一种证书状态信息的获取方法及证书状态管理系统

摘要

一种证书状态信息的获取方法及证书状态管理系统，该方法包括：终端向无线局域网的鉴别服务器发送WAPI证书的状态信息的订阅请求，以获取其WAPI证书的状态信息；接收到所述订阅请求后，如果鉴别服务器判定所述终端有权获取WAPI证书的状态信息，则：将接收到所述订阅请求时查询得到的所述WAPI证书的状态信息包含在通知消息中发送给所述终端、和/或在订阅的有效期内，当所述WAPI证书的状态发生变化时将该WAPI证书的状态信息包含在通知消息中发送给所述终端。本发明通过发起WAPI证书的状态信息的订阅使得终端可以主动、实时地获取WAPI证书的状态信息，并可根据证书状态信息及时进行证书更新等操作，方便了用户。

说明书

技术领域

本发明涉及无线局域网通信领域，尤其涉及一种WAPI(WLANAuthentication and Privacy Infrastructure，无线局域网鉴别与保密基础结构)证书状态信息的获取方法及证书状态管理系统。

背景技术

WAPI是以IEEE(Institute of Electrical and Electronics Engineers，电气和电子工程师协会)802.11无线协议为基础的无线局域网安全标准。WAPI协议由两部分构成：WAI(WLAN Authentication Infrastructure，无线局域网鉴别基础结构)和WPI(WLAN Privacy Infrastructure，无线局域网保密基础结构)。WAI是用于无线局域网身份鉴别和密钥管理的安全方案。WPI是用于无线局域网数据传输保护的安全方案，包括数据加密、数据鉴别和重放保护等功能。

典型的WAPI系统主要由鉴别器实体(Authenticator Entity，简称AE)、鉴别请求者实体(Authentication Supplicant Entity，简称ASUE)以及鉴别服务实体(Authentication Service Entity，简称ASE)组成。其中，鉴别请求者实体是在接入无线局域网之前请求进行鉴别操作的实体，驻留在STA(STAtion，无线站点，即终端)中；鉴别器实体用于为鉴别请求者实体在接入无线局域网之前提供身份鉴别操作，一般驻留在AP(Access Point，接入点)或STA中；鉴别服务实体用于为鉴别器实体和鉴别请求者实体提供证书鉴别的服务，一般驻留在鉴别服务单元(Authentication Service Unit，简称ASU，也可以称为鉴别服务器)中。

终端接入无线局域网时，首先需要与AP进行802.11协议的链路协商，之后AP触发该终端的WAI身份鉴别和密钥管理过程，配合鉴别服务器完成与终端之间的双向身份认证；身份认证通过后，AP会与终端进行会话密钥协商，并使用协商出的会话密钥为终端提供基于WPI的链路层加密和解密服务。

WAI的鉴别及密钥管理包含两种类型，一种是基于证书的方式，另一种是基于预共享密钥的方式。当采用基于证书的方式时，鉴别请求者实体所在的无线站点(即终端)在接入鉴别请求携带自己的WAPI证书，鉴别器实体(通常为AP)根据接入鉴别请求中的信息或本地策略，决定是在本地完成证书的验证或者交由鉴别服务单元(鉴别服务器)完成证书的验证，以此完成鉴别器实体(AP)对鉴别请求者(终端)的身份认证。

当采用基于证书的鉴别及密钥管理方式时，无线局域网鉴别与保密基础结构(WAPI)构建了无线局域网中的公开密钥基础设施(Public keyInfrastructure，简称PKI)；其中，鉴别服务单元(鉴别服务器)起到了PKI中的认证中心(Certificate Authority，简称CA)的作用。当采用X.509v3格式的证书作为WAPI证书时，鉴别服务单元也必须有具有证书申请、签发、定期发布证书失效列表、响应用户证书吊销等功能。

一般来说，WAPI证书的申请、注销和对应的私有密钥的发布都是采用离线、外带的方式进行，以避免在传输过程中被窃取、篡改。WAPI证书在有效期满后即失效，用户须主动通过离线方式完成证书的更新。但是，由于用户无法知道证书在什么时候会失效，也无法主动检测证书状态，因此只有在接入鉴别失败后才能获知证书失效，然后再进行证书的更新。

发明内容

本发明所要解决的技术问题是，克服现有技术的不足，提供一种证书状态信息的获取方法及证书状态管理系统，使终端可以及时获取WAPI证书的状态信息，以便根据WAPI证书的状态信息及时进行WAPI证书的更新等操作。

为了解决上述问题，本发明提供一种证书状态信息的获取方法，该方法包括：

终端向无线局域网的鉴别服务器发送无线局域网鉴别与保密基础结构WAPI证书的状态信息的订阅请求，以获取其WAPI证书的状态信息；

接收到所述订阅请求后，如果鉴别服务器判定所述终端有权获取WAPI证书的状态信息，则：

将接收到所述订阅请求时查询得到的所述WAPI证书的状态信息包含在通知消息中发送给所述终端、和/或

在订阅的有效期内，当所述WAPI证书的状态发生变化时将该WAPI证书的状态信息包含在通知消息中发送给所述终端。

此外，所述WAPI证书中包含：获取方式指示信息、所述鉴别服务器的地址信息；

所述终端使用所述获取方式指示信息所指定的状态信息获取方式、以及所述地址信息向所述鉴别服务器发送所述订阅请求；

所述状态信息获取方式包含：初始会话协议SIP信令方式、和/或短信方式。

此外，如果所述获取方式指示信息指定的状态信息获取方式为SIP信令方式，则所述地址信息为所述鉴别服务器的SIP地址和端口号；

所述终端使用所述SIP地址和端口号向所述鉴别服务器成功注册后，才以SIP信令方式发送所述订阅请求。

此外，终端采用如下步骤向所述鉴别服务器注册：

终端使用所述SIP地址和端口号向所述鉴别服务器发送SIP的注册请求消息；

接收到所述注册请求消息后，所述鉴别服务器向终端返回SIP的401响应消息，该消息中包含鉴权字段；

接收到所述401响应消息后，终端使用所述鉴权字段计算得到鉴权信息，并将其包含在SIP的注册请求消息中发送给鉴别服务器；

接收到所述包含鉴权信息的注册请求消息后，所述鉴别服务器根据所述鉴权信息判断所述终端是否鉴权成功，如果鉴权成功，则向终端返回终端注册成功的响应消息，否则向终端返回注册失败的响应消息。

此外，如果所述获取方式指示信息指定的状态信息获取方式为短信方式，则所述地址信息为所述鉴别服务器的短信接收号码；

所述终端使用所述短信接收号码以短信方式向所述鉴别服务器发送所述订阅请求；所述鉴别服务器以短信方式向所述终端发送所述包含状态信息的通知消息。

本发明还提供一种证书状态管理系统，该系统包含：终端、通信平台和鉴别服务器；所述终端中设置有证书状态获取模块和第一通信单元；所述鉴别服务器中设置有证书状态管理模块和第二通信单元；所述通信平台用于在所述第一通信单元和所述第二通信单元之间进行信息交互；其中，

所述证书状态获取模块用于通过所述第一通信单元发送WAPI证书的状态信息的订阅请求；

所述第一通信单元用于将所述订阅请求通过所述通信平台发送给所述第二通信单元；

所述证书状态管理模块用于在通过所述第二通信单元接收到所述订阅请求后，判断所述终端是否有权获取WAPI证书的状态信息，如果判定所述终端有权获取WAPI证书的状态信息，则：

所述证书状态管理模块将接收到所述订阅请求时查询得到的所述WAPI证书的状态信息包含在通知消息中，依次通过所述第二通信单元、通信平台和第一通信单元发送给所述证书状态获取模块、和/或

在订阅的有效期内，当所述WAPI证书的状态发生变化时，所述证书状态管理模块将该WAPI证书的状态信息包含在通知消息中，依次通过所述第二通信单元、通信平台和第一通信单元发送给所述证书状态获取模块。

此外，所述第一通信单元中包含：第一SIP模块；所述第二通信单元中包含：第二SIP模块；所述通信平台中包含：接入点AP；

所述证书状态获取模块依次通过所述第一SIP模块、所述AP和所述第二SIP模块将所述订阅请求发送给所述证书状态管理模块。

此外，所述证书状态管理模块依次通过所述第二SIP模块、所述AP和所述第一SIP模块将所述通知消息发送给所述证书状态获取模块。

此外，所述第一通信单元中还包含：第一短信模块；所述第二通信单元中还包含：第二短信模块；所述通信平台中还包含：短信中心；

所述证书状态管理模块依次通过所述第二短信模块、所述短信中心和所述第一短信模块将所述通知消息发送给所述证书状态获取模块。

此外，所述第一通信单元中包含：第一短信模块；所述第二通信单元中包含：第二短信模块；所述通信平台中包含：短信中心；

所述证书状态获取模块依次通过所述第一短信模块、所述短信中心和所述第二短信模块将所述订阅请求发送给所述证书状态管理模块；

所述证书状态管理模块依次通过所述第二短信模块、所述短信中心和所述第一短信模块将所述通知消息发送给所述证书状态获取模块。

综上所述，本发明通过发起WAPI证书的状态信息的订阅使得终端可以主动、实时地获取WAPI证书的状态信息，并可根据证书状态信息及时进行证书更新等操作，方便了用户。

附图说明

图1为本发明实施例WAPI证书的证书状态管理结构体的示意图；

图2是本发明实施例证书状态管理系统的结构示意图；

图3是本发明第一实施例证书状态的获取方法流程图；

图4是本发明实施例证书状态信息的数据结构示意图；

图5是本发明第二实施例证书状态的获取方法流程图。

具体实施方式

本发明的核心思想是，终端向鉴别服务单元(以下称为鉴别服务器)发送证书状态订阅请求，以获取WAPI证书的状态信息；鉴别服务器接收到证书状态订阅请求后，将该终端的WAPI证书的状态信息包含在通知消息中发送给终端、和/或在订阅的有效期内，当该终端的WAPI证书的状态发生变化时将对应的状态信息包含在通知消息中发送给终端。

为了使终端获知是否可以获取WAPI证书的状态信息，以及获取WAPI证书的状态信息所使用的地址(即鉴别服务器的地址)，本发明在发放给用户的WAPI证书的扩展字段中增加了证书状态管理结构体。如图1所示，证书状态管理结构体中包含：证书状态管理标识、状态获取方式、地址信息。其中：

证书状态管理标识字段用于表示WAPI证书是否支持状态管理，即是否可以获取WAPI证书的状态信息；例如，该标识值为1时，表示终端可以获取WAPI证书的状态信息；该标识值为0时表示不可以获取WAPI证书的状态信息。

状态获取方式字段用于表示获取WAPI证书的状态信息可以采用的方式；例如，该字段值为0时，表示可以通过短信方式获取WAPI证书的状态信息；该字段值为1时，表示可以通过SIP(Session Initial Protocol，初始会话协议)信令方式获取WAPI证书的状态信息；该字段值为2时，表示同时支持上述两种状态信息获取方式。如果还有其它获取WAPI证书的状态信息的方式，可以进一步扩展该字段的值。

地址信息字段用于表示获取WAPI证书的状态信息所使用的地址；当采用短信方式获取WAPI证书的状态信息时，地址信息字段中存储有鉴别服务器的短信接收号码；当采用SIP信令方式获取WAPI证书的状态信息时，地址信息字段中存储有鉴别服务器的SIP地址和端口号。如果同时支持多种获取WAPI证书的状态信息的方式，则地址信息字段中需要包含多种获取方式所对应的地址信息。

下面将结合附图和实施例对本发明进行详细描述。

图2是本发明实施例证书状态管理系统的结构示意图；如图2所示，该系统包含：终端、通信平台和鉴别服务器。

终端中设置有：证书状态获取模块和第一通信单元；为了支持不同的证书状态信息获取方式，第一通信单元中可以包含：第一短信模块、和第一SIP模块。

所述证书状态获取模块用于从WAPI证书的证书状态管理结构体中获知是否可以获取证书状态信息、获取证书状态信息所采用的方式以及获取证书状态信息所需的地址信息；并通过第一通信单元(第一短信模块、或第一SIP模块)向鉴别服务器发送证书状态信息的订阅请求；在通过第一通信单元(第一短信模块、或第一SIP模块)接收到鉴别服务器发送的通知消息后，从该通知消息中解析出WAPI证书的证书状态信息，并根据该信息进行相应的处理。

如果WAPI证书同时支持两种证书状态信息获取方式，证书状态获取模块可以根据终端中是否设置有第一SIP模块和第一短信模块以及终端默认的优先级来选择采用哪种方式获取证书状态信息。

此外，如果采用SIP信令方式发送上述订阅请求，证书状态获取模块需要首先通过第一通信单元(第一SIP模块)向鉴别服务器进行注册，注册成功后才发送上述订阅请求。

鉴别服务器中设置有：证书状态管理模块和第二通信单元；为了支持不同的证书状态信息获取方式，第二通信单元中可以包含：第二短信模块、和第二SIP模块。

证书状态管理模块用于通过第二通信单元(第二短信模块、或第二SIP模块)接收终端发送的证书状态信息的订阅请求，并判断对应终端是否有权发送该订阅请求，如果终端有权发送该订阅请求，则将对应的证书状态信息包含在通知消息中，通过第二通信单元(第二短信模块、或第二SIP模块)发送给终端。

此外，在接收到终端采用SIP信令方式发送的订阅请求前，鉴别服务器还需要对终端发送的注册请求进行处理，以完成终端的注册过程。

针对不同的证书状态信息获取方式，通信平台可以包含：AP、和/或短信中心，用于在终端和鉴别服务器之间(即第一通信单元和第二通信单元之间)进行信息的交互。其中，AP用于在终端和鉴别服务器之间(即第一SIP模块和第二SIP模块之间)进行SIP信令的交互，短信中心用于在终端和鉴别服务器之间(即第一短信模块和第二短信模块之间)进行短信交互。

下面将结合本发明的方法实施例对上述系统的具体功能进行详细描述。

第一方法实施例

图3是本发明第一实施例证书状态的获取方法流程图，本实施例中，终端通过SIP信令方式获取WAPI证书的状态信息(简称证书状态信息)；如图3所示，该方法包括：

301：终端对WAPI证书中的证书状态管理结构体进行解析，通过该结构体的证书状态管理标识字段获知可以获取该WAPI证书的证书状态信息，通过该结构体的状态获取方式字段获知可以采用SIP信令方式获取证书状态信息，通过该结构体的地址信息字段获知获取证书状态信息所需的SIP地址和端口号。

302：由于采用SIP信令方式获取证书状态信息时首先需要向鉴别服务器进行注册，因此终端在完成WAPI的身份鉴别，成功接入无线局域网之后，使用上述SIP地址和端口号通过无线局域网(即通过AP)向鉴别服务器发送SIP的注册请求(REGISTER)消息。

303：接收到上述注册请求消息后，鉴别服务器通过无线局域网向终端返回401响应消息，要求对该用户进行业务层的鉴权；其中，401响应消息中包含鉴权字段(其值可以是鉴别服务器生成的随机数)。

304：接收到401响应消息后，终端根据该消息中包含的鉴权字段计算出相应的鉴权信息，并将其包含在SIP的注册请求消息中通过无线局域网发给鉴别服务器。

305：接收到上述包含鉴权信息的注册请求消息后，鉴别服务器根据该消息中包含的鉴权信息判断该用户是否鉴权成功，如果用户鉴权成功，则通过无线局域网向终端返回SIP的200OK消息，表示终端注册成功；如果用户鉴权失败，则通过无线局域网向终端返回注册失败的响应消息(图中未示出)，本流程结束。

306：注册成功后，终端通过无线局域网向鉴别服务器发送证书状态信息的订阅请求(例如，SIP的SUBSCRIBE(订阅)请求)，该请求消息的片断如下：

SUBSCRIBE sip：username@xx.xx SIP/2.0

...... 

Accept：application/cert-status

Expires：3600

Event：cert-status

......

其中，上述订阅消息的第一行为SIP消息的请求行；Accept字段指明在订阅成功后的通知消息中消息体的格式(本实施例中，格式的名称为：application/cert-status)；Expires字段表示本次订阅的有效时长；Event字段表示本次订阅的事件类型。这三个字段的值可以根据需要做具体的定义。

SIP消息中各字段的具体含义和格式请参考相应的文档。

307：鉴别服务器收到上述订阅请求消息后，根据该消息中包含的用户帐号(即SIP消息的请求行中的“username”)查找对应的用户信息，以确定对应用户是否已开通证书状态管理服务(即判断该用户是否有权订阅/获取证书状态信息)：如果该用户未开通证书状态管理服务，则通过无线局域网向终端返回订阅失败的响应消息(图中未示出)，本流程结束；如果该用户已开通证书状态管理服务，则通过无线局域网向终端返回SIP的200OK消息，表示接受该用户的订阅请求(即订阅成功)。

308：鉴别服务器在接受了终端用户的订阅请求后，向终端返回SIP的NOTIFY(通知)消息，通知用户当前的证书状态；通知消息的片断如下：

NOTIFY sip：xx@xx.xx SIP/2.0

...

Event：cert-status

Subscription-Status：active

Content-Type：application/cert-status

Content-Length：...

 <cert id＝12345678>

  <cert-status>

    active

  </cert-status>

</cert>

其中，Event字段与订阅请求消息中的Event字段相同；Content-Type字段与订阅请求中的Accept字段相同；Centent-Length字段表示NOTIFY消息体的长度；Subscription-status表示NOTIFY消息所对应的订阅状态，如果其值为“active”则表示对应的订阅仍然有效；否则表示对应的订阅已无效，而该NOTIFY消息为对应订阅的最后一个通知消息。

在NOTIFY消息的消息体中包含证书的状态信息。如图4所示，证书状态信息可以包含：证书ID(标识符)、证书当前状态、证书有效期、证书颁发机构、以及扩展字段。

证书当前状态可分为：有效、已过期和即将过期等。

上述NOTIFY消息的消息体中仅示意性地包含了证书ID：12345678和证书当前状态：active(有效)。

309：终端接收到上述NOTIFY消息后，提取并解析消息体中包含的证书状态信息；如果证书状态信息表明WAPI证书即将过期，则提示用户及时更新WAPI证书；如果状态信息表明WAPI证书已经过期，则断开当前的无线局域网通信链路，证书更新后再重新接入无线局域网。

此后，在订阅的有效期内，当该WAPI证书的状态发生变化时，鉴别服务器会向终端发送包含证书状态信息的NOTIFY消息。在这种情况下，证书状态信息中可以仅包含发生变化的状态信息。例如，WAPI证书的有效期被延长或缩短时，鉴别服务器可以仅将变化的证书有效期字段发送给终端。

第二方法实施例

图5是本发明第二实施例证书状态的获取方法流程图，本实施例中，终端通过短信方式获取证书状态信息；如图5所示，该方法包括：

501：终端对WAPI证书中的证书状态管理结构体进行解析，通过该结构体的证书状态管理标识字段获知可以获取该证书的证书状态信息，通过该结构体的状态获取方式字段获知可以采用短信方式获取证书状态信息，通过该结构体的地址信息字段获知鉴别服务器的短信接收号码。

502：终端使用鉴别服务器的短信接收号码通过短信中心向鉴别服务器发送用于订阅证书状态信息的短信。

503：接收到订阅证书状态信息的短信后，鉴别服务器首先根据该短信的发送方号码查找对应的用户信息，以确定对应用户是否已开通证书状态管理服务(即判断该用户是否有权订阅/获取证书状态信息)：如果该用户未开通证书状态管理服务，则通过短信中心向终端发送包含订阅失败应答信息的短信(图中未示出)，本流程结束；如果该用户已开通证书状态管理服务，则通过短信中心向终端发送包含订阅成功应答信息的短信。

504：鉴别服务器查询得到对应用户的WAPI证书的状态信息，将其包含在短信中通过短信中心发送给终端；

本实施例中，证书状态信息也可以采用图4所示的数据格式。

505：终端接收到包含证书状态信息的短信后，从该短信中解析出证书的状态信息，如果状态信息表明WAPI证书即将过期或已经过期，则提示用户及时更新证书。

此后，在订阅的有效期内，当对应证书的状态发生变化时，鉴别服务器会向终端发送包含证书状态信息的短信。

根据本发明的基本原理，上述实施例还可以有多种变换方式，例如：

终端以SIP信令方式发送订阅请求，而鉴别服务器可以以短信方式向终端发送包含证书状态信息的通知消息。在这种情况下，鉴别服务器中需要预先存储有用户/终端对应的短信接收号码。