专利名称:证书鉴别方法和设备的制作方法
技术领域:
本发明涉及通信技术领域,尤其涉及一种证书鉴别方法和设备。
技术背景WLAN ( Wireless Local Area Network,无线局域网)技术已#皮日益广泛地 应用于企业和运营商网络,但由于无线通信使用开放性的无线信道资源作为 传输媒质,任何在物理区域上进入无线信号覆盖区域的无线客户端,理论上 都可以接入WLAN网络。因此非法用户可以发起对WLAN网络的攻击或窃 取网络用户的机密信息,从而造成重大的安全事故。为了保证WLAN网络的安全性,现有技术中提出了 WAPI (WLAN Authentication and Privacy Infrastructure ,无线局i或网鉴别与保密基5出结构)标 准。WAPI采用公钥密码体制的椭圓曲线密码算法、和对称密码体制的分组密 码算法,分别用于设备的数字证书、证书鉴别、密钥协商和传输数据的加解 密,从而实现设备的身份鉴别、链路验证、访问控制和用户信息在无线传输 状态下的加密保护。WAPI的身份鉴别包括预共享密钥鉴别和证书鉴别两种。预共享密钥鉴别是通过在STA和AP上配置相同的共享密钥,在协商中 检查共享密钥是否相同来完成认证,这是一种简单的鉴别方法,安全性不够 高且部署比较麻烦。 一般情况下,多个STA( Station,站点)和多个AP( Access Point,接入点)使用相同的共享密钥, 一旦密钥泄漏,就得手工更新所有的 共享密钥。证书鉴别是通过数字证书来完成鉴别的。数字证书是公开的,它表示持 有者的身份,包含持有者名称、颁发者名称、有效期、公钥、颁发者签名等 信息,与数字证书中的公钥对应有一个私钥,该私钥只有证书的持有者拥有。 持有者可以使用私钥对对外发送的消息进行签名,消息接收者可以使用证书 中的公钥验证该签名是否正确,来判断该消息是否是由持有者发出的。数字签名与实际中的签名比较类似,都是为了证明该消息确实是消息的声明者所 发出的。因此证书认证包括两方面, 一是身份是否合法,即证书是否合法, 通过验证证书是否是由证书中所述的颁发者颁发、证书是否在有效期内、证书是否已经被吊销等来完成;二是验证该身份就是持有者的,即验证对方是否就是该证书的持有者,这个可以通过验证对方的签名来完成。在现有方案中,证书的合法性由STA以及AP公信的第三方AS (Authentication Server,鉴别服务器)进行验证。由AS验证STA的证书和AP的证书是否合法,而STA和AP通过验证对方的签名来验证对方是否是证书的合法持有者。现有方案中基于WAPI的认证方法如图l所示,包括以下步骤步骤slOl ~步骤s103为802.11的链路协商过程,STA与AP之间通过互送信标帧或探询帧,进行链路验证与关联。步骤s104 ~步骤s108为WAI ( WLAN Authentication Infrastructure,无线局域网鉴别基础结构)认证过程,具体的步骤sl04、 AP将自己的证书通过鉴别激活报文发送给STA。步骤sl05、 STA将自己的数字证书通过接入鉴别请求报文发送给AP,在该报文中还携带有STA的签名。AP通过验证STA的签名是否正确,来判断该STA是否是该数字证书的合法拥有者,这时还无法判断该数字证书(即身份)是否合法。步骤sl06、 AP将自己的证书、STA证书通过证书鉴别请求报文一并发送 给AS,由AS验证证书的合法性,包括证书是否是由信任的CA( Certification Authority,证书授权中心)颁发的,证书是否在有效期内,证书是否已经被吊 销等等。步骤sl07、 AS将证书验证结果通过证书鉴别响应报文发送给AP。 步骤s108、 AP从证书验证结果中得到STA的证书验证结果,如果证书 合法,就将AS的证书验证结果通过接入鉴别响应报文发送给STA,该才艮文中 携带有AP的签名。STA通过验证AS的签名来验证证书验证结果是否是自己 信任的AS发出的,然后得到AP的证书验证结果,并通过验证AP的签名来证实AP是否是该证书的合法拥有者。现有技术的缺点在于,在现有方案中证书的合法性由公信的第三方AS完 成验证,因此在使用中必须有AS的参与,限制了合法性验证的应用。另夕卜, 在证书认证过程中,AP和AS间交互的报文较大, 一般都会进行IP分片,因 此增加了认证的时间,降低了认证的效率。发明内容本发明提供一种证书鉴别方法和设备,用于实现AP与STA间无需第三方证书鉴别服务器即可进行证书验证。为达到上述目的,本发明提供一种证书鉴别方法,包括STA接收AP发送的鉴别激活报文,获取所述鉴别激活报文中携带的所述AP的i正书;所述STA对所述AP的证书进行鉴别。其中,所述STA对所述AP的证书进行鉴别具体包括所述STA鉴别所述AP的证书是否由信任的CA颁发、所述AP的证书是否在有效期内、以及所述AP的证书是否已经被吊销。其中,所述STA鉴别所述AP的证书是否由信任的CA颁发具体包括所述STA从信任的CA的证书中获取信任的CA的公钥;所述STA使用所述信任的CA的公钥验证所述AP的证书中的CA签名,鉴别所述AP的证书是否由信任的CA颁发。其中,所述STA鉴别所述AP的证书是否已经被吊销具体包括 所述STA在获取到所述AP的证书后,通过所述AP提供的临时端口,从外部服务器获取证书吊销列表,鉴别所述AP的证书是否已经被吊销;或 所述STA在关联到所述AP后、获取到所述AP的证书前,通过所述AP提供的临时端口 ,从外部服务器获取证书吊销列表,鉴别所述AP的证书是否已经被吊销;或所述STA在之前连接到网络时,定期从外部服务器获取证书吊销列表, 鉴别所述AP的证书是否已经被吊销。其中,所述STA在关联到所述AP后、获取到所述AP的证书前,还包括 向所述AP发送鉴别开始报文,触发所述AP提供所述AP的证书。本发明还提供一种STA,包括证书获取单元,用于接收AP发送的鉴别激活报文,获取所述鉴别激活报 文中携带的所述AP的证书;证书鉴别单元,用于鉴别所述证书获取单元获取的所述AP的证书。 其中,所述"i正书鉴别单元包括第一证书鉴别子单元,用于鉴别所述AP的证书是否由信任的CA颁发; 第二证书鉴别子单元,用于鉴别所述AP的证书是否在有效期内; 第三证书鉴别子单元,用于鉴别所述AP的证书是否已经被吊销。 其中,所述第二证书鉴别子单元具体为,从信任的CA的证书中获取信任的CA的/>钥;并使用所述信任的CA的公钥验证所述AP的证书中的CA签名,鉴别所述AP的证书是否由信任的CA颁发。 其中,还包括,证书吊销列表获取单元,用于从外部服务器获取证书吊销列表并提供给 所述第三证书鉴别子单元,供其鉴别所述AP的证书是否已经被吊销。 其中,所述证书吊销列表获取单元包括第一证书吊销列表获取子单元,用于在获取到所述AP的证书后,通过所 述AP提供的临时端口,从外部服务器获取证书吊销列表;或第二证书吊销列表获取子单元,用于在关联到所述AP后、获取到所述 AP的证书前,通过所述AP提供的临时端口,从外部服务器获取证书吊销列第三证书吊销列表获取子单元,用于在之前连接到网络时,定期从外部 服务器获取证书吊销列表。其中,还包括触发4艮文发送单元,用于在所述第二证书吊销列表获取子单元从外部服 务器获取证书吊销列表后,向所述AP发送鉴别开始报文,触发所述AP提供本发明还提供一种证书鉴别方法,包括AP接收STA发送的接入鉴别请求报文,获取所述接入鉴别请求报文中携带的所述STA的证书;所述AP对所述STA的证书进行鉴别。其中,所述AP对所述STA的证书进行鉴别具体包括所述AP鉴别所述STA的证书是否由信任的CA颁发、所迷STA的证书是否在有效期内、以及所述STA的证书是否已经被吊销。其中,所述AP鉴别所述STA的证书是否由信任的CA颁发具体包括所述AP从信任的CA的证书中获取信任的CA的公钥;所述AP使用所述信任的CA的公钥验证所述STA的证书中的CA签名,鉴别所述STA的证书是否由信任的CA颁发。其中,所述AP鉴别所述STA的证书是否已经被吊销具体包括所述AP根据从外部服务器获取的证书吊销列表,鉴别所述STA的证书是否已经被吊销。本发明还提供一种AP,包括证书获取单元,用于接收STA发送的接入鉴别请求报文,获取所述接入 鉴别请求报文中携带的所述STA的证书;证书鉴别单元,用于鉴别所述证书获取单元获取的所述STA的证书。 其中,所述证书鉴别单元包括第一证书鉴别子单元,用于鉴别所述STA的证书是否由信任的CA颁发; 第二证书鉴别子单元,用于鉴别所述STA的证书是否在有效期内; 第三证书鉴别子单元,用于鉴别所述STA的证书是否已经被吊销。 其中,所述第二证书鉴别子单元具体为,从信任的CA的证书中获取信任的CA的公钥;并使用所述信任的CA的公钥验证所述STA的证书中的CA签名,鉴别所述STA的证书是否由信任的CA颁发。其中,还包括证书吊销列表获取单元,用于从外部服务器获取证书吊销列表并提供给 所述第三证书鉴别子单元,供其鉴别所述STA的证书是否已经被吊销。 其中,还包括临时端口设置单元,用于设置一临时端口以供所述STA从外部服务器获 取证书吊销列表。与现有技术相比,本发明具有以下优点通过使用本发明,在STA与AP的证书认证过程中,无需第三方设备如 AS等的参与,扩展了 WAPI认证的应用。另外,该方法减少了证书认证过程 的交互,加速了i正书iU正过程。
图1是现有技术中基于WAPI的认证方法流程图;图2A是本发明中STA对AP的证书进行鉴别的方法流程图;图2B是本发明中AP对STA的证书进行鉴别的方法流程图;图3是本发明应用场景中STA与AP间认证的流程图;图4是本发明应用场景中STA与AP间认i正的流程图;图5是本发明中STA设备的结构示意图;图6是本发明中STA设备的另一结构示意图;图7是本发明中AP设备的结构示意图;图8是本发明中AP设备的另一结构示意图。
具体实施方式
本发明的核心思想在于本方案AP和STA间进行交互时,由STA直接鉴 别AP证书的合法性,AP直接鉴别STA证书的合法性。证书的合法性鉴别不 再需要第三方设备参与。具体的,如图2所示,本发明中STA对AP的证书 进行鉴别的方法流程如图2A所示,包括以下步骤步骤s201、 STA接收AP发送的鉴别激活报文,获取该鉴别激活报文中携带的AP的证书。步骤s202、 STA对获取到的AP的证书进行鉴别。具体的,该鉴别包括STA鉴别该AP的证书是否由信任的CA (Certification Authority,证书授:^又中心)颁发、该AP的i正书是否在有效期 内、以及所述AP的证书是否已经被吊销。本发明中AP对STA的证书进行鉴别的流程如图2B所示,包括以下步骤 步骤s211、 AP接收STA发送的接入鉴别请求报文,获取该接入鉴别请 求报文中携带的STA的证书。步骤s212、 AP对获取到的STA的证书进行鉴别。具体的,该鉴别包括AP鉴别该STA的证书是否由信任的CA颁发、该 STA的证书是否在有效期内、以及该STA的证书是否已经-故吊销。以下首先详细介绍STA对AP的证书进行鉴别的方法。 STA在接收到AP发送的鉴别激活报文后,从该鉴别激活报文中获取AP 的证书。STA对AP的证书的鉴别包括(1.1) STA鉴别该AP的证书是否由信任的CA颁发。具体的,STA鉴别该AP的证书是否由信任的CA颁发具体包括STA检 查证书颁发者的名称,STA判断该证书的颁发者是否为自己信任的CA; STA 从信任的CA的证书中获取信任的CA的公钥;STA使用信任的CA的公钥验 i正AP的证书中的CA签名,鉴别AP的证书是否由信任的CA颁发。目前如 果STA需要,则STA可以从信任的CA上获取到该CA的证书。(1.2) STA鉴别该AP的证书是否在有效期内。具体的,STA可以直接检查证书的有效期字段,与当前时间进行比较, 确定该AP的证书是否在有效期内。(1.3) STA鉴别该AP的证书是否已经被吊销。具体的,STA根据从外部服务器如CA获取的证书吊销列表,鉴别AP的 证书是否已经被吊销。上述STA鉴别该AP的证书是否已经被吊销时,需要根据CA获取的证 书吊销列表进行判断。本发明中提供以下STA从CA获取证书吊销列表的方 法(2.1 )STA在接收到AP发送的鉴别激活报文后,通过AP开放的临时端 口连接CA,获取由CA提供的证书吊销列表。该方法中,考虑到STA在通过 认证之前无法访问网络,即无法连接CA获取CA提供的证书吊销列表。因此, 由AP提供一个临时端口 ,通过该临时端口 ,已经与AP关联但还没有完成认 证的STA可以通过该临时端口访问CA,获取到证书吊销列表。另夕卜,在STA 获取证书吊销列表的过程中,为了保证AP不会因为STA未及时响应鉴别激 活报文导致连接断开,可以加大鉴别激活报文的重传时间。(2.2) STA在关联到AP后,立即通过AP提供的临时端口获取由CA提 供的证书吊销列表;获取到列表后,向AP发送鉴别开始报文,触发AP向STA 发送鉴别激活报文,进而获取到AP的证书、进行对AP的证书的鉴别。该方 法中,考虑到目前STA关联到AP后,AP会主动发送向STA发送鉴别激活 报文,如果STA这时去获取证书吊销列表,可能会无法及时响应该鉴别激活 报文而导致AP与STA间的连接断开。因此,本方法中STA在关联到AP后, 立即通过AP提供的临时端口获取由CA提供的证书吊销列表;并在获取到列 表后,向AP发送鉴别开始报文,触发AP向STA发送鉴别激活报文,从而避 免因无法及时响应该鉴别激活报文造成的连接中断。(2.3 ) STA在关联到该AP前,已经获取到由CA提供的证书吊销列表; 该由CA提供的证书吊销列表可以由STA定期连接到AP获取,获取后即可 供证书验证时使用。以下介绍AP对STA的证书进行鉴别的方法。AP在接收到STA发送的接入鉴别请求报文后,从该接入鉴别请求报文中 获取STA的证书。AP对STA的证书的鉴别包括(3.1) AP鉴别该STA的证书是否由信任的CA颁发。具体的,AP鉴别该STA的证书是否由信任的CA颁发具体包括AP从 信任的CA的证书中获取信任的CA的公钥;AP使用信任的CA的公钥验证 STA的证书中的CA签名,鉴别STA的证书是否由信任的CA颁发。如果AP 需要,可以从信任的CA上获取到该CA的证书。 (3.2 ) AP鉴别该STA的证书是否在有效期内。具体的,AP可以直接检查证书的有效期字段,与当前时间进行比较,确 定该STA的证书是否在有效期内。(3.3 ) AP鉴别该STA的证书是否已经被吊销。具体的,AP根据从外部服务器如CA获取的证书吊销列表,鉴别STA的 证书是否已经被吊销。以下结合不同的应用场景,描述本发明中证书鉴别方法的具体实施方式
。 本发明的一应用场景中,使用本发明的证书鉴别方法时,AP与STA间的 认证过程如图3所示。步骤s301 ~步骤s303为802.11的链路协商过程,STA与AP之间通过互 送信标帧或探询帧,进行链路验证与关联。步骤s304 ~步骤s306为WAI认证过程,具体的,包括 步骤s304、 AP向STA发送鉴别激活报文,其中携带AP的证书。 步骤s305、 STA对AP的证书进行鉴别。当证书合法时,向AP发送接入 鉴别请求报文,其中携带STA的证书和签名。该对签名进行验证的方法同现 有技术;对证书进行鉴别的方法见上述实施例中的描述,包括STA通过AP 提供的临时端口获取吊销证书列表、并对AP证书是否已经被吊销进行鉴别等 过程,在此不进行重复介绍。在上述STA获取证书吊销列表的过程中,为了 保证AP不会因为STA未及时响应鉴别激活报文导致连接断开,可以加大鉴 别激活报文的重传时间。步骤s306、 AP对STA的签名进行验证,并对SAT的证书进行鉴别。当 签名正确且证书合法时,向STA发送接入鉴别响应报文,其中携带AP的签 名。该对签名进行验证的方法同现有技术;对证书进行鉴别的方法见上述实施例中的描述,包括AP获取吊销证书列表并对STA证书是否已经被吊销进 行鉴别等过程,在此不进行重复介绍。通过上述步骤,在不使用第三方设备用于证书鉴别的情况下,实现了 STA 与AP之间的i人ii。本发明的另一应用场景中,使用本发明的证书鉴别方法时,AP与STA间的认证过程如图4所示。步骤s401 ~步骤s403为802.11的链路协商过程,STA与AP之间通过互送信标帧或探询帧,进行链路验证与关联。步骤s404 ~步骤s407为WAI认证过程,具体的,包括步骤s404、 STA获取到CA提供的吊销证书列表后,向AP发送鉴别开始报文,触发AP向其发送鉴别激活报文。该吊销证书列表的获取过程包括STA通过AP提供的临时端口获取吊销证书列表等过程,该过程可以参考上述实施例中的描述,在此不进行重复介绍。步骤s405、 AP向STA发送鉴别激活报文,其中携带AP的证书。步骤s406 、 STA对AP的证书进行鉴别。当证书合法时,向AP发送接入鉴别请求报文,其中携带STA的证书和签名。该对签名进行验证的方法同现有技术;对证书进行鉴别的方法见上述实施例中的描述,在此不进行重复介绍。步骤s407、 AP对STA的签名进行验证,并对SAT的证书进行鉴别。当 签名正确且证书合法时,向SAT发送接入鉴别响应报文。该对签名进行验证 的方法同现有技术;对证书进行鉴别的方法见上述实施例中的描述,包括AP 获取吊销证书列表并对STA证书是否已经被吊销进行鉴别等过程,在此不进 行重复介绍。本发明的另一应用场景中,使用本发明的证书鉴别方法时,由STA定期 连接到AP获取吊销证书列表,获取后即可供证书验证时使用。具体的AP与 STA间的认证过程与图3所示的过程相似,区别在于吊销证书列表已经预先获取,不需要再通过AP提供的临时端口获取吊销证书列表,在此不进行重复 描述。通过上述步骤,在不使用第三方设备用于证书鉴别的情况下,实现了 STA 与AP之间的认证。另外,通过加大鉴别激活报文的重传时间的方法、或关联 结束后由STA触发AP向其发送鉴别激活报文的方法、或定期连接到AP获取 吊销证书列表的方法,避免了因STA不能及时响应鉴别激活报文造成的AP 与STA间的连接中断。通过使用本发明实施例提供的上述方法,在STA与AP的证书认证过程 中,无需第三方设备如AS等的参与,扩展了 WAPI认证的应用。另外,该方 法减少了证书认证过程的交互,加速了证书认证过程。具体的,该方法减少 了 AP与AS间的报文交互,而且AP向STA返回的接入鉴别响应报文中不再 需要携带AS的证书鉴别结果。本发明还提供一种STA与AP间的证书鉴别系统,应用于STA与AP间 的证书鉴别。具体的,STA10的结构如图5所示,包括证书获取单元ll,用于接收AP 20发送的鉴别激活报文,获取该鉴别激 活报文中携带的AP20的证书。证书鉴别单元12,用于鉴别证书获取单元11获取的AP20的证书。如图6所示,具体的,证书鉴别单元12包括第一证书鉴别子单元121,用于鉴别所述AP的证书是否由信任的CA颁发。第二证书鉴别子单元122,用于鉴别AP20的证书是否在有效期内。具体 的,第二证书鉴别子单元122从信任的CA的证书中获取信任的CA的公钥; 并使用信任的CA的公钥验证所述AP的证书中的CA签名,鉴别AP 20的证 书是否由信任的CA颁发。第三证书鉴别子单元123,用于鉴别AP20的证书是否已经被吊销。具体 的,第三证书鉴别子单元123根据从外部服务器获取的证书吊销列表,鉴别 AP20的证书是否已经被吊销。该STA10还包括证书吊销列表获取单元13,用于从外部服务器获取证 书吊销列表并提供给证书鉴别单元12的第三证书鉴别子单元123,供其鉴别 AP20的证书是否已经被吊销。具体的,证书吊销列表获取单元13包括第一证书吊销列表获取子单元131,用于在获取到AP20的证书后,通过 AP20提供的临时端口 ,从外部服务器获取证书吊销列表;第二证书吊销列表获取子单元132,用于在关联到AP20后、获取到AP20 的证书前,通过AP20提供的临时端口,从外部服务器获取证书吊销列表;第三证书吊销列表获取子单元133,用于在之前连接到网络时,定期从外 部服务器获取证书吊销列表。该STA 10还包括触发报文发送单元14,用于在第二证书吊销列表获取 子单元132从外部服务器获取的证书吊销列表后,向AP 20发送鉴别开始报 文,触发AP20提供证书。具体的,AP20的结构如图7所示,包括证书获取单元21,用于接收STA10发送的接入鉴别请求报文,获取接入 鉴别请求报文中携带的STA 10的证书。证书鉴别单元22,用于鉴别证书获取单元21获取的STA 10的证书。如图8所示,该AP20还包括 具体的,证书鉴别单元22包括第一证书鉴别子单元221,用于鉴别STA IO的证书是否由信任的CA颁发;第二证书鉴别子单元222,用于鉴别STA IO的证书是否在有效期内;具体的,从信任的CA的证书中获取信任的CA的公钥;并使用信任的CA的公 钥验证STA 10的证书中的CA签名,鉴别STA 10的证书是否由信任的CA颁 发。第三证书鉴别子单元223,用于鉴别STA IO的证书是否已经被吊销。具 体的,第三证书鉴别子单元223根据从外部服务器获取的证书吊销列表,鉴 别STA 10的证书是否已经被吊销。该AP20还包括证书吊销列表获取单元23,用于从外部服务器获取证书吊销列表并提供 给证书鉴别单元22的第三证书鉴别子单元223,供其鉴别STA 10的证书是否 已经被吊销临时端口设置单元24,用于设置一临时端口以供STA 10从外部服务器获 取证书吊销列表。通过使用本发明实施例提供的上述设备,在STA与AP的证书认证过程 中,无需第三方设备如AS等的参与,扩展了 WAPI认证的应用。另外,该方 法减少了证书认证过程的交互,加速了证书认证过程。具体的,该设备减少 了 AP与AS间的报文交互,而且AP向STA返回的接入鉴别响应报文中不再 需要携带AS的证书鉴别结果。通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到本发 明可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件, 但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案 本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来, 该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台终端 设备(如手机、PDA等)执行本发明各个实施例所述的方法。以上公开的仅为本发明的几个具体实施例,但是,本发明并非局限于此, 任何本领域的技术人员能思之的变化都应落入本发明的保护范围。
权利要求
1. 一种证书鉴别方法,其特征在于,包括STA接收AP发送的鉴别激活报文,获取所述鉴别激活报文中携带的所述AP的证书;所述STA对所述AP的证书进行鉴别。
2、 如权利要求l所述的方法,其特征在于,所述STA对所述AP的证书 进行鉴别具体包括所述STA鉴别所述AP的证书是否由信任的CA颁发、所述AP的证书是 否在有效期内、以及所述AP的证书是否已经被吊销。
3、 如权利要求2所述的方法,其特征在于,所述STA鉴别所述AP的证 书是否由信任的CA颁发具体包括所述STA从信任的CA的证书中获取信任的CA的公钥; 所述STA使用所述信任的CA的公钥验证所述AP的证书中的CA签名, 鉴别所述AP的证书是否由信任的CA颁发。
4、 如权利要求2所述的方法,其特征在于,所述STA鉴别所述AP的证 书是否已经被吊销具体包括所述STA在获取到所述AP的证书后,通过所述AP提供的临时端口,从 外部服务器获取证书吊销列表,鉴别所述AP的证书是否已经被吊销;或所述STA在关联到所述AP后、获取到所述AP的证书前,通过所述AP 提供的临时端口,从外部服务器获取证书吊销列表,鉴别所述AP的证书是否 已经净皮吊销;或所述STA在之前连接到网络时,定期从外部服务器获取证书吊销列表, 鉴别所述AP的证书是否已经被吊销。
5、 如权利要求4所述的方法,其特征在于,所述STA在关联到所述AP 后、获取到所述AP的证书前,还包括向所述AP发送鉴别开始报文,触发所述AP提供所述AP的证书。
6、 一种STA,其特征在于,包括证书获取单元,用于接收AP发送的鉴别激活报文,获取所述鉴别激活报 文中携带的所述AP的证书;证书鉴别单元,用于鉴别所述证书获取单元获取的所述AP的证书。
7、 如权利要求6所述STA,其特征在于,所述证书鉴别单元包括 第一证书鉴别子单元,用于鉴别所述AP的证书是否由信任的CA颁发; 第二证书鉴别子单元,用于鉴别所述AP的证书是否在有效期内; 第三证书鉴别子单元,用于鉴别所述AP的证书是否已经被吊销。
8、 如权利要求7所述STA,其特征在于,所述第二证书鉴别子单元具体 为,从信任的CA的证书中获取信任的CA的公钥;并使用所述信任的CA的 公钥验证所述AP的证书中的CA签名,鉴别所述AP的证书是否由信任的CA 颁发。
9、 如权利要求7所述STA,其特征在于,还包括,证书吊销列表获取单元,用于从外部服务器获取证书吊销列表并提供给 所述第三证书鉴别子单元,供其鉴别所述AP的证书是否已经被吊销。
10、 如权利要求9所述STA,其特征在于,所述证书吊销列表获取单元 包括第一证书吊销列表获取子单元,用于在获取到所述AP的证书后,通过所 述AP提供的临时端口,从外部服务器获取证书吊销列表;或第二证书吊销列表获取子单元,用于在关联到所述AP后、获取到所述 AP的证书前,通过所述AP提供的临时端口,从外部服务器获取证书吊销列 表5或第三证书吊销列表获取子单元,用于在之前连接到网络时,定期从外部 服务器获取证书吊销列表。
11、 如权利要求6或IO所述STA,其特征在于,还包括 触发报文发送单元,用于在所述第二证书吊销列表获取子单元从外部服务器获取证书吊销列表后,向所述AP发送鉴别开始报文,触发所述AP提供 所述AP的i正书。
12、 一种证书鉴别方法,其特征在于,包括AP接收STA发送的接入鉴别请求报文,获取所述接入鉴别请求报文中携带的所述STA的证书;所述AP对所述STA的证书进行鉴别。
13、 如权利要求12所述的方法,其特征在于,所述AP对所述STA的证 书进行鉴别具体包括所述AP鉴别所述STA的证书是否由信任的CA颁发、所述STA的证书 是否在有效期内、以及所述STA的证书是否已经被吊销。
14、 如权利要求13所述的方法,其特征在于,所述AP鉴别所述STA的 证书是否由信任的CA颁发具体包括所述AP从信任的CA的证书中获取信任的CA的公钥; 所述AP使用所述信任的CA的公钥验证所述STA的证书中的CA签名, 鉴别所述STA的证书是否由信任的CA颁发。
15、 如权利要求13所述的方法,其特征在于,所述AP鉴别所述STA的 证书是否已经被吊销具体包括所述AP根据从外部服务器获取的证书吊销列表,鉴别所述STA的证书 是否已经被吊销。
16、 一种AP,其特征在于,包括证书获取单元,用于接收STA发送的接入鉴别请求报文,获取所述接入 鉴别请求报文中携带的所述STA的证书;证书鉴别单元,用于鉴别所述证书获取单元获取的所述STA的证书。
17、 如权利要求16所述AP,其特征在于,所述证书鉴别单元包括 第一证书鉴别子单元,用于鉴别所述STA的证书是否由信任的CA颁发; 第二证书鉴别子单元,用于鉴别所述STA的证书是否在有效期内; 第三证书鉴别子单元,用于鉴别所述STA的证书是否已经被吊销。
18、 如权利要求16所述AP,其特征在于,所述第二证书鉴别子单元具 体为,从信任的CA的证书中获取信任的CA的公钥;并使用所述信任的CA 的公钥验证所述STA的证书中的CA签名,鉴别所述STA的证书是否由信任 的CA颁发。
19、 如权利要求16或17所述AP,其特征在于,还包括证书吊销列表获取单元,用于从外部服务器获取证书吊销列表并提供给 所述第三证书鉴别子单元,供其鉴别所述STA的证书是否已经被吊销。
20、 如权利要求16所述AP,其特征在于,还包括临时端口设置单元,用于设置一临时端口以供所述STA从外部服务器获 取证书吊销列表。
全文摘要
本发明公开了一种证书鉴别方法和设备。该方法中,AP和STA间进行交互时,由STA直接鉴别AP证书的合法性,AP直接鉴别STA证书的合法性,证书的合法性鉴别不再需要第三方设备参与。通过使用本发明,在STA与AP的证书认证过程中,无需第三方设备如鉴权服务器AS等的参与,扩展了WAPI认证的应用。另外,该方法减少了证书认证过程的交互,加速了证书认证过程。
文档编号H04L9/30GK101282215SQ20081011076
公开日2008年10月8日 申请日期2008年5月29日 优先权日2008年5月29日
发明者蔡自彬 申请人:杭州华三通信技术有限公司