本發(fā)明無(wú)線數(shù)據(jù)通信領(lǐng)域,具體而言,涉及一種證書申請(qǐng)方法、無(wú)線接入控制設(shè)備及無(wú)線接入點(diǎn)設(shè)備。
背景技術(shù):
無(wú)線系統(tǒng)在部署時(shí),出于安全原因考慮,所有的無(wú)線接入點(diǎn)設(shè)備(wirelessaccesspoint,簡(jiǎn)稱ap)以無(wú)線接入點(diǎn)控制與配置協(xié)議(controlandprovisioningofwirelessaccesspoints,簡(jiǎn)稱capwap)數(shù)據(jù)報(bào)文傳輸層安全協(xié)議(datagramtransportlayersecurity,簡(jiǎn)稱dtls)方式接入無(wú)線接入控制設(shè)備(wirelessaccesscontroller,簡(jiǎn)稱ac),所有的無(wú)線接入點(diǎn)設(shè)備都會(huì)被要求以dtls證書認(rèn)證的方式接入無(wú)線接入控制設(shè)備,為此需要在無(wú)線接入點(diǎn)設(shè)備初始部署時(shí)就為其申請(qǐng)和分發(fā)無(wú)線接入點(diǎn)設(shè)備的設(shè)備證書。
現(xiàn)有技術(shù)中,為大規(guī)模無(wú)線接入點(diǎn)設(shè)備申請(qǐng)和分發(fā)設(shè)備證書的方式有:
1.事先集中的為待部署的各個(gè)無(wú)線接入點(diǎn)設(shè)備申請(qǐng)好設(shè)備證書,并導(dǎo)入到無(wú)線接入點(diǎn)設(shè)備中,然后再分發(fā)無(wú)線接入點(diǎn)設(shè)備進(jìn)行安裝部署。
2.事先為待部署的各無(wú)線接入點(diǎn)設(shè)備進(jìn)行證書授權(quán)中心(certificateauthority,簡(jiǎn)稱ca)地址、scep功能等進(jìn)行配置,然后由各無(wú)線接入點(diǎn)設(shè)備自行訪問證書授權(quán)中心申請(qǐng)證書。
上述兩種方式在進(jìn)行大規(guī)模的證書申請(qǐng)和分發(fā)時(shí),都不可避免的面臨需要大量管理和維護(hù)工作量,限制了無(wú)線接入點(diǎn)設(shè)備的安全部署。
技術(shù)實(shí)現(xiàn)要素:
為了克服現(xiàn)有技術(shù)中的上述不足,本發(fā)明所要解決的技術(shù)問題是提供一種證書申請(qǐng)方法、無(wú)線接入控制設(shè)備及無(wú)線接入點(diǎn)設(shè)備,其能夠提供一種由無(wú)線接入控制設(shè)備對(duì)無(wú)線接入點(diǎn)設(shè)備的設(shè)備證書進(jìn)行代理申請(qǐng)的方法及無(wú)線接入控制設(shè)備,能夠?qū)崿F(xiàn)大規(guī)模無(wú)線接入點(diǎn)設(shè)備的證書的自動(dòng)部署,無(wú)需額外的操作。
本發(fā)明第一方面的目的在于一種證書申請(qǐng)方法,應(yīng)用于證書申請(qǐng)系統(tǒng),所述系統(tǒng)包括相互之間通信連接的無(wú)線接入點(diǎn)設(shè)備、無(wú)線接入控制設(shè)備、證書授權(quán)中心及設(shè)備管理中心,所述方法包括:
所述無(wú)線接入點(diǎn)設(shè)備從所述無(wú)線接入控制設(shè)備中獲得用于進(jìn)行證書代理申請(qǐng)的令牌信息;
所述無(wú)線接入點(diǎn)設(shè)備根據(jù)所述令牌信息建立與所述無(wú)線接入控制設(shè)備的通信,所述無(wú)線接入點(diǎn)設(shè)備發(fā)送證書代理請(qǐng)求報(bào)文到所述無(wú)線接入控制設(shè)備,其中,所述證書代理請(qǐng)求報(bào)文包括無(wú)線接入點(diǎn)設(shè)備的標(biāo)識(shí)信息,所述標(biāo)識(shí)信息包括:mac地址和/或設(shè)備序列號(hào);
所述無(wú)線接入控制設(shè)備在對(duì)所述無(wú)線接入點(diǎn)設(shè)備的標(biāo)識(shí)信息驗(yàn)證通過后,向所述設(shè)備管理中心查詢所述無(wú)線接入點(diǎn)設(shè)備的證書申請(qǐng)情況,根據(jù)證書申請(qǐng)情況從所述證書授權(quán)中心獲取設(shè)備證書;
所述無(wú)線接入控制設(shè)備在成功獲取設(shè)備證書后,將設(shè)備證書發(fā)送給所述無(wú)線接入點(diǎn)設(shè)備,并更新所述設(shè)備管理中心中所述無(wú)線接入點(diǎn)設(shè)備的記錄信息。
本發(fā)明第二方面的目的在于一種證書申請(qǐng)方法,應(yīng)用于與無(wú)線接入點(diǎn)設(shè)備、證書授權(quán)中心及設(shè)備管理中心通信連接的無(wú)線接入控制設(shè)備,所述方法包括:
所述無(wú)線接入控制設(shè)備發(fā)送用于進(jìn)行證書代理申請(qǐng)的令牌信息給所述無(wú)線接入點(diǎn)設(shè)備;
基于所述令牌信息建立與所述無(wú)線接入點(diǎn)設(shè)備通信,接收所述無(wú)線接入點(diǎn)設(shè)備發(fā)送證書代理請(qǐng)求報(bào)文,其中,所述證書代理請(qǐng)求報(bào)文包括無(wú)線接入點(diǎn)設(shè)備的標(biāo)識(shí)信息,所述標(biāo)識(shí)信息包括:mac地址和/或設(shè)備序列號(hào);
在對(duì)所述無(wú)線接入點(diǎn)設(shè)備的標(biāo)識(shí)信息驗(yàn)證通過后,向所述設(shè)備管理中心查詢所述無(wú)線接入點(diǎn)設(shè)備的證書申請(qǐng)情況,根據(jù)證書申請(qǐng)情況從所述證書授權(quán)中心獲取設(shè)備證書;
在成功獲取設(shè)備證書后,將設(shè)備證書發(fā)送給所述無(wú)線接入點(diǎn)設(shè)備,并更新所述設(shè)備管理中心中所述無(wú)線接入點(diǎn)設(shè)備的記錄信息。
本發(fā)明第三方面的目的在于提供一種無(wú)線接入控制設(shè)備,所述無(wú)線接入控制設(shè)備與無(wú)線接入點(diǎn)設(shè)備、證書授權(quán)中心及設(shè)備管理中心通信連接,所述無(wú)線接入控制設(shè)備包括:
發(fā)送模塊,用于發(fā)送用于進(jìn)行證書代理申請(qǐng)的令牌信息給所述無(wú)線接入點(diǎn)設(shè)備;
安全通信模塊,用于基于所述令牌信息建立與所述無(wú)線接入點(diǎn)設(shè)備的安全通信通道,接收所述無(wú)線接入點(diǎn)設(shè)備發(fā)送證書代理請(qǐng)求報(bào)文,其中,所述證書代理請(qǐng)求報(bào)文包括無(wú)線接入點(diǎn)設(shè)備的標(biāo)識(shí)信息,所述標(biāo)識(shí)信息包括:mac地址和/或設(shè)備序列號(hào);
證書獲取模塊,用于在對(duì)所述無(wú)線接入點(diǎn)設(shè)備的標(biāo)識(shí)信息驗(yàn)證通過后,向所述設(shè)備管理中心查詢所述無(wú)線接入點(diǎn)設(shè)備的證書申請(qǐng)情況,根據(jù)證書申請(qǐng)情況從所述證書授權(quán)中心獲取設(shè)備證書;
所述安全通信模塊,還用于在成功獲取設(shè)備證書后,將設(shè)備證書發(fā)送給所述無(wú)線接入點(diǎn)設(shè)備;
所述證書獲取模塊,還用于在成功獲取設(shè)備證書后,更新所述設(shè)備管理中心中所述無(wú)線接入點(diǎn)設(shè)備的記錄信息。
本發(fā)明第四方面的目的在于提供一種無(wú)線接入點(diǎn)設(shè)備,所述無(wú)線接入點(diǎn)設(shè)備與無(wú)線接入控制設(shè)備通信連接,所述無(wú)線接入點(diǎn)設(shè)備包括:
發(fā)送模塊,用于發(fā)送請(qǐng)求報(bào)文到所述無(wú)線接入控制設(shè)備,以使所述無(wú)線接入控制設(shè)備在接收到所述請(qǐng)求報(bào)文后,根據(jù)預(yù)設(shè)的決策策略決定是否為所述無(wú)線接入點(diǎn)設(shè)備進(jìn)行證書代理申請(qǐng),其中,所述請(qǐng)求報(bào)文中包括無(wú)線接入點(diǎn)設(shè)備的標(biāo)識(shí)信息,所述標(biāo)識(shí)信息包括:mac地址和/或設(shè)備序列號(hào);
接收模塊,用于接收所述無(wú)線接入控制設(shè)備在決定為所述無(wú)線接入點(diǎn)設(shè)備進(jìn)行證書代理申請(qǐng)時(shí)發(fā)送的響應(yīng)報(bào)文,所述響應(yīng)報(bào)文中包括用于進(jìn)行證書代理申請(qǐng)的令牌信息;
安全通信模塊,用于根據(jù)所述令牌信息建立與所述無(wú)線接入控制設(shè)備的安全通信通道,通過所述安全通信通道發(fā)送證書代理請(qǐng)求報(bào)文到所述無(wú)線接入控制設(shè)備,其中,所述證書代理請(qǐng)求報(bào)文包括無(wú)線接入點(diǎn)設(shè)備的標(biāo)識(shí)信息,所述標(biāo)識(shí)信息包括:mac地址和/或設(shè)備序列號(hào);
所述安全通信模塊,還用于通過所述安全通信通道接收所述無(wú)線接入控制設(shè)備代理申請(qǐng)的設(shè)備證書。
相對(duì)于現(xiàn)有技術(shù)而言,本發(fā)明具有以下有益效果:
本發(fā)明提供一種證書申請(qǐng)方法、無(wú)線接入控制設(shè)備及無(wú)線接入點(diǎn)設(shè)備。所述無(wú)線接入點(diǎn)設(shè)備在獲得用于進(jìn)行證書代理申請(qǐng)的令牌信息后,發(fā)送證書代理請(qǐng)求報(bào)文到所述無(wú)線接入控制設(shè)備,所述無(wú)線接入控制設(shè)備向所述設(shè)備管理中心查詢所述無(wú)線接入點(diǎn)設(shè)備的證書申請(qǐng)情況,根據(jù)證書申請(qǐng)情況從所述證書授權(quán)中心獲取設(shè)備證書。所述無(wú)線接入控制設(shè)備在成功獲取設(shè)備證書后,將設(shè)備證書發(fā)送給所述無(wú)線接入點(diǎn)設(shè)備。在上述過程中,無(wú)線接入控制設(shè)備代理無(wú)線接入點(diǎn)設(shè)備的證書申請(qǐng),實(shí)現(xiàn)對(duì)大規(guī)模無(wú)線接入點(diǎn)設(shè)備的證書自動(dòng)部署,解決了無(wú)線接入點(diǎn)設(shè)備在實(shí)際部署和使用過程中復(fù)雜、難以管理維護(hù)的問題,簡(jiǎn)化和節(jié)省管理維護(hù)成本。
附圖說明
為了更清楚地說明本發(fā)明實(shí)施例的技術(shù)方案,下面將對(duì)實(shí)施例中所需要使用的附圖作簡(jiǎn)單地介紹,應(yīng)當(dāng)理解,以下附圖僅示出了本發(fā)明的某些實(shí)施例,因此不應(yīng)被看作是對(duì)范圍的限定,對(duì)于本領(lǐng)域普通技術(shù)人員來講,在不付出創(chuàng)造性勞動(dòng)的前提下,還可以根據(jù)這些附圖獲得其他相關(guān)的附圖。
圖1是本發(fā)明實(shí)施例提供的一種證書申請(qǐng)系統(tǒng)的結(jié)構(gòu)方框圖。
圖2是本發(fā)明第一實(shí)施例提供的證書申請(qǐng)方法的一種步驟流程圖。
圖3是圖2中步驟中s110的子步驟流程圖。
圖4是本發(fā)明第一實(shí)施例提供的證書申請(qǐng)方法的另一種步驟流程圖。
圖5是本發(fā)明第二實(shí)施例提供的證書申請(qǐng)方法的步驟流程圖。
圖6是本發(fā)明第三實(shí)施例提供的無(wú)線接入控制設(shè)備功能模塊圖。
圖7是本發(fā)明第四實(shí)施例提供的無(wú)線接入點(diǎn)設(shè)備功能模塊圖。
具體實(shí)施方式
為使本發(fā)明實(shí)施例的目的、技術(shù)方案和優(yōu)點(diǎn)更加清楚,下面將結(jié)合本發(fā)明實(shí)施例中的附圖,對(duì)本發(fā)明實(shí)施例中的技術(shù)方案進(jìn)行清楚、完整地描述,顯然,所描述的實(shí)施例是本發(fā)明一部分實(shí)施例,而不是全部的實(shí)施例。通常在此處附圖中描述和示出的本發(fā)明實(shí)施例的組件可以以各種不同的配置來布置和設(shè)計(jì)。
因此,以下對(duì)在附圖中提供的本發(fā)明的實(shí)施例的詳細(xì)描述并非旨在限制要求保護(hù)的本發(fā)明的范圍,而是僅僅表示本發(fā)明的選定實(shí)施例。基于本發(fā)明中的實(shí)施例,本領(lǐng)域普通技術(shù)人員在沒有作出創(chuàng)造性勞動(dòng)前提下所獲得的所有其他實(shí)施例,都屬于本發(fā)明保護(hù)的范圍。
應(yīng)注意到:相似的標(biāo)號(hào)和字母在下面的附圖中表示類似項(xiàng),因此,一旦某一項(xiàng)在一個(gè)附圖中被定義,則在隨后的附圖中不需要對(duì)其進(jìn)行進(jìn)一步定義和解釋。
請(qǐng)參照?qǐng)D1,圖1是本發(fā)明較佳實(shí)施例提供的證書申請(qǐng)系統(tǒng)的結(jié)構(gòu)框圖,所述證書申請(qǐng)系統(tǒng)包括:無(wú)線接入點(diǎn)設(shè)備100、無(wú)線接入控制設(shè)備300、證書授權(quán)中心500及設(shè)備管理中心400。所述無(wú)線接入點(diǎn)設(shè)備100與所述無(wú)線接入控制設(shè)備300連接為用戶提供無(wú)線接入服務(wù)。
所述無(wú)線接入控制設(shè)備300負(fù)責(zé)對(duì)無(wú)線接入點(diǎn)設(shè)備100進(jìn)行接入控制和管理,進(jìn)行具體無(wú)線業(yè)務(wù)的處理。
所述證書授權(quán)中心500提供對(duì)無(wú)線接入點(diǎn)設(shè)備100的設(shè)備證書信息查詢,以及對(duì)無(wú)線接入點(diǎn)設(shè)備100的設(shè)備證書進(jìn)行簽發(fā)等,所述證書授權(quán)中心500與所述無(wú)線接入控制設(shè)備300通信連接,所述證書授權(quán)中心500可以由用戶自行搭建,也可以由第三方提供。
所述設(shè)備管理中心400與無(wú)線接入控制設(shè)備300通信連接,所述設(shè)備管理中心400記錄各個(gè)無(wú)線接入點(diǎn)設(shè)備100的mac地址、設(shè)備序列號(hào)sn、管理維護(hù)狀態(tài)、無(wú)線接入點(diǎn)設(shè)備的證書使用狀態(tài),及無(wú)線接入點(diǎn)設(shè)備100可接入無(wú)線接入控制設(shè)備300的列表等信息。
第一實(shí)施例
請(qǐng)參照?qǐng)D2,圖2是本發(fā)明較佳實(shí)施例提供的證書申請(qǐng)方法的一種步驟流程圖。所述方法應(yīng)用于證書申請(qǐng)系統(tǒng),下面對(duì)證書申請(qǐng)方法的步驟做具體的描述。
步驟s110,無(wú)線接入點(diǎn)設(shè)備100從所述無(wú)線接入控制設(shè)備300中獲得用于進(jìn)行證書代理申請(qǐng)的令牌信息。
請(qǐng)參照?qǐng)D3,圖3為實(shí)現(xiàn)步驟s110的一種流程示意圖,可選地,所述步驟s110可以包括子步驟s111,子步驟s112及子步驟s113。
子步驟s111,無(wú)線接入點(diǎn)設(shè)備100發(fā)送請(qǐng)求報(bào)文到所述無(wú)線接入控制設(shè)備300,所述請(qǐng)求報(bào)文中包括無(wú)線接入點(diǎn)設(shè)備100的標(biāo)識(shí)信息。
在本實(shí)施例中,可選地,無(wú)線接入點(diǎn)設(shè)備100按照現(xiàn)有的網(wǎng)絡(luò)部署方式,通過靜態(tài)配置、dhcpoffer、或discovery廣播等方式發(fā)送請(qǐng)求報(bào)文到無(wú)線接入控制設(shè)備300。其中,所述請(qǐng)求報(bào)文中包括無(wú)線接入點(diǎn)設(shè)備100的標(biāo)識(shí)信息,所述標(biāo)識(shí)信息包括mac地址和/或設(shè)備序列號(hào)。也就是說該標(biāo)識(shí)信息可以包括無(wú)線接入點(diǎn)設(shè)備100的mac地址或無(wú)線接入點(diǎn)設(shè)備100的設(shè)備序列號(hào),也可以同時(shí)包括無(wú)線接入點(diǎn)設(shè)備100的mac地址和無(wú)線接入點(diǎn)設(shè)備100的設(shè)備序列號(hào)。該標(biāo)識(shí)信息供無(wú)線接入控制設(shè)備300對(duì)無(wú)線接入點(diǎn)設(shè)備100的控制狀態(tài)(無(wú)線接入點(diǎn)設(shè)備100是否屬于該無(wú)線接入控制設(shè)備300管理范圍等)以及證書申請(qǐng)狀態(tài)進(jìn)行查詢。所述請(qǐng)求報(bào)文中還可以包括當(dāng)前證書序號(hào),用于無(wú)線接入控制設(shè)備300判斷當(dāng)前證書是否經(jīng)由本設(shè)備申請(qǐng)以及是否需要對(duì)無(wú)線接入點(diǎn)設(shè)備100的當(dāng)前證書進(jìn)行更新??蛇x地,本發(fā)明實(shí)施例中的所述請(qǐng)求報(bào)文為擴(kuò)展后的discoveryrequest報(bào)文。
子步驟s112,所述無(wú)線接入控制設(shè)備300在接收到所述請(qǐng)求報(bào)文后,根據(jù)預(yù)設(shè)的決策策略決定是否為所述無(wú)線接入點(diǎn)設(shè)備100進(jìn)行證書代理申請(qǐng)。
在本實(shí)施例中,可選地,所述子步驟s112可以包括:
若所述無(wú)線接入控制設(shè)備300的證書認(rèn)證方式未被開啟,則決定無(wú)需為所述無(wú)線接入點(diǎn)設(shè)備100進(jìn)行證書代理申請(qǐng)。
若所述無(wú)線接入控制設(shè)備300在所述設(shè)備管理中心400查詢到所述無(wú)線接入點(diǎn)設(shè)備100為第一次上線,或所述無(wú)線接入控制設(shè)備300根據(jù)所述無(wú)線接入點(diǎn)設(shè)備100當(dāng)前證書信息在所述設(shè)備管理中心400查詢到的證書狀態(tài)為失效或鄰近失效時(shí),則決定為所述無(wú)線接入點(diǎn)設(shè)備100進(jìn)行證書代理申請(qǐng)。其中,鄰近失效的證書是指證書的有效使用時(shí)間小于預(yù)設(shè)時(shí)間(比如,7天)的證書。
子步驟s113,當(dāng)決定為所述無(wú)線接入點(diǎn)設(shè)備100進(jìn)行證書代理申請(qǐng)時(shí),所述無(wú)線接入控制設(shè)備300發(fā)送響應(yīng)報(bào)文到所述無(wú)線接入點(diǎn)設(shè)備100,其中,所述響應(yīng)報(bào)文包括根據(jù)所述無(wú)線接入點(diǎn)設(shè)備100的標(biāo)識(shí)信息生成的令牌信息。
若根據(jù)預(yù)設(shè)的決策策略決定為所述無(wú)線接入點(diǎn)設(shè)備100進(jìn)行證書代理申請(qǐng),無(wú)線接入控制設(shè)備300會(huì)根據(jù)無(wú)線接入點(diǎn)設(shè)備100的標(biāo)識(shí)信息、隨機(jī)數(shù)信息等生成令牌信息。并將令牌信息作為響應(yīng)報(bào)文的一部分發(fā)送給無(wú)線接入點(diǎn)設(shè)備100。可選地,本發(fā)明實(shí)施例中的所述響應(yīng)報(bào)文為擴(kuò)展后的discoveryresponse報(bào)文。
步驟s120,所述無(wú)線接入點(diǎn)設(shè)備100根據(jù)所述令牌信息建立與所述無(wú)線接入控制設(shè)備300建立安全通信通道,所述無(wú)線接入點(diǎn)設(shè)備100發(fā)送證書代理請(qǐng)求報(bào)文到所述無(wú)線接入控制設(shè)備300。
在本實(shí)施例中,所述無(wú)線接入點(diǎn)設(shè)備100與所述無(wú)線接入控制設(shè)備300根據(jù)所述令牌信息以及隨機(jī)數(shù)信息的交互,協(xié)商該通信通道的加密秘鑰建立起安全通信通道,以對(duì)通過該通信通道交互的與證書代理有關(guān)的內(nèi)容進(jìn)行保護(hù)。所述無(wú)線接入點(diǎn)設(shè)備100通過安全通信通道發(fā)送證書代理請(qǐng)求報(bào)文到所述無(wú)線接入控制設(shè)備300。所述證書代理請(qǐng)求報(bào)文包括無(wú)線接入點(diǎn)設(shè)備100的標(biāo)識(shí)信息,所述標(biāo)識(shí)信息包括:mac地址和/或設(shè)備序列號(hào)。也就是說該標(biāo)識(shí)信息可以包括無(wú)線接入點(diǎn)設(shè)備100的mac地址或無(wú)線接入點(diǎn)設(shè)備100的設(shè)備序列號(hào),也可以同時(shí)包括無(wú)線接入點(diǎn)設(shè)備100的mac地址和無(wú)線接入點(diǎn)設(shè)備100的設(shè)備序列號(hào)。所述標(biāo)識(shí)信息用于供無(wú)線接入控制裝設(shè)備300進(jìn)行校驗(yàn)核對(duì),并作為后續(xù)證書申請(qǐng)時(shí)的證書內(nèi)容信息。
步驟s130,所述無(wú)線接入控制設(shè)備300在對(duì)所述無(wú)線接入點(diǎn)設(shè)備100的標(biāo)識(shí)信息驗(yàn)證通過后,向所述設(shè)備管理中心400查詢所述無(wú)線接入點(diǎn)設(shè)備100的證書申請(qǐng)情況,根據(jù)證書申請(qǐng)情況從所述證書授權(quán)中心500獲取設(shè)備證書。
在本實(shí)施例中,在對(duì)所述無(wú)線接入點(diǎn)設(shè)備100的標(biāo)識(shí)信息驗(yàn)證通過后,所述無(wú)線接入控制設(shè)備300向所述設(shè)備管理中心400查詢所述無(wú)線接入點(diǎn)設(shè)備100的證書申請(qǐng)情況。所述證書申請(qǐng)情況包括存在申請(qǐng)記錄的情形和不存在申請(qǐng)記錄的情形。
當(dāng)所述設(shè)備管理中心400已經(jīng)存在證書申請(qǐng)記錄,根據(jù)記錄的證書申請(qǐng)信息從所述證書授權(quán)中心500獲取設(shè)備證書??蛇x的,在該情形下從所述證書授權(quán)中心500獲取設(shè)備證書的步驟可以包括:
所述無(wú)線接入控制設(shè)備300根據(jù)記錄的證書申請(qǐng)信息,向所述證書授權(quán)中心500請(qǐng)求獲取設(shè)備證書。
若所述證書授權(quán)中心500已經(jīng)完成證書簽發(fā),則將證書返回給所述無(wú)線接入控制設(shè)備300,并通過安全通信通道下發(fā)給所述無(wú)線接入點(diǎn)設(shè)備100。
若所述證書授權(quán)中心500尚未完成證書簽發(fā),則將結(jié)果返回給所述無(wú)線接入控制設(shè)備300,通知所述無(wú)線接入點(diǎn)設(shè)備100在等待預(yù)設(shè)時(shí)間后再次進(jìn)行連接,直到獲得設(shè)備證書。
在本實(shí)施例中,證書授權(quán)中心500簽發(fā)證書的方式可以包括自動(dòng)簽發(fā)或者由管理員確認(rèn)后進(jìn)行簽發(fā),在采用管理員確認(rèn)后進(jìn)行簽發(fā)的方式時(shí),設(shè)備證書可能要多次操作才能夠獲得。
若所述設(shè)備管理中心400不存在證書申請(qǐng)記錄,為所述無(wú)線接入點(diǎn)設(shè)備100生成證書申請(qǐng),并根據(jù)生成的證書申請(qǐng)信息向所述證書授權(quán)中心500申請(qǐng)?jiān)O(shè)備證書。
在本實(shí)施例中,可選地,為所述無(wú)線接入點(diǎn)設(shè)備100生成證書申請(qǐng)的方式可以如下:
為所述無(wú)線接入點(diǎn)設(shè)備100生成證書的公私密鑰對(duì)信息。
從所述設(shè)備管理中心400獲取所述無(wú)線接入點(diǎn)設(shè)備100的相關(guān)信息,其中,相關(guān)信息包括無(wú)線接入點(diǎn)設(shè)備100可接入無(wú)線接入控制設(shè)備300的列表信息和無(wú)線接入點(diǎn)設(shè)備100的標(biāo)識(shí)信息。
根據(jù)所述公私密鑰對(duì)信息和所述無(wú)線接入點(diǎn)設(shè)備100的相關(guān)信息生成證書申請(qǐng)。
在生成證書申請(qǐng)后無(wú)線接入控制設(shè)備300采用與所述設(shè)備管理中心400已經(jīng)存在證書申請(qǐng)記錄情形下相同的方式從所述證書授權(quán)中心500獲得無(wú)線接入點(diǎn)設(shè)備的設(shè)備證書,具體地過程在此就不再進(jìn)行贅述。
步驟s140,所述無(wú)線接入控制設(shè)備300在成功獲取設(shè)備證書后,將設(shè)備證書發(fā)送給所述無(wú)線接入點(diǎn)設(shè)備100,并更新所述設(shè)備管理中心400中所述無(wú)線接入點(diǎn)設(shè)備100的記錄信息。
請(qǐng)參照?qǐng)D4,圖4是本發(fā)明第一實(shí)施例提供的另一種證書申請(qǐng)方法流程示意圖,所述方法還包括步驟s150。
步驟s150,所述無(wú)線接入點(diǎn)設(shè)備100將獲得的設(shè)備證書進(jìn)行保存,并根據(jù)獲得的設(shè)備證書與所述無(wú)線接入控制設(shè)備300進(jìn)行數(shù)據(jù)報(bào)文傳輸層安全協(xié)議(dtls)協(xié)商后接入所述無(wú)線接入控制設(shè)備。
在本實(shí)施例中,所述無(wú)線接入點(diǎn)設(shè)備100在接收到設(shè)備證書后,會(huì)將相應(yīng)的設(shè)備證書信息存儲(chǔ)在所述無(wú)線接入點(diǎn)設(shè)備100的非易失存儲(chǔ)空間中。在無(wú)線接入點(diǎn)設(shè)備100與無(wú)線接入控制設(shè)備300重新建立連接時(shí),所述無(wú)線接入點(diǎn)設(shè)備100根據(jù)獲得的設(shè)備證書與所述無(wú)線接入控制設(shè)備300進(jìn)行協(xié)商后建立連接。
第二實(shí)施例
請(qǐng)參照?qǐng)D5,圖5是本發(fā)明第二實(shí)施例提供的證書申請(qǐng)方法流程示意圖,所述證書申請(qǐng)方法應(yīng)用于與無(wú)線接入點(diǎn)設(shè)備100、證書授權(quán)中心500及設(shè)備管理中心400通信連接的無(wú)線接入控制設(shè)備300,下面對(duì)證書申請(qǐng)方法的步驟做具體的描述。
步驟s210,無(wú)線接入控制設(shè)備300發(fā)送用于進(jìn)行證書代理申請(qǐng)的令牌信息給所述無(wú)線接入點(diǎn)設(shè)備100。
在本實(shí)施例中,所述步驟s210可以包括:
接收所述無(wú)線接入點(diǎn)設(shè)備100發(fā)送請(qǐng)求報(bào)文,所述請(qǐng)求報(bào)文中包括無(wú)線接入點(diǎn)設(shè)備100的標(biāo)識(shí)信息。
在接收到所述請(qǐng)求報(bào)文后,根據(jù)預(yù)設(shè)的決策策略決定是否為所述無(wú)線接入點(diǎn)設(shè)備100進(jìn)行證書代理申請(qǐng)。
在本實(shí)施例中,根據(jù)預(yù)設(shè)的決策策略決定是否為所述無(wú)線接入點(diǎn)設(shè)備100進(jìn)行證書代理申請(qǐng)的具體描述可以參照第一實(shí)施例中的子步驟s112,在此就不再贅述。
當(dāng)決定為所述無(wú)線接入點(diǎn)設(shè)備100進(jìn)行證書代理申請(qǐng)時(shí),發(fā)送響應(yīng)報(bào)文到所述無(wú)線接入點(diǎn)設(shè)備100,其中,所述響應(yīng)報(bào)文包括根據(jù)所述無(wú)線接入點(diǎn)設(shè)備的標(biāo)識(shí)信息生成的令牌信息。
步驟s220,基于所述令牌信息建立與所述無(wú)線接入點(diǎn)設(shè)備100通信,接收所述無(wú)線接入點(diǎn)設(shè)備100發(fā)送證書代理請(qǐng)求報(bào)文。
步驟s230,在對(duì)所述無(wú)線接入點(diǎn)設(shè)備100的標(biāo)識(shí)信息驗(yàn)證通過后,向所述設(shè)備管理中心400查詢所述無(wú)線接入點(diǎn)設(shè)備100的證書申請(qǐng)情況,根據(jù)證書申請(qǐng)情況從所述證書授權(quán)中心500獲取設(shè)備證書。
在本實(shí)施例中,根據(jù)證書申請(qǐng)情況從所述證書授權(quán)中心500獲取設(shè)備證書的具體描述可以參照第一實(shí)施例中的步驟s130,在此就不再贅述。
步驟s240,在成功獲取設(shè)備證書后,將設(shè)備證書發(fā)送給所述無(wú)線接入點(diǎn)設(shè)備100,并更新所述設(shè)備管理中心400中所述無(wú)線接入點(diǎn)設(shè)備100的記錄信息。
第三實(shí)施例
請(qǐng)參照?qǐng)D6,圖6為本發(fā)明較佳實(shí)施例提供的無(wú)線接入控制設(shè)備300的功能模塊框圖,所述無(wú)線接入控制設(shè)備300與無(wú)線接入點(diǎn)設(shè)備100、證書授權(quán)中心500及設(shè)備管理中心400通信連接,所述無(wú)線接入控制設(shè)備300包括:發(fā)送模塊310、安全通信模塊320及證書獲取模塊330。
所述發(fā)送模塊310,用于發(fā)送用于進(jìn)行證書代理申請(qǐng)的令牌信息給所述無(wú)線接入點(diǎn)設(shè)備100。
所述發(fā)送模塊310用于執(zhí)行圖5中的步驟s210,關(guān)于所述發(fā)送模塊310的具體描述可以參照步驟s210的描述。
所述安全通信模塊320,用于基于所述令牌信息建立與所述無(wú)線接入點(diǎn)設(shè)備的安全100通信通道,接收所述無(wú)線接入點(diǎn)設(shè)備100發(fā)送證書代理請(qǐng)求報(bào)文,其中,所述證書代理請(qǐng)求報(bào)文包括無(wú)線接入點(diǎn)設(shè)備100的標(biāo)識(shí)信息,所述標(biāo)識(shí)信息包括:mac地址和/或設(shè)備序列號(hào)。也就是說該標(biāo)識(shí)信息可以包括無(wú)線接入點(diǎn)設(shè)備100的mac地址或無(wú)線接入點(diǎn)設(shè)備100的設(shè)備序列號(hào),也可以同時(shí)包括無(wú)線接入點(diǎn)設(shè)備100的mac地址和無(wú)線接入點(diǎn)設(shè)備100的設(shè)備序列號(hào)。
所述證書獲取模塊330,用于在對(duì)所述無(wú)線接入點(diǎn)設(shè)備100的標(biāo)識(shí)信息驗(yàn)證通過后,向所述設(shè)備管理中心400查詢所述無(wú)線接入點(diǎn)設(shè)備100的證書申請(qǐng)情況,根據(jù)證書申請(qǐng)情況從所述證書授權(quán)中心500獲取設(shè)備證書。
所述安全通信模塊320還用于在成功獲取設(shè)備證書后,將設(shè)備證書發(fā)送給所述無(wú)線接入點(diǎn)設(shè)備100。
所述證書獲取模塊330還用于在成功獲取設(shè)備證書后,更新所述設(shè)備管理中心400中所述無(wú)線接入點(diǎn)設(shè)備100的記錄信息。
所述安全通信模塊320及證書獲取模塊330用于執(zhí)行圖5中的相應(yīng)步驟,關(guān)于安全通信模塊320及證書獲取模塊330的具體描述可以參照對(duì)圖5中步驟的描述。
請(qǐng)?jiān)俅螀⒄請(qǐng)D6,在本實(shí)施例中,可選地,所述無(wú)線接入控制設(shè)300還可以包括接收模塊340,接收模塊340用于接收所述無(wú)線接入點(diǎn)設(shè)備100發(fā)送的請(qǐng)求報(bào)文,所述請(qǐng)求報(bào)文中包括無(wú)線接入點(diǎn)設(shè)備100的標(biāo)識(shí)信息。
具體地,在接收模塊340接收所述無(wú)線接入點(diǎn)設(shè)備100發(fā)送的請(qǐng)求報(bào)文后,所述發(fā)送模塊310用于根據(jù)預(yù)設(shè)決策策略決定是否為所述無(wú)線接入點(diǎn)設(shè)備100進(jìn)行證書代理申請(qǐng);當(dāng)決定為所述無(wú)線接入點(diǎn)設(shè)備100進(jìn)行證書代理申請(qǐng)時(shí),發(fā)送響應(yīng)報(bào)文到所述無(wú)線接入點(diǎn)設(shè)備100,其中,所述響應(yīng)報(bào)文包括根據(jù)所述無(wú)線接入點(diǎn)設(shè)備100的標(biāo)識(shí)信息生成的令牌信息。
第四實(shí)施例
請(qǐng)參照?qǐng)D7,圖7為本發(fā)明較佳實(shí)施例提供的無(wú)線接入點(diǎn)設(shè)備100的功能模塊框圖,所述無(wú)線接入點(diǎn)設(shè)備100與無(wú)線接入控制設(shè)備300通信連接,所述無(wú)線接入點(diǎn)設(shè)備100包括:發(fā)送模塊110、接收模塊120及安全通信模塊130。
發(fā)送模塊110,用于發(fā)送請(qǐng)求報(bào)文到所述無(wú)線接入控制設(shè)備300,以使所述無(wú)線接入控制設(shè)備300在接收到所述請(qǐng)求報(bào)文后,根據(jù)預(yù)設(shè)的決策策略決定是否為所述無(wú)線接入點(diǎn)設(shè)備100進(jìn)行證書代理申請(qǐng)。其中,所述請(qǐng)求報(bào)文中包括無(wú)線接入點(diǎn)設(shè)備100的標(biāo)識(shí)信息,所述標(biāo)識(shí)信息包括:mac地址和/或設(shè)備序列號(hào)。
接收模塊120,用于接收所述無(wú)線接入控制設(shè)備300在決定為所述無(wú)線接入點(diǎn)設(shè)備100進(jìn)行證書代理申請(qǐng)時(shí)發(fā)送的響應(yīng)報(bào)文,所述響應(yīng)報(bào)文中包括用于進(jìn)行證書代理申請(qǐng)的令牌信息。
安全通信模塊130,用于根據(jù)所述令牌信息建立與所述無(wú)線接入控制設(shè)備300的安全通信通道,通過所述安全通信通道發(fā)送證書代理請(qǐng)求報(bào)文到所述無(wú)線接入控制設(shè)備300,其中,所述證書代理請(qǐng)求報(bào)文包括無(wú)線接入點(diǎn)設(shè)備100的標(biāo)識(shí)信息,所述標(biāo)識(shí)信息包括:mac地址和/或設(shè)備序列號(hào)。
在本實(shí)施例中,所述安全通信模塊130還用于通過所述安全通信通道接收所述無(wú)線接入控制設(shè)備300代理申請(qǐng)的設(shè)備證書。
綜上所述,本發(fā)明提供一種證書申請(qǐng)方法、無(wú)線接入控制設(shè)備及無(wú)線接入點(diǎn)設(shè)備,所述無(wú)線接入點(diǎn)設(shè)備在獲得用于進(jìn)行證書代理申請(qǐng)的令牌信息后,發(fā)送證書代理請(qǐng)求報(bào)文到所述無(wú)線接入控制設(shè)備,所述無(wú)線接入控制設(shè)備向所述設(shè)備管理中心查詢所述無(wú)線接入點(diǎn)設(shè)備的證書申請(qǐng)情況,根據(jù)證書申請(qǐng)情況從所述證書授權(quán)中心獲取設(shè)備證書。所述無(wú)線接入控制設(shè)備在成功獲取設(shè)備證書后,將設(shè)備證書發(fā)送給所述無(wú)線接入點(diǎn)設(shè)備。在上述過程中,無(wú)線接入控制設(shè)備代理無(wú)線接入點(diǎn)設(shè)備的證書申請(qǐng),實(shí)現(xiàn)對(duì)大規(guī)模無(wú)線接入點(diǎn)設(shè)備的證書自動(dòng)部署,解決了無(wú)線接入點(diǎn)設(shè)備在實(shí)際部署和使用過程中復(fù)雜、難以管理維護(hù)的問題,簡(jiǎn)化和節(jié)省管理維護(hù)成本。
另外,在本發(fā)明各個(gè)實(shí)施例中的各功能模塊可以集成在一起形成一個(gè)獨(dú)立的部分,也可以是各個(gè)模塊單獨(dú)存在,也可以兩個(gè)或兩個(gè)以上模塊集成形成一個(gè)獨(dú)立的部分。
以上所述僅為本發(fā)明的優(yōu)選實(shí)施例而已,并不用于限制本發(fā)明,對(duì)于本領(lǐng)域的技術(shù)人員來說,本發(fā)明可以有各種更改和變化。凡在本發(fā)明的精神和原則之內(nèi),所作的任何修改、等同替換、改進(jìn)等,均應(yīng)包含在本發(fā)明的保護(hù)范圍之內(nèi)。應(yīng)注意到:相似的標(biāo)號(hào)和字母在下面的附圖中表示類似項(xiàng),因此,一旦某一項(xiàng)在一個(gè)附圖中被定義,則在隨后的附圖中不需要對(duì)其進(jìn)行進(jìn)一步定義和解釋。
以上所述僅為本發(fā)明的優(yōu)選實(shí)施例而已,并不用于限制本發(fā)明,對(duì)于本領(lǐng)域的技術(shù)人員來說,本發(fā)明可以有各種更改和變化。凡在本發(fā)明的精神和原則之內(nèi),所作的任何修改、等同替換、改進(jìn)等,均應(yīng)包含在本發(fā)明的保護(hù)范圍之內(nèi)。