[发明专利]一种WAPI终端安全证书系统实现方法

权利要求书

1.一种WAPI终端安全证书系统实现方法，其特征是，由终端(STA)、接入端(AP)、鉴别服务器(AS)组成，其中AP为标准设备，终端(STA)上加装安全芯片，安全芯片上运行片内操作系统(COS)程序并与终端主芯片交互，在终端上运行相应的WAPI证书管理程序和WAPI连接程序，通过程序和鉴别服务器的交互，实现WAPI证书的管理、鉴别和建立WAPI连接，最终实现WAPI通信；

具体为：1)终端包括主芯片及主控芯片连接控制的安全芯片以及射频芯片；2)安全芯片产生硬件随机数、提供唯一识别码、生成WAPI协议所需要的密钥对、保存私钥和WAPI相关证书、完成WAPI协议的私钥相关计算；主芯片控制安全芯片完成密钥生成，公钥/硬件随机数/唯一序列号获取，证书写入/获取，签名计算工作；3)在WAPI通信的证书颁发过程，主芯片负责证书颁发流程；颁发证书时由安全芯片完成ECC密钥生成，证书申请使用安全芯片的唯一序列号做标识，证书颁发过程有关私钥相关的操作都在安全芯片完成；4)AS配合终端证书的颁发流程完成证书颁发，并在WAPI通信中完成证书鉴别工作，并通过芯片序列号进行终端管理；5)在WAPI通信的证书鉴别过程中，主芯片控制WAPI鉴别流程，安全芯片负责提供相关证书、硬件随机数产生和签名计算配置鉴别流程的处理；鉴别流程所需的证书由安全芯片提供，私钥的计算都在安全芯片完成。

2.根据权利要求1所述的方法，其特征是，主芯片负责WAPI证书管理流程和WAPI连接控制以及WAPI通信；安全芯片负责证书相关的存储和操作；终端WAPI证书颁发流程：(1)从AS下载根证书，通过主芯片传输到安全芯片并存储；(2)主芯片控制安全芯片产生192Bit的ECC密钥对，其参数OID为WAPI协议所使用的1.2.156.11235.1.1.2.1；(3)主芯片从安全芯片获取公钥数据和安全芯片唯一序列号，生成证书请求文件；(4)主芯片计算请求文件的SHA256散列数据；(5)散列数据送安全芯片签名运算并获取签名结果；(6)签名和请求合并，然后使用AS根证书公钥加密生成请求文件；(7)请求文件发送给AS，由AS解密、检查签名后生成证书，并记录证书的序列号；(8)证书文件下载后通过主芯片传输给安全芯片并存储。

3.根据权利要求1所述的方法，其特征是，终端WAPI证书鉴别流程为：(1)主芯片通过射频模块发送关联请求；(2)AP收到请求后发起鉴定激活数据；(3)主芯片从安全芯片获取ASUE证书和随机数；(4)生成无签名的接入鉴别请求数据并生成SHA256散列数据；(5)散列数据送安全芯片签名计算并获取签名结果；(6)合并签名生成完整接入鉴别请求，然后通过射频模块发送给AP；(7)AP发送证书鉴别请求到AS，AS返回证书鉴别结果，AP鉴别后发送接入鉴别响应到终端主芯片；(8)主芯片从安全芯片获取AS证书，并完成证书验证和签名验证；(9)继续WAPI鉴别的密钥交换流程。