TWI514189B - 網路認證系統及其方法 - Google Patents

網路認證系統及其方法 Download PDF

Info

Publication number
TWI514189B
TWI514189B TW102126129A TW102126129A TWI514189B TW I514189 B TWI514189 B TW I514189B TW 102126129 A TW102126129 A TW 102126129A TW 102126129 A TW102126129 A TW 102126129A TW I514189 B TWI514189 B TW I514189B
Authority
TW
Taiwan
Prior art keywords
key
communication device
identity information
encrypted
access point
Prior art date
Application number
TW102126129A
Other languages
English (en)
Other versions
TW201504843A (zh
Inventor
Hung Min Sun
You Cong Li
Original Assignee
Ind Tech Res Inst
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Ind Tech Res Inst filed Critical Ind Tech Res Inst
Priority to TW102126129A priority Critical patent/TWI514189B/zh
Priority to CN201310547475.8A priority patent/CN104333448B/zh
Publication of TW201504843A publication Critical patent/TW201504843A/zh
Application granted granted Critical
Publication of TWI514189B publication Critical patent/TWI514189B/zh

Links

Description

網路認證系統及其方法
本揭露是有關於一種認證系統及其方法,且特別是有關於一種網路認證系統及其方法。
隨著科技的進步以及時代的變遷,無線網路已然成為人們生活中不可或缺的一部分。除了透過第三代(3rd generation,3G)無線通訊技術來連接至網際網路之外,透過存取無線基地台(Wireless Base Station)或無線存取點(Wireless Access Point)提供的無線網路來連接至網際網路亦是人們常用的上網方式。而為了滿足使用者能夠隨時隨地(Ubiquitous)使用網路服務的需求,無線基地台的佈建亦愈趨廣泛。
舉例而言,為了讓使用者能夠更加方便地使用無線網路,許多公共場所、學校與企業組織都會提供無線保真度(Wireless Fidelity,Wi-Fi)熱點來讓使用者使用。然而,由於使用者在使用這些無線存取點時並無法驗證這些無線存取點的身份,因而使得不少有心人士藉機利用例如架設惡意無線基地台的方式來對使用 者進行竊取資料或是網路攻擊等惡意行為。具體而言,傳統的無線存取點可藉由無線網路中的驗證、授權與稽核(Authentication,Authorization and Accounting,AAA)機制來驗證使用者的身份,但而使用者並無法驗證所連線無線存取點的身份。因此,有心人士(例如駭客)可輕易地架設惡意無線基地台,以誘導使用者與所述惡意無線基地台建立連線,進而執行例如中間人攻擊(Man-In-The-Middle Attack)的行為。所述中間人攻擊是一種能夠對使用者與外部溝通的所有資訊進行竊取與竄改的網路攻擊行為。
為了防禦來自前述惡意無線基地台的攻擊(Rogue Access Point Attack),學者與專家們近年來提出許多防禦方法,而這些防禦方法主要分為偵測(Detection)與預防(Prevention)兩類。所述偵測的作法即為找出惡意無線基地台並加以封鎖,其優點為使用者無需負擔任何成本。然而,所述偵測的偵測率並非百分之百,且也會有貓捉老鼠的可能性(即,在封鎖惡意無線基地台之後,其它的惡意無線基地台又接連產生),因此在實務上並非完善作法。而所述預防作法為由使用者與欲連線的無線存取點進行交換金鑰,並在成功交換金鑰後據以建立連線。在所述預防的作法中,由於無線基地台以及使用者之間在連線前需進行相互驗證,因而可確保無線基地台以及使用者之間可精確地與欲連線的無線存取點建立安全連線。然而,由於所述預防作法傳統上需在使用者能 觀看到無線基地台的情形下,方能進行前述的相互驗證操作(即,實體(face to face)驗證),因而使得實現上的成本對應地增加。
有鑑於此,本揭露提供一種網路認證系統及其方法,可在通訊裝置連接至存取點之前,對存取點進行認證,以保證通訊裝置在使用無線網路服務時的安全性。
本揭露提供一種網路認證系統,其包括通訊裝置、存取點、伺服裝置以及認證中心。通訊裝置具有第一身份資訊及第一金鑰。存取點連接通訊裝置,具有第二身份資訊。伺服裝置連接存取點,並持有關聯於存取點的第二金鑰。認證中心連接伺服裝置以及通訊裝置,儲存關聯於通訊裝置的第一金鑰以及關聯於存取點的第二金鑰。在伺服裝置判斷存取點接收來自通訊裝置的網路連接請求之後,伺服裝置協助存取點發送由伺服裝置以第二金鑰加密的第一身份資訊和第二身份資訊至認證中心。通訊裝置發送由通訊裝置以第一金鑰加密的第一身份資訊至認證中心。在認證中心認證通訊裝置以及存取點之後,認證中心產生第三金鑰,並發送由認證中心以第一金鑰加密的第三金鑰至通訊裝置和發送由認證中心以第二金鑰加密的第三金鑰至伺服裝置。在伺服裝置以第二金鑰解密加密後的第三金鑰之後,伺服裝置發送第三金鑰至存取點。在通訊裝置以第一金鑰解密加密後的第三金鑰之後,通訊裝置依據第三金鑰與存取點建立安全連線。
本揭露提供一種網路認證方法,適於包括通訊裝置、存取點、伺服裝置以及認證中心的網路認證系統。所述方法包括下列步驟。通訊裝置發送網路連接請求至存取點,其中通訊裝置具有第一身份資訊及第一金鑰,存取點具有第二身份資訊,伺服裝置持有關聯於存取點的第二金鑰,且認證中心儲存關聯於通訊裝置的第一金鑰以及關聯於存取點的第二金鑰。在伺服裝置判斷存取點接收網路連接請求之後,伺服裝置協助存取點發送以第二金鑰加密的第一身份資訊和第二身份資訊至認證中心。通訊裝置發送由通訊裝置以第一金鑰加密的第一身份資訊至認證中心。在認證中心認證通訊裝置以及存取點之後,認證中心產生第三金鑰,並發送由認證中心以第一金鑰加密的第三金鑰至通訊裝置,和發送由認證中心以第二金鑰加密的第三金鑰至伺服裝置。在伺服裝置以第二金鑰解密加密後的第三金鑰之後,伺服裝置發送第三金鑰至存取點。在通訊裝置以第一金鑰解密加密後的第三金鑰之後,通訊裝置依據第三金鑰與存取點建立安全連線。
本揭露提供一種網路認證系統,包括第一通訊裝置、第二通訊裝置以及認證中心。第一通訊裝置具有第一身份資訊及第一金鑰。第二通訊裝置具有第二身份資訊及第二金鑰。認證中心連接第一通訊裝置以及第二通訊裝置,儲存關聯於第一通訊裝置的第一金鑰以及關聯於第二通訊裝置的第二金鑰。在第一通訊裝置與第二通訊裝置建立直接連線之前,第一通訊裝置發送由第一 通訊裝置以第一金鑰加密的第一身份資訊至認證中心,且第二通訊裝置發送由第二通訊裝置以第二金鑰加密的第二身份資訊至認證中心。在認證中心認證第一通訊裝置以及第二通訊裝置之後,認證中心產生第三金鑰,並發送由認證中心以第一金鑰加密的第三金鑰至第一通訊裝置,和發送由認證中心以第二金鑰加密的第三金鑰至第二通訊裝置。在第一通訊裝置以第一金鑰解密加密後的第三金鑰,以及第二通訊裝置以第二金鑰解密加密後的第三金鑰之後,第一通訊裝置與第二通訊裝置依據第三金鑰建立直接連線。
本揭露提供一種網路認證方法,適於包括第一通訊裝置、第二通訊裝置以及認證中心的網路認證系統。第一通訊裝置具有第一身份資訊及第一金鑰,第二通訊裝置具有第二身份資訊及第二金鑰,且認證中心儲存關聯於第一通訊裝置的第一金鑰以及關聯於該第二通訊裝置的第二金鑰。所述方法包括下列步驟。在第一通訊裝置與第二通訊裝置建立直接連線之前,第一通訊裝置發送由第一通訊裝置以第一金鑰加密的第一身份資訊至認證中心,且第二通訊裝置發送由第二通訊裝置以第二金鑰加密的第二身份資訊至認證中心。在認證中心認證第一通訊裝置以及第二通訊裝置之後,認證中心產生第三金鑰,並發送由認證中心以第一金鑰加密的第三金鑰至第一通訊裝置,和發送由認證中心以第二金鑰加密的第三金鑰至第二通訊裝置。在第一通訊裝置以第一金 鑰解密加密後的第三金鑰,以及第二通訊裝置以第二金鑰解密加密後的第三金鑰之後,第一通訊裝置與第二通訊裝置依據第三金鑰建立直接連線。
基於上述,本揭露實施例提出的網路認證系統及其方法可在通訊裝置欲連接至存取點時,透過可信任的第三方認證中心來對存取點進行認證,從而保障通訊裝置在使用無線網路服務時的安全性。
為讓本揭露的上述特徵和優點能更明顯易懂,下文特舉實施例,並配合所附圖式作詳細說明如下。
100、300‧‧‧網路認證系統
110‧‧‧通訊裝置
120‧‧‧存取點
130‧‧‧伺服裝置
140‧‧‧認證中心
310‧‧‧第一通訊裝置
320‧‧‧第二通訊裝置
S210~S260、S410~S430‧‧‧步驟
圖1是依據本揭露之一實施例繪示的網路認證系統示意圖。
圖2是依據本揭露之一實施例繪示的網路認證方法流程圖。
圖3是依據本揭露之一實施例繪示的網路認證系統示意圖。
圖4是依據本揭露之一實施例繪示的網路認證方法流程圖。
本揭露實施例提供一種網路認證系統及其方法,其可在通訊裝置與存取點進行連線之前,藉由可信賴的第三方認證中心來分別對通訊裝置以及存取點進行認證。在所述第三方認證中心認證存取點為合法(即,非惡意存取點)之後,通訊裝置方能與 存取點進行連線,進而使用存取點提供的網路連線服務。如此一來,通訊裝置即可避免誤連至惡意存取點,進而保證通訊裝置的網路連線安全性。
圖1是依據本揭露之一實施例繪示的網路認證系統示意圖。在本實施例中,網路認證系統100包括通訊裝置110、存取點(access point)120、伺服裝置130以及認證中心140。通訊裝置110例如是智慧型手機、筆記型電腦、平板電腦、個人電腦、工作站、個人數位助理等具有網路瀏覽功能的電子裝置。存取點120可連接通訊裝置110,並可提供通訊裝置110例如無線區域網路連線的功能。伺服裝置130連接至存取點120,其可協助存取點120與認證中心140進行相關認證操作,其細節將在之後說明。伺服裝置130例如是驗證、授權與稽核(Authentication,Authorization and Accounting,AAA)伺服器。更進一步而言,伺服裝置130可以是遠端驗證撥號使用者服務(Remote Authentication Dial In User Service,RADIUS)伺服器,其可透過RADIUS協定與存取點120以及認證中心140進行通訊。
認證中心140可連接至伺服裝置130以及通訊裝置110。認證中心140例如是可信任的第三方認證中心,其可儲存用於認證通訊裝置110以及存取點120的相關資訊。舉例而言,認證中心140可儲存分別關聯於通訊裝置110以及關聯於存取點120的第一金鑰以及第二金鑰。所述第一金鑰例如是在通訊裝置110與 認證中心140連線並完成註冊程序之後,由認證中心140指派給通訊裝置110的金鑰。換言之,在通訊裝置110完成與認證中心140的註冊程序之後,通訊裝置110以及認證中心140可同時持有第一金鑰,以便於後續通訊裝置110以及認證中心140之間的相關認證程序,但本揭露的可實施方式不限於此。
第二金鑰則例如是認證中心140用於認證存取點120的金鑰。在一實施例中,在存取點120與伺服裝置130完成連線之後,伺服裝置130可協助存取點120與認證中心140進行註冊程序。在完成此註冊程序之後,伺服裝置130可進而取得由認證中心140指派給存取點120的第二金鑰。此外,伺服裝置130可代為持有關聯於存取點120的第二金鑰,並協助存取點120進行與認證中心140之間的相關認證程序。
圖2是依據本揭露之一實施例繪示的網路認證方法流程圖。本實施例中的網路認證方法可由圖1的網路認證系統100實現,以下即搭配圖1的各個裝置說明網路認證方法的各個步驟。
在本實施例中,當通訊裝置110的使用者欲控制通訊裝置110透過某存取點提供的無線網路連接至網際網路時,所述使用者可先透過例如通訊裝置110的存取點掃描功能找出附近存在的存取點。之後,通訊裝置110可進而產生對應於這些存取點的服務集識別碼(Service Set Identifier,SSID)列表(其可包括存取點120的SSID)。假設通訊裝置110的使用者欲控制通訊裝置110與 存取點120(例如是非惡意存取點)進行連接,在步驟S210中,通訊裝置110可發送網路連接請求至存取點120。所述網路連接請求120例如可包括通訊裝置110的第一身份資訊。
在一實施例中,在接收來自通訊裝置110的網路連接請求之後,存取點120可轉發通訊裝置110的第一身份資訊以及存取點120的第二身份資訊至伺服裝置130,以通知伺服裝置130與認證中心140進行認證通訊裝置110的操作。在其他實施例中,伺服裝置130亦可主動偵測存取點120上的使用者登入資訊,或者擷取存取點120的登錄檔(log)以即時地掌握欲連線至存取點120的裝置身份資訊,但本揭露的可實施方式不限於此。
在步驟S220中,在判斷存取點120接收網路連接請求之後,伺服裝置130可協助存取點120發送以第二金鑰加密的第一身份資訊和第二身份資訊至認證中心140。在一實施例中,伺服裝置130可應用例如高級加密標準(Advanced Encryption Standard,AES)、非對稱性密碼演算法(RSA algorithm)或其他加密技術來依據第二金鑰對所述第一身份資訊和第二身份資訊進行加密,但本揭露的可實施方式不限於此。
在步驟S230中,通訊裝置110可發送以第一金鑰加密的第一身份資訊至認證中心140。在本實施例中,通訊裝置110亦可應用AES、RSA等加密技術來對第一身份資訊進行加密。
在一實施例中,在認證中心140接收以第一金鑰加密的 第一身份資訊(來自通訊裝置110)以及以第二金鑰加密的第一身份資訊和第二身份資訊(來自存取點120)之後,認證中心140可分別以第一金鑰解密以第一金鑰加密的第一身份資訊,並且以第二金鑰解密以第二金鑰加密的第一身份資訊和第二身份資訊。接著,認證中心140可依據收到的第一身份資訊認證通訊裝置110,並依據收到的第二身份資訊認證存取點120。
在步驟S240中,在認證通訊裝置110以及存取點120之後,認證中心140產生第三金鑰,並分別發送以第一金鑰加密的第三金鑰和以第二金鑰加密的第三金鑰至通訊裝置110以及伺服裝置130。從另一觀點而言,所述第三金鑰可視為是認證中心140所產生的用於讓通訊裝置110以及存取點120進行安全連線的一支金鑰。並且,由於認證中心140是以第一金鑰加密第三金鑰,因此可保證只有同樣持有第一金鑰的通訊裝置110才能對加密後的第三金鑰進行解密。同樣地,由於認證中心140是以第二金鑰加密第三金鑰,因而可保證只有同樣持有第二金鑰的伺服裝置130才能對加密後的第三金鑰進行解密。
在步驟S250中,在以第二金鑰解密加密後的第三金鑰之後,伺服裝置130發送第三金鑰至存取點120。接著,在步驟S260中,在以第一金鑰解密加密後的第三金鑰之後,通訊裝置110可依據第三金鑰與存取點120建立安全連線。具體而言,通訊裝置110可依據所述第三金鑰來加密欲傳送至存取點120的所有資料, 同時,由於存取點120亦持有所述第三金鑰,使得存取點120可依據所述第三金鑰來解密來自通訊裝置110的所有資料。另一方面,當存取點120發送以第三金鑰加密的資料時,通訊裝置110亦可對應地以自身所持有的第三金鑰來解密來自存取點120的加密後資料。換言之,所述第三金鑰可視為是通訊裝置110與存取點120之間的一把屬於秘密金鑰密碼系統(secret key cryptosystems)的秘密金鑰(secret key)。此時,由於其他欲竊聽的裝置不具有所述第三金鑰的資訊,因而無法竊取通訊裝置110與存取點120之間的通訊內容。因此,由認證中心140所指派給通訊裝置110以及存取點120的第三金鑰可讓通訊裝置110以及存取點120據以建立安全的連線。
從另一觀點而言,當通訊裝置110誤對惡意存取點(例如邪惡雙子無線存取點)發出網路連線請求時,所述惡意存取點將會因無法順利地通過認證中心140的前述認證行為而無法得到例如第三金鑰等資訊。換言之,所述惡意存取點將無法如先前實施例中所教示的方式來與通訊裝置110建立連線。如此一來,本揭露實施例即可避免通訊裝置110因誤連至惡意存取點而被竊取資料或惡意攻擊的情形發生。
此外,雖然圖1中的伺服裝置130僅協助存取點120進行與認證中心140的相關認證程序,但在其他實施例中,伺服裝置130亦可同時管理多個存取點,並個別協助這些存取點進行前 述與認證中心140的相關認證程序,但本揭露的可實施方式不限於此。
從上述實施例可看出,當通訊裝置110欲與存取點120進行連線時,通訊裝置110可藉由認證中心140來認證存取點120,以保證通訊裝置110的連線安全性。在其他實施例中,當一通訊裝置欲與另一通訊裝置建立例如藍牙連線的直接連線時,亦可透過認證中心來對欲連線至的通訊裝置進行相關認證程序,其細節說明如下。
圖3是依據本揭露之一實施例繪示的網路認證系統示意圖。在本實施例中,網路認證系統300包括第一通訊裝置310、第二通訊裝置320和認證中心140。圖4是依據本揭露之一實施例繪示的網路認證方法流程圖。圖4所示的方法可由圖3的網路認證系統300來執行,以下即搭配圖3中的各個裝置來說明圖4中的各個步驟。
在本實施例中,當第一通訊裝置310欲與第二通訊裝置320進行直接連線(例如無線保真度直連連線(Wireless fidelity direct,Wi-Fi direct)或藍芽(Bluetooth)連線)時,第一通訊裝置310以及第二通訊裝置320可先透過認證中心140來認證彼此是否為惡意裝置,進而確保所述直接連線的安全性。本實施例中的認證中心140可儲存分別關聯於第一通訊裝置310以及關聯於第二通訊裝置320的第四金鑰以及第五金鑰。所述第四金鑰以及 第五金鑰例如是在第一通訊裝置310以及第二通訊裝置320與認證中心140連線並分別完成註冊程序之後,由認證中心140分別指派給第一通訊裝置310以及第二通訊裝置320的金鑰。
具體而言,在步驟S410中,在第一通訊裝置與第二通訊裝置建立直接連線之前,第一通訊裝置310可發送以第四金鑰加密的第三身份資訊至認證中心140,且第二通訊裝置320可發送以第五金鑰加密的第四身份資訊至認證中心140。所述第三身份資訊及第四身份資訊分別例如是第一通訊裝置310以及第二通訊裝置320的身份資訊。
在一實施例中,在第一通訊裝置310發送以第四金鑰加密的第三身份資訊至認證中心140,且第二通訊裝置320發送以第五金鑰加密的第四身份資訊至認證中心140之後,認證中心140可分別以第四金鑰解密以第四金鑰加密的第三身份資訊,並且以第五金鑰解密以第五金鑰加密的第四身份資訊。接著,認證中心140可依據收到的第三身份資訊認證第一通訊裝置310,並依據收到的第四身份資訊認證第二通訊裝置320。
在步驟S420中,在認證第一通訊裝置以及第二通訊裝置之後,認證中心140可產生第六金鑰,並分別發送以第四金鑰加密的第六金鑰和以第五金鑰加密的第六金鑰至第一通訊裝置310以及第二通訊裝置320。從另一觀點而言,所述第六金鑰可視為是認證中心140所產生的用於讓第一通訊裝置310以及第二通訊裝 置320進行安全連線的一支金鑰。並且,由於認證中心140是以第四金鑰加密第六金鑰,因此可保證只有同樣持有第四金鑰的第一通訊裝置310才能對加密後的第六金鑰進行解密。同樣地,由於認證中心140是以第五金鑰加密第六金鑰,因而可保證只有同樣持有第五金鑰的第二通訊裝置320才能對加密後的第六金鑰進行解密。
在步驟S430中,在第一通訊裝置310以及第二通訊裝置320分別以第四金鑰和第五金鑰解密加密後的第六金鑰之後,第一通訊裝置310與第二通訊裝置320依據第六金鑰建立直接連線。具體而言,第一通訊裝置310可依據所述第六金鑰來加密欲傳送至第二通訊裝置320的所有資料,同時,由於第二通訊裝置320亦持有所述第六金鑰,使得第二通訊裝置320可依據所述第六金鑰來解密來自第一通訊裝置310的所有資料。另一方面,當第二通訊裝置320發送以第六金鑰加密的資料時,第一通訊裝置310亦可對應地以自身所持有的第六金鑰來解密來自第二通訊裝置320的加密後資料。從另一觀點而言,所述第六金鑰可視為是第一通訊裝置310與第二通訊裝置320之間的一把屬於秘密金鑰密碼系統的秘密金鑰(secret key)。由於其他欲竊聽的裝置不具有所述第三金鑰的資訊,因而無法竊取第一通訊裝置310與第二通訊裝置320之間的通訊內容。因此,由認證中心140所指派給第一通訊裝置310以及第二通訊裝置320的第六金鑰可讓第一通訊裝置 310以及第二通訊裝置320據以建立安全的連線。
此外,雖然圖3中僅以兩個通訊裝置來舉例說明,但本揭露實施例的概念亦可應用在多個通訊裝置的情形。具體而言,當多個通訊裝置欲建立彼此之間的直接連線時(例如隨意網路(ad hoc network)),這些通訊裝置亦可在各自與認證中心進行相關認證程序之後,取得一支共有的金鑰。如此一來,這些通訊裝置即可依據所述共有的金鑰來加密彼此傳輸的所有資料,進而保證所述直接連線的安全性。
綜上所述,本揭露實施例提出的網路認證系統及其方法可在通訊裝置欲連接至存取點時,透過可信任的第三方認證中心來對存取點進行認證。在所述第三方認證中心認證存取點為合法(即,非惡意存取點)之後,通訊裝置方能與存取點進行連線,進而使用存取點提供的網路連線服務。對通訊裝置而言,本揭露實施例提出的系統及方法可避免其誤連至惡意存取點的情形發生,從而保障通訊裝置在使用無線網路服務時的安全性。
進一步而言,本揭露實施例的網路認證方法適於應用在例如咖啡廳、圖書館或餐廳等地點所提供的公共無線網路系統。在此情況下,當使用者欲在前述地點以其通訊裝置來透過所述公共無線網路系統上網時,使用者可透過前述實施例教示的方式來認證欲連接至的存取點(例如是提供所述公共無線網路系統的存取點),進而保證使用者上網時的安全性。
此外,當通訊裝置與存取點透過本揭露提出的網路認證方法互相進行認證時,通訊裝置與存取點並不需進行實體(face to face)驗證,因而不會使得實現上的成本對應地增加。並且,由於本揭露的網路認證系統是透過伺服裝置來協助存取點進行前述的各種認證操作,因此在實施時可不需在存取點上安裝額外軟體。
再者,本揭露亦提出另一種網路認證系統及其方法,其認證中心可在兩個(或多個)通訊裝置之間欲建立直接連線時,對這些通訊裝置皆分別進行認證,從而保證所述直接連線的安全性。
雖然本揭露已以實施例揭露如上,然其並非用以限定本揭露,任何所屬技術領域中具有通常知識者,在不脫離本揭露的精神和範圍內,當可作些許的更動與潤飾,故本揭露的保護範圍當視後附的申請專利範圍所界定者為準。
S210~S260‧‧‧步驟

Claims (19)

  1. 一種網路認證系統,包括:一通訊裝置,具有一第一身份資訊及一第一金鑰;一存取點,連接該通訊裝置,具有一第二身份資訊;一伺服裝置,連接該存取點,並持有關聯於該存取點的一第二金鑰;以及一認證中心,連接該伺服裝置以及該通訊裝置,儲存關聯於該通訊裝置的該第一金鑰以及關聯於該存取點的該第二金鑰,其中,在該伺服裝置判斷該存取點接收來自該通訊裝置的一網路連接請求之後,該伺服裝置協助該存取點發送由該伺服裝置以該第二金鑰加密的該第一身份資訊和該第二身份資訊至該認證中心,該通訊裝置發送由該通訊裝置以該第一金鑰加密的該第一身份資訊至該認證中心,在該認證中心認證該通訊裝置以及該存取點之後,該認證中心產生一第三金鑰,並發送由該認證中心以該第一金鑰加密的該第三金鑰至該通訊裝置,和發送由該認證中心以該第二金鑰加密的該第三金鑰至該伺服裝置,在該伺服裝置以該第二金鑰解密加密後的該第三金鑰之後,該伺服裝置發送該第三金鑰至該存取點,在該通訊裝置以該第一金鑰解密加密後的該第三金鑰之後,該通訊裝置依據該第三金鑰與該存取點建立一安全連線。
  2. 如申請專利範圍第1項所述的網路認證系統,其中在該存取點接收來自該通訊裝置的該網路連接請求之後,該存取點轉發該第一身份資訊以及該第二身份資訊至該伺服裝置。
  3. 如申請專利範圍第1項所述的網路認證系統,其中在接收由該通訊裝置以該第一金鑰加密的該第一身份資訊以及由該伺服裝置以該第二金鑰加密的該第一身份資訊和該第二身份資訊之後,該認證中心以該第一金鑰解密由該通訊裝置以該第一金鑰加密的該第一身份資訊,並且以該第二金鑰解密由該伺服裝置以該第二金鑰加密的該第一身份資訊和該第二身份資訊。
  4. 如申請專利範圍第1項所述的網路認證系統,其中該伺服裝置為一驗證、授權與稽核伺服器。
  5. 如申請專利範圍第4項所述的網路認證系統,其中該驗證、授權與稽核伺服器為一遠端驗證撥號使用者服務伺服器。
  6. 如申請專利範圍第1項所述的網路認證系統,其中該第三金鑰為屬於一秘密金鑰密碼系統的一秘密金鑰。
  7. 如申請專利範圍第1項所述的網路認證系統,其中該存取點屬於一公共網路系統。
  8. 一種網路認證方法,適於包括一通訊裝置、一存取點、一伺服裝置以及一認證中心的一網路認證系統,所述方法包括下列步驟:該通訊裝置發送一網路連接請求至該存取點,其中該通訊裝 置具有一第一身份資訊及一第一金鑰,該存取點具有一第二身份資訊,該伺服裝置持有關聯於該存取點的一第二金鑰,且該認證中心儲存關聯於該通訊裝置的該第一金鑰以及關聯於該存取點的該第二金鑰;在該伺服裝置判斷該存取點接收該網路連接請求之後,該伺服裝置協助該存取點發送由該伺服裝置以該第二金鑰加密的該第一身份資訊和該第二身份資訊至該認證中心;該通訊裝置發送由該通訊裝置以該第一金鑰加密的該第一身份資訊至該認證中心;在該認證中心認證該通訊裝置以及該存取點之後,該認證中心產生一第三金鑰,並發送由該認證中心以該第一金鑰加密的該第三金鑰至該通訊裝置,和發送由該認證中心以該第二金鑰加密的該第三金鑰至該伺服裝置;在該伺服裝置以該第二金鑰解密加密後的該第三金鑰之後,該伺服裝置發送該第三金鑰至該存取點;以及在該通訊裝置以該第一金鑰解密加密後的該第三金鑰之後,該通訊裝置依據該第三金鑰與該存取點建立一安全連線。
  9. 如申請專利範圍第8項所述的網路認證方法,其中在該通訊裝置發送該網路連接請求至該存取點的步驟之後,該存取點轉發該第一身份資訊以及該第二身份資訊至該伺服裝置。
  10. 如申請專利範圍第8項所述的網路認證方法,其中在該 通訊裝置發送由該通訊裝置以該第一金鑰加密的該第一身份資訊至該認證中心的步驟之後,該認證中心以該第一金鑰解密由該通訊裝置以該第一金鑰加密的該第一身份資訊,並且以該第二金鑰解密由該伺服裝置以該第二金鑰加密的該第一身份資訊和該第二身份資訊。
  11. 如申請專利範圍第8項所述的網路認證方法,其中該第三金鑰為屬於一秘密金鑰密碼系統的一秘密金鑰。
  12. 一種網路認證系統,包括:一第一通訊裝置,具有一第一身份資訊及一第一金鑰;一第二通訊裝置,具有一第二身份資訊及一第二金鑰;以及一認證中心,連接該第一通訊裝置以及該第二通訊裝置,儲存關聯於該第一通訊裝置的該第一金鑰以及關聯於該第二通訊裝置的該第二金鑰,其中,在該第一通訊裝置與該第二通訊裝置建立一直接連線之前,該第一通訊裝置發送由該第一通訊裝置以該第一金鑰加密的該第一身份資訊至該認證中心,且該第二通訊裝置發送由該第二通訊裝置以該第二金鑰加密的該第二身份資訊至該認證中心,在該認證中心認證該第一通訊裝置以及該第二通訊裝置之後,該認證中心產生一第三金鑰,並發送由該認證中心以該第一金鑰加密的該第三金鑰至該第一通訊裝置,和發送由該認證中心以該第二金鑰加密的該第三金鑰至該第二通訊裝置, 在該第一通訊裝置以該第一金鑰解密加密後的該第三金鑰,以及該第二通訊裝置以該第二金鑰解密加密後的該第三金鑰之後,該第一通訊裝置與該第二通訊裝置依據該第三金鑰建立該直接連線。
  13. 如申請專利範圍第12項所述的網路認證系統,其中該直接連線包括一無線保真度直連連線或一藍芽連線。
  14. 如申請專利範圍第12項所述的網路認證系統,其中在該第一通訊裝置發送由該第一通訊裝置以該第一金鑰加密的該第一身份資訊至該認證中心,且該第二通訊裝置發送由該第二通訊裝置以該第二金鑰加密的該第二身份資訊至該認證中心之後,該認證中心以該第一金鑰解密以該第一金鑰加密的該第一身份資訊,並且以該第二金鑰解密以該第二金鑰加密的該第二身份資訊。
  15. 如申請專利範圍第12項所述的網路認證系統,其中該第三金鑰為屬於一秘密金鑰密碼系統的一秘密金鑰。
  16. 一種網路認證方法,適於包括一第一通訊裝置、一第二通訊裝置以及一認證中心的一網路認證系統,該第一通訊裝置具有一第一身份資訊及一第一金鑰,該第二通訊裝置具有一第二身份資訊及一第二金鑰,且該認證中心儲存關聯於該第一通訊裝置的該第一金鑰以及關聯於該第二通訊裝置的該第二金鑰,所述方法包括下列步驟:在該第一通訊裝置與該第二通訊裝置建立一直接連線之前, 該第一通訊裝置發送由該第一通訊裝置以該第一金鑰加密的該第一身份資訊至該認證中心,且該第二通訊裝置發送由該第二通訊裝置以該第二金鑰加密的該第二身份資訊至該認證中心,在該認證中心認證該第一通訊裝置以及該第二通訊裝置之後,該認證中心產生一第三金鑰,並發送由該認證中心以該第一金鑰加密的該第三金鑰至該第一通訊裝置,和發送由該認證中心以該第二金鑰加密的該第三金鑰至該第二通訊裝置,在該第一通訊裝置以該第一金鑰解密加密後的該第三金鑰,以及該第二通訊裝置以該第二金鑰解密加密後的該第三金鑰之後,該第一通訊裝置與該第二通訊裝置依據該第三金鑰建立該直接連線。
  17. 如申請專利範圍第16項所述的網路認證方法,其中該直接連線包括一無線保真度直連連線或一藍芽連線。
  18. 如申請專利範圍第16項所述的網路認證方法,其中在該第一通訊裝置發送由該第一通訊裝置以該第一金鑰加密的該第一身份資訊至該認證中心,且該第二通訊裝置發送由該第二通訊裝置以該第二金鑰加密的該第二身份資訊至該認證中心的步驟之後,該認證中心以該第一金鑰解密以該第一金鑰加密的該第一身份資訊,並且以該第二金鑰解密以該第二金鑰加密的該第二身份資訊。
  19. 如申請專利範圍第16項所述的網路認證方法,其中該第三金鑰為屬於一秘密金鑰密碼系統的一秘密金鑰。
TW102126129A 2013-07-22 2013-07-22 網路認證系統及其方法 TWI514189B (zh)

Priority Applications (2)

Application Number Priority Date Filing Date Title
TW102126129A TWI514189B (zh) 2013-07-22 2013-07-22 網路認證系統及其方法
CN201310547475.8A CN104333448B (zh) 2013-07-22 2013-11-06 网络认证系统及其方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
TW102126129A TWI514189B (zh) 2013-07-22 2013-07-22 網路認證系統及其方法

Publications (2)

Publication Number Publication Date
TW201504843A TW201504843A (zh) 2015-02-01
TWI514189B true TWI514189B (zh) 2015-12-21

Family

ID=52408107

Family Applications (1)

Application Number Title Priority Date Filing Date
TW102126129A TWI514189B (zh) 2013-07-22 2013-07-22 網路認證系統及其方法

Country Status (2)

Country Link
CN (1) CN104333448B (zh)
TW (1) TWI514189B (zh)

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20070055866A1 (en) * 2004-02-26 2007-03-08 Lee Jae J Certification system in network and method thereof
CN101253725A (zh) * 2005-03-31 2008-08-27 高通股份有限公司 多方签名-用于稳固的多方数字签名的协议
TW201121280A (en) * 2009-12-10 2011-06-16 Mao-Cong Lin Network security verification method and device and handheld electronic device verification method.
CN102595405A (zh) * 2012-01-21 2012-07-18 华为技术有限公司 一种网络接入的认证方法、系统和设备
TW201240502A (en) * 2011-03-21 2012-10-01 Hon Hai Prec Ind Co Ltd Femto access point accessing system and accessing method thereof
TW201330549A (zh) * 2012-01-05 2013-07-16 Ind Tech Res Inst 網路監控系統及管理金鑰的方法

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1191696C (zh) * 2002-11-06 2005-03-02 西安西电捷通无线网络通信有限公司 一种无线局域网移动设备安全接入及数据保密通信的方法
US8060741B2 (en) * 2006-12-29 2011-11-15 Industrial Technology Research Institute System and method for wireless mobile network authentication
CN101431752B (zh) * 2007-11-09 2010-09-15 北京华旗资讯数码科技有限公司 利用多算法实现无线局域网的保密通信方法
CN102196430B (zh) * 2011-05-17 2014-02-26 浪潮(山东)电子信息有限公司 一种基于自适应天线选择和频率协商机制的无线节点间通信方法

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20070055866A1 (en) * 2004-02-26 2007-03-08 Lee Jae J Certification system in network and method thereof
CN101253725A (zh) * 2005-03-31 2008-08-27 高通股份有限公司 多方签名-用于稳固的多方数字签名的协议
TW201121280A (en) * 2009-12-10 2011-06-16 Mao-Cong Lin Network security verification method and device and handheld electronic device verification method.
TW201240502A (en) * 2011-03-21 2012-10-01 Hon Hai Prec Ind Co Ltd Femto access point accessing system and accessing method thereof
TW201330549A (zh) * 2012-01-05 2013-07-16 Ind Tech Res Inst 網路監控系統及管理金鑰的方法
CN102595405A (zh) * 2012-01-21 2012-07-18 华为技术有限公司 一种网络接入的认证方法、系统和设备

Also Published As

Publication number Publication date
CN104333448B (zh) 2018-07-13
TW201504843A (zh) 2015-02-01
CN104333448A (zh) 2015-02-04

Similar Documents

Publication Publication Date Title
US10638321B2 (en) Wireless network connection method and apparatus, and storage medium
US10218501B2 (en) Method, device, and system for establishing secure connection
CN109699031B (zh) 采用共享密钥、公钥和私钥的验证方法及装置
US7734280B2 (en) Method and apparatus for authentication of mobile devices
US9392453B2 (en) Authentication
WO2017028593A1 (zh) 网络接入设备接入无线网络接入点的方法、网络接入设备、应用程序服务器和非易失性计算机可读存储介质
WO2017201809A1 (zh) 终端通信方法及系统
WO2016177052A1 (zh) 一种用户认证方法和装置
US7689211B2 (en) Secure login method for establishing a wireless local area network connection, and wireless local area network system
CN105553981B (zh) 一种wlan网络快速认证和密钥协商方法
CN108880813B (zh) 一种附着流程的实现方法及装置
US11736304B2 (en) Secure authentication of remote equipment
US20210329462A1 (en) Method and device to establish a wireless secure link while maintaining privacy against tracking
JP2011139457A (ja) 無線通信装置とサーバとの間でデータを安全にトランザクション処理する方法及びシステム
KR20120101523A (ko) 안전한 멀티 uim 인증 및 키 교환
WO2014180198A1 (zh) 终端接入方法、系统、设备和计算机存储介质
WO2017080136A1 (zh) 密钥分发和接收方法、第一密钥管理中心和第一网元
CN110635901B (zh) 用于物联网设备的本地蓝牙动态认证方法和系统
Noh et al. Secure authentication and four-way handshake scheme for protected individual communication in public wi-fi networks
CN105141629A (zh) 一种基于WPA/WPA2 PSK多密码提升公用Wi-Fi网络安全性的方法
WO2022135383A1 (zh) 一种身份鉴别方法和装置
US8666073B2 (en) Safe handover method and system
JP2019033458A (ja) 通信装置、通信端末、通信システム、通信制御方法および通信制御プログラム
TWI514189B (zh) 網路認證系統及其方法
Kindberg et al. Authenticating public wireless networks with physical evidence

Legal Events

Date Code Title Description
MM4A Annulment or lapse of patent due to non-payment of fees