CN101521883B - 一种数字证书的更新和使用方法及*** - Google Patents
一种数字证书的更新和使用方法及*** Download PDFInfo
- Publication number
- CN101521883B CN101521883B CN2009101284955A CN200910128495A CN101521883B CN 101521883 B CN101521883 B CN 101521883B CN 2009101284955 A CN2009101284955 A CN 2009101284955A CN 200910128495 A CN200910128495 A CN 200910128495A CN 101521883 B CN101521883 B CN 101521883B
- Authority
- CN
- China
- Prior art keywords
- terminal
- digital certificate
- certificate
- updated
- request
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
- H04L9/3268—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/50—Secure pairing of devices
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/80—Wireless
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W84/00—Network topologies
- H04W84/02—Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
- H04W84/10—Small scale networks; Flat hierarchical networks
- H04W84/12—WLAN [Wireless Local Area Networks]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W88/00—Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
- H04W88/08—Access point devices
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
- Small-Scale Networks (AREA)
Abstract
一种数字证书的更新和使用方法及***,该方法包括:第一终端与接入点AP建立安全链路;第一终端使用所述安全链路向所述AP发送证书更新请求,所述证书更新请求中包含所述第一终端当前使用的待更新数字证书;所述AP将所述待更新数字证书发送给该证书的颁发机构;所述颁发机构对所述待更新数字证书验证通过后,自行生成、或指示所述AP对应的本地鉴别服务单元ASU生成所述第一终端的新数字证书,并将所述新数字证书通过所述AP发送给所述第一终端。采用本发明的方法和***,终端可以通过数字证书格式的转换,实现与使用不同数字证书的终端建立自组网通信,而无需在每一终端上实现对多种数字证书格式的支持,提高了终端之间的互通性。
Description
技术领域
本发明涉及无线局域网领域,尤其涉及一种无线局域网设备数字证书的更新和使用方法及***。
背景技术
由IEEE(Institute of Electrical and Electronics Engineers,电气和电子工程师协会)制订的无线局域网标准(IEEE 802.11)的安全机制采用了WEP(Wried Equivalent Privacy,有线等效隐私),目前这种机制已被广泛证明不具备等效于有线的安全性,给无线局域网带来了巨大的安全隐患。因此,在无线局域网国家标准的制定中,采用了WAPI(WLAN Authenticatin andPrivacy Infrastructure,无线局域网认证和隐私基础结构)机制来实现无线局域网的安全。WAPI机制通过公钥体系的ECDH(椭圆曲线迪菲-赫尔曼的密钥交换方法)实现终端数字证书与AP(Access Point,接入点)数字证书的验证和会话密钥的协商。WAPI可以在数据链路层上保证终端与AP之间的数据保密传输,防范恶意人员对无线局域网的安全攻击,例如中间人攻击、重放攻击和冒名顶替攻击等。
WAPI支持两种格式的数字证书(简称证书):X.509v3和GBW(国家级标准物质)证书。GBW证书格式如图1所示,它由版本号、序列号、颁发者名称、有效期、持有者名称、持有者公钥、扩展、签名算法和颁发者签名等字段信息组成,其中持有者名称、扩展、签名算法和颁发者签名是可选信息。
X.509v3证书格式如图2所示。它由证书内容、签名算法和签名值三部分组成。其中证书内容部分中包括:版本号、序列号、签名算法标识、颁发者、有效期、证书持有者名称、证书持有者公钥信息、颁发者唯一性标识、证书持有者唯一性标识、扩展信息。它采用ASN.1(Abstract Syntax Notation.1,抽象语法标记)DER(distinguished encoding rules,可区别编码规则)进行编码,每一个字段信息都是包含标签、长度、值的三元组。
尽管WAPI支持的两种证书格式存在一些相同字段,例如版本号、序列号、颁发者名称、有效期、持有者名称、持有者公钥、签名算法和颁发者签名字段信息,但是它们的表示方法不同。GBW证书直接采用网络字节序进行存储,而X.509v3采用ASN.1进行二进制存储。有些字段虽然信息内容一样,但解释方法也不一样。例如有效期,GBW用秒数进行表示,而X.509v3则采用起始日期和终止日期进行表示。
由于存在两种证书格式,因此需要不同的证书验证方式。在自组网模式(也称为IBSS(Independent Basic Service Set,独立基本服务组)模式)下,如果采用WAPI的证书安全方式,终端需要对证书进行验证,而国家标准中并没有强制要求终端必须采用哪一种格式的证书、也没有强制要求终端必须支持哪一种格式的证书验证,因而在自组网模式下,采用证书方式的WAPI框架势必带来互操作性问题。
发明内容
本发明所要解决的技术问题是,克服现有技术的不足,提供一种数字证书的更新和使用方法,使终端可以进行数字证书的更新。
为了解决上述问题,本发明提供一种数字证书的更新和使用方法,该方法包括:
第一终端与接入点AP建立安全链路;
第一终端使用所述安全链路向所述AP发送证书更新请求,所述证书更新请求中包含所述第一终端当前使用的待更新数字证书;所述AP将所述待更新数字证书发送给该证书的颁发机构;
所述颁发机构对所述待更新数字证书验证通过后,自行生成、或指示所述AP对应的本地鉴别服务单元ASU生成所述第一终端的新数字证书,并将所述新数字证书通过所述AP发送给所述第一终端。
此外,如果所述颁发机构与所述本地ASU为不同的ASU,则AP采用如下方式将所述待更新数字证书发送给所述颁发机构:
AP将包含所述待更新数字证书的证书更新请求发送给所述本地ASU;
所述本地ASU根据所述待更新数字证书中的颁发者名称字段将包含所述待更新数字证书的获取证书签发策略请求发送给所述颁发机构。
此外,所述颁发机构对所述待更新数字证书验证通过后,采用如下方式指示所述本地ASU生成所述新数字证书,并将其发送给所述第一终端:
所述颁发机构吊销所述待更新数字证书,并向所述本地ASU发送获取证书签发策略响应,指示其生成所述新数字证书;
所述本地ASU生成所述新数字证书后,将其包含在证书更新响应中发送给所述AP;
所述AP使用所述安全链路将所述新数字证书发送给所述第一终端。
此外,所述证书更新请求中包含数字证书格式标识;所述AP将所述待更新数字证书发送给所述颁发机构时,还将所述数字证书格式标识发送给所述颁发机构;
所述颁发机构自行生成、或指示所述本地ASU采用与所述数字证书格式标识相对应的格式生成所述新数字证书。
此外,所述第一终端与所述AP建立安全链路前,还包括如下步骤:
第二终端向所述第一终端发送信标探询帧,所述信标探询帧中包含所述第二终端的数字证书格式信息;
接收到所述信标探询帧后,如果所述第二终端的数字证书格式与所述第一终端的数字证书格式不同,则所述第一终端发送所述包含数字证书格式标识的证书更新请求;所述数字证书格式标识用于标识所述第二终端的数字证书格式。
此外,接收到所述新数字证书后,所述第一终端向所述第二终端发送鉴别激活请求,该请求中包含所述新数字证书;
接收到所述鉴别激活请求后,所述第二终端对所述新证书进行验证,验证通过后,所述第二终端打开受控端口,允许接收来自所述第一终端的数据流,并向所述第一终端发送接入鉴别请求,该请求中包含所述第二终端的数字证书;
接收到所述接入鉴别请求后,所述第一终端对所述第二终端的数字证书进行验证,验证通过后,所述第一终端打开受控端口,允许接收来自所述第二终端的数据流。
本发明还提供一种数字证书的更新和使用***,包括:第一终端、接入点;所述***还包含:作为所述第一终端当前使用的待更新数字证书的颁发机构的本地ASU、或包含本地ASU和所述待更新数字证书的颁发机构;其特征在于:
所述第一终端用于在与所述AP建立安全链路后,使用所述安全链路向所述AP发送证书更新请求,所述证书更新请求中包含所述第一终端当前使用的待更新数字证书;
所述AP用于将所述待更新数字证书发送给所述颁发机构;
所述颁发机构用于对所述待更新数字证书验证通过后,自行生成、或指示所述本地ASU生成所述第一终端的新数字证书,并将所述新数字证书通过所述AP发送给所述第一终端。
此外,所述证书更新请求中包含数字证书格式标识;
所述AP还用于在将所述待更新数字证书发送给所述颁发机构时,将所述数字证书格式标识发送给所述颁发机构;
所述颁发机构自行生成、或指示所述本地ASU采用与所述数字证书格式标识相对应的格式生成所述新数字证书。
此外,所述***中还包含第二终端;所述第二终端用于向所述第一终端发送信标探询帧,所述信标探询帧中包含所述第二终端的数字证书格式信息;
接收到所述信标探询帧后,如果所述第二终端的数字证书格式与所述第一终端的数字证书格式不同,则所述第一终端发送所述包含数字证书格式标识的证书更新请求;所述数字证书格式标识用于标识所述第二终端的数字证书格式。
此外,所述第一终端还用于在接收到所述新数字证书后,向所述第二终端发送鉴别激活请求,该请求中包含所述新数字证书;
所述第二终端还用于在接收到所述鉴别激活请求后,对所述新证书进行验证,验证通过后打开受控端口,允许接收来自所述第一终端的数据流,并向所述第一终端发送接入鉴别请求,该请求中包含所述第二终端的数字证书;
所述第一终端还用于在接收到所述接入鉴别请求后,对所述第二终端的数字证书进行验证,验证通过后打开受控端口,允许接收来自所述第二终端的数据流。
综上所述,采用本发明的方法和***,可以实现数字证书的更新,尤其是可以进行数字证书格式的转换。终端可以通过数字证书格式的转换,实现与使用不同数字证书的终端建立自组网通信,而无需在每一终端上实现对多种数字证书格式的支持,简化了终端的设计,提高了终端之间的互通性。
附图说明
图1是现有技术中的GBW证书格式示意图;
图2是现有技术中的X.509v3证书格式示意图;
图3是本发明实施例在自组网通信的建立过程中进行数字证书转换的方法(数字证书的更新和使用方法)流程图。
具体实施方式
下面将首先对本发明的数字证书的更新和使用***进行简要的描述,该***中的各网元功能、以及各网元之间的连接关系(即消息交互关系)将在对本发明的数字证书的更新和使用方法进行说明时进一步描述。
本发明的数字证书的更新和使用***包含:第一终端(UE-A)、接入点(AP);该***还包含:作为第一终端当前使用的待更新数字证书的颁发机构的本地ASU、或包含本地ASU和所述待更新数字证书的颁发机构(称为颁发ASU);
所述第一终端用于在与所述AP建立安全链路后,使用所述安全链路向所述AP发送证书更新请求,所述证书更新请求中包含所述第一终端当前使用的待更新数字证书;
所述AP用于将所述待更新数字证书发送给所述颁发机构;
所述颁发机构用于对所述待更新数字证书验证通过后,自行生成、或指示所述本地ASU生成所述第一终端的新数字证书,并将所述新数字证书通过所述AP发送给所述第一终端。
下面将结合附图和实施例对本发明的数字证书的更新和使用进行详细描述。
图3是本发明实施例在自组网通信的建立过程中进行数字证书转换的方法(数字证书的更新和使用方法)流程图。如图3所示,本实施例中,当具有WAPI功能的两个终端(分别称为UE-A和UE-B)要建立自组网通信,两个终端的证书格式不一致,一个终端采用国家标准的GBW格式,另一个终端采用X.509v3格式,有一个终端(本实施例中为UE-A)能够识别两种格式的证书,需要按以下步骤实现证书格式的转换后才能进行证书方式的WAPI自组网通信:
301:UE-A想要与UE-B建立自组网通信,UE-A启动扫描过程,向UE-B发送信标探询帧。
302:UE-B收到信标探询帧后,将自己的无线通道信息和WAPI安全信息包含在信标探询响应帧中发送给UE-A;其中,WAPI安全信息中包括UE-B的证书格式信息。
303:UE-A收到信标探询响应帧后,检测到UE-B的证书与自身的证书格式不一致,无法与UE-B进行通信,需要与证书签发机构,即ASU(Authentication Service Unit,鉴别服务单元)进行通信,以便将自身的证书转换为所需的格式,更新本地证书信息。
304:UE-A与本地AP进行链路验证和关联。
UE-A与本地AP完成链路验证和关联后,将进行接入鉴别过程(步骤305~309):
305:AP向UE-A发送鉴别激活请求以启动WAPI的鉴别过程;上述鉴别激活请求中包含:AP的证书、以及ECDH参数、本地ASU标识和鉴别标识等信息。
306:收到AP发送的鉴别激活原语后,UE-A向AP发送接入鉴别请求;接入鉴别请求中包含:UE-A的证书、AP的证书、ECDH参数及用于ECDH交换的临时公钥PX等信息。
307:AP收到UE-A发送的接入鉴别请求后,向本地ASU发送证书鉴别请求;证书鉴别请求中包含:AP的证书、UE-A的证书和AP生成的随机数等信息。
308:本地ASU验证UE-A的证书和AP的证书,根据UE-A的证书和AP的证书的验证结果,构造证书鉴别响应,并且附加相应的签名,发往AP。
309:AP对本地ASU返回的证书鉴别响应进行签名验证,得到终端证书的鉴别结果,如果终端证书的鉴别结果为成功,则使用其生成的用于ECDH交换的临时私钥SY、UE-A发送的临时公钥PX进行ECDH计算,得到密钥种子,使用该密钥种子生成基密钥BK;并向UE-A发送接入鉴别响应;接入鉴别响应中包含:AP生成的用于ECDH交换的临时公钥PY和证书验证结果等信息;
UE-A接收到接入鉴别响应后,使用其生成的临时私钥SX、以及接入鉴别响应中包含的临时公钥PY进行ECDH计算,得到密钥种子,并使用该密钥种子生成基密钥BK。
需要注意的是,根据ECDH交换的原理,AP生成的BK与UE-A生成的BK相同。
UE-A与本地AP、本地ASU交互完成接入鉴别过程后,使用接入鉴别过程中生成的基密钥BK进行单播密钥协商(步骤310~312):
310:AP生成随机数N1,并将其包含在单播密钥协商请求中发送给UE-A。
311:UE-A收到单播密钥协商请求后,生成随机数N2,然后将N1和N2作为参数,BK作为密钥,使用带密钥的哈希(HASH)算法生成单播密钥USK;并向AP发送单播密钥协商响应,单播密钥协商响应中包含随机数N2。
312:AP接收到单播密钥协商响应后,将N1和N2作为参数,BK作为密钥,使用带密钥的哈希(HASH)算法生成单播密钥USK,并向UE-A发送单播密钥协商确认,完成单播密钥的协商过程。
此后,AP与UE-A之间可以采用上述单播密钥进行链路层的加密和解密,在安全的链路上进行证书的转换过程(步骤313~318):
313:UE-A使用其与AP之间的安全链路,向AP发送证书更新请求;该请求中包含:UE-A当前正在使用的证书(旧证书)、想要转换的证书格式(简称目标格式)等信息。
314:AP收到UE-A的证书更新请求后,将其转发给本地ASU。
315:本地ASU收到证书更新请求后,提取证书内容,并根据证书内容中的颁发者名称字段向颁发该证书的ASU(简称颁发ASU)发送获取证书签发策略请求;该请求中包含UE-A的证书。
316:原证书颁发机构验证UE-A证书的有效性和完整性,确认合法有效后,吊销原证书,并向本地ASU发送获取证书签发策略响应,指示本地ASU作为新的证书颁发机构,根据UE-A的要求重新颁发特定格式的证书。
317:本地ASU收到获取证书签发策略响应后,如果颁发ASU允许本地ASU作为新的证书颁发机构,则根据用户的要求,提取原证书各字段的信息,生成新证书的各字段,并进行签名生成新证书,将新证书通过证书更新响应发给AP。
318:AP将证书更新响应发送给UE-A。
至此,UE-A的证书更换过程完成,原证书被吊销。以后的通信过程可以采用新的证书。
319:由UE-A发送鉴别激活请求以启动与另一终端UE-B的WAPI鉴别过程;激活鉴别请求中包含:UE-A的新证书。
320:UE-B收到UE-A发送的鉴别激活请求后,对UE-A的新证书进行验证。
321:如果证书验证成功,则UE-B打开受控端口,允许接收来自UE-A的数据流,向UE-A发送接入鉴别请求,接入鉴别请求中包含UE-B的证书。
322:UE-A收到UE-B的接入鉴别请求后,对UE-B的证书进行验证。
323:如果证书验证成功,UE-A打开受控端口,允许接收来自UE-B的数据流,并向UE-A发送接入鉴别响应。
至此UE-A和UE-B实现双向认证过程,双方之间可以再进行一轮密钥协商过程,对两者之间的数据流量进行保密传输。
根据本发明的基本原理,上述实施例还可以有多种变换方式,例如:
(一)如果本地ASU就是UE-A的当前使用的证书的颁发机构,可以省略步骤315~316,由本地ASU直接进行证书的更新和原证书的吊销处理。
(二)在步骤316中,UE-A的当前使用的证书的颁发机构可以自行进行证书的更新,并将新证书包含在获取证书签发策略响应中发送给本地ASU,本地ASU将该新证书通过AP发送给UE-A。
(三)除了使用上述证书更新过程进行证书格式的转换外,终端也可以在当前证书快要到期,先通过该证书与AP建立安全链路,再使用该安全链路发起证书更新请求,向证书颁发机构ASU申请新的证书。
(四)终端除了采用步骤305~309描述的基于证书的接入鉴别过程和步骤310~312描述的单播密钥协商过程建立与AP的安全链路外,还可以根据WAPI标准基于预共享密钥与AP建立安全链路。
Claims (10)
1.一种数字证书的更新和使用方法,其特征在于,该方法包括:
第一终端与接入点AP建立安全链路;
第一终端使用所述安全链路向所述AP发送证书更新请求,所述证书更新请求中包含所述第一终端当前使用的待更新数字证书;所述AP将所述待更新数字证书发送给该证书的颁发机构;
所述颁发机构对所述待更新数字证书验证通过后,自行生成、或指示所述AP对应的本地鉴别服务单元ASU生成所述第一终端的新数字证书,并将所述新数字证书通过所述AP发送给所述第一终端。
2.如权利要求1所述的方法,其特征在于,
如果所述颁发机构与所述本地ASU为不同的ASU,则AP采用如下方式将所述待更新数字证书发送给所述颁发机构:
AP将包含所述待更新数字证书的证书更新请求发送给所述本地ASU;
所述本地ASU根据所述待更新数字证书中的颁发者名称字段将包含所述待更新数字证书的获取证书签发策略请求发送给所述颁发机构。
3.如权利要求2所述的方法,其特征在于,
所述颁发机构对所述待更新数字证书验证通过后,采用如下方式指示所述本地ASU生成所述新数字证书,并将其发送给所述第一终端:
所述颁发机构吊销所述待更新数字证书,并向所述本地ASU发送获取证书签发策略响应,指示其生成所述新数字证书;
所述本地ASU生成所述新数字证书后,将其包含在证书更新响应中发送给所述AP;
所述AP使用所述安全链路将所述新数字证书发送给所述第一终端。
4.如权利要求1至3中任一权利要求所述的方法,其特征在于,
所述证书更新请求中包含数字证书格式标识;所述AP将所述待更新数字证书发送给所述颁发机构时,还将所述数字证书格式标识发送给所述颁发机构;
所述颁发机构自行生成、或指示所述本地ASU采用与所述数字证书格式标识相对应的格式生成所述新数字证书。
5.如权利要求4所述的方法,其特征在于,
所述第一终端与所述AP建立安全链路前,还包括如下步骤:
第二终端向所述第一终端发送信标探询帧,所述信标探询帧中包含所述第二终端的数字证书格式信息;
接收到所述信标探询帧后,如果所述第二终端的数字证书格式与所述第一终端的数字证书格式不同,则所述第一终端发送所述包含数字证书格式标识的证书更新请求;所述数字证书格式标识用于标识所述第二终端的数字证书格式。
6.如权利要求5所述的方法,其特征在于,
接收到所述新数字证书后,所述第一终端向所述第二终端发送鉴别激活请求,该鉴别激活请求中包含所述新数字证书;
接收到所述鉴别激活请求后,所述第二终端对所述数字新证书进行验证,验证通过后,所述第二终端打开受控端口,允许接收来自所述第一终端的数据流,并向所述第一终端发送接入鉴别请求,该接入鉴别请求中包含所述第二终端的数字证书;
接收到所述接入鉴别请求后,所述第一终端对所述第二终端的数字证书进行验证,验证通过后,所述第一终端打开受控端口,允许接收来自所述第二终端的数据流。
7.一种数字证书的更新和使用***,包括:第一终端、接入点AP;所述***还包含:作为所述第一终端当前使用的待更新数字证书的颁发机构的本地ASU、或包含本地ASU和所述待更新数字证书的颁发机构;其特征在于:
所述第一终端用于在与所述AP建立安全链路后,使用所述安全链路向所述AP发送证书更新请求,所述证书更新请求中包含所述第一终端当前使用的待更新数字证书;
所述AP用于将所述待更新数字证书发送给所述颁发机构;
所述颁发机构用于对所述待更新数字证书验证通过后,自行生成、或指示所述本地ASU生成所述第一终端的新数字证书,并将所述新数字证书通过所述AP发送给所述第一终端。
8.如权利要求7所述的***,其特征在于,
所述证书更新请求中包含数字证书格式标识;
所述AP还用于在将所述待更新数字证书发送给所述颁发机构时,将所述数字证书格式标识发送给所述颁发机构;
所述颁发机构自行生成、或指示所述本地ASU采用与所述数字证书格式标识相对应的格式生成所述新数字证书。
9.如权利要求8所述的***,其特征在于,
所述***中还包含第二终端;所述第二终端用于向所述第一终端发送信标探询帧,所述信标探询帧中包含所述第二终端的数字证书格式信息;
接收到所述信标探询帧后,如果所述第二终端的数字证书格式与所述第一终端的数字证书格式不同,则所述第一终端发送所述包含数字证书格式标识的证书更新请求;所述数字证书格式标识用于标识所述第二终端的数字证书格式。
10.如权利要求9所述的***,其特征在于,
所述第一终端还用于在接收到所述新数字证书后,向所述第二终端发送鉴别激活请求,该鉴别激活请求中包含所述新数字证书;
所述第二终端还用于在接收到所述鉴别激活请求后,对所述数字新证书进行验证,验证通过后打开受控端口,允许接收来自所述第一终端的数据流,并向所述第一终端发送接入鉴别请求,该接入鉴别请求中包含所述第二终端的数字证书;
所述第一终端还用于在接收到所述接入鉴别请求后,对所述第二终端的数字证书进行验证,验证通过后打开受控端口,允许接收来自所述第二终端的数据流。
Priority Applications (4)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2009101284955A CN101521883B (zh) | 2009-03-23 | 2009-03-23 | 一种数字证书的更新和使用方法及*** |
| US13/202,164 US8762710B2 (en) | 2009-03-23 | 2009-08-20 | Method and system for updating and using digital certificates |
| PCT/CN2009/073388 WO2010108347A1 (zh) | 2009-03-23 | 2009-08-20 | 一种数字证书的更新和使用方法及*** |
| EP09842081.3A EP2413558B1 (en) | 2009-03-23 | 2009-08-20 | Method and system for updating and using digital certificates |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2009101284955A CN101521883B (zh) | 2009-03-23 | 2009-03-23 | 一种数字证书的更新和使用方法及*** |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101521883A CN101521883A (zh) | 2009-09-02 |
| CN101521883B true CN101521883B (zh) | 2011-01-19 |
Family
ID=41082208
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2009101284955A Active CN101521883B (zh) | 2009-03-23 | 2009-03-23 | 一种数字证书的更新和使用方法及*** |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US8762710B2 (zh) |
| EP (1) | EP2413558B1 (zh) |
| CN (1) | CN101521883B (zh) |
| WO (1) | WO2010108347A1 (zh) |
Families Citing this family (31)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102006671B (zh) * | 2009-08-31 | 2014-06-18 | 中兴通讯股份有限公司 | 一种实现来电转接的***及方法 |
| CN101741848B (zh) * | 2009-12-22 | 2012-10-24 | 北京九恒星科技股份有限公司 | ***用户的数字证书绑定方法、***及数字证书认证中心 |
| US9197420B2 (en) | 2010-01-06 | 2015-11-24 | International Business Machines Corporation | Using information in a digital certificate to authenticate a network of a wireless access point |
| CN101909058B (zh) * | 2010-07-30 | 2013-01-16 | 天维讯达无线电设备检测(北京)有限责任公司 | 一种适合可信连接架构的平台鉴别策略管理方法及*** |
| CN103117987B (zh) * | 2011-11-17 | 2016-08-03 | 航天信息股份有限公司 | 数字证书更新方法 |
| US8793485B2 (en) * | 2011-12-15 | 2014-07-29 | Texas Instruments Incorporated | Combined digital certificate |
| CN102404736B (zh) * | 2011-12-28 | 2014-07-02 | 西安西电捷通无线网络通信股份有限公司 | 一种wai 证书鉴别方法及装置 |
| US8856514B2 (en) * | 2012-03-12 | 2014-10-07 | International Business Machines Corporation | Renewal processing of digital certificates in an asynchronous messaging environment |
| CN102624531B (zh) * | 2012-04-25 | 2014-12-03 | 西安西电捷通无线网络通信股份有限公司 | 一种数字证书自动申请方法和装置及*** |
| DE102012014547B4 (de) | 2012-07-21 | 2015-06-25 | Audi Ag | Schaltungsanordnung für eine Mobilfunkeinheit eines Kraftwagens, Kraftwagen und Verfahren zum Betreiben der Schaltungsanordnung |
| DE102012014548B3 (de) * | 2012-07-21 | 2014-05-15 | Audi Ag | Mobilfunkvorrichtung für einen Kraftwagen, sowie Verfahren zum Betreiben der Mobilfunkvorrichtung |
| CN103905448B (zh) * | 2014-04-01 | 2017-04-05 | 江苏物联网研究发展中心 | 面向城市安防的摄录设备实体认证方法 |
| WO2015193945A1 (ja) * | 2014-06-16 | 2015-12-23 | 富士通株式会社 | 更新プログラム及び方法、及び、管理プログラム及び方法 |
| US9843452B2 (en) * | 2014-12-15 | 2017-12-12 | Amazon Technologies, Inc. | Short-duration digital certificate issuance based on long-duration digital certificate validation |
| US9843579B2 (en) * | 2015-01-22 | 2017-12-12 | Sonicwall Inc. | Dynamically generated SSID |
| CN104836671B (zh) * | 2015-05-15 | 2018-05-22 | 安一恒通(北京)科技有限公司 | 数字证书的添加的检查方法和检查装置 |
| WO2017031664A1 (en) * | 2015-08-24 | 2017-03-02 | Arris Enterprises, Inc. | Wireless setup procedure enabling modification of wireless credentials |
| WO2017067490A1 (zh) * | 2015-10-22 | 2017-04-27 | 李京海 | 一种数字证书子*** |
| CN108270568A (zh) * | 2016-12-31 | 2018-07-10 | 普天信息技术有限公司 | 一种移动数字证书装置及其更新方法 |
| CN108667609B (zh) * | 2017-04-01 | 2021-07-20 | 西安西电捷通无线网络通信股份有限公司 | 一种数字证书管理方法及设备 |
| ES2687717A1 (es) * | 2017-04-26 | 2018-10-26 | Universidad Carlos Iii De Madrid | Método y dispositivo móvil para emitir certificados digitales a dispositivos electrónicos |
| CN107968689B (zh) * | 2017-12-06 | 2020-07-31 | 北京邮电大学 | 基于无线通信信号的感知识别方法及装置 |
| CN110493002B (zh) | 2018-06-25 | 2020-05-08 | 北京白山耘科技有限公司 | 一种证书续签的方法、装置及*** |
| CN108900306A (zh) * | 2018-07-02 | 2018-11-27 | 四川斐讯信息技术有限公司 | 一种无线路由器数字证书的产生方法及*** |
| CN111049798B (zh) * | 2019-11-11 | 2022-08-09 | 深信服科技股份有限公司 | 一种信息处理方法、装置和计算机可读存储介质 |
| CN113259108A (zh) * | 2020-02-10 | 2021-08-13 | 上海艾拉比智能科技有限公司 | 证书更新方法、物联网平台及物联网设备 |
| CN111726782B (zh) * | 2020-05-22 | 2023-12-29 | 浙江吉利汽车研究院有限公司 | 一种安全认证方法及*** |
| CN114760041A (zh) * | 2020-12-26 | 2022-07-15 | 西安西电捷通无线网络通信股份有限公司 | 一种身份鉴别方法和装置 |
| CN113301523B (zh) * | 2021-04-14 | 2022-09-16 | 江铃汽车股份有限公司 | 一种v2x车载终端数字证书的申请、更新方法及*** |
| CN114257376B (zh) * | 2021-11-27 | 2024-04-19 | 广东电网有限责任公司 | 数字证书更新方法、装置、计算机设备和存储介质 |
| CN114449521B (zh) * | 2021-12-29 | 2024-01-02 | 华为技术有限公司 | 通信方法及通信装置 |
Family Cites Families (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6865674B1 (en) * | 1999-06-02 | 2005-03-08 | Entrust Technologies Limited | Dynamic trust anchor system and method |
| US6675296B1 (en) * | 1999-06-28 | 2004-01-06 | Entrust Technologies Limited | Information certificate format converter apparatus and method |
| JP4039277B2 (ja) * | 2003-03-06 | 2008-01-30 | ソニー株式会社 | 無線通信システム、端末、その端末における処理方法並びにその方法を端末に実行させるためのプログラム |
| TW200423677A (en) * | 2003-04-01 | 2004-11-01 | Matsushita Electric Ind Co Ltd | Communication apparatus and authentication apparatus |
| JP4576210B2 (ja) * | 2003-12-16 | 2010-11-04 | 株式会社リコー | 証明書転送装置、証明書転送システム、証明書転送方法、プログラム及び記録媒体 |
| CN1697386B (zh) * | 2004-05-14 | 2010-04-07 | 华为技术有限公司 | 一种基于无线局域网鉴别与保密基础结构体系的计费方法 |
| CN1697370A (zh) * | 2004-05-14 | 2005-11-16 | 华为技术有限公司 | 一种无线局域网移动终端申请证书的方法 |
| US7512974B2 (en) | 2004-09-30 | 2009-03-31 | International Business Machines Corporation | Computer system and program to update SSL certificates |
| CN1253054C (zh) * | 2004-11-04 | 2006-04-19 | 西安西电捷通无线网络通信有限公司 | 全局信任的无线ip***移动终端的漫游接入方法 |
| US8943310B2 (en) * | 2005-01-25 | 2015-01-27 | Cisco Technology, Inc. | System and method for obtaining a digital certificate for an endpoint |
| US7509489B2 (en) * | 2005-03-11 | 2009-03-24 | Microsoft Corporation | Format-agnostic system and method for issuing certificates |
| CN100563151C (zh) * | 2006-08-31 | 2009-11-25 | 普天信息技术研究院 | 一种数字证书更新方法及*** |
| CN100488305C (zh) * | 2006-09-23 | 2009-05-13 | 西安西电捷通无线网络通信有限公司 | 一种网络接入鉴别与授权方法以及授权密钥更新方法 |
| CN101188616B (zh) * | 2007-12-12 | 2010-07-21 | 四川长虹电器股份有限公司 | 终端申请证书的方法 |
-
2009
- 2009-03-23 CN CN2009101284955A patent/CN101521883B/zh active Active
- 2009-08-20 WO PCT/CN2009/073388 patent/WO2010108347A1/zh active Application Filing
- 2009-08-20 US US13/202,164 patent/US8762710B2/en active Active
- 2009-08-20 EP EP09842081.3A patent/EP2413558B1/en active Active
Also Published As
| Publication number | Publication date |
|---|---|
| EP2413558A1 (en) | 2012-02-01 |
| EP2413558A4 (en) | 2016-06-08 |
| US20110302411A1 (en) | 2011-12-08 |
| EP2413558B1 (en) | 2018-05-16 |
| WO2010108347A1 (zh) | 2010-09-30 |
| CN101521883A (zh) | 2009-09-02 |
| US8762710B2 (en) | 2014-06-24 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101521883B (zh) | 一种数字证书的更新和使用方法及*** | |
| CN101534505B (zh) | 通信装置和通信方法 | |
| CN101292558B (zh) | 为中继站提供安全性的方法 | |
| CN101682931B (zh) | 移动台、基站及流量加密密钥的产生方法 | |
| TWI249929B (en) | Authentication system and method having mobility in public wireless local area network | |
| EP1887730B1 (en) | Apparatus and method for managing stations associated with WPA-PSK wireless network | |
| US20020196764A1 (en) | Method and system for authentication in wireless LAN system | |
| CN101527908B (zh) | 一种无线局域网终端的预鉴别方法及无线局域网*** | |
| KR101038096B1 (ko) | 바이너리 cdma에서 키 인증 방법 | |
| US20110320802A1 (en) | Authentication method, key distribution method and authentication and key distribution method | |
| CN101222322B (zh) | 一种超级移动宽带***中安全能力协商的方法 | |
| US20030088772A1 (en) | Personal certification authority device | |
| MX2009002507A (es) | Autentificacion de seguridad y gestion de claves dentro de una red de multisalto inalambrica basada en infraestructura. | |
| MXPA01011969A (es) | Metodo y aparato para iniciar comunicaciones seguras entre y exclusivamente para dispositivos inalambricos en pares. | |
| WO2006098116A1 (ja) | 無線通信システムにおける認証方式、それを備える無線端末装置と無線基地局、それらを用いた無線通信システム及びプログラム | |
| CN1937489A (zh) | 一种网络密钥管理及会话密钥更新方法 | |
| US20110055409A1 (en) | Method For Network Connection | |
| KR20150051568A (ko) | 이동 통신 시스템 환경에서 프락시미티 기반 서비스 단말 간 발견 및 통신을 지원하기 위한 보안 방안 및 시스템 | |
| CN100544253C (zh) | 无线局域网移动终端的安全重认证方法 | |
| CN101527907B (zh) | 无线局域网接入认证方法及无线局域网*** | |
| CN101715190B (zh) | 一种无线局域网下实现终端与服务器鉴别的***及方法 | |
| CN108882233B (zh) | 一种imsi的加密方法、核心网和用户终端 | |
| CN112994873A (zh) | 一种证书申请方法及设备 | |
| CN101568116A (zh) | 一种证书状态信息的获取方法及证书状态管理*** | |
| CN101521884A (zh) | 一种自组网模式下安全关联建立方法及终端 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |