专利名称:一种无线局域网移动终端申请证书的方法
技术领域:
本发明涉及无线网络技术,特别是涉及一种无线局域网移动终端申请证书的方法。
背景技术:
无线局域网(Wireless Local Area Network,WLAN)以其灵活便捷的优势引起网络设备制造商、网络运营商和用户的普遍关注,但是,由于WLAN的安全性较差,也引发了不少问题。依据统计调查的结果,安全性较低已经成为WLAN广泛应用的最大障碍。
目前无线局域网络产品主要采用的安全措施是依据IEEE 802.11国际标准,使用基于RC-4的WEP保密机制对数据进行加密传输。但是该机制已经被证实存在安全漏洞。2001年8月以色列的研究人员和思科公司进行了WEP安全测试,他们根据窃听到的一部分数据,不到一个小时就破译出WEP密钥。AT&T的研究团体也成功地破译出WEP密钥。
所以,如何保证无线通信的保密性是亟待解决的问题。
我国宽带无线IP标准工作组制定了WLAN国家标准GB/T 15629.11,提出了一种新的安全机制无线局域网鉴别与保密基础结构(WLANAuthentication and Privacy Infrastructure,WAPI)。WAPI机制提供了一种基于公钥证书机制的无线局域网移动终端安全接入方法。WAPI安全方案中有无线接入用户终端(Station,STA)、访问接入点(Access Point,AP)和鉴别服务单元(Authentication Service Unit,ASU)三种设备类型,分别作为鉴别请求者实体(Authentication Supplicant Entity,ASUE)、鉴别器实体(Authentication Entity,AE)和鉴别服务实体(Authentication Service Entity,ASE)的载体,其网络结构如图1所示,从图1可以看出,一个ASU连接若干AP,而一个AP连接若干STA。
ASU对其管理范围内的AP和STA进行管理并提供证书服务。ASU给每一个合法的AP和STA颁发一个公钥证书(以下简称证书),作为网络设备在该WLAN内的数字身份凭证。证书的结构如表1所示表1证书的结构
每个证书还应对应一个私钥,也是由证书颁发者指定。和公钥不同,私钥仅并由证书持有者自己持有,并不在证书中公开。
证书的作用在于建立实体名称和公钥之间的关联,进行身份鉴别时,验证方可以通过验证证书持有者对某一信息的签名来判断其是否掌握了证书对应的私钥,从而确定其是否为证书的真实持有者。STA与AP之间在ASU的协助下根据公钥证书实现身份的相互鉴别和通信密钥的协商。
利用证书实现接入控制的鉴别系统结构如图2所示。从图2中可以看出,STA包含ASUE,AP包含AE,ASU包含ASE。AP中有两个端口接收来自STA的连接请求,这两个端口分别是受控端口和非受控端口,STA从未受控端口向AP发出连接请求,在ASU的协助下双方进行双向身份认证(即证书鉴别),若认证成功,AP开放受控端口允许STA接入,否则AP拒绝STA接入或STA放弃接入AP。
STA接入流程如图3所示STA向AP发出鉴别请求,即将STA证书发送给AP;AP再将STA证书和自身证书一起发送给ASU,并对数据进行签名;ASU验证AP的签名、AP证书和STA的证书的真实性和有效性,对鉴别结果进行签名并发送到AP。STA和AP依据ASU的鉴别结果决定是否进行连接。STA与AP证书鉴别成功后进行密钥协商,密钥协商成功后,STA与AP将自己与对方分别产生的随机数据进行相应的运算得到会话密钥,用协商好的会话算法加、解密通信数据。
由此可见,证书在WAPI体系中发挥着十分关键的作用,因此STA如何申请、获得ASU颁发的证书也是非常重要的一个环节。
WAPI标准中给出的申请证书的方法是申请者先到ASU所在地点登记,ASU的工作人员对证书的申请者的身份进行确认之后,先生成证书的公钥和对应的私钥,然后按照申请者所需的安全等级生成证书,然后通过网络将证书和对应的私钥发送给申请者。
该申请证书的方法的缺陷是首先,证书申请者必须到ASU所在地点申请证书,由ASU的操作员来确认申请人的身份,决定是否允许接入并确定其安全登记。这种证书申请方法虽然可以对无线网络的使用者进行较严格的控制,但是操作十分繁琐,灵活性较差。对于网络管理者不限制网络使用者的身份,却需要保障AP和STA之间的无线通信的安全性的无线局域网网络环境,如咖啡馆、机场的无线局域网,该方法则更不适合。
其次,ASU生成证书的公钥和对应的私钥,并且必须将证书和对应的私钥通过网络发送给申请者,这个过程很可能会造成用户私钥泄漏的隐患。
发明内容
本发明的主要目的在于提供一种无线局域网移动终端申请证书的方法,使证书申请更加简单易行,并能提高证书申请的安全性。
本发明的目的是通过如下技术方案实现的
一种无线局域网移动终端申请证书的方法,该方法包括以下步骤A、无线接入用户终端生成证书的公钥和对应的私钥;B、无线接入用户终端经由访问接入点的未受控端口发送证书申请信息至鉴别服务单元;C、鉴别服务单元根据所述证书申请信息生成证书,并经由访问接入点的未受控端口发送证书至无线接入用户终端。
步骤B包括B1、无线接入用户终端发送证书申请信息至访问接入点的未受控端口;B2、访问接入点从未受控端口接收证书申请信息,并将该证书申请信息转发至鉴别服务单元。
步骤B和步骤C之间进一步包括鉴别服务单元根据证书申请信息判断是否批准该证书申请,如果是,则执行步骤C;否则,鉴别服务单元经由访问接入点的未受控端口将证书申请失败消息发送至无线接入用户终端。
所述鉴别服务单元根据证书申请信息判断是否批准该证书申请的方法是判断证书申请信息的内容是否完整,并判断证书申请信息是否符合鉴别服务单元对证书申请信息的要求。
所述证书申请信息至少包括证书的持有者名称和步骤A生成的证书的公钥。
所述证书申请信息进一步包括证书的有效期和/或签名算法标识。
步骤C包括C1、鉴别服务单元发送证书至访问接入点的未受控端口;C2、访问接入点从未受控端口接收证书,并将该证书转发至无线接入用户终端。
所述鉴别服务单元经由访问接入点的未受控端口将证书申请失败消息发送至无线接入用户终端的方法是鉴别服务单元发送证书申请失败消息至访问接入点的未受控端口;
访问接入点从未受控端口接收证书申请失败消息,并将该证书申请失败消息转发至无线接入用户终端。
所述证书申请失败消息至少包括鉴别服务单元拒绝无线接入用户终端的证书申请的原因。
通过以上的技术方案可以看出,本发明的无线局域网移动终端申请证书的方法是由提出证书申请的STA生成证书的公钥和对应的私钥,并通过AP的未受控端口向ASU发送证书申请消息,ASU按照证书申请消息生成证书之后,通过AP的未受控端口将证书发送给STA。而现有技术的方法是用户到ASU所在地点申请,由ASU的操作员确认申请人的身份并确定其安全等级之后再颁发证书。所以,本发明的方法应用比较简便灵活,适用面广,尤其适用于诸如咖啡馆、机场之类不限制使用者身份,却需要保证无线通信安全得无线局域网环境。
本发明的方法由STA生成证书的公钥和对应的私钥,而现有技术的方法由ASU生成证书的公钥和对应的私钥,然后ASU通过网络将证书和对应私钥发送给申请者。所以,本发明的方法可以消除通过网络发送私钥而造成私钥泄漏的隐患,使证书申请更加安全可靠。
图1是无线局域网网络结构示意图。
图2是利用证书实现接入控制的鉴别系统的结构示意图。
图3是WAPI的证书鉴别方法的流程图。
图4是根据本发明的移动终端申请证书的方法流程图。
具体实施例方式
为了使本发明的目的、技术方案和优点更清楚,下面结合附图和具体实施方式
对本发明作进一步描述。
在本发明的方法中,STA生成证书的公钥和对应的私钥之后,通过AP的未受控端口提交证书申请,AP将证书申请转发至ASU,ASU生成证书之后,将证书发送到AP,AP从未受控端口将证书转发至STA。图4是根据本发明的移动终端申请证书的方法流程图,从图4可以看出,本发明包括如下步骤步骤401STA生成证书的公钥和对应的私钥。
步骤402STA向AP的未受控端口发送证书申请消息,该证书申请消息中包括证书的持有者名称、证书的有效期、签名算法标识和STA生成的证书的公钥等参数。
证书的持有者名称和证书的公钥是证书申请消息中必须包含的参数,证书的有效期和签名算法标识等参数是证书申请消息中可选的参数。
步骤403AP从未受控端口接收到STA发来的证书申请消息之后,将该证书申请消息转发至ASU。
步骤404ASU接收到AP转发来的证书申请消息之后,判断该证书申请消息中的各参数是否完整且有效,如果参数不完整或无效,则转到步骤405;否则,转到步骤407。
参数完整是指所有参数都有内容,没有参数的内容为空。
参数有效是指该参数是否符合ASU对证书中各参数的规定,例如,证书的持有者名称有效是指该名称没有被其它证书占用并且符合对名称的要求(如不少于5个字节,不能包括不可显示字符等);签名算法标识有效是指该签名算法是ASU支持的签名算法。
步骤405ASU发送证书申请失败消息至AP,该证书申请失败消息包括ASU拒绝该证书申请的原因值,例如,未输入证书的公钥,或者证书的持有者名称已被其它证书占用。
步骤406AP通过未受控端口将该证书申请失败消息转发至STA,然后结束。
步骤407ASU根据证书申请消息中的证书的持有者名称、证书的有效期、签名算法标识和证书的公钥等参数生成用户证书。
ASU生成的证书的结构如表1所示。除了证书的持有者名称和证书的公钥必须由证书申请消息中的参数确定以外,证书中其余内容可以由ASU指定。由于STA负责生成证书的公钥和对应的私钥,所以ASU不生成证书的公钥和对应的私钥。
步骤408ASU将生成的用户证书发送至AP。
由于ASU不生成证书的公钥和对应的私钥,所以,ASU发送的证书中不包含该证书对应的私钥,从而消除了网络传输过程中私钥泄漏的隐患。
步骤409AP通过未受控端口将用户证书转发至STA。
STA获得证书后,可以采用WLAN国家标准GB/T 15629.11规定的方案进行会话密钥协商,并用生成的会话密钥对STA与AP间的通信进行保密。
在具体的实施过程中可对根据本发明的方法进行适当的改进,以适应具体情况的具体需要。因此可以理解,根据本发明的具体实施方式
只是起示范作用,并不用以限制本发明的保护范围。
权利要求
1.一种无线局域网移动终端申请证书的方法,其特征在于,该方法包括以下步骤A、无线接入用户终端生成证书的公钥和对应的私钥;B、无线接入用户终端经由访问接入点的未受控端口发送证书申请信息至鉴别服务单元;C、鉴别服务单元根据所述证书申请信息生成证书,并经由访问接入点的未受控端口发送证书至无线接入用户终端。
2.根据权利要求1所述的无线局域网移动终端申请证书的方法,其特征在于,步骤B包括B1、无线接入用户终端发送证书申请信息至访问接入点的未受控端口;B2、访问接入点从未受控端口接收证书申请信息,并将该证书申请信息转发至鉴别服务单元。
3.根据权利要求1所述的无线局域网移动终端申请证书的方法,其特征在于,步骤B和步骤C之间进一步包括鉴别服务单元根据证书申请信息判断是否批准该证书申请,如果是,则执行步骤C;否则,鉴别服务单元经由访问接入点的未受控端口将证书申请失败消息发送至无线接入用户终端。
4.根据权利要求3所述的无线局域网移动终端申请证书的方法,其特征在于,所述鉴别服务单元根据证书申请信息判断是否批准该证书申请的方法是判断证书中请信息的内容是否完整,并判断证书申请信息是否符合鉴别服务单元对证书申请信息的要求。
5.根据权利要求1至4中任一权利要求所述的无线局域网移动终端申请证书的方法,其特征在于,所述证书申请信息至少包括证书的持有者名称和步骤A生成的证书的公钥。
6.根据权利要求5所述的无线局域网移动终端中请证书的方法,其特征在于,所述证书申请信息进一步包括证书的有效期和/或签名算法标识。
7.根据权利要求1或3所述的无线局域网移动终端申请证书的方法,其特征在于,步骤C包括C1、鉴别服务单元发送证书至访问接入点的未受控端口;C2、访问接入点从未受控端口接收证书,并将该证书转发至无线接入用户终端。
8.根据权利要求3所述的无线局域网移动终端申请证书的方法,其特征在于,所述鉴别服务单元经由访问接入点的未受控端口将证书申请失败消息发送至无线接入用户终端的方法是鉴别服务单元发送证书申请失败消息至访问接入点的未受控端口;访问接入点从未受控端口接收证书申请失败消息,并将该证书申请失败消息转发至无线接入用户终端。
9.根据权利要求3或8所述的无线局域网移动终端申请证书的方法,其特征在于,所述证书申请失败消息至少包括鉴别服务单元拒绝无线接入用户终端的证书申请的原因。
全文摘要
本发明公开了一种无线局域网移动终端申请证书的方法,该方法由提出证书申请的STA生成证书的公钥和对应的私钥,并通过AP的未受控端口向ASU发送证书申请消息,ASU按照证书申请消息生成证书之后,通过AP的未受控端口将证书发送给STA。而现有技术的方法是申请者到ASU所在地点申请,由ASU的操作员确认申请者的身份并确定其安全等级之后再颁发证书,并通过网络将证书和私钥发送给申请者。本发明的方法应用比较简便灵活,适用面广,尤其适用于诸如咖啡馆、机场之类不限制使用者身份,却需要保证无线通信安全的无线局域网环境。并且,本发明的方法可以消除通过网络发送证书和对应的私钥而造成私钥泄漏的隐患,使证书申请更加安全可靠。
文档编号H04L9/12GK1697370SQ200410038000
公开日2005年11月16日 申请日期2004年5月14日 优先权日2004年5月14日
发明者冯凯锋, 刘廷永 申请人:华为技术有限公司