[发明专利]获取无线局域网鉴别和保密基础结构证书的方法及系统

说明书

技术领域

本发明涉及无线局域网技术领域，尤其涉及一种获取无线局域网鉴别和保密基础结构证书的方法及系统。

背景技术

WAPI(WLAN Authentication and Privacy Infrastructure，无线局域网鉴别和保密基础结构)是中国提出的以802.11无线协议为基础的无线安全标准。WAPI协议包括两个部分：WAI(WLAN Authentication Infrastructure，无线局域网鉴别基础结构)和WPI(WLAN Privacy Infrastructure，无线局域网保密基础结构。WAI是用于无线局域网中身份鉴别和密钥管理的安全方案。WPI是用于无线局域网中数据传输保护的安全方案，包括数据加密、数据鉴别和重放保护等功能。

典型的WAPI系统主要包括鉴别器实体(AE)、鉴别请求者实体(ASUE)和鉴别服务器实体(ASE)，其中：

鉴别请求者实体是在接入服务之前请求进行鉴别操作的实体，驻留在STA(无线客户端)中，可以理解为终端。

鉴别器实体为鉴别请求者实体在接入服务之前提供鉴别操作，一般驻留在AP(接入点)或STA中。

鉴别服务器实体为鉴别器实体和鉴别请求者实体提供相互鉴别的服务。

WAPI的过程主要包括：终端与AP进行802.11链路协商后，AP为该终端发起WAI鉴别过程，配合鉴别服务器完成与终端的双向认证。通过认证后，AP发起与终端的密钥协商，并使用协商出的密钥通过WPI向该用户提供加密和解密服务。

鉴别器实体通过两类方式支持WAI鉴别及密码管理，一类是基于证书的方式，一类是基于共享密钥的方式。当采用基于证书的方式时，鉴别请求者实体所在的终端在发送给鉴别器实体的接入鉴别请求中，需要附带自己的WAPI证书，鉴别器实体根据接入鉴别请求中的字段，决定由其自身完成WAPI证书的验证还是交由鉴别服务单元完成验证，进而对鉴别请求者实体进行认证。

WAPI与公开密钥基础设施(Public key Infrastructure，PKI)相似，WAPI系统中的鉴别服务单元与PKI中的认证中心(Certificate Authority，CA)的作用相同，当WAI采用X.509v3证书时，鉴别服务单元也必须具有与CA相同的证书申请、签发、定期发布证书失效列表和响应用户证书吊销等功能。WAPI中终端采用离线方式获取证书和对应的私有密钥，需要人工使用存储设备保存证书，再将保存的证书存储到终端中，证书在有效期满失效后，用户还需要再次通过离线方式完成证书更新，使用非常不便。

发明内容

本发明要解决的技术问题是提供一种获取WAPI证书的方法及系统，解决采用离线方式获取证书不方便的问题，实现终端便捷地获取WAPI证书。

为解决上述技术问题，本发明的一种获取无线局域网鉴别和保密基础结构证书的方法，包括：

终端向鉴别服务器发送证书下发请求；

鉴别服务器根据接收到的证书下发请求中携带的终端的用户帐号查找用户的无线局域网鉴别和保密基础结构WAPI证书，并将查找到的WAPI证书发送给终端。

进一步地，终端通过IP多媒体子系统IMS核心网向鉴别服务器发送证书下发请求，鉴别服务器通过IMS核心网将查找到的WAPI证书发送给终端。

进一步地，终端通过IMS核心网向鉴别服务器发送证书下发请求的过程包括：

终端将证书下发请求发送给IMS核心网的注册服务器；

注册服务器接收到证书下发请求后，从IMS核心网的归属用户服务器HSS中查询终端的鉴别服务器地址，根据查询到的鉴别服务器地址将证书下发请求转发给鉴别服务器。

进一步地，鉴别服务器通过IMS核心网将查找到的WAPI证书发送给终端的过程包括：

鉴别服务器将查找到的WAPI证书发送给注册服务器；

注册服务器将接收到的WAPI证书转发给终端。

进一步地，注册服务器从HSS查询终端的鉴别服务器地址的过程包括：

注册服务器向HSS发送查询消息，在查询消息中携带终端的用户帐号；

HSS接收到查询消息后，从保存的用户帐号与鉴别服务器地址的对应关系中查找终端的鉴别服务器地址，并将查找到的地址发送给注册服务器。

进一步地，终端采用HTTP GET消息作为证书下发请求；

鉴别服务器通过HTTP 200OK响应消息将WAPI证书发送给终端，终端解析接收到的HTTP 200OK响应消息，获得WAPI证书。