一种数字证书自动申请方法和装置及系统

本发明涉及网络安全技术领域，涉及一种数字证书自动申请方法和装置及 系统。

当前的网络环境中，多种技术和设备都需要使用到数字证书，利用数字证 书可以实现身份的鉴别和数据加密等功能，但是如何对数字证书自动申请、更 新和颁发需要特别的方式来支持。

以无线局域网技术为例，无线局域网技术包含两大类的安全方案：第一类， WAPI(Wireless LAN Authentication and Privacy Infrastructure，无线局域网鉴别 与保密基础结构)，是中国无线局域网国家标准GB15629.11中提出的无线局域 网安全解决方案；第二类，RSN(Robust Security Network，健壮安全网络)， 是IEEE无线局域网标准IEEE802.11i中包含的安全解决方案。它们共同的特 点是可以采用基于公钥密码体系的数字证书方案实施鉴别过程，在采用基于公 钥密码体系的数字证书方案实施鉴别过程之前，端站(Station，STA)与接入 点(Access Point，AP)作为数字证书申请者必须提前向数字证书颁发者证书 授证中心(Certificate Authority，缩写为CA)申请可以标识自己身份的数字证 书，然后将申请到的数字证书安装到设备当中。

为了利用信息交换实现自动申请、更新和颁发不同类型的数字证书，数字 证书申请者在数字证书申请和更新过程中需要向数字证书颁发者提供哪些信 息，或者数字证书颁发者在数字证书颁发过程中需要向数字证书申请者提供哪 些信息，将直接影响到无线局域网技术安全机制能否有效进行。

但是如何利用信息交换自动申请、更新和颁发数字证书方法不在无线局域 网技术标准的设计范围之内，目前缺乏一种有效的自动申请、更新和颁发数字 证书方法。

本发明提供一种数字证书自动申请方法和装置及系统，用以实现数字证书 的自动申请、更新和颁发。

本发明提供一种数字证书自动申请方法，包括：

数字证书申请者将自身支持的数字证书产生方法通知数字证书颁发者，如 果数字证书申请者确定已经含有所述数字证书颁发者颁发的数字证书，所述数 字证书申请者还将数字证书申请者已有的数字证书信息通知数字证书颁发者， 如果确定没有所述数字证书颁发者所颁发的数字证书，所述数字证书申请者还 将需要在申请的新数字证书中包含的证书信息通知数字证书颁发者；

数字证书颁发者从数字证书申请者支持的数字证书产生方法中选择数字 证书产生方法并通知数字证书申请者，数字证书颁发者确定数字证书申请者需 申请新数字证书时，根据选择的数字证书产生方法和数字证书申请者通知的证 书信息产生新数字证书信息并通知数字证书申请者，确定数字证书申请者不需 申请新数字证书时，将无效的数字证书信息通知数字证书申请者；

数字证书申请者根据数字证书颁发者的通知确定使用的数字证书。。

本发明还提供一种数字证书申请装置，包括：

第一通知单元，用于将数字证书申请装置支持的数字证书产生方法通知数 字证书颁发者；

第二通知单元，用于确定数字证书申请装置已经含有所述数字证书颁发者 颁发的数字证书，将数字证书申请者已有的数字证书信息通知数字证书颁发 者，如果确定数字证书申请装置没有所述数字证书颁发者所颁发的数字证书， 将需要在申请的新数字证书中包含的证书信息通知数字证书颁发者；

证书确定单元，用于根据数字证书颁发者的通知确定使用的数字证书。

本发明还提供一种数字证书颁发装置，包括：

第一通知单元，用于根据数字证书申请者通知的数字证书申请者支持的数 字证书产生方法，从数字证书申请者支持的数字证书产生方法中选择数字证书 产生方法并通知数字证书申请者；

第二通知单元，用于确定数字证书申请者需申请新数字证书时，根据选择 的数字证书产生方法和数字证书申请者通知的证书信息产生新数字证书信息 并通知数字证书申请者，确定数字证书申请者不需申请新数字证书时，将无效 的数字证书信息通知数字证书申请者。

本发明还提供一种数字证书自动申请系统，包括：

数字证书申请者，用于将自身支持的数字证书产生方法通知数字证书颁发 者，如果确定已经含有所述数字证书颁发者颁发的数字证书，还将数字证书申 请者已有的数字证书信息通知数字证书颁发者，如果确定没有所述数字证书颁 发者所颁发的数字证书，还将需要在申请的新数字证书中包含的证书信息通知 数字证书颁发者，并根据数字证书颁发者的通知确定使用的数字证书；

数字证书颁发者，用于从数字证书申请者支持的数字证书产生方法中选择 数字证书产生方法并通知数字证书申请者，确定数字证书申请者需申请新数字 证书时，根据选择的数字证书产生方法和数字证书申请者通知的证书信息产生 新数字证书信息并通知数字证书申请者，确定数字证书申请者不需申请新数字 证书时，将无效的数字证书信息通知数字证书申请者。

利用本发明提供的数字证书自动申请方法和装置系统具有以下有益效果： 通过信息交换可以实现数字证书申请者自动申请不同类型的无线局域网数字 证书；数字证书申请者自动更新不同类型的无线局域网数字证书；数字证书颁 发者自动判断数字证书申请者的证书状态，为数字证书申请者颁发有效的数字 证书。

图1为本发明实施例1中数字证书自动申请方法流程图；

图2为本发明实施例1中数字证书自动申请方法中消息内容示意图；

图3为本发明实施例2中数字证书自动申请方法流程图；

图4为本发明实施例2中数字证书自动申请方法中消息内容示意图。

下面结合附图和实施例对本发明提供的数字证书自动申请方法和系统进 行更详细地说明。

本发明实施例提供了一种数字证书自动申请方法和系统，能够安全有效实 现数字证书自动申请、更新和颁发。该方法包括：

数字证书申请者将自身支持的数字证书产生方法通知数字证书颁发者，如 果数字证书申请者确定已经含有所述数字证书颁发者颁发的数字证书，所述数 字证书申请者还将数字证书申请者已有的数字证书信息通知数字证书颁发者， 如果确定没有所述数字证书颁发者所颁发的数字证书，所述数字证书申请者还 将需要在申请的新数字证书中包含的证书信息通知数字证书颁发者；

数字证书颁发者从数字证书申请者支持的数字证书产生方法中选择数字 证书产生方法并通知数字证书申请者，数字证书颁发者确定数字证书申请者需 申请新数字证书时，根据选择的数字证书产生方法和数字证书申请者通知的证 书信息产生新数字证书信息并通知数字证书申请者，确定数字证书申请者不需 申请新数字证书时，将无效的数字证书信息通知数字证书申请者；

数字证书申请者根据数字证书颁发者的通知确定使用的数字证书。

利用本发明实施例提供的数字证书自动申请方法，可以实现数字证书的自 动申请、更新和颁发，在数字证书申请者没有数字证书颁发者颁发的数字证书 时，可以自动申请不同类型的无线局域网数字证书，在数字证书申请者没有数 字证书或颁发的数字证书无效时，数字证书颁发者在证书本地颁发策略允许向 这个数字证书申请者颁发证书时，自动判断数字证书申请者的证书状态，为数 字证书申请者颁发有效的数字证书，否则发送无效的数字证书信息，从而实现 数字证书的自动申请、更新和颁发，从而保证无线局域网技术安全机制能否有 效进行。

本发明实施例对数字证书申请者和数字证书颁发者交互采用的消息及交 互方式不作限定，只要能够实现上述信息交互实现数字证书的自动申请、更新 和颁发，都属于本发明实施方式，下面给出本发明优选的消息交互方式。

实施例1

本实施例提供一种优选的消息交互方式，如图1所示，数字证书自动申请 方法，具体包括如下步骤：

步骤101，数字证书申请者首先向数字证书颁发者发送数字证书产生能力 消息，所述数字证书产生能力消息包括所述数字证书申请者支持的数字证书产 生方法；

步骤102，数字证书颁发者从数字证书申请者支持的数字证书产生方法中 选择数字证书产生方法，并通过数字证书产生类型消息通知数字证书申请者；

步骤103，数字证书申请者向数字证书颁发者发送数字证书申请消息，其 中，如果数字证书申请者确定已经含有所述数字证书颁发者颁发的数字证书， 所述数字证书申请消息中携带数字证书申请者已有的数字证书信息，如果数字 证书申请者确定没有所述数字证书颁发者所颁发的数字证书时，所述数字证书 申请消息中携带需要在申请的新数字证书中包含的证书信息；

步骤104，数字证书颁发者向数字证书申请者发送数字证书确认消息，其 中，数字证书颁发者确定数字证书申请者需申请新数字证书时，所述数字证书 确认消息包含数字证书颁发者根据选择的数字证书产生方法和数字证书申请 消息包含的证书信息产生的新数字证书信息，数字证书颁发者确定数字证书申 请者不需申请新数字证书时，所述数字证书确认消息携带无效的数字证书信 息；

步骤105，数字证书申请者接收数字证书颁发者发送的数字证书确认消息， 根据数字证书确认消息确定使用的数字证书。

本实施例通过四个消息进行交互，实现数字证书的自动申请、更新和颁发。

优选地，步骤103中，数字证书申请者确定已有所述数字证书颁发者所颁 发的数字证书时，在利用数字证书申请消息发送已有的数字证书信息的同时， 还发送利用已有数字证书的私钥对已有的数字证书信息的签名；

数字证书颁发者确定接收到数字证书申请者需要在申请的新数字证书中 包含的证书信息，或确定接收到数字证书申请者已有的数字证书信息及签名， 且验证签名无效时，确定数字证书申请者需申请新数字证书；数字证书颁发者 确定接收到数字证书申请者已有的数字证书信息及签名，且验证签名有效时， 确定数字证书申请者不需申请新数字证书。

即数字证书颁发者在证书本地颁发策略允许向这个数字证书申请者颁发 证书时，为数字证书申请者颁发新数字证书有两种情况：

1)数字证书申请者没有数字证书颁发者颁发的数字证书，从而实现数字 证书申请；

2)数字证书申请者有数字证书颁发者颁发的数字证书，但该数字证书为 无效的数字证书，从而实现数字证书更新。

为了实现本发明实施例提供的方式，上述数字证书申请者和数字证书颁发 者交互的消息具体包括的字段这里不作限定，只要能实现上述交互的目的即 可，优选地，采用本发明下面实施例提供的方式。

如图2所示，本实施例中数字证书自动申请方法包括：

步骤201，数字证书申请者向数字证书颁发者发送数字证书产生能力消息， 所述数字证书产生能力消息包括：数字证书申请者身份标识字段、数字证书产 生能力标识字段。

优选地，数字证书产生能力消息还包括申请者随机数。

数字证书申请者身份标识字段标识申请者的身份，数字证书产生能力标识 字段用于标识数字证书申请者支持的数字证书产生方法，优选地，数字证书产 生能力标识字段列出了数字证书申请者支持的所有数字证书产生的方法。

本实施例中数字证书产生能力标识字段标识数字证书产生方法的方式采 用但不限于表1所示方式：

表1数字证书产生能力标识字段

其中，最低1位bit0取值为1时表示支持单证书模式公私钥对本地生成能 力数字证书产生方法，低2位bit1取值为1时表示支持单证书模式P12下发能 力数字证书产生方法，低3位bit2取值为1时表示支持多证书模式公私钥对本 地生成能力数字证书产生方法，低4位bit3取值为1时表示支持多证书模式 P12下发能力数字证书产生方法。当多种能力同时支持，则对应能力标识位同 时取值为1，例如取值为0x03即00000011表示同时支持上述单证书模式公私 钥对本地生成能力和单证书模式P12下发能力数字证书产生方法。数字证书申 请者通过数字证书产生能力标识字段的取值表明支持的数字证书产生方法，供 数字证书颁发者选择使用的数字证书产生方法。

步骤202，数字证书颁发者收到数字证书产生能力消息后构建数字证书产 生类型消息发送给数字证书申请者，所述数字证书产生类型消息包括：数字证 书颁发者身份标识字段、数字证书产生类型字段。

优选地，数字证书产生类型消息还包括颁发者随机数。

数字证书颁发者身份标识字段标识颁发者的身份，数字证书产生类型字段 用于数字证书颁发者选择的数字证书产生方法。具体地，数字证书颁发者收到 数字证书申请者发送的数字证书产生能力消息后，根据数字证书申请者和自己 共同支持的数字证书产生方法，或者本地策略来确认本次数字证书颁发所使用 的数字证书产生方法，并在数字证书产生类型字段中标识。

本实施例中数字证书产生类型字段标识选择的数字证书产生方法的方式 采用但不限于表2所示的方式：

表2数字证书产生类型字段

最低1位bit0取值为1时表示选择单证书模式公私钥对本地生成能力数字 证书产生方法，低2位bit1取值为1时表示选择单证书模式P12下发能力数字 证书产生方法，低3位bit2取值为1时表示选择多证书模式公私钥对本地生成 能力数字证书产生方法，低4位bit3取值为1时表示选择多证书模式P12下发 能力数字证书产生方法。数字证书颁发者通过数字证书产生类型字段的取值表 明选择的数字证书产生方法即数字证书产生类型，以通知数字证书申请者选择 使用相同的数字证书产生类型。

步骤203，数字证书申请者收到数字证书产生类型消息后，向数字证书颁 发者发送数字证书申请消息，所述数字证书申请消息具体包括新数字证书申请 标识字段、数字证书申请者请求字段。

优选地，数字证书产生类型消息还携带数字证书申请消息完整性校验值， 数字证书申请消息完整性校验值由申请者随机数和颁发者随机数产生的密钥 对数字证书申请消息中除申请消息完整性校验值外其它内容加密计算得到。

具体地，数字证书申请者收到数字证书产生类型消息后，根据数字证书产 生类型消息中的数字证书产生类型字段取值确认本次证书颁发所使用的数字 证书产生方法，并判断是否需要申请新的数字证书，在新数字证书申请标识字 段中标识，判断方式如下：

根据数字证书产生类型消息中的数字证书颁发者身份标识字段判断是否 已经含有这个数字证书颁发者颁发的数字证书，如果数字证书申请者已经含有 这个数字证书颁发者颁发的数字证书，则新数字证书申请标识字段标识不需要 申请新的数字证书，如果数字证书申请者没有这个数字证书颁发者颁发的证 书，则新数字证书申请标识字段标识需要申请新的数字证书。

新数字证书申请标识字段标识采用但不限于表3a所示形式。

表3a新数字证书申请标识字段格式(布尔型)

数字证书申请者根据新数字证书申请标识字段中的标识，确定数字证书申 请者请求字段的内容，确定方式如下：

如果新数字证书申请标识字段中标识需要申请新的数字证书，则数字证书 申请者请求字段中具体携带数字证书申请者需要在新申请的数字证书中包含 的证书信息；如果新数字证书申请标识字段中标识不需要申请新的数字证书， 表示已经含有这个数字证书颁发者颁发的证书，则数字证书申请者请求字段具 体携带数字证书申请者已有的数字证书信息和利用已有数字证书的私钥对已 有的数字证书信息的签名，以使数字证书颁发者根据数字证书申请者已有的数 字证书信息和签名来判断数字证书申请者已有的数字证书是否有效。

优选地，如表4所示，数字证书申请者请求字段包括证书信息字段和签名 值字段；

数字证书申请者确定没有所述数字证书颁发者所颁发的数字证书时，即需 要向数字证书颁发者申请数字证书，证书信息字段具体携带数字证书申请者需 要在申请的新数字证书中包含的证书信息，签名值字段无效；

数字证书申请者确定已有所述数字证书颁发者所颁发的数字证书时，即不 需要向数字证书颁发者申请数字证书，证书信息字段具体携带数字证书申请者 已有的数字证书信息，签名值字段携带利用已有数字证书的私钥对已有的数字 证书信息的签名。

数字证书申请者构建数字证书申请消息发送给数字证书颁发者，所述数字 证书申请消息包括：新数字证书申请标识(参见表3a)和数字证书申请者请求 字段(参见表4)。

表4：数字证书申请者请求字段格式

  证书信息   签名值

步骤204，当数字证书颁发者收到数字证书申请消息后，如果数字证书申 请消息携带数字证书申请消息完整性校验值，首先判断数字证书申请消息完整 性校验值是否正确，如果不正确则丢弃该消息，如果正确向数字证书申请者发 送数字证书确认消息，如果数字证书申请消息未携带数字证书申请消息完整性 校验值，向数字证书申请者发送数字证书确认消息，所述数字证书确认消息具 体包括新数字证书颁发标识字段、数字证书申请者证书字段。

优选地，数字证书确认消息还包括数字证书确认消息完整性校验值，数字 证书确认消息完整性校验值由申请者随机数和颁发者随机数产生的密钥对数 字证书确认消息中除数字证书确认消息完整性校验值外内容加密计算得到。

数字证书颁发者在证书本地颁发策略允许向这个数字证书申请者颁发证 书且确定数字证书申请者需申请新数字证书时，新数字证书颁发标识字段标识 颁发新的数字证书，数字证书申请者证书字段具体携带新数字证书信息；

数字证书颁发者在证书本地颁发策略允许向这个数字证书申请者颁发证 书且确定数字证书申请者不需申请新数字证书时，或数字证书颁发者在证书本 地颁发策略不允许向这个数字证书申请者颁发证书时，新数字证书颁发标识字 段标识未颁发新的数字证书，数字证书申请者证书字段标识为无效

优选地，数字证书颁发者的证书本地颁发策略允许向这个数字证书申请者 颁发证书时，判断是否需要为数字证书申请者颁发新的数字证书方法如下：

根据数字证书申请消息中的新数字证书申请标识字段判断数字证书申请 者是否已经含有这个数字证书颁发者颁发的证书，如果数字证书申请者没有这 个数字证书颁发者颁发的证书，则新数字证书颁发标识字段设置为需要颁发新 的数字证书，如果数字证书申请者已经含有这个数字证书颁发者颁发的证书， 则数字证书颁发者根据数字证书申请者请求字段中数字证书申请者已有的数 字证书信息和签名来判断数字证书申请者已有的数字证书是否有效；如果数字 证书申请者请求字段中数字证书申请者已有的数字证书信息有效，表示数字证 书申请者已有有效的数字证书，则新数字证书颁发标识字段设置为不需要颁发 新的数字证书，如果数字证书申请者请求字段中数字证书申请者已有的数字证 书信息无效，表示数字证书申请者没有有效的数字证书，则新数字证书颁发标 识字段设置为需要颁发新的数字证书。

新数字证书颁发标识字段采用但不限于表3b所示的标识方式。

表3b新数字证书颁发标识字段格式(布尔型)

根据新数字证书颁发标识字段中标识确定数字证书申请者证书字段的内 容，数字证书申请者证书字段确定方法如下：

如果新数字证书颁发标识字段中标识需要颁发新的数字证书，则数字证书 申请者证书字段中包含新颁发的数字证书，数字证书申请者证书字段值有效， 字段值为根据数字证书申请消息的数字证书申请者请求字段中包含的证书信 息和选择的数字证书生成方法生成的数字证书申请者证书；如果新数字证书颁 发标识字段中标识不需要申请新的数字证书，表示数字证书申请者已经含有这 个数字证书颁发者颁发的有效的数字证书，则数字证书申请者证书字段值标识 为无效。

数字证书申请者证书字段值有效时，数字证书申请者证书字段包括证书个 数字段和数字证书字段，如表5所示。

表5数字证书申请者证书字段格式

  证书个数   数字证书

第一部分：证书个数，表示一共颁发的证书的个数，与选择的数字证书产 生方法有关。

第二部分：数字证书，表示颁发的数字证书的格式，与选择的数字证书产 生方法有关。

优选地，如表6所示，数字证书字段具体包括标识证书类型、证书标识、 长度和值字段。

表6数字证书字段格式

  证书类型   证书标识   长度   值

子字段一：证书类型，如表7所示，列举了颁发的新数字证书的证书类型。

表7证书类型子字段格式

  值   含义

  0x00   AS证书

  0x01   AP证书

  0x02   STA证书

  0x03   CA证书

 0x04‑FF   保留

子字段二：证书标识，如表8所示，列举了新数字证书的编码方式。

表8证书标识子字段格式

子字段三：长度，表示“值”子字段的长度，即新数字证书内容长度。

子字段四：值，表示完整的标识新数字证书的证书内容。

步骤205，如果数字证书确认消息携带数字证书确认消息完整性校验值， 数字证书申请者首先对发来的数字证书确认消息后判断数字证书确认消息完 整性校验值是否正确，如果不正确则丢弃该消息，如果正确进行处理获得使用 的数字证书，如果数字证书确认消息未携带数字证书确认消息完整性校验值， 数字证书申请者根据数字证书确认消息确定使用的数字证书。

优选地，数字证书申请者根据新数字证书颁发标识字段判断数字证书申请 者证书字段中是否含有数字证书颁发者颁发的新的数字证书，如果新数字证书 颁发标识字段标识颁发新的数字证书，则数字证书申请者安装数字证书申请者 证书字段中含有的新的数字证书，如果新数字证书颁发标识字段标识不需要颁 发新的数字证书，则数字证书申请者继续使用已经含有这个数字证书颁发者颁 发的数字证书。

需说明的是，表1和2中示出的值、标识位、含义的对应关系，表3a和 3b中示出的消息、值、含义的对应关系，以及表7和8中示出的值、含义的对 应关系仅是举例，在实际实施时可根据实际需要进行调整，例如，表7中的值 “0x00”可改为对应含义“AP证书”而值“0x00”可改为对应含义“AS证 书”；表4‑6中字段的顺序是可以根据实际需要进行调整的，例如，可将表5 中的“证书个数”及“数字证书”进行对调。

实施例2

本实施例提供一种优选的消息交互方式，如图3所示，数字证书自动申请 方法，具体包括如下步骤：

步骤301，数字证书申请者首先向数字证书颁发者发送数字证书申请消息；

所述数字证书申请消息包括所述数字证书申请者支持的数字证书产生方 法，如果数字证书申请者确定已经含有所述数字证书颁发者颁发的数字证书， 所述数字证书申请消息中还携带数字证书申请者已有的数字证书信息；如果数 字证书申请者确定没有所述数字证书颁发者所颁发的数字证书时，所述数字证 书申请消息中还携带需要在申请的新数字证书中包含的证书信息；

步骤302，数字证书颁发者向数字证书申请者发送数字证书确认消息；

所述数字证书确认消息包括数字证书颁发者从数字证书申请者支持的数 字证书产生方法中选择的数字证书产生方法，数字证书颁发者确定数字证书申 请者需申请新数字证书时，所述数字证书确认消息还包含数字证书颁发者根据 选择的数字证书产生方法和数字证书申请消息包含的证书信息产生的新数字 证书信息，数字证书颁发者确定数字证书申请者不需申请新数字证书时，所述 数字证书确认消息还携带无效的数字证书信息；

步骤303，数字证书申请者接收数字证书颁发者发送的数字证书确认消息， 根据数字证书确认消息确定使用的数字证书。

本实施例通过两个消息进行交互，实现数字证书的自动申请、更新和颁发。

本实施例与实施例1相比，具体是将实施例1的步骤201与步骤203合并 进行进行步骤301，数字证书申请者仅向数字证书颁发者发送一次消息，将实 施例1的步骤202与步骤204合并进行步骤302，数字证书颁发者仅向数字证 书申请者发送一次消息。

将实施例1的步骤201与步骤203合并进行步骤301时，如图4所示，本 实施例的步骤301中，数字证书申请者向数字证书颁发者发送数字证书申请消 息，所述数字证书申请消息具体包括数字证书申请者身份标识字段、数字证书 产生能力标识字段、新数字证书申请标识字段、数字证书申请者请求字段和申 请者随机数。不包括数字证书申请消息完整性校验值。上述各字段的具体内容 详见实施例1的描述，这里不再详述。

将实施例1中的步骤202并入步骤204进行步骤302时，如图4所示，本 实施例的步骤302中，当数字证书颁发者收到数字证书申请消息后，数字证书 颁发者向数字证书申请者发送数字证书确认消息，所述数字证书确认消息具体 包括数字证书颁发者身份标识字段、数字证书产生类型字段、颁发者随机数、 新数字证书颁发标识字段、数字证书申请者证书字段和数字证书确认消息完整 性校验值。上述各字段的具体内容详见实施例1的描述，这里不再详述。所述 数字证书确认消息完整性校验值由申请者随机数和颁发者随机数产生的密钥 对数字证书确认消息中除数字证书确认消息完整性校验值外内容加密计算得 到；数字证书申请者接收到数字证书确认消息后，确定数字证书确认消息完整 性校验值正确时，再根据数字证书确认消息确定使用的数字证书。

基于同一发明构思，本发明实施例中还提供了一种数字证书自动申请装 置、数字证书颁发装置和数字证书自动申请系统，由于该装置和系统解决问题 的原理与一种数字证书自动申请方法相似，因此这些系统的实施可以参见方法 的实施，重复之处不再赘述。

本发明实施例的数字证书申请装置，包括：

第一通知单元，用于将数字证书申请装置支持的数字证书产生方法通知数 字证书颁发者；

第二通知单元，用于确定数字证书申请装置已经含有所述数字证书颁发者 颁发的数字证书，将数字证书申请者已有的数字证书信息通知数字证书颁发 者，如果确定数字证书申请装置没有所述数字证书颁发者所颁发的数字证书， 将需要在申请的新数字证书中包含的证书信息通知数字证书颁发者；

证书确定单元，用于根据数字证书颁发者的通知确定使用的数字证书。

本发明实施例提供的数字证书颁发装置，包括：

第一通知单元，用于根据数字证书申请者通知的数字证书申请者支持的数 字证书产生方法，从数字证书申请者支持的数字证书产生方法中选择数字证书 产生方法并通知数字证书申请者；

第二通知单元，用于确定数字证书申请者需申请新数字证书时，根据选择 的数字证书产生方法和数字证书申请者通知的证书信息产生新数字证书信息 并通知数字证书申请者，确定数字证书申请者不需申请新数字证书时，将无效 的数字证书信息通知数字证书申请者。

本发明实施例提供的一种数字证书自动申请系统，包括：

数字证书申请者，用于将自身支持的数字证书产生方法通知数字证书颁发 者，如果确定已经含有所述数字证书颁发者颁发的数字证书，还将数字证书申 请者已有的数字证书信息通知数字证书颁发者，如果确定没有所述数字证书颁 发者所颁发的数字证书，还将需要在申请的新数字证书中包含的证书信息通知 数字证书颁发者，并根据数字证书颁发者的通知确定使用的数字证书；

数字证书颁发者，用于从数字证书申请者支持的数字证书产生方法中选择 数字证书产生方法并通知数字证书申请者，确定数字证书申请者需申请新数字 证书时，根据选择的数字证书产生方法和数字证书申请者通知的证书信息产生 新数字证书信息并通知数字证书申请者，确定数字证书申请者不需申请新数字 证书时，将无效的数字证书信息通知数字证书申请者。

优选地，数字证书申请者为端站STA、接入点AP或者其他设备，数字证 书颁发者为证书授证中心CA。

本发明提供了一种网络环境中基于数字证书安全机制的实现数字证书自 动申请、更新和颁发的数字证书申请方法和系统，利用同一组信息交换实现：

1)数字证书申请者自动申请不同类型的无线局域网数字证书；

2)数字证书申请者自动更新不同类型的无线局域网数字证书；

3)数字证书颁发者自动判断数字证书申请者的证书状态，为数字证书申 请者颁发有效的数字证书。

本发明所述数字证书申请者可以是所述数字证书申请装置，也可以是包含 了所述数字证书申请装置的任一实体如网络接入点、终端设备等；所述数字证 书颁发者可以是所述数字证书颁发装置，也可以是包含了所述数字证书颁发装 置的任一实体，如数字证书服务器等。

显然，本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发 明的精神和范围。这样，倘若本发明的这些修改和变型属于本发明权利要求及 其等同技术的范围之内，则本发明也意图包含这些改动和变型在内。