证书申请方法、无线接入控制设备及无线接入点设备与流程

本发明无线数据通信领域，具体而言，涉及一种证书申请方法、无线接入控制设备及无线接入点设备。

背景技术：

无线系统在部署时，出于安全原因考虑，所有的无线接入点设备(wirelessaccesspoint，简称ap)以无线接入点控制与配置协议(controlandprovisioningofwirelessaccesspoints，简称capwap)数据报文传输层安全协议(datagramtransportlayersecurity，简称dtls)方式接入无线接入控制设备(wirelessaccesscontroller，简称ac)，所有的无线接入点设备都会被要求以dtls证书认证的方式接入无线接入控制设备，为此需要在无线接入点设备初始部署时就为其申请和分发无线接入点设备的设备证书。

现有技术中，为大规模无线接入点设备申请和分发设备证书的方式有：

1.事先集中的为待部署的各个无线接入点设备申请好设备证书，并导入到无线接入点设备中，然后再分发无线接入点设备进行安装部署。

2.事先为待部署的各无线接入点设备进行证书授权中心(certificateauthority，简称ca)地址、scep功能等进行配置，然后由各无线接入点设备自行访问证书授权中心申请证书。

上述两种方式在进行大规模的证书申请和分发时，都不可避免的面临需要大量管理和维护工作量，限制了无线接入点设备的安全部署。

技术实现要素：

为了克服现有技术中的上述不足，本发明所要解决的技术问题是提供一种证书申请方法、无线接入控制设备及无线接入点设备，其能够提供一种由无线接入控制设备对无线接入点设备的设备证书进行代理申请的方法及无线接入控制设备，能够实现大规模无线接入点设备的证书的自动部署，无需额外的操作。

本发明第一方面的目的在于一种证书申请方法，应用于证书申请系统，所述系统包括相互之间通信连接的无线接入点设备、无线接入控制设备、证书授权中心及设备管理中心，所述方法包括：

所述无线接入点设备从所述无线接入控制设备中获得用于进行证书代理申请的令牌信息；

所述无线接入点设备根据所述令牌信息建立与所述无线接入控制设备的通信，所述无线接入点设备发送证书代理请求报文到所述无线接入控制设备，其中，所述证书代理请求报文包括无线接入点设备的标识信息，所述标识信息包括：mac地址和/或设备序列号；

所述无线接入控制设备在对所述无线接入点设备的标识信息验证通过后，向所述设备管理中心查询所述无线接入点设备的证书申请情况，根据证书申请情况从所述证书授权中心获取设备证书；

所述无线接入控制设备在成功获取设备证书后，将设备证书发送给所述无线接入点设备，并更新所述设备管理中心中所述无线接入点设备的记录信息。

本发明第二方面的目的在于一种证书申请方法，应用于与无线接入点设备、证书授权中心及设备管理中心通信连接的无线接入控制设备，所述方法包括：

所述无线接入控制设备发送用于进行证书代理申请的令牌信息给所述无线接入点设备；

基于所述令牌信息建立与所述无线接入点设备通信，接收所述无线接入点设备发送证书代理请求报文，其中，所述证书代理请求报文包括无线接入点设备的标识信息，所述标识信息包括：mac地址和/或设备序列号；

在对所述无线接入点设备的标识信息验证通过后，向所述设备管理中心查询所述无线接入点设备的证书申请情况，根据证书申请情况从所述证书授权中心获取设备证书；

在成功获取设备证书后，将设备证书发送给所述无线接入点设备，并更新所述设备管理中心中所述无线接入点设备的记录信息。

本发明第三方面的目的在于提供一种无线接入控制设备，所述无线接入控制设备与无线接入点设备、证书授权中心及设备管理中心通信连接，所述无线接入控制设备包括：

发送模块，用于发送用于进行证书代理申请的令牌信息给所述无线接入点设备；

安全通信模块，用于基于所述令牌信息建立与所述无线接入点设备的安全通信通道，接收所述无线接入点设备发送证书代理请求报文，其中，所述证书代理请求报文包括无线接入点设备的标识信息，所述标识信息包括：mac地址和/或设备序列号；

证书获取模块，用于在对所述无线接入点设备的标识信息验证通过后，向所述设备管理中心查询所述无线接入点设备的证书申请情况，根据证书申请情况从所述证书授权中心获取设备证书；

所述安全通信模块，还用于在成功获取设备证书后，将设备证书发送给所述无线接入点设备；

所述证书获取模块，还用于在成功获取设备证书后，更新所述设备管理中心中所述无线接入点设备的记录信息。

本发明第四方面的目的在于提供一种无线接入点设备，所述无线接入点设备与无线接入控制设备通信连接，所述无线接入点设备包括：

发送模块，用于发送请求报文到所述无线接入控制设备，以使所述无线接入控制设备在接收到所述请求报文后，根据预设的决策策略决定是否为所述无线接入点设备进行证书代理申请，其中，所述请求报文中包括无线接入点设备的标识信息，所述标识信息包括：mac地址和/或设备序列号；

接收模块，用于接收所述无线接入控制设备在决定为所述无线接入点设备进行证书代理申请时发送的响应报文，所述响应报文中包括用于进行证书代理申请的令牌信息；

安全通信模块，用于根据所述令牌信息建立与所述无线接入控制设备的安全通信通道，通过所述安全通信通道发送证书代理请求报文到所述无线接入控制设备，其中，所述证书代理请求报文包括无线接入点设备的标识信息，所述标识信息包括：mac地址和/或设备序列号；

所述安全通信模块，还用于通过所述安全通信通道接收所述无线接入控制设备代理申请的设备证书。

相对于现有技术而言，本发明具有以下有益效果：

本发明提供一种证书申请方法、无线接入控制设备及无线接入点设备。所述无线接入点设备在获得用于进行证书代理申请的令牌信息后，发送证书代理请求报文到所述无线接入控制设备，所述无线接入控制设备向所述设备管理中心查询所述无线接入点设备的证书申请情况，根据证书申请情况从所述证书授权中心获取设备证书。所述无线接入控制设备在成功获取设备证书后，将设备证书发送给所述无线接入点设备。在上述过程中，无线接入控制设备代理无线接入点设备的证书申请，实现对大规模无线接入点设备的证书自动部署，解决了无线接入点设备在实际部署和使用过程中复杂、难以管理维护的问题，简化和节省管理维护成本。

附图说明

为了更清楚地说明本发明实施例的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，应当理解，以下附图仅示出了本发明的某些实施例，因此不应被看作是对范围的限定，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他相关的附图。

图1是本发明实施例提供的一种证书申请系统的结构方框图。

图2是本发明第一实施例提供的证书申请方法的一种步骤流程图。

图3是图2中步骤中s110的子步骤流程图。

图4是本发明第一实施例提供的证书申请方法的另一种步骤流程图。

图5是本发明第二实施例提供的证书申请方法的步骤流程图。

图6是本发明第三实施例提供的无线接入控制设备功能模块图。

图7是本发明第四实施例提供的无线接入点设备功能模块图。

具体实施方式

为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。通常在此处附图中描述和示出的本发明实施例的组件可以以各种不同的配置来布置和设计。

因此，以下对在附图中提供的本发明的实施例的详细描述并非旨在限制要求保护的本发明的范围，而是仅仅表示本发明的选定实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

应注意到：相似的标号和字母在下面的附图中表示类似项，因此，一旦某一项在一个附图中被定义，则在随后的附图中不需要对其进行进一步定义和解释。

请参照图1，图1是本发明较佳实施例提供的证书申请系统的结构框图，所述证书申请系统包括：无线接入点设备100、无线接入控制设备300、证书授权中心500及设备管理中心400。所述无线接入点设备100与所述无线接入控制设备300连接为用户提供无线接入服务。

所述无线接入控制设备300负责对无线接入点设备100进行接入控制和管理，进行具体无线业务的处理。

所述证书授权中心500提供对无线接入点设备100的设备证书信息查询，以及对无线接入点设备100的设备证书进行签发等，所述证书授权中心500与所述无线接入控制设备300通信连接，所述证书授权中心500可以由用户自行搭建，也可以由第三方提供。

所述设备管理中心400与无线接入控制设备300通信连接，所述设备管理中心400记录各个无线接入点设备100的mac地址、设备序列号sn、管理维护状态、无线接入点设备的证书使用状态，及无线接入点设备100可接入无线接入控制设备300的列表等信息。

第一实施例

请参照图2，图2是本发明较佳实施例提供的证书申请方法的一种步骤流程图。所述方法应用于证书申请系统，下面对证书申请方法的步骤做具体的描述。

步骤s110，无线接入点设备100从所述无线接入控制设备300中获得用于进行证书代理申请的令牌信息。

请参照图3，图3为实现步骤s110的一种流程示意图，可选地，所述步骤s110可以包括子步骤s111，子步骤s112及子步骤s113。

子步骤s111，无线接入点设备100发送请求报文到所述无线接入控制设备300，所述请求报文中包括无线接入点设备100的标识信息。

在本实施例中，可选地，无线接入点设备100按照现有的网络部署方式，通过静态配置、dhcpoffer、或discovery广播等方式发送请求报文到无线接入控制设备300。其中，所述请求报文中包括无线接入点设备100的标识信息，所述标识信息包括mac地址和/或设备序列号。也就是说该标识信息可以包括无线接入点设备100的mac地址或无线接入点设备100的设备序列号，也可以同时包括无线接入点设备100的mac地址和无线接入点设备100的设备序列号。该标识信息供无线接入控制设备300对无线接入点设备100的控制状态(无线接入点设备100是否属于该无线接入控制设备300管理范围等)以及证书申请状态进行查询。所述请求报文中还可以包括当前证书序号，用于无线接入控制设备300判断当前证书是否经由本设备申请以及是否需要对无线接入点设备100的当前证书进行更新。可选地，本发明实施例中的所述请求报文为扩展后的discoveryrequest报文。

子步骤s112，所述无线接入控制设备300在接收到所述请求报文后，根据预设的决策策略决定是否为所述无线接入点设备100进行证书代理申请。

在本实施例中，可选地，所述子步骤s112可以包括：

若所述无线接入控制设备300的证书认证方式未被开启，则决定无需为所述无线接入点设备100进行证书代理申请。

若所述无线接入控制设备300在所述设备管理中心400查询到所述无线接入点设备100为第一次上线，或所述无线接入控制设备300根据所述无线接入点设备100当前证书信息在所述设备管理中心400查询到的证书状态为失效或邻近失效时，则决定为所述无线接入点设备100进行证书代理申请。其中，邻近失效的证书是指证书的有效使用时间小于预设时间(比如，7天)的证书。

子步骤s113，当决定为所述无线接入点设备100进行证书代理申请时，所述无线接入控制设备300发送响应报文到所述无线接入点设备100，其中，所述响应报文包括根据所述无线接入点设备100的标识信息生成的令牌信息。

若根据预设的决策策略决定为所述无线接入点设备100进行证书代理申请，无线接入控制设备300会根据无线接入点设备100的标识信息、随机数信息等生成令牌信息。并将令牌信息作为响应报文的一部分发送给无线接入点设备100。可选地，本发明实施例中的所述响应报文为扩展后的discoveryresponse报文。

步骤s120，所述无线接入点设备100根据所述令牌信息建立与所述无线接入控制设备300建立安全通信通道，所述无线接入点设备100发送证书代理请求报文到所述无线接入控制设备300。

在本实施例中，所述无线接入点设备100与所述无线接入控制设备300根据所述令牌信息以及随机数信息的交互，协商该通信通道的加密秘钥建立起安全通信通道，以对通过该通信通道交互的与证书代理有关的内容进行保护。所述无线接入点设备100通过安全通信通道发送证书代理请求报文到所述无线接入控制设备300。所述证书代理请求报文包括无线接入点设备100的标识信息，所述标识信息包括：mac地址和/或设备序列号。也就是说该标识信息可以包括无线接入点设备100的mac地址或无线接入点设备100的设备序列号，也可以同时包括无线接入点设备100的mac地址和无线接入点设备100的设备序列号。所述标识信息用于供无线接入控制装设备300进行校验核对，并作为后续证书申请时的证书内容信息。

步骤s130，所述无线接入控制设备300在对所述无线接入点设备100的标识信息验证通过后，向所述设备管理中心400查询所述无线接入点设备100的证书申请情况，根据证书申请情况从所述证书授权中心500获取设备证书。

在本实施例中，在对所述无线接入点设备100的标识信息验证通过后，所述无线接入控制设备300向所述设备管理中心400查询所述无线接入点设备100的证书申请情况。所述证书申请情况包括存在申请记录的情形和不存在申请记录的情形。

当所述设备管理中心400已经存在证书申请记录，根据记录的证书申请信息从所述证书授权中心500获取设备证书。可选的，在该情形下从所述证书授权中心500获取设备证书的步骤可以包括：

所述无线接入控制设备300根据记录的证书申请信息，向所述证书授权中心500请求获取设备证书。

若所述证书授权中心500已经完成证书签发，则将证书返回给所述无线接入控制设备300，并通过安全通信通道下发给所述无线接入点设备100。

若所述证书授权中心500尚未完成证书签发，则将结果返回给所述无线接入控制设备300，通知所述无线接入点设备100在等待预设时间后再次进行连接，直到获得设备证书。

在本实施例中，证书授权中心500签发证书的方式可以包括自动签发或者由管理员确认后进行签发，在采用管理员确认后进行签发的方式时，设备证书可能要多次操作才能够获得。

若所述设备管理中心400不存在证书申请记录，为所述无线接入点设备100生成证书申请，并根据生成的证书申请信息向所述证书授权中心500申请设备证书。

在本实施例中，可选地，为所述无线接入点设备100生成证书申请的方式可以如下：

为所述无线接入点设备100生成证书的公私密钥对信息。

从所述设备管理中心400获取所述无线接入点设备100的相关信息，其中，相关信息包括无线接入点设备100可接入无线接入控制设备300的列表信息和无线接入点设备100的标识信息。

根据所述公私密钥对信息和所述无线接入点设备100的相关信息生成证书申请。

在生成证书申请后无线接入控制设备300采用与所述设备管理中心400已经存在证书申请记录情形下相同的方式从所述证书授权中心500获得无线接入点设备的设备证书，具体地过程在此就不再进行赘述。

步骤s140，所述无线接入控制设备300在成功获取设备证书后，将设备证书发送给所述无线接入点设备100，并更新所述设备管理中心400中所述无线接入点设备100的记录信息。

请参照图4，图4是本发明第一实施例提供的另一种证书申请方法流程示意图，所述方法还包括步骤s150。

步骤s150，所述无线接入点设备100将获得的设备证书进行保存，并根据获得的设备证书与所述无线接入控制设备300进行数据报文传输层安全协议(dtls)协商后接入所述无线接入控制设备。

在本实施例中，所述无线接入点设备100在接收到设备证书后，会将相应的设备证书信息存储在所述无线接入点设备100的非易失存储空间中。在无线接入点设备100与无线接入控制设备300重新建立连接时，所述无线接入点设备100根据获得的设备证书与所述无线接入控制设备300进行协商后建立连接。

第二实施例

请参照图5，图5是本发明第二实施例提供的证书申请方法流程示意图，所述证书申请方法应用于与无线接入点设备100、证书授权中心500及设备管理中心400通信连接的无线接入控制设备300，下面对证书申请方法的步骤做具体的描述。

步骤s210，无线接入控制设备300发送用于进行证书代理申请的令牌信息给所述无线接入点设备100。

在本实施例中，所述步骤s210可以包括：

接收所述无线接入点设备100发送请求报文，所述请求报文中包括无线接入点设备100的标识信息。

在接收到所述请求报文后，根据预设的决策策略决定是否为所述无线接入点设备100进行证书代理申请。

在本实施例中，根据预设的决策策略决定是否为所述无线接入点设备100进行证书代理申请的具体描述可以参照第一实施例中的子步骤s112，在此就不再赘述。

当决定为所述无线接入点设备100进行证书代理申请时，发送响应报文到所述无线接入点设备100，其中，所述响应报文包括根据所述无线接入点设备的标识信息生成的令牌信息。

步骤s220，基于所述令牌信息建立与所述无线接入点设备100通信，接收所述无线接入点设备100发送证书代理请求报文。

步骤s230，在对所述无线接入点设备100的标识信息验证通过后，向所述设备管理中心400查询所述无线接入点设备100的证书申请情况，根据证书申请情况从所述证书授权中心500获取设备证书。

在本实施例中，根据证书申请情况从所述证书授权中心500获取设备证书的具体描述可以参照第一实施例中的步骤s130，在此就不再赘述。

步骤s240，在成功获取设备证书后，将设备证书发送给所述无线接入点设备100，并更新所述设备管理中心400中所述无线接入点设备100的记录信息。

第三实施例

请参照图6，图6为本发明较佳实施例提供的无线接入控制设备300的功能模块框图，所述无线接入控制设备300与无线接入点设备100、证书授权中心500及设备管理中心400通信连接，所述无线接入控制设备300包括：发送模块310、安全通信模块320及证书获取模块330。

所述发送模块310，用于发送用于进行证书代理申请的令牌信息给所述无线接入点设备100。

所述发送模块310用于执行图5中的步骤s210，关于所述发送模块310的具体描述可以参照步骤s210的描述。

所述安全通信模块320，用于基于所述令牌信息建立与所述无线接入点设备的安全100通信通道，接收所述无线接入点设备100发送证书代理请求报文，其中，所述证书代理请求报文包括无线接入点设备100的标识信息，所述标识信息包括：mac地址和/或设备序列号。也就是说该标识信息可以包括无线接入点设备100的mac地址或无线接入点设备100的设备序列号，也可以同时包括无线接入点设备100的mac地址和无线接入点设备100的设备序列号。

所述证书获取模块330，用于在对所述无线接入点设备100的标识信息验证通过后，向所述设备管理中心400查询所述无线接入点设备100的证书申请情况，根据证书申请情况从所述证书授权中心500获取设备证书。

所述安全通信模块320还用于在成功获取设备证书后，将设备证书发送给所述无线接入点设备100。

所述证书获取模块330还用于在成功获取设备证书后，更新所述设备管理中心400中所述无线接入点设备100的记录信息。

所述安全通信模块320及证书获取模块330用于执行图5中的相应步骤，关于安全通信模块320及证书获取模块330的具体描述可以参照对图5中步骤的描述。

请再次参照图6，在本实施例中，可选地，所述无线接入控制设300还可以包括接收模块340，接收模块340用于接收所述无线接入点设备100发送的请求报文，所述请求报文中包括无线接入点设备100的标识信息。

具体地，在接收模块340接收所述无线接入点设备100发送的请求报文后，所述发送模块310用于根据预设决策策略决定是否为所述无线接入点设备100进行证书代理申请；当决定为所述无线接入点设备100进行证书代理申请时，发送响应报文到所述无线接入点设备100，其中，所述响应报文包括根据所述无线接入点设备100的标识信息生成的令牌信息。

第四实施例

请参照图7，图7为本发明较佳实施例提供的无线接入点设备100的功能模块框图，所述无线接入点设备100与无线接入控制设备300通信连接，所述无线接入点设备100包括：发送模块110、接收模块120及安全通信模块130。

发送模块110，用于发送请求报文到所述无线接入控制设备300，以使所述无线接入控制设备300在接收到所述请求报文后，根据预设的决策策略决定是否为所述无线接入点设备100进行证书代理申请。其中，所述请求报文中包括无线接入点设备100的标识信息，所述标识信息包括：mac地址和/或设备序列号。

接收模块120，用于接收所述无线接入控制设备300在决定为所述无线接入点设备100进行证书代理申请时发送的响应报文，所述响应报文中包括用于进行证书代理申请的令牌信息。

安全通信模块130，用于根据所述令牌信息建立与所述无线接入控制设备300的安全通信通道，通过所述安全通信通道发送证书代理请求报文到所述无线接入控制设备300，其中，所述证书代理请求报文包括无线接入点设备100的标识信息，所述标识信息包括：mac地址和/或设备序列号。

在本实施例中，所述安全通信模块130还用于通过所述安全通信通道接收所述无线接入控制设备300代理申请的设备证书。

综上所述，本发明提供一种证书申请方法、无线接入控制设备及无线接入点设备，所述无线接入点设备在获得用于进行证书代理申请的令牌信息后，发送证书代理请求报文到所述无线接入控制设备，所述无线接入控制设备向所述设备管理中心查询所述无线接入点设备的证书申请情况，根据证书申请情况从所述证书授权中心获取设备证书。所述无线接入控制设备在成功获取设备证书后，将设备证书发送给所述无线接入点设备。在上述过程中，无线接入控制设备代理无线接入点设备的证书申请，实现对大规模无线接入点设备的证书自动部署，解决了无线接入点设备在实际部署和使用过程中复杂、难以管理维护的问题，简化和节省管理维护成本。

另外，在本发明各个实施例中的各功能模块可以集成在一起形成一个独立的部分，也可以是各个模块单独存在，也可以两个或两个以上模块集成形成一个独立的部分。

以上所述仅为本发明的优选实施例而已，并不用于限制本发明，对于本领域的技术人员来说，本发明可以有各种更改和变化。凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。应注意到：相似的标号和字母在下面的附图中表示类似项，因此，一旦某一项在一个附图中被定义，则在随后的附图中不需要对其进行进一步定义和解释。

以上所述仅为本发明的优选实施例而已，并不用于限制本发明，对于本领域的技术人员来说，本发明可以有各种更改和变化。凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。