HASU的用于用戶公鑰證書頒發(fā)的IP地址和端口號。
所述終端STA在安裝客戶端軟件時(shí),都未安裝其用戶公鑰證書或其歸屬地認(rèn)證服務(wù)器HASU的公鑰證書,因此,終端STA首次使用時(shí),必須先在DCS輔助下請求HASU為其頒發(fā)用戶公鑰證書,以及從目錄證書服務(wù)器DCS下載安裝其歸屬地的認(rèn)證服務(wù)器HASU的公鑰證書,以獲取對本地網(wǎng)絡(luò)的信任。
所述各個認(rèn)證服務(wù)器ASU都分別存儲、維護(hù)有各自信任的ASU列表,當(dāng)漫游到本地的STA的歸屬地認(rèn)證服務(wù)器HASU不在本地ASU信任的ASU列表中時(shí),所述STA要向目錄證書服務(wù)器DCS獲取其歸屬地HASU的公鑰證書,以便漫游地ASU能夠鑒別該HASU公鑰證書的合法性;所述終端STA都分別存儲、維護(hù)有各自所信任的ASU列表,當(dāng)該終端STA漫游地的ASU不在該終端STA信任的ASU列表中時(shí),該終端STA向證書服務(wù)器DCS獲取漫游地ASU的公鑰證書,用于判斷該漫游地ASU的合法性。
為了達(dá)到上述目的,本發(fā)明還提供了一種采用上述網(wǎng)絡(luò)系統(tǒng)的獲取公鑰證書的方法,其特征在于當(dāng)用戶終端在歸屬地?zé)o線網(wǎng)絡(luò)進(jìn)行WAPI連接之前時(shí),其用戶獲取公鑰證書的流程包括下列操作步驟(1)STA下載歸屬地認(rèn)證服務(wù)器HASU的公鑰證書用戶終端STA在歸屬地首次使用客戶端軟件時(shí),先要下載歸屬地HASU的公鑰證書,以獲得對本地網(wǎng)絡(luò)的信任;具體過程是STA先向DCS服務(wù)器請求下載HASU公鑰證書,DCS服務(wù)器向該終端STA返回HASU公鑰證書后,終端STA要對該HASU公鑰證書進(jìn)行鑒別;若鑒別成功,則保留該HASU公鑰證書,將該HASU身份添加到STA的可信任ASU列表中;若鑒別失敗,則丟棄該HASU公鑰證書;(2)STA請求頒發(fā)用戶公鑰證書終端STA為了使用WAPI的安全數(shù)據(jù)傳輸,在DCS輔助下由歸屬地認(rèn)證服務(wù)器HASU為STA頒發(fā)用戶公鑰證書;具體過程是終端STA隨機(jī)生成私鑰和用戶公鑰,向DCS服務(wù)器提交用戶公鑰并請求為其頒發(fā)用戶公鑰證書;DCS服務(wù)器利用存儲的用戶名和密碼驗(yàn)證STA合法性,對驗(yàn)證成功的STA,先根據(jù)該用戶終端STA歸屬地位置選擇歸屬地HASU,再向該HASU提交用戶公鑰,并請求該HASU為終端STA頒發(fā)用戶公鑰證書;在HASU返回成功簽名的用戶公鑰證書后,DCS向該用戶終端STA返回已簽名的用戶公鑰證書,完成用戶公鑰證書頒發(fā)過程;所述步驟(1)進(jìn)一步包括下列操作內(nèi)容(11)STA請求下載歸屬地HASU的公鑰證書,連接DCS服務(wù)器;(12)AAA服務(wù)器完成對STA的認(rèn)證;(13)終端STA向DCS服務(wù)器發(fā)送下載歸屬地認(rèn)證服務(wù)器HASU公鑰證書的請求,該信息中包含HASU身份,即HASU名稱;(14)DCS服務(wù)器向終端STA返回HASU公鑰證書;(15)終端STA鑒別HASU公鑰證書的真?zhèn)?,如果鑒別成功,則保留該HASU公鑰證書,將該HASU添加到可信任的ASU列表中;否則,丟棄該HASU公鑰證書。
所述步驟(2)進(jìn)一步包括下列操作內(nèi)容(21)用戶在終端上啟動頒發(fā)用戶公鑰證書過程,并輸入請求頒發(fā)用戶公鑰證書的用戶名和密碼;此時(shí),終端STA自動隨機(jī)生成用戶私鑰和用戶公鑰;(22)終端STA請求頒發(fā)用戶公鑰證書,再連接DCS服務(wù)器;(23)AAA服務(wù)器完成對終端STA的認(rèn)證;(24)終端STA向DCS服務(wù)器提交用戶公鑰,請求頒發(fā)用戶公鑰證書;該信息包含請求頒發(fā)用戶公鑰證書的終端用戶名和密碼、以及用戶公鑰信息;(25)DCS服務(wù)器鑒別用戶名和密碼,如鑒別成功,則向該終端歸屬地HASU提交用戶公鑰,請求為該用戶終端STA頒發(fā)用戶公鑰證書,順序執(zhí)行后續(xù)操作;否則,向終端STA返回失敗響應(yīng),結(jié)束操作;(26)HASU對用戶公鑰進(jìn)行簽名,將已成功簽名的用戶公鑰證書返回給DCS服務(wù)器,DCS服務(wù)器再向終端STA返回成功頒發(fā)的用戶公鑰證書;為了達(dá)到上述目的,本發(fā)明又提供了一種采用上述網(wǎng)絡(luò)系統(tǒng)獲取證書的方法,其特征在于當(dāng)用戶終端在漫游地?zé)o線網(wǎng)絡(luò)進(jìn)行WAPI連接之前時(shí),其獲取ASU公鑰證書的流程包括下列操作步驟(1)STA下載漫游地證書服務(wù)器ASU的公鑰證書用戶漫游到異地時(shí),先要與漫游地ASU建立信任關(guān)系,即先要下載漫游地ASU的公鑰證書,以獲取對本地網(wǎng)絡(luò)的信任;具體過程是每個終端STA都維護(hù)有各自信任的ASU列表,如果終端STA通過AP連接的ASU不在該可信任的ASU列表中時(shí),終端STA先向DCS服務(wù)器請求下載該ASU公鑰證書,DCS服務(wù)器向終端STA返回ASU公鑰證書后,該終端STA要對該ASU公鑰證書進(jìn)行鑒別,若鑒別成功,則保留該ASU公鑰證書,將該ASU添加到該STA的可信任ASU列表中;若鑒別失敗,則丟棄該ASU公鑰證書;(2)ASU下載HASU公鑰證書STA與HASU建立的信任關(guān)系只能保證在本地進(jìn)入WAPI安全網(wǎng)絡(luò),但無法在漫游地接入WAPI網(wǎng)絡(luò);當(dāng)用戶漫游到外地時(shí),漫游地ASU同樣要判斷該用戶終端的合法性,即要利用其歸屬地HASU公鑰證書鑒別該用戶終端STA的公鑰證書,并用自己的私鑰對證書鑒別結(jié)果進(jìn)行簽名;如果ASU沒有HASU的公鑰證書,則要向DCS申請下載HASU公鑰證書。
所述步驟(1)進(jìn)一步包括下列操作內(nèi)容(11)STA請求下載漫游地的ASU公鑰證書,連接DCS服務(wù)器;(12)AAA服務(wù)器完成對STA的認(rèn)證;(13)終端STA向DCS服務(wù)器發(fā)送下載漫游地的ASU公鑰證書的請求,該信息中包含ASU身份,即ASU名稱;(14)DCS服務(wù)器向終端STA返回該漫游地的ASU公鑰證書;(1 5)終端STA對ASU公鑰證書進(jìn)行鑒別,如果鑒別成功,則保留該ASU公鑰證書,將該ASU添加到其可信任的ASU列表中;否則,丟棄該ASU公鑰證書。
所述步驟(2)進(jìn)一步包括下列操作內(nèi)容(21)ASU啟動獲取漫游終端的歸屬地HASU公鑰證書的過程;(22)ASU向DCS服務(wù)器發(fā)起獲取HASU公鑰證書請求,該請求中包括HASU身份的信息;(23)DCS服務(wù)器向該ASU返回HASU公鑰證書;
(24)ASU對獲取的HASU公鑰證書進(jìn)行鑒別;如果鑒別成功,則保留該HASU公鑰證書,將該HASU添加至其可信任ASU列表中;若鑒別失敗,則丟棄HASU公鑰證書。
本發(fā)明是一種用于WAPI的獲取公鑰證書的網(wǎng)絡(luò)系統(tǒng)和方法,它的技術(shù)創(chuàng)新點(diǎn)和有益效果是在網(wǎng)絡(luò)系統(tǒng)中增設(shè)一個目錄證書服務(wù)器DCS,該DCS服務(wù)器存儲有能為用戶終端STA頒發(fā)公鑰證書的各個歸屬地HASU的IP地址和端口號,可輔助STA獲取用戶終端的公鑰證書,使用戶獲得合法身份;還存儲有全網(wǎng)所有ASU公鑰證書,向提出認(rèn)證申請的ASU下載其公鑰證書,以獲取對網(wǎng)絡(luò)的信任;又能夠輔助ASU完成HASU公鑰證書的下載,使得ASU獲取對HASU的信任,進(jìn)而獲取對STA的信任。本發(fā)明系統(tǒng)引入的DCS服務(wù)器較好地解決了STA與ASU獲取公鑰證書的問題,使得STA與ASU之間比較容易建立互相信任關(guān)系,同時(shí)還解決了用戶異地漫游于網(wǎng)絡(luò)之間的不信任問題,DCS協(xié)助用戶終端STA與ASU分別完成公鑰證書的下載,同時(shí)順便建立了二者之間的信任關(guān)系,使得用戶在漫游到異地時(shí),仍然可以享受WAPI安全的網(wǎng)絡(luò)服務(wù)??傊?,本發(fā)明的實(shí)施可以更好地為用戶終端、尤其是異地漫游用戶終端完成公鑰證書的下載獲取和認(rèn)證服務(wù),具有很好的推廣應(yīng)用前景。
圖1是本發(fā)明基于WAPI的頒發(fā)互聯(lián)網(wǎng)證書的網(wǎng)絡(luò)系統(tǒng)結(jié)構(gòu)組成示意圖。
圖2是本發(fā)明基于WAPI的頒發(fā)互聯(lián)網(wǎng)證書的網(wǎng)絡(luò)系統(tǒng)對于本地用戶終端頒發(fā)證書的實(shí)現(xiàn)方法流程方框圖。
圖3是圖2中步驟(1)的具體操作步驟時(shí)序圖。
圖4是圖2中步驟(2)的具體操作步驟時(shí)序圖。
圖5是本發(fā)明基于WAPI的頒發(fā)互聯(lián)網(wǎng)證書的網(wǎng)絡(luò)系統(tǒng)對于漫游地用戶終端頒發(fā)證書的實(shí)現(xiàn)方法流程方框圖。
圖6是圖5中步驟(2)的具體操作步驟時(shí)序圖。
具體實(shí)施例方式
為使本發(fā)明的目的、技術(shù)方案和優(yōu)點(diǎn)更加清楚,下面結(jié)合附圖對本發(fā)明作進(jìn)一步的詳細(xì)描述。
參見圖1,具體介紹本發(fā)明基于WAPI的實(shí)現(xiàn)互聯(lián)網(wǎng)接入認(rèn)證的網(wǎng)絡(luò)系統(tǒng)的結(jié)構(gòu)組成,包括因特網(wǎng),電信網(wǎng)WAN,位于電信網(wǎng)WAN中的AAA服務(wù)器、用戶歸屬地的HASU認(rèn)證服務(wù)器、分別位于各個本地網(wǎng)的多個ASU認(rèn)證服務(wù)器(ASU與STA之間通過證書進(jìn)行身份鑒別,以使用戶終端接入當(dāng)?shù)鼐W(wǎng)絡(luò))、和目錄證書服務(wù)器DCS,以及與AAA服務(wù)器、各個認(rèn)證服務(wù)器ASU和所有網(wǎng)絡(luò)直接相連的接入控制器AC、無線接入點(diǎn)AP和裝有WAPI無線網(wǎng)卡的終端STA(包括筆記本電腦,PDA等);STA藉由AP和AC接入網(wǎng)絡(luò)時(shí),ASU與STA之間通過用戶公鑰證書進(jìn)行身份鑒別后,才允許STA接入當(dāng)?shù)鼐W(wǎng)絡(luò);其中目錄證書服務(wù)器DCS是該系統(tǒng)增設(shè)的網(wǎng)元設(shè)備,用于存儲網(wǎng)絡(luò)中的每個認(rèn)證服務(wù)器ASU的公鑰證書及其頒發(fā)用戶公鑰證書的IP地址和端口號,以便向提出HASU公鑰證書獲取申請的ASU返回HASU公鑰證書,使該ASU能夠利用獲取的HASU公鑰證書對STA進(jìn)行鑒別,實(shí)現(xiàn)WAPI網(wǎng)絡(luò)連接;而當(dāng)終端STA需要與漫游地的ASU建立信任關(guān)系而向DCS申請?jiān)撀蔚氐腁SU公鑰證書時(shí),DCS向STA返回該漫游地的ASU的公鑰證書,以便終端STA對當(dāng)?shù)鼐W(wǎng)絡(luò)進(jìn)行鑒別,建立對當(dāng)?shù)鼐W(wǎng)絡(luò)的信任,實(shí)現(xiàn)WAPI網(wǎng)絡(luò)連接;該目錄證書服務(wù)器DCS接收到終端STA請求頒發(fā)用戶公鑰證書時(shí),則該DCS先根據(jù)STA歸屬地選擇其歸屬地認(rèn)證服務(wù)器HASU,再通過該HASU的用戶公鑰證書頒發(fā)接口由該HASU服務(wù)器向提出用戶公鑰證書頒發(fā)請求的終端STA頒發(fā)該用戶的公鑰證書,并返回給終端STA,以使該STA獲取對網(wǎng)絡(luò)的信任,實(shí)現(xiàn)WAPI網(wǎng)絡(luò)連接。
該系統(tǒng)中的各個認(rèn)證服務(wù)器ASU都分別存儲、維護(hù)有各自信任的ASU列表,當(dāng)漫游到本地的STA的歸屬地認(rèn)證服務(wù)器HASU不在本地ASU信任的ASU列表中時(shí),該漫游終端STA要向目錄證書服務(wù)器DCS獲取其歸屬地HASU的公鑰證書,以便漫游地ASU能夠鑒別該HASU公鑰證書的合法性;其中終端STA都分別存儲、維護(hù)有各自所信任的ASU列表,當(dāng)該終端STA漫游地的ASU不在該終端STA信任的ASU列表中時(shí),該終端STA向證書服務(wù)器DCS獲取漫游地ASU的公鑰證書,用于判斷該漫游地ASU的合法性。
參見圖2~圖6,介紹用戶進(jìn)行WAPI連接之前下載獲取公鑰證書的方法(一)本地操作-介紹用戶終端在歸屬地?zé)o線網(wǎng)絡(luò)進(jìn)行WAPI連接之前時(shí),其用戶終端獲取公鑰證書的流程(參見圖2)(1)STA下載歸屬地認(rèn)證服務(wù)器HASU的公鑰證書在安裝客戶端軟件時(shí),用戶終端STA并沒有安裝用戶公鑰證書或HASU公鑰證書,所以在歸屬地首次使用客戶端軟件時(shí),先要下載HASU公鑰證書,以獲得對本地網(wǎng)絡(luò)的信任。具體過程是STA先向DCS服務(wù)器請求下載HASU公鑰證書,DCS服務(wù)器向該終端STA返回HASU公鑰證書后,終端STA要對該HASU公鑰證書進(jìn)行鑒別;若鑒別成功,則保留此HASU公鑰證書,將該HASU添加到STA的可信任ASU列表中;若鑒別失敗,則丟棄該HASU公鑰證書。
下面參見圖3具體說明該操作步驟的時(shí)序圖(11)STA請求下載歸屬地HASU的公鑰證書,連接DCS服務(wù)器;(12)接入控制器AC/運(yùn)營商門戶網(wǎng)站Portal推送登陸頁面;STA客戶端軟件攔截登陸頁面,提交上網(wǎng)終端用戶名和密碼;或當(dāng)終端未設(shè)置時(shí),請求用戶輸入上網(wǎng)終端用戶名和密碼;(13)AC將用戶名和密碼包含在Access Request消息中發(fā)給AAA服務(wù)器(如果用戶處于漫游地,則轉(zhuǎn)發(fā)Access Request消息給歸屬地AAA服務(wù)器);(14)AAA服務(wù)器驗(yàn)證用戶名和密碼成功,則返回Access Accept消息給AC;(15)AC將返回的成功認(rèn)證信息轉(zhuǎn)發(fā)給終端STA;(16)終端STA向DCS服務(wù)器發(fā)送下載歸屬地認(rèn)證服務(wù)器HASU公鑰證書的請求,該信息中包含HASU身份,即HASU名稱;(17)DCS服務(wù)器向終端STA返回HASU公鑰證書;(18)終端STA鑒別HASU公鑰證書的真?zhèn)?,如果鑒別成功,則保留該HASU公鑰證書,將該HASU添加到可信任的ASU列表中;否則,丟棄該HASU公鑰證書。
(2)STA請求頒發(fā)用戶公鑰證書用戶在計(jì)算機(jī)上安裝好客戶端軟件后,就可以使用基于WLAN的寬帶互聯(lián)網(wǎng)接入業(yè)務(wù)。盡管此時(shí)用戶已經(jīng)下載了HASU公鑰證書,即已經(jīng)信任本地網(wǎng)絡(luò),但用戶要想使用WAPI保證無線鏈路上數(shù)據(jù)傳輸安全性,就必須在DCS輔助下由歸屬地認(rèn)證服務(wù)器HASU為STA頒發(fā)用戶公鑰證書;具體過程是終端STA隨機(jī)生成私鑰和用戶公鑰,向DCS服務(wù)器提交用戶公鑰并請求為其頒發(fā)用戶公鑰證書。DCS服務(wù)器利用存儲的用戶名和密碼驗(yàn)證STA合法性,DSC服務(wù)器存儲有能為用戶頒發(fā)公鑰證書的HASU地址,對驗(yàn)證成功的STA,先根據(jù)該用戶終端STA歸屬地位置選擇歸屬地HASU,并向該HASU提交用戶公鑰并請求該HASU為終端STA頒發(fā)用戶公鑰證書。在HASU返回成功簽名的用戶公鑰證書后,DCS向該用戶終端STA返回已簽名的用戶公鑰證書,完成用戶公鑰證書頒發(fā)過程。最后該終端的客戶端軟件請求用戶輸入私鑰保護(hù)密碼,對私鑰進(jìn)行加密,生成個人用戶證書文件,以便用戶終端STA隨身攜帶該用戶證書。
下面參見圖4具體說明用戶初次使用時(shí)頒發(fā)用戶公鑰證書步驟的時(shí)序圖(21)用戶在終端上啟動頒發(fā)用戶公鑰證書過程,輸入請求頒發(fā)用戶公鑰證書的用戶名和密碼;此時(shí),終端STA自動隨機(jī)生成用戶私鑰和用戶公鑰;(22)終端STA通過Open System方式連接接入控制器AC,再連接DCS服務(wù)器;(23)AC/Portal推送登陸頁面;終端STA攔截登陸頁面,提交上網(wǎng)用戶名和密碼;或當(dāng)用戶未設(shè)置時(shí),要求用戶輸入上網(wǎng)用戶名和密碼;(24)AC將用戶名和密碼包含在Access Request消息中發(fā)給AAA服務(wù)器(如果用戶處于漫游地,則轉(zhuǎn)發(fā)Access Request消息給歸屬AAA);AAA服務(wù)器對用戶名和密碼驗(yàn)證成功,則返回Access Accept消息給AC;由AC將返回的成功認(rèn)證信息轉(zhuǎn)發(fā)給終端STA;
(25)終端STA向DCS服務(wù)器提交用戶公鑰,請求頒發(fā)用戶公鑰證書,該信息包含請求頒發(fā)用戶公鑰證書的終端用戶名和密碼、以及用戶公鑰信息;(26)DCS服務(wù)器鑒別用戶名和密碼,如鑒別成功,則向該終端歸屬地HASU提交用戶公鑰,請求為該用戶終端STA頒發(fā)該用戶公鑰證書,順序執(zhí)行后續(xù)操作;否則,向終端STA返回失敗響應(yīng),結(jié)束操作;(27)HASU對用戶公鑰進(jìn)行簽名,將已經(jīng)成功簽名的用戶公鑰證書返回給DCS服務(wù)器,DCS服務(wù)器再向終端STA返回成功頒發(fā)的用戶公鑰證書;(28)終端STA請求用戶輸入私鑰保護(hù)密碼,對私鑰進(jìn)行加密,生成個人證書文件;(29)終端STA提示用戶個人證書下載成功,可以激活使用;如果此時(shí)WLAN連接是由個人證書下載啟動的,則斷開WLAN連接。
(二)漫游操作-介紹用戶終端在漫游地?zé)o線網(wǎng)絡(luò)進(jìn)行WAPI連接之前時(shí),其用戶終端獲取公鑰證書的流程(參見圖5)(1)STA下載漫游地證書服務(wù)器ASU的公鑰證書用戶漫游到異地時(shí),先要與漫游地ASU建立信任關(guān)系,即先要下載漫游地ASU的公鑰證書,以獲取對本地網(wǎng)絡(luò)的信任;具體過程是每個終端STA都維護(hù)有各自信任的ASU列表,如果終端STA通過AP連接的ASU不在該可信任的ASU列表中時(shí),終端STA先向DCS服務(wù)器請求下載該ASU公鑰證書,DCS服務(wù)器向終端STA返回ASU公鑰證書后,該終端STA要對該ASU公鑰證書進(jìn)行鑒別,若鑒別成功,則保留此ASU公鑰證書,將該ASU添加到該STA的可信任ASU列表中;若鑒別失敗,則丟棄該ASU公鑰證書。需要說明的是該步驟的下載漫游地ASU證書流程與圖3中下載HASU公鑰證書的時(shí)序圖基本相同,不再贅述。
(2)ASU下載HASU公鑰證書STA與HASU之間建立的信任關(guān)系只能保證在其歸屬地進(jìn)入WAPI安全網(wǎng)絡(luò),但無法在漫游地接入WAPI網(wǎng)絡(luò);因此,當(dāng)用戶終端漫游到外地時(shí),漫游地ASU同樣要判斷該用戶終端的合法性,即要利用其歸屬地HASU公鑰證書鑒別該用戶終端STA的公鑰證書,并用自己的私鑰對證書鑒別結(jié)果進(jìn)行簽名;如果ASU沒有HASU的公鑰證書,則要向DCS申請下載HASU公鑰證書。
下面參見圖6具體說明ASU下載HASU公鑰證書操作步驟的時(shí)序圖(21)ASU啟動獲取漫游終端的歸屬地HASU公鑰證書的過程;(22)ASU向DCS服務(wù)器發(fā)起獲取HASU公鑰證書請求,該請求中包括HASU身份信息;(23)DCS服務(wù)器向該ASU返回HASU公鑰證書;(24)ASU對獲取的HASU公鑰證書進(jìn)行鑒別;如果鑒別成功,則保留此HASU公鑰證書,將該HASU添加至其可信任ASU列表中;若鑒別失敗,則丟棄HASU公鑰證書。
總之,利用本發(fā)明,用戶終端下載獲取用戶公鑰證書和漫游地ASU公鑰證書后,便可信任漫游地的無線網(wǎng)絡(luò),ASU通過終端歸屬地HASU對該終端進(jìn)行鑒別后,也可判別該用戶終端的合法性,互相建立信任關(guān)系,從而用戶可以使用WAPI網(wǎng)絡(luò)提供的安全、便捷的服務(wù)。
權(quán)利要求
1.一種用于WAPI的獲取公鑰證書的網(wǎng)絡(luò)系統(tǒng),包括因特網(wǎng),電信網(wǎng),位于電信網(wǎng)中的為用戶提供身份驗(yàn)證、授權(quán)和計(jì)費(fèi)服務(wù)的AAA服務(wù)器、用戶歸屬地的認(rèn)證服務(wù)器HASU和分別位于各個本地網(wǎng)的多個認(rèn)證服務(wù)器ASU、以及與AAA服務(wù)器、各個認(rèn)證服務(wù)器ASU和各個網(wǎng)絡(luò)直接相連接的接入控制器AC、無線接入點(diǎn)AP和裝有WAPI無線網(wǎng)卡的終端STA;STA藉由AP和AC接入網(wǎng)絡(luò)時(shí),ASU與STA之間通過用戶公鑰證書進(jìn)行身份鑒別后,才允許STA接入當(dāng)?shù)鼐W(wǎng)絡(luò);其特征在于該系統(tǒng)還包括有一個目錄證書服務(wù)器DCS,該證書服務(wù)器DCS內(nèi)存儲有網(wǎng)絡(luò)中每個認(rèn)證服務(wù)器ASU的公鑰證書及其頒發(fā)用戶公鑰證書的IP地址和端口號,以便向提出HASU公鑰證書獲取請求的ASU返回HASU公鑰證書,使該ASU能夠利用獲取的HASU公鑰證書對STA進(jìn)行鑒別,實(shí)現(xiàn)WAPI網(wǎng)絡(luò)連接;同時(shí)當(dāng)終端STA需要與漫游地的ASU建立信任關(guān)系而向DCS申請?jiān)撀蔚氐腁SU公鑰證書時(shí),DCS向STA返回該漫游地的ASU的公鑰證書,以便終端STA對當(dāng)前網(wǎng)絡(luò)進(jìn)行鑒別,建立對當(dāng)?shù)鼐W(wǎng)絡(luò)的信任,實(shí)現(xiàn)WAPI網(wǎng)絡(luò)連接;而當(dāng)該目錄證書服務(wù)器DCS接收到終端STA請求頒發(fā)用戶公鑰證書時(shí),則該DCS先根據(jù)STA歸屬地選擇其歸屬地認(rèn)證服務(wù)器HASU,再通過該HASU的用戶公鑰證書頒發(fā)接口由該HASU服務(wù)器向提出用戶公鑰證書頒發(fā)請求的終端STA頒發(fā)該用戶的公鑰證書,并返回給終端STA,實(shí)現(xiàn)WAPI網(wǎng)絡(luò)連接。
2.根據(jù)權(quán)利要求1所述的網(wǎng)絡(luò)系統(tǒng),其特征在于所述DCS服務(wù)器數(shù)據(jù)庫維護(hù)的信息包括有用于驗(yàn)證終端STA請求頒發(fā)用戶公鑰證書的用戶名及其密碼、HASU的用于用戶公鑰證書頒發(fā)的IP地址和端口號。
3.根據(jù)權(quán)利要求1所述的網(wǎng)絡(luò)系統(tǒng),其特征在于所述終端STA在安裝客戶端軟件時(shí),都未安裝其用戶公鑰證書或其歸屬地認(rèn)證服務(wù)器HASU的公鑰證書,因此,終端STA首次使用時(shí),必須先在DCS輔助下請求HASU為其頒發(fā)用戶公鑰證書,以及從目錄證書服務(wù)器DCS下載安裝其歸屬地的認(rèn)證服務(wù)器HASU的公鑰證書,以獲取對本地網(wǎng)絡(luò)的信任。
4.根據(jù)權(quán)利要求1所述的網(wǎng)絡(luò)系統(tǒng),其特征在于所述各個認(rèn)證服務(wù)器ASU都分別存儲、維護(hù)有各自信任的ASU列表,當(dāng)漫游到本地的STA的歸屬地認(rèn)證服務(wù)器HASU不在本地ASU信任的ASU列表中時(shí),所述STA要向目錄證書服務(wù)器DCS獲取其歸屬地HASU的公鑰證書,以便漫游地ASU能夠鑒別該HASU公鑰證書的合法性;所述終端STA都分別存儲、維護(hù)有各自所信任的ASU列表,當(dāng)該終端STA漫游地的ASU不在該終端STA信任的ASU列表中時(shí),該終端STA向證書服務(wù)器DCS獲取漫游地ASU的公鑰證書,用于判斷該漫游地ASU的合法性。
5.一種采用權(quán)利要求1所述網(wǎng)絡(luò)系統(tǒng)的獲取公鑰證書的方法,其特征在于當(dāng)用戶終端在歸屬地?zé)o線網(wǎng)絡(luò)進(jìn)行WAPI連接之前時(shí),其用戶獲取公鑰證書的流程包括下列操作步驟(1)STA下載歸屬地認(rèn)證服務(wù)器HASU的公鑰證書用戶終端STA在歸屬地首次使用客戶端軟件時(shí),先要下載歸屬地HASU的公鑰證書,以獲得對本地網(wǎng)絡(luò)的信任;具體過程是STA先向DCS服務(wù)器請求下載HASU公鑰證書,DCS服務(wù)器向該終端STA返回HASU公鑰證書后,終端STA要對該HASU公鑰證書進(jìn)行鑒別;若鑒別成功,則保留該HASU公鑰證書,將該HASU身份添加到STA的可信任ASU列表中;若鑒別失敗,則丟棄該HASU公鑰證書;(2)STA請求頒發(fā)用戶公鑰證書終端STA為了使用WAPI的安全數(shù)據(jù)傳輸,在DCS輔助下由歸屬地認(rèn)證服務(wù)器HASU為STA頒發(fā)用戶公鑰證書;具體過程是終端STA隨機(jī)生成私鑰和用戶公鑰,向DCS服務(wù)器提交用戶公鑰并請求為其頒發(fā)用戶公鑰證書;DCS服務(wù)器利用存儲的用戶名和密碼驗(yàn)證STA合法性,對驗(yàn)證成功的STA,先根據(jù)該用戶終端STA歸屬地位置選擇歸屬地HASU,再向該HASU提交用戶公鑰,并請求該HASU為終端STA頒發(fā)用戶公鑰證書;在HASU返回成功簽名的用戶公鑰證書后,DCS向該用戶終端STA返回已簽名的用戶公鑰證書,完成用戶公鑰證書頒發(fā)過程。
6.根據(jù)權(quán)利要求5所述的獲取公鑰證書的方法,其特征在于所述步驟(1)進(jìn)一步包括下列操作內(nèi)容(11)STA請求下載歸屬地HASU的公鑰證書,連接DCS服務(wù)器;(12)AAA服務(wù)器完成對STA的認(rèn)證;(13)終端STA向DCS服務(wù)器提交下載歸屬地認(rèn)證服務(wù)器HASU公鑰證書的請求,該信息中包含HASU身份,即HASU名稱;(14)DCS服務(wù)器向終端STA返回HASU公鑰證書;(15)終端STA鑒別HASU公鑰證書的真?zhèn)?,如果鑒別成功,則保留該HASU公鑰證書,將該HASU添加到可信任的ASU列表中;否則,丟棄該HASU公鑰證書。
7.根據(jù)權(quán)利要求5所述的獲取公鑰證書的方法,其特征在于所述步驟(2)進(jìn)一步包括下列操作內(nèi)容(21)用戶在終端上啟動頒發(fā)用戶公鑰證書過程,并輸入請求頒發(fā)用戶公鑰證書的用戶名和密碼;此時(shí),終端STA自動隨機(jī)生成用戶私鑰和用戶公鑰;(22)終端STA請求頒發(fā)用戶公鑰證書,連接DCS服務(wù)器;(23)AAA服務(wù)器完成對終端STA的認(rèn)證;(24)終端STA向DCS服務(wù)器提交用戶公鑰,請求頒發(fā)用戶公鑰證書;該請求信息包含請求頒發(fā)用戶公鑰證書的終端用戶名和密碼、以及用戶公鑰信息;(25)DCS服務(wù)器鑒別用戶名和密碼,如鑒別成功,則向該終端歸屬地HASU提交用戶公鑰,請求為該用戶終端STA頒發(fā)用戶公鑰證書,順序執(zhí)行后續(xù)操作;否則,向終端STA返回失敗響應(yīng),結(jié)束操作;(26)HASU對用戶公鑰進(jìn)行簽名,將已成功簽名的用戶公鑰證書返回給DCS服務(wù)器,DCS服務(wù)器再向終端STA返回成功頒發(fā)的用戶公鑰證書。
8.一種采用權(quán)利要求1所述網(wǎng)絡(luò)系統(tǒng)的獲取公鑰證書的方法,其特征在于當(dāng)用戶終端在漫游地?zé)o線網(wǎng)絡(luò)進(jìn)行WAPI連接之前時(shí),其獲取ASU公鑰證書的流程包括下列操作步驟(1)STA下載漫游地證書服務(wù)器ASU的公鑰證書用戶漫游到異地時(shí),先要與漫游地ASU建立信任關(guān)系,即先要下載漫游地ASU的公鑰證書,以獲取對本地網(wǎng)絡(luò)的信任;具體過程是每個終端STA都維護(hù)有各自信任的ASU列表,如果終端STA通過AP連接的ASU不在該可信任的ASU列表中時(shí),終端STA先向DCS服務(wù)器請求下載該ASU公鑰證書,DCS服務(wù)器向終端STA返回ASU公鑰證書后,該終端STA要對該ASU公鑰證書進(jìn)行鑒別,若鑒別成功,則保留該ASU公鑰證書,將該ASU添加到該STA的可信任ASU列表中;若鑒別失敗,則丟棄該ASU公鑰證書;(2)ASU下載HASU公鑰證書STA與HASU建立的信任關(guān)系只能保證在本地進(jìn)入WAPI安全網(wǎng)絡(luò),但無法在漫游地接入WAPI網(wǎng)絡(luò);當(dāng)用戶漫游到外地時(shí),漫游地ASU同樣要判斷該用戶終端的合法性,即要利用其歸屬地HASU公鑰證書鑒別該用戶終端STA的公鑰證書,并用自己的私鑰對證書鑒別結(jié)果進(jìn)行簽名;如果ASU沒有HASU的公鑰證書,則要向DCS申請下載HASU公鑰證書。
9.根據(jù)權(quán)利要求8所述的獲取公鑰證書的方法,其特征在于所述步驟(1)進(jìn)一步包括下列操作內(nèi)容(11)STA請求下載漫游地的ASU公鑰證書,連接DCS服務(wù)器;(12)AAA服務(wù)器完成對STA的認(rèn)證;(13)終端STA向DCS服務(wù)器發(fā)送下載漫游地的ASU公鑰證書的請求,該信息中包含ASU身份,即ASU名稱;(14)DCS服務(wù)器向終端STA返回該漫游地的ASU公鑰證書;(15)終端STA對ASU公鑰證書進(jìn)行鑒別,如果鑒別成功,則保留該ASU公鑰證書,將該ASU添加到其可信任的ASU列表中;否則,丟棄該ASU公鑰證書。
10.根據(jù)權(quán)利要求8所述的獲取公鑰證書的方法,其特征在于所述步驟(2)進(jìn)一步包括下列操作內(nèi)容(21)ASU啟動獲取漫游終端的歸屬地HASU公鑰證書的過程;(22)ASU向DCS服務(wù)器發(fā)起獲取HASU公鑰證書請求,該請求中包括HASU身份的信息;(23)DCS服務(wù)器向該ASU返回HASU公鑰證書;(24)ASU對獲取的HASU公鑰證書進(jìn)行鑒別;如果鑒別成功,則保留該HASU公鑰證書,將該HASU添加至其可信任ASU列表中;若鑒別失敗,則丟棄HASU公鑰證書。
全文摘要
一種用于WAPI的獲取公鑰證書的網(wǎng)絡(luò)系統(tǒng)和方法,該系統(tǒng)結(jié)構(gòu)簡單只增設(shè)一個目錄證書服務(wù)器DCS,用于存儲全網(wǎng)所有認(rèn)證服務(wù)器ASU的公鑰證書及其頒發(fā)用戶公鑰證書的IP地址和端口號;獲取ASU公鑰證書的操作也很簡單,容易實(shí)現(xiàn)。本發(fā)明較好地解決了STA與ASU獲取ASU公鑰證書的問題,使得STA與ASU之間很容易建立互相信任,解決了用戶異地漫游網(wǎng)絡(luò)的認(rèn)證問題,使得終端STA漫游到異地時(shí),仍然可以享受WAPI安全的網(wǎng)絡(luò)服務(wù)。DCS服務(wù)器還能夠協(xié)助歸屬地認(rèn)證服務(wù)器HASU完成對STA公鑰證書的頒發(fā)??傊景l(fā)明能很好地為用戶終端頒發(fā)用戶公鑰證書、解決用戶終端,尤其是異地漫游時(shí)完成ASU公鑰證書的獲取,實(shí)現(xiàn)對終端STA的認(rèn)證,具有很好的推廣應(yīng)用前景。
文檔編號H04L9/28GK101018174SQ20071006443
公開日2007年8月15日 申請日期2007年3月15日 優(yōu)先權(quán)日2007年3月15日
發(fā)明者胡鶴飛, 袁東明, 劉元安, 唐碧華 申請人:北京安拓思科技有限責(zé)任公司