专利名称:一种用户证书的管理及使用方法及移动终端的制作方法
技术领域:
本发明涉及无线局域网领域,尤其一种无线局域网鉴别与保密基础结构 用户证书的管理及使用方法及移动终端。
背景技术:
无线局域网(Wireless Local Area Networks,简称WLAN)的出现以其 便携、灵活的特点,越来越广泛地应用于企业和家庭中。由此引发的对信息 安全的要求已是无线局域网发展的重点方向,WAPI (Wireless Local Area Network Authentication and Privacy Infrastructure,无线局i或网鉴别与保密基 础结构)技术的出现使得无线局域网在安全性方面有了质的改变。
WAPI由WAI ( WLAN Authentication Infrastructure,无线局域网鉴别基 础结构)和WPI (WLAN Privacy Infrastructure,无线局域网保密基础结构) 组成,该安全机制实现了对用户身份的认证和对传输数据的加密等功能。 WAI负责鉴别和密钥管理,基于对等访问控制,通过STA ( STAtion,无线 乡占点)、AP (Access Point,才妻入点)、ASU ( Authentication Service Unit, 鉴别服务单元)三物理实体的对等访问控制,实现了 STA和AP的双向身份 鉴别和密钥协商,从而保证了安全的接入控制。
WAI中基于无线站点(或称为无线局域网终端、或简称终端)的用户 证书进行无线站点的身份鉴别。用户证书为公钥证书,是网络用户的数字身 份凭证,通过私钥签名和公钥验证可以唯一地确定网络用户的身份。鉴别服 务单元的基本功能是对用户证书的有效性进行鉴别。
引入证书机制需要使用相应的证书管理方式。现有技术中的证书管理方 式主要分为两类 一是将用户证书直接写入终端的认证模块中,二是将用户 证书写入运营商提供的SIM (Subscriber Identification Module,用户识别模 块)卡中。第一种证书管理方式使得运营商对WAPI的管理、计费变得复杂且难以操作,且在用户更换终端后,还要重新获取用户证书。第二种证书管
理方式在没有SIM卡插槽的终端(例如笔记本电脑、便携式游戏机等)上 无法^f吏用,不便于WAPI应用的推广。
因此需要引入一种在保证安全性的前提下可提高便携性、可推广性、可 运营性的证书管理方法。
发明内容
本发明所要解决的技术问题是,克服现有技术的不足,提供一种在保证 安全性的前提下可提高便携性的证书管理方法。
为了解决上述问题,本发明提供一种用户证书的管理及使用方法,该方 法包括
无线局域网终端使用用户密码对用户证书进行本地加密后保存;
需要使用所述用户证书时,无线局域网终端提取所述经过本地加密的用 户证书,并使用用户密码对其进行解密,得到所述用户证书。
此外,将所述经过本地加密的用户证书保存在与所述无线局域网终端连 接的外接存储器中。
此外,所述用户证书更新后,使用用户密码对更新后的用户证书进行本 地加密,并在所迷外接存储器连接到所述无线局域网终端时,将经过本地加 密的已更新用户证书保存到所述外接存储器中。
此外,对所述用户证书进^f亍本地加密时,还^f吏用所述用户密码对所述用 户证书对应的国际移动用户识别码IMSI进行加密并保存。
此外,使用所述用户证书进行无线局域网鉴别与保密基础结构的接入认 证的过程中,所述无线局域网终端还将经过解密的所述IMSI发送给接入点;
所述接入点将经过解密的IMSI发送给用于计费的网元,以进行基于 IMSI的无线局域网业务的计费、和/或将所述经过解密的IMSI与所述用户 证书一起发送给用于进行证书鉴别的网元,以进行IMSI与所述用户证书的 对应关系的-验证。本发明还提供一种移动终端;所述移动终端中设置有证书管理^t块, 其中
所述证书管理模块用于使用用户密码对用户证书进行本地加密后保存; 并在需要使用所述用户证书时,提取所述经过本地加密的用户证书,并使用 用户密码对其进行解密,得到所述用户证书。
此外,所述移动终端中还包含与移动终端连接的外接存储器; 所述证书管理模块将所述经过本地加密的用户证书保存在所述外接存 储器中。
此外,所述证书管理模块还用于在所述用户证书更新后,使用用户密码 对更新后的用户证书进行本地加密,并在所述外接存储器连接到所述移动终 端时,将所述经过本地加密的已更新用户证书保存到所述外接存储器中。
此外,所述证书管理模块还用于在对所述用户证书进行本地加密时,使 用所述用户密码对所述用户证书对应的IMSI进行加密并保存。
此外,所述无线局域网终端中还设置有接入认证模块;
所述接入认证模块用于使用所述证书管理模块输出的所述用户证书进 行无线局域网鉴别与保密基础结构的接入认证,并在进行所述接入认证的过 程中,将经过解密的所述IMSI通过接入点发送给无线局域网系统的计费网 元,以进行基于IMSI的无线局域网业务的计费、和/或将经过解密的所述 IMSI与所述用户证书一起通过接入点发送给无线局域网系统的证书鉴别的 网元,以进行IMSI与所述用户证书的对应关系的验证。
综上所述,采用本发明的方法及移动终端,在没有设置SIM卡插槽的 移动终端上可以实现用户证书的载入,既扩展了 WAPI的应用范围,又不会 增加运营的难度,并且提高了便携性。
此外,由于对外接存储器中存储的用户证书在终端本地完成一次加密, 比以往使用SIM卡作为存储介质不对用户证书加密的安全性提高了很多, 尤其在存储有用户证书的存储介质(外接存储器、SIM卡)丟失时,本地加 密存储的安全性优势更加明显。此外,将IMSI与用户证书一起使用(例如在接入认证过程中一起发送 给网络侧), 一方面便于运营商基于IMSI进行计费,另一方面可以进一步 增加接入的安全性,也就是说用户不仅需要提供正确的用户证书,同时还要 提供相应的IMSI才能正确接入WLAN。
图1是本发明实施例用户证书的管理及使用方法流程图2是WAPI的证书鉴别过程流程图3是本发明实施例无线局域网系统的结构示意图。
具体实施例方式
本发明的核心思想是,无线局域网终端使用用户密码对用户证书进行本 地加密后保存在与无线局域网终端连接的外接存储器中;需要使用用户证书 时,无线局域网终端从外接存储器提取经过本地加密的用户证书,并使用用 户密码对其进行解密,得到所述用户证书。此外,用户证书更新后,使用用户密码对更新后的用户证书进行本地加 密,并在外接存储器连接到所述无线局域网终端时,将经过本地加密的已更 新用户证书保存到外接存储器中。
下面将结合附图和实施例对本发明进行详细描述。
图l是本发明实施例用户证书的管理及使用方法流程图,如图l所示, 该方法包4舌
101:用户向运营商申请WAPI用户证书(简称用户证书);
用户可以使用运营商已经提供的SIM卡所对应的IMSI (International Mobile Subscriber Identifier,国际移动用户识别码)来申请用户证书,用户 证书的申请可以在营业厅进行,也可以通过网络申请。运营商可以保存IMSI 与用户证书的对应关系,以^更于对移动通信业务和无线局域网业务统一管理 和计费。
在申请用户证书时,运营商可以通过PGP ( Pretty Good Privacy,优秀力口密)软件对证书进行加密,加密所使用的初始密码会在申请证书的同时提供 给用户。
102:使用初始密码对申请到的用户证书解密后,再使用用户设置的密 码(简称用户密码)对用户证书以及对应的IMSI进行本地加密,并将加密 后的用户证书和IMSI保存到外接存储器中的指定存储区域中。
所述外接存储器可以是T-Flash卡(简称T卡)。T卡的接口转换技术 已经非常成熟,即使移动台没有T卡插槽,也可以通过其它转换接口将T 卡与移动台相连。同时由于支持热插拔,存储证书的T卡有很大的便携性。
上述使用初始密码进行解密、以及使用用户密码进行本地加密的处理都 可以〗吏用PGP软件完成。
此外,由于用户证书文件以及IMSI本身的数据量很小,且内容极为重 要,因此可以使用RSA (Rivest-Shmir-Adleman)算法对其进行非对称加密。 用户可以通过运行PGP软件设置加密所使用的用户密码,并记忆解密所使 用的用户密码。如果使用对称加密算法,用于加密的用户密码和用于解密的 用户密码相同。
上述用户密码可以在需要时由用户输入,也可以通过PGP等软件以安 全的方式进行保存。
103:在需要使用用户证书时,将存储有用户证书文件的T卡插入终端 的插槽,或通过转接装置将T卡连接到终端支持的接口上,证书管理模块读 取保存在T卡中指定存储区域的用户证书及IMSI,并使用用户密码(用于 解密的用户密码)进行解密,将解密后的用户证书和IMSI载入终端内部存 储器中证书管理模块所管理的緩存(简称证书管理模块緩存)中。
104:终端使用用户证书进行WLAN的接入i人证(即WAPI的证书鉴别 过程),具体描述如下
当终端收到AP广播的证书鉴别激活分组时,向AP发送携带用户证书 的接入鉴别请求,启动WAPI的证书鉴别过程;之后AP将AP的证书与用 户证书一起包含在证书鉴别请求中发给ASU, ASU对AP的证书和用户证 书鉴别完成后,将证书验证结果以及ASU对该验证结果的签名包含在证书鉴别响应报文中发送给AP, AP根据该验证结果获知用户证书是否有效;如 果用户证书有效,AP对ASU发送的证书验证结果进行签名,并将证书-睑证 结果、ASU的签名以及AP的签名发给终端,终端验证AP发送的证书验证 结果、ASU的签名以及AP的签名,如果证书验证结果以及ASU和AP的 签名都正确则成功接入WLAN,否则接入失败。
WAPI的证书鉴别过程的具体流程如图2所示,该流程的详细描述可参 考WAPI文档。
此外,在证书鉴别过程中终端可以将解密后的IMSI发送给AP (例如, 终端可以将解密后的IMSI包含在接入鉴别请求中发送给AP) , AP将该终 端的IMSI发送给系统中用于计费的网元,该网元可根据IMSI对用户进行 无线局域网业务的计费。例如,AP将该终端的流量信息和IMSI发送给用于 计费的网元,该用于计费的网元将该流量所对应的费用计入该IMSI对应的 账户中。
此外,AP也可以将终端的IMSI包含在证书鉴别请求中发送给ASU, ASU验证用户证书的有效性的同时,还验证用户证书和IMSI的对应关系, 当用户证书与IMSI不对应时,同样认为用户证书无效。
105:完成WLAN的接入认证后,用户可以将T卡拔出终端。
106:证书管理模块可以与AP等网络侧设备交互进行用户证书的更新。
107:完成证书的更新后,证书管理模块使用用户密码(用于加密的用 户密码)对更新的用户证书进行加密,并将加密的用户证书保存在终端的固 定存储空间或证书管理模块緩存中。
108:当用户再次插入T卡时,证书管理模块将本地加密的已更新用户 证书写入T卡的指定存储区域。
图3是本发明实施例无线局域网系统的结构示意图,如图3所示,该系 统包含无线局域网终端、AP、用于进行证书鉴别的网元(ASU)、计费 网元以及与无线局域网终端相连的外接存储器。其中,无线局域网终端中设 置有证书管理模块、内部存储器、接入认证模块。证书管理模块用于使用用户密码对用户证书进行本地加密后保存到外
接存储器中;并且在需要使用所述用户证书时,从外接存储器中提取所述经 过本地加密的用户证书,并使用用户密码对其进行解密,得到所述用户证书。
此外,所述用户证书更新后,证书管理模块使用用户密码对更新后的用 户证书进行本地加密,如果此时外接存储器未与终端连接,则将经过本地加 密的已更新用户证书保存在内部存储器中,并在所述外接存储器连接到所述 无线局域网终端时,将经过本地加密的已更新用户证书保存到所述外接存储 器中。
此外,对所述用户证书进行本地加密时,证书管理4莫块还^f吏用所述用户 密码对所述用户证书对应的IMSI进行加密并保存到外接存储器中。
当然,对便携性没有要求的用户可以将加密后的用户证书和IMSI保存 在内部存储器中。
接入认证模块用于使用证书管理模块输出的所述用户证书进行WAPI 的接入认证,并在此过程中,将经过解密的所述IMSI发送给接入点。
所述接入点用于将所述经过解密的IMSI发送给所述计费网元以进行基 于IMSI的无线局域网业务的计费、和/或将所述经过解密的IMSI和用户证 书一起发送给ASU以进行IMSI与所述用户证书的对应关系的-睑证。
综上所述,采用本发明的方法及系统,在没有设置SIM卡插槽的移动 便携设备上可以实现用户证书的载入,既扩展了 WAPI的应用范围,又不会 增加运营的难度。
此外,由于对外接存储器中存储的用户证书在本地完成加密,比以往使 用SIM卡作为存储介质安全性提高了很多,尤其在存储有用户证书的存储 介质(外接存储器、SIM卡)丢失时,本地加密存储的安全性优势更加明显。
权利要求
1、一种用户证书的管理及使用方法,其特征在于,该方法包括无线局域网终端使用用户密码对用户证书进行本地加密后保存;需要使用所述用户证书时,无线局域网终端提取所述经过本地加密的用户证书,并使用用户密码对其进行解密,得到所述用户证书。
2、 如权利要求l所述的方法,其特征在于,将所述经过本地加密的用户证书保存在与所述无线局域网终端连接的 外接存储器中。
3、 如权利要求2所述的方法,其特征在于,所述用户证书更新后,4吏用用户密码对更新后的用户证书进4亍本地加 密,并在所述外接存储器连接到所述无线局域网终端时,将经过本地加密的 已更新用户证书保存到所述外接存储器中。
4、 如权利要求l所述的方法,其特征在于,对所述用户证书进行本地加密时,还使用所述用户密码对所述用户证书 对应的国际移动用户识别码IMSI进行加密并保存。
5、 如权利要求4所述的方法,其特征在于,使用所述用户证书进行无线局域网鉴别与保密基础结构的接入认证的 过程中,所述无线局域网终端还将经过解密的所述IMSI发送给接入点;所述接入点将经过解密的IMSI发送给用于计费的网元,以进行基于 IMSI的无线局域网业务的计费、和/或将所述经过解密的IMSI与所述用户 证书一起发送给用于进行证书鉴别的网元,以进行IMSI与所述用户证书的 对应关系的驺3正。
6、 一种移动终端;所述移动终端中设置有证书管理模块,其中所述证书管理模块用于使用用户密码对用户证书进行本地加密后保存; 并在需要使用所述用户证书时,提取所述经过本地加密的用户证书,并使用用户密码对其进行解密,得到所述用户证书。
7、 如权利要求6所述的移动终端,其特征在于,所述移动终端中还包含与移动终端连接的外接存储器; 所述证书管理模块将所述经过本地加密的用户证书保存在所述外接存 储器中。
8、 如权利要求7所述的移动终端,其特征在于,所述证书管理模块还用于在所述用户证书更新后J吏用用户密码对更新 后的用户证书进行本地加密,并在所述外接存储器连接到所述移动终端时, 将所述经过本地加密的已更新用户证书保存到所述外接存储器中。
9、 如权利要求6所述的移动终端,其特征在于,所述证书管理^^块还用于在对所述用户证书进行本地加密时,使用所述 用户密码对所述用户证书对应的IMSI进行加密并保存。
10、 如权利要求9所述的移动终端,其特征在于, 所述无线局域网终端中还设置有接入认证模块;所述接入认证模块用于使用所述证书管理模块输出的所述用户证书进 行无线局域网鉴别与保密基础结构的接入认证,并在进行所述接入认证的过 程中,将经过解密的所述IMSI通过接入点发送给无线局域网系统的计费网 元,以进行基于IMSI的无线局域网业务的计费、和/或将经过解密的所述 IMSI与所述用户证书一起通过接入点发送给无线局域 系统的证书鉴别的 网元,以进行IMSI与所述用户证书的对应关系的验证。
全文摘要
一种用户证书的管理及使用方法及移动终端,该方法包括移动终端使用用户密码对用户证书进行本地加密后保存;需要使用所述用户证书时,移动终端提取所述经过本地加密的用户证书,并使用用户密码对其进行解密,得到所述用户证书。采用本发明的方法及移动终端,在没有设置SIM卡插槽的移动终端上可以实现用户证书的载入,既扩展了WAPI的应用范围,又不会增加运营的难度,并且提高了便携性。此外,由于对外接存储器中存储的用户证书在终端本地完成一次加密,比以往使用SIM卡作为存储介质不对用户证书加密的安全性提高了很多,尤其在存储有用户证书的存储介质(外接存储器、SIM卡)丢失时,本地加密存储的安全性优势更加明显。
文档编号H04W12/02GK101557588SQ20091013644
公开日2009年10月14日 申请日期2009年5月8日 优先权日2009年5月8日
发明者友 李, 文 武 申请人:中兴通讯股份有限公司