[发明专利]接入认证方法及装置、无线接入点和用户终端

说明书

技术领域

本发明涉及通信技术领域，具体涉及一种接入认证方法及装置、无线接入点和用户终端。

背景技术

随着智能终端的全面普及以及移动互联网业务的迅速发展，WLAN呈现出快速发展的态势，已经成为用户在家庭和机场、火车站、酒店等公共场所的主要宽带接入方式。大范围覆盖的WLAN也在城市中逐步部署，如中国移动在北京已经部署了近万个热点，为城区重点范围内的用户提供便捷的WLAN接入。

目前WLAN应用是基于802.1x系列的WIFI协议，其鉴权过程包含企业版和家庭版，家庭版不需接入鉴权，可直接连入网络；企业版也只是提供了对终端身份的单项认证，加之协议过程都为明文传输，存在DOS攻击、篡改MAC地址、伪装AP等安全隐患。

现有的802.11协议并未规定对无线接入点(AP)合法性的认证过程，不论是个人版还是企业版的无线接入模式，其区别仅在于是否对终端进行合法性认证，这样的机制具有较大的安全隐患，一旦攻击者采用伪装AP，用户终端(STA)无法识别，将面临重要信息被窃取、盗用，甚至造成财产损失的风险。

发明内容

针对现有技术中的缺陷，本发明提供一种能够使得用户终端对无线接入点进行安全性认证的方法。

第一方面，本发明提供了一种接入认证方法，包括：

在用户终端注册过程中，认证服务器接收用户终端发送的利用所述终端私钥签名加密的终端公钥信息后，认证服务器利用终端公钥解 密终端公钥信息，判断所述终端发送的信息是否未被篡改，如果未被篡改，结合所述终端的用户信息，产生终端数字认证证书；并将所产生的终端数字认证证书采用所述认证服务器的私钥进行加密后发送给所述用户终端；其中，所述终端公钥信息对应的终端公钥和所述终端私钥为所述终端采用非对称加密算法引擎生成的公私钥对；

认证服务器在接收到无线接入点发送的注册信息后，将颁发者公钥以及颁发者名称发送给无线接入点；所述注册信息包含所述无线接入点的SSID和MAC地址；在接收到无线接入点发送的无线接入点私钥签名加密的公钥信息后，认证服务器利用无线接入点公钥解密无线接入点公钥信息，判断所述无线接入点发送的信息是否未被篡改，如果未被篡改，结合所述无线接入点的注册信息，产生无线接入点数字认证证书；并将所产生的无线接入点数字认证证书采用所述认证服务器公钥进行加密后发送给所述无线接入点；所述无线接入点公钥和所述无线接入点私钥为所述无线接入点采用非对称加密算法引擎生成的公私钥对；

认证服务器接收无线接入点发送的双向认证请求消息，所述双向认证请求消息中包含终端数字认证证书和无线接入点数字认证证书；获取其中的终端数字认证证书和无线接入点数字认证证书；根据所述终端数字认证证书判断对应的用户终端是否为合法用户终端，并生成用户终端认证结果；根据所述无线接入点数字认证证书判断对应的无线接入点是否为合法无线接入点，并生成无线接入点认证结果；将所述用户终端认证结果和所述无线接入点认证结果发送到对应的用户终端和对应的无线接入点。

进一步的，所述终端公钥信息中包含终端所请求的有效时间；

所述方法还包括：在生成终端数字认证证书时，生成终端数字认证证书对应的有效时间添加到终端数字认证证书中；

所述认证服务器根据所述终端数字认证证书判断对应的用户终端是否为合法用户，包括：

判断当前是否处于所述终端数字认证证书中的有效时间，并在判断为否时，判定对应的用户终端为非法用户终端；

和/或；

所述无线接入点公钥信息中包含无线接入点所请求的有效时间；

所述方法还包括：在生成无线接入点数字认证证书时，生成无线接入点数字认证证书对应的有效时间并添加到无线接入点数字认证证书中；

所述根据所述无线接入点数字认证证书判断对应的无线接入点是否为合法无线接入点，包括：

判断当前是否处于所述无线接入点数字认证证书中的有效时间，并在判断为否时，判定对应的无线接入点为非法无线接入点。

进一步的，所述终端数字认证证书包括用于指示所采用的有效公钥数字的位数的签名算法指示字段以及多位公钥数字；所述多位公钥数字位于对应的数字认证证书的末尾；所述双向认证请求消息中还携带有利用终端私钥进行加密的终端签名；

所述根据所述终端数字认证证书判断对应的用户终端是否为合法用户终端，包括：

根据终端数字认证证书中的签名算法指示字段确定有效公钥数字的位数；

从前向后提取相应位数的公钥数字，并根据提取的公钥数字获得用于信息解密的终端公钥；