技術領域

本發明涉及通信領域，具體而言，涉及一種WAPI終端證書的管理方法、裝置及系統。

背景技術

為了解決無線局域網國際標準ISO/IEC?802.11中定義的有線等效保密(Wired?Equivalent?Privacy，簡稱為WEP)安全機制存在的安全漏洞，我國頒布了無線局域網國家標準及其第一號修改單，該標準采用無線局域網認證與保密基礎結構(WLAN?Authenticationand?Privacy?Infrastructure，簡稱為WAPI)替代WEP，解決無線局域網的安全問題。

WAPI由無線局域網鑒別基礎結構(WLAN?AuthenticationInfrastructure，簡稱為WAI)和無線局域網保密基礎結構(WLANPrivacy?Infrastructure，簡稱為WPI)組成。其中，WAI采用了公開密鑰加密技術，用于終端與接入點之間互相身份鑒別；WPI采用國家密碼管理委員會辦公室批準的用于WLAN的對稱密碼算法實現數據保護，對MAC子層的MAC服務數據單元(MAC?Service?DataUnit，簡稱為MSDU)進行加、解密處理。

圖1是根據相關技術的WAPI基礎結構的結構示意圖，如圖1所示，包括：接入點(Access?Point，簡稱為AP)是指任何一個具備站點功能，通過無線媒體為關聯的站點提供訪問分布式服務的實體；鑒別請求者實體(Authentication?Supplicant?Entity，簡稱為ASUE)是在接入服務之前請求進行鑒別操作的實體，該實體主要設置在終端內；鑒別器實體(Authenticator?Entity，簡稱為AE)為鑒別請求者在接入服務之前提供鑒別操作的實體，該實體主要設置在接入點內；鑒別服務單元(Authentication?Service?Unit，簡稱為ASU)的基本功能是實現對用戶證書的管理和用戶身份的鑒別等，是基于公開密鑰密碼技術的WAI鑒別基礎結構中重要的組成部分；鑒別服務實體(Authentication?Service?Entity，簡稱為ASE)為鑒別器和鑒別請求者提供身份鑒別服務的實體，該實體駐留在ASU中。其中，用戶證書為公開密鑰證書，它是WAI系統構造中重要的環節。公開密鑰證書是網絡用戶的數字身份憑證，通過私有密鑰驗證可以唯一地確定網絡用戶的身份。

站點通過兩類方式支持WAI鑒別及密碼管理，一是基于證書的方式，一是基于共享密鑰的方式。兩種類型內按照網絡類型分為基本服務組(Basic?Service?Set，簡稱為BSS)下認證與獨立基本服務組(Independent?Basic?Service?Set，簡稱為IBSS)下認證。當采用基于證書的方式時，鑒別請求者實體所在的站點，即終端在接入鑒別請求中，需要附帶自己的證書，鑒別器實體會根據請求中字段，決定是由他自己完成證書驗證還是交由鑒別服務單元完成驗證，以此完成接入點對鑒別請求者的認證。

WAPI可以看作是無線局域網中的公開密鑰基礎設施(PublicKey?Infrastructure，簡稱為PKI)，鑒別服務單元起到了PKI中的認證中心(Certificate?Authority，簡稱為CA)的作用，當WAI采用基于X.509v3的證書時，鑒別服務單元也必須具有CA有關證書申請、簽發、定期發布證書失效列表、響應用戶證書吊銷等功能。

一般地，PKI中用戶申請或注銷證書以及對應的私有密鑰都采用離線、外帶的方式進行，以避免在傳輸過程中被竊取、篡改。證書在有效期滿后失效，用戶也必須主動通過離線方式完成本地證書更新，非常不方便。

因此，針對用戶申請證書及私有密鑰必須采用效率較低的離線方式的問題，相關技術中尚未提出有效的解決方案。

發明內容

考慮到相關技術中用戶申請證書及私有密鑰必須采用離線方式的問題而提出本發明，為此，本發明的主要目的在于提供一種WAPI終端證書的管理方法、裝置及系統，以解決相關技術中存在的上述問題至少之一。

為了實現上述目的，根據本發明的一個方面，提供了一種WAPI終端證書的管理方法，用于基于SIP管理WAPI終端的公開密鑰證書。

根據本發明的管理方法包括：WAPI鑒別服務器和WAPI終端協商會話密鑰；WAPI鑒別服務器接收來自WAPI終端的訂閱請求消息，其中，訂閱請求消息用于非首次請求WAPI終端的公開密鑰證書和私有密鑰；WAPI鑒別服務器向WAPI終端發送攜帶有加密的公開密鑰證書和私有密鑰的通知消息，以供WAPI終端進行更新，其中，利用會話密鑰加密公開密鑰證書和私有密鑰。