H04L12/28 H04L29/06 H04L29/08
1.一种无线局域网WAPI安全机制中证书的申请方法,其特征在于,该方法包括以 下实现步骤:
〔i〕获取认证服务器AS的地址:
①获取用户名及口令;
②终端STA首次接入WLAN网络时,关联到不启用WAPI安全机制模式的无线接 入点AP;
③通过强制PORTAL的WEB认证方式进行用户名及口令认证;用户名及口令认证 成功,则终端STA可通过无线接入点AP访问Internet网NET;接入控制器AC或PORTAL 服务器PS在用户名及口令认证过程中或认证成功后,把认证服务器AS的IP地址发送 至用户终端STA;
〔ii〕申请用户证书:
①终端STA得到认证服务器AS的IP地址后,在本地生成私钥,并计算出对应的 公钥;
②终端STA把本地生成的公钥以及用户名及口令信息组成用户证书申请报文,发送 给认证服务器AS,申请用户证书;
③认证服务器AS根据终端STA用户证书申请报文中的信息,验证用户名及口令的 合法性,验证成功后生成终端用户证书,并发送给终端STA;
〔iii〕安装用户证书:
终端STA收到认证服务器AS发送的终端用户证书后,即自动启动终端用户证书的 安装程序进行安装,并将终端用户证书保存于本地。
2.根据权利要求1所述的无线局域网WAPI安全机制中证书的申请方法,其特征在 于:所述的终端STA得到认证服务器AS的IP地址后,在本地生成私钥,并计算出对 应的公钥,均根据WLAN国标中规定的算法进行。
3.根据权利要求1或2所述的无线局域网WAPI安全机制中证书的申请方法,其特 征在于:所述终端STA和认证服务器AS之间是通过HTTPS协议传输信息。
4.根据权利要求3所述的无线局域网WAPI安全机制中证书的申请方法,其特征在 于:所述的获取用户名及口令是用户通过手机短信得到用户名及口令,或通过开户得到 用户名及口令。
5.根据权利要求4所述的无线局域网WAPI安全机制中证书的申请方法,其特征在 于:所述终端用户证书中的公钥信息采用终端STA用户证书申请报文中的公钥。
6.根据权利要求5所述的无线局域网WAPI安全机制中证书的申请方法,其特征在 于:所述的私钥保存于终端STA;所述私钥在终端STA保存时,采用开户时获得的开户 口令进行加密保护,或提示用户输入新的口令对私钥进行加密保护。
技术领域
本发明涉及一种通信网络中证书的申请方法,尤其是一种无线局域网WLAN中 WAPI机制中证书的自动申请、安装方法。
背景技术
无线局域网WLAN(Wireless Local Area Network)以其构架的灵活性、快捷性及可 扩展性,近年来已广泛应用于热点地区运营、企业、行业和家庭领域。2003年5月中国 首次颁布了无线局域网领域的国家标准GB15629.11和GB15629.1102。2006年无线局域 网国家标准第1号修改单GB15629.11-2003/XG1-2006及相关子项标准GB15629.1101、 GB/T15629.1103和GB15629.1104的颁布实施,初步形成了无线局域网国家标准体系, 该国家标准体系包含了全新的WAPI(WLAN Authentication and Privacy Infrastructure)安 全机制。
WAPI安全机制是基于证书和预共享密钥的。基于证书的安全机制在应用时,终端、 无线接入点AP(Authentication and Privacy)都需要安装证书,而国家标准中并未规定终 端和无线接入点AP获取和安装证书的方式。实际应用中常用的用户证书的获取安装方 法有两种:
(1)实地获取安装。用户携带证件到认证服务器AS(Authentication Server)的营 业场所办理申请用户证书的相关开户手续,同时获取以某种存储介质为载体的用户证书, 带回终端处,控制、选择存储介质中的用户证书文件,一步步人工操作安装。
在运营环境下应用WAPI安全机制,由于无线局域网网络规模覆盖到全国各个地理 区域,用户数量庞大,而且漫游的情况发生频繁。因此,实地获取用户证书,用户需直 接到认证服务器AS的营业场所申请,费时、费力,极不方便。
(2)远程获取安装。用户在终端通过某种接入方式,如有线LAN接入或拨号网络 等访问Internet网络,登录认证服务器证书申请界面,输入各项申请用户证书要求的信 息,获得用户证书文件,再下载存储在本地磁盘中,一步步人工操作安装。
远程获取用户证书,用户须预先得知认证服务器AS的网络地址,且要熟悉认证书 申请流程。
上述两种WAPI安全机制用户证书的获取安装还存在下述缺点:
①获取安装不便,在一定程度上制约了WLAN网络接入的推广应用。
②安全性较低。证书对应的私钥是整个系统安全运行的关键,只能由证书对应的用 户知晓,不能泄漏。证书对应的私钥信息通过网络传输私钥时,无法保证用户私密信息 的安全性。
③安装操作较复杂。安装时需一步步人工介入操作,即需进行人工控制、选择、输 入等人工操作。
发明内容
本发明的目的在于提供一种无线局域网WAPI安全机制中证书的申请方法,其解决 了背景技术中获取用户证书不方便,安装操作复杂,安全性较低的技术问题。
本发明的技术解决方案是:
一种无线局域网WAPI安全机制中证书地申请方法,该方法包括以下实现步骤:
〔i〕获取认证服务器AS的地址:
①获取用户名及口令;
②终端STA首次接入WLAN网络时,关联到不启用WAPI安全机制模式的无线接 入点AP;
③通过强制PORTAL的WEB认证方式进行用户名及口令认证;用户名及口令认证 成功,则终端STA可通过无线接入点AP访问Internet网NET;接入控制器AC或PORTAL 服务器PS在用户名及口令认证过程中或认证成功后,把认证服务器AS的IP地址发送 至用户终端STA;
〔ii〕申请用户证书:
①终端STA得到认证服务器AS的IP地址后,在本地生成私钥,并计算出对应的 公钥;
②终端STA把本地生成的公钥以及用户名及口令信息组成用户证书申请报文,发送 给认证服务器AS,申请用户证书;
③认证服务器AS根据终端STA用户证书申请报文中的信息,验证用户名及口令的 合法性,验证成功后生成终端用户证书,并发送给终端STA;
〔iii〕安装用户证书:
终端STA收到认证服务器AS发送的终端用户证书后,即自动启动终端用户证书的 安装程序进行安装,并将终端用户证书保存于本地。
上述终端STA得到认证服务器AS的IP地址后,在本地生成私钥,并计算出对应 的公钥,均以WLAN国标中规定的算法进行为佳。
上述终端STA和认证服务器AS之间一般是通过HTTPS协议传输信息。
上述获取用户名及口令可用户通过手机短信得到用户名及口令,也可通过开户得到 用户名及口令。
上述终端用户证书中的公钥信息以采用终端STA用户证书申请报文中的公钥为佳。
上述私钥保存于终端STA,所述私钥在终端STA保存时,可采用开户时获得的开户 口令进行加密保护,也可提示用户输入新的口令对私钥进行加密保护。
本发明具有以下优点:
1.与目前的无线局域网国家标准相匹配,实用性强,易于推广、应用。
2.获取、安装便捷:用户无需到营业场所实地办理手续,也无需知晓认证服务器AS 网址,即可自动申请和安装证书。
3.安全性好。证书对应的私钥和公钥由用户本地生成,且私钥不在网络上传输,网 络上传输的仅仅是可公开的私钥对应的公钥信息,用户名、口令等通过安全通道传输, 确保了用户私密信息的安全性。
附图说明
图1为本发明应用实例的网络拓扑图。
附图标号说明:
无线接入点AP,认证服务器AS,接入控制器AC,认证服务器RS,终端STA, PORTAL服务器PS,Internet网NET。
具体实施方式
本发明是在符合目前无线局域网国家标准的基础上,对用户证书的申请和安装进 行的扩展。本发明的实现步骤如下:
〔i〕获取认证服务器AS的地址:
①获取用户名及口令。获取用户名及口令是用户通过手机短信得到用户名及口令, 或通过开户得到用户名及口令。
②终端STA首次接入WLAN网络时,以不启用WAPI安全机制模式关联到无线接 入点AP;
③通过强制PORTAL的WEB认证方式进行用户名及口令认证。用户名及口令认证 成功,则终端STA可通过无线接入点AP访问Internet网NET。接入控制器AC或PORTAL 服务器PS在用户名及口令的认证过程中或认证成功后,把认证服务器AS的IP地址发 送至终端STA。PORTAL的WEB认证方式为公知认证方式。
〔ii〕申请用户证书:
①终端STA得到认证服务器AS的IP地址后,在本地根据WLAN国标中规定的算 法生成私钥,并计算出对应的公钥。私钥和公钥是一一对应的,口令用于保护私钥的安 全性。
②终端STA把本地生成的公钥以及用户名及口令信息组成用户证书申请报文,发给 认证服务器AS,申请用户证书。终端STA和认证服务器AS之间通过HTTPS协议传输 信息,以确保用户私密信息的安全性。HTTPS协议即安全超文本传输协议。
③认证服务器AS根据终端STA用户证书申请报文中的信息,验证用户名及口令的 合法性,验证成功后生成终端用户证书,发送给终端STA。终端用户证书中的公钥信息 采用终端STA用户证书申请报文中的公钥。
〔iii〕安装用户证书
终端STA收到认证服务器AS发送的终端用户证书后,即自动启动终端用户证书的 安装程序进行安装,并将终端用户证书保存于本地。
私钥保存于终端STA。私钥在终端STA保存时可采用开户时获得的开户口令对私钥 进行加密保护,或提示用户输入新的口令对私钥进行加密保护。
本发明的用户手工参与的操作仅仅是输入用户名和口令,而终端用户证书的申请、 下载和安装均为自动完成,因此简化了用户的操作,同时又提高了安全性。
本文发布于:2024-09-23 22:24:40,感谢您对本站的认可!
本文链接:https://www.17tex.com/tex/4/85542.html
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系,我们将在24小时内删除。
留言与评论(共有 0 条评论) |