[go: up one dir, main page]

CN107360572B - 一种基于wifi的安全增强认证方法以及装置 - Google Patents

一种基于wifi的安全增强认证方法以及装置 Download PDF

Info

Publication number
CN107360572B
CN107360572B CN201610306332.1A CN201610306332A CN107360572B CN 107360572 B CN107360572 B CN 107360572B CN 201610306332 A CN201610306332 A CN 201610306332A CN 107360572 B CN107360572 B CN 107360572B
Authority
CN
China
Prior art keywords
certificate
access point
terminal
authentication
request
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
CN201610306332.1A
Other languages
English (en)
Other versions
CN107360572A (zh
Inventor
韦玮
吕征南
胡静
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Putian Information Technology Co Ltd
Original Assignee
Putian Information Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Putian Information Technology Co Ltd filed Critical Putian Information Technology Co Ltd
Priority to CN201610306332.1A priority Critical patent/CN107360572B/zh
Publication of CN107360572A publication Critical patent/CN107360572A/zh
Application granted granted Critical
Publication of CN107360572B publication Critical patent/CN107360572B/zh
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

本发明公开一种基于WIFI的安全增强认证方法以及装置。其中,所述方法包括:终端将证书鉴别请求报文发送至接入点,以使得接入点根据证书鉴别请求报文生成双向认证请求报文,并将双向认证请求报文发送至认证中心;若在预设时间段内接收到接入点转发的双向认证响应报文,则判断双向认证响应报文中终端证书的鉴别请求时间是否与证书鉴别请求报文中的鉴别请求时间相同;若判断相同,则验证双向认证响应报文中的认证中心签名是否正确;若验证认证中心签名正确,则判断终端证书的鉴别结果和接入点的证书鉴别结果;若判断终端证书的鉴别结果和接入点的证书鉴别结果均为有效,则提示用户安全增强认证通过。本发明能够识别伪终端和伪接入点,提高了终端接入WLAN网络的安全性。

Description

一种基于WIFI的安全增强认证方法以及装置
技术领域
本发明涉及WLAN安全领域,具体地,涉及一种基于WIFI的安全增强认证方法以及装置。
背景技术
随着智能终端的全面普及以及移动互联网业务的迅速发展,WLAN(WirelessLocal Area Network,无线局域网)呈现出快速发展的态势,已经成为用户在家庭、机场、火车站、酒店等公共场所的主要宽带接入方式。大范围覆盖的WLAN也在城市中逐步部署,如中国移动在北京已经部署了近万个热点,为城区重点范围内的用户提供便捷的WLAN接入。
目前,WLAN应用是基于802.1x系列的WIFI协议,其鉴权过程包含企业版和家庭版,家庭版不需接入鉴权,可直接连入网络;企业版也只是提供了对终端身份的单向认证,无法对接入点进行认证,不能识别伪接入点,加之协议过程都为明文传输,存在DOS攻击、篡改MAC地址、伪装接入点等安全隐患。近些年出现的WAPI协议技术虽然采用公钥证书技术实现终端和接入点的双向认证,但是由于与WIFI协议的不兼容特性以及某些终端不支持,未能在市场上得到广泛应用。因此,WLAN安全隐患未能解决。
发明内容
本发明的目的是提供一种基于WIFI的安全增强认证方法以及装置。所述方法兼容现有的WIFI协议,实现了终端和接入点的双向认证,能够识别伪终端和伪接入点,提高了终端接入WLAN网络的安全性。
为了实现上述目的,本发明提供一种基于WIFI的安全增强认证方法。所述方法包括:
终端将证书鉴别请求报文发送至接入点,以使得所述接入点根据所述证书鉴别请求报文生成双向认证请求报文,并将所述双向认证请求报文发送至认证中心,所述证书鉴别请求报文包括终端证书、鉴别请求时间以及终端签名;
所述终端在预设时间段内接收到所述接入点转发的双向认证响应报文的情况下,判断所述双向认证响应报文中终端证书的鉴别请求时间是否与所述证书鉴别请求报文中的鉴别请求时间相同,所述双向认证响应报文包括终端证书的鉴别结果、终端证书的鉴别请求时间、接入点的证书鉴别结果以及认证中心签名;
所述终端在判断相同的情况下,验证所述双向认证响应报文中的认证中心签名是否正确;
所述终端在验证所述认证中心签名正确的情况下,识别所述双向认证响应报文中所述终端证书的鉴别结果和所述接入点的证书鉴别结果;
所述终端在所述终端证书的鉴别结果和所述接入点的证书鉴别结果均为有效的情况下,提示用户安全增强认证通过。
可选地,所述双向认证响应报文还包括终端证书、接入点证书以及接入点证书的鉴别请求时间。
相应地,本发明还提供一种基于WIFI的安全增强认证装置。所述装置包括:
发送单元,用于将证书鉴别请求报文发送至接入点,以使得所述接入点根据所述证书鉴别请求报文生成双向认证请求报文,并将所述双向认证请求报文发送至认证中心,所述证书鉴别请求报文包括终端证书、鉴别请求时间以及终端签名;
判断单元,用于在预设时间段内接收到所述接入点转发的双向认证响应报文的情况下,判断所述双向认证响应报文中终端证书的鉴别请求时间是否与所述证书鉴别请求报文中的鉴别请求时间相同,所述双向认证响应报文包括终端证书的鉴别结果、终端证书的鉴别请求时间、接入点的证书鉴别结果以及认证中心签名;
验证单元,用于在判断相同的情况下,验证所述双向认证响应报文中的认证中心签名是否正确;
识别单元,用于在验证所述认证中心签名正确的情况下,识别所述双向认证响应报文中所述终端证书的鉴别结果和所述接入点的证书鉴别结果;
提示单元,用于在所述终端证书的鉴别结果和所述接入点的证书鉴别结果均为有效的情况下,提示用户安全增强认证通过。
相应地,本发明还提供一种基于WIFI的安全增强认证方法。所述方法包括:
接入点接收终端发送的证书鉴别请求报文;
所述接入点根据所述证书鉴别请求报文生成双向认证请求报文,并将所述双向认证请求报文发送至认证中心;
所述接入点在预设时间段内接收到所述认证中心返回的双向认证响应报文的情况下,判断所述双向认证响应报文中接入点证书的鉴别请求时间是否与所述双向认证请求报文中接入点证书的鉴别请求时间相同;
所述接入点在判断相同的情况下,验证所述双向认证响应报文中的认证中心签名是否正确;
所述接入点在验证所述认证中心签名正确的情况下,识别所述双向认证响应报文中所述终端证书的鉴别结果;
所述接入点在所述终端证书的鉴别结果为有效的情况下,将所述双向认证响应报文转发至所述终端,以使得所述终端根据所述双向认证响应报文提示用户安全增强认证是否通过,
其中,所述双向认证请求报文包括终端证书、终端证书的鉴别请求时间、终端签名、接入点证书、接入点证书的鉴别请求时间以及接入点签名,
其中,所述双向认证响应报文包括终端证书、终端证书的鉴别结果、终端证书的鉴别请求时间、接入点证书、接入点的证书鉴别结果、接入点证书的鉴别请求时间以及认证中心签名。
可选地,所述方法还包括:
所述接入点在预设时间段内没有接收到所述认证中心返回的双向认证响应报文的情况下,将所述双向认证请求报文再次发送至所述认证中心;
所述接入点在连续三次发送所述双向认证请求报文仍没有接收到所述认证中心返回的双向认证响应报文的情况下,解除与所述终端的链路认证。
相应地,本发明还提供一种基于WIFI的安全增强认证装置。所述装置包括:
接收单元,用于接收终端发送的证书鉴别请求报文;
生成单元,用于根据所述证书鉴别请求报文生成双向认证请求报文,并将所述双向认证请求报文发送至认证中心;
第一判断单元,用于在预设时间段内接收到所述认证中心返回的双向认证响应报文的情况下,判断所述双向认证响应报文中接入点证书的鉴别请求时间是否与所述双向认证请求报文中接入点证书的鉴别请求时间相同;
第一验证单元,用于在判断相同的情况下,验证所述双向认证响应报文中的认证中心签名是否正确;
第一识别单元,用于在验证所述认证中心签名正确的情况下,识别所述双向认证响应报文中所述终端证书的鉴别结果;
转发单元,用于在所述终端证书的鉴别结果为有效的情况下,将所述双向认证响应报文转发至所述终端,以使得所述终端根据所述双向认证响应报文提示用户安全增强认证是否通过,
其中,所述双向认证请求报文包括终端证书、终端证书的鉴别请求时间、终端签名、接入点证书、接入点证书的鉴别请求时间以及接入点签名,
其中,所述双向认证响应报文包括终端证书、终端证书的鉴别结果、终端证书的鉴别请求时间、接入点证书、接入点的证书鉴别结果、接入点证书的鉴别请求时间以及认证中心签名。
相应地,本发明还提供一种基于WIFI的安全增强认证方法。所述方法包括:
认证中心接收接入点发送的双向认证请求报文;
所述认证中心验证所述双向认证请求报文中的接入点签名、接入点证书、终端签名以及终端证书,得到验证结果;
所述认证中心根据所述验证结果和所述双向认证请求报文中的鉴别请求时间生成双向认证响应报文,并将所述双向认证响应报文发送至所述接入点,从而实现终端和所述接入点的安全增强认证。
可选地,所述认证中心验证所述双向认证请求报文中的接入点签名、接入点证书、终端签名以及终端证书,得到验证结果,包括:
所述认证中心在验证所述接入点证书不为自身颁发的证书的情况下,将所述接入点证书的验证结果设置为证书的颁发者不明确;
所述认证中心在验证所述终端证书不为自身颁发的证书的情况下,将所述终端证书的验证结果设置为证书的颁发者不明确。
可选地,所述验证结果包括证书有效、证书未启用、证书已过期、证书的颁发者不明确、签名错误、证书已吊销、证书类型错误、证书未到生效时间以及证书属于伪造。
相应地,本发明还提供一种基于WIFI的安全增强认证装置。所述装置包括:
第一接收单元,用于接收接入点发送的双向认证请求报文;
第二验证单元,用于验证所述双向认证请求报文中的接入点签名、接入点证书、终端签名以及终端证书,得到验证结果;
第一生成单元,用于根据所述验证结果和所述双向认证请求报文中的鉴别请求时间生成双向认证响应报文,并将所述双向认证响应报文发送至所述接入点,从而实现终端和所述接入点的安全增强认证。
通过上述技术方案,终端将证书鉴别请求报文发送至接入点,接入点根据证书鉴别请求报文生成双向认证请求报文,并将双向认证请求报文发送至认证中心,认证中心验证双向认证请求报文,并根据验证结果和双向认证请求报文生成双向认证响应报文,并将双向认证响应报文发送至接入点,接入点将双向认证响应报文转发至终端,实现了终端和接入点的双向认证,能够识别伪终端和伪接入点,提高了终端接入WLAN网络的安全性。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍。显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些图获得其他的附图。
图1是本发明一实施例提供的基于WIFI的安全增强认证方法的流程图;
图2是本发明一实施例提供的基于WIFI的安全增强认证装置的结构示意图;
图3是本发明一实施例提供的基于WIFI的安全增强认证方法的流程图;
图4是本发明一实施例提供的基于WIFI的安全增强认证装置的结构示意图;
图5是本发明一实施例提供的基于WIFI的安全增强认证方法的流程图;
图6是本发明一实施例提供的基于WIFI的安全增强认证装置的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
以下对本发明实施例中提及的部分词语进行举例说明。
本发明实施例中提及的终端是所使用的移动终端或个人计算机(PersonalComputer,简称PC)等设备。例如智能手机、个人数码助理(PDA)、平板电脑、笔记本电脑、车载电脑(carputer)、掌上游戏机、智能眼镜、智能手表、可穿戴设备、虚拟显示设备或显示增强设备(如Google Glass、Oculus Rift、Hololens、Gear VR)等。
图1是本发明一实施例提供的基于WIFI的安全增强认证方法的流程图。如图1所示,本发明一实施例提供的基于WIFI的安全增强认证方法包括:
在步骤S101中,终端将证书鉴别请求报文发送至接入点,以使得所述接入点根据所述证书鉴别请求报文生成双向认证请求报文,并将所述双向认证请求报文发送至认证中心。
其中,所述证书鉴别请求报文包括终端证书、鉴别请求时间以及终端签名。具体地,终端证书为终端数字证书,鉴别请求时间为证书鉴别的发起时间,终端签名为终端对双向认证请求报文的数据签名。
接着,在步骤S102中,所述终端在预设时间段内接收到所述接入点转发的双向认证响应报文的情况下,判断所述双向认证响应报文中终端证书的鉴别请求时间是否与所述证书鉴别请求报文中的鉴别请求时间相同。
具体地,在预设时间段之外接收到所述接入点转发的双向认证响应报文的情况下,终端丢弃所述双向认证响应报文。这是因为在预设时间段内终端处于已发送证书鉴别请求报文且正在等待双向认证响应报文的状态,而在预设时间段之外终端处于丢弃双向认证响应报文的状态。
紧接着,在步骤S103中,所述终端在判断相同的情况下,验证所述双向认证响应报文中的认证中心签名是否正确。
具体地,根据预设的认证中心签名验证所述双向认证响应报文中的认证中心签名是否正确。在判断所述双向认证响应报文中终端证书的鉴别请求时间与所述证书鉴别请求报文中的鉴别请求时间不相同的情况下,终端丢弃所述双向认证响应报文。
然后,在步骤S104中,所述终端在验证所述认证中心签名正确的情况下,识别所述双向认证响应报文中所述终端证书的鉴别结果和所述接入点的证书鉴别结果。
具体地,在验证所述认证中心签名不正确的情况下,终端丢弃所述双向认证响应报文。
其中,所述双向认证响应报文包括终端证书、终端证书的鉴别结果、终端证书的鉴别请求时间、接入点证书、接入点的证书鉴别结果、接入点证书的鉴别请求时间以及认证中心签名。具体地,终端证书、终端证书的鉴别结果以及终端证书的鉴别请求时间为终端证书鉴别结果信息,接入点证书、接入点的证书鉴别结果以及接入点证书的鉴别请求时间为接入点证书鉴别结果信息。
最后,在步骤S105中,所述终端在所述终端证书的鉴别结果和所述接入点的证书鉴别结果均为有效的情况下,提示用户安全增强认证通过。
具体地,在所述终端证书的鉴别结果为无效或所述接入点的证书鉴别结果为无效的情况下,提示用户当前WLAN网络存在安全隐患。
图2是本发明一实施例提供的基于WIFI的安全增强认证装置的结构示意图。如图2所示,本发明一实施例提供的基于WIFI的安全增强认证装置包括:
发送单元11,用于将证书鉴别请求报文发送至接入点,以使得所述接入点根据所述证书鉴别请求报文生成双向认证请求报文,并将所述双向认证请求报文发送至认证中心,所述证书鉴别请求报文包括终端证书、鉴别请求时间以及终端签名;
判断单元12,用于在预设时间段内接收到所述接入点转发的双向认证响应报文的情况下,判断所述双向认证响应报文中终端证书的鉴别请求时间是否与所述证书鉴别请求报文中的鉴别请求时间相同,所述双向认证响应报文包括终端证书的鉴别结果、终端证书的鉴别请求时间、接入点的证书鉴别结果以及认证中心签名;
验证单元13,用于在判断相同的情况下,验证所述双向认证响应报文中的认证中心签名是否正确;
识别单元14,用于在验证所述认证中心签名正确的情况下,识别所述双向认证响应报文中所述终端证书的鉴别结果和所述接入点的证书鉴别结果;
提示单元15,用于在所述终端证书的鉴别结果和所述接入点的证书鉴别结果均为有效的情况下,提示用户安全增强认证通过。
图3是本发明一实施例提供的基于WIFI的安全增强认证方法的流程图。如图3所示,本发明一实施例提供的基于WIFI的安全增强认证方法包括:
在步骤S201中,接入点接收终端发送的证书鉴别请求报文。
接着,在步骤S202中,所述接入点根据所述证书鉴别请求报文生成双向认证请求报文,并将所述双向认证请求报文发送至认证中心。
其中,所述双向认证请求报文包括终端证书、终端证书的鉴别请求时间、终端签名、接入点证书、接入点证书的鉴别请求时间以及接入点签名。此外,所述双向认证请求报文还包括指示位。
紧接着,在步骤S203中,所述接入点在预设时间段内接收到所述认证中心返回的双向认证响应报文的情况下,判断所述双向认证响应报文中接入点证书的鉴别请求时间是否与所述双向认证请求报文中接入点证书的鉴别请求时间相同。
具体地,在预设时间段之外接收到所述认证中心返回的双向认证响应报文的情况下,接入点丢弃所述双向认证响应报文。这是因为在预设时间段内接入点处于已发送双向认证请求报文且正在等待双向认证响应报文的状态,而在预设时间段之外接入点处于丢弃双向认证响应报文的状态。
优选地,所述方法还包括:所述接入点在预设时间段内没有接收到所述认证中心返回的双向认证响应报文的情况下,将所述双向认证请求报文再次发送至所述认证中心;所述接入点在连续三次发送所述双向认证请求报文仍没有接收到所述认证中心返回的双向认证响应报文的情况下,解除与所述终端的链路认证。
然后,在步骤S204中,所述接入点在判断相同的情况下,验证所述双向认证响应报文中的认证中心签名是否正确。
具体地,根据预设的认证中心签名验证所述双向认证响应报文中的认证中心签名是否正确。在判断所述双向认证响应报文中接入点证书的鉴别请求时间与所述双向认证请求报文中的鉴别请求时间不相同的情况下,接入点丢弃所述双向认证响应报文。
再然后,在步骤S205中,所述接入点在验证所述认证中心签名正确的情况下,识别所述双向认证响应报文中所述终端证书的鉴别结果。
具体地,在验证所述认证中心签名不正确的情况下,接入点丢弃所述双向认证响应报文。
最后,在步骤S206中,所述接入点在所述终端证书的鉴别结果为有效的情况下,将所述双向认证响应报文转发至所述终端,以使得所述终端根据所述双向认证响应报文提示用户安全增强认证是否通过。
具体地,在所述终端证书的鉴别结果为无效的情况下,接入点解除与所述终端的链路认证,并丢弃所述双向认证响应报文。
其中,所述双向认证响应报文包括终端证书、终端证书的鉴别结果、终端证书的鉴别请求时间、接入点证书、接入点的证书鉴别结果、接入点证书的鉴别请求时间以及认证中心签名。具体地,终端证书、终端证书的鉴别结果以及终端证书的鉴别请求时间为终端证书鉴别结果信息,接入点证书、接入点的证书鉴别结果以及接入点证书的鉴别请求时间为接入点证书鉴别结果信息。
图4是本发明一实施例提供的基于WIFI的安全增强认证装置的结构示意图。如图4所示,本发明一实施例提供的基于WIFI的安全增强认证装置包括:
接收单元21,用于接收终端发送的证书鉴别请求报文;
生成单元22,用于根据所述证书鉴别请求报文生成双向认证请求报文,并将所述双向认证请求报文发送至认证中心;
第一判断单元23,用于在预设时间段内接收到所述认证中心返回的双向认证响应报文的情况下,判断所述双向认证响应报文中接入点证书的鉴别请求时间是否与所述双向认证请求报文中接入点证书的鉴别请求时间相同;
第一验证单元24,用于在判断相同的情况下,验证所述双向认证响应报文中的认证中心签名是否正确;
第一识别单元25,用于在验证所述认证中心签名正确的情况下,识别所述双向认证响应报文中所述终端证书的鉴别结果;
转发单元26,用于在所述终端证书的鉴别结果为有效的情况下,将所述双向认证响应报文转发至所述终端,以使得所述终端根据所述双向认证响应报文提示用户安全增强认证是否通过,
其中,所述双向认证请求报文包括终端证书、终端证书的鉴别请求时间、终端签名、接入点证书、接入点证书的鉴别请求时间以及接入点签名,
其中,所述双向认证响应报文包括终端证书、终端证书的鉴别结果、终端证书的鉴别请求时间、接入点证书、接入点的证书鉴别结果、接入点证书的鉴别请求时间以及认证中心签名。
图5是本发明一实施例提供的基于WIFI的安全增强认证方法的流程图。如图5所示,本发明一实施例提供的基于WIFI的安全增强认证方法包括:
在步骤S301中,认证中心接收接入点发送的双向认证请求报文。
接着,在步骤S302中,所述认证中心验证所述双向认证请求报文中的接入点签名、接入点证书、终端签名以及终端证书,得到验证结果。
具体地,该步骤包括:所述认证中心在验证所述接入点证书不为自身颁发的证书的情况下,将所述接入点证书的验证结果设置为证书的颁发者不明确;所述认证中心在验证所述终端证书不为自身颁发的证书的情况下,将所述终端证书的验证结果设置为证书的颁发者不明确。
其中,认证中心首先验证所述双向认证请求报文中的接入点签名是否正确。在验证所述接入点签名错误的情况下,丢弃双向认证请求报文。在验证所述接入点签名正确的情况下,验证所述双向认证请求报文中的接入点证书是否为自身颁发的证书。在验证所述接入点证书不为自身颁发的证书的情况下,将所述接入点证书的验证结果设置为证书的颁发者不明确,并验证所述双向认证请求报文中的终端签名是否正确。在验证所述接入点证书为自身颁发的证书的情况下,验证所述双向认证请求报文中的终端签名是否正确。在验证所述终端签名错误的情况下,丢弃双向认证请求报文。在验证所述终端签名正确的情况下,验证所述双向认证请求报文中的终端证书是否为自身颁发的证书。在验证所述终端证书不为自身颁发的证书的情况下,将所述终端证书的验证结果设置为证书的颁发者不明确。
其中,验证结果包括证书有效、证书未启用、证书已过期、证书的颁发者不明确、签名错误、证书已吊销、证书类型错误、证书未到生效时间以及证书属于伪造。
最后,在步骤S303中,所述认证中心根据所述验证结果和所述双向认证请求报文中的鉴别请求时间生成双向认证响应报文,并将所述双向认证响应报文发送至所述接入点,从而实现终端和所述接入点的安全增强认证。
其中,验证结果包括终端的验证结果、接入点的验证结果。双向认证请求报文中的鉴别请求时间包括终端的鉴别请求时间和接入点的鉴别请求时间。需要说明的是,在本申请中,验证结果与鉴别结果等同。
在具体的应用中,不论是终端的鉴别结果还是接入点的鉴别结果,鉴别结果均用鉴别结果代码表示。鉴别结果代码字段长度为1个八位位组,表示认证中心对证书的鉴别结果,其值定义如下:0表示证书有效;1表示证书未启用;2表示证书已过期;3表示证书的颁发者不明确;4表示签名错误;5表示证书已吊销;6表示证书类型错误;7表示证书未到生效时间;8表示证书属于伪造;其他值保留。
图6是本发明一实施例提供的基于WIFI的安全增强认证装置的结构示意图。如图6所示,本发明一实施例提供的基于WIFI的安全增强认证装置包括:
第一接收单元31,用于接收接入点发送的双向认证请求报文;
第二验证单元32,用于验证所述双向认证请求报文中的接入点签名、接入点证书、终端签名以及终端证书,得到验证结果;
第一生成单元33,用于根据所述验证结果和所述双向认证请求报文中的鉴别请求时间生成双向认证响应报文,并将所述双向认证响应报文发送至所述接入点,从而实现终端和所述接入点的安全增强认证。
本实施例通过终端将证书鉴别请求报文发送至接入点,接入点根据证书鉴别请求报文生成双向认证请求报文,并将双向认证请求报文发送至认证中心,认证中心验证双向认证请求报文,并根据验证结果和双向认证请求报文生成双向认证响应报文,并将双向认证响应报文发送至接入点,接入点将双向认证响应报文转发至终端,实现了终端和接入点的双向认证,能够识别伪终端和伪接入点,提高了终端接入WLAN网络的安全性。
对于方法实施例,为了简单描述,故将其都表述为一系列的动作组合,但是本领域技术人员应该知悉,本发明实施例并不受所描述的动作顺序的限制,因为依据本发明实施例,某些步骤可以采用其他顺序或者同时进行。其次,本领域技术人员也应该知悉,说明书中所描述的实施例均属于优选实施例,所涉及的动作并不一定是本发明实施例所必须的。
应当注意的是,在本发明的系统的各个部件中,根据其要实现的功能而对其中的部件进行了逻辑划分,但是,本发明不受限于此,可以根据需要对各个部件进行重新划分或者组合,例如,可以将一些部件组合为单个部件,或者可以将一些部件进一步分解为更多的子部件。
本发明的各个部件实施例可以以硬件实现,或者以在一个或者多个处理器上运行的软件模块实现,或者以它们的组合实现。本领域的技术人员应当理解,可以在实践中使用微处理器或者数字信号处理器(DSP)来实现根据本发明实施例的系统中的一些或者全部部件的一些或者全部功能。本发明还可以实现为用于执行这里所描述的方法的一部分或者全部的设备或者装置程序(例如,计算机程序和计算机程序产品)。这样的实现本发明的程序可以存储在计算机可读介质上,或者可以具有一个或者多个信号的形式。这样的信号可以从因特网网站上下载得到,或者在载体信号上提供,或者以任何其他形式提供。
应该注意的是上述实施例对本发明进行说明而不是对本发明进行限制,并且本领域技术人员在不脱离所附权利要求的范围的情况下可设计出替换实施例。在权利要求中,不应将位于括号之间的任何参考符号构造成对权利要求的限制。单词“包含”不排除存在未列在权利要求中的元件或步骤。位于元件之前的单词“一”或“一个”不排除存在多个这样的元件。本发明可以借助于包括有若干不同元件的硬件以及借助于适当编程的计算机来实现。在列举了若干装置的单元权利要求中,这些装置中的若干个可以是通过同一个硬件项来具体体现。单词第一、第二、以及第三等的使用不表示任何顺序。可将这些单词解释为名称。
以上实施方式仅适于说明本发明,而并非对本发明的限制,有关技术领域的普通技术人员,在不脱离本发明的精神和范围的情况下,还可以做出各种变化和变型,因此所有等同的技术方案也属于本发明的范畴,本发明的专利保护范围应由权利要求限定。

Claims (10)

1.一种基于WIFI的安全增强认证方法,其特征在于,所述方法包括:
终端将证书鉴别请求报文发送至接入点,以使得所述接入点根据所述证书鉴别请求报文生成双向认证请求报文,并将所述双向认证请求报文发送至认证中心,所述证书鉴别请求报文包括终端证书、鉴别请求时间以及终端签名,所述双向认证请求报文包括终端证书、终端证书的鉴别请求时间、终端签名、接入点证书、接入点证书的鉴别请求时间以及接入点签名;
所述终端在预设时间段内接收到所述接入点转发的双向认证响应报文的情况下,判断所述双向认证响应报文中终端证书的鉴别请求时间是否与所述证书鉴别请求报文中的鉴别请求时间相同,所述双向认证响应报文包括终端证书的鉴别结果、终端证书的鉴别请求时间、接入点的证书鉴别结果以及认证中心签名;
所述终端在判断相同的情况下,验证所述双向认证响应报文中的认证中心签名是否正确;
所述终端在验证所述认证中心签名正确的情况下,识别所述双向认证响应报文中所述终端证书的鉴别结果和所述接入点的证书鉴别结果;
所述终端在所述终端证书的鉴别结果和所述接入点的证书鉴别结果均为有效的情况下,提示用户安全增强认证通过。
2.根据权利要求1所述的基于WIFI的安全增强认证方法,其特征在于,所述双向认证响应报文还包括终端证书、接入点证书以及接入点证书的鉴别请求时间。
3.一种基于WIFI的安全增强认证装置,其特征在于,所述装置包括:
发送单元,用于将证书鉴别请求报文发送至接入点,以使得所述接入点根据所述证书鉴别请求报文生成双向认证请求报文,并将所述双向认证请求报文发送至认证中心,所述证书鉴别请求报文包括终端证书、鉴别请求时间以及终端签名,所述双向认证请求报文包括终端证书、终端证书的鉴别请求时间、终端签名、接入点证书、接入点证书的鉴别请求时间以及接入点签名;
判断单元,用于在预设时间段内接收到所述接入点转发的双向认证响应报文的情况下,判断所述双向认证响应报文中终端证书的鉴别请求时间是否与所述证书鉴别请求报文中的鉴别请求时间相同,所述双向认证响应报文包括终端证书的鉴别结果、终端证书的鉴别请求时间、接入点的证书鉴别结果以及认证中心签名;
验证单元,用于在判断相同的情况下,验证所述双向认证响应报文中的认证中心签名是否正确;
识别单元,用于在验证所述认证中心签名正确的情况下,识别所述双向认证响应报文中所述终端证书的鉴别结果和所述接入点的证书鉴别结果;
提示单元,用于在所述终端证书的鉴别结果和所述接入点的证书鉴别结果均为有效的情况下,提示用户安全增强认证通过。
4.一种基于WIFI的安全增强认证方法,其特征在于,所述方法包括:
接入点接收终端发送的证书鉴别请求报文,所述证书鉴别请求报文包括终端证书、鉴别请求时间以及终端签名;
所述接入点根据所述证书鉴别请求报文生成双向认证请求报文,并将所述双向认证请求报文发送至认证中心;
所述接入点在预设时间段内接收到所述认证中心返回的双向认证响应报文的情况下,判断所述双向认证响应报文中接入点证书的鉴别请求时间是否与所述双向认证请求报文中接入点证书的鉴别请求时间相同;
所述接入点在判断相同的情况下,验证所述双向认证响应报文中的认证中心签名是否正确;
所述接入点在验证所述认证中心签名正确的情况下,识别所述双向认证响应报文中所述终端证书的鉴别结果;
所述接入点在所述终端证书的鉴别结果为有效的情况下,将所述双向认证响应报文转发至所述终端,以使得所述终端根据所述双向认证响应报文提示用户安全增强认证是否通过,
其中,所述双向认证请求报文包括终端证书、终端证书的鉴别请求时间、终端签名、接入点证书、接入点证书的鉴别请求时间以及接入点签名,
其中,所述双向认证响应报文包括终端证书、终端证书的鉴别结果、终端证书的鉴别请求时间、接入点证书、接入点的证书鉴别结果、接入点证书的鉴别请求时间以及认证中心签名。
5.根据权利要求4所述的基于WIFI的安全增强认证方法,其特征在于,所述方法还包括:
所述接入点在预设时间段内没有接收到所述认证中心返回的双向认证响应报文的情况下,将所述双向认证请求报文再次发送至所述认证中心;
所述接入点在连续三次发送所述双向认证请求报文仍没有接收到所述认证中心返回的双向认证响应报文的情况下,解除与所述终端的链路认证。
6.一种基于WIFI的安全增强认证装置,其特征在于,所述装置包括:
接收单元,用于接收终端发送的证书鉴别请求报文,所述证书鉴别请求报文包括终端证书、鉴别请求时间以及终端签名;
生成单元,用于根据所述证书鉴别请求报文生成双向认证请求报文,并将所述双向认证请求报文发送至认证中心;
第一判断单元,用于在预设时间段内接收到所述认证中心返回的双向认证响应报文的情况下,判断所述双向认证响应报文中接入点证书的鉴别请求时间是否与所述双向认证请求报文中接入点证书的鉴别请求时间相同;
第一验证单元,用于在判断相同的情况下,验证所述双向认证响应报文中的认证中心签名是否正确;
第一识别单元,用于在验证所述认证中心签名正确的情况下,识别所述双向认证响应报文中所述终端证书的鉴别结果;
转发单元,用于在所述终端证书的鉴别结果为有效的情况下,将所述双向认证响应报文转发至所述终端,以使得所述终端根据所述双向认证响应报文提示用户安全增强认证是否通过,
其中,所述双向认证请求报文包括终端证书、终端证书的鉴别请求时间、终端签名、接入点证书、接入点证书的鉴别请求时间以及接入点签名,
其中,所述双向认证响应报文包括终端证书、终端证书的鉴别结果、终端证书的鉴别请求时间、接入点证书、接入点的证书鉴别结果、接入点证书的鉴别请求时间以及认证中心签名。
7.一种基于WIFI的安全增强认证方法,其特征在于,所述方法包括:
认证中心接收接入点发送的双向认证请求报文,所述双向认证请求报文包括终端证书、终端证书的鉴别请求时间、终端签名、接入点证书、接入点证书的鉴别请求时间以及接入点签名,所述双向认证请求报文是由接入点根据其接收到的终端发送的证书鉴别请求报文生成的,所述证书鉴别请求报文包括终端证书、鉴别请求时间以及终端签名;
所述认证中心验证所述双向认证请求报文中的接入点签名、接入点证书、终端签名以及终端证书,得到验证结果;
所述认证中心根据所述验证结果和所述双向认证请求报文中的鉴别请求时间生成双向认证响应报文,并将所述双向认证响应报文发送至所述接入点,从而实现终端和所述接入点的安全增强认证。
8.根据权利要求7所述的基于WIFI的安全增强认证方法,其特征在于,所述认证中心验证所述双向认证请求报文中的接入点签名、接入点证书、终端签名以及终端证书,得到验证结果,包括:
所述认证中心在验证所述接入点证书不为自身颁发的证书的情况下,将所述接入点证书的验证结果设置为证书的颁发者不明确;
所述认证中心在验证所述终端证书不为自身颁发的证书的情况下,将所述终端证书的验证结果设置为证书的颁发者不明确。
9.根据权利要求7所述的基于WIFI的安全增强认证方法,其特征在于,所述验证结果包括证书有效、证书未启用、证书已过期、证书的颁发者不明确、签名错误、证书已吊销、证书类型错误、证书未到生效时间以及证书属于伪造。
10.一种基于WIFI的安全增强认证装置,其特征在于,所述装置包括:
第一接收单元,用于接收接入点发送的双向认证请求报文,所述双向认证请求报文包括终端证书、终端证书的鉴别请求时间、终端签名、接入点证书、接入点证书的鉴别请求时间以及接入点签名,所述双向认证请求报文是由接入点根据其接收到的终端发送的证书鉴别请求报文生成的,所述证书鉴别请求报文包括终端证书、鉴别请求时间以及终端签名;
第二验证单元,用于验证所述双向认证请求报文中的接入点签名、接入点证书、终端签名以及终端证书,得到验证结果;
第一生成单元,用于根据所述验证结果和所述双向认证请求报文中的鉴别请求时间生成双向认证响应报文,并将所述双向认证响应报文发送至所述接入点,从而实现终端和所述接入点的安全增强认证。
CN201610306332.1A 2016-05-10 2016-05-10 一种基于wifi的安全增强认证方法以及装置 Expired - Fee Related CN107360572B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201610306332.1A CN107360572B (zh) 2016-05-10 2016-05-10 一种基于wifi的安全增强认证方法以及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201610306332.1A CN107360572B (zh) 2016-05-10 2016-05-10 一种基于wifi的安全增强认证方法以及装置

Publications (2)

Publication Number Publication Date
CN107360572A CN107360572A (zh) 2017-11-17
CN107360572B true CN107360572B (zh) 2019-11-12

Family

ID=60271271

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201610306332.1A Expired - Fee Related CN107360572B (zh) 2016-05-10 2016-05-10 一种基于wifi的安全增强认证方法以及装置

Country Status (1)

Country Link
CN (1) CN107360572B (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107948065B (zh) * 2017-12-29 2021-02-26 杭州迪普科技股份有限公司 一种链路状态信息获取方法及装置

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1399490A (zh) * 2002-08-15 2003-02-26 西安西电捷通无线网络通信有限公司 无线局域网移动终端的安全接入方法
CN101610515A (zh) * 2009-07-22 2009-12-23 中兴通讯股份有限公司 一种基于wapi的认证系统及方法
CN101969639A (zh) * 2010-10-19 2011-02-09 广州杰赛科技股份有限公司 一种多级证书和多种认证模式混合共存接入认证方法和系统

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4311174B2 (ja) * 2003-11-21 2009-08-12 日本電気株式会社 認証方法、移動体無線通信システム、移動端末、認証側装置、認証サーバ、認証代理スイッチ及びプログラム
CN101478753B (zh) * 2009-01-16 2010-12-08 中兴通讯股份有限公司 Wapi终端接入ims网络的安全管理方法及系统

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1399490A (zh) * 2002-08-15 2003-02-26 西安西电捷通无线网络通信有限公司 无线局域网移动终端的安全接入方法
CN101610515A (zh) * 2009-07-22 2009-12-23 中兴通讯股份有限公司 一种基于wapi的认证系统及方法
CN101969639A (zh) * 2010-10-19 2011-02-09 广州杰赛科技股份有限公司 一种多级证书和多种认证模式混合共存接入认证方法和系统

Also Published As

Publication number Publication date
CN107360572A (zh) 2017-11-17

Similar Documents

Publication Publication Date Title
US11301555B2 (en) Authentication system
CN110351269B (zh) 通过第三方服务器登录开放平台的方法
CN106209763B (zh) 一种登录方法及系统
CN105246073B (zh) 无线网络的接入认证方法及服务器
US10231124B2 (en) Anti-theft method and client for a mobile terminal
US9602504B2 (en) Strong Authentication by presentation of a number
CN104618315B (zh) 一种验证信息推送和信息验证的方法、装置及系统
CN107689944A (zh) 身份认证方法、装置和系统
TW201014315A (en) User identity authentication method, system thereof and identifying code generating maintenance subsystem
RU2016105315A (ru) Способ для аутентификации пользователя через несколько пользовательских устройств
CN108022100B (zh) 一种基于区块链技术的交叉认证系统及方法
CN105786707A (zh) 程序测试方法和装置
CN104869568B (zh) 一种基于音频的监控系统配置方法及系统
JP2013097650A (ja) 認証システム、認証方法及び認証サーバ
CN109121124A (zh) 一种基于客户端的蓝牙mesh设备入网流程实现方法
CN107113613A (zh) 服务器、移动终端、网络实名认证系统及方法
CN109388924A (zh) 一种身份验证方法、装置、服务器及存储介质
CN108764834A (zh) 电子合同的签署方法、系统、设备和介质
CN108322366A (zh) 接入网络的方法、装置和系统
US20140330689A1 (en) System and Method for Verifying Online Banking Account Identity Using Real-Time Communication and Digital Certificate
CN105357224B (zh) 一种智能家居网关注册、移除方法及系统
CN105100022A (zh) 密码的处理方法、服务器和系统
CN106060027B (zh) 基于验证码进行验证的方法、装置、设备及系统
CN105578464B (zh) 一种增强的wlan证书鉴别方法、装置及系统
CN104869121A (zh) 一种基于802.1x的认证方法及装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
CF01 Termination of patent right due to non-payment of annual fee

Granted publication date: 20191112

CF01 Termination of patent right due to non-payment of annual fee