CN105554747A - 无线网络连接方法、装置及系统 - Google Patents
无线网络连接方法、装置及系统 Download PDFInfo
- Publication number
- CN105554747A CN105554747A CN201610067787.2A CN201610067787A CN105554747A CN 105554747 A CN105554747 A CN 105554747A CN 201610067787 A CN201610067787 A CN 201610067787A CN 105554747 A CN105554747 A CN 105554747A
- Authority
- CN
- China
- Prior art keywords
- access point
- wap
- wireless access
- certificate server
- user terminal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 230000000875 corresponding Effects 0.000 claims abstract description 316
- 230000005540 biological transmission Effects 0.000 claims description 33
- 238000004891 communication Methods 0.000 claims description 7
- 238000004519 manufacturing process Methods 0.000 claims description 6
- 238000000034 method Methods 0.000 description 20
- 238000010586 diagram Methods 0.000 description 13
- 230000000694 effects Effects 0.000 description 10
- 238000000060 site-specific infrared dichroism spectroscopy Methods 0.000 description 8
- 239000000203 mixture Substances 0.000 description 4
- 108020004705 Codon Proteins 0.000 description 2
- 238000007906 compression Methods 0.000 description 2
- 238000010408 sweeping Methods 0.000 description 2
- 210000003127 Knee Anatomy 0.000 description 1
- 230000002457 bidirectional Effects 0.000 description 1
- 238000006243 chemical reaction Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000008929 regeneration Effects 0.000 description 1
- 238000011069 regeneration method Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for supporting authentication of entities communicating through a packet data network
- H04L63/083—Network architectures or network communication protocols for network security for supporting authentication of entities communicating through a packet data network using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for supporting authentication of entities communicating through a packet data network
- H04L63/0876—Network architectures or network communication protocols for network security for supporting authentication of entities communicating through a packet data network based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W76/00—Connection management
- H04W76/10—Connection setup
- H04W76/12—Setup of transport tunnels
Abstract
本发明实施例公开了一种无线网络连接方法、装置及系统,属于网络安全领域。本发明通过向无线接入点发送第一接入请求;向认证服务器发送第二接入请求;验证无线接入点是否属于可信任无线接入点,属于可信任无线接入点时与用户终端进行第一身份认证,与用户终端协商生成主密钥;向无线接入点发送与用户名对应的主密钥;根据主密钥与用户终端协商建立加密无线网络连接;解决了用户终端向假冒的公众Wi-Fi所传输的数据以及用户终端内部的数据均会受到安全威胁的问题;达到了只有可信任无线接入点能获取与用户名对应的主密钥,从而与用户终端根据各自持有的主密钥协商建立加密无线网络连接,提高了用户终端传输的数据以及用户终端内部数据安全性的效果。
Description
技术领域
本发明实施例涉及网络安全领域,特别涉及一种无线网络连接方法、装置及系统。
背景技术
随着用户终端的广泛使用,无线网络成为用户终端接入互联网的一种重要形式。常见的无线网络是Wi-Fi(Wireless-Fidelity,无线保真)网络。目前的大部分商业场所均提供有公众Wi-Fi,供用户免费使用。
现有技术中,用户终端接入公众Wi-Fi的方式主要包括:无密码接入、验证码接入和单一密码接入三种方式。其中:无密码接入是指用户终端在获取到公众Wi-Fi的SSID(ServiceSetIdentifier,服务集标识)后,向无线接入点发送接入请求,无线接入点无需验证,直接允许用户终端接入该公众Wi-Fi;验证码接入是指用户终端在接入公众Wi-Fi时需要获取公众Wi-Fi的SSID和验证码,通过将验证码和SSID向无线接入点发送接入请求,无线接入点对验证码和SSID进行验证,在验证成功后,允许用户终端接入该公众Wi-Fi,验证码通常具有有效期,比如60s;单一密码接入是指用户终端在接入公众Wi-Fi时,预先获取该公众Wi-Fi的SSID和连接密码,通过将该SSID和连接密码向无线接入点发送接入请求;无线接入点对SSID和连接密码进行验证;在无线接入点验证成功后,允许用户终端接入该公众Wi-Fi,连接密码通常是长期有效的。
在实现本发明实施例的过程中,发明人发现现有技术至少存在以下问题:由于黑客可以设置假冒的公众Wi-Fi,该假冒的公众Wi-Fi与真实的公众Wi-Fi具有完全相同的硬件信息,比如SSID。当用户使用上述三种接入方式中的任意一种方式将用户终端接入假冒的公众Wi-Fi后,用户终端向假冒的公众Wi-Fi所传输的数据以及用户终端内部的数据均会受到安全威胁。
发明内容
为了解决用户使用现有的接入方法使得用户终端接入假冒的公众Wi-Fi后,导致用户终端向假冒的公众Wi-Fi所传输的数据以及用户终端内部的数据均会受到安全威胁的问题,本发明实施例提供了一种无线网络连接方法、装置及系统。所述技术方案如下:
根据本发明实施例的第一方面,提供了一种无线网络连接方法,所述方法包括:
用户终端向无线接入点发送第一接入请求,所述第一接入请求携带有所述用户终端的用户名;
所述无线接入点向所述认证服务器发送第二接入请求,所述第二接入请求携带有所述用户名;
所述认证服务器在接收到所述第二接入请求后,验证所述无线接入点是否属于可信任无线接入点,在所述无线接入点属于所述可信任无线接入点时与所述用户终端进行第一身份认证;
在所述第一身份认证成功时,所述认证服务器与所述用户终端协商生成主密钥,并向所述用户终端发送所述主密钥;
所述认证服务器向所述无线接入点发送与所述用户名对应的所述主密钥;
所述无线接入点与所述用户终端根据各自持有的所述主密钥协商建立加密无线网络连接。
根据本发明实施例的第二方面,提供了一种无线网络连接方法,所述方法包括:
接收用户终端发送的第一接入请求,所述第一接入请求携带有所述用户终端的用户名;
向所述认证服务器发送第二接入请求,所述第二接入请求携带有所述用户名;
接收所述认证服务器发送的与所述用户名对应的主密钥,所述主密钥是所述认证服务器在接收到所述第二接入请求后,验证无线接入点属于可信任无线接入点时,与用户终端进行第一身份认证成功后协商生成的密钥;
与所述用户终端根据各自持有的所述主密钥协商建立加密无线网络连接。
根据本发明实施例的第三方面,提供了一种无线网络连接方法,所述方法包括:
接收无线接入点发送的第二接入请求,所述第二接入请求携带有所述用户名;
在接收到所述第二接入请求后,验证所述无线接入点是否属于可信任无线接入点;
在所述无线接入点属于所述可信任无线接入点时与用户终端进行第一身份认证;
在所述第一身份认证成功时,与所述用户终端协商生成主密钥,并向所述用户终端发送所述主密钥;
向所述无线接入点发送与所述用户名对应的所述主密钥,以便所述无线接入点与所述用户终端根据各自持有的所述主密钥协商建立加密无线网络连接。
根据本发明实施例的第四方面,提供了一种无线网络连接装置,所述装置包括:
第一接收模块,用于接收用户终端发送的第一接入请求,所述第一接入请求携带有所述用户终端的用户名;
第二接收模块,用于向所述认证服务器发送第二接入请求,所述第二接入请求携带有所述用户名;
密钥接收模块,用于接收所述认证服务器发送的与所述用户名对应的主密钥,所述主密钥是所述认证服务器在接收到所述第二接入请求后,验证无线接入点属于可信任无线接入点时,与用户终端进行第一身份认证成功后协商生成的密钥;
网络连接模块,用于与所述用户终端根据各自持有的所述主密钥协商建立加密无线网络连接。
根据本发明实施例的第五方面,提供了一种无线网络连接装置,所述装置包括:
请求接收模块,用于接收无线接入点发送的第二接入请求,所述第二接入请求携带有所述用户名;
信任验证模块,用于在接收到所述第二接入请求后,验证所述无线接入点是否属于可信任无线接入点;
用户认证模块,用于在所述无线接入点属于所述可信任无线接入点时与用户终端进行第一身份认证;
密钥生成模块,用于在所述第一身份认证成功时,与所述用户终端协商生成主密钥,并向所述用户终端发送所述主密钥;
密钥发送模块,用于向所述无线接入点发送与所述用户名对应的所述主密钥,以便所述无线接入点与用户终端根据各自持有的所述主密钥与用户终端协商建立加密无线网络连接。
根据本发明实施例的第六方面,提供了一种无线网络连接系统,所述系统包括:用户终端、无线接入点和认证服务器;
所述用户终端,用于向无线接入点发送第一接入请求,以及与所述认证服务器进行第一身份认证;
所述无线接入点包括如上述第四方面所述的无线网络连接装置;
所述认证服务器包括如上述第五方面所述的无线网络连接装置。
本发明实施例提供的技术方案带来的有益效果是:
通过用户终端向无线接入点发送第一接入请求;无线接入点向认证服务器发送第二接入请求;认证服务器在接收到第二接入请求后,验证无线接入点是否属于可信任无线接入点,在无线接入点属于可信任无线接入点时与用户终端进行第一身份认证,在第一身份认证成功时,与用户终端协商生成主密钥,并向用户终端发送主密钥;认证服务器向无线接入点发送与用户名对应的主密钥;无线接入点根据主密钥与用户终端协商建立加密无线网络连接;解决了用户使用现有的接入方法使得用户终端接入假冒的公众Wi-Fi时,导致用户终端向假冒的公众Wi-Fi所传输的数据以及用户终端内部的数据均会受到安全威胁的问题;达到了通过认证服务器对无线接入点进行身份认证,只有可信任无线接入点才能获取与用户名对应的主密钥,从而根据主密钥与用户终端建立加密无线网络连接,提高了用户终端传输的数据以及用户终端内部的数据安全性的效果。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明一个示例性实施例提供的无线网络连接系统的结构示意图;
图2是本发明一个实施例提供的无线网络连接方法的流程图;
图3是本发明另一个实施例提供的无线网络连接方法的流程图;
图4是本发明再一个实施例提供的无线网络连接方法的流程图;
图5A是本发明还一个实施例提供的无线网络接入方法的流程图;
图5B是本发明一个实施例提供的认证服务器对无线接入点的身份认证过程的示意图;
图5C是本发明一个实施例提供的用户终端向认证服务器注册用户名和密钥信息过程的示意图;
图5D是本发明一个实施例提供的用户终端接入无线接入点过程的示意图;
图6是本发明一个实施例提供的无线网络连接装置的结构方框图;
图7是本发明另一个实施例提供的无线网络连接装置的结构方框图;
图8是本发明一个实施例提供的无线网络连接装置的结构方框图;
图9是本发明另一个实施例提供的无线网络连接装置的结构方框图;
图10是本发明一个实施例提供的一种无线网络连接系统的结构方框图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明实施方式作进一步地详细描述。
为了便于理解,首先介绍一些本发明实施例所涉及的技术概念。
公钥和私钥
公钥是指公开的密钥,不需要进行保密,解密方可以通过各种渠道获取;而私钥是指仅由加密方自身持有的密钥,需要进行保密。一个公钥对应一个私钥;公钥和私钥共同组成了一种不对称加密方式。不对称加密方式是指用公钥加密的信息只能用对应的私钥进行解密,使用私钥加密的信息也只能用对应的公钥进行解密。也即,加密和解密使用的密钥是不相同的。
比如:假定A要向B发送加密信息,则A首先要获取与B对应的公钥,然后使用与B对应的公钥对需要发送的信息进行加密后,将加密后的信息发送给B,B在接收到A发送的加密的信息后,必须使用与B对应的私钥才可以对加密的信息进行解密,获取加密的信息中的内容。由于与B对应的私钥只有B自己拥有,因此A发送的加密的信息是安全的。
请参考图1,其示出了本发明一个示例性实施例提供的无线网络连接系统的结构示意图。该无线网络连接系统包括:无线接入点120、用户终端140和认证服务器160。
无线接入点120可以是路由器、Wi-Fi热点和无线网关等提供无线网络接入服务的设备的统称。本发明实施例中,以无线接入点120是路由器来举例说明。无线接入点120在与用户终端140建立无线网络连接之前,需要通过认证服务器160对该无线接入点120的身份认证。无线接入点120与认证服务器160之间通过无线网络或有线网络建立连接。本发明实施例对无线接入点120和认证服务器160之间的通信方式不做限定。
用户终端140可以是手机、平板电脑、电子书阅读器、MP3(MovingPictureExpertsGroupAudioLayerIII,动态影像专家压缩标准音频层面3)播放器、MP4(MovingPictureExpertsGroupAudioLayerIV,动态影像专家压缩标准音频层面4)播放器、膝上型便携计算机和台式计算机等等。可选的,用户终端140中安装有具有扫码功能的应用程序,比如,腾讯QQ、微信、QQ浏览器、无线上网程序等。
用户终端140与认证服务器160之间通过无线网络或有线网络建立连接。可选的,用户终端140通过独立通道向认证服务器160注册用户名和密钥信息,其中,独立通道是指不经过无线接入点的通信通道,比如:2G网络、3G网络等。本发明实施例对用户终端140和认证服务器160之间的通信方式不做限定。
认证服务器160中存储有可信任公钥集合、每个用户终端140对应的用户名和密钥信息。认证服务器160可以是一台服务器、多台服务器组成的服务器集群或云计算中心。
请参考图2,其示出了本发明一个实施例提供的无线网络连接方法的流程图。本实施例以该无线网络连接方法应用于图1所示的无线接入点120中来举例说明。该方法包括:
步骤201,接收用户终端发送的第一接入请求,第一接入请求携带有用户终端的用户名;
步骤202,向认证服务器发送第二接入请求,第二接入请求携带有用户名;
步骤203,接收认证服务器发送的与用户名对应的主密钥,主密钥是认证服务器在接收到第二接入请求后,验证无线接入点属于可信任无线接入点时,与用户终端进行第一身份认证成功后协商生成的密钥;
步骤204,与用户终端根据各自持有的主密钥协商建立加密无线网络连接。
综上所述,本实施例提供的无线网络接入方法,接收用户终端发送的第一接入请求;向认证服务器发送第二接入请求;接收认证服务器发送的与用户名对应的主密钥;根据主密钥与用户终端协商建立加密无线网络连接;解决了用户使用现有的接入方法使得用户终端接入假冒的公众Wi-Fi时,导致用户终端向假冒的公众Wi-Fi所传输的数据以及用户终端内部的数据均会受到安全威胁的问题;达到了通过认证服务器对无线接入点进行身份认证,只有可信任无线接入点才能获取与用户名对应的主密钥,从而根据主密钥与用户终端建立加密无线网络连接,提高了用户终端传输的数据以及用户终端内部的数据安全性的效果。
请参考图3,其示出了本发明一个实施例提供的无线网络连接方法的流程图。本实施例以该无线网络连接方法应用于图1所示的认证服务器160中来举例说明。该方法包括:
步骤301,接收无线接入点发送的第二接入请求,第二接入请求携带有用户名。
步骤302,在接收到第二接入请求后,验证无线接入点是否属于可信任无线接入点。
步骤303,在无线接入点属于可信任无线接入点时与用户终端进行第一身份认证。
步骤304,在第一身份认证成功时,与用户终端协商生成主密钥,并向用户终端发送主密钥。
步骤305,向无线接入点发送与用户名对应的主密钥,以便无线接入点与用户终端根据各自持有的主密钥协商建立加密无线网络连接。
综上所述,本实施例提供的无线网络接入方法,通过接收无线接入点发送的第二接入请求;在接收到第二接入请求后,验证无线接入点是否属于可信任无线接入点;在无线接入点属于可信任无线接入点时与用户终端进行第一身份认证;在第一身份认证成功时,与用户终端协商生成主密钥,并向用户终端发送主密钥;向无线接入点发送与用户名对应的主密钥;解决了用户使用现有的接入方法使得用户终端接入假冒的公众Wi-Fi时,导致用户终端向假冒的公众Wi-Fi所传输的数据以及用户终端内部的数据均会受到安全威胁的问题;达到了通过认证服务器对无线接入点进行身份认证,只有可信任无线接入点才能获取与用户名对应的主密钥,从而根据主密钥与用户终端建立加密无线网络连接,提高了用户终端传输的数据以及用户终端内部的数据安全性的效果。
请参考图4,其示出了本发明一个实施例提供的无线网络连接方法的流程图。本实施例以该无线网络连接方法应用于图1所示的无线网络接入系统中来举例说明。该方法包括:
步骤401,用户终端向无线接入点发送第一接入请求,第一接入请求携带有用户终端的用户名。
用户终端存储有预先在认证服务器中注册的用户名和密钥信息。
对应地,无线接入点接收用户终端发送的第一接入请求。
步骤402,无线接入点向认证服务器发送第二接入请求,第二接入请求携带有用户名。
第二接入请求中携带有与无线接入点对应的第二公钥。
对应地,认证服务器接收无线接入点发送的第二接入请求。
步骤403,认证服务器在接收到第二接入请求后,验证无线接入点是否属于可信任无线接入点。
步骤404,在无线接入点属于可信任无线接入点时,认证服务器与用户终端进行第一身份认证。
在无线接入点属于可信任无线接入点时,认证服务器与用户终端进行双向身份认证,认证服务器对用户终端进行身份认证,认证用户终端是否可信;同时用户终端对认证服务器也进行认证。
步骤405,在第一身份认证成功时,认证服务器与用户终端协商生成主密钥,并向用户终端发送主密钥。
对应地,用户终端接收认证服务器发送的与用户名对应的主密钥。
步骤406,认证服务器向无线接入点发送与用户名对应的主密钥。
对应地,无线接入点接收认证服务器发送的与用户名对应的主密钥。
步骤407,无线接入点与用户终端根据各自持有的主密钥协商建立加密无线网络连接。
综上所述,本实施例提供的无线网络接入方法,通过用户终端向无线接入点发送第一接入请求;无线接入点向认证服务器发送第二接入请求;认证服务器在接收到第二接入请求后,验证无线接入点是否属于可信任无线接入点,在无线接入点属于可信任无线接入点时,认证服务器与用户终端进行第一身份认证;在第一身份认证成功时,认证服务器与用户终端协商生成主密钥,并向用户终端发送主密钥;认证服务器向无线接入点发送与用户名对应的主密钥;无线接入点与用户终端根据各自持有的主密钥协商建立加密无线网络连接;解决了用户使用现有的接入方法使得用户终端接入假冒的公众Wi-Fi时,导致用户终端向假冒的公众Wi-Fi所传输的数据以及用户终端内部的数据均会受到安全威胁的问题;达到了通过认证服务器对无线接入点进行身份认证,只有可信任无线接入点才能获取与用户名对应的主密钥,从而根据主密钥与用户终端建立加密无线网络连接,提高了用户终端传输的数据以及用户终端内部的数据安全性的效果。
在一个具体的例子中,本发明实施例的整个过程包括四个阶段:
第一、无线接入点根据与无线接入点对应的第二公钥和第二私钥,在认证服务器中完成身份认证,认证服务器将完成身份认证的无线接入点对应的第二公钥添加至可信任公钥集合中;
第二、用户终端通过独立通道在认证服务器中注册用户名和密钥信息,认证服务器将用户终端注册的用户名和密钥信息反馈给用户终端;可选地,密钥信息是密码或者证书。
第三、用户终端向无线接入点发送第一接入请求,第一接入请求中携带有用户名,无线接入点向认证服务器发送第二接入请求,第二接入请求携带有用户名和与无线接入点对应的第二公钥。
第四、认证服务器对无线接入点进行验证,在无线接入点是可信任无线接入点时,与用户终端进行第一身份认证;在第一身份认证成功时,与用户终端根据各自持有的密钥信息协商生成主密钥,并将与用户名对应的主密钥分别发送给用户终端和无线接入点;无线接入点与用户终端根据各自持有的主密钥协商建立加密无线网络连接。
请参考图5A,其示出了本发明另一个实施例提供的无线网络接入方法的流程图。本实施例以该无线网络接入方法应用于图1所示的无线网络接入系统中来举例说明。该方法包括:
第一阶段,包括步骤501至步骤506;
步骤501,无线接入点生成与无线接入点对应的第二公钥和第二私钥。
无线接入点在使用之前,首先生成与无线接入点对应的第二公钥和第二私钥。第二私钥由无线接入点自身来保存。
步骤502,无线接入点获取与认证服务器对应的第一公钥。
无线接入点在生成第二公钥和第二私钥后,获取认证服务器对应的第一公钥。
可选的,无线接入点首先获取认证服务器对应的第一公钥后,再生成与无线接入点对应的第二公钥和第二私钥。
可选的,与认证服务器对应的第一公钥存储在无线接入点的固件中,无线接入点直接从固件中获取与认证服务器对应的第一公钥。
本实施例中,对无线接入点获取认证服务器对应的第一公钥和生成与无线接入点对应的第二公钥和第二私钥的先后顺序不作具体限定。
步骤503,无线接入点向认证服务器发送身份认证请求。
身份认证请求携带有认证信息和与无线接入点对应的第二公钥,认证信息和与无线接入点对应的第二公钥均使用与认证服务器对应的第一公钥进行加密,认证信息至少包括硬件信息和/或拥有者信息。
可选地,认证信息是无线接入点通过与无线接入点对应的第二私钥进行加密的信息。
可选的,无线接入点直接将硬件信息和拥有者信息发送给认证服务器;或者,无线接入点只将硬件信息发送给认证服务器,拥有者信息有管理终端间接发送给认证服务器。
本实施例中,对向认证服务器发送认证信息的方式不作具体限定。本实施例中以无线接入点向认证服务器发送硬件信息和拥有者信息为例进行举例说明。
无线接入点在获取到认证服务器对应的第一公钥后,与认证服务器建立加密通道。无线接入点通过加密通道将认证信息和与无线接入点对应的第二公钥携带在身份认证请求中发送给认证服务器。
加密通道是指:将无线接入点向认证服务器发送的信息均使用与认证服务器对应的第一公钥进行加密,认证服务器在接收到无线接入点发送的加密信息后,需要使用认证服务器的第一私钥进行解密后获取其中的信息;认证服务器向无线接入点发送的信息均使用与无线接入点对应的第二公钥进行加密,无线接入点在接收到认证服务器发送的加密信息后,必须使用与无线接入点对应的第二私钥进行解密后才能获取其中的信息。
可选的,与无线接入点对应的硬件信息可以包括:无线接入点的服务集标识、无线接入点的BSSID(BasicServiceSetIdentifier,基本服务集标识)、无线接入点的MAC(MediaAccessControl,设备的物理地址)、无线接入点的网络地址和无线接入点的网关IP(InternetProtocol,互联网协议)等。
本实施例中,对无线接入点将第二公钥提供给认证服务器的方式不作具体限定。
与无线接入点对应的拥有者信息可以包括:管理员帐号、商家名称、注册公司、商家地址和商家电话等信息。
可选的,无线接入点可以将认证信息和与无线接入点对应的第二公钥分别单独发送给认证服务器;比如:无线接入点先通过与认证服务器对应的第一公钥对与无线接入点对应的第二公钥进行加密后发送给认证服务器,再通过与无线接入点对应的第二公钥对认证信息进行加密后发送给认证服务器;认证服务器首先根据与认证服务器对应的第一私钥解密得到与无线接入点对应的第二公钥;再使用与无线接入点对应的第二公钥对加密后的认证信息进行解密得到认证信息。
作为第一种可能的实现方式,无线接入点直接将身份认证请求发送给认证服务器,身份认证请求中携带有与无线接入点对应的第二公钥、硬件信息和/或拥有者信息;
作为第二种可能的实现方式,无线接入点使用与认证服务器对应的第一公钥对身份认证请求进行加密,身份认证请求中携带有与无线接入点对应的第二公钥、硬件信息和/或拥有者信息;
作为第三种可能的实现方式,无线接入点使用与认证服务器对应的第一公钥对身份认证请求进行加密,身份认证请求包括认证信息和与无线接入点对应的第二公钥;认证信息是无线接入点使用与无线接入点对应的第二私钥进行加密的信息;认证信息携带有硬件信息和/或拥有者信息。
对应地,认证服务器接收无线接入点发送的身份认证请求。
本实施例中以无线接入点使用与认证服务器对应的第一公钥对身份认证请求进行加密,身份认证请求包括认证信息和与无线接入点对应的第二公钥;并使用与无线接入点对应的第二私钥对认证信息进行加密为例进行举例说明。
步骤504,认证服务器通过与认证服务器对应的第一私钥对身份认证请求进行解密,得到认证信息和与无线接入点对应的第二公钥。
认证服务器在接收到无线接入点发送的身份认证请求后,通过与认证服务器对应的第一私钥对身份认证请求进行解密,得到身份认证请求携带的认证信息和与无线接入点对应的第二公钥。
步骤505,认证服务器通过与无线接入点对应的第二公钥对认证信息进行解密,得到硬件信息和/或拥有者信息。
认证服务器通过与认证服务器对应的第一私钥解密得到认证信息和与无线接入点对应的第二公钥后,通过与无线接入点对应的第二公钥对认证信息进行解密,得到认证信息包括的硬件信息和/或拥有者信息。
步骤506,认证服务器对硬件信息和/或拥有者信息进行第二身份认证,在第二身份认证成功时,将与无线接入点对应的第二公钥添加至可信任公钥集合中。
认证服务器在解密得到认证信息中携带的硬件信息和/或拥有者信息后,对硬件信息和/或拥有者信息进行第二身份认证。可选地,该第二身份认证过程是人工审核过程。
其中,第二身份认证是指核实认证信息中携带的硬件信息和/或拥有者信息是否正确或完整。在第二身份认证成功后,认证服务器将与无线接入点对应的第二公钥添加至可信任公钥集合中,并保存与无线接入点对应的第二公钥。可信任公钥集合是认证服务器存储的成功通过第二身份认证的无线接入点对应的第二公钥的列表。也即,可信任公钥集合中对应的无线接入点都是经过认证服务器第二身份认证成功的无线接入点。
可选的,在第二身份认证成功后,认证服务器将无线接入点对应的第二公钥与无线接入点的对应关系添加至可信任公钥集合中,允许用户终端向认证服务器查询该无线接入点,并认证该无线接入点是否为可信任无线接入点;同时,认证服务器允许该无线接入点向认证服务器查询用户终端的用户名对应的主密钥。
示例性地,可信任公钥集合如下表一所示:
| 无线接入点 | 第二公钥 |
| 接入点A | 公钥1 |
| 接入点B | 公钥2 |
| 接入点C | 公钥3 |
| 接入点D | 公钥4 |
表一
如表一所示,无线接入点A对应的第二公钥为“公钥1”;无线接入点B对应的第二公钥为“公钥2”;无线接入点C对应的第二公钥为“公钥3”;无线接入点D对应的第二公钥为“公钥4”。
认证服务器对无线接入点的第二身份认证过程如图5B所示。在图5B中,无线接入点120向认证服务器160发送硬件信息,注册该无线接入点120的商家终端180向认证服务器160发送拥有者信息和管理员信息,认证服务器160对接收到的硬件信息、拥有者信息和管理员信息进行身份认证,在第二身份认证成功后,批准该无线接入点120加入可信任无线接入点中。
第二阶段,包括步骤507;
步骤507,用户终端通过独立通道向认证服务器注册用户名和与用户名对应的密钥信息。
独立通道是不经过无线接入点的通信通道。
可选的,密钥信息包括密码和证书中的至少一种。
认证服务器在生成与用户终端对应的用户名和密钥信息时,将用户终端与用户名和密钥信息之间的对应关系存储至认证服务器中,并将用户名和密钥信息发送给用户终端。
可选的,认证服务器将用户终端注册的用户名和密钥信息以用户名密码对的形式进行存储,或者认证服务器将用户终端注册的用户名和密钥信息以用户名证书对的形式进行存储。
示例性地,认证服务器以用户名密码对的形式进行存储的对应关系如下表二所示:
| 用户名 | 密码 |
| 用户A | 密码1 |
| 用户B | 密码2 |
| 用户C | 密码3 |
表二
可选的,用户终端向认证服务器注册的用户名和密钥信息是唯一的。也即,每一个用户终端对应唯一一个用户名和密钥信息,用户终端与用户名之间是一一对应的关系。
用户终端向认证服务器注册用户名和密钥信息的过程如图5C所示,以用户终端向认证服务器注册用户名和密码为例进行举例说明。在图5C中,用户终端140与认证服务器160之间通过独立通道完成用户名和密码的注册,也即,用户名和密码的注册过程在不经过无线接入点的通信通道中完成的。
可选的,用户终端向认证服务器注册用户名和密钥信息时,可以通过用户终端中的通信类客户端或浏览器客户端等向认证服务器注册用户名和密钥信息。
第三阶段,包括步骤508和步骤509;
步骤508,用户终端向无线接入点发送第一接入请求。第一接入请求携带有用户终端的用户名。
用户终端存储有预先在认证服务器中注册的用户名和密钥信息。
在存在待接入的无线接入点时,用户终端向该无线接入点发送第一接入请求,该第一接入请求中携带有与用户终端对应的用户名。
用户终端向无线接入点发送第一接入请求的方式包括:
可选的,用户终端通过应用程序中的扫码功能扫描商家提供的携带有无线接入点的硬件信息的二维码,则用户终端通过扫描二维码向无线接入点发送第一接入请求。
可选的,用户终端根据商家提供的携带有无线接入点的硬件信息的公众号向该无线接入点发送第一接入请求。
可选的,用户终端根据商家提供的携带有无线接入点的硬件信息的单独的无线网络客户端向该无线接入点发送第一接入请求。
比如:用户终端利用微信中的扫一扫功能,扫描商家提供的携带有无线接入点的硬件信息的二维码,通过微信向无线接入点发送第一接入请求。又比如:用户终端直接利用浏览器中的扫一扫功能,扫描商家提供的携带有无线接入点的硬件信息的二维码,通过浏览器直接向无线接入点发送第一接入请求。
又比如:用户终端利用微信中的关注功能,对商家提供的公众号进行关注,并通过公众号向无线接入点发送第一接入请求。还比如:用户终端安装商家提供的携带有无线接入点的硬件信息的单独的无线网络客户端,通过单独的无线网络客户端向无线接入点发送第一接入请求。
对应地,无线接入点接收用户终端发送的第一接入请求。
步骤509,无线接入点向认证服务器发送第二接入请求,第二接入请求携带有用户名。
无线接入点在接收到用户终端发送的第一接入请求后,向认证服务器发送第二接入请求,第二接入请求中携带有用户名。
可选的,第二接入请求中还携带有与无线接入点对应的第二公钥。
无线接入点在接收到用户终端发送的第一接入请求后,将与无线接入点对应的第二公钥和第一接入请求中携带的用户名发送给认证服务器。
作为第一种可能的实现方式,无线接入点向认证服务器发送第二接入请求,第二接入请求中携带有用户名和与无线接入点对应的第二公钥;
作为第二种可能的实现方式,无线接入点向认证服务器发送第二接入请求,第二接入请求携带有用户名和与无线接入点对应的第二公钥;第二接入请求是无线接入点使用与认证服务器对应的第一公钥进行加密的请求;
作为第三种可能的实现方式,无线接入点向认证服务器发送第二接入请求,第二接入请求携带有第一密文和与无线接入点对应的第二公钥;第二接入请求是无线接入点使用与认证服务器对应的第一公钥进行加密的请求,第一密文是无线接入点使用与无线接入点对应的第二私钥对用户名进行加密的密文。
本实施例中以第三种可能的实现方式进行举例说明。
对应地,认证服务器接收无线接入点发送的第二接入请求。
第四阶段,包括步骤510至步骤519;
步骤510,认证服务器获取查询密钥请求中携带的第一密文和与无线接入点对应的第二公钥。
认证服务器在接收到无线接入点发送的第二接入请求后,获取第二接入请求中携带的第一密文和与无线接入点对应的第二公钥。
针对第一种可能的实现方式,认证服务器接收到第二接入请求后,直接获取第二接入请求中携带的用户名和与无线接入点对应的第二公钥;
针对第二种可能的实现方式,认证服务器接收到第二接入请求后,使用与认证服务器对应的第一私钥对第二接入请求进行解密,获取第二接入请求携带的用户名和与无线接入点对应的第二公钥;
其中,第二接入请求是无线接入点通过与认证服务器对应的第一公钥对第一密文和与无线接入点对应的第二公钥进行加密的请求。
步骤511,认证服务器验证与无线接入点对应的第二公钥是否存在于可信任公钥集合中;若与无线接入点对应的第二公钥存在于可信任公钥集合中,则将无线接入点验证为可信任无线接入点。
其中,可信任公钥集合存储有成功通过认证服务器的身份认证的无线接入点对应的第二公钥,第一密文包括用户名。
认证服务器在获取到与无线接入点对应的第二公钥后,验证与无线接入点对应的第二公钥是否存在于可信任公钥集合中,若存在于可信任公钥集合中,则认证服务器确定该无线接入点为可信任无线接入点。
比如:如表一中示例性的可信任公钥集合为例,假定认证服务器获取到的与无线接入点对应的第二公钥为公钥2,则认证服务器将获取到的公钥2与表一中所示的可信任公钥集合中的第二公钥进行匹配,结果发现公钥2是属于可信任公钥集合中,则认证服务器确定该无线接入点为可信任无线接入点。
可选的,当认证服务器验证该无线接入点不属于可信任无线接入点时,则不执行后续步骤。
步骤512,认证服务器在无线接入点属于可信任无线接入点时,使用与无线接入点对应的第二公钥对第二接入请求中携带的第一密文进行解密,得到用户名。
认证服务器在确定该无线接入点为可信任无线接入点后,使用获取到的与无线接入点对应的第二公钥对获取到的第一密文进行解密,解密后得到第一密文中携带的用户名。
第一密文是无线接入点通过与无线接入点对应的第二私钥对用户名进行加密的密文,
步骤513,认证服务器根据用户名查询与用户名对应的密钥信息。
认证服务器在对第一密文解密得到第一密文携带的用户名后,查询与用户名对应的密钥信息。
比如:如表二中示例性的用户名和密码之间的对应关系为例,假定认证服务器获取到的第二接入请求中携带的用户名为“用户B”,则认证服务器到用户名和密码之间的对应关系中查询与“用户B”对应的密码,则如表二所示,查询到的密码为“密码2”。
步骤514,认证服务器使用密钥信息与用户终端进行第一身份认证。
认证服务器在查询到与用户名对应的密钥信息后,使用该密钥信息与用户终端进行第一身份认证。可选的,第一身份认证是指认证服务器与用户终端之间的双向认证。也即,认证服务器需要根据密钥信息对用户终端进行身份认证;用户终端也需要根据密钥信息对认证服务器进行身份认证。
可选的,第一身份认证为单向认证。也即认证服务器根据密钥信息对用户终端进行身份认证;或,用户终端需要根据密钥信息对认证服务器进行身份认证。
认证服务器与用户终端进行第一身份认证和协商生成主密钥的过程是通过建立TLS(TransportLayerSecurity,安全传输层协议)通道,通过无线接入点的转发进行第一身份认证和协商生成主密钥。
可选的,认证服务器与用户终端进行第一身份认证的过程符合PEAP(ProtectedExtensibleAuthenticationProtocol,基于保护信道的认证协议)对用户接入的协议。
步骤515,在第一身份认证成功时,认证服务器与用户终端协商生成主密钥,并向用户终端发送主密钥。
在第一身份认证成功时,认证服务器与用户终端根据密钥信息协商生成主密钥。
可选的,认证服务器与用户终端协商生成的主密钥为PMK(PairwiseMasterKey,主成对密钥)。
认证服务器与用户终端协商生成主密钥后,认证服务器将协商生成的主密钥通过TLS通道发送给用户终端。
步骤516,认证服务器使用与无线接入点对应的第二公钥对协商生成的主密钥进行第一加密。
认证服务器将主密钥发送给无线接入点的方式包括三种:
作为第一种可能的实现方式,认证服务器直接通过加密通道将主密钥发送给无线接入点;
作为第二种可能的实现方式,认证服务器使用与认证服务器对应的第一私钥对主密钥进行加密,将加密后的主密钥发送给无线接入点;
作为第三种可能的实现方式,认证服务器首先使用与无线接入点对应的第二公钥对主密钥进行第一加密;再使用与认证服务器对应的第一私钥对第一加密后的主密钥进行第二加密;将第二加密后的主密钥发送给无线接入点。
本实施例中,以第三种可能的实现方式进行举例说明。
其中,与无线接入点对应的第二公钥是认证服务器对无线接入点的身份认证成功时保存的。
认证服务器在与用户终端协商生成主密钥后,使用与无线接入点对应的第二公钥对主密钥进行第一加密。
步骤517,认证服务器使用与认证服务器对应的第一私钥对第一加密后的主密钥进行第二加密,向无线接入点发送第二加密后的主密钥。
认证服务器在使用与无线接入点对应的第二公钥对主密钥进行第一加密后,再使用与认证服务器对应的第一私钥对第一加密后的主密钥进行第二加密。将两次加密后的主密钥发送给无线接入点。
可选的,本实施例中,仅以先使用与无线接入点对应的第二公钥对主密钥进行第一加密,再使用与认证服务器对应的第一私钥对第一加密后的主密钥进行第二加密进行举例说明。本实施例中,对主密钥的加密顺序不作具体限定,可以先使用与认证服务器对应的第一私钥对主密钥进行第一加密,再使用与无线接入点对应的第二公钥对第一加密后的主密钥进行第二加密。本实施例中认证服务器对主密钥的加密方式不作具体限定。
对应地,无线接入点接收认证服务器发送的加密的主密钥。
可选的,无线接入点接收认证服务发送的第一加密后的主密钥,第一加密后的主密钥是认证服务器在无线接入点属于可信任无线接入点时,使用与无线接入点对应的第二公钥对主密钥进行加密后的主密钥。
可选的,无线接入点接收认证服务器发送的第二加密后的主密钥,第二加密后的主密钥是认证服务器在无线接入点属于可信任无线接入点时,使用与无线接入点对应的第二公钥对主密钥进行第一加密,再使用与认证服务器对应的第一私钥对第一加密后的主密钥进行第二加密后的主密钥。
步骤518,无线接入点使用与认证服务器对应的第一公钥对第二加密后的主密钥进行解密,得到第二密文。
无线接入点在接收到认证服务器发送的加密的主密钥后,使用与认证服务器对应的第一公钥对第二加密后的主密钥进行解密,得到第二密文。
其中,第二密文是认证服务器通过与无线接入点对应的第二公钥对主密钥进行加密的密文。
步骤519,无线接入点使用与无线接入点对应的第二私钥对第二密文进行解密,得到主密钥。
无线接入点通过与认证服务器对应的第一公钥解密得到第二密文后,使用与无线接入点对应的第二私钥对第二密文进行解密,得到主密钥。
可选的,若认证服务器仅使用与无线接入点对应的第二公钥对与用户名对应的主密钥进行加密,则无线接入点仅需要使用与无线接入点对应的第二私钥对加密后的主密钥进行解密,即可得到主密钥。
步骤520,无线接入点与用户终端根据各自持有的主密钥协商生成本次连接所使用的临时密钥,使用临时密钥建立加密无线网络连接。
可选的,无线接入点和用户终端使用PMK协商生成本次连接所使用的PTK(PairwiseTemporaryKey,临时成对密钥),无线接入点和用户终端使用PTK建立加密无线网络连接。
无线接入点在获取到认证服务器发送的主密钥后,无线接入点和用户终端使用各自获取到的主密钥作为PMK,完成WPA2(Wi-FiProtectedAccessII,Wi-Fi联盟推出的无线网络安全认证协议)加密协议。利用主密钥作为PMK,协商生成本次连接使用的PTK,用户终端与无线接入点使用协商生成的PTK建立加密无线网络连接。
无线接入点与用户终端之间通过PTK建立加密无线网络连接的具体过程如下:
第一、无线接入点生成一个随机数A,无线接入点向用户终端发送消息M1,消息M1种携带有随机数A;
第二、用户终端生成一个随机数B,用户终端根据主密钥、随机数A和随机数B计算得到本次连接所使用的PTK;用户终端向无线接入点发送消息M2,消息M2中携带有随机数B;且使用计算得到的PTK中的确认密钥部分对消息M2进行MIC(MessageIntegrityCode,消息完整性)认证;
第三、无线接入点得到随机数B,并根据主密钥、随机数A和随机数B计算得到本次连接所使用的PTK,并使用计算得到的PTK中的确认密钥部分对消息M2进行MIC校验。若校验失败则丢弃消息M2,若校验正确则向用户终端发送消息M3,消息M3中包含一个MIC校验,使得用户终端核实无线接入点拥有主密钥。
第四、用户终端收到消息M3后,对消息M3进行MIC校验,校验成功后装入PTK,并向无线接入点发送消息M4,消息M4用于表明用户终端已装入PTK。无线接入点在接收到消息M4后,也装入PTK即完成建立加密无线网络连接的过程。
本实施例中无线接入点与用户终端之间完成WPA2加密协议的核心加密算法以WPE2-PEAP(WPE2-PEAP,基于保护信道的认证协议)进行举例说明,但完成WPA2加密协议的核心加密算法还可以包括但不限于:EAP-TLS(ExtensibleAuthenticationProtocol-TransportLayerSecurity,基于信道的认证协议和传输层加密协议)、EAP-TTLS/MSCHAPv2、PEAPv0/EAP-MSCHAPv2、PEAPv1/EAP-GTC、PEAP-TLS(ProtectedExtensibleAuthenticationProtocol-TransportLayerSecurity,基于传输层安全的受保护的可扩展身份验证协议)、EAP-SIM(EPA-SubscriberIdentityModule,基于客户身份识别卡的认证协议)、EAP-AKA(EAP-AuthenticationandKeyAgreement,认证与密钥协商)和EAP-FAST(EAP-FlexibleAuthenticationviaSecureTunneling,基于安全隧道的灵活认证协议)。
可选地,用户终端接入无线接入点的过程如图5D所示。用户终端140向无线接入点120发送用户名,无线接入点120将用户名转发给认证服务器160,认证服务器160在确认无线接入点属于可信任无线接入点后与用户终端140进行第一身份认证,在第一身份认证成功时,分别向用户终端140和无线接入点120发送与用户名对应的主密钥,用户终端140与无线接入点120以获取到的主密钥为PMK,协商建立加密无线网络连接。
综上所述,本实施例提供的无线网络接入方法,通过用户终端向无线接入点发送第一接入请求;无线接入点向认证服务器发送第二接入请求;认证服务器在接收到第二接入请求后,验证无线接入点是否属于可信任无线接入点,在无线接入点属于可信任无线接入点时与用户终端进行第一身份认证,在第一身份认证成功时与用户终端协商生成主密钥;认证服务器向无线接入点发送与用户名对应的主密钥;无线接入点与用户终端根据各自持有的主密钥协商建立加密无线网络连接;解决了用户使用现有的接入方法使得用户终端接入假冒的公众Wi-Fi时,导致用户终端向假冒的公众Wi-Fi所传输的数据以及用户终端内部的数据均会受到安全威胁的问题;达到了通过认证服务器对无线接入点进行身份认证,只有可信任无线接入点才能获取与用户名对应的主密钥,从而与用户终端根据各自持有的主密钥建立加密无线网络连接,提高了用户终端传输的数据以及用户终端内部的数据安全性的效果。
同时,认证服务器与无线接入点之间通过加密通道进行数据传输,提高了传输过程中数据的安全性。
需要说明的一点是,本实施例中对步骤501至步骤506和步骤507的先后顺序不作具体限制。也即,无线接入点在认证服务器中的认证过程和用户终端向认证服务器注册用户名和密钥信息的过程之间没有必然的先后顺序;但是与用户终端建立加密无线网络连接的无线接入点必须是存储于认证服务器的可信任无线接入点。
需要说明的另一点是,本发明实施例中,无线接入点与认证服务器在通过加密通道进行数据传输时,在传输的数据中还可以携带的信息有各自生成的随机数、发送数据的时间戳等。比如:无线接入点向认证服务器发送数据时,在数据中还携带有无线接入点生成的随机数、发送该数据的时间戳等信息。本发明实施例无线接入点与认证服务器进行数据传输过程中,除上述实施例中数据携带的信息外,对数据中还可以携带的信息不作具体限定。同理,用户终端与认证服务器通过独立通道进行数据传输时,在传输的数据中还可以携带的信息有各自生成的随机数、发送数据的时间戳等,此处不再赘述。针对数据还可以携带的信息的变换实施例都是本发明实施例的等同替换实施例,包含在本发明的保护范围之内。
在一个具体的实施例中,假如黑客设置假冒的无线接入点,该假冒的无线接入点与真实的无线接入点具有完全相同的硬件信息。
第一,用户终端在获取到假冒的无线接入点时,向该假冒的无线接入点发送第一接入请求,该接入请求中携带有用户终端对应的用户名。
第二、假冒的无线接入点向认证服务器发送第二接入请求,第二接入请求携带有用户名。
假冒的无线接入点获取与认证服务器对应的第一公钥,并使用与认证服务器对应的第一公钥对第二接入请求进行加密,并将加密后的第二接入请求发送给认证服务器。
第三、认证服务器通过与认证服务器对应的第一私钥对第二接入请求进行解密,得到与假冒的无线接入点对应的第二公钥和用户名。
第四、认证服务器验证与假冒的无线接入点对应的第二公钥是否存在于可信任公钥集合中。
虽然假冒的无线接入点与真实的无线接入点具有完全相同的硬件信息,但与假冒的无线接入点对应的第二公钥和与真实的无线接入点对应的第二公钥是不相同的,因此,认证服务器在验证与假冒的无线接入点对应的第二公钥是否存在于可信任公钥集合中时,会将假冒的无线接入点确定为不可信任无线接入点。认证服务器在确定该无线接入点为假冒的无线接入点后,不会将与用户名对应的主密钥发送给假冒的无线接入点。
综上所述,假如黑客设置假冒的无线接入点,该假冒的无线接入点与真实的无线接入点具有完全相同的硬件信息时,在图5A所示的实施例提供的无线网络接入方法中,假冒的无线接入点也无法与用户终端建立加密无线网络连接。在步骤511中,与假冒的无线接入点对应的第二公钥并不存在于认证服务器存储的可信任公钥集合中,因此被认证服务器确定为不可信任无线接入点。因此,图5A实施例提供的无线网络接入方法,提高了用户终端传输的数据以及用户终端内部数据的安全性。
请参考图6,其示出了本发明一个实施例提供的无线网络连接装置的结构方框图。该无线网络连接装置可以通过软件、硬件或者两者的结合实现成为图1中无线接入点的全部或一部分。该无线网络连接装置包括:
第一接收模块610,用于接收用户终端发送的第一接入请求,第一接入请求携带有用户终端的用户名;
第二接收模块620,用于向认证服务器发送第二接入请求,第二接入请求携带有用户名;
密钥接收模块630,用于接收认证服务器发送的与用户名对应的主密钥,主密钥是认证服务器在接收到第二接入请求后,验证无线接入点属于可信任无线接入点时,与用户终端进行第一身份认证成功后协商生成的密钥;
网络连接模块640,用于与用户终端根据各自持有的主密钥协商建立加密无线网络连接。
综上所述,本实施例提供的无线网络接入装置,通过接收用户终端发送的第一接入请求;向认证服务器发送第二接入请求;接收认证服务器发送的与用户名对应的主密钥;与用户终端根据各自持有的主密钥协商建立加密无线网络连接;解决了用户使用现有的接入方法使得用户终端接入假冒的公众Wi-Fi时,导致用户终端向假冒的公众Wi-Fi所传输的数据以及用户终端内部的数据均会受到安全威胁的问题;达到了通过认证服务器对无线接入点进行身份认证,只有可信任无线接入点才能获取与用户名对应的主密钥,从而与用户终端根据各自持有的主密钥建立加密无线网络连接,提高了用户终端传输的数据以及用户终端内部的数据安全性的效果。
请参考图7,其示出了本发明另一个实施例提供的无线网络连接装置的结构方框图。该无线网络连接装置可以通过软件、硬件或者两者的结合实现成为图1中无线接入点的全部或一部分。该无线网络连接装置包括:
密钥生成模块710,用于生成与无线接入点对应的第二公钥和第二私钥;
公钥获取模块720,用于获取与认证服务器对应的第一公钥;
信息发送模块730,用于向认证服务器发送身份认证请求,身份认证请求携带有认证信息和与无线接入点对应的第二公钥,认证信息和与无线接入点对应的第二公钥均使用与认证服务器对应的第一公钥进行加密,认证信息至少包括硬件信息和/或拥有者信息。
在一种可能的实现方式中,认证信息是通过与无线接入点对应的第二私钥进行加密的信息。
第一接收模块740,用于接收用户终端发送的第一接入请求,第一接入请求携带有用户终端的用户名。
第二接收模块750,用于向认证服务器发送第二接入请求,第二接入请求携带有用户名。
密钥接收模块760,用于接收认证服务器发送的与用户名对应的主密钥,主密钥是认证服务器在接收到第二接入请求后,验证无线接入点属于可信任无线接入点时,与用户终端进行第一身份认证成功后协商生成的密钥。
在一种可能的实现方式中,密钥接收模块760,还用于接收认证服务器发送的第一加密后的主密钥,第一加密后的主密钥是认证服务器在无线接入点属于可信任无线接入点时,使用与无线接入点对应的第二公钥对主密钥进行加密后的主密钥。
在另一种可能的实现方式中,密钥接收模块760,还用于接收认证服务器发送的第二加密后的主密钥,第二加密后的主密钥是认证服务器在无线接入点属于可信任无线接入点时,使用与无线接入点对应的第二公钥对主密钥进行第一加密,再使用与认证服务器对应的第一私钥对第一加密后的主密钥进行第二加密后的主密钥。
网络连接模块770,用于根据主密钥与用户终端协商建立加密无线网络连接。
在第一种可能的实现方式中,网络连接模块770,可以包括:第一解密单元771和第一连接单元772;
第一解密单元771,用于使用与无线接入点对应的第二私钥对第一加密后的主密钥进行解密,得到主密钥。
第一连接单元772,用于与用户终端根据各自持有的主密钥协商建立加密无线网络连接。
在第二种可能的实现方式中,网络连接模块770,可以包括:第二解密单元773、第三解密单元774和第二连接单元775。
第二解密单元773,用于使用与认证服务器对应的第一公钥对第二加密后的主密钥进行解密,得到第二密文。
第三解密单元774,用于使用与无线接入点对应的第二私钥对第二密文进行解密,得到主密钥。
第二连接单元775,用于与用户终端根据各自持有的主密钥协商建立加密无线网络连接。
其中,第二密文是认证服务器通过与无线接入点对应的第二公钥对主密钥进行加密的密文。
在第三种可能的实现方式中,网络连接模块770,还用于与用户终端使用各自持有的主密钥,协商生成本次连接所使用的临时密钥,使用临时密钥与用户终端建立加密无线网络连接。
综上所述,本实施例提供的无线网络接入装置,通过接收用户终端发送的第一接入请求;向认证服务器发送第二接入请求;接收认证服务器发送的与用户名对应的主密钥;与用户终端根据各自持有的主密钥协商建立加密无线网络连接;解决了用户使用现有的接入方法使得用户终端接入假冒的公众Wi-Fi时,导致用户终端向假冒的公众Wi-Fi所传输的数据以及用户终端内部的数据均会受到安全威胁的问题;达到了通过认证服务器对无线接入点进行身份认证,只有可信任无线接入点才能获取与用户名对应的主密钥,从而与用户终端根据各自持有的主密钥建立加密无线网络连接,提高了用户终端传输的数据以及用户终端内部的数据安全性的效果。
请参考图8,其示出了本发明一个实施例提供的无线网络连接装置的结构方框图。该无线网络连接装置可以通过软件、硬件或者两者的结合实现成为图1中认证服务器的全部或一部分。该无线网络连接装置包括:
请求接收模块810,用于接收无线接入点发送的第二接入请求,第二接入请求携带有用户名;
信任验证模块820,用于在接收到第二接入请求后,验证无线接入点是否属于可信任无线接入点;
用户认证模块830,用于在无线接入点属于可信任无线接入点时与用户终端进行第一身份认证;
密钥生成模块840,用于在第一身份认证成功时,与用户终端协商生成主密钥,并向用户终端发送主密钥。
密钥发送模块850,用于在无线接入点属于可信任无线接入点时向无线接入点发送与用户名对应的密钥信息,以便无线接入点与用户终端根据各自持有的主密钥协商建立加密无线网络连接。
综上所述,本实施例提供的无线网络接入装置,通过接收无线接入点发送的第二接入请求;在接收到第二接入请求后,验证无线接入点是否属于可信任无线接入点;在无线接入点属于可信任无线接入点时与用户终端进行第一身份认证,在第一身份认证成功时与用户终端协商生成主密钥,并向用户终端发送主密钥;向无线接入点发送与用户名对应的主密钥;解决了用户使用现有的接入方法使得用户终端接入假冒的公众Wi-Fi时,导致用户终端向假冒的公众Wi-Fi所传输的数据以及用户终端内部的数据均会受到安全威胁的问题;达到了通过认证服务器对无线接入点进行身份认证,只有可信任无线接入点才能获取与用户名对应的主密钥,从而与用户终端根据各自持有的主密钥建立加密无线网络连接,提高了用户终端传输的数据以及用户终端内部的数据安全性的效果。
请参考图9,其示出了本发明另一个实施例提供的无线网络连接装置的结构方框图。该无线网络连接装置可以通过软件、硬件或者两者的结合实现成为图1中认证服务器的全部或一部分。该无线网络连接装置包括:
认证接收模块910,用于接收无线接入点发送的身份认证请求,身份认证请求携带有认证信息和与无线接入点对应的第二公钥,认证信息和与无线接入点对应的第二公钥均使用与认证服务器对应的第一公钥进行加密,认证信息至少包括硬件信息和/或拥有者信息。
信息解密模块920,用于通过与认证服务器对应的第一私钥对身份认证请求进行解密,得到认证信息和与无线接入点对应的第二公钥。
信息认证模块930,用于对认证信息进行第二身份认证,在第二身份认证成功时,将与无线接入点对应的第二公钥添加至可信任公钥集合中。
可选的,认证信息是无线接入点通过与无线接入点对应的第二私钥进行加密的信息。
作为一种可能的实现方式,信息认证模块930,可以包括:第一解密单元931和第一认证单元932。
第一解密单元931,用于通过与无线接入点对应的第二公钥对认证信息进行解密,得到硬件信息和/或拥有者信息;
第一认证单元932,用于对硬件信息和/或拥有者信息进行第二身份认证,在第二身份认证成功时,将与无线接入点对应的第二公钥添加至可信任公钥集合中。
请求接收模块940,用于接收无线接入点发送的第二接入请求,第二接入请求携带有用户名。
信任验证模块950,用于在接收到第二接入请求后,验证无线接入点是否属于可信任无线接入点。
作为一种可能的实现方式,本实施例中,信任验证模块950,可以包括:公钥获取单元951和第一验证单元952。
公钥获取单元951,用于获取第二接入请求中携带的第一密文和与无线接入点对应的第二公钥。
可选的,公钥获取单元951,还用于通过与认证服务器对应的第一私钥对第二接入请求进行解密,得到第一密文和与无线接入点对应的第二公钥;
其中,第二接入请求是无线接入点通过与认证服务器对应的第一公钥对第一密文和与无线接入点对应的第二公钥进行加密的请求。
第一验证单元952,用于验证与无线接入点对应的第二公钥是否存在于可信任公钥集合中;若与无线接入点对应的第二公钥存在于可信任公钥集合中,则将无线接入点验证为可信任无线接入点;
其中,可信任公钥集合存储有成功通过第二身份认证的无线接入点对应的第二公钥。
用户认证模块960,用于在无线接入点属于可信任无线接入点时与用户终端进行第一身份认证。
作为一种可能的实现方式,本实施例中,用户认证模块960,可以包括:密文解密单元961、密钥查询单元962和密钥认证单元963。
密文解密单元961,用于在无线接入点属于可信任无线接入点时,使用与无线接入点对应的第二公钥对第二接入请求中携带的第一密文进行解密,得到用户名。
密钥查询单元962,用于查询与用户名对应的密钥信息;
密钥认证单元963,用于根据密钥信息与用户终端进行第一身份认证。
其中,第一密文是无线接入点通过与无线接入点对应的第二私钥对用户名进行加密的密文。
密钥生成模块970,用于在第一身份认证成功时,与用户终端协商生成主密钥,并向用户终端发送主密钥。
密钥发送模块980,用于向无线接入点发送与用户名对应的主密钥,以便无线接入点与用户终端根据各自持有的主密钥协商建立加密无线网络连接。
可选的,密钥发送模块980,还用于使用与无线接入点对应的第二公钥对协商生成的主密钥进行第一加密,向无线接入点发送第一加密后的主密钥。
可选的,密钥发送模块980,还用于使用与认证服务器对应的第一私钥对第一加密后的主密钥进行第二加密,向无线接入点发送第二加密后的主密钥。
综上所述,本实施例提供的无线网络接入装置,通过接收无线接入点发送的第二接入请求;在接收到第二接入请求后,验证无线接入点是否属于可信任无线接入点;在无线接入点属于可信任无线接入点时与用户终端进行第一身份认证,在第一身份认证成功时与用户终端协商生成主密钥,并向用户终端发送主密钥;向无线接入点发送与用户名对应的主密钥;解决了用户使用现有的接入方法使得用户终端接入假冒的公众Wi-Fi时,导致用户终端向假冒的公众Wi-Fi所传输的数据以及用户终端内部的数据均会受到安全威胁的问题;达到了通过认证服务器对无线接入点进行身份认证,只有可信任无线接入点才能获取与用户名对应的主密钥,从而与用户终端根据各自持有的主密钥建立加密无线网络连接,提高了用户终端传输的数据以及用户终端内部的数据安全性的效果。
请参考图10,其示出了本发明实施例提供的一种无线网络连接系统的结构方框图,该系统包括:用户终端1020、无线接入点1040和认证服务器1060;
用户终端1020,用于向无线接入点发送第一接入请求,以及与认证服务器进行第一身份认证;
无线接入点1040,包括如图6所示实施例或图7所示实施例任一所述的无线网络连接装置;
认证服务器1060,包括如图8所示实施例或图9所示实施例任一所述的无线网络连接装置。
需要说明的是:上述实施例提供的无线网络连接的装置在连接无线网络时,仅以上述各功能模块的划分进行举例说明,实际应用中,可以根据需要而将上述功能分配由不同的功能模块完成,即将设备的内部结构划分成不同的功能模块,以完成以上描述的全部或者部分功能。另外,上述实施例提供的无线网络连接与无线网络连接的方法实施例属于同一构思,其具体实现过程详见方法实施例,这里不再赘述。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
本领域普通技术人员可以理解实现上述实施例的全部或部分步骤可以通过硬件来完成,也可以通过程序来指令相关的硬件完成,所述的程序可以存储于一种计算机可读存储介质中,上述提到的存储介质可以是只读存储器,磁盘或光盘等。
以上所述仅为本发明的较佳实施例,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (43)
1.一种无线网络连接方法,其特征在于,所述方法包括:
用户终端向无线接入点发送第一接入请求,所述第一接入请求携带有所述用户终端的用户名;
所述无线接入点向所述认证服务器发送第二接入请求,所述第二接入请求携带有所述用户名;
所述认证服务器在接收到所述第二接入请求后,验证所述无线接入点是否属于可信任无线接入点,在所述无线接入点属于所述可信任无线接入点时与所述用户终端进行第一身份认证;
在所述第一身份认证成功时,所述认证服务器与所述用户终端协商生成主密钥,并向所述用户终端发送所述主密钥;
所述认证服务器向所述无线接入点发送与所述用户名对应的所述主密钥;
所述无线接入点与所述用户终端根据各自持有的所述主密钥协商建立加密无线网络连接。
2.根据权利要求1所述的方法,其特征在于,所述认证服务器在接收到所述第二接入请求后,验证所述无线接入点是否属于可信任无线接入点,包括:
所述认证服务器获取所述第二接入请求中携带的第一密文和与所述无线接入点对应的第二公钥;
所述认证服务器验证与所述无线接入点对应的第二公钥是否存在于可信任公钥集合中;若与所述无线接入点对应的第二公钥存在于所述可信任公钥集合中,则将所述无线接入点验证为所述可信任无线接入点;
其中,所述可信任公钥集合存储有成功通过所述认证服务器的第二身份认证的无线接入点对应的第二公钥,所述第一密文包括所述用户名。
3.根据权利要求2所述的方法,其特征在于,所述认证服务器获取所述第二接入请求中携带的第一密文和与所述无线接入点对应的第二公钥,包括:
所述认证服务器通过与所述认证服务器对应的第一私钥对所述第二接入请求进行解密,得到第一密文和与所述无线接入点对应的第二公钥;
其中,所述第二接入请求是所述无线接入点通过与所述认证服务器对应的第一公钥对所述第一密文和与所述无线接入点对应的第二公钥进行加密的请求。
4.根据权利要求2或3所述的方法,其特征在于,所述在所述第一身份认证成功时,所述认证服务器与所述用户终端协商生成主密钥,包括:
在所述第一身份认证成功时,所述认证服务器使用与所述无线接入点对应的第二公钥对所述第二接入请求中携带的第一密文进行解密,得到所述用户名;
所述认证服务器根据所述用户名查询与所述用户名对应的密钥信息;
所述认证服务器与所述用户终端根据所述密钥信息协商生成所述主密钥;
其中,所述第一密文是所述无线接入点通过与所述无线接入点对应的第二私钥对所述用户名进行加密的密文,与所述无线接入点对应的第二公钥是所述认证服务器对所述无线接入点的第二身份认证成功时保存的。
5.根据权利要求4所述的方法,其特征在于,所述认证服务器向所述无线接入点发送与所述用户名对应的所述主密钥,包括:
所述认证服务器使用与所述无线接入点对应的第二公钥对协商生成的所述主密钥进行第一加密,向所述无线接入点发送第一加密后的所述主密钥。
6.根据权利要求5所述的方法,其特征在于,所述向所述无线接入点发送第一加密后的所述主密钥,包括:
所述认证服务器使用与所述认证服务器对应的第一私钥对第一加密后的所述主密钥进行第二加密,向所述无线接入点发送第二加密后的所述主密钥。
7.根据权利要求1至6任一所述的方法,其特征在于,所述无线接入点向所述认证服务器发送第二接入请求之前,还包括:
所述无线接入点生成与所述无线接入点对应的第二公钥和第二私钥;
所述无线接入点获取与所述认证服务器对应的第一公钥;
所述无线接入点向所述认证服务器发送身份认证请求,所述身份认证请求携带有认证信息和与所述无线接入点对应的第二公钥,所述认证信息和与所述无线接入点对应的第二公钥均使用与所述认证服务器对应的第一公钥进行加密,所述认证信息至少包括硬件信息和/或拥有者信息;
所述认证服务器通过与所述认证服务器对应的第一私钥对所述身份认证请求进行解密,得到所述认证信息和与所述无线接入点对应的第二公钥;
所述认证服务器对所述认证信息进行第二身份认证,在所述第二身份认证成功时,将与所述无线接入点对应的第二公钥添加至所述可信任公钥集合中。
8.根据权利要求7所述的方法,其特征在于,所述认证信息是所述无线接入点通过与所述无线接入点对应的第二私钥进行加密的信息;
所述认证服务器对所述认证信息进行第二身份认证,包括:
所述认证服务器通过与所述无线接入点对应的第二公钥对所述认证信息进行解密,得到所述硬件信息和/或所述拥有者信息;
所述认证服务器对所述硬件信息和/或所述拥有者信息进行第二身份认证,在所述第二身份认证成功时,将与所述无线接入点对应的第二公钥添加至所述可信任公钥集合中。
9.根据权利要求1至6任一所述的方法,其特征在于,所述无线接入点与所述用户终端通过各自持有的所述主密钥协商建立加密无线网络连接,包括:
所述无线接入点和所述用户终端使用各自持有的所述主密钥,协商生成本次连接所使用的临时密钥,使用所述临时密钥建立加密无线网络连接。
10.根据权利要求1至6任一所述的方法,其特征在于,所述用户终端向无线接入点发送第一接入请求之前,还包括:
所述用户终端通过独立通道向所述认证服务器注册所述用户名和与所述用户名对应的密钥信息,所述独立通道是不经过所述无线接入点的通信通道;
其中,所述密钥信息是密码或者证书。
11.一种无线网络连接方法,其特征在于,所述方法包括:
接收用户终端发送的第一接入请求,所述第一接入请求携带有所述用户终端的用户名;
向所述认证服务器发送第二接入请求,所述第二接入请求携带有所述用户名;
接收所述认证服务器发送的与所述用户名对应的主密钥,所述主密钥是所述认证服务器在接收到所述第二接入请求后,验证无线接入点属于可信任无线接入点时,与用户终端进行第一身份认证成功后协商生成的密钥;
与所述用户终端根据各自持有的所述主密钥协商建立加密无线网络连接。
12.根据权利要求11所述的方法,其特征在于,所述接收所述认证服务器发送的与所述用户名对应的主密钥,包括:
接收所述认证服务器发送的第一加密后的主密钥,所述第一加密后的主密钥是所述认证服务器在所述无线接入点属于所述可信任无线接入点时,使用与所述无线接入点对应的第二公钥对所述主密钥进行加密后的主密钥。
13.根据权利要求11所述的方法,其特征在于,所述接收所述认证服务器发送的与所述用户名对应的主密钥,包括:
接收所述认证服务器发送的第二加密后的主密钥,所述第二加密后的主密钥是所述认证服务器在所述无线接入点属于所述可信任无线接入点时,使用与所述无线接入点对应的第二公钥对所述主密钥进行第一加密,再使用与所述认证服务器对应的第一私钥对第一加密后的所述主密钥进行第二加密后的主密钥。
14.根据权利要求12所述的方法,其特征在于,所述与所述用户终端根据各自持有的所述主密钥协商建立加密无线网络连接,包括:
使用与所述无线接入点对应的第二私钥对所述第一加密后的主密钥进行解密,得到所述主密钥;
与所述用户终端根据各自持有的所述主密钥协商建立加密无线网络连接。
15.根据权利要求13所述的方法,所述与所述用户终端根据各自持有的所述主密钥协商建立加密无线网络连接,包括:
使用与所述认证服务器对应的第一公钥对第二加密后的所述主密钥进行解密,得到第二密文;
使用与所述无线接入点对应的第二私钥对所述第二密文进行解密,得到所述主密钥;
与所述用户终端根据各自持有的所述主密钥协商建立加密无线网络连接;
其中,所述第二密文是所述认证服务器通过与所述无线接入点对应的第二公钥对所述主密钥进行加密的密文。
16.根据权利要求11所述的方法,其特征在于,所述向所述认证服务器发送第二接入请求之前,还包括:
生成与所述无线接入点对应的第二公钥和第二私钥;
获取与所述认证服务器对应的第一公钥;
向所述认证服务器发送身份认证请求,所述身份认证请求携带有认证信息和与所述无线接入点对应的第二公钥,所述认证信息和与所述无线接入点对应的第二公钥均使用与所述认证服务器对应的第一公钥进行加密,所述认证信息至少包括硬件信息和/或拥有者信息。
17.根据权利要求16所述的方法,其特征在于,所述认证信息是通过与所述无线接入点对应的第二私钥进行加密的信息。
18.根据权利要求11至17任一所述的方法,其特征在于,所述与所述用户终端根据各自持有的所述主密钥协商建立加密无线网络连接,包括:
与所述用户终端使用各自持有的所述主密钥,协商生成本次连接所使用的临时密钥,根据所述临时密钥与所述用户终端建立加密无线网络连接。
19.一种无线网络连接方法,其特征在于,所述方法包括:
接收无线接入点发送的第二接入请求,所述第二接入请求携带有所述用户名;
在接收到所述第二接入请求后,验证所述无线接入点是否属于可信任无线接入点;
在所述无线接入点属于所述可信任无线接入点时与用户终端进行第一身份认证;
在所述第一身份认证成功时,与所述用户终端协商生成主密钥,并向所述用户终端发送所述主密钥;
向所述无线接入点发送与所述用户名对应的所述主密钥,以便所述无线接入点与所述用户终端根据各自持有的所述主密钥协商建立加密无线网络连接。
20.根据权利要求19所述的方法,其特征在于,所述验证所述无线接入点是否属于可信任无线接入点,包括:
获取所述第二接入请求中携带的第一密文和与所述无线接入点对应的第二公钥;
验证与所述无线接入点对应的第二公钥是否存在于可信任公钥集合中;若与所述无线接入点对应的第二公钥存在于所述可信任公钥集合中,则将所述无线接入点验证为所述可信任无线接入点;
其中,所述可信任公钥集合存储有成功通过第二身份认证的无线接入点对应的第二公钥。
21.根据权利要求20所述的方法,其特征在于,所述获取所述第二接入请求中携带的第一密文和与所述无线接入点对应的第二公钥,包括:
通过与所述认证服务器对应的第一私钥对所述第二接入请求进行解密,得到第一密文和与所述无线接入点对应的第二公钥;
其中,所述第二接入请求是所述无线接入点通过与所述认证服务器对应的第一公钥对所述第一密文和与所述无线接入点对应的第二公钥进行加密的请求。
22.根据权利要求20或21所述的方法,其特征在于,所述在所述无线接入点属于所述可信任无线接入点时与所述用户终端进行第一身份认证,包括:
在所述无线接入点属于所述可信任无线接入点时,使用与所述无线接入点对应的第二公钥对所述第二接入请求中携带的第一密文进行解密,得到所述用户名;
查询与所述用户名对应的密钥信息;
根据所述密钥信息与所述用户终端进行第一身份认证;
其中,所述第一密文是所述无线接入点通过与所述无线接入点对应的第二私钥对所述用户名进行加密的密文。
23.根据权利要求22所述的方法,其特征在于,所述向所述无线接入点发送与所述用户名对应的所述主密钥,包括:
使用与所述无线接入点对应的第二公钥对协商生成的所述主密钥进行第一加密,向所述无线接入点发送第一加密后的所述主密钥。
24.根据权利要求23所述的方法,其特征在于,所述向所述无线接入点发送第一加密后的所述主密钥,包括:
使用与所述认证服务器对应的第一私钥对第一加密后的所述主密钥进行第二加密,向所述无线接入点发送第二加密后的所述主密钥。
25.根据权利要求19至24任一所述的方法,其特征在于,所述接收无线接入点发送的第二接入请求之前,还包括:
接收所述无线接入点发送的身份认证请求,所述身份认证请求携带有认证信息和与所述无线接入点对应的第二公钥,所述认证信息和与所述无线接入点对应的第二公钥均使用与所述认证服务器对应的第一公钥进行加密,所述认证信息至少包括硬件信息和/或拥有者信息;
通过与所述认证服务器对应的第一私钥对所述身份认证请求进行解密,得到所述认证信息和与所述无线接入点对应的第二公钥;
对所述认证信息进行第二身份认证,在所述第二身份认证成功时,将与所述无线接入点对应的第二公钥添加至所述可信任公钥集合中。
26.根据权利要求25所述的方法,其特征在于,所述认证信息是所述无线接入点通过与所述无线接入点对应的第二私钥进行加密的信息;
所述对所述认证信息进行第二身份认证,包括:
通过与所述无线接入点对应的第二公钥对所述认证信息进行解密,得到所述硬件信息和/或所述拥有者信息;
对所述硬件信息和/或所述拥有者信息进行第二身份认证,在所述第二身份认证成功时,将与所述无线接入点对应的第二公钥添加至所述可信任公钥集合中。
27.一种无线网络连接装置,其特征在于,所述装置包括:
第一接收模块,用于接收用户终端发送的第一接入请求,所述第一接入请求携带有所述用户终端的用户名;
第二接收模块,用于向所述认证服务器发送第二接入请求,所述第二接入请求携带有所述用户名;
密钥接收模块,用于接收所述认证服务器发送的与所述用户名对应的主密钥,所述主密钥是所述认证服务器在接收到所述第二接入请求后,验证无线接入点属于可信任无线接入点时,与用户终端进行第一身份认证成功后协商生成的密钥;
网络连接模块,用于与所述用户终端根据各自持有的所述主密钥协商建立加密无线网络连接。
28.根据权利要求27所述的装置,其特征在于,所述密钥接收模块,还用于接收所述认证服务器发送的第一加密后的主密钥,所述第一加密后的主密钥是所述认证服务器在所述无线接入点属于所述可信任无线接入点时,使用与所述无线接入点对应的第二公钥对所述主密钥进行加密后的主密钥。
29.根据权利要求27所述的装置,其特征在于,所述密钥接收模块,还用于接收所述认证服务器发送的第二加密后的主密钥,所述第二加密后的主密钥是所述认证服务器在所述无线接入点属于所述可信任无线接入点时,使用与所述无线接入点对应的第二公钥对所述主密钥进行第一加密,再使用与所述认证服务器对应的第一私钥对第一加密后的所述主密钥进行第二加密后的主密钥。
30.根据权利要求28所述的装置,其特征在于,所述网络连接模块,包括:
第一解密单元,用于使用与所述无线接入点对应的第二私钥对所述第一加密后的主密钥进行解密,得到所述主密钥;
第一连接单元,用于与所述用户终端根据各自持有的所述主密钥协商建立加密无线网络连接。
31.根据权利要求29所述的装置,其特征在于,所述网络连接模块,包括:
第二解密单元,用于使用与所述认证服务器对应的第一公钥对第二加密后的所述主密钥进行解密,得到第二密文;
第三解密单元,用于使用与所述无线接入点对应的第二私钥对所述第二密文进行解密,得到所述主密钥;
第二连接单元,用于与所述用户终端根据各自持有的所述主密钥协商建立加密无线网络连接;
其中,所述第二密文是所述认证服务器通过与所述无线接入点对应的第二公钥对所述主密钥进行加密的密文。
32.根据权利要求27所述的装置,其特征在于,所述装置还包括:
密钥生成模块,用于生成与所述无线接入点对应的第二公钥和第二私钥;
公钥获取模块,用于获取与所述认证服务器对应的第一公钥;
信息发送模块,用于向所述认证服务器发送身份认证请求,所述身份认证请求携带有认证信息和与所述无线接入点对应的第二公钥,所述认证信息和与所述无线接入点对应的第二公钥均使用与所述认证服务器对应的第一公钥进行加密,所述认证信息至少包括硬件信息和/或拥有者信息。
33.根据权利要求32所述的装置,其特征在于,所述认证信息是通过与所述无线接入点对应的第二私钥进行加密的信息。
34.根据权利要求27至33任一所述的装置,其特征在于,所述网络连接模块,还用于与所述用户终端使用各自持有的所述主密钥,协商生成本次连接所使用的临时密钥,使用所述临时密钥与所述用户终端建立加密无线网络连接。
35.一种无线网络连接装置,其特征在于,所述装置包括:
请求接收模块,用于接收无线接入点发送的第二接入请求,所述第二接入请求携带有所述用户名;
信任验证模块,用于在接收到所述第二接入请求后,验证所述无线接入点是否属于可信任无线接入点;
用户认证模块,用于在所述无线接入点属于所述可信任无线接入点时与用户终端进行第一身份认证;
密钥生成模块,用于在所述第一身份认证成功时,与所述用户终端协商生成主密钥,并向所述用户终端发送所述主密钥;
密钥发送模块,用于向所述无线接入点发送与所述用户名对应的所述主密钥,以便所述无线接入点与用户终端根据各自持有的所述主密钥与用户终端协商建立加密无线网络连接。
36.根据权利要求35所述的装置,其特征在于,所述信任验证模块,包括:
公钥获取单元,用于获取所述第二接入请求中携带的第一密文和与所述无线接入点对应的第二公钥;
第一验证单元,用于验证与所述无线接入点对应的第二公钥是否存在于可信任公钥集合中;若与所述无线接入点对应的第二公钥存在于所述可信任公钥集合中,则将所述无线接入点验证为所述可信任无线接入点;
其中,所述可信任公钥集合存储有成功通过身份认证的无线接入点对应的第二公钥。
37.根据权利要求36所述的装置,其特征在于,所述公钥获取单元,还用于通过与所述认证服务器对应的第一私钥对所述第二接入请求进行解密,得到第一密文和与所述无线接入点对应的第二公钥;
其中,所述第二接入请求是所述无线接入点通过与所述认证服务器对应的第一公钥对所述第一密文和与所述无线接入点对应的第二公钥进行加密的请求。
38.根据权利要求36或37所述的方法,其特征在于,所述用户认证模块,包括:
密文解密单元,用于在所述无线接入点属于所述可信任无线接入点时,使用与所述无线接入点对应的第二公钥对所述第二接入请求中携带的第一密文进行解密,得到所述用户名;
密钥查询单元,用于查询与所述用户名对应的密钥信息;
密钥认证单元,用于根据所述密钥信息与所述用户终端进行第一身份认证;
其中,所述第一密文是所述无线接入点通过与所述无线接入点对应的第二私钥对所述用户名进行加密的密文。
39.根据权利要求38所述的装置,其特征在于,所述密钥发送模块,还用于使用与所述无线接入点对应的第二公钥对协商生成的所述主密钥进行第一加密,向所述无线接入点发送第一加密后的所述主密钥。
40.根据权利要求39所述的装置,其特征在于,所述密钥发送模块,还用于使用与所述认证服务器对应的第一私钥对第一加密后的所述主密钥进行第二加密,向所述无线接入点发送第二加密后的所述主密钥。
41.根据权利要求35至40任一所述的装置,其特征在于,所述装置,还包括:
认证接收模块,用于接收所述无线接入点发送的身份认证请求,所述身份认证请求携带有认证信息和与所述无线接入点对应的第二公钥,所述认证信息和与所述无线接入点对应的第二公钥均使用与所述认证服务器对应的第一公钥进行加密,所述认证信息至少包括硬件信息和/或拥有者信息;
信息解密模块,用于通过与所述认证服务器对应的第一私钥对所述身份认证请求进行解密,得到所述认证信息和与所述无线接入点对应的第二公钥;
信息认证模块,用于对所述认证信息进行第二身份认证,在所述第二身份认证成功时,将与所述无线接入点对应的第二公钥添加至所述可信任公钥集合中。
42.根据权利要求41所述的装置,其特征在于,所述认证信息是所述无线接入点通过与所述无线接入点对应的第二私钥进行加密的信息;
所述信息认证模块,包括:
第一解密单元,用于通过与所述无线接入点对应的第二公钥对所述认证信息进行解密,得到所述硬件信息和/或所述拥有者信息;
第一认证单元,用于对所述硬件信息和/或所述拥有者信息进行第二身份认证,在所述第二身份认证成功时,将与所述无线接入点对应的第二公钥添加至所述可信任公钥集合中。
43.一种无线网络连接系统,其特征在于,所述系统包括:用户终端、无线接入点和认证服务器;
所述用户终端,用于向无线接入点发送第一接入请求,以及与所述认证服务器进行第一身份认证;
所述无线接入点包括如权利要求27至34任一所述的无线网络连接装置;
所述认证服务器包括如权利要求35至42任一所述的无线网络连接装置。
Priority Applications (5)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610067787.2A CN105554747B (zh) | 2016-01-29 | 2016-01-29 | 无线网络连接方法、装置及系统 |
| PCT/CN2017/072186 WO2017129089A1 (zh) | 2016-01-29 | 2017-01-23 | 无线网络连接方法、装置及存储介质 |
| KR1020187020181A KR102134302B1 (ko) | 2016-01-29 | 2017-01-23 | 무선 네트워크 접속 방법 및 장치, 및 저장 매체 |
| EP17743704.3A EP3410758B1 (en) | 2016-01-29 | 2017-01-23 | Wireless network connecting method and apparatus, and storage medium |
| US15/913,644 US10638321B2 (en) | 2016-01-29 | 2018-03-06 | Wireless network connection method and apparatus, and storage medium |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610067787.2A CN105554747B (zh) | 2016-01-29 | 2016-01-29 | 无线网络连接方法、装置及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN105554747A true CN105554747A (zh) | 2016-05-04 |
| CN105554747B CN105554747B (zh) | 2018-09-04 |
Family
ID=55833634
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610067787.2A Active CN105554747B (zh) | 2016-01-29 | 2016-01-29 | 无线网络连接方法、装置及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN105554747B (zh) |
Cited By (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105873035A (zh) * | 2016-05-19 | 2016-08-17 | 福州市协成智慧科技有限公司 | 一种安全的ap信息处理方法 |
| CN106412897A (zh) * | 2016-10-08 | 2017-02-15 | 西安瀚炬网络科技有限公司 | 基于服务器的WiFi认证方法 |
| CN106713338A (zh) * | 2017-01-03 | 2017-05-24 | 上海金融云服务集团安全技术有限公司 | 一种基于服务器硬件信息的长连接隧道建立方法 |
| WO2017129089A1 (zh) * | 2016-01-29 | 2017-08-03 | 腾讯科技(深圳)有限公司 | 无线网络连接方法、装置及存储介质 |
| CN107040922A (zh) * | 2016-05-05 | 2017-08-11 | 腾讯科技(深圳)有限公司 | 无线网络连接方法、装置及系统 |
| CN107426724A (zh) * | 2017-08-09 | 2017-12-01 | 上海斐讯数据通信技术有限公司 | 智能家电接入无线网络的方法及系统及终端及认证服务器 |
| CN108306793A (zh) * | 2016-10-09 | 2018-07-20 | 杭州萤石网络有限公司 | 智能设备、智能家居网关、建立连接的方法及系统 |
| CN108769992A (zh) * | 2018-06-12 | 2018-11-06 | 腾讯科技(深圳)有限公司 | 用户认证方法、装置、终端及存储介质 |
| WO2018201946A1 (zh) * | 2017-05-05 | 2018-11-08 | 华为技术有限公司 | 锚密钥生成方法、设备以及系统 |
| CN109391594A (zh) * | 2017-08-09 | 2019-02-26 | 中国电信股份有限公司 | 安全认证系统和方法 |
| CN111010388A (zh) * | 2019-12-11 | 2020-04-14 | 紫光云(南京)数字技术有限公司 | 一种基于kms的设备接入认证系统及方法 |
| CN111050321A (zh) * | 2018-10-12 | 2020-04-21 | 中兴通讯股份有限公司 | 一种数据处理方法、装置及存储介质 |
| CN111865962A (zh) * | 2020-07-16 | 2020-10-30 | 国网山东省电力公司青岛供电公司 | 一种WiFi安全登录认证系统及方法 |
| CN112822162A (zh) * | 2020-12-29 | 2021-05-18 | 重庆川仪自动化股份有限公司 | 一种基于区块链的设备验证连接方法及系统 |
| WO2022135393A1 (zh) * | 2020-12-26 | 2022-06-30 | 西安西电捷通无线网络通信股份有限公司 | 身份鉴别方法、鉴别接入控制器、请求设备、鉴别服务器、存储介质、程序、及程序产品 |
| CN112822162B (zh) * | 2020-12-29 | 2023-05-23 | 重庆川仪自动化股份有限公司 | 一种基于区块链的设备验证连接方法及系统 |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109548018B (zh) * | 2019-01-11 | 2021-11-23 | 腾讯科技(深圳)有限公司 | 无线网络接入方法、装置、设备及系统 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101212296A (zh) * | 2006-12-28 | 2008-07-02 | 中国移动通信集团公司 | 基于证书及sim的wlan接入认证方法及系统 |
| US20090214036A1 (en) * | 2008-02-22 | 2009-08-27 | Microsoft Corporation | Authentication mechanisms for wireless networks |
| CN103024743A (zh) * | 2012-12-17 | 2013-04-03 | 北京航空航天大学 | 一种无线局域网可信安全接入方法 |
| CN104244248A (zh) * | 2013-06-09 | 2014-12-24 | 杭州华三通信技术有限公司 | 一种密钥处理方法及装置 |
| CN104394533A (zh) * | 2014-11-24 | 2015-03-04 | 中国联合网络通信集团有限公司 | 无线保真WiFi连接方法、服务器及终端 |
-
2016
- 2016-01-29 CN CN201610067787.2A patent/CN105554747B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101212296A (zh) * | 2006-12-28 | 2008-07-02 | 中国移动通信集团公司 | 基于证书及sim的wlan接入认证方法及系统 |
| US20090214036A1 (en) * | 2008-02-22 | 2009-08-27 | Microsoft Corporation | Authentication mechanisms for wireless networks |
| CN103024743A (zh) * | 2012-12-17 | 2013-04-03 | 北京航空航天大学 | 一种无线局域网可信安全接入方法 |
| CN104244248A (zh) * | 2013-06-09 | 2014-12-24 | 杭州华三通信技术有限公司 | 一种密钥处理方法及装置 |
| CN104394533A (zh) * | 2014-11-24 | 2015-03-04 | 中国联合网络通信集团有限公司 | 无线保真WiFi连接方法、服务器及终端 |
Cited By (31)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP3410758A4 (en) * | 2016-01-29 | 2018-12-05 | Tencent Technology (Shenzhen) Company Limited | Wireless network connecting method and apparatus, and storage medium |
| WO2017129089A1 (zh) * | 2016-01-29 | 2017-08-03 | 腾讯科技(深圳)有限公司 | 无线网络连接方法、装置及存储介质 |
| US10638321B2 (en) | 2016-01-29 | 2020-04-28 | Tencent Technology (Shenzhen) Company Limited | Wireless network connection method and apparatus, and storage medium |
| US11178125B2 (en) | 2016-05-05 | 2021-11-16 | Tencent Technology (Shenzhen) Company Limited | Wireless network connection method, wireless access point, server, and system |
| CN107040922A (zh) * | 2016-05-05 | 2017-08-11 | 腾讯科技(深圳)有限公司 | 无线网络连接方法、装置及系统 |
| WO2017190616A1 (zh) * | 2016-05-05 | 2017-11-09 | 腾讯科技(深圳)有限公司 | 无线网络连接方法、无线接入点、服务器及系统 |
| CN107040922B (zh) * | 2016-05-05 | 2019-11-26 | 腾讯科技(深圳)有限公司 | 无线网络连接方法、装置及系统 |
| CN105873035A (zh) * | 2016-05-19 | 2016-08-17 | 福州市协成智慧科技有限公司 | 一种安全的ap信息处理方法 |
| CN106412897A (zh) * | 2016-10-08 | 2017-02-15 | 西安瀚炬网络科技有限公司 | 基于服务器的WiFi认证方法 |
| CN108306793A (zh) * | 2016-10-09 | 2018-07-20 | 杭州萤石网络有限公司 | 智能设备、智能家居网关、建立连接的方法及系统 |
| CN108306793B (zh) * | 2016-10-09 | 2021-01-22 | 杭州萤石网络有限公司 | 智能设备、智能家居网关、建立连接的方法及系统 |
| CN106713338A (zh) * | 2017-01-03 | 2017-05-24 | 上海金融云服务集团安全技术有限公司 | 一种基于服务器硬件信息的长连接隧道建立方法 |
| WO2018201946A1 (zh) * | 2017-05-05 | 2018-11-08 | 华为技术有限公司 | 锚密钥生成方法、设备以及系统 |
| CN109874139A (zh) * | 2017-05-05 | 2019-06-11 | 华为技术有限公司 | 锚密钥生成方法、设备以及系统 |
| CN110612729A (zh) * | 2017-05-05 | 2019-12-24 | 华为技术有限公司 | 锚密钥生成方法、设备以及系统 |
| CN109874139B (zh) * | 2017-05-05 | 2020-02-07 | 华为技术有限公司 | 锚密钥生成方法、设备以及系统 |
| CN108810890A (zh) * | 2017-05-05 | 2018-11-13 | 华为技术有限公司 | 锚密钥生成方法、设备以及系统 |
| US11012855B2 (en) | 2017-05-05 | 2021-05-18 | Huawei Technologies Co., Ltd. | Anchor key generation method, device, and system |
| US10966083B2 (en) | 2017-05-05 | 2021-03-30 | Huawei Technologies Co., Ltd. | Anchor key generation method, device, and system |
| CN109391594A (zh) * | 2017-08-09 | 2019-02-26 | 中国电信股份有限公司 | 安全认证系统和方法 |
| CN107426724A (zh) * | 2017-08-09 | 2017-12-01 | 上海斐讯数据通信技术有限公司 | 智能家电接入无线网络的方法及系统及终端及认证服务器 |
| CN108769992B (zh) * | 2018-06-12 | 2021-06-18 | 腾讯科技(深圳)有限公司 | 用户认证方法、装置、终端及存储介质 |
| CN108769992A (zh) * | 2018-06-12 | 2018-11-06 | 腾讯科技(深圳)有限公司 | 用户认证方法、装置、终端及存储介质 |
| CN111050321A (zh) * | 2018-10-12 | 2020-04-21 | 中兴通讯股份有限公司 | 一种数据处理方法、装置及存储介质 |
| CN111010388A (zh) * | 2019-12-11 | 2020-04-14 | 紫光云(南京)数字技术有限公司 | 一种基于kms的设备接入认证系统及方法 |
| CN111010388B (zh) * | 2019-12-11 | 2022-08-12 | 紫光云(南京)数字技术有限公司 | 一种基于kms的设备接入认证系统及方法 |
| CN111865962A (zh) * | 2020-07-16 | 2020-10-30 | 国网山东省电力公司青岛供电公司 | 一种WiFi安全登录认证系统及方法 |
| CN111865962B (zh) * | 2020-07-16 | 2022-04-08 | 国网山东省电力公司青岛供电公司 | 一种WiFi安全登录认证系统及方法 |
| WO2022135393A1 (zh) * | 2020-12-26 | 2022-06-30 | 西安西电捷通无线网络通信股份有限公司 | 身份鉴别方法、鉴别接入控制器、请求设备、鉴别服务器、存储介质、程序、及程序产品 |
| CN112822162A (zh) * | 2020-12-29 | 2021-05-18 | 重庆川仪自动化股份有限公司 | 一种基于区块链的设备验证连接方法及系统 |
| CN112822162B (zh) * | 2020-12-29 | 2023-05-23 | 重庆川仪自动化股份有限公司 | 一种基于区块链的设备验证连接方法及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN105554747B (zh) | 2018-09-04 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN105554747B (zh) | 无线网络连接方法、装置及系统 | |
| CN107040922B (zh) | 无线网络连接方法、装置及系统 | |
| US10638321B2 (en) | Wireless network connection method and apparatus, and storage medium | |
| JP6612358B2 (ja) | ネットワークアクセスデバイスをワイヤレスネットワークアクセスポイントにアクセスさせるための方法、ネットワークアクセスデバイス、アプリケーションサーバ、および不揮発性コンピュータ可読記憶媒体 | |
| US8429404B2 (en) | Method and system for secure communications on a managed network | |
| WO2017185692A1 (zh) | 密钥分发、认证方法,装置及系统 | |
| WO2017185999A1 (zh) | 密钥分发、认证方法,装置及系统 | |
| US10567165B2 (en) | Secure key transmission protocol without certificates or pre-shared symmetrical keys | |
| CN107800539B (zh) | 认证方法、认证装置和认证系统 | |
| CN100370772C (zh) | 一种无线局域网移动终端接入的方法 | |
| US11044084B2 (en) | Method for unified network and service authentication based on ID-based cryptography | |
| CN1929371B (zh) | 用户和外围设备协商共享密钥的方法 | |
| CN110087240B (zh) | 基于wpa2-psk模式的无线网络安全数据传输方法及系统 | |
| CN107026823B (zh) | 应用于无线局域网wlan中的接入认证方法和终端 | |
| CN105554760A (zh) | 无线接入点认证方法、装置及系统 | |
| CN108882233B (zh) | 一种imsi的加密方法、核心网和用户终端 | |
| CN109561431B (zh) | 基于多口令身份鉴别的wlan接入访问控制系统及方法 | |
| CN102685742B (zh) | 一种wlan接入认证方法和装置 | |
| US10671717B2 (en) | Communication device, communication method and computer program | |
| Pomak et al. | Enterprise WiFi Hotspot Authentication with Hybrid Encryption on NFC-Enabled Smartphones | |
| WO2023083170A1 (zh) | 密钥生成方法、装置、终端设备及服务器 | |
| CN113543131A (zh) | 网络连接管理方法、装置、计算机可读介质及电子设备 | |
| CN114157413A (zh) | 信息处理方法、装置、设备及存储介质 | |
| KR20130062965A (ko) | 무선 네트워크 접속 인증 방법 및 그 시스템 | |
| JP2013211637A (ja) | 端末認証システム並びに端末装置、チケット配布装置及びルータ端末装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |