一种WAPI证书申请方法与无线终端、证书鉴别器

本发明涉及通信技术领域，尤其涉及一种WAPI证书申请的方法与无线终端、证书鉴别器。

WAPI是中国无线局域网国家标准GB15629.11所规定的WLAN无线安全标准和技术。WAPI通过采用数字证书来标识无线接入点(AP)、无线终端(STA)、WAPI证书鉴别器的身份，基于三元认证体系统进行AP和STA的身份认证，确保了无线接入认证的安全性，能有效地避免非法终端接入无线网络和终端接入非法仿冒AP。WAPI无线局域网络中，AP和STA都需要安装WAPI数字证书才能进行三元认证。WAPI 无线终端证书的获取，通常有两种方式：

方式A：由WAPI证书鉴别服务器(AS)为WAPI无线终端产生密钥对(包括公钥和私钥)、并基于其中的公钥生成WAPI公钥证书，公钥证书通过了AS的私钥进行签名；然后通过一种安全的渠道将终端设备的公钥证书和私钥传递给WAPI终端进行安装；这个过程需要一种安全的渠道进行证书传递，因为其中包括了敏感信息——私钥，这个过程中，除了要对申请者进行身份检查外，还需要对消息的私密性、防篡改进行保证，这种安全的渠道如果采用线上方式进行，就需要对传递信息进行加密处理，或在一个安全的隧道中进行处理。

方式B：由WAPI终端自己产生密钥对(包括公钥和私钥)然后产生证书签名申请文件，此文件叫P10(国际标准PKCS

基于背景技术存在的技术问题，本发明提出了一种WAPI证书申请的方法与无线终端、WAPI证书鉴别器。

本发明提出的一种WAPI证书申请的方法与无线终端STA、WAPI 证书鉴别器AS，所述STA通过自签名产生第一WAPI证书，并在第一 WAPI证书中包括第一扩展属性表征WAPI证书申请意图，所述AS基于第一WAPI证书中的第一扩展属性判断STA的WAPI证书申请意图，并基于第一WAPI证书中的信息产生颁发给STA的第二WAPI证书，并通过修改第一WAPI证书形成第三WAPI证书，所述修改包括增加第二扩展属性承载第二WAPI证书、增加第三扩展属性承载AS公钥证书、重新签名，所述STA和AS通过WAPI无线网络进行基于标准WAPI认证协议的交互实现第一WAPI证书和第三WAPI证书的传递，从而实现无线终端在线申请WAPI证书；

S1：无线终端STA为了申请WAPI证书，关联拟接入WAPI无线网络中的无线接入点AP，在收到AP所发送的WAPI认证激活报文后向 AP发送标准的WAPI接入认证报文，所述WAPI接入认证报文中的终端证书是所述STA通过自签名而生成的第一WAPI证书；

S2：WAPI证书鉴别器AS收到标准的证书鉴别请求报文后，从中得到终端证书即所述第一WAPI证书，所述AS通过检查第一WAPI证书的第一扩展属性判断此鉴别请求是否为STA的证书申请行为，如果是则基于第一WAPI证书的第一扩展属性中所包括的申请者鉴别信息进行申请者授权检查，如果授权检查通过则基于第一WAPI证书产生颁发给STA的第二WAPI证书，然后修改第一WAPI证书形成第三WAPI 证书，将第三WAPI证书作为终端证书包括在证书鉴别响应报文的认证结果之终端证书字段中，并用特定的鉴别结果值表示证书申请结果状态；所述修改第一WAPI证书，包括增加第二扩展属性来标识并包括第二证书、增加第三扩展属性来标识并包括AS证书、用AS私钥重新签名；

S3：所述STA接收到标准的接入认证响应报文后，从其中取得终端证书鉴别结果值确定证书申请结果状态，如果结果状态为成功则取出鉴别结果中的终端证书即第三WAPI证书，再从第三WAPI证书的第二扩展属性中取出第二WAPI证书即为STA所申请得到的WAPI证书，以及从第三WAPI证书的第三扩展属性中取出AS证书。

进一步地，所述S1中，第一WAPI证书的证书主体(或说持有方) 包括了申请者关键信息、公钥信息，以及通过第一WAPI证书的第一扩展属性来标识证书申请行为，第一扩展属性中还包括申请者鉴别信息，所述鉴别信息为申请者在申请时手工输入。

本发明中的有益效果为：

本发明中的方法能够基于拟接入WAPI网络在线申请WAPI证书，不需要借助其它网络，并且不需要升级现有AP，具有良好的方便性、兼容性、经济性。

图1无线终端所产生的自签名WAPI证书即第一WAPI证书；

图2WAPI证书鉴别结果构成信息；

图3标准WAPI认证流程；

图4AS基于第一WAPI证书形成的第三WAPI证书。

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。

参照图1-4，一种WAPI证书申请的方法与无线终端STA、WAPI 证书鉴别器AS，STA通过自签名产生第一WAPI证书，并在第一WAPI 证书中包括第一扩展属性表征WAPI证书申请意图，AS基于第一WAPI 证书中的第一扩展属性判断STA的WAPI证书申请意图，并基于第一WAPI证书中的信息产生颁发给STA的第二WAPI证书，并通过修改第一WAPI证书形成第三WAPI证书，修改包括增加第二扩展属性承载第二WAPI证书、增加第三扩展属性承载AS公钥证书、重新签名，STA 和AS通过WAPI无线网络进行基于标准WAPI认证协议的交互实现第一WAPI证书和第三WAPI证书的传递，从而实现无线终端在线申请 WAPI证书；

S1：无线终端STA为了申请WAPI证书，关联拟接入WAPI无线网络中的无线接入点AP，在收到AP所发送的WAPI认证激活报文后向AP发送标准的WAPI接入认证报文，WAPI接入认证报文中的终端证书是STA通过自签名而生成的第一WAPI证书；

S2：WAPI证书鉴别器AS收到标准的证书鉴别请求报文后，从中得到终端证书即第一WAPI证书，AS通过检查第一WAPI证书的第一扩展属性判断此鉴别请求是否为STA的证书申请行为，如果是则基于第一WAPI证书的第一扩展属性中所包括的申请者鉴别信息进行申请者授权检查；

S3：STA接收到标准的接入认证响应报文后，从其中取得终端证书鉴别结果值确定证书申请结果状态，如果结果状态为成功则取出鉴别结果中的终端证书即第三WAPI证书，再从第三WAPI证书的第二扩展属性中取出第二WAPI证书即为STA所申请得到的WAPI证书，以及从第三WAPI证书的第三扩展属性中取出AS证书，S1中，第一WAPI 证书的证书主体(或说持有方)包括了申请者关键信息、公钥信息，以及通过第一WAPI证书的第一扩展属性来标识证书申请行为，第一扩展属性中还包括申请者鉴别信息，鉴别信息为申请者在申请时手工输入。S2中，如果授权检查通过则基于第一WAPI证书产生颁发给STA 的第二WAPI证书，然后修改第一WAPI证书形成第三WAPI证书，将第三WAPI证书作为终端证书包括在证书鉴别响应报文的认证结果之终端证书字段中，并用特定的鉴别结果值表示证书申请结果状态；修改第一WAPI证书，包括增加第二扩展属性来标识并包括第二证书、增加第三扩展属性来标识并包括AS证书、用AS私钥重新签名。

为了说明本专利的实施例，先对标准的WAPI认证流程进行说明。如图3标准WAPI认证流程，WAPI认证的过程如下：

(1)无线终端STA向关联AP后，AP向STA发送认证激活(ACTIVE) 报文，此报文中包括了AP的证书信息。

(2)STA收到WAP的认证激活报文后，向AP发送接入认证请求报文，此报文中包括了STA的证书信息。

(3)AP收到STA的接入认证请求后，向WAPI证书鉴别器(AS) 发送证书鉴别请求报文，此报文中包括了AP自身的证书信息和收到的STA证书信息。

(4)AS收到AP的证书鉴别请求后，进行证书鉴别检查、形成证书鉴别结果，并向AP发送证书认证响应报文。证书认证响应报文中包括了“证书鉴别结果”字段，其包含的信息如图2WAPI证书鉴别结果构成信息所示，其中第一个鉴别结果和第一个证书是针对AP 的，第二个鉴别结果和第二个证书是针对STA的。

(5)AP收到AS发送的证书认证响应报文后，将向STA发送接入认证响应报文，此报文中包括了AS的证书鉴别结果，AP根据证书鉴别结果拒绝或接受STA的接入。

(6)STA收到AP的接入认证响应报文后，此报文中包括了复合的AS的证书鉴别结果，其中包括了AS的证书鉴别结果和AS对此的签名，STA根据AS的证书鉴别结果确定是否接入所连接AP。

下面对实施例进行说明。

对于本发明一种WAPI证书申请的方法与无线终端、WAPI证书鉴别器,在如图3标准WAPI认证流程所示的图中，无线终端STA101和WAPI证书鉴别器AS103涉及到本发明相关的方法之实施，而无线接入点AP102并不涉及本发明相关方法的任何实现。

当STA101关联到AP102后，AP102会向STA101发送WAPI 认证激活报文，STA101收到AP102的认证激活报文后，如果此时 STA102是在进行WAPI证书申请，则会首先产生一个自签名证书，其内容如图3无线终端所产生的自签名WAPI证书即第一WAPI证书，然后将第一WAPI证书作为自己的WAPI证书，将其封装在标准WAPI 接入认证报文的STA证书字段里，然后发给AP102。本实施例中， STA101所发出的WAPI接入认证报文的FLAG字段之比特2(证书验证请求标识)设置为1，根据WAPI认证的协议标准，这表示STA101 要求验证AP102证书的有效性，即AP102收到WAPI接入认证报文后，将请求AS103进行WAPI证书鉴别。

本专利所述方法中，STA101用自签名证书来替代前述P10文件，所述自签名证书包括了P10文件的全部关键内容，即包括了证书主体 (或说持有方)的若干域名称(DomainName,DN)、证书公钥。所述 STA101自签名产生的第一WAPI证书，还包括了一个扩展属性即第一扩展属性100。WAPI标准中，数字证书采用X509V3格式，这种证书允许用户在扩展属性域中定义领域特定的扩展属性，扩展属性用 ASN.1编码的SEQUENCE类型(即类型0x30)来封装，其包括两个字段：对象标识即OID、属性值；扩展属性中的OID用来表征这个扩展属性的用途，类型为ASN.1编码的ObjectIdenfier,而属性值则是与此用途相关的特定内容,类型为ASN.1编码的OCTETString。STA101 通过第一扩展属性100向AS103表明了STA101是在进行WAPI证书申请；同时，STA还通过第一扩展属性100的属性值来携带无线终端的授权鉴别信息，所述授权信息是一个口令或授权验证码，由AS 103的管理人员通过其它渠道发送给STA101的使用者(或调试安装人员)，如通过手机短信、组织内部邮件、电话语音等方式，STA101 的使用者在STA101发起申请WAPI证书前输入STA101的系统中。

如图3中，作为普通的无线接入点AP102收到STA101所发送的接入认证请求报文，按照标准的无线终端接入报文处理流程进行处理，即会将STA101的WAPI证书(在此实施例中就是所述的第一WAPI 证书)与AP102自己的WAPI证书一起放入证书鉴别请求消息中并发送给AS103。所谓“普通的”无线接入点AP102,它并不包含任何与本专利相关的特定实施，即本发明并不需要AP102作任何WAPI认证处理方面的修改。依据WAPI技术的标准，AP102不会对STA101的WAPI证书作检查，同时由于STA101设置了WAPI接入认证报文的FLAG 字段之比特2(证书验证请求标识)为1，AP102就需要请求AS103 进行证书鉴别。

AS103收到AP102所发送的WAPI证书鉴别请求后，对AP102 的WAPI证书进行鉴别，这与一般WAPI认证过程的处理一样；然后对 STA101的证书即所述STA101产生的自签名WAPI证书也就是第一 WAPI证书进行检查处理，在此过程中，AS103首先检查第一WAPI证书中是否包括了所述第一扩展属性100，如果没有第一扩展属性则进行一般的WAPI证书鉴别过程，如果有第一扩展属性则进行证书申请处理过程，包括：

(1)申请鉴权：从所述第一扩展属性100中提取验证申请者鉴别信息进行授权检查，如果授权检查通不过则记申请结果状态值为 R＝102表示申请鉴权不通过，然后进入证书申请结果发送过程即下述 (4)申请结果形成。

(2)第二证书产生：如果授权检查通过则继续进行WAPI证书的签发产生过程，即基于第一证书中的证书主体(Subject)属性、公钥信息，生成AS103签发给STA101的WAPI证书即所述的第二WAPI 证书；如果此过程成功完成，则记申请结果状态值为R＝100表明申请成功，否则记R＝101表明签发证书异常。

(3)第三证书形成：为了将第二证书、AS证书同时传输给STA 101，作为优选方案，通过对第一WAPI证书进行修改：a)增加第二扩展属性，其中OID字段标识此扩展字段为颁发给STA的证书，其值字段为第二证书的内容；b)增加第三扩展属性，其中OID字段标识此扩展字段为AS的公钥证书，其值字段为AS公钥证书的内容；这一修改过程形成第三WAPI证书，其内容如图4AS基于第一WAPI证书形成的第三WAPI证书所示意。

(4)申请结果形成：采用WAPI标准协议中的“证书鉴别结果”来承载申请结果、第三WAPI证书，也就是：a)证书鉴别结果的第一个鉴别结果和证书字段用AS103对AP102的证书的鉴别结果值和 AP102的证书内容填充，此为标准WAPI协议的作法；b)如果R＝100 则证书鉴别结果的第二个鉴别结果和证书字段用前述申请结果状态值R和第三证书内容填充，否则证书鉴别结果的第二个鉴别结果字段用前述申请结果状态值R和第一证书内容填充。

(5)申请结果发送：AS103形成申请结果后，按照WAPI标准协议形成WAPI证书鉴别响应报文发送给AP102，报文中的证书鉴别结果字段是前述(4)中所形成的。

AP102收到AS103所发的WAPI证书鉴别响应报文后，将分析其中的“证书鉴别结果”，因为“证书鉴别结果”的第二个证书鉴别结果不为0，也就是从标准WAPI认证协议角度来看，这次WAPI证书鉴别结果不成功，这种情况下AP102也会给STA101发送标准的接入鉴别响应报文，然后AP102断开与STA101的无线关联；接入鉴别响应报文中的“复合鉴别结果”字段包括了从WAPI证书鉴别响应报文解析取得的“证书鉴别结果”、AS103对“证书鉴别结果”的数字签名。

STA101收到AP102的接入鉴别响应报文，由于STA101知道自己正处于WAPI证书申请过程中，故从中解析取得“复合鉴别结果”，解析“复合鉴别结果”取得“证书鉴别结果”，进一步地解析“证书鉴别结果”取得第一个证书鉴别结果和证书(这是AP102的证书内容)、第二个证书鉴别结果和证书，然后进入证书申请结果处理流程，包括：

(1)检查第一个证书鉴别结果：如果这个结果值不为0，则AP102 的证书鉴别未通过，表明AP102不可信，STA102不能接受AP102 所发送的接入鉴别响应报报文，本次WAPI证书申请失败。

(2)检查第二个证书鉴别结果：如果结果值不为100则表明本次WAPI证书申请不成功，其值表明了不成功的原因；如果第二个证书鉴别结果等于100则表明本次WAPI证书申请成功。

(3)验证“证书鉴别结果”的数字签名：在WAPI证书申请成功的情况下，STA101将“证书鉴别结果”中的第二个证书作为AS103 所产生的第三WAPI证书，从第三WAPI证书的第二扩展属性中取出第二证书，从第三WAPI证书的第三扩展属性中取出AS的公钥证书，用 AS的公钥证书验证“复合鉴别结果”的数字签名，如果签名不通过，则表明本次WAPI证书申请得到的申请结果不可信，WAPI证书申请失败；反之，如果签名通过，则表明本次WAPI证书申请得到的申请结果可信，STA102接受第二证书作为申请得到的WAPI终端数字证书、接受AS证书作为AS的公钥证书。

以上所述，仅为本发明较佳的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，根据本发明的技术方案及其发明构思加以等同替换或改变，都应涵盖在本发明的保护范围之内。