CN105578464A - 一种增强的wlan证书鉴别方法、装置及系统 - Google Patents
一种增强的wlan证书鉴别方法、装置及系统 Download PDFInfo
- Publication number
- CN105578464A CN105578464A CN201510466837.XA CN201510466837A CN105578464A CN 105578464 A CN105578464 A CN 105578464A CN 201510466837 A CN201510466837 A CN 201510466837A CN 105578464 A CN105578464 A CN 105578464A
- Authority
- CN
- China
- Prior art keywords
- sta
- certificate
- authentication
- signature information
- access
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W84/00—Network topologies
- H04W84/02—Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
- H04W84/10—Small scale networks; Flat hierarchical networks
- H04W84/12—WLAN [Wireless Local Area Networks]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明实施例公开了一种增强的无线局域网证书鉴别的方法,包括:AP向STA发送鉴别激活消息以触发STA对AP进行身份验证,鉴别激活消息中携带AP证书和第一AP签名信息;AP接收STA对AP进行身份验证之后发送的接入鉴别请求消息,根据STA的公钥和所述接入鉴别请求消息对STA进行身份验证;若AP验证得STA签名信息对应的STA身份与STA证书相匹配并且STA证书有效,则向AS发送证书鉴别请求消息,以触发所述AS进行双向证书鉴别。本技术方案可以在AS进行双向证书鉴别之前,增加STA和AP之间的身份验证功能,从而确保STA和AP身份的唯一性和不可伪造性,提高无线局域网证书鉴别过程的安全性。
Description
技术领域
本发明涉及通信技术领域,尤其涉及一种增强的WLAN证书鉴别的方法、装置及系统。
背景技术
随着科技和社会的发展,无线局域网(WLAN,WirelessLocalAccessNetwork)以其方便、快捷等特性应用日益广泛,成为当今IT产业的亮点之一。但是,与此同时WLAN网络的安全威胁也日渐严重,相对于有线网络,无线网络的通信内容更容易遭受窃听和篡改,安全管理和防护更为复杂和困难。
为了解决WLAN的安全问题,我国于2003年12月1日颁布了具有鉴别保密机制的无线局域网标准GB15629.11,其中包括无线局域网鉴别和保密基础结构(WAPI,WLANAuthenticationandPrivacyInfrastructure)机制。WAPI分为WLAN鉴别基础架构(WAI,WLANAuthenticationInfrastructure)和WLAN保密基础架构(WPI,WLANPrivacyInfrastructure)两个模块,其中,WAI是基于数字签名的公钥密码技术(PKI,PublicKeyInfrastructure)的双向证书鉴别技术。
根据现有的WAI技术,在终端(STA,Station)接入接入点(AP,AccessPoint)过程时缺乏有效的身份验证环节,使网络攻击者可以利用该安全漏洞假冒WLAN设备进行网络攻击。例如,网络攻击者可以假冒AP获取STA的信任得到STA的公钥证书,再利用得到的STA公钥证书假冒STA接入合法AP,再通过鉴别服务器(AS,AuthenticationServer)的证书鉴别而接入网络以达到网络攻击的目的。因此,现有的WLAN证书鉴别技术在STA接入AP过程中容易被网络攻击者击破,安全性较低,存在一定的安全隐患。
发明内容
本发明实施例公开了一种增强的WLAN证书鉴别的方法及装置,能够在AS对STA和AP进行双向证书鉴别之前增加STA和AP之间的相互身份验证功能,从而确保STA和AP身份的唯一性和不可伪造性,提高了无线局域网证书鉴别过程的安全性。
本发明实施例第一方面提供了一种增强的WLAN证书鉴别的方法,用于接入点中,所述方法包括:
AP向STA发送鉴别激活消息以触发所述STA对所述AP进行身份验证,其中,所述鉴别激活消息中携带AP证书和第一AP签名信息;
所述AP接收所述STA对所述AP进行身份验证之后发送的接入鉴别请求消息,根据预先存储的所述STA的公钥和所述接入鉴别请求消息对所述STA进行身份验证,其中,所述接入鉴别请求消息中携带STA证书、接入鉴别请求时间和STA签名信息;
若所述AP验证得所述STA签名信息对应的STA身份与所述STA证书相匹配并且所述STA证书有效,则向AS发送证书鉴别请求消息,以触发AS进行双向证书鉴别并发送证书鉴别响应消息;
所述AP根据接收到的所述AS发送的证书鉴别响应消息中携带的STA证书鉴别结果对所述STA进行接入控制,并向所述STA发送接入鉴别响应消息。
结合第一方面,在第一种可能的实现方式中,所述STA签名信息为STA的私钥对所述STA证书和所述接入鉴别请求时间加密后得到的信息;
所述根据预先存储的所述STA的公钥和所述接入鉴别请求消息对所述STA进行身份验证,包括:
使用所述预先存储的所述STA的公钥对所述接入鉴别请求消息中的STA签名信息进行解密,以得到所述STA签名信息对应的STA身份;
验证所述STA签名信息对应的STA身份与所述STA证书是否匹配,并验证所述STA证书是否有效。
结合第一方面或第一方面的第一种可能的实现方式,在第二种可能的实现方式中,所述证书鉴别请求消息携带所述STA证书、所述接入鉴别请求时间、所述STA签名信息、所述AP证书和第二AP签名信息,其中,所述第二AP签名信息为AP的私钥对所述STA证书、所述接入鉴别请求时间、所述STA签名和所述AP证书加密后得到的信息。
结合第一方面,在第三种可能的实现方式中,所述鉴别激活消息还携带鉴别激活时间。
本发明实施例第二方面提供了一种增强的WLAN证书鉴别的方法,用于终端中,所述方法包括:
STA接收AP发送的鉴别激活消息,所述STA根据预先存储的所述AP的公钥和所述鉴别激活消息对所述AP进行身份验证,其中,所述鉴别激活消息中携带AP证书和第一AP签名信息;
若所述STA验证得所述第一AP签名信息对应的AP身份与所述AP证书相匹配并且所述AP证书有效,则向所述AP发送接入鉴别请求消息以触发所述AP对所述STA进行身份验证,其中,所述接入鉴别请求消息中携带STA证书、接入鉴别请求时间和STA签名信息;
当所述STA接收到所述AP对所述STA进行身份验证后触发AS进行双向证书鉴别之后发送的接入鉴别响应消息,从所述接入鉴别响应消息中获取AP证书鉴别结果,根据所述AP证书鉴别结果决定是否接入所述AP。
结合第二方面,在第一种可能的实现方式中,所述第一AP签名信息为AP的私钥对所述AP证书加密后得到的信息;
所述根据预先存储的所述AP的公钥和所述鉴别激活消息对所述AP进行身份验证,包括:
使用所述预先存储的所述AP的公钥对所述鉴别激活消息中的第一AP签名信息进行解密,以得到所述第一AP签名信息对应的STA身份;
验证所述第一AP签名信息对应的AP身份与所述AP证书是否匹配,并验证所述AP证书是否有效。
结合第二方面,在第二种可能的实现方式中,所述鉴别激活消息还携带鉴别激活时间,所述第一AP签名信息为AP的私钥对所述AP证书和所述鉴别激活时间加密后得到的信息。
本发明实施例第三方面提供了一种WLAN接入点设备,包括:
发送单元,用于向STA发送鉴别激活消息以触发所述STA对所述接入点设备进行身份验证,其中,所述鉴别激活消息中携带AP证书和第一AP签名信息;
接收单元,用于接收所述STA对所述接入点设备进行身份验证后发送的接入鉴别请求消息;
处理单元,用于在所述接收单元接收到所述接入鉴别请求消息后,根据预先存储的所述STA的公钥和所述接入鉴别请求消息对所述STA进行身份验证,其中,所述接入鉴别请求消息中携带STA证书、接入鉴别请求时间和STA签名信息;
所述发送单元还用于,若所述处理单元验证得所述STA签名信息对应的STA身份与所述STA证书相匹配并且所述STA证书有效,则向AS发送证书鉴别请求消息,以触发AS进行双向证书鉴别并发送证书鉴别响应消息;
所述接收单元还用于,接收所述AS发送的证书鉴别响应消息;
所述处理单元还用于,根据所述接收单元接收到的证书鉴别响应消息中携带的STA证书鉴别结果对所述STA进行接入控制;
所述发送单元还用于,向所述STA发送接入鉴别响应消息。
结合第三方面,在第一种可能的实现方式中,所述STA签名信息为STA的私钥对所述STA证书和所述接入鉴别请求时间加密后得到的信息;
所述处理单元具体用于:
使用所述预先存储的所述STA的公钥对所述接入鉴别请求消息中的STA签名信息进行解密,以得到所述STA签名信息对应的STA身份;
验证所述STA签名信息对应的STA身份与所述STA证书是否匹配,并验证所述STA证书是否有效。
结合第三方面或第三方面的第一种可能的实现方式,在第二种可能的实现方式中,所述证书鉴别请求消息携带所述STA证书、所述接入鉴别请求时间、所述STA签名信息、所述AP证书和第二AP签名信息,其中,所述第二AP签名信息为AP的私钥对所述STA证书、所述接入鉴别请求时间、所述STA签名和所述AP证书加密后得到的信息。
结合第三方面,在第三种可能的实现方式中,所述鉴别激活消息还携带鉴别激活时间。
本发明实施例第四方面提供了一种WLAN终端设备,包括:
接收单元,用于接收AP发送的鉴别激活消息;
处理单元,用于所述接收单元接收到所述AP发送的鉴别激活消息后,根据预先存储的所述AP的公钥和所述鉴别激活消息对所述AP进行身份验证,其中,所述鉴别激活消息中携带AP证书和第一AP签名信息;
发送单元,用于在所述处理单元验证得所述AP签名信息对应的AP身份与所述AP证书相匹配并且所述AP证书有效之后,向所述AP发送接入鉴别请求消息以触发所述AP对所述STA进行身份验证,其中,所述接入鉴别请求消息中携带STA证书、接入鉴别请求时间和STA签名信息;
所述接收单元还用于,接收所述AP对所述STA进行身份验证后触发AS进行双向证书鉴别之后发送的接入鉴别响应消息;
所述处理单元还用于,当所述接收单元接收到所述AP发送的接入鉴别响应消息后,从所述接入鉴别响应消息中获取AP证书鉴别结果,根据所述AP证书鉴别结果决定是否接入所述AP。
结合第四方面,在第一种可能的实现方式中,所述第一AP签名信息为AP的私钥对所述AP证书加密后得到的信息;
所述处理单元具体用于:
使用所述预先存储的所述AP的公钥对所述鉴别激活消息中的第一AP签名信息进行解密,以得到所述第一AP签名信息对应的STA身份;
验证所述第一AP签名信息对应的AP身份与所述AP证书是否匹配,并验证所述AP证书是否有效。
结合第四方面,在第二种可能的实现方式中,所述接收单元接收的鉴别激活消息还携带鉴别激活时间,所述第一AP签名信息为AP的私钥对所述AP证书和所述鉴别激活时间加密后得到的信息。
本发明实施例第五方面提供了一种WLAN证书鉴别系统,所述系统包括接入点设备、终端设备和鉴别服务器;
所述接入点设备为本发明实施例第三方面至第三方面的第三种可能的实现方式中的任一种所述的设备;
所述终端设备为本发明实施例第四方面至第四方面的第二种可能的实现方式中的任一种所述的设备;
所述鉴别服务器,用于在接收到所述接入点设备发送的证书鉴别请求消息后,根据所述证书鉴别请求消息对所述终端设备和所述接入点设备进行双向证书鉴别,并根据鉴别结果向所述接入点设备发送证书鉴别响应消息。
在本发明实施例的技术方案中,AP向STA发送携带AP证书和第一AP签名的鉴别激活消息;当STA接收到AP发送的鉴别激活消息后,STA根据预先存储的AP的公钥和鉴别激活消息对AP进行身份验证,若STA验证得AP签名信息对应的AP身份与AP证书相匹配并且AP证书有效,则向AP发送接入鉴别请求消息以触发AP对STA进行身份验证,其中,接入鉴别请求消息中携带STA证书、接入鉴别请求时间和STA签名信息;当AP接收到STA发送的接入鉴别请求消息后,根据预先存储的STA的公钥和接入鉴别请求消息对STA进行身份验证,若AP验证得STA签名信息对应的STA身份与STA证书相匹配并且STA证书有效,则向AS发送证书鉴别请求消息,以触发AS进行双向证书鉴别并发送证书鉴别响应消息。可见,本发明实施例提出的技术方案可以在AS对STA和AP进行双向证书鉴别之前,即在STA接入AP的过程中,增加STA和AP之间的相互身份验证功能,从而确保STA和AP身份的唯一性和不可伪造性,提高了无线局域网证书鉴别过程的安全性。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明实施例提供的现有技术中的WLAN证书鉴别方法的流程示意图;
图2是本发明实施例一提供的一种增强的WLAN证书鉴别方法的流程示意图;
图3是本发明实施例二提供的一种增强的WLAN证书鉴别方法的流程示意图;
图4是本发明实施例三提供的一种接入点设备的结构示意图;
图5是本发明实施例四提供的另一种接入点设备的结构示意图;
图6是本发明实施例五提供的一种终端设备的结构示意图;
图7是本发明实施例六提供的另一种终端设备的结构示意图;
图8是本发明实施例七提供的一种WLAN证书鉴别系统的结构示意图。
具体实施方式
WAI采用的公钥密码技术,是比WiFi更高级的加密方式,在证书鉴别过程中,鉴别服务器(AS)为终端(STA)和接入点(AP)颁发公钥数字证书和提供公钥合法性的证明。
AS负责管理所有参与网上信息交换的各方所需的数字证书(包括产生、颁发、吊销、更新等),是实现电子信息安全交换的核心。STA和AP上都安装有AS颁发的公钥证书,作为自己的数字身份凭证,当STA登陆AP时,访问网络之前AS必须进行STA和AP的双向证书鉴别,在AS鉴别STA和AP同时具有合法证书的情况下STA才能接入AP访问网络。这种方式能够保证持有合法证书的STA接入持有合法证书的AP,防止了非法STA接入AP占用网络资源,也防止了合法STA接入非法AP导致STA信息泄露。公钥证书是WAI中最为重要的环节。凭借证书和私钥可以惟一地确定网络设备的身份,公钥证书是网络设备在网络环境中的数字身份凭证,凭借密码技术和安全协议相结合可以确保设备身份的唯一性、不可伪造性及其他性能。
目前WAI技术的证书鉴别过程可参见图1,其中,如图1所示,WAI技术的证书鉴别过程包括如下步骤:1、当STA关联至AP时,由AP向STA发送鉴别激活以启动整个鉴别过程。2、STA收到鉴别激活消息后,向AP发送接入鉴别请求消息,其中包括STA证书和STA的当前系统时间。3、AP收到接入鉴别请求消息后,首先将消息中的系统时间记录为接入鉴别请求时间,然后向AS发送由STA证书、接入鉴别请求时间、AP证书及AP的私钥对它们的签名构成的证书鉴别请求消息;AS收到AP发送的证书鉴别请求消息后,对证书鉴别请求消息进行AP签名验证,若验证失败,则鉴别过程失败,否则进一步验证AP证书和STA证书的有效性。4、AS对AP和STA的证书鉴别完成后,将STA证书鉴别结果信息(包括STA证书和STA鉴别结果)、AP证书鉴别结果信息(包括AP证书、AP鉴别结果和接入鉴别请求时间)和AS的私钥对它们的签名构成的证书鉴别响应消息发送给AP;AP对AS发送的证书鉴别响应消息进行AS签名验证,得到STA证书的鉴别结果,根据此结果对STA进行接入控制。5、AP将收到的证书鉴别响应消息回送至STA,STA验证AS的签名后,从中得到AP证书的鉴别结果,根据该鉴别结果决定是否接入该AP。至此STA与AP之间完成了证书双向鉴别过程,若STA证书鉴别成功,则AP允许STA接入,否则解除其关联,若AP证书鉴别成功,则STA决定接入AP,否则不接入该AP。
本领域的研究人员发现,在STA接入AP过程中缺乏相互之间的身份验证过程,由于鉴别激活消息中不包含任何身份鉴别信息,使网络攻击者可以很容易假冒AP身份向STA发送鉴别激活消息,STA收到鉴别激活消息后向假冒AP发送携带STA证书的接入鉴别请求消息,以使假冒AP得到STA的证书,而后利用得到的STA证书假冒STA身份接入合法的AP,再通过AS的证书鉴别后接入网络,达到网络攻击的目的。
本发明实施例提供了一种增强的无线局域网证书鉴别的方法、装置及系统,其方法可实施于无线局域网的STA和AP中,可以在STA接入AP过程中确保STA和AP身份的唯一性和不可伪造性,提高无线局域网证书鉴别过程的安全性。
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
以下分别对每个实施例进行说明。
本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”、“第三”和“第四”等是用于区别不同对象,而不是用于描述特定顺序。此外,术语“包括”和“具有”以及它们任何变形,意图在于覆盖不排他的包含。例如包含了一系列步骤或单元的过程、方法、系统、产品或设备没有限定于已列出的步骤或单元,而是可选地还包括没有列出的步骤或单元,或可选地还包括对于这些过程、方法、产品或设备固有的其它步骤或单元。
首先参见图2,图2为本发明实施例一提供的一种增强的WLAN证书鉴别的方法的流程示意图。其中,如图2所示,本发明实施例一提供的一种增强的WLAN证书鉴别的方法,可用于AP中,可以包括以下步骤:
S101、AP向STA发送鉴别激活消息以触发STA对AP进行身份验证,其中,鉴别激活消息中携带AP证书和第一AP签名信息。
当STA关联至AP时,由AP向STA发送鉴别激活消息以启动证书鉴别过程,在本发明实施例提出的方案中,鉴别激活消息还用于触发STA对AP进行身份验证,鉴别激活消息中携带AP的身份标识信息,即携带AP证书和第一AP签名信息。其中,AP证书是AS颁发的,可以用于证明AP的实体身份,第一AP签名信息为AP使用私钥对AP证书进行签名算法加密后得到的信息,用于保证AP实体身份不被篡改,具有不可伪造性。
当STA接收到AP发送的鉴别激活消息后,根据预先存储的AP的公钥和鉴别激活消息对AP进行身份验证。具体来说,STA首先使用预先存储的AP的公钥对鉴别激活消息中的第一AP签名信息进行签名算法解密,解密后得到的信息为第一AP签名信息对应的STA身份,STA验证该第一AP签名信息对应的AP身份与鉴别激活消息中的AP证书是否匹配。若验证得第一AP签名信息对应的AP身份与AP证书相匹配,则第一AP签名验证通过,可确认AP声明的身份跟AP的真实身份一致,再验证AP证书的有效性,若AP证书为有效证书,则AP证书验证通过,可以证实AP是合法用户。当第一AP签名与AP证书都通过验证后,说明该AP的身份得到充分验证,STA向AP发送接入鉴别请求消息,若AP签名或AP证书未通过验证,说明该AP为非法接入点,中止证书鉴别过程。
在一些可行的实施方式中,AP向STA发送的鉴别激活消息里还可包括鉴别激活时间,用于指示AP发送鉴别激活消息的时间以使STA区分不同的鉴别过程。
S102、AP接收STA对AP进行身份验证之后发送的接入鉴别请求消息,根据预先存储的STA的公钥和接入鉴别请求消息对STA进行身份验证,其中,接入鉴别请求消息中携带STA证书、接入鉴别请求时间和STA签名信息。
在本发明实施例提出的方案中,若STA对AP进行身份验证成功,STA向AP发送接入鉴别请求消息,当AP收到该接入鉴别请求消息,AP根据预先存储的STA的公钥和接入鉴别请求消息对STA进行身份验证,接入鉴别请求消息中携带STA证书、接入鉴别请求时间和STA签名信息。其中,STA证书是AS颁发的,可以用于证明STA的实体身份,STA签名信息为STA使用私钥对STA证书和接入鉴别请求时间进行签名算法加密后得到的信息,用于保证STA实体身份不被篡改,具有不可伪造性。
具体来说,当AP对STA进行身份验证时,首先使用预先存储的STA的公钥对接入鉴别请求消息中的STA签名信息进行签名算法解密,从解密后的信息中得到STA签名信息对应的STA身份,验证STA签名信息对应的STA身份与STA证书是否匹配。若验证得STA签名信息对应的STA身份与STA证书相匹配,则STA签名验证通过,可确认STA声明的身份跟STA的真实身份一致,再验证STA证书是否为有效证书,若STA证书为有效证书,则STA证书验证通过,可以证实STA是合法用户。若STA签名验证不通过或者STA证书验证不通过,说明该STA为非法用户,中止证书鉴别过程。
S103、若AP验证得STA签名信息对应的STA身份与STA证书相匹配并且STA证书有效,则向AS发送证书鉴别请求消息,以触发AS进行双向证书鉴别并发送证书鉴别响应消息。
若STA签名验证通过并且STA证书验证通过,即AP验证得STA签名信息对应的STA身份与STA证书相匹配并且STA证书有效,说明该STA的身份得到充分验证。STA的身份通过验证后,AP先记录接入鉴别请求消息中携带的接入鉴别请求时间和STA证书,再向AS发送证书鉴别请求消息,以触发AS进行双向证书鉴别并发送证书鉴别响应消息。其中,证书鉴别请求消息携带STA证书、接入鉴别请求时间、AP证书和第二AP签名信息。第二AP签名信息为AP的私钥对STA证书、接入鉴别请求时间和AP证书进行签名算法加密后得到的信息,关于AS双向证书鉴别的具体实施可参考现有技术。
在一些可行的实施方式中,AP向AS发送的证书鉴别请求消息中还可携带STA签名信息,该STA签名信息是AP从STA发送的接入鉴别请求消息中获取的,即证书鉴别请求消息中携带STA证书、接入鉴别请求时间、STA签名信息、AP证书和第二AP签名信息。第二AP签名信息为AP的私钥对STA证书、接入鉴别请求时间、STA签名和AP证书进行签名算法加密后得到的信息。AS收到AP发送的证书鉴别请求消息后,使用预先存储的AP的公钥对证书鉴别请求消息中第二AP签名信息进行签名算法解密,从解密后的信息中获取第二AP签名信息对应的AP身份。若第二AP签名信息对应的AP身份与AP证书相匹配,则第二AP签名验证通过,再使用预先存储的STA的公钥对证书鉴别请求消息中的STA签名信息进行签名算法解密,从解密后的信息中获取STA签名信息对应的STA身份,若STA签名信息对应的STA身份与STA证书相匹配,则STA签名验证通过。AS再验证AP证书和STA证书是否为有效证书。其中,签名验证可以证实AP和STA的声明身份是否与真实身份一致,证书验证可以证实AP和STA是否是合法用户。若第二AP签名通过验证并且AP证书通过验证,则AS判断AP证书鉴别成功,否则AP证书鉴别失败;若STA签名通过验证并且STA证书通过验证,则AS判断STA证书鉴别成功,否则STA证书鉴别失败。AS根据双向证书鉴别结果生成证书鉴别响应消息发送给AP。
S104、AP根据接收到的AS发送的证书鉴别响应消息中携带的STA证书鉴别结果对STA进行接入控制,并向STA发送接入鉴别响应消息。
AS向AP发送的证书鉴别响应消息中携带STA证书鉴别结果(包括STA证书和STA鉴别结果)、AP证书鉴别结果信息(包括AP证书、AP鉴别结果和接入鉴别请求时间)和AS的私钥对以上信息进行签名算法加密后得到的AS签名信息,当AP接收到AS发送的证书鉴别响应消息后,使用预先存储的AS的公钥对AS进行签名验证并进行接入鉴别请求时间验证。若未通过AS签名验证或接入鉴别请求时间验证,则证书鉴别过程失败,否则从证书鉴别响应消息中获取STA证书鉴别结果,AP根据此结果对STA进行接入控制,并向STA发送接入鉴别响应消息。
在本发明实施例的技术方案中,当STA关联至AP时,AP向STA发送携带AP证书和第一AP签名的鉴别激活消息;当STA接收到AP发送的鉴别激活消息后,STA根据预先存储的AP的公钥和鉴别激活消息对AP进行身份验证,若STA验证得AP签名信息对应的AP身份与AP证书相匹配并且AP证书有效,则向AP发送接入鉴别请求消息以触发AP对STA进行身份验证,其中,接入鉴别请求消息中携带STA证书、接入鉴别请求时间和STA签名信息;当AP接收到STA发送的接入鉴别请求消息后,根据预先存储的STA的公钥和接入鉴别请求消息对STA进行身份验证,若AP验证得STA签名信息对应的STA身份与STA证书相匹配并且STA证书有效,则向AS发送证书鉴别请求消息,以触发AS进行双向证书鉴别并发送证书鉴别响应消息。可见,本发明实施例提出的技术方案可以在AS对STA和AP进行双向证书鉴别之前,即STA接入AP的过程中,增加STA和AP之间的相互身份验证功能,从而确保STA和AP身份的唯一性和不可伪造性,提高了无线局域网证书鉴别过程的安全性。
本发明实施例二提供了一种增强的WLAN证书鉴别方法,参见图3,图3为本发明实施例二提供的一种增强的WLAN证书鉴别方法的流程示意图,如图3所示,本发明实施例二提供的方法可包括以下步骤:
S201、STA接收AP发送的鉴别激活消息,STA根据预先存储的AP的公钥和鉴别激活消息对AP进行身份验证,其中,鉴别激活消息中携带AP证书和第一AP签名信息。
当STA关联至AP时,由AP向STA发送鉴别激活消息以启动证书鉴别过程,在本发明实施例提出的方案中,鉴别激活消息还用于触发STA对AP进行身份验证,STA接收AP发送的鉴别激活消息,STA根据预先存储的AP的公钥和鉴别激活消息对AP进行身份验证。
鉴别激活消息中携带AP的身份标识信息,即携带AP证书和第一AP签名信息。其中,AP证书是AS颁发的,可以用于证明AP的实体身份,第一AP签名信息为AP使用私钥对AP证书进行签名算法加密后得到的信息,用于保证AP实体身份不被篡改,具有不可伪造性。
具体来说,STA首先使用预先存储的AP的公钥对鉴别激活消息中的第一AP签名信息进行签名算法解密,解密后得到的信息为第一AP签名信息对应的STA身份,STA验证该第一AP签名信息对应的AP身份与鉴别激活消息中的AP证书是否匹配。若验证得第一AP签名信息对应的AP身份与AP证书相匹配,则第一AP签名验证通过,可确认AP声明的身份跟AP的真实身份一致,再验证AP证书的有效性,若AP证书为有效证书,则AP证书验证通过,可以证实AP是合法用户。若AP签名或AP证书未通过验证,说明该AP为非法接入点,中止证书鉴别过程。
在一些可行的实施方式中,AP向STA发送的鉴别激活消息里还可包括鉴别激活时间,用于指示AP发送鉴别激活消息的时间以使STA区分不同的鉴别过程。
S202、若STA验证得AP签名信息对应的AP身份与AP证书相匹配并且AP证书有效,则向AP发送接入鉴别请求消息以触发AP对STA进行身份验证,其中,接入鉴别请求消息中携带STA证书、接入鉴别请求时间和STA签名信息。
在本发明实施例提出的方案中,第一AP签名与AP证书都通过验证后,即验证得AP签名信息对应的AP身份与AP证书相匹配并且AP证书有效,说明该AP的身份得到充分验证,STA向AP发送接入鉴别请求消息。接入鉴别请求消息中携带STA证书、接入鉴别请求时间和STA签名信息。其中,STA证书是AS颁发的,可以用于证明STA的实体身份,STA签名信息为STA使用私钥对STA证书和接入鉴别请求时间进行签名算法加密后得到的信息,用于保证STA实体身份不被篡改,具有不可伪造性。当AP收到该接入鉴别请求消息,AP根据预先存储的STA的公钥和接入鉴别请求消息对STA进行身份验证,关于AP对STA进行身份验证的具体实施可参考本发明实施例一的步骤S102,此处不再赘述。
S203、当STA接收到AP对STA进行身份验证后触发AS进行双向证书鉴别之后发送的接入鉴别响应消息,从接入鉴别响应消息中获取AP证书鉴别结果,根据AP证书鉴别结果决定是否接入AP。
若AP对STA的身份验证通过,AP记录接入鉴别请求消息中的接入鉴别请求时间和STA证书后向AS发送证书鉴别请求消息以触发AS进行双向证书鉴别并发送证书鉴别响应消息。其中,证书鉴别请求消息携带STA证书、接入鉴别请求时间、AP证书和第二AP签名信息。第二AP签名信息为AP的私钥对STA证书、接入鉴别请求时间和AP证书进行签名算法加密后得到的信息,关于AS双向证书鉴别的具体实施可参考现有技术。
在一些可行的实施方式中,AP向AS发送的证书鉴别请求消息中还可携带STA签名信息,该STA签名信息是AP从STA发送的接入鉴别请求消息中获取的,即证书鉴别请求消息中携带STA证书、接入鉴别请求时间、STA签名信息、AP证书和第二AP签名信息。第二AP签名信息为AP的私钥对STA证书、接入鉴别请求时间、STA签名和AP证书进行签名算法加密后得到的信息。关于AS根据该证书鉴别请求消息进行双向证书鉴别的具体实施可参考本发明实施例一的步骤S103,此处不再赘述。
AS向AP发送的证书鉴别响应消息中携带STA证书鉴别结果(包括STA证书和STA鉴别结果)、AP证书鉴别结果信息(包括AP证书、AP鉴别结果和接入鉴别请求时间)和AS的私钥对以上信息进行签名算法加密后得到的签名信息,当AP接收到AS发送的证书鉴别响应消息后,从证书鉴别响应消息中获取STA证书鉴别结果,AP根据此结果对STA进行接入控制,并向STA发送接入鉴别响应消息。
接入鉴别响应消息中携带STA证书鉴别结果(包括STA证书和STA鉴别结果)、AP证书鉴别结果信息(包括AP证书、AP鉴别结果和接入鉴别请求时间)和AP的私钥对以上信息进行签名算法加密后得到的第三AP签名信息。当STA接收到AP发送的接入鉴别响应消息后,使用预先存储的AP的公钥对AP进行签名验证并进行接入鉴别请求时间验证,若未通过AP签名验证或接入鉴别时间验证,则中止证书鉴别过程,否则从接入鉴别响应消息中获取AP证书鉴别结果,STA根据AP证书鉴别结果决定是否接入AP。
在本发明实施例的技术方案中,当STA关联至AP时,AP向STA发送携带AP证书和第一AP签名的鉴别激活消息;当STA接收到AP发送的鉴别激活消息后,STA根据预先存储的AP的公钥和鉴别激活消息对AP进行身份验证,若STA验证得AP签名信息对应的AP身份与AP证书相匹配并且AP证书有效,则向AP发送接入鉴别请求消息以触发AP对STA进行身份验证,其中,接入鉴别请求消息中携带STA证书、接入鉴别请求时间和STA签名信息;当AP接收到STA发送的接入鉴别请求消息后,根据预先存储的STA的公钥和接入鉴别请求消息对STA进行身份验证,若AP验证得STA签名信息对应的STA身份与STA证书相匹配并且STA证书有效,则向AS发送证书鉴别请求消息,以触发AS进行双向证书鉴别并发送证书鉴别响应消息。可见,本发明实施例提出的技术方案可以在AS对STA和AP进行双向证书鉴别之前,即在STA接入AP的过程中,增加STA和AP之间的相互身份验证功能,从而确保STA和AP身份的唯一性和不可伪造性,提高了无线局域网证书鉴别过程的安全性。
本发明实施例三提供了一种接入点设备,用于实现本发明提出的一种增强的WLAN证书鉴别方法。参见图4,所述接入点设备a00可包括发送单元a10、接收单元a20和处理单元a30。
发送单元a10,用于向STA发送鉴别激活消息以触发STA对接入点设备进行身份验证,其中,鉴别激活消息中携带AP证书和第一AP签名信息;
接收单元a20,用于接收STA对接入点设备进行身份验证后发送的接入鉴别请求消息;
处理单元a30,用于在接收单元a20接收到接入鉴别请求消息后,根据预先存储的STA的公钥和接入鉴别请求消息对STA进行身份验证,其中,接入鉴别请求消息中携带STA证书、接入鉴别请求时间和STA签名信息;
发送单元a10还用于,若处理单元a30验证得STA签名信息对应的STA身份与STA证书相匹配并且STA证书有效,则向AS发送证书鉴别请求消息,以触发AS进行双向证书鉴别并发送证书鉴别响应消息;
接收单元a20还用于,接收AS发送的证书鉴别响应消息;
处理单元a30还用于,根据接收单元a20接收到的证书鉴别响应消息中携带的STA证书鉴别结果对STA进行接入控制;
发送单元a10还用于向STA发送接入鉴别响应消息。
其中,接入鉴别请求消息中的STA签名信息为STA的私钥对STA证书和接入鉴别请求时间加密后得到的信息。处理单元a30使用预先存储的STA的公钥对接入鉴别请求消息中的STA签名信息进行解密,以得到STA签名信息对应的STA身份;验证STA签名信息对应的STA身份与STA证书是否匹配,并验证STA证书是否有效。
其中,证书鉴别请求消息携带STA证书、接入鉴别请求时间、STA签名信息、AP证书和第二AP签名信息,第二AP签名信息为AP的私钥对STA证书、接入鉴别请求时间、STA签名和AP证书加密后得到的信息。
可见,本发明实施例提出的技术方案可以在AS对STA和接入点设备进行双向证书鉴别之前,即在STA接入接入点设备的过程中,增加STA和接入点设备之间的相互身份验证功能,从而确保STA和接入点设备身份的唯一性和不可伪造性,提高了无线局域网证书鉴别过程的安全性。
本发明实施例四提供了另一种接入点设备,用于实现本发明提出的一种增强的WLAN证书鉴别的方法。参见图5,该设备b00包括处理器b10、存储器b20、总线系统b30、接收器b40和发送器b50。其中,处理器b10、存储器b20、接收器b40和发送器b50通过总线系统b30相连,该存储器b20用于存储指令,该处理器b10用于执行该存储器b20存储的指令,以控制接收器b40接收信号,并控制发送器b50发送信号,完成上述增强的WLAN证书鉴别方法中的步骤。其中,接收器b40和发送器b50可以为相同或者不同的物理实体。为相同的物理实体时,可以统称为收发器。
该设备b00完成的方法步骤至少可以包括:
向STA发送鉴别激活消息以触发STA对接入点进行身份验证,其中,鉴别激活消息中携带AP证书和第一AP签名信息;
接收STA对接入点进行身份验证之后发送的接入鉴别请求消息,根据预先存储的STA的公钥和接入鉴别请求消息对STA进行身份验证,其中,接入鉴别请求消息中携带STA证书、接入鉴别请求时间和STA签名信息;
若验证得STA签名信息对应的STA身份与STA证书相匹配并且STA证书有效,则向AS发送证书鉴别请求消息,以触发AS进行双向证书鉴别并发送证书鉴别响应消息;
根据接收到的AS发送的证书鉴别响应消息中携带的STA证书鉴别结果对STA进行接入控制,并向STA发送接入鉴别响应消息。
接入点设备所涉及的与本发明实施例提供的技术方案相关的概念,解释和详细说明及其他步骤请参见前述方法或实施例中关于这些内容的描述,此处不做赘述。
本发明实施例五提供了一种终端设备,用于实现本发明提出的一种增强的WLAN证书鉴别方法。参见图6,所述终端设备c00可包括接收单元c10、处理单元c20和发送单元c30。
接收单元c10,用于接收AP发送的鉴别激活消息;
处理单元c20,用于接收单元c10接收到AP发送的鉴别激活消息后,根据预先存储的AP的公钥和鉴别激活消息对AP进行身份验证,其中,鉴别激活消息中携带AP证书和第一AP签名信息;
发送单元c30,用于在处理单元c20验证得AP签名信息对应的AP身份与AP证书相匹配并且AP证书有效之后,向AP发送接入鉴别请求消息以触发AP对STA进行身份验证,其中,接入鉴别请求消息中携带STA证书、接入鉴别请求时间和STA签名信息;
接收单元c10还用于,接收AP对STA进行身份验证后触发AS进行双向证书鉴别之后发送的接入鉴别响应消息;
处理单元c20还用于,当接收单元c10接收到AP发送的接入鉴别响应消息后,从接入鉴别响应消息中获取AP证书鉴别结果,根据AP证书鉴别结果决定是否接入AP。
其中,第一AP签名信息为AP的私钥对AP证书加密后得到的信息;处理单元c20使用预先存储的AP的公钥对鉴别激活消息中的第一AP签名信息进行解密,以得到第一AP签名信息对应的STA身份,验证第一AP签名信息对应的AP身份与AP证书是否匹配,并验证AP证书是否有效。
其中,接收单元c10接收的鉴别激活消息还携带鉴别激活时间,第一AP签名信息为AP的私钥对AP证书和鉴别激活时间加密后得到的信息。
可见,本发明实施例提出的技术方案可以在AS对终端设备和AP进行双向证书鉴别之前,即在终端设备接入AP的过程中,增加终端设备和AP之间的相互身份验证功能,从而确保终端设备和AP身份的唯一性和不可伪造性,提高了无线局域网证书鉴别过程的安全性。
本发明实施例六提供了另一种终端设备,用于实现本发明提出的一种增强的WLAN证书鉴别的方法。参见图7,该设备d00包括处理器d10、存储器d20、总线系统d30、接收器d40和发送器d50。其中,处理器d10、存储器d20、接收器d40和发送器d50通过总线系统d30相连,该存储器d20用于存储指令,该处理器d10用于执行该存储器d20存储的指令,以控制接收器d40接收信号,并控制发送器d50发送信号,完成上述增强的WLAN证书鉴别方法中的步骤。其中,接收器d40和发送器d50可以为相同或者不同的物理实体。为相同的物理实体时,可以统称为收发器。
该设备d00完成的方法步骤至少可以包括:
接收AP发送的鉴别激活消息,根据预先存储的AP的公钥和鉴别激活消息对AP进行身份验证,其中,鉴别激活消息中携带AP证书和第一AP签名信息;
若验证得第一AP签名信息对应的AP身份与AP证书相匹配并且AP证书有效,则向AP发送接入鉴别请求消息以触发AP对STA进行身份验证,其中,接入鉴别请求消息中携带STA证书、接入鉴别请求时间和STA签名信息;
当接收到AP对STA进行身份验证后触发AS进行双向证书鉴别之后发送的接入鉴别响应消息,从接入鉴别响应消息中获取AP证书鉴别结果,根据AP证书鉴别结果决定是否接入AP。
终端设备所涉及的与本发明实施例提供的技术方案相关的概念,解释和详细说明及其他步骤请参见前述方法或实施例中关于这些内容的描述,此处不做赘述。
本发明实施例七提供一种WLAN证书鉴别的系统,参见图8,图8为本发明实施例七提供的一种WLAN证书鉴别系统的结构示意图,如图8所示,该系统中包括:接入点设备710、终端设备720和鉴别服务器730。
接入点设备710为以上发明实施例提供的用于实现本发明一种增强的WLAN证书鉴别方法的接入点设备;
终端设备720为以上发明实施例提供的用于实现本发明一种增强的WLAN证书鉴别方法的终端设备;
鉴别服务器730,用于在接收到接入点设备710发送的证书鉴别请求消息后,根据证书鉴别请求消息对终端设备720和接入点设备710进行双向证书鉴别,并根据鉴别结果向接入点设备710发送证书鉴别响应消息。
其中,证书鉴别请求消息可携带STA证书、接入鉴别请求时间、STA签名信息、AP证书和第二AP签名信息,第二AP签名信息为AP的私钥对STA证书、接入鉴别请求时间、STA签名和AP证书加密后得到的信息。鉴别服务器730收到接入点设备710发送的证书鉴别请求消息后,使用预先存储的AP的公钥对证书鉴别请求消息中第二AP签名信息进行签名算法解密,从解密后的信息中获取第二AP签名信息对应的AP身份。若第二AP签名信息对应的AP身份与AP证书相匹配,则第二AP签名验证通过,再使用预先存储的STA的公钥对证书鉴别请求消息中的STA签名信息进行签名算法解密,从解密后的信息中获取STA签名信息对应的STA身份,若STA签名信息对应的STA身份与STA证书相匹配,则STA签名验证通过。鉴别服务器730再验证AP证书和STA证书是否为有效证书。其中,签名验证可以证实AP和STA的声明身份是否与真实身份一致,证书验证可以证实AP和STA是否是合法用户。若第二AP签名通过验证并且AP证书通过验证,则鉴别服务器730判断AP证书鉴别成功,否则AP证书鉴别失败;若STA签名通过验证并且STA证书通过验证,则鉴别服务器730判断STA证书鉴别成功,否则STA证书鉴别失败。鉴别服务器730根据上述双向证书鉴别结果生成证书鉴别响应消息发送给接入点设备710。
本领域普通技术人员将会理解,本发明的各个方面、或各个方面的可能实现方式可以被具体实施为系统、方法或者计算机程序产品。此外,本发明的各方面、或各个方面的可能实现方式可以采用计算机程序产品的形式,计算机程序产品是指存储在计算机可读介质中的计算机可读程序代码。
计算机可读介质可以是计算机可读数据介质或者计算机可读存储介质。计算机可读存储介质包含但不限于电子、磁性、光学、电磁、红外或半导体系统、设备或者装置,或者前述的任意适当组合,如随机存取存储器(RAM)、只读存储器(ROM)、可擦除可编程只读存储器(EPROM或者快闪存储器)、光纤、便携式只读存储器(CD-ROM)。
计算机中的处理器读取存储在计算机可读介质中的计算机可读程序代码,使得处理器能够执行在流程图中每个步骤、或各步骤的组合中规定的功能动作;生成实施在框图的每一块、或各块的组合中规定的功能动作的装置。
计算机可读程序代码可以完全在用户的计算机上执行、部分在用户的计算机上执行、作为单独的软件包、部分在用户的本地计算机上并且部分在远程计算机上,或者完全在远程计算机或者服务器上执行。也应该注意,在某些替代实施方案中,在流程图中各步骤、或框图中各块所注明的功能可能不按图中注明的顺序发生。例如,依赖于所涉及的功能,接连示出的两个步骤、或两个块实际上可能被大致同时执行,或者这些块有时候可能被以相反顺序执行。
在本申请所提供的几个实施例中,应该理解到,所揭露的装置,可通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,所述功能单元的划分,仅仅为一种逻辑功能划分,具体实现时可能有其他的划分方式,例如多个单元可以结合到同一个子系统或模块中实现,或将一个单元拆分成几个单元实现,或一些实现特征可以忽略或不执行。
以上对本发明实施例公开的一种增强的WLAN证书鉴别的方法及设备进行了详细介绍,本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本发明的限制。
Claims (15)
1.一种增强的无线局域网证书鉴别的方法,用于接入点中,其特征在于,所述方法包括:
接入点AP向终端STA发送鉴别激活消息以触发所述STA对所述AP进行身份验证,其中,所述鉴别激活消息中携带AP证书和第一AP签名信息;
所述AP接收所述STA对所述AP进行身份验证之后发送的接入鉴别请求消息,根据预先存储的所述STA的公钥和所述接入鉴别请求消息对所述STA进行身份验证,其中,所述接入鉴别请求消息中携带STA证书、接入鉴别请求时间和STA签名信息;
若所述AP验证得所述STA签名信息对应的STA身份与所述STA证书相匹配并且所述STA证书有效,则向鉴别服务器AS发送证书鉴别请求消息,以触发所述AS进行双向证书鉴别并发送证书鉴别响应消息;
所述AP根据接收到的所述AS发送的证书鉴别响应消息中携带的STA证书鉴别结果对所述STA进行接入控制,并向所述STA发送接入鉴别响应消息。
2.根据权利要求1所述的方法,其特征在于,所述STA签名信息为STA的私钥对所述STA证书和所述接入鉴别请求时间加密后得到的信息;
所述根据预先存储的所述STA的公钥和所述接入鉴别请求消息对所述STA进行身份验证,包括:
使用所述预先存储的所述STA的公钥对所述接入鉴别请求消息中的STA签名信息进行解密,以得到所述STA签名信息对应的STA身份;
验证所述STA签名信息对应的STA身份与所述STA证书是否匹配,并验证所述STA证书是否有效。
3.根据权利要求1或2所述的方法,其特征在于,所述证书鉴别请求消息携带所述STA证书、所述接入鉴别请求时间、所述STA签名信息、所述AP证书和第二AP签名信息,其中,所述第二AP签名信息为AP的私钥对所述STA证书、所述接入鉴别请求时间、所述STA签名和所述AP证书加密后得到的信息。
4.根据权利要求1所述的方法,其特征在于,所述鉴别激活消息还携带鉴别激活时间。
5.一种增强的无线局域网证书鉴别的方法,用于终端中,其特征在于,所述方法包括:
终端STA接收接入点AP发送的鉴别激活消息,所述STA根据预先存储的所述AP的公钥和所述鉴别激活消息对所述AP进行身份验证,其中,所述鉴别激活消息中携带AP证书和第一AP签名信息;
若所述STA验证得所述第一AP签名信息对应的AP身份与所述AP证书相匹配并且所述AP证书有效,则向所述AP发送接入鉴别请求消息以触发所述AP对所述STA进行身份验证,其中,所述接入鉴别请求消息中携带STA证书、接入鉴别请求时间和STA签名信息;
当所述STA接收到所述AP对所述STA进行身份验证后触发鉴别服务器AS进行双向证书鉴别之后发送的接入鉴别响应消息,从所述接入鉴别响应消息中获取AP证书鉴别结果,根据所述AP证书鉴别结果决定是否接入所述AP。
6.根据权利要求5所述的方法,其特征在于,所述第一AP签名信息为AP的私钥对所述AP证书加密后得到的信息;
所述根据预先存储的所述AP的公钥和所述鉴别激活消息对所述AP进行身份验证,包括:
使用所述预先存储的所述AP的公钥对所述鉴别激活消息中的第一AP签名信息进行解密,以得到所述第一AP签名信息对应的STA身份;
验证所述第一AP签名信息对应的AP身份与所述AP证书是否匹配,并验证所述AP证书是否有效。
7.根据权利要求5所述的方法,其特征在于,所述鉴别激活消息还携带鉴别激活时间,所述第一AP签名信息为AP的私钥对所述AP证书和所述鉴别激活时间加密后得到的信息。
8.一种无线局域网接入点设备,其特征在于,包括:
发送单元,用于向终端STA发送鉴别激活消息以触发所述STA对所述接入点设备进行身份验证,其中,所述鉴别激活消息中携带AP证书和第一AP签名信息;
接收单元,用于接收所述STA对所述接入点设备进行身份验证后发送的接入鉴别请求消息;
处理单元,用于在所述接收单元接收到所述接入鉴别请求消息后,根据预先存储的所述STA的公钥和所述接入鉴别请求消息对所述STA进行身份验证,其中,所述接入鉴别请求消息中携带STA证书、接入鉴别请求时间和STA签名信息;
所述发送单元还用于,若所述处理单元验证得所述STA签名信息对应的STA身份与所述STA证书相匹配并且所述STA证书有效,则向鉴别服务器AS发送证书鉴别请求消息,以触发所述AS进行双向证书鉴别并发送证书鉴别响应消息;
所述接收单元还用于,接收所述AS发送的证书鉴别响应消息;
所述处理单元还用于,根据所述接收单元接收到的证书鉴别响应消息中携带的STA证书鉴别结果对所述STA进行接入控制;
所述发送单元还用于,向所述STA发送接入鉴别响应消息。
9.根据权利要求8所述的设备,其特征在于,所述STA签名信息为STA的私钥对所述STA证书和所述接入鉴别请求时间加密后得到的信息;
所述处理单元具体用于:
使用所述预先存储的所述STA的公钥对所述接入鉴别请求消息中的STA签名信息进行解密,以得到所述STA签名信息对应的STA身份;
验证所述STA签名信息对应的STA身份与所述STA证书是否匹配,并验证所述STA证书是否有效。
10.根据权利要求8或9所述的设备,其特征在于,所述证书鉴别请求消息携带所述STA证书、所述接入鉴别请求时间、所述STA签名信息、所述AP证书和第二AP签名信息,其中,所述第二AP签名信息为AP的私钥对所述STA证书、所述接入鉴别请求时间、所述STA签名和所述AP证书加密后得到的信息。
11.根据权利要求8所述的设备,其特征在于,所述鉴别激活消息还携带鉴别激活时间。
12.一种无线局域网的终端设备,其特征在于,包括:
接收单元,用于接收接入点AP发送的鉴别激活消息;
处理单元,用于所述接收单元接收到所述AP发送的鉴别激活消息后,根据预先存储的所述AP的公钥和所述鉴别激活消息对所述AP进行身份验证,其中,所述鉴别激活消息中携带AP证书和第一AP签名信息;
发送单元,用于在所述处理单元验证得所述AP签名信息对应的AP身份与所述AP证书相匹配并且所述AP证书有效之后,向所述AP发送接入鉴别请求消息以触发所述AP对所述STA进行身份验证,其中,所述接入鉴别请求消息中携带STA证书、接入鉴别请求时间和STA签名信息;
所述接收单元还用于,接收所述AP对所述STA进行身份验证后触发鉴别服务器AS进行双向证书鉴别之后发送的接入鉴别响应消息;
所述处理单元还用于,当所述接收单元接收到所述AP发送的接入鉴别响应消息后,从所述接入鉴别响应消息中获取AP证书鉴别结果,根据所述AP证书鉴别结果决定是否接入所述AP。
13.根据权利要求12所述的设备,其特征在于,所述第一AP签名信息为AP的私钥对所述AP证书加密后得到的信息;
所述处理单元具体用于:
使用所述预先存储的所述AP的公钥对所述鉴别激活消息中的第一AP签名信息进行解密,以得到所述第一AP签名信息对应的STA身份;
验证所述第一AP签名信息对应的AP身份与所述AP证书是否匹配,并验证所述AP证书是否有效。
14.根据权利要求12所述的设备,其特征在于,所述接收单元接收的鉴别激活消息还携带鉴别激活时间,所述第一AP签名信息为AP的私钥对所述AP证书和所述鉴别激活时间加密后得到的信息。
15.一种无线局域网证书鉴别的系统,其特征在于,所述系统包括接入点设备、终端设备和鉴别服务器;
所述接入点设备为权利要求8至11中任一项所述的设备;
所述终端设备为权利要求12至14中任一项所述的设备;
所述鉴别服务器,用于在接收到所述接入点设备发送的证书鉴别请求消息后,根据所述证书鉴别请求消息对所述终端设备和所述接入点设备进行双向证书鉴别,并根据鉴别结果向所述接入点设备发送证书鉴别响应消息。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510466837.XA CN105578464B (zh) | 2015-07-31 | 2015-07-31 | 一种增强的wlan证书鉴别方法、装置及系统 |
| PCT/CN2015/100247 WO2017020530A1 (zh) | 2015-07-31 | 2015-12-31 | 一种增强的wlan证书鉴别方法、装置及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510466837.XA CN105578464B (zh) | 2015-07-31 | 2015-07-31 | 一种增强的wlan证书鉴别方法、装置及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN105578464A true CN105578464A (zh) | 2016-05-11 |
| CN105578464B CN105578464B (zh) | 2019-04-12 |
Family
ID=55888021
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510466837.XA Active CN105578464B (zh) | 2015-07-31 | 2015-07-31 | 一种增强的wlan证书鉴别方法、装置及系统 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN105578464B (zh) |
| WO (1) | WO2017020530A1 (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106102062A (zh) * | 2016-06-14 | 2016-11-09 | 中国联合网络通信集团有限公司 | 一种公共无线网络接入方法及装置 |
| CN111669756A (zh) * | 2020-07-24 | 2020-09-15 | 广西电网有限责任公司 | 一种wapi网络中传递接入网络信息的系统及方法 |
| CN114553502A (zh) * | 2022-01-29 | 2022-05-27 | 联想开天科技有限公司 | 一种网络认证方法及电子设备 |
| WO2022135404A1 (zh) * | 2020-12-26 | 2022-06-30 | 西安西电捷通无线网络通信股份有限公司 | 身份鉴别方法、装置、存储介质、程序、及程序产品 |
| CN116723509A (zh) * | 2023-06-27 | 2023-09-08 | 深圳市智开科技有限公司 | 一种电力场景的主从证书鉴别方法、设备、鉴别器及系统 |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115278676B (zh) * | 2022-08-02 | 2025-08-29 | 深圳市智开科技有限公司 | 一种wapi证书申请方法与无线终端、证书鉴别器 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20030120763A1 (en) * | 2001-12-20 | 2003-06-26 | Volpano Dennis Michael | Personal virtual bridged local area networks |
| CN101212297A (zh) * | 2006-12-28 | 2008-07-02 | 中国移动通信集团公司 | 基于web的wlan接入认证方法及系统 |
| CN102014384A (zh) * | 2009-09-04 | 2011-04-13 | 黄金富 | 通过移动电话网络验证wapi无线网络终端身份的方法 |
| CN103491540A (zh) * | 2013-09-18 | 2014-01-01 | 东北大学 | 一种基于身份凭证的无线局域网双向接入认证系统及方法 |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN100448196C (zh) * | 2006-12-29 | 2008-12-31 | 西安西电捷通无线网络通信有限公司 | 一种基于wapi的无线局域网运营方法 |
| CN101562814A (zh) * | 2009-05-15 | 2009-10-21 | 中兴通讯股份有限公司 | 一种第三代网络的接入方法及系统 |
| GB2522005A (en) * | 2013-11-26 | 2015-07-15 | Vodafone Ip Licensing Ltd | Mobile WiFi |
-
2015
- 2015-07-31 CN CN201510466837.XA patent/CN105578464B/zh active Active
- 2015-12-31 WO PCT/CN2015/100247 patent/WO2017020530A1/zh active Application Filing
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20030120763A1 (en) * | 2001-12-20 | 2003-06-26 | Volpano Dennis Michael | Personal virtual bridged local area networks |
| CN101212297A (zh) * | 2006-12-28 | 2008-07-02 | 中国移动通信集团公司 | 基于web的wlan接入认证方法及系统 |
| CN102014384A (zh) * | 2009-09-04 | 2011-04-13 | 黄金富 | 通过移动电话网络验证wapi无线网络终端身份的方法 |
| CN103491540A (zh) * | 2013-09-18 | 2014-01-01 | 东北大学 | 一种基于身份凭证的无线局域网双向接入认证系统及方法 |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106102062A (zh) * | 2016-06-14 | 2016-11-09 | 中国联合网络通信集团有限公司 | 一种公共无线网络接入方法及装置 |
| CN111669756A (zh) * | 2020-07-24 | 2020-09-15 | 广西电网有限责任公司 | 一种wapi网络中传递接入网络信息的系统及方法 |
| CN111669756B (zh) * | 2020-07-24 | 2023-07-04 | 广西电网有限责任公司 | 一种wapi网络中传递接入网络信息的系统及方法 |
| WO2022135404A1 (zh) * | 2020-12-26 | 2022-06-30 | 西安西电捷通无线网络通信股份有限公司 | 身份鉴别方法、装置、存储介质、程序、及程序产品 |
| CN114553502A (zh) * | 2022-01-29 | 2022-05-27 | 联想开天科技有限公司 | 一种网络认证方法及电子设备 |
| CN114553502B (zh) * | 2022-01-29 | 2024-03-29 | 联想开天科技有限公司 | 一种网络认证方法及电子设备 |
| CN116723509A (zh) * | 2023-06-27 | 2023-09-08 | 深圳市智开科技有限公司 | 一种电力场景的主从证书鉴别方法、设备、鉴别器及系统 |
| CN116723509B (zh) * | 2023-06-27 | 2024-11-05 | 深圳市智开科技有限公司 | 一种电力场景的主从证书鉴别方法、设备、鉴别器及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2017020530A1 (zh) | 2017-02-09 |
| CN105578464B (zh) | 2019-04-12 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US8327143B2 (en) | Techniques to provide access point authentication for wireless network | |
| CN105050081B (zh) | 网络接入设备接入无线网络接入点的方法、装置和系统 | |
| CN109729523B (zh) | 一种终端联网认证的方法和装置 | |
| CN112566119B (zh) | 终端认证方法、装置、计算机设备及存储介质 | |
| CN103532713B (zh) | 传感器认证和共享密钥产生方法和系统以及传感器 | |
| CN108270571A (zh) | 基于区块链的物联网身份认证系统及其方法 | |
| WO2018050081A1 (zh) | 设备身份认证的方法、装置、电子设备及存储介质 | |
| KR20180095873A (ko) | 무선 네트워크 접속 방법 및 장치, 및 저장 매체 | |
| CN110545252B (zh) | 一种认证和信息保护的方法、终端、控制功能实体及应用服务器 | |
| JP2012530311A5 (zh) | ||
| WO2017020530A1 (zh) | 一种增强的wlan证书鉴别方法、装置及系统 | |
| CN102638468A (zh) | 保护信息传输安全的方法、发送端、接收端及系统 | |
| CN110635901A (zh) | 用于物联网设备的本地蓝牙动态认证方法和系统 | |
| CN107820239A (zh) | 信息处理方法及装置 | |
| CN108234450B (zh) | 一种身份认证的方法、终端注册的方法、服务器及终端 | |
| WO2014015759A1 (zh) | 一种终端身份验证和服务鉴权的方法、系统和终端 | |
| KR20110083886A (ko) | 휴대용 단말기에서 다른 휴대용 단말기를 인증하는 장치 및 방법 | |
| WO2016011588A1 (zh) | 移动管理实体、归属服务器、终端、身份认证系统和方法 | |
| CN105024813B (zh) | 一种服务器、用户设备以及用户设备与服务器的交互方法 | |
| CN106027251A (zh) | 一种身份证读卡终端与云认证平台数据传输方法和系统 | |
| WO2016188053A1 (zh) | 一种无线网络接入方法、装置及计算机存储介质 | |
| CN110929231A (zh) | 数字资产的授权方法、装置和服务器 | |
| CN104243452A (zh) | 一种云计算访问控制方法及系统 | |
| CN117439740A (zh) | 一种车内网络身份认证与密钥协商方法、系统及终端 | |
| CN104349318A (zh) | 无线局域网的自动认证方法、装置和系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20250919 Address after: 518000 Guangdong Province Shenzhen City Longhua District Longhua Street Qinghu Community Xuegang North Road Hengbolirongfeng Industrial Park C Building 7th Floor C-713A Patentee after: Shenzhen Aodi Technology Co.,Ltd. Country or region after: China Address before: 518057, Nanshan District hi tech Industrial Park (North Zone), Guangdong, Shenzhen Province, No. 2, Mengxi Road Patentee before: YULONG COMPUTER TELECOMMUNICATION SCIENTIFIC (SHENZHEN) Co.,Ltd. Country or region before: China |