專利名稱:證書鑒別方法和設備的制作方法
技術領域:
本發明涉及通信技術領域,尤其涉及一種證書鑒別方法和設備。
技術背景WLAN ( Wireless Local Area Network,無線局域網)技術已#皮日益廣泛地 應用于企業和運營商網絡,但由于無線通信使用開放性的無線信道資源作為 傳輸媒質,任何在物理區域上進入無線信號覆蓋區域的無線客戶端,理論上 都可以接入WLAN網絡。因此非法用戶可以發起對WLAN網絡的攻擊或竊 取網絡用戶的機密信息,從而造成重大的安全事故。為了保證WLAN網絡的安全性,現有技術中提出了 WAPI (WLAN Authentication and Privacy Infrastructure ,無線局i或網鑒別與保密基5出結構)標 準。WAPI采用公鑰密碼體制的橢圓曲線密碼算法、和對稱密碼體制的分組密 碼算法,分別用于設備的數字證書、證書鑒別、密鑰協商和傳輸數據的加解 密,從而實現設備的身份鑒別、鏈路驗證、訪問控制和用戶信息在無線傳輸 狀態下的加密保護。WAPI的身份鑒別包括預共享密鑰鑒別和證書鑒別兩種。預共享密鑰鑒別是通過在STA和AP上配置相同的共享密鑰,在協商中 檢查共享密鑰是否相同來完成認證,這是一種簡單的鑒別方法,安全性不夠 高且部署比較麻煩。 一般情況下,多個STA( Station,站點)和多個AP( Access Point,接入點)使用相同的共享密鑰, 一旦密鑰泄漏,就得手工更新所有的 共享密鑰。證書鑒別是通過數字證書來完成鑒別的。數字證書是公開的,它表示持 有者的身份,包含持有者名稱、頒發者名稱、有效期、公鑰、頒發者簽名等 信息,與數字證書中的公鑰對應有一個私鑰,該私鑰只有證書的持有者擁有。 持有者可以使用私鑰對對外發送的消息進行簽名,消息接收者可以使用證書 中的公鑰驗證該簽名是否正確,來判斷該消息是否是由持有者發出的。數字簽名與實際中的簽名比較類似,都是為了證明該消息確實是消息的聲明者所 發出的。因此證書認證包括兩方面, 一是身份是否合法,即證書是否合法, 通過驗證證書是否是由證書中所述的頒發者頒發、證書是否在有效期內、證書是否已經被吊銷等來完成;二是驗證該身份就是持有者的,即驗證對方是否就是該證書的持有者,這個可以通過驗證對方的簽名來完成。在現有方案中,證書的合法性由STA以及AP公信的第三方AS (Authentication Server,鑒別服務器)進行驗證。由AS驗證STA的證書和AP的證書是否合法,而STA和AP通過驗證對方的簽名來驗證對方是否是證書的合法持有者。現有方案中基于WAPI的認證方法如圖l所示,包括以下步驟步驟slOl ~步驟s103為802.11的鏈路協商過程,STA與AP之間通過互送信標幀或探詢幀,進行鏈路驗證與關聯。步驟s104 ~步驟s108為WAI ( WLAN Authentication Infrastructure,無線局域網鑒別基礎結構)認證過程,具體的步驟sl04、 AP將自己的證書通過鑒別激活報文發送給STA。步驟sl05、 STA將自己的數字證書通過接入鑒別請求報文發送給AP,在該報文中還攜帶有STA的簽名。AP通過驗證STA的簽名是否正確,來判斷該STA是否是該數字證書的合法擁有者,這時還無法判斷該數字證書(即身份)是否合法。步驟sl06、 AP將自己的證書、STA證書通過證書鑒別請求報文一并發送 給AS,由AS驗證證書的合法性,包括證書是否是由信任的CA( Certification Authority,證書授權中心)頒發的,證書是否在有效期內,證書是否已經被吊 銷等等。步驟sl07、 AS將證書驗證結果通過證書鑒別響應報文發送給AP。 步驟s108、 AP從證書驗證結果中得到STA的證書驗證結果,如果證書 合法,就將AS的證書驗證結果通過接入鑒別響應報文發送給STA,該才艮文中 攜帶有AP的簽名。STA通過驗證AS的簽名來驗證證書驗證結果是否是自己 信任的AS發出的,然后得到AP的證書驗證結果,并通過驗證AP的簽名來證實AP是否是該證書的合法擁有者。現有技術的缺點在于,在現有方案中證書的合法性由公信的第三方AS完 成驗證,因此在使用中必須有AS的參與,限制了合法性驗證的應用。另夕卜, 在證書認證過程中,AP和AS間交互的報文較大, 一般都會進行IP分片,因 此增加了認證的時間,降低了認證的效率。發明內容本發明提供一種證書鑒別方法和設備,用于實現AP與STA間無需第三方證書鑒別服務器即可進行證書驗證。為達到上述目的,本發明提供一種證書鑒別方法,包括STA接收AP發送的鑒別激活報文,獲取所述鑒別激活報文中攜帶的所述AP的i正書;所述STA對所述AP的證書進行鑒別。其中,所述STA對所述AP的證書進行鑒別具體包括所述STA鑒別所述AP的證書是否由信任的CA頒發、所述AP的證書是否在有效期內、以及所述AP的證書是否已經被吊銷。其中,所述STA鑒別所述AP的證書是否由信任的CA頒發具體包括所述STA從信任的CA的證書中獲取信任的CA的公鑰;所述STA使用所述信任的CA的公鑰驗證所述AP的證書中的CA簽名,鑒別所述AP的證書是否由信任的CA頒發。其中,所述STA鑒別所述AP的證書是否已經被吊銷具體包括 所述STA在獲取到所述AP的證書后,通過所述AP提供的臨時端口,從外部服務器獲取證書吊銷列表,鑒別所述AP的證書是否已經被吊銷;或 所述STA在關聯到所述AP后、獲取到所述AP的證書前,通過所述AP提供的臨時端口 ,從外部服務器獲取證書吊銷列表,鑒別所述AP的證書是否已經被吊銷;或所述STA在之前連接到網絡時,定期從外部服務器獲取證書吊銷列表, 鑒別所述AP的證書是否已經被吊銷。其中,所述STA在關聯到所述AP后、獲取到所述AP的證書前,還包括 向所述AP發送鑒別開始報文,觸發所述AP提供所述AP的證書。本發明還提供一種STA,包括證書獲取單元,用于接收AP發送的鑒別激活報文,獲取所述鑒別激活報 文中攜帶的所述AP的證書;證書鑒別單元,用于鑒別所述證書獲取單元獲取的所述AP的證書。 其中,所述"i正書鑒別單元包括第一證書鑒別子單元,用于鑒別所述AP的證書是否由信任的CA頒發; 第二證書鑒別子單元,用于鑒別所述AP的證書是否在有效期內; 第三證書鑒別子單元,用于鑒別所述AP的證書是否已經被吊銷。 其中,所述第二證書鑒別子單元具體為,從信任的CA的證書中獲取信任的CA的/>鑰;并使用所述信任的CA的公鑰驗證所述AP的證書中的CA簽名,鑒別所述AP的證書是否由信任的CA頒發。 其中,還包括,證書吊銷列表獲取單元,用于從外部服務器獲取證書吊銷列表并提供給 所述第三證書鑒別子單元,供其鑒別所述AP的證書是否已經被吊銷。 其中,所述證書吊銷列表獲取單元包括第一證書吊銷列表獲取子單元,用于在獲取到所述AP的證書后,通過所 述AP提供的臨時端口,從外部服務器獲取證書吊銷列表;或第二證書吊銷列表獲取子單元,用于在關聯到所述AP后、獲取到所述 AP的證書前,通過所述AP提供的臨時端口,從外部服務器獲取證書吊銷列第三證書吊銷列表獲取子單元,用于在之前連接到網絡時,定期從外部 服務器獲取證書吊銷列表。其中,還包括觸發4艮文發送單元,用于在所述第二證書吊銷列表獲取子單元從外部服 務器獲取證書吊銷列表后,向所述AP發送鑒別開始報文,觸發所述AP提供本發明還提供一種證書鑒別方法,包括AP接收STA發送的接入鑒別請求報文,獲取所述接入鑒別請求報文中攜帶的所述STA的證書;所述AP對所述STA的證書進行鑒別。其中,所述AP對所述STA的證書進行鑒別具體包括所述AP鑒別所述STA的證書是否由信任的CA頒發、所迷STA的證書是否在有效期內、以及所述STA的證書是否已經被吊銷。其中,所述AP鑒別所述STA的證書是否由信任的CA頒發具體包括所述AP從信任的CA的證書中獲取信任的CA的公鑰;所述AP使用所述信任的CA的公鑰驗證所述STA的證書中的CA簽名,鑒別所述STA的證書是否由信任的CA頒發。其中,所述AP鑒別所述STA的證書是否已經被吊銷具體包括所述AP根據從外部服務器獲取的證書吊銷列表,鑒別所述STA的證書是否已經被吊銷。本發明還提供一種AP,包括證書獲取單元,用于接收STA發送的接入鑒別請求報文,獲取所述接入 鑒別請求報文中攜帶的所述STA的證書;證書鑒別單元,用于鑒別所述證書獲取單元獲取的所述STA的證書。 其中,所述證書鑒別單元包括第一證書鑒別子單元,用于鑒別所述STA的證書是否由信任的CA頒發; 第二證書鑒別子單元,用于鑒別所述STA的證書是否在有效期內; 第三證書鑒別子單元,用于鑒別所述STA的證書是否已經被吊銷。 其中,所述第二證書鑒別子單元具體為,從信任的CA的證書中獲取信任的CA的公鑰;并使用所述信任的CA的公鑰驗證所述STA的證書中的CA簽名,鑒別所述STA的證書是否由信任的CA頒發。其中,還包括證書吊銷列表獲取單元,用于從外部服務器獲取證書吊銷列表并提供給 所述第三證書鑒別子單元,供其鑒別所述STA的證書是否已經被吊銷。 其中,還包括臨時端口設置單元,用于設置一臨時端口以供所述STA從外部服務器獲 取證書吊銷列表。與現有技術相比,本發明具有以下優點通過使用本發明,在STA與AP的證書認證過程中,無需第三方設備如 AS等的參與,擴展了 WAPI認證的應用。另外,該方法減少了證書認證過程 的交互,加速了i正書iU正過程。
圖1是現有技術中基于WAPI的認證方法流程圖;圖2A是本發明中STA對AP的證書進行鑒別的方法流程圖;圖2B是本發明中AP對STA的證書進行鑒別的方法流程圖;圖3是本發明應用場景中STA與AP間認證的流程圖;圖4是本發明應用場景中STA與AP間認i正的流程圖;圖5是本發明中STA設備的結構示意圖;圖6是本發明中STA設備的另一結構示意圖;圖7是本發明中AP設備的結構示意圖;圖8是本發明中AP設備的另一結構示意圖。
具體實施方式
本發明的核心思想在于本方案AP和STA間進行交互時,由STA直接鑒 別AP證書的合法性,AP直接鑒別STA證書的合法性。證書的合法性鑒別不 再需要第三方設備參與。具體的,如圖2所示,本發明中STA對AP的證書 進行鑒別的方法流程如圖2A所示,包括以下步驟步驟s201、 STA接收AP發送的鑒別激活報文,獲取該鑒別激活報文中攜帶的AP的證書。步驟s202、 STA對獲取到的AP的證書進行鑒別。具體的,該鑒別包括STA鑒別該AP的證書是否由信任的CA (Certification Authority,證書授:^又中心)頒發、該AP的i正書是否在有效期 內、以及所述AP的證書是否已經被吊銷。本發明中AP對STA的證書進行鑒別的流程如圖2B所示,包括以下步驟 步驟s211、 AP接收STA發送的接入鑒別請求報文,獲取該接入鑒別請 求報文中攜帶的STA的證書。步驟s212、 AP對獲取到的STA的證書進行鑒別。具體的,該鑒別包括AP鑒別該STA的證書是否由信任的CA頒發、該 STA的證書是否在有效期內、以及該STA的證書是否已經-故吊銷。以下首先詳細介紹STA對AP的證書進行鑒別的方法。 STA在接收到AP發送的鑒別激活報文后,從該鑒別激活報文中獲取AP 的證書。STA對AP的證書的鑒別包括(1.1) STA鑒別該AP的證書是否由信任的CA頒發。具體的,STA鑒別該AP的證書是否由信任的CA頒發具體包括STA檢 查證書頒發者的名稱,STA判斷該證書的頒發者是否為自己信任的CA; STA 從信任的CA的證書中獲取信任的CA的公鑰;STA使用信任的CA的公鑰驗 i正AP的證書中的CA簽名,鑒別AP的證書是否由信任的CA頒發。目前如 果STA需要,則STA可以從信任的CA上獲取到該CA的證書。(1.2) STA鑒別該AP的證書是否在有效期內。具體的,STA可以直接檢查證書的有效期字段,與當前時間進行比較, 確定該AP的證書是否在有效期內。(1.3) STA鑒別該AP的證書是否已經被吊銷。具體的,STA根據從外部服務器如CA獲取的證書吊銷列表,鑒別AP的 證書是否已經被吊銷。上述STA鑒別該AP的證書是否已經被吊銷時,需要根據CA獲取的證 書吊銷列表進行判斷。本發明中提供以下STA從CA獲取證書吊銷列表的方 法(2.1 )STA在接收到AP發送的鑒別激活報文后,通過AP開放的臨時端 口連接CA,獲取由CA提供的證書吊銷列表。該方法中,考慮到STA在通過 認證之前無法訪問網絡,即無法連接CA獲取CA提供的證書吊銷列表。因此, 由AP提供一個臨時端口 ,通過該臨時端口 ,已經與AP關聯但還沒有完成認 證的STA可以通過該臨時端口訪問CA,獲取到證書吊銷列表。另夕卜,在STA 獲取證書吊銷列表的過程中,為了保證AP不會因為STA未及時響應鑒別激 活報文導致連接斷開,可以加大鑒別激活報文的重傳時間。(2.2) STA在關聯到AP后,立即通過AP提供的臨時端口獲取由CA提 供的證書吊銷列表;獲取到列表后,向AP發送鑒別開始報文,觸發AP向STA 發送鑒別激活報文,進而獲取到AP的證書、進行對AP的證書的鑒別。該方 法中,考慮到目前STA關聯到AP后,AP會主動發送向STA發送鑒別激活 報文,如果STA這時去獲取證書吊銷列表,可能會無法及時響應該鑒別激活 報文而導致AP與STA間的連接斷開。因此,本方法中STA在關聯到AP后, 立即通過AP提供的臨時端口獲取由CA提供的證書吊銷列表;并在獲取到列 表后,向AP發送鑒別開始報文,觸發AP向STA發送鑒別激活報文,從而避 免因無法及時響應該鑒別激活報文造成的連接中斷。(2.3 ) STA在關聯到該AP前,已經獲取到由CA提供的證書吊銷列表; 該由CA提供的證書吊銷列表可以由STA定期連接到AP獲取,獲取后即可 供證書驗證時使用。以下介紹AP對STA的證書進行鑒別的方法。AP在接收到STA發送的接入鑒別請求報文后,從該接入鑒別請求報文中 獲取STA的證書。AP對STA的證書的鑒別包括(3.1) AP鑒別該STA的證書是否由信任的CA頒發。具體的,AP鑒別該STA的證書是否由信任的CA頒發具體包括AP從 信任的CA的證書中獲取信任的CA的公鑰;AP使用信任的CA的公鑰驗證 STA的證書中的CA簽名,鑒別STA的證書是否由信任的CA頒發。如果AP 需要,可以從信任的CA上獲取到該CA的證書。 (3.2 ) AP鑒別該STA的證書是否在有效期內。具體的,AP可以直接檢查證書的有效期字段,與當前時間進行比較,確 定該STA的證書是否在有效期內。(3.3 ) AP鑒別該STA的證書是否已經被吊銷。具體的,AP根據從外部服務器如CA獲取的證書吊銷列表,鑒別STA的 證書是否已經被吊銷。以下結合不同的應用場景,描述本發明中證書鑒別方法的具體實施方式
。 本發明的一應用場景中,使用本發明的證書鑒別方法時,AP與STA間的 認證過程如圖3所示。步驟s301 ~步驟s303為802.11的鏈路協商過程,STA與AP之間通過互 送信標幀或探詢幀,進行鏈路驗證與關聯。步驟s304 ~步驟s306為WAI認證過程,具體的,包括 步驟s304、 AP向STA發送鑒別激活報文,其中攜帶AP的證書。 步驟s305、 STA對AP的證書進行鑒別。當證書合法時,向AP發送接入 鑒別請求報文,其中攜帶STA的證書和簽名。該對簽名進行驗證的方法同現 有技術;對證書進行鑒別的方法見上述實施例中的描述,包括STA通過AP 提供的臨時端口獲取吊銷證書列表、并對AP證書是否已經被吊銷進行鑒別等 過程,在此不進行重復介紹。在上述STA獲取證書吊銷列表的過程中,為了 保證AP不會因為STA未及時響應鑒別激活報文導致連接斷開,可以加大鑒 別激活報文的重傳時間。步驟s306、 AP對STA的簽名進行驗證,并對SAT的證書進行鑒別。當 簽名正確且證書合法時,向STA發送接入鑒別響應報文,其中攜帶AP的簽 名。該對簽名進行驗證的方法同現有技術;對證書進行鑒別的方法見上述實施例中的描述,包括AP獲取吊銷證書列表并對STA證書是否已經被吊銷進 行鑒別等過程,在此不進行重復介紹。通過上述步驟,在不使用第三方設備用于證書鑒別的情況下,實現了 STA 與AP之間的i人ii。本發明的另一應用場景中,使用本發明的證書鑒別方法時,AP與STA間的認證過程如圖4所示。步驟s401 ~步驟s403為802.11的鏈路協商過程,STA與AP之間通過互送信標幀或探詢幀,進行鏈路驗證與關聯。步驟s404 ~步驟s407為WAI認證過程,具體的,包括步驟s404、 STA獲取到CA提供的吊銷證書列表后,向AP發送鑒別開始報文,觸發AP向其發送鑒別激活報文。該吊銷證書列表的獲取過程包括STA通過AP提供的臨時端口獲取吊銷證書列表等過程,該過程可以參考上述實施例中的描述,在此不進行重復介紹。步驟s405、 AP向STA發送鑒別激活報文,其中攜帶AP的證書。步驟s406 、 STA對AP的證書進行鑒別。當證書合法時,向AP發送接入鑒別請求報文,其中攜帶STA的證書和簽名。該對簽名進行驗證的方法同現有技術;對證書進行鑒別的方法見上述實施例中的描述,在此不進行重復介紹。步驟s407、 AP對STA的簽名進行驗證,并對SAT的證書進行鑒別。當 簽名正確且證書合法時,向SAT發送接入鑒別響應報文。該對簽名進行驗證 的方法同現有技術;對證書進行鑒別的方法見上述實施例中的描述,包括AP 獲取吊銷證書列表并對STA證書是否已經被吊銷進行鑒別等過程,在此不進 行重復介紹。本發明的另一應用場景中,使用本發明的證書鑒別方法時,由STA定期 連接到AP獲取吊銷證書列表,獲取后即可供證書驗證時使用。具體的AP與 STA間的認證過程與圖3所示的過程相似,區別在于吊銷證書列表已經預先獲取,不需要再通過AP提供的臨時端口獲取吊銷證書列表,在此不進行重復 描述。通過上述步驟,在不使用第三方設備用于證書鑒別的情況下,實現了 STA 與AP之間的認證。另外,通過加大鑒別激活報文的重傳時間的方法、或關聯 結束后由STA觸發AP向其發送鑒別激活報文的方法、或定期連接到AP獲取 吊銷證書列表的方法,避免了因STA不能及時響應鑒別激活報文造成的AP 與STA間的連接中斷。通過使用本發明實施例提供的上述方法,在STA與AP的證書認證過程 中,無需第三方設備如AS等的參與,擴展了 WAPI認證的應用。另外,該方 法減少了證書認證過程的交互,加速了證書認證過程。具體的,該方法減少 了 AP與AS間的報文交互,而且AP向STA返回的接入鑒別響應報文中不再 需要攜帶AS的證書鑒別結果。本發明還提供一種STA與AP間的證書鑒別系統,應用于STA與AP間 的證書鑒別。具體的,STA10的結構如圖5所示,包括證書獲取單元ll,用于接收AP 20發送的鑒別激活報文,獲取該鑒別激 活報文中攜帶的AP20的證書。證書鑒別單元12,用于鑒別證書獲取單元11獲取的AP20的證書。如圖6所示,具體的,證書鑒別單元12包括第一證書鑒別子單元121,用于鑒別所述AP的證書是否由信任的CA頒發。第二證書鑒別子單元122,用于鑒別AP20的證書是否在有效期內。具體 的,第二證書鑒別子單元122從信任的CA的證書中獲取信任的CA的公鑰; 并使用信任的CA的公鑰驗證所述AP的證書中的CA簽名,鑒別AP 20的證 書是否由信任的CA頒發。第三證書鑒別子單元123,用于鑒別AP20的證書是否已經被吊銷。具體 的,第三證書鑒別子單元123根據從外部服務器獲取的證書吊銷列表,鑒別 AP20的證書是否已經被吊銷。該STA10還包括證書吊銷列表獲取單元13,用于從外部服務器獲取證 書吊銷列表并提供給證書鑒別單元12的第三證書鑒別子單元123,供其鑒別 AP20的證書是否已經被吊銷。具體的,證書吊銷列表獲取單元13包括第一證書吊銷列表獲取子單元131,用于在獲取到AP20的證書后,通過 AP20提供的臨時端口 ,從外部服務器獲取證書吊銷列表;第二證書吊銷列表獲取子單元132,用于在關聯到AP20后、獲取到AP20 的證書前,通過AP20提供的臨時端口,從外部服務器獲取證書吊銷列表;第三證書吊銷列表獲取子單元133,用于在之前連接到網絡時,定期從外 部服務器獲取證書吊銷列表。該STA 10還包括觸發報文發送單元14,用于在第二證書吊銷列表獲取 子單元132從外部服務器獲取的證書吊銷列表后,向AP 20發送鑒別開始報 文,觸發AP20提供證書。具體的,AP20的結構如圖7所示,包括證書獲取單元21,用于接收STA10發送的接入鑒別請求報文,獲取接入 鑒別請求報文中攜帶的STA 10的證書。證書鑒別單元22,用于鑒別證書獲取單元21獲取的STA 10的證書。如圖8所示,該AP20還包括 具體的,證書鑒別單元22包括第一證書鑒別子單元221,用于鑒別STA IO的證書是否由信任的CA頒發;第二證書鑒別子單元222,用于鑒別STA IO的證書是否在有效期內;具體的,從信任的CA的證書中獲取信任的CA的公鑰;并使用信任的CA的公 鑰驗證STA 10的證書中的CA簽名,鑒別STA 10的證書是否由信任的CA頒 發。第三證書鑒別子單元223,用于鑒別STA IO的證書是否已經被吊銷。具 體的,第三證書鑒別子單元223根據從外部服務器獲取的證書吊銷列表,鑒 別STA 10的證書是否已經被吊銷。該AP20還包括證書吊銷列表獲取單元23,用于從外部服務器獲取證書吊銷列表并提供 給證書鑒別單元22的第三證書鑒別子單元223,供其鑒別STA 10的證書是否 已經被吊銷臨時端口設置單元24,用于設置一臨時端口以供STA 10從外部服務器獲 取證書吊銷列表。通過使用本發明實施例提供的上述設備,在STA與AP的證書認證過程 中,無需第三方設備如AS等的參與,擴展了 WAPI認證的應用。另外,該方 法減少了證書認證過程的交互,加速了證書認證過程。具體的,該設備減少 了 AP與AS間的報文交互,而且AP向STA返回的接入鑒別響應報文中不再 需要攜帶AS的證書鑒別結果。通過以上的實施方式的描述,本領域的技術人員可以清楚地了解到本發 明可借助軟件加必需的通用硬件平臺的方式來實現,當然也可以通過硬件, 但很多情況下前者是更佳的實施方式。基于這樣的理解,本發明的技術方案 本質上或者說對現有技術做出貢獻的部分可以以軟件產品的形式體現出來, 該計算機軟件產品存儲在一個存儲介質中,包括若干指令用以使得一臺終端 設備(如手機、PDA等)執行本發明各個實施例所述的方法。以上公開的僅為本發明的幾個具體實施例,但是,本發明并非局限于此, 任何本領域的技術人員能思之的變化都應落入本發明的保護范圍。
權利要求
1. 一種證書鑒別方法,其特征在于,包括STA接收AP發送的鑒別激活報文,獲取所述鑒別激活報文中攜帶的所述AP的證書;所述STA對所述AP的證書進行鑒別。
2、 如權利要求l所述的方法,其特征在于,所述STA對所述AP的證書 進行鑒別具體包括所述STA鑒別所述AP的證書是否由信任的CA頒發、所述AP的證書是 否在有效期內、以及所述AP的證書是否已經被吊銷。
3、 如權利要求2所述的方法,其特征在于,所述STA鑒別所述AP的證 書是否由信任的CA頒發具體包括所述STA從信任的CA的證書中獲取信任的CA的公鑰; 所述STA使用所述信任的CA的公鑰驗證所述AP的證書中的CA簽名, 鑒別所述AP的證書是否由信任的CA頒發。
4、 如權利要求2所述的方法,其特征在于,所述STA鑒別所述AP的證 書是否已經被吊銷具體包括所述STA在獲取到所述AP的證書后,通過所述AP提供的臨時端口,從 外部服務器獲取證書吊銷列表,鑒別所述AP的證書是否已經被吊銷;或所述STA在關聯到所述AP后、獲取到所述AP的證書前,通過所述AP 提供的臨時端口,從外部服務器獲取證書吊銷列表,鑒別所述AP的證書是否 已經凈皮吊銷;或所述STA在之前連接到網絡時,定期從外部服務器獲取證書吊銷列表, 鑒別所述AP的證書是否已經被吊銷。
5、 如權利要求4所述的方法,其特征在于,所述STA在關聯到所述AP 后、獲取到所述AP的證書前,還包括向所述AP發送鑒別開始報文,觸發所述AP提供所述AP的證書。
6、 一種STA,其特征在于,包括證書獲取單元,用于接收AP發送的鑒別激活報文,獲取所述鑒別激活報 文中攜帶的所述AP的證書;證書鑒別單元,用于鑒別所述證書獲取單元獲取的所述AP的證書。
7、 如權利要求6所述STA,其特征在于,所述證書鑒別單元包括 第一證書鑒別子單元,用于鑒別所述AP的證書是否由信任的CA頒發; 第二證書鑒別子單元,用于鑒別所述AP的證書是否在有效期內; 第三證書鑒別子單元,用于鑒別所述AP的證書是否已經被吊銷。
8、 如權利要求7所述STA,其特征在于,所述第二證書鑒別子單元具體 為,從信任的CA的證書中獲取信任的CA的公鑰;并使用所述信任的CA的 公鑰驗證所述AP的證書中的CA簽名,鑒別所述AP的證書是否由信任的CA 頒發。
9、 如權利要求7所述STA,其特征在于,還包括,證書吊銷列表獲取單元,用于從外部服務器獲取證書吊銷列表并提供給 所述第三證書鑒別子單元,供其鑒別所述AP的證書是否已經被吊銷。
10、 如權利要求9所述STA,其特征在于,所述證書吊銷列表獲取單元 包括第一證書吊銷列表獲取子單元,用于在獲取到所述AP的證書后,通過所 述AP提供的臨時端口,從外部服務器獲取證書吊銷列表;或第二證書吊銷列表獲取子單元,用于在關聯到所述AP后、獲取到所述 AP的證書前,通過所述AP提供的臨時端口,從外部服務器獲取證書吊銷列 表5或第三證書吊銷列表獲取子單元,用于在之前連接到網絡時,定期從外部 服務器獲取證書吊銷列表。
11、 如權利要求6或IO所述STA,其特征在于,還包括 觸發報文發送單元,用于在所述第二證書吊銷列表獲取子單元從外部服務器獲取證書吊銷列表后,向所述AP發送鑒別開始報文,觸發所述AP提供 所述AP的i正書。
12、 一種證書鑒別方法,其特征在于,包括AP接收STA發送的接入鑒別請求報文,獲取所述接入鑒別請求報文中攜帶的所述STA的證書;所述AP對所述STA的證書進行鑒別。
13、 如權利要求12所述的方法,其特征在于,所述AP對所述STA的證 書進行鑒別具體包括所述AP鑒別所述STA的證書是否由信任的CA頒發、所述STA的證書 是否在有效期內、以及所述STA的證書是否已經被吊銷。
14、 如權利要求13所述的方法,其特征在于,所述AP鑒別所述STA的 證書是否由信任的CA頒發具體包括所述AP從信任的CA的證書中獲取信任的CA的公鑰; 所述AP使用所述信任的CA的公鑰驗證所述STA的證書中的CA簽名, 鑒別所述STA的證書是否由信任的CA頒發。
15、 如權利要求13所述的方法,其特征在于,所述AP鑒別所述STA的 證書是否已經被吊銷具體包括所述AP根據從外部服務器獲取的證書吊銷列表,鑒別所述STA的證書 是否已經被吊銷。
16、 一種AP,其特征在于,包括證書獲取單元,用于接收STA發送的接入鑒別請求報文,獲取所述接入 鑒別請求報文中攜帶的所述STA的證書;證書鑒別單元,用于鑒別所述證書獲取單元獲取的所述STA的證書。
17、 如權利要求16所述AP,其特征在于,所述證書鑒別單元包括 第一證書鑒別子單元,用于鑒別所述STA的證書是否由信任的CA頒發; 第二證書鑒別子單元,用于鑒別所述STA的證書是否在有效期內; 第三證書鑒別子單元,用于鑒別所述STA的證書是否已經被吊銷。
18、 如權利要求16所述AP,其特征在于,所述第二證書鑒別子單元具 體為,從信任的CA的證書中獲取信任的CA的公鑰;并使用所述信任的CA 的公鑰驗證所述STA的證書中的CA簽名,鑒別所述STA的證書是否由信任 的CA頒發。
19、 如權利要求16或17所述AP,其特征在于,還包括證書吊銷列表獲取單元,用于從外部服務器獲取證書吊銷列表并提供給 所述第三證書鑒別子單元,供其鑒別所述STA的證書是否已經被吊銷。
20、 如權利要求16所述AP,其特征在于,還包括臨時端口設置單元,用于設置一臨時端口以供所述STA從外部服務器獲 取證書吊銷列表。
全文摘要
本發明公開了一種證書鑒別方法和設備。該方法中,AP和STA間進行交互時,由STA直接鑒別AP證書的合法性,AP直接鑒別STA證書的合法性,證書的合法性鑒別不再需要第三方設備參與。通過使用本發明,在STA與AP的證書認證過程中,無需第三方設備如鑒權服務器AS等的參與,擴展了WAPI認證的應用。另外,該方法減少了證書認證過程的交互,加速了證書認證過程。
文檔編號H04L9/30GK101282215SQ20081011076
公開日2008年10月8日 申請日期2008年5月29日 優先權日2008年5月29日
發明者蔡自彬 申請人:杭州華三通信技術有限公司