CN100456725C - 用于wapi的获取公钥证书的网络***和方法 - Google Patents
用于wapi的获取公钥证书的网络***和方法 Download PDFInfo
- Publication number
- CN100456725C CN100456725C CNB2007100644352A CN200710064435A CN100456725C CN 100456725 C CN100456725 C CN 100456725C CN B2007100644352 A CNB2007100644352 A CN B2007100644352A CN 200710064435 A CN200710064435 A CN 200710064435A CN 100456725 C CN100456725 C CN 100456725C
- Authority
- CN
- China
- Prior art keywords
- public key
- key certificate
- asu
- hasu
- sta
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Mobile Radio Communication Systems (AREA)
Abstract
一种用于WAPI的获取公钥证书的网络***和方法,该***结构简单:只增设一个目录证书服务器DCS,用于存储全网所有认证服务器的ASU公钥证书及其颁发用户公钥证书的IP地址和端口号;获取ASU公钥证书的操作也很简单,容易实现。本发明较好地解决了STA与ASU获取ASU公钥证书的问题,使得STA与ASU之间很容易建立互相信任,解决了用户异地漫游网络的认证问题,使得终端STA漫游到异地时,仍然可以享受WAPI安全的网络服务。DCS服务器还能够协助归属地认证服务器HASU完成对STA的用户公钥证书的颁发。总之,本发明能很好地为用户终端颁发用户公钥证书、解决用户终端,尤其是异地漫游时完成ASU公钥证书的获取,实现对终端STA的认证,具有很好的推广应用前景。
Description
技术领域
本发明涉及一种无线局域网的安全技术,确切地说,涉及一种用于WAPI的获取公钥证书的网络***和方法,属于无线通信技术领域。
背景技术
随着无线局域网的迅速发展,其安全问题日益受到人们的关注。国际标准ISO IEC 8802-11定义的开放***与共享密钥两种链路验证机制及有线加强等效保密WEP(Wired Equivalency Privacy)安全协议来解决安全问题;但是,安全漏洞依然存在。为了弥补ISO IEC 8802-11中安全协议存在的漏洞,中国分别于2003年和2006年颁发了一系列无线局域网的国家标准GB 15629.11/1102与GB 15629.11-2003/XG1-2006/1101/1103/1104。GB 15629.11来克服了传统安全方案的不足。这些标准是由中国宽带无线IP标准工作组制订和提出的具有自主知识产权的安全协议:无线局域网鉴别与保密基础结构WAPI(WLANAuthentication and Privacy Infrastructure),它是用于规范现行的802.11相关传输协议的安全加密标准。其主要技术特征包括:采用公钥密码技术,实现访问控制,数据机密性和数据完整性等。WAPI协议包含两个部分:无线局域网鉴别基础结构WAI(WLAN Authentication Infrastructure)和无线局域网保密基础结构WPI(WLAN Privacy Infrastructure),其中,WAI用于完成用户的身份鉴别与密钥管理,是实现WAPI的基础。
基于WAPI的互联网接入运营的技术方案,对于运营商来说,必须易于部署,符合现有业务开展和管理流程;同时必须与现有WLAN接入业务无缝集成,例如:必须支持WAPI作为现有WLAN业务的附加业务,必须支持WAPI作为独立于WLAN业务的接入业务。对于用户来说,办理业务的程序必须简单,且符合现有业务的办理习惯;必须提供用户安全快捷、方便使用和管理的宽带无线接入业务的使用方式;使用界面必须友好,操作简单。
WAPI是一种安全认证保密基础结构,它可以为用户提供安全的服务,但是,在WLAN引入WAPI标准解决数据的传输安全性能后,WAPI标准也为基于WLAN的宽带互联网接入业务部署带来了以下新的问题和困难:电子证书的获取及其管理问题,以及用户漫游时与漫游地网络之间的信任问题。这些问题至今仍然没有得到解决。下面简要说明之:
(1)电子证书的获取及其管理问题:WAPI无线网络采用两个密钥的非对称加密算法,即设有公钥-公开密钥和私钥-私有密钥;在信息交换过程中,甲方生成一对密钥并把公钥传给乙方,乙方得到该公钥后,使用该密钥对信息进行加密后再发送给甲方;甲方再用自己保存的私钥对加密信息进行解密。甲方必须使用其专用密钥(私钥)解密由其公钥加密后的任何信息。网络中的每个用户终端都有其唯一的电子证书-用户证书。用户证书是先由认证服务器ASU为该终端颁发公钥证书,再由终端的客户端软件请求用户输入其私钥保护密码,对私钥进行加密后才生成的。因为用户证书是用户终端使用WAPI网络时表明其身份的凭证,必须对这些公钥证书进行管理,以保证安全。公钥证书的安全管理包括如何管理网络上保存的公钥证书和如何向用户终端颁发公钥证书的问题。但是,由于用户技术水平的限制和电子证书载体的实际限制,无法在用户办理业务时就为用户颁发公钥证书。因此首先需要解决用户电子证书的颁发问题。
(2)用户的异地漫游;当用户漫游异地时,需要与漫游地认证服务器ASU建立信任关系,因此用户需要持有漫游地ASU公钥证书,然而,由于用户的归属地认证服务器HASU与漫游地认证服务器ASU两者之间缺乏相互信任关系,从而无法完成对该用户身份的认证,也无法给用户发放ASU公钥证书。
因此,如何设计一种用于WAPI的获取公钥证书的网络***及其实现方法,使得互联网接入认证的运营技术方案能够更好解决用户电子证书的颁发和管理问题,为用户(尤其是异地漫游用户)提供更加安全、方便的WAPI服务,已经成为目前WAPI领域技术人员所关注和研究的热点之一。
发明内容
有鉴于此,本发明的目的是提供一种用于WAPI的获取公钥证书的网络***和实现方法,该网络***结构简单,获取公钥证书的操作步骤也比较简单,容易实现;但是,能够很好地为用户、尤其是异地漫游用户提供无线接入认证服务。
为了达到上述目的,本发明提供了一种用于WAPI的获取公钥证书的网络***,包括:因特网,电信网,位于电信网中的为用户提供身份验证、授权和计费服务的AAA服务器、用户归属地的认证服务器HASU和分别位于各个本地网的多个认证服务器ASU、以及与AAA服务器、各个认证服务器ASU和各个网络直接相连接的接入控制器AC、无线接入点AP和装有WAPI无线网卡的终端STA;STA藉由AP和AC接入网络时,ASU与STA之间通过用户公钥证书进行身份鉴别后,才允许STA接入当地网络;其特征在于:该***还包括有一个目录证书服务器DCS,该目录证书服务器DCS内存储有网络中的每个认证服务器的ASU公钥证书及认证服务器ASU颁发用户公钥证书的IP地址和端口号,以便向提出HASU公钥证书获取请求的ASU返回HASU公钥证书,使该ASU能够利用获取的HASU公钥证书对STA进行鉴别,实现WAPI网络连接;同时当终端STA需要与漫游地的ASU建立信任关系而向DCS申请该漫游地的ASU公钥证书时,DCS向STA返回该漫游地的ASU公钥证书,以便终端STA对当前网络进行鉴别,建立对当地网络的信任,实现WAPI网络连接;而当该目录证书服务器DCS接收到终端STA请求颁发用户公钥证书时,则该DCS先根据STA归属地选择其归属地认证服务器HASU,再通过该HASU的用户公钥证书颁发接口由该HASU服务器向提出用户公钥证书颁发请求的终端STA颁发用户公钥证书,并返回目录证书服务器DCS,由目录证书服务器DCS发送给终端STA,以使该STA获取对网络的信任,实现WAPI网络连接。
所述***中的目录证书服务器DCS服务器的数据库维护的信息包括有:用户验证终端STA请求颁发用户公钥证书的用户名及其密码、HASU的用于用户公钥证书颁发的IP地址和端口号。
所述终端STA在安装客户端软件时,未安装其用户公钥证书或其归属地认证服务器的HASU公钥证书,因此,终端STA首次使用时,必须先在DCS辅助下请求HASU为其颁发用户公钥证书,以及从目录证书服务器DCS下载安装其归属地的认证服务器的HASU公钥证书,以获取对本地网络的信任。
所述各个认证服务器ASU都分别存储、维护有各自信任的ASU列表,当漫游到本地的STA的归属地认证服务器HASU不在本地ASU信任的ASU列表中时,所述STA要向目录证书服务器DCS获取其归属地的HASU公钥证书,以便漫游地ASU能够鉴别该HASU公钥证书的合法性;所述终端STA都分别存储、维护有各自所信任的ASU列表,当该终端STA漫游地的ASU不在该终端STA信任的ASU列表中时,该终端STA向证书服务器DCS获取漫游地的ASU公钥证书,用于判断该漫游地ASU的合法性。
为了达到上述目的,本发明还提供了一种采用上述网络***的获取公钥证书的方法,其特征在于:当用户终端在归属地无线网络进行WAPI连接之前时,该用户终端获取用户公钥证书的流程包括下列操作步骤:
(1)STA下载归属地认证服务器的HASU公钥证书:用户终端STA在归属地首次使用客户端软件时,先要下载归属地的HASU公钥证书,以获得对本地网络的信任;具体过程是:STA先向DCS服务器请求下载HASU公钥证书,DCS服务器向该终端STA返回HASU公钥证书后,终端STA要对该HASU公钥证书进行鉴别;若鉴别成功,则保留该HASU公钥证书,将该HASU身份添加到STA的可信任ASU列表中;若鉴别失败,则丢弃该HASU公钥证书;
(2)STA请求颁发用户公钥证书:终端STA为了使用WAPI的安全数据传输,在DCS辅助下由归属地认证服务器HASU为STA颁发用户公钥证书;具体过程是:终端STA随机生成私钥和用户公钥,向DCS服务器提交用户公钥并请求为其颁发用户公钥证书;DCS服务器利用存储的用户名和密码验证STA合法性,对验证成功的STA,先根据该用户终端STA归属地位置选择归属地HASU,再向该HASU提交用户公钥,并请求该HASU为终端STA颁发用户公钥证书;在HASU返回成功签名的用户公钥证书后,DCS向该用户终端STA返回已签名的用户公钥证书,完成用户公钥证书颁发过程;
所述步骤(1)进一步包括下列操作内容:
(11)STA请求下载归属地的HASU公钥证书,连接DCS服务器;
(12)AAA服务器完成对STA的认证;
(13)终端STA向DCS服务器发送下载归属地认证服务器HASU公钥证书的请求,该信息中包含HASU身份,即HASU名称;
(14)DCS服务器向终端STA返回HASU公钥证书;
(15)终端STA鉴别HASU公钥证书的真伪,如果鉴别成功,则保留该HASU公钥证书,将该HASU添加到可信任的ASU列表中;否则,丢弃该HASU公钥证书。
所述步骤(2)进一步包括下列操作内容:
(21)用户在终端上启动颁发用户公钥证书过程,并输入请求颁发用户公钥证书的用户名和密码;此时,终端STA自动随机生成用户私钥和用户公钥;
(22)终端STA请求颁发用户公钥证书,再连接DCS服务器;
(23)AAA服务器完成对终端STA的认证;
(24)终端STA向DCS服务器提交用户公钥,请求颁发用户公钥证书;该信息包含请求颁发用户公钥证书的终端用户名和密码、以及用户公钥信息;
(25)DCS服务器鉴别用户名和密码,如鉴别成功,则向该终端归属地HASU提交用户公钥,请求为该用户终端STA颁发用户公钥证书,顺序执行后续操作;否则,向终端STA返回失败响应,结束操作;
(26)HASU对用户公钥进行签名,将已成功签名的用户公钥证书返回给DCS服务器,DCS服务器再向终端STA返回成功颁发的用户公钥证书;
为了达到上述目的,本发明又提供了一种采用上述网络***获取证书的方法,其特征在于:当用户终端在漫游地无线网络进行WAPI连接之前时,该用户终端获取用户ASU公钥证书的流程包括下列操作步骤:
(1)STA下载漫游地证书服务器ASU的公钥证书:用户漫游到异地时,先要与漫游地ASU建立信任关系,即先要下载漫游地ASU的公钥证书,以获取对本地网络的信任;具体过程是:每个终端STA都维护有各自信任的ASU列表,如果终端STA通过AP连接的ASU不在该可信任的ASU列表中时,终端STA先向DCS服务器请求下载该ASU公钥证书,DCS服务器向终端STA返回ASU公钥证书后,该终端STA要对该ASU公钥证书进行鉴别,若鉴别成功,则保留该ASU公钥证书,将该ASU添加到该STA的可信任ASU列表中;若鉴别失败,则丢弃该ASU公钥证书;
(2)ASU下载HASU公钥证书:STA与HASU建立的信任关系只能保证在本地进入WAPI安全网络,但无法在漫游地接入WAPI网络;当用户漫游到外地时,漫游地ASU同样要判断该用户终端的合法性,即要利用其归属地HASU公钥证书鉴别该用户终端STA的公钥证书,并用自己的私钥对证书鉴别结果进行签名;如果ASU没有HASU的公钥证书,则要向DCS申请下载HASU公钥证书。
所述步骤(1)进一步包括下列操作内容:
(11)STA请求下载漫游地的ASU公钥证书,连接DCS服务器;
(12)AAA服务器完成对STA的认证;
(13)终端STA向DCS服务器发送下载漫游地的ASU公钥证书的请求,该信息中包含ASU身份,即ASU名称;
(14)DCS服务器向终端STA返回该漫游地的ASU公钥证书;
(15)终端STA对ASU公钥证书进行鉴别,如果鉴别成功,则保留该ASU公钥证书,将该ASU添加到其可信任的ASU列表中;否则,丢弃该ASU公钥证书。
所述步骤(2)进一步包括下列操作内容:
(21)ASU启动获取漫游终端的归属地HASU公钥证书的过程;
(22)ASU向DCS服务器发起获取HASU公钥证书请求,该请求中包括HASU身份的信息;
(23)DCS服务器向该ASU返回HASU公钥证书;
(24)ASU对获取的HASU公钥证书进行鉴别;如果鉴别成功,则保留该HASU公钥证书,将该HASU添加至其可信任ASU列表中;若鉴别失败,则丢弃HASU公钥证书。
本发明是一种用于WAPI的获取公钥证书的网络***和方法,它的技术创新点和有益效果是:在网络***中增设一个目录证书服务器DCS,该DCS服务器存储有能为用户终端STA颁发公钥证书的各个归属地HASU的IP地址和端口号,可辅助STA获取用户终端的公钥证书,使用户获得合法身份;还存储有全网所有ASU公钥证书,向提出认证申请的ASU下载其公钥证书,以获取对网络的信任;又能够辅助ASU完成HASU公钥证书的下载,使得ASU获取对HASU的信任,进而获取对STA的信任。本发明***引入的DCS服务器较好地解决了STA与ASU获取公钥证书的问题,使得STA与ASU之间比较容易建立互相信任关系,同时还解决了用户异地漫游于网络之间的不信任问题,DCS协助用户终端STA与ASU分别完成公钥证书的下载,同时顺便建立了二者之间的信任关系,使得用户在漫游到异地时,仍然可以享受WAPI安全的网络服务。总之,本发明的实施可以更好地为用户终端、尤其是异地漫游用户终端完成公钥证书的下载获取和认证服务,具有很好的推广应用前景。
附图说明
图1是本发明基于WAPI的颁发互联网证书的网络***结构组成示意图。
图2是本发明基于WAPI的颁发互联网证书的网络***对于本地用户终端颁发证书的实现方法流程方框图。
图3是图2中步骤(1)的具体操作步骤时序图。
图4是图2中步骤(2)的具体操作步骤时序图。
图5是本发明基于WAPI的颁发互联网证书的网络***对于漫游地用户终端颁发证书的实现方法流程方框图。
图6是图5中步骤(2)的具体操作步骤时序图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面结合附图对本发明作进一步的详细描述。
参见图1,具体介绍本发明基于WAPI的实现互联网接入认证的网络***的结构组成,包括:因特网,电信网WAN,位于电信网WAN中的AAA服务器、用户归属地的HASU认证服务器、分别位于各个本地网的多个ASU认证服务器(ASU与STA之间通过证书进行身份鉴别,以使用户终端接入当地网络)、和目录证书服务器DCS,以及与AAA服务器、各个认证服务器ASU和所有网络直接相连的接入控制器AC、无线接入点AP和装有WAPI无线网卡的终端STA(包括:笔记本电脑,PDA等);STA藉由AP和AC接入网络时,ASU与STA之间通过用户公钥证书进行身份鉴别后,才允许STA接入当地网络;其中目录证书服务器DCS是该***增设的网元设备,用于存储网络中的每个认证服务器的ASU公钥证书及其颁发用户公钥证书的IP地址和端口号,以便向提出HASU公钥证书获取申请的ASU返回HASU公钥证书,使该ASU能够利用获取的HASU公钥证书对STA进行鉴别,实现WAPI网络连接;而当终端STA需要与漫游地的ASU建立信任关系而向DCS申请该漫游地的ASU公钥证书时,DCS向STA返回该漫游地的ASU公钥证书,以便终端STA对当地网络进行鉴别,建立对当地网络的信任,实现WAPI网络连接;该目录证书服务器DCS接收到终端STA请求颁发用户公钥证书时,则该DCS先根据STA归属地选择其归属地认证服务器HASU,再通过该HASU的用户公钥证书颁发接口由该HASU服务器向提出用户公钥证书颁发请求的终端STA颁发用户公钥证书,并返回给终端STA,以使该STA获取对网络的信任,实现WAPI网络连接。
该***中的各个认证服务器ASU都分别存储、维护有各自信任的ASU列表,当漫游到本地的STA的归属地认证服务器HASU不在本地ASU信任的ASU列表中时,该漫游终端STA要向目录证书服务器DCS获取其归属地的HASU公钥证书,以便漫游地ASU能够鉴别该HASU公钥证书的合法性;其中终端STA都分别存储、维护有各自所信任的ASU列表,当该终端STA漫游地的ASU不在该终端STA信任的ASU列表中时,该终端STA向证书服务器DCS获取漫游地的ASU公钥证书,用于判断该漫游地ASU的合法性。
参见图2~图6,介绍用户进行WAPI连接之前下载获取公钥证书的方法:
(一)本地操作-介绍用户终端在归属地无线网络进行WAPI连接之前时,其用户终端获取公钥证书的流程(参见图2):
(1)STA下载归属地认证服务器的HASU公钥证书:在安装客户端软件时,用户终端STA并没有安装用户公钥证书或HASU公钥证书,所以在归属地首次使用客户端软件时,先要下载HASU公钥证书,以获得对本地网络的信任。具体过程是:STA先向DCS服务器请求下载HASU公钥证书,DCS服务器向该终端STA返回HASU公钥证书后,终端STA要对该HASU公钥证书进行鉴别;若鉴别成功,则保留此HASU公钥证书,将该HASU添加到STA的可信任ASU列表中;若鉴别失败,则丢弃该HASU公钥证书。
下面参见图3具体说明该操作步骤的时序图:
(11)STA请求下载归属地的HASU公钥证书,连接DCS服务器;
(12)接入控制器AC/运营商门户网站Portal推送登陆页面;STA客户端软件拦截登陆页面,提交上网终端用户名和密码;或当终端未设置时,请求用户输入上网终端用户名和密码;
(13)AC将用户名和密码包含在Access Request消息中发给AAA服务器(如果用户处于漫游地,则转发Access Request消息给归属地AAA服务器);
(14)AAA服务器验证用户名和密码成功,则返回Access Accept消息给AC;
(15)AC将返回的成功认证信息转发给终端STA;
(16)终端STA向DCS服务器发送下载归属地认证服务器HASU公钥证书的请求,该信息中包含HASU身份,即HASU名称;
(17)DCS服务器向终端STA返回HASU公钥证书;
(18)终端STA鉴别HASU公钥证书的真伪,如果鉴别成功,则保留该HASU公钥证书,将该HASU添加到可信任的ASU列表中;否则,丢弃该HASU公钥证书。
(2)STA请求颁发用户公钥证书:用户在计算机上安装好客户端软件后,就可以使用基于WLAN的宽带互联网接入业务。尽管此时用户已经下载了HASU公钥证书,即已经信任本地网络,但用户要想使用WAPI保证无线链路上数据传输安全性,就必须在DCS辅助下由归属地认证服务器HASU为STA颁发用户公钥证书;具体过程是:终端STA随机生成私钥和用户公钥,向DCS服务器提交用户公钥并请求为其颁发用户公钥证书。DCS服务器利用存储的用户名和密码验证STA合法性,DSC服务器存储有能为用户颁发公钥证书的HASU地址,对验证成功的STA,先根据该用户终端STA归属地位置选择归属地HASU,并向该HASU提交用户公钥并请求该HASU为终端STA颁发用户公钥证书。在HASU返回成功签名的用户公钥证书后,DCS向该用户终端STA返回已签名的用户公钥证书,完成用户公钥证书颁发过程。最后该终端的客户端软件请求用户输入私钥保护密码,对私钥进行加密,生成个人用户证书文件,以便用户终端STA随身携带该用户证书。
下面参见图4具体说明用户初次使用时颁发用户公钥证书步骤的时序图:
(21)用户在终端上启动颁发用户公钥证书过程,输入请求颁发用户公钥证书的用户名和密码;此时,终端STA自动随机生成用户私钥和用户公钥;
(22)终端STA通过Open System方式连接接入控制器AC,再连接DCS服务器;
(23)AC/Portal推送登陆页面;终端STA拦截登陆页面,提交上网用户名和密码;或当用户未设置时,要求用户输入上网用户名和密码;
(24)AC将用户名和密码包含在Access Request消息中发给AAA服务器(如果用户处于漫游地,则转发Access Request消息给归属AAA);AAA服务器对用户名和密码验证成功,则返回Access Accept消息给AC;由AC将返回的成功认证信息转发给终端STA;
(25)终端STA向DCS服务器提交用户公钥,请求颁发用户公钥证书,该信息包含请求颁发用户公钥证书的终端用户名和密码、以及用户公钥信息;
(26)DCS服务器鉴别用户名和密码,如鉴别成功,则向该终端归属地HASU提交用户公钥,请求为该用户终端STA颁发该用户公钥证书,顺序执行后续操作;否则,向终端STA返回失败响应,结束操作;
(27)HASU对用户公钥进行签名,将已经成功签名的用户公钥证书返回给DCS服务器,DCS服务器再向终端STA返回成功颁发的用户公钥证书;
(28)终端STA请求用户输入私钥保护密码,对私钥进行加密,生成个人证书文件;
(29)终端STA提示用户个人证书下载成功,可以激活使用;如果此时WLAN连接是由个人证书下载启动的,则断开WLAN连接。
(二)漫游操作-介绍用户终端在漫游地无线网络进行WAPI连接之前时,其用户终端获取公钥证书的流程(参见图5):
(1)STA下载漫游地证书服务器的ASU公钥证书:用户漫游到异地时,先要与漫游地ASU建立信任关系,即先要下载漫游地的ASU公钥证书,以获取对本地网络的信任;具体过程是:每个终端STA都维护有各自信任的ASU列表,如果终端STA通过AP连接的ASU不在该可信任的ASU列表中时,终端STA先向DCS服务器请求下载该ASU公钥证书,DCS服务器向终端STA返回ASU公钥证书后,该终端STA要对该ASU公钥证书进行鉴别,若鉴别成功,则保留此ASU公钥证书,将该ASU添加到该STA的可信任ASU列表中;若鉴别失败,则丢弃该ASU公钥证书。需要说明的是:该步骤的下载漫游地ASU证书流程与图3中下载HASU公钥证书的时序图基本相同,不再赘述。
(2)ASU下载HASU公钥证书:STA与HASU之间建立的信任关系只能保证在其归属地进入WAPI安全网络,但无法在漫游地接入WAPI网络;因此,当用户终端漫游到外地时,漫游地ASU同样要判断该用户终端的合法性,即要利用其归属地HASU公钥证书鉴别该用户终端STA的用户公钥证书,并用自己的私钥对证书鉴别结果进行签名;如果ASU没有HASU公钥证书,则要向DCS申请下载HASU公钥证书。
下面参见图6具体说明ASU下载HASU公钥证书操作步骤的时序图:
(21)ASU启动获取漫游终端的归属地HASU公钥证书的过程;
(22)ASU向DCS服务器发起获取HASU公钥证书请求,该请求中包括HASU身份信息;
(23)DCS服务器向该ASU返回HASU公钥证书;
(24)ASU对获取的HASU公钥证书进行鉴别;如果鉴别成功,则保留此HASU公钥证书,将该HASU添加至其可信任ASU列表中;若鉴别失败,则丢弃HASU公钥证书。
总之,利用本发明,用户终端下载获取用户公钥证书和漫游地ASU公钥证书后,便可信任漫游地的无线网络,ASU通过终端归属地HASU对该终端进行鉴别后,也可判别该用户终端的合法性,互相建立信任关系,从而用户可以使用WAPI网络提供的安全、便捷的服务。
Claims (10)
1、一种用于WAPI的获取公钥证书的网络***,包括:因特网,电信网,位于电信网中的为用户提供身份验证、授权和计费服务的AAA服务器、用户归属地的认证服务器HASU和分别位于各个本地网的多个认证服务器ASU、以及与AAA服务器、各个认证服务器ASU和各个网络直接相连接的接入控制器AC、无线接入点AP和装有WAPI无线网卡的终端STA;STA藉由AP和AC接入网络时,ASU与STA之间通过用户公钥证书进行身份鉴别后,才允许STA接入当地网络;其特征在于:该***还包括有一个目录证书服务器DCS,该目录证书服务器DCS内存储有网络中每个认证服务器的ASU公钥证书及认证服务器ASU颁发用户公钥证书的IP地址和端口号,以便向提出HASU公钥证书获取请求的ASU返回HASU公钥证书,使该ASU能够利用获取的HASU公钥证书对STA进行鉴别,实现WAPI网络连接;同时当终端STA需要与漫游地的ASU建立信任关系而向DCS申请该漫游地的ASU公钥证书时,DCS向STA返回该漫游地的ASU公钥证书,以便终端STA对当前网络进行鉴别,建立对当地网络的信任,实现WAPI网络连接;而当该目录证书服务器DCS接收到终端STA请求颁发用户公钥证书时,则该DCS先根据STA归属地选择其归属地认证服务器HASU,再通过该HASU的用户公钥证书颁发接口由该HASU服务器向提出用户公钥证书颁发请求的终端STA颁发用户公钥证书,并返回目录证书服务器DCS,由目录证书服务器DCS发送给终端STA,实现WAPI网络连接。
2、根据权利要求1所述的网络***,其特征在于:所述***中的目录证书服务器DCS的数据库维护的信息包括有:用于验证终端STA请求颁发用户公钥证书的用户名及其密码、HASU的用于用户公钥证书颁发的IP地址和端口号。
3、根据权利要求1所述的网络***,其特征在于:所述终端STA在安装客户端软件时,未安装其用户公钥证书或其归属地认证服务器的HASU公钥证书,因此,终端STA首次使用时,必须先在DCS辅助下请求HASU为其颁发用户公钥证书,以及从目录证书服务器DCS下载安装其归属地的认证服务器的HASU公钥证书,以获取对本地网络的信任。
4、根据权利要求1所述的网络***,其特征在于:所述各个认证服务器ASU都分别存储、维护有各自信任的ASU列表,当漫游到本地的STA的归属地认证服务器HASU不在本地ASU信任的ASU列表中时,所述STA要向目录证书服务器DCS获取其归属地的HASU公钥证书,以便漫游地ASU能够鉴别该HASU公钥证书的合法性;所述终端STA都分别存储、维护有各自所信任的ASU列表,当该终端STA漫游地的ASU不在该终端STA信任的ASU列表中时,该终端STA向证书服务器DCS获取漫游地的ASU公钥证书,用于判断该漫游地ASU的合法性。
5、一种采用权利要求1所述网络***的获取公钥证书的方法,其特征在于:当用户终端在归属地无线网络进行WAPI连接之前时,该用户终端获取用户公钥证书的流程包括下列操作步骤:
(1)STA下载归属地认证服务器的HASU公钥证书:用户终端STA在归属地首次使用客户端软件时,先要下载归属地的HASU公钥证书,以获得对本地网络的信任;具体过程是:STA先向DCS服务器请求下载HASU公钥证书,DCS服务器向该终端STA返回HASU公钥证书后,终端STA要对该HASU公钥证书进行鉴别;若鉴别成功,则保留该HASU公钥证书,将该HASU身份添加到STA的可信任ASU列表中;若鉴别失败,则丢弃该HASU公钥证书;
(2)STA请求颁发用户公钥证书:终端STA为了使用WAPI的安全数据传输,在DCS辅助下由归属地认证服务器HASU为STA颁发用户公钥证书;具体过程是:终端STA随机生成私钥和用户公钥,向DCS服务器提交用户公钥并请求为其颁发用户公钥证书;DCS服务器利用存储的用户名和密码验证STA合法性,对验证成功的STA,先根据该用户终端STA归属地位置选择归属地HASU,再向该HASU提交用户公钥,并请求该HASU为终端STA颁发用户公钥证书;在HASU返回成功签名的用户公钥证书后,DCS向该用户终端STA返回已签名的用户公钥证书,完成用户公钥证书颁发过程。
6、根据权利要求5所述的获取公钥证书的方法,其特征在于:所述步骤(1)进一步包括下列操作内容:
(11)STA请求下载归属地的HASU公钥证书,连接DCS服务器;
(12)AAA服务器完成对STA的认证;
(13)终端STA向DCS服务器提交下载归属地认证服务器HASU公钥证书的请求,该信息中包含HASU身份,即HASU名称;
(14)DCS服务器向终端STA返回HASU公钥证书;
(15)终端STA鉴别HASU公钥证书的真伪,如果鉴别成功,则保留该HASU公钥证书,将该HASU添加到可信任的ASU列表中;否则,丢弃该HASU公钥证书。
7、根据权利要求5所述的获取公钥证书的方法,其特征在于:所述步骤(2)进一步包括下列操作内容:
(21)用户在终端上启动颁发用户公钥证书过程,并输入请求颁发用户公钥证书的用户名和密码;此时,终端STA自动随机生成用户私钥和用户公钥;
(22)终端STA请求颁发用户公钥证书,连接DCS服务器;
(23)AAA服务器完成对终端STA的认证;
(24)终端STA向DCS服务器提交用户公钥,请求颁发用户公钥证书;该请求信息包含请求颁发用户公钥证书的终端用户名和密码、以及用户公钥信息;
(25)DCS服务器鉴别用户名和密码,如鉴别成功,则向该终端归属地HASU提交用户公钥,请求为该用户终端STA颁发用户公钥证书,顺序执行后续操作;否则,向终端STA返回失败响应,结束操作;
(26)HASU对用户公钥进行签名,将已成功签名的用户公钥证书返回给DCS服务器,DCS服务器再向终端STA返回成功颁发的用户公钥证书;
8、一种采用权利要求1所述网络***的获取公钥证书的方法,其特征在于:当用户终端在漫游地无线网络进行WAPI连接之前时,该用户终端获取用户ASU公钥证书的流程包括下列操作步骤:
(1)STA下载漫游地证书服务器的ASU公钥证书:用户漫游到异地时,先要与漫游地ASU建立信任关系,即先要下载漫游地的ASU公钥证书,以获取对本地网络的信任;具体过程是:每个终端STA都维护有各自信任的ASU列表,如果终端STA通过AP连接的ASU不在该可信任的ASU列表中时,终端STA先向DCS服务器请求下载该ASU公钥证书,DCS服务器向终端STA返回ASU公钥证书后,该终端STA要对该ASU公钥证书进行鉴别,若鉴别成功,则保留该ASU公钥证书,将该ASU添加到该STA的可信任ASU列表中;若鉴别失败,则丢弃该ASU公钥证书;
(2)ASU下载HASU公钥证书:STA与HASU建立的信任关系只能保证在本地进入WAPI安全网络,但无法在漫游地接入WAPI网络;当用户漫游到外地时,漫游地ASU同样要判断该用户终端的合法性,即要利用其归属地HASU公钥证书鉴别该用户终端STA的用户公钥证书,并用自己的私钥对证书鉴别结果进行签名;如果ASU没有HASU公钥证书,则要向DCS申请下载HASU公钥证书。
9、根据权利要求8所述的获取公钥证书的方法,其特征在于:所述步骤(1)进一步包括下列操作内容:
(11)STA请求下载漫游地的ASU公钥证书,连接DCS服务器;
(12)AAA服务器完成对STA的认证;
(13)终端STA向DCS服务器发送下载漫游地的ASU公钥证书的请求,该信息中包含ASU身份,即ASU名称;
(14)DCS服务器向终端STA返回该漫游地的ASU公钥证书;
(15)终端STA对ASU公钥证书进行鉴别,如果鉴别成功,则保留该ASU公钥证书,将该ASU添加到其可信任的ASU列表中;否则,丢弃该ASU公钥证书。
10、根据权利要求8所述的获取公钥证书的方法,其特征在于:所述步骤(2)进一步包括下列操作内容:
(21)ASU启动获取漫游终端的归属地HASU公钥证书的过程;
(22)ASU向DCS服务器发起获取HASU公钥证书请求,该请求中包括HASU身份的信息;
(23)DCS服务器向该ASU返回HASU公钥证书;
(24)ASU对获取的HASU公钥证书进行鉴别;如果鉴别成功,则保留该HASU公钥证书,将该HASU添加至其可信任ASU列表中;若鉴别失败,则丢弃HASU公钥证书。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB2007100644352A CN100456725C (zh) | 2007-03-15 | 2007-03-15 | 用于wapi的获取公钥证书的网络***和方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB2007100644352A CN100456725C (zh) | 2007-03-15 | 2007-03-15 | 用于wapi的获取公钥证书的网络***和方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101018174A CN101018174A (zh) | 2007-08-15 |
| CN100456725C true CN100456725C (zh) | 2009-01-28 |
Family
ID=38726939
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNB2007100644352A Expired - Fee Related CN100456725C (zh) | 2007-03-15 | 2007-03-15 | 用于wapi的获取公钥证书的网络***和方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN100456725C (zh) |
Families Citing this family (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN100566240C (zh) * | 2007-11-16 | 2009-12-02 | 西安西电捷通无线网络通信有限公司 | 一种wapi单播密钥协商方法 |
| CN100593936C (zh) * | 2008-05-09 | 2010-03-10 | 西安西电捷通无线网络通信有限公司 | 一种基于wapi的漫游认证方法 |
| CN101425909B (zh) * | 2008-09-28 | 2011-06-01 | 西安西电捷通无线网络通信股份有限公司 | 一种实现wapi***终端零干预计费的方法 |
| CN101466079A (zh) * | 2009-01-12 | 2009-06-24 | 中兴通讯股份有限公司 | 电子邮件的传送方法、***及wapi终端 |
| CN101540679B (zh) * | 2009-04-30 | 2011-09-21 | 中兴通讯股份有限公司 | 获取无线局域网鉴别和保密基础结构证书的方法及*** |
| CN101754203B (zh) * | 2009-12-25 | 2014-04-09 | 宇龙计算机通信科技(深圳)有限公司 | 一种wapi证书获取方法、装置及网络*** |
| CN102196438A (zh) | 2010-03-16 | 2011-09-21 | 高通股份有限公司 | 通信终端标识号管理的方法和装置 |
| CN102202302B (zh) * | 2010-03-23 | 2016-01-20 | 中兴通讯股份有限公司 | 结合网络及无线传感器网络终端加入网络的方法 |
| US9112905B2 (en) | 2010-10-22 | 2015-08-18 | Qualcomm Incorporated | Authentication of access terminal identities in roaming networks |
| US9668128B2 (en) | 2011-03-09 | 2017-05-30 | Qualcomm Incorporated | Method for authentication of a remote station using a secure element |
| CN102307349B (zh) * | 2011-08-16 | 2015-04-01 | 宇龙计算机通信科技(深圳)有限公司 | 无线网络的接入方法、终端和服务器 |
| CN105850095B (zh) | 2014-01-08 | 2019-04-12 | 华为技术有限公司 | 认证关联方法及*** |
| CN107147636A (zh) * | 2017-05-03 | 2017-09-08 | 北京小米移动软件有限公司 | 邮件传输方法及装置 |
| CN112136299B (zh) * | 2018-05-17 | 2023-02-14 | 诺基亚技术有限公司 | 经由公共服务提供方网络上的vpn连接性促进住宅无线漫游 |
| CN112312395B (zh) * | 2019-07-17 | 2023-03-31 | 中国电信股份有限公司 | Wapi证书集中分发方法和*** |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20050081036A1 (en) * | 2002-06-20 | 2005-04-14 | Hsu Raymond T. | Key generation in a communication system |
| CN1674497A (zh) * | 2004-03-26 | 2005-09-28 | 华为技术有限公司 | Wlan终端接入移动网络的认证方法 |
| CN1725685A (zh) * | 2004-07-22 | 2006-01-25 | 中兴通讯股份有限公司 | 无线局域网移动终端的安全重认证方法 |
-
2007
- 2007-03-15 CN CNB2007100644352A patent/CN100456725C/zh not_active Expired - Fee Related
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20050081036A1 (en) * | 2002-06-20 | 2005-04-14 | Hsu Raymond T. | Key generation in a communication system |
| CN1674497A (zh) * | 2004-03-26 | 2005-09-28 | 华为技术有限公司 | Wlan终端接入移动网络的认证方法 |
| CN1725685A (zh) * | 2004-07-22 | 2006-01-25 | 中兴通讯股份有限公司 | 无线局域网移动终端的安全重认证方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101018174A (zh) | 2007-08-15 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN100456725C (zh) | 用于wapi的获取公钥证书的网络***和方法 | |
| US8161278B2 (en) | System and method for distributing keys in a wireless network | |
| AU2011309758B2 (en) | Mobile handset identification and communication authentication | |
| CN100456726C (zh) | 基于wapi的互联网接入认证的实现方法 | |
| CN1753359B (zh) | 实现传输SyncML同步数据的方法 | |
| US9392453B2 (en) | Authentication | |
| CN101156352B (zh) | 基于移动网络端到端通信的认证方法、***及认证中心 | |
| CN113746632B (zh) | 一种物联网***多级身份认证方法 | |
| US11736304B2 (en) | Secure authentication of remote equipment | |
| US20070098176A1 (en) | Wireless LAN security system and method | |
| KR20180095873A (ko) | 무선 네트워크 접속 방법 및 장치, 및 저장 매체 | |
| CN101772024B (zh) | 一种用户身份确定方法及装置和*** | |
| WO2007085175A1 (fr) | Procédé, système d'authentification et centre d'authentification reposant sur des communications de bout en bout dans le réseau mobile | |
| CN101371550A (zh) | 自动安全地向移动通信终端的用户供给在线服务的服务访问凭证的方法和*** | |
| CN101426190A (zh) | 一种服务访问认证方法和*** | |
| CN100499453C (zh) | 一种客户端认证的方法 | |
| CN113972995A (zh) | 一种网络配置方法及装置 | |
| JP4499575B2 (ja) | ネットワークセキュリティ方法およびネットワークセキュリティシステム | |
| CN213938340U (zh) | 5g应用接入认证网络架构 | |
| CN101454767B (zh) | 安全无线网络中的动态认证 | |
| KR101550425B1 (ko) | 유심 인증을 이용한 서비스 제공 시스템 및 방법 | |
| CN101917722B (zh) | 一种无线城域网终端非归属地接入身份鉴别的方法 | |
| Lee et al. | A secure wireless lan access technique for home network | |
| Wang et al. | A wireless mesh network secure access method based on identity-based signature | |
| CN101925061B (zh) | 一种无线城域网终端非归属地接入身份鉴别的方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20090128 Termination date: 20160315 |