CN105262597B - 网络接入认证方法、客户终端、接入设备及认证设备 - Google Patents
网络接入认证方法、客户终端、接入设备及认证设备 Download PDFInfo
- Publication number
- CN105262597B CN105262597B CN201510857524.7A CN201510857524A CN105262597B CN 105262597 B CN105262597 B CN 105262597B CN 201510857524 A CN201510857524 A CN 201510857524A CN 105262597 B CN105262597 B CN 105262597B
- Authority
- CN
- China
- Prior art keywords
- client terminal
- ciphertext
- access
- trusted voucher
- authenticating device
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 58
- 230000005540 biological transmission Effects 0.000 claims description 26
- GOLXNESZZPUPJE-UHFFFAOYSA-N spiromesifen Chemical compound CC1=CC(C)=CC(C)=C1C(C(O1)=O)=C(OC(=O)CC(C)(C)C)C11CCCC1 GOLXNESZZPUPJE-UHFFFAOYSA-N 0.000 claims description 8
- 208000033748 Device issues Diseases 0.000 claims description 6
- 238000005516 engineering process Methods 0.000 abstract description 5
- 238000004891 communication Methods 0.000 abstract description 4
- 238000012795 verification Methods 0.000 description 15
- 230000008569 process Effects 0.000 description 13
- 238000010586 diagram Methods 0.000 description 7
- 238000012545 processing Methods 0.000 description 6
- 230000006870 function Effects 0.000 description 3
- 230000008520 organization Effects 0.000 description 2
- 241000700605 Viruses Species 0.000 description 1
- 238000004458 analytical method Methods 0.000 description 1
- 230000005611 electricity Effects 0.000 description 1
- 239000000835 fiber Substances 0.000 description 1
- ZXQYGBMAQZUVMI-GCMPRSNUSA-N gamma-cyhalothrin Chemical compound CC1(C)[C@@H](\C=C(/Cl)C(F)(F)F)[C@H]1C(=O)O[C@H](C#N)C1=CC=CC(OC=2C=CC=CC=2)=C1 ZXQYGBMAQZUVMI-GCMPRSNUSA-N 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 238000007726 management method Methods 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Storage Device Security (AREA)
Abstract
本发明提供一种网络接入认证方法、客户终端、接入设备及认证设备,涉及通信技术领域,用于对欲接入网络的客户终端进行认证,能够确认客户终端是否安全可信,提高了网络接入认证的安全性。包括:接入设备用认证设备的公钥对客户终端的可信凭证和认证信息进行加密生成第一密文;认证设备获取第一密文,用认证设备的私钥解密第一密文,获得客户终端的认证信息、可信凭证;判断认证信息是否正确,以及客户终端的可信凭证与预先存储的客户终端的可信凭证是否相同;若认证信息正确且客户终端的可信凭证与预先存储的可信凭证相同,则允许客户终端接入待接入网络;若认证信息正确但可信凭证不相同,则禁止客户终端接入待接入网络。
Description
技术领域
本发明涉及通信技术领域,尤其涉及网络接入认证方法、客户终端、接入设备及认证设备。
背景技术
通常,客户终端想要接入一个受保护的网络,要先通过网络认证设备的认证。目前的接入认证技术主要有:口令字认证协议、基于预共享密钥和挑战应答协议、基于动态一次性口令协议、基于公钥体制的认证协议。
上述接入认证方法,网络认证设备只以客户终端是否掌握认证协议需要的口令或密钥来判断客户终端是否可以接入受保护的网络,而不必关心客户终端本身是否是安全可信的,因此,现有网络接入认证存在安全隐患。如:客户终端已经受到了攻击,攻击者可以在待接入设备上植入病毒或木马程序,监听认证过程,窃取用户的关键信息,攻击者就可以访问受保护网络,或利用已经被攻破的待接入设备作跳板,进而攻击受保护的网络,从而引起严重的安全问题。
发明内容
本发明实施例提供一种网络接入认证方法、客户终端、接入设备及认证设备,对终端发送的认证信息进行验证的同时能够确认客户终端是否安全可信,提高了网络接入认证的安全性。
为达到上述目的,本发明实施例采用的技术方案是,
第一方面,公开了一种网络接入认证方法,包括:
客户终端对所述客户终端的认证证书和认证信息以及所述客户终端的可信凭证进行加密,生成第一密文;
所述客户终端向接入设备发送所述第一密文,以便所述接入设备接收、解密所述第一密文获取所述客户终端的可信凭证和认证信息。
结合第一方面,在第一方面的第一种可能的实现方式中,所述方法还包括:
所述客户终端接收所述接入设备发送的第二密文,所述第二密文是所述客户终端用所述认证设备的公钥对所述客户终端的可信凭证和所述认证信息进行加密生成的;
所述客户终端向所述认证设备发送所述第二密文。
结合第一方面或第一方面的第一种可能的实现方式,在第一方面的第二种可能的实现方式中,客户终端对所述客户终端的认证证书和认证信息以及所述客户终端的可信凭证进行加密,生成第一密文之前,所述方法还包括:
所述客户终端向所述接入设备发送接入请求,以便所述接入设备根据所述接入请求向所述认证设备请求所述客户终端的认证证书;所述接入请求指示所述用户终端欲接入待接入网络;
所述客户终端接收所述认证设备发送的证书请求消息;所述证书请求消息指示所述客户终端提供自身的认证证书。
结合第一方面或第一方面的第一或第二种可能的实现方式,在第一方面的第三种可能的实现方式中,所述方法还包括:
所述客户终端接收所述认证设备下发的所述客户终端的可信凭证。
第二方面,公开了一种网络接入认证方法,包括:
所述接入设备接收第一密文,所述第一密文是客户终端对所述客户终端的认证证书和认证信息以及所述客户终端的可信凭证进行加密生成的;
所述接入设备解析所述第二密文获得所述客户端的认证信息以及所述客户终端的可信凭证;
所述接入设备用认证设备的公钥对所述客户终端的可信凭证和所述认证信息进行加密生成第二密文;
所述接入设备将所述第二密文发送给所述客户终端,以便所述客户终端向所述认证设备转发所述第二密文。
结合第二方面,在第二方面的第一种可能的实现方式中,所述接入设备接收第一密文之前,所述方法还包括:
所述接入设备接收所述客户终端发送的接入请求,根据所述接入请求向所述认证设备请求所述客户终端的认证证书。
第三方面,公开了一种网络接入认证方法,包括:
认证设备接收通过所述客户终端转发的第二密文;所述第二密文是所述客户终端用所述认证设备的公钥对所述客户终端的可信凭证和所述认证信息进行加密生成的;
所述认证设备用所述认证设备的私钥解密所述第二密文,获得所述客户终端的认证信息、所述客户终端的可信凭证;
所述认证设备判断所述认证信息是否正确,以及所述客户终端的可信凭证与所述认证设备预先存储的所述客户终端的可信凭证是否相同;
若所述认证信息正确且所述客户终端的可信凭证与所述认证设备预先存储的所述客户终端的可信凭证相同,则允许所述客户终端接入待接入网络;
若所述认证信息正确且所述客户终端的可信凭证与所述认证设备预先存储的所述客户终端的可信凭证不相同,则禁止所述客户终端接入所述待接入网络。
结合第三方面,在第三方面的第一种可能的实现方式中,所述认证设备接收通过所述客户终端转发的第二密文之前,所述方法还包括:
获取所述客户终端的可信凭证,存储所述客户终端的可信凭证。
第四方面,公开了一种客户终端,包括:
加密单元,用于对所述客户终端的认证证书和认证信息以及所述客户终端的可信凭证进行加密,生成第一密文;
发送单元,用于向接入设备发送所述第一密文,以便所述接入设备接收、解密所述第一密文获取所述客户终端的可信凭证和认证信息。
结合第四方面,在第四方面的第一种可能的实现方式中,还包括接收单元,
所述接收单元用于,接收所述接入设备发送的第二密文,所述第二密文是所述客户终端用所述认证设备的公钥对所述客户终端的可信凭证和所述认证信息进行加密生成的;
所述发送单元还用于,向所述认证设备发送所述第二密文。
结合第四方面或第四方面的第一种可能的实现方式,在第四方面的第二种可能的实现方式中,
所述发送单元还用于,在所述加密单元对所述客户终端的认证证书和认证信息以及所述客户终端的可信凭证进行加密,生成第一密文之前,向所述接入设备发送接入请求,以便所述接入设备根据所述接入请求向所述认证设备请求所述客户终端的认证证书;所述接入请求指示所述用户终端欲接入待接入网络;
所述接收单元还用于,接收所述认证设备发送的证书请求消息;所述证书请求消息指示所述客户终端提供自身的认证证书。
结合第四方面或第四方面的第一或第二种可能的实现方式,在第四方面的第三种可能的实现方式中,
所述接收单元还用于,接收所述认证设备下发的所述客户终端的可信凭证。
第五方面,公开了一种接入设备,包括:
接收单元,用于接收第一密文,所述第一密文是客户终端对所述客户终端的认证证书和认证信息以及所述客户终端的可信凭证进行加密生成的;
解析单元,用于解析所述第二密文获得所述客户端的认证信息以及所述客户终端的可信凭证;
加密单元,用于用认证设备的公钥对所述客户终端的可信凭证和所述认证信息进行加密生成第二密文;
发送单元,用于将所述第二密文发送给所述客户终端,以便所述客户终端向所述认证设备转发所述第二密文。
结合第五方面,在第五方面的第一种可能的实现方式中,
所述接收单元还用于,接收第一密文之前,接收所述客户终端发送的接入请求,根据所述接入请求向所述认证设备请求所述客户终端的认证证书。
第六方面,公开了一种认证设备,包括:
接收单元,用于接收通过所述客户终端转发的第二密文;所述第二密文是所述客户终端用所述认证设备的公钥对所述客户终端的可信凭证和所述认证信息进行加密生成的;
解密单元,用于用所述认证设备的私钥解密所述第二密文,获得所述客户终端的认证信息、所述客户终端的可信凭证;
判断单元,用于判断所述认证信息是否正确,以及所述客户终端的可信凭证与所述认证设备预先存储的所述客户终端的可信凭证是否相同;
权限设置单元,若所述判断单元判断所述认证信息正确且所述客户终端的可信凭证与所述认证设备预先存储的所述客户终端的可信凭证相同,则允许所述客户终端接入待接入网络;
所述权限设置单元还用于,若所述判断单元判断所述认证信息正确且所述客户终端的可信凭证与所述认证设备预先存储的所述客户终端的可信凭证不相同,则禁止所述客户终端接入所述待接入网络。
结合第六方面,在第六方面的第一种可能的实现方式中,还包括获取单元、存储单元,
所述获取单元用于,获取所述客户终端的可信凭证;
所述存储单元用于,存储所述客户终端的可信凭证。
本发明提供一种网络接入系统、移动终端、接入设备及认证设备,接入设备用认证设备的公钥对所述客户终端的可信凭证和所述认证信息进行加密生成第一密文;认证设备用自身的私钥解密第一密文,获得客户终端的认证信息以及客户终端的可信凭证;若认证信息正确且客户终端的可信凭证与认证设备预先存储的该客户终端的可信凭证相同,则允许该客户终端接入待接入网络;若认证信息正确但是客户终端的可信凭证与认证设备预先存储的该客户终端的可信凭证不相同,则禁止客户终端接入所述待接入网络。现有技术仅依据客户终端发送的认证信息决定是否允许其接入网络,客户终端本身是否是安全可信无法得到保证,因此现有网络接入认证存在安全隐患。而本发明中,根据对用户终端的可信凭证的验证能够确认客户终端是否安全可信,提高了网络接入认证的安全性。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明提供的网络接入认证系统的架构图;
图2是本发明实施例1提供的网络接入认证的流程示意图;
图3是本发明实施例2提供的客户终端的结构框图;
图4是本发明实施例2提供的接入设备的结构框图;
图5是本发明实施例2提供的认证设备的结构框图;
图6是本发明实施例3提供的客户终端的结构框图;
图7是本发明实施例3提供的接入设备的结构框图;
图8是本发明实施例3提供的认证设备的结构框图。
具体实施方式
本发明的原理在于:在认证过程中,不仅对终端发送的认证信息进行验证,同时对客户终端的可信凭证进行验证,能够确认客户终端是否安全可信,避免由于认证过程中客户终端被攻击导致的网络安全问题,提高了网络接入认证的安全性。
如图1所示,是现有网络接入系统的架构图,包括客户终端、接入设备以及认证设备。网络为这三者之间提供通信链路的介质,可以是有线、无线通信链路或者光纤电缆等。
其中,客户终端可以是手机、pad(平板电脑)等。在需要接入网络时,向接入设备发送认证信息。这里所说的认证信息可以是,认证协议需要的口令或密钥。
接入设备:是负责接入网络的设备,可以是交换机、路由器等本地无线网络的服务终端。举例来说,接入设备主要的作用是:在认证过程中,接收客户终端发送的认证信息。与认证设备通信,以进行RADIUS(Remote Authentication Dial In User Service,远程用户拨号认证服务)报文交互流程,以对认证信息进行验证,完成用户认证。在认证通过后,允许用户访问互联网。认证设备可以是安全证书管理服务器。
现有认证流程包括:客户终端向接入设备发送接入请求,接入设备接收所述接入请求并向认证设备请求客户终端的认证证书。认证设备要求客户终端提供自身的认证证书,客户终端将认证证书与认证信息发送给接入设备,接入设备将认证证书与认证信息转发给认证设备。认证设备判断接收到的认证信息是否正确,若正确,则允许客户终端接入网络。否则,禁止客户终端接入。
可见,现有网络接入认证只以客户终端发送的认证信息来判断客户终端是否可以接入受保护的网络,无法保证客户终端本身是否是安全可信的。若客户终端已经受到了攻击,但仍可以提供接入网络的密钥,那么可能会导致接入网络被攻击,从而引起严重的安全问题。
实施例1:
本发明实施例提供一种网络接入认证方法,所述网络接入系统包括用户终端、接入设备以及认证设备。如图2所示,所述网络接入认证方法包括以下步骤:
101、客户终端向接入设备发送接入请求。
当客户终端欲接入网络时,向接入设备发送接入请求。
102、接入设备接收客户终端发送的接入请求,并将该接入请求转发给认证设备。
103、认证设备接收该接入请求,并向客户终端发送证书请求信息。
其中,所述证书请求信息指示客户终端提供自身的认证证书。
104、客户终端将自身的认证证书和认证信息以及可信策略进行加密生成第一密文。
其中,所述认证信息即客户终端确定的待接入网络的用户名和接入密码。示例的,网络“123456”,接入密码“000666”。所述客户终端的可信凭证可以是所述客户终端的网络可信接入策略。客户终端的认证证书是证明客户终端安全的证书。
105、客户终端将第一密文发送给接入设备。
106、接入设备接收第一密文,解析第一密文获得客户终端的认证信息以及客户终端的可信策略,用认证设备的公钥对客户终端的认证信息以及客户终端的可信策略加密生成第二密文。
其中,所述认证设备的一对公私密钥用于实现本发明的加密。所谓一对公私密钥即A对要发给B的明文用B的公钥进行加密获得密文,并将密文发送给B,B用私钥对密文解密获得明文。在此,接入设备用认证设备的公钥对认证信息、所述客户终端的可信凭证进行加密,认证设备可以用自身的私钥对密文解密获得认证信息、所述客户终端的可信凭证。
107、接入设备将第二密文发送给客户终端。
108、客户终端接收第二密文并将第二密文转发给认证设备。
109、认证设备接收第二密文,并用自身的公钥解密第二密文,获得客户终端的认证信息以及可信凭证。
可以预先提供一对公私密钥给接入设备和认证设备,规定接入设备用这一对公私密钥中的公钥对明文加密获得密文,规定认证设备用这一对公私密钥中的密钥对密文解密获得明文。
110、认证设备判断获得的认证信息是否正确以及获得的客户终端的可信凭证与预先存储的客户终端的可信凭证是否相同。
所谓判断认证信息是否正确,即判断客户终端确定的待接入网络的用户名和密码是否正确。示例的,当用户终端选择接入的网络是“123456”且接入密码为“000666”是确定认证信息是正确的。
111、若认证信息正确且获得的客户终端的可信凭证与预先存储的客户终端的可信凭证相同,则允许客户终端接入待接入网络。
认证设备之所以判断所述客户终端的可信凭证与所述认证设备预先存储的所述客户终端的可信凭证是否相同,是为了确保客户终端的安全性。当认证过程中客户终端受到攻击时,该客户终端的发送给接入设备的第二密文就可能被篡改,其中包括的客户终端的可信凭证同时可能被篡改。这样接入设备对第二密文进行解析获得的将会是篡改后的该客户终端的可信凭证。客户终端对该篡改后的可信凭证以及认证信息进行加密并发送给认证设备,认证设备对接收到的密文进行解密获得认证信息以及篡改后的可信凭证,再与预先存储的客户终端的可信凭证进行对比,若不同,则表示客户终端并不是安全可信的。
具体实现中,允许所述客户终端接入待接入网络并给所述客户终端规划相应的网关IP地址,该网关地址对应的接入网关允许所述客户终端在规划的IP地址段接入网络。
需要说明的是,客户移动终端规划得到的相应的网关IP地址分为MAC(MediumAccess Control,介质访问控制层)高级地址和普通IP地址。其中,高级MAC地址为能够实现管理本地无线网络的服务终端的地址段,且只有当客户终端申请的MAC地址信息与接入设备的地址列表信息相比较后,客户终端申请的MAC地址信息属于接入设备的地址列表信息时,才给予客户终端MAC高级地址。
进一步,作为优选,本发明还包括防火墙实时监控步骤,在客户终端正确接入之后,所述防火墙实时监控步骤即时自动开启,并直到客户终端完全断开接入网络之后自动关闭。
112、若认证信息正确且获得的客户终端的可信凭证与预先存储的客户终端的可信凭证不相同,则禁止客户终端接入待接入网络。
依照上文对步骤110的详细阐述,当所述客户终端在认证过程中被攻击,所述客户终端的可信凭证与所述认证设备预先存储的所述客户终端的可信凭证则不相同,因此禁止所述客户终端接入所述待接入网络。
在本发明的优选实施例中,如果接入设备收到客户终端认证失败的消息,则发送消息询问客户终端是否愿意重定向到可信补救网络进行可信补救;如果客户终端同意接入可信补救网络,则开启重新连接可信补救网络服务器,否则禁止其与接入设备的连接;客户终端开启重新连接可信补救网络服务器后,转步骤101中,重新进行网络安全接入认证。
进一步,客户终端正确接入所述接入设备后,还包括快速签名的离线计费过程,其具体为:客户终端将计算签名信息,交给接入设备进行验证,然后提交给无线网络作为计费信息。
可选的,若认证服务器判断所述认证信息错误,则禁止所述客户终端接入所述待接入网络。
本发明提供一种网络接入认证方法,接入设备用认证设备的公钥对所述客户终端的可信凭证和所述认证信息进行加密生成第一密文;认证设备用自身的私钥解密第一密文,获得客户终端的认证信息以及客户终端的可信凭证;若认证信息正确且客户终端的可信凭证与认证设备预先存储的该客户终端的可信凭证相同,则允许该客户终端接入待接入网络;若认证信息正确但是客户终端的可信凭证与认证设备预先存储的该客户终端的可信凭证不相同,则禁止客户终端接入所述待接入网络。现有技术仅依据客户终端发送的认证信息决定是否允许其接入网络,客户终端本身是否是安全可信无法得到保证,因此现有网络接入认证存在安全隐患。而本发明中,根据对用户终端的可信凭证的验证能够确认客户终端是否安全可信,提高了网络接入认证的安全性。
实施例2:
本发明实施例提供一种客户终端20,如图3所示,所述客户终端20包括:加密单元201、发送单元202。
加密单元201,用于对所述客户终端的认证证书和认证信息以及所述客户终端的可信凭证进行加密,生成第一密文。
发送单元202,用于向接入设备发送所述第一密文,以便所述接入设备接收、解密所述第一密文获取所述客户终端的可信凭证和认证信息。
另外,所述客户终端还包括接收单元。
所述接收单元用于,接收所述接入设备发送的第二密文,所述第二密文是所述客户终端用所述认证设备的公钥对所述客户终端的可信凭证和所述认证信息进行加密生成的。
所述发送单元202还用于,向所述认证设备发送所述第二密文。
所述发送单元202还用于,在所述加密单元对所述客户终端的认证证书和认证信息以及所述客户终端的可信凭证进行加密,生成第一密文之前,向所述接入设备发送接入请求,以便所述接入设备根据所述接入请求向所述认证设备请求所述客户终端的认证证书;所述接入请求指示所述用户终端欲接入待接入网络;
所述接收单元还用于,接收所述认证设备发送的证书请求消息;所述证书请求消息指示所述客户终端提供自身的认证证书。
所述接收单元还用于,接收所述认证设备下发的所述客户终端的可信凭证。
需要说明的是,本实施例中的接收单元可以为客户终端的的接收机,发送单元可以为客户终端的发射机;另外,也可以将接收单元和发送单元集成在一起构成客户终端的收发机。加密单元可以为单独设立的处理器,也可以集成在客户终端的某一个处理器中实现,此外,也可以以程序代码的形式存储于客户终端的存储器中,由客户终端的某一个处理器调用并执行以上加密单元的功能。这里所述的处理器可以是一个中央处理器(CentralProcessing Unit,CPU),或是特定集成电路(Application Specific IntegratedCircuit,ASIC)。
本发明实施例提供的客户终端对自己的可信凭证进行加密发送给接入设备,以便认证设备比较客户终端发送的可信凭证以及自身存储的客户终端的可信凭证进行对比,若二者不相同,则可确定认证过程中客户终端受到攻击,进而禁止客户终端接入网络,提高网络接入认证的安全性。
本发明实施例一种接入设备30,如图4所示,所述接入设备包括:接收单元301、解析单元302、加密单元303以及发送单元304。
接收单元301,用于接收第一密文,所述第一密文是客户终端对所述客户终端的认证证书和认证信息以及所述客户终端的可信凭证进行加密生成的。
解析单元302,用于解析所述第二密文获得所述客户端的认证信息以及所述客户终端的可信凭证。
加密单元303,用于用认证设备的公钥对所述客户终端的可信凭证和所述认证信息进行加密生成第二密文。
发送单元304,用于将所述第二密文发送给所述客户终端,以便所述客户终端向所述认证设备转发所述第二密文。
所述接收单元301还用于,接收第一密文之前,接收所述客户终端发送的接入请求,根据所述接入请求向所述认证设备请求所述客户终端的认证证书。
需要说明的是,本实施例中的接收单元可以为接入设备的的接收机,发送单元可以为接入设备的发射机;另外,也可以将接收单元和发送单元集成在一起构成接入设备的收发机。加密单元、解析单元可以为单独设立的处理器,也可以集成在接入设备的某一个处理器中实现,此外,也可以以程序代码的形式存储于接入设备的存储器中,由接入设备的某一个处理器调用并执行以上加密单元、解析单元的功能。这里所述的处理器可以是一个中央处理器,或是特定集成电路。
本发明实施例提供的接入设备对客户终端的可信凭证进行加密发送给认证设备,以便认证设备比较客户终端发送的可信凭证以及自身存储的客户终端的可信凭证进行对比,若二者不相同,则可确定认证过程中客户终端受到攻击,进而禁止客户终端接入网络,提高网络接入认证的安全性。
本发明实施例提供一种认证设备40,如图5所示,所述认证设备40包括:接收单元401、解密单元402、判断单元403以及权限设置单元404。
接收单元401,用于接收通过所述客户终端转发的第二密文;所述第二密文是所述客户终端用所述认证设备的公钥对所述客户终端的可信凭证和所述认证信息进行加密生成的。
解密单元402,用于用所述认证设备的私钥解密所述第二密文,获得所述客户终端的认证信息、所述客户终端的可信凭证。
判断单元403,用于判断所述认证信息是否正确,以及所述客户终端的可信凭证与所述认证设备预先存储的所述客户终端的可信凭证是否相同。
权限设置单元404,若所述判断单元判断所述认证信息正确且所述客户终端的可信凭证与所述认证设备预先存储的所述客户终端的可信凭证相同,则允许所述客户终端接入待接入网络。
所述权限设置单元404还用于,若所述判断单元判断所述认证信息正确且所述客户终端的可信凭证与所述认证设备预先存储的所述客户终端的可信凭证不相同,则禁止所述客户终端接入所述待接入网络。
另外,所述认证设备40还包括获取单元、存储单元。
所述获取单元用于,获取所述客户终端的可信凭证。
所述存储单元用于,存储所述客户终端的可信凭证。
需要说明的是,本实施例中的接收单元可以为接入设备的的接收机,发送单元可以为接入设备的发射机;另外,也可以将接收单元和发送单元集成在一起构成接入设备的收发机。解密单元402、判断单元403以及权限设置单元404可以为单独设立的处理器,也可以集成在接入设备的某一个处理器中实现,此外,也可以以程序代码的形式存储于接入设备的存储器中,由接入设备的某一个处理器调用并执行以上解密单元402、判断单元403以及权限设置单元404的功能。这里所述的处理器可以是一个中央处理器,或是特定集成电路。
本发明实施例提供的认证设备比较客户终端发送的可信凭证以及自身存储的客户终端的可信凭证进行对比,若二者不相同,则可确定认证过程中客户终端受到攻击,进而禁止客户终端接入网络,提高网络接入认证的安全性。
实施例3:
本发明实施例还提供一种客户终端50,如图6所示所述客户终端50包括处理器501、系统总线502和收发器503和存储器504。
其中,处理器501可以为中央处理器(英文:central processing unit,缩写:CPU)。
存储器504,用于存储程序代码,并将该程序代码传输给该处理器501,处理器501根据程序代码执行下述指令。存储器504可以包括易失性存储器(英文:volatile memory),例如随机存取存储器(英文:random-access memory,缩写:RAM);存储器504也可以包括非易失性存储器(英文:non-volatile memory),例如只读存储器(英文:read-only memory,缩写:ROM),快闪存储器(英文:flash memory),硬盘(英文:hard disk drive,缩写:HDD)或固态硬盘(英文:solid-state drive,缩写:SSD)。存储器504还可以包括上述种类的存储器的组合。处理器501、存储器504和收发器503之间通过系统总线502连接并完成相互间的通信。
收发器503可以由光收发器,电收发器,无线收发器或其任意组合实现。例如,光收发器可以是小封装可插拔(英文:small form-factor pluggable transceiver,缩写:SFP)收发器(英文:transceiver),增强小封装可插拔(英文:enhanced small form-factorpluggable,缩写:SFP+)收发器或10吉比特小封装可插拔(英文:10Gigabit small form-factor pluggable,缩写:XFP)收发器。电收发器可以是以太网(英文:Ethernet)网络接口控制器(英文:network interface controller,缩写:NIC)。无线收发器可以是无线网络接口控制器(英文:wireless network interface controller,缩写:WNIC)。
处理器501,用于对所述客户终端的认证证书和认证信息以及所述客户终端的可信凭证进行加密,生成第一密文。
收发器503,用于向接入设备发送所述第一密文,以便所述接入设备接收、解密所述第一密文获取所述客户终端的可信凭证和认证信息。
所述收发器503用于,接收所述接入设备发送的第二密文,所述第二密文是所述客户终端用所述认证设备的公钥对所述客户终端的可信凭证和所述认证信息进行加密生成的。
所述收发器503还用于,向所述认证设备发送所述第二密文。
所述收发器503还用于,在所述加密单元对所述客户终端的认证证书和认证信息以及所述客户终端的可信凭证进行加密,生成第一密文之前,向所述接入设备发送接入请求,以便所述接入设备根据所述接入请求向所述认证设备请求所述客户终端的认证证书;所述接入请求指示所述用户终端欲接入待接入网络;
所述收发器503还用于,接收所述认证设备发送的证书请求消息;所述证书请求消息指示所述客户终端提供自身的认证证书。
所述收发器503还用于,接收所述认证设备下发的所述客户终端的可信凭证。
本发明实施例提供的客户终端对自己的可信凭证进行加密发送给接入设备,以便认证设备比较客户终端发送的可信凭证以及自身存储的客户终端的可信凭证进行对比,若二者不相同,则可确定认证过程中客户终端受到攻击,进而禁止客户终端接入网络,提高网络接入认证的安全性。
本发明实施例还提供一种接入设备60,如图7所示,所述接入设备60包括:处理器601、系统总线602和收发器603和存储器604。
收发器603,用于接收第一密文,所述第一密文是客户终端对所述客户终端的认证证书和认证信息以及所述客户终端的可信凭证进行加密生成的。
处理器601,用于解析所述第二密文获得所述客户端的认证信息以及所述客户终端的可信凭证。用认证设备的公钥对所述客户终端的可信凭证和所述认证信息进行加密生成第二密文。
收发器603,用于将所述第二密文发送给所述客户终端,以便所述客户终端向所述认证设备转发所述第二密文。
所述收发器603还用于,接收第一密文之前,接收所述客户终端发送的接入请求,根据所述接入请求向所述认证设备请求所述客户终端的认证证书。
本发明实施例提供的接入设备对客户终端的可信凭证进行加密发送给认证设备,以便认证设备比较客户终端发送的可信凭证以及自身存储的客户终端的可信凭证进行对比,若二者不相同,则可确定认证过程中客户终端受到攻击,进而禁止客户终端接入网络,提高网络接入认证的安全性。
本发明实施例提供一种认证设备70,如图8所示,所述认证设备70包括:处理器701、系统总线702和收发器703和存储器704。
收发器703,用于接收通过所述客户终端转发的第二密文;所述第二密文是所述客户终端用所述认证设备的公钥对所述客户终端的可信凭证和所述认证信息进行加密生成的。
处理器701,用于用所述认证设备的私钥解密所述第二密文,获得所述客户终端的认证信息、所述客户终端的可信凭证。判断所述认证信息是否正确,以及所述客户终端的可信凭证与所述认证设备预先存储的所述客户终端的可信凭证是否相同。
处理器701还用于,若所述判断单元判断所述认证信息正确且所述客户终端的可信凭证与所述认证设备预先存储的所述客户终端的可信凭证相同,则允许所述客户终端接入待接入网络。若所述判断单元判断所述认证信息正确且所述客户终端的可信凭证与所述认证设备预先存储的所述客户终端的可信凭证不相同,则禁止所述客户终端接入所述待接入网络。
所述处理器701还用于,获取所述客户终端的可信凭证。存储所述客户终端的可信凭证。
本发明实施例提供的认证设备比较客户终端发送的可信凭证以及自身存储的客户终端的可信凭证进行对比,若二者不相同,则可确定认证过程中客户终端受到攻击,进而禁止客户终端接入网络,提高网络接入认证的安全性。
Claims (14)
1.一种网络接入认证方法,其特征在于,包括:
客户终端对所述客户终端的认证证书和认证信息以及所述客户终端的可信凭证进行加密,生成第一密文;
所述客户终端向接入设备发送所述第一密文,以便所述接入设备接收、解密所述第一密文获取所述客户终端的可信凭证和认证信息;
所述客户终端接收所述接入设备发送的第二密文,所述第二密文是所述接入设备用认证设备的公钥对所述客户终端的可信凭证和所述认证信息进行加密生成的;
所述客户终端向所述认证设备发送所述第二密文,以便用所述认证设备根据所述第二密文判断是否允许所述客户终端接入待接入网络。
2.根据权利要求1所述的方法,其特征在于,所述客户终端对所述客户终端的认证证书和认证信息以及所述客户终端的可信凭证进行加密,生成第一密文之前,所述方法还包括:
所述客户终端向所述接入设备发送接入请求,以便所述接入设备根据所述接入请求向所述认证设备请求所述客户终端的认证证书;所述接入请求指示所述客户终端欲接入待接入网络;
所述客户终端接收所述认证设备发送的证书请求消息;所述证书请求消息指示所述客户终端提供自身的认证证书。
3.根据权利要求1或2所述的方法,其特征在于,所述方法还包括:
所述客户终端接收所述认证设备下发的所述客户终端的可信凭证。
4.一种网络接入认证方法,其特征在于,包括:
接入设备接收第一密文,所述第一密文是客户终端对所述客户终端的认证证书和认证信息以及所述客户终端的可信凭证进行加密生成的;
所述接入设备解析所述第一密文获得所述客户终端的认证信息以及所述客户终端的可信凭证;
所述接入设备用认证设备的公钥对所述客户终端的可信凭证和所述认证信息进行加密生成第二密文;
所述接入设备将所述第二密文发送给所述客户终端,以便所述客户终端向所述认证设备转发所述第二密文使得所述认证设备根据所述第二密文判断是否允许所述客户终端接入待接入网络。
5.根据权利要求4所述的方法,其特征在于,所述接入设备接收第一密文之前,所述方法还包括:
所述接入设备接收所述客户终端发送的接入请求,根据所述接入请求向所述认证设备请求所述客户终端的认证证书。
6.一种网络接入认证方法,其特征在于,包括:
认证设备接收通过客户终端转发的第二密文;所述第二密文是接入设备用所述认证设备的公钥对所述客户终端的可信凭证和认证信息进行加密生成的;
所述认证设备用所述认证设备的私钥解密所述第二密文,获得所述客户终端的认证信息、所述客户终端的可信凭证;
所述认证设备判断所述认证信息是否正确,以及所述客户终端的可信凭证与所述认证设备预先存储的所述客户终端的可信凭证是否相同;
若所述认证信息正确且所述客户终端的可信凭证与所述认证设备预先存储的所述客户终端的可信凭证相同,则允许所述客户终端接入待接入网络;
若所述认证信息正确且所述客户终端的可信凭证与所述认证设备预先存储的所述客户终端的可信凭证不相同,则禁止所述客户终端接入所述待接入网络。
7.根据权利要求6所述的方法,其特征在于,所述认证设备接收通过所述客户终端转发的第二密文之前,所述方法还包括:
获取所述客户终端的可信凭证,存储所述客户终端的可信凭证。
8.一种客户终端,其特征在于,包括:
加密单元,用于对所述客户终端的认证证书和认证信息以及所述客户终端的可信凭证进行加密,生成第一密文;
发送单元,用于向接入设备发送所述第一密文,以便所述接入设备接收、解密所述第一密文获取所述客户终端的可信凭证和认证信息;
还包括接收单元,
所述接收单元用于,接收所述接入设备发送的第二密文,所述第二密文是所述接入设备用认证设备的公钥对所述客户终端的可信凭证和所述认证信息进行加密生成的;
所述发送单元还用于,向所述认证设备发送所述第二密文,以便所述认证设备根据所述第二密文判断是否允许所述客户终端接入待接入网络。
9.根据权利要求8所述的客户终端,其特征在于,
所述发送单元还用于,在所述加密单元对所述客户终端的认证证书和认证信息以及所述客户终端的可信凭证进行加密,生成第一密文之前,向所述接入设备发送接入请求,以便所述接入设备根据所述接入请求向所述认证设备请求所述客户终端的认证证书;所述接入请求指示所述客户终端欲接入待接入网络;
所述接收单元还用于,接收所述认证设备发送的证书请求消息;所述证书请求消息指示所述客户终端提供自身的认证证书。
10.根据权利要求8或9所述的客户终端,其特征在于,
所述接收单元还用于,接收所述认证设备下发的所述客户终端的可信凭证。
11.一种接入设备,其特征在于,包括:
接收单元,用于接收第一密文,所述第一密文是客户终端对所述客户终端的认证证书和认证信息以及所述客户终端的可信凭证进行加密生成的;
解析单元,用于解析所述第一密文获得所述客户终端的认证信息以及所述客户终端的可信凭证;
加密单元,用于用认证设备的公钥对所述客户终端的可信凭证和所述认证信息进行加密生成第二密文;
发送单元,用于将所述第二密文发送给所述客户终端,以便所述客户终端向所述认证设备转发所述第二密文使得所述认证设备根据所述第二密文判断是否允许所述客户终端接入待接入网络。
12.根据权利要求11所述的接入设备,其特征在于,
所述接收单元还用于,接收第一密文之前,接收所述客户终端发送的接入请求,根据所述接入请求向所述认证设备请求所述客户终端的认证证书。
13.一种认证设备,其特征在于,包括:
接收单元,用于接收通过客户终端转发的第二密文;所述第二密文是接入设备用所述认证设备的公钥对所述客户终端的可信凭证和认证信息进行加密生成的;
解密单元,用于用所述认证设备的私钥解密所述第二密文,获得所述客户终端的认证信息、所述客户终端的可信凭证;
判断单元,用于判断所述认证信息是否正确,以及所述客户终端的可信凭证与所述认证设备预先存储的所述客户终端的可信凭证是否相同;
权限设置单元,若所述判断单元判断所述认证信息正确且所述客户终端的可信凭证与所述认证设备预先存储的所述客户终端的可信凭证相同,则允许所述客户终端接入待接入网络;
所述权限设置单元还用于,若所述判断单元判断所述认证信息正确且所述客户终端的可信凭证与所述认证设备预先存储的所述客户终端的可信凭证不相同,则禁止所述客户终端接入所述待接入网络。
14.根据权利要求13所述的认证设备,其特征在于,还包括获取单元、存储单元,
所述获取单元用于,获取所述客户终端的可信凭证;
所述存储单元用于,存储所述客户终端的可信凭证。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510857524.7A CN105262597B (zh) | 2015-11-30 | 2015-11-30 | 网络接入认证方法、客户终端、接入设备及认证设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510857524.7A CN105262597B (zh) | 2015-11-30 | 2015-11-30 | 网络接入认证方法、客户终端、接入设备及认证设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN105262597A CN105262597A (zh) | 2016-01-20 |
| CN105262597B true CN105262597B (zh) | 2018-10-19 |
Family
ID=55102118
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510857524.7A Active CN105262597B (zh) | 2015-11-30 | 2015-11-30 | 网络接入认证方法、客户终端、接入设备及认证设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN105262597B (zh) |
Families Citing this family (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105530687B (zh) * | 2016-02-04 | 2019-04-26 | 中国联合网络通信集团有限公司 | 一种无线网络接入控制方法及接入设备 |
| CN105933125B (zh) * | 2016-07-07 | 2019-08-09 | 北京邮电大学 | 一种软件定义网络中的南向安全认证方法及装置 |
| CN107872445B (zh) * | 2016-09-28 | 2021-01-29 | 华为技术有限公司 | 接入认证方法、设备和认证系统 |
| CN108683508B (zh) * | 2018-05-11 | 2021-02-09 | 越亮传奇科技股份有限公司 | 基于设备指纹的移动终端信息认证方法 |
| CN108924122B (zh) * | 2018-06-28 | 2021-01-08 | 无锡宏创盛安科技有限公司 | 一种网络敌我识别方法及系统 |
| CN109617902B (zh) * | 2018-12-29 | 2022-03-18 | 东莞见达信息技术有限公司 | 设备认证方法、与网关建立连接方法以及相关设备和系统 |
| CN110602130B (zh) * | 2019-09-24 | 2021-10-08 | 中盈优创资讯科技有限公司 | 终端认证系统及方法、设备端、认证服务器 |
| US11234132B1 (en) * | 2020-07-23 | 2022-01-25 | Hewlett Packard Enterprise Development Lp | Autonomous device authentication for private network access |
| CN113055886B (zh) * | 2021-03-15 | 2023-02-24 | 中国联合网络通信集团有限公司 | 边缘计算网络中的终端认证方法、系统、服务器及介质 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101217805A (zh) * | 2008-01-21 | 2008-07-09 | 中兴通讯股份有限公司 | 一种无线局域网的接入控制方法 |
| CN104580261A (zh) * | 2015-02-10 | 2015-04-29 | 成都英力拓信息技术有限公司 | 一种适用于物联网的安全方法 |
| CN104796383A (zh) * | 2014-01-20 | 2015-07-22 | 杭州华三通信技术有限公司 | 一种终端信息防篡改的方法和装置 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP4304362B2 (ja) * | 2002-06-25 | 2009-07-29 | 日本電気株式会社 | Pki対応の証明書確認処理方法及びその装置、並びにpki対応の証明書確認処理プログラム |
-
2015
- 2015-11-30 CN CN201510857524.7A patent/CN105262597B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101217805A (zh) * | 2008-01-21 | 2008-07-09 | 中兴通讯股份有限公司 | 一种无线局域网的接入控制方法 |
| CN104796383A (zh) * | 2014-01-20 | 2015-07-22 | 杭州华三通信技术有限公司 | 一种终端信息防篡改的方法和装置 |
| CN104580261A (zh) * | 2015-02-10 | 2015-04-29 | 成都英力拓信息技术有限公司 | 一种适用于物联网的安全方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN105262597A (zh) | 2016-01-20 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN105262597B (zh) | 网络接入认证方法、客户终端、接入设备及认证设备 | |
| CN106034104B (zh) | 用于网络应用访问的验证方法、装置和系统 | |
| US11736304B2 (en) | Secure authentication of remote equipment | |
| CN102299930B (zh) | 一种保障客户端软件安全的方法 | |
| CN102217270B (zh) | 使用认证令牌来授权防火墙打开针孔 | |
| US8417949B2 (en) | Total exchange session security | |
| CN108432180A (zh) | 用于基于pki的认证的方法和系统 | |
| CN108769007B (zh) | 网关安全认证方法、服务器及网关 | |
| US9344417B2 (en) | Authentication method and system | |
| CN106169952B (zh) | 一种英特网密钥管理协议重协商的认证方法及装置 | |
| JP2005236939A (ja) | ピアツーピア型匿名プロキシにおける安全性の高い匿名通信路の検証及び構築する方法 | |
| CN106027473B (zh) | 身份证读卡终端与云认证平台数据传输方法和系统 | |
| US9225703B2 (en) | Protecting end point devices | |
| CN109831311A (zh) | 一种服务器验证方法、系统、用户终端及可读存储介质 | |
| CN109714360A (zh) | 一种智能网关及网关通信处理方法 | |
| CN103780389A (zh) | 基于端口认证的方法及网络设备 | |
| CN105530687B (zh) | 一种无线网络接入控制方法及接入设备 | |
| CN109309648A (zh) | 一种信息传输的方法和设备 | |
| US20210409385A1 (en) | Method and apparatus for authenticating a device or user | |
| KR101451163B1 (ko) | 무선 네트워크 접속 인증 방법 및 그 시스템 | |
| CN114301967A (zh) | 窄带物联网控制方法、装置及设备 | |
| KR102132490B1 (ko) | 이동형 장치들의 소프트웨어 정의 네트워크 기반 신뢰 네트워크 구성을 위한 방법 및 장치 | |
| Hsu et al. | WebCallerID: Leveraging cellular networks for Web authentication | |
| CN105721403B (zh) | 用于提供无线网络资源的方法、设备及系统 | |
| CN116506221B (zh) | 工业交换机准入的控制方法、装置、计算机设备及介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |