专利名称:一种证书文件安全传递的方法及其系统的制作方法
技术领域:
本发明涉及通信领域,尤其涉及通信过程中一种证书文件安全传递的 方法及其系统。
背景技术:
WLAN (Wireless Local Access Network,无线局i或网)提供了一种高 速的无线数据接入服务,WLAN是目前IT行业比较热门的技术之一。目前WLAN 的安全标准主要有由IEEE (Institute of Electrical and Electronics Engineers,美国电气及电子工程师学会)提出的IEEE 802. lli和我国拥有 独立知识产权的WAPI (WLAN Authentication and Privacy Infrastructure, 无线局域网鉴别与保密基础结构)。
802. lli的认证可采用802. IX或共享密钥方式。IEEE802.1x 2001定 义了基于Extensible Authentication Protocol (EAP,扩展认证协议)over LANs,即EAPoL的框架。请求者和认证服务器之间通过EAP协i义进行i人证, EAP协议包中封装证书文件数据,请求者和认证者之间采用EAPoL协议把 EAP包封装在LAN上。认证者将EAP协议数据封装到其他高层协议中,如 RADIUS。当使用802. IX服务器(AS)时,在认证者和AS之间需要构建一个 安全通道,请求者和AS通过该安全通道进行双向认证。
WAPI是实现通信节点和网络承接节点之间的双向认证和保密的、适用 于主流网络物理拓朴形态的安全体系架构,是一种基于三元结构和对等鉴 别的访问控制方法。无线局域网鉴别和保密基础结构(也称为WAPI)即为 这种安全体系架构在无线局域网中的应用。WAPI釆用基于公钥密码体系的 证书机制,实现用户站STA与无线接入点(AP)间的双向鉴别。即用户站STA 与无线接入点AP上都安装有鉴别服务器(AS)颁发的数字证书,作为自己的
数字身份凭证。在用户站STA通过无线接入点AP使用或访问网络之前,必 须通过鉴别服务器AS验证双方身份。根据验证结果(认证通过后),持有 合法证书的用户站STA才可以接入持有合法证书的无线接入点AP。这样不 仅可以防止非法用户站STA接入合法AP,还可以保护无线网络资源,而且 可以防止合法用户站STA接入非法AP造成信息泄漏。
无论是采用IEEE 802. lli还是WAPI标准,对证书文件进行认证过程 中涉及证书文件的生成、颁发、导入等一系列复杂的操作,这些操作都需 要用户通过计算机等配置设备去操作完成,实现起来比较复杂,还可能导 致系统潜在的安全隐患。
发明内容
本发明提供了 一种证书文件安全传递的方法及其系统,其方法实现比 较简单方便,保证网络安全和增加系统使用的方便性。
本发明的技术方案是 一种证书文件安全传递的方法,基于含无线终 端模块、无线接入模块和鉴别服务器的系统,所述无线终端模块通过所述 无线接入模块接入网络,所述方法包括步骤
判断鉴别服务器和无线接入模块是否位于同一设备,如果是,所述鉴 别服务器生成所述无线接入模块的接入证书文件并发送给所述无线接入模
块;
所述鉴别服务器根据无线终端模块传递的数据请求信息生成无线终端 模块的终端证书文件,并传递给所述无线终端模块。
本发明还揭示了一种证书文件安全传递的系统,包括
鉴别服务器,用于判断所述无线接入模块是否和其位于同一设备,如
果是,生成所述无线接入模块的接入证书文件并发送给所述无线接入模块;
接收无线终端模块传递的数据请求信息,根据该数据请求信息生成无线终
端模块的终端证书文件,并传递给所述无线终端模块;
无线接入模块,用于接收所述鉴别服务器发送的接入证书文件;
无线终端模块,用于向所述鉴别服务器传递数据请求信息,接收所述 鉴别服务器传递的终端证书文件。
本发明的证书文件安全传递的方法,鉴别服务器可以根据无线终端模 块或无线接入模块传递的数据请求信息来自动生成终端证书文件或接入证 书文件再传递给无线终端模块或无线接入模块,不需要用户通过计算机等 配置设备去操作完成,实现起来比较简单方便,还可以提高证书文件传递 的安全性。进一步的本发明的证书文件安全传递的系统,鉴别服务器可以 根据无线终端模块或无线接入模块传递的数据请求信息来自动生成终端证 书文件或接入证书文件,也不需要用户通过计算机等配置设备去操作完成, 实现起来比较简单方便,还可以提高证书文件传递的安全性。
图1是本发明证书文件安全传递方法的一实施例的流程图; 图2是本发明证书文件安全传递方法的一实施例的流程图; 图3是本发明证书文件安全传递系统的 一 实施例的结构框图; 图4是本发明证书文件安全传递系统的一实施例的结构框图; 图5是本发明证书文件安全传递系统的一实施例的结构框图; 图6是本发明证书文件安全传递系统的一实施例的结构框图。
具体实施例方式
下面结合附图和具体实施例对本发明做一详细的阐述。
实施例
本发明的证书文件安全传递的方法,基于含无线终端模块、无线接入 模块和鉴别服务器的系统,所述无线终端模块通过所述无线接入模块接入 网络,适用于通信时无线终端模块接入网络过程中证书文件的安全传递,
其包括步骤,如图1, SlOl、判断无线接入模块和鉴别服务器是否位于同一 设备中。如果是,执行步骤S102、鉴别服务器生成无线接入模块的接入证 书文件并发送给无线接入模块,之后执行步骤S105。无线接入模块可以是 无线接入点AP。无线终端模块可以是手机等无线终端设备。
如果鉴別服务器和无线接入模块不在同一设备中,执行步骤S103、无 线接入模块向鉴别服务器传递数据请求信息;S104、鉴别服务器根据无线 接入模块传递的数据请求信息生成接入证书文件并传递给无线接入模块, 之后执行步骤S105。
S105、无线终端模块向鉴别服务器传递数据请求信息;S106、鉴别服 务器根据无线终端模块传递的数据请求信息生成终端证书文件并传递给无 线终端模块。证书文件传递结束。
接入证书文件和终端证书文件可以是纯证书文件,即常见的数字证书, 如X. 509数字证书等;还可以是经封装后的证书文件,即常见的数字证书 封装,并添加额外控制信息的证书文件,如,在X. 509证书文件中添加控 制信息增加对无线终端模块访问网络的额外属性。
由此可见,本发明的证书文件安全传递的方法,鉴别服务器可以根据 无线终端模块或无线接入模块传递的数据请求信息来自动生成终端证书文 件或接入证书文件,不需要用户通过计算机等配置设备去操作完成,实现 起来比较简单方便,同时还可以提高证书文件传递的安全性。
其中在该实施例中,所述数据请求信息可以是生成证书文件的请求信 息或证书文件参数信 息。
实施例二
实施一中一般无线终端模块或无线接入模块通过网络等方式和鉴别服 务器建立连接,这种方式存在不安全因素。该实施例是改进后的一种实施例。
本发明的证书文件安全传递的方法包括步骤,如图2, S201、判断无线 接入模块和鉴别服务器是否位于同一设备中。如果是,执行步骤S202、鉴 别服务器生成无线接入模块的接入证书文件并发送给无线接入模块,之后 执行步骤S205。无线接入模块可以是无线接入点AP。
如果鉴别服务器和无线接入模块不在同一设备中,执行步骤S203、无 线接入模块通过移动存储介质将无线接入模块的数据请求信息传递给鉴别 服务器;S204、鉴别服务器根据无线接入模块的数据请求信息生成接入证 书文件,并通过移动存储介质传递给无线接入模块,之后执行步骤S205。
S205、无线终端模块通过移动存储介质向鉴别服务器传递其数据请求 信息;S206、鉴别服务器根据无线终端模块的数据请求信息生成终端证书 文件,并通过移动存储介质传递给无线终端模块。证书文件传递结束。
该证书文件参数信息可以是无线接入模块或无线终端模块的型号或特 征信息。移动存储介质可以是优盘或SD存储卡等物理媒介。数据请求信息 可以是生成证书文件的请求信息或证书文件参数信息。
本发明的证书文件安全传递的方法,鉴别服务器还可以根据移动存储 介质传输的无线终端模块或无线接入模块的证书文件参数信息来自动生成 终端证书文件或接入证书文件,也不需要用户通过计算机等配置设备去操 作完成,实现起来比较简单方便,而且通过移动存储介质可以避免通过网 络等方式进行传输的不安全因素,提高了证书文件传递的安全性。
实施例三
该实施例中揭示了一种证书文件安全传递的系统,如图3,其包括
鉴别服务器,用于判断所述无线接入模块是否和其位于同一设备,如
果是,生成所述无线接入模块的接入证书文件并发送给所述无线接入模块; 接收无线终端模块发送的数据请求信息,根据该数据请求信息生成无线终 端模块的终端证书文件,并传递给所述无线终端模块;
无线接入模块,用于接收所述鉴别服务器发送的接入证书文件;
无线终端模块,用于向所述鉴别服务器发送数据请求信息,接收所述 鉴别服务器发送的终端证书文件。
当所述鉴别服务器和所述无线接入模块不在同一设备中时,如图4,无 线接入模块向鉴别服务器发送数据请求信息,鉴别服务器根据该数据请求 信息生成接入证书文件并发送给无线接入模块。无线接入模块接收所述鉴 别服务器发送的接入证书文件。
该证书文件参数信息可以是无线接入模块或无线终端模块的型号或特 征信息。另外在一具体实施例中,在无线接入模块、无线终端模块、鉴别 服务器上都可以带有某种物理接口,如USB接口, 1394接口等。当无线终 端模块需要向鉴别服务器发送数据请求信息时,无线终端模块可以直接通 过其物理接口与鉴别服务器的物理接口连接;当无线接入模块需要向鉴别 服务器发送数据请求信息时,无线接入模块也可以通过其物理接口与鉴别 服务器的物理接口连接。
实施例四
实施三中一般无线终端模块或无线接入模块通过网络等方式和鉴别服 务器建立连接,这种方式存在不安全因素。该实施例是改进后的一种实施例。
本发明还揭示了一种证书文件安全传递的系统,如图5,包括
鉴别服务器,用于判断所述无线接入模块是否和其位于同一设备,如 果是,生成所述无线接入模块的接入证书文件并发送给所述无线接入模块;
接收移动存储介质传递的无线终端模块的数据请求信息,根据该数据请求无线接入模块,用于接收所述鉴别服务器发送的接入证书文件;
无线终端模块,用于向所述移动存储介质写入数据请求信息,接收所 述移动存储介质存储的终端证书文件;
移动存储介质,用于将所述数据请求信息传输给鉴别服务器,传递所 述鉴别服务器生成的终端证书文件。
当所述无线接入模块和所述鉴别服务器不在同一设备时,如图6,此时 无线接入模块将其数据请求信息通过移动存储介质传递到鉴别服务器,鉴 别服务器根据该数据请求信息生成接入证书文件,并通过移动存储介质传 递给无线接入纟莫块。
该证书文件参数信息可以是无线接入模块或无线终端模块的型号或特 征信息。移动存储介质可以是优盘或SD存储卡等物理媒介。数据请求信息 可以是生成证书文件的请求信息或证书文件参数信息。
在无线接入模块、无线终端模块、鉴别服务器及移动存储介质上都可 以带有某种物理接口,如USB接口, 1394接口等,在实际操作时,如果鉴 别服务器和无线接入模块在同一设备时,将移动存储介质插入到无线终端 模块,无线终端模块将其数据请求信息存储在移动存储介质上,移动存储 介质再插入到鉴别服务器,鉴别服务器即根据该数据请求信息生成终端证 书文件存储在移动存储介质上,最后移动存储介质再插入到无线终端模块 上,将所述终端证书文件存在无线终端模块上,即完成终端证书文件的安 全传递。
如果鉴别服务器和无线接入模块不在同一设备时,无线接入模块的接 入证书文件的安全传递方法和无线终端模块的终端证书文件的传递方法一样。
由此可见通过移动存储介质来安全传递证书文件,可以提高系统的安 全性,避免受网络等潜在的不安全因素的影响。
综上所述,本发明鉴别服务器可以根据无线终端模块或无线接入模块 传递的数据请求信息来自动生成终端证书文件或接入证书文件,不需要用 户通过计算机等配置设备去操作完成,实现起来比较简单方便。进一步的, 本发明鉴别服务器还可以根据移动存储介质传递的无线终端模块或无线接 入模块的数据请求信息来自动生成终端证书文件或4矣入证书文件,也不需 要用户通过计算机等配置设备去操作完成,实现起来比较简单方便,而且 通过移动存储介质可以避免通过网络等方式进行传输的不安全因素,提高 了证书文件传递的安全性。
以上所述的本发明实施方式,并不构成对本发明保护范围的限定。任 何在本发明的精神和原则之内所作的修改、等同替换和改进等,均应包含 在本发明的权利要求保护范围之内。
权利要求
1.一种证书文件安全传递的方法,基于含无线终端模块、无线接入模块和鉴别服务器的系统,所述无线终端模块通过所述无线接入模块接入网络,其特征在于,包括步骤判断鉴别服务器和无线接入模块是否位于同一设备,如果是,所述鉴别服务器生成所述无线接入模块的接入证书文件并发送给所述无线接入模块;所述鉴别服务器根据无线终端模块传递的数据请求信息生成无线终端模块的终端证书文件,并传递给所述无线终端模块。
2、 根据权利要求1所述的证书文件安全传递的方法,其特征在于如果 所述筌别服务器和所述无线接入模块不在同一设备,则所述鉴别服务器根据所 述无线接入模块传递的数据请求信息生成所述接入证书文件并传递给所述无 线接入模块。
3、 根据权利要求1所述的证书文件安全传递的方法,其特征在于所述 无线终端模块是通过移动存储介质传送所述数据请求信息,并通过该移动存储 介质接收所述鉴别服务器传递的所述终端证书文件。
4、 根据权利要求2所述的证书文件安全传递的方法,其特征在于所述 无线接入模块是通过移动存储介质传递所述数据请求信息,并通过该移动存储 介质接收所述鉴别ill务器传递的所述接入证书文件。
5、 根据权利要求1至4任一权利要求所述的证书文件安全传递的方法,其特征在于所述数据请求信息是生成证书文件的请求信息或证书文件参数信 白
6、 一种证书文件安全传递的系统,其特征在于,包括鉴别服务器,用于判断所述无线接入模块是否和其位于同一设备,如果是, 生成所述无线接入模块的接入证书文件并发送给所述无线接入模块;接收无线 终端模块传递的数据请求信息,根据该数据请求信息生成无线终端模块的终端 证书文件,并传递给所述无线终端模块; 无线接入模块,用于接收所述鉴别服务器传递的接入证书文件;无线终端模块,用于向所述鉴别服务器传递数据请求信息,接收所述鉴别 服务器传递的终端证书文件。
7、 根据权利要求6所述的证书文件安全传递的系统,其特征在于还包 括移动存储介质,所述无线终端模块通过该移动存储介质传递数据请求信息, 并通过该移动存储介质接收所述鉴别服务器传递的所述终端证书文件。
8、 根据权利要求6所述的证书文件安全传递的系统,其特征在于所述 鉴别服务器在所述无线接入模块和所述鉴别服务器不在同一设备时,还用于接 收所述无线接入模块传递的数据请求信息,根据该数据请求信息生成所述接入 证书文件并传递给所述无线接入才莫块。
9、 根据权利要求8所述的证书文件安全传递的系统,其特征在于还包 括移动存储介质,所述无线接入模块通过该移动存储介质传递数据请求信息, 并通过该移动存储介质接收鉴别服务器传递的所述接入证书文件。
10、 根据权利要求6至8所述的证书文件安全传递的系统,其特征在于 所述数据请求信息为生成证书文件的请求信息或证书文件参数信息。
全文摘要
本发明公开了一种证书文件安全传递的方法及系统,该方法基于含无线终端模块、无线接入模块和鉴别服务器的系统,所述无线终端模块通过所述无线接入模块接入网络,该方法包括步骤判断鉴别服务器和无线接入模块是否位于同一设备,如果是,所述鉴别服务器生成所述无线接入模块的接入证书文件并发送给所述无线接入模块;所述鉴别服务器根据无线终端模块传递的数据请求信息生成无线终端模块的终端证书文件,并传递给所述无线终端模块。本发明的证书文件安全传递的方法,鉴别服务器可以根据无线终端模块或无线接入模块传递的数据请求信息来自动生成终端证书文件或接入证书文件,不需要用户通过计算机等配置设备去操作完成,实现起来比较简单方便。
文档编号H04L12/28GK101369885SQ20081019888
公开日2009年2月18日 申请日期2008年9月27日 优先权日2008年9月27日
发明者吴月辉, 周绍午 申请人:广州杰赛科技股份有限公司