CN107026823B - 应用于无线局域网wlan中的接入认证方法和终端 - Google Patents

Abstract

本申请提供了应用于无线局域网WLAN中的接入认证方法和系统。在本发明中，既实现了终端和认证中心的双向认证以完成终端的身份注册，还实现了终端和AP的双向认证，在这两次双向认证过程中，均不需要移动运营商的参与，并且，通过终端和AP的双向认证，能够识别伪AP和伪终端，提高了终端接入WLAN的安全性，解决了目前WiFi接入认证机制只能实现对UE身份的单向认证所带来的缺陷。

Description

应用于无线局域网WLAN中的接入认证方法和终端

技术领域

本申请涉及网络通信技术，特别涉及应用于无线局域网(WLAN：Wireless LocalArea Networks)中的接入认证方法和终端。

背景技术

目前，WLAN中的WiFi接入认证机制通常是使用帐号加密码方式对上网的用户进行接入认证。比如，用户使用运营商提供的WLAN时，需要先获取WLAN帐号和密码，在接入时通过Portal页面/客户端输入获取的WLAN帐号和密码完成网络认证。密码也可以是动态的短信验证码，如机场、候车厅等提供短期免费WLAN接入服务的公共场所，当用户接入WLAN时先访问公共场所的网站首页，输入手机号码，由身份认证系统生成一个验证码，通过移动运营商的短信平台发送给终端(UE)，终端使用这个验证码证明自己的身份后接入网络。

但是，目前的WiFi接入认证机制，只提供对终端身份的单向认证，并不能对终端接入的无线接入点(AP：Access Point)进行认证，这就导致一些伪AP不能被辨认，降低终端接入WLAN的安全。

发明内容

本申请提供了应用于无线局域网WLAN中的接入认证方法和终端，以解决目前WiFi接入认证机制只能实现对UE身份的单向认证所带来的缺陷。

本申请提供的技术方案包括：

一种应用于无线局域网WLAN中的接入认证方法，该方法包括：

终端UE通过与认证中心之间的双向认证完成终端的身份注册；

在终端完成身份注册后，通过以下步骤进行终端和接入点AP的双向认证：

步骤A0，终端先和AP交互以获取AP的身份信息，终端将本终端的身份信息、所述AP的身份信息、以及时间戳通过AP发送给认证中心，以使认证中心对所述终端的身份信息、所述AP的身份信息进行验证，并验证所述时间戳的有效性，终端接收认证中心返回的验证结果。

一种应用于无线局域网WLAN中的终端，包括：

身份注册单元，用于通过与认证中心之间的双向认证完成终端的身份注册；

AP认证单元，用于在终端完成身份注册后，通过以下步骤进行终端和接入点AP的双向认证在完成与认证中心之间的双向认证后，通过以下步骤与AP进行双向认证：终端先和AP交互以获取AP的身份信息，终端将本终端的身份信息、所述AP的身份信息、以及时间戳通过AP发送给认证中心，以使认证中心对所述终端的身份信息、所述AP的身份信息进行验证，并验证所述时间戳的有效性，终端接收认证中心返回的验证结果。

由以上技术方案可以看出，本发明中，实现了终端和AP的双向认证。通过该双向认证，能够识别伪AP和伪终端，提高了终端接入WLAN的安全性，解决了目前WiFi接入认证机制只能实现对UE身份的单向认证所带来的缺陷；

进一步地，在本发明中，既实现了终端和认证中心的双向认证完成终端的身份注册，还实现了终端和AP的双向认证，在这两次双向认证过程中，均不需要移动运营商的参与，也即，WLAN的接入认证不依赖于移动运营商。

附图说明

图1为本发明提供的方法流程图；

图2为本发明实施例1提供的方法流程图；

图3为本发明实施例2提供的方法流程图；

图4为本发明提供的系统结构图。

具体实施方式

为了使本发明的目的、技术方案和优点更加清楚，下面结合附图和具体实施例对本发明进行详细描述。

本发明提供的方法包括图1所示的流程：

参见图1，图1为本发明提供的方法流程图。如图1所示，该流程可包括以下步骤：

步骤101，终端通过与认证中心之间的双向认证完成终端的身份注册。

在步骤101，当终端和认证中心之间完成双向认证，则意味着终端在认证中心成功进行身份注册。

步骤102，终端在完成身份注册后，通过以下步骤进行终端和AP的双向认证：终端先和AP交互以获取AP的身份信息，终端将本终端的身份信息、所述AP的身份信息、以及时间戳通过AP发送给认证中心，以使认证中心对所述终端的身份信息、所述AP的身份信息进行验证，并验证所述时间戳的有效性，终端接收认证中心返回的验证结果。

至此，完成本发明提供的图1所示的流程。

从图1所示流程可以看出，在本发明中，实现了终端和AP的双向认证。通过该双向认证，能够识别伪AP和伪终端，提高了终端接入WLAN的安全性；

进一步地，在本发明中，既实现了终端通过与认证中心之间的双向认证完成终端的身份注册，还实现了终端和AP的双向认证，在这两次双向认证过程中，均不需要移动运营商的参与，也即，WLAN的接入认证不依赖于移动运营商。

需要说明的是，终端的身份注册过程、终端和AP的双向认证过程是两个独立的过程，没有时间上的连续要求，在终端的身份注册过程完成后，终端和AP的双向认证过程在终端请求接入网络时发起。

下面通过两个实施例对图1所示的流程进行详细描述：

实施例1：

参见图2，图2为本发明实施例1提供的方法流程图。如图1所示，该流程可包括以下步骤：

步骤201，终端下载APP应用软件，所述APP应用软件中包含认证中心的公钥和非对称加密算法引擎。

具体地，终端可在可信网络环境下去指定的安全网站下载上述APP应用软件。

步骤202，终端安装并运行已下载的APP应用软件，并通过APP应用软件中包含的非对称加密算法引擎生成终端公私钥对。

这里，终端公私钥对包含终端公钥和终端私钥。

步骤203，终端使用认证中心的公钥加密终端公钥和终端标识(ID)并发送给认证中心。

作为本发明的优选实施例，这里的终端ID可以是IMSI、IMEI、MSISDN等参数中的至少一个。

步骤204，认证中心使用自身的私钥对加密的终端公钥和终端ID进行解密，得到终端公钥和终端ID。

步骤205，认证中心验证终端公钥合法，则为终端签发终端证书，并记录终端证书和终端ID之间的对应关系

作为本发明的优选实施例，这里认证中心验证终端公钥合法可为：

认证中心验证终端公钥是通过上述APP应用软件包含的非对称加密算法引擎生成的，则认为终端公钥合法，反之，则认为终端公钥不合法。

步骤206，认证中心使用终端公钥加密终端证书并发送给终端。

步骤207，终端使用终端私钥对接收的终端证书解密得到得到认证中心为本终端签发的终端证书，完成终端的身份注册。

至此，完成终端和认证中心的双向认证。在上面描述的终端和认证中心的双向认证过程中，APP应用软件包含的认证中心的公钥是公开的，但即使攻击者截获认证中心的公钥也不影响整个认证过程的安全性，这是因为终端和认证中心的私钥是不在网络上传递的，保证了密钥的安全分发。

当终端和认证中心间实现了双向认证，则意味着终端在认证中心成功注册，完成密钥分发，终端和认证中心之间后续可使用彼此的公钥加密后交互信息，以实现终端和AP的双向认证，具体见下文步骤208至步骤213。终端和AP的双向认证过程中，为提供端到端的安全，对传送的信息采用公钥加密，具体如下文。

步骤208，终端向AP发送接入请求。

步骤209，AP返回接入响应给终端，接入响应中携带AP身份信息；

步骤210，终端使用认证中心的公钥对终端证书、AP身份信息、以及时间戳加密并携带在认证请求中通过AP透传给认证中心。

作为本发明的一个实施例，这里的时间戳可为终端发送认证请求的时间点。

步骤211，认证中心使用自身的私钥对认证请求中加密的终端证书、AP身份信息、以及时间戳进行解密，得到终端证书、AP身份信息、以及时间戳；

步骤212，认证中心分别对所述终端证书、AP身份信息进行验证，并验证时间戳的有效性，使用终端公钥对验证结果加密并发送给终端。

作为本发明的一个实施例，这里，认证中心对AP身份信息进行验证可举例为：认证中心从预存的AP身份信息中查找上述AP身份信息，如果查找到，则确定AP合法，否则，确定AP不合法；

作为本发明的一个实施例，这里，认证中心对终端证书进行验证可举例为：认证中心验证终端证书为自身所签发，确定终端合法，反之，确定终端不合法。

作为本发明的一个实施例，这里，认证中心对时间戳进行验证可举例为：验证时间戳是否有效，如果是，则确定通信路径中没有伪AP进行拦截，否则，确定有伪AP实施了拦截。在应用中，如果有伪AP拦截到真AP的身份信息并在上述步骤209中伪装成真AP向终端发送接入响应，则步骤210中，终端发送的认证请求中虽携带真AP的身份信息，但事实上是接入伪AP的，针对这种情况，由于认证请求是通过终端接入的AP透传给认证中心，这也就意味着认证请求经由伪AP、真AP最后到达认证中心，这个路由过程中增加了伪AP，则会导致时间戳超时失效，即认证失败，这有效地防止了中间人攻击手段，辨别了终端是否接入伪AP。

步骤213，终端使用终端私钥对接收的验证结果进行解密获取验证结果。

至此，通过步骤208至步骤213，实现了终端和AP之间的双向认证。

可选地，在步骤212和步骤213之间，认证中心还可将对终端的认证结果发送给AP，以由AP根据认证结果控制终端的接入。

至此，完成图2所示的流程。

通过图2所示的流程可以看出，在终端和AP之间的双向认证中，使用的密钥都是终端与认证中心双向认证过程中得到的，具体为：终端使用的是与认证中心双向认证过程中得到的认证中心的公钥加密终端身份信息、AP身份信息、时间戳并通过AP透传给认证中心，认证中心对终端身份信息、AP身份信息进行认证，并验证时间戳的有效性，通过与终端双向认证过程(即终端的身份注册过程)中生成的终端公钥加密认证结果返回给终端，从而实现了终端和AP的双向认证。

进一步地，在实施例1中，加解密过程可通过软件实现，具体可通过上述的APP应用软件实现，无需对终端和AP执行任何改造，节省成本，实现简单；

再进一步地，在实施例1中，采用非对称加密算法实现终端证书的在线签发，并且，终端的公私钥对在终端侧生成，终端私钥不传输，安全性高。

以上对实施例1进行了描述，下面对实施例2进行描述：

实施例2：

参见图3，图3为本发明实施例2提供的方法流程图。如图3所示，该流程可包括以下步骤：

步骤301，终端下载APP应用软件，所述APP应用软件中包含算法因子、序列号、加密算法。

具体地，终端可在可信网络环境下去指定的安全网站下载上述APP应用软件。

步骤302，终端安装并运行已下载的APP应用软件，并使用自身的终端ID、算法因子、序列号、加密算法计算出终端认证密钥。

步骤303，终端发送终端ID、序列号给认证中心。

步骤304，认证中心依据收到的终端ID、序列号并利用上述算法因子、加密算法计算出终端认证密钥。

步骤305，认证中心基于终端ID为终端确定一个对应的终端身份信息，并记录终端身份信息和终端认证密钥之间的对应关系。

作为本发明的优选实施例，这里的终端ID可以是IMSI、IMEI、MSISDN等参数中的至少一个。基于此，认证中心基于终端ID为终端分配一个对应的终端身份信息可为与上述终端ID存在对应关系的一个参数，其主要是为了避免终端ID暴露在后续的网络传输中。

步骤306，认证中心生成一个随机数，使用终端认证密钥加密随机数和终端身份信息并发送给终端。

步骤307，终端使用终端认证密钥对认证中心发送的加密的随机数和终端身份信息解密，获取随机数和认证中心分配的终端身份信息，并使用终端认证密钥对随机数进行加密，在密文中携带终端身份信息，发送给认证中心。

步骤308，认证中心根据接收的终端身份信息找到对应的终端认证密钥，使用找到的终端认证密钥对接收的随机数解密，比较解密后的随机数和之前发送给终端的随机数，如果两者一致，则终端与认证中心成功完成双向认证。

至此，完成终端和认证中心的双向认证。通过终端和认证中心的双向认证，最终终端和认证中心两端使用的密钥达成一致，即为上述生成的终端认证密钥。

当终端和认证中心间实现了双向认证，则意味着终端在认证中心成功注册，达成密钥同步，终端和认证中心之间后续可使用终端的认证密钥交互信息，以实现终端和AP的双向认证，具体见下文步骤309至步骤314。

步骤309，终端向AP发送接入请求。

步骤310，AP返回接入响应给终端，接入响应中携带AP身份信息；

步骤311，终端使用终端认证密钥加密AP身份信息、终端身份信息以及时间戳，并在密文中携带所述终端身份信息，一起携带在认证请求中通过AP透传给认证中心。

具体地，步骤311中，终端使用终端认证密钥加密AP身份信息、终端身份信息以及时间戳，在密文中同时携带终端身份信息，并承载在认证请求中通过AP透传给认证中心。

步骤312，认证中心基于收到的终端身份信息找到对应的终端认证密钥，利用所述终端认证密钥对认证请求中加密的AP身份信息、终端身份信息以及时间戳进行解密，得到AP身份信息、终端身份信息以及时间戳。

步骤313，认证中心对终端身份信息、AP身份信息进行验证，并验证时间戳的有效性，使用终端认证密钥对验证结果加密并发送给终端。

步骤313类似上述的步骤212，这里不再赘述。

步骤314，终端使用所述终端认证密钥对接收的认证结果进行解密获取认证结果。

至此，通过步骤309至步骤314，实现了终端和AP之间的双向认证。

可选地，在步骤313和步骤314之间，认证中心还可将对终端的认证结果发送给AP，以由AP根据认证结果控制终端的接入。

至此，完成图3所示的流程。

通过图3所示的流程可以看出，在终端和AP之间的双向认证中，使用的终端认证密钥是终端与认证中心双向认证过程(即终端的身份注册过程)中达成一致的密钥。

进一步地，在实施例1中，加解密过程可通过软件实现，具体可通过上述的APP应用软件实现，无需对终端和AP执行任何改造，节省成本，实现简单。

以上对本发明提供的方法进行了描述，下面对本发明提供的系统进行描述：

参见图4，图4为本发明提供的终端结构图。如图4所示，该终端可包括：

身份注册单元，用于通过与认证中心之间的双向认证完成终端的身份注册；

AP认证单元，用于在终端完成身份注册后，通过以下步骤进行终端和接入点AP的双向认证在完成与认证中心之间的双向认证后，通过以下步骤与AP进行双向认证：终端先和AP交互以获取AP的身份信息，终端将本终端的身份信息、所述AP的身份信息、以及时间戳通过AP发送给认证中心，以使认证中心对所述终端的身份信息、所述AP的身份信息进行验证，并验证所述时间戳的有效性，终端接收认证中心返回的验证结果。

优选地，所述身份注册单元通过以下步骤实现终端的身份注册：

安装并运行已下载的APP应用软件，所述APP应用软件中包含认证中心的公钥和非对称加密算法引擎；

通过所述非对称加密算法引擎生成终端公私钥对，所述终端公私钥对包含终端公钥和终端私钥；

使用认证中心的公钥加密所述终端公钥和终端标识ID并发送给认证中心；

接收认证中心发送的由所述终端公钥加密的所述终端证书；

使用终端私钥对接收的终端证书进行解密得到认证中心为本终端签发的终端证书，完成终端的身份注册；

优选地，所述AP认证单元通过以下步骤实现终端和AP之间的双向认证：

向AP发送接入请求；

接收AP返回的接入响应，所述接入响应中携带AP身份信息；

使用所述认证中心的公钥对所述终端证书、AP身份信息、以及时间戳加密并携带在认证请求中通过AP透传给认证中心；

接收认证中心发送的经由终端公钥加密的验证结果，所述验证结果为认证中心对所述终端证书、AP身份信息、以及时间戳的验证结果；

使用终端私钥对接收的验证结果进行解密获取验证结果。

优选地，所述身份注册单元通过以下步骤实现终端的身份注册：

安装并运行已下载的APP应用软件，所述APP应用软件中包含算法因子、序列号、加密算法；

使用自身的终端标识ID、所述算法因子、序列号、加密算法计算出终端认证密钥；

发送终端ID、所述序列号给认证中心，以使认证中心基于收到的终端ID、序列号，并利用所述算法因子、加密算法计算出终端认证密钥，基于所述终端ID为终端分配一个对应的终端身份信息，并记录所述终端身份信息和所述终端认证密钥之间的对应关系；

接收认证中心发送的使用所述终端认证密钥加密的随机数和终端身份信息；

使用所述终端认证密钥对认证中心发送的加密的随机数和终端身份信息解密，并使用所述终端认证密钥对解密后的随机数进行加密，并在密文中携带终端身份信息发送给认证中心，以使认证中心根据接收的终端身份信息找到对应的终端认证密钥，使用找到的终端认证密钥对接收的随机数解密，比较解密后的随机数和之前发送给所述终端的随机数，如果两者一致，则终端与认证中心成功完成双向认证，达成密钥同步，完成终端的身份注册。

优选地，所述AP认证单元通过以下步骤实现终端和AP之间的双向认证：

向AP发送接入请求；

接收AP返回的接入响应，所述接入响应中携带AP身份信息；

使用终端认证密钥加密终端身份信息，所述AP身份信息、以及时间戳，并在密文中携带所述终端身份信息，一起携带在认证请求中通过AP透传给认证中心；

接收认证中心发送的经由终端认证密钥加密的验证结果，所述验证结果是认证中心对AP身份信息、终端身份信息以及时间戳有效性验证的结果，所述AP身份信息、终端身份信息以及时间戳是认证中心基于收到的所述终端身份信息找到对应的终端认证密钥，利用所述终端认证密钥对认证请求中加密的AP身份信息、终端身份信息以及时间戳进行解密得到的，

使用所述终端认证密钥对接收的验证结果进行解密获取验证结果。

至此，完成图4所示的终端结构描述。

以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本发明保护的范围之内。

Claims (11)

1.一种应用于无线局域网WLAN中的接入认证方法，其特征在于，该方法包括：

终端UE通过与认证中心之间的双向认证完成终端的身份注册，其中，所述双向认证包括所述终端UE使用所述认证中心的公钥加密终端公钥和终端ID并发送给所述认证中心，所述认证中心使用自身的私钥对加密的所述终端公钥和所述终端ID进行解密，得到终端公钥和终端ID，并签发终端证书，使用所述终端公钥加密所述终端证书返回给所述终端UE，所述终端UE使用终端私钥对接收的所述终端证书解密得到所述认证中心为所述终端UE签发的所述终端证书，以完成所述终端UE的身份注册；

所述终端UE在完成身份注册后，通过以下步骤进行所述终端UE和接入点AP的双向认证：

步骤A0，所述终端UE先和所述接入点AP交互以获取所述接入点AP的身份信息，所述终端UE使用所述认证中心的公钥加密本终端的所述终端证书、所述接入点AP的身份信息、以及时间戳，并通过所述接入点AP发送给认证中心，以使所述认证中心使用所述自身的私钥对所述认证请求中加密的所述终端UE的所述终端证书、所述接入点AP的身份信息以及所述时间戳进行解密，并验证所述终端证书和所述接入点AP的身份信息的合法性，以及验证所述时间戳的有效性，通过所述终端UE的公钥加密认证结果返回给所述终端UE，所述终端UE接收所述认证中心返回的认证结果，所述终端UE使用终端私钥对接收的所述认证结果进行解密并验证以实现所述终端UE和所述接入点AP的双向认证。

2.根据权利要求1所述的方法，其特征在于，所述终端UE通过与认证中心之间的双向认证完成终端的身份注册包括：

终端安装并运行已下载的APP应用软件，所述APP应用软件中包含认证中心的公钥和非对称加密算法引擎；

终端通过所述非对称加密算法引擎生成终端公私钥对，所述终端公私钥对包含终端公钥和终端私钥；

终端使用认证中心的公钥加密所述终端公钥和终端ID并发送给认证中心；

认证中心使用自身的私钥对加密的终端公钥和终端ID进行解密，得到终端公钥和终端ID；

认证中心验证所述终端公钥合法，则为终端签发终端证书，并记录终端证书和终端ID之间的对应关系；

认证中心使用所述终端公钥加密所述终端证书并发送给终端；

终端使用终端私钥对接收的终端证书进行解密得到认证中心为本终端签发的终端证书，完成终端的身份注册。

3.根据权利要求2所述的方法，其特征在于，所述步骤A0具体包括：

终端向AP发送接入请求；

终端接收AP返回的接入响应，所述接入响应中携带AP身份信息；

终端使用所述认证中心的公钥对所述终端证书、AP身份信息、以及时间戳加密并携带在认证请求中通过AP透传给认证中心；

认证中心使用自身的私钥对认证请求中加密的终端证书、AP身份信息、以及时间戳进行解密，得到终端证书、AP身份信息、以及时间戳；

认证中心分别对所述终端证书、AP身份信息进行验证，并验证时间戳的有效性，使用终端公钥对验证结果加密并发送给终端；

终端使用终端私钥对接收的验证结果进行解密获取验证结果。

4.根据权利要求1所述的方法，其特征在于，所述终端UE通过与认证中心之间的双向认证完成终端的身份注册包括：

终端安装并运行已下载的APP应用软件，所述APP应用软件中包含算法因子、序列号、加密算法；

终端使用自身的终端ID、所述算法因子、序列号、加密算法计算出终端认证密钥；

终端发送终端ID、所述序列号给认证中心；

认证中心基于收到的终端ID、序列号，并利用所述算法因子、加密算法计算出终端认证密钥；

认证中心生成一个随机数，使用所述终端认证密钥加密所述随机数并发送给终端；

终端使用所述终端认证密钥对认证中心发送的加密的随机数解密，并使用所述终端认证密钥对解密后的随机数进行加密发送给认证中心；

认证中心使用所述终端认证密钥对接收的随机数解密，比较解密后的随机数和之前发送给所述终端的随机数，如果两者一致，则终端与认证中心成功完成双向认证，达成密钥同步，完成终端的身份注册。

5.根据权利要求4所述的方法，其特征在于，所述认证中心基于收到的终端ID、序列号，并利用所述算法因子、加密算法计算出终端认证密钥进一步包括：基于所述终端ID为终端分配一个对应的终端身份信息，并记录所述终端身份信息和所述终端认证密钥之间的对应关系；

使用终端认证密钥加密随机数并发送给终端包括：使用终端认证密钥加密随机数和终端身份信息并发送给终端；

所述使用终端认证密钥对认证中心发送的加密的随机数解密包括：使用终端认证密钥解密，得到随机数和终端身份信息；

所述使用所述终端认证密钥对解密后的随机数进行加密发送给认证中心：使用终端认证密钥对解密后的随机数加密，并在密文中携带解密后得到的终端身份信息传递给认证中心；

所述认证中心使用所述终端认证密钥对接收的随机数解密包括：基于已记录的所述对应关系找到接收的终端身份信息对应的终端认证密钥，使用找到的终端认证密钥对接收的随机数解密。

6.根据权利要求5所述的方法，其特征在于，所述步骤A0具体包括：

终端向AP发送接入请求；

终端接收AP返回的接入响应，所述接入响应中携带AP身份信息；

终端使用终端认证密钥加密终端身份信息、所述AP身份信息、以及时间戳，并在密文中携带所述终端身份信息，一起携带在认证请求中通过AP透传给认证中心；

认证中心基于收到的所述终端身份信息找到对应的终端认证密钥，利用所述终端认证密钥对认证请求中加密的AP身份信息、终端身份信息以及时间戳进行解密，得到AP身份信息、终端身份信息以及时间戳；

认证中心对所述终端身份信息、AP身份信息进行验证，并验证时间戳的有效性，使用终端认证密钥对验证结果加密并发送给终端；

终端使用所述终端认证密钥对接收的验证结果进行解密获取验证结果。

7.一种应用于无线局域网WLAN中的终端，其特征在于，该终端包括：

身份注册单元，用于终端UE通过与认证中心之间的双向认证完成终端的身份注册，其中，所述双向认证包括所述终端UE使用所述认证中心的公钥加密终端公钥和终端ID并发送给所述认证中心，所述认证中心使用自身的私钥对加密的所述终端公钥和所述终端ID进行解密，得到终端公钥和终端ID，并签发终端证书，使用所述终端公钥加密所述终端证书返回给所述终端UE，所述终端UE使用终端私钥对接收的所述终端证书解密得到所述认证中心为所述终端UE签发的所述终端证书，以完成终端的身份注册；

AP认证单元，用于在终端完成身份注册后，通过以下步骤进行终端和接入点AP的双向认证：步骤A0，所述终端UE先和所述接入点AP交互以获取所述接入点AP的身份信息，所述终端UE使用所述认证中心的公钥加密本终端的所述终端证书、所述接入点AP的身份信息、以及时间戳，并通过所述接入点AP发送给认证中心，以使所述认证中心使用所述自身的私钥对所述认证请求中加密的所述终端UE的所述终端证书、所述接入点AP的身份信息以及所述时间戳进行解密，并验证所述终端证书和所述接入点AP的身份信息的合法性，以及验证所述时间戳的有效性，通过所述终端UE的公钥加密认证结果返回给所述终端UE，所述终端UE接收所述认证中心返回的认证结果，所述终端UE使用终端私钥对接收的所述认证结果进行解密并验证以实现所述终端UE和所述接入点AP的双向认证。

8.根据权利要求7所述的终端，其特征在于，所述身份注册单元通过以下步骤实现终端的身份注册：

安装并运行已下载的APP应用软件，所述APP应用软件中包含认证中心的公钥和非对称加密算法引擎；

通过所述非对称加密算法引擎生成终端公私钥对，所述终端公私钥对包含终端公钥和终端私钥；

使用认证中心的公钥加密所述终端公钥和终端ID并发送给认证中心；

接收认证中心发送的由所述终端公钥加密的所述终端证书；

使用终端私钥对接收的终端证书进行解密得到认证中心为本终端签发的终端证书，完成终端的身份注册。

9.根据权利要求8所述的终端，其特征在于，所述AP认证单元通过以下步骤实现终端和AP之间的双向认证：

向AP发送接入请求；

接收AP返回的接入响应，所述接入响应中携带AP身份信息；

使用所述认证中心的公钥对所述终端证书、AP身份信息、以及时间戳加密并携带在认证请求中通过AP透传给认证中心；

接收认证中心发送的经由终端公钥加密的验证结果，所述验证结果为认证中心对所述终端证书、AP身份信息、以及时间戳有效性的验证结果；

使用终端私钥对接收的验证结果进行解密获取验证结果。

10.根据权利要求7所述的终端，其特征在于，所述身份注册单元通过以下步骤实现终端的身份注册：

安装并运行已下载的APP应用软件，所述APP应用软件中包含算法因子、序列号、加密算法；

使用自身的终端ID、所述算法因子、序列号、加密算法计算出终端认证密钥；

发送终端ID、所述序列号给认证中心，以使认证中心基于收到的终端ID、序列号，并利用所述算法因子、加密算法计算出终端认证密钥，基于所述终端ID为终端分配一个对应的终端身份信息，并记录所述终端身份信息和所述终端认证密钥之间的对应关系；

接收认证中心发送的使用所述终端认证密钥加密的随机数和终端身份信息；

使用所述终端认证密钥对认证中心发送的加密的随机数和终端身份信息解密，并使用所述终端认证密钥对解密后的随机数进行加密，在密文中携带终端身份信息发送给认证中心，以使认证中心根据接收的终端身份信息找到对应的终端认证密钥，使用找到的终端认证密钥对接收的随机数解密，比较解密后的随机数和之前发送给所述终端的随机数，如果两者一致，则终端与认证中心成功完成双向认证，达成密钥同步，完成终端的身份注册。

11.根据权利要求10所述的终端，其特征在于，所述AP认证单元通过以下步骤实现终端和AP之间的双向认证：

向AP发送接入请求；

接收AP返回的接入响应，所述接入响应中携带AP身份信息；

使用终端认证密钥加密终端身份信息，所述AP身份信息、以及时间戳，并在密文中携带所述终端身份信息，一起携带在认证请求中通过AP透传给认证中心；

接收认证中心发送的经由终端认证密钥加密的验证结果，所述验证结果是认证中心对AP身份信息、终端身份信息以及时间戳有效性验证的结果，所述AP身份信息、终端身份信息以及时间戳是认证中心基于收到的所述终端身份信息找到对应的终端认证密钥，利用所述终端认证密钥对认证请求中加密的AP身份信息、终端身份信息以及时间戳进行解密得到的，

使用所述终端认证密钥对接收的验证结果进行解密获取验证结果。

Images