(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210773230.6 (22)申请日 2022.07.01 (71)申请人 深圳市智开科技有限公司 地址 518000 广东省深圳市龙岗区龙城街 道黄阁坑社区龙城工业园留学人员 (龙岗)创业园323 (72)发明人 刘林　王力　丁亮　刘高锦　 (74)专利代理 机构 深圳市鼎智专利代理事务所 (普通合伙) 44411 专利代理师 张小晶 (51)Int.Cl. H04L 9/32(2006.01) (54)发明名称 一种WAPI无线专网证书签发的方法与系统 (57)摘要 本发明公开了一种WAPI无线专网证书签发 的方法与系统， 包 括WAPI终端(S TA)、 WAPI证书鉴 别服务器(AS)、 证书管理服务器(CIS)、 证书签发 申请网关(GW)， 其特征在于， 所述 GW和CIS之间通 过双向网闸连接， 所述AS和CIS位于内网， 所述 GW 位于外网并具有短信发送模块。 本发 明通过使用 本发明公布的WAPI无线专网证书签发申请 的方 法与系统， WAPI无线终端设备能够在线地完成 WAPI证书的签发申请， 而且这个过程是安全、 方 便、 高效的， 特别 能适用于诸如电力行业这样的 存在内外网数据交互安全性要求特别高的行业 的需要， 不再需要 WAPI证书申请手工过程的低效 率、 繁琐的内外网文件拷贝操作， 能够显著提高 相关过程的方便性和工作效率， 而且还能避免手 工过程中可能的出错。 权利要求书2页 说明书11页 附图1页 CN 115085938 A 2022.09.20 CN 115085938 A 1.一种WAPI无线专网证书签发的系统， 包括WAPI终端(STA)、 WAPI证书鉴别服务器 (AS)、 证书管理服务器(CIS)、 证书签发申请网关(GW)， 其特征在于， 所述GW和CIS之间通过 双向网闸连接， 所述AS和CIS位于内网， 所述GW 位于外网并具有短信发送模块。 2.根据权利 要求1所述的一种WAPI无线专网证书签发的系统， 其特征在于， 所述WAPI终 端， 简称STA， 它是WAPI无线网络的终端设备， 包括机器人、 平板电脑、 执法记录仪器、 智能头 盔等等， 这些WAPI终端设备具备WAPI无线连接能力， 也具备非WAPI网络连接能力， 后者包括 通过连接WI ‑FI无线网络、 或者通过有线 连接网络的能力， 并具备本专利所述方法的程序来 连接证书申请网关、 进 行验证码获取消息、 WAPI证书申请消息的发送、 接收来自证书申请网 关的证书申请回复消息 。 3.根据权利 要求2所述的一种WAPI无线专网证书签发的系统， 其特征在于， 所述WAPI证 书鉴别服务器， 简称AS， 它是WAPI无线网络的证书鉴别单元， 同时也基于P10文件产生WAPI 证书； 在本专利所述系统中， 还可以响应WAPI证书管理系统的证书签发请求。 4.根据权利 要求3所述的一种WAPI无线专网证书签发的系统， 其特征在于， 所述WAPI证 书管理服务器(WAPI  Certificate  Information  System)， 简称CIS,实现对证书的综合管 理， 一般包括申请者、 使用设备信息的管理， 也对证书的申请、 注销等过程进行 管理。 5.根据权利 要求4所述的一种WAPI无线专网证书签发的系统， 其特征在于， 所述WAPI证 书签发申请网关， 简称GW， 此单元位于外网， 实现接收来自外网的WAPI证书签发申请相关的 请求， 将这些请求消息通过双向物理隔离网闸转 发给内网中的WAPI证书 管理服务器； 同时， WAPI证书签发申请网关还具备手机短信发送能力， 实现向申请者的手机发送短信， 短信内 容主要是WAPI证书申请过程中的授权码。 6.一种WAPI无线专网证书签发的方法， 其特 征在于， 包括以下步骤： S1： 首先， WAPI证书签发申请者， 需要通过系统管理人员在WAPI证书管理服务器CIS中 登记申请者的一些信息， 其中手机号码是一个必备信息项； S2： 当WAPI证书签发申请者要为某个WAPI终端设备作WAPI证书签发申请时， 证书申请 者操作WAPI 终端设备， 临时性地将WAPI 终端设备连接到外网， 这主要 是通过有线 连接外网； 证书申请者通过操作WAPI终端设备的WAPI证书签发申请程序的授权码获取功能界面， 填写 在WAPI证书管理服务器CIS中登记的手机号码， 然后操作程序界面向WAPI证书签发申请网 关GW发送授权码获取消息； S3： WAPI证书签发申请网关GW接收到授权码获取消息后， 将相关信息通过网闸发送给 WAPI证书管理服务器CIS； WAPI证书管理服务器CIS收到授权码获取信息后， 会检查授权码 获取信息中的手机号码是否为已登记的手机号码， 如果是则回复授权码响应消息给证书申 请网关， 如果相关手机号码未登记则不作响应； S4： WAPI证书签发申请网关从CIS得到授权码回复消息后， 将通过短信将授权码发送给 WAPI证书签发申请者的手机号码； S5： WAPI证书签发申请者从手机得到授权码后， 将操作WAPI无线终端的WAPI证书申请 程序， 启动证书申请过程， 这一过程包括产生WAPI密钥对(包括公钥、 私钥)、 WAPI证书申请 文件即P10文件， 并产生一个申请编号ID， 然后通过WAPI证书申请程序将申请编号ID、 P10文 件、 申请者手机号、 鉴别码发送给WAPI证书申请 网关； 所述鉴别码， 是基于申请者从手机短 信获取得到的授权码计算产生；权　利　要　求　书 1/2 页 2 CN 115085938 A 2S6： WAPI证书申请网关GW接收到WAPI证书签发申请消息后， 将其中的消息通过网闸转 发给WAPI证书管理服 务器； S7： WAPI证书管理服务器CIS接收到WAPI证书申请消息后， 解密消息内容并解析获得申 请编号ID、 P10文件、 申请者手机号、 鉴别码， 然后作合法性检查， 包括： a)检查鉴别码： 根据 手机号在CIS数据库中查找授权码， 如果查找到则进 行鉴别码 计算， 计算方法与WAPI无线终 端一样， 以此计算结果检查 收到的鉴别码， 如果未找授权码到则不作响应； b)验证P10文件 的签名值， 如果验证不通过则不作响应； 两项检查均通过， 则WAPI证书管理服务器CIS向 WAPI鉴别服务器发送WAPI证书签发请求消息， 其中包括了P10文件； S8： WAPI鉴别服务器AS收到来自CIS的WAPI证书签发请求消息后， 则生成WAPI证书， 然 后将产生的证书和AS自己的公钥证书发送给WAPI证书管 理服务器CIS； 所述生 成WAPI证书， 是基于P10文件生成WAPI证书的内容并用AS的私钥签名证书内容， 也正因为这个过程中用 到了AS的私钥， 这是除AS外的其它服务器不便具有的私密数据， 由此才需要将证书签发请 求消息最终 发送给AS来签发产生证书； S9： WAPI证书管理服务器收到AS签发产生 的WAPI证书和AS的公钥证书后， 将形成WAPI 证书签发申请响应消息通过网闸发送给WAPI无线终端设备STA； 所述签发申请响应消息， 包 括了对应的申请编号ID、 签发产生的新证书、 AS的公钥证书， 所述签发申请响应消息， 不用 加密， 因为 其中没有需要保密的信息； S10： WAPI无线终端STA收到签发申请 响应消息后， 解析消息得到申请编号ID、 签发产生 的新证书、 AS的公钥证书， 用申请编号ID来查找STA本地的公钥证， 并比较本地公钥和签发 产生的新证书中的公钥是一致的， 则进一步用AS的公钥证书来检查签发产生的新证书， 如 果签名验证通过则表明消息没有被篡改过， 签发产生的新证书、 AS的公钥证书具有可信， WAPI证书在线签发申请成功完成。 7.根据权利要求6所述的一种WAPI无线专网证书签发的方法， 其特征在于， 所述S5中， 计算方法为： 通过对授权码进 行摘要计算生成摘要信息， 取摘要信息前16位作为密码， 基于 所产生的密码对P10文件和申请者手机号作拓展摘要计算 生成鉴别码。 8.根据权利要求7所述的一种WAPI无线专网证书签发的方法， 其特征在于， 所述S9中， 签发申请响应消息， 不用加密， 因为 其中没有需要保密的信息 。权　利　要　求　书 2/2 页 3 CN 115085938 A 3