获取无线局域网鉴别和保密基础结构证书的方法及系统的制作方法

专利名称：获取无线局域网鉴别和保密基础结构证书的方法及系统的制作方法
技术领域：
本发明涉及无线局域网技术领域，尤其涉及一种获取无线局域网鉴别和 保密基础结构证书的方法及系统。
背景技术：
WAPI ( WLAN Authentication and Privacy Infrastructure,无纟戋局i或网鉴 别和保密基础结构)是中国提出的以802.11无线协议为基础的无线安全标 准。WAPI协议包括两个部分WAI ( WLAN Authentication Infrastructure, 无线局域网鉴别基础结构)和WPI ( WLAN Privacy Infrastructure ，无线局域 网保密基础结构。WAI是用于无线局域网中身份鉴别和密钥管理的安全方 案。WPI是用于无线局域网中数据传输保护的安全方案，包括数据加密、数 据鉴别和重放保护等功能。
典型的WAPI系统主要包括鉴别器实体(AE)、鉴别请求者实体(ASUE) 和鉴别服务器实体(ASE),其中
鉴别请求者实体是在接入服务之前请求进行鉴别操作的实体，驻留在 STA(无线客户端)中，可以理解为终端。
鉴别器实体为鉴别请求者实体在接入服务之前提供鉴别操作， 一般驻留 在AP (接入点)或STA中。
鉴别服务器实体为鉴别器实体和鉴别请求者实体提供相互鉴别的服务。
WAPI的过程主要包括终端与AP进行802.11链路协商后，AP为该 终端发起WAI鉴别过程，配合鉴别服务器完成与终端的双向认证。通过认 证后，AP发起与终端的密钥协商，并使用协商出的密钥通过WPI向该用户 提供加密和解密服务。
鉴别器实体通过两类方式支持WAI鉴别及密码管理， 一类是基于证书的方式， 一类是基于共享密钥的方式。当采用基于证书的方式时，鉴别请求 者实体所在的终端在发送给鉴别器实体的接入鉴别请求中，需要附带自己的
WAPI证书，鉴别器实体根据接入鉴别请求中的字段，决定由其自身完成
WAPI证书的验证还是交由鉴别服务单元完成验证，进而对鉴别请求者实体 进行认证。
WAPI与7>开密钥基础^殳施(Public key Infrastructure , PKI)相似， WAPI系统中的鉴别服务单元与PKI中的认证中心(Certificate Authority, CA)的作用相同，当WAI采用乂.509￥3证书时，鉴别服务单元也必须具有 与CA相同的证书申请、签发、定期发布证书失效列表和响应用户证书吊销 等功能。WAPI中终端采用离线方式获取证书和对应的私有密钥，需要人工 使用存储设备保存证书，再将保存的证书存储到终端中，证书在有效期满失 效后，用户还需要再次通过离线方式完成证书更新，使用非常不便。

发明内容
本发明要解决的技术问题是提供一种获取WAPI证书的方法及系统，解 决采用离线方式获取证书不方便的问题，实现终端便捷地获取WAPI证书。
为解决上述技术问题，本发明的 一种获取无线局域网鉴别和保密基础结 构i正书的方法，包才舌
终端向鉴别服务器发送证书下发请求；
鉴别服务器根据接收到的证书下发请求中携带的终端的用户帐号查找 用户的无线局域网鉴别和保密基础结构WAPI证书，并将查找到的WAPI 证书发送给终端。
进一步地，终端通过IP多媒体子系统IMS核心网向鉴别服务器发送证 书下发请求，鉴别服务器通过IMS核心网将查找到的WAPI证书发送给终
端o
进一步地，终端通过IMS核心网向鉴别服务器发送证书下发请求的过 程包括
终端将证书下发请求发送给IMS核心网的注册服务器；注册服务器接收到证书下发请求后，从IMS核心网的归属用户服务器
HSS中查询终端的鉴别服务器地址，根据查询到的鉴别服务器地址将证书下 发请求转发给鉴别服务器。
进一步地，鉴别服务器通过IMS核心网将查找到的WAPI证书发送给 终端的过程包括
鉴别服务器将查找到的WAPI证书发送给注册服务器；
注册服务器将接收到的WAPI证书转发给终端。
进一步地，注册服务器从HSS查询终端的鉴别服务器地址的过程包括
注册服务器向HSS发送查询消息，在查询消息中携带终端的用户帐号；
HSS接收到查询消息后，从保存的用户帐号与鉴别服务器地址的对应关 系中查找终端的鉴别服务器地址，并将查找到的地址发送给注册服务器。
进一步地，终端采用HTTP GET消息作为"i正书下发请求；
鉴别服务器通过HTTP 200 OK响应消息将WAPI证书发送给终端，终 端解析接收到的HTTP 200 OK响应消息，获得WAPI证书。
进一步地， 一种获取无线局域网鉴别和保密基础结构证书的系统，包括 终端和鉴别服务器，其中，
终端，用于向鉴别服务器发送证书下发请求；
鉴别服务器，用于根据接收到的证书下发请求中携带的终端的用户帐号 查找用户的WAPI证书，并将查找到的WAPI证书发送给终端。
进一步地，该系统还包括IMS核心网的注册服务器和HSS,终端向鉴 别服务器发送证书下发请求的过程为
终端将证书下发请求发送给IMS核心网的注册服务器；
注册服务器接收到证书下发请求后，从IMS核心网的HSS中查询终端 的鉴别服务器地址，根据查询到的鉴别服务器地址将证书下发请求转发给鉴 别服务器。
进一步地，鉴别服务器将查找到的WAPI证书发送给终端的过程为 鉴别服务器将查找到的WAPI证书发送给注册服务器；注册服务器将接收到的WAPI证书转发给终端。
进一步地，注册服务器从HSS查询终端的鉴别服务器地址的过程包括
注册服务器向HSS发送查询消息，在查询消息中携带终端的用户帐号；
HSS接收到查询消息后，从保存的用户帐号与鉴别服务器地址的对应关 系中查找终端的鉴别服务器地址，并将查找到的地址发送给注册服务器。
综上所述，本发明在终端进行第一次证书鉴别之前，通过3G(第三代 移动通信技术)RAN (接入网)接入IMS (IP多媒体子系统)网络，通过 IMS网络与鉴别服务器进行信令交互获得WAPI证书，本发明避免了用户通 过离线方式获取证书的不便，并简化了用户和运营商的证书管理流程，终端 可以在后台运行获取证书的过程，从而提升了用户体验。


图1为本发明获取WAPH正书的方法的交互图； 图2为本发明获取WAPI证书的系统的架构图。
具体实施例方式
IP多媒体子系统是一组规范，用于描述下一代网络(NGN)的体系结 构，NGN用于实现基于IP的电话和多媒体服务。IMS定义了一套完整的体 系结构和框架，允许在基于IP的基础设施上对声音、视频、数据和移动网 络技术进行聚合，其采用SIP (会话初始协议)，具有与接入无关的特性。
本发明中，终端通过3G RAN接入IMS网络并在注册成功后，向注册 服务器发送HTTP消息获取WAPI证书，注册服务器接收到HTTP消息后， 将其转发给终端对应的鉴别服务器，鉴别服务器向注册服务器返回WAPI 证书，注册服务器将WAPI证书转发给终端，终端接收到WAPI证书后，即 可进行与AP或鉴别服务器的证书鉴别过程。
下面结合附图对本发明的具体实施方式
进行说明。为保证终端能够通过IMS系统请求鉴别服务器下发WAPI证书，需要 在IMS核心网的归属用户服务器(HSS )中配置用户帐号与鉴别服务器地址 的对应关系，并在终端内配置IMS网络的注册服务器的地址、端口以及本 地端口等信息。
图1所示为本发明中终端获取WAPI证书的方法，包括如下步骤
101:终端通过3G RAN接入IMS后，向IMS核心网的注册服务器发送 注册请求消息(SIP REGISTER消息)，请求进行注册；
102:注册服务器接收到注册请求消息后，向终端返回401应答消息， 要求对终端进行鉴权；
103:终端接收到401应答消息后，根据401应答消息中携带的鉴权字 段计算出鉴权信息，将鉴权信息通过SIP REGISTER (SIP注册)消息发给 注册服务器；
104:注册服务器接收到携带鉴权信息的SIP REGISTER消息后，根据 鉴权信息对终端进行鉴权，如果对终端鉴权成功，则向终端返回200 OK消 息，通知终端注册成功；
105:终端接收到200 OK消息后，向注册服务器发送证书下发请求 (HTTPGET消息)，请求注册服务器下发证书，在证书下发请求中携带用 户帐号；
106:注册服务器接收到证书下发请求后，向HSS发送查询消息，查询 该终端对应的鉴别服务器地址，在查询消息中携带用户帐号；
107: HSS接收到查询消息后，在用户帐号与鉴别服务器地址的对应关 系中查找终端的鉴别服务器地址，查找到对应的鉴别服务器地址后，将地址 发送给注册服务器；
若HSS没有查找到对应的鉴别服务器地址，则向注册服务器返回错误 消息，注册服务器向终端返回获取证书失败的应答。
108:注册服务器根据接收到的鉴别服务器地址向鉴别服务器转发证书 下发请求；
109:鉴别服务器将接收到的证书下发请求转发给其证书管理模块，其证书管理模块根据用户帐号查找对应的WAPI证书，通过HTTP 200 OK响 应消息将WAPI证书发送给注册〗l务器；
如果证书管理才莫块未查找到终端的WAPI证书，则将HTTP 200 OK响 应消息中的Content-Length (内容-长度)字段的值置为0，发送给注册服务 器。
110:注册服务器接收到HTTP200OK消息后，将该消息转发至终端；
111:终端接收到HTTP200OK消息后，调用其证书管理模块对该消息 进行解析获取到WAPI证书，可以发起与AP的接入鉴别流程。
图2所示为本发明获取WAPI证书的系统，包括终端、IMS核心网和 鉴别服务器，IMS核心网包括注册服务器和HSS，其中
终端，用于向注册服务器发送注册请求消息(SIP REGISTER消息)， 请求进行注册；在接收到401应答消息后，根据401应答消息中携带的鉴权 字段计算出鉴权信息，将鉴权信息通过SIP REGISTER消息发给注册服务 器；在接收到200 OK消息后，向注册服务器发送证书下发请求(HTTP GET 消息)，请求注册服务器下发证书，在证书下发请求中携带用户帐号；接收 到HTTP 200 OK消息后，调用证书管理单元对该消息进行解析获取到WAPI 证书。
注册服务器，用于在接收到注册请求消息后，向终端返回401应答消息， 要求对终端进行鉴权；接收到携带鉴权信息的SIP REGISTER消息后，根据 鉴权信息对终端进行鉴权，如果对终端鉴权成功，则向终端返回200OK消 息，通知终端注册成功；接收到证书下发请求后，向HSS发送查询消息， 查询该终端对应的鉴别服务器的地址；在接收到鉴别服务器地址后，根据地 址向鉴别服务器转发证书下发请求；在接收到HSS的错误消息后，向终端 返回获取证书失败的应答；接收到HTTP 200 OK消息后，将该消息转发至 终端。
HSS,用于保存用户帐号与鉴别服务器地址的对应关系；在接收到查询 消息后，在用户帐号与鉴别服务器地址的对应关系中查找终端的鉴别服务器地址，查找到对应的鉴别服务器地址后，将地址发送给注册服务器；若没有 查找到对应的鉴别服务器地址，则向注册服务器返回错误消息。
鉴别服务器，用于将接收到的证书下发请求转发给其证书管理模块，其 证书管理模块根据用户帐号查找对应的WAPI证书，通过HTTP 200 OK响 应消息将WAPI证书发送给注册服务器；如果未查找到终端的WAPI证书， 则将HTTP200OK响应消息中的Content-Length字段的值置为0,发送给注 册服务器。
以上所述，仅为本发明较佳的具体实现方式，但本发明的保护范围并不 局限与此，任何熟悉该技术的人，在本发明所揭露的技术范围内，可轻易想 到的变化或替换，都应涵盖在本发明的保护范围之内。
权利要求
1、一种获取无线局域网鉴别和保密基础结构证书的方法，包括终端向鉴别服务器发送证书下发请求；所述鉴别服务器根据接收到的证书下发请求中携带的终端的用户帐号查找用户的无线局域网鉴别和保密基础结构WAPI证书，并将查找到的WAPI证书发送给所述终端。
2、 如权利要求l所述的方法，其特征在于，所述终端通过IP多媒体子 系统IMS核心网向鉴别服务器发送所述证书下发请求，所述鉴别服务器通 过所述IMS核心网将所述查找到的WAPI证书发送给所述终端。
3、 如权利要求2所述的方法，其特征在于，所述终端通过IMS核心网 向鉴别服务器发送所述证书下发请求的过程包括所述终端将所述证书下发请求发送给所述IMS核心网的注册服务器；所述注册服务器接收到所述证书下发请求后，从所述IMS核心网的归 属用户服务器HSS中查询所述终端的鉴别服务器地址，根据查询到的所述 鉴别服务器地址将所述证书下发请求转发给所述鉴别服务器。
4、 如权利要求3所述的方法，其特征在于，所述鉴别服务器通过所述 IMS核心网将所述查找到的WAPI证书发送给所述终端的过程包括所述鉴别服务器将所述查找到的WAPI证书发送给所述注册服务器；所述注册服务器将接收到的WAPI证书转发给所述终端。
5、 如权利要求3所述的方法，其特征在于，所述注册服务器从所述HSS 查询所述终端的鉴别服务器地址的过程包括所述注册服务器向所述HSS发送查询消息，在查询消息中携带所述终 端的用户帐号；所述HSS接收到所述查询消息后，从保存的用户帐号与鉴别服务器地 址的对应关系中查找所述终端的鉴别服务器地址，并将查找到的地址发送给 所述注册服务器。
6、 如权利要求4所述的方法，其特征在于，所述终端采用HTTP GET消息作为所述证书下发请求；所述鉴别服务器通过HTTP 200 OK响应消息将所述WAPI证书发送给 所述终端，所述终端解析接收到的所述HTTP 200 OK响应消息，获得所述 WAPI证书。
7、 一种获取无线局域网鉴别和保密基础结构证书的系统，包括终端 和鉴别服务器，其中，所述终端，用于向所述鉴别服务器发送证书下发请求；所述鉴别服务器，用于根据接收到的证书下发请求中携带的终端的用户 帐号查找用户的WAPI证书，并将查找到的WAPI证书发送给所述终端。
8、 如权利要求7所述的系统，其特征在于，该系统还包括IMS核心 网的注册服务器和HSS,所述终端向所述鉴别服务器发送证书下发请求的过 程为所述终端将所述证书下发请求发送给所述IMS核心网的注册服务器；所述注册服务器接收到所述证书下发请求后，从所述IMS核心网的HSS 中查询所述终端的鉴别服务器地址，根据查询到的所述鉴别服务器地址将所 述证书下发请求转发给所述鉴别服务器。
9、 如权利要求8所述的系统，其特征在于，所述鉴别服务器将查找到 的WAPI证书发送给所述终端的过程为所述鉴别服务器将所述查找到的WAPI证书发送给所述注册服务器；所述注册服务器将接收到的WAPI证书转发给所述终端。
10、 如权利要求8所述的系统，其特征在于，所述注册服务器从所述 HSS查询所述终端的鉴别服务器地址的过程包括所述注册服务器向所述HSS发送查询消息，在查询消息中携带所述终 端的用户帐号；所述HSS接收到所述查询消息后，从保存的用户帐号与鉴别服务器地 址的对应关系中查找所述终端的鉴别服务器地址，并将查找到的地址发送给 所述注册服务器。
全文摘要
本发明公开了一种获取无线局域网鉴别和保密基础结构证书的方法，包括终端向鉴别服务器发送证书下发请求；鉴别服务器根据接收到的证书下发请求中携带的终端的用户帐号查找用户的无线局域网鉴别和保密基础结构WAPI证书，并将查找到的WAPI证书发送给终端。本发明在终端进行第一次证书鉴别之前，通过3G RAN接入IMS网络，通过IMS网络与鉴别服务器进行信令交互获得WAPI证书，本发明避免了用户通过离线方式获取证书的不便，并简化了用户和运营商的证书管理流程，终端可以在后台运行获取证书的过程，从而提升了用户体验。
文档编号H04L29/06GK101540679SQ20091013617
公开日2009年9月23日 申请日期2009年4月30日 优先权日2009年4月30日
发明者康望星, 施元庆, 梁洁辉 申请人:中兴通讯股份有限公司