本申請涉及網(wǎng)絡(luò)通信技術(shù)��,特別涉及應(yīng)用于無線局域網(wǎng)(wlan:wirelesslocalareanetworks)中的接入認證方法和終端。
背景技術(shù):
目前���,wlan中的wifi接入認證機制通常是使用帳號加密碼方式對上網(wǎng)的用戶進行接入認證�。比如����,用戶使用運營商提供的wlan時,需要先獲取wlan帳號和密碼���,在接入時通過portal頁面/客戶端輸入獲取的wlan帳號和密碼完成網(wǎng)絡(luò)認證���。密碼也可以是動態(tài)的短信驗證碼,如機場��、候車廳等提供短期免費wlan接入服務(wù)的公共場所�����,當用戶接入wlan時先訪問公共場所的網(wǎng)站首頁���,輸入手機號碼����,由身份認證系統(tǒng)生成一個驗證碼,通過移動運營商的短信平臺發(fā)送給終端(ue)�����,終端使用這個驗證碼證明自己的身份后接入網(wǎng)絡(luò)����。
但是���,目前的wifi接入認證機制�����,只提供對終端身份的單向認證�,并不能對終端接入的無線接入點(ap:accesspoint)進行認證�����,這就導(dǎo)致一些偽ap不能被辨認�,降低終端接入wlan的安全。
技術(shù)實現(xiàn)要素:
本申請?zhí)峁┝藨?yīng)用于無線局域網(wǎng)wlan中的接入認證方法和終端��,以解決目前wifi接入認證機制只能實現(xiàn)對ue身份的單向認證所帶來的缺陷�。
本申請?zhí)峁┑募夹g(shù)方案包括:
一種應(yīng)用于無線局域網(wǎng)wlan中的接入認證方法���,該方法包括:
終端ue通過與認證中心之間的雙向認證完成終端的身份注冊;
在終端完成身份注冊后��,通過以下步驟進行終端和接入點ap的雙向認 證:
步驟a0�,終端先和ap交互以獲取ap的身份信息,終端將本終端的身份信息����、所述ap的身份信息、以及時間戳通過ap發(fā)送給認證中心�,以使認證中心對所述終端的身份信息、所述ap的身份信息進行驗證��,并驗證所述時間戳的有效性�,終端接收認證中心返回的驗證結(jié)果。
一種應(yīng)用于無線局域網(wǎng)wlan中的終端���,包括:
身份注冊單元����,用于通過與認證中心之間的雙向認證完成終端的身份注冊�;
ap認證單元,用于在終端完成身份注冊后,通過以下步驟進行終端和接入點ap的雙向認證在完成與認證中心之間的雙向認證后����,通過以下步驟與ap進行雙向認證:終端先和ap交互以獲取ap的身份信息,終端將本終端的身份信息�����、所述ap的身份信息����、以及時間戳通過ap發(fā)送給認證中心,以使認證中心對所述終端的身份信息���、所述ap的身份信息進行驗證,并驗證所述時間戳的有效性�,終端接收認證中心返回的驗證結(jié)果。
由以上技術(shù)方案可以看出��,本發(fā)明中����,實現(xiàn)了終端和ap的雙向認證。通過該雙向認證����,能夠識別偽ap和偽終端���,提高了終端接入wlan的安全性,解決了目前wifi接入認證機制只能實現(xiàn)對ue身份的單向認證所帶來的缺陷��;
進一步地���,在本發(fā)明中��,既實現(xiàn)了終端和認證中心的雙向認證完成終端的身份注冊����,還實現(xiàn)了終端和ap的雙向認證��,在這兩次雙向認證過程中�,均不需要移動運營商的參與,也即�,wlan的接入認證不依賴于移動運營商。
附圖說明
圖1為本發(fā)明提供的方法流程圖��;
圖2為本發(fā)明實施例1提供的方法流程圖�����;
圖3為本發(fā)明實施例2提供的方法流程圖;
圖4為本發(fā)明提供的系統(tǒng)結(jié)構(gòu)圖��。
具體實施方式
為了使本發(fā)明的目的�、技術(shù)方案和優(yōu)點更加清楚,下面結(jié)合附圖和具體實施例對本發(fā)明進行詳細描述���。
本發(fā)明提供的方法包括圖1所示的流程:
參見圖1���,圖1為本發(fā)明提供的方法流程圖。如圖1所示�����,該流程可包括以下步驟:
步驟101����,終端通過與認證中心之間的雙向認證完成終端的身份注冊���。
在步驟101�,當終端和認證中心之間完成雙向認證����,則意味著終端在認證中心成功進行身份注冊。
步驟102,終端在完成身份注冊后�����,通過以下步驟進行終端和ap的雙向認證:終端先和ap交互以獲取ap的身份信息����,終端將本終端的身份信息、所述ap的身份信息����、以及時間戳通過ap發(fā)送給認證中心,以使認證中心對所述終端的身份信息��、所述ap的身份信息進行驗證�����,并驗證所述時間戳的有效性�,終端接收認證中心返回的驗證結(jié)果。
至此��,完成本發(fā)明提供的圖1所示的流程����。
從圖1所示流程可以看出���,在本發(fā)明中,實現(xiàn)了終端和ap的雙向認證��。通過該雙向認證��,能夠識別偽ap和偽終端�,提高了終端接入wlan的安全性;
進一步地����,在本發(fā)明中,既實現(xiàn)了終端通過與認證中心之間的雙向認證完成終端的身份注冊�����,還實現(xiàn)了終端和ap的雙向認證�,在這兩次雙向認證過程中,均不需要移動運營商的參與���,也即,wlan的接入認證不依賴于 移動運營商�。
需要說明的是,終端的身份注冊過程����、終端和ap的雙向認證過程是兩個獨立的過程�����,沒有時間上的連續(xù)要求��,在終端的身份注冊過程完成后���,終端和ap的雙向認證過程在終端請求接入網(wǎng)絡(luò)時發(fā)起。
下面通過兩個實施例對圖1所示的流程進行詳細描述:
實施例1:
參見圖2���,圖2為本發(fā)明實施例1提供的方法流程圖��。如圖1所示�����,該流程可包括以下步驟:
步驟201����,終端下載app應(yīng)用軟件�,所述app應(yīng)用軟件中包含認證中心的公鑰和非對稱加密算法引擎。
具體地���,終端可在可信網(wǎng)絡(luò)環(huán)境下去指定的安全網(wǎng)站下載上述app應(yīng)用軟件��。
步驟202�,終端安裝并運行已下載的app應(yīng)用軟件,并通過app應(yīng)用軟件中包含的非對稱加密算法引擎生成終端公私鑰對����。
這里,終端公私鑰對包含終端公鑰和終端私鑰����。
步驟203,終端使用認證中心的公鑰加密終端公鑰和終端標識(id)并發(fā)送給認證中心����。
作為本發(fā)明的優(yōu)選實施例,這里的終端id可以是imsi�����、imei�、msisdn等參數(shù)中的至少一個。
步驟204����,認證中心使用自身的私鑰對加密的終端公鑰和終端id進行解密,得到終端公鑰和終端id��。
步驟205��,認證中心驗證終端公鑰合法����,則為終端簽發(fā)終端證書,并記錄終端證書和終端id之間的對應(yīng)關(guān)系
作為本發(fā)明的優(yōu)選實施例����,這里認證中心驗證終端公鑰合法可為:
認證中心驗證終端公鑰是通過上述app應(yīng)用軟件包含的非對稱加密算法引擎生成的,則認為終端公鑰合法����,反之,則認為終端公鑰不合法���。
步驟206���,認證中心使用終端公鑰加密終端證書并發(fā)送給終端。
步驟207�,終端使用終端私鑰對接收的終端證書解密得到得到認證中心為本終端簽發(fā)的終端證書,完成終端的身份注冊���。
至此����,完成終端和認證中心的雙向認證。在上面描述的終端和認證中心的雙向認證過程中��,app應(yīng)用軟件包含的認證中心的公鑰是公開的���,但即使攻擊者截獲認證中心的公鑰也不影響整個認證過程的安全性�����,這是因為終端和認證中心的私鑰是不在網(wǎng)絡(luò)上傳遞的�����,保證了密鑰的安全分發(fā)����。
當終端和認證中心間實現(xiàn)了雙向認證���,則意味著終端在認證中心成功注冊����,完成密鑰分發(fā),終端和認證中心之間后續(xù)可使用彼此的公鑰加密后交互信息�,以實現(xiàn)終端和ap的雙向認證,具體見下文步驟208至步驟213��。終端和ap的雙向認證過程中����,為提供端到端的安全����,對傳送的信息采用公鑰加密,具體如下文��。
步驟208����,終端向ap發(fā)送接入請求。
步驟209�,ap返回接入響應(yīng)給終端,接入響應(yīng)中攜帶ap身份信息���;
步驟210�,終端使用認證中心的公鑰對終端證書、ap身份信息���、以及時間戳加密并攜帶在認證請求中通過ap透傳給認證中心��。
作為本發(fā)明的一個實施例�,這里的時間戳可為終端發(fā)送認證請求的時間點����。
步驟211,認證中心使用自身的私鑰對認證請求中加密的終端證書�����、ap身份信息��、以及時間戳進行解密��,得到終端證書�、ap身份信息、以及時間戳���;
步驟212�����,認證中心分別對所述終端證書����、ap身份信息進行驗證,并驗證時間戳的有效性��,使用終端公鑰對驗證結(jié)果加密并發(fā)送給終端�。
作為本發(fā)明的一個實施例,這里��,認證中心對ap身份信息進行驗證可舉例為:認證中心從預(yù)存的ap身份信息中查找上述ap身份信息�,如果查找到���,則確定ap合法�����,否則���,確定ap不合法;
作為本發(fā)明的一個實施例�����,這里,認證中心對終端證書進行驗證可舉例為:認證中心驗證終端證書為自身所簽發(fā)����,確定終端合法,反之�����,確定終端 不合法��。
作為本發(fā)明的一個實施例����,這里,認證中心對時間戳進行驗證可舉例為:驗證時間戳是否有效�����,如果是���,則確定通信路徑中沒有偽ap進行攔截���,否則,確定有偽ap實施了攔截�����。在應(yīng)用中,如果有偽ap攔截到真ap的身份信息并在上述步驟209中偽裝成真ap向終端發(fā)送接入響應(yīng)����,則步驟210中,終端發(fā)送的認證請求中雖攜帶真ap的身份信息���,但事實上是接入偽ap的���,針對這種情況,由于認證請求是通過終端接入的ap透傳給認證中心�,這也就意味著認證請求經(jīng)由偽ap��、真ap最后到達認證中心�����,這個路由過程中增加了偽ap���,則會導(dǎo)致時間戳超時失效���,即認證失敗���,這有效地防止了中間人攻擊手段,辨別了終端是否接入偽ap����。
步驟213,終端使用終端私鑰對接收的驗證結(jié)果進行解密獲取驗證結(jié)果�。
至此,通過步驟208至步驟213����,實現(xiàn)了終端和ap之間的雙向認證。
可選地���,在步驟212和步驟213之間���,認證中心還可將對終端的認證結(jié)果發(fā)送給ap,以由ap根據(jù)認證結(jié)果控制終端的接入�。
至此,完成圖2所示的流程��。
通過圖2所示的流程可以看出��,在終端和ap之間的雙向認證中�����,使用的密鑰都是終端與認證中心雙向認證過程中得到的,具體為:終端使用的是與認證中心雙向認證過程中得到的認證中心的公鑰加密終端身份信息�����、ap身份信息���、時間戳并通過ap透傳給認證中心���,認證中心對終端身份信息、ap身份信息進行認證��,并驗證時間戳的有效性���,通過與終端雙向認證過程(即終端的身份注冊過程)中生成的終端公鑰加密認證結(jié)果返回給終端,從而實現(xiàn)了終端和ap的雙向認證����。
進一步地,在實施例1中��,加解密過程可通過軟件實現(xiàn)���,具體可通過上述的app應(yīng)用軟件實現(xiàn)��,無需對終端和ap執(zhí)行任何改造����,節(jié)省成本,實現(xiàn)簡單�����;
再進一步地�,在實施例1中,采用非對稱加密算法實現(xiàn)終端證書的在線簽發(fā)�,并且,終端的公私鑰對在終端側(cè)生成����,終端私鑰不傳輸,安全性高�����。
以上對實施例1進行了描述���,下面對實施例2進行描述:
實施例2:
參見圖3���,圖3為本發(fā)明實施例2提供的方法流程圖����。如圖3所示���,該流程可包括以下步驟:
步驟301�,終端下載app應(yīng)用軟件�����,所述app應(yīng)用軟件中包含算法因子��、序列號��、加密算法��。
具體地��,終端可在可信網(wǎng)絡(luò)環(huán)境下去指定的安全網(wǎng)站下載上述app應(yīng)用軟件��。
步驟302����,終端安裝并運行已下載的app應(yīng)用軟件,并使用自身的終端id��、算法因子�����、序列號�、加密算法計算出終端認證密鑰。
步驟303�����,終端發(fā)送終端id�����、序列號給認證中心��。
步驟304��,認證中心依據(jù)收到的終端id����、序列號并利用上述算法因子、加密算法計算出終端認證密鑰。
步驟305��,認證中心基于終端id為終端確定一個對應(yīng)的終端身份信息����,并記錄終端身份信息和終端認證密鑰之間的對應(yīng)關(guān)系。
作為本發(fā)明的優(yōu)選實施例�����,這里的終端id可以是imsi����、imei、msisdn等參數(shù)中的至少一個�。基于此����,認證中心基于終端id為終端分配一個對應(yīng)的終端身份信息可為與上述終端id存在對應(yīng)關(guān)系的一個參數(shù),其主要是為了避免終端id暴露在后續(xù)的網(wǎng)絡(luò)傳輸中����。
步驟306,認證中心生成一個隨機數(shù)���,使用終端認證密鑰加密隨機數(shù)和終端身份信息并發(fā)送給終端����。
步驟307���,終端使用終端認證密鑰對認證中心發(fā)送的加密的隨機數(shù)和終端身份信息解密����,獲取隨機數(shù)和認證中心分配的終端身份信息��,并使用終端認證密鑰對隨機數(shù)進行加密��,在密文中攜帶終端身份信息��,發(fā)送給認證中心�����。
步驟308��,認證中心根據(jù)接收的終端身份信息找到對應(yīng)的終端認證密鑰�,使用找到的終端認證密鑰對接收的隨機數(shù)解密,比較解密后的隨機數(shù)和之前發(fā)送給終端的隨機數(shù)��,如果兩者一致,則終端與認證中心成功完成雙向認證���。
至此����,完成終端和認證中心的雙向認證�。通過終端和認證中心的雙向認證,最終終端和認證中心兩端使用的密鑰達成一致�,即為上述生成的終端認證密鑰。
當終端和認證中心間實現(xiàn)了雙向認證��,則意味著終端在認證中心成功注冊�����,達成密鑰同步�����,終端和認證中心之間后續(xù)可使用終端的認證密鑰交互信息�,以實現(xiàn)終端和ap的雙向認證,具體見下文步驟309至步驟314��。
步驟309�,終端向ap發(fā)送接入請求�。
步驟310���,ap返回接入響應(yīng)給終端�,接入響應(yīng)中攜帶ap身份信息��;
步驟311����,終端使用終端認證密鑰加密ap身份信息�����、終端身份信息以及時間戳��,并在密文中攜帶所述終端身份信息�,一起攜帶在認證請求中通過ap透傳給認證中心。
具體地���,步驟311中�,終端使用終端認證密鑰加密ap身份信息�����、終端身份信息以及時間戳,在密文中同時攜帶終端身份信息�����,并承載在認證請求中通過ap透傳給認證中心�����。
步驟312���,認證中心基于收到的終端身份信息找到對應(yīng)的終端認證密鑰�����,利用所述終端認證密鑰對認證請求中加密的ap身份信息�����、終端身份信息以及時間戳進行解密����,得到ap身份信息�、終端身份信息以及時間戳。
步驟313���,認證中心對終端身份信息���、ap身份信息進行驗證��,并驗證時間戳的有效性�,使用終端認證密鑰對驗證結(jié)果加密并發(fā)送給終端�����。
步驟313類似上述的步驟212���,這里不再贅述。
步驟314�����,終端使用所述終端認證密鑰對接收的認證結(jié)果進行解密獲取認證結(jié)果����。
至此,通過步驟309至步驟314��,實現(xiàn)了終端和ap之間的雙向認證����。
可選地�����,在步驟313和步驟314之間��,認證中心還可將對終端的認證結(jié)果發(fā)送給ap���,以由ap根據(jù)認證結(jié)果控制終端的接入。
至此���,完成圖3所示的流程����。
通過圖3所示的流程可以看出�����,在終端和ap之間的雙向認證中����,使用 的終端認證密鑰是終端與認證中心雙向認證過程(即終端的身份注冊過程)中達成一致的密鑰。
進一步地,在實施例1中���,加解密過程可通過軟件實現(xiàn)�,具體可通過上述的app應(yīng)用軟件實現(xiàn)���,無需對終端和ap執(zhí)行任何改造���,節(jié)省成本,實現(xiàn)簡單���。
以上對本發(fā)明提供的方法進行了描述��,下面對本發(fā)明提供的系統(tǒng)進行描述:
參見圖4�,圖4為本發(fā)明提供的終端結(jié)構(gòu)圖�。如圖4所示�,該終端可包括:
身份注冊單元,用于通過與認證中心之間的雙向認證完成終端的身份注冊�����;
ap認證單元���,用于在終端完成身份注冊后�����,通過以下步驟進行終端和接入點ap的雙向認證在完成與認證中心之間的雙向認證后����,通過以下步驟與ap進行雙向認證:終端先和ap交互以獲取ap的身份信息,終端將本終端的身份信息�、所述ap的身份信息、以及時間戳通過ap發(fā)送給認證中心���,以使認證中心對所述終端的身份信息����、所述ap的身份信息進行驗證����,并驗證所述時間戳的有效性,終端接收認證中心返回的驗證結(jié)果���。
優(yōu)選地���,所述身份注冊單元通過以下步驟實現(xiàn)終端的身份注冊:
安裝并運行已下載的app應(yīng)用軟件,所述app應(yīng)用軟件中包含認證中心的公鑰和非對稱加密算法引擎;
通過所述非對稱加密算法引擎生成終端公私鑰對��,所述終端公私鑰對包含終端公鑰和終端私鑰���;
使用認證中心的公鑰加密所述終端公鑰和終端標識id并發(fā)送給認證中心��;
接收認證中心發(fā)送的由所述終端公鑰加密的所述終端證書�;
使用終端私鑰對接收的終端證書進行解密得到認證中心為本終端簽發(fā)的終端證書�,完成終端的身份注冊;
優(yōu)選地���,所述ap認證單元通過以下步驟實現(xiàn)終端和ap之間的雙向認證:
向ap發(fā)送接入請求���;
接收ap返回的接入響應(yīng),所述接入響應(yīng)中攜帶ap身份信息����;
使用所述認證中心的公鑰對所述終端證書���、ap身份信息���、以及時間戳加密并攜帶在認證請求中通過ap透傳給認證中心;
接收認證中心發(fā)送的經(jīng)由終端公鑰加密的驗證結(jié)果,所述驗證結(jié)果為認證中心對所述終端證書��、ap身份信息����、以及時間戳的驗證結(jié)果;
使用終端私鑰對接收的驗證結(jié)果進行解密獲取驗證結(jié)果���。
優(yōu)選地����,所述身份注冊單元通過以下步驟實現(xiàn)終端的身份注冊:
安裝并運行已下載的app應(yīng)用軟件����,所述app應(yīng)用軟件中包含算法因子、序列號�����、加密算法��;
使用自身的終端標識id����、所述算法因子��、序列號���、加密算法計算出終端認證密鑰;
發(fā)送終端id�、所述序列號給認證中心,以使認證中心基于收到的終端id���、序列號��,并利用所述算法因子�����、加密算法計算出終端認證密鑰�,基于所述終端id為終端分配一個對應(yīng)的終端身份信息��,并記錄所述終端身份信息和所述終端認證密鑰之間的對應(yīng)關(guān)系���;
接收認證中心發(fā)送的使用所述終端認證密鑰加密的隨機數(shù)和終端身份信息�����;
使用所述終端認證密鑰對認證中心發(fā)送的加密的隨機數(shù)和終端身份信息解密��,并使用所述終端認證密鑰對解密后的隨機數(shù)進行加密��,并在密文中攜帶終端身份信息發(fā)送給認證中心�����,以使認證中心根據(jù)接收的終端身份信息找到對應(yīng)的終端認證密鑰�,使用找到的終端認證密鑰對接收的隨機數(shù)解密����,比較解密后的隨機數(shù)和之前發(fā)送給所述終端的隨機數(shù),如果兩者一致���,則終端與認證中心成功完成雙向認證����,達成密鑰同步�,完成終端的身份注冊。
優(yōu)選地�����,所述ap認證單元通過以下步驟實現(xiàn)終端和ap之間的雙向認證:
向ap發(fā)送接入請求�����;
接收ap返回的接入響應(yīng),所述接入響應(yīng)中攜帶ap身份信息����;
使用終端認證密鑰加密終端身份信息,所述ap身份信息���、以及時間戳�����,并在密文中攜帶所述終端身份信息����,一起攜帶在認證請求中通過ap透傳給認證中心���;
接收認證中心發(fā)送的經(jīng)由終端認證密鑰加密的驗證結(jié)果�����,所述驗證結(jié)果是認證中心對ap身份信息���、終端身份信息以及時間戳有效性驗證的結(jié)果���,所述ap身份信息��、終端身份信息以及時間戳是認證中心基于收到的所述終端身份信息找到對應(yīng)的終端認證密鑰��,利用所述終端認證密鑰對認證請求中加密的ap身份信息���、終端身份信息以及時間戳進行解密得到的����,
使用所述終端認證密鑰對接收的驗證結(jié)果進行解密獲取驗證結(jié)果�����。
至此����,完成圖4所示的終端結(jié)構(gòu)描述。
以上所述僅為本發(fā)明的較佳實施例而已�����,并不用以限制本發(fā)明���,凡在本發(fā)明的精神和原則之內(nèi)�,所做的任何修改、等同替換�、改進等,均應(yīng)包含在本發(fā)明保護的范圍之內(nèi)��。