应用于无线局域网WLAN中的接入认证方法和终端技术

本申请提供了应用于无线局域网WLAN中的接入认证方法和系统。在本发明专利技术中，既实现了终端和认证中心的双向认证以完成终端的身份注册，还实现了终端和AP的双向认证，在这两次双向认证过程中，均不需要移动运营商的参与，并且，通过终端和AP的双向认证，能够识别伪AP和伪终端，提高了终端接入WLAN的安全性，解决了目前WiFi接入认证机制只能实现对UE身份的单向认证所带来的缺陷。

【技术实现步骤摘要】
应用于无线局域网WLAN中的接入认证方法和终端
本申请涉及网络通信技术，特别涉及应用于无线局域网(WLAN：WirelessLocalAreaNetworks)中的接入认证方法和终端。
技术介绍
目前，WLAN中的WiFi接入认证机制通常是使用帐号加密码方式对上网的用户进行接入认证。比如，用户使用运营商提供的WLAN时，需要先获取WLAN帐号和密码，在接入时通过Portal页面/客户端输入获取的WLAN帐号和密码完成网络认证。密码也可以是动态的短信验证码，如机场、候车厅等提供短期免费WLAN接入服务的公共场所，当用户接入WLAN时先访问公共场所的网站首页，输入手机号码，由身份认证系统生成一个验证码，通过移动运营商的短信平台发送给终端(UE)，终端使用这个验证码证明自己的身份后接入网络。但是，目前的WiFi接入认证机制，只提供对终端身份的单向认证，并不能对终端接入的无线接入点(AP：AccessPoint)进行认证，这就导致一些伪AP不能被辨认，降低终端接入WLAN的安全。
技术实现思路
本申请提供了应用于无线局域网WLAN中的接入认证方法和终端，以解决目前WiFi接入认证机制只能实现对UE身份的单向认证所带来的缺陷。本申请提供的技术方案包括：一种应用于无线局域网WLAN中的接入认证方法，该方法包括：终端UE通过与认证中心之间的双向认证完成终端的身份注册；在终端完成身份注册后，通过以下步骤进行终端和接入点AP的双向认证：步骤A0，终端先和AP交互以获取AP的身份信息，终端将本终端的身份信息、所述AP的身份信息、以及时间戳通过AP发送给认证中心，以使认证中心对所述终端的身份信息、所述AP的身份信息进行验证，并验证所述时间戳的有效性，终端接收认证中心返回的验证结果。一种应用于无线局域网WLAN中的终端，包括：身份注册单元，用于通过与认证中心之间的双向认证完成终端的身份注册；AP认证单元，用于在终端完成身份注册后，通过以下步骤进行终端和接入点AP的双向认证在完成与认证中心之间的双向认证后，通过以下步骤与AP进行双向认证：终端先和AP交互以获取AP的身份信息，终端将本终端的身份信息、所述AP的身份信息、以及时间戳通过AP发送给认证中心，以使认证中心对所述终端的身份信息、所述AP的身份信息进行验证，并验证所述时间戳的有效性，终端接收认证中心返回的验证结果。由以上技术方案可以看出，本专利技术中，实现了终端和AP的双向认证。通过该双向认证，能够识别伪AP和伪终端，提高了终端接入WLAN的安全性，解决了目前WiFi接入认证机制只能实现对UE身份的单向认证所带来的缺陷；进一步地，在本专利技术中，既实现了终端和认证中心的双向认证完成终端的身份注册，还实现了终端和AP的双向认证，在这两次双向认证过程中，均不需要移动运营商的参与，也即，WLAN的接入认证不依赖于移动运营商。附图说明图1为本专利技术提供的方法流程图；图2为本专利技术实施例1提供的方法流程图；图3为本专利技术实施例2提供的方法流程图；图4为本专利技术提供的系统结构图。具体实施方式为了使本专利技术的目的、技术方案和优点更加清楚，下面结合附图和具体实施例对本专利技术进行详细描述。本专利技术提供的方法包括图1所示的流程：参见图1，图1为本专利技术提供的方法流程图。如图1所示，该流程可包括以下步骤：步骤101，终端通过与认证中心之间的双向认证完成终端的身份注册。在步骤101，当终端和认证中心之间完成双向认证，则意味着终端在认证中心成功进行身份注册。步骤102，终端在完成身份注册后，通过以下步骤进行终端和AP的双向认证：终端先和AP交互以获取AP的身份信息，终端将本终端的身份信息、所述AP的身份信息、以及时间戳通过AP发送给认证中心，以使认证中心对所述终端的身份信息、所述AP的身份信息进行验证，并验证所述时间戳的有效性，终端接收认证中心返回的验证结果。至此，完成本专利技术提供的图1所示的流程。从图1所示流程可以看出，在本专利技术中，实现了终端和AP的双向认证。通过该双向认证，能够识别伪AP和伪终端，提高了终端接入WLAN的安全性；进一步地，在本专利技术中，既实现了终端通过与认证中心之间的双向认证完成终端的身份注册，还实现了终端和AP的双向认证，在这两次双向认证过程中，均不需要移动运营商的参与，也即，WLAN的接入认证不依赖于移动运营商。需要说明的是，终端的身份注册过程、终端和AP的双向认证过程是两个独立的过程，没有时间上的连续要求，在终端的身份注册过程完成后，终端和AP的双向认证过程在终端请求接入网络时发起。下面通过两个实施例对图1所示的流程进行详细描述：实施例1：参见图2，图2为本专利技术实施例1提供的方法流程图。如图1所示，该流程可包括以下步骤：步骤201，终端下载APP应用软件，所述APP应用软件中包含认证中心的公钥和非对称加密算法引擎。具体地，终端可在可信网络环境下去指定的安全网站下载上述APP应用软件。步骤202，终端安装并运行已下载的APP应用软件，并通过APP应用软件中包含的非对称加密算法引擎生成终端公私钥对。这里，终端公私钥对包含终端公钥和终端私钥。步骤203，终端使用认证中心的公钥加密终端公钥和终端标识(ID)并发送给认证中心。作为本专利技术的优选实施例，这里的终端ID可以是IMSI、IMEI、MSISDN等参数中的至少一个。步骤204，认证中心使用自身的私钥对加密的终端公钥和终端ID进行解密，得到终端公钥和终端ID。步骤205，认证中心验证终端公钥合法，则为终端签发终端证书，并记录终端证书和终端ID之间的对应关系作为本专利技术的优选实施例，这里认证中心验证终端公钥合法可为：认证中心验证终端公钥是通过上述APP应用软件包含的非对称加密算法引擎生成的，则认为终端公钥合法，反之，则认为终端公钥不合法。步骤206，认证中心使用终端公钥加密终端证书并发送给终端。步骤207，终端使用终端私钥对接收的终端证书解密得到得到认证中心为本终端签发的终端证书，完成终端的身份注册。至此，完成终端和认证中心的双向认证。在上面描述的终端和认证中心的双向认证过程中，APP应用软件包含的认证中心的公钥是公开的，但即使攻击者截获认证中心的公钥也不影响整个认证过程的安全性，这是因为终端和认证中心的私钥是不在网络上传递的，保证了密钥的安全分发。当终端和认证中心间实现了双向认证，则意味着终端在认证中心成功注册，完成密钥分发，终端和认证中心之间后续可使用彼此的公钥加密后交互信息，以实现终端和AP的双向认证，具体见下文步骤208至步骤213。终端和AP的双向认证过程中，为提供端到端的安全，对传送的信息采用公钥加密，具体如下文。步骤208，终端向AP发送接入请求。步骤209，AP返回接入响应给终端，接入响应中携带AP身份信息；步骤210，终端使用认证中心的公钥对终端证书、AP身份信息、以及时间戳加密并携带在认证请求中通过AP透传给认证中心。作为本专利技术的一个实施例，这里的时间戳可为终端发送认证请求的时间点。步骤211，认证中心使用自身的私钥对认证请求中加密的终端证书、AP身份信息、以及时间戳进行解密，得到终端证书、AP身份信息、以及时间戳；步骤212，认证中心分别对所述终端证书、AP身份信息进行验证，并验证时间戳的有效性，使用终端公钥对验本文档来自技高网...

【技术保护点】
一种应用于无线局域网WLAN中的接入认证方法，其特征在于，该方法包括：终端UE通过与认证中心之间的双向认证完成终端的身份注册；终端在完成身份注册后，通过以下步骤进行终端和接入点AP的双向认证：步骤A0，终端先和AP交互以获取AP的身份信息，终端将本终端的身份信息、所述AP的身份信息、以及时间戳通过AP发送给认证中心，以使认证中心对所述终端的身份信息、所述AP的身份信息进行验证，并验证所述时间戳的有效性，终端接收认证中心返回的验证结果。

【技术特征摘要】
1.一种应用于无线局域网WLAN中的接入认证方法，其特征在于，该方法包括：终端UE通过与认证中心之间的双向认证完成终端的身份注册；终端在完成身份注册后，通过以下步骤进行终端和接入点AP的双向认证：步骤A0，终端先和AP交互以获取AP的身份信息，终端将本终端的身份信息、所述AP的身份信息、以及时间戳通过AP发送给认证中心，以使认证中心对所述终端的身份信息、所述AP的身份信息进行验证，并验证所述时间戳的有效性，终端接收认证中心返回的验证结果。2.根据权利要求1所述的方法，其特征在于，所述终端UE通过与认证中心之间的双向认证完成终端的身份注册包括：终端安装并运行已下载的APP应用软件，所述APP应用软件中包含认证中心的公钥和非对称加密算法引擎；终端通过所述非对称加密算法引擎生成终端公私钥对，所述终端公私钥对包含终端公钥和终端私钥；终端使用认证中心的公钥加密所述终端公钥和终端标识ID并发送给认证中心；认证中心使用自身的私钥对加密的终端公钥和终端ID进行解密，得到终端公钥和终端ID；认证中心验证所述终端公钥合法，则为终端签发终端证书，并记录终端证书和终端ID之间的对应关系；认证中心使用所述终端公钥加密所述终端证书并发送给终端；终端使用终端私钥对接收的终端证书进行解密得到认证中心为本终端签发的终端证书，完成终端的身份注册。3.根据权利要求2所述的方法，其特征在于，所述步骤A0具体包括：终端向AP发送接入请求；终端接收AP返回的接入响应，所述接入响应中携带AP身份信息；终端使用所述认证中心的公钥对所述终端证书、AP身份信息、以及时间戳加密并携带在认证请求中通过AP透传给认证中心；认证中心使用自身的私钥对认证请求中加密的终端证书、AP身份信息、以及时间戳进行解密，得到终端证书、AP身份信息、以及时间戳；认证中心分别对所述终端证书、AP身份信息进行验证，并验证时间戳的有效性，使用终端公钥对验证结果加密并发送给终端；终端使用终端私钥对接收的验证结果进行解密获取验证结果。4.根据权利要求1所述的方法，其特征在于，所述终端UE通过与认证中心之间的双向认证完成终端的身份注册包括：终端安装并运行已下载的APP应用软件，所述APP应用软件中包含算法因子、序列号、加密算法；终端使用自身的终端标识ID、所述算法因子、序列号、加密算法计算出终端认证密钥；终端发送终端ID、所述序列号给认证中心；认证中心基于收到的终端ID、序列号，并利用所述算法因子、加密算法计算出终端认证密钥；认证中心生成一个随机数，使用所述终端认证密钥加密所述随机数并发送给终端；终端使用所述终端认证密钥对认证中心发送的加密的随机数解密，并使用所述终端认证密钥对解密后的随机数进行加密发送给认证中心；认证中心使用所述终端认证密钥对接收的随机数解密，比较解密后的随机数和之前发送给所述终端的随机数，如果两者一致，则终端与认证中心成功完成双向认证，达成密钥同步，完成终端的身份注册。5.根据权利要求4所述的方法，其特征在于，所述认证中心基于收到的终端ID、序列号，并利用所述算法因子、加密算法计算出终端认证密钥进一步包括：基于所述终端ID为终端分配一个对应的终端身份信息，并记录所述终端身份信息和所述终端认证密钥之间的对应关系；所述使用终端认证密钥加密随机数并发送给终端包括：使用终端认证密钥加密随机数和终端身份信息并发送给终端；所述使用终端认证密钥对认证中心发送的加密的随机数解密包括：使用终端认证密钥解密，得到随机数和终端身份信息；所述使用所述终端认证密钥对解密后的随机数进行加密发送给认证中心：使用终端认证密钥对解密后的随机数加密，并在密文中携带解密后得到的终端身份信息传递给认证中心；所述认证中心使用所述终端认证密钥对接收的随机数解密包括：基于已记录的所述对应关系找到接收的终端身份信息对应的终端认证密钥，使用找到的终端认证密钥对接收的随机数解密。6.根据权利要求5所述的方法，其特征在于，所述步骤A0具体包括：终端向AP发送接入请求；终端接收AP返回的接入响应，所述接入响应中携带AP身份信息；终端使用终端认证密钥加密终端身份信息、所述AP身份信息、以及时间戳，并在密文中携带所述终端身份信息，一起携带在...

【专利技术属性】
技术研发人员：池连刚，蔡杰，刘道斌，李晓华，韦玮，
申请(专利权)人：普天信息技术有限公司，
类型：发明
国别省市：北京,11