(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210920349.1 (22)申请日 2022.08.02 (71)申请人 深圳市智开科技有限公司 地址 518000 广东省深圳市龙岗区龙城街 道黄阁坑社区龙城工业园留学人员 (龙岗)创业园323 (72)发明人 刘高锦　丁亮　刘林　 (74)专利代理 机构 深圳市鼎智专利代理事务所 (普通合伙) 44411 专利代理师 刘佳 (51)Int.Cl. H04W 12/08(2021.01) H04W 84/12(2009.01) H04L 9/32(2006.01) (54)发明名称 一种WAPI证书申请方法与无线终端、 证书鉴 别器 (57)摘要 本发明公开了一种WAPI证书申请的方法与 无线终端STA、 WAPI证书鉴别器AS， 所述STA通过 自签名产生第一WAPI证书， 并在第一WAPI证书中 包括第一扩展属性表征WAPI证书申请意图， 所述 AS基于第一WAPI证书中的第一扩展属性判断S TA 的WAPI证书申请意图， 并基于第一WAPI证书中的 信息产生颁发给STA的第二WAPI证书， 并通过修 改第一WAPI证书形成第三WAPI证书。 本发明中的 方法能够基于拟接入WAPI网络在线申请WAPI证 书， 不需要借助其它网络， 并且不需要升级现有 AP， 具有良好的方便性、 兼容 性、 经济性。 权利要求书1页 说明书6页 附图2页 CN 115278676 A 2022.11.01 CN 115278676 A 1.一种WAPI证书申请的方法与无线终端STA、 WAPI证书鉴别器AS， 其特征在于， 所述STA 通过自签名产生第一WAPI证书， 并在第一WAPI证书中包括第一扩展属性表征WAPI证书申请 意图， 所述AS基于第一WAPI证书中的第一扩展属性判断STA的WAPI证书申请意图， 并基于第 一WAPI证书中的信息产生颁发给STA的第二WAPI证书， 并通过修 改第一WAPI证书形成第三 WAPI证书， 所述修改包括增加第二扩展属性承载第二WAPI证书、 增加第三扩展属性承载AS 公钥证书、 重新签名， 所述STA和AS通过WAPI无线网络进 行基于标准WAPI认证协议的交互实 现第一WAPI证书和第三 WAPI证书的传递， 从而实现无线终端在线申请WAPI证书； S1： 无线终端STA为了申请WAPI证书， 关联拟接入WAPI无线网络中的无线接入点AP， 在 收到AP所发送的WAPI认证激活报文后向AP发送标准的WAPI接入认证报文， 所述WAPI接入认 证报文中的终端证书是 所述STA通过自签名而生成的第一 WAPI证书； S2： WAPI证书鉴别器AS收到标准的证书鉴别请求报文后， 从中得到终端证书即所述第 一WAPI证书， 所述AS通过检查第一WAPI证书的第一扩展属性项判断此鉴别请求是否为STA 的证书申请行为， 如果是则基于第一WAPI证书的第一扩展属性中所包括的申请者鉴别信息 进行申请者授权检查， 如果授权检查通过则基于第一WAPI证书产生颁发给STA的第二WAPI 证书， 然后修改第一WAPI证书形成第三WAPI证书， 将第三WAPI证书作为终端证书包括在证 书鉴别响应报文的认证结果之终端证书字段中， 并用特定的鉴别结果值表示证书申请结果 状态； 所述修改第一WAPI证书， 包括增加 第二扩展属性来标识并包括第二证书、 增加 第三扩 展属性来标识并包括AS证书、 用AS 私钥重新签名； S3： 所述STA接收到标准的接入认证响应报文后， 从其中取得终端证书鉴别结果值确定 证书申请结果状态， 如果结果状态为成功则取出鉴别结果中的终端证书即第三WAPI证书， 再从第三WAPI证书的第二扩展属性中取出第二WAPI证书即为STA所申请得到的WAPI证书， 以及从第三 WAPI证书的第三扩展属性中取 出AS证书。 2.根据权利 要求1所述的一种WAPI证书申请的方法与无线终端、 WAPI证书鉴别器， 其特 征在于， 所述S1 中， 第一WAPI证书的证书主体(或说持有 方)包括了申请者关键信息、 公钥信 息， 以及通过第一WAPI证书的第一扩展属性来标识证书申请行为， 第一扩展属性中还包括 申请者鉴别信息， 所述 鉴别信息为申请者在申请时手工 输入。权　利　要　求　书 1/1 页 2 CN 115278676 A 2一种WAPI证书申请方 法与无线终端、 证书鉴别器 技术领域 [0001]本发明涉及通信技术领域， 尤其涉及一种WAPI证书申请的方法与无线终端、 证书 鉴别器。 背景技术 [0002]WAPI是中国无线局域网 国家标准GB15629.11所规定的WLAN无线安全标准和技术。 WAPI通过采用数字证书来标识无线接入点(AP)、 无线终端(STA)、 WAPI证书鉴别器的身份， 基于三元认证体系统进 行AP和STA的身份认证， 确保了无线接入认证的安全性， 能有效地避 免非法终端接入 无线网络和终端接入非法仿冒AP 。 WAPI无线局域网络中， AP和STA都需要安 装WAPI数字证书才能进行三元认证。 WAPI  无线终端证书的获取， 通常有两种方式： [0003]方式A： 由WAPI证书鉴别服务器(AS)为WAPI无线终端产生密钥对(包括公钥和私 钥)、 并基于其中的公钥生成WAPI公钥证书， 公钥证书通过了AS的私钥进行签名； 然后通过 一种安全的渠道将终端设备的公钥证书和私钥 传递给WAPI 终端进行安装； 这个过程需要一 种安全的渠道进行证书传递， 因为其中包括了敏感信息——私钥， 这个过程中， 除了要对申 请者进行身份检查外， 还需要对消息的私密性、 防篡改进行保证， 这种安全的渠道如果采用 线上方式进行， 就需要对传递信息进行加密处 理， 或在一个安全的隧道中进行处 理。 [0004]方式B： 由WAPI终端 自己产生密钥对(包括公钥和私钥)然后产生证书签名申请文 件， 此文件叫P10(国际标准PKCS#10的简称)  文件， P10文件中包括了终端设备的信息(申请 者组织机构、 设备名称等)、 公钥信息， 但 不包括私钥信息， 还包括了产生者用其私钥进 行的 P10签名信息， 接收者能够用P10文件里面的公钥信息对P10进行签名验证； 将P10文件传递 给AS， AS基于P10文件中的主体信息  (Subject)、 公钥信息为 申请者产生公钥证书文件， 公 钥证书文件用  AS的私钥进 行签名； 然后将这个公钥证书文件发放给申请者进 行安装， 这个 过程中不包括终端设备 的私钥信息， 传递过程中只需要对申请者的身份进行检查、 对传递 的信息防篡改进行检查外， 没有其它安全性方面的要求。 [0005]近年来随着数字化、 智能化 的推进， WAPI无线网络在国家关键基础设施行业得到 越来越多的应用， 越来越多的移动作业 终端接入  WAPI无线专网， 比如机器人、 作业平板等。 这些行业中为WAPI无线终端申请证书， 一般采用前述方式B。 对于方式B， 又有两种具体方 式： [0006]方式B1： 手工过程。 WAPI无线终端产生P10文件， P10文件通过连接非WAPI网络邮件 等方式传递给证书申请管理人员， 管理人员获得P10文件后通过AS人机交互接口完成证书 文件生成， 然后再将 证书文件通过邮件等方式发送给申请者。 如果AS在内网， 则管理人员在 外网计算机中得到P10文件， 还要通过一定的方式完成P10文件从外网到内网的文件拷贝， 通过AS生成证书后， 再通过证书 文件从内网拷贝到 外网， 再发送给申请者。 [0007]方式B2： 辅助系统过程。 通过借助拟接入WAPI网络之外的其它网络完成WAPI证书 的在线申请， WAPI 终端在申请 证书时临时性地接到辅助网络， 进 行P10文件的网络化传递 或 借助于基于非WAPI网络的软件系统在线式地完成。说　明　书 1/6 页 3 CN 115278676 A 3