專利名稱:證書鑒別方法和設(shè)備的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及通信技術(shù)領(lǐng)域,尤其涉及一種證書鑒別方法和設(shè)備。
技術(shù)背景WLAN ( Wireless Local Area Network,無線局域網(wǎng))技術(shù)已#皮日益廣泛地 應(yīng)用于企業(yè)和運(yùn)營(yíng)商網(wǎng)絡(luò)���,但由于無線通信使用開放性的無線信道資源作為 傳輸媒質(zhì)�����,任何在物理區(qū)域上進(jìn)入無線信號(hào)覆蓋區(qū)域的無線客戶端�,理論上 都可以接入WLAN網(wǎng)絡(luò)���。因此非法用戶可以發(fā)起對(duì)WLAN網(wǎng)絡(luò)的攻擊或竊 取網(wǎng)絡(luò)用戶的機(jī)密信息����,從而造成重大的安全事故�。為了保證WLAN網(wǎng)絡(luò)的安全性����,現(xiàn)有技術(shù)中提出了 WAPI (WLAN Authentication and Privacy Infrastructure ,無線局i或網(wǎng)鑒別與保密基5出結(jié)構(gòu))標(biāo) 準(zhǔn)����。WAPI采用公鑰密碼體制的橢圓曲線密碼算法、和對(duì)稱密碼體制的分組密 碼算法�����,分別用于設(shè)備的數(shù)字證書、證書鑒別����、密鑰協(xié)商和傳輸數(shù)據(jù)的加解 密,從而實(shí)現(xiàn)設(shè)備的身份鑒別�����、鏈路驗(yàn)證����、訪問控制和用戶信息在無線傳輸 狀態(tài)下的加密保護(hù)。WAPI的身份鑒別包括預(yù)共享密鑰鑒別和證書鑒別兩種����。預(yù)共享密鑰鑒別是通過在STA和AP上配置相同的共享密鑰,在協(xié)商中 檢查共享密鑰是否相同來完成認(rèn)證�����,這是一種簡(jiǎn)單的鑒別方法����,安全性不夠 高且部署比較麻煩。 一般情況下,多個(gè)STA( Station,站點(diǎn))和多個(gè)AP( Access Point,接入點(diǎn))使用相同的共享密鑰�����, 一旦密鑰泄漏�,就得手工更新所有的 共享密鑰。證書鑒別是通過數(shù)字證書來完成鑒別的�����。數(shù)字證書是公開的���,它表示持 有者的身份���,包含持有者名稱、頒發(fā)者名稱����、有效期���、公鑰�、頒發(fā)者簽名等 信息��,與數(shù)字證書中的公鑰對(duì)應(yīng)有一個(gè)私鑰,該私鑰只有證書的持有者擁有����。 持有者可以使用私鑰對(duì)對(duì)外發(fā)送的消息進(jìn)行簽名,消息接收者可以使用證書 中的公鑰驗(yàn)證該簽名是否正確��,來判斷該消息是否是由持有者發(fā)出的���。數(shù)字簽名與實(shí)際中的簽名比較類似�,都是為了證明該消息確實(shí)是消息的聲明者所 發(fā)出的�����。因此證書認(rèn)證包括兩方面�, 一是身份是否合法,即證書是否合法���, 通過驗(yàn)證證書是否是由證書中所述的頒發(fā)者頒發(fā)�����、證書是否在有效期內(nèi)�����、證書是否已經(jīng)被吊銷等來完成�;二是驗(yàn)證該身份就是持有者的,即驗(yàn)證對(duì)方是否就是該證書的持有者�����,這個(gè)可以通過驗(yàn)證對(duì)方的簽名來完成�。在現(xiàn)有方案中,證書的合法性由STA以及AP公信的第三方AS (Authentication Server,鑒別服務(wù)器)進(jìn)行驗(yàn)證����。由AS驗(yàn)證STA的證書和AP的證書是否合法,而STA和AP通過驗(yàn)證對(duì)方的簽名來驗(yàn)證對(duì)方是否是證書的合法持有者?,F(xiàn)有方案中基于WAPI的認(rèn)證方法如圖l所示,包括以下步驟步驟slOl ~步驟s103為802.11的鏈路協(xié)商過程����,STA與AP之間通過互送信標(biāo)幀或探詢幀,進(jìn)行鏈路驗(yàn)證與關(guān)聯(lián)��。步驟s104 ~步驟s108為WAI ( WLAN Authentication Infrastructure,無線局域網(wǎng)鑒別基礎(chǔ)結(jié)構(gòu))認(rèn)證過程���,具體的步驟sl04、 AP將自己的證書通過鑒別激活報(bào)文發(fā)送給STA���。步驟sl05�����、 STA將自己的數(shù)字證書通過接入鑒別請(qǐng)求報(bào)文發(fā)送給AP,在該報(bào)文中還攜帶有STA的簽名�。AP通過驗(yàn)證STA的簽名是否正確,來判斷該STA是否是該數(shù)字證書的合法擁有者�����,這時(shí)還無法判斷該數(shù)字證書(即身份)是否合法���。步驟sl06�、 AP將自己的證書�����、STA證書通過證書鑒別請(qǐng)求報(bào)文一并發(fā)送 給AS�,由AS驗(yàn)證證書的合法性,包括證書是否是由信任的CA( Certification Authority,證書授權(quán)中心)頒發(fā)的�����,證書是否在有效期內(nèi)��,證書是否已經(jīng)被吊 銷等等。步驟sl07���、 AS將證書驗(yàn)證結(jié)果通過證書鑒別響應(yīng)報(bào)文發(fā)送給AP����。 步驟s108���、 AP從證書驗(yàn)證結(jié)果中得到STA的證書驗(yàn)證結(jié)果��,如果證書 合法��,就將AS的證書驗(yàn)證結(jié)果通過接入鑒別響應(yīng)報(bào)文發(fā)送給STA���,該才艮文中 攜帶有AP的簽名。STA通過驗(yàn)證AS的簽名來驗(yàn)證證書驗(yàn)證結(jié)果是否是自己 信任的AS發(fā)出的�����,然后得到AP的證書驗(yàn)證結(jié)果�����,并通過驗(yàn)證AP的簽名來證實(shí)AP是否是該證書的合法擁有者?����,F(xiàn)有技術(shù)的缺點(diǎn)在于���,在現(xiàn)有方案中證書的合法性由公信的第三方AS完 成驗(yàn)證�����,因此在使用中必須有AS的參與���,限制了合法性驗(yàn)證的應(yīng)用。另夕卜�, 在證書認(rèn)證過程中,AP和AS間交互的報(bào)文較大��, 一般都會(huì)進(jìn)行IP分片�����,因 此增加了認(rèn)證的時(shí)間�,降低了認(rèn)證的效率。發(fā)明內(nèi)容本發(fā)明提供一種證書鑒別方法和設(shè)備�����,用于實(shí)現(xiàn)AP與STA間無需第三方證書鑒別服務(wù)器即可進(jìn)行證書驗(yàn)證。為達(dá)到上述目的�,本發(fā)明提供一種證書鑒別方法,包括STA接收AP發(fā)送的鑒別激活報(bào)文���,獲取所述鑒別激活報(bào)文中攜帶的所述AP的i正書���;所述STA對(duì)所述AP的證書進(jìn)行鑒別。其中�,所述STA對(duì)所述AP的證書進(jìn)行鑒別具體包括所述STA鑒別所述AP的證書是否由信任的CA頒發(fā)、所述AP的證書是否在有效期內(nèi)�����、以及所述AP的證書是否已經(jīng)被吊銷�����。其中���,所述STA鑒別所述AP的證書是否由信任的CA頒發(fā)具體包括所述STA從信任的CA的證書中獲取信任的CA的公鑰��;所述STA使用所述信任的CA的公鑰驗(yàn)證所述AP的證書中的CA簽名���,鑒別所述AP的證書是否由信任的CA頒發(fā)�����。其中����,所述STA鑒別所述AP的證書是否已經(jīng)被吊銷具體包括 所述STA在獲取到所述AP的證書后�,通過所述AP提供的臨時(shí)端口�,從外部服務(wù)器獲取證書吊銷列表,鑒別所述AP的證書是否已經(jīng)被吊銷�;或 所述STA在關(guān)聯(lián)到所述AP后、獲取到所述AP的證書前�,通過所述AP提供的臨時(shí)端口 ,從外部服務(wù)器獲取證書吊銷列表����,鑒別所述AP的證書是否已經(jīng)被吊銷;或所述STA在之前連接到網(wǎng)絡(luò)時(shí)�����,定期從外部服務(wù)器獲取證書吊銷列表��, 鑒別所述AP的證書是否已經(jīng)被吊銷。其中���,所述STA在關(guān)聯(lián)到所述AP后�����、獲取到所述AP的證書前����,還包括 向所述AP發(fā)送鑒別開始報(bào)文����,觸發(fā)所述AP提供所述AP的證書。本發(fā)明還提供一種STA,包括證書獲取單元�����,用于接收AP發(fā)送的鑒別激活報(bào)文���,獲取所述鑒別激活報(bào) 文中攜帶的所述AP的證書�;證書鑒別單元�,用于鑒別所述證書獲取單元獲取的所述AP的證書。 其中����,所述"i正書鑒別單元包括第一證書鑒別子單元���,用于鑒別所述AP的證書是否由信任的CA頒發(fā); 第二證書鑒別子單元���,用于鑒別所述AP的證書是否在有效期內(nèi)��; 第三證書鑒別子單元����,用于鑒別所述AP的證書是否已經(jīng)被吊銷����。 其中�,所述第二證書鑒別子單元具體為,從信任的CA的證書中獲取信任的CA的/>鑰�����;并使用所述信任的CA的公鑰驗(yàn)證所述AP的證書中的CA簽名��,鑒別所述AP的證書是否由信任的CA頒發(fā)���。 其中�����,還包括���,證書吊銷列表獲取單元��,用于從外部服務(wù)器獲取證書吊銷列表并提供給 所述第三證書鑒別子單元��,供其鑒別所述AP的證書是否已經(jīng)被吊銷�����。 其中�����,所述證書吊銷列表獲取單元包括第一證書吊銷列表獲取子單元��,用于在獲取到所述AP的證書后�,通過所 述AP提供的臨時(shí)端口���,從外部服務(wù)器獲取證書吊銷列表���;或第二證書吊銷列表獲取子單元�,用于在關(guān)聯(lián)到所述AP后��、獲取到所述 AP的證書前����,通過所述AP提供的臨時(shí)端口,從外部服務(wù)器獲取證書吊銷列第三證書吊銷列表獲取子單元�����,用于在之前連接到網(wǎng)絡(luò)時(shí)�����,定期從外部 服務(wù)器獲取證書吊銷列表����。其中���,還包括觸發(fā)4艮文發(fā)送單元�����,用于在所述第二證書吊銷列表獲取子單元從外部服 務(wù)器獲取證書吊銷列表后��,向所述AP發(fā)送鑒別開始報(bào)文��,觸發(fā)所述AP提供本發(fā)明還提供一種證書鑒別方法��,包括AP接收STA發(fā)送的接入鑒別請(qǐng)求報(bào)文��,獲取所述接入鑒別請(qǐng)求報(bào)文中攜帶的所述STA的證書�;所述AP對(duì)所述STA的證書進(jìn)行鑒別。其中���,所述AP對(duì)所述STA的證書進(jìn)行鑒別具體包括所述AP鑒別所述STA的證書是否由信任的CA頒發(fā)����、所迷STA的證書是否在有效期內(nèi)�、以及所述STA的證書是否已經(jīng)被吊銷。其中�,所述AP鑒別所述STA的證書是否由信任的CA頒發(fā)具體包括所述AP從信任的CA的證書中獲取信任的CA的公鑰;所述AP使用所述信任的CA的公鑰驗(yàn)證所述STA的證書中的CA簽名���,鑒別所述STA的證書是否由信任的CA頒發(fā)����。其中,所述AP鑒別所述STA的證書是否已經(jīng)被吊銷具體包括所述AP根據(jù)從外部服務(wù)器獲取的證書吊銷列表��,鑒別所述STA的證書是否已經(jīng)被吊銷�����。本發(fā)明還提供一種AP,包括證書獲取單元��,用于接收STA發(fā)送的接入鑒別請(qǐng)求報(bào)文����,獲取所述接入 鑒別請(qǐng)求報(bào)文中攜帶的所述STA的證書;證書鑒別單元�����,用于鑒別所述證書獲取單元獲取的所述STA的證書��。 其中�,所述證書鑒別單元包括第一證書鑒別子單元����,用于鑒別所述STA的證書是否由信任的CA頒發(fā); 第二證書鑒別子單元����,用于鑒別所述STA的證書是否在有效期內(nèi)���; 第三證書鑒別子單元,用于鑒別所述STA的證書是否已經(jīng)被吊銷�。 其中,所述第二證書鑒別子單元具體為����,從信任的CA的證書中獲取信任的CA的公鑰;并使用所述信任的CA的公鑰驗(yàn)證所述STA的證書中的CA簽名��,鑒別所述STA的證書是否由信任的CA頒發(fā)��。其中�����,還包括證書吊銷列表獲取單元����,用于從外部服務(wù)器獲取證書吊銷列表并提供給 所述第三證書鑒別子單元,供其鑒別所述STA的證書是否已經(jīng)被吊銷����。 其中����,還包括臨時(shí)端口設(shè)置單元���,用于設(shè)置一臨時(shí)端口以供所述STA從外部服務(wù)器獲 取證書吊銷列表���。與現(xiàn)有技術(shù)相比,本發(fā)明具有以下優(yōu)點(diǎn)通過使用本發(fā)明��,在STA與AP的證書認(rèn)證過程中�,無需第三方設(shè)備如 AS等的參與,擴(kuò)展了 WAPI認(rèn)證的應(yīng)用��。另外�����,該方法減少了證書認(rèn)證過程 的交互�����,加速了i正書iU正過程���。
圖1是現(xiàn)有技術(shù)中基于WAPI的認(rèn)證方法流程圖�;圖2A是本發(fā)明中STA對(duì)AP的證書進(jìn)行鑒別的方法流程圖��;圖2B是本發(fā)明中AP對(duì)STA的證書進(jìn)行鑒別的方法流程圖����;圖3是本發(fā)明應(yīng)用場(chǎng)景中STA與AP間認(rèn)證的流程圖;圖4是本發(fā)明應(yīng)用場(chǎng)景中STA與AP間認(rèn)i正的流程圖�����;圖5是本發(fā)明中STA設(shè)備的結(jié)構(gòu)示意圖��;圖6是本發(fā)明中STA設(shè)備的另一結(jié)構(gòu)示意圖����;圖7是本發(fā)明中AP設(shè)備的結(jié)構(gòu)示意圖;圖8是本發(fā)明中AP設(shè)備的另一結(jié)構(gòu)示意圖�。
具體實(shí)施方式
本發(fā)明的核心思想在于本方案AP和STA間進(jìn)行交互時(shí),由STA直接鑒 別AP證書的合法性��,AP直接鑒別STA證書的合法性���。證書的合法性鑒別不 再需要第三方設(shè)備參與��。具體的���,如圖2所示���,本發(fā)明中STA對(duì)AP的證書 進(jìn)行鑒別的方法流程如圖2A所示,包括以下步驟步驟s201���、 STA接收AP發(fā)送的鑒別激活報(bào)文����,獲取該鑒別激活報(bào)文中攜帶的AP的證書�����。步驟s202�、 STA對(duì)獲取到的AP的證書進(jìn)行鑒別。具體的��,該鑒別包括STA鑒別該AP的證書是否由信任的CA (Certification Authority,證書授:^又中心)頒發(fā)����、該AP的i正書是否在有效期 內(nèi)、以及所述AP的證書是否已經(jīng)被吊銷��。本發(fā)明中AP對(duì)STA的證書進(jìn)行鑒別的流程如圖2B所示,包括以下步驟 步驟s211���、 AP接收STA發(fā)送的接入鑒別請(qǐng)求報(bào)文,獲取該接入鑒別請(qǐng) 求報(bào)文中攜帶的STA的證書�。步驟s212、 AP對(duì)獲取到的STA的證書進(jìn)行鑒別�。具體的,該鑒別包括AP鑒別該STA的證書是否由信任的CA頒發(fā)���、該 STA的證書是否在有效期內(nèi)���、以及該STA的證書是否已經(jīng)-故吊銷。以下首先詳細(xì)介紹STA對(duì)AP的證書進(jìn)行鑒別的方法�。 STA在接收到AP發(fā)送的鑒別激活報(bào)文后,從該鑒別激活報(bào)文中獲取AP 的證書�。STA對(duì)AP的證書的鑒別包括(1.1) STA鑒別該AP的證書是否由信任的CA頒發(fā)。具體的����,STA鑒別該AP的證書是否由信任的CA頒發(fā)具體包括STA檢 查證書頒發(fā)者的名稱,STA判斷該證書的頒發(fā)者是否為自己信任的CA; STA 從信任的CA的證書中獲取信任的CA的公鑰��;STA使用信任的CA的公鑰驗(yàn) i正AP的證書中的CA簽名���,鑒別AP的證書是否由信任的CA頒發(fā)��。目前如 果STA需要�,則STA可以從信任的CA上獲取到該CA的證書。(1.2) STA鑒別該AP的證書是否在有效期內(nèi)�。具體的,STA可以直接檢查證書的有效期字段��,與當(dāng)前時(shí)間進(jìn)行比較���, 確定該AP的證書是否在有效期內(nèi)���。(1.3) STA鑒別該AP的證書是否已經(jīng)被吊銷。具體的�����,STA根據(jù)從外部服務(wù)器如CA獲取的證書吊銷列表����,鑒別AP的 證書是否已經(jīng)被吊銷。上述STA鑒別該AP的證書是否已經(jīng)被吊銷時(shí)�����,需要根據(jù)CA獲取的證 書吊銷列表進(jìn)行判斷。本發(fā)明中提供以下STA從CA獲取證書吊銷列表的方 法(2.1 )STA在接收到AP發(fā)送的鑒別激活報(bào)文后�,通過AP開放的臨時(shí)端 口連接CA,獲取由CA提供的證書吊銷列表。該方法中��,考慮到STA在通過 認(rèn)證之前無法訪問網(wǎng)絡(luò)�����,即無法連接CA獲取CA提供的證書吊銷列表���。因此, 由AP提供一個(gè)臨時(shí)端口 �,通過該臨時(shí)端口 ,已經(jīng)與AP關(guān)聯(lián)但還沒有完成認(rèn) 證的STA可以通過該臨時(shí)端口訪問CA�����,獲取到證書吊銷列表��。另夕卜�,在STA 獲取證書吊銷列表的過程中,為了保證AP不會(huì)因?yàn)镾TA未及時(shí)響應(yīng)鑒別激 活報(bào)文導(dǎo)致連接斷開��,可以加大鑒別激活報(bào)文的重傳時(shí)間��。(2.2) STA在關(guān)聯(lián)到AP后,立即通過AP提供的臨時(shí)端口獲取由CA提 供的證書吊銷列表�;獲取到列表后,向AP發(fā)送鑒別開始報(bào)文�,觸發(fā)AP向STA 發(fā)送鑒別激活報(bào)文,進(jìn)而獲取到AP的證書�����、進(jìn)行對(duì)AP的證書的鑒別�����。該方 法中��,考慮到目前STA關(guān)聯(lián)到AP后��,AP會(huì)主動(dòng)發(fā)送向STA發(fā)送鑒別激活 報(bào)文�����,如果STA這時(shí)去獲取證書吊銷列表���,可能會(huì)無法及時(shí)響應(yīng)該鑒別激活 報(bào)文而導(dǎo)致AP與STA間的連接斷開����。因此,本方法中STA在關(guān)聯(lián)到AP后���, 立即通過AP提供的臨時(shí)端口獲取由CA提供的證書吊銷列表�����;并在獲取到列 表后�,向AP發(fā)送鑒別開始報(bào)文���,觸發(fā)AP向STA發(fā)送鑒別激活報(bào)文,從而避 免因無法及時(shí)響應(yīng)該鑒別激活報(bào)文造成的連接中斷��。(2.3 ) STA在關(guān)聯(lián)到該AP前�����,已經(jīng)獲取到由CA提供的證書吊銷列表��; 該由CA提供的證書吊銷列表可以由STA定期連接到AP獲取�,獲取后即可 供證書驗(yàn)證時(shí)使用。以下介紹AP對(duì)STA的證書進(jìn)行鑒別的方法����。AP在接收到STA發(fā)送的接入鑒別請(qǐng)求報(bào)文后��,從該接入鑒別請(qǐng)求報(bào)文中 獲取STA的證書��。AP對(duì)STA的證書的鑒別包括(3.1) AP鑒別該STA的證書是否由信任的CA頒發(fā)�。具體的���,AP鑒別該STA的證書是否由信任的CA頒發(fā)具體包括AP從 信任的CA的證書中獲取信任的CA的公鑰����;AP使用信任的CA的公鑰驗(yàn)證 STA的證書中的CA簽名�����,鑒別STA的證書是否由信任的CA頒發(fā)�����。如果AP 需要��,可以從信任的CA上獲取到該CA的證書���。 (3.2 ) AP鑒別該STA的證書是否在有效期內(nèi)����。具體的,AP可以直接檢查證書的有效期字段�,與當(dāng)前時(shí)間進(jìn)行比較,確 定該STA的證書是否在有效期內(nèi)���。(3.3 ) AP鑒別該STA的證書是否已經(jīng)被吊銷��。具體的��,AP根據(jù)從外部服務(wù)器如CA獲取的證書吊銷列表���,鑒別STA的 證書是否已經(jīng)被吊銷。以下結(jié)合不同的應(yīng)用場(chǎng)景����,描述本發(fā)明中證書鑒別方法的具體實(shí)施方式
����。 本發(fā)明的一應(yīng)用場(chǎng)景中,使用本發(fā)明的證書鑒別方法時(shí)�����,AP與STA間的 認(rèn)證過程如圖3所示��。步驟s301 ~步驟s303為802.11的鏈路協(xié)商過程,STA與AP之間通過互 送信標(biāo)幀或探詢幀����,進(jìn)行鏈路驗(yàn)證與關(guān)聯(lián)。步驟s304 ~步驟s306為WAI認(rèn)證過程�����,具體的�,包括 步驟s304、 AP向STA發(fā)送鑒別激活報(bào)文�����,其中攜帶AP的證書���。 步驟s305��、 STA對(duì)AP的證書進(jìn)行鑒別�����。當(dāng)證書合法時(shí)���,向AP發(fā)送接入 鑒別請(qǐng)求報(bào)文���,其中攜帶STA的證書和簽名。該對(duì)簽名進(jìn)行驗(yàn)證的方法同現(xiàn) 有技術(shù)��;對(duì)證書進(jìn)行鑒別的方法見上述實(shí)施例中的描述�����,包括STA通過AP 提供的臨時(shí)端口獲取吊銷證書列表��、并對(duì)AP證書是否已經(jīng)被吊銷進(jìn)行鑒別等 過程�,在此不進(jìn)行重復(fù)介紹。在上述STA獲取證書吊銷列表的過程中����,為了 保證AP不會(huì)因?yàn)镾TA未及時(shí)響應(yīng)鑒別激活報(bào)文導(dǎo)致連接斷開,可以加大鑒 別激活報(bào)文的重傳時(shí)間�����。步驟s306��、 AP對(duì)STA的簽名進(jìn)行驗(yàn)證��,并對(duì)SAT的證書進(jìn)行鑒別��。當(dāng) 簽名正確且證書合法時(shí)��,向STA發(fā)送接入鑒別響應(yīng)報(bào)文�,其中攜帶AP的簽 名。該對(duì)簽名進(jìn)行驗(yàn)證的方法同現(xiàn)有技術(shù)�;對(duì)證書進(jìn)行鑒別的方法見上述實(shí)施例中的描述,包括AP獲取吊銷證書列表并對(duì)STA證書是否已經(jīng)被吊銷進(jìn) 行鑒別等過程���,在此不進(jìn)行重復(fù)介紹����。通過上述步驟���,在不使用第三方設(shè)備用于證書鑒別的情況下�����,實(shí)現(xiàn)了 STA 與AP之間的i人ii��。本發(fā)明的另一應(yīng)用場(chǎng)景中���,使用本發(fā)明的證書鑒別方法時(shí)��,AP與STA間的認(rèn)證過程如圖4所示���。步驟s401 ~步驟s403為802.11的鏈路協(xié)商過程,STA與AP之間通過互送信標(biāo)幀或探詢幀�����,進(jìn)行鏈路驗(yàn)證與關(guān)聯(lián)��。步驟s404 ~步驟s407為WAI認(rèn)證過程�,具體的,包括步驟s404��、 STA獲取到CA提供的吊銷證書列表后����,向AP發(fā)送鑒別開始報(bào)文,觸發(fā)AP向其發(fā)送鑒別激活報(bào)文���。該吊銷證書列表的獲取過程包括STA通過AP提供的臨時(shí)端口獲取吊銷證書列表等過程��,該過程可以參考上述實(shí)施例中的描述�,在此不進(jìn)行重復(fù)介紹��。步驟s405��、 AP向STA發(fā)送鑒別激活報(bào)文��,其中攜帶AP的證書�����。步驟s406 �����、 STA對(duì)AP的證書進(jìn)行鑒別����。當(dāng)證書合法時(shí),向AP發(fā)送接入鑒別請(qǐng)求報(bào)文�,其中攜帶STA的證書和簽名。該對(duì)簽名進(jìn)行驗(yàn)證的方法同現(xiàn)有技術(shù)�;對(duì)證書進(jìn)行鑒別的方法見上述實(shí)施例中的描述,在此不進(jìn)行重復(fù)介紹�。步驟s407、 AP對(duì)STA的簽名進(jìn)行驗(yàn)證���,并對(duì)SAT的證書進(jìn)行鑒別��。當(dāng) 簽名正確且證書合法時(shí)�,向SAT發(fā)送接入鑒別響應(yīng)報(bào)文。該對(duì)簽名進(jìn)行驗(yàn)證 的方法同現(xiàn)有技術(shù)��;對(duì)證書進(jìn)行鑒別的方法見上述實(shí)施例中的描述��,包括AP 獲取吊銷證書列表并對(duì)STA證書是否已經(jīng)被吊銷進(jìn)行鑒別等過程�����,在此不進(jìn) 行重復(fù)介紹�。本發(fā)明的另一應(yīng)用場(chǎng)景中,使用本發(fā)明的證書鑒別方法時(shí)�����,由STA定期 連接到AP獲取吊銷證書列表���,獲取后即可供證書驗(yàn)證時(shí)使用��。具體的AP與 STA間的認(rèn)證過程與圖3所示的過程相似�����,區(qū)別在于吊銷證書列表已經(jīng)預(yù)先獲取����,不需要再通過AP提供的臨時(shí)端口獲取吊銷證書列表,在此不進(jìn)行重復(fù) 描述�����。通過上述步驟�,在不使用第三方設(shè)備用于證書鑒別的情況下����,實(shí)現(xiàn)了 STA 與AP之間的認(rèn)證。另外���,通過加大鑒別激活報(bào)文的重傳時(shí)間的方法���、或關(guān)聯(lián) 結(jié)束后由STA觸發(fā)AP向其發(fā)送鑒別激活報(bào)文的方法、或定期連接到AP獲取 吊銷證書列表的方法�����,避免了因STA不能及時(shí)響應(yīng)鑒別激活報(bào)文造成的AP 與STA間的連接中斷����。通過使用本發(fā)明實(shí)施例提供的上述方法�,在STA與AP的證書認(rèn)證過程 中����,無需第三方設(shè)備如AS等的參與,擴(kuò)展了 WAPI認(rèn)證的應(yīng)用����。另外,該方 法減少了證書認(rèn)證過程的交互��,加速了證書認(rèn)證過程�。具體的,該方法減少 了 AP與AS間的報(bào)文交互��,而且AP向STA返回的接入鑒別響應(yīng)報(bào)文中不再 需要攜帶AS的證書鑒別結(jié)果�。本發(fā)明還提供一種STA與AP間的證書鑒別系統(tǒng),應(yīng)用于STA與AP間 的證書鑒別��。具體的����,STA10的結(jié)構(gòu)如圖5所示,包括證書獲取單元ll,用于接收AP 20發(fā)送的鑒別激活報(bào)文�����,獲取該鑒別激 活報(bào)文中攜帶的AP20的證書。證書鑒別單元12,用于鑒別證書獲取單元11獲取的AP20的證書�����。如圖6所示�����,具體的�,證書鑒別單元12包括第一證書鑒別子單元121���,用于鑒別所述AP的證書是否由信任的CA頒發(fā)����。第二證書鑒別子單元122,用于鑒別AP20的證書是否在有效期內(nèi)���。具體 的��,第二證書鑒別子單元122從信任的CA的證書中獲取信任的CA的公鑰�; 并使用信任的CA的公鑰驗(yàn)證所述AP的證書中的CA簽名�����,鑒別AP 20的證 書是否由信任的CA頒發(fā)。第三證書鑒別子單元123�,用于鑒別AP20的證書是否已經(jīng)被吊銷。具體 的��,第三證書鑒別子單元123根據(jù)從外部服務(wù)器獲取的證書吊銷列表����,鑒別 AP20的證書是否已經(jīng)被吊銷。該STA10還包括證書吊銷列表獲取單元13�����,用于從外部服務(wù)器獲取證 書吊銷列表并提供給證書鑒別單元12的第三證書鑒別子單元123,供其鑒別 AP20的證書是否已經(jīng)被吊銷�。具體的,證書吊銷列表獲取單元13包括第一證書吊銷列表獲取子單元131,用于在獲取到AP20的證書后�����,通過 AP20提供的臨時(shí)端口 ��,從外部服務(wù)器獲取證書吊銷列表�;第二證書吊銷列表獲取子單元132,用于在關(guān)聯(lián)到AP20后、獲取到AP20 的證書前����,通過AP20提供的臨時(shí)端口�,從外部服務(wù)器獲取證書吊銷列表���;第三證書吊銷列表獲取子單元133����,用于在之前連接到網(wǎng)絡(luò)時(shí)�,定期從外 部服務(wù)器獲取證書吊銷列表。該STA 10還包括觸發(fā)報(bào)文發(fā)送單元14,用于在第二證書吊銷列表獲取 子單元132從外部服務(wù)器獲取的證書吊銷列表后�����,向AP 20發(fā)送鑒別開始報(bào) 文��,觸發(fā)AP20提供證書���。具體的,AP20的結(jié)構(gòu)如圖7所示��,包括證書獲取單元21,用于接收STA10發(fā)送的接入鑒別請(qǐng)求報(bào)文�����,獲取接入 鑒別請(qǐng)求報(bào)文中攜帶的STA 10的證書。證書鑒別單元22,用于鑒別證書獲取單元21獲取的STA 10的證書�。如圖8所示,該AP20還包括 具體的�,證書鑒別單元22包括第一證書鑒別子單元221,用于鑒別STA IO的證書是否由信任的CA頒發(fā)���;第二證書鑒別子單元222�����,用于鑒別STA IO的證書是否在有效期內(nèi)��;具體的���,從信任的CA的證書中獲取信任的CA的公鑰;并使用信任的CA的公 鑰驗(yàn)證STA 10的證書中的CA簽名���,鑒別STA 10的證書是否由信任的CA頒 發(fā)�。第三證書鑒別子單元223���,用于鑒別STA IO的證書是否已經(jīng)被吊銷�。具 體的��,第三證書鑒別子單元223根據(jù)從外部服務(wù)器獲取的證書吊銷列表,鑒 別STA 10的證書是否已經(jīng)被吊銷��。該AP20還包括證書吊銷列表獲取單元23,用于從外部服務(wù)器獲取證書吊銷列表并提供 給證書鑒別單元22的第三證書鑒別子單元223�,供其鑒別STA 10的證書是否 已經(jīng)被吊銷臨時(shí)端口設(shè)置單元24,用于設(shè)置一臨時(shí)端口以供STA 10從外部服務(wù)器獲 取證書吊銷列表。通過使用本發(fā)明實(shí)施例提供的上述設(shè)備�,在STA與AP的證書認(rèn)證過程 中,無需第三方設(shè)備如AS等的參與����,擴(kuò)展了 WAPI認(rèn)證的應(yīng)用。另外�����,該方 法減少了證書認(rèn)證過程的交互����,加速了證書認(rèn)證過程。具體的�����,該設(shè)備減少 了 AP與AS間的報(bào)文交互��,而且AP向STA返回的接入鑒別響應(yīng)報(bào)文中不再 需要攜帶AS的證書鑒別結(jié)果��。通過以上的實(shí)施方式的描述�,本領(lǐng)域的技術(shù)人員可以清楚地了解到本發(fā) 明可借助軟件加必需的通用硬件平臺(tái)的方式來實(shí)現(xiàn),當(dāng)然也可以通過硬件�����, 但很多情況下前者是更佳的實(shí)施方式�。基于這樣的理解���,本發(fā)明的技術(shù)方案 本質(zhì)上或者說對(duì)現(xiàn)有技術(shù)做出貢獻(xiàn)的部分可以以軟件產(chǎn)品的形式體現(xiàn)出來�, 該計(jì)算機(jī)軟件產(chǎn)品存儲(chǔ)在一個(gè)存儲(chǔ)介質(zhì)中����,包括若干指令用以使得一臺(tái)終端 設(shè)備(如手機(jī)、PDA等)執(zhí)行本發(fā)明各個(gè)實(shí)施例所述的方法�����。以上公開的僅為本發(fā)明的幾個(gè)具體實(shí)施例�����,但是���,本發(fā)明并非局限于此��, 任何本領(lǐng)域的技術(shù)人員能思之的變化都應(yīng)落入本發(fā)明的保護(hù)范圍�。
權(quán)利要求
1. 一種證書鑒別方法,其特征在于�����,包括STA接收AP發(fā)送的鑒別激活報(bào)文��,獲取所述鑒別激活報(bào)文中攜帶的所述AP的證書����;所述STA對(duì)所述AP的證書進(jìn)行鑒別。
2����、 如權(quán)利要求l所述的方法,其特征在于���,所述STA對(duì)所述AP的證書 進(jìn)行鑒別具體包括所述STA鑒別所述AP的證書是否由信任的CA頒發(fā)��、所述AP的證書是 否在有效期內(nèi)、以及所述AP的證書是否已經(jīng)被吊銷�����。
3、 如權(quán)利要求2所述的方法�����,其特征在于����,所述STA鑒別所述AP的證 書是否由信任的CA頒發(fā)具體包括所述STA從信任的CA的證書中獲取信任的CA的公鑰; 所述STA使用所述信任的CA的公鑰驗(yàn)證所述AP的證書中的CA簽名��, 鑒別所述AP的證書是否由信任的CA頒發(fā)���。
4�����、 如權(quán)利要求2所述的方法�,其特征在于��,所述STA鑒別所述AP的證 書是否已經(jīng)被吊銷具體包括所述STA在獲取到所述AP的證書后��,通過所述AP提供的臨時(shí)端口����,從 外部服務(wù)器獲取證書吊銷列表���,鑒別所述AP的證書是否已經(jīng)被吊銷;或所述STA在關(guān)聯(lián)到所述AP后�、獲取到所述AP的證書前,通過所述AP 提供的臨時(shí)端口��,從外部服務(wù)器獲取證書吊銷列表��,鑒別所述AP的證書是否 已經(jīng)凈皮吊銷�;或所述STA在之前連接到網(wǎng)絡(luò)時(shí),定期從外部服務(wù)器獲取證書吊銷列表�, 鑒別所述AP的證書是否已經(jīng)被吊銷。
5����、 如權(quán)利要求4所述的方法,其特征在于�,所述STA在關(guān)聯(lián)到所述AP 后、獲取到所述AP的證書前���,還包括向所述AP發(fā)送鑒別開始報(bào)文��,觸發(fā)所述AP提供所述AP的證書�����。
6���、 一種STA,其特征在于,包括證書獲取單元��,用于接收AP發(fā)送的鑒別激活報(bào)文�����,獲取所述鑒別激活報(bào) 文中攜帶的所述AP的證書����;證書鑒別單元,用于鑒別所述證書獲取單元獲取的所述AP的證書�。
7、 如權(quán)利要求6所述STA����,其特征在于,所述證書鑒別單元包括 第一證書鑒別子單元��,用于鑒別所述AP的證書是否由信任的CA頒發(fā); 第二證書鑒別子單元�����,用于鑒別所述AP的證書是否在有效期內(nèi)����; 第三證書鑒別子單元,用于鑒別所述AP的證書是否已經(jīng)被吊銷�����。
8���、 如權(quán)利要求7所述STA�,其特征在于��,所述第二證書鑒別子單元具體 為����,從信任的CA的證書中獲取信任的CA的公鑰;并使用所述信任的CA的 公鑰驗(yàn)證所述AP的證書中的CA簽名�����,鑒別所述AP的證書是否由信任的CA 頒發(fā)。
9�����、 如權(quán)利要求7所述STA,其特征在于���,還包括,證書吊銷列表獲取單元���,用于從外部服務(wù)器獲取證書吊銷列表并提供給 所述第三證書鑒別子單元�,供其鑒別所述AP的證書是否已經(jīng)被吊銷�����。
10���、 如權(quán)利要求9所述STA,其特征在于����,所述證書吊銷列表獲取單元 包括第一證書吊銷列表獲取子單元�,用于在獲取到所述AP的證書后,通過所 述AP提供的臨時(shí)端口���,從外部服務(wù)器獲取證書吊銷列表���;或第二證書吊銷列表獲取子單元��,用于在關(guān)聯(lián)到所述AP后�����、獲取到所述 AP的證書前���,通過所述AP提供的臨時(shí)端口,從外部服務(wù)器獲取證書吊銷列 表5或第三證書吊銷列表獲取子單元�,用于在之前連接到網(wǎng)絡(luò)時(shí),定期從外部 服務(wù)器獲取證書吊銷列表��。
11���、 如權(quán)利要求6或IO所述STA,其特征在于��,還包括 觸發(fā)報(bào)文發(fā)送單元�����,用于在所述第二證書吊銷列表獲取子單元從外部服務(wù)器獲取證書吊銷列表后���,向所述AP發(fā)送鑒別開始報(bào)文��,觸發(fā)所述AP提供 所述AP的i正書��。
12���、 一種證書鑒別方法,其特征在于�,包括AP接收STA發(fā)送的接入鑒別請(qǐng)求報(bào)文,獲取所述接入鑒別請(qǐng)求報(bào)文中攜帶的所述STA的證書�;所述AP對(duì)所述STA的證書進(jìn)行鑒別�����。
13����、 如權(quán)利要求12所述的方法,其特征在于�����,所述AP對(duì)所述STA的證 書進(jìn)行鑒別具體包括所述AP鑒別所述STA的證書是否由信任的CA頒發(fā)�、所述STA的證書 是否在有效期內(nèi)�、以及所述STA的證書是否已經(jīng)被吊銷�。
14、 如權(quán)利要求13所述的方法����,其特征在于,所述AP鑒別所述STA的 證書是否由信任的CA頒發(fā)具體包括所述AP從信任的CA的證書中獲取信任的CA的公鑰����; 所述AP使用所述信任的CA的公鑰驗(yàn)證所述STA的證書中的CA簽名, 鑒別所述STA的證書是否由信任的CA頒發(fā)�����。
15��、 如權(quán)利要求13所述的方法��,其特征在于����,所述AP鑒別所述STA的 證書是否已經(jīng)被吊銷具體包括所述AP根據(jù)從外部服務(wù)器獲取的證書吊銷列表,鑒別所述STA的證書 是否已經(jīng)被吊銷���。
16�����、 一種AP����,其特征在于,包括證書獲取單元�,用于接收STA發(fā)送的接入鑒別請(qǐng)求報(bào)文,獲取所述接入 鑒別請(qǐng)求報(bào)文中攜帶的所述STA的證書��;證書鑒別單元��,用于鑒別所述證書獲取單元獲取的所述STA的證書��。
17�����、 如權(quán)利要求16所述AP,其特征在于���,所述證書鑒別單元包括 第一證書鑒別子單元,用于鑒別所述STA的證書是否由信任的CA頒發(fā)���; 第二證書鑒別子單元���,用于鑒別所述STA的證書是否在有效期內(nèi)���; 第三證書鑒別子單元,用于鑒別所述STA的證書是否已經(jīng)被吊銷���。
18��、 如權(quán)利要求16所述AP,其特征在于�����,所述第二證書鑒別子單元具 體為����,從信任的CA的證書中獲取信任的CA的公鑰����;并使用所述信任的CA 的公鑰驗(yàn)證所述STA的證書中的CA簽名,鑒別所述STA的證書是否由信任 的CA頒發(fā)��。
19�����、 如權(quán)利要求16或17所述AP,其特征在于���,還包括證書吊銷列表獲取單元����,用于從外部服務(wù)器獲取證書吊銷列表并提供給 所述第三證書鑒別子單元�����,供其鑒別所述STA的證書是否已經(jīng)被吊銷���。
20�����、 如權(quán)利要求16所述AP�,其特征在于����,還包括臨時(shí)端口設(shè)置單元���,用于設(shè)置一臨時(shí)端口以供所述STA從外部服務(wù)器獲 取證書吊銷列表��。
全文摘要
本發(fā)明公開了一種證書鑒別方法和設(shè)備����。該方法中,AP和STA間進(jìn)行交互時(shí)��,由STA直接鑒別AP證書的合法性��,AP直接鑒別STA證書的合法性�,證書的合法性鑒別不再需要第三方設(shè)備參與。通過使用本發(fā)明���,在STA與AP的證書認(rèn)證過程中����,無需第三方設(shè)備如鑒權(quán)服務(wù)器AS等的參與����,擴(kuò)展了WAPI認(rèn)證的應(yīng)用。另外��,該方法減少了證書認(rèn)證過程的交互���,加速了證書認(rèn)證過程����。
文檔編號(hào)H04L9/30GK101282215SQ20081011076
公開日2008年10月8日 申請(qǐng)日期2008年5月29日 優(yōu)先權(quán)日2008年5月29日
發(fā)明者蔡自彬 申請(qǐng)人:杭州華三通信技術(shù)有限公司