CN107026823A - 应用于无线局域网wlan中的接入认证方法和终端 - Google Patents
应用于无线局域网wlan中的接入认证方法和终端 Download PDFInfo
- Publication number
- CN107026823A CN107026823A CN201610071637.9A CN201610071637A CN107026823A CN 107026823 A CN107026823 A CN 107026823A CN 201610071637 A CN201610071637 A CN 201610071637A CN 107026823 A CN107026823 A CN 107026823A
- Authority
- CN
- China
- Prior art keywords
- terminal
- authentication
- key
- authentication center
- identity
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0869—Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本申请提供了应用于无线局域网WLAN中的接入认证方法和系统。在本发明中,既实现了终端和认证中心的双向认证以完成终端的身份注册,还实现了终端和AP的双向认证,在这两次双向认证过程中,均不需要移动运营商的参与,并且,通过终端和AP的双向认证,能够识别伪AP和伪终端,提高了终端接入WLAN的安全性,解决了目前WiFi接入认证机制只能实现对UE身份的单向认证所带来的缺陷。
Description
技术领域
本申请涉及网络通信技术,特别涉及应用于无线局域网(WLAN:Wireless Local Area Networks)中的接入认证方法和终端。
背景技术
目前,WLAN中的WiFi接入认证机制通常是使用帐号加密码方式对上网的用户进行接入认证。比如,用户使用运营商提供的WLAN时,需要先获取WLAN帐号和密码,在接入时通过Portal页面/客户端输入获取的WLAN帐号和密码完成网络认证。密码也可以是动态的短信验证码,如机场、候车厅等提供短期免费WLAN接入服务的公共场所,当用户接入WLAN时先访问公共场所的网站首页,输入手机号码,由身份认证系统生成一个验证码,通过移动运营商的短信平台发送给终端(UE),终端使用这个验证码证明自己的身份后接入网络。
但是,目前的WiFi接入认证机制,只提供对终端身份的单向认证,并不能对终端接入的无线接入点(AP:Access Point)进行认证,这就导致一些伪AP不能被辨认,降低终端接入WLAN的安全。
发明内容
本申请提供了应用于无线局域网WLAN中的接入认证方法和终端,以解决目前WiFi接入认证机制只能实现对UE身份的单向认证所带来的缺陷。
本申请提供的技术方案包括:
一种应用于无线局域网WLAN中的接入认证方法,该方法包括:
终端UE通过与认证中心之间的双向认证完成终端的身份注册;
在终端完成身份注册后,通过以下步骤进行终端和接入点AP的双向认证:
步骤A0,终端先和AP交互以获取AP的身份信息,终端将本终端的身份信息、所述AP的身份信息、以及时间戳通过AP发送给认证中心,以使认证中心对所述终端的身份信息、所述AP的身份信息进行验证,并验证所述时间戳的有效性,终端接收认证中心返回的验证结果。
一种应用于无线局域网WLAN中的终端,包括:
身份注册单元,用于通过与认证中心之间的双向认证完成终端的身份注册;
AP认证单元,用于在终端完成身份注册后,通过以下步骤进行终端和接入点AP的双向认证在完成与认证中心之间的双向认证后,通过以下步骤与AP进行双向认证:终端先和AP交互以获取AP的身份信息,终端将本终端的身份信息、所述AP的身份信息、以及时间戳通过AP发送给认证中心,以使认证中心对所述终端的身份信息、所述AP的身份信息进行验证,并验证所述时间戳的有效性,终端接收认证中心返回的验证结果。
由以上技术方案可以看出,本发明中,实现了终端和AP的双向认证。通过该双向认证,能够识别伪AP和伪终端,提高了终端接入WLAN的安全性,解决了目前WiFi接入认证机制只能实现对UE身份的单向认证所带来的缺陷;
进一步地,在本发明中,既实现了终端和认证中心的双向认证完成终端的身份注册,还实现了终端和AP的双向认证,在这两次双向认证过程中,均不需要移动运营商的参与,也即,WLAN的接入认证不依赖于移动运营商。
附图说明
图1为本发明提供的方法流程图;
图2为本发明实施例1提供的方法流程图;
图3为本发明实施例2提供的方法流程图;
图4为本发明提供的系统结构图。
具体实施方式
为了使本发明的目的、技术方案和优点更加清楚,下面结合附图和具体实施例对本发明进行详细描述。
本发明提供的方法包括图1所示的流程:
参见图1,图1为本发明提供的方法流程图。如图1所示,该流程可包括以下步骤:
步骤101,终端通过与认证中心之间的双向认证完成终端的身份注册。
在步骤101,当终端和认证中心之间完成双向认证,则意味着终端在认证中心成功进行身份注册。
步骤102,终端在完成身份注册后,通过以下步骤进行终端和AP的双向认证:终端先和AP交互以获取AP的身份信息,终端将本终端的身份信息、所述AP的身份信息、以及时间戳通过AP发送给认证中心,以使认证中心对所述终端的身份信息、所述AP的身份信息进行验证,并验证所述时间戳的有效性,终端接收认证中心返回的验证结果。
至此,完成本发明提供的图1所示的流程。
从图1所示流程可以看出,在本发明中,实现了终端和AP的双向认证。通过该双向认证,能够识别伪AP和伪终端,提高了终端接入WLAN的安全性;
进一步地,在本发明中,既实现了终端通过与认证中心之间的双向认证完成终端的身份注册,还实现了终端和AP的双向认证,在这两次双向认证过程中,均不需要移动运营商的参与,也即,WLAN的接入认证不依赖于移动运营商。
需要说明的是,终端的身份注册过程、终端和AP的双向认证过程是两个独立的过程,没有时间上的连续要求,在终端的身份注册过程完成后,终端和AP的双向认证过程在终端请求接入网络时发起。
下面通过两个实施例对图1所示的流程进行详细描述:
实施例1:
参见图2,图2为本发明实施例1提供的方法流程图。如图1所示,该流程可包括以下步骤:
步骤201,终端下载APP应用软件,所述APP应用软件中包含认证中心的公钥和非对称加密算法引擎。
具体地,终端可在可信网络环境下去指定的安全网站下载上述APP应用软件。
步骤202,终端安装并运行已下载的APP应用软件,并通过APP应用软件中包含的非对称加密算法引擎生成终端公私钥对。
这里,终端公私钥对包含终端公钥和终端私钥。
步骤203,终端使用认证中心的公钥加密终端公钥和终端标识(ID)并发送给认证中心。
作为本发明的优选实施例,这里的终端ID可以是IMSI、IMEI、MSISDN等参数中的至少一个。
步骤204,认证中心使用自身的私钥对加密的终端公钥和终端ID进行解密,得到终端公钥和终端ID。
步骤205,认证中心验证终端公钥合法,则为终端签发终端证书,并记录终端证书和终端ID之间的对应关系
作为本发明的优选实施例,这里认证中心验证终端公钥合法可为:
认证中心验证终端公钥是通过上述APP应用软件包含的非对称加密算法引擎生成的,则认为终端公钥合法,反之,则认为终端公钥不合法。
步骤206,认证中心使用终端公钥加密终端证书并发送给终端。
步骤207,终端使用终端私钥对接收的终端证书解密得到得到认证中心为本终端签发的终端证书,完成终端的身份注册。
至此,完成终端和认证中心的双向认证。在上面描述的终端和认证中心的双向认证过程中,APP应用软件包含的认证中心的公钥是公开的,但即使攻击者截获认证中心的公钥也不影响整个认证过程的安全性,这是因为终端和认证中心的私钥是不在网络上传递的,保证了密钥的安全分发。
当终端和认证中心间实现了双向认证,则意味着终端在认证中心成功注册,完成密钥分发,终端和认证中心之间后续可使用彼此的公钥加密后交互信息,以实现终端和AP的双向认证,具体见下文步骤208至步骤213。终端和AP的双向认证过程中,为提供端到端的安全,对传送的信息采用公钥加密,具体如下文。
步骤208,终端向AP发送接入请求。
步骤209,AP返回接入响应给终端,接入响应中携带AP身份信息;
步骤210,终端使用认证中心的公钥对终端证书、AP身份信息、以及时间戳加密并携带在认证请求中通过AP透传给认证中心。
作为本发明的一个实施例,这里的时间戳可为终端发送认证请求的时间点。
步骤211,认证中心使用自身的私钥对认证请求中加密的终端证书、AP身份信息、以及时间戳进行解密,得到终端证书、AP身份信息、以及时间戳;
步骤212,认证中心分别对所述终端证书、AP身份信息进行验证,并验证时间戳的有效性,使用终端公钥对验证结果加密并发送给终端。
作为本发明的一个实施例,这里,认证中心对AP身份信息进行验证可举例为:认证中心从预存的AP身份信息中查找上述AP身份信息,如果查找到,则确定AP合法,否则,确定AP不合法;
作为本发明的一个实施例,这里,认证中心对终端证书进行验证可举例为:认证中心验证终端证书为自身所签发,确定终端合法,反之,确定终端不合法。
作为本发明的一个实施例,这里,认证中心对时间戳进行验证可举例为:验证时间戳是否有效,如果是,则确定通信路径中没有伪AP进行拦截,否则,确定有伪AP实施了拦截。在应用中,如果有伪AP拦截到真AP的身份信息并在上述步骤209中伪装成真AP向终端发送接入响应,则步骤210中,终端发送的认证请求中虽携带真AP的身份信息,但事实上是接入伪AP的,针对这种情况,由于认证请求是通过终端接入的AP透传给认证中心,这也就意味着认证请求经由伪AP、真AP最后到达认证中心,这个路由过程中增加了伪AP,则会导致时间戳超时失效,即认证失败,这有效地防止了中间人攻击手段,辨别了终端是否接入伪AP。
步骤213,终端使用终端私钥对接收的验证结果进行解密获取验证结果。
至此,通过步骤208至步骤213,实现了终端和AP之间的双向认证。
可选地,在步骤212和步骤213之间,认证中心还可将对终端的认证结果发送给AP,以由AP根据认证结果控制终端的接入。
至此,完成图2所示的流程。
通过图2所示的流程可以看出,在终端和AP之间的双向认证中,使用的密钥都是终端与认证中心双向认证过程中得到的,具体为:终端使用的是与认证中心双向认证过程中得到的认证中心的公钥加密终端身份信息、AP身份信息、时间戳并通过AP透传给认证中心,认证中心对终端身份信息、AP身份信息进行认证,并验证时间戳的有效性,通过与终端双向认证过程(即终端的身份注册过程)中生成的终端公钥加密认证结果返回给终端,从而实现了终端和AP的双向认证。
进一步地,在实施例1中,加解密过程可通过软件实现,具体可通过上述的APP应用软件实现,无需对终端和AP执行任何改造,节省成本,实现简单;
再进一步地,在实施例1中,采用非对称加密算法实现终端证书的在线签发,并且,终端的公私钥对在终端侧生成,终端私钥不传输,安全性高。
以上对实施例1进行了描述,下面对实施例2进行描述:
实施例2:
参见图3,图3为本发明实施例2提供的方法流程图。如图3所示,该流程可包括以下步骤:
步骤301,终端下载APP应用软件,所述APP应用软件中包含算法因子、序列号、加密算法。
具体地,终端可在可信网络环境下去指定的安全网站下载上述APP应用软件。
步骤302,终端安装并运行已下载的APP应用软件,并使用自身的终端ID、算法因子、序列号、加密算法计算出终端认证密钥。
步骤303,终端发送终端ID、序列号给认证中心。
步骤304,认证中心依据收到的终端ID、序列号并利用上述算法因子、加密算法计算出终端认证密钥。
步骤305,认证中心基于终端ID为终端确定一个对应的终端身份信息,并记录终端身份信息和终端认证密钥之间的对应关系。
作为本发明的优选实施例,这里的终端ID可以是IMSI、IMEI、MSISDN等参数中的至少一个。基于此,认证中心基于终端ID为终端分配一个对应的终端身份信息可为与上述终端ID存在对应关系的一个参数,其主要是为了避免终端ID暴露在后续的网络传输中。
步骤306,认证中心生成一个随机数,使用终端认证密钥加密随机数和终端身份信息并发送给终端。
步骤307,终端使用终端认证密钥对认证中心发送的加密的随机数和终端身份信息解密,获取随机数和认证中心分配的终端身份信息,并使用终端认证密钥对随机数进行加密,在密文中携带终端身份信息,发送给认证中心。
步骤308,认证中心根据接收的终端身份信息找到对应的终端认证密钥,使用找到的终端认证密钥对接收的随机数解密,比较解密后的随机数和之前发送给终端的随机数,如果两者一致,则终端与认证中心成功完成双向认证。
至此,完成终端和认证中心的双向认证。通过终端和认证中心的双向认证,最终终端和认证中心两端使用的密钥达成一致,即为上述生成的终端认证密钥。
当终端和认证中心间实现了双向认证,则意味着终端在认证中心成功注册,达成密钥同步,终端和认证中心之间后续可使用终端的认证密钥交互信息,以实现终端和AP的双向认证,具体见下文步骤309至步骤314。
步骤309,终端向AP发送接入请求。
步骤310,AP返回接入响应给终端,接入响应中携带AP身份信息;
步骤311,终端使用终端认证密钥加密AP身份信息、终端身份信息以及时间戳,并在密文中携带所述终端身份信息,一起携带在认证请求中通过AP透传给认证中心。
具体地,步骤311中,终端使用终端认证密钥加密AP身份信息、终端身份信息以及时间戳,在密文中同时携带终端身份信息,并承载在认证请求中通过AP透传给认证中心。
步骤312,认证中心基于收到的终端身份信息找到对应的终端认证密钥,利用所述终端认证密钥对认证请求中加密的AP身份信息、终端身份信息以及时间戳进行解密,得到AP身份信息、终端身份信息以及时间戳。
步骤313,认证中心对终端身份信息、AP身份信息进行验证,并验证时间戳的有效性,使用终端认证密钥对验证结果加密并发送给终端。
步骤313类似上述的步骤212,这里不再赘述。
步骤314,终端使用所述终端认证密钥对接收的认证结果进行解密获取认证结果。
至此,通过步骤309至步骤314,实现了终端和AP之间的双向认证。
可选地,在步骤313和步骤314之间,认证中心还可将对终端的认证结果发送给AP,以由AP根据认证结果控制终端的接入。
至此,完成图3所示的流程。
通过图3所示的流程可以看出,在终端和AP之间的双向认证中,使用的终端认证密钥是终端与认证中心双向认证过程(即终端的身份注册过程)中达成一致的密钥。
进一步地,在实施例1中,加解密过程可通过软件实现,具体可通过上述的APP应用软件实现,无需对终端和AP执行任何改造,节省成本,实现简单。
以上对本发明提供的方法进行了描述,下面对本发明提供的系统进行描述:
参见图4,图4为本发明提供的终端结构图。如图4所示,该终端可包括:
身份注册单元,用于通过与认证中心之间的双向认证完成终端的身份注册;
AP认证单元,用于在终端完成身份注册后,通过以下步骤进行终端和接入点AP的双向认证在完成与认证中心之间的双向认证后,通过以下步骤与AP进行双向认证:终端先和AP交互以获取AP的身份信息,终端将本终端的身份信息、所述AP的身份信息、以及时间戳通过AP发送给认证中心,以使认证中心对所述终端的身份信息、所述AP的身份信息进行验证,并验证所述时间戳的有效性,终端接收认证中心返回的验证结果。
优选地,所述身份注册单元通过以下步骤实现终端的身份注册:
安装并运行已下载的APP应用软件,所述APP应用软件中包含认证中心的公钥和非对称加密算法引擎;
通过所述非对称加密算法引擎生成终端公私钥对,所述终端公私钥对包含终端公钥和终端私钥;
使用认证中心的公钥加密所述终端公钥和终端标识ID并发送给认证中心;
接收认证中心发送的由所述终端公钥加密的所述终端证书;
使用终端私钥对接收的终端证书进行解密得到认证中心为本终端签发的终端证书,完成终端的身份注册;
优选地,所述AP认证单元通过以下步骤实现终端和AP之间的双向认证:
向AP发送接入请求;
接收AP返回的接入响应,所述接入响应中携带AP身份信息;
使用所述认证中心的公钥对所述终端证书、AP身份信息、以及时间戳加密并携带在认证请求中通过AP透传给认证中心;
接收认证中心发送的经由终端公钥加密的验证结果,所述验证结果为认证中心对所述终端证书、AP身份信息、以及时间戳的验证结果;
使用终端私钥对接收的验证结果进行解密获取验证结果。
优选地,所述身份注册单元通过以下步骤实现终端的身份注册:
安装并运行已下载的APP应用软件,所述APP应用软件中包含算法因子、序列号、加密算法;
使用自身的终端标识ID、所述算法因子、序列号、加密算法计算出终端认证密钥;
发送终端ID、所述序列号给认证中心,以使认证中心基于收到的终端ID、序列号,并利用所述算法因子、加密算法计算出终端认证密钥,基于所述终端ID为终端分配一个对应的终端身份信息,并记录所述终端身份信息和所述终端认证密钥之间的对应关系;
接收认证中心发送的使用所述终端认证密钥加密的随机数和终端身份信息;
使用所述终端认证密钥对认证中心发送的加密的随机数和终端身份信息解密,并使用所述终端认证密钥对解密后的随机数进行加密,并在密文中携带终端身份信息发送给认证中心,以使认证中心根据接收的终端身份信息找到对应的终端认证密钥,使用找到的终端认证密钥对接收的随机数解密,比较解密后的随机数和之前发送给所述终端的随机数,如果两者一致,则终端与认证中心成功完成双向认证,达成密钥同步,完成终端的身份注册。
优选地,所述AP认证单元通过以下步骤实现终端和AP之间的双向认证:
向AP发送接入请求;
接收AP返回的接入响应,所述接入响应中携带AP身份信息;
使用终端认证密钥加密终端身份信息,所述AP身份信息、以及时间戳,并在密文中携带所述终端身份信息,一起携带在认证请求中通过AP透传给认证中心;
接收认证中心发送的经由终端认证密钥加密的验证结果,所述验证结果是认证中心对AP身份信息、终端身份信息以及时间戳有效性验证的结果,所述AP身份信息、终端身份信息以及时间戳是认证中心基于收到的所述终端身份信息找到对应的终端认证密钥,利用所述终端认证密钥对认证请求中加密的AP身份信息、终端身份信息以及时间戳进行解密得到的,
使用所述终端认证密钥对接收的验证结果进行解密获取验证结果。
至此,完成图4所示的终端结构描述。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明保护的范围之内。
Claims (11)
1.一种应用于无线局域网WLAN中的接入认证方法,其特征在于,该方法包括:
终端UE通过与认证中心之间的双向认证完成终端的身份注册;
终端在完成身份注册后,通过以下步骤进行终端和接入点AP的双向认证:
步骤A0,终端先和AP交互以获取AP的身份信息,终端将本终端的身份信息、所述AP的身份信息、以及时间戳通过AP发送给认证中心,以使认证中心对所述终端的身份信息、所述AP的身份信息进行验证,并验证所述时间戳的有效性,终端接收认证中心返回的验证结果。
2.根据权利要求1所述的方法,其特征在于,所述终端UE通过与认证中心之间的双向认证完成终端的身份注册包括:
终端安装并运行已下载的APP应用软件,所述APP应用软件中包含认证中心的公钥和非对称加密算法引擎;
终端通过所述非对称加密算法引擎生成终端公私钥对,所述终端公私钥对包含终端公钥和终端私钥;
终端使用认证中心的公钥加密所述终端公钥和终端标识ID并发送给认证中心;
认证中心使用自身的私钥对加密的终端公钥和终端ID进行解密,得到终端公钥和终端ID;
认证中心验证所述终端公钥合法,则为终端签发终端证书,并记录终端证书和终端ID之间的对应关系;
认证中心使用所述终端公钥加密所述终端证书并发送给终端;
终端使用终端私钥对接收的终端证书进行解密得到认证中心为本终端签发的终端证书,完成终端的身份注册。
3.根据权利要求2所述的方法,其特征在于,所述步骤A0具体包括:
终端向AP发送接入请求;
终端接收AP返回的接入响应,所述接入响应中携带AP身份信息;
终端使用所述认证中心的公钥对所述终端证书、AP身份信息、以及时间戳加密并携带在认证请求中通过AP透传给认证中心;
认证中心使用自身的私钥对认证请求中加密的终端证书、AP身份信息、以及时间戳进行解密,得到终端证书、AP身份信息、以及时间戳;
认证中心分别对所述终端证书、AP身份信息进行验证,并验证时间戳的有效性,使用终端公钥对验证结果加密并发送给终端;
终端使用终端私钥对接收的验证结果进行解密获取验证结果。
4.根据权利要求1所述的方法,其特征在于,所述终端UE通过与认证中心之间的双向认证完成终端的身份注册包括:
终端安装并运行已下载的APP应用软件,所述APP应用软件中包含算法因子、序列号、加密算法;
终端使用自身的终端标识ID、所述算法因子、序列号、加密算法计算出终端认证密钥;
终端发送终端ID、所述序列号给认证中心;
认证中心基于收到的终端ID、序列号,并利用所述算法因子、加密算法计算出终端认证密钥;
认证中心生成一个随机数,使用所述终端认证密钥加密所述随机数并发送给终端;
终端使用所述终端认证密钥对认证中心发送的加密的随机数解密,并使用所述终端认证密钥对解密后的随机数进行加密发送给认证中心;
认证中心使用所述终端认证密钥对接收的随机数解密,比较解密后的随机数和之前发送给所述终端的随机数,如果两者一致,则终端与认证中心成功完成双向认证,达成密钥同步,完成终端的身份注册。
5.根据权利要求4所述的方法,其特征在于,所述认证中心基于收到的终端ID、序列号,并利用所述算法因子、加密算法计算出终端认证密钥进一步包括:基于所述终端ID为终端分配一个对应的终端身份信息,并记录所 述终端身份信息和所述终端认证密钥之间的对应关系;
所述使用终端认证密钥加密随机数并发送给终端包括:使用终端认证密钥加密随机数和终端身份信息并发送给终端;
所述使用终端认证密钥对认证中心发送的加密的随机数解密包括:使用终端认证密钥解密,得到随机数和终端身份信息;
所述使用所述终端认证密钥对解密后的随机数进行加密发送给认证中心:使用终端认证密钥对解密后的随机数加密,并在密文中携带解密后得到的终端身份信息传递给认证中心;
所述认证中心使用所述终端认证密钥对接收的随机数解密包括:基于已记录的所述对应关系找到接收的终端身份信息对应的终端认证密钥,使用找到的终端认证密钥对接收的随机数解密。
6.根据权利要求5所述的方法,其特征在于,所述步骤A0具体包括:
终端向AP发送接入请求;
终端接收AP返回的接入响应,所述接入响应中携带AP身份信息;
终端使用终端认证密钥加密终端身份信息、所述AP身份信息、以及时间戳,并在密文中携带所述终端身份信息,一起携带在认证请求中通过AP透传给认证中心;
认证中心基于收到的所述终端身份信息找到对应的终端认证密钥,利用所述终端认证密钥对认证请求中加密的AP身份信息、终端身份信息以及时间戳进行解密,得到AP身份信息、终端身份信息以及时间戳;
认证中心对所述终端身份信息、AP身份信息进行验证,并验证时间戳的有效性,使用终端认证密钥对验证结果加密并发送给终端;
终端使用所述终端认证密钥对接收的验证结果进行解密获取验证结果。
7.一种应用于无线局域网WLAN中的终端,其特征在于,该终端包括:
身份注册单元,用于通过与认证中心之间的双向认证完成终端的身份注册;
AP认证单元,用于在终端完成身份注册后,通过以下步骤进行终端和接 入点AP的双向认证在完成与认证中心之间的双向认证后,通过以下步骤与AP进行双向认证:终端先和AP交互以获取AP的身份信息,终端将本终端的身份信息、所述AP的身份信息、以及时间戳通过AP发送给认证中心,以使认证中心对所述终端的身份信息、所述AP的身份信息进行验证,并验证所述时间戳的有效性,终端接收认证中心返回的验证结果。
8.根据权利要求7所述的终端,其特征在于,所述身份注册单元通过以下步骤实现终端的身份注册:
安装并运行已下载的APP应用软件,所述APP应用软件中包含认证中心的公钥和非对称加密算法引擎;
通过所述非对称加密算法引擎生成终端公私钥对,所述终端公私钥对包含终端公钥和终端私钥;
使用认证中心的公钥加密所述终端公钥和终端标识ID并发送给认证中心;
接收认证中心发送的由所述终端公钥加密的所述终端证书;
使用终端私钥对接收的终端证书进行解密得到认证中心为本终端签发的终端证书,完成终端的身份注册。
9.根据权利要求8所述的终端,其特征在于,所述AP认证单元通过以下步骤实现终端和AP之间的双向认证:
向AP发送接入请求;
接收AP返回的接入响应,所述接入响应中携带AP身份信息;
使用所述认证中心的公钥对所述终端证书、AP身份信息、以及时间戳加密并携带在认证请求中通过AP透传给认证中心;
接收认证中心发送的经由终端公钥加密的验证结果,所述验证结果为认证中心对所述终端证书、AP身份信息、以及时间戳有效性的验证结果;
使用终端私钥对接收的验证结果进行解密获取验证结果。
10.根据权利要求7所述的终端,其特征在于,所述身份注册单元通过以下步骤实现终端的身份注册:
安装并运行已下载的APP应用软件,所述APP应用软件中包含算法因子、序列号、加密算法;
使用自身的终端标识ID、所述算法因子、序列号、加密算法计算出终端认证密钥;
发送终端ID、所述序列号给认证中心,以使认证中心基于收到的终端ID、序列号,并利用所述算法因子、加密算法计算出终端认证密钥,基于所述终端ID为终端分配一个对应的终端身份信息,并记录所述终端身份信息和所述终端认证密钥之间的对应关系;
接收认证中心发送的使用所述终端认证密钥加密的随机数和终端身份信息;
使用所述终端认证密钥对认证中心发送的加密的随机数和终端身份信息解密,并使用所述终端认证密钥对解密后的随机数进行加密,在密文中携带终端身份信息发送给认证中心,以使认证中心根据接收的终端身份信息找到对应的终端认证密钥,使用找到的终端认证密钥对接收的随机数解密,比较解密后的随机数和之前发送给所述终端的随机数,如果两者一致,则终端与认证中心成功完成双向认证,达成密钥同步,完成终端的身份注册。
11.根据权利要求10所述的终端,其特征在于,所述AP认证单元通过以下步骤实现终端和AP之间的双向认证:
向AP发送接入请求;
接收AP返回的接入响应,所述接入响应中携带AP身份信息;
使用终端认证密钥加密终端身份信息,所述AP身份信息、以及时间戳,并在密文中携带所述终端身份信息,一起携带在认证请求中通过AP透传给认证中心;
接收认证中心发送的经由终端认证密钥加密的验证结果,所述验证结果是认证中心对AP身份信息、终端身份信息以及时间戳有效性验证的结果,所述AP身份信息、终端身份信息以及时间戳是认证中心基于收到的所述终端身份信息找到对应的终端认证密钥,利用所述终端认证密钥对认证请求中 加密的AP身份信息、终端身份信息以及时间戳进行解密得到的,
使用所述终端认证密钥对接收的验证结果进行解密获取验证结果。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610071637.9A CN107026823B (zh) | 2016-02-02 | 2016-02-02 | 应用于无线局域网wlan中的接入认证方法和终端 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610071637.9A CN107026823B (zh) | 2016-02-02 | 2016-02-02 | 应用于无线局域网wlan中的接入认证方法和终端 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN107026823A true CN107026823A (zh) | 2017-08-08 |
| CN107026823B CN107026823B (zh) | 2020-08-28 |
Family
ID=59524966
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610071637.9A Expired - Fee Related CN107026823B (zh) | 2016-02-02 | 2016-02-02 | 应用于无线局域网wlan中的接入认证方法和终端 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107026823B (zh) |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107454595A (zh) * | 2017-09-28 | 2017-12-08 | 上海盈联电信科技有限公司 | 用于商业综合体无线连接的认证方法 |
| CN109286500A (zh) * | 2018-09-30 | 2019-01-29 | 百度在线网络技术(北京)有限公司 | 车辆电子控制单元ecu认证方法、装置及设备 |
| CN110876142A (zh) * | 2018-09-02 | 2020-03-10 | 中城智慧科技有限公司 | 一种基于标识的wifi认证方法 |
| CN111711979A (zh) * | 2020-06-15 | 2020-09-25 | 北京自如信息科技有限公司 | 一种wifi模组配网方法、装置、系统及存储介质 |
| CN111818516A (zh) * | 2019-04-12 | 2020-10-23 | 华为技术有限公司 | 认证方法、装置及设备 |
| CN112929877A (zh) * | 2021-02-07 | 2021-06-08 | 展讯半导体(南京)有限公司 | 一种签约配置信息的方法、通信装置、芯片及模组设备 |
| CN114040401A (zh) * | 2021-11-08 | 2022-02-11 | 中国联合网络通信集团有限公司 | 终端认证方法及系统 |
-
2016
- 2016-02-02 CN CN201610071637.9A patent/CN107026823B/zh not_active Expired - Fee Related
Cited By (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107454595A (zh) * | 2017-09-28 | 2017-12-08 | 上海盈联电信科技有限公司 | 用于商业综合体无线连接的认证方法 |
| CN110876142A (zh) * | 2018-09-02 | 2020-03-10 | 中城智慧科技有限公司 | 一种基于标识的wifi认证方法 |
| CN110876142B (zh) * | 2018-09-02 | 2023-08-18 | 中城智慧科技有限公司 | 一种基于标识的wifi认证方法 |
| CN109286500A (zh) * | 2018-09-30 | 2019-01-29 | 百度在线网络技术(北京)有限公司 | 车辆电子控制单元ecu认证方法、装置及设备 |
| CN109286500B (zh) * | 2018-09-30 | 2023-04-11 | 阿波罗智联(北京)科技有限公司 | 车辆电子控制单元ecu认证方法、装置及设备 |
| CN111818516A (zh) * | 2019-04-12 | 2020-10-23 | 华为技术有限公司 | 认证方法、装置及设备 |
| US11871223B2 (en) | 2019-04-12 | 2024-01-09 | Huawei Technologies Co., Ltd. | Authentication method and apparatus and device |
| CN111711979A (zh) * | 2020-06-15 | 2020-09-25 | 北京自如信息科技有限公司 | 一种wifi模组配网方法、装置、系统及存储介质 |
| CN111711979B (zh) * | 2020-06-15 | 2021-03-30 | 北京自如信息科技有限公司 | 一种wifi模组配网方法、装置、系统及存储介质 |
| CN112929877A (zh) * | 2021-02-07 | 2021-06-08 | 展讯半导体(南京)有限公司 | 一种签约配置信息的方法、通信装置、芯片及模组设备 |
| CN114040401A (zh) * | 2021-11-08 | 2022-02-11 | 中国联合网络通信集团有限公司 | 终端认证方法及系统 |
| CN114040401B (zh) * | 2021-11-08 | 2024-04-12 | 中国联合网络通信集团有限公司 | 终端认证方法及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN107026823B (zh) | 2020-08-28 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103812871B (zh) | 一种基于移动终端应用程序安全应用的开发方法及系统 | |
| US10638321B2 (en) | Wireless network connection method and apparatus, and storage medium | |
| CN105050081B (zh) | 网络接入设备接入无线网络接入点的方法、装置和系统 | |
| CN107026823A (zh) | 应用于无线局域网wlan中的接入认证方法和终端 | |
| CN103596173B (zh) | 无线网络认证方法、客户端及服务端无线网络认证装置 | |
| US8467532B2 (en) | System and method for secure transaction of data between a wireless communication device and a server | |
| KR101485230B1 (ko) | 안전한 멀티 uim 인증 및 키 교환 | |
| WO2017201809A1 (zh) | 终端通信方法及系统 | |
| CN111615105B (zh) | 信息提供、获取方法、装置及终端 | |
| CN103415008A (zh) | 一种加密通信方法和加密通信系统 | |
| CN105554747A (zh) | 无线网络连接方法、装置及系统 | |
| CN107040922A (zh) | 无线网络连接方法、装置及系统 | |
| CN104253801B (zh) | 实现登录认证的方法、装置和系统 | |
| CA2879910C (en) | Terminal identity verification and service authentication method, system and terminal | |
| KR101706117B1 (ko) | 휴대용 단말기에서 다른 휴대용 단말기를 인증하는 장치 및 방법 | |
| CN111552935B (zh) | 一种区块链数据授权访问方法及装置 | |
| CN105792194B (zh) | 基站合法性的认证方法、认证装置、网络设备、认证系统 | |
| CN106230838A (zh) | 一种第三方应用访问资源的方法和装置 | |
| CN103974248B (zh) | 在能力开放系统中的终端安全性保护方法、装置及系统 | |
| CN103297403A (zh) | 一种实现动态密码认证的方法和系统 | |
| CN108683510A (zh) | 一种加密传输的用户身份更新方法 | |
| CN107679847A (zh) | 一种基于近场通信双向身份认证的移动交易隐私保护方法 | |
| CN105447715A (zh) | 用于与第三方合作的防盗刷电子优惠券的方法和装置 | |
| CN104168565A (zh) | 一种非可信无线网络环境下智能终端安全通讯的控制方法 | |
| CN109409109A (zh) | 网络服务中的数据处理方法、装置、处理器及服务器 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20200828 Termination date: 20220202 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |