[发明专利]一种WAPI终端安全证书系统实现方法

说明书

一种WAPI终端安全证书系统实现方法，由终端STA、接入端AP、鉴别服务器AS组成，其中AP为标准设备，终端STA上加装安全芯片，安全芯片上运行片内操作系统COS程序并与终端主芯片交互，在终端上运行相应的WAPI证书管理程序和WAPI连接程序，通过程序和鉴别服务器的交互，实现WAPI证书的管理、鉴别和建立WAPI连接，最终实现WAPI通信；通过安全芯片与终端主芯片的交互，实现WAPI证书的颁发和证书鉴别，使用该方法能利用安全芯片数据难以盗取的特点，保证WAPI证书的安全性。

技术领域

本发明是一种WAPI终端安全证书系统实现方法，使用系统能结合安全芯片技术和WAPI通信,解决WAPI证书导入,私钥存储等问题,使WAPI通信既安全可靠,又解决WAPI使用在部署解决的便利性问题。

背景技术

WAPI是无线局域网鉴别和保密基础结构，是中国无线局域网安全强制性标准，是一种安全协议，WAPI由于采用了双向认证加密技术，并采用国家密码管理委员会办公室批准的公开密钥体制的椭圆曲线密码算法和秘密密钥体制的分组密码算法，实现了设备的身份鉴别、链路验证、访问控制和用户信息在无线传输状态下的加密保护，因此该技术能很好解决安全接入和保密通信的问题。

WAPI通信是基于证书验证的通信,WAPI证书的使用和安全是非常重要的,本发明结合使用安全芯片,解决了WAPI的证书安全问题,同时提供了设备快速部署和方便运维的解决方案。

CN200910021418.X涉及一种以本地MAC模式实现会聚式WAPI网络架构的方法,该方法包括以下步骤:1)构建本地MAC模式；将无线接入点的MAC功能和WAPI功能分别分离到无线终端点和访问控制器上；2)在本地MAC模式下,实现WAPI协议与会聚式WLAN网络体系架构的融合；2.1)站点与无线终端点以及访问控制器之间的关联连接过程；2.2)访问控制器与无线终端点之间WAI协议开始执行的通告过程；2.3)站点与访问控制器之间WAI协议的执行过程；2.4)访问控制器与无线终端点之间WAI协议执行结束的通告过程；2.5)无线终端点与站点之间利用WPI进行保密通信的过程。本发明不仅能够满足WLAN的大规模部署需求,而且能够保证会聚式体系架构下WLAN的安全性。

CN200710019092.8涉及一种WAPI单播密钥协商方法。该方法步骤如下:1.鉴别器实体在单播密钥协商请求分组上添加消息完整性码,发送给鉴别请求者实体；2.鉴别请求者实体收到单播密钥协商请求分组后进行验证,不正确则直接丢弃该分组；正确则进行其他验证,验证成功,向鉴别器实体回应单播密钥协商响应分组；3.鉴别器实体收到单播密钥协商响应分组后进行验证,验证成功则向鉴别请求者实体回应单播密钥协商确认分组；4.鉴别请求者实体收到单播密钥协商确认分组后进行验证,验证成功协商出一致的单播会话密钥。本发明解决了目前WAPI安全机制中单播密钥管理协议存在的DOS攻击问题。

CN200910000198.2公开了一种WAPI终端接入IMS网络的安全管理方法及系统,该方法包括:在接入点和WAPI终端通过ASU的验证的情况下,ASU向HSS发送安全信息请求消息,其中,安全信息请求消息中携带有WAPI终端的IMS(IP多媒体子系统)账号信息；接收到ASU的安全信息请求消息后,HSS将与WAPI终端的IMS账号信息对应的安全信息设置为接入层安全；P-CSCF接收来自WAPI终端的IMS注册请求消息,通过HSS查询WAPI终端的安全信息,并在WAPI终端的安全信息为接入层安全的情况下允许WAPI终端执行IMS业务流程。本发明能够在保证IMS系统的安全的前提下,减小WAPI终端的功耗,提高了用户体验。

发明内容

本发明目的是，提出一种WAPI终端安全证书系统实现方法，对WAPI通信的关键数据证书进行保护，WAPI证书私钥不能导出使用。