一种电力场景的主从证书鉴别方法、设备、鉴别器及系统技术方案

本发明专利技术涉及通信技术领域，具体是涉及一种电力场景的主从证书鉴别方法、接入点设备、鉴别器及系统，所述方法包括：所述接入点设备收到终端的WAPI接入认证请求后，选择向第一证书鉴别器和/或第二证书鉴别器发送证书鉴别请求；接收第一证书鉴别器或第二证书鉴别器的证书认证响应报文；并对第一证书鉴别器或第二证书鉴别器的鉴别结果进行签名验证，如果鉴别成功，再继续进行WAPI认证后续流程。能够在电力场景中实现基于省中心的一台AS为本省多个地市的AS提供一对多的WAPI认证备份服务，在保证WAPI无线网络的证书鉴别系统可靠性的前提下，能够显著降低部署费用、节约电力能源。节约电力能源。节约电力能源。

【技术实现步骤摘要】
一种电力场景的主从证书鉴别方法、设备、鉴别器及系统


[0001]本申请涉及通信
，具体是涉及一种电力场景的主从证书鉴别方法、设备、鉴别器及系统。

技术介绍

[0002]WAPI(无线局域网鉴别和保密基础结构)是中国无线局域网国家标准GB15629.11中规定的WLAN安全标准和技术。它使用数字证书来识别无线接入点(AP)和无线终端(STA)的身份，采用三元认证体系对AP和STA进行身份认证，确保了无线接入认证的安全性。三元认证的过程如图1：WAPI接入认证过程所示意。
[0003]WAPI认证过程包括以下步骤：
[0004]首先，无线终端STA与关联的AP建立连接后，AP会向STA发送认证激活(ACTIVE)报文，此报文中包括了AP的证书信息。
[0005]接着，STA收到WAP的认证激活报文后，向AP发送接入认证请求报文，此报文中包括了STA的证书信息。
[0006]然后，AP收到STA的接入认证请求后，会向WAPI证书鉴别器(AS)发送证书鉴别请求报文，此报文中包括了AP自身的证书信息和收到的STA证书信息。
[0007]接着，AS收到AP的证书鉴别请求后，利用AS的根证书对AP和STA的证书进行鉴别处理，包括证书鉴别检查、形成证书鉴别结果，并向AP发送证书认证响应报文，其中鉴别结果使用了AS根证书所对应的私钥进行；
[0008]在此之后，AP收到AS发送的证书认证响应报文后，首先用本地安装的AS根证书对AS的鉴别结果进行签名验证，没问题后再向STA发送接入认证响应报文，此报文中包括了AS的证书鉴别结果，AP根据证书鉴别结果拒绝或接受STA的接入；STA在收到AP的接入认证响应消息后，首先利用AP证书对AP所发送的消息进行签名验证，验证通过后也会利用本地安装的AS根证书对AS的签名结果进行验证，以确定AS的鉴别结果是可信的。
[0009]在电力系统中，WAPI无线网络的AS通常被部署于地市，而AP则被部署于变电站等场站内。AS是WAPI无线网络中的重要网元，在实际部署中，通常采用主备冗余方式进行部署。在电力系统的部署方案中，两台AS会采用运行VRRP(虚拟冗余路由协议)协议的方式，通过共享一个虚拟IP地址来进行认证协议交互。
[0010]但需要注意的是，主用和备用AS只能存在于同一个局域网中，因为在同一个地市都要1:1部署主从AS，存在部署成本高的问题，并且备份AS仅作为一种可靠性防范措施，设备利用率很低，也不利于节约电力能源。
[0011]对此，有必要根据上述问题进行改进。

技术实现思路

[0012](一)要解决的技术问题
[0013]本专利技术主要针对以上问题，提出了一种电力场景的主从证书鉴别方法、设备、鉴别
器及系统，其目的是避免在每个地市部署备份WAPI鉴别器，从而降低部署费用、节约电力能源的问题。
[0014](二)技术方案
[0015]为实现上述目的，本专利技术第一方面提供了一种电力场景的主从证书鉴别方法，应用于接入点设备，所述方法包括：
[0016]在接收到终端发送的WAPI接入认证请求后，选择向第一证书鉴别器和/或第二证书鉴别器发送证书鉴别请求，其中，所述第一证书鉴别器部署于省中心，多个第二证书鉴别器部署在多个地市电力局，且所述第一证书鉴别器同时具有多个第二证书鉴别器的根证书；
[0017]接收所述第一证书鉴别器或第二证书鉴别器的证书认证响应报文；并对所述第一证书鉴别器或第二证书鉴别器的鉴别结果进行签名验证，如果鉴别成功，再将向所述终端设备发送接入认证响应报文。
[0018]进一步地，当所述接入点设备选择向第二证书鉴别器发送证书鉴别请求时，如果所述第二证书鉴别器证书响应超时，则选择向第一证书鉴别器发送证书鉴别请求。
[0019]进一步地，当所述接入点设备选择向第一证书鉴别器和第二证书鉴别器同时发送证书鉴别请求时，所述接入点设备以最先到达的证书认证响应报文作为响应进行处理。
[0020]为实现上述目的，本专利技术第二方面提供了一种电力场景的主从证书鉴别方法，应用于第一证书鉴别器，所述方法包括：
[0021]收到证书鉴别请求；
[0022]解析证书鉴别请求中接入点设备的证书的签发者字段；
[0023]根据接入点设备证书的签发者字段查找地市第二证书鉴别器的公钥证书、私钥；
[0024]根据找到的地市第二证书鉴别器的公钥证书对证书认证请求消息中的接入点设备和终端设备证书进行合法性检查；
[0025]形成鉴别结果并根据找到的地市第二证书鉴别器的私钥签名鉴别结果；
[0026]向接入点设备发送证书认证响应报文。
[0027]进一步地，获取和导入多个第二证书鉴别器的根证书和对应私钥的具体步骤如下：
[0028]第一证书鉴别器生成自己的SM2第一私钥和第一SM2公钥证书；
[0029]第二证书鉴别器用第一SM2公钥证书将自己的WAPI私钥形成第一电子信封；
[0030]第一证书鉴别器使用第一私钥解密第一电子信封，并导入解密获得的第二证书鉴别器的WAPI私钥；同时，第一证书鉴别器还要导入第二证书鉴别器的WAPI公钥证书。
[0031]为实现上述目的，本专利技术第三方面提供了一种电力场景的接入点设备，包括：
[0032]发送单元，用于向终端设备发送认证激活消息以触发所述终端设备对所述接入点设备发出接入认证请求；
[0033]接收单元，用于接收所述终端设备对所述接入点设备发送的接入认证请求；
[0034]选择单元，用于选择向第一证书鉴别器和/或第二证书鉴别器发送证书鉴别请求，其中，所述第一证书鉴别器部署于省中心，多个第二证书鉴别器部署在多个地市电力局；
[0035]所述接收单元还用于接收所述第一证书鉴别器或第二证书鉴别器对所述接入点设备进行鉴别处理后发送的证书认证响应报文；
[0036]处理单元，用于对所述第一证书鉴别器或第二证书鉴别器的鉴别结果进行签名验证；
[0037]所述发送单元还用于如果鉴别成功，再将向所述终端设备发送接入认证响应报文。
[0038]为实现上述目的，本专利技术第四方面提供了一种电力场景的证书鉴别器，包括：第一证书鉴别器和多个第二证书鉴别器，其中，所述第一证书鉴别器部署于省中心，多个第二证书鉴别器部署在多个地市电力局；所述第一证书鉴别器包括：
[0039]接收单元，用于收到证书鉴别请求；
[0040]处理单元，用于解析证书鉴别请求中接入点设备的证书的签发者字段；
[0041]所述处理单元还用于根据接入点设备证书的签发者字段查找地市第二证书鉴别器的公钥证书、私钥；
[0042]所述处理单元还用于根据找到的地市第二证书鉴别器的公钥证书对证书认证请求消息中的接入点设备和终端设备证书进行合法性检查；
[0043]所述处理单元还用于形成鉴别结果并根据找到的地市第二证书鉴别器的私钥签名鉴别结果；
[0044]本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种电力场景的主从证书鉴别方法，应用于接入点设备，其特征在于，所述方法包括：在接收到终端发送的WAPI接入认证请求后，选择向第一证书鉴别器和/或第二证书鉴别器发送证书鉴别请求，其中，所述第一证书鉴别器部署于省中心，多个第二证书鉴别器部署在多个地市电力局，且所述第一证书鉴别器同时具有多个第二证书鉴别器的根证书；接收所述第一证书鉴别器或第二证书鉴别器的证书认证响应报文；并对所述第一证书鉴别器或第二证书鉴别器的鉴别结果进行签名验证，如果鉴别成功，再将向所述终端设备发送接入认证响应报文。2.根据权利要求1所述的一种电力场景的主从证书鉴别方法，其特征在于，当所述接入点设备选择向第二证书鉴别器发送证书鉴别请求时，如果所述第二证书鉴别器响应超时，则选择向第一证书鉴别器发送证书鉴别请求。3.根据权利要求1所述的一种电力场景的主从证书鉴别方法，其特征在于，当所述接入点设备选择向第一证书鉴别器和第二证书鉴别器同时发送证书鉴别请求时，所述接入点设备以最先到达的证书认证响应报文作为响应进行后续认证流程的处理。4.一种电力场景的主从证书鉴别方法，应用于第一证书鉴别器，其特征在于，所述方法包括：收到证书鉴别请求；解析证书鉴别请求中接入点设备的证书的签发者字段；根据接入点设备证书的签发者字段查找地市第二证书鉴别器的公钥证书、私钥；根据找到的地市第二证书鉴别器的公钥证书对证书认证请求消息中的接入点设备和终端设备证书进行合法性检查；形成鉴别结果并根据找到的地市第二证书鉴别器的私钥签名鉴别结果；向接入点设备发送证书认证响应报文。5.根据权利要求4所述的一种电力场景的主从证书鉴别方法，其特征在于，获取和导入多个第二证书鉴别器的根证书和对应私钥的具体步骤如下：第一证书鉴别器生成自己的SM2第一私钥和第一SM2公钥证书；第二证书鉴别器用第一SM2公钥证书将自己的WAPI私钥形成第一电子信封；...

【专利技术属性】
技术研发人员：刘金成，邓春燕，孙少平，刘高锦，
申请(专利权)人：深圳市智开科技有限公司，
类型：发明
国别省市：