CN104333448B - 网络认证系统及其方法 - Google Patents
网络认证系统及其方法 Download PDFInfo
- Publication number
- CN104333448B CN104333448B CN201310547475.8A CN201310547475A CN104333448B CN 104333448 B CN104333448 B CN 104333448B CN 201310547475 A CN201310547475 A CN 201310547475A CN 104333448 B CN104333448 B CN 104333448B
- Authority
- CN
- China
- Prior art keywords
- communication device
- golden key
- key
- encrypted
- identity information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 41
- 238000004891 communication Methods 0.000 claims abstract description 262
- 238000013475 authorization Methods 0.000 claims description 19
- PCHJSUWPFVWCPO-UHFFFAOYSA-N gold Chemical compound [Au] PCHJSUWPFVWCPO-UHFFFAOYSA-N 0.000 claims description 15
- 239000010931 gold Substances 0.000 claims description 15
- 229910052737 gold Inorganic materials 0.000 claims description 15
- 238000012795 verification Methods 0.000 claims description 6
- 238000010586 diagram Methods 0.000 description 4
- 238000005516 engineering process Methods 0.000 description 4
- 230000002265 prevention Effects 0.000 description 4
- 238000000060 site-specific infrared dichroism spectroscopy Methods 0.000 description 2
- 241000282326 Felis catus Species 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 238000000605 extraction Methods 0.000 description 1
- 239000004744 fabric Substances 0.000 description 1
- 235000012054 meals Nutrition 0.000 description 1
- 238000001228 spectrum Methods 0.000 description 1
- 230000007704 transition Effects 0.000 description 1
Landscapes
- Mobile Radio Communication Systems (AREA)
Abstract
一种网络认证系统及其方法。所述网络认证系统包括第一通信装置、第二通信装置以及认证中心。所述方法包括:在第一与第二通信装置建立直接连线之前,第一通信装置发送以第一金钥加密的身份信息至认证中心,且第二通信装置发送以第二金钥加密的身份信息至认证中心。在认证第一以及第二通信装置之后,认证中心产生第三金钥,并分别发送以第一金钥加密的第三金钥和以第二金钥加密的第三金钥至第一以及第二通信装置。在第一以及第二通信装置分别以第一金钥和第二金钥解密加密后的第三金钥之后,第一与第二通信装置依据第三金钥建立直接连线。
Description
技术领域
本揭露涉及一种认证系统及其方法,且特别涉及一种网络认证系统及其方法。
背景技术
随着科技的进步以及时代的变迁,无线网络已然成为人们生活中不可或缺的一部分。除了通过第三代(3rd generation,3G)无线通信技术来连接至互联网之外,通过存取无线基站(Wireless Base Station)或无线接入点(Wireless Access Point)提供的无线网络来连接至互联网亦是人们常用的上网方式。而为了满足使用者能够随时随地(Ubiquitous)使用网络服务的需求,无线基站的布建亦愈趋广泛。
举例而言,为了让使用者能够更加方便地使用无线网络,许多公共场所、学校与企业组织都会提供无线保真度(Wireless Fidelity,Wi-Fi)热点来让使用者使用。然而,由于使用者在使用这些无线接入点时并无法验证这些无线接入点的身份,因而使得不少有心人士借机利用例如架设恶意无线基站的方式来对使用者进行窃取数据或是网络攻击等恶意行为。具体而言,传统的无线接入点可通过无线网络中的验证、授权与计费(Authentication,Authorization and Accounting,AAA)机制来验证使用者的身份,但而使用者并无法验证所连线无线接入点的身份。因此,有心人士(例如黑客)可轻易地架设恶意无线基站,以诱导使用者与所述恶意无线基站建立连线,进而执行例如中间人攻击(Man-In-The-Middle Attack)的行为。所述中间人攻击是一种能够对使用者与外部沟通的所有信息进行窃取与窜改的网络攻击行为。
为了防御来自前述恶意无线基站的攻击(Rogue Access Point Attack),学者与专家们近年来提出许多防御方法,而这些防御方法主要分为侦测(Detection)与预防(Prevention)两类。所述侦测的作法即为找出恶意无线基站并加以封锁,其优点为使用者无需负担任何成本。然而,所述侦测的侦测率并非百分之百,且也会有猫捉老鼠的可能性(即,在封锁恶意无线基站之后,其它的恶意无线基站又接连产生),因此在实务上并非完善作法。而所述预防作法为由使用者与欲连线的无线接入点进行交换金钥,并在成功交换金钥后据以建立连线。在所述预防的作法中,由于无线基站以及使用者之间在连线前需进行相互验证,因而可确保无线基站以及使用者之间可精确地与欲连线的无线接入点建立安全连线。然而,由于所述预防作法传统上需在使用者能观看到无线基站的情形下,方能进行前述的相互验证操作(即,实体(face to face)验证),因而使得实现上的成本对应地增加。
发明内容
有鉴于此,本揭露提供一种网络认证系统及其方法,可在通信装置连接至接入点之前,对接入点进行认证,以保证通信装置在使用无线网络服务时的安全性。
本揭露提供一种网络认证系统,其包括通信装置、接入点、服务装置以及认证中心。通信装置具有第一身份信息及第一金钥。接入点连接通信装置,具有第二身份信息。服务装置连接接入点,并持有关联于该接入点的第二金钥。认证中心连接服务装置以及通信装置,存储关联于通信装置的第一金钥以及关联于接入点的第二金钥。在服务装置判断接入点接收来自通信装置的网络连接请求之后,服务装置协助接入点发送由服务装置以第二金钥加密的第一身份信息和第二身份信息至认证中心。通信装置发送由通信装置以第一金钥加密的第一身份信息至认证中心。在认证中心认证通信装置以及接入点之后,认证中心产生第三金钥,并发送由认证中心以第一金钥加密的第三金钥至通信装置,和发送由认证中心以第二金钥加密的第三金钥至服务装置。在服务装置以第二金钥解密加密后的第三金钥之后,服务装置发送第三金钥至接入点。在通信装置以第一金钥解密加密后的第三金钥之后,通信装置依据第三金钥与接入点建立安全连线。
本揭露提供一种网络认证方法,适于包括通信装置、接入点、服务装置以及认证中心的网络认证系统。所述方法包括下列步骤。通信装置发送网络连接请求至接入点。通信装置具有第一身份信息及第一金钥,接入点具有第二身份信息,且服务装置持有关联于接入点的第二金钥。在服务装置判断接入点接收网络连接请求之后,服务装置协助接入点发送由服务装置以第二金钥加密的第一身份信息和第二身份信息至认证中心。通信装置发送由通信装置以第一金钥加密的第一身份信息至认证中心。在认证中心认证通信装置以及接入点之后,认证中心产生第三金钥,并发送由认证中心以第一金钥加密的第三金钥至通信装置,和发送由认证中心以第二金钥加密的第三金钥至服务装置。在服务装置以第二金钥解密加密后的第三金钥之后,服务装置发送第三金钥至接入点。在通信装置以第一金钥解密加密后的第三金钥之后,通信装置依据第三金钥与接入点建立安全连线。
本揭露提供一种网络认证系统,包括第一通信装置、第二通信装置以及认证中心。第一通信装置具有第一身份信息及第一金钥。第二通信装置具有第二身份信息及第二金钥。认证中心连接第一通信装置以及第二通信装置,存储关联于第一通信装置的第一金钥以及关联于第二通信装置的第二金钥。在第一通信装置与第二通信装置建立直接连线之前,第一通信装置发送由第一通信装置以第一金钥加密的第一身份信息至认证中心,且第二通信装置发送由第二通信装置以第二金钥加密的第二身份信息至认证中心。在认证中心认证第一通信装置以及第二通信装置之后,认证中心产生第三金钥,并发送由认证中心以第一金钥加密的第三金钥至第一通信装置,和发送由认证中心以第二金钥加密的第三金钥至第二通信装置。在第一通信装置以第一金钥解密加密后的第三金钥,以及第二通信装置以第二金钥解密加密后的第三金钥之后,第一通信装置与第二通信装置依据第三金钥建立直接连线。
本揭露提供一种网络认证方法,适于包括第一通信装置、第二通信装置以及认证中心的网络认证系统。第一通信装置具有第一身份信息及第一金钥。第二通信装置具有第二身份信息及第二金钥。所述方法包括下列步骤。在第一通信装置与第二通信装置建立直接连线之前,第一通信装置发送由第一通信装置以第一金钥加密的第一身份信息至认证中心,且第二通信装置发送由第二通信装置以第二金钥加密的第二身份信息至认证中心。在认证中心认证第一通信装置以及第二通信装置之后,认证中心产生第三金钥,并发送由认证中心以第一金钥加密的第三金钥至第一通信装置,和发送由认证中心以第二金钥加密的第三金钥至第二通信装置。在第一通信装置以第一金钥解密加密后的第三金钥,以及第二通信装置以第二金钥解密加密后的第三金钥之后,第一通信装置与第二通信装置依据第三金钥建立直接连线。
基于上述,本揭露实施例提出的网络认证系统及其方法可在通信装置欲连接至接入点时,通过可信任的第三方认证中心来对接入点进行认证,从而保障通信装置在使用无线网络服务时的安全性。
为让本揭露的上述特征和优点能更明显易懂,下文特举实施例,并配合附图作详细说明如下。
附图说明
图1是依据本揭露的一实施例绘示的网络认证系统示意图。
图2是依据本揭露的一实施例绘示的网络认证方法流程图。
图3是依据本揭露的一实施例绘示的网络认证系统示意图。
图4是依据本揭露的一实施例绘示的网络认证方法流程图。
【符号说明】
100、300:网络认证系统
110:通信装置
120:接入点
130:服务装置
140:认证中心
310:第一通信装置
320:第二通信装置
S210~S260、S410~S430:步骤
具体实施方式
本揭露实施例提供一种网络认证系统及其方法,其可在通信装置与接入点进行连线之前,通过可信赖的第三方认证中心来分别对通信装置以及接入点进行认证。在所述第三方认证中心认证接入点为合法(即,非恶意接入点)之后,通信装置方能与接入点进行连线,进而使用接入点提供的网络连线服务。如此一来,通信装置即可避免误连至恶意接入点,进而保证通信装置的网络连线安全性。
图1是依据本揭露的一实施例绘示的网络认证系统示意图。在本实施例中,网络认证系统100包括通信装置110、接入点(access point)120、服务装置130以及认证中心140。通信装置110例如是智能手机、笔记型计算机、平板计算机、个人计算机、工作站、个人数字助理等具有网络浏览功能的电子装置。接入点120可连接通信装置110,并可提供通信装置110例如无线区域网络连线的功能。服务装置130连接至接入点120,其可协助接入点120与认证中心140进行相关认证操作,其细节将在之后说明。服务装置130例如是验证、授权与计费(Authentication,Authorization and Accounting,AAA)服务器。更进一步而言,服务装置130可以是远端验证拨号使用者服务(Remote Authentication Dial In User Service,RADIUS)服务器,其可通过RADIUS协议与接入点120以及认证中心140进行通信。
认证中心140可连接至服务装置130以及通信装置110。认证中心140例如是可信任的第三方认证中心,其可存储用于认证通信装置110以及接入点120的相关信息。举例而言,认证中心140可存储分别关联于通信装置110以及关联于接入点120的第一金钥以及第二金钥。所述第一金钥例如是在通信装置110与认证中心140连线并完成注册程序之后,由认证中心140指派给通信装置110的金钥。换句话说,在通信装置110完成与认证中心140的注册程序之后,通信装置110以及认证中心140可同时持有第一金钥,以便于后续通信装置110以及认证中心140之间的相关认证程序,但本揭露的可实施方式不限于此。
第二金钥则例如是认证中心140用于认证接入点120的金钥。在一实施例中,在接入点120与服务装置130完成连线之后,服务装置130可协助接入点120与认证中心140进行注册程序。在完成此注册程序之后,服务装置130可进而取得由认证中心140指派给接入点120的第二金钥。此外,服务装置130可代为持有关联于接入点120的第二金钥,并协助接入点120进行与认证中心140之间的相关认证程序。
图2是依据本揭露的一实施例绘示的网络认证方法流程图。本实施例中的网络认证方法可由图1的网络认证系统100实现,以下即搭配图1的各个装置说明网络认证方法的各个步骤。
在本实施例中,当通信装置110的使用者欲控制通信装置110通过某接入点提供的无线网络连接至互联网时,所述使用者可先通过例如通信装置110的接入点扫描功能找出附近存在的接入点。之后,通信装置110可进而产生对应于这些接入点的服务集识别码(Service Set Identifier,SSID)列表(其可包括接入点120的SSID)。假设通信装置110的使用者欲控制通信装置110与接入点120(例如是非恶意接入点)进行连接,在步骤S210中,通信装置110可发送网络连接请求至接入点120。所述网络连接请求120例如可包括通信装置110的第一身份信息。
在一实施例中,在接收来自通信装置110的网络连接请求之后,接入点120可转发通信装置110的第一身份信息以及接入点120的第二身份信息至服务装置130,以通知服务装置130与认证中心140进行认证通信装置110的操作。在其他实施例中,服务装置130也可主动侦测接入点120上的使用者登入信息,或者提取接入点120的登录文件(log)以即时地掌握欲连线至接入点120的装置身份信息,但本揭露的可实施方式不限于此。
在步骤S220中,在判断接入点120接收网络连接请求之后,服务装置130可协助接入点120发送以第二金钥加密的第一身份信息和第二身份信息至认证中心140。在一实施例中,服务装置130可应用例如高级加密标准(Advanced Encryption Standard,AES)、非对称性密码算法(RSA algorithm)或其他加密技术来依据第二金钥对所述第一身份信息和第二身份信息进行加密,但本揭露的可实施方式不限于此。
在步骤S230中,通信装置110可发送以第一金钥加密的第一身份信息至认证中心140。在本实施例中,通信装置110也可应用AES、RSA等加密技术来对第一身份信息进行加密。
在一实施例中,在认证中心140接收以第一金钥加密的第一身份信息(来自通信装置110)以及以第二金钥加密的第一身份信息和第二身份信息(来自接入点120)之后,认证中心140可分别以第一金钥解密以第一金钥加密的第一身份信息,并且以第二金钥解密以第二金钥加密的第一身份信息和第二身份信息。接着,认证中心140可依据收到的第一身份信息认证通信装置110,并依据收到的第二身份信息认证接入点120。
在步骤S240中,在认证通信装置110以及接入点120之后,认证中心140产生第三金钥,并分别发送以第一金钥加密的第三金钥和以第二金钥加密的第三金钥至通信装置110以及服务装置130。从另一观点而言,所述第三金钥可视为是认证中心140所产生的用于让通信装置110以及接入点120进行安全连线的一支金钥。并且,由于认证中心140是以第一金钥加密第三金钥,因此可保证只有同样持有第一金钥的通信装置110才能对加密后的第三金钥进行解密。同样地,由于认证中心140是以第二金钥加密第三金钥,因而可保证只有同样持有第二金钥的服务装置130才能对加密后的第三金钥进行解密。
在步骤S250中,在以第二金钥解密加密后的第三金钥之后,服务装置130发送第三金钥至接入点120。接着,在步骤S260中,在以第一金钥解密加密后的第三金钥之后,通信装置110可依据第三金钥与接入点120建立安全连线。具体而言,通信装置110可依据所述第三金钥来加密欲传送至接入点120的所有数据,同时,由于接入点120亦持有所述第三金钥,使得接入点120可依据所述第三金钥来解密来自通信装置110的所有数据。另一方面,当接入点120发送以第三金钥加密的数据时,通信装置110也可对应地以自身所持有的第三金钥来解密来自接入点120的加密后数据。换句话说,所述第三金钥可视为是通信装置110与接入点120之间的一把属于秘密金钥密码系统(secret key cryptosystems)的秘密金钥(secret key)。此时,由于其他欲窃听的装置不具有所述第三金钥的信息,因而无法窃取通信装置110与接入点120之间的通信内容。因此,由认证中心140所指派给通信装置110以及接入点120的第三金钥可让通信装置110以及接入点120据以建立安全的连线。
从另一观点而言,当通信装置110误对恶意接入点(例如邪恶双子无线接入点)发出网络连线请求时,所述恶意接入点将会因无法顺利地通过认证中心140的前述认证行为而无法得到例如第三金钥等信息。换句话说,所述恶意接入点将无法如先前实施例中所教示的方式来与通信装置110建立连线。如此一来,本揭露实施例即可避免通信装置110因误连至恶意接入点而被窃取数据或恶意攻击的情形发生。
此外,虽然图1中的服务装置130仅协助接入点120进行与认证中心140的相关认证程序,但在其他实施例中,服务装置130也可同时管理多个接入点,并个别协助这些接入点进行前述与认证中心140的相关认证程序,但本揭露的可实施方式不限于此。
从上述实施例可看出,当通信装置110欲与接入点120进行连线时,通信装置110可通过认证中心140来认证接入点120,以保证通信装置110的连线安全性。在其他实施例中,当一通信装置欲与另一通信装置建立例如蓝牙连线的直接连线时,也可通过认证中心来对欲连线至的通信装置进行相关认证程序,其细节说明如下。
图3是依据本揭露的一实施例绘示的网络认证系统示意图。在本实施例中,网络认证系统300包括第一通信装置310、第二通信装置320和认证中心140。图4是依据本揭露的一实施例绘示的网络认证方法流程图。图4所示的方法可由图3的网络认证系统300来执行,以下即搭配图3中的各个装置来说明图4中的各个步骤。
在本实施例中,当第一通信装置310欲与第二通信装置320进行直接连线(例如无线保真度直连连线(Wireless fidelity direct,Wi-Fi direct)或蓝牙(Bluetooth)连线)时,第一通信装置310以及第二通信装置320可先通过认证中心140来认证彼此是否为恶意装置,进而确保所述直接连线的安全性。本实施例中的认证中心140可存储分别关联于第一通信装置310以及关联于第二通信装置320的第四金钥以及第五金钥。所述第四金钥以及第五金钥例如是在第一通信装置310以及第二通信装置320与认证中心140连线并分别完成注册程序之后,由认证中心140分别指派给第一通信装置310以及第二通信装置320的金钥。
具体而言,在步骤S410中,在第一通信装置与第二通信装置建立直接连线之前,第一通信装置310可发送以第四金钥加密的第三身份信息至认证中心140,且第二通信装置320可发送以第五金钥加密的第四身份信息至认证中心140。所述第三身份信息及第四身份信息分别例如是第一通信装置310以及第二通信装置320的身份信息。
在一实施例中,在第一通信装置310发送以第四金钥加密的第三身份信息至认证中心140,且第二通信装置320发送以第五金钥加密的第四身份信息至认证中心140之后,认证中心140可分别以第四金钥解密以第四金钥加密的第三身份信息,并且以第五金钥解密以第五金钥加密的第四身份信息。接着,认证中心140可依据收到的第三身份信息认证第一通信装置310,并依据收到的第四身份信息认证第二通信装置320。
在步骤S420中,在认证第一通信装置以及第二通信装置之后,认证中心140可产生第六金钥,并分别发送以第四金钥加密的第六金钥和以第五金钥加密的第六金钥至第一通信装置310以及第二通信装置320。从另一观点而言,所述第六金钥可视为是认证中心140所产生的用于让第一通信装置310以及第二通信装置320进行安全连线的一支金钥。并且,由于认证中心140是以第四金钥加密第六金钥,因此可保证只有同样持有第四金钥的第一通信装置310才能对加密后的第六金钥进行解密。同样地,由于认证中心140是以第五金钥加密第六金钥,因而可保证只有同样持有第五金钥的第二通信装置320才能对加密后的第六金钥进行解密。
在步骤S430中,在第一通信装置310以及第二通信装置320分别以第四金钥和第五金钥解密加密后的第六金钥之后,第一通信装置310与第二通信装置320依据第六金钥建立直接连线。具体而言,第一通信装置310可依据所述第六金钥来加密欲传送至第二通信装置320的所有数据,同时,由于第二通信装置320亦持有所述第六金钥,使得第二通信装置320可依据所述第六金钥来解密来自第一通信装置310的所有数据。另一方面,当第二通信装置320发送以第六金钥加密的数据时,第一通信装置310也可对应地以自身所持有的第六金钥来解密来自第二通信装置320的加密后数据。从另一观点而言,所述第六金钥可视为是第一通信装置310与第二通信装置320之间的一把属于秘密金钥密码系统的秘密金钥(secretkey)。由于其他欲窃听的装置不具有所述第三金钥的信息,因而无法窃取第一通信装置310与第二通信装置320之间的通信内容。因此,由认证中心140所指派给第一通信装置310以及第二通信装置320的第六金钥可让第一通信装置310以及第二通信装置320据以建立安全的连线。
此外,虽然图3中仅以两个通信装置来举例说明,但本揭露实施例的概念也可应用在多个通信装置的情形。具体而言,当多个通信装置欲建立彼此之间的直接连线时(例如随意网络(ad hoc network)),这些通信装置也可在各自与认证中心进行相关认证程序之后,取得一支共有的金钥。如此一来,这些通信装置即可依据所述共有的金钥来加密彼此传输的所有数据,进而保证所述直接连线的安全性。
综上所述,本揭露实施例提出的网络认证系统及其方法可在通信装置欲连接至接入点时,通过可信任的第三方认证中心来对接入点进行认证。在所述第三方认证中心认证接入点为合法(即,非恶意接入点)之后,通信装置方能与接入点进行连线,进而使用接入点提供的网络连线服务。对通信装置而言,本揭露实施例提出的系统及方法可避免其误连至恶意接入点的情形发生,从而保障通信装置在使用无线网络服务时的安全性。
进一步而言,本揭露实施例的网络认证方法适于应用在例如咖啡厅、图书馆或餐厅等地点所提供的公共无线网络系统。在此情况下,当使用者欲在前述地点以其通信装置来通过所述公共无线网络系统上网时,使用者可通过前述实施例教示的方式来认证欲连接至的接入点(例如是提供所述公共无线网络系统的接入点),进而保证使用者上网时的安全性。
此外,当通信装置与接入点通过本揭露提出的网络认证方法互相进行认证时,通信装置与接入点并不需进行实体(face to face)验证,因而不会使得实现上的成本对应地增加。并且,由于本揭露的网络认证系统是通过服务装置来协助接入点进行前述的各种认证操作,因此在实施时可不需在接入点上安装额外软件。
再者,本揭露亦提出另一种网络认证系统及其方法,其认证中心可在两个(或多个)通信装置之间欲建立直接连线时,对这些通信装置皆分别进行认证,从而保证所述直接连线的安全性。
虽然本揭露已以实施例揭露如上,然其并非用以限定本揭露,本领域技术人员,在不脱离本揭露的精神和范围内,当可作些许的更动与润饰,故本揭露的保护范围当视所附权利要求书界定范围为准。
Claims (19)
1.一种网络认证系统,其特征在于,包括:
通信装置,具有第一身份信息及第一金钥;
接入点,连接该通信装置,具有第二身份信息;
服务装置,连接该接入点,并持有关联于该接入点的第二金钥;以及
认证中心,连接该服务装置以及该通信装置,存储关联于该通信装置的该第一金钥以及关联于该接入点的该第二金钥,
其中,在该服务装置判断该接入点接收来自该通信装置的网络连接请求之后,该服务装置协助该接入点发送由该服务装置以该第二金钥加密的该第一身份信息和该第二身份信息至该认证中心,
该通信装置发送由该通信装置以该第一金钥加密的该第一身份信息至该认证中心,
在该认证中心认证该通信装置以及该接入点之后,该认证中心产生第三金钥,并发送由该认证中心以该第一金钥加密的该第三金钥至该通信装置,和发送由该认证中心以该第二金钥加密的该第三金钥至该服务装置,
在该服务装置以该第二金钥解密加密后的该第三金钥之后,该服务装置发送该第三金钥至该接入点,
在该通信装置以该第一金钥解密加密后的该第三金钥之后,该通信装置依据该第三金钥与该接入点建立安全连线。
2.如权利要求1所述的网络认证系统,其特征在于,其中在该接入点接收来自该通信装置的该网络连接请求之后,该接入点转发该第一身份信息以及该第二身份信息至该服务装置。
3.如权利要求1所述的网络认证系统,其特征在于,其中在该认证中心接收由该通信装置以该第一金钥加密的该第一身份信息以及由该服务装置以该第二金钥加密的该第一身份信息和该第二身份信息之后,该认证中心以该第一金钥解密由该通信装置以该第一金钥加密的该第一身份信息,并且以该第二金钥解密由该服务装置以该第二金钥加密的该第一身份信息和该第二身份信息。
4.如权利要求1所述的网络认证系统,其特征在于,其中该服务装置为验证、授权与计费服务器。
5.如权利要求4所述的网络认证系统,其特征在于,其中该验证、授权与计费服务器为远端验证拨号使用者服务服务器。
6.如权利要求1所述的网络认证系统,其特征在于,其中该第三金钥为属于秘密金钥密码系统的秘密金钥。
7.如权利要求1所述的网络认证系统,其特征在于,其中该接入点属于公共网络系统。
8.一种网络认证方法,适于包括通信装置、接入点、服务装置以及认证中心的网络认证系统,其特征在于,所述方法包括下列步骤:
该通信装置发送网络连接请求至该接入点,其中该通信装置具有第一身份信息及第一金钥,该接入点具有第二身份信息,且该服务装置持有关联于该接入点的第二金钥;
在该服务装置判断该接入点接收该网络连接请求之后,该服务装置协助该接入点发送由该服务装置以该第二金钥加密的该第一身份信息和该第二身份信息至该认证中心;
该通信装置发送由该通信装置以该第一金钥加密的该第一身份信息至该认证中心;
在该认证中心认证该通信装置以及该接入点之后,该认证中心产生第三金钥,并发送由该认证中心以该第一金钥加密的该第三金钥至该通信装置,和发送由该认证中心以该第二金钥加密的该第三金钥至该服务装置;
在该服务装置以该第二金钥解密加密后的该第三金钥之后,该服务装置发送该第三金钥至该接入点;以及
在该通信装置以该第一金钥解密加密后的该第三金钥之后,该通信装置依据该第三金钥与该接入点建立安全连线。
9.如权利要求8所述的网络认证方法,其特征在于,其中在该通信装置发送该网络连接请求至该接入点的步骤之后,该接入点转发该第一身份信息以及该第二身份信息至该服务装置。
10.如权利要求8所述的网络认证方法,其特征在于,其中在该通信装置发送由该通信装置以该第一金钥加密的该第一身份信息至该认证中心的步骤之后,该认证中心以该第一金钥解密由该通信装置以该第一金钥加密的该第一身份信息,并且以该第二金钥解密由该服务装置以该第二金钥加密的该第一身份信息和该第二身份信息。
11.如权利要求8所述的网络认证方法,其特征在于,其中该第三金钥为属于秘密金钥密码系统的秘密金钥。
12.一种网络认证系统,其特征在于,包括:
第一通信装置,具有第一身份信息及第一金钥;
第二通信装置,具有第二身份信息及第二金钥;以及
认证中心,连接该第一通信装置以及该第二通信装置,存储关联于该第一通信装置的该第一金钥以及关联于该第二通信装置的该第二金钥,
其中,在该第一通信装置与该第二通信装置建立直接连线之前,该第一通信装置发送由该第一通信装置以该第一金钥加密的该第一身份信息至该认证中心,且该第二通信装置发送由该第二通信装置以该第二金钥加密的该第二身份信息至该认证中心,
在该认证中心认证该第一通信装置以及该第二通信装置之后,该认证中心产生第三金钥,并发送由该认证中心以该第一金钥加密的该第三金钥至该第一通信装置,和发送由该认证中心以该第二金钥加密的该第三金钥至该第二通信装置,
在该第一通信装置以该第一金钥解密加密后的该第三金钥,以及该第二通信装置以该第二金钥解密加密后的该第三金钥之后,该第一通信装置与该第二通信装置依据该第三金钥建立该直接连线。
13.如权利要求12所述的网络认证系统,其特征在于,其中该直接连线包括无线保真度直连连线或蓝牙连线。
14.如权利要求12所述的网络认证系统,其特征在于,其中在该第一通信装置发送以该第一金钥加密的该第一身份信息至该认证中心,且该第二通信装置发送以该第二金钥加密的该第二身份信息至该认证中心之后,该认证中心以该第一金钥解密以该第一金钥加密的该第一身份信息,并且以该第二金钥解密以该第二金钥加密的该第二身份信息。
15.如权利要求12所述的网络认证系统,其特征在于,其中该第三金钥为属于秘密金钥密码系统的秘密金钥。
16.一种网络认证方法,适于包括第一通信装置、第二通信装置以及认证中心的网络认证系统,其特征在于,该第一通信装置具有第一身份信息及第一金钥,且该第二通信装置具有第二身份信息及第二金钥,所述方法包括下列步骤:
在该第一通信装置与该第二通信装置建立直接连线之前,该第一通信装置发送由该第一通信装置以第一金钥加密的第一身份信息至该认证中心,且该第二通信装置发送由该第二通信装置以第二金钥加密的第二身份信息至该认证中心,
在该认证中心认证该第一通信装置以及该第二通信装置之后,该认证中心产生第三金钥,并发送由该认证中心以该第一金钥加密的该第三金钥至该第一通信装置,和发送由该认证中心以该第二金钥加密的该第三金钥至该第二通信装置,
在该第一通信装置以该第一金钥解密加密后的该第三金钥,以及该第二通信装置以该第二金钥解密加密后的该第三金钥之后,该第一通信装置与该第二通信装置依据该第三金钥建立该直接连线。
17.如权利要求16所述的网络认证方法,其特征在于,其中该直接连线包括无线保真度直连连线或蓝牙连线。
18.如权利要求16所述的网络认证方法,其特征在于,其中在该第一通信装置发送以该第一金钥加密的该第一身份信息至该认证中心,且该第二通信装置发送以该第二金钥加密的该第二身份信息至该认证中心的步骤之后,该认证中心以该第一金钥解密以该第一金钥加密的该第一身份信息,并且以该第二金钥解密以该第二金钥加密的该第二身份信息。
19.如权利要求16所述的网络认证方法,其特征在于,其中该第三金钥为属于秘密金钥密码系统的秘密金钥。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| TW102126129 | 2013-07-22 | ||
| TW102126129A TWI514189B (zh) | 2013-07-22 | 2013-07-22 | 網路認證系統及其方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN104333448A CN104333448A (zh) | 2015-02-04 |
| CN104333448B true CN104333448B (zh) | 2018-07-13 |
Family
ID=52408107
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201310547475.8A Active CN104333448B (zh) | 2013-07-22 | 2013-11-06 | 网络认证系统及其方法 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN104333448B (zh) |
| TW (1) | TWI514189B (zh) |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1426200A (zh) * | 2002-11-06 | 2003-06-25 | 西安西电捷通无线网络通信有限公司 | 无线局域网移动终端的安全接入与无线链路的数据保密通信方法 |
| CN101431752A (zh) * | 2007-11-09 | 2009-05-13 | 北京华旗资讯数码科技有限公司 | 利用多算法实现无线局域网的保密通信方法 |
Family Cites Families (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR100452891B1 (ko) * | 2004-02-26 | 2004-10-15 | 엔에이치엔(주) | 네트워크를 통한 인증 시스템 및 그 방법 |
| KR100966412B1 (ko) * | 2005-03-31 | 2010-06-28 | 콸콤 인코포레이티드 | 다중 서명 - 확고한 다중 당사자 전자 서명에 대한프로토콜 |
| US8060741B2 (en) * | 2006-12-29 | 2011-11-15 | Industrial Technology Research Institute | System and method for wireless mobile network authentication |
| TW201121280A (en) * | 2009-12-10 | 2011-06-16 | Mao-Cong Lin | Network security verification method and device and handheld electronic device verification method. |
| CN102695172A (zh) * | 2011-03-21 | 2012-09-26 | 国基电子(上海)有限公司 | 毫微微型(Femto)存取点接入系统及接入方法 |
| CN102196430B (zh) * | 2011-05-17 | 2014-02-26 | 浪潮(山东)电子信息有限公司 | 一种基于自适应天线选择和频率协商机制的无线节点间通信方法 |
| TWI472189B (zh) * | 2012-01-05 | 2015-02-01 | Ind Tech Res Inst | 網路監控系統及管理金鑰的方法 |
| CN102595405A (zh) * | 2012-01-21 | 2012-07-18 | 华为技术有限公司 | 一种网络接入的认证方法、系统和设备 |
-
2013
- 2013-07-22 TW TW102126129A patent/TWI514189B/zh not_active IP Right Cessation
- 2013-11-06 CN CN201310547475.8A patent/CN104333448B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1426200A (zh) * | 2002-11-06 | 2003-06-25 | 西安西电捷通无线网络通信有限公司 | 无线局域网移动终端的安全接入与无线链路的数据保密通信方法 |
| CN101431752A (zh) * | 2007-11-09 | 2009-05-13 | 北京华旗资讯数码科技有限公司 | 利用多算法实现无线局域网的保密通信方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN104333448A (zh) | 2015-02-04 |
| TWI514189B (zh) | 2015-12-21 |
| TW201504843A (zh) | 2015-02-01 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| KR101759193B1 (ko) | 안전한 전자 거래를 위한 네트워크 인증 방법 | |
| JP4712871B2 (ja) | サービス提供者、端末機及びユーザー識別モジュールの包括的な認証と管理のための方法及びその方法を用いるシステムと端末装置 | |
| US20210004454A1 (en) | Proof of affinity to a secure event for frictionless credential management | |
| CN109479049B (zh) | 用于密钥供应委托的系统、设备和方法 | |
| CN106161032B (zh) | 一种身份认证的方法及装置 | |
| WO2017201809A1 (zh) | 终端通信方法及系统 | |
| KR100922906B1 (ko) | 구별 랜덤 첼린지들을 사용하는 부트스트랩 인증 | |
| RU2434352C2 (ru) | Способ и устройство для надежной аутентификации | |
| JP5579872B2 (ja) | 安全な複数uim認証および鍵交換 | |
| CN111615105B (zh) | 信息提供、获取方法、装置及终端 | |
| US8769289B1 (en) | Authentication of a user accessing a protected resource using multi-channel protocol | |
| CN107800539A (zh) | 认证方法、认证装置和认证系统 | |
| CN103415008A (zh) | 一种加密通信方法和加密通信系统 | |
| CN101641976A (zh) | 认证方法 | |
| JP2012530311A5 (zh) | ||
| US8397281B2 (en) | Service assisted secret provisioning | |
| CN101621794A (zh) | 一种无线应用服务系统的安全认证实现方法 | |
| CN110662222B (zh) | 用于对等无线通信的系统和方法 | |
| CN104202163A (zh) | 一种基于移动终端的密码系统 | |
| CN103037366A (zh) | 基于非对称密码技术的移动终端用户认证方法及移动终端 | |
| CN101944216A (zh) | 双因子在线交易安全认证方法及系统 | |
| JP2008535427A (ja) | データ処理デバイスとセキュリティモジュールとの間のセキュア通信 | |
| CN112020716A (zh) | 远程生物特征识别 | |
| CN103024735A (zh) | 无卡终端的业务访问方法及设备 | |
| CN107786978B (zh) | 基于量子加密的nfc认证系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |