Wapi终端证书的管理方法、装置及系统的制作方法
专利名称:Wapi终端证书的管理方法、装置及系统的制作方法
技术领域:
本发明涉及通信领域,具体而言,涉及一种WAPI终端证书的管理方法、装置及系 统。
背景技术:
为了解决无线局域网国际标准IS0/IEC 802. 11中定义的有线等效保密 (Wired Equivalent Privacy,简称为TOP)安全机制存在的安全漏洞,我国颁布了无线 局域网国家标准及其第一号修改单,该标准采用无线局域网认证与保密基础结构(WLAN Authenticationand Privacy Infrastructure,简称为 WAPI)替代 WEP,解决无线局域网的 安全问题。
WAPI由无线局域网鉴别基础结构(WLAN Authenticationlnfrastructure,简称为 WAI)和无线局域网保密基础结构(WLANPrivacy Infrastructure,简称为WPI)组成。其中, WAI采用了公开密钥加密技术,用于终端与接入点之间互相身份鉴别;WPI采用国家密码管 理委员会办公室批准的用于WLAN的对称密码算法实现数据保护,对MAC子层的MAC服务数 据单元(MAC Service DataUnit,简称为MSDU)进行加、解密处理。
图1是根据相关技术的WAPI基础结构的结构示意图,如图1所示,包括接入 点(Access Point,简称为AP)是指任何一个具备站点功能,通过无线媒体为关联的站点 提供访问分布式服务的实体;鉴别请求者实体(Authentication Supplicant Entity,简 称为ASUE)是在接入服务之前请求进行鉴别操作的实体,该实体主要设置在终端内;鉴别 器实体(Authenticator Entity,简称为AE)为鉴别请求者在接入服务之前提供鉴别操作 的实体,该实体主要设置在接入点内;鉴别服务单元(Authentication Service Unit,简 称为ASU)的基本功能是实现对用户证书的管理和用户身份的鉴别等,是基于公开密钥密 码技术的WAI鉴别基础结构中重要的组成部分;鉴别服务实体(Authentication Service Entity,简称为ASE)为鉴别器和鉴别请求者提供身份鉴别服务的实体,该实体驻留在ASU 中。其中,用户证书为公开密钥证书,它是WAI系统构造中重要的环节。公开密钥证书是网 络用户的数字身份凭证,通过私有密钥验证可以唯一地确定网络用户的身份。
站点通过两类方式支持WAI鉴别及密码管理,一是基于证书的方式,一是基于共 享密钥的方式。两种类型内按照网络类型分为基本服务组(Basic Service Set,简称为 BSS)下认证与独立基本服务组(Incbpendent Basic Service Set,简称为IBSS)下认证。 当采用基于证书的方式时,鉴别请求者实体所在的站点,即终端在接入鉴别请求中,需要附 带自己的证书,鉴别器实体会根据请求中字段,决定是由他自己完成证书验证还是交由鉴 别服务单元完成验证,以此完成接入点对鉴别请求者的认证。
WAPI可以看作是无线局域网中的公开密钥基础设施(PublicKey Infrastructure,简称为PKI),鉴别服务单元起到了 PKI中的认证中心(Certificate Authority,简称为CA)的作用,当WAI采用基于Χ. 509v3的证书时,鉴别服务单元也必须具 有CA有关证书申请、签发、定期发布证书失效列表、响应用户证书吊销等功能。
4[0007]—般地,PKI中用户申请或注销证书以及对应的私有密钥都采用离线、外带的方式 进行,以避免在传输过程中被窃取、篡改。证书在有效期满后失效,用户也必须主动通过离 线方式完成本地证书更新,非常不方便。
因此,针对用户申请证书及私有密钥必须采用效率较低的离线方式的问题,相关 技术中尚未提出有效的解决方案。
发明内容
考虑到相关技术中用户申请证书及私有密钥必须采用离线方式的问题而提出本 发明,为此,本发明的主要目的在于提供一种WAPI终端证书的管理方法、装置及系统,以解 决相关技术中存在的上述问题至少之一。
为了实现上述目的,根据本发明的一个方面,提供了一种WAPI终端证书的管理方 法,用于基于SIP管理WAPI终端的公开密钥证书。
根据本发明的管理方法包括:WAPI鉴别服务器和WAPI终端协商会话密钥;WAPI 鉴别服务器接收来自WAPI终端的订阅请求消息,其中,订阅请求消息用于非首次请求WAPI 终端的公开密钥证书和私有密钥;WAPI鉴别服务器向WAPI终端发送携带有加密的公开密 钥证书和私有密钥的通知消息,以供WAPI终端进行更新,其中,利用会话密钥加密公开密 钥证书和私有密钥。
优选地,在WAPI鉴别服务器和WAPI终端协商会话密钥之前,该方法还包括接入 点对WAPI终端进行接入鉴别,并在WAPI终端通过鉴别的情况下,允许WAPI鉴别服务器和 WAPI终端协商会话密钥。
优选地,WAPI鉴别服务器和WAPI终端协商会话密钥的处理包括WAPI鉴别服务器 接收来自WAPI终端的注册请求消息,其中,注册请求消息中携带有WAPI终端生成的第一随 机数;WAPI鉴别服务器向WAPI终端发送注册拒绝消息,其中,注册拒绝消息中携带有WAPI 鉴别服务器生成的第二随机数;WAPI鉴别服务器接收来自WAPI终端的新的注册请求消息, 在注册成功的情况下,WAPI鉴别服务器和WAPI终端根据第一随机数和第二随机数计算会 话密钥,其中,会话密钥为第二随机数与第一随机数做串接后进行哈希运算得到。
优选地,WAPI终端发送的第一随机数由WAPI终端利用WAPI鉴别服务器的公开密 钥加密。
优选地,WAPI鉴别服务器发送的第二随机数由WAPI鉴别服务器利用WAPI终端的 公开密钥加密。
优选地,在WAPI鉴别服务器向WAPI终端发送通知消息之后,该方法进一步包括 WAPI终端接收通知消息,利用会话密钥解密公开密钥证书和私有密钥,并利用解密的公开 密钥证书和私有密钥更新WAPI终端本地的公开密钥证书和私有密钥。
优选地,在WAPI终端的公开密钥证书为非法或失效的情况下,在WAPI鉴别服务 器吊销WAPI终端的公开密钥证书,具体包括WAPI鉴别服务器向WAPI终端发送用于吊 销WAPI终端的公开密钥证书的通知消息,以通知WAPI终端重新进行接入鉴别,其中,吊销 WAPI终端的公开密钥证书的通知消息的消息体的长度被配置为0。
优选地,在WAPI鉴别服务器和WAPI终端协商会话密钥之前,该方法还包括WAPI 鉴别服务器向公共认证中心预先请求获取、或由WAPI鉴别服务器预先保存公开密钥证书
5和所述私有密钥。
根据本发明的另一方面,还提供了一种WAPI终端证书的管理装置,该装置设置于 WAPI鉴别服务器。
根据本发明的管理装置包括协商模块,用于和WAPI终端协商会话密钥;接收模 块,用于接收来自WAPI终端的订阅请求消息,其中,订阅请求消息用于非首次请求WAPI终 端的公开密钥证书和私有密钥;加密模块,用于利用会话密钥加密公开密钥证书和私有密 钥;发送模块,用于向WAPI终端发送携带有加密的公开密钥证书和私有密钥的通知消息, 以供WAPI终端进行更新。
根据本发明的再一方面,还提供了一种WAPI终端证书的管理系统。
根据本发明的管理系统包括:WAPI鉴别服务器、WAPI终端,其中,WAPI鉴别服务器 包括第一接收模块,用于接收来自WAPI终端的订阅请求消息,其中,订阅请求消息用于非 首次请求WAPI终端的公开密钥证书和私有密钥;加密模块,用于利用预先生成的会话密钥 加密公开密钥证书和私有密钥;第一发送模块,用于向WAPI终端发送携带有加密的公开密 钥证书和私有密钥的通知消息,以供WAPI终端进行更新;WAPI终端包括第二发送模块,用 于向WAPI鉴别服务器发送订阅请求消息;第二接收模块,用于接收来自WAPI鉴别服务器的 携带有加密的公开密钥证书和私有密钥的通知消息;解密模块,用于利用预先生成的会话 密钥解密加密的公开密钥证书和私有密钥;更新模块,用于利用解密的公开密钥证书和私 有密钥更新WAPI终端本地的公开密钥证书和私有密钥。
借助于本发明的上述技术方案,通过预先协商会话密钥并利用该会话密钥加密终 端的公钥证书和私钥,并将WAPI终端的公钥证书和私钥使用SIP机制发送至WAPI终端,能 够采用在线方式更新用户证书,解决了离线申请证书及私有密钥所导致的处理效率低的问 题,提高了工作效率和用户体验。
此处所说明的附图用来提供对本发明的进一步理解,构成本申请的一部分,本发 明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中
图1是根据相关技术的WAPI基础结构的结构示意图;
图2是根据本发明实施例的WAPI鉴别服务器和WAPI终端的结构的示意图;
图3是根据本发明实施例的WAPI终端证书的管理方法的流程图;
图4是根据本发明实施例的WAPI终端生成会话密钥流程的流程图;
图5是根据本发明实施例的WAPI鉴别服务器生成会话密钥流程的流程图;
图6是根据本发明实施例的WAPI终端对订阅及通知消息处理的流程图;
图7是根据本发明实施例的WAPI鉴别服务器对订阅及通知消息处理的流程图;
图8是根据本发明实施例的WAPI鉴别服务器获取WAPI终端证书的结构示意图;
图9是根据本发明实施例的WAPI终端证书的管理方法的SIP信令处理的流程图;
图10是根据本发明实施例的WAPI终端证书的管理装置的框图;
图11是根据本发明实施例的WAPI终端证书的管理系统的框图。
具体实施方式
功能概述
本发明的主要思想是本发明提出一种由扩展的服务器证书管理单元主动发送证 书,由扩展的终端证书管理模块自动更新证书的技术方案。用户无需通过离线方式进行操 作。扩展的服务器证书管理功能,引入会话初始协议(Session Initiation Protocol,简 称为SIP),用户可以利用SIP中的Subscribe消息(订阅消息)完成对自己公有密钥(公 钥)证书的订阅,当证书管理单元更新证书并重新分配私有密钥时,可以根据用户订阅,通 过SIP的Notify消息(通知消息),发送证书及私有密钥。用户第一次使用终端时的证书 和私有密钥(私钥),仍然是通过离线方式申请。在终端完成接入鉴别之后,SIP信令均在 已经加密的数据通道上进行,避免了证书与密码遭窃听的可能。采用根据本发明实施例的 技术方案,用户无需在每次更新证书时都采用离线方式,无需主动操作,提高了用户体验; 运营商的证书维护工作也可以节省大量时间,更新过程交由SIP的订阅及通知机制自动完 成,提高了处理效率。
以下结合附图对本发明的优选实施例进行说明,应当理解,此处所描述的优选实 施例仅用于说明和解释本发明,并不用于限定本发明。如果不冲突,本发明实施例及实施例 中特征可以相互组合。
方法实施例
根据本发明实施例,提供了一种WAPI终端证书的管理方法。
图2是根据本发明实施例的WAPI鉴别服务器和WAPI终端的结构的示意图,如图 2所示,在WAPI终端增加证书管理单元,此功能单元实现了 SIP客户端功能,WAPI服务器和 WAPI终端通过端口 5060收发SIP消息,实现基于SIP协议的注册、订阅与通知处理功能;
WAPI鉴别服务器包括鉴别请求服务单元和服务器证书管理单元,服务器侧证书 管理单元作为终端的SIP注册服务器,实现了 SIP服务器部分功能,在端口 5060上收发SIP 消息,接收处理终端的基于SIP协议的注册和订阅请求、向WAPI终端发送基于SIP协议的 通知消息。SIP消息基于用户数据报协议(User DatagramProtocol,简称为UDP)或传输控 制协议(Transmission ControlProtocol,简称为 TCP)的方式传输。
在进行根据本发明实施例所提供的方法之前,AP对WAPI终端进行接入鉴别,在 WAPI终端通过鉴别的情况下,允许WAPI终端接入AP。AP与终端之间协商生成单播会话密 钥,此会话密钥能够确保WAPI终端与AP之间的数据传输的安全。
图3是根据本发明实施例的WAPI终端证书的管理方法的流程图。需要说明的是, 在以下方法中描述的步骤可以在诸如一组计算机可执行指令的计算机系统中执行,并且, 虽然在图3中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出 或描述的步骤。如图3所示,该方法包括以下处理
步骤S302,WAPI鉴别服务器和WAPI终端协商会话密钥;
步骤S304,WAPI鉴别服务器接收来自WAPI终端的订阅请求消息,其中,订阅请求 消息用于非首次请求WAPI终端的公开密钥证书和私有密钥;
步骤S306,WAPI鉴别服务器向WAPI终端发送携带有加密的公开密钥证书和私有密 钥的通知消息,以供WAPI终端进行更新,其中,利用会话密钥加密公开密钥证书和私有密钥。
基于上述处理,WAPI终端可以进行在线方式的证书更新。
7[0049]下面详细描述上述各处理的细节。
( 一 )步骤 S302
首先,WAPI终端随机生成一个128位随机数rancLasue (第一随机数),利用WAPI 鉴别服务器发布的公开密钥证书中的公开密钥和公开密钥算法,加密rancLasue并将结果 作为SIP注册消息中新增头域字段Cert-Rand的值,随即终端向WAPI服务器发送此SIP注 册请求消息。
其次,AP将请求消息转发给WAPI服务器上的服务器证书管理单元,后者接收该注 册请求消息,并利用其私有密钥和公开密钥算法解密Cert-Rand字段中的rancLasue ;再随 机生成一个128位随机数rancLca (第二随机数),并利用WAPI终端的公开密钥对rancLca 进行公开钥密加密运算,将结果作为注册拒绝消息(401)中的ffffW-Authentication头域中 nonce参数的值,将该注册拒绝消息发送WAPI到WAPI终端。
之后,WAPI终端接收该注册拒绝消息,并从ffffW-Authentication中提取nonce 参数及其他参数,利用WAPI终端的私有密钥将nonce解密得到rand_ca,再利用此头域 所示鉴权算法,进行摘要(Digest)计算,此处用户名可以使用用户的电话号码,密码可以 为之前通过随机数生成得到的rancLasue。Digest计算结果用来赋值新的注册请求中 Authorization头域中response参数值,WAPI终端向WAPI鉴别服务器发送新的注册请求 消息。
WAPI鉴别服务器收到新的注册请求后,利用参数做Digest计算并将结果与 response参数值比较,如果结果一致,则WAPI鉴别服务器向WAPI终端返回2000K消息。 注册成功后WAPI终端的证书管理单元与WAPI鉴别服务器上的证书管理单元使用同样的 SHA-128杂凑算法,以rancLca后串接rancLasue的结果为输入,计算出128位长度的会话 密钥。
下面结合附图详细描述步骤S302。图4是根据本发明实施例的用户证书管理单元 生成会话密钥流程的流程图,如图4所示,该流程包括
S402, WAPI终端完成接入鉴别过程与单播密钥协商;
S404, WAPI 终端生成 128 位随机数 rand_asue ;
S406, WAPI终端用WAPI服务器的公钥加密rand_asue,给Cert-Rand赋值;
S408, WAPI终端发送SIP注册请求;
S410, WAPI终端收到注册失败响应,利用其私钥解密nonce字段,得到rancLca ;
S412,WAPI终端使用失败响应中指定算法计算摘要,用户名为号码,密码为rand_ asue ;
S414,WAPI终端用摘要赋值response字段并重新发送注册请求;
S416,WAPI终端接收到注册成功响应后,rand_ca与rand_asue做串接后进行 SHA-128计算,生成会话密钥,此会话密钥用于解密通知消息中加密的证书与密钥信息。
图5是根据本发明实施例的服务器证书管理单元生成会话密钥流程的流程图,如 图5所示,该流程包括
S502,WAPI鉴别服务器接收SIP注册请求利用自己的私钥解密得到ruar^asue,并 产生随机数rancLca ;
S504, WAPI鉴别服务器利用终端用户的公钥加密rand_Ca,给注册失败响应中
8Wffff-Authenticate头域中nonce赋值,并回送失败消息;
S506,WAPI鉴别服务器接收到新的注册消息,解析Authorization字段中参数,计 算摘要,将结果与response字段比较,返回成功或失败消息;
S508,如果成功,则WAPI鉴别服务器将rancLca与rancLasue做串接后进行 SHA-128计算,生成会话密钥,此会话密钥用于加密通知消息中携带的证书与密钥信息。
图4和图5所示的流程对应于图3中的步骤S302。
( 二 )步骤 S304 至 S306
在WAPI终端成功完成SIP注册后,随即发起证书订阅请求,向WAPI终端鉴别服务 器的证书管理单元发送SIP Subscribe消息,服务器证书管理单元根据用户的身份标识找 到其当前有效的公开密钥证书和私有密钥,通过Notify消息发送至WAPI终端,公钥证书与 私有密钥先通过XML格式组合,再通过会话密钥进行加密。
WAPI终端解密证书及密钥信息后,对比本地备份证书与私有密钥,如果不一致则 发起AP去关联操作并重新发起AP关联,关联过程中进行基于新的证书的鉴别过程。
需要说明,Subscribe可以通过头域字段Event指示事件类型,本发明对事件命名 不做具体限定,例如可定义为cert-event ;头域字段Accept指示通知消息中消息体格式, 本发明对格式命名不做具体限定,例如此处可以定义为application/cert-info,用于定义 加密后的证书和密钥内容;本发明对证书与密码的基于XML的格式不做具体限定,Notify 消息中的头域字段Event和Content-Type将分别使用Subscribe中Event与Accept头 域所对应的值。用户证书管理单元在收到Notify消息时,判断这两个头域字段,并根据 Content-Type类型和具体的证书、私有密码组合方式解析内容。
下面结合附图详细描述步骤S304至S306。图6是根据本发明实施例的WAPI终端 对订阅及通知消息处理的流程图,如图6所示,该流程包括
S602, WAPI终端得到成功注册响应;
S604, WAPI终端生成订阅请求消息并发送至WAPI鉴别服务器;
S606, WAPI终端接收到来自WAPI鉴别服务器的订阅成功消息(2000K),准备处理 证书通知消息;
S608, WAPI终端判断通知消息体是否为空,如果不是则执行步骤S610,否则执行 步骤S614 ;
S610,WAPI终端利用预先生成的会话密钥通过常规加密算法解密证书及密钥信 息;
S612,WAPI终端判断是否证书已更新,如更新则重新发起接入鉴别流程。
S614,WAPI终端的订阅证书已被吊销,重新发起接入鉴别流程。
图7是根据本发明实施例的服务器证书管理单元对订阅及通知消息处理的流程 图,如图7所示,该流程包括
S702, WAPI鉴别服务器接收来自WAPI终端的订阅请求消息;
S704,如果WAPI鉴别服务器接受订阅,则向WAPI终端返回成功消息(2000K);
S706,WAPI鉴别服务器利用会话密钥加密当前有效的证书及私有密钥,并生成携 带有加密的公钥证书及私有密钥的通知消息发送给WAPI终端;
S708,在订阅有效期内,证书管理单元用户证书发生更新或吊销时触发通知流
9程;
S710,证书更新后,利用之前生成的会话密钥加密证书与私有密钥,生成通知消息 附带加密后信息发送给客户端;
S712,证书被吊销,生成通知消息,头域字段中指示消息长度为0。
图6和图7所示的流程对应于图3中的步骤S304至S306。
在具体实施过程中,WAPI鉴别服务器中的证书管理单元具体执行WAPI鉴别服务 器的处理工作。
图8是根据本发明实施例的WAPI鉴别服务器获取WAPI终端证书的结构示意图。 如图8所示,在上述的步骤S706中,WAPI鉴别服务器(鉴别服务器1)向WAPI终端发送的 当前有效的WAPI终端的公有密钥证书及私有密钥,可以是该WAPI鉴别服务器预先保存的, 也可以是由该WAPI鉴别服务器和与之相连的其他公共认证中心(CA)通过请求证书或响 应证书查询获取的,或者由该WAPI鉴别服务器通过更高一级的公共认证中心请求其他的 WAPI鉴别服务器(鉴别服务器2)上管理的证书。
图9是根据本发明实施例的WAPI终端证书的管理方法的SIP信令处理的流程图。 如图9所示,该流程包括以下处理
步骤S902,WAPI终端向WAPI鉴别服务器发送SIP注册请求(Register)消息,该 Register消息中携带有该WAPI终端生成的第一随机数;
步骤S904,WAPI鉴别服务器向WAPI终端返回注册拒绝消息(401消息),该拒绝 消息中携带WAPI鉴别服务器生成的第二随机数;
步骤S906,WAPI终端向WAPI鉴别服务器发送新的Register消息;
步骤S908,WAPI鉴别服务器向WAPI终端返回成功注册响应消息(2000K),确认成 功后WAPI鉴别服务器和WAPI终端根据第一随机数和第二随机数生成会话密钥;
步骤S910,WAPI终端向WAPI鉴别服务器发送订阅(Subscribe)消息;
步骤S912,WAPI鉴别服务器向WAPI终端返回成功确认消息(2000K);
步骤S914,WAPI鉴别服务器向WAPI终端发送通知(Notify)消息,该通知消息中 携带有利用会话密钥加密的WAPI终端的公开密钥证书和私有密钥;
步骤S916,WAPI终端向WAPI鉴别服务器发送成功确认消息(2000K);
在当用户证书被吊销或失效时,还可以包括以下步骤
步骤S918,WAPI鉴别服务器向WAPI终端发送通知(Notify)消息,该消息体内容 为空,长度指示Content-Length头域的值为0。
步骤S920,WAPI终端接收到该Notify消息后,不再保持接入鉴别状态,而重新发 起接入鉴别过程,并向WAPI鉴别服务器返回成功确认消息(2000K)。
装置实施例
根据本发明实施例,还提供了一种WAPI终端证书的管理装置。该装置可以用于实 现上述方法实施例所提供的WAPI终端证书的管理方法。
图10是根据本发明实施例的WAPI终端证书的管理装置的框图,该装置可以设置 于WAPI鉴别服务器。
如图10所示,根据本发明实施例的WAPI终端证书的管理装置包括协商模块 110,接收模块120,加密模块130,发送模块140,具体地
10[0108]协商模块110,用于和WAPI终端协商会话密钥;
接收模块120,连接至协商模块110,用于接收来自WAPI终端的订阅请求消息,其 中,订阅请求消息用于非首次请求WAPI终端的公开密钥证书和私有密钥;
加密模块130,连接至接收模块120,用于利用会话密钥加密公开密钥证书和私有 密钥;
发送模块140,连接至加密模块130,用于向WAPI终端发送携带有加密的公开密钥 证书和私有密钥的通知消息,以供WAPI终端进行更新。
优选地,WAPI终端证书的管理装置为WAPI鉴别服务器中的证书管理单元。
在具体实施过程中,根据本发明实施例提供的装置同样可以完成图2至图9中所 示的处理,具体处理过程此处不再重复描述。
系统实施例
根据本发明实施例,还提供了一种WAPI终端证书的管理系统。该系统可以用于实 现上述方法实施例所提供的WAPI终端证书的管理方法。
图11是根据本发明实施例的WAPI终端证书的管理系统的框图,如图11所示,该 系统包括WAPI鉴别服务器10、WAPI终端20,其中
WAPI鉴别服务器10包括
第一接收模块120,用于接收来自WAPI终端的订阅请求消息,其中,订阅请求消息 用于非首次请求WAPI终端的公开密钥证书和私有密钥;
加密模块130,连接至第一接收模块120,用于利用预先生成的会话密钥加密公开 密钥证书和私有密钥;
第一发送模块140,连接至加密模块130,用于向WAPI终端发送携带有加密的公开 密钥证书和私有密钥的通知消息,以供WAPI终端进行更新;
WAPI 终端 20 包括
第二发送模块210,用于向WAPI鉴别服务器发送订阅请求消息;
第二接收模块220,用于接收来自WAPI鉴别服务器的携带有加密的公开密钥证书 和私有密钥的通知消息;
解密模块230,连接至第二接收模块220,用于利用预先生成的会话密钥解密加密 的公开密钥证书和私有密钥;
更新模块240,连接至解密模块230,用于利用解密的公开密钥证书和私有密钥更 新WAPI终端本地的公开密钥证书和私有密钥。
在具体实施过程中,根据本发明实施例提供的系统同样可以完成图2至图9中所 示的处理,具体处理过程此处不再重复描述。
综上所述,借助于本发明的上述技术方案,通过预先协商会话密钥并利用该会话 密钥加密终端的公钥证书和私钥,并将WAPI终端的公钥证书和私钥使用SIP机制发送至 WAPI终端,达到了采用在线方式更新用户证书的目的,提高了工作效率,并提高了用户体 验。
显然,本领域的技术人员应该明白,上述的本发明的各模块或各步骤可以用通用 的计算装置来实现,它们可以集中在单个的计算装置上,或者分布在多个计算装置所组成 的网络上,可选地,它们可以用计算装置可执行的程序代码来实现,从而,可以将它们存储
11在存储装置中由计算装置来执行,或者将它们分别制作成各个集成电路模块,或者将它们 中的多个模块或步骤制作成单个集成电路模块来实现。这样,本发明不限制于任何特定的 硬件和软件结合。
以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技 术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修 改、等同替换、改进等,均应包含在本发明的保护范围之内。
权利要求
一种无线局域网认证与保密基础结构WAPI终端证书的管理方法,用于基于会话初始协议SIP管理WAPI终端的公开密钥证书,其特征在于,所述方法包括WAPI鉴别服务器和所述WAPI终端协商会话密钥;所述WAPI鉴别服务器接收来自所述WAPI终端的订阅请求消息,其中,所述订阅请求消息用于非首次请求所述WAPI终端的公开密钥证书和私有密钥;所述WAPI鉴别服务器向所述WAPI终端发送携带有加密的所述公开密钥证书和所述私有密钥的通知消息,以供所述WAPI终端进行更新,其中,利用所述会话密钥加密所述公开密钥证书和所述私有密钥。
2.根据权利要求
1所述的方法,其特征在于,在所述WAPI鉴别服务器和所述WAPI终端 协商所述会话密钥之前,所述方法还包括接入点对所述WAPI终端进行接入鉴别,并在所述WAPI终端通过鉴别的情况下,允许所 述WAPI鉴别服务器和所述WAPI终端协商所述会话密钥。
3.根据权利要求
1所述的方法,其特征在于,所述WAPI鉴别服务器和所述WAPI终端协 商所述会话密钥的处理包括所述WAPI鉴别服务器接收来自所述WAPI终端的注册请求消息,其中,所述注册请求消 息中携带有所述WAPI终端生成的第一随机数;所述WAPI鉴别服务器向所述WAPI终端发送注册拒绝消息,其中,所述注册拒绝消息中 携带有所述WAPI鉴别服务器生成的第二随机数;所述WAPI鉴别服务器接收来自所述WAPI终端的新的注册请求消息,在注册成功的情 况下,所述WAPI鉴别服务器和所述WAPI终端根据所述第一随机数和所述第二随机数计算 所述会话密钥,其中,所述会话密钥为所述第二随机数与所述第一随机数做串接后进行哈 希运算得到。
4.根据权利要求
3所述的方法,其特征在于,所述WAPI终端发送的所述第一随机数由 所述WAPI终端利用所述WAPI鉴别服务器的公开密钥加密。
5.根据权利要求
3所述的方法,其特征在于,所述WAPI鉴别服务器发送的所述第二随 机数由所述WAPI鉴别服务器利用所述WAPI终端的公开密钥加密。
6.根据权利要求
1所述的方法,其特征在于,在所述WAPI鉴别服务器向所述WAPI终端 发送所述通知消息之后,所述方法进一步包括所述WAPI终端接收所述通知消息,利用所述会话密钥解密所述公开密钥证书和所述 私有密钥,并利用解密的所述公开密钥证书和所述私有密钥更新所述WAPI终端本地的公 开密钥证书和私有密钥。
7.根据权利要求
1所述的方法,其特征在于,在所述WAPI终端的公开密钥证书为非法 或失效的情况下,在所述WAPI鉴别服务器吊销所述WAPI终端的公开密钥证书,具体包括所述WAPI鉴别服务器向所述WAPI终端发送用于吊销所述WAPI终端的公开密钥证书 的通知消息,以通知所述WAPI终端重新进行接入鉴别,其中,所述吊销所述WAPI终端的公 开密钥证书的通知消息的消息体的长度被配置为0。
8.根据权利要求
1至7中任一项所述的方法,其特征在于,在所述WAPI鉴别服务器和 所述WAPI终端协商所述会话密钥之前,所述方法还包括所述WAPI鉴别服务器向公共认证中心预先请求获取、或由所述WAPI鉴别服务器预先保存所述公开密钥证书和所述私有密钥。
9.一种WAPI终端证书的管理装置,设置于WAPI鉴别服务器,其特征在于,所述装置包括协商模块,用于和WAPI终端协商会话密钥;接收模块,用于接收来自所述WAPI终端的订阅请求消息,其中,所述订阅请求消息用 于非首次请求所述WAPI终端的公开密钥证书和私有密钥;加密模块,用于利用所述会话密钥加密所述公开密钥证书和所述私有密钥; 发送模块,用于向所述WAPI终端发送携带有加密的所述公开密钥证书和所述私有密 钥的通知消息,以供所述WAPI终端进行更新。
10.一种WAPI终端证书的管理系统,其特征在于,包括:WAPI鉴别服务器、WAPI终端, 其中,所述WAPI鉴别服务器包括第一接收模块,用于接收来自所述WAPI终端的订阅请求消息,其中,所述订阅请求消 息用于非首次请求所述WAPI终端的公开密钥证书和私有密钥;加密模块,用于利用预先生成的会话密钥加密所述公开密钥证书和所述私有密钥; 第一发送模块,用于向所述WAPI终端发送携带有加密的所述公开密钥证书和所述私 有密钥的通知消息,以供所述WAPI终端进行更新; WAPI终端包括第二发送模块,用于向所述WAPI鉴别服务器发送所述订阅请求消息; 第二接收模块,用于接收来自所述WAPI鉴别服务器的携带有加密的所述公开密钥证 书和所述私有密钥的所述通知消息;解密模块,用于利用预先生成的会话密钥解密加密的所述公开密钥证书和所述私有密钥;更新模块,用于利用解密的所述公开密钥证书和所述私有密钥更新所述WAPI终端本 地的公开密钥证书和私有密钥。
专利摘要
本发明公开了一种WAPI终端证书的管理方法、装置及系统,其中,WAPI鉴别服务器和WAPI终端协商会话密钥;WAPI鉴别服务器接收来自WAPI终端的订阅请求消息,其中,订阅请求消息用于非首次请求WAPI终端的公开密钥证书和私有密钥;WAPI鉴别服务器向WAPI终端发送携带有加密的公开密钥证书和私有密钥的通知消息,以供WAPI终端进行更新,其中,利用会话密钥加密公开密钥证书和私有密钥。通过本发明,能够采用在线方式更新用户证书,提高了工作效率和用户体验。
文档编号H04W12/06GKCN101483866 B发布类型授权 专利申请号CN 200910006284
公开日2011年3月16日 申请日期2009年2月11日
发明者刘家兵, 康望星, 施元庆 申请人:中兴通讯股份有限公司导出引文BiBTeX, EndNote, RefMan
技术领域:
本发明涉及通信领域,具体而言,涉及一种WAPI终端证书的管理方法、装置及系 统。
背景技术:
为了解决无线局域网国际标准IS0/IEC 802. 11中定义的有线等效保密 (Wired Equivalent Privacy,简称为TOP)安全机制存在的安全漏洞,我国颁布了无线 局域网国家标准及其第一号修改单,该标准采用无线局域网认证与保密基础结构(WLAN Authenticationand Privacy Infrastructure,简称为 WAPI)替代 WEP,解决无线局域网的 安全问题。
WAPI由无线局域网鉴别基础结构(WLAN Authenticationlnfrastructure,简称为 WAI)和无线局域网保密基础结构(WLANPrivacy Infrastructure,简称为WPI)组成。其中, WAI采用了公开密钥加密技术,用于终端与接入点之间互相身份鉴别;WPI采用国家密码管 理委员会办公室批准的用于WLAN的对称密码算法实现数据保护,对MAC子层的MAC服务数 据单元(MAC Service DataUnit,简称为MSDU)进行加、解密处理。
图1是根据相关技术的WAPI基础结构的结构示意图,如图1所示,包括接入 点(Access Point,简称为AP)是指任何一个具备站点功能,通过无线媒体为关联的站点 提供访问分布式服务的实体;鉴别请求者实体(Authentication Supplicant Entity,简 称为ASUE)是在接入服务之前请求进行鉴别操作的实体,该实体主要设置在终端内;鉴别 器实体(Authenticator Entity,简称为AE)为鉴别请求者在接入服务之前提供鉴别操作 的实体,该实体主要设置在接入点内;鉴别服务单元(Authentication Service Unit,简 称为ASU)的基本功能是实现对用户证书的管理和用户身份的鉴别等,是基于公开密钥密 码技术的WAI鉴别基础结构中重要的组成部分;鉴别服务实体(Authentication Service Entity,简称为ASE)为鉴别器和鉴别请求者提供身份鉴别服务的实体,该实体驻留在ASU 中。其中,用户证书为公开密钥证书,它是WAI系统构造中重要的环节。公开密钥证书是网 络用户的数字身份凭证,通过私有密钥验证可以唯一地确定网络用户的身份。
站点通过两类方式支持WAI鉴别及密码管理,一是基于证书的方式,一是基于共 享密钥的方式。两种类型内按照网络类型分为基本服务组(Basic Service Set,简称为 BSS)下认证与独立基本服务组(Incbpendent Basic Service Set,简称为IBSS)下认证。 当采用基于证书的方式时,鉴别请求者实体所在的站点,即终端在接入鉴别请求中,需要附 带自己的证书,鉴别器实体会根据请求中字段,决定是由他自己完成证书验证还是交由鉴 别服务单元完成验证,以此完成接入点对鉴别请求者的认证。
WAPI可以看作是无线局域网中的公开密钥基础设施(PublicKey Infrastructure,简称为PKI),鉴别服务单元起到了 PKI中的认证中心(Certificate Authority,简称为CA)的作用,当WAI采用基于Χ. 509v3的证书时,鉴别服务单元也必须具 有CA有关证书申请、签发、定期发布证书失效列表、响应用户证书吊销等功能。
4[0007]—般地,PKI中用户申请或注销证书以及对应的私有密钥都采用离线、外带的方式 进行,以避免在传输过程中被窃取、篡改。证书在有效期满后失效,用户也必须主动通过离 线方式完成本地证书更新,非常不方便。
因此,针对用户申请证书及私有密钥必须采用效率较低的离线方式的问题,相关 技术中尚未提出有效的解决方案。
发明内容
考虑到相关技术中用户申请证书及私有密钥必须采用离线方式的问题而提出本 发明,为此,本发明的主要目的在于提供一种WAPI终端证书的管理方法、装置及系统,以解 决相关技术中存在的上述问题至少之一。
为了实现上述目的,根据本发明的一个方面,提供了一种WAPI终端证书的管理方 法,用于基于SIP管理WAPI终端的公开密钥证书。
根据本发明的管理方法包括:WAPI鉴别服务器和WAPI终端协商会话密钥;WAPI 鉴别服务器接收来自WAPI终端的订阅请求消息,其中,订阅请求消息用于非首次请求WAPI 终端的公开密钥证书和私有密钥;WAPI鉴别服务器向WAPI终端发送携带有加密的公开密 钥证书和私有密钥的通知消息,以供WAPI终端进行更新,其中,利用会话密钥加密公开密 钥证书和私有密钥。
优选地,在WAPI鉴别服务器和WAPI终端协商会话密钥之前,该方法还包括接入 点对WAPI终端进行接入鉴别,并在WAPI终端通过鉴别的情况下,允许WAPI鉴别服务器和 WAPI终端协商会话密钥。
优选地,WAPI鉴别服务器和WAPI终端协商会话密钥的处理包括WAPI鉴别服务器 接收来自WAPI终端的注册请求消息,其中,注册请求消息中携带有WAPI终端生成的第一随 机数;WAPI鉴别服务器向WAPI终端发送注册拒绝消息,其中,注册拒绝消息中携带有WAPI 鉴别服务器生成的第二随机数;WAPI鉴别服务器接收来自WAPI终端的新的注册请求消息, 在注册成功的情况下,WAPI鉴别服务器和WAPI终端根据第一随机数和第二随机数计算会 话密钥,其中,会话密钥为第二随机数与第一随机数做串接后进行哈希运算得到。
优选地,WAPI终端发送的第一随机数由WAPI终端利用WAPI鉴别服务器的公开密 钥加密。
优选地,WAPI鉴别服务器发送的第二随机数由WAPI鉴别服务器利用WAPI终端的 公开密钥加密。
优选地,在WAPI鉴别服务器向WAPI终端发送通知消息之后,该方法进一步包括 WAPI终端接收通知消息,利用会话密钥解密公开密钥证书和私有密钥,并利用解密的公开 密钥证书和私有密钥更新WAPI终端本地的公开密钥证书和私有密钥。
优选地,在WAPI终端的公开密钥证书为非法或失效的情况下,在WAPI鉴别服务 器吊销WAPI终端的公开密钥证书,具体包括WAPI鉴别服务器向WAPI终端发送用于吊 销WAPI终端的公开密钥证书的通知消息,以通知WAPI终端重新进行接入鉴别,其中,吊销 WAPI终端的公开密钥证书的通知消息的消息体的长度被配置为0。
优选地,在WAPI鉴别服务器和WAPI终端协商会话密钥之前,该方法还包括WAPI 鉴别服务器向公共认证中心预先请求获取、或由WAPI鉴别服务器预先保存公开密钥证书
5和所述私有密钥。
根据本发明的另一方面,还提供了一种WAPI终端证书的管理装置,该装置设置于 WAPI鉴别服务器。
根据本发明的管理装置包括协商模块,用于和WAPI终端协商会话密钥;接收模 块,用于接收来自WAPI终端的订阅请求消息,其中,订阅请求消息用于非首次请求WAPI终 端的公开密钥证书和私有密钥;加密模块,用于利用会话密钥加密公开密钥证书和私有密 钥;发送模块,用于向WAPI终端发送携带有加密的公开密钥证书和私有密钥的通知消息, 以供WAPI终端进行更新。
根据本发明的再一方面,还提供了一种WAPI终端证书的管理系统。
根据本发明的管理系统包括:WAPI鉴别服务器、WAPI终端,其中,WAPI鉴别服务器 包括第一接收模块,用于接收来自WAPI终端的订阅请求消息,其中,订阅请求消息用于非 首次请求WAPI终端的公开密钥证书和私有密钥;加密模块,用于利用预先生成的会话密钥 加密公开密钥证书和私有密钥;第一发送模块,用于向WAPI终端发送携带有加密的公开密 钥证书和私有密钥的通知消息,以供WAPI终端进行更新;WAPI终端包括第二发送模块,用 于向WAPI鉴别服务器发送订阅请求消息;第二接收模块,用于接收来自WAPI鉴别服务器的 携带有加密的公开密钥证书和私有密钥的通知消息;解密模块,用于利用预先生成的会话 密钥解密加密的公开密钥证书和私有密钥;更新模块,用于利用解密的公开密钥证书和私 有密钥更新WAPI终端本地的公开密钥证书和私有密钥。
借助于本发明的上述技术方案,通过预先协商会话密钥并利用该会话密钥加密终 端的公钥证书和私钥,并将WAPI终端的公钥证书和私钥使用SIP机制发送至WAPI终端,能 够采用在线方式更新用户证书,解决了离线申请证书及私有密钥所导致的处理效率低的问 题,提高了工作效率和用户体验。
此处所说明的附图用来提供对本发明的进一步理解,构成本申请的一部分,本发 明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中
图1是根据相关技术的WAPI基础结构的结构示意图;
图2是根据本发明实施例的WAPI鉴别服务器和WAPI终端的结构的示意图;
图3是根据本发明实施例的WAPI终端证书的管理方法的流程图;
图4是根据本发明实施例的WAPI终端生成会话密钥流程的流程图;
图5是根据本发明实施例的WAPI鉴别服务器生成会话密钥流程的流程图;
图6是根据本发明实施例的WAPI终端对订阅及通知消息处理的流程图;
图7是根据本发明实施例的WAPI鉴别服务器对订阅及通知消息处理的流程图;
图8是根据本发明实施例的WAPI鉴别服务器获取WAPI终端证书的结构示意图;
图9是根据本发明实施例的WAPI终端证书的管理方法的SIP信令处理的流程图;
图10是根据本发明实施例的WAPI终端证书的管理装置的框图;
图11是根据本发明实施例的WAPI终端证书的管理系统的框图。
具体实施方式
功能概述
本发明的主要思想是本发明提出一种由扩展的服务器证书管理单元主动发送证 书,由扩展的终端证书管理模块自动更新证书的技术方案。用户无需通过离线方式进行操 作。扩展的服务器证书管理功能,引入会话初始协议(Session Initiation Protocol,简 称为SIP),用户可以利用SIP中的Subscribe消息(订阅消息)完成对自己公有密钥(公 钥)证书的订阅,当证书管理单元更新证书并重新分配私有密钥时,可以根据用户订阅,通 过SIP的Notify消息(通知消息),发送证书及私有密钥。用户第一次使用终端时的证书 和私有密钥(私钥),仍然是通过离线方式申请。在终端完成接入鉴别之后,SIP信令均在 已经加密的数据通道上进行,避免了证书与密码遭窃听的可能。采用根据本发明实施例的 技术方案,用户无需在每次更新证书时都采用离线方式,无需主动操作,提高了用户体验; 运营商的证书维护工作也可以节省大量时间,更新过程交由SIP的订阅及通知机制自动完 成,提高了处理效率。
以下结合附图对本发明的优选实施例进行说明,应当理解,此处所描述的优选实 施例仅用于说明和解释本发明,并不用于限定本发明。如果不冲突,本发明实施例及实施例 中特征可以相互组合。
方法实施例
根据本发明实施例,提供了一种WAPI终端证书的管理方法。
图2是根据本发明实施例的WAPI鉴别服务器和WAPI终端的结构的示意图,如图 2所示,在WAPI终端增加证书管理单元,此功能单元实现了 SIP客户端功能,WAPI服务器和 WAPI终端通过端口 5060收发SIP消息,实现基于SIP协议的注册、订阅与通知处理功能;
WAPI鉴别服务器包括鉴别请求服务单元和服务器证书管理单元,服务器侧证书 管理单元作为终端的SIP注册服务器,实现了 SIP服务器部分功能,在端口 5060上收发SIP 消息,接收处理终端的基于SIP协议的注册和订阅请求、向WAPI终端发送基于SIP协议的 通知消息。SIP消息基于用户数据报协议(User DatagramProtocol,简称为UDP)或传输控 制协议(Transmission ControlProtocol,简称为 TCP)的方式传输。
在进行根据本发明实施例所提供的方法之前,AP对WAPI终端进行接入鉴别,在 WAPI终端通过鉴别的情况下,允许WAPI终端接入AP。AP与终端之间协商生成单播会话密 钥,此会话密钥能够确保WAPI终端与AP之间的数据传输的安全。
图3是根据本发明实施例的WAPI终端证书的管理方法的流程图。需要说明的是, 在以下方法中描述的步骤可以在诸如一组计算机可执行指令的计算机系统中执行,并且, 虽然在图3中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出 或描述的步骤。如图3所示,该方法包括以下处理
步骤S302,WAPI鉴别服务器和WAPI终端协商会话密钥;
步骤S304,WAPI鉴别服务器接收来自WAPI终端的订阅请求消息,其中,订阅请求 消息用于非首次请求WAPI终端的公开密钥证书和私有密钥;
步骤S306,WAPI鉴别服务器向WAPI终端发送携带有加密的公开密钥证书和私有密 钥的通知消息,以供WAPI终端进行更新,其中,利用会话密钥加密公开密钥证书和私有密钥。
基于上述处理,WAPI终端可以进行在线方式的证书更新。
7[0049]下面详细描述上述各处理的细节。
( 一 )步骤 S302
首先,WAPI终端随机生成一个128位随机数rancLasue (第一随机数),利用WAPI 鉴别服务器发布的公开密钥证书中的公开密钥和公开密钥算法,加密rancLasue并将结果 作为SIP注册消息中新增头域字段Cert-Rand的值,随即终端向WAPI服务器发送此SIP注 册请求消息。
其次,AP将请求消息转发给WAPI服务器上的服务器证书管理单元,后者接收该注 册请求消息,并利用其私有密钥和公开密钥算法解密Cert-Rand字段中的rancLasue ;再随 机生成一个128位随机数rancLca (第二随机数),并利用WAPI终端的公开密钥对rancLca 进行公开钥密加密运算,将结果作为注册拒绝消息(401)中的ffffW-Authentication头域中 nonce参数的值,将该注册拒绝消息发送WAPI到WAPI终端。
之后,WAPI终端接收该注册拒绝消息,并从ffffW-Authentication中提取nonce 参数及其他参数,利用WAPI终端的私有密钥将nonce解密得到rand_ca,再利用此头域 所示鉴权算法,进行摘要(Digest)计算,此处用户名可以使用用户的电话号码,密码可以 为之前通过随机数生成得到的rancLasue。Digest计算结果用来赋值新的注册请求中 Authorization头域中response参数值,WAPI终端向WAPI鉴别服务器发送新的注册请求 消息。
WAPI鉴别服务器收到新的注册请求后,利用参数做Digest计算并将结果与 response参数值比较,如果结果一致,则WAPI鉴别服务器向WAPI终端返回2000K消息。 注册成功后WAPI终端的证书管理单元与WAPI鉴别服务器上的证书管理单元使用同样的 SHA-128杂凑算法,以rancLca后串接rancLasue的结果为输入,计算出128位长度的会话 密钥。
下面结合附图详细描述步骤S302。图4是根据本发明实施例的用户证书管理单元 生成会话密钥流程的流程图,如图4所示,该流程包括
S402, WAPI终端完成接入鉴别过程与单播密钥协商;
S404, WAPI 终端生成 128 位随机数 rand_asue ;
S406, WAPI终端用WAPI服务器的公钥加密rand_asue,给Cert-Rand赋值;
S408, WAPI终端发送SIP注册请求;
S410, WAPI终端收到注册失败响应,利用其私钥解密nonce字段,得到rancLca ;
S412,WAPI终端使用失败响应中指定算法计算摘要,用户名为号码,密码为rand_ asue ;
S414,WAPI终端用摘要赋值response字段并重新发送注册请求;
S416,WAPI终端接收到注册成功响应后,rand_ca与rand_asue做串接后进行 SHA-128计算,生成会话密钥,此会话密钥用于解密通知消息中加密的证书与密钥信息。
图5是根据本发明实施例的服务器证书管理单元生成会话密钥流程的流程图,如 图5所示,该流程包括
S502,WAPI鉴别服务器接收SIP注册请求利用自己的私钥解密得到ruar^asue,并 产生随机数rancLca ;
S504, WAPI鉴别服务器利用终端用户的公钥加密rand_Ca,给注册失败响应中
8Wffff-Authenticate头域中nonce赋值,并回送失败消息;
S506,WAPI鉴别服务器接收到新的注册消息,解析Authorization字段中参数,计 算摘要,将结果与response字段比较,返回成功或失败消息;
S508,如果成功,则WAPI鉴别服务器将rancLca与rancLasue做串接后进行 SHA-128计算,生成会话密钥,此会话密钥用于加密通知消息中携带的证书与密钥信息。
图4和图5所示的流程对应于图3中的步骤S302。
( 二 )步骤 S304 至 S306
在WAPI终端成功完成SIP注册后,随即发起证书订阅请求,向WAPI终端鉴别服务 器的证书管理单元发送SIP Subscribe消息,服务器证书管理单元根据用户的身份标识找 到其当前有效的公开密钥证书和私有密钥,通过Notify消息发送至WAPI终端,公钥证书与 私有密钥先通过XML格式组合,再通过会话密钥进行加密。
WAPI终端解密证书及密钥信息后,对比本地备份证书与私有密钥,如果不一致则 发起AP去关联操作并重新发起AP关联,关联过程中进行基于新的证书的鉴别过程。
需要说明,Subscribe可以通过头域字段Event指示事件类型,本发明对事件命名 不做具体限定,例如可定义为cert-event ;头域字段Accept指示通知消息中消息体格式, 本发明对格式命名不做具体限定,例如此处可以定义为application/cert-info,用于定义 加密后的证书和密钥内容;本发明对证书与密码的基于XML的格式不做具体限定,Notify 消息中的头域字段Event和Content-Type将分别使用Subscribe中Event与Accept头 域所对应的值。用户证书管理单元在收到Notify消息时,判断这两个头域字段,并根据 Content-Type类型和具体的证书、私有密码组合方式解析内容。
下面结合附图详细描述步骤S304至S306。图6是根据本发明实施例的WAPI终端 对订阅及通知消息处理的流程图,如图6所示,该流程包括
S602, WAPI终端得到成功注册响应;
S604, WAPI终端生成订阅请求消息并发送至WAPI鉴别服务器;
S606, WAPI终端接收到来自WAPI鉴别服务器的订阅成功消息(2000K),准备处理 证书通知消息;
S608, WAPI终端判断通知消息体是否为空,如果不是则执行步骤S610,否则执行 步骤S614 ;
S610,WAPI终端利用预先生成的会话密钥通过常规加密算法解密证书及密钥信 息;
S612,WAPI终端判断是否证书已更新,如更新则重新发起接入鉴别流程。
S614,WAPI终端的订阅证书已被吊销,重新发起接入鉴别流程。
图7是根据本发明实施例的服务器证书管理单元对订阅及通知消息处理的流程 图,如图7所示,该流程包括
S702, WAPI鉴别服务器接收来自WAPI终端的订阅请求消息;
S704,如果WAPI鉴别服务器接受订阅,则向WAPI终端返回成功消息(2000K);
S706,WAPI鉴别服务器利用会话密钥加密当前有效的证书及私有密钥,并生成携 带有加密的公钥证书及私有密钥的通知消息发送给WAPI终端;
S708,在订阅有效期内,证书管理单元用户证书发生更新或吊销时触发通知流
9程;
S710,证书更新后,利用之前生成的会话密钥加密证书与私有密钥,生成通知消息 附带加密后信息发送给客户端;
S712,证书被吊销,生成通知消息,头域字段中指示消息长度为0。
图6和图7所示的流程对应于图3中的步骤S304至S306。
在具体实施过程中,WAPI鉴别服务器中的证书管理单元具体执行WAPI鉴别服务 器的处理工作。
图8是根据本发明实施例的WAPI鉴别服务器获取WAPI终端证书的结构示意图。 如图8所示,在上述的步骤S706中,WAPI鉴别服务器(鉴别服务器1)向WAPI终端发送的 当前有效的WAPI终端的公有密钥证书及私有密钥,可以是该WAPI鉴别服务器预先保存的, 也可以是由该WAPI鉴别服务器和与之相连的其他公共认证中心(CA)通过请求证书或响 应证书查询获取的,或者由该WAPI鉴别服务器通过更高一级的公共认证中心请求其他的 WAPI鉴别服务器(鉴别服务器2)上管理的证书。
图9是根据本发明实施例的WAPI终端证书的管理方法的SIP信令处理的流程图。 如图9所示,该流程包括以下处理
步骤S902,WAPI终端向WAPI鉴别服务器发送SIP注册请求(Register)消息,该 Register消息中携带有该WAPI终端生成的第一随机数;
步骤S904,WAPI鉴别服务器向WAPI终端返回注册拒绝消息(401消息),该拒绝 消息中携带WAPI鉴别服务器生成的第二随机数;
步骤S906,WAPI终端向WAPI鉴别服务器发送新的Register消息;
步骤S908,WAPI鉴别服务器向WAPI终端返回成功注册响应消息(2000K),确认成 功后WAPI鉴别服务器和WAPI终端根据第一随机数和第二随机数生成会话密钥;
步骤S910,WAPI终端向WAPI鉴别服务器发送订阅(Subscribe)消息;
步骤S912,WAPI鉴别服务器向WAPI终端返回成功确认消息(2000K);
步骤S914,WAPI鉴别服务器向WAPI终端发送通知(Notify)消息,该通知消息中 携带有利用会话密钥加密的WAPI终端的公开密钥证书和私有密钥;
步骤S916,WAPI终端向WAPI鉴别服务器发送成功确认消息(2000K);
在当用户证书被吊销或失效时,还可以包括以下步骤
步骤S918,WAPI鉴别服务器向WAPI终端发送通知(Notify)消息,该消息体内容 为空,长度指示Content-Length头域的值为0。
步骤S920,WAPI终端接收到该Notify消息后,不再保持接入鉴别状态,而重新发 起接入鉴别过程,并向WAPI鉴别服务器返回成功确认消息(2000K)。
装置实施例
根据本发明实施例,还提供了一种WAPI终端证书的管理装置。该装置可以用于实 现上述方法实施例所提供的WAPI终端证书的管理方法。
图10是根据本发明实施例的WAPI终端证书的管理装置的框图,该装置可以设置 于WAPI鉴别服务器。
如图10所示,根据本发明实施例的WAPI终端证书的管理装置包括协商模块 110,接收模块120,加密模块130,发送模块140,具体地
10[0108]协商模块110,用于和WAPI终端协商会话密钥;
接收模块120,连接至协商模块110,用于接收来自WAPI终端的订阅请求消息,其 中,订阅请求消息用于非首次请求WAPI终端的公开密钥证书和私有密钥;
加密模块130,连接至接收模块120,用于利用会话密钥加密公开密钥证书和私有 密钥;
发送模块140,连接至加密模块130,用于向WAPI终端发送携带有加密的公开密钥 证书和私有密钥的通知消息,以供WAPI终端进行更新。
优选地,WAPI终端证书的管理装置为WAPI鉴别服务器中的证书管理单元。
在具体实施过程中,根据本发明实施例提供的装置同样可以完成图2至图9中所 示的处理,具体处理过程此处不再重复描述。
系统实施例
根据本发明实施例,还提供了一种WAPI终端证书的管理系统。该系统可以用于实 现上述方法实施例所提供的WAPI终端证书的管理方法。
图11是根据本发明实施例的WAPI终端证书的管理系统的框图,如图11所示,该 系统包括WAPI鉴别服务器10、WAPI终端20,其中
WAPI鉴别服务器10包括
第一接收模块120,用于接收来自WAPI终端的订阅请求消息,其中,订阅请求消息 用于非首次请求WAPI终端的公开密钥证书和私有密钥;
加密模块130,连接至第一接收模块120,用于利用预先生成的会话密钥加密公开 密钥证书和私有密钥;
第一发送模块140,连接至加密模块130,用于向WAPI终端发送携带有加密的公开 密钥证书和私有密钥的通知消息,以供WAPI终端进行更新;
WAPI 终端 20 包括
第二发送模块210,用于向WAPI鉴别服务器发送订阅请求消息;
第二接收模块220,用于接收来自WAPI鉴别服务器的携带有加密的公开密钥证书 和私有密钥的通知消息;
解密模块230,连接至第二接收模块220,用于利用预先生成的会话密钥解密加密 的公开密钥证书和私有密钥;
更新模块240,连接至解密模块230,用于利用解密的公开密钥证书和私有密钥更 新WAPI终端本地的公开密钥证书和私有密钥。
在具体实施过程中,根据本发明实施例提供的系统同样可以完成图2至图9中所 示的处理,具体处理过程此处不再重复描述。
综上所述,借助于本发明的上述技术方案,通过预先协商会话密钥并利用该会话 密钥加密终端的公钥证书和私钥,并将WAPI终端的公钥证书和私钥使用SIP机制发送至 WAPI终端,达到了采用在线方式更新用户证书的目的,提高了工作效率,并提高了用户体 验。
显然,本领域的技术人员应该明白,上述的本发明的各模块或各步骤可以用通用 的计算装置来实现,它们可以集中在单个的计算装置上,或者分布在多个计算装置所组成 的网络上,可选地,它们可以用计算装置可执行的程序代码来实现,从而,可以将它们存储
11在存储装置中由计算装置来执行,或者将它们分别制作成各个集成电路模块,或者将它们 中的多个模块或步骤制作成单个集成电路模块来实现。这样,本发明不限制于任何特定的 硬件和软件结合。
以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技 术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修 改、等同替换、改进等,均应包含在本发明的保护范围之内。
权利要求
一种无线局域网认证与保密基础结构WAPI终端证书的管理方法,用于基于会话初始协议SIP管理WAPI终端的公开密钥证书,其特征在于,所述方法包括WAPI鉴别服务器和所述WAPI终端协商会话密钥;所述WAPI鉴别服务器接收来自所述WAPI终端的订阅请求消息,其中,所述订阅请求消息用于非首次请求所述WAPI终端的公开密钥证书和私有密钥;所述WAPI鉴别服务器向所述WAPI终端发送携带有加密的所述公开密钥证书和所述私有密钥的通知消息,以供所述WAPI终端进行更新,其中,利用所述会话密钥加密所述公开密钥证书和所述私有密钥。
2.根据权利要求
1所述的方法,其特征在于,在所述WAPI鉴别服务器和所述WAPI终端 协商所述会话密钥之前,所述方法还包括接入点对所述WAPI终端进行接入鉴别,并在所述WAPI终端通过鉴别的情况下,允许所 述WAPI鉴别服务器和所述WAPI终端协商所述会话密钥。
3.根据权利要求
1所述的方法,其特征在于,所述WAPI鉴别服务器和所述WAPI终端协 商所述会话密钥的处理包括所述WAPI鉴别服务器接收来自所述WAPI终端的注册请求消息,其中,所述注册请求消 息中携带有所述WAPI终端生成的第一随机数;所述WAPI鉴别服务器向所述WAPI终端发送注册拒绝消息,其中,所述注册拒绝消息中 携带有所述WAPI鉴别服务器生成的第二随机数;所述WAPI鉴别服务器接收来自所述WAPI终端的新的注册请求消息,在注册成功的情 况下,所述WAPI鉴别服务器和所述WAPI终端根据所述第一随机数和所述第二随机数计算 所述会话密钥,其中,所述会话密钥为所述第二随机数与所述第一随机数做串接后进行哈 希运算得到。
4.根据权利要求
3所述的方法,其特征在于,所述WAPI终端发送的所述第一随机数由 所述WAPI终端利用所述WAPI鉴别服务器的公开密钥加密。
5.根据权利要求
3所述的方法,其特征在于,所述WAPI鉴别服务器发送的所述第二随 机数由所述WAPI鉴别服务器利用所述WAPI终端的公开密钥加密。
6.根据权利要求
1所述的方法,其特征在于,在所述WAPI鉴别服务器向所述WAPI终端 发送所述通知消息之后,所述方法进一步包括所述WAPI终端接收所述通知消息,利用所述会话密钥解密所述公开密钥证书和所述 私有密钥,并利用解密的所述公开密钥证书和所述私有密钥更新所述WAPI终端本地的公 开密钥证书和私有密钥。
7.根据权利要求
1所述的方法,其特征在于,在所述WAPI终端的公开密钥证书为非法 或失效的情况下,在所述WAPI鉴别服务器吊销所述WAPI终端的公开密钥证书,具体包括所述WAPI鉴别服务器向所述WAPI终端发送用于吊销所述WAPI终端的公开密钥证书 的通知消息,以通知所述WAPI终端重新进行接入鉴别,其中,所述吊销所述WAPI终端的公 开密钥证书的通知消息的消息体的长度被配置为0。
8.根据权利要求
1至7中任一项所述的方法,其特征在于,在所述WAPI鉴别服务器和 所述WAPI终端协商所述会话密钥之前,所述方法还包括所述WAPI鉴别服务器向公共认证中心预先请求获取、或由所述WAPI鉴别服务器预先保存所述公开密钥证书和所述私有密钥。
9.一种WAPI终端证书的管理装置,设置于WAPI鉴别服务器,其特征在于,所述装置包括协商模块,用于和WAPI终端协商会话密钥;接收模块,用于接收来自所述WAPI终端的订阅请求消息,其中,所述订阅请求消息用 于非首次请求所述WAPI终端的公开密钥证书和私有密钥;加密模块,用于利用所述会话密钥加密所述公开密钥证书和所述私有密钥; 发送模块,用于向所述WAPI终端发送携带有加密的所述公开密钥证书和所述私有密 钥的通知消息,以供所述WAPI终端进行更新。
10.一种WAPI终端证书的管理系统,其特征在于,包括:WAPI鉴别服务器、WAPI终端, 其中,所述WAPI鉴别服务器包括第一接收模块,用于接收来自所述WAPI终端的订阅请求消息,其中,所述订阅请求消 息用于非首次请求所述WAPI终端的公开密钥证书和私有密钥;加密模块,用于利用预先生成的会话密钥加密所述公开密钥证书和所述私有密钥; 第一发送模块,用于向所述WAPI终端发送携带有加密的所述公开密钥证书和所述私 有密钥的通知消息,以供所述WAPI终端进行更新; WAPI终端包括第二发送模块,用于向所述WAPI鉴别服务器发送所述订阅请求消息; 第二接收模块,用于接收来自所述WAPI鉴别服务器的携带有加密的所述公开密钥证 书和所述私有密钥的所述通知消息;解密模块,用于利用预先生成的会话密钥解密加密的所述公开密钥证书和所述私有密钥;更新模块,用于利用解密的所述公开密钥证书和所述私有密钥更新所述WAPI终端本 地的公开密钥证书和私有密钥。
专利摘要
本发明公开了一种WAPI终端证书的管理方法、装置及系统,其中,WAPI鉴别服务器和WAPI终端协商会话密钥;WAPI鉴别服务器接收来自WAPI终端的订阅请求消息,其中,订阅请求消息用于非首次请求WAPI终端的公开密钥证书和私有密钥;WAPI鉴别服务器向WAPI终端发送携带有加密的公开密钥证书和私有密钥的通知消息,以供WAPI终端进行更新,其中,利用会话密钥加密公开密钥证书和私有密钥。通过本发明,能够采用在线方式更新用户证书,提高了工作效率和用户体验。
文档编号H04W12/06GKCN101483866 B发布类型授权 专利申请号CN 200910006284
公开日2011年3月16日 申请日期2009年2月11日
发明者刘家兵, 康望星, 施元庆 申请人:中兴通讯股份有限公司导出引文BiBTeX, EndNote, RefMan
最新回复(0)