一種無線局域網移動終端申請證書的方法

專利名稱：一種無線局域網移動終端申請證書的方法
技術領域：
本發明涉及無線網絡技術，特別是涉及一種無線局域網移動終端申請證書的方法。
背景技術：
無線局域網(Wireless Local Area Network，WLAN)以其靈活便捷的優勢引起網絡設備制造商、網絡運營商和用戶的普遍關注，但是，由于WLAN的安全性較差，也引發了不少問題。依據統計調查的結果，安全性較低已經成為WLAN廣泛應用的最大障礙。
目前無線局域網絡產品主要采用的安全措施是依據IEEE 802.11國際標準，使用基于RC-4的WEP保密機制對數據進行加密傳輸。但是該機制已經被證實存在安全漏洞。2001年8月以色列的研究人員和思科公司進行了WEP安全測試，他們根據竊聽到的一部分數據，不到一個小時就破譯出WEP密鑰。AT&T的研究團體也成功地破譯出WEP密鑰。
所以，如何保證無線通信的保密性是亟待解決的問題。
我國寬帶無線IP標準工作組制定了WLAN國家標準GB/T 15629.11，提出了一種新的安全機制無線局域網鑒別與保密基礎結構(WLANAuthentication and Privacy Infrastructure，WAPI)。WAPI機制提供了一種基于公鑰證書機制的無線局域網移動終端安全接入方法。WAPI安全方案中有無線接入用戶終端(Station，STA)、訪問接入點(Access Point，AP)和鑒別服務單元(Authentication Service Unit，ASU)三種設備類型，分別作為鑒別請求者實體(Authentication Supplicant Entity，ASUE)、鑒別器實體(Authentication Entity，AE)和鑒別服務實體(Authentication Service Entity，ASE)的載體，其網絡結構如圖1所示，從圖1可以看出，一個ASU連接若干AP，而一個AP連接若干STA。
ASU對其管理范圍內的AP和STA進行管理并提供證書服務。ASU給每一個合法的AP和STA頒發一個公鑰證書(以下簡稱證書)，作為網絡設備在該WLAN內的數字身份憑證。證書的結構如表1所示表1證書的結構

每個證書還應對應一個私鑰，也是由證書頒發者指定。和公鑰不同，私鑰僅并由證書持有者自己持有，并不在證書中公開。
證書的作用在于建立實體名稱和公鑰之間的關聯，進行身份鑒別時，驗證方可以通過驗證證書持有者對某一信息的簽名來判斷其是否掌握了證書對應的私鑰，從而確定其是否為證書的真實持有者。STA與AP之間在ASU的協助下根據公鑰證書實現身份的相互鑒別和通信密鑰的協商。
利用證書實現接入控制的鑒別系統結構如圖2所示。從圖2中可以看出，STA包含ASUE，AP包含AE，ASU包含ASE。AP中有兩個端口接收來自STA的連接請求，這兩個端口分別是受控端口和非受控端口，STA從未受控端口向AP發出連接請求，在ASU的協助下雙方進行雙向身份認證(即證書鑒別)，若認證成功，AP開放受控端口允許STA接入，否則AP拒絕STA接入或STA放棄接入AP。
STA接入流程如圖3所示STA向AP發出鑒別請求，即將STA證書發送給AP；AP再將STA證書和自身證書一起發送給ASU，并對數據進行簽名；ASU驗證AP的簽名、AP證書和STA的證書的真實性和有效性，對鑒別結果進行簽名并發送到AP。STA和AP依據ASU的鑒別結果決定是否進行連接。STA與AP證書鑒別成功后進行密鑰協商，密鑰協商成功后，STA與AP將自己與對方分別產生的隨機數據進行相應的運算得到會話密鑰，用協商好的會話算法加、解密通信數據。
由此可見，證書在WAPI體系中發揮著十分關鍵的作用，因此STA如何申請、獲得ASU頒發的證書也是非常重要的一個環節。
WAPI標準中給出的申請證書的方法是申請者先到ASU所在地點登記，ASU的工作人員對證書的申請者的身份進行確認之后，先生成證書的公鑰和對應的私鑰，然后按照申請者所需的安全等級生成證書，然后通過網絡將證書和對應的私鑰發送給申請者。
該申請證書的方法的缺陷是首先，證書申請者必須到ASU所在地點申請證書，由ASU的操作員來確認申請人的身份，決定是否允許接入并確定其安全登記。這種證書申請方法雖然可以對無線網絡的使用者進行較嚴格的控制，但是操作十分繁瑣，靈活性較差。對于網絡管理者不限制網絡使用者的身份，卻需要保障AP和STA之間的無線通信的安全性的無線局域網網絡環境，如咖啡館、機場的無線局域網，該方法則更不適合。
其次，ASU生成證書的公鑰和對應的私鑰，并且必須將證書和對應的私鑰通過網絡發送給申請者，這個過程很可能會造成用戶私鑰泄漏的隱患。

發明內容
本發明的主要目的在于提供一種無線局域網移動終端申請證書的方法，使證書申請更加簡單易行，并能提高證書申請的安全性。
本發明的目的是通過如下技術方案實現的
一種無線局域網移動終端申請證書的方法，該方法包括以下步驟A、無線接入用戶終端生成證書的公鑰和對應的私鑰；B、無線接入用戶終端經由訪問接入點的未受控端口發送證書申請信息至鑒別服務單元；C、鑒別服務單元根據所述證書申請信息生成證書，并經由訪問接入點的未受控端口發送證書至無線接入用戶終端。
步驟B包括B1、無線接入用戶終端發送證書申請信息至訪問接入點的未受控端口；B2、訪問接入點從未受控端口接收證書申請信息，并將該證書申請信息轉發至鑒別服務單元。
步驟B和步驟C之間進一步包括鑒別服務單元根據證書申請信息判斷是否批準該證書申請，如果是，則執行步驟C；否則，鑒別服務單元經由訪問接入點的未受控端口將證書申請失敗消息發送至無線接入用戶終端。
所述鑒別服務單元根據證書申請信息判斷是否批準該證書申請的方法是判斷證書申請信息的內容是否完整，并判斷證書申請信息是否符合鑒別服務單元對證書申請信息的要求。
所述證書申請信息至少包括證書的持有者名稱和步驟A生成的證書的公鑰。
所述證書申請信息進一步包括證書的有效期和/或簽名算法標識。
步驟C包括C1、鑒別服務單元發送證書至訪問接入點的未受控端口；C2、訪問接入點從未受控端口接收證書，并將該證書轉發至無線接入用戶終端。
所述鑒別服務單元經由訪問接入點的未受控端口將證書申請失敗消息發送至無線接入用戶終端的方法是鑒別服務單元發送證書申請失敗消息至訪問接入點的未受控端口；
訪問接入點從未受控端口接收證書申請失敗消息，并將該證書申請失敗消息轉發至無線接入用戶終端。
所述證書申請失敗消息至少包括鑒別服務單元拒絕無線接入用戶終端的證書申請的原因。
通過以上的技術方案可以看出，本發明的無線局域網移動終端申請證書的方法是由提出證書申請的STA生成證書的公鑰和對應的私鑰，并通過AP的未受控端口向ASU發送證書申請消息，ASU按照證書申請消息生成證書之后，通過AP的未受控端口將證書發送給STA。而現有技術的方法是用戶到ASU所在地點申請，由ASU的操作員確認申請人的身份并確定其安全等級之后再頒發證書。所以，本發明的方法應用比較簡便靈活，適用面廣，尤其適用于諸如咖啡館、機場之類不限制使用者身份，卻需要保證無線通信安全得無線局域網環境。
本發明的方法由STA生成證書的公鑰和對應的私鑰，而現有技術的方法由ASU生成證書的公鑰和對應的私鑰，然后ASU通過網絡將證書和對應私鑰發送給申請者。所以，本發明的方法可以消除通過網絡發送私鑰而造成私鑰泄漏的隱患，使證書申請更加安全可靠。


圖1是無線局域網網絡結構示意圖。
圖2是利用證書實現接入控制的鑒別系統的結構示意圖。
圖3是WAPI的證書鑒別方法的流程圖。
圖4是根據本發明的移動終端申請證書的方法流程圖。
具體實施例方式
為了使本發明的目的、技術方案和優點更清楚，下面結合附圖和具體實施方式
對本發明作進一步描述。
在本發明的方法中，STA生成證書的公鑰和對應的私鑰之后，通過AP的未受控端口提交證書申請，AP將證書申請轉發至ASU，ASU生成證書之后，將證書發送到AP，AP從未受控端口將證書轉發至STA。圖4是根據本發明的移動終端申請證書的方法流程圖，從圖4可以看出，本發明包括如下步驟步驟401STA生成證書的公鑰和對應的私鑰。
步驟402STA向AP的未受控端口發送證書申請消息，該證書申請消息中包括證書的持有者名稱、證書的有效期、簽名算法標識和STA生成的證書的公鑰等參數。
證書的持有者名稱和證書的公鑰是證書申請消息中必須包含的參數，證書的有效期和簽名算法標識等參數是證書申請消息中可選的參數。
步驟403AP從未受控端口接收到STA發來的證書申請消息之后，將該證書申請消息轉發至ASU。
步驟404ASU接收到AP轉發來的證書申請消息之后，判斷該證書申請消息中的各參數是否完整且有效，如果參數不完整或無效，則轉到步驟405；否則，轉到步驟407。
參數完整是指所有參數都有內容，沒有參數的內容為空。
參數有效是指該參數是否符合ASU對證書中各參數的規定，例如，證書的持有者名稱有效是指該名稱沒有被其它證書占用并且符合對名稱的要求(如不少于5個字節，不能包括不可顯示字符等)；簽名算法標識有效是指該簽名算法是ASU支持的簽名算法。
步驟405ASU發送證書申請失敗消息至AP，該證書申請失敗消息包括ASU拒絕該證書申請的原因值，例如，未輸入證書的公鑰，或者證書的持有者名稱已被其它證書占用。
步驟406AP通過未受控端口將該證書申請失敗消息轉發至STA，然后結束。
步驟407ASU根據證書申請消息中的證書的持有者名稱、證書的有效期、簽名算法標識和證書的公鑰等參數生成用戶證書。
ASU生成的證書的結構如表1所示。除了證書的持有者名稱和證書的公鑰必須由證書申請消息中的參數確定以外，證書中其余內容可以由ASU指定。由于STA負責生成證書的公鑰和對應的私鑰，所以ASU不生成證書的公鑰和對應的私鑰。
步驟408ASU將生成的用戶證書發送至AP。
由于ASU不生成證書的公鑰和對應的私鑰，所以，ASU發送的證書中不包含該證書對應的私鑰，從而消除了網絡傳輸過程中私鑰泄漏的隱患。
步驟409AP通過未受控端口將用戶證書轉發至STA。
STA獲得證書后，可以采用WLAN國家標準GB/T 15629.11規定的方案進行會話密鑰協商，并用生成的會話密鑰對STA與AP間的通信進行保密。
在具體的實施過程中可對根據本發明的方法進行適當的改進，以適應具體情況的具體需要。因此可以理解，根據本發明的具體實施方式
只是起示范作用，并不用以限制本發明的保護范圍。
權利要求
1.一種無線局域網移動終端申請證書的方法，其特征在于，該方法包括以下步驟A、無線接入用戶終端生成證書的公鑰和對應的私鑰；B、無線接入用戶終端經由訪問接入點的未受控端口發送證書申請信息至鑒別服務單元；C、鑒別服務單元根據所述證書申請信息生成證書，并經由訪問接入點的未受控端口發送證書至無線接入用戶終端。
2.根據權利要求1所述的無線局域網移動終端申請證書的方法，其特征在于，步驟B包括B1、無線接入用戶終端發送證書申請信息至訪問接入點的未受控端口；B2、訪問接入點從未受控端口接收證書申請信息，并將該證書申請信息轉發至鑒別服務單元。
3.根據權利要求1所述的無線局域網移動終端申請證書的方法，其特征在于，步驟B和步驟C之間進一步包括鑒別服務單元根據證書申請信息判斷是否批準該證書申請，如果是，則執行步驟C；否則，鑒別服務單元經由訪問接入點的未受控端口將證書申請失敗消息發送至無線接入用戶終端。
4.根據權利要求3所述的無線局域網移動終端申請證書的方法，其特征在于，所述鑒別服務單元根據證書申請信息判斷是否批準該證書申請的方法是判斷證書中請信息的內容是否完整，并判斷證書申請信息是否符合鑒別服務單元對證書申請信息的要求。
5.根據權利要求1至4中任一權利要求所述的無線局域網移動終端申請證書的方法，其特征在于，所述證書申請信息至少包括證書的持有者名稱和步驟A生成的證書的公鑰。
6.根據權利要求5所述的無線局域網移動終端中請證書的方法，其特征在于，所述證書申請信息進一步包括證書的有效期和/或簽名算法標識。
7.根據權利要求1或3所述的無線局域網移動終端申請證書的方法，其特征在于，步驟C包括C1、鑒別服務單元發送證書至訪問接入點的未受控端口；C2、訪問接入點從未受控端口接收證書，并將該證書轉發至無線接入用戶終端。
8.根據權利要求3所述的無線局域網移動終端申請證書的方法，其特征在于，所述鑒別服務單元經由訪問接入點的未受控端口將證書申請失敗消息發送至無線接入用戶終端的方法是鑒別服務單元發送證書申請失敗消息至訪問接入點的未受控端口；訪問接入點從未受控端口接收證書申請失敗消息，并將該證書申請失敗消息轉發至無線接入用戶終端。
9.根據權利要求3或8所述的無線局域網移動終端申請證書的方法，其特征在于，所述證書申請失敗消息至少包括鑒別服務單元拒絕無線接入用戶終端的證書申請的原因。
全文摘要
本發明公開了一種無線局域網移動終端申請證書的方法，該方法由提出證書申請的STA生成證書的公鑰和對應的私鑰，并通過AP的未受控端口向ASU發送證書申請消息，ASU按照證書申請消息生成證書之后，通過AP的未受控端口將證書發送給STA。而現有技術的方法是申請者到ASU所在地點申請，由ASU的操作員確認申請者的身份并確定其安全等級之后再頒發證書，并通過網絡將證書和私鑰發送給申請者。本發明的方法應用比較簡便靈活，適用面廣，尤其適用于諸如咖啡館、機場之類不限制使用者身份，卻需要保證無線通信安全的無線局域網環境。并且，本發明的方法可以消除通過網絡發送證書和對應的私鑰而造成私鑰泄漏的隱患，使證書申請更加安全可靠。
文檔編號H04L9/12GK1697370SQ200410038000
公開日2005年11月16日 申請日期2004年5月14日 優先權日2004年5月14日
發明者馮凱鋒, 劉廷永 申請人:華為技術有限公司