专利名称:用于wapi的获取公钥证书的网络系统和方法
技术领域:
本发明涉及一种无线局域网的安全技术,确切地说,涉及一种用于WAPI的获取公钥证书的网络系统和方法,属于无线通信技术领域。
背景技术:
随着无线局域网的迅速发展,其安全问题日益受到人们的关注。国际标准ISO IEC 8802-11定义的开放系统与共享密钥两种链路验证机制及有线加强等效保密WEP(Wired Equivalency Privacy)安全协议来解决安全问题;但是,安全漏洞依然存在。为了弥补ISO IEC 8802-11中安全协议存在的漏洞,中国分别于2003年和2006年颁发了一系列无线局域网的国家标准GB 15629.11/1102与GB 15629.11-2003/XG1-2006/1101/1103/1104。GB 15629.11来克服了传统安全方案的不足。这些标准是由中国宽带无线IP标准工作组制订和提出的具有自主知识产权的安全协议无线局域网鉴别与保密基础结构WAPI(WLANAuthentication and Privacy Infrastructure),它是用于规范现行的802.11相关传输协议的安全加密标准。其主要技术特征包括采用公钥密码技术,实现访问控制,数据机密性和数据完整性等。WAPI协议包含两个部分无线局域网鉴别基础结构WAI(WLAN Authentication Infrastructure)和无线局域网保密基础结构WPI(WLAN Privacy Infrastructure),其中,WAI用于完成用户的身份鉴别与密钥管理,是实现WAPI的基础。
基于WAPI的互联网接入运营的技术方案,对于运营商来说,必须易于部署,符合现有业务开展和管理流程;同时必须与现有WLAN接入业务无缝集成,例如必须支持WAPI作为现有WLAN业务的附加业务,必须支持WAPI作为独立于WLAN业务的接入业务。对于用户来说,办理业务的程序必须简单,且符合现有业务的办理习惯;必须提供用户安全快捷、方便使用和管理的宽带无线接入业务的使用方式;使用界面必须友好,操作简单。
WAPI是一种安全认证保密基础结构,它可以为用户提供安全的服务,但是,在WLAN引入WAPI标准解决数据的传输安全性能后,WAPI标准也为基于WLAN的宽带互联网接入业务部署带来了以下新的问题和困难电子证书的获取及其管理问题,以及用户漫游时与漫游地网络之间的信任问题。这些问题至今仍然没有得到解决。下面简要说明之(1)电子证书的获取及其管理问题WAPI无线网络采用两个密钥的非对称加密算法,即设有公钥-公开密钥和私钥-私有密钥;在信息交换过程中,甲方生成一对密钥并把公钥传给乙方,乙方得到该公钥后,使用该密钥对信息进行加密后再发送给甲方;甲方再用自己保存的私钥对加密信息进行解密。甲方必须使用其专用密钥(私钥)解密由其公钥加密后的任何信息。网络中的每个用户终端都有其唯一的电子证书-用户证书。用户证书是先由认证服务器ASU为该终端颁发公钥证书,再由终端的客户端软件请求用户输入其私钥保护密码,对私钥进行加密后才生成的。因为用户证书是用户终端使用WAPI网络时表明其身份的凭证,必须对这些公钥证书进行管理,以保证安全。公钥证书的安全管理包括如何管理网络上保存的公钥证书和如何向用户终端颁发公钥证书的问题。但是,由于用户技术水平的限制和电子证书载体的实际限制,无法在用户办理业务时就为用户颁发公钥证书。因此首先需要解决用户电子证书的颁发问题。
(2)用户的异地漫游;当用户漫游异地时,需要与漫游地认证服务器ASU建立信任关系,因此用户需要持有漫游地ASU公钥证书,然而,由于用户的归属地认证服务器HASU与漫游地认证服务器ASU两者之间缺乏相互信任关系,从而无法完成对该用户身份的认证,也无法给用户发放ASU公钥证书。
因此,如何设计一种用于WAPI的获取公钥证书的网络系统及其实现方法,使得互联网接入认证的运营技术方案能够更好解决用户电子证书的颁发和管理问题,为用户(尤其是异地漫游用户)提供更加安全、方便的WAPI服务,已经成为目前WAPI领域技术人员所关注和研究的热点之一。
发明内容
有鉴于此,本发明的目的是提供一种用于WAPI的获取公钥证书的网络系统和实现方法,该网络系统结构简单,获取公钥证书的操作步骤也比较简单,容易实现;但是,能够很好地为用户、尤其是异地漫游用户提供无线接入认证服务。
为了达到上述目的,本发明提供了一种用于WAPI的获取公钥证书的网络系统,包括因特网,电信网,位于电信网中的为用户提供身份验证、授权和计费服务的AAA服务器、用户归属地的认证服务器HASU和分别位于各个本地网的多个认证服务器ASU、以及与AAA服务器、各个认证服务器ASU和各个网络直接相连接的接入控制器AC、无线接入点AP和装有WAPI无线网卡的终端STA;STA藉由AP和AC接入网络时,ASU与STA之间通过用户公钥证书进行身份鉴别后,才允许STA接入当地网络;其特征在于该系统还包括有一个目录证书服务器DCS,该证书服务器DCS内存储有网络中的每个认证服务器ASU的公钥证书及其颁发用户公钥证书的IP地址和端口号,以便向提出HASU公钥证书获取请求的ASU返回HASU公钥证书,使该ASU能够利用获取的HASU公钥证书对STA进行鉴别,实现WAPI网络连接;同时当终端STA需要与漫游地的ASU建立信任关系而向DCS申请该漫游地的ASU公钥证书时,DCS向STA返回该漫游地的ASU的公钥证书,以便终端STA对当前网络进行鉴别,建立对当地网络的信任,实现WAPI网络连接;而当该目录证书服务器DCS接收到终端STA请求颁发用户公钥证书时,则该DCS先根据STA归属地选择其归属地认证服务器HASU,再通过该HASU的用户公钥证书颁发接口由该HASU服务器向提出用户公钥证书颁发请求的终端STA颁发该用户的公钥证书,并返回给终端STA,以使该STA获取对网络的信任,实现WAPI网络连接。
所述DCS服务器数据库维护的信息包括有用户验证终端STA请求颁发用户公钥证书的用户名及其密码、HASU的用于用户公钥证书颁发的IP地址和端口号。
所述终端STA在安装客户端软件时,都未安装其用户公钥证书或其归属地认证服务器HASU的公钥证书,因此,终端STA首次使用时,必须先在DCS辅助下请求HASU为其颁发用户公钥证书,以及从目录证书服务器DCS下载安装其归属地的认证服务器HASU的公钥证书,以获取对本地网络的信任。
所述各个认证服务器ASU都分别存储、维护有各自信任的ASU列表,当漫游到本地的STA的归属地认证服务器HASU不在本地ASU信任的ASU列表中时,所述STA要向目录证书服务器DCS获取其归属地HASU的公钥证书,以便漫游地ASU能够鉴别该HASU公钥证书的合法性;所述终端STA都分别存储、维护有各自所信任的ASU列表,当该终端STA漫游地的ASU不在该终端STA信任的ASU列表中时,该终端STA向证书服务器DCS获取漫游地ASU的公钥证书,用于判断该漫游地ASU的合法性。
为了达到上述目的,本发明还提供了一种采用上述网络系统的获取公钥证书的方法,其特征在于当用户终端在归属地无线网络进行WAPI连接之前时,其用户获取公钥证书的流程包括下列操作步骤(1)STA下载归属地认证服务器HASU的公钥证书用户终端STA在归属地首次使用客户端软件时,先要下载归属地HASU的公钥证书,以获得对本地网络的信任;具体过程是STA先向DCS服务器请求下载HASU公钥证书,DCS服务器向该终端STA返回HASU公钥证书后,终端STA要对该HASU公钥证书进行鉴别;若鉴别成功,则保留该HASU公钥证书,将该HASU身份添加到STA的可信任ASU列表中;若鉴别失败,则丢弃该HASU公钥证书;(2)STA请求颁发用户公钥证书终端STA为了使用WAPI的安全数据传输,在DCS辅助下由归属地认证服务器HASU为STA颁发用户公钥证书;具体过程是终端STA随机生成私钥和用户公钥,向DCS服务器提交用户公钥并请求为其颁发用户公钥证书;DCS服务器利用存储的用户名和密码验证STA合法性,对验证成功的STA,先根据该用户终端STA归属地位置选择归属地HASU,再向该HASU提交用户公钥,并请求该HASU为终端STA颁发用户公钥证书;在HASU返回成功签名的用户公钥证书后,DCS向该用户终端STA返回已签名的用户公钥证书,完成用户公钥证书颁发过程;所述步骤(1)进一步包括下列操作内容(11)STA请求下载归属地HASU的公钥证书,连接DCS服务器;(12)AAA服务器完成对STA的认证;(13)终端STA向DCS服务器发送下载归属地认证服务器HASU公钥证书的请求,该信息中包含HASU身份,即HASU名称;(14)DCS服务器向终端STA返回HASU公钥证书;(15)终端STA鉴别HASU公钥证书的真伪,如果鉴别成功,则保留该HASU公钥证书,将该HASU添加到可信任的ASU列表中;否则,丢弃该HASU公钥证书。
所述步骤(2)进一步包括下列操作内容(21)用户在终端上启动颁发用户公钥证书过程,并输入请求颁发用户公钥证书的用户名和密码;此时,终端STA自动随机生成用户私钥和用户公钥;(22)终端STA请求颁发用户公钥证书,再连接DCS服务器;(23)AAA服务器完成对终端STA的认证;(24)终端STA向DCS服务器提交用户公钥,请求颁发用户公钥证书;该信息包含请求颁发用户公钥证书的终端用户名和密码、以及用户公钥信息;(25)DCS服务器鉴别用户名和密码,如鉴别成功,则向该终端归属地HASU提交用户公钥,请求为该用户终端STA颁发用户公钥证书,顺序执行后续操作;否则,向终端STA返回失败响应,结束操作;(26)HASU对用户公钥进行签名,将已成功签名的用户公钥证书返回给DCS服务器,DCS服务器再向终端STA返回成功颁发的用户公钥证书;为了达到上述目的,本发明又提供了一种采用上述网络系统获取证书的方法,其特征在于当用户终端在漫游地无线网络进行WAPI连接之前时,其获取ASU公钥证书的流程包括下列操作步骤(1)STA下载漫游地证书服务器ASU的公钥证书用户漫游到异地时,先要与漫游地ASU建立信任关系,即先要下载漫游地ASU的公钥证书,以获取对本地网络的信任;具体过程是每个终端STA都维护有各自信任的ASU列表,如果终端STA通过AP连接的ASU不在该可信任的ASU列表中时,终端STA先向DCS服务器请求下载该ASU公钥证书,DCS服务器向终端STA返回ASU公钥证书后,该终端STA要对该ASU公钥证书进行鉴别,若鉴别成功,则保留该ASU公钥证书,将该ASU添加到该STA的可信任ASU列表中;若鉴别失败,则丢弃该ASU公钥证书;(2)ASU下载HASU公钥证书STA与HASU建立的信任关系只能保证在本地进入WAPI安全网络,但无法在漫游地接入WAPI网络;当用户漫游到外地时,漫游地ASU同样要判断该用户终端的合法性,即要利用其归属地HASU公钥证书鉴别该用户终端STA的公钥证书,并用自己的私钥对证书鉴别结果进行签名;如果ASU没有HASU的公钥证书,则要向DCS申请下载HASU公钥证书。
所述步骤(1)进一步包括下列操作内容(11)STA请求下载漫游地的ASU公钥证书,连接DCS服务器;(12)AAA服务器完成对STA的认证;(13)终端STA向DCS服务器发送下载漫游地的ASU公钥证书的请求,该信息中包含ASU身份,即ASU名称;(14)DCS服务器向终端STA返回该漫游地的ASU公钥证书;(1 5)终端STA对ASU公钥证书进行鉴别,如果鉴别成功,则保留该ASU公钥证书,将该ASU添加到其可信任的ASU列表中;否则,丢弃该ASU公钥证书。
所述步骤(2)进一步包括下列操作内容(21)ASU启动获取漫游终端的归属地HASU公钥证书的过程;(22)ASU向DCS服务器发起获取HASU公钥证书请求,该请求中包括HASU身份的信息;(23)DCS服务器向该ASU返回HASU公钥证书;
(24)ASU对获取的HASU公钥证书进行鉴别;如果鉴别成功,则保留该HASU公钥证书,将该HASU添加至其可信任ASU列表中;若鉴别失败,则丢弃HASU公钥证书。
本发明是一种用于WAPI的获取公钥证书的网络系统和方法,它的技术创新点和有益效果是在网络系统中增设一个目录证书服务器DCS,该DCS服务器存储有能为用户终端STA颁发公钥证书的各个归属地HASU的IP地址和端口号,可辅助STA获取用户终端的公钥证书,使用户获得合法身份;还存储有全网所有ASU公钥证书,向提出认证申请的ASU下载其公钥证书,以获取对网络的信任;又能够辅助ASU完成HASU公钥证书的下载,使得ASU获取对HASU的信任,进而获取对STA的信任。本发明系统引入的DCS服务器较好地解决了STA与ASU获取公钥证书的问题,使得STA与ASU之间比较容易建立互相信任关系,同时还解决了用户异地漫游于网络之间的不信任问题,DCS协助用户终端STA与ASU分别完成公钥证书的下载,同时顺便建立了二者之间的信任关系,使得用户在漫游到异地时,仍然可以享受WAPI安全的网络服务。总之,本发明的实施可以更好地为用户终端、尤其是异地漫游用户终端完成公钥证书的下载获取和认证服务,具有很好的推广应用前景。
图1是本发明基于WAPI的颁发互联网证书的网络系统结构组成示意图。
图2是本发明基于WAPI的颁发互联网证书的网络系统对于本地用户终端颁发证书的实现方法流程方框图。
图3是图2中步骤(1)的具体操作步骤时序图。
图4是图2中步骤(2)的具体操作步骤时序图。
图5是本发明基于WAPI的颁发互联网证书的网络系统对于漫游地用户终端颁发证书的实现方法流程方框图。
图6是图5中步骤(2)的具体操作步骤时序图。
具体实施例方式
为使本发明的目的、技术方案和优点更加清楚,下面结合附图对本发明作进一步的详细描述。
参见图1,具体介绍本发明基于WAPI的实现互联网接入认证的网络系统的结构组成,包括因特网,电信网WAN,位于电信网WAN中的AAA服务器、用户归属地的HASU认证服务器、分别位于各个本地网的多个ASU认证服务器(ASU与STA之间通过证书进行身份鉴别,以使用户终端接入当地网络)、和目录证书服务器DCS,以及与AAA服务器、各个认证服务器ASU和所有网络直接相连的接入控制器AC、无线接入点AP和装有WAPI无线网卡的终端STA(包括笔记本电脑,PDA等);STA藉由AP和AC接入网络时,ASU与STA之间通过用户公钥证书进行身份鉴别后,才允许STA接入当地网络;其中目录证书服务器DCS是该系统增设的网元设备,用于存储网络中的每个认证服务器ASU的公钥证书及其颁发用户公钥证书的IP地址和端口号,以便向提出HASU公钥证书获取申请的ASU返回HASU公钥证书,使该ASU能够利用获取的HASU公钥证书对STA进行鉴别,实现WAPI网络连接;而当终端STA需要与漫游地的ASU建立信任关系而向DCS申请该漫游地的ASU公钥证书时,DCS向STA返回该漫游地的ASU的公钥证书,以便终端STA对当地网络进行鉴别,建立对当地网络的信任,实现WAPI网络连接;该目录证书服务器DCS接收到终端STA请求颁发用户公钥证书时,则该DCS先根据STA归属地选择其归属地认证服务器HASU,再通过该HASU的用户公钥证书颁发接口由该HASU服务器向提出用户公钥证书颁发请求的终端STA颁发该用户的公钥证书,并返回给终端STA,以使该STA获取对网络的信任,实现WAPI网络连接。
该系统中的各个认证服务器ASU都分别存储、维护有各自信任的ASU列表,当漫游到本地的STA的归属地认证服务器HASU不在本地ASU信任的ASU列表中时,该漫游终端STA要向目录证书服务器DCS获取其归属地HASU的公钥证书,以便漫游地ASU能够鉴别该HASU公钥证书的合法性;其中终端STA都分别存储、维护有各自所信任的ASU列表,当该终端STA漫游地的ASU不在该终端STA信任的ASU列表中时,该终端STA向证书服务器DCS获取漫游地ASU的公钥证书,用于判断该漫游地ASU的合法性。
参见图2~图6,介绍用户进行WAPI连接之前下载获取公钥证书的方法(一)本地操作-介绍用户终端在归属地无线网络进行WAPI连接之前时,其用户终端获取公钥证书的流程(参见图2)(1)STA下载归属地认证服务器HASU的公钥证书在安装客户端软件时,用户终端STA并没有安装用户公钥证书或HASU公钥证书,所以在归属地首次使用客户端软件时,先要下载HASU公钥证书,以获得对本地网络的信任。具体过程是STA先向DCS服务器请求下载HASU公钥证书,DCS服务器向该终端STA返回HASU公钥证书后,终端STA要对该HASU公钥证书进行鉴别;若鉴别成功,则保留此HASU公钥证书,将该HASU添加到STA的可信任ASU列表中;若鉴别失败,则丢弃该HASU公钥证书。
下面参见图3具体说明该操作步骤的时序图(11)STA请求下载归属地HASU的公钥证书,连接DCS服务器;(12)接入控制器AC/运营商门户网站Portal推送登陆页面;STA客户端软件拦截登陆页面,提交上网终端用户名和密码;或当终端未设置时,请求用户输入上网终端用户名和密码;(13)AC将用户名和密码包含在Access Request消息中发给AAA服务器(如果用户处于漫游地,则转发Access Request消息给归属地AAA服务器);(14)AAA服务器验证用户名和密码成功,则返回Access Accept消息给AC;(15)AC将返回的成功认证信息转发给终端STA;(16)终端STA向DCS服务器发送下载归属地认证服务器HASU公钥证书的请求,该信息中包含HASU身份,即HASU名称;(17)DCS服务器向终端STA返回HASU公钥证书;(18)终端STA鉴别HASU公钥证书的真伪,如果鉴别成功,则保留该HASU公钥证书,将该HASU添加到可信任的ASU列表中;否则,丢弃该HASU公钥证书。
(2)STA请求颁发用户公钥证书用户在计算机上安装好客户端软件后,就可以使用基于WLAN的宽带互联网接入业务。尽管此时用户已经下载了HASU公钥证书,即已经信任本地网络,但用户要想使用WAPI保证无线链路上数据传输安全性,就必须在DCS辅助下由归属地认证服务器HASU为STA颁发用户公钥证书;具体过程是终端STA随机生成私钥和用户公钥,向DCS服务器提交用户公钥并请求为其颁发用户公钥证书。DCS服务器利用存储的用户名和密码验证STA合法性,DSC服务器存储有能为用户颁发公钥证书的HASU地址,对验证成功的STA,先根据该用户终端STA归属地位置选择归属地HASU,并向该HASU提交用户公钥并请求该HASU为终端STA颁发用户公钥证书。在HASU返回成功签名的用户公钥证书后,DCS向该用户终端STA返回已签名的用户公钥证书,完成用户公钥证书颁发过程。最后该终端的客户端软件请求用户输入私钥保护密码,对私钥进行加密,生成个人用户证书文件,以便用户终端STA随身携带该用户证书。
下面参见图4具体说明用户初次使用时颁发用户公钥证书步骤的时序图(21)用户在终端上启动颁发用户公钥证书过程,输入请求颁发用户公钥证书的用户名和密码;此时,终端STA自动随机生成用户私钥和用户公钥;(22)终端STA通过Open System方式连接接入控制器AC,再连接DCS服务器;(23)AC/Portal推送登陆页面;终端STA拦截登陆页面,提交上网用户名和密码;或当用户未设置时,要求用户输入上网用户名和密码;(24)AC将用户名和密码包含在Access Request消息中发给AAA服务器(如果用户处于漫游地,则转发Access Request消息给归属AAA);AAA服务器对用户名和密码验证成功,则返回Access Accept消息给AC;由AC将返回的成功认证信息转发给终端STA;
(25)终端STA向DCS服务器提交用户公钥,请求颁发用户公钥证书,该信息包含请求颁发用户公钥证书的终端用户名和密码、以及用户公钥信息;(26)DCS服务器鉴别用户名和密码,如鉴别成功,则向该终端归属地HASU提交用户公钥,请求为该用户终端STA颁发该用户公钥证书,顺序执行后续操作;否则,向终端STA返回失败响应,结束操作;(27)HASU对用户公钥进行签名,将已经成功签名的用户公钥证书返回给DCS服务器,DCS服务器再向终端STA返回成功颁发的用户公钥证书;(28)终端STA请求用户输入私钥保护密码,对私钥进行加密,生成个人证书文件;(29)终端STA提示用户个人证书下载成功,可以激活使用;如果此时WLAN连接是由个人证书下载启动的,则断开WLAN连接。
(二)漫游操作-介绍用户终端在漫游地无线网络进行WAPI连接之前时,其用户终端获取公钥证书的流程(参见图5)(1)STA下载漫游地证书服务器ASU的公钥证书用户漫游到异地时,先要与漫游地ASU建立信任关系,即先要下载漫游地ASU的公钥证书,以获取对本地网络的信任;具体过程是每个终端STA都维护有各自信任的ASU列表,如果终端STA通过AP连接的ASU不在该可信任的ASU列表中时,终端STA先向DCS服务器请求下载该ASU公钥证书,DCS服务器向终端STA返回ASU公钥证书后,该终端STA要对该ASU公钥证书进行鉴别,若鉴别成功,则保留此ASU公钥证书,将该ASU添加到该STA的可信任ASU列表中;若鉴别失败,则丢弃该ASU公钥证书。需要说明的是该步骤的下载漫游地ASU证书流程与图3中下载HASU公钥证书的时序图基本相同,不再赘述。
(2)ASU下载HASU公钥证书STA与HASU之间建立的信任关系只能保证在其归属地进入WAPI安全网络,但无法在漫游地接入WAPI网络;因此,当用户终端漫游到外地时,漫游地ASU同样要判断该用户终端的合法性,即要利用其归属地HASU公钥证书鉴别该用户终端STA的公钥证书,并用自己的私钥对证书鉴别结果进行签名;如果ASU没有HASU的公钥证书,则要向DCS申请下载HASU公钥证书。
下面参见图6具体说明ASU下载HASU公钥证书操作步骤的时序图(21)ASU启动获取漫游终端的归属地HASU公钥证书的过程;(22)ASU向DCS服务器发起获取HASU公钥证书请求,该请求中包括HASU身份信息;(23)DCS服务器向该ASU返回HASU公钥证书;(24)ASU对获取的HASU公钥证书进行鉴别;如果鉴别成功,则保留此HASU公钥证书,将该HASU添加至其可信任ASU列表中;若鉴别失败,则丢弃HASU公钥证书。
总之,利用本发明,用户终端下载获取用户公钥证书和漫游地ASU公钥证书后,便可信任漫游地的无线网络,ASU通过终端归属地HASU对该终端进行鉴别后,也可判别该用户终端的合法性,互相建立信任关系,从而用户可以使用WAPI网络提供的安全、便捷的服务。
权利要求
1.一种用于WAPI的获取公钥证书的网络系统,包括因特网,电信网,位于电信网中的为用户提供身份验证、授权和计费服务的AAA服务器、用户归属地的认证服务器HASU和分别位于各个本地网的多个认证服务器ASU、以及与AAA服务器、各个认证服务器ASU和各个网络直接相连接的接入控制器AC、无线接入点AP和装有WAPI无线网卡的终端STA;STA藉由AP和AC接入网络时,ASU与STA之间通过用户公钥证书进行身份鉴别后,才允许STA接入当地网络;其特征在于该系统还包括有一个目录证书服务器DCS,该证书服务器DCS内存储有网络中每个认证服务器ASU的公钥证书及其颁发用户公钥证书的IP地址和端口号,以便向提出HASU公钥证书获取请求的ASU返回HASU公钥证书,使该ASU能够利用获取的HASU公钥证书对STA进行鉴别,实现WAPI网络连接;同时当终端STA需要与漫游地的ASU建立信任关系而向DCS申请该漫游地的ASU公钥证书时,DCS向STA返回该漫游地的ASU的公钥证书,以便终端STA对当前网络进行鉴别,建立对当地网络的信任,实现WAPI网络连接;而当该目录证书服务器DCS接收到终端STA请求颁发用户公钥证书时,则该DCS先根据STA归属地选择其归属地认证服务器HASU,再通过该HASU的用户公钥证书颁发接口由该HASU服务器向提出用户公钥证书颁发请求的终端STA颁发该用户的公钥证书,并返回给终端STA,实现WAPI网络连接。
2.根据权利要求1所述的网络系统,其特征在于所述DCS服务器数据库维护的信息包括有用于验证终端STA请求颁发用户公钥证书的用户名及其密码、HASU的用于用户公钥证书颁发的IP地址和端口号。
3.根据权利要求1所述的网络系统,其特征在于所述终端STA在安装客户端软件时,都未安装其用户公钥证书或其归属地认证服务器HASU的公钥证书,因此,终端STA首次使用时,必须先在DCS辅助下请求HASU为其颁发用户公钥证书,以及从目录证书服务器DCS下载安装其归属地的认证服务器HASU的公钥证书,以获取对本地网络的信任。
4.根据权利要求1所述的网络系统,其特征在于所述各个认证服务器ASU都分别存储、维护有各自信任的ASU列表,当漫游到本地的STA的归属地认证服务器HASU不在本地ASU信任的ASU列表中时,所述STA要向目录证书服务器DCS获取其归属地HASU的公钥证书,以便漫游地ASU能够鉴别该HASU公钥证书的合法性;所述终端STA都分别存储、维护有各自所信任的ASU列表,当该终端STA漫游地的ASU不在该终端STA信任的ASU列表中时,该终端STA向证书服务器DCS获取漫游地ASU的公钥证书,用于判断该漫游地ASU的合法性。
5.一种采用权利要求1所述网络系统的获取公钥证书的方法,其特征在于当用户终端在归属地无线网络进行WAPI连接之前时,其用户获取公钥证书的流程包括下列操作步骤(1)STA下载归属地认证服务器HASU的公钥证书用户终端STA在归属地首次使用客户端软件时,先要下载归属地HASU的公钥证书,以获得对本地网络的信任;具体过程是STA先向DCS服务器请求下载HASU公钥证书,DCS服务器向该终端STA返回HASU公钥证书后,终端STA要对该HASU公钥证书进行鉴别;若鉴别成功,则保留该HASU公钥证书,将该HASU身份添加到STA的可信任ASU列表中;若鉴别失败,则丢弃该HASU公钥证书;(2)STA请求颁发用户公钥证书终端STA为了使用WAPI的安全数据传输,在DCS辅助下由归属地认证服务器HASU为STA颁发用户公钥证书;具体过程是终端STA随机生成私钥和用户公钥,向DCS服务器提交用户公钥并请求为其颁发用户公钥证书;DCS服务器利用存储的用户名和密码验证STA合法性,对验证成功的STA,先根据该用户终端STA归属地位置选择归属地HASU,再向该HASU提交用户公钥,并请求该HASU为终端STA颁发用户公钥证书;在HASU返回成功签名的用户公钥证书后,DCS向该用户终端STA返回已签名的用户公钥证书,完成用户公钥证书颁发过程。
6.根据权利要求5所述的获取公钥证书的方法,其特征在于所述步骤(1)进一步包括下列操作内容(11)STA请求下载归属地HASU的公钥证书,连接DCS服务器;(12)AAA服务器完成对STA的认证;(13)终端STA向DCS服务器提交下载归属地认证服务器HASU公钥证书的请求,该信息中包含HASU身份,即HASU名称;(14)DCS服务器向终端STA返回HASU公钥证书;(15)终端STA鉴别HASU公钥证书的真伪,如果鉴别成功,则保留该HASU公钥证书,将该HASU添加到可信任的ASU列表中;否则,丢弃该HASU公钥证书。
7.根据权利要求5所述的获取公钥证书的方法,其特征在于所述步骤(2)进一步包括下列操作内容(21)用户在终端上启动颁发用户公钥证书过程,并输入请求颁发用户公钥证书的用户名和密码;此时,终端STA自动随机生成用户私钥和用户公钥;(22)终端STA请求颁发用户公钥证书,连接DCS服务器;(23)AAA服务器完成对终端STA的认证;(24)终端STA向DCS服务器提交用户公钥,请求颁发用户公钥证书;该请求信息包含请求颁发用户公钥证书的终端用户名和密码、以及用户公钥信息;(25)DCS服务器鉴别用户名和密码,如鉴别成功,则向该终端归属地HASU提交用户公钥,请求为该用户终端STA颁发用户公钥证书,顺序执行后续操作;否则,向终端STA返回失败响应,结束操作;(26)HASU对用户公钥进行签名,将已成功签名的用户公钥证书返回给DCS服务器,DCS服务器再向终端STA返回成功颁发的用户公钥证书。
8.一种采用权利要求1所述网络系统的获取公钥证书的方法,其特征在于当用户终端在漫游地无线网络进行WAPI连接之前时,其获取ASU公钥证书的流程包括下列操作步骤(1)STA下载漫游地证书服务器ASU的公钥证书用户漫游到异地时,先要与漫游地ASU建立信任关系,即先要下载漫游地ASU的公钥证书,以获取对本地网络的信任;具体过程是每个终端STA都维护有各自信任的ASU列表,如果终端STA通过AP连接的ASU不在该可信任的ASU列表中时,终端STA先向DCS服务器请求下载该ASU公钥证书,DCS服务器向终端STA返回ASU公钥证书后,该终端STA要对该ASU公钥证书进行鉴别,若鉴别成功,则保留该ASU公钥证书,将该ASU添加到该STA的可信任ASU列表中;若鉴别失败,则丢弃该ASU公钥证书;(2)ASU下载HASU公钥证书STA与HASU建立的信任关系只能保证在本地进入WAPI安全网络,但无法在漫游地接入WAPI网络;当用户漫游到外地时,漫游地ASU同样要判断该用户终端的合法性,即要利用其归属地HASU公钥证书鉴别该用户终端STA的公钥证书,并用自己的私钥对证书鉴别结果进行签名;如果ASU没有HASU的公钥证书,则要向DCS申请下载HASU公钥证书。
9.根据权利要求8所述的获取公钥证书的方法,其特征在于所述步骤(1)进一步包括下列操作内容(11)STA请求下载漫游地的ASU公钥证书,连接DCS服务器;(12)AAA服务器完成对STA的认证;(13)终端STA向DCS服务器发送下载漫游地的ASU公钥证书的请求,该信息中包含ASU身份,即ASU名称;(14)DCS服务器向终端STA返回该漫游地的ASU公钥证书;(15)终端STA对ASU公钥证书进行鉴别,如果鉴别成功,则保留该ASU公钥证书,将该ASU添加到其可信任的ASU列表中;否则,丢弃该ASU公钥证书。
10.根据权利要求8所述的获取公钥证书的方法,其特征在于所述步骤(2)进一步包括下列操作内容(21)ASU启动获取漫游终端的归属地HASU公钥证书的过程;(22)ASU向DCS服务器发起获取HASU公钥证书请求,该请求中包括HASU身份的信息;(23)DCS服务器向该ASU返回HASU公钥证书;(24)ASU对获取的HASU公钥证书进行鉴别;如果鉴别成功,则保留该HASU公钥证书,将该HASU添加至其可信任ASU列表中;若鉴别失败,则丢弃HASU公钥证书。
全文摘要
一种用于WAPI的获取公钥证书的网络系统和方法,该系统结构简单只增设一个目录证书服务器DCS,用于存储全网所有认证服务器ASU的公钥证书及其颁发用户公钥证书的IP地址和端口号;获取ASU公钥证书的操作也很简单,容易实现。本发明较好地解决了STA与ASU获取ASU公钥证书的问题,使得STA与ASU之间很容易建立互相信任,解决了用户异地漫游网络的认证问题,使得终端STA漫游到异地时,仍然可以享受WAPI安全的网络服务。DCS服务器还能够协助归属地认证服务器HASU完成对STA公钥证书的颁发。总之,本发明能很好地为用户终端颁发用户公钥证书、解决用户终端,尤其是异地漫游时完成ASU公钥证书的获取,实现对终端STA的认证,具有很好的推广应用前景。
文档编号H04L9/28GK101018174SQ20071006443
公开日2007年8月15日 申请日期2007年3月15日 优先权日2007年3月15日
发明者胡鹤飞, 袁东明, 刘元安, 唐碧华 申请人:北京安拓思科技有限责任公司