網(wǎng)絡(luò)接入認(rèn)證方法、客戶終端、接入設(shè)備及認(rèn)證設(shè)備的制造方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及通信技術(shù)領(lǐng)域，尤其涉及網(wǎng)絡(luò)接入認(rèn)證方法、客戶終端、接入設(shè)備及認(rèn)證設(shè)備。
【背景技術(shù)】
[0002]通常，客戶終端想要接入一個(gè)受保護(hù)的網(wǎng)絡(luò)，要先通過網(wǎng)絡(luò)認(rèn)證設(shè)備的認(rèn)證。目前的接入認(rèn)證技術(shù)主要有:口令字認(rèn)證協(xié)議、基于預(yù)共享密鑰和挑戰(zhàn)應(yīng)答協(xié)議、基于動(dòng)態(tài)一次性口令協(xié)議、基于公鑰體制的認(rèn)證協(xié)議。
[0003]上述接入認(rèn)證方法，網(wǎng)絡(luò)認(rèn)證設(shè)備只以客戶終端是否掌握認(rèn)證協(xié)議需要的口令或密鑰來(lái)判斷客戶終端是否可以接入受保護(hù)的網(wǎng)絡(luò)，而不必關(guān)心客戶終端本身是否是安全可信的，因此，現(xiàn)有網(wǎng)絡(luò)接入認(rèn)證存在安全隱患。如:客戶終端已經(jīng)受到了攻擊，攻擊者可以在待接入設(shè)備上植入病毒或木馬程序，監(jiān)聽認(rèn)證過程，竊取用戶的關(guān)鍵信息，攻擊者就可以訪問受保護(hù)網(wǎng)絡(luò)，或利用已經(jīng)被攻破的待接入設(shè)備作跳板，進(jìn)而攻擊受保護(hù)的網(wǎng)絡(luò)，從而引起嚴(yán)重的安全問題。

【發(fā)明內(nèi)容】

[0004]本發(fā)明實(shí)施例提供一種網(wǎng)絡(luò)接入認(rèn)證方法、客戶終端、接入設(shè)備及認(rèn)證設(shè)備，對(duì)終端發(fā)送的認(rèn)證信息進(jìn)行驗(yàn)證的同時(shí)能夠確認(rèn)客戶終端是否安全可信，提高了網(wǎng)絡(luò)接入認(rèn)證的安全性。
[0005]為達(dá)到上述目的，本發(fā)明實(shí)施例采用的技術(shù)方案是，
[0006]第一方面，公開了一種網(wǎng)絡(luò)接入認(rèn)證方法，包括:
[0007]客戶終端對(duì)所述客戶終端的認(rèn)證證書和認(rèn)證信息以及所述客戶終端的可信憑證進(jìn)行加密，生成第一密文；
[0008]所述客戶終端向接入設(shè)備發(fā)送所述第一密文，以便所述接入設(shè)備接收、解密所述第一密文獲取所述客戶終端的可信憑證和認(rèn)證信息。
[0009]結(jié)合第一方面，在第一方面的第一種可能的實(shí)現(xiàn)方式中，所述方法還包括:
[0010]所述客戶終端接收所述接入設(shè)備發(fā)送的第二密文，所述第二密文是所述客戶終端用所述認(rèn)證設(shè)備的公鑰對(duì)所述客戶終端的可信憑證和所述認(rèn)證信息進(jìn)行加密生成的；
[0011 ] 所述客戶終端向所述認(rèn)證設(shè)備發(fā)送所述第二密文。
[0012]結(jié)合第一方面或第一方面的第一種可能的實(shí)現(xiàn)方式，在第一方面的第二種可能的實(shí)現(xiàn)方式中，客戶終端對(duì)所述客戶終端的認(rèn)證證書和認(rèn)證信息以及所述客戶終端的可信憑證進(jìn)行加密，生成第一密文之前，所述方法還包括:
[0013]所述客戶終端向所述接入設(shè)備發(fā)送接入請(qǐng)求，以便所述接入設(shè)備根據(jù)所述接入請(qǐng)求向所述認(rèn)證設(shè)備請(qǐng)求所述客戶終端的認(rèn)證證書；所述接入請(qǐng)求指示所述用戶終端欲接入待接入網(wǎng)絡(luò)；
[0014]所述客戶終端接收所述認(rèn)證設(shè)備發(fā)送的證書請(qǐng)求消息；所述證書請(qǐng)求消息指示所述客戶終端提供自身的認(rèn)證證書。
[0015]結(jié)合第一方面或第一方面的第一或第二種可能的實(shí)現(xiàn)方式，在第一方面的第三種可能的實(shí)現(xiàn)方式中，所述方法還包括:
[0016]所述客戶終端接收所述認(rèn)證設(shè)備下發(fā)的所述客戶終端的可信憑證。
[0017]第二方面，公開了一種網(wǎng)絡(luò)接入認(rèn)證方法，包括:
[0018]所述接入設(shè)備接收第一密文，所述第一密文是客戶終端對(duì)所述客戶終端的認(rèn)證證書和認(rèn)證信息以及所述客戶終端的可信憑證進(jìn)行加密生成的；
[0019]所述接入設(shè)備解析所述第二密文獲得所述客戶端的認(rèn)證信息以及所述客戶終端的可信憑證；
[0020]所述接入設(shè)備用認(rèn)證設(shè)備的公鑰對(duì)所述客戶終端的可信憑證和所述認(rèn)證信息進(jìn)行加密生成第二密文；
[0021]所述接入設(shè)備將所述第二密文發(fā)送給所述客戶終端，以便所述客戶終端向所述認(rèn)證設(shè)備轉(zhuǎn)發(fā)所述第二密文。
[0022]結(jié)合第二方面，在第二方面的第一種可能的實(shí)現(xiàn)方式中，所述接入設(shè)備接收第一密文之前，所述方法還包括:
[0023]所述接入設(shè)備接收所述客戶終端發(fā)送的接入請(qǐng)求，根據(jù)所述接入請(qǐng)求向所述認(rèn)證設(shè)備請(qǐng)求所述客戶終端的認(rèn)證證書。
[0024]第三方面，公開了一種網(wǎng)絡(luò)接入認(rèn)證方法，包括:
[0025]認(rèn)證設(shè)備接收通過所述客戶終端轉(zhuǎn)發(fā)的第二密文；所述第二密文是所述客戶終端用所述認(rèn)證設(shè)備的公鑰對(duì)所述客戶終端的可信憑證和所述認(rèn)證信息進(jìn)行加密生成的；
[0026]所述認(rèn)證設(shè)備用所述認(rèn)證設(shè)備的私鑰解密所述第二密文，獲得所述客戶終端的認(rèn)證信息、所述客戶終端的可信憑證；
[0027]所述認(rèn)證設(shè)備判斷所述認(rèn)證信息是否正確，以及所述客戶終端的可信憑證與所述認(rèn)證設(shè)備預(yù)先存儲(chǔ)的所述客戶終端的可信憑證是否相同；
[0028]若所述認(rèn)證信息正確且所述客戶終端的可信憑證與所述認(rèn)證設(shè)備預(yù)先存儲(chǔ)的所述客戶終端的可信憑證相同，則允許所述客戶終端接入待接入網(wǎng)絡(luò)；
[0029]若所述認(rèn)證信息正確且所述客戶終端的可信憑證與所述認(rèn)證設(shè)備預(yù)先存儲(chǔ)的所述客戶終端的可信憑證不相同，則禁止所述客戶終端接入所述待接入網(wǎng)絡(luò)。
[0030]結(jié)合第三方面，在第三方面的第一種可能的實(shí)現(xiàn)方式中，所述認(rèn)證設(shè)備接收通過所述客戶終端轉(zhuǎn)發(fā)的第二密文之前，所述方法還包括:
[0031]獲取所述客戶終端的可信憑證，存儲(chǔ)所述客戶終端的可信憑證。
[0032]第四方面，公開了一種客戶終端，包括:
[0033]加密單元，用于對(duì)所述客戶終端的認(rèn)證證書和認(rèn)證信息以及所述客戶終端的可信憑證進(jìn)行加密，生成第一密文；
[0034]發(fā)送單元，用于向接入設(shè)備發(fā)送所述第一密文，以便所述接入設(shè)備接收、解密所述第一密文獲取所述客戶終端的可信憑證和認(rèn)證信息。
[0035]結(jié)合第四方面，在第四方面的第一種可能的實(shí)現(xiàn)方式中，還包括接收單元，
[0036]所述接收單元用于，接收所述接入設(shè)備發(fā)送的第二密文，所述第二密文是所述客戶終端用所述認(rèn)證設(shè)備的公鑰對(duì)所述客戶終端的可信憑證和所述認(rèn)證信息進(jìn)行加密生成的；
[0037]所述發(fā)送單元還用于，向所述認(rèn)證設(shè)備發(fā)送所述第二密文。
[0038]結(jié)合第四方面或第四方面的第一種可能的實(shí)現(xiàn)方式，在第四方面的第二種可能的實(shí)現(xiàn)方式中，
[0039]所述發(fā)送單元還用于，在所述加密單元對(duì)所述客戶終端的認(rèn)證證書和認(rèn)證信息以及所述客戶終端的可信憑證進(jìn)行加密，生成第一密文之前，向所述接入設(shè)備發(fā)送接入請(qǐng)求，以便所述接入設(shè)備根據(jù)所述接入請(qǐng)求向所述認(rèn)證設(shè)備請(qǐng)求所述客戶終端的認(rèn)證證書；所述接入請(qǐng)求指示所述用戶終端欲接入待接入網(wǎng)絡(luò)；
[0040]所述接收單元還用于，接收所述認(rèn)證設(shè)備發(fā)送的證書請(qǐng)求消息；所述證書請(qǐng)求消息指示所述客戶終端提供自身的認(rèn)證證書。
[0041]結(jié)合第四方面或第四方面的第一或第二種可能的實(shí)現(xiàn)方式，在第四方面的第三種可能的實(shí)現(xiàn)方式中，
[0042]所述接收單元還用于，接收所述認(rèn)證設(shè)備下發(fā)的所述客戶終端的可信憑證。
[0043]第五方面，公開了一種接入設(shè)備，包括:
[0044]接收單元，用于接收第一密文，所述第一密文是客戶終端對(duì)所述客戶終端的認(rèn)證證書和認(rèn)證信息以及所述客戶終端的可信憑證進(jìn)行加密生成的；
[0045]解析單元，用于解析所述第二密文獲得所述客戶端的認(rèn)證信息以及所述客戶終端的可信憑證；
[0046]加密單元，用于用認(rèn)證設(shè)備的公鑰對(duì)所述客戶終端的可信憑證和所述認(rèn)證信息進(jìn)行加密生成第二密文；
[0047]發(fā)送單元，用于將所述第二密文發(fā)送給所述客戶終端，以便所述客戶終端向所述認(rèn)證設(shè)備轉(zhuǎn)發(fā)所述第二密文。
[0048]結(jié)合第五方面，在第五方面的第一種可能的實(shí)現(xiàn)方式中，
[0049]所述接收單元還用于，接收第一密文之前，接收所述客戶終端發(fā)送的接入請(qǐng)求，根據(jù)所述接入請(qǐng)求向所述認(rèn)證設(shè)備請(qǐng)求所述客戶終端的認(rèn)證證書。
[0050]第六方面，公開了一種認(rèn)證設(shè)備，包括:
[0051]接收單元，用于接收通過所述客戶終端轉(zhuǎn)發(fā)的第二密文；所述第二密文是所述客戶終端用所述認(rèn)證設(shè)備的公鑰對(duì)所述客戶終端的可信憑證和所述認(rèn)證信息進(jìn)行加密生成的；
[0052]解密單元，用于用所述認(rèn)證設(shè)備的私鑰解密所述第二密文，獲得所述客戶終端的認(rèn)證信息、所述客戶終端的可信憑證；
[0053]判斷單元，用于判斷所述認(rèn)證信息是否正確，以及所述客戶終端的可信憑證與所述認(rèn)證設(shè)備預(yù)先存儲(chǔ)的所述客戶終端的可信憑證是否相同；
[0054]權(quán)限設(shè)置單元，若所述判斷單元判斷所述認(rèn)證信息正確且所述客戶終端的可信憑證與所述認(rèn)證設(shè)備預(yù)先存儲(chǔ)的所述客戶終端的可信憑證相同，則允許所述客戶終端接入待接入網(wǎng)絡(luò)；
[0055]所述權(quán)限設(shè)置單元還用于，若所述判斷單元判斷所述認(rèn)證信息正確且所述客戶終端的可信憑證與所述認(rèn)證設(shè)備預(yù)先存儲(chǔ)的所述客戶終端的可信憑證不相同，則禁止所述客戶終端接入所述待接入網(wǎng)絡(luò)。
[0056]結(jié)合第六方面，在第六方面的第一種可能的實(shí)現(xiàn)方式中，還包括獲取單元、存儲(chǔ)單元，
[0057]所述獲取單元用于，獲取所述客戶終端的可信憑證；
[0058]所述存儲(chǔ)單元用于，存儲(chǔ)所述客戶終端的可信憑證。
[0059]本發(fā)明提供一種網(wǎng)絡(luò)接入系統(tǒng)、移動(dòng)終端、接入設(shè)備及認(rèn)證設(shè)備，接入設(shè)備用認(rèn)證設(shè)備的公鑰對(duì)所述客戶終端的可信憑證和所述認(rèn)證信息進(jìn)行加密生成第一密文；認(rèn)證設(shè)備用自身的私鑰解密第一密文，獲得客戶終端的認(rèn)證信息以及客戶終端的可信憑證；若認(rèn)證信息正確且客戶終端的可信憑證與認(rèn)證設(shè)備預(yù)先存儲(chǔ)的該客戶終端的可信憑證相同，則允許該客戶終端接入待接入網(wǎng)絡(luò)；若認(rèn)證信息正確但是客戶終端的可信憑證與認(rèn)證設(shè)備預(yù)先存儲(chǔ)的該客戶終端的可信憑證不相同，則禁止客戶終端接入所述待接入網(wǎng)絡(luò)?，F(xiàn)有技術(shù)僅依據(jù)客戶終端發(fā)送的認(rèn)證信息決定是否允許其接入網(wǎng)絡(luò)，客戶終端本身是否是安全可信無(wú)法得到保證，因此現(xiàn)有網(wǎng)絡(luò)接入認(rèn)證存在安全隱患。而本發(fā)明中，根據(jù)對(duì)用戶終端的可信憑證的驗(yàn)證能夠確認(rèn)客戶終端是否安全可信，提高了網(wǎng)絡(luò)接入認(rèn)證的安全性。
【附圖說(shuō)明】