獲取無線局域網鑒別和保密基礎結構證書的方法及系統的制作方法

專利名稱：獲取無線局域網鑒別和保密基礎結構證書的方法及系統的制作方法
技術領域：
本發明涉及無線局域網技術領域，尤其涉及一種獲取無線局域網鑒別和 保密基礎結構證書的方法及系統。
背景技術：
WAPI ( WLAN Authentication and Privacy Infrastructure,無纟戔局i或網鑒 別和保密基礎結構)是中國提出的以802.11無線協議為基礎的無線安全標 準。WAPI協議包括兩個部分WAI ( WLAN Authentication Infrastructure, 無線局域網鑒別基礎結構)和WPI ( WLAN Privacy Infrastructure ，無線局域 網保密基礎結構。WAI是用于無線局域網中身份鑒別和密鑰管理的安全方 案。WPI是用于無線局域網中數據傳輸保護的安全方案，包括數據加密、數 據鑒別和重放保護等功能。
典型的WAPI系統主要包括鑒別器實體(AE)、鑒別請求者實體(ASUE) 和鑒別服務器實體(ASE),其中
鑒別請求者實體是在接入服務之前請求進行鑒別操作的實體，駐留在 STA(無線客戶端)中，可以理解為終端。
鑒別器實體為鑒別請求者實體在接入服務之前提供鑒別操作， 一般駐留 在AP (接入點)或STA中。
鑒別服務器實體為鑒別器實體和鑒別請求者實體提供相互鑒別的服務。
WAPI的過程主要包括終端與AP進行802.11鏈路協商后，AP為該 終端發起WAI鑒別過程，配合鑒別服務器完成與終端的雙向認證。通過認 證后，AP發起與終端的密鑰協商，并使用協商出的密鑰通過WPI向該用戶 提供加密和解密服務。
鑒別器實體通過兩類方式支持WAI鑒別及密碼管理， 一類是基于證書的方式， 一類是基于共享密鑰的方式。當采用基于證書的方式時，鑒別請求 者實體所在的終端在發送給鑒別器實體的接入鑒別請求中，需要附帶自己的
WAPI證書，鑒別器實體根據接入鑒別請求中的字段，決定由其自身完成
WAPI證書的驗證還是交由鑒別服務單元完成驗證，進而對鑒別請求者實體 進行認證。
WAPI與7>開密鑰基礎^殳施(Public key Infrastructure , PKI)相似， WAPI系統中的鑒別服務單元與PKI中的認證中心(Certificate Authority, CA)的作用相同，當WAI采用乂.509￥3證書時，鑒別服務單元也必須具有 與CA相同的證書申請、簽發、定期發布證書失效列表和響應用戶證書吊銷 等功能。WAPI中終端采用離線方式獲取證書和對應的私有密鑰，需要人工 使用存儲設備保存證書，再將保存的證書存儲到終端中，證書在有效期滿失 效后，用戶還需要再次通過離線方式完成證書更新，使用非常不便。

發明內容
本發明要解決的技術問題是提供一種獲取WAPI證書的方法及系統，解 決采用離線方式獲取證書不方便的問題，實現終端便捷地獲取WAPI證書。
為解決上述技術問題，本發明的 一種獲取無線局域網鑒別和保密基礎結 構i正書的方法，包才舌
終端向鑒別服務器發送證書下發請求；
鑒別服務器根據接收到的證書下發請求中攜帶的終端的用戶帳號查找 用戶的無線局域網鑒別和保密基礎結構WAPI證書，并將查找到的WAPI 證書發送給終端。
進一步地，終端通過IP多媒體子系統IMS核心網向鑒別服務器發送證 書下發請求，鑒別服務器通過IMS核心網將查找到的WAPI證書發送給終
端o
進一步地，終端通過IMS核心網向鑒別服務器發送證書下發請求的過 程包括
終端將證書下發請求發送給IMS核心網的注冊服務器；注冊服務器接收到證書下發請求后，從IMS核心網的歸屬用戶服務器
HSS中查詢終端的鑒別服務器地址，根據查詢到的鑒別服務器地址將證書下 發請求轉發給鑒別服務器。
進一步地，鑒別服務器通過IMS核心網將查找到的WAPI證書發送給 終端的過程包括
鑒別服務器將查找到的WAPI證書發送給注冊服務器；
注冊服務器將接收到的WAPI證書轉發給終端。
進一步地，注冊服務器從HSS查詢終端的鑒別服務器地址的過程包括
注冊服務器向HSS發送查詢消息，在查詢消息中攜帶終端的用戶帳號；
HSS接收到查詢消息后，從保存的用戶帳號與鑒別服務器地址的對應關 系中查找終端的鑒別服務器地址，并將查找到的地址發送給注冊服務器。
進一步地，終端采用HTTP GET消息作為"i正書下發請求；
鑒別服務器通過HTTP 200 OK響應消息將WAPI證書發送給終端，終 端解析接收到的HTTP 200 OK響應消息，獲得WAPI證書。
進一步地， 一種獲取無線局域網鑒別和保密基礎結構證書的系統，包括 終端和鑒別服務器，其中，
終端，用于向鑒別服務器發送證書下發請求；
鑒別服務器，用于根據接收到的證書下發請求中攜帶的終端的用戶帳號 查找用戶的WAPI證書，并將查找到的WAPI證書發送給終端。
進一步地，該系統還包括IMS核心網的注冊服務器和HSS,終端向鑒 別服務器發送證書下發請求的過程為
終端將證書下發請求發送給IMS核心網的注冊服務器；
注冊服務器接收到證書下發請求后，從IMS核心網的HSS中查詢終端 的鑒別服務器地址，根據查詢到的鑒別服務器地址將證書下發請求轉發給鑒 別服務器。
進一步地，鑒別服務器將查找到的WAPI證書發送給終端的過程為 鑒別服務器將查找到的WAPI證書發送給注冊服務器；注冊服務器將接收到的WAPI證書轉發給終端。
進一步地，注冊服務器從HSS查詢終端的鑒別服務器地址的過程包括
注冊服務器向HSS發送查詢消息，在查詢消息中攜帶終端的用戶帳號；
HSS接收到查詢消息后，從保存的用戶帳號與鑒別服務器地址的對應關 系中查找終端的鑒別服務器地址，并將查找到的地址發送給注冊服務器。
綜上所述，本發明在終端進行第一次證書鑒別之前，通過3G(第三代 移動通信技術)RAN (接入網)接入IMS (IP多媒體子系統)網絡，通過 IMS網絡與鑒別服務器進行信令交互獲得WAPI證書，本發明避免了用戶通 過離線方式獲取證書的不便，并簡化了用戶和運營商的證書管理流程，終端 可以在后臺運行獲取證書的過程，從而提升了用戶體驗。


圖1為本發明獲取WAPH正書的方法的交互圖； 圖2為本發明獲取WAPI證書的系統的架構圖。
具體實施例方式
IP多媒體子系統是一組規范，用于描述下一代網絡(NGN)的體系結 構，NGN用于實現基于IP的電話和多媒體服務。IMS定義了一套完整的體 系結構和框架，允許在基于IP的基礎設施上對聲音、視頻、數據和移動網 絡技術進行聚合，其采用SIP (會話初始協議)，具有與接入無關的特性。
本發明中，終端通過3G RAN接入IMS網絡并在注冊成功后，向注冊 服務器發送HTTP消息獲取WAPI證書，注冊服務器接收到HTTP消息后， 將其轉發給終端對應的鑒別服務器，鑒別服務器向注冊服務器返回WAPI 證書，注冊服務器將WAPI證書轉發給終端，終端接收到WAPI證書后，即 可進行與AP或鑒別服務器的證書鑒別過程。
下面結合附圖對本發明的具體實施方式
進行說明。為保證終端能夠通過IMS系統請求鑒別服務器下發WAPI證書，需要 在IMS核心網的歸屬用戶服務器(HSS )中配置用戶帳號與鑒別服務器地址 的對應關系，并在終端內配置IMS網絡的注冊服務器的地址、端口以及本 地端口等信息。
圖1所示為本發明中終端獲取WAPI證書的方法，包括如下步驟
101:終端通過3G RAN接入IMS后，向IMS核心網的注冊服務器發送 注冊請求消息(SIP REGISTER消息)，請求進行注冊；
102:注冊服務器接收到注冊請求消息后，向終端返回401應答消息， 要求對終端進行鑒權；
103:終端接收到401應答消息后，根據401應答消息中攜帶的鑒權字 段計算出鑒權信息，將鑒權信息通過SIP REGISTER (SIP注冊)消息發給 注冊服務器；
104:注冊服務器接收到攜帶鑒權信息的SIP REGISTER消息后，根據 鑒權信息對終端進行鑒權，如果對終端鑒權成功，則向終端返回200 OK消 息，通知終端注冊成功；
105:終端接收到200 OK消息后，向注冊服務器發送證書下發請求 (HTTPGET消息)，請求注冊服務器下發證書，在證書下發請求中攜帶用 戶帳號；
106:注冊服務器接收到證書下發請求后，向HSS發送查詢消息，查詢 該終端對應的鑒別服務器地址，在查詢消息中攜帶用戶帳號；
107: HSS接收到查詢消息后，在用戶帳號與鑒別服務器地址的對應關 系中查找終端的鑒別服務器地址，查找到對應的鑒別服務器地址后，將地址 發送給注冊服務器；
若HSS沒有查找到對應的鑒別服務器地址，則向注冊服務器返回錯誤 消息，注冊服務器向終端返回獲取證書失敗的應答。
108:注冊服務器根據接收到的鑒別服務器地址向鑒別服務器轉發證書 下發請求；
109:鑒別服務器將接收到的證書下發請求轉發給其證書管理模塊，其證書管理模塊根據用戶帳號查找對應的WAPI證書，通過HTTP 200 OK響 應消息將WAPI證書發送給注冊〗l務器；
如果證書管理才莫塊未查找到終端的WAPI證書，則將HTTP 200 OK響 應消息中的Content-Length (內容-長度)字段的值置為0，發送給注冊服務 器。
110:注冊服務器接收到HTTP200OK消息后，將該消息轉發至終端；
111:終端接收到HTTP200OK消息后，調用其證書管理模塊對該消息 進行解析獲取到WAPI證書，可以發起與AP的接入鑒別流程。
圖2所示為本發明獲取WAPI證書的系統，包括終端、IMS核心網和 鑒別服務器，IMS核心網包括注冊服務器和HSS，其中
終端，用于向注冊服務器發送注冊請求消息(SIP REGISTER消息)， 請求進行注冊；在接收到401應答消息后，根據401應答消息中攜帶的鑒權 字段計算出鑒權信息，將鑒權信息通過SIP REGISTER消息發給注冊服務 器；在接收到200 OK消息后，向注冊服務器發送證書下發請求(HTTP GET 消息)，請求注冊服務器下發證書，在證書下發請求中攜帶用戶帳號；接收 到HTTP 200 OK消息后，調用證書管理單元對該消息進行解析獲取到WAPI 證書。
注冊服務器，用于在接收到注冊請求消息后，向終端返回401應答消息， 要求對終端進行鑒權；接收到攜帶鑒權信息的SIP REGISTER消息后，根據 鑒權信息對終端進行鑒權，如果對終端鑒權成功，則向終端返回200OK消 息，通知終端注冊成功；接收到證書下發請求后，向HSS發送查詢消息， 查詢該終端對應的鑒別服務器的地址；在接收到鑒別服務器地址后，根據地 址向鑒別服務器轉發證書下發請求；在接收到HSS的錯誤消息后，向終端 返回獲取證書失敗的應答；接收到HTTP 200 OK消息后，將該消息轉發至 終端。
HSS,用于保存用戶帳號與鑒別服務器地址的對應關系；在接收到查詢 消息后，在用戶帳號與鑒別服務器地址的對應關系中查找終端的鑒別服務器地址，查找到對應的鑒別服務器地址后，將地址發送給注冊服務器；若沒有 查找到對應的鑒別服務器地址，則向注冊服務器返回錯誤消息。
鑒別服務器，用于將接收到的證書下發請求轉發給其證書管理模塊，其 證書管理模塊根據用戶帳號查找對應的WAPI證書，通過HTTP 200 OK響 應消息將WAPI證書發送給注冊服務器；如果未查找到終端的WAPI證書， 則將HTTP200OK響應消息中的Content-Length字段的值置為0,發送給注 冊服務器。
以上所述，僅為本發明較佳的具體實現方式，但本發明的保護范圍并不 局限與此，任何熟悉該技術的人，在本發明所揭露的技術范圍內，可輕易想 到的變化或替換，都應涵蓋在本發明的保護范圍之內。
權利要求
1、一種獲取無線局域網鑒別和保密基礎結構證書的方法，包括終端向鑒別服務器發送證書下發請求；所述鑒別服務器根據接收到的證書下發請求中攜帶的終端的用戶帳號查找用戶的無線局域網鑒別和保密基礎結構WAPI證書，并將查找到的WAPI證書發送給所述終端。
2、 如權利要求l所述的方法，其特征在于，所述終端通過IP多媒體子 系統IMS核心網向鑒別服務器發送所述證書下發請求，所述鑒別服務器通 過所述IMS核心網將所述查找到的WAPI證書發送給所述終端。
3、 如權利要求2所述的方法，其特征在于，所述終端通過IMS核心網 向鑒別服務器發送所述證書下發請求的過程包括所述終端將所述證書下發請求發送給所述IMS核心網的注冊服務器；所述注冊服務器接收到所述證書下發請求后，從所述IMS核心網的歸 屬用戶服務器HSS中查詢所述終端的鑒別服務器地址，根據查詢到的所述 鑒別服務器地址將所述證書下發請求轉發給所述鑒別服務器。
4、 如權利要求3所述的方法，其特征在于，所述鑒別服務器通過所述 IMS核心網將所述查找到的WAPI證書發送給所述終端的過程包括所述鑒別服務器將所述查找到的WAPI證書發送給所述注冊服務器；所述注冊服務器將接收到的WAPI證書轉發給所述終端。
5、 如權利要求3所述的方法，其特征在于，所述注冊服務器從所述HSS 查詢所述終端的鑒別服務器地址的過程包括所述注冊服務器向所述HSS發送查詢消息，在查詢消息中攜帶所述終 端的用戶帳號；所述HSS接收到所述查詢消息后，從保存的用戶帳號與鑒別服務器地 址的對應關系中查找所述終端的鑒別服務器地址，并將查找到的地址發送給 所述注冊服務器。
6、 如權利要求4所述的方法，其特征在于，所述終端采用HTTP GET消息作為所述證書下發請求；所述鑒別服務器通過HTTP 200 OK響應消息將所述WAPI證書發送給 所述終端，所述終端解析接收到的所述HTTP 200 OK響應消息，獲得所述 WAPI證書。
7、 一種獲取無線局域網鑒別和保密基礎結構證書的系統，包括終端 和鑒別服務器，其中，所述終端，用于向所述鑒別服務器發送證書下發請求；所述鑒別服務器，用于根據接收到的證書下發請求中攜帶的終端的用戶 帳號查找用戶的WAPI證書，并將查找到的WAPI證書發送給所述終端。
8、 如權利要求7所述的系統，其特征在于，該系統還包括IMS核心 網的注冊服務器和HSS,所述終端向所述鑒別服務器發送證書下發請求的過 程為所述終端將所述證書下發請求發送給所述IMS核心網的注冊服務器；所述注冊服務器接收到所述證書下發請求后，從所述IMS核心網的HSS 中查詢所述終端的鑒別服務器地址，根據查詢到的所述鑒別服務器地址將所 述證書下發請求轉發給所述鑒別服務器。
9、 如權利要求8所述的系統，其特征在于，所述鑒別服務器將查找到 的WAPI證書發送給所述終端的過程為所述鑒別服務器將所述查找到的WAPI證書發送給所述注冊服務器；所述注冊服務器將接收到的WAPI證書轉發給所述終端。
10、 如權利要求8所述的系統，其特征在于，所述注冊服務器從所述 HSS查詢所述終端的鑒別服務器地址的過程包括所述注冊服務器向所述HSS發送查詢消息，在查詢消息中攜帶所述終 端的用戶帳號；所述HSS接收到所述查詢消息后，從保存的用戶帳號與鑒別服務器地 址的對應關系中查找所述終端的鑒別服務器地址，并將查找到的地址發送給 所述注冊服務器。
全文摘要
本發明公開了一種獲取無線局域網鑒別和保密基礎結構證書的方法，包括終端向鑒別服務器發送證書下發請求；鑒別服務器根據接收到的證書下發請求中攜帶的終端的用戶帳號查找用戶的無線局域網鑒別和保密基礎結構WAPI證書，并將查找到的WAPI證書發送給終端。本發明在終端進行第一次證書鑒別之前，通過3G RAN接入IMS網絡，通過IMS網絡與鑒別服務器進行信令交互獲得WAPI證書，本發明避免了用戶通過離線方式獲取證書的不便，并簡化了用戶和運營商的證書管理流程，終端可以在后臺運行獲取證書的過程，從而提升了用戶體驗。
文檔編號H04L29/06GK101540679SQ20091013617
公開日2009年9月23日 申請日期2009年4月30日 優先權日2009年4月30日
發明者康望星, 施元慶, 梁潔輝 申請人:中興通訊股份有限公司