CN106102062A - 一种公共无线网络接入方法及装置 - Google Patents
一种公共无线网络接入方法及装置 Download PDFInfo
- Publication number
- CN106102062A CN106102062A CN201610421712.XA CN201610421712A CN106102062A CN 106102062 A CN106102062 A CN 106102062A CN 201610421712 A CN201610421712 A CN 201610421712A CN 106102062 A CN106102062 A CN 106102062A
- Authority
- CN
- China
- Prior art keywords
- random code
- certificate server
- certificate
- mobile terminal
- digital certificate
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
- H04L63/0838—Network architectures or network communication protocols for network security for authentication of entities using passwords using one-time-passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0869—Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3226—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
- H04L9/3228—One-time or temporary data, i.e. information which is sent for every authentication or authorization, e.g. one-time-password, one-time-token or one-time-key
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3271—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
- H04L9/3273—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response for mutual authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/72—Signcrypting, i.e. digital signing and encrypting simultaneously
Abstract
本发明提供一种公共无线网络接入方法及装置,通过认证服务器分别向移动终端和AP下发第一数字证书和第二数字证书,由移动终端生成随机码,AP收到这个随机码后,根据第二数字证书与所述认证服务器对该随机码进行验证,在验证通过后,认证服务器对所述随机码签名并加密,移动终端进一步根据第一数字证书解密并验证该随机码,从而判断当前AP是否可信,并确定是否与该AP建立连接。在本发明的方案中,移动终端、认证服务器和AP对长度和字符不定的随机码进行验证,且认证服务器分别为移动终端和AP分配密钥以验证随机码,改变了公共无线网络接入认证的机制,提高公共无线网络接入的安全性和可靠性。
Description
技术领域
本发明涉及通信技术领域,具体涉及一种公共无线网络接入方法及装置。
背景技术
目前支持WIFI功能的手机已经广泛普及,同时,各大商业楼宇以及机场、车站、公交车等公共场所内都基本实现了WIFI的覆盖。这些WIFI的提供者有些是电信运营商,有些则是商户自身。而这些WIFI热点由于乏统一管理,难免其中混杂一些带有不良意图的WIFI热点。
现有的WIFI热点接入通常只涉及热点名称和接入密码两条信息,移动终端用户通过搜寻热点并输入密码建立与AP的连接,而有些免费的WIFI热点甚至于不需要密码即可接入。
在现有的这种公共无线网络接入方案中,用户无法判断当前连接的WIFI热点是否可信。用户使用移动终端连接这些WIFI热点时,如果这些热点恶意收集用户信息,很可能导致用户个人信息泄露。随着移动支付、快捷支付的普及,包括各类互联网账号及密码等用户信息的泄露,可能会造成用户的银行卡号、身份证号、银行密码等重要敏感信息泄露,会给用户带来巨大的财产损失。
因此,亟需一种公共无线网络接入方案以解决上述技术问题。
发明内容
本发明针对现有技术中存在的上述不足,提供一种公共无线网络接入方法及装置,用以至少部分解决公共无线网络接入安全性差的问题。
本发明为解决上述技术问题,采用如下技术方案:
本发明提供一种公共无线网络接入方法,应用于包括认证服务器、移动终端和无线访问接入点AP的系统中,移动终端中存储有认证服务器下发的第一数字证书,AP中存储有认证服务器下发的第二数字证书;所述方法包括:
移动终端生成随机码,并向所述AP发送携带所述随机码的DHCP请求,以使所述AP与认证服务器根据所述第二数字证书验证所述随机码;
所述移动终端接收所述AP发送的DHCP响应,若从DHCP响应中获取到IP地址和已签名并加密的随机码,则根据第一数字证书解密并验证所述已签名并加密的随机码,所述已签名并加密的随机码是认证服务器签名并加密的随机码;若验证通过,则配置所述IP地址,并建立与所述IP地址对应的AP的连接。
本发明还提供一种公共无线网络接入方法,应用于包括认证服务器、移动终端和无线访问接入点AP的系统中,认证服务器向移动终端下发第一数字证书,并向AP下发第二数字证书;所述方法包括:
认证服务器接收AP发送的随机码,所述随机码是AP对从移动终端发送的DHCP请求中获取到的随机码根据第二数字证书签名并加密后得到的;
认证服务器解密所述随机码,并验证所述随机码的签名,若解密成功且签名验证通过,则根据认证服务器的私钥对所述随机码进行签名和加密;
认证服务器向AP发送所述根据认证服务器的私钥签名并加密的随机码,以使AP将所述根据认证服务器的私钥签名并加密的随机码发送至移动终端,并使移动终端根据第一数字证书解密并验证。
本发明还提供一种公共无线网络接入方法,应用于包括认证服务器、移动终端和无线访问接入点AP的系统中,移动终端中存储有认证服务器下发的第一数字证书,AP中存储有认证服务器下发的第二数字证书;所述方法包括:
AP接收移动终端发送的DHCP请求,获取其中携带的随机码,并根据第二数字证书对所述随机码签名并加密;
所述AP向认证服务器发送已根据第二数字证书签名并加密的随机码,以使认证服务器解密并验证所述随机码;
所述AP接收认证服务器发送的随机码,所述随机码是认证服务器对所述随机码解密成功且签名验证通过后,根据认证服务器的私钥签名并加密的随机码;
所述AP为所述移动终端分配IP地址,并向所述移动终端返回DHCP响应,其中携带有所述IP地址和根据认证服务器的私钥签名并加密的随机码,以使所述移动终端根据第一数字证书解密并验证所述随机码,并在解密成功且验证通过后,与本设备建立连接。
本发明还提供一种移动终端,包括:随机码生成模块、收发模块、获取模块、验证模块和DHCP连接模块,所述验证模块内存储有认证服务器下发的第一数字证书;
随机码生成模块用于生成随机码;
收发模块用于,向AP发送携带所述随机码的DHCP请求,以使所述AP与认证服务器根据预存在AP内的第二数字证书验证所述随机码;以及,接收所述AP发送的DHCP响应;
获取模块用于,从DHCP响应中获取IP地址和已签名并加密的随机码;
验证模块用于,当所述获取模块从DHCP响应中获取到IP地址和已签名并加密的随机码时,根据第一数字证书解密并验证所述已签名并加密的随机码,所述已签名并加密的随机码是认证服务器签名并加密的随机码;
DHCP连接模块用于,当所述验证模块验证通过时,配置所述IP地址,并建立与所述IP地址对应的AP的连接。
本发明提供还一种认证服务器,包括:第一收发模块、第二收发模块、验证模块和处理模块;
第一收发模块用于,向移动终端下发第一数字证书;
第二收发模块用于,向AP下发第二数字证书;以及,接收AP发送的随机码,所述随机码是AP对从移动终端发送的DHCP请求中获取到的随机码根据第二数字证书签名并加密后得到的;
验证模块用于,解密所述随机码,并验证所述随机码的签名;
处理模块用于,当所述验证模块解密成功且签名验证通过时,根据认证服务器的私钥对所述随机码进行签名和加密,并指示所述第二收发模块向AP发送根据认证服务器的私钥签名并加密的随机码,以使AP将所述根据认证服务器的私钥签名并加密的随机码发送至移动终端,并使移动终端根据第一数字证书解密并验证。
本发明还提供一种AP,包括:第一收发模块、处理模块、第二收发模块和DHCP连接模块,所述处理模块内存储有认证服务器下发的第二数字证书;
第一收发模块用于,接收移动终端发送的DHCP请求;
处理模块用于,获取其中携带的随机码,并根据所述第二数字证书对所述随机码签名并加密;
第二收发模块用于,向认证服务器发送已根据第二数字证书签名并加密的随机码,以使认证服务器解密并验证所述随机码;以及,接收认证服务器发送的随机码,所述随机码是认证服务器对所述随机码解密成功且签名验证通过后,根据认证服务器的私钥签名并加密的随机码;
DHCP连接模块用于,为所述移动终端分配IP地址,并指示所述第一收发模块向所述移动终端返回DHCP响应,其中携带有所述IP地址和根据认证服务器的私钥签名并加密的随机码,以使所述移动终端根据存储的第一数字证书解密并验证所述随机码,并在解密成功且验证通过后,与本设备建立连接,所述第一数字证书是认证服务器下发给所述移动终端的。
本发明通过认证服务器分别向移动终端和AP下发第一数字证书和第二数字证书,由移动终端生成随机码,AP收到这个随机码后,根据第二数字证书与所述认证服务器对该随机码进行验证,在验证通过后,认证服务器对所述随机码签名并加密,移动终端进一步根据第一数字证书解密并验证该随机码,从而判断当前AP是否可信,并确定是否与该AP建立连接。在本发明的方案中,移动终端、认证服务器和AP对长度和字符不定的随机码进行验证,且认证服务器分别为移动终端和AP分配密钥以验证随机码,改变了公共无线网络接入认证的机制,提高公共无线网络接入的安全性和可靠性。
附图说明
图1为本发明的公共无线网络接入的信令流程图之一;
图2为本发明的公共无线网络接入的信令流程图之二;
图3为本发明的移动终端的结构示意图;
图4为本发明的认证服务器的结构示意图;
图5为本发明的AP的结构示意图。
具体实施方式
下面将结合本发明中的附图,对本发明中的技术方案进行清楚、完整的描述,显然,所描述的实施例是本发明的一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明的公共无线网络接入方法应用于包括:认证服务器、移动终端和无线访问接入点AP的系统中,移动终端能够通过与AP建立连接,接入公共无线网络,认证服务器用于对AP进行认证。移动终端中存储有认证服务器下发的第一数字证书,AP中存储有认证服务器下发的第二数字证书。移动终端定期向认证服务器申请第一数字证书,AP定期向认证服务器申请第二数字证书,移动终端和AP向认证服务器申请数字证书的过程后续再详细说明。
第一数字证书至少包括认证服务器公钥,第二数字证书可以包括:认证服务器公钥和AP私钥。需要说明的是,认证服务器向AP下发第二数字证书时,将AP公钥保存在本设备中,AP公钥与AP私钥为AP密钥,二者在验证过程中成对使用。
以下结合图1,对本发明的公共无线网络接入流程进行详细说明。如图1所示,所述公共无线网络接入流程包括以下步骤:
步骤101,移动终端生成随机码。
具体的,移动终端在搜索到AP后,生成一个长度和字符集不定的随机码。
步骤102,移动终端向AP发送携带所述随机码的DHCP请求。
具体的,本发明对DHCP请求的OPTION43选项进行自定义设置,在DHCP请求的OPTION43选项中携带所述随机码,即将所述随机码以明文的方式填写在OPTION43选项中,并将携带有所述随机码的DHCP请求发送给AP。
步骤103,AP与认证服务器根据第二数字证书验证所述随机码,认证服务器在验证通过后,对所述随机码签名并加密并发送给AP。
具体的,AP将所述随机码发送给认证服务器,在此过程中,认证服务器与AP之间根据第二数字证书对所述随机码进行签名验证。在认证服务器对所述随机码验证通过后,认证服务器利用认证服务器私钥对所述随机码签名并加密,并将根据证服务器私钥签名且加密的随机码发送给所述AP。
上述AP与认证服务器根据第二数字证书验证所述随机码的流程后续结合图2再详细描述。
步骤104,移动终端接收所述AP发送的DHCP响应。
具体的,AP接收到认证服务器发送的根据证服务器私钥签名并加密的随机码后,分配IP地址,将所述IP地址填写在DHCP响应的基础字段,并将所述根据证服务器私钥签名并加密的随机码填写在DHCP响应的OPTION43选项中,并向移动终端返回DHCP响应。
需要说明的是,如果AP不支持OPTION 43选项自定义扩展,则AP在向移动终端返回的DHCP响应中只携带分配的IP地址,而不包含OPTION 43选项,或者即使有OPTION 43选项,但其中不包含根据证服务器私钥签名并加密的随机码。
步骤105,移动终端从DHCP响应中获取IP地址和已签名并加密的随机码。
具体的,移动终端从DHCP响应的OPTION43选项获取已签名并加密的随机码。
需要说明的是,当AP不支持OPTION 43选项自定义扩展时,移动终端无法从DHCP响应中获取到随机码,此时会提示用户当前网络连接可能不安全,由用户决定是否需要继续使用当前AP。
步骤106,移动终端根据第一数字证书解密并验证所述已签名并加密的随机码。
具体的,所述已签名并加密的随机码是认证服务器签名并加密的随机码。移动终端根据认证服务器公钥解密所述已签名并加密的随机码,将解密的随机码与步骤101中移动终端的生成的随机码相比较,若解密的随机码与步骤101中移动终端的生成的随机码相同,且所述随机码的签名为认证服务器的签名,则验证通过,否则验证未通过。
步骤107,若验证通过,则移动终端配置所述IP地址,并建立与所述IP地址对应的AP的连接。
具体的,若所述随机码验证通过,则移动终端将所述IP地址配置在本地网络连接设备上,此时,移动终端可以安全地通过该AP接入网络。若所述随机码验证未通过,则移动终端在本地网络连接设备上不配置所述IP地址,并不与所述IP地址对应的AP的连接。
通过步骤101-107可以看出,本发明通过认证服务器分别向移动终端和AP下发第一数字证书和第二数字证书,由移动终端生成随机码,AP收到这个随机码后,根据第二数字证书与所述认证服务器对该随机码进行验证,在验证通过后,认证服务器对所述随机码签名并加密,移动终端进一步根据第一数字证书解密并验证该随机码,从而判断当前AP是否可信,并确定是否与该AP建立连接。在本发明的方案中,移动终端、认证服务器和AP对长度和字符不定的随机码进行验证,且认证服务器分别为移动终端和AP分配密钥以验证随机码,改变了公共无线网络接入认证的机制,提高公共无线网络接入的安全性和可靠性。
以下结合图2,详细说明AP与认证服务器根据第二数字证书验证所述随机码的流程。如图2所示,所述流程包括以下步骤:
步骤1031,AP接收移动终端发送的DHCP请求,获取其中携带的随机码,并根据第二数字证书对所述随机码签名并加密。
具体的,AP收到移动终端发送的DHCP请求后,检测DHCP请求中是否包含OPTION 43选项,如果包含,则将OPTION 43选项中的随机码提取出来。AP根据AP私钥对所述随机码签名,并根据认证服务器公钥加密所述已签名的随机码。
步骤1032,AP将根据第二数字证书签名并加密的随机码发送给认证服务器。
具体的,AP将根据第二数字证书签名并加密后得到的随机码通过密文方式发送给认证服务器,以使认证服务器对该随机码做进一步处理。
步骤1033,认证服务器解密所述随机码,并验证所述随机码的签名。
具体的,认证服务器根据认证服务器私钥解密所述随机码,并根据AP公钥验证所述随机码的签名是否为AP的签名。
步骤1034,若解密成功且签名验证通过,则根据认证服务器的私钥对所述随机码进行签名和加密。
具体的,若认证服务器对所述随机码解密成功,且验证所述签名为AP的签名,则根据认证服务器的私钥对所述随机码进行签名,并根据认证服务器的私钥对所述随机码进行加密。
步骤1035,认证服务器向AP发送所述根据认证服务器的私钥签名并加密的随机码。
具体的,认证服务器将所述根据认证服务器的私钥签名并加密的随机码以密文方式发送给AP,以使AP将所述根据认证服务器的私钥签名并加密的随机码发送至移动终端(即执行步骤104)。
进一步的,在步骤1034之后,还可以执行以下步骤:认证服务器向AP发送所述AP的授信等级,以使AP将所述授信等级发送至移动终端。具体的,可以在步骤1035中,将所述随机码和所述AP的授信等级一同发送给所述AP,以使AP在发送给移动终端的DHCP响应的OPTION43选项中携带所述AP的授信等级。相应的,在步骤105中,移动终端从DHCP响应中还获取所述AP的授信等级并显示,以使移动终端用户根据该AP的授信等级确定是否与该AP建立连接。
至此,AP与认证服务器根据所述第二数字证书验证所述随机码的流程结束。
第一数字证书还可以包括移动终端私钥,认证服务器向移动终端下发第一数字证书时,将移动终端公钥保存在本设备中,移动终端公钥与移动终端私钥为移动终端密钥,二者在验证过程中成对使用。
需要说明的是,第一数字证书与第二数字证书具有生命周期,当其生命周期到达之前,移动终端和AP向认证服务器重申请新的数字证书,从而保证安全性。当第一数字证书过期需要更新时,移动终端可以首先通过上述方法连接到安全的AP,并通过该AP通过SSL连接到认证服务器,下载更新后的第一数字证书。
以下详细说明第一数字证书的更新流程。第一数字证书的更新流程如下:
在第一数字证书的生命周期到达前的预设时刻,移动终端根据移动终端私钥加密数字证书请求标识,并向认证服务器发送携带有已加密的数字证书请求标识的第一数字证书更新请求。认证服务器根据移动终端公钥解密第一数字证书更新请求中的数字证书请求标识。认证服务器在获取到数字证书请求标识后,根据认证服务器私钥加密更新后的第一数字证书。认证服务器向移动终端返回第一数字证书更新响应,其中携带有根据认证服务器私钥加密的更新后的第一数字证书。移动终端根据认证服务器公钥解密所述第一数字证书更新响应中携带的更新后的第一数字证书,并在更新前的第一数字证书的生命周期到达时,在本设备上更新第一数字证书。
第二数字证书的更新流程与第一数字证书的更新流程的区别在于发起第二数字证书更新请求的主体为AP,因此不再赘述。
本发明的公共无线网络接入方案,能够对WIFI热点身份由第三方认证服务器进行验证,从而保证移动终端在连接WIFI热点时,能够确切知道该热点提供者的身份以及受信等级。移动用户可以根据自己的应用场景决定是否要连接到该WIFI热点,或者是否使用该WIFI热点发送敏感信息,从而提高安全性。
基于相同的技术构思,本发明实施例还提供一种移动终端,如图3所示,该移动终端可以包括:随机码生成模块31、收发模块32、获取模块33、验证模块34和DHCP连接模块35,验证模块34内存储有认证服务器下发的第一数字证书。
随机码生成模块31用于生成随机码。
收发模块32用于,向AP发送携带所述随机码的DHCP请求,以使所述AP与认证服务器根据预存在AP内的第二数字证书验证所述随机码;以及,接收所述AP发送的DHCP响应。
获取模块33用于,从DHCP响应中获取IP地址和已签名并加密的随机码。
验证模块34用于,当获取模块33从DHCP响应中获取到IP地址和已签名并加密的随机码时,根据第一数字证书解密并验证所述已签名并加密的随机码,所述已签名并加密的随机码是认证服务器签名并加密的随机码。
DHCP连接模块35用于,当验证模块34验证通过时,配置所述IP地址,并建立与所述IP地址对应的AP的连接。
优选的,随机码生成模块31具体用于,在DHCP请求的OPTION43选项携带所述随机码。
获取模块33具体用于,从DHCP响应的OPTION43选项获取到已签名并加密的随机码。
优选的,所述第一数字证书包括认证服务器公钥。
验证模块34具体用于,根据认证服务器公钥解密所述已签名并加密的随机码,根据本设备生成的随机码验证解密后的随机码,并验证所述签名。
基于相同的技术构思,本发明实施例还提供一种认证服务器,如图4所示,该认证服务器可以包括:第一收发模块41、第二收发模块42、验证模块43和处理模块44。
第一收发模块41用于,向移动终端下发第一数字证书。
第二收发模块42用于,向AP下发第二数字证书;以及,接收AP发送的随机码,所述随机码是AP对从移动终端发送的DHCP请求中获取到的随机码根据第二数字证书签名并加密后得到的。
验证模块43用于,解密所述随机码,并验证所述随机码的签名。
处理模块44用于,当验证模块43解密成功且签名验证通过时,根据认证服务器的私钥对所述随机码进行签名和加密,并指示所述第二收发模块向AP发送根据认证服务器的私钥签名并加密的随机码,以使AP将所述根据认证服务器的私钥签名并加密的随机码发送至移动终端,并使移动终端根据第一数字证书解密并验证。
优选的,所述第二数字证书包括:认证服务器公钥和AP密钥,AP密钥包括AP私钥。
验证模块43具体用于,根据认证服务器私钥解密所述随机码,并根据AP公钥验证所述随机码的签名。
进一步的,处理模块44还用于,在根据认证服务器的私钥对所述随机码进行签名和加密之后,指示第二收发模块42向AP发送所述AP的授信等级,以使AP将所述授信等级发送至移动终端。
基于相同的技术构思,本发明实施例还提供一种AP,如图5所示,该AP可以包括:第一收发模块51、处理模块52、第二收发模块53和DHCP连接模块54,处理模块52内存储有认证服务器下发的第二数字证书。
第一收发模块51用于,接收移动终端发送的DHCP请求。
处理模块52用于,获取其中携带的随机码,并根据所述第二数字证书对所述随机码签名并加密。
第二收发模块53用于,向认证服务器发送已根据第二数字证书签名并加密的随机码,以使认证服务器解密并验证所述随机码;以及,接收认证服务器发送的随机码,所述随机码是认证服务器对所述随机码解密成功且签名验证通过后,根据认证服务器的私钥签名并加密的随机码。
DHCP连接模块54用于,为所述移动终端分配IP地址,并指示所述第一收发模块向所述移动终端返回DHCP响应,其中携带有所述IP地址和根据认证服务器的私钥签名并加密的随机码,以使所述移动终端根据存储的第一数字证书解密并验证所述随机码,并在解密成功且验证通过后,与本设备建立连接,所述第一数字证书是认证服务器下发给所述移动终端的。
优选的,所述第二数字证书包括:认证服务器公钥和AP密钥,AP密钥包括AP私钥。
处理模块52具体用于,根据AP私钥对所述随机码签名,并根据认证服务器公钥加密所述已签名的随机码。
优选的,DHCP连接模块54具体用于,在DHCP响应的OPTION43选项中携带根据认证服务器的私钥签名并加密的随机码。
可以理解的是,以上实施方式仅仅是为了说明本发明的原理而采用的示例性实施方式,然而本发明并不局限于此。对于本领域内的普通技术人员而言,在不脱离本发明的精神和实质的情况下,可以做出各种变型和改进,这些变型和改进也视为本发明的保护范围。
Claims (18)
1.一种公共无线网络接入方法,其特征在于,应用于包括认证服务器、移动终端和无线访问接入点AP的系统中,移动终端中存储有认证服务器下发的第一数字证书,AP中存储有认证服务器下发的第二数字证书;所述方法包括:
移动终端生成随机码,并向所述AP发送携带所述随机码的DHCP请求,以使所述AP与认证服务器根据所述第二数字证书验证所述随机码;
所述移动终端接收所述AP发送的DHCP响应,若从DHCP响应中获取到IP地址和已签名并加密的随机码,则根据第一数字证书解密并验证所述已签名并加密的随机码,所述已签名并加密的随机码是认证服务器签名并加密的随机码;若验证通过,则配置所述IP地址,并建立与所述IP地址对应的AP的连接。
2.如权利要求1所述的方法,其特征在于,在DHCP请求的OPTION43选项携带所述随机码;
所述从DHCP响应中获取到已签名并加密的随机码,具体包括:从DHCP响应的OPTION43选项获取到已签名并加密的随机码。
3.如权利要求1所述的方法,其特征在于,所述第一数字证书包括认证服务器公钥;
所述移动终端根据第一数字证书解密并验证所述已签名并加密的随机码,具体包括:所述移动终端根据认证服务器公钥解密所述已签名并加密的随机码,根据本设备生成的随机码验证解密后的随机码,并验证所述签名。
4.一种公共无线网络接入方法,其特征在于,应用于包括认证服务器、移动终端和无线访问接入点AP的系统中,认证服务器向移动终端下发第一数字证书,并向AP下发第二数字证书;所述方法包括:
认证服务器接收AP发送的随机码,所述随机码是AP对从移动终端发送的DHCP请求中获取到的随机码根据第二数字证书签名并加密后得到的;
认证服务器解密所述随机码,并验证所述随机码的签名,若解密成功且签名验证通过,则根据认证服务器的私钥对所述随机码进行签名和加密;
认证服务器向AP发送所述根据认证服务器的私钥签名并加密的随机码,以使AP将所述根据认证服务器的私钥签名并加密的随机码发送至移动终端,并使移动终端根据第一数字证书解密并验证。
5.如权利要求4所述的方法,其特征在于,所述第二数字证书包括:认证服务器公钥和AP密钥,AP密钥包括AP私钥;
所述认证服务器解密所述随机码,并验证所述随机码的签名,具体包括:认证服务器根据认证服务器私钥解密所述随机码,并根据AP公钥验证所述随机码的签名。
6.如权利要求4所述的方法,其特征在于,所述根据认证服务器的私钥对所述随机码进行签名和加密之后,所述方法还包括:
认证服务器向AP发送所述AP的授信等级,以使AP将所述授信等级发送至移动终端。
7.一种公共无线网络接入方法,其特征在于,应用于包括认证服务器、移动终端和无线访问接入点AP的系统中,移动终端中存储有认证服务器下发的第一数字证书,AP中存储有认证服务器下发的第二数字证书;所述方法包括:
AP接收移动终端发送的DHCP请求,获取其中携带的随机码,并根据第二数字证书对所述随机码签名并加密;
所述AP向认证服务器发送已根据第二数字证书签名并加密的随机码,以使认证服务器解密并验证所述随机码;
所述AP接收认证服务器发送的随机码,所述随机码是认证服务器对所述随机码解密成功且签名验证通过后,根据认证服务器的私钥签名并加密的随机码;
所述AP为所述移动终端分配IP地址,并向所述移动终端返回DHCP响应,其中携带有所述IP地址和根据认证服务器的私钥签名并加密的随机码,以使所述移动终端根据第一数字证书解密并验证所述随机码,并在解密成功且验证通过后,与本设备建立连接。
8.如权利要求7所述的方法,其特征在于,所述第二数字证书包括:认证服务器公钥和AP密钥,AP密钥包括AP私钥;
所述根据第二数字证书对所述随机码签名并加密,具体包括:根据AP私钥对所述随机码签名,并根据认证服务器公钥加密所述已签名的随机码。
9.如权利要求7所述的方法,其特征在于,在DHCP响应的OPTION43选项中携带根据认证服务器的私钥签名并加密的随机码。
10.一种移动终端,其特征在于,包括:随机码生成模块、收发模块、获取模块、验证模块和DHCP连接模块,所述验证模块内存储有认证服务器下发的第一数字证书;
随机码生成模块用于生成随机码;
收发模块用于,向AP发送携带所述随机码的DHCP请求,以使所述AP与认证服务器根据预存在AP内的第二数字证书验证所述随机码;以及,接收所述AP发送的DHCP响应;
获取模块用于,从DHCP响应中获取IP地址和已签名并加密的随机码;
验证模块用于,当所述获取模块从DHCP响应中获取到IP地址和已签名并加密的随机码时,根据第一数字证书解密并验证所述已签名并加密的随机码,所述已签名并加密的随机码是认证服务器签名并加密的随机码;
DHCP连接模块用于,当所述验证模块验证通过时,配置所述IP地址,并建立与所述IP地址对应的AP的连接。
11.如权利要求10所述的移动终端,其特征在于,所述随机码生成模块具体用于,在DHCP请求的OPTION43选项携带所述随机码;
所述获取模块具体用于,从DHCP响应的OPTION43选项获取到已签名并加密的随机码。
12.如权利要求10所述的移动终端,其特征在于,所述第一数字证书包括认证服务器公钥;
所述验证模块具体用于,根据认证服务器公钥解密所述已签名并加密的随机码,根据本设备生成的随机码验证解密后的随机码,并验证所述签名。
13.一种认证服务器,其特征在于,包括:第一收发模块、第二收发模块、验证模块和处理模块;
第一收发模块用于,向移动终端下发第一数字证书;
第二收发模块用于,向AP下发第二数字证书;以及,接收AP发送的随机码,所述随机码是AP对从移动终端发送的DHCP请求中获取到的随机码根据第二数字证书签名并加密后得到的;
验证模块用于,解密所述随机码,并验证所述随机码的签名;
处理模块用于,当所述验证模块解密成功且签名验证通过时,根据认证服务器的私钥对所述随机码进行签名和加密,并指示所述第二收发模块向AP发送根据认证服务器的私钥签名并加密的随机码,以使AP将所述根据认证服务器的私钥签名并加密的随机码发送至移动终端,并使移动终端根据第一数字证书解密并验证。
14.如权利要求13所述的认证服务器,其特征在于,所述第二数字证书包括:认证服务器公钥和AP密钥,AP密钥包括AP私钥;
所述验证模块具体用于,根据认证服务器私钥解密所述随机码,并根据AP公钥验证所述随机码的签名。
15.如权利要求13所述的认证服务器,其特征在于,所述处理模块还用于,在根据认证服务器的私钥对所述随机码进行签名和加密之后,指示所述第二收发模块向AP发送所述AP的授信等级,以使AP将所述授信等级发送至移动终端。
16.一种无线访问接入点AP,其特征在于,包括:第一收发模块、处理模块、第二收发模块和DHCP连接模块,所述处理模块内存储有认证服务器下发的第二数字证书;
第一收发模块用于,接收移动终端发送的DHCP请求;
处理模块用于,获取其中携带的随机码,并根据所述第二数字证书对所述随机码签名并加密;
第二收发模块用于,向认证服务器发送已根据第二数字证书签名并加密的随机码,以使认证服务器解密并验证所述随机码;以及,接收认证服务器发送的随机码,所述随机码是认证服务器对所述随机码解密成功且签名验证通过后,根据认证服务器的私钥签名并加密的随机码;
DHCP连接模块用于,为所述移动终端分配IP地址,并指示所述第一收发模块向所述移动终端返回DHCP响应,其中携带有所述IP地址和根据认证服务器的私钥签名并加密的随机码,以使所述移动终端根据存储的第一数字证书解密并验证所述随机码,并在解密成功且验证通过后,与本设备建立连接,所述第一数字证书是认证服务器下发给所述移动终端的。
17.如权利要求16所述的AP,其特征在于,所述第二数字证书包括:认证服务器公钥和AP密钥,AP密钥包括AP私钥;
所述处理模块具体用于,根据AP私钥对所述随机码签名,并根据认证服务器公钥加密所述已签名的随机码。
18.如权利要求16所述的AP,其特征在于,所述DHCP连接模块具体用于,在DHCP响应的OPTION43选项中携带根据认证服务器的私钥签名并加密的随机码。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610421712.XA CN106102062B (zh) | 2016-06-14 | 2016-06-14 | 一种公共无线网络接入方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610421712.XA CN106102062B (zh) | 2016-06-14 | 2016-06-14 | 一种公共无线网络接入方法及装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN106102062A true CN106102062A (zh) | 2016-11-09 |
CN106102062B CN106102062B (zh) | 2020-02-11 |
Family
ID=57845815
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201610421712.XA Active CN106102062B (zh) | 2016-06-14 | 2016-06-14 | 一种公共无线网络接入方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN106102062B (zh) |
Cited By (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106412904A (zh) * | 2016-11-28 | 2017-02-15 | 上海斐讯数据通信技术有限公司 | 一种防假冒用户认证权限的方法及系统 |
CN106789924A (zh) * | 2016-11-25 | 2017-05-31 | 北京天威诚信电子商务服务有限公司 | 一种使用移动终端的数字证书保护web站点登录的方法及系统 |
CN108566378A (zh) * | 2018-03-14 | 2018-09-21 | 福建天泉教育科技有限公司 | 一种防止mitm攻击的方法及系统 |
CN108882237A (zh) * | 2018-05-31 | 2018-11-23 | 四川斐讯信息技术有限公司 | 一种数字证书式的无线入网验证方法及系统 |
CN109218334A (zh) * | 2018-11-13 | 2019-01-15 | 迈普通信技术股份有限公司 | 数据处理方法、装置、接入控制设备、认证服务器及系统 |
CN109803255A (zh) * | 2018-12-18 | 2019-05-24 | 武汉华工赛百数据系统有限公司 | 用于数字化车间的移动数据信息安全通信系统及方法 |
CN110351730A (zh) * | 2019-06-24 | 2019-10-18 | 惠州Tcl移动通信有限公司 | 移动终端wifi处理方法、移动终端及存储介质 |
CN114513364A (zh) * | 2022-02-25 | 2022-05-17 | 杭州涂鸦信息技术有限公司 | 一种服务授权方法及相关组件 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105050081A (zh) * | 2015-08-19 | 2015-11-11 | 腾讯科技(深圳)有限公司 | 网络接入设备接入无线网络接入点的方法、装置和系统 |
CN105530633A (zh) * | 2014-09-30 | 2016-04-27 | 中国电信股份有限公司 | 实现WiFi接入服务的方法、系统和设备 |
CN105554760A (zh) * | 2016-01-29 | 2016-05-04 | 腾讯科技(深圳)有限公司 | 无线接入点认证方法、装置及系统 |
CN105578464A (zh) * | 2015-07-31 | 2016-05-11 | 宇龙计算机通信科技(深圳)有限公司 | 一种增强的wlan证书鉴别方法、装置及系统 |
CN105657702A (zh) * | 2016-04-07 | 2016-06-08 | 中国联合网络通信集团有限公司 | 认证方法、认证系统、移动终端的认证方法和移动终端 |
-
2016
- 2016-06-14 CN CN201610421712.XA patent/CN106102062B/zh active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105530633A (zh) * | 2014-09-30 | 2016-04-27 | 中国电信股份有限公司 | 实现WiFi接入服务的方法、系统和设备 |
CN105578464A (zh) * | 2015-07-31 | 2016-05-11 | 宇龙计算机通信科技(深圳)有限公司 | 一种增强的wlan证书鉴别方法、装置及系统 |
CN105050081A (zh) * | 2015-08-19 | 2015-11-11 | 腾讯科技(深圳)有限公司 | 网络接入设备接入无线网络接入点的方法、装置和系统 |
CN105554760A (zh) * | 2016-01-29 | 2016-05-04 | 腾讯科技(深圳)有限公司 | 无线接入点认证方法、装置及系统 |
CN105657702A (zh) * | 2016-04-07 | 2016-06-08 | 中国联合网络通信集团有限公司 | 认证方法、认证系统、移动终端的认证方法和移动终端 |
Cited By (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106789924A (zh) * | 2016-11-25 | 2017-05-31 | 北京天威诚信电子商务服务有限公司 | 一种使用移动终端的数字证书保护web站点登录的方法及系统 |
CN106412904A (zh) * | 2016-11-28 | 2017-02-15 | 上海斐讯数据通信技术有限公司 | 一种防假冒用户认证权限的方法及系统 |
CN106412904B (zh) * | 2016-11-28 | 2021-01-19 | 华讯高科股份有限公司 | 一种防假冒用户认证权限的方法及系统 |
CN108566378A (zh) * | 2018-03-14 | 2018-09-21 | 福建天泉教育科技有限公司 | 一种防止mitm攻击的方法及系统 |
CN108882237A (zh) * | 2018-05-31 | 2018-11-23 | 四川斐讯信息技术有限公司 | 一种数字证书式的无线入网验证方法及系统 |
CN109218334A (zh) * | 2018-11-13 | 2019-01-15 | 迈普通信技术股份有限公司 | 数据处理方法、装置、接入控制设备、认证服务器及系统 |
CN109803255A (zh) * | 2018-12-18 | 2019-05-24 | 武汉华工赛百数据系统有限公司 | 用于数字化车间的移动数据信息安全通信系统及方法 |
CN110351730A (zh) * | 2019-06-24 | 2019-10-18 | 惠州Tcl移动通信有限公司 | 移动终端wifi处理方法、移动终端及存储介质 |
CN110351730B (zh) * | 2019-06-24 | 2023-12-15 | 惠州Tcl移动通信有限公司 | 移动终端wifi处理方法、移动终端及存储介质 |
CN114513364A (zh) * | 2022-02-25 | 2022-05-17 | 杭州涂鸦信息技术有限公司 | 一种服务授权方法及相关组件 |
CN114513364B (zh) * | 2022-02-25 | 2024-03-15 | 杭州涂鸦信息技术有限公司 | 一种服务授权方法及相关组件 |
Also Published As
Publication number | Publication date |
---|---|
CN106102062B (zh) | 2020-02-11 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN106102062A (zh) | 一种公共无线网络接入方法及装置 | |
CN105050081B (zh) | 网络接入设备接入无线网络接入点的方法、装置和系统 | |
CN106161359B (zh) | 认证用户的方法及装置、注册可穿戴设备的方法及装置 | |
CN103812871B (zh) | 一种基于移动终端应用程序安全应用的开发方法及系统 | |
CN101641976B (zh) | 认证方法 | |
CN101401465B (zh) | 用于在移动网络中进行递归认证的方法和系统 | |
US7793102B2 (en) | Method for authentication between a portable telecommunication object and a public access terminal | |
CN101777978B (zh) | 一种基于无线终端的数字证书申请方法、系统及无线终端 | |
CN103297403A (zh) | 一种实现动态密码认证的方法和系统 | |
CN105792194B (zh) | 基站合法性的认证方法、认证装置、网络设备、认证系统 | |
CN108848495B (zh) | 一种使用预置密钥的用户身份更新方法 | |
CN106304074A (zh) | 面向移动用户的身份验证方法和系统 | |
EP2515567A1 (en) | Apparatus and method for authenticating a transaction between a user and an entity | |
CN102273239A (zh) | 用于在通信网络中标识合法用户设备的解决方案 | |
US20150208238A1 (en) | Terminal identity verification and service authentication method, system and terminal | |
CN102143492B (zh) | Vpn连接建立方法、移动终端、服务器 | |
CN104660567B (zh) | D2d终端接入认证方法、d2d终端及服务器 | |
CN103974248A (zh) | 在能力开放系统中的终端安全性保护方法、装置及系统 | |
CN107026823A (zh) | 应用于无线局域网wlan中的接入认证方法和终端 | |
CN106162641A (zh) | 一种安全快捷公众WiFi认证方法及系统 | |
CN108900306A (zh) | 一种无线路由器数字证书的产生方法及系统 | |
CN104796262B (zh) | 数据加密方法及终端系统 | |
CN105142134A (zh) | 参数获取以及参数传输方法和装置 | |
CN109587683B (zh) | 短信防监听的方法及系统、应用程序和终端信息数据库 | |
CN103312678A (zh) | 一种客户端安全登录方法、装置及系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |