CN107302544A - 证书申请方法、无线接入控制设备及无线接入点设备 - Google Patents
证书申请方法、无线接入控制设备及无线接入点设备 Download PDFInfo
- Publication number
- CN107302544A CN107302544A CN201710698543.9A CN201710698543A CN107302544A CN 107302544 A CN107302544 A CN 107302544A CN 201710698543 A CN201710698543 A CN 201710698543A CN 107302544 A CN107302544 A CN 107302544A
- Authority
- CN
- China
- Prior art keywords
- wireless access
- certificate
- access point
- point device
- control equipment
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 38
- 238000004891 communication Methods 0.000 claims description 42
- 230000004044 response Effects 0.000 claims description 21
- 238000012795 verification Methods 0.000 claims description 6
- 230000008569 process Effects 0.000 abstract description 3
- 238000010586 diagram Methods 0.000 description 6
- 230000008901 benefit Effects 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 2
- 230000008859 change Effects 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 230000006872 improvement Effects 0.000 description 2
- 230000003993 interaction Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000006467 substitution reaction Methods 0.000 description 2
- 230000007812 deficiency Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000009434 installation Methods 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明实施例一种证书申请方法、无线接入控制设备及无线接入点设备。所述无线接入点设备在获得用于进行证书代理申请的令牌信息后,发送证书代理请求报文到所述无线接入控制设备,所述无线接入控制设备向所述设备管理中心查询所述无线接入点设备的证书申请情况,根据证书申请情况从所述证书授权中心获取设备证书。所述无线接入控制设备在成功获取设备证书后,将设备证书发送给所述无线接入点设备。在上述过程中,无线接入控制设备代理无线接入点设备的证书申请,实现对大规模无线接入点设备的证书自动部署,解决了无线接入点设备在实际部署和使用过程中复杂、难以管理维护的问题,简化和节省管理维护成本。
Description
技术领域
本发明无线数据通信领域,具体而言,涉及一种证书申请方法、无线接入控制设备及无线接入点设备。
背景技术
无线系统在部署时,出于安全原因考虑,所有的无线接入点设备(WirelessAccess Point,简称AP)以无线接入点控制与配置协议(Control And Provisioning ofWireless Access Points,简称CAPWAP)数据报文传输层安全协议(Datagram TransportLayer Security,简称DTLS)方式接入无线接入控制设备(Wireless Access Controller,简称AC),所有的无线接入点设备都会被要求以DTLS证书认证的方式接入无线接入控制设备,为此需要在无线接入点设备初始部署时就为其申请和分发无线接入点设备的设备证书。
现有技术中,为大规模无线接入点设备申请和分发设备证书的方式有:
1.事先集中的为待部署的各个无线接入点设备申请好设备证书,并导入到无线接入点设备中,然后再分发无线接入点设备进行安装部署。
2.事先为待部署的各无线接入点设备进行证书授权中心(CertificateAuthority,简称CA)地址、SCEP功能等进行配置,然后由各无线接入点设备自行访问证书授权中心申请证书。
上述两种方式在进行大规模的证书申请和分发时,都不可避免的面临需要大量管理和维护工作量,限制了无线接入点设备的安全部署。
发明内容
为了克服现有技术中的上述不足,本发明所要解决的技术问题是提供一种证书申请方法、无线接入控制设备及无线接入点设备,其能够提供一种由无线接入控制设备对无线接入点设备的设备证书进行代理申请的方法及无线接入控制设备,能够实现大规模无线接入点设备的证书的自动部署,无需额外的操作。
本发明第一方面的目的在于一种证书申请方法,应用于证书申请系统,所述系统包括相互之间通信连接的无线接入点设备、无线接入控制设备、证书授权中心及设备管理中心,所述方法包括:
所述无线接入点设备从所述无线接入控制设备中获得用于进行证书代理申请的令牌信息;
所述无线接入点设备根据所述令牌信息建立与所述无线接入控制设备的通信,所述无线接入点设备发送证书代理请求报文到所述无线接入控制设备,其中,所述证书代理请求报文包括无线接入点设备的标识信息,所述标识信息包括:MAC地址和/或设备序列号;
所述无线接入控制设备在对所述无线接入点设备的标识信息验证通过后,向所述设备管理中心查询所述无线接入点设备的证书申请情况,根据证书申请情况从所述证书授权中心获取设备证书;
所述无线接入控制设备在成功获取设备证书后,将设备证书发送给所述无线接入点设备,并更新所述设备管理中心中所述无线接入点设备的记录信息。
本发明第二方面的目的在于一种证书申请方法,应用于与无线接入点设备、证书授权中心及设备管理中心通信连接的无线接入控制设备,所述方法包括:
所述无线接入控制设备发送用于进行证书代理申请的令牌信息给所述无线接入点设备;
基于所述令牌信息建立与所述无线接入点设备通信,接收所述无线接入点设备发送证书代理请求报文,其中,所述证书代理请求报文包括无线接入点设备的标识信息,所述标识信息包括:MAC地址和/或设备序列号;
在对所述无线接入点设备的标识信息验证通过后,向所述设备管理中心查询所述无线接入点设备的证书申请情况,根据证书申请情况从所述证书授权中心获取设备证书;
在成功获取设备证书后,将设备证书发送给所述无线接入点设备,并更新所述设备管理中心中所述无线接入点设备的记录信息。
本发明第三方面的目的在于提供一种无线接入控制设备,所述无线接入控制设备与无线接入点设备、证书授权中心及设备管理中心通信连接,所述无线接入控制设备包括:
发送模块,用于发送用于进行证书代理申请的令牌信息给所述无线接入点设备;
安全通信模块,用于基于所述令牌信息建立与所述无线接入点设备的安全通信通道,接收所述无线接入点设备发送证书代理请求报文,其中,所述证书代理请求报文包括无线接入点设备的标识信息,所述标识信息包括:MAC地址和/或设备序列号;
证书获取模块,用于在对所述无线接入点设备的标识信息验证通过后,向所述设备管理中心查询所述无线接入点设备的证书申请情况,根据证书申请情况从所述证书授权中心获取设备证书;
所述安全通信模块,还用于在成功获取设备证书后,将设备证书发送给所述无线接入点设备;
所述证书获取模块,还用于在成功获取设备证书后,更新所述设备管理中心中所述无线接入点设备的记录信息。
本发明第四方面的目的在于提供一种无线接入点设备,所述无线接入点设备与无线接入控制设备通信连接,所述无线接入点设备包括:
发送模块,用于发送请求报文到所述无线接入控制设备,以使所述无线接入控制设备在接收到所述请求报文后,根据预设的决策策略决定是否为所述无线接入点设备进行证书代理申请,其中,所述请求报文中包括无线接入点设备的标识信息,所述标识信息包括:MAC地址和/或设备序列号;
接收模块,用于接收所述无线接入控制设备在决定为所述无线接入点设备进行证书代理申请时发送的响应报文,所述响应报文中包括用于进行证书代理申请的令牌信息;
安全通信模块,用于根据所述令牌信息建立与所述无线接入控制设备的安全通信通道,通过所述安全通信通道发送证书代理请求报文到所述无线接入控制设备,其中,所述证书代理请求报文包括无线接入点设备的标识信息,所述标识信息包括:MAC地址和/或设备序列号;
所述安全通信模块,还用于通过所述安全通信通道接收所述无线接入控制设备代理申请的设备证书。
相对于现有技术而言,本发明具有以下有益效果:
本发明提供一种证书申请方法、无线接入控制设备及无线接入点设备。所述无线接入点设备在获得用于进行证书代理申请的令牌信息后,发送证书代理请求报文到所述无线接入控制设备,所述无线接入控制设备向所述设备管理中心查询所述无线接入点设备的证书申请情况,根据证书申请情况从所述证书授权中心获取设备证书。所述无线接入控制设备在成功获取设备证书后,将设备证书发送给所述无线接入点设备。在上述过程中,无线接入控制设备代理无线接入点设备的证书申请,实现对大规模无线接入点设备的证书自动部署,解决了无线接入点设备在实际部署和使用过程中复杂、难以管理维护的问题,简化和节省管理维护成本。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本发明的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1是本发明实施例提供的一种证书申请系统的结构方框图。
图2是本发明第一实施例提供的证书申请方法的一种步骤流程图。
图3是图2中步骤中S110的子步骤流程图。
图4是本发明第一实施例提供的证书申请方法的另一种步骤流程图。
图5是本发明第二实施例提供的证书申请方法的步骤流程图。
图6是本发明第三实施例提供的无线接入控制设备功能模块图。
图7是本发明第四实施例提供的无线接入点设备功能模块图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。通常在此处附图中描述和示出的本发明实施例的组件可以以各种不同的配置来布置和设计。
因此,以下对在附图中提供的本发明的实施例的详细描述并非旨在限制要求保护的本发明的范围,而是仅仅表示本发明的选定实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。
请参照图1,图1是本发明较佳实施例提供的证书申请系统的结构框图,所述证书申请系统包括:无线接入点设备100、无线接入控制设备300、证书授权中心500及设备管理中心400。所述无线接入点设备100与所述无线接入控制设备300连接为用户提供无线接入服务。
所述无线接入控制设备300负责对无线接入点设备100进行接入控制和管理,进行具体无线业务的处理。
所述证书授权中心500提供对无线接入点设备100的设备证书信息查询,以及对无线接入点设备100的设备证书进行签发等,所述证书授权中心500与所述无线接入控制设备300通信连接,所述证书授权中心500可以由用户自行搭建,也可以由第三方提供。
所述设备管理中心400与无线接入控制设备300通信连接,所述设备管理中心400记录各个无线接入点设备100的MAC地址、设备序列号SN、管理维护状态、无线接入点设备的证书使用状态,及无线接入点设备100可接入无线接入控制设备300的列表等信息。
第一实施例
请参照图2,图2是本发明较佳实施例提供的证书申请方法的一种步骤流程图。所述方法应用于证书申请系统,下面对证书申请方法的步骤做具体的描述。
步骤S110,无线接入点设备100从所述无线接入控制设备300中获得用于进行证书代理申请的令牌信息。
请参照图3,图3为实现步骤S110的一种流程示意图,可选地,所述步骤S110可以包括子步骤S111,子步骤S112及子步骤S113。
子步骤S111,无线接入点设备100发送请求报文到所述无线接入控制设备300,所述请求报文中包括无线接入点设备100的标识信息。
在本实施例中,可选地,无线接入点设备100按照现有的网络部署方式,通过静态配置、DHCP OFFER、或DISCOVERY广播等方式发送请求报文到无线接入控制设备300。其中,所述请求报文中包括无线接入点设备100的标识信息,所述标识信息包括MAC地址和/或设备序列号。也就是说该标识信息可以包括无线接入点设备100的MAC地址或无线接入点设备100的设备序列号,也可以同时包括无线接入点设备100的MAC地址和无线接入点设备100的设备序列号。该标识信息供无线接入控制设备300对无线接入点设备100的控制状态(无线接入点设备100是否属于该无线接入控制设备300管理范围等)以及证书申请状态进行查询。所述请求报文中还可以包括当前证书序号,用于无线接入控制设备300判断当前证书是否经由本设备申请以及是否需要对无线接入点设备100的当前证书进行更新。可选地,本发明实施例中的所述请求报文为扩展后的DISCOVERY REQUEST报文。
子步骤S112,所述无线接入控制设备300在接收到所述请求报文后,根据预设的决策策略决定是否为所述无线接入点设备100进行证书代理申请。
在本实施例中,可选地,所述子步骤S112可以包括:
若所述无线接入控制设备300的证书认证方式未被开启,则决定无需为所述无线接入点设备100进行证书代理申请。
若所述无线接入控制设备300在所述设备管理中心400查询到所述无线接入点设备100为第一次上线,或所述无线接入控制设备300根据所述无线接入点设备100当前证书信息在所述设备管理中心400查询到的证书状态为失效或邻近失效时,则决定为所述无线接入点设备100进行证书代理申请。其中,邻近失效的证书是指证书的有效使用时间小于预设时间(比如,7天)的证书。
子步骤S113,当决定为所述无线接入点设备100进行证书代理申请时,所述无线接入控制设备300发送响应报文到所述无线接入点设备100,其中,所述响应报文包括根据所述无线接入点设备100的标识信息生成的令牌信息。
若根据预设的决策策略决定为所述无线接入点设备100进行证书代理申请,无线接入控制设备300会根据无线接入点设备100的标识信息、随机数信息等生成令牌信息。并将令牌信息作为响应报文的一部分发送给无线接入点设备100。可选地,本发明实施例中的所述响应报文为扩展后的DISCOVERY RESPONSE报文。
步骤S120,所述无线接入点设备100根据所述令牌信息建立与所述无线接入控制设备300建立安全通信通道,所述无线接入点设备100发送证书代理请求报文到所述无线接入控制设备300。
在本实施例中,所述无线接入点设备100与所述无线接入控制设备300根据所述令牌信息以及随机数信息的交互,协商该通信通道的加密秘钥建立起安全通信通道,以对通过该通信通道交互的与证书代理有关的内容进行保护。所述无线接入点设备100通过安全通信通道发送证书代理请求报文到所述无线接入控制设备300。所述证书代理请求报文包括无线接入点设备100的标识信息,所述标识信息包括:MAC地址和/或设备序列号。也就是说该标识信息可以包括无线接入点设备100的MAC地址或无线接入点设备100的设备序列号,也可以同时包括无线接入点设备100的MAC地址和无线接入点设备100的设备序列号。所述标识信息用于供无线接入控制装设备300进行校验核对,并作为后续证书申请时的证书内容信息。
步骤S130,所述无线接入控制设备300在对所述无线接入点设备100的标识信息验证通过后,向所述设备管理中心400查询所述无线接入点设备100的证书申请情况,根据证书申请情况从所述证书授权中心500获取设备证书。
在本实施例中,在对所述无线接入点设备100的标识信息验证通过后,所述无线接入控制设备300向所述设备管理中心400查询所述无线接入点设备100的证书申请情况。所述证书申请情况包括存在申请记录的情形和不存在申请记录的情形。
当所述设备管理中心400已经存在证书申请记录,根据记录的证书申请信息从所述证书授权中心500获取设备证书。可选的,在该情形下从所述证书授权中心500获取设备证书的步骤可以包括:
所述无线接入控制设备300根据记录的证书申请信息,向所述证书授权中心500请求获取设备证书。
若所述证书授权中心500已经完成证书签发,则将证书返回给所述无线接入控制设备300,并通过安全通信通道下发给所述无线接入点设备100。
若所述证书授权中心500尚未完成证书签发,则将结果返回给所述无线接入控制设备300,通知所述无线接入点设备100在等待预设时间后再次进行连接,直到获得设备证书。
在本实施例中,证书授权中心500签发证书的方式可以包括自动签发或者由管理员确认后进行签发,在采用管理员确认后进行签发的方式时,设备证书可能要多次操作才能够获得。
若所述设备管理中心400不存在证书申请记录,为所述无线接入点设备100生成证书申请,并根据生成的证书申请信息向所述证书授权中心500申请设备证书。
在本实施例中,可选地,为所述无线接入点设备100生成证书申请的方式可以如下:
为所述无线接入点设备100生成证书的公私密钥对信息。
从所述设备管理中心400获取所述无线接入点设备100的相关信息,其中,相关信息包括无线接入点设备100可接入无线接入控制设备300的列表信息和无线接入点设备100的标识信息。
根据所述公私密钥对信息和所述无线接入点设备100的相关信息生成证书申请。
在生成证书申请后无线接入控制设备300采用与所述设备管理中心400已经存在证书申请记录情形下相同的方式从所述证书授权中心500获得无线接入点设备的设备证书,具体地过程在此就不再进行赘述。
步骤S140,所述无线接入控制设备300在成功获取设备证书后,将设备证书发送给所述无线接入点设备100,并更新所述设备管理中心400中所述无线接入点设备100的记录信息。
请参照图4,图4是本发明第一实施例提供的另一种证书申请方法流程示意图,所述方法还包括步骤S150。
步骤S150,所述无线接入点设备100将获得的设备证书进行保存,并根据获得的设备证书与所述无线接入控制设备300进行数据报文传输层安全协议(DTLS)协商后接入所述无线接入控制设备。
在本实施例中,所述无线接入点设备100在接收到设备证书后,会将相应的设备证书信息存储在所述无线接入点设备100的非易失存储空间中。在无线接入点设备100与无线接入控制设备300重新建立连接时,所述无线接入点设备100根据获得的设备证书与所述无线接入控制设备300进行协商后建立连接。
第二实施例
请参照图5,图5是本发明第二实施例提供的证书申请方法流程示意图,所述证书申请方法应用于与无线接入点设备100、证书授权中心500及设备管理中心400通信连接的无线接入控制设备300,下面对证书申请方法的步骤做具体的描述。
步骤S210,无线接入控制设备300发送用于进行证书代理申请的令牌信息给所述无线接入点设备100。
在本实施例中,所述步骤S210可以包括:
接收所述无线接入点设备100发送请求报文,所述请求报文中包括无线接入点设备100的标识信息。
在接收到所述请求报文后,根据预设的决策策略决定是否为所述无线接入点设备100进行证书代理申请。
在本实施例中,根据预设的决策策略决定是否为所述无线接入点设备100进行证书代理申请的具体描述可以参照第一实施例中的子步骤S112,在此就不再赘述。
当决定为所述无线接入点设备100进行证书代理申请时,发送响应报文到所述无线接入点设备100,其中,所述响应报文包括根据所述无线接入点设备的标识信息生成的令牌信息。
步骤S220,基于所述令牌信息建立与所述无线接入点设备100通信,接收所述无线接入点设备100发送证书代理请求报文。
步骤S230,在对所述无线接入点设备100的标识信息验证通过后,向所述设备管理中心400查询所述无线接入点设备100的证书申请情况,根据证书申请情况从所述证书授权中心500获取设备证书。
在本实施例中,根据证书申请情况从所述证书授权中心500获取设备证书的具体描述可以参照第一实施例中的步骤S130,在此就不再赘述。
步骤S240,在成功获取设备证书后,将设备证书发送给所述无线接入点设备100,并更新所述设备管理中心400中所述无线接入点设备100的记录信息。
第三实施例
请参照图6,图6为本发明较佳实施例提供的无线接入控制设备300的功能模块框图,所述无线接入控制设备300与无线接入点设备100、证书授权中心500及设备管理中心400通信连接,所述无线接入控制设备300包括:发送模块310、安全通信模块320及证书获取模块330。
所述发送模块310,用于发送用于进行证书代理申请的令牌信息给所述无线接入点设备100。
所述发送模块310用于执行图5中的步骤S210,关于所述发送模块310的具体描述可以参照步骤S210的描述。
所述安全通信模块320,用于基于所述令牌信息建立与所述无线接入点设备的安全100通信通道,接收所述无线接入点设备100发送证书代理请求报文,其中,所述证书代理请求报文包括无线接入点设备100的标识信息,所述标识信息包括:MAC地址和/或设备序列号。也就是说该标识信息可以包括无线接入点设备100的MAC地址或无线接入点设备100的设备序列号,也可以同时包括无线接入点设备100的MAC地址和无线接入点设备100的设备序列号。
所述证书获取模块330,用于在对所述无线接入点设备100的标识信息验证通过后,向所述设备管理中心400查询所述无线接入点设备100的证书申请情况,根据证书申请情况从所述证书授权中心500获取设备证书。
所述安全通信模块320还用于在成功获取设备证书后,将设备证书发送给所述无线接入点设备100。
所述证书获取模块330还用于在成功获取设备证书后,更新所述设备管理中心400中所述无线接入点设备100的记录信息。
所述安全通信模块320及证书获取模块330用于执行图5中的相应步骤,关于安全通信模块320及证书获取模块330的具体描述可以参照对图5中步骤的描述。
请再次参照图6,在本实施例中,可选地,所述无线接入控制设300还可以包括接收模块340,接收模块340用于接收所述无线接入点设备100发送的请求报文,所述请求报文中包括无线接入点设备100的标识信息。
具体地,在接收模块340接收所述无线接入点设备100发送的请求报文后,所述发送模块310用于根据预设决策策略决定是否为所述无线接入点设备100进行证书代理申请;当决定为所述无线接入点设备100进行证书代理申请时,发送响应报文到所述无线接入点设备100,其中,所述响应报文包括根据所述无线接入点设备100的标识信息生成的令牌信息。
第四实施例
请参照图7,图7为本发明较佳实施例提供的无线接入点设备100的功能模块框图,所述无线接入点设备100与无线接入控制设备300通信连接,所述无线接入点设备100包括:发送模块110、接收模块120及安全通信模块130。
发送模块110,用于发送请求报文到所述无线接入控制设备300,以使所述无线接入控制设备300在接收到所述请求报文后,根据预设的决策策略决定是否为所述无线接入点设备100进行证书代理申请。其中,所述请求报文中包括无线接入点设备100的标识信息,所述标识信息包括:MAC地址和/或设备序列号。
接收模块120,用于接收所述无线接入控制设备300在决定为所述无线接入点设备100进行证书代理申请时发送的响应报文,所述响应报文中包括用于进行证书代理申请的令牌信息。
安全通信模块130,用于根据所述令牌信息建立与所述无线接入控制设备300的安全通信通道,通过所述安全通信通道发送证书代理请求报文到所述无线接入控制设备300,其中,所述证书代理请求报文包括无线接入点设备100的标识信息,所述标识信息包括:MAC地址和/或设备序列号。
在本实施例中,所述安全通信模块130还用于通过所述安全通信通道接收所述无线接入控制设备300代理申请的设备证书。
综上所述,本发明提供一种证书申请方法、无线接入控制设备及无线接入点设备,所述无线接入点设备在获得用于进行证书代理申请的令牌信息后,发送证书代理请求报文到所述无线接入控制设备,所述无线接入控制设备向所述设备管理中心查询所述无线接入点设备的证书申请情况,根据证书申请情况从所述证书授权中心获取设备证书。所述无线接入控制设备在成功获取设备证书后,将设备证书发送给所述无线接入点设备。在上述过程中,无线接入控制设备代理无线接入点设备的证书申请,实现对大规模无线接入点设备的证书自动部署,解决了无线接入点设备在实际部署和使用过程中复杂、难以管理维护的问题,简化和节省管理维护成本。
另外,在本发明各个实施例中的各功能模块可以集成在一起形成一个独立的部分,也可以是各个模块单独存在,也可以两个或两个以上模块集成形成一个独立的部分。
以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。
以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (13)
1.一种证书申请方法,其特征在于,应用于证书申请系统,所述系统包括相互之间通信连接的无线接入点设备、无线接入控制设备、证书授权中心及设备管理中心,所述方法包括:
所述无线接入点设备从所述无线接入控制设备中获得用于进行证书代理申请的令牌信息;
所述无线接入点设备根据所述令牌信息建立与所述无线接入控制设备的安全通信通道,所述无线接入点设备发送证书代理请求报文到所述无线接入控制设备,其中,所述证书代理请求报文包括无线接入点设备的标识信息,所述标识信息包括:MAC地址和/或设备序列号;
所述无线接入控制设备在对所述无线接入点设备的标识信息验证通过后,向所述设备管理中心查询所述无线接入点设备的证书申请情况,根据证书申请情况从所述证书授权中心获取设备证书;
所述无线接入控制设备在成功获取设备证书后,将设备证书发送给所述无线接入点设备,并更新所述设备管理中心中所述无线接入点设备的记录信息。
2.如权利要求1所述的方法,其特征在于,所述无线接入点设备从所述无线接入控制设备中获得用于进行证书代理申请的令牌信息的步骤包括:
无线接入点设备发送请求报文到所述无线接入控制设备,所述请求报文中包括无线接入点设备的标识信息;
所述无线接入控制设备在接收到所述请求报文后,根据预设的决策策略决定是否为所述无线接入点设备进行证书代理申请;
当决定为所述无线接入点设备进行证书代理申请时,所述无线接入控制设备发送响应报文到所述无线接入点设备,其中,所述响应报文包括根据所述无线接入点设备的标识信息生成的令牌信息。
3.如权利要求2所述的方法,其特征在于,所述无线接入控制设备在接收到所述请求报文后,根据预设的决策策略决定是否为所述无线接入点设备进行证书代理申请的步骤包括:
若所述无线接入控制设备的证书认证方式未被开启,则决定无需为所述无线接入点设备进行证书代理申请;
若所述无线接入控制设备在所述设备管理中心查询到所述无线接入点设备为第一次上线,或所述无线接入控制设备根据所述无线接入点设备当前证书信息在所述设备管理中心查询到的证书状态为失效或邻近失效时,则决定为所述无线接入点设备进行证书代理申请。
4.如权利要求1所述的方法,其特征在于,所述根据证书申请情况从所述证书授权中心中获取设备证书的步骤包括:
若所述设备管理中心已经存在证书申请记录,根据记录的证书申请信息从所述证书授权中心获取设备证书;
若所述设备管理中心不存在证书申请记录,为所述无线接入点设备生成证书申请,并根据生成的证书申请信息向所述证书授权中心申请设备证书。
5.如权利要求4所述的方法,其特征在于,若所述设备管理中心已经存在证书申请记录,根据记录的证书申请信息从所述证书授权中心获取设备证书的步骤包括:
所述无线接入控制设备根据记录的证书申请信息,向所述证书授权中心请求获取设备证书;
若所述证书授权中心已经完成证书签发,则将证书返回给所述无线接入控制设备,所述无线接入控制设备下发给所述无线接入点设备;
若所述证书授权中心尚未完成证书签发,则将结果返回给所述无线接入控制设备,所述无线接入控制设备通知所述无线接入点设备在等待预设时间后再次进行连接,直到获得设备证书。
6.如权利要求4所述的方法,其特征在于,若所述设备管理中心不存在证书申请记录,为所述无线接入点设备生成证书申请,并根据生成的证书申请的信息向所述证书授权中心申请设备证书的步骤包括:
为所述无线接入点设备生成证书的公私密钥对信息;
从所述设备管理中心获取所述无线接入点设备的相关信息,其中,相关信息包括无线接入点设备可接入无线接入控制设备的列表信息和无线接入点设备的标识信息;
根据所述公私密钥对信息和所述无线接入点设备的相关信息生成证书申请;
根据生成的证书申请的信息从所述证书授权中心获取设备证书。
7.一种证书申请方法,其特征在于,应用于与无线接入点设备、证书授权中心及设备管理中心通信连接的无线接入控制设备,所述方法包括:
所述无线接入控制设备发送用于进行证书代理申请的令牌信息给所述无线接入点设备;
基于所述令牌信息建立与所述无线接入点设备通信,接收所述无线接入点设备发送证书代理请求报文,其中,所述证书代理请求报文包括无线接入点设备的标识信息,所述标识信息包括:MAC地址、备序列号;
在对所述无线接入点设备的标识信息验证通过后,向所述设备管理中心查询所述无线接入点设备的证书申请情况,根据证书申请情况从所述证书授权中心获取设备证书;
在成功获取设备证书后,将设备证书发送给所述无线接入点设备,并更新所述设备管理中心中所述无线接入点设备的记录信息。
8.如权利要求7所述的方法,其特征在于,所述无线接入控制设备发送用于进行证书代理申请的令牌信息给所述无线接入点设备的步骤包括:
接收所述无线接入点设备发送请求报文,所述请求报文中包括无线接入点设备的标识信息;
在接收到所述请求报文后,根据预设的决策策略决定是否为所述无线接入点设备进行证书代理申请;
当决定为所述无线接入点设备进行证书代理申请时,发送响应报文到所述无线接入点设备,其中,所述响应报文包括根据所述无线接入点设备的标识信息生成的令牌信息。
9.如权利要求8所述的方法,其特征在于,所述在接收到所述请求报文后,根据预设的决策策略决定是否为所述无线接入点设备进行证书代理申请的步骤包括:
若所述无线接入控制设备的证书认证方式未被开启,则决定无需为所述无线接入点设备进行证书代理申请;
若所述无线接入控制设备在所述设备管理中心查询到所述无线接入点设备为第一次上线,或所述无线接入控制设备根据所述无线接入点设备当前证书信息在所述设备管理中心查询到的证书状态为失效或邻近失效时,则决定为所述无线接入点设备进行证书代理申请。
10.如权利要求7所述的方法,其特征在于,所述根据证书申请情况从所述证书授权中心获取设备证书的步骤包括:
若所述设备管理中心已经存在证书申请记录,根据记录的证书申请信息从所述证书授权中心获取设备证书;
若所述设备管理中心不存在证书申请记录,为所述无线接入点设备生成证书申请,并根据生成的证书申请信息向所述证书授权中心申请设备证书。
11.一种无线接入控制设备,其特征在于,所述无线接入控制设备与无线接入点设备、证书授权中心及设备管理中心通信连接,所述无线接入控制设备包括:
发送模块,用于发送用于进行证书代理申请的令牌信息给所述无线接入点设备;
安全通信模块,用于基于所述令牌信息建立与所述无线接入点设备的安全通信通道,接收所述无线接入点设备发送证书代理请求报文,其中,所述证书代理请求报文包括无线接入点设备的标识信息,所述标识信息包括:MAC地址和/或设备序列号;
证书获取模块,用于在对所述无线接入点设备的标识信息验证通过后,向所述设备管理中心查询所述无线接入点设备的证书申请情况,根据证书申请情况从所述证书授权中心获取设备证书;
所述安全通信模块,还用于在成功获取设备证书后,将设备证书发送给所述无线接入点设备;
所述证书获取模块,还用于在成功获取设备证书后,更新所述设备管理中心中所述无线接入点设备的记录信息。
12.如权利要求11所述的无线接入控制设备,其特征在于,还包括接收模块,用于接收所述无线接入点设备发送的请求报文,所述请求报文中包括无线接入点设备的标识信息;
所述发送模块,具体用于根据预设决策策略决定是否为所述无线接入点设备进行证书代理申请;当决定为所述无线接入点设备进行证书代理申请时,发送响应报文到所述无线接入点设备,其中,所述响应报文包括根据所述无线接入点设备的标识信息生成的令牌信息。
13.一种无线接入点设备,其特征在于,所述无线接入点设备与无线接入控制设备通信连接,所述无线接入点设备包括:
发送模块,用于发送请求报文到所述无线接入控制设备,以使所述无线接入控制设备在接收到所述请求报文后,根据预设的决策策略决定是否为所述无线接入点设备进行证书代理申请,其中,所述请求报文中包括无线接入点设备的标识信息,所述标识信息包括:MAC地址和/或设备序列号;
接收模块,用于接收所述无线接入控制设备在决定为所述无线接入点设备进行证书代理申请时发送的响应报文,所述响应报文中包括用于进行证书代理申请的令牌信息;
安全通信模块,用于根据所述令牌信息建立与所述无线接入控制设备的安全通信通道,通过所述安全通信通道发送证书代理请求报文到所述无线接入控制设备,其中,所述证书代理请求报文包括无线接入点设备的标识信息,所述标识信息包括:MAC地址和/或设备序列号;
所述安全通信模块,还用于通过所述安全通信通道接收所述无线接入控制设备代理申请的设备证书。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710698543.9A CN107302544B (zh) | 2017-08-15 | 2017-08-15 | 证书申请方法、无线接入控制设备及无线接入点设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710698543.9A CN107302544B (zh) | 2017-08-15 | 2017-08-15 | 证书申请方法、无线接入控制设备及无线接入点设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN107302544A true CN107302544A (zh) | 2017-10-27 |
| CN107302544B CN107302544B (zh) | 2019-09-13 |
Family
ID=60132115
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710698543.9A Active CN107302544B (zh) | 2017-08-15 | 2017-08-15 | 证书申请方法、无线接入控制设备及无线接入点设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107302544B (zh) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111865992A (zh) * | 2020-07-23 | 2020-10-30 | 亚数信息科技(上海)有限公司 | 一种acme集中管理系统及其负载均衡方法 |
| CN112202770A (zh) * | 2020-09-29 | 2021-01-08 | 北京小米移动软件有限公司 | 设备联网方法及装置、设备、存储介质 |
| CN113037717A (zh) * | 2021-02-07 | 2021-06-25 | 深圳创维-Rgb电子有限公司 | 智能设备的入网方法、终端和可读存储介质 |
| WO2021179449A1 (zh) * | 2020-03-09 | 2021-09-16 | 南京红阵网络安全技术研究院有限公司 | 一种基于证书身份认证的拟态防御系统及证书签发方法 |
| CN113872765A (zh) * | 2020-06-30 | 2021-12-31 | 华为技术有限公司 | 身份凭据的申请方法、身份认证的方法、设备及装置 |
| US11265714B2 (en) * | 2018-12-28 | 2022-03-01 | Cable Television Laboratories, Inc. | Systems and methods for subscriber certificate provisioning |
Citations (18)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1399490A (zh) * | 2002-08-15 | 2003-02-26 | 西安西电捷通无线网络通信有限公司 | 无线局域网移动终端的安全接入方法 |
| CN1444386A (zh) * | 2001-12-31 | 2003-09-24 | 西安西电捷通无线网络通信有限公司 | 宽带无线ip系统移动终端的安全接入方法 |
| CN1697370A (zh) * | 2004-05-14 | 2005-11-16 | 华为技术有限公司 | 一种无线局域网移动终端申请证书的方法 |
| CN1700636A (zh) * | 2004-05-21 | 2005-11-23 | 华为技术有限公司 | 无线局域网移动终端申请证书的方法及证书管理系统 |
| CN101309146A (zh) * | 2008-06-13 | 2008-11-19 | 南京邮电大学 | 一种可自更新代理证书的网格安全系统的实现方法 |
| CN101370012A (zh) * | 2008-07-09 | 2009-02-18 | 南京邮电大学 | 基于代理的对等计算信任机制构造方法 |
| CN101547444A (zh) * | 2009-03-11 | 2009-09-30 | 西安西电捷通无线网络通信有限公司 | 在wlan中为不同终端提供特定接入流程的方法 |
| CN102045716A (zh) * | 2010-12-06 | 2011-05-04 | 西安西电捷通无线网络通信股份有限公司 | 一种无线局域网中端站的安全配置方法和系统 |
| CN102137399A (zh) * | 2011-03-07 | 2011-07-27 | 宇龙计算机通信科技(深圳)有限公司 | 证书的管理方法和证书的管理系统 |
| CN102202307A (zh) * | 2011-06-17 | 2011-09-28 | 刘明晶 | 基于数字证书的移动终端身份认证系统及方法 |
| CN102215488A (zh) * | 2011-05-27 | 2011-10-12 | 中国联合网络通信集团有限公司 | 智能手机数字证书的应用方法和系统 |
| US20140282925A1 (en) * | 2013-03-15 | 2014-09-18 | Sypris Electronics, Llc | Personal Authentication Device and System for Securing Transactions on a Mobile Device |
| CN105264818A (zh) * | 2014-05-08 | 2016-01-20 | 华为技术有限公司 | 一种证书获取方法和设备 |
| CN105284091A (zh) * | 2014-05-08 | 2016-01-27 | 华为技术有限公司 | 一种证书获取方法和设备 |
| CN105553981A (zh) * | 2015-12-18 | 2016-05-04 | 成都三零瑞通移动通信有限公司 | 一种wlan网络快速认证和密钥协商方法 |
| EP3017394A2 (en) * | 2013-07-03 | 2016-05-11 | Toro Development Limited | A moblie integrated distribution and transaction system and method for nfc services, and a mobile electronic device thereof |
| CN106921639A (zh) * | 2015-12-28 | 2017-07-04 | 航天信息股份有限公司 | 移动数字证书申请方法及装置 |
| CN106936577A (zh) * | 2015-12-29 | 2017-07-07 | 航天信息股份有限公司 | 一种用于证书申请的方法、终端和系统 |
-
2017
- 2017-08-15 CN CN201710698543.9A patent/CN107302544B/zh active Active
Patent Citations (19)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1444386A (zh) * | 2001-12-31 | 2003-09-24 | 西安西电捷通无线网络通信有限公司 | 宽带无线ip系统移动终端的安全接入方法 |
| CN1399490A (zh) * | 2002-08-15 | 2003-02-26 | 西安西电捷通无线网络通信有限公司 | 无线局域网移动终端的安全接入方法 |
| CN1697370A (zh) * | 2004-05-14 | 2005-11-16 | 华为技术有限公司 | 一种无线局域网移动终端申请证书的方法 |
| CN1700636A (zh) * | 2004-05-21 | 2005-11-23 | 华为技术有限公司 | 无线局域网移动终端申请证书的方法及证书管理系统 |
| CN101309146A (zh) * | 2008-06-13 | 2008-11-19 | 南京邮电大学 | 一种可自更新代理证书的网格安全系统的实现方法 |
| CN101370012A (zh) * | 2008-07-09 | 2009-02-18 | 南京邮电大学 | 基于代理的对等计算信任机制构造方法 |
| CN101547444A (zh) * | 2009-03-11 | 2009-09-30 | 西安西电捷通无线网络通信有限公司 | 在wlan中为不同终端提供特定接入流程的方法 |
| CN102045716A (zh) * | 2010-12-06 | 2011-05-04 | 西安西电捷通无线网络通信股份有限公司 | 一种无线局域网中端站的安全配置方法和系统 |
| CN102137399A (zh) * | 2011-03-07 | 2011-07-27 | 宇龙计算机通信科技(深圳)有限公司 | 证书的管理方法和证书的管理系统 |
| CN102215488A (zh) * | 2011-05-27 | 2011-10-12 | 中国联合网络通信集团有限公司 | 智能手机数字证书的应用方法和系统 |
| CN102202307A (zh) * | 2011-06-17 | 2011-09-28 | 刘明晶 | 基于数字证书的移动终端身份认证系统及方法 |
| US20140282925A1 (en) * | 2013-03-15 | 2014-09-18 | Sypris Electronics, Llc | Personal Authentication Device and System for Securing Transactions on a Mobile Device |
| EP3017394A2 (en) * | 2013-07-03 | 2016-05-11 | Toro Development Limited | A moblie integrated distribution and transaction system and method for nfc services, and a mobile electronic device thereof |
| CN105264818A (zh) * | 2014-05-08 | 2016-01-20 | 华为技术有限公司 | 一种证书获取方法和设备 |
| CN105284091A (zh) * | 2014-05-08 | 2016-01-27 | 华为技术有限公司 | 一种证书获取方法和设备 |
| CN106464495A (zh) * | 2014-05-08 | 2017-02-22 | 华为技术有限公司 | 一种证书获取方法和设备 |
| CN105553981A (zh) * | 2015-12-18 | 2016-05-04 | 成都三零瑞通移动通信有限公司 | 一种wlan网络快速认证和密钥协商方法 |
| CN106921639A (zh) * | 2015-12-28 | 2017-07-04 | 航天信息股份有限公司 | 移动数字证书申请方法及装置 |
| CN106936577A (zh) * | 2015-12-29 | 2017-07-07 | 航天信息股份有限公司 | 一种用于证书申请的方法、终端和系统 |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11265714B2 (en) * | 2018-12-28 | 2022-03-01 | Cable Television Laboratories, Inc. | Systems and methods for subscriber certificate provisioning |
| WO2021179449A1 (zh) * | 2020-03-09 | 2021-09-16 | 南京红阵网络安全技术研究院有限公司 | 一种基于证书身份认证的拟态防御系统及证书签发方法 |
| CN113872765A (zh) * | 2020-06-30 | 2021-12-31 | 华为技术有限公司 | 身份凭据的申请方法、身份认证的方法、设备及装置 |
| WO2022001225A1 (zh) * | 2020-06-30 | 2022-01-06 | 华为技术有限公司 | 身份凭据的申请方法、身份认证的方法、设备及装置 |
| CN111865992A (zh) * | 2020-07-23 | 2020-10-30 | 亚数信息科技(上海)有限公司 | 一种acme集中管理系统及其负载均衡方法 |
| CN111865992B (zh) * | 2020-07-23 | 2021-04-02 | 亚数信息科技(上海)有限公司 | 一种acme集中管理系统及其负载均衡方法 |
| CN112202770A (zh) * | 2020-09-29 | 2021-01-08 | 北京小米移动软件有限公司 | 设备联网方法及装置、设备、存储介质 |
| CN112202770B (zh) * | 2020-09-29 | 2023-06-16 | 北京小米移动软件有限公司 | 设备联网方法及装置、设备、存储介质 |
| CN113037717A (zh) * | 2021-02-07 | 2021-06-25 | 深圳创维-Rgb电子有限公司 | 智能设备的入网方法、终端和可读存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN107302544B (zh) | 2019-09-13 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107302544B (zh) | 证书申请方法、无线接入控制设备及无线接入点设备 | |
| CN101208685B (zh) | 提供基于策略的网络安全证明撤回的方法和装置 | |
| CN104767715B (zh) | 网络接入控制方法和设备 | |
| CN101201727B (zh) | 通过网络的打印机选择支持装置及系统 | |
| CN102469078B (zh) | 一种参与校园网运营的实现方法及系统 | |
| CN103200172B (zh) | 一种802.1x接入会话保活的方法及系统 | |
| CN101129014B (zh) | 用于建立多个会话的系统和方法 | |
| EP1760945A2 (en) | Wireless LAN security system and method | |
| CN101006682B (zh) | 快速网络附着 | |
| CN108667609A (zh) | 一种数字证书管理方法及设备 | |
| CN109688585A (zh) | 应用于列车监控系统的车地无线通信加密方法与装置 | |
| CN101127598B (zh) | 一种在无源光网络中实现802.1x认证的方法和系统 | |
| EP1552666A1 (en) | Configuration of enterprise gateways | |
| CN101212374A (zh) | 实现校园网资源远程访问的方法和系统 | |
| EP1993301A1 (en) | Method and apparatus of operating a wireless home area network | |
| WO2013134927A1 (zh) | 基于传输层安全的密钥传递方法、智能抄表终端及服务器 | |
| CN108667781A (zh) | 一种数字证书管理方法及设备 | |
| CN109474432A (zh) | 数字证书管理方法及设备 | |
| WO2004073237A2 (en) | Virtual wireless local area networks | |
| CN109756336A (zh) | 一种认证方法、v2x计算系统及v2x计算节点 | |
| CN109640325A (zh) | 基于可扩展式贡献组密钥协商的面向车队的安全管理方法 | |
| CN104618522B (zh) | 终端ip地址自动更新的方法及以太网接入设备 | |
| CN105337967A (zh) | 实现用户登录目标服务器的方法、系统和中心服务器 | |
| CN102546523B (zh) | 一种互联网接入的安全认证方法、系统和设备 | |
| CN109787984A (zh) | 一种第三方授权token管理方法和系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |