本申請(qǐng)涉及網(wǎng)絡(luò)通信技術(shù),特別涉及應(yīng)用于無(wú)線(xiàn)局域網(wǎng)(wlan:wirelesslocalareanetworks)中的接入認(rèn)證方法和終端。
背景技術(shù):
目前,wlan中的wifi接入認(rèn)證機(jī)制通常是使用帳號(hào)加密碼方式對(duì)上網(wǎng)的用戶(hù)進(jìn)行接入認(rèn)證。比如,用戶(hù)使用運(yùn)營(yíng)商提供的wlan時(shí),需要先獲取wlan帳號(hào)和密碼,在接入時(shí)通過(guò)portal頁(yè)面/客戶(hù)端輸入獲取的wlan帳號(hào)和密碼完成網(wǎng)絡(luò)認(rèn)證。密碼也可以是動(dòng)態(tài)的短信驗(yàn)證碼,如機(jī)場(chǎng)、候車(chē)廳等提供短期免費(fèi)wlan接入服務(wù)的公共場(chǎng)所,當(dāng)用戶(hù)接入wlan時(shí)先訪(fǎng)問(wèn)公共場(chǎng)所的網(wǎng)站首頁(yè),輸入手機(jī)號(hào)碼,由身份認(rèn)證系統(tǒng)生成一個(gè)驗(yàn)證碼,通過(guò)移動(dòng)運(yùn)營(yíng)商的短信平臺(tái)發(fā)送給終端(ue),終端使用這個(gè)驗(yàn)證碼證明自己的身份后接入網(wǎng)絡(luò)。
但是,目前的wifi接入認(rèn)證機(jī)制,只提供對(duì)終端身份的單向認(rèn)證,并不能對(duì)終端接入的無(wú)線(xiàn)接入點(diǎn)(ap:accesspoint)進(jìn)行認(rèn)證,這就導(dǎo)致一些偽ap不能被辨認(rèn),降低終端接入wlan的安全。
技術(shù)實(shí)現(xiàn)要素:
本申請(qǐng)?zhí)峁┝藨?yīng)用于無(wú)線(xiàn)局域網(wǎng)wlan中的接入認(rèn)證方法和終端,以解決目前wifi接入認(rèn)證機(jī)制只能實(shí)現(xiàn)對(duì)ue身份的單向認(rèn)證所帶來(lái)的缺陷。
本申請(qǐng)?zhí)峁┑募夹g(shù)方案包括:
一種應(yīng)用于無(wú)線(xiàn)局域網(wǎng)wlan中的接入認(rèn)證方法,該方法包括:
終端ue通過(guò)與認(rèn)證中心之間的雙向認(rèn)證完成終端的身份注冊(cè);
在終端完成身份注冊(cè)后,通過(guò)以下步驟進(jìn)行終端和接入點(diǎn)ap的雙向認(rèn) 證:
步驟a0,終端先和ap交互以獲取ap的身份信息,終端將本終端的身份信息、所述ap的身份信息、以及時(shí)間戳通過(guò)ap發(fā)送給認(rèn)證中心,以使認(rèn)證中心對(duì)所述終端的身份信息、所述ap的身份信息進(jìn)行驗(yàn)證,并驗(yàn)證所述時(shí)間戳的有效性,終端接收認(rèn)證中心返回的驗(yàn)證結(jié)果。
一種應(yīng)用于無(wú)線(xiàn)局域網(wǎng)wlan中的終端,包括:
身份注冊(cè)單元,用于通過(guò)與認(rèn)證中心之間的雙向認(rèn)證完成終端的身份注冊(cè);
ap認(rèn)證單元,用于在終端完成身份注冊(cè)后,通過(guò)以下步驟進(jìn)行終端和接入點(diǎn)ap的雙向認(rèn)證在完成與認(rèn)證中心之間的雙向認(rèn)證后,通過(guò)以下步驟與ap進(jìn)行雙向認(rèn)證:終端先和ap交互以獲取ap的身份信息,終端將本終端的身份信息、所述ap的身份信息、以及時(shí)間戳通過(guò)ap發(fā)送給認(rèn)證中心,以使認(rèn)證中心對(duì)所述終端的身份信息、所述ap的身份信息進(jìn)行驗(yàn)證,并驗(yàn)證所述時(shí)間戳的有效性,終端接收認(rèn)證中心返回的驗(yàn)證結(jié)果。
由以上技術(shù)方案可以看出,本發(fā)明中,實(shí)現(xiàn)了終端和ap的雙向認(rèn)證。通過(guò)該雙向認(rèn)證,能夠識(shí)別偽ap和偽終端,提高了終端接入wlan的安全性,解決了目前wifi接入認(rèn)證機(jī)制只能實(shí)現(xiàn)對(duì)ue身份的單向認(rèn)證所帶來(lái)的缺陷;
進(jìn)一步地,在本發(fā)明中,既實(shí)現(xiàn)了終端和認(rèn)證中心的雙向認(rèn)證完成終端的身份注冊(cè),還實(shí)現(xiàn)了終端和ap的雙向認(rèn)證,在這兩次雙向認(rèn)證過(guò)程中,均不需要移動(dòng)運(yùn)營(yíng)商的參與,也即,wlan的接入認(rèn)證不依賴(lài)于移動(dòng)運(yùn)營(yíng)商。
附圖說(shuō)明
圖1為本發(fā)明提供的方法流程圖;
圖2為本發(fā)明實(shí)施例1提供的方法流程圖;
圖3為本發(fā)明實(shí)施例2提供的方法流程圖;
圖4為本發(fā)明提供的系統(tǒng)結(jié)構(gòu)圖。
具體實(shí)施方式
為了使本發(fā)明的目的、技術(shù)方案和優(yōu)點(diǎn)更加清楚,下面結(jié)合附圖和具體實(shí)施例對(duì)本發(fā)明進(jìn)行詳細(xì)描述。
本發(fā)明提供的方法包括圖1所示的流程:
參見(jiàn)圖1,圖1為本發(fā)明提供的方法流程圖。如圖1所示,該流程可包括以下步驟:
步驟101,終端通過(guò)與認(rèn)證中心之間的雙向認(rèn)證完成終端的身份注冊(cè)。
在步驟101,當(dāng)終端和認(rèn)證中心之間完成雙向認(rèn)證,則意味著終端在認(rèn)證中心成功進(jìn)行身份注冊(cè)。
步驟102,終端在完成身份注冊(cè)后,通過(guò)以下步驟進(jìn)行終端和ap的雙向認(rèn)證:終端先和ap交互以獲取ap的身份信息,終端將本終端的身份信息、所述ap的身份信息、以及時(shí)間戳通過(guò)ap發(fā)送給認(rèn)證中心,以使認(rèn)證中心對(duì)所述終端的身份信息、所述ap的身份信息進(jìn)行驗(yàn)證,并驗(yàn)證所述時(shí)間戳的有效性,終端接收認(rèn)證中心返回的驗(yàn)證結(jié)果。
至此,完成本發(fā)明提供的圖1所示的流程。
從圖1所示流程可以看出,在本發(fā)明中,實(shí)現(xiàn)了終端和ap的雙向認(rèn)證。通過(guò)該雙向認(rèn)證,能夠識(shí)別偽ap和偽終端,提高了終端接入wlan的安全性;
進(jìn)一步地,在本發(fā)明中,既實(shí)現(xiàn)了終端通過(guò)與認(rèn)證中心之間的雙向認(rèn)證完成終端的身份注冊(cè),還實(shí)現(xiàn)了終端和ap的雙向認(rèn)證,在這兩次雙向認(rèn)證過(guò)程中,均不需要移動(dòng)運(yùn)營(yíng)商的參與,也即,wlan的接入認(rèn)證不依賴(lài)于 移動(dòng)運(yùn)營(yíng)商。
需要說(shuō)明的是,終端的身份注冊(cè)過(guò)程、終端和ap的雙向認(rèn)證過(guò)程是兩個(gè)獨(dú)立的過(guò)程,沒(méi)有時(shí)間上的連續(xù)要求,在終端的身份注冊(cè)過(guò)程完成后,終端和ap的雙向認(rèn)證過(guò)程在終端請(qǐng)求接入網(wǎng)絡(luò)時(shí)發(fā)起。
下面通過(guò)兩個(gè)實(shí)施例對(duì)圖1所示的流程進(jìn)行詳細(xì)描述:
實(shí)施例1:
參見(jiàn)圖2,圖2為本發(fā)明實(shí)施例1提供的方法流程圖。如圖1所示,該流程可包括以下步驟:
步驟201,終端下載app應(yīng)用軟件,所述app應(yīng)用軟件中包含認(rèn)證中心的公鑰和非對(duì)稱(chēng)加密算法引擎。
具體地,終端可在可信網(wǎng)絡(luò)環(huán)境下去指定的安全網(wǎng)站下載上述app應(yīng)用軟件。
步驟202,終端安裝并運(yùn)行已下載的app應(yīng)用軟件,并通過(guò)app應(yīng)用軟件中包含的非對(duì)稱(chēng)加密算法引擎生成終端公私鑰對(duì)。
這里,終端公私鑰對(duì)包含終端公鑰和終端私鑰。
步驟203,終端使用認(rèn)證中心的公鑰加密終端公鑰和終端標(biāo)識(shí)(id)并發(fā)送給認(rèn)證中心。
作為本發(fā)明的優(yōu)選實(shí)施例,這里的終端id可以是imsi、imei、msisdn等參數(shù)中的至少一個(gè)。
步驟204,認(rèn)證中心使用自身的私鑰對(duì)加密的終端公鑰和終端id進(jìn)行解密,得到終端公鑰和終端id。
步驟205,認(rèn)證中心驗(yàn)證終端公鑰合法,則為終端簽發(fā)終端證書(shū),并記錄終端證書(shū)和終端id之間的對(duì)應(yīng)關(guān)系
作為本發(fā)明的優(yōu)選實(shí)施例,這里認(rèn)證中心驗(yàn)證終端公鑰合法可為:
認(rèn)證中心驗(yàn)證終端公鑰是通過(guò)上述app應(yīng)用軟件包含的非對(duì)稱(chēng)加密算法引擎生成的,則認(rèn)為終端公鑰合法,反之,則認(rèn)為終端公鑰不合法。
步驟206,認(rèn)證中心使用終端公鑰加密終端證書(shū)并發(fā)送給終端。
步驟207,終端使用終端私鑰對(duì)接收的終端證書(shū)解密得到得到認(rèn)證中心為本終端簽發(fā)的終端證書(shū),完成終端的身份注冊(cè)。
至此,完成終端和認(rèn)證中心的雙向認(rèn)證。在上面描述的終端和認(rèn)證中心的雙向認(rèn)證過(guò)程中,app應(yīng)用軟件包含的認(rèn)證中心的公鑰是公開(kāi)的,但即使攻擊者截獲認(rèn)證中心的公鑰也不影響整個(gè)認(rèn)證過(guò)程的安全性,這是因?yàn)榻K端和認(rèn)證中心的私鑰是不在網(wǎng)絡(luò)上傳遞的,保證了密鑰的安全分發(fā)。
當(dāng)終端和認(rèn)證中心間實(shí)現(xiàn)了雙向認(rèn)證,則意味著終端在認(rèn)證中心成功注冊(cè),完成密鑰分發(fā),終端和認(rèn)證中心之間后續(xù)可使用彼此的公鑰加密后交互信息,以實(shí)現(xiàn)終端和ap的雙向認(rèn)證,具體見(jiàn)下文步驟208至步驟213。終端和ap的雙向認(rèn)證過(guò)程中,為提供端到端的安全,對(duì)傳送的信息采用公鑰加密,具體如下文。
步驟208,終端向ap發(fā)送接入請(qǐng)求。
步驟209,ap返回接入響應(yīng)給終端,接入響應(yīng)中攜帶ap身份信息;
步驟210,終端使用認(rèn)證中心的公鑰對(duì)終端證書(shū)、ap身份信息、以及時(shí)間戳加密并攜帶在認(rèn)證請(qǐng)求中通過(guò)ap透?jìng)鹘o認(rèn)證中心。
作為本發(fā)明的一個(gè)實(shí)施例,這里的時(shí)間戳可為終端發(fā)送認(rèn)證請(qǐng)求的時(shí)間點(diǎn)。
步驟211,認(rèn)證中心使用自身的私鑰對(duì)認(rèn)證請(qǐng)求中加密的終端證書(shū)、ap身份信息、以及時(shí)間戳進(jìn)行解密,得到終端證書(shū)、ap身份信息、以及時(shí)間戳;
步驟212,認(rèn)證中心分別對(duì)所述終端證書(shū)、ap身份信息進(jìn)行驗(yàn)證,并驗(yàn)證時(shí)間戳的有效性,使用終端公鑰對(duì)驗(yàn)證結(jié)果加密并發(fā)送給終端。
作為本發(fā)明的一個(gè)實(shí)施例,這里,認(rèn)證中心對(duì)ap身份信息進(jìn)行驗(yàn)證可舉例為:認(rèn)證中心從預(yù)存的ap身份信息中查找上述ap身份信息,如果查找到,則確定ap合法,否則,確定ap不合法;
作為本發(fā)明的一個(gè)實(shí)施例,這里,認(rèn)證中心對(duì)終端證書(shū)進(jìn)行驗(yàn)證可舉例為:認(rèn)證中心驗(yàn)證終端證書(shū)為自身所簽發(fā),確定終端合法,反之,確定終端 不合法。
作為本發(fā)明的一個(gè)實(shí)施例,這里,認(rèn)證中心對(duì)時(shí)間戳進(jìn)行驗(yàn)證可舉例為:驗(yàn)證時(shí)間戳是否有效,如果是,則確定通信路徑中沒(méi)有偽ap進(jìn)行攔截,否則,確定有偽ap實(shí)施了攔截。在應(yīng)用中,如果有偽ap攔截到真ap的身份信息并在上述步驟209中偽裝成真ap向終端發(fā)送接入響應(yīng),則步驟210中,終端發(fā)送的認(rèn)證請(qǐng)求中雖攜帶真ap的身份信息,但事實(shí)上是接入偽ap的,針對(duì)這種情況,由于認(rèn)證請(qǐng)求是通過(guò)終端接入的ap透?jìng)鹘o認(rèn)證中心,這也就意味著認(rèn)證請(qǐng)求經(jīng)由偽ap、真ap最后到達(dá)認(rèn)證中心,這個(gè)路由過(guò)程中增加了偽ap,則會(huì)導(dǎo)致時(shí)間戳超時(shí)失效,即認(rèn)證失敗,這有效地防止了中間人攻擊手段,辨別了終端是否接入偽ap。
步驟213,終端使用終端私鑰對(duì)接收的驗(yàn)證結(jié)果進(jìn)行解密獲取驗(yàn)證結(jié)果。
至此,通過(guò)步驟208至步驟213,實(shí)現(xiàn)了終端和ap之間的雙向認(rèn)證。
可選地,在步驟212和步驟213之間,認(rèn)證中心還可將對(duì)終端的認(rèn)證結(jié)果發(fā)送給ap,以由ap根據(jù)認(rèn)證結(jié)果控制終端的接入。
至此,完成圖2所示的流程。
通過(guò)圖2所示的流程可以看出,在終端和ap之間的雙向認(rèn)證中,使用的密鑰都是終端與認(rèn)證中心雙向認(rèn)證過(guò)程中得到的,具體為:終端使用的是與認(rèn)證中心雙向認(rèn)證過(guò)程中得到的認(rèn)證中心的公鑰加密終端身份信息、ap身份信息、時(shí)間戳并通過(guò)ap透?jìng)鹘o認(rèn)證中心,認(rèn)證中心對(duì)終端身份信息、ap身份信息進(jìn)行認(rèn)證,并驗(yàn)證時(shí)間戳的有效性,通過(guò)與終端雙向認(rèn)證過(guò)程(即終端的身份注冊(cè)過(guò)程)中生成的終端公鑰加密認(rèn)證結(jié)果返回給終端,從而實(shí)現(xiàn)了終端和ap的雙向認(rèn)證。
進(jìn)一步地,在實(shí)施例1中,加解密過(guò)程可通過(guò)軟件實(shí)現(xiàn),具體可通過(guò)上述的app應(yīng)用軟件實(shí)現(xiàn),無(wú)需對(duì)終端和ap執(zhí)行任何改造,節(jié)省成本,實(shí)現(xiàn)簡(jiǎn)單;
再進(jìn)一步地,在實(shí)施例1中,采用非對(duì)稱(chēng)加密算法實(shí)現(xiàn)終端證書(shū)的在線(xiàn)簽發(fā),并且,終端的公私鑰對(duì)在終端側(cè)生成,終端私鑰不傳輸,安全性高。
以上對(duì)實(shí)施例1進(jìn)行了描述,下面對(duì)實(shí)施例2進(jìn)行描述:
實(shí)施例2:
參見(jiàn)圖3,圖3為本發(fā)明實(shí)施例2提供的方法流程圖。如圖3所示,該流程可包括以下步驟:
步驟301,終端下載app應(yīng)用軟件,所述app應(yīng)用軟件中包含算法因子、序列號(hào)、加密算法。
具體地,終端可在可信網(wǎng)絡(luò)環(huán)境下去指定的安全網(wǎng)站下載上述app應(yīng)用軟件。
步驟302,終端安裝并運(yùn)行已下載的app應(yīng)用軟件,并使用自身的終端id、算法因子、序列號(hào)、加密算法計(jì)算出終端認(rèn)證密鑰。
步驟303,終端發(fā)送終端id、序列號(hào)給認(rèn)證中心。
步驟304,認(rèn)證中心依據(jù)收到的終端id、序列號(hào)并利用上述算法因子、加密算法計(jì)算出終端認(rèn)證密鑰。
步驟305,認(rèn)證中心基于終端id為終端確定一個(gè)對(duì)應(yīng)的終端身份信息,并記錄終端身份信息和終端認(rèn)證密鑰之間的對(duì)應(yīng)關(guān)系。
作為本發(fā)明的優(yōu)選實(shí)施例,這里的終端id可以是imsi、imei、msisdn等參數(shù)中的至少一個(gè)?;诖耍J(rèn)證中心基于終端id為終端分配一個(gè)對(duì)應(yīng)的終端身份信息可為與上述終端id存在對(duì)應(yīng)關(guān)系的一個(gè)參數(shù),其主要是為了避免終端id暴露在后續(xù)的網(wǎng)絡(luò)傳輸中。
步驟306,認(rèn)證中心生成一個(gè)隨機(jī)數(shù),使用終端認(rèn)證密鑰加密隨機(jī)數(shù)和終端身份信息并發(fā)送給終端。
步驟307,終端使用終端認(rèn)證密鑰對(duì)認(rèn)證中心發(fā)送的加密的隨機(jī)數(shù)和終端身份信息解密,獲取隨機(jī)數(shù)和認(rèn)證中心分配的終端身份信息,并使用終端認(rèn)證密鑰對(duì)隨機(jī)數(shù)進(jìn)行加密,在密文中攜帶終端身份信息,發(fā)送給認(rèn)證中心。
步驟308,認(rèn)證中心根據(jù)接收的終端身份信息找到對(duì)應(yīng)的終端認(rèn)證密鑰,使用找到的終端認(rèn)證密鑰對(duì)接收的隨機(jī)數(shù)解密,比較解密后的隨機(jī)數(shù)和之前發(fā)送給終端的隨機(jī)數(shù),如果兩者一致,則終端與認(rèn)證中心成功完成雙向認(rèn)證。
至此,完成終端和認(rèn)證中心的雙向認(rèn)證。通過(guò)終端和認(rèn)證中心的雙向認(rèn)證,最終終端和認(rèn)證中心兩端使用的密鑰達(dá)成一致,即為上述生成的終端認(rèn)證密鑰。
當(dāng)終端和認(rèn)證中心間實(shí)現(xiàn)了雙向認(rèn)證,則意味著終端在認(rèn)證中心成功注冊(cè),達(dá)成密鑰同步,終端和認(rèn)證中心之間后續(xù)可使用終端的認(rèn)證密鑰交互信息,以實(shí)現(xiàn)終端和ap的雙向認(rèn)證,具體見(jiàn)下文步驟309至步驟314。
步驟309,終端向ap發(fā)送接入請(qǐng)求。
步驟310,ap返回接入響應(yīng)給終端,接入響應(yīng)中攜帶ap身份信息;
步驟311,終端使用終端認(rèn)證密鑰加密ap身份信息、終端身份信息以及時(shí)間戳,并在密文中攜帶所述終端身份信息,一起攜帶在認(rèn)證請(qǐng)求中通過(guò)ap透?jìng)鹘o認(rèn)證中心。
具體地,步驟311中,終端使用終端認(rèn)證密鑰加密ap身份信息、終端身份信息以及時(shí)間戳,在密文中同時(shí)攜帶終端身份信息,并承載在認(rèn)證請(qǐng)求中通過(guò)ap透?jìng)鹘o認(rèn)證中心。
步驟312,認(rèn)證中心基于收到的終端身份信息找到對(duì)應(yīng)的終端認(rèn)證密鑰,利用所述終端認(rèn)證密鑰對(duì)認(rèn)證請(qǐng)求中加密的ap身份信息、終端身份信息以及時(shí)間戳進(jìn)行解密,得到ap身份信息、終端身份信息以及時(shí)間戳。
步驟313,認(rèn)證中心對(duì)終端身份信息、ap身份信息進(jìn)行驗(yàn)證,并驗(yàn)證時(shí)間戳的有效性,使用終端認(rèn)證密鑰對(duì)驗(yàn)證結(jié)果加密并發(fā)送給終端。
步驟313類(lèi)似上述的步驟212,這里不再贅述。
步驟314,終端使用所述終端認(rèn)證密鑰對(duì)接收的認(rèn)證結(jié)果進(jìn)行解密獲取認(rèn)證結(jié)果。
至此,通過(guò)步驟309至步驟314,實(shí)現(xiàn)了終端和ap之間的雙向認(rèn)證。
可選地,在步驟313和步驟314之間,認(rèn)證中心還可將對(duì)終端的認(rèn)證結(jié)果發(fā)送給ap,以由ap根據(jù)認(rèn)證結(jié)果控制終端的接入。
至此,完成圖3所示的流程。
通過(guò)圖3所示的流程可以看出,在終端和ap之間的雙向認(rèn)證中,使用 的終端認(rèn)證密鑰是終端與認(rèn)證中心雙向認(rèn)證過(guò)程(即終端的身份注冊(cè)過(guò)程)中達(dá)成一致的密鑰。
進(jìn)一步地,在實(shí)施例1中,加解密過(guò)程可通過(guò)軟件實(shí)現(xiàn),具體可通過(guò)上述的app應(yīng)用軟件實(shí)現(xiàn),無(wú)需對(duì)終端和ap執(zhí)行任何改造,節(jié)省成本,實(shí)現(xiàn)簡(jiǎn)單。
以上對(duì)本發(fā)明提供的方法進(jìn)行了描述,下面對(duì)本發(fā)明提供的系統(tǒng)進(jìn)行描述:
參見(jiàn)圖4,圖4為本發(fā)明提供的終端結(jié)構(gòu)圖。如圖4所示,該終端可包括:
身份注冊(cè)單元,用于通過(guò)與認(rèn)證中心之間的雙向認(rèn)證完成終端的身份注冊(cè);
ap認(rèn)證單元,用于在終端完成身份注冊(cè)后,通過(guò)以下步驟進(jìn)行終端和接入點(diǎn)ap的雙向認(rèn)證在完成與認(rèn)證中心之間的雙向認(rèn)證后,通過(guò)以下步驟與ap進(jìn)行雙向認(rèn)證:終端先和ap交互以獲取ap的身份信息,終端將本終端的身份信息、所述ap的身份信息、以及時(shí)間戳通過(guò)ap發(fā)送給認(rèn)證中心,以使認(rèn)證中心對(duì)所述終端的身份信息、所述ap的身份信息進(jìn)行驗(yàn)證,并驗(yàn)證所述時(shí)間戳的有效性,終端接收認(rèn)證中心返回的驗(yàn)證結(jié)果。
優(yōu)選地,所述身份注冊(cè)單元通過(guò)以下步驟實(shí)現(xiàn)終端的身份注冊(cè):
安裝并運(yùn)行已下載的app應(yīng)用軟件,所述app應(yīng)用軟件中包含認(rèn)證中心的公鑰和非對(duì)稱(chēng)加密算法引擎;
通過(guò)所述非對(duì)稱(chēng)加密算法引擎生成終端公私鑰對(duì),所述終端公私鑰對(duì)包含終端公鑰和終端私鑰;
使用認(rèn)證中心的公鑰加密所述終端公鑰和終端標(biāo)識(shí)id并發(fā)送給認(rèn)證中心;
接收認(rèn)證中心發(fā)送的由所述終端公鑰加密的所述終端證書(shū);
使用終端私鑰對(duì)接收的終端證書(shū)進(jìn)行解密得到認(rèn)證中心為本終端簽發(fā)的終端證書(shū),完成終端的身份注冊(cè);
優(yōu)選地,所述ap認(rèn)證單元通過(guò)以下步驟實(shí)現(xiàn)終端和ap之間的雙向認(rèn)證:
向ap發(fā)送接入請(qǐng)求;
接收ap返回的接入響應(yīng),所述接入響應(yīng)中攜帶ap身份信息;
使用所述認(rèn)證中心的公鑰對(duì)所述終端證書(shū)、ap身份信息、以及時(shí)間戳加密并攜帶在認(rèn)證請(qǐng)求中通過(guò)ap透?jìng)鹘o認(rèn)證中心;
接收認(rèn)證中心發(fā)送的經(jīng)由終端公鑰加密的驗(yàn)證結(jié)果,所述驗(yàn)證結(jié)果為認(rèn)證中心對(duì)所述終端證書(shū)、ap身份信息、以及時(shí)間戳的驗(yàn)證結(jié)果;
使用終端私鑰對(duì)接收的驗(yàn)證結(jié)果進(jìn)行解密獲取驗(yàn)證結(jié)果。
優(yōu)選地,所述身份注冊(cè)單元通過(guò)以下步驟實(shí)現(xiàn)終端的身份注冊(cè):
安裝并運(yùn)行已下載的app應(yīng)用軟件,所述app應(yīng)用軟件中包含算法因子、序列號(hào)、加密算法;
使用自身的終端標(biāo)識(shí)id、所述算法因子、序列號(hào)、加密算法計(jì)算出終端認(rèn)證密鑰;
發(fā)送終端id、所述序列號(hào)給認(rèn)證中心,以使認(rèn)證中心基于收到的終端id、序列號(hào),并利用所述算法因子、加密算法計(jì)算出終端認(rèn)證密鑰,基于所述終端id為終端分配一個(gè)對(duì)應(yīng)的終端身份信息,并記錄所述終端身份信息和所述終端認(rèn)證密鑰之間的對(duì)應(yīng)關(guān)系;
接收認(rèn)證中心發(fā)送的使用所述終端認(rèn)證密鑰加密的隨機(jī)數(shù)和終端身份信息;
使用所述終端認(rèn)證密鑰對(duì)認(rèn)證中心發(fā)送的加密的隨機(jī)數(shù)和終端身份信息解密,并使用所述終端認(rèn)證密鑰對(duì)解密后的隨機(jī)數(shù)進(jìn)行加密,并在密文中攜帶終端身份信息發(fā)送給認(rèn)證中心,以使認(rèn)證中心根據(jù)接收的終端身份信息找到對(duì)應(yīng)的終端認(rèn)證密鑰,使用找到的終端認(rèn)證密鑰對(duì)接收的隨機(jī)數(shù)解密,比較解密后的隨機(jī)數(shù)和之前發(fā)送給所述終端的隨機(jī)數(shù),如果兩者一致,則終端與認(rèn)證中心成功完成雙向認(rèn)證,達(dá)成密鑰同步,完成終端的身份注冊(cè)。
優(yōu)選地,所述ap認(rèn)證單元通過(guò)以下步驟實(shí)現(xiàn)終端和ap之間的雙向認(rèn)證:
向ap發(fā)送接入請(qǐng)求;
接收ap返回的接入響應(yīng),所述接入響應(yīng)中攜帶ap身份信息;
使用終端認(rèn)證密鑰加密終端身份信息,所述ap身份信息、以及時(shí)間戳,并在密文中攜帶所述終端身份信息,一起攜帶在認(rèn)證請(qǐng)求中通過(guò)ap透?jìng)鹘o認(rèn)證中心;
接收認(rèn)證中心發(fā)送的經(jīng)由終端認(rèn)證密鑰加密的驗(yàn)證結(jié)果,所述驗(yàn)證結(jié)果是認(rèn)證中心對(duì)ap身份信息、終端身份信息以及時(shí)間戳有效性驗(yàn)證的結(jié)果,所述ap身份信息、終端身份信息以及時(shí)間戳是認(rèn)證中心基于收到的所述終端身份信息找到對(duì)應(yīng)的終端認(rèn)證密鑰,利用所述終端認(rèn)證密鑰對(duì)認(rèn)證請(qǐng)求中加密的ap身份信息、終端身份信息以及時(shí)間戳進(jìn)行解密得到的,
使用所述終端認(rèn)證密鑰對(duì)接收的驗(yàn)證結(jié)果進(jìn)行解密獲取驗(yàn)證結(jié)果。
至此,完成圖4所示的終端結(jié)構(gòu)描述。
以上所述僅為本發(fā)明的較佳實(shí)施例而已,并不用以限制本發(fā)明,凡在本發(fā)明的精神和原則之內(nèi),所做的任何修改、等同替換、改進(jìn)等,均應(yīng)包含在本發(fā)明保護(hù)的范圍之內(nèi)。