一种无线局域网移动终端申请证书的方法

技术领域

本发明涉及无线网络技术，特别是涉及一种无线局域网移动终端申请证 书的方法。

背景技术

无线局域网(Wireless Local Area Network，WLAN)以其灵活便捷的优 势引起网络设备制造商、网络运营商和用户的普遍关注，但是，由于WLAN 的安全性较差，也引发了不少问题。依据统计调查的结果，安全性较低已经 成为WLAN广泛应用的最大障碍。

目前无线局域网络产品主要采用的安全措施是依据IEEE 802.11国际标 准，使用基于RC-4的WEP保密机制对数据进行加密传输。但是该机制已 经被证实存在安全漏洞。2001年8月以列的研究人员和思科公司进行了 WEP安全测试，他们根据窃听到的一部分数据，不到一个小时就破译出WEP 密钥。AT&T的研究团体也成功地破译出WEP密钥。

所以，如何保证无线通信的保密性是亟待解决的问题。

我国宽带无线IP标准工作组制定了WLAN国家标准GB/T 15629.11， 提出了一种新的安全机制：无线局域网鉴别与保密基础结构(WLAN Authentication and Privacy Infrastructure，WAPI)。WAPI机制提供了一种基 于公钥证书机制的无线局域网移动终端安全接入方法。WAPI安全方案中有 无线接入用户终端(Station，STA)、访问接入点(Access Point，AP)和鉴 别服务单元(Authentication Service Unit，ASU)三种设备类型，分别作为鉴 别请求者实体(Authentication Supplicant Entity，ASUE)、鉴别器实体 (Authentication Entity，AE)和鉴别服务实体(Authentication Service Entity， ASE)的载体，其网络结构如图1所示，从图1可以看出，一个ASU连接 若干AP，而一个AP连接若干STA。

ASU对其管理范围内的AP和STA进行管理并提供证书服务。ASU给 每一个合法的AP和STA颁发一个公钥证书(以下简称证书)，作为网络设 备在该WLAN内的数字身份凭证。证书的结构如表1所示：

             表1：证书的结构

每个证书还应对应一个私钥，也是由证书颁发者指定。和公钥不同，私 钥仅并由证书持有者自己持有，并不在证书中公开。

证书地作用在于建立实体名称和公钥之间的关联，进行身份鉴别时，验 证方可以通过验证证书持有者对某一信息的签名来判断其是否掌握了证书 对应的私钥，从而确定其是否为证书的真实持有者。STA与AP之间在ASU 的协助下根据公钥证书实现身份的相互鉴别和通信密钥的协商。

利用证书实现接入控制的鉴别系统结构如图2所示。从图2中可以看出， STA包含ASUE，AP包含AE，ASU包含ASE。AP中有两个端口接收来自 STA的连接请求，这两个端口分别是受控端口和非受控端口，STA从未受 控端口向AP发出连接请求，在ASU的协助下双方进行双向身份认证(即 证书鉴别)，若认证成功，AP开放受控端口允许STA接入，否则AP拒绝 STA接入或STA放弃接入AP。

STA接入流程如图3所示：STA向AP发出鉴别请求，即将STA证书 发送给AP；AP再将STA证书和自身证书一起发送给ASU，并对数据进行 签名；ASU验证AP的签名、AP证书和STA的证书的真实性和有效性，对 鉴别结果进行签名并发送到AP。STA和AP依据ASU的鉴别结果决定是否 进行连接。STA与AP证书鉴别成功后进行密钥协商，密钥协商成功后，STA 与AP将自己与对方分别产生的随机数据进行相应的运算得到会话密钥，用 协商好的会话算法加、解密通信数据。

由此可见，证书在WAPI体系中发挥着十分关键的作用，因此STA如 何申请、获得ASU颁发的证书也是非常重要的一个环节。

WAPI标准中给出的申请证书的方法是申请者先到ASU所在地点登记， ASU的工作人员对证书的申请者的身份进行确认之后，先生成证书的公钥 和对应的私钥，然后按照申请者所需的安全等级生成证书，然后通过网络将 证书和对应的私钥发送给申请者。

该申请证书的方法的缺陷是：

首先，证书申请者必须到ASU所在地点申请证书，由ASU的操作员来 确认申请人的身份，决定是否允许接入并确定其安全登记。这种证书申请方 法虽然可以对无线网络的使用者进行较严格的控制，但是操作十分繁琐，灵 活性较差。对于网络管理者不限制网络使用者的身份，却需要保障AP和STA 之间的无线通信的安全性的无线局域网网络环境，如咖啡馆、机场的无线局 域网，该方法则更不适合。

其次，ASU生成证书的公钥和对应的私钥，并且必须将证书和对应的 私钥通过网络发送给申请者，这个过程很可能会造成用户私钥泄漏的隐患。

发明内容

本发明的主要目的在于提供一种无线局域网移动终端申请证书的方法， 使证书申请更加简单易行，并能提高证书申请的安全性。

本发明的目的是通过如下技术方案实现的：

一种无线局域网移动终端申请证书的方法，该方法包括以下步骤：

A、无线接入用户终端生成证书的公钥和对应的私钥；

B、无线接入用户终端经由访问接入点的未受控端口发送证书申请信息至鉴 别服务单元；

C、鉴别服务单元根据所述证书申请信息生成证书，并经由访问接入点的未 受控端口发送证书至无线接入用户终端。

步骤B包括：

B1、无线接入用户终端发送证书申请信息至访问接入点的未受控端口；

B2、访问接入点从未受控端口接收证书申请信息，并将该证书申请信息转 发至鉴别服务单元。

步骤B和步骤C之间进一步包括：鉴别服务单元根据证书申请信息判断是 否批准该证书申请，如果是，则执行步骤C；否则，鉴别服务单元经由访问接 入点的未受控端口将证书申请失败消息发送至无线接入用户终端。

所述鉴别服务单元根据证书申请信息判断是否批准该证书申请的方法是：

判断证书申请信息的内容是否完整，并判断证书申请信息是否符合鉴别服 务单元对证书申请信息的要求。

所述证书申请信息至少包括证书的持有者名称和步骤A生成的证书的公 钥。

所述证书申请信息进一步包括证书的有效期和/或签名算法标识。

步骤C包括：

C1、鉴别服务单元发送证书至访问接入点的未受控端口；

C2、访问接入点从未受控端口接收证书，并将该证书转发至无线接入用户 终端。

所述鉴别服务单元经由访问接入点的未受控端口将证书申请失败消息发送 至无线接入用户终端的方法是：

鉴别服务单元发送证书申请失败消息至访问接入点的未受控端口；

访问接入点从未受控端口接收证书申请失败消息，并将该证书申请失败消 息转发至无线接入用户终端。

所述证书申请失败消息至少包括鉴别服务单元拒绝无线接入用户终端 的证书申请的原因。

通过以上的技术方案可以看出，本发明的无线局域网移动终端申请证书 的方法是由提出证书申请的STA生成证书的公钥和对应的私钥，并通过AP 的未受控端口向ASU发送证书申请消息，ASU按照证书申请消息生成证书 之后，通过AP的未受控端口将证书发送给STA。而现有技术的方法是用户 到ASU所在地点申请，由ASU的操作员确认申请人的身份并确定其安全等 级之后再颁发证书。所以，本发明的方法应用比较简便灵活，适用面广，尤 其适用于诸如咖啡馆、机场之类不限制使用者身份，却需要保证无线通信安 全得无线局域网环境。

本发明的方法由STA生成证书的公钥和对应的私钥，而现有技术的方 法由ASU生成证书的公钥和对应的私钥，然后ASU通过网络将证书和对应 私钥发送给申请者。所以，本发明的方法可以消除通过网络发送私钥而造成 私钥泄漏的隐患，使证书申请更加安全可靠。

附图说明

图1是无线局域网网络结构示意图。

图2是利用证书实现接入控制的鉴别系统的结构示意图。

图3是WAPI的证书鉴别方法的流程图。

图4是根据本发明的移动终端申请证书的方法流程图。

具体实施方式

为了使本发明的目的、技术方案和优点更清楚，下面结合附图和具体实 施方式对本发明作进一步描述。

在本发明的方法中，STA生成证书的公钥和对应的私钥之后，通过AP 的未受控端口提交证书申请，AP将证书申请转发至ASU，ASU生成证书之 后，将证书发送到AP，AP从未受控端口将证书转发至STA。图4是根据本 发明的移动终端申请证书的方法流程图，从图4可以看出，本发明包括如下 步骤：

步骤401：STA生成证书的公钥和对应的私钥。

步骤402：STA向AP的未受控端口发送证书申请消息，该证书申请消 息中包括证书的持有者名称、证书的有效期、签名算法标识和STA生成的 证书的公钥等参数。

证书的持有者名称和证书的公钥是证书申请消息中必须包含的参数，证 书的有效期和签名算法标识等参数是证书申请消息中可选的参数。

步骤403：AP从未受控端口接收到STA发来的证书申请消息之后，将 该证书申请消息转发至ASU。

步骤404：ASU接收到AP转发来的证书申请消息之后，判断该证书申 请消息中的各参数是否完整且有效，如果参数不完整或无效，则转到步骤 405；否则，转到步骤407。

参数完整是指所有参数都有内容，没有参数的内容为空。

参数有效是指该参数是否符合ASU对证书中各参数的规定，例如，证 书的持有者名称有效是指该名称没有被其它证书占用并且符合对名称的要 求(如不少于5个字节，不能包括不可显示字符等)；签名算法标识有效是 指该签名算法是ASU支持的签名算法。

步骤405：ASU发送证书申请失败消息至AP，该证书申请失败消息包 括ASU拒绝该证书申请的原因值，例如，未输入证书的公钥，或者证书的 持有者名称已被其它证书占用。

步骤406：AP通过未受控端口将该证书申请失败消息转发至STA，然 后结束。

步骤407：ASU根据证书申请消息中的证书的持有者名称、证书的有效 期、签名算法标识和证书的公钥等参数生成用户证书。

ASU生成的证书的结构如表1所示。除了证书的持有者名称和证书的 公钥必须由证书申请消息中的参数确定以外，证书中其余内容可以由ASU 指定。由于STA负责生成证书的公钥和对应的私钥，所以ASU不生成证书 的公钥和对应的私钥。

步骤408：ASU将生成的用户证书发送至AP。

由于ASU不生成证书的公钥和对应的私钥，所以，ASU发送的证书中 不包含该证书对应的私钥，从而消除了网络传输过程中私钥泄漏的隐患。

步骤409：AP通过未受控端口将用户证书转发至STA。

STA获得证书后，可以采用WLAN国家标准GB/T 15629.11规定的方 案进行会话密钥协商，并用生成的会话密钥对STA与AP间的通信进行保密。

在具体的实施过程中可对根据本发明的方法进行适当的改进，以适应具 体情况的具体需要。因此可以理解，根据本发明的具体实施方式只是起示范 作用，并不用以限制本发明的保护范围。