无线局域网移动终端申请证书的方法及证书管理系统

技术领域

本发明涉及无线网络技术，特别是涉及一种无线局域网移动终端申请证 书的方法及证书管理系统。

背景技术

无线局域网(Wireless Local Area Network，WLAN)以其灵活便捷的优 势引起网络设备制造商、网络运营商和用户的普遍关注，但是，由于WLAN 的安全性较差，也引发了不少问题。依据统计调查的结果，安全性较低已经 成为WLAN广泛应用的最大障碍。

目前无线局域网络产品主要采用的安全措施是依据IEEE 802.11国际标 准，使用基于RC-4的WEP保密机制对数据进行加密传输。但是该机制已 经被证实存在安全漏洞。2001年8月以列的研究人员和思科公司进行了 WEP安全测试，他们根据窃听到的一部分数据，不到一个小时就破译出WEP 密钥。AT&T的研究团体也成功地破译出WEP密钥。所以，如何保证无线 通信的保密性是亟待解决的问题。

我国宽带无线IP标准工作组制定了WLAN国家标准GB/T 15629.11， 提出了一种新的安全机制：无线局域网鉴别与保密基础结构(WLAN Authentication and Privacy Infrastructure，WAPI)。WAPI机制提供了一种基 于公钥证书机制的无线局域网移动终端安全接入方法。WAPI安全方案中有 无线接入用户终端(Station，STA)、访问接入点(Access Point，AP)和鉴 别服务单元(Authentication Service Unit，ASU)三种设备类型，分别作为鉴 别请求者实体(Authentication Supplicant Entity，ASUE)、鉴别器实体 (Authentication Entity，AE)和鉴别服务实体(Authentication Service Entity， ASE)的载体，其网络结构如图1所示，从图1可以看出，一个ASU连接 若干AP，而一个AP连接若干STA。

ASU对其管理范围内的AP和STA进行管理并提供证书服务。ASU给 每一个合法的AP和STA颁发一个公钥证书(以下简称证书)，作为网络设 备在该WLAN内的数字身份凭证。证书的结构如表1所示：

               表1：证书的结构

每个证书还应对应一个私钥，也是由证书颁发者指定。和公钥不同，私 钥仅并由证书持有者自己持有，并不在证书中公开。

证书的作用在于建立实体名称和公钥之间的关联，进行身份鉴别时，验 证方可以通过验证证书持有者对某一信息的签名来判断其是否掌握了证书 对应地私钥，从而确定其是否为证书的真实持有者。STA与AP之间在ASU 的协助下根据公钥证书实现身份的相互鉴别和通信密钥的协商。

利用证书实现接入控制的鉴别系统结构如图2所示。从图2中可以看出， STA包含ASUE，AP包含AE，ASU包含ASE。AP中有两个端口接收来自 STA的连接请求，这两个端口分别是受控端口和非受控端口，STA从未受 控端口向AP发出连接请求，在ASU的协助下双方进行双向身份认证(即 证书鉴别)，若认证成功，AP开放受控端口允许STA接入，否则AP拒绝 STA接入或STA放弃接入AP。

STA接入流程如图3所示：STA向AP发出鉴别请求，即将STA证书 发送给AP；AP再将STA证书和自身证书一起发送给ASU，并对数据进行 签名；ASU验证AP的签名、AP证书和STA的证书的真实性和有效性，对 鉴别结果进行签名并发送到AP。STA和AP依据ASU的鉴别结果决定是否 进行连接。STA与AP证书鉴别成功后进行密钥协商，密钥协商成功后，STA 与AP将自己与对方分别产生的随机数据进行相应的运算得到会话密钥，用 协商好的会话算法加、解密通信数据。

由此可见，证书在WAPI体系中发挥着十分关键的作用，因此STA如 何申请、获得ASU颁发的证书也是非常重要的一个环节。

WAPI标准中给出的申请证书的方法是申请者先到ASU所在地点登记， ASU的工作人员对证书的申请者的身份进行确认之后，先生成证书的公钥 和对应的私钥，然后按照申请者所需的安全等级生成证书，然后通过网络将 证书和对应的私钥发送给申请者。

因此，利用该方法申请证书，证书申请者必须到ASU所在地点申请证 书，由ASU的操作员来确认申请人的身份，决定是否允许接入并确定其安 全登记。这种证书申请方法虽然可以对无线网络的使用者进行较严格的控 制，但是操作十分繁琐，灵活性较差。对于网络管理者不限制网络使用者的 身份，却需要保障AP和STA之间的无线通信的安全性的无线局域网网络环 境，如咖啡馆、机场的无线局域网，该方法则更不适合。

发明内容

本发明的主要目的在于提供一种无线局域网移动终端申请证书的方法， 使证书申请操作简单、易行。

本发明的另一个目的是提供一种证书管理系统，使终端申请证书操作简 单、易行。

本发明提供的一种无线局域网申请证书的方法包括：

设置证书申请控制单元，且与无线接入用户终端相连，还包括

A.证书申请控制单元收到无线接入终端发送的携带证书申请信息的证书 申请后，将其转发至鉴别服务单元；

B.鉴别服务单元根据所述证书申请信息生成证书，并将证书通过证书申 请控制单元发送至无线接入用户终端。

所述证书申请信息包括用户名，证书使用期限，公钥算法。

所述证书申请信息进一步包括公钥。

步骤A包括：

A1、无线接入用户终端发送证书申请请求至证书申请控制单元，其中包括 证书申请信息；

A2、证书申请控制单元将证书申请请求转发至鉴别服务单元。

步骤A2进一步包括：

A21、证书申请控制单元判断操作员是否批准该申请，如果批准，则执行 步骤A2。

步骤B进一步包括：

B1、鉴别服务单元判断证书申请信息中是否包含公钥，如果没有，则 鉴别服务单元生成公、私钥对，并根据收到的该请求生成用户证书，并将生 成的用户证书以及私钥对发送至证书申请控制单元，否则，执行步骤B。

本发明提供的证书管理系统包括：

鉴别服务单元、至少一个证书申请控制单元，其中证书申请控制单元与 无线接入用户终端和鉴别服务器相连；

证书申请控制单元，用于接收无线接入用户终端含有证书申请信息的证书 申请，并将其发送至鉴别服务单元，和，接收鉴别服务单元发送的证书，并将 其发送给无线接入用户终端；

鉴别服务单元，用于根据接收到的证书申请信息生成证书，并将生成的证 书发送至证书申请控制单元。

本发明通过增加一个或多个证书申请控制单元来处理用户的证书申请， 在不改变原有WLAN网络结构的情况下解决了用户申请证书的不便，同时 证书申请控制单元还可以用于管理ASU系统。

附图说明

图1是现有技术中无线局域网网络结构示意图。

图2是现有技术利用证书实现接入控制的鉴别系统的结构示意图。

图3是现有技术WAPI的证书鉴别方法的流程图。

图4是实现本发明方法的流程示意图。

具体实施方式

为了使本发明的目的、技术方案和优点更清楚，下面结合附图和具体实 施方式对本发明作进一步描述。

本发明需要设置一个或多个证书申请控制单元(Console)，用来处理 用户的证书申请。Console基本的功能是向ASU转发STA的证书申请，或 向STA转发ASU颁发的证书。当然，Console还可以作为证书管理终端， 负责鉴别STA用户的身份，审查用户的证书申请是否符合规定，决定是否 授予证书以及授予证书的其它(如序列号)参数等，同时还可以扩展Console 的功能，用于管理ASU、查询用户证书、废弃证书、查询证书废弃列表。

参见图4所示，实现本发明的网络结构包括一个以上的证书申请控制单 元、ASU、AP和STA。其中，一个ASU可以和一个或多个Console建立连 接，ASU与多个AP相连，每个AP下可以包括多个STA。这里，由于证书 申请控制单元的数目可以大于1，所以要求ASU有两个以上的网络接口。 ASU和AP在同一个局域网内，而证书申请控制单元和ASU构成另一个局 域网，Console不能直接和AP通信。并且，Console与ASU之间的通信可 以采用SSL等机制来保障安全。Console，用于接收STA发送的含有证书申 请信息的证书申请，并将其发送至ASU，以及接收ASU发送的用户证书， 并将用户证书发送给STA；ASU用于根据接收到的证书申请信息生成证书， 并将生成的证书发送至Console。

基于上述网络结构，STA可以通过Console发送证书申请，Console批 准后，Console再向ASU发送申请请求，ASU根据请求生成证书后发送到 Console，然后Console再将其转发给STA。当然，STA与Console之间可以 通过无线或有线进行通信。当然，也可以采用口头、书面或其它方式向 Console的管理员提出证书申请，管理员批准后，管理员再从Console发出 申请请求到ASU。

参见图5所示，本发明实现证书申请的方法包括以下步骤：

步骤501：STA向Console发送证书申请消息，其中包括用户名、和/ 或证书使用期限、和/或公钥算法等证书申请信息。其中，证书的持有者名 称和证书的公钥是证书申请消息中必须包含的参数，证书的有效期和签名算 法标识等参数是证书申请消息中可选的参数。发送证书申请请求的方式可以 通过有线、无线通信方式，或采用口头、书面形式等。当然，如果STA本 身具备生成密钥的能力，证书申请消息中还可以包括自身生成的公钥。

步骤502：Console收到批准该证书申请消息后，可以直接向ASU发送 含有证书申请信息的证书申请。当然，Console也可以根据当前网络条件或 用户需要确定是否批准该申请，在批准该申请后，再向ASU发送含有证书 申请信息的证书申请，否则，直接向STA发送拒绝证书申请消息。并跳出 本流程。

步骤503：ASU收到该申请消息后，判断该用户提供的证书申请信息是 否符合要求，如果不符合，则返回证书申请失败消息到Console，执行步骤 504，如果符合，执行步骤505。这里，比如，用户名已经被占用、证书使 用期限不符合规定等。

证书申请信息是否符合要求是通过判断该证书申请消息中的各参数是 否完整且有效确定的。参数完整是指所有参数都有内容，没有参数的内容为 空。参数有效是指该参数是否符合ASU对证书中各参数的规定，例如，证 书的持有者名称有效是指该名称没有被其它证书占用并且符合对名称的要 求(如不少于5个字节，不能包括不可显示字符等)；签名算法标识有效是 指该签名算法是ASU支持的签名算法。

步骤504：Console通知STA用户证书申请失败；

步骤505：ASU根据收到的该请求生成用户证书，并将生成的用户证 书发送到Console。当然，如果ASU确定证书申请信息中没有公钥，此时 ASU也可以生成公私钥对，并将公私钥也发送到Console。

步骤506：Console收到用户证书和公私钥对后，将证书及对应私钥转 发至STA。

STA获得证书后，可以采用WLAN国家标准GB/T 15629.11规定的方 案进行会话密钥协商，并用生成的会话密钥对STA与AP间的通信进行保密。

本发明在不改变WLAN网络基本结构的情况下，增加一种与ASU相连 的控制终端，解决了用户申请证书不方便的问题，而且提供了维护ASU的 途径。

以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本 发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在 本发明的保护范围之内。