CN107360124A - 接入认证方法及装置、无线接入点和用户终端 - Google Patents
接入认证方法及装置、无线接入点和用户终端 Download PDFInfo
- Publication number
- CN107360124A CN107360124A CN201610306310.5A CN201610306310A CN107360124A CN 107360124 A CN107360124 A CN 107360124A CN 201610306310 A CN201610306310 A CN 201610306310A CN 107360124 A CN107360124 A CN 107360124A
- Authority
- CN
- China
- Prior art keywords
- wap
- terminal
- public key
- certificate
- authentication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
- H04L9/3268—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3297—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving time stamps, e.g. generation of time stamps
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明涉及一种接入认证方法及装置、无线接入点和用户终端,本发明中,认证服务器根据无线接入点数字认证证书对无线接入点进行认证,生成无线接入点认证结果,根据终端数字认证证书对用户终端进行认证,生成终端认证结果,并将两个认证结果发给无线接入点和所述客户端。这样就能够使得用户终端可以确定所请求接入的接入点是否为安全的接入点,也可以使无线接入点确定所述终端是否合法。并且无线接入点数字认证证书和终端数字认证证书的获取过程中均仅传输对应的公钥信息,而不传递私钥,保证了数字认证证书颁发的安全性。
Description
技术领域
本发明涉及通信技术领域,具体涉及一种接入认证方法及装置、无线接入点和用户终端。
背景技术
随着智能终端的全面普及以及移动互联网业务的迅速发展,WLAN呈现出快速发展的态势,已经成为用户在家庭和机场、火车站、酒店等公共场所的主要宽带接入方式。大范围覆盖的WLAN也在城市中逐步部署,如中国移动在北京已经部署了近万个热点,为城区重点范围内的用户提供便捷的WLAN接入。
目前WLAN应用是基于802.1x系列的WIFI协议,其鉴权过程包含企业版和家庭版,家庭版不需接入鉴权,可直接连入网络;企业版也只是提供了对终端身份的单项认证,加之协议过程都为明文传输,存在DOS攻击、篡改MAC地址、伪装AP等安全隐患。
现有的802.11协议并未规定对无线接入点(AP)合法性的认证过程,不论是个人版还是企业版的无线接入模式,其区别仅在于是否对终端进行合法性认证,这样的机制具有较大的安全隐患,一旦攻击者采用伪装AP,用户终端(STA)无法识别,将面临重要信息被窃取、盗用,甚至造成财产损失的风险。
发明内容
针对现有技术中的缺陷,本发明提供一种能够使得用户终端对无线接入点进行安全性认证的方法。
第一方面,本发明提供了一种接入认证方法,包括:
在用户终端注册过程中,认证服务器接收用户终端发送的利用所述终端私钥签名加密的终端公钥信息后,认证服务器利用终端公钥解密终端公钥信息,判断所述终端发送的信息是否未被篡改,如果未被篡改,结合所述终端的用户信息,产生终端数字认证证书;并将所产生的终端数字认证证书采用所述认证服务器的私钥进行加密后发送给所述用户终端;其中,所述终端公钥信息对应的终端公钥和所述终端私钥为所述终端采用非对称加密算法引擎生成的公私钥对;
认证服务器在接收到无线接入点发送的注册信息后,将颁发者公钥以及颁发者名称发送给无线接入点;所述注册信息包含所述无线接入点的SSID和MAC地址;在接收到无线接入点发送的无线接入点私钥签名加密的公钥信息后,认证服务器利用无线接入点公钥解密无线接入点公钥信息,判断所述无线接入点发送的信息是否未被篡改,如果未被篡改,结合所述无线接入点的注册信息,产生无线接入点数字认证证书;并将所产生的无线接入点数字认证证书采用所述认证服务器公钥进行加密后发送给所述无线接入点;所述无线接入点公钥和所述无线接入点私钥为所述无线接入点采用非对称加密算法引擎生成的公私钥对;
认证服务器接收无线接入点发送的双向认证请求消息,所述双向认证请求消息中包含终端数字认证证书和无线接入点数字认证证书;获取其中的终端数字认证证书和无线接入点数字认证证书;根据所述终端数字认证证书判断对应的用户终端是否为合法用户终端,并生成用户终端认证结果;根据所述无线接入点数字认证证书判断对应的无线接入点是否为合法无线接入点,并生成无线接入点认证结果;将所述用户终端认证结果和所述无线接入点认证结果发送到对应的用户终端和对应的无线接入点。
进一步的,所述终端公钥信息中包含终端所请求的有效时间;
所述方法还包括:在生成终端数字认证证书时,生成终端数字认证证书对应的有效时间添加到终端数字认证证书中;
所述认证服务器根据所述终端数字认证证书判断对应的用户终端是否为合法用户,包括:
判断当前是否处于所述终端数字认证证书中的有效时间,并在判断为否时,判定对应的用户终端为非法用户终端;
和/或;
所述无线接入点公钥信息中包含无线接入点所请求的有效时间;
所述方法还包括:在生成无线接入点数字认证证书时,生成无线接入点数字认证证书对应的有效时间并添加到无线接入点数字认证证书中;
所述根据所述无线接入点数字认证证书判断对应的无线接入点是否为合法无线接入点,包括:
判断当前是否处于所述无线接入点数字认证证书中的有效时间,并在判断为否时,判定对应的无线接入点为非法无线接入点。
进一步的,所述终端数字认证证书包括用于指示所采用的有效公钥数字的位数的签名算法指示字段以及多位公钥数字;所述多位公钥数字位于对应的数字认证证书的末尾;所述双向认证请求消息中还携带有利用终端私钥进行加密的终端签名;
所述根据所述终端数字认证证书判断对应的用户终端是否为合法用户终端,包括:
根据终端数字认证证书中的签名算法指示字段确定有效公钥数字的位数;
从前向后提取相应位数的公钥数字,并根据提取的公钥数字获得用于信息解密的终端公钥;
利用终端公钥对所述双向认证请求消息中加密的终端签名进行解密,并根据解密后的信息判断所述用户终端是否为合法用户终端;
和/或,
所述无线接入点数字认证证书包括用于指示所采用的有效公钥数字的位数的签名算法指示字段以及多位公钥数字;所述多位公钥数字位于对应的数字认证证书的末尾;所述双向认证请求消息中还携带有利用无线接入点私钥进行加密的无线接入点签名;
所述根据所述无线接入点数字认证证书判断对应的无线接入点是否为合法无线接入点,包括:
根据无线接入点数字认证证书中的签名算法指示字段确定有效公钥数字的位数;
从前向后提取相应位数的公钥数字,获得用于信息解密的无线接入点公钥;
利用无线接入点公钥对所述双向认证请求消息中加密的无线接入点签名进行解密,并根据解密后的信息判断所述无线接入点是否为合法无线接入点。
第二方面,本发明提供了另一种接入认证方法,包括:
调用用户终端的设备主体执行:
获取用户输入的注册信息;
在判断获取到的注册信息合法后,采用非对称加密算法引擎生成终端公私钥对;
生成终端公钥信息发送至认证服务器;所述终端公钥信息中包含所述终端公私钥对中的终端公钥;
终端接收服务器发送的采用终端的私钥进行加密的终端数字认证证书,并采用认证服务器的公钥解密接收到的接入请求响应消息;
在判断用户终端的设备主体需要接入到无线接入点时,向所述无线接入点发送接入认证请求消息,所述接入认证请求消息中携带有所述终端数字认证证书;
接收认证服务器发送的接入响应消息,所述接入响应消息中携带有所述终端和所述无线接入点的认证结果;
根据所述无线接入点认证结果判断所述无线接入点是否通过验证。
第三方面,本发明提供了另一种接入认证方法,包括:
无线接入点向认证服务器发送注册信息;所述注册信息包含所述无线接入点的SSID和MAC地址;
无线接入点接收到认证服务器发送的颁发者公钥以及颁发者名称后,采用非对称加密算法引擎生成无线接入点公私钥对;
无线接入点生成无线接入点公钥信息发送至认证服务器;所述无线接入点公钥信息包含所述无线接入点公私钥对中的无线接入点公钥;
无线接入点接收认证服务器发送的采用无线接入点的私钥进行加密的无线接入点数字认证证书,并采用认证服务器的公钥解密接收到的接入请求响应消息;
无线接入点在接收到用户终端发送接入认证请求消息时,生成双向认证请求消息,所述双向认证请求消息中包含终端数字认证证书和无线接入点数字认证证书;
无线接入点接收认证服务器发送的用户终端认证结果和无线接入点认证结果;
无线接入点根据终端认证结果判断用户终端是否通过验证;
无线接入点向用户终端发送接入响应消息,所述接入响应消息中携带有无线接入点认证结果和终端认证结果。
第四方面,本发明提供了一种认证服务器,包括:
终端数字认证证书颁发模块,用于在用户终端注册过程中,服接收用户终端发送的利用所述终端私钥签名加密的终端公钥信息后,利用终端公钥解密终端公钥信息,判断所述终端发送的信息是否未被篡改,如果未被篡改,结合所述终端的用户信息,产生终端数字认证证书;并将所产生的终端数字认证证书采用所述认证服务器的私钥进行加密后发送给所述用户终端;其中,所述终端公钥信息对应的终端公钥和所述终端私钥为所述终端采用非对称加密算法引擎生成的公私钥对;
无线接入点数字认证证书颁发模块,用于在接收到无线接入点发送的注册信息后,将颁发者公钥以及颁发者名称发送给无线接入点;所述注册信息包含所述无线接入点的SSID和MAC地址;在接收到无线接入点发送的无线接入点私钥签名加密的公钥信息后,利用无线接入点公钥解密无线接入点公钥信息,判断所述无线接入点发送的信息是否未被篡改,如果未被篡改,结合所述无线接入点的注册信息,产生无线接入点数字认证证书;并将所产生的无线接入点数字认证证书采用所述认证服务器公钥进行加密后发送给所述无线接入点;所述无线接入点公钥和所述无线接入点私钥为所述无线接入点采用非对称加密算法引擎生成的公私钥对;
认证模块,用于接收无线接入点发送的双向认证请求消息,所述双向认证请求消息中包含终端数字认证证书和无线接入点数字认证证书;获取其中的终端数字认证证书和无线接入点数字认证证书;根据所述终端数字认证证书判断对应的用户终端是否为合法用户终端,并生成用户终端认证结果;根据所述无线接入点数字认证证书判断对应的无线接入点是否为合法无线接入点,并生成无线接入点认证结果;将所述用户终端认证结果和所述无线接入点认证结果发送到对应的用户终端和对应的无线接入点。
进一步的,所述终端公钥信息中包含终端所请求的有效时间;
所述终端证书颁发模块,还用于在生成终端数字认证证书时,生成终端数字认证证书对应的有效时间添加到终端数字认证证书中;
所述认证模块根据所述终端数字认证证书判断对应的用户终端是否为合法用户包括:判断当前是否处于所述终端数字认证证书中的有效时间,并在判断为否时,判定对应的用户终端为非法用户终端;
和/或;
所述无线接入点公钥信息中包含无线接入点所请求的有效时间;
所述无线接入点证书颁发模块还用于在生成无线接入点数字认证证书时,生成无线接入点数字认证证书对应的有效时间并添加到无线接入点数字认证证书中;
所述认证模块用于根据所述无线接入点数字认证证书判断对应的无线接入点是否为合法无线接入点,包括:
判断当前是否处于所述无线接入点数字认证证书中的有效时间,并在判断为否时,判定对应的无线接入点为非法无线接入点。
进一步的,所述终端数字认证证书包括用于指示所采用的有效公钥数字的位数的签名算法指示字段以及多位公钥数字;所述多位公钥数字位于对应的数字认证证书的末尾;所述双向认证请求消息中还携带有利用终端私钥进行加密的终端签名;
所述认证模块用于根据所述终端数字认证证书判断对应的用户终端是否为合法用户终端,包括:根据终端数字认证证书中的签名算法指示字段确定有效公钥数字的位数;从前向后提取相应位数的公钥数字,并根据提取的公钥数字获得用于信息解密的终端公钥;利用终端公钥对所述双向认证请求消息中加密的终端签名进行解密,并根据解密后的信息判断所述用户终端是否为合法用户终端;
和/或,
所述无线接入点数字认证证书包括用于指示所采用的有效公钥数字的位数的签名算法指示字段以及多位公钥数字;所述多位公钥数字位于对应的数字认证证书的末尾;所述双向认证请求消息中还携带有利用无线接入点私钥进行加密的无线接入点签名;
所述认证模块用于根据所述无线接入点数字认证证书判断对应的无线接入点是否为合法无线接入点,包括:根据无线接入点数字认证证书中的签名算法指示字段确定有效公钥数字的位数;从前向后提取相应位数的公钥数字,并根据提取的公钥数字获得用于信息解密的无线接入点公钥;利用无线接入点公钥对所述双向认证请求消息中加密的无线接入点签名进行解密,并根据解密后的信息判断所述无线接入点是否为合法无线接入点。
第五方面,本发明提供了一种接入认证装置,包括:
数字认证证书请求模块,用于调用用户终端的设备主体执行:
获取用户输入的注册信息;在判断获取到的注册信息合法后,采用非对称加密算法引擎生成终端公私钥对;生成终端公钥信息发送至认证服务器;所述终端公钥信息中包含所述终端公私钥对中的终端公钥;终端接收服务器发送的采用终端的私钥进行加密的终端数字认证证书,并采用认证服务器的公钥解密接收到的接入请求响应消息;
认证请求模块,用于调用用户终端的设备主体执行:
在判断用户终端的设备主体需要接入到无线接入点时,向所述无线接入点发送接入认证请求消息,所述接入认证请求消息中携带有所述终端数字认证证书;接收认证服务器发送的接入响应消息,所述接入响应消息中携带有所述终端和所述无线接入点的认证结果;根据所述无线接入点认证结果判断所述无线接入点是否通过验证。
第六方面,本发明提供了一种无线接入点,包括:
数字认证证书请求模块,用于向认证服务器发送注册信息;所述注册信息包含所述无线接入点的SSID和MAC地址;接收到认证服务器发送的颁发者公钥以及颁发者名称后,采用非对称加密算法引擎生成无线接入点公私钥对;生成无线接入点公钥信息发送至认证服务器;所述无线接入点公钥信息包含所述无线接入点公私钥对中的无线接入点公钥;无线接入点接收认证服务器发送的采用无线接入点的私钥进行加密的无线接入点数字认证证书,并采用认证服务器的公钥解密接收到的接入请求响应消息;
认证请求模块,用于在接收到用户终端发送接入认证请求消息时,生成双向认证请求消息,所述双向认证请求消息中包含终端数字认证证书和无线接入点数字认证证书;接收认证服务器发送的用户终端认证结果和无线接入点认证结果;根据终端认证结果判断用户终端是否通过验证;向用户终端发送接入响应消息,所述接入响应消息中携带有无线接入点认证结果和终端认证结果。
本发明中,认证服务器根据无线接入点数字认证证书对无线接入点进行认证,生成无线接入点认证结果并发送到客户端,根据终端数字认证证书对用户终端进行认证,生成终端认证结果并发送到无线接入点。这样就能够使得用户终端可以确定所请求接入的接入点是否为安全的接入点。并且无线接入点数字认证证书和终端数字认证证书的获取过程中均仅传输对应的公钥信息,而不传递私钥,保证了数字认证证书颁发的安全性。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单的介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明提供的一种接入认证方法的流程示意图;
图2是本发明提供的再一种接入认证方法的流程示意图;
图3是本发明提供的再一种接入认证方法的流程示意图;
图4是本发明提供的接入认证方法中数字认证证书的一种结构的示意图;
图5是本发明图4中的数字认证证书中部分结构的示意图;
图6是本发明提供的一种接入认证方法中AP证书颁发过程的示意图;
图7是本发明提供的一种接入认证方法中STA证书颁发过程的示意图;
图8是本发明提供的一种认证服务器的结构示意图;
图9是本发明提供的一种接入认证装置的结构示意图;
图10是本发明提供的一种无线接入点的结构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
第一方面,本发明提供了一种接入认证方法,该方法可以由认证服务器(AS)执行,参见图1,该方法具体包括:
步骤S11,AS为STA颁发STA数字认证证书。具体流程可以包括:
步骤S111,接收STA发送的利用所述STA私钥签名加密的STA公钥信息;
步骤S112,利用STA公钥解密STA公钥信息,判断所述STA发送的信息是否未被篡改;
步骤S113,结合所述STA的用户信息,产生STA数字认证证书;
步骤S114,将所产生的STA数字认证证书采用所述AS的私钥进行加密后发送给STA;其中,所述STA公钥信息对应的STA公钥和所述STA私钥为所述STA采用非对称加密算法引擎生成的公私钥对。
步骤S12,AS为AP颁发AP数字认证证书。
具体来说,该步骤S12可以包括如下流程:
步骤S121,AS在接收到AP发送的注册信息后,将颁发者公钥以及颁发者名称发送给AP;所述注册信息包含所述AP的SSID和MAC地址。
步骤S122,AS在接收到AP发送的利用AP私钥签名加密的AP公钥信息后,利用AP公钥解密AP公钥信息,判断所述AP发送的信息是否未被篡改;
步骤S123,在AP发送的信息未被篡改,结合所述AP的注册信息,产生AP数字认证证书时;
步骤S124,AS将所产生的AP数字认证证书采用所述AS公钥对应的AS私钥进行加密后发送给所述AP;所述AS公钥和所述AS私钥为所述AS采用非对称加密算法引擎生成的公私钥对。
步骤S13,AS对STA和AP分别进行认证,并下发认证结果;
具体流程可以包括:
步骤S131,AS接收AP发送的双向认证请求消息,所述双向认证请求消息中包含STA数字认证证书和AP数字认证证书;
步骤S132,获取其中的STA数字认证证书和AP数字认证证书;
步骤S133,根据所述STA数字认证证书判断对应的STA是否为合法STA,并生成STA认证结果;
步骤S134,根据所述AP数字认证证书判断对应的AP是否为合法AP,并生成AP认证结果;
步骤S135,将所述STA认证结果和AP认证结果发送到对应的AP和对应的STA。
本发明中,AS根据AP数字认证证书对AP进行认证,根据STA数字认证证书对STA进行认证,并将生成AP认证结果和STA认证结果并发送到对应的AP和STA。这样就能够使得STA可以确定所请求接入的接入点是否为安全的接入点,AP也可以根据STA的认证结果判断STA是否为合法STA,并进行相应的操作。并且AP数字认证证书和STA数字认证证书的获取过程中均仅传输对应的公钥信息,而不传递私钥,保证了数字认证证书颁发的安全性。
不难理解的是,上述的步骤S11和步骤S12的顺序可以对调,图1中示出的顺序关系不能理解为对本发明保护范围的限定。
作为一种可选的实施方式,所述STA公钥信息中包含STA所请求的有效时间;
所述方法还包括:在生成STA数字认证证书时,生成STA数字认证证书对应的有效时间添加到STA数字认证证书中;
上述的步骤S133可以具体包括:
判断当前是否处于所述STA数字认证证书中的有效时间,并在判断为否时,判定对应的STA为非法STA;
和/或;
所述AP公钥信息中包含AP所请求的有效时间;
所述方法还包括:在生成无线接入点数字认证证书时,生成AP数字认证证书对应的有效时间并添加到AP数字认证证书中;
此时步骤S134可以具体包括:
判断当前是否处于所述AP数字认证证书中的有效时间,并在判断为否时,判定对应的AP为非法AP。
通过这种方式,可以在每次STA发起网络连接请求时,对STA和AP进行一次认证,进一步提升网络接入的安全性。在STA数字认证证书失效之后,STA可以再次向AS发送STA公钥信息,AS在接收到新的STA公钥信息后再次生成STA数字认证证书并下发给STA。同样的,在AP数字认证证书失效之后,AP可以再次向AS发送AP公钥信息,AS在接收到新的AP公钥信息后再次生成AP数字认证证书并下发给AP。
作为再一种可选的实施方式,STA数字认证证书包括用于指示所采用的有效公钥数字的位数的签名算法指示字段以及多位公钥数字;所述多位公钥数字位于对应的数字认证证书的末尾;所述双向认证请求消息中还携带有利用STA私钥进行加密的STA签名;
此时,上述的步骤S133可以具体包括:
根据STA数字认证证书中的签名算法指示字段确定有效公钥数字的位数;
从前向后提取相应位数的公钥数字,并根据提取的公钥数字获得用于信息解密的STA公钥;
利用STA公钥对所述双向认证请求消息中加密的STA签名进行解密,并根据解密后的信息判断所述STA是否为合法STA,以及该消息传输过程是否被篡改;和/或,
所述AP数字认证证书包括用于指示所采用的有效公钥数字的位数的签名算法指示字段以及多位公钥数字;所述多位公钥数字位于对应的数字认证证书的末尾;
此时,上述的步骤S134可以具体包括:
根据AP数字认证证书中的签名算法指示字段确定有效公钥数字的位数;
从前向后提取相应位数的公钥数字,获得用于信息解密的AP公钥;利用AP公钥对所述双向认证请求消息中加密的AP签名进行解密,并根据解密后的信息判断所述AP是否为合法AP,以及该消息传输过程是否被篡改。
这样的设置具体如下优点:AS在接收到数字认证证书之后,根据其中的签名算法指示字段可以直接定有效的公钥数字的位数,从前向后准确提取到相应位数的公钥数字。允许公钥数字的总位数可以任意设置。
不难理解的是,上述提到的两种可选的实施方式不会相互影响,在具体实施时,相应的方法可以仅按照上述的其中任一种实施,也可以同时按照上述的两种可选实施方式实施。
第二方面,本发明还提供了另一种接入认证方法,该方法可以由位于STA中的接入认证装置执行,参见图2,该方法可以包括:
调用STA的设备主体执行:
步骤S21,获取用户输入的注册信息;
步骤S22,在获取到的注册信息合法后,采用非对称加密算法引擎生成STA公私钥对;
步骤S23,生成STA公钥信息发送至AS;所述STA公钥信息中包含所述STA公钥私对中的STA公钥;
步骤S24,接收AS发送的STA数字认证证书;
步骤S25,在判断STA的设备主体需要接入到AP时,向所述AP发送接入认证请求消息,所述接入认证请求消息中携带有所述STA数字认证证书;
步骤S26,接收AP发送的接入响应消息,所述接入响应消息中携带有AP认证结果和STA认证结果;
步骤S27,根据所述AP认证结果判断所述AP是否通过验证。
具体来说,这里的接入认证装置可以为安装在STA中的一个应用。该应用可以调用STA的设备主体(比如处理器,通信模组等)执行相应的操作。通过这种方式,能够在无需对STA进行硬件改进的前提下,实现STA数字认证证书的颁发过程。该颁发过程中仅传输所生成的STA公钥,STA私钥不传递,保证了STA数字认证证书的安全颁发。
在具体实施时,对应于第一方面所述的接入认证方法的第一种可选的实施方式,这里步骤S23中的STA公钥信息可以携带有STA所请求的STA数字认证证书的有效时间。使得AS所颁发的数字认证证书具有一定的时效。
第三方面,本发明还提供了另一种接入认证方法,该方法可以由AP执行,参见图3,该方法包括:
步骤S31,AP向AS发送注册信息;所述注册信息包含所述AP的SSID和MAC地址;
步骤S32,AP接收到AS发送的颁发者公钥以及颁发者名称后,采用非对称加密算法引擎生成AP公私钥对;
步骤S33,AP生成AP公钥信息发送至AS;所述AP公钥信息包含所述AP公私钥对中的AP公钥;
步骤S34,AP接收AS发送的AP数字认证证书;
步骤S35,AP在接收到STA发送接入认证请求消息时,生成双向认证请求消息,所述双向认证请求消息中包含STA数字认证证书和AP数字认证证书;
步骤S36,AP接收认证AS发送的STA认证结果和AP认证结果;
步骤S37,AP根据STA认证结果判断STA是否通过验证,并向该STA发送接入响应消息,所述接入响应消息中携带有AP认证结果和STA认证结果。
通过上述的方法流程,可以使得AP能够完成对STA的认证,并且使得STA能够对AP进行认证。并且AP数字认证证书颁发的过程中,仅传递AP公钥,能够保证公钥颁发的安全性。
作为一种可选的方式,对应于第一方面所述的接入认证方法中的第一种可选的实施方式,AP生成的AP公钥信息中可以携带AP所请求的AP数字认证证书的有效时间。
第一方面,第二方面和第三方面所述的接入认证方法中,AS、AP、STA之间交互的信息可以基于WIFI协议进行。这样可以在兼容现有的STA(现有的STA一般都能支持WIFI协议)的前提下,实现上述的接入认证的过程。
在具体实施时,上述的STA数字认证证书和AP数字认证证书可以采用同一种帧结构,下面结合附图对相应的帧结构进行详细说明。
数字认证证书的一种帧结构的格式定义可以参见图4。其中:
版本号:该字段指定证书的格式,以使具体的协议能提取该数字认证证书的有效数据项。字段长度为1个八位位组,当前版本号为1;
序列号:每个由AS颁发的数字认证证书都需要分配一个惟一的序列号,由证书的序列号和证书颁发者的名称可以惟一地确定证书持有者。字段长度为6个八位位组;
签名算法:签名算法字段长度为2个八位位组;具体定义参见图5,其中:
Hash算法标识为1个八位位组,其值含义如下:
“1”表示SHA-224算法;
“2”表示SHA-256算法;
其他值保留。
签名算法标识为1个八位位组,其值含义如下:
“1”表示192位的椭圆曲线算法;
“2”表示224位的椭圆曲线算法;
“3”表示256位的椭圆曲线算法;
其他值保留。
有效时间:该字段用于规定数字认证证书可以有效使用的时间,采用UTC时间格式。字段长度为8个八位位组,由4个八位位组的起始时间和4个八位位组的截止时间组成。
证书类型:该字段表示证书持有者的设备类型,即STA、AP或者AS。字段为2个八位位组,标识证书应用的设备类型,定义如下:
√0表示此证书为STA证书;
√1表示此证书为AP证书;
√2表示此证书为AS证书;
√其他值保留。
扩展:该字段保留,用于以后的扩展应用。字段为2个八位位组,该字段保留,默认值为0。
证书颁发者/持有者标识:根据X.509对唯一标识名的定义要求进行设置。
证书持有者公钥:签名算法决定了证书持有者公钥的长度。
下面结合附图对STA数字认证证书和AP数字认证证书的颁发过程进行更为详细的说明。
AP证书颁发步骤可以参见图6,包括:
AS发送激活AP注册信令;
(1)AP将注册信息发送给AP,注册信息包括AP的SSID以及MAC地址;
(2)AS端收到AP注册信息后,生成唯一的序列号,序列号为6个八位数组,AS将颁发者公钥以及颁发者名称发送给AP;
(3)AP使用非对称加密算法引擎生成AP的公私钥对,AP将产生的公钥信息及当前系统请求时间发送给AS以申请证书;
(4)AS检查AP的公钥信息,如果公钥信息不合法,则拒绝颁发证书;如果公钥信息合法,则添加数字认证证书管理所需的数据,计算数字认证证书的签名并审计记录登记,记录AS在数字认证证书产生过程中的行为。产生数字认证证书后将证书及当前系统时间发送给AP,其中AS向AP发送证书时需要使用颁发者私钥签名。
STA证书的颁发过程可以参考图7,包括:
(1)STA从安全网站下载接入认证应用,该应用中包含非对称加密算法引擎;
(2)STA安装并运行该应用,进行身份注册;注册成功后,接入认证应用中包含的非对称加密算法引擎生成STA的公私钥对;
(3)STA发起网络连接请求,将产生的公钥信息及当前系统请求时间发给AS;
(4)AS检查STA的公钥信息,如果公钥信息被篡改,则拒绝颁发证书;如果公钥信息未被篡改,则添加数字认证证书管理所需的数据,计算数字认证证书的签名并审计记录登记,记录AS在数字认证证书产生过程中的行为。产生数字认证证书后将证书及当前系统时间发送给STA。
(5)STA和AS通过AP完成双向认证,STA开始正常通信交互。AS颁发给STA的证书到达有效期后则失效。
(6)当STA发起下一次网络连接请求时,返回步骤(3)。
图6和图7所示的密钥分发过程中,STA和AS的公钥是公开的,攻击者截获公钥不影响过程的安全性,后续步骤中链路上传输的信息均采用私钥进行签名,保证信息传输的过程不被篡改,STA和认证中心的私钥不传递,保证了密钥的安全分发。
第四方面,本发明还提供了一种认证服务器,可以用以执行第一方面所述的接入认证方法,参见图8,该方法包括:
终端数字认证证书颁发模块81,用于在用户终端注册过程中,服接收用户终端发送的利用所述终端私钥签名加密的终端公钥信息后,利用终端公钥解密终端公钥信息,判断所述终端发送的信息是否未被篡改,如果未被篡改,结合所述终端的用户信息,产生终端数字认证证书;并将所产生的终端数字认证证书采用所述认证服务器的私钥进行加密后发送给所述用户终端;其中,所述终端公钥信息对应的终端公钥和所述终端私钥为所述终端采用非对称加密算法引擎生成的公私钥对;
无线接入点数字认证证书颁发模块82,用于在接收到无线接入点发送的注册信息后,将颁发者公钥以及颁发者名称发送给无线接入点;所述注册信息包含所述无线接入点的SSID和MAC地址;在接收到无线接入点发送的无线接入点私钥签名加密的公钥信息后,利用无线接入点公钥解密无线接入点公钥信息,判断所述无线接入点发送的信息是否未被篡改,如果未被篡改,结合所述无线接入点的注册信息,产生无线接入点数字认证证书;并将所产生的无线接入点数字认证证书采用所述认证服务器公钥进行加密后发送给所述无线接入点;所述无线接入点公钥和所述无线接入点私钥为所述无线接入点采用非对称加密算法引擎生成的公私钥对;
认证模块83,用于接收无线接入点发送的双向认证请求消息,所述双向认证请求消息中包含终端数字认证证书和无线接入点数字认证证书;获取其中的终端数字认证证书和无线接入点数字认证证书;根据所述终端数字认证证书判断对应的用户终端是否为合法用户终端,并生成用户终端认证结果;根据所述无线接入点数字认证证书判断对应的无线接入点是否为合法无线接入点,并生成无线接入点认证结果;将所述用户终端认证结果和所述无线接入点认证结果发送到对应的用户终端和对应的无线接入点。
进一步的,所述终端公钥信息中包含终端所请求的有效时间;
所述终端证书颁发模块81,还用于在生成终端数字认证证书时,生成终端数字认证证书对应的有效时间添加到终端数字认证证书中;
所述认证模块83根据所述终端数字认证证书判断对应的用户终端是否为合法用户包括:判断当前是否处于所述终端数字认证证书中的有效时间,并在判断为否时,判定对应的用户终端为非法用户终端;
和/或;
所述无线接入点公钥信息中包含无线接入点所请求的有效时间;
所述无线接入点证书颁发模块82还用于在生成无线接入点数字认证证书时,生成AP数字认证证书对应的有效时间并添加到无线接入点数字认证证书中;
所述认证模块83用于根据所述无线接入点数字认证证书判断对应的无线接入点是否为合法无线接入点,包括:
判断当前是否处于所述无线接入点数字认证证书中的有效时间,并在判断为否时,判定对应的无线接入点为非法无线接入点。
进一步的,所述终端数字认证证书包括用于指示所采用的有效公钥数字的位数的签名算法指示字段以及多位公钥数字;所述多位公钥数字位于对应的数字认证证书的末尾;所述双向认证请求消息中还携带有利用终端私钥进行加密的终端签名;
所述认证模块83用于根据所述终端数字认证证书判断对应的用户终端是否为合法用户终端,包括:根据终端数字认证证书中的签名算法指示字段确定有效公钥数字的位数;从前向后提取相应位数的公钥数字,并根据提取的公钥数字获得用于信息解密的终端公钥;利用终端公钥对所述双向认证请求消息中加密的终端签名进行解密,并根据解密后的信息判断所述用户终端是否为合法用户终端;
和/或,
所述无线接入点数字认证证书包括用于指示所采用的有效公钥数字的位数的签名算法指示字段以及多位公钥数字;所述多位公钥数字位于对应的数字认证证书的末尾;所述双向认证请求消息中还携带有利用无线接入点私钥进行加密的无线接入点签名;
所述认证模块83用于根据所述无线接入点数字认证证书判断对应的无线接入点是否为合法无线接入点,包括:根据无线接入点数字认证证书中的签名算法指示字段确定有效公钥数字的位数;从前向后提取相应位数的公钥数字,并根据提取的公钥数字获得用于信息解密的无线接入点公钥;利用无线接入点公钥对所述双向认证请求消息中加密的无线接入点签名进行解密,并根据解密后的信息判断所述无线接入点是否为合法无线接入点,以及该消息传输过程是否被篡改。
第五方面,本发明提供了一种接入认证装置,可以用以执行第二方面所述的接入认证方法,参见图9,包括:
数字认证证书请求模块91,用于调用用户终端的设备主体执行:
获取用户输入的注册信息;在判断获取到的注册信息合法后,采用非对称加密算法引擎生成终端公私钥对;生成终端公钥信息发送至认证服务器;所述终端公钥信息中包含所述终端公私钥对中的终端公钥;终端接收认证服务器发送的采用终端的私钥进行加密的终端数字认证证书,并采用认证服务器的公钥解密接收到的接入请求响应消息;
认证请求模块92,用于调用用户终端的设备主体执行:
在判断用户终端的设备主体需要接入到无线接入点时,向所述无线接入点发送接入认证请求消息,所述接入认证请求消息中携带有所述终端数字认证证书;接收认证服务器发送的接入响应消息,所述接入响应消息中携带有所述终端和所述无线接入点的认证结果;根据所述无线接入点认证结果判断所述无线接入点是否通过验证,以及该消息传输过程是否被篡改。
第六方面,本发明还提供了一种无线接入点,可以用以执行第三方面所述的接入认证方法,参见图10,包括:
数字认证证书请求模块101,用于向认证服务器发送注册信息;所述注册信息包含所述无线接入点的SSID和MAC地址;接收到认证服务器发送的颁发者公钥以及颁发者名称后,采用非对称加密算法引擎生成无线接入点公私钥对;生成无线接入点公钥信息发送至认证服务器;所述无线接入点公钥信息包含所述无线接入点公私钥对中的无线接入点公钥;无线接入点接收认证服务器发送的采用无线接入点的私钥进行加密的无线接入点数字认证证书,并采用认证服务器的公钥解密接收到的接入请求响应消息;
认证请求模块102,用于在接收到用户终端发送接入认证请求消息时,生成双向认证请求消息,所述双向认证请求消息中包含终端数字认证证书和无线接入点数字认证证书;接收认证服务器发送的用户终端认证结果和无线接入点认证结果;根据终端认证结果判断用户终端是否通过验证;向用户终端发送接入响应消息,所述接入响应消息中携带有无线接入点认证结果和终端认证结果。
不难理解的是,由于本发明第四方面所介绍的服务器、第五方面所介绍的接入认证装置、第六方面所介绍的无线接入点分别为用以执行第一方面、第二方面和第三方面所介绍的接入认证方法所采用的装置,故而基于本发明第一方面、第二方面和第三方面中所介绍的接入认证方法,本领域所属技术人员能够了解本发明第四方面所介绍的服务器、第五方面所介绍的接入认证装置、第六方面所介绍的无线接入点的具体实施方式以及其各种变化形式,所以在此对于这些装置如何实现本发明第一方面、第二方面和第三方面中的接入认证方法不再详细介绍。只要本领域所属技术人员实施本发明第一方面、第二方面和第三方面中接入认证方法所采用的装置,都属于本申请所欲保护的范围。
本发明的说明书中,说明了大量具体细节。然而,能够理解,本发明的实施例可以在没有这些具体细节的情况下实践。在一些实例中,并未详细示出公知的方法、结构和技术,以便不模糊对本说明书的理解。
类似地,应当理解,为了精简本发明公开并帮助理解各个发明方面中的一个或多个,在上面对本发明的示例性实施例的描述中,本发明的各个特征有时被一起分组到单个实施例、图、或者对其的描述中。然而,并不应将该公开的方法解释呈反映如下意图:即所要求保护的本发明要求比在每个权利要求中所明确记载的特征更多的特征。更确切地说,如权利要求书所反映的那样,发明方面在于少于前面公开的单个实施例的所有特征。因此,遵循具体实施方式的权利要求书由此明确地并入该具体实施方式,其中每个权利要求本身都作为本发明的单独实施例。
在本发明的描述中需要说明的是,术语“上”、“下”等指示的方位或位置关系为基于附图所示的方位或位置关系,仅是为了便于描述本发明和简化描述,而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作,因此不能理解为对本发明的限定。除非另有明确的规定和限定,术语“安装”、“相连”、“连接”应作广义理解,例如,可以是固定连接,也可以是可拆卸连接,或一体地连接;可以是机械连接,也可以是电连接;可以是直接相连,也可以通过中间媒介间接相连,可以是两个元件内部的连通。对于本领域的普通技术人员而言,可以根据具体情况理解上述术语在本发明中的具体含义。
还需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限定的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
以上实施例仅用以说明本发明的技术方案,而非对其限定;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (10)
1.一种接入认证方法,其特征在于,包括:
在用户终端注册过程中,认证服务器接收用户终端发送的利用所述终端私钥签名加密的终端公钥信息后,认证服务器利用终端公钥解密终端公钥信息,判断所述终端发送的信息是否未被篡改,如果未被篡改,结合所述终端的用户信息,产生终端数字认证证书;并将所产生的终端数字认证证书采用所述认证服务器的私钥进行加密后发送给所述用户终端;其中,所述终端公钥信息对应的终端公钥和所述终端私钥为所述终端采用非对称加密算法引擎生成的公私钥对;
认证服务器在接收到无线接入点发送的注册信息后,将颁发者公钥以及颁发者名称通过颁发者私钥签名加密后发送给无线接入点;所述注册信息包含所述无线接入点的SSID和MAC地址;在接收到无线接入点发送的无线接入点私钥签名加密的公钥信息后,认证服务器利用无线接入点公钥解密无线接入点公钥信息,判断所述无线接入点发送的信息是否未被篡改,如果未被篡改,结合所述无线接入点的注册信息,产生无线接入点数字认证证书;并将所产生的无线接入点数字认证证书采用所述认证服务器公钥进行加密后发送给所述无线接入点;所述无线接入点公钥和所述无线接入点私钥为所述无线接入点采用非对称加密算法引擎生成的公私钥对;
认证服务器接收无线接入点发送的双向认证请求消息,所述双向认证请求消息中包含终端数字认证证书和无线接入点数字认证证书;获取其中的终端数字认证证书和无线接入点数字认证证书;根据所述终端数字认证证书判断对应的用户终端是否为合法用户终端,并生成用户终端认证结果;根据所述无线接入点数字认证证书判断对应的无线接入点是否为合法无线接入点,并生成无线接入点认证结果;将所述用户终端认证结果和所述无线接入点认证结果发送到对应的用户终端和对应的无线接入点。
2.如权利要求1所述的方法,其特征在于,所述终端公钥信息中包含终端所请求的有效时间;
所述方法还包括:在生成终端数字认证证书时,生成终端数字认证证书对应的有效时间添加到终端数字认证证书中;
所述认证服务器根据所述终端数字认证证书判断对应的用户终端是否为合法用户,包括:
判断当前是否处于所述终端数字认证证书中的有效时间,并在判断为否时,判定对应的用户终端为非法用户终端;
和/或;
所述无线接入点公钥信息中包含无线接入点所请求的有效时间;
所述方法还包括:在生成无线接入点数字认证证书时,生成无线接入点数字认证证书对应的有效时间并添加到无线接入点数字认证证书中;
所述根据所述无线接入点数字认证证书判断对应的无线接入点是否为合法无线接入点,包括:
判断当前是否处于所述无线接入点数字认证证书中的有效时间,并在判断为否时,判定对应的无线接入点为非法无线接入点。
3.如权利要求1所述的方法,其特征在于,所述终端数字认证证书包括用于指示所采用的有效公钥数字的位数的签名算法指示字段以及多位公钥数字;所述多位公钥数字位于对应的数字认证证书的末尾;所述双向认证请求消息中还携带有利用终端私钥进行加密的终端签名;
所述根据所述终端数字认证证书判断对应的用户终端是否为合法用户终端,包括:
根据终端数字认证证书中的签名算法指示字段确定有效公钥数字的位数;
从前向后提取相应位数的公钥数字,并根据提取的公钥数字获得用于信息解密的终端公钥;
利用终端公钥对所述双向认证请求消息中加密的终端签名进行解密,并根据解密后的信息判断所述用户终端是否为合法用户终端;
和/或,
所述无线接入点数字认证证书包括用于指示所采用的有效公钥数字的位数的签名算法指示字段以及多位公钥数字;所述多位公钥数字位于对应的数字认证证书的末尾;所述双向认证请求消息中还携带有利用无线接入点私钥进行加密的无线接入点签名;
所述根据所述无线接入点数字认证证书判断对应的无线接入点是否为合法无线接入点,包括:
根据无线接入点数字认证证书中的签名算法指示字段确定有效公钥数字的位数;
从前向后提取相应位数的公钥数字,获得用于信息解密的无线接入点公钥;
利用无线接入点公钥对所述双向认证请求消息中加密的无线接入点签名进行解密,并根据解密后的信息判断所述无线接入点是否为合法无线接入点。
4.一种接入认证方法,其特征在于,包括:
调用用户终端的设备主体执行:
获取用户输入的注册信息;
在判断获取到的注册信息合法后,采用非对称加密算法引擎生成终端公私钥对;
生成终端公钥信息发送至认证服务器;所述终端公钥信息中包含所述终端公私钥对中的终端公钥;
终端接收服务器发送的采用终端的私钥进行加密的终端数字认证证书,并采用认证服务器的公钥解密接收到的接入请求响应消息;
在判断用户终端的设备主体需要接入到无线接入点时,向所述无线接入点发送接入认证请求消息,所述接入认证请求消息中携带有所述终端数字认证证书;
接收认证服务器发送的接入响应消息,所述接入响应消息中携带有所述终端和所述无线接入点的认证结果;
根据所述无线接入点认证结果判断所述无线接入点是否通过验证。
5.一种接入认证方法,其特征在于,包括:
无线接入点向认证服务器发送注册信息;所述注册信息包含所述无线接入点的SSID和MAC地址;
无线接入点接收到认证服务器发送的颁发者公钥以及颁发者名称后,采用非对称加密算法引擎生成无线接入点公私钥对;
无线接入点生成无线接入点公钥信息发送至认证服务器;所述无线接入点公钥信息包含所述无线接入点公私钥对中的无线接入点公钥;
无线接入点接收服务器发送的采用无线接入点的私钥进行加密的无线接入点数字认证证书,并采用认证服务器的公钥解密接收到的接入请求响应消息;
无线接入点在接收到用户终端发送接入认证请求消息时,生成双向认证请求消息,所述双向认证请求消息中包含终端数字认证证书和无线接入点数字认证证书;
无线接入点接收认证服务器发送的用户终端认证结果和无线接入点认证结果;
无线接入点根据终端认证结果判断用户终端是否通过验证;
无线接入点向用户终端发送接入响应消息,所述接入响应消息中携带有无线接入点认证结果和终端认证结果。
6.一种认证服务器,其特征在于,包括:
终端数字认证证书颁发模块,用于在用户终端注册过程中,服接收用户终端发送的利用所述终端私钥签名加密的终端公钥信息后,利用终端公钥解密终端公钥信息,判断所述终端发送的信息是否未被篡改,如果未被篡改,结合所述终端的用户信息,产生终端数字认证证书;并将所产生的终端数字认证证书采用所述认证服务器的私钥进行加密后发送给所述用户终端;其中,所述终端公钥信息对应的终端公钥和所述终端私钥为所述终端采用非对称加密算法引擎生成的公私钥对;
无线接入点数字认证证书颁发模块,用于在接收到无线接入点发送的注册信息后,将颁发者公钥以及颁发者名称发送给无线接入点;所述注册信息包含所述无线接入点的SSID和MAC地址;在接收到无线接入点发送的无线接入点私钥签名加密的公钥信息后,利用无线接入点公钥解密无线接入点公钥信息,判断所述无线接入点发送的信息是否未被篡改,如果未被篡改,结合所述无线接入点的注册信息,产生无线接入点数字认证证书;并将所产生的无线接入点数字认证证书采用所述认证服务器公钥进行加密后发送给所述无线接入点;所述无线接入点公钥和所述无线接入点私钥为所述无线接入点采用非对称加密算法引擎生成的公私钥对;
认证模块,用于接收无线接入点发送的双向认证请求消息,所述双向认证请求消息中包含终端数字认证证书和无线接入点数字认证证书;获取其中的终端数字认证证书和无线接入点数字认证证书;根据所述终端数字认证证书判断对应的用户终端是否为合法用户终端,并生成用户终端认证结果;根据所述无线接入点数字认证证书判断对应的无线接入点是否为合法无线接入点,并生成无线接入点认证结果;将所述用户终端认证结果和所述无线接入点认证结果发送到对应的用户终端和对应的无线接入点。
7.如权利要求6所述的认证服务器,其特征在于,所述终端公钥信息中包含终端所请求的有效时间;
所述终端证书颁发模块,还用于在生成终端数字认证证书时,生成终端数字认证证书对应的有效时间添加到终端数字认证证书中;
所述认证模块根据所述终端数字认证证书判断对应的用户终端是否为合法用户包括:判断当前是否处于所述终端数字认证证书中的有效时间,并在判断为否时,判定对应的用户终端为非法用户终端;
和/或;
所述无线接入点公钥信息中包含无线接入点所请求的有效时间;
所述无线接入点证书颁发模块还用于在生成无线接入点数字认证证书时,生成无线接入点数字认证证书对应的有效时间并添加到无线接入点数字认证证书中;
所述认证模块用于根据所述无线接入点数字认证证书判断对应的无线接入点是否为合法无线接入点,包括:
判断当前是否处于所述无线接入点数字认证证书中的有效时间,并在判断为否时,判定对应的无线接入点为非法无线接入点。
8.如权利要求6所述的认证服务器,其特征在于,所述终端数字认证证书包括用于指示所采用的有效公钥数字的位数的签名算法指示字段以及多位公钥数字;所述多位公钥数字位于对应的数字认证证书的末尾;所述双向认证请求消息中还携带有利用终端私钥进行加密的终端签名;
所述认证模块用于根据所述终端数字认证证书判断对应的用户终端是否为合法用户终端,包括:根据终端数字认证证书中的签名算法指示字段确定有效公钥数字的位数;从前向后提取相应位数的公钥数字,并根据提取的公钥数字获得用于信息解密的终端公钥;利用终端公钥对所述双向认证请求消息中加密的终端签名进行解密,并根据解密后的信息判断所述用户终端是否为合法用户终端,以及接收的消息是否被篡改过;
和/或,
所述无线接入点数字认证证书包括用于指示所采用的有效公钥数字的位数的签名算法指示字段以及多位公钥数字;所述多位公钥数字位于对应的数字认证证书的末尾;所述双向认证请求消息中还携带有利用无线接入点私钥进行加密的无线接入点签名;
所述认证模块用于根据所述无线接入点数字认证证书判断对应的无线接入点是否为合法无线接入点,包括:根据无线接入点数字认证证书中的签名算法指示字段确定有效公钥数字的位数;从前向后提取相应位数的公钥数字,并根据提取的公钥数字获得用于信息解密的无线接入点公钥;利用无线接入点公钥对所述双向认证请求消息中加密的无线接入点签名进行解密,并根据解密后的信息判断所述无线接入点是否为合法无线接入点,以及接收的消息是否被篡改过。
9.一种接入认证装置,其特征在于,包括:
数字认证证书请求模块,用于调用用户终端的设备主体执行:
获取用户输入的注册信息;在判断获取到的注册信息合法后,采用非对称加密算法引擎生成终端公私钥对;生成终端公钥信息发送至认证服务器;所述终端公钥信息中包含所述终端公私钥对中的终端公钥;接收服务器发送的采用终端的私钥进行加密的终端数字认证证书,认证服务器端采用所述终端的公钥进行解密;
认证请求模块,用于调用用户终端的设备主体执行:
在判断用户终端的设备主体需要接入到无线接入点时,向所述无线接入点发送接入认证请求消息,所述接入认证请求消息中携带有所述终端数字认证证书;接收认证服务器发送的接入响应消息,所述接入响应消息中携带有所述终端和所述无线接入点的认证结果;根据所述无线接入点认证结果判断所述无线接入点是否通过验证。
10.一种无线接入点,其特征在于,包括:
数字认证证书请求模块,用于向认证服务器发送注册信息;所述注册信息包含所述无线接入点的SSID和MAC地址;接收到认证服务器发送的颁发者公钥以及颁发者名称后,采用非对称加密算法引擎生成无线接入点公私钥对;生成无线接入点公钥信息发送至认证服务器;所述无线接入点公钥信息包含所述无线接入点公私钥对中的无线接入点公钥;接收认证服务器发送的采用无线接入点的私钥进行加密的无线接入点数字认证证书,并采用认证服务器的公钥解密收到的接入认证请求消息;
认证请求模块,用于在接收到用户终端发送接入认证请求消息时,生成双向认证请求消息,所述双向认证请求消息中包含终端数字认证证书和无线接入点数字认证证书;接收认证服务器发送的用户终端认证结果和无线接入点认证结果;根据终端认证结果判断用户终端是否通过验证;向用户终端发送接入响应消息,所述接入响应消息中携带有无线接入点认证结果和所述终端的认证结果。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610306310.5A CN107360124A (zh) | 2016-05-10 | 2016-05-10 | 接入认证方法及装置、无线接入点和用户终端 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610306310.5A CN107360124A (zh) | 2016-05-10 | 2016-05-10 | 接入认证方法及装置、无线接入点和用户终端 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN107360124A true CN107360124A (zh) | 2017-11-17 |
Family
ID=60271899
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610306310.5A Pending CN107360124A (zh) | 2016-05-10 | 2016-05-10 | 接入认证方法及装置、无线接入点和用户终端 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107360124A (zh) |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108667933A (zh) * | 2018-05-11 | 2018-10-16 | 星络科技有限公司 | 连接建立方法、连接建立装置及通信系统 |
| CN109600749A (zh) * | 2018-12-07 | 2019-04-09 | 中国船舶重工集团公司第七二四研究所 | 一种基于运算不可逆的雷达自组网接入认证方法 |
| CN109831311A (zh) * | 2019-03-21 | 2019-05-31 | 深圳市网心科技有限公司 | 一种服务器验证方法、系统、用户终端及可读存储介质 |
| CN110113339A (zh) * | 2019-05-08 | 2019-08-09 | 北京百度网讯科技有限公司 | 电梯信息显示终端身份证书获取方法及装置 |
| CN113612780A (zh) * | 2021-08-05 | 2021-11-05 | 中国电信股份有限公司 | 证书请求、生成、接入方法、装置、通信设备及介质 |
| CN113691974A (zh) * | 2021-08-19 | 2021-11-23 | 支付宝(杭州)信息技术有限公司 | 验证无线接入点的方法和装置 |
| CN114845298A (zh) * | 2022-03-29 | 2022-08-02 | 国网山东省电力公司经济技术研究院 | 一种基于可信wlan的架空光缆监测传输系统 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1399490A (zh) * | 2002-08-15 | 2003-02-26 | 西安西电捷通无线网络通信有限公司 | 无线局域网移动终端的安全接入方法 |
| CN1674497A (zh) * | 2004-03-26 | 2005-09-28 | 华为技术有限公司 | Wlan终端接入移动网络的认证方法 |
| CN1700636A (zh) * | 2004-05-21 | 2005-11-23 | 华为技术有限公司 | 无线局域网移动终端申请证书的方法及证书管理系统 |
| CN101030908A (zh) * | 2007-02-06 | 2007-09-05 | 西安西电捷通无线网络通信有限公司 | 无线局域网wapi安全机制中证书的申请方法 |
| CN101212296A (zh) * | 2006-12-28 | 2008-07-02 | 中国移动通信集团公司 | 基于证书及sim的wlan接入认证方法及系统 |
| WO2014009109A1 (en) * | 2012-07-10 | 2014-01-16 | Gemalto Sa | Method of accessing a wlan access point |
-
2016
- 2016-05-10 CN CN201610306310.5A patent/CN107360124A/zh active Pending
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1399490A (zh) * | 2002-08-15 | 2003-02-26 | 西安西电捷通无线网络通信有限公司 | 无线局域网移动终端的安全接入方法 |
| CN1674497A (zh) * | 2004-03-26 | 2005-09-28 | 华为技术有限公司 | Wlan终端接入移动网络的认证方法 |
| CN1700636A (zh) * | 2004-05-21 | 2005-11-23 | 华为技术有限公司 | 无线局域网移动终端申请证书的方法及证书管理系统 |
| CN101212296A (zh) * | 2006-12-28 | 2008-07-02 | 中国移动通信集团公司 | 基于证书及sim的wlan接入认证方法及系统 |
| CN101030908A (zh) * | 2007-02-06 | 2007-09-05 | 西安西电捷通无线网络通信有限公司 | 无线局域网wapi安全机制中证书的申请方法 |
| WO2014009109A1 (en) * | 2012-07-10 | 2014-01-16 | Gemalto Sa | Method of accessing a wlan access point |
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108667933A (zh) * | 2018-05-11 | 2018-10-16 | 星络科技有限公司 | 连接建立方法、连接建立装置及通信系统 |
| CN109600749A (zh) * | 2018-12-07 | 2019-04-09 | 中国船舶重工集团公司第七二四研究所 | 一种基于运算不可逆的雷达自组网接入认证方法 |
| CN109831311A (zh) * | 2019-03-21 | 2019-05-31 | 深圳市网心科技有限公司 | 一种服务器验证方法、系统、用户终端及可读存储介质 |
| CN109831311B (zh) * | 2019-03-21 | 2022-04-01 | 深圳市网心科技有限公司 | 一种服务器验证方法、系统、用户终端及可读存储介质 |
| CN110113339A (zh) * | 2019-05-08 | 2019-08-09 | 北京百度网讯科技有限公司 | 电梯信息显示终端身份证书获取方法及装置 |
| CN113612780A (zh) * | 2021-08-05 | 2021-11-05 | 中国电信股份有限公司 | 证书请求、生成、接入方法、装置、通信设备及介质 |
| CN113612780B (zh) * | 2021-08-05 | 2023-04-07 | 中国电信股份有限公司 | 证书请求、生成、接入方法、装置、通信设备及介质 |
| CN113691974A (zh) * | 2021-08-19 | 2021-11-23 | 支付宝(杭州)信息技术有限公司 | 验证无线接入点的方法和装置 |
| CN114845298A (zh) * | 2022-03-29 | 2022-08-02 | 国网山东省电力公司经济技术研究院 | 一种基于可信wlan的架空光缆监测传输系统 |
| CN114845298B (zh) * | 2022-03-29 | 2023-11-28 | 国网山东省电力公司经济技术研究院 | 一种基于可信wlan的架空光缆监测传输系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107360124A (zh) | 接入认证方法及装置、无线接入点和用户终端 | |
| US8356179B2 (en) | Entity bi-directional identificator method and system based on trustable third party | |
| CN103597799B (zh) | 服务访问认证方法和系统 | |
| CN101300808B (zh) | 安全认证的方法和设置 | |
| CN103428001B (zh) | 一种隐式增强便捷web身份认证方法 | |
| CN109347809A (zh) | 一种面向自主可控环境下的应用虚拟化安全通信方法 | |
| CN110267270B (zh) | 一种变电站内传感器终端接入边缘网关身份认证方法 | |
| CN106102058B (zh) | 一种身份认证方法及装置 | |
| CN106209383B (zh) | 一种移动支付安全认证的方法及装置 | |
| CN107360125A (zh) | 接入认证方法、无线接入点和用户终端 | |
| EP3360279B1 (en) | Public key infrastructure&method of distribution | |
| TWI632798B (zh) | 伺服器、行動終端機、網路實名認證系統及方法 | |
| CN103229452A (zh) | 移动手持设备的识别和通信认证 | |
| CN102577301A (zh) | 用于可信认证和登录的方法和装置 | |
| CN105828332A (zh) | 一种无线局域网认证机制的改进方法 | |
| CN105164689A (zh) | 用户认证 | |
| CN101277234A (zh) | 一种家庭网络及登录方法 | |
| WO2014110877A1 (zh) | 一种基于pki技术的移动终端设备及用户认证的方法 | |
| CN109951513A (zh) | 基于量子密钥卡的抗量子计算智能家庭量子云存储方法和系统 | |
| CN106713236A (zh) | 一种基于cpk标识认证的端对端身份认证及加密方法 | |
| CN101547097B (zh) | 基于数字证书的数字媒体管理系统及管理方法 | |
| CN104767740A (zh) | 用于来自用户平台的可信认证和接入的方法 | |
| CN110233826A (zh) | 基于用户间数据混淆的隐私保护方法、终端数据聚合系统 | |
| CN100544253C (zh) | 无线局域网移动终端的安全重认证方法 | |
| CN106656993A (zh) | 一种动态验证码验证方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20171117 |