WO2009106003A1

WO2009106003A1 - 在无线局域网中实现手机接入认证的设备及方法

Info

Publication number: WO2009106003A1
Application number: PCT/CN2009/070546
Authority: WO
Inventors: 崔炳荣; 曹军; 朱立军; 张变玲; 陈铭; 肖雳
Original assignee: 西安西电捷通无线网络通信有限公司; 中太数据通信(深圳)有限公司; ***通信计量中心
Priority date: 2008-02-29
Filing date: 2009-02-26
Publication date: 2009-09-03
Also published as: CN101252434A; CN101252434B

Description

在无线局域网中实现手机接入认证的设备及方法本申请要求于 2008 年 2 月 29 日提交中国专利局、申请号为 200810017584.8、发明名称为"在无线局域网中实现手机接入认证的设备及方法"的中国专利申请的优先权，其全部内容通过引用结合在本申请中。技术领域

本发明涉及通信技术领域，，尤其涉及在无线局域网中实现手机接入认证的设备及方法。

背景技术

随着国际标准和 GB 15629.11系列国家标准的颁布实施，无线局域网获得了越来越广泛的应用，不仅用于独立的上网设备，而且越来越多的集成到电子办公设备和消费电子设备中。目前手机中集成 WLAN模块已经成为用户和市场发展的需要。

WLAN手机是一种基于无线局域网（WLAN)和 Internet的通讯工具。当手机通过 WLAN进行无线网连接时，需要支持 GB15629.i l系列无线局域网国家标准，其中***分为 WAPI安全协议， WAPI安全协议采用证书机制，可以保证终端和网络之间的双向身份认证，以及数据通信的安全。

现有的手机接入认证一般是在手机中采用集成专用的逻辑独立的 WLAN 模块和认证模块，数字证书直接存入认证模块中。

发明人通过研究发现，现有的接入认证方案中，当用户更换 WLAN手机时，需要重新写入数字证书，给用户带来不便，同时给运营商对数字证书和用户进行集中管理带来不便，影响无线链路的安全性。此外，由于手机属于消费电子类产品，用户接口的设计必须非常简化，用户的管理也必须实现集中化，否则将无法实现大规模的运营使用。

发明内容

有鉴于此，本发明实施例的目的是提供一种在无线局域网中实现手机接入认证的设备及方法，以解决现有 WLAN手机的接入认证方法中存在安全隐患，用户使用不方便和运营商管理不方便的技术问题。

为实现上述目的，本发明实施例提高了如下技术方案：

一种在无线局域网中实现手机接入认证的设备，包括集成有 WLAN模块 11和 WAPI认证模块 12的手机 1以及设置在手机 1中的 SIM卡 2; 所述 SIM 卡 2中设置有存储数字证书的空间。

上述 SIM卡 2中可设置有通过固定地址保留的数字证书存储空间。

上述 SIM卡 2中也可设置有通过文件保留的数字证书存储空间。

上述数字证书可包括证书。

上述数字证书还可包括证书及私钥。

一种在无线局域网中实现手机接入认证的方法，包括以下步骤：

1]将数字证书存入 SIM卡中的数字证书存储空间；

2]手机关联到接入点，接入点激活认证；

3]WAPI认证模块从 SIM卡中读取数字证书；

4]WAPI认证模块把数字证书发送给接入点，手机和接入点之间进行认证； 5]认证成功，手机接入无线局域网。

上述步骤 1]可以是通过 OTA***远程下载数字证书，并将数字证书存入 SIM卡中的数字证书存储空间。

上述步骤 1]还可以是用本地手机通过 SIM卡的机卡 (手机和 SIM卡)接口指令将数字证书存入 SIM卡中的数字证书存储空间。

上述数字证书是通过文件形式存储在 SIM卡中。

上述数字证书还可以直接存储在 SIM卡的固定地址中。

可见，在本发明实施例中，通过 SIM卡存取数字证书的方案实现了手机接入 WLAN时的管理和认证，极大的方便了运营商的管理。

此外，本发明实施例所提供的设备作为 WLAN 的一种实体终端，基于 WAPI协议的认证方案，能够使无线链路安全性得到巨大提升。由于远程更新数字证书，数字证书内容通过 OTA服务器端进行加密和计算 CRC校验后才进行发送，而 SIM卡得到完整短信包后才进行解密和校验得到数字证书内容，电子证书在整个传输过程中是密文传输的，从而使得数字证书发放的安全性有了极大的提高。采用 SIM卡方式管理证书，能够对用户进行集中管理，突破了手机接入 WLAN时用户无法集中管理的瓶颈。需要重新写入数字证书带来的不便，且目前手机用户的身份认证和计费都是通过 SIM卡来实现的，兼容了以前的用户体验。同时，在本发明实施例中，在 SIM卡中采用文件格式存储数字证书 , 方便了数字证书的空中下载和用户主动更新。

附图说明

图 1为本发明实施例所提供的设备的结构示意图；

图 2为本发明实施例所提供的方法的流程图。

具体实施方式

本发明实施例提供了在无线局域网中实现手机接入认证的设备和方法，下面结合附图对本发明实施例进行伴细描述。

参照图 1所示，本发明一实施例所提供的设备包括：集成有 WLAN模块 11和 WAPI认证模块 12的手机 1以及设置在手机中的 SIM2卡。 SIM卡 2中设置有通过固定地址保留或通过文件保留的数字证书存储空间。数字证书可以只包括证书，也可以包括证书及私钥。

参照图 2所示，本发明一实施例所提供的的方法，包括以下步骤：种是通过 OTA***远程下载数字证书，并将数字证书存入 SIM卡中的数字证书存储空间；另一种是用本地手机通过 SIM卡的机卡 (手机和 SIM卡)接口指令将数字证书存入 SIM卡中的数字证书存储空间。数字证书是通过文件形式存储在 SIM卡中或直接存储在 SIM卡的固定地址中。

2] 当手机关联到接入点 (AP) 时，由接入点向手机发送认证激活以启动整个认证过程。

3]WAPI认证模块从 SIM卡中读取数字证书。

4]手机和接入点之间进行认证，具体包括以下步骤：手机向接入点发出接入认证请求 , 即将数字证书发往接入点；接入点收到接入认证请求后，向 AS服务器发出证书认证请求，即将手机的证书和接入点的证书构成证书认证请求报文发送给 AS服务器；

AS服务器收到接入点证书认证请求后，验证手机的证书和接入点的证书的合法性；

验证完毕后， AS服务器将手机证书认证结果信息和接入点证书认证结果信息及 AS服务器对上述信息的签名构成证书认证响应报文发回给接入点；认证结果；

接入点将手机证书认证结果信息、接入点证书认证结果信息以及接入点对它们的签名组成接入认证响应报文回送至手机；

手机验证 AS服务器的签名后，得到接入点证书的认证结果；

手机根据该认证结果决定是否接入该接入点。

5]至此手机与接入点之间完成了证书认证过程。若认证成功，则接入点允许手机接入，否则解除其关联。

本发明实施例提供的通过 OTA应用下载***便可完成手机数字证书的远程管理。

用户通过 OTA应用下载***主动发起数字证书下载时的工作流程如下： 1]用户通过 SIM卡发起数字证书下载请求； OTA服务器接收 SIM卡请求； 2]OTA服务器将该 SIM卡的数字证书内容进行下行 OTA报文数据格式打包；并将多条数字证书数据包发送给 SIM卡；

3]SIM卡接收数据包，待数字证书所有数据包收全以后，进行数据解析； 4]SIM卡将解析好的数字证书数据更新到 SIM卡中的数字证书存储空间； 5]SIM卡发送数字证书更新响应给 OTA服务器。

运营商通过 OTA应用下载***主动发起数字证书更新时的工作流程如下：

1]运营商主动下发数字证书更新指令； OTA服务器接收更新指令； 2]OTA服务器将该 SIM卡的数字证书内容进行 RFM报文数据格式打包；并将多条数字证书数据包发送给 SIM卡；

3]SIM卡接收数据包，待数字证书所有数据包收全以后，进行数据解析；

4]SIM卡将解析好的数字证书数据更新到 SIM卡中的数字证书存储空间；

5]SIM卡发送数字证书更新响应给 OTA服务器。

基本数据结构如下：

1、上行 OTA报文数据格式

命令数据定义参考如下:

a) 数字证书下载请求

2、下行 OTA报文数据格式

数据包：

OTA下行数据包头命令数据

命令数据: 命令类型命令长度命令参数

命令数据参考如下

a) 数字证书下载

3、 RFM报文格式

数据包：

RFM下行数据包头命令数据

命令数据基本格式参考如下：

本发明实施例提供的基于 WAPI 的手机数字证书读取方法的基本工作流程如下：

1]通过选择文件指令选择数字证书文件；

2]通过权限验证指令验证数字证书文件读取权限；

3]通过文件读取指令指定偏移和长度对证书信息进行读取。

本发明实施例所提供的基于 WAPI 的手机数字证书更新方法的基本工作流程如下：

1]通过选择文件指令选择数字证书文件；

2]通过权限验证指令验证数字证书文件更新权限；

3]通过文件更新指令指定偏移和长度对证书信息进行更新。本发明部分名词术语解释如下：

WLAN: Wireless Local Area Network, 无线局域网

WAPI: WLAN Authentication and Privacy Infrastructure

SIM: 用户身份识别模块 (Subscriber Identify Module)

CLA: Clase, 命令类

OTA: Over The Air, 空中下载

RFM: Remote File Management远程文件管理

本发明可以在由计算机执行的计算机可执行指令的一般上下文中描述，例如程序模块。一般地，程序模块包括执行特定任务或实现特定抽象数据类型的例程、程序、对象、组件、数据结构等等。也可以在分布式计算环境中实践本发明，在这些分布式计算环境中，由通过通信网络而被连接的远程处理设备来执行任务。在分布式计算环境中，程序模块可以位于包括存储设备在内的本地和远程计算机存储介质中。

以上所述仅是本发明的优选实施方式，应当指出，对于本技术领域的普通技术人员来说，在不脱离本发明原理的前提下，还可以做出若干改进和润饰，这些改进和润饰也应视为本发明的保护范围。

Claims

权利要求

1、一种在无线局域网中实现手机接入认证的设备，其特征在于，包括：集成有无线局域网 WLAN模块和无线局域网鉴别与保密^ 5出结构 WAPI 认证模块的手机以及设置在所述手机中的 SIM卡，所述 SIM卡中设置有数字证书存储空间。

2、根据权利要求 1所述的一种在无线局域网中实现手机接入认证的设备，其特征在于，数字证书通过固定地址保留在所述数字证书存储空间中。

3、根据权利要求 1所述的一种在无线局域网中实现手机接入认证的设备，其特征在于，数字证书通过文件形式保留在所述数字证书存储空间中。

4、根据权利要求 1或 2或 3所述的一种在无线局域网中实现手机接入认证的设备，其特征在于，所述数字证书包括证书。

5、根据权利要求 1或 2或 3所述的一种在无线局域网中实现手机接入认证的设备，其特征在于，所述数字证书包括证书及私钥。

6、一种在无线局域网中实现手机接入认证的方法，其特征在于：预先将数字证书存入 SIM卡的数字证书存储空间，该方法包括：

手机关联到接入点，接入点激活认证；

WAPI认证模块将从 SIM卡中读取的数字证书发送给接入点，手机和接入点之间进行认证。

7、根据权利要求 6所述的一种在无线局域网中实现手机接入认证的方法，其特征在于，所述手机和接入点之间进行认证包括：

接入点收到手机发送的接入认证请求后，向 AS服务器发送证书认证请求报文，该报文中包含手机的证书和接入点的证书；

接收 AS服务器根据证书认证请求后返回的证书认证响应，所述证书认证响应中包含手机证书认证结果信息、接入点证书认证结果信息及 AS服务器对上述信息的签名；

对所述证书认证响应进行签名验证，得到手机证书的认证结果；

向手机回复接入认证响应 , 所述接入认证响应包括手机证书认证结果信息、接入点证书认证结果信息以及接入点对它们的签名。

8、根据权利要求 6所述的一种在无线局域网中实现手机接入认证的方法，其特征在于，所述数字证书通过 OTA***远程下载后存入 SIM卡中的数字证书存储空间。

9、根据权利要求 6所述的一种在无线局域网中实现手机接入认证的方法，其特征在于，所述数字证书由本地手机通过 SIM卡的机卡 (手机和 SIM卡)接口指令存入 SIM卡中的数字证书存储空间。

10、根据权利要求 6〜9中任意一项所述的一种在无线局域网中实现手机接入认证的方法，其特征在于，所述数字证书是通过文件形式存储在 SIM卡的数字证书存储空间中。

11、根据权利要求 6〜9中任意一项所述的一种在无线局域网中实现手机接入认证的设备，其特征在于，所述数字证书直接存储在 SIM卡的数字证书存储空间的固定地址中。