无线局域网WAPI安全机制中证书的申请方法

技术领域

本发明涉及一种通信网络中证书的申请方法，尤其是一种无线局域网WLAN中 WAPI机制中证书的自动申请、安装方法。

背景技术

无线局域网WLAN(Wireless Local Area Network)以其构架的灵活性、快捷性及可 扩展性，近年来已广泛应用于热点地区运营、企业、行业和家庭领域。2003年5月中国 首次颁布了无线局域网领域的国家标准GB15629.11和GB15629.1102。2006年无线局域 网国家标准第1号修改单GB15629.11-2003/XG1-2006及相关子项标准GB15629.1101、 GB/T15629.1103和GB15629.1104的颁布实施，初步形成了无线局域网国家标准体系， 该国家标准体系包含了全新的WAPI(WLAN Authentication and Privacy Infrastructure)安 全机制。

WAPI安全机制是基于证书和预共享密钥的。基于证书的安全机制在应用时，终端、 无线接入点AP(Authentication and Privacy)都需要安装证书，而国家标准中并未规定终 端和无线接入点AP获取和安装证书的方式。实际应用中常用的用户证书的获取安装方 法有两种：

(1)实地获取安装。用户携带证件到认证服务器AS(Authentication Server)的营 业场所办理申请用户证书的相关开户手续，同时获取以某种存储介质为载体的用户证书， 带回终端处，控制、选择存储介质中的用户证书文件，一步步人工操作安装。

在运营环境下应用WAPI安全机制，由于无线局域网网络规模覆盖到全国各个地理 区域，用户数量庞大，而且漫游的情况发生频繁。因此，实地获取用户证书，用户需直 接到认证服务器AS的营业场所申请，费时、费力，极不方便。

(2)远程获取安装。用户在终端通过某种接入方式，如有线LAN接入或拨号网络 等访问Internet网络，登录认证服务器证书申请界面，输入各项申请用户证书要求的信 息，获得用户证书文件，再下载存储在本地磁盘中，一步步人工操作安装。

远程获取用户证书，用户须预先得知认证服务器AS的网络地址，且要熟悉认证书 申请流程。

上述两种WAPI安全机制用户证书的获取安装还存在下述缺点：

①获取安装不便，在一定程度上制约了WLAN网络接入的推广应用。

②安全性较低。证书对应的私钥是整个系统安全运行的关键，只能由证书对应的用 户知晓，不能泄漏。证书对应的私钥信息通过网络传输私钥时，无法保证用户私密信息 的安全性。

③安装操作较复杂。安装时需一步步人工介入操作，即需进行人工控制、选择、输 入等人工操作。

发明内容

本发明的目的在于提供一种无线局域网WAPI安全机制中证书的申请方法，其解决 了背景技术中获取用户证书不方便，安装操作复杂，安全性较低的技术问题。

本发明的技术解决方案是：

一种无线局域网WAPI安全机制中证书地申请方法，该方法包括以下实现步骤：

〔i〕获取认证服务器AS的地址：

①获取用户名及口令；

②终端STA首次接入WLAN网络时，关联到不启用WAPI安全机制模式的无线接 入点AP；

③通过强制PORTAL的WEB认证方式进行用户名及口令认证；用户名及口令认证 成功，则终端STA可通过无线接入点AP访问Internet网NET；接入控制器AC或PORTAL 服务器PS在用户名及口令认证过程中或认证成功后，把认证服务器AS的IP地址发送 至用户终端STA；

〔ii〕申请用户证书：

①终端STA得到认证服务器AS的IP地址后，在本地生成私钥，并计算出对应的 公钥；

②终端STA把本地生成的公钥以及用户名及口令信息组成用户证书申请报文，发送 给认证服务器AS，申请用户证书；

③认证服务器AS根据终端STA用户证书申请报文中的信息，验证用户名及口令的 合法性，验证成功后生成终端用户证书，并发送给终端STA；

〔iii〕安装用户证书：

终端STA收到认证服务器AS发送的终端用户证书后，即自动启动终端用户证书的 安装程序进行安装，并将终端用户证书保存于本地。

上述终端STA得到认证服务器AS的IP地址后，在本地生成私钥，并计算出对应 的公钥，均以WLAN国标中规定的算法进行为佳。

上述终端STA和认证服务器AS之间一般是通过HTTPS协议传输信息。

上述获取用户名及口令可用户通过手机短信得到用户名及口令，也可通过开户得到 用户名及口令。

上述终端用户证书中的公钥信息以采用终端STA用户证书申请报文中的公钥为佳。

上述私钥保存于终端STA，所述私钥在终端STA保存时，可采用开户时获得的开户 口令进行加密保护，也可提示用户输入新的口令对私钥进行加密保护。

本发明具有以下优点：

1.与目前的无线局域网国家标准相匹配，实用性强，易于推广、应用。

2.获取、安装便捷：用户无需到营业场所实地办理手续，也无需知晓认证服务器AS 网址，即可自动申请和安装证书。

3.安全性好。证书对应的私钥和公钥由用户本地生成，且私钥不在网络上传输，网 络上传输的仅仅是可公开的私钥对应的公钥信息，用户名、口令等通过安全通道传输， 确保了用户私密信息的安全性。

附图说明

图1为本发明应用实例的网络拓扑图。

附图标号说明：

无线接入点AP，认证服务器AS，接入控制器AC，认证服务器RS，终端STA， PORTAL服务器PS，Internet网NET。

具体实施方式

本发明是在符合目前无线局域网国家标准的基础上，对用户证书的申请和安装进 行的扩展。本发明的实现步骤如下：

〔i〕获取认证服务器AS的地址：

①获取用户名及口令。获取用户名及口令是用户通过手机短信得到用户名及口令， 或通过开户得到用户名及口令。

②终端STA首次接入WLAN网络时，以不启用WAPI安全机制模式关联到无线接 入点AP；

③通过强制PORTAL的WEB认证方式进行用户名及口令认证。用户名及口令认证 成功，则终端STA可通过无线接入点AP访问Internet网NET。接入控制器AC或PORTAL 服务器PS在用户名及口令的认证过程中或认证成功后，把认证服务器AS的IP地址发 送至终端STA。PORTAL的WEB认证方式为公知认证方式。

〔ii〕申请用户证书：

①终端STA得到认证服务器AS的IP地址后，在本地根据WLAN国标中规定的算 法生成私钥，并计算出对应的公钥。私钥和公钥是一一对应的，口令用于保护私钥的安 全性。

②终端STA把本地生成的公钥以及用户名及口令信息组成用户证书申请报文，发给 认证服务器AS，申请用户证书。终端STA和认证服务器AS之间通过HTTPS协议传输 信息，以确保用户私密信息的安全性。HTTPS协议即安全超文本传输协议。

③认证服务器AS根据终端STA用户证书申请报文中的信息，验证用户名及口令的 合法性，验证成功后生成终端用户证书，发送给终端STA。终端用户证书中的公钥信息 采用终端STA用户证书申请报文中的公钥。

〔iii〕安装用户证书

终端STA收到认证服务器AS发送的终端用户证书后，即自动启动终端用户证书的 安装程序进行安装，并将终端用户证书保存于本地。

私钥保存于终端STA。私钥在终端STA保存时可采用开户时获得的开户口令对私钥 进行加密保护，或提示用户输入新的口令对私钥进行加密保护。

本发明的用户手工参与的操作仅仅是输入用户名和口令，而终端用户证书的申请、 下载和安装均为自动完成，因此简化了用户的操作，同时又提高了安全性。